基于国密协议的铁路视频监控联网安全防护系统设计方案

摘 要：国密协议是指由中国国家密码管理局发布的加密算法标准，用于保障信息安全。为降低铁路视频监控系统联网安全风险、加快国产密码应用，本文针对铁路综合视频监控系统现状，提出在铁路综合视频监控系统通信专网边缘构建专用联网安全防护系统，对铁路视频监控系统进行联网安全防护，采用安全 SSL 协议引擎、IPSEC 协议封装的方式实现国产密码特性，利用国密协议中的认证和授权机制，对铁路视频监控联网系统的用户进行身份验证，并授予合适的访问权限。解决身份认证、权限管理、数据传输等多种安全问题，实现不同网络和资源互联，提供与专用网络一样的安全和功能保障，确保数据在传输过程中不会被窃取或篡改，有效提高系统安全级别。

1 概述

铁路综合视频监控系统基于标准网络技术和视频处理技术构建，实现分散监控节点、广域跨区控制、多级架构管理的视频图像采集、传输、存储和管理，承载着大量的铁路业务数据、基础通信信息等，是铁路网络安全防护工作的关键所在，一旦遭到破坏并影响正常使用，将对公众安全、经济稳定和国家发展产生一定程度的影响。

随着高速铁路综合视频监控系统业务的飞速发展，视频资源的共享应用越来越频繁，其与外部系统如公安专网、地方公网等通过互联网联接的需要日益强烈。由于不同系统建设的标准、实施、运维机制、所处网络等各不相同，其间的信息共享和交互面临的网络安全风险也日趋凸显，对视频信息安全防护的依赖程度越来越高。在铁路视频专网与外部系统网络之间，如何保证视频资源的共享以及如何保障数据信息的安全可靠，都是资源共享时亟待解决的问题。

国家出台了 GB/T 28181、GB35114 等一系列公共视频监控联网共享应用标准，对视频资源的联网共享进行规范。在符合标准应用的前提下，应重点考虑在铁路视频专网与外部系统网络之间，解决视频资源共享和数据信息安全的可靠解决方案，通过构建专用联网安全防护系统，来解决实际应用问题并形成一个综合的安全保障体系，主要包括如下几个方面：

资源共享策略：制定明确的资源共享策略，确定哪些视频资源可以共享给外部系统网络，以及共享的条件和权限。确保只有经过授权的外部系统可以访问和使用视频资源。

身份认证与访问控制：对外部系统的用户进行身份认证，并根据其权限级别设置访问控制策略。只有经过授权的用户才能访问视频资源，而且可以限制其操作权限，例如只能查看而不能修改或删除视频数据。

数据加密与传输安全：对于共享的视频资源和数据信息，使用国密算法对其进行加密保护，确保在输过程中无法被未授权人员窃取或篡改。同时，采用安全传输协议如SSL 协议等来加密数据的传输。

安全审计与监控：建立完善的安全审计和监控机制，对共享的视频资源和数据信息进行实时监控和审计，及时发现异常行为和安全事件，并采取相应的应对措施。例如，记录所有访问行为和操作日志，并定期进行安全审计。

联网安全网关：确保视频资源和数据信息存储设备的联网安全设备，限制网络访问权限，防止未经授权的系统联网或接入。

2 联网安全防护系统总体方案设计

基于铁路综合视频监控系统产品各个设备之间的网络拓扑结构，联网安全安全防护应用于铁路综合视频监控专网出口，实现铁路视频监控系统与外联系统在安全环境下的公共网络通信及数据共享，并能有效隔离内外部网络。构建联网安全防护系统，系统能基于实际业务和安全需求，制定详细的联网安全策略，包括网络访问控制、身份认证、数据加密、应用程序过滤、流量监控等，确保安全策略能够综合考虑安全需求和业务需求。

联网安全防护系统硬件使用工业级硬件平台、开源操作系统，采用安全 SSL 协议引擎、IPSEC 协议封装的方式实现符合国密规范的 IPSEC 协议的应用网关技术，形成软硬件一体化能力，保护用户数据的安全传输和访问用户的身份认证，在高安全性、高可靠性基础上，实现高性能的设计目标。

3 联网安全防护系统功能设计

联网安全防护系统采用全Web 管理的方式，所有功能模块通过Web 界面一站式维护，实现协议服务、管理功能的统一配置。软件功能框架如下图 2 所示，软件实现的基础是密码卡接口函数、SSL 协议引擎、IPSEC 协议引擎等服务模块，在其上进行系统管理，包括网络管理、证书中心、资源管理（SSL 设置、IPSEC 设置）、用户管理、日志管理、防火墙、状态监控、系统管理以及配置备份等，支持PC 端、Android 端、web 访问或第三方进行应用访问。

开

行加密，并在数据报中附加加密和身份验证所需的信息。ESP 不仅提供了数据的机密性，还可以提供数据的完整性和身份验证。工作流程如下图 5。

3.2 身份认证

联网安全防护系统设备设立信任验证机制，保证用户身份唯一，保障认证权威。通过证书中心和 CA安全认证提供可靠的认证、授权、数字签名等机制，防止没有授权的非法用户使用铁路视频内部网络资源。证书中心可实现自建 CA 和外部第三方的权威 CA。

1）CA 根证书

2）设备证书

外部第三方权威 CA 的公钥数字证书，包括其完整的证书链。

包括设备签名证书和设备加密证书，设备签名证书一般是由 CA 根证书专门为本设备签发，在安全网关的设备内部生成不可导出的私钥并由第三方 CA 生成数字证书并导入；加密证书是由第三方 CA 使用设备签名证书通过数字信封将生成的证书和私钥导入到设备中，并将私钥存储到密码卡中。

3）管理员证书

包括管理员签名证书和管理员加密证书，管理员签名证书由 CA 根证书专门为本用户签发。加密证书以及对应的私钥是由第三方 CA 颁发，并使用管理员签名证书通过数字信封的方式将其导入到智能密码钥匙，同时对应的私钥也会导入到智能密码钥匙。

3.3 访问控制

铁路视频监控系统依照铁路运行管理模式建设，包括核心、区域、I/II 类接入节点三级架构，所涉及管理人员众多、层级复杂、包括铁路总公司、路局和站段下属人员，需要设立访问控制机制，划定用户使用铁路视频网络的能力，区分用户访问铁路视频资源权限，避免非法访问和越权使用。

访问控制通过设置分权分域管理实现。在访问控制模块进行用户功能权限和访问资源范围配置，进行用户的角色、用户组的划分与绑定。系统角色分为系统管理员角色、审计管理员角色、安全管理员角色和普通用户角色，不同的用户角色对应不同的功能权限，使用时根据实际业务情况分配相应的权限；资源包括 Web 资源、文件资源、SSL/IPSEC 隧道资源等。由此，用户访问的合法范围的资源和权限由其角色和所在用户组确定。

3.1 加密通信

3.2.1 基于国产密码的 SSL VPN

外部系统访问铁路视频监控系统相关内部数据时，会在用户访问端与联网安全防护系统之间协商出一条安全 SSL 通道，从而保证数据在网络上传输的安全性。遵照 GM/T 0024-2014《SSL VPN 技术规范》的要求，逐步实现符合国密规范的协议交互所要求的数据。SSL VPN 工作流程如下图 3 所示。

er用户端 SSLVPN网关 内部网服务器

加解密算法服务由 SSL VPN 网关硬件层的密码卡提供，通过 SSL 协议引擎调用算法引擎实现加密卡的自动检测，从而选用 SM1、 SM2 M3、 SM4 国密加密算法， 系统通过调用 JSSE 接口实现应用。SSL访问包含浏览器和客户端代理（Agent）两种方式。B/S 应用可以通过浏览器以Https 的形式访问 SSL Web服务器；C/S 应用通过客户端代理Agent 建立的SSL 隧道，透明的将TCP 数据转发到服务端。

3.2.2 基于国产密码的 IPSEC VPN

遵照国 家密码管理局 GM/T 0022-2014《IPSEC VPN 技术规范》的要求，逐步实现符合国密规范的协议交互所要求的数据，调用密码卡的国密算法实现密码服务功能。

IPSEC 是为 IPv4 及 IPv6 数据报文提供高质量的、可互操作的、基于密码学安全性的协议，IPSEC 通过使用认证头A H 和封装安全载荷ESP 两种安全协议以及密钥交换协议IKE 来实现这些目标。

本方案联网安全防护网关提供 IPSEC 服务工作于隧道模式，在该模式下，原始报文在隧道中传输进行被封装在一个新的 IP 数据报中，该数据报的头部中包含了 AH 或 ESP 的相关信息，隧道模式允许 IP数据报在不同的网络之间进行封装和解封，以确保报文在传输过程中的安全性。

3.4 日志审计

认证头协议 AH 是一种 IPsec 扩展头，用于提供报文的完整性和身份验证，用于为 IP 数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务，AH 头保护整个 IP 报文，包括整个原 IP 报文以及新建外部IP 头的部分字段。

审计功能协助管理员在安全事件通过日志查看，评估网络配置的合理性、安全策略的有效性，追溯分析安全事件轨迹，实现用户行为审计，保障网络使用合法。

日志审计功能模块设计包括日志的参数设置、日志查看、日志下载、日志级别设置和日志审计等。日志类型包括操作日志、访问记录、异常事件记录等，记录操作的审计员标识、操作时间、日志内容以及对序列号、操作时间和日志内容的签名值。通过查看日志可以定位人员的非法操作，并通过校验签名值防止管理员对日志进行篡改。

图 4 IPSEC VPN 工作流程

3.5 配置备份

数据的备份和恢复是防止数据被破坏的重要手段。该功能主要有系统的备份、恢复以及恢复出厂设置，还有重启的相关操作等。系统备份采用五三门限的方式对系统的配置数据以及数据库数据进行备份，备份工作原理如下图 7。

封装安全载荷 ESP 则是一种提供报文加密和身份验证的 IPsec 协议扩展，它可以对整个 IP 数据报进

使用五个系统管理员，依次登录到系统中，系统将生成好的密钥分割成五片密钥碎片，分别导入到五个管理员的 Key 中。恢复系统的时候，则只需要其中的任意三个管理员依次登录系统导出相应的密钥碎片到系统中，系统会将这三片碎片重新组合恢复出之前的密钥，再将备份文件加密并提供下载，如下图 8。

3.6 服务控制

服务控制模块实现设备感知，监控整个设备的运行状况，包括设备所处的网络环境、硬件环境以及软件运行状况。网络环境包括设备的在线用户、连接数、arp 表等数据。状态监控模块实现系统运行自检，通过图表等多种方式显示系统运行状态、网络连接、路由表项等，提供直观的状态监控手段。管理员可以通过该模块掌握实时的设备运行状况，并根据最新的数据对设备进行维护，提高设备的可靠性和稳定性。

4 总结展望

本文提出一种联网安全防护系统的设计方案，一方面解决铁路视频专网边界的安全接入问题，另一方面有效地提升铁路视频监控系统数据保护和安全控制，以应对不断演变的安全挑战。未来铁路综合视频监控体系建设将更加注重监控、网络和安全的整合集中和互联共享，深度融合安全防护技术和安全管理能力，随着技术的不断发展，基于国密协议的安全防护设计还可以进一步完善和优化。随着计算能力的提高，可以研发更强大的国密协议密码算法，以应对未来可能出现的更复杂的密码攻击。引入更多的因素来增强用户身份认证的安全性，如生物特征识别、硬件安全令牌等。利用人工智能技术对视频监控数据进行实时分析和异常检测，提高对安全事件的发现和响应能力。构建具备自动修复和自愈能力的系统，能够及时应对安全漏洞和攻击，减少对系统运行的影响。加强对铁路视频监控联网安全的意识教育，提高用户和管理人员对安全威胁和防护措施的认知，立体全面地构建铁路通信网络安全生态。