[发明专利]一种电力视频监控终端安全接入方法及系统

说明书

本发明涉及一种电力视频监控终端安全接入方法，采用全新控制策略，通过多维认证检测，对视频监控终端进行准入控制，包括身份认证和安全状态检测，具体为静态信息检查和动态信息检查，确保接入的视频监控终端是合规的，实现了视频监控终端的安全接入，并进一步针对其中各通信业务，设计应用专用通信协议，简化密钥协商及身份认证流程，实现视频数据的高效、安全传输，提高视频监控的工作效率。

技术领域

本发明涉及一种电力视频监控终端安全接入方法及系统，属于物联监控接入技术领域。

背景技术

电力视频监控系统广泛运用于电力生产、调度、综合管理等各个环节中，实现对电力系统中设备、以及周边环境等重要要素的实时监测。电力视频监控系统建设已经逐渐成为推动智能电网发展极其重要的一部分。目前以IP作为承载网的综合视频监控平台已经占据了视频监控系统的主流地位。由于视频监控终端大多部署于露天、无人看守等安全性较低的户外环境，且采用安全性较低的网络协议传输视频数据，存在严重的安全隐患，如：①未经认证的摄像头可以被攻击者替换，并作为攻击节点；② 视频数据未进行加密和完整性保护，存在数据泄密和被篡改的风险；③ 摄像头控制链路可被用于进行视频控制和进行网络攻击，严重威胁着电力系统的安全、稳定和可持续发展。

针对上述问题，现有的技术方案主要采用SSL VPN或IPSec VPN实现视频数据的安全传输，包括对摄像头进行身份认证和对视频数据进行加密传输。具体实现方法为：在视频监控终端上集成内嵌数字证书的硬件安全芯片或扩展内嵌数字证书的安全TF卡，标识摄像头的身份，安装安全接入客户端程序，并调用安全芯片或安全TF卡提供的加解密算法接口，与VPN网关建立加密数据传输通道，实现视频数据的安全传输。

现有技术在一定程度上解决了电力视频监控系统的信息安全问题，但是仍存在如下不足：

（1）只对视频监控终端进行了身份认证，确保了身份的可信性，未考虑视频监控终端是否符合安全要求，无法识别并阻止恶意终端的接入；

（2）SSL VPN或IPSec VPN密钥协商和身份认证流程复杂，需要交互大量数据包，网络通信效率较低。

发明内容

本发明所要解决的技术问题是提供一种电力视频监控终端安全接入方法，采用全新控制策略，通过多维认证检测，对视频监控终端进行准入控制，并设计应用专用通信协议，实现视频数据的高效、安全传输，提高视频监控的工作效率。

本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种电力视频监控终端安全接入方法，基于位于电力内网中同一局域网的视频安全接入网关、安全认证系统、准入控制系统，实现电力外网中各个视频监控终端分别执行如下步骤A至步骤H，经视频安全接入网关接入位于电力内网中的监控端；

步骤A. 视频监控终端建立其与视频安全接入网关之间的网络连接，由视频监控终端将其数字证书发送给视频安全接入网关，请求进行身份认证，并进入步骤B；

步骤B. 视频安全接入网关将所接收来自视频监控终端的数字证书转发给安全认证系统，由安全认证系统验证该数字证书是否过期或被撤销，是则视频监控终端接入失败；否则进入步骤C；

步骤C. 视频安全接入网关生成随机数Rs，并应用视频监控终端的数字证书公钥针对该随机数Rs进行加密，发送给视频监控终端，由视频监控终端接收，并应用其数字证书私钥进行解密，获得随机数Rs，然后进入步骤D；

步骤D. 视频监控终端采集其自身的软硬件信息，并执行合规性验证，若验证通过，则进入步骤E，若验证未通过，则视频监控终端接入失败；

步骤E. 视频监控终端生成随机数Rt，并应用视频安全接入网关的公钥，针对该随机数Rt与视频监控终端的软硬件信息进行加密，发送给视频安全接入网关，然后进入步骤F；