CN104113547B - 一种sip安全防范视频监控入网控制系统 - Google Patents
一种sip安全防范视频监控入网控制系统 Download PDFInfo
- Publication number
- CN104113547B CN104113547B CN201410352691.1A CN201410352691A CN104113547B CN 104113547 B CN104113547 B CN 104113547B CN 201410352691 A CN201410352691 A CN 201410352691A CN 104113547 B CN104113547 B CN 104113547B
- Authority
- CN
- China
- Prior art keywords
- sip
- terminal
- registering modules
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明涉及一种SIP安全防范视频监控入网控制系统,包括SIP终端、SIP服务器和认证服务器;所述SIP终端、SIP服务器及认证服务器配合完成设备入网注册,SIP终端、SIP服务器配合完成单播秘钥及安全会话协商,各通信的SIP终端间进行双向身份认证,认证通过交互数据;本发明采用在线可信第三方的实体鉴别机制,实现网络接入过程中实体之间的双向身份鉴别操作,且需要通信的两个SIP终端间需进行点对点令牌交换实现双向身份认证,建立安全的通信通道后,才能进行数据交互,这为数据的安全传输提供一个可靠的环境。
Description
技术领域
本发明涉及视频监控联网领域,尤其涉及一种SIP安全防范视频监控入网控制系统。
背景技术
SIP安全防范视频监控联网系统是基于IP网络和SIP协议(用于创建、修改和释放一个或多个参与者会话的应用层信令控制协议)的视频远程监控、传输、存储、管理的系统。该系统将分散独立的视频图像采集点进行联网,实现了跨区域的统一监控、存储、管理和资源共享。系统一般情况下包括以下组成部分:SIP终端(支持SIP协议通信的摄像机、网络硬盘录像机、用户客户端)、SIP服务器、信令安全路由网关。
作为一种重要的安全防范系统,近年来,SIP安全防范视频监控联网系统不仅在城市治安视频监控系统乃至平安城市的建设中获得了应用,而且也逐渐在一些民用的设施、居住和工作场所(如酒店、个人住所、办公室)中获得了大规模的推广。
但是,由于IP网络固有的开放式特点,IP网络和SIP协议本身存在的安全缺陷以及应用系统的网络安全隐患,设备、系统及其监控数据也就不可避免地面临着一系列的信息安全问题。
系统的信息安全,总的来说分为以下3个方面:网络接入安全、传输安全和数据存储、访问安全。其中,网络接入安全是指接入网络过程的安全,包括设备接入网络和用户接入网络两种,设备接入网络的安全是指在监控设备接入网络的过程中,实现设备与网络之间的双向身份鉴别,有效阻止不符合安全要求的视频监控设备访问网络,并且避免设备接入不符合安全要求的网络。用户接入网络的安全则是指在监控用户(客户端)在访问查看视频数据之前的接入网络过程中,网络通过对用户的身份认证实现对用户权限的有效管控。
目前,现有系统或标准中建议使用终端安全接入管理机制提供多种安全接入认证,例如使用IEEE 802.1x端口访问机制、IEEE802.11i协议等来保障网络接入安全。但是以上现有的安全技术,都存在着单向认证的安全漏洞,未考虑中间人攻击,密钥管理复杂,系统可扩展性和灵活性差等缺陷。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种SIP安全防范视频监控入网控制系统。
本发明解决上述技术问题的技术方案如下:一种SIP安全防范视频监控入网控制系统,包括SIP终端、SIP服务器和认证服务器;
所述SIP终端,其用于在进行信息交互前在SIP服务器处经过三元对等身份认证完成注册,并与SIP服务器进行单播密钥及安全会话协商,获取所需密钥;各SIP终端间还进行点对点令牌交换,实现双向身份认证,认证通过的SIP终端间进行数据交互;
所述SIP服务器,其用于与认证服务器配合为各SIP终端提供注册服务;与SIP终端进行单播密钥及安全会话协商;作为密钥分发中心,向各SIP终端分发数据交互过程所需的密钥;还用于管理网络中不同SIP终端间的SIP会话;
所述认证服务器,其用于为SIP终端和SIP服务器签发数字证书,并且作为在线可信第一方认证服务器,提供SIP终端与SIP服务器间的身份鉴别服务。
本发明的有益效果是:本发明采用在线可信第三方的实体鉴别机制,实现网络接入过程中实体之间的双向身份鉴别操作,首先各SIP终端在接入其他SIP终端前在SIP服务器处进行注册,并与SIP服务器完成单播密钥及安全会话协商,SIP服务器为需要通信的两个SIP终端下发通信链路及所需的秘钥,两个SIP终端进行点对点令牌交换实现双向身份认证,建立了安全的通信通道,为数据的安全传输提供一个可靠的环境。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述SIP终端包括第一注册模块、第一单播密钥及安全会话协商模块、终端身份双向认证模块、终端会话模块和第一注销模块;所述SIP服务器包括第二注册模块、第二单播密钥及安全会话协商模块和第二注销模块;所述认证服务器包括第三注册模块;
所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的注册过程;
所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进行SIP终端与SIP服务器的单播密钥及安全会话协商;
所述各SIP终端的终端身份双向认证模块之间交换点对点令牌,实现双向身份认证;
所述各SIP终端的终端会话模块之间传递数据;
所述第一注销模块和第二注销模块配合实现SIP终端的注销操作,注销认证通过,则SIP终端允许离网。
进一步,所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的注册过程如下:
步骤1.1:第一注册模块向第二注册模块发送触发注册请求消息M1;
步骤1.2:第二注册模块在收到第一注册模块发送的触发注册请求M1后,向所述第一注册模块发送触发注册响应消息M2;
步骤1.3:所述第一注册模块验证触发响应消息M2的合法性,若合法,向第二注册模块发送接入认证请求M3;否则返回步骤1.1;
步骤1.4:第二注册模块验证所述第一注册模块发送的接入认证请求M3的合法性,若合法,第二注册模块向第三注册模块发送证书认证请求M4,执行步骤1.5;否则向第一注册模块发送注册失败的信息,返回步骤1.1;
步骤1.5:第三注册模块验证所述第二注册模块发送的证书认证请求M4的合法性,若合法,则生成验证结果并对验证结果签名,将携带已签名的验证结果的证书认证响应消息M5发送给第二注册模块,执行步骤1.6;否则向第二注册模块发送证书认证失败的信息,返回步骤1.1;
步骤1.6:第二注册模块验证证书认证响应消息M5的合法性,若合法,则验证第三注册模块对证书验证结果的签名字段的合法性,若合法,则查看证书验证结果字段中第一注册模块的证书验证结果,根据此字段来决定是否允许第一注册模块接入,进而封装得到接入认证响应消息M6并发送给第一注册模块,执行步骤1.7;否则向第三注册模块发送认证失败的信息,返回步骤1.1;
步骤1.7:第一注册模块验证接入认证响应消息M6的合法性,若合法,则验证第三注册模块对证书验证结果的签名字段的合法性,若合法,则查看证书验证结果字段中第二注册模块的证书验证结果,根据此字段决定是否接入该第二注册模块,如决定接入该第二注册模块,则进入待会话状态;否则向第二注册模块发送认证失败的信息,返回步骤1.1。
进一步,所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进行SIP终端与SIP服务器的单播密钥及安全会话协商的过程如下:
步骤2.1:第二单播密钥及安全会话协商模块向第一单播密钥及安全会话协商模块发送单播密钥和安全会话协商请求M7;
步骤2.2:第一单播密钥及安全会话协商模块对接收到的单播密钥和安全会话协商请求M7进行验证,验证通过,则生成单播密钥和安全会话协商响应消息M8,并发送给第二单播密钥及安全会话协商模块;
步骤2.3:第二单播密钥及安全会话协商模块对接收的单播密钥和安全会话协商响应消息M8进行验证,验证通过,则生成单播密钥与安全会话协商确认消息M9,并发送给第一单播密钥及安全会话协商模块;
步骤2.4:第一单播密钥及安全会话协商模块对接收到单播密钥与安全会话协商确认。
进一步,所述各SIP终端的终端身份双向认证模块之间交换点对点令牌,实现双向身份认证的具体实现为:
步骤3.1:两个SIP终端的终端身份双向认证模块交换点对点认证令牌;
步骤3.2:两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令牌中的单播数据消息认证码,验证通过,则执行步骤3.3;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;
步骤3.3:检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所认同的一致,如果一致,则执行步骤3.4;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;
步骤3.4:检查对方的当前系统时间与自己的系统时间之差,如果在预定接受的范围内,则完成点对点认证令牌验证工作,实现点对点认证;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程。
进一步,所述第一注销模块和第二注销模块配合实现SIP终端的注销操作,注销认证通过,则SIP终端允许离网的实现过程为:
步骤4.1:SIP终端向SIP服务器发送注销请求消息M11;
步骤4.2:SIP服务器收到注销请求消息M11后生成一个挑战随机数nonce,并生成注销响应消息M12发给SIP终端;
步骤4.3:SIP终端按照以下方式计算并重新封装注销请求消息M13发送给SIP服务器;
HA1=SHA256[username||realm||password]
HA2=SHA256[method||(to:field)]
Response=SHA256[HA1||nonce||HA2]
其中,username为SIP终端的用户名,realm为SIP终端所属的SIP监控域;password为SIP终端的秘密口令;method为消息类型,to:field为接收者的账户信息,nonce为SIP服务器生成的随机数;
步骤4.4:SIP服务器验证挑战随机数nonce,从数据库中读取username所对应的password,SIP服务器按照与SIP终端相同的方式来计算得到Response’,并对比Response与Response’是否一致,若一致,则注销认证成功。
进一步,所述认证服务器还包括证书生成及下发模块,其用于生成自身数字证书、SIP终端的数字证书及SIP服务器的数字证书,并预先将SIP终端的数字证书和SIP服务器的数字证书分别下发给SIP终端和SIP服务器,并将自身的数字证书发送给SIP终端和SIP服务器。
进一步,所述SIP终端的终端身份双向认证模块还用于设定认证有效期,当有效期届满时,两个SIP终端需要进行点对点重认证操作,具体实现为两个SIP终端之间交换点对点重认证令牌,按照初次认证的步骤进行重认证;当两个SIP终端需暂时关闭会话时,两个SIP终端需交换点对点会话关闭令牌,认证通过则关闭会话;当两个SIP终端要彻底关闭通信链路时,两个SIP终端除交换点对点会话关闭令牌之外,还需要交换点对点链路关闭令牌,认证通过时,彻底关闭链路。
进一步,所述SIP终端包括SIP视频采集设备、SIP视频存储设备和SIP客户端;
所述SIP视频采集设备,其用于采集视频信息并进行处理,并将处理后的视频信息发送给SIP视频存储设备;
所述SIP视频存储设备,其用于存储SIP视频采集设备上传的视频信息,供SIP客户端调阅实时或历史视频数据;
所述SIP客户端,其用于向SIP视频存储设备发送调阅实时或历史视频数据的请求,从SIP视频存储设备获取视频数据。
进一步,所述SIP服务器其还用于实现安全信令路由功能。
附图说明
图1为本发明一种SIP安全防范视频监控入网控制系统示意图;
图2为本发明所述SIP终端、SIP服务器和认证服务器内部结构框图;
图3为本发明所述两设备间状态转换图;
图4为SIP终端注册过程示意图;
附图中,各标号所代表的部件列表如下:
1、SIP终端,2、SIP服务器,3、认证服务器。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,设定网络中三个网络元素(A、B、C元),每一个元对应网络中的一类网络实体,解释如下:
A元---SIP终端(支持SIP协议的SIP摄像机IPC、SIP网络硬盘录像机NVR、SIP用户客户端Client),即支持SIP信令协议的摄像机、网络硬盘录像机和用户客户端,由于SIP终端中都运行SIP会话所需的核心程序即SIP用户代理(SIP User Agent,SIP UA)程序,因此,在本专利中,SIP终端等同于SIP UA,SIP终端和SIP UA都是相对于SIP服务器来说的。其中,
SIP摄像机,本专利中简称为IPC,一种包括视频采集模块、视频处理模块及信息安全处理模块、视频存储模块、通信模块的网络摄像机。视频采集模块负责完成视频采集相关工作。视频处理模块负责对摄像机采集的媒体流数据进行预处理、压缩编码等相关工作。信息安全处理模块负责摄像机设备的身份鉴别,以及对媒体流数据、信令流数据进行加解密和数据完整性保护等安全操作。视频存储模块负责将经过处理后的媒体流数据进行本地存储。通信模块负责将经过处理后的媒体流数据、信令流数据等所有数据进行网络传输。
SIP网络硬盘录像机,本专利中简称NVR,提供实时媒体流(包括音/视频流)的转发服务,提供媒体流的存储、历史信息的检索和点播服务。媒体服务器接收来自SIP摄像机或其他媒体服务器等设备的密文媒体数据,并根据指令,将这些数据转发到其他单个或多个SIP用户客户端和SIP网络硬盘录像机。
SIP用户客户端,本专利中简称Client,具有接收、解密和播放码流等功能的客户端设备,主要包括用户界面、用户代理(SIP逻辑终端实体)、信息安全处理模块(如以USBKey形式存在)、媒体解码模块和媒体通信模块。
B元--SIP服务器(集SIP代理服务器、SIP重定向服务器、SIP位置服务器、SIP注册服务器等逻辑功能和实体为一体的SIP服务器平台),本专利中简称SIP Server,主要负责创建和维护SIP会话,并控制SIP终端的网络接入。
C元---后台网络的认证服务器Radius Server(也可为Diameter Server),本专利中简称认证服务器,负责为SIP终端和SIP服务器等网络实体签发公钥证书,并且作为在线可信第三方认证服务器,为其他网络实体提供实体身份鉴别服务。
在SIP服务器中运行有Radius client(或Diameter Client),负责与认证服务器Radius Server(或Diameter Server)进行通信。
所述认证服务器并不是一种SIP服务器,而是通过引入一种通用的认证服务器(Radius服务器或者Diameter服务器,Radius或者Diameter都是一种AAA协议,AAA具体指认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统)来保证网络中的SIP信令、会话以及相关通信的安全。此外,本申请,在网络架构方面也做了一些创新,比如原来的系统中信令安全路由器网关是在每一个SIP监控域中的,而本申请则是把认证服务器放在SIP监控域之外,将安全信令路由的功能转移到SIP服务器处(因为SIP的信令在后台认证服务器的帮助下已经获得了安全保护,所以可以将安全信令路由的功能转移到SIP服务器处)。
如图2所示,一种SIP安全防范视频监控入网控制系统,包括SIP终端1、SIP服务器2和认证服务器3;
所述SIP终端1,其用于在进行信息交互前在SIP服务器处经过三元对等身份认证完成注册,并与SIP服务器进行单播密钥及安全会话协商,获取所需密钥;各SIP终端间还进行点对点令牌交换,实现双向身份认证,认证通过的SIP终端间进行数据交互;
所述SIP服务器2,其用于与认证服务器配合为各SIP终端提供注册服务;与SIP终端进行单播密钥及安全会话协商;作为密钥分发中心,向各SIP终端分发数据交互过程所需的密钥;还用于管理网络中不同SIP终端间的SIP会话;
所述认证服务器3,其用于为SIP终端和SIP服务器签发数字证书,并且作为在线可信第三方认证服务器,提供SIP终端与SIP服务器间的身份鉴别服务。
其中,所述SIP终端1包括第一注册模块、第一单播密钥及安全会话协商模块、终端身份双向认证模块、终端会话模块和第一注销模块;所述SIP服务器2包括第二注册模块、第二单播密钥及安全会话协商模块和第二注销模块;所述认证服务器3包括第三注册模块。
所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的注册过程,其具体实现为:
步骤1.1:第一注册模块向第二注册模块发送触发注册请求消息M1;
步骤1.2:第二注册模块在收到第一注册模块发送的触发注册请求M1后,向所述第一注册模块发送触发注册响应消息M2;
步骤1.3:所述第一注册模块验证触发响应消息M2的合法性,若合法,向第二注册模块发送接入认证请求M3;否则返回步骤1.1;
步骤1.4:第二注册模块验证所述第一注册模块发送的接入认证请求M3的合法性,若合法,第二注册模块向第三注册模块发送证书认证请求M4,执行步骤1.5;否则向第一注册模块发送注册失败的信息,返回步骤1.1;
步骤1.5:第三注册模块验证所述第二注册模块发送的证书认证请求M4的合法性,若合法,则生成验证结果并对验证结果签名,将携带已签名的验证结果的证书认证响应消息M5发送给第二注册模块,执行步骤1.6;否则向第二注册模块发送证书认证失败的信息,返回步骤1.1;
步骤1.6:第二注册模块验证证书认证响应消息M5的合法性,若合法,则验证第三注册模块对证书验证结果的签名字段的合法性,若合法,则查看证书验证结果字段中第一注册模块的证书验证结果,根据此字段来决定是否允许第一注册模块接入,进而封装得到接入认证响应消息M6并发送给第一注册模块,执行步骤1.7;否则向第三注册模块发送认证失败的信息,返回步骤1.1;
步骤1.7:第一注册模块验证接入认证响应消息M6的合法性,若合法,则验证第三注册模块对证书验证结果的签名字段的合法性,若合法,则查看证书验证结果字段中第二注册模块的证书验证结果,根据此字段决定是否接入该第二注册模块,如决定接入该第二注册模块,则进入待会话状态;否则向第二注册模块发送认证失败的信息,返回步骤1.1。
所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进行SIP终端与SIP服务器的单播密钥及安全会话协商,其具体实现为:
步骤2.1:第二单播密钥及安全会话协商模块向第一单播密钥及安全会话协商模块发送单播密钥和安全会话协商请求M7;
步骤2.2:第一单播密钥及安全会话协商模块对接收到的单播密钥和安全会话协商请求M7进行验证,验证通过,则生成单播密钥和安全会话协商响应消息M8,并发送给第二单播密钥及安全会话协商模块;
步骤2.3:第二单播密钥及安全会话协商模块对接收的单播密钥和安全会话协商响应消息M8进行验证,验证通过,则生成单播密钥与安全会话协商确认消息M9,并发送给第一单播密钥及安全会话协商模块;
步骤2.4:第一单播密钥及安全会话协商模块对接收到单播密钥与安全会话协商确认。
所述各SIP终端的终端身份双向认证模块之间交换点对点令牌,实现双向身份认证,其具体实现为:
步骤3.1:两个SIP终端的终端身份双向认证模块交换点对点认证令牌;
步骤3.2:两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令牌中的单播数据消息认证码,验证通过,则执行步骤3.3;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;
步骤3.3:检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所认同的一致,如果一致,则执行步骤3.4;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;
步骤3.4:检查对方的当前系统时间与自己的系统时间之差,如果在预定接受的范围内,则完成点对点认证令牌验证工作,实现点对点认证;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程。
所述各SIP终端的终端会话模块之间传递数据;当SIP终端想要离网时,所述第一注销模块和第二注销模块配合实现SIP终端的注销操作,注销认证通过,则SIP终端允许离网,具体实现为:
步骤4.1:SIP终端向SIP服务器发送注销请求消息M11;
步骤4.2:SIP服务器收到注销请求消息M11后生成一个挑战随机数nonce,并生成注销响应消息M12发给SIP终端;
步骤4.3:SIP终端按照以下方式计算并重新封装注销请求消息M13发送给SIP服务器;
HA1=SHA256[username||realm||password]
HA2=SHA256[method||(to:field)]
Response=SHA256[HA1||nonce||HA2]
其中,username为SIP终端的用户名,realm为SIP终端所属的SIP监控域;password为SIP终端的秘密口令;method为消息类型,to:field为接收者的账户信息,nonce为SIP服务器生成的随机数;
步骤4.4:SIP服务器验证挑战随机数nonce,从数据库中读取username所对应的password,SIP服务器按照与SIP终端相同的方式来计算得到Response’,并对比Response与Response’是否一致,若一致,则注销认证成功。
所述认证服务器还包括证书生成及下发模块,其用于生成自身数字证书、SIP终端的数字证书及SIP服务器的数字证书,并预先将SIP终端的数字证书和SIP服务器的数字证书分别下发给SIP终端和SIP服务器,并将自身的数字证书发送给SIP终端和SIP服务器。
所述SIP终端的终端身份双向认证模块还用于设定认证有效期,当有效期届满时,两个SIP终端需要进行点对点重认证操作,具体实现为两个SIP终端之间交换点对点重认证令牌,按照初次认证的步骤进行重认证;当两个SIP终端需暂时关闭会话时,两个SIP终端需交换点对点会话关闭令牌,认证通过则关闭会话;当两个SIP终端要彻底关闭通信链路时,两个SIP终端除交换点对点会话关闭令牌之外,还需要交换点对点链路关闭令牌,认证通过时,彻底关闭链路。
所述SIP终端包括SIP视频采集设备、SIP视频存储设备和SIP客户端;
所述SIP视频采集设备,其用于采集视频信息并进行处理,并将处理后的视频信息发送给SIP视频存储设备;
所述SIP视频存储设备,其用于存储SIP视频采集设备上传的视频信息,供SIP客户端调阅实时或历史视频数据;
所述SIP客户端,其用于向SIP视频存储设备发送调阅实时或历史视频数据的请求,从SIP视频存储设备获取视频数据。
如图3所示,网络中的每一个设备为与自己直接通信的设备之间的通信维护两个状态变量:链路认证状态和会话关联状态。这两个变量为每个设备建立了三种状态:未链路认证未会话关联(初始状态)、已链路认证未会话关联、已链路认证已会话关联。
利用本发明所述SIP安全防范视频监控入网控制系统,可实现设备和用户网络接入安全。根据设备接入中安全连接的建立过程,将所有的接入过程总体上分为三个场景:
即场景1(IPC安全接入NVR,IPC将采集的视频数据加密后上传至NVR处进行密文存储);
场景2(Client安全接入NVR,Client向NVR发出视频访问请求,NVR将相应的密文视频转发给Client);
场景3(IPC、NVR、Client在SIP Server完成注销操作,离开该网络)。
上述3种场景的共同点,场景1和场景2是非常类似的,分别是IPC或Client安全接入NVR处,目的是分别与NVR进行安全通信而创建一个安全链接和会话,IPC为的是将采集的视频数据安全的传输至NVR处进行密文存储,而Client为的是访问NVR中存储的密文视频数据(实时的或历史的视频数据)。
场景3与场景1和场景2对比起来,显得不太一样,场景1和2描述的是三种SIP终端(IPC、NVR、Client)安全接入网络,并且相互之间(IPC与NVR之间、Client与NVR之间)创建安全链接和会话的过程,而场景3描述的则是三种SIP终端(IPC、NVR、Client)离开网络的过程。
在注册时,设备间的身份认证过程中,包括三种网络实体A、B、C。第三个实体C是完全被A和B信任的第三方,A和B都有由C颁发的一个公钥证书,并且C也保存有A和B的公钥证书。身份认证过程步骤如下:
1)B→A:B向A发送自己的身份信息(如公钥证书)和相关的可选信息(如对整个数据包的数字签名);
2)A→B:A向B发送自己的身份信息(如公钥证书)和相关的可选信息(如对整个数据包的数字签名);
3)B→C:B将A和B的身份信息及其他相关信息发送给在线可信第三方C来进行验证;
4)C→B:C将验证结果返回给B;
5)B→A:B依据C的验证结果来决定是否允许A接入自己,此外,B还将C的验证结果发送给A,A依据该结果来决定是否接入B。
场景1,IPC安全接入NVR,具体步骤如下:
1)NVR首先在SIP服务器处经过如图4所示的身份认证(图4中的A为NVR,B为SIP服务器、C为认证服务器)之后完成注册【(NVR VS SIP服务器)状态1→状态2,已链路认证、未会话关联】;
2)NVR与SIP服务器完成单播密钥协商过程【(NVR VS SIP服务器)状态2→状态3,已链路认证、已会话关联】,NVR等待IPC的接入(等待接收IPC的视频数据);
3)IPC在SIP服务器处经过三元对等身份认证(图4中的A为IPC,B为SIP服务器、C为认证服务器)之后完成注册【(IPC VS SIP服务器)状态1→状态2,已链路认证、未会话关联】;
4)IPC与SIP服务器完成单播密钥协商过程【(IPC VS SIP服务器)状态2→状态3,已链路认证、已会话关联】;
5)基于IPC、NVR与SIP服务器各自的单播密钥,SIP服务器扮演一个密钥分发中心的角色,生成并分发IPC与NVR peer-to-peer通信的认证密钥;
6)基于步骤5中的认证密钥,IPC与NVR完成peer-to-peer双向身份认证【(IPC VSNVR)状态1→状态2,已链路认证、未会话关联】;
7)IPC将密文视频数据上传到NVR处进行密文存储【(IPC VS NVR)状态2→状态3,已链路认证、已会话关联】;
8)在步骤6中,IPC与NVR已经建立了peer-to-peer通信链路,并且通信双方处于已链路认证、已会话关联状态。当会话的认证期满时【(IPC VS NVR)状态3→状态2,已链路认证、未会话关联】,IPC与NVR之间需要基于上次认证的共享密钥来进行重认证操作,并生成下一次重认证的密钥材料。重认证完成后【(IPC VS NVR)状态2→状态3,已链路认证、已会话关联】;
9)当IPC由于某些原因(如IPC检测到网络拥塞了)要暂时停止向NVR传输密文视频数据或者NVR由于存储空间不足时无法继续接收IPC的视频数据时,IPC、NVR在经过认证操作后,任何一方都可以主动地暂时关闭当前的视频传输会话。【(IPC VS NVR)状态3→状态2,已链路认证、未会话关联】;
当IPC要彻底断开与当前NVR的链路时(不需再创建会话,IPC将转接入其他的NVR),在经过认证操作之后,IPC、NVR中的一方都可以主动地彻底解除当前的认证链路。【(IPC VS NVR)状态2→状态1,未链路认证、未会话关联】。
场景2,Client安全接入NVR,具体步骤如下:
1)Client首先在SIP Server处经过三元对等身份认证(图4中的A为Client,B为SIP服务器、C为认证服务器)之后完成注册【(Client VS SIP服务器)状态1→状态2,已链路认证、未会话关联】;
2)Client与SIP服务器完成单播密钥协商过程【(Client VS SIP服务器)状态2→状态3,已链路认证、已会话关联】;
3)Client向SIP Server发送要访问的IPC信息和监控视频资源信息,SIP Server向Client以安全的方式下发相应的视频加密密钥,其中,IPC、视频信息与视频加密密钥的一一对应关系及相关的策略问题不在本专利规定范围内;
4)Client以安全的方式得到视频加密密钥,并与NVR完成双向身份认证的操作,接入之后【(Client VS NVR)状态1→状态2,已链路认证、未会话关联】;
5)Client向NVR发起调阅实时或历史视频数据的请求【(Client VS NVR)状态2→状态3,已链路认证、已会话关联】;
6)NVR响应步骤5中Client的请求,将密文视频发送给Client,Client接收到密文视频后,使用CK_Video来解密密文视频并播放;
7)在步骤5和6中,Client与NVR已经建立了peer-to-peer通信链路,并且通信双方处于已链路认证、已会话关联状态。当会话的认证期满时【(Client VS NVR)状态3→状态2,已链路认证、未会话关联】,Client与NVR之间需要基于上次认证的共享密钥来进行重认证操作,并生成下一次重认证的密钥材料。重认证通过之后【(Client VS NVR)状态2→状态3,已链路认证、已会话关联】;
8)当Client要暂时停止从NVR接收密文视频数据时,经过认证操作后,Client关闭与NVR的视频传输会话连接【(Client VS NVR)状态3→状态2,已链路认证、未会话关联】;
9)当Client要彻底断开与NVR的链路时(不需再创建会话),在经过认证操作之后,Client、NVR中的一方都可以主动地彻底地解除当前的认证链路【(Client VS NVR)状态2→状态1,未链路认证、未会话关联】。
场景3,IPC、NVR、Client在SIP Server完成注销操作,离开该网络,具体包括以下操作:
1)经过IPC与SIP Server之间的注销认证操作后,IPC在SIP Server完成注销彻底离开该网络。【(IPC VS SIP Server)状态3→状态1,未链路认证、未会话关联】;
2)经过Client与SIP Server之间的注销认证操作后,Client在SIP Server完成注销彻底离开该网络【(Client VS SIP Server)状态3→状态1,未链路认证、未会话关联】;
3)经过NVR与SIP Server之间的注销认证操作后,NVR在SIP Server完成注销彻底离开该网络【(NVR VS SIP Server)状态3→状态1,未链路认证、未会话关联】。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种SIP安全防范视频监控入网控制系统,其特征在于,包括SIP终端、SIP服务器和认证服务器;
所述SIP终端,其用于在进行信息交互前在SIP服务器处经过三元对等身份认证完成注册,并与SIP服务器进行单播密钥及安全会话协商,获取所需密钥;各SIP终端间还进行点对点令牌交换,实现双向身份认证,认证通过的SIP终端间进行数据交互;
所述SIP服务器,其用于与认证服务器配合为各SIP终端提供注册服务;与SIP终端进行单播密钥及安全会话协商;作为密钥分发中心,向各SIP终端分发数据交互过程所需的密钥;还用于管理网络中不同SIP终端间的SIP会话;
所述认证服务器,其用于为SIP终端和SIP服务器签发数字证书,并且作为在线可信第三方认证服务器,提供SIP终端与SIP服务器间的身份鉴别服务。
2.根据权利要求1所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述SIP终端包括第一注册模块、第一单播密钥及安全会话协商模块、终端身份双向认证模块、终端会话模块和第一注销模块;所述SIP服务器包括第二注册模块、第二单播密钥及安全会话协商模块和第二注销模块;所述认证服务器包括第三注册模块;
所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的注册过程;
所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进行SIP终端与SIP服务器的单播密钥及安全会话协商;
所述各SIP终端的终端身份双向认证模块之间交换点对点令牌,实现双向身份认证;
所述各SIP终端的终端会话模块之间传递数据;
所述第一注销模块和第二注销模块配合实现SIP终端的注销操作,注销认证通过,则SIP终端允许离网。
3.根据权利要求2所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的注册过程如下:
步骤1.1:第一注册模块向第二注册模块发送触发注册请求消息M1;
步骤1.2:第二注册模块在收到第一注册模块发送的触发注册请求M1后,向所述第一注册模块发送触发注册响应消息M2;
步骤1.3:所述第一注册模块验证触发响应消息M2的合法性,若合法,向第二注册模块发送接入认证请求M3;否则返回步骤1.1;
步骤1.4:第二注册模块验证所述第一注册模块发送的接入认证请求M3的合法性,若合法,第二注册模块向第三注册模块发送证书认证请求M4,执行步骤1.5;否则向第一注册模块发送注册失败的信息,返回步骤1.1;
步骤1.5:第三注册模块验证所述第二注册模块发送的证书认证请求M4的合法性,若合法,则生成验证结果并对验证结果签名,将携带已签名的验证结果的证书认证响应消息M5发送给第二注册模块,执行步骤1.6;否则向第二注册模块发送证书认证失败的信息,返回步骤1.1;
步骤1.6:第二注册模块验证证书认证响应消息M5的合法性,若合法,则验证第三注册模块对证书验证结果的签名字段的合法性,若合法,则查看证书验证结果字段中第一注册模块的证书验证结果,根据此字段来决定是否允许第一注册模块接入,进而封装得到接入认证响应消息M6并发送给第一注册模块,执行步骤1.7;否则向第三注册模块发送认证失败的信息,返回步骤1.1;
步骤1.7:第一注册模块验证接入认证响应消息M6的合法性,若合法,则验证第三注册模块对证书验证结果的签名字段的合法性,若合法,则查看证书验证结果字段中第二注册模块的证书验证结果,根据此字段决定是否接入该第二注册模块,如决定接入该第二注册模块,则进入待会话状态;否则向第二注册模块发送认证失败的信息,返回步骤1.1。
4.根据权利要求2所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进行SIP终端与SIP服务器的单播密钥及安全会话协商的过程如下:
步骤2.1:第二单播密钥及安全会话协商模块向第一单播密钥及安全会话协商模块发送单播密钥和安全会话协商请求M7;
步骤2.2:第一单播密钥及安全会话协商模块对接收到的单播密钥和安全会话协商请求M7进行验证,验证通过,则生成单播密钥和安全会话协商响应消息M8,并发送给第二单播密钥及安全会话协商模块;
步骤2.3:第二单播密钥及安全会话协商模块对接收的单播密钥和安全会话协商响应消息M8进行验证,验证通过,则生成单播密钥与安全会话协商确认消息M9,并发送给第一单播密钥及安全会话协商模块;
步骤2.4:第一单播密钥及安全会话协商模块对接收到单播密钥与安全会话协商确认。
5.根据权利要求2所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述各SIP终端的终端身份双向认证模块之间交换点对点令牌,实现双向身份认证的具体实现为:
步骤3.1:两个SIP终端的终端身份双向认证模块交换点对点认证令牌;
步骤3.2:两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令牌中的单播数据消息认证码,验证通过,则执行步骤3.3;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;
步骤3.3:检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所认同的一致,如果一致,则执行步骤3.4;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;
步骤3.4:检查对方的当前系统时间与自己的系统时间之差,如果在预定接受的范围内,则完成点对点认证令牌验证工作,实现点对点认证;否则返回步骤3.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程。
6.根据权利要求2所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述第一注销模块和第二注销模块配合实现SIP终端的注销操作,注销认证通过,则SIP终端允许离网的实现过程为:
步骤4.1:SIP终端向SIP服务器发送注销请求消息M11;
步骤4.2:SIP服务器收到注销请求消息M11后生成一个挑战随机数nonce,并生成注销响应消息M12发给SIP终端;
步骤4.3:SIP终端按照以下方式计算并重新封装注销请求消息M13发送给SIP服务器;
HA1=SHA256[username||realm||password]
HA2=SHA256[method||(to:field)]
Response=SHA256[HA1||nonce||HA2]
其中,username为SIP终端的用户名,realm为SIP终端所属的SIP监控域;password为SIP终端的秘密口令;method为消息类型,to:field为接收者的账户信息,nonce为SIP服务器生成的随机数;
步骤4.4:SIP服务器验证挑战随机数nonce,从数据库中读取username所对应的password,SIP服务器按照与SIP终端相同的方式来计算得到Response’,并对比Response与Response’是否一致,若一致,则注销认证成功。
7.根据权利要求2所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述认证服务器还包括证书生成及下发模块,其用于生成自身数字证书、SIP终端的数字证书及SIP服务器的数字证书,并预先将SIP终端的数字证书和SIP服务器的数字证书分别下发给SIP终端和SIP服务器,并将自身的数字证书发送给SIP终端和SIP服务器。
8.根据权利要求2所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述SIP终端的终端身份双向认证模块还用于设定认证有效期,当有效期届满时,两个SIP终端需要进行点对点重认证操作,具体实现为两个SIP终端之间交换点对点重认证令牌,按照初次认证的步骤进行重认证;当两个SIP终端需暂时关闭会话时,两个SIP终端需交换点对点会话关闭令牌,认证通过则关闭会话;当两个SIP终端要彻底关闭通信链路时,两个SIP终端除交换点对点会话关闭令牌之外,还需要交换点对点链路关闭令牌,认证通过时,彻底关闭链路。
9.根据权利要求1所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述SIP终端包括SIP视频采集设备、SIP视频存储设备和SIP客户端;
所述SIP视频采集设备,其用于采集视频信息并进行处理,并将处理后的视频信息发送给SIP视频存储设备;
所述SIP视频存储设备,其用于存储SIP视频采集设备上传的视频信息,供SIP客户端调阅实时或历史视频数据;
所述SIP客户端,其用于向SIP视频存储设备发送调阅实时或历史视频数据的请求,从SIP视频存储设备获取视频数据。
10.根据权利要求1所述一种SIP安全防范视频监控入网控制系统,其特征在于,所述SIP服务器其还用于实现安全信令路由功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410352691.1A CN104113547B (zh) | 2014-07-23 | 2014-07-23 | 一种sip安全防范视频监控入网控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410352691.1A CN104113547B (zh) | 2014-07-23 | 2014-07-23 | 一种sip安全防范视频监控入网控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104113547A CN104113547A (zh) | 2014-10-22 |
| CN104113547B true CN104113547B (zh) | 2017-04-26 |
Family
ID=51710180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410352691.1A Expired - Fee Related CN104113547B (zh) | 2014-07-23 | 2014-07-23 | 一种sip安全防范视频监控入网控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104113547B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635078A (zh) * | 2014-11-07 | 2016-06-01 | 中兴通讯股份有限公司 | 一种实现sip会话传输的方法及系统 |
| CN105162797B (zh) * | 2015-09-24 | 2018-03-09 | 广东工业大学 | 一种基于视频监控系统的双向认证方法 |
| CN105743925B (zh) * | 2016-04-19 | 2019-04-12 | 浙江宇视科技有限公司 | 一种数据传输控制方法及视频监控系统 |
| CN110096861A (zh) * | 2019-04-12 | 2019-08-06 | 檀鹏程 | 一种基于生物特征的双向分布式身份验证系统 |
| CN111935213B (zh) * | 2020-06-29 | 2023-07-04 | 杭州创谐信息技术股份有限公司 | 一种基于分布式的可信认证虚拟组网系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1658551A (zh) * | 2004-02-16 | 2005-08-24 | 华为技术有限公司 | 安全能力协商方法 |
| CN101540679A (zh) * | 2009-04-30 | 2009-09-23 | 中兴通讯股份有限公司 | 获取无线局域网鉴别和保密基础结构证书的方法及系统 |
| CN101710900A (zh) * | 2009-12-24 | 2010-05-19 | 公安部第一研究所 | 一种sip注册域内信令安全交互方法 |
-
2014
- 2014-07-23 CN CN201410352691.1A patent/CN104113547B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1658551A (zh) * | 2004-02-16 | 2005-08-24 | 华为技术有限公司 | 安全能力协商方法 |
| CN101540679A (zh) * | 2009-04-30 | 2009-09-23 | 中兴通讯股份有限公司 | 获取无线局域网鉴别和保密基础结构证书的方法及系统 |
| CN101710900A (zh) * | 2009-12-24 | 2010-05-19 | 公安部第一研究所 | 一种sip注册域内信令安全交互方法 |
Non-Patent Citations (2)
| Title |
|---|
| A PKI-free Key Agreement Protocol for P2P VOIP Applications;Riccardo Pecori;《IEEE》;20120615;第6748-6752页 * |
| 一种基于SGC-PKE的P2PSIP可认证密钥协商方案;张睿 等;《北京电子科技学院学报》;20081215;第16卷(第4期);第49-55页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104113547A (zh) | 2014-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105307108B (zh) | 一种物联网信息交互通信方法及系统 | |
| CN106134152B (zh) | 用于加入社交wi-fi网状网络的方法、设备及装置 | |
| US7627755B2 (en) | Secure broadcast/multicast service | |
| RU2406251C2 (ru) | Способ и устройство для установления безопасной ассоциации | |
| CN110290525A (zh) | 一种车辆数字钥匙的分享方法及系统、移动终端 | |
| CN103685323B (zh) | 一种基于智能云电视网关的智能家居安全组网实现方法 | |
| CN104113547B (zh) | 一种sip安全防范视频监控入网控制系统 | |
| EP1717986B1 (en) | Key distribution method | |
| US20060090067A1 (en) | Method and apparatus for performing a secure transaction in a trusted network | |
| CN104683304B (zh) | 一种保密通信业务的处理方法、设备和系统 | |
| CN104168267A (zh) | 一种接入sip安防视频监控系统的身份认证方法 | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| CN101145908A (zh) | 保障业务网络安全的系统、装置及方法 | |
| CN101547096B (zh) | 基于数字证书的网络会议系统及其管理方法 | |
| WO2008074233A1 (fr) | Procédé de contrôle d'accès p2p faisant intervenir une structure à trois éléments | |
| CN108880799B (zh) | 基于群组密钥池的多次身份认证系统和方法 | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN107911211B (zh) | 基于量子通信网络的二维码认证系统 | |
| WO2008074234A1 (fr) | Système de contrôle d'accès p2p faisant intervenir une structure à trois éléments et dispositif d'autorisation associé | |
| CN114765534A (zh) | 基于国密标识密码算法的私钥分发系统 | |
| CN100579012C (zh) | 一种终端用户安全接入软交换网络的方法 | |
| Zhang et al. | Is Today's End-to-End Communication Security Enough for 5G and Its Beyond? | |
| CN100544247C (zh) | 安全能力协商方法 | |
| CN101273571B (zh) | 跨域多网守分组网络密钥协商安全策略的实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170426 Termination date: 20200723 |