新闻详情
发表时间:2019-03-05 13:43
数据加密(DataEncryption)技术是指将一个信息(或称明文,plaintext)经过加密钥匙(Encryptionkey)及加密函数转换,变成无意义的密文(ciphertext),而接收方则将此密文经过解密函数、解密钥匙(Decryptionkey)还原成明文。加密技术是数据安全技术的基石。文件加密是一种常见的密码学应用。
一、文件加密技术基本概念
文件加密技术是下面三种技术的结合:
(一)密码技术:包括对称密码和非对称密码,可能是分组密码,也可能采用序列密码文件加密的底层技术是数据加密。
(二)操作系统:文件系统是操作系统的重要组成部分。对文件的输入输出操作或文件的组织和存储形式进行加密也是文件加密的常用于段。对动态文件进行加密尤其需要熟悉文件系统的细节。文件系统与操作系统其他部分的关联,如设备管理、进程管理和内存管理等,都可被用于文件加密。
(三)文件分析技术:不同的文件类型的语义操作体现在对该文件类型进行操作的应用程序中,通过分析文件的语法结构和关联的应用程序代码而进行一些置换和替换,在实际应用中经常可以达到一定的文件加密效果。
利用以上技术文件加密主要包括以下内容。
文件的内容加密通常采用二进制加密的方法
文件的属性加密
文件的输入输出和操作过程的加密,即动态文件加密
透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起来保护文件内容的效果。透明加密有以下特点:
强制加密:安装系统后,所有指定类型文件都是强制加密的;
使用方便:不影响原有操作习惯,不需要限止端口;
于内无碍:内部交流时不需要作任何处理便能交流;
对外受阻:一旦文件离开使用环境,文件将自动失效,从而保护知识产权。
二、视频监控系统常用的主流加密算法
通常,视频监控系统业务数据和媒体数据采用分离的通道进行操作,其传输通道类型可分为信令流和媒体流。
1.信令流加密
业务数据加密是指每个控制命令或者参数设置命令都必须进行加密处理,采取加密业务信令通道的办法来保证信息的安全性,保证数据鉴别、防篡改、防窥视、鉴别来源、防止非法访问、防伪造。
系统对信令进行加密,所有信令都使用加密技术,为了支持加密技术,需增加会话准备操作,进行握手交换标识,以读取密码生成密钥,进而对包体进行加密。
2.媒体流加密
对于视频流的实时加密流程与信令流类似,同样需要进行交换标识,以读取密码生成密钥。
视频流和视颗控制信令应以不同的物理通道进行传输,视控制信令通过信令流传输,视频流通过媒体流传输。
视颊控制协议是视频監控终端与视频设备(视频管理服务器/监控平台、DVR、摄像机等设备)间的控制指令集,即建立视频监控图像连接的基本指令集。为保证通信中指令集不包含网络攻击指令、其他非法字符集或嵌入机密数据向外泄露,视频传输系统应具备视频协议安全控制功能,对所有视频监控交互指令进行严格安全过滤,阻断非法数据传输和网络攻击的入侵。
从具体的加密算法方面,针对信令流和媒体流加密,监控系统一般使用DES3DES2、AES(128位)、RSA3(1024或2048位)等加密算法。
DES、3DES是对称加密算法,即加密和解密使用相同密钥的算法,DES使用一个56位的密钥,3DES使用两个独立密钥对明文运行DES算法三次,从而得到112位有效密钥强度;一般监控系统可采用DES、3DES算法,保证信令流和媒体流的安全性。
AES(AdvancedEneryptionStandard,高级加密标准)为对称加密算法,支持长度为128、192和256位的密钥长度,其中128位密钥长度的AES是最常采用的版本,也是监控系统中采用较多的一种算法。
RSA是非对称加密算法,是目前最优秀的公钥方案之一,但是RSA的缺点是运算代价很高,尤其是速度较慢,较对称密码算法慢几个数量级,因此RSA一般用于对AES密钥的安全传输。由于AES加密算法是公开的,信息的保密依赖于AES密钥的保密,因此,对于对AES密钥的安全传输,可采用RSA非对称加密算法。
监控系统中的数据除了通过信令流和媒体流传输外,还有很多静止的数据,如存储的录像文件、音频数据,为保证安全性,同样也需要加密处理,针对录像文件加密的方法有很多,可采用3DES、AES(128位)、SCB2等。
此外,在监控系统中,为了确保图片和视频数据的安全可靠,监控系统可采用数字摘要、数字时间截及数字水印等技术防止信息的完整性被破坏。
数字摘要就是采用单项Hash函数将需要加密的明文"摘要"成一串固定长度(128位)的密文,数字摘要可采用信息摘要5(MD52),安全哈希算法1(SHA-1)、安全哈希算法256(SHA-256)等算法。
数字时间戳是用来证明消息的收发时间的,用户首先将需要加时间戳的文件经加密后形成文档,然后将摘要发送到专门提供数字时间截服务的权威机构,该机构对原摘要加上时间后,进行数字签名,用私钥加密,发送给原用户。
数字水印技术,即在抓拍照片或视频编码过程中加入隐藏标记,防止该照片或视频在传输、存储、处理过程中被恶意篡改,确保数据的保密性,水印制作方案采用密码学中的加密体系来加强,在水印嵌入、提取时采用一种密钥甚至几种密钥联合使用。
在数据安全传输协议方面,监控系统通常用到Https协议(SecureHypertextTransferProtocol,安全超文本传输协议)、EEE802.1X(基于端口的网络接入控制)、TS协议(TransportLayerSecurityProtocol,传输层安全协议)、sTp(Securereal-timeTransportProtocol,安全实时传输控制协议)。
ITPS协议是监控系统中应用较多的安全传输协议.HTPs协议是由SSL+HTP协议构建的可进行加密传输、身份认证的网络协议,所以一般应用于业务数据信令流的加密。
IEEE802.1X协议使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证动态密钥管理和记账,客户端通过认证获得身份验证,为会话生成唯一密钥,该密钥可用于监控系统消息安全传输。
TLS协议使得当服务器和客户机进行通信时,确保没有第三方能窃听或盜取信息nIS包括TS记录协议和TLS握手协议。TLS记录协议可使用如数据加密标准(DES)来保证连接安全。TS握手协议使服务器和客户机在数据交换之前进行相互鉴定,并协商加密算法和密钥。
视频流在传输层的加密也可使用SRTP对传输通道进行加密,SRTP是在RTP(Real-timeTransportProtocol,实时传输协议)的基础上所定义的一个协议,旨在为单播和多播应用程序中的实时传输协议的数据提供加密、消息认证、完整性保证和重放保护。