GB35114-2017解读 杭州迪普科技股份有限公司 安防监控标准发展历程 2000年初 平安城市 科技强警 3111工程 2006年 2007年 2008年 2009年 2011年 2015年 GA669 DB33 DB11 DB50 ONVIF 天网工程 GB/T 28181 雪亮工程 重建设、重应用、轻安全 互 联 网 垃 圾 流 量 攻 击 事 件 （2 0 1 6 / 1 0 / 2 1 ） 史上最严重的物联网攻击，造成半个美国断网， 因借助物联网终端发起DDO攻击。 AI技术应用于伪造视频 人工智能已支持合成“真实”视频,任意虚构“真实”场景 信息安全相关法律法规—网络安全法 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全 等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或 者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技 术措施； （四）采取数据分类、重要数据备份和加密等措施； 第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动 网络安全 等级保护条例 防御、综合防控的原则，建立健全网络安全防护体系，重点保护涉及国家安 全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。 G B 3 5 11 4 标 准 的 定 位 信令可靠 身份真实 信令内容来源可 确保视频系统中 信，校验信令内 所有用户和设备 的身份真实可信 容是否遭到篡改 公安安全视频监控 联网信息安全 视频完整 技术要求 全程保密 能够检验视频内 端到端加密，确 容是否遭到篡改 保信息传输、转 发、存储、下载 等各阶段视频不 被窃取 G B 3 5 11 4 与 整 体 安 全 架 构 的 关 系 安全框架 解决方案 用户的安全性 身份认证 数据的安全性 数据加密、签名 应用系统的安全性 接入、访问认证 操作系统的安全性 防病毒、入侵检测、漏洞扫描 GB 35114应用范围 非GB 35114应用范围 网络层的安全性 防火墙、VPN、准入控制 安 全 风 险 和 基 于 G B 3 5 11 4 的 解 决 方 案 行为 后果 GB35114措施 未授权用户非法访问 系统被控制 客户端登陆认证 非法接入前端设备 虚假视频植入 前端接入认证 非法接入视频平台 敏感视频内容转移 前端、平台间认证 恶意操控前端设备 监控角度错误 信令签名 非法篡改视频内容 视频内容改变 视频签名 非法获取视频内容 敏感视频内容外泄 视频加密 GB/T 28181的视频监控系统架构 上级平台 中心信令控制服务器 客户端 前端设备 信令安全路由网关 前端设备 中心信令控制服务器 流媒体服务器 信令安全路由网关 信令安全路由网关 流媒体服务器 流媒体服务器 客户端 前端设备 中心信令控制服务器 客户端 下级平台 下级平台 G B 3 5 11 4 的 视 频 监 控 系 统 架 构 私钥 公钥 视 对称 密钥 频 中心信令控制服务器 安 全 密 钥 上级平台 私钥 公钥 数字证书& 前端设备 客户端 对称 密钥 密码规划 私钥 公钥 对称 密钥 流媒体服务器 信令安全路由网关 系 私钥 公钥 私钥 公钥 统 对称 密钥 对称 密钥 私钥 公钥 视 私钥 公钥 私钥 公钥 私钥 公钥 对称 密钥 对称 密钥 对称 密钥 对称 密钥 视 频 前端设备 前端设备 频 信令安全路由网关 信令安全路由网关 安 全 安 数字 密 证书 钥 密码 系 统 私钥 公钥 对称 密钥 中心信令控制服务器 流媒体服务器 私钥 公钥 对称 密钥 私钥 公钥 对称 密钥 流媒体服务器 中心信令控制服务器 私钥 公钥 对称 密钥 & 规划 数字 证书 & 密码 客户端 客户端 私钥 公钥 私钥公钥 对称 密钥 下级平台 下级平台 对称 密钥 规划 全 密 钥 系 统 前端安全等级和能力要求 能力 目标 关联标准 国密算法 身份真实 GB/T 28181 SM2、SM3 信令认证 信令真实 GB/T 28181 SM1/SM4、SM3 视频签名 视频内容真实/完整性 GB/T 25724 视频内容加密 防止泄露 GB/T 25724 基于数字证书，前端 与管理平台间单项/双向 身份认证 (SVAC) (SVAC) SM2、SM3 SM1/SM4、SM2 A级 B级 C级 符 合 G B 3 5 11 4 的 典 型 系 统 架 构 公钥 私钥 GM/T 0018 对称 密钥 客户端 密码机 SIP 视频监控平台 公钥 私钥 对称 密钥 GM/T 0018 视频安全密钥服务系统 GM/T 0051 密码管理系统 LDAP/OSCP 数字证书认证系统 信令服务器 媒体服务器 SIP GM/T0018 RTP SIP 前端设备 公钥 私钥 对称 密钥 GM/T 0018 G B 3 5 11 4 功 能 实 现 — 颁 发 数 字 证 书 公钥 私钥 具有安全功能的 密码机 客户端 视频安全密钥服务系统 具有安全功能的 具有安全功能的 媒体服务器 信令服务器 公钥 私钥 前端设备 公钥 私钥 数字证书认证系统 … … 具有安全功能的 密码管理系统 公钥 私钥 G B 3 5 11 4 功 能 实 现 — 接 入 认 证 具有安全功能的 客户端 公钥 私钥 公钥 密码机 视频安全密钥服务系统 具有安全功能的 具有安全功能的 媒体服务器 信令服务器 密码管理系统 公钥 私钥 公钥 公钥 私钥 数字证书认证系统 公钥 前端设备 公钥 私钥 公钥 … … 具有安全功能的 G B 3 5 11 4 功 能 实 现 — 信 令 认 证 具有安全功能的 客户端 公钥 私钥 密码机 公钥 视频安全密钥服务系统 具有安全功能的 媒体服务器 认证 信息 控 具有安全功能的 信令服务器 密码管理系统 公钥 私钥 公钥 公钥 私钥 数字证书认证系统 公钥 制 信 令 具有安全功能的 前端设备 公钥 私钥 认证信息是对VKEK等构成的组 公钥 合数据进行摘要算法计算（SM3）获 得 G B 3 5 11 4 功 能 实 现 — 视 频 签 名 具有安全功能的 客户端 对比验证 摘要 公钥 私钥 密码机 公钥 信息 摘要 信息 前端设备生成 客户端生成 视频安全密钥服务系统 密码管理系统 具有安全功能的 具有安全功能的 媒体服务器 信令服务器 公钥 私钥 公钥 公钥 私钥 数字证书认证系统 公钥 具有安全功能的 前端设备 公钥 私钥 公钥 视频签名由前端设备用私钥对视 频帧数据的摘要信息进行加密（数据 签名）获得 G B 3 5 11 4 功 能 实 现 — 实 时 视 频 加 密 和 解 密 具有安全功能的 公钥 私钥 密码机 公钥 客户端 视频安全密钥服务系统 具有安全功能的 具有安全功能的 媒体服务器 信令服务器 公钥 私钥 公钥 公钥 私钥 公钥 具有安全功能的 前端设备 公钥 私钥 公钥 密码管理系统 数字证书认证系统 VEK由具有安全功能的前端设备随机 产生的对称密钥，按照一定的规律变化， 用于直接加密视频内容，实现视频传输、 存储等的机密性保护 G B 3 5 11 4 系 统 升 级 视频监控系统升级为GB35114系统后，兼容支持原有前端设备接入 GB35114系统 原有前端设备 （GB/T28181） 新建前端设备 （ GB35114 ） 现 有 摄 像 机 升 级 支 持 G B 3 5 11 4 （ A 级 ） 分散私钥（SDK）方式 TF（加密）卡方式 1 固件（Firmware）升级 1 固件（Firmware）升级 2 插入TF（加密）卡 2 部署分散私钥服务系统，固件对接分散私钥SDK 前 端 设 备 安 全 等 级 建 议 （C 级 ） C级支持 接入认证 政府机关 信令认证 金融机构 视频签名 重要道路 视频加密 水利工程