本發(fā)明屬于身份驗證系統(tǒng)領(lǐng)域,具體涉及一種基于國產(chǎn)密碼模塊的視頻加密身份驗證系統(tǒng)及實現(xiàn)方法。
背景技術(shù):
近年來,隨著信息技術(shù)的飛速發(fā)展及保密形勢的日益嚴峻,為了維護國家安全及社會穩(wěn)定,我國在各大城市、黨政機關(guān)、軍事要地及重要場所都部署了大量視頻監(jiān)控系統(tǒng),絕大多數(shù)單位都對信息安全的建設(shè)十分重視,投入巨大。但是,隨著科技進步、社會發(fā)展,信息化和網(wǎng)絡(luò)化程度提高,構(gòu)架與開放IP網(wǎng)絡(luò)的視頻監(jiān)控系統(tǒng)也同樣面臨其它網(wǎng)絡(luò)鎖面臨的各種安全威脅,各種漏洞及弊病也逐漸顯露。
現(xiàn)有視頻監(jiān)控系統(tǒng)在技術(shù)實現(xiàn)中缺乏有效的身份認證系統(tǒng)。即使目前已經(jīng)有身份驗證系統(tǒng)的也只是非常簡單的身份信息校驗,身份存在易偽造、易破解的風險,急需得到改善。
技術(shù)實現(xiàn)要素:
本發(fā)明提供了一種基于國產(chǎn)密碼模塊的視頻加密身份驗證系統(tǒng)及實現(xiàn)方法,本發(fā)明解決了視頻監(jiān)控實現(xiàn)中缺乏身份認證的缺陷,避免了視頻信息采集、傳輸、存儲和播放過程中存在身份易偽造、易破解的風險,消除了可能存在的安全隱患,詳見下文描述:
一種基于國產(chǎn)密碼模塊的視頻加密身份驗證系統(tǒng),所述視頻加密系統(tǒng)包括:第一密碼模塊、第二密碼模塊、第三密碼模塊、第四密碼模塊、音視頻采集客戶端、音視頻采集服務(wù)端、音視頻應用管理端、發(fā)卡應用管理端,
第一密碼模塊與音視頻采集客戶端相連;第二密碼模塊與音視頻采集服務(wù)端相連;第三密碼模塊與音視頻應用管理端相連;第四密碼模塊與發(fā)卡應用管理端相連;音視頻采集客戶端、音視頻采集服務(wù)端、音視頻應用管理端、發(fā)卡應用管理端通過網(wǎng)絡(luò)進行通信。
所述音視頻采集客戶端包括:第一主控制器模塊,
所述第一主控制器模塊連接第一密碼接口通信模塊、第一網(wǎng)絡(luò)通信模塊和第一電源模塊。
所述音視頻采集服務(wù)端包括:第二主控制器模塊,
所述第二主控制器模塊連接第二密碼接口通信模塊、第二網(wǎng)絡(luò)通信模塊和第二電源模塊。
一種基于國產(chǎn)密碼模塊的視頻加密身份驗證系統(tǒng)的實現(xiàn)方法,所述實現(xiàn)方法包括:第一密碼模塊、第二密碼模塊和第三密碼模塊三種身份KEY的證書下載;
其中,第一密碼模塊的身份KEY的證書下載包括以下步驟:
第一密碼模塊未綁定身份證書時,第一主控制器模塊獲取第一密碼模塊中的用戶身份確認信息及MAC地址,以及生成的臨時公私鑰對中的臨時公鑰;
當?shù)诙矸菡J證模塊驗證用戶身份確認信息正確時,第四主控制器模塊從第四密碼模塊獲取一對生成的公私鑰對;證書生成控制模塊生成數(shù)字證書;第四密碼模塊用臨時公鑰對生成的公私鑰對和數(shù)字證書進行加密;
第四主控制器模塊將加密后的公私鑰對和數(shù)字證書傳輸至第一主控制器模塊;第一主控制器模塊用第一密碼模塊將加密后的公私鑰對和數(shù)字證書解密,解密后得到公私鑰對和數(shù)字證書;第一密碼模塊將解密后公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載;
其中,第二密碼模塊的身份KEY的證書下載包括以下步驟:
第二密碼模塊未綁定身份證書時,第二主控制器模塊獲取第二密碼模塊中的管理員身份確認信息及MAC地址;以及生成的臨時公私鑰對中的臨時公鑰;當?shù)诙矸菡J證模塊驗證管理員身份確認信息正確時,第四主控制器模塊從第四密碼模塊獲取一對生成的公私鑰對;證書生成控制模塊生成數(shù)字證書;第四密碼模塊用臨時公鑰對生成的公私鑰對和數(shù)字證書進行加密;
第四主控制器模塊將加密后的公私鑰對和數(shù)字證書傳輸至第二主控制器模塊;第二主控制器模塊用第二密碼模塊將加密后的公私鑰對和數(shù)字證書解密,解密后得到公私鑰對和數(shù)字證書;第二密碼模塊將解密后公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載;
其中,第三密碼模塊的身份KEY的證書下載包括以下步驟:
第三密碼模塊未綁定身份證書時,第三主控制器模塊獲取第三密碼模塊中的操作員身份確認信息及MAC地址;以及生成的臨時公私鑰對中的臨時公鑰;當?shù)诙矸菡J證模塊驗證管理員身份確認信息正確時,第四主控制器模塊從第四密碼模塊獲取一對生成的公私鑰對;證書生成控制模塊生成數(shù)字證書;第四密碼模塊用臨時公鑰對生成的公私鑰對和數(shù)字證書進行加密;第四主控制器模塊將加密后的公私鑰對和數(shù)字證書傳輸至第三主控制器模塊;第三主控制器模塊調(diào)用第三密碼模塊將加密后的公私鑰對和數(shù)字證書解密,解密后得到公私鑰對和數(shù)字證書;第三密碼模塊將解密后公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載。
所述實現(xiàn)方法包括:第一密碼模塊對第二密碼模塊身份驗證的實現(xiàn)方法;第三密碼模塊對第二密碼模塊身份驗證的實現(xiàn)方法;第二密碼模塊對第一密碼模塊身份驗證的實現(xiàn)方法;第二密碼模塊驗證第三密碼模塊身份驗證的實現(xiàn)方法;
第一密碼模塊對第二密碼模塊身份驗證的實現(xiàn)方法包括:
第一主控制器模塊調(diào)用第一密碼模塊生成8字節(jié)隨機數(shù),并利用數(shù)字證書中的服務(wù)端公鑰對生成的8字節(jié)隨機數(shù)進行加密;第一主控制器模塊將加密后的8字節(jié)隨機數(shù)傳輸至第二主控制器模塊;第二主控制器模塊調(diào)用第二密碼模塊中的私鑰進行解密,得到解密后的新8字節(jié)隨機數(shù);
第二主控制器模塊從第二密碼模塊中采用客戶端公鑰對解密后的新8字節(jié)隨機數(shù)進行加密;第二主控制器模塊將加密后的新8字節(jié)隨機數(shù)傳輸至第一主控制器模塊;第一主控制器模塊調(diào)用第一密碼模塊對新8字節(jié)隨機數(shù)進行解密,得到解密后的新8字節(jié)隨機數(shù);當生成的8字節(jié)隨機數(shù)和解密后的新8字節(jié)隨機數(shù)一致時,第二密碼模塊身份合法;
第二密碼模塊對第一密碼模塊身份驗證的實現(xiàn)方法包括:
第一主控制器模塊調(diào)用第一密碼模塊對用戶數(shù)字證書進行簽名;第一主控制器模塊將客戶端數(shù)字證書明文和簽名后的客戶端數(shù)字證書傳輸至第二主控制器模塊;第二主控制器模塊調(diào)用第二密碼模塊利用客戶端數(shù)字證書查找到客戶端的公鑰,并利用客戶端的公鑰解密簽名的客戶端數(shù)字證書;當解密后的客戶端數(shù)字證書與明文客戶端證書一致時,第一密碼模塊身份合法。
本發(fā)明提供的技術(shù)方案的有益效果是:本發(fā)明采用基于證書的身份認證體系和商用密碼算法進行加解密操作。商用密碼模塊內(nèi)嵌包含國家密碼管理局指定SM1、SM2、SM3和SM4加密算法的密碼模塊,避免用戶身份偽造和服務(wù)器身份偽造,提高了系統(tǒng)的安全性,解決了視頻監(jiān)控實現(xiàn)過程中缺乏身份認證的缺陷,避免了視頻信息采集、傳輸、存儲和播放過程中存在身份易偽造、易破解的風險,消除了可能存在的安全隱患。
附圖說明
圖1為基于國產(chǎn)密碼模塊的視頻加密身份驗證系統(tǒng)的工作狀態(tài)示意圖;
圖2為音視頻采集客戶端的結(jié)構(gòu)示意圖;
圖3為音視頻采集服務(wù)端的結(jié)構(gòu)示意圖;
圖4為音視頻應用管理端的結(jié)構(gòu)示意圖;
圖5為發(fā)卡應用管理端的結(jié)構(gòu)示意圖;
圖6為第一密碼模塊的身份KEY的證書下載的流程圖;
圖7為第二密碼模塊的身份KEY的證書下載的流程圖;
圖8為第三密碼模塊的身份KEY的證書下載的流程圖;
圖9為第一密碼模塊對第二密碼模塊身份驗證的實現(xiàn)方法的流程圖;
圖10為第二密碼模塊對第一密碼模塊身份驗證的實現(xiàn)方法的流程圖。
附圖中,各標號所代表的部件列表如下:
1:第一密碼模塊; 2:第二密碼模塊;
3:第三密碼模塊; 4:第四密碼模塊;
5:音視頻采集客戶端; 6:音視頻采集服務(wù)端;
7:音視頻應用管理端; 8:發(fā)卡應用管理端;
51:第一主控制器模塊; 52:第一密碼接口通信模塊;
53:音視頻采集模塊; 54:第一音視頻編解碼處理模塊;
55:狀態(tài)監(jiān)控模塊; 56:第一日志模塊;
57:第一網(wǎng)絡(luò)通信模塊; 58:第一電源模塊;
61:第二主控制器模塊; 62:第二密碼接口通信模塊;
63:用戶權(quán)限控制模塊; 64:第二音視頻編解碼處理模塊;
65:存儲控制模塊; 66:第二日志模塊;
67:第二網(wǎng)絡(luò)通信模塊; 68:第二電源模塊;
71:第三主控制器模塊; 72:第三密碼接口通信模塊;
73:第一身份認證模塊; 74:第三音視頻編解碼處理模塊;
75:顯示處理模塊; 76:第三日志模塊;
77:第三網(wǎng)絡(luò)通信模塊; 78:第三電源模塊;
81:第四主控制器模塊; 82:第四密碼接口通信模塊;
83:發(fā)卡初始化處理模塊; 84:證書控制模塊;
85:第二身份認證模塊; 86:第四日志模塊;
87:第四網(wǎng)絡(luò)通信模塊; 88:第四電源模塊;
841:證書生成控制模塊; 842:證書頒發(fā)控制模塊;
843:證書存儲控制模塊; 844:作業(yè)銷毀控制模塊。
具體實施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面對本發(fā)明實施方式作進一步地詳細描述。
實施例1
一種基于國產(chǎn)密碼模塊的視頻加密身份驗證系統(tǒng),參見圖1,該視頻加密身份驗證系統(tǒng)包括:第一密碼模塊1、第二密碼模塊2、第三密碼模塊3、第四密碼模塊4、音視頻采集客戶端5、音視頻采集服務(wù)端6、音視頻應用管理端7、發(fā)卡應用管理端8。
第一密碼模塊1與音視頻采集客戶端5相連;第二密碼模塊2與音視頻采集服務(wù)端6相連;第三密碼模塊3與音視頻應用管理端7相連;第四密碼模塊4與發(fā)卡應用管理端8相連。音視頻采集客戶端5、音視頻采集服務(wù)端6、音視頻應用管理端7和發(fā)卡應用管理端8通過網(wǎng)絡(luò)進行通信。
第一密碼模塊1、第二密碼模塊2、第三密碼模塊3和第四密碼模塊4用于實現(xiàn)對應設(shè)備的身份認證及對音視頻數(shù)據(jù)的加解密。
音視頻采集客戶端5用于實現(xiàn)視頻監(jiān)控系統(tǒng)中音視頻信息的采集和處理。
音視頻采集服務(wù)端6用于實現(xiàn)視頻監(jiān)控系統(tǒng)中音視頻信息的傳輸、使用和存儲控制。
音視頻應用管理端7用于實現(xiàn)視頻監(jiān)控系統(tǒng)中音視頻信息的播放和展示。
發(fā)卡應用管理端8用于實現(xiàn)視頻監(jiān)控系統(tǒng)中第一密碼模塊1、第二密碼模塊2、第三密碼模塊3和第四密碼模塊4的身份證書頒發(fā)和管理,實現(xiàn)第一密碼模塊1、第二密碼模塊2、第三密碼模塊3和第四密碼模塊4的初始化配置。
即,本發(fā)明實施例通過上述器件實現(xiàn)了對音視頻信息的采集、傳輸、存儲、播放及加解密控制。
本發(fā)明實施例對各器件的型號除做特殊說明的以外,其他器件的型號不做限制,只要能完成上述功能的器件均可。
實施例2
對本發(fā)明實施例1中的密碼模塊進行詳細說明,詳見下文描述:
該第一密碼模塊1、第二密碼模塊2、第三密碼模塊3和第四密碼模塊4是經(jīng)過國家密碼管理局認證和型號審批的,采用的密碼算法有SM1、SM2、SM3、SM4的密碼模塊,用于產(chǎn)生隨機密鑰、存儲數(shù)字證書,還用于通過調(diào)用SM1、SM2、SM3和SM4商用密碼算法實現(xiàn)身份認證及加解密等。本發(fā)明實施例對于密碼模塊的接口不做限制,可以采用SD接口、USB接口、SPI接口或是PCI-E接口。
第一密碼模塊1作為客戶端設(shè)備身份KEY及加解密工具使用;第二密碼模塊2作為服務(wù)端設(shè)備身份KEY及加解密工具使用;第三密碼模塊3作為管理端設(shè)備身份KEY及加解密工具使用,第四密碼模塊4作為發(fā)卡管理的KEY工具使用。
本發(fā)明實施例對各器件的型號除做特殊說明的以外,其他器件的型號不做限制,只要能完成上述功能的器件均可。
實施例3
下面結(jié)合圖2對本發(fā)明實施例1中的音視頻采集客戶端5進行詳細描述,詳見下文:
音視頻采集客戶端5包括:第一主控制器模塊51、第一密碼接口通信模塊52、音視頻采集模塊53、第一音視頻編解碼處理模塊54、狀態(tài)監(jiān)控模塊55、第一日志模塊56、第一網(wǎng)絡(luò)通信模塊57和第一電源模塊58。
第一主控制器模塊51連接第一密碼接口通信模塊52、音視頻采集模塊53、第一音視頻編解碼處理模塊54、狀態(tài)監(jiān)控模塊55、第一日志模塊56、第一網(wǎng)絡(luò)通信模塊57和第一電源模塊58。
第一密碼接口通信模塊52在第一主控制器模塊51作用下在加密通信時作為接口模塊與第一密碼模塊1通信交互使用;音視頻采集模塊53在第一主控制器模塊51作用下作為音視頻采集功能模塊使用;第一音視頻編解碼處理模塊54在第一主控制器模塊51作用下作為音視頻編碼功能模塊使用;狀態(tài)監(jiān)控模塊55在第一主控制器模塊51作用下對系統(tǒng)的狀態(tài)信息進行監(jiān)控控制;第一日志控制模塊56在第一主控制器模塊51作用下在操作日志時作為功能模塊使用;第一網(wǎng)絡(luò)通信模塊57在第一主控制器模塊51作用下在網(wǎng)絡(luò)通信時作為功能模塊使用;第一電源模塊58為整個音視頻采集客戶端5供電。
本發(fā)明實施例對各器件的型號除做特殊說明的以外,其他器件的型號不做限制,只要能完成上述功能的器件均可。
實施例4
下面結(jié)合圖3對本發(fā)明實施例1中的音視頻采集服務(wù)端6進行詳細描述,詳見下文:
參見圖3,音視頻采集服務(wù)端6包括:第二主控制器模塊61、第二密碼接口通信模塊62、用戶權(quán)限控制模塊63、第二音視頻編解碼處理模塊64、存儲控制模塊65、第二日志模塊66、第二網(wǎng)絡(luò)通信模塊67和第二電源模塊68。
第二主控制器模塊51連接第二密碼接口通信模塊62、用戶權(quán)限控制模塊63、第二音視頻編解碼處理模塊64、存儲控制模塊65、第二日志模塊66、第二網(wǎng)絡(luò)通信模塊67和第二電源模塊68。
第二密碼接口通信模塊62在第二主控制器模塊61作用下在加密通信時作為接口模塊與第二密碼模塊2進行通信交互;用戶權(quán)限控制模塊63在第二主控制器模塊61作用下在用戶控制和參數(shù)配置時作為功能模塊使用;第二音視頻編解碼處理模塊64在第二主控制器模塊61作為音視頻解碼功能模塊使用;存儲控制模塊65在第二主控制器模塊61作用下作為音視頻信息存儲及控制功能模塊使用;第二日志模塊66在第二主控制器模塊61作用下在操作日志控制時作為功能模塊使用;第二網(wǎng)絡(luò)通信模塊67在第二主控制器模塊61作用下在網(wǎng)絡(luò)通信時作為功能模塊使用;第二電源模塊68為整個音視頻采集服務(wù)端6供電。
本發(fā)明實施例對各器件的型號除做特殊說明的以外,其他器件的型號不做限制,只要能完成上述功能的器件均可。
實施例5
下面結(jié)合圖4對本發(fā)明實施例1中的音視頻應用管理端7進行詳細描述,詳見下文:
參見圖4,音視頻應用管理端7包括:第三主控制器模塊71、第三密碼接口通信模塊72、第一身份認證模塊73、第三音視頻編解碼處理模塊74、顯示處理模塊75、第三日志模塊76、第三網(wǎng)絡(luò)通信模塊77和第三電源模塊78。
第三主控制器模塊71連接第三密碼接口通信模塊72、第三身份認證模塊73、第三音視頻編解碼處理模塊74、顯示處理模塊75、第三日志模塊76、第三網(wǎng)絡(luò)通信模塊77和第三電源模塊78。
第三密碼接口通信模塊72在第三主控制器模塊71作用下在加密通信時作為接口模塊與第三密碼模塊3進行通信交互;第三身份認證模塊73在第三主控制器模塊71作用下在身份認證時作為功能模塊使用;第三音視頻編解碼處理模塊74在第三主控制器模塊71作用下作為音視頻解碼功能模塊使用;顯示處理模塊75在第三主控制器模塊71作用下作為音視頻顯示播放功能模塊使用;第三日志模塊76在第三主控制器模塊71作用下在操作日志時作為功能模塊使用;第三網(wǎng)絡(luò)通信模塊77在第三主控制器模塊71作用下在網(wǎng)絡(luò)通信時作為功能模塊使用;第三電源模塊78為整個音視頻應用管理端7供電。
本發(fā)明實施例對各器件的型號除做特殊說明的以外,其他器件的型號不做限制,只要能完成上述功能的器件均可。
實施例6
下面結(jié)合圖5對本發(fā)明實施例1中的發(fā)卡應用管理端8進行詳細描述,詳見下文:
參見圖5,發(fā)卡應用管理端8包括:第四主控制器模塊81、第四密碼接口通信模塊82、發(fā)卡初始化處理模塊83、證書控制模塊84、第二身份認證模塊85、第四日志模塊86、第四網(wǎng)絡(luò)通信模塊87和第四電源模塊88。
第四主控制器模塊81連接第四密碼接口通信模塊82、發(fā)卡初始化處理模塊83、證書控制模塊84、用戶管理模塊85、第四日志模塊86、第四網(wǎng)絡(luò)通信模塊87和第四電源模塊88。
第四密碼接口通信模塊82在第四主控制器模塊81作用下在加密通信時作為接口模塊與第四密碼模塊4進行通信交互;發(fā)卡初始化處理模塊83在第四主控制器模塊81作用下在密碼模塊發(fā)卡時作為功能模塊使用;證書控制模塊84在第四主控制器模塊81作用下在證書控制時作為功能模塊使用;第二身份認證模塊85在第四主控制器模塊81作用下在身份認證時作為功能模塊使用;第四日志模塊86在第四主控制器模塊81作用下在操作日志時作為功能模塊使用;第四網(wǎng)絡(luò)通信模塊87在第四主控制器模塊81作用下在網(wǎng)絡(luò)通信時作為功能模塊使用;第四電源模塊88為整個發(fā)卡應用管理端8供電。
證書控制模塊84包括:證書生成控制模塊841、證書頒發(fā)控制模塊842、證書存儲控制模塊843和作業(yè)銷毀控制模塊844。
本發(fā)明實施例中的證書控制模塊84是基于PKI(公鑰基礎(chǔ)設(shè)施)技術(shù)設(shè)計的證書控制平臺,負責生成、頒發(fā)、存儲和銷毀數(shù)字證書。
本發(fā)明實施例對各器件的型號除做特殊說明的以外,其他器件的型號不做限制,只要能完成上述功能的器件均可。
實施例7
下面結(jié)合實施例2、3、4、5和6對本發(fā)明實施例提供的系統(tǒng)進行詳細描述,詳見下文:
第一主控制器模塊51通過第一密碼接口通信模塊52與第一密碼模塊1進行通信;第二主控制器模塊61通過第二密碼接口通信模塊62與第二密碼模塊2進行通信;第三主控制器模塊71通過第三密碼接口通信模塊72與第三密碼模塊3進行通信;第四主控制器模塊81通過第四密碼接口通信模塊82與第四密碼模塊4進行通信。
第一主控制器模塊51通過第一網(wǎng)絡(luò)通信模塊57、第二網(wǎng)絡(luò)通信模塊67與第二主控制器模塊61進行通信;第一主控制器模塊51通過第一網(wǎng)絡(luò)通信模塊57、第三網(wǎng)絡(luò)通信模塊77與第三主控制器模塊71通信;第一主控制器模塊51通過第一網(wǎng)絡(luò)通信模塊57、第四網(wǎng)絡(luò)通信模塊87與第三主控制器模塊81通信;第二主控制器模塊61通過第二網(wǎng)絡(luò)通信模塊67、第三網(wǎng)絡(luò)通信模塊77與第三主控制器模塊71通信;第二主控制器模塊51通過第二網(wǎng)絡(luò)通信模塊67、第四網(wǎng)絡(luò)通信模塊87與第四主控制器模塊81通信;第三主控制器模塊71通過第三網(wǎng)絡(luò)通信模塊77、第四網(wǎng)絡(luò)通信模塊87與第四主控制器模塊81通信。
本發(fā)明實施例對各器件的型號除做特殊說明的以外,其他器件的型號不做限制,只要能完成上述功能的器件均可。
實施例8
一種基于國產(chǎn)密碼模塊的視頻加密身份驗證的實現(xiàn)方法,參見圖1、圖2、圖3、圖4和圖5,該實現(xiàn)方法包括:證書下載的實現(xiàn)方法,其中,證書下載的實現(xiàn)方法包括:第一密碼模塊1、第二密碼模塊2和第三密碼模塊3三種身份KEY的證書下載。
其中,第一密碼模塊1的身份KEY的證書下載包括以下步驟:
第一密碼模塊1未綁定身份證書時,第一主控制器模塊51獲取第一密碼模塊1中的用戶身份確認信息及MAC地址,以及生成的臨時公私鑰對中的臨時公鑰;當?shù)诙矸菡J證模塊85驗證用戶身份確認信息正確時,第四主控制器模塊81從第四密碼模塊4獲取一對生成的公私鑰對;證書生成控制模塊841生成數(shù)字證書;第四密碼模塊4用臨時公鑰對生成的公私鑰對和數(shù)字證書進行加密;第四主控制器模塊81將加密后的公私鑰對和數(shù)字證書傳輸至第一主控制器模塊51;第一主控制器模塊51用第一密碼模塊1將加密后的公私鑰對和數(shù)字證書解密,解密后得到公私鑰對和數(shù)字證書;第一密碼模塊1將解密后公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載。
其中,第二密碼模塊2的身份KEY的證書下載包括以下步驟:
第二密碼模塊2未綁定身份證書時,第二主控制器模塊61獲取第二密碼模塊2中的管理員身份確認信息及MAC地址;以及生成的臨時公私鑰對中的臨時公鑰;當?shù)诙矸菡J證模塊85驗證管理員身份確認信息正確時,第四主控制器模塊81從第四密碼模塊4獲取一對生成的公私鑰對;證書生成控制模塊841生成數(shù)字證書;第四密碼模塊4用臨時公鑰對生成的公私鑰對和數(shù)字證書進行加密;第四主控制器模塊81將加密后的公私鑰對和數(shù)字證書傳輸至第二主控制器模塊61;第二主控制器模塊61用第二密碼模塊2將加密后的公私鑰對和數(shù)字證書解密,解密后得到公私鑰對和數(shù)字證書;第二密碼模塊2將解密后公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載。
其中,第三密碼模塊3的身份KEY的證書下載包括以下步驟:
第三密碼模塊3未綁定身份證書時,第三主控制器模塊71獲取第三密碼模塊3中的操作員身份確認信息及MAC地址;以及生成的臨時公私鑰對中的臨時公鑰;當?shù)诙矸菡J證模塊85驗證管理員身份確認信息正確時,第四主控制器模塊81從第四密碼模塊4獲取一對生成的公私鑰對;證書生成控制模塊841生成數(shù)字證書;第四密碼模塊4用臨時公鑰對生成的公私鑰對和數(shù)字證書進行加密;第四主控制器模塊81將加密后的公私鑰對和數(shù)字證書傳輸至第三主控制器模塊71;第三主控制器模塊71調(diào)用第三密碼模塊3將加密后的公私鑰對和數(shù)字證書解密,解密后得到公私鑰對和數(shù)字證書;第三密碼模塊3將解密后公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載。
即,通過上述的操作實現(xiàn)第一密碼模塊1、第二密碼模塊2和第三密碼模塊3三種身份KEY的證書下載。
實施例9
下面結(jié)合圖6、圖7和圖8對實施例7中的方案進行性詳細描述,詳見下文:
其中,參見圖6,第一密碼模塊1的身份KEY的證書下載包括以下步驟:
1)用戶在音視頻采集客戶端5插入空白的第一密碼模塊1(即作為客戶端設(shè)備身份KEY及加解密工具),并上電;
2)第一主控制器模塊51通過第一密碼接口通信模塊52檢測客戶端設(shè)備身份KEY是否插入,若未插入,提示沒有插入客戶端設(shè)備身份KEY;若插入,則查詢該第一智能密碼鑰匙1是否綁定身份KEY證書;
3)若已綁定身份證書,則第一主控制器模塊51提示已經(jīng)進行過證書下載,退出流程;若未綁定身份,第一主控制器模塊51進行告警,提示用戶進行身份證書下載;
4)第一主控制器模塊51通過第一密碼接口通信模塊52獲取第一密碼模塊1中用戶之前預植的用戶身份確認信息及MAC地址;
5)第一主控制器模塊51通過第一密碼接口通信模塊52獲取第一密碼模塊1中生成的臨時公私鑰對中的臨時公鑰(即臨時公私鑰對包括:臨時公鑰和臨時私鑰);
6)第一主控制器模塊51通過第一網(wǎng)絡(luò)通信模塊57與第四網(wǎng)絡(luò)通信模塊87將身份確認信息及MAC地址與臨時公鑰傳輸至第四主控制器模塊81;
7)第四主控制器模塊81通過調(diào)用第二身份認證模塊85驗證身份確認信息,如果正確,則執(zhí)行步驟8),否則退出流程;
8)第四主控制器模塊81通過第四密碼接口通信模塊82從第四密碼模塊4獲取一對生成的公私鑰對;
9)第四主控制器模塊81通過證書生成控制模塊841生成數(shù)字證書;
10)第四主控制器模塊81通過第四密碼模塊4用臨時公鑰,對生成的公私鑰對和數(shù)字證書進行加密;
11)第四主控制器模塊81通過第四網(wǎng)絡(luò)通信模塊87與第一網(wǎng)絡(luò)通信模塊57將加密后生成的公私鑰對和數(shù)字證書傳輸至第一主控制器模塊51;
12)第一主控制器模塊51通過第一密碼接口通信模塊52用第一密碼1將加密后生成的公私鑰對和數(shù)字證書進行解密(用臨時公私鑰對中的臨時私鑰進行解密),解密后得到生成的公私鑰對和數(shù)字證書;
13)第一密碼模塊1將解密后生成的公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載。
其中,參見圖7,第二密碼模塊2的身份KEY的證書下載包括以下步驟:
1)管理員在音視頻采集服務(wù)端6插入空白的第二密碼模塊2(即作為服務(wù)端設(shè)備身份KEY及加解密工具),并輸入用戶名、密碼登錄系統(tǒng);
2)第二主控制器模塊61通過第二密碼接口通信模塊62檢測服務(wù)端設(shè)備身份KEY是否插入,若未插入,提示沒有插入服務(wù)端設(shè)備身份KEY,若插入,則驗證用戶名和密碼;
3)用戶名和密碼驗證未通過,第二主控制器模塊61提示用戶名或密碼錯誤,若通過則第二主控制器模塊61查詢是否綁定身份KEY證書;
4)若已綁定身份證書,則第二主控制器模塊61提示已經(jīng)進行過證書下載,退出流程;;若未綁定身份,第二主控制器模塊61提示進行身份證書下載;
5)第二主控制器模塊61通過第二密碼接口通信模塊62獲取第二密碼模塊2中服務(wù)端預植的管理員身份確認信息及MAC地址;
6)第二主控制器模塊61通過第二密碼接口通信模塊62從第二密碼模塊2獲取生成的臨時公私鑰對中的臨時公鑰(即臨時公私鑰對包括:臨時公鑰和臨時私鑰);
7)第二主控制器模塊61通過第二網(wǎng)絡(luò)通信模塊67與第四網(wǎng)絡(luò)通信模塊87將管理員身份確認信息及MAC地址與臨時公鑰傳輸至第四主控制器模塊81;
8)第四主控制器模塊81通過調(diào)用第二身份認證模塊85驗證管理員身份確認信息,如果正確,則執(zhí)行步驟9),否則結(jié)束該流程;
9)第四主控制器模塊81通過第四密碼接口通信模塊82從第四密碼模塊4獲取一對生成的公私鑰對;
10)第四主控制器模塊81通過證書生成控制模塊841生成數(shù)字證書;
11)第四主控制器模塊81通過第四密碼模塊4用臨時公鑰對生成的公私鑰對和數(shù)字證書進行加密;
12)第四主控制器模塊81通過第四網(wǎng)絡(luò)通信模塊87與第二網(wǎng)絡(luò)通信模塊67將加密后的生成的公私鑰對和數(shù)字證書傳輸至第二主控制器模塊61;
13)第二主控制器模塊61通過第二密碼接口通信模塊82用第二密碼模塊2將加密后生成的公私鑰對和數(shù)字證書進行解密(用臨時公私鑰對中的臨時私鑰進行解密),解密后得到生成的公私鑰對和數(shù)字證書;
14)第二密碼模塊2將解密后生成的公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載。
其中,參見圖8,第三密碼模塊3的身份KEY的證書下載包括以下步驟:
1)操作員在音視頻應用管理端7插入空白的第三密碼模塊3(即作為管理端設(shè)備身份KEY及加解密工具),并輸入用戶名、密碼登錄系統(tǒng);
2)第三主控制器模塊71通過第三密碼接口通信模塊72檢測管理端設(shè)備身份KEY是否插入,若未插入,提示沒有插入管理端設(shè)備身份KEY,若插入,則驗證用戶名和密碼;
3)用戶名和密碼驗證未通過,第三主控制器模塊71提示用戶名或密碼錯誤,若通過則第三主控制器模塊71查詢是否綁定身份KEY證書;
4)若已綁定身份證書,則第三主控制器模塊71提示已經(jīng)進行過證書下載,退出流程;;若未綁定身份,第三主控制器模塊71提示進行身份證書下載;
5)第三主控制器模塊71通過第三密碼接口通信模塊72獲取第三密碼模塊3中管理端預植的操作員身份確認信息及MAC地址;
6)第三主控制器模塊71通過第三密碼接口通信模塊72獲取第三密碼模塊3獲取生成的臨時公私鑰對中的臨時公鑰(即臨時公私鑰對包括:臨時公鑰和臨時私鑰);
7)第三主控制器模塊71通過第三網(wǎng)絡(luò)通信模塊77與第四網(wǎng)絡(luò)通信模塊87將管理員身份確認信息及MAC地址與臨時公鑰傳輸至第四主控制器模塊81;
8)第四主控制器模塊81通過調(diào)用第二身份認證模塊85驗證管理員身份確認信息,如果正確,則執(zhí)行步驟9),否則結(jié)束該流程;
9)第四主控制器模塊81通過第四密碼接口通信模塊82從第四密碼模塊4獲取一對生成的公私鑰對;
10)第四主控制器模塊81通過證書生成控制模塊841生成數(shù)字證書;
11)第四主控制器模塊81通過第四密碼模塊4用臨時公鑰對生成的公私鑰對和數(shù)字證書進行加密;
12)第四主控制器模塊81通過第四網(wǎng)絡(luò)通信模塊87與第三網(wǎng)絡(luò)通信模塊77將加密后的生成的公私鑰對和數(shù)字證書傳輸至第三主控制器模塊61;
13)第三主控制器模塊71通過第三密碼接口通信模塊72用第三密碼模塊3將加密后生成的公私鑰對和數(shù)字證書進行解密(用臨時公私鑰對中的臨時私鑰進行解密),解密后得到生成的公私鑰對和數(shù)字證書;
14)第三內(nèi)密碼模塊3將解密后生成的公私鑰對覆蓋原有的臨時公私鑰對,將數(shù)字證書存儲,完成證書下載。
即,通過上述的操作實現(xiàn)第一密碼模塊1、第二密碼模塊2和第三密碼模塊3三種身份KEY的證書下載。
實施例10
一種基于國產(chǎn)密碼模塊的視頻加密身份驗證的實現(xiàn)方法,參見圖1、圖2、圖3、圖4和圖5,該實現(xiàn)方法包括:身份驗證的實現(xiàn)方法,其中,身份驗證的實現(xiàn)方法包括:第一密碼模塊1對第二密碼模塊2身份驗證的實現(xiàn)方法;第三密碼模塊3對第二密碼模塊2身份驗證的實現(xiàn)方法;第二密碼模塊2對第一密碼模塊1身份驗證的實現(xiàn)方法;第二密碼模塊2驗證第三密碼模塊3身份驗證的實現(xiàn)方法,詳見下文描述:
第一密碼模塊1對第二密碼模塊2身份驗證的實現(xiàn)方法具體包括以下步驟:
第一主控制器模塊51調(diào)用第一密碼模塊1生成8字節(jié)隨機數(shù),并利用數(shù)字證書中的服務(wù)端公鑰對生成的8字節(jié)隨機數(shù)進行加密;第一主控制器模塊51將加密后的8字節(jié)隨機數(shù)傳輸至第二主控制器模塊61;第二主控制器模塊61調(diào)用第二密碼模塊2中的私鑰進行解密,得到解密后的新8字節(jié)隨機數(shù);第二主控制器模塊61從第二密碼模塊2中采用客戶端公鑰對解密后的新8字節(jié)隨機數(shù)進行加密;第二主控制器模塊61將加密后的新8字節(jié)隨機數(shù)傳輸至第一主控制器模塊51;第一主控制器模塊51調(diào)用第一密碼模塊1對新8字節(jié)隨機數(shù)進行解密,得到解密后的新8字節(jié)隨機數(shù);當生成的8字節(jié)隨機數(shù)和解密后的新8字節(jié)隨機數(shù)一致時,第二密碼模塊2身份合法。
第二密碼模塊2對第一密碼模塊1身份驗證的實現(xiàn)方法具體包括以下步驟:
第一主控制器模塊51調(diào)用第一密碼模塊1對用戶數(shù)字證書進行簽名;第一主控制器模塊51將客戶端數(shù)字證書明文和簽名后的客戶端數(shù)字證書傳輸至第二主控制器模塊61;第二主控制器模塊61調(diào)用第二密碼模塊2利用客戶端數(shù)字證書查找到客戶端的公鑰,并利用客戶端的公鑰解密簽名的客戶端數(shù)字證書;當解密后的客戶端數(shù)字證書與明文客戶端證書一致時,第一密碼模塊1身份合法。
其中,第三密碼模塊3與第二密碼模塊2之間相互身份驗證的過程,同第一密碼模塊1與第二密碼模塊2之間相互身份驗證的過程完全一致,本發(fā)明實施例對第三密碼模塊3與第二密碼模塊2之間相互身份驗證的過程不再贅述。
即,通過上述的操作實現(xiàn)第一密碼模塊1和第三密碼模塊3與第二密碼模塊2之間相互身份驗證的過程。
實施例11
下面結(jié)合圖9和圖10對實施例9中的方案進行詳細描述:
其中,參見圖9,第一密碼模塊1對第二密碼模塊2身份驗證的實現(xiàn)方法具體包括以下步驟:
1)用戶在音視頻采集客戶端5插入第一密碼模塊1的用戶身份KEY;
2)第一主控制器模塊51通過第一密碼接口通信模塊52檢測客戶端設(shè)備身份KEY是否插入,若未插入,提示沒有插入客戶端設(shè)備身份KEY,繼續(xù)步驟2),若插入,則執(zhí)行下一步;
3)第一主控制器模塊51通過第一密碼接口通信模塊52調(diào)用第一密碼模塊1生成8字節(jié)隨機數(shù),并利用數(shù)字證書中的服務(wù)端公鑰對生成的8字節(jié)隨機數(shù)進行加密;
4)第一主控制器模塊51通過第一網(wǎng)絡(luò)通信模塊57與第二網(wǎng)絡(luò)通信模塊67將加密后的8字節(jié)隨機數(shù)傳輸至第二主控制器模塊61;
5)第二主控制器模塊61通過第二密碼接口通信模塊62調(diào)用第二密碼模塊2中服務(wù)端私鑰解密,得到解密后的新8字節(jié)隨機數(shù);
6)第二密碼模塊2利用客戶端公鑰對解密后的新8字節(jié)隨機數(shù)進行加密,第二主控制器模塊61通過第二密碼接口通信模塊62從第二密碼模塊2處獲取加密結(jié)果;
7)第二主控制器模塊61通過第二網(wǎng)絡(luò)通信模塊67與第一網(wǎng)絡(luò)通信模塊57將加密后的新8字節(jié)隨機數(shù)傳輸至第一主控制器模塊51;
8)第一主控制器模塊51通過第一密碼接口通信模塊52調(diào)用第一密碼模塊1對新8字節(jié)隨機數(shù)進行解密,得到解密后的新8字節(jié)隨機數(shù);
9)第一密碼模塊1判定生成的8字節(jié)隨機數(shù)和解密后的新8字節(jié)隨機數(shù)是否一致,如果一致,則第二密碼模塊2身份合法,否則第二密碼模塊2身份非法。
其中,參見圖10,第二密碼模塊2對第一密碼模塊1身份驗證的實現(xiàn)方法具體包括以下步驟:
1)用戶在音視頻采集客戶端5插入第一密碼模塊1的客戶端身份KEY;
2)第一主控制器模塊51通過第一密碼接口通信模塊52檢測客戶端設(shè)備身份KEY是否插入,若未插入,提示沒有插入客戶端設(shè)備身份KEY,繼續(xù)步驟2),若插入,則執(zhí)行下一步;
3)第一主控制器模塊51通過第一密碼接口通信模塊52調(diào)用第一密碼模塊1對客戶端數(shù)字證書進行簽名;
4)第一主控制器模塊51通過第一網(wǎng)絡(luò)通信模塊57與第二網(wǎng)絡(luò)通信模塊67將客戶端數(shù)字證書明文和簽名后的客戶端數(shù)字證書傳輸至第二主控制器模塊61;
5)第二主控制器模塊61通過第二密碼接口通信模塊62調(diào)用第二密碼模塊2利用客戶端數(shù)字證書查找到客戶端的公鑰,并利用客戶端的公鑰解密簽名的客戶端數(shù)字證書;
6)第二密碼模塊2將解密后的客戶端數(shù)字證書與明文客戶端證書比對,如果一致,則第一密碼模塊1身份合法,否則第一密碼模塊1非法。
本發(fā)明實施例中,第三密碼模塊3與第二密碼模塊2之間的身份驗證的實現(xiàn)方法、與第一密碼模塊1與第二密碼模塊2之間的身份驗證的實現(xiàn)方法原理是類似的,在此對第三密碼模塊3與第二密碼模塊2之間的身份驗證的詳細過程不在贅述。
本發(fā)明實施例對各器件的型號除做特殊說明的以外,其他器件的型號不做限制,只要能完成上述功能的器件均可。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖,上述本發(fā)明實施例序號僅僅為了描述,不代表實施例的優(yōu)劣。
以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)。