东进技术视频加密传输解决方案

1.   方案背景

1.1. 应用背景

随着视频监控系统的广泛应用，小到一栋大楼、一个园区，大到一个城市都部署了大量的视频监控系统，对于视频数据的安全问题也日益凸显，如何有效保障视频采集端到服务端的视频数据的保密性也是视频采集监控系统刻不容缓需要解决的问题。本方案旨在通过密码技术，特别是国产密码算法技术，解决视频采集端与服务端的视频数据的安全。

1.2. 视频监控系统的现状

目前而言，一个完整的视频监控系统，由前端摄像系统、信号传输系统、数字编解码系统、视频存储系统、视频管理系统等要素组成，典型的视频监控系统部署架构（以高速公路视频监控为例）如下：

从上图中可以看出，视频数据从采集点采集存储后，需要与多系统、多层级的进行传输和访问，因此，如何确保视频数据从采集点到各应用系统、各层次网络的视频数据安全至关重要。

1.3. 视频监控系统的安全需求分析

• 如何保障视频采集端到直管系统之间的视频数据传输安全？

• 如何确保跨级别多系统之间的数据传输安全？

2.   东进视频加密传输解决方案

2.1. 技术思路

• 通过为视频采集端提供嵌入式安全模块，对视频采集终端赋予源视频流加密功能，保障视频数据源头的安全性。

• 对于无法集成嵌入式安全模块的视频采集端，我们将通过配置轻量级无感知数据加密网关（DJEM-100），通过串接在视频采集端网络，自动无感知实现视频源数据的加密。

• 在应用系统网络入口端，通过配置东进加密传输网关实现网络传输通道的数据无感知加密，同时，可根据用户应用场景的需要，对于跨级别、跨区域的应用系统方案进行强身份认证。

• 部署东进密钥管理系统，科学、安全解决各类终端、各级系统之间的密钥产生、密钥分发安全。

2.2. 解决方案

整个系统部署方案如下：

2.3. 方案说明

1.   嵌入式安全模块

嵌入式安全模块为小型数据加密卡，通过USB口或者串口与摄像头主板进行通信，提供视频数据流的加密以及传输功能（可根据摄像头终端的类型选择仅加密模式以及加密传输模式）。

2.    轻量级加密传输网关（DJEM-100）

轻量级加密传输网关为透明数据加密传输网关，通过网口与摄像头通信，串接在摄像头传输网络中，为摄像头的视频数据提供加解密传输服务。

3.    东进加密传输网关

东进加密传输网关为整个视频监控网络提供传输层的数据透明加解密服务，东进加密传输网关作为视频监控管理系统网络的边界设备，对摄像头的视频源数据进行加密，同时，对上级管理部门系统访问视频源数据在传输层进行视频源数据的加密/解密传输。

4.    密钥管理系统

由于本系统中视频终端加密密钥、本地管理系统网络中的传输网关以及多个上级网络接入中的传输加密网关等多个网络之间的加密数据流的互通互联，同时，为进一步满足对视频流访问的管理粒度，可考虑对不同的管理部门、不同的应用系统采取不同的密钥进行视频数据的加解密，充分确保视频数据的安全，因此，在每一个的视频采集本地系统以及各上级管理部门的系统中统一部署一套密钥管理系统，主要实现以下功能：

• 视频采集终端的密钥管理，包括初始密钥的灌入、密钥的更新、密钥的归档。

• 东进加密传输网关的密钥管理，包括本地东进加密传输网关的密钥管理、与上级管理部门各系统之间的密钥分发和同步以及密钥的归档（可满足不同的管理部门、不同的业务系统采用不同的加密密钥）。

• 周期性的更新传输加密密钥

5.    东进服务器密码机

东进服务器密码机主要为密钥管理系统提供密钥的产生、密钥的安全存储等功能。

3.   系统特点

3.1. 终端适应性强，部署灵活

针对不同的视频采集终端，提供多种集成方式，既可通过嵌入安全模块的方式进行视频流数据的加解密，同时对于无法进行集成的视频采集终端，提供轻量级的透明数据加密传输网关，整个系统部署方便灵活。

3.2. 服务端无感知加密传输，无需改变原有网络结构

服务端采用东进加密传输网关，实现视频采集端到服务端网络的数据无感知视频数据加密传输，同时实现多服务端、多部门、多系统之间的网络区隔化数据无感知数据加密传输，而无需对现有网络以及系统进行任何的改变。

3.3. 同时支持标密算法以及国密算法

本系统中的所有密码设备同时支持标密算法以及国密算法，适应多种应用场景。