CN114143050B - 一种视频数据加密系统 - Google Patents

一种视频数据加密系统 Download PDF

Info

Publication number
CN114143050B
CN114143050B CN202111391576.1A CN202111391576A CN114143050B CN 114143050 B CN114143050 B CN 114143050B CN 202111391576 A CN202111391576 A CN 202111391576A CN 114143050 B CN114143050 B CN 114143050B
Authority
CN
China
Prior art keywords
address
ipsec vpn
module
data packet
camera
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111391576.1A
Other languages
English (en)
Other versions
CN114143050A (zh
Inventor
黄德辉
李育滨
张岱楠
陈衍颍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Chaozhou Electric Power Design Co ltd
Guangdong Power Grid Co Ltd
Chaozhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Chaozhou Electric Power Design Office
Guangdong Power Grid Co Ltd
Chaozhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chaozhou Electric Power Design Office, Guangdong Power Grid Co Ltd, Chaozhou Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Chaozhou Electric Power Design Office
Priority to CN202111391576.1A priority Critical patent/CN114143050B/zh
Publication of CN114143050A publication Critical patent/CN114143050A/zh
Application granted granted Critical
Publication of CN114143050B publication Critical patent/CN114143050B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

本发明实施例公开了一种视频数据加密系统,包括:摄像头、IPSec VPN设备、IPSec VPN网关以及视频监控平台,所述摄像头与所述IPSec VPN设备连接,所述视频监控平台与所述IPSec VPN网关连接,所述IPSec VPN设备与所述IPSec VPN网关通过IP网络连接;所述IPSec VPN设备和所述IPSec VPN网关用于建立加密隧道并为所述加密隧道添加保护策略,以及基于所述加密隧道和所述保护策略传输加密后的视频数据,本发明实施例中IPSec VPN设备和IPSec VPN网关建立加密隧道并且设置保护策略来传输视频数据,可以避免摄像头被非法控制以及视频数据被泄露和篡改,保证了视频数据的安全。

Description

一种视频数据加密系统
技术领域
本发明实施例涉及网络数据安全技术领域,尤其涉及一种视频数据加密系统、视频数据加密方法和存储介质。
背景技术
随着视频监控的普及,大量摄像头在电力供电中广泛应用,视频监控平台通过访问和调取摄像头的RTSP(Real Time Streaming Protocol,实时传输流协议)流地址对摄像头进行监视、存储和分析等管理,从而提高电力安全生产水平。
目前,电力供电网络中的摄像头直接接入IP网络,只要网络可达即可访问摄像头,从而导致摄像头被非法控制,另外,视频监控平台拉取摄像头采集的视频数据时存在视频数据泄露风险,导致视频数据被窃取,造成视频数据被篡改和泄露,给供电企业带来极大的影响和安全隐患。
发明内容
本发明实施例提供一种视频数据加密系统,以解决目前电力供电网络中摄像头被非法控制以及视频数据被篡改、泄露的问题。
本发明实施例提供了一种视频数据加密系统,包括:摄像头、IPSec VPN设备、IPSec VPN网关以及视频监控平台,所述摄像头与所述IPSec VPN设备连接,所述视频监控平台与所述IPSec VPN网关连接,所述IPSec VPN设备与所述IPSec VPN网关通过IP网络连接;
所述IPSec VPN设备和所述IPSec VPN网关用于建立加密隧道并为所述加密隧道添加保护策略,以及基于所述加密隧道和所述保护策略传输加密后的视频数据。
可选地,所述IPSec VPN设备包括:
第一加密隧道添加模块,用于添加第一加密隧道,所述第一加密隧道的一端的IP地址为所述IPSec VPN设备的IP地址,所述第一加密隧道的另一端的IP地址为所述IPSecVPN网关的IP地址;
第一保护策略添加模块,用于为所述第一加密隧道添加第一保护策略,所述第一保护策略为:通过所述第一加密隧道所发送的数据的源地址为所述摄像头的IP地址,目的IP地址为所述视频监控平台的IP地址。
可选地,所述IPSec VPN网关包括:
第二加密隧道添加模块,用于添加第二加密隧道,所述第二加密隧道的一端的IP地址为所述IPSec VPN网关的IP地址,所述第二加密隧道的另一端的IP地址为所述IPSecVPN设备的IP地址;
第二保护策略添加模块,用于为所述第二加密隧道添加第二保护策略,所述第二保护策略为:通过所述第二加密隧道所发送的数据的源地址为所述视频监控平台的IP地址,目的IP地址为所述摄像头的IP地址。
可选地,所述IPSec VPN设备和所述IPSec VPN网关还包括:
会话模块,用于进行会话密钥协商生成会话密钥。
可选地,还包括客户端,所述IPSec VPN网关还包括:
视频数据拉取请求接收模块,用于接收所述视频监控平台发送的视频数据拉取请求,所述视频数据拉取请求为所述视频监控平台接收到所述客户端的请求后所生成并发送到所述IPSec VPN网关,所述视频数据拉取请求包括视频监控平台的IP地址和摄像头的目的IP地址;
第一校验模块,用于校验所述数据拉取请求中的所述视频监控平台的IP地址和所述摄像头的目的IP地址是否与所述第二加密隧道的所述第二保护策略相匹配;
第一数据包加密模块,用于在所述第一校验模块的校验结果为匹配时,根据预设的会话密钥对所述视频数据拉取请求进行加密得到第一数据包;
第一数据包发送模块,用于将所述第一数据包通过所述第二加密隧道发送到所述摄像头的目的IP地址关联的IPSec VPN设备。
可选地,所述IPSec VPN设备还包括:
第一数据包接收模块,用于从所述第二加密隧道接收所述IPSec VPN网关发送的所述第一数据包;
第一数据包解密模块,用于根据所述会话密钥对所述第一数据包解密得到所述视频监控平台的IP地址和所述摄像头的目的IP地址;
第二校验模块,用于校验所述视频监控平台的IP地址和所述摄像头的目的IP地址是否与所述第二加密隧道的所述第二保护策略相匹配;
第一数据包转发模块,用于在所述第二校验模块的校验结果为匹配时,将解密后的第一数据包转发到所述目的IP地址所指向的摄像头。
可选地,所述IPSec VPN设备还包括:
视频数据接收模块,用于接收所述摄像头发送的视频数据,所述视频数据为所述摄像头接收到所述第一数据包后所确定的数据,所述视频数据包括视频监控平台的目的IP地址和摄像头的IP地址;
第三校验模块,用于校验所述视频监控平台的目的IP地址和所述摄像头的IP地址是否与所述第一加密隧道的所述第一保护策略相匹配;
第二数据包加密模块,用于在第三校验模块的校验结果为匹配时,根据所述会话密钥对所述视频数据进行加密得到第二数据包;
第二数据包发送模块,用于将所述第二数据包通过所述第一加密隧道发送到所述视频监控平台的目的IP地址关联的IPSec VPN网关。
可选地,所述IPSec VPN网关还包括:
第二数据包接收模块,用于从所述第一加密隧道接收所述IPSec VPN设备发送的所述第二数据包;
第二数据包解密模块,用于根据所述会话密钥对所述第二数据包解密得到所述视频监控平台的目的IP地址和所述摄像头的IP地址;
第四校验模块,用于校验所述视频监控平台的目的IP地址和所述摄像头的IP地址是否与所述第一加密隧道的所述第一保护策略相匹配;
第二数据包转发模块,用于在所述第四校验模块的校验结果为匹配时,将解密后的第二数据包转发到所述视频监控平台的目的IP地址所指向的视频监控平台。
可选地,所述IPSec VPN设备和所述IPSec VPN网关还包括:
系统时间设置模块,用于设置IPSec VPN设备和所述IPSec VPN网关的系统时间;
证书请求模块,用于向证书系统发送证书请求;
证书导入模块,用于接收所述证书系统返回的证书文件并导入所述证书文件;
可选地,所述IPSec VPN设备和所述IPSec VPN网关还包括:
网络配置模块,用于配置所述IPSec VPN设备和所述IPSec VPN网关之间的网络以建立IP网络连接。
本发明实施例的视频数据加密系统设置有IPSec VPN设备和IPSec VPN网关,摄像头与IPSec VPN设备连接,视频监控平台与IPSec VPN网关连接,IPSec VPN设备与IPSecVPN网关通过IP网络连接,IPSec VPN设备和IPSec VPN网关用于建立加密隧道并为加密隧道添加保护策略,以及基于加密隧道和保护策略传输加密后的视频数据,从而可以避免摄像头被非法控制以及视频数据被泄露和篡改,保证了视频数据的安全。
附图说明
图1为本发明实施例一提供的一种视频数据加密系统的示意图;
图2为本发明实施例二提供的IPSec VPN设备的结构框图;
图3为本发明实施例三提供的IPSec VPN网关的结构框图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例提供的一种视频数据加密系统的结构示意图,本发明实施例的视频数据加密系统用于保护视频数据的传输安全。如图1所示,本发明实施例的视频数据加密系统包括摄像头10、IPSec VPN设备20、IPSec VPN网关30以及视频监控平台40。
其中,摄像头10与IPSec VPN设备20连接,视频监控平台40与IPSec VPN网关30连接,IPSec VPN设备20与IPSec VPN网关30通过IP网络连接,其中,IPSec VPN设备20和IPSecVPN网关30用于建立加密隧道并为加密隧道添加保护策略,以及基于加密隧道和保护策略传输加密后的视频数据。
具体地,IPSec VPN设备20可以通过以太网接口1与IP网络连接,通过以太网接口2与一个或者多个摄像头10连接,IPSec VPN网关30通过以太网接口1与IP网络连接,通过以太网接口2与一个或者多个视频监控平台40连接,IPSec VPN网关30可以通过IP网络与一个或者多个IPSec VPN设备20连接。
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,使用隧道传递的数据可以是不同协议的数据包,隧道协议将其他协议的数据包重新封装在新的包头中发送,新的包头提供了路由信息,从而使封装的数据能够通过互联网络传递,被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
具体到本发明实施例中,IPSec VPN设备20中添加加密隧道,该加密隧道的一端的通信地址是IPSec VPN设备20的IP地址,目的地址为IPSec VPN网关30的IP地址,IPSec VPN网关30中为每台与之连接的IPSec VPN设备20添加加密隧道,该加密隧道的一端的通信地址是IPSec VPN网关30的IP地址,目的地址为IPSec VPN设备20的IP地址,对于IPSec VPN设备20添加的加密隧道,其保护策略可以是:通过该加密隧道所发送的数据的源地址为摄像头10的IP地址,目的IP地址为视频监控平台40的IP地址,对于IPSec VPN网关30添加的加密隧道,其保护策略可以是:通过该加密隧道所发送的数据的源地址为视频监控平台40的IP地址,目的IP地址为摄像头10的IP地址。通过设置加密隧道两端的IP地址,以及设置保护策略中源地址和目的IP地址,并且数据经过加密,非授权人员无法获得摄像头的IP地址,无法通过IPSec VPN设备控制摄像头以及从摄像头拉取视频数据,即通过IPSec VPN设备将摄像头隔离在IP网络之外,授权获得摄像头IP地址的人员才可以控制摄像头以及从摄像头拉取数据,攻击者无法通过IP网络找到摄像头来控制摄像头,并且需要通过IPSec VPN设备和IPSec VPN网关所建立的加密隧道和保护策略检验通过后控制摄像头以及拉取摄像头的视频数据,视频数据不会被窃取和篡改,保证了视频数据的安全。
本发明实施例的视频数据加密系统设置有IPSec VPN设备和IPSec VPN网关,摄像头与IPSec VPN设备连接,视频监控平台与IPSec VPN网关连接,IPSec VPN设备与IPSecVPN网关通过IP网络连接,IPSec VPN设备和IPSec VPN网关用于建立加密隧道并为加密隧道添加保护策略,以及基于加密隧道和保护策略传输加密后的视频数据,从而可以避免摄像头被非法控制以及视频数据被泄露和篡改,保证了视频数据的安全。
实施例二
如图2所示为本发明实施例二的一种IPSec VPN设备的结构示意图,如图3所示为本发明实施例二的一种IPSec VPN网关的结构示意图,本发明实施例在实施例一的基础上进行优化,如图2所示,本发明实施例的IPSec VPN设备20包括第一加密隧道添加模块201和第一保护策略添加模块202,其中,第一加密隧道添加模块201用于添加第一加密隧道,该第一加密隧道的一端的IP地址为IPSec VPN设备20的IP地址,第一加密隧道的另一端的IP地址为IPSec VPN网关30的IP地址,第一保护策略添加模块202用于为第一加密隧道添加第一保护策略,该第一保护策略为:通过第一加密隧道所发送的数据的源地址为摄像头10的IP地址,目的IP地址为视频监控平台40的IP地址。
同理,如图3所示,IPSec VPN网关30包括第二加密隧道添加模块301和第二保护策略添加模块302,第二加密隧道添加模块301用于添加第二加密隧道,该第二加密隧道的一端的IP地址为IPSec VPN网关30的IP地址,第二加密隧道的另一端的IP地址为IPSec VPN设备20的IP地址,第二保护策略添加模块302用于为第二加密隧道添加第二保护策略,第二保护策略为:通过第二加密隧道所发送的数据的源地址为视频监控平台40的IP地址,目的IP地址为摄像头10的IP地址。
需要说明的是,添加加密隧道可以是建立设备到设备的链路的连接关系,如建立设备到设备的IP地址映射表,添加保护策略可以是每条加密隧道允许传输的数据包的源地址和目的地址的对应关系,示例性地,假设IPSec VPN设备A与IPSec VPN网关B建立了加密隧道C,则该加密隧道C一端地址为IPSec VPN设备A的IP地址,另一端为IPSec VPN网关B的IP地址,即只有IPSec VPN设备A与IPSec VPN网关B可以使用该加密隧道C来传输数据包,并且在设置数据包从IPSec VPN设备A发送到IPSec VPN网关B的保护策略后,所发送的数据的源地址为与IPSec VPN设备A连接的摄像头的IP地址,目的地址为与IPSec VPN网关B连接的视频监控平台的IP地址时才符合该加密隧道C的保护策略。
当然,IPSec VPN设备20和IPSec VPN网关30还包括系统时间设置模块、证书请求模块、证书导入模块、网络配置模块以及会话模块,即IPSec VPN设备20和IPSec VPN网关30均包括上述模块。
其中,系统时间设置模块用于设置IPSec VPN设备20和IPSec VPN网关30的系统时间,证书请求模块用于向证书系统发送证书请求,证书导入模块用于接收证书系统返回的证书文件并导入证书文件,网络配置模块用于配置IPSec VPN设备20和IPSec VPN网关30之间的网络以建立IP网络连接,会话模块用于进行会话密钥协商生成会话密钥,以通过会话密钥来对数据进行加密和解密。
示例性地,IPSec VPN设备20和IPSec VPN网关30配置流程如下:
S1、IPSec VPN设备20和/或IPSec VPN网关30通过各自的系统时间设置模块设置系统时间,确保IPSec VPN设备20和/或IPSec VPN网关30的时间统一为同一时间。
S2、IPSec VPN设备20和/或IPSec VPN网关30通过各自的证书请求模块生成PCK#10标准的证书请求文件并发送给CA证书系统。
S3、IPSec VPN设备20和/或IPSec VPN网关30通过各自的证书导入模块接收CA证书系统返回的证书并导入到本地,该证书可以包括嵌入式IPSec VPN设备20和/或IPSecVPN网关30的签名证书、加密证书、CA根证书。
S4、IPSec VPN设备20和IPSec VPN网关30通过各自的网络配置模块配置网络,以使得IPSec VPN设备20和IPSec VPN网关30之间能够相互ping通,相互ping通可以是指通过IPSec VPN设备20和IPSec VPN网关30配置网络设备里的ping指令调测网络的可达性,当IPSec VPN设备20ping IPSec VPN网关30时能够返回正确网络时延信息即为ping通,返之亦可。
S5、IPSec VPN设备20通过第一加密隧道添加模添加第一加密隧道,第一加密隧道一端为IPSec VPN设备20的IP地址,另一端为IPSec VPN网关30的IP地址,同理,在IPSecVPN网关30中,通过第二加密隧道添加模为每台连接的IPSec VPN设备20添加对应的第二加密隧道,该第二加密隧道一端为IPSec VPN网关30的IP地址,另一端为IPSec VPN设备20的IP地址。
S6、在IPSec VPN设备20中通过第一保护策略添加模块在第一加密隧道中添加第一保护策略,第一保护策略为摄像头10的IP地址到视频监控平台40的IP地址,在IPSec VPN网关30中通过第二保护策略添加模块在每条第二加密隧道中添加第二保护策略,第二保护策略为视频监控平台40的IP地址到对应摄像头10的IP地址。
如图2和图3所示,视频数据加密系统还包括客户端50,IPSec VPN网关30还包括视频数据拉取请求接收模块303、第一校验模块304、第一数据包加密模块305、第一数据包发送模块306、第二数据包接收模块307、第二数据包解密模块308、第四校验模块309以及第二数据包转发模块310,IPSec VPN设备20还包括第一数据包接收模块203、第一数据包解密模块204、第二校验模块205、第一数据包转发模块206、视频数据接收模块207、第三校验模块208、第二数据包加密模块209以及第二数据包发送模块210。
其中,客户端50可以是用于提供人机交互界面以控制摄像头10或者从摄像头10拉取视频数据的设备,当用户在客户端50上选择摄像头10以控制摄像头10或者从摄像头10拉取视频数据时,视频监控平台40接收到客户端50的请求后生成视频数据拉取请求发送到IPSec VPN网关30,在IPSec VPN网关30中,视频数据拉取请求接收模块303用于接收视频监控平台40发送的视频数据拉取请求,该视频数据拉取请求包括视频监控平台40的IP地址和摄像头10的目的IP地址,第一校验模块304用于校验视频数据拉取请求中的视频监控平台40的IP地址和摄像头10的目的IP地址是否与第二加密隧道的第二保护策略相匹配,即校验视频监控平台40的IP地址是否是IPSec VPN网关30到IPSec VPN设备20的加密隧道的保护策略中的源地址,校验摄像头10的IP地址是否是IPSec VPN网关30到IPSec VPN设备20的加密隧道的保护策略中的目的地址,若是则说明校验结果为匹配,否则可以忽略该视频数据拉取请求,确定为非法请求。第一数据包加密模块305在第一校验模块304的校验结果为匹配时,根据预设的会话密钥对视频数据拉取请求进行加密得到第一数据包,第一数据包发送模块306将第一数据包通过第二加密隧道发送到摄像头10的目的IP地址关联的IPSecVPN设备20。
在IPSec VPN网关30将第一数据包通过第二加密隧道发送到IPSec VPN设备20后,在IPSec VPN设备20中,第一数据包接收模块203用于从第二加密隧道接收IPSec VPN网关30发送的第一数据包,第一数据包解密模块204用于根据会话密钥对第一数据包解密得到视频监控平台40的IP地址和摄像头10的目的IP地址,第二校验模块205用于校验视频监控平台40的IP地址和摄像头10的目的IP地址是否与第二加密隧道的第二保护策略相匹配,第一数据包转发模块206在第二校验模块205的校验结果为匹配时,将解密后的第一数据包转发到目的IP地址所指向的摄像头10,具体检验过程见上述第一校验模块304的检验过程,在此不再详述。
IPSec VPN设备20将第一数据包发送给摄像头10后,摄像头10在接收到第一数据包后即为接收到视频数据拉取请求,摄像头10响应该视频数据拉取请求获取视频数据,如采集视频数据或者读取存储的历史视频数据,将视频数据发送到IPSec VPN设备20,IPSecVPN设备20中视频数据接收模块207用于接收到摄像头10发送的视频数据,该视频数据包括视频监控平台的目的IP地址和摄像头的IP地址,第三校验模块208用于校验视频监控平台的目的IP地址和摄像头的IP地址是否与第一加密隧道的第一保护策略相匹配,第二数据包加密模块209用于在第三校验模块208的校验结果为匹配时,根据会话密钥对视频数据进行加密得到第二数据包,第二数据包发送模块210用于将第二数据包通过第一加密隧道发送到视频监控平台40的目的IP地址关联的IPSec VPN网关30。
在IPSec VPN设备20将第二数据包发送给IPSec VPN网关30后,在IPSec VPN网关30中,第二数据包接收模块307用于从第一加密隧道接收IPSec VPN设备20发送的第二数据包,第二数据包解密模块308用于根据会话密钥对第二数据包解密得到视频监控平台40的目的IP地址和摄像头10的IP地址,第四校验模块309用于校验视频监控平台40的目的IP地址和摄像头10的IP地址是否与第一加密隧道的第一保护策略相匹配,第二数据包转发模块310用于在第四校验模块的校验结果为匹配时,将解密后的第二数据包转发到视频监控平台40的目的IP地址所指向的视频监控平台40。
示例性地,IPSec VPN设备20和IPSec VPN网关30视频数据加密传输流程如下:
S10、用户在客户端选择需要拉取视频数据的摄像头,生成请求发送到视频监控平台;
S20、视频监控平台接收到客户端请求后生成视频数据拉取请求发送到IPSec VPN网关,该视频数据拉取请求中包括摄像头的IP地址;
S30、IPSec VPN网关将视频数据拉取请求打包为ESP加密包1,并根据ESP加密包1的目的IP地址(摄像头的IP地址)选择摄像头对应的IPSec VPN设备的IP地址,并对IPSecVPN网关的IP地址和IPSec VPN设备的IP地址确定加密隧道,并校验视频监控平台的IP地址与摄像头的IP地址是否符合该加密隧道的保护策略,若是,则通过加密隧道将ESP加密包1发送到IPSec VPN网关,若否,则不发送ESP加密包1。
S40、IPSec VPN设备接收到IPSec VPN网关发送的ESP加密包1后进行解密,得到视频管理平台的IP地址和摄像头的IP地址,通过IPSec VPN设备的IP地址和IPSec VPN网关的IP地址确认加密隧道,并校验视频管理平台的IP地址和摄像头的IP地址是否符合加密隧道的保护策略,若是,则将解密后的数据包1发送给摄像头,若否则不转发数据包1。
S50、摄像头10接收到数据包1后,响应视频数据拉取请求将视频数据发送到IPSecVPN设备,IPSec VPN设备确认加密隧道以及符合保护策略后加密视频数据得到加密后的ESP加密包2,将ESP加密包2发送到IPSec VPN网关。
S60:IPSec VPN网关收到ESP加密包2后,对ESP加密包2进行解密,获得数据包2,校验数据包2中的IP地址是否符合加密隧道的保护策略,符合则将数据包2转发给视频监控平台。
本发明实施例的视频数据加密系统设置有IPSec VPN设备和IPSec VPN网关,摄像头与IPSec VPN设备连接,视频监控平台与IPSec VPN网关连接,IPSec VPN设备与IPSecVPN网关通过IP网络连接,IPSec VPN设备和IPSec VPN网关用于建立加密隧道并为加密隧道添加保护策略,以及基于加密隧道和保护策略传输加密后的视频数据,从而可以避免摄像头被非法控制以及视频数据被泄露和篡改,保证了视频数据的安全。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的视频数据加密系统中的视频数据加密过程。
值得注意的是,上述视频数据加密系统的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (7)

1.一种视频数据加密系统,其特征在于,包括:摄像头、IPSec VPN设备、IPSec VPN网关、视频监控平台以及客户端,所述摄像头与所述IPSec VPN设备连接,所述视频监控平台与所述IPSec VPN网关连接,所述IPSec VPN设备与所述IPSec VPN网关通过IP网络连接;
所述IPSec VPN设备和所述IPSec VPN网关用于建立加密隧道并为所述加密隧道添加保护策略,以及基于所述加密隧道和所述保护策略传输加密后的视频数据;
所述IPSec VPN设备包括:
第一加密隧道添加模块,用于添加第一加密隧道,所述第一加密隧道的一端的IP地址为所述IPSec VPN设备的IP地址,所述第一加密隧道的另一端的IP地址为所述IPSec VPN网关的IP地址;
第一保护策略添加模块,用于为所述第一加密隧道添加第一保护策略,所述第一保护策略为:通过所述第一加密隧道所发送的数据的源地址为所述摄像头的IP地址,目的IP地址为所述视频监控平台的IP地址;
所述IPSec VPN网关包括:
第二加密隧道添加模块,用于添加第二加密隧道,所述第二加密隧道的一端的IP地址为所述IPSec VPN网关的IP地址,所述第二加密隧道的另一端的IP地址为所述IPSec VPN设备的IP地址;
第二保护策略添加模块,用于为所述第二加密隧道添加第二保护策略,所述第二保护策略为:通过所述第二加密隧道所发送的数据的源地址为所述视频监控平台的IP地址,目的IP地址为所述摄像头的IP地址;
视频数据拉取请求接收模块,用于接收所述视频监控平台发送的视频数据拉取请求,所述视频数据拉取请求为所述视频监控平台接收到所述客户端的请求后所生成并发送到所述IPSec VPN网关,所述视频数据拉取请求包括视频监控平台的IP地址和摄像头的目的IP地址;
第一校验模块,用于校验所述数据拉取请求中的所述视频监控平台的IP地址和所述摄像头的目的IP地址是否与所述第二加密隧道的所述第二保护策略相匹配;
第一数据包加密模块,用于在所述第一校验模块的校验结果为匹配时,根据预设的会话密钥对所述视频数据拉取请求进行加密得到第一数据包;
第一数据包发送模块,用于将所述第一数据包通过所述第二加密隧道发送到所述摄像头的目的IP地址关联的IPSec VPN设备。
2.根据权利要求1所述的视频数据加密系统,其特征在于,所述IPSec VPN设备和所述IPSec VPN网关还包括:
会话模块,用于进行会话密钥协商生成会话密钥。
3.根据权利要求1所述的视频数据加密系统,其特征在于,所述IPSec VPN设备还包括:
第一数据包接收模块,用于从所述第二加密隧道接收所述IPSec VPN网关发送的所述第一数据包;
第一数据包解密模块,用于根据所述会话密钥对所述第一数据包解密得到所述视频监控平台的IP地址和所述摄像头的目的IP地址;
第二校验模块,用于校验所述视频监控平台的IP地址和所述摄像头的目的IP地址是否与所述第二加密隧道的所述第二保护策略相匹配;
第一数据包转发模块,用于在所述第二校验模块的校验结果为匹配时,将解密后的第一数据包转发到所述目的IP地址所指向的摄像头。
4.根据权利要求3所述的视频数据加密系统,其特征在于,所述IPSec VPN设备还包括:
视频数据接收模块,用于接收所述摄像头发送的视频数据,所述视频数据为所述摄像头接收到所述第一数据包后所确定的数据,所述视频数据包括视频监控平台的目的IP地址和摄像头的IP地址;
第三校验模块,用于校验所述视频监控平台的目的IP地址和所述摄像头的IP地址是否与所述第一加密隧道的所述第一保护策略相匹配;
第二数据包加密模块,用于在第三校验模块的校验结果为匹配时,根据所述会话密钥对所述视频数据进行加密得到第二数据包;
第二数据包发送模块,用于将所述第二数据包通过所述第一加密隧道发送到所述视频监控平台的目的IP地址关联的IPSec VPN网关。
5.根据权利要求4所述的视频数据加密系统,其特征在于,所述IPSec VPN网关还包括:
第二数据包接收模块,用于从所述第一加密隧道接收所述IPSec VPN设备发送的所述第二数据包;
第二数据包解密模块,用于根据所述会话密钥对所述第二数据包解密得到所述视频监控平台的目的IP地址和所述摄像头的IP地址;
第四校验模块,用于校验所述视频监控平台的目的IP地址和所述摄像头的IP地址是否与所述第一加密隧道的所述第一保护策略相匹配;
第二数据包转发模块,用于在所述第四校验模块的校验结果为匹配时,将解密后的第二数据包转发到所述视频监控平台的目的IP地址所指向的视频监控平台。
6.根据权利要求1-5任一项所述的视频数据加密系统,其特征在于,所述IPSec VPN设备和所述IPSec VPN网关还包括:
系统时间设置模块,用于设置IPSec VPN设备和所述IPSec VPN网关的系统时间;
证书请求模块,用于向证书系统发送证书请求;
证书导入模块,用于接收所述证书系统返回的证书文件并导入所述证书文件。
7.根据权利要求1-5任一项所述的视频数据加密系统,其特征在于,所述IPSec VPN设备和所述IPSec VPN网关还包括:
网络配置模块,用于配置所述IPSec VPN设备和所述IPSec VPN网关之间的网络以建立IP网络连接。
CN202111391576.1A 2021-11-23 2021-11-23 一种视频数据加密系统 Active CN114143050B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111391576.1A CN114143050B (zh) 2021-11-23 2021-11-23 一种视频数据加密系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111391576.1A CN114143050B (zh) 2021-11-23 2021-11-23 一种视频数据加密系统

Publications (2)

Publication Number Publication Date
CN114143050A CN114143050A (zh) 2022-03-04
CN114143050B true CN114143050B (zh) 2023-09-08

Family

ID=80390809

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111391576.1A Active CN114143050B (zh) 2021-11-23 2021-11-23 一种视频数据加密系统

Country Status (1)

Country Link
CN (1) CN114143050B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114465848B (zh) * 2022-04-13 2022-09-13 北京全路通信信号研究设计院集团有限公司 一种基于密文的数据传输方法及其系统
CN117353959A (zh) * 2022-06-29 2024-01-05 深圳市中兴微电子技术有限公司 数据传输方法、电子设备及计算机存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051891A (zh) * 2007-05-22 2007-10-10 网御神州科技(北京)有限公司 一种安全网关中进行安全策略统一处理的方法及装置
CN102340650A (zh) * 2010-07-19 2012-02-01 中国移动通信集团公司 终端视频监控的方法及系统
CN103139222A (zh) * 2013-03-19 2013-06-05 成都卫士通信息产业股份有限公司 一种ipsec隧道数据传输方法及装置
CN104329120A (zh) * 2014-10-17 2015-02-04 成都四为电子信息股份有限公司 一种隧道施工安全监控管理系统和方法
CN104954764A (zh) * 2015-07-21 2015-09-30 上海远哲电子技术有限公司 基于视频资源安全网关的视频监控系统
CN107295312A (zh) * 2017-08-10 2017-10-24 上海辰锐信息科技公司 一种基于ssl vpn的无线视频安全接入系统
CN107911362A (zh) * 2017-11-14 2018-04-13 杭州万为科技有限责任公司 轻量级的互联网视频网关安全接入的系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9825777B2 (en) * 2015-06-23 2017-11-21 Cisco Technology, Inc. Virtual private network forwarding and nexthop to transport mapping scheme

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051891A (zh) * 2007-05-22 2007-10-10 网御神州科技(北京)有限公司 一种安全网关中进行安全策略统一处理的方法及装置
CN102340650A (zh) * 2010-07-19 2012-02-01 中国移动通信集团公司 终端视频监控的方法及系统
CN103139222A (zh) * 2013-03-19 2013-06-05 成都卫士通信息产业股份有限公司 一种ipsec隧道数据传输方法及装置
CN104329120A (zh) * 2014-10-17 2015-02-04 成都四为电子信息股份有限公司 一种隧道施工安全监控管理系统和方法
CN104954764A (zh) * 2015-07-21 2015-09-30 上海远哲电子技术有限公司 基于视频资源安全网关的视频监控系统
CN107295312A (zh) * 2017-08-10 2017-10-24 上海辰锐信息科技公司 一种基于ssl vpn的无线视频安全接入系统
CN107911362A (zh) * 2017-11-14 2018-04-13 杭州万为科技有限责任公司 轻量级的互联网视频网关安全接入的系统及方法

Also Published As

Publication number Publication date
CN114143050A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
US11477037B2 (en) Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
US11165604B2 (en) Method and system used by terminal to connect to virtual private network, and related device
CN103155512B (zh) 用于对服务提供安全访问的系统和方法
US7584505B2 (en) Inspected secure communication protocol
EP1635502B1 (en) Session control server and communication system
US11736304B2 (en) Secure authentication of remote equipment
CN114143050B (zh) 一种视频数据加密系统
JP2004104542A (ja) ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
CN111756529B (zh) 一种量子会话密钥分发方法及系统
US20170126623A1 (en) Protected Subnet Interconnect
CN112637136A (zh) 加密通信方法及系统
WO2011041962A1 (zh) 一种支持合法监听的端到端会话密钥协商方法和系统
CN111163470B (zh) 核心网网元通信方法、装置、计算机存储介质和电子设备
CN116886288A (zh) 一种量子会话密钥分发方法及装置
US20080072033A1 (en) Re-encrypting policy enforcement point
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
CN113904809A (zh) 一种通信方法、装置、电子设备及存储介质
CN115459912A (zh) 一种基于量子密钥集中管理的通信加密方法及系统
EP3216163B1 (en) Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange
WO2016134631A1 (zh) 一种OpenFlow报文的处理方法及网元
US20080104693A1 (en) Transporting keys between security protocols
KR101880999B1 (ko) 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법
JP3714850B2 (ja) ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム
KR101329968B1 (ko) IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: No.757 Dongfeng East Road, Yuexiu District, Guangzhou City, Guangdong Province 510000

Patentee after: GUANGDONG POWER GRID Co.,Ltd.

Country or region after: China

Patentee after: Chaozhou Power Supply Bureau of Guangdong Power Grid Co.,Ltd.

Patentee after: Guangdong Chaozhou Electric Power Design Co.,Ltd.

Address before: No.757 Dongfeng East Road, Yuexiu District, Guangzhou City, Guangdong Province 510000

Patentee before: GUANGDONG POWER GRID Co.,Ltd.

Country or region before: China

Patentee before: Chaozhou Power Supply Bureau of Guangdong Power Grid Co.,Ltd.

Patentee before: Chaozhou Electric Power Design Office