基于5G 邊緣計算的視頻監控密碼應用研究*

石元兵，張舒黎

（成都衛士通信息產業股份有限公司，四川 成都 610041）

0 引 言

視頻監控通過實時視頻采集、網絡通信、可視化呈現等方式，對物理世界進行感知和分析。隨著數字化的進展及安防事業的快速建設，視頻監控被越來越多地應用于平安城市、雪亮工程、樓宇安防、園區安防、家庭安防等領域[1]。5G 的正式商用[2]以及邊緣計算[3]等技術的逐漸成熟，標志著視頻監控有了更廣闊的應用空間。視頻監控將伴隨5G 的深入發展應用到國家、社會、人民生活的方方面面。

基于5G 邊緣計算的視頻監控應用前景良好，但同時也面臨各種安全威脅，存在視頻泄露、篡改破壞等安全風險，應當綜合應用密碼技術，構建安全體系，有效保證系統安全。本文對5G 邊緣計算及視頻監控抽取密碼需求，結合國產自主可控的商用密碼[4]，提出5G邊緣計算視頻監控密碼應用框架，研究設計關鍵密碼技術，確保系統應用安全。

1 現狀及需求

1.1 基于5G 邊緣計算的視頻監控

隨著新一代信息技術的推進，5G 已成為我國國家戰略。邊緣計算作為5G 的核心技術，通過融合網絡、計算、存儲、應用等核心能力，將5G 業務下沉到接入邊緣，就近提供邊緣智能服務，滿足行業數字化在敏捷聯接、實時業務、應用智能等方面的關鍵需求。

一直以來，視頻監控被廣泛應用于平安城市、雪亮工程、執行指揮等領域，發揮著安防保障、智能研判、犯罪取證等重要作用。5G+邊緣計算具備大帶寬、大連接、低時延等網絡能力，相比于傳統網絡（4G、固網等），能夠更好地承載視頻業務，并提供豐富的擴展功能，為視頻監控的應用發展帶來了全新機遇。

如圖1 所示，5G 邊緣計算賦能視頻監控體現在eMBB、mMTC、urLLC 三大方面。5G 邊緣計算能夠為視頻監控提供更高傳輸速率和更大帶寬的接入，承載每秒十億萬字節的視頻碼流，并支持高清、超高清的監控業務。5G 邊緣計算能夠接入超大規模、低性能、低能耗的IoT 監控設備，助力視頻監控的全面布局。5G 邊緣計算通過實時計算、視頻可視化等方式，滿足視頻監控在高實時、高精密、高智能等方面的需求。

圖1 5G 邊緣計算賦能視頻監控

基于5G 邊緣計算的視頻監控系統架構如圖2所示。海量異構的監控終端通過5G 接入網連接網絡。業務下層的邊緣計算平臺對高網絡質量（時延、帶寬、抖動）需求的監控業務提供實時計算、數據存儲、可視化等服務。而云端的視頻系統與邊緣計算平臺進行業務聯動，并對全局數據進行存儲、進行非實時運算、處理聯網應用等，為用戶提供豐富的監控服務。

1.2 密碼應用需求

伴隨5G 邊緣計算的發展以及視頻監控的廣泛應用，其安全問題日益凸顯，密碼應用需求顯得尤為迫切。目前，國內5G 邊緣計算的安全及密碼標準仍處于空白狀態。針對視頻監控的密碼標準也只有GB35114[5]，相關密碼及安全技術還處于研究狀態，并不成熟。本文結合當前5G 邊緣計算及視頻監控的發展趨勢以及實際的密碼使用情況，歸納出如下四方面的密碼應用需求：

（1）密碼與應用場景融合：基于5G 邊緣計算的視頻監控，相較于傳統的視頻監控，涉及更多的場景，如海量異構終端、差異化可視呈現、人工智能分析、大數據研判等。不同應用場景的密碼需求具有共性也具有差異性，在進行密碼應用時，應當充分考慮場景特點，對場景進行安全保護的同時不影響場景業務。

圖2 基于5G 邊緣計算的視頻監控系統架構

（2）密碼與信息技術融合：基于5G 邊緣計算的視頻監控引入了豐富的信息技術，如5G 網絡切片、邊緣計算、虛擬化、大數據、人工智能、流媒體等。對整個系統進行密碼應用時，應當充分結合新型信息技術的特點，做到信息技術融合創新的同時實現安全加固及增強。

（3）密碼與協議流程融合：在進行密碼應用時，應當充分考慮已有密碼協議（如5G AKA 認證、信令安全等）[6]，通盤梳理安全痛點及密碼需求，在需要處實施密碼防護，做到密碼技術不堆疊、有的放矢。另一方面，密碼技術應當與已有協議進行深度融合，做到協議安全增強的同時，盡量不影響業務流程，以此保證密碼技術的持續應用。

（4）密碼合規要求：5G、邊緣計算、聯網視頻監控均屬于國家重要信息系統基礎設施，其安全問題關系到國家安全和社會穩定。在實際應用中，應當以國產自主可控的商用密碼算法為基石，靈活可擴展地進行重構設計，保證安全合規的同時，達到高效、敏捷的目的。

2 密碼技術研究

2.1 總體框架

5G、邊緣計算等新一代信息通信技術極大地賦能視頻監控業務場景，促進視頻監控更加廣泛、深入、智能地服務應用。以密碼為核心構建5G 邊緣計算視頻監控的安全體系，就是要將安全以基因化形式注入5G 邊緣計算視頻監控場景中，有效保障開放網絡環境中的業務安全問題，確保視頻監控業務應用的安全可持續發展，為5G+視頻安全乃至5G+垂直行業安全提供密碼應用及安全范例，推動5G 產業的安全發展。基于5G 邊緣計算的視頻監控密碼應用框架如圖3 所示。

密碼應用框架以密碼基礎、密碼設備、密碼服務為支撐，在視頻監控終端、邊緣計算平臺、云平臺實施密碼安全防護，有力保障5G 視頻監控在智能城市、安防監控、消費監控、視頻AI 等領域的安全應用。

密碼支撐涵蓋密碼基礎、密碼設備、密碼服務三個方面。密碼基礎指的是國家密碼管理機構批準核實的密碼算法、密碼協議、密碼接口，即基于國產商用密碼的算法、協議及接口。密碼設備為部署在終端、邊緣、云端的密碼產品，包括密碼芯片、IP 核、密碼模塊、（云）密碼機、（云）密碼卡、密碼中間件等。密碼服務指的是密碼運算、密鑰管理、證書管理、統一信任等安全服務。

終端密碼應用指的是為攝像頭、IoT 監控設備等提供的設備身份認證、端視頻安全、監控安全接入、設備權限管控等密碼能力。

邊緣計算密碼應用包括節點安全、網絡安全、數據安全、應用安全、安全管理編排等方面的密碼應用。

云平臺密碼應用包括邊云密碼協同、統一密碼態勢、視頻業務安全等方面的密碼應用。

體系化梳理基于5G 邊緣計算的視頻監控密碼應用框架，分析得出應當在邊緣視頻加密、身份認證、高效密碼協同、可信免疫、安全隔離等方面的進行關鍵技術突破，實現安全體系的落地，切實保障邊緣監控業務的順利推進。

圖3 基于5G 邊緣計算的視頻監控密碼應用框架

2.2 邊緣視頻加密技術

針對視頻監控邊緣計算的業務特點，提出輕量級加密算法、輕量級加密策略、高性能加密模式三種邊緣視頻加密技術，以滿足不同場景的具體安全需求。圖4 對三種關鍵技術進行了總結。

圖4 邊緣視頻加密技術框架

輕量級加密算法：傳統的商用加密算法（SM1、SM4、ZUC 等）采用帶密鑰的多輪循環運算模式，安全級別高，同時運算開銷大。可以根據具體情況，通過適當調整商密算法結構、定制專用密碼算法、減少密鑰長度等方式，構建輕量級的加密算法，在保障適當安全性的同時，降低密碼運算、系統資源及能耗等方面的開銷，以適用廣分布、大連接、低成本的IoT 監控設備的安全應用需求。

