PKI技术在高速公路无线视频监控系统中的一种应用

PKI技术在高速公路无线视频监控系统中的一种应用摘要:目前视频监控系统已经是我国高速公路网的一个重要组成部分,而无线视频监控由于自身的移动性和便利性,在这方面有着广泛的应用前景。本文针对无线视频监控系统的网络安全性,提出了一种基于公钥基础设施PKI模型的安全机制,并且对PKI系统中常用的SSL认证和其相关的软件开发进行了探讨。

关键词:无线视频监控安全机制PKI SSL

随着经济的飞速发展,我国的高速公路网络已经逐步形成,高速公路视频监控系统也已成为了整个高速公路网络运营管理的重要组成部分。一般的监控系统组成是在一些重要的场所(如收费站、车道等)[1]架设摄像机,将视频信号通过光纤网络传送到监控中心。但是,架设的固定摄像机必然有盲区存在,而摄像范围的限制也会导致远离摄像机的视频监控不够清晰。由于高速公路突发事件的地点偶然性,固定摄像机往往不能有效地满足视频监控、远程指挥的需要。对此,我们可利用无线网络的便利性,将摄像机安装在汽车上,车载系统将拍摄到的视频信号经过无线网络,将现场情况实时清楚地传输至监控中心。监控中心通过监控软件,实时掌握各个被监控点的情况,并对发生的情况做出反应和处理。

在建立和使用无线网络传输视频信号的时候我们不可避免的要遇到网络安全方面的问题,实际应用中,由于无线路由器是使用成品设

备,因此无法从无法协议层进行改进,只能在选择路由器时采用安全系数最高的产品。因此考虑在上层增加安全机制,以提高系统的安全性以及对安全的控制能力。

1 基于PKI模型的无线视频监控中安全机制的建立

公钥基础设施PKI(Public Key Infrastructure)是目前网络安全建设的基础与核心,是保证应用安全性公认有效的解决方案。完整的PKI 系统包括证书机构(Certification Authority,CA)、用户注册管理系统(Registration Authority,RA)、端实体、PKI存储库以及证书撤销列表(CRL)发布中心。其中证书机构CA、端实体是其基本组件,注册机构RA、PKI存储库、CRL发布中心为其辅助组件。

在无线网络视频监控系统中,我们注重的安全性主要包括以下几个方面:合法用户认证、机密文件的保密传输、用户等级的划分。对此系统来说,认证是最主要的内容,而文件保密传输,其重要性并不太高,对大量的视频数据进行加密并保护,一是没有太大意义;二是加密浪费系统资源,因此数据加密也只是针对某些比较重要的数据。所以我们根据实际情况,简化了上述的PKI体系,仅将系统划分为以下两个个组件:(1)PKI基础设施;(2)用户。

其中PKI基础设施涵盖了证书认证与签发、用户注册管理、CRL 签发与发布、密钥管理四大功能;用户方则仅仅是利用申请的证书进行验证,然后通信。其系统示意图如图1所示。

左侧为PKI基础设施,它是整个无线办公网络安全平台的关键部分,各组件功能如下:用户注册管理系统(RA)验证证书申请者身份、维护注册用户信息;证书操作系统(Certificate Processor,CP)实现证书签发、证书撤销、证书撤销列表(CRL)签发,CP与RA合称为证书认证中心(CA),作为安全平台中受信任的第三方;证书/CRL发布系统存储、管理CA签发的数字证书和CRL;证书/CRL查询系统对安全客户端提供相关查询服务;密钥备份恢复系统托管、备份客户的密钥对,保证密钥丢失的情况下加密数据能及时脱密。

图1的右侧为安全客户端,从CA获得数字证书后,安全客户端利用SSL协议以及CRL查询服务在无线媒质上建立安全通道,实现保密通信。

由于认证是其主要内容,因此我们着重研究了PKI系统中常用的SSL认证以及与认证相关的软件开发。

2 采用OpenSSL实现PKI体系

2.1 SSL协议概述

SSL(Secure Sockets Layer安全套接层),位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。它实际上是由共同工作的两层协议组成。处于SSL协议底层的是SSL记录协议(SSL Record

Protocol),它位于可靠的传输层协议(如TCP)之上,用于封装高层协议的数据。高层协议主要包括其中SSL握手协议(SSL Handshake Protocol)、更改密码规范协议(Change Cipher Spec Protocol)、警告协议(Alert Protocol)等。其中SSL握手协议允许服务器端和客户端相互认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥,SSL握手协议是SSL协议的核心。

2.2 基于OPENSSL的软件实现

客户端在进行SSL通信前首先检查是否具有数字证书,若没有,则向CA提出证书申请。CA验证证书请求是否合格,若合格,生成用户的加密密钥对和对应的数字证书,分别备份或保存在密钥备份恢复系统和证书/CRL发布系统;若证书请求不合格,则拒绝该请求。CA用自己的私钥对生成的数字证书签名,并把该证书发送给客户端。

在安全平台运行期间,CA根据安全规则可以撤销发布的证书,签发对应的CRL,并将其保存在证书/CRL发布系统。

获得数字证书后,客户端之间依靠SSL协议进行安全通信;在通信过程中客户端从证书/CRL查询系统下载最新的CRL,以验证通信对方数字证书的有效性。

利用OpenSSL的ca命令可以实现一个小型CA系统。它能签发证书请求和生成CRL,并维护一个已签发证书状态的文本数据库。用户从CA获得CA的证书,以及自己的证书和私钥后,就可以完成SSL

中客户端与服务器间的信息加密传输、数据的完整性验证以及通信双方的身份认证等功能。

3 结语

目前,网络安全多采用协议层集成IPsec与AAA认证相结合的技术,但对于某些成品设备,不支持IP层的网络安全,就不能够保证必要的安全。本文提出的对于无线视频监控系统中的安全缺陷,我们提出在应用层采用PKI技术,建立CA系统,使用常用的Openssl库实现了在上层的安全。通过这种方法,高速公路无线视频监控系统的无线网络安全性得到了一定的提高。

参考文献

[1] 李剑.无线局域网技术在高速公路监控系统中的应用[J].科技资讯,2007,23:113～114.

[2] 马建峰,朱建明.无线局域网安全—方法与技术[M].机械工业出版社,2005,8.

[3] 荆继武,林璟锵,冯登国.PKI技术[M].北京:科学出版社,2008.

[4] 王志海,童新海,沈寒辉.OpenSSL与网络信息安全[M].北京:清华大学出版社,北京交通大学出版社,2007.