JT/T 1416-2022 交通视频监控网络密码应用技术规范.pdf
- 文档部分内容预览:
JT/T 1416-2022 交通视频监控网络密码应用技术规范
名、密钥保护等; b 对称密码算法使用符合国家密码管理局规定的SM1分组密码算法或GB/T32907规定的SM4 分组密码算法,用于密钥协商数据的加密保护和视频数据的加密保护。对视频数据加密时, 算法使用OFB工作模式;对密钥数据加密时,算法使用ECB工作模式;工作模式符合GB/T 17964的规定; 密码杂凑算法使用SM3密码杂凑算法,符合GB/T32905的规定,用于数据完整性校验; d)随机数生成管法生成的随机数应符合GM/T0062的检测要求
应使用数字证书实现用户终端身份鉴别、前端设备接入认证、管理平台间认证、责任认定等安全功 能,并根据GB/T25056的规定对各类证书进行安全管理。证书格式和CRL应符合GB/T20518的 规定, 数字证书应包括以下类型: a) 用户终端签名证书,用于用户的身份认证; b) 用户终端加密证书,用于获取VKEK; C 前端设备签名证书,用于设备的身份认证,并对设备产生的视频数据进行数字签名; d 前端设备加密证书,用于获取VKEK; e 服务器设备证书,用于服务器设备的身份认证; 管理平台证书,用于管理平台的身份认证
密钥分为对称密钥和非对称密钥。对称密钥包括视频加密主密钥、视频加密二级密钥、视频密钥加 密密钥及视频加密密钥;非对称密钥包括前端设备签名密钥对、前端设备加密密钥对、用户终端签名密 钥对、用户终端加密密钥对、服务器签名密钥对、服务器加密密钥对、管理平台签名密钥对及管理平台加 密密钥对。密钥算法要求及用途见表1
抽样标准表1密钥算法要求及用途
JT/T 1416=2022
密钥生成应符合以下要求: a VMK在系统初始化时由行业密钥系统生成; b VPMK由VMK以管理平台标识(管理平台标识格式见附录A的A.1),经过SM4算法分散 生成; C VKEK由VPMK以前端设备标识(前端设备标识格式见附录A的A.2)和更新时间,经过SM4 算法进行分散生成; d) VEK由前端设备中的密码模块生成; e) DSPK由前端设备中的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书; f) DEPK由行业密钥系统生成并签发加密证书; g CSPK由用户终端的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书; h) CEPK由行业密钥系统生成并签发加密证书; i SSPK由服务器中的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书: j SEPK由行业密钥系统生成并签发加密证书; k) PSPK由管理平台连接的密钥服务系统生成,签名公钥可导出,由行业密钥系统签发签名 证书; PEPK由行业密钼系统生成并签发加密证书
密钥存储应符合以下要求: a VMK存储于密钥服务系统应用的密码机中; b) VPMK存储于二级密钥服务系统应用的密码机中; c VKEK存储于二级密钥服务系统应用的密码机中; d) VEK用VKEK经SM4算法加密后,以密文形式存储于视频码流中; e) DSPK存储于前端设备的密码模块中; f) DEPK存储于前端设备的密码模块中,同时加密存储于行业密钥系统中; g) CSPK存储于用户终端的密码模块中; h) CEPK存储于用户终端的密码模块中,同时加密存储于行业密钥系统中; SSPK存储于服务器的密码模块中; 心 j) SEPK存储于服务器的密码模块中,同时加密存储于行业密钥系统中; k) PSPK存储于本级密钥服务系统应用的密码设备中; 1) SEPK存储于本级密钥服务系统应用的密码设备中,同时加密存储于行业密钥系统中
5.2.6密钥分发与更新
密钥分发与更新应符合以下要求: a VMK不分发,更新周期不大于10年; b VPMK由VMK分散生成,通过密钥母卡与密钥传输卡,以密文形式离线分发,VPMK与VMK 同步更新,流程见附录B的B.1; C VKEK由VPMK分散生成,用户终端、前端设备可通过加密公钥以数字信封方式获取,VKEK 定期更新,更新周期不大于1天,流程见附录B的B.2; d) VEK以密文形式存储于视频码流中,通过解析视频码流数据获取,VEK定期更新,更新周期不 大于1小时;
JT/T 1416=2022
e 同设备的DSPK和DEPK基于双证书的形式向行业CA申请并在线获取,更新周期不大于 5年; f 同设备的CSPK和CEPK基于双证书的形式向行业CA申请并在线获取,更新周期不大于 5年; 8 同服务器的SSPK和SEPK基于双证书的形式向行业CA申请并在线获取,更新周期不大于 5年; h) 同平台的PSPK和PEPK基于双证书的形式向行业CA申请并在线获取,更新周期不大于 5年,
5.2.7密钥备份恢复
密钥备份恢复要求如下: VMK通过密钥母卡与密钥传输卡备份和恢复; b) VPMK不备份,可通过密钥生成方式恢复; VKEK不备份,可通过密钥生成方式恢复; d) VEK加密存储于视频码流中,不单独备份和恢复; e) DSPK不备份,不可恢复; f) DEPK不备份,可通过行业密钥系统恢复; g) CSPK不备份,不可恢复; h) CEPK不备份,可通过行业密钥系统恢复; i SSPK不备份,不可恢复; j) SEPK不备份,可通过行业密钥系统恢复; k) PSPK不备份,不可恢复; 1 PEPK不备份,可通过行业密钥系统恢复
用户终端身份鉴别应符合以下要求: a 对所有访问管理平台的用户终端进行身份鉴别; 管理平台对用户基本信息、属性信息以及用户标识与用户证书的对应关系进行管理; 用户证书由行业密钥系统统一签发,存储于用户终端的密码模块中; d)用户终端身份鉴别流程符合GB/T15843.3的规定
6.3前端设备接入认证
前端设备接入认证应符合以下要求: a 应对所有接入管理平台的前端设备进行周期性接入认证,及时感知前端设备出现的非授权处 理、密码模块损坏、丢失等异常情况; b) 管理平台应对前端设备的基本信息、属性信息以及前端设备标识与设备证书的对应关系进行
管理; c)设备证书由行业密钥系统统一签发,存储于前端设备的密码模块中; d)前端设备的接入认证流程符合GB35114—2017附录C中C.2的规定
JT/T 1416=2022
管理平台互联互通时应进行管理平台间的双向身份认证,认证流程应符合GB35114一2017附录C 中C.3的规定,
6.5 授权与访问控制
管理平台应在身份鉴别的基础上,按照GM/T0032的规定对前端设备、用户终端进行授权与访问 控制管理。
管理平台和前端设备应采用带密钥的杂凑算法对设备控制等重要控制信令进行认证。 控制信令结构与认证流程见附录C
前端设备应支持对视频数据进行全码流加密和传输,管理平台应能实现视频数据真实性和机密性、 视频源抗抵赖和完整性的校验。 视频数据保护结构和操作流程见附录D
应对用户、管理人员的关键行为日患记录进行数字签名,实现操作行为的责任认定和证据管理。关 建行为包括用户视频点播、回放、导出等行为,以及管理员进行的安全配置、服务启停、密钥管理等操作 行为等。
管理平台应设置安全管理员、安全操作员和安全审计员,具体职责为: a)安全管理员负责系统的安全参数配置、系统服务启停等工作; b)安全操作员根据其权限进行具体安全业务操作,包括密钥生成、导入、备份和恢复等; c)安全审计员负责系统的审计管理
管理平台日志记录应包括各类 为日志和系统服务器的业务日志。 管理平台应能够获取具有安全功能的前端设备日志。
管理平台应能及时发现具有安全功能的前端设备的异常情况,并能及时对设备异常情况进行报警 等响应。
JT/T 1416=2022
间信息向管理平台的视频安全密钥服务系统申请获取VKEK,管理平台使用用户的加密公钥对VKEK 加密,并返回给用户终端。用户终端使用加密私钥解密得到VKEK,使用VKEK对加密的视频数据码流 解密得到VEK,使用VEK解密视频数据得到视频数据原文。具体流程符合GB35114一2017附录C中 6的规定
交通视频监控网络安全系统应满足设备对认证时间、视频数据签名性能和视频数据加解密性能的 腰求,
设备身份双向认证时间延迟不应超过400ms
7.3视频数据签名性能
7.4视频数据加解密性能
具有安全功能的前端设备视频数据加密性能不应小于10Mb/s,用户终端播放解密性能不应小 Mb/s
JT/T 1416=2022
附录A (规范性附录) 平台与设备标识规则
A.1管理平台标识规则
A.2前端设备标识规则
前端设备标识由密码模块型号编码(4位)、类型编码(2位)、生产日期编码(8位)、批 位)和序列号(5位)共五个码段22位十进制数字字符构成。 前端设备标识编码规则见表A.1
表A.1前端设备标识编码规则
JT/T 1416=2022
附录B (规范性附录) 密钥分发与更新流程
B.1VPMK密钥分发与更新
VPMK密钥分发与更新流程如图B.1所示,流程如下: a 二级密钥服务系统向交通视频密钥服务系统申请VPMK; b) 二级密钥服务系统的VPMK由VMK对二级平台ID进行分散生成; c 二级密钥服务系统的密钥采用密钥母卡和密钥传输卡离线传输; d) 二级密钥服务系统的VKEK保存在硬件密码设备中; e 交通视频密钥服务系统向二级管理平台下发访问二级密钥服务系统的凭据、服务IP、端口等; f 二级管理平台访问密钥服务
图B.1VPMK密钥分发与更新流程
B.2VKEK密钥分发与更新
JT/T 1416=2022
VKEK密钥分发与更新流程如图B.2所示,流程如下: 二级管理平台向前端设备发送QuestCatalog请求,获取前端设备资源列表; b 前端设备返回请求应答消息; c 前端设备返回设备资源列表,设备资源列表包含前端设备的加密证书和签名信息; d) 二级管理向前端设备返回确认消息; 二级管理平台向二级密钥服务系统发送创建VKEK请求; 二级密钥服务系统验证前端设备签名信息后,使用前端设备加密证书公钥加密VKEK,返回 VKEK密文; 名 二级管理平台发送DeviceControl命令,将VKEK密文发送给前端设备,进行密钥更新; h 前端设备获取VKEK密文,更新VKEK,向二级管理平台返回应答消息
图B.2VKEK密钥分发与更新流程
JT/T 1416=2022
附录C (规范性附录) 控制信令结构与认证流程
信令发送方与信令接收方进行交互时,采用基于带密钥的杂溪方式保障信令来源安全。扩展信令消 息头域,在头域中增加Note字段(值为Digest,有两个参数nonce、algorithm)。Note=(Digestnonce="" algorithm=""),nonce的值为[METHOD+From+to+CallID+Date+VKEK+消息体]杂凑,是经过 3ASE64编码后的值;algorithm的值为杂凑的算法名称,“+”为字符串连接运算。 启用Date字段,Date比对有效时间范围可设,初设值为10分钟,应在校时精度范围内,Date精确 到秒。 控制信令结构示意如图C.1所示
C.2控制信令认证流程
图C.1控制信令结构示意
控制信令认证流程如下: a 信令发送方对相关信息和当前的VKEK密钥做数字摘要,相关信息包括指令、原地址、目的地 址、日期、消息以及摘要算法; b 信令发送方将信令发送到接收方; 信令接收方接收信令,对比当前时间,若在有效期间内则提取信令,通过摘要运算与接收到的 信息进行对比;如果匹配成功,则信令认证通过,否则认证失败,丢弃该信令并终止该信令会 话流程; d 若信令接收方对收到的信令认证通过,则生成响应信令安全网标准,对相关数据和密钥进行摘要运算; e) 将响应信令发送给发送方; f 信令发送方接受到响应信令,对比当前时间,若在有效期间内则提取信令,通过摘要运算与接 收到的信息进行对比;如果匹配成功,则信令认证通过,否则认证失败,丢弃该信令并终止该 信令会话流程
D.1视频数据签名加密
JT/T 1416=2022
视频数据签名加密结构与协议应符合GB35114一2017附录C中C.6的规定,流程如下: 前端设备的密码模块产生VEK; b 用前端设备的密码模块中的签名密钥对私钥对码流第i帧签名; 用VEK对前端设备采集的视频码流进行SM1算法加密; d) 用VKEK对VEK进行SM4算法加密; e 将相关信息封装到视频码流中
D.2视频解密验签流程
学校标准JT/T 1416=2022
共安全视频监控联网系统信息传输、交换、控制
....- 交通标准
- 相关专题: