一种视频终端身份认证系统技术方案

本发明专利技术公开了一种视频终端身份认证系统，其中，包括：CA系统、转发服务器以及加密机；CA系统用于进行数字证书签发和管理，加密机用于对CA系统调用生成密钥和保护私钥；其中，转发服务器能够根据摄像机的请求产生随机数，并发送给请求摄像机；摄像头能够利用私钥对该随机数进行数字签名并产生签名值；CA服务器使用CA根证书信息对摄像头的签名值结果和证书信息进行信任认证；转发服务器使用证书公钥对签名值进行解密，将解密的结果跟原随机数进行比对，进行随机数验证；转发服务器对证书信息进行解析，并对数字证书的唯一信息身份字段进行解析，进行证书唯一性认证。

A video terminal identity authentication system

The invention discloses a video terminal authentication system, which include: CA, forwarding server and encryption machine; CA system used for digital certificate issuance and management, encryption machine for CA system call key generation and protect the private key; the forwarding server can generate a random number according to the camera's request, and send to request camera; camera capable of using a private key to digitally sign the random number and signature value; the CA server use the CA information on camera root certificate signature value results and information trust certificate authentication; forwarding server certificate public key to decrypt the signature value, the decryption results were compared with the original random number, random the number of verification; forwarding server parses the certificate information, and the only information ID field the digital certificate analysis Certificate uniqueness authentication.

【技术实现步骤摘要】
一种视频终端身份认证系统
本专利技术属于网络安全
，特别涉及一种视频终端身份认证系统。
技术介绍
目前用户在登陆应用系统过程中通常使用用户名密码口令的方式进行用户的身份和授权操作权限，简单的用户名和口令的模式存在一定的业务风险。
技术实现思路
本专利技术的目的在于提供一种基于插件架构的主机监控系统，用于解决上述现有技术的问题。本专利技术一种视频终端身份认证系统，其中，包括：CA系统、转发服务器以及加密机；CA系统用于进行数字证书签发和管理，加密机用于对CA系统调用生成密钥和保护私钥；其中，转发服务器能够根据摄像机的请求产生随机数，并发送给请求摄像机；摄像头能够利用私钥对该随机数进行数字签名并产生签名值；CA服务器使用CA根证书信息对摄像头的签名值结果和证书信息进行信任认证；转发服务器使用证书公钥对签名值进行解密，将解密的结果跟原随机数进行比对，进行随机数验证；转发服务器对证书信息进行解析，并对数字证书的唯一信息身份字段进行解析，进行证书唯一性认证。根据本专利技术的视频终端身份认证系统的一实施例，其中，还包括：屏幕，用于对验证合法的的视频进行显示。根据本专利技术的视频终端身份认证系统的一实施例，其中，摄像头驱动USBKey进行基于用户名和密码机制的登录入网并根据USBKey序列号指定其唯一ID。根据本专利技术的视频终端身份认证系统的一实施例，其中，该随机数为128位随机数。根据本专利技术的视频终端身份认证系统的一实施例，其中，进行证书唯一性认证包括：转发服务器对证书信息进行解析，并对证书的唯一信息身份字段进行解析，解析后与摄像机ID进行比对，若比对成功则证书唯一身份信息验证通过。根据本专利技术的视频终端身份认证系统的一实施例，其中，还包括：RA系统，用于进行数字证书注册审批，为CA系统提供数字证书发放和管理服务。本专利技术的视频终端身份认证系统，主要采用自建基于X509标准的安全证书身份认证。此系统结合数字证书和用户名、口令的双因子验证模式将很大程度上降低视频数据安全风险，在系统的关键环节使用数字签名技术，可以实现关键环节的安全性和客户身份唯一性的双重保证。附图说明图1所示为视频终端身份认证系统的示意图。具体实施方式为使本专利技术的目的、内容、和优点更加清楚，下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。图1所示为视频终端身份认证系统的示意图，如图1所示，本专利技术视频终端身份认证系统包括：CA系统1、RA系统5、转发服务器2、存储器6、摄像机7、加密机3以及屏幕4。如图1所示，CA系统1用于进行数字证书签发和管理。RA系统5用于进行数字证书注册审批，作为CA系统1的延伸为CA系统1提供数字证书发放和管理服务。加密机3用于CA系统1调用生成密钥和保护私钥。转发服务器2用于视频数据的存储、传输建立和发送功能。转发服务器2的证书应用工具包：实现转发服务器2和摄像头的签名验签和加解密功能。数字证书用于身份认证和关键交易签名的功能。如图1所示，本专利技术视频终端身份认证系统的工作流程包括：1.摄像头端驱动USBKey进行基于用户名、密码机制的登录入网并根据USBKey序列号指定其唯一ID(同时该唯一ID在申请证书的时候作为唯一信息字段(DN)存储在USBKey的证书内)；2.当转发服务器2对其中指定一台摄像机ID请求视频流数据时，转发服务器2产生一个128位的随机数并向该摄像头发送请求；3.摄像头端驱动USBKey利用证书私钥对该随机数进行数字签名产生签名值；4.摄像头端将签名值结果和自己的证书信息发送到转发服务器2；5.转发服务器2将证书信息提交到CA服务器1，CA服务器1使用CA根证书信息对该证书进行证书的证书链进行信任认证，同时也对其中的证书颁发主体、是否在证书颁发试用期中等信息进行，若信任信息正确则证书的主体信息验证通过；6.转发服务器2将证书信息解析获得证书的序列号，同时转发服务器2向CA服务器1提交证书状态查询申请，CA服务器1返回一个证书吊销列表文件，然后转发服务器2根据该文件对证书状态进行检测，若状态为使用中则证书状态验证通过；7.转发服务器2使用证书公钥对签名值进行解密，将解密的结果跟原随机数进行比对，进行随机数验证，若比对结果一致则证书签名验证通过；8.转发服务器2对证书信息进行解析，并对证书的唯一信息身份(DN)字段进行解析，解析后与USBKey序列号进行比对，若比对成功则证书唯一身份信息验证通过；9.若5-8的信息验证成功，则身份认证成功，则进行码流传输；10.工作完成后，转发服务器销毁证书和随机数，继续其他业务。如图1所示，本专利技术视频终端身份认证系统的另一工作流程包括：终端屏幕4发送访问转发服务器2请求数据报文；转发服务器2解析报文并请求相对应的安全摄像机视频流数据，此时进行双向身份认证；转发服务器2发送自己的证书给终端屏幕4，终端屏幕4分析此证书验证转发服务器2的身份；终端屏幕4发送自己的证书给转发服务器2，转发服务器2分析此证书验证终端屏幕4身份，此时转发服务器2会继续验证包括验证颁发者、有效期和是否被吊销；认证完成后，转发服务器2会解析客户端证书，获取需要请求摄像机信息，根据请求要求，向摄像机发送建立连接协议。连接建立后，摄像机向终端屏幕4发送数据。本专利技术的安全的视频终端身份认证系统，主要采用自建基于X509标准的安全证书身份认证。此系统结合数字证书和用户名、口令的双因子验证模式将很大程度上降低视频数据安全风险，在系统的关键环节使用数字签名技术，可以实现关键环节的安全性和客户身份唯一性的双重保证。以上所述仅是本专利技术的优选实施方式，应当指出，对于本
的普通技术人员来说，在不脱离本专利技术技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本专利技术的保护范围。本文档来自技高网...

【技术保护点】
一种视频终端身份认证系统，其特征在于，包括：CA系统、转发服务器以及加密机；CA系统用于进行数字证书签发和管理，加密机用于对CA系统调用生成密钥和保护私钥；其中，转发服务器能够根据摄像机的请求产生随机数，并发送给请求摄像机；摄像头能够利用私钥对该随机数进行数字签名并产生签名值；CA服务器使用CA根证书信息对摄像头的签名值结果和证书信息进行信任认证；转发服务器使用证书公钥对签名值进行解密，将解密的结果跟原随机数进行比对，进行随机数验证；转发服务器对证书信息进行解析，并对数字证书的唯一信息身份字段进行解析，进行证书唯一性认证。

【技术特征摘要】
1.一种视频终端身份认证系统，其特征在于，包括：CA系统、转发服务器以及加密机；CA系统用于进行数字证书签发和管理，加密机用于对CA系统调用生成密钥和保护私钥；其中，转发服务器能够根据摄像机的请求产生随机数，并发送给请求摄像机；摄像头能够利用私钥对该随机数进行数字签名并产生签名值；CA服务器使用CA根证书信息对摄像头的签名值结果和证书信息进行信任认证；转发服务器使用证书公钥对签名值进行解密，将解密的结果跟原随机数进行比对，进行随机数验证；转发服务器对证书信息进行解析，并对数字证书的唯一信息身份字段进行解析，进行证书唯一性认证。2.如权利要求1所述的视频终端身份认证系统，其特征在于，还包括：屏幕，用于对...

【专利技术属性】
技术研发人员：苏威积，王涛，裴彦杰，刘攀，
申请(专利权)人：北京航天爱威电子技术有限公司，北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11