CN111901301A - 一种基于网络多媒体设备数据传输的安全防护系统和方法 - Google Patents
一种基于网络多媒体设备数据传输的安全防护系统和方法 Download PDFInfo
- Publication number
- CN111901301A CN111901301A CN202010591511.0A CN202010591511A CN111901301A CN 111901301 A CN111901301 A CN 111901301A CN 202010591511 A CN202010591511 A CN 202010591511A CN 111901301 A CN111901301 A CN 111901301A
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- module
- network
- network multimedia
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于网络多媒体设备数据传输的安全防护系统和方法,属于网络安全技术领域,包括服务模块、驱动模块和COS模块,所述服务模块提供给用户使用的功能模块;所述驱动模块用于提供底层驱动,为服务模块提供支持;所述COS模块用于提供底层算法实现;基于网络多媒体设备数据传输的安全防护系统采用基于证书的身份认证技术、密钥安全分发和管理技术以及ESP隧道安全传输技术,实现网络报文机密性、完整性、真实性和不可否认性等密码功能,结合网络防护技术,达到多媒体数据流防截获、防伪造、防替换、多媒体系统防入侵攻击的目的,从而保证了多媒体数据传输安全及多媒体系统使用安全。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于网络多媒体设备数据传输的安全防护系统和方法。
背景技术
随着科技进步、社会发展,信息化、虚拟化、网络化程度的提高,现有网络多媒体系统存在的一些漏洞及弊端也逐渐显露,例如出现由于管理混乱造成侵犯公民合法权益和泄露国家机密及商业机密的现象,通过非法手段对视频进行伪造、替换的现象,更有甚者,不法分子通过截获视频流数据和通信协议对安防系统进行入侵攻击,导致系统无法正常工作,通过截获的视频数据掌握安保工作中的漏洞和薄弱点,有针对性的进行破坏活动,对国家和公共安全造成了严重威胁
发明内容
本发明的目的在于提供一种基于网络多媒体设备数据传输的安全防护系统和方法,以解决现有技术中网络多媒体设备数据交换时存在的安全威胁的技术问题。
本发明提供一种基于网络多媒体设备数据传输的安全防护系统,包括服务模块、驱动模块和COS模块。
进一步,所述服务模块包括设备自检子模块、密钥及系统管理服务子模块、设备管理子模块、网络报文封装及加解密子模块、密码服务子模块、安全防护子模块。
进一步,所述驱动模块包括网卡驱动子模块、USB驱动子模块、GPIO驱动子模块和WNG-8芯片驱动子模块。
进一步,所述COS模块包括初始化子模块、协议解析子模块、通讯子模块和密码运算子模块。
一种基于网络多媒体设备数据传输的安全防护方法,包括以下步骤:
S1:设备加电后,首先执行UBOOT。UBOOT在完成必要的初始化后,进行RAM自检。如果自检错误,将报警并自动挂起。RAM自检通过后,UBOOT从FLASH中读取压缩的Linux内核,并将Linux内核解压到系统RAM。在完成内核解压后,再从FLASH中读取压缩的Linux根文件系统,并将Linux根文件系统解压到系统RAM。随后,U-BOOT设置好Linux操作系统的引导参数,包括内核和根文件系统的起始地址,然后从RAM引导Linux,并将控制权交给Linux操作系统。Linux操作系统引导完成后,首先加载设备驱动程序,然后再启动应用服务程序。应用服务程序开始运行后,首先对设备主要硬件进行自检:包括密钥存储部件的正确性,密码算法芯片的正确性以及WNG-8物理噪声发生器产生随机数的随机性。硬件自检通过后,设备将依次派生密码服务进程、配置管理进程、网络报文处理进程、系统状态实时监控进程。这四个进程并行运行,共享设备的密钥存储模块、密码算法模块等资源,分别实现不同的功能;
S2:管理中心对网络多媒体安全防护装置进行;
S3:IP地址的批量分配;
S4:设备信息批量导入;
S5:设备上线前,首先在密钥管理系统中对设备进行注册,具体流程如下:待注册网络多媒体安全防护装置与密钥管理系统连接;通过Web前端登陆密钥管理系统远程管理服务端,证书业务管理员通过角色认证且拥有相关权限,指定待注册网络多媒体安全防护装置,并发起设备注册过程;密钥管理系统,根据预置的注册策略,通过Socket方式连接待注册网络多媒体安全防护装置;连接成功后,发起获取设备信息和设备签名公钥信息请求;待注册网络多媒体安全防护装置收到请求后,将设备信息和设备签名公钥返回给密钥管理系统;密钥管理系统解析申请数据,审核通过时,生成设备加密密钥对并签发设备签名证书和设备加密证书,完成后将设备签名证书、设备加密证书、密管服务器签名证书、密管服务器加密证书、密管中心证书、密管根证书和设备加密密钥对发送给待注册网络多媒体安全防护装置;网络多媒体安全防护装置收到以上信息后,保存密管服务器签名证书、密管服务器加密证书、密管中心证书、密管根证书、设备签名证书和设备加密证书,同时解数字信封得到的设备加密密钥对保存至安全算法芯片,删除IP地址;
S6:网络多媒体安全防护装置上线;上线后,设备管理中心对网络多媒体安全防护装置进行IP地址动态分配;对网络多媒体安全防护装置下发配置文件,例如:网络多媒体安全防护装置属性、密管中心IP地址,绑定的对端设备的MAC地址及IP地址等;检查网络多媒体安全防护装置与密钥管理中心的通讯是否正常;网络多媒体安全防护装置进行算法自检;网络多媒体安全防护装置与密钥管理中心通信,利用L1-key获取工作密钥对;删除网络多媒体安全防护装置的IP地址,准备上架;
S7:网络多媒体安全防护装置上架,设备部署网络正常运行;通过设备管理中心动态配置网络多媒体安全防护装置的IP地址;网络多媒体安全防护装置.A与网络多媒体安全防护装置.B利用L2-key建立安全管理通道;网络多媒体安全防护装置.A通过网络多媒体安全防护装置.A与网络多媒体安全防护装置.B的安全管理通道与设备管理中心通信,获取授权与黑白名单,绑定信息和策略信息;
S8:设备在终端部署并上线后,由密钥管理系统分发或更新工作密钥,工作密钥的分发和更新先更新服务端设备,确认网关正确接收工作密钥后,再更新终端设备。服务端设备和终端设备的工作密钥分发流程一致;
S9:工作密钥分发/更新;密钥管理系统检查白名单策略信息,若对应通信链路上的工作密钥达到更新条件时,探测加解密服务端设备和终端设备是否在线,若都在线继续后续流程,否则退出此流程;密钥管理系统向服务端设备发送创建安全通道创建请求消息;服务端设备对密钥管理系统进行身份认证,认证通过后确认建立安全通道,向密钥管理系统发送安全通道建立响应消息;密钥管理系统向服务端设备发送分发密钥保护协商请求消息;服务端设备收到请求消息后,解密保护密钥;并向密钥管理系统发送分发密钥保护协商响应消息;密钥管理系统确认保护密钥正确分发,使用保护密钥加密保护工作密钥,并发送工作密钥分发请求消息,将工作密钥下发;服务端设备收到工作密钥分发请求消息后,使用之前收到的保护密钥解密工作密钥,然后发送工作密钥分发响应消息;密钥管理系统确认服务端设备正确分发工作密钥后,密钥管理系统向终端设备发送创建安全通道创建请求消息;终端设备对密钥管理系统进行身份认证,认证通过后确认建立安全通道,向密钥管理系统发送安全通道建立响应消息;密钥管理系统向终端设备发送分发密钥保护协商请求消息;终端设备收到请求消息后,解密保护密钥;并向密钥管理系统发送分发密钥保护协商响应消息;密钥管理系统确认保护密钥正确分发,使用保护密钥加密保护工作密钥,并发送工作密钥分发请求消息,将工作密钥下发;终端设备收到工作密钥分发请求消息后,使用之前收到的保护密钥解密工作密钥,然后发送工作密钥分发响应消息;密钥管理系统确认终端设备正确接收工作密钥,至此流程结束。
与现有技术相比较,本发明的有益效果在于:
其一,本发明采用基于证书的身份认证技术、密钥安全分发和管理技术以及ESP隧道安全传输技术,实现网络报文机密性、完整性、真实性和不可否认性等密码功能,结合网络防护技术,达到多媒体数据流防截获、防伪造、防替换、多媒体系统防入侵攻击的目的,从而保证了多媒体数据传输安全及多媒体系统使用安全。
其二,本发明中网络安全防护系统采用网络层防护,具有网络业务对前端设备的透明性。不破坏原有视频通信协议和控制信令协议。采用隧道封装,原网络协议和数据加密传送,不破坏网络通信协议。
其三,本发明中网络安全防护系统隔离了通信网络与前端设备,渗透工具无法扫描前端网络,渗透攻击流量也无法到达前端设备。利用ESP采用一包一密加密机制,每一个ESP封装包中,有独立的加密后的会话密钥、加密后时间因子、IV和包校验字段。非法的网络数据包无法通过网络安全防护设备渗透到前端网络。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的业务数据加解密流程图;
图2为本发明的基于网络多媒体设备数据传输的安全防护系统架构图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
通常在此处附图中描述和显示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。
基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面结合图1至图2所示,本发明实施例提供了一种基于网络多媒体设备数据传输的安全防护系统,包括服务模块、驱动模块和COS模块,所述服务模块提供给用户使用的功能模块;所述驱动模块用于提供底层驱动,为服务模块提供支持;所述COS模块用于提供底层算法实现。
优选的,所述服务模块包括设备自检子模块、密钥及系统管理服务子模块、设备管理子模块、网络报文封装及加解密子模块、密码服务子模块、安全防护子模块;所述密钥及系统管理服务子模块包括密钥注册、密钥的产生和存储、密钥的备份和恢复等密钥管理功能;所述设备管理子模块管理设备的工作状态,远程重启等;所述网络报文封装及加解密子模块是业务数据加密后传输,解密后才能查看使用;所述安全防护子模块是防止网络多媒体设备被替换的限制措施所述密码服务子模块是提供加解密和签名验签等功能接口。
优选的,所述驱动模块包括网卡驱动子模块、USB驱动子模块、GPIO驱动子模块和WNG-8芯片驱动子模块;所述网卡驱动子模块提供网络支持;所述USB驱动子模块提供安全芯片的通信通道;所述GPIO驱动子模块管理LED状态灯;所述WNG-8驱动子模块用来获取硬随机数。
优选的,所述COS模块包括初始化子模块、协议解析子模块、通讯子模块和密码运算子模块;所述初始化子模块完成系统初始化和模块初始化;所述协议解析子模块完成命令解析以及调用相关密码算法;所述通讯子模块通过USB接口实现通讯控制;所述密码运算子模块实现具体的算法执行操作。
一种基于网络多媒体设备数据传输的安全防护方法,包括以下步骤:
S1:设备加电后,首先执行UBOOT。UBOOT主要完成由硬件启动到操作系统启动的过渡,主要任务是为操作系统提供基本的运行环境,如初始化CPU、堆栈、RAM、FLASH等等。UBOOT在完成必要的初始化后,进行RAM自检。如果自检错误,将报警并自动挂起。RAM自检通过后,UBOOT从FLASH中读取压缩的Linux内核,并将Linux内核解压到系统RAM。在完成内核解压后,再从FLASH中读取压缩的Linux根文件系统,并将Linux根文件系统解压到系统RAM。随后,U-BOOT设置好Linux操作系统的引导参数,包括内核和根文件系统的起始地址,然后从RAM引导Linux,并将控制权交给Linux操作系统。Linux操作系统引导完成后,首先加载设备驱动程序,然后再启动应用服务程序。应用服务程序开始运行后,首先对设备主要硬件进行自检:包括密钥存储部件的正确性,密码算法芯片的正确性以及WNG-8物理噪声发生器产生随机数的随机性。硬件自检通过后,设备将依次派生密码服务进程、配置管理进程、网络报文处理进程、系统状态实时监控进程。这四个进程并行运行,共享设备的密钥存储模块、密码算法模块等资源,分别实现不同的功能;
S2:管理中心对网络多媒体安全防护装置进行;
S3:IP地址的批量分配;
S4:设备信息批量导入;
S5:设备上线前,首先在密钥管理系统中对设备进行注册,具体流程如下:待注册网络多媒体安全防护装置与密钥管理系统连接;通过Web前端登陆密钥管理系统远程管理服务端,证书业务管理员通过角色认证且拥有相关权限,指定待注册网络多媒体安全防护装置,并发起设备注册过程;密钥管理系统,根据预置的注册策略(注册策略用于指定允许设备注册的网络多媒体安全防护装置,一条注册策略指定一个网络多媒体安全防护装置;注册策略内容包括:待注册设备唯一标识、设备IP、设备端口以及设备类型),通过Socket方式连接待注册网络多媒体安全防护装置;连接成功后,发起获取设备信息和设备签名公钥信息请求;待注册网络多媒体安全防护装置收到请求后,将设备信息和设备签名公钥返回给密钥管理系统;密钥管理系统解析申请数据,审核通过时,生成设备加密密钥对并签发设备签名证书和设备加密证书,完成后将设备签名证书、设备加密证书、密管服务器签名证书、密管服务器加密证书、密管中心证书、密管根证书和设备加密密钥对(数字信封)发送给待注册网络多媒体安全防护装置;网络多媒体安全防护装置收到以上信息后,保存密管服务器签名证书、密管服务器加密证书、密管中心证书、密管根证书、设备签名证书和设备加密证书,同时解数字信封得到的设备加密密钥对保存至安全算法芯片,删除IP地址;
S6:网络多媒体安全防护装置上线;上线后,设备管理中心对网络多媒体安全防护装置进行IP地址动态分配;对网络多媒体安全防护装置下发配置文件,例如:网络多媒体安全防护装置属性、密管中心IP地址,绑定的对端设备的MAC地址及IP地址等;检查网络多媒体安全防护装置与密钥管理中心的通讯是否正常;网络多媒体安全防护装置进行算法自检;网络多媒体安全防护装置与密钥管理中心通信,利用L1-key获取工作密钥对(二级密钥,L2-key);删除网络多媒体安全防护装置的IP地址,准备上架;
S7:网络多媒体安全防护装置上架,设备部署网络正常运行;通过设备管理中心动态配置网络多媒体安全防护装置的IP地址;网络多媒体安全防护装置.A与网络多媒体安全防护装置.B利用L2-key建立安全管理通道;网络多媒体安全防护装置.A通过网络多媒体安全防护装置.A与网络多媒体安全防护装置.B的安全管理通道与设备管理中心通信,获取授权与黑白名单,绑定信息和策略信息;
S8:设备在终端部署并上线后,由密钥管理系统分发或更新工作密钥,工作密钥的分发和更新先更新服务端设备,确认网关正确接收工作密钥后,再更新终端设备。服务端设备和终端设备的工作密钥分发流程一致;
S9:工作密钥分发/更新;密钥管理系统检查白名单策略信息,若对应通信链路上的工作密钥达到更新条件时,探测加解密服务端设备和终端设备是否在线,若都在线继续后续流程,否则退出此流程;密钥管理系统向服务端设备发送创建安全通道创建请求消息;服务端设备对密钥管理系统进行身份认证,认证通过后确认建立安全通道,向密钥管理系统发送安全通道建立响应消息;密钥管理系统向服务端设备发送分发密钥保护协商请求消息;服务端设备收到请求消息后,解密保护密钥;并向密钥管理系统发送分发密钥保护协商响应消息;密钥管理系统确认保护密钥正确分发,使用保护密钥加密保护工作密钥,并发送工作密钥分发请求消息,将工作密钥下发;服务端设备收到工作密钥分发请求消息后,使用之前收到的保护密钥解密工作密钥,然后发送工作密钥分发响应消息;密钥管理系统确认服务端设备正确分发工作密钥后,密钥管理系统向终端设备发送创建安全通道创建请求消息;终端设备对密钥管理系统进行身份认证,认证通过后确认建立安全通道,向密钥管理系统发送安全通道建立响应消息;密钥管理系统向终端设备发送分发密钥保护协商请求消息;终端设备收到请求消息后,解密保护密钥;并向密钥管理系统发送分发密钥保护协商响应消息;密钥管理系统确认保护密钥正确分发,使用保护密钥加密保护工作密钥,并发送工作密钥分发请求消息,将工作密钥下发;终端设备收到工作密钥分发请求消息后,使用之前收到的保护密钥解密工作密钥,然后发送工作密钥分发响应消息;密钥管理系统确认终端设备正确接收工作密钥,至此流程结束。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (5)
1.一种基于网络多媒体设备数据传输的安全防护系统,其特征在于,包括服务模块、驱动模块和COS模块;所述服务模块提供给用户使用,所述驱动模块用于提供底层驱动,为服务模块提供支持;所述COS模块用于提供底层算法实现。
2.根据权利要求1所述的一种基于网络多媒体设备数据传输的安全防护系统,其特征在于,所述服务模块包括设备自检子模块、密钥及系统管理服务子模块、设备管理子模块、网络报文封装及加解密子模块、密码服务子模块、安全防护子模块;所述密钥及系统管理服务子模块包括密钥注册、密钥的产生和存储、密钥的备份和恢复等密钥管理功能;所述设备管理子模块管理设备的工作状态,远程重启;所述网络报文封装及加解密子模块用于对业务数据加密,并在业务数据加密后传输,传输后解密查看使用;所述安全防护子模块用于防止网络多媒体设备被替换的限制措施,所述密码服务子模块是提供加解密和签名验签功能接口。
3.根据权利要求1所述的一种基于网络多媒体设备数据传输的安全防护系统,其特征在于,所述驱动模块包括网卡驱动子模块、USB驱动子模块、GPIO驱动子模块和WNG-8芯片驱动子模块;所述网卡驱动子模块提供网络支持;所述USB驱动子模块提供安全芯片的通信通道;所述GPIO驱动子模块管理LED状态灯;所述WNG-8驱动子模块用来获取硬随机数。
4.根据权利要求1所述的一种基于网络多媒体设备数据传输的安全防护系统,其特征在于,所述COS模块包括初始化子模块、协议解析子模块、通讯子模块和密码运算子模块;所述初始化子模块完成系统初始化和模块初始化;所述协议解析子模块完成命令解析以及调用相关密码算法;所述通讯子模块通过USB接口实现通讯控制;所述密码运算子模块实现具体的算法执行操作。
5.一种基于网络多媒体设备数据传输的安全防护方法,包括以下步骤:
S1:设备加电后,首先执行UBOOT,UBOOT在完成必要的初始化后,进行RAM自检,如果自检错误,将报警并自动挂起,RAM自检通过后,UBOOT从FLASH中读取压缩的Linux内核,并将Linux内核解压到系统RAM,在完成内核解压后,再从FLASH中读取压缩的Linux根文件系统,并将Linux根文件系统解压到系统RAM,随后,U-BOOT设置好Linux操作系统的引导参数,包括内核和根文件系统的起始地址,然后从RAM引导Linux,并将控制权交给Linux操作系统,Linux操作系统引导完成后,首先加载设备驱动程序,然后再启动应用服务程序,应用服务程序开始运行后,首先对设备主要硬件进行自检:包括密钥存储部件的正确性,密码算法芯片的正确性以及WNG-8物理噪声发生器产生随机数的随机性,硬件自检通过后,设备将依次派生密码服务进程、配置管理进程、网络报文处理进程、系统状态实时监控进程。这四个进程并行运行,共享设备的密钥存储模块、密码算法模块等资源,分别实现不同的功能;
S2:管理中心对网络多媒体安全防护装置进行;
S3:IP地址的批量分配;
S4:设备信息批量导入;
S5:设备上线前,首先在密钥管理系统中对设备进行注册,具体流程如下:待注册网络多媒体安全防护装置与密钥管理系统连接;通过Web前端登陆密钥管理系统远程管理服务端,证书业务管理员通过角色认证且拥有相关权限,指定待注册网络多媒体安全防护装置,并发起设备注册过程;密钥管理系统,根据预置的注册策略,通过Socket方式连接待注册网络多媒体安全防护装置;连接成功后,发起获取设备信息和设备签名公钥信息请求;待注册网络多媒体安全防护装置收到请求后,将设备信息和设备签名公钥返回给密钥管理系统;密钥管理系统解析申请数据,审核通过时,生成设备加密密钥对并签发设备签名证书和设备加密证书,完成后将设备签名证书、设备加密证书、密管服务器签名证书、密管服务器加密证书、密管中心证书、密管根证书和设备加密密钥对发送给待注册网络多媒体安全防护装置;网络多媒体安全防护装置收到以上信息后,保存密管服务器签名证书、密管服务器加密证书、密管中心证书、密管根证书、设备签名证书和设备加密证书,同时解数字信封得到的设备加密密钥对保存至安全算法芯片,删除IP地址;
S6:网络多媒体安全防护装置上线;上线后,设备管理中心对网络多媒体安全防护装置进行IP地址动态分配;对网络多媒体安全防护装置下发配置文件,例如:网络多媒体安全防护装置属性、密管中心IP地址,绑定的对端设备的MAC地址及IP地址等;检查网络多媒体安全防护装置与密钥管理中心的通讯是否正常;网络多媒体安全防护装置进行算法自检;网络多媒体安全防护装置与密钥管理中心通信,利用L1-key获取工作密钥对;删除网络多媒体安全防护装置的IP地址,准备上架;
S7:网络多媒体安全防护装置上架,设备部署网络正常运行;通过设备管理中心动态配置网络多媒体安全防护装置的IP地址;网络多媒体安全防护装置.A与网络多媒体安全防护装置.B利用L2-key建立安全管理通道;网络多媒体安全防护装置.A通过网络多媒体安全防护装置.A与网络多媒体安全防护装置.B的安全管理通道与设备管理中心通信,获取授权与黑白名单,绑定信息和策略信息;
S8:设备在终端部署并上线后,由密钥管理系统分发或更新工作密钥,工作密钥的分发和更新先更新服务端设备,确认网关正确接收工作密钥后,再更新终端设备。服务端设备和终端设备的工作密钥分发流程一致;
