基于5G 邊緣計算的視頻監(jiān)控密碼應用研究*

石元兵，張舒黎

（成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，四川 成都 610041）

0 引 言

視頻監(jiān)控通過實時視頻采集、網(wǎng)絡通信、可視化呈現(xiàn)等方式，對物理世界進行感知和分析。隨著數(shù)字化的進展及安防事業(yè)的快速建設，視頻監(jiān)控被越來越多地應用于平安城市、雪亮工程、樓宇安防、園區(qū)安防、家庭安防等領域[1]。5G 的正式商用[2]以及邊緣計算[3]等技術的逐漸成熟，標志著視頻監(jiān)控有了更廣闊的應用空間。視頻監(jiān)控將伴隨5G 的深入發(fā)展應用到國家、社會、人民生活的方方面面。

基于5G 邊緣計算的視頻監(jiān)控應用前景良好，但同時也面臨各種安全威脅，存在視頻泄露、篡改破壞等安全風險，應當綜合應用密碼技術，構建安全體系，有效保證系統(tǒng)安全。本文對5G 邊緣計算及視頻監(jiān)控抽取密碼需求，結合國產(chǎn)自主可控的商用密碼[4]，提出5G邊緣計算視頻監(jiān)控密碼應用框架，研究設計關鍵密碼技術，確保系統(tǒng)應用安全。

1 現(xiàn)狀及需求

1.1 基于5G 邊緣計算的視頻監(jiān)控

隨著新一代信息技術的推進，5G 已成為我國國家戰(zhàn)略。邊緣計算作為5G 的核心技術，通過融合網(wǎng)絡、計算、存儲、應用等核心能力，將5G 業(yè)務下沉到接入邊緣，就近提供邊緣智能服務，滿足行業(yè)數(shù)字化在敏捷聯(lián)接、實時業(yè)務、應用智能等方面的關鍵需求。

一直以來，視頻監(jiān)控被廣泛應用于平安城市、雪亮工程、執(zhí)行指揮等領域，發(fā)揮著安防保障、智能研判、犯罪取證等重要作用。5G+邊緣計算具備大帶寬、大連接、低時延等網(wǎng)絡能力，相比于傳統(tǒng)網(wǎng)絡（4G、固網(wǎng)等），能夠更好地承載視頻業(yè)務，并提供豐富的擴展功能，為視頻監(jiān)控的應用發(fā)展帶來了全新機遇。

如圖1 所示，5G 邊緣計算賦能視頻監(jiān)控體現(xiàn)在eMBB、mMTC、urLLC 三大方面。5G 邊緣計算能夠為視頻監(jiān)控提供更高傳輸速率和更大帶寬的接入，承載每秒十億萬字節(jié)的視頻碼流，并支持高清、超高清的監(jiān)控業(yè)務。5G 邊緣計算能夠接入超大規(guī)模、低性能、低能耗的IoT 監(jiān)控設備，助力視頻監(jiān)控的全面布局。5G 邊緣計算通過實時計算、視頻可視化等方式，滿足視頻監(jiān)控在高實時、高精密、高智能等方面的需求。

圖1 5G 邊緣計算賦能視頻監(jiān)控

基于5G 邊緣計算的視頻監(jiān)控系統(tǒng)架構如圖2所示。海量異構的監(jiān)控終端通過5G 接入網(wǎng)連接網(wǎng)絡。業(yè)務下層的邊緣計算平臺對高網(wǎng)絡質(zhì)量（時延、帶寬、抖動）需求的監(jiān)控業(yè)務提供實時計算、數(shù)據(jù)存儲、可視化等服務。而云端的視頻系統(tǒng)與邊緣計算平臺進行業(yè)務聯(lián)動，并對全局數(shù)據(jù)進行存儲、進行非實時運算、處理聯(lián)網(wǎng)應用等，為用戶提供豐富的監(jiān)控服務。

1.2 密碼應用需求

伴隨5G 邊緣計算的發(fā)展以及視頻監(jiān)控的廣泛應用，其安全問題日益凸顯，密碼應用需求顯得尤為迫切。目前，國內(nèi)5G 邊緣計算的安全及密碼標準仍處于空白狀態(tài)。針對視頻監(jiān)控的密碼標準也只有GB35114[5]，相關密碼及安全技術還處于研究狀態(tài)，并不成熟。本文結合當前5G 邊緣計算及視頻監(jiān)控的發(fā)展趨勢以及實際的密碼使用情況，歸納出如下四方面的密碼應用需求：

（1）密碼與應用場景融合：基于5G 邊緣計算的視頻監(jiān)控，相較于傳統(tǒng)的視頻監(jiān)控，涉及更多的場景，如海量異構終端、差異化可視呈現(xiàn)、人工智能分析、大數(shù)據(jù)研判等。不同應用場景的密碼需求具有共性也具有差異性，在進行密碼應用時，應當充分考慮場景特點，對場景進行安全保護的同時不影響場景業(yè)務。

圖2 基于5G 邊緣計算的視頻監(jiān)控系統(tǒng)架構

（2）密碼與信息技術融合：基于5G 邊緣計算的視頻監(jiān)控引入了豐富的信息技術，如5G 網(wǎng)絡切片、邊緣計算、虛擬化、大數(shù)據(jù)、人工智能、流媒體等。對整個系統(tǒng)進行密碼應用時，應當充分結合新型信息技術的特點，做到信息技術融合創(chuàng)新的同時實現(xiàn)安全加固及增強。

（3）密碼與協(xié)議流程融合：在進行密碼應用時，應當充分考慮已有密碼協(xié)議（如5G AKA 認證、信令安全等）[6]，通盤梳理安全痛點及密碼需求，在需要處實施密碼防護，做到密碼技術不堆疊、有的放矢。另一方面，密碼技術應當與已有協(xié)議進行深度融合，做到協(xié)議安全增強的同時，盡量不影響業(yè)務流程，以此保證密碼技術的持續(xù)應用。

（4）密碼合規(guī)要求：5G、邊緣計算、聯(lián)網(wǎng)視頻監(jiān)控均屬于國家重要信息系統(tǒng)基礎設施，其安全問題關系到國家安全和社會穩(wěn)定。在實際應用中，應當以國產(chǎn)自主可控的商用密碼算法為基石，靈活可擴展地進行重構設計，保證安全合規(guī)的同時，達到高效、敏捷的目的。

2 密碼技術研究

2.1 總體框架

5G、邊緣計算等新一代信息通信技術極大地賦能視頻監(jiān)控業(yè)務場景，促進視頻監(jiān)控更加廣泛、深入、智能地服務應用。以密碼為核心構建5G 邊緣計算視頻監(jiān)控的安全體系，就是要將安全以基因化形式注入5G 邊緣計算視頻監(jiān)控場景中，有效保障開放網(wǎng)絡環(huán)境中的業(yè)務安全問題，確保視頻監(jiān)控業(yè)務應用的安全可持續(xù)發(fā)展，為5G+視頻安全乃至5G+垂直行業(yè)安全提供密碼應用及安全范例，推動5G 產(chǎn)業(yè)的安全發(fā)展。基于5G 邊緣計算的視頻監(jiān)控密碼應用框架如圖3 所示。

密碼應用框架以密碼基礎、密碼設備、密碼服務為支撐，在視頻監(jiān)控終端、邊緣計算平臺、云平臺實施密碼安全防護，有力保障5G 視頻監(jiān)控在智能城市、安防監(jiān)控、消費監(jiān)控、視頻AI 等領域的安全應用。

密碼支撐涵蓋密碼基礎、密碼設備、密碼服務三個方面。密碼基礎指的是國家密碼管理機構批準核實的密碼算法、密碼協(xié)議、密碼接口，即基于國產(chǎn)商用密碼的算法、協(xié)議及接口。密碼設備為部署在終端、邊緣、云端的密碼產(chǎn)品，包括密碼芯片、IP 核、密碼模塊、（云）密碼機、（云）密碼卡、密碼中間件等。密碼服務指的是密碼運算、密鑰管理、證書管理、統(tǒng)一信任等安全服務。

終端密碼應用指的是為攝像頭、IoT 監(jiān)控設備等提供的設備身份認證、端視頻安全、監(jiān)控安全接入、設備權限管控等密碼能力。

邊緣計算密碼應用包括節(jié)點安全、網(wǎng)絡安全、數(shù)據(jù)安全、應用安全、安全管理編排等方面的密碼應用。

云平臺密碼應用包括邊云密碼協(xié)同、統(tǒng)一密碼態(tài)勢、視頻業(yè)務安全等方面的密碼應用。

體系化梳理基于5G 邊緣計算的視頻監(jiān)控密碼應用框架，分析得出應當在邊緣視頻加密、身份認證、高效密碼協(xié)同、可信免疫、安全隔離等方面的進行關鍵技術突破，實現(xiàn)安全體系的落地，切實保障邊緣監(jiān)控業(yè)務的順利推進。

圖3 基于5G 邊緣計算的視頻監(jiān)控密碼應用框架

2.2 邊緣視頻加密技術

針對視頻監(jiān)控邊緣計算的業(yè)務特點，提出輕量級加密算法、輕量級加密策略、高性能加密模式三種邊緣視頻加密技術，以滿足不同場景的具體安全需求。圖4 對三種關鍵技術進行了總結。

圖4 邊緣視頻加密技術框架

輕量級加密算法：傳統(tǒng)的商用加密算法（SM1、SM4、ZUC 等）采用帶密鑰的多輪循環(huán)運算模式，安全級別高，同時運算開銷大。可以根據(jù)具體情況，通過適當調(diào)整商密算法結構、定制專用密碼算法、減少密鑰長度等方式，構建輕量級的加密算法，在保障適當安全性的同時，降低密碼運算、系統(tǒng)資源及能耗等方面的開銷，以適用廣分布、大連接、低成本的IoT 監(jiān)控設備的安全應用需求。

輕量級加密策略：當處理較大碼率（10Mbps以上）的視頻時，可以對視頻數(shù)據(jù)進行編碼域選擇性加密，如加密I 幀全部數(shù)據(jù)、P/B 幀頭數(shù)據(jù)、參數(shù)集重要數(shù)據(jù)等方式，實現(xiàn)較低密碼開銷的同時保障視頻數(shù)據(jù)的機密性。此外，在某些場景中，可以通過預先產(chǎn)生加密密鑰流、預先加密非實時視頻等方式，對監(jiān)控視頻進行預加密，以緩解實時加密的壓力。

高性能加密模式：面對高安全智能監(jiān)控等應用場景，可以通過高并發(fā)多線程同時加密、多密碼部件協(xié)同加密等方式實現(xiàn)高性能的加密運算，以滿足大流量（20Mpbs 以上）、多碼流（2 路復用）的同時加密需求。

2.3 身份認證技術

5G 核心網(wǎng)面向業(yè)務應用提供認證功能。除此之外，可以將認證功能前移實現(xiàn)接入認證，或者構建二次認證體系實現(xiàn)再次認證。對于二次認證，根據(jù)邊緣計算及業(yè)務平臺的特點，認證可以駐留在邊緣網(wǎng)關、邊緣云、業(yè)務數(shù)據(jù)中心等不同的位置，以滿足實際認證在性能、時延等方面的需求。具體框架如圖5 所示。

圖5 身份認證技術框架

對于具體應用場景，輕量級認證協(xié)議、高并發(fā)認證流程、動態(tài)自適應心跳認證、加密與認證結合等相關技術也值得探討和進一步研究。

2.4 高效密碼協(xié)同機制

實際應用中，邊緣計算往往因為平臺自身的位置、規(guī)模、性能等因素，部署的密碼功能會受到一定限制，如無完整的非對稱密鑰管理機制、無跨域信任功能、加解密運算速率有限等等。

通過邊邊協(xié)同、邊云協(xié)同構建統(tǒng)一密碼協(xié)作機制，可以有效解決此類問題。圖6 描述了此種思想。邊緣計算平臺與邊緣計算平臺之間，建立邊邊協(xié)同機制，跨域的邊緣計算平臺能夠?qū)崿F(xiàn)特定密碼資源、密鑰、證書、安全憑證的同步與共享。在業(yè)務高峰期，密碼能力低的邊緣計算平臺可以依靠其他邊緣計算平臺分擔密碼壓力，保證安全業(yè)務的正常運轉(zhuǎn)；在非業(yè)務高峰期，通過協(xié)同機制可以進一步降低全局密碼資源、基礎設施資源的消耗。邊緣計算平臺與云平臺之間，建立邊云協(xié)同機制。其中，云平臺實現(xiàn)整體密碼態(tài)勢、密碼資源調(diào)度、非實時密碼運算等功能，邊緣計算平臺實現(xiàn)終端安全交互、實時密碼運算等功能，雙方共享部分密碼資源、安全憑證。

圖6 高效密碼協(xié)同機制

2.5 可信免疫技術

基于可信計算技術[7]，對監(jiān)控終端、邊緣計算平臺、云平臺建立可信免疫體系，保證設備計算環(huán)境、業(yè)務應用的安全可信，防止針對設備、節(jié)點、數(shù)據(jù)、業(yè)務的非法篡改和偽造。圖7 展示了邊緣計算平臺的可信免疫框架，分別從縱向、橫向兩個維度進行邊緣計算信任鏈傳遞，進而構建完整的可信體系。

圖7 邊緣計算可信免疫框架

縱向信任鏈傳遞指的是節(jié)點自身的可信驗證。分為邊緣節(jié)點的信任鏈傳遞以及邊緣管理的信任鏈傳遞。邊緣節(jié)點將自身的可信模塊作為信任根，首先對CPU 等核心硬件進行可信度量，然后可信引導、啟動BIOS、監(jiān)視器及虛擬操作系統(tǒng)等資源，最后對提供的服務、運行的進程、承載的數(shù)據(jù)進行可信度量和完整性驗證，以此保證整個節(jié)點的安全可信。同樣地，邊緣管理也基于可信模塊，先后實現(xiàn)對CPU、BIOS、操作系統(tǒng)、配置/策略/資源池/應用編排等可信驗證，確保邊緣管理的可信。

橫向信任鏈傳遞，指的以節(jié)點為單位進行可信驗證，并確保整個邊緣計算平臺的可信。每個節(jié)點完成可信驗證后，在系統(tǒng)方進行可信注冊，一旦某個節(jié)點狀態(tài)異常，應當進行異常登記、狀態(tài)標識，并重新恢復。

2.6 安全隔離技術

邊緣計算往往伴隨云、虛擬化等應用，在進行安全防護時，應當基于密碼技術進行安全隔離，確保邊緣物理資源及虛擬資源的安全。如果邊緣計算平臺規(guī)模較大，存在著敏感區(qū)域及非敏感區(qū)域，可以使用網(wǎng)閘技術對物理網(wǎng)絡進行隔離，防止敏感信息外泄。由于輕量化部署原因，邊緣計算往往采用Docker 容器承載業(yè)務資源。Docker 容器基于進程安全，其隔離性較差，存在著非法資源訪問、數(shù)據(jù)泄露等風險，應當基于密碼技術實現(xiàn)Docker 安全域保護、Docker 資源訪問控制、敏感數(shù)據(jù)密碼保護等，保障Docker 虛擬化安全。

2.7 其他

面向基于5G 邊緣計算的視頻監(jiān)控場景，其他的密碼技術還包括隱私保護、數(shù)據(jù)訪問控制、視頻防篡改重放、設備遠程管理等等。此外，在體系化安全設計時，還應當考慮安全態(tài)勢、安全可靠遠程升級、系統(tǒng)安全加固、抗DDoS、接口安全設計、系統(tǒng)安全自主可控等安全技術。

3 典型場景密碼應用

3.1 高安全智能監(jiān)控場景

業(yè)務場景：高安全智能監(jiān)控，具備智能分析、人物精準識別、圖像可視化等業(yè)務需求以及數(shù)據(jù)高安全需求，適用于重大活動保障、人工智能應用等行業(yè)領域。在該場景中，現(xiàn)場部署超高清智能攝像機（如4K/8K）,實現(xiàn)超高清視頻的實時采集；靠近攝像機的網(wǎng)絡接入側(cè)部署MEC 云平臺，進行實時視頻運算、存儲、可視化展示，在后端接入業(yè)務云平臺進行事后分析、研判和統(tǒng)一指揮。

密碼方案：如圖8 所示，在上行終端、MEC云平臺、業(yè)務云平臺、下行終端四個部分實施密碼應用。上行終端指的是現(xiàn)場的超高清攝像機。為攝像機內(nèi)嵌高性能密碼芯片及高性能密碼模塊，構造入駐式一體化的高安全終端，支持多路高速密碼運算，能夠在源端對高清視頻進行安全保護。在MEC云平臺中構建統(tǒng)一密碼服務，為MEC 流媒體、存儲、分析、可視化賦能，實現(xiàn)視頻加密存儲、視頻解密使用、身份認證等密碼功能。業(yè)務云平臺基于統(tǒng)一密碼服務實現(xiàn)密碼功能，并與MEC 進行高效的密碼協(xié)作。下行終端指的是用戶大屏、客戶端等設備，通過配備密碼模塊實現(xiàn)視頻解密播放、 查看。

圖8 高安全智能監(jiān)控場景密碼應用

3.2 分布式監(jiān)控聯(lián)網(wǎng)場景

業(yè)務場景：分布式監(jiān)控聯(lián)網(wǎng)，廣泛接入低性能的IoT 監(jiān)控設備及通用攝像機，部分業(yè)務以服務器入駐形式下沉網(wǎng)絡邊緣，系統(tǒng)整體具備一定的輕量級安全需求。

密碼方案：如圖9 所示，重點解決接入側(cè)安全及邊緣計算的安全。對于接入側(cè)安全，提供調(diào)用式安全終端及接入式安全終端兩種思路。調(diào)用式安全終端，指的是密碼設備旁路部署，攝像機等終端按需調(diào)用密碼功能。接入式安全終端，指的是組群的監(jiān)控設備共同接入安全網(wǎng)關，通過安全網(wǎng)關訪問5G 網(wǎng)絡。邊緣計算安全指的是為邊緣計算中的流媒體、設備管理、存儲等服務器配置密碼卡，并提供密鑰證書服務，保證邊緣計算平臺能夠進行身份認證、視頻加解密等。

圖9 分布式監(jiān)控聯(lián)網(wǎng)場景密碼應用

4 結 語

本文面向基于5G 邊緣計算的視頻監(jiān)控場景，進行密碼應用研究，分析5G 邊緣計算視頻監(jiān)控的應用現(xiàn)狀與密碼需求，結合國產(chǎn)自主可控的商用密碼，提出基于5G 邊緣計算的視頻監(jiān)控密碼應用框架，梳理邊緣視頻加密、身份認證、密碼協(xié)同、可信免疫等關鍵技術并進行研究論證，最后給出典型場景的密碼應用案例。本文提出的密碼應用思路具備體系化、高安全、可擴展等優(yōu)點，具有較高的創(chuàng)新性和實用性，能夠為后續(xù)研究及工程實踐提供參考。