摘要：满足《GB+35114公共安全视频监控联网信息安全技术要求》中的对称密钥以及非对称密钥的功能、管理、安全要求，实现管理平台内各功能实体的签名公私钥和加密公私钥、FDWSF的签名公私钥、用户终端的签名公私钥的安全管理，实现视频加密密钥的安全管理。全面支持SM1/SM2/SM3/SM4算法，其中，SM1/SM4算法支持OFB模式，用于视频数据的加密保护，SM4算法同时还需支持 ECB模式，用于密钥协商数据的加密保护。

关键词：视频安全、物联网、数据加密、国密应用

1.概述

1.1背景

近年来，随着"平安城市"、"智慧城市"、"雪亮工程"等重大项目的推进，越来越多的视频监控系统在全国各地广泛部署，对加强治安防控、优化交通出行、服务城市管理、创新社会治理等方面起到了积极的推动作用，但现有的视频监控系统普遍缺乏安全防护机制，导致视频监控系统安全事件频发，严重威胁到国家、社会、企业和家庭的安全，如何保证视频数据不被窃取或篡改，如何保证接入设备的合法性是建设公共安全视频监控系统需要解决的重要问题。

1.2目标

本方案主要讲述如何对现有公共安全视频监控系统进行改造以满足《GB+35114公共安全视频监控联网信息安全技术要求》的安全要求。

2.需求分析

针对公共安全视频监控系统面临的安全问题，国家推出首个关于视频监控联网信息安全方面的技术标准《GB+35114公共安全视频监控联网信息安全技术要求》，对公共安全视频监控的信息安全提出明确规范要求，是全面加强公共安全视频监控领域信息安全的技术依据。

《GB+35114公共安全视频监控联网信息安全技术要求》的主要安全要求如下：

针对现有的公共安全视频监控系统架构，提供有效的认证体系。

根据《GB+35114公共安全视频监控联网信息安全技术要求》的规范要求，需要对公共安全视频监控系统的以下部件进行认证，主要包括有：

用户使用的身份认证，包括各级的调度人员、维护人员等使用视频监控安全管理平台（简称为：SMPIVS）、公共安全视频监控联网信息安全系统（简称为：ISSIVNS）以及各类管理查询APP端的人员身份认证。

对公共安全视频监控系统的各核心组件提供身份认证，主要包括有：前端设备（FDWSF）、用户终端（UTWSF）、中心信令控制服务器（CCSWSF）、媒体服务器（MSWSF）提供接入网络、授权访问的身份认证。

对各类应用系统提供身份认证，主要包括有：GIS应用管理平台、大数据平台、解码显示系统、人脸抓拍系统、视频结构化系统、车辆微卡口应用系统等应用系统进行身份认证。

3.方案架构

3.1技术架构

图1 平台安全技术架构

3.2部署说明

3.2.1平台侧安全方案

各视频监控服务平台调用省级平台的数字证书认证平台进行数字证书的签发，同时，各视频监控服务平台部署签名验签服务器，实现各平台内的数字证书的本地化验证。

部署统一的密钥管理服务平台，实现各类密钥的全生命周期安全管理，主要包括：证书的公私密钥对、视频数据加密密钥、视频数据密钥加密密钥的生成、安全存储、分发、使用、备份、恢复、销毁等功能。

3.2.2前端设备安全方案

对于前端设备，根据《GB+35114公共安全视频监控联网信息安全技术要求》的安全要求，可分为A级、B级、C级的三个安全等级，提供不同的安全方案，总体方案如下：

3.2.3安全视频监控系统拓扑图

引入商用密码产品保障视频监控系统安全运行的系统拓扑图如下：

图2 系统拓扑

说明：

●  数字证书认证中心由公安部统一构建，各视频监控服务平台与数字证书认证中心平台对接，实现数字证书的签发，因此，在视频监控服务平台需要部署证书认证平台的RA服务器，实现证书申请文件的提交以及证书的签发。

●  在视频监控服务平台部署东进签名验签服务器，实现本地的数字证书认证。

3.3主要功能

●  提供完善的视频流传输加密、前端设备（FDWSF）的视频流数据签名功能，并可根据前端设备（FDWSF）的安全等级要求（A级、B级、C级）分别提供不同安全级别的解决方案。

●  建立完善的平台证书生命周期管理体系和管理规范，实现用户、前端设备、服务器、管理平台等各类数字证书的签发、分发、安全存储、认证等功能，证书格式符合《GB+35114公共安全视频监控联网信息安全技术要求》附录A规范，支持GM/T 0015-2012中对证书格式以及CRL的规定。

●  建立完善的密钥生命周期管理体系和管理规范，满足《GB+35114公共安全视频监控联网信息安全技术要求》中的对称密钥以及非对称密钥的功能、管理、安全要求，实现管理平台内各功能实体的签名公私钥和加密公私钥、FDWSF的签名公私钥、用户终端的签名公私钥的安全管理，实现视频加密密钥、视频密钥加密密钥的安全管理。

●  满足《GB+35114公共安全视频监控联网信息安全技术要求》中的国密算法的要求，全面支持SM1/SM2/SM3/SM4算法，其中，SM1/SM4算法支持OFB模式，用于视频数据的加密保护，SM4算法同时还需支持 ECB模式，用于密钥协商数据的加密保护。

3.4技术指标

●  支持国密SM1/SM2/SM3/SM4算法。

●  支持DES、3DES、IDEA、AES对称算法。

●  支持MD5、SHA-1、SHA-256散列算法。

●  支持1024位和2048位RSA非对称算法。

●  对称算法支持ECB、CBC多种算法模式。

3.5型号及资质

4.方案特色

●  安全合规：满足公安部GB35114-2017《公共安全视频监控联网信息安全技术要求》规定的安全保护要求。

●  兼容性：方案中使用的商密产品都支持国密算法和国际密码算法。

●  扩展性：所有提供的硬件均支持自主集群(包括热备、双活和负载均衡)。

●  稳定可靠：软件系统支持集中部署和分布式部署。

5.适用领域

适用于不同的应用领域的视频监控系统，可对用户提供安全的身份认证。

6.产品清单

7.应用案例

主流的视频监控系统采用的都是层级系统架构，对于单个系统来讲，一般分为两层，即由各类高清摄像头、前端智能摄像机组成的视频数据采集子系统以及后端的联网平台层组成，各联网平台除了完成本平台内的视频摄像头的管理、调度以及各类应用功能外，还实现与主管上级部门的视频监控系统的联网互动功能，系统拓扑图如下：

图3 案例系统拓扑

深圳市东进技术股份有限公司成都分公司

联系人：刘 宇

电  话：13981944002