石元兵,张舒黎.基于5G边缘计算的视频监控密码应用研究[J].通信技术,2020,53(05):1224-1230.
SHI Yuan-bing, ZHANG Shu-li. Research of Cryptographic Application on Video Surveillance Based on 5G Edge Computing[J]. Communication Technology,2020,53(05):1224-1230.
5G边缘计算与视频监控的结合,将对雪亮工程、智能城市、区域安防等产生深远影响,加剧行业应用并深化业务布局。基于5G边缘计算的视频监控安全问题尤为重要。分析面向5G边缘计算的视频监控现状,梳理系统密码应用需求,结合国产商用密码,提出基于5G边缘计算的视频监控密码应用框架,研究关键密码技术,设计典型场景密码应用方案,解决视频监控在5G边缘计算中的安全问题。
视频监控通过实时视频采集、网络通信、可视化呈现等方式,对物理世界进行感知和分析。随着数字化的进展及安防事业的快速建设,视频监控被越来越多地应用于平安城市、雪亮工程、楼宇安防、园区安防、家庭安防等领域。5G的正式商用以及边缘计算等技术的逐渐成熟,标志着视频监控有了更广阔的应用空间。视频监控将伴随5G的深入发展应用到国家、社会、人民生活的方方面面。
基于5G边缘计算的视频监控应用前景良好,但同时也面临各种安全威胁,存在视频泄露、篡改破坏等安全风险,应当综合应用密码技术,构建安全体系,有效保证系统安全。本文对5G边缘计算及视频监控抽取密码需求,结合国产自主可控的商用密码,提出5G边缘计算视频监控密码应用框架,研究设计关键密码技术,确保系统应用安全。
01现状及需求
1.1 基于5G边缘计算的视频监控
随着新一代信息技术的推进,5G已成为我国国家战略。边缘计算作为5G的核心技术,通过融合网络、计算、存储、应用等核心能力,将5G业务下沉到接入边缘,就近提供边缘智能服务,满足行业数字化在敏捷联接、实时业务、应用智能等方面的关键需求。
一直以来,视频监控被广泛应用于平安城市、雪亮工程、执行指挥等领域,发挥着安防保障、智能研判、犯罪取证等重要作用。5G+边缘计算具备大带宽、大连接、低时延等网络能力,相比于传统网络(4G、固网等),能够更好地承载视频业务,并提供丰富的扩展功能,为视频监控的应用发展带来了全新机遇。
如图1所示,5G边缘计算赋能视频监控体现在eMBB、mMTC、urLLC三大方面。5G边缘计算能够为视频监控提供更高传输速率和更大带宽的接入,承载每秒十亿万字节的视频码流,并支持高清、超高清的监控业务。5G边缘计算能够接入超大规模、低性能、低能耗的IoT监控设备,助力视频监控的全面布局。5G边缘计算通过实时计算、视频可视化等方式,满足视频监控在高实时、高精密、高智能等方面的需求。
图1 5G边缘计算赋能视频监控
基于5G边缘计算的视频监控系统架构如图2所示。海量异构的监控终端通过5G接入网连接网络。业务下层的边缘计算平台对高网络质量(时延、带宽、抖动)需求的监控业务提供实时计算、数据存储、可视化等服务。而云端的视频系统与边缘计算平台进行业务联动,并对全局数据进行存储、进行非实时运算、处理联网应用等,为用户提供丰富的监控服务。
图2 基于5G边缘计算的视频监控系统架构
1.2 密码应用需求
伴随5G边缘计算的发展以及视频监控的广泛应用,其安全问题日益凸显,密码应用需求显得尤为迫切。目前,国内5G边缘计算的安全及密码标准仍处于空白状态。针对视频监控的密码标准也只有GB35114,相关密码及安全技术还处于研究状态,并不成熟。本文结合当前5G边缘计算及视频监控的发展趋势以及实际的密码使用情况,归纳出如下四方面的密码应用需求:
(1)密码与应用场景融合:基于5G边缘计算的视频监控,相较于传统的视频监控,涉及更多的场景,如海量异构终端、差异化可视呈现、人工智能分析、大数据研判等。不同应用场景的密码需求具有共性也具有差异性,在进行密码应用时,应当充分考虑场景特点,对场景进行安全保护的同时不影响场景业务。
(2)密码与信息技术融合:基于5G边缘计算的视频监控引入了丰富的信息技术,如5G网络切片、边缘计算、虚拟化、大数据、人工智能、流媒体等。对整个系统进行密码应用时,应当充分结合新型信息技术的特点,做到信息技术融合创新的同时实现安全加固及增强。
(3)密码与协议流程融合:在进行密码应用时,应当充分考虑已有密码协议(如5G AKA认证、信令安全等),通盘梳理安全痛点及密码需求,在需要处实施密码防护,做到密码技术不堆叠、有的放矢。另一方面,密码技术应当与已有协议进行深度融合,做到协议安全增强的同时,尽量不影响业务流程,以此保证密码技术的持续应用。
(4)密码合规要求:5G、边缘计算、联网视频监控均属于国家重要信息系统基础设施,其安全问题关系到国家安全和社会稳定。在实际应用中,应当以国产自主可控的商用密码算法为基石,灵活可扩展地进行重构设计,保证安全合规的同时,达到高效、敏捷的目的。
02密码技术研究
2.1 总体框架
5G、边缘计算等新一代信息通信技术极大地赋能视频监控业务场景,促进视频监控更加广泛、深入、智能地服务应用。以密码为核心构建5G边缘计算视频监控的安全体系,就是要将安全以基因化形式注入5G边缘计算视频监控场景中,有效保障开放网络环境中的业务安全问题,确保视频监控业务应用的安全可持续发展,为5G+视频安全乃至5G+垂直行业安全提供密码应用及安全范例,推动5G产业的安全发展。基于5G边缘计算的视频监控密码应用框架如图3所示。
图3 基于5G边缘计算的视频监控密码应用框架
密码应用框架以密码基础、密码设备、密码服务为支撑,在视频监控终端、边缘计算平台、云平台实施密码安全防护,有力保障5G视频监控在智能城市、安防监控、消费监控、视频AI等领域的安全应用。
密码支撑涵盖密码基础、密码设备、密码服务三个方面。密码基础指的是国家密码管理机构批准核实的密码算法、密码协议、密码接口,即基于国产商用密码的算法、协议及接口。
密码设备为部署在终端、边缘、云端的密码产品,包括密码芯片、IP核、密码模块、(云)密码机、(云)密码卡、密码中间件等。密码服务指的是密码运算、密钥管理、证书管理、统一信任等安全服务。
终端密码应用指的是为摄像头、IoT监控设备等提供的设备身份认证、端视频安全、监控安全接入、设备权限管控等密码能力。
边缘计算密码应用包括节点安全、网络安全、数据安全、应用安全、安全管理编排等方面的密码应用。
云平台密码应用包括边云密码协同、统一密码态势、视频业务安全等方面的密码应用。
体系化梳理基于5G边缘计算的视频监控密码应用框架,分析得出应当在边缘视频加密、身份认证、高效密码协同、可信免疫、安全隔离等方面的进行关键技术突破,实现安全体系的落地,切实保障边缘监控业务的顺利推进。
2.2 边缘视频加密技术
针对视频监控边缘计算的业务特点,提出轻量级加密算法、轻量级加密策略、高性能加密模式三种边缘视频加密技术,以满足不同场景的具体安全需求。图4对三种关键技术进行了总结。
图4 边缘视频加密技术框架
轻量级加密算法:传统的商用加密算法(SM1、SM4、ZUC等)采用带密钥的多轮循环运算模式,安全级别高,同时运算开销大。可以根据具体情况,通过适当调整商密算法结构、定制专用密码算法、减少密钥长度等方式,构建轻量级的加密算法,在保障适当安全性的同时,降低密码运算、系统资源及能耗等方面的开销,以适用广分布、大连接、低成本的IoT监控设备的安全应用需求。
轻量级加密策略:当处理较大码率(10Mbps以上)的视频时,可以对视频数据进行编码域选择性加密,如加密I帧全部数据、P/B帧头数据、参数集重要数据等方式,实现较低密码开销的同时保障视频数据的机密性。此外,在某些场景中,可以通过预先产生加密密钥流、预先加密非实时视频等方式,对监控视频进行预加密,以缓解实时加密的压力。
高性能加密模式:面对高安全智能监控等应用场景,可以通过高并发多线程同时加密、多密码部件协同加密等方式实现高性能的加密运算,以满足大流量(20Mpbs以上)、多码流(2路复用)的同时加密需求。
2.3 身份认证技术
5G核心网面向业务应用提供认证功能。除此之外,可以将认证功能前移实现接入认证,或者构建二次认证体系实现再次认证。对于二次认证,根据边缘计算及业务平台的特点,认证可以驻留在边缘网关、边缘云、业务数据中心等不同的位置,以满足实际认证在性能、时延等方面的需求。具体框架如图5所示。
图5 身份认证技术框架
对于具体应用场景,轻量级认证协议、高并发认证流程、动态自适应心跳认证、加密与认证结合等相关技术也值得探讨和进一步研究。
2.4 高效密码协同机制
实际应用中,边缘计算往往因为平台自身的位置、规模、性能等因素,部署的密码功能会受到一定限制,如无完整的非对称密钥管理机制、无跨域信任功能、加解密运算速率有限等等。
通过边边协同、边云协同构建统一密码协作机制,可以有效解决此类问题。图6描述了此种思想。边缘计算平台与边缘计算平台之间,建立边边协同机制,跨域的边缘计算平台能够实现特定密码资源、密钥、证书、安全凭证的同步与共享。在业务高峰期,密码能力低的边缘计算平台可以依靠其他边缘计算平台分担密码压力,保证安全业务的正常运转;在非业务高峰期,通过协同机制可以进一步降低全局密码资源、基础设施资源的消耗。边缘计算平台与云平台之间,建立边云协同机制。
其中,云平台实现整体密码态势、密码资源调度、非实时密码运算等功能,边缘计算平台实现终端安全交互、实时密码运算等功能,双方共享部分密码资源、安全凭证。
图6 高效密码协同机制
2.5 可信免疫技术
基于可信计算技术,对监控终端、边缘计算平台、云平台建立可信免疫体系,保证设备计算环境、业务应用的安全可信,防止针对设备、节点、数据、业务的非法篡改和伪造。图7展示了边缘计算平台的可信免疫框架,分别从纵向、横向两个维度进行边缘计算信任链传递,进而构建完整的可信体系。
图7 边缘计算可信免疫框架
纵向信任链传递指的是节点自身的可信验证。分为边缘节点的信任链传递以及边缘管理的信任链传递。边缘节点将自身的可信模块作为信任根,首先对CPU等核心硬件进行可信度量,然后可信引导、启动BIOS、监视器及虚拟操作系统等资源,最后对提供的服务、运行的进程、承载的数据进行可信度量和完整性验证,以此保证整个节点的安全可信。同样地,边缘管理也基于可信模块,先后实现对CPU、BIOS、操作系统、配置/策略/资源池/应用编排等可信验证,确保边缘管理的可信。
横向信任链传递,指的以节点为单位进行可信验证,并确保整个边缘计算平台的可信。每个节点完成可信验证后,在系统方进行可信注册,一旦某个节点状态异常,应当进行异常登记、状态标识,并重新恢复。
2.6 安全隔离技术
边缘计算往往伴随云、虚拟化等应用,在进行安全防护时,应当基于密码技术进行安全隔离,确保边缘物理资源及虚拟资源的安全。如果边缘计算平台规模较大,存在着敏感区域及非敏感区域,可以使用网闸技术对物理网络进行隔离,防止敏感信息外泄。
由于轻量化部署原因,边缘计算往往采用Docker容器承载业务资源。Docker容器基于进程安全,其隔离性较差,存在着非法资源访问、数据泄露等风险,应当基于密码技术实现Docker安全域保护、Docker资源访问控制、敏感数据密码保护等,保障Docker虚拟化安全。
2.7 其他
面向基于5G边缘计算的视频监控场景,其他的密码技术还包括隐私保护、数据访问控制、视频防篡改重放、设备远程管理等等。此外,在体系化安全设计时,还应当考虑安全态势、安全可靠远程升级、系统安全加固、抗DDoS、接口安全设计、系统安全自主可控等安全技术。
03典型场景密码应用
3.1 高安全智能监控场景
业务场景:高安全智能监控,具备智能分析、人物精准识别、图像可视化等业务需求以及数据高安全需求,适用于重大活动保障、人工智能应用等行业领域。在该场景中,现场部署超高清智能摄像机(如4K/8K),实现超高清视频的实时采集;靠近摄像机的网络接入侧部署MEC云平台,进行实时视频运算、存储、可视化展示,在后端接入业务云平台进行事后分析、研判和统一指挥。
密码方案:如图8所示,在上行终端、MEC云平台、业务云平台、下行终端四个部分实施密码应用。上行终端指的是现场的超高清摄像机。为摄像机内嵌高性能密码芯片及高性能密码模块,构造入驻式一体化的高安全终端,支持多路高速密码运算,能够在源端对高清视频进行安全保护。
在MEC云平台中构建统一密码服务,为MEC流媒体、存储、分析、可视化赋能,实现视频加密存储、视频解密使用、身份认证等密码功能。业务云平台基于统一密码服务实现密码功能,并与MEC进行高效的密码协作。下行终端指的是用户大屏、客户端等设备,通过配备密码模块实现视频解密播放、查看。
图8 高安全智能监控场景密码应用
3.2 分布式监控联网场景
业务场景:分布式监控联网,广泛接入低性能的IoT监控设备及通用摄像机,部分业务以服务器入驻形式下沉网络边缘,系统整体具备一定的轻量级安全需求。
密码方案:如图9所示,重点解决接入侧安全及边缘计算的安全。对于接入侧安全,提供调用式安全终端及接入式安全终端两种思路。调用式安全终端,指的是密码设备旁路部署,摄像机等终端按需调用密码功能。接入式安全终端,指的是组群的监控设备共同接入安全网关,通过安全网关访问5G网络。边缘计算安全指的是为边缘计算中的流媒体、设备管理、存储等服务器配置密码卡,并提供密钥证书服务,保证边缘计算平台能够进行身份认证、视频加解密等。
图9 分布式监控联网场景密码应用
04 结语
本文面向基于5G边缘计算的视频监控场景,进行密码应用研究,分析5G边缘计算视频监控的应用现状与密码需求,结合国产自主可控的商用密码,提出基于5G边缘计算的视频监控密码应用框架,梳理边缘视频加密、身份认证、密码协同、可信免疫等关键技术并进行研究论证,最后给出典型场景的密码应用案例。本文提出的密码应用思路具备体系化、高安全、可扩展等优点,具有较高的创新性和实用性,能够为后续研究及工程实践提供参考。