[发明专利]一种基于数字签名的网络摄像头的保护方法

权利要求书

1.一种基于数字签名的网络摄像头的保护方法，其特征在于：

该方法适用于局域网、广域网的安全访问，分别实施于C/S架构、B/S架构、APP/云端下，三种终端的用户身份安全控制访问；所述C/S架构、B/S架构、APP/云端下，需要在用户终端的机器上插入电子钥匙；所述的电子钥匙作为一种存储密钥和密码学算法的硬件介质，同时具有运算功能；所述摄像头中嵌入数字证书，在摄像头与用户终端之间实施一种基于数字签名技术的安全交互协议，实现访问终端与摄像头之间的实时身份认证和安全访问控制。

2.权利要求1中所述的电子钥匙，其特征在于包含USBKEY、芯片卡和TF卡三种硬件介质，本发明要求该电子钥匙具备如下4个条件：

1）支持标准的RSA、SM2算法和一切椭圆曲线上的群运算；

2）支持32位的CPU芯片；

3）支持64KB的格外存储；

4）支持存储各种标准数字证书、密钥（公钥、私钥），其中私钥不可读取。

3.权利要求1中所述的摄像头，其特征在于嵌入数字证书，所述的数字证书要求支持权利要求2所述的电子钥匙的4点条件外，还支持OpenSSL库。

4.权利要求1中所述的安全交互协议，其特征在于具有如下的交互步骤：

S401：在摄像头端注册用户名和对应的口令，并存储在摄像头端；

S402：用户终端利用户终端机器上的电子钥匙中存储的公钥，将用户名、口令和随机验证码三者所连接的字符串进行加密；

S403：用户终端将加密后的密文发送给摄像头端；

S404：摄像头端将用户终端发送过来的密文，通过嵌入在摄像头证书中的私钥进行解密，将解密后的明文与服务器端注册的合法用户进行对比验证；

S405：用户终端发送过来的用户名及其口令在服务器端验证通过后，生成一个随机数，利用摄像头嵌入数字证书中的的公钥将随机数进行加密，加密后将密文发送到用户终端；若摄像头端验证失败，则向用户终端返回一个错误信息；

S406：用户终端接收摄像头端发送过来的密文，用户终端利用用户终端机器上插入的电子钥匙中的私钥进行解密，然后再利用用户终端机器上插入的电子钥匙中的私钥将解密后的明文进行签名；

S407：用户终端将签名后的结果发送到摄像头端，摄像头端利用嵌入在摄像头上的证书中的公钥验证签名；

S408：摄像头端验证通过，则用户终端拥有该电子钥匙的用户为合法用户，允许该用户进行合法的视频数据的访问；否则拒绝该用户的访问。

5.权利要求书1中的密码学算法，其特征在于，除满足标准的RSA算法、SM2算法外，还可以是一种改进的Schnorr方案，所述改进的Schnorr方案在签名中加入了时戳，具体方案如下：

S501：系统参数的建立

S5011：选取两个素数和，使其满足；要求(、的长度分别满足, ，)；

S5012：选取一个阶元素；

S5013：建立一个密码杂凑函数；

S502：主体公/私钥的建立

用户Alice选取一个随机数，并计算，Alice的公钥为；她的私钥为；

S503：签名生成

为了生成消息的签名，同时为了防止重复使用密钥，而导致非法攻击，加入Time时戳，Alice选取一个随机数，并生成一个签名对，其中

S504：验证签名

设Bob是一个验证者，他知道公钥属于Alice，给定一个消息-签字对，Bob的验证过程为

。

6.权利要求1中所述的C/S架构，其特征在于，除可用权利要求4所述的安全交互协议外，还可使用更简单的安全交互协议，同样能够保证数据的安全性，所述的安全交互协议步骤如下：

S601：在服务器端注册用户名和对应的口令，存储在摄像头端；

S602：用户终端利用户终端机器上的电子钥匙中存储的私钥，将用户名、口令和随机验证码三者所连接的字符串进行签名；

S603：用户终端将签名后的结果发送到摄像头端；

S604：摄像头端将用户终端发送过来的签名，通过嵌入在摄像头证书中的公钥进行验证签名；

S605：摄像头端验证通过，则用户终端拥有该电子钥匙的用户为合法用户，允许该用户进行合法的视频数据的访问；否则拒绝该用户的访问。