2014年3月27日，中央電視臺報道了多起黑客利用家庭監控設備的漏洞將視頻泄露至網上的事件，引起了大家的高度關注。相信在這之前不少專家早已預料到事情會有發生的一天，熟悉網絡的人士只要稍微研究下目前安防界普遍采用的為遠程訪問攝像機、錄像機而設計的所謂私有DDNS系統，就不難發現其存在的巨大安全隱患。隱患轉化為現實災難的條件之一當然是用戶未及時修改設備的缺省密碼，或將密碼設置得過于簡單，但是企業也不能把責任完全推脫給用戶，設計方案和系統時必須充分考慮普通民眾的默認習慣及其可能引發的安全風險。

　　本文就民用安防普遍存在的安全隱患和方案對策略作探討，以期拋磚引玉。

　　賬戶管理

　　目前很多安防公司普遍采用的私有DDNS方案的大致架構是：企業在公網部署一個官方網站;用戶的前端設備放置在SOHO路由器的內網，通過uPNP協議或手工靜態配置讓路由器將其服務端口映射到公網，并向網站進行注冊;外網的用戶后端設備(PC、手機、解碼器等)向網站獲取前端設備的公網IP地址和服務端口號，便可向其發起訪問。此時，外網用戶登錄內網前端設備所要輸入的賬號通常就是設備本身的賬號，這個賬號因為用戶潛意識的以為處于內網的設備是安全的而不會被及時更改;另一方面，很多網站要求設備名全局唯一，這樣黑客就可以很輕松的獲得大量在用的設備名，并以缺省賬號登錄設備竊取實況和錄像視頻。

　　從理論上講，任何連接入網的設備都存在被攻擊的風險。用戶應該養成及時修改缺省密碼的習慣，而且密碼設置不能太過簡單。以目前很常見的雙核計算機為例，如果破解純數字的6位密碼只需幾秒鐘，那么破解“數字+字母+特殊符號”的6位密碼只需要22個小時，而破解“數字+字母+特殊符號”的8位密碼則需要23年——當然實際破解所需時間還與產品具體登錄流程的設計相關，但破解難度大致呈上述比例。所以密碼設置應至少采用“數字+字母+特殊符號”的8位字符串。

　　對企業來說，系統設計應該引導用戶及時修改默認賬號和密碼，并對密碼的強度做出一定的限制。

　　網絡防范

　　黑客入侵的前提是設備和客戶端聯入互聯網，聯網的入口通常是一個SOHO級路由器，通過NAT(網絡地址轉換)特性聯入運營商網絡。它是抵御攻擊的第一道防線，需要用戶認真規劃部署，企業設計方案時也應該充分考慮用戶網絡的安全性。

　　NAT特性有四個運行模式：完全錐型、地址限制錐型、端口限制錐型、對稱型，安全級別依次提升。完全錐型極不安全：只要內網的設備曾經訪問過外網的一臺設備，那么外網的任何設備都可以訪問該內網設備的對應業務端口;地址限制錐型也不夠安全，只要內網的設備曾經訪問過外網的某臺設備，該外網設備的任何進程均可以訪問該內網設備的對應業務端口;后兩種模式相對安全，只有外網設備的對應進程才可以訪問內網設備的對應業務端口。

　　可怕的是，目前網上大部分的SOHO路由器都采用了完全錐型模式。更為可怕的是，安防界普遍采用的私網DDNS方案要求SOHO路由器開啟uPNP協議或手工配置來映射業務端口，也就意味著，即使內網設備未曾訪問外網的任何設備，任何外網設備均可以直接訪問內網設備的對應業務端口。安全級別比完全錐型的NAT模式還要低。

　　沒有最不安全，只有更不安全。有些SOHO路由器因為存在質量問題，或者安防集成商對IT網絡比較陌生，會直接將路由器配置成DMZ模式。這意味著對應的內網設備完全被暴露在了外網——uPNP模式尚且只是對外暴露了對應的業務端口，而DMZ模式則干脆將內網設備的所有業務端口完全暴露了，“裸奔”是非常危險的。

　　用戶應該盡量選擇端口限制型的NAT模式(一般不推薦對稱模式的NAT，因為很多應用需要執行NAT“打洞”，對稱模式的NAT不具有NAT友好性，給“打洞”帶來困難)，禁用DMZ特性，盡量不啟用uPNP特性(除非游戲等應用必須開啟);此外強烈建議關閉WAN口登錄的功能。

　　對于企業來說，功能設計時盡避免要求用戶網絡開啟uPNP等特性，將麻煩留給自己，把安全留給用戶。

　　視頻傳輸和存儲

　　談起民用視頻監控，很多用戶最直觀的擔心是視頻被窺視、盜竊和非法傳播，導致隱私泄露。相對于模擬時代的監控，數字監控要安全得多，但風險依然存在。最直接的方法就是對視頻進行加密：加密傳輸、加密保存。

　　目前常見的方案分為兩類：DRM(數字內容的版權管理)和CA(有條件接收)。DRM的工作原理是：建立數字節目授權中心;編碼節目內容時即進行加密(一般采用公鑰)，數字節目頭部存放著KeyID和節目授權中心的URL;用戶點播時根據KeyID和URL信息向授權中心獲得解密密鑰(即對應的私鑰)，節目方可播放。DRM加密了內容，所以不管是實況視頻還是回放視頻或是本地下載的視頻，沒有解密密鑰根本無法觀看，從而避免了竊聽和非法傳播的隱患。CA的工作原理是：發送端用隨機碼發生器產生一個隨機碼(稱為控制字CW)對節目信號進行加擾，然后對控制字進行加密(通常用公鑰)，加密后的控制字復用到視頻流中傳送給接收端，接收端從智能卡中獲得解密密鑰(即對應的私鑰)解碼出控制字，再用控制字對視頻進行解擾獲得正常視頻。DRM和CA各有偏重，前者基于文件加密，在發送端保存的就是加密后的文件，支持復雜的授權規則，比如只看不許錄等，需要雙向交互;后者是基于傳輸層的加密，服務器保存的是未加密的視頻，播出時才加密，不支持復雜的授權規則，無需雙向交互。DRM和CA可以一起使用，事實上他們也在相互借鑒、相互融合。

　　落地到民用視頻監控，架構模型稍有不同：視頻產生方和接收方均在用戶這里，而提供協調的企業網站處于公網，這與音樂電影的版本管理模式以及數字電視的廣播模式稍有區別。此外，用戶的監控系統不一定聯入互聯網。針對產品的定位特點，企業在設計系統時需要靈活參鑒，變通設計。

　　對于民用視頻監控而言，靈活的授權規則也是一個重要的功能。當我們進行視頻共享時，對直系親屬的授權通常會多一些，而對鄰居朋友可能會多一些限制，例如只允許其實況而不允許其回放或下載。此外共享的時間段限制也是一個現實的授權需求。

　　密碼管理

　　密碼管理是一個復雜的問題，尤其對于民用安防需要同時兼顧其安全性和易用性，必須人性化的解決用戶日常使用的問題。

　　首先，如何讓用戶管理密碼?如果讓用戶給設備配置一個密碼，而解碼端依舊需要輸入解密密碼，那么他共享給他的親朋好友是否也要輸入解密密碼?這樣難免導致解密密碼的不可控制的擴散。

　　一個好的系統中，解碼密鑰應該由系統來統一控制，無需用戶手工輸入，最好是用戶根本不知道加解密的密碼，從而杜絕泄露擴散的可能性。

　　其次，密碼如何傳輸?CA系統的解密密碼是保存在硬件中的，不存在傳輸，比較安全，但是民用視頻監控不可能這樣設計，會影響靈活性，成本也會高很多。交互是必須的，但可以不是最終的密碼，否則難免被攔截竊取。

　　再次，密碼如何保存?密碼絕對不可以明文形式保存于任何一個節點，即使是用來生成密碼的種子也應該進行加密，這樣即使設備被竊，視頻也無法破解。加解密的密碼最好是動態變化的，這樣可以大大增加黑客破解的難度。

　　最后，為了支持第三方播放器的播放需求，比如將關鍵錄像作為證據提交給公安機關，系統必須提供轉碼功能允許用戶將加密視頻轉換成非加密視頻。

　　終極方案

　　如果上面幾個方面都做到位了，我們是否可以高枕無憂了呢?其實還有兩個隱患，當然發生的可能性要小很多。一是不小心讓黑客在你的客戶端植入了木馬，這意味著客戶端的整個解碼過程都暴露在了他的面前，但除非他破譯了推算真實密碼的完整算法(例如通過反編譯——如何防止反編譯可以參看相關教程)，否則他還是無法獲得真實密碼來破解視頻;二是企業的內鬼搗亂，由于整個方案系統是由企業提供的，它擁有相關的信息，理論上可以為所欲為，這與銀行必要時可以不經你同意處理你的賬戶是一個道理——所以企業內部必須實行內控，用戶信息必須加密存儲，若需解密起碼需經兩級主管的密碼輸入方可授權進行，這與核武器的管理模式類似。選家用安防產品應盡量選擇有品牌保證信譽好的大公司，他們視企業形象和名譽如生命。

　　說到這里，是不是有點隱私無法保障的感覺，處處都可能被偵聽?其實，無法被偵聽的方案是有的，只是離我們民用產品的應用尚需要一小段時間。它就是量子通信。聽起來可能讓人覺得很高深，其實也不是那么莫測。

　　量子通信具有絕對不可破譯的秘密傳輸的特點，這得益于量子的兩個有趣的特性：

　　一是同源的幾個光子(稱為EPR對粒子)具有相互糾纏的特性，即使它們相距十萬八千光年，一旦一個光子的狀態發生改變，另一個光子也瞬間跟著作相應改變。這是經過無數科學實驗驗證的事實。

　　二是量子態的不可克隆特性，即無法測量粒子的量子態，一旦被測量量子態即刻塌縮，原有的信息丟失。如同一枚旋轉中的硬幣，一旦碰觸，原來的狀態即可發生改變，得到只是正面或反面的兩個坍縮后的狀態之一。

　　量子通信的商用目前主要有兩種模式，一是量子密碼通信，二是量子隱形傳態。

　　量子密碼通信是以EPR對粒子的量子態作為密碼。利用EPR對粒子實現超遠距離的密碼傳輸具有同步性和不可被偵聽性;以量子態作為密碼保存具有不可被測量性。這就很好的解決了密碼傳輸和保存的安全性，杜絕了客戶端的木馬和企業的內鬼讀取用戶密碼的可能性。

　　量子隱形傳態不涉及信息的加密，而是將原始數據(可以以量子態存在，我們平時接觸的信息稱為經典態，經典態是量子態的一個特殊狀態)的信息巧妙的傳遞到接收者那里，而中間傳輸的信息即使被偵聽也無法恢復出原始的數據信息。原理框架是：發送方和接收方各獲得第三方機構頒發的EPR對的其中一個糾纏粒子;發送方對原始信息的量子態和他手里的那顆糾纏粒子做聯合量子測量，獲得坍縮后的一個經典態結果;這個結果通過傳統途徑(電子郵箱等)發送給接收方;接收方對收到的結果和他手里的糾纏粒子進行相應的量子變換，即可恢復出原始的數據信息。在這種應用模式中，接收端的木馬和企業內鬼由于無法讀取恢復數據所需的糾纏粒子的量子態，也就無法解碼出原始的信息。

　　我們常說的安全性其實有兩種標準：計算安全性和無條件安全性。前者指密碼系統在原理上是可破譯的，但是竊聽者破譯所需要的時間(計算)資源是無限的;后者指密碼系統在原理上就是不可破譯的。目前流行的加密手段都屬于前者，而量子通信屬于后者。事實上，一旦等量子計算機商用，依靠計算安全性的安全系統就完全成為擺設了，量子通信在目前的物理學認知范圍內是最可靠的解決方案。

　　結束語

　　還記得英國左翼作家喬治·奧威爾的小說《1984》么?估計我們誰也不希望過著沒有隱私的生活。視頻監控為安居宜居提供安全保障的同時，監控視頻本身的安全保障也就成為了一個相伴相生的重大課題。視頻監控廠家在為用戶提供各種監控產品的同時，系統的安全性也是宇視孜孜不倦追求的目標。

本文作者：宇視首席網絡科學家、宇視系統安全實驗室主任周迪