基于区块链的煤矿视频监控数据存储共享研究

秦学斌 张 静 王 炳 薛宇强 朱信龙

(1.西安科技大学电气与控制工程学院,陕西 西安 710054;2.陕西陕煤陕北矿业有限公司,陕西 榆林 719000)

1 问题的提出

视频监控是煤矿六大系统建设的要求也是煤矿安全生产的重要保障。因此为了提高矿井生产安全,建设一个高效且安全监控系统成为一个重要方向。

传统煤矿视频监控系统一般分为三部分:传感器、传输、应用。各个传感器将自己的数据包传输到控制中心,再将其传输到显示器和存储。目前实时数据流一般分为三部分:①显示器,将实时数据发送到监控中心的显示器,可查看监控区域的实时画面;②存储器,传输到存储设备,目前视频监控系统的存储基于云中心和本地;③服务器,对视频进行处理和读取数据,例如:人体行为的识别、人脸检测、车辆车别等。

目前煤矿视频监控系统存在如下几个问题:

(1)传输距离。部分煤矿依旧采用闭路电视监控系统,这种传输距离超过1 km时,其信号会衰减且无法实现联网,传输距离受限。

(2)传输速度。当前在煤矿主副井口、地面、储煤仓、皮带传输等地方均安装了监控摄像头。摄像节点众多对闭路电视监控和传统的网络监控系统传输都有一定的影响。

(3)存储。当前矿井存储是集中式存储,主要分为云计算平台和本地硬件存储。然而只是一味存储到某一中心,并没有经过相关的筛选。对于后期的处理以及查找都具有一定的困难。

(4)数据安全。云中心或者本地直接存储的是传感器实时数据。其存储中心容易受到黑客的攻击,隐私数据容易被泄露或篡改,这就极大影响了数据的真实性和可靠性,阻碍了大数据的分析。

为了应对煤矿监控系统中数据传输延迟的挑战,边缘计算是一种将主处理器任务分布到网络边缘的方法,让网络边缘的分散节点执行更多任务,分担了中心节点或系统的负担。边缘结点指的就是在数据产生源头和云中心之间任一具有计算资源和网络资源的结点。例如:在智能家居系统中,网关就是智能家具和云中心存储的边缘节点。分布式边缘节点处理原始的视频流,并通过一定的技术手段提取有用的信息,将其传送到更高层的节点以帮助高级的分析任务。其为用户提供近距离的云服务,以促进实时服务和快速响应[1]。

为了应对煤矿监控系统中数据安全与存储相关问题,利用区块链技术建立一个安全存储系统。区块链是从比特币底层技术衍生出来的新的体系,其融合了分布式存储、密码学、点对点网络、共识机制这几个相关技术,对于数据的存储、交换是一个安全可靠的新技术[2]。区块链技术具有分布式容错性、不可篡改性、隐私保护性、可信任性等诸多特点,为传统系统的改变提供思路。

文献[3]提出了一种基于许可链的视频监控系统,利用深度学习对于紧急事件进行预报警和存储,本研究主要针对于特殊事件的存储,并没有对整体视频的存储提出设计。文献[4]提出了以相关监控服务器节点建立区块链,并将视频图像用深度学习算法进行处理,但其对于存储安全方面并未涉及。文献[5]提出将视频元加密存储在区块链中,区块链的管理是可信的内部人员承担。但对于完整视频存储与区块链,会加大区块链的负担,也不适合。文献[6]提出了基于属性加密的视频访问控制,对视频访问部分利用属性加密设计,但对于视频整体设计以及存储并未涉及。海康威视提出的视频融合云存储主要针对云系统的存储,确保了云存储的视频不丢失,部分节点坏掉不影响数据的重新恢复,但对于恶意攻击以及篡改云存储视频问题尚未解决。

本研究提出了一种基于边缘计算和区块链的视频监控系统。该系统由边缘技术、区块链技术、IPFS以及云等构成。其中边缘技术保证了传感器采集的信息传输与数据处理。利用IPFS存储检测的信息,云中心存储海量的视频数据。整个系统的安全性和可靠性是由区块链来保证。

