CN110300287B - 一种公共安全视频监控联网摄像头接入认证方法 - Google Patents

一种公共安全视频监控联网摄像头接入认证方法 Download PDF

Info

Publication number
CN110300287B
CN110300287B CN201910680689.XA CN201910680689A CN110300287B CN 110300287 B CN110300287 B CN 110300287B CN 201910680689 A CN201910680689 A CN 201910680689A CN 110300287 B CN110300287 B CN 110300287B
Authority
CN
China
Prior art keywords
authentication server
camera terminal
terminal equipment
authentication
camera
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910680689.XA
Other languages
English (en)
Other versions
CN110300287A (zh
Inventor
何道敬
邓智
张宇星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
East China Normal University
Original Assignee
East China Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by East China Normal University filed Critical East China Normal University
Priority to CN201910680689.XA priority Critical patent/CN110300287B/zh
Publication of CN110300287A publication Critical patent/CN110300287A/zh
Application granted granted Critical
Publication of CN110300287B publication Critical patent/CN110300287B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/254Management at additional data server, e.g. shopping server, rights management server
    • H04N21/2541Rights Management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/85Assembly of content; Generation of multimedia applications
    • H04N21/854Content authoring
    • H04N21/8547Content authoring involving timestamps for synchronizing content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Graphics (AREA)
  • Studio Devices (AREA)

Abstract

本发明公开了一种公共安全视频监控联网摄像头接入认证方法,涉及公共安全视频监控联网安全领域。实施步骤包括:摄像头终端设备向认证服务器发送Register请求;认证服务器检查摄像头终端设备数字证书是否有效,有效向摄像头终端设备返回401 Unauthorized并携带信息;摄像头终端设备检查认证服务器数字证书有效性,如果有效则对信息签名后,再次发送Register请求;认证服务器端验证R1时效性,验证Sign1有效性,如果均有效,认证服务器验证成功后返回信息给摄像头终端设备;摄像头终端设备验证有效性,有效则则双向认证成功。本发明解决现在一直以来频监控系统的接入,调用基于弱口令模式导致安全问题,降低摄像头终端设备和认证服务器身份认证方案中存在的风险。

Description

一种公共安全视频监控联网摄像头接入认证方法
技术领域
本发明属于公共安全视频监控联网安全领域,特别涉及一种公共安全视频监控联网摄像头接入认证方法。
背景技术
随着经济的快速发展,视频图像信息大规模的联网共享应用,带来便利的同时也使得其信息安全和网络安全面临着严峻考验。摄像头的入侵、劫持、非法控制、恶意访问、数据泄露等安全问题已不止停留在纸面阶段,视频监控领域安全事件报道也日渐增多,视频监控系统的安全状况令人担忧。
由于公共安全视频监控系统全面覆盖了治安保卫重点单位和重点目标,其采集和传输的视频监控图像信息涉及到公共安全的敏感信息。一直以来,视频监控系统的接入,调用等安全措施基于简单口令模式,在前端设备接入、视频传输、用户访问等环节没有采取视频内容可信度鉴别以及敏感内容保护等有效安全措施,急需制定相应的安全标准来防范和减小系统性安全风险,保护视频监控信息的安全使用。
摄像头按照安全能力由低至高分为A级,B级,C级三个等级,对应分别解决弱口令,视频源认证,视频流窃听问题。然而现阶段所使用的摄像头与服务器之间的身份认证方案中仍存在部分安全问题。
发明内容
本发明的目的在于解决现有身份认证技术的缺点与不足,本发明所要解决的技术问题是提供摄像头终端设备及认证服务器身份认证方案中存在的安全问题,该方法可有效降低摄像头终端设备和认证服务器身份认证方案中存在的风险。
实现本发明目的的具体技术方案是:
一种公共安全视频监控联网摄像头接入认证方法,该方法包括如下步骤:
步骤S1,摄像头终端设备向认证服务器发送Register请求,携带自身安全能力、摄像头终端设备数字证书和DeviceID;
步骤S2,认证服务器检查摄像头终端设备数字证书是否有效,如果有效则生成随机数R1,向摄像头终端设备返回401 Unauthorized,并携带认证服务器数字证书、随机数R1、认证服务器设备号ServerID和认证服务器选择的密码学算法algorithm1;
步骤S3,摄像头终端设备检查认证服务器数字证书有效性,如果有效则生成随机数R2,并对{R2||R1||ServerID}使用认证服务器选择的数字签名算法计算数字签名Sign1;再次发送Register请求,携带随机数R2、R1、认证服务器设备号ServerID及数字签名Sign1;
步骤S4,认证服务器端验证随机数R1时效性,验证数字签名Sign1有效性,如果均有效,则使用摄像头终端设备公钥对视频密钥加密密钥VKEK加密得到CryptKey,并对{R1||R2||DeviceID||CryptKey}使用认证服务器选择的数字签名算法计算数字签名Sign2,认证服务器向摄像头终端设备返回信息200 OK、随机数R1、随机数R2、摄像头终端设备DeviceID、数字签名Sign2和CryptKey;
步骤S5, 摄像头终端设备验证随机数R2时效性,摄像头终端设备使用认证服务器公钥验证数字签名Sign2有效性;如果均有效,则双向认证成功。
本发明的所述步骤S1具体包括:摄像头终端设备包括但不限于公共安防联网摄像头;所述自身安全能力是指摄像头终端设备支持使用的密码学算法列表,包括但不限于杂凑算法、对称加密算法、非对称加密算法、hash算法及数字签名算法;所述认证服务器包括但不限于能够对终端进行身份认证的信令服务器;所述摄像头终端设备向认证服务器发送使用协议包括但不限于SIP、TCP、IP、Ethernet协议;所述摄像头终端设备号DeviceID是指唯一标示摄像头终端设备的出厂设定的数字标示;所叙摄像头终端设备数字证书包括数字签名和摄像头终端设备公钥。
本发明的所述步骤S1中Register请求包括但不限于摄像头终端设备携带摄像头终端设备自身安全能力列表、摄像头终端设备数字证书和摄像头终端设备号DeviceID。
本发明的所述步骤S2具体包括:认证服务器设备号ServerID是指唯一标示认证服务器设备的出厂设定的数字标示;所述随机数R1生成方法包括但不限于硬件随机选择和软件随机选择;认证服务器选择的密码学算法algorithm1是从摄像头终端自身安全能力的列表中随机一种;所叙认证服务器数字证书包括数字签名和认证服务器公钥。
本发明的所述步骤S2中认证服务器向摄像头发送信息包括但不限于返回401Unauthorized、认证服务器数字证书、随机数R1、认证服务器号ServerID 和数字签名算法algorithm1。
本发明的所述步骤S3具体包括:摄像头终端设备使用认证服务器选择的数字签名算法algorithm1对{R2||R1||ServerID}计算数字签名得到Sign1;
本发明的所述步骤S3中摄像头终端设备向认证服务器发送Register请求信息包括但不限于随机数R2、随机数R1、摄像头终端设备号DeviceID、数字签名Sign1和数字签名算法algorithm1。
本发明的所述步骤S4具体包括:视频密钥加密密钥VKEK是认证服务器跟摄像头终端设备进行视频流传输使用的密钥;认证服务器使用摄像头终端设备的数字证书公钥加密VKEK得到CryptKey。
本发明的所述步骤S4中认证服务器使用数字签名算法algorithm1对{R1||R2||DeviceID||CryptKey}计算数字签名Sign2;认证服务器向摄像头终端设备返回信息包括但不限于200 OK、随机数R1、随机数R2、摄像头终端设备DeviceID、数字签名Sign2和CryptKey。
本发明的所述步骤S5具体包括:摄像头终端设备使用认证服务器公钥验证数字签名Sign2有效性。
本发明的有效益效果:
提高了摄像头终端设备及认证服务器身份认证方案的安全性,保证摄像头终端的可用性和安全性,能够有效降低摄像头终端设备和认证服务器身份认证方案中存在的风险。
附图说明
图1是本发明流程图。
具体实施方式
下面结合附图和具体的实施例对本发明技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
实施例
本发明中有关的技术术语代表的含义如下:
Device表示摄像头终端设备;
DeviceID表示摄像头终端设备号;
DevicePub表示摄像头终端设备公钥;
DeviceDigitalCertificate表示摄像头终端设备数字证书;
Server表示认证服务器设备;
ServerID表示认证服务器设备号;
ServerPub表示认证服务器设备公钥;
ServerDigitalCertificate表示认证服务器设备数字证书;
Register表示认证请求;
Response表示认证服务器返回;
{algorithm1-n}表示摄像头终端设置支持使用的密码学算法列表;
algorithm1表示认证服务器随机选择的算法;
Rand表示随机生成随机数;
RandN表示随机数;
Rn表示随机数;
TimestampN表示时间戳;
VKEK表示视频密钥加密密钥;
Hash表示Hash函数;
SignN表示签名后得到的数字签名;
如图1,本发明包括以下步骤:
下面详细描述步骤S1,摄像头终端Device向认证服务器Server发送包含摄像头终端设置支持使用的密码学算法列表{algorithm1-n},摄像头终端设备数字证书DeviceDigitalCertificate和摄像头终端设备号DeviceID;步骤S1中的Register请求如下:Register{Device||{algorithm1-n}||DeviceDigitalCertificate||DeviceID||Server}。
下面详细描述步骤S2,认证服务器检查摄像头终端设置数字证书DeviceDigitalCertificate是否有效。如果有效,认证服务器Server使用Rand随机函数生成随机数Rand1,同时取当时设备时间戳为Timestamp1,Timestamp1和Rand1组成随机数R1;认证服务器Server从摄像头终端设置支持使用的密码学算法列表{algorithm1-n}中随机选择一项算法algorithm1;认证服务器Server向摄像头终端设备Device返回Response包括401Unauthorized,认证服务器数字证书ServerDigitalCertificate,随机数R1,认证服务器设备号ServerID和认证服务器选择的密码学算法algorithm1;步骤S2中的Response返回如下: Response{Server||401Unauthorized||ServerDigitalCertificate||R1||ServerID||algorithm1||Device}。如果认证无效,则认证过程结束。
下面详细描述步骤S3,摄像头终端设备检查认证服务器数字证书ServerDigitalCertificate是否有效。如果有效,摄像头终端Devicer使用Rand随机函数生成随机数Rand2,同时取当时设备时间戳为Timestamp2,Timestamp2和Rand2组成随机数R2;摄像头终端设备使用Hash函数对{R2||R1||ServerID}进行摘要计算,然后使用algorithm1对摘要进行加密得到数字签名Sign1。摄像头终端设备发送包含;步骤S3中的Register请求如下:Register{Device||R2||R1||ServerID||Sign1||Server}。如果认证无效,则认证过程结束。
下面详细描述步骤S4,认证服务器验证随机数R1中时间戳Timestamp1加上默认的超时时间是否小于当前时间的时间戳,如果小于,验证无效,则认证过程结束。认证服务器使用摄像头终端设备数字证书中的公钥DevicePub对数字签名Sign1进行解密,如果解密得到的数据和Hash函数对{R2||R1||ServerID}进行摘要计算一致,则验证有效,如果无效,则认证过程结束。认证服务器使用摄像头终端设备数字证书中的公钥DevicePub对视频密钥加密密钥VKEK进行加密得到CryptKey。认证服务器使用Hash函数对{R1||R2||DeviceID||CryptKey}进行摘要计算,然后使用algorithm1对摘要进行加密得到数据签名Sign2。认证服务器Server向摄像头终端Device返回Response包含200 OK、随机数R1、随机数R2、摄像头终端设备DeviceID 、数字签名Sign2,CryptKey;步骤S4中的Response返回如下: Response{Server||200OK||R1||R2||DeviceID||Sign2||CryptKey||Device}。
下面详细描述步骤S5,摄像头终端设备验证随机数R2中时间戳Timestamp1加上默认的超时时间是否小于当前时间的时间戳,如果小于,验证无效,则认证过程结束。摄像头终端设备使用认证服务器设备数字证书中的公钥ServerPub对数字签名Sign2进行解密,如果解密得到的数据和Hash函数对{R1||R2||DeviceID||CryptKey}进行摘要计算一致,则验证有效,认证过程成功;如果无效,则认证过程结束。

Claims (1)

1.一种公共安全视频监控联网摄像头接入认证方法,其特征在于,该方法包括如下步骤:
步骤S1,摄像头终端设备向认证服务器发送Register请求,携带自身安全能力、摄像头终端设备数字证书和DeviceID;
步骤S2,认证服务器检查摄像头终端设备数字证书是否有效,如果有效则生成随机数R1,向摄像头终端设备返回401Unauthorized,并携带认证服务器数字证书、随机数R1、认证服务器设备号ServerID和认证服务器选择的密码学算法algorithm1;
步骤S3,摄像头终端设备检查认证服务器数字证书有效性,如果有效则生成随机数R2,并对{R2||R1||ServerID}使用认证服务器选择的密码学算法计算数字签名Sign1;再次发送Register请求,携带随机数R2、R1、认证服务器设备号ServerID及数字签名Sign1;
步骤S4,认证服务器端验证随机数R1时效性,验证数字签名Sign1有效性,如果均有效,则使用摄像头终端设备公钥对视频密钥加密密钥VKEK加密得到CryptKey,并对{R1||R2||DeviceID||CryptKey}使用认证服务器选择的密码学算法计算数字签名Sign2,认证服务器向摄像头终端设备返回信息200OK、随机数R1、随机数R2、摄像头终端设备DeviceID、数字签名Sign2和CryptKey;
步骤S5,摄像头终端设备验证随机数R2时效性,摄像头终端设备使用认证服务器公钥验证数字签名Sign2有效性;如果均有效,则双向认证成功;其中:
步骤S1所述摄像头终端设备包括公共安防联网摄像头;所述自身安全能力是指摄像头终端设备支持使用的密码学算法列表,包括杂凑算法、对称加密算法、非对称加密算法、hash算法及数字签名算法;所述认证服务器包括能够对终端进行身份认证的信令服务器;所述摄像头终端设备向认证服务器发送使用协议包括SIP、TCP、IP、Ethernet协议;所述摄像头终端设备号DeviceID是指唯一标示摄像头终端设备的出厂设定的数字标示;所述摄像头终端设备数字证书包括数字签名和摄像头终端设备公钥;
步骤S2所述认证服务器设备号ServerID是指唯一标示认证服务器设备的出厂设定的数字标示;所述随机数R1生成方法包括硬件随机选择和软件随机选择;所述认证服务器选择的密码学算法algorithm1是从摄像头终端自身安全能力的列表中随机一种;所述认证服务器数字证书包括数字签名和认证服务器公钥;
步骤S4所述视频密钥加密密钥VKEK是认证服务器跟摄像头终端设备进行视频流传输使用的密钥;认证服务器使用摄像头终端设备的数字证书公钥加密VKEK得到CryptKey。
CN201910680689.XA 2019-07-26 2019-07-26 一种公共安全视频监控联网摄像头接入认证方法 Active CN110300287B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910680689.XA CN110300287B (zh) 2019-07-26 2019-07-26 一种公共安全视频监控联网摄像头接入认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910680689.XA CN110300287B (zh) 2019-07-26 2019-07-26 一种公共安全视频监控联网摄像头接入认证方法

Publications (2)

Publication Number Publication Date
CN110300287A CN110300287A (zh) 2019-10-01
CN110300287B true CN110300287B (zh) 2020-12-22

Family

ID=68031994

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910680689.XA Active CN110300287B (zh) 2019-07-26 2019-07-26 一种公共安全视频监控联网摄像头接入认证方法

Country Status (1)

Country Link
CN (1) CN110300287B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111901127A (zh) * 2020-08-07 2020-11-06 上海格尔安全科技有限公司 一种基于标识密码技术解决sip协议中身份认证的方法
CN112351258B (zh) * 2020-11-06 2023-10-31 华能国际电力股份有限公司上海石洞口第一电厂 一种基于5g通讯技术的施工现场安防监控系统及方法
CN115835239A (zh) * 2021-09-17 2023-03-21 中兴通讯股份有限公司 摄像头的入网方法、配置服务器、摄像头及安防系统
CN113922997B (zh) * 2021-09-29 2023-06-30 深圳市天视通视觉有限公司 一种网络摄像头的证书激活方法、装置、设备及存储介质
CN116614599B (zh) * 2023-03-13 2024-03-22 江西佳信捷电子股份有限公司 一种安全加密的视频监控方法、装置及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970299A (zh) * 2012-11-27 2013-03-13 西安电子科技大学 文件安全保护系统及其方法
CN104113409A (zh) * 2014-07-23 2014-10-22 中国科学院信息工程研究所 一种sip视频监控联网系统的密钥管理方法及系统
CN106713279A (zh) * 2016-11-29 2017-05-24 北京航天爱威电子技术有限公司 一种视频终端身份认证系统
CN107343179A (zh) * 2017-08-14 2017-11-10 华北电力大学 一种视频信息加密与视频终端安全认证系统、认证方法及其应用
CN108184134A (zh) * 2017-12-21 2018-06-19 北京计算机技术及应用研究所 一种视频流安全转发方法及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090113537A1 (en) * 2007-10-30 2009-04-30 James Woo Proxy authentication server
CN101729871B (zh) * 2009-12-24 2011-10-26 公安部第一研究所 一种sip视频监控系统安全跨域访问方法
US8508338B1 (en) * 2010-11-07 2013-08-13 Howard Owen Fiddy Method and system for defeat of replay attacks against biometric authentication systems
JP6168415B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
CN106936790A (zh) * 2015-12-30 2017-07-07 上海格尔软件股份有限公司 基于数字证书实现客户端和服务器端进行双向认证的方法
CN108111497B (zh) * 2017-12-14 2021-01-22 深圳市共进电子股份有限公司 摄像机与服务器相互认证方法和装置
CN109218825B (zh) * 2018-11-09 2020-12-11 北京京航计算通讯研究所 一种视频加密系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970299A (zh) * 2012-11-27 2013-03-13 西安电子科技大学 文件安全保护系统及其方法
CN104113409A (zh) * 2014-07-23 2014-10-22 中国科学院信息工程研究所 一种sip视频监控联网系统的密钥管理方法及系统
CN106713279A (zh) * 2016-11-29 2017-05-24 北京航天爱威电子技术有限公司 一种视频终端身份认证系统
CN107343179A (zh) * 2017-08-14 2017-11-10 华北电力大学 一种视频信息加密与视频终端安全认证系统、认证方法及其应用
CN108184134A (zh) * 2017-12-21 2018-06-19 北京计算机技术及应用研究所 一种视频流安全转发方法及系统

Also Published As

Publication number Publication date
CN110300287A (zh) 2019-10-01

Similar Documents

Publication Publication Date Title
CN110300287B (zh) 一种公共安全视频监控联网摄像头接入认证方法
US11533297B2 (en) Secure communication channel with token renewal mechanism
AU2015335689B2 (en) Efficient start-up for secured connections and related services
KR100980831B1 (ko) 일회용 패스워드를 이용한 신뢰성 있는 통신 시스템 및방법
CN110535868A (zh) 基于混合加密算法的数据传输方法及系统
CN104735068B (zh) 基于国密的sip安全认证的方法
EP2345235B1 (en) Fast and transparent client reauthentication
CN103532713B (zh) 传感器认证和共享密钥产生方法和系统以及传感器
US10680835B2 (en) Secure authentication of remote equipment
CN112350826A (zh) 一种工业控制系统数字证书签发管理方法和加密通信方法
CN116614599B (zh) 一种安全加密的视频监控方法、装置及存储介质
CN113626802B (zh) 一种设备密码的登录验证系统及方法
CN110572804A (zh) 蓝牙通信认证请求、接收及通信方法、移动端、设备端
CN108632251A (zh) 基于云计算数据服务的可信认证方法及其加密算法
KR100668446B1 (ko) 안전한 인증정보 이동방법
CN101192927B (zh) 基于身份保密的授权与多重认证方法
CN114765534A (zh) 基于国密标识密码算法的私钥分发系统
CN114553430A (zh) 一种基于sdp的新型电力业务终端的安全接入系统
CN116244750A (zh) 一种涉密信息维护方法、装置、设备及存储介质
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
CN115835194B (zh) 一种nb-iot物联网终端安全接入系统及接入方法
CN112020037A (zh) 一种适用于轨道交通的国产通信加密方法
CN101547091A (zh) 一种信息发送的方法及装置
CN112069487B (zh) 一种基于物联网的智能设备网络通讯安全实现方法
JP2004274134A (ja) 通信方法並びにこの通信方法を用いた通信システム、サーバおよびクライアント

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant