本发明涉及一种采用标识密码技术的智能安全摄像头的数据安全与保密方法,属于信息安全技术领域。
背景技术
标识密码技术与ca类似,都是公钥基础设施。ca使用数字证书代表个人身份,数字证书由权威机构签发,私钥由载体保护;标识密码技术没有数字证书,使用用户(或物的)id及其公钥标识代表用户身份,用户id在权威机构注册,其公钥标识由用户以及根私钥共同产生,也是由权威机构产生,私钥也由载体保护。标识密码也使用公私钥对和通用算法实现身份认证、数字签名验证、数据加解密、密钥交换等功能。标识密码技术是ca应用的一个补充,特别适合于用户量庞大、占用资源有限制的应用。
技术实现要素:
本发明所要解决的技术问题是克服现有技术的缺陷,提供一种基于标识密码的智能摄像头安全控制与数据保密的方法,避免摄像头的音视频数据泄露,增强了安全性。
为解决上述技术问题,本发明采用的技术方案如下:
一种基于标识密码的智能摄像头安全控制与数据保密的方法,其特征是,包括以下步骤:
步骤1、智能摄像头与用户端分别预置公私钥对;
预置公私钥对以端数据作为标识,以该标识生成公私钥对,使该公私钥对中具备设备或用户的唯一id特征;
步骤2、智能摄像头对允许配对公钥进行存储,采用哈希算法和签名的方式,对用户端中的公钥予以签名;
步骤3、智能摄像头将其mac地址及id相关信息发送至服务器,并与服务器保持心跳;
步骤4、用户端通过mac地址或对应的智能摄像头的唯一id到服务器进行寻址;
步骤5、用户端获得寻址后,用私钥对自己的公钥进行签名,并发送其签名的公钥至智能摄像头申请连接;
步骤6、智能摄像头对收到的数据进行验签,还原出公钥,并对已存储的公钥进行哈希验证;然后用存储在智能摄像头的公钥与申请连接的公钥进行比对,比对成功后则响应用户端发出的连接申请,进行音视频连接,否则拒绝接入;
步骤7、智能摄像头比对成功后,采用内置的随机数发生器产生随机数,并采用数字信封的方式,对随机数进行加密并发送至用户端;
步骤8、智能摄像头启动音视频的采集,并使用随机数作为密钥对采集的音视频数据进行加密,发送至用户端;
步骤9、用户端将获取的加密随机数使用私钥进行解密,采用解密出的随机数作为密钥,对接收到的加密的音视频数据进行解密,得到音视频数据。
端数据为智能摄像头设备id号或用户端的用户特征信息。
用户特征信息包括用户生日和家庭住址。
当用户端发出关闭音视频采集指令时,用户端与智能摄像头均清除缓存数据及随机数密钥。
用户端为用户的移动终端app,如手机app等。
智能摄像头内采用国密算法加密芯片usbkey。
随机数发生器内置于国密算法加密芯片usbkey中。
本发明所达到的有益效果:
1、不需要进行证书管理,占用资源少;不使用双线性对运算,计算效率高;采用双密钥机制,用户密钥分为加密密钥和签名密钥两种类型,符合国家密码管理政策;用户签名密钥由用户和密钥生成中心共同生成,签名具有法律效力;用户密钥可以撤销和更换。
2、高强度的身份识别认证方式。用户密钥安全性主要体现在其它人不能从用户公钥推出用户私钥,也不能伪造用户密钥、对用户实施公钥替换攻击或伪造签名攻击。
采用公私钥密码认证,替代目前的账户/密码认证的模式。高强度公私钥密码增强了身份识别认证的强度和复杂度,避免常规的智能摄像头与用户手机app之间只是通过账号+密码的方式所引发的强度破解、缺省密码等不安全因素的存在,导致用户的音视频信息被泄露的情况。
3、采用双方使用国密芯片的电路应用模式,增强对非法入侵攻击的阻滞能力。由于采用国家颁布的密码算法,在密码强度、安全性方面有了最高级别商业应用的保障。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本专利定义的“密码算法”是指国际/国家认可的可以推广应用的对称、非对称密码算法以及哈希算法等。
本专利的方法,是指采用密码算法的架构,构建智能摄像头与控制端的身份识别、安全控制、数据保密的全过程架构方案。本专利的端与端采用硬件密码模块为实现基础,在摄像头端必须以硬件密码模块为主要支撑,在用户端采用硬件密码模块+周期性临时密钥为应用基础,增加用户的使用便捷性的同时,确保密钥在安全周期内的保护强度。
结合图1所示,本发明的智能摄像头安全控制与数据保密的方法,主要包括以下步骤:
1、智能摄像头与用户手机app对该摄像头具有拥有权的用户分别预置公私钥对。
公私钥对可以把端数据(摄像头设备id号、用户端的用户生日、家庭住址等)作为标识,以该标识生成公私钥对,使得该公私钥对内涵中具备了设备/用户的唯一id特征;
2、智能摄像头完成允许配对公钥的存储与保护,采用哈希算法和签名的方式,对用户手机app中的公钥予以签名和防抵赖,以确保用户手机app公钥不被非法篡改。
3、按照普通智能摄像头及用户手机app通联规则,本发明中智能摄像头将其mac及相关其他信息发送至服务器,并保持心跳,已确保实施发送变更后的ip地址,以便用户手机app进行寻址。
4、用户手机app首先通过mac或对应的智能摄像头的唯一id到服务器进行寻址。
5、用户手机app获得寻址后,用私钥对自己的公钥进行签名,并发送其签名公钥至智能安全摄像头。
6、智能摄像头对收到的数据进行验签,还原出公钥,并对已存储的公钥进行哈希验证以防止恶意攻击、仿冒和篡改。然后用存储在摄像头端的公钥与申请连接的公钥进行比对,比对成功后则响应用户手机app发出的申请,进行音视频连接,否则拒绝接入。
7、摄像头端比对成功后,采用国密芯片内置的随机数发生器产生随机数,并采用数字信封的方式,对随机数进行加密发送至用户手机app。
8、智能摄像头启动音视频的采集,并使用随机数作为密钥进行加密,发送至用户app。
9、用户手机app将获取并使用其私钥进行解密,解密出的随机数作为密钥,对音视频数据进行解密,并对用户进行呈现。
10、当用户发出关闭音视频采集的控制指令时,用户手机app和智能摄像头清除缓存数据及随机数密钥,完成智能安全摄像头的控制与使用。
控制指令数据的加解密同音视频数据加解密的原理一致,主要是由用户app发起,摄像头被动接受和执行指令。
采用标识密码技术,使用密码机对与设备的关键芯片id(或其他可以识别为唯一的序号)进行公私钥对的共同生成,使得公私密钥对隐含了该产品的特定属性,具有防抵赖功能(或唯一性功能)
用户在注册、登录及通信时,不再使用账户和密码,而采用对公私钥对的计算验证的方法,避免了账户密码被破解的可能,切实实现智能安全摄像头的可信身份识别。
采用非数字证书模式,故不需要进行证书管理,占用资源少;且不使用双线性对运算,计算效率高;
利用可对密钥进行保护的国密芯片usbkey,采用标识密码技术,对公钥进行自证和互证,提高了应用的安全级别。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。