2 相关工作

2.1 基于属性加密

本系统为了保证视频以及相关监测数据不被泄露,视频的访问权限是一个需要解决的问题。当前属性加密(Attribute-Based Encryption,ABE)是现实访问控制的最佳方式。基于属性加密可以分为基于密钥策略的属性加密(Key-Policy Attribute-Based Encryption,KP-ABE)和基于密文策略的属性加密(Ciphertext-Policy Attribute-Based Encryption,CP-ABE)[7]。其中KP-ABE适用于生物识别系统而CP-ABE适用于公有云上的数据加密存储与细粒度共享。

2.2 线性秘密共享方案

线性秘密共享方案(Linear Secret Sharing Scheme,LSSS),密钥的共享方案是线性的,对属性集S,构造一个矩阵Mm×n,定义一个函数ρ(i),i∈m表示将矩阵Mm×n的每一行映射到函数ρ,随机选取y2,y3,…,yn∈Zp形成向量v=(s,y2,y3,…,yn)T,其中,s是共享密钥值,s∈Zp,则M v是共享密钥s的m个份额,则对于每一个(M v)i∈ρ(i)。

2.3 星际文件系统

星际文件系统(Interplanetary File System,IPFS)是一种基于点对点拓扑结构快速索引文件系统,其中包括分布式哈希表、块交换、版本控制系统和自认证文件系统[8]。IPFS的工作原理根据存储文件的内容进行加密,产生一个特定的哈希值,将其哈希值存储到全局分布式哈希表中,用来记录文件存储所在的位置,便于文件的查询下载。查询文件时,IPFS网络便会根据文件的全网唯一的哈希值进行查找,查找出文件并对其验证,并返回给用户。它能够极大地降低数据存储的成本,提升数据下载速度。

3 基于区块链煤矿视频监控系统架构

3.1 准备工作

表1详细阐述了系统中所用到的符号。

表1 系统符号Table 1 System symbols

3.2 系统模型

提出一种基于区块链的煤矿视频监控系统,该系统由7部分实体组成:传感器设备、边缘设备、区块链、云、IPFS、智能监管和数据用户(DU),如后文图2所示。

(1)传感器设备。由摄像头传感器节点的无线自组织局域网络组成,负责将其视频流传送到边缘设备,并进行进一步的处理。

(2)边缘设备。一般是由靠近传感器的网关设备所组成,主要功能将视频流结合不同检测技术提取出有用信息,将提取的信息和相关视频传送到智能监管平台。

(3)区块链。一种集成了分布式数据存储、点对点传输、共识机制、加密算法等技术新型架构,在此系统中利用区块链记录视频相关的存储和搜索过程。区块链的不可篡改性可以确保存储的安全性。本系统的区块链结构如图1所示。每个区块分为区块头和区块体2部分。区块头包含了父哈希(PrevBlock-Hash,前一个区块的哈希值)、时间戳(TimeStamp)、当前哈希值(BlockHash)、ID(根据视频时间段产生的索引)、SignInfo(加密且签过名的散列值);区块体包含IPFS存储检测文件的散列值(IPFS_Hash)、视频散列值(Video_Hash)。

图1 系统区块链结构Fig.1 The block structure of the system

(4)存储。为了存储完整的视频数据,本系统将大存储视频存放到云中,充分利用云大容量以及不同需求的访问可分开查询。

(5)IPFS。本系统中通过不同检测机制提取到的有用信息存储到IPFS中,根据IPFS机制,我们可以根据相关的Hash值找到相关的文件,并且可以有效地避免重复存储,节省空间。

(6)智能监管。其充当一个连接平台将存储系统与DU连接,DU需查找视频以及相关验证直接访问监管平台。监管平台有权对属性集合进行修改所以监管平台应由有信誉的政府平台担任。

(7)数据用户(DU)。每个DU拥有系统分配好的密钥对,其密钥对是与其属性关联的。要查找视频或者检测信息,DU首先向系统提出申请,系统确认其属性符合访问策略,其才可以进行搜索。

