1 引  言

　　隨著Internet網絡的迅速發展，基于Internet網絡的各種應用層出不窮，遠程視頻監控是其中很有發展前景的應用之一。一方面視頻壓縮技術有了很大的發展，另一方面光纖到樓，光纖到戶以及ADSL等多種網絡接入方式，使企業、家庭等不同用戶都能方便地享受寬帶Internet網絡，用于家庭安全、工業控制等的基于Internet網絡的遠程視頻監控系統已開始成為研究的熱點。

　　目前基于Internet網絡的遠程視頻監控系統一般采用比較簡單的呼叫控制流程，如采用自定義的呼叫建立命令，而且對于視頻監控系統的安全性也考慮不夠充分，有的系統增加了用戶認證，在遠程監控端設置服務器，存放注冊用戶的用戶名、密碼以及其他信息，只有合法用戶才可以呼叫本地監控端。但這種安全方案中只是保證了主叫端用戶登錄時的安全性，而且用戶管理報務器集中存放了用戶名和密碼，很容易成為黑客攻擊對象，一但用戶安全信息被竊取，整個系統的安全性就被破壞了。如果在后續的呼叫控制過程中增加被叫端參與安全認證，就可以大大加強遠程視頻監控業務的安全性。

　　2 基于Internet網絡的遠程視頻監控系統

　　基于Internet網絡的遠程視頻監控系統如圖1所示，包括遠程監控端和本地監控端。本地監控是位于監控現場的獨立的嵌入式設備，負責本地音頻信息的采集、編碼、加密和傳送，并負責對以下第3節中提出的遠程監控密碼的安全認證。

　　遠程監控端是具有遠程監控功能的計算機或IP可視終端，負責對以下第3節中提出的遠程監控密碼進行加密和傳送，并負責在遠程監控密碼被安全認證通過之后，對被監控端音視頻媒體數據進行解密、解碼和播放。遠程監控端與本地監控端之間通過Internet網絡連接。

　　3 采用H.323協議實現安全的遠程視頻監控的方法和原理

　　ITU-T H.323協議體系為現有的分組網絡提供多媒體通信的標準，它規定基于分組網進行兩點／多點實時媒體通信的系統邏輯組件、消息定義和通信過程。H.323已廣泛地應用于可視電話、視頻會議等IP寬帶業務中。

　　這里所描述的實現基于Internet網絡的安全的遠程視頻監控的方法是在H.323多媒體通信協議流程的基礎上，增加了遠程監控密碼的加密、傳送、解密和驗證的過程，以及在遠程監控密碼通過驗證后，本地監控端的音視頻媒體數據的加密、傳送和解密的過程。

　　采用H.323協議實現安全的遠程視頻監控的方法主要包括以下3個部分：

　　(1)利用H.323消息流程傳送和驗證遠程監控密碼的過程；(2)遠程監控密碼的加密和解密過程；(3)音視頻媒體數據的加密和解密過程。

　　3.1 利用H.323消息流程傳送和驗證遠程監控密碼的過程

　　利用H.323消息流程傳送和驗證遠程監控密碼的過程，可以有2種方式，一種方式是在呼叫控制流程中傳送和驗證遠程監控密碼，另一種方式是在呼叫控制和媒體控制過程后傳送和驗證遠程監控密碼。

　　3.1.1 方式一

　　如圖2所示，在呼叫控制流程中傳送和驗證遠程監控密碼的方式，具體過程如下：

　　(1)遠程監控端呼叫本地監控端，將遠程監控密碼暗文作為H.225消息中的擴展項傳送至本地監控端；

　　(2)本地監控端接收到H.225消息，從擴展項取出遠程監控密碼暗文，解密后與本地監控端存儲的監控密碼進行比較，如果比較結果一致，密碼驗證通過，則進入H.245媒體控制交互流程，如果H.245交互成功，則本地監控端開始向遠程監控端傳送被監控現場的音視頻媒體數據；如果比較結果不一致，密碼驗證失敗，結束通信。

　　3.1.2 方式二

　　如圖3所示，在呼叫控制和媒體控制過程后傳送和驗證遠程監控密碼的方式，具體過程如下：

　　(1)遠程監控端呼叫本地監控端，呼叫成功并且H.245媒體控制交互成功，則本地監控端要求遠程監控端輸入遠程監控密碼；

　　(2)遠程監控端采用DTMF(Double Tone MultiFrequency，雙音多頻)方式以每次單個字符傳送遠程監控密碼暗文；其中，DTMF可以采用以下4種承載方式之一對暗文的遠程監控密碼進行打包傳送：

　　①通過Q.931信息傳輸；

　　②通過H.245的SIGNAL字段傳輸；

　　③通過H.245的SIRING字段傳輸；

　　④通過RTP音頻邏輯通道傳輸，載荷類型為101，遵循標準RFC2833。

　　(3)本地監控端接收遠程監控密碼單字符暗文并解密、保存，當收到遠程監控密碼結束符或設置的接收遠程監控密碼定時器超時，則將收到的遠程監控密碼與本地監控端存儲的監控密碼進行比較，如果比較結果一致，密碼驗證通過，則本地監控端開始向遠程監控端傳送被監控現場的音視頻媒體數據；如果比較結果不一致，密碼失敗、結束通信。

 　　以上2種方式中，方式一的優點是遠程監控端與本地監控端通信流程比較簡潔，而且由于監控密碼的驗證在呼叫控制階段，因此如果密碼驗證失敗，則不需要再進行H.245媒體控制等流程，系統對于監控密碼錯誤的響應時間很快。方式二的優點是除加密、解密部分以外，遠程監控端可以是支持DTMF的普通H.323終端，H.225呼叫控制和H.245媒體控制都是標準流程，不需要定制。

　　3.2 遠程監控密碼的加密和解密的過程遠程

　　監控密碼以暗文方式傳送，它由遠程監控端發送，本地監控端接收和驗證。首先，被監控端需要配置和保存遠程監控密碼。可以使用統一的遠程監控密碼，也可以采用不同的呼叫別名對應不同的遠程監控密碼。監控密碼一般會有一定的位數限制，數據量很小，因此遠程監控密碼的加密可采用公鑰加密算法，如RSA算法。具體過程如下：

　　(1)遠程監控端獲得本地監控端的公鑰；

　　(2)遠程監控端采用公鑰加密算法，使用(1)中公鑰加密遠程監控密碼，并發送給本地監控端；

　　(3)本地監控端接收到監控密碼暗文后，使用與(1)中公鑰對應的私鑰將暗文的監控密碼轉換為明文監控密碼。

　　3.3 音視頻媒體數據的加密和解密過程

　　被監控現場的音視頻媒體數據是由本地監控端發送，遠程監控端接收。音視頻媒體數據以加密的方式進行傳送。

　　音視頻媒體數據量大，它的加密和解密可以使用對稱密鑰加密算法與公鑰加密算法相結合的方法，即大量的音視頻數據的加密、解密使用對稱密鑰加密算法，如DES算法，而利用公鑰加密算法安全地交換執行對稱加密時使用的機密密鑰。具體過程如下：

　　(1)本地監控端創建一個隨機機密密鑰，本地監控端使用該機密密鑰，采用對稱密鑰算法加音視頻媒體數據；

　　(2)本地監控端獲得遠程監控端的公鑰，并使用該公鑰，采用加密算法加密(1)中的機密密鑰；

　　(3)本地監控端將暗文機密密鑰和音視頻媒體數據一起發給遠程監控端；

　　(4)遠程監控端使用與(2)中公鑰對應的私鑰將暗文機密密鑰轉換為明文，再利用該機密密鑰將暗文音視頻媒體數據轉換為明文數據。

　　4 結  語

　　這里針對目前基于Internet網絡的視頻監控系統的一些問題，提出一種采用H.323通信協議實現安全的遠程視頻監控的方法，該方法在H.323協議的基礎上，增加了系統在呼叫控制過程中本地監控端參與的安全認證，加強了遠程視頻監控業務的安全性，克服了僅在主叫端增加用戶管理服務器，安全性易于受到破壞，維護成本高等缺點。

　　另外，由于采用標準的H.323多媒體協議，使相應的視頻監控系統不僅具有完善的呼叫控制和媒體控制過程，而且具有較好的互通性和可擴展性，并可根據用戶的需求增加其安全策略和附加功能等。