相机传感器网络中的可信视频流
1. 动机
摄像头技术的可用性不断提高,主要得益于手机和电脑的价格下降以及图像质量的同步提升,使得摄像监控成为具有吸引力的法律证据。不仅公共场所的固定监控日益普及,在事件发生时,警方也越来越多地向现场目击者索要移动视频。
但仅凭观察到的视频流并不一定可信,例如《纽约时报》在1990年所述:“摄像头会说谎” [1]。对技术不会出错的信任容易导致伪造。如今,通过使用人工智能 [2] 等手段伪造和操纵视频流的可能性非常广泛:公众人物视频中的虚假发言或篡改的言语对于人眼而言可能与真实情况无法区分。因此,人工观测的视频流本身不能作为证据。
应对篡改视频数据威胁的方法有两种:第一种对策是被动取证,通过分析视频来发现伪造痕迹或人为生成的迹象。第二种更为积极和预防性的对策是对视频流或其元数据进行数字签名。目前的数字签名方法要么覆盖完整视频流,要么事后应用,这为篡改留下了可乘之机。
因此,本文在技术上重点介绍一种轻量级算法,该算法可由嵌入式摄像系统直接应用于视频流。此外,由于穿戴式安防摄像头市场显著增长,该算法必须能够在低能耗摄像头中实现[3]。作为提升安全性的附加功能,还将引入一种适用于网络摄像头的协议,因为执法记录仪已具备网络功能。其面临的挑战与任何传感器网络的挑战相同:摄像头必须应对资源极度受限的情况,例如电池容量小、无线通信带宽低以及计算能力有限[4]。尤其是执法记录仪还面临移动性和临时组网的挑战。因此,资源消耗较大的云方案认证协议无法应用于摄像头网络层面。此外,那些仅在视频流上传至云之后才进行验证的认证协议,会使攻击者有机会在摄像头网络与云之间的接口处实施中间人攻击[5]。为此,本文提出一种基于模块化、自治性和鲁棒性这三个安全性支柱的轻量级方法,用于在摄像头网络层面实现视频流认证:
模块化:可以对视频文件的序列进行保护,而无需访问整个文件。
自治性:确保仅需文件本身即可检查安全性,提供验证所需的所有信息。
鲁棒性:能够区分数据的自然修改(帧丢失、比特错误、格式转换)与攻击者的人为非法篡改。
从技术角度来看,目标是提供这些功能,支持高达60赫兹的帧率,同时仍适用于计算能力较低的低功耗系统。
本文探讨了三个研究问题:
问题1 如何在不降低安全性的前提下提供自治性和模块化?
问题2 健壮性与安全性之间的最佳权衡是什么?
问题3 传感器网络如何提高安全性,以及会带来哪些漏洞?
论文的结构如下:第2章简要总结了图像安全和数据安全的基本原则。第3章介绍了帧链和相机身份的概念,随后阐述了所需的协议以及帧链模块的架构。第4章探讨了攻击方案及相应的防御措施。第5章进行了关于鲁棒性与安全性之间权衡的可行性证明。第6章将讨论成果及后续步骤。
2. 研究现状
第一部分讨论了图像、视频和摄像头安全性的相关进展。关于这些主题的问题早在几十年前就已出现,针对不同问题的解决方案已被发现并广泛讨论。第二部分阐述了实现系统安全性的概念,该概念构成本篇论文安全性的指导方向。
2.1. 视频安全性
最早用于保护图像数据的模型之一是弗里德曼等人提出的“可信相机”[6]。为此,会计算图像的密码学哈希值[7]。使用RSA加密方法[8]对该哈希值进行加密,从而对图像进行签名,并将此签名与图像文件一起传输以供验证。摄像头内部存储用于签名的私钥,而例如摄像头序列号或识别号则作为公钥。然而,该模型存在一些缺陷:例如,即使图像的语义保持不变,单个比特错误也可能导致图像的真实性失效。此外,签名的哈希值与图像本身是分离的,一旦哈希值丢失,就无法进行认证。此外,物理篡改(例如拍摄图像)无法被检测到。然而,作者建议诸如对焦、曝光和时间等元数据也应被签名并附加。该概念的最新发展利用了流行区块链技术中的安全特性。
