基于量子密钥加密的云视频会议系统及其加解密方法技术方案

本发明专利技术公开了一种基于量子密钥加密的云视频会议系统及其加解密方法，它涉及云视频会议技术领域。它包括云视频会议服务、视频会议客户端、量子密钥管理系统、量子密钥发行管理终端、量子密钥充注机、量子密钥存储介质和量子密钥分发终端，其加密步骤为：准备、建立会议、加入会议、建立媒体流上推安全通道、建立媒体流下拉安全通道、保密视频会议阶段、退出结束会议。本发明专利技术利用量子增强密钥对通过公共通信网络传输的音视频媒体流进行加密，提高音视频媒体流在公共通信网络传输的机密性，防止云视频会议的音视频媒体流通过公共通信网络传输时被恶意截获破解，增强云视频会议系统的业务安全性和用户隐私保护，应用前景广阔。

【技术实现步骤摘要】
基于量子密钥加密的云视频会议系统及其加解密方法
本专利技术涉及的是云视频会议
，具体涉及基于量子密钥加密的云视频会议系统及其加解密方法。
技术介绍
相较于传统视频会议系统，云视频会议诞生于“互联网+”时代，具有成本较低、架构灵活、处理高效、使用便利等巨大比较优势，但同时云视频会议通过开放的互联网传输音视频媒体流，面对恶意窃取、信息拦截、信息监听等网络攻击手段，云视频会议系统存在音视频信息及用户隐私泄露的风险。常用的云视频会议预防网络信息泄露的方式是采用SSL/TLS/DTLS技术进行加密传输，SSL：SecureSocketsLayer、安全套接字协议，及TLS：TransportLayerSecurity、继任者传输层安全，是为网络通信提供安全及数据完整性的一种安全协议，TLS与SSL在传输层与应用层之间对网络连接进行加密。DTLS：DatagramTransportLayerSecurity、数据包传输层安全性协议，TLS不能用来保证UDP上传输的数据的安全，DTLS在TLS协议架构上扩展，使之支持UDP数据包。在云视频会议服务端包含SSL/TLS/DTLS服务，视频会议客户端作为SSL/TLS/DTLS客户端，和云视频会议服务端之间构建SSL/TLS/DTLS加密链路，对视频会议客户端和云视频会议服务之间的音视频媒体流进行加密保护。但一方面虽然SSL/TLS/DTLS协议是完备的，但目前各版本的SSL/TLS/DTLS实现库中都或多或少的存在已暴露或还未暴露的安全漏洞，容易引起加密音视频所用的会话密钥泄露；另一方面SSL/TLS/DTLS协议中参与会话密钥生成过程的随机数是基于软件生成的伪随机数，其随机性较差，抗攻击破解能力较弱；同时SSL/TLS/DTLS协议中的密钥交换协议采用RSA或DH密钥交换协议，其安全性基于PKI体制中非对称密钥的计算数学原理，但随着量子计算机技术的飞速发展，一旦具备成熟的、量子比特位数足够多的量子计算机，结合相应的破解算法(如shor算法)，其破解时间将急剧缩短。综上所述，云视频会议系统的音视频媒体流在网络传输过程中，存在较高的信息泄露风险；常用的采用SSL/TLS/DTLS技术进行加密传输的方式，不可避免的存在安全漏洞，系统所用的伪随机数质量差，其密钥交换机制也不具备抗量子计算攻击的能力，音视频通过公共通信网络传输的机密性难以得到保障。基于此，设计一种基于量子密钥加密的云视频会议系统及其加解密方法尤为必要。
技术实现思路
针对现有技术上存在的不足，本专利技术目的是在于提供一种基于量子密钥加密的云视频会议系统及其加解密方法，利用量子增强密钥对通过公共通信网络传输的音视频媒体流进行加密，提高音视频媒体流在公共通信网络传输的机密性，防止云视频会议的音视频媒体流通过公共通信网络传输时被恶意截获破解，增强云视频会议系统的业务安全性和用户隐私保护，易于推广使用。为了实现上述目的，本专利技术是通过如下的技术方案来实现：基于量子密钥加密的云视频会议系统，包括云视频会议服务、视频会议客户端、量子密钥管理系统、量子密钥发行管理终端、量子密钥充注机、量子密钥存储介质和量子密钥分发终端，所述的云视频会议服务包括公有云、私有云、混合云等云服务部署模式，视频会议客户端包括有电脑、笔记本、专用视频会议终端、智能电视、机顶盒、手机、Pad，每个视频会议客户端配备一个量子密钥存储介质，量子密钥存储介质采用符合《GM/T0016智能密码钥匙密码应用接口规范》的UKey、TF卡、SimKey、软件密码模块(软Key)，加载量子安全服务功能后，实现量子密钥的安全存储与终端安全应用；量子密钥管理系统设置在中心站点，包含内嵌或外置的量子随机数发生器，具有公共通信网络可访问的IP地址，实现量子密钥管理、量子密钥协商、量子密钥更新、接入认证访问控制的量子密钥安全管理功能；量子密钥发行管理终端设置在中心站点，实现量子密钥存储介质的发行、挂失、解锁、注销与充注功能；量子密钥充注机设置有多个，设置在区域的充注站点，就近为本区域高安全用户的量子密钥存储介质提供量子密钥安全充注功能；量子密钥分发终端配置在中心站点及各充注站点，各量子密钥分发终端之间通过量子信道相连构成量子通信网络，利用量子密钥分发设备生成的量子密钥，对量子密钥充注机与量子密钥管理系统之间的通信链路进行加密保护，该系统利用量子增强密钥对云视频会议服务通过公共通信网络传输的音视频媒体流进行加密，提高音视频媒体流在公共通信网络传输的机密性。作为优选，所述的云视频会议服务部署在阿里云或华为云公有云平台，也可以部署在企业的私有云平台或混合云平台，通过公共通信网络面向公众用户提供普通云视频会议服务，并通过公共通信网络面向高安全用户提供量子保密云视频会议服务。作为优选，所述的视频会议客户端中的电脑、笔记本上安装云视频会议客户端软件，也可以直接通过浏览器访问云视频会议服务，其它类型的视频会议客户端上安装云视频会议APP；每个视频会议客户端配备一个量子密钥存储介质：电脑、笔记本上配置UKey或软件密码模块，专用视频会议终端和智能电视、机顶盒配置UKey、TF卡或软件密码模块，手机、Pad配置SimKey、TF卡或软件密码模块。作为优选，所述的公共通信网络包括公共互联网和各类有线、无线IP专网。基于量子密钥加密的云视频会议系统的加解密方法，包括以下步骤：(1)准备：参加视频会议的会议各方拥有视频会议客户端，视频会议客户端配置有由量子密钥发行管理终端发行、并在有效期内的量子密钥存储介质，在开始视频会议前，参会各方均已完成了设备注册、激活、密钥充注等准备工作，各方视频会议客户端均设置在量子加密工作模式；参会各方的其中一方作为会议主持方，其他参会各方作为参会方；(2)建立会议：会议主持方申请建立会议，云视频会议服务创建会议，并自动分配一个会议号；会议主持方通过微信、电话等方式将会议号通知其他参会各方；(3)加入会议：其他参会方输入会议号，申请加入会议，云视频会议服务将申请者拉入会议；(4)建立媒体流上推安全通道：各方视频会议客户端加入会议后，分别向云视频会议服务申请建立视频会议客户端到云视频会议服务之间的端到端的媒体流推送安全通道；双方按照标准SSL/TLS/DTLS协议协商出了主密钥K1后，视频会议客户端以主密钥K1向量子密钥存储介质申请量子增强密钥，量子密钥存储介质将主密钥K1与量子密钥存储介质中预先充注的量子密钥K2进行变换运算，向视频会议客户端返回量子增强密钥K和Token信息，其中Token中包含通信双方的身份、量子密钥K2的序号、密钥长度等密文信息；视频会议客户端将Token发送给云视频会议服务；云视频会议服务以Token和K1为参数，向量子密钥管理系统申请获取量子增强密钥；量子密钥管理系统根据Token中的用户、密钥序号、密钥长度等信息，查询内部的量子密钥库得到和视频会议客户端相同的量子密钥K2，量子密钥管理系统将K2和K1按照和视频会议客户端相同的算法进行变换运算，得到和视频会议本文档来自技高网...

【技术保护点】
1.基于量子密钥加密的云视频会议系统，其特征在于，包括云视频会议服务、视频会议客户端、量子密钥管理系统、量子密钥发行管理终端、量子密钥充注机、量子密钥存储介质和量子密钥分发终端，所述的云视频会议服务包括公有云、私有云、混合云云服务部署模式，视频会议客户端包括有电脑、笔记本、专用视频会议终端、智能电视、机顶盒、手机、Pad，每个视频会议客户端配备一个量子密钥存储介质，量子密钥存储介质采用符合《GM/T0016智能密码钥匙密码应用接口规范》的UKey、TF卡、SimKey、软件密码模块，加载量子安全服务功能后，实现量子密钥的安全存储与终端安全应用；量子密钥管理系统设置在中心站点，包含内嵌或外置的量子随机数发生器，具有公共通信网络可访问的IP地址，实现量子密钥管理、量子密钥协商、量子密钥更新、接入认证访问控制的量子密钥安全管理功能；量子密钥发行管理终端设置在中心站点，实现量子密钥存储介质的发行、挂失、解锁、注销与充注功能；量子密钥充注机设置有多个，设置在区域的充注站点，就近为本区域高安全用户的量子密钥存储介质提供量子密钥安全充注功能；量子密钥分发终端配置在中心站点及各充注站点，各量子密钥分发终端之间通过量子信道相连构成量子通信网络，利用量子密钥分发设备生成的量子密钥，对量子密钥充注机与量子密钥管理系统之间的通信链路进行加密保护，该系统利用量子增强密钥对云视频会议服务通过公共通信网络传输的音视频媒体流进行加密，提高音视频媒体流在公共通信网络传输的机密性。/n...

【技术特征摘要】
1.基于量子密钥加密的云视频会议系统，其特征在于，包括云视频会议服务、视频会议客户端、量子密钥管理系统、量子密钥发行管理终端、量子密钥充注机、量子密钥存储介质和量子密钥分发终端，所述的云视频会议服务包括公有云、私有云、混合云云服务部署模式，视频会议客户端包括有电脑、笔记本、专用视频会议终端、智能电视、机顶盒、手机、Pad，每个视频会议客户端配备一个量子密钥存储介质，量子密钥存储介质采用符合《GM/T0016智能密码钥匙密码应用接口规范》的UKey、TF卡、SimKey、软件密码模块，加载量子安全服务功能后，实现量子密钥的安全存储与终端安全应用；量子密钥管理系统设置在中心站点，包含内嵌或外置的量子随机数发生器，具有公共通信网络可访问的IP地址，实现量子密钥管理、量子密钥协商、量子密钥更新、接入认证访问控制的量子密钥安全管理功能；量子密钥发行管理终端设置在中心站点，实现量子密钥存储介质的发行、挂失、解锁、注销与充注功能；量子密钥充注机设置有多个，设置在区域的充注站点，就近为本区域高安全用户的量子密钥存储介质提供量子密钥安全充注功能；量子密钥分发终端配置在中心站点及各充注站点，各量子密钥分发终端之间通过量子信道相连构成量子通信网络，利用量子密钥分发设备生成的量子密钥，对量子密钥充注机与量子密钥管理系统之间的通信链路进行加密保护，该系统利用量子增强密钥对云视频会议服务通过公共通信网络传输的音视频媒体流进行加密，提高音视频媒体流在公共通信网络传输的机密性。


2.根据权利要求1所述的基于量子密钥加密的云视频会议系统，其特征在于，所述的云视频会议服务部署在阿里云或华为云公有云平台，通过公共通信网络面向公众用户提供普通云视频会议服务，并通过公共通信网络面向高安全用户提供量子保密云视频会议服务。


3.根据权利要求1所述的基于量子密钥加密的云视频会议系统，其特征在于，所述的视频会议客户端中的电脑、笔记本上安装云视频会议客户端软件，直接通过浏览器访问云视频会议服务，其它类型的视频会议客户端上安装云视频会议APP；每个视频会议客户端配备一个量子密钥存储介质：电脑、笔记本上配置UKey或软件密码模块，专用视频会议终端和智能电视、机顶盒配置UKey、TF卡或软件密码模块，手机、Pad配置SimKey、TF卡或软件密码模块。


4.根据权利要求1所述的基于量子密钥加密的云视频会议系统，其特征在于，所述的公共通信网络包括公共互联网和各类有线、无线IP专网。


5.基于量子密钥加密的云视频会议系统的加解密方法，其特征在于，包括以下步骤：
(1)准备：
参加视频会议的会议各方拥有视频会议客户端，视频会议客户端配置有由量子密钥发行管理终端发行、并在有效期内的量子密钥存储介质，在开始视频会议前，参会各方均已完成了设备注册、激活、密钥充注准备工作，各方视频会议客户端均设置在量子加密工作模式；参会各方的其中一方作为会议主持方，其他参会各方作为参会方；
(2)建立会议：
会议主持方申请建立会议，云视频会议服务创建会议，并自动分配一个会议号；会议主持方通过微信、电话方式将会议号通知其他参会各方；
(3)加入会议：
其他参会方输入会议号，申请加入会议，云视频会议服务将申请者拉入会议；
(4)建立媒体流上推安全通道：
各方视频会议客户端加入会议后，分别向云视频会议服务申请建立视频会议客户端到云视频会议服务之间的端到端的媒体流推送安全通道；双方按照标准SSL/TLS/DTLS协议协商出了主密钥K1后，视频会议客户端以主密钥K1向量子密钥存储介质申请量子增强密钥，量子密钥存储介质将主密钥K1与量子密钥存储介质...

【专利技术属性】
技术研发人员：杨志云，刘兴海，谢锦，王仲卿，王家勇，杨勇华，
申请(专利权)人：济南慧云量子科技有限公司，上海安密信科技有限公司，国科量子通信网络有限公司，
类型：发明
国别省市：山东;37