社会公共安全视频监控中心和多网融合节点可信认证系统的制作方法

社会公共安全视频监控中心和多网融合节点可信认证系统的制作方法
【专利摘要】本发明属于网络认证领域，公开了一种社会公共安全视频监控中心和多网融合节点可信认证系统。系统采用CompressedBloomFilter方法进行判断请求认证的节点是否在合法节点域内的，只有判断通过后才会对证书进行验证。如果没有先进行判断，非法节点可能会不断地向合法节点发送假证书，合法节点也将不断进行大数指数运算，而这对于资源限制的节点而言可能导致节点的瘫痪。因此本发明可以有效的抵御非法节点进行的认证时的拒绝服务攻击。
【专利说明】社会公共安全视频监控中心和多网融合节点可信认证系统

【技术领域】
[0001]本发明涉及一种网络认证系统，特别是在视频监控中心和多网融合节点之间的可信认证系统。

【背景技术】
[0002]在我国复杂的地理条件下，采用多网融合多网融合网络技术是一种有效的方案。多网融合多网融合网络已经在广播、电视以及语言等传统业务方面，广受世界运营商的青睐，另外在地震、雪灾、海嘯等区域极端气候及状态环境下，多网融合多网融合网络也能够发挥其重要的应急通信作用。
[0003]视频监控中心和多网融合节点件可信认证是面向社会公共安全的多网融合网络功能和属性的拓展，是加强社会安全保障网络化、安全监控内容数字化的必然结果。目前视频监控中心和多网融合节点间尚缺少可信认证系统。
[0004]多年来，多网融合多网融合网络作为一个独立的个体，一般不与外部的世界特别是Internet互联，所以其安全防护也相对的容易，但是目前移动栅格网的形式让这一状况不再存在，而安全问题也成为制约其发展的最大障碍。
[0005]验证一个证书则需要进行一个RSA解密操作，这个操作是实际上是对一个大数进行一个指数运算，相对而言计算量大。
[0006]通信过程中加密方式减少在多网融合节点链路上协议消息传输数量的角度实现协议实施效率的提升，总共仅需3条消息即可完成该协议的交互，然而，此协议仍然存在IKEvl所固有的抵御拒绝服务攻击方面的不足；在签名认证方式上，此协议采用预分享密钥方式，缺乏不可否认安全属性。


【发明内容】

[0007]1、本发明的目的。
[0008]本发明的针对移动栅格网环境下，为了提高面向社会公共安全监控中心和多网融合节点间的通信安全，而提出的一种社会公共安全视频监控中心和多网融合节点可信认证系统。
[0009]2、本发明所采用的技术方案。
[0010]社会公共安全视频监控中心和多网融合节点可信认证系统，其视频监控中心和多网融合节点通信按照以下步骤进行:
第一步:需要发起通信的一方，由于通信过程是等价并且可以调换的，假设视频监控中心发起通信，视频监控中心将本机的伪名和证书发送给多网融合节点要求进行认证；
第二步:多网融合节点在收到消息后，首先计算出发送方伪名的Compressed BloomFilters值，并进行初步认证，发送方是否是可以信任的，如果伪名验证失败，则本次认证失败，结束通信，如果认证成功则执行第三步，该步骤可以有效的防止认证时的拒绝服务攻击; 第三步:多网融合节点利用最高域的公钥对发送方的证书进行验证，如果验证失败，则本次认证失败，结束通信，如果认证成功则多网融合节点发送自己的伪名和证书作为回复；
第四步:视频监控中心收到信息后，同样首先计算出发送方伪名的Compressed BloomFilters值，并进行初步认证，发送方是否是可以信任的，如果伪名验证失败，则本次认证失败，结束通信，如果认证成功则执行第五步；
第五步:视频监控中心利用最高域的公钥对多网融合节点的证书进行验证，如若认证失败，则本次认证失败，结束通信，如果认证成功双方完成安全认证，建立可信认证；
第六步:身份认证通过，发起通信的一方进行数据加密通信；
第七步:接收通信的一方进行解密收信。
[0011]3、本发明的有益效果。
[0012]本发明用Compressed Bloom Filter方法进行一个快速的判断的好处在于可以有效地减少多网融合节点因为对非法节点证书认证所带来的资源消耗，因为用CompressedBloom Filter方法进行快速判断计算量小，仅仅是若干次哈希计算的时间消耗，以此可以有效的抵御非法节点进行的认证时的拒绝服务攻击。

【专利附图】

【附图说明】
[0013]图1视频监控中心和多网融合节点之间的安全认证图2视频监控中心数据加密过程
图3多网融合节点接收到信息解密过程

【具体实施方式】
[0014]下面结合附图和实施例对本发明作进一步的说明。
[0015]实施例1
社会公共安全视频监控中心和多网融合节点可信认证系统，其视频监控中心和多网融合节点通信按照以下步骤进行:
第一步:需要发起通信的一方，由于通信过程是等价并且可以调换的，假设视频监控中心发起通信，视频监控中心将本机的伪名和证书发送给多网融合节点要求进行认证；
第二步:多网融合节点在收到消息后，首先计算出发送方伪名的Compressed BloomFilters值，并进行初步认证，发送方是否是可以信任的，如果伪名验证失败，则本次认证失败，结束通信，如果认证成功则执行第三步，该步骤可以有效的防止认证时的拒绝服务攻击;
第三步:多网融合节点利用最高域的公钥对发送方的证书进行验证，如果验证失败，则本次认证失败，结束通信，如果认证成功则多网融合节点发送自己的伪名和证书作为回复；
第四步:视频监控中心收到信息后，同样首先计算出发送方伪名的Compressed BloomFilters值，并进行初步认证，发送方是否是可以信任的，如果伪名验证失败，则本次认证失败，结束通信，如果认证成功则执行第五步；
第五步:视频监控中心利用最高域的公钥对多网融合节点的证书进行验证，如若认证失败，则本次认证失败，结束通信，如果认证成功双方完成安全认证，建立可信认证；
第六步:身份认证通过，身份认证协议的信息交换为I个通信周期，发起通信的一方进行数据加密通信，数据加密过程的开始，首先需要生成一个密钥，该密钥将作为对称加密算法的密钥，该对称密钥主要用来对通信双发的交换的信息进行加密，由非对称密码算法传输对称密钥，视频监控中心在接受到的多网融合节点证书中获取多网融合节点的使用的公钥，并用它来加密随机的对称密钥，对称加密采用DES对称加密，密钥为128位；
第七步:接收通信的一方进行解密收信，解密过程按照以下步骤进行:
1、有数字信封获取到加密后的信息和加密后的密钥；
2、多网融合节点用自己的私钥解密对称密钥；
3、利用上一步得到的对称密钥对信息密钥进行解密，得到明文数据，判断该序号是否过期，如果过期则丢弃该数据明文，如果没有过期则进行下一步；
4、多网融合节点通过证书检查获取发送发的权限，并依据获取到的结果进行判断是否执行相应的操作或者修改相应的数据。
[0016]实施例2
如图1所示，视频监控中心和多网融合节点之间的安全认证主要分为三个步骤，具体描述如下:
第一步:需要发起通信的一方，由于通信过程是等价并且可以调换的，假设视频监控中心发起通信，视频监控中心将本机的伪名和证书发送给多网融合节点要求进行认证；
第二步:多网融合节点在收到消息后，首先计算出发送方伪名的Compressed BloomFilters值，并进行初步认证，发送方是否是可以信任的，如果伪名验证失败，则本次认证失败，结束通信，如果认证成功则执行第三步，该步骤可以有效的防止认证时的拒绝服务攻击;
第三步:多网融合节点利用最高域的公钥对发送方的证书进行验证，如果验证失败，则本次认证失败，结束通信，如果认证成功则多网融合节点发送自己的伪名和证书作为回复；
第四步:视频监控中心收到信息后，同样首先计算出发送方伪名的Compressed BloomFilters值，并进行初步认证，发送方是否是可以信任的，如果伪名验证失败，则本次认证失败，结束通信，如果认证成功则执行第五步；
第五步:视频监控中心利用最高域的公钥对多网融合节点的证书进行验证，如若认证失败，则本次认证失败，结束通信，如果认证成功双方完成安全认证，建立可信认证。
[0017]如图2所示，在数据加密过程的开始，首先需要生成一个密钥，该密钥将作为对称加密算法的密钥。该对称密钥主要用来对通信双发的交换的信息进行加密，由于对称加密算法的效率可知该加密过程的效率是可以接受的。而该对称密钥的传输则可以交由非对称密码算法来解决。
[0018]视频监控中心和多网融合节点之间按的安全认证中，视频监控中心和多网融合节点已经完成了证书交换，视频监控中心在接受到的多网融合节点证书中获取多网融合节点的使用的公钥，并用它来加密随机的对称密钥。尽管非对称密码系统加密效率不高，但是因为需要加密的信息一密钥的尺寸很小(本系统采用DES对称加密，密钥为128位)，所以该时间的效率也是可以接受的。而利用非对称密钥算法的密钥加密对称密码算法的密钥的行为被称为密钥打包。
[0019]而密钥随着加密的信息一起形成一个数字信封发送给多网融合节点。如果在传输的过程中该数字信封被人截获，对于截获者而言截获到的信息没有任何用处:如果需要获取到数据的明文，需要知道加密的对称密钥，而对称加密密钥被多网融合节点的公钥加密了，要获取该对称密钥，需要知道多网融合节点的私钥，而这个显然是无法成立的。可以在明文数据中可以加入一个唯一的序号，来防止重放攻击。
[0020]如图3所示，多网融合节点收到数字信封后需要进行解密，解密过程第一步:有数字信封获取到加密后的信息和加密后的密钥；
第二步:多网融合节点用自己的私钥解密对称密钥；
第三步:利用上一步得到的对称密钥对信息密钥进行解密，得到明文数据，判断该序号是否过期，如果过期则丢弃该数据明文，如果没有过期则进行下一步；
第四步:多网融合节点通过证书检查获取发送发的权限，并依据获取到的结果进行判断是否执行相应的操作或者修改相应的数据。
[0021]上述实施例不以任何方式限制本发明，凡是采用等同替换或等效变换的方式获得的技术方案均落在本发明的保护范围内。
【权利要求】
1.一种社会公共安全视频监控中心和多网融合节点可信认证系统，其特征在于视频监控中心和多网融合节点通信按照以下步骤进行: 第一步:需要发起通信的一方，由于通信过程是等价并且可以调换的，假设视频监控中心发起通信，视频监控中心将本机的伪名和证书发送给多网融合节点要求进行认证； 第二步:多网融合节点在收到消息后，首先计算出发送方伪名的Compressed BloomFilters值，并进行初步认证，发送方是否是可以信任的，如果伪名验证失败，则本次认证失败，结束通信，如果认证成功则执行第三步，该步骤可以有效的防止认证时的拒绝服务攻击; 第三步:多网融合节点利用最高域的公钥对发送方的证书进行验证，如果验证失败，则本次认证失败，结束通信，如果认证成功则多网融合节点发送自己的伪名和证书作为回复； 第四步:视频监控中心收到信息后，同样首先计算出发送方伪名的Compressed BloomFilters值，并进行初步认证，发送方是否是可以信任的，如果伪名验证失败，则本次认证失败，结束通信，如果认证成功则执行第五步； 第五步:视频监控中心利用最高域的公钥对多网融合节点的证书进行验证，如若认证失败，则本次认证失败，结束通信，如果认证成功双方完成安全认证，建立可信认证； 第六步:身份认证通过，发起通信的一方进行数据加密通信； 第七步:接收通信的一方进行解密收信。
2.根据权利要求1所述的社会公共安全视频监控中心和多网融合节点可信认证系统，其特征在于:所述的身份认证协议的信息交换为I个通信周期。
3.根据权利要求1所述的社会公共安全视频监控中心和多网融合节点可信认证系统，其特征在于:所述的第六步和第七步采用非对称密码系统和对称密码系统结合的方式进行数据的加密和解密。
4.根据权利要求1所述的社会公共安全视频监控中心和多网融合节点可信认证系统，其特征在于:所述的第六步发起通信的一方进行数据加密通信，数据加密过程的开始，首先需要生成一个密钥，该密钥将作为对称加密算法的密钥，该对称密钥主要用来对通信双发的交换的信息进行加密。
5.根据权利要求4所述的社会公共安全视频监控中心和多网融合节点可信认证系统，其特征在于:由非对称密码算法传输对称密钥，视频监控中心在接受到的多网融合节点证书中获取多网融合节点的使用的公钥，并用它来加密随机的对称密钥。
6.根据权利要求4所述的社会公共安全视频监控中心和多网融合节点可信认证系统，其特征在于:所述的对称加密采用DES对称加密，密钥为128位。
7.根据权利要求1所述的社会公共安全视频监控中心和多网融合节点可信认证系统，其特征在于:所述的第七步接收通信的一方进行解密收信，解密过程按照以下步骤进行: 第一步:有数字信封获取到加密后的信息和加密后的密钥； 第二步:多网融合节点用自己的私钥解密对称密钥； 第三步:利用上一步得到的对称密钥对信息密钥进行解密，得到明文数据，判断该序号是否过期，如果过期则丢弃该数据明文，如果没有过期则进行下一步；第四步:多网融合节点通过证书检查获取发送发的权限，并依据获取到的结果进行判断是否执行相应的 操作或者修改相应的数据。
【文档编号】H04L9/32GK104052600SQ201310082981
【公开日】2014年9月17日 申请日期:2013年3月15日 优先权日:2013年3月15日
【发明者】李千目, 戚湧 申请人:南京理工大学常熟研究院有限公司