在[9]中,每一帧的哈希值都被发送到Hyperledger网络。该系统提供了安全性,但可用性可能受限,因为它依赖于两个来源(Hyperledger网络和数据本身)。
数字水印技术旨在保护知识产权。该方法允许在媒体 [10] 中进行可见或隐式嵌入信息。用于隐式嵌入的隐写方法即使在经历简单的图像变换以及压缩 [11] 后,仍可保持水印或隐藏消息的完整性。这种技术将安全特性与数据交织在一起,提供了自治性,从而确保了高可用性。
对于流签名(传输中的未完成数据序列),已开发出一种算法,用于将数据序列分割成区块,并将第i个区块的哈希嵌入到第i+1[12]个区块中。该过程需要一个缓冲区来存储数据包,直到下一个帧的哈希值被添加到其中。在这种逆向应用的区块链技术中,接收到的数据包用于验证新到达的数据包。该算法对包丢失不具备鲁棒性。因此,每个数据包必须能够预先存储后续多个数据包的哈希值。这样一来,缓冲区中需要保留更多的数据包,但这对于低能量的嵌入式系统而言并不可行。
除了上述用于媒体篡改的主动检测外,还可以在无需事先采取任何预防措施的情况下进行被动检测。这类方法通常称为取证(forensics),即对媒体内容进行检查以发现篡改痕迹。典型的痕迹包括双重压缩[13],、复制‐移动(图像的某一部分被移植到另一位置)[14],或光电响应非均匀噪声模式(PRNU)的偏差(图像的传感器指纹与指定摄像头不匹配)[15]。为此,重要的是取证专家能够检查这些特征,并确保它们在(有意的)图像处理过程中不会丢失。当主动检测无法提供明确的安全性证据时,可结合使用被动检测方法。
2.2. 安全性原则
实现安全性的概念被定义为机密性、完整性和可用性的三元组,通常还会扩展包含与可用性和真实性相关的身份目标[16]。尽管机密性并非该概念的重点,因为其目的是证明公共视频是防篡改的,但其他目标具有高度相关性。
完整性并不是指视频流不能被修改,而是应实现对数据是否被篡改的可靠指示。
• 可用性意味着对信息的可靠访问和使用,可以通过冗余的系统组件和信息分发来实现。
• 真实性依赖于防篡改身份,以确保信息源可信且信息本身有效。
• 可问责性是事后恢复、入侵检测和取证分析的基础,因此,收集视频是否被篡改的证据是一个重要的目标。[16]
3. 设计
下文将介绍该论文的概念,包括摄像头的身份管理、帧链以及所使用的协议和架构。
3.1. 概念
第一部分讨论了个体和群体身份及其在摄像头网络和密码学中的应用。第二部分介绍了所提出的帧链(Framechain),并阐述了其在摄像头传感器网络中的使用。
3.1.1. 相机身份
分布式账本技术(DLT)和区块链通过实施若干原则来实现上述安全性目标,这些原则在 [17],中有所描述,并被用于本论文的概念中。
• 信息在分布式账本中被冗余地存储以实现可用性。
由数据组成的区块使用加密函数进行哈希,并与前一个区块链接,从而能够检测到此链中的数据篡改,实现完整性。
• DLT系统中不需要第三方信任。
公钥基础设施通过识别系统中的实体,确保实体可问责且交易真实可信。
该论文的概念还基于对摄像头的防篡改识别以实现安全性。尽管数字世界中对象身份的确定是一个已被广泛讨论且历经数十年发展的挑战,但在去中心化系统中,数字对象与实际物理对象之间的防篡改连接仍面临重大挑战[18]。为设备附加唯一标识号的常见方法并不具备防篡改能力[19]。本文通过将身份建立在难以复制的物理属性(例如处理器指纹或摄像头传感器指纹)之上,将身份属性的信任锚定位于物理世界。该指纹作为摄像头的私钥,构成其个体身份。其他实体可通过其匹配的公钥来识别该摄像头。公钥基础设施进一步扩展了群体身份的概念,该概念根据源代码的哈希值对摄像头进行分类[20]。具有相同源代码属于同一组,这使得它们能够相互通信。不希望具有不同组实体的摄像头之间进行通信。这样做的缺点是组是静态的,源代码更新会导致组解散,但可以确保只有具有相同功能的摄像头共享通信,从而不会发生兼容性错误。
3.1.2. 帧链
帧链将每一帧作为数据块进行处理。如图1所示,可以从一帧中提取哈希值并将其嵌入到后续帧中。如果某帧的哈希值等于其下一帧中嵌入的哈希值,则该帧具有完整性。如果一个哈希值不仅存储在下一帧中,还存储在之后的n个帧中,则可提高对帧丢失的鲁棒性,具体将在第4章2.2节中描述。哈希值将以位方式嵌入图像数据的最低有效位(LSB)中。使用高位也是一种提高鲁棒性的选项,将在第4章2.2节中阐述。在发生元数据丢失或数据类型变化的情况下,嵌入的哈希值仍可被评估。嵌入算法将在第3章2.2节中进一步说明。
但由于每个人都可以进行哈希计算并创建图像,因此整个序列可能并非由预期的摄像设备生成。每个序列都需要一个信任根以进行验证。由于下一帧会验证前一帧,因此序列的最后一帧必须是一个所谓的根帧。通过使用非对称加密[8],,摄像设备的个体身份(参见第3.1.1节)可用于对哈希值、时间戳和不同元数据等多种安全特性进行签名。这提供了真实性和可问责性,后者在摄像头的公钥可访问时成立。如第4章所述,对应于根帧中存储的哈希值的帧也必须位于该序列中。
3.1.3. 摄像头传感器网络
只要一个序列中包含根帧,就已经可以保护单个摄像头的一段序列,但在摄像头网络中创建一种分布式账本,通过交织数据可以进一步提高安全性,参见第4章。摄像头网络中的哈希值分发与分布式账本。帧链不会在摄像头之间分发,只有帧的哈希值会被共享。在低功耗相机网络中,交换帧链是低效甚至不可行的。
摄像头可以通过零知识证明(ZKP)相互连接。需要证明组身份(见第3.1.1节)的知识。如果成功,摄像头便能够交换哈希值。这可以检测节点捕获攻击,从而防止利用个体身份非法创建帧链。此外,即使所有数据都被删除,也可以证明帧链的存在。有关零知识证明(ZKP)的更多细节参见第3.2.3节。
在不同的帧链中定位嵌入式哈希依赖于来自该帧链的接收消息。该消息包含嵌入了哈希的帧的时间戳。因此,需要访问另一个帧链。当软件被用作身份属性时,此需求得以解决。它确保了网络参与者之间环境的一致性,因为每个摄像头都在执行相同的过程,如哈希计算、嵌入以及最终帧链的传输。摄像头用户了解其设备所连接的每个摄像头的行为,包括帧链的存储位置。
3.2. 协议
以下协议对于在网络中实现帧链是必要的。下文解释了所选用的鲁棒哈希方法。此外,还阐述了在帧中嵌入消息的方式以及用于后续从帧中提取信息的结构。最后,详细说明了网络中摄像头之间零知识证明的概念。
3.2.1. 鲁棒图像哈希
加密哈希算法的缺点在于它们在评估数字图像真实性方面的适用性有限,因为只有图像的相同副本才能产生相同的哈希值。由于雪崩效应,图像(输入数据)的微小变化会导致完全不同的哈希值(输出数据)。与加密哈希算法不同,鲁棒哈希算法提取图像特征,然后生成哈希值,使得相似图像产生相似的哈希值。通常,鲁棒哈希算法可以用两个特性来描述:鲁棒性和区分性。鲁棒性源于抵抗简单数据篡改的能力,只要这些篡改不改变图像的关键特征。区分性则描述了区分两幅无关图像的能力。这两个特性之间存在一种权衡。
