杭州迪普科技股份有限公司 汤凯迪

本文对基于GA/T 1781-2021《公共安全社会视频资源安全联网技术要求》的安全联网将不具有安全功能的前端设备升级为FDWSF(具有安全功能的前端设备)且符合GB 35114-2017《公共安全视频监控联网信息安全技术要求》中C级设备的安全要求进行了深入研究,提出了一种有借鉴意义的解决方案。

1 背景

2018年11月1日,《公共安全视频监控联网信息安全技术要求》国家标准正式实施(以下简称“35114标准”)。该标准是首个关于视频联网信息安全方面的技术标准,针对公共安全视频联网系统的安全风险,围绕设备和用户身份真实、控制信令可靠、视频图像信息安全,提出了具体的技术解决措施[1][2],对于保障视频联网信息的安全具有重要作用。

2021年10月1日,GA/T 1781-2021《公共安全社会视频资源安全联网设备技术要求》行业标准正式实施(以下简称“1781标准”),该标准规定了公共视频资源安全联网设备的组成、产品分类与标记、一般要求、功能要求、安全要求和性能要求,描述了社会视频资源安全联网设备的试验方法[3](以下简称安全联网设备)。安全联网设备用于社会视频资源安全传输、防范非法入侵,具备SVAC编码、数据签名、数据加密等功能,可满足35114标准中C级设备的安全要求。

本文研究基于1781标准的安全联网设备将不具有安全功能的前端设备升级为FDWSF(具有安全功能的前端设备),且符合35114标准中C级设备的安全要求。

2 前端设备建设现状

2015年5月国家发展改革委、中央综治办、公安部等九部委联合出台了《关于加强公共安全视频监控建设联网应用工作的若干意见》,明确提出基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控联网系统。随着各地“天网工程”、“雪亮工程”的建设,公共安全视频监控联网系统已是新形势下维护国家安全和社会稳定、预防和打击暴力恐怖犯罪的重要手段。但在35114标准实施前,各地公共安全视频监控联网系统已建设了大量的前端设备,如何将这些不具有安全功能的前端设备升级为符合35114标准C级设备安全要求的FDWSF成为了当前研究的重点。

按照35114标准,根据安全保护强弱,可以将FDWSF的安全能力分为三个等级,由弱到强分别是A级、B级、C级。1)A级应基于数字证书与管理平台双向身份认证的能力,达到身份真实的目标;2)B级在A级的基础上增加了视频数据签名能力,确保身份真实和视频来源于真实设备,能够达到校验视频内容是否遭到篡改的目标;3)C级在B级的基础上增加了视频数据加密能力,能够达到对视频内容加密保护的目标。如表1所示。

前端设备根据编码格式划分,可以分为H.264/H.265编码格式和SVAC编码格式。其中,符合35114标准的B级和C级设备应满足《公共安全视频监控数字视音频解码技术要求》,则采用SVAC编码格式。然而目前各地“天网工程”、“雪亮工程”等项目建设的前端设备基本采用的是H.264/H.265编码格式。

此外,根据功能划分,前端设备可以分为普通前端设备和智能前端设备。普通前端设备仅具备一定的视频图像采集功能,智能前端设备具备一定的视频图像机构化分析功能。普通前端设备大多具备存储卡插槽,智能前端设备大多内置了安全芯片,这些前端设备具备升级改造为符合35114标准A级设备的基础条件[4],但无法升级改造为符合35114标准的C级设备。同时,还有一部分早期建设的前端设备既没有存储卡插槽也不具备安全芯片,这类前端设备无法通过自身来进行安全升级。

3 前端设备安全提升

现阶段,将不具有安全功能的前端设备升级为FDWSF已有内置和外置两种方式[4]

3.1 内置方式

内置方式包括插卡、芯片和软密码三种方式。1)插卡方式,适用于TF卡槽的前端设备,可以将数字证书信息写入TF卡中,插入前端设备;2)芯片方式,适用于具有安全芯片的前端设备,可以将数字证书信息写入安全芯片中;3)软密码方式,适用于不具有TF卡槽、没有安全芯片,内存有一定富余的前端设备,可以将数字证书写入软密码模块中,配合后台密钥分割设备实现完整密码功能,从而实现与安全共享平台的双向身份认证。

