基于Internet網(wǎng)絡的遠程視頻監(jiān)控傳輸安全性研究
隨著Internet網(wǎng)絡的迅速發(fā)展,基于Internet網(wǎng)絡的各種應用層出不窮,遠程視頻監(jiān)控是其中很有發(fā)展前景的應用之一。一方面視頻壓縮技術有了很大的發(fā)展,另一方面光纖到樓,光纖到戶以及ADSL等多種網(wǎng)絡接入方式,使企業(yè)、家庭等不同用戶都能方便地享受寬帶Internet網(wǎng)絡,用于家庭安全、工業(yè)控制等的基于Internet網(wǎng)絡的遠程視頻監(jiān)控系統(tǒng)已開始成為研究的熱點。
目前基于Internet網(wǎng)絡的遠程視頻監(jiān)控系統(tǒng)一般采用比較簡單的呼叫控制流程,如采用自定義的呼叫建立命令,而且對于視頻監(jiān)控系統(tǒng)的安全性也考慮不夠充分,有的系統(tǒng)增加了用戶認證,在遠程監(jiān)控端設置服務器,存放注冊用戶的用戶名、密碼以及其他信息,只有合法用戶才可以呼叫本地監(jiān)控端。但這種安全方案中只是保證了主叫端用戶登錄時的安全性,而且用戶管理報務器集中存放了用戶名和密碼,很容易成為黑客攻擊對象,一但用戶安全信息被竊取,整個系統(tǒng)的安全性就被破壞了。如果在后續(xù)的呼叫控制過程中增加被叫端參與安全認證,就可以大大加強遠程視頻監(jiān)控業(yè)務的安全性。
2 基于Internet網(wǎng)絡的遠程視頻監(jiān)控系統(tǒng)
基于Internet網(wǎng)絡的遠程視頻監(jiān)控系統(tǒng)如圖1所示,包括遠程監(jiān)控端和本地監(jiān)控端。本地監(jiān)控是位于監(jiān)控現(xiàn)場的獨立的嵌入式設備,負責本地音頻信息的采集、編碼、加密和傳送,并負責對以下第3節(jié)中提出的遠程監(jiān)控密碼的安全認證。
遠程監(jiān)控端是具有遠程監(jiān)控功能的計算機或IP可視終端,負責對以下第3節(jié)中提出的遠程監(jiān)控密碼進行加密和傳送,并負責在遠程監(jiān)控密碼被安全認證通過之后,對被監(jiān)控端音視頻媒體數(shù)據(jù)進行解密、解碼和播放。遠程監(jiān)控端與本地監(jiān)控端之間通過Internet網(wǎng)絡連接。
3 采用H.323協(xié)議實現(xiàn)安全的遠程視頻監(jiān)控的方法和原理
ITU-T H.323協(xié)議體系為現(xiàn)有的分組網(wǎng)絡提供多媒體通信的標準,它規(guī)定基于分組網(wǎng)進行兩點/多點實時媒體通信的系統(tǒng)邏輯組件、消息定義和通信過程。H.323已廣泛地應用于可視電話、視頻會議等IP寬帶業(yè)務中。
這里所描述的實現(xiàn)基于Internet網(wǎng)絡的安全的遠程視頻監(jiān)控的方法是在H.323多媒體通信協(xié)議流程的基礎上,增加了遠程監(jiān)控密碼的加密、傳送、解密和驗證的過程,以及在遠程監(jiān)控密碼通過驗證后,本地監(jiān)控端的音視頻媒體數(shù)據(jù)的加密、傳送和解密的過程。
采用H.323協(xié)議實現(xiàn)安全的遠程視頻監(jiān)控的方法主要包括以下3個部分:
(1)利用H.323消息流程傳送和驗證遠程監(jiān)控密碼的過程;(2)遠程監(jiān)控密碼的加密和解密過程;(3)音視頻媒體數(shù)據(jù)的加密和解密過程。
3.1 利用H.323消息流程傳送和驗證遠程監(jiān)控密碼的過程
利用H.323消息流程傳送和驗證遠程監(jiān)控密碼的過程,可以有2種方式,一種方式是在呼叫控制流程中傳送和驗證遠程監(jiān)控密碼,另一種方式是在呼叫控制和媒體控制過程后傳送和驗證遠程監(jiān)控密碼。
3.1.1 方式一
如圖2所示,在呼叫控制流程中傳送和驗證遠程監(jiān)控密碼的方式,具體過程如下:
(1)遠程監(jiān)控端呼叫本地監(jiān)控端,將遠程監(jiān)控密碼暗文作為H.225消息中的擴展項傳送至本地監(jiān)控端;
(2)本地監(jiān)控端接收到H.225消息,從擴展項取出遠程監(jiān)控密碼暗文,解密后與本地監(jiān)控端存儲的監(jiān)控密碼進行比較,如果比較結果一致,密碼驗證通過,則進入H.245媒體控制交互流程,如果H.245交互成功,則本地監(jiān)控端開始向遠程監(jiān)控端傳送被監(jiān)控現(xiàn)場的音視頻媒體數(shù)據(jù);如果比較結果不一致,密碼驗證失敗,結束通信。
3.1.2 方式二
如圖3所示,在呼叫控制和媒體控制過程后傳送和驗證遠程監(jiān)控密碼的方式,具體過程如下:
(1)遠程監(jiān)控端呼叫本地監(jiān)控端,呼叫成功并且H.245媒體控制交互成功,則本地監(jiān)控端要求遠程監(jiān)控端輸入遠程監(jiān)控密碼;
(2)遠程監(jiān)控端采用DTMF(Double Tone MultiFrequency,雙音多頻)方式以每次單個字符傳送遠程監(jiān)控密碼暗文;其中,DTMF可以采用以下4種承載方式之一對暗文的遠程監(jiān)控密碼進行打包傳送:
①通過Q.931信息傳輸;
②通過H.245的SIGNAL字段傳輸;
③通過H.245的SIRING字段傳輸;
④通過RTP音頻邏輯通道傳輸,載荷類型為101,遵循標準RFC2833。
(3)本地監(jiān)控端接收遠程監(jiān)控密碼單字符暗文并解密、保存,當收到遠程監(jiān)控密碼結束符或設置的接收遠程監(jiān)控密碼定時器超時,則將收到的遠程監(jiān)控密碼與本地監(jiān)控端存儲的監(jiān)控密碼進行比較,如果比較結果一致,密碼驗證通過,則本地監(jiān)控端開始向遠程監(jiān)控端傳送被監(jiān)控現(xiàn)場的音視頻媒體數(shù)據(jù);如果比較結果不一致,密碼失敗、結束通信。
以上2種方式中,方式一的優(yōu)點是遠程監(jiān)控端與本地監(jiān)控端通信流程比較簡潔,而且由于監(jiān)控密碼的驗證在呼叫控制階段,因此如果密碼驗證失敗,則不需要再進行H.245媒體控制等流程,系統(tǒng)對于監(jiān)控密碼錯誤的響應時間很快。方式二的優(yōu)點是除加密、解密部分以外,遠程監(jiān)控端可以是支持DTMF的普通H.323終端,H.225呼叫控制和H.245媒體控制都是標準流程,不需要定制。
3.2 遠程監(jiān)控密碼的加密和解密的過程遠程
監(jiān)控密碼以暗文方式傳送,它由遠程監(jiān)控端發(fā)送,本地監(jiān)控端接收和驗證。首先,被監(jiān)控端需要配置和保存遠程監(jiān)控密碼。可以使用統(tǒng)一的遠程監(jiān)控密碼,也可以采用不同的呼叫別名對應不同的遠程監(jiān)控密碼。監(jiān)控密碼一般會有一定的位數(shù)限制,數(shù)據(jù)量很小,因此遠程監(jiān)控密碼的加密可采用公鑰加密算法,如RSA算法。具體過程如下:
(1)遠程監(jiān)控端獲得本地監(jiān)控端的公鑰;
(2)遠程監(jiān)控端采用公鑰加密算法,使用(1)中公鑰加密遠程監(jiān)控密碼,并發(fā)送給本地監(jiān)控端;
(3)本地監(jiān)控端接收到監(jiān)控密碼暗文后,使用與(1)中公鑰對應的私鑰將暗文的監(jiān)控密碼轉換為明文監(jiān)控密碼。
3.3 音視頻媒體數(shù)據(jù)的加密和解密過程
被監(jiān)控現(xiàn)場的音視頻媒體數(shù)據(jù)是由本地監(jiān)控端發(fā)送,遠程監(jiān)控端接收。音視頻媒體數(shù)據(jù)以加密的方式進行傳送。
音視頻媒體數(shù)據(jù)量大,它的加密和解密可以使用對稱密鑰加密算法與公鑰加密算法相結合的方法,即大量的音視頻數(shù)據(jù)的加密、解密使用對稱密鑰加密算法,如DES算法,而利用公鑰加密算法安全地交換執(zhí)行對稱加密時使用的機密密鑰。具體過程如下:
(1)本地監(jiān)控端創(chuàng)建一個隨機機密密鑰,本地監(jiān)控端使用該機密密鑰,采用對稱密鑰算法加音視頻媒體數(shù)據(jù);
(2)本地監(jiān)控端獲得遠程監(jiān)控端的公鑰,并使用該公鑰,采用加密算法加密(1)中的機密密鑰;
(3)本地監(jiān)控端將暗文機密密鑰和音視頻媒體數(shù)據(jù)一起發(fā)給遠程監(jiān)控端;
(4)遠程監(jiān)控端使用與(2)中公鑰對應的私鑰將暗文機密密鑰轉換為明文,再利用該機密密鑰將暗文音視頻媒體數(shù)據(jù)轉換為明文數(shù)據(jù)。
4 結 語
這里針對目前基于Internet網(wǎng)絡的視頻監(jiān)控系統(tǒng)的一些問題,提出一種采用H.323通信協(xié)議實現(xiàn)安全的遠程視頻監(jiān)控的方法,該方法在H.323協(xié)議的基礎上,增加了系統(tǒng)在呼叫控制過程中本地監(jiān)控端參與的安全認證,加強了遠程視頻監(jiān)控業(yè)務的安全性,克服了僅在主叫端增加用戶管理服務器,安全性易于受到破壞,維護成本高等缺點。
另外,由于采用標準的H.323多媒體協(xié)議,使相應的視頻監(jiān)控系統(tǒng)不僅具有完善的呼叫控制和媒體控制過程,而且具有較好的互通性和可擴展性,并可根據(jù)用戶的需求增加其安全策略和附加功能等。