在本文中,我们采用分块哈希作为鲁棒哈希算法,该算法最初由Yang [21]提出。该算法的功能可描述如下:第一步,每幅图像被缩放到预定义尺寸并转换为灰度图像。在本例中,我们将图像缩放到256x256像素的尺寸。第二步,图像被分割划分为大小相等的区块 I1,…, IN,其中区块数量 N 也决定了哈希值的位长度。划分完成后,在第三步中计算每个区块内所有像素值M1,…, MN的平均值。此外,计算所有平均值的中位数 Md。在第四步也是最后一步中,通过将每个区块的平均值 Mi 与所有区块的中位数 Md 进行比较,确定哈希值。
3.2.2. 消息嵌入
图像数据最低有效位中的消息嵌入由 Tirkel等人提出[22]。其优点是无额外数据使用,消息与数据交织,且消息难以捉摸。
首先,需要创建消息。由于该消息不仅包含前一帧的哈希,还可能包含时间戳或其他摄像头的哈希,因此需要一个消息结构。
如图2所示,帧中的消息始终包含BEGIN和PARAM own hash,其中包含SUB P hash(值)和hiddenframe(用于标识哈希帧),以及PARAM timestamp(以YYYY‐MM‐DD‐hh‐mm‐ss‐cc格式表示的当前时间,单位为百分之一秒)。
另一个参数是参数类型陌生哈希,其子参数P包含哈希、name和时间戳。该参数用于存储另一个摄像头传感器(由name标识)的哈希值。
最后一个关键参数是PARAM sent hash ,包括SUB P name、hidden frame和host frame。hidden frame和hostframe定义了被哈希的帧以及嵌入该哈希的宿主帧。hidden frame和host frame等于相应传感器的时间戳。通常情况下,由于时间戳的精度,在帧率低于100赫兹时可用其标识某一帧。
如第3.1.2章所述并在第3.3章中所示,每n帧微处理器将创建一条消息的加密签名。该消息除了包含timestamp和own hash外,还包含参数类型metadata(帧的技术元数据)和id(传感器的公钥)。
消息创建后将进行嵌入。因此,将分析帧的尺寸,并对消息进行最少一次、最多N次的嵌入,其中N= L m dim i ·c 。L m 是消息的长度, dim i 是帧的尺寸, c是颜色空间。这种冗余嵌入可提高对比特错误的鲁棒性,从而避免无效消息。在第5章中,N将被检查。
嵌入消息的像素位置有两种选择:按照图像维度的固定顺序,或通过隐写术实现。隐写术是一种将数据嵌入介质中而不引起注意的方法[23]。隐写密钥(见(1))基于群体身份,因此只有知晓群体身份的一方才能够定位并检查嵌入消息。
PN=(PN−1+ IDN+ k) mod(dimi · c) (1)
图像的像素被映射到一维空间,大小为dimic。群体身份被分割为8位切片 IDn,每个切片作为沿映射图像的平移。如果N超过切片数量,则从开头重新开始。k从0开始,若像素已被使用,则k递增。
4.2 节提到了存在两个选项的原因。
3.2.3. 零知识证明
首个零知识证明由戈德瓦瑟等人发明。[24]它通过证明者与验证者之间的交互方式,证明某一项属于NP(非确定性自动机)中的一个语言。在此过程中,不交换关于该项或该语言的任何信息,验证者向证明者提出问题,只有当证明者知晓该项和该语言时才能回答。证明者欺骗验证者的概率为n 。为了构成有效证明,需满足三个条件:完备性、可靠性和零知识 1 2n。当验证者接受一个正确的证明时,即实现了完备性;对于错误的证明,必须被拒绝,这称为可靠性;零知识意味着无论是证明者还是验证者都无法从对方获取有关知识的信息,因为其中一方可能并不拥有该知识。施诺尔等人[25]提出了一种基于有限群中离散对数难题复杂性的身份识别方案。该方法及其变体,例如迪菲‐赫尔曼[26],被称为西格玛协议,并被广泛使用。
