基于硬件加密的控制信令安全传输方法
【技术领域】
[0001] 本发明设及一种传输方法,尤其是一种基于硬件加密的控制信令安全传输方法。【背景技术】
[0002] 随着网络通信和多媒体技术的快速发展,视频监控技术也得到了飞速发展,目前 已经进入到了网络化数字视频监控时代。随着网络视频监控系统的广泛应用,其自身的安 全问题也逐渐成为了一个潜在严峻的问题。由于目前绝大多数网络视频监控系统所使用的 控制信令都是W明文形式在公共网络中传输,对传输信息没有做任何机密性和完整性的保 护措施,攻击者可W轻易的截获并窜改控制信令,从而控制甚至破坏监控设备。该种安全隐 患对整个监控系统造成的后果不堪设想。
[0003] 目前,在IP网络上构建视频监控系统的两种信令控制协议是SIP协议和H. 323协 议。SIP是IETF提出的基于IP网络的信令协议,用来生成、修改或终止一个或多个参与者 之间的会话,具有开放性、可扩展性、灵活性、互操作性、可重用性等优点,成为视频监控系 统信令控制系统主流协议。国家在2011年提出的GB/T28181《安全防范视频监控联网系 统信息传输、交换、控制技术要求》,也是在SIP协议基础上制定的。设备控制信令是存放在 SIP消息体中,通过SIP消息发送。GB28181要求设备控制WRFC3482中的MESSAGE方法实 现。控制命令需要按照监控警报联网系统描述协议(MANSCD巧WXML格式存在SIP消息体 中。SIP协议在应用层主要采用端到端的安全机制,端到端加密可W保障不需要中间代理读 取的信息,包括SIP消息体和某些SIP消息头的安全。
[0004] 在SIP中由于网络中介(如代理服务器)为了正确的路由消息而必须看到消息中 某个头字段,所W不适于对整个SIP消息进行端到端的加密。S/MIME是应用层安全协议, 允许SIPUA加密SIP中的MIME部分,在不影响消息头的情况下保证该些部分的端到端的安 全。SIP消息是可W携带MIME类型的数据,MIME允许消息体中包含复合类型的数据,如图 象、音频、视频及其它应用程序的特定数据。接收方根据不同的MIME类型来选择应用程序 打开。S/MIME可W保证消息体端到端的机密性、完整性。GB28181中也是建议在应用层采 用S/MIME的端到端加密安全机制。
[0005] 因此,在基于SIP协议通信中,如何确保合法的设备控制信令在传输过程中的保 密性和完整性是网络通信和数字视频监控中需要解决的一个难题。
【发明内容】
[0006] 本发明的目的是克服现有技术中存在的不足,提供一种基于硬件加密的控制信令 安全传输方法,其通过调用国密算法,实现对设备控制信令SIP消息体的加密,W此来保证 设备控制信令的保密性和完整性。
[0007]按照本发明提供的技术方案,一种基于硬件加密的控制信令安全传输方法,所述 控制信令的安全传输方法包括如下步骤:
[000引步骤1、客户端接收输入的控制指令参数,并生成相应XML格式的XML控制信令;
[0009] 步骤2、客户端获取当前系统的时间戳,并根据时间戳w及XML控制信令生成客户 端摘要信息;
[0010] 步骤3、将上述生成的客户端摘要信息通过国密算法SM2使用客户端的私钥进行 签名,生成数字签名;
[0011] 步骤4、客户端将上述时间戳、XML控制信令通过国密算法SM1进行加密,W得到加 密数据;
[0012] 步骤5、客户端将上述的加密数据W及数字签名一起作为消息体通过SIP消息向 服务端发送;
[0013] 步骤6、服务端接收客户端发送的SIP消息,并提取所述SIP消息的数据,W得到数 字签名与加密数据;
[0014] 步骤7、服务端对提取的加密数据用国密算法S1进行解密,W得到解密数据;
[0015] 步骤8、服务端获取当前系统时间,并与解密数据中的时间戳进行作差,若当前系 统的时间与解密数据中时间戳的差值大于设定的时间阔值,则忽略收到的SIP消息,返回 超时错误,否则,跳转到步骤9 ;
[0016] 步骤9、服务端对数字签名W及加密数据通过国密算法SM3进行哈希运算,W生成 服务端摘要消息;
[0017] 步骤10、服务端通过国密算法SM2使用客户端公钥对服务端摘要消息W及数字签 名进行签名验证,若验签失败,则忽略所述SIP消息,返回验证错误,否则,对XML控制信令 进行所需的解析处理。
[001引所述步骤2中,客户端将时间戳W及XML控制信令整合到一起,并利用国密算法SM3进行哈希运算,W生成客户端摘要信息。
[0019] 本发明的优点;通过国密算法SM1进行对称加密,对称加密保证了SIP消息中原始 控制信令的保密性;时间戳可W防止重放攻击,数字签名防止了信令被篡改,因此很好的保 证了信令的完整性。另外国密算法是集成在安全巧片中,由相关接口函数直接调用,属于硬 件加密,安全性和处理性能远远超过了软件加密方法。
【附图说明】
[0020] 图1为本发明数据加密后的示意图。
【具体实施方式】
[0021] 下面结合具体附图和实施例对本发明作进一步说明。
[0022] 为了能现对设备控制信令SIP消息体的加密,W此来保证设备控制信令的保密性 和完整性,本发明控制信令的安全传输方法包括如下步骤:
[0023] 一种基于硬件加密的控制信令安全传输方法,其特征是,所述控制信令的安全传 输方法包括如下步骤:
[0024] 步骤1、客户端接收输入的控制指令参数,并生成相应XML格式的XML控制信令; [002引一般地,通过用户界面来输入控制指令参数,客户端将控制指令参数生成XML控 制信令的过程为本技术领域人员所熟知,此处不再寶述。
[0026] 步骤2、客户端获取当前系统的时间戳,并根据时间戳W及XML控制信令生成客户 端摘要信息;
[0027] 具体地,客户端将时间戳W及XML控制信令整合到一起,并利用国密算法SM3进行 哈希运算,W生成客户端摘要信息。所述时间戳、XML控制信令整合到一起是指将时间戳、XM