(8)工作流程。如图2所示,各个摄像头采集不同环境的视频数据,生成不同时间段的视频流并将其上传到边缘节点如步骤(1)所示。边缘设备上已经部署了不同的检测技术,其将此时间段的相关内容进行检测,并将检测结果和此时间段视频流传送到智能监管平台,如步骤(2)所示。智能监管平台将此时间段视频流通过流加密的密钥进行加密,然后将密钥再用基于属性加密的方案加密,并将其加密的密钥附加在视频流的头部形成一个密文包发送到云存储中心,如步骤(3)所示。云将视频存储的地址发送给智能监管,如步骤(4)所示。同时智能监管平台加密其检测有用信息上传到IPFS,如步骤(6)所示;IPFS向智能监管返回文件存储的散列地址,如步骤(5)所示。智能监管用随机加密函数对IPFS返回的地址和视频存储地址进行加密,并通过SHA256哈希函数对其索引进行哈希处理,然后通过广播事务将哈希值及加密的地址存储到区块链上,如步骤(10)所示。区块链将返回一个事务标识,如步骤(9)所示。如此,数据存储阶段就完成了。当前有DU要查看所存储的视频,DU向系统发送包含关键词的请求访问,系统判定DU是否具有访问权限,返回相关区块ID,如步骤(8)和步骤(7)所示。DU依据区块的ID读取区块链上的哈希地址来比较验证哈希地址值是否被篡改,如步骤(11)和步骤(12)所示。

图2 系统结构Fig.2 System structure

3.3 算法描述

本系统的加密基本流程如图3所示。智能监管平台整体系统初始化,对检测信息和视频分别进行加密形成密文,此过程为加密。用户获取自己的私钥对密文进行解密,此过程为解密。

图3 加解密流程Fig.3 Encryption and decryption process

算法步骤如下:

Step1:Setup(1λ)→ (MPK,MSK):系统初始化并输入安全参数λ,生成系统公钥MPK和主密钥MSK。

Step2:Encrypt1(MPK,F,L)→(CF):智能监管加密检测信息,输入系统的公钥MPK、LSSS访问结构L和检测信息F,然后返回有检测信息密文CF,将其存储到IPFS中。

Step3:Encrypt2(MPK,SEK,L,V)→(CV):智能监管平台加密视频,输入MPK、L、流密钥SEK和视频V,返回视频密文CV,将其存储到云中心。

Step4:KeyGen(MSK,S)→(SK):执行密钥生成算法,输入系统的主密钥MSK和用户属性集合S,给用户返回基于属性私钥SK。

Step5:Decrypt(SK,CF/CV)→(V/F):DU根据哈希地址得到相应的密文,运行解密算法,输入SK,当且仅当SK属性与访问策略权限匹配时,才可得到相应的密文CF或CV,得到相关的原始视频V或检测信息F。

3.4 方案步骤

Step1:Setup算法:给系统输入安全参数λ,初始化使用双线性映射计算生成MPK,MSK。输入公共参数(G1,G2,p,e,g),其中G1,G2是素数p阶循环群,e为双线性映射,其是对称的,g是G1的生成元。系统任意选取α∈Zp,Zp为有限域,其中

计算系统MKP=(g,h,e(g,g)α),主密钥MSK=(gα) 。

Step2:Encrypt1算法:输入系统公钥、检测信息F和LSSS访问结构L=(M,ρ)。其中M为m行n列的共享矩阵,行向量与属性一一映射{1,…,m}→ρ,设s是共享加密指数,随机选取 y2,y3,…,yn∈Zp,随机地选择一个向量l=(s,y2,y3,…,yn),计算ξi=l·Mi,i∈{1,…,m},则输出密文如下:

Step3:Encrypt2算法:此处加密是在Encrypt1算法之上多了一步流加密。首先利用流加密初步计算pre_CV=V8 SEK,然后利用Encrypt1(MPK,SEK,L)→(ESEK),其中ESEK是生成基于属性加密流密钥,最后计算ESEK+pre_CV=CV实现对视频的加密。

Step4:KeyGen算法:在此系统中,为DU生成私钥。智能监控用哈希散列加密IPFS返回地址和视频地址,存储到区块链;DU用自己的私钥解密视频以及IPFS存储检测信息。DU拥有属性S={att1,att2,…,attn},∀k∈S,任意选取 η,f1,f2,…,fm∈Zp,则

Step5:Decrypt算法:解密者其属性S不满足访问结构L=(M,ρ),则不可解密。根据LSSS,若用户属性满足访问结构,则存在一个向量W={w1,w2,…,wn},满足∑i∈Swiξi=s,令集合 I={i:ρ(i) ∈S} ⊆{1,…,m},定义 ω ={k:∃i∈I,k=ρ(i),且k∈S∩(M,ρ)},令 D′ω= ∏k∈ωDk= ∏k∈ωfkη,自定义函数β(ω)= ∏k∈ωf(k),f(k) → fk则解密:

然后解密算法CF=F·e(g,g)αs,获得相关检测结果,并且通过解密算法解密相关流加密的密钥,才可以解密相关视频。

4 基于区块链煤矿视频监控系统应用场景

(1)车辆和人员识别。在厂区进入口、装载煤区域安装高清的摄像机实时监控车辆的动态[9],可对机动车实时抓拍,车辆和车牌号识别同时,利用此系统保存相关内容,此外可以针对违章、嫌疑车辆等违法行为进行报警。在煤矿地面区域或者入井口均装有此系统,抓取视频中人脸并进一步识别与存储。

(2)行人越界检测。在皮带运输、运转设备、中央变电所等危险区域采用高分辨摄像头和此系统合并加入越界检测系统,提高煤矿人员安全水平。此系统用来存储相关人员脸部以及越界行为,人员越界系统则负责检测和报警。

(3)生产设备检测。煤矿生产中涉及多个设施设备,传统的PLC监控只可监控设备的电流、温度、速度等相关参数,而对这些设备形位检测并未涉及。本研究提及的系统加上形位检测模块,当设备位置发生变化可存储图片以及位置信息并发出报警信息。

5 系统安全分析

本系统的安全性和可靠性是由区块链的不可篡改性和容错性来保证的[10]。将边缘计算和网络结合,实现数据信息的采集和处理,并使用IPFS和云端进行存储。

(1)匿名性。本系统中访问使用了基于属性而不是用户的真实身份,当用户访问系统视频和检测结果只可通过智能监控中心分配相关属性和私钥,在访问系统时,智能监控会验证用户属性只有满足访问结构的用户才可以成功访问。

(2)数据安全。本视频和有用信息检测结果均通过属性加密算法加密,且将其存储的地址进一步通过哈希加密存储到区块链中,如有恶意用户想获得区块链存储地址,由于计算量巨大,目前是不可完成的,所以从传送、存储和访问过程中防止了数据被篡改的可能性。

(3)加密安全。本系统主要面临挑战是合谋攻击。本系统基于属性加密在用户私钥生成、加密加入了随机数,防止用户合谋攻击。

6 实验结果分析

本研究的实验环境:操作系统为64位Windows 10专业版;计算机硬件:Intel(R)Core(TM)i7-4710MQ CPU,8 GB RAM,256 G固态;编译器为IntelliJ IDEA,编译语言JAVA。

本次实验主要验证加密算法,本系统视频加密CP-ABE没有直接对视频加密而是先采用流加密对其视频加密,CP-ABE对其密钥进一步加密。实验分为2种:①比较直接利用CP-ABE加密和基于流加密和CP-ABE混合加密的对比;②基于流加密和CPABE混合加密对于不同大小文件的加密对比。

在本实验中其CP-ABE中的属性个数不变,属性固定为4个,第一类比较同一个文件的加密参数,如表2所示,表明混合加密的加密时间更短,但因其进行两步解密相比较单纯是CP-ABE解密稍长;第二类是比较不同文件混合加解密的时间对比,如图4所示,表明基于CP-ABE的混合加、解密的时间会随着文件的增大而增大,文件的大小与其加解密时间成近似线性关系。

表2 同文件1 MB不同加密算法比较Table 2 Comparison of different encryption algorithms for the same file 1 MB

图4 不同大小文件混合加解密时间Fig.4 Encryption and decryption time for files of different sizes in the hybrid encryption algorithm

本研究提出的系统可与不同检测系统相结合,存储检测结果和完整的视频,同时在加密与访问权限上得到满足。本研究系统弥补了文献[3-4]不可完整存储视频的缺点,相较于文献[6]和海康系统,加入了区块链,将系统的安全性进一步提高,面对海量的视频,将计算量分配给边缘设备;对比文献[5]减少了中心计算压力对于访问进一步细述,如表3所示。

表3 系统对比Table 3 Systems comparison

7 结 论

提出了一种基于区块链的煤矿视频监控系统:①该系统弥补传统煤矿数字视频监控安全性低、中心计算成本高、存储中心化的问题;② 可以与煤矿不同场景的检测系统相融合,各个场景的检测系统负责检测数据和报警,将其结果传输到此系统可以保证数据的安全性,实现一个自动化检测与安全存储相结合的系统;③针对于存储的访问权限,提出了基于属性加密与流加密的混合加密算法,经实验表明混合加密更符合实时性的视频加密。本研究系统加密已验证,后续将其与煤矿的检测系统相结合,可实现特定检测视频系统。