Sigma协议允许网络中的一个摄像头(证明者)向另一个摄像头(验证者)证明其对群体身份的知识。因此,证明者生成一个随机值,该随机值将作为证明的承诺。验证者随后基于该承诺、随机值和群体身份发送一个随机值。证明者必须发送回应,验证者可据此轻松验证其是否知晓群体身份。
3.3. 架构
图3展示了最终产品的理想架构。在生成一帧后,现场可编程门阵列(FPGA)将加载帧数据并嵌入一条消息。FPGA支持对每个输入信号进行并行处理,在本例中,每个像素可被视为输入信号。其主要优势在于速度,因为单个进程对图像进行比特操纵是耗时的。缺点是需要精确控制输入信号的时序以及无缺陷的源代码。
嵌入完成后,另一个现场可编程门阵列将计算鲁棒性块根据3.2.1进行哈希。最后,图像将被发送到存储介质。适用于现场可编程门阵列的鲁棒哈希算法已经实现[29]。
每n帧选择一个根帧。通过非对称加密计算签名的过程耗时且耗能,因此对于独立的微处理器和摄像头传感器而言,无法对每一帧都执行此操作。此外,这也会阻碍实现目标60赫兹的帧率。解决方案是为某一帧计算签名,并将结果嵌入到下一个可用帧中。因此,要证明一个序列的真实性,必须包含被签名的帧以及嵌入签名的帧。
一个独立的帧链序列的最小长度取决于n以及帧率与处理器速度的比率。当处理器速度较高而帧率较低时,最小长度为2。
4. 攻击方案
下文简要描述了针对该概念的几种攻击。区分了帧链生成之前和之后的攻击。此列表并非详尽无遗。
4.1. 帧链生成前
在摄像头欺骗攻击 [30], 中,由于安全测量在图像生成之后才开始,因此位于摄像头传感器前方的图像将无法被检测到。然而,有两种方法可以检测伪造环境。如 [6], 所述,镜头的焦距等元数据可以提供线索,因为伪造图像的焦点必须非常近,这可能与预期的焦距不一致。第二种对策是使用记录区域相互重叠的摄像头传感器网络,从而发现异常帧链之间的差异将可被检测到。
恶意节点可以将先前传输的消息发送给网络中的摄像头[31]。如果没有相应的对策,攻击者可以通过延迟消息转发来更改文档中的事件顺序。同样,同一消息可能会被多次发送到摄像头,每次都将该消息嵌入其帧链中,导致能量资源浪费甚至造成拒绝服务[32]。作为缓解措施,有几种方法可行。首先,可以存储每条消息的哈希并将其与新消息进行比较。如果哈希值是新的,则继续处理该消息;否则可以忽略。此方法需要存储能力。其次,每条消息包含一个时间戳,只有当时间戳处于合理的时间窗口内时,该消息才会被纳入帧链。该方法已在主要的分布式账本协议[33]中实现,并且也被应用于帧链概念中。
女巫攻击中,攻击者呈现多个身份[34], ,其影响程度取决于所收集的身份属性的范围。如果组密钥被获取,攻击者就能够生成能够通过真实性检测的帧链。如果摄像头属于一个传感器网络,可以预期该(非法创建的)帧链的哈希值将出现在网络中其他帧链中。如果攻击者能够访问包括正确镜头在内的所有身份属性,则可创建视频,并在网络内共享哈希值。因此,可以通过使用摄像头位置[35],在安全传感器数据通信概念的基础上增加另一个身份属性。网络中的其他节点通过分析接收信号强度来计算攻击者的位置并进行三角定位。这确保了帧链消息是从合理的位置发送的,从而可将视频追溯到其录制位置。位置证明概念可被添加到帧链概念中。
此外,还必须考虑对底层协议的攻击,例如干扰。然而,这些并非本文的重点,因为它们可以通过[36]中描述的常见无线传感器网络对策来缓解。为此,摄像头必须保持在原位以交换哈希值。
4.2. 帧链的后创世阶段
4.2.1. 帧操纵
在鲁棒性方面,必须允许帧链在传输或读写错误期间丢弃单个帧。然而,必须能够检测到对帧的非法删除(例如为了隐藏重要事件)。
该方案是一种帧的冗余嵌入。如果现场可编程门阵列计算出一个哈希值,该值不仅会被嵌入到下一帧中,还会被嵌入到后续帧中。在n重冗余的情况下,n − 1帧的丢失不会破坏帧链的完整性。然而,在进行真实性检查时,帧丢失将被识别并可被解释。如果帧丢失超过n,帧链将失去真实性。n的值应谨慎选择,因为哈希值的存储需要消耗内存和能量,同时嵌入消息的大小也会增加。
另一种篡改方式是帧操纵。攻击者保留所有帧,但对帧进行篡改,以从图像中移除或添加信息。鲁棒哈希算法能够检测图像的语义变化,同时仍对合理的比特误码率[37]保持鲁棒性。如果攻击者能够篡改后续帧中的嵌入消息,使得存储的哈希值与被篡改的帧相匹配,则他可以保持帧链不被破坏。然而,攻击者还必须篡改该帧之后的帧。这种篡改链会在根帧处终止,因为攻击者无法为被篡改的嵌入数据创建签名。因为在根帧中,与序列最紧密的关联是前一帧的嵌入哈希值。该前一帧必须存在于提取出的序列中。否则,只要根帧是提取序列的最后一帧,任何根帧都可以被使用。
如果攻击者获得了摄像设备的私钥,则可能在根帧中创建签名。如果该摄像头在帧链创建期间属于某个摄像头传感器网络,则一些帧的哈希值会被嵌入到另一个帧链中。这些哈希值与非法创建的帧链相矛盾。
4.2.2. 鲁棒性 vs. 安全性 vs. 可访问性
利用最低有效位操纵嵌入数据的优势在于其隐蔽性。由于图像不会发生可见的变化,因此与鲁棒哈希算法产生利益冲突。攻击者可能定位到前一图像哈希值的信息并对其进行篡改。如果所施加的更改足够小,则帧的哈希值将保持不变。通过这种方式,一系列图像可以悄然渗透进入帧链。必须在以下两者之间做出权衡:使用高位来嵌入消息但可能导致数据出现可见变化,或提高哈希算法的敏感度但可能引发误报检测。另一种方法是使用隐写密钥来嵌入数据,但这会限制用户对真实性的验证能力(因为他们需要知道该密钥)。安全性和鲁棒性之间的权衡将在第5章中进行分析。
5. 可行性
首先确定了比特操纵的限制。因此,针对512x512绿色RGB图像的每个像素8位颜色码值的每一位都嵌入了消息。结果表明,从第3位到最低有效位,嵌入的消息对人眼不可识别,因此不会干扰图像的语义。
为了测试鲁棒性的可行性,执行了针对四种不同嵌入比特值 b=[0, 1, 2, 3](0 等于最低有效位)和五种不同分块哈希敏感度s=[8, 10, 12, 14, 16](哈希值的字节长度)的测试系列。将嵌入一条包含 哈希、隐藏 帧 和 时间戳 的 253 比特消息。在表1中,该消息重复了100次,从而获得 27,536 比特的长度,覆盖了 ≈ 3.5% 的总图像像素,共计 ball= 512 · 512 · 3= 786,432 像素。在表2中,该消息重复了400次,长度达到110,036 比特,覆盖了 ≈ 14% 的总图像像素。
前一帧的哈希值位于嵌入消息中。在下一步中,该哈希值被替换为一个随机人工哈希值,从而改变了嵌入消息。现在,从图像中计算出了篡改后的哈希。哈希值在每次重复时都会发生变化。最后,为了模拟比特错误,选择了随机像素来嵌入随机比特值。比特误码率设置为0.1%的像素数量。失真哈希被计算出来。
对于测试系列,需要找到一种参数组合,使得被篡改的哈希与真实哈希不同,但失真哈希保持不变。在两个表格中,这种情况用++标记。如果两个哈希都等于真实哈希,则标记为-+,推导出+-表示两个值都不相等。–表示被篡改的哈希相等而失真哈希不相等。
最佳情况是 ++。一方面,关于 +-参数组合缺乏鲁棒性,另一方面,-+组合缺乏安全性。
表1. 针对嵌入消息篡改和0.1%随机比特错误率以及消息重复100次的哈希变化测试系列
| 位\哈希长度 | 8 | 10 | 12 | 14 | 16 |
|---|---|---|---|---|---|
| 0 | -+ | -+ | -+ | ++ | ++ |
| 1 | -+ | +- | -+ | +- | ++ |
| 2 | +- | +- | +- | +- | +- |
| 3 | +- | +- | +- | +- | +- |
表2. 针对嵌入消息的篡改和0.1%随机比特错误率以及400次消息重复的哈希变化测试系列
| 位\哈希长度 | 8 | 10 | 12 | 14 | 16 |
|---|---|---|---|---|---|
| 0 | -+ | +- | +- | +- | +- |
| 1 | ++ | ++ | +- | +- | +- |
| 2 | +- | +- | ++ | +- | +- |
| 3 | +- | +- | +- | +- | +- |
首先需要明确的是,篡改后的哈希与失真哈希相比,距离真实哈希的差异更大,尽管之前仅检查了哈希是否发生变化。当嵌入的比特值较高且分块哈希敏感度较高时,参数组合缺乏鲁棒性;而当最低有效位和敏感度较低时,该组合则缺乏安全性。在这两者之间存在一个过渡区,在该区域内同时满足安全性和鲁棒性。令人惊讶的是,当消息重复次数为100和400时,过渡区的大小并无显著差异。次。然后,篡改后的哈希在400次重复的情况下变化更加显著。
6. 结论
本文提出了一种用于摄像头传感器网络视频流安全性的新架构。该架构实现了区块链和分布式账本技术的功能。作为同构的对等网络,摄像头传感器网络能够交换哈希值,并将其嵌入网络的帧链中。该网络提供了可访问性和可问责性,并允许验证完整性和真实性。通过使用鲁棒的区块哈希算法以及在帧中进行冗余信息嵌入,该架构能够抵御帧数据的自然修改。借助帧链以及部分嵌入的根帧,从帧链中提取的序列在安全性证明上具有模块化特性。通过将前一哈希值嵌入到下一帧中,实现了自治性,使得帧链自身即可独立证明其安全性。第2章第2.1节所述的现有技术水平部分涵盖了这些属性。
所提出的架构整合了这些属性,在不降低安全性的前提下,解决了SQ1问题。
在帧链的前创世阶段和后创世阶段可能发生的不同攻击均可被抵御。已有论述指出,摄像头传感器网络能够检测节点捕获或女巫攻击,同时在摄像头重叠的情况下为所记录对象提供冗余信息,以防范摄像头欺骗攻击。此外,还提到了传感器网络可能面临的其他攻击,但该领域属于众所周知的范畴,因其涉及通用网络攻击。因此,SQ3问题得以解决。
鲁棒性与安全性之间的权衡是该架构需要解决的主要问题。因此,进行了一系列可行性测试。尽管指出在嵌入式哈希篡改情况下,哈希值的变化在每种情况下都大于随机失真的哈希值变化,但无法制定出一个规则来确定哪种参数组合能够同时满足鲁棒性和安全性。
根据该结果并为了解决SQ2,将研究分块哈希变化的阈值。这可能会利用嵌入式哈希值篡改时哈希值变化更显著的趋势。为了确保安全性,必须保证检测到每一个能够改变语义或嵌入式哈希值的帧操纵。应在所有安全配置中找到鲁棒性最高的系统。最终产品的现场可编程门阵列已经实现,并将进行60赫兹的速度测试。将实现一个原型,并测试摄像头传感器网络的功能。最后,必须检查满足60赫兹的硬件需求及潜在成本。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
