CN113259722B - 一种安全视频物联网密钥管理方法、装置和系统 - Google Patents
一种安全视频物联网密钥管理方法、装置和系统 Download PDFInfo
- Publication number
- CN113259722B CN113259722B CN202110720389.7A CN202110720389A CN113259722B CN 113259722 B CN113259722 B CN 113259722B CN 202110720389 A CN202110720389 A CN 202110720389A CN 113259722 B CN113259722 B CN 113259722B
- Authority
- CN
- China
- Prior art keywords
- vkek
- video
- request
- key
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims description 249
- 238000000034 method Methods 0.000 claims abstract description 66
- 238000003860 storage Methods 0.000 claims abstract description 24
- 238000004422 calculation algorithm Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 5
- 230000002457 bidirectional effect Effects 0.000 claims description 3
- 230000002085 persistent effect Effects 0.000 abstract description 15
- 238000012544 monitoring process Methods 0.000 description 21
- 238000010586 diagram Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 16
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/234—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
- H04N21/2347—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
- H04N21/4408—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream encryption, e.g. re-encrypting a decrypted video stream for redistribution in a home network
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种安全视频物联网密钥管理方法、装置和系统。本实施例中,通过安全视频管理平台与密钥管理系统相结合,实现密钥管理系统在请求端每次需要VKEK时动态计算请求端所需的VKEK这一非持久化方式来代替现有持久化托管请求端的密钥,提供了非持久化的密钥管理,降低视频密钥存储所带来的空间消耗和时间消耗。
Description
技术领域
本申请涉及物联网,特别涉及一种安全视频物联网密钥管理方法、装置和系统。
背景技术
目前,在物联网视频领域,视频密钥的管理方式比较单一,通常是依赖于密钥管理系统进行托管。一旦有设备请求视频密钥,密钥管理系统采用加密分发机制下发已托管的视频密钥。
但是,在物联网视频领域中,视频密钥更新周期短、且数量庞大,而依赖于密钥管理系统托管视频密钥则会大大增加密钥管理系统托管视频密钥所带来的空间消耗和时间消耗。其中,这里的空间消耗至少包括:密钥管理系统托管的视频密钥数量急剧增加而导致视频密钥库空间庞大;这里的时间消耗至少包括:视频密钥的生成、查询所需要的时间比较长。
发明内容
本申请提供了一种安全视频物联网密钥管理方法、装置和系统,以提供非持久化的密钥管理,降低视频密钥存储所带来的空间消耗和时间消耗。
本申请实施例提供的技术方案包括:
本实施例提供第一种安全视频物联网密钥管理方法,该方法应用于安全视频管理平台,所述安全视频管理平台连接密钥管理系统,该方法包括:
当确定出相连接的请求端需要视频密钥加密密钥VKEK时,确定用于协助所述密钥管理系统生成VKEK的参考参数,将所述参考参数携带在VKEK请求并向所述密钥管理系统发送,以触使所述密钥管理系统基于所述VKEK请求携带的所述参考参数和所述密钥管理系统本地的根密钥VEMK生成所述请求端所需的VKEK;所述VKEK请求还携带所述请求端对应的请求端标识ID,所述请求端标识用于使所述密钥管理系统在生成所述VKEK后基于所述请求端标识查找到与所述请求端对应的公钥并依据所述公钥加密生成的VKEK;
接收所述密钥管理系统返回的VKEK密文,所述VKEK密文是由所述密钥管理系统使用所述公钥对基于本地根密钥VEMK和所述参考参数生成的VKEK进行加密得到;
将所述VKEK密文发送至所述请求端。
可选地,所述确定出相连接的请求端需要VKEK包括:
当检测到所述请求端向安全视频管理平台发送的用于触发视频密钥加密密钥VKEK生成的事件时,确定相连接的所述请求端需要VKEK;其中,所述事件是由所述请求端在检测出本地未存储VKEK但当前需要VKEK时发送,或者是由所述请求端在检测出用于更新本地已存储的VKEK的触发时发送;或者,
当所述请求端通过所述安全视频管理平台的认证或者当所述请求端和所述安全视频管理平台完成双向认证时,确定出相连接的请求端需要VKEK。
可选地,所述确定出用于协助所述密钥管理系统生成VKEK的参考参数包括:
确定用于协助生成所述参考参数的VKEK索引;
按照指定算法对所述请求端标识与所述VKEK索引进行运算,依据运算结果确定散列因子,将所述散列因子确定为所述参考参数。
可选地,所述请求端为连接所述安全视频管理平台的安全设备;
所述VKEK索引为当前随机生成的随机数或者为当前按照预先定义的VKEK索引确定方式确定的,针对同一请求端在不同时刻确定的VKEK索引不同;
所述将所述VKEK密文发送至所述请求端进一步包括:将所述VKEK索引发送至所述安全设备;所述VKEK索引应用于所述安全设备向请求视频流的安全客户端返回的加密视频流中。
可选地,所述请求端为连接所述安全视频管理平台的安全客户端;所述安全客户端在当前需要解密来自安全设备的加密视频流时向所述安全视频管理平台发送用于触发VKEK生成的事件,所述事件携带所述加密视频流所携带的目标VKEK索引;
所述确定用于协助生成所述参考参数的VKEK索引包括:将所述目标VKEK索引确定为所述用于协助生成所述参考参数的VKEK索引。
本实施例提供第二种安全视频物联网密钥管理方法,该方法应用于密钥管理系统,所述密钥管理系统连接安全视频管理平台,包括:
接收所述安全视频管理平台发送的视频密钥加密密钥VKEK请求,所述VKEK请求是由所述安全视频管理平台在确定出相连接的请求端需要VKEK时发送的;所述VKEK请求至少携带所述安全视频管理平台生成的用于协助所述密钥管理系统生成VKEK的参考参数、以及所述请求端对应的请求端标识ID;
基于本地的根密钥VEMK和所述VKEK请求携带的所述参考参数生成VKEK;
基于所述请求端标识查找到与所述请求端对应的公钥,采用所述公钥对生成的VKEK进行加密得到VKEK密文,将所述VKEK密文返回给所述安全视频管理平台,以由所述安全视频管理平台将所述VKEK密文发送至所述请求端。
本实施例提供第三种安全视频物联网密钥管理方法,该方法应用于请求端,该方法包括:
向安全视频管理平台发送用于触发视频密钥加密密钥VKEK生成的事件,所述事件是由所述请求端在检测出本地未存储VKEK但当前需要VKEK时发送,或者是由所述请求端在检测出用于更新本地已存储的VKEK的触发时发送;所述事件用于触发所述安全视频管理平台向所述密钥管理系统发送视频密钥加密密钥VKEK请求以由所述密钥管理系统基于所述VKEK请求生成VKEK;
接收所述安全视频管理平台返回的VKEK信息,所述VKEK信息至少包括VKEK密文,所述VKEK密文是由所述密钥管理系统采用所述请求端对应的公钥对基于所述VKEK请求生成的VKEK进行加密得到的;
依据所述请求端对应的私钥对所述VKEK密文进行解密得到所述VKEK。
可选地,所述请求端为连接所述安全视频管理平台的安全设备;所述VKEK信息还包括:在所述安全视频管理平台发送所述VKEK请求之前基于所述事件确定的VKEK索引,所述VKEK索引用于生成参考参数,所述参考参数被携带在VKEK请求,用于协助所述密钥管理系统生成VKEK;该方法还包括:
存储所述VKEK索引和所述VKEK;
当向外传输采集的目标视频流时,则向外传输所述目标视频流对应的加密视频流;所述加密视频流至少包括:视频加密密钥VEK密文、码流密文、VKEK索引;其中,所述VEK密文是由所述安全设备使用已存储的VKEK对VEK进行加密得到的,所述码流密文是由所述安全设备使用VEK对目标视频流进行加密得到的,所述VEK是所述安全设备随机生成的。
可选地,所述请求端为连接所述安全视频管理平台的安全客户端;
该方法之前进一步包括:向安全设备发送视频流请求;接收所述安全设备返回的加密视频流;所述加密视频流至少包括:视频加密密钥VEK密文、码流密文、VKEK索引;其中,所述VEK密文是由所述安全设备使用已存储的VKEK对VEK进行加密得到的,所述码流密文是由所述安全设备使用VEK对目标视频流进行加密得到的,所述VEK是所述安全设备随机生成的;在接收到所述加密视频流后确定当前需要解密所述加密视频流的VKEK,则返回向所述安全视频管理平台发送用于触发视频密钥加密密钥VKEK生成的事件的操作;所述事件携带所述VKEK索引;
在得到所述VKEK之后,该方法进一步包括:利用所述VKEK对所述VEK密文进行解密得到VEK,并利用所述VEK对所述码流密文进行解密得到所述目标视频流。
本实施例提供一种安全视频物联网密钥管理系统,该系统包括:请求端、安全视频管理平台、密钥管理系统;
其中,所述请求端用于执行如上第三种方法;
所述安全视频管理平台用于执行如上第一种方法;
所述密钥管理系统用于执行如上第二种方法。
本申请实施例还提供了一种电子设备。该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现上述公开的方法的步骤。
由以上技术方案可以看出,本申请中,通过安全视频管理平台与密钥管理系统相结合,实现密钥管理系统在请求端每次需要VKEK时动态计算请求端所需的VKEK这一非持久化方式来代替现有持久化托管请求端的密钥,提供了非持久化的密钥管理,降低视频密钥存储所带来的空间消耗和时间消耗。
进一步地,本实施例中,通过三级密钥结构加密目标视频流,这里提高目标视频流的安全。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请实施例提供的第一方法流程图;
图2为本申请实施例提供的系统结构图;
图3为本申请实施例提供的第二方法流程图;
图4为本申请实施例提供的第三方法流程图;
图5为本申请实施例1提供的方法流程图;
图6为本申请实施例2提供的方法流程图;
图7为本申请实施例3提供的方法流程图;
图8为本申请实施例提供的第一装置结构图;
图9为本申请实施例提供的第二装置结构图;
图10为本申请实施例提供的第三装置结构图;
图11为本申请实施例提供的电子设备结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
在本实施例中,密钥管理系统通过非持久化的方式代替持久化的存储托管视频密钥,可以降低视频密钥存储所带来的空间消耗和时间消耗。可选地,作为一个实施例,这里的非持久化的方式是指动态的视频密钥运算。下面通过具体实施例进行描述:
参见图1,图1为本申请实施例提供的第一方法流程图。该流程应用于安全视频管理平台。可选地,这里安全视频管理平台可用于对视频监控系统全网的设备管理、用户权限管理、视频数据流管理、录像存储备份管理、以及与其他系统进行功能对接等。在一个例子中,安全视频管理平台可为一套软件,其可安装在客户端,本实施例并不具体限定安全视频管理平台的具体实现形式。
在本实施例中,安全视频管理平台连接在请求端和密钥管理系统之间,图2举例示出了系统结构图。
可选地,作为一个实施例,请求端有很多种实现形式,比如可为安全客户端,或者为安全设备等。在一个例子中,这里的安全设备可为网络摄像机(IPC:IP Camera)、网络硬盘录像机(NVR:Network Video Recorder)等。
可选地,作为另一个实施例,这里的密钥管理系统是依据国家及行业相关标准规范研制的安全基础设施产品,使用经国家密码管理局批准的密码设备,支持SM1/2/3/4等密码算法,提供完善的对称密钥和非对称密钥管理应用体系,保障密钥管理生命周期中各环节的安全。在一个例子中,密钥管理系统可为密钥管理服务(KMS:Key ManagementService)。
如图1所示,该流程可包括以下步骤:
步骤101,安全视频管理平台在确定出相连接的请求端需要视频密钥加密密钥VKEK时,确定用于协助密钥管理系统生成VKEK的参考参数,将参考参数携带在VKEK请求并向所述密钥管理系统发送,以触使密钥管理系统基于VKEK请求携带的参考参数和密钥管理系统本地的根密钥VEMK生成请求端所需的VKEK。
在一个例子中,当请求端在检测出本地未存储视频密钥加密密钥(VKEK)但当前需要VKEK比如需要利用VKEK对采集的视频流进行加密或者需要VKEK对获得的视频流进行解密等,则会向安全视频管理平台发送用于触发VKEK生成的事件。或者,当请求端在检测出用于更新本地已存储的VKEK时,也会向安全视频管理平台发送用于触发VKEK生成的事件。基于此,当安全视频管理平台检测到请求端发送的用于触发VKEK生成的事件时,则确定相连接的请求端需要VKEK。
在上面描述中,请求端检测出用于更新本地已存储的VKEK有很多实现方式,比如,在指定的更新时间到达时,或者在本地资源发生变化(比如监控点增加或减少、音频通道增加或减少、视频通道增加或减少等)时,等等,则确定当前需要更新本地已存储的VKEK。
在另一个例子中,当安全视频管理平台确定请求端通过认证时,或者当安全视频管理平台确定安全视频管理平台与请求端完成双向认证时,也可确定相连接的请求端需要VKEK。
需要说明的是,上述确定相连接的请求端需要VKEK只是一种举例,并非用于限定。
在本实施例中,上述步骤101中,确定出用于协助密钥管理系统生成VKEK的参考参数可包括:
步骤a1,确定用于协助生成参考参数的VKEK索引。
可选地,这里的VKEK索引可为4字节。至于如何确定VKEK索引,其依赖于请求端的不同实现形式来确定。比如,作为一个实施例,假若请求端为连接安全视频管理平台的安全设备,则在一个例子中,确定的VKEK索引可为当前随机生成的随机数,或者为当前按照预先定义的VKEK索引确定方式确定的。其中,在按照预先定义的VKEK索引确定方式确定VKEK索引时,对于同一请求端,需要保证在不同时刻确定的VKEK索引不同。需要说明的是,这里只是请求端为连接安全视频管理平台的安全设备时举例描述的如何确定VKEK索引,并非用于限定。
再比如,作为一个实施例,当请求端为连接安全视频管理平台的安全客户端时,在一个例子中,安全客户端在当前需要解密来自安全设备的加密视频流时会向安全视频管理平台发送用于触发VKEK生成的事件,基于该事件安全视频管理平台可确定出相连接的安全客户端需要VKEK。在本实施例中,该事件会携带加密视频流所携带的目标VKEK索引。在此前提下,上述步骤a1可将将事件携带的加密视频流所携带的目标VKEK索引确定为用于协助生成所述参考参数的VKEK索引。之所以将目标VKEK索引确定为用于协助生成所述参考参数的VKEK索引,其目的是保证后续密钥管理系统确定的VKEK与安全设备在加密视频流时用的VKEK一致,这可结合下文密钥管理系统生成VKEK的流程看出,这里暂不赘述。
步骤a2,按照指定算法对请求端标识ID与上述VKEK索引进行运算,依据运算结果确定散列因子,将所述散列因子确定为所述参考参数。
可选地,请求端标识ID可为安全视频管理平台本地存储的用于代表请求端的标识,本实施例并不具体限定标识ID的具体实现形式。
可选地,在本实施例中,上述步骤a2中的指定运算有很多,比如可为SM3运算等,本实施例并不具体限定。至于如何依据运算结果确定散列因子,其也有很多实现方式,比如:限定散列因子为16字节,则可取运算结果的其中16字节作为散列因子(比如取前16个字节作为散列因子等);当然,若运算结果不足以16字节,则可将运算结果补齐为16字节,之后将补齐后的16字节确定为散列因子。
通过上述步骤a1至步骤a2,最终实现了如何确定出用于协助所述密钥管理系统生成VKEK的参考参数。
一旦确定完上述参考参数,则如步骤101描述,安全视频管理平台将上述参考参数携带在VKEK请求向密钥管理系统发送。在本实施例中,VKEK请求还携带请求端对应的请求端标识(ID),请求端标识用于使密钥管理系统在生成所述VKEK后基于请求端标识查找到与所述请求端对应的公钥并依据所述公钥加密生成的VKEK。
当密钥管理系统接收到VKEK请求,其会计算VKEK,下文图3所示的实施例会举例描述密钥管理系统如何基于VKEK请求计算VKEK。之后,密钥管理系统基于上述请求端标识查找到与请求端对应的公钥,使用查找到的公钥对生成的VKEK进行加密得到VKEK密文并返回给安全视频管理平台。之后执行步骤102。
步骤102,安全视频管理平台接收密钥管理系统返回的VKEK密文,将VKEK密文发送至请求端。
如上描述,请求端有很多实现形式,比如可为安全客户端、安全设备等。
作为一个实施例,当请求端为安全客户端,则安全视频管理平台接收密钥管理系统返回的VKEK密文,将VKEK密文发送至请求端。而当请求端为安全设备比如IPC等,则安全视频管理平台除了将密钥管理系统返回的VKEK密文发送至请求端之外,还会进一步将上述VKEK索引发送至请求端。这里,VKEK索引应用于作为请求端的安全设备在向请求视频流的安全客户端返回的加密视频流中。下文图4会举例描述VKEK索引如何应用于加密视频流,这里暂不赘述。
至此,完成图1所示流程。
通过图1所示流程可以看出,本实施例中,通过安全视频管理平台与密钥管理系统相结合,实现密钥管理系统在请求端每次需要VKEK时动态计算请求端所需的VKEK这一非持久化方式来代替现有持久化托管请求端的密钥,提供了非持久化的密钥管理,降低视频密钥存储所带来的空间消耗和时间消耗。
下面站在密钥管理系统的角度描述本申请实施例提供的方法:
参见图3,图3为本申请实施例提供的第二方法流程图。该流程应用于上述的密钥管理系统。
如图3所示,该流程可包括以下步骤:
步骤301,密钥管理系统接收安全视频管理平台发送的VKEK请求,VKEK请求是由安全视频管理平台在确定出相连接的请求端需要VKEK时发送的;所述VKEK请求至少携带安全视频管理平台生成的用于协助密钥管理系统生成VKEK的参考参数、以及请求端对应的请求端标识。
本步骤301对应上述的步骤101。
步骤302,密钥管理系统基于本地的根密钥VEMK和所述VKEK请求携带的所述参考参数生成VKEK。
可选地,VEMK可为密钥管理系统在上电后的初始过程中得到的。
作为一个实施例,密钥管理系统基于本地的根密钥VEMK和VKEK请求携带的上述参考参数生成VKEK有很多实现方式,比如按照指定的混淆算法对VEMK和上述参考参数进行混淆运算,将运算结果确定为VKEK,或者,按照指定的密钥分散算法对VEMK和上述参考参数进行分散运算,将运算结果确定为VKEK,等等,本实施例并不具体限定。
步骤303,基于请求端标识查找到与请求端对应的公钥,采用查找到的公钥对生成的VKEK进行加密得到VKEK密文,将VKEK密文返回给所述安全视频管理平台,以由安全视频管理平台将VKEK密文发送至请求端。
在一个例子中,当请求端为安全客户端,则请求端对应的公钥可为安全客户端关联的用户所对应的公钥,当请求端为安全设备,则请求端对应的公钥可为安全设备所对应的公钥。
至此,完成图3所示流程。
通过图3所示流程实现了密钥管理系统在请求端每次需要VKEK时动态计算请求端所需的VKEK来代替现有持久化托管请求端的密钥,提供了非持久化的密钥管理,降低视频密钥存储所带来的空间消耗和时间消耗。
下面站在请求端角度描述本申请实施例提供的流程:
参见图4,图4为本申请实施例提供的第三方法流程图。该流程应用于上述的请求端。
如图4所示,该流程可包括以下步骤:
步骤401,请求端向安全视频管理平台发送用于触发VKEK生成的事件。
在本实施例中,上所述事件用于触发安全视频管理平台向密钥管理系统发送VKEK请求以由密钥管理系统基于VKEK请求生成VKEK。
可选地,上述事件是由请求端在检测出本地未存储VKEK但当前需要VKEK时发送。比如,请求端当前需要VKEK对视频流加密或者解密等。
在另一个实施例中,上述事件也可由请求端在检测出用于更新本地已存储的VKEK的触发时发送。比如,在获知本地资源发生变化比如监控点数量增加或减少等时,则确定当前检测到用于更新本地已存储的VKEK的触发。
作为一个实施例,本实施例中,请求端向安全视频管理平台发送用于触发VKEK生成的事件,而当安全视频管理平台接收到上述事件,则会执行图1所示流程,以触发密钥管理系统生成VKEK。
可选地,在本实施例中,假若请求端已存储VKEK索引,比如请求端为安全设备时,请求端有可能会在本地存储VKEK索引。在此前提下,上述事件可携带VKEK索引。而一旦安全视频管理平台接收到携带了VKEK索引的上述事件,则会先依据VKEK索引进行访问控制,比如检查VKEK索引是否在被允许访问的权限列表内、检查上述事件发生的时间是否在已设定的该VKEK索引对应的时间范围之内等等,如果否,则安全视频管理平台即使确定出相连接的请求端需要VKEK,也不会继续执行上述图1所示流程,而如果是,安全视频管理平台在确定出相连接的请求端需要VKEK,则会继续执行图1所示流程,这实现了基于VKEK索引进行的访问控制。
步骤402,请求端接收安全视频管理平台返回的VKEK信息,所述VKEK信息至少包括VKEK密文,VKEK密文是由密钥管理系统采用请求端对应的公钥对基于VKEK请求生成的VKEK进行加密得到的,依据请求端对应的私钥对VKEK密文进行解密得到VKEK。
作为一个实施例,请求端可为连接安全视频管理平台的安全设备。在此前提下,上述VKEK信息还包括:VKEK索引。其中,VKEK索引用于生成上述参考参数,该参考参数会被携带在VKEK请求,用于协助密钥管理系统生成VKEK。
基于此,作为一个实施例,当请求端为上述安全设备,则上述步骤402可进一步包括:存储上述VKEK索引和VKEK。可选地,VKEK可存储在安全设备本地内置的安全芯片中。而VKEK索引存储的位置并不具体限定。
之后,当安全设备向外传输自身采集的目标视频流时(比如向安全客户端传输目标视频流),则向外传输目标视频流对应的加密视频流。其中,加密视频流至少包括:视频加密密钥(VEK)密文、码流密文、VKEK索引。可选地,VEK密文是由安全设备使用已存储的VKEK对VEK进行加密得到的。码流密文是由安全设备使用VEK对目标视频流进行加密得到的。这里,VEK是安全设备随机生成的一个随机数。可以看出,在本实施例中,通过三级密钥结构加密目标视频流,这里提高目标视频流的安全。
作为一个实施例,请求端也可为连接安全视频管理平台的安全客户端。可选地,在上述图4所示流程之前,该方法进一步包括:安全客户端向安全设备发送视频流请求;接收安全设备返回的加密视频流(加密视频流如上描述),安全客户端在接收到所述加密视频流后确定当前需要解密加密视频流的VKEK,则返回上述图4所示流程中步骤401描述的向安全视频管理平台发送用于触发VKEK生成的事件的操作。在此前提下,该事件会携带加密视频流中所携带的VKEK索引。
基于此,在一个例子中,安全客户端在通过上述步骤402得到VKEK之后,进一步利用VKEK对VEK密文进行解密得到VEK,并利用VEK对码流密文进行解密得到上述目标视频流。
需要说明的是,在本实施例中,上述安全设备发送的加密视频流还包括:码流签名。这里,码流签名是由安全设备使用自身的签名私钥对目标视频流进行签名得到的。对应地,上述安全客户端在执行上述步骤401描述的向安全视频管理平台发送用于触发VKEK生成的事件的操作时,则会先使用安全设备的签名公钥对码流签名进行验签,若验签成功,则继续执行上述图4所示流程中步骤401描述的向安全视频管理平台发送用于触发VKEK生成的事件的操作。这里,验签的具体实现方式类似现有验签,本实施例并不具体限定。
下面通过具体实施例对本申请进行描述:
实施例1:
本实施例1以安全设备检测出用于更新本地已存储的VKEK的触发为例描述:
需要说明的是,安全设备检测出用于更新本地已存储的VKEK的触发有很多方式,比如上述的在当前时间为指定的更新时间则确定检测出用于更新本地已存储的VKEK的触发等,本实施例1以安全设备的资源发生更新作为用于更新本地已存储的VKEK的触发,具体如图5所示流程:
参见图5,图5为本申请实施例1提供的方法流程图。如图5所示,该流程可包括以下步骤:
步骤501,安全设备向安全视频监控管理平台发送资源更新消息。
可选地,安全设备在监控到自身资源比如监控点数量、音频通道数量等发生变化时,会向安全视频监控管理平台发送资源更新消息,以告知安全视频监控管理平台其资源发生更新。
步骤502,安全视频监控管理平台接收到资源更新消息后,向安全设备请求设备资源信息。
步骤503,安全设备向安全视频监控管理平台返回资源列表。
可选地,上述资源列表可包括安全设备上发生更新的资源的信息,也可包括安全设备上当前所有资源的信息,本实施例并不具体限定。
步骤504,安全视频监控管理平台在接收到资源列表后依据资源列表更新缓存中与安全设备对应的资源信息。
比如,资源列表包括安全设备上发生更新的资源的信息,则在本步骤504中,安全视频监控管理平台可将资源列表中最新资源信息覆盖缓存中已有的相对应的原资源信息。其他类似,不再一一举例。
步骤505,安全视频监控管理平台调用本地已配置的硬件密码模块生成4字节随机数作为VKEK索引,并调用硬件密码模块对安全设备的设备ID和VKEK索引进行SM3运算,取前16字节作为散列因子。
如上描述,VKEK索引可以在后续由安全设备发起,以对安全设备进行访问控制,这里不再举例描述。
步骤506,安全视频监控管理平台向密钥管理系统发送VKEK请求,VKEK请求至少携带上述散列因子。
步骤507,密钥管理系统基于本地的根密钥VEMK和VKEK请求携带的散列因子生成VKEK,并使用安全设备对应的公钥对VKEK进行SM4_ECB加密,得到VKEK密文,将VKEK密文返回给安全视频监控管理平台。
这里生成VKEK的方式如图3所示流程中的描述。
步骤508,安全视频监控管理平台接收VKEK密文,将VKEK密文和VKEK索引返回给安全设备。
步骤509,安全设备存储VKEK索引,采用对应的私钥对VKEK密文进行解密得到VKEK并将VKEK保存在内置的安全芯片中。
至此,完成图5所示流程。
通过图5所示流程实现了在安全设备的资源发生更新时如何触发密钥管理系统新生成安全设备所需的VKEK。
实施例2:
本实施例2以安全设备在采集视频流后需要对视频流进行加密以向外传输为例,其工作流程如图6所示:
参见图6,图6为本申请实施例2提供的方法流程图。如图6所示,该流程可包括:
步骤601,安全设备使用自己的签名私钥对待传输的目标视频流进行签名得到码流签名。
步骤602,安全设备使用VEK对目标视频流进行加密得到码流密文。
可选地,VEK是由安全设备使用内置的安全芯片随机生成的一个随机数。
步骤603,安全设备使用已存储的VKEK对VEK加密得到VEK密文。
步骤604,安全设备至少将VEK密文、码流签名、码流密文、已存储的VKEK索引组合成加密视频流对外传输。
至此,完成图6所示流程。
通过图6所示流程实现了安全设备在采集视频流后如何对视频流进行加密以向外传输。
实施例3:
本实施例3以安全客户端在需要目标视频流时可通过安全视频监控管理平台向安全设备发送请求,安全设备会按照如图6所示流程将加密视频流推送给安全客户端。这里,安全客户端需要目标视频流可为:当安全客户端预览/回放目标视频流时确定安全客户端需要目标视频流。
当安全客户端接收到加密视频流后,则执行下文图7所示流程:
参见图7,图7为本申请实施例3提供的方法流程图。如图7所示,该流程可包括以下步骤:
步骤701,安全客户端解析加密视频流,获取VEK密文、VKEK索引、码流密文、码流签名,使用安全设备对应的签名公钥对码流签名验签。若验签成功则执行步骤702,否则,结束当前流程。
步骤702,安全客户端向安全视频监控管理平台发送用于触发VKEK生成的事件。
可选地,上述事件携带用户ID,码流所属安全设备的设备ID,VKEK索引。在一个例子中,安全视频监控管理平台会先依据VKEK索引进行访问控制,比如检查VKEK索引是否在被允许访问的权限列表内、检查事件的接收时间是否在已设定的该VKEK索引对应的时间范围之内等等,如果否,则结束当前流程,否则,执行步骤703。
步骤703,安全视频监控管理平台调用本地已配置的硬件密码模块对上述事件携带的设备ID和VKEK索引进行SM3运算,取前16字节作为散列因子,并向密钥管理系统发送VKEK请求,VKEK请求至少携带上述散列因子。
步骤704,密钥管理系统基于本地的根密钥VEMK和VKEK请求携带的所述散列因子生成VKEK,并使用安全客户端对应的加密公钥对VKEK进行SM4_ECB加密,得到VKEK密文,将VKEK密文返回给安全视频监控管理平台。
步骤705,安全视频监控管理平台接收VKEK密文,将VKEK密文返回给安全客户端。
步骤706,安全客户端依据对应的私钥对VKEK密文进行解密得到VKEK,利用VKEK对VEK密文进行解密得到VEK,并利用VEK对码流密文进行解密得到上述目标视频流。
具体地,安全客户端可使用智能密码钥匙并根据安全客户端对应的私钥直接导入VKEK密文,得到VKEK,并使用VKEK解密VEK密文(SM4_ECB),得到VEK。最终再使用智能密码钥匙并根据VEK解密码流密文(SM1_OFB)得到目标视频流。
至此,完成图7所示流程。
以上对本申请提供的方法进行了描述,下面对本申请提供的装置进行描述:
参见图8,图8为本申请实施例提供的第一装置结构图。该装置应用于安全视频管理平台。该装置用于执行上述图1所示流程。
如图8所示,该装置可包括:
VKEK请求单元,用于当确定出相连接的请求端需要VKEK时,确定用于协助所述密钥管理系统生成VKEK的参考参数,将参考参数携带在VKEK请求并向所述密钥管理系统发送,以触使密钥管理系统基于VKEK请求携带的所述参考参数和所述密钥管理系统本地的根密钥VEMK生成请求端所需的VKEK;所述VKEK请求还携带所述请求端对应的请求端标识ID,所述请求端标识用于使所述密钥管理系统在生成所述VKEK后基于所述请求端标识查找到与所述请求端对应的公钥并依据所述公钥加密生成的VKEK;
VKEK密文接收单元,用于接收所述密钥管理系统返回的VKEK密文,所述VKEK密文是由所述密钥管理系统使用所述公钥对基于本地根密钥VEMK和所述参考参数生成的VKEK进行加密得到;
VKEK密文发送单元,用于将所述VKEK密文发送至所述请求端。
可选地,VKEK请求单元确定出相连接的请求端需要VKEK包括:
当检测到所述请求端向安全视频管理平台发送的用于触发视频密钥加密密钥VKEK生成的事件时,确定相连接的所述请求端需要VKEK;其中,所述事件是由所述请求端在检测出本地未存储VKEK但当前需要VKEK时发送,或者是由所述请求端在检测出用于更新本地已存储的VKEK的触发时发送;或者,
当所述请求端通过所述安全视频管理平台的认证或者当所述请求端和所述安全视频管理平台完成双向认证时,确定出相连接的请求端需要VKEK。
可选地,VKEK请求单元确定出用于协助所述密钥管理系统生成VKEK的参考参数包括:
确定用于协助生成所述参考参数的VKEK索引;
按照指定算法对所述请求端标识与所述VKEK索引进行运算,依据运算结果确定散列因子,将所述散列因子确定为所述参考参数。
可选地,所述请求端为连接所述安全视频管理平台的安全设备;
所述VKEK索引为当前随机生成的随机数或者为当前按照预先定义的VKEK索引确定方式确定的,针对同一请求端在不同时刻确定的VKEK索引不同;
VKEK密文发送单元将所述VKEK密文发送至所述请求端进一步包括:将所述VKEK索引发送至所述安全设备;所述VKEK索引应用于所述安全设备向请求视频流的安全客户端返回的加密视频流中。
可选地,所述请求端为连接所述安全视频管理平台的安全客户端;所述安全客户端在当前需要解密来自安全设备的加密视频流时向所述安全视频管理平台发送用于触发VKEK生成的事件,所述事件携带所述加密视频流所携带的目标VKEK索引;
VKEK请求单元确定用于协助生成所述参考参数的VKEK索引包括:将所述目标VKEK索引确定为所述用于协助生成所述参考参数的VKEK索引。
至此,完成图8所示装置的结构描述。
参见图9,图9为本申请实施例提供的第二装置结构图。该装置应用于密钥管理系统。该装置用于执行上述图3所示流程。
VKEK请求接收单元,用于接收所述安全视频管理平台发送的VKEK请求,所述VKEK请求是由所述安全视频管理平台在确定出相连接的请求端需要VKEK时发送的;所述VKEK请求至少携带所述安全视频管理平台生成的用于协助所述密钥管理系统生成VKEK的参考参数、以及所述请求端对应的请求端标识ID;
VKEK处理单元,用于基于本地的根密钥VEMK和所述VKEK请求携带的所述参考参数生成VKEK;基于所述请求端标识查找到与所述请求端对应的公钥,采用所述公钥对生成的VKEK进行加密得到VKEK密文,将所述VKEK密文返回给所述安全视频管理平台,以由所述安全视频管理平台将所述VKEK密文发送至所述请求端。
可选地,上述根密钥VEMK为密钥管理系统在初始化过程得到。
参见图10,图10为本申请实施例提供的第三装置结构图。该装置应用于请求端。该装置对应图4所示流程。
如图10所示,该装置可包括:
事件单元,用于向安全视频管理平台发送用于触发视频密钥加密密钥VKEK生成的事件,所述事件是由所述请求端在检测出本地未存储VKEK但当前需要VKEK时发送,或者是由所述请求端在检测出用于更新本地已存储的VKEK的触发时发送;所述事件用于触发所述安全视频管理平台向所述密钥管理系统发送视频密钥加密密钥VKEK请求以由所述密钥管理系统基于所述VKEK请求生成VKEK;
VKEK单元,用于接收所述安全视频管理平台返回的VKEK信息,所述VKEK信息至少包括VKEK密文,所述VKEK密文是由所述密钥管理系统采用所述请求端对应的公钥对基于所述VKEK请求生成的VKEK进行加密得到的;依据所述请求端对应的私钥对所述VKEK密文进行解密得到所述VKEK。
可选地,请求端为连接所述安全视频管理平台的安全设备;所述VKEK信息还包括:在所述安全视频管理平台发送所述VKEK请求之前基于所述事件确定的VKEK索引,所述VKEK索引用于生成参考参数,所述参考参数被携带在VKEK请求,用于协助所述密钥管理系统生成VKEK;VKEK单元还用于:
存储所述VKEK索引和所述VKEK;
当向外传输采集的目标视频流时,则向外传输所述目标视频流对应的加密视频流;所述加密视频流至少包括:视频加密密钥VEK密文、码流密文、VKEK索引;其中,所述VEK密文是由所述安全设备使用已存储的VKEK对VEK进行加密得到的,所述码流密文是由所述安全设备使用VEK对目标视频流进行加密得到的,所述VEK是所述安全设备随机生成的。
可选地,所述请求端为连接所述安全视频管理平台的安全客户端;
VKEK单元进一步用于向安全设备发送视频流请求;接收所述安全设备返回的加密视频流;所述加密视频流至少包括:VEK密文、码流密文、VKEK索引;其中,所述VEK密文是由所述安全设备使用已存储的VKEK对VEK进行加密得到的,所述码流密文是由所述安全设备使用VEK对目标视频流进行加密得到的,所述VEK是所述安全设备随机生成的;在接收到所述加密视频流后确定当前需要解密所述加密视频流的VKEK,则返回触发上述事件单元向所述安全视频管理平台发送用于触发VKEK生成的事件的操作;所述事件携带所述VKEK索引;
VKEK单元在得到所述VKEK之后,进一步利用所述VKEK对所述VEK密文进行解密得到VEK,并利用所述VEK对所述码流密文进行解密得到所述目标视频流。
至此,完成图10所示装置的结构图。
本申请实施例还提供了图8至图10所示装置的硬件结构。参见图11,图11为本申请实施例提供的电子设备结构图。如图11所示,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种安全视频物联网密钥管理方法,其特征在于,该方法应用于安全视频管理平台,所述安全视频管理平台连接密钥管理系统,该方法包括:
当确定出相连接的请求端需要视频密钥加密密钥VKEK时,确定用于协助所述密钥管理系统生成VKEK的参考参数,将所述参考参数携带在VKEK请求并向所述密钥管理系统发送,以触使所述密钥管理系统基于所述VKEK请求携带的所述参考参数和所述密钥管理系统本地的根密钥VEMK生成所述请求端所需的VKEK;所述VKEK请求还携带所述请求端对应的请求端标识ID,所述请求端标识用于使所述密钥管理系统在生成所述VKEK后基于所述请求端标识查找到与所述请求端对应的公钥并依据所述公钥加密生成的VKEK;所述参考参数通过以下方式确定:确定用于协助生成所述参考参数的VKEK索引;按照指定算法对所述请求端标识与所述VKEK索引进行运算,依据运算结果确定散列因子,将所述散列因子确定为所述参考参数;
接收所述密钥管理系统返回的VKEK密文,所述VKEK密文是由所述密钥管理系统使用所述公钥对基于本地根密钥VEMK和所述参考参数生成的VKEK进行加密得到;
将所述VKEK密文发送至所述请求端。
2.根据权利要求1所述的方法,其特征在于,所述确定出相连接的请求端需要VKEK包括:
当检测到所述请求端向安全视频管理平台发送的用于触发视频密钥加密密钥VKEK生成的事件时,确定相连接的所述请求端需要VKEK;其中,所述事件是由所述请求端在检测出本地未存储VKEK但当前需要VKEK时发送,或者是由所述请求端在检测出用于更新本地已存储的VKEK的触发时发送;或者,
当所述请求端通过所述安全视频管理平台的认证或者当所述请求端和所述安全视频管理平台完成双向认证时,确定出相连接的请求端需要VKEK。
3.根据权利要求1所述的方法,其特征在于,所述请求端为连接所述安全视频管理平台的安全设备;
所述VKEK索引为当前随机生成的随机数或者为当前按照预先定义的VKEK索引确定方式确定的,针对同一请求端在不同时刻确定的VKEK索引不同;
所述将所述VKEK密文发送至所述请求端进一步包括:将所述VKEK索引发送至所述安全设备;所述VKEK索引应用于所述安全设备向请求视频流的安全客户端返回的加密视频流中。
4.根据权利要求1所述的方法,其特征在于,所述请求端为连接所述安全视频管理平台的安全客户端;所述安全客户端在当前需要解密来自安全设备的加密视频流时向所述安全视频管理平台发送用于触发VKEK生成的事件,所述事件携带所述加密视频流所携带的目标VKEK索引;
所述确定用于协助生成所述参考参数的VKEK索引包括:将所述目标VKEK索引确定为所述用于协助生成所述参考参数的VKEK索引。
5.一种安全视频物联网密钥管理方法,其特征在于,该方法应用于密钥管理系统,所述密钥管理系统连接安全视频管理平台,包括:
接收所述安全视频管理平台发送的视频密钥加密密钥VKEK请求,所述VKEK请求是由所述安全视频管理平台在确定出相连接的请求端需要VKEK时发送的;所述VKEK请求至少携带所述安全视频管理平台生成的用于协助所述密钥管理系统生成VKEK的参考参数、以及所述请求端对应的请求端标识ID;所述参考参数通过以下步骤确定:确定用于协助生成所述参考参数的VKEK索引;按照指定算法对所述请求端标识与所述VKEK索引进行运算,依据运算结果确定散列因子,将所述散列因子确定为所述参考参数;
基于本地的根密钥VEMK和所述VKEK请求携带的所述参考参数生成VKEK;
基于所述请求端标识查找到与所述请求端对应的公钥,采用所述公钥对生成的VKEK进行加密得到VKEK密文,将所述VKEK密文返回给所述安全视频管理平台,以由所述安全视频管理平台将所述VKEK密文发送至所述请求端。
6.一种安全视频物联网密钥管理方法,其特征在于,该方法应用于请求端,该方法包括:
向安全视频管理平台发送用于触发视频密钥加密密钥VKEK生成的事件,所述事件是由所述请求端在检测出本地未存储VKEK但当前需要VKEK时发送,或者是由所述请求端在检测出用于更新本地已存储的VKEK的触发时发送;所述事件用于触发所述安全视频管理平台向密钥管理系统发送视频密钥加密密钥VKEK请求以由所述密钥管理系统基于所述VKEK请求生成VKEK;
接收所述安全视频管理平台返回的VKEK信息,所述VKEK信息至少包括VKEK密文,所述VKEK密文是由所述密钥管理系统采用所述请求端对应的公钥对基于所述VKEK请求生成的VKEK进行加密得到的;当所述请求端为连接所述安全视频管理平台的安全设备时,所述VKEK信息还包括:在所述安全视频管理平台发送所述VKEK请求之前基于所述事件确定的VKEK索引,所述VKEK索引用于生成参考参数,所述参考参数被携带在VKEK请求,用于协助所述密钥管理系统生成VKEK;所述参考参数通过以下方式确定:确定用于协助生成所述参考参数的VKEK索引;按照指定算法对所述请求端标识与所述VKEK索引进行运算,依据运算结果确定散列因子,将所述散列因子确定为所述参考参数;
依据所述请求端对应的私钥对所述VKEK密文进行解密得到所述VKEK。
7.根据权利要求6所述的方法,其特征在于,当所述请求端为连接所述安全视频管理平台的安全设备时,该方法还包括:
存储所述VKEK索引和所述VKEK;
当向外传输采集的目标视频流时,则向外传输所述目标视频流对应的加密视频流;所述加密视频流至少包括:视频加密密钥VEK密文、码流密文、VKEK索引;其中,所述VEK密文是由所述安全设备使用已存储的VKEK对VEK进行加密得到的,所述码流密文是由所述安全设备使用VEK对目标视频流进行加密得到的,所述VEK是所述安全设备随机生成的。
8.根据权利要求6或7所述的方法,其特征在于,当所述请求端为连接所述安全视频管理平台的安全客户端时,该方法之前进一步包括:向安全设备发送视频流请求;接收所述安全设备返回的加密视频流;所述加密视频流至少包括:视频加密密钥VEK密文、码流密文、VKEK索引;其中,所述VEK密文是由所述安全设备使用已存储的VKEK对VEK进行加密得到的,所述码流密文是由所述安全设备使用VEK对目标视频流进行加密得到的,所述VEK是所述安全设备随机生成的;在接收到所述加密视频流后确定当前需要解密所述加密视频流的VKEK,则返回向所述安全视频管理平台发送用于触发视频密钥加密密钥VKEK生成的事件的操作;所述事件携带所述VKEK索引;
在得到所述VKEK之后,该方法进一步包括:利用所述VKEK对所述VEK密文进行解密得到VEK,并利用所述VEK对所述码流密文进行解密得到所述目标视频流。
9.一种安全视频物联网密钥管理系统,其特征在于,该系统包括:请求端、安全视频管理平台、密钥管理系统;
其中,所述请求端用于执行如权利要求6至8任一所述的方法;
所述安全视频管理平台用于执行如权利要求1至4任一所述的方法;
所述密钥管理系统用于执行如权利要求5所述的方法。
10.一种电子设备,其特征在于,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现权利要求1-8任一项的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110720389.7A CN113259722B (zh) | 2021-06-28 | 2021-06-28 | 一种安全视频物联网密钥管理方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110720389.7A CN113259722B (zh) | 2021-06-28 | 2021-06-28 | 一种安全视频物联网密钥管理方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113259722A CN113259722A (zh) | 2021-08-13 |
CN113259722B true CN113259722B (zh) | 2021-11-23 |
Family
ID=77189955
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110720389.7A Active CN113259722B (zh) | 2021-06-28 | 2021-06-28 | 一种安全视频物联网密钥管理方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113259722B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114554286B (zh) * | 2021-12-09 | 2023-12-15 | 武汉众智数字技术有限公司 | 一种基于gb35114的音视频数据处理方法及系统 |
CN117134914B (zh) * | 2023-10-26 | 2024-01-30 | 山东山大鸥玛软件股份有限公司 | 一种基于硬件特征的一次一密的随机秘钥流式加密算法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104113409A (zh) * | 2014-07-23 | 2014-10-22 | 中国科学院信息工程研究所 | 一种sip视频监控联网系统的密钥管理方法及系统 |
CN104270614A (zh) * | 2014-10-16 | 2015-01-07 | 浙江宇视科技有限公司 | 一种视频加密解密方法及装置 |
CN108174151A (zh) * | 2017-12-27 | 2018-06-15 | 北京计算机技术及应用研究所 | 视频监控系统及控制方法、视频信息的调用方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11496713B2 (en) * | 2019-10-08 | 2022-11-08 | Eaton Intelligent Power Limited | Systems and method for managing remote display of video streams |
CN111786778A (zh) * | 2020-06-12 | 2020-10-16 | 视联动力信息技术股份有限公司 | 一种密钥更新的方法和装置 |
-
2021
- 2021-06-28 CN CN202110720389.7A patent/CN113259722B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104113409A (zh) * | 2014-07-23 | 2014-10-22 | 中国科学院信息工程研究所 | 一种sip视频监控联网系统的密钥管理方法及系统 |
CN104270614A (zh) * | 2014-10-16 | 2015-01-07 | 浙江宇视科技有限公司 | 一种视频加密解密方法及装置 |
CN108174151A (zh) * | 2017-12-27 | 2018-06-15 | 北京计算机技术及应用研究所 | 视频监控系统及控制方法、视频信息的调用方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113259722A (zh) | 2021-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111010410B (zh) | 一种基于证书身份认证的拟态防御系统及证书签发方法 | |
CN112688784B (zh) | 一种数字签名、验证方法、装置及系统 | |
US9985782B2 (en) | Network bound decryption with offline encryption | |
CN106487743B (zh) | 用于支持多用户集群身份验证的方法和设备 | |
CN113691502B (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
CN111435913B (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
JP2019522412A (ja) | 登録・認可方法、装置及びシステム | |
CN112311537B (zh) | 基于区块链的设备接入认证系统及方法 | |
CN109478214B (zh) | 用于证书注册的装置和方法 | |
CN109921902B (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
EP3462747A1 (en) | Security device for providing security function for image, camera device including the same, and system on chip for controlling the camera device | |
JP2021511743A (ja) | Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体 | |
CN113259722B (zh) | 一种安全视频物联网密钥管理方法、装置和系统 | |
JP2010514000A (ja) | 電子装置にプログラム状態データをセキュアに記憶するための方法 | |
CN112565265B (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
JP2020532928A (ja) | デジタル署名方法、装置及びシステム | |
CN112073467A (zh) | 基于区块链的数据传输方法、装置、存储介质及电子设备 | |
CN112887282A (zh) | 一种身份认证方法、装置、系统及电子设备 | |
CN113572791B (zh) | 一种视频物联网大数据加密服务方法、系统及装置 | |
CN112669104B (zh) | 租赁设备的数据处理方法 | |
CN109005184A (zh) | 文件加密方法及装置、存储介质、终端 | |
CN106789963B (zh) | 非对称白盒密码加密方法和装置及设备 | |
CN111107550A (zh) | 5g终端设备双通道接入注册方法、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |