2014年3月27日，中央電視臺(tái)報(bào)道了多起黑客利用家庭監(jiān)控設(shè)備的漏洞將視頻泄露至網(wǎng)上的事件，引起了大家的高度關(guān)注。相信在這之前不少專家早已預(yù)料到事情會(huì)有發(fā)生的一天，熟悉網(wǎng)絡(luò)的人士只要稍微研究下目前安防界普遍采用的為遠(yuǎn)程訪問(wèn)攝像機(jī)、錄像機(jī)而設(shè)計(jì)的所謂私有DDNS系統(tǒng)，就不難發(fā)現(xiàn)其存在的巨大安全隱患。隱患轉(zhuǎn)化為現(xiàn)實(shí)災(zāi)難的條件之一當(dāng)然是用戶未及時(shí)修改設(shè)備的缺省密碼，或?qū)⒚艽a設(shè)置得過(guò)于簡(jiǎn)單，但是企業(yè)也不能把責(zé)任完全推脫給用戶，設(shè)計(jì)方案和系統(tǒng)時(shí)必須充分考慮普通民眾的默認(rèn)習(xí)慣及其可能引發(fā)的安全風(fēng)險(xiǎn)。

　　本文就民用安防普遍存在的安全隱患和方案對(duì)策略作探討，以期拋磚引玉。

　　賬戶管理

　　目前很多安防公司普遍采用的私有DDNS方案的大致架構(gòu)是：企業(yè)在公網(wǎng)部署一個(gè)官方網(wǎng)站;用戶的前端設(shè)備放置在SOHO路由器的內(nèi)網(wǎng)，通過(guò)uPNP協(xié)議或手工靜態(tài)配置讓路由器將其服務(wù)端口映射到公網(wǎng)，并向網(wǎng)站進(jìn)行注冊(cè);外網(wǎng)的用戶后端設(shè)備(PC、手機(jī)、解碼器等)向網(wǎng)站獲取前端設(shè)備的公網(wǎng)IP地址和服務(wù)端口號(hào)，便可向其發(fā)起訪問(wèn)。此時(shí)，外網(wǎng)用戶登錄內(nèi)網(wǎng)前端設(shè)備所要輸入的賬號(hào)通常就是設(shè)備本身的賬號(hào)，這個(gè)賬號(hào)因?yàn)橛脩魸撘庾R(shí)的以為處于內(nèi)網(wǎng)的設(shè)備是安全的而不會(huì)被及時(shí)更改;另一方面，很多網(wǎng)站要求設(shè)備名全局唯一，這樣黑客就可以很輕松的獲得大量在用的設(shè)備名，并以缺省賬號(hào)登錄設(shè)備竊取實(shí)況和錄像視頻。

　　從理論上講，任何連接入網(wǎng)的設(shè)備都存在被攻擊的風(fēng)險(xiǎn)。用戶應(yīng)該養(yǎng)成及時(shí)修改缺省密碼的習(xí)慣，而且密碼設(shè)置不能太過(guò)簡(jiǎn)單。以目前很常見(jiàn)的雙核計(jì)算機(jī)為例，如果破解純數(shù)字的6位密碼只需幾秒鐘，那么破解“數(shù)字+字母+特殊符號(hào)”的6位密碼只需要22個(gè)小時(shí)，而破解“數(shù)字+字母+特殊符號(hào)”的8位密碼則需要23年——當(dāng)然實(shí)際破解所需時(shí)間還與產(chǎn)品具體登錄流程的設(shè)計(jì)相關(guān)，但破解難度大致呈上述比例。所以密碼設(shè)置應(yīng)至少采用“數(shù)字+字母+特殊符號(hào)”的8位字符串。

　　對(duì)企業(yè)來(lái)說(shuō)，系統(tǒng)設(shè)計(jì)應(yīng)該引導(dǎo)用戶及時(shí)修改默認(rèn)賬號(hào)和密碼，并對(duì)密碼的強(qiáng)度做出一定的限制。

　　網(wǎng)絡(luò)防范

　　黑客入侵的前提是設(shè)備和客戶端聯(lián)入互聯(lián)網(wǎng)，聯(lián)網(wǎng)的入口通常是一個(gè)SOHO級(jí)路由器，通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)特性聯(lián)入運(yùn)營(yíng)商網(wǎng)絡(luò)。它是抵御攻擊的第一道防線，需要用戶認(rèn)真規(guī)劃部署，企業(yè)設(shè)計(jì)方案時(shí)也應(yīng)該充分考慮用戶網(wǎng)絡(luò)的安全性。

　　NAT特性有四個(gè)運(yùn)行模式：完全錐型、地址限制錐型、端口限制錐型、對(duì)稱型，安全級(jí)別依次提升。完全錐型極不安全：只要內(nèi)網(wǎng)的設(shè)備曾經(jīng)訪問(wèn)過(guò)外網(wǎng)的一臺(tái)設(shè)備，那么外網(wǎng)的任何設(shè)備都可以訪問(wèn)該內(nèi)網(wǎng)設(shè)備的對(duì)應(yīng)業(yè)務(wù)端口;地址限制錐型也不夠安全，只要內(nèi)網(wǎng)的設(shè)備曾經(jīng)訪問(wèn)過(guò)外網(wǎng)的某臺(tái)設(shè)備，該外網(wǎng)設(shè)備的任何進(jìn)程均可以訪問(wèn)該內(nèi)網(wǎng)設(shè)備的對(duì)應(yīng)業(yè)務(wù)端口;后兩種模式相對(duì)安全，只有外網(wǎng)設(shè)備的對(duì)應(yīng)進(jìn)程才可以訪問(wèn)內(nèi)網(wǎng)設(shè)備的對(duì)應(yīng)業(yè)務(wù)端口。

　　可怕的是，目前網(wǎng)上大部分的SOHO路由器都采用了完全錐型模式。更為可怕的是，安防界普遍采用的私網(wǎng)DDNS方案要求SOHO路由器開啟uPNP協(xié)議或手工配置來(lái)映射業(yè)務(wù)端口，也就意味著，即使內(nèi)網(wǎng)設(shè)備未曾訪問(wèn)外網(wǎng)的任何設(shè)備，任何外網(wǎng)設(shè)備均可以直接訪問(wèn)內(nèi)網(wǎng)設(shè)備的對(duì)應(yīng)業(yè)務(wù)端口。安全級(jí)別比完全錐型的NAT模式還要低。

　　沒(méi)有最不安全，只有更不安全。有些SOHO路由器因?yàn)榇嬖谫|(zhì)量問(wèn)題，或者安防集成商對(duì)IT網(wǎng)絡(luò)比較陌生，會(huì)直接將路由器配置成DMZ模式。這意味著對(duì)應(yīng)的內(nèi)網(wǎng)設(shè)備完全被暴露在了外網(wǎng)——uPNP模式尚且只是對(duì)外暴露了對(duì)應(yīng)的業(yè)務(wù)端口，而DMZ模式則干脆將內(nèi)網(wǎng)設(shè)備的所有業(yè)務(wù)端口完全暴露了，“裸奔”是非常危險(xiǎn)的。

　　用戶應(yīng)該盡量選擇端口限制型的NAT模式(一般不推薦對(duì)稱模式的NAT，因?yàn)楹芏鄳?yīng)用需要執(zhí)行NAT“打洞”，對(duì)稱模式的NAT不具有NAT友好性，給“打洞”帶來(lái)困難)，禁用DMZ特性，盡量不啟用uPNP特性(除非游戲等應(yīng)用必須開啟);此外強(qiáng)烈建議關(guān)閉WAN口登錄的功能。

　　對(duì)于企業(yè)來(lái)說(shuō)，功能設(shè)計(jì)時(shí)盡避免要求用戶網(wǎng)絡(luò)開啟uPNP等特性，將麻煩留給自己，把安全留給用戶。

　　視頻傳輸和存儲(chǔ)

　　談起民用視頻監(jiān)控，很多用戶最直觀的擔(dān)心是視頻被窺視、盜竊和非法傳播，導(dǎo)致隱私泄露。相對(duì)于模擬時(shí)代的監(jiān)控，數(shù)字監(jiān)控要安全得多，但風(fēng)險(xiǎn)依然存在。最直接的方法就是對(duì)視頻進(jìn)行加密：加密傳輸、加密保存。

　　目前常見(jiàn)的方案分為兩類：DRM(數(shù)字內(nèi)容的版權(quán)管理)和CA(有條件接收)。DRM的工作原理是：建立數(shù)字節(jié)目授權(quán)中心;編碼節(jié)目?jī)?nèi)容時(shí)即進(jìn)行加密(一般采用公鑰)，數(shù)字節(jié)目頭部存放著KeyID和節(jié)目授權(quán)中心的URL;用戶點(diǎn)播時(shí)根據(jù)KeyID和URL信息向授權(quán)中心獲得解密密鑰(即對(duì)應(yīng)的私鑰)，節(jié)目方可播放。DRM加密了內(nèi)容，所以不管是實(shí)況視頻還是回放視頻或是本地下載的視頻，沒(méi)有解密密鑰根本無(wú)法觀看，從而避免了竊聽(tīng)和非法傳播的隱患。CA的工作原理是：發(fā)送端用隨機(jī)碼發(fā)生器產(chǎn)生一個(gè)隨機(jī)碼(稱為控制字CW)對(duì)節(jié)目信號(hào)進(jìn)行加擾，然后對(duì)控制字進(jìn)行加密(通常用公鑰)，加密后的控制字復(fù)用到視頻流中傳送給接收端，接收端從智能卡中獲得解密密鑰(即對(duì)應(yīng)的私鑰)解碼出控制字，再用控制字對(duì)視頻進(jìn)行解擾獲得正常視頻。DRM和CA各有偏重，前者基于文件加密，在發(fā)送端保存的就是加密后的文件，支持復(fù)雜的授權(quán)規(guī)則，比如只看不許錄等，需要雙向交互;后者是基于傳輸層的加密，服務(wù)器保存的是未加密的視頻，播出時(shí)才加密，不支持復(fù)雜的授權(quán)規(guī)則，無(wú)需雙向交互。DRM和CA可以一起使用，事實(shí)上他們也在相互借鑒、相互融合。

　　落地到民用視頻監(jiān)控，架構(gòu)模型稍有不同：視頻產(chǎn)生方和接收方均在用戶這里，而提供協(xié)調(diào)的企業(yè)網(wǎng)站處于公網(wǎng)，這與音樂(lè)電影的版本管理模式以及數(shù)字電視的廣播模式稍有區(qū)別。此外，用戶的監(jiān)控系統(tǒng)不一定聯(lián)入互聯(lián)網(wǎng)。針對(duì)產(chǎn)品的定位特點(diǎn)，企業(yè)在設(shè)計(jì)系統(tǒng)時(shí)需要靈活參鑒，變通設(shè)計(jì)。

　　對(duì)于民用視頻監(jiān)控而言，靈活的授權(quán)規(guī)則也是一個(gè)重要的功能。當(dāng)我們進(jìn)行視頻共享時(shí)，對(duì)直系親屬的授權(quán)通常會(huì)多一些，而對(duì)鄰居朋友可能會(huì)多一些限制，例如只允許其實(shí)況而不允許其回放或下載。此外共享的時(shí)間段限制也是一個(gè)現(xiàn)實(shí)的授權(quán)需求。

　　密碼管理

　　密碼管理是一個(gè)復(fù)雜的問(wèn)題，尤其對(duì)于民用安防需要同時(shí)兼顧其安全性和易用性，必須人性化的解決用戶日常使用的問(wèn)題。

　　首先，如何讓用戶管理密碼?如果讓用戶給設(shè)備配置一個(gè)密碼，而解碼端依舊需要輸入解密密碼，那么他共享給他的親朋好友是否也要輸入解密密碼?這樣難免導(dǎo)致解密密碼的不可控制的擴(kuò)散。

　　一個(gè)好的系統(tǒng)中，解碼密鑰應(yīng)該由系統(tǒng)來(lái)統(tǒng)一控制，無(wú)需用戶手工輸入，最好是用戶根本不知道加解密的密碼，從而杜絕泄露擴(kuò)散的可能性。

　　其次，密碼如何傳輸?CA系統(tǒng)的解密密碼是保存在硬件中的，不存在傳輸，比較安全，但是民用視頻監(jiān)控不可能這樣設(shè)計(jì)，會(huì)影響靈活性，成本也會(huì)高很多。交互是必須的，但可以不是最終的密碼，否則難免被攔截竊取。

　　再次，密碼如何保存?密碼絕對(duì)不可以明文形式保存于任何一個(gè)節(jié)點(diǎn)，即使是用來(lái)生成密碼的種子也應(yīng)該進(jìn)行加密，這樣即使設(shè)備被竊，視頻也無(wú)法破解。加解密的密碼最好是動(dòng)態(tài)變化的，這樣可以大大增加黑客破解的難度。

　　最后，為了支持第三方播放器的播放需求，比如將關(guān)鍵錄像作為證據(jù)提交給公安機(jī)關(guān)，系統(tǒng)必須提供轉(zhuǎn)碼功能允許用戶將加密視頻轉(zhuǎn)換成非加密視頻。

　　終極方案

　　如果上面幾個(gè)方面都做到位了，我們是否可以高枕無(wú)憂了呢?其實(shí)還有兩個(gè)隱患，當(dāng)然發(fā)生的可能性要小很多。一是不小心讓黑客在你的客戶端植入了木馬，這意味著客戶端的整個(gè)解碼過(guò)程都暴露在了他的面前，但除非他破譯了推算真實(shí)密碼的完整算法(例如通過(guò)反編譯——如何防止反編譯可以參看相關(guān)教程)，否則他還是無(wú)法獲得真實(shí)密碼來(lái)破解視頻;二是企業(yè)的內(nèi)鬼?yè)v亂，由于整個(gè)方案系統(tǒng)是由企業(yè)提供的，它擁有相關(guān)的信息，理論上可以為所欲為，這與銀行必要時(shí)可以不經(jīng)你同意處理你的賬戶是一個(gè)道理——所以企業(yè)內(nèi)部必須實(shí)行內(nèi)控，用戶信息必須加密存儲(chǔ)，若需解密起碼需經(jīng)兩級(jí)主管的密碼輸入方可授權(quán)進(jìn)行，這與核武器的管理模式類似。選家用安防產(chǎn)品應(yīng)盡量選擇有品牌保證信譽(yù)好的大公司，他們視企業(yè)形象和名譽(yù)如生命。

　　說(shuō)到這里，是不是有點(diǎn)隱私無(wú)法保障的感覺(jué)，處處都可能被偵聽(tīng)?其實(shí)，無(wú)法被偵聽(tīng)的方案是有的，只是離我們民用產(chǎn)品的應(yīng)用尚需要一小段時(shí)間。它就是量子通信。聽(tīng)起來(lái)可能讓人覺(jué)得很高深，其實(shí)也不是那么莫測(cè)。

　　量子通信具有絕對(duì)不可破譯的秘密傳輸?shù)奶攸c(diǎn)，這得益于量子的兩個(gè)有趣的特性：

　　一是同源的幾個(gè)光子(稱為EPR對(duì)粒子)具有相互糾纏的特性，即使它們相距十萬(wàn)八千光年，一旦一個(gè)光子的狀態(tài)發(fā)生改變，另一個(gè)光子也瞬間跟著作相應(yīng)改變。這是經(jīng)過(guò)無(wú)數(shù)科學(xué)實(shí)驗(yàn)驗(yàn)證的事實(shí)。

