基于GB 35114-2017标准的视频联网信息安全研究与实现

2023-01-19何晓风韩笑师磊甘肃省公安厅

警察技术 2022年6期

何晓风韩笑师磊甘肃省公安厅

引言

随着各地市安防项目的建设和实施，视频联网安全问题日渐成为关注的焦点。虽然相关系统厂家和设备厂商采取了一些措施加强安全防护，起到一定效果，但采用的方案多数基于网络和传输层面，对系统和应用层面的信息安全保护还不足。随着人工智能技术的发展，如短视频平台中的人工智能换脸技术等的出现，又让人们对视频数据防伪造、防篡改等问题更加关注[1]。如何更好、更全面、更系统性地保障安防信息系统的安全，尤其是视频联网系统的安全是迫在眉睫的问题。

一、GB 35114-2017标准介绍

GB 35114-2017《公共安全视频监控联网信息安全技术要求》（以下简称GB 35114）是视频图像信息联网共享应用标准体系中的重要技术标准，首次对视频联网信息安全提出明确规范要求。GB 35114基于国密算法的数字证书和密钥管理体系，对视频采集前端设备与视频联网平台以及视频联网平台与平台之间的双向身份认证、控制信令完整性检查、视频数据的可信编码及验证、视频数据加解密等方面给出完整规定，可解决前文提到的各种安全威胁，确保视频联网信息安全，从系统层面为视频联网系统信息安全提供了整体解决方案。GB 35114是在GB/T 28181的协议[12]基础上叠加安全保障机制，所以更有利于现网使用GB/T 28181互联的平台升级以支持安全功能。同时，GB 35114使用了拥有自主知识产权的GB/T 25724（SVAC）音视频编码技术[13]，是完全自主可控的标准，使我国视频联网应用在标准化、规范化和专业化方面有了明确的依据。

二、安全威胁及防护方向分析

视频联网系统面临的安全威胁包括联网系统中各子系统或设备的物理环境安全、主机及其计算环境安全、网络通信安全、管理安全等多个方面。本文主要探讨视频联网交互过程中的协议及信息安全，其面临的主要安全威胁包括：

（1）非法用户访问系统中的数据或进行非法操控；

（2）非法模拟视频采集前端或下级平台接入视频联网平台并发送虚假视频给平台；

（3）非法模拟控制命令发送给平台或前端设备，恶意操控前端设备；

（4）非法伪造或篡改视频内容；

（5）非法获取视频码流信息。

上述提到视频联网中的各种安全威胁，可以从安全管理和密码学技术等角度进行安全防护，主要包括用户身份认证、前端设备及平台接入身份认证、控制信令认证、视频数据签名和视频数据加密等手段。

（一）用户身份认证

通过提高用户登录系统的认证强度，结合合理完善的权限控制模型实现。在认证强度方面，可采用基于公私钥非对称密钥体系的数字证书认证方式代替传统基于口令的认证方式实现。在权限控制方面，通常采用基于角色的访问控制（RBAC）模型实现[2]，视频联网系统设置具有不同权限的角色，分别从系统管理、业务使用和日志审计等方面设置对应的角色，防止不同角色越权操作。同时，根据视频联网系统的地域性特点，进一步采用分权分域的资源管理策略，防止业务用户越权访问非管辖区域的视频资源。

（二）前端设备及平台接入身份认证

对于前端设备接入身份认证，通过提高前端设备注册到视频联网系统的认证强度实现。前端设备认证方式采用基于公私钥非对称密钥体系的数字证书认证方式代替传统基于设备口令的认证方式。数字证书认证涉及的算法，国际上一般使用RSA非对称公钥密码算法[3]，国内使用商密SM2公钥密码算法[4]。RSA的安全性依赖于大数分解困难的数学难题，而SM2则是基于椭圆曲线（ECC）的算法，SM2是一种比RSA更先进、更安全的算法，256位的ECC密钥加密强度等同于3072位RSA密钥的水平（目前互联网上普通使用的RSA密钥长度也只有2048位）。所以建议采用SM2作为数字证书的密钥算法。

对于平台接入身份认证，解决方案与防止非法前端接入系统的方案一致，在平台级联注册时，下级平台通过使用基于非对称密钥的数字证书认证代替原来基于口令的认证方式，防止非法下级视频联网平台接入上级视频联网平台。

（三）控制信令认证

通过对视频联网平台与视频采集前端及上下级视频联网平台之间的每条控制信令增加认证信息实现。信令认证既可以采用基于非对称密钥数字签名实现，也可以采用基于对称密钥消息认证技术实现。由于非对称密钥数字签名相较于对称密钥的消息认证技术处理速度慢，而控制信令发送又比较频繁，特别是云台控制类信令低延时要求更高，所以宜采用基于对称密钥的消息认证技术。消息认证的核心算法是杂凑算法（又称消息摘要或哈希算法），国际上常用的消息杂凑算法是MD5[5]以及SHA[6]系列算法；国内使用商密SM3[7]算法，其安全性及效率与国际上SHA-256算法相当。从国家战略及安全性方面考虑，建议采用基于SM3的消息认证算法。

（四）视频数据签名

可采用前端设备数字证书的私钥对视频数据进行数字签名的方式实现。码流接收方可通过验证视频签名是否合法，来确保该视频是否为声称的前端产生，未被篡改。数字签名操作由非对称密钥签名算法与杂凑算法结合完成，即先使用杂凑算法对一组视频数据进行哈希计算，再使用非对称密钥中的私钥对杂凑结果进行签名，最终得到一组视频帧的数字签名。国际上基于非对称密钥算法的数字签名通常使用RSA公钥算法结合SHA256杂凑算法实现，国内推荐商密算法为SM2公钥算法结合SM3杂凑算法。从安全强度等方面考虑，推荐使用SM3-SM2算法。

（五）视频数据加密

对于视频这类数据量大、实时性要求高的数据，通常采用对称密钥加密算法进行加密。国际上常用对称密钥加密算法是AES[8]；国内推荐商密算法为SM1或SM4[9]。推荐使用SM1或SM4国密加密算法。

通过以上针对视频联网中面临的各种安全威胁以及对应解决方案的分析，推荐在现网上叠加实现GB 35114标准[10,11]规定的功能和要求，提升现网的安全防护能力。

三、结合GB 35114标准的实现方案

GB 35114标准对视频联网协议和视频码流格式在安全方面做出了具体规定，基于GB 35114的安全应用也已经逐渐出现[14]，本章节提出一种在现有联网环境中实现GB 3 5114 安全要求的技术方案。

方案的架构如图1所示。使用GB/T 28181联网的视频联网系统通常包括视频联网平台、前端和客户端三个部分，其中：前端主要负责采集现场视频；客户端主要负责查看现场视频；视频联网平台主要负责接入客户端和前端、存储前端发来的视频码流、并转发码流给客户端，负责视频联网平台上下级联信令和码流的处理。视频联网平台中联网相关的核心模块是负责处理SIP消息的信令服务器和负责处理视频码流的媒体服务器。为了升级原有视频联网系统以支持GB 35114安全功能，需在原有体系架构下增加以下几种系统或模块：

（一）视频安全密钥服务系统

主要负责为视频联网系统中各网元制发数字证书，以及对称密钥的管理。本方案在视频安全密钥服务系统里，设置数字证书管理系统和对称密钥管理系统。前者负责给视频联网平台的应用安全支撑系统、客户端的智能密码钥匙（USBKey）、前端的智能密码芯片颁发用户和设备身份数字证书，并提供证书查询、证书吊销列表查询等证书相关服务；后者为应用安全支撑系统的对称密钥管理模块提供对称密钥管理相关的基础服务。一个视频安全密钥服务系统，可以为多个同级视频联网系统提供证书和密钥服务。视频安全密钥服务系统按照类似国家、省、市多级级联，可根据各级视频联网系统的规模设置视频安全密钥服务系统的级联深度和数量。

（二）应用安全支撑系统

应用安全支撑系统为视频联网平台提供GB 35114安全功能的支撑，视频联网平台在应用安全支撑系统的帮助下，支持符合GB 35114的安全客户端、安全前端的接入及相关码流的处理，支持通过GB 35114协议接入下级GB 35114 视频联网平台或上联到上级GB 35114视频联网平台。应用安全支撑系统由证书查询服务、对称密钥管理模块、密码云或密码机和媒体脱密服务组成。其中证书查询服务是视频安全密钥服务系统中数字证书管理系统的延伸，在视频安全密钥服务系统不可访问时，应用安全支撑系统中的证书查询服务仍然可以为视频联网平台提供证书相关的查询和验证服务。对称密钥管理模块在视频联网平台接受前端注册时提供视频加密密钥VKEK（Video Key Encryption Key）申请服务，同时为客户端解密前端视频时提供VKEK查询服务。密码云或密码机为视频联网平台处理信令和媒体过程中提供密码计算支持。按照国密的使用规定，必须保证所有国密密码相关计算在国家密码管理部门批准的密码设备里进行。媒体脱密服务为可选模块，视频联网平台可调用媒体脱密服务，将加密的码流脱密后传给系统中遗留的不支持GB 35114解密功能的视频分析等模块。