1 引 言
隨著Internet網(wǎng)絡(luò)的迅速發(fā)展,,基于Internet網(wǎng)絡(luò)的各種應(yīng)用層出不窮,,遠(yuǎn)程視頻監(jiān)控是其中很有發(fā)展前景的應(yīng)用之一。一方面視頻壓縮技術(shù)有了很大的發(fā)展,,另一方面光纖到樓,,光纖到戶以及ADSL等多種網(wǎng)絡(luò)接入方式,使企業(yè),、家庭等不同用戶都能方便地享受寬帶Internet網(wǎng)絡(luò),,用于家庭安全、工業(yè)控制等的基于Internet網(wǎng)絡(luò)的遠(yuǎn)程視頻監(jiān)控系統(tǒng)已開始成為研究的熱點(diǎn),。
目前基于Internet網(wǎng)絡(luò)的遠(yuǎn)程視頻監(jiān)控系統(tǒng)一般采用比較簡單的呼叫控制流程,,如采用自定義的呼叫建立命令,而且對(duì)于視頻監(jiān)控系統(tǒng)的安全性也考慮不夠充分,,有的系統(tǒng)增加了用戶認(rèn)證,,在遠(yuǎn)程監(jiān)控端設(shè)置服務(wù)器,存放注冊(cè)用戶的用戶名,、密碼以及其他信息,,只有合法用戶才可以呼叫本地監(jiān)控端。但這種安全方案中只是保證了主叫端用戶登錄時(shí)的安全性,,而且用戶管理報(bào)務(wù)器集中存放了用戶名和密碼,很容易成為黑客攻擊對(duì)象,,一但用戶安全信息被竊取,,整個(gè)系統(tǒng)的安全性就被破壞了。如果在后續(xù)的呼叫控制過程中增加被叫端參與安全認(rèn)證,,就可以大大加強(qiáng)遠(yuǎn)程視頻監(jiān)控業(yè)務(wù)的安全性,。
2 基于Internet網(wǎng)絡(luò)的遠(yuǎn)程視頻監(jiān)控系統(tǒng)
基于Internet網(wǎng)絡(luò)的遠(yuǎn)程視頻監(jiān)控系統(tǒng)如圖1所示,,包括遠(yuǎn)程監(jiān)控端和本地監(jiān)控端。本地監(jiān)控是位于監(jiān)控現(xiàn)場的獨(dú)立的嵌入式設(shè)備,,負(fù)責(zé)本地音頻信息的采集,、編碼、加密和傳送,,并負(fù)責(zé)對(duì)以下第3節(jié)中提出的遠(yuǎn)程監(jiān)控密碼的安全認(rèn)證,。
遠(yuǎn)程監(jiān)控端是具有遠(yuǎn)程監(jiān)控功能的計(jì)算機(jī)或IP可視終端,負(fù)責(zé)對(duì)以下第3節(jié)中提出的遠(yuǎn)程監(jiān)控密碼進(jìn)行加密和傳送,,并負(fù)責(zé)在遠(yuǎn)程監(jiān)控密碼被安全認(rèn)證通過之后,,對(duì)被監(jiān)控端音視頻媒體數(shù)據(jù)進(jìn)行解密、解碼和播放,。遠(yuǎn)程監(jiān)控端與本地監(jiān)控端之間通過Internet網(wǎng)絡(luò)連接,。
3 采用H.323協(xié)議實(shí)現(xiàn)安全的遠(yuǎn)程視頻監(jiān)控的方法和原理
ITU-T H.323協(xié)議體系為現(xiàn)有的分組網(wǎng)絡(luò)提供多媒體通信的標(biāo)準(zhǔn),它規(guī)定基于分組網(wǎng)進(jìn)行兩點(diǎn)/多點(diǎn)實(shí)時(shí)媒體通信的系統(tǒng)邏輯組件,、消息定義和通信過程,。H.323已廣泛地應(yīng)用于可視電話、視頻會(huì)議等IP寬帶業(yè)務(wù)中,。
這里所描述的實(shí)現(xiàn)基于Internet網(wǎng)絡(luò)的安全的遠(yuǎn)程視頻監(jiān)控的方法是在H.323多媒體通信協(xié)議流程的基礎(chǔ)上,,增加了遠(yuǎn)程監(jiān)控密碼的加密、傳送,、解密和驗(yàn)證的過程,,以及在遠(yuǎn)程監(jiān)控密碼通過驗(yàn)證后,本地監(jiān)控端的音視頻媒體數(shù)據(jù)的加密,、傳送和解密的過程,。
采用H.323協(xié)議實(shí)現(xiàn)安全的遠(yuǎn)程視頻監(jiān)控的方法主要包括以下3個(gè)部分:
(1)利用H.323消息流程傳送和驗(yàn)證遠(yuǎn)程監(jiān)控密碼的過程;(2)遠(yuǎn)程監(jiān)控密碼的加密和解密過程,;(3)音視頻媒體數(shù)據(jù)的加密和解密過程,。
3.1 利用H.323消息流程傳送和驗(yàn)證遠(yuǎn)程監(jiān)控密碼的過程
利用H.323消息流程傳送和驗(yàn)證遠(yuǎn)程監(jiān)控密碼的過程,可以有2種方式,,一種方式是在呼叫控制流程中傳送和驗(yàn)證遠(yuǎn)程監(jiān)控密碼,,另一種方式是在呼叫控制和媒體控制過程后傳送和驗(yàn)證遠(yuǎn)程監(jiān)控密碼。
3.1.1 方式一
如圖2所示,,在呼叫控制流程中傳送和驗(yàn)證遠(yuǎn)程監(jiān)控密碼的方式,,具體過程如下:
(1)遠(yuǎn)程監(jiān)控端呼叫本地監(jiān)控端,將遠(yuǎn)程監(jiān)控密碼暗文作為H.225消息中的擴(kuò)展項(xiàng)傳送至本地監(jiān)控端,;
(2)本地監(jiān)控端接收到H.225消息,,從擴(kuò)展項(xiàng)取出遠(yuǎn)程監(jiān)控密碼暗文,解密后與本地監(jiān)控端存儲(chǔ)的監(jiān)控密碼進(jìn)行比較,,如果比較結(jié)果一致,,密碼驗(yàn)證通過,,則進(jìn)入H.245媒體控制交互流程,如果H.245交互成功,,則本地監(jiān)控端開始向遠(yuǎn)程監(jiān)控端傳送被監(jiān)控現(xiàn)場的音視頻媒體數(shù)據(jù),;如果比較結(jié)果不一致,密碼驗(yàn)證失敗,,結(jié)束通信,。
3.1.2 方式二
如圖3所示,在呼叫控制和媒體控制過程后傳送和驗(yàn)證遠(yuǎn)程監(jiān)控密碼的方式,,具體過程如下:
(1)遠(yuǎn)程監(jiān)控端呼叫本地監(jiān)控端,,呼叫成功并且H.245媒體控制交互成功,則本地監(jiān)控端要求遠(yuǎn)程監(jiān)控端輸入遠(yuǎn)程監(jiān)控密碼,;
(2)遠(yuǎn)程監(jiān)控端采用DTMF(Double Tone MultiFrequency,,雙音多頻)方式以每次單個(gè)字符傳送遠(yuǎn)程監(jiān)控密碼暗文;其中,,DTMF可以采用以下4種承載方式之一對(duì)暗文的遠(yuǎn)程監(jiān)控密碼進(jìn)行打包傳送:
?、偻ㄟ^Q.931信息傳輸;
?、谕ㄟ^H.245的SIGNAL字段傳輸,;
③通過H.245的SIRING字段傳輸,;
?、芡ㄟ^RTP音頻邏輯通道傳輸,載荷類型為101,,遵循標(biāo)準(zhǔn)RFC2833,。
(3)本地監(jiān)控端接收遠(yuǎn)程監(jiān)控密碼單字符暗文并解密、保存,,當(dāng)收到遠(yuǎn)程監(jiān)控密碼結(jié)束符或設(shè)置的接收遠(yuǎn)程監(jiān)控密碼定時(shí)器超時(shí),,則將收到的遠(yuǎn)程監(jiān)控密碼與本地監(jiān)控端存儲(chǔ)的監(jiān)控密碼進(jìn)行比較,如果比較結(jié)果一致,,密碼驗(yàn)證通過,,則本地監(jiān)控端開始向遠(yuǎn)程監(jiān)控端傳送被監(jiān)控現(xiàn)場的音視頻媒體數(shù)據(jù);如果比較結(jié)果不一致,,密碼失敗,、結(jié)束通信。
以上2種方式中,,方式一的優(yōu)點(diǎn)是遠(yuǎn)程監(jiān)控端與本地監(jiān)控端通信流程比較簡潔,,而且由于監(jiān)控密碼的驗(yàn)證在呼叫控制階段,因此如果密碼驗(yàn)證失敗,,則不需要再進(jìn)行H.245媒體控制等流程,,系統(tǒng)對(duì)于監(jiān)控密碼錯(cuò)誤的響應(yīng)時(shí)間很快。方式二的優(yōu)點(diǎn)是除加密,、解密部分以外,,遠(yuǎn)程監(jiān)控端可以是支持DTMF的普通H.323終端,H.225呼叫控制和H.245媒體控制都是標(biāo)準(zhǔn)流程,,不需要定制,。
3.2 遠(yuǎn)程監(jiān)控密碼的加密和解密的過程遠(yuǎn)程
監(jiān)控密碼以暗文方式傳送,它由遠(yuǎn)程監(jiān)控端發(fā)送,,本地監(jiān)控端接收和驗(yàn)證,。首先,被監(jiān)控端需要配置和保存遠(yuǎn)程監(jiān)控密碼,??梢允褂媒y(tǒng)一的遠(yuǎn)程監(jiān)控密碼,也可以采用不同的呼叫別名對(duì)應(yīng)不同的遠(yuǎn)程監(jiān)控密碼,。監(jiān)控密碼一般會(huì)有一定的位數(shù)限制,,數(shù)據(jù)量很小,因此遠(yuǎn)程監(jiān)控密碼的加密可采用公鑰加密算法,,如RSA算法,。具體過程如下:
(1)遠(yuǎn)程監(jiān)控端獲得本地監(jiān)控端的公鑰;
(2)遠(yuǎn)程監(jiān)控端采用公鑰加密算法,,使用(1)中公鑰加密遠(yuǎn)程監(jiān)控密碼,,并發(fā)送給本地監(jiān)控端;
(3)本地監(jiān)控端接收到監(jiān)控密碼暗文后,,使用與(1)中公鑰對(duì)應(yīng)的私鑰將暗文的監(jiān)控密碼轉(zhuǎn)換為明文監(jiān)控密碼,。
3.3 音視頻媒體數(shù)據(jù)的加密和解密過程
被監(jiān)控現(xiàn)場的音視頻媒體數(shù)據(jù)是由本地監(jiān)控端發(fā)送,遠(yuǎn)程監(jiān)控端接收,。音視頻媒體數(shù)據(jù)以加密的方式進(jìn)行傳送,。
音視頻媒體數(shù)據(jù)量大,它的加密和解密可以使用對(duì)稱密鑰加密算法與公鑰加密算法相結(jié)合的方法,,即大量的音視頻數(shù)據(jù)的加密,、解密使用對(duì)稱密鑰加密算法,如DES算法,,而利用公鑰加密算法安全地交換執(zhí)行對(duì)稱加密時(shí)使用的機(jī)密密鑰,。具體過程如下:
(1)本地監(jiān)控端創(chuàng)建一個(gè)隨機(jī)機(jī)密密鑰,本地監(jiān)控端使用該機(jī)密密鑰,,采用對(duì)稱密鑰算法加音視頻媒體數(shù)據(jù),;
(2)本地監(jiān)控端獲得遠(yuǎn)程監(jiān)控端的公鑰,并使用該公鑰,,采用加密算法加密(1)中的機(jī)密密鑰,;
(3)本地監(jiān)控端將暗文機(jī)密密鑰和音視頻媒體數(shù)據(jù)一起發(fā)給遠(yuǎn)程監(jiān)控端,;
(4)遠(yuǎn)程監(jiān)控端使用與(2)中公鑰對(duì)應(yīng)的私鑰將暗文機(jī)密密鑰轉(zhuǎn)換為明文,再利用該機(jī)密密鑰將暗文音視頻媒體數(shù)據(jù)轉(zhuǎn)換為明文數(shù)據(jù),。
4 結(jié) 語
這里針對(duì)目前基于Internet網(wǎng)絡(luò)的視頻監(jiān)控系統(tǒng)的一些問題,,提出一種采用H.323通信協(xié)議實(shí)現(xiàn)安全的遠(yuǎn)程視頻監(jiān)控的方法,該方法在H.323協(xié)議的基礎(chǔ)上,,增加了系統(tǒng)在呼叫控制過程中本地監(jiān)控端參與的安全認(rèn)證,,加強(qiáng)了遠(yuǎn)程視頻監(jiān)控業(yè)務(wù)的安全性,克服了僅在主叫端增加用戶管理服務(wù)器,,安全性易于受到破壞,,維護(hù)成本高等缺點(diǎn)。
另外,,由于采用標(biāo)準(zhǔn)的H.323多媒體協(xié)議,,使相應(yīng)的視頻監(jiān)控系統(tǒng)不僅具有完善的呼叫控制和媒體控制過程,而且具有較好的互通性和可擴(kuò)展性,,并可根據(jù)用戶的需求增加其安全策略和附加功能等,。