发明内容
本发明实施例提供一种视频数据加密系统,以解决目前电力供电网络中摄像头被非法控制以及视频数据被篡改、泄露的问题。
本发明实施例提供了一种视频数据加密系统,包括:摄像头、IPSec VPN设备、IPSec VPN网关以及视频监控平台,所述摄像头与所述IPSec VPN设备连接,所述视频监控平台与所述IPSec VPN网关连接,所述IPSec VPN设备与所述IPSec VPN网关通过IP网络连接;
所述IPSec VPN设备和所述IPSec VPN网关用于建立加密隧道并为所述加密隧道添加保护策略,以及基于所述加密隧道和所述保护策略传输加密后的视频数据。
可选地,所述IPSec VPN设备包括:
第一加密隧道添加模块,用于添加第一加密隧道,所述第一加密隧道的一端的IP地址为所述IPSec VPN设备的IP地址,所述第一加密隧道的另一端的IP地址为所述IPSecVPN网关的IP地址;
第一保护策略添加模块,用于为所述第一加密隧道添加第一保护策略,所述第一保护策略为:通过所述第一加密隧道所发送的数据的源地址为所述摄像头的IP地址,目的IP地址为所述视频监控平台的IP地址。
可选地,所述IPSec VPN网关包括:
第二加密隧道添加模块,用于添加第二加密隧道,所述第二加密隧道的一端的IP地址为所述IPSec VPN网关的IP地址,所述第二加密隧道的另一端的IP地址为所述IPSecVPN设备的IP地址;
第二保护策略添加模块,用于为所述第二加密隧道添加第二保护策略,所述第二保护策略为:通过所述第二加密隧道所发送的数据的源地址为所述视频监控平台的IP地址,目的IP地址为所述摄像头的IP地址。
可选地,所述IPSec VPN设备和所述IPSec VPN网关还包括:
会话模块,用于进行会话密钥协商生成会话密钥。
可选地,还包括客户端,所述IPSec VPN网关还包括:
视频数据拉取请求接收模块,用于接收所述视频监控平台发送的视频数据拉取请求,所述视频数据拉取请求为所述视频监控平台接收到所述客户端的请求后所生成并发送到所述IPSec VPN网关,所述视频数据拉取请求包括视频监控平台的IP地址和摄像头的目的IP地址;
第一校验模块,用于校验所述数据拉取请求中的所述视频监控平台的IP地址和所述摄像头的目的IP地址是否与所述第二加密隧道的所述第二保护策略相匹配;
第一数据包加密模块,用于在所述第一校验模块的校验结果为匹配时,根据预设的会话密钥对所述视频数据拉取请求进行加密得到第一数据包;
第一数据包发送模块,用于将所述第一数据包通过所述第二加密隧道发送到所述摄像头的目的IP地址关联的IPSec VPN设备。
可选地,所述IPSec VPN设备还包括:
第一数据包接收模块,用于从所述第二加密隧道接收所述IPSec VPN网关发送的所述第一数据包;
第一数据包解密模块,用于根据所述会话密钥对所述第一数据包解密得到所述视频监控平台的IP地址和所述摄像头的目的IP地址;
第二校验模块,用于校验所述视频监控平台的IP地址和所述摄像头的目的IP地址是否与所述第二加密隧道的所述第二保护策略相匹配;
第一数据包转发模块,用于在所述第二校验模块的校验结果为匹配时,将解密后的第一数据包转发到所述目的IP地址所指向的摄像头。
可选地,所述IPSec VPN设备还包括:
视频数据接收模块,用于接收所述摄像头发送的视频数据,所述视频数据为所述摄像头接收到所述第一数据包后所确定的数据,所述视频数据包括视频监控平台的目的IP地址和摄像头的IP地址;
第三校验模块,用于校验所述视频监控平台的目的IP地址和所述摄像头的IP地址是否与所述第一加密隧道的所述第一保护策略相匹配;
第二数据包加密模块,用于在第三校验模块的校验结果为匹配时,根据所述会话密钥对所述视频数据进行加密得到第二数据包;
第二数据包发送模块,用于将所述第二数据包通过所述第一加密隧道发送到所述视频监控平台的目的IP地址关联的IPSec VPN网关。
可选地,所述IPSec VPN网关还包括:
第二数据包接收模块,用于从所述第一加密隧道接收所述IPSec VPN设备发送的所述第二数据包;
第二数据包解密模块,用于根据所述会话密钥对所述第二数据包解密得到所述视频监控平台的目的IP地址和所述摄像头的IP地址;
