雪亮工程信息安全技术标准与实现探讨

文/洪磊

摘 要：随着雪亮工程联网共享及应用推广，各建设单位、视频监控厂商和信息安全厂商面对相关政策及标准要求，在该类项目信息安全设计及实施方面，切实需要一套可行的信息安全落地实施方案。本文结合公共安全视频联网共享平台及公安、综治两个分平台的组网架构及行业信息安全要求等约束性条件，分析了雪亮工程适用的安全体系、密钥体系和SIP双向认证等关键技术，并探索其技术实现方法。

关键词：雪亮工程 信息安全 密钥体系 综治

1、引言

“雪亮工程”，即公共安全视频监控建设联网应用，是指以“全域覆盖、全网共享、全时可用、全程可控”为总目标，推动重点公共区域、重点行业、领域的视频监控系统建设，指导、监督治安保卫重点单位公共安全视频监控系统建设；推动公共安全视频监控系统联网，整合各类视频图像资源；开展视频图像信息在治安防控、城乡社会治理、智能交通、服务民生、生态建设与保护等领域应用；充分发挥人民群众利用视频监控系统在社会治安综合治理和平安建设中的作用。

视频监控系统(特别是智能摄像机)作为“物联网之眼”已经在诸多领域广泛应用，其安全问题也成为公共信息安全的焦点所在，特别是重点单位、重点行业、重点部位的公共安全视频监控联网信息安全问题，将直接关系到国家和社会的公共安全。

2、相关政策和标准

国家对雪亮工程的信息传输、交换、控制技术及信息安全等均制定了相关国家标准。如GB/T 28181-2016 标准就规定了公共安全视频监控联网系统的互联结构，传输、交换、控制的基本要求和安全性要求，以及控制、传输流程和协议接口等技术要求， 适用于公共安全视频监控联网系统的方案设计、系统检测、验收以及与之相关的设备研发与生产。

而GB 35114-2017标准规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求，包括公共安全视频监控联网信息安全系统的互联结构、证书和密匙要求、基本功能要求、性能要求等，适用于公共安全领域视频监控系统的信息安全方案设计、系统检测、验收以及与之相关的设备研发与检测。

本文主要基于以上2个技术标准，并参考公安行业和电子政务相关边界接入、信息安全等标准和规范，提出雪亮工程适用的信息安全体系及其典型技术实现方法。

参考政策及技术规范和要求：

《关于加强公共安全视频监控建设联网应用工作的若干意见》（发改高技[2015]996号）

《公安信息通信网边界接入平台安全规范（试行）—视频接入部分》（公科信[2011]5号）

《全国公安移动警务建设总体技术方案（2016版）》

《公共安全视频监控联网系统信息传输、交换、控制技术要求》（GB/T 28181-2016）

《公共安全视频监控联网信息安全技术要求》（GB 35114-2017）

《信息安全技术 电子政务移动办公系统安全技术规范 》（GB/T 35282-2017）

3、雪亮工程信息安全风险分析

公共安全视频监控联网应用横向覆盖全省（或全市）社会面视频监控、公安视频监控、综治视频监控等。因各行业、各单位网络安全级别的差异性，网络安全防范措施也不尽相同，网络风险比较难以管控。安全风险控制难点举例如下：

3.1传输内容安全过滤困难

视频应用区别于WEB、数据库等其他应用的主要特点在于其传输的内容为二进制图像数据流，因此，如何有效防止违法的病毒、木马数据嵌入视频应用中传输成为必须解决的问题。

3.2防止内网泄露机密信息困难

由于视频监控的访问具有双向性，即部分视频专网视频监控需要对外向其他政法单位提供访问权，公安视频专网及公安信息网也需要访问大量一、二、三类视频监控资源，如何有效防止黑客程序利用视频通道泄露内网敏感数据也必须妥善解决。

3.3应用协议控制困难

由于行业特殊性，早期视频监控多为独立建设、小规模联网应用，始终没有制定全国性的统一互联标准，导致各视频厂家协议差异性较大，相互不兼容现象普遍，安全控制难度大。

针对以上安全防控点的分析，并结合雪亮工程层级架构，将其信息安全防控归结为终端安全、网络传输安全、平台安全、应用安全等四个方面，其核心信息安全需求可归纳为：

用户及设备身份认证需求

信令及视频数据完整性需求

视频数据来源的可追溯性需求

视频数据的机密性需求

4、视频联网监控系统信息安全原理

公共安全视频监控联网信息安全系统定义：公共安全视频监控联网信息安全系统由安全前端设备、安全用户终端、视频安全密钥服务系统、视频安全管理平台四部分组成。各部分以传输网络为基础，通过会话通道协议、媒体流通协议和证书通道协议连接。

视频安全密钥服务系统定义：视频安全密钥服务系统指具备用户和设备身份证书的制发功能，为视频监控安全管理平台提供证书查询和验证等服务，并完成对对称密钥管理的系统。

视频监控安全管理平台定义：视频监控安全管理平台指由具有安全功能的中心信令控制服务器、具有安全功能的媒体服务器、信令安全路由网关等功能体组成。具备用户身份认证、设备身份认证、密钥管理、权限管理、签名验签、加密解密、访问控制、审计、加密视频数据实时点播/历史回放/存储/下载/分发/导出、视频数据源抗抵赖，控制信令的完整性验证等功能。

视频联网监控系统的安全目标是“构建具有安全功能的监控联网安全系统，能够保障视频数据及控制信令信息真实性、完整性、保密性”。

GB 35114-2017标准的核心是通过国家商用密码技术和服务来保障视频监控联网系统的安全。密码应用技术体系如下图所示：

图1 密钥应用技术体系框架图

GB 35114-2017标准涉及的密码应用技术有：密码资源、密码支撑、 密码服务、密码应用和密钥管理。下面简单分析其技术原理。

4.1 密码资源层

密码资源层主要包含相关密码算法和硬件算法芯片等。视频监控联网系统中配置的算法包括：

非对称算法：SM2椭圆曲线密码算法，用于身份认证、数字签名和密钥协商。

对称算法：SM1、SM4分组密码算法OFB（密文输出反馈模式）用于视频数据的加密保护；SM4的ECB模式用于密钥协商保护。

杂凑算法：SM3密码杂凑算法，用于完整性校验。

随机数发生算法：通过GM/T 005-2012随机数检测方法检测的发生算法。

4.2 密钥生命周期管理

视频监控联网系统使用的密钥包括签名公私钥、加密公私钥、视频加密密钥和视频密钥加密密钥。密钥管理功能主要由视频监控安全管理平台承担，对各类密钥进行全生命周期的管理。

视频安全密钥服务系统仅提供用户和设备身份证书的制发，为视频监控安全管理平台提供证书查询和验证等服务。

视频监控安全管理平台完成身份认证、密钥管理、权限管理、签名验签、加密解密、访问控制、审计等功能。

4.3 密码支撑层

密码支撑层提供密码资源调用，由安全芯片、密码模块和服务器密码机、云密码机等密码工程产品组成。

GB 35114-2017标准推荐采用国密算法，硬件形态可以是芯片、TF加密卡、安全USBkey等形式，配合安全接入及认证管理模块完成设备身份认证、视频签名、视频解密等信息安全运算。

对于具有安全功能的前端设备和具有安全功能的用户终端，可以按需使用安全芯片和其他形式封装的密码模块（如安全TF卡、安全贴膜卡和安全USB Key等）。

对于视频监控管理平台、流媒体服务器、存储服务器、解码器等，可以部署服务器密码机，对于部署于云平台的视频监控平台及应用系统，则可以选用云密码机。应用系统通过集成SDK远程调用密码机提供的密码服务。

图2 硬件形态

4.4 密码服务层

密码服务层（即密码API层），为上层应用提供标准的密码服务接口，接口的形式遵循业界的标准，可以提供更好的兼容性和适用性。密码支撑模块提供的API接口支持SDF（国密）、PKCS11（RSA公司）和CSP（微软）中的至少一种。

图3 视频安全密钥服务系统图

4.5 密码应用层

密码应用层指视频监控联网信息安全系统中的密码应用。主要有对用户及设备进行身份认证、数据安全传输、安全存储、角色授权和访问控制、签名和验签等功能。

安全认证：基于PKI公钥基础设施进行设备的身份标识管理和认证。对用户、终端、平台、信令、网间身份认证等，保证行为合法、可追溯。

加密传输、存储：保障视频传输、存储安全。

角色的授权与访问控制：保障数据合规使用。实现基于角色的访问控制模型，对于视频数据进行授权管理和访问控制。

签名和验签：保证信令及视频数据完整性。签名的对象包括视频的I帧或其他关键帧，以及视频的完整数据。

5、系统联网结构说明

视频监控信息安全系统互联结构可分为系统内联网安全结构和系统间联网安全结构。

图4 公共安全视频监控信息安全系统互联结构示意图

5.1 视频监控系统内联网安全结构

图5 公共安全视频监控系统内联网安全结构

安全前端设备：前端设备是指安装于视频监控现场的具备信息采集、编码/处理、存储、传输、安全控制等功能的设备，安全前端设备是指集成密码模块的前端设备，具备基于数字证书的设备身份认证、视频签名、视频加密等信息安全保护功能。

图6 安全前端设备

安全用户终端：具有密码模块的PC、智能终端等用户终端，具备基于数字证书的用户身份认证、视频解密等功能。

图7 安全用户终端

视频安全接入系统：为C/S架构，安全前端设备安装安全接入客户端，视频监控网络的边界处部署视频安全接入网关。解决安全前端设备产生的视频数据传输至视频监控安全管理平台过程中的数据保密性和完整性问题，通过身份认证、密钥协商、数据加密等安全机制，构建视频数据的安全传输通道。

图8 视频安全接入系统

密码基础服务系统：系统提供典型的密码服务，包括：

密码支撑设备：在系统中部署服务器密码机，以网络远程调用的形式为系统中的各业务系统提供密码服务。密码服务API推荐采用国密SDF标准。

密钥管理系统：对系统中应用到的各类密钥提供全生命周期管理服务。

身份认证系统：基于PKI技术体系，包括CA、RA、LDAP和人员管理等子系统，为设备和用户提供基于数字证书的身份认证服务。

图9 密码基础服务系统

5.2 视频监控系统间联网安全结构

图10 公共安全视频监控系统间联网安全结构

视频监控系统的联网方式包括级联和互联两种。级联适用于具有上下级关系的组织结构中，通常组成树形的拓扑结构，互联适用于对等的组织结构中，通常组成网状的拓扑结构。

（1）在组建视频联网体系时，密码服务设施需要进行统一的规划，保证身份信息和控制策略的跨域查询或交换，通常可通过安全接入系统建立互相信任关系实现跨域应用。

（2）视频数据和控制指令在系统间的传输交换，采用安全隔离设计进行保障。

按照信息系统分级的原则，在视频监控系统中划分出视频联网交换区，视频联网交换区和视频业务区使用单向隔离交换设备实现数据的单向流通。

在单向隔离交换设备前后，部署视频访问控制系统（包括管理和代理子系统），对视频数据和控制指令进行协议剥离和还原封装，并对视频格式和指令内容进行匹配和分析，防止异常数据进入到视频业务系统中。

6、SIP安全认证

GB/T 28181-2016标准对SIP注册流程分为基本注册和基于数字证书的双向认证注册。

基本注册采用IETF RFC3261规定的基于数字摘要的挑战应答式安全技术进行注册。使用基于用户名和密码，MD5散列计算、签名验签等方式实现认证。

GB 35114-2017标准要求基于数字证书的双向认证注册。对RFC3261中定义的REGISTER进行了头域扩展，扩展了密码算法和模式描述。在安全前端设备、安全用户终端与视频安全管理平台间进行单向、双向认证时，可以协商密钥类型、算法工作模式等。

认证方式改变，要求监控厂商针对GB 35114-2017标准，对相关设备信令交互过程进行对应修改，以满足国标要求。

7、结语

公共安全视频监控联网信息安全系统以传输网络为基础，通过会话通道协议、媒体流通协议和证书通道协议连接。通过对原有SIP协议认证流程的改造和补充，实现基于数字证书的国密安全认证，从而构建具有安全功能的公共视频监控联网系统，保障视频数据及控制信令信息真实性、完整性、保密性。

本文以GB 35114-2017标准为基础，并结合国密算法、PKI公钥基础设施等技术架构，提出对GB 35114-2017标准的尝试性解读。希望能为业内同仁进行相关方案制作、系统开发、产品改造等方面提供一定参考，起到抛砖引玉的效果。

参考文献

[1]商用密码知识与政策干部读本[M].北京：人民出版社， 2017.

[2] GB/T 28181-2016.公共安全视频监控联网系统信息传输、交换、控制技术要求[S].

[3] GB 35114-2017.公共安全视频监控联网信息安全技术要求[S].

[4] GB/T 35282-2017.信息安全技术 电子政务移动办公系统安全技术规范[S].

声明：本文来自公安部检测中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。