CN113037706A - 摄像头和服务器的数据加解密传送方法及数据传输系统 - Google Patents
摄像头和服务器的数据加解密传送方法及数据传输系统 Download PDFInfo
- Publication number
- CN113037706A CN113037706A CN202110088710.4A CN202110088710A CN113037706A CN 113037706 A CN113037706 A CN 113037706A CN 202110088710 A CN202110088710 A CN 202110088710A CN 113037706 A CN113037706 A CN 113037706A
- Authority
- CN
- China
- Prior art keywords
- camera
- data packet
- encryption
- data
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012545 processing Methods 0.000 claims description 10
- 238000012546 transfer Methods 0.000 claims description 10
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种摄像头和服务器的数据加解密传送方法,利用Linux的TUN/TAP虚拟网络设备来实现加密隧道传输,让摄像头和平台间的链路加密,对于运行于摄像头上的应用程序是透明的,即摄像头上的应用程序无需做任何更改,仍然同平台以及服务器进行正常通信,但是会在底层提供一个加密隧道,对摄像头和平台间的数据进行加密传输,让数据传输更加的便捷、可靠。
Description
技术领域
本发明涉及电子产品通信领域,更具体地说,涉及一种摄像头和服务器的数据加解密传送方法及数据传输系统。
背景技术
相关技术中的摄像头的监控数据通常是直接通过网络向外传输,传输的数据容易被一些非法分子获取、监听,存在一定的安全隐患。如何提升传输的安全性,是摄像头监控过程中传输数据需要考虑的。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述传输存在被监听的缺陷,提供一种摄像头和服务器的数据加解密传送方法及数据传输系统。
本发明解决其技术问题所采用的技术方案是:构造一种摄像头和服务器的数据加解密传送方法,包括以下步骤:
S1、摄像头上的应用的数据包在所述摄像头的内核模块的NetfilterPostrouting Hook点,被所述摄像头内核模块加密隧道更改其dev为tap0,所述摄像头的内核模块将所述数据包发送至tap0网络虚拟设备加密;
S2、加密后的数据包被加密处理进程通过所述摄像头的UDP封装后 socket发送、经eth0投递至中转平台;
S3、加密后的数据包由所述中转平台的eth0、协议栈通过正常流程投递至加解密进程,收到上述UDP封装后的数据包后,进行解封装、解密,得到所述摄像头上应用程序发出的原始数据包;
S4、原始数据包被所述中转平台通过tap字符设备写入所述中转平台的 tap0网络虚拟设备,将原始数据包投递至所述中转平台的内核模块协议栈;
S5、原始数据包被所述中转平台处理由所述中转平台的eth1接口发送至服务器;
将以上步骤反向运行,实现从服务器到摄像头的加解密传输流程。
优选地,所述步骤S1中,应用将数据包封装后通过socket发送。
优选地,所述步骤S1中,tap0是一个TAP设备,当加密处理进程对tap0 对应的字符设备进行读操作时,所述摄像头内核模块便会将数据包返回给加密处理进程,加密进程对收到原始报文进行加密。
优选地,所述步骤S3中,在所述中转平台协议栈的netfilter prerouting hook点处,所述中转平台的内核模块将skb的入接口改为eth0。
优选地,所述摄像头的内核模块及中转平台上的内核模块还检查是否是到对端的管理报文,管理报文直接投递,不用进入隧道。
优选地,所述步骤S5中,数据报文被路由处理。
优选地,所述步骤S5中,数据报文被桥接处理,将该报文的源MAC更改为一个虚拟的不存在的MAC。
一种数据传输系统,包括摄像头、中转平台和服务器,且所述摄像头、中转平台和服务器采用所述的数据加解密传送方法。
实施本发明的摄像头和服务器的数据加解密传送方法及数据传输系统,具有以下有益效果:利用Linux的TUN/TAP虚拟网络设备来实现加密隧道传输,让摄像头和平台间的链路加密,对于运行于摄像头上的应用程序是透明的,即摄像头上的应用程序无需做任何更改,仍然同平台以及服务器进行正常通信,但是会在底层提供一个加密隧道,对摄像头和平台间的数据进行加密传输,让数据传输更加的便捷、可靠。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例中的路由模式下摄像头到服务器的数据加解密传输流程;
图2是本发明实施例中的路由模式下服务器到摄像头的数据加解密传输流程。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式。
如图1所示,本发明一个优选实施例中的摄像头和服务器的数据加解密传送方法,通过数据从摄像头到服务器,以及服务器到摄像头两个方向的数据流程来说明本方案的加密隧道设计原理。
图中摄像头的对外物理接口为eth0,IP为10.10.1.2,可信摄像头有两个物理接口,连接摄像头侧的为eth0,IP为10.10.1.1;连接服务器侧的为eth1,IP 为192.168.1.1;服务器IP为192.168.1.2。
当摄像头上的应用程序需要向服务器发送数据时,应用程序首先通过 socket发送10.10.1.2->192.168.1.2的数据包,该数据包按照正常流程应直接发送至eth0接口,并由接口发至网络。但为了进行加密,摄像头和服务器的数据加解密传送方法包括以下步骤:
S1、摄像头上的应用的数据包在所述摄像头的内核模块的NetfilterPostrouting Hook点,被所述摄像头内核模块加密隧道更改其dev(出口设备指针)为tap0,所述摄像头的内核模块将所述数据包发送至tap0网络虚拟设备加密;
S2、加密后的数据包被加密处理进程通过所述摄像头的UDP封装后 socket发送、经eth0投递至中转平台;因此实际从eth0发出的报文为 10.10.1.2:_TUN_PORT→10.10.1.1:_TUN_PORT(_TUN_PORT为封装后的 UDP端口,可配置)。
S3、当上述加封装后的数据包到达中转平台后,加密后的数据包由所述中转平台的eth0、协议栈通过正常流程投递至加解密进程,收到上述UDP封装后数据包后,进行解封装、解密,得到所述摄像头上应用程序发出的原始数据包:10.10.1.2->192.168.1.2;
S4、原始数据包被所述中转平台通过tap字符设备写入所述中转平台的tap0网络虚拟设备,网络设备tap0等同于从网络中收到一个报文进行收包处理,将原始数据包投递至所述中转平台的内核模块协议栈;
S5、原始数据包被所述中转平台处理由所述中转平台的eth1接口发送至服务器。
将以上步骤反向运行,实现从服务器到摄像头的加解密传输流程。
利用Linux的TUN/TAP虚拟网络设备来实现加密隧道传输,让摄像头和平台间的链路加密,对于运行于摄像头上的应用程序是透明的,即摄像头上的应用程序无需做任何更改,仍然同平台以及服务器进行正常通信,但是会在底层提供一个加密隧道,对摄像头和平台间的数据进行加密传输,让数据传输更加的便捷、可靠。
所述步骤S1中,应用将数据包封装后通过socket发送。
所述步骤S1中,tap0是一个TAP设备,根据TAP虚拟网络设备原理,当加密处理进程对tap0对应的字符设备进行读操作时,所述摄像头内核模块便会将上述数据包返回给加密处理进程,加密进程对收到原始报文(包含MAC 头)进行加密。
所述步骤S3中,在所述中转平台协议栈的netfilter prerouting hook点处,所述中转平台的内核模块将skb的入接口改为eth0,否则,内核会认为tap0 投递进入的源IP为10.10.1.2的数据报文异常并丢弃。然后,数据报文被正常路由后由eth1发送至服务器。
所述摄像头的内核模块及中转平台上的内核模块还检查是否是到对端的管理报文(10.10.1.1←→10.10.1.2),管理报文直接投递,不用进入隧道。
所述步骤S5中,数据报文被路由处理。
所述步骤S5中,数据报文被桥接处理,中转平台的内核模块在处理从摄像头到服务器的解密后报文时,将该报文的源MAC更改为一个虚拟的不存在的MAC(比如00:00:02:03:04:05)。否则中转平台的内核桥模块会在MAC表中记录tap0和摄像头eth0的MAC的错误的对应关系,这样包括中转平台本地发出的管理报文都将直接从tap0发出,导致错误处理。
一种数据传输系统,包括摄像头、中转平台和服务器,且所述摄像头、中转平台和服务器采用所述的数据加解密传送方法。
可以理解地,上述各技术特征可以任意组合使用而不受限制。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种摄像头和服务器的数据加解密传送方法,其特征在于,包括以下步骤:
S1、摄像头上的应用的数据包在所述摄像头的内核模块的Netfilter PostroutingHook点,被所述摄像头内核模块加密隧道更改其dev为tap0,所述摄像头的内核模块将所述数据包发送至tap0网络虚拟设备加密;
S2、加密后的数据包被加密处理进程通过所述摄像头的UDP封装后socket发送、经eth0投递至中转平台;
S3、加密后的数据包由所述中转平台的eth0、协议栈通过正常流程投递至加解密进程,收到上述UDP封装后的数据包后,进行解封装、解密,得到所述摄像头上应用程序发出的原始数据包;
S4、原始数据包被所述中转平台通过tap字符设备写入所述中转平台的tap0网络虚拟设备,将原始数据包投递至所述中转平台的内核模块协议栈;
S5、原始数据包被所述中转平台处理由所述中转平台的eth1接口发送至服务器;
将以上步骤反向运行,实现从服务器到摄像头的加解密传输流程。
2.根据权利要求1所述的摄像头和服务器的数据加解密传送方法,其特征在于,所述步骤S1中,应用将数据包封装后通过socket发送。
3.根据权利要求1所述的摄像头和服务器的数据加解密传送方法,其特征在于,所述步骤S1中,tap0是一个TAP设备,当加密处理进程对tap0对应的字符设备进行读操作时,所述摄像头内核模块便会将数据包返回给加密处理进程,加密进程对收到原始报文进行加密。
4.根据权利要求1所述的摄像头和服务器的数据加解密传送方法,其特征在于,所述步骤S3中,在所述中转平台协议栈的netfilter prerouting hook点处,所述中转平台的内核模块将skb的入接口改为eth0。
5.根据权利要求1所述的摄像头和服务器的数据加解密传送方法,其特征在于,所述摄像头的内核模块及中转平台上的内核模块还检查是否是到对端的管理报文,管理报文直接投递,不用进入隧道。
6.根据权利要求1至5任一项所述的摄像头和服务器的数据加解密传送方法,其特征在于,所述步骤S5中,数据报文被路由处理。
7.根据权利要求1至5任一项所述的摄像头和服务器的数据加解密传送方法,其特征在于,所述步骤S5中,数据报文被桥接处理,将该报文的源MAC更改为一个虚拟的不存在的MAC。
8.一种数据传输系统,其特征在于,包括摄像头、中转平台和服务器,且所述摄像头、中转平台和服务器采用权利要求1至7任一项所述的数据加解密传送方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110088710.4A CN113037706A (zh) | 2021-01-22 | 2021-01-22 | 摄像头和服务器的数据加解密传送方法及数据传输系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110088710.4A CN113037706A (zh) | 2021-01-22 | 2021-01-22 | 摄像头和服务器的数据加解密传送方法及数据传输系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113037706A true CN113037706A (zh) | 2021-06-25 |
Family
ID=76459859
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110088710.4A Pending CN113037706A (zh) | 2021-01-22 | 2021-01-22 | 摄像头和服务器的数据加解密传送方法及数据传输系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113037706A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114050921A (zh) * | 2021-10-29 | 2022-02-15 | 山东三未信安信息科技有限公司 | 一种fpga实现的基于udp的高速加密数据传输系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915511A (zh) * | 2016-04-13 | 2016-08-31 | 深圳市融钞科技有限公司 | 基于vpdn专网的无线通讯方法 |
| CN110505244A (zh) * | 2019-09-19 | 2019-11-26 | 南方电网数字电网研究院有限公司 | 远程隧道访问技术网关以及服务器 |
-
2021
- 2021-01-22 CN CN202110088710.4A patent/CN113037706A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915511A (zh) * | 2016-04-13 | 2016-08-31 | 深圳市融钞科技有限公司 | 基于vpdn专网的无线通讯方法 |
| CN110505244A (zh) * | 2019-09-19 | 2019-11-26 | 南方电网数字电网研究院有限公司 | 远程隧道访问技术网关以及服务器 |
Non-Patent Citations (3)
| Title |
|---|
| HUANGBING ZHAO: ""Linux Tun/Tap介绍"", 《HTTPS://WWW.ZHAOHUABING.COM/POST/2020-02-24-LINUX-TAPTUN/ 》 * |
| OATLMY: ""tun/tap虚拟网卡收发机制解析"", 《HTTPS://BLOG.CSDN.NET/ZHOU307/ARTICLE/DETAILS/102806500》 * |
| ZQIXIAO_09: ""Linux网络协议栈开发(七)-Netfiler概述及其HOOK点"", 《HTTPS://BLOG.CSDN.NET/ZQIXIAO_09/ARTICLE/DETAILS/79057301》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114050921A (zh) * | 2021-10-29 | 2022-02-15 | 山东三未信安信息科技有限公司 | 一种fpga实现的基于udp的高速加密数据传输系统 |
| CN114050921B (zh) * | 2021-10-29 | 2023-07-25 | 山东三未信安信息科技有限公司 | 一种fpga实现的基于udp的高速加密数据传输系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11134064B2 (en) | Network guard unit for industrial embedded system and guard method | |
| CN111480328B (zh) | 将通信安全操作卸载到网络接口控制器 | |
| CN107852359B (zh) | 安全系统、通信控制方法 | |
| US9015467B2 (en) | Tagging mechanism for data path security processing | |
| CN107046495B (zh) | 用于构建虚拟专用网络的方法、装置和系统 | |
| JP2009506617A (ja) | セキュア伝送情報を処理するシステムおよび方法 | |
| CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
| CN110620762A (zh) | 基于rdma的数据传输方法、网卡、服务器及介质 | |
| CN107154917B (zh) | 数据传输方法及服务器 | |
| CN1937571A (zh) | 在应用层实现vpn协议的系统及其方法 | |
| CN105471827A (zh) | 一种报文传输方法及装置 | |
| CN113037706A (zh) | 摄像头和服务器的数据加解密传送方法及数据传输系统 | |
| WO2020228130A1 (zh) | 通信设备的网管服务器与网元的通信方法及系统 | |
| US7962741B1 (en) | Systems and methods for processing packets for encryption and decryption | |
| CN106385423A (zh) | 一种数据加密传输方法及系统 | |
| CN103581034B (zh) | 一种报文镜像和加密传输方法 | |
| EP4181431A1 (en) | Service transmission method and apparatus, network device, and storage medium | |
| JPH07170280A (ja) | ローカルエリアネットワーク | |
| JP2009177239A (ja) | ネットワーク中継装置 | |
| CN112104635B (zh) | 通信方法、系统和网络设备 | |
| EP3994862B1 (en) | Packet acknowledgement techniques for improved network traffic management | |
| CN100583891C (zh) | 一种通讯加密的方法与系统 | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
| JP2003244194A (ja) | データ暗号装置及び暗号通信処理方法及びデータ中継装置 | |
| US11032250B2 (en) | Protective apparatus and network cabling apparatus for the protected transmission of data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210625 |