基于GB 35114-2017標準的視頻聯網信息安全研究與實現

何曉風 韓笑 師磊 甘肅省公安廳

引言

隨著各地市安防項目的建設和實施，視頻聯網安全問題日漸成為關注的焦點。雖然相關系統廠家和設備廠商采取了一些措施加強安全防護，起到一定效果，但采用的方案多數基于網絡和傳輸層面，對系統和應用層面的信息安全保護還不足。隨著人工智能技術的發展，如短視頻平臺中的人工智能換臉技術等的出現，又讓人們對視頻數據防偽造、防篡改等問題更加關注[1]。如何更好、更全面、更系統性地保障安防信息系統的安全，尤其是視頻聯網系統的安全是迫在眉睫的問題。

一、GB 35114-2017標準介紹

GB 35114-2017《公共安全視頻監控聯網信息安全技術要求》（以下簡稱GB 35114）是視頻圖像信息聯網共享應用標準體系中的重要技術標準，首次對視頻聯網信息安全提出明確規范要求。GB 35114基于國密算法的數字證書和密鑰管理體系，對視頻采集前端設備與視頻聯網平臺以及視頻聯網平臺與平臺之間的雙向身份認證、控制信令完整性檢查、視頻數據的可信編碼及驗證、視頻數據加解密等方面給出完整規定，可解決前文提到的各種安全威脅，確保視頻聯網信息安全，從系統層面為視頻聯網系統信息安全提供了整體解決方案。GB 35114是在GB/T 28181的協議[12]基礎上疊加安全保障機制，所以更有利于現網使用GB/T 28181互聯的平臺升級以支持安全功能。同時，GB 35114使用了擁有自主知識產權的GB/T 25724（SVAC）音視頻編碼技術[13]，是完全自主可控的標準，使我國視頻聯網應用在標準化、規范化和專業化方面有了明確的依據。

二、安全威脅及防護方向分析

視頻聯網系統面臨的安全威脅包括聯網系統中各子系統或設備的物理環境安全、主機及其計算環境安全、網絡通信安全、管理安全等多個方面。本文主要探討視頻聯網交互過程中的協議及信息安全，其面臨的主要安全威脅包括：

（1）非法用戶訪問系統中的數據或進行非法操控；

（2）非法模擬視頻采集前端或下級平臺接入視頻聯網平臺并發送虛假視頻給平臺；

（3）非法模擬控制命令發送給平臺或前端設備，惡意操控前端設備；

（4）非法偽造或篡改視頻內容；

（5）非法獲取視頻碼流信息。

上述提到視頻聯網中的各種安全威脅，可以從安全管理和密碼學技術等角度進行安全防護，主要包括用戶身份認證、前端設備及平臺接入身份認證、控制信令認證、視頻數據簽名和視頻數據加密等手段。

（一）用戶身份認證

通過提高用戶登錄系統的認證強度，結合合理完善的權限控制模型實現。在認證強度方面，可采用基于公私鑰非對稱密鑰體系的數字證書認證方式代替傳統基于口令的認證方式實現。在權限控制方面，通常采用基于角色的訪問控制（RBAC）模型實現[2]，視頻聯網系統設置具有不同權限的角色，分別從系統管理、業務使用和日志審計等方面設置對應的角色，防止不同角色越權操作。同時，根據視頻聯網系統的地域性特點，進一步采用分權分域的資源管理策略，防止業務用戶越權訪問非管轄區域的視頻資源。

（二）前端設備及平臺接入身份認證

對于前端設備接入身份認證，通過提高前端設備注冊到視頻聯網系統的認證強度實現。前端設備認證方式采用基于公私鑰非對稱密鑰體系的數字證書認證方式代替傳統基于設備口令的認證方式。數字證書認證涉及的算法，國際上一般使用RSA非對稱公鑰密碼算法[3]，國內使用商密SM2公鑰密碼算法[4]。RSA的安全性依賴于大數分解困難的數學難題，而SM2則是基于橢圓曲線（ECC）的算法，SM2是一種比RSA更先進、更安全的算法，256位的ECC密鑰加密強度等同于3072位RSA密鑰的水平（目前互聯網上普通使用的RSA密鑰長度也只有2048位）。所以建議采用SM2作為數字證書的密鑰算法。

對于平臺接入身份認證，解決方案與防止非法前端接入系統的方案一致，在平臺級聯注冊時，下級平臺通過使用基于非對稱密鑰的數字證書認證代替原來基于口令的認證方式，防止非法下級視頻聯網平臺接入上級視頻聯網平臺。

（三）控制信令認證

通過對視頻聯網平臺與視頻采集前端及上下級視頻聯網平臺之間的每條控制信令增加認證信息實現。信令認證既可以采用基于非對稱密鑰數字簽名實現，也可以采用基于對稱密鑰消息認證技術實現。由于非對稱密鑰數字簽名相較于對稱密鑰的消息認證技術處理速度慢，而控制信令發送又比較頻繁，特別是云臺控制類信令低延時要求更高，所以宜采用基于對稱密鑰的消息認證技術。消息認證的核心算法是雜湊算法（又稱消息摘要或哈希算法），國際上常用的消息雜湊算法是MD5[5]以 及SHA[6]系列算法；國內使用商密SM3[7]算法，其安全性及效率與國際上SHA-256算法相當。從國家戰略及安全性方面考慮，建議采用基于SM3的消息認證算法。

（四）視頻數據簽名

可采用前端設備數字證書的私鑰對視頻數據進行數字簽名的方式實現。碼流接收方可通過驗證視頻簽名是否合法，來確保該視頻是否為聲稱的前端產生，未被篡改。數字簽名操作由非對稱密鑰簽名算法與雜湊算法結合完成，即先使用雜湊算法對一組視頻數據進行哈希計算，再使用非對稱密鑰中的私鑰對雜湊結果進行簽名，最終得到一組視頻幀的數字簽名。國際上基于非對稱密鑰算法的數字簽名通常使用RSA公鑰算法結合SHA256雜湊算法實現，國內推薦商密算法為SM2公鑰算法結合SM3雜湊算法。從安全強度等方面考慮，推薦使用SM3-SM2算法。

（五）視頻數據加密

對于視頻這類數據量大、實時性要求高的數據，通常采用對稱密鑰加密算法進行加密。國際上常用對稱密鑰加密算法是AES[8]； 國內推薦商密算法為SM1或SM4[9]。推薦使用SM1或SM4國密加密算法。

通過以上針對視頻聯網中面臨的各種安全威脅以及對應解決方案的分析，推薦在現網上疊加實現GB 35114標準[10,11]規定的功能和要求，提升現網的安全防護能力。

三、結合GB 35114標準的實現方案

GB 35114標準對視頻聯網協議和視頻碼流格式在安全方面做出了具體規定，基于GB 35114的安全應用也已經逐漸出現[14]， 本章節提出一種在現有聯網環境中實現GB 3 5114 安全要求的技術方案。

方案的架構如圖1所示。使用GB/T 28181聯網的視頻聯網系統通常包括視頻聯網平臺、前端和客戶端三個部分，其中：前端主要負責采集現場視頻；客戶端主要負責查看現場視頻；視頻聯網平臺主要負責接入客戶端和前端、存儲前端發來的視頻碼流、并轉發碼流給客戶端，負責視頻聯網平臺上下級聯信令和碼流的處理。視頻聯網平臺中聯網相關的核心模塊是負責處理SIP消息的信令服務器和負責處理視頻碼流的媒體服務器。為了升級原有視頻聯網系統以支持GB 35114安全功能，需在原有體系架構下增加以下幾種系統或模塊：

（一）視頻安全密鑰服務系統

主要負責為視頻聯網系統中各網元制發數字證書，以及對稱密鑰的管理。本方案在視頻安全密鑰服務系統里，設置數字證書管理系統和對稱密鑰管理系統。前者負責給視頻聯網平臺的應用安全支撐系統、客戶端的智能密碼鑰匙（USBKey）、前端的智能密碼芯片頒發用戶和設備身份數字證書，并提供證書查詢、證書吊銷列表查詢等證書相關服務；后者為應用安全支撐系統的對稱密鑰管理模塊提供對稱密鑰管理相關的基礎服務。一個視頻安全密鑰服務系統，可以為多個同級視頻聯網系統提供證書和密鑰服務。視頻安全密鑰服務系統按照類似國家、省、市多級級聯，可根據各級視頻聯網系統的規模設置視頻安全密鑰服務系統的級聯深度和數量。

（二）應用安全支撐系統

應用安全支撐系統為視頻聯網平臺提供GB 35114安全功能的支撐，視頻聯網平臺在應用安全支撐系統的幫助下，支持符合GB 35114的安全客戶端、安全前端的接入及相關碼流的處理，支持通過GB 35114協議接入下級GB 35114 視頻聯網平臺或上聯到上級GB 35114視頻聯網平臺。應用安全支撐系統由證書查詢服務、對稱密鑰管理模塊、密碼云或密碼機和媒體脫密服務組成。其中證書查詢服務是視頻安全密鑰服務系統中數字證書管理系統的延伸，在視頻安全密鑰服務系統不可訪問時，應用安全支撐系統中的證書查詢服務仍然可以為視頻聯網平臺提供證書相關的查詢和驗證服務。對稱密鑰管理模塊在視頻聯網平臺接受前端注冊時提供視頻加密密鑰VKEK（Video Key Encryption Key）申請服務，同時為客戶端解密前端視頻時提供VKEK查詢服務。密碼云或密碼機為視頻聯網平臺處理信令和媒體過程中提供密碼計算支持。按照國密的使用規定，必須保證所有國密密碼相關計算在國家密碼管理部門批準的密碼設備里進行。媒體脫密服務為可選模塊，視頻聯網平臺可調用媒體脫密服務，將加密的碼流脫密后傳給系統中遺留的不支持GB 35114解密功能的視頻分析等模塊。

（三）智能密碼芯片

前端使用內嵌的智能密碼芯片，完成GB 35114標準要求的身份認證、信令認證、視頻碼流簽名、視頻碼流加密等安全功能，按照國密使用要求，所有密碼相關計算都在密碼部件智能密碼芯片里完成。

（四）智能密碼鑰匙

客戶端上使用攜帶方便、支持USBKey接口的智能密碼鑰匙作為用戶身份認證的數字證書存放和計算密碼部件。客戶端要求在智能密碼鑰匙內部完成GB 35114標準規定的身份認證、信令認證、視頻碼流驗簽、視頻碼流解密等安全功能相關的密碼計算。

另外，視頻聯網平臺的重要功能是前端視頻的錄像存儲和回放，對于前端產生的GB 35114加密視頻碼流，視頻聯網平臺保持碼流為加密狀態的情況下直接存為錄像文件，以保證錄像在平臺存儲的安全性。在回放錄像時，平臺根據前端設備編號和時間范圍查詢歷史加密密鑰VKEK，傳給客戶端解密播放。

四、結語

本文分析了視頻聯網面臨的各種安全威脅，并介紹了適合于在現有視頻聯網基礎上疊加標準化安全機制的GB 35114標準。在此基礎上提出一種實現GB 35114的技術方案，為相關部門和廠商在視頻聯網系統的設計工作方面提供了一種可以借鑒的思路。