2014年3月27日,中央电视台报道了多起黑客利用家庭监控设备的漏洞将视频泄露至网上的事件,引起了大家的高度关注。相信在这之前不少专家早已预料到事情会有发生的一天,熟悉网络的人士只要稍微研究下目前安防界普遍采用的为远程访问摄像机、录像机而设计的所谓私有DDNS系统,就不难发现其存在的巨大安全隐患。隐患转化为现实灾难的条件之一当然是用户未及时修改设备的缺省密码,或将密码设置得过于简单,但是企业也不能把责任完全推脱给用户,设计方案和系统时必须充分考虑普通民众的默认习惯及其可能引发的安全风险。
本文就民用安防普遍存在的安全隐患和方案对策略作探讨,以期抛砖引玉。
账户管理
目前很多安防公司普遍采用的私有DDNS 方案的大致架构是:企业在公网部署一个官方网站;用户的前端设备放置在SOHO 路由器的内网,通过uPNP 协议或手工静态配置让路由器将其服务端口映射到公网,并向网站进行注册;外网的用户后端设备(PC、手机、解码器等)向网站获取前端设备的公网IP 地址和服务端口号,便可向其发起访问。此时,外网用户登录内网前端设备所要输入的账号通常就是设备本身的账号,这个账号因为用户潜意识的以为处于内网的设备是安全的而不会被及时更改;另一方面,很多网站要求设备名全局唯一,这样黑客就可以很轻松的获得大量在用的设备名,并以缺省账号登录设备窃取实况和录像视频。
从理论上讲,任何连接入网的设备都存在被攻击的风险。用户应该养成及时修改缺省密码的习惯,而且密码设置不能太过简单。以目前很常见的双核计算机为例,如果破解纯数字的6位密码只需几秒钟,那么破解“数字+ 字母+ 特殊符号”的6位密码只需要22个小时,而破解“数字+ 字母+ 特殊符号”的8位密码则需要23年——当然实际破解所需时间还与产品具体登录流程的设计相关,但破解难度大致呈上述比例。所以密码设置应至少采用 “数字+ 字母+ 特殊符号”的8位字符串。
对企业来说,系统设计应该引导用户及时修改默认账号和密码,并对密码的强度做出一定的限制。
网络防范
黑客入侵的前提是设备和客户端联入互联网,联网的入口通常是一个SOHO级路由器,通过NAT(网络地址转换)特性联入运营商网络。它是抵御攻击的第一道防线,需要用户认真规划部署,企业设计方案时也应该充分考虑用户网络的安全性。
NAT特性有四个运行模式:完全锥型、地址限制锥型、端口限制锥型、对称型,安全级别依次提升。完全锥型极不安全:只要内网的设备曾经访问过外网的一台设备,那么外网的任何设备都可以访问该内网设备的对应业务端口;地址限制锥型也不够安全,只要内网的设备曾经访问过外网的某台设备,该外网设备的任何进程均可以访问该内网设备的对应业务端口;后两种模式相对安全,只有外网设备的对应进程才可以访问内网设备的对应业务端口。
可怕的是,目前网上大部分的SOHO路由器都采用了完全锥型模式。更为可怕的是,安防界普遍采用的私网DDNS方案要求SOHO路由器开启uPNP协议或手工配置来映射业务端口,也就意味着,即使内网设备未曾访问外网的任何设备,任何外网设备均可以直接访问内网设备的对应业务端口。安全级别比完全锥型的NAT模式还要低。
没有最不安全,只有更不安全。有些SOHO路由器因为存在质量问题,或者安防集成商对IT网络比较陌生,会直接将路由器配置成DMZ模式。这意味着对应的内网设备完全被暴露在了外网——uPNP模式尚且只是对外暴露了对应的业务端口,而DMZ模式则干脆将内网设备的所有业务端口完全暴露了,“裸奔”是非常危险的。
用户应该尽量选择端口限制型的NAT模式(一般不推荐对称模式的NAT,因为很多应用需要执行NAT“打洞”,对称模式的NAT不具有NAT友好性,给“打洞”带来困难),禁用DMZ特性,尽量不启用uPNP特性(除非游戏等应用必须开启);此外强烈建议关闭WAN口登录的功能。
对于企业来说,功能设计时尽量避免要求用户网络开启uPNP等特性,将麻烦留给自己,把安全留给用户。
视频传输和存储
谈起民用视频监控,很多用户最直观的担心是视频被窥视、盗窃和非法传播,导致隐私泄露。相对于模拟时代的监控,数字监控要安全得多,但风险依然存在。最直接的方法就是对视频进行加密:加密传输、加密保存。
目前常见的方案分为两类:DRM(数字内容的版权管理)和CA(有条件接收)。DRM的工作原理是:建立数字节目授权中心;编码节目内容时即进行加密(一般采用公钥),数字节目头部存放着KeyID和节目授权中心的URL;用户点播时根据KeyID和URL信息向授权中心获得解密密钥(即对应的私钥),节目方可播放。DRM加密了内容,所以不管是实况视频还是回放视频或是本地下载的视频,没有解密密钥根本无法观看,从而避免了窃听和非法传播的隐患。CA的工作原理是:发送端用随机码发生器产生一个随机码(称为控制字CW)对节目信号进行加扰,然后对控制字进行加密(通常用公钥),加密后的控制字复用到视频流中传送给接收端,接收端从智能卡中获得解密密钥(即对应的私钥)解码出控制字,再用控制字对视频进行解扰获得正常视频。DRM和CA各有偏重,前者基于文件加密,在发送端保存的就是加密后的文件,支持复杂的授权规则,比如只看不许录等,需要双向交互;后者是基于传输层的加密,服务器保存的是未加密的视频,播出时才加密,不支持复杂的授权规则,无需双向交互。DRM和CA可以一起使用,事实上他们也在相互借鉴、相互融合。
落地到民用视频监控,架构模型稍有不同:视频产生方和接收方均在用户这里,而提供协调的企业网站处于公网,这与音乐电影的版本管理模式以及数字电视的广播模式稍有区别。此外,用户的监控系统不一定联入互联网。针对产品的定位特点,企业在设计系统时需要灵活参鉴,变通设计。
对于民用视频监控而言,灵活的授权规则也是一个重要的功能。当我们进行视频共享时,对直系亲属的授权通常会多一些,而对邻居朋友可能会多一些限制,例如只允许其实况而不允许其回放或下载。此外共享的时间段限制也是一个现实的授权需求。
密码管理
密码管理是一个复杂的问题,尤其对于民用安防需要同时兼顾其安全性和易用性,必须人性化的解决用户日常使用的问题。
首先,如何让用户管理密码?如果让用户给设备配置一个密码,而解码端依旧需要输入解密密码,那么他共享给他的亲朋好友是否也要输入解密密码?这样难免导致解密密码的不可控制的扩散。一个好的系统中,解码密钥应该由系统来统一控制,无需用户手工输入,最好是用户根本不知道加解密的密码,从而杜绝泄露扩散的可能性。
其次,密码如何传输?CA系统的解密密码是保存在硬件中的,不存在传输,比较安全,但是民用视频监控不可能这样设计,会影响灵活性,成本也会高很多。交互是必须的,但可以不是最终的密码,否则难免被拦截窃取。
再次,密码如何保存?密码绝对不可以明文形式保存于任何一个节点,即使是用来生成密码的种子也应该进行加密,这样即使设备被窃,视频也无法破解。加解密的密码最好是动态变化的,这样可以大大增加黑客破解的难度。
最后,为了支持第三方播放器的播放需求,比如将关键录像作为证据提交给相关机关,系统必须提供转码功能允许用户将加密视频转换成非加密视频。
终极方案
如果上面几个方面都做到位了,我们是否可以高枕无忧了呢?其实还有两个隐患,当然发生的可能性要小很多。一是不小心让黑客在你的客户端植入了木马,这意味着客户端的整个解码过程都暴露在了他的面前,但除非他破译了推算真实密码的完整算法(例如通过反编译——如何防止反编译可以参看相关教程),否则他还是无法获得真实密码来破解视频;二是企业的内鬼捣乱,由于整个方案系统是由企业提供的,它拥有相关的信息,理论上可以为所欲为,这与银行必要时可以不经你同意处理你的账户是一个道理——所以企业内部必须实行内控,用户信息必须加密存储,若需解密起码需经两级主管的密码输入方可授权进行,这与核武器的管理模式类似。选家用安防产品应尽量选择有品牌保证信誉好的大公司,他们视企业形象和名誉如生命。
说到这里,是不是有点隐私无法保障的感觉,处处都可能被侦听?其实,无法被侦听的方案是有的,只是离我们民用产品的应用尚需要一小段时间。它就是量子通信。听起来可能让人觉得很高深,其实也不是那么莫测。
量子通信具有绝对不可破译的秘密传输的特点,这得益于量子的两个有趣的特性:
一是同源的几个光子(称为EPR对粒子)具有相互纠缠的特性,即使它们相距十万八千光年,一旦一个光子的状态发生改变,另一个光子也瞬间跟着作相应改变。这是经过无数科学实验验证的事实。
二是量子态的不可克隆特性,即无法测量粒子的量子态,一旦被测量量子态即刻塌缩,原有的信息丢失。如同一枚旋转中的硬币,一旦碰触,原来的状态即可发生改变,得到只是正面或反面的两个坍缩后的状态之一。
量子通信的商用目前主要有两种模式,一是量子密码通信,二是量子隐形传态。
量子密码通信是以EPR对粒子的量子态作为密码。利用EPR对粒子实现超远距离的密码传输具有同步性和不可被侦听性;以量子态作为密码保存具有不可被测量性。这就很好的解决了密码传输和保存的安全性,杜绝了客户端的木马和企业的内鬼读取用户密码的可能性。
量子隐形传态不涉及信息的加密,而是将原始数据(可以以量子态存在,我们平时接触的信息称为经典态,经典态是量子态的一个特殊状态)的信息巧妙的传递到接收者那里,而中间传输的信息即使被侦听也无法恢复出原始的数据信息。原理框架是:发送方和接收方各获得第三方机构颁发的EPR对的其中一个纠缠粒子;发送方对原始信息的量子态和他手里的那颗纠缠粒子做联合量子测量,获得坍缩后的一个经典态结果;这个结果通过传统途径(电子邮箱等)发送给接收方;接收方对收到的结果和他手里的纠缠粒子进行相应的量子变换,即可恢复出原始的数据信息。在这种应用模式中,接收端的木马和企业内鬼由于无法读取恢复数据所需的纠缠粒子的量子态,也就无法解码出原始的信息。
我们常说的安全性其实有两种标准:计算安全性和无条件安全性。前者指密码系统在原理上是可破译的,但是窃听者破译所需要的时间(计算)资源是无限的;后者指密码系统在原理上就是不可破译的。目前流行的加密手段都属于前者,而量子通信属于后者。事实上,一旦量子计算机商用,依靠计算安全性的安全系统就完全成为摆设了,量子通信在目前的物理学认知范围内是最可靠的 。
【结束语】
还记得英国左翼作家乔治·奥威尔的小说《1984》么?估计我们谁也不希望过着没有隐私的生活。视频监控为安居宜居提供安全保障的同时,监控视频本身的安全保障也就成为了一个相伴相生的重大课题。在为用户提供各种监控产品的同时,系统的安全性也是宇视孜孜不倦追求的目标。