　　二是量子態(tài)的不可克隆特性，即無(wú)法測(cè)量粒子的量子態(tài)，一旦被測(cè)量量子態(tài)即刻塌縮，原有的信息丟失。如同一枚旋轉(zhuǎn)中的硬幣，一旦碰觸，原來(lái)的狀態(tài)即可發(fā)生改變，得到只是正面或反面的兩個(gè)坍縮后的狀態(tài)之一。

　　量子通信的商用目前主要有兩種模式，一是量子密碼通信，二是量子隱形傳態(tài)。

　　量子密碼通信是以EPR對(duì)粒子的量子態(tài)作為密碼。利用EPR對(duì)粒子實(shí)現(xiàn)超遠(yuǎn)距離的密碼傳輸具有同步性和不可被偵聽(tīng)性;以量子態(tài)作為密碼保存具有不可被測(cè)量性。這就很好的解決了密碼傳輸和保存的安全性，杜絕了客戶端的木馬和企業(yè)的內(nèi)鬼讀取用戶密碼的可能性。

　　量子隱形傳態(tài)不涉及信息的加密，而是將原始數(shù)據(jù)(可以以量子態(tài)存在，我們平時(shí)接觸的信息稱為經(jīng)典態(tài)，經(jīng)典態(tài)是量子態(tài)的一個(gè)特殊狀態(tài))的信息巧妙的傳遞到接收者那里，而中間傳輸?shù)男畔⒓词贡粋陕?tīng)也無(wú)法恢復(fù)出原始的數(shù)據(jù)信息。原理框架是：發(fā)送方和接收方各獲得第三方機(jī)構(gòu)頒發(fā)的EPR對(duì)的其中一個(gè)糾纏粒子;發(fā)送方對(duì)原始信息的量子態(tài)和他手里的那顆糾纏粒子做聯(lián)合量子測(cè)量，獲得坍縮后的一個(gè)經(jīng)典態(tài)結(jié)果;這個(gè)結(jié)果通過(guò)傳統(tǒng)途徑(電子郵箱等)發(fā)送給接收方;接收方對(duì)收到的結(jié)果和他手里的糾纏粒子進(jìn)行相應(yīng)的量子變換，即可恢復(fù)出原始的數(shù)據(jù)信息。在這種應(yīng)用模式中，接收端的木馬和企業(yè)內(nèi)鬼由于無(wú)法讀取恢復(fù)數(shù)據(jù)所需的糾纏粒子的量子態(tài)，也就無(wú)法解碼出原始的信息。

　　我們常說(shuō)的安全性其實(shí)有兩種標(biāo)準(zhǔn)：計(jì)算安全性和無(wú)條件安全性。前者指密碼系統(tǒng)在原理上是可破譯的，但是竊聽(tīng)者破譯所需要的時(shí)間(計(jì)算)資源是無(wú)限的;后者指密碼系統(tǒng)在原理上就是不可破譯的。目前流行的加密手段都屬于前者，而量子通信屬于后者。事實(shí)上，一旦等量子計(jì)算機(jī)商用，依靠計(jì)算安全性的安全系統(tǒng)就完全成為擺設(shè)了，量子通信在目前的物理學(xué)認(rèn)知范圍內(nèi)是最可靠的解決方案。

　　結(jié)束語(yǔ)

　　還記得英國(guó)左翼作家喬治·奧威爾的小說(shuō)《1984》么?估計(jì)我們誰(shuí)也不希望過(guò)著沒(méi)有隱私的生活。視頻監(jiān)控為安居宜居提供安全保障的同時(shí)，監(jiān)控視頻本身的安全保障也就成為了一個(gè)相伴相生的重大課題。視頻監(jiān)控廠家在為用戶提供各種監(jiān)控產(chǎn)品的同時(shí)，系統(tǒng)的安全性也是宇視孜孜不倦追求的目標(biāo)。

本文作者：宇視首席網(wǎng)絡(luò)科學(xué)家、宇視系統(tǒng)安全實(shí)驗(yàn)室主任周迪