PKI技术在高速公路无线视频监控系统中一种应用.docVIP

PKI技术在高速公路无线视频监控系统中一种应用 　　摘要：目前视频监控系统已经是我国高速公路网的一个重要组成部分，而无线视频监控由于自身的移动性和便利性，在这方面有着广泛的应用前景。本文针对无线视频监控系统的网络安全性，提出了一种基于公钥基础设施PKI模型的安全机制，并且对PKI系统中常用的SSL认证和其相关的软件开发进行了探讨。 　　关键词：无线视频监控；安全机制；PKI；SSL 　　中图分类号：TN918.8+2文献标识码：A 文章编号：1672-3791(2011)06(B)-0000-00 　　 　　1引言 　　随着经济的飞速发展，我国的高速公路网络已经逐步形成，高速公路视频监控系统也已成为了整个高速公路网络运营管理的重要组成部分。一般的监控系统组成是在一些重要的场所（如收费站、车道等）[1]架设摄像机，将视频信号通过光纤网络传送到监控中心。但是，架设的固定摄像机必然有盲区存在，而摄像范围的限制也会导致远离摄像机的视频监控不够清晰。由于高速公路突发事件的地点偶然性，固定摄像机往往不能有效地满足视频监控、远程指挥的需要。对此，我们可利用无线网络的便利性，将摄像机安装在汽车上，车载系统将拍摄到的视频信号经过无线网络，将现场情况实时清楚地传输至监控中心。监控中心通过监控软件，实时掌握各个被监控点的情况，并对发生的情况做出反应和处理。 　　在建立和使用无线网络传输视频信号的时候我们不可避免的要遇到网络安全方面的问题，实际应用中，由于无线路由器是使用成品设备，因此无法从无法协议层进行改进，只能在选择路由器时采用安全系数最高的产品。因此考虑在上层增加安全机制，以提高系统的安全性以及对安全的控制能力。 　　 　　2基于PKI模型的无线视频监控中安全机制的建立 　　公钥基础设施PKI（Public Key Infrastructure）是目前网络安全建设的基础与核心，是保证应用安全性公认有效的解决方案。完整的PKI系统包括证书机构（Certification Authority，CA）、用户注册管理系统（Registration Authority，RA）、端实体、PKI存储库以及证书撤销列表（CRL）发布中心。其中证书机构CA、端实体是其基本组件，注册机构RA、PKI存储库、CRL发布中心为其辅助组件。 　　在无线网络视频监控系统中，我们注重的安全性主要包括以下几个方面：合法用户认证、机密文件的保密传输、用户等级的划分。对此系统来说，认证是最主要的内容，而文件保密传输，其重要性并不太高，对大量的视频数据进行加密并保护，一是没有太大意义，二是加密浪费系统资源，因此数据加密也只是针对某些比较重要的数据。所以我们根据实际情况，简化了上述的PKI体系，仅将系统划分为以下两个个组件：1、PKI基础设施；2、用户。 　　其中PKI基础设施涵盖了证书认证与签发、用户注册管理、CRL签发与发布、密钥管理四大功能；用户方则仅仅是利用申请的证书进行验证，然后通信。其系统示意图如图1所示。 　　 左侧为PKI基础设施，它是整个无线办公网络安全平台的关键部分，各组件功能如下：用户注册管理系统（RA）验证证书申请者身份、维护注册用户信息；证书操作系统（Certificate Processor，CP）实现证书签发、证书撤销、证书撤销列表（CRL）签发，CP与RA合称为证书认证中心（CA），作为安全平台中受信任的第三方；证书/CRL发布系统存储、管理CA签发的数字证书和CRL；证书/CRL查询系统对安全客户端提供相关查询服务；密钥备份恢复系统托管、备份客户的密钥对，保证密钥丢失的情况下加密数据能及时脱密。 　　图1的右侧为安全客户端，从CA获得数字证书后，安全客户端利用SSL协议以及CRL查询服务在无线媒质上建立安全通道，实现保密通信。 　　由于认证是其主要内容，因此我们着重研究了PKI系统中常用的SSL认证以及与认证相关的软件开发。 　　 　　3 采用OpenSSL实现PKI体系 　　3.1 SSL协议概述 　　SSL(Secure Sockets Layer 安全套接层), 位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。它实际上是由共同工作的两层协议组成。处于SSL协议底层的是SSL记录协议（SSL Record Protocol），它位于可靠的传输层协议（如TCP）之上，用于封装高层协议的数据。高层协议主要包括其中SSL握手协议（SSL Handshake Protocol）、更改密码规范协议（Change Cipher Spec Protocol）、警告协议（Alert Protocol）等。其中SSL握手协议允许服务器端和客户端相互认证，并在应用层协议传送数据之前协商出一个加密算法和会话密钥