一种视频加密方法与流程

本发明属于数据加密和视频安全相关技术领域，具体涉及一种视频加密方法。

背景技术：

目前，网络视频监控技术的发展，其关注的重点在于系统功能的实现，主要包括视频图像的采集、存储和如何实现网络传输。而其安全则由于技术限制(实时视频大数据的加密瓶颈)和准备不足成为行业产品厂商的短板甚至是盲区，造成了目前的视频监控系统自身安全保障的缺失。

技术实现要素：

(一)要解决的技术问题

本发明要解决的技术问题是：如何提出一种视频数据“端模块到端模块”全程加密的加密方案，使得视频信息在各应用环节始终处于安全状态和严密监管之下，杜绝视频图像被非法窃取、伪造或变造的可能。

(二)技术方案

为解决上述技术问题，本发明提供一种视频加密方法，其应用于军队有视频加密需求的用户，所述视频加密方法包括以下步骤：

步骤1：双向认证；

双向认证过程发生在存储服务器和加固摄像机之间，在加固摄像机首次或刷新会话通信协议注册到存储服务器时进行；通过双向认证，双方获取对方的公钥，即数字证书，公钥用于后续视频建立时的密钥协商过程，并协商消息认证密钥mak，用于认证后续除了注册消息以外的信令；

步骤2：密钥协商；

密钥协商过程发生在存储服务器和加固摄像机之间，用于首次建立视频加密通信之间的密钥协商、以及定时更换密钥时的自动密钥协商；包括安全监控工作站、安全解码器在内的设备需要使用视频数据时，由存储服务器转发加密视频，开始转发之前，也需要进行密钥协商，密钥协商后将视频密钥加密密钥vkek通过信令的方式传送到最终的解密设备处；

步骤3：视频加密；

视频加密过程包括加密过程、存储过程、转发过程、解密过程四部分，密钥协商成功后，再进行视频的加密、存储、转发和解密处理工作。

其中，所述步骤1的双向认证过程包括如下步骤：

步骤11：加固摄像机向存储服务器发送注册请求，注册请求包括：加密算法类型域值范围和加固摄像机id；

步骤12：存储服务器收到步骤11加固摄像机发送的注册请求后，对加密算法类型域值范围进行配置形成加密算法类型域值配置信息，并生成第一随机数r1，存储服务器将加密算法类型域值配置信息、第一随机数r1、存储服务器id返回给加固摄像机；

步骤13：加固摄像机收到步骤12存储服务器发送的内容后生成第二随机数r2，第二随机数r2、第一随机数r1、存储服务器id经过运算合成后生成第一数字c1，第一数字c1利用加固摄像机的私钥进行签名，得到第一签名信息s1，加固摄像机将第一随机数r1、第二随机数r2、存储服务器id、第一签名信息s1和加固摄像机数字证书返回给存储服务器；

步骤14：存储服务器收到步骤13加固摄像机发送的内容后，验证加固摄像机数字证书、第一随机数r1及第一签名信息s1，通过后存储服务器的内置密码模块生成密钥mak，并利用加固摄像机数字证书对密钥mak加密生成第二数字c2，存储服务器通过运算将第一随机数r1、第二随机数r2、加固摄像机id生成第三数字c3，并将第二数字c2、第三数字c3加密后生成第二签名信息s2，最后存储服务器将第二数字c2、第三数字c3、第二签名信息s2和存储服务器数字证书返回给加固摄像机；

步骤15：加固摄像机收到步骤14存储服务器发送的内容后，进行第二随机数r2、存储服务器数字证书的验证，验证通过后加固摄像机利用内置密码模块对第二数字c2进行解密获得密钥mak，经过计算后得出正确的结果，则双方认证通过。

其中，所述步骤2的密钥协商过程包括如下步骤：

步骤21：双方认证通过后，存储服务器向加固摄像机发送视频请求信息，视频请求信息包括信令和经过哈希计算的密钥mak；

步骤22：加固摄像机接收步骤21存储服务器发送的内容后，验证密钥mak，通过后，分两种情况向存储服务器发送信息；

第一种情况：若加固摄像机不更新视频密钥加密密钥vkek，则摄像机用存储服务器的公钥将视频密钥加密密钥vkek加密生成视频密钥加密密钥密文evkek，再将视频密钥加密密钥密文evkek、视频密钥加密密钥版本号vkevversion放到sdp信道里发送给存储服务器；

第二种情况：若加固摄像机更新视频密钥加密密钥vkek，则加固摄像机用存储服务器的公钥将视频密钥加密密钥vkek加密生成视频密钥加密密钥密文evkek，再将视频密钥加密密钥密文evkek、更新后的视频密钥加密密钥版本号vkevversion、经过哈希计算的密钥mak发给存储服务器；存储服务器收到信息后，对密钥mak进行验证，验证通过后，经过计算获得正确结果，并反馈验证通过的信息给加固摄像机；加固摄像机获得验证通过的信息后，再将视频密钥加密密钥密文evkek、视频密钥加密密钥版本号vkevversion放到sdp信道里发送给存储服务器；

步骤23：存储服务器收到步骤22中加固摄像机发送的内容后，对密钥mak进行验证，验证通过后，验证通过后将验证回执返回给加固摄像机，密钥协商成功

其中，所述步骤21中，所述信令包含：视频请求类型、请求者、接收者、会话标识、当前时间和媒体要求sdp信道。

其中，所述步骤3的视频加密过程包括：加密环节、存储环节、转发环节、解密环节四部分，密钥协商成功后，才可进行视频的加密、存储、转发和解密处理工作。

其中，所述加密环节包括：

步骤311：读取待加密的视频数据；

步骤312：加固摄像机内置密码模块随机生成引入初始量iv，引入初始量iv和视频加密密钥vek通过对称算法计算后生成流密钥；

步骤313：流密钥将待加密的视频数据进行加密，得到加密视频数据；

步骤314：加固摄像机采用对称算法，将视频密钥加密密钥vkek对视频加密密钥vek加密得到视频加密密钥密文evek；

步骤315：加固摄像机将视频密钥加密密钥版本号vkekversion、视频加密密钥密文evek和引入初始量iv封装成安全参数集，安全参数集和加密视频数据拼接生成安全参数和视频密文封装包，即完成加密过程工作；加固摄像机将安全参数和视频密文封装包发送给存储服务器。

其中，所述存储环节包括：

步骤321：存储服务器接收到步骤315加固摄像机发送的内容后，将视频密钥加密密钥版本号vkekversion和视频密钥加密密钥密文evkek保存成vkekversion-evkek数据包，再把vkekversion-evkek数据包按接收的时间顺序插入到码流中；

步骤322：存储服务器将码流做本地存储，即完成存储过程工作。

其中，所述转发环节包括：

步骤331：存储服务器接收到步骤315加固摄像机发送的内容后，将视频密钥加密密钥版本号vkekversion和视频密钥加密密钥密文evkek保存成vkekversion-evkek数据包，再把vkekversion-evkek数据包按接收的时间顺序插入到码流中；

步骤332：存储服务器收到接收方的码流转发请求后，用私钥将视频密钥加密密钥密文evkek进行解密，得到视频密钥加密密钥vkek，加固摄像机利用接收方的公钥对视频密钥加密密钥vkek重新加密后，获得新视频密钥加密密钥密文evkek2；然后将视频密钥加密密钥版本号vkekversion和新视频密钥加密密钥密文evkek2保存成vkekversion-evkek2数据包，再把vkekversion-evkek2数据包发送至接收方，即完成转发过程工作。

其中，所述加固摄像机作为发送方；所述接收方为包括安全监控工作站、安全解码器在内的需要使用视频数据的设备。

其中，所述解密环节包括：

步骤341：接收方接收到存储服务器发送的内容后，利用本地私钥对新视频密钥加密密钥密文evkek2进行解密，得到视频密钥加密密钥原文vkek和对应的视频密钥加密密钥版本号vkekversion，并保存为vkekversion-vkek数据包存储到本地；

步骤342：接收方从收到的码流中解析出安全参数集，并从安全参数集中获取视频密钥加密密钥版本号vkekversion、视频加密密钥密文evek和引入初始量iv；

根据视频密钥加密密钥版本号vkekversion，从步骤341中本地存储的vkekversion-vkek数据包中查找得到视频密钥加密密钥vkek；

步骤343：利用视频密钥加密密钥vkek解密视频加密密钥密文evek得到视频加密密钥vek；

步骤344：读取待解密的加密视频数据；

步骤345：采用分组加密算法，将视频加密密钥vek和引入初始量iv生成流密钥；

步骤346：流密钥将待解密的加密视频数据进行解密，得到解密后的视频数据，即完成解密过程工作。

(三)有益效果

与现有技术相比较，本发明提出一种视频数据“端模块到端模块”全程加密的加密方案，使得视频信息在各应用环节始终处于安全状态和严密监管之下，杜绝视频图像被非法窃取、伪造或变造的可能。

附图说明

图1为本发明技术方案中加固监控系统图。

图2为本发明技术方案中加固摄像机加密过程图。

图3为本发明技术方案中数据终端模块解密过程图。

图4为本发明技术方案中整个系统的主要工作流程图。

图5为本发明技术方案中加固摄像机硬件组成图。

图6为本发明技术方案中安全网络硬盘录像机nvr及解码器原理框图。

图7为本发明技术方案中软件组成图。

图8为本发明技术方案中认证协议流程图。

图9为本发明技术方案原理图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

为解决现有技术的问题，本发明提供一种视频加密方法，其应用于军队有视频加密需求的用户，如图1-图9所示，所述视频加密方法包括以下步骤：

步骤1：双向认证；

双向认证过程发生在存储服务器和加固摄像机之间，在加固摄像机首次或刷新会话通信协议注册到存储服务器时进行；通过双向认证，双方获取对方的公钥，即数字证书，公钥用于后续视频建立时的密钥协商过程，并协商消息认证密钥mak，用于认证后续除了注册消息以外的信令；

步骤2：密钥协商；

密钥协商过程发生在存储服务器和加固摄像机之间，用于首次建立视频加密通信之间的密钥协商、以及定时更换密钥时的自动密钥协商；包括安全监控工作站、安全解码器在内的设备需要使用视频数据时，由存储服务器转发加密视频，开始转发之前，也需要进行密钥协商，密钥协商后将视频密钥加密密钥vkek通过信令的方式传送到最终的解密设备处；

步骤3：视频加密；

视频加密过程包括加密过程、存储过程、转发过程、解密过程四部分，密钥协商成功后，再进行视频的加密、存储、转发和解密处理工作。

其中，所述步骤1的双向认证过程包括如下步骤：

步骤11：加固摄像机向存储服务器发送注册请求，注册请求包括：加密算法类型域值范围和加固摄像机id；

步骤12：存储服务器收到步骤11加固摄像机发送的注册请求后，对加密算法类型域值范围进行配置形成加密算法类型域值配置信息，并生成第一随机数r1，存储服务器将加密算法类型域值配置信息、第一随机数r1、存储服务器id返回给加固摄像机；

步骤13：加固摄像机收到步骤12存储服务器发送的内容后生成第二随机数r2，第二随机数r2、第一随机数r1、存储服务器id经过运算合成后生成第一数字c1，第一数字c1利用加固摄像机的私钥进行签名，得到第一签名信息s1，加固摄像机将第一随机数r1、第二随机数r2、存储服务器id、第一签名信息s1和加固摄像机数字证书返回给存储服务器；

步骤14：存储服务器收到步骤13加固摄像机发送的内容后，验证加固摄像机数字证书、第一随机数r1及第一签名信息s1，通过后存储服务器的内置密码模块生成密钥mak，并利用加固摄像机数字证书对密钥mak加密生成第二数字c2，存储服务器通过运算将第一随机数r1、第二随机数r2、加固摄像机id生成第三数字c3，并将第二数字c2、第三数字c3加密后生成第二签名信息s2，最后存储服务器将第二数字c2、第三数字c3、第二签名信息s2和存储服务器数字证书返回给加固摄像机；

步骤15：加固摄像机收到步骤14存储服务器发送的内容后，进行第二随机数r2、存储服务器数字证书的验证，验证通过后加固摄像机利用内置密码模块对第二数字c2进行解密获得密钥mak，经过计算后得出正确的结果，则双方认证通过。

其中，所述步骤2的密钥协商过程包括如下步骤：

步骤21：双方认证通过后，存储服务器向加固摄像机发送视频请求信息，视频请求信息包括信令和经过哈希计算的密钥mak；

步骤22：加固摄像机接收步骤21存储服务器发送的内容后，验证密钥mak，通过后，分两种情况向存储服务器发送信息；

第一种情况：若加固摄像机不更新视频密钥加密密钥vkek，则摄像机用存储服务器的公钥将视频密钥加密密钥vkek加密生成视频密钥加密密钥密文evkek，再将视频密钥加密密钥密文evkek、视频密钥加密密钥版本号vkevversion放到sdp信道里发送给存储服务器；

第二种情况：若加固摄像机更新视频密钥加密密钥vkek，则加固摄像机用存储服务器的公钥将视频密钥加密密钥vkek加密生成视频密钥加密密钥密文evkek，再将视频密钥加密密钥密文evkek、更新后的视频密钥加密密钥版本号vkevversion、经过哈希计算的密钥mak发给存储服务器；存储服务器收到信息后，对密钥mak进行验证，验证通过后，经过计算获得正确结果，并反馈验证通过的信息给加固摄像机；加固摄像机获得验证通过的信息后，再将视频密钥加密密钥密文evkek、视频密钥加密密钥版本号vkevversion放到sdp信道里发送给存储服务器；

步骤23：存储服务器收到步骤22中加固摄像机发送的内容后，对密钥mak进行验证，验证通过后，验证通过后将验证回执返回给加固摄像机，密钥协商成功

其中，所述步骤21中，所述信令包含：视频请求类型、请求者、接收者、会话标识、当前时间和媒体要求sdp信道。

其中，所述步骤3的视频加密过程包括：加密环节、存储环节、转发环节、解密环节四部分，密钥协商成功后，才可进行视频的加密、存储、转发和解密处理工作。

其中，所述加密环节包括：

步骤311：读取待加密的视频数据；

步骤312：加固摄像机内置密码模块随机生成引入初始量iv，引入初始量iv和视频加密密钥vek通过对称算法计算后生成流密钥；

步骤313：流密钥将待加密的视频数据进行加密，得到加密视频数据；

步骤314：加固摄像机采用对称算法，将视频密钥加密密钥vkek对视频加密密钥vek加密得到视频加密密钥密文evek；

步骤315：加固摄像机将视频密钥加密密钥版本号vkekversion、视频加密密钥密文evek和引入初始量iv封装成安全参数集，安全参数集和加密视频数据拼接生成安全参数和视频密文封装包，即完成加密过程工作；加固摄像机将安全参数和视频密文封装包发送给存储服务器。

其中，所述存储环节包括：

步骤321：存储服务器接收到步骤315加固摄像机发送的内容后，将视频密钥加密密钥版本号vkekversion和视频密钥加密密钥密文evkek保存成vkekversion-evkek数据包，再把vkekversion-evkek数据包按接收的时间顺序插入到码流中；

步骤322：存储服务器将码流做本地存储，即完成存储过程工作。

其中，所述转发环节包括：

步骤331：存储服务器接收到步骤315加固摄像机发送的内容后，将视频密钥加密密钥版本号vkekversion和视频密钥加密密钥密文evkek保存成vkekversion-evkek数据包，再把vkekversion-evkek数据包按接收的时间顺序插入到码流中；

步骤332：存储服务器收到接收方的码流转发请求后，用私钥将视频密钥加密密钥密文evkek进行解密，得到视频密钥加密密钥vkek，加固摄像机利用接收方的公钥对视频密钥加密密钥vkek重新加密后，获得新视频密钥加密密钥密文evkek2；然后将视频密钥加密密钥版本号vkekversion和新视频密钥加密密钥密文evkek2保存成vkekversion-evkek2数据包，再把vkekversion-evkek2数据包发送至接收方，即完成转发过程工作。

其中，所述加固摄像机作为发送方；所述接收方为包括安全监控工作站、安全解码器在内的需要使用视频数据的设备。

其中，所述解密环节包括：

步骤341：接收方接收到存储服务器发送的内容后，利用本地私钥对新视频密钥加密密钥密文evkek2进行解密，得到视频密钥加密密钥原文vkek和对应的视频密钥加密密钥版本号vkekversion，并保存为vkekversion-vkek数据包存储到本地；

步骤342：接收方从收到的码流中解析出安全参数集，并从安全参数集中获取视频密钥加密密钥版本号vkekversion、视频加密密钥密文evek和引入初始量iv；

根据视频密钥加密密钥版本号vkekversion，从步骤341中本地存储的vkekversion-vkek数据包中查找得到视频密钥加密密钥vkek；

步骤343：利用视频密钥加密密钥vkek解密视频加密密钥密文evek得到视频加密密钥vek；

步骤344：读取待解密的加密视频数据；

步骤345：采用分组加密算法，将视频加密密钥vek和引入初始量iv生成流密钥；

步骤346：流密钥将待解密的加密视频数据进行解密，得到解密后的视频数据，即完成解密过程工作。

此外，本发明还提供一种视频加密系统，其应用于军队有视频加密需求的用户，所述视频加密系统包括：双向认证模块、密钥协商模块、视频加密模块；

其中，所述双向认证模块用于在存储服务器和加固摄像机之间进行双向认证，在加固摄像机首次或刷新会话通信协议注册到存储服务器时进行；通过双向认证，双方获取对方的公钥，即数字证书，公钥用于后续视频建立时的密钥协商过程，并协商消息认证密钥mak，用于认证后续除了注册消息以外的信令；

所述密钥协商模块用于在存储服务器和加固摄像机之间进行密钥协商，用于首次建立视频加密通信之间的密钥协商、以及定时更换密钥时的自动密钥协商；包括安全监控工作站、安全解码器在内的设备需要使用视频数据时，由存储服务器转发加密视频，开始转发之前，也需要进行密钥协商，密钥协商后将视频密钥加密密钥vkek通过信令的方式传送到最终的解密设备处；

所述视频加密模块用于在密钥协商成功后，再进行视频的加密、存储、转发和解密处理工作。

其中，所述双向认证模块包括：双向认证存储服务器端模块和双向认证加固摄像机端模块；

所述双向认证过程中：

双向认证加固摄像机端模块用于向存储服务器发送注册请求，注册请求包括：加密算法类型域值范围和加固摄像机id；

双向认证存储服务器端模块用于在收到双向认证加固摄像机端模块发送的注册请求后，对加密算法类型域值范围进行配置形成加密算法类型域值配置信息，并生成第一随机数r1，存储服务器将加密算法类型域值配置信息、第一随机数r1、存储服务器id返回给加固摄像机；

双向认证加固摄像机端模块收到双向认证存储服务器端模块发送的内容后，还用于生成第二随机数r2，第二随机数r2、第一随机数r1、存储服务器id经过运算合成后生成第一数字c1，第一数字c1利用加固摄像机的私钥进行签名，得到第一签名信息s1，双向认证加固摄像机端模块将第一随机数r1、第二随机数r2、存储服务器id、第一签名信息s1和加固摄像机数字证书返回给存储服务器；

双向认证存储服务器端模块收到第一随机数r1、第二随机数r2、存储服务器id、第一签名信息s1和加固摄像机数字证书后，还用于验证加固摄像机数字证书、第一随机数r1及第一签名信息s1，通过后存储服务器的内置密码模块生成密钥mak，并利用加固摄像机数字证书对密钥mak加密生成第二数字c2，存储服务器通过运算将第一随机数r1、第二随机数r2、加固摄像机id生成第三数字c3，并将第二数字c2、第三数字c3加密后生成第二签名信息s2，最后存储服务器将第二数字c2、第三数字c3、第二签名信息s2和存储服务器数字证书返回给加固摄像机；

双向认证加固摄像机端模块收到第二数字c2、第三数字c3、第二签名信息s2和存储服务器数字证书后，还用于进行第二随机数r2、存储服务器数字证书的验证，验证通过后加固摄像机利用内置密码模块对第二数字c2进行解密获得密钥mak，经过计算后得出正确的结果，则双方认证通过。

其中，所述密钥协商模块包括：密钥协商存储服务器端模块和密钥协商加固摄像机端模块；

所述密钥协商过程中：

在双方认证通过后，所述密钥协商存储服务器端模块用于向加固摄像机发送视频请求信息，视频请求信息包括信令和经过哈希计算的密钥mak；

所述密钥协商加固摄像机端模块接收视频请求信息后，用于验证密钥mak，通过后，还用于分两种情况向存储服务器发送信息；

第一种情况：若加固摄像机不更新视频密钥加密密钥vkek，则密钥协商加固摄像机端模块用存储服务器的公钥将视频密钥加密密钥vkek加密生成视频密钥加密密钥密文evkek，再将视频密钥加密密钥密文evkek、视频密钥加密密钥版本号vkevversion放到sdp信道里发送给存储服务器；

第二种情况：若加固摄像机更新视频密钥加密密钥vkek，则密钥协商加固摄像机端模块用存储服务器的公钥将视频密钥加密密钥vkek加密生成视频密钥加密密钥密文evkek，再将视频密钥加密密钥密文evkek、更新后的视频密钥加密密钥版本号vkevversion、经过哈希计算的密钥mak发给存储服务器；密钥协商存储服务器端模块收到信息后，对密钥mak进行验证，验证通过后，经过计算获得正确结果，并反馈验证通过的信息给加固摄像机；密钥协商加固摄像机端模块获得验证通过的信息后，再将视频密钥加密密钥密文evkek、视频密钥加密密钥版本号vkevversion放到sdp信道里发送给存储服务器端；

所述密钥协商存储服务器端模块收到视频密钥加密密钥密文evkek、视频密钥加密密钥版本号vkevversion后，还用于对密钥mak进行验证，验证通过后，验证通过后将验证回执返回给加固摄像机，密钥协商成功。

其中，所述信令包含：视频请求类型、请求者、接收者、会话标识、当前时间和媒体要求sdp信道。

其中，所述视频加密过程包括：加密环节、存储环节、转发环节、解密环节四部分，密钥协商成功后，才可进行视频的加密、存储、转发和解密处理工作。

其中，所述视频加密模块包括：加密加固摄像机端模块；所述加密加固摄像机端模块包括：读取单元、加固摄像机密码模块、加密单元、封装单元；

所述加密环节中：

所述读取单元用于读取待加密的视频数据；

加固摄像机密码模块用于随机生成引入初始量iv，并由引入初始量iv和视频加密密钥vek通过对称算法计算后生成流密钥；

加密单元用于根据流密钥将待加密的视频数据进行加密，得到加密视频数据；

加密单元还用于采用对称算法，将视频密钥加密密钥vkek对视频加密密钥vek加密得到视频加密密钥密文evek；

封装单元用于将视频密钥加密密钥版本号vkekversion、视频加密密钥密文evek和引入初始量iv封装成安全参数集，安全参数集和加密视频数据拼接生成安全参数和视频密文封装包，即完成加密过程工作；加密加固摄像机端模块将安全参数和视频密文封装包发送给存储服务器。

其中，所述视频加密模块包括：插入单元和存储单元；

所述存储环节中：

所述插入单元用于在接收到安全参数和视频密文封装包后，将视频密钥加密密钥版本号vkekversion和视频密钥加密密钥密文evkek保存成vkekversion-evkek数据包，再把vkekversion-evkek数据包按接收的时间顺序插入到码流中；

所述存储单元用于将码流做本地存储，即完成存储过程工作。

其中，所述视频加密模块包括：插入单元和转发单元；

所述转发环节中：

所述插入单元用于在接收到安全参数和视频密文封装包后，将视频密钥加密密钥版本号vkekversion和视频密钥加密密钥密文evkek保存成vkekversion-evkek数据包，再把vkekversion-evkek数据包按接收的时间顺序插入到码流中；

所述转发单元用于在收到接收方的码流转发请求后，用私钥将视频密钥加密密钥密文evkek进行解密，得到视频密钥加密密钥vkek，加固摄像机利用接收方的公钥对视频密钥加密密钥vkek重新加密后，获得新视频密钥加密密钥密文evkek2；然后将视频密钥加密密钥版本号vkekversion和新视频密钥加密密钥密文evkek2保存成vkekversion-evkek2数据包，再把vkekversion-evkek2数据包发送至接收方，即完成转发过程工作。

其中，所述加固摄像机作为发送方；所述接收方为包括安全监控工作站、安全解码器在内的需要使用视频数据的设备。

其中，所述视频加密模块包括：第一解密单元、解析单元、查找单元、第二解密单元、读取单元、运算单元、第三解密单元；

所述解密环节中：

接收方的第一解密单元用于接收到存储服务器发送的vkekversion-evkek2数据包后，利用本地私钥对新视频密钥加密密钥密文evkek2进行解密，得到视频密钥加密密钥原文vkek和对应的视频密钥加密密钥版本号vkekversion，并保存为vkekversion-vkek数据包存储到本地；

所述解析单元用于从收到的码流中解析出安全参数集，并从安全参数集中获取视频密钥加密密钥版本号vkekversion、视频加密密钥密文evek和引入初始量iv；

所述查找单元用于根据视频密钥加密密钥版本号vkekversion，从本地存储的vkekversion-vkek数据包中查找得到视频密钥加密密钥vkek；

所述第二解密单元用于利用视频密钥加密密钥vkek解密视频加密密钥密文evek得到视频加密密钥vek；

所述读取单元用于读取待解密的加密视频数据；

所述运算单元用于采用分组加密算法，将视频加密密钥vek和引入初始量iv生成流密钥；

所述第三解密单元用于根据流密钥将待解密的加密视频数据进行解密，得到解密后的视频数据，即完成解密过程工作。

综上，本发明涉及一种视频加密的加密方法，属于数据加密和视频安全相关领域。为摆脱实时视频大数据的加密瓶颈，保障视频监控系统自身安全，本发明提供一种高清视频“端模块到端模块”的全程加密的加密方法，包括步骤：密钥协商，存储服务器和加固摄像机建立视频连接时，进行密钥协商，协商成功后更换视频密钥加密密钥vkek；加密传输，视频加密密钥vek由交互的视频密钥加密密钥vkek加密后也随码流一起传输，视频加密密钥vek每1小时更新一次，在视频监控网络中传输时，视频数据以加密形态出现；密文存储，加密视频数据到达存储服务器后，由存储服务器直接以密文方式存入本地；加密转发，安全解码器、安全监控工作站与存储服务器建立连接时，存储服务器将相关加固摄像机的视频密钥加密密钥和对应的版本号通过信令方式转发给安全解码器、安全监控工作站，转发过程执行1次密钥协商过程；设备认证，通过内置密码模块中公钥证书有效性的验证，可以对设备进行有效性验证，出现设备失控时，及时在ca服务器中将其吊销，即可阻断该设备再次入网。

实施例1

本实施例中包括：

(1)密钥协商

存储服务器和加固摄像机建立视频连接时，每24小时进行1次密钥协商，协商成功后更换视频密钥加密密钥。密钥协商基于公钥密码算法，在ca服务器的支撑下进行。

(2)加密传输

密钥协商成功后，加固摄像机使用本地生成的视频加密密钥对视频数据进行加密，视频加密密钥vek由交互的视频密钥加密密钥vkek加密后也随码流一起传输，视频加密密钥vek每1小时更新一次。在视频监控网络中传输时，视频数据以加密形态出现。

(3)密文存储

加密视频数据到达存储服务器后，由存储服务器直接以密文方式存入本地。

安全监控工作站调取历史数据查看时，存储服务器先用私钥解密出录像文件中保存的视频密钥加密密钥vkek的原文，并用码流接收方的公钥对视频密钥加密密钥vkek原文重新加密；录像文件保持加密形式发送给码流接收方；接收方用自己的私钥解密视频密钥加密密钥vkek后，用视频密钥加密密钥vkek解密视频加密密钥vek，从而解密视频流用于播放。

(4)加密转发

安全解码器和安全监控工作站不直接连接加固摄像机，通过存储服务器获得视频数据。安全解码器、安全监控工作站与存储服务器建立连接时，存储服务器将相关加固摄像机的视频密钥加密密钥和对应的版本号通过信令方式转发给安全解码器、安全监控工作站，转发过程也要执行1次密钥协商过程，区别是视频加密密钥不是新生成的，是转发加固摄像机的。

(5)设备认证

通过内置密码模块中公钥证书有效性的验证，可以对设备进行有效性验证。出现设备失控时，及时在ca服务器中将其吊销，即可阻断该设备再次入网。

实施例2

本实施例中，提供一种使用军队公共普通密码算法中的非对称密码算法、对称密码算法和杂凑密码算法的加密方法，算法采用满足军队公共普通密码标准的安全密码部件或密码产品实现。所述算法包括：

(1)非对称密码算法用于身份鉴别、数字签名、密钥协商等；

(2)对称密码算法用于视频数据的加密保护；

(3)杂凑密码算法用于对签名信息的完整性进行校验。

该视频加密方法，其密钥管理包括：

(1)视频密钥加密密钥vkek：密钥长度为16字节，通过平台的公普加密设备实时生成，每24小时更换一次，用后覆盖；

(2)视频加密密钥vek：密钥长度为16字节，通过摄像头内置的公普加密设备实时生成，每小时更换1次，用后覆盖；

(3)发送方和接收方设备公钥：密钥长度为382比特，通过军队公用普通密码基础设施预先生成；

(4)发送方设备私钥：密钥长度为191比特，通过军队公用普通密码基础设施预先生成；

(5)接收方设备私钥：密钥长度为191比特，过军队公用普通密码基础设施预先生成。

实施例3

本实施例主要包括前端模块安全视频采集接入和后端模块服务中心管理两大部分。

首先，利用前端模块的视频采集设备，包括高清安全网络摄像机，将视频数据采集并加密后，通过视频专网传输到后端模块管理中心。然后通过管理中心的视频管理主服务器、流媒体服务器、存储服务器、安全解码器、ca认证服务器及安全工作站等后端模块管理设备对视频数据进行安全的客户端模块浏览、集中存储、电视墙观看等具体应用。

视频数据安全传输的关键节点体现在：

(1)实现前端模块视频加密，保护用户的重要及敏感图像不被非法窃取、篡改；

(2)安全认证管理，网络内所有安全设备采用数字证书实现身份认证，防止未经授权的设备侵入系统，同时采用数据完整性保护算法，对会话协议和控制协议进行保护，防止非法用户的协议攻击。

其中，在各类摄像头中分别配置1块usb密码模块；在存储服务器、安全解码器及监控工作站上分别配置一套标准的pcie密码卡。

公普密码设备配置及密钥配置情况见下表：

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。