内置方式的优点是安全升级费用低,软密码方式实施较快。缺点是需要前端设备厂商配合升级适配,周期较长。另外,软密码方式前端设备安全升级后仅能满足35114标准中A级设备的安全要求;对于插卡方式,需要对前端设备插槽,工作量较大。

3.2 外置方式

外置方式是在前端设备外部挂接一个安全转换设备,能够内置SVAC芯片和安全芯片,可以将H.264/H.265编码格式的视频数据转换为SVAC编码格式,并提供身份认证功能,支持视频签名和加密,最高可以满足35114标准中C级设备的安全要求。

外置方式的优点是安全升级实施较为便捷,不受前端设备品牌型号限制,最高可以满足35114标准中C级设备的安全要求。其缺点是现场需要具备设备安装空间,逐个安装工作量大。

3.3 基于安全联网设备代理方式

对比内置方式和外置方式,虽各有优势,但无法兼顾安全升级的成本和工作量。因此,提出基于1781标准的安全联网设备,安全联网设备类似于安全转换设备,具备SVAC编码、数据签名、数据加密等功能,可满足35114标准中C级设备的安全要求。

基于代理方式,在前端设备接入节点处部署,对一个接入节点所有的前端设备进行注册代理,实现一个接入节点的所有前端设备的安全升级工作。成本方面,安全联网设备可接入多路前端设备,实现多路视频资源转发;工作量方面,安全联网设备可通过GB/T 28181、GA/T 1400.4等规定的协议或设备软件开发包(SDK)接入前端设备,不受前端设备类型、品牌影响,同时一个接入点仅部署一台安全联网设备,安全升级工作量相较于前两者更加便捷。

4 安全联网设备介绍

4.1 安全联网设备功能架构

安全联网设备由基础模块、前端接入、视频转发、平台对接、安全防护模块组成,功能架构图如图1所示。

基础模块:内置国密加密模块、证书管理模快,为设备管理、视频转发、数据加密提供基础支撑。

前端接入模块:主要功能包括通过GB/T 28181、GA/T 1400以及私有SDK对接方式实现前端设备的接入。

视频转发模块:主要实现视频转码功能,前端设备支持H.264/H.265编码格式,转发模块对视频数据进行解码,通过专用芯片将编码格式转换为SVAC编码格式,符合35114标准,实现编码格式国产化。

平台对接模块:实现与上级平台接入对接,支持GB 35114、GA/T 1400等平台实现对接,通过GB 35114、GA/T 1400平台对接,实现视频数据按照国密要求进行数据加密,实现安全传输;支持对外日志外发、远程运维接口,实现集中管理。

安全防护模块:实现对转发数据的安全防护,基于最小安全原则,使用白名单防护模式,对需要接入的IP地址、端口、控制信令、数据进行识别和控制,支持七层数据的全数据深度检测、对信令格式、视频格式进行标准化的深度检测和过滤。

4.2 前端设备接入

GB/T 28181接入功能:安全联网设备支持对符合GB/T 28181的前端设备接入,配置GB/T 28181服务器IP地址、端口、国标编码、国标域、注册周期、心跳周期、传输方式、统一接入密码信息,前端设备配置相关信息后,安全联网设备可以通过GB/T 28181接入前端设备视频。安全联网设备支持针对目录树的构建,可以创建GB/T 28181指定的业务分组和虚拟组织结构,也可以创建下级的目录树结构,同时可以针对下级发送的目录查询回应报文,构建下级的目录树。当未创建目录树结构时,下级目录默认挂载到GB 35114本地国标编码下。当希望下级目录挂载到特定的业务分组和虚拟组织时,可以创建对应的业务分组和虚拟组织,同时在业务分组和虚拟组织下创建希望挂载的目录,设备收到目录查询回应后,会根据目录信息填充相关信息。当需要修改目录树中的通道信息时,可以修改通道名称,同时可以有选择的向上级发送目录信息,屏蔽一些不希望发送的。

GA/T 1400接入功能:安全联网设备支持符合GA/T 1400前端设备接入,通过GA/T 1400标准协议接口,采集视频图像结构化数据,包括视频案事件、视频片段、图像、与视频图像的片段和图像相关文件,安全联网设备接入结构化数据后,通过对数据加密转发到上级平台。

基于SDK方式接入功能:针对无法通过GB/T 28181、GA/T 1400接入的前端设备,安全联网设备可通过SDK方式接入前端设备,通过数据加密传到后端业务系统。

4.3 SVAC转码功能

安全联网设备支持H.264/H.265的视频编码格式接入,同时设备支持GB/T 28181和GB 35114接入上级平台,当码流到达设备时,设备根据是否为GB 35114接入上级平台,对接入码流进行转码处理,若设备使用GB 35114接入上级平台,码流会进行SVAC转码,之后进行PS封装,发送给上级平台。

4.4 GB 35114平台对接

安全联网设备支持通过GB 35114和视频图像信息系统进行对接,安全联网设备在接入端作为GB/T 28181的服务端,同时也作为GB 35114的客户端和上级平台对接,安全联网设备支持GB/T 28181与GB 35114之间的信令转化,支持实时调阅、检索、回放等信令转化功能。针对数据流支持将H.264/H.265视频编码格式转换为SVAC视频编码格式,按照35114标准规定的数据签名和加密方式,对数据进行加密传输。

4.5 安全防护功能

网络层防护:安全联网设备支持基于IP地址、MAC地址的白名单准入功能,同时支持基于IP地址、端口等信息进行白名单的访问控制策略,只允许放通指定的IP地址和端口地址,使用最小安全原则,禁止一切不符合安全策略的接入。

应用层防护:安全联网设备支持识别并控制应用协议,仅允许通过SIP、RTP、RTSP、TLS等进行信令与视频图像信息交换的业务必要的协议类型,拒绝SSH、Telnet、FTP、RDP、SMB、HTTP等非业务必要的协议类型访问。

信令安全:安全联网设备支持对GB/T 28181、GA/T 1400等标准协议的控制信令过滤功能,深度识别相关信令关键字段,针对信令篡改、信令仿冒等行为实时发现并阻断。

5 应用案例

目前基于安全联网设备代理方式已有应用案例,如下图所示。

1)前端设备通过GB/T 28181接入安全联网设备,同时安全联网设备会构建目录树,完成代理对接工作,此时安全联网设备作为前端设备的GB/T 28181服务端。

2)密钥管理服务器生成密钥和数字证书,并分发给安全联网设备及新建平台。

3)安全联网设备与新建平台基于数字证书完成双向认证,之后安全联网设备基于GB 35114接入新建平台,此时新建平台作为安全联网设备的GB 35114服务端。

4)前端设备视频码流传输经过安全联网设备时,安全联网设备会对H.264/H.265编码格式的视频码流进行解码并通过专有芯片转换为SVAC标准的编码格式,并进行加密签名。

5)安全联网设备根据目录将视频码流推送至新建平台,新建平台对视频码流进行解密之后即可调阅画面。

6 结语

本文研究前端设备GB 35114安全升级,分析了现阶段公共安全视频联网系统前端设备的建设情况以及多种前端设备安全升级方式。在此基础上,提出了基于1781标准的安全联网设备通过代理方式对前端设备进行安全升级的策略,从而使不具有安全功能的前端设备升级为符合35114标准C级设备安全要求的FDWSF。同时简单介绍了安全联网设备的功能架构。

参考文献

[1]GB 35114-2017,公共安全视频监控联网信息安全技术要求[S].北京:中国标准出版社,2017.

[2]栗红梅,施巨岭.解读GB 35114-2017《公共安全视频监控联网信息安全技术要求》[J].标准生活,2018(7):34-37.

[3]GA/T 1781-2021,公共安全社会视频资源安全联网设备技术要求[S].北京:中国标准出版社,2021.

[4]杨杰,周亚,李赫,王翠,任河.基于“35114标准”的市级公共安全视频联网系统安全升级策略研究[J].中国安防,2023(6):15-16.

本文发表于2024年第1期《中国安全防范技术与应用》杂志

声明:本文来自公安部检测认证标准化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。