CN111565294A - 一种前端设备认证的方法、系统、电子设备及存储介质 - Google Patents
一种前端设备认证的方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111565294A CN111565294A CN202010220044.0A CN202010220044A CN111565294A CN 111565294 A CN111565294 A CN 111565294A CN 202010220044 A CN202010220044 A CN 202010220044A CN 111565294 A CN111565294 A CN 111565294A
- Authority
- CN
- China
- Prior art keywords
- authenticated
- end equipment
- equipment
- management platform
- access server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 238000003860 storage Methods 0.000 title claims abstract description 14
- 238000012544 monitoring process Methods 0.000 claims abstract description 278
- 230000006855 networking Effects 0.000 claims abstract description 89
- 230000004044 response Effects 0.000 claims description 32
- 230000000977 initiatory effect Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 16
- 230000015654 memory Effects 0.000 claims description 12
- 238000007726 management method Methods 0.000 description 113
- 230000006870 function Effects 0.000 description 32
- 238000005516 engineering process Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 238000011144 upstream manufacturing Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Graphics (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种前端设备认证的方法、系统、电子设备及可读存储介质,涉及视联网领域。该方法包括:接收档案信息,接收第一认证请求,根据设备证书、待认证前端设备的编号以及会话初始协议,认证待认证前端设备的身份。本发明的方法使得视联网监控管理平台可以接入并管理具有安全功能的前端设备,极大的拓展了视联网监控管理平台的适用性,接入了具有安全功能的前端设备也同时满足了客户对于视频信息安全的需求。
Description
技术领域
本发明涉及视联网领域,特别是涉及一种前端设备认证的方法、系统、电子设备及可读存储介质。
背景技术
目前具有安全功能的前端设备,因其具有设备身份安全认证、视频签名、视频加密等功能而越来越多的应用于公共安全视频监控联网信息安全领域。按照现行的GB 35114-2017国家标准,视频监控安全管理平台只有在完成了与具有安全功能的前端设备的单/双向身份认证的基础上,才能对其进行访问控制/实时点播/历史回放等操作。
当前市场中现有的具有安全功能的前端设备的身份认证过程仅支持IETF RFC3261中定义的REGISTER进行注册/注销,网络数据的传输依赖于IP协议。当前,随着视联网业务在全国范围内的普及,用户对具有安全功能的前端设备进行管理的需求越来越多,本技术方案意在实现视联网监控管理平台与市场中现有的具有安全功能的前端设备的身份认证,进而实现将具有安全功能的前端设备纳入视联网监控管理平台统一进行管理。
发明内容
鉴于上述问题,提出了本发明实施例一种前端设备认证的方法、系统、电子设备及可读存储介质解决了以上问题。
为了解决上述问题,本发明实施例公开了一种前端设备认证的方法,所述方法应用于监控接入服务器;所述监控接入服务器与视联网监控管理平台和待认证前端设备分别连接,所述方法包括:
接收档案信息,所述档案信息为所述视联网监控管理平台发送的,包含所述待认证前端设备的设备证书、编号以及会话初始协议的信息,所述设备证书由所述视联网监控管理平台从密钥服务系统中获取,所述密钥服务系统储存所有前端设备的设备证书;
接收第一认证请求,所述第一认证请求为所述待认证前端设备发送的;
根据所述设备证书、所述待认证前端设备的编号以及所述会话初始协议,认证所述待认证前端设备的身份。
可选地,接收档案信息之前,所述方法还包括:
接收第二认证请求,所述第二认证请求为所述待认证前端设备基于会话初始协议发送的,包含所述待认证前端设备的编号和所述会话初始协议的请求;
基于视联网协议,将所述编号和所述会话初始协议发送至所述视联网监控管理平台。
可选地,在认证所述待认证前端设备的身份之后,所述方法还包括:
在所述待认证前端设备通过认证的情况下,获取通过认证的前端设备的设备信息;
将所述设备信息转发至所述视联网监控管理平台,以使得视联网监控管理平台对所述通过认证的前端设备进行控制。
可选地,将所述设备信息转发至所述视联网监控管理平台之后,所述方法还包括:
接收访问控制指令,所述访问控制指令为所述视联网监控管理平台发送的用于访问并控制所述通过认证的前端设备的指令;
采用所述通过认证的前端设备的设备证书对所述访问控制指令进行加密,并将加密后的访问控制指令发送给所述通过认证的前端设备;
接收所述通过认证的前端设备发送的响应信息,并利用所述通过认证的前端设备的设备证书对所述响应信息进行解密;
将解密后的响应信息发送给所述视联网监控管理平台。
可选地,将所述设备信息转发至所述视联网监控管理平台之后,所述方法还包括:
接收实时点播控制指令,所述实时点播控制指令为所述视联网监控管理平台发送的用于实时点播所述通过认证的前端设备实时采集数据的指令;
采用所述通过认证的前端设备的设备证书对所述实时点播控制指令进行加密,并将加密后的实时点播控制指令发送给所述通过认证的前端设备;
接收所述通过认证的前端设备发送的实时采集数据,并利用所述通过认证的前端设备的设备证书对所述实时采集数据进行解密;
将解密后的实时采集数据发送给所述视联网监控管理平台。
可选地,将所述设备信息转发至所述视联网监控管理平台之后,所述方法还包括:
接收历史回放控制指令,所述历史回放控制指令为所述视联网监控管理平台发送的用于回放历史时间段内所述通过认证的前端设备历史数据的指令;
采用所述通过认证的前端设备的设备证书对所述历史回放控制指令进行加密,并将加密后的历史回放控制指令发送给所述通过认证的前端设备;
接收所述通过认证的前端设备发送的对应所述历史回放控制指令的历史数据,并利用所述通过认证的前端设备的设备证书对所述历史数据进行解密;
将解密后的历史数据发送给所述视联网监控管理平台。
本发明实施例还公开了另一种前端设备认证的方法,所述方法应用于视联网监控管理平台;所述视联网监控管理平台与监控接入服务器和密钥服务系统分别连接,所述密钥服务系统储存所有前端设备的设备证书,所述方法包括:
获取待认证前端设备的编号和会话初始协议;
根据所述编号,在所述密钥服务系统中获取对应所述编号的待认证前端设备的设备证书;
将所获取的设备证书、所述编号以及所述会话初始协议添加进档案信息;
将所述档案信息发送给与所述待认证前端设备连接的监控接入服务器,以使得所述监控接入服务器利用所述档案信息对所述待认证前端设备进行认证。
可选地,根据所述编号,在所述密钥服务系统中获取对应所述编号的待认证前端设备的设备证书,包括:
基于网际协议和应用程序接口,在所述密钥服务系统中检索所述编号;
在检索到所述编号的情况下,获取对应所述编号的待认证前端设备的设备证书;
在未检索到所述编号的情况下,向所述密钥服务系统发送新增指示,所述新增指示用于指示所述密钥服务系统新增对应所述编号的待认证前端设备的设备证书。
可选地,获取待认证前端设备的编号和会话初始协议,包括:
获取所述监控接入服务器转发的所述编号和所述会话初始协议,所述编号和所述会话初始协议由所述待认证前端设备向与其连接的监控接入服务器发起认证请求时产生。
可选地,将所述档案信息发送给与所述待认证前端设备连接的监控接入服务器之后,所述方法还包括:
接收设备信息,所述设备信息为所述监控接入服务器转发的通过认证的前端设备的设备信息;
向所述通过认证的前端设备发送访问控制指令,所述访问控制指令由所述监控接入服务器转发,用于访问并控制所述通过认证的前端设备;
接收响应信息,所述响应信息由所述通过认证的前端设备发送并由所述监控接入服务器转发;
或者,向所述通过认证的前端设备发送实时点播控制指令,所述实时点播控制指令由所述监控接入服务器转发,用于实时点播所述通过认证的前端设备的实时采集数据;
接收实时采集数据,所述实时采集数据由所述通过认证的前端设备发送并由所述监控接入服务器转发;
或者,向所述通过认证的前端设备发送历史回放控制指令,所述历史回放控制指令由所述监控接入服务器转发,用于回放历史时间段内所述通过认证的前端设备的历史数据;
接收历史数据,所述历史数据由所述通过认证的前端设备发送并由所述监控接入服务器转发。
本发明实施例还提供了一种前端设备认证的系统,所述系统包括:监控接入服务器和视联网监控管理平台;所述监控接入服务器与所述视联网监控管理平台和待认证前端设备分别连接,所述监控接入服务器包括:
接收档案模块,用于接收档案信息,所述档案信息为所述视联网监控管理平台发送的,包含所述待认证前端设备的设备证书、编号以及会话初始协议的信息,所述设备证书由所述视联网监控管理平台从密钥服务系统中获取,所述密钥服务系统储存所有前端设备的设备证书;
接收第一请求模块,用于接收第一认证请求,所述第一认证请求为所述待认证前端设备发送的;
认证模块,用于根据所述设备证书、所述待认证前端设备的编号以及所述会话初始协议,认证所述待认证前端设备的身份。
可选地,所述监控接入服务器还包括:
接收第二请求模块,用于接收第二认证请求,所述第二认证请求为所述待认证前端设备基于会话初始协议发送的,包含所述待认证前端设备的编号和所述会话初始协议的请求;
视联网协议发送模块,用于基于视联网协议,将所述编号和所述会话初始协议发送至所述视联网监控管理平台。
可选地,所述监控接入服务器还包括:
获取设备信息模块,用于在所述待认证前端设备通过认证的情况下,获取通过认证的前端设备的设备信息;
转发设备信息模块,用于将所述设备信息转发至所述视联网监控管理平台,以使得视联网监控管理平台对所述通过认证的前端设备进行控制。
可选地,所述监控接入服务器还包括:
第一接收指令模块,用于接收访问控制指令,所述访问控制指令为所述视联网监控管理平台发送的用于访问并控制所述通过认证的前端设备的指令;
第一加密模块,用于加密采用所述通过认证的前端设备的设备证书对所述访问控制指令进行加密,并将加密后的访问控制指令发送给所述通过认证的前端设备;
第一解密模块,用于接收所述通过认证的前端设备发送的响应信息,并利用所述通过认证的前端设备的设备证书对所述响应信息进行解密;
响应信息发送模块,用于将解密后的响应信息发送给所述视联网监控管理平台。
第二接收指令模块,用于接收实时点播控制指令,所述实时点播控制指令为所述视联网监控管理平台发送的用于实时点播所述通过认证的前端设备实时采集数据的指令;
第二加密模块,用于采用所述通过认证的前端设备的设备证书对所述实时点播控制指令进行加密,并将加密后的实时点播控制指令发送给所述通过认证的前端设备;
第二解密模块,用于接收所述通过认证的前端设备发送的实时采集数据,并利用所述通过认证的前端设备的设备证书对所述实时采集数据进行解密;
实时数据发送模块,用于将解密后的实时采集数据发送给所述视联网监控管理平台。
第三接收指令模块,用于接收历史回放控制指令,所述历史回放控制指令为所述视联网监控管理平台发送的用于回放历史时间段内所述通过认证的前端设备历史数据的指令;
第三加密模块,用于采用所述通过认证的前端设备的设备证书对所述历史回放控制指令进行加密,并将加密后的历史回放控制指令发送给所述通过认证的前端设备;
第三解密模块,用于接收所述通过认证的前端设备发送的对应所述历史回放控制指令的历史数据,并利用所述通过认证的前端设备的设备证书对所述历史数据进行解密;
历史数据发送模块,用于将解密后的历史数据发送给所述视联网监控管理平台。
本发明实施例还提供另一种前端设备认证的系统,所述系统包括:监控接入服务器和视联网监控管理平台;所述视联网监控管理平台与所述监控接入服务器和密钥服务系统分别连接,所述密钥服务系统储存所有前端设备的设备证书,所述视联网监控管理平台包括:
获取编号、初始协议模块,用于获取待认证前端设备的编号和会话初始协议;
获取设备证书模块,用于根据所述编号,在所述密钥服务系统中获取对应所述编号的待认证前端设备的设备证书;
添加模块,用于将所获取的设备证书、所述编号以及所述会话初始协议添加进档案信息;
发送模块,用于将所述档案信息发送给与所述待认证前端设备连接的监控接入服务器,以使得所述监控接入服务器利用所述档案信息对所述待认证前端设备进行认证。
可选地,所述获取设备证书模块包括:
检索子模块,用于基于网际协议和应用程序接口,在所述密钥服务系统中检索所述编号;
获取子模块,用于在检索到所述编号的情况下,获取对应所述编号的待认证前端设备的设备证书;
新增指示子模块,用于在未检索到所述编号的情况下,向所述密钥服务系统发送新增指示,所述新增指示用于指示所述密钥服务系统新增对应所述编号的待认证前端设备的设备证书。
可选地,所述获取编号、初始协议模块还用于获取所述监控接入服务器转发的所述编号和所述会话初始协议,所述编号和所述会话初始协议由所述待认证前端设备向与其连接的监控接入服务器发起认证请求时产生。
可选地,所述视联网监控管理平台还包括:
接收设备信息模块,用于接收设备信息,所述设备信息为所述监控接入服务器转发的通过认证的前端设备的设备信息;
发送指令模块,用于向所述通过认证的前端设备发送访问控制指令,所述访问控制指令由所述监控接入服务器转发,用于访问并控制所述通过认证的前端设备;
接收响应信息模块,用于接收响应信息,所述响应信息由所述通过认证的前端设备发送并由所述监控接入服务器转发;
所述发送指令模块还用于向所述通过认证的前端设备发送实时点播控制指令,所述实时点播控制指令由所述监控接入服务器转发,用于实时点播所述通过认证的前端设备的实时采集数据;
接收实时数据模块,用于接收实时采集数据,所述实时采集数据由所述通过认证的前端设备发送并由所述监控接入服务器转发;
所述发送指令模块还用于向所述通过认证的前端设备发送历史回放控制指令,所述历史回放控制指令由所述监控接入服务器转发,用于回放历史时间段内所述通过认证的前端设备的历史数据;
接收历史数据模块,用于接收历史数据,所述历史数据由所述通过认证的前端设备发送并由所述监控接入服务器转发。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明以上任一所述的方法中的步骤。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行时实现本发明以上任一所述的方法中的步骤。
采用本发明提供的前端设备认证的方法,视联网监控管理平台获取待认证前端设备的编号和会话初始协议;根据编号,在密钥服务系统中获取对应编号的待认证前端设备的设备证书;将所获取的设备证书、编号以及会话初始协议添加进档案信息;将档案信息发送给与待认证前端设备连接的监控接入服务器,与待认证前端设备连接的监控接入服务器接收待认证前端设备的设备证书、编号以及会话初始协议的信息,再接收待认证前端设备的认证请求,根据设备证书、待认证前端设备的编号以及会话初始协议,认证待认证前端设备的身份。
本发明的方法,解决了当前具有安全功能的前端设备无法接入视联网,即,视联网监控管理平台不能对其进行身份认证的问题,自然也就解决了目前视联网监控管理平台无法对具有安全功能的前端设备进行访问控制、实时点播、历史回放等操作的问题。本发明的方法使得视联网监控管理平台可以接入并管理具有安全功能的前端设备,极大的拓展了视联网监控管理平台的适用性,接入了具有安全功能的前端设备也同时满足了客户对于视频信息安全的需求。
附图说明
图1是本发明实施例的一种前端设备认证的方法的流程图;
图2是本发明实施例的另一种前端设备认证的方法的流程图;
图3是本发明实施例的前端设备、监控接入服务器、视联网监控管理平台以及视频安全密钥服务系统的连接示意图;
图4是本发明实施例的一种前端设备认证的系统的框图;
图5是本发明实施例的前端设备认证过程的流程示意图;
图6是本发明的一种视联网的组网示意图;
图7是本发明的一种节点服务器的硬件结构示意图;
图8是本发明的一种接入交换机的硬件结构示意图;
图9是本发明的一种以太网协转网关的硬件结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1,示出了本发明实施例一种前端设备认证的方法的流程图,该方法应用于监控接入服务器;监控接入服务器与视联网监控管理平台和待认证前端设备分别连接,前端设备认证的方法包括如下步骤:
步骤101:接收档案信息,档案信息为视联网监控管理平台发送的,包含待认证前端设备的设备证书、编号以及会话初始协议的信息,设备证书由视联网监控管理平台从密钥服务系统中获取,密钥服务系统储存所有前端设备的设备证书。
本发明实施例中,在监控接入服务器开启后,均会在视联网监控管理平台中进行注册,监控接入服务器中会产生一个主虚拟号和多个子虚拟号,主虚拟号用来与视联网监控管理平台进行信令的通信,而子虚拟号用来与视联网监控管理平台进行数据的通信,这是视联网自身的特性决定的。一般情况下,一个视联网监控管理平台会与多个监控接入服务器连接,但也有一个监控接入服务器与多个视联网监控管理平台连接的情况,因此,每一个监控接入服务器在与其相连的视联网监控管理平台中均会有一个档案信息,这个档案信息相当于是监控接入服务器的身份信息,用于区分每一个监控接入服务器。
前端设备若是具有安全功能,那么一般情况下,会采用对称加密或者非对称加密两种形式,非对称加密的形式中,一般采用公钥、私钥的形式加密。每一个前端设备在投入使用时,都会为其设定一个设备编号,这个编号可以表明前端设备的身份。目前,具有安全功能的前端设备都处于非视联网的环境中,因此当某个具有安全功能的前端设备需要接入视联网中时,还必须有一个设备进行协议转换,将非视联网协议的数据转换为视联网协议的数据,而这个负责协议转换的设备就是监控接入服务器,当然,监控接入服务器的功能不仅仅只是协议转换,其还有其他功能,但不在本发明实施例的描述范围内,不做赘述。当然,假若具有安全功能的前端设备本身就使用视联网协议,那么可以不需要监控接入服务器。
当某个具有安全功能的前端设备需要接入视联网中时,可以由工作人员在视联网监控管理平台中将待接入的前端设备的编号、待接入的前端设备的设备证书以及待接入的前端设备的会话初始协议,均添加进与待接入的前端设备连接的监控接入服务器的档案信息中。其中,待接入的前端设备即为待认证前端设备,其编号和会话初始协议均可以通过人工的方式或者自动发送的方式得到,而待认证前端设备的设备证书需要视联网监控管理平台从密钥服务系统中获取,具体的方式下文描述,在此先不赘述。
步骤102:接收第一认证请求,第一认证请求为待认证前端设备发送的。
本发明实施例中,监控接入服务器接收到视联网监控管理平台发送的档案信息之后,还会接收到前端设备发送的第一认证请求,该第一认证请求是前端设备发送的用于请求认证的信息,只有通过认证的前端设备才可以接入视联网。当然,监控接入服务器也可能先接收到第一认证请求,后接收到档案信息,假若监控接入服务器先接收到第一认证请求,之后在预设时间段内假设为:2分钟,没有接收到档案信息,则监控接入服务器可直接向待认证前端设备发送认证失败的信息以及认证失败的原因,前端设备知晓后,可再一次发送认证请求。
需要说明的是,前端设备的编号和会话初始协议还可以由前端设备自行发送,前端设备可以在与监控接入服务器连接后,首先发起一次认证请求(即第二认证请求),此认证请求由待认证前端设备基于会话初始协议发送,该请求中包含待认证前端设备的编号和会话初始协议;监控接入服务器接收到之后,将其转换为视联网协议的请求,之后监控接入服务器基于视联网协议,将编号和会话初始协议发送至视联网监控管理平台,这样视联网监控管理平台就可以自动将上述信息添加进对应的监控接入服务器的档案信息中,而不需要使用人工添加的方式,节省了人力资源且提高了工作人员的工作效率。
步骤103:根据设备证书、待认证前端设备的编号以及会话初始协议,认证待认证前端设备的身份。
本发明实施例中,监控接入服务器接收到前端设备发送的认证请求以及视联网监控管理平台发送的档案信息后,根据档案信息中的待认证前端设备的编号、设备证书、会话初始协议以及认证请求中的编号,认证待认证前端设备的身份。
具体的,由于目前具有安全功能的前端设备的认证均需要基于国家标准:GB35114-2017规定的认证类别的认证流程,才可以实现认证,因此,监控接入服务器需要按照会话初始协议中的身份认证的类别:单向:Unidirection或者双向:Bidirection,遵循国标GB 35114-2017规定认证流程来认证待认证前端设备的身份。
可选地,假若监控接入服务器认证待认证前端设备的身份成功,即,在待认证前端设备通过认证的情况下,监控接入服务器即可获取通过认证的前端设备的设备信息;当然,在认证成功之后,监控接入服务器与前端设备之间的所有通信均需要使用加解密的安全技术手段,假若前端设备使用的是对称加密方式,那么其与监控接入服务器之间就基于对称加密的密钥来完成通信,假若前端设备使用的是非对称加密方式,那么其与监控接入服务器之间就基于公钥、私钥来完成通信。在前端设备认证成功后,监控接入服务器就可以获取到该前端设备的设备信息,所谓设备信息包括但并不限于:设备生产厂商、出厂日期、安装位置、安全等级、设备型号等。
监控接入服务器获取到上述设备信息后,将设备信息转发至视联网监控管理平台,以使得视联网监控管理平台对通过认证的前端设备进行控制。
在视联网监控管理平台控制前端设备的过程中,首先需要将控制指令发送给监控接入服务器,例如:视联网监控管理平台需要发送访问控制指令、实时点播控制指令、历史回放控制指令等,均需要先发送至监控接入服务器。
监控接入服务器接收到访问控制指令,所谓访问控制指令用于访问并控制通过认证的前端设备,例如控制前端设备的摄像头转向、调焦等;监控接入服务器收到后需要采用通过认证的前端设备的设备证书对访问控制指令进行加密,即,采用对称密钥或者非对称密钥的形式进行加密,之后将加密后的访问控制指令发送给通过认证的前端设备,当然,可以理解的是,监控接入服务器还需要协议转换,以下全文监控接入服务器在通过认证的前端设备和视联网监控管理平台之间转发指令和数据的过程中,均隐含需要进行协议转换。通过认证的前端设备接收到加密的访问控制指令之后,首先解密,得到指令的内容,根据内容响应相应操作后,反馈响应信息至监控接入服务器,当然响应信息也是加密后发出的。
监控接入服务器接收通过认证的前端设备发送的响应信息,并利用通过认证的前端设备的设备证书对响应信息进行解密;之后将解密后的响应信息发送给视联网监控管理平台。
与上述情况类似的,视联网监控管理平台发送实时点播控制指令,实时点播控制指令用于实时点播通过认证的前端设备实时采集数据,监控接入服务器接收实时点播控制指令,加密后转发给通过认证的前端设备,通过认证的前端设备收到后解密,根据实时点播控制指令向监控接入服务器发送加密的实时采集数据,监控接入服务器接收实时采集数据并对实时采集数据进行解密;之后将解密后的实时采集数据发送给视联网监控管理平台。
视联网监控管理平台发送历史回放控制指令,历史回放控制指令用于回放历史时间段内通过认证的前端设备历史数据,监控接入服务器接收历史回放控制指令,加密后转发给通过认证的前端设备,通过认证的前端设备收到后解密,根据历史回放控制指令向监控接入服务器发送加密的历史数据,监控接入服务器接收历史数据并对历史数据进行解密;之后将解密后的历史数据发送给视联网监控管理平台。
本发明实施例还提供另一种前端设备认证的方法,参照图2,示出了本发明实施例另一种前端设备认证的方法的流程图,该方法应用于视联网监控管理平台;视联网监控管理平台与监控接入服务器和密钥服务系统分别连接,密钥服务系统储存所有前端设备的设备证书,前端设备认证的方法包括:
步骤201:获取待认证前端设备的编号和会话初始协议。
本发明实施例中,如上文所述,视联网监控管理平台与监控接入服务器和密钥服务系统分别连接,所谓密钥服务系统是指视频安全密钥服务系统,该视频安全密钥服务系统储存有所有具有安全功能的前端设备的设备证书,一般是由第三方专门负责维护的,其与视联网系统以及前端设备及其生产厂商相关合作但独立存在,所有具有安全功能的前端设备的设备证书(即对称加密密钥和公钥、私钥)均会存储在该系统中。
待认证前端设备在认证之前,视联网监控管理平台首先获取待认证前端设备的编号和会话初始协议,如上文所述,视联网监控管理平台可以通过人工方式,或者通过自动方式来获取待认证前端设备的编号和会话初始协议,自动方式自然是由待认证前端设备向监控接入服务器发起认证请求,监控接入服务器转发的编号和会话初始协议到视联网监控管理平台。
步骤202:根据编号,在密钥服务系统中获取对应编号的待认证前端设备的设备证书。
本发明实施例中,视联网监控管理平台首先获取待认证前端设备的编号和会话初始协议之后,根据待认证前端设备的编号,在密钥服务系统中获取对应编号的待认证前端设备的设备证书。该过程中,由于密钥服务系统一般也处于非视联网环境中,因此,视联网监控管理平台需要基于网际协议(TCP/IP)和应用程序接口(API),与密钥服务系统进行通信,之后在密钥服务系统中检索待认证前端设备的编号。在检索到编号的情况下,获取对应编号的待认证前端设备的设备证书;在未检索到编号的情况下,视联网监控管理平台需要向密钥服务系统发送新增指示,所谓新增指示是用于指示密钥服务系统新增对应编号的待认证前端设备的设备证书,当然,一般情况下,新增设备证书的操作也可以由人工或者自动两种方式完成。
步骤203:将所获取的设备证书、所述编号以及所述会话初始协议添加进档案信息。
本发明实施例中,如上文所述,监控接入服务器在视联网监控管理平台中均有档案信息,在视联网监控管理平台获取到待认证前端设备的设备证书之后,将所获取的设备证书、前述获取的编号以及会话初始协议均添加进档案信息。
步骤204:将档案信息发送给与待认证前端设备连接的监控接入服务器,以使得监控接入服务器利用档案信息对待认证前端设备进行认证。
本发明实施例中,在视联网监控管理平台将所获取的设备证书、前述获取的编号以及会话初始协议均添加进档案信息之后,就将档案信息发送给与待认证前端设备连接的监控接入服务器,以使得监控接入服务器利用档案信息对待认证前端设备进行认证,具体的认证方式上文已经描述,可以参考上文。
当待认证前端设备通过认证后,视联网监控管理平台就可以接收到通过认证的前端设备的设备信息,之后就可以对通过认证的前端设备进行相应的控制,如:
视联网监控管理平台向通过认证的前端设备发送访问控制指令,访问控制指令由监控接入服务器转发,用于访问并控制通过认证的前端设备;通过认证的前端设备响应访问控制指令后反馈响应信息,视联网监控管理平台接收监控接入服务器转发的响应信息。
或者,视联网监控管理平台向通过认证的前端设备发送实时点播控制指令,实时点播控制指令由监控接入服务器转发,用于实时点播通过认证的前端设备的实时采集数据;视联网监控管理平台接收监控接入服务器转发的实时采集数据。
或者,视联网监控管理平台向通过认证的前端设备发送历史回放控制指令,历史回放控制指令由监控接入服务器转发,用于回放历史时间段内通过认证的前端设备的历史数据;视联网监控管理平台接收监控接入服务器转发的历史数据。
通过上述方法,就实现了具有安全功能的前端设备认证通过后接入视联网,为了更直观的描述本发明的方案,如图3所示,示出了本发明实施例前端设备、监控接入服务器、视联网监控管理平台以及视频安全密钥服务系统的连接示意图,图3中,视联网监控管理平台一般由管理平台服务器作为后端支撑视联网监控管理平台的正常运行,其与监控接入服务器之间基于V2V协议(即视联网协议)通信,视联网监控管理平台与视频安全密钥服务系统之间基于TCP/IP协议通信,监控接入服务器与具有安全功能的前端设备之间基于SIP协议通信,具有安全功能的前端设备使用对称加密或者非对称加密的公钥、私钥形式的设备证书进行数据加解密。
假设视联网监控管理平台接收到待认证前端设备110的编号fadao和SIP之后,根据编号fadao在视频安全密钥服务系统中获取到对应编号fadao的设备证书,假设待认证前端设备110使用公钥、私钥形式的设备证书,则获取到待认证前端设备110的公钥、私钥之后,将其公钥、私钥、编号fadao、SIP添加进监控接入服务器的档案信息中,完成后将档案信息发送至监控接入服务器。
监控接入服务器接收到上述档案信息,再接收到待认证前端设备110发送的认证请求,按照SIP中身份认证的类别:单向:Unidirection,或者双向:Bidirection,遵循国家标准:GB 35114-2017中不同认证类别的认证流程,结合档案信息,对待认证前端设备110进行认证。
在待认证前端设备110通过认证后,监控接入服务器即可获取到前端设备110的设备信息,并将该设备信息转发至视联网监控管理平台,视联网监控管理平台就可以对前端设备110进行各种控制。
参照图4示出了本发明实施例一种前端设备认证的系统的框图,所述系统包括:监控接入服务器和视联网监控管理平台;所述监控接入服务器与所述视联网监控管理平台和待认证前端设备分别连接,所述视联网监控管理平台与密钥服务系统分别连接,所述密钥服务系统储存所有前端设备的设备证书,所述监控接入服务器包括:接收档案模块、接收第一请求模块、认证模块、接收第二请求模块、视联网协议发送模块、获取设备信息模块、转发设备信息模块、第一接收指令模块、第一加密模块、第一解密模块、响应信息发送模块、第二接收指令模块、第二加密模块、第二解密模块、实时数据发送模块、第三接收指令模块、第三加密模块、第三解密模块、历史数据发送模块;所述视联网监控管理平台包括:获取编号、初始协议模块、获取设备证书模块、添加模块、发送模块、接收设备信息模块、发送指令模块、接收响应信息模块、接收实时数据模块、接收历史数据模块;
接收档案模块,用于接收档案信息,所述档案信息为所述视联网监控管理平台发送的,包含所述待认证前端设备的设备证书、编号以及会话初始协议的信息,所述设备证书由所述视联网监控管理平台从密钥服务系统中获取,所述密钥服务系统储存所有前端设备的设备证书;
接收第一请求模块,用于接收第一认证请求,所述第一认证请求为所述待认证前端设备发送的;
认证模块,用于根据所述设备证书、所述待认证前端设备的编号以及所述会话初始协议,认证所述待认证前端设备的身份。
接收第二请求模块,用于接收第二认证请求,所述第二认证请求为所述待认证前端设备基于会话初始协议发送的,包含所述待认证前端设备的编号和所述会话初始协议的请求;
视联网协议发送模块,用于基于视联网协议,将所述编号和所述会话初始协议发送至所述视联网监控管理平台。
获取设备信息模块,用于在所述待认证前端设备通过认证的情况下,获取通过认证的前端设备的设备信息;
转发设备信息模块,用于将所述设备信息转发至所述视联网监控管理平台,以使得视联网监控管理平台对所述通过认证的前端设备进行控制。
第一接收指令模块,用于接收访问控制指令,所述访问控制指令为所述视联网监控管理平台发送的用于访问并控制所述通过认证的前端设备的指令;
第一加密模块,用于加密采用所述通过认证的前端设备的设备证书对所述访问控制指令进行加密,并将加密后的访问控制指令发送给所述通过认证的前端设备;
第一解密模块,用于接收所述通过认证的前端设备发送的响应信息,并利用所述通过认证的前端设备的设备证书对所述响应信息进行解密;
响应信息发送模块,用于将解密后的响应信息发送给所述视联网监控管理平台。
第二接收指令模块,用于接收实时点播控制指令,所述实时点播控制指令为所述视联网监控管理平台发送的用于实时点播所述通过认证的前端设备实时采集数据的指令;
第二加密模块,用于采用所述通过认证的前端设备的设备证书对所述实时点播控制指令进行加密,并将加密后的实时点播控制指令发送给所述通过认证的前端设备;
第二解密模块,用于接收所述通过认证的前端设备发送的实时采集数据,并利用所述通过认证的前端设备的设备证书对所述实时采集数据进行解密;
实时数据发送模块,用于将解密后的实时采集数据发送给所述视联网监控管理平台。
第三接收指令模块,用于接收历史回放控制指令,所述历史回放控制指令为所述视联网监控管理平台发送的用于回放历史时间段内所述通过认证的前端设备历史数据的指令;
第三加密模块,用于采用所述通过认证的前端设备的设备证书对所述历史回放控制指令进行加密,并将加密后的历史回放控制指令发送给所述通过认证的前端设备;
第三解密模块,用于接收所述通过认证的前端设备发送的对应所述历史回放控制指令的历史数据,并利用所述通过认证的前端设备的设备证书对所述历史数据进行解密;
历史数据发送模块,用于将解密后的历史数据发送给所述视联网监控管理平台。
获取编号、初始协议模块,用于获取待认证前端设备的编号和会话初始协议;
获取设备证书模块,用于根据所述编号,在所述密钥服务系统中获取对应所述编号的待认证前端设备的设备证书;
添加模块,用于将所获取的设备证书、所述编号以及所述会话初始协议添加进档案信息;
发送模块,用于将所述档案信息发送给与所述待认证前端设备连接的监控接入服务器,以使得所述监控接入服务器利用所述档案信息对所述待认证前端设备进行认证。
获取设备证书模块包括:
检索子模块,用于基于网际协议和应用程序接口,在所述密钥服务系统中检索所述编号;
获取子模块,用于在检索到所述编号的情况下,获取对应所述编号的待认证前端设备的设备证书;
新增指示子模块,用于在未检索到所述编号的情况下,向所述密钥服务系统发送新增指示,所述新增指示用于指示所述密钥服务系统新增对应所述编号的待认证前端设备的设备证书。
获取编号、初始协议模块还用于获取所述监控接入服务器转发的所述编号和所述会话初始协议,所述编号和所述会话初始协议由所述待认证前端设备向与其连接的监控接入服务器发起认证请求时产生。
接收设备信息模块,用于接收设备信息,所述设备信息为所述监控接入服务器转发的通过认证的前端设备的设备信息;
发送指令模块,用于向所述通过认证的前端设备发送访问控制指令,所述访问控制指令由所述监控接入服务器转发,用于访问并控制所述通过认证的前端设备;
接收响应信息模块,用于接收响应信息,所述响应信息由所述通过认证的前端设备发送并由所述监控接入服务器转发;
发送指令模块还用于向所述通过认证的前端设备发送实时点播控制指令,所述实时点播控制指令由所述监控接入服务器转发,用于实时点播所述通过认证的前端设备的实时采集数据;
接收实时数据模块,用于接收实时采集数据,所述实时采集数据由所述通过认证的前端设备发送并由所述监控接入服务器转发;
发送指令模块还用于向所述通过认证的前端设备发送历史回放控制指令,所述历史回放控制指令由所述监控接入服务器转发,用于回放历史时间段内所述通过认证的前端设备的历史数据;
接收历史数据模块,用于接收历史数据,所述历史数据由所述通过认证的前端设备发送并由所述监控接入服务器转发。
最后,概述一下本发明实施例前端设备认证过程的流程,参照图5,示出了本发明实施例的前端设备认证过程的流程示意图;流程开始后,获取编号、初始协议模块,获取待认证前端设备的编号和会话初始协议;检索子模块基于网际协议和应用程序接口,在密钥服务系统中检索编号;在检索到编号的情况下,获取子模块获取对应编号的待认证前端设备的设备证书;在未检索到编号的情况下,新增指示子模块向密钥服务系统发送新增指示;添加模块将所获取的设备证书、编号以及会话初始协议添加进档案信息;发送模块将档案信息发送给与待认证前端设备连接的监控接入服务器。
监控接入服务器的接收档案模块接收档案信息,接收第一请求模块等待待认证前端设备的认证请求,之后认证模块根据设备证书、待认证前端设备的编号以及会话初始协议,认证待认证前端设备的身份;通过认证后,获取设备信息模块获取通过认证的前端设备的设备信息,整个认证过程结束;假若未通过认证,则发送拒绝认证请求的信息给到待认证前端设备,结束整个认证过程。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明以上所述的方法中的步骤。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行时实现本发明以上所述的方法中的步骤。
通过上述实施例,本发明提供的前端设备认证的方法,视联网监控管理平台获取待认证前端设备的编号和会话初始协议;根据编号,在密钥服务系统中获取对应编号的待认证前端设备的设备证书;将所获取的设备证书、编号以及会话初始协议添加进档案信息;将档案信息发送给与待认证前端设备连接的监控接入服务器,与待认证前端设备连接的监控接入服务器接收待认证前端设备的设备证书、编号以及会话初始协议的信息,再接收待认证前端设备的认证请求,根据设备证书、待认证前端设备的编号以及会话初始协议,认证待认证前端设备的身份。
本发明的方法,解决了当前具有安全功能的前端设备无法接入视联网,即,视联网监控管理平台不能对其进行身份认证的问题,自然也就解决了目前视联网监控管理平台无法对具有安全功能的前端设备进行访问控制、实时点播、历史回放等操作的问题。本发明的方法使得视联网监控管理平台可以接入并管理具有安全功能的前端设备,极大的拓展了视联网监控管理平台的适用性,接入了具有安全功能的前端设备也同时满足了客户对于视频信息安全的需求。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
最后,为使本领域技术人员更好地理解本发明实施例,以下对视联网进行介绍:
视联网所应用的部分技术如下所述:
网络技术(Network Technology)
视联网的网络技术创新改良了传统以太网(Ethernet),以面对网络上潜在的巨大视频流量。不同于单纯的网络分组包交换(Packet Switching)或网络电路交换(CircuitSwitching),视联网技术采用Packet Switching满足Streaming需求。视联网技术具备分组交换的灵活、简单和低价,同时具备电路交换的品质和安全保证,实现了全网交换式虚拟电路,以及数据格式的无缝连接。
交换技术(Switching Technology)
视联网采用以太网的异步和包交换两个优点,在全兼容的前提下消除了以太网缺陷,具备全网端到端无缝连接,直通用户终端,直接承载IP数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态,是一个实时交换平台,能够实现目前互联网无法实现的全网大规模高清视频实时传输,将众多网络视频应用推向高清化、统一化。
服务器技术(Server Technology)
视联网和统一视频平台上的服务器技术不同于传统意义上的服务器,它的流媒体传输是建立在面向连接的基础上,其数据处理能力与流量、通讯时间无关,单个网络层就能够包含信令及数据传输。对于语音和视频业务来说,视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多,效率比传统服务器大大提高了百倍以上。
储存器技术(Storage Technology)
统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作系统,将服务器指令中的节目信息映射到具体的硬盘空间,媒体内容不再经过服务器,瞬间直接送达到用户终端,用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动,资源消耗仅占同等级IP互联网的20%,但产生大于传统硬盘阵列3倍的并发流量,综合效率提升10倍以上。
网络安全技术(Network Security Technology)
视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题,一般不需要杀毒程序、防火墙,杜绝了黑客与病毒的攻击,为用户提供结构性的无忧安全网络。
服务创新技术(Service Innovation Technology)
统一视频平台将业务与传输融合在一起,不论是单个用户、私网用户还是一个网络的总合,都不过是一次自动连接。用户终端、机顶盒或PC直接连到统一视频平台,获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程,可以使用非常少的代码即可实现复杂的应用,实现“无限量”的新业务创新。
视联网的组网如下所述:
视联网是一种集中控制的网络结构,该网络可以是树型网、星型网、环状网等等类型,但在此基础上网络中需要有集中控制节点来控制整个网络。
如图6所示,视联网分为接入网和城域网两部分。
接入网部分的设备主要可以分为3类:节点服务器,接入交换机,终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连,接入交换机可以与多个终端相连,并可以连接以太网。
其中,节点服务器是接入网中起集中控制功能的节点,可控制接入交换机和终端。节点服务器可直接与接入交换机相连,也可以直接与终端相连。
类似的,城域网部分的设备也可以分为3类:城域服务器,节点交换机,节点服务器。城域服务器与节点交换机相连,节点交换机可以与多个节点服务器相连。
其中,节点服务器即为接入网部分的节点服务器,即节点服务器既属于接入网部分,又属于城域网部分。
城域服务器是城域网中起集中控制功能的节点,可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机,也可直接连接节点服务器。
由此可见,整个视联网络是一种分层集中控制的网络结构,而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。
形象地称,接入网部分可以组成统一视频平台(虚线圈中部分),多个统一视频平台可以组成视联网;每个统一视频平台可以通过城域以及广域视联网互联互通。
视联网设备分类
1.1本发明实施例的视联网中的设备主要可以分为3类:服务器,交换机(包括以太网网关),终端(包括各种机顶盒,编码板,存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。
1.2其中接入网部分的设备主要可以分为3类:节点服务器,接入交换机(包括以太网网关),终端(包括各种机顶盒,编码板,存储器等)。
各接入网设备的具体硬件结构为:
节点服务器:
如图7所示,主要包括网络接口模块201、交换引擎模块202、CPU模块203、磁盘阵列模块204;
其中,网络接口模块201,CPU模块203、磁盘阵列模块204进来的包均进入交换引擎模块202;交换引擎模块202对进来的包进行查地址表205的操作,从而获得包的导向信息;并根据包的导向信息把该包存入对应的包缓存器206的队列;如果包缓存器206的队列接近满,则丢弃;交换引擎模202轮询所有包缓存器队列,如果满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。磁盘阵列模块204主要实现对硬盘的控制,包括对硬盘的初始化、读写等操作;CPU模块203主要负责与接入交换机、终端(图中未示出)之间的协议处理,对地址表205(包括下行协议包地址表、上行协议包地址表、数据包地址表)的配置,以及,对磁盘阵列模块204的配置。
接入交换机:
如图8所示,主要包括网络接口模块(下行网络接口模块301、上行网络接口模块302)、交换引擎模块303和CPU模块304;
其中,下行网络接口模块301进来的包(上行数据)进入包检测模块305;包检测模块305检测包的目地地址(DA)、源地址(SA)、数据包类型及包长度是否符合要求,如果符合,则分配相应的流标识符(stream-id),并进入交换引擎模块303,否则丢弃;上行网络接口模块302进来的包(下行数据)进入交换引擎模块303;CPU模块204进来的数据包进入交换引擎模块303;交换引擎模块303对进来的包进行查地址表306的操作,从而获得包的导向信息;如果进入交换引擎模块303的包是下行网络接口往上行网络接口去的,则结合流标识符(stream-id)把该包存入对应的包缓存器307的队列;如果该包缓存器307的队列接近满,则丢弃;如果进入交换引擎模块303的包不是下行网络接口往上行网络接口去的,则根据包的导向信息,把该数据包存入对应的包缓存器307的队列;如果该包缓存器307的队列接近满,则丢弃。
交换引擎模块303轮询所有包缓存器队列,在本发明实施例中分两种情形:
如果该队列是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零;3)获得码率控制模块产生的令牌;
如果该队列不是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。
码率控制模块208是由CPU模块204来配置的,在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌,用以控制上行转发的码率。
CPU模块304主要负责与节点服务器之间的协议处理,对地址表306的配置,以及,对码率控制模块308的配置。
以太网协转网关:
如图9所示,主要包括网络接口模块(下行网络接口模块401、上行网络接口模块402)、交换引擎模块403、CPU模块404、包检测模块405、码率控制模块408、地址表406、包缓存器407和MAC添加模块409、MAC删除模块410。
其中,下行网络接口模块401进来的数据包进入包检测模块405;包检测模块405检测数据包的以太网MAC DA、以太网MAC SA、以太网length or frame type、视联网目地地址DA、视联网源地址SA、视联网数据包类型及包长度是否符合要求,如果符合则分配相应的流标识符(stream-id);然后,由MAC删除模块410减去MAC DA、MAC SA、length or frame type(2byte),并进入相应的接收缓存,否则丢弃;
下行网络接口模块401检测该端口的发送缓存,如果有包则根据包的视联网目地地址DA获知对应的终端的以太网MAC DA,添加终端的以太网MAC DA、以太网协转网关的MACSA、以太网length or frame type,并发送。
以太网协转网关中其他模块的功能与接入交换机类似。
终端:
主要包括网络接口模块、业务处理模块和CPU模块;例如,机顶盒主要包括网络接口模块、视音频编解码引擎模块、CPU模块;编码板主要包括网络接口模块、视音频编码引擎模块、CPU模块;存储器主要包括网络接口模块、CPU模块和磁盘阵列模块。
1.3城域网部分的设备主要可以分为2类:节点服务器,节点交换机,城域服务器。其中,节点交换机主要包括网络接口模块、交换引擎模块和CPU模块;城域服务器主要包括网络接口模块、交换引擎模块和CPU模块构成。
2、视联网数据包定义
2.1接入网数据包定义
接入网的数据包主要包括以下几部分:目的地址(DA)、源地址(SA)、保留字节、payload(PDU)、CRC。
如下表所示,接入网的数据包主要包括以下几部分:
| DA | SA | Reserved | Payload | CRC |
其中:
目的地址(DA)由8个字节(byte)组成,第一个字节表示数据包的类型(例如各种协议包、组播数据包、单播数据包等),最多有256种可能,第二字节到第六字节为城域网地址,第七、第八字节为接入网地址;
源地址(SA)也是由8个字节(byte)组成,定义与目的地址(DA)相同;
保留字节由2个字节组成;
payload部分根据不同的数据报的类型有不同的长度,如果是各种协议包的话是64个字节,如果是单组播数据包话是32+1024=1056个字节,当然并不仅仅限于以上2种;
CRC有4个字节组成,其计算方法遵循标准的以太网CRC算法。
2.2城域网数据包定义
城域网的拓扑是图型,两个设备之间可能有2种、甚至2种以上的连接,即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是,城域网设备的城域网地址却是唯一的,为了精确描述城域网设备之间的连接关系,在本发明实施例中引入参数:标签,来唯一描述一个城域网设备。
本说明书中标签的定义和MPLS(Multi-Protocol Label Switch,多协议标签交换)的标签的定义类似,假设设备A和设备B之间有两个连接,那么数据包从设备A到设备B就有2个标签,数据包从设备B到设备A也有2个标签。标签分入标签、出标签,假设数据包进入设备A的标签(入标签)是0x0000,这个数据包离开设备A时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程,也就意味着城域网的地址分配、标签分配都是由城域服务器主导的,节点交换机、节点服务器都是被动的执行而已,这一点与MPLS的标签分配是不同的,MPLS的标签分配是交换机、服务器互相协商的结果。
如下表所示,城域网的数据包主要包括以下几部分:
| DA | SA | Reserved | 标签 | Payload | CRC |
即目的地址(DA)、源地址(SA)、保留字节(Reserved)、标签、payload(PDU)、CRC。其中,标签的格式可以参考如下定义:标签是32bit,其中高16bit保留,只用低16bit,它的位置是在数据包的保留字节和payload之间。
基于视联网的上述特性,提出了本发明实施例的核心构思之一,实现了本发明的技术方案。
Claims (14)
1.一种前端设备认证的方法,其特征在于,所述方法应用于监控接入服务器;所述监控接入服务器与视联网监控管理平台和待认证前端设备分别连接,所述方法包括:
接收档案信息,所述档案信息为所述视联网监控管理平台发送的,包含所述待认证前端设备的设备证书、编号以及会话初始协议的信息,所述设备证书由所述视联网监控管理平台从密钥服务系统中获取,所述密钥服务系统储存所有前端设备的设备证书;
接收第一认证请求,所述第一认证请求为所述待认证前端设备发送的;
根据所述设备证书、所述待认证前端设备的编号以及所述会话初始协议,认证所述待认证前端设备的身份。
2.根据权利要求1所述的方法,其特征在于,接收档案信息之前,所述方法还包括:
接收第二认证请求,所述第二认证请求为所述待认证前端设备基于会话初始协议发送的,包含所述待认证前端设备的编号和所述会话初始协议的请求;
基于视联网协议,将所述编号和所述会话初始协议发送至所述视联网监控管理平台。
3.根据权利要求1所述的方法,其特征在于,在认证所述待认证前端设备的身份之后,所述方法还包括:
在所述待认证前端设备通过认证的情况下,获取通过认证的前端设备的设备信息;
将所述设备信息转发至所述视联网监控管理平台,以使得视联网监控管理平台对所述通过认证的前端设备进行控制。
4.根据权利要求3所述的方法,其特征在于,将所述设备信息转发至所述视联网监控管理平台之后,所述方法还包括:
接收访问控制指令,所述访问控制指令为所述视联网监控管理平台发送的用于访问并控制所述通过认证的前端设备的指令;
采用所述通过认证的前端设备的设备证书对所述访问控制指令进行加密,并将加密后的访问控制指令发送给所述通过认证的前端设备;
接收所述通过认证的前端设备发送的响应信息,并利用所述通过认证的前端设备的设备证书对所述响应信息进行解密;
将解密后的响应信息发送给所述视联网监控管理平台。
5.根据权利要求3所述的方法,其特征在于,将所述设备信息转发至所述视联网监控管理平台之后,所述方法还包括:
接收实时点播控制指令,所述实时点播控制指令为所述视联网监控管理平台发送的用于实时点播所述通过认证的前端设备实时采集数据的指令;
采用所述通过认证的前端设备的设备证书对所述实时点播控制指令进行加密,并将加密后的实时点播控制指令发送给所述通过认证的前端设备;
接收所述通过认证的前端设备发送的实时采集数据,并利用所述通过认证的前端设备的设备证书对所述实时采集数据进行解密;
将解密后的实时采集数据发送给所述视联网监控管理平台。
6.根据权利要求3所述的方法,其特征在于,将所述设备信息转发至所述视联网监控管理平台之后,所述方法还包括:
接收历史回放控制指令,所述历史回放控制指令为所述视联网监控管理平台发送的用于回放历史时间段内所述通过认证的前端设备历史数据的指令;
采用所述通过认证的前端设备的设备证书对所述历史回放控制指令进行加密,并将加密后的历史回放控制指令发送给所述通过认证的前端设备;
接收所述通过认证的前端设备发送的对应所述历史回放控制指令的历史数据,并利用所述通过认证的前端设备的设备证书对所述历史数据进行解密;
将解密后的历史数据发送给所述视联网监控管理平台。
7.一种前端设备认证的方法,其特征在于,所述方法应用于视联网监控管理平台;所述视联网监控管理平台与监控接入服务器和密钥服务系统分别连接,所述密钥服务系统储存所有前端设备的设备证书,所述方法包括:
获取待认证前端设备的编号和会话初始协议;
根据所述编号,在所述密钥服务系统中获取对应所述编号的待认证前端设备的设备证书;
将所获取的设备证书、所述编号以及所述会话初始协议添加进档案信息;
将所述档案信息发送给与所述待认证前端设备连接的监控接入服务器,以使得所述监控接入服务器利用所述档案信息对所述待认证前端设备进行认证。
8.根据权利要求7所述的方法,其特征在于,根据所述编号,在所述密钥服务系统中获取对应所述编号的待认证前端设备的设备证书,包括:
基于网际协议和应用程序接口,在所述密钥服务系统中检索所述编号;
在检索到所述编号的情况下,获取对应所述编号的待认证前端设备的设备证书;
在未检索到所述编号的情况下,向所述密钥服务系统发送新增指示,所述新增指示用于指示所述密钥服务系统新增对应所述编号的待认证前端设备的设备证书。
9.根据权利要求7所述的方法,其特征在于,获取待认证前端设备的编号和会话初始协议,包括:
获取所述监控接入服务器转发的所述编号和所述会话初始协议,所述编号和所述会话初始协议由所述待认证前端设备向与其连接的监控接入服务器发起认证请求时产生。
10.根据权利要求7所述的方法,其特征在于,将所述档案信息发送给与所述待认证前端设备连接的监控接入服务器之后,所述方法还包括:
接收设备信息,所述设备信息为所述监控接入服务器转发的通过认证的前端设备的设备信息;
向所述通过认证的前端设备发送访问控制指令,所述访问控制指令由所述监控接入服务器转发,用于访问并控制所述通过认证的前端设备;
接收响应信息,所述响应信息由所述通过认证的前端设备发送并由所述监控接入服务器转发;
或者,向所述通过认证的前端设备发送实时点播控制指令,所述实时点播控制指令由所述监控接入服务器转发,用于实时点播所述通过认证的前端设备的实时采集数据;
接收实时采集数据,所述实时采集数据由所述通过认证的前端设备发送并由所述监控接入服务器转发;
或者,向所述通过认证的前端设备发送历史回放控制指令,所述历史回放控制指令由所述监控接入服务器转发,用于回放历史时间段内所述通过认证的前端设备的历史数据;
接收历史数据,所述历史数据由所述通过认证的前端设备发送并由所述监控接入服务器转发。
11.一种前端设备认证的系统,其特征在于,所述系统包括:监控接入服务器和视联网监控管理平台;所述监控接入服务器与所述视联网监控管理平台和待认证前端设备分别连接,所述监控接入服务器包括:
接收档案模块,用于接收档案信息,所述档案信息为所述视联网监控管理平台发送的,包含所述待认证前端设备的设备证书、编号以及会话初始协议的信息,所述设备证书由所述视联网监控管理平台从密钥服务系统中获取,所述密钥服务系统储存所有前端设备的设备证书;
接收第一请求模块,用于接收第一认证请求,所述第一认证请求为所述待认证前端设备发送的;
认证模块,用于根据所述设备证书、所述待认证前端设备的编号以及所述会话初始协议,认证所述待认证前端设备的身份。
12.一种前端设备认证的系统,其特征在于,所述系统包括:监控接入服务器和视联网监控管理平台;所述视联网监控管理平台与所述监控接入服务器和密钥服务系统分别连接,所述密钥服务系统储存所有前端设备的设备证书,所述视联网监控管理平台包括:
获取编号、初始协议模块,用于获取待认证前端设备的编号和会话初始协议;
获取设备证书模块,用于根据所述编号,在所述密钥服务系统中获取对应所述编号的待认证前端设备的设备证书;
添加模块,用于将所获取的设备证书、所述编号以及所述会话初始协议添加进档案信息;
发送模块,用于将所述档案信息发送给与所述待认证前端设备连接的监控接入服务器,以使得所述监控接入服务器利用所述档案信息对所述待认证前端设备进行认证。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6任一或7-10任一所述的方法中的步骤。
14.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行时实现如权利要求1-6任一或7-10任一所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010220044.0A CN111565294A (zh) | 2020-03-25 | 2020-03-25 | 一种前端设备认证的方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010220044.0A CN111565294A (zh) | 2020-03-25 | 2020-03-25 | 一种前端设备认证的方法、系统、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111565294A true CN111565294A (zh) | 2020-08-21 |
Family
ID=72074161
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010220044.0A Pending CN111565294A (zh) | 2020-03-25 | 2020-03-25 | 一种前端设备认证的方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111565294A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100325427A1 (en) * | 2009-06-22 | 2010-12-23 | Nokia Corporation | Method and apparatus for authenticating a mobile device |
| CN104052600A (zh) * | 2013-03-15 | 2014-09-17 | 南京理工大学常熟研究院有限公司 | 社会公共安全视频监控中心和多网融合节点可信认证系统 |
| CN104113547A (zh) * | 2014-07-23 | 2014-10-22 | 中国科学院信息工程研究所 | 一种sip安全防范视频监控入网控制系统 |
| CN104113409A (zh) * | 2014-07-23 | 2014-10-22 | 中国科学院信息工程研究所 | 一种sip视频监控联网系统的密钥管理方法及系统 |
| CN107277456A (zh) * | 2017-07-26 | 2017-10-20 | 北京计算机技术及应用研究所 | 一种基于Android设备的安全视频监控系统 |
| CN108965225A (zh) * | 2017-12-21 | 2018-12-07 | 北京视联动力国际信息技术有限公司 | 数据处理方法、视联网协转服务器及视联网终端 |
| CN109120897A (zh) * | 2018-08-28 | 2019-01-01 | 视联动力信息技术股份有限公司 | 一种视联网监控视频目录共享方法和装置 |
-
2020
- 2020-03-25 CN CN202010220044.0A patent/CN111565294A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100325427A1 (en) * | 2009-06-22 | 2010-12-23 | Nokia Corporation | Method and apparatus for authenticating a mobile device |
| CN104052600A (zh) * | 2013-03-15 | 2014-09-17 | 南京理工大学常熟研究院有限公司 | 社会公共安全视频监控中心和多网融合节点可信认证系统 |
| CN104113547A (zh) * | 2014-07-23 | 2014-10-22 | 中国科学院信息工程研究所 | 一种sip安全防范视频监控入网控制系统 |
| CN104113409A (zh) * | 2014-07-23 | 2014-10-22 | 中国科学院信息工程研究所 | 一种sip视频监控联网系统的密钥管理方法及系统 |
| CN107277456A (zh) * | 2017-07-26 | 2017-10-20 | 北京计算机技术及应用研究所 | 一种基于Android设备的安全视频监控系统 |
| CN108965225A (zh) * | 2017-12-21 | 2018-12-07 | 北京视联动力国际信息技术有限公司 | 数据处理方法、视联网协转服务器及视联网终端 |
| CN109120897A (zh) * | 2018-08-28 | 2019-01-01 | 视联动力信息技术股份有限公司 | 一种视联网监控视频目录共享方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110430043B (zh) | 一种认证方法、系统及装置和存储介质 | |
| CN110602039A (zh) | 一种数据获取方法和系统 | |
| CN111786778A (zh) | 一种密钥更新的方法和装置 | |
| CN110661784B (zh) | 一种用户的认证方法、装置和存储介质 | |
| CN110324678B (zh) | 传输监控资源的方法、装置、电子设备及可读存储介质 | |
| CN109347844B (zh) | 一种设备接入互联网的方法及装置 | |
| CN110086771B (zh) | 一种协议转换设备的管理方法和装置 | |
| CN110719247B (zh) | 终端入网方法和装置 | |
| CN111107060A (zh) | 一种登录请求处理方法、服务器、电子设备及存储介质 | |
| CN112203149B (zh) | 一种基于国产密码的视联网软件更新方法和装置 | |
| CN111556376B (zh) | 数字证书签发方法、装置及计算机可读存储介质 | |
| CN110535856B (zh) | 一种用户的认证方法、装置和存储介质 | |
| CN110519549B (zh) | 一种会议终端列表获取方法和系统 | |
| CN110266577B (zh) | 一种隧道建立方法和视联网系统 | |
| CN110022353B (zh) | 一种服务共享的方法和视联网系统 | |
| CN108965941A (zh) | 一种数据获取方法和视联网管理系统 | |
| CN109376507B (zh) | 一种数据安全管理方法和系统 | |
| CN109640194B (zh) | 一种基于视联网通过二维码获取终端权限的方法和装置 | |
| CN108965366B (zh) | 一种版本信息的查询方法和装置 | |
| CN112291592B (zh) | 基于控制面协议的安全视频通信方法、装置、设备及介质 | |
| CN109617858B (zh) | 一种流媒体链路的加密方法和装置 | |
| CN110620936B (zh) | 一种视联网视频的备份方法及装置、电子设备和存储介质 | |
| CN111654728B (zh) | 一种证书更新的方法和装置 | |
| CN110049007B (zh) | 视联网传输方法和装置 | |
| CN109639627B (zh) | 一种加密方式切换方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |