基于5G边缘计算的视频监控密码应用研究( 三 ) _5G

文章插图

图5　身份认证技术框架
对于具体应用场景，轻量级认证协议、高并发认证流程、动态自适应心跳认证、加密与认证结合等相关技术也值得探讨和进一步研究。
2.4　高效密码协同机制
实际应用中，边缘计算往往因为平台自身的位置、规模、性能等因素，部署的密码功能会受到一定限制，如无完整的非对称密钥管理机制、无跨域信任功能、加解密运算速率有限等等。
通过边边协同、边云协同构建统一密码协作机制，可以有效解决此类问题。图6描述了此种思想。边缘计算平台与边缘计算平台之间，建立边边协同机制，跨域的边缘计算平台能够实现特定密码资源、密钥、证书、安全凭证的同步与共享。在业务高峰期，密码能力低的边缘计算平台可以依靠其他边缘计算平台分担密码压力，保证安全业务的正常运转；在非业务高峰期，通过协同机制可以进一步降低全局密码资源、基础设施资源的消耗。边缘计算平台与云平台之间，建立边云协同机制。
其中，云平台实现整体密码态势、密码资源调度、非实时密码运算等功能，边缘计算平台实现终端安全交互、实时密码运算等功能，双方共享部分密码资源、安全凭证。

文章插图

图6　高效密码协同机制
2.5　可信免疫技术
基于可信计算技术，对监控终端、边缘计算平台、云平台建立可信免疫体系，保证设备计算环境、业务应用的安全可信，防止针对设备、节点、数据、业务的非法篡改和伪造。图7展示了边缘计算平台的可信免疫框架，分别从纵向、横向两个维度进行边缘计算信任链传递，进而构建完整的可信体系。

文章插图

图7　边缘计算可信免疫框架
纵向信任链传递指的是节点自身的可信验证。分为边缘节点的信任链传递以及边缘管理的信任链传递。边缘节点将自身的可信模块作为信任根，首先对CPU等核心硬件进行可信度量，然后可信引导、启动BIOS、监视器及虚拟操作系统等资源，最后对提供的服务、运行的进程、承载的数据进行可信度量和完整性验证，以此保证整个节点的安全可信。同样地，边缘管理也基于可信模块，先后实现对CPU、BIOS、操作系统、配置/策略/资源池/应用编排等可信验证，确保边缘管理的可信。
横向信任链传递，指的以节点为单位进行可信验证，并确保整个边缘计算平台的可信。每个节点完成可信验证后，在系统方进行可信注册，一旦某个节点状态异常，应当进行异常登记、状态标识，并重新恢复。
2.6　安全隔离技术
边缘计算往往伴随云、虚拟化等应用，在进行安全防护时，应当基于密码技术进行安全隔离，确保边缘物理资源及虚拟资源的安全。如果边缘计算平台规模较大，存在着敏感区域及非敏感区域，可以使用网闸技术对物理网络进行隔离，防止敏感信息外泄。
由于轻量化部署原因，边缘计算往往采用Docker容器承载业务资源。Docker容器基于进程安全，其隔离性较差，存在着非法资源访问、数据泄露等风险，应当基于密码技术实现Docker安全域保护、Docker资源访问控制、敏感数据密码保护等，保障Docker虚拟化安全。
2.7　其他
面向基于5G边缘计算的视频监控场景，其他的密码技术还包括隐私保护、数据访问控制、视频防篡改重放、设备远程管理等等。此外，在体系化安全设计时，还应当考虑安全态势、安全可靠远程升级、系统安全加固、抗DDoS、接口安全设计、系统安全自主可控等安全技术。
03典型场景密码应用
3.1　高安全智能监控场景
业务场景：高安全智能监控，具备智能分析、人物精准识别、图像可视化等业务需求以及数据高安全需求，适用于重大活动保障、人工智能应用等行业领域。在该场景中，现场部署超高清智能摄像机（如4K/8K）,实现超高清视频的实时采集；靠近摄像机的网络接入侧部署MEC云平台，进行实时视频运算、存储、可视化展示，在后端接入业务云平台进行事后分析、研判和统一指挥。
密码方案：如图8所示，在上行终端、MEC云平台、业务云平台、下行终端四个部分实施密码应用。上行终端指的是现场的超高清摄像机。为摄像机内嵌高性能密码芯片及高性能密码模块，构造入驻式一体化的高安全终端，支持多路高速密码运算，能够在源端对高清视频进行安全保护。