基于5G边缘计算的视频监控密码应用研究( 二 ) _5G

（3）密码与协议流程融合：在进行密码应用时，应当充分考虑已有密码协议（如5G AKA认证、信令安全等），通盘梳理安全痛点及密码需求，在需要处实施密码防护，做到密码技术不堆叠、有的放矢。另一方面，密码技术应当与已有协议进行深度融合，做到协议安全增强的同时，尽量不影响业务流程，以此保证密码技术的持续应用。
（4）密码合规要求：5G、边缘计算、联网视频监控均属于国家重要信息系统基础设施，其安全问题关系到国家安全和社会稳定。在实际应用中，应当以国产自主可控的商用密码算法为基石，灵活可扩展地进行重构设计，保证安全合规的同时，达到高效、敏捷的目的。
02密码技术研究
2.1　总体框架
5G、边缘计算等新一代信息通信技术极大地赋能视频监控业务场景，促进视频监控更加广泛、深入、智能地服务应用。以密码为核心构建5G边缘计算视频监控的安全体系，就是要将安全以基因化形式注入5G边缘计算视频监控场景中，有效保障开放网络环境中的业务安全问题，确保视频监控业务应用的安全可持续发展，为5G+视频安全乃至5G+垂直行业安全提供密码应用及安全范例，推动5G产业的安全发展。基于5G边缘计算的视频监控密码应用框架如图3所示。

文章插图

图3　基于5G边缘计算的视频监控密码应用框架
密码应用框架以密码基础、密码设备、密码服务为支撑，在视频监控终端、边缘计算平台、云平台实施密码安全防护，有力保障5G视频监控在智能城市、安防监控、消费监控、视频AI等领域的安全应用。
密码支撑涵盖密码基础、密码设备、密码服务三个方面。密码基础指的是国家密码管理机构批准核实的密码算法、密码协议、密码接口，即基于国产商用密码的算法、协议及接口。
密码设备为部署在终端、边缘、云端的密码产品，包括密码芯片、IP核、密码模块、（云）密码机、（云）密码卡、密码中间件等。密码服务指的是密码运算、密钥管理、证书管理、统一信任等安全服务。
终端密码应用指的是为摄像头、IoT监控设备等提供的设备身份认证、端视频安全、监控安全接入、设备权限管控等密码能力。
边缘计算密码应用包括节点安全、网络安全、数据安全、应用安全、安全管理编排等方面的密码应用。
云平台密码应用包括边云密码协同、统一密码态势、视频业务安全等方面的密码应用。
体系化梳理基于5G边缘计算的视频监控密码应用框架，分析得出应当在边缘视频加密、身份认证、高效密码协同、可信免疫、安全隔离等方面的进行关键技术突破，实现安全体系的落地，切实保障边缘监控业务的顺利推进。
2.2　边缘视频加密技术
针对视频监控边缘计算的业务特点，提出轻量级加密算法、轻量级加密策略、高性能加密模式三种边缘视频加密技术，以满足不同场景的具体安全需求。图4对三种关键技术进行了总结。

文章插图

图4　边缘视频加密技术框架
轻量级加密算法：传统的商用加密算法（SM1、SM4、ZUC等）采用带密钥的多轮循环运算模式，安全级别高，同时运算开销大。可以根据具体情况，通过适当调整商密算法结构、定制专用密码算法、减少密钥长度等方式，构建轻量级的加密算法，在保障适当安全性的同时，降低密码运算、系统资源及能耗等方面的开销，以适用广分布、大连接、低成本的IoT监控设备的安全应用需求。
轻量级加密策略：当处理较大码率（10Mbps以上）的视频时，可以对视频数据进行编码域选择性加密，如加密I帧全部数据、P/B帧头数据、参数集重要数据等方式，实现较低密码开销的同时保障视频数据的机密性。此外，在某些场景中，可以通过预先产生加密密钥流、预先加密非实时视频等方式，对监控视频进行预加密，以缓解实时加密的压力。
高性能加密模式：面对高安全智能监控等应用场景，可以通过高并发多线程同时加密、多密码部件协同加密等方式实现高性能的加密运算，以满足大流量（20Mpbs以上）、多码流（2路复用）的同时加密需求。
2.3　身份认证技术
5G核心网面向业务应用提供认证功能。除此之外，可以将认证功能前移实现接入认证，或者构建二次认证体系实现再次认证。对于二次认证，根据边缘计算及业务平台的特点，认证可以驻留在边缘网关、边缘云、业务数据中心等不同的位置，以满足实际认证在性能、时延等方面的需求。具体框架如图5所示。