一种电力视频监控终端安全接入方法及系统技术方案

本发明专利技术涉及一种电力视频监控终端安全接入方法，采用全新控制策略，通过多维认证检测，对视频监控终端进行准入控制，包括身份认证和安全状态检测，具体为静态信息检查和动态信息检查，确保接入的视频监控终端是合规的，实现了视频监控终端的安全接入，并进一步针对其中各通信业务，设计应用专用通信协议，简化密钥协商及身份认证流程，实现视频数据的高效、安全传输，提高视频监控的工作效率。

【技术实现步骤摘要】
一种电力视频监控终端安全接入方法及系统
本专利技术涉及一种电力视频监控终端安全接入方法及系统，属于物联监控接入

技术介绍
电力视频监控系统广泛运用于电力生产、调度、综合管理等各个环节中，实现对电力系统中设备、以及周边环境等重要要素的实时监测。电力视频监控系统建设已经逐渐成为推动智能电网发展极其重要的一部分。目前以IP作为承载网的综合视频监控平台已经占据了视频监控系统的主流地位。由于视频监控终端大多部署于露天、无人看守等安全性较低的户外环境，且采用安全性较低的网络协议传输视频数据，存在严重的安全隐患，如：①未经认证的摄像头可以被攻击者替换，并作为攻击节点；②视频数据未进行加密和完整性保护，存在数据泄密和被篡改的风险；③摄像头控制链路可被用于进行视频控制和进行网络攻击，严重威胁着电力系统的安全、稳定和可持续发展。针对上述问题，现有的技术方案主要采用SSLVPN或IPSecVPN实现视频数据的安全传输，包括对摄像头进行身份认证和对视频数据进行加密传输。具体实现方法为：在视频监控终端上集成内嵌数字证书的硬件安全芯片或扩展内嵌数字证书的安全TF卡，标识摄像头的身份，安装安全接入客户端程序，并调用安全芯片或安全TF卡提供的加解密算法接口，与VPN网关建立加密数据传输通道，实现视频数据的安全传输。现有技术在一定程度上解决了电力视频监控系统的信息安全问题，但是仍存在如下不足：（1）只对视频监控终端进行了身份认证，确保了身份的可信性，未考虑视频监控终端是否符合安全要求，无法识别并阻止恶意终端的接入；<br>（2）SSLVPN或IPSecVPN密钥协商和身份认证流程复杂，需要交互大量数据包，网络通信效率较低。
技术实现思路
本专利技术所要解决的技术问题是提供一种电力视频监控终端安全接入方法，采用全新控制策略，通过多维认证检测，对视频监控终端进行准入控制，并设计应用专用通信协议，实现视频数据的高效、安全传输，提高视频监控的工作效率。本专利技术为了解决上述技术问题采用以下技术方案：本专利技术设计了一种电力视频监控终端安全接入方法，基于位于电力内网中同一局域网的视频安全接入网关、安全认证系统、准入控制系统，实现电力外网中各个视频监控终端分别执行如下步骤A至步骤H，经视频安全接入网关接入位于电力内网中的监控端；步骤A.视频监控终端建立其与视频安全接入网关之间的网络连接，由视频监控终端将其数字证书发送给视频安全接入网关，请求进行身份认证，并进入步骤B；步骤B.视频安全接入网关将所接收来自视频监控终端的数字证书转发给安全认证系统，由安全认证系统验证该数字证书是否过期或被撤销，是则视频监控终端接入失败；否则进入步骤C；步骤C.视频安全接入网关生成随机数Rs，并应用视频监控终端的数字证书公钥针对该随机数Rs进行加密，发送给视频监控终端，由视频监控终端接收，并应用其数字证书私钥进行解密，获得随机数Rs，然后进入步骤D；步骤D.视频监控终端采集其自身的软硬件信息，并执行合规性验证，若验证通过，则进入步骤E，若验证未通过，则视频监控终端接入失败；步骤E.视频监控终端生成随机数Rt，并应用视频安全接入网关的公钥，针对该随机数Rt与视频监控终端的软硬件信息进行加密，发送给视频安全接入网关，然后进入步骤F；步骤F.视频安全接入网关应用其私钥，针对来自视频监控终端的数据进行解密，获得其中的随机数Rt、以及视频监控终端的软硬件信息，并将该软硬件信息转发给准入控制系统，由准入控制系统针对该软硬件信息进行安全验证，若验证通过，则由视频安全接入网关将验证通过结果反馈给视频监控终端，并进入步骤G，若验证未通过，则视频监控终端接入失败；步骤G.视频监控终端应用视频安全接入网关的公钥针对随机数Rs与Rt进行签名，并将此签名信息发送至视频安全接入网关，然后进入步骤H；步骤H.由视频安全接入网关针对来自视频监控终端的签名进行验证，实现视频监控终端与视频安全接入网关之间会话密钥的确认，若验证通过，则由视频安全接入网关将验证通过结果反馈给视频监控终端，即视频监控终端成功接入位于电力内网中的监控端；若验证未通过，则视频监控终端接入失败。作为本专利技术的一种优选技术方案，基于视频监控终端成功接入位于电力内网中的监控端，还包括执行如下步骤I1至步骤I3，实现视频监控终端与监控端之间目标视频采集数据的上传；步骤I1.视频监控终端应用会话密钥针对目标视频采集数据进行加密，并加密数据发送给视频安全接入网关，然后进入步骤I2；步骤I2.视频安全接入网关应用会话密钥针对加密数据进行解密获得目标视频采集数据，并执行安全检查，若检查通过，则进入步骤I3；若检查未通过，则目标视频采集数据上传失败；步骤I3.视频安全接入网关将所获目标视频采集数据转发至位于电力内网中的监控端。作为本专利技术的一种优选技术方案，基于各视频监控终端分别均包括视频处理模块、安全检查模块、第一硬件密码模块、第一安全通信模块；所述步骤D包括如下步骤D1至步骤D6；步骤D1.由视频监控终端中的安全检查模块采集第一硬件密码模块唯一序列号、国际移动用户识别码，以及视频处理模块版本号、安全检查模块版本号、第一硬件密码模块版本号、第一安全通信模块版本号、视频监控终端操作系统版本号，构成视频监控终端的各项软硬件信息，然后进入步骤D2；步骤D2.安全检查模块调用第一硬件密码模块，分别针对各项软硬件信息进行HASH运算，获得各个HASH值，然后由安全检查模块读取预先存储在第一硬件密码模块中的安全策略文件，并比较判断该各个HASH值与安全策略文件中相应值是否均一致，是则进入步骤D3，否则进入步骤D6；步骤D3.安全检查模块读取视频处理模块和第一安全通信模块的进程内存信息，并由安全检查模块调用第一硬件密码模块，针对该进程内存信息进行HASH运算，获得相应HASH值，然后比较判断该HASH值与安全策略文件中相应值是否一致，是则进入步骤D4，否则进入步骤D6；步骤D4.安全检查模块读取视频处理模块和第一安全通信模块的进程代码段，并由安全检查模块调用第一硬件密码模块，针对该进程代码段进行HASH运算，获得相应HASH值，然后比较判断该HASH值与安全策略文件中相应值是否一致，是则进入步骤D5，否则进入步骤D6；步骤D5.安全检查模块将各项软硬件信息、以及进程内存信息与进程代码段，结合上述步骤D2至步骤D4的判断结果，发送至第一安全通信模块，并由第一安全通信模块将所接收信息转发至视频安全接入网关，即视频监控终端的合规性验证通过，然后进入步骤E；步骤D6.安全检查模块将判断结果、以及不合法信息，发送至第一安全通信模块，并通知第一安全通信模块终止视频监控终端与视频安全接入网关之间的网络连接，即视频监控终端的合规性验证未通过，视频监控终端接入失败。作为本专利技术的一种优选技术方案，所述步骤A至步骤C具体如下：步骤A.视频监控终端应用哈希算法，针对其ID识别号IDT、数字证书CerT、以及其随机生成的网络序本文档来自技高网...

【技术保护点】
1.一种电力视频监控终端安全接入方法，其特征在于：基于位于电力内网中同一局域网的视频安全接入网关、安全认证系统、准入控制系统，实现电力外网中各个视频监控终端分别执行如下步骤A至步骤H，经视频安全接入网关接入位于电力内网中的监控端；/n步骤A. 视频监控终端建立其与视频安全接入网关之间的网络连接，由视频监控终端将其数字证书发送给视频安全接入网关，请求进行身份认证，并进入步骤B；/n步骤B. 视频安全接入网关将所接收来自视频监控终端的数字证书转发给安全认证系统，由安全认证系统验证该数字证书是否过期或被撤销，是则视频监控终端接入失败；否则进入步骤C；/n步骤C. 视频安全接入网关生成随机数Rs，并应用视频监控终端的数字证书公钥针对该随机数Rs进行加密，发送给视频监控终端，由视频监控终端接收，并应用其数字证书私钥进行解密，获得随机数Rs，然后进入步骤D；/n步骤D. 视频监控终端采集其自身的软硬件信息，并执行合规性验证，若验证通过，则进入步骤E，若验证未通过，则视频监控终端接入失败；/n步骤E. 视频监控终端生成随机数Rt，并应用视频安全接入网关的公钥，针对该随机数Rt与视频监控终端的软硬件信息进行加密，发送给视频安全接入网关，然后进入步骤F；/n步骤F. 视频安全接入网关应用其私钥，针对来自视频监控终端的数据进行解密，获得其中的随机数Rt、以及视频监控终端的软硬件信息，并将该软硬件信息转发给准入控制系统，由准入控制系统针对该软硬件信息进行安全验证，若验证通过，则由视频安全接入网关将验证通过结果反馈给视频监控终端，并进入步骤G，若验证未通过，则视频监控终端接入失败；/n步骤G. 视频监控终端应用视频安全接入网关的公钥针对随机数Rs与Rt进行签名，并将此签名信息发送至视频安全接入网关，然后进入步骤H；/n步骤H. 由视频安全接入网关针对来自视频监控终端的签名进行验证，实现视频监控终端与视频安全接入网关之间会话密钥的确认，若验证通过，则由视频安全接入网关将验证通过结果反馈给视频监控终端，即视频监控终端成功接入位于电力内网中的监控端；若验证未通过，则视频监控终端接入失败。/n...

【技术特征摘要】
1.一种电力视频监控终端安全接入方法，其特征在于：基于位于电力内网中同一局域网的视频安全接入网关、安全认证系统、准入控制系统，实现电力外网中各个视频监控终端分别执行如下步骤A至步骤H，经视频安全接入网关接入位于电力内网中的监控端；
步骤A.视频监控终端建立其与视频安全接入网关之间的网络连接，由视频监控终端将其数字证书发送给视频安全接入网关，请求进行身份认证，并进入步骤B；
步骤B.视频安全接入网关将所接收来自视频监控终端的数字证书转发给安全认证系统，由安全认证系统验证该数字证书是否过期或被撤销，是则视频监控终端接入失败；否则进入步骤C；
步骤C.视频安全接入网关生成随机数Rs，并应用视频监控终端的数字证书公钥针对该随机数Rs进行加密，发送给视频监控终端，由视频监控终端接收，并应用其数字证书私钥进行解密，获得随机数Rs，然后进入步骤D；
步骤D.视频监控终端采集其自身的软硬件信息，并执行合规性验证，若验证通过，则进入步骤E，若验证未通过，则视频监控终端接入失败；
步骤E.视频监控终端生成随机数Rt，并应用视频安全接入网关的公钥，针对该随机数Rt与视频监控终端的软硬件信息进行加密，发送给视频安全接入网关，然后进入步骤F；
步骤F.视频安全接入网关应用其私钥，针对来自视频监控终端的数据进行解密，获得其中的随机数Rt、以及视频监控终端的软硬件信息，并将该软硬件信息转发给准入控制系统，由准入控制系统针对该软硬件信息进行安全验证，若验证通过，则由视频安全接入网关将验证通过结果反馈给视频监控终端，并进入步骤G，若验证未通过，则视频监控终端接入失败；
步骤G.视频监控终端应用视频安全接入网关的公钥针对随机数Rs与Rt进行签名，并将此签名信息发送至视频安全接入网关，然后进入步骤H；
步骤H.由视频安全接入网关针对来自视频监控终端的签名进行验证，实现视频监控终端与视频安全接入网关之间会话密钥的确认，若验证通过，则由视频安全接入网关将验证通过结果反馈给视频监控终端，即视频监控终端成功接入位于电力内网中的监控端；若验证未通过，则视频监控终端接入失败。


2.根据权利要求1所述一种电力视频监控终端安全接入方法，其特征在于：基于视频监控终端成功接入位于电力内网中的监控端，还包括执行如下步骤I1至步骤I3，实现视频监控终端与监控端之间目标视频采集数据的上传；
步骤I1.视频监控终端应用会话密钥针对目标视频采集数据进行加密，并加密数据发送给视频安全接入网关，然后进入步骤I2；
步骤I2.视频安全接入网关应用会话密钥针对加密数据进行解密获得目标视频采集数据，并执行安全检查，若检查通过，则进入步骤I3；若检查未通过，则目标视频采集数据上传失败；
步骤I3.视频安全接入网关将所获目标视频采集数据转发至位于电力内网中的监控端。


3.根据权利要求1所述一种电力视频监控终端安全接入方法，其特征在于：基于各视频监控终端分别均包括视频处理模块、安全检查模块、第一硬件密码模块、第一安全通信模块；所述步骤D包括如下步骤D1至步骤D6；
步骤D1.由视频监控终端中的安全检查模块采集第一硬件密码模块唯一序列号、国际移动用户识别码，以及视频处理模块版本号、安全检查模块版本号、第一硬件密码模块版本号、第一安全通信模块版本号、视频监控终端操作系统版本号，构成视频监控终端的各项软硬件信息，然后进入步骤D2；
步骤D2.安全检查模块调用第一硬件密码模块，分别针对各项软硬件信息进行HASH运算，获得各个HASH值，然后由安全检查模块读取预先存储在第一硬件密码模块中的安全策略文件，并比较判断该各个HASH值与安全策略文件中相应值是否均一致，是则进入步骤D3，否则进入步骤D6；
步骤D3.安全检查模块读取视频处理模块和第一安全通信模块的进程内存信息，并由安全检查模块调用第一硬件密码模块，针对该进程内存信息进行HASH运算，获得相应HASH值，然后比较判断该HASH值与安全策略文件中相应值是否一致，是则进入步骤D4，否则进入步骤D6；
步骤D4.安全检查模块读取视频处理模块和第一安全通信模块的进程代码段，并由安全检查模块调用第一硬件密码模块，针对该进程代码段进行HASH运算，获得相应HASH值，然后比较判断该HASH值与安全策略文件中相应值是否一致，是则进入步骤D5，否则进入步骤D6；
步骤D5.安全检查模块将各项软硬件信息、以及进程内存信息与进程代码段，结合上述步骤D2至步骤D4的判断结果，发送至第一安全通信模块，并由第一安全通信模块将所接收信息转发至视频安全接入网关，即视频监控终端的合规性验证通过，然后进入步骤E；
步骤D6.安全检查模块将判断结果、以及不合法信息，发送至第一安全通信模块，并通知第一安全通信模块终止视频监控终端与视频安全接入网关之间的网络连接，即视频监控终端的合规性验证未通过，视频监控终端接入失败。


4.根据权利要求1所述一种电力视频监控终端安全接入方法，其特征在于：所述步骤A至步骤C具体如下：
步骤A.视频...

【专利技术属性】
技术研发人员：陈飞，李明柱，张胜，
申请(专利权)人：信联科技南京有限公司，
类型：发明
国别省市：江苏;32