应急广播作为国家公共服务的重要组成部分,其系统安全性的重要程度不言而喻,而密码作为实现信息安全的重要手段,在应急广播领域受到了相当的重视。就在去年底,国家新闻出版广电总局印发了《全国应急广播体系建设总体规划》,提出了全国应急广播体系建设八个领域的重点项目,其中就包括国产密码算法在应急广播系统中的应用。不得不说,自主可控的国产密码算法,已在众多关键领域得到广泛应用。
盾王在广电领域“摸爬滚打”多年,通过将应急广播专用密码设备集成到应急广播平台、播发设备、终端等各部分,使应急广播系统具备安全管理、信息验证及鉴别等功能,从而保障其信息传递、播发过程的安全性。
基于密码技术的应急广播安全解决方案
1.建设目标
1.1根据应急广播系统的安全需求,配合应急广播四级联动的功能实现,在省级、市级、县级应急广播平台建设符合要求的国产密码信息保护系统,以实现国家、省、市、县间各级系统的信息安全传输。
1.2结合一般应急广播平台,在平台节点、传输及终端上增加安全体系控制节点。一方面基于国产密码算法、采用数字签名技术实现应急广播消息、控制指令的安全;另一方面基于数字证书体系的各应急广播节点的信任关系的建立,最终实现整个应急广播系统的“自主、安全、可控”。
2.建设方案
解决方案示意图
2.1 应急广播各级平台之间传递的消息以及中波、调频副载波、有线数字电视等传递的指令,均采用基于非对称密钥算法的数字签名方式实现合法性、完整性和真实性保护。
消息和指令的发送端:采用自身的私钥对消息和指令计算数字签名,并将数字签名附带在消息和指令中传递。
消息和指令的接收端:采用发送端的公钥对数字签名进行验证,确保只接收合法的应急广播消息,只处理合法的应急广播指令。
2.2 应急广播各级平台及接收端采用数字证书技术实现数字签名密钥的分发、认证与撤销。应急广播认证中心负责应急广播各级平台及接收端数字证书的申请、生成、分发与撤销,应急广播各级平台通过证书安全代理设备实现证书及信任列表的传递及更新。
3.各类专用密码设备的主要功能
签名验证设备:为应急广播系统提供安全的应用层密码服务,包括消息验证、消息签名、信任证书管理等,保证应急广播信息从产生、传输、接收到处理整个过程的安全性。
证书安全代理设备:为应急广播系统提供设备证书更新、证书信任列表更新、证书下载等服务。
证书管理一体机:能够满足市县级应急广播的安全需求,对应急广播签名验证功能和应急广播设备证书管理功能进行简化,将两者集成到一台物理设备上,适合中小广播平台的部署和使用。
安全密码器:基于应急广播系统中的播发设备、接收设备、终端等研发的高速安全模块,应急广播系统中各类前端设备及无需证书管理的县级平台,采用密码器可以极大降低设备投入成本。
安全认证模块:基于应急广播系统中的播发设备、接收设备、终端等研发的专用安全模块,配合平台签名验证设备为应急广播设备提供签名和验签。
4.各级平台的密码设备部署建议
省级应急广播平台:签名验证设备+证书安全代理设备
省级监管平台:签名验证设备
市级应急广播平台:签名验证设备+证书管理一体机
市级监管平台:签名验证设备
县级应急广播平台:平台配置与市级基本相同,县级以下的可在应急广播前端设备中集成密码设备
村村响终端:安全认证模块
密钥体系说明
应急广播安全体系中所有密码设备均使用国产密码算法,应急广播系统中所有下发和回传的控制指令、消息报文的传输都通过密码设备或安全模块对其进行签名,接收方基于信任列表,获取签名信息所使用的证书,然后进行验证,以此来实现可信应急广播信息的传输。