何曉風(fēng) 韓笑 師磊 甘肅省公安廳

引言

隨著各地市安防項(xiàng)目的建設(shè)和實(shí)施，視頻聯(lián)網(wǎng)安全問(wèn)題日漸成為關(guān)注的焦點(diǎn)。雖然相關(guān)系統(tǒng)廠家和設(shè)備廠商采取了一些措施加強(qiáng)安全防護(hù)，起到一定效果，但采用的方案多數(shù)基于網(wǎng)絡(luò)和傳輸層面，對(duì)系統(tǒng)和應(yīng)用層面的信息安全保護(hù)還不足。隨著人工智能技術(shù)的發(fā)展，如短視頻平臺(tái)中的人工智能換臉技術(shù)等的出現(xiàn)，又讓人們對(duì)視頻數(shù)據(jù)防偽造、防篡改等問(wèn)題更加關(guān)注[1]。如何更好、更全面、更系統(tǒng)性地保障安防信息系統(tǒng)的安全，尤其是視頻聯(lián)網(wǎng)系統(tǒng)的安全是迫在眉睫的問(wèn)題。

一、GB 35114-2017標(biāo)準(zhǔn)介紹

GB 35114-2017《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》（以下簡(jiǎn)稱(chēng)GB 35114）是視頻圖像信息聯(lián)網(wǎng)共享應(yīng)用標(biāo)準(zhǔn)體系中的重要技術(shù)標(biāo)準(zhǔn)，首次對(duì)視頻聯(lián)網(wǎng)信息安全提出明確規(guī)范要求。GB 35114基于國(guó)密算法的數(shù)字證書(shū)和密鑰管理體系，對(duì)視頻采集前端設(shè)備與視頻聯(lián)網(wǎng)平臺(tái)以及視頻聯(lián)網(wǎng)平臺(tái)與平臺(tái)之間的雙向身份認(rèn)證、控制信令完整性檢查、視頻數(shù)據(jù)的可信編碼及驗(yàn)證、視頻數(shù)據(jù)加解密等方面給出完整規(guī)定，可解決前文提到的各種安全威脅，確保視頻聯(lián)網(wǎng)信息安全，從系統(tǒng)層面為視頻聯(lián)網(wǎng)系統(tǒng)信息安全提供了整體解決方案。GB 35114是在GB/T 28181的協(xié)議[12]基礎(chǔ)上疊加安全保障機(jī)制，所以更有利于現(xiàn)網(wǎng)使用GB/T 28181互聯(lián)的平臺(tái)升級(jí)以支持安全功能。同時(shí)，GB 35114使用了擁有自主知識(shí)產(chǎn)權(quán)的GB/T 25724（SVAC）音視頻編碼技術(shù)[13]，是完全自主可控的標(biāo)準(zhǔn)，使我國(guó)視頻聯(lián)網(wǎng)應(yīng)用在標(biāo)準(zhǔn)化、規(guī)范化和專(zhuān)業(yè)化方面有了明確的依據(jù)。

二、安全威脅及防護(hù)方向分析

視頻聯(lián)網(wǎng)系統(tǒng)面臨的安全威脅包括聯(lián)網(wǎng)系統(tǒng)中各子系統(tǒng)或設(shè)備的物理環(huán)境安全、主機(jī)及其計(jì)算環(huán)境安全、網(wǎng)絡(luò)通信安全、管理安全等多個(gè)方面。本文主要探討視頻聯(lián)網(wǎng)交互過(guò)程中的協(xié)議及信息安全，其面臨的主要安全威脅包括：

（1）非法用戶(hù)訪問(wèn)系統(tǒng)中的數(shù)據(jù)或進(jìn)行非法操控；

（2）非法模擬視頻采集前端或下級(jí)平臺(tái)接入視頻聯(lián)網(wǎng)平臺(tái)并發(fā)送虛假視頻給平臺(tái)；

（3）非法模擬控制命令發(fā)送給平臺(tái)或前端設(shè)備，惡意操控前端設(shè)備；

（4）非法偽造或篡改視頻內(nèi)容；

（5）非法獲取視頻碼流信息。

上述提到視頻聯(lián)網(wǎng)中的各種安全威脅，可以從安全管理和密碼學(xué)技術(shù)等角度進(jìn)行安全防護(hù)，主要包括用戶(hù)身份認(rèn)證、前端設(shè)備及平臺(tái)接入身份認(rèn)證、控制信令認(rèn)證、視頻數(shù)據(jù)簽名和視頻數(shù)據(jù)加密等手段。

（一）用戶(hù)身份認(rèn)證

通過(guò)提高用戶(hù)登錄系統(tǒng)的認(rèn)證強(qiáng)度，結(jié)合合理完善的權(quán)限控制模型實(shí)現(xiàn)。在認(rèn)證強(qiáng)度方面，可采用基于公私鑰非對(duì)稱(chēng)密鑰體系的數(shù)字證書(shū)認(rèn)證方式代替?zhèn)鹘y(tǒng)基于口令的認(rèn)證方式實(shí)現(xiàn)。在權(quán)限控制方面，通常采用基于角色的訪問(wèn)控制（RBAC）模型實(shí)現(xiàn)[2]，視頻聯(lián)網(wǎng)系統(tǒng)設(shè)置具有不同權(quán)限的角色，分別從系統(tǒng)管理、業(yè)務(wù)使用和日志審計(jì)等方面設(shè)置對(duì)應(yīng)的角色，防止不同角色越權(quán)操作。同時(shí)，根據(jù)視頻聯(lián)網(wǎng)系統(tǒng)的地域性特點(diǎn)，進(jìn)一步采用分權(quán)分域的資源管理策略，防止業(yè)務(wù)用戶(hù)越權(quán)訪問(wèn)非管轄區(qū)域的視頻資源。

（二）前端設(shè)備及平臺(tái)接入身份認(rèn)證

對(duì)于前端設(shè)備接入身份認(rèn)證，通過(guò)提高前端設(shè)備注冊(cè)到視頻聯(lián)網(wǎng)系統(tǒng)的認(rèn)證強(qiáng)度實(shí)現(xiàn)。前端設(shè)備認(rèn)證方式采用基于公私鑰非對(duì)稱(chēng)密鑰體系的數(shù)字證書(shū)認(rèn)證方式代替?zhèn)鹘y(tǒng)基于設(shè)備口令的認(rèn)證方式。數(shù)字證書(shū)認(rèn)證涉及的算法，國(guó)際上一般使用RSA非對(duì)稱(chēng)公鑰密碼算法[3]，國(guó)內(nèi)使用商密SM2公鑰密碼算法[4]。RSA的安全性依賴(lài)于大數(shù)分解困難的數(shù)學(xué)難題，而SM2則是基于橢圓曲線（ECC）的算法，SM2是一種比RSA更先進(jìn)、更安全的算法，256位的ECC密鑰加密強(qiáng)度等同于3072位RSA密鑰的水平（目前互聯(lián)網(wǎng)上普通使用的RSA密鑰長(zhǎng)度也只有2048位）。所以建議采用SM2作為數(shù)字證書(shū)的密鑰算法。

對(duì)于平臺(tái)接入身份認(rèn)證，解決方案與防止非法前端接入系統(tǒng)的方案一致，在平臺(tái)級(jí)聯(lián)注冊(cè)時(shí)，下級(jí)平臺(tái)通過(guò)使用基于非對(duì)稱(chēng)密鑰的數(shù)字證書(shū)認(rèn)證代替原來(lái)基于口令的認(rèn)證方式，防止非法下級(jí)視頻聯(lián)網(wǎng)平臺(tái)接入上級(jí)視頻聯(lián)網(wǎng)平臺(tái)。

（三）控制信令認(rèn)證

通過(guò)對(duì)視頻聯(lián)網(wǎng)平臺(tái)與視頻采集前端及上下級(jí)視頻聯(lián)網(wǎng)平臺(tái)之間的每條控制信令增加認(rèn)證信息實(shí)現(xiàn)。信令認(rèn)證既可以采用基于非對(duì)稱(chēng)密鑰數(shù)字簽名實(shí)現(xiàn)，也可以采用基于對(duì)稱(chēng)密鑰消息認(rèn)證技術(shù)實(shí)現(xiàn)。由于非對(duì)稱(chēng)密鑰數(shù)字簽名相較于對(duì)稱(chēng)密鑰的消息認(rèn)證技術(shù)處理速度慢，而控制信令發(fā)送又比較頻繁，特別是云臺(tái)控制類(lèi)信令低延時(shí)要求更高，所以宜采用基于對(duì)稱(chēng)密鑰的消息認(rèn)證技術(shù)。消息認(rèn)證的核心算法是雜湊算法（又稱(chēng)消息摘要或哈希算法），國(guó)際上常用的消息雜湊算法是MD5[5]以 及SHA[6]系列算法；國(guó)內(nèi)使用商密SM3[7]算法，其安全性及效率與國(guó)際上SHA-256算法相當(dāng)。從國(guó)家戰(zhàn)略及安全性方面考慮，建議采用基于SM3的消息認(rèn)證算法。

（四）視頻數(shù)據(jù)簽名

可采用前端設(shè)備數(shù)字證書(shū)的私鑰對(duì)視頻數(shù)據(jù)進(jìn)行數(shù)字簽名的方式實(shí)現(xiàn)。碼流接收方可通過(guò)驗(yàn)證視頻簽名是否合法，來(lái)確保該視頻是否為聲稱(chēng)的前端產(chǎn)生，未被篡改。數(shù)字簽名操作由非對(duì)稱(chēng)密鑰簽名算法與雜湊算法結(jié)合完成，即先使用雜湊算法對(duì)一組視頻數(shù)據(jù)進(jìn)行哈希計(jì)算，再使用非對(duì)稱(chēng)密鑰中的私鑰對(duì)雜湊結(jié)果進(jìn)行簽名，最終得到一組視頻幀的數(shù)字簽名。國(guó)際上基于非對(duì)稱(chēng)密鑰算法的數(shù)字簽名通常使用RSA公鑰算法結(jié)合SHA256雜湊算法實(shí)現(xiàn)，國(guó)內(nèi)推薦商密算法為SM2公鑰算法結(jié)合SM3雜湊算法。從安全強(qiáng)度等方面考慮，推薦使用SM3-SM2算法。

（五）視頻數(shù)據(jù)加密

對(duì)于視頻這類(lèi)數(shù)據(jù)量大、實(shí)時(shí)性要求高的數(shù)據(jù)，通常采用對(duì)稱(chēng)密鑰加密算法進(jìn)行加密。國(guó)際上常用對(duì)稱(chēng)密鑰加密算法是AES[8]； 國(guó)內(nèi)推薦商密算法為SM1或SM4[9]。推薦使用SM1或SM4國(guó)密加密算法。

通過(guò)以上針對(duì)視頻聯(lián)網(wǎng)中面臨的各種安全威脅以及對(duì)應(yīng)解決方案的分析，推薦在現(xiàn)網(wǎng)上疊加實(shí)現(xiàn)GB 35114標(biāo)準(zhǔn)[10,11]規(guī)定的功能和要求，提升現(xiàn)網(wǎng)的安全防護(hù)能力。

三、結(jié)合GB 35114標(biāo)準(zhǔn)的實(shí)現(xiàn)方案

GB 35114標(biāo)準(zhǔn)對(duì)視頻聯(lián)網(wǎng)協(xié)議和視頻碼流格式在安全方面做出了具體規(guī)定，基于GB 35114的安全應(yīng)用也已經(jīng)逐漸出現(xiàn)[14]， 本章節(jié)提出一種在現(xiàn)有聯(lián)網(wǎng)環(huán)境中實(shí)現(xiàn)GB 3 5114 安全要求的技術(shù)方案。

方案的架構(gòu)如圖1所示。使用GB/T 28181聯(lián)網(wǎng)的視頻聯(lián)網(wǎng)系統(tǒng)通常包括視頻聯(lián)網(wǎng)平臺(tái)、前端和客戶(hù)端三個(gè)部分，其中：前端主要負(fù)責(zé)采集現(xiàn)場(chǎng)視頻；客戶(hù)端主要負(fù)責(zé)查看現(xiàn)場(chǎng)視頻；視頻聯(lián)網(wǎng)平臺(tái)主要負(fù)責(zé)接入客戶(hù)端和前端、存儲(chǔ)前端發(fā)來(lái)的視頻碼流、并轉(zhuǎn)發(fā)碼流給客戶(hù)端，負(fù)責(zé)視頻聯(lián)網(wǎng)平臺(tái)上下級(jí)聯(lián)信令和碼流的處理。視頻聯(lián)網(wǎng)平臺(tái)中聯(lián)網(wǎng)相關(guān)的核心模塊是負(fù)責(zé)處理SIP消息的信令服務(wù)器和負(fù)責(zé)處理視頻碼流的媒體服務(wù)器。為了升級(jí)原有視頻聯(lián)網(wǎng)系統(tǒng)以支持GB 35114安全功能，需在原有體系架構(gòu)下增加以下幾種系統(tǒng)或模塊：

（一）視頻安全密鑰服務(wù)系統(tǒng)

主要負(fù)責(zé)為視頻聯(lián)網(wǎng)系統(tǒng)中各網(wǎng)元制發(fā)數(shù)字證書(shū)，以及對(duì)稱(chēng)密鑰的管理。本方案在視頻安全密鑰服務(wù)系統(tǒng)里，設(shè)置數(shù)字證書(shū)管理系統(tǒng)和對(duì)稱(chēng)密鑰管理系統(tǒng)。前者負(fù)責(zé)給視頻聯(lián)網(wǎng)平臺(tái)的應(yīng)用安全支撐系統(tǒng)、客戶(hù)端的智能密碼鑰匙（USBKey）、前端的智能密碼芯片頒發(fā)用戶(hù)和設(shè)備身份數(shù)字證書(shū)，并提供證書(shū)查詢(xún)、證書(shū)吊銷(xiāo)列表查詢(xún)等證書(shū)相關(guān)服務(wù)；后者為應(yīng)用安全支撐系統(tǒng)的對(duì)稱(chēng)密鑰管理模塊提供對(duì)稱(chēng)密鑰管理相關(guān)的基礎(chǔ)服務(wù)。一個(gè)視頻安全密鑰服務(wù)系統(tǒng)，可以為多個(gè)同級(jí)視頻聯(lián)網(wǎng)系統(tǒng)提供證書(shū)和密鑰服務(wù)。視頻安全密鑰服務(wù)系統(tǒng)按照類(lèi)似國(guó)家、省、市多級(jí)級(jí)聯(lián)，可根據(jù)各級(jí)視頻聯(lián)網(wǎng)系統(tǒng)的規(guī)模設(shè)置視頻安全密鑰服務(wù)系統(tǒng)的級(jí)聯(lián)深度和數(shù)量。

（二）應(yīng)用安全支撐系統(tǒng)

應(yīng)用安全支撐系統(tǒng)為視頻聯(lián)網(wǎng)平臺(tái)提供GB 35114安全功能的支撐，視頻聯(lián)網(wǎng)平臺(tái)在應(yīng)用安全支撐系統(tǒng)的幫助下，支持符合GB 35114的安全客戶(hù)端、安全前端的接入及相關(guān)碼流的處理，支持通過(guò)GB 35114協(xié)議接入下級(jí)GB 35114 視頻聯(lián)網(wǎng)平臺(tái)或上聯(lián)到上級(jí)GB 35114視頻聯(lián)網(wǎng)平臺(tái)。應(yīng)用安全支撐系統(tǒng)由證書(shū)查詢(xún)服務(wù)、對(duì)稱(chēng)密鑰管理模塊、密碼云或密碼機(jī)和媒體脫密服務(wù)組成。其中證書(shū)查詢(xún)服務(wù)是視頻安全密鑰服務(wù)系統(tǒng)中數(shù)字證書(shū)管理系統(tǒng)的延伸，在視頻安全密鑰服務(wù)系統(tǒng)不可訪問(wèn)時(shí)，應(yīng)用安全支撐系統(tǒng)中的證書(shū)查詢(xún)服務(wù)仍然可以為視頻聯(lián)網(wǎng)平臺(tái)提供證書(shū)相關(guān)的查詢(xún)和驗(yàn)證服務(wù)。對(duì)稱(chēng)密鑰管理模塊在視頻聯(lián)網(wǎng)平臺(tái)接受前端注冊(cè)時(shí)提供視頻加密密鑰VKEK（Video Key Encryption Key）申請(qǐng)服務(wù)，同時(shí)為客戶(hù)端解密前端視頻時(shí)提供VKEK查詢(xún)服務(wù)。密碼云或密碼機(jī)為視頻聯(lián)網(wǎng)平臺(tái)處理信令和媒體過(guò)程中提供密碼計(jì)算支持。按照國(guó)密的使用規(guī)定，必須保證所有國(guó)密密碼相關(guān)計(jì)算在國(guó)家密碼管理部門(mén)批準(zhǔn)的密碼設(shè)備里進(jìn)行。媒體脫密服務(wù)為可選模塊，視頻聯(lián)網(wǎng)平臺(tái)可調(diào)用媒體脫密服務(wù)，將加密的碼流脫密后傳給系統(tǒng)中遺留的不支持GB 35114解密功能的視頻分析等模塊。

（三）智能密碼芯片

前端使用內(nèi)嵌的智能密碼芯片，完成GB 35114標(biāo)準(zhǔn)要求的身份認(rèn)證、信令認(rèn)證、視頻碼流簽名、視頻碼流加密等安全功能，按照國(guó)密使用要求，所有密碼相關(guān)計(jì)算都在密碼部件智能密碼芯片里完成。

（四）智能密碼鑰匙

客戶(hù)端上使用攜帶方便、支持USBKey接口的智能密碼鑰匙作為用戶(hù)身份認(rèn)證的數(shù)字證書(shū)存放和計(jì)算密碼部件?？蛻?hù)端要求在智能密碼鑰匙內(nèi)部完成GB 35114標(biāo)準(zhǔn)規(guī)定的身份認(rèn)證、信令認(rèn)證、視頻碼流驗(yàn)簽、視頻碼流解密等安全功能相關(guān)的密碼計(jì)算。

另外，視頻聯(lián)網(wǎng)平臺(tái)的重要功能是前端視頻的錄像存儲(chǔ)和回放，對(duì)于前端產(chǎn)生的GB 35114加密視頻碼流，視頻聯(lián)網(wǎng)平臺(tái)保持碼流為加密狀態(tài)的情況下直接存為錄像文件，以保證錄像在平臺(tái)存儲(chǔ)的安全性。在回放錄像時(shí)，平臺(tái)根據(jù)前端設(shè)備編號(hào)和時(shí)間范圍查詢(xún)歷史加密密鑰VKEK，傳給客戶(hù)端解密播放。

四、結(jié)語(yǔ)

本文分析了視頻聯(lián)網(wǎng)面臨的各種安全威脅，并介紹了適合于在現(xiàn)有視頻聯(lián)網(wǎng)基礎(chǔ)上疊加標(biāo)準(zhǔn)化安全機(jī)制的GB 35114標(biāo)準(zhǔn)。在此基礎(chǔ)上提出一種實(shí)現(xiàn)GB 35114的技術(shù)方案，為相關(guān)部門(mén)和廠商在視頻聯(lián)網(wǎng)系統(tǒng)的設(shè)計(jì)工作方面提供了一種可以借鑒的思路。