[发明专利]一种安全音视频加密系统及终端认证实现方法

说明书

技术领域

本发明属于音视频加密及认证领域，具体涉及一种安全音视频加密系统及终端认证实现方法。

背景技术

密码设备是具有某种密码功能或能完成某种密码工作任务的设备的统称。密码设备可以分为密码设备与接口软件两大部分。密码设备是硬件密码设备的核心，是各种安全服务功能的提供者。密码设备又可以划分为硬件电路、控制软件、密码算法、底层固件等几部分，其中，硬件电路又包括接口电路、控制电路、密码运算电路、存储电路等。

实际应用中，为了维护国家安全及社会稳定，我国部署了大量安防监控系统。但是，随着现有技术的发展，视频监控系统也面临着各种威胁，安全性得不到保证，无法保证用户的良好体验。

现有视频监控系统之间存在的安全隐患：

(1)信息泄漏：视频文件被泄露和窃取造成公民合法权益被侵犯，国家秘密及商业机密被泄露；

(2)非法篡改：通过非法手段对视频信息进行伪造、替换、销毁；

(3)非法入侵：通过截取截获视频流数据和通信协议进行入侵攻击，导致系统无法正常工作，通过截获的视频数据掌握安保工作中的漏洞和薄弱点，有针对性的进行破坏活动，对国家安全和社会稳定造成了严重威胁。

发明内容

本发明提供了一种安全音视频加密系统及终端认证的实现方法，本发明通过安全音视频监控加密以及终端认证的方式，实现了音视频数据的安全传输，客户端设备之间的安全认证和密钥协商，消除了安全隐患，提高了安全性，详见下文描述：

一种安全音视频加密系统，所述加密系统包括：

安全网络摄像机，包括SD密码卡和网络摄像机；

安全网络硬盘录像机，包括智能密码钥匙和网络硬盘录像机；

安全音视频解码服务器，包括PCI-E密码卡和音视频解码服务器；

SD密码卡、智能密码钥匙和PCI-E密码卡用于实现对应设备的身份认证及对音视频数据的加解密；

网络摄像机用于实现监控加密系统中音视频信息的采集和处理；网络硬盘录像机用于实现监控加密系统中音视频信息的传输、使用和存储控制；

音视频解码服务器用于实现监控加密系统中音视频信息的解密和输出。

一种安全音视频加密系统的终端认证方法，所述终端认证方法包括：客户端认证，所述客户端认证方法包括以下步骤：

1)网络硬盘录像机读取第一身份信息与第一预存密码设备序列号列表进行比对，获取智能密码钥匙中的第二身份信息，对第一身份信息进行SM2算法验签；根据第一身份信息、当前时间信息t1和Emac，通过SM3算法进行计算，得到哈希值H2；使用SD密码卡用户公钥对签名值M1进行SM2算法的验签；使用一级分散密钥对Emac进行SM1算法加密，得到加密值E1；并用SD密码卡用户公钥对加密值E1进行SM2算法加密，得到密文Eipc_pub；

2)网络硬盘录像机根据第二身份信息、当前时间信息t2和密文Eipc_pub，通过SM3密码算法进行哈希计算，得到哈希值H3；通过智能密码钥匙的用户私钥对哈希值H3进行SM2密码算法签名，得到签名值M2；发送第二身份信息、密文Eipc_pub、时间信息t2、签名值M2和验签结果到网络摄像机；

3)网络摄像机读取第二身份信息与第二预存密码设备序列号列表进行比对，使用第一公钥对第二身份信息的签名信息进行SM2密码算法的验签；根据第一身份信息、密文Eipc_pub、时间信息t2，通过SM3密码算法进行哈希计算，得到哈希值H4；

4)网络摄像机使用第一公钥对签名值M2和哈希值H4进行SM2密码算法验签，使用SD密码卡的用户私钥，解密密文Eipc_pub，得到加密值E1，取前16字节作为工作密钥保存。

在步骤1)之前，所述方法还包括：

网络摄像机使用SD密码卡的用户私钥对哈希值H1进行SM2算法签名，得到签名值M1；发送第一身份信息、当前时间信息t1、Emac和签名值M1至网络硬盘录像机。

所述方法还包括：

网络摄像机读取SD密码卡的第一身份信息，根据第一身份信息、Emac和当前时间信息t1，通过SM3算法进行计算，得到哈希值H1。

所述第一身份信息具体为：

1)16字节长度的SD密码卡序列号；2)64字节长度的SD密码卡用户公钥；

3)64字节长度的第一公钥；4)64字节长度的第一私钥签名。

所述第二身份信息具体为：

1)16字节长度的智能密码钥匙序列号；2)64字节长度的智能密码钥匙用户公钥；