何曉風(fēng) 韓笑 師磊 甘肅省公安廳

引言

隨著各地市安防項(xiàng)目的建設(shè)和實(shí)施，視頻聯(lián)網(wǎng)安全問題日漸成為關(guān)注的焦點(diǎn)。雖然相關(guān)系統(tǒng)廠家和設(shè)備廠商采取了一些措施加強(qiáng)安全防護(hù)，起到一定效果，但采用的方案多數(shù)基于網(wǎng)絡(luò)和傳輸層面，對系統(tǒng)和應(yīng)用層面的信息安全保護(hù)還不足。隨著人工智能技術(shù)的發(fā)展，如短視頻平臺中的人工智能換臉技術(shù)等的出現(xiàn)，又讓人們對視頻數(shù)據(jù)防偽造、防篡改等問題更加關(guān)注[1]。如何更好、更全面、更系統(tǒng)性地保障安防信息系統(tǒng)的安全，尤其是視頻聯(lián)網(wǎng)系統(tǒng)的安全是迫在眉睫的問題。

一、GB 35114-2017標(biāo)準(zhǔn)介紹

GB 35114-2017《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》（以下簡稱GB 35114）是視頻圖像信息聯(lián)網(wǎng)共享應(yīng)用標(biāo)準(zhǔn)體系中的重要技術(shù)標(biāo)準(zhǔn)，首次對視頻聯(lián)網(wǎng)信息安全提出明確規(guī)范要求。GB 35114基于國密算法的數(shù)字證書和密鑰管理體系，對視頻采集前端設(shè)備與視頻聯(lián)網(wǎng)平臺以及視頻聯(lián)網(wǎng)平臺與平臺之間的雙向身份認(rèn)證、控制信令完整性檢查、視頻數(shù)據(jù)的可信編碼及驗(yàn)證、視頻數(shù)據(jù)加解密等方面給出完整規(guī)定，可解決前文提到的各種安全威脅，確保視頻聯(lián)網(wǎng)信息安全，從系統(tǒng)層面為視頻聯(lián)網(wǎng)系統(tǒng)信息安全提供了整體解決方案。GB 35114是在GB/T 28181的協(xié)議[12]基礎(chǔ)上疊加安全保障機(jī)制，所以更有利于現(xiàn)網(wǎng)使用GB/T 28181互聯(lián)的平臺升級以支持安全功能。同時(shí)，GB 35114使用了擁有自主知識產(chǎn)權(quán)的GB/T 25724（SVAC）音視頻編碼技術(shù)[13]，是完全自主可控的標(biāo)準(zhǔn)，使我國視頻聯(lián)網(wǎng)應(yīng)用在標(biāo)準(zhǔn)化、規(guī)范化和專業(yè)化方面有了明確的依據(jù)。

二、安全威脅及防護(hù)方向分析

視頻聯(lián)網(wǎng)系統(tǒng)面臨的安全威脅包括聯(lián)網(wǎng)系統(tǒng)中各子系統(tǒng)或設(shè)備的物理環(huán)境安全、主機(jī)及其計(jì)算環(huán)境安全、網(wǎng)絡(luò)通信安全、管理安全等多個(gè)方面。本文主要探討視頻聯(lián)網(wǎng)交互過程中的協(xié)議及信息安全，其面臨的主要安全威脅包括：

（1）非法用戶訪問系統(tǒng)中的數(shù)據(jù)或進(jìn)行非法操控；

（2）非法模擬視頻采集前端或下級平臺接入視頻聯(lián)網(wǎng)平臺并發(fā)送虛假視頻給平臺；

（3）非法模擬控制命令發(fā)送給平臺或前端設(shè)備，惡意操控前端設(shè)備；

（4）非法偽造或篡改視頻內(nèi)容；

（5）非法獲取視頻碼流信息。

上述提到視頻聯(lián)網(wǎng)中的各種安全威脅，可以從安全管理和密碼學(xué)技術(shù)等角度進(jìn)行安全防護(hù)，主要包括用戶身份認(rèn)證、前端設(shè)備及平臺接入身份認(rèn)證、控制信令認(rèn)證、視頻數(shù)據(jù)簽名和視頻數(shù)據(jù)加密等手段。

（一）用戶身份認(rèn)證

通過提高用戶登錄系統(tǒng)的認(rèn)證強(qiáng)度，結(jié)合合理完善的權(quán)限控制模型實(shí)現(xiàn)。在認(rèn)證強(qiáng)度方面，可采用基于公私鑰非對稱密鑰體系的數(shù)字證書認(rèn)證方式代替?zhèn)鹘y(tǒng)基于口令的認(rèn)證方式實(shí)現(xiàn)。在權(quán)限控制方面，通常采用基于角色的訪問控制（RBAC）模型實(shí)現(xiàn)[2]，視頻聯(lián)網(wǎng)系統(tǒng)設(shè)置具有不同權(quán)限的角色，分別從系統(tǒng)管理、業(yè)務(wù)使用和日志審計(jì)等方面設(shè)置對應(yīng)的角色，防止不同角色越權(quán)操作。同時(shí)，根據(jù)視頻聯(lián)網(wǎng)系統(tǒng)的地域性特點(diǎn)，進(jìn)一步采用分權(quán)分域的資源管理策略，防止業(yè)務(wù)用戶越權(quán)訪問非管轄區(qū)域的視頻資源。

（二）前端設(shè)備及平臺接入身份認(rèn)證

對于前端設(shè)備接入身份認(rèn)證，通過提高前端設(shè)備注冊到視頻聯(lián)網(wǎng)系統(tǒng)的認(rèn)證強(qiáng)度實(shí)現(xiàn)。前端設(shè)備認(rèn)證方式采用基于公私鑰非對稱密鑰體系的數(shù)字證書認(rèn)證方式代替?zhèn)鹘y(tǒng)基于設(shè)備口令的認(rèn)證方式。數(shù)字證書認(rèn)證涉及的算法，國際上一般使用RSA非對稱公鑰密碼算法[3]，國內(nèi)使用商密SM2公鑰密碼算法[4]。RSA的安全性依賴于大數(shù)分解困難的數(shù)學(xué)難題，而SM2則是基于橢圓曲線（ECC）的算法，SM2是一種比RSA更先進(jìn)、更安全的算法，256位的ECC密鑰加密強(qiáng)度等同于3072位RSA密鑰的水平（目前互聯(lián)網(wǎng)上普通使用的RSA密鑰長度也只有2048位）。所以建議采用SM2作為數(shù)字證書的密鑰算法。

對于平臺接入身份認(rèn)證，解決方案與防止非法前端接入系統(tǒng)的方案一致，在平臺級聯(lián)注冊時(shí)，下級平臺通過使用基于非對稱密鑰的數(shù)字證書認(rèn)證代替原來基于口令的認(rèn)證方式，防止非法下級視頻聯(lián)網(wǎng)平臺接入上級視頻聯(lián)網(wǎng)平臺。

（三）控制信令認(rèn)證

通過對視頻聯(lián)網(wǎng)平臺與視頻采集前端及上下級視頻聯(lián)網(wǎng)平臺之間的每條控制信令增加認(rèn)證信息實(shí)現(xiàn)。信令認(rèn)證既可以采用基于非對稱密鑰數(shù)字簽名實(shí)現(xiàn)，也可以采用基于對稱密鑰消息認(rèn)證技術(shù)實(shí)現(xiàn)。由于非對稱密鑰數(shù)字簽名相較于對稱密鑰的消息認(rèn)證技術(shù)處理速度慢，而控制信令發(fā)送又比較頻繁，特別是云臺控制類信令低延時(shí)要求更高，所以宜采用基于對稱密鑰的消息認(rèn)證技術(shù)。消息認(rèn)證的核心算法是雜湊算法（又稱消息摘要或哈希算法），國際上常用的消息雜湊算法是MD5[5]以 及SHA[6]系列算法；國內(nèi)使用商密SM3[7]算法，其安全性及效率與國際上SHA-256算法相當(dāng)。從國家戰(zhàn)略及安全性方面考慮，建議采用基于SM3的消息認(rèn)證算法。

（四）視頻數(shù)據(jù)簽名

可采用前端設(shè)備數(shù)字證書的私鑰對視頻數(shù)據(jù)進(jìn)行數(shù)字簽名的方式實(shí)現(xiàn)。碼流接收方可通過驗(yàn)證視頻簽名是否合法，來確保該視頻是否為聲稱的前端產(chǎn)生，未被篡改。數(shù)字簽名操作由非對稱密鑰簽名算法與雜湊算法結(jié)合完成，即先使用雜湊算法對一組視頻數(shù)據(jù)進(jìn)行哈希計(jì)算，再使用非對稱密鑰中的私鑰對雜湊結(jié)果進(jìn)行簽名，最終得到一組視頻幀的數(shù)字簽名。國際上基于非對稱密鑰算法的數(shù)字簽名通常使用RSA公鑰算法結(jié)合SHA256雜湊算法實(shí)現(xiàn)，國內(nèi)推薦商密算法為SM2公鑰算法結(jié)合SM3雜湊算法。從安全強(qiáng)度等方面考慮，推薦使用SM3-SM2算法。

