一种基于数字签名的网络摄像头的保护方法与流程

本发明属于信息安全领域和网络通信领域，特别涉及一种基于数字签名的网络摄像头的保护方法。
背景技术：
：随着互联网时代逐渐深入人们的生活当中，图像传感技术、网络技术、传输技术、光纤技术、半导体技术等一系列改变人类生活方式的科学技术正慢慢被科学家们所挖掘。如今的时代已经变成了视频多媒体时代，网络摄像头慢慢涌入家庭安防行业。面向多样化和个性化的网络摄像头的图像数据的访问终端，一些不法分子利用网络黑客技术入侵网络摄像头或监控控制中心系统，窃取或篡改摄像头控制信息或图像数据，造成隐私数据的泄露。目前企业采取的基于口令的认证方式，黑客可以利用网络窃听、重放攻击、字典攻击和口令泄露等攻击方式来获取摄像头内容。这种基于口令进行身份认证的方式，只要用户拥有合法用户的用户名和口令就可以进行正常的数据访问，无法真正验证用户身份的合法性。硬件加密技术解决了软件加密在加密运算时的密钥出现在内存和占用系统资源两个不足之处。基于硬件加密技术的电子钥匙包括usbkey、芯片卡和高速tf卡，usbkey采用usb通讯提供通用高效系统接口，驱动nandflashu盘为客户端应用程序提供存储介质;芯片卡通过非接触读卡器的rf域来供电，采用非接触射频识别进行通讯；高速tf卡芯片处理能力强、安全性高、功耗低、接口丰富，具有极高的性能价格比。这三种硬件介质支持国家密码管理局指定的对称密码算法、非对称密码算法和杂凑算法，同时支持国际通用密码算法，具有额外的存储功能和一定的计算功能。针对上述网络摄像头数据保护的缺陷，本发明结合硬件加密技术的的电子钥匙，实施了了一种基于数字签名的家庭网络摄像头的保护方法，该方法基于一种安全的交互协议，是通过usbkey、tf卡、芯片卡这三种硬件作为存储密钥和密码学算法的安全介质，从而达到在c/s、b/s和app/云端架构下，网络摄像头的安全访问控制，保证数据的机密性、完整性和来源的可靠性。技术实现要素：技术问题：本发明提出一种基于数字签名的家庭网络摄像头的保护方法，从应用层出发设计一个安全交互协议，达到网络摄像头的安全访问控制。技术方案总述：1、安全协议：本发明所述的基于数字签名的家庭网络摄像头的保护方法，是基于一种安全的交互协议，该协议通过usbkey、芯片卡、高速tf卡这三种硬件作为存储密钥和密码学算法的安全介质；在c/s架构、b/s架构和app/云端架构下，通过嵌入摄像头中的数字证书中的密钥和密码学算法，与用户终端机器上的电子钥匙中存储的的密钥和密码学算法，共同完成安全交互协议。本发明所述的安全交互协议的具体步骤如下：表1符号说明符号意义c用户终端（客户端、浏览器端、app端）s摄像头端||字符串连接用户名、密码、客户端的随机验证码使用哈希函数处理字符串：利用s端的公钥将进行加密服务器端产生的随机数、服务器端的随机填充值利用c端的公钥将进行加密利用c端的私钥对进行签名利用s端的公钥进行验证签名s101：在s端注册合法的用户名和对应的口令，并存储在s端；s102：c端利用客户端的机器上的电子钥匙中的公钥将字符串进行加密；s103：c端将加密后的密文发送给s端；s104：s端将c端发送过来的密文，通过嵌入在s端证书中私钥进行解密，将解密后的明文与s端中注册的合法用户进行对比验证；s105：s端验证通过后，生成一个随机数，利用s端的公钥将随机数进行加密，将加密后的密文发送给c端；若s端验证失败，则向c端返回一个错误信息；s106：c端接收s端发送过来的密文，c端利用客户端机器上插入的电子钥匙中的私钥进行解密，然后在利用客户端机器上插入的电子钥匙中的私钥将解密后的明文进行签名；s107：c端将签名后的结果发送给s端，s端利用嵌入在摄像头中的证书上的公钥验证签名；s108：验证通过，则客户端拥有该电子钥匙的用户为合法用户，允许该用户进行合法的视频数据的访问；否则拒绝该用户的访问。2、密码学算法：本发明中的的密码学算法除标准的rsa算法、sm2算法外，还可以是一种改进的schnorr方案，所述的改进方案在签名中加入了时戳，本具体方案如下：s201：系统参数的建立s2011：选取两个素数和，使其满足；要求（、的长度分别满足,，）s2012：选取一个阶元素；s2013：建立一个密码杂凑函数；s202：主体公/私钥的建立用户alice选取一个随机数，并计算，alice的公钥为；她的私钥为。s203：签名生成为了生成消息的签名，同时为了防止重复使用密钥，而导致非法攻击，加入time时戳，alice选取一个随机数，并生成一个签名对，其中s204：验证签名设bob是一个验证者，他知道公钥属于alice。给定一个消息-签字对，bob的验证过程为有益效果：在基于本发明实例的安全协议上，将本实施协议应用于c/s架构、b/s架构、app/云端架构。用户终端进行消息的加密保证了只有合法的用户才能正常解密该消息，从而确保了摄像头端只有合法用户的签名才能验证通过。另外，app/云端架构中提供的三种方案具有更高的灵活性。具体来说，本发明所述的方法具有如下的有益效果：（1）本发明提供了一种在用户终端机器上插入电子钥匙的方案，采用密码学算法对交互数据进行加密、解密和数字签名，以确保用户身份的的保密性、真实性、完整性和不可否认性。（2）本发明提供了一种安全的交互协议，用户需要同时拥有合法的用户名、密码和授权的电子钥匙，系统才会授权该用户访问视频数据。（3）本发明提供了一种改进的schnorr数字签名方案，在签名中加入了时戳，引入了新鲜因子，保证了消息的不可被重放攻击性，从而进一步保证了数据传输的可靠性、安全性和不可抵赖性。附图说明为了更清楚的说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图是本发明的一些实例。图1是本发明的一个实施例提供的安全协议认证交互协议示意图；图2是本发明的一个实施例提供的基于c/s架构、b/s架构、app/云端架构下的设备连接示意图；图3是本发明的一个实施例提供的协议交互的消息示意图；图4是本发明的一个实施例提供的安全交互协议流程图。具体实施方式为使本发明实施例的目的、技术方法和优点更加清楚，下面结合本发明实施例中的附图，对本发明实施例或技术方案进行清楚、完整地描述；显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得到的所有其他实施例，都属于本发明保护的范围。架构的具体技术方案：s101：在服务器端注册用户名和对应的口令，存储在s端（摄像头端）；s102：c端利用客户端的机器上的电子钥匙中的公钥将进行加密；同时将进行签名；s103：c端将加密后的密文发送给s端；s104：s端接收c端发送过来的密文和签名，s端利用嵌入在摄像头证书中的私钥进行解密，用公钥验证签名；s105：若验证通过，用户终端拥有该电子钥匙的用户为合法用户，则允许该用户进行合法的视频数据的访问；否则拒绝该用户的访问。架构的具体技术方案：b/s架构基于技术方案总述中的安全协议，本方案的具体实现方案为：首先在浏览器端利用js端的密码算法库，实现标准的rsa算法、sm2算法和改进的schnorr签名算法。浏览器向摄像头端发送消息使用异步的ajax技术，摄像头端利用webapi技术向浏览器端返回消息；浏览器端和服务器端之间的交互协议满足技术方案总述中的交互步骤。云端的具体技术方案：为实现网络摄像头的远程管理，在app与摄像头之间加入云端管理功能，在本技术方案中，云端作为技术方案总述中的服务器端，即云端执行对用户终端发送过来的报文的接收、解析、加密、解密和验证合法的用户终端的功能。另外的本架构下的用户终端（app端）提供了三种接入电子钥匙的方案如下：方案一：app端要求插入所述的高速tf卡。方案二：app端要求连接otg线，将usbkey插入otg线的另外一端。方案三：目前市面上的大部分手机都支持nfc功能，配套的使用芯片卡，芯片卡要求满足所述要求的芯片卡。app/云端基于技术方案总述中的交互协议，实施以上三种方案，app端为用户终端，云端作为服务器端参与安全交互协议的总过程。有益效果：在基于本发明实例的安全协议上，将本实施协议应用于c/s架构、b/s架构、app/云端架构。用户终端进行消息的加密保证了只有合法的用户才能正常解密该消息，从而确保了摄像头端只有合法用户的签名才能验证通过。另外，app/云端架构中提供的三种方案具有更高的灵活性。具体来说，本发明所述的方法具有如下的有益效果：（1）本发明提供了一种在用户终端机器上插入电子钥匙的方案，采用密码学算法对交互数据进行加密、解密和数字签名，以确保用户身份的的保密性、真实性、完整性和不可否认性。（2）本发明提供了一种安全的交互协议，用户需要同时拥有合法的用户名、密码和授权的电子钥匙，系统才会授权该用户访问视频数据。（3）本发明提供了一种改进的schnorr数字签名方案，在签名中加入了时戳，引入了新鲜因子，保证了消息的不可被重放攻击性，从而进一步保证了数据传输的可靠性、安全性和不可抵赖性。协议交互过程中的消息加解密、签名示例：示例1：基于标准的sm2的加解密和签名重要参数私钥：966e666aa9d5ae4f403533ace997b5c3778b2d5807ca765c8e0e1c0e7af98ab9公钥：9607574ce418582adf6969a8aec8900a043de75a9b458b240eccf994add0ecaaf38d3bf35f55bfc5a8282e2f3146b8159452057328b68366f7db59b0a05ee78e报文消息明文消息：jonllen||123456||dt1e哈希值：262b1da1e611abfa719276600de49b9e0eb05434c0e3204e9db64961423cee1c密文：apt0zr6ssunwn4mnhwf/hrpql92kfnbhcahtea7tsldk,mwrtsqqaxm6j4gdtwwzg8yqzoliio4j8uall6jgsmua=,an44csndl26ss+v3/szrooivj0o4aekqwr+3ieh7pn2a,alrap6e2dsbnhzacdsz1wbrvxixhoj1fqmki3p88od8m签名：al0wdak3prluhqqw7s0nok6b1utm6ikux0yv9v389tic,amvwx96ix9wn2z/fjwsm8lojkdksttja6dioyvkaysmc当前第1页12