S9:工作密钥分发/更新;密钥管理系统检查白名单策略信息,若对应通信链路上的工作密钥达到更新条件时,探测加解密服务端设备和终端设备是否在线,若都在线继续后续流程,否则退出此流程;密钥管理系统向服务端设备发送创建安全通道创建请求消息;服务端设备对密钥管理系统进行身份认证,认证通过后确认建立安全通道,向密钥管理系统发送安全通道建立响应消息;密钥管理系统向服务端设备发送分发密钥保护协商请求消息;服务端设备收到请求消息后,解密保护密钥;并向密钥管理系统发送分发密钥保护协商响应消息;密钥管理系统确认保护密钥正确分发,使用保护密钥加密保护工作密钥,并发送工作密钥分发请求消息,将工作密钥下发;服务端设备收到工作密钥分发请求消息后,使用之前收到的保护密钥解密工作密钥,然后发送工作密钥分发响应消息;密钥管理系统确认服务端设备正确分发工作密钥后,密钥管理系统向终端设备发送创建安全通道创建请求消息;终端设备对密钥管理系统进行身份认证,认证通过后确认建立安全通道,向密钥管理系统发送安全通道建立响应消息;密钥管理系统向终端设备发送分发密钥保护协商请求消息;终端设备收到请求消息后,解密保护密钥;并向密钥管理系统发送分发密钥保护协商响应消息;密钥管理系统确认保护密钥正确分发,使用保护密钥加密保护工作密钥,并发送工作密钥分发请求消息,将工作密钥下发;终端设备收到工作密钥分发请求消息后,使用之前收到的保护密钥解密工作密钥,然后发送工作密钥分发响应消息;密钥管理系统确认终端设备正确接收工作密钥,至此流程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010591511.0A CN111901301B (zh) | 2020-06-24 | 2020-06-24 | 一种基于网络多媒体设备数据传输的安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010591511.0A CN111901301B (zh) | 2020-06-24 | 2020-06-24 | 一种基于网络多媒体设备数据传输的安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111901301A true CN111901301A (zh) | 2020-11-06 |
| CN111901301B CN111901301B (zh) | 2023-08-08 |
Family
ID=73207109
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010591511.0A Active CN111901301B (zh) | 2020-06-24 | 2020-06-24 | 一种基于网络多媒体设备数据传输的安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901301B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448962A (zh) * | 2022-01-17 | 2022-05-06 | 南昌华勤电子科技有限公司 | Web应用即时消息通知系统、方法及服务器 |
| CN117610060A (zh) * | 2024-01-19 | 2024-02-27 | 成都理工大学 | 一种基于多核并行的多媒体文件混合加解密方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1703000A (zh) * | 2005-03-31 | 2005-11-30 | 联想(北京)有限公司 | 用于实现应用系统与安全芯片进行交互的装置及方法 |
| CN1867152A (zh) * | 2006-06-01 | 2006-11-22 | 东南大学 | 移动互联网内容监管设备及其监管方法 |
| WO2016107321A1 (zh) * | 2014-12-30 | 2016-07-07 | 北京奇虎科技有限公司 | 安全通信系统 |
| CN107066885A (zh) * | 2016-10-11 | 2017-08-18 | 深圳市华威世纪科技股份有限公司 | 跨平台可信中间件的实现系统及实现方法 |
-
2020
- 2020-06-24 CN CN202010591511.0A patent/CN111901301B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1703000A (zh) * | 2005-03-31 | 2005-11-30 | 联想(北京)有限公司 | 用于实现应用系统与安全芯片进行交互的装置及方法 |
| CN1867152A (zh) * | 2006-06-01 | 2006-11-22 | 东南大学 | 移动互联网内容监管设备及其监管方法 |
| WO2016107321A1 (zh) * | 2014-12-30 | 2016-07-07 | 北京奇虎科技有限公司 | 安全通信系统 |
| CN107066885A (zh) * | 2016-10-11 | 2017-08-18 | 深圳市华威世纪科技股份有限公司 | 跨平台可信中间件的实现系统及实现方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448962A (zh) * | 2022-01-17 | 2022-05-06 | 南昌华勤电子科技有限公司 | Web应用即时消息通知系统、方法及服务器 |
| CN114448962B (zh) * | 2022-01-17 | 2023-08-22 | 南昌华勤电子科技有限公司 | Web应用即时消息通知系统、方法及服务器 |
| CN117610060A (zh) * | 2024-01-19 | 2024-02-27 | 成都理工大学 | 一种基于多核并行的多媒体文件混合加解密方法及系统 |
| CN117610060B (zh) * | 2024-01-19 | 2024-03-29 | 成都理工大学 | 一种基于多核并行的多媒体文件混合加解密方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111901301B (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10326756B2 (en) | Management of certificate authority (CA) certificates | |
| EP2887576B1 (en) | Software key updating method and device | |
| CN105493453B (zh) | 一种实现远程接入的方法、装置及系统 | |
| CN111447276B (zh) | 一种具有密钥协商功能的加密续传方法 | |
| CN103001976A (zh) | 一种安全的网络信息传输方法 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| US11831753B2 (en) | Secure distributed key management system | |
| CN103747036A (zh) | 一种桌面虚拟化环境下的可信安全增强方法 | |
| US20050120203A1 (en) | Methods, systems and computer program products for automatic rekeying in an authentication environment | |
| CN107508847A (zh) | 一种连接建立方法、装置和设备 | |
| CN106169952B (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN112468571B (zh) | 内外网数据同步方法、装置、电子设备及存储介质 | |
| CN105187369B (zh) | 一种数据访问方法及装置 | |
| CN111901301B (zh) | 一种基于网络多媒体设备数据传输的安全防护方法 | |
| CN105530266A (zh) | 一种许可证书管理方法、装置及系统 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
| CN111541776A (zh) | 一种基于物联网设备的安全通信装置及系统 | |
| CN114584331A (zh) | 一种配电物联网边缘物联代理网络安全防护方法及系统 | |
| CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
| CN112751851A (zh) | 一种ssh登录成功行为判断方法、装置及存储介质 | |
| CN110659471A (zh) | 一种云环境中的身份认证登录方法 | |
| KR101341206B1 (ko) | 제2 장치에 신뢰 및 식별을 승인하기 위해 보안 장치를레버리지하는 방법 | |
| CN113904767A (zh) | 一种基于ssl建立通信的系统 | |
| CN113922974B (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |