CN114640487B - 一种避免中断视频监控设备运行的gb35114标准实时检测系统和方法 - Google Patents
一种避免中断视频监控设备运行的gb35114标准实时检测系统和方法 Download PDFInfo
- Publication number
- CN114640487B CN114640487B CN202011483040.8A CN202011483040A CN114640487B CN 114640487 B CN114640487 B CN 114640487B CN 202011483040 A CN202011483040 A CN 202011483040A CN 114640487 B CN114640487 B CN 114640487B
- Authority
- CN
- China
- Prior art keywords
- module
- equipment
- message
- standard
- signaling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 66
- 238000011897 real-time detection Methods 0.000 title claims abstract description 16
- 238000000034 method Methods 0.000 title claims abstract description 10
- 230000011664 signaling Effects 0.000 claims abstract description 65
- 238000012545 processing Methods 0.000 claims abstract description 25
- 238000004458 analytical method Methods 0.000 claims description 38
- 238000001514 detection method Methods 0.000 claims description 33
- 238000012795 verification Methods 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 16
- 230000003993 interaction Effects 0.000 claims description 15
- 238000012550 audit Methods 0.000 claims description 11
- 238000007726 management method Methods 0.000 claims description 8
- 238000013475 authorization Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 5
- 206010028980 Neoplasm Diseases 0.000 claims description 4
- 201000011510 cancer Diseases 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 4
- 230000002045 lasting effect Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 7
- 238000005516 engineering process Methods 0.000 abstract description 6
- 210000001503 joint Anatomy 0.000 abstract description 5
- 230000002452 interceptive effect Effects 0.000 abstract 1
- 230000006855 networking Effects 0.000 description 9
- 238000010276 construction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种避免中断视频监控设备运行的GB35114标准实时检测系统和方法,其特征在于该系统;根据GB35114‑2017标准描述的交互流程及内容特征,判断视频监控网络中各设备是否满足GB35114‑2017标准规定的身份认证要求、视频数据签名认证防篡改要求、视频数据加密防窃取要求、密码算法要求、控制信令认证要求、密码管理要求、前端视频设备的安全等级,方便快速对整个视频监控网络是否符合GB35114‑2017标准做出合规性判断;同时对于检测的设备提供记录和查询,同时提供对于指定设备进行信令和媒体抓包的文件记录,便于事后进行追溯查询;该系统基于镜像网络流量进行检测,由于不改变现有视频监控设备对接方式和的运行状态,因此不会中断视频监控网络的数据传输;同时通过高速网络处理技术,可持续的实时的对于视频监控设备进行检测,发现实际运行是否满足GB35114标准要求,实时发现数据安全风险,用户体验好。
Description
技术领域
GB35114-2017是由公安部提出,全国安全防范报警系统标准化技术委员会 (SAC/TC100)归口,并经国家质量监督检验检疫总局、国家标准化管理委员会批准发布的国家标准,于2018年11月1日正式发布实施,规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求。
本发明涉及一种避免中断视频监控设备运行的GB35114标准实时检测系统和方法,用于视频监控网络中,检测摄像头,视频监控平台,监控视频播放软件,通过对于网络报文进行解析审计,依据GB35114标准判断在网运行的视频监控网络各设备是否满足GB35114协议要求。
缩略语及名词解释:
公共安全视频监控联网系统:以维护国家安全和社会稳定、预防和打击违法犯罪活动为目的,综合应用视音频监控、通信、计算机、网络、系统集成等技术,构建的具有信息采集、传输、交换、控制、显示、存储、处理等功能的能够实现不同
设备及系统间互联、互通、互控的综合网络系统。
GB/T28181:安全防范视频监控联网系统信息传输、交换、控制技术要求
GB35114-2017:公共安全视频监控联网信息安全技术要求
前端设备:联网系统中安装于监控现场的信息采集、编码/处理、存储、传输、安全控制等设备。
用户终端:经联网系统注册并授权的、对系统内的数据和/或设备有操作需求的客户端设备。
监控中心:视频联网监控系统内特定的信息汇集、处理、共享节点。
中心信令控制服务器:具有向SIP客户端、SIP设备、媒体服务器和网关提供注册、路由选择以及逻辑控制功能,并且提供接口与应用服务器通信。组成中心信令控制的逻辑实体包括代理服务器、注册服务器、重定向服务器、背靠背用户代理等的一种或者几种,是负责核心SIP信令应用处理的SIP服务器。
媒体服务器:提供实时媒体流的转发服务,提供媒体的存储、历史媒体信息的检索和点播服务。媒体服务器接收来自SIP设备、网关或其他媒体服务器等设备的媒体数据,并根据指令,将这些数据转发到其他单个或者多个SIP客户端和媒体服务器。
信令安全路由网关:具有接收或转发域内外SIP信令功能,并且完成信令安全路由网关间路由信息的传递以及路由信令、信令身份标识的添加和鉴别等功能,是一种具有安全功能的SIP服务器
Linux:一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和 UNIX的多用户、多任务、支持多线程和多CPU的操作系统
MySQL:一个关系型数据库管理系统,最流行的关系型数据库管理系统之一,在WEB应用方面,MySQL是最好的RDBMS(Relational Database Management System,关系数据库管理系统)应用软件。
Tomcat:服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用。
背景技术
一 随着网络视频监控技术高速发展,数据安全问题日益凸现。如何保证视频数据在这样的网络中不被别人窃取或篡改,且如何保证视频传输的安全性成了需要解决的问题。基于数据安全威胁越发严重,GB35114-2017于2018年11 月1日正式发布实施。
二 按照GB35114标准的技术要求,公共安全视频监控联网系统具备下述安全能力
1.设备身份认证(访问控制)
2.视频访问用户身份认证(访问控制)
3.视频数据签名认证(防篡改)
4.视频数据加解密(防窃取)
随着符合GB35114标准的加快落地,为了帮助视频监控系统更好的进行 GB35114标准的合规性建设步伐,就需要有一套系统和方法能够对在网运行设备是否符合GB35114以及符合的等级做出检测结果。
当前已有的检测系统和检测工具,主要是针对单个或小批量设备的,比如有实现模拟GB35114标准的中心信令控制服务器以及媒体服务器的安全功能的检测工具,可以检测IPC是否符合GB35114以及其符合的安全等级(A/B/C);或者有实现类似GB35114标准的IPC的安全功能的检测工具,来检测监控中心是否满足GB35114的安全功能;但是当前的检测工具和方法都是需要被检测IPC 或者视频监控平台与检测工具实际对接才能够进行检测,也就是说如果需要对在网运行的设备进行检测,需要修改运行设备的对接方式,从而影响现有的组网情况以及设备运行情况,进而会导致检测周期内的监控视频的中断,增加检测周期;而检测工具检测后,只是得出设备符合GB35114标准的结论,由于实际的视频监控系统分布较广,因此受到的安全威胁和攻击面也就大,而当视频监控设备实际部署到网络中运行时,是否真正采用GB35114的标准进行对接,确保数据交互的安全,现有检测工具就无能为力了。
因此对于已建设或者建设中的视频监控系统,亟需一套在不改变在网设备运行及组网的情况下、同时可以对运行设备可实时持续进行检测的GB35114标准检测系统,检测在网运行各设备是否符合GB35114-2017的技术标准安全或者达到的GB35114-2017的安全等级,给出检测报告。
发明内容
本发明提供了一种避免中断视频监控设备运行的GB35114标准实时检测系统和方法,应用于检测视频监控网络中部署的各设备是否满足GB35114-2017安全要求,从场景和功能上包括
前端监控设备与监控中心互通是否满足GB35114-2017的身份认证要求
视频访问用户与监控中心互通是否满足GB35114-2017的身份认证要求
视频数据由前端监控设备往监控中心发送是否满足GB35114的签名认证防篡改要求
视频数据由前端监控设备往监控中心发送是否满足GB35114的加解密防窃取要求
对称/非对称密码算法/杂凑算法是否满足GB35114-2017的要求
密钥管理是否满足GB35114-2017的要求
前端监控设备的GB35114-2017的安全等级
本系统部署在已经在网运行的视频监控网络中,通过镜像流量的方式获取整个视频监控系统中各设备交互的信令报文和媒体报文,根据GB35114-2017标准中描述的信令和媒体报文内容特征对各设备的标准符合度以及设备的安全等级进行检测,给出分析报告;由于不需要修改在网设备的对接方式,并且不改变现有视频监控网络的数据流量,因此本系统不会影响在网设备的运行状态,做到不中断在网运行设备运行的情况下进行检测;同时一旦出现不符合GB35114 标准的设备入网,或者监控设备满足GB35114标准但实际运行时未采用GB35114 功能进行数据交互,就会产生实际数据安全风险,而本系统的由于采用了高性能的网络处理技术,因此可以对全网视频监控网络设备是否符合GB35114标准进行不间断的持续性检测,从而实时的发现数据安全风险。
图1为本发明所述的避免中断视频监控设备运行的GB35114标准实时检测系统,包括:网络报文处理模块,信令审计模块、媒体审计模块,审计信息记录模块,数据库模块,Web配置及展示模块,信令验证模块,媒体验证模块。
1.网络报文处理模块,负责:
由于在视频监控网络实际部署中,网络中均为实时传输的是视频流量, 24小时不中断而且流量很大,检测系统部署在视频监控中心平台前,可采用旁路镜像的部署方式,整个视频监控系统的视频流量要全部进入本系统,若需要对视频监控网络中的设备进行全覆盖检测,因此需要一种高速网络报文流量和处理技术来适应视频监控网络中视频如此大流量的转发和控制,本网关系统的网络报文处理模块采用旁路Linux内核的 DPDK高速转发框架,同时通过Memory HugePage、报文零拷贝、批量多报文向量编程处理技术,叠加Pipeline的设计模式,达到系统线速转发能力,从而可适应大规模设备及高流量下的GB35114协议符合度检测。本模块负责实时监控经过设备的网络报文,对于符合规则的访问控制报文进行获取和分类,送往信令解析模块和媒体解析模块进行处理
2.信令解析模块,负责:
针对网络报文处理模块提取的符合IP/UDP/TCP的规则的报文,对报文进行解析,判断是否为SIP协议,并且进一步识别Register交互流程:提取初始Regitser报文中的Authorization头域,401 Unauthorized 中的WWW-Authenticate,鉴权Register报文中的Authorization头域 200 OK报文中的SecurityInfo头域信息;提取Register交互流程中Register 200 OK消息通讯双方确定使用的加解密算法;针对Invite, Message,Subscribe,Bye,Cancel,ACK,Option报文检测SIP头域中携带的Note内容;提取注册成功的Register 200 OK消息携带进行加密后的VKEK密文内容;负责将上述解析结果通知设备审计模块。
3.媒体解析模块,负责:
针对网络报文处理模块提取的符合IP/UDP/TCP的规则的报文,对视频报文数据进行解析,包括对PS Over RTP,SVAC Over RTP格式的报文进行解析;对视频数据携带的authentication_idc参数及内容进行解析;对视频数据携带的encryption_type和encryption_idc参数及内容进行解析;负责将解析结果通知设备审计模块。
4.信令验证模块,负责:
依据国密算法检测标准,通过Web配置及展示模块上传的待检测设备的公私钥证书,对取到的信令数据,通过对信令数据进行签名验证,判断信令报文的认证是否使用了GB35114-2017标准要求的国密签名算法,并可以验证信令报文中签名的内容的正确性;同时将结果通知审计信息记录模块进行记录。
5.媒体验证模块,负责:
依据国密算法检测标准,通过Web配置及展示模块上传的待检测设备的公私钥证书,(1)对抓取到的待检测设备媒体数据,对媒体报文内容进行签名验证,判断媒体报文的签名使用了GB35114-2017标准要求的国密签名算法,并可以验证媒体报文中签名的内容的正确性;(2)对抓取到的待检测设备媒体数据,对加密视频数据使用国密加解密算法进行解密,通过判断解密后的视频数据是否可正常使用,判断对媒体报文的加密是否使用了GB35114-2017标准要求的国密加解密算法;同时将结果通知审计信息记录模块进行记录。
6.设备审计模块,负责:
接收信令解析模块和媒体解析模块检测到的内容,针对设备IP建立表项记录,通过检查Register消息交互流程的Authorization头域、 WWW-Authenticate、SecurityInfo头域判断设备是否符合GB35114-2017 的身份认证要求;通过检查视频数据中的NAL头中authentication_idc 参数及内容,以及视频验证模块的国密算法判定结果,综合判断是否符合视频数据签名认证要求;通过检查视频数据中的NAL头中 encryption_type和encryption_idc参数及内容,以及媒体验证模块的国密算法判定结果,综合判断是否符合视频数据认证及加密要求;按照周期判断Register 200 OK消息携带进行加密后的VKEK密文内容判断是否符合密钥更换周期的要求;并可以根据某设备是否符合身份认证要求、视频认证要求、视频加密要求综合判断出前端设备的安全等级 (GB35114设备的A/B/C前端设备安全等级);将上述所有的检测结果通知审计信息记录模块对结果进行记录。
7.审计信息记录模块,负责:
将检测到设备是否符合GB35114标准身份认证、视频数据认证、视频数据加密及设备所符合的安全等级记录到数据库;同时将信令解析模块和媒体解析模块中抓取到的信令和媒体报文记录成文件。
8.数据库模块,负责:
持久化存储功能配置数据,确保系统重启后,无须重新配置即可功能正常运行;持久化存储非符合标准的设备,确保系统重启后,仍然可以查询到历史记录,供溯源使用。
9.Web配置及展示模块,负责:
通过网页访问本系统进行功能的相关配置,包括配置检测等级,配置待检测设备IP及类型,以及对检测到的设备以及其GB35114-2017标准的符合度进行查询和展示。
本发明还提供一种避免中断视频监控设备运行的GB35114标准实时检测方法,它采用本发明所述的一种避免中断视频监控设备运行的GB35114标准实时检测系统,本系统部署在视频监控系统的位置如图3,对于网络中的视频信令和视频媒体报文可通过旁路流量镜像方式进行报文获取,通过判断信令报文和媒体报文中的内容,结合设备的公私钥证书,检测网络中各设备的GB35114标准的满足度以及等级;本系统不需要修改在运行的监控网络中各设备的对接方式,通过对运行设备的实时信令和媒体流量进行实时检测,从而可在不中断监控网络设备的运行状态情况下得出检测结果,并且可对各设备进行实时监测,进而可持续的得出检测结果。
检测系统启动后,配置需要检测的设备范围及检测等级,配置完成后,配置数据会存储在数据库模块中。
网络处理模块会实时监控经过网络上经过设备的IP报文,当发现符合要求的报文时,分别将报文送入信令解析模块和媒体解析模块,信令解析模块和媒体解析模块按照GB35114-2017标准检测出信息和内容,上报给设备审计模块进行设备标准符合度的判断以及信息的持久化存储,具体处理流程如下;
身份认证及信令认证检测-信令解析模块会识别SIP协议不同类型的交互流程(Register,Invite,Message,Subscribe,Bye,Cancel,ACK,Option),从而根据不同消息类型进行相应的判断,并提取相应的信令字段内容上报给设备审计模块;同时信令验证模块可依据国密算法检测标准通过上传的公私钥证书对于信令报文内容进行签名验证,判断信令报文的签名是否使用了GB35114 标准要求的国密签名算法;将结果通知设备审计模块。
媒体数据认证及加密检测-媒体解析模块识别前端设备视频数据签名控制消息交互流程,结合媒体解析模块识别媒体报文中视频数据携带的 authentication_idc参数内容,将解析结果上报给设备审计模块,设备审计模块确定此前端视频设备是否满足视频数据签名认证的安全要求并确定安全等级,并通知数据库模块记录到数据库中;同时解析模块识别前端设备视频数据加密控制消息,结合媒体解析模块识别媒体报文中视频数据携带的安全参数集内容,将检测结果上报给设备审计模块;媒体验证模块可依据国密算法检测标准通过上传的公私钥证书对于媒体报文数据内容进行签名验证,判断媒体数据内容的签名是否使用了GB35114标准要求的国密签名算法;同时可以对媒体数据进行解密,判断视频数据加密是否使用了GB35114标准要求的国密加解密算法,将结果上报设备审计模块。
密钥管理检测-按照GB35114-2017的标准要求,通讯双方设备基于Register 交互流程,并且在最终协商成功的Register 200 OK消息携带进行加密后的VKEK 密文,信令解析模块会取得使用的相应密文内容上报给设备审计模块,设备审计模块根据VKEK密文内容比较,判断设备是否按照6835114-2017标准要求的周期进行了密钥更换,是否满足密钥管理的安全要求,并通知数据库模块记录到数据库中。
设备审计模块综合信令解析模块、媒体解析模块、信令验证模块、媒体验证模块上报的结果综合判断待检测设备是否满足控制身份认证安全要求,视频数据认证要求,视频加密要求,并判断设备所符合的GB35114标准的设备安全等级,将结果通知数据库模块记录到数据库中。
具体实施方式:
本检测系统部署于视频监控系统的网络中;位于监控中心的核心网络交换设备旁边,通过旁路流量镜像的方式进行前端视频设备/视频用户终端/其他域的视频中心的信令和媒体报文的获取,检测进行视频交互的各设备是否满足 GB35114-2017的安全要求。
本系统中检测系统部署在Linux操作系统上,网关系统启动后,监控经过网络上经过设备的IP报文,对符合规则的报文进行信令和媒体的解析;系统识别设备间的注册及各信令交互流程,解析SIP信令中的Invite,Message, Subscribe,Bye,Cancel,ACK,Option报文中SIP头域的内容,并验证其是否正确使用了GB35114标准要求的国密算法,判断是否满足控制信令认证安全要求即身份认证的安全要求;系统识别前端设备视频数据签名控制消息交互流程,同时识别媒体报文中视频数据携带的authentication_idc参数内容,并验证其是否正确使用了GB35114标准要求的国密算法,判断前端设备是否满足视频数据签名认证的安全要求并确定安全等级,结果记录到数据库;系统识别前端设备视频数据加密控制消息,同时识别媒体报文中视频数据携带的安全参数集内容,并验证其是否正确使用了GB35114标准要求的国密算法,判断前端设备是否满足视频数据加密的安全要求并确定安全等级,结果记录到数据库;系统通过识别注册消息中携带的VKEK密文,通过提取周期交互的内容进行比对,判断是否满足GB35114标准的密钥周期更换要求。
