Part 01

傳統(tǒng)視頻加密技術(shù)簡(jiǎn)介 

-全部加密

使用加密算法加密整個(gè)視頻流。將視頻流同傳統(tǒng)的文本數(shù)據(jù)同樣對(duì)待，沒有利用視頻壓縮后數(shù)據(jù)流的特殊結(jié)構(gòu)。這種加密方式優(yōu)點(diǎn)是不需要考慮視頻協(xié)議，實(shí)現(xiàn)簡(jiǎn)單。但是由于需要對(duì)全部視頻數(shù)據(jù)進(jìn)行加密，計(jì)算量巨大，對(duì)終端性能要求較高，另外沒有考慮視頻協(xié)議格式，加密后視頻協(xié)議結(jié)構(gòu)完全被破壞。

-選擇性加密

1）基于視頻協(xié)議幀結(jié)構(gòu)選擇部分內(nèi)容進(jìn)行加密，其中有代表性且早提出的一種加密方法是僅僅加密I幀。然而由于P幀和B幀沒有加密，視頻畫面中變動(dòng)的部分沒有被保護(hù)，依然可以解析出來，所以這種僅加密I幀的方法無法達(dá)到令人滿意的效果。如圖1所示，I幀加密后依然可以看到畫面中變化的（紅色箭頭指示）部分。

圖1.  I幀加密前后畫面對(duì)比

另外一種思路是為了實(shí)現(xiàn)快速加密，僅加密幀頭信息，MPEG、H26x序列都按一定結(jié)構(gòu)組織圖像數(shù)據(jù)。由于MPEG、H26x等標(biāo)準(zhǔn)的視頻數(shù)據(jù)結(jié)構(gòu)比較固定，視頻數(shù)據(jù)本身又有很強(qiáng)的特征，這種僅加密頭信息的方法比較容易破譯。

Meyer and Gadegast 也是基于選擇性加密思路設(shè)計(jì)了一種新的似MPEG比特流，稱之為 SECMPEG。SECAM既能使用標(biāo)準(zhǔn)加密算法DES和RSA，又能實(shí)現(xiàn)不同級(jí)別的密級(jí)。第一級(jí)：加密所有的頭信息（Headers）；第二級(jí)：加密所有的頭信息（Headers）和I-Block中的DC和AC系數(shù)；第三級(jí)：加密I幀和PB幀；第四級(jí)：加密所有的數(shù)據(jù)。

2）基于視頻協(xié)議進(jìn)一步深入延伸，Bharat Bhargava等提出了一種加密DCT符號(hào)，運(yùn)動(dòng)矢量MV符號(hào)的方法。這種方法除了加密I幀，還要加密 PB幀的 DCT符號(hào)位和運(yùn)動(dòng)矢量MV的符號(hào)位稱之為MVEA算法。相對(duì)保密性要好得多。

使用密鑰加密（如DES或IDEA）的密碼學(xué)算法來對(duì)DCT系數(shù)或運(yùn)動(dòng)矢量 MV符號(hào)位進(jìn)行加密 ，作者稱之為RVEA算法。

還有一種叫做基于統(tǒng)計(jì)規(guī)律的視頻加密算法，這種方法中壓縮和加密之間具有共同點(diǎn)，即兩者都致力于去除冗余信息。該方法不影響壓縮率。但是此方式只適用于壓縮的視頻編碼，并且加密加密效果受壓縮算法的效果影響，有一定的適用場(chǎng)景限制。

3）其他加密技術(shù)，例如Zig-Zag置亂算法(Zig-Zag Permutation Algorithm) 、改變 Huffman碼表算法和純置亂算法 （Pure Permutation Algorithm）等加密強(qiáng)度一般，本文不做討論。

Part 02

中國(guó)移動(dòng)一機(jī)一密視頻加密技術(shù)概述 

一機(jī)一密團(tuán)隊(duì)基于上述分析實(shí)現(xiàn)了高強(qiáng)度高靈活性的視頻逐幀加密技術(shù)，基本原理如圖2所示。

圖2.逐幀加密基本原理

向廠商提供一種IPB幀可選的視頻逐幀加密技術(shù)，廠商可根據(jù)自己的需求，選擇加密哪些視頻幀，同時(shí)該方案結(jié)合一機(jī)一密實(shí)現(xiàn)每個(gè)設(shè)備出廠即燒錄唯一獨(dú)立的密鑰，保證密鑰高安全性，同時(shí)為了兼容rtsp等視頻協(xié)議，視頻加密過程進(jìn)行特殊處理保證加密后的視頻不影響該協(xié)議有效性，例如vlc等播放器播放加密后的畫面。如圖3所示。

圖3. 加密前后視頻數(shù)據(jù)對(duì)比（I幀）

該技術(shù)基于加密結(jié)果沖突替換機(jī)制，避免加密結(jié)果破壞原有視頻協(xié)議，實(shí)現(xiàn)視頻內(nèi)容透明加密，即視頻數(shù)據(jù)加密后不影響視頻協(xié)議解析，例如視頻傳輸協(xié)議以及vlc播放器播放等。如圖3所示，加密后的視頻依然可以使用vlc播放器播放，只是畫面無意義。

圖4 總體架構(gòu)

?如圖4所示，基于該技術(shù)延伸產(chǎn)生一機(jī)一密視頻分層加密解決方案，該方案整體上采用行業(yè)領(lǐng)先的分層加解密技術(shù)，即加密密鑰與視頻內(nèi)容分離獨(dú)立部署，該技術(shù)最大優(yōu)點(diǎn)是將視頻流與加密密鑰隔離部署，即使其中一方遭受攻擊，攻擊者也無法還原加密內(nèi)容。

圖5. 技術(shù)方案

如圖5所示，整體方案由加密SDK、解密SDK、密鑰安全平臺(tái)構(gòu)成，實(shí)現(xiàn)視頻內(nèi)容全生命周期安全防護(hù)，徹底杜絕安防視頻泄露風(fēng)險(xiǎn)。加密SDK集成部署在攝像頭中，視頻在攝像頭中生成后直接加密，實(shí)現(xiàn)從源頭加密保證明文視頻不出攝像頭（源頭加密）；加密視頻內(nèi)容經(jīng)過網(wǎng)絡(luò)流轉(zhuǎn)到IoT業(yè)務(wù)平臺(tái)，由于視頻內(nèi)容已經(jīng)從源頭加密，傳輸過程即使被攻擊導(dǎo)致內(nèi)容泄露，攻擊者也無法看到視頻內(nèi)容（安全流轉(zhuǎn)）;加密后的視頻內(nèi)容按需在IoT業(yè)務(wù)平臺(tái)存儲(chǔ)，由于視頻內(nèi)容已經(jīng)加密，即使視頻存儲(chǔ)平臺(tái)被攻擊導(dǎo)致內(nèi)容泄露，攻擊者也無法看到視頻內(nèi)容（安全存儲(chǔ)）。加密前后安全性對(duì)比如圖6所示。

圖6. 加密前后安全性示意