羅文兵,崔寧寧,徐海波
(北京賽迪軟件測評工程技術(shù)中心有限公司,北京 100048)
視頻監(jiān)控系統(tǒng)產(chǎn)品已成為社會公共安全體系的一個重要組成部分,對社會穩(wěn)定和經(jīng)濟(jì)發(fā)展的貢獻(xiàn)效果顯著。作為涉及國家公共安全、社會秩序、公共利益和個人隱私的重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施,視頻監(jiān)控系統(tǒng)設(shè)備對于“智慧城市”“平安城市”等建設(shè)的重要性也不言而喻。采用商用密碼技術(shù)和網(wǎng)絡(luò)安全技術(shù),提升前端攝像機(jī)的安全接入和后端用戶安全使用的能力與水平,實現(xiàn)視頻圖像在視頻傳輸網(wǎng)與互聯(lián)網(wǎng)及其他專網(wǎng)間的安全傳輸,開展對視頻監(jiān)控網(wǎng)絡(luò)空間的安全監(jiān)測及主動預(yù)警,為公安機(jī)關(guān)視頻監(jiān)控系統(tǒng)的建設(shè)聯(lián)網(wǎng)應(yīng)用提供基本的安全防護(hù)。
黨的十九大報告提出“建設(shè)平安中國,加強(qiáng)和創(chuàng)新社會治理,維護(hù)社會和諧穩(wěn)定”“平安中國、數(shù)字中國、智慧社會”等理念,為智慧城市建設(shè)指明了方向,也使視頻監(jiān)控行業(yè)迎來了全新的市場契機(jī)?!笆濉眹覒?zhàn)略性新興產(chǎn)業(yè)發(fā)展規(guī)劃,智能安防行業(yè)作為信息技術(shù)的代表行業(yè),將不斷接收新興技術(shù)。隨著視頻監(jiān)控建設(shè)的深入發(fā)展、國家“平安城市”“雪亮工程”等規(guī)劃的落實,視頻監(jiān)控系統(tǒng)在打擊犯罪、治安防范、社會管理、服務(wù)民生等方面發(fā)揮了積極作用。
但與此同時,視頻監(jiān)控系統(tǒng)面臨的安全風(fēng)險也越來越多。央視報道:“中國已經(jīng)建設(shè)了全世界最大的視頻監(jiān)控聯(lián)網(wǎng),視頻攝像頭超過2000萬個”。目前在建、已建的視頻監(jiān)控系統(tǒng)的接入、調(diào)用等安全措施都是基于簡單的口令模式,沒有視頻內(nèi)容可信度鑒別及敏感內(nèi)容保護(hù)措施。存在未授權(quán)用戶的非法訪問導(dǎo)致的敏感視頻內(nèi)容外泄,非法接入視頻監(jiān)控前端設(shè)備導(dǎo)致的虛假視頻植入,非法接入視頻監(jiān)控管理平臺服務(wù)器設(shè)備導(dǎo)致的敏感視頻內(nèi)容轉(zhuǎn)移,惡意操控視頻前端設(shè)備導(dǎo)致的監(jiān)控角度錯誤,非法篡改視頻監(jiān)控前端設(shè)備產(chǎn)生的視頻內(nèi)容導(dǎo)致的視頻內(nèi)容篡改,非法獲取視頻監(jiān)控前端設(shè)備產(chǎn)生的視頻內(nèi)容導(dǎo)致的敏感視頻內(nèi)容外泄等安全風(fēng)險。
視頻監(jiān)控系統(tǒng)的安全性是個復(fù)雜的體系,要保證視頻監(jiān)控的安全運行,還需要考慮多級安全認(rèn)證機(jī)制、關(guān)鍵數(shù)據(jù)容災(zāi),備份、網(wǎng)絡(luò)私密保護(hù)、網(wǎng)元自動化運行管理等多種因素。而在數(shù)據(jù)安全保護(hù)層面,本項目開發(fā)的基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng),采用鏈路加密技術(shù),能夠有效防止視頻在傳輸過程中被竊取,可對用戶的“有意”“無意”兩種數(shù)據(jù)泄漏進(jìn)行統(tǒng)一防護(hù),采用“事前主動防御,事中實時控制,事后及時追蹤,全面防止泄密”的設(shè)計思路,融合“數(shù)據(jù)加密”“規(guī)范訪問控制”等核心技術(shù),結(jié)合身份識別、應(yīng)用集成、安全接入以及行為審計等功能,形成一套視頻監(jiān)控數(shù)據(jù)的全新解決方案,最終實現(xiàn)“帶不走、打不開、讀不懂”的控制目標(biāo)及效果。做到視頻數(shù)據(jù)通過信息源頭進(jìn)行加密控制,即使被非法泄露也無法讀取任何有價值內(nèi)容,全面整合管理手段和管理措施,有效滿足視頻監(jiān)控內(nèi)的數(shù)據(jù)安全需求。
基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng),包括視頻采集設(shè)備、傳輸控制設(shè)備和視頻管理系統(tǒng)三大層,覆蓋監(jiān)控視頻的采、傳、控、管全業(yè)務(wù)流程,保證視頻監(jiān)控數(shù)據(jù)全生命周期安全加密可信。在視頻采集設(shè)備層,包括基于商用密碼技術(shù)的監(jiān)控攝像機(jī)和基于商用密碼技術(shù)的硬盤錄像機(jī)。在傳輸控制設(shè)備層,包括流媒體服務(wù)器、網(wǎng)關(guān)服務(wù)器、設(shè)備認(rèn)證設(shè)備、用戶認(rèn)證設(shè)備、視頻可信鑒定服務(wù)器、視頻目錄服務(wù)系統(tǒng)、視頻密鑰管理服務(wù)器和加解密媒體設(shè)備。在視頻管理系統(tǒng)包括視頻管理平臺和PC/用戶Ukey。
基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)總體框架圖如圖1。
圖1 基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)總體框架
上述硬件/軟件產(chǎn)品簡述如下:基于商用密碼技術(shù)的視頻采集設(shè)備-監(jiān)控攝像機(jī)(IPC):安全視頻監(jiān)控系統(tǒng)中的視頻數(shù)據(jù)采集設(shè)備,完成光電信號轉(zhuǎn)換和模擬信號向數(shù)字信號轉(zhuǎn)換,在數(shù)字信號轉(zhuǎn)換編碼過程中采用集成基于商用密碼技術(shù)的密碼模塊,實現(xiàn)設(shè)備身份認(rèn)證、視頻簽名、視頻加密等安全功能。
基于商用密碼技術(shù)的硬盤錄像機(jī)-硬盤錄像機(jī):安全視頻監(jiān)控系統(tǒng)中的視頻數(shù)據(jù)存儲轉(zhuǎn)發(fā)部分,硬盤錄像機(jī)與前端采集協(xié)同工作,完成前端視頻的錄像、存儲及轉(zhuǎn)發(fā)功能;同時,在硬盤錄像機(jī)中集成基于商用密碼技術(shù)的密碼模塊,實現(xiàn)設(shè)備身份認(rèn)證、視頻密鑰保護(hù)密鑰管理等安全功能。
基于商用密碼技術(shù)的傳輸控制設(shè)備:安全視頻監(jiān)控系統(tǒng)的傳輸控制層,主要功能是負(fù)責(zé)接入設(shè)備的音視頻流轉(zhuǎn)分發(fā)、將客戶端控制指令下發(fā)到前端設(shè)備;通過集成密碼模塊,實現(xiàn)對接入視頻監(jiān)控平臺的設(shè)備進(jìn)行身份認(rèn)證以及視頻控制信令的完整性保障?;谏逃妹艽a技術(shù)的視頻管理系統(tǒng):安全視頻管理平臺是基于商用密碼技術(shù)的視頻管理系統(tǒng)的核心單元,提供視頻瀏覽、前端控制、錄像查看、事件管理、存檔管理、電子地圖、報警聯(lián)動、權(quán)限管理、警戒管理、全景拼接、人車信息智能檢索等業(yè)務(wù);通過集成密碼模塊,實現(xiàn)對視頻的加解密、視頻數(shù)據(jù)的可信鑒定及視頻密鑰的管理等功能。
基于商用密碼技術(shù)的視頻客戶端:視頻客戶端通過B/S客戶端及C/S客戶端對設(shè)備管理、視頻瀏覽、前端控制、錄像查看等頁面進(jìn)行查看;通過集成密碼模塊,實現(xiàn)對訪問視頻監(jiān)控平臺的用戶的合法身份校驗以及視頻解密等功能。
基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)模塊化安全加固產(chǎn)品總體架構(gòu)如圖2所示。
圖2
面向視頻監(jiān)控系統(tǒng)的安全加固產(chǎn)品設(shè)計包含四大部分,分別是作為安全基礎(chǔ)設(shè)施的視頻安全密鑰服務(wù)系統(tǒng)、面向視頻監(jiān)控管理平臺的安全加固系統(tǒng)、為前端設(shè)備提供安全服務(wù)的加固產(chǎn)品以及為用戶終端提供安全服務(wù)的加固產(chǎn)品。其中視頻安全密鑰服務(wù)系統(tǒng)由設(shè)備身份制發(fā)系統(tǒng)和視頻密鑰管理系統(tǒng)組成。主要完成對構(gòu)成視頻監(jiān)控系統(tǒng)的各類核心單元的數(shù)字證書身份的簽發(fā)管理以及與視頻加解密相關(guān)的密鑰的派生管理等工作。
面向視頻監(jiān)控管理平臺的安全加固系統(tǒng)由設(shè)備認(rèn)證設(shè)備、用戶認(rèn)證設(shè)備、視頻可信鑒定服務(wù)器、視頻密鑰管理服務(wù)器、加解密媒體設(shè)備和視頻目錄服務(wù)系統(tǒng)等部分組成。主要完成對視頻監(jiān)控前端采集設(shè)備、訪問視頻監(jiān)控管理平臺的終端用戶的身份認(rèn)證,數(shù)字證書及CRL列表的查詢,視頻密鑰加密密鑰的生成管理,視頻數(shù)據(jù)的加解密、完整性校驗等工作。面向視頻監(jiān)控前端設(shè)備的安全加固產(chǎn)品包括安全TF卡、安全芯片以及安全轉(zhuǎn)換器。安全TF卡通過插拔的方式、安全芯片通過焊接的方式集成于前端設(shè)備,為前端設(shè)備提供身份認(rèn)證、視頻簽名、視頻加密等功能。當(dāng)前端設(shè)備已部署無法拆卸完整安全升級改造工作,可在前端設(shè)備后部署安全轉(zhuǎn)換器,接管基于前端設(shè)備入網(wǎng)前的身份認(rèn)證,同時,完成視頻流的轉(zhuǎn)發(fā)及對前端設(shè)備的訪問控制。面向用戶終端的安全加固產(chǎn)品包括智能密碼鑰匙(U-Key),智能密碼鑰匙插入用戶終端,實現(xiàn)對訪問視頻監(jiān)控管平臺的用戶的身份校驗、視頻數(shù)據(jù)的解密等功能。
為了提供安全可靠、自主可控的安全視頻監(jiān)控系統(tǒng)產(chǎn)品,項目將開展商用密碼技術(shù)應(yīng)用技術(shù)開發(fā)和設(shè)備開發(fā),計劃設(shè)計并生產(chǎn)基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)產(chǎn)品。系統(tǒng)涵蓋了具備安全功能的新型視頻采集設(shè)備,為監(jiān)控攝像機(jī)和硬盤錄像機(jī)提供身份認(rèn)證和視頻加密的功能;具備安全功能的傳輸控制設(shè)備,為流媒體服務(wù)器提供設(shè)備認(rèn)證和信令控制的功能;具備安全功能的視頻管理系統(tǒng),為視頻管理單元和存儲服務(wù)提供視頻可信鑒定、視頻密鑰管理、視頻數(shù)據(jù)加解密的功能;具備安全功能的用戶終端,為客戶端提供用戶身份認(rèn)證和視頻解密的功能。
為增強(qiáng)未經(jīng)安全加固的視頻監(jiān)控系統(tǒng)安全性,項目將形成基于商用密碼技術(shù)的模塊化安全加固產(chǎn)品。其中,前端設(shè)備加固產(chǎn)品,包括安全TF卡、安全芯片、安全轉(zhuǎn)換器;視頻監(jiān)控平臺安全加固產(chǎn)品包括設(shè)備認(rèn)證設(shè)備、用戶認(rèn)證設(shè)備、視頻可信鑒定服務(wù)器、視頻目錄服務(wù)系統(tǒng)等;用戶終端加固產(chǎn)品,包括智能密碼鑰匙;視頻安全密鑰服務(wù)系統(tǒng),包括設(shè)備身份制發(fā)系統(tǒng)和視頻密鑰管理系統(tǒng)。
積極拓展商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)產(chǎn)品的典型應(yīng)用,形成領(lǐng)域示范應(yīng)用和行業(yè)標(biāo)桿工程,將技術(shù)和標(biāo)準(zhǔn)進(jìn)行推廣應(yīng)用,促進(jìn)技術(shù)成果產(chǎn)業(yè)化。
從國家戰(zhàn)略來看,當(dāng)前我國已將新一代信息技術(shù)與商用密碼技術(shù)作為重要戰(zhàn)略方向。大力發(fā)展智能安防監(jiān)控是深化供給側(cè)結(jié)構(gòu)性改革,推動新一代信息技術(shù)研究發(fā)展,建設(shè)制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、交通強(qiáng)國的重要支撐,是培育經(jīng)濟(jì)發(fā)展新動能的重要引擎。
從行業(yè)發(fā)展來看,隨著我國政府對社會公共安全防范建設(shè)投入大幅增加,計算機(jī)、大數(shù)據(jù)、云計算和人工智能等新一代信息技術(shù)的蓬勃發(fā)展、迎頭趕上,我國安防視頻監(jiān)控技術(shù)已經(jīng)歷了多個技術(shù)飛躍,從傳統(tǒng)的模擬時代“看得見”,到數(shù)字時代的“看得清”,再到人工智能時代的“看得懂”,中國的安防技術(shù)通過持續(xù)的創(chuàng)新、應(yīng)用提升、再創(chuàng)新,已經(jīng)進(jìn)入“AI+安防”的發(fā)展階段,對視頻信息數(shù)據(jù)的保密控制也應(yīng)提升新的高度以滿足更高的應(yīng)用需求。
通過基于商用密碼技術(shù)的視頻監(jiān)控系統(tǒng)及加固產(chǎn)品的開發(fā)和試點應(yīng)用,在視頻監(jiān)控信息系統(tǒng)中能夠初步實現(xiàn)基于商用密碼技術(shù)的可信身份認(rèn)證、授權(quán)訪問、通信加密、應(yīng)用加密、數(shù)據(jù)加密等技術(shù),為高速發(fā)展的安防行業(yè)中信息安全提供基礎(chǔ)的技術(shù)保障和完整的解決方案,有巨大的應(yīng)用前景,市場前景廣闊。