（五）視頻數(shù)據(jù)加密

對于視頻這類數(shù)據(jù)量大、實(shí)時(shí)性要求高的數(shù)據(jù)，通常采用對稱密鑰加密算法進(jìn)行加密。國際上常用對稱密鑰加密算法是AES[8]； 國內(nèi)推薦商密算法為SM1或SM4[9]。推薦使用SM1或SM4國密加密算法。

通過以上針對視頻聯(lián)網(wǎng)中面臨的各種安全威脅以及對應(yīng)解決方案的分析，推薦在現(xiàn)網(wǎng)上疊加實(shí)現(xiàn)GB 35114標(biāo)準(zhǔn)[10,11]規(guī)定的功能和要求，提升現(xiàn)網(wǎng)的安全防護(hù)能力。

三、結(jié)合GB 35114標(biāo)準(zhǔn)的實(shí)現(xiàn)方案

GB 35114標(biāo)準(zhǔn)對視頻聯(lián)網(wǎng)協(xié)議和視頻碼流格式在安全方面做出了具體規(guī)定，基于GB 35114的安全應(yīng)用也已經(jīng)逐漸出現(xiàn)[14]， 本章節(jié)提出一種在現(xiàn)有聯(lián)網(wǎng)環(huán)境中實(shí)現(xiàn)GB 3 5114 安全要求的技術(shù)方案。

方案的架構(gòu)如圖1所示。使用GB/T 28181聯(lián)網(wǎng)的視頻聯(lián)網(wǎng)系統(tǒng)通常包括視頻聯(lián)網(wǎng)平臺、前端和客戶端三個(gè)部分，其中：前端主要負(fù)責(zé)采集現(xiàn)場視頻；客戶端主要負(fù)責(zé)查看現(xiàn)場視頻；視頻聯(lián)網(wǎng)平臺主要負(fù)責(zé)接入客戶端和前端、存儲前端發(fā)來的視頻碼流、并轉(zhuǎn)發(fā)碼流給客戶端，負(fù)責(zé)視頻聯(lián)網(wǎng)平臺上下級聯(lián)信令和碼流的處理。視頻聯(lián)網(wǎng)平臺中聯(lián)網(wǎng)相關(guān)的核心模塊是負(fù)責(zé)處理SIP消息的信令服務(wù)器和負(fù)責(zé)處理視頻碼流的媒體服務(wù)器。為了升級原有視頻聯(lián)網(wǎng)系統(tǒng)以支持GB 35114安全功能，需在原有體系架構(gòu)下增加以下幾種系統(tǒng)或模塊：

（一）視頻安全密鑰服務(wù)系統(tǒng)

主要負(fù)責(zé)為視頻聯(lián)網(wǎng)系統(tǒng)中各網(wǎng)元制發(fā)數(shù)字證書，以及對稱密鑰的管理。本方案在視頻安全密鑰服務(wù)系統(tǒng)里，設(shè)置數(shù)字證書管理系統(tǒng)和對稱密鑰管理系統(tǒng)。前者負(fù)責(zé)給視頻聯(lián)網(wǎng)平臺的應(yīng)用安全支撐系統(tǒng)、客戶端的智能密碼鑰匙（USBKey）、前端的智能密碼芯片頒發(fā)用戶和設(shè)備身份數(shù)字證書，并提供證書查詢、證書吊銷列表查詢等證書相關(guān)服務(wù)；后者為應(yīng)用安全支撐系統(tǒng)的對稱密鑰管理模塊提供對稱密鑰管理相關(guān)的基礎(chǔ)服務(wù)。一個(gè)視頻安全密鑰服務(wù)系統(tǒng)，可以為多個(gè)同級視頻聯(lián)網(wǎng)系統(tǒng)提供證書和密鑰服務(wù)。視頻安全密鑰服務(wù)系統(tǒng)按照類似國家、省、市多級級聯(lián)，可根據(jù)各級視頻聯(lián)網(wǎng)系統(tǒng)的規(guī)模設(shè)置視頻安全密鑰服務(wù)系統(tǒng)的級聯(lián)深度和數(shù)量。

