邢世陽

目前的鐵路綜合視頻監(jiān)控系統(tǒng)是基于《鐵路綜合視頻監(jiān)控系統(tǒng)技術(shù)規(guī)范》（Q/CR 575—2017，以下簡稱575文）來實(shí)現(xiàn)的［1］。雖然此規(guī)范對鐵路綜合系統(tǒng)的發(fā)展、互聯(lián)起到重要作用，但同時(shí)也要看到在鐵路視頻監(jiān)控系統(tǒng)實(shí)際運(yùn)行中，信令、視音頻等數(shù)據(jù)在網(wǎng)絡(luò)傳輸中基本都處于“裸奔”狀態(tài)，存在安全隱患。2018年11月1日，國家標(biāo)準(zhǔn)《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》（GB 35114—2017，以下簡稱GB 35114）正式實(shí)施［2］，這是我國首個針對視頻監(jiān)控聯(lián)網(wǎng)信息安全的技術(shù)標(biāo)準(zhǔn)；《公共安全重點(diǎn)區(qū)域視頻圖像信息采集規(guī)范》（GB 37300—2018）于2020年1月1日開 始 實(shí) 施，對重點(diǎn)公共區(qū)域包括鐵路車站、港口的出入口、售票大廳、候車大廳等開放區(qū)域，要求采集設(shè)備至少達(dá) 到GB 35114的A級 標(biāo)準(zhǔn)［3］。因 此 按 照 相關(guān) 標(biāo) 準(zhǔn)要求對現(xiàn)有的鐵路綜合視頻監(jiān)控系統(tǒng)進(jìn)行升級改造勢在必行。本文對GB 35114標(biāo)準(zhǔn)的實(shí)施進(jìn)行探討。

1 GB 35114標(biāo)準(zhǔn)

GB 35114標(biāo)準(zhǔn)規(guī)定了公共安全領(lǐng)域視頻監(jiān)控聯(lián)網(wǎng)視頻信息，以及控制信令信息安全保護(hù)的技術(shù)要求，適用于公共安全領(lǐng)域視頻監(jiān)控系統(tǒng)的信息安全方案設(shè)計(jì)、系統(tǒng)檢測及與之相關(guān)的設(shè)備研發(fā)與檢測，該標(biāo)準(zhǔn)是加強(qiáng)公共安全視頻監(jiān)控領(lǐng)域信息安全的重要技術(shù)依據(jù)［2］。

1.1 主要要求

1）基于國密算法和數(shù)字證書的身份認(rèn)證，包括設(shè)備與平臺之間、平臺之間、用戶與平臺之間的身份認(rèn)證。

2）控制信令的認(rèn)證。

3）重要視音頻數(shù)據(jù)的認(rèn)證與保護(hù)。

4）管理方面要求，包括授權(quán)與訪問控制、密鑰管理、安全管理、日志管理、設(shè)備異常管理。

1.2 保護(hù)等級

依據(jù)保護(hù)強(qiáng)度，將具有安全功能的前端設(shè)備由弱到強(qiáng)分為A、B、C3個等級。

A級，應(yīng)基于數(shù)字證書與管理平臺雙向身份認(rèn)證，達(dá)到身份真實(shí)目標(biāo)。

B級，應(yīng)具備基于數(shù)字證書與管理平臺雙向身份認(rèn)證的能力和對視頻數(shù)據(jù)簽名的能力，確保身份真實(shí)和視頻來源于真實(shí)設(shè)備，能夠達(dá)到校驗(yàn)視頻內(nèi)容是否遭到篡改的目標(biāo)。

C級，具備基于數(shù)字證書與管理平臺雙向身份認(rèn)證的能力、視頻數(shù)據(jù)簽名能力和視頻數(shù)據(jù)加密能力，確保身份真實(shí)和視頻來源于真實(shí)設(shè)備，能夠校驗(yàn)視頻內(nèi)容是否遭到篡改，達(dá)到對視頻內(nèi)容加密保護(hù)的目標(biāo)。

對于B、C級，視音頻編解碼格式須采用SVAC標(biāo)準(zhǔn)，即《公共安全視頻監(jiān)控?cái)?shù)字視音頻編解碼技術(shù)要求》（GB/T 25724—2017）［4］。該標(biāo)準(zhǔn)是專門應(yīng)用于安全防范視頻監(jiān)控技術(shù)領(lǐng)域的數(shù)字視音頻編解碼技術(shù)標(biāo)準(zhǔn)，不僅對視頻編解碼有明確定義，而且還對視頻編碼的安全參數(shù)、應(yīng)用數(shù)據(jù)格式等都作出了明確定義。

1.3 實(shí)現(xiàn)算法

實(shí)現(xiàn)GB 35114這些要求，需要使用國密算法進(jìn)行實(shí)現(xiàn)，國密算法是國家密碼局制定標(biāo)準(zhǔn)的一系列算法。GB 35114標(biāo)準(zhǔn)主要使用以下3個算法。

1）SM2橢圓曲線公鑰密碼算法［5］。該算法是一種非對稱加密算法，用于數(shù)字簽名、驗(yàn)簽、公鑰加密、私鑰解密，一般使用256位，其安全強(qiáng)度高于使用2 048位的RSA算法。

2）SM3密碼雜湊算法［6］。該算法用于計(jì)算消息摘要，計(jì)算出的消息摘要為256位。

3）SM4分組密碼算法［7］。該算法是一種對稱加密算法，主要用于對稱加解密，密鑰長度和分組長度為128位。

2 實(shí)施方案

2.1 既有系統(tǒng)架構(gòu)

目前，鐵路綜合視頻監(jiān)控系統(tǒng)由核心、區(qū)域、Ⅰ類節(jié)點(diǎn)三級組成［1］，這三級是獨(dú)立的鐵路綜合視頻監(jiān)控平臺。按照575文中定義，視頻平臺間通過鐵標(biāo)C接口級聯(lián)，用戶終端通過鐵標(biāo)A接口訪問視頻平臺，視頻平臺與前端設(shè)備間不做具體要求，可以 通 過ONVIF［8］、GB/T 28181［9］等 多 種 方 式 對接，外接系統(tǒng)與視頻平臺間采用A/B/H接口，575文將B接口定義為GB/T 28181，H接口為后臺聯(lián)動接口。鐵路綜合視頻系統(tǒng)架構(gòu)見圖1。

2.2 安全平臺架構(gòu)

圖1 鐵路綜合視頻系統(tǒng)架構(gòu)

目前接入核心的有18個區(qū)域節(jié)點(diǎn)，每個區(qū)域下又有若干Ⅰ類節(jié)點(diǎn)，接入的總路數(shù)近20萬。為了不影響目前的系統(tǒng)運(yùn)行，新建或改造的視頻平臺需考慮后向兼容性?？紤]到鐵路系統(tǒng)的兼容和互聯(lián)需要，視頻平臺要同時(shí)實(shí)現(xiàn)鐵標(biāo)協(xié)議（575文中A、C接口協(xié)議）和國標(biāo)協(xié)議（GB/T 28181）。鐵路綜合視頻安全平臺架構(gòu)見圖2。

安全平臺內(nèi)各模塊功能如下。

1）鐵標(biāo)信令服務(wù)實(shí)現(xiàn)鐵標(biāo)A、C接口，即對終端、平臺的上下級提供接口服務(wù)。

2）國標(biāo)信令服務(wù)對外提供標(biāo)準(zhǔn)GB/T 28181、GB 35114的標(biāo)準(zhǔn)協(xié)議接口。

3）配置服務(wù)對平臺內(nèi)的設(shè)備進(jìn)行配置管理。

4）媒體分發(fā)服務(wù)實(shí)現(xiàn)接收、轉(zhuǎn)換、發(fā)送媒體功能，須同時(shí)支持鐵標(biāo)、國標(biāo)等媒體格式。

5）設(shè)備接入服務(wù)實(shí)現(xiàn)視頻平臺和前端設(shè)備的接入功能。

6）存儲服務(wù)根據(jù)平臺配置情況對視頻流進(jìn)行存儲。

今年是中國改革開放40周年。中國將堅(jiān)定不移全面深化改革，堅(jiān)持對外開放基本國策。中國愿同亞太各方深化數(shù)字經(jīng)濟(jì)合作，培育更多利益契合點(diǎn)和經(jīng)濟(jì)增長點(diǎn)，為亞太經(jīng)濟(jì)注入強(qiáng)大新動能。中國將同各國一道，堅(jiān)持共商共建共享，高質(zhì)量、高標(biāo)準(zhǔn)、高水平建設(shè)“一帶一路”，為亞太和世界各國人民創(chuàng)造更大發(fā)展機(jī)遇。

7）服務(wù)器密碼機(jī)負(fù)責(zé)對稱密鑰存儲及視頻流的加解密。

8）簽名驗(yàn)簽服務(wù)器負(fù)責(zé)非對稱密鑰存儲及簽名驗(yàn)簽。

與目前的系統(tǒng)對比：平臺增加了簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)，并接入視頻安全密鑰服務(wù)系統(tǒng)；用戶終端增加智能密碼鑰匙（Ukey）；前端設(shè)備升級為具有安全功能的前端設(shè)備（以下簡稱FDWSF）。

圖2 鐵路綜合視頻安全平臺架構(gòu)

視頻安全密鑰服務(wù)系統(tǒng)，作為鐵路綜合視頻監(jiān)控系統(tǒng)的重要密碼基礎(chǔ)設(shè)施，須由國家密碼管理局檢測中心認(rèn)證的數(shù)字證書系統(tǒng)（或稱CA系統(tǒng)）、密鑰管理系統(tǒng)、硬件密碼模塊組成；為用戶、前端設(shè)備、視頻平臺提供證書的簽發(fā)、查詢、驗(yàn)證服務(wù)，并對VKEK（視頻密鑰加密密鑰）和VETK（視頻導(dǎo)出傳輸密鑰）進(jìn)行管理；需遵循《信息安全技術(shù)證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》（GB/T 25056—2018），以及《基于SM2密碼算法的證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》（GM/T 0034—2014）。

簽名驗(yàn)簽服務(wù)器，為視頻平臺提供簽名、驗(yàn)簽服務(wù)和基于數(shù)字證書的加解密服務(wù)，須遵循《簽名驗(yàn)簽服務(wù)器技術(shù)規(guī)范》（GM/T 0029—2014）。

服務(wù)器密碼機(jī)，用于視頻流的加解密，須遵循《服務(wù)器密碼機(jī)技術(shù)規(guī)范》（GM/T 0030—2014）。

Ukey用于用戶終端的私鑰存儲和簽名驗(yàn)簽，須通過國家密碼管理局鑒定。

2.3 實(shí)現(xiàn)中的問題

1）鐵標(biāo)與國標(biāo)要求的設(shè)備ID編碼不同。575文定義的ID由16位十六進(jìn)制的字符組成，包括位置編碼、類型碼和序列編碼［1］。GB/T 28181定義的ID由20位數(shù)字組成，包括中心編碼、行業(yè)編碼、類型編碼和序號［9］。在鐵路綜合視頻監(jiān)控平臺內(nèi)需對2種編碼進(jìn)行管理，內(nèi)部對其一一對應(yīng)，在鐵標(biāo)協(xié)議下使用鐵標(biāo)編碼，在外接國標(biāo)系統(tǒng)時(shí)使用國標(biāo)編碼。

2）鐵標(biāo)協(xié)議對安全功能支持問題。575文中定義的鐵標(biāo)協(xié)議中的A、C接口采用SIP+XML的協(xié)議格式及RTP擴(kuò)展媒體流格式［1］，而國標(biāo)GB/T 28181采用SIP協(xié)議格式及RTP+PS的媒體流格式［9］，二者有類同之處，又存在較大差異。GB 35114中的信令是基于GB/T 28181擴(kuò)展的，575文中沒有國密證書的相關(guān)內(nèi)容及要求，考慮到當(dāng)前A接口、C接口的兼容問題，依據(jù)GB 35114的協(xié)議內(nèi)容對鐵標(biāo)協(xié)議中的A、C接口進(jìn)行擴(kuò)展，以支持鐵標(biāo)協(xié)議下的身份認(rèn)證、信令認(rèn)證、視音頻的加密保護(hù)。當(dāng)通信雙方都支持?jǐn)U展接口時(shí)則啟用安全功能。

3 方案實(shí)現(xiàn)

3.1 基于國密數(shù)字證書的身份認(rèn)證

證書產(chǎn)生前，需先在硬件安全設(shè)備（簽名驗(yàn)簽服務(wù)器、Ukey、加密卡）中生成SM2密鑰。由于SM2私鑰是無法從這些安全設(shè)備中導(dǎo)出的，所以保證了密鑰安全性。使用SM2的公鑰、名稱、SM2的私鑰簽名等相關(guān)信息生成證書請求，再由CA系統(tǒng)對證書請求進(jìn)行驗(yàn)證并簽名生成數(shù)字證書。簽名驗(yàn)簽服務(wù)器、Ukey、FDWSF在使用前都需配置國密證書。視頻平臺和Ukey使用雙證書，即簽名證書和加密證書，簽名證書用于驗(yàn)簽，加密證書用于加密，CA系統(tǒng)需備份加密私鑰。FDWSF使用單證書，即簽名證書和加密證書為同一證書。CA系統(tǒng)分為多級，下級CA證書由上級CA系統(tǒng)簽發(fā)，所以證書的認(rèn)證是鏈?zhǔn)降模考壍淖C書都需用上級證書驗(yàn)證，直至可信任的根證書，構(gòu)成完整的信任鏈。

身份認(rèn)證是在雙方發(fā)出的隨機(jī)數(shù)的基礎(chǔ)上，加上ID信息，用私鑰生成簽名，對方以證書的公鑰驗(yàn)證簽名正確，即確定對方身份。這里以視頻終端與平臺間的身份認(rèn)證為例進(jìn)行說明。

1）視頻終端向平臺的信令服務(wù)發(fā)起注冊請求，攜帶能力、算法參數(shù)、終端ID、平臺ID等關(guān)鍵參數(shù)信息。

2）信令服務(wù)調(diào)用簽名驗(yàn)簽服務(wù)產(chǎn)生隨機(jī)數(shù)，并經(jīng)base64編碼，向用戶終端響應(yīng)401（未授權(quán)），并在SIP頭攜帶生成的隨機(jī)數(shù)、認(rèn)證方式等關(guān)鍵參數(shù)信息。

3）視頻終端再次向平臺的信令服務(wù)發(fā)起注冊請求，攜帶Ukey生成的隨機(jī)數(shù)、平臺回應(yīng)的隨機(jī)數(shù)、終端ID、平臺ID、簽名字符串等參數(shù)。簽名字符串，由終端隨機(jī)數(shù)、平臺隨機(jī)數(shù)、平臺ID合成之后，經(jīng)Ukey中的私鑰簽名，再經(jīng)base64編碼而得。

4）平臺的信令服務(wù)收到注冊請求，通過簽名驗(yàn)簽服務(wù)向視頻安全密鑰服務(wù)系統(tǒng)查詢該終端的國密證書，使用其證書驗(yàn)證注冊請求中簽名的正確性，并且需驗(yàn)證平臺隨機(jī)數(shù)是在正確的時(shí)間段內(nèi)第一次使用；如果以上都正確，簽名驗(yàn)簽服務(wù)隨機(jī)生成VKEK，使用終端的加密證書公鑰對其加密并進(jìn)行base64編碼；然后，對平臺隨機(jī)數(shù)、終端隨機(jī)數(shù)、終端ID、VKEK的加密編碼串進(jìn)行簽名，簽名項(xiàng)經(jīng)base64編碼，信令服務(wù)攜帶以上信息向終端響應(yīng)200（OK）。

5）視頻終端收到平臺的正確響應(yīng)后，使用平臺證書驗(yàn)證其正確性，即終端隨機(jī)數(shù)使用時(shí)間段、次數(shù)的正確性；如果正確，從響應(yīng)參數(shù)中獲取VKEK的密文，使用Ukey的加密私鑰解密出VKEK。

575文中的注冊采用用戶名密碼的方式，未定義國密證書身份認(rèn)證的協(xié)議，鐵標(biāo)A、C接口上注冊 協(xié) 議（A接 口CuRegister、C接 口SaRegister），加入GB 35114中定義身份認(rèn)證的SIP必要的字段（WWW-Authenticate、Authorization、SecurityInfo）。這與GB 35114內(nèi)容定義完全一樣［2］，當(dāng)不攜帶這些字段時(shí)與目前功能一樣；當(dāng)使用這些字段時(shí)，這些字段攜帶相應(yīng)的國密證書身份認(rèn)證信息。

3.2 信令認(rèn)證

身份認(rèn)證完成時(shí)，注冊方獲取并正確解密了VKEK，雙方在信令通信時(shí)對VKEK和信令進(jìn)行SM3雜湊計(jì)算，并在信令攜帶雜湊值；對方在收到信令時(shí)也重新計(jì)算一次，如果雜湊值一致，說明信令來源可信。

575文定義的A、C接口都是使用SIP+XML格式信令，所以在SIP請求頭和響應(yīng)頭，都加入GB 35114定義的Date和Note字段。Date字段為日期，Note字段攜帶nonce和algorthim 2個屬性，nonce值為計(jì)算的雜湊值的base64編碼，計(jì)算方法同GB 35114的要求保持一致。

3.3 視頻的認(rèn)證與保護(hù)

當(dāng)接入B、C級的FDWSF時(shí)，視音頻采用SVAC編碼方式，B級FDWSF對產(chǎn)生的視頻進(jìn)行簽名，C級FDWSF對視頻進(jìn)行加密并簽名。用戶終端需增加SVAC視音頻解碼庫。視頻平臺收到視音頻時(shí)，需要對視頻進(jìn)行驗(yàn)簽，并存儲VKEK。

這里對C級FDWSF接入平臺的相關(guān)流程進(jìn)行介紹。

1）對FDWSF進(jìn)行配置，包括安全平臺的接入服務(wù)地址、證書等信息，F(xiàn)DWSF通過國標(biāo)協(xié)議（GB/T 28181+GB35114）注冊到平臺接入服務(wù)，注冊成功即雙方身份認(rèn)證通過。

2）平臺的接入服務(wù)向FDWSF發(fā)起SIP協(xié)議INVITE請求，并攜帶信令認(rèn)證信息，通知媒體服務(wù)準(zhǔn)備接收來自FDWSF的視頻流。

3）FDWSF驗(yàn)證INVITE請求的認(rèn)證信息，如果正確，攜帶VKEK的密文及版本號響應(yīng)200（OK），并開始發(fā)送視頻流到指定的媒體服務(wù)。

4）接入服務(wù)通過簽名驗(yàn)簽服務(wù)器的加密私鑰進(jìn)行VKEK解密，將VKEK保存到服務(wù)器密碼機(jī)中，并將VKEK備份到視頻安全密鑰服務(wù)系統(tǒng)中。

5）平臺內(nèi)的媒體服務(wù)需調(diào)用加密驗(yàn)簽服務(wù)，使用FDWSF的證書，驗(yàn)證視頻流的簽名是否正確，存儲服務(wù)對視頻流以密文方式保存。

6）當(dāng)用戶終端調(diào)看時(shí)，會向信令服務(wù)發(fā)送指令，信令服務(wù)調(diào)用密碼機(jī)用終端證書對VKEK加密，向用戶終端回應(yīng)媒體服務(wù)地址和VKEK密文。

7）用戶終端調(diào)用Ukey私鑰解密VKEK，從媒體服務(wù)獲取加密視頻，使用FDWSF的證書進(jìn)行驗(yàn)簽，以確保視頻沒有被篡改；依據(jù)視頻碼流中的安全參數(shù)，取出VKEK版本號、VEK（視頻加密密鑰）密文，根據(jù)VKEK版本號使用相應(yīng)VKEK解密出VEK，再使用VEK解密視頻后進(jìn)行解碼播放。

8）當(dāng)攝像機(jī)更新VKEK時(shí)，平臺需通知查看該攝像機(jī)實(shí)時(shí)視頻的用戶終端更新VKEK。

當(dāng)播放C級視頻時(shí)，除對視頻請求的相應(yīng)協(xié)議進(jìn)行信令的認(rèn)證外，還需對575文中A接口中的PlayStart、HisPlayStart、HisLoadStart 3條 協(xié) 議 和C接口的INFO、HisInfo、HisLoadInfof 3條協(xié)議進(jìn)行擴(kuò)展，需在回應(yīng)的XML的parameters項(xiàng)中增加VKEK項(xiàng)，其包含VKEK密文的base64編碼及版本號，另需增加更新VKEK的協(xié)議。

4 結(jié)束語

鐵路綜合視頻監(jiān)控系統(tǒng)的安全防護(hù)，之前基本以網(wǎng)絡(luò)防范為主，而GB 35114是真正保證視頻信息安全的標(biāo)準(zhǔn)，本文通過對GB3 5114相關(guān)要求的研究，提出現(xiàn)有的綜合視頻系統(tǒng)實(shí)施GB 35114的方案，以滿足相關(guān)標(biāo)準(zhǔn)要求，為后續(xù)鐵路綜合視頻監(jiān)控系統(tǒng)的安全升級提供參考。