JT∕T 1416-2022 交通视频监控网络密码应用技术规范.pdf
JT∕T 1416-2022 交通视频监控网络密码应用技术规范
收藏
资源目录
压缩包内文档预览:
编号:202842479
类型:共享资源
大小:2.34MB
格式:ZIP
上传时间:2022-03-10
上传人:阿毅44****867
认证信息
个人认证
曾**(实名认证)
广西
IP属地:广西
12
积分
- 关 键 词:
-
JT∕T
1416-2022
交通视频监控网络密码应用技术规范
JT
1416
2022
交通
视频
监控
网络
密码
应用
技术规范
- 资源描述:
-
JT∕T 1416-2022 交通视频监控网络密码应用技术规范,JT∕T,1416-2022,交通视频监控网络密码应用技术规范,JT,1416,2022,交通,视频,监控,网络,密码,应用,技术规范
- 内容简介:
-
h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co mh t t p :/w w w .b z f x b .co m目次前言1 范围12 规范性引用文件13 术语和定义14 缩略语25 总体要求26 功能要求67 性能要求8附录 A(规范性附录) 平台与设备标识规则9附录 B(规范性附录) 密钥分发与更新流程10附录 C(规范性附录) 控制信令结构与认证流程12附录 D(规范性附录) 视频数据保护结构与流程13参考文献14JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co mh t t p :/w w w .b z f x b .co m前言本标准按照 GB/ T 1. 12009 给出的规则起草。本标准由全国智能运输系统标准化技术委员会(SAC/ TC 268)提出并归口。本标准起草单位:交通运输部公路科学研究院、杭州海康威视数字技术股份有限公司、北京中交国通智能交通系统技术有限公司、北京江南天安科技有限公司。本标准主要起草人:周洲、梅新明、王滨、孟春雷、王立岩、赵童、武俊峰、孙婧、孙昕、陈加栋、万里、王国云、赵云辉。JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co mh t t p :/w w w .b z f x b .co m交通视频监控网络密码应用技术规范1 范围本标准规定了交通运输行业视频监控网络密码应用的总体要求、功能要求和性能要求。本标准适用于交通运输行业视频监控网络密码应用安全方案设计、设备的研发,也可用于指导系统检测评估和设备认证。2 规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/ T 15843. 3 信息技术 安全技术 实体鉴别 第 3 部分:采用数字签名技术的机制GB/ T 17964 信息安全技术 分组密码算法的工作模式GB/ T 20518 信息安全技术 公钥基础设施 数字证书格式GB/ T 25056 信息安全技术 证书认证系统密码及其相关安全技术规范GB/ T 32905 信息安全技术 SM3 密码杂凑算法GB/ T 32907 信息安全技术 SM4 分组密码算法GB/ T 32918. 1 信息安全技术 SM2 椭圆曲线公钥密码算法 第 1 部分:总则GB/ T 32918. 2 信息安全技术 SM2 椭圆曲线公钥密码算法 第 2 部分:数字签名算法GB/ T 32918. 3 信息安全技术 SM2 椭圆曲线公钥密码算法 第 3 部分:密钥交换协议GB/ T 32918. 4 信息安全技术 SM2 椭圆曲线公钥密码算法 第 4 部分:公钥加密算法GB/ T 32918. 5 信息安全技术 SM2 椭圆曲线公钥密码算法 第 5 部分:参数定义GB 351142017 公共安全视频监控联网信息安全技术要求GM/ T 0032 基于角色的授权管理与访问控制技术规范GM/ T 0062 密码产品随机数检测要求3 术语和定义下列术语和定义适用于本文件。3.1视频加密密钥 video encryption key用于直接加密视频数据的对称密钥。3.2视频密钥加密密钥 video key encryption key用于对视频加密密钥加密的对称密钥。3.3视频加密二级密钥 video platform main key用于生成视频加密密钥的对称密钥。1JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co mh t t p :/w w w .b z f x b .co m3.4视频加密主密钥 video main key用于生成视频加密二级密钥的对称密钥。3.5密码模块 cryptographic module在设备中实现随机数产生和密码运算功能的,相对独立的软件、硬件、固件或其组合。GB 351142017,定义 3. 1. 124 缩略语下列缩略语适用于本文件。CA:数字证书颁发机构(Certificate Authority)CEPK:用户终端加密密钥对(Client Encryption Public Key)CRL:证书撤销列表(Certificate Revocation List)CSPK:用户终端签名密钥对(Client Signature Public Key)DEPK:前端设备加密密钥对(Device Encryption Public Key)DSPK:前端设备签名密钥对(Device Signature Public Key)ECB:电子密码本模式(Electronic CodeBook)OFB:输出反馈模式(Output FeedBack)PEPK:管理平台加密密钥对(Platform Encryption Public Key)PSPK:管理平台签名密钥对(Platform Signature Public Key)SEPK:服务器加密密钥对(Server Encryption Public Key)SIP:会话初始协议(Session Initiation Protocol)SSPK:服务器签名密钥对(Server Signature Public Key)VEK:视频加密密钥(Video Encryption Key)VKEK:视频密钥加密密钥(Video Key Encryption Key)VMK:视频加密主密钥(Video Main Key)VPMK:视频加密二级密钥(Video Platform Main Key)5 总体要求5.1 总体架构5.1.1 组成交通视频监控网络密码应用总体架构(以下简称“总体架构”)由具有安全功能的前端设备、具有安全功能的用户终端、视频安全密钥服务系统(以下简称“密钥服务系统”)、交通视频监控安全管理平台(以下简称“管理平台”)四个部分组成,总体架构如图 1 所示。5.1.2 功能总体架构各组成应具备以下功能:a) 具有安全功能的前端设备、用户终端、中心信令控制服务器和媒体服务器采用密码模块实现安全保护;b) 具有安全功能的前端设备能够实现基于数字证书的设备身份认证、视频签名、视频加密等信2JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m息安全保护功能;c) 具有安全功能的用户终端能够实现基于数字证书的用户身份认证、加密视频解密等安全功能;d) 具有安全功能的中心信令控制服务器能够实现基于数字证书的设备身份认证、信令安全、密钥分发等安全功能;e) 具有安全功能的媒体服务器能够实现基于数字证书的设备身份认证、视频加密及解密等安全功能;f) 信令安全路由网关由 SIP 服务器采用密码模块实现路由信息的传递以及路由信息、信令身份标识的添加和鉴别等功能;g) 安全管理平台具备用户终端身份鉴别、前端设备接入认证、管理平台间认证、访问控制与授权、信令保护、视频数据保护、责任认定、安全管理、视频数据播放等功能;h) 密钥服务系统具备对接交通运输行业密钥管理与证书认证系统(以下简称“行业密钥系统”)和提供用户和设备身份证书的制发功能,能够为管理平台提供证书查询和验证等服务,并完成对称密钥管理。图 1 交通视频监控网络密码应用总体架构5.2 密码应用要求5.2.1 密码算法密码算法配置应符合以下要求:a) 非对称密码算法使用符合 GB/ T 32918 规定的 SM2 椭圆曲线密码算法,用于身份鉴别、视频签3JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m名、密钥保护等;b) 对称密码算法使用符合国家密码管理局规定的 SM1 分组密码算法或 GB/ T 32907 规定的 SM4分组密码算法,用于密钥协商数据的加密保护和视频数据的加密保护。 对视频数据加密时,算法使用 OFB 工作模式;对密钥数据加密时,算法使用 ECB 工作模式;工作模式符合 GB/ T17964 的规定;c) 密码杂凑算法使用 SM3 密码杂凑算法,符合 GB/ T 32905 的规定,用于数据完整性校验;d) 随机数生成算法生成的随机数应符合 GM/ T 0062 的检测要求。