CN110061962A - 一种视频流数据传输的方法和装置 - Google Patents

Abstract

本申请实施例提供了一种视频流数据传输的方法，所述方法应用于视联网，所述视联网包括音视频终端，所述音视频终端配置有外部数据接口，所述方法包括：音视频终端在检测到所述外部数据接口连接有加密器时，检测所述加密器是否处于开启状态；在加密器处于开启状态时，并在验证所述智能卡的第二身份信息与预存的第一身份信息一致时，音视频终端将采集到的第一视频流数据发送至所述加密器；接收所述加密器加密后的第二视频流数据，再将第二视频流数据封装为视联网协议的视联网视频流数据包发送至所述视联网。本申请实施例保证了在视联网中传输的视频流数据是被加密的数据，从而提高了视频流数据传输的安全性。

Description

一种视频流数据传输的方法和装置

技术领域

本申请涉及视联网技术领域，特别是涉及一种视频流数据传输的方法和装置。

背景技术

视联网是一个实时交换平台，是互联网的更高级形态，面对网络上潜在的巨大视频流量，视联网采用以太网的异步和包交换两个优点，在全兼容的前提下消除了以太网缺陷，具备全网端到端无缝连接，直通用户终端，直接承载IP数据包，并且，用户数据在全网范围内不需任何格式转换，能够实现目前互联网无法实现的全网高清视频实时传输。

因此，视联网将众多互联网应用推向高清视频化、统一化，高清面对面。最终将实现世界无距离，实现全球范围内人与人的距离只是一个屏幕的距离；另一方面，视联网具备分组交换的灵活、简单和低价，同时具备电路交换的品质和安全保证，在通讯历史上第一次实现了全网交换式虚拟电路，以及数据格式的无缝连接。

在实际应用中，多采用视联网进行视频会议，在视频会议中一般采用视联网进行ES(elementary stream，原始流/基本数据流)网络视频流传输，在此种传输方式中，视频流数据的安全性主要依靠视联网自身的网络特性，即视联网采用的视联网协议，一旦该视联网协议被破解，很容易对视联网内传输的视频流数据进行窃取，造成了在视联网内进行的视频会议被泄密，从而使得视频会议的安全性降低。

发明内容

鉴于上述问题，提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种视频流数据传输的方法和相应的一种用于视频流数据传输的装置。

为了解决上述技术问题，本申请实施例提供了一种视频流数据传输的方法，所述方法应用于视联网，所述视联网包括音视频终端，所述音视频终端配置有外部数据接口，所述方法包括：

所述音视频终端在检测到所述外部数据接口连接有加密器时，检测所述加密器是否处于开启状态；其中，所述加密器在连接有与所述加密器对应的智能卡时处于开启状态，在未连接有所述智能卡时处于未开启状态；

在所述加密器处于开启状态时，所述音视频终端验证所述智能卡的第二

身份信息是否与预存的第一身份信息一致；

在验证所述第二身份信息与所述第一身份信息一致时，所述音视频终端将采集到的第一视频流数据发送至所述加密器；

所述音视频终端接收所述加密器针对所述第一视频流数据返回的第二视频流数据；其中，所述第二视频流数据由所述加密器采用第一密钥对所述第一视频流数据加密后生成，所述第一密钥由所述加密器从预存的密钥文件包中查找出；

所述音视频终端将所述第二视频流数据封装为视联网协议的视联网视频流数据包，并将所述视联网视频流数据包发送至所述视联网。

可选地，所述音视频终端将采集到的第一视频流数据发送至所述加密器的步骤包括：

所述音视频终端检测所述第一视频流数据是否为I帧数据；

在检测到所述第一视频流数据为I帧数据时，所述音视频终端将所述的为I帧数据的第一视频流数据发送至所述加密器。

可选地，所述第一身份信息包括身份证号码、用户名或密码中的两种或两种以上。

可选地，所述音视频终端还部署有密钥管理系统，所述方法还包括：

在所述加密器处于开启状态时，所述音视频终端将所述加密器耦接至所

述密钥管理系统；所述密钥管理系统用于在验证所述第二身份信息与所述第一身份信息一致时，基于当前预存的多个密钥，对所述加密器中所述预存的密钥文件包进行更新。

可选地，在所述音视频终端将采集到的第一视频流数据发送至所述加密器的步骤后，所述方法还包括：

所述音视频终端在接收到来自所述视联网的第三视频流数据时，将所述第三视频流数据发送至所述加密器；其中，所述第三视频流数据包括密钥索引标识；所述加密器用于从预存的密钥文件包中提取出与所述密钥索引标识对应的第二密钥，并采用所述第二密钥对所述第三视频流数据进行解密；

所述音视频终端接收所述加密器发送的经解密后的第三视频流数据。

可选地，所述第一密钥及所述第二密钥由所述加密器从更新后的密钥文件包中查找出。

本申请实施例还提供了一种用于视频流数据传输的装置，所述装置应用于视联网，所述视联网包括音视频终端，所述音视频终端配置有外部数据接口并部署有密钥管理系统，所述装置位于所述音视频终端，包括：

第一检测模块，用于检测所述外部数据接口是否连接有加密器；

第二检测模块，用于在所述外部数据接口连接有所述加密器时，检测所述加密器是否处于开启状态；其中，所述加密器在连接有与所述加密器对应的智能卡时处于开启状态，在未连接有所述智能卡时处于未开启状态；

身份验证模块，用于在所述加密器处于开启状态时，用于在验证所述智能卡的第二身份信息是否与预存的第一身份信息一致；

明文数据发送模块，用于在验证所述第二身份信息与所述第一身份信息一致时，将采集到的第一视频流数据发送至所述加密器；

密文数据接收模块，用于接收所述加密器针对所述第一视频流数据返回的第二视频流数据；其中，所述第二视频流数据由所述加密器采用第一密钥对所述第一视频流数据加密后生成，所述第一密钥由所述加密器从预存的密钥文件包中查找出；

