淺議基于商用密碼技術(shù)加固視頻監(jiān)控安全

羅文兵，崔寧寧，徐海波

（北京賽迪軟件測評工程技術(shù)中心有限公司，北京 100048）

視頻監(jiān)控系統(tǒng)產(chǎn)品已成為社會公共安全體系的一個重要組成部分，對社會穩(wěn)定和經(jīng)濟(jì)發(fā)展的貢獻(xiàn)效果顯著。作為涉及國家公共安全、社會秩序、公共利益和個人隱私的重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施，視頻監(jiān)控系統(tǒng)設(shè)備對于“智慧城市”“平安城市”等建設(shè)的重要性也不言而喻。采用商用密碼技術(shù)和網(wǎng)絡(luò)安全技術(shù)，提升前端攝像機(jī)的安全接入和后端用戶安全使用的能力與水平，實現(xiàn)視頻圖像在視頻傳輸網(wǎng)與互聯(lián)網(wǎng)及其他專網(wǎng)間的安全傳輸，開展對視頻監(jiān)控網(wǎng)絡(luò)空間的安全監(jiān)測及主動預(yù)警，為公安機(jī)關(guān)視頻監(jiān)控系統(tǒng)的建設(shè)聯(lián)網(wǎng)應(yīng)用提供基本的安全防護(hù)。

黨的十九大報告提出“建設(shè)平安中國，加強(qiáng)和創(chuàng)新社會治理，維護(hù)社會和諧穩(wěn)定”“平安中國、數(shù)字中國、智慧社會”等理念，為智慧城市建設(shè)指明了方向，也使視頻監(jiān)控行業(yè)迎來了全新的市場契機(jī)?！笆濉眹覒?zhàn)略性新興產(chǎn)業(yè)發(fā)展規(guī)劃，智能安防行業(yè)作為信息技術(shù)的代表行業(yè)，將不斷接收新興技術(shù)。隨著視頻監(jiān)控建設(shè)的深入發(fā)展、國家“平安城市”“雪亮工程”等規(guī)劃的落實，視頻監(jiān)控系統(tǒng)在打擊犯罪、治安防范、社會管理、服務(wù)民生等方面發(fā)揮了積極作用。

但與此同時，視頻監(jiān)控系統(tǒng)面臨的安全風(fēng)險也越來越多。央視報道：“中國已經(jīng)建設(shè)了全世界最大的視頻監(jiān)控聯(lián)網(wǎng)，視頻攝像頭超過2000萬個”。目前在建、已建的視頻監(jiān)控系統(tǒng)的接入、調(diào)用等安全措施都是基于簡單的口令模式，沒有視頻內(nèi)容可信度鑒別及敏感內(nèi)容保護(hù)措施。存在未授權(quán)用戶的非法訪問導(dǎo)致的敏感視頻內(nèi)容外泄，非法接入視頻監(jiān)控前端設(shè)備導(dǎo)致的虛假視頻植入，非法接入視頻監(jiān)控管理平臺服務(wù)器設(shè)備導(dǎo)致的敏感視頻內(nèi)容轉(zhuǎn)移，惡意操控視頻前端設(shè)備導(dǎo)致的監(jiān)控角度錯誤，非法篡改視頻監(jiān)控前端設(shè)備產(chǎn)生的視頻內(nèi)容導(dǎo)致的視頻內(nèi)容篡改，非法獲取視頻監(jiān)控前端設(shè)備產(chǎn)生的視頻內(nèi)容導(dǎo)致的敏感視頻內(nèi)容外泄等安全風(fēng)險。

1 設(shè)計思路

視頻監(jiān)控系統(tǒng)的安全性是個復(fù)雜的體系，要保證視頻監(jiān)控的安全運行，還需要考慮多級安全認(rèn)證機(jī)制、關(guān)鍵數(shù)據(jù)容災(zāi)，備份、網(wǎng)絡(luò)私密保護(hù)、網(wǎng)元自動化運行管理等多種因素。而在數(shù)據(jù)安全保護(hù)層面，本項目開發(fā)的基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)，采用鏈路加密技術(shù)，能夠有效防止視頻在傳輸過程中被竊取，可對用戶的“有意”“無意”兩種數(shù)據(jù)泄漏進(jìn)行統(tǒng)一防護(hù)，采用“事前主動防御，事中實時控制，事后及時追蹤，全面防止泄密”的設(shè)計思路，融合“數(shù)據(jù)加密”“規(guī)范訪問控制”等核心技術(shù)，結(jié)合身份識別、應(yīng)用集成、安全接入以及行為審計等功能，形成一套視頻監(jiān)控數(shù)據(jù)的全新解決方案，最終實現(xiàn)“帶不走、打不開、讀不懂”的控制目標(biāo)及效果。做到視頻數(shù)據(jù)通過信息源頭進(jìn)行加密控制，即使被非法泄露也無法讀取任何有價值內(nèi)容，全面整合管理手段和管理措施，有效滿足視頻監(jiān)控內(nèi)的數(shù)據(jù)安全需求。

基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)，包括視頻采集設(shè)備、傳輸控制設(shè)備和視頻管理系統(tǒng)三大層，覆蓋監(jiān)控視頻的采、傳、控、管全業(yè)務(wù)流程，保證視頻監(jiān)控數(shù)據(jù)全生命周期安全加密可信。在視頻采集設(shè)備層，包括基于商用密碼技術(shù)的監(jiān)控攝像機(jī)和基于商用密碼技術(shù)的硬盤錄像機(jī)。在傳輸控制設(shè)備層，包括流媒體服務(wù)器、網(wǎng)關(guān)服務(wù)器、設(shè)備認(rèn)證設(shè)備、用戶認(rèn)證設(shè)備、視頻可信鑒定服務(wù)器、視頻目錄服務(wù)系統(tǒng)、視頻密鑰管理服務(wù)器和加解密媒體設(shè)備。在視頻管理系統(tǒng)包括視頻管理平臺和PC/用戶Ukey。

基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)總體框架圖如圖1。

圖1 基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)總體框架

上述硬件/軟件產(chǎn)品簡述如下：基于商用密碼技術(shù)的視頻采集設(shè)備-監(jiān)控攝像機(jī)（IPC）：安全視頻監(jiān)控系統(tǒng)中的視頻數(shù)據(jù)采集設(shè)備，完成光電信號轉(zhuǎn)換和模擬信號向數(shù)字信號轉(zhuǎn)換，在數(shù)字信號轉(zhuǎn)換編碼過程中采用集成基于商用密碼技術(shù)的密碼模塊，實現(xiàn)設(shè)備身份認(rèn)證、視頻簽名、視頻加密等安全功能。

基于商用密碼技術(shù)的硬盤錄像機(jī)-硬盤錄像機(jī)：安全視頻監(jiān)控系統(tǒng)中的視頻數(shù)據(jù)存儲轉(zhuǎn)發(fā)部分，硬盤錄像機(jī)與前端采集協(xié)同工作，完成前端視頻的錄像、存儲及轉(zhuǎn)發(fā)功能；同時，在硬盤錄像機(jī)中集成基于商用密碼技術(shù)的密碼模塊，實現(xiàn)設(shè)備身份認(rèn)證、視頻密鑰保護(hù)密鑰管理等安全功能。

基于商用密碼技術(shù)的傳輸控制設(shè)備：安全視頻監(jiān)控系統(tǒng)的傳輸控制層，主要功能是負(fù)責(zé)接入設(shè)備的音視頻流轉(zhuǎn)分發(fā)、將客戶端控制指令下發(fā)到前端設(shè)備；通過集成密碼模塊，實現(xiàn)對接入視頻監(jiān)控平臺的設(shè)備進(jìn)行身份認(rèn)證以及視頻控制信令的完整性保障?；谏逃妹艽a技術(shù)的視頻管理系統(tǒng)：安全視頻管理平臺是基于商用密碼技術(shù)的視頻管理系統(tǒng)的核心單元，提供視頻瀏覽、前端控制、錄像查看、事件管理、存檔管理、電子地圖、報警聯(lián)動、權(quán)限管理、警戒管理、全景拼接、人車信息智能檢索等業(yè)務(wù)；通過集成密碼模塊，實現(xiàn)對視頻的加解密、視頻數(shù)據(jù)的可信鑒定及視頻密鑰的管理等功能。

基于商用密碼技術(shù)的視頻客戶端：視頻客戶端通過B/S客戶端及C/S客戶端對設(shè)備管理、視頻瀏覽、前端控制、錄像查看等頁面進(jìn)行查看；通過集成密碼模塊，實現(xiàn)對訪問視頻監(jiān)控平臺的用戶的合法身份校驗以及視頻解密等功能。

基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)模塊化安全加固產(chǎn)品總體架構(gòu)如圖2所示。

圖2

面向視頻監(jiān)控系統(tǒng)的安全加固產(chǎn)品設(shè)計包含四大部分，分別是作為安全基礎(chǔ)設(shè)施的視頻安全密鑰服務(wù)系統(tǒng)、面向視頻監(jiān)控管理平臺的安全加固系統(tǒng)、為前端設(shè)備提供安全服務(wù)的加固產(chǎn)品以及為用戶終端提供安全服務(wù)的加固產(chǎn)品。其中視頻安全密鑰服務(wù)系統(tǒng)由設(shè)備身份制發(fā)系統(tǒng)和視頻密鑰管理系統(tǒng)組成。主要完成對構(gòu)成視頻監(jiān)控系統(tǒng)的各類核心單元的數(shù)字證書身份的簽發(fā)管理以及與視頻加解密相關(guān)的密鑰的派生管理等工作。

面向視頻監(jiān)控管理平臺的安全加固系統(tǒng)由設(shè)備認(rèn)證設(shè)備、用戶認(rèn)證設(shè)備、視頻可信鑒定服務(wù)器、視頻密鑰管理服務(wù)器、加解密媒體設(shè)備和視頻目錄服務(wù)系統(tǒng)等部分組成。主要完成對視頻監(jiān)控前端采集設(shè)備、訪問視頻監(jiān)控管理平臺的終端用戶的身份認(rèn)證，數(shù)字證書及CRL列表的查詢，視頻密鑰加密密鑰的生成管理，視頻數(shù)據(jù)的加解密、完整性校驗等工作。面向視頻監(jiān)控前端設(shè)備的安全加固產(chǎn)品包括安全TF卡、安全芯片以及安全轉(zhuǎn)換器。安全TF卡通過插拔的方式、安全芯片通過焊接的方式集成于前端設(shè)備，為前端設(shè)備提供身份認(rèn)證、視頻簽名、視頻加密等功能。當(dāng)前端設(shè)備已部署無法拆卸完整安全升級改造工作，可在前端設(shè)備后部署安全轉(zhuǎn)換器，接管基于前端設(shè)備入網(wǎng)前的身份認(rèn)證，同時，完成視頻流的轉(zhuǎn)發(fā)及對前端設(shè)備的訪問控制。面向用戶終端的安全加固產(chǎn)品包括智能密碼鑰匙（U-Key），智能密碼鑰匙插入用戶終端，實現(xiàn)對訪問視頻監(jiān)控管平臺的用戶的身份校驗、視頻數(shù)據(jù)的解密等功能。

2 建設(shè)目標(biāo)

2.1 形成基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)產(chǎn)品

為了提供安全可靠、自主可控的安全視頻監(jiān)控系統(tǒng)產(chǎn)品，項目將開展商用密碼技術(shù)應(yīng)用技術(shù)開發(fā)和設(shè)備開發(fā)，計劃設(shè)計并生產(chǎn)基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)產(chǎn)品。系統(tǒng)涵蓋了具備安全功能的新型視頻采集設(shè)備，為監(jiān)控攝像機(jī)和硬盤錄像機(jī)提供身份認(rèn)證和視頻加密的功能；具備安全功能的傳輸控制設(shè)備，為流媒體服務(wù)器提供設(shè)備認(rèn)證和信令控制的功能；具備安全功能的視頻管理系統(tǒng)，為視頻管理單元和存儲服務(wù)提供視頻可信鑒定、視頻密鑰管理、視頻數(shù)據(jù)加解密的功能；具備安全功能的用戶終端，為客戶端提供用戶身份認(rèn)證和視頻解密的功能。

2.2 形成基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)模塊化安全加固產(chǎn)品

為增強(qiáng)未經(jīng)安全加固的視頻監(jiān)控系統(tǒng)安全性，項目將形成基于商用密碼技術(shù)的模塊化安全加固產(chǎn)品。其中，前端設(shè)備加固產(chǎn)品，包括安全TF卡、安全芯片、安全轉(zhuǎn)換器；視頻監(jiān)控平臺安全加固產(chǎn)品包括設(shè)備認(rèn)證設(shè)備、用戶認(rèn)證設(shè)備、視頻可信鑒定服務(wù)器、視頻目錄服務(wù)系統(tǒng)等；用戶終端加固產(chǎn)品，包括智能密碼鑰匙；視頻安全密鑰服務(wù)系統(tǒng)，包括設(shè)備身份制發(fā)系統(tǒng)和視頻密鑰管理系統(tǒng)。

2.3 建設(shè)行業(yè)典型應(yīng)用，形成領(lǐng)域示范應(yīng)用和行業(yè)標(biāo)桿工程

積極拓展商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)產(chǎn)品的典型應(yīng)用，形成領(lǐng)域示范應(yīng)用和行業(yè)標(biāo)桿工程，將技術(shù)和標(biāo)準(zhǔn)進(jìn)行推廣應(yīng)用，促進(jìn)技術(shù)成果產(chǎn)業(yè)化。

3 發(fā)展前景

從國家戰(zhàn)略來看，當(dāng)前我國已將新一代信息技術(shù)與商用密碼技術(shù)作為重要戰(zhàn)略方向。大力發(fā)展智能安防監(jiān)控是深化供給側(cè)結(jié)構(gòu)性改革，推動新一代信息技術(shù)研究發(fā)展，建設(shè)制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、交通強(qiáng)國的重要支撐，是培育經(jīng)濟(jì)發(fā)展新動能的重要引擎。

從行業(yè)發(fā)展來看，隨著我國政府對社會公共安全防范建設(shè)投入大幅增加，計算機(jī)、大數(shù)據(jù)、云計算和人工智能等新一代信息技術(shù)的蓬勃發(fā)展、迎頭趕上，我國安防視頻監(jiān)控技術(shù)已經(jīng)歷了多個技術(shù)飛躍，從傳統(tǒng)的模擬時代“看得見”，到數(shù)字時代的“看得清”，再到人工智能時代的“看得懂”，中國的安防技術(shù)通過持續(xù)的創(chuàng)新、應(yīng)用提升、再創(chuàng)新，已經(jīng)進(jìn)入“AI+安防”的發(fā)展階段，對視頻信息數(shù)據(jù)的保密控制也應(yīng)提升新的高度以滿足更高的應(yīng)用需求。

通過基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)及加固產(chǎn)品的開發(fā)和試點應(yīng)用，在視頻監(jiān)控信息系統(tǒng)中能夠初步實現(xiàn)基于商用密碼技術(shù)的可信身份認(rèn)證、授權(quán)訪問、通信加密、應(yīng)用加密、數(shù)據(jù)加密等技術(shù)，為高速發(fā)展的安防行業(yè)中信息安全提供基礎(chǔ)的技術(shù)保障和完整的解決方案，有巨大的應(yīng)用前景，市場前景廣闊。