本发明涉及视频认证,特别涉及一种基于国密sm9算法的视频前端设备认证方法及系统。
背景技术:
1、随着信息化技术的发展,视频监控正在向网络监控、智能监控发展,相关的应用已遍及城市与生活的各个场景。而视频监控的ip化、网络化、标准化,导致视频监控更容易遭受网络攻击,一旦黑客控制视频监控设备及管理服务平台,就可以截获视频数据,甚至通过伪造身份接管设备控制权限,发起对特定目标的持续网络攻击,造成网络瘫痪、业务无法运行、隐私泄露等严重危机。
2、然而,目前的视频监控大多未采用视频安全认证和视频信令、数据加密的系统,这便存在以下问题:
3、1.未授权用户的非法访问:由于目前的视频监控系统无法保障用户身份的真实性以及用户访问的可控性,因此未授权用户的非法访问可导致敏感视频内容外泄;
4、2.非法接入视频监控前端视频设备:由于目前的视频监控系统无法保障接入监控视频系统的视频监控前端视频设备身份的真实性,因此假冒的设备可以非法接入视频监控前端,可导致虚假视频植入,无法保证用户调用的视频就是所请求的设备而不是其他假冒设备,无法保证源的可信;
5、3.非法接入视频监控管理平台服务器设备:由于目前的视频监控系统无法保障监控视频系统中平台服务器设备身份的真实性,因此非法接入监控视频系统服务器设备可导致敏感视频内容转移;
6、4.非法操控视频监控前端视频设备:由于目前的视频监控系统无法保障信令内容的完整性,即无法保障信令内容被篡改后可检测,因此非法操控设备可导致视频监控前端视频设备的监控角度错误、停止工作、采集的视频向未授权的地方传输等;
7、5.非法篡改视频监控前端视频设备产生的视频内容:由于目前的视频监控系统无法保障视频内容的完整性,也无法防止视频内容被篡改,因此非法篡改视频监控前端视频设备的视频内容可导致视频内容改变。
8、6.非法获取视频监控前端视频设备产生的视频内容:由于目前的视频监控系统无法保障视频内容的保密性,无法确保视音频内容没有被窃取、泄露,因此非法获取视频内容可导致敏感视频内容外泄。
9、基于以上安全风险,亟需构建安全的视频监控系统,保护视频数据全生命周期安全。
技术实现思路
1、本发明的目的在于提供一种基于国密sm9算法的视频前端设备认证方法及系统,以解决现有视频监控系统安全性能差的问题。
2、为解决上述技术问题,本发明提供一种基于国密sm9算法的视频前端设备认证方法,包括:
3、前端视频设备下载sm9标识密钥,并采用安全加密措施,完成密钥请求、下载、传输、保存前端视频sm9私钥;
4、前端视频设备与视频加密子系统进行基于标识密码技术的双向认证;
5、前端视频设备采用sm4算法对监控视频数据进行加密,并将加密后的监控视频数据传输至视频加密子系统;
6、视频加密子系统对加密后的监控视频数据进行解密,并将解密后的监控视频数据传输至视频用户终端。
7、可选的,在所述的基于国密sm9算法的视频前端设备认证方法中,所述前端视频设备下载sm9标识密钥的方法包括:
8、前端视频设备向统一密码服务平台发起sm9密钥请求,并采用安全加密措施,完成密钥请求、下载、传输、保存前端视频sm9私钥;
9、统一密码服务平台校验mac值,请求kgc生成sm9密钥密文数据,并采用安全加密措施,传输视频前端sm9密钥密文数据;
10、前端视频设备获取sm9密钥密文数据,并解密得到视频前端sm9私钥;
11、前端视频设备采用安全加密措施,对视频前端sm9私钥进行存储。
12、可选的,在所述的基于国密sm9算法的视频前端设备认证方法中,所述前端视频设备向统一密码服务平台发起sm9密钥请求的方法包括:
13、前端视频设备集成sdk,其中sdk已存储有设备根密钥;
14、前端视频设备调用sdk的sm2临时公私钥生成接口,以得到sm2临时公钥;
15、前端视频设备与统一密码服务平台建立访问令牌,以向统一密码服务平台发起sm9密钥请求。
16、可选的,在所述的基于国密sm9算法的视频前端设备认证方法中,所述统一密码服务平台校验mac值,请求kgc生成sm9密钥密文数据的方法包括:
17、前端视频设备调用sdk的hmac算法,以计算mac值;
18、前端视频设备携带sm2临时公钥、设备mac+id和mac值向统一密码服务平台请求sm9密钥;
19、统一密码服务平台校验mac值,并根据设备mac+id生成sm9私钥;
20、统一密码服务平台利用sm2临时公钥对sm9私钥进行加密,以得到sm9密钥密文数据。
21、可选的,在所述的基于国密sm9算法的视频前端设备认证方法中,所述前端视频设备与视频加密子系统进行基于标识密码技术的双向认证的方法包括:
22、前端视频设备向视频加密子系统发起注册请求;
23、视频加密子系统产生第一随机数,并将第一随机数发送至前端视频设备;
24、前端视频设备根据第一随机数得到第一签名值,并向视频加密子系统再次发起注册请求;
25、视频加密子系统对第一签名值进行验签,以得到第二签名值;
26、前端视频设备获取第二签名值,并对第二签名值进行验签。
27、可选的,在所述的基于国密sm9算法的视频前端设备认证方法中,所述前端视频设备根据第一随机数得到第一签名值,并向视频加密子系统再次发起注册请求的方法包括:
28、前端视频设备产生第二随机数;
29、前端视频设备利用sm9私钥对第一随机数、第二随机数和服务器id进行数字签名,以得到第一签名值;
30、前端视频设备携带第一随机数、第二随机数、第一签名值和服务器id,向视频加密子系统再次发起注册请求。
31、可选的,在所述的基于国密sm9算法的视频前端设备认证方法中,所述视频加密子系统对第一签名值进行验签,以得到第二签名值的方法包括:
32、视频加密子系统效验第一随机数的有效性、服务器id和第一签名值的有效性;
33、视频加密子系统调用统一密码服务平台对第一签名值进行验签;
34、统一密码服务平台利用sm9私钥对第一随机数、第二随机数和前端视频设备进行数字签名,以得到第二签名值;
35、统一密码服务平台将验签结果和第二签名值返回至视频加密子系统。
36、可选的,在所述的基于国密sm9算法的视频前端设备认证方法中,所述前端视频设备采用sm4算法对监控视频数据进行加密,并将加密后的监控视频数据传输至视频加密子系统的方法包括:
37、前端视频设备随机生成128bit视频加密密钥;
38、前端视频设备利用加密密钥对监控视频数据进行加密,以得到加密后的监控视频数据;
39、前端视频设备调用统一密码服务平台,利用统一密码服务平台提供的sm9公钥对视频加密密钥进行加密;
40、前端视频设备用流密钥对称加密视频流数据,以将加密后的监控视频数据加密传输至视频加密子系统。
41、可选的,在所述的基于国密sm9算法的视频前端设备认证方法中,所述视频加密子系统对加密后的监控视频数据进行解密,并将解密后的监控视频数据传输至视频用户终端的方法包括:
42、视频加密子系统调用统一密码服务平台,下载与国密公钥对应的sm9私钥;
43、视频加密子系统使用sm9私钥对加密的加密密钥进行解密,以得到加密密钥;
44、视频加密子系统使用加密密钥对监控视频数据进行解密,得到监控视频数据;
45、视频加密子系统将解密后的监控视频数据传输至视频用户终端。
46、为解决上述技术问题,本发明还提供一种基于国密sm9算法的视频前端设备认证系统,用于实现如上任一项所述的基于国密sm9算法的视频前端设备认证方法,所述基于国密sm9算法的视频前端设备认证系统包括前端视频设备、视频加密子系统、视频用户终端和统一密码服务平台;所述视频用户终端通过所述视频加密子系统与所述前端视频设备通信连接,以获取所述前端视频设备的监控视频;所述视频加密子系统用于通过所述统一密码服务平台对所述前端视频设备的监控视频进行解密、存储、接入和管理;所述统一密码服务平台包括密码资源池,所述密码资源池用于创建密钥并对所述统一密码服务平台产生的数据进行管理和监测。
47、本发明提供的基于国密sm9算法的视频前端设备认证方法及系统,包括:前端视频设备下载sm9标识密钥,并采用安全加密措施,完成密钥请求、下载、传输、保存前端视频sm9私钥;前端视频设备与视频加密子系统进行基于标识密码技术的双向认证;前端视频设备采用sm4算法对监控视频数据进行加密,并将加密后的监控视频数据传输至视频加密子系统;视频加密子系统对加密后的监控视频数据进行解密,并将解密后的监控视频数据传输至视频用户终端。通过选取国家标准密码技术,从而在一定程度上标准化程度高、技术弱点少;通过基于sm9算法,对前端视频设备和视频加密子系统进行双向认证,使得确保前端视频设备接入设备的真实性,有效防止恶意设备的接入以及非法控制前端设备等问题造成的视频泄露及恶意植入无关视频等操作;通过基于国密算法对监控视频数据进行加密并加密传送,能够有效防止恶意窃取视频,避免数据泄露风险,解决了现有视频监控系统安全性能差的问题。