GB35114-2017解讀隨著網絡視頻監(jiān)控技術高速發(fā)展，數(shù)據(jù)安全問題日益凸現(xiàn)，威脅到國家、社會、企業(yè)和家庭安全。如何保證視頻數(shù)據(jù)在這樣的網絡中不被別人竊取或篡改，且如何保證視頻傳輸?shù)陌踩猿闪诵枰鉀Q的問題。近年來，國家相關政府管理部門陸續(xù)出臺了多項政策法規(guī)指導網絡監(jiān)控安全體系建設。2018年11月1日，中國國家標準化管理委員會發(fā)布《公共安全視頻監(jiān)控聯(lián)網信息安全技術要求》強制性國家標準正式實施。作為我國首個針對視頻監(jiān)控聯(lián)網信息安全的技術標準，受到了公安機關、科研單位和相關企業(yè)的高度關注。標準明確指出公共安全視頻監(jiān)控要采用國產密碼技術，實現(xiàn)前端圖像采集設備、訪問用戶、中心服務器等實現(xiàn)基于國產密碼技術的身份認證、視頻簽名、視頻流加解密等功能。要求身份認證、視頻數(shù)據(jù)簽名采用SM2國密算法，視頻流加密采用SM1、SM4國密算法。據(jù)了解，GB35114標準是密碼技術與視頻監(jiān)控相關技術高度融合的產物，原始視頻數(shù)據(jù)壓縮后使用密碼進行直接加密，這種加密方法較為直接，且不因任何視頻數(shù)據(jù)的特性而改變加密對象，加密過程在壓縮編碼過程之后進行。此外，加密算法的不同工作模式產生和使用密鑰的方法也是不一樣的；加密算法常見的加密模式有OFB模式、CFB模式、CBC模式、ECB模式等。這些工作模式的主要方法通常都是基本密鑰、反饋和簡單運算的組合，國標明確要求對稱密碼算法使用SM1、SM4分組密碼算法OFB模式。2000年初平安城市2006年2007年DB332008年2009年2011年2015年科技強警GA669DB11ONVIF天網工程GB/T

28181雪亮工程3111工程DB50安防監(jiān)控標準發(fā)展歷程重建設、重應用、輕安全史上最嚴重的物聯(lián)網攻擊，造成半個美國斷網，因借助物聯(lián)網終端發(fā)起DDO攻擊。互聯(lián)網垃圾流量攻擊事件（

2016/10/21

）AI技術應用于偽造視頻人工智能已支持合成“真實”視頻,任意虛構“真實”場景第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數(shù)據(jù)泄露或者被竊取、篡改：（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；信息安全相關法律法規(guī)—網絡安全法網絡安全等級保護條例第四條【工作原則】網絡安全等級保護工作應當按照突出重點、主動防御、綜合防控的原則，建立健全網絡安全防護體系，重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數(shù)據(jù)安全。GB35114

標準的定位信令可靠信令內容來源可信，校驗信令內容是否遭到篡改身份真實確保視頻系統(tǒng)中所有用戶和設備的身份真實可信公安安全視頻監(jiān)控聯(lián)網信息安全技術要求視頻完整能夠檢驗視頻內容是否遭到篡改全程保密端到端加密，確保信息傳輸、轉發(fā)、存儲、下載等各階段視頻不被竊取GB35114

與整體安全架構的關系身份認證數(shù)據(jù)加密、簽名接入、訪問認證防病毒、入侵檢測、漏洞掃描防火墻、VPN、準入控制安全框架解決方案GB

35114應用范圍非GB

35114應用范圍用戶的安全性數(shù)據(jù)的安全性應用系統(tǒng)的安全性操作系統(tǒng)的安全性網絡層的安全性安全風險和基于GB

35114

的解決方案未授權用戶非法訪問系統(tǒng)被控制客戶端登陸認證非法接入前端設備虛假視頻植入前端接入認證非法接入視頻平臺敏感視頻內容轉移前端、平臺間認證惡意操控前端設備監(jiān)控角度錯誤信令簽名非法篡改視頻內容視頻內容改變視頻簽名非法獲取視頻內容敏感視頻內容外泄視頻加密GB35114措施后果行為GB/T

28181

的視頻監(jiān)控系統(tǒng)架構客戶端中心信令控制服務器前端設備信令安全路由網關流媒體服務器信令安全路由網關前端設備中心信令控制服務器客戶端流媒體服務器信令安全路由網關流媒體服務器中心信令控制服務器前端設備客戶端上級平臺下級平臺下級平臺GB

35114

的視頻監(jiān)控系統(tǒng)架構客戶端中心信令控制服務器前端設備信令安全路由網關流媒體服務器信令安全路由網關前端設備中心信令控制服務器客戶端流媒體服務器信令安全路由網關流媒體服務器中心信令控制服務器前端設備客戶端上級平臺下級平臺下級平臺私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰私鑰公鑰對稱密鑰視頻安全密鑰系統(tǒng)視頻安全密鑰系統(tǒng)數(shù)字證書&密碼規(guī)劃數(shù)字證書

&密碼規(guī)劃數(shù)字證書

&密碼規(guī)劃視頻安全密鑰系統(tǒng)前端安全等級和能力要求能力

目標

關聯(lián)標準

國密算法

A級

B級

C級基于數(shù)字證書，前端

與管理平臺間單項/雙向身份認證身份真實GB/T

28181SM2、SM3信令認證信令真實GB/T

28181SM1/SM4、SM3視頻簽名視頻內容真實/完整性GB/T

25724(SVAC)SM2、SM3視頻內容加密防止泄露GB/T

25724(SVAC)SM1/SM4、SM2符合GB

35114

的典型系統(tǒng)架構媒體服務器信令服務器前端設備RTPSIPSIP視頻安全密鑰服務系統(tǒng)密碼管理系統(tǒng)數(shù)字證書認證系統(tǒng)視頻監(jiān)控平臺GM/T

0051LDAP/OSCP公鑰私鑰對稱密鑰GM/T

0018客戶端SIP公鑰私鑰對稱密鑰GM/T

0018GM/T0018密碼機公鑰私鑰對稱密鑰GM/T

0018GB35114

功能實現(xiàn)—頒發(fā)數(shù)字證書具有安全功能的客戶端具有安全功能的媒體服務器具有安全功能的信令服務器具有安全功能的前端設備視頻安全密鑰服務系統(tǒng)密碼管理系統(tǒng)

數(shù)字證書認證系統(tǒng)密碼機公鑰私鑰公鑰私鑰公鑰私鑰公鑰私鑰……GB35114

功能實現(xiàn)—接入認證具有安全功能的客戶端具有安全功能的媒體服務器具有安全功能的信令服務器具有安全功能的前端設備視頻安全密鑰服務系統(tǒng)密碼管理系統(tǒng)

數(shù)字證書認證系統(tǒng)公鑰私鑰公鑰私鑰公鑰私鑰公鑰私鑰密碼機……公鑰公鑰公鑰公鑰GB35114

功能實現(xiàn)—信令認證具有安全功能的客戶端具有安全功能的媒體服務器具有安全功能的信令服務器具有安全功能的前端設備視頻安全密鑰服務系統(tǒng)密碼管理系統(tǒng)

數(shù)字證書認證系統(tǒng)公鑰私鑰公鑰私鑰公鑰私鑰公鑰私鑰密碼機公鑰公鑰公鑰公鑰認證信息是對VKEK等構成的組合數(shù)據(jù)進行摘要算法計算（SM3）獲得控制信令認證信息GB35114

功能實現(xiàn)—視頻簽名具有安全功能的客戶端具有安全功能的媒體服務器具有安全功能的信令服務器具有安全功能的前端設備視頻安全密鑰服務系統(tǒng)密碼管理系統(tǒng)

數(shù)字證書認證系統(tǒng)公鑰私鑰公鑰私鑰公鑰私鑰公鑰私鑰密碼機公鑰公鑰公鑰公鑰視頻簽名由前端設備用私鑰對視頻幀數(shù)據(jù)的摘要信息進行加密（數(shù)據(jù)簽名）獲得公鑰摘要信息前端設備生成客戶端生成對比驗證摘要信息GB35114

功能實現(xiàn)—實時視頻加密和解密具有安全功能的客戶端具有安全功能的媒體服務器具有安全功能的信令服務器具有安全功能的前端設備視頻安全密鑰服務系統(tǒng)密碼管理系統(tǒng)

數(shù)字證書認證系統(tǒng)公鑰私鑰公鑰私鑰公鑰私鑰公鑰私鑰密碼機公鑰公鑰公鑰公鑰公鑰VEK由具有安全功能的前端設備隨機產生的對稱密鑰，按照一定的規(guī)律變化，用于直接加密視頻內容，實現(xiàn)視頻傳輸、存儲等的機密性保護GB35114系統(tǒng)原有前端設備（GB/T28181）新建前端設備（

GB35114

）GB

35114

系統(tǒng)升級視頻監(jiān)控系統(tǒng)升級為GB35114系統(tǒng)后，兼容支持原有前端設備接入現(xiàn)有攝像機升級支持GB

35114

（

A級）TF（加密）卡方式分散私鑰（SDK）方式1固件（Firmware）升級2

插入TF（加密）卡1固件（Firmware）升級2

部署分散私鑰服務系統(tǒng)，固件對接分散私鑰SDK政府機關金融機構重要道路水利工程前端設備安全等級建議（

C級）C級支持接入認證信令認證視頻簽名視頻加密學校醫(yī)院主要道路營業(yè)場所B級支持接入認證信令認證視頻簽名前端設備安全等級建議（

B級）A級支持接入認證居民區(qū)單位大廳沿街道路商店前端設備安全等級建議（

A級）01001001

00100000

01100001

0110110

1

00100000

010110

10

01100101

01110

010

01101111

01100110

01101100

01100001

01100111

0010111

0GB

35114是否構建了全面的安全防護體系？GB35114

與整體安全架構的關系身份認證數(shù)據(jù)加密、簽名接入、訪問認證安全框架解決方案GB

35114應用范圍用戶的安全性數(shù)據(jù)的安全性應用系統(tǒng)的安全性防病毒、入侵檢測、漏洞掃描防火墻、VPN、準入控制非GB

35114應用范圍操作系統(tǒng)的安全性網絡層的安全性GB35114

無法解決的安全問題網絡傳輸管道缺少管控1系統(tǒng)漏洞客觀存在2私有協(xié)議無法適配3安全管理系統(tǒng)成為眾矢之的4非GB35114終端GB35114終端攻擊終端前端接入?yún)^(qū)視頻監(jiān)控系統(tǒng)服務器非法訪問、DDOS攻擊、蠕蟲病毒…非法訪問、DDOS攻擊、蠕蟲病毒…GB35114業(yè)務GB35114

依托網絡安全落地網絡通道安全無保障，就沒有數(shù)據(jù)安全服務器區(qū)政策相關要求強調了監(jiān)控系統(tǒng)的信息安全建設，規(guī)定了公共安全視頻監(jiān)控信息及控制信令信息安全保護的技術要求。2018年11月1日正式實施公共安全視頻監(jiān)控聯(lián)網信息安全技術要求（GB35114）預計2019年初正式實施公安視頻傳輸網網絡安全保障設施參照等保三級或以上標準進 行建設，網絡內部安全域劃分為：縱向邊界區(qū)、橫向邊界區(qū)、 系統(tǒng)應用區(qū)和前端接入?yún)^(qū)四部分。信息安全措施參考《公共安 全視頻監(jiān)控聯(lián)網信息安全技術要求》（GB35114）公共安全視頻監(jiān)控資源接入、共享及管理技術要求網絡安全數(shù)據(jù)安全公安視頻網安全體系GB35114

與迪普方案是互補關系迪普科技方案解決網絡管道安全問題DAC對可以識別SIP控制信令和RTP傳輸協(xié)議，并可基于SIP協(xié)議及RTP協(xié)議進行協(xié)議白名單過濾。DAC協(xié)議白名單還包括ONVIF、?？?、大華、宇視等廠家的私有協(xié)議、視圖庫協(xié)議等。GB35114和DAC同屬于《公共安全視頻監(jiān)控資源接入、共享及管理技術要求》的前端安全建設要求。DAC支持GB35114攝像頭檢查功能，該功能可協(xié)助用戶自動化識別前端設備是否符合GB35114要求。GB35114解決點對點的數(shù)據(jù)安全問題基于數(shù)字證書，前端與管理平臺間單項/雙向身份認證視頻簽名，保證視頻真實性未被篡改視頻加密，防止s視頻泄露1231234DAC構建GB

35114

的傳輸安全體系非GB35114終端GB35114終端支持GB35114標準的識別和白名單過濾視頻監(jiān)控系統(tǒng)支持非GB35114終端認證和協(xié)議過濾DAC解決GB35114體系中的網絡安全問題DAC設備和GB35114相結合，對使用GB35114標準的視頻終端進行協(xié)議白名單過濾，實現(xiàn)傳輸網絡安全，并深度檢測前端設備安全級別為A、B或C級。DAC為非GB35114體系提供安全能力對無法使用GB35114標準的終端進行認證和協(xié)議過濾，確保數(shù)據(jù)的傳輸安全。授權終端非法終端”

進不來”—

身份白名單前端入網設備視頻監(jiān)控系統(tǒng)授權終端身份指紋對比

非授權終端1）建立合法接入設備的資產白名單：自動化提取接入IPC攝像頭等終端的設備IP、MAC、類型、廠商、行政區(qū)域、安裝地址等屬性，并以此為基線，生成資產庫和設備白名單。

2）只允許授權的終端接入到視頻專網：接入設備入網時，通過主動掃描和在線檢測方式相結合，將設備的信息與既有資產庫進行比對，比對成功則將設備放行，比對失敗則進行實時阻斷及告警。授權視頻數(shù)據(jù)前端入網設備視頻監(jiān)控系統(tǒng)授權視頻數(shù)據(jù)行為深度檢測異常訪問、攻擊一鍵開