可信云存儲環境下基于銀行攝像頭安全的密鑰管理方法與系統研究

曹曉雯，崔維亮

（江蘇大學，江蘇 鎮江 212013）

金融行業視頻監控逐步進入了集數字化、網絡化、高清化為一體的新模式，隨之面臨的問題是視頻數據呈現爆炸式的海量增長，對海量數據的快速存儲和檢索的需求顯得尤為重要。針對金融行業監控系統的攝像頭安全問題，本團隊提出了可信云存儲環境下基于銀行攝像頭安全的密鑰管理方法與系統。在視頻監控系統和云存儲[1]集成的同時，系統必須保證兩大基本需求：首先，利用云存儲自身的優點，對監控系統實現靈活、高效的擴展性管理。其次，必須要保證視頻云存儲的安全，包括存儲在云端的視頻資源以及攝像頭權限管理和登錄訪問，實現真正的高度管理和高度智能。

針對上述問題，本團隊采用基于全局邏輯層次圖[2]（Global Logical Hierarchical Graph，GLHG）的密鑰推導機制密鑰管理方法，通過GLHG密鑰推導圖，來安全、等價地實施全局用戶的數據訪問授權策略，充分利用云的特性，借助云服務提供商（Cloud Service Provider，CSP）執行推導結構圖的管理，并引入基于ElGamal的代理重加密技術[3]，進一步提高密鑰管理的執行效率，高效率、高安全性地完成對各視頻資源的權限處理。

為了解決IP掃描技術控制網絡攝像頭的問題，將攝像頭統一接入云，用云來實施統一控制，攝像頭沒有對外開放的端口，使得IP爆破成為不可能。為了保障攝像頭資源可以安全傳輸到云，采用安全傳輸層協議（Transport Layer Security，TLS）協議。為了進一步滿足金融行業視頻監控系統的高度安全需求，不主張采用口令登錄，而是采用私鑰認證的辦法，通過類似于Secure Shell（SSH）的雙向認證方式，驗證用戶的合法性。

本文首先介紹系統模型以及安全假設，然后描述系統采用的相關技術的具體實現過程，隨后提出了各模塊的具體算法和代碼設計，最后通過仿真和實驗分析論證了模型的正確性、合理性。

1 相關算法

數據的機密性是云存儲環境下的難點問題。為了實現可信云存儲環境下安全、高效的多用戶密鑰共享，很多研究者對以數據擁有者為中心的基于邏輯層次圖（Logical Hierarchical Graph，LHG）機制進行了優化和拓展[4-7]，但都是基于單數據擁有者模式下的數據外包機制，對于可信云存儲環境下多用戶共享數據的情形，無法解決密鑰管理代價太大的問題。程芳權等[8]提出的基于GLHG的密鑰推導機制密鑰管理方法，很好地為上述問題提供了解決辦法。本文借鑒了程芳權等提出的GLHG機制來實施密鑰管理，并在此基礎上改進GLHG中代理重加密的算法，使用基于ElGamal的代理重加密技術，進一步優化GLHG機制。

TLS協議是基于會話的加密和認證Internet協議，用于在兩個通信主體間提供安全通信信道，由TLS記錄協議和TLS握手協議兩層組成。本文提出的視頻監控系統中，視頻資源向云端的傳輸將依照TLS協議執行，以保障視頻數據傳輸過程的安全性和高效性。

本文還提出了類似于SSH認證協議的基于私鑰的雙向認證方法，以解決弱口令登錄被IP掃描爆破的問題，具體實現將在下文詳述。

2 系統模型和安全假設

為了將職員監管職責的效益最大化，同時，保證各自權限的合理合法性，本團隊將銀行監控區域化，假設區域1，d1有攝像頭c1—c4；區域2，d2有攝像頭c5—c8，以此類推，并將監控攝像頭統一接入到云端，攝像頭拍攝到的視頻資源上傳到CSP，在上傳過程中嚴格遵守TLS協議，來保障視頻資源的保密性。對于訪問用戶對攝像頭的登錄問題，采用基于私鑰的雙向認證方式，防止非法用戶的入侵?？尚旁拼鎯Νh境下基于銀行攝像頭安全的密鑰管理方法與系統如圖1所示。

3 系統關鍵技術

3.1 私鑰認證

本團隊決定利用RSA算法，雙向認證使得管理員可在任意安裝私鑰的設備上管理網絡攝像頭，既免去了記憶密碼的代價，同時保證了網絡攝像頭不會遭到云端其他用戶的攻擊，具體的密鑰協商步驟如圖2所示。認證過程和Linu x SSH公鑰認證類似，通過雙向認證保障傳輸過程中避免遭到中間人攻擊，同時，避免弱口令帶來的安全威脅。

3.2 密鑰管理

3.2.1 GLHG的構建

假設銀行現有監管職員A—G，各區域如ATM網點、前臺、重要金庫等的攝像頭監控區域為d1—d14。根據職員權責，如不同層級職員的權限更新、遠程業務需求等，得到如圖3所示的視頻數據資源全局訪問控制矩陣。

3.2.2 GLHG的動態更新策略實現

在銀行等重點部門，職員的權限變更和因職務而產生的權限調度時有發生，因而對密鑰管理機制的動態更新策略提出了更高的要求。本文以基于GLHG的動態訪問控制策略為主要更新機制，并且引入新的基于ELGamal的代理重加密技術，來完成更加高效、準確的密鑰更新，以適應由于銀行部門監控點的變更、新增引起的相關職員管理權限的變化。GLHG的密鑰更新具體執行如下：

步驟1，云端CSP執行GLHG的更新，包括新增節點的插入和已有節點的刪除。

步驟2，可信前端各用戶KM用戶執行密鑰值相關的更新操作，包括相關密鑰值的安全生成、傳輸以及相關密鑰推導關系值得生成，并提交CSP公開發布。

3.3 TLS協議傳輸

TLS是建立在傳輸層TCP協議之上的協議，服務于應用層，前身是安全套接字層（Secure Socket Layer，SSL），實現了將應用層的報文進行加密后再交由TCP進行傳輸的功能。TLS協議的實現分為兩部分：第一部分，使用客戶端和服務端協商后的秘鑰進行數據加密傳輸；第二部分，客戶端和服務端進行協商，確定一組用于數據傳輸加密的秘鑰串。

圖1 密鑰管理方法與系統的設計模型

圖2 私鑰認證流程

圖3 職員A—G對于監控區域d1—d14監管權限的全局訪問控制矩陣

4 安全性分析

該系統的安全性通過以下保障得以實現：

保障1，該系統使用私鑰進行臨時會話認證，在不泄露私鑰的情況下，用戶無法在堡壘機登錄，因而無法訪問監控網絡。

保障2，系統對用戶的每次登錄認證均使用臨時會話口令，該口令無法被簡單重放。

保障3，本系統放棄使用固定口令來對堡壘機進行認證，而是強制結合密鑰來生成會話口令進行認證，在首次安裝的過程中生成密碼并且下載密鑰，因而可防止默認密碼帶來的危害。

保障4，由于訪問監控系統必須通過云端或者堡壘機的認證，在職位調用的過程中，只需要相關權限管理員在云端重新分配權限，用戶不需要更換密鑰，因而可安全、高效地完成調配。

保障5，由于所有監控網絡均需要通過堡壘機訪問網絡攝像頭，如果堡壘機是安全的，就不能直接攻擊網絡攝像頭。

保障1—3確保了系統可以抵御假冒攻擊和重放攻擊；保障4—5確保了整個系統只要在堡壘機不受到攻擊的情況下，就可以安全運行，而且系統采用密鑰管理機制，整個監控管理系統可以安全、高效地運行。

5 實驗分析

5.1 實驗方法

在系統中，密鑰管理方案的高效性和安全性已經由程芳權等證明，TLS是標準且可靠的視頻傳輸協議，因而本文主要對系統中潛在性能開銷最大的認證過程進行測試。在測試中，使用的操作系統為Debian 9，測試配置為Intel core i7-4710MQ 2.5 GH，雙核2 GB RAM，測試工具為ApachejMeter v5.1.1，測試中使用單線程的Flask開發測試用例。

5.2 實驗結果

該系統在認證過程中的性能測試結果如表1所示，其中，encrypt是公鑰加密函數，get-code函數用于獲取服務端的隨機數；本團隊一共選取了6 000個測試樣例，加密測試和獲取隨機數分別使用3 000個樣例；執行情況中，KO表示功能函數執行失敗的樣例數，Error%表示失敗比例；響應時間的測試結果中，測試了平均響應時間（Average）、最大（Max）以及最?。∕in）響應時間，并且對響應時間排在90%（90th pct），95%（90th pct），99%（90th pct）的時間進行了記錄；每秒接收的請求數（Transactions/s）反映了系統吞吐量（Throughput），Received和Sent分別表示認證過程中的實時下載和上傳網速。

表1 認證過程測試結果

從結果分析可以看出，系統的平均認證失敗率為13.48%，在誤差范圍內；90%的響應時間都低于21 ms，每秒可以接收154.08條請求，認證速度達到了預期目標。隨著執行時間的增加，系統處理認證請求的平均速度越來越快，其平均響應時間低于設置的超時時間6 s，整體的認證性能達到了預期設定。

6 結語

本文提出了一個可信云存儲環境下基于銀行攝像頭安全的密鑰管理方法與系統，實現了對監控攝像頭的虛擬化和集群化管理。系統通過在可信云存儲環境下建立可靠且高效的密鑰管理機制，實現了安全且高效的職員權限和攝像頭登錄管理，并且通過強制私鑰認證的方式保證了系統不會受到弱口令的影響。通過安全性分析和實驗仿真論證了系統機制的安全性和適用性，證明了系統在保障攝像頭和其視頻資源安全存儲和傳輸的同時，可以最大限度地提高管理效率。