GB 35114-2017 学习笔记

news2024/11/16 13:39:37

GB 35114-2017 学习笔记

第四章公共安全视频监控联网信息安全系统互联结构

在这里插入图片描述

公共安全视频监控信息安全系统

公共安全视频监控信息安全系统由四部分组成：

具有安全功能的前端设备 FDWSF(安全前端设备:Front-end Device With Safety Function)
具有安全功能的用户终端
视频安全密钥服务系统 (注：一个系统中有且仅有一个)
视频监控安全管理平台 (注：一个系统中有且仅有一个)

视频监控安全管理平台

中心信令控制服务器
信令路由网关
流媒体服务

互联方式

系统的级联方式依据GB/T 28181-2016方式，进行级联和互联

第五章证书和密钥要求

密码算法

非对称密码算法

非对称密码算法使用SM2椭圆曲线密码算法，用于身份认证、数字签名、密钥协商等；

对称密码算法

对称密码算法使用SM2、SM4分组密码算法 的OFB模式，用于视频数据的加密保护
对称密码算法使用SM4分组密码算法的ECB模式，用于密钥协商数据的加密保护；

密码杂凑算法

密码杂凑算法使用SM3密码杂凑算法，用于完整性校验；

随机数生成算法

随机数生成算法需要通过GM/T 0005-2012检测

数字证书类型

用户证书：用于对用户的身份认证；
前端设备证书：用于前端设备的身份认证以及对设备产生视频数据的数字签名；
服务器设备证书：用于服务器设备的身份认证；
管理平台证书：用于管理平台的身份认证。

数字证书格式

用户证书格式应符合GM/T 0015-2012中对证书格式和证书撤销列表(CRL)的规定
在这里插入图片描述

密钥种类

非对称密钥

管理平台内功能实体的签名公私钥和加密公私钥、
FDWSF(安全前端设备:Front-end Device With Safety Function)签名公私钥、
具有安全功能的用户终端签名公私钥
等

对称密钥

视频密钥加密密钥 => VKEK:视频密钥加密密钥(Video Key Encryption Key)
视频加密密钥 => VEK:视频加密密钥(Video Encryption Key)
等。

第六章基本功能要求

统一编码规则

详见GB/T 28181-2016 附录D
请添加图片描述

身份认证要求

用户身份认证

B/S客户端基于数字证书的用户身份认证流程应按照 GB/T 15843.3-2008执行
C/S客户端应采用基于SIP协议的双向身份认证模式进行用户身份认证

设备身份认证

管理平台应对所有接入的FDWSF(安全前端设备:Front-end Device With Safety Function)进行单向设备身份认证或者双向设备身份认证。

管理平台间认证

管理平台互联互通时应进行管理平台间的双向身份认证。

身份认证方式

单向身份认证

在这里插入图片描述

双向身份认证

在这里插入图片描述

前端设备分级

A级应基于数字证书与管理平台双向身份认证的能力，达到身份真实目标。
B级应具备基于数字证书与管理平台双向身份认证的能力和对视频数据签名的能力，达到身份真实和视频来源于真实设备，能够校验视频内容是否遭到篡改的目标。
C级应具备基于数字证书与管理平台双向身份认证的能力、视频数据签名能力和视频数据加密
能力，达到身份真实和视频来源于真实设备，能够校验视频内容是否遭到篡改，能够达到对视频内容加密保护目标。

在这里插入图片描述

控制信令认证

在SIP消息头域中，启用Date域，增加Note域, Note=(Digest nonce=“”, algorithm=“”)， nonce的值为杂凑运算结果经过Base64编码后的值，algorithm的值为杂凑算法名称。
跨域访问时，外域的信令添加 Monitor-User-Identity头域，其取值为信令安全路由网关ID和用户的身份信息；若该信令不是由本域的用户发起，则只在原有Monitor-User-Identity域值前添加信令安全路由网关ID；各段分隔符为 “-”。用户的身份为用户ID以及用户身份属性信息（用户身份属性信息包括：用户隶属机构属性、用户类别属性和用户职级属性）
在这里插入图片描述

视频源签名域完整性校验

所有B级和C级FDWSF(安全前端设备:Front-end Device With Safety Function)应对采集的视频进行视频数据签名操作并基于TCP协议进行传输。
所有B级和C级FDWSF(安全前端设备:Front-end Device With Safety Function)应支持对视频Ｉ帧及其他关键帧的签名。
管理平台应支持对视频数据签名结果的接收、存储和验证，实现视频源的抗抵赖及完整性校验。