（二）應(yīng)用安全支撐系統(tǒng)

應(yīng)用安全支撐系統(tǒng)為視頻聯(lián)網(wǎng)平臺提供GB 35114安全功能的支撐，視頻聯(lián)網(wǎng)平臺在應(yīng)用安全支撐系統(tǒng)的幫助下，支持符合GB 35114的安全客戶端、安全前端的接入及相關(guān)碼流的處理，支持通過GB 35114協(xié)議接入下級GB 35114 視頻聯(lián)網(wǎng)平臺或上聯(lián)到上級GB 35114視頻聯(lián)網(wǎng)平臺。應(yīng)用安全支撐系統(tǒng)由證書查詢服務(wù)、對稱密鑰管理模塊、密碼云或密碼機(jī)和媒體脫密服務(wù)組成。其中證書查詢服務(wù)是視頻安全密鑰服務(wù)系統(tǒng)中數(shù)字證書管理系統(tǒng)的延伸，在視頻安全密鑰服務(wù)系統(tǒng)不可訪問時(shí)，應(yīng)用安全支撐系統(tǒng)中的證書查詢服務(wù)仍然可以為視頻聯(lián)網(wǎng)平臺提供證書相關(guān)的查詢和驗(yàn)證服務(wù)。對稱密鑰管理模塊在視頻聯(lián)網(wǎng)平臺接受前端注冊時(shí)提供視頻加密密鑰VKEK（Video Key Encryption Key）申請服務(wù)，同時(shí)為客戶端解密前端視頻時(shí)提供VKEK查詢服務(wù)。密碼云或密碼機(jī)為視頻聯(lián)網(wǎng)平臺處理信令和媒體過程中提供密碼計(jì)算支持。按照國密的使用規(guī)定，必須保證所有國密密碼相關(guān)計(jì)算在國家密碼管理部門批準(zhǔn)的密碼設(shè)備里進(jìn)行。媒體脫密服務(wù)為可選模塊，視頻聯(lián)網(wǎng)平臺可調(diào)用媒體脫密服務(wù)，將加密的碼流脫密后傳給系統(tǒng)中遺留的不支持GB 35114解密功能的視頻分析等模塊。

（三）智能密碼芯片

前端使用內(nèi)嵌的智能密碼芯片，完成GB 35114標(biāo)準(zhǔn)要求的身份認(rèn)證、信令認(rèn)證、視頻碼流簽名、視頻碼流加密等安全功能，按照國密使用要求，所有密碼相關(guān)計(jì)算都在密碼部件智能密碼芯片里完成。

（四）智能密碼鑰匙

客戶端上使用攜帶方便、支持USBKey接口的智能密碼鑰匙作為用戶身份認(rèn)證的數(shù)字證書存放和計(jì)算密碼部件?？蛻舳艘笤谥悄苊艽a鑰匙內(nèi)部完成GB 35114標(biāo)準(zhǔn)規(guī)定的身份認(rèn)證、信令認(rèn)證、視頻碼流驗(yàn)簽、視頻碼流解密等安全功能相關(guān)的密碼計(jì)算。

另外，視頻聯(lián)網(wǎng)平臺的重要功能是前端視頻的錄像存儲和回放，對于前端產(chǎn)生的GB 35114加密視頻碼流，視頻聯(lián)網(wǎng)平臺保持碼流為加密狀態(tài)的情況下直接存為錄像文件，以保證錄像在平臺存儲的安全性。在回放錄像時(shí)，平臺根據(jù)前端設(shè)備編號和時(shí)間范圍查詢歷史加密密鑰VKEK，傳給客戶端解密播放。

四、結(jié)語

本文分析了視頻聯(lián)網(wǎng)面臨的各種安全威脅，并介紹了適合于在現(xiàn)有視頻聯(lián)網(wǎng)基礎(chǔ)上疊加標(biāo)準(zhǔn)化安全機(jī)制的GB 35114標(biāo)準(zhǔn)。在此基礎(chǔ)上提出一種實(shí)現(xiàn)GB 35114的技術(shù)方案，為相關(guān)部門和廠商在視頻聯(lián)網(wǎng)系統(tǒng)的設(shè)計(jì)工作方面提供了一種可以借鑒的思路。