一种基于国产商用密码模块的视频加密系统及实现方法与流程

本发明属于视频加密领域，具体涉及一种基于国产商用密码模块的视频加密系统及实现方法。

背景技术：

为了维护国家安全及社会稳定，我国在各大城市、党政机关、军事要地及重要场所都部署了大量安防监控系统。但是，随着科技进步、社会发展，信息化和网络化程度提高，构架与开放IP网络的视频监控系统也同样面临其它网络锁面临的各种安全威胁，各种漏洞及弊病也逐渐显露。

现有视频监控系统存在的安全漏洞主要有以下三类：

(1)信息泄漏

视频文件被泄露和窃取造成公民合法权益被侵犯，国家秘密及商业机密被泄露。

(2)非法篡改

通过非法手段对视频信息进行伪造、替换、销毁。

(3)非法入侵

通过截取截获视频流数据和通信协议进行入侵攻击，导致系统无法正常工作，通过截获的视频数据掌握安保工作中的漏洞和薄弱点，有针对性的进行破坏活动，对国家安全和社会稳定造成了严重威胁。

技术实现要素：

本发明提供了一种基于国产商用密码模块的视频加密系统及实现方法，本发明实现将视频数据信息在处理、传输、存储、显示、控制和回放过程进行全生命周期的安全身份验证和加密传输管理，避免了被非法窃取、重传、伪造、窜改、非法拷贝、非法监看等造成视频信息的泄露，消除了可能存在的安全隐患，详见下文描述：

一种基于国产商用密码模块的视频加密系统，所述视频加密系统包括：第一密码模块、第二密码模块、第三密码模块、音视频流媒体服务器、音视频采集客户端、音视频采集服务端、音视频应用管理端、音视频存储服务器，

第一密码模块与音视频采集客户端相连；第二密码模块与音视频采集服务端相连；第三密码模块与音视频应用管理端相连；

音视频采集客户端、音视频采集服务端、音视频应用管理端、音视频存储服务器和音视频流媒体服务器通过网络进行通信。

所述音视频采集客户端包括：

第一主控制器模块连接第一密码接口通信模块、第一网络通信模块和第一电源模块。

所述音视频采集服务端包括：

第二主控制器模块连接第二密码接口通信模块、第二网络通信模块和第二电源模块。

一种基于国产商用密码模块的视频加密系统的实现方法，所述实现方法包括：

1)用户将第一密码模块插在音视频采集客户端，管理员将第二密码模块插在音视频采集服务端，操作员将第三密码模块插在音视频应用管理端；

2)第一主控制器模块通过第一密码接口通信模块对第一密码模块的PIN码进行验证，如果验证通过，则继续下一步，否则退出视频加密操作；

3)第二主控制器模块通过第二密码接口通信模块对第二密码模块的PIN码进行验证，如果验证通过，则继续下一步，否则退出视频加密操作；

4)第三主控制器模块通过第三密码接口通信模块对第三密码模块的PIN码进行验证，如果验证通过，则继续下一步，否则退出视频加密操作；

5)完成第一密码模块、第二密码模块和第三密码模块之间的身份验证，如果验证通过，则进入下一步，否则退出视频加密操作；

6)第一主控制器模块通过音视频采集模块采集音视频信息，然后调用第一音视频编解码处理模块进行编码处理，得到编码后音视频信息；

7)第一主控制器模块通过第一密码接口通信模块调用第一密码模块实现对编码后音视频信息进行加密，得到加密后音视频信息；

8)第一主控制器模块通过第一网络通信模块与第二网络通信模块将加密后音视频信息传输至第二主控制器模块；

9)第二主控制器模块调用存储控制模块将加密后音视频信息存储至音视频存储服务器；

10)第二主控制器模块通过第二密码接口通信模块调用第二密码模块实现对加密后音视频信息的解密，并调用第二音视频编解码处理模块进行解码播放；

11)第二主控制器模块通过第二网络通信模块将加密后的音视频信息传输至音视频流媒体服务器；

12)第三主控制器模块通过第三网络通信模块从音视频流媒体服务器获取加密后音视频信息；

13)第三主控制器模块通过第三密码接口通信模块调用第三密码模块实现对加密后音视频信息的解密，并调用第三音视频编解码处理模块进行解码，得到解码后的音视频信息；

14)第三主控制器模块将解码后的音视频信息调用显示处理模块在管理端进行播放，完成视频加解密处理的操作。

本发明提供的技术方案的有益效果是：本发明实现将视频数据信息在处理、传输、存储、显示、控制和回放过程进行全生命周期的有效管理；采用基于国产商用密码模块的证书身份认证体系和国密算法进行加解密操作。采用的国产商用密码模块内嵌包含国家密码管理局指定SM1、SM2、SM3和SM4加密算法的密码模块，具有较高的商密安全等级，彻底解决现有视频加密系统中在身份认证方面的安全隐患，可以有效保证视频信息的安全；视频信息在信道上进行加密传输，在硬盘上加密存储，解决了采集和监控过程中缺乏身份认证和闭环的缺陷，避免了被非法窃取、重传、伪造、窜改、非法拷贝、非法监看等造成视频信息的泄露，消除了可能存在的安全隐患。

附图说明

图1为基于国产商用密码模块的视频加密系统的工作状态示意图；

图2为音视频采集客户端的结构示意图；

图3为音视频采集服务端的结构示意图；

图4为音视频应用管理端的结构示意图；

图5为第一密码模块对第二密码模块身份验证的实现方法的流程图；

图6为第二密码模块对第一密码模块身份验证的实现方法的流程图；

图7为视频加密系统的实现方法的流程图。

附图中，各标号所代表的部件列表如下：

1：第一密码模块； 2：第二密码模块；

3：第三密码模块； 4：音视频流媒体服务器

5：音视频采集客户端； 6：音视频采集服务端；

7：音视频应用管理端； 8：音视频存储服务器；

51：第一主控制器模块； 52：第一密码接口通信模块；

53：音视频采集模块； 54：第一音视频编解码处理模块；

55：状态监控模块； 56：第一日志模块；

57：第一网络通信模块； 58：第一电源模块；

61：第二主控制器模块； 62：第二密码接口通信模块；

63：用户权限控制模块； 64：第二音视频编解码处理模块；

65：存储控制模块； 66：第二日志模块；

67：第二网络通信模块； 68：第二电源模块；

71：第三主控制器模块； 72：第三密码接口通信模块；

73：第一身份认证模块； 74：第三音视频编解码处理模块；

75：显示处理模块； 76：第三日志模块；

77：第三网络通信模块； 78：第三电源模块。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面对本发明实施方式作进一步地详细描述。

实施例1

一种基于国产商用密码模块的视频加密系统，参见图1，该视频加密系统包括：第一密码模块1、第二密码模块2、第三密码模块3、音视频流媒体服务器4、音视频采集客户端5、音视频采集服务端6、音视频应用管理端7、音视频存储服务器8。

第一密码模块1与音视频采集客户端5相连；第二密码模块2与音视频采集服务端6相连；第三密码模块3与音视频应用管理端7相连。音视频采集客户端5、音视频采集服务端6、音视频应用管理端7、音视频存储服务器8和音视频流媒体服务器4通过网络进行通信。

第一密码模块1、第二密码模块2和第三密码模块3用于实现对应设备的身份认证及对音视频数据的加解密。

音视频流媒体服务器4用于实现视频监控系统中音视频信息流的转发和应用。

音视频采集客户端5用于实现视频监控系统中音视频信息的采集和处理。

音视频采集服务端6用于实现视频监控系统中音视频信息的传输、使用和存储控制。

音视频应用管理端7用于实现视频监控系统中音视频信息的播放和展示。

音视频存储服务器8用于实现视频监控系统中密文音视频信息的存储。

即，本发明实施例通过上述器件实现了对音视频信息的采集、传输、存储、播放及加解密控制。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

实施例2

对本发明实施例1中的密码模块进行详细说明，详见下文描述：

该第一密码模块1、第二密码模块2和第三密码模块3是经过国家密码管理局认证和型号审批的，采用的密码算法有SM1、SM2、SM3、SM4及通用的DES、RSA、和AES的密码模块，用于产生随机密钥、存储数字证书，还用于通过调用SM4及通用的DES、RSA、和AES商用密码算法实现身份认证及加解密等。本发明实施例中对于密码模块的接口不做限制，可以采用SD接口、USB接口、SPI接口或是PCI-E接口。

第一密码模块1作为客户端设备身份KEY及加解密工具使用；第二密码模块2作为服务端设备身份KEY及加解密工具使用；第三密码模块3作为管理端设备身份KEY及加解密工具使用。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

实施例3

下面结合图2对本发明实施例1中的音视频采集客户端5进行详细描述，详见下文：

音视频采集客户端5包括：第一主控制器模块51、第一密码接口通信模块52、音视频采集模块53、第一音视频编解码处理模块54、状态监控模块55、第一日志模块56、第一网络通信模块57和第一电源模块58。

第一主控制器模块51连接第一密码接口通信模块52、音视频采集模块53、第一音视频编解码处理模块54、状态监控模块55、第一日志模块56、第一网络通信模块57和第一电源模块58。

第一密码接口通信模块52在第一主控制器模块51作用下在加密通信时作为接口模块与第一密码模块1通信交互使用；音视频采集模块53在第一主控制器模块51作用下作为音视频采集功能模块使用；第一音视频编解码处理模块54在第一主控制器模块51作用下作为音视频编码功能模块使用；状态监控模块55在第一主控制器模块51作用下对系统的状态信息进行监控控制；第一日志控制模块56在第一主控制器模块51作用下在操作日志控制时作为功能模块使用；第一网络通信模块57在第一主控制器模块51作用下在网络通信时作为功能模块使用；第一电源模块58为整个音视频采集客户端5供电。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

实施例4

下面结合图3对本发明实施例1中的音视频采集服务端6进行详细描述，详见下文：

参见图3，音视频采集服务端6包括：第二主控制器模块61、第二密码接口通信模块62、用户权限控制模块63、第二音视频编解码处理模块64、存储控制模块65、第二日志模块66、第二网络通信模块67和第二电源模块68。

第二主控制器模块51连接第二主控制器模块61、第二密码接口通信模块62、用户权限控制模块63、第二音视频编解码处理模块64、存储控制模块65、第二日志模块66、第二网络通信模块67和第二电源模块68。

第二密码接口通信模块62在第二主控制器模块61作用下在加密通信时作为接口模块与第二密码模块2进行通信交互；用户权限控制模块63在第二主控制器模块61作用下在用户控制和参数配置时作为功能模块使用；第二音视频编解码处理模块64在第二主控制器模块61作为音视频解码功能模块使用；存储控制模块65在第二主控制器模块61作用下作为音视频信息存储及控制功能模块使用；第二日志模块66在第二主控制器模块61作用下在操作日志控制时作为功能模块使用；第二网络通信模块67在第二主控制器模块61作用下在网络通信时作为功能模块使用；第二电源模块68为整个音视频采集服务端6供电。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

实施例5

下面结合图4对本发明实施例1中的音视频应用管理端7进行详细描述，详见下文：

参见图4，音视频应用管理端7包括：第三主控制器模块71、第三密码接口通信模块72、第一身份认证模块73、第三音视频编解码处理模块74、显示处理模块75、第三日志模块76、第三网络通信模块77和第三电源模块78。

第三主控制器模块71连接第三密码接口通信模块72、第一身份认证模块73、第三音视频编解码处理模块74、显示处理模块75、第三日志模块76、第三网络通信模块77和第三电源模块78。

第三密码接口通信模块72在第三主控制器模块71作用下在加密通信时作为接口模块与第三密码模块3进行通信交互；第一身份认证模块73在第三主控制器模块71作用下在身份认证时作为功能模块使用；第三音视频编解码处理模块74在第三主控制器模块71作用下作为音视频解码功能模块使用；显示处理模块75在第三主控制器模块71作用下作为音视频显示播放功能模块使用；第三日志模块76在第三主控制器模块71作用下在操作日志时作为功能模块使用；第三网络通信模块77在第三主控制器模块71作用下在网络通信时作为功能模块使用；第三电源模块78为整个音视频应用管理端7供电。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

实施例6

下面结合实施例2、3、4和5对本发明实施例提供的系统进行详细描述，详见下文：

第一主控制器模块51通过第一密码接口通信模块52与第一密码模块1进行通信；第二主控制器模块61通过第二密码接口通信模块62与第二密码模块2进行通信；第三主控制器模块71通过第三密码接口通信模块72与第三密码模块3进行通信。

第一主控制器模块51通过第一网络通信模块57、第二网络通信模块67与第二主控制器模块61进行通信；第一主控制器模块51通过第一网络通信模块57、第三网络通信模块77与第三主控制器模块71通信；第一主控制器模块51通过第一网络通信模块57；第二主控制器模块61通过第二网络通信模块67、第三网络通信模块77与第三主控制器模块71通信；第二主控制器模块51通过第二网络通信模块57。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

实施例7

一种基于国产商用密码模块的视频加密系统的实现方法，参见图1、图2、图3和图4，该视频加密系统的实现方法包括：身份验证的实现方法，其中，身份验证的实现方法包括：第一密码模块1对第二密码模块2身份验证的实现方法；第三密码模块3对第二密码模块2身份验证的实现方法；第二密码模块2对第一密码模块1身份验证的实现方法；第二密码模块2验证第三密码模块3身份验证的实现方法，详见下文描述：

第一密码模块1对第二密码模块2身份验证的实现方法具体包括以下步骤：

第一主控制器模块51调用第一密码模块1生成8字节随机数，并利用数字证书中的服务端公钥对生成的8字节随机数进行加密；第一主控制器模块51将加密后的8字节随机数传输至第二主控制器模块61；第二主控制器模块61调用第二密码模块2中的私钥进行解密，得到解密后的新8字节随机数；第二主控制器模块61从第二密码模块2中采用客户端公钥对解密后的新8字节随机数进行加密；第二主控制器模块61将加密后的新8字节随机数传输至第一主控制器模块51；第一主控制器模块51调用第一密码模块1对新8字节随机数进行解密，得到解密后的新8字节随机数；当生成的8字节随机数和解密后的新8字节随机数一致时，第二密码模块2身份合法。

第二密码模块2对第一密码模块1身份验证的实现方法具体包括以下步骤：

第一主控制器模块51调用第一密码模块1对用户数字证书进行签名；第一主控制器模块51将客户端数字证书明文和签名后的客户端数字证书传输至第二主控制器模块61；第二主控制器模块61调用第二密码模块2利用客户端数字证书查找到客户端的公钥，并利用客户端的公钥解密签名的客户端数字证书；当解密后的客户端数字证书与明文客户端证书一致时，第一密码模块1身份合法。

其中，第三密码模块3与第二密码模块2之间相互身份验证的过程，同第一密码模块1与第二密码模块2之间相互身份验证的过程完全一致，本发明实施例对第三密码模块3与第二密码模块2之间相互身份验证的过程不再赘述。

即，通过上述的操作实现第一密码模块1和第三密码模块3与第二密码模块2之间相互身份验证的过程。

实施例8

下面结合图5和图6对实施例7中的方案进行详细描述：

其中，参见图5，第一密码模块1对第二密码模块2身份验证的实现方法具体包括以下步骤：

1)用户在音视频采集客户端5插入第一密码模块1的用户身份KEY；

2)第一主控制器模块51通过第一密码接口通信模块52检测客户端设备身份KEY是否插入，若未插入，提示没有插入客户端设备身份KEY，继续步骤2)，若插入，则执行下一步；

3)第一主控制器模块51通过第一密码接口通信模块52调用第一密码模块1生成8字节随机数，并利用数字证书中的服务端公钥对生成的8字节随机数进行加密；

4)第一主控制器模块51通过第一网络通信模块57与第二网络通信模块67将加密后的8字节随机数传输至第二主控制器模块61；

5)第二主控制器模块61通过第二密码接口通信模块62调用第二密码模块2中服务端私钥解密，得到解密后的新8字节随机数；

6)第二密码模块2利用客户端公钥对解密后的新8字节随机数进行加密，第二主控制器模块61通过第二密码接口通信模块62从第二密码模块2处获取加密结果；

7)第二主控制器模块61通过第二网络通信模块67与第一网络通信模块57将加密后的新8字节随机数传输至第一主控制器模块51；

8)第一主控制器模块51通过第一密码接口通信模块52调用第一密码模块1对新8字节随机数进行解密，得到解密后的新8字节随机数；

9)第一密码模块1判定生成的8字节随机数和解密后的新8字节随机数是否一致，如果一致，则第二密码模块2身份合法，否则第二密码模块2身份非法。

其中，参见图6，第二密码模块2对第一密码模块1身份验证的实现方法具体包括以下步骤：

1)用户在音视频采集客户端5插入第一密码模块1的客户端身份KEY；

2)第一主控制器模块51通过第一密码接口通信模块52检测客户端设备身份KEY是否插入，若未插入，提示没有插入客户端设备身份KEY，继续步骤2)，若插入，则执行下一步；

3)第一主控制器模块51通过第一密码接口通信模块52调用第一密码模块1对客户端数字证书进行签名；

4)第一主控制器模块51通过第一网络通信模块57与第二网络通信模块67将客户端数字证书明文和签名后的客户端数字证书传输至第二主控制器模块61；

5)第二主控制器模块61通过第二密码接口通信模块62调用第二密码模块2利用客户端数字证书查找到客户端的公钥，并利用客户端的公钥解密签名的客户端数字证书；

6)第二密码模块2将解密后的客户端数字证书与明文客户端证书比对，如果一致，则第一密码模块1身份合法，否则第一密码模块1非法。

本发明实施例中，第三密码模块3与第二密码模块2之间的身份验证的实现方法、与第一密码模块1与第二密码模块2之间的身份验证的实现方法原理是类似的，在此对第三密码模块3与第二密码模块2之间的身份验证的详细过程不在赘述。

实施例9

一种基于国产商用密码模块的视频加密系统的实现方法，参见图1、图2、图3和图4，该视频加密系统的实现方法，详见下文描述：

参见图7，视频加密系统的实现方法具体包括以下步骤：

1)用户将第一密码模块1插在音视频采集客户端5，管理员将第二密码模块2插在音视频采集服务端6，操作员将第三密码模块3插在音视频应用管理端7；

2)第一主控制器模块51通过第一密码接口通信模块52对第一密码模块1的PIN码进行验证，如果验证通过，则继续下一步，否则退出视频加密操作；

3)第二主控制器模块61通过第二密码接口通信模块62对第二密码模块2的PIN码进行验证，如果验证通过，则继续下一步，否则退出视频加密操作；

4)第三主控制器模块71通过第三密码接口通信模块72对第三密码模块3的PIN码进行验证，如果验证通过，则继续下一步，否则退出视频加密操作；

5)完成第一密码模块1、第二密码模块2和第三密码模块3之间的身份验证，如果验证通过，则进入下一步，否则退出视频加密操作；

6)第一主控制器模块51通过音视频采集模块53采集音视频信息，然后调用第一音视频编解码处理模块54进行编码处理，得到编码后音视频信息；

7)第一主控制器模块51通过第一密码接口通信模块52调用第一密码模块1实现对编码后音视频信息进行加密，得到加密后音视频信息；

8)第一主控制器模块51通过第一网络通信模块57与第二网络通信模块67将加密后音视频信息传输至第二主控制器模块61；

9)第二主控制器模块61调用存储控制模块65将加密后音视频信息存储至音视频存储服务器8；

10)第二主控制器模块61通过第二密码接口通信模块62调用第二密码模块2实现对加密后音视频信息的解密，并调用第二音视频编解码处理模块64进行解码播放；

11)第二主控制器模块61通过第二网络通信模块67将加密后的音视频信息传输至音视频流媒体服务器4；

12)第三主控制器模块71通过第三网络通信模块77从音视频流媒体服务器4获取加密后音视频信息；

13)第三主控制器模块71通过第三密码接口通信模块72调用第三密码模块3实现对加密后音视频信息的解密，并调用第三音视频编解码处理模块74进行解码，得到解码后的音视频信息；

14)第三主控制器模块71将解码后的音视频信息调用显示处理模块75在管理端进行播放，完成视频加解密处理的操作。

即，本发明实施例通过上述操作实现了视频加密系统的视频采集、传输、储存、播放及加解密操作。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

本领域技术人员可以理解附图只是一个优选实施例的示意图，上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。