CN111917756B - 一种执法记录仪基于公钥路由的加密系统及加密方法 - Google Patents

一种执法记录仪基于公钥路由的加密系统及加密方法 Download PDF

Info

Publication number
CN111917756B
CN111917756B CN202010727492.XA CN202010727492A CN111917756B CN 111917756 B CN111917756 B CN 111917756B CN 202010727492 A CN202010727492 A CN 202010727492A CN 111917756 B CN111917756 B CN 111917756B
Authority
CN
China
Prior art keywords
terminal
public key
cloud service
media stream
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010727492.XA
Other languages
English (en)
Other versions
CN111917756A (zh
Inventor
陈尚武
李华松
方诚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Xujian Science And Technology Co ltd
Original Assignee
Hangzhou Xujian Science And Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Xujian Science And Technology Co ltd filed Critical Hangzhou Xujian Science And Technology Co ltd
Priority to CN202010727492.XA priority Critical patent/CN111917756B/zh
Publication of CN111917756A publication Critical patent/CN111917756A/zh
Application granted granted Critical
Publication of CN111917756B publication Critical patent/CN111917756B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26613Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N5/00Details of television systems
    • H04N5/76Television signal recording
    • H04N5/91Television signal processing therefor
    • H04N5/913Television signal processing therefor for scrambling ; for copy protection

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于执法记录仪技术领域,尤其涉及一种执法记录仪基于公钥路由的加密系统及加密方法,一种执法记录仪基于公钥路由的加密系统包含公钥摘要生成模块(1)、云服务的公钥路由模块(2)、云服务的终端连接模块(3)、云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6);本发明中执法仪用户把公钥与私钥下发终端,通过不可逆一次SM3加密生成公钥摘要与私钥摘要成对上传到云服务,满足云服务安全认证需求的同时也满足执法仪终端的媒体数据不会被云服务露。通过公钥的两次SM3加密生成的公钥路由地址与一次SM3加密生成公钥摘要与一次私钥摘要,实现基于加密算法终端识别登录与路由寻址权限文件管理权限安全机制。

Description

一种执法记录仪基于公钥路由的加密系统及加密方法
技术领域
本发明属于执法记录仪技术领域,尤其涉及一种执法记录仪基于公钥路由的加密系统及加密方法。
背景技术
执法记录仪是记录执法与作业过程视频采集的专用设备,当前执法记录仪逐步使用4G移动网络或5G移动网络传输音视频,自建立执法记录仪互联网服务成本过高,往往租用通用执法记录仪云服务实现实时数据流的分发与历史数据流的存储,但这来一个风险,因执法记录仪的实时数据分发与历史数据存储都由执法记录仪云服务商,那就存在执法记录仪云服务的安全问题而引发执法记录仪的数据的泄露,所以需要一种执法记录仪云服务商无法泄露执法记录仪的数据的方法。
发明内容
为了解决上述技术问题,本发明的目的是提供一种执法记录仪基于公钥路由的加密系统及加密方法,执法记录仪产品使用执法记录仪云服务(后续简称云服务)实时视频传输与历史视频存储服务,但执法记录仪云服务不能泄露执法记录仪的数据。
本发明提供一种执法记录仪基于公钥路由的加密系统,其特征在于,包含:
公钥摘要生成模块(1):公钥摘要生成模块(1)独立云平台与终端,用于生成终端的公钥、私钥、公钥摘要与私钥摘要。公钥摘要与私钥摘要上传到云服务的公钥路由模块(2)用于鉴权,私钥与公钥给产生媒体流数据的终端,公钥给接收媒体流的终端。执法仪用户使用国密SM生成公钥与私钥,保证公钥与私钥不泄露,对公钥进行不可逆国密SM3进行加密做为公钥摘要,对私钥进行不可逆国密SM3进行加密做为私钥摘要。执法仪用户把公钥摘要与私钥摘要成对上传到云服务的公钥路由模块(2),执法仪用户把公钥与私钥下发终端。
云服务的公钥路由模块(2):接收执法仪用户上传终端的公钥摘要与私钥摘要,并生成终端的公钥路由地址,接收云服务的终端连接模块(3)、云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6)请求根据公钥路由地址返回公钥摘要与私钥摘要,接收云服务的终端连接模块(3)终端上线,接收云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6)请求公钥路由地址返回对应云服务的终端连接模块(3)。接收执法仪用户上传公钥摘要与私钥摘要,对公钥摘要使用国密SM3进行加密得到结果做为终端的公钥路由地址,终端的公钥路由地址在网络传送是可见,而公钥摘要做为该终端的密码。终端所用的公钥、私钥并不会让执法记录仪云服务知晓,终端发给执法记录仪云服务的加密媒体数据,云服务并不能解析里面内容,保证终端的媒体数据安全性。
云服务的终端连接模块(3):接收终端上线注册验证,并作为云服务与该终端信令通道。接收终端的认证上线请求,使用三次握手协议,终端对公钥的进行国密SM3加密得到终端的公钥摘要,对终端的公钥摘要进行国密SM3加密得到终端的公钥路由地址,终端首次上线携带终端公钥路由地址,云服务的终端注册模块(3)返回随机码,终端使用随机码与终端的私钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串。云服务的终端注册模块(3)接收验证串,根据终端公钥路由地址向云服务的公钥路由模块(2)获取该终端的私钥摘要,使用随机码与私钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端的验证串字符串比较,如果相同则验证通过。通知云服务的公钥路由模块(2)该公钥路由地址的终端上线。终端注册过程中,终端公钥路由地址在网络报文是可见的,但终端的私钥摘要是不可见的,私钥为每个终端独享,私钥摘要也只为每个终端与云服务共享,通过对终端的私钥摘要保护,避免非法终端伪造上线挤占云服务资源。
云服务的媒体流分发模块(5):云服务的媒体流分发模块(5)接收一终端请求另一终端的媒体流,通过公钥摘要验证合法性,接收终端发送的媒体流同时向终端转发媒体流。终端A通过云服务的终端连接模块(3)向云服务的媒体流分发模块(5)请求终端B转发媒体流,云服务的媒体流分发模块(5)对终端A的媒体流请求进行三次握手鉴权,终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥路由地址,终端A发送请求媒体流转发携带终端B的公钥路由地址,云服务的媒体流分发模块(5)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流分发模块(5),云服务的媒体流分发模块(5)向云服务的公钥路由模块(2)使用公钥路由地址获取终端B的公钥摘要,使用公钥路由地址获取终端B在线状态以及对应云服务的终端连接模块(3),如果终端B不在线,则终止流程,使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过。如果终端B已向云服务的媒体流分发模块(5)发送媒体流则复制一个加密媒体流给终端A,如果终端B未向云服务发送媒体流则通过云服务的终端连接模块(3)通知终端B向云服务的媒体流分发模块(5)发送加密媒体流,终端B发送媒体流使用私钥进行国密SM2加密。终端A接收终端B的加密媒体流,使用终端B的公钥进行国密SM2解密,获得终端B的媒体流。
云服务的媒体流存储模块(6):接收终端存储请求在云服务的媒体流存储模块(6)上存储媒体数据,接收终端查看其他终端在云服务的媒体流存储模块(6)存储媒体数据。终端通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求媒体流存储,终端上文件类型(视频,音频,图片),起始时间,结束时间,云服务的媒体流存储模块(6)使用私钥加密媒体流的数据,将其保存为加密媒体文件。终端A通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求终端B的存储的媒体流,携带参数为终端B的公钥路由地址,起始时间,结束时间,文件类型。云服务的媒体流存储模块(6)对终端A的媒体流请求进行三次握手鉴权,终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥的进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥路由地址,终端A发送请求媒体流转发携带终端B的公钥路由地址,云服务的媒体流存储模块(6)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流存储模块(6),云服务的媒体流存储模块(6)向云服务的公钥路由模块(2)根据终端B的公钥路由地址获取终端B的公钥摘要,使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过。云服务的媒体流存储模块(6)返回给终端A的符合起始时间/结束时间/文件类型条件的终端B的文件列表清单,云服务的媒体流存储模块(6)提供终端B的文件的HTTP下载加密媒体文件,终端A下载文件,使用终端B的公钥进行国密SM2解密,获得终端B的未加密媒体文件。
其中,终端包含执法记录仪设备/执法记录客户端/执法记录本地存储设备,所有终端使用私钥摘要(私钥一次国密SM3加密)与公钥路由地址(公钥二次国密SM3加密)登录云平台,执法记录仪设备提供媒体数据源使用私钥加密发送给云平台,执法记录客户端使用执法记录仪/执法记录本地存储设备的公钥摘要(一次国密SM3加密)与公钥路由地址(二次国密SM3加密)向云平台获取加盟媒体流权限,使用执法记录仪/执法记录本地存储设备的公钥进行解密获取原始的数据流。执法记录本地存储设备使用私钥把本地文件加密发送给云平台,使用执法记录仪的公钥向云平台获取媒体流保存到本地。
本发明还提供一种执法记录仪基于公钥路由的加密方法,包括如下步骤:
步骤1、生成公钥、私钥、公钥摘要与私钥摘要与公钥路由地址。
1.1、公钥摘要生成模块(1)独立云平台与终端,生成终端的公钥、私钥、公钥摘要与私钥摘要。
1.2、公钥摘要与私钥摘要上传到云服务的公钥路由模块(2)用于鉴权,私钥与公钥给产生媒体流数据的终端,公钥给接收媒体流的终端。
1.3、执法仪用户使用国密SM2生成公钥与私钥,保证公钥与私钥不泄露。
1.4、对公钥进行不可逆国密SM3进行加密做为公钥摘要,对私钥进行不可逆国密SM3进行加密做为私钥摘要。
1.5、执法仪用户把公钥摘要与私钥摘要成对上传到云服务的公钥路由模块(2),执法仪用户把公钥与私钥下发终端。满足云服务安全认证需求的同时也满足执法仪终端的媒体数据不会被云服务泄露。
1.6、公钥路由地址为云服务的公钥路由模块(2)的公钥摘要的一次国密SM3加密得到,终端的两次国密SM3加密得到,用于作为终端的唯一标识,寻址路由。
步骤2、终端使用私钥摘要(私钥一次国密SM3加密)与公钥路由地址(公钥二次国密S M3加密)登录云平台流程:
2.1、云服务的公钥路由模块(2)接收执法仪用户上传公钥摘要与私钥摘要,对公钥摘使用国密SM3进行加密得到结果做为终端的公钥路由地址。
2.2、终端的公钥路由地址在网络传送是可见,而公钥摘要做为该终端的密码。终端所用的公钥、私钥并不会让执法记录仪云服务知晓,终端发给执法记录仪云服务的加密媒体数据,云服务并不能解析里面内容,保证终端的媒体数据安全性。
2.3、云服务的公钥路由模块(2)接收其他模块请求根据公钥路由地址返回公钥摘要与私钥摘要,接收云服务的终端连接模块(3)终端上线;其中,其他模块是指云服务的终端连接模块(3)、云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6);
2.4、云服务的公钥路由模块(2)接收服务的媒体流分发模块(5)、云服务的媒体流存储模块(6)请求公钥路由地址返回对应云服务的终端连接模块(3)。
步骤3、云服务的终端连接模块(3),接收终端上线注册验证流程。
3.1、云服务的终端连接模块(3)接收终端的认证上线请求,使用三次握手协议;
3.2、终端对公钥的进行国密SM3加密得到终端的公钥摘要,对终端的公钥摘要进行国密SM3加密得到终端的公钥路由地址;
3.3、终端上线携带终端公钥路由地址,云服务的终端注册模块(3)返回随机码,终端使用随机码与终端的私钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串。
3.4、云服务的终端注册模块(3)接收验证串,根据终端公钥路由地址向云服务的公钥路由模块(2)获取该终端的私钥摘要,使用随机码与私钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端的验证串字符串,比较如果相同,则验证通过。
3.5、云服务的终端连接模块(3)通知云服务的公钥路由模块(2)终端上线,以公钥路由地址唯一标示终端。终端周期性(如30秒)向云服务的终端连接模块(3)发送心跳包,保持注册在线,云服务的终端连接模块(3)超过保活时间(如60秒)未收到终端的心跳包,云服务的公钥路由模块(2)终端下线,以公钥路由地址唯一标示终端。
3.6、终端注册过程中,终端公钥路由地址在网络报文是可见的,但终端的私钥摘要是不可见的,私钥为每个终端独享,私钥摘要也只为每个终端与云服务共享,通过对终端的私钥摘要保护,避免非法终端伪造上线挤占云服务资源。
步骤4、云服务的媒体流分发模块(5)接收一终端请求另一终端的媒体流,通过公钥摘要验证合法性,接收终端发送的媒体流同时向终端转发媒体流。
4.1、终端A通过云服务的终端连接模块(3)向云服务的媒体流分发模块(5)请求终端B转发媒体流,云服务的媒体流分发模块(5)对终端A的媒体流请求进行三次握手鉴权;
4.2、终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥的进行国密S M3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥路由地址,终端A发送请求媒体流转发携带终端B的公钥路由地址;
4.3、云服务的媒体流分发模块(5)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流分发模块(5);
4.4、云服务的媒体流分发模块(5)向云服务的公钥路由模块(2)根据终端B的公钥路由地址获取终端B的公钥摘要与终端B在线状态与所在的云服务的终端连接模块(3);
4.5、如果终端B不在线,则终止流程;
4.6、云服务的媒体流分发模块(5)使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过。
4.7、如果终端B已向云服务的媒体流分发模块(5)发送媒体流则复制一个加密媒体流给终端A;
4.8、如果终端B未向云服务发送媒体流则通过云服务的终端连接模块(3)通知终端B向云服务的媒体流分发模块(5)发送加密媒体流;
4.9、终端B发送媒体流使用私钥进行国密SM2加密。
4.10、终端A接收终端B的加密媒体流,使用终端B的公钥进行国密SM2解密,获得终端B的媒体流。
步骤5、云服务的媒体流存储模块(6)接收终端存储请求在云服务的媒体流存储模块(6)上存储媒体数据,终端通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求媒体流存储,终端上文件类型(视频,音频,图片),起始时间,结束时间,使用私钥加密媒体流的数据,云服务的媒体流存储模块(6)保存为加密媒体文件。
步骤6、云服务的媒体流存储模块(6)接收终端查看与下载终端在云服务的媒体流存储模块(6)存储媒体数据。
6.1、终端A通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求终端B的存储的媒体流,携带参数为终端B的公钥路由地址,起始时间,结束时间,文件类型。
6.2、云服务的媒体流存储模块(6)对终端A的媒体流请求进行三次握手鉴权;
6.3、终端A请求终端B媒体流需要有终端B的公钥,对终端B的公钥进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥路由地址;终端A发送请求媒体流转发携带终端B的公钥路由地址;
6.4、云服务的媒体流存储模块(6)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流存储模块(6);
6.5、云服务的媒体流存储模块(6)向云服务的公钥路由模块(2)获取终端B的公钥摘要,根据终端B的公钥路由地址。使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过。
6.6、云服务的媒体流存储模块(6)返回给终端A的符合起始时间/结束时间/文件类型条件的终端B的文件列表清单,云服务的媒体流存储模块(6)提供终端B的文件的HTTP下载加密媒体文件。
6.7、终端A下载文件,使用终端B的公钥进行国密SM2解密,获得终端B的未加密媒体文件。
与现有技术相比,本发明具有如下有益效果:
本发明技术方案中,执法仪用户把公钥与私钥下发终端,通过不可逆一次SM3加密生成公钥摘要与私钥摘要成对上传到云服务,满足云服务安全认证需求的同时也满足执法仪终端的媒体数据不会被云服务露。通过公钥的两次SM3加密生成的公钥路由地址与一次SM3加密生成公钥摘要与一次私钥摘要,实现基于加密算法终端识别登录与路由寻址权限文件管理权限安全机制。
附图说明
图1是本发明的整体功能框架结构示意图。
具体实施方式
以下结合附图对本发明做进一步描述:
实施例:
如附图1所示
本发明提供一种执法记录仪基于公钥路由的加密系统,其特征在于,包含:
公钥摘要生成模块(1):公钥摘要生成模块(1)独立云平台与终端,用于生成终端的公钥、私钥、公钥摘要与私钥摘要。公钥摘要与私钥摘要上传到云服务的公钥路由模块(2)用于鉴权,私钥与公钥给产生媒体流数据的终端,公钥给接收媒体流的终端。执法仪用户使用国密SM生成公钥与私钥,保证公钥与私钥不泄露,对公钥进行不可逆国密SM3进行加密做为公钥摘要,对私钥进行不可逆国密SM3进行加密做为私钥摘要。执法仪用户把公钥摘要与私钥摘要成对上传到云服务的公钥路由模块(2),执法仪用户把公钥与私钥下发终端。
云服务的公钥路由模块(2):接收执法仪用户上传终端的公钥摘要与私钥摘要,并生成终端的公钥路由地址,接收云服务的终端连接模块(3)、云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6)请求根据公钥路由地址返回公钥摘要与私钥摘要,接收云服务的终端连接模块(3)终端上线,接收云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6)请求公钥路由地址返回对应云服务的终端连接模块(3)。接收执法仪用户上传公钥摘要与私钥摘要,对公钥摘要使用国密SM3进行加密得到结果做为终端的公钥路由地址,终端的公钥路由地址在网络传送是可见,而公钥摘要做为该终端的密码。终端所用的公钥、私钥并不会让执法记录仪云服务知晓,终端发给执法记录仪云服务的加密媒体数据,云服务并不能解析里面内容,保证终端的媒体数据安全性。
云服务的终端连接模块(3):接收终端上线注册验证,并作为云服务与该终端信令通道。接收终端的认证上线请求,使用三次握手协议,终端对公钥的进行国密SM3加密得到终端的公钥摘要,对终端的公钥摘要进行国密SM3加密得到终端的公钥路由地址,终端首次上线携带终端公钥路由地址,云服务的终端注册模块(3)返回随机码,终端使用随机码与终端的私钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串。云服务的终端注册模块(3)接收验证串,根据终端公钥路由地址向云服务的公钥路由模块(2)获取该终端的私钥摘要,使用随机码与私钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端的验证串字符串比较,如果相同则验证通过。通知云服务的公钥路由模块(2)该公钥路由地址的终端上线。终端注册过程中,终端公钥路由地址在网络报文是可见的,但终端的私钥摘要是不可见的,私钥为每个终端独享,私钥摘要也只为每个终端与云服务共享,通过对终端的私钥摘要保护,避免非法终端伪造上线挤占云服务资源。
云服务的媒体流分发模块(5):云服务的媒体流分发模块(5)接收一终端请求另一终端的媒体流,通过公钥摘要验证合法性,接收终端发送的媒体流同时向终端转发媒体流。终端A通过云服务的终端连接模块(3)向云服务的媒体流分发模块(5)请求终端B转发媒体流,云服务的媒体流分发模块(5)对终端A的媒体流请求进行三次握手鉴权,终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥路由地址,终端A发送请求媒体流转发携带终端B的公钥路由地址,云服务的媒体流分发模块(5)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流分发模块(5),云服务的媒体流分发模块(5)向云服务的公钥路由模块(2)使用公钥路由地址获取终端B的公钥摘要,使用公钥路由地址获取终端B在线状态以及对应云服务的终端连接模块(3),如果终端B不在线,则终止流程,使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过。如果终端B已向云服务的媒体流分发模块(5)发送媒体流则复制一个加密媒体流给终端A,如果终端B未向云服务发送媒体流则通过云服务的终端连接模块(3)通知终端B向云服务的媒体流分发模块(5)发送加密媒体流,终端B发送媒体流使用私钥进行国密SM2加密。终端A接收终端B的加密媒体流,使用终端B的公钥进行国密SM2解密,获得终端B的媒体流。
云服务的媒体流存储模块(6):接收终端存储请求在云服务的媒体流存储模块(6)上存储媒体数据,接收终端查看其他终端在云服务的媒体流存储模块(6)存储媒体数据。终端通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求媒体流存储,终端上文件类型(视频,音频,图片),起始时间,结束时间,云服务的媒体流存储模块(6)使用私钥加密媒体流的数据,将其保存为加密媒体文件。终端A通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求终端B的存储的媒体流,携带参数为终端B的公钥路由地址,起始时间,结束时间,文件类型。云服务的媒体流存储模块(6)对终端A的媒体流请求进行三次握手鉴权,终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥的进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥路由地址,终端A发送请求媒体流转发携带终端B的公钥路由地址,云服务的媒体流存储模块(6)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流存储模块(6),云服务的媒体流存储模块(6)向云服务的公钥路由模块(2)根据终端B的公钥路由地址获取终端B的公钥摘要,使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过。云服务的媒体流存储模块(6)返回给终端A的符合起始时间/结束时间/文件类型条件的终端B的文件列表清单,云服务的媒体流存储模块(6)提供终端B的文件的HTTP下载加密媒体文件,终端A下载文件,使用终端B的公钥进行国密SM2解密,获得终端B的未加密媒体文件。
其中,终端包含执法记录仪设备/执法记录客户端/执法记录本地存储设备,所有终端使用私钥摘要(私钥一次国密SM3加密)与公钥路由地址(公钥二次国密SM3加密)登录云平台,执法记录仪设备提供媒体数据源使用私钥加密发送给云平台,执法记录客户端使用执法记录仪/执法记录本地存储设备的公钥摘要(一次国密SM3加密)与公钥路由地址(二次国密SM3加密)向云平台获取加盟媒体流权限,使用执法记录仪/执法记录本地存储设备的公钥进行解密获取原始的数据流。执法记录本地存储设备使用私钥把本地文件加密发送给云平台,使用执法记录仪的公钥向云平台获取媒体流保存到本地。
本发明还提供一种执法记录仪基于公钥路由的加密方法,包括如下步骤:
步骤1、生成公钥、私钥、公钥摘要与私钥摘要与公钥路由地址。
1.1、公钥摘要生成模块(1)独立云平台与终端,生成终端的公钥、私钥、公钥摘要与私钥摘要。
1.2、公钥摘要与私钥摘要上传到云服务的公钥路由模块(2)用于鉴权,私钥与公钥给产生媒体流数据的终端,公钥给接收媒体流的终端。
1.3、执法仪用户使用国密SM2生成公钥与私钥,保证公钥与私钥不泄露。
1.4、对公钥进行不可逆国密SM3进行加密做为公钥摘要,对私钥进行不可逆国密SM3进行加密做为私钥摘要。
1.5、执法仪用户把公钥摘要与私钥摘要成对上传到云服务的公钥路由模块(2),执法仪用户把公钥与私钥下发终端。满足云服务安全认证需求的同时也满足执法仪终端的媒体数据不会被云服务泄露。
1.6、公钥路由地址为云服务的公钥路由模块(2)的公钥摘要的一次国密SM3加密得到,终端的两次国密SM3加密得到,用于作为终端的唯一标识,寻址路由。
步骤2、终端使用私钥摘要(私钥一次国密SM3加密)与公钥路由地址(公钥二次国密S M3加密)登录云平台流程:
2.1、云服务的公钥路由模块(2)接收执法仪用户上传公钥摘要与私钥摘要,对公钥摘使用国密SM3进行加密得到结果做为终端的公钥路由地址。
2.2、终端的公钥路由地址在网络传送是可见,而公钥摘要做为该终端的密码。终端所用的公钥、私钥并不会让执法记录仪云服务知晓,终端发给执法记录仪云服务的加密媒体数据,云服务并不能解析里面内容,保证终端的媒体数据安全性。
2.3、云服务的公钥路由模块(2)接收其他模块请求根据公钥路由地址返回公钥摘要与私钥摘要,接收云服务的终端连接模块(3)终端上线;其中,其他模块是指云服务的终端连接模块(3)、云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6);
2.4、云服务的公钥路由模块(2)接收服务的媒体流分发模块(5)、云服务的媒体流存储模块(6)请求公钥路由地址返回对应云服务的终端连接模块(3)。
步骤3、云服务的终端连接模块(3),接收终端上线注册验证流程。
3.1、云服务的终端连接模块(3)接收终端的认证上线请求,使用三次握手协议;
3.2、终端对公钥的进行国密SM3加密得到终端的公钥摘要,对终端的公钥摘要进行国密SM3加密得到终端的公钥路由地址;
3.3、终端上线携带终端公钥路由地址,云服务的终端注册模块(3)返回随机码,终端使用随机码与终端的私钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串。
3.4、云服务的终端注册模块(3)接收验证串,根据终端公钥路由地址向云服务的公钥路由模块(2)获取该终端的私钥摘要,使用随机码与私钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端的验证串字符串,比较如果相同,则验证通过。
3.5、云服务的终端连接模块(3)通知云服务的公钥路由模块(2)终端上线,以公钥路由地址唯一标示终端。终端周期性(如30秒)向云服务的终端连接模块(3)发送心跳包,保持注册在线,云服务的终端连接模块(3)超过保活时间(如60秒)未收到终端的心跳包,云服务的公钥路由模块(2)终端下线,以公钥路由地址唯一标示终端。
3.6、终端注册过程中,终端公钥路由地址在网络报文是可见的,但终端的私钥摘要是不可见的,私钥为每个终端独享,私钥摘要也只为每个终端与云服务共享,通过对终端的私钥摘要保护,避免非法终端伪造上线挤占云服务资源。
步骤4、云服务的媒体流分发模块(5)接收一终端请求另一终端的媒体流,通过公钥摘要验证合法性,接收终端发送的媒体流同时向终端转发媒体流。
4.1、终端A通过云服务的终端连接模块(3)向云服务的媒体流分发模块(5)请求终端B转发媒体流,云服务的媒体流分发模块(5)对终端A的媒体流请求进行三次握手鉴权;
4.2、终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥的进行国密S M3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥路由地址,终端A发送请求媒体流转发携带终端B的公钥路由地址;
4.3、云服务的媒体流分发模块(5)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流分发模块(5);
4.4、云服务的媒体流分发模块(5)向云服务的公钥路由模块(2)根据终端B的公钥路由地址获取终端B的公钥摘要与终端B在线状态与所在的云服务的终端连接模块(3);
4.5、如果终端B不在线,则终止流程;
4.6、云服务的媒体流分发模块(5)使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过。
4.7、如果终端B已向云服务的媒体流分发模块(5)发送媒体流则复制一个加密媒体流给终端A;
4.8、如果终端B未向云服务发送媒体流则通过云服务的终端连接模块(3)通知终端B向云服务的媒体流分发模块(5)发送加密媒体流;
4.9、终端B发送媒体流使用私钥进行国密SM2加密。
4.10、终端A接收终端B的加密媒体流,使用终端B的公钥进行国密SM2解密,获得终端B的媒体流。
步骤5、云服务的媒体流存储模块(6)接收终端存储请求在云服务的媒体流存储模块(6)上存储媒体数据,终端通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求媒体流存储,终端上文件类型(视频,音频,图片),起始时间,结束时间,使用私钥加密媒体流的数据,云服务的媒体流存储模块(6)保存为加密媒体文件。
步骤6、云服务的媒体流存储模块(6)接收终端查看与下载终端在云服务的媒体流存储模块(6)存储媒体数据。
6.1、终端A通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求终端B的存储的媒体流,携带参数为终端B的公钥路由地址,起始时间,结束时间,文件类型。
6.2、云服务的媒体流存储模块(6)对终端A的媒体流请求进行三次握手鉴权;
6.3、终端A请求终端B媒体流需要有终端B的公钥,对终端B的公钥进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥路由地址;终端A发送请求媒体流转发携带终端B的公钥路由地址;
6.4、云服务的媒体流存储模块(6)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流存储模块(6);
6.5、云服务的媒体流存储模块(6)向云服务的公钥路由模块(2)获取终端B的公钥摘要,根据终端B的公钥路由地址。使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过。
6.6、云服务的媒体流存储模块(6)返回给终端A的符合起始时间/结束时间/文件类型条件的终端B的文件列表清单,云服务的媒体流存储模块(6)提供终端B的文件的HTTP下载加密媒体文件。
6.7、终端A下载文件,使用终端B的公钥进行国密SM2解密,获得终端B的未加密媒体文件。
本发明技术方案中,执法仪用户把公钥与私钥下发终端,通过不可逆一次SM3加密生成公钥摘要与私钥摘要成对上传到云服务,满足云服务安全认证需求的同时也满足执法仪终端的媒体数据不会被云服务露。通过公钥的两次SM3加密生成的公钥路由地址与一次SM3加密生成公钥摘要与一次私钥摘要,实现基于加密算法终端识别登录与路由寻址权限文件管理权限安全机制。
利用本发明所述技术方案,或本领域的技术人员在本发明技术方案的启发下,设计出类似的技术方案,而达到上述技术效果的,均是落入本发明的保护范围。

Claims (5)

1.一种执法记录仪基于公钥路由的加密系统,其特征在于,包含:
公钥摘要生成模块(1):公钥摘要生成模块(1)独立云平台与终端,用于生成终端的公钥、私钥、公钥摘要与私钥摘要;公钥摘要与私钥摘要上传到云服务的公钥路由模块(2)用于鉴权,私钥与公钥给产生媒体流数据的终端,公钥给接收媒体流的终端;执法仪用户通过公钥摘要生成模块(1)使用国密SM生成公钥与私钥,保证公钥与私钥不泄露,对公钥进行不可逆国密SM3进行加密做为公钥摘要,对私钥进行不可逆国密SM3进行加密做为私钥摘要;执法仪用户通过公钥摘要生成模块(1)把公钥摘要与私钥摘要成对上传到云服务的公钥路由模块(2),执法仪用户通过公钥摘要生成模块(1)把公钥与私钥下发终端;
云服务的公钥路由模块(2):接收执法仪用户上传终端的公钥摘要与私钥摘要,并生成终端的公钥地址,接收云服务的终端连接模块(3)、云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6)请求,根据公钥地址返回公钥摘要与私钥摘要,接收云服务的终端连接模块(3)终端的上线消息;接收执法仪用户上传公钥摘要与私钥摘要,对公钥摘要使用国密SM3进行加密得到结果做为终端的公钥地址,终端的公钥地址在网络传送是可见,而公钥摘要做为该终端的密码;终端所用的公钥、私钥并不会让执法记录仪云服务知晓,终端发给执法记录仪云服务的加密媒体数据,云服务并不能解析里面内容,保证终端的媒体数据安全性;
云服务的终端连接模块(3):接收终端上线注册验证,并作为云服务与该终端信令通道;接收终端的认证上线请求,使用三次握手协议,终端对公钥的进行国密SM3加密得到终端的公钥摘要,对终端的公钥摘要进行国密SM3加密得到终端的公钥地址,终端首次上线携带终端公钥地址,云服务的终端注册模块返回随机码,终端使用随机码与终端的私钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串;云服务的终端注册模块接收验证串,根据终端公钥地址向云服务的公钥路由模块(2)获取该终端的私钥摘要,使用随机码与私钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端的验证串字符串比较,如果相同则验证通过;通知云服务的公钥路由模块(2)该公钥地址的终端上线;终端注册过程中,终端公钥地址在网络报文是可见的,但终端的私钥摘要是不可见的,私钥为每个终端独享,私钥摘要也只为每个终端与云服务共享,通过对终端的私钥摘要保护,避免非法终端伪造上线挤占云服务资源;
云服务的媒体流分发模块(5):云服务的媒体流分发模块(5)接收一终端请求另一终端的媒体流,通过公钥摘要验证合法性,接收终端发送的媒体流同时向终端转发媒体流;终端A通过云服务的终端连接模块(3)向云服务的媒体流分发模块(5)请求终端B转发媒体流,云服务的媒体流分发模块(5)对终端A的媒体流请求进行三次握手鉴权,终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥地址,终端A发送请求媒体流转发携带终端B的公钥地址,云服务的媒体流分发模块(5)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流分发模块(5),云服务的媒体流分发模块(5)向云服务的公钥路由模块(2)使用公钥地址获取终端B的公钥摘要,使用公钥地址获取终端B在线状态以及对应云服务的终端连接模块(3),如果终端B不在线,则终止流程,使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过;如果终端B已向云服务的媒体流分发模块(5)发送媒体流则复制一个加密媒体流给终端A,如果终端B未向云服务发送媒体流则通过云服务的终端连接模块(3)通知终端B向云服务的媒体流分发模块(5)发送加密媒体流,终端B发送媒体流使用私钥进行国密SM2加密;终端A接收终端B的加密媒体流,使用终端B的公钥进行国密SM2解密,获得终端B的媒体流;
云服务的媒体流存储模块(6):接收终端存储请求在云服务的媒体流存储模块(6)上存储媒体数据,接收终端查看其他终端在云服务的媒体流存储模块(6)存储媒体数据;终端通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求媒体流存储,储存终端上文件类型,起始时间,结束时间,媒体流的加密数据,云服务的媒体流存储模块(6)将其保存为加密媒体文件;终端A通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求终端B的存储的媒体流,请求参数为终端B的公钥地址,起始时间,结束时间,文件类型;云服务的媒体流存储模块(6)对终端A的媒体流请求进行三次握手鉴权,终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥的进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥地址,终端A发送请求媒体流转发携带终端B的公钥地址,云服务的媒体流存储模块(6)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流存储模块(6),云服务的媒体流存储模块(6)向云服务的公钥路由模块(2)根据终端B的公钥地址获取终端B的公钥摘要,使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过;云服务的媒体流存储模块(6)返回给终端A的符合起始时间、结束时间、文件类型条件的终端B的文件列表清单,云服务的媒体流存储模块(6)提供终端B的文件的HTTP下载加密媒体文件,终端A下载文件,使用终端B的公钥进行国密SM2解密,获得终端B的未加密媒体文件。
2.一种执法记录仪基于公钥路由的加密方法,其特征在于,包括如下步骤:
步骤1、由公钥摘要生成模块(1)生成公钥、私钥、公钥摘要与私钥摘要与公钥地址;
步骤2、终端使用私钥摘要与公钥地址登录云平台流程;
步骤2.1、云服务的公钥路由模块(2)接收执法仪用户上传公钥摘要与私钥摘要,对公钥摘使用国密SM3进行加密得到结果做为终端的公钥地址;
步骤2.2、终端的公钥地址在网络传送是可见,而公钥摘要做为该终端的密码;终端所用的公钥、私钥并不会让执法记录仪云服务知晓,终端发给执法记录仪云服务的加密媒体数据,云服务并不能解析里面内容,保证终端的媒体数据安全性;
步骤2.3、云服务的公钥路由模块(2)接收其他模块请求根据公钥地址返回公钥摘要与私钥摘要,接收云服务的终端连接模块(3)终端上线的消息;其中,其他模块是指云服务的终端连接模块(3)、云服务的媒体流分发模块(5)、云服务的媒体流存储模块(6);
步骤3、云服务的终端连接模块(3),接收终端上线注册验证流程;
步骤4.云服务的媒体流分发模块(5)接收一终端请求另一终端的媒体流,接收终端发送的媒体流同时向终端转发媒体流;
步骤4.1、终端A通过云服务的终端连接模块(3)向云服务的媒体流分发模块(5)请求终端B转发媒体流,云服务的媒体流分发模块(5)对终端A的媒体流请求进行三次握手鉴权;
步骤4.2、终端A需要请求终端B媒体流需要有终端B的公钥,对终端B的公钥的进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥地址,终端A发送请求媒体流转发携带终端B的公钥地址;
步骤4.3、云服务的媒体流分发模块(5)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流分发模块(5);
步骤4.4、云服务的媒体流分发模块(5)向云服务的公钥路由模块(2)根据终端B的公钥地址获取终端B的公钥摘要与终端B在线状态与所在的云服务的终端连接模块(3);
步骤4.5、如果终端B不在线,则终止流程;
步骤4.6、云服务的媒体流分发模块(5)使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过;
步骤4.7、如果终端B已向云服务的媒体流分发模块(5)发送媒体流则复制一个加密媒体流给终端A;
步骤4.8、如果终端B未向云服务发送媒体流则通过云服务的终端连接模块(3)通知终端B向云服务的媒体流分发模块(5)发送加密媒体流;
步骤4.9、终端B发送媒体流使用私钥进行国密SM2加密;
步骤4.10、终端A接收终端B的加密媒体流,使用终端B的公钥进行国密SM2解密,获得终端B的媒体流;
步骤5.云服务的媒体流存储模块(6)接收终端存储请求在云服务的媒体流存储模块(6)上存储媒体数据;终端通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求媒体流存储,储存终端上文件类型,起始时间,结束时间,使用私钥加密媒体流的数据,云服务的媒体流存储模块(6)保存为加密媒体文件;
步骤6.云服务的媒体流存储模块(6)接收终端查看与下载终端在云服务的媒体流存储模块(6)存储媒体数据。
3.根据权利要求2中所述的一种执法记录仪基于公钥路由的加密方法,其特征在于,步骤(1)中具体包括如下流程:
1.1、公钥摘要生成模块(1)独立云平台与终端,生成终端的公钥、私钥、公钥摘要与私钥摘要;
1.2、公钥摘要与私钥摘要上传到云服务的公钥路由模块(2)用于鉴权,私钥与公钥给产生媒体流数据的终端,公钥给接收媒体流的终端;
1.3、执法仪用户通过公钥摘要生成模块(1)使用国密SM2生成公钥与私钥,保证公钥与私钥不泄露;
1.4、对公钥进行不可逆国密SM3进行加密做为公钥摘要,对私钥进行不可逆国密SM3进行加密做为私钥摘要;
1.5、执法仪用户公钥摘要生成模块(1)把公钥摘要与私钥摘要成对上传到云服务的公钥路由模块(2),执法仪用户公钥摘要生成模块(1)把公钥与私钥下发终端;满足云服务安全认证需求的同时也满足执法仪终端的媒体数据不会被云服务泄露;
1.6、公钥地址为云服务的公钥路由模块(2)的公钥摘要的一次国密SM3加密得到,终端的两次国密SM3加密得到,用于作为终端的唯一标识,寻址路由。
4.根据权利要求2中所述的一种执法记录仪基于公钥路由的加密方法,其特征在于,步骤(3)中具体包括如下流程:
3.1、云服务的终端连接模块(3)接收终端的认证上线请求,使用三次握手协议;
3.2、终端对公钥的进行国密SM3加密得到终端的公钥摘要,对终端的公钥摘要进行国密SM3加密得到终端的公钥地址;
3.3、终端上线携带终端公钥地址,云服务的终端注册模块返回随机码,终端使用随机码与终端的私钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串;
3.4、云服务的终端注册模块接收验证串,根据终端公钥地址向云服务的公钥路由模块(2)获取该终端的私钥摘要,使用随机码与私钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端的验证串字符串,比较如果相同,则验证通过;
3.5、云服务的终端连接模块(3)通知云服务的公钥路由模块(2)终端上线,以公钥地址唯一标示终端;终端周期性向云服务的终端连接模块(3)发送心跳包,保持注册在线,云服务的终端连接模块(3)超过保活时间未收到终端的心跳包,云服务的公钥路由模块(2)终端下线消息,以公钥地址唯一标示终端;
3.6、终端注册过程中,终端公钥地址在网络报文是可见的,但终端的私钥摘要是不可见的,私钥为每个终端独享,私钥摘要也只为每个终端与云服务共享,通过对终端的私钥摘要保护,避免非法终端伪造上线挤占云服务资源。
5.根据权利要求2中所述的一种执法记录仪基于公钥路由的加密方法,其特征在于,步骤(6)中具体包括如下流程:
6.1、终端A通过云服务的终端连接模块(3)向云服务的媒体流存储模块(6)请求终端B的存储的媒体流,携带参数为终端B的公钥地址,起始时间,结束时间,文件类型;
6.2、云服务的媒体流存储模块(6)对终端A的媒体流请求进行三次握手鉴权;
6.3、终端A请求终端B媒体流需要有终端B的公钥,对终端B的公钥进行国密SM3加密得到终端B的公钥摘要,对终端B的公钥摘要进行国密SM3加密得到终端B的公钥地址.终端A发送请求媒体流转发携带终端B的公钥地址;
6.4、云服务的媒体流存储模块(6)返回随机码,终端A使用随机码与终端B的公钥摘要字符串合并新字符串,对新字符串进行国密SM3加密得到验证串,发送给云服务的媒体流存储模块(6);
6.5、云服务的媒体流存储模块(6)向云服务的公钥路由模块(2)获取终端B的公钥摘要,根据终端B的公钥地址,使用随机码与终端B的公钥摘要合并新字符串,对新字符串进行国密SM3加密得到服务端的验证串,服务端的验证串与终端A的验证串字符串比较,如果相同则验证通过;
6.6、云服务的媒体流存储模块(6)返回给终端A的符合起始时间、结束时间、文件类型条件的终端B的文件列表清单,云服务的媒体流存储模块(6)提供终端B的文件的HTTP下载加密媒体文件;
6.7、终端A下载文件,使用终端B的公钥进行国密SM2解密,获得终端B的未加密媒体文件。
CN202010727492.XA 2020-07-27 2020-07-27 一种执法记录仪基于公钥路由的加密系统及加密方法 Active CN111917756B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010727492.XA CN111917756B (zh) 2020-07-27 2020-07-27 一种执法记录仪基于公钥路由的加密系统及加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010727492.XA CN111917756B (zh) 2020-07-27 2020-07-27 一种执法记录仪基于公钥路由的加密系统及加密方法

Publications (2)

Publication Number Publication Date
CN111917756A CN111917756A (zh) 2020-11-10
CN111917756B true CN111917756B (zh) 2022-05-27

Family

ID=73280825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010727492.XA Active CN111917756B (zh) 2020-07-27 2020-07-27 一种执法记录仪基于公钥路由的加密系统及加密方法

Country Status (1)

Country Link
CN (1) CN111917756B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113992346B (zh) * 2021-09-16 2024-01-26 深圳市证通电子股份有限公司 一种基于国密加固的安全云桌面的实现方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656481A (zh) * 2016-10-28 2017-05-10 美的智慧家居科技有限公司 身份认证方法、装置以及系统
CN107483191A (zh) * 2017-08-16 2017-12-15 济南浪潮高新科技投资发展有限公司 一种sm2算法密钥分割签名系统及方法
CN109347826A (zh) * 2018-10-22 2019-02-15 上海七牛信息技术有限公司 一种验证方法以及系统
CN109413076A (zh) * 2018-11-06 2019-03-01 北京奇虎科技有限公司 域名解析方法及装置
CN110291754A (zh) * 2017-03-01 2019-09-27 苹果公司 使用移动设备的系统访问
CN110650113A (zh) * 2018-04-24 2020-01-03 物联智慧股份有限公司 数据加解密方法及系统与连网装置及其数据加解密方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106411B2 (en) * 2012-09-30 2015-08-11 Apple Inc. Secure escrow service
CN105141593A (zh) * 2015-08-10 2015-12-09 刘澄宇 一种私有云平台安全计算方法
US10701070B2 (en) * 2018-05-23 2020-06-30 Verum Securitas, Inc. Personalized security system
EP3809625A4 (en) * 2018-10-09 2021-09-08 Huawei Technologies Co., Ltd. CHIP, PROCESS FOR GENERATING A PRIVATE KEY AND PROCEDURE FOR TRUSTED VERIFICATION
CN109981282A (zh) * 2019-01-28 2019-07-05 平安科技(深圳)有限公司 提高影像数据传输安全的方法、装置、系统及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656481A (zh) * 2016-10-28 2017-05-10 美的智慧家居科技有限公司 身份认证方法、装置以及系统
CN110291754A (zh) * 2017-03-01 2019-09-27 苹果公司 使用移动设备的系统访问
CN107483191A (zh) * 2017-08-16 2017-12-15 济南浪潮高新科技投资发展有限公司 一种sm2算法密钥分割签名系统及方法
CN110650113A (zh) * 2018-04-24 2020-01-03 物联智慧股份有限公司 数据加解密方法及系统与连网装置及其数据加解密方法
CN109347826A (zh) * 2018-10-22 2019-02-15 上海七牛信息技术有限公司 一种验证方法以及系统
CN109413076A (zh) * 2018-11-06 2019-03-01 北京奇虎科技有限公司 域名解析方法及装置

Also Published As

Publication number Publication date
CN111917756A (zh) 2020-11-10

Similar Documents

Publication Publication Date Title
CN112887338B (zh) 一种基于ibc标识密码的身份认证方法和系统
CN105939484B (zh) 一种音视频的加密播放方法及其系统
CN108881205B (zh) 一种hls流媒体的安全播放系统及播放方法
US11824853B2 (en) Mutual secure communications
CN113225352B (zh) 一种数据传输方法、装置、电子设备及存储介质
CN107094156B (zh) 一种基于p2p模式的安全通信方法及系统
CN109218825A (zh) 一种视频加密系统
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN101702725A (zh) 一种流媒体数据传输的系统、方法及装置
CN109151508A (zh) 一种视频加密方法
CN113079022B (zh) 一种基于sm2密钥协商机制的安全传输方法和系统
CN104243439A (zh) 文件传输处理方法、系统及终端
CN111082929A (zh) 一种加密即时通讯的实现方法
CN113037478A (zh) 一种量子密匙分发系统及方法
CN116614599B (zh) 一种安全加密的视频监控方法、装置及存储介质
CN111917756B (zh) 一种执法记录仪基于公钥路由的加密系统及加密方法
CN114390524A (zh) 一键登录业务的实现方法和装置
CN112422289B (zh) 一种NB-IoT终端设备的数字证书离线安全分发方法和系统
CN112019553B (zh) 一种基于ibe/ibbe数据共享方法
CN112422563A (zh) 一种基于混合密码技术的气象数据加解密服务系统
CN112769783A (zh) 数据传输方法及云服务器、接收端和发送端
JP3621682B2 (ja) デジタル放送装置及びデジタル放送方法、デジタル放送受信装置及びデジタル放送受信方法、デジタル放送受信システム
CN111431846A (zh) 数据传输的方法、装置和系统
CN114189706B (zh) 一种媒体播放方法、系统、装置、计算机设备及存储介质
CN115065530B (zh) 一种可信数据交互方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20201110

Assignee: Hangzhou Jintou Finance Leasing Co.,Ltd.

Assignor: HANGZHOU XUJIAN SCIENCE AND TECHNOLOGY Co.,Ltd.

Contract record no.: X2022980028289

Denomination of invention: An encryption system and encryption method for law enforcement recorder based on public key routing

Granted publication date: 20220527

License type: Exclusive License

Record date: 20230112

EE01 Entry into force of recordation of patent licensing contract
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: An encryption system and encryption method for law enforcement recorder based on public key routing

Effective date of registration: 20230115

Granted publication date: 20220527

Pledgee: Hangzhou Jintou Finance Leasing Co.,Ltd.

Pledgor: HANGZHOU XUJIAN SCIENCE AND TECHNOLOGY Co.,Ltd.

Registration number: Y2023980031392

EC01 Cancellation of recordation of patent licensing contract
EC01 Cancellation of recordation of patent licensing contract

Assignee: Hangzhou Jintou Finance Leasing Co.,Ltd.

Assignor: HANGZHOU XUJIAN SCIENCE AND TECHNOLOGY Co.,Ltd.

Contract record no.: X2022980028289

Date of cancellation: 20240327

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Granted publication date: 20220527

Pledgee: Hangzhou Jintou Finance Leasing Co.,Ltd.

Pledgor: HANGZHOU XUJIAN SCIENCE AND TECHNOLOGY Co.,Ltd.

Registration number: Y2023980031392