标准规范下载简介
JT/T 1416-2022 交通视频监控网络密码应用技术规范.pdf简介:
JT/T 1416-2022 《交通视频监控网络密码应用技术规范》是由中国交通运输部公路交通工程标准技术委员会发布的行业标准,其主要目的是为了规范和指导交通视频监控系统中密码的应用,以确保网络安全、数据安全和系统稳定性。
该标准涵盖了交通视频监控网络中密码的设计、使用、管理和保护等多个方面,包括但不限于密码的强度要求、密码策略、多因素身份验证、加密技术的应用、密码策略的实施以及密码管理系统的建设等。它旨在提高视频监控系统的安全性,防止未经授权的访问、数据泄露或者篡改,保护公民的隐私和个人信息。
具体内容可能包括密码长度、复杂度要求、密码更新频率、密码有效期、口令保护、生物特征识别等,以及如何通过安全的密码策略来防止密码暴力破解和密码猜测攻击。
总的来说,JT/T 1416-2022 是为了提升交通视频监控系统的整体安全防护水平,是保障交通网络安全运行的重要技术规范。
JT/T 1416-2022 交通视频监控网络密码应用技术规范.pdf部分内容预览:
JT/T 1416=2022
视频加密主密钥videomainkey 用于生成视频加密二级密钥的对称密钥
用于生成视频加密二级密钥的对称密钥。 密码模块cryptographicmodule 在设备中实现随机数产生和密码运算功能的,相对独立的软件、硬件、固件或其组合 [GB 35114—2017,定义 3.1.12]
下列缩略语适用于本文件。 CA:数字证书颁发机构(CertificateAuthority) CEPK:用户终端加密密钥对(ClientEncryptionPublicKey) CRL:证书撤销列表(CertificateRevocationList) CSPK:用户终端签名密钥对(ClientSignaturePublicKey) DEPK:前端设备加密密钥对(DeviceEncryptionPublicKey) DSPK:前端设备签名密钥对(DeviceSignaturePublicKey) ECB:电子密码本模式(ElectronicCodeBook) OFB:输出反馈模式(OutputFeedBack) PEPK:管理平台加密密钥对(PlatformEncryptionPublicKey) PSPK:管理平台签名密钥对(PlatformSignaturePublicKey) SEPK:服务器加密密钥对(ServerEncryptionPublicKey) SIP:会话初始协议(SessionInitiationProtocol) SSPK:服务器签名密钥对(ServerSignaturePublicKey) VEK:视频加密密钥(VideoEncryptionKey) VKEK:视频密钥加密密钥(VideoKeyEncryptionKey) VMK:视频加密主密钥(VideoMainKey) VPMK:视频加密二级密钥(VideoPlatformMainKey)
SLT 792-2020 水工建筑物地基处理设计规范(OCR版本)交通视频监控网络密码应用总体架 架构”)由具有安全功能的前端设备、具有安 全功能的用户终端、视频安全密钥服务系统 “密钥服务系统”)、交通视频监控安全管理平台 以下简称“管理平台”)四个部分组成总体架构
总体架构各组成应具备以下功能: a)具有安全功能的前端设备、用户终端、中心信令控制服务器和媒体服务器采用密码模块实现 安全保护; b 具有安全功能的前端设备能够实现基于数字证书的设备身份认证、视频签名、视频加密等信
总体架构各组成应具备以下功能: a)具有安全功能的前端设备、用户终端、中心信令控制服务器和媒体服务器采用密码模块实现 安全保护; b)具有安全功能的前端设备能够实现基于数字证书的设备身份认证、视频签名、视频加密等信
息安全保护功能; ) 具有安全功能的用户终端能够实现基于数字证书的用户身份认证、加密视频解密等安全 功能; d) 具有安全功能的中心信令控制服务器能够实现基于数字证书的设备身份认证、信令安全、密 钥分发等安全功能; e) 具有安全功能的媒体服务器能够实现基于数字证书的设备身份认证、视频加密及解密等安全 功能; f 信令安全路由网关由SIP服务器采用密码模块实现路由信息的传递以及路由信息、信令身份 标识的添加和鉴别等功能; 安全管理平台具备用户终端身份鉴别、前端设备接人认证、管理平台间认证、访问控制与授 权、信令保护、视频数据保护、责任认定、安全管理、视频数据播放等功能; h 密钥服务系统具备对接交通运输行业密钥管理与证书认证系统(以下简称“行业密钥系统”) 和提供用户和设备身份证书的制发功能,能够为管理平台提供证书查询和验证等服务,并完 成对称密钥管理。
息安全保护功能; 具有安全功能的用户终端能够实现基于数字证书的用户身份认证、加密视频解密等安全 功能; d) 具有安全功能的中心信令控制服务器能够实现基于数字证书的设备身份认证、信令安全、密 钥分发等安全功能; e) 具有安全功能的媒体服务器能够实现基于数字证书的设备身份认证、视频加密及解密等安全 功能; f 信令安全路由网关由SIP服务器采用密码模块实现路由信息的传递以及路由信息、信令身份 标识的添加和鉴别等功能; 安全管理平台具备用户终端身份鉴别、前端设备接人认证、管理平台间认证、访问控制与授 权、信令保护、视频数据保护、责任认定、安全管理、视频数据播放等功能; h 密钥服务系统具备对接交通运输行业密钥管理与证书认证系统(以下简称“行业密钥系统”) 和提供用户和设备身份证书的制发功能,能够为管理平台提供证书查询和验证等服务,并完 成对称密钥管理。
图1交通视频监控网络密码应用总体架构
JT/T 1416=2022
名、密钥保护等; b 对称密码算法使用符合国家密码管理局规定的SM1分组密码算法或GB/T32907规定的SM4 分组密码算法,用于密钥协商数据的加密保护和视频数据的加密保护。对视频数据加密时, 算法使用OFB工作模式;对密钥数据加密时,算法使用ECB工作模式;工作模式符合GB/T 17964的规定; 密码杂凑算法使用SM3密码杂凑算法,符合GB/T32905的规定,用于数据完整性校验; d)随机数生成管法生成的随机数应符合GM/T0062的检测要求
应使用数字证书实现用户终端身份鉴别、前端设备接入认证、管理平台间认证、责任认定等安全功 能,并根据GB/T25056的规定对各类证书进行安全管理。证书格式和CRL应符合GB/T20518的 规定, 数字证书应包括以下类型: a) 用户终端签名证书,用于用户的身份认证; b) 用户终端加密证书,用于获取VKEK; C 前端设备签名证书,用于设备的身份认证,并对设备产生的视频数据进行数字签名; d 前端设备加密证书,用于获取VKEK; e 服务器设备证书,用于服务器设备的身份认证; 管理平台证书,用于管理平台的身份认证
密钥分为对称密钥和非对称密钥。对称密钥包括视频加密主密钥、视频加密二级密钥、视频密钥加 密密钥及视频加密密钥;非对称密钥包括前端设备签名密钥对、前端设备加密密钥对、用户终端签名密 钥对、用户终端加密密钥对、服务器签名密钥对、服务器加密密钥对、管理平台签名密钥对及管理平台加 密密钥对。密钥算法要求及用途见表1
表1密钥算法要求及用途
JT/T 1416=2022
密钥生成应符合以下要求: a VMK在系统初始化时由行业密钥系统生成; b VPMK由VMK以管理平台标识(管理平台标识格式见附录A的A.1),经过SM4算法分散 生成; C VKEK由VPMK以前端设备标识(前端设备标识格式见附录A的A.2)和更新时间,经过SM4 算法进行分散生成; d) VEK由前端设备中的密码模块生成; e) DSPK由前端设备中的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书; f) DEPK由行业密钥系统生成并签发加密证书; g CSPK由用户终端的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书; h) CEPK由行业密钥系统生成并签发加密证书; i SSPK由服务器中的密码模块生成,签名公钥可导出,由行业密钥系统签发签名证书: j SEPK由行业密钥系统生成并签发加密证书; k) PSPK由管理平台连接的密钥服务系统生成,签名公钥可导出,由行业密钥系统签发签名 证书; PEPK由行业密钼系统生成并签发加密证书
密钥存储应符合以下要求: a VMK存储于密钥服务系统应用的密码机中; b) VPMK存储于二级密钥服务系统应用的密码机中; c VKEK存储于二级密钥服务系统应用的密码机中; d) VEK用VKEK经SM4算法加密后,以密文形式存储于视频码流中; e) DSPK存储于前端设备的密码模块中; f) DEPK存储于前端设备的密码模块中,同时加密存储于行业密钥系统中; g) CSPK存储于用户终端的密码模块中; h) CEPK存储于用户终端的密码模块中,同时加密存储于行业密钥系统中; SSPK存储于服务器的密码模块中; 心 j) SEPK存储于服务器的密码模块中,同时加密存储于行业密钥系统中; k) PSPK存储于本级密钥服务系统应用的密码设备中; 1) SEPK存储于本级密钥服务系统应用的密码设备中,同时加密存储于行业密钥系统中
厦门交流中心大厦抹灰及涂料施工专项方案5.2.6密钥分发与更新
密钥分发与更新应符合以下要求: a VMK不分发,更新周期不大于10年; b VPMK由VMK分散生成,通过密钥母卡与密钥传输卡,以密文形式离线分发,VPMK与VMK 同步更新,流程见附录B的B.1; C VKEK由VPMK分散生成,用户终端、前端设备可通过加密公钥以数字信封方式获取,VKEK 定期更新,更新周期不大于1天,流程见附录B的B.2; d) VEK以密文形式存储于视频码流中,通过解析视频码流数据获取,VEK定期更新,更新周期不 大于1小时;
JT/T 1416=2022
e 同设备的DSPK和DEPK基于双证书的形式向行业CA申请并在线获取,更新周期不大于 5年; f 同设备的CSPK和CEPK基于双证书的形式向行业CA申请并在线获取,更新周期不大于 5年; 8 同服务器的SSPK和SEPK基于双证书的形式向行业CA申请并在线获取,更新周期不大于 5年; h) 同平台的PSPK和PEPK基于双证书的形式向行业CA申请并在线获取,更新周期不大于 5年,
5.2.7密钥备份恢复
密钥备份恢复要求如下: VMK通过密钥母卡与密钥传输卡备份和恢复; b) VPMK不备份,可通过密钥生成方式恢复; VKEK不备份,可通过密钥生成方式恢复; d) VEK加密存储于视频码流中,不单独备份和恢复; e) DSPK不备份,不可恢复; f) DEPK不备份,可通过行业密钥系统恢复; g) CSPK不备份,不可恢复; h) CEPK不备份《建设工程施工现场供用电安全规范 GB50194-2014》,可通过行业密钥系统恢复; i SSPK不备份,不可恢复; j) SEPK不备份,可通过行业密钥系统恢复; k) PSPK不备份,不可恢复; 1 PEPK不备份,可通过行业密钥系统恢复
用户终端身份鉴别应符合以下要求: a 对所有访问管理平台的用户终端进行身份鉴别; 管理平台对用户基本信息、属性信息以及用户标识与用户证书的对应关系进行管理; 用户证书由行业密钥系统统一签发,存储于用户终端的密码模块中; d)用户终端身份鉴别流程符合GB/T15843.3的规定
6.3前端设备接入认证