1、TECHNOLOGY of APPLICATIONT技术应用722022.11 文/王延勇孙晓东施清平周文博广东中星电子有限公司基于 SVAC 安全加固网关对铁路视频监控系统改造升级的研究铁路视频监控系统涉及国家大动脉的安全,重要性逐年提升。现有系统和设备难以满足日益增长的安全性要求,全面改造升级又需要承担巨大的技术和资金成本。本文提出一种通过在前端摄像机侧部署安全加固网关设备的方法,把已建不同品牌、不同种类的摄像机,不同格式输出的视频协议,统一为满足 GB/T 28181 国家标准的协议格式1,并根据GB 35114 标准2,对一些重点点位按其安全等级进行分类管控,实现视频加密等安全功能,加
2、密后的视频码流单独上传到 GB 35114 安全支撑平台,只有获得权限、并拥有对应Ukey 的用户才可以解密播放视频,大幅提高重大安保等场景下的视频监控数据安全性。这种方案的优势在于:视频监控系统在整体架构不做大幅改动的情况下,实现了安全等级升级;可以有针对性地对视频监控重点点位进行升级,可以兼容原有的网络拓扑结构;改造成本低,部署灵活。其为整个铁路系统的安全性提升提供了一种新的探索。一、基于 SVAC 安全加固网关铁路视频监控系统改造升级的必要性铁路视频监控系统部署规模近年来快速增长,铁路综合视频监控系统管理的摄像机已超过 20 万路,随着新建高铁线的持续增长,智能化、安全性的需求还会持续提
3、升。铁路综合视频监控网络的摄像机覆盖铁路沿线和车站、控制中心等各类设施,设备数量庞大、种类繁多,很多设备接口协议不统一,网络和应用架构复杂。传统以边界防护为核心的安全技术无法完全解决安全问题,一旦出现信息安全事件后果严重。1.信息安全事故的严重后果(1)敏感视频泄露风险。铁路是国家的大动脉,不仅承担了海量人员和物资运输的任务,也承担了包括军事装备在内的敏感物资运输功能。在这些重大安保场景下,包含敏感信本论文受中国国家铁路集团有限公司科技研究开发计划项目(K2020W002)资助,特此致谢。栏目主持:唐涛 E-mail:732022.11息的视频一旦被窃取,将导致严重后果。(2)视频无法访问。铁
4、路综合视频监控是应对重大安保或突发事件的关键手段,一旦关键设施、设备被攻击导致视频中断,将严重影响各级部门处置能力和效率。(3)关键视频丢失。视频录像已经成为还原各类事件、事故或者故障现场的关键资源,如果因为网络入侵等原因丢失关键视频,不仅严重影响原因分析和判断,也将严重影响铁路系统的声誉。为解决视频监控系统的安全问题,国家出台了基于国产密码技术的视频监控安全标准GB 35114-2017公共安全视频监控联网信息安全技术要求。该标准是具有我国自主知识产权,针对公共安全视频监控联网建设的一部基础性、通用性技术标准,基于国密算法的证书认证和密钥管理体系,实现了视频监控前端设备与视频监控管理平台间的
5、双向身份认证、基于数字证书的用户身份认证、信令完整性检验、视频数据加解密等密码应用,从而防止设备和用户的非法接入,防止信令和视频数据被篡改、抵赖,防止视频内容被窃取,最终满足视频监控系统“防入侵、防篡改、防泄露”的安全需求。2.GB 35114 的关键技术及对应解决的安全问题GB 35114 的关键技术及对应解决的安全问题如下3:(1)基于国密算法和部件的数字证书设备身份认证技术,有利于确定设备身份,解决设备替换和私接乱接问题。(2)基于密钥的信令认证,解决摄像头被随意遥控问题。(3)基于数字签名技术,保障重要视频数据的真实性、完整性,解决视频证据的可信度问题。(4)基于数字证书用户认证管理,
6、解决未授权用户访问视频信息问题。(5)采用基于视频帧的端到端视频加密保护,解决视频监控系统重要视频数据安全性问题。现有铁路综合视频监控系统已部署了大量系统和设备,但大部分都无法符合 GB 35114 标准要求。如何在兼容现有设备、系统的基础上向以 GB 35114、可信计算为核心的安全体系过渡,是当前亟需解决的难题。本文即是通过中星微技术新开发的安全加固网关设备来满足铁路视频监控系统对整体安全性的升级需求。二、安全加固网关主要功能安全加固网关是中星微技术采用自主知识产品的芯片开发的一款嵌入式产品。前端摄像机通过安全加固网关的下联以太网端口接入后,该设备通过解析网络协议来提取控制数据和视频数据,
7、有三种处理模式:一是对于前端摄像机的控制命令如 PTZ、图像参数配置等信息,通过 GB 28181 进行转发透传到上层平台,实现平台到前端摄像机的无感连接。二是当安全加固网关配置为 GB 35114 C 级模式时,会对前端摄像机传来的 H.264/H.265 码流进行转码,转换为 SVAC2.0 标准编码的视频数据4,并通过板载的安全加密芯片,对这些视频数据进行签名和加密,签名和加密后的视频数据流再通过安全加固网关的上联以太网端口上传到平台。三是当安全加固网关配置为 GB 35114 A 级模式时,则只实现该设备与上层平台之间进行双向身份认证和信令验证,不再进行 H.264/H.265 到 S
8、VAC2.0 的转码和视频数据签名、加密等操作。TECHNOLOGY of APPLICATIONT技术应用742022.11三、基于安全加固网关的铁路视频监控系统部署安全加固网关串联在普通摄像机与视频监控平台之间,可灵活配置为两种平台对接方式:一是在系统安全性要求较低时,安全加固网关直接通过 GB/T 28181 方式对接上级平台,如图 1 中虚线所示。这种方式可以实现对前端不同摄像机不同种类的码流的标准化,例如 ONVIF/RTSP 等协议转换为标准GB/T 28181 的码流上传平台,视频码流格式仍然延续前端摄像机的编码格式(H.264/H.265)。二是在系统安全性要求较高时,比如涉及
9、国家安全的特殊活动期间,安全加固网关配置为 GB 35114 的方式对接安全支撑系统。这种场景下视频数据转码为国标 GB/T 25724(即 SVAC2.0)的视频编码标准,安全加固网关对视频码流进行签名和加密,从而实现 GB 35114 最高安全等级 C 级的标准。四、物理系统搭建安全加固网关在部署时通常采用抵近摄像机安装的方式,建议安装在设备箱内部或者机房内。图 2 是中星微技术开发的安全加固网关,型号为 VS-GW8001S。图 1 基于安全加固网关的铁路视频监控系统部署图 2 安全加固网关及其部署位置栏目主持:唐涛 E-mail:752022.11抵近安装可以很好地利用现有的硬件资源,
10、现场施工量小、部署方式简单,可复用原来设备箱内的供电和网络资源。另外由于安全加固网关安装在箱体内,防水、防雷等可靠性问题都能够很好地解决。抵近安装后,安全加固网关与原有的摄像机可以视为一台具备 GB 35114 C 级安全能力的安全摄像机,对外整体上具备身份认证、信令认证、视频签名和视频加密功能。在摄像机替换成本较高时,通过加装安全加固网关,可以以较低成本实现前端摄像机安全能力升级。五、安全加固网关内部功能模块图 3 介绍了安全加固网关内部功能模块的各主要功能和数据流,IPC 和网关的 IP 地址是物理隔离的,不需要为网关预留单独的 IP 地址,更方便安装。安全加固网关由嵌入式系统实现,主要的
11、硬件组成部分为电源、网络接口模组、编码模组和解码模组。基于中星微技术的 VCO718P 芯片的嵌入式系统实现 SVAC 编码模组,同时也负责整个系统的主控操作,网络协议处理。模组内嵌入满足国密标准的安全芯片,可以实现 GB 35114 A、B、C 各等级安全相关加解密操作。解码模组采用基于瑞芯微 RK1126 芯片的 H.264/H.265 解码模组,负责前端摄像机输出的视频码流解析,以及前端摄像机 GB 28181 控制命令的解析和转发。H.264/H.265 视频解码能力达到 4K 分辨率 30fps,可以满足市面上 90%以上的摄像机的解码需求。视频码流输出可以达到 SVAC2.0 40
12、0 万 30fps。输出电源和接口网络模块负责整个系统的供电和网络协议的处理。设备采用 DC12V 供电,同时兼容 AC24V,可以跟现有 90%以上的摄像机共用电源,从而降低整体的改造成本。六、物联网信息和智能化功能扩展现在普通的摄像机大多采用H.264或H.265视频编码标准,这两种编码标准是国际通用数字视频压缩标准,人脸图片等智能分析结果和物联网数据(传感器数据)与视频流分开传输,数据无法实现关联。而通过安全加图 3 安全加固网关内部功能模块TECHNOLOGY of APPLICATIONT技术应用762022.111 GB/T 28181-2016,公共安全视频监控联网系统信息传输、
13、交换、控制技术要求 S.2 GB 35114-2017,公共安全视频监控联网信息安全技术要求 S.3 栗红梅,施巨岭.GB 35114-2017公共安全视频监控联网信息安全技术要求J.标准生活,2018(7):4.4 GB/T 25724-2017,公共安全视频监控数字视音频编解码技术要求 S.参考文献图 4 安全加固网关的扩展信息和智能化应用固网关可以扩展物联网传感器数据(比如 GPS、烟雾、温湿度、报警信息等)作为监控扩展信息插入视频码流中同步编码传输,并精准匹配。另外安全加固网关可以充分利用自身的智能运算能力,对前端非智能摄像机进行智能化改造,实现人脸抓拍和视频结构化数据抓拍,并将结果打
14、包到 SVAC 编码码流的扩展信息帧,实现物联网数据、智能分析数据与视频图像数据的关联,为后端平台大数据分析提供重要技术支撑。七、结语本文从硬件系统搭建、功能模块构成,网络部署结构以及物联网扩展智能化扩展等方面对铁路视频监控系统安全升级进行了全方位讨论。经局部系统的改造试点证明,这种架构确实可以解决现有成熟视频监控系统安全升级的问题,可以作为国家推广信息安全的一个示范。在实际试点的调试中也发现需要提升几方面的性能:一是前端摄像机的兼容性。尽可能对各种厂家各种品牌的设备进行兼容设计,防止出现部署不良的问题。对一些复杂设备如枪球联动等多码流系统进行适应。二是降低设备成本。可以通过大批量生产和布署,降低整体的改造费用。三是提升智能化功能。需要充分发挥前端智能芯片的算力,对人脸抓拍或视频结构化性能做更进一步的提升,使非智能摄像机变成智能摄像机,使原本具有一定智能功能的摄像机性能更加强大。