CN110324358B - 视频数据管控认证方法、模块、设备和平台 - Google Patents
视频数据管控认证方法、模块、设备和平台 Download PDFInfo
- Publication number
- CN110324358B CN110324358B CN201910700899.0A CN201910700899A CN110324358B CN 110324358 B CN110324358 B CN 110324358B CN 201910700899 A CN201910700899 A CN 201910700899A CN 110324358 B CN110324358 B CN 110324358B
- Authority
- CN
- China
- Prior art keywords
- key
- authentication
- management
- user equipment
- control module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Lock And Its Accessories (AREA)
Abstract
本发明实施例提供一种视频数据管控认证方法、模块、设备和平台,该方法包括,若存在接入安全控制模块的第一用户设备,则安全控制模块判断本次双向认证是否为与第一用户设备的初次双向认证;若是,则安全控制模块根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,若通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储;若不为初次双向认证,则安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,若通过,则安全控制模块执行相应的管控操作。本实施例提供的认证方法,能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
Description
技术领域
本发明实施例涉及视频安全技术领域,尤其涉及一种视频数据管控认证方法、模块、设备和平台。
背景技术
视频监控是安全防范系统的重要组成部分,近年来,随着视频监控技术的普及,越来越多的区域安装了视频监控系统,以对区域内的情况录制视频得到视频数据,以便相关人员(公安人员或业主)查看,视频数据的泄露和损毁会导致巨大的损失。
现有技术中对视频数据的管控仅通过简单的用户名密码的验证来进行视频数据的管控。
然而,上述验证方案易被破解,安全性低,无法实现有规划有体系地综合安全监管,不便于社会管理和可信取证,因此视频安全防护需求刻不容缓。
发明内容
本发明实施例提供一种视频数据管控认证方法、模块、设备和平台,以提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
第一方面,本发明实施例提供一种视频数据管控认证方法,包括:
若存在接入安全控制模块的第一用户设备,则安全控制模块判断本次双向认证是否为与该第一用户设备的初次双向认证;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥;
若为初次双向认证,则安全控制模块根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储;若不为初次双向认证,则安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,若双向认证通过,则安全控制模块执行相应的管控操作。
第二方面,本发明实施例提供一种视频数据管控认证方法,包括:
第一用户设备向密钥管理平台发送自身对应的用户设备序号,获取密钥管理平台根据所述用户设备序号发送的第一管理子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行管理认证;所述管理子密钥是与所述第一用户设备对应的第二管理设备存储的管理根密钥分散获得的;
第一用户设备接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的初始化密钥,并将该初始化密钥存储至本地;
若第一用户设备和接入的第二安全控制模块的双向认证为初次双向认证,则第一用户设备根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证,若双向认证通过,则第一用户设备将本地存储的应用认证密钥导入所述第二安全控制模块;若不为初次双向认证,则第一用户设备根据本地存储的应用认证密钥,进行与所述第二安全控制模块的双向认证,若双向认证通过,则执行相应的管控操作。
第三方面,本发明实施例提供一种视频数据管控认证方法,包括:
第一管理设备向密钥管理平台发送自身对应的管理设备序号,获取密钥管理平台根据所述管理设备序号发送的第一管理根密钥,以对所述第一管理设备和当前接入的第一用户设备进行管理认证;所述管理根密钥用于分散获得管理子密钥,所述管理子密钥存储于与所述第一管理设备对应的第一用户设备内。
第四方面,本发明实施例提供一种视频数据管控认证方法,包括:
密钥管理平台接收当前接入的第一用户设备发送的自身对应的用户设备序号和当前接入的第一管理设备发送的自身对应的管理设备序号,并根据所述用户设备序号向当前接入的第一用户设备发送第一管理子密钥,以及根据所述管理设备序号向当前接入的第一管理设备发送的第一管理根密钥,以根据所述第一管理子密钥和所述第一管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证;
若管理认证通过,则密钥管理平台向当前接入的第一用户设备导入初始化密钥,并根据本地存储的应用认证根密钥分散获得应用认证密钥并将该应用认证密钥导入所述第一用户设备;所述初始化密钥和与所述第一用户设备对应的安全控制模块存储的初始化密钥相同。
第五方面,本发明实施例提供一种安全控制模块,包括:
第一判断单元,用于若存在接入安全控制模块的第一用户设备,则判断本次双向认证是否为与该第一用户设备的初次双向认证;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥;
第一认证单元,用于若为初次双向认证,则根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储;若不为初次双向认证,则安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,若双向认证通过,则安全控制模块执行相应的管控操作。
第六方面,本发明实施例提供一种第一用户设备,包括:
第一发送单元,用于向密钥管理平台发送自身对应的用户设备序号,获取密钥管理平台根据所述用户设备序号发送的第一管理子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行管理认证;所述管理子密钥是与所述第一用户设备对应的第二管理设备存储的管理根密钥分散获得的;
第三接收单元,用于接收密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的初始化密钥,并将该初始化密钥存储至本地;
第二认证单元,用于若第一用户设备和接入的第二安全控制模块的双向认证为初次双向认证,则根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证,若双向认证通过,则将本地存储的应用认证密钥导入所述第二安全控制模块;若不为初次双向认证,则根据本地存储的应用认证密钥,进行与所述第二安全控制模块的双向认证,若双向认证通过,则执行相应的管控操作。
第七方面,本发明实施例提供一种第一管理设备,包括:
第四发送单元,用于向密钥管理平台发送自身对应的管理设备序号,获取密钥管理平台根据所述管理设备序号发送的第一管理根密钥,以对所述第一管理设备和当前接入的第一用户设备进行管理认证;所述管理根密钥用于分散获得管理子密钥,所述管理子密钥存储于与所述第一管理设备对应的第一用户设备内。
第八方面,本发明实施例提供一种密钥管理平台,包括:
第四认证单元,用于接收当前接入的第一用户设备发送的自身对应的用户设备序号和当前接入的第一管理设备发送的自身对应的管理设备序号,并根据所述用户设备序号向当前接入的第一用户设备发送第一管理子密钥,以及根据所述管理设备序号向当前接入的第一管理设备发送的第一管理根密钥,以根据所述第一管理子密钥和所述第一管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证;
第七发送单元,用于若管理认证通过,则密钥管理平台向当前接入的第一用户设备导入初始化密钥,并根据本地存储的应用认证根密钥分散获得应用认证密钥并将该应用认证密钥导入所述第一用户设备;所述初始化密钥和与所述第一用户设备对应的安全控制模块存储的初始化密钥相同。
第九方面,本发明实施例提供一种安全控制模块,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面所述的方法。
第十方面,本发明实施例提供一种第一用户设备,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第二方面所述的方法。
第十一方面,本发明实施例提供一种第一管理设备,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第三方面所述的方法。
第十二方面,本发明实施例提供一种密钥管理平台,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第四方面所述的方法。
第十三方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面所述的方法。
第十四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第二方面所述的方法。
第十五方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第三方面所述的方法。
第十六方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第四方面所述的方法。
本实施例提供的视频数据管控认证方法、模块、设备和平台,该方法包括在密钥管理平台对管理设备和用户设备的管理认证通过后,将密钥管理平台将与安全控制模块存储的初始化密钥相同的初始化密钥导入用户设备,后续当用户设备接入安全控制模块时,可以基于本次接入是否为首次认证,选择使用初始化密钥或应用认证密钥进行双向认证,若双向认证通过,安全控制模块方根据用户操作执行视频处理,实现视频数据的安全管控。本实施例提供的视频数据管控认证方法基于管理认证对用户设备和管理设备之间的管理与被管理关系进行控制,并且在安全控制模块与用户设备之间的初次双向认证成功后将应用认证密钥导入用户设备,使后续双向认证基于应用认证密钥实施,以在双向认证成功后执行相应操作,能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的本发明一实施例提供的视频数据管控认证方法的流程示意图;
图2为本发明又一实施例提供的视频数据管控认证方法的流程示意图;
图3为本发明又一实施例提供的视频数据管控认证方法的流程示意图;
图4为本发明又一实施例提供的视频数据管控认证方法的流程示意图;
图5为本发明又一实施例提供的视频数据管控认证方法的初次双向认证的交互流程图;
图6为本发明又一实施例提供的视频数据管控认证方法的后续双向认证的交互流程图;
图7为本发明又一实施例提供的视频数据管控认证方法的交互流程图;
图8为本发明又一实施例提供的视频数据管控认证方法的协商会话密钥的交互流程图;
图9为本发明一实施例提供的安全控制模块的结构示意图;
图10为本发明又一实施例提供的安全控制模块的结构示意图;
图11为本发明又一实施例提供的第一用户设备的结构示意图;
图12为本发明又一实施例提供的第一用户设备的结构示意图;
图13为本发明又一实施例提供的第一管理设备的结构示意图;
图14为本发明又一实施例提供的第一管理设备的结构示意图;
图15为本发明又一实施例提供的密钥管理平台的结构示意图;
图16为本发明又一实施例提供的密钥管理平台的结构示意图;
图17为本发明一实施例提供的安全控制模块的硬件结构示意图;
图18为本发明又一实施例提供的第一用户设备的硬件结构示意图;
图19为本发明又一实施例提供的第一管理设备的硬件结构示意图;
图20为本发明又一实施例提供的密钥管理平台的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前市售的硬盘录像机是计算机技术、网络技术、数字视频技术和传统视频、安防技术相结合的高科技产品,具有一定的技术含量,是DVD、磁带式录像机的换代产品,应用于电力远程监控、银行保安监控、楼宇智能化、家庭防盗监控等各种监控环境。硬盘录像机的基本功能是将模拟的音视频信号转变为MPEG数字信号存储在硬盘(HDD)上,并提供与录制、播放和管理节目相对应的功能。近年来,随着视频监控技术的普及,也发生了较多监控视频未经授权发生泄露的案例,因此视频安全防护需求刻不容缓。因此,针对该技术问题,以下对本发明实施例提供的视频数据管控认证方法、安全控制模块、第一用户设备、第一管理设备、密钥管理平台以及计算机存储介质的具体实施例进行了详细介绍。
图1为本发明一实施例提供的视频数据管控认证方法的流程示意图。如图1所示,该视频数据管控认证方法用于安全控制模块中,该方法可以包括:
101、若存在接入安全控制模块的第一用户设备,则安全控制模块判断本次双向认证是否为与该第一用户设备的初次双向认证;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥;
102、若为初次双向认证,则安全控制模块根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储;若不为初次双向认证,则安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,若双向认证通过,则安全控制模块执行相应的管控操作。
本方案中,用户设备和管理设备可以为具有存储能力与数据传输能力的装置,例如U盘、USB Key。相应的,安全控制模块和密钥管理设备可以设置有供用户设备和管理设备接入的接口,例如,USB接口。可选地,为了进一步提高安全性,在实际应用中,用户设备通常供商户使用,只能与一安全控制模块配对。管理设备供公安或安全控制部门部署时使用,用于与其管理的用户设备对应的安全控制模块完成认证且获取授权信息。
本实施例的执行主体为安全控制模块,该安全控制模块可以通过软件代码实现,也可以为存储有相关执行代码的介质,例如,云盘等;或者,该安全控制模块还可以为集成或安装有相关执行代码的实体装置,例如,芯片、安全控制模块等。
实际应用中,可以将所述安全控制模块设置在各普通用户的商户内,并与所在商户的视频采集装置相连接,所述安全控制模块可以用于存储视频采集装置采集的视频数据,该安全控制模块在生产阶段被内置初始化密钥;用户设备与管理设备在生产阶段被部署为被管理与管理的关系(可选地,可以通过管理根密钥分散获得管理子密钥并将管理根密钥分配给管理设备,将管理子密钥分配给用户设备,基于管理根密钥与管理子密钥的管理与被管理的关系对用户设备与管理设备进行绑定),即管理设备可以管控被其管理的所有用户设备管控的安全控制模块内的视频数据。
在部署阶段用户设备与管理设备同时接入密钥管理平台,进行管理认证,管理认证成功后,安全控制模块可以通过密钥管理平台将其内置的初始化密钥导入用户设备,并且将管理设备存储的应用认证根密钥分散获得的应用认证密钥导入用户设备,以后续基于该初始化密钥与安全控制模块完成初次认证,(可选地,在完成初次认证后,安全控制模块还可以根据用户设备在部署阶段被分配的授权信息,进行相应权限的管控操作,该授权信息包括用户设备可以对视频数据进行何种操作的权限信息)。
在初始认证成功后,用户设备将应用认证密钥导入接入的安全控制模块;在应用阶段,用户设备可以由普通用户持有,管理设备可以由管理用户(可以为各级执法人员,例如省级公安部门或市级公安部门的执法人员)持有,当用户需要对安全控制模块内存有的视频数据进行回放、拷贝或损毁等操作时,需要将持有的包括相应权限信息的用户设备与该安全控制模块相连接,进行双向认证(可选地,基于部署在用户设备内的应用认证密钥,以及在部署阶段用户设备与安全控制模块初次认证成功后自用户设备导入的应用认证密钥,进行双向认证),若双向认证通过,通过安全控制模块基于权限信息对其内存储的视频数据进行回放、拷贝或损毁等操作操作;另外,用户设备隶属的管理设备也可以通过应用认证根密钥对用户设备管控的安全控制模块内的视频数据进行管控。通过用户设备和管理设备分别与安全控制模块建立双向认证,且获取用户设备中视频授权信息,达到视频访问控制的目的。具体的,上述各个阶段是为了更好地理解本方案所进行的划分,其并未对本申请的技术方案产生限制。
本实施例提供的视频数据管控认证方法,在密钥管理平台对管理设备和用户设备的管理认证通过后,将安全控制模块存储的初始化密钥导入用户设备,后续当用户设备接入安全控制模块时,可以基于本次接入是否为首次认证,选择使用初始化密钥或应用认证密钥进行双向认证,若双向认证通过,安全控制模块方根据用户操作执行视频处理,实现视频数据的安全管控。本实施例提供的视频数据管控认证方法基于管理认证对用户设备和管理设备之间的管理与被管理关系进行控制,并且在安全控制模块与用户设备之间的初次双向认证成功后将应用认证密钥导入用户设备,使后续双向认证基于应用认证密钥实施,以在双向认证成功后执行相应操作,能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
可选地,所述初始化密钥为密钥管理平台在生产阶段生成并发送给安全控制模块的。也即安全控制模块还可以接收密钥管理平台发送的初始化密钥,并存储至本地。基于此,密钥管理平台记录了安全控制模块与初始化密钥的对应关系,另外,实际应用中,还需要对用户设备可执行的操作权限进行设定,故在部署阶段,除了根据管理认证的结果向用户设备写入初始化密钥,还可以根据写入认证(参见后述实施例)的结果,向用户设备或管理设备进行权限写入操作,以设定该用户设备或管理设备的操作权限,例如,用户设备的操作权限可以仅包括回放,管理设备的操作权限可以包括回放和拷贝。
本方案中,当用户设备接入安全控制模块时,基于是否为初次认证,认证所采用的密钥不同。可选的,判断是否为初次认证的方法有多种。举例来说,在上述实施例基础上,所述双向认证请求包括所述第一用户设备的标识;所述若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储之后,还包括:安全控制模块记录所述第一用户设备的标识。
所述安全控制模块判断本次双向认证是否为与该第一用户设备的初次双向认证,包括:安全控制模块检测所述第一用户设备的标识是否为已记录的标识,若未记录,则安全控制模块判定本次双向认证为初次双向认证,否则,安全控制模块判定本次双向认证不为初次双向认证。
具体的,在初次双向认证后,安全控制模块可以记录本次认证的用户设备的标识,以在后续根据当前接入的用户设备的标识是否已记录,来快速判断与该用户设备是否进行过双向认证。
本实施例提供的视频数据管控认证方法,通过记录用户设备的标识,将接入过的用户设备与被接入的安全控制模块绑定,若用户设备接入安全控制模块后安全控制模块并未在记录的绑定名单中发现该用户设备,则判定为初次双向认证,否则,不是初次双向认证,判定方法易实现,处理过程简单。
在上述实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对步骤102中基于初始化密钥的初次双向认证的过程进行了详细说明,本实施例中,所述安全控制模块根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,包括:
1021、安全控制模块接收所述第一用户设备发送的第一随机数;
1022、安全控制模块根据本地存储的初始化密钥和所述第一随机数,计算第一令牌并将所述第一令牌发送给所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得并返回第一认证结果;
1023、若所述第一用户设备返回的第一认证结果为认证成功,则安全控制模块生成第三随机数,并将所述第三随机数发送给所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥和所述第三随机数计算第二令牌并返回;
1024、安全控制模块根据本地存储的初始化密钥,对所述第一用户设备返回的所述第二令牌进行解密,以获得第四随机数,并通过比对所述第一随机数和所述第二随机数获得第二认证结果;
1025、若所述第二认证结果为认证成功,则安全控制模块判定本次双向认证通过。
可以理解,本方案中给出的双向认证(初次和后续的双向认证)的具体流程只是一种示例,实际应用中还存在多种进行双向认证的实施方式,只要基于初始化密钥能够实现双方的双向认证即可。例如,双向认证可以为安全控制模块先对用户设备进行认证通过后,用户设备再对安全控制模块进行认证。或者,也可以用户设备先对安全控制模块进行认证通过后,安全控制模块再对用户设备进行认证。另外,认证的方式也不限于采用随机数计算的方法。
本实施例提供的视频数据管控认证方法,通过用户设备存储的初始化密钥对安全控制模块发送的随机数进行解密,实现对用户设备的认证,并且通过安全控制模块存储的初始化密钥对用户设备发送的随机数进行解密,实现对安全控制模块的认证,通过该双向认证后,用户设备才会将本地存储的应用认证密钥导入安全控制模块,以在后续认证中基于该应用认证密钥进行双向认证,能够保证安全控制模块与用户设备之间的匹配,避免非匹配的用户设备对安全控制模块进行操作,窃取视频数据,因此进一步实现了对视频数据的安全管控。
在上述实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对步骤102中基于应用认证密钥的后续双向认证的过程进行了详细说明,本实施例中,所述安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,包括:
1026、安全控制模块接收所述第一用户设备发送的第五随机数;
1027、安全控制模块根据本地存储的应用认证密钥和所述第五随机数,计算第三令牌并将所述第三令牌发送给所述第一用户设备,以使所述第一用户设备根据本地存储的应用认证密钥对所述第三令牌解密获得第六随机数,并通过比对所述第五随机数和所述第六随机数获得并返回第三认证结果;
1028、若所述第一用户设备返回的第三认证结果为认证成功,则安全控制模块生成第七随机数,并将所述第七随机数发送至所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥和所述第七随机数生成第四令牌并返回;
1029、安全控制模块根据本地存储的应用认证密钥,对所述第一用户设备返回的所述第四令牌进行解密,以获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果;
1030、若所述第四认证结果为认证成功,则安全控制模块判定本次双向认证通过。
本实施例提供的视频数据管控认证方法,通过用户设备存储的应用认证密钥对安全控制模块发送的随机数进行解密,实现对用户设备的认证,并且通过安全控制模块存储的应用认证密钥对用户设备发送的随机数进行解密,实现对安全控制模块的认证,通过该双向认证后,安全控制模块才可以获取用户设备内的授权信息,并执行相应的管控操作,进而实现对视频数据的安全管控,提高视频管控的安全性。
为了实现对视频数据的进一步保护,在上述实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对安全控制模块接收的视频数据进行了加解密操作,可选地,所述若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储之后,还包括:
安全控制模块接收视频采集设备发送的视频数据,基于本地存储的应用认证密钥对视频数据进行加密和存储。
所述若双向认证通过,则安全控制模块执行相应的管控操作,包括:
安全控制模块接收视频播放指令,所述视频播放指令用于指示需要播放的视频;若本次双向认证的结果为认证通过,则安全控制模块根据本地存储的应用认证密钥对需要播放的视频进行解密以播放解密后的视频,否则,不执行处理。
可以理解,应用认证密钥的应用场景还可以有其它情形,例如,除了本实施例示例的视频播放场景外,还可以应用在对视频数据的下载、删除等场景下的认证,以提高视频数据的安全性。
本实施例提供的视频数据管控认证方法,通过对安全控制模块内存储的视频数据进行实时的加解密,能够进一步提高视频数据的安全性,避免视频数据被恶意下载或删除。
实际应用中,考虑到用户设备可能丢失,用户设备内的初始化密钥必须注销,使得安全控制模块也随之报废。在上述实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对存储于安全控制模块内的初始化密钥的数量进行了扩展,本实施例中,所述本地存储的初始化密钥有多个,每个初始化密钥唯一对应一个密钥序号;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥及其对应的第一密钥序号;
所述双向认证请求包括第二密钥序号;所述安全控制模块根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,包括:安全控制模块从本地存储的多个初始化密钥中,获取所述第二密钥序号对应的初始化密钥;安全控制模块根据所述第二密钥序号对应的初始化密钥,与所述第一用户设备进行双向认证。
具体的,安全控制模块存储多个初始化密钥,在部署阶段,需要向用户设备导入初始化密钥时,密钥管理平台从中选取一个初始化密钥导入。后续如果用户设备丢失,则只需注销安全控制模块中该用户设备对应的初始化密钥即可,而无需更换安全控制模块。
本发明实施例提供的视频数据管控认证方法,通过在安全控制模块内设置多条初始化密钥,能够避免因为用户设备的丢失,导致用户设备内的初始化密钥必须注销,使得安全控制模块也随之报废的情况出现。另外,通过安全控制模块在部署阶段将多条初始化密钥中的一条及其对应的密钥序号发送给用户设备,使后续初次双向认证时,可以根据该密钥序号验证安全控制模块和用户设备是否匹配,进一步提高了视频管控的安全性。
图2为本发明又一实施例提供的视频数据管控认证方法的流程示意图。如图2所示,该视频数据管控认证方法用于第一用户设备中,该方法可以包括:
201、第一用户设备向密钥管理平台发送自身对应的用户设备序号,获取密钥管理平台根据所述用户设备序号发送的第一管理子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行管理认证;所述管理子密钥是与所述第一用户设备对应的第二管理设备存储的管理根密钥分散获得的。
202、第一用户设备接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的初始化密钥,并将该初始化密钥存储至本地。
203、若第一用户设备和接入的第二安全控制模块的双向认证为初次双向认证,则第一用户设备根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证,若双向认证通过,则第一用户设备将本地存储的应用认证密钥导入所述第二安全控制模块;若不为初次双向认证,则第一用户设备根据本地存储的应用认证密钥,进行与所述第二安全控制模块的双向认证,若双向认证通过,则执行相应的管控操作。
本实施例中,用户设备和管理设备可以为具有存储能力与数据传输能力的终端,例如U盘、USB Key。
可选地,所述第一用户设备向密钥管理平台发送自身对应的用户设备序号之后,还包括:第一用户设备接收所述密钥管理平台发送的应用认证密钥并存储至本地,所述应用认证密钥是所述密钥管理平台对所述第一管理设备和所述第一用户设备的管理认证成功后发送的,所述应用认证密钥是所述第一管理设备存储的应用认证根密钥分散获得的。
实际应用中,在部署阶段用户设备与对应的管理设备同时接入密钥管理平台,进行管理认证,管理认证成功后,安全控制模块可以通过密钥管理平台将其内置的初始化密钥导入用户设备,并且将从对应的管理设备内存储的应用认证根密钥分散获得的应用认证密钥导入用户设备,以后续基于该初始化密钥与视频安全控制模块完成初次认证,(可选地,在完成初次认证后,安全控制模块还可以根据用户设备在部署阶段被分配的授权信息,进行相应权限的管控操作,该授权信息包括用户设备可以对视频数据进行何种操作的权限信息)。在初始认证成功后,用户设备将应用认证密钥导入对应的安全控制模块;在应用阶段,基于导入的应用认证密钥,与安全控制模块进行双向认证,若双向认证通过,通过安全控制模块对其内存储的视频数据进行回访、拷贝或损毁等操作操作。具体参见图1所示的实施例的相关内容。
本实施例提供的视频数据管控认证方法,在密钥管理平台对管理设备和用户设备的管理认证通过后,将安全控制模块存储的初始化密钥导入用户设备,后续当用户设备接入安全控制模块时,可以基于本次接入是否为首次认证,选择使用初始化密钥或应用认证密钥进行双向认证,若双向认证通过,安全控制模块方根据用户操作执行视频处理,实现视频数据的安全管控。本实施例提供的视频数据管控认证方法基于管理认证对用户设备和管理设备之间的管理与被管理关系进行控制,并且在安全控制模块与用户设备之间的初次双向认证成功后将应用认证密钥导入用户设备,使后续双向认证基于应用认证密钥实施,以在双向认证成功后执行相应操作,能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
在图2所示的实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对步骤203中基于初始化密钥的初次双向认证的过程进行了详细说明,本实施例中,所述第一用户设备根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证,包括:
2031、第一用户设备生成第一随机数,并将所述第一随机数发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的初始化密钥和所述第一随机数,计算第一令牌并返回;
2032、第一用户设备根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果并返回给所述第二安全控制模块;
2033、第一用户设备接收所述第二安全控制模块在接收到认证成功的第一认证结果后发送的第三随机数;
2034、第一用户设备根据本地存储的初始化密钥和所述第三随机数,计算第二令牌并将所述第二令牌发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的初始化密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得第二认证结果,若所述第二认证结果为认证成功,则第二安全控制模块判定本次双向认证通过。
可以理解,本方案中给出的双向认证(初次和后续的双向认证)的具体流程只是一种示例,实际应用中还存在多种进行双向认证的实施方式,只要基于初始化密钥能够实现双方的双向认证即可。例如,双向认证可以为安全控制模块先对用户设备进行认证通过后,用户设备再对安全控制模块进行认证。或者,也可以用户设备先对安全控制模块进行认证通过后,安全控制模块再对用户设备进行认证。另外,认证的方式也不限于采用随机数计算的方法。
本实施例提供的视频数据管控认证方法,通过用户设备存储的初始化密钥对安全控制模块发送的随机数进行解密,实现对用户设备的认证,并且通过安全控制模块存储的初始化密钥对用户设备发送的随机数进行解密,实现对安全控制模块的认证,通过该双向认证后,用户设备才会将本地存储的应用认证密钥导入安全控制模块,以在后续认证中基于该应用认证密钥进行双向认证,能够保证安全控制模块与用户设备之间的匹配,避免非匹配的用户设备对安全控制模块进行操作,窃取视频数据,因此进一步实现了对视频数据的安全管控。
在上述以第一用户设备为执行主体的实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对步骤203中基于应用认证密钥的后续双向认证的过程进行了详细说明,本实施例中,所述第一用户设备根据本地存储的应用认证密钥,进行与所述第二安全控制模块的双向认证,包括:
2035、第一用户设备生成第五随机数,并将所述第五随机数发送至所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的应用认证密钥和所述第五随机数,生成第三令牌并返回;
2036、第一用户设备根据本地存储的应用认证密钥对所述第二安全控制模块返回的所述第三令牌解密获得第六随机数,并通过比对所述第六随机数和所述第五随机数获得第三认证结果返回给所述第二安全控制模块;
2037、第一用户设备接收所述第二安全控制模块在接收到认证成功的第三认证结果后发送的第七随机数;
2038、第一用户设备根据本地存储的应用认证密钥和所述第七随机数,计算第四令牌并将所述第四令牌发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的应用认证密钥对所述第四令牌解密获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果,若所述第四认证结果为认证成功,则第二安全控制模块判定本次双向认证通过。
本实施例提供的视频数据管控认证方法,通过用户设备存储的应用认证密钥对安全控制模块发送的随机数进行解密,实现对用户设备的认证,并且通过安全控制模块存储的应用认证密钥对用户设备发送的随机数进行解密,实现对安全控制模块的认证,通过该双向认证后,安全控制模块才可以获取用户设备内的授权信息,并执行相应的管控操作,进而实现对视频数据的安全管控,提高视频管控的安全性。
实际应用中,考虑到用户设备可能丢失,用户设备内的初始化密钥必须注销,使得安全控制模块也随之报废。在上述以第一用户设备为执行主体的实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对存储于安全控制模块内的初始化密钥的数量进行了扩展,本实施例中,所述第一安全控制模块存储的初始化密钥有多个,每个初始化密钥唯一对应一个密钥序号;所述第一用户设备接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的初始化密钥,并将该初始化密钥存储至本地,包括:第一用户设备接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的第一初始化密钥及其对应的第一密钥序号;其中所述第一安全控制模块本地存储的多个初始化密钥中存在与所述第一初始化密钥相同的初始化密钥;
所述第一用户设备根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证之前,还包括:第一用户设备向所述第二安全控制模块发送所述第一密钥序号,以使所述第二安全控制模块根据所述第一密钥序号对应的初始化密钥,与所述第一用户设备进行双向认证。
具体的,安全控制模块存储有多个初始化密钥,在部署阶段,需要向用户设备导入初始化密钥时,密钥管理平台根据安全控制模块与用户设备之间的关系匹配表,从多个初始化密钥中选取一个初始化密钥导入。后续如果用户设备丢失,则只需注销安全控制模块中该用户设备对应的初始化密钥即可,而无需更换安全控制模块。
本发明实施例提供的视频数据管控认证方法,通过在安全控制模块内设置多条初始化密钥,能够避免因为用户设备的丢失,导致用户设备内的初始化密钥必须注销,使得安全控制模块也随之报废的情况出现。另外,通过安全控制模块在部署阶段将多条初始化密钥中的一条及其对应的密钥序号发送给用户设备,使后续初次双向认证时,可以根据该密钥序号验证安全控制模块和用户设备是否匹配,进一步提高了视频管控的安全性。
可选地,在上述以用户设备为执行主体的实施例的基础上,本发明又一实施例中,所述第一用户设备向密钥管理平台发送自身对应的用户设备序号之前,还包括:第一用户设备接收密钥管理平台根据第二管理设备存储的管理根密钥分散获得的管理子密钥并存储至本地。通过密钥管理平台将管理设备存储的管理根密钥分散获得管理子密钥,并将管理子密钥发送给用户设备,能够完成对用户设备和管理设备的被管理与管理关系的设定。以便在后续应用过程中实现管理设备对用户设备所管辖的安全控制模块的管控。
实际应用中,还需要对用户设备可执行的操作权限进行设定,设定方法有很多种,举例来说,可以基于写认证密钥进行写认证,并基于写认证的结果,向用户设备或管理设备进行权限写入操作,在上述以第一用户设备为执行主体的实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对用户设备的授权信息的写入进行了详细说明,本实施例中,所述第一用户设备向密钥管理平台发送自身对应的用户设备序号之后,还包括:第一用户设备获取密钥管理平台根据所述用户设备序号发送的写认证子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行写认证;所述写认证子密钥是与所述第一用户设备对应的第二管理设备存储的写认证根密钥分散获得的;第一用户设备接收所述密钥管理平台发送的地址信息和/或视频授权信息并存储至本地,所述地址信息和/或视频授权信息是所述密钥管理平台对所述第一管理设备和所述第一用户设备的写认证成功后发送的。
实际应用中,在部署阶段,可以将用户设备和管理设备均与密钥管理平台连接,可选地,所述密钥管理平台可以为部署计算机,所述用户设备可以为用户USB Key,所述管理设备可以为管理USB Key。在将用户USB Key和管理USB Key同时接入所述部署计算机接入后,基于用户USB Key内的写认证子密钥和管理USB Key内的写认证根密钥,进行写认证,在写认证成功后,后台软件的接口程序会在部署计算机上提供权限选择的用户界面,根据用户的选择和操作为用户USB Key写入授权信息(即对视频数据进行下载、播放或删除的权限信息)或地址信息(对应管辖的安全控制模块所在的区域信息)。
本实施例提供的视频数据管控认证方法,通过进行写认证并在写认证成功后向用户设备写入授权信息或地址信息,能够进一步限制用户的权限,提高视频管控的安全性,避免恶意篡改或删除的发生。
为了支持一个用户设备能够配对多个安全控制模块,在用户设备内需提供一个索引文件记录当前安全控制模块的初始化密钥和应用认证密钥的对应关系。索引文件格式如下表:
索引文件由10个上述数据结构组成。
当一支用户设备进行安装初始密钥和应用认证密钥时,安装初始化密钥函数先读取用户设备里索引文件数据,依次查找索引文件中10个数据结构中一个设置为初始数据的数据结构,将安全控制模块的设备标号、初始化密钥索引、应用认证密钥索引更新到该数据结构中,最后更新索引文件数据到用户设备文件中。
索引文件权限设置为:
图3为本发明又一实施例提供的视频数据管控认证方法的流程示意图。如图3所示,该视频数据管控认证方法用于第一管理设备中,该方法可以包括:
301、第一管理设备向密钥管理平台发送自身对应的管理设备序号,获取密钥管理平台根据所述管理设备序号发送的第一管理根密钥,以对所述第一管理设备和当前接入的第一用户设备进行管理认证;所述管理根密钥用于分散获得管理子密钥,所述管理子密钥存储于与所述第一管理设备对应的第一用户设备内。
本实施例中,用户设备和管理设备可以为具有存储能力与数据传输能力的装置,例如U盘。
实际应用中,用户设备与管理设备可以在生产阶段被部署为被管理与管理的关系(可选地,可以通过管理根密钥分散获得管理子密钥并将管理根密钥分配给管理设备,将管理子密钥分配给用户设备,基于管理根密钥与管理子密钥的管理与被管理的关系对用户设备与管理设备进行绑定),即管理设备可以管控被其管理的所有用户设备管控的安全控制模块内的视频数据。在部署阶段,用户设备与对应的管理设备可以同时接入密钥管理平台,进行管理认证。具体的可参见图1所示实施例的相关内容。
本实施例提供的视频数据管控认证方法,通过密钥管理平台对管理设备和用户设备的管理认证,以使安全控制模块根据管理认证结果将存储的初始化密钥导入用户设备,后续当用户设备接入安全控制模块时,可以基于本次接入是否为首次认证,选择使用初始化密钥或应用认证密钥进行双向认证,若双向认证通过,安全控制模块方根据用户操作执行视频处理,实现视频数据的安全管控。基于管理认证对用户设备和管理设备之间的管理与被管理关系进行控制,并且在安全控制模块与用户设备之间的初次双向认证成功后将应用认证密钥导入用户设备,使后续双向认证基于应用认证密钥实施,以在双向认证成功后执行相应操作,能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
实际应用中,还需要对管理设备可执行的操作权限进行设定,操作权限的设定方法有很多种,举例来说,可以基于写认证密钥进行写认证,并基于写认证的结果,向用户设备或管理设备进行权限写入操作,在图3所示的实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对用户设备的授权信息的写入进行了详细说明,本实施例中,所述第一管理设备向密钥管理平台发送本地存储的管理根密钥之后,还包括:第一管理设备向密钥管理平台发送本地存储的写认证根密钥,以使所述密钥管理平台对所述第一管理设备和当前接入的第一用户设备进行写认证;所述写认证根密钥用于分散获得写认证子密钥,所述写认证子密钥存储于与所述第一管理设备对应的第一用户设备内。
具体的,在部署阶段,可以将用户设备和管理设备均与密钥管理平台连接,可选地,所述密钥管理平台可以为部署计算机,所述用户设备可以为用户USB Key,所述管理设备可以为管理USB Key。在将用户USB Key和管理USB Key同时接入所述部署计算机接入后,基于用户USB Key内的写认证子密钥和管理USB Key内的写认证根密钥,进行写认证,在写认证成功后,后台软件的接口程序会在部署计算机上提供权限选择的用户界面,根据用户的选择和操作为用户USB Key写入授权信息(即对视频数据进行下载、播放或删除的权限信息)或地址信息(对应管辖的安全控制模块所在的区域信息)。
本实施例通过进行写认证并在写认证成功后向用户设备写入授权信息或地址信息,能够进一步限制用户的权限,提高视频管控的安全性,避免恶意篡改或删除的发生。
在上述以第一管理设备为执行主体的实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对应用认证密钥的来源进行了示例说明,本实施例中,所述第一管理设备向密钥管理平台发送自身对应的管理设备序号之后,还包括:若所述密钥管理平台对所述第一管理设备和所述第一用户设备的管理认证成功,则所述密钥管理平台根据本地存储的应用认证根密钥分散获得应用认证密钥,并将所述应用认证密钥发送给第一用户设备。所述应用认证根密钥与所述第一管理设备本地存储的应用认证根密钥相同。通过在管理认证成功后向用户设备导入由管理设备的应用认证根密钥分散获得的应用认证密钥,能够保证用户设备与管理设备的匹配,并且在应用阶段基于应用认证密钥和应用认证根密钥实现管理设备能够管理其对应的用户设备管辖的安全控制模块内的视频数据。
实际应用中,管理设备与用户设备在生产阶段被设定了管理关系,管理设备能够访问其管理的用户设备所对应的安全控制模块,为保证数据安全,管理设备可以与安全控制模块进行双向认证后才能访问数据。在上述以第一管理设备为执行主体的实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对管理设备与安全控制模块之间的双向认证进行了示例说明,本实施例中,所述第一管理设备向密钥管理平台发送本地存储的应用认证根密钥之后,还可以包括:若第一管理设备接入的第一安全控制模块已导入应用认证密钥,则第一管理设备根据本地存储的应用认证根密钥,与所述第一安全控制模块进行双向认证,若双向认证通过,则执行相应的管控操作。
可选地,所述第一管理设备根据本地存储的应用认证根密钥,与所述第一安全控制模块进行双向认证,可以包括:
3021、第一管理设备生成第一随机数,并将所述第一随机数发送给所述第一安全控制模块,以使所述第一安全控制模块根据本地存储的应用认证密钥和所述第一随机数计算第一令牌并返回;
3022、第一管理设备根据本地存储的应用认证根密钥分散获得的应用认证密钥,对所述第一安全控制模块返回的所述第一令牌进行解密,以获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果并返回给所述第一安全控制模块;
3023、第一管理设备接收所述第一安全控制模块在接收到认证成功的第一认证结果后发送的第三随机数;
3024、第一管理设备根据本地存储的应用认证根密钥分散获得的应用认证密钥和所述第三随机数,计算第二令牌并将所述第二令牌发送给所述第一安全控制模块,以使所述第一安全控制模块根据本地存储的应用认证密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得并返回第二认证结果,若所述第二认证结果为认证成功,则第一安全控制模块判定本次双向认证通过。
可以理解,本方案中给出的管理设备与安全控制模块的双向认证的具体流程只是一种示例,实际应用中还存在多种进行双向认证的实施方式,只要基于初始化密钥能够实现双方的双向认证即可。例如,双向认证可以为安全控制模块先对用户设备进行认证通过后,用户设备再对安全控制模块进行认证。或者,也可以用户设备先对安全控制模块进行认证通过后,安全控制模块再对用户设备进行认证。另外,认证的方式也不限于采用随机数计算的方法。
本实施例提供的视频数据管控认证方法,通过在管理认证成功后向用户设备导入由管理设备的应用认证根密钥分散获得的应用认证密钥,能够保证用户设备与管理设备的匹配,并且在应用阶段基于应用认证密钥和应用认证根密钥实现管理设备能够管理其对应的用户设备管辖的安全控制模块内的视频数据。进一步提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
图4为本发明又一实施例提供的视频数据管控认证方法的流程示意图。如图4所示,该视频数据管控认证方法用于密钥管理平台中,该方法可以包括:
401、密钥管理平台接收当前接入的第一用户设备发送的自身对应的用户设备序号和当前接入的第一管理设备发送的自身对应的管理设备序号,并根据所述用户设备序号向当前接入的第一用户设备发送第一管理子密钥,以及根据所述管理设备序号向当前接入的第一管理设备发送的第一管理根密钥,以根据所述第一管理子密钥和所述第一管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证。
402、若管理认证通过,则密钥管理平台向当前接入的第一用户设备导入初始化密钥,并根据本地存储的应用认证根密钥分散获得应用认证密钥并将该应用认证密钥导入所述第一用户设备;所述初始化密钥和与所述第一用户设备对应的安全控制模块存储的初始化密钥相同。
本实施例的执行主体为密钥管理平台,该密钥管理平台可以通过软件代码实现,例如应用软件,也可以为存储有相关执行代码的介质,例如,云服务器等;或者,该密钥管理平台还可以为集成或安装有相关执行代码的实体装置,例如,个人电脑、智能终端等。
实际应用中,在生产阶段,可以通过密钥管理平台将管理根密钥分散获得管理子密钥并将管理根密钥分配给管理设备,将管理子密钥分配给用户设备,基于管理根密钥与管理子密钥的管理与被管理的关系对用户设备与管理设备进行绑定,在部署阶段用户设备与对应的管理设备同时接入密钥管理平台,基于管理子密钥和管理根密钥,进行管理认证,管理认证成功后,安全控制模块可以通过密钥管理平台将其内置的初始化密钥导入用户设备,并且将从对应的管理设备内存储的应用认证根密钥分散获得的应用认证密钥导入用户设备,以进一步基于该初始化密钥与视频安全控制模块完成初次认证,(可选地,在完成初次认证后,安全控制模块还可以根据用户设备在部署阶段被分配的授权信息,进行相应权限的管控操作,该授权信息包括用户设备可以对视频数据进行何种操作的权限信息)。在初始认证成功后,用户设备将应用认证密钥导入对应的安全控制模块;在应用阶段,基于该应用认证密钥,进行双向认证(可选地,基于部署在用户设备内的应用认证密钥,以及在部署阶段用户设备与安全控制模块初次认证成功后自用户设备导入的应用认证密钥,进行双向认证),若双向认证通过,通过安全控制模块对其内存储的视频数据进行回访、拷贝或损毁等操作操作;另外,用户设备隶属的管理设备也可以通过应用认证根密钥对用户设备管控的安全控制模块内的视频数据进行管控。具体的,参见图1所示的实施例的相关内容。
本实施例提供的视频数据管控认证方法,通过密钥管理平台基于管理认证对用户设备和管理设备之间的管理与被管理关系进行控制,并且在安全控制模块与用户设备之间的初次双向认证成功后将应用认证密钥导入用户设备,使后续双向认证基于应用认证密钥实施,以在双向认证成功后执行相应操作,多次验证下能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
实际应用中,为了进一步保护视频数据的安全,可以将操作权限分级分配,例如向省级部门所持有的管理设备分配的权限高于向市级部门所持有的管理设备分配的权限,以实现省级部门对市级部门的管控,权限分级分配的实现方式有很多种,举例来说,可以基于分级管理密钥进行权限分级分配,在图4所示的实施例的基础上,本发明又一实施例提供的视频数据管控认证方法对分级管理密钥的生成进行了详细说明,本实施例中,所述密钥管理平台接收当前接入的第一用户设备发送的自身对应的用户设备序号和当前接入的第一管理设备发送的自身对应的管理设备序号之前,还包括:
密钥管理平台生成第N级管理根密钥;
密钥管理平台根据预设规则获得第N+1级管理根密钥分散因子;
密钥管理平台根据预设的加密算法使用所述第N级管理根密钥对所述第N+1级管理根密钥分散因子进行加密,获得第N+1级管理根密钥;
重复执行所述密钥管理平台根据预设规则获得第N+1级管理根密钥分散因子和所述密钥管理平台根据预设的加密算法使用所述第N级管理根密钥对所述第N+1级管理根密钥分散因子进行加密,获得第N+1级管理根密钥的步骤,直至获得预设级别数的管理根密钥;
密钥管理平台将各级别的管理根密钥导入对应级别的管理设备内;
密钥管理平台将各级别的管理设备对应的管理根密钥分散获得管理子密钥,并将该管理子密钥导入与所述管理设备对应的用户设备内。
具体的,通过采用分级管理密钥体系,并且对保存的视频使用密钥进行了加密,通过密钥及权限控制限制了视频文件的回放、拷贝、损毁等操作。视频安全防护系统的整个权限体系依照公安部门组织架构和管辖范围进行设计。支持多层级的树状结构。针对每一个社会单位、特行场所业主配发相应的加密密钥,进行授权管理。在对业主初始化原有的视频监控系统后,当视频监控系统采集视频前端视频信号时,防护系统就通过加密芯片和配发给业主的密钥对视频关键帧进行加密,将加密视频图像信息储存到磁盘上。保存在硬盘上的加密视频图像文件,在没有密钥进行解密的情况下,无法通过任何播放器打开。
本实施例提供的视频数据管控认证方法,通过前一级密钥对后一级密钥的分散因子进行加密,获得后一级密钥,使每一级密钥不可逆,并且根密钥可以对分散获得的密钥进行解密。分级密钥可以控制设备的操作权限的级别,实现上级密钥可以查看下级密钥加密的设备。能够使各级管理设备管理关系更加稳固,保证权限分配的稳定性,进而提高视频数据管控的安全性。
在上述以密钥管理平台为执行主体的实施例的基础上,本发明又一实施例中,所述根据所述管理子密钥和所述管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证,包括:
检测所述管理子密钥是否由所述管理根密钥分散获得;若是,则判定管理认证成功;否则,判定管理认证失败。
具体的,在生产阶段可以将管理设备的标识作为分散因子,将所述管理根密钥分散获得管理子密钥。后续在部署阶段进行管理认证时,根据管理设备的标识,检测管理子密钥和管理根密钥是否为管理关系。
可选地,密钥管理平台生成初始化密钥,并将所述初始化密钥发送给安全控制模块。
为了更好地理解本方案,将本方案中涉及的一些交互流程进行示例说明:
图5为本发明又一实施例提供的视频数据管控认证方法的初次双向认证的交互流程图,如图5所示,基于初始化密钥的首次双向认证的方法可以包括:
501、第一用户设备生成第一随机数。
502、第一用户设备将所述第一随机数发送给安全控制模块。
503、安全控制模块根据本地存储的初始化密钥和所述第一随机数,计算第一令牌。
504、安全控制模块发送第一令牌。
505、第一用户设备根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果。
506、第一用户设备返回第一认证结果至安全控制模块。
507、若第一认证结果为认证成功,安全控制模块生成第三随机数。
508、安全控制模块将所述第三随机数发送给所述第一用户设备。
509、第一用户设备根据本地存储的初始化密钥和所述第三随机数,计算第二令牌。
510、第一用户设备将第二令牌发送给安全控制模块。
511、安全控制模块根据本地存储的初始化密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得第二认证结果。
512、若所述第二认证结果为认证成功,则安全控制模块判定本次双向认证通过。
图6为本发明又一实施例提供的视频数据管控认证方法的后续双向认证的交互流程图,如图6所示,基于应用认证密钥的后续双向认证的方法,可以包括:
601、第一用户设备生成第五随机数。
602、第一用户设备将所述第五随机数发送给安全控制模块。
603、安全控制模块根据本地存储的应用认证密钥和所述第五随机数,计算第三令牌。
604、安全控制模块发送第三令牌。
605、第一用户设备根据本地存储的应用认证密钥对所述第三令牌解密获得第六随机数,并通过比对所述第五随机数和所述第六随机数获得第三认证结果。
606、第一用户设备返回第三认证结果至安全控制模块。
607、若第三认证结果为认证成功,安全控制模块生成第七随机数。
608、安全控制模块将所述第七随机数发送给所述第一用户设备。
609、第一用户设备根据本地存储的应用认证密钥和所述第七随机数,计算第四令牌。
610、第一用户设备将第四令牌发送给安全控制模块。
611、安全控制模块根据本地存储的应用认证密钥对所述第四令牌解密获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果。
612、若所述第四认证结果为认证成功,则安全控制模块判定本次双向认证通过。
图7为本发明又一实施例提供的视频数据管控认证方法的交互流程图,如图7所示,该方法可以包括:
701、第一用户设备向密钥管理平台发送自身对应的用户设备序号,以获取密钥管理平台根据所述用户设备序号分散获得的管理子密钥。
702、第一管理设备向密钥管理平台发送自身对应的管理设备序号,以获取密钥管理平台根据所述管理设备序号分散获得的管理根密钥。
703、基于所述管理子密钥和所述管理根密钥对所述第一用户设备和当前接入的第一管理设备进行管理认证。
704、若管理认证成功,密钥管理平台向第一用户设备发送初始化密钥。
705、基于初始化密钥,进行安全控制模块和第一用户设备之间的初次双向认证。
706、若初次认证成功,将第一用户设备本地存储的应用认证密钥发送至安全控制模块。
707、基于应用认证密钥,进行安全控制模块和第一用户设备之间的后续双向认证,若认证通过,安全控制模块执行相应的管控操作。
708、基于第一管理设备本地存储的应用认证根密钥和安全控制模块从第一用户设备导入并存储至本地的应用认证密钥,进行第一管理设备和安全控制模块之间的双向认证,若认证通过,安全控制模块执行相应的管控操作。
为便于理解各终端的密钥情况,结合上述各实施例的介绍,以下表格对安全控制模块、用户设备、管理设备和密钥管理平台的各自密钥的生成与分配情况进行了示例性的说明。
表1
如上表所示,由安全控制模块、用户设备、管理设备和密钥管理平台构成的视频安全管理系统,具有多个应用接口来实现上表中各密钥的生成、分配以及认证的操作。按照场景区分,视频安全管理系统各终端的应用接口共分为三个阶段:生产阶段、部署阶段和应用阶段。并且在不同阶段进行不同密钥的生产、分散、导入以及认证步骤,保证了用户设备、管理设备分别与安全控制模块的交互方式中不同的安全控制模块使用其自有的密钥,对视频数据进行加密、解密。同时密钥可以控制设备的操作权限,上级密钥可以查看下级密钥加密的设备。
为详细了解视频安全管理系统的实现方式,以下对应用接口的三个阶段的场景对应的操作进行示例性说明:
1)生产阶段:
用户设备和管理设备在生产阶段一般在密钥管理平台内生产系统完成,实现生成设备标识和管理密钥并写入安全控制模块的功能。以用户设备为例,用户设备生产可以不设计专用接口,由密钥管理平台内部连接加密机完成密钥分散并由基本设备通信接口写入安全控制模块:产生用户设备的设备标识;由加密机对用户设备的设备标识分散得到管理、读写、通信保护子密钥;将安全控制模块设备标识、管理认证子密钥、写认证子密钥等写入用户设备。
安全控制模块在生产阶段可以在视频安全生产厂商完成,实现安全控制模块初始化密钥的写入。密钥管理平台服务接口,请求数据包括指定安全控制模块设备标识,可以输出为多条初始化密钥密文。初始化密钥密文由密钥管理平台加密机和安全控制模块生产程序共同持有的、线下预协商好的密钥加密保护。安全控制模块生产程序解密初始化密钥密文后,将多条初始化密钥写入到安全控制模块。所述多条初始化密钥可以为15条。
具体的,安全控制模块生产阶段的交互流程,可以包括以下步骤:
控制器生产程序向密钥管理平台发送初始化密钥请求指令;
安全管理平台返回初始化密钥至密钥至控制器生产程序;
控制生产程序向视频安全控制写入初始化密钥。
2)部署阶段:
部署阶段可以在用户现场由部署人员完成,部署人员需要带用户设备、管理设备、安全控制模块、以及作为密钥管理平台的部署计算机(微软系统,且能连上公网)调用不同接口程序进行以下操作:获取当前已插入用户设备和管理设备的数量和基本信息(部署人员电脑插用户设备和管理设备联网调用);生成并写入初始化密钥和应用认证密钥到用户设备(部署人员电脑插用户设备和管理设备联网调用);写入地址信息数据(部署人员电脑插用户设备和管理设备联网调用);写入视频授权信息部署人员电脑插用户设备和管理设备联网调用);导出应用认证密钥(安全控制模块插用户设备调用),并将导出的应用认证密钥写入到安全控制模块中。
具体的,部署阶段的交互流程,可以包括以下步骤:
管理设备向密钥管理平台的部署程序发送自身对应的管理设备序号,并获取密钥管理平台根据所述管理设备序号分散获得的管理根密钥;
用户设备向所述部署程序发送自身对应的用户设备序号,并获取密钥管理平台根据所述用户设备序号分散获得的管理子密钥;
所述部署程序根据管理根密钥和管理子密钥进行管理认证,并根据写认证根密钥和写认证子密钥进行写认证;
若管理认证成功,所述部署程序向用户设备导入初始化密钥和应用认证密钥;
若写认证成功,所述部署程序向用户设备写入地址信息和授权信息。
部署阶段的交互流程,可以包括以下步骤:
安全控制模块向用户设备发送初始化密钥序号;
基于初始化密钥序号和初始化密钥进行安全控制模块和用户设备之间的初次双向认证;
若初次双向认证成功,用户设备向安全控制模块导入应用认证密钥。
3)应用阶段:
用户设备获取授权:在部署阶段完成后,用户通过用户设备连接安全控制模块获取授权信息,调用相关接口完成以下步骤:获取当前已插入管理设备和用户设备数量和基本信息(安全控制模块插管理设备调用);输入之前安全控制模块已配对的用户设备的设备标识和初始化密钥序号,从用户设备获取视频授权信息(安全控制模块插用户设备调用)。
具体的,应用阶段用户设备获取授权的交互流程,可以包括以下步骤:
用户设备向安全控制模块发送本地存储的设备标识;
基于应用认证密钥进行安全控制模块和用户设备之间的双向认证;
若双向认证成功,用户设备向安全控制模块导入视频授权信息。
管理设备获取授权:在安全控制模块完成部署后,可通过管理设备连接安全控制模块获取授权信息,调用以下接口:获取当前已插入用户设备和管理设备数量和基本信息(安全控制模块插用户设备调用);输入之前安全控制模块已配对的用户设备的设备标识和初始化密钥序号,管理设备分散得到对应的应用认证密钥完成双向认证,并获取视频授权信息(安全控制模块插管理设备调用)。
具体的,应用阶段管理设备获取授权的交互流程,可以包括以下步骤:
管理设备向安全控制模块发送本地存储的设备标识;
基于管理设备本地存储的应用认证根密钥和安全控制模块本地存储的应用认证密钥进行安全控制模块和管理设备之间的双向认证;
若双向认证成功,管理设备向安全控制模块导入视频授权信息。
另外,为了保证管理设备与密钥管理平台(密钥管理系统服务接口)之间的数据交互的安全,如表1所示,可以基于通信认证密钥的认证,协商会话密钥,对管理设备与密钥管理平台之间的交互数据进行加密。
图8为本发明实施例提供的视频数据管控认证方法的协商会话密钥的交互流程图,如图8所示,密钥管理平台可以包括前端设备和后台服务器,所述协商会话密钥的交互流程,可以包括以下步骤:
901、前端设备向管理设备发送设备标识读取指令;
902、管理设备向前端设备发送其自身对应的第一设备标识;
903、前端设备向管理设备发送随机数读取指令;
904、管理设备向前端设备发送第十一随机数;
905、前端设备向管理设备发送计算令牌指令;
906、管理设备根据本地存储的第一通信认证子密钥和第十一随机数,计算第十一令牌;
907、管理设备返回第十一令牌至前端设备;
908、前端设备将第一设备标识和第十一令牌发送给后台服务器;
909、后台服务器根据第一设备标识将本地存储的通信认证根密钥分散后获得第二通信认证子密钥,并且根据第二通信认证子密钥对第十一令牌进行解密,获得第十二随机数;后台服务器生成第十三随机数,并根据第十二随机数和取反后的第十三随机数以及第二通信认证子密钥生成第十二令牌;
910、后台服务器将第十二令牌发送给前端设备;
911、前端设备将第十二令牌发送给管理设备;
912、管理设备根据第一通信认证子密钥对第二令牌进行解密,获得第十四随机数和第十五随机数;
913、管理设备将第十四随机数和第十五随机数发送给前端设备;
914、前端设备将第十四随机数和第十一随机数进行比对;
915、若一致,则前端设备向管理设备发送计算会话密钥指令;
916、管理设备根据第十一随机数和第十五随机数以及第一通信认证子密钥,计算获得第一会话密钥;
917、管理设备将第一会话密钥返回给前端设备;
918、后台服务器根据第十二随机数和第十三随机数以及第二通信认证子密钥,计算获得第二会话密钥。
本实施例通过采用通信认证子密钥和通信认证根密钥完成密钥管理平台和管理设备之间的通信认证后,协商密钥管理平台和管理设备的会话密钥,以保证交互数据的安全,进而避免交互的各种密钥被盗取和篡改,实现后续各设备之间认证的有效性,提高视频管控的安全性。
综上,本方案提供的视频视频数据管控认证方法,至少具有以下优点:支持多级密钥管理。下级密钥由上级密钥分散得出,层级关系靠算法控制,逻辑严密不易被黑客侵入破坏;一机一密,一级一密。每一台独立设备均有唯一的预设数量的初始密钥,每一个层级的密钥也均不一样,因此如果有非技术方式泄密(例如密钥丢失,被盗取等),也仅仅只对独立设备有影响。如果提前密钥挂失,设备切换密钥,原有密钥也就失效无效;设备加密视频,设备绑定用户密钥和上级管理密钥均可播放。上级密钥可根据算法推导下级密钥,加密独立密钥,播放解密可通过有权限的密钥查看;证据链条全程加密,防篡改。所有的视频操作均与密钥、权限有关。所有操作全程加密、全程记录。所有动作均有据可查。
图9为本发明一实施例提供的安全控制模块的结构示意图。该安全控制模块可以通过软件、硬件或者两者的结合实现成为终端的部分或者全部。如图9所示,该安全控制模块80包括:第一判断单元801以及第一认证单元802。
第一判断单元801,用于若存在接入安全控制模块的第一用户设备,则判断本次双向认证是否为与该第一用户设备的初次双向认证;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥。
第一认证单元802,用于用于若为初次双向认证,则根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储;若不为初次双向认证,则安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,若双向认证通过,则安全控制模块执行相应的管控操作。
本发明实施例提供的安全控制模块,通过密钥管理平台基于管理认证对用户设备和管理设备之间的管理与被管理关系进行控制,并且在安全控制模块与用户设备之间的初次双向认证成功后将应用认证密钥导入用户设备,使后续双向认证基于应用认证密钥实施,以在双向认证成功后执行相应操作,多次验证下能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
图10为本发明又一实施例提供的安全控制模块的结构示意图。该安全控制模块可以通过软件、硬件或者两者的结合实现成为终端的部分或者全部。如图10所示,在图9所示实施例的基础上,该安全控制模块80还包括:第一记录单元803、第二接收单元804。
可选地,所述双向认证请求包括所述第一用户设备的标识;所述安全控制模块还包括:
第一记录单元803,用于记录所述第一用户设备的标识;
所述第一判断单元,具体用于检测所述第一用户设备的标识是否为已记录的标识,若未记录,则安全控制模块判定本次双向认证为初次双向认证,否则,安全控制模块判定本次双向认证不为初次双向认证。
可选地,所述第一认证单元具体用于:
接收所述第一用户设备发送的第一随机数;
根据本地存储的初始化密钥和所述第一随机数,计算第一令牌并将所述第一令牌发送给所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得并返回第一认证结果;
若所述第一用户设备返回的第一认证结果为认证成功,则生成第三随机数,并将所述第三随机数发送给所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥和所述第三随机数计算第二令牌并返回;
根据本地存储的初始化密钥,对所述第一用户设备返回的所述第二令牌进行解密,以获得第四随机数,并通过比对所述第一随机数和所述第二随机数获得第二认证结果;
若所述第二认证结果为认证成功,则判定本次双向认证通过。
可选地,所述第一认证单元具体用于:
接收所述第一用户设备发送的第五随机数;
根据本地存储的应用认证密钥和所述第五随机数,计算第三令牌并将所述第三令牌发送给所述第一用户设备,以使所述第一用户设备根据本地存储的应用认证密钥对所述第三令牌解密获得第六随机数,并通过比对所述第五随机数和所述第六随机数获得并返回第三认证结果;
若所述第一用户设备返回的第三认证结果为认证成功,则生成第七随机数,并将所述第七随机数发送至所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥和所述第七随机数生成第四令牌并返回;
根据本地存储的应用认证密钥,对所述第一用户设备返回的所述第四令牌进行解密,以获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果;
若所述第四认证结果为认证成功,则判定本次双向认证通过。
可选地,所述第一认证单元具体用于:
接收视频采集设备发送的视频数据,基于本地存储的应用认证密钥对视频数据进行加密和存储;
接收视频播放指令,所述视频播放指令用于指示需要播放的视频;
若本次双向认证的结果为认证通过,则根据本地存储的应用认证密钥对需要播放的视频进行解密以播放解密后的视频,否则,不执行处理。
可选地,所述本地存储的初始化密钥有多个,每个初始化密钥唯一对应一个密钥序号;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥及其对应的第一密钥序号;
所述双向认证请求包括第二密钥序号;所述第一认证单元具体用于:
从本地存储的多个初始化密钥中,获取所述第二密钥序号对应的初始化密钥;
根据所述第二密钥序号对应的初始化密钥,与所述第一用户设备进行双向认证。
可选地,所述安全控制模块还包括:
第二接收单元804,用于接收密钥管理平台发送的初始化密钥,并存储至本地。
图11为本发明又一实施例提供的第一用户设备的结构示意图。该第一用户设备可以通过软件、硬件或者两者的结合实现成为终端的部分或者全部。如图11所示,该第一用户设备100包括:第一发送单元1001、第三接收单元1002以及第二认证单元1003。
第一发送单元1001,用于向密钥管理平台发送自身对应的用户设备序号,获取密钥管理平台根据所述用户设备序号发送的第一管理子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行管理认证;所述管理子密钥是与所述第一用户设备对应的第二管理设备存储的管理根密钥分散获得的;
第三接收单元1002,用于接收密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的初始化密钥,并将该初始化密钥存储至本地;所述初始化密钥是所述密钥管理平台基于与所述第一用户设备对应的第一安全控制模块的设备序号分散获得的;
第二认证单元1003,用于若第一用户设备和接入的第二安全控制模块的双向认证为初次双向认证,则根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证,若双向认证通过,则将本地存储的应用认证密钥导入所述第二安全控制模块;若不为初次双向认证,则根据本地存储的应用认证密钥,进行与所述第二安全控制模块的双向认证,若双向认证通过,则执行相应的管控操作。
本发明实施例提供的第一用户设备,通过密钥管理平台基于管理认证对用户设备和管理设备之间的管理与被管理关系进行控制,并且在安全控制模块与用户设备之间的初次双向认证成功后将应用认证密钥导入用户设备,使后续双向认证基于应用认证密钥实施,以在双向认证成功后执行相应操作,多次验证下能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
图12为本发明又一实施例提供的第一用户设备的结构示意图。该安全控制模块可以通过软件、硬件或者两者的结合实现成为终端的部分或者全部。如图12所示,在图11所示实施例的基础上,该第一用户设备100还包括:第二发送单元1004、第四接收单元1005、第三发送单元1006、第五接收单元1007、第六接收单元1008。
可选地,所述第二认证单元具体用于:
生成第一随机数,并将所述第一随机数发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的初始化密钥和所述第一随机数,计算第一令牌并返回;
根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果并返回给所述第二安全控制模块;
接收所述第二安全控制模块在接收到认证成功的第一认证结果后发送的第三随机数;
根据本地存储的初始化密钥和所述第三随机数,计算第二令牌并将所述第二令牌发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的初始化密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得第二认证结果,若所述第二认证结果为认证成功,则第二安全控制模块判定本次双向认证通过。
可选地,所述第二认证单元具体用于:
生成第五随机数,并将所述第五随机数发送至所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的应用认证密钥和所述第五随机数,生成第三令牌并返回;
根据本地存储的应用认证密钥对所述第二安全控制模块返回的所述第三令牌解密获得第六随机数,并通过比对所述第六随机数和所述第五随机数获得第三认证结果返回给所述第二安全控制模块;
接收所述第二安全控制模块在接收到认证成功的第三认证结果后发送的第七随机数;
根据本地存储的应用认证密钥和所述第七随机数,计算第四令牌并将所述第四令牌发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的应用认证密钥对所述第四令牌解密获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果,若所述第四认证结果为认证成功,则第二安全控制模块判定本次双向认证通过。
可选地,所述第一安全控制模块存储的初始化密钥有多个,每个初始化密钥唯一对应一个密钥序号;所述第三接收单元具体用于:
接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的第一初始化密钥及其对应的第一密钥序号;其中所述第一安全控制模块本地存储的多个初始化密钥中存在与所述第一初始化密钥相同的初始化密钥;
所述第一用户设备还包括:
第二发送单元1004,用于向所述第二安全控制模块发送所述第一密钥序号,以使所述第二安全控制模块根据所述第一密钥序号对应的初始化密钥,与所述第一用户设备进行双向认证。
可选地,所述第一用户设备还包括:
第四接收单元1005,用于接收密钥管理平台根据第二管理设备存储的管理根密钥分散获得的管理子密钥并存储至本地。
可选地,所述第一用户设备还包括:
第三发送单元1006,用于获取密钥管理平台根据所述用户设备序号发送的写认证子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行写认证;所述写认证子密钥是与所述第一用户设备对应的第二管理设备存储的写认证根密钥分散获得的;
第五接收单元1007,用于接收所述密钥管理平台发送的地址信息和/或视频授权信息并存储至本地,所述地址信息和/或视频授权信息是所述密钥管理平台对所述第一管理设备和所述第一用户设备的写认证成功后发送的。
可选的,所述第一用户设备还包括:
第六接收单元1008,用于接收所述密钥管理平台发送的应用认证密钥并存储至本地,所述应用认证密钥是所述密钥管理平台对所述第一管理设备和所述第一用户设备的管理认证成功后发送的,所述应用认证密钥是所述第一管理设备存储的应用认证根密钥分散获得的。
图13为本发明又一实施例提供的第一管理设备的结构示意图。该第一管理设备可以通过软件、硬件或者两者的结合实现成为终端的部分或者全部。如图13所示,该第一管理设备12包括:第四发送单元1201。
第四发送单元1201,用于向密钥管理平台发送自身对应的管理设备序号,获取密钥管理平台根据所述管理设备序号发送的第一管理根密钥,以对所述第一管理设备和当前接入的第一用户设备进行管理认证;所述管理根密钥用于分散获得管理子密钥,所述管理子密钥存储于与所述第一管理设备对应的第一用户设备内。
本发明实施例提供的第一管理设备,通过密钥管理平台基于管理认证对用户设备和管理设备之间的管理与被管理关系进行控制,并且在安全控制模块与用户设备之间的初次双向认证成功后将应用认证密钥导入用户设备,使后续双向认证基于应用认证密钥实施,以在双向认证成功后执行相应操作,多次验证下能够提高视频数据管控的安全性,实现对视频数据的有规划有体系地综合安全监管,进而便于社会管理和可信取证。
图14为本发明又一实施例提供的第一管理设备的结构示意图。该第一管理设备可以通过软件、硬件或者两者的结合实现成为终端的部分或者全部。如图14所示,在图13所示实施例的基础上,该第一管理设备120还包括:第五发送单元1202、第六发送单元1203、第三认证单元1204。
可选地,所述第一管理设备还包括:
第五发送单元1202,用于获取密钥管理平台根据所述管理设备序号发送的第一写认证根密钥,以对所述第一管理设备和当前接入的第一用户设备进行写认证;所述写认证根密钥用于分散获得写认证子密钥,所述写认证子密钥存储于与所述第一管理设备对应的第一用户设备内。
可选地,所述第一管理设备还包括:
第六发送单元1203,用于若所述密钥管理平台对所述第一管理设备和所述第一用户设备的管理认证成功,则所述密钥管理平台根据本地存储的应用认证根密钥分散获得应用认证密钥,并将所述应用认证密钥发送给第一用户设备。所述应用认证根密钥与所述第一管理设备本地存储的应用认证根密钥相同。
可选地,所述第一管理设备还包括:
第三认证单元1204,用于若第一管理设备接入的第一安全控制模块已导入应用认证密钥,则根据本地存储的应用认证根密钥,与所述第一安全控制模块进行双向认证,若双向认证通过,则执行相应的管控操作。
可选地,所述第三认证单元具体用于:
生成第一随机数,并将所述第一随机数发送给所述第一安全控制模块,以使所述第一安全控制模块根据本地存储的应用认证密钥和所述第一随机数计算第一令牌并返回;
根据本地存储的应用认证根密钥分散获得的应用认证密钥,对所述第一安全控制模块返回的所述第一令牌进行解密,以获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果并返回给所述第一安全控制模块;
接收所述第一安全控制模块在接收到认证成功的第一认证结果后发送的第三随机数;
根据本地存储的应用认证根密钥分散获得的应用认证密钥和所述第三随机数,计算第二令牌并将所述第二令牌发送给所述第一安全控制模块,以使所述第一安全控制模块根据本地存储的应用认证密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得并返回第二认证结果,若所述第二认证结果为认证成功,则第一安全控制模块判定本次双向认证通过。
图15为本发明又一实施例提供的密钥管理平台的结构示意图。该密钥管理平台可以通过软件、硬件或者两者的结合实现成为终端的部分或者全部。如图15所示,该第一管理设备14包括:第四认证单元1401、第七发送单元1402。
第四认证单元1401,用于接收当前接入的第一用户设备发送的自身对应的用户设备序号和当前接入的第一管理设备发送的自身对应的管理设备序号,并根据所述用户设备序号向当前接入的第一用户设备发送第一管理子密钥,以及根据所述管理设备序号向当前接入的第一管理设备发送的第一管理根密钥,以根据所述第一管理子密钥和所述第一管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证;
第七发送单元1402,用于若管理认证通过,则密钥管理平台向当前接入的第一用户设备导入初始化密钥,并根据本地存储的应用认证根密钥分散获得应用认证密钥并将该应用认证密钥导入所述第一用户设备;所述初始化密钥和与所述第一用户设备对应的安全控制模块存储的初始化密钥相同。
本发明实施例提供的第一管理设备,通过向密钥管理平台发送自身的设备序号,并接收密钥管理平台根据该设备序号分散获得的管理根密钥,并将该管理根密钥与本地存储的管理根密钥进行比对,以完成与第一用户设备之间的管理认证。能够对管理设备与用户设备之间的管理与被管理关系进行有效控制,进而能够实现不同层级管理者之间的权限管理。
图16为本发明又一实施例提供的密钥管理平台的结构示意图。该密钥管理平台可以通过软件、硬件或者两者的结合实现成为终端的部分或者全部。如图16所示,在图15所示实施例的基础上,该密钥管理平台140还包括:第一生成单元1403、第一获得单元1404、第一加密单元1405、重复执行单元1406、第二导入单元1407、第三导入单元1408、第二生成单元1409。
可选地,所述密钥管理平台还包括:
第一生成单元1403,用于生成第N级管理根密钥;
第一获得单元1404,用于根据预设规则获得第N+1级管理根密钥分散因子;
第一加密单元1405,用于根据预设的加密算法使用所述第N级管理根密钥对所述第N+1级管理根密钥分散因子进行加密,获得第N+1级管理根密钥;
重复执行单元1406,用于重复执行所述密钥管理平台根据预设规则获得第N+1级管理根密钥分散因子和所述密钥管理平台根据预设的加密算法使用所述第N级管理根密钥对所述第N+1级管理根密钥分散因子进行加密,获得第N+1级管理根密钥的步骤,直至获得预设级别数的管理根密钥;
第二导入单元1407,用于将各级别的管理根密钥导入对应级别的管理设备内;
第三导入单元1408,用于将各级别的管理设备对应的管理根密钥分散获得管理子密钥,并将该管理子密钥导入与所述管理设备对应的用户设备内。
