可信云存储环境下基于银行摄像头安全的密钥管理方法与系统研究

曹晓雯，崔维亮

（江苏大学，江苏 镇江 212013）

金融行业视频监控逐步进入了集数字化、网络化、高清化为一体的新模式，随之面临的问题是视频数据呈现爆炸式的海量增长，对海量数据的快速存储和检索的需求显得尤为重要。针对金融行业监控系统的摄像头安全问题，本团队提出了可信云存储环境下基于银行摄像头安全的密钥管理方法与系统。在视频监控系统和云存储[1]集成的同时，系统必须保证两大基本需求：首先，利用云存储自身的优点，对监控系统实现灵活、高效的扩展性管理。其次，必须要保证视频云存储的安全，包括存储在云端的视频资源以及摄像头权限管理和登录访问，实现真正的高度管理和高度智能。

针对上述问题，本团队采用基于全局逻辑层次图[2]（Global Logical Hierarchical Graph，GLHG）的密钥推导机制密钥管理方法，通过GLHG密钥推导图，来安全、等价地实施全局用户的数据访问授权策略，充分利用云的特性，借助云服务提供商（Cloud Service Provider，CSP）执行推导结构图的管理，并引入基于ElGamal的代理重加密技术[3]，进一步提高密钥管理的执行效率，高效率、高安全性地完成对各视频资源的权限处理。

为了解决IP扫描技术控制网络摄像头的问题，将摄像头统一接入云，用云来实施统一控制，摄像头没有对外开放的端口，使得IP爆破成为不可能。为了保障摄像头资源可以安全传输到云，采用安全传输层协议（Transport Layer Security，TLS）协议。为了进一步满足金融行业视频监控系统的高度安全需求，不主张采用口令登录，而是采用私钥认证的办法，通过类似于Secure Shell（SSH）的双向认证方式，验证用户的合法性。

本文首先介绍系统模型以及安全假设，然后描述系统采用的相关技术的具体实现过程，随后提出了各模块的具体算法和代码设计，最后通过仿真和实验分析论证了模型的正确性、合理性。

1 相关算法

数据的机密性是云存储环境下的难点问题。为了实现可信云存储环境下安全、高效的多用户密钥共享，很多研究者对以数据拥有者为中心的基于逻辑层次图（Logical Hierarchical Graph，LHG）机制进行了优化和拓展[4-7]，但都是基于单数据拥有者模式下的数据外包机制，对于可信云存储环境下多用户共享数据的情形，无法解决密钥管理代价太大的问题。程芳权等[8]提出的基于GLHG的密钥推导机制密钥管理方法，很好地为上述问题提供了解决办法。本文借鉴了程芳权等提出的GLHG机制来实施密钥管理，并在此基础上改进GLHG中代理重加密的算法，使用基于ElGamal的代理重加密技术，进一步优化GLHG机制。

TLS协议是基于会话的加密和认证Internet协议，用于在两个通信主体间提供安全通信信道，由TLS记录协议和TLS握手协议两层组成。本文提出的视频监控系统中，视频资源向云端的传输将依照TLS协议执行，以保障视频数据传输过程的安全性和高效性。

本文还提出了类似于SSH认证协议的基于私钥的双向认证方法，以解决弱口令登录被IP扫描爆破的问题，具体实现将在下文详述。

2 系统模型和安全假设

为了将职员监管职责的效益最大化，同时，保证各自权限的合理合法性，本团队将银行监控区域化，假设区域1，d1有摄像头c1—c4；区域2，d2有摄像头c5—c8，以此类推，并将监控摄像头统一接入到云端，摄像头拍摄到的视频资源上传到CSP，在上传过程中严格遵守TLS协议，来保障视频资源的保密性。对于访问用户对摄像头的登录问题，采用基于私钥的双向认证方式，防止非法用户的入侵。可信云存储环境下基于银行摄像头安全的密钥管理方法与系统如图1所示。

3 系统关键技术

3.1 私钥认证

本团队决定利用RSA算法，双向认证使得管理员可在任意安装私钥的设备上管理网络摄像头，既免去了记忆密码的代价，同时保证了网络摄像头不会遭到云端其他用户的攻击，具体的密钥协商步骤如图2所示。认证过程和Linu x SSH公钥认证类似，通过双向认证保障传输过程中避免遭到中间人攻击，同时，避免弱口令带来的安全威胁。

3.2 密钥管理

3.2.1 GLHG的构建

假设银行现有监管职员A—G，各区域如ATM网点、前台、重要金库等的摄像头监控区域为d1—d14。根据职员权责，如不同层级职员的权限更新、远程业务需求等，得到如图3所示的视频数据资源全局访问控制矩阵。

3.2.2 GLHG的动态更新策略实现

在银行等重点部门，职员的权限变更和因职务而产生的权限调度时有发生，因而对密钥管理机制的动态更新策略提出了更高的要求。本文以基于GLHG的动态访问控制策略为主要更新机制，并且引入新的基于ELGamal的代理重加密技术，来完成更加高效、准确的密钥更新，以适应由于银行部门监控点的变更、新增引起的相关职员管理权限的变化。GLHG的密钥更新具体执行如下：

步骤1，云端CSP执行GLHG的更新，包括新增节点的插入和已有节点的删除。

步骤2，可信前端各用户KM用户执行密钥值相关的更新操作，包括相关密钥值的安全生成、传输以及相关密钥推导关系值得生成，并提交CSP公开发布。

3.3 TLS协议传输

TLS是建立在传输层TCP协议之上的协议，服务于应用层，前身是安全套接字层（Secure Socket Layer，SSL），实现了将应用层的报文进行加密后再交由TCP进行传输的功能。TLS协议的实现分为两部分：第一部分，使用客户端和服务端协商后的秘钥进行数据加密传输；第二部分，客户端和服务端进行协商，确定一组用于数据传输加密的秘钥串。

图1 密钥管理方法与系统的设计模型

图2 私钥认证流程

图3 职员A—G对于监控区域d1—d14监管权限的全局访问控制矩阵

4 安全性分析

该系统的安全性通过以下保障得以实现：

保障1，该系统使用私钥进行临时会话认证，在不泄露私钥的情况下，用户无法在堡垒机登录，因而无法访问监控网络。

保障2，系统对用户的每次登录认证均使用临时会话口令，该口令无法被简单重放。

保障3，本系统放弃使用固定口令来对堡垒机进行认证，而是强制结合密钥来生成会话口令进行认证，在首次安装的过程中生成密码并且下载密钥，因而可防止默认密码带来的危害。

保障4，由于访问监控系统必须通过云端或者堡垒机的认证，在职位调用的过程中，只需要相关权限管理员在云端重新分配权限，用户不需要更换密钥，因而可安全、高效地完成调配。

保障5，由于所有监控网络均需要通过堡垒机访问网络摄像头，如果堡垒机是安全的，就不能直接攻击网络摄像头。

保障1—3确保了系统可以抵御假冒攻击和重放攻击；保障4—5确保了整个系统只要在堡垒机不受到攻击的情况下，就可以安全运行，而且系统采用密钥管理机制，整个监控管理系统可以安全、高效地运行。

5 实验分析

5.1 实验方法

在系统中，密钥管理方案的高效性和安全性已经由程芳权等证明，TLS是标准且可靠的视频传输协议，因而本文主要对系统中潜在性能开销最大的认证过程进行测试。在测试中，使用的操作系统为Debian 9，测试配置为Intel core i7-4710MQ 2.5 GH，双核2 GB RAM，测试工具为ApachejMeter v5.1.1，测试中使用单线程的Flask开发测试用例。

5.2 实验结果

该系统在认证过程中的性能测试结果如表1所示，其中，encrypt是公钥加密函数，get-code函数用于获取服务端的随机数；本团队一共选取了6 000个测试样例，加密测试和获取随机数分别使用3 000个样例；执行情况中，KO表示功能函数执行失败的样例数，Error%表示失败比例；响应时间的测试结果中，测试了平均响应时间（Average）、最大（Max）以及最小（Min）响应时间，并且对响应时间排在90%（90th pct），95%（90th pct），99%（90th pct）的时间进行了记录；每秒接收的请求数（Transactions/s）反映了系统吞吐量（Throughput），Received和Sent分别表示认证过程中的实时下载和上传网速。

表1 认证过程测试结果

从结果分析可以看出，系统的平均认证失败率为13.48%，在误差范围内；90%的响应时间都低于21 ms，每秒可以接收154.08条请求，认证速度达到了预期目标。随着执行时间的增加，系统处理认证请求的平均速度越来越快，其平均响应时间低于设置的超时时间6 s，整体的认证性能达到了预期设定。

6 结语

本文提出了一个可信云存储环境下基于银行摄像头安全的密钥管理方法与系统，实现了对监控摄像头的虚拟化和集群化管理。系统通过在可信云存储环境下建立可靠且高效的密钥管理机制，实现了安全且高效的职员权限和摄像头登录管理，并且通过强制私钥认证的方式保证了系统不会受到弱口令的影响。通过安全性分析和实验仿真论证了系统机制的安全性和适用性，证明了系统在保障摄像头和其视频资源安全存储和传输的同时，可以最大限度地提高管理效率。