一种实现电力监控系统视频安全传输的加密和解密方法技术方案

本发明专利技术公开了一种实现电力监控系统视频安全传输的加密方法，包括：第一服务器在和第二服务器建立安全连接后，并通过安全信道向第二服务器发送视频调用请求，第二服务器使用视频调用请求中安全装置编号对应的公钥，并基于IBC方法对视频调用请求进行处理，以得到密文，并将该密文发给安全装置编号对应的安全装置，安全装置使用安全装置编号对应的加密私钥对密文进行解密，以得到视频调用请求，并使用安全装置编号对应的签名私钥对视频调用请求中的随机数进行加密，以得到加密后的随机数，并将该加密后的随机数发回给第二服务器。本发明专利技术能够针对视频监控系统的特征和安全威胁设计安全防护机制，从而确保视频监控系统的安全性和可靠性。

A method of encryption and decryption for the secure transmission of video in power monitoring system

The invention discloses an encryption method for realizing the safe video transmission of power monitoring system, which includes: the first server establishes a safe connection with the second server and sends a video call request to the second server through a secure channel, the second server uses the public key corresponding to the number of the security device in the video call request, and processes the video call request based on the IBC method To get the ciphertext, and send the ciphertext to the security device corresponding to the security device number. The security device decrypts the ciphertext using the encryption private key corresponding to the security device number to get the video call request, and encrypts the random number in the video call request using the signature private key corresponding to the security device number to get the encrypted random number, and encrypts the encrypted The random number is sent back to the second server. The invention can design a security protection mechanism for the characteristics and security threats of the video monitoring system, so as to ensure the security and reliability of the video monitoring system.

【技术实现步骤摘要】
一种实现电力监控系统视频安全传输的加密和解密方法
本专利技术属于视频监控
，更具体地，涉及一种实现电力监控系统视频安全传输的加密和解密方法。
技术介绍
随着对电力系统安防要求的不断提升，相应地对视频监控系统的需求量也越来越大，这些视频监控系统对发电厂、变电站等关键场所的实时运行情况进行监视和记录，维护了电力系统的稳定运行。视频监控系统的应用包括以下几个层次，第一层次是现场视频监控，其主要由前端摄像机、视频刻录器、视频显示器等组成，用于实现现场监控和监控视频存储等；第二层次是远程视频监控，由监控前端、控制台以及传输网络组成，用于支持适应无人值班的变电站、地市级监控中心等远程监控体系；第三层次是融入应急指挥系统，其实现各级监控视频与相应的应急指挥中心互联，以供应急指挥中心直接调用现场视频的图像。然而，现有视频监控系统本身却存在一定的安全性缺陷：一方面，高清摄像头等视频采集设备难以管理，这些设备容易被非法接入或替换，同时存在弱口令等问题；另一方面，监控中心在对下级电厂或变电站进行远程监控的过程中，传输的视频数据通常是采用明文传输，其容易被窃取、篡改甚至替换，使得上级不能得到安全可靠的监控视频数据，从而使得电网安全受到威胁；第三方面，黑客还会利用视频监控系统的安全隐患，注入恶意代码，并以监控系统的后端作为跳板攻击内网内的其他系统，从而带来更大的安全威胁。
技术实现思路
针对现有技术的以上缺陷或改进需求，本专利技术提供了一种实现电力监控系统视频安全传输的加密和解密方法，其目的在于，能够针对视频监控系统的特征和安全威胁设计安全防护机制，从而确保视频监控系统的安全性和可靠性。为实现上述目的，按照本专利技术的一个方面，提供了一种实现电力监控系统视频安全传输的加密方法，是应用在包括通过网络彼此通信连接的第一局域网和第二局域网的电力监控系统中，其中第一局域网包括多个第一终端设备以及与其通信连接的第一服务器，所述第二局域网包括多个第二终端设备、多个安全装置、以及第二服务器，第二终端设备通过第二服务器与安全装置通信连接，所述加密方法包括以下步骤：(1)第一服务器在和第二服务器建立安全连接后，并通过安全信道向第二服务器发送视频调用请求，该视频调用请求中包括该安全装置编号CID和随机产生的随机数r；(2)第二服务器使用视频调用请求中安全装置编号CID对应的公钥QCID，并基于IBC方法对视频调用请求进行处理，以得到密文，并将该密文发给安全装置编号CID对应的安全装置；(3)安全装置使用安全装置编号CID对应的加密私钥SCID对密文进行解密，以得到视频调用请求，并使用安全装置编号CID对应的签名私钥S′CID对视频调用请求中的随机数r进行加密，以得到加密后的随机数E(r)，并将该加密后的随机数E(r)发回给第二服务器；(4)第二服务器通过安全信道将加密后的随机数E(r)发回给第一服务器；(5)第一服务器使用安全装置编号CID对应的加密公钥Q′CID对加密后的随机数E(r)进行解密，以得到解密结果r′，并判断r′是否和随机数r相等，如果是则进入步骤(6)，否则过程结束；(6)第一服务器通过安全信道将密钥key1发送至第二服务器和安全装置；(7)安全装置从摄像头获取视频码流并将其存储在第一缓存区中，对该视频码流进行解析，以获取I帧数据，并将I帧数据存储在第二缓存区中；(8)安全装置对获取的I帧数据进行摘要签名，使用来自第一服务器的密钥key1对I帧数据进行加密处理，以得到加密结果，并使用摘要签名结果与加密结果替换第一缓冲区中的NAL单元；(9)安全装置将第一缓冲区中的视频码流通过有线或者无线传输至第二局域网内的第二服务器上。优选地，步骤(7)包括以下子步骤：(7-1)安全装置读取视频码流至第一缓存区，该视频码流包括多个NAL单元；(7-2)安全装置设置计数器i＝1；(7-3)安全装置判断i是否大于第一缓存区中视频码流中NAL单元的总数N，如果是则过程结束，否则转入步骤(7-4)；(7-4)安全装置读取视频码流中的第i个NAL单元，并判断其是否是I帧，如果是则转入步骤(7-5)，否则转入步骤(7-6)；(7-5)安全装置将该第i个NAL单元放入第二缓存区中；(7-6)安全装置设置计数器i＝i+1，并返回步骤(7-3)。优选地，步骤(8)包括以下子步骤：(8-1)安全装置对第二缓存区中NAL单元的RBSP数据使用SM3算法进行散列运算，以得到摘要，使用安全装置编号CID对应的签名私钥S′CID对该摘要进行签名以得到签名值，并将签名值和安全装置编号CID构造成类型为SEI的NAL单元；(8-2)安全装置将步骤(8-1)中构造的NAL单元插入第二缓冲区中的NAL单元前，以形成更新后的第二缓冲区；(8-3)安全装置同时将更新后的第二缓冲区中类型为I帧的NAL单元的RBSP数据按字节为单位进行编号，所有奇数号的RBSP数据组成奇队列，所有偶数号的RBSP数据组成偶队列；(8-4)安全装置通过SM4加密算法、并使用来自第一服务器的密钥key1对奇队列进行加密，以得到加密后的奇队列密文，将加密后的奇队列密文与偶队列进行异或运算，以得到偶队列密文；(8-5)安全装置使用步骤(8-4)得到的奇队列密文和偶队列密文按编号进行重新组合，并使用重新组合的结果替换第二缓冲区中类型为I帧的NAL单元的RBSP数据；(8-6)安全装置将更新后的第二缓冲区中类型为SEI的NAL单元和类型为I帧的NAL单元进行连接，并使用连接后的结果替换第一缓冲区中对应的NAL单元。优选地，进一步包括以下步骤：(10)第二服务器根据混沌序列方程迭代生成两个混沌序列X、Y，并将其存入第一缓冲区中；(11)第二服务器循环读取安全装置发来的视频码流，对该视频码流进行置乱加密处理，以得到置乱加密后的视频码流，并将该置乱加密后的视频码流存入第二缓冲区中；(12)第二服务器循环读取第二缓冲区中置乱加密后的视频码流，对该视频码流进行扩散加密，以得到扩散加密后的视频码流。(13)第二服务器将步骤(3)得到的扩散加密后的视频码流发送到第一局域网的第一服务器。优选地，步骤(11)包括以下子步骤：(11-1)第二服务器设置计数器k＝1；(11-2)第二服务器判断k是否大于视频码流中NAL单元的总数N，如果是则进入步骤(11-10)，否则转入步骤(11-3)；(11-3)第二服务器以3个字节为单位将视频码流中的所有NAL单元分为n组，所有分组构成NAL单元序列P，其中P＝{p1,p2,p3,...,pn}，p表示分组；(11-4)第二服务器从第一缓冲区中的混沌序列X中获取n个实数构成新的混沌序列Z，其中Z＝{x1,x2,...,xn}，x表示混沌序列X中的实数；(11-5)第二服务器将新的混沌序列Z中的实数xα根据规则转换成整数值aα，以得到比特置乱序列A＝{a1,a2,...,an}，其中α∈[1，n]；(11-6)第二服务器使用步骤(11-5)得到的比特置乱序列A对步骤(11-3)得到的NAL单元序列P进行比特置乱操作，以得到序列P′＝{p′1,p′2,p′3,...,p′n}。(11-7)第二服务器将新的混沌序列Z中的元素按照从大到小的顺序进行排序，从而得到有序序列X′＝{x′1,x′2,...,x本文档来自技高网...

【技术保护点】
1.一种实现电力监控系统视频安全传输的加密方法，是应用在包括通过网络彼此通信连接的第一局域网和第二局域网的电力监控系统中，其中第一局域网包括多个第一终端设备以及与其通信连接的第一服务器，所述第二局域网包括多个第二终端设备、多个安全装置、以及第二服务器，第二终端设备通过第二服务器与安全装置通信连接，其特征在于，所述加密方法包括以下步骤：(1)第一服务器在和第二服务器建立安全连接后，并通过安全信道向第二服务器发送视频调用请求，该视频调用请求中包括该安全装置编号CID和随机产生的随机数r；(2)第二服务器使用视频调用请求中安全装置编号CID对应的公钥QCID，并基于IBC方法对视频调用请求进行处理，以得到密文，并将该密文发给安全装置编号CID对应的安全装置；(3)安全装置使用安全装置编号CID对应的加密私钥SCID对密文进行解密，以得到视频调用请求，并使用安全装置编号CID对应的签名私钥S′CID对视频调用请求中的随机数r进行加密，以得到加密后的随机数E(r)，并将该加密后的随机数E(r)发回给第二服务器；(4)第二服务器通过安全信道将加密后的随机数E(r)发回给第一服务器；(5)第一服务器使用安全装置编号CID对应的加密公钥Q′CID对加密后的随机数E(r)进行解密，以得到解密结果r′，并判断r′是否和随机数r相等，如果是则进入步骤(6)，否则过程结束；(6)第一服务器通过安全信道将密钥key1发送至第二服务器和安全装置；(7)安全装置从摄像头获取视频码流并将其存储在第一缓存区中，对该视频码流进行解析，以获取I帧数据，并将I帧数据存储在第二缓存区中；(8)安全装置对获取的I帧数据进行摘要签名，使用来自第一服务器的密钥key1对I帧数据进行加密处理，以得到加密结果，并使用摘要签名结果与加密结果替换第一缓冲区中的NAL单元；(9)安全装置将第一缓冲区中的视频码流通过有线或者无线传输至第二局域网内的第二服务器上。...

【技术特征摘要】
1.一种实现电力监控系统视频安全传输的加密方法，是应用在包括通过网络彼此通信连接的第一局域网和第二局域网的电力监控系统中，其中第一局域网包括多个第一终端设备以及与其通信连接的第一服务器，所述第二局域网包括多个第二终端设备、多个安全装置、以及第二服务器，第二终端设备通过第二服务器与安全装置通信连接，其特征在于，所述加密方法包括以下步骤：(1)第一服务器在和第二服务器建立安全连接后，并通过安全信道向第二服务器发送视频调用请求，该视频调用请求中包括该安全装置编号CID和随机产生的随机数r；(2)第二服务器使用视频调用请求中安全装置编号CID对应的公钥QCID，并基于IBC方法对视频调用请求进行处理，以得到密文，并将该密文发给安全装置编号CID对应的安全装置；(3)安全装置使用安全装置编号CID对应的加密私钥SCID对密文进行解密，以得到视频调用请求，并使用安全装置编号CID对应的签名私钥S′CID对视频调用请求中的随机数r进行加密，以得到加密后的随机数E(r)，并将该加密后的随机数E(r)发回给第二服务器；(4)第二服务器通过安全信道将加密后的随机数E(r)发回给第一服务器；(5)第一服务器使用安全装置编号CID对应的加密公钥Q′CID对加密后的随机数E(r)进行解密，以得到解密结果r′，并判断r′是否和随机数r相等，如果是则进入步骤(6)，否则过程结束；(6)第一服务器通过安全信道将密钥key1发送至第二服务器和安全装置；(7)安全装置从摄像头获取视频码流并将其存储在第一缓存区中，对该视频码流进行解析，以获取I帧数据，并将I帧数据存储在第二缓存区中；(8)安全装置对获取的I帧数据进行摘要签名，使用来自第一服务器的密钥key1对I帧数据进行加密处理，以得到加密结果，并使用摘要签名结果与加密结果替换第一缓冲区中的NAL单元；(9)安全装置将第一缓冲区中的视频码流通过有线或者无线传输至第二局域网内的第二服务器上。2.根据权利要求1所述的加密方法，其特征在于，步骤(7)包括以下子步骤：(7-1)安全装置读取视频码流至第一缓存区，该视频码流包括多个NAL单元；(7-2)安全装置设置计数器i＝1；(7-3)安全装置判断i是否大于第一缓存区中视频码流中NAL单元的总数N，如果是则过程结束，否则转入步骤(7-4)；(7-4)安全装置读取视频码流中的第i个NAL单元，并判断其是否是I帧，如果是则转入步骤(7-5)，否则转入步骤(7-6)；(7-5)安全装置将该第i个NAL单元放入第二缓存区中；(7-6)安全装置设置计数器i＝i+1，并返回步骤(7-3)。3.根据权利要求2所述的加密方法，其特征在于，步骤(8)包括以下子步骤：(8-1)安全装置对第二缓存区中NAL单元的RBSP数据使用SM3算法进行散列运算，以得到摘要，使用安全装置编号CID对应的签名私钥S′CID对该摘要进行签名以得到签名值，并将签名值和安全装置编号CID构造成类型为SEI的NAL单元；(8-2)安全装置将步骤(8-1)中构造的NAL单元插入第二缓冲区中的NAL单元前，以形成更新后的第二缓冲区；(8-3)安全装置同时将更新后的第二缓冲区中类型为I帧的NAL单元的RBSP数据按字节为单位进行编号，所有奇数号的RBSP数据组成奇队列，所有偶数号的RBSP数据组成偶队列；(8-4)安全装置通过SM4加密算法、并使用来自第一服务器的密钥key1对奇队列进行加密，以得到加密后的奇队列密文，将加密后的奇队列密文与偶队列进行异或运算，以得到偶队列密文；(8-5)安全装置使用步骤(8-4)得到的奇队列密文和偶队列密文按编号进行重新组合，并使用重新组合的结果替换第二缓冲区中类型为I帧的NAL单元的RBSP数据；(8-6)安全装置将更新后的第二缓冲区中类型为SEI的NAL单元和类型为I帧的NAL单元进行连接，并使用连接后的结果替换第一缓冲区中对应的NAL单元。4.根据权利要求2所述的加密方法，其特征在于，进一步包括以下步骤：(10)第二服务器根据混沌序列方程迭代生成两个混沌序列X、Y，并将其存入第一缓冲区中；(11)第二服务器循环读取安全装置发来的视频码流，对该视频码流进行置乱加密处理，以得到置乱加密后的视频码流，并将该置乱加密后的视频码流存入第二缓冲区中；(12)第二服务器循环读取第二缓冲区中置乱加密后的视频码流，对该视频码流进行扩散加密，以得到扩散加密后的视频码流。(13)第二服务器将步骤(3)得到的扩散加密后的视频码流发送到第一局域网的第一服务器。5.根据权利要求4所述的加密方法，其特征在于，步骤(11)包括以下子步骤：(11-1)第二服务器设置计数器k＝1；(11-2)第二服务器判断k是否大于视频码流中NAL单元的总数N，如果是则进入步骤(11-10)，否则转入步骤(11-3)；(11-3)第二服务器以3个字节为单位将视频码流中的所有NAL单元分为n组，所有分组构成NAL单元序列P，其中P＝{p1,p2,p3,...,pn}，p表示分组；(11-4)第二服务器从第一缓冲区中的混沌序列X中获取n个实数构成新的混沌序列Z，其中Z＝{x1,x2,...,xn}，x表示混沌序列X中的实数；(11-5)第二服务器将新的混沌序列Z中的实数xα根据规则转换成整数值aα，以得到比特置乱序列A＝{a1,a2,...,an}，其中α∈[1，n]；(11-6)第二服务器使用步骤(11-5)得到的比特置乱序列A对步骤(11-3)得到的NAL单元序列P进行比特置乱操作，以得到序列P′＝{p′1,p′2,p′3,...,p′n}。(11-7)第二服务器将新的混沌序列Z中的元素按照从大到小的顺序进行排序，从而得到有序序列X′＝{x′1,x′2,...,x′n}，并生成位置置乱序列D＝{d1,d2,...,dn}，该位置置乱序列中的第z个元素dz为有序序列X′中的第z个元素在混沌序列Z中的位置，且有z∈[1，n]；(11-8)对步骤(11-6)得到的序列P′＝{p′1,p′2,p′3,...,p′n}按照步骤(11-7)得到的位置置乱序列D＝{d1,d2,...,dn}进行置乱，以得到序列P″＝{p″1,p″2,p″3,...,p″n}，其中p″z＝p′dz；。(11-9)第二服务器线设置计数器k＝k+1，并返回步骤(11-1)；(11-10)第二服务器将所有经过置乱加密的NAL单元进行组合，从而得到置乱加密后的视频码流，并将其存入第二缓冲区中。6.根据权利要求5所述的加密方法，其特征在于，步骤(12)包括以下子步骤：(12-1)第二服务器设置计数器f＝1；(12-2)第二服务器判断f是否大于第二缓冲区中所有NAL单元的总数N，如果是则过程结束，否则转入步骤(12-3)；(12-3)第二服务器以3个字节为单位将第二缓冲区中的所有NAL单元分为n组，所有分组构成NAL单元序列Q”，其中Q”＝{q″1,q″2,...q″n}，q″表示分组；(12-4)第...

【专利技术属性】
技术研发人员：李肯立，刘俊，覃舒婕，杨志邦，徐晓阳，王远亮，
申请(专利权)人：湖南匡安网络技术有限公司，湖南大学，
类型：发明
国别省市：湖南,43