视频监控安全性分析

■ 文/周迪　浙江宇视科技有限公司

账户管理

目前很多安防公司普遍采用的私有DDNS 方案的大致架构是：企业在公网部署一个官方网站，用户的前端设备放置在SOHO 路由器的内网，通过uPNP 协议或手工静态配置让路由器将其服务端口映射到公网，并向网站进行注册，的用户后端设备（PC、手机、解码器等）向网站获取前端设备的公网IP 地址和服务端口号，便可向其发起访问。此时，用户登录内网前端设备所要输入的

账号通常就是设备本身的账号，对于这个账号用户潜意识地以为处于内网的设备是安全的而不会被及时更改；另一方面，很多网站要求设备名全局唯一，这样黑客就可以很轻松地获得大量在用的设备名，并以缺省账号登录设备窃取实况和录像视频。

从理论上讲，任何连接入网的设备都存在被攻击的风险，用户应该养成及时修改缺省密码的习惯，而且密码设置不能太过简单。以目前很常见的双核计算机为例，如果破解纯数字

的6位密码只需几秒钟，那么破解“数字+字母+特殊符号”的6位密码只需要22个小时，而破解“数字+字母+特殊符号”的8位密码则需要23年——当然实际破解所需时间还与产品具体登录流程的设计相关，但破解难度大致呈上述比例。所以密码设置应至少采用 “数字+字母+特殊符号”的8位字符串。对企业来说，系统设计应该引导用户及时修改默认账号和密码，并对密码的强度做出一定的。

2014年3月27日，电视台报道了多起黑客利用家庭监控设备的漏洞将视频泄露至网上的事件，引起了大家的高度关注。相信在这之前不少专家早已预料到事情会有发生的一天，因为熟悉网络的人士只要稍微研究一下目前安防界普遍采用的为远程访问摄像机、录像机而设计的所谓私有DDNS 系统，就不难发现其存在的巨大安全隐患。隐患转化为现实灾难的条件之一当然是用户未及时修改设备的缺省密码，或将密码设置得过于简单，但是企业也不能把责任完全推脱给用户，设计方案和系统时必须充分考虑普通民众的默认习惯及其可能引发的安全风险。本文就民用安防普遍存在的安全隐患和方案以及策略作探讨，以期抛砖引玉。

栏目主持：李红莲 E-mail：798681813@qq.com

网络防范

黑客入侵的前提是设备和客户端联入互联网，联网的入口通常是一个SOHO级路由器，通过NAT（网络地址转换）特性联入运营商网络。它是抵御攻击的第一道防线，需要用户认真规划部署，企业设计方案时也应该充分考虑用户网络的安全性。

NAT特性有四个运行模式：完全锥型、地址锥型、端口锥型、对称型，它们的安全级别依次提升。完全锥型很不安全，因为只要内网的设备曾经访问过的一台设备，那么的任何设备都可以访问该内网设备的对应业务端口；地址锥型也不够安全，只要内网的设备曾经访问过的某台设备，该设备的任何进程均可以访问该内网设备的对应业务端口；后两种模式相对安全，只有设备的对应进程才可以访问内网设备的对应业务端口。

然而可怕的是，目前网上大部分的SOHO路由器都采用了完全锥型模式。更为可怕的是，安防界普遍采用的私网DDNS方案要求SOHO路由器开启uPNP协议或手工配置来映射业务端口，这就意味着，即使内网设备未曾访问的任何设备，任何设备均可以直接访问内网设备的对应业务端口，其安全级别比完全锥型的NAT模式还要低。

没有最不安全，只有更不安全。

有些SOHO路由器因为存在质量问

题，或者安防集成商对IT网络比较

陌生，会直接将路由器配置成DMZ

模式。这意味着对应的内网设备完全

被暴露在了——uPNP模式尚且

只是对外暴露了对应的业务端口，而

DMZ模式则干脆将内网设备的所有

业务端口完全暴露了，“裸奔”是非

常危险的。用户应该尽量选择端口限

制型的NAT模式（一般不推荐对称

模式的NAT，因为很多应用需要执

行NAT“打洞”，对称模式的NAT

不具有NAT友好性，给“打洞”带

来困难），禁用DMZ特性，尽量不

启用uPNP特性（除非游戏等应用必

须开启），此外强烈建议关闭WAN

口登录的功能。对于企业来说，功能

设计时尽量避免要求用户网络开启

uPNP等特性，将麻烦留给自己，把

安全留给用户。

视频传输和存储

谈起民用视频监控，很多用户最

担心的是视频被窥视、盗窃和非法传

播，导致隐私泄露。相对于模拟时代

的监控，数字监控要安全得多，但风

险依然存在。解决问题最直接的方法

就是对视频进行加密：加密传输、加

密保存。

目前常见的方案分为两类：

DRM（数字内容的版权管理）和CA

（有条件接收）。DRM的工作原理是：

建立数字节目授权中心，编码节目内

容时即进行加密（一般采用公钥），

数字节目头部存放着KeyID和节目

授权中心的URL，用户点播时根据

KeyID和URL信息向授权中心获得

解密密钥（即对应的私钥），节目方

可播放。DRM加密了内容，所以不

管是实况视频还是回放视频或是本地

下载的视频，没有解密密钥根本无法

观看，从而避免了窃听和非法传播的

隐患。CA的工作原理是：发送端用

随机码发生器产生一个随机码（称为

控制字CW）对节目信号进行加扰，

然后对控制字进行加密（通常用公

钥），加密后的控制字复用到视频流

中传送给接收端，接收端从智能卡中

获得解密密钥（即对应的私钥）解码

出控制字，再用控制字对视频进行解

扰获得正常视频。DRM和CA各有

偏重，前者基于文件加密，在发送端

保存的就是加密后的文件，支持复杂

的授权规则，比如只看不许录等，需

要双向交互；后者是基于传输层的加

密，服务器保存的是未加密的视频，

播出时才加密，不支持复杂的授权规

则，无需双向交互。DRM和CA可

以一起使用，事实上它们也在相互借鉴、相互融合。

落地到民用视频监控，架构模型稍有不同：视频产生方和接收方均在用户这里，而提供协调的企业网站处于公网，这与音乐电影的版本管理模式以及数字电视的广播模式稍有区别。此外，用户的监控系统不一定联入互联网。针对产品的定位特点，企业在设计系统时需要灵活参鉴，变通设计。

对于民用视频监控而言，灵活的授权规则也是一个重要的功能。当我们进行视频共享时，对直系亲属的授权通常会多一些，而对邻居朋友可能会多一些，例如只允许其实况而不允许其回放或下载，此外共享的时间段也是一个现实的授权需求。

密码管理

密码管理是一个复杂的问题，尤其对于民用安防需要同时兼顾其安全性和易用性，必须人性化的解决用户日常使用的问题。

首先，如何让用户管理密码？如果让用户给设备配置一个密码，而解码端依旧需要输入解密密码，那么他共享给他的亲朋好友是否也要输入解密密码？这样难免导致解密密码的不可控制的扩散。一个好的系统中，解码密钥应该由系统来统一控制，无需

用户手工输入，最好是用户根本不知

道加解密的密码，从而杜绝泄露扩散

的可能性。

其次，密码如何传输？CA系统

的解密密码是保存在硬件中的，不存

在传输，比较安全，但是民用视频监

控不可能这样设计，因为如此设计会

影响灵活性，成本也会高很多。交互

是必须的，但可以不是最终的密码，

否则难免被拦截窃取。

再次，密码如何保存？密码绝

对不可以明文形式保存于任何一个节

点，即使是用来生成密码的种子也应

该进行加密，这样即使设备被窃，视

频也无法破解。加解密的密码最好是

动态变化的，这样可以大大增加黑客

破解的难度。

最后，为了支持第三方播放器的

播放需求，比如将关键录像作为证据

提交给机关，系统必须提供转码

功能允许用户将加密视频转换成非加

密视频。

终极方案

如果上面几个方面都做到位了，

我们是否可以高枕无忧了呢？其实还

有两个隐患，当然发生的可能性要小

很多。一是不小心让黑客在你的客户

端植入了木马，这意味着客户端的整

个解码过程都暴露在了他的面前，但

除非他破译了推算真实密码的完整算

法（例如通过反编译），否则他还是

无法获得真实密码来破解视频；二是

企业的内鬼捣乱，由于整个方案系统

是由企业提供的，它拥有相关的信息，

理论上可以为所欲为，这与银行必要

时可以不经你同意处理你的账户是一

个道理——所以企业内部必须实行内

控，用户信息必须加密存储，若需解

密起码需经两级主管的密码输入方可

授权进行，这与核武器的管理模式类

似。选家用安防产品应尽量选择有品

牌保证信誉好的大公司，因为他们视

企业形象和名誉如生命。

说到这里，是不是感觉隐私无法

保障，处处都可能被侦听？其实，无

法被侦听的方案是有的，只是离我们

民用产品的应用尚需要一小段时间，

它就是量子通信。量子通信听起来可

能让人觉得很高深，其实不是那么莫

测。量子通信具有绝对不可破译的秘

密传输的特点，这得益于量子的两个

有趣的特性：

一是同源的几个光子（称为

EPR对粒子）具有相互纠缠的特性，

即使它们相距十万八千光年，一旦一

个光子的状态发生改变，另一个光子

栏目主持：李红莲 E-mail：798681813@qq.com

也瞬间跟着作相应改变，这是经过无数科学实验验证的事实。

二是量子态的不可克隆特性，即无法测量粒子的量子态，一旦被测量量子态即刻塌缩，原有的信息丢失。如同一枚旋转中的硬币，一旦碰触原来的状态即可发生改变，得到只是正面或反面的两个坍缩后的状态之一。

量子通信的商用目前主要有两种模式，一是量子密码通信，二是量子传态。

量子密码通信是以EPR对粒子的量子态作为密码，利用EPR对粒子实现超远距离的密码传输具有同步性和不可被侦听性，以量子态作为密码保存具有不可被测量性。这就很好地解决了密码传输和保存的安全性，杜绝了客户端的木马和企业的内鬼读取用户密码的可能性。

量子传态不涉及信息的加密，而是将原始数据（可以以量子态

存在，我们平时接触的信息称为经典

态，经典态是量子态的一个特殊状态）

的信息巧妙地传递到接收者那里，而

中间传输的信息即使被侦听也无法恢

复出原始的数据信息。其原理框架是：

发送方和接收方各获得第三方机构颁

发的EPR对的其中一个纠缠粒子，

发送方对原始信息的量子态和他手里

的那颗纠缠粒子做联合量子测量，获

得坍缩后的一个经典态结果，这个结

果通过传统途径（电子邮箱等）发送

给接收方，接收方对收到的结果和他

手里的纠缠粒子进行相应的量子变

换，即可恢复出原始的数据信息。在

这种应用模式中，接收端的木马和企

业内鬼由于无法读取恢复数据所需的

纠缠粒子的量子态，也就无法解码出

原始的信息。

我们常说的安全性其实有两种标

准：计算安全性和无条件安全性。前

者指密码系统在原理上是可破译的，

但是窃听者破译所需要的时间（计算）

资源是无限的；后者指密码系统在原

理上就是不可破译的。目前流行的加

密手段都属于前者，而量子通信属于

后者。事实上，一旦等量子计算机商用，

依靠计算安全性的安全系统就完全成

为摆设了，量子通信在目前的物理学

认知范围内是最可靠的解决方案。

结束语

视频监控为安居宜居提供安全

保障的同时，监控视频本身的安全保

障也就成为了一个相伴相生的重大课

题。我们谁也不希望过着没有隐私的

生活，因此视频监控厂家在为用户提

供各种监控产品的同时，系统的安全

性也是宇视孜孜不倦追求的目标。下载本文