摘要：目前視頻監(jiān)控系統(tǒng)已經(jīng)是我國高速公路網(wǎng)的一個重要組成部分，而無線視頻監(jiān)控由于自身的移動性和便利性，在這方面有著廣泛的應(yīng)用前景。本文針對無線視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全性，提出了一種基于公鑰基礎(chǔ)設(shè)施PKI模型的安全機(jī)制，并且對PKI系統(tǒng)中常用的SSL認(rèn)證和其相關(guān)的軟件開發(fā)進(jìn)行了探討。
　　關(guān)鍵詞：無線視頻監(jiān)控；安全機(jī)制；PKI；SSL
　　中圖分類號：TN918.8+2文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791(2011)06(B)-0000-00
　　
　　1引言
　　隨著經(jīng)濟(jì)的飛速發(fā)展，我國的高速公路網(wǎng)絡(luò)已經(jīng)逐步形成，高速公路視頻監(jiān)控系統(tǒng)也已成為了整個高速公路網(wǎng)絡(luò)運(yùn)營管理的重要組成部分。一般的監(jiān)控系統(tǒng)組成是在一些重要的場所（如收費(fèi)站、車道等）[1]架設(shè)攝像機(jī)，將視頻信號通過光纖網(wǎng)絡(luò)傳送到監(jiān)控中心。但是，架設(shè)的固定攝像機(jī)必然有盲區(qū)存在，而攝像范圍的限制也會導(dǎo)致遠(yuǎn)離攝像機(jī)的視頻監(jiān)控不夠清晰。由于高速公路突發(fā)事件的地點(diǎn)偶然性，固定攝像機(jī)往往不能有效地滿足視頻監(jiān)控、遠(yuǎn)程指揮的需要。對此，我們可利用無線網(wǎng)絡(luò)的便利性，將攝像機(jī)安裝在汽車上，車載系統(tǒng)將拍攝到的視頻信號經(jīng)過無線網(wǎng)絡(luò)，將現(xiàn)場情況實(shí)時清楚地傳輸至監(jiān)控中心。監(jiān)控中心通過監(jiān)控軟件，實(shí)時掌握各個被監(jiān)控點(diǎn)的情況，并對發(fā)生的情況做出反應(yīng)和處理。
　　在建立和使用無線網(wǎng)絡(luò)傳輸視頻信號的時候我們不可避免的要遇到網(wǎng)絡(luò)安全方面的問題，實(shí)際應(yīng)用中，由于無線路由器是使用成品設(shè)備，因此無法從無法協(xié)議層進(jìn)行改進(jìn)，只能在選擇路由器時采用安全系數(shù)最高的產(chǎn)品。因此考慮在上層增加安全機(jī)制，以提高系統(tǒng)的安全性以及對安全的控制能力。
　　
　　2基于PKI模型的無線視頻監(jiān)控中安全機(jī)制的建立
　　公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心，是保證應(yīng)用安全性公認(rèn)有效的解決方案。完整的PKI系統(tǒng)包括證書機(jī)構(gòu)（Certification Authority，CA）、用戶注冊管理系統(tǒng)（Registration Authority，RA）、端實(shí)體、PKI存儲庫以及證書撤銷列表（CRL）發(fā)布中心。其中證書機(jī)構(gòu)CA、端實(shí)體是其基本組件，注冊機(jī)構(gòu)RA、PKI存儲庫、CRL發(fā)布中心為其輔助組件。
　　在無線網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中，我們注重的安全性主要包括以下幾個方面：合法用戶認(rèn)證、機(jī)密文件的保密傳輸、用戶等級的劃分。對此系統(tǒng)來說，認(rèn)證是最主要的內(nèi)容，而文件保密傳輸，其重要性并不太高，對大量的視頻數(shù)據(jù)進(jìn)行加密并保護(hù)，一是沒有太大意義，二是加密浪費(fèi)系統(tǒng)資源，因此數(shù)據(jù)加密也只是針對某些比較重要的數(shù)據(jù)。所以我們根據(jù)實(shí)際情況，簡化了上述的PKI體系，僅將系統(tǒng)劃分為以下兩個個組件：1、PKI基礎(chǔ)設(shè)施；2、用戶。
　　其中PKI基礎(chǔ)設(shè)施涵蓋了證書認(rèn)證與簽發(fā)、用戶注冊管理、CRL簽發(fā)與發(fā)布、密鑰管理四大功能；用戶方則僅僅是利用申請的證書進(jìn)行驗(yàn)證，然后通信。其系統(tǒng)示意圖如圖1所示。
　　 左側(cè)為PKI基礎(chǔ)設(shè)施，它是整個無線辦公網(wǎng)絡(luò)安全平臺的關(guān)鍵部分，各組件功能如下：用戶注冊管理系統(tǒng)（RA）驗(yàn)證證書申請者身份、維護(hù)注冊用戶信息；證書操作系統(tǒng)（Certificate Processor，CP）實(shí)現(xiàn)證書簽發(fā)、證書撤銷、證書撤銷列表（CRL）簽發(fā)，CP與RA合稱為證書認(rèn)證中心（CA），作為安全平臺中受信任的第三方；證書/CRL發(fā)布系統(tǒng)存儲、管理CA簽發(fā)的數(shù)字證書和CRL；證書/CRL查詢系統(tǒng)對安全客戶端提供相關(guān)查詢服務(wù)；密鑰備份恢復(fù)系統(tǒng)托管、備份客戶的密鑰對，保證密鑰丟失的情況下加密數(shù)據(jù)能及時脫密。
　　圖1的右側(cè)為安全客戶端，從CA獲得數(shù)字證書后，安全客戶端利用SSL協(xié)議以及CRL查詢服務(wù)在無線媒質(zhì)上建立安全通道，實(shí)現(xiàn)保密通信。
　　由于認(rèn)證是其主要內(nèi)容，因此我們著重研究了PKI系統(tǒng)中常用的SSL認(rèn)證以及與認(rèn)證相關(guān)的軟件開發(fā)。
　　
　　3采用OpenSSL實(shí)現(xiàn)PKI體系
　　3.1 SSL協(xié)議概述
　　SSL(Secure Sockets Layer 安全套