可选地,所述第四认证单元具体用于:
检测所述管理子密钥是否由所述管理根密钥分散获得;若是,则判定管理认证成功;否则,判定管理认证失败。
可选地,所述密钥管理平台还包括:
第二生成单元1409,用于生成初始化密钥,并将所述初始化密钥发送给安全控制模块。
图17为本发明一实施例提供的安全控制模块的硬件结构示意图。如图17所示,本实施例提供的安全控制模块160包括:至少一个处理器1601和存储器1602。其中,处理器1601和存储器1602通过总线1602连接。
在具体实现过程中,至少一个处理器1601执行所述存储器1602存储的计算机执行指令,使得至少一个处理器1601执行如上安全控制模块160所执行的视频数据管控认证方法。
处理器1601的具体实现过程可参见上述以安全控制模块为执行主体的各方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图17所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
作为一种可实施方式,可以将安全控制模块设计为芯片实体,实现与密钥配对、鉴权、加解密的功能。实际应用中,只要将该芯片加入现有的硬盘录像机(Digital VideoRecorder,DVR)、网络硬盘录像机(Network Video Recorder,NVR)设备中即可进行视频安全管控。可选地,该芯片(安全控制模块)可以包括:微处理器(Micro Controller Unit,MCU)、加密模块、解密模块,加密模块和解密模块分别与微处理器连接。
可选地,加密模块和解密模块分别通过总线与微处理器连接,总线的可选方式很多,例如可采用串行外设接口总线,即SPI总线。
实际应用中,加密模块可以为国密SM1加密芯片,解密模块可以为国密SM1解密芯片。
可选地,为保证NVR/DVR主板的USB资源充足(NVR/DVR主板一般提供2个USB2.0接口),该芯片上设置有USB主设备(USB HOST)及USB集线器24(Universal Serial Bus Hub,USB Hub)以保证安全控制模块在极端使用方式下的USB接口数量,如视频拷贝的情况,需要通过多个USB接口分别连接一块移动硬盘,一个用户设备或管理设备及一只鼠标。
可选地,所述MCU可以为嵌入式微处理器,例如ARM Cortex M3或者M4,MCU负责密钥鉴权及关键数据的存储。NVR通过USB HUB分别与加密芯片,解密芯片及MCU通讯,处理加密,解密及密钥的认证功能。
具体的,针对视频加密,NVR通过USB发送请求加密命令使用SM1加密芯片加密视频数据,将返回的加密视频数据与原缓存的视频数据组合输出到文件流。
针对获得授权,回看视频,或拷贝视频时,NVR向芯片内的MCU发送请求授权命令,MCU根据插上的用户设备或管理设备判断是否获得授权,返回NVR结果。
针对视频解密,获得授权后,NVR向芯片内的解密芯片发送请求解密命令使用SM1解密芯片解密视频数据,将返回的解密视频数据与原视频数据组合输出到视频缓存。
针对保存应用密钥,NVR向芯片内的MCU发送密钥导入命令,MCU导入插入的用户设备中的应用密钥,保存至内部的FLASH中,并写入用户设备的设备标识(UID),返回导入成功。
针对获得应用密钥,NVR向芯片内的MCU发送密钥请求命令,芯片通过NVR的UID判断是否为绑定NVR,并返回结果。针对系统初始化,NVR初始化时,向芯片内的MCU发送初始化命令,将NVR的UID发送至芯片,芯片将UID写入内部存储介质,例如FLASH闪存,作为未来判断是否为绑定NVR依据。
图18为本发明又一实施例提供的第一用户设备的硬件结构示意图。如图18所示,本实施例提供的第一用户设备170包括:至少一个处理器1701和存储器1702。其中,处理器1701和存储器1702通过总线1702连接。
在具体实现过程中,至少一个处理器1701执行所述存储器1702存储的计算机执行指令,使得至少一个处理器1701执行如上第一用户设备170所执行的视频数据管控认证方法。
处理器1701的具体实现过程可参见上述以第一用户设备为执行主体的各方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图18所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
图19为本发明又一实施例提供的第一管理设备的硬件结构示意图。如图19所示,本实施例提供的第一管理设备180包括:至少一个处理器1801和存储器1802。其中,处理器1801和存储器1802通过总线1802连接。
在具体实现过程中,至少一个处理器1801执行所述存储器1802存储的计算机执行指令,使得至少一个处理器1801执行如上第一管理设备180所执行的视频数据管控认证方法。
处理器1801的具体实现过程可参见上述以第一管理设备为执行主体的各方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图19所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
图20为本发明又一实施例提供的密钥管理平台的硬件结构示意图。如图20所示,本实施例提供的密钥管理平台190包括:至少一个处理器1901和存储器1902。其中,处理器1901和存储器1902通过总线1902连接。
在具体实现过程中,至少一个处理器1901执行所述存储器1902存储的计算机执行指令,使得至少一个处理器1901执行如上密钥管理平台190所执行的视频数据管控认证方法。
处理器1901的具体实现过程可参见上述以密钥管理平台为执行主体的各方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图20所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一用户设备执行的视频数据管控认证方法。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一管理设备执行的视频数据管控认证方法。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上密钥管理平台执行的视频数据管控认证方法。
上述的计算机可读存储介质,上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。当然,处理器和可读存储介质也可以作为分立组件存在于设备中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (42)
1.一种视频数据管控认证方法,其特征在于,包括:
若存在接入安全控制模块的第一用户设备,则安全控制模块判断本次双向认证是否为与该第一用户设备的初次双向认证;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥;
若为初次双向认证,则安全控制模块根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储;若不为初次双向认证,则安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,若双向认证通过,则安全控制模块执行相应的管控操作,所述本地存储的初始化密钥为密钥管理平台发送的;
所述应用认证密钥为密钥管理平台根据应用认证根密钥分散获得后发送给所述第一用户设备的,所述应用认证根密钥用于发送给所述第一管理设备,以使所述第一管理设备根据该应用认证根密钥与所述安全控制模块进行双向认证,并在双向认证通过后,使所述安全控制模块执行相应的管控操作。
2.根据权利要求1所述的方法,其特征在于,所述双向认证请求包括所述第一用户设备的标识;
所述若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储之后,还包括:
安全控制模块记录所述第一用户设备的标识;
所述安全控制模块判断本次双向认证是否为与该第一用户设备的初次双向认证,包括:
安全控制模块检测所述第一用户设备的标识是否为已记录的标识,若未记录,则安全控制模块判定本次双向认证为初次双向认证,否则,安全控制模块判定本次双向认证不为初次双向认证。
3.根据权利要求1所述的方法,其特征在于,所述安全控制模块根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,包括:
安全控制模块接收所述第一用户设备发送的第一随机数;
安全控制模块根据本地存储的初始化密钥和所述第一随机数,计算第一令牌并将所述第一令牌发送给所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得并返回第一认证结果;
若所述第一用户设备返回的第一认证结果为认证成功,则安全控制模块生成第三随机数,并将所述第三随机数发送给所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥和所述第三随机数计算第二令牌并返回;
安全控制模块根据本地存储的初始化密钥,对所述第一用户设备返回的所述第二令牌进行解密,以获得第四随机数,并通过比对所述第一随机数和所述第二随机数获得第二认证结果;
若所述第二认证结果为认证成功,则安全控制模块判定本次双向认证通过。
4.根据权利要求1所述的方法,其特征在于,所述安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,包括:
安全控制模块接收所述第一用户设备发送的第五随机数;
安全控制模块根据本地存储的应用认证密钥和所述第五随机数,计算第三令牌并将所述第三令牌发送给所述第一用户设备,以使所述第一用户设备根据本地存储的应用认证密钥对所述第三令牌解密获得第六随机数,并通过比对所述第五随机数和所述第六随机数获得并返回第三认证结果;
若所述第一用户设备返回的第三认证结果为认证成功,则安全控制模块生成第七随机数,并将所述第七随机数发送至所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥和所述第七随机数生成第四令牌并返回;
安全控制模块根据本地存储的应用认证密钥,对所述第一用户设备返回的所述第四令牌进行解密,以获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果;
若所述第四认证结果为认证成功,则安全控制模块判定本次双向认证通过。
5.根据权利要求1所述的方法,其特征在于,所述若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储之后,还包括:
安全控制模块接收视频采集设备发送的视频数据,基于本地存储的应用认证密钥对视频数据进行加密和存储;
所述若双向认证通过,则安全控制模块执行相应的管控操作,包括:
安全控制模块接收视频播放指令,所述视频播放指令用于指示需要播放的视频;
若本次双向认证的结果为认证通过,则安全控制模块根据本地存储的应用认证密钥对需要播放的视频进行解密以播放解密后的视频,否则,不执行处理。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述本地存储的初始化密钥有多个,每个初始化密钥唯一对应一个密钥序号;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥及其对应的第一密钥序号;
所述双向认证请求包括第二密钥序号;所述安全控制模块根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,包括:
安全控制模块从本地存储的多个初始化密钥中,获取所述第二密钥序号对应的初始化密钥;
安全控制模块根据所述第二密钥序号对应的初始化密钥,与所述第一用户设备进行双向认证。
7.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
安全控制模块接收密钥管理平台发送的初始化密钥,并存储至本地;所述初始化密钥是密钥管理平台基于所述安全控制模块的设备序号分散获得的。
8.一种视频数据管控认证方法,其特征在于,包括:
第一用户设备向密钥管理平台发送自身对应的用户设备序号,获取密钥管理平台根据所述用户设备序号发送的第一管理子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行管理认证;所述管理子密钥是与所述第一用户设备对应的第二管理设备存储的管理根密钥分散获得的;
第一用户设备接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的初始化密钥,并将该初始化密钥存储至本地;所述初始化密钥是所述密钥管理平台基于与所述第一用户设备对应的第一安全控制模块的设备序号分散获得的;
若第一用户设备和接入的第二安全控制模块的双向认证为初次双向认证,则第一用户设备根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证,若双向认证通过,则第一用户设备将本地存储的应用认证密钥导入所述第二安全控制模块;若不为初次双向认证,则第一用户设备根据本地存储的应用认证密钥,进行与所述第二安全控制模块的双向认证,若双向认证通过,则执行相应的管控操作;
所述应用认证密钥为密钥管理平台根据应用认证根密钥分散获得后发送给所述第一用户设备的,所述应用认证根密钥用于发送给所述第一管理设备,以使所述第一管理设备根据该应用认证根密钥与所述安全控制模块进行双向认证,并在双向认证通过后,使所述安全控制模块执行相应的管控操作。
9.根据权利要求8所述的方法,其特征在于,所述第一用户设备根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证,包括:
第一用户设备生成第一随机数,并将所述第一随机数发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的初始化密钥和所述第一随机数,计算第一令牌并返回;
第一用户设备根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果并返回给所述第二安全控制模块;
第一用户设备接收所述第二安全控制模块在接收到认证成功的第一认证结果后发送的第三随机数;
第一用户设备根据本地存储的初始化密钥和所述第三随机数,计算第二令牌并将所述第二令牌发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的初始化密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得第二认证结果,若所述第二认证结果为认证成功,则第二安全控制模块判定本次双向认证通过。
10.根据权利要求8所述的方法,其特征在于,所述第一用户设备根据本地存储的应用认证密钥,进行与所述第二安全控制模块的双向认证,包括:
第一用户设备生成第五随机数,并将所述第五随机数发送至所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的应用认证密钥和所述第五随机数,生成第三令牌并返回;
第一用户设备根据本地存储的应用认证密钥对所述第二安全控制模块返回的所述第三令牌解密获得第六随机数,并通过比对所述第六随机数和所述第五随机数获得第三认证结果返回给所述第二安全控制模块;
第一用户设备接收所述第二安全控制模块在接收到认证成功的第三认证结果后发送的第七随机数;
第一用户设备根据本地存储的应用认证密钥和所述第七随机数,计算第四令牌并将所述第四令牌发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的应用认证密钥对所述第四令牌解密获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果,若所述第四认证结果为认证成功,则第二安全控制模块判定本次双向认证通过。
11.根据权利要求8-10任一项所述的方法,其特征在于,所述第一安全控制模块存储的初始化密钥有多个,每个初始化密钥唯一对应一个密钥序号;所述第一用户设备接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的初始化密钥,并将该初始化密钥存储至本地,包括:
第一用户设备接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的第一初始化密钥及其对应的第一密钥序号;其中所述第一安全控制模块本地存储的多个初始化密钥中存在与所述第一初始化密钥相同的初始化密钥;
所述第一用户设备根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证之前,还包括:
第一用户设备向所述第二安全控制模块发送所述第一密钥序号,以使所述第二安全控制模块根据所述第一密钥序号对应的初始化密钥,与所述第一用户设备进行双向认证。
12.根据权利要求8-10任一项所述的方法,其特征在于,所述第一用户设备向密钥管理平台发送自身对应的用户设备序号之前,还包括:
第一用户设备接收密钥管理平台根据第二管理设备存储的管理根密钥分散获得的管理子密钥并存储至本地。
13.根据权利要求8-10任一项所述的方法,其特征在于,所述第一用户设备向密钥管理平台发送自身对应的用户设备序号之后,还包括:
第一用户设备获取密钥管理平台根据所述用户设备序号发送的写认证子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行写认证;所述写认证子密钥是与所述第一用户设备对应的第二管理设备存储的写认证根密钥分散获得的;
第一用户设备接收所述密钥管理平台发送的地址信息和/或视频授权信息并存储至本地,所述地址信息和/或视频授权信息是所述密钥管理平台对所述第一管理设备和所述第一用户设备的写认证成功后发送的。
14.根据权利要求8-10任一项所述的方法,其特征在于,所述第一用户设备向密钥管理平台发送自身对应的用户设备序号之后,还包括:
第一用户设备接收所述密钥管理平台发送的应用认证密钥并存储至本地,所述应用认证密钥是所述密钥管理平台对所述第一管理设备和所述第一用户设备的管理认证成功后发送的,所述应用认证密钥是所述密钥管理平台基于所述第一管理设备存储的应用认证根密钥分散获得的。
15.一种视频数据管控认证方法,其特征在于,包括:
第一管理设备向密钥管理平台发送自身对应的管理设备序号,获取密钥管理平台根据所述管理设备序号发送的第一管理根密钥,以对所述第一管理设备和当前接入的第一用户设备进行管理认证;所述第一管理根密钥用于分散获得管理子密钥,所述管理子密钥存储于与所述第一管理设备对应的第一用户设备内;
若第一管理设备接入的第一安全控制模块已导入应用认证密钥,则第一管理设备根据本地存储的应用认证根密钥,与所述第一安全控制模块进行双向认证,若双向认证通过,则执行相应的管控操作;所述应用认证根密钥为密钥管理平台发送的,所述应用认证密钥为密钥管理平台根据所述应用认证根密钥分散获得后,并在第一用户设备根据初始化密钥与所述第一安全控制模块进行的初次双向认证通过后,通过所述第一用户设备发送给所述第一安全控制模块的。
16.根据权利要求15所述的方法,其特征在于,所述第一管理设备向密钥管理平台发送自身对应的管理设备序号之后,还包括:
第一管理设备获取密钥管理平台根据所述管理设备序号发送的第一写认证根密钥,以对所述第一管理设备和当前接入的第一用户设备进行写认证;所述第一写认证根密钥用于分散获得写认证子密钥,所述写认证子密钥存储于与所述第一管理设备对应的第一用户设备内。
17.根据权利要求15所述的方法,其特征在于,所述第一管理设备向密钥管理平台发送自身对应的管理设备序号之后,还包括:
若所述密钥管理平台对所述第一管理设备和所述第一用户设备的管理认证成功,则所述密钥管理平台根据本地存储的应用认证根密钥分散获得应用认证密钥,并将所述应用认证密钥发送给第一用户设备;所述应用认证根密钥与所述第一管理设备本地存储的应用认证根密钥相同。
18.根据权利要求15所述的方法,其特征在于,所述第一管理设备根据本地存储的应用认证根密钥,与所述第一安全控制模块进行双向认证,包括:
第一管理设备生成第一随机数,并将所述第一随机数发送给所述第一安全控制模块,以使所述第一安全控制模块根据本地存储的应用认证密钥和所述第一随机数计算第一令牌并返回;
第一管理设备根据本地存储的应用认证根密钥分散获得的应用认证密钥,对所述第一安全控制模块返回的所述第一令牌进行解密,以获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果并返回给所述第一安全控制模块;
第一管理设备接收所述第一安全控制模块在接收到认证成功的第一认证结果后发送的第三随机数;
第一管理设备根据本地存储的应用认证根密钥分散获得的应用认证密钥和所述第三随机数,计算第二令牌并将所述第二令牌发送给所述第一安全控制模块,以使所述第一安全控制模块根据本地存储的应用认证密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得并返回第二认证结果,若所述第二认证结果为认证成功,则第一安全控制模块判定本次双向认证通过。
19.一种视频数据管控认证方法,其特征在于,包括:
密钥管理平台接收当前接入的第一用户设备发送的自身对应的用户设备序号和当前接入的第一管理设备发送的自身对应的管理设备序号,并根据所述用户设备序号向当前接入的第一用户设备发送第一管理子密钥,以及根据所述管理设备序号向当前接入的第一管理设备发送的第一管理根密钥,以根据所述第一管理子密钥和所述第一管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证;所述根据所述管理子密钥和所述管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证,包括:检测所述管理子密钥是否由所述管理根密钥分散获得;若是,则判定管理认证成功;否则,判定管理认证失败;
若管理认证通过,则密钥管理平台向当前接入的第一用户设备导入初始化密钥,并根据本地存储的应用认证根密钥分散获得应用认证密钥并将该应用认证密钥导入所述第一用户设备,以使所述第一用户设备在初次双向认证时根据该初始化密钥与接入的安全控制模块进行双向认证,若双向认证通过,则第一用户设备将本地存储的应用认证密钥导入该安全控制模块,在非初次双向认证时则根据该应用认证密钥与接入的安全控制模块进行双向认证,若双向认证通过,则执行相应的管控操作;所述初始化密钥和与所述第一用户设备对应的安全控制模块存储的初始化密钥相同。
20.根据权利要求19所述的方法,其特征在于,所述密钥管理平台接收当前接入的第一用户设备发送的自身对应的用户设备序号和当前接入的第一管理设备发送的自身对应的管理设备序号之前,还包括:
密钥管理平台生成第N级管理根密钥;
密钥管理平台根据预设规则获得第N+1级管理根密钥分散因子;
密钥管理平台根据预设的加密算法使用所述第N级管理根密钥对所述第N+1级管理根密钥分散因子进行加密,获得第N+1级管理根密钥;
重复执行所述密钥管理平台根据预设规则获得第N+1级管理根密钥分散因子和所述密钥管理平台根据预设的加密算法使用所述第N级管理根密钥对所述第N+1级管理根密钥分散因子进行加密,获得第N+1级管理根密钥的步骤,直至获得预设级别数的管理根密钥;
密钥管理平台将各级别的管理根密钥导入对应级别的管理设备内;
密钥管理平台将各级别的管理设备对应的管理根密钥分散获得管理子密钥,并将该管理子密钥导入与所述管理设备对应的用户设备内。
21.根据权利要求19-20任一项所述的方法,其特征在于,所述方法还包括:
密钥管理平台生成初始化密钥,并将所述初始化密钥发送给安全控制模块。
22.一种安全控制模块,其特征在于,包括:
第一判断单元,用于若存在接入安全控制模块的第一用户设备,则判断本次双向认证是否为与该第一用户设备的初次双向认证;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥;
第一认证单元,用于若为初次双向认证,则根据本地存储的初始化密钥,与所述第一用户设备进行双向认证,若双向认证通过,则安全控制模块从所述第一用户设备导入应用认证密钥至本地进行存储;若不为初次双向认证,则安全控制模块根据本地存储的应用认证密钥,进行与所述第一用户设备的双向认证,若双向认证通过,则安全控制模块执行相应的管控操作;所述应用认证密钥为密钥管理平台根据应用认证根密钥分散获得后发送给所述第一用户设备的,所述应用认证根密钥用于发送给所述第一管理设备,以使所述第一管理设备根据该应用认证根密钥与所述安全控制模块进行双向认证,并在双向认证通过后,使所述安全控制模块执行相应的管控操作。
23.根据权利要求22所述的安全控制模块,其特征在于,所述双向认证请求包括所述第一用户设备的标识;所述安全控制模块还包括:
第一记录单元,用于记录所述第一用户设备的标识;
所述第一判断单元,具体用于检测所述第一用户设备的标识是否为已记录的标识,若未记录,则安全控制模块判定本次双向认证为初次双向认证,否则,安全控制模块判定本次双向认证不为初次双向认证。
24.根据权利要求22所述的安全控制模块,其特征在于,所述第一认证单元具体用于:
接收所述第一用户设备发送的第一随机数;
根据本地存储的初始化密钥和所述第一随机数,计算第一令牌并将所述第一令牌发送给所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得并返回第一认证结果;
若所述第一用户设备返回的第一认证结果为认证成功,则生成第三随机数,并将所述第三随机数发送给所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥和所述第三随机数计算第二令牌并返回;
根据本地存储的初始化密钥,对所述第一用户设备返回的所述第二令牌进行解密,以获得第四随机数,并通过比对所述第一随机数和所述第二随机数获得第二认证结果;
若所述第二认证结果为认证成功,则判定本次双向认证通过。
25.根据权利要求22所述的安全控制模块,其特征在于,所述第一认证单元具体用于:
接收所述第一用户设备发送的第五随机数;
根据本地存储的应用认证密钥和所述第五随机数,计算第三令牌并将所述第三令牌发送给所述第一用户设备,以使所述第一用户设备根据本地存储的应用认证密钥对所述第三令牌解密获得第六随机数,并通过比对所述第五随机数和所述第六随机数获得并返回第三认证结果;
若所述第一用户设备返回的第三认证结果为认证成功,则生成第七随机数,并将所述第七随机数发送至所述第一用户设备,以使所述第一用户设备根据本地存储的初始化密钥和所述第七随机数生成第四令牌并返回;
根据本地存储的应用认证密钥,对所述第一用户设备返回的所述第四令牌进行解密,以获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果;
若所述第四认证结果为认证成功,则判定本次双向认证通过。
26.根据权利要求22所述的安全控制模块,其特征在于,所述第一认证单元具体用于:
接收视频采集设备发送的视频数据,基于本地存储的应用认证密钥对视频数据进行加密和存储;
接收视频播放指令,所述视频播放指令用于指示需要播放的视频;
若本次双向认证的结果为认证通过,则根据本地存储的应用认证密钥对需要播放的视频进行解密以播放解密后的视频,否则,不执行处理。
27.根据权利要求22-26任一项所述的安全控制模块,其特征在于,所述本地存储的初始化密钥有多个,每个初始化密钥唯一对应一个密钥序号;所述第一用户设备本地存储有由密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的第一初始化密钥及其对应的第一密钥序号;
所述双向认证请求包括第二密钥序号;所述第一认证单元具体用于:
从本地存储的多个初始化密钥中,获取所述第二密钥序号对应的初始化密钥;
根据所述第二密钥序号对应的初始化密钥,与所述第一用户设备进行双向认证。
28.根据权利要求22-26任一项所述的安全控制模块,其特征在于,所述安全控制模块还包括:
第二接收单元,用于接收密钥管理平台发送的初始化密钥,并存储至本地。
29.一种第一用户设备,其特征在于,包括:
第一发送单元,用于向密钥管理平台发送自身对应的用户设备序号,获取密钥管理平台根据所述用户设备序号发送的第一管理子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行管理认证;所述管理子密钥是与所述第一用户设备对应的第二管理设备存储的管理根密钥分散获得的;
第三接收单元,用于接收密钥管理平台在基于管理密钥对该第一用户设备和其对应的管理设备管理认证成功后导入的初始化密钥,并将该初始化密钥存储至本地;所述初始化密钥是所述密钥管理平台基于与所述第一用户设备对应的第一安全控制模块的设备序号分散获得的;
第二认证单元,用于若第一用户设备和接入的第二安全控制模块的双向认证为初次双向认证,则根据本地存储的初始化密钥,与所述第二安全控制模块进行双向认证,若双向认证通过,则将本地存储的应用认证密钥导入所述第二安全控制模块;若不为初次双向认证,则根据本地存储的应用认证密钥,进行与所述第二安全控制模块的双向认证,若双向认证通过,则执行相应的管控操作;所述应用认证密钥为密钥管理平台根据应用认证根密钥分散获得后发送给所述第一用户设备的,所述应用认证根密钥用于发送给所述第一管理设备,以使所述第一管理设备根据该应用认证根密钥与所述安全控制模块进行双向认证,并在双向认证通过后,使所述安全控制模块执行相应的管控操作。
30.根据权利要求29所述的第一用户设备,其特征在于,所述第二认证单元具体用于:
生成第一随机数,并将所述第一随机数发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的初始化密钥和所述第一随机数,计算第一令牌并返回;
根据本地存储的初始化密钥对所述第一令牌解密获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果并返回给所述第二安全控制模块;
接收所述第二安全控制模块在接收到认证成功的第一认证结果后发送的第三随机数;
根据本地存储的初始化密钥和所述第三随机数,计算第二令牌并将所述第二令牌发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的初始化密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得第二认证结果,若所述第二认证结果为认证成功,则第二安全控制模块判定本次双向认证通过。
31.根据权利要求29所述的第一用户设备,其特征在于,所述第二认证单元具体用于:
生成第五随机数,并将所述第五随机数发送至所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的应用认证密钥和所述第五随机数,生成第三令牌并返回;
根据本地存储的应用认证密钥对所述第二安全控制模块返回的所述第三令牌解密获得第六随机数,并通过比对所述第六随机数和所述第五随机数获得第三认证结果返回给所述第二安全控制模块;
接收所述第二安全控制模块在接收到认证成功的第三认证结果后发送的第七随机数;
根据本地存储的应用认证密钥和所述第七随机数,计算第四令牌并将所述第四令牌发送给所述第二安全控制模块,以使所述第二安全控制模块根据本地存储的应用认证密钥对所述第四令牌解密获得第八随机数,并通过比对所述第七随机数和所述第八随机数获得第四认证结果,若所述第四认证结果为认证成功,则第二安全控制模块判定本次双向认证通过。
32.根据权利要求29-31任一项所述的第一用户设备,其特征在于,所述第一安全控制模块存储的初始化密钥有多个,每个初始化密钥唯一对应一个密钥序号;所述第三接收单元具体用于:
接收密钥管理平台在基于管理密钥对该第一用户设备和第一管理设备管理认证成功后导入的第一初始化密钥及其对应的第一密钥序号;其中所述第一安全控制模块本地存储的多个初始化密钥中存在与所述第一初始化密钥相同的初始化密钥;
所述第一用户设备还包括:
第二发送单元,用于向所述第二安全控制模块发送所述第一密钥序号,以使所述第二安全控制模块根据所述第一密钥序号对应的初始化密钥,与所述第一用户设备进行双向认证。
33.根据权利要求29-31任一项所述的第一用户设备,其特征在于,所述第一用户设备还包括:
第四接收单元,用于接收密钥管理平台根据第二管理设备存储的管理根密钥分散获得的管理子密钥并存储至本地。
34.根据权利要求29-31任一项所述的第一用户设备,其特征在于,所述第一用户设备还包括:
第三发送单元,用于获取密钥管理平台根据所述用户设备序号发送的写认证子密钥,以使密钥管理平台对所述第一用户设备和当前接入的第一管理设备进行写认证;所述写认证子密钥是与所述第一用户设备对应的第二管理设备存储的写认证根密钥分散获得的;
第五接收单元,用于接收所述密钥管理平台发送的地址信息和/或视频授权信息并存储至本地,所述地址信息和/或视频授权信息是所述密钥管理平台对所述第一管理设备和所述第一用户设备的写认证成功后发送的。
35.根据权利要求29-31任一项所述的第一用户设备,其特征在于,所述第一用户设备还包括:
第六接收单元,用于接收所述密钥管理平台发送的应用认证密钥并存储至本地,所述应用认证密钥是所述密钥管理平台对所述第一管理设备和所述第一用户设备的管理认证成功后发送的,所述应用认证密钥是所述第一管理设备存储的应用认证根密钥分散获得的。
36.一种第一管理设备,其特征在于,包括:
第四发送单元,用于向密钥管理平台发送自身对应的管理设备序号,获取密钥管理平台根据所述管理设备序号发送的第一管理根密钥,以对所述第一管理设备和当前接入的第一用户设备进行管理认证;所述管理根密钥用于分散获得管理子密钥,所述管理子密钥存储于与所述第一管理设备对应的第一用户设备内;
第三认证单元,用于若第一管理设备接入的第一安全控制模块已导入应用认证密钥,则根据本地存储的应用认证根密钥,与所述第一安全控制模块进行双向认证,若双向认证通过,则执行相应的管控操作,所述应用认证根密钥为密钥管理平台发送的,所述应用认证密钥为密钥管理平台根据所述应用认证根密钥分散获得后,并在第一用户设备根据初始化密钥与所述第一安全控制模块进行的初次双向认证通过后,通过所述第一用户设备发送给所述第一安全控制模块的。
37.根据权利要求36所述的第一管理设备,其特征在于,所述第一管理设备还包括:
第五发送单元,用于获取密钥管理平台根据所述管理设备序号发送的第一写认证根密钥,以对所述第一管理设备和当前接入的第一用户设备进行写认证;所述写认证根密钥用于分散获得写认证子密钥,所述写认证子密钥存储于与所述第一管理设备对应的第一用户设备内。
38.根据权利要求36所述的第一管理设备,其特征在于,所述第一管理设备还包括:
第六发送单元,用于若所述密钥管理平台对所述第一管理设备和所述第一用户设备的管理认证成功,则所述密钥管理平台根据本地存储的应用认证根密钥分散获得应用认证密钥,并将所述应用认证密钥发送给第一用户设备;所述应用认证根密钥与所述第一管理设备本地存储的应用认证根密钥相同。
39.根据权利要求36所述的第一管理设备,其特征在于,所述第三认证单元具体用于:
生成第一随机数,并将所述第一随机数发送给所述第一安全控制模块,以使所述第一安全控制模块根据本地存储的应用认证密钥和所述第一随机数计算第一令牌并返回;
根据本地存储的应用认证根密钥分散获得的应用认证密钥,对所述第一安全控制模块返回的所述第一令牌进行解密,以获得第二随机数,并通过比对所述第一随机数和所述第二随机数获得第一认证结果并返回给所述第一安全控制模块;
接收所述第一安全控制模块在接收到认证成功的第一认证结果后发送的第三随机数;
根据本地存储的应用认证根密钥分散获得的应用认证密钥和所述第三随机数,计算第二令牌并将所述第二令牌发送给所述第一安全控制模块,以使所述第一安全控制模块根据本地存储的应用认证密钥对所述第二令牌解密获得第四随机数,并通过比对所述第三随机数和所述第四随机数获得并返回第二认证结果,若所述第二认证结果为认证成功,则第一安全控制模块判定本次双向认证通过。
40.一种密钥管理平台,其特征在于,包括:
第四认证单元,用于接收当前接入的第一用户设备发送的自身对应的用户设备序号和当前接入的第一管理设备发送的自身对应的管理设备序号,并根据所述用户设备序号向当前接入的第一用户设备发送第一管理子密钥,以及根据所述管理设备序号向当前接入的第一管理设备发送的第一管理根密钥,以根据所述第一管理子密钥和所述第一管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证;所述根据所述管理子密钥和所述管理根密钥对所述第一用户设备和所述第一管理设备进行管理认证,包括:检测所述管理子密钥是否由所述管理根密钥分散获得;若是,则判定管理认证成功;否则,判定管理认证失败;
第七发送单元,用于若管理认证通过,则密钥管理平台向当前接入的第一用户设备导入初始化密钥,并根据本地存储的应用认证根密钥分散获得应用认证密钥并将该应用认证密钥导入所述第一用户设备,以使所述第一用户设备在初次双向认证时根据该初始化密钥与接入的安全控制模块进行双向认证,若双向认证通过,则第一用户设备将本地存储的应用认证密钥导入该安全控制模块,在非初次双向认证时则根据该应用认证密钥与接入的安全控制模块进行双向认证,若双向认证通过,则执行相应的管控操作;所述初始化密钥和与所述第一用户设备对应的安全控制模块存储的初始化密钥相同。
41.根据权利要求40所述的密钥管理平台,其特征在于,所述密钥管理平台还包括:
第一单元,用于生成第N级管理根密钥;
第一获得单元,用于根据预设规则获得第N+1级管理根密钥分散因子;
第一加密单元,用于根据预设的加密算法使用所述第N级管理根密钥对所述第N+1级管理根密钥分散因子进行加密,获得第N+1级管理根密钥;
重复执行单元,用于重复执行所述密钥管理平台根据预设规则获得第N+1级管理根密钥分散因子和所述密钥管理平台根据预设的加密算法使用所述第N级管理根密钥对所述第N+1级管理根密钥分散因子进行加密,获得第N+1级管理根密钥的步骤,直至获得预设级别数的管理根密钥;
第二导入单元,用于将各级别的管理根密钥导入对应级别的管理设备内;
第三导入单元,用于将各级别的管理设备对应的管理根密钥分散获得管理子密钥,并将该管理子密钥导入与所述管理设备对应的用户设备内。
42.根据权利要求40-41任一项所述的密钥管理平台,其特征在于,所述密钥管理平台还包括:
第二生成单元,用于生成初始化密钥,并将所述初始化密钥发送给安全控制模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910700899.0A CN110324358B (zh) | 2019-07-31 | 2019-07-31 | 视频数据管控认证方法、模块、设备和平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910700899.0A CN110324358B (zh) | 2019-07-31 | 2019-07-31 | 视频数据管控认证方法、模块、设备和平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110324358A CN110324358A (zh) | 2019-10-11 |
CN110324358B true CN110324358B (zh) | 2020-05-05 |
Family
ID=68125045
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910700899.0A Active CN110324358B (zh) | 2019-07-31 | 2019-07-31 | 视频数据管控认证方法、模块、设备和平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110324358B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113221143A (zh) * | 2020-04-24 | 2021-08-06 | 支付宝(杭州)信息技术有限公司 | 一种信息处理的方法、装置及设备 |
CN111612944A (zh) * | 2020-05-06 | 2020-09-01 | 浙江中邦数码科技有限公司 | 一种智能锁及其开锁控制方法 |
CN111599043A (zh) * | 2020-05-06 | 2020-08-28 | 浙江中邦数码科技有限公司 | 一种智能锁及其加密控制方法 |
CN111698087B (zh) * | 2020-06-15 | 2023-09-08 | 北京数字认证股份有限公司 | 一种微型密码机及信息处理方法 |
CN112527496B (zh) * | 2020-10-29 | 2024-05-28 | 百果园技术(新加坡)有限公司 | 序号分配服务系统、序号分配方法、服务器及存储介质 |
CN112422287B (zh) * | 2021-01-22 | 2021-04-13 | 杭州城市大数据运营有限公司 | 基于密码学的多层级角色权限控制方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005339247A (ja) * | 2004-05-27 | 2005-12-08 | Secured Communications:Kk | 双方向ワンタイムid認証システム及び認証方法 |
CN103701613A (zh) * | 2014-01-06 | 2014-04-02 | 立德高科(北京)数码科技有限责任公司 | 认证终端与主机之间的双向认证方法及装置 |
CN104168267A (zh) * | 2014-07-23 | 2014-11-26 | 中国科学院信息工程研究所 | 一种接入sip安防视频监控系统的身份认证方法 |
CN104852925A (zh) * | 2015-05-28 | 2015-08-19 | 江南大学 | 移动智能终端数据防泄漏安全存储、备份方法 |
CN105162797A (zh) * | 2015-09-24 | 2015-12-16 | 广东工业大学 | 一种基于视频监控系统的双向认证方法 |
CN109448197A (zh) * | 2018-12-18 | 2019-03-08 | 杭州高锦科技有限公司 | 一种基于多重加密模式的云智能锁系统及密钥管理方法 |
-
2019
- 2019-07-31 CN CN201910700899.0A patent/CN110324358B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005339247A (ja) * | 2004-05-27 | 2005-12-08 | Secured Communications:Kk | 双方向ワンタイムid認証システム及び認証方法 |
CN103701613A (zh) * | 2014-01-06 | 2014-04-02 | 立德高科(北京)数码科技有限责任公司 | 认证终端与主机之间的双向认证方法及装置 |
CN104168267A (zh) * | 2014-07-23 | 2014-11-26 | 中国科学院信息工程研究所 | 一种接入sip安防视频监控系统的身份认证方法 |
CN104852925A (zh) * | 2015-05-28 | 2015-08-19 | 江南大学 | 移动智能终端数据防泄漏安全存储、备份方法 |
CN105162797A (zh) * | 2015-09-24 | 2015-12-16 | 广东工业大学 | 一种基于视频监控系统的双向认证方法 |
CN109448197A (zh) * | 2018-12-18 | 2019-03-08 | 杭州高锦科技有限公司 | 一种基于多重加密模式的云智能锁系统及密钥管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110324358A (zh) | 2019-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324358B (zh) | 视频数据管控认证方法、模块、设备和平台 | |
JP5450392B2 (ja) | コンテンツライセンスのポータブル記憶装置へのバインド | |
JP4555046B2 (ja) | データ転送システム及びデータ転送方法 | |
JP5200204B2 (ja) | 高信頼性システムを含む連合型デジタル権限管理機構 | |
US7975312B2 (en) | Token passing technique for media playback devices | |
US9721071B2 (en) | Binding of cryptographic content using unique device characteristics with server heuristics | |
KR101657613B1 (ko) | 보안 저장 장치에 저장된 디지털 컨텐츠의 백업 | |
US8572372B2 (en) | Method for selectively enabling access to file systems of mobile terminals | |
US8966580B2 (en) | System and method for copying protected data from one secured storage device to another via a third party | |
JP2002229861A (ja) | 著作権保護機能つき記録装置 | |
US8694799B2 (en) | System and method for protection of content stored in a storage device | |
US20090276474A1 (en) | Method for copying protected data from one secured storage device to another via a third party | |
WO2013107362A1 (zh) | 一种保护数据的方法和系统 | |
JP5911784B2 (ja) | ストレージシステム、セキュア記憶媒体、及びストレージ制御方法 | |
CN110598429B (zh) | 数据加密存储和读取的方法、终端设备及存储介质 | |
CN105612715A (zh) | 具有可配置访问控制的安全处理单元 | |
CN107403109A (zh) | 加密方法及加密系统 | |
CN104104650A (zh) | 数据文件访问方法及终端设备 | |
US8954757B2 (en) | Method, host, storage, and machine-readable storage medium for protecting content | |
CN110300289B (zh) | 视频安全管理系统及方法 | |
KR101208617B1 (ko) | 다중 어플리케이션의 단일 인증서 공유 장치 및 그 방법 | |
JP2008513854A (ja) | コンテンツをプロテクトする方法、装置及び記録媒体 | |
KR101249343B1 (ko) | 디지털 권한 파일의 보호를 위한 방법 | |
KR20150072007A (ko) | 부정조작방지 장치 접근 방법 및 그 방법을 채용한 단말 장치 | |
WO2009082070A1 (en) | Methods and apparatuses for using content, controlling use of content in cluster, and authenticating authorization to access content |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |