本发明属于音视频加密及认证领域,具体涉及一种安全音视频加密客户端及认证实现方法。
背景技术:
密码设备是具有某种密码功能或能完成某种密码工作任务的设备的统称。密码设备可以分为密码设备与接口软件两大部分。密码设备是硬件密码设备的核心,是各种安全服务功能的提供者。密码设备又可以划分为硬件电路、控制软件、密码算法、底层固件等几部分,其中,硬件电路又包括接口电路、控制电路、密码运算电路、存储电路等。
实际应用中,为了维护国家安全及社会稳定,我国部署了大量安防监控系统。但是,随着现有技术的发展,视频监控系统也面临着各种威胁,安全性得不到保证,无法保证用户的良好体验。
现有视频监控系统客户端之间存在的安全隐患:
(1)信息泄漏:视频文件被泄露和窃取造成公民合法权益被侵犯,国家秘密及商业机密被泄露;
(2)非法篡改:通过非法手段对视频信息进行伪造、替换、销毁;
(3)非法入侵:通过截取截获视频流数据和通信协议进行入侵攻击,导致系统无法正常工作,通过截获的视频数据掌握安保工作中的漏洞和薄弱点,有针对性的进行破坏活动,对国家安全和社会稳定造成了严重威胁。
技术实现要素:
本发明提供了一种安全音视频加密客户端及认证实现方法,本发明通过安全音视频监控加密以及客户端认证的方式,实现了音视频数据的安全传输,客户端设备之间的安全认证和密钥协商,消除了安全隐患,提高了安全性,详见下文描述:
一种安全音视频加密客户端,包括:
安全网络摄像机,包括sd密码卡和网络摄像机;
安全网络硬盘录像机,包括智能密码钥匙和网络硬盘录像机;
sd密码卡、智能密码钥匙用于实现对应设备的身份认证及对音视频数据的加解密;
网络摄像机用于实现音视频信息的采集和处理;网络硬盘录像机用于实现音视频信息的传输、使用和存储控制。
一种安全音视频加密客户端的认证实现方法,所述实现方法包括以下步骤:
1)网络硬盘录像机读取第一身份信息与第一预存密码设备序列号列表进行比对,获取智能密码钥匙中的第二身份信息,对第一身份信息进行sm2算法验签;根据第一身份信息、当前时间信息t1和emac,通过sm3算法进行计算,得到哈希值h2;使用sd密码卡用户公钥对签名值m1进行sm2算法的验签;使用一级分散密钥对emac进行sm1算法加密,得到加密值e1;并用sd密码卡用户公钥对加密值e1进行sm2算法加密,得到密文eipc_pub;
2)网络硬盘录像机根据第二身份信息、当前时间信息t2和密文eipc_pub,通过sm3密码算法进行哈希计算,得到哈希值h3;通过智能密码钥匙的用户私钥对哈希值h3进行sm2密码算法签名,得到签名值m2;发送第二身份信息、密文eipc_pub、时间信息t2、签名值m2和验签结果到网络摄像机;
3)网络摄像机读取第二身份信息与第二预存密码设备序列号列表进行比对,使用第一公钥对第二身份信息的签名信息进行sm2密码算法的验签;根据第一身份信息、密文eipc_pub、时间信息t2,通过sm3密码算法进行哈希计算,得到哈希值h4;
4)网络摄像机使用第一公钥对签名值m2和哈希值h4进行sm2密码算法验签,使用sd密码卡的用户私钥,解密密文eipc_pub,得到加密值e1,取前16字节作为工作密钥保存。
在步骤1)之前,所述实现方法还包括:
网络摄像机使用sd密码卡的用户私钥对哈希值h1进行sm2算法签名,得到签名值m1;发送第一身份信息、当前时间信息t1、emac和签名值m1至网络硬盘录像机。
所述客户端认证的实现方法还包括:
网络摄像机读取sd密码卡的第一身份信息,根据第一身份信息、emac和当前时间信息t1,通过sm3算法进行计算,得到哈希值h1。
所述第一身份信息具体为:
1)16字节长度的sd密码卡序列号;2)64字节长度的sd密码卡用户公钥;
3)64字节长度的第一公钥;4)64字节长度的第一私钥签名。
所述第二身份信息具体为:
1)16字节长度的智能密码钥匙序列号;2)64字节长度的智能密码钥匙用户公钥;
3)64字节长度的第二公钥;4)64字节长度的第二私钥签名k2。
本发明提供的技术方案的有益效果是:
1、通过对音视频数据信息进行加密以及客户端认证的方式,实现了音视频数据的安全传输,客户端设备之间的安全认证和密钥协商,消除了可能存在的安全隐患,提高了音视频信息的安全性;
2、能够保护用户重要及敏感图像不被非法窃取、篡改、拒绝非法用户采用伪造的设备侵入系统;
3、网络内所有安全设备采用数字证书实现身份认证,采用数据完整性保护算法,对会话协议和控制协议进行保护,防止非法用户的协议攻击。
附图说明
图1为一种安全音视频加密客户端的结构示意图;
图2为安全网络摄像机的结构示意图;
图3为安全网络硬盘录像机的结构示意图;
图4为一种客户端认证的实现方法的流程图;
图5为一种客户端认证的实现方法的另一流程图。
附图中,各标号所代表的部件列表如下:
1:安全网络摄像机;2:安全网络硬盘录像机;
11:sd密码卡;12:网络摄像机;
21:智能密码钥匙;22:网络硬盘录像机。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面对本发明实施方式作进一步地详细描述。
实施例1
一种安全音视频加密客户端,参见图1,该安全音视频客户端,包括:安全网络摄像机1、安全网络硬盘录像机2。
参见图2,该安全网络摄像机1包括:sd密码卡11和网络摄像机12。
参见图3,该安全网络硬盘录像机2包括:智能密码钥匙21和网络硬盘录像机22。
sd密码卡11与网络摄像机12通过sdio接口相连;智能密码钥匙21与网络硬盘录像机22通过usb接口相连;网络摄像机12、网络硬盘录像机22通过网络进行通信。
sd密码卡11、智能密码钥匙21用于实现对应设备的身份认证。
网络摄像机12用于实现音视频信息的采集和处理。
网络硬盘录像机22用于实现音视频信息的传输、使用和存储控制。
其中,硬件密码设备包括:sd密码卡11、智能密码钥匙21,但不限制密码设备的接口类型和设备形态。
其中,与普通网络摄像机的区别在于,网络摄像机12具备与sd密码卡11通信的sdio接口通信模块。
其中,与普通网络硬盘录像机的区别在于,网络硬盘录像机22具备与智能密码钥匙21通信的usb接口通信模块。
即,本发明实施例通过上述器件实现了监控系统设备的使用认证,以及对音视频信息的采集、传输、存储、播放。
其中,上述的各个器件中的信号传输、均不涉及对软件的改进,本发明只是运用了已有的应用流程来实现安全音视频监控加密客户端。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
综上所述,本发明实施例通过安全音视频监控加密以及客户端认证的方式,实现了音视频数据的安全传输,服务端设备之间的安全认证和密钥协商,消除了安全隐患,提高了安全性。
实施例2
一种安全音视频加密客户端的认证实现方法,该实现方法是与实施例1中的安全音视频加密客户端相对应,参见图4,该实现方法包括以下步骤:
101:网络摄像机12读取自身的mac地址并进行sm3算法计算得到emac;网络摄像机12使用sd密码卡11的用户私钥对哈希值h1进行sm2算法签名,得到签名值m1;发送第一身份信息c1、当前时间信息t1、emac和签名值m1至网络硬盘录像机22;
其中,在步骤101之前,该客户端认证的实现方法还包括:网络摄像机12读取sd密码卡11的第一身份信息c1,根据第一身份信息c1、当前时间信息t1和emac,通过sm3算法进行计算,得到哈希值h1。
102:网络硬盘录像机22读取第一身份信息c1与第一预存密码设备序列号列表进行比对,获取智能密码钥匙21中的第二身份信息c2,对第一身份信息c1进行sm2算法验签;根据第一身份信息c1、当前时间信息t1和emac,通过sm3算法进行计算,得到哈希值h2;使用sd密码卡用户公钥对签名值m1进行sm2算法的验签;并用一级分散密钥对emac进行sm1算法加密,得到加密值e1;并用sd密码卡用户公钥对加密值e1进行sm2算法加密,得到密文eipc_pub;
103:网络硬盘录像机22根据第二身份信息c2、当前时间信息t2和密文eipc_pub,通过sm3密码算法进行哈希计算,得到哈希值h3;通过智能密码钥匙21的用户私钥对哈希值h3进行sm2密码算法签名,得到签名值m2;发送第二身份信息c2、密文eipc_pub、时间信息t2、签名值m2和验签结果到网络摄像机12;
104:网络摄像机12读取第二身份信息c2与第二预存密码设备序列号列表进行比对,使用第一公钥对第二身份信息c2的签名信息进行sm2密码算法的验签;根据第一身份信息c1、密文eipc_pub、时间信息t2,通过sm3密码算法进行哈希计算,得到哈希值h4;
105:网络摄像机12使用第一公钥对签名值m2和哈希值h4进行sm2密码算法验签,使用sd密码卡11的用户私钥,解密密文eipc_pub,得到加密值e1,取前16字节作为工作密钥保存。
综上所述,本发明实施例通过安全音视频监控加密以及客户端认证的方式,实现了音视频数据的安全传输,客户端设备之间的安全认证和密钥协商,消除了安全隐患,提高了安全性。
实施例3
下面结合图5对实施例2中的方案做进一步地介绍,详见下文描述:
201:网络摄像机12读取自身的mac地址并进行sm3算法计算得到emac;网络摄像机12读取sd密码卡11的第一身份信息c1,根据第一身份信息c1、当前时间信息t1和emac,通过sm3算法进行计算,得到哈希值h1;
进一步地,上述第一身份信息c1包括:
1)16字节长度的sd密码卡序列号;
2)64字节长度的psd密码卡用户公钥;
3)64字节长度的第一公钥;
4)64字节长度的第一私钥签名k1。
具体实现时,第一公钥和第一私钥均由密钥管理中心提供,本发明实施例对此不做赘述。
进一步地,第一私钥签名k1是通过对上述1)-3)中的内容通过sm3算法进行计算,对计算值通过sm2算法进行第一私钥签名得到。
其中,上述sm2和sm3密码算法为本领域技术人员所公知,为公知的商用密码算法,本发明实施例对此不做赘述。
202:网络摄像机12使用sd密码卡11的用户私钥对哈希值h1进行sm2算法签名,得到签名值m1;
其中,sd密码卡11的用户私钥和sd密码卡11用户公钥,为sd密码卡11自身运用sm2密码算法生成的密钥对,具体实现时,本发明实施例对此不做限制。
203:网络摄像机12发送第一身份信息c1、当前时间信息t1、emac和签名值m1至网络硬盘录像机22;
204:网络硬盘录像机22读取第一身份信息c1与第一预存密码设备序列号列表进行比对,如果在黑名单之内则设备不合法,返回失败结果至网络摄像机12,断开连接,流程结束;否则执行步骤205;
其中,第一预存密码设备序列号列表、黑名单均根据实际应用中的需要进行设定,本发明实施例对此不做赘述。
205:网络硬盘录像机22获取智能密码钥匙21中的第二身份信息c2;
其中,第二身份信息c2包括:
1)16字节长度的智能密码钥匙序列号;
2)64字节长度的智能密码钥匙用户公钥;
3)64字节长度的第二公钥;
4)64字节长度的第二私钥签名k2。
其中,第一身份信息c1中的64字节长度的第一公钥、与第二身份信息c2中的64字节长度的第二公钥相同。具体实现时,第二公钥和第二私钥均由密钥管理中心提供,本发明实施例对此不做赘述。
进一步地,第二私钥签名k2是通过对上述1)-3)中的内容通过sm3算法进行计算,对计算值通过sm2算法进行第二私钥签名得到。
206:网络硬盘录像机22读取64字节长度的第二公钥,使用第二公钥对第一身份信息c1进行sm2算法验签,验签未通过返回身份信息验证失败结果至网络摄像机12,断开连接,流程结束;否则执行步骤207;
207:网络硬盘录像机22根据第一身份信息c1、当前时间信息t1和emac,通过sm3算法进行计算,得到哈希值h2;
208:网络硬盘录像机22读取第一身份信息c1中的sd密码卡用户公钥;
209:网络硬盘录像机22使用sd密码卡用户公钥对签名值m1进行sm2算法的验签,不通过返回签名验证失败结果,断开连接,流程结束;否则执行步骤210;
210:网络硬盘录像机22使用一级分散密钥对emac进行sm1算法加密,得到加密值e1;并用sd密码卡用户公钥对加密值e1进行sm2算法加密,得到密文eipc_pub;
其中,一级分散密钥由密钥管理中心初始化时设定,为本领域技术人员所公知,本发明实施例对此不做赘述。
211:网络硬盘录像机22读取智能密码钥匙21中的第二身份信息c2;
212:网络硬盘录像机22根据第二身份信息c2、当前时间信息t2、emac和密文eipc_pub,通过sm3密码算法进行哈希计算,得到哈希值h3;
213:网络硬盘录像机22通过智能密码钥匙21的用户私钥对哈希值h3进行sm2密码算法签名,得到签名值m2;
其中,智能密码钥匙21的用户私钥和智能密码钥匙用户公钥为智能密码钥匙21自身运用sm2密码算法生成的密钥对,具体实现时,本发明实施例对此不做限制。
214:网络硬盘录像机22发送第二身份信息c2、emac、密文eipc_pub、时间信息t2、签名值m2和验签结果到网络摄像机12;
215:网络摄像机12读取第二身份信息c2与第二预存密码设备序列号列表进行比对,如果在黑名单之内则设备不合法,断开连接,否则进行下一步216;
其中,第二预存密码设备序列号列表根据实际应用中的需要进行设定,本发明实施例对此不做赘述。
216:网络摄像机12读取sd密码卡11中的第一公钥;
217:网络摄像机12使用第一公钥对第二身份信息c2的签名信息进行sm2密码算法的验签,验签未通过返回身份信息验签失败断开连接,流程结束,验签通过则进行下一步218;
218:网络摄像机12根据第二身份信息c2、密文eipc_pub、时间信息t2,通过sm3密码算法进行哈希计算,得到哈希值h4;
219:网络摄像机12使用第一公钥对签名值m2和哈希值h4进行sm2密码算法验签,验签未通过断开连接,流程结束,否则,执行步骤220;
220:网络摄像机12使用sd密码卡11的用户私钥,解密密文eipc_pub,得到加密值e1,取前16字节作为工作密钥保存。
综上所述,本发明实施例通过安全音视频监控加密以及客户端认证的方式,实现了音视频数据的安全传输,客户端设备之间的安全认证和密钥协商,消除了安全隐患,提高了安全性。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
本领域技术人员可以理解附图只是一个优选实施例的示意图,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。