CN116614599B - 一种安全加密的视频监控方法、装置及存储介质 - Google Patents
一种安全加密的视频监控方法、装置及存储介质 Download PDFInfo
- Publication number
- CN116614599B CN116614599B CN202310235452.7A CN202310235452A CN116614599B CN 116614599 B CN116614599 B CN 116614599B CN 202310235452 A CN202310235452 A CN 202310235452A CN 116614599 B CN116614599 B CN 116614599B
- Authority
- CN
- China
- Prior art keywords
- video
- key
- authentication
- sip server
- video stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 93
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000011664 signaling Effects 0.000 claims abstract description 82
- 238000004891 communication Methods 0.000 claims abstract description 26
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 24
- 230000007246 mechanism Effects 0.000 claims abstract description 22
- 230000002787 reinforcement Effects 0.000 claims abstract description 11
- 239000012634 fragment Substances 0.000 claims description 45
- 238000004422 calculation algorithm Methods 0.000 claims description 26
- 238000012795 verification Methods 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 11
- 239000000284 extract Substances 0.000 claims description 8
- 238000005538 encapsulation Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000007123 defense Effects 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 description 8
- 238000012806 monitoring device Methods 0.000 description 5
- 230000008520 organization Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Power Engineering (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种安全加密的视频监控方法、装置及存储介质,其中,安全加密的视频监控方法包括:待接入的网络摄像机与安全管理平台上的SIP服务器完成双向身份认证机制,通过认证后接入系统并采集视频数据;监控客户端向网络摄像机或媒体服务器调取监控视频时,经由安全管理平台进行信令认证,通过信令安全加固机制调取视频。本方案能够建立起覆盖视频监控系统关键通信节点的防线,维护系统通信安全。
Description
技术领域
本发明涉及视频监控技术领域,具体涉及一种安全加密的视频监控方法、装置及存储介质。
背景技术
随着网络摄像头的不断发展,家用视频监控系统越来越多的被用户接受并使用,用户通过监控客户端可以接收摄像头采集的音视频数据,从而可以根据音视频数据实现对家庭环境的监控,也即视频监控方法。在音视频监控方法中,为了保证家庭环境的安全,需要保证音视频监控方法的安全性。
现有的一种保证音视频监控方法的安全性的方法是:监控服务器根据第三方机构或运行商颁发的CA证书来实现摄像头和监控客户端间的匹配。
然而,现有的一种保证音视频监控方法的安全性的方法中,CA证书是由第三方机构或运行商颁发的,且一般情况下第三方机构或运行商会保存加密密钥对,这会使得家庭环境的安全掌握在第三方机构或运行商手中,当攻击方获取到第三方机构或运行商保存的加密密钥对后,家庭只能被动的进行防御,家庭环境的安全性较低。
发明内容
本发明提供一种安全加密的视频监控方法、装置及存储介质,以解决现有技术中存在的上述问题。
本发明提供一种安全加密的视频监控方法,该方法包括:
S100,待接入的网络摄像机与安全管理平台上的SIP服务器完成双向身份认证机制,通过认证后接入系统并采集视频数据;
S200,监控客户端向网络摄像机或媒体服务器调取监控视频时,经由安全管理平台进行信令认证,通过信令安全加固机制调取视频。
优选的,所述S100包括:
S101,基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;
S102,扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;
S103,通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证;
所述S200包括:
S201,构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;
S202,使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流。
优选的,所述S100还包括:
S104,待接入的网络摄像机首次向SIP服务器发送注册请求,同时携带数字证书相关信息,并且在头域中标明自身安全能力,设置设备所支持的哈希算法,以用于摘要值校验;
S105,SIP服务器解析注册请求,向LDAP服务器查询该设备的数字证书,以证实证书的有效性和合法性;通过证书预认证后,SIP服务器再解析证书并提取待接入的网络摄像机的公钥;若证书预认证未通过,SIP服务器拒绝连接,结束会话;
S106,安全管理平台产生一个随机数和一个随机的认证序号,将随机数和认证序号传给SIP服务器,SIP服务器返回响应要求对待接入的网络摄像机进行身份认;
S107,网络摄像机接收所述响应的质询消息,向LDAP服务器查询SIP服务器的数字证书,解析证书并提取公钥;
S108,待接入的网络摄像机在验证SIP服务器身份后,再一次向SIP服务器发起注册请求;SIP服务器解析请求,使用网络摄像机的公钥进行验签,通过验签结果确定待接入的网络摄像机的身份是否可信。
优选的,所述S200还包括:
S203,PKI/CA认证系统为合法接入监控系统的各SIP实体设备颁发数字证书,监控客户端与视频流发送设备先在PKI/CA认证系统上的LDAP服务器查验对方证书并获取对方公钥;
S204,客户端产生随机密钥片段并使用视频流发送设备的公钥加密,将所调取视频的标识序列和加密片段发送给与自身加密等级相同的视频流发送设备;
S205,视频流发送设备接收标识序列与加密片段,使用私钥解密得到随机密钥片段;如果视频流发送设备是网络摄像机,则直接将随机密钥片段与自身相应的加密等级值串联,生成会话密钥;若为媒体服务器,则根据视频标识序列定位已储存的某段历史视频,并解析该段视频的加密等级值,再串联随机密钥片段与加密等级值生成会话密钥。
优选的,所述S200中,通过信令安全加固机制调取视频包括:
S206,客户端发起实时视频请求;
S207,将安全管理平台上的核心SIP服务器设定为通信中间可信机构,在SIP服务器上增加信令校验过程;
S208,接收SIP服务器转发的信令,再通过向PKI/CA认证系统上的LDAP服务器查询证书,获得SIP服务器公钥后进行验签,若验签成功则表示信令由SIP服务器转发而来,且信令已通过摘要校验,请求来源设备的身份可信。
优选的,还包括:
S300,根据网络摄像机的设备特征因子为其派生设备主密钥,再根据设备主密钥和视频因子在网络摄像机内部派生视频加密密钥,用于加密经过提取处理的有效视频流。
优选的,所述S300包括:
S301,网络摄像机上线后连接系统安全管理平台,由PKI/CA认证系统为网络摄像机签发数字证书,并向密钥管理系统申请设备主密钥,通过双向身份认证后,将主密钥分发给网络摄像机;
S302,网络摄像机开始采集视频流;并提取有效视频流,并通过SM4算法进行加密;先生成密态,等待完整的密态视频流生成后,共同组包形成密文组合流;
S303,网络摄像机按照视频标识序列、密态、密态视频流的顺序封装生成密文组合流,再将组合流传输至媒体服务器储存,或发往具有相同加密等级的监控客户端进行解密与播放。
优选的,所述S300还包括:
S304,监控客户端接收从网络摄像机直接传输而来的密文组合流,或者调取流媒体服务器中储存的密文组合流;随后按照视频标识序列、密态、密态视频流的视频封装顺序分离组合流;
S305,监控客户端解析视频流的播放方式,根据播放方式获得视频序号和视频因子;
S306,监控客户端使用自身加密系数串联所述视频因子,基于SM3算法重建视频种子值;再将视频种子值串联随机数,通过SM4算法重建视频密钥加密密钥;
S307,监控客户端使用视频密钥加密密钥解密获得密态视频加密密钥,最后将密文视频流和密态视频加密密钥通过SM4算法进行解密,解密后获取明文视频流。
本发明还提供一种安全加密的视频监控装置,该装置包括:
预认证模块,用于基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;
认证信息模块,用于扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;
双向身份认证模块,用于通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证;
校验模块,用于构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;
解密模块,用于使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上的安全加密的视频监控方法。
与现有技术相比,本发明具有以下优点:
本发明提供一种安全加密的视频监控方法、装置及存储介质,其中,安全加密的视频监控方法包括:待接入的网络摄像机与安全管理平台上的SIP服务器完成双向身份认证机制,通过认证后接入系统并采集视频数据;监控客户端向网络摄像机或媒体服务器调取监控视频时,经由安全管理平台进行信令认证,通过信令安全加固机制调取视频。本方案能够建立起覆盖视频监控系统关键通信节点的防线,维护系统通信安全。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种安全加密的视频监控方法的流程图;
图2为本发明实施例中一种安全加密的视频监控方法的具体流程图;
图3为本发明实施例中一种安全加密的视频监控装置的结构示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明实施例提供了一种安全加密的视频监控方法,请参照图1,该安全加密的视频监控方法包括以下步骤:
S100,待接入的网络摄像机与安全管理平台上的SIP服务器完成双向身份认证机制,通过认证后接入系统并采集视频数据;
S200,监控客户端向网络摄像机或媒体服务器调取监控视频时,经由安全管理平台进行信令认证,通过信令安全加固机制调取视频。
上述技术方案的工作原理为:本实施例采用的方案是待接入的网络摄像机与安全管理平台上的SIP服务器完成双向身份认证机制,通过认证后接入系统并采集视频数据;监控客户端向网络摄像机或媒体服务器调取监控视频时,经由安全管理平台进行信令认证,通过信令安全加固机制调取视频。
在视频监控系统中,实现信令的可靠控制与可信交互是各类SIP功能实体建立通信连接的核心基础。由此可知,保障SIP安全对于实现系统安全通信来说至关重要。
上述技术方案的有益效果为:采用本实施例提供的方案能够建立起覆盖视频监控系统关键通信节点的防线,维护系统通信安全。
在另一实施例中,请参照图2,所述S100包括:
S101,基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;
S102,扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;
S103,通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证;
所述S200包括:
S201,构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;
S202,使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流。
上述技术方案的工作原理为:本实施例采用的方案是基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证;构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流。
上述技术方案的有益效果为:采用本实施例提供的方案基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证;构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流。
在另一实施例中,所述S100还包括:
S104,待接入的网络摄像机首次向SIP服务器发送注册请求,同时携带数字证书相关信息,并且在头域中标明自身安全能力,设置设备所支持的哈希算法,以用于摘要值校验;
S105,SIP服务器解析注册请求,向LDAP服务器查询该设备的数字证书,以证实证书的有效性和合法性;通过证书预认证后,SIP服务器再解析证书并提取待接入的网络摄像机的公钥;若证书预认证未通过,SIP服务器拒绝连接,结束会话;
S106,安全管理平台产生一个随机数和一个随机的认证序号,将随机数和认证序号传给SIP服务器,SIP服务器返回响应要求对待接入的网络摄像机进行身份认;
S107,网络摄像机接收所述响应的质询消息,向LDAP服务器查询SIP服务器的数字证书,解析证书并提取公钥;
S108,待接入的网络摄像机在验证SIP服务器身份后,再一次向SIP服务器发起注册请求;SIP服务器解析请求,使用网络摄像机的公钥进行验签,通过验签结果确定待接入的网络摄像机的身份是否可信。
上述技术方案的工作原理及有益效果为:本实施例采用的方案是待接入的网络摄像机首次向SIP服务器发送注册请求,同时携带数字证书相关信息,并且在头域中标明自身安全能力,设置设备所支持的哈希算法,以用于摘要值校验;SIP服务器解析注册请求,向LDAP服务器查询该设备的数字证书,以证实证书的有效性和合法性;通过证书预认证后,SIP服务器再解析证书并提取待接入的网络摄像机的公钥;若证书预认证未通过,SIP服务器拒绝连接,结束会话;安全管理平台产生一个随机数和一个随机的认证序号,将随机数和认证序号传给SIP服务器,SIP服务器返回响应要求对待接入的网络摄像机进行身份认;网络摄像机接收所述响应的质询消息,向LDAP服务器查询SIP服务器的数字证书,解析证书并提取公钥;待接入的网络摄像机在验证SIP服务器身份后,再一次向SIP服务器发起注册请求;SIP服务器解析请求,使用网络摄像机的公钥进行验签,通过验签结果确定待接入的网络摄像机的身份是否可信。
网络摄像机IPC通过认证后,系统将相关注册信息登记在安全管理平台上,并根据设备安全能力、设备放置区域的关键程度为其划分机密等级,该设备采集的视频数据也设定为同等机密系数,并且在后期只有拥有相应解密权限的监控客户端才能调取该设备采集的视频数据。
在另一实施例中,所述S200还包括:
S203,PKI/CA认证系统为合法接入监控系统的各SIP实体设备颁发数字证书,监控客户端与视频流发送设备先在PKI/CA认证系统上的LDAP服务器查验对方证书并获取对方公钥;
S204,客户端产生随机密钥片段并使用视频流发送设备的公钥加密,将所调取视频的标识序列和加密片段发送给与自身加密等级相同的视频流发送设备;
S205,视频流发送设备接收标识序列与加密片段,使用私钥解密得到随机密钥片段;如果视频流发送设备是网络摄像机,则直接将随机密钥片段与自身相应的加密等级值串联,生成会话密钥;若为媒体服务器,则根据视频标识序列定位已储存的某段历史视频,并解析该段视频的加密等级值,再串联随机密钥片段与加密等级值生成会话密钥。
上述技术方案的工作原理及有益效果为:本实施例采用的方案是PKI/CA认证系统为合法接入监控系统的各SIP实体设备颁发数字证书,监控客户端与视频流发送设备先在PKI/CA认证系统上的LDAP服务器查验对方证书并获取对方公钥;客户端产生随机密钥片段并使用视频流发送设备的公钥加密,将所调取视频的标识序列和加密片段发送给与自身加密等级相同的视频流发送设备;视频流发送设备接收标识序列与加密片段,使用私钥解密得到随机密钥片段;如果视频流发送设备是网络摄像机,则直接将随机密钥片段与自身相应的加密等级值串联,生成会话密钥;若为媒体服务器,则根据视频标识序列定位已储存的某段历史视频,并解析该段视频的加密等级值,再串联随机密钥片段与加密等级值生成会话密钥。
鉴于在SIP实体的即时通信中,会话密钥协商频率较低,信令传输频率较高,因此在保护信令时宜采用加密效率较高的对称算法,即需要为通信双方分配对称会话密钥,而会话密钥的协商过程可采用公钥密码算法来完成。
在另一实施例中,所述S200中,过信令安全加固机制调取视频包括:
S206,客户端发起实时视频请求;
S207,将安全管理平台上的核心SIP服务器设定为通信中间可信机构,在SIP服务器上增加信令校验过程;
S208,接收SIP服务器转发的信令,再通过向PKI/CA认证系统上的LDAP服务器查询证书,获得SIP服务器公钥后进行验签,若验签成功则表示信令由SIP服务器转发而来,且信令已通过摘要校验,请求来源设备的身份可信。
上述技术方案的工作原理及有益效果为:本实施例采用的方案是通过信令安全加固机制调取视频包括:客户端发起实时视频请求;将安全管理平台上的核心SIP服务器设定为通信中间可信机构,在SIP服务器上增加信令校验过程;接收SIP服务器转发的信令,再通过向PKI/CA认证系统上的LDAP服务器查询证书,获得SIP服务器公钥后进行验签,若验签成功则表示信令由SIP服务器转发而来,且信令已通过摘要校验,请求来源设备的身份可信。
为保护通信信令的机密性和完整性,在会话密钥协商成功的基础上,本申请给出一种以SIP服务器为核心的信令加固方法:信令发送方扩展能够实现安全功能的头域以储存信令关键头域的摘要值,并使用会话密钥加密消息体;安全管理平台上的SIP服务器对请求信令进行摘要值校验,确定头域未被篡改后对消息体签名并转发信令;信令接收方解密获取消息体,处理请求。
在另一实施例中,还包括:
S300,根据网络摄像机的设备特征因子为其派生设备主密钥,再根据设备主密钥和视频因子在网络摄像机内部派生视频加密密钥,用于加密经过提取处理的有效视频流。
设备主密钥的计算公式如下:
其中,表示第m监控区域上线的第n台网络摄像机的设备主密钥,/>表示第m监控区域上线的第n台网络摄像机的专有硬件序列,RSm表示第m监控区域的安全系数,t1表示/>的生成时间,SM3表示SM3加密算法函数。
上述技术方案的工作原理及有益效果为:本实施例采用的方案是根据网络摄像机的设备特征因子为其派生设备主密钥,再根据设备主密钥和视频因子在网络摄像机内部派生视频加密密钥,用于加密经过提取处理的有效视频流。
为全面地提升系统安全性,从视频数据安全问题着手,并针对视频数据密钥进行研究,提出了一种适应视频监控系统的密钥管理机制。首先,根据网络摄像机的设备特征因子为其派生设备主密钥,再根据设备主密钥和视频因子在网络摄像机内部派生视频加密密钥,用于加密经过提取处理的有效视频流。由于该密钥一旦泄露将直接威胁视频数据的机密性,因此生成视频密钥加密密钥来保障其安全。最后,基于上述密钥管理机制提出了一种细化的视频数据加解密方案,对密钥应用过程进行完善,并完整地给出了视频流从采集到播放中经历的加解密过程。
在另一实施例中,所述S300包括:
S301,网络摄像机上线后连接系统安全管理平台,由PKI/CA认证系统为网络摄像机签发数字证书,并向密钥管理系统申请设备主密钥,通过双向身份认证后,将主密钥分发给网络摄像机;
S302,网络摄像机开始采集视频流;并提取有效视频流,并通过SM4算法进行加密;先生成密态,等待完整的密态视频流生成后,共同组包形成密文组合流;
S303,网络摄像机按照视频标识序列、密态、密态视频流的顺序封装生成密文组合流,再将组合流传输至媒体服务器储存,或发往具有相同加密等级的监控客户端进行解密与播放。
上述技术方案的工作原理及有益效果为:本实施例采用的方案是加密过程如下:网络摄像机上线后连接系统安全管理平台,由PKI/CA认证系统为网络摄像机签发数字证书,并向密钥管理系统申请设备主密钥,通过双向身份认证后,将主密钥分发给网络摄像机;网络摄像机开始采集视频流;并提取有效视频流,并通过SM4算法进行加密;先生成密态,等待完整的密态视频流生成后,共同组包形成密文组合流;网络摄像机按照视频标识序列、密态、密态视频流的顺序封装生成密文组合流,再将组合流传输至媒体服务器储存,或发往具有相同加密等级的监控客户端进行解密与播放。
考虑到系统内的视频数据量和冗余度较大,结合视频的流式传输特点,选择使用SM4分组密码算法对视频数据进行加解密,SM4作为对称算法能够缓解计算资源消耗和时间损耗。
在另一实施例中,所述S300还包括:
S304,监控客户端接收从网络摄像机直接传输而来的密文组合流,或者调取流媒体服务器中储存的密文组合流;随后按照视频标识序列、密态、密态视频流的视频封装顺序分离组合流;
S305,监控客户端解析视频流的播放方式,根据播放方式获得视频序号和视频因子;
S306,监控客户端使用自身加密系数串联所述视频因子,基于SM3算法重建视频种子值;再将视频种子值串联随机数,通过SM4算法重建视频密钥加密密钥;
S307,监控客户端使用视频密钥加密密钥解密获得密态视频加密密钥,最后将密文视频流和密态视频加密密钥通过SM4算法进行解密,解密后获取明文视频流。
上述技术方案的工作原理及有益效果为:本实施例采用的方案是解密过程如下:监控客户端接收从网络摄像机直接传输而来的密文组合流,或者调取流媒体服务器中储存的密文组合流;随后按照视频标识序列、密态、密态视频流的视频封装顺序分离组合流;监控客户端解析视频流的播放方式,根据播放方式获得视频序号和视频因子;监控客户端使用自身加密系数串联所述视频因子,基于SM3算法重建视频种子值;再将视频种子值串联随机数,通过SM4算法重建视频密钥加密密钥;监控客户端使用视频密钥加密密钥解密获得密态视频加密密钥,最后将密文视频流和密态视频加密密钥通过SM4算法进行解密,解密后获取明文视频流。
整体流程主要涉及到密文组合流解析、视频密钥加密密钥重建、视频解密等过程,均由监控客户端完成,环境安全可信。并且监控客户端与IPC只交换了视频编号、采集时间和随机数,即便这些信息在传输中全部被截获,鉴于哈希算法单向特性,只要攻击者无法得知内部设定的机密等级系数,也就无法通过计算视频种子值和对称密钥来解密获取视频加密密钥密态视频加密密钥。因此,解密流程的设计在一定程度上能够避免密态视频加密密钥被泄露,进而保障了视频数据的机密性。
在另一实施例中,本实施例提供一种安全加密的视频监控装置,请参照图3,该装置包括:
预认证模块,用于基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;
认证信息模块,用于扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;
双向身份认证模块,用于通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证;
校验模块,用于构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;
解密模块,用于使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流。
上述技术方案的工作原理为:本实施例采用的方案是预认证模块,用于基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;认证信息模块,用于扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;双向身份认证模块,用于通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证;校验模块,用于构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;解密模块,用于使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流。
采用本实施例提供的方案能够建立起覆盖视频监控系统关键通信节点的防线,维护系统通信安全。
在另一实施例中,本实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现本申请中的安全加密的视频监控方法。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种安全加密的视频监控方法,其特征在于,包括:
S100,待接入的网络摄像机与安全管理平台上的SIP服务器完成双向身份认证机制,通过认证后接入系统并采集视频数据;
S200,监控客户端向网络摄像机或媒体服务器调取监控视频时,经由安全管理平台进行信令认证,通过信令安全加固机制调取视频;
所述S200包括:
S201,构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;
S202,使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流;
S203,PKI/CA认证系统为合法接入监控系统的各SIP实体设备颁发数字证书,监控客户端与视频流发送设备先在PKI/CA认证系统上的LDAP服务器查验对方证书并获取对方公钥;
S204,客户端产生随机密钥片段并使用视频流发送设备的公钥加密,将所调取视频的标识序列和加密片段发送给与自身加密等级相同的视频流发送设备;
S205,视频流发送设备接收标识序列与加密片段,使用私钥解密得到随机密钥片段;如果视频流发送设备是网络摄像机,则直接将随机密钥片段与自身相应的加密等级值串联,生成会话密钥;若为媒体服务器,则根据视频标识序列定位已储存的某段历史视频,并解析该段视频的加密等级值,再串联随机密钥片段与加密等级值生成会话密钥;
所述S100包括:
S101,基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;
S102,扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;
S103,通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证。
2.根据权利要求1所述的一种安全加密的视频监控方法,其特征在于,所述S100还包括:
S104,待接入的网络摄像机首次向SIP服务器发送注册请求,同时携带数字证书相关信息,并且在头域中标明自身安全能力,设置设备所支持的哈希算法,以用于摘要值校验;
S105,SIP服务器解析注册请求,向LDAP服务器查询该设备的数字证书,以证实证书的有效性和合法性;通过证书预认证后,SIP服务器再解析证书并提取待接入的网络摄像机的公钥;若证书预认证未通过,SIP服务器拒绝连接,结束会话;
S106,安全管理平台产生一个随机数和一个随机的认证序号,将随机数和认证序号传给SIP服务器,SIP服务器返回响应要求对待接入的网络摄像机进行身份认证;
S107,网络摄像机接收所述响应的质询消息,向LDAP服务器查询SIP服务器的数字证书,解析证书并提取公钥;
S108,待接入的网络摄像机在验证SIP服务器身份后,再一次向SIP服务器发起注册请求;SIP服务器解析请求,使用网络摄像机的公钥进行验签,通过验签结果确定待接入的网络摄像机的身份是否可信。
3.根据权利要求1所述的一种安全加密的视频监控方法,其特征在于,所述S200中,通过信令安全加固机制调取视频包括:
S206,客户端发起实时视频请求;
S207,将安全管理平台上的核心SIP服务器设定为通信中间可信机构,在SIP服务器上增加信令校验过程;
S208,接收SIP服务器转发的信令,再通过向PKI/CA认证系统上的LDAP服务器查询证书,获得SIP服务器公钥后进行验签,若验签成功则表示信令由SIP服务器转发而来,且信令已通过摘要校验,请求来源设备的身份可信。
4.根据权利要求1所述的一种安全加密的视频监控方法,其特征在于,还包括:
S300,根据网络摄像机的设备特征因子为其派生设备主密钥,再根据设备主密钥和视频因子在网络摄像机内部派生视频加密密钥,用于加密经过提取处理的有效视频流。
5.根据权利要求4所述的一种安全加密的视频监控方法,其特征在于,所述S300包括:
S301,网络摄像机上线后连接系统安全管理平台,由PKI/CA认证系统为网络摄像机签发数字证书,并向密钥管理系统申请设备主密钥,通过双向身份认证后,将主密钥分发给网络摄像机;
S302,网络摄像机开始采集视频流;并提取有效视频流,并通过SM4算法进行加密;先生成密态,等待完整的密态视频流生成后,共同组包形成密文组合流;
S303,网络摄像机按照视频标识序列、密态、密态视频流的顺序封装生成密文组合流,再将组合流传输至媒体服务器储存,或发往具有相同加密等级的监控客户端进行解密与播放。
6.根据权利要求5所述的一种安全加密的视频监控方法,其特征在于,所述S300还包括:
S304,监控客户端接收从网络摄像机直接传输而来的密文组合流,或者调取流媒体服务器中储存的密文组合流;随后按照视频标识序列、密态、密态视频流的视频封装顺序分离组合流;
S305,监控客户端解析视频流的播放方式,根据播放方式获得视频序号和视频因子;
S306,监控客户端使用自身加密系数串联所述视频因子,基于SM3算法重建视频种子值;再将视频种子值串联随机数,通过SM4算法重建视频密钥加密密钥;
S307,监控客户端使用视频密钥加密密钥解密获得密态视频加密密钥,最后将密文视频流和密态视频加密密钥通过SM4算法进行解密,解密后获取明文视频流。
7.一种安全加密的视频监控装置,其特征在于,包括:
预认证模块,用于基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;
认证信息模块,用于扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;
双向身份认证模块,用于通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证;
校验模块,用于构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;
解密模块,用于使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流;
还包括:
构建会话密钥协商方案,使用会话密钥加密监控客户端发出的请求信令消息体,控制SIP服务器在转发信令前对关键头域的摘要值进行校验;
使用私钥对加密消息体签名,将信令传输至视频流发送设备;设备验签后使用会话密钥解密消息体,获取媒体信息后传输视频流;
PKI/CA认证系统为合法接入监控系统的各SIP实体设备颁发数字证书,监控客户端与视频流发送设备先在PKI/CA认证系统上的LDAP服务器查验对方证书并获取对方公钥;
客户端产生随机密钥片段并使用视频流发送设备的公钥加密,将所调取视频的标识序列和加密片段发送给与自身加密等级相同的视频流发送设备;
视频流发送设备接收标识序列与加密片段,使用私钥解密得到随机密钥片段;如果视频流发送设备是网络摄像机,则直接将随机密钥片段与自身相应的加密等级值串联,生成会话密钥;若为媒体服务器,则根据视频标识序列定位已储存的某段历史视频,并解析该段视频的加密等级值,再串联随机密钥片段与加密等级值生成会话密钥;
预认证模块,包括:
基于设定的HTTP摘要认证,通过数字证书对摄像机和SIP服务器进行预认证;
扩展SIP信令以储存实现认证所需的动态序列与响应参数,并签名保护通信双方交互的认证信息;
通过摘要值校验来实现摄像机与SIP服务器之间的双向身份认证。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的安全加密的视频监控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310235452.7A CN116614599B (zh) | 2023-03-13 | 2023-03-13 | 一种安全加密的视频监控方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310235452.7A CN116614599B (zh) | 2023-03-13 | 2023-03-13 | 一种安全加密的视频监控方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116614599A CN116614599A (zh) | 2023-08-18 |
CN116614599B true CN116614599B (zh) | 2024-03-22 |
Family
ID=87680650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310235452.7A Active CN116614599B (zh) | 2023-03-13 | 2023-03-13 | 一种安全加密的视频监控方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116614599B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117061189B (zh) * | 2023-08-26 | 2024-01-30 | 上海六坊信息科技有限公司 | 一种基于数据加密的数据包传输方法及系统 |
CN116846684B (zh) * | 2023-08-30 | 2023-11-07 | 北京东大金智科技股份有限公司 | 一种视频安全接入管理方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102547239A (zh) * | 2011-12-29 | 2012-07-04 | 浙江工业大学 | 基于Android移动终端的视频监控系统 |
CN104168267A (zh) * | 2014-07-23 | 2014-11-26 | 中国科学院信息工程研究所 | 一种接入sip安防视频监控系统的身份认证方法 |
CN104753937A (zh) * | 2015-03-24 | 2015-07-01 | 江苏物联网研究发展中心 | 基于sip的安全认证注册的方法 |
CN110300287A (zh) * | 2019-07-26 | 2019-10-01 | 华东师范大学 | 一种公共安全视频监控联网摄像头接入认证方法 |
-
2023
- 2023-03-13 CN CN202310235452.7A patent/CN116614599B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102547239A (zh) * | 2011-12-29 | 2012-07-04 | 浙江工业大学 | 基于Android移动终端的视频监控系统 |
CN104168267A (zh) * | 2014-07-23 | 2014-11-26 | 中国科学院信息工程研究所 | 一种接入sip安防视频监控系统的身份认证方法 |
CN104753937A (zh) * | 2015-03-24 | 2015-07-01 | 江苏物联网研究发展中心 | 基于sip的安全认证注册的方法 |
CN110300287A (zh) * | 2019-07-26 | 2019-10-01 | 华东师范大学 | 一种公共安全视频监控联网摄像头接入认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN116614599A (zh) | 2023-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111371730B (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
US11108565B2 (en) | Secure communications providing forward secrecy | |
US6215878B1 (en) | Group key distribution | |
US7542569B1 (en) | Security of data connections | |
CN116614599B (zh) | 一种安全加密的视频监控方法、装置及存储介质 | |
US20030081774A1 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
KR101021708B1 (ko) | 그룹키 분배 방법 및 이를 위한 서버 및 클라이언트 | |
JP2008250931A (ja) | 分散情報復元システム、情報利用装置、および、検証装置 | |
JPH07325785A (ja) | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ | |
CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
CN110999202A (zh) | 用于对数据进行高度安全、高速加密和传输的计算机实现的系统和方法 | |
CN114553441B (zh) | 一种电子合同签署方法及系统 | |
CN111600948A (zh) | 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 | |
CN114826659A (zh) | 一种加密通讯方法及系统 | |
KR20060078768A (ko) | 사용자 개인키의 분산 등록을 이용한 키 복구 시스템 및그 방법 | |
CN113676330B (zh) | 一种基于二级密钥的数字证书申请系统及方法 | |
CN115766119A (zh) | 通信方法、装置、通信系统及存储介质 | |
CN112019553B (zh) | 一种基于ibe/ibbe数据共享方法 | |
CN114928503A (zh) | 一种安全通道的实现方法及数据传输方法 | |
CN112069487B (zh) | 一种基于物联网的智能设备网络通讯安全实现方法 | |
CN113839786A (zh) | 一种基于sm9密钥算法的密钥分发方法和系统 | |
CN113726503A (zh) | 一种保护web交互信息的方法及系统 | |
US8769280B2 (en) | Authentication apparatus and method for non-real-time IPTV system | |
CN114301612A (zh) | 信息处理方法、通信设备和加密设备 | |
CN114362925A (zh) | 一种密钥协商方法、装置及终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |