GB 35114-2017 学习笔记(规避版权阉割版)
openstd.samr.gov.cn 国家标准全文公开系统
这个政府网站提供GB 35114-2017标准的的预览和下载,有需要的自行下载
GB 35114-2017作为一个国家强制标准,在国家标准全文公开系统
自己做个学习笔记,摘录了部分图片被版权投诉了。
万恶的资本,无奈只能删除所有图片分享给大家了,
图片部分替换成GB 35114-2017标准中的图片编号,请大家谅解。
具体下载地址如下
GB 35114-2017: https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=B7F5589329EF98B32F0EB8ACEC341C81
有能耐,投诉政府网站去。
注:我只做了A级设备,主要对A级相关内容进行了笔记。
B级和C级内容只是主要描述SVAC编码怎么添加签名和数据怎么加密的,
市面是上SVAC编码也不是公开的,都是收费提供的方案,
能做BC级别开发的人,必然有技术支持。
所有关于BC级大部分只是摘录,有需要的建议大家直接看标准文档。
第四章 公共安全视频监控联网信息安全系统互联结构
阉割内容【图1 公共安全视频监控信息安全系统互联结构示意图】
公共安全视频监控信息安全系统
公共安全视频监控信息安全系统由四部分组成:
- 具有安全功能的前端设备 FDWSF(安全前端设备:Front-end Device With Safety Function)
- 具有安全功能的用户终端
- 视频安全密钥服务系统 (注:一个系统中有且仅有一个)
- 视频监控安全管理平台 (注:一个系统中有且仅有一个)
视频监控安全管理平台
- 中心信令控制服务器
- 信令路由网关
- 流媒体服务
互联方式
系统的级联方式依据GB/T 28181-2016方式,进行级联和互联
第五章 证书和密钥要求
密码算法
a) 非对称密码算法使用 SM2 圆曲线密码算法用于身份认证数字签名、密协商等;
b) 对称密码算法使用 SM1、SM4 分组密码算法 OFB 模式,用于视频数据的加密保护。
b) 使用 SM4 分组密码算法 ECB 模式,用于密钥协商数据的加密保护;
c) 密码杂凑算法使用 SM3 密码杂凑算法,用于完整性校验;
d) 随机数生成算法生成的随机数应能通过 GM/T 005-2012 中规定的方法进行检测。
非对称密码算法
- 非对称密码算法使用SM2椭圆曲线密码算法,用于身份认证、数字签名、密钥协商等;
对称密码算法
- 对称密码算法使用SM2、SM4分组密码算法 的OFB模式,用于视频数据的加密保护
- 对称密码算法使用SM4分组密码算法的ECB模式,用于密钥协商数据的加密保护;
密码杂凑算法
- 密码杂凑算法使用SM3密码杂凑算法,用于完整性校验;
随机数生成算法
- 随机数生成算法需要通过GM/T 0005-2012检测
数字证书类型
- 用户证书:用于对用户的身份认证;
- 前端设备证书:用于前端设备的身份认证以及对设备产生视频数据的数字签名;
- 服务器设备证书:用于服务器设备的身份认证;
- 管理平台证书:用于管理平台的身份认证。
数字证书格式
用户证书格式应符合GM/T 0015-2012中对证书格式和证书撤销列表(CRL)的规定
阉割内容【表A.1 设备证书格式定义】
密钥种类
非对称密钥
- 管理平台内功能实体的签名公私钥和加密公私钥、
- FDWSF(安全前端设备:Front-end Device With Safety Function)签名公私钥、
- 具有安全功能的用户终端签名公私钥
- 等
对称密钥
- 视频密钥加密密钥 => VKEK:视频密钥加密密钥(Video Key Encryption Key)
- 视频加密密钥 => VEK:视频加密密钥(Video Encryption Key)
- 等。
第六章 基本功能要求
统一编码规则
详见GB/T 28181-2016 附录D
身份认证要求
用户身份认证
B/S客户端基于数字证书的用户身份认证流程应按照 GB/T 15843.3-2008执行
C/S客户端应采用基于SIP协议的双向身份认证模式进行用户身份认证
设备身份认证
管理平台应对所有接入的FDWSF(安全前端设备:Front-end Device With Safety Function)进行单向设备身份认证或者双向设备身份认证。
管理平台间认证
管理平台互联互通时应进行管理平台间的双向身份认证。
身份认证方式
单向身份认证
阉割内容【图C.1】 单向身份认证报文交互流程图
阉割内容【章节D.1】 单向身份认证报文交互内容
双向身份认证
阉割内容【图C.2】 双向身份认证报文交互流程图
阉割内容【章节D.2】 双向身份认证报文交互内容
前端设备分级
- A级应基于数字证书与管理平台双向身份认证的能力,达到身份真实目标。
- B级应具备基于数字证书与管理平台双向身份认证的能力和对视频数据签名的能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改的目标。
- C级应具备基于数字证书与管理平台双向身份认证的能力、视频数据签名能力和视频数据加密
能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改,能够达到对视频内容加密保护目标。
阉割内容【表1 前端设备分级】
规避版权,自己也画一个,没有了张屠夫,还吃不上猪肉么?
| 等级 | 应基于数字证书与管理平台双向身份认证的能力,达到身份真实目标 | 基于数字证书对视频数据签名的能力,达到身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡改的目标 | 基于数字证书视频数据加密能力,能够达到对视频内容加密保护目标 |
|---|---|---|---|
| A级 | √ | - | - |
| B级 | √ | √ | - |
| C级 | √ | √ | √ |
控制信令认证
在SIP消息头域中,启用Date域,增加Note域, Note=(Digest nonce=“”, algorithm=“”), nonce的值为杂凑运算结果经过Base64编码后的值,algorithm的值为杂凑算法名称。
跨域访问时,外域的信令添加 Monitor-User-Identity头域,其取值为信令安全路由网关ID和用户的身份信息;若该信令不是由本域的用户发起,则只在原有Monitor-User-Identity域值前添加信令安全路由网关ID;各段分隔符为 “-”。用户的身份为用户ID以及用户身份属性信息(用户身份属性信息包括:用户隶属机构属性、用户类别属性和用户职级属性)
阉割内容【图C.4】 控制信令认证交互流程
视频源签名域完整性校验
- 所有B级和C级FDWSF(安全前端设备:Front-end Device With Safety Function)应对采集的视频进行视频数据签名操作并基于TCP协议进行传输。
- 所有B级和C级FDWSF(安全前端设备:Front-end Device With Safety Function)应支持对视频I帧及其他关键帧的签名。
- 管理平台应支持对视频数据签名结果的接收、存储和验证,实现视频源的抗抵赖及完整性校验。
视频数据签名和验签的格式
B级相关章节截图太多,直接看标准好了。
视频数据签名和验签的流程
B级相关章节截图太多,直接看标准好了。
视音频加密
- 所有C级FDWSF(安全前端设备:Front-end Device With Safety Function)应对采集的视频及音频进行加密操作并传输
- 管理平台应支持视频及音频加密数据的传输,支持用户在权限范围内对实时加密视音频播放、 历史加密视音频回放、加密视音频的存储/下载/分发/导出等操作
- 视频导出时管理平台应更换视频密钥加密密钥。
- 加密视频直接存储到存储设备。
视音频加密格式
C级相关章节截图太多,直接看标准好了。
视音频加密流程
C级相关章节截图太多,直接看标准好了。
实时加密视频
实时加密视频要求
C级相关章节截图太多,直接看标准好了。
实时加密视频流程
符合国标流程
- 接收者发送INVITE请求时:
C级相关章节截图太多,直接看标准好了。 - SIP信令服务器响应INVITE请求时:
C级相关章节截图太多,直接看标准好了。 - 密钥发生改变时SIP信令服务器通知接收者:
C级相关章节截图太多,直接看标准好了。
第七章 性能要求
- 身份认证时间延迟:不超过400ms
- FDWSF视频数据签名:不小于1次/s
- 视频加密/解密增加的延迟:不超过400ms
