CN112887674A - 视频监控系统 - Google Patents
视频监控系统 Download PDFInfo
- Publication number
- CN112887674A CN112887674A CN202110094213.5A CN202110094213A CN112887674A CN 112887674 A CN112887674 A CN 112887674A CN 202110094213 A CN202110094213 A CN 202110094213A CN 112887674 A CN112887674 A CN 112887674A
- Authority
- CN
- China
- Prior art keywords
- chip
- trusted
- platform
- agent module
- camera
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种视频监控系统,包括摄像头平台、以及Agent模块、可信软件基模块;摄像头平台包括etcm芯片,etcm芯片分别连接闪存和摄像机;可信软件基模块与Agent模块通信连接,Agent模块与网络平台通信连接;可信软件基模块定期将可信报告提交到Agent模块的指定端口;Agent模块根据可信报告协商密钥,进行加密通讯;网络平台通过判断摄像头平台是否可信,实现摄像头平台的网络准入。摄像头平台通过包含网关功能的网络平台与视频监控平台连接,进行主要的业务活动:监视监控采集。视频监控系统结合可信软件基的可信报告协商密钥,进行加密通讯,使摄像头平台接入网络得到认证可信,更加的安全。
Description
技术领域
本发明涉及监控领域,更具体地说,涉及一种视频监控系统。
背景技术
相关技术中的网络摄像头通常是直接接入网络,一般没有经过认证,会造成摄像头的拍摄数据被监控、截取,不太安全,给用户带来安全隐患。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述不安全的缺陷,提供一种视频监控系统。
本发明解决其技术问题所采用的技术方案是:构造一种视频监控系统,包括摄像头平台、以及Agent模块、可信软件基模块;
所述摄像头平台包括etcm芯片,所述etcm芯片分别连接闪存和摄像机;
所述可信软件基模块与所述Agent模块通信连接,所述Agent模块与网络平台通信连接;
所述可信软件基模块定期将可信报告提交到Agent模块的指定端口;
所述Agent模块根据可信报告协商密钥,进行加密通讯;
所述网络平台通过判断所述摄像头平台是否可信,实现所述摄像头平台的网络准入。
优选地,所述Agent模块定期向平台询问OTA升级包,如果存在,则进行下载升级。
优选地,所述Agent模块定期向网络平台发送可信证明数据。
优选地,所述可信软件基模块定期将审计日志提交到Agent模块的指定端口;所述Agent模块查询可信软件基的审计日志,若有安全事件则上传到网络平台。
优选地,所述视频监控系统包含带有网关的网络平台,判断摄像头平台是否可信,实现所述摄像头平台的网络准入。
优选地,所述可信软件基模块包括静态度量,通过所述静态度量功能保证系统运行对象初态可信。
优选地,所述可信软件基模块还包括动态度量,所述动态度量以60秒为周期,对系统运行的关键环节进行度量,度量点包括业务程序代码段、系统调用表、网络协议族、文件系统中的至少一种。
优选地,所述静态度量采用度量、判定、控制机制完成静态度量功能,阻止未经许可、不完整的代码执行。
优选地,所述etcm芯片包括相互通信连接的开关芯片、soc芯片、可信芯片,分别形成SPI通道;
所述开关芯片与闪存连接,所述可信芯片的GPIO4用于控制开关芯片的通道选择,当GPIO4默认输出低电平时,闪存信号将直接与可信芯片的SPI Master联通,当GOIO4输出高电平时,闪存信号将与soc芯片连通;
所述可信芯片的GPIOS用于控制所述soc芯片的上下点,高电平有效;
所述soc芯片和可信芯片的Sql Slave对接,用于相互通信。
实施本发明的视频监控系统,具有以下有益效果:摄像头平台通过包含网关功能的网络平台与视频监控平台连接,进行主要的业务活动:监视监控采集。视频监控系统结合可信软件基的可信报告协商密钥,进行加密通讯,使摄像头平台接入网络得到认证可信,更加的安全。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例中的视频监控系统的系统架构示意图;
图2是本发明实施例中etcm芯片的电路原理示意图;
图3是静态度量流程图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式。
如图1、图2所示,本发明一个优选实施例中的视频监控系统包括摄像头平台,以及与摄像头通信连接的管理平台。摄像头平台包括主板,主板上设有包括etcm芯片、以及Agent模块、可信软件基模块,etcm芯片分别连接闪存和摄像镜头,可信软件基模块与Agent模块通信连接,Agent模块与网络平台通信连接。
可信软件基模块定期将可信报告提交到Agent模块的指定端口;
Agent模块根据可信报告协商密钥,进行加密通讯,网络平台通过判断摄像头平台是否可信,实现摄像头平台的网络准入。
摄像头平台通过包含网关功能的网络平台与视频监控平台连接,进行主要的业务活动:监视监控采集。视频监控系统结合可信软件基的可信报告协商密钥,进行加密通讯,使摄像头平台接入网络得到认证可信,更加的安全。
结合图2所示,etcm芯片包括相互通信连接的开关芯片、soc芯片、可信芯片,分别形成SPI通道;开关芯片与闪存连接,可信芯片的GPIO4用于控制开关芯片的通道选择,当GPIO4默认输出低电平时,闪存信号将直接与可信芯片的SPI Master联通,当GOIO4输出高电平时,闪存信号将与soc芯片连通。
可信芯片的GPIOS用于控制soc芯片的上下点,高电平有效;soc芯片和可信芯片的Sql Slave对接,用于相互通信。
etcm芯片的多通道方式,应用到摄像头及监控系统,使摄像头通过包含网关功能的网络平台与视频监控平台连接,进行主要的业务活动:监视监控采集。可信摄像头平台包含网关功能,通过判断摄像头是否可信,实现摄像头的准入,让通信更安全。
Agent模块定期向平台询问OTA升级包,如果存在,则进行下载升级。Agent模块定期向网络平台发送可信证明数据。
可信软件基模块定期将审计日志提交到Agent模块的指定端口;Agent模块查询可信软件基的审计日志,若有安全事件则上传到网络平台。
优选地,视频监控系统包含带有网关的网络平台,判断摄像头平台是否可信,实现摄像头平台的网络准入。
可信软件基模块包括静态度量,通过静态度量功能保证系统运行对象初态可信,如图3为静态度量流程图。
可信软件基模块的静态度量功能是指在程序加载是度量程序的完整性,阻止未经许可、完整性遭到破坏的代码执行,是系统运行时可信最重要的功能。
静态度量的技术方案遵循可信软件基整体方案,采用度量、判定、控制机制完成静态度量功能,阻止未经许可、不完整的代码执行。
可信报告反应当前系统的可信状态,TSB通过Agent定期将“可信报告”和“审计日志”提交可信摄像头平台。
结合可信计算技术,采用主动免疫系统防御机制,提供执行程序可信度量,阻止非授权及不符合预期的执行程序运行,实现对已知/未知恶意代码的主动防御,降低操作系统完整性及可用性被破坏的风险。
可信软件基能够通过静态度量功能保证系统运行对象初态可信。
可信安全系统部署过程中完成全系统可执行程序的特征采集,采集对象包含:二进制可执行文件、动态库和内核模块(驱动程序)等格式文件。
完成信息采集后,形成策略基准库。存在于基准库中的程序可以正常执行,动态库可以正常链接,驱动模块可以正常加载,达到阻止恶意代码及未授权软件运行的防护效果。
采用静态度量技术,保证经过采集、注册、审批的业务程序和系统程序才能在系统中运行。静态度量策略分为系统初始安装时采集的“系统白名单”和通过安全管理平台进行注册审批的“应用白名单”,
具体策略类型如下表。
| 模块名 | 程序名 | 策略类型 |
| 系统程序 | /usr/sbin、/usr/bin、/bin等 | 系统白名单 |
| 系统库 | /lib、/usr/lib、/lib64等 | 系统白名单 |
| 系统模块 | /lib/modules等 | 系统白名单 |
| 业务进程 | 摄像头业务进程 | 应用白名单 |
可信软件基模块还包括动态度量,动态度量以60秒为周期,对系统运行的关键环节进行度量,度量点包括业务程序代码段、系统调用表、网络协议族、文件系统中的至少一种。
60秒周期度量设计表:
| 模块名 | 程序名 | 策略类型 |
| 业务程序 | 摄像头业务进程代码段 | 周期度量 |
| 系统调用表 | syscall | 周期度量 |
| 网络协议族 | Network_ops | 周期度量 |
| 文件系统 | File_ops | 周期度量 |
接口及数据格式如下:
可信软件基(TSB)应用通过UDP/Unix域协议进行通讯,TSB定期将“可信报告”和“审计日志”提交到Agent模块的指定端口。
“审计日志”业务程序可以根据需要进行处理,如:存储、上传。“可信报告”在接收后需要对报告进行验签,验证报告的真实性和完整性。
可信报告格式
可信报告可以反应当前系统的可信状态,格式说明如下表所示:
日志格式
可信软件基发送日志格式,如下表所示:
可以理解地,上述各技术特征可以任意组合使用而不受限制。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种视频监控系统,其特征在于,包括摄像头平台、以及Agent模块、可信软件基模块;
所述摄像头平台包括etcm芯片,所述etcm芯片分别连接闪存和摄像机;
所述可信软件基模块与所述Agent模块通信连接,所述Agent模块与网络平台通信连接;
所述可信软件基模块定期将可信报告提交到Agent模块的指定端口;
所述Agent模块根据可信报告协商密钥,进行加密通讯;
所述网络平台通过判断所述摄像头平台是否可信,实现所述摄像头平台的网络准入。
2.根据权利要求1所述的视频监控系统,其特征在于,所述Agent模块定期向平台询问OTA升级包,如果存在,则进行下载升级。
3.根据权利要求1所述的视频监控系统,其特征在于,所述Agent模块定期向网络平台发送可信证明数据。
4.根据权利要求1所述的视频监控系统,其特征在于,所述可信软件基模块定期将审计日志提交到Agent模块的指定端口;所述Agent模块查询可信软件基的审计日志,若有安全事件则上传到网络平台。
5.根据权利要求1所述的视频监控系统,其特征在于,所述视频监控系统包含带有网关的网络平台,判断摄像头平台是否可信,实现所述摄像头平台的网络准入。
6.根据权利要求1至5任一项所述的视频监控系统,其特征在于,所述可信软件基模块包括静态度量,通过所述静态度量功能保证系统运行对象初态可信。
7.根据权利要求6所述的视频监控系统,其特征在于,所述可信软件基模块还包括动态度量,所述动态度量以60秒为周期,对系统运行的关键环节进行度量,度量点包括业务程序代码段、系统调用表、网络协议族、文件系统中的至少一种。
8.根据权利要求6所述的视频监控系统,其特征在于,所述静态度量采用度量、判定、控制机制完成静态度量功能,阻止未经许可、不完整的代码执行。
9.根据权利要求1至5任一项所述的视频监控系统,其特征在于,所述etcm芯片包括相互通信连接的开关芯片、soc芯片、可信芯片,分别形成SPI通道;
所述开关芯片与闪存连接,所述可信芯片的GPIO4用于控制开关芯片的通道选择,当GPIO4默认输出低电平时,闪存信号将直接与可信芯片的SPI Master联通,当GOIO4输出高电平时,闪存信号将与soc芯片连通;
所述可信芯片的GPIOS用于控制所述soc芯片的上下点,高电平有效;
所述soc芯片和可信芯片的Sql Slave对接,用于相互通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110094213.5A CN112887674B (zh) | 2021-01-22 | 2021-01-22 | 视频监控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110094213.5A CN112887674B (zh) | 2021-01-22 | 2021-01-22 | 视频监控系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112887674A true CN112887674A (zh) | 2021-06-01 |
| CN112887674B CN112887674B (zh) | 2023-09-22 |
Family
ID=76050764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110094213.5A Active CN112887674B (zh) | 2021-01-22 | 2021-01-22 | 视频监控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887674B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174210A (zh) * | 2022-06-30 | 2022-10-11 | 珠海奔图电子有限公司 | 可信报告生成方法和电子设备 |
| CN115174210B (zh) * | 2022-06-30 | 2024-06-04 | 珠海奔图电子有限公司 | 可信报告生成方法和电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795905A (zh) * | 2013-11-03 | 2014-05-14 | 北京工业大学 | 一种网络摄像机可信启动方法 |
| CN103888257A (zh) * | 2013-11-03 | 2014-06-25 | 北京工业大学 | 一种基于tpcm的网络摄像机身份认证方法 |
| CN104038478A (zh) * | 2014-05-19 | 2014-09-10 | 瑞达信息安全产业股份有限公司 | 一种嵌入式平台身份验证可信网络连接方法和系统 |
| CN105468978A (zh) * | 2015-11-16 | 2016-04-06 | 国网智能电网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
| CN106991329A (zh) * | 2017-03-31 | 2017-07-28 | 山东超越数控电子有限公司 | 一种基于国产tcm的可信计算单元及其运行方法 |
| CN108632243A (zh) * | 2018-03-13 | 2018-10-09 | 全球能源互联网研究院有限公司 | 基于安全芯片硬件算法模块的可信网络通信方法及装置 |
| CN109871695A (zh) * | 2019-03-14 | 2019-06-11 | 沈昌祥 | 一种计算与防护并行双体系结构的可信计算平台 |
| CN110119623A (zh) * | 2018-02-06 | 2019-08-13 | 北京可信华泰信息技术有限公司 | 一种利用tpcm实现固件主动度量的可信主板实现方法 |
-
2021
- 2021-01-22 CN CN202110094213.5A patent/CN112887674B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795905A (zh) * | 2013-11-03 | 2014-05-14 | 北京工业大学 | 一种网络摄像机可信启动方法 |
| CN103888257A (zh) * | 2013-11-03 | 2014-06-25 | 北京工业大学 | 一种基于tpcm的网络摄像机身份认证方法 |
| CN104038478A (zh) * | 2014-05-19 | 2014-09-10 | 瑞达信息安全产业股份有限公司 | 一种嵌入式平台身份验证可信网络连接方法和系统 |
| CN105468978A (zh) * | 2015-11-16 | 2016-04-06 | 国网智能电网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
| CN106991329A (zh) * | 2017-03-31 | 2017-07-28 | 山东超越数控电子有限公司 | 一种基于国产tcm的可信计算单元及其运行方法 |
| CN110119623A (zh) * | 2018-02-06 | 2019-08-13 | 北京可信华泰信息技术有限公司 | 一种利用tpcm实现固件主动度量的可信主板实现方法 |
| CN108632243A (zh) * | 2018-03-13 | 2018-10-09 | 全球能源互联网研究院有限公司 | 基于安全芯片硬件算法模块的可信网络通信方法及装置 |
| CN109871695A (zh) * | 2019-03-14 | 2019-06-11 | 沈昌祥 | 一种计算与防护并行双体系结构的可信计算平台 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174210A (zh) * | 2022-06-30 | 2022-10-11 | 珠海奔图电子有限公司 | 可信报告生成方法和电子设备 |
| CN115174210B (zh) * | 2022-06-30 | 2024-06-04 | 珠海奔图电子有限公司 | 可信报告生成方法和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112887674B (zh) | 2023-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11797674B2 (en) | Method and apparatus for defending against attacks, device and storage medium | |
| US10129259B2 (en) | Installment configurations within a vehicle and interoperability of devices configured to implement secure communication lockdowns, and methods of use thereof | |
| CN109766696B (zh) | 软件权限的设置方法及装置、存储介质、电子装置 | |
| EP3891632B1 (en) | System level function based access control for smart contract execution on a blockchain | |
| US8850211B2 (en) | Method and apparatus for improving code and data signing | |
| JP6019484B2 (ja) | サーバで結合されたマルウェア防止のためのシステムと方法 | |
| KR101386097B1 (ko) | 무선 장치들의 플랫폼 입증 및 관리 | |
| US20070206546A1 (en) | Method and apparatus for preventing denial of service attacks on cellular infrastructure access channels | |
| CN104573516A (zh) | 一种基于安全芯片的工控系统可信环境管控方法和平台 | |
| US6671809B1 (en) | Software-defined communications system execution control | |
| US20180239929A1 (en) | Securely defining operating system composition without multiple authoring | |
| US11438307B2 (en) | Systems and methods for configuring a gateway for protection of automated systems | |
| CN112491545B (zh) | 一种可信的混合云管理平台、接入方法及系统 | |
| CN108573153B (zh) | 一种车载操作系统及其使用方法 | |
| CN111182527B (zh) | Ota固件升级方法、装置、终端设备及其存储介质 | |
| US11546367B2 (en) | Systems and methods for protecting automated systems using a gateway | |
| Park et al. | L2Fuzz: Discovering Bluetooth L2CAP Vulnerabilities Using Stateful Fuzz Testing | |
| CN214045777U (zh) | 摄像头及监控系统 | |
| CN112887674A (zh) | 视频监控系统 | |
| CN115563618A (zh) | 一种基于中央计算平台的渗透测试方法及装置 | |
| US20210326455A1 (en) | System for analysis and authorization for use of executable environment data in a computing system using hash outputs | |
| CN113836529A (zh) | 进程检测方法、装置、存储介质以及计算机设备 | |
| Rauter et al. | Integration of integrity enforcing technologies into embedded control devices: experiences and evaluation | |
| Harel et al. | Mitigating Unknown Cybersecurity Threats in Performance Constrained Electronic Control Units | |
| EP2835757B1 (en) | System and method protecting computers from software vulnerabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |