史庭俊,张颖杰,魏振宇
(扬州大学 信息工程学院,江苏 扬州 225127)
摘要:视频监控安全问题一直备受关注,如何保障信息传输安全是人们研究的重点。传统基于口令的身份认证协议存在弱口令隐患,导致攻击者利用口令猜测攻击获取非法信息。然而使用Kerberos协议要求用户设置强口令以增强认证安全,用户的体验方式差。设计了一种基于三元对等身份鉴别的视频监控管理方案,引入可信第三方鉴别机制,实现对等实体之间的双向认证,有效地解决了设备认证的安全问题。
关键词:口令猜测攻击;Kerberos协议; 三元对等
0引言
近几年安全事件的频繁爆发,引发了人们对安全领域的关注,尤其视频监控安全问题引发了人们的密切关注。视频监控作为一种重要的安防手段,目前被广泛地应用于商场、家庭、甚至于边防、重要机关等场所[12]。随着电子信息技术的快速发展,视频监控在许多重要的场所发挥着不可替代的作用,但由于所控制的区域和场所对信息安全的要求较高[3],一旦被恶意攻击,包括通过偷窥或者控制等手段截获非法信息,带来的影响对公司或个人将非常严重,而且绝大部分监控系统必须要部署在安全因素不高的公网上。
本文提出一种基于TePA视频监控身份认证技术,引入可信第三方对鉴别服务器请求实体和鉴别实体完成身份的双向认证,利用数字签名技术保证设备之间传输信息的完整性,通过CA鉴别签发实体的证书是否被恶意篡改,实现对等实体之间身份确认,确保接入实体的合法性,保证对等实体之间建立安全的通信链路,有效地解决身份认证问题。同时结合DiffieHellman协议实现对等实体之间临时会话密钥的安全协商,保证传输信息的安全性。
1相关工作
Patras大学的SERPANOS D N等人在2008年指出现有视频监控系统存在一系列安全隐患,并提供了一些相应的解决方案[4],同时也提到关于设备之间的身份验证问题,但并没有给出具体的认证解决方式。一些视频监控厂商也提出视频监控安全解决方案[56],提出使用终端安全接入保护措施的一些机制,但大多端点的安全接入管理功能是基于802.1x认证,通过扩展EAP验证和Radius协议,以此保护前端接入设备的安全性。802.1x的引入虽然解决了一些传统的安全问题,但把此认证引入到监控系统中,还会带来一些其他的安全隐患。主要由于视频监控中的终端和AS交互协商得到的安全会话密钥是通过AS传至AP,认证方式将生成的会话密钥通过网络传递,由于网络本身存在不安全因素,导致引入的认证方式存在新的安全缺陷,而且通信过程的中间设备没有独立的认证实体,认证过程容易受到攻击,这是802.1x中存在的一个必然的安全漏洞[78]。视频监控业界开放型网络视频产品接口论坛(Open Network Video Interface Forum,ONVIF)标准[9]基于Web Services,而Web Services 主要利用SOAP和HTTP使信息在Web上传输。在认证方面,该标准主要是使用WSS摘要认证、HTTP 摘要认证和TLS-based access[10],但这些认证都是单向认证,无法验证交互实体的合法性,存在主动攻击威胁。
三元对等鉴别机制(TePA)是中国拥有自主创新知识产权的信息安全领域的实体鉴别机制,可用于访问控制、身份鉴别、数字签名、可信计算等安全系统[1112]。文献[1314]中描述了该机制的通信流程,通过五步交互完成对等实体的双向认证。文献[1517]分别证明TePA鉴别机制的安全性。本文设计的视频监控系统的身份鉴别机制在原有机制的基础上进行了相应的调整,结合密钥协商协议DiffieHellman协议,使对等实体在完成5次消息交互后,不仅实现了安全通信信道的建立并且完成了对等实体之间的双向认证,而且对等实体之间通过密钥协商DiffieHellman协议在身份认证过程中交换对等实体通信之间的密钥因子,双向认证完成确认对等实体之间的身份,利用对等实体之间传递的密钥因子生成安全的临时会话密钥,保证双方通信安全。
2TePA认证技术
2.1符号
表1列出了本文使用符号的具体含义。
2.2TePA认证技术
ASE为引入的可信第三方,拥有对等实体当前的有效公钥,AE和ASUE是对等实体,且双方都拥有当前ASE的有效公钥。假设设备之间证书信息通过安全信道获取,如图1给出了三元对等鉴别机制的一种形式,对等实体之间的信息交互使用私钥签名,确保信息交互的完整性,防止数据被恶意篡改。
图1基于三元对等的身份鉴别方式实现对等实体身份鉴别,实体之间相互通信需要保证信息的安全性,认证完成后再进行密钥协商。虽然这样可以确保会话密钥的安全协议,但信息交互次数增加,将带来额外的时间和资源开销。本文修改后的方案在认证过程中,结合DiffieHellman协议完成对等实体之间身份双向认证的同时协商得到安全的临时会话密钥,保证会话链路的安全建立和会话密钥的安全图协商。图2给出了修改后的三元对等鉴别机制,在对等实体鉴别过程中,同时又完成会话密钥的安全协商。
图2中ASUE代表接入设备,AE代表应用服务器,ASE作为认证中心负责完成对等实体的身份鉴别。序号0~5代表信息交互的顺序。设备在接入时,首先向AE发送注册请求,AE接收到注册请求信息后,执行5步三元对等流程,完成身份确认。交互信息包含DiffieHellman协议计算密钥所需的密钥因子,确认对等实体之间的合法性,通过双向认证并使用DiffieHellman协议计算得到本次通信的临时会话密钥。多个ASUE接入时,都会与AE协商得到本次会话密钥。不同ASUE进行通信时,AE使用ASUE计算的临时会话密钥,将ASUE与AE之间的DiffieHellman协议密钥因子发送至对方的ASUE,用于计算得到ASUE之间的通信会话密钥。
图3给出了实际环境中测试的原型系统,系统开发过程使用开源软件,其中认证服务器(ASE)使用开源软件freeradius,对等实体包括IPC与NVR端,作为系统中鉴别实体(AE),应用服务器使用OpenSips软件作为系统中鉴别服务器请求实体(ASUE)。测试环境中需要首先启动NVR端,等待NVR端完成启动后才可以启动IPC端,否则无法完成对等实体之间密钥协商且IPC的采集信息无法保存至NVR。每个实体之间的证书信息由可信第三方签发,并通过安全信道发送给各个实体。
通过上述流程发现IPC与NVR各自与SIP Server服务器完成对等实体之间身份的鉴别并协商得到双方通信的临时会话密钥,便于后续利用SIP Server服务器交互DiffieHellman协议密钥因子完成IPC与NVR之间密钥协商。
3性能分析
通过模拟环境对修改的TePA机制进行测试,分别对ASE的验证签名与AE和ASUE对等实体之间的验证签名性能进行测试。由于测试环境受限,ASE并发测试过程中模拟多台设备接入,与实际测试结果可能存在偏差,而且测试结果仅在局域网中测试得到,在公网测试中受到各种环境影响,与实际环境测试也会存在一定的误差。
图4ASE鉴别响应时间如图4所示,多设备接入的ASE鉴别响应时间优于单设备接入所需时间,这可以证明本文所提机制在应对多设备ASE鉴别响应时有着较好的表现。如图5所示,基于三元对等的身份鉴别机制相对于传统的方法在对等实体交互时间上有着一定的优势,时间的消耗趋势比较平稳,未出现明显较大的波动。ASUE验证签名时间如图6所示,可以看出,本文推荐的身份鉴别机制在消耗时间上明显小于传统方法验证签名所需要的时间,并且本文方法随着测试次数的增多上下波动更为平稳,这使得系统运行更为稳定。
4结束语
本文实现了基于三元对等的视频监控身份鉴别机制,通过五次消息交互完成对等实体之间身份的双向确认,实现对等实体之间建立安全的会话链路。认证交互信息利用数字签名保证完整性,通过可信第三方完成对等实体之间身份鉴别,实现双向认证,有效地解决了利用预置共享密钥参与加/解密实施中间人攻击,以及Kerberos弱口令而导致攻击者可以实施口令猜测攻击的问题。结合密钥协商DiffieHellman协议,完成身份鉴别的同时也完成对等实体之间会话密钥协商,保证设备之间信息交互的机密性。
参考文献
[1] 孙凤杰, 崔维新, 张晋保,等. 远程数字视频监控与图像识别技术在电力系统中的应用[J].电网技术, 2005, 29(5):8184.
[2] 陈启军, 左明. 多媒体图象监控的一种实现 [J].计算机工程, 1997, 23(5): 3840.
[3] 樊莉莉.基于SIP的视频监控系统的安全传输[D].太原:太原理工大学, 2011.
[4] SERPANOS D N, PAPALAMBROU A. Security and privacy in distributed smart cameras[J].Proceedings of the IEEE, 2008, 96(10):16781687.