Professional Documents
Culture Documents
How Does Fusion Stream Encryption Work
How Does Fusion Stream Encryption Work
How Does Fusion Stream Encryption Work
Việc áp dụng mã hóa luồng hợp nhất yêu cầu tất cả các máy khách được phép xem dữ
liệu được mã hóa phải được cài đặt khóa riêng. Khóa riêng tư phải khớp với một trong
các chứng chỉ mã hóa được định cấu hình trên Archiver.
Mã hóa hai cấp độ
Archiver sử dụng chiến lược mã hóa hai cấp độ để bảo vệ tính riêng tư cho dữ liệu của
bạn.
• Mã hóa mức đầu tiên: Trình lưu trữ/ Archiver nhận luồng dữ liệu dưới dạng văn bản
rõ ràng từ máy ảnh. Sau đó, Trình lưu trữ mã hóa luồng dữ liệu bằng cách sử dụng các
khóa đối xứng được tạo ngẫu nhiên thay đổi mỗi phút.
Luồng khóa đối xứng được gọi là luồng khóa chủ. Luồng khóa chính là khóa đầu tiên cần
thiết để mở khóa dữ liệu cá nhân. Nó được chia sẻ bởi tất cả các máy khách.
• Mã hóa mức thứ hai: Để đảm bảo rằng chỉ những máy khách được ủy quyền mới có thể
truy cập vào luồng khóa chính, Trình lưu trữ/ Archiver bảo vệ nó bằng cách sử dụng mã
hóa khóa công khai (xem RSA). Trình lưu trữ/ Archiver mã hóa luồng khóa chính riêng
lẻ cho từng máy khách được ủy quyền, sử dụng khóa công khai. Chỉ ứng dụng khách đã
cài đặt khóa cá nhân (khớp với khóa công khai) mới có thể mở khóa luồng khóa chính
(khóa đầu tiên). Khóa riêng tư là khóa thứ hai cần thiết để mở khóa dữ liệu cá nhân.
Khóa riêng tư này phải được giữ trên máy khách.
Khóa công khai và khóa riêng tư là một phần của chứng chỉ mã hóa được tạo cho một
ứng dụng khách cụ thể. Chứng chỉ xác nhận cũng xác định khách hàng. Để kích hoạt mã
hóa, chứng chỉ phải được tước bỏ khóa riêng tư của nó và giao cho Lưu trữ. Sau đó,
Archiver lấy khóa công khai từ chứng chỉ để mã hóa bản gốc luồng chính cho khách hàng
đó. Vì lý do này, luồng khóa chính được mã hóa được gọi là luồng khóa dành riêng cho
máy khách.
Khi ứng dụng khách yêu cầu dữ liệu được mã hóa, nó sẽ tự nhận dạng đến Bộ lưu trữ
bằng cách gửi chứng chỉ của nó cùng với yêu cầu dữ liệu. Dựa trên chứng chỉ, Người lưu
trữ biết máy khách nào đang yêu cầu dữ liệu và gửi luồng khóa dành riêng cho máy
khách tương ứng với luồng dữ liệu được mã hóa đến máy khách. Vì chỉ khách hàng dự
định mới có khóa cá nhân phù hợp, nên chỉ khách hàng dự định mới có thể giải mã thông
tin.
Tóm lược
Tất cả video phải được bảo vệ trước tiên phải đi qua Trình lưu trữ trước khi nó được gửi
đến ứng dụng khách yêu cầu.
Trình lưu trữ mã hóa video và gửi thông tin được yêu cầu được gói trong một luồng tổng
hợp được gọi là luồng tổng hợp. Luồng hợp nhất chứa cả luồng dữ liệu được mã hóa và
luồng khóa dành riêng cho ứng dụng khách tương ứng của chúng.
Nếu luồng kết hợp bị chặn bởi một bên trái phép trên đường đến khách hàng dự định,
nó vẫn được bảo vệ vì bên trái phép không có khóa riêng và do đó không thể giải mã dữ
liệu chứa bên trong.
PHƯƠNG PHÁP TỐT NHẤT: Bạn nên tạo chứng chỉ mã hóa trên máy khách sẽ yêu cầu
xem video. Điều này hạn chế sự tiếp xúc của khóa cá nhân.
Tình huống: Ứng dụng khách B chỉ yêu cầu video từ Camera-1
• Máy khách B gửi yêu cầu video từ Máy ảnh-1 đến Máy lưu trữ, với chứng chỉ mã hóa
của nó.
• Người lưu trữ phản hồi bằng cách gửi một luồng hợp nhất đến Máy khách B, bao gồm
(xem hình minh họa):
• Dòng video được mã hóa.
• Dòng khóa dành riêng cho máy khách để Máy khách B giải mã video.
Tình huống: Ứng dụng khách B yêu cầu cả video và âm thanh từ Camera-1
• Ứng dụng khách B gửi yêu cầu video và âm thanh từ Camera-1 đến Archiver, với chứng
chỉ mã hóa của nó.
• Người lưu trữ phản hồi bằng cách gửi một luồng kết hợp đến Máy khách B, bao gồm:
• Dòng video được mã hóa.
• Dòng khóa dành riêng cho máy khách để Máy khách B giải mã video.
• Dòng âm thanh được mã hóa.
• Dòng khóa dành riêng cho máy khách để Máy khách B giải mã âm thanh.
PHƯƠNG PHÁP TỐT NHẤT: Không được vượt quá 20 chứng chỉ mã hóa cho mỗi Lưu
trữ.