曹曉雯，崔維亮

（江蘇大學(xué)，江蘇 鎮(zhèn)江 212013）

金融行業(yè)視頻監(jiān)控逐步進(jìn)入了集數(shù)字化、網(wǎng)絡(luò)化、高清化為一體的新模式，隨之面臨的問題是視頻數(shù)據(jù)呈現(xiàn)爆炸式的海量增長，對海量數(shù)據(jù)的快速存儲和檢索的需求顯得尤為重要。針對金融行業(yè)監(jiān)控系統(tǒng)的攝像頭安全問題，本團(tuán)隊(duì)提出了可信云存儲環(huán)境下基于銀行攝像頭安全的密鑰管理方法與系統(tǒng)。在視頻監(jiān)控系統(tǒng)和云存儲[1]集成的同時(shí)，系統(tǒng)必須保證兩大基本需求：首先，利用云存儲自身的優(yōu)點(diǎn)，對監(jiān)控系統(tǒng)實(shí)現(xiàn)靈活、高效的擴(kuò)展性管理。其次，必須要保證視頻云存儲的安全，包括存儲在云端的視頻資源以及攝像頭權(quán)限管理和登錄訪問，實(shí)現(xiàn)真正的高度管理和高度智能。

針對上述問題，本團(tuán)隊(duì)采用基于全局邏輯層次圖[2]（Global Logical Hierarchical Graph，GLHG）的密鑰推導(dǎo)機(jī)制密鑰管理方法，通過GLHG密鑰推導(dǎo)圖，來安全、等價(jià)地實(shí)施全局用戶的數(shù)據(jù)訪問授權(quán)策略，充分利用云的特性，借助云服務(wù)提供商（Cloud Service Provider，CSP）執(zhí)行推導(dǎo)結(jié)構(gòu)圖的管理，并引入基于ElGamal的代理重加密技術(shù)[3]，進(jìn)一步提高密鑰管理的執(zhí)行效率，高效率、高安全性地完成對各視頻資源的權(quán)限處理。

為了解決IP掃描技術(shù)控制網(wǎng)絡(luò)攝像頭的問題，將攝像頭統(tǒng)一接入云，用云來實(shí)施統(tǒng)一控制，攝像頭沒有對外開放的端口，使得IP爆破成為不可能。為了保障攝像頭資源可以安全傳輸?shù)皆?，采用安全傳輸層協(xié)議（Transport Layer Security，TLS）協(xié)議。為了進(jìn)一步滿足金融行業(yè)視頻監(jiān)控系統(tǒng)的高度安全需求，不主張采用口令登錄，而是采用私鑰認(rèn)證的辦法，通過類似于Secure Shell（SSH）的雙向認(rèn)證方式，驗(yàn)證用戶的合法性。

本文首先介紹系統(tǒng)模型以及安全假設(shè)，然后描述系統(tǒng)采用的相關(guān)技術(shù)的具體實(shí)現(xiàn)過程，隨后提出了各模塊的具體算法和代碼設(shè)計(jì)，最后通過仿真和實(shí)驗(yàn)分析論證了模型的正確性、合理性。

1 相關(guān)算法

數(shù)據(jù)的機(jī)密性是云存儲環(huán)境下的難點(diǎn)問題。為了實(shí)現(xiàn)可信云存儲環(huán)境下安全、高效的多用戶密鑰共享，很多研究者對以數(shù)據(jù)擁有者為中心的基于邏輯層次圖（Logical Hierarchical Graph，LHG）機(jī)制進(jìn)行了優(yōu)化和拓展[4-7]，但都是基于單數(shù)據(jù)擁有者模式下的數(shù)據(jù)外包機(jī)制，對于可信云存儲環(huán)境下多用戶共享數(shù)據(jù)的情形，無法解決密鑰管理代價(jià)太大的問題。程芳權(quán)等[8]提出的基于GLHG的密鑰推導(dǎo)機(jī)制密鑰管理方法，很好地為上述問題提供了解決辦法。本文借鑒了程芳權(quán)等提出的GLHG機(jī)制來實(shí)施密鑰管理，并在此基礎(chǔ)上改進(jìn)GLHG中代理重加密的算法，使用基于ElGamal的代理重加密技術(shù)，進(jìn)一步優(yōu)化GLHG機(jī)制。

TLS協(xié)議是基于會話的加密和認(rèn)證Internet協(xié)議，用于在兩個(gè)通信主體間提供安全通信信道，由TLS記錄協(xié)議和TLS握手協(xié)議兩層組成。本文提出的視頻監(jiān)控系統(tǒng)中，視頻資源向云端的傳輸將依照TLS協(xié)議執(zhí)行，以保障視頻數(shù)據(jù)傳輸過程的安全性和高效性。

本文還提出了類似于SSH認(rèn)證協(xié)議的基于私鑰的雙向認(rèn)證方法，以解決弱口令登錄被IP掃描爆破的問題，具體實(shí)現(xiàn)將在下文詳述。

2 系統(tǒng)模型和安全假設(shè)

為了將職員監(jiān)管職責(zé)的效益最大化，同時(shí)，保證各自權(quán)限的合理合法性，本團(tuán)隊(duì)將銀行監(jiān)控區(qū)域化，假設(shè)區(qū)域1，d1有攝像頭c1—c4；區(qū)域2，d2有攝像頭c5—c8，以此類推，并將監(jiān)控?cái)z像頭統(tǒng)一接入到云端，攝像頭拍攝到的視頻資源上傳到CSP，在上傳過程中嚴(yán)格遵守TLS協(xié)議，來保障視頻資源的保密性。對于訪問用戶對攝像頭的登錄問題，采用基于私鑰的雙向認(rèn)證方式，防止非法用戶的入侵?？尚旁拼鎯Νh(huán)境下基于銀行攝像頭安全的密鑰管理方法與系統(tǒng)如圖1所示。

3 系統(tǒng)關(guān)鍵技術(shù)

3.1 私鑰認(rèn)證

本團(tuán)隊(duì)決定利用RSA算法，雙向認(rèn)證使得管理員可在任意安裝私鑰的設(shè)備上管理網(wǎng)絡(luò)攝像頭，既免去了記憶密碼的代價(jià)，同時(shí)保證了網(wǎng)絡(luò)攝像頭不會遭到云端其他用戶的攻擊，具體的密鑰協(xié)商步驟如圖2所示。認(rèn)證過程和Linu x SSH公鑰認(rèn)證類似，通過雙向認(rèn)證保障傳輸過程中避免遭到中間人攻擊，同時(shí)，避免弱口令帶來的安全威脅。

3.2 密鑰管理

3.2.1 GLHG的構(gòu)建

假設(shè)銀行現(xiàn)有監(jiān)管職員A—G，各區(qū)域如ATM網(wǎng)點(diǎn)、前臺、重要金庫等的攝像頭監(jiān)控區(qū)域?yàn)閐1—d14。根據(jù)職員權(quán)責(zé)，如不同層級職員的權(quán)限更新、遠(yuǎn)程業(yè)務(wù)需求等，得到如圖3所示的視頻數(shù)據(jù)資源全局訪問控制矩陣。

3.2.2 GLHG的動態(tài)更新策略實(shí)現(xiàn)

在銀行等重點(diǎn)部門，職員的權(quán)限變更和因職務(wù)而產(chǎn)生的權(quán)限調(diào)度時(shí)有發(fā)生，因而對密鑰管理機(jī)制的動態(tài)更新策略提出了更高的要求。本文以基于GLHG的動態(tài)訪問控制策略為主要更新機(jī)制，并且引入新的基于ELGamal的代理重加密技術(shù)，來完成更加高效、準(zhǔn)確的密鑰更新，以適應(yīng)由于銀行部門監(jiān)控點(diǎn)的變更、新增引起的相關(guān)職員管理權(quán)限的變化。GLHG的密鑰更新具體執(zhí)行如下：

步驟1，云端CSP執(zhí)行GLHG的更新，包括新增節(jié)點(diǎn)的插入和已有節(jié)點(diǎn)的刪除。

步驟2，可信前端各用戶KM用戶執(zhí)行密鑰值相關(guān)的更新操作，包括相關(guān)密鑰值的安全生成、傳輸以及相關(guān)密鑰推導(dǎo)關(guān)系值得生成，并提交CSP公開發(fā)布。

3.3 TLS協(xié)議傳輸

TLS是建立在傳輸層TCP協(xié)議之上的協(xié)議，服務(wù)于應(yīng)用層，前身是安全套接字層（Secure Socket Layer，SSL），實(shí)現(xiàn)了將應(yīng)用層的報(bào)文進(jìn)行加密后再交由TCP進(jìn)行傳輸?shù)墓δ?。TLS協(xié)議的實(shí)現(xiàn)分為兩部分：第一部分，使用客戶端和服務(wù)端協(xié)商后的秘鑰進(jìn)行數(shù)據(jù)加密傳輸；第二部分，客戶端和服務(wù)端進(jìn)行協(xié)商，確定一組用于數(shù)據(jù)傳輸加密的秘鑰串。

圖1 密鑰管理方法與系統(tǒng)的設(shè)計(jì)模型

圖2 私鑰認(rèn)證流程

圖3 職員A—G對于監(jiān)控區(qū)域d1—d14監(jiān)管權(quán)限的全局訪問控制矩陣

4 安全性分析

該系統(tǒng)的安全性通過以下保障得以實(shí)現(xiàn)：

保障1，該系統(tǒng)使用私鑰進(jìn)行臨時(shí)會話認(rèn)證，在不泄露私鑰的情況下，用戶無法在堡壘機(jī)登錄，因而無法訪問監(jiān)控網(wǎng)絡(luò)。

保障2，系統(tǒng)對用戶的每次登錄認(rèn)證均使用臨時(shí)會話口令，該口令無法被簡單重放。

保障3，本系統(tǒng)放棄使用固定口令來對堡壘機(jī)進(jìn)行認(rèn)證，而是強(qiáng)制結(jié)合密鑰來生成會話口令進(jìn)行認(rèn)證，在首次安裝的過程中生成密碼并且下載密鑰，因而可防止默認(rèn)密碼帶來的危害。

保障4，由于訪問監(jiān)控系統(tǒng)必須通過云端或者堡壘機(jī)的認(rèn)證，在職位調(diào)用的過程中，只需要相關(guān)權(quán)限管理員在云端重新分配權(quán)限，用戶不需要更換密鑰，因而可安全、高效地完成調(diào)配。

保障5，由于所有監(jiān)控網(wǎng)絡(luò)均需要通過堡壘機(jī)訪問網(wǎng)絡(luò)攝像頭，如果堡壘機(jī)是安全的，就不能直接攻擊網(wǎng)絡(luò)攝像頭。

保障1—3確保了系統(tǒng)可以抵御假冒攻擊和重放攻擊；保障4—5確保了整個(gè)系統(tǒng)只要在堡壘機(jī)不受到攻擊的情況下，就可以安全運(yùn)行，而且系統(tǒng)采用密鑰管理機(jī)制，整個(gè)監(jiān)控管理系統(tǒng)可以安全、高效地運(yùn)行。

5 實(shí)驗(yàn)分析

5.1 實(shí)驗(yàn)方法

在系統(tǒng)中，密鑰管理方案的高效性和安全性已經(jīng)由程芳權(quán)等證明，TLS是標(biāo)準(zhǔn)且可靠的視頻傳輸協(xié)議，因而本文主要對系統(tǒng)中潛在性能開銷最大的認(rèn)證過程進(jìn)行測試。在測試中，使用的操作系統(tǒng)為Debian 9，測試配置為Intel core i7-4710MQ 2.5 GH，雙核2 GB RAM，測試工具為ApachejMeter v5.1.1，測試中使用單線程的Flask開發(fā)測試用例。

5.2 實(shí)驗(yàn)結(jié)果

該系統(tǒng)在認(rèn)證過程中的性能測試結(jié)果如表1所示，其中，encrypt是公鑰加密函數(shù)，get-code函數(shù)用于獲取服務(wù)端的隨機(jī)數(shù)；本團(tuán)隊(duì)一共選取了6 000個(gè)測試樣例，加密測試和獲取隨機(jī)數(shù)分別使用3 000個(gè)樣例；執(zhí)行情況中，KO表示功能函數(shù)執(zhí)行失敗的樣例數(shù)，Error%表示失敗比例；響應(yīng)時(shí)間的測試結(jié)果中，測試了平均響應(yīng)時(shí)間（Average）、最大（Max）以及最?。∕in）響應(yīng)時(shí)間，并且對響應(yīng)時(shí)間排在90%（90th pct），95%（90th pct），99%（90th pct）的時(shí)間進(jìn)行了記錄；每秒接收的請求數(shù)（Transactions/s）反映了系統(tǒng)吞吐量（Throughput），Received和Sent分別表示認(rèn)證過程中的實(shí)時(shí)下載和上傳網(wǎng)速。

表1 認(rèn)證過程測試結(jié)果

從結(jié)果分析可以看出，系統(tǒng)的平均認(rèn)證失敗率為13.48%，在誤差范圍內(nèi)；90%的響應(yīng)時(shí)間都低于21 ms，每秒可以接收154.08條請求，認(rèn)證速度達(dá)到了預(yù)期目標(biāo)。隨著執(zhí)行時(shí)間的增加，系統(tǒng)處理認(rèn)證請求的平均速度越來越快，其平均響應(yīng)時(shí)間低于設(shè)置的超時(shí)時(shí)間6 s，整體的認(rèn)證性能達(dá)到了預(yù)期設(shè)定。

6 結(jié)語

本文提出了一個(gè)可信云存儲環(huán)境下基于銀行攝像頭安全的密鑰管理方法與系統(tǒng)，實(shí)現(xiàn)了對監(jiān)控?cái)z像頭的虛擬化和集群化管理。系統(tǒng)通過在可信云存儲環(huán)境下建立可靠且高效的密鑰管理機(jī)制，實(shí)現(xiàn)了安全且高效的職員權(quán)限和攝像頭登錄管理，并且通過強(qiáng)制私鑰認(rèn)證的方式保證了系統(tǒng)不會受到弱口令的影響。通過安全性分析和實(shí)驗(yàn)仿真論證了系統(tǒng)機(jī)制的安全性和適用性，證明了系統(tǒng)在保障攝像頭和其視頻資源安全存儲和傳輸?shù)耐瑫r(shí)，可以最大限度地提高管理效率。