视频安全密钥服务系统

视频安全密钥服务系统是GB35114国家强制性标准中要求的公共安全视频监控联网信息安全系统的重要密码基础设施。系统由通过国家密码管理局检测中心认证的数字证书认证系统、密钥管理系统、硬件密码模块组成，提供用户和设备身份证书制发功能,支持证书及密钥的申请、签发、更新、注销、查询等功能，可为前端摄像头、用户、服务器、及视频监控安全管理平台提供证书签发、查询和验证等服务，并完成对视频密钥加密密钥VKEK和视频导出传输密钥VETK的管理，是GB35114要求的设备认证、用户认证、信令安全、视频签名及视频加密功能必须的密码支撑设施。
 

视频安全密钥服务系统严格遵循GB/T 25056-2018《信息安全技术 证书认证系统密码及其相关安全技术规范》、GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》等密码行业标准，能够满足GB35114《公共安全视频监控联网信息安全技术要求》中对视频安全密钥服务系统的要求。

图1-2 渔翁信息视频安全密钥服务系统结构图

渔翁信息视频安全密钥服务系统VSKS各组成部分功能如下：
 

（1）数字证书认证系统为视频摄像头、NVR、服务器和管理端用户提供证书签发、更新、下载、注销、查询等全生命周期管理，证书类型包括个人身份证书、设备证书、应用系统证书等，支持证书模板配置，CRL生成，日志的安全审计等功能。

（2）密钥管理系统有两个功能：1）用于为加密证书生成非对称密钥对,并进行密钥的全生命周期管理；2）用于进行视频密钥加密密钥VKEK和视频导出传输密钥VETK的全生命周期管理。

（3）硬件密码模块：提供加密证书密钥对、视频密钥加密密钥VKEK、视频导出传输密钥VETK的生成，以及为数字证书认证系统、密钥管理系统提供加密、解密、签名、验签等密码运算服务。

　　

1.身份认证
 

视频安全密钥服务系统可提供基于SM2算法和RSA算法的数字证书服务，包括用户身份认证、前端视频摄像头认证、服务器设备认证、管理平台间认证等多种身份认证服务，证书类型如下：

1）用户证书：用于对用户的身份认证；

2）前端设备证书：用于前端设备的身份认证以及对设备产生视频数据的数字签名；

3）服务器设备证书：用于服务器设备的身份认证；

4）管理平台证书：用于管理平台的身份认证。
 

2.密钥管理
 

视频安全密钥服务系统可提供证书加密密钥对、视频密钥加密密钥VKEK和视频导出传输密钥VETK全生命周期管理服务。

密钥种类包括：

1）证书加密密钥对：包括用户证书加密密钥对，前端设备、服务器设备、管理平台设备的证书加密密钥对。

2）视频密钥加密密钥VKEK：由视频安全密钥服务系统产生并分发给具有安全功能前端设备的对称密钥，按照一定的规律变化，用于对视频密钥进行加密，实现其传输的机密性保护。

3）视频导出传输密钥VETK

在视频导出过程中由视频安全密钥服务系统生成，用于对视频密钥进行加密，实现其导出的机密性保护。

3.密码运算
 

视频安全密钥服务系统提供密钥生成、加密、解密、签名、验签等基础密码运算服务。

4.证书验证
 

视频安全密钥服务系统提供视频数数字证书解析、验证功能。

5.权限管理
 

负责完成操作员的查询、新增、修改、删除，操作员授权以验证。

6.日志审计
 

完成对操作日志和系统日志的查询、审计功能。安全审计模块负责各个功能模块的运行事件检查、密钥申请统计等服务。

7.系统管理
 

系统参数配置：配置系统运行所需要的参数，包括证书服务接口配置、日志归档周期、密钥生成周期、密钥归档周期、数据备份周期、各种类型密钥的最大数量。

 

1.自主创新

视频安全密钥服务系统各组成部分均为渔翁自主研发，均通过国家密码管理局的认证。

2.合规性

视频安全密钥服务系统符合GB35114标准,全面支持国产SM1/2/3/4密码算法，密码运算均在符合国密局认证的硬件密码模块中实现；

3.安全性

视频安全密钥服务系统符合国标GB35114中对视频监控系统A、B、C三个安全等级要求；

4.高性能

视频安全密钥服务系统内置硬件密码模块，可实现高性能加解密运算、密钥生成等服务。

 

1.交通视频监控系统
 

交通视频监控系统遍布机场、铁路、港口、码头、汽车站、学校、医院、大型商贸中心、展览场馆、体育场所等，是保障城市交通运转安全的重要手段，对于加强安全防范和交通管理至关重要。根据GB 35114《公共安全视频监控联网信息安全技术要求》标准要求，视频监控系统需要应用密码技术，实现视频数据的真实性、完整性、机密性和抗抵赖性保护。

2.雪亮工程
 

雪亮项目是以县、乡、村级综合管理中心为指挥平台，以公安视频监控网络应用为依托的“群众治安防控工程”。

通过视频安全密钥服务系统可保障雪亮工程中公共安全视频监控更加可信可靠，实现视频数据的真实性、完整性、机密性和抗抵赖性保护。

3.平安城市
 

平安城市通过在城市重点道路、公共场所、要害部门、公共交通系统、社会和居民小区等构建视频监控系统，同时配合报入侵报警系统、出入口控制系统、广播系统等形成满足城市治安管理等需求的安全防范综合体。

视频安全密钥服务系统可应用于平安城市视频监控领域，实现实体身份真实、信令真实可靠、视频数据安全，最终实现符合GB 35114强制性国家标准。

视频安全密钥服务系统应用场景部署图如下：

图1-3 渔翁信息视频安全密钥服务系统应用场景

视频采集区

前端视频摄像头内置硬件密码模块，作为证书及密钥的载体，同时也负责视频加密密钥VEK的生成、以及加解密运算服务。

视频监控中心

1）部署视频安全密钥服务系统、服务器密码机、签名验签服务器，其中视频安全密钥服务系统来进行具有用户和设备身份证书制发功能,为视频监控安全管理平台提供证书签发、查询和验证等服务；服务器密码机用来进行视频流数据的加密、解密等密码运算；签名验签服务器用来进行视频流的签名、验签等服务。

2）各视频监控平台的服务器内置硬件密码模块，用来做证书及密钥的载体，同时进行基本的加解密运算功能。

3）视频监控客户端配备智能密码钥匙，用于管理人员登录使用。