第四校验模块,用于校验所述视频监控平台的目的IP地址和所述摄像头的IP地址是否与所述第一加密隧道的所述第一保护策略相匹配;
第二数据包转发模块,用于在所述第四校验模块的校验结果为匹配时,将解密后的第二数据包转发到所述视频监控平台的目的IP地址所指向的视频监控平台。
可选地,所述IPSec VPN设备和所述IPSec VPN网关还包括:
系统时间设置模块,用于设置IPSec VPN设备和所述IPSec VPN网关的系统时间;
证书请求模块,用于向证书系统发送证书请求;
证书导入模块,用于接收所述证书系统返回的证书文件并导入所述证书文件;
可选地,所述IPSec VPN设备和所述IPSec VPN网关还包括:
网络配置模块,用于配置所述IPSec VPN设备和所述IPSec VPN网关之间的网络以建立IP网络连接。
本发明实施例的视频数据加密系统设置有IPSec VPN设备和IPSec VPN网关,摄像头与IPSec VPN设备连接,视频监控平台与IPSec VPN网关连接,IPSec VPN设备与IPSecVPN网关通过IP网络连接,IPSec VPN设备和IPSec VPN网关用于建立加密隧道并为加密隧道添加保护策略,以及基于加密隧道和保护策略传输加密后的视频数据,从而可以避免摄像头被非法控制以及视频数据被泄露和篡改,保证了视频数据的安全。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例提供的一种视频数据加密系统的结构示意图,本发明实施例的视频数据加密系统用于保护视频数据的传输安全。如图1所示,本发明实施例的视频数据加密系统包括摄像头10、IPSec VPN设备20、IPSec VPN网关30以及视频监控平台40。
其中,摄像头10与IPSec VPN设备20连接,视频监控平台40与IPSec VPN网关30连接,IPSec VPN设备20与IPSec VPN网关30通过IP网络连接,其中,IPSec VPN设备20和IPSecVPN网关30用于建立加密隧道并为加密隧道添加保护策略,以及基于加密隧道和保护策略传输加密后的视频数据。
具体地,IPSec VPN设备20可以通过以太网接口1与IP网络连接,通过以太网接口2与一个或者多个摄像头10连接,IPSec VPN网关30通过以太网接口1与IP网络连接,通过以太网接口2与一个或者多个视频监控平台40连接,IPSec VPN网关30可以通过IP网络与一个或者多个IPSec VPN设备20连接。
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,使用隧道传递的数据可以是不同协议的数据包,隧道协议将其他协议的数据包重新封装在新的包头中发送,新的包头提供了路由信息,从而使封装的数据能够通过互联网络传递,被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
具体到本发明实施例中,IPSec VPN设备20中添加加密隧道,该加密隧道的一端的通信地址是IPSec VPN设备20的IP地址,目的地址为IPSec VPN网关30的IP地址,IPSec VPN网关30中为每台与之连接的IPSec VPN设备20添加加密隧道,该加密隧道的一端的通信地址是IPSec VPN网关30的IP地址,目的地址为IPSec VPN设备20的IP地址,对于IPSec VPN设备20添加的加密隧道,其保护策略可以是:通过该加密隧道所发送的数据的源地址为摄像头10的IP地址,目的IP地址为视频监控平台40的IP地址,对于IPSec VPN网关30添加的加密隧道,其保护策略可以是:通过该加密隧道所发送的数据的源地址为视频监控平台40的IP地址,目的IP地址为摄像头10的IP地址。通过设置加密隧道两端的IP地址,以及设置保护策略中源地址和目的IP地址,并且数据经过加密,非授权人员无法获得摄像头的IP地址,无法通过IPSec VPN设备控制摄像头以及从摄像头拉取视频数据,即通过IPSec VPN设备将摄像头隔离在IP网络之外,授权获得摄像头IP地址的人员才可以控制摄像头以及从摄像头拉取数据,攻击者无法通过IP网络找到摄像头来控制摄像头,并且需要通过IPSec VPN设备和IPSec VPN网关所建立的加密隧道和保护策略检验通过后控制摄像头以及拉取摄像头的视频数据,视频数据不会被窃取和篡改,保证了视频数据的安全。
本发明实施例的视频数据加密系统设置有IPSec VPN设备和IPSec VPN网关,摄像头与IPSec VPN设备连接,视频监控平台与IPSec VPN网关连接,IPSec VPN设备与IPSecVPN网关通过IP网络连接,IPSec VPN设备和IPSec VPN网关用于建立加密隧道并为加密隧道添加保护策略,以及基于加密隧道和保护策略传输加密后的视频数据,从而可以避免摄像头被非法控制以及视频数据被泄露和篡改,保证了视频数据的安全。
实施例二
如图2所示为本发明实施例二的一种IPSec VPN设备的结构示意图,如图3所示为本发明实施例二的一种IPSec VPN网关的结构示意图,本发明实施例在实施例一的基础上进行优化,如图2所示,本发明实施例的IPSec VPN设备20包括第一加密隧道添加模块201和第一保护策略添加模块202,其中,第一加密隧道添加模块201用于添加第一加密隧道,该第一加密隧道的一端的IP地址为IPSec VPN设备20的IP地址,第一加密隧道的另一端的IP地址为IPSec VPN网关30的IP地址,第一保护策略添加模块202用于为第一加密隧道添加第一保护策略,该第一保护策略为:通过第一加密隧道所发送的数据的源地址为摄像头10的IP地址,目的IP地址为视频监控平台40的IP地址。
同理,如图3所示,IPSec VPN网关30包括第二加密隧道添加模块301和第二保护策略添加模块302,第二加密隧道添加模块301用于添加第二加密隧道,该第二加密隧道的一端的IP地址为IPSec VPN网关30的IP地址,第二加密隧道的另一端的IP地址为IPSec VPN设备20的IP地址,第二保护策略添加模块302用于为第二加密隧道添加第二保护策略,第二保护策略为:通过第二加密隧道所发送的数据的源地址为视频监控平台40的IP地址,目的IP地址为摄像头10的IP地址。
需要说明的是,添加加密隧道可以是建立设备到设备的链路的连接关系,如建立设备到设备的IP地址映射表,添加保护策略可以是每条加密隧道允许传输的数据包的源地址和目的地址的对应关系,示例性地,假设IPSec VPN设备A与IPSec VPN网关B建立了加密隧道C,则该加密隧道C一端地址为IPSec VPN设备A的IP地址,另一端为IPSec VPN网关B的IP地址,即只有IPSec VPN设备A与IPSec VPN网关B可以使用该加密隧道C来传输数据包,并且在设置数据包从IPSec VPN设备A发送到IPSec VPN网关B的保护策略后,所发送的数据的源地址为与IPSec VPN设备A连接的摄像头的IP地址,目的地址为与IPSec VPN网关B连接的视频监控平台的IP地址时才符合该加密隧道C的保护策略。
当然,IPSec VPN设备20和IPSec VPN网关30还包括系统时间设置模块、证书请求模块、证书导入模块、网络配置模块以及会话模块,即IPSec VPN设备20和IPSec VPN网关30均包括上述模块。
其中,系统时间设置模块用于设置IPSec VPN设备20和IPSec VPN网关30的系统时间,证书请求模块用于向证书系统发送证书请求,证书导入模块用于接收证书系统返回的证书文件并导入证书文件,网络配置模块用于配置IPSec VPN设备20和IPSec VPN网关30之间的网络以建立IP网络连接,会话模块用于进行会话密钥协商生成会话密钥,以通过会话密钥来对数据进行加密和解密。
示例性地,IPSec VPN设备20和IPSec VPN网关30配置流程如下:
S1、IPSec VPN设备20和/或IPSec VPN网关30通过各自的系统时间设置模块设置系统时间,确保IPSec VPN设备20和/或IPSec VPN网关30的时间统一为同一时间。
S2、IPSec VPN设备20和/或IPSec VPN网关30通过各自的证书请求模块生成PCK#10标准的证书请求文件并发送给CA证书系统。
S3、IPSec VPN设备20和/或IPSec VPN网关30通过各自的证书导入模块接收CA证书系统返回的证书并导入到本地,该证书可以包括嵌入式IPSec VPN设备20和/或IPSecVPN网关30的签名证书、加密证书、CA根证书。
S4、IPSec VPN设备20和IPSec VPN网关30通过各自的网络配置模块配置网络,以使得IPSec VPN设备20和IPSec VPN网关30之间能够相互ping通,相互ping通可以是指通过IPSec VPN设备20和IPSec VPN网关30配置网络设备里的ping指令调测网络的可达性,当IPSec VPN设备20ping IPSec VPN网关30时能够返回正确网络时延信息即为ping通,返之亦可。
S5、IPSec VPN设备20通过第一加密隧道添加模添加第一加密隧道,第一加密隧道一端为IPSec VPN设备20的IP地址,另一端为IPSec VPN网关30的IP地址,同理,在IPSecVPN网关30中,通过第二加密隧道添加模为每台连接的IPSec VPN设备20添加对应的第二加密隧道,该第二加密隧道一端为IPSec VPN网关30的IP地址,另一端为IPSec VPN设备20的IP地址。
S6、在IPSec VPN设备20中通过第一保护策略添加模块在第一加密隧道中添加第一保护策略,第一保护策略为摄像头10的IP地址到视频监控平台40的IP地址,在IPSec VPN网关30中通过第二保护策略添加模块在每条第二加密隧道中添加第二保护策略,第二保护策略为视频监控平台40的IP地址到对应摄像头10的IP地址。
如图2和图3所示,视频数据加密系统还包括客户端50,IPSec VPN网关30还包括视频数据拉取请求接收模块303、第一校验模块304、第一数据包加密模块305、第一数据包发送模块306、第二数据包接收模块307、第二数据包解密模块308、第四校验模块309以及第二数据包转发模块310,IPSec VPN设备20还包括第一数据包接收模块203、第一数据包解密模块204、第二校验模块205、第一数据包转发模块206、视频数据接收模块207、第三校验模块208、第二数据包加密模块209以及第二数据包发送模块210。
其中,客户端50可以是用于提供人机交互界面以控制摄像头10或者从摄像头10拉取视频数据的设备,当用户在客户端50上选择摄像头10以控制摄像头10或者从摄像头10拉取视频数据时,视频监控平台40接收到客户端50的请求后生成视频数据拉取请求发送到IPSec VPN网关30,在IPSec VPN网关30中,视频数据拉取请求接收模块303用于接收视频监控平台40发送的视频数据拉取请求,该视频数据拉取请求包括视频监控平台40的IP地址和摄像头10的目的IP地址,第一校验模块304用于校验视频数据拉取请求中的视频监控平台40的IP地址和摄像头10的目的IP地址是否与第二加密隧道的第二保护策略相匹配,即校验视频监控平台40的IP地址是否是IPSec VPN网关30到IPSec VPN设备20的加密隧道的保护策略中的源地址,校验摄像头10的IP地址是否是IPSec VPN网关30到IPSec VPN设备20的加密隧道的保护策略中的目的地址,若是则说明校验结果为匹配,否则可以忽略该视频数据拉取请求,确定为非法请求。第一数据包加密模块305在第一校验模块304的校验结果为匹配时,根据预设的会话密钥对视频数据拉取请求进行加密得到第一数据包,第一数据包发送模块306将第一数据包通过第二加密隧道发送到摄像头10的目的IP地址关联的IPSecVPN设备20。
在IPSec VPN网关30将第一数据包通过第二加密隧道发送到IPSec VPN设备20后,在IPSec VPN设备20中,第一数据包接收模块203用于从第二加密隧道接收IPSec VPN网关30发送的第一数据包,第一数据包解密模块204用于根据会话密钥对第一数据包解密得到视频监控平台40的IP地址和摄像头10的目的IP地址,第二校验模块205用于校验视频监控平台40的IP地址和摄像头10的目的IP地址是否与第二加密隧道的第二保护策略相匹配,第一数据包转发模块206在第二校验模块205的校验结果为匹配时,将解密后的第一数据包转发到目的IP地址所指向的摄像头10,具体检验过程见上述第一校验模块304的检验过程,在此不再详述。
IPSec VPN设备20将第一数据包发送给摄像头10后,摄像头10在接收到第一数据包后即为接收到视频数据拉取请求,摄像头10响应该视频数据拉取请求获取视频数据,如采集视频数据或者读取存储的历史视频数据,将视频数据发送到IPSec VPN设备20,IPSecVPN设备20中视频数据接收模块207用于接收到摄像头10发送的视频数据,该视频数据包括视频监控平台的目的IP地址和摄像头的IP地址,第三校验模块208用于校验视频监控平台的目的IP地址和摄像头的IP地址是否与第一加密隧道的第一保护策略相匹配,第二数据包加密模块209用于在第三校验模块208的校验结果为匹配时,根据会话密钥对视频数据进行加密得到第二数据包,第二数据包发送模块210用于将第二数据包通过第一加密隧道发送到视频监控平台40的目的IP地址关联的IPSec VPN网关30。
在IPSec VPN设备20将第二数据包发送给IPSec VPN网关30后,在IPSec VPN网关30中,第二数据包接收模块307用于从第一加密隧道接收IPSec VPN设备20发送的第二数据包,第二数据包解密模块308用于根据会话密钥对第二数据包解密得到视频监控平台40的目的IP地址和摄像头10的IP地址,第四校验模块309用于校验视频监控平台40的目的IP地址和摄像头10的IP地址是否与第一加密隧道的第一保护策略相匹配,第二数据包转发模块310用于在第四校验模块的校验结果为匹配时,将解密后的第二数据包转发到视频监控平台40的目的IP地址所指向的视频监控平台40。
示例性地,IPSec VPN设备20和IPSec VPN网关30视频数据加密传输流程如下:
S10、用户在客户端选择需要拉取视频数据的摄像头,生成请求发送到视频监控平台;
S20、视频监控平台接收到客户端请求后生成视频数据拉取请求发送到IPSec VPN网关,该视频数据拉取请求中包括摄像头的IP地址;
S30、IPSec VPN网关将视频数据拉取请求打包为ESP加密包1,并根据ESP加密包1的目的IP地址(摄像头的IP地址)选择摄像头对应的IPSec VPN设备的IP地址,并对IPSecVPN网关的IP地址和IPSec VPN设备的IP地址确定加密隧道,并校验视频监控平台的IP地址与摄像头的IP地址是否符合该加密隧道的保护策略,若是,则通过加密隧道将ESP加密包1发送到IPSec VPN网关,若否,则不发送ESP加密包1。
S40、IPSec VPN设备接收到IPSec VPN网关发送的ESP加密包1后进行解密,得到视频管理平台的IP地址和摄像头的IP地址,通过IPSec VPN设备的IP地址和IPSec VPN网关的IP地址确认加密隧道,并校验视频管理平台的IP地址和摄像头的IP地址是否符合加密隧道的保护策略,若是,则将解密后的数据包1发送给摄像头,若否则不转发数据包1。
S50、摄像头10接收到数据包1后,响应视频数据拉取请求将视频数据发送到IPSecVPN设备,IPSec VPN设备确认加密隧道以及符合保护策略后加密视频数据得到加密后的ESP加密包2,将ESP加密包2发送到IPSec VPN网关。
S60:IPSec VPN网关收到ESP加密包2后,对ESP加密包2进行解密,获得数据包2,校验数据包2中的IP地址是否符合加密隧道的保护策略,符合则将数据包2转发给视频监控平台。
本发明实施例的视频数据加密系统设置有IPSec VPN设备和IPSec VPN网关,摄像头与IPSec VPN设备连接,视频监控平台与IPSec VPN网关连接,IPSec VPN设备与IPSecVPN网关通过IP网络连接,IPSec VPN设备和IPSec VPN网关用于建立加密隧道并为加密隧道添加保护策略,以及基于加密隧道和保护策略传输加密后的视频数据,从而可以避免摄像头被非法控制以及视频数据被泄露和篡改,保证了视频数据的安全。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的视频数据加密系统中的视频数据加密过程。
值得注意的是,上述视频数据加密系统的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。