CN107819575A - 一种安全音视频加密服务端及认证的实现方法 - Google Patents

Abstract

本发明公开了一种安全音视频加密服务端及认证的实现方法，包括：智能密码钥匙和PCI‑E密码卡用于实现对应设备的身份认证及对音视频数据的加解密；网络硬盘录像机用于实现音视频信息的传输、使用和存储控制；音视频解码服务器用于实现音视频信息的解密和输出。本发明通过安全音视频监控加密以及服务端认证的方式，实现了音视频数据的安全传输，服务端设备之间的安全认证和密钥协商，消除了安全隐患，提高了安全性。

Description

一种安全音视频加密服务端及认证的实现方法

技术领域

本发明属于音视频加密及认证领域，具体涉及一种安全音视频加密服务端及认证的实现方法。

背景技术

密码设备是具有某种密码功能或能完成某种密码工作任务的设备的统称。密码设备可以分为密码设备与接口软件两大部分。密码设备是硬件密码设备的核心，是各种安全服务功能的提供者。密码设备又可以划分为硬件电路、控制软件、密码算法、底层固件等几部分，其中，硬件电路又包括接口电路、控制电路、密码运算电路、存储电路等。

实际应用中，为了维护国家安全及社会稳定，我国部署了大量安防监控系统。但是，随着现有技术的发展，视频监控系统也面临着各种威胁，安全性得不到保证，无法保证用户的良好体验。

现有视频监控系统服务端之间存在的安全隐患：

(1)信息泄漏：视频文件被泄露和窃取造成公民合法权益被侵犯，国家秘密及商业机密被泄露；

(2)非法篡改：通过非法手段对视频信息进行伪造、替换、销毁；

(3)非法入侵：通过截取截获视频流数据和通信协议进行入侵攻击，导致系统无法正常工作，通过截获的视频数据掌握安保工作中的漏洞和薄弱点，有针对性的进行破坏活动，对国家安全和社会稳定造成了严重威胁。

发明内容

本发明提供了一种安全音视频加密服务端及服务端认证的实现方法，本发明通过安全音视频监控加密以及服务端认证的方式，实现了音视频数据的安全传输，服务端设备之间的安全认证和密钥协商，消除了安全隐患，提高了安全性，详见下文描述：

一种安全音视频加密服务端，所述加密服务端包括：

安全网络硬盘录像机，包括智能密码钥匙和网络硬盘录像机；

安全音视频解码服务器，包括PCI-E密码卡和音视频解码服务器；

智能密码钥匙和PCI-E密码卡用于实现对应设备的身份认证及对音视频数据的加解密；

网络硬盘录像机用于实现音视频信息的传输、使用和存储控制；

音视频解码服务器用于实现音视频信息的解密和输出。

一种安全音视频加密服务端的认证的实现方法，所述实现方法包括以下步骤：

1)网络硬盘录像机读取第一身份信息与第一预存密码设备序列号列表进行比对，获取智能密码钥匙中的第二身份信息，对第一身份信息进行SM2算法验签；根据第一身份信息与当前时间信息t3，通过SM3算法进行计算，得到哈希值H2；使用PCI-E密码卡用户公钥对签名值M1进行SM2算法的验签；并对第一一级分散密钥列表进行SM2算法加密，得到加密值Epcie_pub；

2)网络硬盘录像机根据第二身份信息、当前时间信息t4和加密值Epcie_pub，通过SM3密码算法进行哈希计算，得到哈希值H3；通过智能密码钥匙的用户私钥对哈希值H3进行SM2密码算法签名，得到签名值M2；发送第二身份信息、加密值Epcie_pub、时间信息t4、签名值M2和验签结果到音视频解码服务器；

3)音视频解码服务器读取第二身份信息与第二预存密码设备序列号列表进行比对，使用第一公钥对第二身份信息的签名信息进行SM2密码算法的验签；根据第一身份信息、加密值Epcie_pub、时间信息t4，通过SM3密码算法进行哈希计算，得到哈希值H4；

4)音视频解码服务器使用第一公钥对签名值M2和哈希值H4进行SM2密码算法验签，使用PCI-E密码卡的用户私钥，解密加密值Epcie_pub，得到第二一级分散密钥列表，保存第二一级分散密钥列表。

在步骤1)之前，所述实现方法还包括：

音视频解码服务器使用PCI-E密码卡的用户私钥对哈希值H1进行SM2算法签名，得到签名值M1；发送第一身份信息、当前时间信息t3和签名值M1至网络硬盘录像机。

所述服务端认证的实现方法还包括：

音视频解码服务器读取PCI-E密码卡的第一身份信息，根据第一身份信息与当前时间信息t3，通过SM3算法进行计算，得到哈希值H1。

进一步地，所述第一身份信息具体为：

1)16字节长度的PCI-E密码卡序列号；2)64字节长度的PCI-E密码卡用户公钥；

3)64字节长度的第一公钥；4)64字节长度的第一私钥签名。

进一步地，所述第二身份信息具体为：

1)16字节长度的智能密码钥匙序列号；2)64字节长度的智能密码钥匙用户公钥；

3)64字节长度的第二公钥；4)64字节长度的第二私钥签名K2。

本发明提供的技术方案的有益效果是：

1、通过对音视频数据信息进行加密以及服务端认证的方式，实现了音视频数据的安全传输，服务端设备之间的安全认证和密钥协商，消除了可能存在的安全隐患，提高了音视频信息的安全性；

2、能够保护用户重要及敏感图像不被非法窃取、篡改、拒绝非法用户采用伪造的设备侵入系统；

3、网络内所有安全设备采用数字证书实现身份认证，采用数据完整性保护算法，对会话协议和控制协议进行保护，防止非法用户的协议攻击。

附图说明

图1为一种安全音视频加密服务端的结构示意图；

图2为安全网络硬盘录像机的结构示意图；

图3为安全音视频解码服务器的结构示意图；

图4为服务端认证的实现方法的流程图；

图5为服务端认证的实现方法的另一流程图。

附图中，各标号所代表的部件列表如下：

1：安全网络硬盘录像机； 2：安全音视频解码服务器；

11：智能密码钥匙； 12：网络硬盘录像机；

21：PCI-E密码卡； 22：音视频解码服务器。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面对本发明实施方式作进一步地详细描述。

实施例1

一种安全音视频加密服务端，参见图1，该安全音视频加密服务端，包括：安全网络硬盘录像机1和安全音视频解码服务器2。

参见图2，

该安全网络硬盘录像机1包括：智能密码钥匙11和网络硬盘录像机12。

参见图3，该安全音视频解码服务器2包括：PCI-E密码卡21和音视频解码服务器22。

智能密码钥匙11与网络硬盘录像机12通过USB接口相连；PCI-E密码卡21与音视频解码服务器22通过PCI-E接口相连。网络硬盘录像机12和音视频解码服务器22通过网络进行通信。

智能密码钥匙11和PCI-E密码卡21用于实现对应设备的身份认证及对音视频数据的加解密。

网络硬盘录像机12用于实现音视频信息的传输、使用和存储控制。

音视频解码服务器2用于实现音视频信息的解密和输出。

其中，本系统涉及的硬件密码设备包括：智能密码钥匙11和PCI-E密码卡21，但不限制密码设备的接口类型和设备形态。

其中，与普通网络硬盘录像机的区别在于，网络硬盘录像机12具备与智能密码钥匙11通信的USB接口通信模块。

其中，与普通音视频解码服务器的区别在于，音视频解码服务器22具备与智能密码钥匙11通信的USB接口通信模块

即，本发明实施例通过上述器件实现了监控系统设备的使用认证，以及对音视频信息的采集、传输、存储、播放及加解密控制。

其中，上述的各个器件中的信号传输、加密和解密等过程，均不涉及对软件的改进，本发明只是运用了已有的应用流程来实现安全音视频监控加密系统。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

综上所述，本发明实施例通过安全音视频监控加密以及服务端认证的方式，实现了音视频数据的安全传输，服务端设备之间的安全认证和密钥协商，消除了安全隐患，提高了安全性。

实施例2

一种安全音视频加密服务端认证的实现方法，该实现方法是与实施例1中的安全音视频加密服务端相对应，参见图4，该实现方法包括以下步骤：

101：音视频解码服务器22使用PCI-E密码卡21的用户私钥对哈希值H1进行SM2算法签名，得到签名值M1；发送第一身份信息C1、当前时间信息t3和签名值M1至网络硬盘录像机22；

其中，在步骤101之前，该服务端认证的实现方法还包括：音视频解码服务器22读取PCI-E密码卡21的第一身份信息C1，根据第一身份信息C1与当前时间信息t3，通过SM3算法进行计算，得到哈希值H1。

102：网络硬盘录像机12读取第一身份信息C1与第一预存密码设备序列号列表进行比对，获取智能密码钥匙11中的第二身份信息C2，对第一身份信息C1进行SM2算法验签；根据第一身份信息C1与当前时间信息t3，通过SM3算法进行计算，得到哈希值H2；使用PCI-E密码卡用户公钥对签名值M1进行SM2算法的验签；并对第一一级分散密钥列表Klist[]进行SM2算法加密，得到加密值Epcie_pub；

103：网络硬盘录像机12根据第二身份信息C2、当前时间信息t4和加密值Epcie_pub，通过SM3密码算法进行哈希计算，得到哈希值H3；通过智能密码钥匙11的用户私钥对哈希值H3进行SM2密码算法签名，得到签名值M2；发送第二身份信息C2、加密值Epcie_pub、时间信息t4、签名值M2和验签结果到音视频解码服务器22；

104：音视频解码服务器22读取第二身份信息C2与第二预存密码设备序列号列表进行比对，使用第一公钥对第二身份信息C2的签名信息进行SM2密码算法的验签；根据第一身份信息C1、加密值Epcie_pub、时间信息t4，通过SM3密码算法进行哈希计算，得到哈希值H4；

105：音视频解码服务器22使用第一公钥对签名值M2和哈希值H4进行SM2密码算法验签，使用PCI-E密码卡21的用户私钥，解密加密值Epcie_pub，得到第二一级分散密钥列表Klist[]，保存第二一级分散密钥列表Klist[]。

综上所述，本发明实施例通过安全音视频监控加密以及服务端认证的方式，实现了音视频数据的安全传输，服务端设备之间的安全认证和密钥协商，消除了安全隐患，提高了安全性。

实施例3

下面结合图5对实施例2中的方案做进一步地介绍，详见下文描述：

201：音视频解码服务器22读取PCI-E密码卡21的第一身份信息C1，根据第一身份信息C1与当前时间信息t3，通过SM3算法进行计算，得到哈希值H1；

进一步地，上述第一身份信息C1包括：

1)16字节长度的PCI-E密码卡序列号；

2)64字节长度的PCI-E密码卡用户公钥；

3)64字节长度的第一公钥；

4)64字节长度的第一私钥签名K1。

具体实现时，第一公钥和第一私钥均由密钥管理中心提供，本发明实施例对此不做赘述。

进一步地，第一私钥签名K1是通过对上述1)-3)中的内容通过SM3算法进行计算，对计算值通过SM2算法进行第一私钥签名得到。

其中，上述SM2和SM3密码算法为本领域技术人员所公知，为公知的商用密码算法，本发明实施例对此不做赘述。

202：音视频解码服务器22使用PCI-E密码卡21的用户私钥对哈希值H1进行SM2算法签名，得到签名值M1；

其中，PCI-E密码卡21的用户私钥和PCI-E密码卡用户公钥，为PCI-E密码卡21自身运用SM2密码算法生成的密钥对，具体实现时，本发明实施例对此不做限制。

203：音视频解码服务器22发送第一身份信息C1、当前时间信息t3和签名值M1至网络硬盘录像机12；

204：网络硬盘录像机12读取第一身份信息C1与第一预存密码设备序列号列表进行比对，如果在黑名单之内则设备不合法，返回失败结果至音视频解码服务器22，断开连接，流程结束；否则执行步骤205；

其中，第一预存密码设备序列号列表、黑名单均根据实际应用中的需要进行设定，本发明实施例对此不做赘述。

205：网络硬盘录像机12获取智能密码钥匙11中的第二身份信息C2；

其中，第二身份信息C2包括：

1)16字节长度的智能密码钥匙序列号；

2)64字节长度的智能密码钥匙用户公钥；

3)64字节长度的第二公钥；

4)64字节长度的第二私钥签名K2。

其中，第一身份信息C1中的64字节长度的第一公钥、与第二身份信息C2中的64字节长度的第二公钥相同。具体实现时，第二公钥和第二私钥均由密钥管理中心提供，本发明实施例对此不做赘述。

进一步地，第二私钥签名K2是通过对上述1)-3)中的内容通过SM3算法进行计算，对计算值通过SM2算法进行第二私钥签名得到。

206：网络硬盘录像机12读取64字节长度的第二公钥，使用第二公钥对第一身份信息C1进行SM2算法验签，验签未通过返回身份信息验证失败结果至音视频解码服务器22，断开连接，流程结束；否则执行步骤207；

207：网络硬盘录像机12根据第一身份信息C1与当前时间信息t3，通过SM3算法进行计算，得到哈希值H2；

208：网络硬盘录像机12读取第一身份信息C1中的PCI-E密码卡用户公钥；

209：网络硬盘录像机12使用PCI-E密码卡用户公钥对签名值M1进行SM2算法的验签，不通过返回签名验证失败结果，断开连接，流程结束；否则执行步骤210；

210：网络硬盘录像机12使用PCI-E密码卡用户公钥对第一一级分散密钥列表Klist[]进行SM2算法加密，得到加密值Epcie_pub；

其中，第一一级分散密钥列表Klist[]由密钥管理中心初始化时设定，为本领域技术人员所公知，本发明实施例对此不做赘述。

211：网络硬盘录像机12读取智能密码钥匙11中的第二身份信息C2；

212：网络硬盘录像机12根据第二身份信息C2、当前时间信息t4和加密值Epcie_pub，通过SM3密码算法进行哈希计算，得到哈希值H3；

213：网络硬盘录像机12通过智能密码钥匙11的用户私钥对哈希值H3进行SM2密码算法签名，得到签名值M2；

其中，智能密码钥匙11的用户私钥和智能密码钥匙用户公钥为智能密码钥匙11自身运用SM2密码算法生成的密钥对，具体实现时，本发明实施例对此不做限制。

214：网络硬盘录像机12发送第二身份信息C2、加密值Epcie_pub、时间信息t4、签名值M2和验签结果到音视频解码服务器22；

215：音视频解码服务器22读取第二身份信息C2与第二预存密码设备序列号列表进行比对，如果在黑名单之内则设备不合法，断开连接，否则进行下一步216；

其中，第二预存密码设备序列号列表根据实际应用中的需要进行设定，本发明实施例对此不做赘述。

216：音视频解码服务器22读取PCI-E密码卡21中的第一公钥；

217：音视频解码服务器22使用第一公钥对第二身份信息C2的签名信息进行SM2密码算法的验签，验签未通过返回身份信息验签失败断开连接，流程结束，验签通过则进行下一步218；

218：音视频解码服务器22根据第一身份信息C1、加密值Epcie_pub、时间信息t4，通过SM3密码算法进行哈希计算，得到哈希值H4；

219：音视频解码服务器22使用第一公钥对签名值M2和哈希值H4进行SM2密码算法验签，验签未通过断开连接，流程结束，否则，执行步骤220；

220：音视频解码服务器22使用PCI-E密码卡21的用户私钥，解密加密值Epcie_pub，得到第二一级分散密钥列表Klist[]，保存第二一级分散密钥列表Klist[]。

综上所述，本发明实施例通过安全音视频监控加密以及服务端认证的方式，实现了音视频数据的安全传输，服务端设备之间的安全认证和密钥协商，消除了安全隐患，提高了安全性。

本发明实施例对各器件的型号除做特殊说明的以外，其他器件的型号不做限制，只要能完成上述功能的器件均可。

本领域技术人员可以理解附图只是一个优选实施例的示意图，上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种安全音视频加密服务端，其特征在于，所述加密服务端包括：

安全网络硬盘录像机，包括智能密码钥匙和网络硬盘录像机；

安全音视频解码服务器，包括PCI-E密码卡和音视频解码服务器；

智能密码钥匙和PCI-E密码卡用于实现对应设备的身份认证及对音视频数据的加解密；

网络硬盘录像机用于实现音视频信息的传输、使用和存储控制；

音视频解码服务器用于实现音视频信息的解密和输出。

2.一种安全音视频加密服务端的认证实现方法，其特征在于，所述实现方法包括以下步骤：

1)网络硬盘录像机读取第一身份信息与第一预存密码设备序列号列表进行比对，获取智能密码钥匙中的第二身份信息，对第一身份信息进行SM2算法验签；根据第一身份信息与当前时间信息t3，通过SM3算法进行计算，得到哈希值H2；使用PCI-E密码卡用户公钥对签名值M1进行SM2算法的验签；并对第一一级分散密钥列表进行SM2算法加密，得到加密值Epcie_pub；

2)网络硬盘录像机根据第二身份信息、当前时间信息t4和加密值Epcie_pub，通过SM3密码算法进行哈希计算，得到哈希值H3；通过智能密码钥匙的用户私钥对哈希值H3进行SM2密码算法签名，得到签名值M2；发送第二身份信息、加密值Epcie_pub、时间信息t4、签名值M2和验签结果到音视频解码服务器；

3)音视频解码服务器读取第二身份信息与第二预存密码设备序列号列表进行比对，使用第一公钥对第二身份信息的签名信息进行SM2密码算法的验签；根据第一身份信息、加密值Epcie_pub、时间信息t4，通过SM3密码算法进行哈希计算，得到哈希值H4；

4)音视频解码服务器使用第一公钥对签名值M2和哈希值H4进行SM2密码算法验签，使用PCI-E密码卡的用户私钥，解密加密值Epcie_pub，得到第二一级分散密钥列表，保存第二一级分散密钥列表。

3.根据权利要求2所述的一种安全音视频加密服务端的认证实现方法，其特征在于，在步骤1)之前，所述实现方法还包括：

音视频解码服务器使用PCI-E密码卡的用户私钥对哈希值H1进行SM2算法签名，得到签名值M1；发送第一身份信息、当前时间信息t3和签名值M1至网络硬盘录像机。

4.根据权利要求3所述的一种安全音视频加密服务端的认证实现方法，其特征在于，所述服务端认证的实现方法还包括：

音视频解码服务器读取PCI-E密码卡的第一身份信息，根据第一身份信息与当前时间信息t3，通过SM3算法进行计算，得到哈希值H1。

5.根据权利要求3或4所述的一种安全音视频加密服务端的认证实现方法，其特征在于，所述第一身份信息具体为：

1)16字节长度的PCI-E密码卡序列号；2)64字节长度的PCI-E密码卡用户公钥；

3)64字节长度的第一公钥；4)64字节长度的第一私钥签名。

6.根据权利要求3所述的一种安全音视频加密服务端的认证实现方法，其特征在于，所述第二身份信息具体为：

1)16字节长度的智能密码钥匙序列号；2)64字节长度的智能密码钥匙用户公钥；

3)64字节长度的第二公钥；4)64字节长度的第二私钥签名K2。