传统的视频监控系统中,摄像机/IPC、网络硬盘录像机NVR、交换机、管理服务器、存储服务器、转发服务器、解码器、显控设备、大数据服务器、视频结构化服务器、客户端等网元设备都是在一个专网里面,或者经过专网骨干网、互联网等网络进行互联。
对移动视频监控系统来说,使用最多的是公安部门或者交管部门。随着监控技术的不断发展,移动式执法取证方案应运而生,即在执法车辆上安装车载摄像机,在车辆移动过程中或者车辆抵达现场的时候,进行摄像机拍摄取证,以解决公安部门或者交通执法部门执法力量不足、执法过程缺乏协调和监督、违法取证困难等问题。此外,还有专用的便携式执法记录仪以及具有便携执法摄像功能的APP。
一、移动式视频监控系统技术风险
相比于传统的有线传输的固定摄像机的视频监控系统,移动式视频监控系统有几个技术风险需要考虑:
(一)背景移动性和抖动性
传统固定式摄像机拍摄的视频画面的背景是静止的,只有需要采集的人、车等目标是运动的。但移动式视频监控系统中的画面背景和目前前景都是运动的,并且执法车辆在行驶过程中,拍摄的整个视频画面还处于不同程度的抖动之中,这就需要对拍摄的视频画面进行稳定性处理。
(二)无线传输协议的安全性
传统固定式网络摄像机的传输都是通过有线光纤或者有线网线传输,并且采用专用网络传输,码流传输带宽能够保障。但是在移动式视频监控系统中,传输网络只能采用4G、Wi-Fi或者将来的5G无线网络传输。尤其是在执法车辆快速行驶过程中,无线网络传输链路会被树木、楼房阻挡,同时还有可能经历无线基站/热点的快速切换等因素。这些因素都导致了视频图像传输网络的不稳定性和动态波动性。
(三)移动监控系统穿NAT性
传统视频监控系统中的所有网元大都在一个视频监控专用网络之内,但是对于使用Wi-Fi或者4G无线传输的移动视频监控系统来说,由于视频图像采集部分处于移动执法车辆之上,Wi-Fi热点、4G基站都是采用互联网IP地址链接。如此一来就导致了移动视频监控系统的网元被互联网分割开,视频图像采集摄像机等网元处于公网上或者公网之外的一个私网里,视频管理服务器、转发服务器、地图服务器、存储服务器等网元处于公网之外的另一个网元(如图1所示)。因为跨互联网,所以在实际组网时都会使用安全边界、防火墙等安全措施。
图1 移动视频监控网络被互联网分割开
IPv4地址资源紧张和现有各区域网络地址段相互重叠的现实,以及各种网络安全的需要,NAT、防火墙、安全隔离网闸等设备被大量地应用于大型网络中。这就使得基于IP的视频监控系统的信令和业务流程变得非常复杂,甚至导致某些业务在某些特定的组网中无法开展。
防火墙作为一个企业网络的安全保障,其职责之重不言而喻。一个大型IP视频监控项目不可避免地会有相当一部分终端处于防火墙外侧,而管理服务器通常处于防火墙内侧,其余部分的终端也处于内网(如图1所示),这就需要防火墙开放相当数量的UDP/TCP端口以便外部终端能主动访问内网的服务器和终端,如此就给内部专网带来了安全隐患。
二、移动视频监控的技术方案解决策略
针对移动视频监控方案中的技术风险,有如下几个解决策略:
(一)WPA3.0安全技术
2018年6月25日,Wi-Fi联盟正式发布Wi-Fi安全标准——WPA3.0。该标准有望消除当今Wi-Fi中所有已知的安全漏洞和无线攻击。
WPA或Wi-Fi保护访问是一种使用高级加密标准(Advanced Encryption Standard,AES)协议验证无线设备的标准,旨在防止黑客窃听无线数据。然而,2017年年底,安全研究人员发现了当前被称为KRACK(密钥重新安装攻击)的WPA2协议存在严重漏洞,使攻击者可能截获、解密甚至操纵WiFi网络流量。
WPA3安全标准将取代已存在至少15年的现有WPA2。新的安全协议在配置、认证和加密方面为Wi-Fi设备提供了一些重大改进,使黑客难以破解Wi-Fi或窃听网络。
Wi-Fi联盟针对个人、企业和物联网无线网络推出了WPA3-Personal和WPA3-Enterprise两种最新的安全协议。
新的WPA3.0协议提供的一些关键功能有:
1.防范暴力攻击。WPA3针对离线蛮力字典攻击提供了增强的保护,使黑客难以破解Wi-Fi密码。
2.WPA3前向保密。WPA3利用SAE(同步身份验证)握手提供前向保密安全功能,可防止攻击者解密旧捕获的流量。
3.保护公共/开放Wi-Fi网络。WPA3通过个性化数据加密,加强了开放网络中的用户隐私,该功能可以加密设备和Wi-Fi接入点之间的无线流量,从而降低中间人(Man-in-the-Middle,MitM)攻击的风险。为了防止这种被动攻击,WPA3可以增加对机会性无线加密(Opportunistic Wireless Encryption,OWE)的支持。
4.关键网络的强加密。使用WPA3 Enterprise处理敏感信息的关键Wi-Fi网络(如政府和工业组织),可以使用192位加密保护其Wi-Fi连接。
预计在不久的将来,使用WPA3.0的Wi-Fi协议接入的移动视频监控系统安全性会得到大大的增强。
(二)UNP技术
为了解决移动视频监控系统中的这种穿NAT性,宇视科技提出了UNP(Universal Network Passport,万能网络护照)技术。目前,针对监控系统穿越NAT设备、防火墙和安全网闸时,基本上都是使用引流方案、内部服务器方案、双网卡方案、VPN方案或者PAG方案来实现。
1.引流方案。引流方案是指监控系统智能的判断终端设备或用户与管理服务器之间是否存在NAT设备,以及终端或用户相对于中心服务器来说是处于公网或私网,并根据这个结果,在建立监控业务时首先通知私网的设备向公网的设备发起数据连接。
2.内部服务器方案。内部服务器方案是指在NAT设备上对监控服务器的私网地址与公网地址进行地址或端口映射。在监控业务中应用到的协议端口号比较多,包括http、SIP、SNMP、RTP/RTSP、FTP,并且实况流、回放流的端口号是一个非常大的范围,也就相当于用户需要为每个监控服务器都分配一个公网地址。
3.双网卡方案。双网卡方案是指将监控服务器放于私网和公网的边界处,服务器的一个网卡连接公网与公网设备进行通信,另一个网卡连接私网与私网设备进行通信,而公私网间的设备通信需要通过服务器进行中转。
4.VPN方案。VPN方案是指使用VPN技术将两个或者两个以上的私网连接在一起,互通路由,这些私网就相当于同一个私网。该方案主要用于用户网络存在多个私网的情况。
5.PAG方案。PAG方案是指基于全球眼架构,通过公网部署固定IP地址的前端接入网关(PAG)做NAT打洞、信令和媒体的转发。
从上述几种方案的模式来看,当前的组网在应用范围、安全性和实用性存在不足,主要表现在以下几个方面:
第一,应用范围有限。在多数情况下,用户的监控组网不仅仅只存在一个公网和私网,可能包括多个私网和一个公网。在这种情况下,因为发流端和接收端都处于私网,其中任意一端都无法主动访问另外一端,导致引流方案不能单独使用,必须与内部服务器方案组合才能使用。双网卡方案需要用户的监控服务器与公网直接连接,但是在部分情况下,用户的出口地址并不是公网地址,而是小运营商或者科技园提供的私网地址。另外在公安系统中,为了保证安全,外网不能主动访问内网,也就不能使用内部服务器方案和双网卡方案。如果用户多个私网的网络地址存在重叠现象,则不能直接使用VPN方案将用户网络联通,必须对用户现有网络进行整改,否则会影响用户的现有业务。
第二,浪费公网地址。对于内部服务器方案和双网卡方案都需要用户提供比较多的固定公网地址,否则无法体现NAT思想解决公网地址短缺的优势,增加用户的资金投入。
第三,安全性存在较大的风险。内部服务器方案为用户的监控服务器进行IP地址的一一映射,攻击者可以在任意网络中对该公网地址的任意协议端口发起攻击,这些攻击都会被转发给内部服务器。在最恶劣的情况下,用户的监控服务器全部被攻瘫,整个监控系统将不能使用。双网卡方案同样存在这个问题,因为监控服务器直接有一个公网地址连接到公网上,危险性更大。单独的引流方案思想风险较低,但是在多数场景下,引流方案需要与内部服务器方案一起使用,则同样存在着较大的风险。VPN方案将用户多个私网打通,路由互通后,很多非监控业务也能互访,带来网络安全风险。PAG方案增加了运营商部署主机服务器的成本,存在转发瓶颈,容易成为DOS攻击对象。
三、UNP方案功能
为了解决现有NAT、网闸和防火墙的方案中存在的不足,宇视科技推出了万能网络护照(UNP)解决方案,旨在为用户提供一个简单、安全、通用的方法来解决这些问题。UNP方案通过在终端与监控服务器之间、上下级域监控服务器之间建立一条应用层通道,后续通道两端的设备之间通信时都走该通道进行转发,不需要用户进行引流操作,也不需要用户增加额外的公网地址,极大地减少了网闸厂家的二次开发工作量。其主要功能包括:
(一)万能穿越——所有NAT、网闸和防火墙组网都适用
UNP方案将所有的监控业务报文在UNP应用层通道中进行传输,NAT设备在更改IP地址的时候仅修改了应用层通道的IP地址,对于通道内部的报文没有任何影响。当UNP服务器在私网时,仅需要在用户的现有公网IP地址上做一个端口映射即可。
(二)安全保障——黑客无法攻击到监控服务器
在UNP方案中,由于开放端口数量限制到了最低程度,入侵攻击已不可能,只剩DOS攻击,而DOS攻击报文基本上会被防火墙过滤掉。即使黑客通过DOS攻击攻瘫中继,也不会影响数据类服务器的功能。
四、UNP应用场景
UNP是一种万能网络护照解决方案,具有很强的灵活性和适应性,可以使用Linux服务器、路由器等设备做UNP服务器,实现单域、多域等组网方式的防火墙、网闸、NAT设备穿越。
UNP方案可为以下应用场景提供网络护航:
(一)前端设备使用UNP方案接入
在部分监控组网中,中心监控服务器放置在私网中,而前端编码设备放置在公网或者另外一个私网中,中间需要穿越NAT设备和防火墙。譬如环保监控部门,监控摄像头放置在污水排放处,通过3G网络连入到监控服务器。而单兵无线监控系统的便携式视频监控终端,在接入到后台监控中心时,也需要穿越公网。
(二)监控用户使用UNP方案接入
在部分监控组网中,中心监控服务器放置在企业私网中,而监控用户在公网或者另外一个私网中。譬如监控人员在出差或者家中,需要接入到监控中心查看监控图像或者回放录像。
(三)跨域平台使用UNP方案互联
多个监控平台需要建立上下级域或者平级域的关系,而不同的监控平台又放置在不同的网络中,这样跨域的协议和数据报文都需要穿越NAT设备和网闸、防火墙系统。
五、UNP介绍
UNP万能网络护照方案是浙江宇视科技有限公司拥有完整知识产权的独创技术,其基本部件包括UNP服务器、UNP客户端。UNP服务器允许通过认证的UNP客户端接入,并建立UNP的应用通道,在应用通道中进行监控业务报文的传输。其原理如图2所示。
图2 UNP原理
UNP客户端是所有需要使用UNP方案接入的主体,包括监控前端、监控客和监控服务器。
UNP服务器是指允许UNP客户端接入并进行不同UNP应用层通道间报文转发的设备,包括路由器设备和Linux服务器。
UNP方案的基本原理是通过在客户端和中继服务器之间建立一条应用通道,再将监控业务的报文通过应用通道进行转发(如图3所示)。
图3 UNP应用通道建立
1.UNP客户端向UNP服务器发起连接。
2.UNP服务器对UNP客户端进行身份认证。
3.通过身份认证的UNP客户端将与UNP服务器之间建立一条UNP的应用通道。
4.通道建立后,UNP客户端和服务器之间发送的监控业务报文,包括SIP报文、媒体流报文或者其他使用到的协议报文,都通过UNP应用层通道进行转发。
UNP的应用通道在建立完成之后,各UNP设备都会得到一个新的虚拟IP地址,这些虚拟IP地址可能由UNPS自动分配,也可能是UNPC自己确定。后续各UNP设备之间在进行监控业务交互时,都使用虚拟地址进行交互。
如图4所示,VM2向VM1注册时,会使用IP1’作为源地址、使用IPA’作为目的地址,而注册报文会首先通过VM2与UNPS(MS1)之间的应用通道发给UNPS(MS1),UNPS在收到该报文后,再通过UNPS与VM1间的应用通道发给VM1,VM1的回应报文源地址为IPA’、目的地址为IP1’,同样通过应用通道,先发给UNPS,再发给VM2。UNP方案符合公安监控系统安全标准和GB/T28181国家标准(如图5所示)。
图4 UNP方案基本原理
图5 符合公安监控系统安全标准和GB/T281281标准
(供稿:吴参毅 浙江宇视科技有限公司)