JT_T 1416-2022CN交通视频监控网络密码应用技术规范.pdf

ICS 35.240.60R 85中华人民共和国交通运输行业标准JT/T1416—2022交通视频监控网络密码应用技术规范Technical specification for cryptography application of traffic videosurveillancenetwork2022-01-13发布2022-04-13实施中华人民共和国交通运输部发布 JT/T 1416—2022目次前言范围2规范性引用文件3术语和定义4缩略语5总体要求6功能要求7性能要求附录A(规范性附录)平台与设备标识规则附录B(规范性附录)密钥分发与更新流程10附录C(规范性附录)控制信令结构与认证流程12附录D(规范性附录)视频数据保护结构与流程1.3参考文献 JT/T 1416—2022间信息向管理平台的视频安全密钥服务系统申请获取VKEK，管理平台使用用户的加密公钥对VKEK加密，并返回给用户终端。用户终端使用加密私钥解密得到VKEK，使用VKEK对加密的视频数据码流解密得到VEK，使用VEK解密视频数据得到视频数据原文。其体流程符合CB35114—2017附录C中C.6的规定。7性能要求7.1基本要求交通视频监控网络安全系统应满足设备对认证时间、说频数据签名性能和视频数据加解密性能的要求。7.2设备认证时间设备身份双向认证时间延迟不应超过400ms。7.3视频数据签名性能具有安全功能的前端设备对视额关健赖签名，耗时不应超过800ms。7.4视频数据加解密性能具有安全功能的前端设备视频数据加密性能不应小于10Mb/s，用户终端播放解密性能不应小于10Mb/ss8 JT/T 1416—2022附录A(规范性附录)平台与设备标识规则A. 1管理平台标识规则管理平台标识由地区编码(4位）、运营商编码(4位)共8位十进制数字字符构成。A,2前端设备标识规则前端设备标识由密码模块型号编码（4位）、类型编码（2位）、生产日期编码（8位）、批次编码(3位）和序列号(5位)共五个码段22位十进制数字字符构成。前端设备标识编码规则见表A.1。表A.1前端设备标识编码规则码段码位含义取值说明密码模块型号编码1 ~4密码模换的产品型号取国家密码管理局批准的密码模块的产品型号后四位数字10安全芯片类型编码5 ~6密码模块类型编码02安全TF卡66其他生产日期7 14生产日期前端设备的生产日期,格式为YYYYMMDD批次15 17批次号前增设备的生产批次序号18 22前端设备序号9 JT/T1416—2022附录B(规范性附录)密钥分发与更新流程B.1VPMK密钥分发与更新VPMK密钥分发与更新流程如图B.1所示，流程如下：a)二级密钥服务系统向交通视额密钥服务系统申请VPMK；b)二级密钥服务系统的VPMK由VMK对二级平台ID进行分散生成；c)二级密钥服务系统的密钥采用密钥母卡和密钥传输卡离线传输；d)二级密钥服务系统的VKEK保存在硬件密码设备中；e)交通视额密钥服务系统向二级管理平台下发访问二级密钥服务系统的凭据、服务IP、端口等；f)二级管理平台访间密钥服务。二级密期交通视顺安全服务系能密销服务系统1.提交信息平台身份销息和签名2.审核信息依据分款数累生成VPMK6.请间密销服务3.下发密相每卡和传编卡4.我证并导入密价5.下发访用二经客销量务系统的先器、服务1P、编口等图 B. 1VPMK密钥分发与更新流程10 JT/T 1416—2022B.2VKEK密钥分发与更新VKEK密钥分发与更新流程如图B.2所示，流程如下：a)二级管理平台向前端设各发送QuestCatalog请求，获取前端设备资源列表；b)前端设备返回请求应答消息；c)前端设备返回设各资源列表，设备资源列表包含前端设备的加密证书和签名信息；(P二级管理向前端设备返回确认消息；e)二级管理平台向二级密钥服务系统发送创建VKEK请求；f)二级密钥服务系统验证前端设备签名信息后，使用前端设备加密证书公钥加密VKEK，返回VKEK密文;g)二级管理平台发送DeviceControl命令，将VKEK密文发送给前端设备，进行密钥更新；h)前端设备获取VKEK密文，更新VKEK，向二级管理平台返回应答消息。服务系统三级市览二级管理平台前端设备前翼：双向认证通对合令：QuestCatalog1_SIP: Message获联设务费服列表2.SIP.OK命令:RespomeCatalog3.SIP:Message发造设备资列表4.SIP:OK5.发送创建VKEK请求7.SIP:Message令:Device Control6.VKEK密文发适VKEK密文8.SIP:OKT图 B, 2VKEK密钥分发与更新流程11 JT/T 1416—2022附录C(规范性附录)控制信令结构与认证流