数据封装模块，用于将所述第二视频流数据封装为视联网协议的视联网视频流数据包，并将所述视联网视频流数据包发送至所述视联网。

可选地，所述明文数据发送模块包括：

I帧检测模块，用于检测所述第一视频流数据是否为I帧数据；

所述明文数据发送模块用于在检测所述第一视频流数据为I帧数据时，将所述的为I帧数据的第一视频流数据发送至所述加密器。

可选地，所述音视频终端还部署

有密钥管理系统，所述装置还包括：

耦接模块，用于在所述加密器处于开启状态时，将所述加密器耦接至所述密钥管理系统；所述密钥管理系统用于在验证所述第二身份信息与所述第一身份信息一致时，基于当前预存的多个密钥，对所述加密器中所述预存的密钥文件包进行更新。

可选地，所述装置还包括；

视频流数据接收并发送模块，用于在接收到来自所述视联网的第三视频流数据时，将所述第三视频流数据发送至所述加密器；其中，所述第三视频流数据包括密钥索引标识；所述加密器用于从预存的密钥文件包中提取出与所述密钥索引标识对应的第二密钥，并采用所述第二密钥对所述第三视频流数据进行解密；

明文视频流数据接收模块，用于接收所述加密器发送的经解密后的第三视频流数据。

与现有技术相比，本申请实施例具有以下优点：

首先，本申请实施例应用视联网的特性，采集视频流数据的音视频终端在发送视频流数据前先检测外接的加密器是否被启动，若被启动，再验证该加密器连接的智能卡的身份信息是否正确，在正确时，才将采集的视频流数据发送给加密器加密，因此，一方面保证了音视频终端只将视频流数据发给有权限的加密器进行加密，另一方面，保证了在视联网中传输的视频流数据是被加密的数据，即使被截取到，也无法破解该视频流数据，从而保证了视频流数据的安全性；另一方面，音视频终端将加密后的视频流数据封装为视联网协议的视频流数据后再发送至视联网，因此，保证了视频流数据只能被视联网内的设备接收并解析，而无法被除视联网外的外网中的设备解析，从而提高了视联网内的视频流数据传输的独立性和安全性。

其次，音视频终端仅将I帧数据发送至加密器进行加密，而不是关键帧的P帧则不送加密器进行加密，从而减小了加密器需要加密的数据量，提高了视频流数据的加密效率。

再次，可以通过密钥管理系统对加密器中的密钥文件包进行更新，进而实现了可以对加密器中的密钥定期更新维护，实现了以动态的密钥对视频流数据进行加密，保证加密器中使用的密钥不是过期的密钥，从而提高了视频流数据加密传输的安全性。

附图说明

图1是本申请的一种视联网的组网示意图；

图2是本申请的一种节点服务器的硬件结构示意图；

图3是本申请的一种接入交换机的硬件结构示意图；

图4是本申请的一种以太网协转网关的硬件结构示意图；

图5是本申请的一种视频流数据传输的方法实施例1的步骤流程图；

图6是本申请的一种视频流数据传输的方法实施例1的应用环境图；

图7是本申请的一种视频流数据传输的方法实施例1的加解密过程示意图；

图8是本申请的一种视频流数据传输的装置实施例2的结构框图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

视联网是网络发展的重要里程碑，是一个实时网络，能够实现高清视频实时传输，将众多互联网应用推向高清视频化，高清面对面。

视联网采用实时高清视频交换技术，可以在一个网络平台上将所需的服务，如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、VOD点播、电视邮件、个性录制(PVR)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个系统平台，通过电视或电脑实现高清品质视频播放。

为使本领域技术人员更好地理解本申请实施例，以下对视联网进行介绍：

视联网所应用的部分技术如下所述：

网络技术(NetworkTechnology)

视联网的网络技术创新改良了传统以太网(Ethernet)，以面对网络上潜在的巨大视频流量。不同于单纯的网络分组包交换(Packet Switching)或网络电路交换(CircuitSwitching)，视联网技术采用Packet Switching满足Streaming需求。视联网技术具备分组交换的灵活、简单和低价，同时具备电路交换的品质和安全保证，实现了全网交换式虚拟电路，以及数据格式的无缝连接。

交换技术(Switching Technology)

视联网采用以太网的异步和包交换两个优点，在全兼容的前提下消除了以太网缺陷，具备全网端到端无缝连接，直通用户终端，直接承载IP数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态，是一个实时交换平台，能够实现目前互联网无法实现的全网大规模高清视频实时传输，将众多网络视频应用推向高清化、统一化。

服务器技术(ServerTechnology)

视联网和统一视频平台上的服务器技术不同于传统意义上的服务器，它的流媒体传输是建立在面向连接的基础上，其数据处理能力与流量、通讯时间无关，单个网络层就能够包含信令及数据传输。对于语音和视频业务来说，视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多，效率比传统服务器大大提高了百倍以上。

储存器技术(Storage Technology)

统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作系统，将服务器指令中的节目信息映射到具体的硬盘空间，媒体内容不再经过服务器，瞬间直接送达到用户终端，用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动，资源消耗仅占同等级IP互联网的20％，但产生大于传统硬盘阵列3倍的并发流量，综合效率提升10倍以上。

网络安全技术(Network Security Technology)

视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题，一般不需要杀毒程序、防火墙，杜绝了黑客与病毒的攻击，为用户提供结构性的无忧安全网络。

服务创新技术(Service Innovation Technology)

统一视频平台将业务与传输融合在一起，不论是单个用户、私网用户还是一个网络的总合，都不过是一次自动连接。用户终端、机顶盒或PC直接连到统一视频平台，获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程，可以使用非常少的代码即可实现复杂的应用，实现“无限量”的新业务创新。

视联网的组网如下所述：

视联网是一种集中控制的网络结构，该网络可以是树型网、星型网、环状网等等类型，但在此基础上网络中需要有集中控制节点来控制整个网络。

如图1所示，视联网分为接入网和城域网两部分。

接入网部分的设备主要可以分为3类：节点服务器，接入交换机，终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连，接入交换机可以与多个终端相连，并可以连接以太网。

其中，节点服务器是接入网中起集中控制功能的节点，可控制接入交换机和终端。节点服务器可直接与接入交换机相连，也可以直接与终端相连。

类似的，城域网部分的设备也可以分为3类：城域服务器，节点交换机，节点服务器。城域服务器与节点交换机相连，节点交换机可以与多个节点服务器相连。

其中，节点服务器即为接入网部分的节点服务器，即节点服务器既属于接入网部分，又属于城域网部分。

城域服务器是城域网中起集中控制功能的节点，可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机，也可直接连接节点服务器。

由此可见，整个视联网络是一种分层集中控制的网络结构，而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。

形象地称，接入网部分可以组成统一视频平台(虚线圈中部分)，多个统一视频平台可以组成视联网；每个统一视频平台可以通过城域以及广域视联网互联互通。

视联网设备分类

1.1本申请实施例的视联网中的设备主要可以分为3类：服务器，交换机(包括以太网网关)，终端(包括各种机顶盒，编码板，存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。

1.2其中接入网部分的设备主要可以分为3类：节点服务器，接入交换机(包括以太网网关)，终端(包括各种机顶盒，编码板，存储器等)。

各接入网设备的具体硬件结构为：

节点服务器：

如图2所示，主要包括网络接口模块201、交换引擎模块202、CPU模块203、磁盘阵列模块204；

其中，网络接口模块201，CPU模块203、磁盘阵列模块204进来的包均进入交换引擎模块202；交换引擎模块202对进来的包进行查地址表205的操作，从而获得包的导向信息；并根据包的导向信息把该包存入对应的包缓存器206的队列；如果包缓存器206的队列接近满，则丢弃；交换引擎模202轮询所有包缓存器队列，如果满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零。磁盘阵列模块204主要实现对硬盘的控制，包括对硬盘的初始化、读写等操作；CPU模块203主要负责与接入交换机、终端(图中未示出)之间的协议处理，对地址表205(包括下行协议包地址表、上行协议包地址表、数据包地址表)的配置，以及，对磁盘阵列模块204的配置。

接入交换机：

如图3所示，主要包括网络接口模块(下行网络接口模块301、上行网络接口模块302)、交换引擎模块303和CPU模块304；

其中，下行网络接口模块301进来的包(上行数据)进入包检测模块305；包检测模块305检测包的目地地址(DA)、源地址(SA)、数据包类型及包长度是否符合要求，如果符合，则分配相应的流标识符(stream-id)，并进入交换引擎模块303，否则丢弃；上行网络接口模块302进来的包(下行数据)进入交换引擎模块303；CPU模块204进来的数据包进入交换引擎模块303；交换引擎模块303对进来的包进行查地址表306的操作，从而获得包的导向信息；如果进入交换引擎模块303的包是下行网络接口往上行网络接口去的，则结合流标识符(stream-id)把该包存入对应的包缓存器307的队列；如果该包缓存器307的队列接近满，则丢弃；如果进入交换引擎模块303的包不是下行网络接口往上行网络接口去的，则根据包的导向信息，把该数据包存入对应的包缓存器307的队列；如果该包缓存器307的队列接近满，则丢弃。

交换引擎模块303轮询所有包缓存器队列，在本申请实施例中分两种情形：

如果该队列是下行网络接口往上行网络接口去的，则满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零；3)获得码率操作模块产生的令牌；

如果该队列不是下行网络接口往上行网络接口去的，则满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零。

码率操作模块208是由CPU模块204来配置的，在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌，用以控制上行转发的码率。

CPU模块304主要负责与节点服务器之间的协议处理，对地址表306的配置，以及，对码率操作模块308的配置。

以太网协转网关：

如图4所示，主要包括网络接口模块(下行网络接口模块401、上行网络接口模块402)、交换引擎模块403、CPU模块404、包检测模块405、码率操作模块408、地址表406、包缓存器407和MAC添加模块409、MAC删除模块410。

其中，下行网络接口模块401进来的数据包进入包检测模块405；包检测模块405检测数据包的以太网MAC DA、以太网MAC SA、以太网length or frame type、视联网目地地址DA、视联网源地址SA、视联网数据包类型及包长度是否符合要求，如果符合则分配相应的流标识符(stream-id)；然后，由MAC删除模块410减去MAC DA、MAC SA、length or frame type(2byte)，并进入相应的接收缓存，否则丢弃；

下行网络接口模块401检测该端口的发送缓存，如果有包则根据包的视联网目地地址DA获知对应的终端的以太网MAC DA，添加终端的以太网MAC DA、以太网协转网关的MACSA、以太网length or frame type，并发送。

以太网协转网关中其他模块的功能与接入交换机类似。

终端：

主要包括网络接口模块、业务处理模块和CPU模块；例如，机顶盒主要包括网络接口模块、视音频编解码引擎模块、CPU模块；编码板主要包括网络接口模块、视音频编码引擎模块、CPU模块；存储器主要包括网络接口模块、CPU模块和磁盘阵列模块。

1.3城域网部分的设备主要可以分为2类：节点服务器，节点交换机，城域服务器。其中，节点交换机主要包括网络接口模块、交换引擎模块和CPU模块；城域服务器主要包括网络接口模块、交换引擎模块和CPU模块构成。

2、视联网数据包定义

2.1接入网数据包定义

接入网的数据包主要包括以下几部分：目的地址(DA)、源地址(SA)、保留字节、payload(PDU)、CRC。

如下表所示，接入网的数据包主要包括以下几部分：

DA

SA

Reserved

Payload

CRC

其中：

目的地址(DA)由8个字节(byte)组成，第一个字节表示数据包的类型(例如各种协议包、组播数据包、单播数据包等)，最多有256种可能，第二字节到第六字节为城域网地址，第七、第八字节为接入网地址；

源地址(SA)也是由8个字节(byte)组成，定义与目的地址(DA)相同；

保留字节由2个字节组成；

payload部分根据不同的数据报的类型有不同的长度，如果是各种协议包的话是64个字节，如果是单组播数据包话是32+1024＝1056个字节，当然并不仅仅限于以上2种；

CRC有4个字节组成，其计算方法遵循标准的以太网CRC算法。

2.2城域网数据包定义

城域网的拓扑是图型，两个设备之间可能有2种、甚至2种以上的连接，即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是，城域网设备的城域网地址却是唯一的，为了精确描述城域网设备之间的连接关系，在本申请实施例中引入参数：标签，来唯一描述一个城域网设备。

本说明书中标签的定义和MPLS(Multi-Protocol Label Switch，多协议标签交换)的标签的定义类似，假设设备A和设备B之间有两个连接，那么数据包从设备A到设备B就有2个标签，数据包从设备B到设备A也有2个标签。标签分入标签、出标签，假设数据包进入设备A的标签(入标签)是0x0000，这个数据包离开设备A时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程，也就意味着城域网的地址分配、标签分配都是由城域服务器主导的，节点交换机、节点服务器都是被动的执行而已，这一点与MPLS的标签分配是不同的，MPLS的标签分配是交换机、服务器互相协商的结果。

如下表所示，城域网的数据包主要包括以下几部分：

DA

SA

Reserved

标签

Payload

CRC

即目的地址(DA)、源地址(SA)、保留字节(Reserved)、标签、payload(PDU)、CRC。其中，标签的格式可以参考如下定义：标签是32bit，其中高16bit保留，只用低16bit，它的位置是在数据包的保留字节和payload之间。

基于视联网的上述特性，提出了本申请实施例的核心构思之一，遵循视联网的协议，在视联网中进行视频流数据的网络传输时，采集视频流数据的音视频终端在发送视频流数据前先检测外接的加密器是否被启动，若被启动，再验证该加密器连接的智能卡的身份信息是否正确，在正确时，才将采集的视频流数据发送给加密器加密，因此，一方面保证了音视频终端只将视频流数据发给有权限的加密器进行加密，另一方面，保证了在视联网中传输的视频流数据是被加密的数据，即使被截取到，也无法破解该视频流数据，保证了视频流数据的安全性；另一方面，音视频终端将加密后的视频流数据封装为视联网协议的视频流数据后再发送至视联网，因此，保证了视频流数据只能被视联网内的设备接收并解析，而无法被除视联网外的外网中的设备解析，从而提高了视联网内的视频流数据传输的独立性和安全性。

实施例一

参照图5，示出了本申请的一种视频流数据传输的方法实施例1的步骤流程图，在本申请实施例中，所述方法可以应用于视联网中，所述视联网可以包括音视频终端，所述音视频终端配置有外部数据接口。

本申请实施例的音视频终端可以是具有音视频采集、编码及传输功能的设备，例如，可以是安装有摄像头和麦克风的电脑、手机、平板电脑等设备；在视联网中，音视频终端可以将摄像头采集的视频流数据进行编码后传输到网络中；外部数据接口可以理解为是进行数据传输时向数据连接线输出数据的接口，本申请实施例的外部数据接口可以是USB数据接口。

本申请实施例的视频流数据传输的方法可以包括以下步骤：

步骤501，所述音视频终端在检测到所述外部数据接口连接有加密器时，检测所述加密器是否处于开启状态。

其中，所述加密器在连接有与所述加密器对应的智能卡时处于开启状态，在未连接有所述智能卡时处于未开启状态。

本申请实施例中所述的加密器可以是是采用FPGA平台架构的硬件设备，包含控制单元、通信单元、密码运算单元、存储单元等，采用硬件描述语言编码实现加密器的通信、数据加密和密钥存储等功能。该加密器可以通过数据线与外部数据接口连接。实际中，加密器与外部数据接口连接时，可以通过集成到加密器中与加密器不可分离的数据线连接，也可以在加密器上设置一个数据接口，需要连接时，用户可以采用具有双接头数据线，将双接头数据线的一端与加密器连接，另一端与外部数据接口连接。

实际中，在加密器连接到外部数据接口时，音视频终端即可以识别出该加密器的型号，在音视频终端的显示屏上会出现加密器型号的提示信息。音视频终端在识别出加密器时，进一步会检测该加密器是否处于开启状态，具体而言，音视频终端可以通过是否能访问加密器从而检测加密器是否处于开启状态，若访问不成功，则表示加密器未处于开启状态，若访问成功，则表示加密器处于开启状态。

加密器处于开启状态可以理解为是加密器允许被访问及使用，未处于开启状态可以理解为是加密器不被允许访问及使用。本申请实施例中，加密器是用于对视频流数据进行加密的设备，为了保证视频流数据的加密安全性，加密器被设置为仅在连接有对应的智能卡时才能被开启，即，加密器仅在连接有智能卡时，才能使加密器上电开启。该连接，可以理解为是智能卡与加密器的接触式连接。

一种可选的实施方式是，加密器可以设置有智能卡卡槽，只有在智能卡卡槽中插入有对应的智能卡时，加密器才能上电开启，本申请实施例中的智能卡可以是接触式IC卡。

IC卡是集成电路卡，是一种信息载体，通过卡里的集成电路存储信息。接触式IC卡是指只有通过与IC卡接口电路进行接触式连接时，才能被识别出信息的IC卡；本申请实施例中，智能卡槽即是可以识别IC卡的IC卡接口电路，只有在智能卡槽中插入IC卡时，加密器才能被识别该IC卡，从而使得加密器上电开启。本申请实施例中，选择接触式IC卡，使得IC卡必须一直与加密器接触才能保证加密器处于开启状态，当需要关闭加密器时，拔出IC卡即可；若选择非接触式IC卡，虽然接触一次便能使加密器一直开启，而关闭加密器时，却只能解除加密器与外部数据接口的连接，这样的方式会造成加密器的突然闪退，从而引起加密器中的数据丢失或残损的问题。因此，选择接触式IC卡，使得不需要加密器时，可以先拔出IC卡，使得加密器仅处于不能被访问和使用的状态，不会造成加密器中的数据因突然闪退而丢失的问题，从而保证了加密器的性能。

本申请实施例中，智能卡需要与所述加密器对应，实际中，该对应关系可以根据对视频流安全性高低的要求进行设置。示例的，对视频流需要高度保密传输时，加密器与智能卡可以配套设置，即一对一的关系，加密器A只能与智能卡B配套使用，这样即便是其他智能卡C也不能开启加密器A；对视频流需要中度保密传输时，一个加密器可以与多个智能卡配套使用，即一对多的关系，加密器A可以与智能卡B、智能卡C及智能卡D配套使用，这样智能卡B、智能卡C及智能卡D中的任意一个智能卡都能开启加密器。

在实际应用时，智能卡可以交由具有视频流加密权限的用户进行管理和使用，从而保证仅具有权限的用户才能使用加密器，对视频流数据加密，而其他无权限用户则不能使用加密器；从而保证加密器中的密钥不能被无权限的用户获知，从而提高视频流数据的加密安全性。

步骤502，在所述加密器处于开启状态时，所述音视频终端验证所述智能卡的第二身份信息是否与预存的第一身份信息一致。

实际中，音视频终端可以访问该加密器时，首先去获取与加密器连接的智能卡的身份信息，具体实现中，智能卡携带有身份信息，该身份信息可以是表征持有该卡的用户(以下简称持卡用户)的身份信息，当智能卡与加密器连接时，加密器即能提取到智能卡中携带的身份信息，音视频终端随即可以通过访问该加密器，访问到智能卡的身份信息。

本申请实施例中，在音视频终端中预存的第一身份信息是被允许加密本音视频终端采集的视频流数据的用户(以下简称加密用户)的身份信息；这样，当加密器连接的智能卡的第二身份信息与该第一身份信息一致时，则表明使用加密器的持卡用户是被该音视频终端允许的加密用户；引入该身份验证机制，可以进一步保证音视频终端只将视频流数据发送给有权限的加密用户使用，而无权限的加密用户则不能加密该视频流数据，从而避免某些有持卡权限却无加密权限的用户截取到视频会议的视频流数据，从而对视频流数据的加密传输形成了持卡权限和加密权限两种梯度的安全性保证。

实际中，音视频终端可以预存有多个第一身份信息。本申请实施例中的身份信息可以是身份证号码、用户名或密码中的两个或两个以上的信息。

示例的，第一种情况，音视频终端参与的是高级别的视频会议，会议的主持者是1号用户，若音视频终端获取的智能卡的身份信息是2号用户，则表明虽然2号用户是有权限的持卡用户，但不是音视频终端允许的加密用户；若音视频终端获取的智能卡的身份信息是1号用户，表明1号用户是既有权限的持卡用户，也是音视频终端允许的加密用户。

实际中，多个智能卡可以具有同样的身份信息，接上例，1号用户是主持者，则参与高级别的视频会议的所有音视频终端所连接的加密器，都可以使用具有1号用户身份信息的智能卡，从而可以实现针对某个视频会议的视频流数据的单独加密。示例的，现有3个高级别的视频会议，分别是001号视频会议、002号视频会议及003号视频会议，是001号视频会议的主持者是用户A，002号视频会议的主持者是用户B，003号视频会议的主持者是用户C，则在001号视频会议中的所有音视频终端使用的智能卡的身份信息都必须是用户A的信息，若是用户B的信息，则不将视频流数据发送给加密器加密；002号视频会议及003号视频会议也是同理。从而保证了各个视频会议的加密安全性。

步骤503，在验证所述第二身份信息与所述第一身份信息一致时，所述音视频终端将采集到的第一视频流数据发送至所述加密器。

示例的，当验证第二身份信息与第一身份信息一致时，则表明持卡用户音视频终端允许的加密用户，此种情况下，音视频终端将采集到的视频流数据发送至加密器进行加密。

实际中，当验证第二身份信息与第一身份信息不一致时，则表明持卡用户不是音视频终端允许的加密用户，此种情况下，音视频终端不会将采集到的视频流数据发送至加密器进行加密，避免音视频终端采集的视频流被泄露，同时，音视频终端也不会将采集的视频流数据发送到视联网中去，即不会进行本申请实施例的后续步骤。本申请实施例使得在视联网中进行的需要加密视频通话业务需求中，参与视频会议的音视频终端只有在检测到连接有处于开启状态的加密器，并且加密器所使用的智能卡的身份信息是被音视频终端允许的加密用户时，才会将视频流数据发送给加密器加密后传输，否则，音视频终端则不会将采集的视频流数据发送到视联网，以避免视频会议被泄密。

本申请实施例中，音视频终端采集的第一视频流数据可以理解为是对摄像头采集到的原始视频帧进行编码后形成的视频流数据，该第一视频流数据可以看做是明文数据，即不携带任何的密码信息。

步骤504，所述音视频终端接收所述加密器针对所述第一视频流数据返回的第二视频流数据。

其中，所述第二视频流数据由所述加密器采用第一密钥对所述第一视频流数据加密后生成，所述第一密钥由所述加密器从预存的密钥文件包中查找出。

实际中，音视频终端采集的视频流数据是被发送至加密器，在加密器内进行加密，本申请实施例中的加密器可以是采用FPGA平台架构的硬件设备，包含控制单元、通信单元、密码运算单元、存储单元等，采用硬件描述语言编码实现加密器的通信、数据加密和密钥存储等功能。

加密器对该第一视频流数据加密时，采用的是预存到加密器中的密钥，本申请实施中的密钥都被设置为存储在加密器中的密钥文件包中，即加密器中村有密钥文件包，在密钥文件包中可以存储有多个密钥以供加密使用。本申请实施例中加密器采用的第一密钥即是从密钥文件包中查找出的其中一个密钥，一种可选的实施方式是，该第一密钥可以是加密器从密钥文件中随机抽取的密钥。

本申请实施例的密钥，可以理解为是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。具体地，加密器则是将作为明文的第一视频流数据加密成作为密文的第二视频流数据。

步骤505，所述音视频终端将所述第二视频流数据封装为视联网协议的视联网视频流数据包，并将所述视联网视频流数据包发送至所述视联网。

实际中，音视频终端是处于视联网内，在视联网内进行视频流传输时，必须遵循视联网协议，不同于在互联网内进行的视频流数据传输，具体表现在：

首先，经互联网传输视频流时，视频流传输在ISO的第三层即应用层(网络层)，通过IP地址对视频接收端和视频发送端进行识别，视频流数据包携带的是视频接收端和视频发送端的IP地址；而在视联网中传输视频流数据时，视频流传输在链路层即第二层，通过MAC地址直接对视频流的视频接收端和视频发送端进行识别，因此，在视联网中传输的视频流数据包携带的是MAC地址信息。在视联网内的视频流数据包因是传输在链路层，靠MAC地址寻址，能快速识别出视频接收端，因此，封装为视联网协议的视频流数据包在视联网内能得到更快的实时传输速度。

其次，互联网中传输的视频流数据包的格式是基于流媒体下视频传输协议下的格式，即是RTP协议的数据包格式，表明视频流数据包在互联网中传输的标准数据包格式；而在视联网中传输的视频流数据包的格式是基于视联网传输协议下的数据包格式，即2002协议的数据包格式；示例的，若视频流数据包被封装为rtp协议格式，则不能被视联网内的音视频终端识别；若视频流数据包被封装为2002协议格式，则不能被互联网内的音视频终端识别。因此，可以提高视联网内视频流数据的安全性。

本申请实施例中，音视频终端将所述第二视频流数据封装为视联网协议的视联网视频流数据包，则为第二视频流数据添加自身的MAC地址和接收端的MAC地址作为寻址协议头，添加2002协议作为视频格式协议头，之后再封装为数据包。在视联网网络传输中，都以视频流数据包的形式传输，在该视频流数据包中，第二视频流数据实际上是作为视频流数据包的净载数据。

在本申请实施例中，作为一种可选的实施方式，步骤503具体可以是以下内容：

步骤5031，所述音视频终端检测所述第一视频流数据是否为I帧数据。

视频是有各个视频帧连续组成的，视频帧又包括I帧和P帧，I帧又称帧内编码帧，是一种自带全部信息的独立帧，无需参考其他帧便可独立进行解码，通常也被称为关键帧，可以简单理解为一张静态画面，一般而言，视频序列中的第一个帧始终都是I帧。P帧也叫预测帧，P帧由它前面的I帧或P帧预测而来，它根据本帧与邻近的前一帧或几帧的不同来压缩本帧数据，即只保留本帧与前一帧或几帧数据的差异。因此，在视频传输的过程中，I帧的数据量一般会比较大，P帧的数据量比较小，因I帧是独立的帧，因此在视频数据的解码中，可以对I帧独立解码。

在一个视频中，P帧的数据量虽然小，但是数量却非常多。

本可选的实施方式中，判断第一视频流数据是否为I帧数据，即是当前采集并编码后的视频流数据携带的帧标识是否是I帧标识。

实际中，音视频终端对采集到的每一帧画面都要进行编码后发出，无论该帧是I帧和P帧都需要编码成数据格式，在对I帧编码时，因为I帧携带的是全部画面信息，数据量大，需要将该编码的I帧数据拆分为多个数据包发送，如此在本申请实施例中，将不断生成并发送的多个数据包称为第一视频流数据，每一数据包都携带有表征该数据包属于哪一帧的帧标识，因此，音视频终端将帧标识为I帧的视频流数据判断为I帧数据。

步骤5032，在检测到所述第一视频流数据为I帧数据时，所述音视频终端将所述的为I帧数据的第一视频流数据发送至所述加密器。

音视频终端在检测到第一视频流数据是I帧数据时，才将该第一视频流数据发送至加密器加密，若不是I帧数据，则不用发送至加密器加密；这是因为，解码P帧时必须由前面的一帧或几帧数据进行解码，即即使P帧数据被捕获到，若没有I帧数据，也不能实现对P帧数据的解码。因此，本申请实施例中，仅仅对是I帧的视频流数据加密。

相比于对音视频终端采集的全部视频流数据进行加密的情况，仅对I帧的视频流数据加密，不仅可以保证视频流的安全性，不影响视频流数据在接收端的被解压，可以从整体上减小加密器需要加密的视频流数据的大小，而且因为可以不用对P帧视频流数据加密，进一步又可以减少加密器对视频流数据的加密次数，从而保证了加密器的使用性能，也提高了视频流数据加密的效率。

本申请实施例中，一种可选的实施方式是：所述音视频终端还部署有密钥管理系统，在步骤502中，还包括以下内容：

所述音视频终端将所述加密器耦接至所述密钥管理系统。

其中，所述密钥管理系统用于在验证所述第二身份信息与所述第一身份信息一致时，基于当前预存的多个密钥，对所述加密器中所述预存的密钥文件包进行更新。

视频终端将加密器耦接至所述密钥管理系统，即是音视频终端在确认可以访问并使用加密器时，将加密器与密钥管理系统进行通信连接，实际中，检测到加密器时，音视频终端自动启动密钥管理系统，并将该密钥管理系统的登录界面显示在音视频终端的显示界面上，以供用户选择是否进行后续的密钥管理工作。

密钥管理系统可以是安装在音视频终端上的管理软件，示例的，若音视频终端是手机，则密钥管理系统可以是兼容安卓系统的手机APP或兼容苹果系统的手机APP，若音视频终端是电脑，则密钥管理系统可以是windows系统下的软件。

密钥管理系统中预存的多个密钥(以下简称系统密钥)可以是由用户预先存储进去，也可以是从视联网内的核心服务器上获取的。打开该密钥管理系统后，用户可以通过登录界面，输入该智能卡的第二身份信息，也可以由管理系统自动从加密器中读取第二身份信息。同样地，只有当加密器所连接的智能卡身份信息与密钥管理系统预存的第一身份信息一致时，才能对加密器中的存储的密钥(以下简称加密器密钥)进行更新，在本申请实施例中，该更新依据系统密钥对加密器密钥进行更新，即通过更新使得加密器密钥与系统密钥可以保持动态同步，因而，本申请实施例的更新可以是密钥删除操作或密钥新增操作。

本申请实施例中，一种可选的实施方式是，本申请实施例中的音视频终端不仅可以将采集到的视频流数据发送至加密器加密，也可以利用加密器对接收到的被加密的视频流数据进行解密。具体地，在本申请中，在步骤503之后的任何一个步骤中，还可以包括以下步骤：

步骤506，所述音视频终端在接收到来自所述视联网的第三视频流数据时，将所述第三视频流数据发送至所述加密器。

其中，所述第三视频流数据包括密钥索引标识；所述加密器用于从预存的密钥文件包中提取出与所述密钥索引标识对应的第二密钥，并采用所述第二密钥对所述第三视频流数据进行解密。

实际中，音视频终端可以从视联网核心服务器处接收该第三视频流数据，在视联网内，任何的终端采集的音视频流数据都需要经过视联网核心服务器的转发到达接收端，密钥索引标识可以理解为是加密该第三视频流数据时所采用的具体的密钥的ID号。加密器在对该第三视频流数据解密时，根据密钥的ID号查找出对应的解密密钥，即加密器需要从密钥文件包中提取出与加密第三视频流数据的密钥对应的解密密钥时，才能解密该第三视频流数据。

示例的，若采用的是公钥密钥即非对称密钥加密，第三视频流数据的密钥索引标识是123，表明是加密第三视频流数据的公钥密钥的ID号为123，则与音视频终端连接的加密器需要查找出与123的公钥密钥对应的私有密钥才能对第三视频流数据解密；若采用的是对称密钥加密，第三视频流数据的密钥索引标识是124，表明是加密第三视频流数据的密钥的ID号为124，则与音视频终端连接的加密器也需要在密钥文件包中查找出124的密钥才能对第三视频流数据解密。

步骤507，所述音视频终端接收所述加密器发送的经解密后的第三视频流数据。

经加密器对第三视频流数据解密后，返回给音视频终端的即是作为明文的第三视频流数据，音视频终端进一步可以对第三视频流数据进行解码后播放。

本申请实施例中，一种可选的实施方式是，所述第一密钥及所述第二密钥由所述加密器从更新后的密钥文件包中查找出。

即在视频流数据加密传输之前，用户可以先行通过密钥管理系统对加密器中的密钥进行更新和维护，以保证在后续的加密中，加密器中使用的密钥不是过期的密钥，从而提高了视频流数据加密传输的安全性。

图6是本申请一个具体实施例的场景图，图6中音视频终端601是安卓手机，加密器602通过一条数据线与音视频终端601进行USB连接，智能卡603与加密器602接触式连接，音视频终端1采集的视频流数据经加密后发送至视联网核心服务器604，视联网核心服务器604将视频流数据发送至音视频终端2。

如图7所示，示出了本申请视频流数据在发送端和接收端中的加解密过程示意图。图7音视频终端1是视频流数据的发送端，将采集的视频流数据发送至加密器1进行加密后，得到第二视频流数据，第二视频流数据打包为视联网视频流数据包后发送至音视频终端2，音视频终端2强视联网视频流数据包发送至加密器2进行解密后，得到解密后的视频流数据。

本申请实施例以一个音视频终端阐述视频流数据如何被加密以及如何被解密。在实际中，本申请实施例的音视频终端加密后传输的视联网视频流数据包若被传输到接收端，则接收端可以参照本申请实施例所阐述的对第三视频流数据的解密方法对视联网视频流数据包进行解密。而第三视频流数据的发送端，也可以参照本申请实施例所阐述的对第一视频流数据的加密方法形成第三视频流数据。

综上所述，本申请实施例从加密器的启动条件、视频流发送加密的条件、密钥安全维护三个方面着手，实现了视频流数据的加密传输，主要做了以下三个方面的改进：

1、只有在插入智能卡时，才能开启加密器。

2、只有在验证智能卡的身份信息是被音视频终端允许的身份信息时，才发送视频流加密。

3、只有验证智能卡的身份信息是被音视频终端允许的身份信息时，才能对加密器中的密钥进行维护，避免加密器中的密钥被无权限的用户篡改，以及避免加密器中存储的密钥是过期的密钥或被破解的密钥，从而可以提高密钥自身的安全性。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

实施例二

参照图8，示出了本申请的一种用于视频流数据传输的装置实施例2的步骤流程图，本申请实施例中，所述装置可以应用于视联网，所述视联网包括音视频终端，所述音视频终端配置有外部数据接口并部署有密钥管理系统，所述装置位于所述音视频终端601，包括：

第一检测模块801，用于检测所述外部数据接口是否连接有加密器；

第二检测模块802，用于在所述外部数据接口连接有所述加密器时，检测所述加密器是否处于开启状态；其中，所述加密器在连接有与所述加密器对应的智能卡时处于开启状态，在未连接有所述智能卡时处于未开启状态；

身份验证模块803，用于在所述加密器处于开启状态时，用于在验证所述智能卡的第二身份信息是否与预存的第一身份信息一致；

明文数据发送模块804，用于在验证所述第二身份信息与所述第一身份信息一致时，将采集到的第一视频流数据发送至所述加密器；

密文数据接收模块805，用于接收所述加密器针对所述第一视频流数据返回的第二视频流数据；其中，所述第二视频流数据由所述加密器采用第一密钥对所述第一视频流数据加密后生成，所述第一密钥由所述加密器从预存的密钥文件包中查找出；

数据封装模块806，用于将所述第二视频流数据封装为视联网协议的视联网视频流数据包，并将所述视联网视频流数据包发送至所述视联网。

作为一种可选的实施方式，所述明文数据发送模块包括：

I帧检测模块，用于检测所述第一视频流数据是否为I帧数据；

所述明文数据发送模块用于在检测所述第一视频流数据为I帧数据时，将所述的为I帧数据的第一视频流数据发送至所述加密器。

作为一种可选的实施方式，所述音视频终端还部署有密钥管理系统，所述装置还包括：

耦接模块，用于在所述加密器处于开启状态时，将所述加密器耦接至所述密钥管理系统；所述密钥管理系统用于在验证所述第二身份信息与所述第一身份信息一致时，基于当前预存的多个密钥，对所述加密器中所述预存的密钥文件包进行更新。

作为一种可选的实施方式，所述音视频终端还部署有密钥管理系统，所述装置还包括：所述装置还包括；

视频流数据接收并发送模块，用于在接收到来自所述视联网的第三视频流数据时，将所述第三视频流数据发送至所述加密器；其中，所述第三视频流数据包括密钥索引标识；所述加密器用于从预存的密钥文件包中提取出与所述密钥索引标识对应的第二密钥，并采用所述第二密钥对所述第三视频流数据进行解密；

明文视频流数据接收模块，用于接收所述加密器发送的经解密后的第三视频流数据。

作为一种可选的实施方式，所述第一密钥及所述第二密钥由所述加密器从更新后的密钥文件包中查找出。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种视频流数据传输的方法和相应的一种视频流数据传输的装置，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种视频流数据传输的方法，其特征在于，所述方法应用于视联网，所述视联网包括音视频终端，所述音视频终端配置有外部数据接口，所述方法包括：

所述音视频终端在检测到所述外部数据接口连接有加密器时，检测所述加密器是否处于开启状态；其中，所述加密器在连接有与所述加密器对应的智能卡时处于开启状态，在未连接有所述智能卡时处于未开启状态；

在所述加密器处于开启状态时，所述音视频终端验证所述智能卡的第二身份信息是否与预存的第一身份信息一致；

在验证所述第二身份信息与所述第一身份信息一致时，所述音视频终端将采集到的第一视频流数据发送至所述加密器；

所述音视频终端接收所述加密器针对所述第一视频流数据返回的第二视频流数据；其中，所述第二视频流数据由所述加密器采用第一密钥对所述第一视频流数据加密后生成，所述第一密钥由所述加密器从预存的密钥文件包中查找出；

所述音视频终端将所述第二视频流数据封装为视联网协议的视联网视频流数据包，并将所述视联网视频流数据包发送至所述视联网。

2.根据权利要求1所述的方法，其特征在于，所述音视频终端将采集到的第一视频流数据发送至所述加密器的步骤包括：

所述音视频终端检测所述第一视频流数据是否为I帧数据；

在检测到所述第一视频流数据为I帧数据时，所述音视频终端将所述的为I帧数据的第一视频流数据发送至所述加密器。

3.根据权利要求1所述的方法，其特征在于，所述第一身份信息包括身份证号码、用户名或密码中的两种或两种以上。

4.根据权利要求1所述的方法，其特征在于，所述音视频终端还部署有密钥管理系统，所述方法还包括：

在所述加密器处于开启状态时，所述音视频终端将所述加密器耦接至所述密钥管理系统；所述密钥管理系统用于在验证所述第二身份信息与所述第一身份信息一致时，基于当前预存的多个密钥，对所述加密器中所述预存的密钥文件包进行更新。

5.根据权利要求4所述的方法，其特征在于，在所述音视频终端将采集到的第一视频流数据发送至所述加密器的步骤后，所述方法还包括：

所述音视频终端在接收到来自所述视联网的第三视频流数据时，将所述第三视频流数据发送至所述加密器；其中，所述第三视频流数据包括密钥索引标识；所述加密器用于从预存的密钥文件包中提取出与所述密钥索引标识对应的第二密钥，并采用所述第二密钥对所述第三视频流数据进行解密；

所述音视频终端接收所述加密器发送的经解密后的第三视频流数据。

6.根据权利要求5所述的方法，其特征在于，所述第一密钥及所述第二密钥由所述加密器从更新后的密钥文件包中查找出。

7.一种用于视频流数据传输的装置，其特征在于，所述装置应用于视联网，所述视联网包括音视频终端，所述音视频终端配置有外部数据接口并部署有密钥管理系统，所述装置位于所述音视频终端，包括：

第一检测模块，用于检测所述外部数据接口是否连接有加密器；

第二检测模块，用于在所述外部数据接口连接有所述加密器时，检测所述加密器是否处于开启状态；其中，所述加密器在连接有与所述加密器对应的智能卡时处于开启状态，在未连接有所述智能卡时处于未开启状态；

身份验证模块，用于在所述加密器处于开启状态时，用于在验证所述智能卡的第二身份信息是否与预存的第一身份信息一致；

明文数据发送模块，用于在验证所述第二身份信息与所述第一身份信息一致时，将采集到的第一视频流数据发送至所述加密器；

密文数据接收模块，用于接收所述加密器针对所述第一视频流数据返回的第二视频流数据；其中，所述第二视频流数据由所述加密器采用第一密钥对所述第一视频流数据加密后生成，所述第一密钥由所述加密器从预存的密钥文件包中查找出；

数据封装模块，用于将所述第二视频流数据封装为视联网协议的视联网视频流数据包，并将所述视联网视频流数据包发送至所述视联网。

8.根据权利要求7所述的装置，其特征在于，所述明文数据发送模块包括：

I帧检测模块，用于检测所述第一视频流数据是否为I帧数据；

所述明文数据发送模块用于在检测所述第一视频流数据为I帧数据时，将所述的为I帧数据的第一视频流数据发送至所述加密器。

9.根据权利要求7所述的装置，其特征在于，所述音视频终端还部署有密钥管理系统，所述装置还包括：

耦接模块，用于在所述加密器处于开启状态时，将所述加密器耦接至所述密钥管理系统；所述密钥管理系统用于在验证所述第二身份信息与所述第一身份信息一致时，基于当前预存的多个密钥，对所述加密器中所述预存的密钥文件包进行更新。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括；

视频流数据接收并发送模块，用于在接收到来自所述视联网的第三视频流数据时，将所述第三视频流数据发送至所述加密器；其中，所述第三视频流数据包括密钥索引标识；所述加密器用于从预存的密钥文件包中提取出与所述密钥索引标识对应的第二密钥，并采用所述第二密钥对所述第三视频流数据进行解密；

明文视频流数据接收模块，用于接收所述加密器发送的经解密后的第三视频流数据。