CN112449143A - 一种安全视频的实现方法及实现系统 - Google Patents

Abstract

本发明提供了一种安全视频的实现方法及实现系统，所述方法包括：启动视频会议设备，TCM芯片身份验证，对北斗通信单元度量；BIOS获得视频会议设备操作系统控制权，对可信BIOS各阶段代码进行完整性度量，对视频会议设备各硬件标识及其只读存储器完整性度量；对操作系统引导代码执行完整性度量；对操作系统内核文件进完整性度量；启动可信运行控制软件，对可信应用软件、数据库进行完整性度量和可信运行控制；执行视频会议软件，提供关键应用文件完整性保护，文件加密封装、信任链更新、用户管理功能；基于SM2公钥加密形式进行主控端和客户端的数据通信。本发明通过非对称加密方式处理会议通信数据，满足网络通信中的保密通信要求。

Description

一种安全视频的实现方法及实现系统

技术领域

本发明涉及会议保密技术领域，具体而言，涉及一种安全视频的实现方法及实现系统。

背景技术

随着信息技术的发展，远程办公及远程会议的应用越来越广泛，尤其受疫情影响之下，世界各国开始进入“云办公”模式，在线复工、远程教学、视频会议蔚然成风，因此，视频会议的应用和推广受到了前所未有的关注。视频会议，顾名思义，是指两个或两个以上不同地方的个人或者群体，通过视频进行及时且互动的沟通，来完成会议目的。它是一种典型的音视频实时通信方式： 在通信的发送端，将图像和声音信号转换成数字信号，在接收端重现视觉、听觉可获取的信息，与电话会议相比，具有直观性强、信息量大等特点。随着该技术的推广，其带来安全漏洞越来越明显，比如参会人员身份被冒用带来的信息泄露问题，再比如实时录制、存储视频会议内容遭遇不法分子的窃取和篡改，尤其严重的是在远程会议过程中，黑客通过网络对数据进行窃取，将给军事应用和安全保密工作带来极大的危险。

发明内容

鉴于此，本发明针对视频会议设备的身份认证及信息传输安全的要求，基于国产最新的FT-2000/4处理器进行研制，集成国产TCM芯片及北斗通信模块，最大限度保证了信息安全。TCM是可信计算平台的简称，其概念由国家密码管理局提出，其是构建在计算系统中，用于实现可信计算功能的支撑系统。该技术包括密码算法、密钥管理、证书管理、密码协议、密码服务等内容，为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。该便携式安全视频会议设备，通过TCM芯片实现智能卡的身份认证，实现对BIOS、关键硬件、操作系统内核和可信应用的主动度量，全方位实现信任链传递，在远程通信方面，以国密SM2算法为核心的非对称加密技术最大限度保证了信息传输安全。应用于会议保密领域，可以有效降低通过身份冒用进行违规登陆和数据传输过程中被窃取的风险。

本发明提供一种安全视频的实现方法，其特征在于，包括以下步骤：

S1、启动视频会议设备，首先完成TCM、蜂鸣器及读卡器相关电路上电，TCM芯片对智能卡进行身份验证，验证成功则对北斗通信单元的硬件电路进行上电，并进行S2步骤，失败则蜂鸣器报警；

S2、TCM对北斗通信单元进行可信度量，度量成功则对BIOS相关电路进行上电并继续S3步骤，失败则蜂鸣器报警、记录度量日志并停止上电；

S3、TCM对BIOS进行完整性度量，度量成功则完成会议设备所有硬件上电并继续S4步骤，失败则记录度量日志并将错误代码及设备地址通过北斗短报文上报会议发起端；

S4、BIOS获得视频会议设备的系统控制权，对可信BIOS各阶段代码进行完整性度量，同时对所述视频会议设备的摄像头、音频装置等关键硬件标识及其ROM进行完整性度量，度量结果通过则继续S5步骤，度量结果错误则执行预定策略恢复或者终止，同时将错误代码及设备地址通过北斗短报文上报会议发起端；

S5、BIOS对操作系统的引导代码执行完整性度量，度量结果通过则继续S6步骤，度量结果错误则执行预定策略恢复或终止，同时记录度量日志，并将错误代码及设备地址通过北斗短报文上报会议发起端；

S6、所述操作系统经引导代码获得所述视频会议设备控制权后，对所述操作系统的内核文件进行完整性度量，度量结果则通过继续S7步骤，度量结果错误则执行预定策略恢复或终止，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S7、对可信软件栈、可信运行控制软件进行完整性度量，度量结果通过则正常启动操作系统，继续S8步骤；度量结果错误则操作系统引导代码按照预定策略停止启动或者恢复，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S8、启动可信运行控制软件，对可信应用软件、数据库进行完整性度量和可信运行控制；所述可信应用软件包括视频会议软件，度量结果错误则按照预定策略停止启动或者恢复，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S9、启动可信应用软件，执行视频会议软件，提供关键应用文件完整性保护，文件加密封装、信任链更新、用户管理功能；

S10、基于SM2公钥加密形式进行数据加密通信；

S11、会议发起端解析终端会议设备的启动错误代码及地址信息并通过界面向会议发起人进行报警，若各环节顺利通过则显示参加会议设备列表。

进一步地，所述S10步骤的所述基于SM2公钥加密形式的加密过程包括：

产生随机数k∈[1,n-1]；

计算椭圆曲线点C1=[k]G=(x1,y1)；

计算S=[h]PB，若S为无穷远点则报错并退出，h为余因子，该处取1；

计算点[k] PB=(x2,y2)；

计算t=KDF(x2 ||y2,len)，若t全为0，则返回1重新产生随机数k；

计算C2=M⊕t；

计算C3=H256 (x2 ||M||y2)；

输出密文C=C1 ||C2 ||C3。

进一步地，所述S10步骤的所述基于SM2公钥加密形式的解密过程包括：

从密文取出C1，验证C1是否满足椭圆曲线方程，若不满足报错并退出；

计算点S=[h]C1，若S为无穷远点则报错退出；

计算[dB]C1=(x2,y2)；

计算t=KDF(x2 ||y2,len)；

计算M=C2⊕t；

计算u=H256 (x2 ||M||y2)，如u≠C3，报错退出；

明文输出M。

进一步地，所述S10步骤中，所述SM2公钥加密形式的SM2算法的私钥解密过程中还计算了消息的杂凑值以验证消息的完整性，当u＝C3时，则解密出来的消息未被篡改。

本发明还提供如上述所述的安全视频的实现方法的实现系统，包括：

身份验证模块：用于对智能卡进行身份验证；

完整性度量模块：用于对可信BIOS各阶段代码进行完整性度量，对视频会议设备各硬件标识及其ROM进行完整性度量，对操作系统引导代码进行完整性度量；对操作系统的内核文件进行完整性度量；对可信软件栈、可信运行控制软件进行完整性度量；

可信运行控制模块：用于可信应用软件、数据库进行可信运行控制；

加密模块：用于基于SM2公钥加密形式进行数据加密；

远程通信模块：用于数据的远程通信。

进一步地，所述身份验证模块包括TCM芯片、插槽型读卡器，所述插槽型读卡器通过集成电路总线（Inter－Integrated Circuit，I2C）总线接入TCM芯片。

进一步地，所述远程通信模块包括WIFI单元、4G/3G通讯模块、北斗通信单元以及网络接口。

所述 BIOS采用国产自主可信BIOS，基于TCM驱动，在各个阶段加入度量引擎、BIOS恢复引擎来完成各阶段的度量，通过完整性度量、比对验证、扩展度量值、存储度量日志实现可信BIOS信任链的传递；

所述操作系统采用基于统一可扩展固件接口（Unified Extensible FirmwareInterface，UEFI）定制麒麟操作系统，该系统运行过程中提供可信运行控制等安全可信功能，满足项目中关于基本功能、可信运行控制功能等指标要求。

所述可信运行控制软件是经过操作系统白名单授权的视频会议及其他各种应用软件及数据库。

所述视频会议设备采用平板电脑形态，提供触屏操作模式，整机架构基于国产最新的FT-2000/4处理器为核心进行研制，设备集成智能卡读卡器、WIFI模块、北斗/GPS定位模块、4G/3G通讯模块、音视频模块、网络/USB接口模块等单元，满足日常应用、网路通讯及视频会议要求。在主板层面上，基于TCM芯片实现主动度量电路设计，通过电子开关实现度量成功后控制权由TCM到CPU的切换。

可信信任链以TCM芯片为信任根，调用TCM可信密码算法依次实现北斗通信单元、BIOS、各启动硬件、操作系统内核、操作系统核心文件、可信软件栈、可信运行控制软件、可信应用软件和用户关键应用文件（可信白名单、信任链更新）等软硬件内容的完整性验证度量，在TCM或电子盘中存储度量结果，并记录事件日志，同时建立各阶段度量失败时的恢复机制、用户可信认证机制。远程通信方面，提供基于国密SM2的非对称加解密功能。

所述可信应用软件基于可信软件基和可信软件服务提供的编程接口，通过在内核层设计可信控制组件实现平台的安全可信，用户通过web管理功能可进行相应配置。

所述视频会议软件为定制安全视频会议软件，通过可信应用软件白名单对其进行管控。

与现有技术相比，本发明的有益效果是：

在硬件方面，采用国产飞腾处理器、国产安全芯片、北斗系统和国产智能卡等核心部件，在软件方面使用国产BIOS、国产麒麟操作系统、国产应用软件，以高国产率方案实现信息安全；FT-2000/4处理器兼容64位ARMv8指令集，可适配大量安卓软件，易于搭建生态系统；以TCM芯片为信任根认证智能卡信息以确保身份识别安全，通过主动度量技术防止BIOS被恶意篡改和关键硬件被随意更换，通过对操作系统内核、可信应用软件的主动度量使得信任逐级传递，进而搭建一套自下而上的高安全性、高完整性和高可靠性的可信应用环境；采用合理的度量机制，首先完成北斗通信单元的可信度量，为后续度量失败的短报文上报提供硬件支持；合理设计上电时序机制，采用度量到哪步则上电到哪步的方式，在节省电源消耗的同时进一步降低未度量单元被非法攻击的可能性；通过非对称加密方式处理会议通信数据，满足网络通信中的保密通信要求。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。

在附图中：

图1是本发明一种飞腾便携式安全视频的方法的流程图；

图2为本发明实施例的系统框架图；

图3为本发明实施例的安全认证、启动及度量机制流程图；

图4为本发明实施例的加解密过程流程图；

图5 为本发明实施例的加密过程流程图；

图6为本发明实施例的解密过程流程图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本发明实施例提供一种安全视频的实现方法及实现系统，该设备以最新的国产FT-2000/4处理器为核心，集成国产安全芯片、北斗系统和国产智能卡等核心部件，在软件方面使用国产BIOS、国产麒麟操作系统、国产应用软件等高安全方案，在通信方面，使用基于SM2非对称加密算法实现远程通信安全，从而搭建了一套自下而上的高安全性、高完整性和高可靠性的可信应用环境，该设备适用于国防和涉密办公会议等多种场景应用。参阅图1所示，包括以下步骤：

本发明提供一种安全视频的实现方法，其特征在于，包括以下步骤：

S1、启动视频会议设备，首先完成TCM、蜂鸣器及读卡器相关电路上电，TCM芯片对智能卡进行身份验证，验证成功则对北斗通信单元的硬件电路进行上电，并进行S2步骤，失败则蜂鸣器报警；

S2、TCM对北斗通信单元进行可信度量，度量成功则对BIOS相关电路进行上电并继续S3步骤，失败则蜂鸣器报警、记录度量日志并停止上电；

S3、TCM对BIOS进行完整性度量，度量成功则完成会议设备所有硬件上电并继续S4步骤，失败则记录度量日志并将错误代码及设备地址通过北斗短报文上报会议发起端；

S4、BIOS获得视频会议设备的系统控制权，对可信BIOS各阶段代码进行完整性度量，同时对所述视频会议设备的摄像头、音频装置等关键硬件标识及其ROM进行完整性度量，度量结果通过则继续S5步骤，度量结果错误则执行预定策略恢复或者终止，同时将错误代码及设备地址通过北斗短报文上报会议发起端；

S5、BIOS对操作系统的引导代码执行完整性度量，度量结果通过则继续S6步骤，度量结果错误则执行预定策略恢复或终止，同时记录度量日志，并将错误代码及设备地址通过北斗短报文上报会议发起端；

S6、所述操作系统经引导代码获得所述视频会议设备控制权后，对所述操作系统的内核文件进行完整性度量，度量结果通过则继续S7步骤，度量结果错误则执行预定策略恢复或终止，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S7、对可信软件栈、可信运行控制软件进行完整性度量，度量结果通过则正常启动操作系统，继续S8步骤；度量结果错误则操作系统引导代码按照预定策略停止启动或者恢复，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S8、启动可信运行控制软件，对可信应用软件、数据库进行完整性度量和可信运行控制；所述可信应用软件包括视频会议软件，度量结果错误则按照预定策略停止启动或者恢复，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S9、启动可信应用软件，执行视频会议软件，提供关键应用文件完整性保护，文件加密封装、信任链更新、用户管理功能；

S10、基于SM2公钥加密形式进行数据加密通信；

S11、会议发起端解析终端会议设备的启动错误代码及地址信息并通过界面向会议发起人进行报警，若各环节顺利通过则显示参加会议设备列表。

所述S10步骤中，所述SM2公钥加密形式的SM2算法的私钥解密过程中还计算了消息的杂凑值以验证消息的完整性，当u＝C3时，则解密出来的消息未被篡改。

本发明还提供如上述所述的安全视频的实现方法的实现系统，包括：

身份验证模块：用于对智能卡进行身份验证；

完整性度量模块：用于对可信BIOS各阶段代码进行完整性度量，对视频会议设备各硬件标识及其ROM进行完整性度量，对操作系统引导代码进行完整性度量；对操作系统的内核文件进行完整性度量；对可信软件栈、可信运行控制软件进行完整性度量；

可信运行控制模块：用于可信应用软件、数据库进行可信运行控制；

加密模块：用于基于SM2公钥加密形式进行数据加密；

远程通信模块：用于数据的远程通信。

所述身份验证模块包括TCM芯片、插槽型读卡器，所述插槽型读卡器通过I2C总线接入TCM芯片。

所述远程通信模块包括WIFI单元、4G/3G通讯模块以及网络接口。

所述 BIOS采用国产自主可信BIOS，基于TCM驱动，在各个阶段加入度量引擎、BIOS恢复引擎来完成各阶段的度量，通过完整性度量、比对验证、扩展度量值、存储度量日志实现可信BIOS信任链的传递；

所述操作系统采用基于UEFI定制麒麟操作系统，该系统运行过程中提供可信运行控制等安全可信功能，满足项目中关于基本功能、可信运行控制功能等指标要求。

所述可信运行控制软件是经过操作系统白名单授权的视频会议及其他各种应用软件及数据库。

所述视频会议设备采用平板电脑形态，提供触屏操作模式，整机架构基于国产最新的FT-2000/4处理器为核心进行研制，设备集成智能卡读卡器、WIFI模块、北斗/GPS定位模块、4G/3G通讯模块、音视频模块、网络/USB接口模块等单元，满足日常应用、网路通讯及视频会议要求。在主板层面上，基于TCM芯片实现主动度量电路设计，通过电子开关实现度量成功后控制权由TCM到CPU的切换。

可信信任链以TCM芯片为信任根，调用TCM可信密码算法依次实现北斗通信单元、BIOS、各关键硬件、操作系统内核、操作系统核心文件、可信软件栈、可信运行控制软件、可信应用软件和用户关键应用文件（可信白名单、信任链更新）等软硬件内容的完整性验证度量，在TCM或电子盘中存储度量结果，并记录事件日志，同时建立各阶段度量失败时的恢复机制、用户可信认证机制。远程通信方面，提供基于国密SM2的非对称加解密功能。

所述可信应用软件基于可信软件基和可信软件服务提供的编程接口，通过在内核层设计可信控制组件实现平台的安全可信，用户通过web管理功能可进行相应配置。

所述视频会议软件为定制安全视频会议软件，通过可信应用软件白名单对其进行管控。

本发明实施例中，参看图2所示，基于FT-2000/4处理器的飞腾主板是本设备的核心部件，向整机其他模块提供硬件接口，插槽型读卡器通过I2C总线接入TCM芯片，如果未插入任何智能卡，则该设备无法正常启动，当插入智能卡并认证为已注册账户后，该设备进入正常启动环节；WIFI模块、4G/3G通讯模块以及网络/USB接口单元中的网络接口提供远程数据通信服务，其通讯数据需要CPU调用TCM芯片中的非对称加密算法进行处理，保证了远程通讯安全；北斗/GPS定位系统提供定位服务，在进行视频会议时管理员可实时查该终端的位置；音视频接口提供高清摄像和音频服务功能，是视频会议的关键部件；触屏装置提供人机界面服务；智能电池管理系统提供智能供电和节能服务，延长该设备的使用时间。

安全认证、启动及度量机制参看图3所示：

1）点击设备启动按钮，TCM芯片和读卡器先于视频会议设备其它部件启动，TCM芯片对读卡器内智能卡进行身份验证，若验证成功则TCM继续作为可信度量根和信任链的起点对北斗通信单元及可信BIOS MINI初始化代码执行完整性度量，完成对可信BIOS的主动度量验证，完整性验证成功执行，否则进行恢复，同时记录度量日志并将错误代码及设备地址通过北斗短报文上报会议发起端；

2）BIOS获得系统控制权，对可信BIOS各阶段代码进行完整性度量，同时对视频会议设备各硬件（网卡、音视频设备和硬盘等）标识及其ROM进行完整性度量。如果完整性验证成功，则执行，否则执行预定策略恢复或者终止，同时记录度量日志并将错误代码及设备地址通过北斗短报文上报会议发起端；

3）BIOS对操作系统引导代码执行完整性度量，完整性验证成功执行，否则执行预定策略恢复或者终止，同时记录度量日志并将错误代码及设备地址通过北斗短报文上报会议发起端；

4）操作系统引导代码获得该设备控制权后，首先对操作系统内核文件进行完整性度量，在度量结果正确的前提下，继续对可信软件栈、可信运行控制软件进行完整性度量，如果度量通过，则正常启动操作系统；如果对操作系统内核文件、可信软件栈和可信运行控制软件的度量结果是错误的，操作系统引导代码按照预定策略停止启动或者恢复，同时记录度量日志并将错误代码及设备地址通过北斗短报文上报会议发起端；

5）可信运行控制软件启动后，对视频会议等可信应用软件、数据库等关键软件服务进行完整性度量和可信运行控制，度量失败则按照预定策略停止启动或者恢复，同时记录度量日志并将错误代码及设备地址通过北斗短报文上报会议发起端；

6）可信应用软件启动以后执行视频会议等软件功能，提供关键应用文件完整性保护，文件加密封装、信任链更新、用户管理等功能。

主控端和客户端采用基于SM2公钥加密形式进行数据通信以防止视频会议信息被窃取。该方式用公钥加密明文生成密文，用私钥解密密文获取明文，以主控端作为发送方（标号为A），客户端作为接收方（标号为B）为例，A要把数据加密后发送给B，则A需要获取B的公钥P_B，B持有自身私钥 d_(B )。加解密过程如图4所示，主控端A用客户端B的公钥P_B加密明文M，将生成的密文C发送给客户端B，B通过自身保存的私钥d_B进行解密操作，还原出明文M供客户端应用软件进行处理。若客户端B向主控端A发送信息，则过程反之即可。

加密过程参看图5，其中M为需要加密的消息，len为消息长度，过程如下：

产生随机数k∈[1,n-1]；

计算椭圆曲线点C1=[k]G=(x1,y1)；

计算S=[h]PB，若S为无穷远点则报错并退出，h为余因子，该处取1；

计算点[k] PB=(x2,y2)；

计算t=KDF(x2 ||y2,len)，若t全为0，则返回1重新产生随机数k；

计算C2=M⊕t；

计算C3=H256 (x2 ||M||y2)；

输出密文C=C1 ||C2 ||C3。

解密过程参看图6，过程如下：

从密文取出C1，验证C1是否满足椭圆曲线方程，若不满足报错并退出；

计算点S=[h]C1，若S为无穷远点则报错退出；

计算[dB]C1=(x2,y2)；

计算t=KDF(x2 ||y2,len)；

计算M=C2⊕t；

计算u=H256 (x2 ||M||y2)，如u≠C3，报错退出；

明文输出M。

SM2算法较椭圆曲线算法计算量更大，因而更加安全可靠，同时，SM2私钥解密过程中还计算了消息的杂凑值，验证消息的完整性，有效防止中间者的攻击，当u＝C3时，则解密出来的消息未被篡改。

与现有技术相比，本发明的有益效果是：

在硬件方面，采用国产飞腾处理器、国产安全芯片、北斗系统和国产智能卡等核心部件，在软件方面使用国产BIOS、国产麒麟操作系统、国产应用软件，以高国产率方案实现信息安全；FT-2000/4处理器兼容64位ARMv8指令集，可适配大量安卓软件，易于搭建生态系统；以TCM芯片为信任根认证智能卡信息以确保身份识别安全，通过主动度量技术防止BIOS被恶意篡改和关键硬件被随意更换，通过对操作系统内核、可信应用软件的主动度量使得信任逐级传递，进而搭建一套自下而上的高安全性、高完整性和高可靠性的可信应用环境；通过非对称加密方式处理会议通信数据，满足网络通信中的保密通信要求。

至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下，本领域技术人员可以对相关技术特征做出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

以上所述仅为本发明的优选实施例，并不用于限制本发明；对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种安全视频的实现方法，其特征在于，包括以下步骤：

S1、启动视频会议设备，首先完成TCM、蜂鸣器及读卡器相关电路上电，TCM芯片对智能卡进行身份验证，验证成功则对北斗通信单元的硬件电路进行上电，并进行S2步骤，失败则蜂鸣器报警；

S2、TCM对北斗通信单元进行可信度量，度量成功则对BIOS相关电路进行上电并继续S3步骤，失败则蜂鸣器报警、记录度量日志并停止上电；

S3、TCM对BIOS进行完整性度量，度量成功则完成会议设备所有硬件上电并继续S4步骤，失败则记录度量日志并将错误代码及设备地址通过北斗短报文上报会议发起端；

S4、BIOS获得视频会议设备的系统控制权，对可信BIOS各阶段代码进行完整性度量，同时对所述视频会议设备的摄像头、音频装置等关键硬件标识及其ROM进行完整性度量，度量结果通过则继续S5步骤，度量结果错误则执行预定策略恢复或者终止，同时将错误代码及设备地址通过北斗短报文上报会议发起端；

S5、BIOS对操作系统的引导代码执行完整性度量，度量结果通过则继续S6步骤，度量结果错误则执行预定策略恢复或终止，同时记录度量日志，并将错误代码及设备地址通过北斗短报文上报会议发起端；

S6、所述操作系统经引导代码获得所述视频会议设备控制权后，对所述操作系统的内核文件进行完整性度量，度量结果通过则继续S7步骤，度量结果错误则执行预定策略恢复或终止，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S7、对可信软件栈、可信运行控制软件进行完整性度量，度量结果通过则正常启动操作系统，继续S8步骤；度量结果错误则操作系统引导代码按照预定策略停止启动或者恢复，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S8、启动可信运行控制软件，对可信应用软件、数据库进行完整性度量和可信运行控制；所述可信应用软件包括视频会议软件，度量结果错误则按照预定策略停止启动或者恢复，同时记录度量日志，并将错误代码及设备地址上报会议发起端；

S9、启动可信应用软件，执行视频会议软件，提供关键应用文件完整性保护，文件加密封装、信任链更新、用户管理功能；

S10、基于SM2公钥加密形式进行数据加密通信；

S11、会议发起端解析终端会议设备的启动错误代码及地址信息并通过界面向会议发起人进行报警，若各环节顺利通过则显示参加会议设备列表。

2.根据权利要求1所述的实现方法，其特征在于，所述S8步骤的所述基于SM2公钥加密形式的加密过程包括：

产生随机数k∈[1,n-1]；

计算椭圆曲线点C1=[k]G=(x1,y1)；

计算S=[h]PB，若S为无穷远点则报错并退出，h为余因子，该处取1；

计算点[k] PB=(x2,y2)；

计算t=KDF(x2 ||y2,len)，若t全为0，则返回1重新产生随机数k；

计算C2=M⊕t；

计算C3=H256 (x2 ||M||y2)；

输出密文C=C1 ||C2 ||C3。

3.根据权利要求1所述的实现方法，其特征在于，所述S8步骤的所述基于SM2公钥加密形式的解密过程包括：

从密文取出C1，验证C1是否满足椭圆曲线方程，若不满足报错并退出；

计算点S=[h]C1，若S为无穷远点则报错退出；

计算[dB]C1=(x2,y2)；

计算t=KDF(x2 ||y2,len)；

计算M=C2⊕t；

计算u=H256 (x2 ||M||y2)，如u≠C3，报错退出；

明文输出M。

4.根据权利要求1所述的实现方法，其特征在于，所述S10步骤中，所述SM2公钥加密形式的SM2算法的私钥解密过程中还计算了消息的杂凑值以验证消息的完整性，当u＝C3时，则解密出来的消息未被篡改。

5.如权利要求1-4任一项所述的安全视频的实现方法的实现系统，其特征在于，包括：

身份验证模块：用于对智能卡进行身份验证；

完整性度量模块：用于对北斗通信单元的可信度量，可信BIOS各阶段代码进行完整性度量，对视频会议设备各硬件标识及其ROM进行完整性度量，对操作系统引导代码进行完整性度量；对操作系统的内核文件进行完整性度量；对可信软件栈、可信运行控制软件进行完整性度量；

可信运行控制模块：用于可信应用软件、数据库进行可信运行控制；

加密模块：用于基于SM2公钥加密形式进行数据加密；

远程通信模块：用于数据的远程通信。

6.根据权利要求5所述的实现系统，其特征在于，所述身份验证模块包括TCM芯片、插槽型读卡器，所述插槽型读卡器通过集成电路总线I2C接入TCM芯片。

7.根据权利要求5所述的实现系统，其特征在于，所述远程通信模块包括WIFI单元、4G/3G通讯模块以及网络接口。

Images