附图说明
图1为本发明所述的网关系统模块架构
图2为本发明所述的GB35114-2017的信令及媒体网络报文传输格式
图3为本发明所述的网关系统在视频监控系统中的网络部署图(旁路流量镜像方式)。
Claims (7)
1.一种避免中断视频监控设备运行的GB35114标准实时检测系统,其特征在于在不中断在网视频监控设备运行状态的情况,并且能够快速的检测视频监控网络中部署的各设备是否满足GB35114-2017安全要求;系统部署在视频监控系统的核心交换机侧,采用旁路镜像方式接入视频监控系统网络,系统由网络报文处理模块,信令解析模块、媒体解析模块,审计信息记录模块,数据库模块,Web配置及展示模块,信令验证模块和媒体验证模块构成,其中:
1)网络报文处理模块负责实时处理经过设备的网络报文,对于符合规则的网络报文进行获取和分类,送往信令解析模块和媒体解析模块进行处理;
2)信令解析模块针对网络报文处理模块提取的符合IP/UDP/TCP的规则的报文,对报文进行解析,判断是否为SIP协议以及SIP信令交互流程,提取关键头域携带的字段内容,将结果通知设备审计模块;
3)媒体解析模块针对网络报文处理模块提取的符合规则的报文,对视频报文数据进行解析,提取视频头中携带的关键字段信息,将解析结果通知设备审计模块;
4)信令验证模块负责依据国密算法检测标准,通过Web配置及展示模块上传的待验证设备的公私钥证书,结合审计记录信息模块抓取到的信令文件,对信令报文内容进行签名验证,判断信令报文的签名使用了GB35114标准要求的国密签名算法,并可以验证信令报文中签名的内容的正确性;同时将结果通知设备审计模块和审计信息记录模块;
5)媒体验证模块负责依据国密算法检测标准,通过Web配置及展示模块上传的待检测设备的公私钥证书,针对审计记录信息模块抓取到的设备媒体文件,对内容进行签名验证,判断媒体报文的签名使用了GB35114标准要求的国密签名算法,并可以验证媒体报文中签名的内容的正确性;同时对媒体内容,使用使用国密加解密算法进行解密,通过判断解密后的视频数据是否可正常使用,判断对媒体报文的加密使用了GB35114标准要求的国密加解密算法;同时将结果通知设备审计模块和审计信息记录模块;
6)设备审计模块负责接收信令解析模块和媒体解析模块检测到的内容,针对设备IP建立表项记录,判断设备是否符合GB35114-2017的身份认证要求、视频数据签名认证要求、视频数据加密要求、密码算法要求、密钥管理要求,前端设备的安全等级并通知信息记录模块对结果进行记录;
7)审计信息记录模块负责将检测到设备是否符合GB35114标准及安全等级记录到数据库;将信令解析模块和媒体解析模块中抓取到的信令和媒体报文记录成文件;
8)数据库模块持久化存储功能配置数据,确保系统重启后,无须重新配置即可功能正常运行;持久化存储非符合标准的设备,确保系统重启后,仍然可以查询到历史记录;
9)Web配置及展示模块,通过网页访问本系统进行功能的相关配置,包括配置检测等级,配置待检测设备范围;可对检测到的设备以及其GB35114-2017标准的符合度进行查询和展示。
2.如权利要求1所述的一种避免中断视频监控设备运行的GB35114标准实时检测系统,其特征在于,系统部署在视频监控系统的核心交换机侧,采用旁路镜像方式接入视频监控系统网络,在不中断在网视频监控设备运行状态的情况,检测视频监控网络中部署的各设备是否满足GB35114-2017安全要求。
3.如权利要求1所述的一种避免中断视频监控设备运行的GB35114标准实时检测系统,其特征在于,系统可对视频监控网络中运行的设备实时的持续的进行检测,从而判断视频监控设备是否按照GB35114标准的要求实际部署到网络中运行。
4.如权利要求1所述的一种避免中断视频监控设备运行的GB35114标准实时检测系统,其特征在于,信令解析模块实现针对网络报文处理模块提取的符合IP/UDP/TCP的规则的报文按照SIP协议特征进行解析,判断是否为SIP协议;并且进一步识别Register交互流程,提取初始Register报文中的Authorization头域,401Unauthorized中的WWW-Authenticate,鉴权Register报文中的Authorization头域200OK报文中的SecurityInfo头域信息;提取Register交互流程中Register 200OK消息通讯双方确定使用的加解密算法;针对Invite,Message,Subscribe,Bye,Cancel,ACK,Option报文检测SIP头域中携带的Note内容;提取注册成功的Register 200OK消息携带进行加密后的VKEK密文内容。
5.如权利要求1所述的一种避免中断视频监控设备运行的GB35114标准实时检测系统,其特征在于,媒体解析模块针对网络报文处理模块提取的符合IP/UDP/TCP的规则的报文按照视频数据特征进行解析,包括对PS Over RTP,SVAC Over RTP格式的报文进行解析;对视频数据携带的authentication_idc参数及内容进行解析;对视频数据携带的encryption_type和encryption_idc参数及内容进行解析和提取。
6.如权利要求1所述的一种避免中断视频监控设备运行的GB35114标准实时检测系统,其特征在于,设备审计模块负责接收信令解析模块和媒体解析模块检测到的内容,针对设备IP建立表项记录,判断设备是否符合GB35114-2017的身份认证要求、视频数据签名认证要求、视频数据加密要求、密码算法要求、密钥管理要求,前端设备的安全等级并通知信息记录模块对结果进行记录。
7.一种避免中断视频监控设备运行的GB35114标准实时检测方法其特征在于采用权利要求1-6所述之一种避免中断视频监控设备运行的GB35114标准实时检测系统,将系统部署在视频监控系统的核心交换机侧,采用旁路镜像方式接入视频监控系统网络;接入前,需要先通过Web配置及展示模块进行功能配置,配置数据会存储在数据库模块中;接入后,网络报文处理模块会实时监控经过网络上经过设备的IP报文,当发现符合规则的报文时,将报文送入信令解析模块和媒体解析模块;信令解析模块按照GB35114-2017标准要求提取SIP报文中相应内容,媒体解析模块按照GB35114-2017标准要求提取视频数据报文中相应内容,信令验证模块通过公私钥证书验证设备间交互的信令报文内容判断是否使用了GB35114-2017标准要求的国密签名算法,媒体验证模块通过公私钥证书验证设备间交互的媒体报文内容判断是否使用了GB35114-2017标准要求的国密签名算法,通过解密设备间加密的视频数据通过其可用性判断其是否使用了GB35114-2017标准要求的国密加解密算法,设备审计模块基于设备IP建立信息表,对各模块数据进行综合分析,判断设备是否符合GB35114-2017标准以及安全等级的符合度,且存储入数据库;最终用户可通过Web配置及展示模块查询已检测设备的GB35114-2017符合度信息和安全等级信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011483040.8A CN114640487B (zh) | 2020-12-16 | 2020-12-16 | 一种避免中断视频监控设备运行的gb35114标准实时检测系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011483040.8A CN114640487B (zh) | 2020-12-16 | 2020-12-16 | 一种避免中断视频监控设备运行的gb35114标准实时检测系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114640487A CN114640487A (zh) | 2022-06-17 |
| CN114640487B true CN114640487B (zh) | 2024-03-12 |
Family
ID=81945455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011483040.8A Active CN114640487B (zh) | 2020-12-16 | 2020-12-16 | 一种避免中断视频监控设备运行的gb35114标准实时检测系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114640487B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117728962A (zh) * | 2024-02-18 | 2024-03-19 | 深圳码隆智能科技有限公司 | 一种确保多级视频数据存储一致性的签名传输方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018001193A1 (zh) * | 2016-06-28 | 2018-01-04 | 中兴通讯股份有限公司 | 一种交互式网络电视频道安全播放的方法、装置和系统 |
| CN107612698A (zh) * | 2017-08-08 | 2018-01-19 | 北京中海闻达信息技术有限公司 | 一种商用密码检测方法、装置与系统 |
| CN110572640A (zh) * | 2019-09-30 | 2019-12-13 | 公安部第一研究所 | 一种基于gb35114标准的视频签名验签测评工具及方法 |
| CN110768973A (zh) * | 2019-10-17 | 2020-02-07 | 公安部第一研究所 | 一种基于gb35114标准的信令安全测评系统及方法 |
| CN111274578A (zh) * | 2018-11-20 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种视频监控系统的数据安全防护系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060031291A1 (en) * | 2004-06-04 | 2006-02-09 | Beckemeyer David S | System and method of video presence detection |
-
2020
- 2020-12-16 CN CN202011483040.8A patent/CN114640487B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018001193A1 (zh) * | 2016-06-28 | 2018-01-04 | 中兴通讯股份有限公司 | 一种交互式网络电视频道安全播放的方法、装置和系统 |
| CN107612698A (zh) * | 2017-08-08 | 2018-01-19 | 北京中海闻达信息技术有限公司 | 一种商用密码检测方法、装置与系统 |
| CN111274578A (zh) * | 2018-11-20 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种视频监控系统的数据安全防护系统和方法 |
| CN110572640A (zh) * | 2019-09-30 | 2019-12-13 | 公安部第一研究所 | 一种基于gb35114标准的视频签名验签测评工具及方法 |
| CN110768973A (zh) * | 2019-10-17 | 2020-02-07 | 公安部第一研究所 | 一种基于gb35114标准的信令安全测评系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 公安视频图像信息联网应用运维管理平台检测工具的设计与实现;何迪,郑征;《检验检测》;20190430;全文 * |
| 积极开展GB 35114 标准符合性检测工作确保视频监控联网信息安全;李红莲;《中国安防》;20190831;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114640487A (zh) | 2022-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108600236B (zh) | 视频监控网络智能信息安全综合管理系统 | |
| CN111274578B (zh) | 一种视频监控系统的数据安全防护系统和方法 | |
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
| KR101294280B1 (ko) | 패킷 미러링 방식으로 암호화된 https 통신 데이터를 모니터링하여 개인정보유출을 방지하는 개인정보 유출 방지 시스템 및 방법 | |
| JP2002342279A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
| WO2017193949A1 (zh) | 一种码流篡改监控方法、装置及通信系统 | |
| CN110768973A (zh) | 一种基于gb35114标准的信令安全测评系统及方法 | |
| CN114598540A (zh) | 访问控制系统、方法、装置及存储介质 | |
| Lucena et al. | Syntax and semantics-preserving application-layer protocol steganography | |
| CN111988289B (zh) | Epa工业控制网络安全测试系统及方法 | |
| EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
| CN111082929A (zh) | 一种加密即时通讯的实现方法 | |
| Mazurczyk et al. | YouSkyde: information hiding for Skype video traffic | |
| CN111294639A (zh) | 一种视频实时在线共享浏览防篡改的系统和方法 | |
| US20170026186A1 (en) | Detection of fraudulent digital certificates | |
| CN111817844B (zh) | 一种应急场景下的双链路无线自组网及安全防御方法 | |
| CN112804215A (zh) | 一种基于零信任机制的视频采集安全处理系统及方法 | |
| CN114640487B (zh) | 一种避免中断视频监控设备运行的gb35114标准实时检测系统和方法 | |
| CN101729871A (zh) | 一种sip视频监控系统安全跨域访问方法 | |
| Neu et al. | An approach for detecting encrypted insider attacks on OpenFlow SDN Networks | |
| KR101089269B1 (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
| CN104852902A (zh) | 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法 | |
| WO2015081560A1 (zh) | 即时通信客户端的识别方法和识别系统 | |
| CA2844428A1 (en) | Real-time encryption of voice and fax over ip |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |