CN106656497A - 基于国产密码模块的视频加密身份验证系统及实现方法 - Google Patents
基于国产密码模块的视频加密身份验证系统及实现方法 Download PDFInfo
- Publication number
- CN106656497A CN106656497A CN201610981541.6A CN201610981541A CN106656497A CN 106656497 A CN106656497 A CN 106656497A CN 201610981541 A CN201610981541 A CN 201610981541A CN 106656497 A CN106656497 A CN 106656497A
- Authority
- CN
- China
- Prior art keywords
- module
- main controller
- crypto
- private key
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000012795 verification Methods 0.000 title abstract description 6
- 238000004891 communication Methods 0.000 claims description 104
- 238000012790 confirmation Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 abstract description 15
- 238000012544 monitoring process Methods 0.000 abstract description 14
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 230000007547 defect Effects 0.000 abstract description 3
- 230000000694 effects Effects 0.000 description 21
- 238000012545 processing Methods 0.000 description 16
- 238000003780 insertion Methods 0.000 description 10
- 230000037431 insertion Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 101000896740 Solanum tuberosum Cysteine protease inhibitor 9 Proteins 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000000465 moulding Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于国产密码模块的视频加密身份验证系统及实现方法,包括:第一密码模块、第二密码模块、第三密码模块、第四密码模块、音视频采集客户端、音视频采集服务端、音视频应用管理端、发卡应用管理端,第一密码模块与音视频采集客户端相连;第二密码模块与音视频采集服务端相连;第三密码模块与音视频应用管理端相连;第四密码模块与发卡应用管理端相连;音视频采集客户端、音视频采集服务端、音视频应用管理端、发卡应用管理端通过网络进行通信。本发明提高了系统的安全性,解决了视频监控实现过程中缺乏身份认证的缺陷,避免了视频信息采集、传输、存储和播放过程中存在身份易伪造、易破解的风险,消除了可能存在的安全隐患。
Description
技术领域
本发明属于身份验证系统领域,具体涉及一种基于国产密码模块的视频加密身份验证系统及实现方法。
背景技术
近年来,随着信息技术的飞速发展及保密形势的日益严峻,为了维护国家安全及社会稳定,我国在各大城市、党政机关、军事要地及重要场所都部署了大量视频监控系统,绝大多数单位都对信息安全的建设十分重视,投入巨大。但是,随着科技进步、社会发展,信息化和网络化程度提高,构架与开放IP网络的视频监控系统也同样面临其它网络锁面临的各种安全威胁,各种漏洞及弊病也逐渐显露。
现有视频监控系统在技术实现中缺乏有效的身份认证系统。即使目前已经有身份验证系统的也只是非常简单的身份信息校验,身份存在易伪造、易破解的风险,急需得到改善。
发明内容
本发明提供了一种基于国产密码模块的视频加密身份验证系统及实现方法,本发明解决了视频监控实现中缺乏身份认证的缺陷,避免了视频信息采集、传输、存储和播放过程中存在身份易伪造、易破解的风险,消除了可能存在的安全隐患,详见下文描述:
一种基于国产密码模块的视频加密身份验证系统,所述视频加密系统包括:第一密码模块、第二密码模块、第三密码模块、第四密码模块、音视频采集客户端、音视频采集服务端、音视频应用管理端、发卡应用管理端,
第一密码模块与音视频采集客户端相连;第二密码模块与音视频采集服务端相连;第三密码模块与音视频应用管理端相连;第四密码模块与发卡应用管理端相连;音视频采集客户端、音视频采集服务端、音视频应用管理端、发卡应用管理端通过网络进行通信。
所述音视频采集客户端包括:第一主控制器模块,
所述第一主控制器模块连接第一密码接口通信模块、第一网络通信模块和第一电源模块。
所述音视频采集服务端包括:第二主控制器模块,
所述第二主控制器模块连接第二密码接口通信模块、第二网络通信模块和第二电源模块。
一种基于国产密码模块的视频加密身份验证系统的实现方法,所述实现方法包括:第一密码模块、第二密码模块和第三密码模块三种身份KEY的证书下载;
其中,第一密码模块的身份KEY的证书下载包括以下步骤:
第一密码模块未绑定身份证书时,第一主控制器模块获取第一密码模块中的用户身份确认信息及MAC地址,以及生成的临时公私钥对中的临时公钥;
当第二身份认证模块验证用户身份确认信息正确时,第四主控制器模块从第四密码模块获取一对生成的公私钥对;证书生成控制模块生成数字证书;第四密码模块用临时公钥对生成的公私钥对和数字证书进行加密;
第四主控制器模块将加密后的公私钥对和数字证书传输至第一主控制器模块;第一主控制器模块用第一密码模块将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第一密码模块将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载;
其中,第二密码模块的身份KEY的证书下载包括以下步骤:
第二密码模块未绑定身份证书时,第二主控制器模块获取第二密码模块中的管理员身份确认信息及MAC地址;以及生成的临时公私钥对中的临时公钥;当第二身份认证模块验证管理员身份确认信息正确时,第四主控制器模块从第四密码模块获取一对生成的公私钥对;证书生成控制模块生成数字证书;第四密码模块用临时公钥对生成的公私钥对和数字证书进行加密;
第四主控制器模块将加密后的公私钥对和数字证书传输至第二主控制器模块;第二主控制器模块用第二密码模块将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第二密码模块将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载;
其中,第三密码模块的身份KEY的证书下载包括以下步骤:
第三密码模块未绑定身份证书时,第三主控制器模块获取第三密码模块中的操作员身份确认信息及MAC地址;以及生成的临时公私钥对中的临时公钥;当第二身份认证模块验证管理员身份确认信息正确时,第四主控制器模块从第四密码模块获取一对生成的公私钥对;证书生成控制模块生成数字证书;第四密码模块用临时公钥对生成的公私钥对和数字证书进行加密;第四主控制器模块将加密后的公私钥对和数字证书传输至第三主控制器模块;第三主控制器模块调用第三密码模块将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第三密码模块将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载。
所述实现方法包括:第一密码模块对第二密码模块身份验证的实现方法;第三密码模块对第二密码模块身份验证的实现方法;第二密码模块对第一密码模块身份验证的实现方法;第二密码模块验证第三密码模块身份验证的实现方法;
第一密码模块对第二密码模块身份验证的实现方法包括:
第一主控制器模块调用第一密码模块生成8字节随机数,并利用数字证书中的服务端公钥对生成的8字节随机数进行加密;第一主控制器模块将加密后的8字节随机数传输至第二主控制器模块;第二主控制器模块调用第二密码模块中的私钥进行解密,得到解密后的新8字节随机数;
第二主控制器模块从第二密码模块中采用客户端公钥对解密后的新8字节随机数进行加密;第二主控制器模块将加密后的新8字节随机数传输至第一主控制器模块;第一主控制器模块调用第一密码模块对新8字节随机数进行解密,得到解密后的新8字节随机数;当生成的8字节随机数和解密后的新8字节随机数一致时,第二密码模块身份合法;
第二密码模块对第一密码模块身份验证的实现方法包括:
第一主控制器模块调用第一密码模块对用户数字证书进行签名;第一主控制器模块将客户端数字证书明文和签名后的客户端数字证书传输至第二主控制器模块;第二主控制器模块调用第二密码模块利用客户端数字证书查找到客户端的公钥,并利用客户端的公钥解密签名的客户端数字证书;当解密后的客户端数字证书与明文客户端证书一致时,第一密码模块身份合法。
本发明提供的技术方案的有益效果是:本发明采用基于证书的身份认证体系和商用密码算法进行加解密操作。商用密码模块内嵌包含国家密码管理局指定SM1、SM2、SM3和SM4加密算法的密码模块,避免用户身份伪造和服务器身份伪造,提高了系统的安全性,解决了视频监控实现过程中缺乏身份认证的缺陷,避免了视频信息采集、传输、存储和播放过程中存在身份易伪造、易破解的风险,消除了可能存在的安全隐患。
附图说明
图1为基于国产密码模块的视频加密身份验证系统的工作状态示意图;
图2为音视频采集客户端的结构示意图;
图3为音视频采集服务端的结构示意图;
图4为音视频应用管理端的结构示意图;
图5为发卡应用管理端的结构示意图;
图6为第一密码模块的身份KEY的证书下载的流程图;
图7为第二密码模块的身份KEY的证书下载的流程图;
图8为第三密码模块的身份KEY的证书下载的流程图;
图9为第一密码模块对第二密码模块身份验证的实现方法的流程图;
图10为第二密码模块对第一密码模块身份验证的实现方法的流程图。
附图中,各标号所代表的部件列表如下:
1:第一密码模块; 2:第二密码模块;
3:第三密码模块; 4:第四密码模块;
5:音视频采集客户端; 6:音视频采集服务端;
7:音视频应用管理端; 8:发卡应用管理端;
51:第一主控制器模块; 52:第一密码接口通信模块;
53:音视频采集模块; 54:第一音视频编解码处理模块;
55:状态监控模块; 56:第一日志模块;
57:第一网络通信模块; 58:第一电源模块;
61:第二主控制器模块; 62:第二密码接口通信模块;
63:用户权限控制模块; 64:第二音视频编解码处理模块;
65:存储控制模块; 66:第二日志模块;
67:第二网络通信模块; 68:第二电源模块;
71:第三主控制器模块; 72:第三密码接口通信模块;
73:第一身份认证模块; 74:第三音视频编解码处理模块;
75:显示处理模块; 76:第三日志模块;
77:第三网络通信模块; 78:第三电源模块;
81:第四主控制器模块; 82:第四密码接口通信模块;
83:发卡初始化处理模块; 84:证书控制模块;
85:第二身份认证模块; 86:第四日志模块;
87:第四网络通信模块; 88:第四电源模块;
841:证书生成控制模块; 842:证书颁发控制模块;
843:证书存储控制模块; 844:作业销毁控制模块。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面对本发明实施方式作进一步地详细描述。
实施例1
一种基于国产密码模块的视频加密身份验证系统,参见图1,该视频加密身份验证系统包括:第一密码模块1、第二密码模块2、第三密码模块3、第四密码模块4、音视频采集客户端5、音视频采集服务端6、音视频应用管理端7、发卡应用管理端8。
第一密码模块1与音视频采集客户端5相连;第二密码模块2与音视频采集服务端6相连;第三密码模块3与音视频应用管理端7相连;第四密码模块4与发卡应用管理端8相连。音视频采集客户端5、音视频采集服务端6、音视频应用管理端7和发卡应用管理端8通过网络进行通信。
第一密码模块1、第二密码模块2、第三密码模块3和第四密码模块4用于实现对应设备的身份认证及对音视频数据的加解密。
音视频采集客户端5用于实现视频监控系统中音视频信息的采集和处理。
音视频采集服务端6用于实现视频监控系统中音视频信息的传输、使用和存储控制。
音视频应用管理端7用于实现视频监控系统中音视频信息的播放和展示。
发卡应用管理端8用于实现视频监控系统中第一密码模块1、第二密码模块2、第三密码模块3和第四密码模块4的身份证书颁发和管理,实现第一密码模块1、第二密码模块2、第三密码模块3和第四密码模块4的初始化配置。
即,本发明实施例通过上述器件实现了对音视频信息的采集、传输、存储、播放及加解密控制。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
实施例2
对本发明实施例1中的密码模块进行详细说明,详见下文描述:
该第一密码模块1、第二密码模块2、第三密码模块3和第四密码模块4是经过国家密码管理局认证和型号审批的,采用的密码算法有SM1、SM2、SM3、SM4的密码模块,用于产生随机密钥、存储数字证书,还用于通过调用SM1、SM2、SM3和SM4商用密码算法实现身份认证及加解密等。本发明实施例对于密码模块的接口不做限制,可以采用SD接口、USB接口、SPI接口或是PCI-E接口。
第一密码模块1作为客户端设备身份KEY及加解密工具使用;第二密码模块2作为服务端设备身份KEY及加解密工具使用;第三密码模块3作为管理端设备身份KEY及加解密工具使用,第四密码模块4作为发卡管理的KEY工具使用。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
实施例3
下面结合图2对本发明实施例1中的音视频采集客户端5进行详细描述,详见下文:
音视频采集客户端5包括:第一主控制器模块51、第一密码接口通信模块52、音视频采集模块53、第一音视频编解码处理模块54、状态监控模块55、第一日志模块56、第一网络通信模块57和第一电源模块58。
第一主控制器模块51连接第一密码接口通信模块52、音视频采集模块53、第一音视频编解码处理模块54、状态监控模块55、第一日志模块56、第一网络通信模块57和第一电源模块58。
第一密码接口通信模块52在第一主控制器模块51作用下在加密通信时作为接口模块与第一密码模块1通信交互使用;音视频采集模块53在第一主控制器模块51作用下作为音视频采集功能模块使用;第一音视频编解码处理模块54在第一主控制器模块51作用下作为音视频编码功能模块使用;状态监控模块55在第一主控制器模块51作用下对系统的状态信息进行监控控制;第一日志控制模块56在第一主控制器模块51作用下在操作日志时作为功能模块使用;第一网络通信模块57在第一主控制器模块51作用下在网络通信时作为功能模块使用;第一电源模块58为整个音视频采集客户端5供电。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
实施例4
下面结合图3对本发明实施例1中的音视频采集服务端6进行详细描述,详见下文:
参见图3,音视频采集服务端6包括:第二主控制器模块61、第二密码接口通信模块62、用户权限控制模块63、第二音视频编解码处理模块64、存储控制模块65、第二日志模块66、第二网络通信模块67和第二电源模块68。
第二主控制器模块51连接第二密码接口通信模块62、用户权限控制模块63、第二音视频编解码处理模块64、存储控制模块65、第二日志模块66、第二网络通信模块67和第二电源模块68。
第二密码接口通信模块62在第二主控制器模块61作用下在加密通信时作为接口模块与第二密码模块2进行通信交互;用户权限控制模块63在第二主控制器模块61作用下在用户控制和参数配置时作为功能模块使用;第二音视频编解码处理模块64在第二主控制器模块61作为音视频解码功能模块使用;存储控制模块65在第二主控制器模块61作用下作为音视频信息存储及控制功能模块使用;第二日志模块66在第二主控制器模块61作用下在操作日志控制时作为功能模块使用;第二网络通信模块67在第二主控制器模块61作用下在网络通信时作为功能模块使用;第二电源模块68为整个音视频采集服务端6供电。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
实施例5
下面结合图4对本发明实施例1中的音视频应用管理端7进行详细描述,详见下文:
参见图4,音视频应用管理端7包括:第三主控制器模块71、第三密码接口通信模块72、第一身份认证模块73、第三音视频编解码处理模块74、显示处理模块75、第三日志模块76、第三网络通信模块77和第三电源模块78。
第三主控制器模块71连接第三密码接口通信模块72、第三身份认证模块73、第三音视频编解码处理模块74、显示处理模块75、第三日志模块76、第三网络通信模块77和第三电源模块78。
