[发明专利]一种实现电力监控系统视频安全传输的加密和解密方法

权利要求书

1.一种实现电力监控系统视频安全传输的加密方法，是应用在包括通过网络彼此通信连接的第一局域网和第二局域网的电力监控系统中，其中第一局域网包括多个第一终端设备以及与其通信连接的第一服务器，所述第二局域网包括多个第二终端设备、多个安全装置、以及第二服务器，第二终端设备通过第二服务器与安全装置通信连接，其特征在于，所述加密方法包括以下步骤：

(1)第一服务器在和第二服务器建立安全连接后，并通过安全信道向第二服务器发送视频调用请求，该视频调用请求中包括该安全装置编号CID和随机产生的随机数r；

(2)第二服务器使用视频调用请求中安全装置编号CID对应的公钥Q_CID，并基于IBC方法对视频调用请求进行处理，以得到密文，并将该密文发给安全装置编号CID对应的安全装置；

(3)安全装置使用安全装置编号CID对应的加密私钥S_CID对密文进行解密，以得到视频调用请求，并使用安全装置编号CID对应的签名私钥S′_CID对视频调用请求中的随机数r进行加密，以得到加密后的随机数E(r)，并将该加密后的随机数E(r)发回给第二服务器；

(4)第二服务器通过安全信道将加密后的随机数E(r)发回给第一服务器；

(5)第一服务器使用安全装置编号CID对应的加密公钥Q′_CID对加密后的随机数E(r)进行解密，以得到解密结果r′，并判断r′是否和随机数r相等，如果是则进入步骤(6)，否则过程结束；

(6)第一服务器通过安全信道将密钥key₁发送至第二服务器和安全装置；

(7)安全装置从摄像头获取视频码流并将其存储在第一缓存区中，对该视频码流进行解析，以获取I帧数据，并将I帧数据存储在第二缓存区中；

(8)安全装置对获取的I帧数据进行摘要签名，使用来自第一服务器的密钥key₁对I帧数据进行加密处理，以得到加密结果，并使用摘要签名结果与加密结果替换第一缓冲区中的NAL单元；

(9)安全装置将第一缓冲区中的视频码流通过有线或者无线传输至第二局域网内的第二服务器上。

2.根据权利要求1所述的加密方法，其特征在于，步骤(7)包括以下子步骤：

(7-1)安全装置读取视频码流至第一缓存区，该视频码流包括多个NAL单元；

(7-2)安全装置设置计数器i＝1；

(7-3)安全装置判断i是否大于第一缓存区中视频码流中NAL单元的总数N，如果是则过程结束，否则转入步骤(7-4)；

(7-4)安全装置读取视频码流中的第i个NAL单元，并判断其是否是I帧，如果是则转入步骤(7-5)，否则转入步骤(7-6)；

(7-5)安全装置将该第i个NAL单元放入第二缓存区中；

(7-6)安全装置设置计数器i＝i+1，并返回步骤(7-3)。

3.根据权利要求2所述的加密方法，其特征在于，步骤(8)包括以下子步骤：

(8-1)安全装置对第二缓存区中NAL单元的RBSP数据使用SM3算法进行散列运算，以得到摘要，使用安全装置编号CID对应的签名私钥S′_CID对该摘要进行签名以得到签名值，并将签名值和安全装置编号CID构造成类型为SEI的NAL单元；

(8-2)安全装置将步骤(8-1)中构造的NAL单元插入第二缓冲区中的NAL单元前，以形成更新后的第二缓冲区；

(8-3)安全装置同时将更新后的第二缓冲区中类型为I帧的NAL单元的RBSP数据按字节为单位进行编号，所有奇数号的RBSP数据组成奇队列，所有偶数号的RBSP数据组成偶队列；

(8-4)安全装置通过SM4加密算法、并使用来自第一服务器的密钥key₁对奇队列进行加密，以得到加密后的奇队列密文，将加密后的奇队列密文与偶队列进行异或运算，以得到偶队列密文；

(8-5)安全装置使用步骤(8-4)得到的奇队列密文和偶队列密文按编号进行重新组合，并使用重新组合的结果替换第二缓冲区中类型为I帧的NAL单元的RBSP数据；

(8-6)安全装置将更新后的第二缓冲区中类型为SEI的NAL单元和类型为I帧的NAL单元进行连接，并使用连接后的结果替换第一缓冲区中对应的NAL单元。