24小时服务热线

13428984217

首页 服务中心 新闻动态 技术支持 关于我们 联系我们
技术支持
为打造国际知名的专业系统服务品牌而持续努力
IPMX的安全漏洞、漏洞和隐私
发布日期:2024-08-20

这是拉斯维加斯一个美丽的傍晚。当你沿着拉斯维加斯大道漫步时,你会被一个真正巨大的直视LED显示屏所吸引,它播放着令人惊叹的视觉信息。当你短暂地沉浸在演示的奇观中时,视频突然中断,被一些真正应受谴责的内容所取代,这些内容显然不是该标志所有者的意图。随着攻击性演示的持续,街上的人群开始注意到,很快,它以一种独特的方式发布了新闻,这种方式是安全漏洞与IP反病毒相遇时可能发生的。

1.jpg

作为一个旁观者,这件事可能会让你感到不安。但现在,想象一下,你是负责该设施的IT安全经理。你的担忧将从尴尬和震惊急剧转变为一系列技术问题和安全审查。您需要立即考虑几个关键问题,包括:

服务器安全:存储媒体文件的服务器是否存在漏洞?有人可能篡改了这些文件吗?

控制层漏洞:控制显示内容的系统是否受到损害?

内容层漏洞:在保护内容层方面是否存在失败,允许有人拦截和替换流?

实时地,IP媒体系统,如用于高价值、大规模显示器的系统,在任何IT环境中常见的安全问题都带有额外的、独特的方面。这就是为什么可互操作的安全性是IPMX在多个层面上的核心功能。

在NMOS中,由于IS-10和BCP-003-X,可互操作的安全规范提供了保护IPMX系统控制平面内通信的方法。NMOS安全利用OAuth 2.0、TLS和JWT等成熟的协议,确保跨基于IP的媒体网络的强大身份验证、授权和加密。

然而,在传输层,IPMX依赖于一种名为隐私加密协议(PEP)的新协议。该协议支持数字媒体和数据流的安全组播、单播和双向分发,防止未经授权的访问或操纵。它采用AES计数器模式加密,以确保媒体流得到加密和安全管理,并包括全面的密钥管理功能,支持静态和动态密钥分配,以满足媒体传输的不同安全需求。通过这些功能,PEP确保IPMX具有专业AV环境中所需的安全性、可扩展性和互操作性功能。在本文中,我们将探讨政治公众人物的一些细节,重点介绍其主要特征和一些独特的方面。

隐私加密协议(PEP)

当VSF着手解决IPMX框架内隐私加密的需求时,第一个决定是使用SRTP等现有协议还是创建新的协议。IPMX活动小组选择了后者,创建了PEP。这一决定主要是由于PEP与IPMX的HDCP功能共存的必要性。与加密HDCP不接触的部分数据的SRTP不同,PEP与定义HDCP 2.3的文档的严格要求以及如何在IP网络上使用它完全一致,避免了在同一设备中同时存在这两个功能时不必要的复杂性和臃肿的硬件设计。PEP还通过避免SRTP对多播流所需的密钥管理舞蹈,大大简化了事情,而是选择了一种与NMOS控制的IPMX设置工作方式相一致的方法。通过这种方式和其他方式,PEP非常适合IPMX生态系统。

理解PEP中的密钥管理

PEP凭借其强大的密钥管理功能带来了效率之外的好处。要了解PEP如何增强IPMX中的安全性,回顾一些关于加密密钥的基础知识可能会有所帮助。PEP使用预先安全安装在发送方和接收方设备上的预共享密钥(PSK)。然后,这些密钥用于使用PEP的各种功能来导出会话特定的密钥,包括密钥导出函数(KDF),该函数根据PSK和构成PEP协议的其他参数创建私钥。这套功能简化了密钥管理,同时在各种用例中保持了安全性和灵活性。让我们通过几个场景来了解PEP如何使事情易于管理、灵活和安全。

首先,让我们考虑一个配备了IPMX AV over IP技术的企业园区。在小型会议室中,设备可能会配置一个钥匙,供一般员工访问。然而,在董事会会议室中,设置不仅可以包括通用访问密钥,还可以包括需要更高安全级别的内容的附加密钥。密钥ID允许这些设备根据内容所需的访问级别识别和选择适当的密钥,确保每个流只能由具有正确授权的人访问。该系统能够在各种设备上无缝分发各种内容,每种设备都根据不同的安全需求量身定制。

接下来,让我们看看密钥重用和长时间运行的流。虽然黑客实时非法解密内容是极其困难的,但可以捕获并存储加密流以供以后解密。如果在长时间内(如几个月或几年)使用相同的密钥,并且如果该密钥最终通过暴力或其他方法破解,则整个流的安全性都会受到威胁。这可能会暴露过去、现在和未来的内容,直到密钥被更改。PEP通过使用设备重启时随机生成的参数以及密钥版本控制来解决此漏洞。通过密钥版本控制,密钥可以在不中断流的情况下定期更新,大大降低了泄露的风险,增强了长时间运行的流的安全性。

正如对长时间运行的流使用相同的密钥可能会带来安全风险一样,在不同的流或子流中使用单个密钥也可能危及安全性。PEP通过要求为每个流和子流使用不同的加密参数来解决这一问题,即使多个流和子流量共享相同的加密密钥,也能保持最大的安全性。PEP还允许为每个流定制安全参数,为每个流提供不同的加密密钥和加密参数。因此,虽然由于敏感内容,一些流可能需要强大的加密,但其他流可以使用更轻的安全措施进行操作,在不牺牲安全性的情况下优化整体系统效率。

现在想象一下,系统中的两个人需要通信,而其他人甚至系统管理员都无法解密他们的会话。为了阻止具有相同PSK的其他设备接收内容,可以为它们创建一个特殊的密钥,尽管这仍然不能阻止管理员窃听。值得庆幸的是,PEP使用椭圆曲线Diffie-Hellman(ECDH)提供了一个更简化的解决方案。ECDH是一种密钥协商协议,允许每个参与者生成公钥对并相互共享公钥。在不转移任何私钥的情况下,双方都可以根据自己的私钥和对方的公钥推导出共享密钥。在PEP中,该共享密钥与密钥推导函数中的预共享密钥相结合,以生成一个唯一的会话密钥,对他们的通信进行加密。这确保了其他人,甚至是系统管理员,都无法访问他们的对话,简化了密钥管理过程,同时显著提高了他们通信的隐私和安全性。

结论

PEP通过在IPMX框架内提供一种高效而全面的方法来管理对数据和内容流的访问,是IP上AV安全的重大进步。通过集成密钥版本控制、子流和ECDH的可选支持等强大功能,PEP不仅简化了加密环境,还确保了每个流都具有唯一的安全性,以防止潜在的漏洞,同时与HDCP和NMOS控制协议无缝共存。

PEP与IPMX的周到集成为利益相关者(从系统集成商到最终用户)提供了一个可靠、可扩展、开放、可互操作和高度安全的IP AV解决方案。IPMX和PEP将共同在行业发展中发挥重要作用,确保随着AV部署的复杂性和规模的增长,安全始终是其中的一部分。


推荐文章