视频监控及安防GB28181/35114检测服务询价公告
询价编号:SJY-202245-XJ03
本采购项目“视频监控及安防集成平台研究”(项目编号:2300-K1220002.01)已经批准,采购人为北京全路通信信号研究设计院集团有限公司,资金来源为自筹。该项目已具备采购条件,现对该项目进行公开询价。
2.采购内容
2.1采购内容:视频监控及安防GB28181/35114检测服务
2.2结算方式:
(1)验收付款:技术服务验收完成后甲方支付本合同总金额的百分之九十五(95%);
(2)质量保证金:本合同总金额的百分之五(5%)作为质量保证金由甲方扣留,质量保证期结束后,向乙方一次支付;
2.3交货期:按项目要求执行;
2.4交货地点:按项目要求执行。
3.1资质要求:
在中华人民共和国注册的企业法人单位,具有独立法人资格;营业执照,税务登记证,组织机构代码证;有良好的财务状况。
满足ISO9001质量管理体系认证证书。
3.2信誉要求:制造商未在国家、行业、中国国家铁路集团有限公司、中国铁路通信信号股份有限公司处罚期内;投标产品近一年未受到国家安监部门质量责任通报,投标产品未在国家相关部门质量责任通报处罚期限内。任何借资质投标、转包的投标、提供虚假或不实资料的投标,将被拒绝并承担相应的法律责任。
3.3 本次采购不接受联合体。
4.获取询价文件时间和方式
2022年11月9日9时00分开始至2022年11月13日17时00分截止(北京时间)。供应商在此时间段联系采购人获取询价文件。
5.询价响应
2022年11月9日9时00分开始至2022年11月13日17时00分截止(北京时间)。供应商在此时间段将报价响应文件发送至邮箱sjygkxj@crscd.com.cn,邮件主题格式为“SJY-202245-XJ03+供应商名称”。
6.电子采购相关要求
6.1本项目采购有关的时间,均以采购人收到邮件显示的时间为准,逾期传送的报价和文件将被拒绝。
6.2若因供应商自身原因未能正常响应报价的,供应商自行承担责任。
6.3若供应商询价响应邮件主题格式不符合标准,视为无效无效报价,供应商自行承担责任。
7.开标时间及地点
7.1开标方式:采用线上腾讯会议
7.2开标时间:2022年11月13日后另行通知
7.3开标地点:北京市丰台区汽车博物馆南路1号院通号产业园B座0803室
8.发布公告的媒介
本次询价公告在中国通号采购电子商务平台(thzb.crsc.cn)、通购网(www.crscec.com)发布。
9.联系方式
采购人:北京全路通信信号研究设计院集团有限公司
地址:北京市丰台区汽车博物馆南路中国通号产业园B座
联 系 人:沈霄
联系电话:18010268567
北京全路通信信号研究设计院集团有限公司
2022年11月2日
附件:
询价须知
1、采购内容
序号 | 名称 | 规格型号 | 数量 | 交货期/地点 | 备注 |
1 | 视频监控及安防GB28181/35114检测服务 | 见技术指标要求 | 1项 | 按项目要求执行 | 无 |
具体技术指标要求:
GB/T28181-2016:
GB28181协议会话通道实际上使用的是SIP协议,并且在SIP协议的基础之上做了些私有化处理。SIP是一个由IETF MMUSIC工作组开发的协议,作为标准被提议用于创建,修改和终止包括视频,语音,即时通信,在线游戏和虚拟现实等多种多媒体元素在内的交互式用户会话。
会话通道中,注册、实时视音频点播、历史视音频的回放等应用的会话控制采用SIP协议IETF RFC3261中规定的REGISTER、INVITE等请求和响应方法实现, 历史视音频回放控制采用SIP扩展协议IETF RFC29765规定的INFO方法实现,前端设备控制、信息查询、报警事件通知和分发等应用的会话控制采用SIP扩展协议IETF RFC34287规定的MESSAGE方法实现。
1传输、交换、控制安全性要求
1.1设备身份认证
应对接入系统的所有设备进行统一的编码,接入设备认证应根据不同情况采用不同的认证方式。对于非标准SIP设备,宜通过网关进行认证。
投标人需使校验系统符合此加密认证
1.2数据加密
在高安全级别应用情况下,宜在网络层采用IPSec或在传输层采用TLS对SIP消息实现逐跳安全加密;宜在应用层采用S/MIME机制的端到端加密(见IETFRFC3261—2002的23.3),传输过程中宜采用RSA(1024位或2048位)对会话密钥进行加密,传输内容宜采用DES、3DES、AES(128)等算法加密。
在高安全级别应用情况下,数据存储宜采用3DES、AES(128位)、SM1等算法进行加密。
投标人需使校验系统符合此加密认证
1.3SIP信令认证
应对SIP信令做数字摘要认证,宜支持MD5、SHA-1、SHA-256等数字摘要算法。在SIP消息头域中,启用Date域,增加Note域。Note=(Digestnonce="",algorithm=),nonce的值为数字摘要经过BASE64编码后的值,algorithm的值为数字摘要的算法名称。信令认证的流程和方法规定见附录H。当跨域访问时,若该信令是由本域的用户发起,则信令安全路由网关宜将发送到外域的信令添加Monitor-User-Identity头域,其取值为信令安全路由网关ID和用户的身份信息;若该信令不是由本域的用户发起,则只在原有Monitor-User-Identity域值前添加信令安全路由网关ID;各段分隔符为“-”。用户的身份为用户ID以及用户身份属性信息(用户身份属性信息包括:用户隶属机构属性、用户类别属性和用户职级属性)。
投标人需使校验系统符合此加密认证
1.4数据完整性保护
联网系统宜采用数字摘要、数字时间戳及数字水印等技术防止信息的完整性被破坏,即防止恶意篡改系统数据。数字摘要宜采用信息摘要5(MD5)、安全哈希算法1(SHA-1)、安全哈希算法256(SHA-256)等算法。
投标人需使校验系统符合此加密认证
1.5访问控制
联网系统应实现统一的用户管理和授权,在身份鉴别的基础上,系统宜采用基于属性或基于角色的访问控制模型对用户进行访问控制。当跨域访问时,宜采用信令Monitor-User-Identity携带的用户身份信息进行访问控制
投标人需使校验系统符合此加密认证
2控制、传输流程和协议接口
2.1注册和注销
SIP客户端、网关、SIP设备、联网系统等SIP代理(SIPUA)使用IETFRFC3261中定义的方法Register进行注册和注销。注册和注销时应进行认证,认证方式应支持数字摘要认证方式,高安全级别的宜支持数字证书的认证方式,数字证书的格式符合附录I中的规定。
SIP代理在注册过期时间到来之前,应向注册服务器进行刷新注册,刷新注册消息流程应与2.1.2的流程描述一致,并遵循IETFRFC3261对刷新注册的规定。若注册失败,SIP代理应间隔一定时间后继续发起注册过程,与上一次注册时间间隔应可调,一般情况下不应短于60s。
系统、设备注册过期时间应可配置,缺省值为86400s(1d),应在注册过期时间到来之前发送刷新注册消息,为SIP服务器预留适当刷新注册处理时间,注册过期时间不应短于3600s。SIP代理注册成功则认为SIP服务器为在线状态,注册失败则认为SIP服务器为离线状态;SIP服务器在SIP代理注册成功后认为其为在线状态,SIP代理注册过期则认为其为离线状态。
投标人需使校验系统符合此加密认证
2.1.2视频流加密
a)1:媒体流接收者向SIP服务器发送Invite消息,消息头域中携带Subject字段,表明点播的视频源
ID、发送方媒体流序列号、媒体流接收者ID、接收端媒体流序列号标识等参数,SDP消息体中s字
段为“Playback”代表历史回放,u字段代表回放通道ID和回放类型,t字段代表回放时间段。
b)2:SIP服务器收到Invite请求后,通过三方呼叫控制建立媒体服务器和媒体流发送者之间的
媒体连接。向媒体服务器发送Invite消息,此消息不携带SDP消息体。
c)3:媒体服务器收到SIP服务器的Invite请求后,回复200OK响应,携带SDP消息体,消息体
中描述了媒体服务器接收媒体流的IP、端口、媒体格式等内容。
d)4:SIP服务器收到媒体服务器返回的200OK响应后,向媒体流发送者发送Invite请求,请求
中携带消息3中媒体服务器回复的200OK响应消息体,s字段为“Playback”代表历史回放,u
字段代表回放通道ID和回放类型,t字段代表回放时间段,增加y字段描述SSRC值,f字段
描述媒体参数。
e)5:媒体流发送者收到SIP服务器的Invite请求后,回复200OK响应,携带SDP消息体,消息
体中描述了媒体流发送者发送媒体流的IP、端口、媒体格式、SSRC字段等内容。
f)6:SIP服务器收到媒体流发送者返回的200OK响应后,向媒体服务器发送ACK请求,请求
中携带消息5中媒体流发送者回复的200OK响应消息体,完成与媒体服务器的Invite会话
建立过程。
g)7:SIP服务器收到媒体流发送者返回的200OK响应后,向媒体流发送者发送ACK请求,请
求中不携带消息体,完成与媒体流发送者的Invite会话建立过程。
h)8:完成三方呼叫控制后,SIP服务器通过B2BUA代理方式建立媒体流接收者和媒体服务器之
间的媒体连接。在消息1中增加SSRC值,转发给媒体服务器。
i)9:媒体服务器收到Invite请求,回复200OK响应,携带SDP消息体,消息体中描述了媒体服
务器发送媒体流的IP、端口、媒体格式、SSRC值等内容。
j)10:SIP服务器将消息9转发给媒体流接收者。
k)11:媒体流接收者收到200OK响应后,回复ACK消息,完成与SIP服务器的Invite会话建立过程。
l)12:SIP服务器将消息11转发给媒体服务器,完成与媒体服务器的Invite会话建立过程。
m)13:在回放过程中,媒体流接收者通过向SIP服务器发送会话内Info消息进行回放控制,包括
视频的暂停、播放、快放、慢放、随机拖放播放等操作,Info消息体见附录B。
n)14:SIP服务器收到消息13后转发给媒体流发送者。
o)15:媒体流发送者收到消息14后回复200OK响应。
p)16:SIP服务器将消息15转发给媒体流接收者。
q)17:媒体流发送者在文件回放结束后发送会话内Message消息,通知SIP服务器回放已结束,
消息体格式参见A.2.5媒体通知。
r)18:SIP服务器收到消息17后转发给媒体流接收者。
s)19:媒体流接收者收到消息18后回复200OK响应,进行链路断开过程。
t)20:SIP服务器将消息19转发给媒体流发送者。
u)21:媒体流接收者向SIP服务器发送BYE消息,断开消息1、10、11建立的同媒体流接收者的Invite会话。
v)22:SIP服务器收到BYE消息后回复200OK响应,会话断开。
w)23:SIP服务器收到BYE消息后向媒体服务器发送BYE消息,断开消息8、9、12建立的同媒体服务器的Invite会话。
x)24:媒体服务器收到BYE消息后回复200OK响应,会话断开。
y)25:SIP服务器向媒体服务器发送BYE消息,断开消息2、3、6建立的同媒体服务器的Invite会话。
z)26:媒体服务器收到BYE消息后回复200OK响应,会话断开。
aa)27:SIP服务器向媒体流发送者发送BYE消息,断开消息4、5、7建立的同媒体流发送者的
Invite会话。
bb)28:媒体流发送者收到BYE消息后回复200OK响应,会话断开。
投标人需使校验系统符合此加密认证
GB/T35114-2017:
1证书和密钥要求
1.1密码算法
系统使用国家密码管理行政机构批准的非对称密码算法、对称密码算法、密码杂凑算法和随机数生
成算法,算法应采用获得国家密码管理行政机构批准的安全密码产品实现。算法及使用方法如下:
a)非对称密码算法使用SM2椭圆曲线密码算法,用于身份认证、数字签名、密钥|办商等;
投标人需使校验系统符合此加密认证
b)对称密W竹法使用SM1ÿSM4分组密的炸法ÿ)FB模式,用于视频数据的加密保护。使用SM4分组密码算法ECB模式,用于密钥协商数据的加密保护;
投标人需使校验系统符合此加密认证
c)密码杂凑算法使用SM3密码杂凑算法?用于完整性校验;
投标人需使校验系统符合此加密认证
d)随机数生成算法生成的随机数应能通过GM/T0005-2012中规定的方法进行检测。
投标人需使校验系统符合此加密认证
1.2数字证书类型
系统应使用基于非对称密码算法的数字证书体系实现用户身份认证、前端设备认证、服务器设备认证、管理平台问认证等安全功能。应为爪户、前端设备、服务器设备以及符理平台签发数字证书。证书类型具体如下:
a)用户证书:用于对用户的身份认证;
b)前端设备证书:用于前端设备的身份认证以及对设备产生视频数据的数字签名;
c)服务器设济证书:用于服务器设备的身份认证;
d)管理平台证书:用于管理平台的身份认证。
投标人需使校验系统符合此加密认证
1.3密钥种类
系统的密钥分为非对称密钥类和对称密钥类。非对称密钥类包括管理平台内功能实体的签名公私钥和加密公私钥、FDWSF签名公私钥、具冇安令功能的用户终端签名公私钥等。
投标人需使校验系统符合此加密认证
2.1设备身份认证
2.1.1管理平台应对FDWSF的基木信息、属性信息以及FDWSF的密码模块U)与设备证书的对应关系作管理。
投标人需使校验系统符合此加密认证
2.1.2管理平台应对所有接人的FDWSF进行单向设备身份认证或者双向设备身份认证。
投标人需使校验系统符合此加密认证
2.2授权与访问控制
2.2.1在设备身份认证的基础上,管珲平台应采用基于属性或基于角色的访问控制模型对用户进行授权管理和访问控制。
投标人需使校验系统符合此加密认证
2.2.2管理平台访问控制的粒度应至少包含前端设备的安全能力等级以及存储视频是否加密等属性。
投标人需使校验系统符合此加密认证
2.2.3在系统中访问加密视频信息的用户应是经过基于数字证书认证的用户,包括对加密视频的播放、回放、下载、删除等操作。
投标人需使校验系统符合此加密认证
2.2.4当跨域访问时,应采用信令Momtor-User-Idumity携带的川户身份信息进行访问控制。
投标人需使校验系统符合此加密认证
3.1单向身份认证说明
FDWSF和SIP服务器进行单向认证。对RFC3261中定义的方法REGISTER进行如下头域扩展:
a)Authorization的值增加Capability项用来描述FDWSF的安全能力。当Authorization的值为Capability时,携带参数algorithmÿkeyversionÿ参数algorithm的值分为四部分,中间以分号分割。
第一部分定义为“A”,为非对称算法描述?取值为设备支持的非对称算法/模式/填充方式,多种算法之问用逗号分隔。例如:A:SM2;
第二部分定义为“H”,为杂凑算法描述,取伉为设备支持的杂凑算法,多种算法之间用逗号分隔。例如:H:SM3;
第三部分定义为“S”,为对称算法的描述,取悄:为设备支持的对称算法/模式/填充方式,多种算法之问川逗号分隔。例如:S:SM1/0FB/PKCS5ÿSM1/ECB/PKCS5ÿ
第四部分定义为“SI”,为签名算法的描述。例如:SI:SM3-SM2。keyversion为密钥版本号,取值为FDWSF的本地时间,16位数字字符。
b) Authenticate的值为Unidirectionÿ携带参数randoml、algorithmÿrandoml取值为随机数。algorithm的值为SIP服务器使用的安全算法,该算法由SIP服务器从设备上报的安能力算法中选择获得,包括非对称算法、杂凑算法、对称箅法,用分号分隔。
c)Authorization的值为Unidinxtionÿ携带验证具有安全功能的前端设备的数据。携带randomlÿrandom2、scrvorid、signl、algorithmÿrandom2为具有安全功能的前端设备产生的随机数,nmdonil为SIP服务器产生的随机数,scrvcrid为SIP服务器设备IDÿSignl为用具冇安全功能的前端设备私钥对nmdom2+randoml+SIP服务器ID做数字签名后的结果,algorithm为采用的安全算法。
投标人需使校验系统符合此加密认证
3.2SIP服务器与FDWSF间的双向身份认证
3.3双向身份认证说明
FDWSF和SIP服务器进行双向认证。对RFC3261中定义的方法REGISTER进行如下头域
扩展:
a)Authorization的值增加Capability项用来描述FDWSF的安全能力。当Authorization的值为Capability时,携带参数algorithmÿkeyversionÿ参数algorithm的值分为四部分,屮间以分号分割。
第一部分定义为“八”,为非对称算法描述?取值为设备支持的非对称算法/模式/填充方式,多种算法之间用逗号分隔。
第二部分定义为“H”,为杂凑算法描述,取值为设备支持的杂凑算法,多种算法之间用逗号分隔。例如:H:SM3;
第三部分定义为“S”,为对称算法的描述,取值为设备支持的对称算法/模式/填充方式,多种算法之间用逗号分隔。例如:S:SM1/()FB/PKCS5ÿSM1/ECB/PKCS5,
第四部分定义为“SI”,为签名算法的描述。例如:SI:SM3-SM2。keyvcrsion为密钥版本号,取值为FDWSF的本地时间,16位数字字符,例如:keyversion=“1970-01-01T9:18:43”。
b)WWW-Authenticate的值为Bidircction,携带参数randoml、algorithmÿrandoml取值为随机数。algorithm的值为SIP服务器使用的安全算法,该算法由SIP服务器从设备上报的安全能力算法中选择获得,包括非对称算法、杂凑算法、对称算法,用分号分隔。
c)Authorization的值为Bidirection。携带验证FDWSF的数据。携带randoml、random2、serverid、signl、algorithm。random2为FDWSF产生的随机数,randoml为SIP服务器产生的随机数,serverid为SIP服务器设备ID,signl为爪H)WSK私钥对random2+random1+SIP服务器ID做数字签名后的结果,dgemthm为采用的安全算法。
投标人需使校验系统符合此加密认证
4控制信令认证
4.1控制信令认证说明
注册成功后,信令发送方与信令接收方进行交互时,采用基于带密钥的杂凑方式保障信令来源安全。对除REGISTER消息以外的消息做带密钥的杂凑。启用Date字段,扩展信令消息头域,在头域中增加Note字段(值为Digestÿ有两个参数nonceÿalgorithm)。Note二(Digestnonce=algorithm=),nonce的值为algorithm[METHOD+From+to+CalllD+Date+VKEK+消息体]杂凑是经过BaSe64编码的值,algorithm的值为杂凑的算法名称,“+”为字符串连接运算。Date比对有效时间范围可设,初设值为10min,应在校时精度范围内。Date精确到秒。
投标人需使校验系统符合此加密认证
2、报价要求
(1)本项目均以人民币报价。供应商报价应遵守《中华人民共和国价格法》,双方发生的所有费用均以人民币进行结算与支付;
(2)供应商报价应包含采购标的、运费、税金及履行本项目所必需的其他全部费用;
3、询价原则上为一次性报价,但采购人有权发起议价。若采购人决定发起议价,供应商应在规定地点、规定时间内进行响应。
4、评审小组
采购人依据项目的复杂程度和技术要求成立评审小组,评审小组由技术、商务、采购等方面的三人及以上的单数组成。
5、评审办法
采用经评审的最低投标价法,对满足询价文件实质性要求的响应文件,采购人(评审小组)依据最终排名确定(推荐)成交供应商,但低于成本价的或超过招标人可以接受价格的除外。
6、询价文件的澄清
采购人可以书面形式澄清和修改询价文件,并通知所有已提交报价和文件的供应商。
7、响应文件的澄清
采购人(评审小组)可以书面形式要求供应商对响应文件中含义不明确、对同类问题表述不一致或者有明显文字和计算错误的内容作必要的澄清、说明或补正。澄清、说明 或补正应以书面方式进行。采购人(评审小组)不接受供应商主动提出的澄清、说明或补正;澄清、说明或补正不得超出询价文件的范围且改变响应文件的实质性内容,并构成响应文件的组成部分;采购人(评审小组)对供应商提交的澄清、说明或补正有疑问的,可以要求供应商进一步澄清、说明或补正,直至满足采购人(评审小组)的要求。
8、采购人(评审小组)发现某一供应商的报价明显低于其他报价,或者在设有标底时明显低于标底,使得其报价可能低于其个别成本的,应当要求该供应商作出书面说明并提供相应的证明材料。供应商不能合理说明或者不能提供相应证明材料的,评审小组应当认定该供应商以低于成本报价竞标,否决其响应文件。
9、供应商应具备承担本询价项目的资质条件、能力和信誉。除满足询价公告规定的资格要求外,供应商不得存在下列情形之一:
(1)为采购人不具有独立法人资格的附属机构(单位);
(2)与本包件的其他供应商为同一个单位负责人;
(3)与本包件的其他供应商存在控股、管理关系;
(4)为本包件的代理机构;
(5)与本包件的代理机构同为一个法定代表人;
(6)与本包件的代理机构存在控股或参股关系;
(7)被依法暂停或取消投标资格;
(8)被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照;
(9)进入清算程序,或被宣告破产,或其他丧失履约能力的情形;
(10)在最近三年内发生重大产品质量问题(以相关行业主管部门的行政处罚决定或司法 机关出具的有关法律文书为准);
(11)被工商行政管理机关在全国企业信用信息公示系统中列入严重违法失信企业名单;
(12)被最高人民法院在“信用中国”网站(www.creditchina.gov.cn)或各级信用信息共享平 台中列入失信被执行人名单;
(13)在近三年内供应商或其法定代表人、拟委任的项目负责人有行贿犯罪行为的(以检察机关职务犯罪预防部门出具的查询结果为准);
(14)法律法规或供应商须知前附表规定的其他情形
10、响应文件的编制和提交
(1)响应文件应按“响应文件格式”进行编写,A4版式,中文简体文字。所有文字、图表必须清晰可辨。供应商应将加盖单位章后的响应文件电子版发送至指定邮箱。
(2)响应文件应当对询价文件有关交货期、交货地点、响应文件有效期、技术标准和要求等实质性内容作出响应。
(3)供应商应按询价公告规定的时间和方式提交响应文件。逾期提交的或者未按要求提交的响应文件,采购人不予受理。
11、采购人将向确定的成交供应商发出成交通知,同时将询价结果通知未成交的供应商。
12、合同授予
采购人和确定的供应商应当根据询价文件和确定的供应商的报价文件订立书面合同。确定的供应商无正当理由拒签合同的,采购人取消其成交资格;给采购人造成的损失的,应当予以赔偿。本项目在执行过程中可能会有需求调整,实际采购金额将随项目需求调整而变化,采购人不承诺最终成交金额。