第三密码接口通信模块72在第三主控制器模块71作用下在加密通信时作为接口模块与第三密码模块3进行通信交互;第三身份认证模块73在第三主控制器模块71作用下在身份认证时作为功能模块使用;第三音视频编解码处理模块74在第三主控制器模块71作用下作为音视频解码功能模块使用;显示处理模块75在第三主控制器模块71作用下作为音视频显示播放功能模块使用;第三日志模块76在第三主控制器模块71作用下在操作日志时作为功能模块使用;第三网络通信模块77在第三主控制器模块71作用下在网络通信时作为功能模块使用;第三电源模块78为整个音视频应用管理端7供电。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
实施例6
下面结合图5对本发明实施例1中的发卡应用管理端8进行详细描述,详见下文:
参见图5,发卡应用管理端8包括:第四主控制器模块81、第四密码接口通信模块82、发卡初始化处理模块83、证书控制模块84、第二身份认证模块85、第四日志模块86、第四网络通信模块87和第四电源模块88。
第四主控制器模块81连接第四密码接口通信模块82、发卡初始化处理模块83、证书控制模块84、用户管理模块85、第四日志模块86、第四网络通信模块87和第四电源模块88。
第四密码接口通信模块82在第四主控制器模块81作用下在加密通信时作为接口模块与第四密码模块4进行通信交互;发卡初始化处理模块83在第四主控制器模块81作用下在密码模块发卡时作为功能模块使用;证书控制模块84在第四主控制器模块81作用下在证书控制时作为功能模块使用;第二身份认证模块85在第四主控制器模块81作用下在身份认证时作为功能模块使用;第四日志模块86在第四主控制器模块81作用下在操作日志时作为功能模块使用;第四网络通信模块87在第四主控制器模块81作用下在网络通信时作为功能模块使用;第四电源模块88为整个发卡应用管理端8供电。
证书控制模块84包括:证书生成控制模块841、证书颁发控制模块842、证书存储控制模块843和作业销毁控制模块844。
本发明实施例中的证书控制模块84是基于PKI(公钥基础设施)技术设计的证书控制平台,负责生成、颁发、存储和销毁数字证书。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
实施例7
下面结合实施例2、3、4、5和6对本发明实施例提供的系统进行详细描述,详见下文:
第一主控制器模块51通过第一密码接口通信模块52与第一密码模块1进行通信;第二主控制器模块61通过第二密码接口通信模块62与第二密码模块2进行通信;第三主控制器模块71通过第三密码接口通信模块72与第三密码模块3进行通信;第四主控制器模块81通过第四密码接口通信模块82与第四密码模块4进行通信。
第一主控制器模块51通过第一网络通信模块57、第二网络通信模块67与第二主控制器模块61进行通信;第一主控制器模块51通过第一网络通信模块57、第三网络通信模块77与第三主控制器模块71通信;第一主控制器模块51通过第一网络通信模块57、第四网络通信模块87与第三主控制器模块81通信;第二主控制器模块61通过第二网络通信模块67、第三网络通信模块77与第三主控制器模块71通信;第二主控制器模块51通过第二网络通信模块67、第四网络通信模块87与第四主控制器模块81通信;第三主控制器模块71通过第三网络通信模块77、第四网络通信模块87与第四主控制器模块81通信。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
实施例8
一种基于国产密码模块的视频加密身份验证的实现方法,参见图1、图2、图3、图4和图5,该实现方法包括:证书下载的实现方法,其中,证书下载的实现方法包括:第一密码模块1、第二密码模块2和第三密码模块3三种身份KEY的证书下载。
其中,第一密码模块1的身份KEY的证书下载包括以下步骤:
第一密码模块1未绑定身份证书时,第一主控制器模块51获取第一密码模块1中的用户身份确认信息及MAC地址,以及生成的临时公私钥对中的临时公钥;当第二身份认证模块85验证用户身份确认信息正确时,第四主控制器模块81从第四密码模块4获取一对生成的公私钥对;证书生成控制模块841生成数字证书;第四密码模块4用临时公钥对生成的公私钥对和数字证书进行加密;第四主控制器模块81将加密后的公私钥对和数字证书传输至第一主控制器模块51;第一主控制器模块51用第一密码模块1将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第一密码模块1将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载。
其中,第二密码模块2的身份KEY的证书下载包括以下步骤:
第二密码模块2未绑定身份证书时,第二主控制器模块61获取第二密码模块2中的管理员身份确认信息及MAC地址;以及生成的临时公私钥对中的临时公钥;当第二身份认证模块85验证管理员身份确认信息正确时,第四主控制器模块81从第四密码模块4获取一对生成的公私钥对;证书生成控制模块841生成数字证书;第四密码模块4用临时公钥对生成的公私钥对和数字证书进行加密;第四主控制器模块81将加密后的公私钥对和数字证书传输至第二主控制器模块61;第二主控制器模块61用第二密码模块2将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第二密码模块2将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载。
其中,第三密码模块3的身份KEY的证书下载包括以下步骤:
第三密码模块3未绑定身份证书时,第三主控制器模块71获取第三密码模块3中的操作员身份确认信息及MAC地址;以及生成的临时公私钥对中的临时公钥;当第二身份认证模块85验证管理员身份确认信息正确时,第四主控制器模块81从第四密码模块4获取一对生成的公私钥对;证书生成控制模块841生成数字证书;第四密码模块4用临时公钥对生成的公私钥对和数字证书进行加密;第四主控制器模块81将加密后的公私钥对和数字证书传输至第三主控制器模块71;第三主控制器模块71调用第三密码模块3将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第三密码模块3将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载。
即,通过上述的操作实现第一密码模块1、第二密码模块2和第三密码模块3三种身份KEY的证书下载。
实施例9
下面结合图6、图7和图8对实施例7中的方案进行性详细描述,详见下文:
其中,参见图6,第一密码模块1的身份KEY的证书下载包括以下步骤:
1)用户在音视频采集客户端5插入空白的第一密码模块1(即作为客户端设备身份KEY及加解密工具),并上电;
2)第一主控制器模块51通过第一密码接口通信模块52检测客户端设备身份KEY是否插入,若未插入,提示没有插入客户端设备身份KEY;若插入,则查询该第一智能密码钥匙1是否绑定身份KEY证书;
3)若已绑定身份证书,则第一主控制器模块51提示已经进行过证书下载,退出流程;若未绑定身份,第一主控制器模块51进行告警,提示用户进行身份证书下载;
4)第一主控制器模块51通过第一密码接口通信模块52获取第一密码模块1中用户之前预植的用户身份确认信息及MAC地址;
5)第一主控制器模块51通过第一密码接口通信模块52获取第一密码模块1中生成的临时公私钥对中的临时公钥(即临时公私钥对包括:临时公钥和临时私钥);
6)第一主控制器模块51通过第一网络通信模块57与第四网络通信模块87将身份确认信息及MAC地址与临时公钥传输至第四主控制器模块81;
7)第四主控制器模块81通过调用第二身份认证模块85验证身份确认信息,如果正确,则执行步骤8),否则退出流程;
8)第四主控制器模块81通过第四密码接口通信模块82从第四密码模块4获取一对生成的公私钥对;
9)第四主控制器模块81通过证书生成控制模块841生成数字证书;
10)第四主控制器模块81通过第四密码模块4用临时公钥,对生成的公私钥对和数字证书进行加密;
11)第四主控制器模块81通过第四网络通信模块87与第一网络通信模块57将加密后生成的公私钥对和数字证书传输至第一主控制器模块51;
12)第一主控制器模块51通过第一密码接口通信模块52用第一密码1将加密后生成的公私钥对和数字证书进行解密(用临时公私钥对中的临时私钥进行解密),解密后得到生成的公私钥对和数字证书;
13)第一密码模块1将解密后生成的公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载。
其中,参见图7,第二密码模块2的身份KEY的证书下载包括以下步骤:
1)管理员在音视频采集服务端6插入空白的第二密码模块2(即作为服务端设备身份KEY及加解密工具),并输入用户名、密码登录系统;
2)第二主控制器模块61通过第二密码接口通信模块62检测服务端设备身份KEY是否插入,若未插入,提示没有插入服务端设备身份KEY,若插入,则验证用户名和密码;
3)用户名和密码验证未通过,第二主控制器模块61提示用户名或密码错误,若通过则第二主控制器模块61查询是否绑定身份KEY证书;
4)若已绑定身份证书,则第二主控制器模块61提示已经进行过证书下载,退出流程;;若未绑定身份,第二主控制器模块61提示进行身份证书下载;
5)第二主控制器模块61通过第二密码接口通信模块62获取第二密码模块2中服务端预植的管理员身份确认信息及MAC地址;
6)第二主控制器模块61通过第二密码接口通信模块62从第二密码模块2获取生成的临时公私钥对中的临时公钥(即临时公私钥对包括:临时公钥和临时私钥);
7)第二主控制器模块61通过第二网络通信模块67与第四网络通信模块87将管理员身份确认信息及MAC地址与临时公钥传输至第四主控制器模块81;
8)第四主控制器模块81通过调用第二身份认证模块85验证管理员身份确认信息,如果正确,则执行步骤9),否则结束该流程;
9)第四主控制器模块81通过第四密码接口通信模块82从第四密码模块4获取一对生成的公私钥对;
10)第四主控制器模块81通过证书生成控制模块841生成数字证书;
11)第四主控制器模块81通过第四密码模块4用临时公钥对生成的公私钥对和数字证书进行加密;
12)第四主控制器模块81通过第四网络通信模块87与第二网络通信模块67将加密后的生成的公私钥对和数字证书传输至第二主控制器模块61;
13)第二主控制器模块61通过第二密码接口通信模块82用第二密码模块2将加密后生成的公私钥对和数字证书进行解密(用临时公私钥对中的临时私钥进行解密),解密后得到生成的公私钥对和数字证书;
14)第二密码模块2将解密后生成的公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载。
其中,参见图8,第三密码模块3的身份KEY的证书下载包括以下步骤:
1)操作员在音视频应用管理端7插入空白的第三密码模块3(即作为管理端设备身份KEY及加解密工具),并输入用户名、密码登录系统;
2)第三主控制器模块71通过第三密码接口通信模块72检测管理端设备身份KEY是否插入,若未插入,提示没有插入管理端设备身份KEY,若插入,则验证用户名和密码;
3)用户名和密码验证未通过,第三主控制器模块71提示用户名或密码错误,若通过则第三主控制器模块71查询是否绑定身份KEY证书;
4)若已绑定身份证书,则第三主控制器模块71提示已经进行过证书下载,退出流程;;若未绑定身份,第三主控制器模块71提示进行身份证书下载;
5)第三主控制器模块71通过第三密码接口通信模块72获取第三密码模块3中管理端预植的操作员身份确认信息及MAC地址;
6)第三主控制器模块71通过第三密码接口通信模块72获取第三密码模块3获取生成的临时公私钥对中的临时公钥(即临时公私钥对包括:临时公钥和临时私钥);
7)第三主控制器模块71通过第三网络通信模块77与第四网络通信模块87将管理员身份确认信息及MAC地址与临时公钥传输至第四主控制器模块81;
8)第四主控制器模块81通过调用第二身份认证模块85验证管理员身份确认信息,如果正确,则执行步骤9),否则结束该流程;
9)第四主控制器模块81通过第四密码接口通信模块82从第四密码模块4获取一对生成的公私钥对;
10)第四主控制器模块81通过证书生成控制模块841生成数字证书;
11)第四主控制器模块81通过第四密码模块4用临时公钥对生成的公私钥对和数字证书进行加密;
12)第四主控制器模块81通过第四网络通信模块87与第三网络通信模块77将加密后的生成的公私钥对和数字证书传输至第三主控制器模块61;
13)第三主控制器模块71通过第三密码接口通信模块72用第三密码模块3将加密后生成的公私钥对和数字证书进行解密(用临时公私钥对中的临时私钥进行解密),解密后得到生成的公私钥对和数字证书;
14)第三内密码模块3将解密后生成的公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载。
即,通过上述的操作实现第一密码模块1、第二密码模块2和第三密码模块3三种身份KEY的证书下载。
实施例10
一种基于国产密码模块的视频加密身份验证的实现方法,参见图1、图2、图3、图4和图5,该实现方法包括:身份验证的实现方法,其中,身份验证的实现方法包括:第一密码模块1对第二密码模块2身份验证的实现方法;第三密码模块3对第二密码模块2身份验证的实现方法;第二密码模块2对第一密码模块1身份验证的实现方法;第二密码模块2验证第三密码模块3身份验证的实现方法,详见下文描述:
第一密码模块1对第二密码模块2身份验证的实现方法具体包括以下步骤:
第一主控制器模块51调用第一密码模块1生成8字节随机数,并利用数字证书中的服务端公钥对生成的8字节随机数进行加密;第一主控制器模块51将加密后的8字节随机数传输至第二主控制器模块61;第二主控制器模块61调用第二密码模块2中的私钥进行解密,得到解密后的新8字节随机数;第二主控制器模块61从第二密码模块2中采用客户端公钥对解密后的新8字节随机数进行加密;第二主控制器模块61将加密后的新8字节随机数传输至第一主控制器模块51;第一主控制器模块51调用第一密码模块1对新8字节随机数进行解密,得到解密后的新8字节随机数;当生成的8字节随机数和解密后的新8字节随机数一致时,第二密码模块2身份合法。
第二密码模块2对第一密码模块1身份验证的实现方法具体包括以下步骤:
第一主控制器模块51调用第一密码模块1对用户数字证书进行签名;第一主控制器模块51将客户端数字证书明文和签名后的客户端数字证书传输至第二主控制器模块61;第二主控制器模块61调用第二密码模块2利用客户端数字证书查找到客户端的公钥,并利用客户端的公钥解密签名的客户端数字证书;当解密后的客户端数字证书与明文客户端证书一致时,第一密码模块1身份合法。
其中,第三密码模块3与第二密码模块2之间相互身份验证的过程,同第一密码模块1与第二密码模块2之间相互身份验证的过程完全一致,本发明实施例对第三密码模块3与第二密码模块2之间相互身份验证的过程不再赘述。
即,通过上述的操作实现第一密码模块1和第三密码模块3与第二密码模块2之间相互身份验证的过程。
实施例11
下面结合图9和图10对实施例9中的方案进行详细描述:
其中,参见图9,第一密码模块1对第二密码模块2身份验证的实现方法具体包括以下步骤:
1)用户在音视频采集客户端5插入第一密码模块1的用户身份KEY;
2)第一主控制器模块51通过第一密码接口通信模块52检测客户端设备身份KEY是否插入,若未插入,提示没有插入客户端设备身份KEY,继续步骤2),若插入,则执行下一步;
3)第一主控制器模块51通过第一密码接口通信模块52调用第一密码模块1生成8字节随机数,并利用数字证书中的服务端公钥对生成的8字节随机数进行加密;
4)第一主控制器模块51通过第一网络通信模块57与第二网络通信模块67将加密后的8字节随机数传输至第二主控制器模块61;
5)第二主控制器模块61通过第二密码接口通信模块62调用第二密码模块2中服务端私钥解密,得到解密后的新8字节随机数;
6)第二密码模块2利用客户端公钥对解密后的新8字节随机数进行加密,第二主控制器模块61通过第二密码接口通信模块62从第二密码模块2处获取加密结果;
7)第二主控制器模块61通过第二网络通信模块67与第一网络通信模块57将加密后的新8字节随机数传输至第一主控制器模块51;
8)第一主控制器模块51通过第一密码接口通信模块52调用第一密码模块1对新8字节随机数进行解密,得到解密后的新8字节随机数;
9)第一密码模块1判定生成的8字节随机数和解密后的新8字节随机数是否一致,如果一致,则第二密码模块2身份合法,否则第二密码模块2身份非法。
其中,参见图10,第二密码模块2对第一密码模块1身份验证的实现方法具体包括以下步骤:
1)用户在音视频采集客户端5插入第一密码模块1的客户端身份KEY;
2)第一主控制器模块51通过第一密码接口通信模块52检测客户端设备身份KEY是否插入,若未插入,提示没有插入客户端设备身份KEY,继续步骤2),若插入,则执行下一步;
3)第一主控制器模块51通过第一密码接口通信模块52调用第一密码模块1对客户端数字证书进行签名;
4)第一主控制器模块51通过第一网络通信模块57与第二网络通信模块67将客户端数字证书明文和签名后的客户端数字证书传输至第二主控制器模块61;
5)第二主控制器模块61通过第二密码接口通信模块62调用第二密码模块2利用客户端数字证书查找到客户端的公钥,并利用客户端的公钥解密签名的客户端数字证书;
6)第二密码模块2将解密后的客户端数字证书与明文客户端证书比对,如果一致,则第一密码模块1身份合法,否则第一密码模块1非法。
本发明实施例中,第三密码模块3与第二密码模块2之间的身份验证的实现方法、与第一密码模块1与第二密码模块2之间的身份验证的实现方法原理是类似的,在此对第三密码模块3与第二密码模块2之间的身份验证的详细过程不在赘述。
本发明实施例对各器件的型号除做特殊说明的以外,其他器件的型号不做限制,只要能完成上述功能的器件均可。
本领域技术人员可以理解附图只是一个优选实施例的示意图,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于国产密码模块的视频加密身份验证系统,其特征在于,所述视频加密系统包括:第一密码模块、第二密码模块、第三密码模块、第四密码模块、音视频采集客户端、音视频采集服务端、音视频应用管理端、发卡应用管理端,
第一密码模块与音视频采集客户端相连;第二密码模块与音视频采集服务端相连;第三密码模块与音视频应用管理端相连;第四密码模块与发卡应用管理端相连;音视频采集客户端、音视频采集服务端、音视频应用管理端、发卡应用管理端通过网络进行通信。
2.根据权利要求1所述的一种基于国产密码模块的视频加密身份验证系统,其特征在于,所述音视频采集客户端包括:第一主控制器模块,
所述第一主控制器模块连接第一密码接口通信模块、第一网络通信模块和第一电源模块。
3.根据权利要求1所述的一种基于国产密码模块的视频加密身份验证系统,其特征在于,所述音视频采集服务端包括:第二主控制器模块,
所述第二主控制器模块连接第二密码接口通信模块、第二网络通信模块和第二电源模块。
4.根据权利要求1所述的一种基于国产密码模块的视频加密身份验证系统的实现方法,其特征在于,所述实现方法包括:第一密码模块、第二密码模块和第三密码模块三种身份KEY的证书下载;
其中,第一密码模块的身份KEY的证书下载包括以下步骤:
第一密码模块未绑定身份证书时,第一主控制器模块获取第一密码模块中的用户身份确认信息及MAC地址,以及生成的临时公私钥对中的临时公钥;
当第二身份认证模块验证用户身份确认信息正确时,第四主控制器模块从第四密码模块获取一对生成的公私钥对;证书生成控制模块生成数字证书;第四密码模块用临时公钥对生成的公私钥对和数字证书进行加密;
第四主控制器模块将加密后的公私钥对和数字证书传输至第一主控制器模块;第一主控制器模块用第一密码模块将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第一密码模块将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载;
其中,第二密码模块的身份KEY的证书下载包括以下步骤:
第二密码模块未绑定身份证书时,第二主控制器模块获取第二密码模块中的管理员身份确认信息及MAC地址;以及生成的临时公私钥对中的临时公钥;当第二身份认证模块验证管理员身份确认信息正确时,第四主控制器模块从第四密码模块获取一对生成的公私钥对;证书生成控制模块生成数字证书;第四密码模块用临时公钥对生成的公私钥对和数字证书进行加密;
第四主控制器模块将加密后的公私钥对和数字证书传输至第二主控制器模块;第二主控制器模块用第二密码模块将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第二密码模块将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载;
其中,第三密码模块的身份KEY的证书下载包括以下步骤:
第三密码模块未绑定身份证书时,第三主控制器模块获取第三密码模块中的操作员身份确认信息及MAC地址;以及生成的临时公私钥对中的临时公钥;当第二身份认证模块验证管理员身份确认信息正确时,第四主控制器模块从第四密码模块获取一对生成的公私钥对;证书生成控制模块生成数字证书;第四密码模块用临时公钥对生成的公私钥对和数字证书进行加密;第四主控制器模块将加密后的公私钥对和数字证书传输至第三主控制器模块;第三主控制器模块调用第三密码模块将加密后的公私钥对和数字证书解密,解密后得到公私钥对和数字证书;第三密码模块将解密后公私钥对覆盖原有的临时公私钥对,将数字证书存储,完成证书下载。
5.根据权利要求4所述的实现方法,其特征在于,所述实现方法包括:第一密码模块对第二密码模块身份验证的实现方法;第三密码模块对第二密码模块身份验证的实现方法;第二密码模块对第一密码模块身份验证的实现方法;第二密码模块验证第三密码模块身份验证的实现方法;
第一密码模块对第二密码模块身份验证的实现方法包括:
第一主控制器模块调用第一密码模块生成8字节随机数,并利用数字证书中的服务端公钥对生成的8字节随机数进行加密;第一主控制器模块将加密后的8字节随机数传输至第二主控制器模块;第二主控制器模块调用第二密码模块中的私钥进行解密,得到解密后的新8字节随机数;
第二主控制器模块从第二密码模块中采用客户端公钥对解密后的新8字节随机数进行加密;第二主控制器模块将加密后的新8字节随机数传输至第一主控制器模块;第一主控制器模块调用第一密码模块对新8字节随机数进行解密,得到解密后的新8字节随机数;当生成的8字节随机数和解密后的新8字节随机数一致时,第二密码模块身份合法;
第二密码模块对第一密码模块身份验证的实现方法包括:
第一主控制器模块调用第一密码模块对用户数字证书进行签名;第一主控制器模块将客户端数字证书明文和签名后的客户端数字证书传输至第二主控制器模块;第二主控制器模块调用第二密码模块利用客户端数字证书查找到客户端的公钥,并利用客户端的公钥解密签名的客户端数字证书;当解密后的客户端数字证书与明文客户端证书一致时,第一密码模块身份合法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610981541.6A CN106656497A (zh) | 2016-11-08 | 2016-11-08 | 基于国产密码模块的视频加密身份验证系统及实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610981541.6A CN106656497A (zh) | 2016-11-08 | 2016-11-08 | 基于国产密码模块的视频加密身份验证系统及实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106656497A true CN106656497A (zh) | 2017-05-10 |
Family
ID=58806272
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610981541.6A Pending CN106656497A (zh) | 2016-11-08 | 2016-11-08 | 基于国产密码模块的视频加密身份验证系统及实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106656497A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107872324A (zh) * | 2017-11-19 | 2018-04-03 | 天津光电安辰信息技术股份有限公司 | 一种安全音视频加密客户端及认证实现方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105335109A (zh) * | 2015-12-02 | 2016-02-17 | 天津光电安辰信息技术有限公司 | 一种基于智能密码钥匙的文件打印控制系统及其实现方法 |
CN106059757A (zh) * | 2016-07-07 | 2016-10-26 | 北京信长城技术研究院 | 视音频监控设备及其数据加解密方法、视音频展示设备 |
-
2016
- 2016-11-08 CN CN201610981541.6A patent/CN106656497A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105335109A (zh) * | 2015-12-02 | 2016-02-17 | 天津光电安辰信息技术有限公司 | 一种基于智能密码钥匙的文件打印控制系统及其实现方法 |
CN106059757A (zh) * | 2016-07-07 | 2016-10-26 | 北京信长城技术研究院 | 视音频监控设备及其数据加解密方法、视音频展示设备 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107872324A (zh) * | 2017-11-19 | 2018-04-03 | 天津光电安辰信息技术股份有限公司 | 一种安全音视频加密客户端及认证实现方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103440444B (zh) | 电子合同的签订方法 | |
CN110011802A (zh) | 一种高效的sm9两方协同生成数字签名的方法及系统 | |
CN109495274A (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
CN109617675B (zh) | 一种充放电设施与用户端间的双方标识认证方法及系统 | |
CN101989984A (zh) | 电子文件安全共享系统及方法 | |
EP3360279B1 (en) | Public key infrastructure&method of distribution | |
CN102036236A (zh) | 一种对移动终端认证的方法和装置 | |
CN111181723B (zh) | 物联网设备间离线安全认证的方法和装置 | |
US20090254749A1 (en) | Cooperation method and system of hardware secure units, and application device | |
CN104202170B (zh) | 一种基于标识的身份认证系统和方法 | |
CN104219055A (zh) | 一种基于nfc的点对点可信认证方法 | |
CN105335109B (zh) | 一种基于智能密码钥匙的文件打印控制系统及其实现方法 | |
CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
CN102833075A (zh) | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 | |
CN110045970A (zh) | 一种分布式芯片在线烧录方法及系统 | |
CN104954137A (zh) | 一种基于国产密码技术的虚拟机安全认证的方法 | |
CN104200154A (zh) | 一种基于标识的安装包签名方法及其装置 | |
CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
CN111539496A (zh) | 车辆信息二维码生成方法、二维码车牌、认证方法及系统 | |
CN107104792B (zh) | 一种便携式移动口令管理系统及其管理方法 | |
CN109743162A (zh) | 一种利用理想格操作进行身份属性匹配的加密方法 | |
CN106027254A (zh) | 一种身份证认证系统中身份证读卡终端使用密钥的方法 | |
CN111489462B (zh) | 一种个人用蓝牙钥匙系统 | |
CN106656497A (zh) | 基于国产密码模块的视频加密身份验证系统及实现方法 | |
CN116318784A (zh) | 身份认证方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170510 |