视频加密解决方案

背景简介

/

BACKGROUND INTRODUCTION

>>>

在现有视频监控系统的基础上，根据国家信息安全领域内的相关政策法规，结合《GBT28181-2016公共安全视频监控联网系统信息传输、交换、控制技术要求》、《GB 35114-2017 公共安全视频监控联网信息安全技术要求》、《GB37300-2018 公共安全重点区域视频图像信息采集规范》要求，应用PKI体系的密码技术，对视频监控各流程进行安全加固，使视频监控系统具备前端设备身份认证、用户身份认证、平台身份认证、密钥管理、权限管理、签名认证、加密解密、访问控制、审计、加密视频数据的实时点播/历史回放/存储/下载/分发/导出、视频数据源抗抵赖，控制信令的完整性验证等功能。

需求分析

/

REQUIREMENT ANALYSIS

>>>

历史视频数据安全

历史视频实际物理存盘的数据均为“明文”，一旦视频泄露，非法人员可随意播放查看视频中的敏感信息，甚至可进行任意编辑。

接入认证安全

监控平台接入的用户终端及IPC终端类型多、场所物理环境不安全，接入终端存在非法使用、非法授权访问，甚至存在伪造终端接入，并有可能发展为木马、病毒的传播来源。

视频采集传输安全

重点区域视频数据传输的机密性、完整性缺乏保障机制，敏感信息在传输过程中就存在被泄露或者篡改的风险。

视频导出安全

视频导出是视频泄露事件中最主要的环节，监控管理平台如果无法做到严格的视频导出安全控制，首先将可能造成视频泄露，其次在视频泄露时无法追责。

视频播放安全

视频播放终端是和IPC相对应的另一个端点，如果将IPC类比为生产者，播放端则是消费者，播放端要解决不可随意播放、不可修改编辑等问题。

解决方案

/

SOLUTION

>>>

本方案以GB35114标准为基础，通过基于国产算法的数字签名、加解密等密码技术，运用密码技术和密码产品打造的视频综合安全服务对传统视频系统升级改造，配备包括证书管理、密钥管理、身份认证、加解密等密码支撑服务。

身份认证

各实体采用数字证书作为身份标识；
管理平台与FDWSF、客户端、第三方平台基于数字证书双向身份认证。
管理平台对前端设备遥控等重要控制信令采用带密钥的SM3算法消息认证。

机密性、完整性、不可否认性

所有B级和C级的前端IPC应支持对采集的视频I帧及其他重要帧的数字签名；
管理平台应支持对视频数据签名结果的接收、存储和验证，实现视频源的抗抵赖及完整性校验；
C级的前端IPC应对采集的视频及音频进行加密操作并传输；
管理平台应支持视频及音频加密数据的传输，支持对实时加密视音频播放、历史加密视音频回放、加密视音频的存储/下载/分发/导出等操作。