一种视频会议轮换加密方法、设备及计算机可读存储介质

技术领域

本发明涉及网络多媒体技术领域，特别是涉及一种视频会议加密方法。

背景技术

在目前市场的各种视频会议通讯过程中，会见系统中，在进行网络视频会议时，一般都是通过网络进行通讯，由于各种网络安全问题存在如账号密码被泄漏，密钥传输过程中容易丢失，长时间使用更容易被破解。即便采用非对称加密方式，初始密码生成、公钥、私钥的下载传输过程中也存在丢失的可能性。

因此，对于视频会议，还需要一种更为安全的加密方法解决视频会议的安全性问题。

发明内容

为了解决现有技术存在的不足，本发明的目的在于提供一种视频会议轮换加密方法、设备及计算机可读存储介质，对控制客户端加密会议密钥的生产，并

为实现上述目的，本发明提供一种视频会议轮换加密方法，包括以下步骤：

1)客户端向会控服务器请求加密会议；

2)所述会控服务器向所述客户端发送密钥加密信息；

3)所述客户端根据所述密钥加密信息生成加密会议密钥；

4)对加密会议密钥进行轮换。

进一步地，在所述步骤1)之前，还包括，所述客户端在身份认证服务器上进行注册和登录的步骤。

进一步地，还包括，

31)所述客户端向所述身份认证服务器发送自己的身份标识和注册信息进行注册；

32)身份认证服务器根据所述客户端的注册信息生成所述客户端对应的身份授权码；

33)所述客户端向所述身份认证服务器发送自己的身份标识、密码进行登录；

所述注册信息，包括，所述客户端所在机构的名称、客户端所在的群组名称、参加会议的设备id，以及设备类型。

进一步地，所述步骤1)，还包括，

41)所述客户端向所述会控服务器发送自己的身份标识以及加密会议的安全级别请求开始一个加密会议；

42)所述会控服务器从身份认证服务器获取所述客户端身份标识对应的身份授权码对所述客户端进行判别，确定是否允许所述客户端开始一个加密会议；

43)所述会控服务器根据会议类型和加密会议的安全级别分配会议号发送给所述客户端开始会议成功消息。

进一步地，所述步骤42)，还包括，

51)将所述客户端的身份标识和对应的密码与所述身份授权码中对应的身份标识和密码进行比对；

52)将所述客户端的所在机构名称和所述身份授权码中的机构名称进行比对

53)将所述客户端的所在群组名称和所述身份授权码中的群组名称比对；

54)将所述客户端的设备id、设备类型与所述身份授权码中的设备id、设备类型比对；

55)所述会控服务器根据会议的安全级别和比对比对结果，判断是否允许客户端开始一个加密会议。

进一步地，所述密钥加密信息，包括，随机数、使用的随机数，以及使用的算法，其中，

所述随机数，为3组或3组以上的随机数；

所述使用的随机数：为使用哪几组所述随机数；

所述使用的算法：生成会议密钥所使用的算法。

进一步地，每组所述随机数，含16个字节的随机数；所述使用的算法，包含但不限于平方运算，阶乘运算，对数运算，指数运算，傅里叶变换中的一种或多种。

更进一步地，所述步骤4)，还包括，

81)所述客户端根据所述会控服务器发送的所述密钥加密信息生成加密会议密钥；

82)所述客户端利用所述加密会议密钥进行媒体流加解密，开始一个加密会议；

83)所述会控服务器接收加密服务器发送的密钥轮换信息，并将新的密钥加密信息发送给所述客户端；

84)所述客户端根据所述新的密钥加密信息生成新的加密会议密钥；

85)所述客户端利用所述新的加密会议密钥进行媒体流加解密，继续进行加密会议。

为实现上述目的，本发明还提供一种电子设备，包括，处理器；以及被安排成存储计算机可执行程序的存储器，所述可执行程序在被执行时使所述处理器执行如上所述的视频会议轮换加密方法的步骤。

为实现上述目的，本发明还提供一种计算机可读存储介质，其上存储有计算机指令，所述计算机指令运行时执行如上所述的视频会议轮换加密方法的步骤。

本发明的一种视频会议轮换加密方法、设备及计算机可读存储介质，具有以下有益效果：

客户端根据会控服务器的密钥加密信息生成加密会议的密钥并随时更换，由于传输的密钥不是已生成的密码，而是一串算法或公式，根据指定的参数才可获得密钥，即便被截取也无法获取参数，无法知晓密钥，并且进一步结合基于这种特殊密钥生成方式的轮换机制，进一步提高了安全性，同时也极大的降低被破解的可能性，降低了泄露风险。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，并与本发明的实施例一起，用于解释本发明，并不构成对本发明的限制。在附图中：

图1为根据本发明的视频会议轮换加密方法流程图；

图2为根据本发明的客户端注册及登录流程图；

图3为根据本发明的客户端请求加密会议及入会流程图；

图4为根据本发明的密钥轮换流程图；

图5为本发明的一个实施例电子设备的结构示意图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

实施例1

图1为根据本发明的视频会议轮换加密方法流程图，下面将参考图1，对本发明的视频会议轮换加密方法进行详细描述。

首先，在步骤101，客户端在身份认证服务器上进行注册和登录。

本发明实施例中，客户端向身份认证服务器发送身份标识和注册信息进行注册，并利用身份标识和对应的密码进行登录。

本发明实施例中，客户端向身份认证服务器发送注册信息，包括，客户端所在的机构名称、群组名称、客户端参加会议的唯一的设备id，以及设备类型。

在步骤102，客户端向会控服务器发送加密会议请求信息，请求创建并加入加密会议。

本发明实施例中，客户端向会控服务器发送的加密会议请求信息，包括，客户端的身份标识和加密会议的安全级别。

在步骤103，会控服务器向客户端发送密钥生成信息。

本发明实施例中，会控服务器发送给客户端的密钥生成信息，包括，

随机数组：为3组或3组以上的随机数；

使用随机数的组数：具体使用哪几组随机数作为生成会议密钥算法的输入参数；

使用的算法：使用哪种算法生成最终的会议密钥。

本发明实施例中，使用的算法，包括但不限于平方运算、阶乘运算、对数运算、指数运算、傅里叶变换等，这些算法可以是随机数组中的单个组内的随机数之间运算，也可以是随机数组中的某2组或3组全部参与运算。

在步骤104，客户端根据密钥生成信息生成本次会议的密钥。

本发明实施例中，客户端接收会控服务器发送密钥生成信息，并根据随机数、使用哪几组随机数以及使用的算法，生成本次会议的密钥。

在步骤105，接收加密服务器的密钥轮换信息，生成新的会议密钥进行加密会议密钥的轮换。

本发明实施例中，会控服务器接收到加密服务器发送密钥轮换信息,会控服务器发送新的密钥生成信息给客户端，客户端利用新的密钥生成信息生成新的加密会议的密钥进行媒体流的加解密。

实施例2

图2为根据本发明的客户端注册及登录流程图，下面将参考图2，对本发明的客户端注册及登录流程进行详细描述。

在步骤201，客户端向身份认证服务器发送身份标识及注册信息。

本发明实施例中，客户端A发送自己的身份标识、所在机构的名称、客户端所在的群组名称、客户端参加会议的唯一的设备id、设备类型等注册信息给身份认证服务器进行注册。

在步骤202，身份认证服务器生成对应该客户端的唯一身份授权码发送给客户端。

本发明实施例中，身份认证服务器根据客户端的注册信息生成客户端对应的唯一的身份授权码并发送给客户端。

在步骤203，客户端向身份认证服务器发送身份标识及密码进行登录。

本发明实施例中，客户端在身份认证服务器完成注册和登录后，身份认证服务器提示登录成功，客户端可以向会控服务器申请创建并加入一个加密会议。

实施例3

图3为根据本发明的客户端请求加密会议及入会流程图，下面将参考图3，对本发明的客户端请求加密会议及入会流程进行详细描述。

在步骤301，客户端向会控服务器发送加密会议请求信息，请求创建并加入加密会议。

本发明实施例中，客户端向会控服务器发送的加密会议请求信息，包括，客户端的身份标识以及加密会议的安全级别。

在步骤302，会控服务器对客户端进行识别，判断是否允许客户端创建并加入加密会议。如果允许客户端创建并加入加密会议，则进行下一步骤；否则提示客户端不允许创建并加入加密会议。

本发明实施例中，会控服务器对客户端进行识别，是会控服务器从身份认证服务器获取该客户端身份标识对应的唯一的身份授权码并进行比对操作，具体包括：

(1)将客户端的身份标识和对应的密码与身份授权码中对应的身份标识和密码进行比对，一致则通过，密码错误不通过；

(2)将客户端的所在机构名称和身份认证服务器中的客户端身份标识对应的授权码中的机构名称进行比对；这一步骤保证了不在同一机构的客户端或者不允许的组织机构不能参加保密会议；

(3)将客户端的所在群组名称和身份认证服务器中的客户端身份标识对应的授权码中的群组名称比对；保证即使在同一组织机构，但不在同一群组或不允许的群组不能加入加密会议；

(4)将客户端的设备id、设备类型与身份认证服务器中的客户端身份标识对应的授权码中的设备id、设备类型比对；保证了若是加入的某些安全级别较高的会议要求只能在特定机构的特定设备进行会议，其他设备不允许参加会议，进一步保证了会议的安全性。

(5)会控服务器根据会议的安全级别结合上述比对结果，判断是否允许客户端创建并加入加密会议(开始一个加密会议)；当会议级别为普通时符合上述条件中的(1)时，就可以加入加密会议；当会议级别为较高时，符合上述条件中的(1)、(2)、(3)时可以加入加密会议；当会议级别为最高时，客户端须全部符合上述条件方可加入加密会议。

在步骤303，会控服务器比对成功后，根据会议类型和会议安全级别分配会议号(CONF_SEC)并向客户端发送开始会议成功消息。

实施例4

图4为根据本发明的密钥轮换流程图，下面将参考图4，对本发明的密钥轮换流程进行详细描述。

在步骤401，会控服务器向客户端发送密钥生成信息。

本发明实施例中，会控服务器发送给客户端的密钥生成信息，包括，

随机数：为3组或3组以上的随机数；

使用随机数的组数：具体使用哪几组随机数作为生成会议密钥算法的输入参数；

使用的算法：使用哪种算法生成最终的会议密钥。

本发明实施例中，使用的算法，包括但不限于平方运算、阶乘运算、对数运算、指数运算、傅里叶变换等，这些算法可以是随机数组中的单个组内的随机数之间运算，也可以是随机数组中的某2组或3组全部参与运算。

在步骤402，客户端根据密钥生成信息生成本次加密会议的密钥。

本发明实施例中，客户端接收会控服务器发送密钥生成信息，并根据随机数、使用哪几组随机数以及使用的算法，生成本次加密会议的密钥。

在步骤403，客户端利用本次加密会议的密钥进行流媒体加解密，进行加密会议。

在步骤404，会控服务器对加密会议是否进行密钥轮换进行判断；如果是进行下一步骤，如果不是则转到步骤407。

本发明实施例中，加密服务器向会控服务器发送密钥轮换信息，会控服务器接收到密钥轮换信息后，则认为本次加密会议需要进行密钥轮换。

在步骤405，会控服务器向客户端发送密钥生成信息。

本发明实施例中，会控服务器发送给客户端的新的密钥生成信息，包括，

随机数：为3组或3组以上的随机数；

使用随机数的组数：具体使用哪几组随机数作为生成会议密钥算法的输入参数；

使用的算法：使用哪种算法生成最终的会议密钥。

在步骤406，客户端根据新的密钥生成信息生成本次加密会议的新的密钥。

本发明实施例中，客户端接收会控服务器发送得新的密钥生成信息，并根据随机数、使用哪几组随机数以及使用的算法，生成本次加密会议的新的密钥。

在步骤407，客户端确认是否离开本次加密会议；如果不离开则返回步骤403利用新的密钥进行流媒体加解密，继续进行加密会议。

本发明实施例中，在客户端在第一次入会时，会控服务器发送两条消息给客户端，第一条消息包含3组或以上的随机数组，每组含16个字节的随机数；第二条消息包含2部分内容：(1)具体使用哪几组随机数作为生成加密会议密钥算法的输入参数，(2)使用哪种算法生成最终的会议密钥，这些算法中包括但不限于平方运算，阶乘运算，对数运算，指数运算，傅里叶变换等，这些算法可以是随机数组中的单个组内的随机数之间运算，也可以是随机数组中的某2组或3组全部参与运算。例如，本次会议的密钥的三组随机数分别为：

在客户端在第一次入会时，会控服务器发送两条消息给客户端，第一条消息包含3组随机数，每组含16个字节的随机数；第二条消息包含2部分内容：(1)具体使用3组中的哪几组随机数作为生成会议密钥算法的输入参数，(2)使用哪种算法生成最终的会议密钥，这些算法中包括但不限于平方运算，阶乘运算，对数运算，指数运算，傅里叶变换等，这些算法可以是3组随机数中的单个组内的随机数之间运算，也可以是3组随机数中的某2组或3组全部参与运算。举例说明：本次会议的密钥的三组随机数分别为：

a组：

b组：

c组：

密钥生成算法采用第1组(a组)和第三组(c组)的所有元素自身做平方运算后，对应序号元素相加再开方取结果中整数值部分，则经过运算后则生成的会议密钥如下：

当第二个客户端申请入会时，会控服务器将同样的2条消息(包含三组随机数的消息和哪种算法的消息)发送给第二个客户端。

本发明实施例中，为了确保会议密钥在长时间使用时不被泄露，增加了密钥轮换的机制：在加密会议进行中，加密服务器发送密钥轮换的通知给会控服务器，会控服务器接收到密钥轮换的通知后，重新随机生成随机数组作为生成新的加密会议密钥的元素(输入参数)以及本次密钥轮换采用哪种新的算法生成新的密钥。例如，如本次密钥轮换新的3组随机数如下：

p组：

q组：

r组：

本轮密钥轮换采用第2组(q组)和第3组(r组)的对应元素(随机数)作为生成新密钥的输入元素，以q组的相应元素作为底数，以r组的相应元素作为指数，求以e为底的对数运算后，再除以4以后取整数。具体密钥算法为：

则本轮新生成的密钥为:

会控服务器发送给每个客户端的消息均须使用每个客户端的公钥进行非对称加密。客户端接收到非对称加密的消息后，再分别使用自己的私钥进行解密，获取原始的消息后，对消息进行解析，获取3组随机数和新算法后再进行密钥轮换的新的密钥的运算。

密钥轮换的机制进一步提高会议的安全性，会议密钥可采用不定时或线性轮换等不同方式，加密服务器决定是否进行密钥轮换。

本发明实施例中，如果其它客户端申请加入某一个客户端创建的加密会议，据需要如上述所述的向身份认证服务器进行注册和登录，得到会控服务器允许后才可加入会议。

本发明的视频会议轮换加密的方法，客户端A需要首先注册到身份认证服务器上，在注册时，客户端A需要发送自己的身份标识，所在机构的机构名称，客户端所有的群组名称，客户端的使用机器的唯一的设备id，以及设备类型等信息给身份认证服务器，身份认证服务器根据这些信息生成该客户端对应的唯一的授权码，客户端在入会前需要登录，在登录时发送自己的身份标识以及密码给身份认证服务器进行登录，身份认证服务器验证通过后登录成功。

客户端A开始一个加密会议，发送自己的身份标识以及会议的安全级别给会控服务器，会控服务器从身份认证服务器获取该客户端身份标识对应的身份授权码，一一进行比对成功后，会控服务器允许客户端入会；若所在相同机构的客户端B登录了系统，加入客户端A开始的加密会议，会控服务器从身份认证服务器获取客户端B身份标识对应的唯一授权码，进行比对：

为了进一步提高会议的安全性，会议密钥采用不定时轮换方式，加密服务器决定是否进行密钥轮换，密钥轮换时，加密服务器发送通知给身份认证服务器器，通知加密服务器此次密钥轮换采用哪种轮换算法进行密钥轮换；身份认证服务器接收到密钥轮换通知后发送给客户端；同时，身份认证服务器根据加密服务器的此次通知的轮换算法，结合每个客户端的授权码，生成每个客户端对应的密钥轮换码，将密钥轮换码进行非对称加密后发送给客户端。

每个客户端使用自己的身份标识，所在机构码，所在群组码，设备id和设备类型等信息进行非对称解密，获取密钥轮换码，使用密钥轮换码结合通知的新的密钥生成算法，计算出新的会议密钥。

实施例5

图5为本发明的一个实施例电子设备的结构示意图，如图5所示，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器504。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是ISA(Industry Standard Architecture，工业标准体系结构)总线、PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。

处理器从非易失性存储器中读取对应的计算机程序到存储器中然后运行，在逻辑层面上形成共享资源访问控制装置。处理器，执行存储器所存放的程序，并具体用于执行如上文所述的视频会议轮换加密方法的步骤。

实施例6

本发明实施例中，还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序运行时执行如上文所述的视频会议轮换加密方法的步骤。

本领域普通技术人员可以理解：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。