概述：

GB35114是在GB28181基础上扩展而来，增加了身份认证和数据加密。LiveNVR设备通过GB35114注册到LiveGBS时，LiveGBS平台端需要校验LiveNVR设备的身份，这是单向认证。同时可选LiveNVR也检验LiveGBS平台的身份，如果互相校验就为双向认证。注册认证通过后，LiveNVR就可以通过GB35114注册到LiveGBS平台了，之后平台向设备发起的信令请求也都需要进行加密认证。

• 注册认证

注册认证分只有平台校验设备的单向认证，以及相互校验的双向认证。

1. 单向认证（LiveNVR设备注册到LiveGBS）

1、LiveNVR向LiveGBS服务器发送REGISTER请求。增加Authorization头字段，Authorization的值为Capability，携带参数algorithm、keyversion。参数algorithm的值分为四部分，中间以分号分割。第一部分定义为“A”，为非对称算法描述，取值为设备支持的非对称算法/模式/填充方式，多种算法之间用逗号分隔。例如:A:SM2；第二部分定义为“H”，为杂凑算法描述，取值为设备支持的杂凑算法，多种算法之间用逗号分隔。例如:H:SM3；第三部分定义为“SM3”，为对称算法的描述，取值为设备支持的对称算法/模式/填充方式，多种算法之间用逗号分隔。例如:S:SM1/OFB/PKCS5，SM1/CBC/PKCS5，SM4/OFB/PKCS5，SM4/CBC/PKCS5。第四部分定义为“SI”，为签名算法的描述。例如:SI:SM3-SM2。keyversion为密钥版本号。

2、LiveGBS服务器产生随机数R1，向LiveNVR发送一个挑战响应401，响应的消息头域WWW-Authenticate取值为为UnIDirection，用来携带验证LiveGBS服务器身份的数据。携带参数random1、algorithm。random1取值为R1。algorithm 的值为LiveGBS服务器使用的安全算法。3、LiveNVR收到401 响应后，得到random1和algorithm 的值。产生随机数Ｒ2；用LiveNVR私钥对random2+ random1+LiveGBS服务器ID 做数字签名，得到结果sign1。LiveNVR重新向LiveGBS服务器发送REGISTER 请求，Authorization 取值为UnIDirection，携带random1、random2、serverid、sign1、algorithm。random2为LiveNVR产生的随机数Ｒ2，random1为LiveGBS服务器产生的随机数R1，serverid 为LiveGBS服务器设备ID，sign1 为用LiveNVR私钥对random2+random1+LiveGBS服务器ID 做数字签名后的结果，algorithm 为采用的安全算法。4.LiveGBS服务器收到请求后，校验LiveNVR签名的有效性(是否被验证过)；校验R1有效性(只能1次+时效性)；校验LiveGBS服务器ID 与自身是否相符；用设备证书校验sign1签名结果；校验成功，证明LiveNVR身份合法。用LiveNVR公钥对VKEK 加密做Base64编码后得到cryptkey，向LiveNVR发送成功响应200 OK消息，携带cryptkey参数、algorithm 参数。如果校验失败则发送拒绝服务应答。LiveNVR收到200 OK后用LiveNVR私钥解密cryptkey，即可获得VKEK 的值。

具体流程如图1：LiveNVR为具有安全功能的前端设备，LiveGBS为具有安全功能的LiveGBS。

图1、单向认证流程图

1. 双向认证：

1、LiveNVR向LiveGBS发送REGISTER请求，消息头域中携带LiveNVR的安全能力。增加Authorization头字段，Authorization的值为Capability，携带参数algorithm、keyversion。参数algorithm 的值分为四部分，中间以分号分割。第一部分定义为“A”，为非对称算法描述，取值为设备支持的非对称算法/模式/填充方式，多种算法之间用逗号分隔。例如:A:SM2；第二部分定义为“H”，为杂凑算法描述，取值为设备支持的杂凑算法，多种算法之间用逗号分隔。例如:H:SM3；第三部分定义为“SM3”，为对称算法的描述，取值为设备支持的对称算法/模式/填充方式，多种算法之间用逗号分隔。例如:S:SM1/OFB/PKCS5，SM1/ECB/PKCS5。第四部分定义为“SI”，为签名算法的描述。例如:SI:SM3-SM2。keyversion为密钥版本号。

2、LiveGBS服务器产生随机数R1，向LiveNVR发送一个挑战响应401，响应的消息头域WWW-Authenticate取值为为BIDirection，用来携带验证LiveGBS服务器身份的数据。携带参数random1、algorithm。random1取值为R1。algorithm 的值为LiveGBS服务器使用的安全算法。

3、 LiveNVR收到401 响应后，得到random1和algorithm 的值。产生随机数R2；用LiveNVR私钥对random2+ random1+LiveGBS服务器ID做数字签名，得到结果sign1。LiveNVR 重新向LiveGBS发送REGISTER请求，Authorization取值为Bidirection，携带random1、random2、serverid、sign1、algorithm。random2为LiveNVR产生的随机数R2，random1为LiveGBS服务器产生的随机数R1，serverid为LiveGBS服务器设备ID，sign1 为用LiveNVR 私钥对random2+random1+LiveGBS服务器ID做数字签名后的结果algorithm 为采用的安全算法。

4、LiveGBS服务器收到请求后，校验LiveNVR签名的有效性(是否被验证过)；校验R1有效性(只能1次+时效性)；校验LiveGBS服务器ID与自身是否相符；用设备证书校验sign1签名结果；校验成功，证明LiveNVR 身份合法。用LiveNVR 公钥对VKEK 加密得到cryptkey，用管理平台私钥对random1+random2+DeviceID+cryptkey做数字签名，得到结果sign2。向LiveNVR发送成功响应200 OK消息，携带random2、random1、DeviceID、sign2、algorithm。cryptkey 参数。random2为LiveNVR产生的随机数R2，random1为LiveGBS服务器产生的随机数R1，DeviceID为LiveNVR的ID，cryptkey为LiveNVR 公钥对VKEK 加密结果经Base64 编码后的值，sign2 为用管理平台私钥对random1+random2+DeviceID+cryptkey做数字签名后的结果，algorithm为采用的安全算法。LiveNVR 收到200 OK后，校验LiveGBS服务器签名的有效性(是否被验证过)；校验R2有效性(只能1次+时效性)；校验DeviceID与自身是否相符；用LiveGBS服务器证书校验sign2签名结果；校验成功，证明LiveGBS服务器身份合法。用LiveNVR私钥解密cryptkey，即可获得VKEK 的值。如果校验失败则发送拒绝服务应答。

图2、双向认证流程图

二、信令认证

1、信令发送方发送信令前，需要对信令消息头域中的METHOD、From、To、Call-ID、Date、密钥和消息体做杂凑运算，得到结果1，并将结果1作为Note字段的参数nonce的值，本次使用的杂凑算法作为Note字段的参数algorithm 的值。

2、信令发送方将信令发至信令接收方。

3、信令接收方接收信令，比对Date 与当前时间，如果时间之差在有效区间内则提取METHOD、From、To、Call-ID，Date、消息体、结果1、杂凑算法，使用杂凑算法对METHOD、From、To、Call-ID，Date、密钥和消息体做杂凑运算，得到结果1′，匹配结果1和结果1′。如果匹配成功，则信令认证通过，否则认证失败，丢弃该信令并终止该信令会话过程。

4、若信令接收方对收到的信令认证通过，则生成响应信令，并将即将发出的信令消息中的METHOD、From、To、Call-ID，Date、密钥、消息体做杂凑运算，得到结果2。

5、得到结果2作为Note字段的参数nonce的值，本次使用的杂凑算法作为Note字段的参数algorithm 的值，将响应信令发送给信令发送方。

6、信令发送方接收到响应信令，提取METHOD、From、To、Call-ID，Date、消息体、结果2，比对Date与当前时间，如果时间之在差在有效区间内，则将这些参数和密钥一起做杂凑运算，得到结果2′，匹配结果2和2′，如果匹配成功，则信令认证通过，否则失败，丢弃该信令。