5.2.2 数字证书应使用数字证书实现用户终端身份鉴别、前端设备接入认证、管理平台间认证、责任认定等安全功能,并根据 GB/ T 25056 的规定对各类证书进行安全管理。 证书格式和 CRL 应符合 GB/ T 20518 的规定。数字证书应包括以下类型:a) 用户终端签名证书,用于用户的身份认证;b) 用户终端加密证书,用于获取 VKEK;c) 前端设备签名证书,用于设备的身份认证,并对设备产生的视频数据进行数字签名;d) 前端设备加密证书,用于获取 VKEK;e) 服务器设备证书,用于服务器设备的身份认证;f) 管理平台证书,用于管理平台的身份认证。5.2.3 密钥种类密钥分为对称密钥和非对称密钥。 对称密钥包括视频加密主密钥、视频加密二级密钥、视频密钥加密密钥及视频加密密钥;非对称密钥包括前端设备签名密钥对、前端设备加密密钥对、用户终端签名密钥对、用户终端加密密钥对、服务器签名密钥对、服务器加密密钥对、管理平台签名密钥对及管理平台加密密钥对。 密钥算法要求及用途见表 1。表 1 密钥算法要求及用途密 钥 名 称缩 略 语算 法 要 求用 途视频加密主密钥VMKSM4分散得到 VPMK视频加密二级密钥VPMKSM4生成 VKEK视频密钥加密密钥VKEKSM4加密 VEK视频加密密钥VEKSM1/ SM4加密视频流前端设备签名密钥对DSPKSM2前端设备身份认证和对视频流数据进行签名前端设备加密密钥对DEPKSM2安全获取 VKEK用户终端签名密钥对CSPKSM2用户身份认证用户终端加密密钥对CEPKSM2安全获取 VKEK服务器签名密钥对SSPKSM2服务器身份认证服务器加密密钥对SEPKSM2通信加密管理平台签名密钥对PSPKSM2平台身份认证管理平台加密密钥对PEPKSM2通信加密4JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m5.2.4 密钥生成密钥生成应符合以下要求:a) VMK 在系统初始化时由行业密钥系统生成;b) VPMK 由 VMK 以管理平台标识(管理平台标识格式见附录 A 的 A. 1),经过 SM4 算法分散生成;c) VKEK 由 VPMK 以前端设备标识(前端设备标识格式见附录 A 的 A. 2)和更新时间,经过 SM4算法进行分散生成;d) VEK 由前端设备中的密码模块生成;e) DSPK 由前端设备中的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书;f) DEPK 由行业密钥系统生成并签发加密证书;g) CSPK 由用户终端的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书;h) CEPK 由行业密钥系统生成并签发加密证书;i) SSPK 由服务器中的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书;j) SEPK 由行业密钥系统生成并签发加密证书;k) PSPK 由管理平台连接的密钥服务系统生成,签名公钥可导出,由行业密钥系统签发签名证书;l) PEPK 由行业密钥系统生成并签发加密证书。5.2.5 密钥存储密钥存储应符合以下要求:a) VMK 存储于密钥服务系统应用的密码机中;b) VPMK 存储于二级密钥服务系统应用的密码机中;c) VKEK 存储于二级密钥服务系统应用的密码机中;d) VEK 用 VKEK 经 SM4 算法加密后,以密文形式存储于视频码流中;e) DSPK 存储于前端设备的密码模块中;f) DEPK 存储于前端设备的密码模块中,同时加密存储于行业密钥系统中;g) CSPK 存储于用户终端的密码模块中;h) CEPK 存储于用户终端的密码模块中,同时加密存储于行业密钥系统中;i) SSPK 存储于服务器的密码模块中;j) SEPK 存储于服务器的密码模块中,同时加密存储于行业密钥系统中;k) PSPK 存储于本级密钥服务系统应用的密码设备中;l) SEPK 存储于本级密钥服务系统应用的密码设备中,同时加密存储于行业密钥系统中。5.2.6 密钥分发与更新密钥分发与更新应符合以下要求:a) VMK 不分发,更新周期不大于 10 年;b) VPMK 由 VMK 分散生成,通过密钥母卡与密钥传输卡,以密文形式离线分发,VPMK 与 VMK同步更新,流程见附录 B 的 B. 1;c) VKEK 由 VPMK 分散生成,用户终端、前端设备可通过加密公钥以数字信封方式获取,VKEK定期更新,更新周期不大于 1 天,流程见附录 B 的 B. 2;d) VEK 以密文形式存储于视频码流中,通过解析视频码流数据获取,VEK 定期更新,更新周期不大于 1 小时;5JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co me) 同设备的 DSPK 和 DEPK 基于双证书的形式向行业 CA 申请并在线获取,更新周期不大于5 年;f) 同设备的 CSPK 和 CEPK 基于双证书的形式向行业 CA 申请并在线获取,更新周期不大于5 年;g) 同服务器的 SSPK 和 SEPK 基于双证书的形式向行业 CA 申请并在线获取,更新周期不大于5 年;h) 同平台的 PSPK 和 PEPK 基于双证书的形式向行业 CA 申请并在线获取,更新周期不大于5 年。5.2.7 密钥备份恢复密钥备份恢复要求如下:a) VMK 通过密钥母卡与密钥传输卡备份和恢复;b) VPMK 不备份,可通过密钥生成方式恢复;c) VKEK 不备份,可通过密钥生成方式恢复;d) VEK 加密存储于视频码流中,不单独备份和恢复;e) DSPK 不备份,不可恢复;f) DEPK 不备份,可通过行业密钥系统恢复;g) CSPK 不备份,不可恢复;h) CEPK 不备份,可通过行业密钥系统恢复;i) SSPK 不备份,不可恢复;j) SEPK 不备份,可通过行业密钥系统恢复;k) PSPK 不备份,不可恢复;l) PEPK 不备份,可通过行业密钥系统恢复。6 功能要求6.1 基本要求管理平台应具有用户终端身份鉴别、前端设备接入认证、管理平台间认证、授权与访问控制、信令保护、数据保护、责任认定、安全管理、视频数据播放等功能。6.2 用户终端身份鉴别用户终端身份鉴别应符合以下要求:a) 对所有访问管理平台的用户终端进行身份鉴别;b) 管理平台对用户基本信息、属性信息以及用户标识与用户证书的对应关系进行管理;c) 用户证书由行业密钥系统统一签发,存储于用户终端的密码模块中;d) 用户终端身份鉴别流程符合 GB/ T 15843. 3 的规定。6.3 前端设备接入认证前端设备接入认证应符合以下要求:a) 应对所有接入管理平台的前端设备进行周期性接入认证,及时感知前端设备出现的非授权处理、密码模块损坏、丢失等异常情况;b) 管理平台应对前端设备的基本信息、属性信息以及前端设备标识与设备证书的对应关系进行6JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m管理;c) 设备证书由行业密钥系统统一签发,存储于前端设备的密码模块中;d) 前端设备的接入认证流程符合 GB 351142017 附录 C 中 C. 2 的规定。6.4 管理平台间认证管理平台互联互通时应进行管理平台间的双向身份认证,认证流程应符合 GB 351142017 附录 C中 C. 3 的规定。6.5 授权与访问控制管理平台应在身份鉴别的基础上,按照 GM/ T 0032 的规定对前端设备、用户终端进行授权与访问控制管理。6.6 信令保护管理平台和前端设备应采用带密钥的杂凑算法对设备控制等重要控制信令进行认证。控制信令结构与认证流程见附录 C。6.7 视频数据保护前端设备应支持对视频数据进行全码流加密和传输,管理平台应能实现视频数据真实性和机密性、视频源抗抵赖和完整性的校验。视频数据保护结构和操作流程见附录 D。6.8 责任认定应对用户、管理人员的关键行为日志记录进行数字签名,实现操作行为的责任认定和证据管理。 关键行为包括用户视频点播、回放、导出等行为,以及管理员进行的安全配置、服务启停、密钥管理等操作行为等。6.9 安全管理6.9.1 人员管理管理平台应设置安全管理员、安全操作员和安全审计员,具体职责为:a) 安全管理员负责系统的安全参数配置、系统服务启停等工作;b) 安全操作员根据其权限进行具体安全业务操作,包括密钥生成、导入、备份和恢复等;c) 安全审计员负责系统的审计管理。6.9.2 日志管理管理平台日志记录应包括各类管理员的操作行为日志和系统服务器的业务日志。管理平台应能够获取具有安全功能的前端设备日志。6.9.3 系统管理管理平台应能及时发现具有安全功能的前端设备的异常情况,并能及时对设备异常情况进行报警等响应。6.10 视频数据播放视频数据播放应首先对用户进行身份鉴别,通过身份鉴别后由用户终端根据加密视频数据中的时7JT/ T 14162022标准分享吧 h t t p :/w w w .b z f x b .co m标准分享吧 h t t p :/w w w .b z f x b .co m间信息向管理平台的视频安全密钥服务系统申请获取 VKEK,管理平台使用用户的加密公钥对 VKEK加密,并返回给用户终端。 用户终端使用加密私钥解密得到 VKEK,使用 VKEK 对加密的视频数据码流解密得到 VEK,使用 VEK 解密视频数据得到视频数据原文。 具体流程符合 GB 351142017 附录 C 中C. 6 的规定。7 性能要求7.1 基本要求交通视频监控网络安全系统应满足设备对认证时间、视频数据签名性能和视频数据加解密性能的要求。7.2 设备认证时间设备身份双向认证时间延迟不应超过 400ms。7.3 视频数据签名性能具有安全功能的前端设备对视频关键帧签名,耗时不应超过 800ms。7.4 视频数据加解密性能具有安全功能的前端设备视频数据加密性能不应小于 10Mb/ s,用户终端播放解密性能不应小于10Mb/ s。8JT/ T 14162022附 录 A(规范性附录)平台与设备标识规则A.1 管理平台标识规则管理平台标识由地区编码(4 位)、运营商编码(4 位)共 8 位十进制数字字符构成。A.2 前端设备标识规则前端设备标识由密码模块型号编码(4 位)、类型编码(2 位)、生产日期编码(8 位)、批次编码(3位)和序列号(5 位)共五个码段 22 位十进制数字字符构成。前端设备标识编码规则见表 A. 1。表 A. 1 前端设备标识编码规则码 段码 位含 义取 值 说 明密码模块型号编码1 4密码模块的产品型号取国家密码管理局批准的密码模块的产品型号后四位数字类型编码5 6密码模块类型编码01安全芯片02安全 TF 卡99其他生产日期7 14生产日期前端设备的生产日期,格式为“YYYYMMDD”批次15 17批次号前端设备的生产批次序号18 22前端设备序号9JT/ T 14162022附 录 B(规范性附录)密钥分发与更新流程B.1 VPMK 密钥分发与更新VPMK 密钥分发与更新流程如图 B. 1 所示,流程如下:a) 二级密钥服务系统向交通视频密钥服务系统申请 VPMK;b) 二级密钥服务系统的 VPMK 由 VMK 对二级平台 ID 进行分散生成;c) 二级密钥服务系统的密钥采用密钥母卡和密钥传输卡离线传输;d) 二级密钥服务系统的 VKEK 保存在硬件密码设备中;e) 交通视频密钥服务系统向二级管理平台下发访问二级密钥服务系统的凭据、服务 IP、端口等;f) 二级管理平台访问密钥服务。图 B. 1 VPMK 密钥分发与更新流程01JT/ T 14162022B.2 VKEK 密钥分发与更新VKEK 密钥分发与更新流程如图 B. 2 所示,流程如下:a) 二级管理平台向前端设备发送 QuestCatalog 请求,获取前端设备资源列表;b) 前端设备返回请求应答消息;c) 前端设备返回设备资源列表,设备资源列表包含前端设备的加密证书和签名信息;d) 二级管理向前端设备返回确认消息;e) 二级管理平台向二级密钥服务系统发送创建 VKEK 请求;f) 二级密钥服务系统验证前端设备签名信息后,使用前端设备加密证书公钥加密 VKEK,返回VKEK 密文;g) 二级管理平台发送 DeviceControl 命令,将 VKEK 密文发送给前端设备,进行密钥更新;h) 前端设备获取 VKEK 密文,更新 VKEK,向二级管理平台返回应答消息。图 B. 2 VKEK 密钥分发与更新流程11JT/ T 14162022附 录 C(规范性附录)控制信令结构与认证流程C.1 控制信令结构信令发送方与信令接收方进行交互时,采用基于带密钥的杂凑方式保障信令来源安全。 扩展信令消息头域,在头域中增加 Note 字段(值为 Digest,有两个参数 nonce、algorithm)。 Note = (Digest nonce = ,algorithm =),nonce 的值为METHOD + From + to + CallID + Date + VK
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
|
2:不支持迅雷下载,请使用浏览器下载
3:不支持QQ浏览器下载,请用其他浏览器
4:下载后的文档和图纸-无水印
5:文档经过压缩,下载后原文更清晰
|
川公网安备: 51019002004831号