陳 陽，曾 浩，劉會江，秦 峰，林開東

(重慶郵電大學 電工理論與新技術實驗室，重慶 400065)

0 引 言

在公共安全監(jiān)控系統(tǒng)的實際應用中，監(jiān)控攝像機數(shù)量在不斷增加，視頻分辨率也不斷提高。那么，傳統(tǒng)無差別加密方案已不適用海量視頻的高并發(fā)、高通量需求。為此需要建設公共安全視頻監(jiān)控系統(tǒng)的分層安全體系，對實時監(jiān)控視頻數(shù)據(jù)進行分級管控，實現(xiàn)不同級別的訪問和操作管理。

目前，多級密鑰管理系統(tǒng)已經(jīng)涉及到多個領域。文獻[1]用于云平臺的直播視頻服務，該技術實現(xiàn)了對不同權限用戶之間進行細粒度管理，但該方案未研究用戶之間的等級關系。文獻[2]提出了一種基于權限的分層加密方案，以此實現(xiàn)細粒度的訪問控制，但該密鑰派生方案沒有結合加密數(shù)據(jù)的特有屬性，導致所加密的數(shù)據(jù)安全性低的問題。文獻[3]針對海量云數(shù)據(jù)加密存儲帶來巨大密鑰存儲管理問題提出了等級密鑰存儲管理方案，這些方案能夠?qū)崿F(xiàn)數(shù)據(jù)的分級加密，而且有效降低密鑰存儲開銷，但該方案中散列樹是以二叉樹作為密鑰派生結構，而實際中不能確定分支具體數(shù)。文獻[4,5]針對等級體制下的用戶提出了等級密鑰管理方案，并利用偏序關系設計了密鑰派生方案，但此類密鑰派生算法不能實現(xiàn)用戶與數(shù)據(jù)分別加密，不利于數(shù)據(jù)的安全傳輸。文獻[6]融合了多權利群組密鑰管理和等級密鑰管理各自設計上的優(yōu)勢，數(shù)據(jù)擁有者只通過系統(tǒng)公開參數(shù)對各個訪問群組的等級結構進行管理，而各個訪問群組中的用戶以基于多線性映射的群組密鑰協(xié)商方式獲得所在群組對應的對稱加密密鑰，這里所使用的對稱加密密鑰在共享時存在被篡改竊取的風險。

以上多種方案在各自領域都能有效實施，但這些方案不能實現(xiàn)等級用戶操作管理多級視頻數(shù)據(jù)的需求。因此，結合實際需求，本文提出一種基于國密SM3的等級密鑰管理方案。該方案可實現(xiàn)大規(guī)模數(shù)據(jù)的高效率管理與檢索，實現(xiàn)了對監(jiān)控視頻數(shù)據(jù)全生命周期的安全管控。

1 預備知識與問題描述

1.1 監(jiān)控視頻系統(tǒng)模型

圖1為監(jiān)控視頻系統(tǒng)部署圖，該系統(tǒng)主要包含3個部分：視頻采集設備、存儲設備和視頻處理/播放服務器。其中視頻采集設備中對視頻數(shù)據(jù)的加密模塊和視頻處理/播放服務器中對密文視頻數(shù)據(jù)的解密模塊采用同一個密鑰管理系統(tǒng)。該密鑰系統(tǒng)包含身份認證模塊、密鑰管理模塊、密鑰分級處理模塊、密鑰派生模塊[7]、密鑰存儲模塊以及密鑰銷毀模塊，主要用于密鑰的生成、分發(fā)、管理等，為視頻采集設備、播放設備提供加解密服務。用戶訪問密文視頻資源時，根據(jù)該視頻內(nèi)容等級對用戶進行細粒度權限鑒別，鑒別成功后派發(fā)相應密鑰解密密文視頻數(shù)據(jù)。

圖1 監(jiān)控系統(tǒng)部署

1.2 問題描述

通過對目前監(jiān)控視頻實時加密所采用的傳統(tǒng)無差別加密方案研究分析，該傳統(tǒng)方案存在以下問題：

(1)區(qū)域內(nèi)的整路監(jiān)控視頻均采用統(tǒng)一的加密算法，未對用戶與視頻內(nèi)容進行細粒度分級管理；不僅使得處理數(shù)據(jù)量與加密延時較大，而且該區(qū)域內(nèi)擁有權限的用戶能訪問操作所有的視頻數(shù)據(jù)，導致整路視頻安全防護和管理效率不高的問題。

(2)無差別加密算法中未引入監(jiān)控視頻中的相關屬性作為算法參數(shù)，導致密鑰安全性低和視頻數(shù)據(jù)檢索效率較低的問題；且該算法未引入等級屬性，不能實現(xiàn)用戶和視頻數(shù)據(jù)之間的對應關系。

為解決上述問題，提出一種基于國密SM3的多級密鑰派生方案。該方案有以下改進策略：①設計多級密鑰管理系統(tǒng)：按照多種屬性對用戶與視頻數(shù)據(jù)劃分等級，將劃分的等級按照偏序關系生成對應的多級密鑰管理樹；②優(yōu)化多級密鑰派生算法：密鑰派生算法中引入用戶等級，并將視頻數(shù)據(jù)中的多種屬性作為算法參數(shù)，利用Hash函數(shù)SM3的單向性由上級密鑰單向映射得到下級密鑰，生成多級密鑰。

1.3 SM3密碼雜湊算法

派生多級密鑰采用是國密SM3雜湊算法[8]，下面對該算法進行簡單介紹。SM3密碼雜湊算法是我國自主設計的密碼雜湊算法，適用于數(shù)字簽名[9]、驗證消息認證碼的生成與驗證以及隨機數(shù)的生成，可滿足多種密碼應用的安全需求。此算法對輸入長度小于2的64次方的比特消息，經(jīng)過填充和迭代壓縮，結果生成長度為256比特的雜湊值。因此，由SM3生成的密鑰安全能夠得以保證。

2 多級密鑰派生方案設計

多級密鑰管理的核心思想是為用戶分配管理視頻數(shù)據(jù)的合理權限，即為視頻數(shù)據(jù)集合中元素派生等級密鑰加密視頻數(shù)據(jù)，只有擁有權限的用戶能訪問加密的視頻數(shù)據(jù)，實現(xiàn)用戶集合與視頻數(shù)據(jù)集合之間的等級管理。

為方便分析，引出以下定義：

定義1 有n個結點的有限集合稱為樹。當n=0時，稱為空樹；當n>0時，稱為非空樹，其特點為：

(1)根結點有且僅有一個；

(2)其余結點可分為m(m>0)個互不相交的有限集合T1、T2、…、Tm，其中每一個集合本身又是一棵樹，并且稱為根的子樹。

定義2 R是集合A上的一個二元關系反性、反對稱性和傳遞性，則稱R為A上的偏序關系，通常記作≤。若K1≤K2，則K1與K2存在偏序關系，也稱K1排在K2前面(K1precedesK2)。

2.1 密鑰管理方案設計

2.1.1 用戶管理方案

多級用戶管理方案中，可以用集合LU來描述擁有權限的用戶，LU={LU1,1,LU2,1,…,LUi,j,…}，其中LUi,j為管理權限是第i級中第j個區(qū)域的用戶群組。各個用戶群組之間存在的等級管理權限可用偏序關系表示，利用偏序關系建立用戶等級樹模型，如圖2所示，是一棵深度為3的非空樹，其中LU1,1為根用戶群組，并包含3棵子樹；該樹的同一子樹中，祖先級用戶群組對子級用戶群組有直接訪問權限，即解密查看子級密文視頻數(shù)據(jù)，反之則不成立，顯然，根用戶群組能夠訪問所有的子節(jié)點用戶群組。不同子樹之間的用戶群組不能直接訪問，更沒有操作管理權限；若某一用戶群組要訪問其沒有權限的密文視頻數(shù)據(jù)，則需對被訪問數(shù)據(jù)的管理用戶群組提出申請，經(jīng)同意后該用戶方可訪問被訪問用戶群組允許其能訪問的相關視頻數(shù)據(jù)；被訪問用戶群組可設置視頻數(shù)據(jù)訪問的時間、次數(shù)、地理位置等參數(shù)，用以控制訪問用戶群組的訪問行為。

圖2 用戶等級密鑰

圖2中LK可描述用戶等級密鑰，其中，LK={LK1，1,LK2，1,…,LKi,j,…}與LU集合中的用戶群組一一對應，即LKi,j為LUi,j的密鑰。該等級密鑰樹的派生算法中，通過將父節(jié)點密鑰值和子節(jié)點狀態(tài)值作為密鑰派生的參數(shù)，來計算出各子節(jié)點的密鑰值。即計算密鑰樹中第i層中第j個節(jié)點對應的密鑰值為：LKi,j=LKi-1,j,SLi,GAi,j。其中，LKi-1,j為LKi,j父節(jié)點對應的密鑰值，為已知密鑰，SLi為第i層安全等級因子，GAi,j為安全等級i中第j個區(qū)域因子，這里使用SLi、GAi,j是為了保證樹中各個用戶群組密鑰值的互不相同。

2.1.2 視頻數(shù)據(jù)管理方案

基于多級用戶管理方案，將視頻數(shù)據(jù)按照監(jiān)控視頻的時域和空域雙維度特性以及人/設備/機構等多種屬性進行等級劃分，設計多級視頻數(shù)據(jù)管理系統(tǒng)，該系統(tǒng)應當建立與用戶管理系統(tǒng)一致的樹模型，使其能夠?qū)崿F(xiàn)用戶集合與視頻數(shù)據(jù)集合的完全映射，完成用戶對視頻數(shù)據(jù)的等級管理。該系統(tǒng)中的視頻數(shù)據(jù)可用集合LD來描述，LD={LD1,1,LD2,1,…,LDi,j,…}，其中LDi,j為安全等級是第i級中第j個區(qū)域的視頻數(shù)據(jù)，LUi,j為LDi,j直接操作管理者。

根據(jù)視頻數(shù)據(jù)管理模型，為視頻數(shù)據(jù)節(jié)點派生密鑰構建視頻數(shù)據(jù)等級密鑰樹。該管理方案中，必須事先明確規(guī)定分級視頻的標準接口，包括視頻的標識符、視頻產(chǎn)生設備的標識符、視頻的內(nèi)容等級、視頻產(chǎn)生的時間。生成視頻數(shù)據(jù)等級密鑰時，以用戶等級密鑰值與視頻多種屬性作為算法參數(shù)，派生多級視頻數(shù)據(jù)加密密鑰，使用戶和視頻數(shù)據(jù)的等級一一對應，完成用戶集合密鑰與視頻數(shù)據(jù)集合密鑰的完全映射。即計算密鑰樹中第i層中第j個節(jié)點對應的密鑰值為：DKi,j=LKi,j,HKt,t,HIi,j；其中，t為視頻采集時間，HKt為根密鑰，HIi,j為視頻采集設備ID,可用集合HI來描述，HI={HI1,1,HI2,1,…,HIi,j,…}，HIi,j為LDi,j的設備ID。視頻數(shù)據(jù)密鑰可用集合DK來描述，DK={DK1,1,DK2,1,…,DKi,j,…}，DKi,j為LDi,j的密鑰。

2.1.3 動態(tài)管理

實際應用中，用戶集合中的用戶是動態(tài)的，即存在用戶加入或者離開等情況。若用戶集合變化，與之對應視頻數(shù)據(jù)的管理權限也發(fā)生改變，則需要動態(tài)更新用戶等級密鑰與視頻數(shù)據(jù)密鑰，以保證用戶密鑰以及視頻數(shù)據(jù)的安全。下面將具體分析這兩種情況。

(1)新增用戶

當新增用戶LUm,n時，需判斷該用戶是否包含子節(jié)點。若沒有子節(jié)點，則根據(jù)偏序關系直接加入到父級節(jié)點LUm-1,x后，并為其派生用戶密鑰：LKm,n=LKm-1,j,SLm,GAm,n，以及管理的視頻數(shù)據(jù)密鑰：DKm,n=LKm,n,HKt,t,HIm,n；若包含子節(jié)點，該用戶按照偏序關系加入到等級樹后，再將子節(jié)點加入其后，并為LUm,n派生用戶密鑰與視頻數(shù)據(jù)密鑰，且子節(jié)點用戶密鑰與該子節(jié)點管理的視頻數(shù)據(jù)密鑰必須更新。

(2)刪除用戶

當用戶LUi,j離開用戶等級樹時，也需判斷是否包含子節(jié)點。若沒有子節(jié)點，則只需刪除密鑰樹中LKi,j，那么與之對應的視頻數(shù)據(jù)密鑰更新為：DKi,j=LKi-1,j,HKt,t,HIi,j，即父節(jié)點直接管理該視頻數(shù)據(jù)；若刪除的用戶包含子節(jié)點，將該節(jié)點的視頻數(shù)據(jù)權限交給父節(jié)點，并將其子節(jié)點LUi+1,y與父節(jié)點LUi-1,x建立偏序關系，并更新子節(jié)點用戶密鑰：LKi+1,y=LKi-1,x,SLi+1,GAi+1,y，以及視頻數(shù)據(jù)加密密鑰：DKi+1,y=LKi+1,x,HKt,t,HIi+1,y。

2.2 多級密鑰派生算法

2.2.1 用戶密鑰派生

用戶群組之間的偏序關系，可利用Hash函數(shù)SM3單向特性實現(xiàn)。上級密鑰可以通過SM3算法單向映射得到下級密鑰，從而上級用戶群組擁有訪問下級用戶群組數(shù)據(jù)的權限，但下級密鑰無法由單向函數(shù)映射原值推出上級密鑰，也就是說，下級無法獲取上級用戶群組相應的數(shù)據(jù)資源，符合用戶管理方案的要求，實現(xiàn)了用戶群組之間的多級管理。下面以用戶集合LU={LU1,1,LU2,1,LU3,1}為例派生多級用戶密鑰。

步驟1 密鑰管理中心(key management center，KMC)派生隨機參數(shù)作為LU1,1的密鑰值LK1,1。

2.2.2 視頻數(shù)據(jù)密鑰派生

派生多級視頻數(shù)據(jù)密鑰時，可同理多級用戶密鑰派生，利用單向函數(shù)SM3實現(xiàn)。將時間t、根密鑰(HKt)與視頻采集設備ID作為視頻數(shù)據(jù)密鑰派生的參數(shù)，即在不同時間段生成不同密鑰，保證加密視頻的安全性；引入用戶等級作為視頻數(shù)據(jù)派生算法的參數(shù)，不僅實現(xiàn)視頻數(shù)據(jù)的等級安全加密，而且滿足了用戶與視頻數(shù)據(jù)等級之間的權限管理。下面以視頻數(shù)據(jù)集合LD={LD1，1,LD2，1,LD3,1}為例派生多級視頻數(shù)據(jù)密鑰。

2.3 更新流程

經(jīng)多級管理方案與密鑰派生算法優(yōu)化改進后，視頻分級加密、身份認證及訪問分級密文視頻的流程也得到相應更新，視頻加密流程如圖3所示。

圖3 視頻加密過程

視頻分級加密流程：

步驟1 由前端視頻設備采集得到實時明文視頻，按照時域和空域雙維度特性以及人/設備/機構等多種屬性進行細粒度分級，劃分具有安全等級的視頻流。

步驟2 將安全分類后的視頻數(shù)據(jù)通過視頻采集設備中內(nèi)置的密鑰派生模塊，為該視頻數(shù)據(jù)派生等級密鑰。

步驟3 將得出的等級密鑰對采集的實時視頻數(shù)據(jù)加密，生成具有安全等級的密文視頻數(shù)據(jù)。

步驟4 把加密后的密文視頻數(shù)據(jù)按照圖4中視頻數(shù)據(jù)封裝格式進行封裝，并將封裝后的密文視頻數(shù)據(jù)傳輸至后臺存儲設備或者處理播放設備進行存儲。

圖4 視頻封裝格式

步驟5 若密文視頻數(shù)據(jù)密鑰失效，需返回步驟2對該視頻重新派生加密密鑰；其中，針對步驟5中的密鑰失效，造成原因有兩種：①預設密鑰有效期：預設密鑰有效期用于密鑰在有效期到期后被刪除，即加密密鑰有一定的生命周期；②加密密鑰泄露：若密文視頻密鑰不慎泄露，該視頻數(shù)據(jù)則需重新派生加密密鑰。

身份認證及訪問分級密文視頻流程如圖5所示。

圖5 身份認證及分級視頻密鑰獲取流程

步驟1 用戶訪問視頻資源時，需通過認證平臺PKI/CA[10]系統(tǒng)認證其身份合法性，并返回其認證是否通過消息；該系統(tǒng)采用雙因子(口令+數(shù)字身份證書)方式實現(xiàn)身份鑒別，有效防止冒充、增強可靠性。

步驟2 若認證身份合法，認證平臺將通過統(tǒng)一授權管理平臺為用戶授權訪問數(shù)據(jù)庫權限；統(tǒng)一授權控制管理是建立在統(tǒng)一用戶目錄管理的基礎之上，并在統(tǒng)一密鑰管理平臺的管理下對分級密鑰資源進行統(tǒng)一的授權。

步驟3 用戶成功獲取訪問數(shù)據(jù)庫權限后，便可通過相關部門視頻管理平臺獲取密文視頻資源；

步驟4 用戶獲收到密文視頻資源后，需發(fā)送時間段信息、設備ID到統(tǒng)一密鑰管理平臺；該管理平臺通過發(fā)送的信息查詢設備密鑰，查詢成功后通過安全信道返回對應密鑰。其中，步驟4又分為以下幾個步驟，視頻解密算法流程如圖6所示。

圖6 視頻解密算法過程

(1)若用戶成功獲取到查看的密文視頻數(shù)據(jù)，解密端(BC)根據(jù)用戶要查看的密文視頻數(shù)據(jù)獲取設備ID和時間t；

(2)將獲取的設備ID和時間t發(fā)送到KMC，請求數(shù)據(jù)解密密鑰，KMC通過發(fā)送的信息查詢該視頻是否存在；

(3)KMC查詢到視頻信息后，根據(jù)時間t、視頻屬性和設備根密鑰計算中間值tmp，并返回給BC；

(4)BC根據(jù)當前LKi,j和tmp，計算得出視頻數(shù)據(jù)加密密鑰DKi,j；

(5)BC使用加密密鑰DKi,j進行解密，若解密不成功，判斷用戶是否有解密此視頻得權限，若擁有權限返回(1)重新解密，否則申請數(shù)據(jù)共享。其中，針對解密不成功，造成原因有兩種：①用戶發(fā)送的時間t或設備ID等參數(shù)錯誤，與查看的視頻參數(shù)不匹配，這種情況下，需重新發(fā)送驗證信息；②用戶沒有查看該視頻數(shù)據(jù)的權限；若要繼續(xù)查看視頻，則該用戶需向被訪問用戶提出共享訪問申請，經(jīng)同意后方可訪問被訪問用戶允許其能訪問的相關視頻數(shù)據(jù)，被訪問用戶可設置視頻數(shù)據(jù)訪問的時間、次數(shù)、地理位置等參數(shù)，用以控制訪問用戶的訪問行為。

步驟5 用戶解密該視頻并進行觀看。

3 方案分析

3.1 安全性分析

本文的安全性主要從兩個算法分析：①加密算法SM3；②多級密鑰派生算法。其中多級密鑰派生算法還需要考慮：①反向攻擊；②外部竊取攻擊。

3.1.1 SM3分析

世界上應用最廣泛的兩大密碼算法MD5和SHA-1都已被攻破，且SM3和SHA-256算法均是64步；所以本文僅對能夠真實反應兩者安全性強度的關鍵指標進行比較。①在關鍵指標[11]局部碰撞、碰撞攻擊、原象攻擊和區(qū)分攻擊等SM3抗攻擊能力均強于SHA-256；②SM3算法的壓縮函數(shù)采用帶循環(huán)移位的P置換作為加強消息雪崩的基本運算，結合并行雙字介入結構，增加混亂及擴散的速度，不僅保證算法的實現(xiàn)效率，而且提高算法的安全性。

文獻[12]研究給出了29步SM3算法的原根攻擊，雖然SM3算法29步不能有效抵抗原根攻擊和偽碰撞攻擊，但完整SM3算法的快速攻擊能力能夠抵抗各種已知攻擊能力。文獻[13]提出了減小到32輪SM3密碼雜湊算法的原像攻擊以及33輪的偽碰撞共攻擊方法；此攻擊方法主要基于中間相遇攻擊和biclique等技術達到對SM3算法32步的原像攻擊的時間復雜度為2251，存儲復雜度為25；對SM3算法33步的偽碰撞攻擊的時間復雜度為2126.7，存儲復雜度為23。這些攻擊方法不能對64輪的SM3算法構成威脅。綜上所述，目前利用SM3算法加密的密文視頻是相對安全的。

3.1.2 密鑰派生分析

(1)反向攻擊

在本方案中，用戶等級密鑰LKi,j與視頻數(shù)據(jù)等級密鑰DKi,j均利用Hash函數(shù)SM3派生而來；此派生算法由上級密鑰通過SM3單向映射得到下級密鑰，但下級密鑰無法由單向函數(shù)映射為原值，即下級密鑰無法推出上級密鑰，保證了LKi,j不能直接訪問LKi-1，j的密文視頻數(shù)據(jù)DKi-1,j。

(2)外部竊取攻擊

假設LKi-1,j的密文數(shù)據(jù)DKi-1,j被攻破，若攻擊者要利用LKi-1,j解密下級密文數(shù)據(jù)DKi,j；根據(jù)解密算法，即使攻擊者獲取了上一級數(shù)據(jù)密鑰也無法得知HKt、HIi,j，所以無法計算出DKi,j的密鑰；故攻破系統(tǒng)某一節(jié)點對整個系統(tǒng)的影響微乎其微。

3.2 性能分析

3.2.1 存儲分析

本方案中，外部授權實體需要存儲的參數(shù)需求是本文考慮的重點。從密鑰樹模型中可得到密鑰管理系統(tǒng)中每個節(jié)點的密鑰儲存量，即每個節(jié)點用戶僅需存儲一個密鑰數(shù)據(jù)即可；這里傳統(tǒng)方案指傳統(tǒng)無差別加密方案。從表1可以看出，相比傳統(tǒng)的存儲方案，本文所提方案大大減小了密鑰存儲開銷。其中，i表示安全等級，X(i)表示在第i級中用戶群組數(shù)，m表示安全等級總數(shù)。

表1 存儲開銷比較

以用戶群組為[5,10,15,20,25,30]為例，計算密鑰樹的存儲開銷與傳統(tǒng)方案存儲開銷的百分比，由圖7可以看出，隨著用戶群組個數(shù)增加，存儲開銷減少越來越明顯。

圖7 存儲開銷對比

3.2.2 效率分析

假設只考慮加密視頻數(shù)據(jù)的計算量，本方案實現(xiàn)的視頻數(shù)據(jù)多級密鑰管理系統(tǒng)中，派生數(shù)據(jù)密鑰需串聯(lián)用戶等級，密鑰生成階段比傳統(tǒng)方案多一次串聯(lián)運算，這使得本方案比傳統(tǒng)方案計算效率要低，但這是對密文視頻數(shù)據(jù)高效管理與安全性必要的折衷。若考慮海量視頻的高并發(fā)、高通量的需求，該方案中將監(jiān)控域分成不同等級區(qū)域塊，能夠完成大規(guī)模數(shù)據(jù)的高效率加密。檢索方面，用戶能根據(jù)視頻數(shù)據(jù)特有屬性快速檢索到該密文視頻，大大提升了檢索效率。

4 結束語

本文提出的基于國密SM3多級密鑰派生方案中，采用樹作為密鑰派生結構，不僅解決了海量視頻的高并發(fā)、高通量需求，而且用戶只需存儲一個密鑰數(shù)據(jù)，大大降低了存儲開銷。同時實現(xiàn)了對實時監(jiān)控視頻數(shù)據(jù)進行分級管控，解決了傳統(tǒng)方案存在的安全與管理復雜問題，提高了數(shù)據(jù)的檢索效率。性能分析結果表明，該方案的安全性、檢索效率和管理效率都得到提高。下一步將考慮在本方案基礎上結合視頻內(nèi)容的細粒度分級授權對多級密鑰管理方案進一步研究，以適用于特殊權限用戶群組對等級視頻數(shù)據(jù)管理，按照改良后的管理方案對多級密鑰派生算法進行優(yōu)化調(diào)整。