鐵路綜合視頻監控系統升級方案研究

邢世陽

目前的鐵路綜合視頻監控系統是基于《鐵路綜合視頻監控系統技術規范》（Q/CR 575—2017，以下簡稱575文）來實現的［1］。雖然此規范對鐵路綜合系統的發展、互聯起到重要作用，但同時也要看到在鐵路視頻監控系統實際運行中，信令、視音頻等數據在網絡傳輸中基本都處于“裸奔”狀態，存在安全隱患。2018年11月1日，國家標準《公共安全視頻監控聯網信息安全技術要求》（GB 35114—2017，以下簡稱GB 35114）正式實施［2］，這是我國首個針對視頻監控聯網信息安全的技術標準；《公共安全重點區域視頻圖像信息采集規范》（GB 37300—2018）于2020年1月1日開 始 實 施，對重點公共區域包括鐵路車站、港口的出入口、售票大廳、候車大廳等開放區域，要求采集設備至少達 到GB 35114的A級 標準［3］。因 此 按 照 相關 標 準要求對現有的鐵路綜合視頻監控系統進行升級改造勢在必行。本文對GB 35114標準的實施進行探討。

1 GB 35114標準

GB 35114標準規定了公共安全領域視頻監控聯網視頻信息，以及控制信令信息安全保護的技術要求，適用于公共安全領域視頻監控系統的信息安全方案設計、系統檢測及與之相關的設備研發與檢測，該標準是加強公共安全視頻監控領域信息安全的重要技術依據［2］。

1.1 主要要求

1）基于國密算法和數字證書的身份認證，包括設備與平臺之間、平臺之間、用戶與平臺之間的身份認證。

2）控制信令的認證。

3）重要視音頻數據的認證與保護。

4）管理方面要求，包括授權與訪問控制、密鑰管理、安全管理、日志管理、設備異常管理。

1.2 保護等級

依據保護強度，將具有安全功能的前端設備由弱到強分為A、B、C3個等級。

A級，應基于數字證書與管理平臺雙向身份認證，達到身份真實目標。

B級，應具備基于數字證書與管理平臺雙向身份認證的能力和對視頻數據簽名的能力，確保身份真實和視頻來源于真實設備，能夠達到校驗視頻內容是否遭到篡改的目標。

C級，具備基于數字證書與管理平臺雙向身份認證的能力、視頻數據簽名能力和視頻數據加密能力，確保身份真實和視頻來源于真實設備，能夠校驗視頻內容是否遭到篡改，達到對視頻內容加密保護的目標。

對于B、C級，視音頻編解碼格式須采用SVAC標準，即《公共安全視頻監控數字視音頻編解碼技術要求》（GB/T 25724—2017）［4］。該標準是專門應用于安全防范視頻監控技術領域的數字視音頻編解碼技術標準，不僅對視頻編解碼有明確定義，而且還對視頻編碼的安全參數、應用數據格式等都作出了明確定義。

1.3 實現算法

實現GB 35114這些要求，需要使用國密算法進行實現，國密算法是國家密碼局制定標準的一系列算法。GB 35114標準主要使用以下3個算法。

1）SM2橢圓曲線公鑰密碼算法［5］。該算法是一種非對稱加密算法，用于數字簽名、驗簽、公鑰加密、私鑰解密，一般使用256位，其安全強度高于使用2 048位的RSA算法。

2）SM3密碼雜湊算法［6］。該算法用于計算消息摘要，計算出的消息摘要為256位。

3）SM4分組密碼算法［7］。該算法是一種對稱加密算法，主要用于對稱加解密，密鑰長度和分組長度為128位。

2 實施方案

2.1 既有系統架構

目前，鐵路綜合視頻監控系統由核心、區域、Ⅰ類節點三級組成［1］，這三級是獨立的鐵路綜合視頻監控平臺。按照575文中定義，視頻平臺間通過鐵標C接口級聯，用戶終端通過鐵標A接口訪問視頻平臺，視頻平臺與前端設備間不做具體要求，可以 通 過ONVIF［8］、GB/T 28181［9］等 多 種 方 式 對接，外接系統與視頻平臺間采用A/B/H接口，575文將B接口定義為GB/T 28181，H接口為后臺聯動接口。鐵路綜合視頻系統架構見圖1。

2.2 安全平臺架構

圖1 鐵路綜合視頻系統架構

目前接入核心的有18個區域節點，每個區域下又有若干Ⅰ類節點，接入的總路數近20萬。為了不影響目前的系統運行，新建或改造的視頻平臺需考慮后向兼容性。考慮到鐵路系統的兼容和互聯需要，視頻平臺要同時實現鐵標協議（575文中A、C接口協議）和國標協議（GB/T 28181）。鐵路綜合視頻安全平臺架構見圖2。

安全平臺內各模塊功能如下。

1）鐵標信令服務實現鐵標A、C接口，即對終端、平臺的上下級提供接口服務。

2）國標信令服務對外提供標準GB/T 28181、GB 35114的標準協議接口。

3）配置服務對平臺內的設備進行配置管理。

4）媒體分發服務實現接收、轉換、發送媒體功能，須同時支持鐵標、國標等媒體格式。

5）設備接入服務實現視頻平臺和前端設備的接入功能。

6）存儲服務根據平臺配置情況對視頻流進行存儲。

今年是中國改革開放40周年。中國將堅定不移全面深化改革，堅持對外開放基本國策。中國愿同亞太各方深化數字經濟合作，培育更多利益契合點和經濟增長點，為亞太經濟注入強大新動能。中國將同各國一道，堅持共商共建共享，高質量、高標準、高水平建設“一帶一路”，為亞太和世界各國人民創造更大發展機遇。

7）服務器密碼機負責對稱密鑰存儲及視頻流的加解密。

8）簽名驗簽服務器負責非對稱密鑰存儲及簽名驗簽。

與目前的系統對比：平臺增加了簽名驗簽服務器、服務器密碼機，并接入視頻安全密鑰服務系統；用戶終端增加智能密碼鑰匙（Ukey）；前端設備升級為具有安全功能的前端設備（以下簡稱FDWSF）。

圖2 鐵路綜合視頻安全平臺架構

視頻安全密鑰服務系統，作為鐵路綜合視頻監控系統的重要密碼基礎設施，須由國家密碼管理局檢測中心認證的數字證書系統（或稱CA系統）、密鑰管理系統、硬件密碼模塊組成；為用戶、前端設備、視頻平臺提供證書的簽發、查詢、驗證服務，并對VKEK（視頻密鑰加密密鑰）和VETK（視頻導出傳輸密鑰）進行管理；需遵循《信息安全技術證書認證系統密碼及其相關安全技術規范》（GB/T 25056—2018），以及《基于SM2密碼算法的證書認證系統密碼及其相關安全技術規范》（GM/T 0034—2014）。

簽名驗簽服務器，為視頻平臺提供簽名、驗簽服務和基于數字證書的加解密服務，須遵循《簽名驗簽服務器技術規范》（GM/T 0029—2014）。

服務器密碼機，用于視頻流的加解密，須遵循《服務器密碼機技術規范》（GM/T 0030—2014）。

Ukey用于用戶終端的私鑰存儲和簽名驗簽，須通過國家密碼管理局鑒定。

2.3 實現中的問題

1）鐵標與國標要求的設備ID編碼不同。575文定義的ID由16位十六進制的字符組成，包括位置編碼、類型碼和序列編碼［1］。GB/T 28181定義的ID由20位數字組成，包括中心編碼、行業編碼、類型編碼和序號［9］。在鐵路綜合視頻監控平臺內需對2種編碼進行管理，內部對其一一對應，在鐵標協議下使用鐵標編碼，在外接國標系統時使用國標編碼。

2）鐵標協議對安全功能支持問題。575文中定義的鐵標協議中的A、C接口采用SIP+XML的協議格式及RTP擴展媒體流格式［1］，而國標GB/T 28181采用SIP協議格式及RTP+PS的媒體流格式［9］，二者有類同之處，又存在較大差異。GB 35114中的信令是基于GB/T 28181擴展的，575文中沒有國密證書的相關內容及要求，考慮到當前A接口、C接口的兼容問題，依據GB 35114的協議內容對鐵標協議中的A、C接口進行擴展，以支持鐵標協議下的身份認證、信令認證、視音頻的加密保護。當通信雙方都支持擴展接口時則啟用安全功能。

3 方案實現

3.1 基于國密數字證書的身份認證

證書產生前，需先在硬件安全設備（簽名驗簽服務器、Ukey、加密卡）中生成SM2密鑰。由于SM2私鑰是無法從這些安全設備中導出的，所以保證了密鑰安全性。使用SM2的公鑰、名稱、SM2的私鑰簽名等相關信息生成證書請求，再由CA系統對證書請求進行驗證并簽名生成數字證書。簽名驗簽服務器、Ukey、FDWSF在使用前都需配置國密證書。視頻平臺和Ukey使用雙證書，即簽名證書和加密證書，簽名證書用于驗簽，加密證書用于加密，CA系統需備份加密私鑰。FDWSF使用單證書，即簽名證書和加密證書為同一證書。CA系統分為多級，下級CA證書由上級CA系統簽發，所以證書的認證是鏈式的，每級的證書都需用上級證書驗證，直至可信任的根證書，構成完整的信任鏈。

身份認證是在雙方發出的隨機數的基礎上，加上ID信息，用私鑰生成簽名，對方以證書的公鑰驗證簽名正確，即確定對方身份。這里以視頻終端與平臺間的身份認證為例進行說明。

1）視頻終端向平臺的信令服務發起注冊請求，攜帶能力、算法參數、終端ID、平臺ID等關鍵參數信息。

2）信令服務調用簽名驗簽服務產生隨機數，并經base64編碼，向用戶終端響應401（未授權），并在SIP頭攜帶生成的隨機數、認證方式等關鍵參數信息。

3）視頻終端再次向平臺的信令服務發起注冊請求，攜帶Ukey生成的隨機數、平臺回應的隨機數、終端ID、平臺ID、簽名字符串等參數。簽名字符串，由終端隨機數、平臺隨機數、平臺ID合成之后，經Ukey中的私鑰簽名，再經base64編碼而得。

4）平臺的信令服務收到注冊請求，通過簽名驗簽服務向視頻安全密鑰服務系統查詢該終端的國密證書，使用其證書驗證注冊請求中簽名的正確性，并且需驗證平臺隨機數是在正確的時間段內第一次使用；如果以上都正確，簽名驗簽服務隨機生成VKEK，使用終端的加密證書公鑰對其加密并進行base64編碼；然后，對平臺隨機數、終端隨機數、終端ID、VKEK的加密編碼串進行簽名，簽名項經base64編碼，信令服務攜帶以上信息向終端響應200（OK）。

5）視頻終端收到平臺的正確響應后，使用平臺證書驗證其正確性，即終端隨機數使用時間段、次數的正確性；如果正確，從響應參數中獲取VKEK的密文，使用Ukey的加密私鑰解密出VKEK。

575文中的注冊采用用戶名密碼的方式，未定義國密證書身份認證的協議，鐵標A、C接口上注冊 協 議（A接 口CuRegister、C接 口SaRegister），加入GB 35114中定義身份認證的SIP必要的字段（WWW-Authenticate、Authorization、SecurityInfo）。這與GB 35114內容定義完全一樣［2］，當不攜帶這些字段時與目前功能一樣；當使用這些字段時，這些字段攜帶相應的國密證書身份認證信息。

3.2 信令認證

身份認證完成時，注冊方獲取并正確解密了VKEK，雙方在信令通信時對VKEK和信令進行SM3雜湊計算，并在信令攜帶雜湊值；對方在收到信令時也重新計算一次，如果雜湊值一致，說明信令來源可信。

575文定義的A、C接口都是使用SIP+XML格式信令，所以在SIP請求頭和響應頭，都加入GB 35114定義的Date和Note字段。Date字段為日期，Note字段攜帶nonce和algorthim 2個屬性，nonce值為計算的雜湊值的base64編碼，計算方法同GB 35114的要求保持一致。

3.3 視頻的認證與保護

當接入B、C級的FDWSF時，視音頻采用SVAC編碼方式，B級FDWSF對產生的視頻進行簽名，C級FDWSF對視頻進行加密并簽名。用戶終端需增加SVAC視音頻解碼庫。視頻平臺收到視音頻時，需要對視頻進行驗簽，并存儲VKEK。

這里對C級FDWSF接入平臺的相關流程進行介紹。

1）對FDWSF進行配置，包括安全平臺的接入服務地址、證書等信息，FDWSF通過國標協議（GB/T 28181+GB35114）注冊到平臺接入服務，注冊成功即雙方身份認證通過。

2）平臺的接入服務向FDWSF發起SIP協議INVITE請求，并攜帶信令認證信息，通知媒體服務準備接收來自FDWSF的視頻流。

3）FDWSF驗證INVITE請求的認證信息，如果正確，攜帶VKEK的密文及版本號響應200（OK），并開始發送視頻流到指定的媒體服務。

4）接入服務通過簽名驗簽服務器的加密私鑰進行VKEK解密，將VKEK保存到服務器密碼機中，并將VKEK備份到視頻安全密鑰服務系統中。

5）平臺內的媒體服務需調用加密驗簽服務，使用FDWSF的證書，驗證視頻流的簽名是否正確，存儲服務對視頻流以密文方式保存。

6）當用戶終端調看時，會向信令服務發送指令，信令服務調用密碼機用終端證書對VKEK加密，向用戶終端回應媒體服務地址和VKEK密文。

7）用戶終端調用Ukey私鑰解密VKEK，從媒體服務獲取加密視頻，使用FDWSF的證書進行驗簽，以確保視頻沒有被篡改；依據視頻碼流中的安全參數，取出VKEK版本號、VEK（視頻加密密鑰）密文，根據VKEK版本號使用相應VKEK解密出VEK，再使用VEK解密視頻后進行解碼播放。

8）當攝像機更新VKEK時，平臺需通知查看該攝像機實時視頻的用戶終端更新VKEK。

當播放C級視頻時，除對視頻請求的相應協議進行信令的認證外，還需對575文中A接口中的PlayStart、HisPlayStart、HisLoadStart 3條 協 議 和C接口的INFO、HisInfo、HisLoadInfof 3條協議進行擴展，需在回應的XML的parameters項中增加VKEK項，其包含VKEK密文的base64編碼及版本號，另需增加更新VKEK的協議。

4 結束語

鐵路綜合視頻監控系統的安全防護，之前基本以網絡防范為主，而GB 35114是真正保證視頻信息安全的標準，本文通過對GB3 5114相關要求的研究，提出現有的綜合視頻系統實施GB 35114的方案，以滿足相關標準要求，為后續鐵路綜合視頻監控系統的安全升級提供參考。