輕量級加密策略：當處理較大碼率（10Mbps以上）的視頻時，可以對視頻數據進行編碼域選擇性加密，如加密I 幀全部數據、P/B 幀頭數據、參數集重要數據等方式，實現較低密碼開銷的同時保障視頻數據的機密性。此外，在某些場景中，可以通過預先產生加密密鑰流、預先加密非實時視頻等方式，對監控視頻進行預加密，以緩解實時加密的壓力。

高性能加密模式：面對高安全智能監控等應用場景，可以通過高并發多線程同時加密、多密碼部件協同加密等方式實現高性能的加密運算，以滿足大流量（20Mpbs 以上）、多碼流（2 路復用）的同時加密需求。

2.3 身份認證技術

5G 核心網面向業務應用提供認證功能。除此之外，可以將認證功能前移實現接入認證，或者構建二次認證體系實現再次認證。對于二次認證，根據邊緣計算及業務平臺的特點，認證可以駐留在邊緣網關、邊緣云、業務數據中心等不同的位置，以滿足實際認證在性能、時延等方面的需求。具體框架如圖5 所示。

圖5 身份認證技術框架

對于具體應用場景，輕量級認證協議、高并發認證流程、動態自適應心跳認證、加密與認證結合等相關技術也值得探討和進一步研究。

2.4 高效密碼協同機制

實際應用中，邊緣計算往往因為平臺自身的位置、規模、性能等因素，部署的密碼功能會受到一定限制，如無完整的非對稱密鑰管理機制、無跨域信任功能、加解密運算速率有限等等。

通過邊邊協同、邊云協同構建統一密碼協作機制，可以有效解決此類問題。圖6 描述了此種思想。邊緣計算平臺與邊緣計算平臺之間，建立邊邊協同機制，跨域的邊緣計算平臺能夠實現特定密碼資源、密鑰、證書、安全憑證的同步與共享。在業務高峰期，密碼能力低的邊緣計算平臺可以依靠其他邊緣計算平臺分擔密碼壓力，保證安全業務的正常運轉；在非業務高峰期，通過協同機制可以進一步降低全局密碼資源、基礎設施資源的消耗。邊緣計算平臺與云平臺之間，建立邊云協同機制。其中，云平臺實現整體密碼態勢、密碼資源調度、非實時密碼運算等功能，邊緣計算平臺實現終端安全交互、實時密碼運算等功能，雙方共享部分密碼資源、安全憑證。

圖6 高效密碼協同機制

2.5 可信免疫技術

基于可信計算技術[7]，對監控終端、邊緣計算平臺、云平臺建立可信免疫體系，保證設備計算環境、業務應用的安全可信，防止針對設備、節點、數據、業務的非法篡改和偽造。圖7 展示了邊緣計算平臺的可信免疫框架，分別從縱向、橫向兩個維度進行邊緣計算信任鏈傳遞，進而構建完整的可信體系。

圖7 邊緣計算可信免疫框架

縱向信任鏈傳遞指的是節點自身的可信驗證。分為邊緣節點的信任鏈傳遞以及邊緣管理的信任鏈傳遞。邊緣節點將自身的可信模塊作為信任根，首先對CPU 等核心硬件進行可信度量，然后可信引導、啟動BIOS、監視器及虛擬操作系統等資源，最后對提供的服務、運行的進程、承載的數據進行可信度量和完整性驗證，以此保證整個節點的安全可信。同樣地，邊緣管理也基于可信模塊，先后實現對CPU、BIOS、操作系統、配置/策略/資源池/應用編排等可信驗證，確保邊緣管理的可信。

橫向信任鏈傳遞，指的以節點為單位進行可信驗證，并確保整個邊緣計算平臺的可信。每個節點完成可信驗證后，在系統方進行可信注冊，一旦某個節點狀態異常，應當進行異常登記、狀態標識，并重新恢復。

2.6 安全隔離技術

邊緣計算往往伴隨云、虛擬化等應用，在進行安全防護時，應當基于密碼技術進行安全隔離，確保邊緣物理資源及虛擬資源的安全。如果邊緣計算平臺規模較大，存在著敏感區域及非敏感區域，可以使用網閘技術對物理網絡進行隔離，防止敏感信息外泄。由于輕量化部署原因，邊緣計算往往采用Docker 容器承載業務資源。Docker 容器基于進程安全，其隔離性較差，存在著非法資源訪問、數據泄露等風險，應當基于密碼技術實現Docker 安全域保護、Docker 資源訪問控制、敏感數據密碼保護等，保障Docker 虛擬化安全。

2.7 其他

面向基于5G 邊緣計算的視頻監控場景，其他的密碼技術還包括隱私保護、數據訪問控制、視頻防篡改重放、設備遠程管理等等。此外，在體系化安全設計時，還應當考慮安全態勢、安全可靠遠程升級、系統安全加固、抗DDoS、接口安全設計、系統安全自主可控等安全技術。

3 典型場景密碼應用

3.1 高安全智能監控場景

業務場景：高安全智能監控，具備智能分析、人物精準識別、圖像可視化等業務需求以及數據高安全需求，適用于重大活動保障、人工智能應用等行業領域。在該場景中，現場部署超高清智能攝像機（如4K/8K）,實現超高清視頻的實時采集；靠近攝像機的網絡接入側部署MEC 云平臺，進行實時視頻運算、存儲、可視化展示，在后端接入業務云平臺進行事后分析、研判和統一指揮。

密碼方案：如圖8 所示，在上行終端、MEC云平臺、業務云平臺、下行終端四個部分實施密碼應用。上行終端指的是現場的超高清攝像機。為攝像機內嵌高性能密碼芯片及高性能密碼模塊，構造入駐式一體化的高安全終端，支持多路高速密碼運算，能夠在源端對高清視頻進行安全保護。在MEC云平臺中構建統一密碼服務，為MEC 流媒體、存儲、分析、可視化賦能，實現視頻加密存儲、視頻解密使用、身份認證等密碼功能。業務云平臺基于統一密碼服務實現密碼功能，并與MEC 進行高效的密碼協作。下行終端指的是用戶大屏、客戶端等設備，通過配備密碼模塊實現視頻解密播放、 查看。

圖8 高安全智能監控場景密碼應用

3.2 分布式監控聯網場景

業務場景：分布式監控聯網，廣泛接入低性能的IoT 監控設備及通用攝像機，部分業務以服務器入駐形式下沉網絡邊緣，系統整體具備一定的輕量級安全需求。

密碼方案：如圖9 所示，重點解決接入側安全及邊緣計算的安全。對于接入側安全，提供調用式安全終端及接入式安全終端兩種思路。調用式安全終端，指的是密碼設備旁路部署，攝像機等終端按需調用密碼功能。接入式安全終端，指的是組群的監控設備共同接入安全網關，通過安全網關訪問5G 網絡。邊緣計算安全指的是為邊緣計算中的流媒體、設備管理、存儲等服務器配置密碼卡，并提供密鑰證書服務，保證邊緣計算平臺能夠進行身份認證、視頻加解密等。

圖9 分布式監控聯網場景密碼應用

4 結 語

本文面向基于5G 邊緣計算的視頻監控場景，進行密碼應用研究，分析5G 邊緣計算視頻監控的應用現狀與密碼需求，結合國產自主可控的商用密碼，提出基于5G 邊緣計算的視頻監控密碼應用框架，梳理邊緣視頻加密、身份認證、密碼協同、可信免疫等關鍵技術并進行研究論證，最后給出典型場景的密碼應用案例。本文提出的密碼應用思路具備體系化、高安全、可擴展等優點，具有較高的創新性和實用性，能夠為后續研究及工程實踐提供參考。