浅析大规模可运营视频监控网络系统的安全机制

摘 要：监控系统是科技进步的产物，由于视频监控业务的特殊性，需要大范围的运营级视频监控网络系统配置一套安全机制。利用虚拟专用网（VPN）建立一个专用区域的用户群，为了提高监控系统安全性和灵活性，会话初始化协议（SIP）技术创建一个区域用户视频监控子群，有效的防止了用户身份资源的流失，用户使用的权限更具有了技术保障。应用专用的动态密钥对媒体有可能外泄的视频数据进行巩固和加密。利用最常见的简单网络管理协议版本3（SNMPV 3）加强了运营性网络视频监控管理系统的安全程度。

关键词：视频监控；安全机制；虚拟专用网；会话初始化协议

在社会信息化程度快速发展的今天，社会各行已经广泛的运用监控进行工作，多层次的网络视频监控系统，通过SIP协议和DIEME-TER协议为基础创建的运营级视频监控系统，可以实现大规模和大领域的部署，以及运营级的整体需要，广大的监控业务对远程视频的监控也提出了更好的要求，需要不断地弥补传统监控系统的缺陷，提高新的监控系统的安全性能。新的视频监控系统要符合时展的要求，不断的提高其工作的远度，在网络系统的协调下，可以对大量视频数据实时、跨区域性的传输，能够将监控的资源进行共享，为此提高了办事效率。

图1为视频监控网络系统结构图，SIP服务器主要是建立会话；AAA服务器主要使用于路由AAA请求；AAA服务器进行监控认证；存储服务器中能够存放大量的视频资源信息，转发服务器进行数据的转发，控制服务器用于主要数据的控制，审计服务器是审计系统的一部分，网管系统对整个监控系统进行详细的管理，前端服务器主要进行的是消除影响，建立一个完整的监控系统。

在整个监控系统，安全性是设计者进行设计需要考虑的重要因素，不能让自己的监控视频资源落入其他人的手中，安全的系统机制是保证视频可以正常的营运，在现在网络社会中，安全的监控系统也面临着巨大的挑战，现代化的监控系统不能和传统的监控系统那样进行小地区的隔离，现代化的监控系统是连接在网络上，任何地区的人都可以通过网络找到这个监控系统，从而去窃取视频资源，这就需要在设计的过程中尽可能的完善内部结构，完善自身系统的服务器和网络接触的信任点，就目前的技术而言，主要是解决以下几个问题：（1）网络访问身份认证。主要是防止攻击者冒充身份进行访问，防止不法分子对视频监控系统的篡改。（2）机密性。防止不具有访问权限的人窃取视频信息。（3）完整性。防止不法分子对视频信息进行删除或者是篡改。（4）授权。明确那些具有访问权限，有效的杜绝其他的用户访问。（5）安全指引。安全指引是对分散的、独立的、缺少安全通道，根据视频系统协议机制，进一步加强安全通道的保护，保证网络安全过程。（6）隐私性。隐私性主要是保护监控数据的机密性，主要是为了防止其他不法人员查看视频资源，保护视频的信息和各个节点，起到保护视频系统的作用。

1 基于VPN（虚拟专用网）与SIP（会话初始化协议）的闭合用户群方案

1.1 什么叫闭合用户群

闭合用户群是几个或者是几十个视频用户共用一个视频信息系统，其他人员不能对其中的视频资源进行访问。共同的使用群体内的资源，方便了群组成员的使用。

在实际生活中，每个行业对于视频监控系统的需求是存在一定的差异，因此，在视频的访问中也有所不同。通过闭合用户群的可以将各类资源得到最大利益化的使用。目前闭合用户技术发展日益成熟，得到了各行各业的肯定，为各行各业的发展打下了坚实的基础。

根据用户的需求的不同，将闭合用户群划分为了两种方案：一种是采用比较成熟的虚拟专用网，二是SIP（初始化协议）的呼叫控制，为每个用户群定义应该访问的权限，并且只能是本群内的用户在特点的用户群内进行资源的共享。

在服务器中，SIP缺乏一整套安全机制，它能够加强端到端的安全性跨越逐跳的安全体系。安全是视频监控系统最为基础性的考虑，也是保证各行各业正常运用视频资源的前提条件，关乎这一个企业或者是一个行业，甚至是一个国家的兴衰，在视频安全系统中SIP已经有了关于视频安全系统的详细解释，应对应方式的身份识别和通过闭合用户群诞生出两种方案对SIP用户群体进行保护，但是他们对源头的保护SIP消息是比较缺乏的。由于信息的连接点可能会修改SIP的源头消息，通过逐跳的方式加强SIP传输过程中沿途的安全机制，所以逐跳的安全性重要就显得十分的重要。

这样我们就知道采用VPN建立的闭合用户群相对来说安全性有大的保障，但是不便的就是用户难以修改视频的信息。采用SIP构建闭合用户群与用VPN构建的闭合用户群的作用恰恰相反，在这两种方式的优缺点的影响下，可以采用网络层（IPSec）和传输层（TLS）的双重安全机制，来提高信息在传输中进行逐跳的安全性，保护SIP会话在传输资源时的信号通道。

在实际的应用中大部分用户采用的是如图2和图3所示的方案，能够巩固信息在传递过程中逐跳的安全性能，保证控制系统一直处于安全状态。

1.2 SIP和DIAMETER的认证授权

SIP是灵活性的用户群体，可以防止非法人员的入侵，能够有效的保护系统内的视频资源。SIP协议是专门为了SIP的安全制定的，进行认证需要MAR和MAA的指令，为了保护系统的安全性，SIP的请求需要经过SIP协议的判断进行详细的认证，在认证中需要完成以下几个步骤：首先是SIP用户发出的SIP请求。其次是SIP永和的使用算术进行计算，发送带有MD5的信息给SIP请求，并发到下面小的系统上。再次系统根据永和提供的用户名和密码进行下一步的认证工作。最后根据认证的结果的是与否，决定用户是否能够访问系统内的视频资源。SIP协议的授权和认证是独立起来的，通过对用户的认证是否合法，然后做出下一步能否访问资源的决定，能够有效的保护了系统内部资源的安全性，并且用户在使用的过程中也是十分的方便快捷。

2 动态密钥为基础的媒体流私密方案

为了视频数据的安全性和实用性，要不断对最前端视频数据进行加密处理，选择合理有效加密的方法。来满足实时性要求，采用的视频数据加密算法对视频设备采集到的视频数据进行加权加密处理，需要定期更新加密的方式方法，来有效的保护和传输DES密钥，防止黑客等不法分子对系统的攻击。此方法其实简单直接，能大大地提高系统的安全性，但是视频数据占用的内存相当的大，全部加密，对于系统来说是一个相当大的负担，在实施的过程中有一定的难度。

3 基于SNMPv3的系统管理

利用简单网络管理协议有效的管理了系统的安全性，SNMPv3在安全方面已经基本上满足了大规模可运营级视频监控系统在大规模运行和安全上的整体要求。

4 结束语

本文主要介绍了大规模网络视频监控系统是如何在复杂的环境中增强安全性能的。分析了VPN和SIP相结合起来在视频系统中的安全作用，以及在现实生活中的应用性。详细的介绍了密钥的不断地更新在视频信息系统中的应用，SNMPv3的网络系统是如何保证管理信息的安全性，详尽介绍了审计服务器的辅助作用，辅助增强了系统的安全性，总之，随着科技的进步通过对视频资源的不断地加密和保护，大规模可运营视频监控网络系统的安全性已经有了显著的提高。

参考文献

[1]石志强，林建坛，林森，等.大规模可运营视频监控网络系统的安全机制[J].北京邮电大学学报，2009，S1：66-72.

[2]石志强，林建坛，林森，等.大规模可运营视频监控网络系统的安全机制[A].中国通信学会.中国通信学会通信软件技术委员会2009年学术会议论文集[C].中国通信学会，2009：7.

[3]夏祥.基于嵌入式WEB技术的视频监控系统的构建[D].复旦大学，2008.