CN111835997B - 基于量子密钥加密的云视频会议系统及其加解密方法 - Google Patents
基于量子密钥加密的云视频会议系统及其加解密方法 Download PDFInfo
- Publication number
- CN111835997B CN111835997B CN202010683181.8A CN202010683181A CN111835997B CN 111835997 B CN111835997 B CN 111835997B CN 202010683181 A CN202010683181 A CN 202010683181A CN 111835997 B CN111835997 B CN 111835997B
- Authority
- CN
- China
- Prior art keywords
- video conference
- conference
- key
- quantum
- quantum key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000004891 communication Methods 0.000 claims abstract description 39
- 238000003860 storage Methods 0.000 claims abstract description 39
- 238000005304 joining Methods 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims description 11
- 230000009466 transformation Effects 0.000 claims description 8
- 230000004913 activation Effects 0.000 claims description 4
- 238000002360 preparation method Methods 0.000 claims description 4
- 239000003999 initiator Substances 0.000 claims description 3
- 238000009826 distribution Methods 0.000 abstract description 9
- 230000005540 biological transmission Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000005336 cracking Methods 0.000 description 4
- 239000000945 filler Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000002096 quantum dot Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/14—Systems for two-way working
- H04N7/15—Conference systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/238—Interfacing the downstream path of the transmission network, e.g. adapting the transmission rate of a video stream to network bandwidth; Processing of multiplex streams
- H04N21/2389—Multiplex stream processing, e.g. multiplex stream encrypting
- H04N21/23895—Multiplex stream processing, e.g. multiplex stream encrypting involving multiplex stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/254—Management at additional data server, e.g. shopping server, rights management server
- H04N21/2541—Rights Management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26613—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/438—Interfacing the downstream path of the transmission network originating from a server, e.g. retrieving encoded video stream packets from an IP network
- H04N21/4385—Multiplex stream processing, e.g. multiplex stream decrypting
- H04N21/43853—Multiplex stream processing, e.g. multiplex stream decrypting involving multiplex stream decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/14—Systems for two-way working
- H04N7/15—Conference systems
- H04N7/155—Conference systems involving storage of or access to video conference sessions
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Graphics (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于量子密钥加密的云视频会议系统及其加解密方法,它涉及云视频会议技术领域。它包括云视频会议服务、视频会议客户端、量子密钥管理系统、量子密钥发行管理终端、量子密钥充注机、量子密钥存储介质和量子密钥分发终端,其加密步骤为:准备、建立会议、加入会议、建立媒体流上推安全通道、建立媒体流下拉安全通道、保密视频会议阶段、退出结束会议。本发明利用量子增强密钥对通过公共通信网络传输的音视频媒体流进行加密,提高音视频媒体流在公共通信网络传输的机密性,防止云视频会议的音视频媒体流通过公共通信网络传输时被恶意截获破解,增强云视频会议系统的业务安全性和用户隐私保护,应用前景广阔。
Description
技术领域
本发明涉及的是云视频会议技术领域,具体涉及基于量子密钥加密的云视频会议系统及其加解密方法。
背景技术
相较于传统视频会议系统,云视频会议诞生于“互联网+”时代,具 有成本较低、架构灵活、处理高效、使用便利等巨大比较优势,但同时 云视频会议通过开放的互联网传输音视频媒体流,面对恶意窃取、信息 拦截、信息监听等网络攻击手段,云视频会议系统存在音视频信息及用 户隐私泄露的风险。
常用的云视频会议预防网络信息泄露的方式是采用SSL/TLS/DTLS技术进行加密传输,SSL:Secure Sockets Layer、安全套接字协议,及TLS:Transport Layer Security、继任者传输层安全,是为网络通信提供安全及数据完整性的一种安全协议,TLS与SSL在传输层与应用层之间对网络连接进行加密。DTLS:Datagram Transport Layer Security、数据包传输层安全性协议,TLS不能用来保证UDP上传输的数据的安全,DTLS在TLS协议架构上扩展,使之支持UDP数据包。在云视频会议服务端包含SSL/TLS/DTLS服务,视频会议客户端作为SSL/TLS/DTLS客户端,和云视频会议服务端之间构建SSL/TLS/DTLS加密链路,对视频会议客户端和云视频会议服务之间的音视频媒体流进行加密保护。但一方面虽然SSL/TLS/DTLS协议是完备的,但目前各版本的SSL/TLS/DTLS实现库中都或多或少的存在已暴露或还未暴露的安全漏洞,容易引起加密音视频所用的会话密钥泄露;另一方面SSL/TLS/DTLS协议中参与会话密钥生成过程的随机数是基于软件生成的伪随机数,其随机性较差,抗攻击破解能力较弱;同时SSL/TLS/DTLS协议中的密钥交换协议采用RSA或DH密钥交换协议,其安全性基于PKI体制中非对称密钥的计算数学原理,但随着量子计算机技术的飞速发展,一旦具备成熟的、量子比特位数足够多的量子计算机,结合相应的破解算法(如shor算法),其破解时间将急剧缩短。
综上所述,云视频会议系统的音视频媒体流在网络传输过程中,存在较高的信息泄露风险;常用的采用SSL/TLS/DTLS技术进行加密传输的方式,不可避免的存在安全漏洞,系统所用的伪随机数质量差,其密钥交换机制也不具备抗量子计算攻击的能力,音视频通过公共通信网络传输的机密性难以得到保障。基于此,设计一种基于量子密钥加密的云视频会议系统及其加解密方法尤为必要。
发明内容
针对现有技术上存在的不足,本发明目的是在于提供一种基于量子密钥加密的云视频会议系统及其加解密方法,利用量子增强密钥对通过公共通信网络传输的音视频媒体流进行加密,提高音视频媒体流在公共通信网络传输的机密性,防止云视频会议的音视频媒体流通过公共通信网络传输时被恶意截获破解,增强云视频会议系统的业务安全性和用户隐私保护,易于推广使用。
为了实现上述目的,本发明是通过如下的技术方案来实现:基于量子密钥加密的云视频会议系统,包括云视频会议服务、视频会议客户端、量子密钥管理系统、量子密钥发行管理终端、量子密钥充注机、量子密钥存储介质和量子密钥分发终端,所述的云视频会议服务包括公有云、私有云、混合云等云服务部署模式,视频会议客户端包括有电脑、笔记本、专用视频会议终端、智能电视、机顶盒、手机、Pad,每个视频会议客户端配备一个量子密钥存储介质,量子密钥存储介质采用符合《GM/T0016智能密码钥匙密码应用接口规范》的UKey、TF卡、SimKey、软件密码模块(软Key),加载量子安全服务功能后,实现量子密钥的安全存储与终端安全应用;量子密钥管理系统设置在中心站点,包含内嵌或外置的量子随机数发生器,具有公共通信网络可访问的IP地址,实现量子密钥管理、量子密钥协商、量子密钥更新、接入认证访问控制的量子密钥安全管理功能;量子密钥发行管理终端设置在中心站点,实现量子密钥存储介质的发行、挂失、解锁、注销与充注功能;量子密钥充注机设置有多个,设置在区域的充注站点,就近为本区域高安全用户的量子密钥存储介质提供量子密钥安全充注功能;量子密钥分发终端配置在中心站点及各充注站点,各量子密钥分发终端之间通过量子信道相连构成量子通信网络,利用量子密钥分发设备生成的量子密钥,对量子密钥充注机与量子密钥管理系统之间的通信链路进行加密保护,该系统利用量子增强密钥对云视频会议服务通过公共通信网络传输的音视频媒体流进行加密,提高音视频媒体流在公共通信网络传输的机密性。
作为优选,所述的云视频会议服务部署在阿里云或华为云公有云平台,也可以部署在企业的私有云平台或混合云平台,通过公共通信网络面向公众用户提供普通云视频会议服务,并通过公共通信网络面向高安全用户提供量子保密云视频会议服务。
作为优选,所述的视频会议客户端中的电脑、笔记本上安装云视频会议客户端软件,也可以直接通过浏览器访问云视频会议服务,其它类型的视频会议客户端上安装云视频会议APP;每个视频会议客户端配备一个量子密钥存储介质:电脑、笔记本上配置UKey或软件密码模块,专用视频会议终端和智能电视、机顶盒配置UKey、TF卡或软件密码模块,手机、Pad配置SimKey、TF卡或软件密码模块。
作为优选,所述的公共通信网络包括公共互联网和各类有线、无线IP专网。
基于量子密钥加密的云视频会议系统的加解密方法,包括以下步骤:
(1)准备:
参加视频会议的会议各方拥有视频会议客户端,视频会议客户端配置有由量子密钥发行管理终端发行、并在有效期内的量子密钥存储介质,在开始视频会议前,参会各方均已完成了设备注册、激活、密钥充注等准备工作,各方视频会议客户端均设置在量子加密工作模式;参会各方的其中一方作为会议主持方,其他参会各方作为参会方;
(2)建立会议:
会议主持方申请建立会议,云视频会议服务创建会议,并自动分配一个会议号;会议主持方通过微信、电话等方式将会议号通知其他参会各方;
(3)加入会议:
其他参会方输入会议号,申请加入会议,云视频会议服务将申请者拉入会议;
(4)建立媒体流上推安全通道:
各方视频会议客户端加入会议后,分别向云视频会议服务申请建立视频会议客户端到云视频会议服务之间的端到端的媒体流推送安全通道;双方按照标准SSL/TLS/DTLS协议协商出了主密钥K1后,视频会议客户端以主密钥K1向量子密钥存储介质申请量子增强密钥,量子密钥存储介质将主密钥K1与量子密钥存储介质中预先充注的量子密钥K2进行变换运算,向视频会议客户端返回量子增强密钥K和Token信息,其中Token中包含通信双方的身份、量子密钥K2的序号、密钥长度等密文信息;视频会议客户端将Token发送给云视频会议服务;云视频会议服务以Token和K1为参数,向量子密钥管理系统申请获取量子增强密钥;量子密钥管理系统根据Token中的用户、密钥序号、密钥长度等信息,查询内部的量子密钥库得到和视频会议客户端相同的量子密钥K2,量子密钥管理系统将K2和K1按照和视频会议客户端相同的算法进行变换运算,得到和视频会议客户端相同的量子增强密钥K并返回给云视频会议服务;
(5)建立媒体流下拉安全通道:
当新加入会议或有新的参会方加入会议后,视频会议客户端向云视频会议服务申请针对每一路下拉媒体流,都建立独立的视频会议客户端到云视频会议服务之间的端到端的媒体流下拉安全通道,每一路媒体流下拉安全通道相互独立,安全通道建立流程同步骤(4);
(6)保密视频会议阶段:
视频会议客户端通过摄像头和麦克风采集本端的音视频媒体流进行编码后,用与云视频会议服务之间建立的媒体流上推安全通道对应的量子增强密钥对音视频媒体流加密,再发送给云视频会议服务器;云视频会议服务使用该安全通道对应的量子增强密钥对音视频媒体流进行解密;云视频会议服务分别用其它各参会方视频会议客户端与云视频会议服务之间建立的相应媒体流下拉安全通道对应的量子增强密钥对音视频媒体流加密,再分别转发给其它各参会方视频会议客户端,其它各参会方视频会议客户端使用该安全通道对应的量子增强密钥对音视频媒体流进行解密后在屏幕显示;
(7)退出/结束会议:
任一参会方发出退出会议请求,云视频会议服务将该用户踢出会议;当会议中最后一个参会者退出会议时,该会议结束。
作为优选,所述的步骤(6)在保密视频会议阶段,任一或多个参会方都可以发起屏幕共享,屏幕共享发起方按照步骤(4)与云视频会议服务建立共享屏幕媒体流上推安全通道,其它各参会方按照步骤(5)与云视频会议服务建立共享屏幕媒体流下拉安全通道,云视频会议服务按照步骤(6)利用量子增强密钥对共享屏幕媒体流加密后,再通过云视频会议服务与各视频会议客户端之间建立的相应安全通道转发到各个参会方。
作为优选,所述的步骤(2)在建立会议时,会议主持方可以根据需要预设一个参会口令或密码,并将会议号和参会口令/密码一起通知其他参会方,步骤(3)其他参会方在申请加入会议时,如该会议设置了参会口令/密码,则需输入正确的参会口令/密码才能加入会议。
作为优选,所述的步骤(5)和步骤(6)中,视频会议客户端向云视频会议服务申请建立视频会议客户端到云视频会议服务之间的端到端的媒体流推送安全通道,可以跳过按照标准SSL/TLS/DTLS协议协商主密钥K1的流程,视频会议客户端直接向量子密钥存储介质申请量子密钥,量子密钥存储介质从预先充注的量子密钥库中按一定的规则分配一个量子密钥,向视频会议客户端返回量子密钥K和Token信息,其中Token中包含通信双方的身份、量子密钥K的序号、密钥长度等密文信息;视频会议客户端将Token发送给云视频会议服务;云视频会议服务以Token为参数,向量子密钥管理系统申请获取量子密钥;量子密钥管理系统根据Token中的用户、密钥序号、密钥长度等信息,查询内部的量子密钥库得到和视频会议客户端相同的量子密钥K并返回给云视频会议服务。
本发明的有益效果:将云视频会议系统和量子保密通信技术结合,综合应用非对称、对称密码技术,基于量子密钥存储介质中预先充注的量子密钥和云视频会议系统原有机制协商生成的音视频媒体流加密密钥进行运算变换生成量子增强密钥,云视频会议系统利用最后生成的量子增强密钥对通过公共通信网络传输的音视频媒体流进行加密,可提高音视频媒体流在公共通信网络传输的机密性,防止云视频会议的音视频媒体流通过公共通信网络传输时被恶意截获破解,增强云视频会议系统的业务安全性和用户隐私保护。
附图说明
下面结合附图和具体实施方式来详细说明本发明;
图1为本发明的系统框图;
图2为本发明媒体流加密安全通道的建立流程图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参照图1-2,本具体实施方式采用以下技术方案:基于量子密钥加密的云视频会议系统及其加解密方法,包括云视频会议服务、视频会议客户端、量子密钥管理系统、量子密钥发行管理终端、量子密钥充注机、量子密钥存储介质和量子密钥分发终端。所述的云视频会议服务包括公有云、私有云、混合云等云服务部署模式,云视频会议服务部署在阿里云或华为云公有云平台,也可以部署在企业的私有云平台或混合云平台,通过公共通信网络面向公众用户提供普通云视频会议服务,并通过公共通信网络面向高安全用户提供量子保密云视频会议服务。
视频会议客户端包括有电脑、笔记本、专用视频会议终端、智能电视、机顶盒、手机、Pad,其中,电脑、笔记本上安装云视频会议客户端软件,也可以直接通过浏览器访问云视频会议服务,其它类型的视频会议客户端上安装云视频会议APP;每个视频会议客户端配备一个量子密钥存储介质,量子密钥存储介质采用符合《GM/T0016智能密码钥匙密码应用接口规范》的UKey、TF卡、SimKey、软件密码模块(软Key),典型情况下,电脑、笔记本上配置UKey或软件密码模块,专用视频会议终端和智能电视、机顶盒配置UKey、TF卡或软件密码模块,手机、Pad配置SimKey、TF卡或软件密码模块,加载量子安全服务功能后,实现量子密钥的安全存储与终端安全应用。
量子密钥管理系统设置在中心站点,包含内嵌或外置的量子随机数发生器,具有公共通信网络可访问的IP地址,主要实现量子密钥管理、量子密钥协商、量子密钥更新、接入认证访问控制等量子密钥安全管理功能;量子密钥发行管理终端设置在中心站点,实现量子密钥存储介质的发行、挂失、解锁、注销与充注等功能;量子密钥充注机设置有多个,设置在区域的充注站点,就近为本区域高安全用户的量子密钥存储介质提供量子密钥安全充注功能;量子密钥分发终端配置在中心站点及各充注站点,各量子密钥分发终端之间通过量子信道相连构成量子通信网络,利用量子密钥分发设备生成的量子密钥,可以对量子密钥充注机与量子密钥管理系统之间的通信链路进行加密保护。
值得注意的是,所述的云视频会议服务中可以配置一个软件密码模块、或者租用云服务商提供的云服务器密码机作为量子密钥存储介质;所述量子密钥充注机可以替换为所述量子密钥发行管理终端,或者不配置所述量子密钥充注机;不配置所述的量子密钥分发终端,量子密钥充注机利用UKey中充注的量子密钥对量子密钥充注机与量子密钥管理系统之间的通信链路进行加密保护。
此外,所述的公共通信网络包括公共互联网和各类有线、无线IP专网,公共互联网是指可被其他人员同时使用的互联网络,包括有无线传输信道、交换、路由、网管等组成,并符合常用的互联网协议与体制。
基于量子密钥加密的云视频会议系统的加解密方法,包括以下步骤:
(1)准备:
参加视频会议的会议各方拥有视频会议客户端,视频会议客户端配置有由量子密钥发行管理终端发行、并在有效期内的量子密钥存储介质,在开始视频会议前,参会各方均已完成了设备注册、激活、密钥充注等准备工作,各方视频会议客户端均设置在量子加密工作模式;参会各方的其中一方作为会议主持方,其他参会各方作为参会方;
(2)建立会议:
会议主持方申请建立会议,云视频会议服务创建会议,并自动分配一个会议号;会议主持方通过微信、电话等方式将会议号通知其他参会各方;
(3)加入会议:
其他参会方输入会议号,申请加入会议,云视频会议服务将申请者拉入会议;
(4)建立媒体流上推安全通道:
各方视频会议客户端加入会议后,分别向云视频会议服务申请建立视频会议客户端到云视频会议服务之间的端到端的媒体流推送安全通道;双方按照标准SSL/TLS/DTLS协议协商出了主密钥K1后,视频会议客户端以主密钥K1向量子密钥存储介质申请量子增强密钥,量子密钥存储介质将主密钥K1与量子密钥存储介质中预先充注的量子密钥K2进行变换运算,向视频会议客户端返回量子增强密钥K和Token信息,其中Token中包含通信双方的身份、量子密钥K2的序号、密钥长度等密文信息;视频会议客户端将Token发送给云视频会议服务;云视频会议服务以Token和K1为参数,向量子密钥管理系统申请获取量子增强密钥;量子密钥管理系统根据Token中的用户、密钥序号、密钥长度等信息,查询内部的量子密钥库得到和视频会议客户端相同的量子密钥K2,量子密钥管理系统将K2和K1按照和视频会议客户端相同的算法进行变换运算,得到和视频会议客户端相同的量子增强密钥K并返回给云视频会议服务;
(5)建立媒体流下拉安全通道:
当新加入会议或有新的参会方加入会议后,视频会议客户端向云视频会议服务申请针对每一路下拉媒体流,都建立独立的视频会议客户端到云视频会议服务之间的端到端的媒体流下拉安全通道,每一路媒体流下拉安全通道相互独立,安全通道建立流程同步骤(4);
(6)保密视频会议阶段:
视频会议客户端通过摄像头和麦克风采集本端的音视频媒体流进行编码后,用与云视频会议服务之间建立的媒体流上推安全通道对应的量子增强密钥对音视频媒体流加密,再发送给云视频会议服务器;云视频会议服务使用该安全通道对应的量子增强密钥对音视频媒体流进行解密;云视频会议服务分别用其它各参会方视频会议客户端与云视频会议服务之间建立的相应媒体流下拉安全通道对应的量子增强密钥对音视频媒体流加密,再分别转发给其它各参会方视频会议客户端,其它各参会方视频会议客户端使用该安全通道对应的量子增强密钥对音视频媒体流进行解密后在屏幕显示;
(7)退出/结束会议:
任一参会方发出退出会议请求,云视频会议服务将该用户踢出会议;当会议中最后一个参会者退出会议时,该会议结束。
值得注意的是,本方法还包括步骤(8)保密屏幕共享:即在步骤(6)保密视频会议阶段,任一或多个参会方都可以发起屏幕共享,屏幕共享发起方按照步骤(4)与云视频会议服务建立共享屏幕媒体流上推安全通道,其它各参会方按照步骤(5)与云视频会议服务建立共享屏幕媒体流下拉安全通道,云视频会议服务按照步骤(6)利用量子增强密钥对共享屏幕媒体流加密后,再通过云视频会议服务与各视频会议客户端之间建立的相应安全通道转发到各个参会方。
所述的步骤(2)在建立会议时,会议主持方可以根据需要预设一个参会口令或密码,并将会议号和参会口令/密码一起通知其他参会方,步骤(3)其他参会方在申请加入会议时,如该会议设置了参会口令/密码,则需输入正确的参会口令/密码才能加入会议。
此外,所述的步骤(5)和步骤(6)中,视频会议客户端向云视频会议服务申请建立视频会议客户端到云视频会议服务之间的端到端的媒体流推送安全通道,可以跳过按照标准SSL/TLS/DTLS协议协商主密钥K1的流程,视频会议客户端直接向量子密钥存储介质申请量子密钥,量子密钥存储介质从预先充注的量子密钥库中按一定的规则分配一个量子密钥,向视频会议客户端返回量子密钥K和Token信息,其中Token中包含通信双方的身份、量子密钥K的序号、密钥长度等密文信息;视频会议客户端将Token发送给云视频会议服务;云视频会议服务以Token为参数,向量子密钥管理系统申请获取量子密钥;量子密钥管理系统根据Token中的用户、密钥序号、密钥长度等信息,查询内部的量子密钥库得到和视频会议客户端相同的量子密钥K并返回给云视频会议服务。
本具体实施方式媒体流加密安全通道建立流程如图2所示,媒体流上推安全通道及媒体流下拉安全通道均按此流程建立,具体包括以下步骤:
①视频会议客户端和云视频服务之间按照标准SSL/TLS/DTLS协议协商出了主密钥K1;
②视频会议客户端以主密钥K1向量子密钥存储介质申请量子增强密钥;
③量子密钥存储介质将主密钥K1与量子密钥存储介质中预先充注的量子密钥K2进行变换运算,得到量子增强密钥K和Token,其中Token中包含通信双方的身份、量子密钥K2的序号、密钥长度等密文信息;
④量子密钥存储介质向视频会议客户端返回量子增强密钥K和Token;
⑤视频会议客户端将Token发送给云视频会议服务;
⑥云视频会议服务以Token和K1为参数,向量子密钥管理系统申请获取量子增强密钥;
⑦量子密钥管理系统根据Token中的用户、密钥序号、密钥长度等信息,查询内部的量子密钥库得到和视频会议客户端相同的量子密钥K2,量子密钥管理系统将K2和K1按照和视频会议客户端相同的算法进行变换运算,得到和视频会议客户端相同的量子增强密钥K;
⑧量子密钥管理系统向云视频会议服务返回量子增强密钥K;
⑨双方以量子增强密钥K为加密密钥,采用AES、SM1、SM4或其他对称加密算法对音视频媒体流加密后传输。
本具体实施方式利用量子增强密钥对云视频会议系统通过公共互联网/专网传输的音视频媒体流进行加密,提高音视频媒体流在公共通信网络传输的机密性,防止云视频会议的音视频媒体流通过公共通信网络传输时被恶意截获破解,增强云视频会议系统的业务安全性和用户隐私保护,其技术优势在于:
(1)用于音视频媒体流加密的量子增强密钥,是云视频会议系统按传统的密钥协商流程协商得到的主密钥与量子密钥存储介质中预先充注的量子密钥进行运算转换而来,即便云视频会议系统按传统的密钥协商流程协商得到的主密钥泄露,最终用于音视频媒体流加密的量子增强密钥也不会泄露,提高了音视频媒体流加密密钥的安全性,增强了音视频媒体流的机密性。
(2)云视频会议系统与量子密钥管理平台分开部署,实现了云视频会议系统的业务数据和量子密钥分开管理,假如有黑客攻击系统,则需要同时攻破云视频会议系统和量子密钥管理系统,大大增加了黑客攻击的难度。
(3)综合运用对称密码技术与非对称密码技术,支持利用量子保密通信网络进行量子密钥的分发与更新,并使用量子密钥作为密钥因子生成的量子增强密钥作为音视频媒体流的加密密钥,提高了音视频媒体流加密密钥的随机性,云视频会议系统的音视频媒体流结合合规的对称加密算法,可在增加一倍密钥长度之后防止量子计算机攻击破解。
实施例1:某大型跨国集团公司总部在北京,在各省设有分公司,在欧洲、中东、北美洲设有多个海外办事处,每周集团公司通过云视频会议方式召开办公会,集团总部各职能部分负责人,各分公司、办事处负责人参会。北京总部及各省分公司会议室配置有专用视频会议终端,海外办事处负责人通过笔记本电脑接入会议,需参会的出差人员通过手机/PAD接入会议。由于总裁办公会的信息涉及集团的经营、技术、市场等商业秘密,普通云视频会议使用的网络为公共互联网,安全性不能得到保障,存在企业商业秘密泄露的风险。
依据本发明所述的一种基于量子密钥加密的云视频会议系统及其加解密方法,本实施例包括以下步骤:
(1)准备:北京总部及各省分公司会议室配置的专用视频会议终端插上由量子密钥发行管理终端发行、并在有效期内的UKey;海外办事处负责人笔记本电脑上已安装云视频会议客户端软件,并插上由量子密钥发行管理终端发行、并在有效期内的UKey;参会的出差人员的手机/PAD上已安装云视频会议APP。在开始视频会议前,参会各方均已完成了用户注册、激活、密钥充注等准备工作,各专用视频会议终端、云视频会议客户端软件、云视频会议APP均设置在量子加密模式,各笔记本电脑和手机/PAD均有摄像头和麦克风。
(2)建立会议::北京总部作为会议主持方,会议组织者在专用视频会议终端界面上申请建立会议,会议创建成功后,在界面上显示当前会议号;会议组织者将该会议号发到微信群,通知其他参会各方。
(3)加入会议:其他参会方通过微信群获知会议号,打开专用视频会议终端、云视频会议客户端软件、云视频会议APP,输入会议号,加入会议。
(4)保密视频会议阶段:所有参会方均加入会议后,会议组织者宣布会议开始。会议中,任一参会方均可以发言,任一参会方均可以听到其他任一参会方的发言,任一参会方均可以看到其他任一参会方的视频图像,音视频媒体流均利用量子增强密钥加密后通过公共互联网传输,界面上有量子加密保护的提示信息;期间会议组织者根据需要,可以远程控制其他参会方的麦克风开/关,各参会方也可以根据需要,控制自己的摄像头、麦克风开/关;会议期间A省分公司负责人需要展示PTT进行汇报,A省分公司负责人在云视频会议客户端界面操作共享屏幕,其他各参会方界面上显示A省分公司负责人笔记本屏幕实时视频,共享屏幕的视频媒体流利用量子增强密钥加密后通过公共互联网传输,界面上有量子加密保护的提示信息。
(5)退出/结束会议:会议组织者宣布会议结束,各参会方分别在专用视频会议终端、云视频会议客户端软件、云视频会议APP上操作退出会议。
本实施例提供基于量子密钥加密的云视频会议,利用量子增强密钥实现音视频媒体流的高安全加密,防止云视频会议的音视频媒体流通过公共通信网络传输时被恶意截获破解;能够满足特殊用户跨公共互联网实现高安全保密视频会议的需求,音视频媒体流加密强度高,并且业务数据和量子密钥分开管理,更加安全可靠可信。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (4)
1.基于量子密钥加密的云视频会议系统的加解密方法,其特征在于,包括以下步骤:
(1)准备:
参加视频会议的会议各方拥有视频会议客户端,视频会议客户端配置有由量子密钥发行管理终端发行、并在有效期内的量子密钥存储介质,在开始视频会议前,参会各方均已完成了设备注册、激活、密钥充注准备工作,各方视频会议客户端均设置在量子加密工作模式;参会各方的其中一方作为会议主持方,其他参会各方作为参会方;
(2)建立会议:
会议主持方申请建立会议,云视频会议服务创建会议,并自动分配一个会议号;会议主持方通过微信、电话方式将会议号通知其他参会各方;
(3)加入会议:
其他参会方输入会议号,申请加入会议,云视频会议服务将申请者拉入会议;
(4)建立媒体流上推安全通道:
各方视频会议客户端加入会议后,分别向云视频会议服务申请建立视频会议客户端到云视频会议服务之间的端到端的媒体流推送安全通道;双方按照标准SSL/TLS/DTLS协议协商出了主密钥K1后,视频会议客户端以主密钥K1向量子密钥存储介质申请量子增强密钥,量子密钥存储介质将主密钥K1与量子密钥存储介质中预先充注的量子密钥K2进行变换运算,向视频会议客户端返回量子增强密钥K和Token信息,其中Token中包含通信双方的身份、量子密钥K2的序号、密钥长度的密文信息;视频会议客户端将Token发送给云视频会议服务;云视频会议服务以Token和K1为参数,向量子密钥管理系统申请获取量子增强密钥;量子密钥管理系统根据Token中的用户、密钥序号、密钥长度信息,查询内部的量子密钥库得到和视频会议客户端相同的量子密钥K2,量子密钥管理系统将K2和K1按照和视频会议客户端相同的算法进行变换运算,得到和视频会议客户端相同的量子增强密钥K并返回给云视频会议服务;
(5)建立媒体流下拉安全通道:
当新加入会议或有新的参会方加入会议后,视频会议客户端向云视频会议服务申请针对每一路下拉媒体流,都建立独立的视频会议客户端到云视频会议服务之间的端到端的媒体流下拉安全通道,每一路媒体流下拉安全通道相互独立,安全通道建立流程同步骤(4);
(6)保密视频会议阶段:
视频会议客户端通过摄像头和麦克风采集本端的音视频媒体流进行编码后,用与云视频会议服务之间建立的媒体流上推安全通道对应的量子增强密钥对音视频媒体流加密,再发送给云视频会议服务器;云视频会议服务使用该安全通道对应的量子增强密钥对音视频媒体流进行解密;云视频会议服务分别用其它各参会方视频会议客户端与云视频会议服务之间建立的相应媒体流下拉安全通道对应的量子增强密钥对音视频媒体流加密,再分别转发给其它各参会方视频会议客户端,其它各参会方视频会议客户端使用该安全通道对应的量子增强密钥对音视频媒体流进行解密后在屏幕显示;
(7)退出/结束会议:
任一参会方发出退出会议请求,云视频会议服务将该用户踢出会议;当会议中最后一个参会者退出会议时,该会议结束。
2.根据权利要求1所述的基于量子密钥加密的云视频会议系统的加解密方法,其特征在于,所述的步骤(6)在保密视频会议阶段,任一或多个参会方都能发起屏幕共享,屏幕共享发起方按照步骤(4)与云视频会议服务建立共享屏幕媒体流上推安全通道,其它各参会方按照步骤(5)与云视频会议服务建立共享屏幕媒体流下拉安全通道,云视频会议服务按照步骤(6)利用量子增强密钥对共享屏幕媒体流加密后,再通过云视频会议服务与各视频会议客户端之间建立的相应安全通道转发到各个参会方。
3.根据权利要求1所述的基于量子密钥加密的云视频会议系统的加解密方法,其特征在于,所述的步骤(2)在建立会议时,会议主持方根据需要预设一个参会口令或密码,并将会议号和参会口令/密码一起通知其他参会方,步骤(3)其他参会方在申请加入会议时,如该会议设置了参会口令/密码,则需输入正确的参会口令/密码才能加入会议。
4.根据权利要求1所述的基于量子密钥加密的云视频会议系统的加解密方法,其特征在于,所述的步骤(5)和步骤(6)中,视频会议客户端向云视频会议服务申请建立视频会议客户端到云视频会议服务之间的端到端的媒体流推送安全通道,跳过按照标准SSL/TLS/DTLS协议协商主密钥K1的流程,视频会议客户端直接向量子密钥存储介质申请量子密钥,量子密钥存储介质从预先充注的量子密钥库中按一定的规则分配一个量子密钥,向视频会议客户端返回量子密钥K和Token信息,其中Token中包含通信双方的身份、量子密钥K的序号、密钥长度密文信息;视频会议客户端将Token发送给云视频会议服务;云视频会议服务以Token为参数,向量子密钥管理系统申请获取量子密钥;量子密钥管理系统根据Token中的用户、密钥序号、密钥长度信息,查询内部的量子密钥库得到和视频会议客户端相同的量子密钥K并返回给云视频会议服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010683181.8A CN111835997B (zh) | 2020-07-15 | 2020-07-15 | 基于量子密钥加密的云视频会议系统及其加解密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010683181.8A CN111835997B (zh) | 2020-07-15 | 2020-07-15 | 基于量子密钥加密的云视频会议系统及其加解密方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111835997A CN111835997A (zh) | 2020-10-27 |
CN111835997B true CN111835997B (zh) | 2022-04-19 |
Family
ID=72922962
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010683181.8A Active CN111835997B (zh) | 2020-07-15 | 2020-07-15 | 基于量子密钥加密的云视频会议系统及其加解密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111835997B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112637219B (zh) * | 2020-12-25 | 2022-07-29 | 南方电网深圳数字电网研究院有限公司 | 基于数字化会议的安全管控方法、电子设备及存储介质 |
CN114666053B (zh) * | 2022-05-24 | 2022-10-11 | 广州市保伦电子有限公司 | 基于量子密钥加密的云视频会议密钥分发方法及其系统 |
CN117560231A (zh) * | 2024-01-12 | 2024-02-13 | 安徽科大擎天科技有限公司 | 一种视频流安全传输方法、装置、电子设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108206740A (zh) * | 2016-12-20 | 2018-06-26 | 艾迪量子股份公司 | 增强qkd中的量子信道上的秘密密钥速率交换的设备和方法 |
CN109246385A (zh) * | 2018-11-01 | 2019-01-18 | 苏州科达科技股份有限公司 | 用于多方会议的通信方法及会议系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102983965B (zh) * | 2012-10-18 | 2016-12-21 | 中国电力科学研究院 | 变电站量子通信模型、量子密钥分发中心及模型实现方法 |
CN107124266B (zh) * | 2017-03-07 | 2020-10-27 | 苏州科达科技股份有限公司 | 基于量子加密的视频通信系统以及方法 |
EP3432509B1 (en) * | 2017-07-21 | 2021-06-09 | ID Quantique S.A. | Quantum enhanced application security |
CN109889340A (zh) * | 2019-03-19 | 2019-06-14 | 北京信息科技大学 | 一种基于qkd网络的自适应密钥分发机制 |
CN210899418U (zh) * | 2019-12-20 | 2020-06-30 | 安徽问天量子科技股份有限公司 | 一种视频数据采集传输安全性的保护装置 |
-
2020
- 2020-07-15 CN CN202010683181.8A patent/CN111835997B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108206740A (zh) * | 2016-12-20 | 2018-06-26 | 艾迪量子股份公司 | 增强qkd中的量子信道上的秘密密钥速率交换的设备和方法 |
CN109246385A (zh) * | 2018-11-01 | 2019-01-18 | 苏州科达科技股份有限公司 | 用于多方会议的通信方法及会议系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111835997A (zh) | 2020-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111835997B (zh) | 基于量子密钥加密的云视频会议系统及其加解密方法 | |
KR100832893B1 (ko) | 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법 | |
CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
WO2017185999A1 (zh) | 密钥分发、认证方法,装置及系统 | |
CN102315937B (zh) | 无线通信装置和服务器之间数据的安全交易系统和方法 | |
CN108540436B (zh) | 基于量子网络实现信息加解密传输的通信系统和通信方法 | |
CN101340443A (zh) | 一种通信网络中会话密钥协商方法、系统和服务器 | |
WO2014166546A1 (en) | Method and system for accessing device by a user | |
CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
CN108847928B (zh) | 基于群组型量子密钥卡实现信息加解密传输的通信系统和通信方法 | |
CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
CN109981271B (zh) | 一种网络多媒体安全防护加密方法 | |
CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
CN112737774A (zh) | 网络会议中的数据传输方法、装置及存储介质 | |
KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
CN112202882B (zh) | 一种传输方法、客户端及传输系统 | |
CN112153641A (zh) | 基于边缘upf的二次认证增强与端到端加密方法及系统 | |
CN103795966A (zh) | 一种基于数字证书的安全视频通话实现方法及系统 | |
CN114338618A (zh) | 多方通话的方法、系统、会议服务器以及电子设备 | |
CN203859823U (zh) | 一种量子加密视频会议终端和系统 | |
CN111614596B (zh) | 一种基于IPv6隧道技术的远程设备控制方法及系统 | |
CN111132143B (zh) | 一体化多媒体智能设备安全保护系统及方法 | |
CN112019553B (zh) | 一种基于ibe/ibbe数据共享方法 | |
WO2008029853A1 (fr) | Dispositif et procédé de livraison de clé de cryptage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |