CN114501143A - 一种基于端口选择性加密的视频安全接入方法及系统 - Google Patents

一种基于端口选择性加密的视频安全接入方法及系统 Download PDF

Info

Publication number
CN114501143A
CN114501143A CN202210110649.3A CN202210110649A CN114501143A CN 114501143 A CN114501143 A CN 114501143A CN 202210110649 A CN202210110649 A CN 202210110649A CN 114501143 A CN114501143 A CN 114501143A
Authority
CN
China
Prior art keywords
video
data packet
port
security gateway
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210110649.3A
Other languages
English (en)
Other versions
CN114501143B (zh
Inventor
张旭东
王晔
郭靓
韦小刚
刘行
金倩倩
邓进
张滔
郑卫波
纪元
殷鑫鹏
陆杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nari Information and Communication Technology Co
Original Assignee
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nari Information and Communication Technology Co filed Critical Nari Information and Communication Technology Co
Priority to CN202210110649.3A priority Critical patent/CN114501143B/zh
Publication of CN114501143A publication Critical patent/CN114501143A/zh
Application granted granted Critical
Publication of CN114501143B publication Critical patent/CN114501143B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
    • H04N21/4408Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream encryption, e.g. re-encrypting a decrypted video stream for redistribution in a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于端口选择性加密的视频安全接入方法及系统,包括视频终端、安全网关和视频主站;视频终端通过VPN客户端与安全网关之间进行协商认证,建立SSLVPN隧道;安全网关向视频终端的VPN客户端推送端口加密配置信息,VPN客户端存储不加密端口范围信息;视频业务客户端按照预先配置的目的端口与数据类型的映射关系确定视频信令数据或视频流数据的目的端口,组装视频信令数据包发送至VPN客户端;VPN客户端获取数据包中的目的端口信息,判断数据包是否需要加密,对视频信令数据包进行封装加密,对视频流数据包直接封装后发送至安全网关;安全网关接收加密视频信令数据包或明文视频流数据包后,判断所接收到的数据包的加密类型,将数据明文转发至视频主站。本发明能够基于端口对视频终端据进行选择性加密传输,保障数据的安全性及视频数据传输的效率。

Description

一种基于端口选择性加密的视频安全接入方法及系统
技术领域
本发明涉及电力通信技术领域,特别是一种基于端口选择性加密的视频安全接入方法及系统。
背景技术
视频专用网关是电力行业视频业务安全接入的主要防护设备,其一般采用视频控制信令加密、视频流数据不加密的方式实现视频流数据的高效传输。视频专用网关仅允许接入符合《电网视频监控系统及接口 第1部分 技术要求(B接口备注)》协议的视频终端,且上述视频终端必须遵循视频专用网关特定的安全交互协议(包括协商、认证、加密等通信过程,通信时控制信令加密、视频流数据不加密),并且硬件上要集成特定的安全加密芯片。由于协议本身比较复杂,并且与视频网关特定安全接入协议强绑定,使得视频终端厂家在接入时,既要考虑视频业务逻辑,又要考虑安全接入协议,需将两个无关事项强行耦合起来,无疑大大增加了视频接入的技术难度。同时视频终端硬件须集成特定安全芯片,因而导致视频终端安全接入复杂度高,实现周期长。
此外,电力行业还采用安全网关的方式进行视频接入。安全网关采用SSLVPN技术,对全部数据进行加密通信,主要应用于移动作业场景。安全网关实现安全接入与业务协议的完全解耦,业务不再关心安全接入的具体细节,并且可采用安全TF卡(通用接口)方式接入,终端硬件无需改动,降低终端设备安全接入的复杂度。正由于安全网关不关心应用层协议,因此亦可采用安全网关进行视频传输。但是,安全网关在进行视频传输时,对视频流数据也进行了加密传输,视频流数据的加密占用了终端大量的资源,降低了数据传输效率,且限制了安全网关接入终端的数量。
综上所述,电力行业中,视频专用网关和安全网关都无法有效解决视频安全高效接入的问题。
发明内容
本发明的目的是提供一种基于端口选择性加密的视频安全接入方法及系统,能够对视频终端的数据进行选择性加密传输,保障数据的安全性,同时保障数据传输的效率。本发明采用的技术方案如下。
一方面,本发明提供一种基于端口选择性加密的视频安全接入方法,由视频终端执行,所述视频终端安装有视频业务客户端以及VPN客户端;方法包括:
视频终端通过VPN客户端与安全网关之间进行协商认证,建立SSL VPN隧道;
接收安全网关推送的端口加密配置信息,所述端口加密配置信息包括不加密的端口范围;
视频终端的VPN客户端根据所述端口加密配置信息存储不加密端口范围信息;
视频终端的视频业务客户端响应于需要发送视频信令数据,则按照预先配置的目的端口与数据类型的映射关系确定视频信令数据的目的端口,以及组装视频信令数据包,其中,视频信令数据对应的目的端口在所述不加密端口范围之外;
视频终端的视频业务客户端响应于需要发送视频流数据,则按照预先配置的目的端口与数据类型的映射关系确定视频流数据的目的端口,以及组装视频流数据包,其中,视频流数据对应的目的端口在所述不加密端口范围之内;
视频终端的视频业务客户端将视频信令数据包或视频流数据包发送至VPN客户端;
视频终端的VPN客户端响应于接收到视频业务客户端发送的视频信令数据包或视频流数据包,则获取数据包中的目的端口信息,将目的端口信息与不加密端口范围进行比对,根据比对结果判断数据包是否需要加密,对需要加密的视频信令数据包进行封装加密处理后发送至安全网关,对不需要加密的视频流数据包封装后以明文形式发送至安全网关。
可选的,所述视频终端的视频业务客户端的目的端口与数据类型的映射关系,根据安全网关的不加密端口范围预先配置。
可选的,所述视频业务客户端包括用于向用户提供数据目标端口配置界面的人机交互接口。
实际应用中,视频终端用户可先从安全网关用户处获知不加密端口范围信息,进而对视频终端内集成的视频业务客户端进行对应不同数据类型的目标端口配置。
可选的,所述视频终端通过VPN客户端与安全网关之间进行协商认证,包括:
通过VPN客户端向安全网关发送协商报文;
接收安全网关响应于接收到所述协商报文后回复的网关证书、证书类型及密钥信息,进行证书验证,并在证书验证通过后生成预祝密钥,发送给安全网关,使得安全网关验证签名后完成协商认证。
可选的,所述VPN客户端封装后的数据包包括根据数据包目的端口确定的加密标志信息,使得安全网关能够根据对数据包解析后得到的所述加密标志信息判断得到数据包是否为加密数据包。
第二方面,本发明提供一种基于端口选择性加密的视频安全接入方法,由安全网关执行,方法包括:
接收视频终端通过VPN客户端发送的协商报文,与视频终端的VPN客户端之间进行协商认证,建立SSL VPN隧道;
向视频终端的VPN客户端推送端口加密配置信息,所述端口加密配置信息包括不加密的端口范围;
接收视频终端通过VPN客户端发出的加密视频信令数据包或明文视频流数据包;对接收到的数据包进行解析,根据解析结果判断数据包的加密类型;
对于加密视频信令数据包,进行解密后转发至视频主站,对于明文形式的视频流数据包,直接转发至视频主站。
可选的,视频终端的VPN客户端封装后的数据包包括根据数据包目的端口确定的加密标志信息;
安全网关对接收到的数据包进行解析,根据解析结果判断数据包的加密类型,为:
安全网关对数据包进行解析得到所述加密标志信息,根据加密标志信息判断数据包是否为加密数据包。
第三方面,本发明提供一种基于端口选择性加密的视频安全接入系统,包括视频终端、安全网关和视频主站;视频终端上安装有视频业务客户端以及VPN客户端;
视频终端通过VPN客户端与安全网关之间进行协商认证,建立SSL VPN隧道;
安全网关向视频终端的VPN客户端推送端口加密配置信息以及路由信息,所述端口加密配置信息包括不加密的端口范围;
视频终端的VPN客户端根据所述端口加密配置信息存储不加密端口范围信息;
视频终端的视频业务客户端响应于需要发送视频信令数据,则按照预先配置的目的端口与数据类型的映射关系确定视频信令数据的目的端口,以及组装视频信令数据包,其中,视频信令数据对应的目的端口在所述不加密端口范围之外;
视频终端的视频业务客户端响应于需要发送视频流数据,则按照预先配置的目的端口与数据类型的映射关系确定视频流数据的目的端口,以及组装视频流数据包,其中,视频流数据对应的目的端口在所述不加密端口范围之内;
视频终端的视频业务客户端将视频信令数据包或视频流数据包发送至VPN客户端;
视频终端的VPN客户端响应于接收到视频业务客户端发送的视频信令数据包或视频流数据包,则获取数据包中的目的端口信息,将目的端口信息与不加密端口范围进行比对,根据比对结果判断数据包是否需要加密,对需要加密的视频信令数据包进行封装加密处理后发送至安全网关,对不需要加密的视频流数据包封装后以明文形式发送至安全网关;
安全网关接收视频终端的VPN客户端发出的加密视频信令数据包或明文视频流数据包,判断所接收到的数据包的加密类型,对于加密视频信令数据包,进行解密后转发至视频主站,对于明文形式的视频流数据包,直接转发至视频主站;
视频主站解析从安全网关接收到的数据包得到目的端口信息以及目的ip地址信息,将数据包经目的端口发送至目的ip地址对应的视频业务终端。
可选的,视频终端的视频业务客户端将视频流数据或视频信令数据组装为tcp包发送给VPN客户端;
视频终端的VPN客户端将视频业务客户端发来的数据包封装为udp数据包的载荷。
可选的,视频终端的VPN客户端与安全网关之间采用国密算法进行协商认证,所述国密算法包括SM1、SM2、SM3算法。
有益效果
本发明在安全网关(SSLVPN技术)基础之上,采用基于端口选择性加密传输方式:在指定端口范围之内传输的数据采用不加密方式、在指定端口范围之外传输的数据采用加密方式进行传输,实现视频终端安全接入时,视频终端与视频主站之间采用不加密的端口传输视频流、采用加密的端口传输控制信令,实现对视频流不加密传输、控制信令加密传输,在保障安全性的基础上,降低终端侧的资源占用率,提高网关侧的终端并发接入量,既能满足视频流数据的高效传输,又能降低视频终端的接入复杂度。
附图说明
图1所示为基于端口选择性加密的视频安全接入系统的工作原理示意图。
具体实施方式
以下结合附图和具体实施例进一步描述。
本发明的技术构思为:通过在安全网关与视频终端之间进行载荷传输不加密端口范围,实现视频终端在发送视频信令数据或视频流数据时根据端口选择性加密,在保障数据传输安全的基础上提升传输效率。
实施例1
本实施例介绍一种基于端口选择性加密的视频安全接入系统,参考图1所示,系统包括视频终端、安全网关和视频主站;视频终端上安装有视频业务客户端以及VPN客户端;
视频终端通过VPN客户端与安全网关之间进行协商认证,建立SSLVPN隧道,视频终端的VPN客户端与安全网关之间采用包括SM1、SM2、SM3的国密算法进行协商认证;
建立隧道后,安全网关向视频终端的VPN客户端推送端口加密配置信息以及路由信息,端口加密配置信息包括不加密的端口范围;
视频终端的VPN客户端根据端口加密配置信息存储不加密端口范围信息;视频终端的视频业务客户端根据安全网关的不加密端口范围预先配置目的端口与数据类型的映射关系,视频业务客户端包括用于向用户提供数据目标端口配置界面的人机交互接口,实际应用中,视频终端用户可先从安全网关用户处获知不加密端口范围信息,进而通过人机交互接口对视频终端内集成的视频业务客户端进行对应不同数据类型的目标端口配置;
视频终端的视频业务客户端响应于需要发送视频信令数据,则按照预先配置的目的端口与数据类型的映射关系确定视频信令数据的目的端口,以及组装视频信令数据包,其中,视频信令数据对应的目的端口在所述不加密端口范围之外;
视频终端的视频业务客户端响应于需要发送视频流数据,则按照预先配置的目的端口与数据类型的映射关系确定视频流数据的目的端口,以及组装视频流数据包,其中,视频流数据对应的目的端口在所述不加密端口范围之内;
视频终端的视频业务客户端将视频信令数据包或视频流数据包发送至VPN客户端;
视频终端的VPN客户端响应于接收到视频业务客户端发送的视频信令数据包或视频流数据包,则获取数据包中的目的端口信息,将目的端口信息与不加密端口范围进行比对,根据比对结果判断数据包是否需要加密,对需要加密的视频信令数据包进行封装加密处理后发送至安全网关,对不需要加密的视频流数据包封装后以明文形式发送至安全网关;
安全网关接收视频终端的VPN客户端发出的加密视频信令数据包或明文视频流数据包,判断所接收到的数据包的加密类型,对于加密视频信令数据包,进行解密后转发至视频主站,对于明文形式的视频流数据包,直接转发至视频主站;
视频主站解析从安全网关接收到的数据包得到目的端口信息以及目的ip地址信息,将数据包经目的端口发送至目的ip地址对应的视频业务终端。
进一步的,本实施例中,视频终端的VPN客户端封装后的数据包包括根据数据包载荷目的端口确定的加密标志信息;
安全网关对数据包进行解析客得到加密标志信息,进而可根据加密标志信息判断数据包是否为加密数据包。
在应用时,首先在需要接入主站的视频终端上部署vpn客户端程序和视频业务程序。vpn客户端程序负责与网关的安全通信,视频业务程序处理视频业务。视频业务发送数据时,先将数据发送给vpn客户端程序,然后由vpn客户端程序发送给网关,具体涉及以下流程。
一、协商认证(SSLVPN标准流程)
视频终端上vpn客户端程序向安全网关发送协商报文,报文中包括版本、会话ID、加密套件、随机数等信息;安全网关收到之后,回复网关的证书、证书类型信息、密钥信息。终端收到之后,进行证书验证,生成预主密钥等信息,并发给网关。网关进行验证签名,协商完成。
二、协商不加密端口范围
隧道建立后,安全网关向视频终端的VPN客户端推送路由信息、不加密的端口信息等。此时,视频终端上VPN客户端程序和安全网关都记录了不需要加密的端口范围,例如50000-51000。视频业务客户端也已经预先配置了目的端口与数据类型的映射关系,如视频信令数据类型对应的目的端口为50000-51000之外的端口,视频流数据类型对应的目的端口为50000-51000范围内的端口。
三、数据传输
3.1视频信令数据
视频信令数据需要加密传输。视频终端上,视频业务客户端发送视频信令数据时,根据目的端口与数据类型的映射关系,采用不在50000-51000范围之内的端口。视频业务将客户端数据包发送给视频终端上的VPN客户端程序,VPN客户端程序分析要发送的数据包中的目的端口,发现端口不在50000-51000之内,就按照之前协商好的加密方式,进行加密,将视频业务客户端发来的数据包封装为udp数据包的载荷,然后发送给网关,VPN客户端封装后的数据包包括根据数据包目的端口确定的加密标志信息。网关收到报文之后,解析载荷得到所述加密标志信息,判断为加密数据,就进行解密,并把解密后的报文转发给视频主站。
视频主站接收数据包明文后根据数据包中的目的端口及目的IP地址转发至相应的视频业务。
3.2视频流数据
视频流数据不需要加密传输。视频终端上,视频业务客户端发送视频流数据时,根据目的端口与数据类型的映射关系,采用50000-51000范围内的端口,例如用50000端口。视频业务客户端将视频流数据包发给终端上的VPN客户端程序,VPN客户端程序解析视频流数据包内的数据目的端口,发现使用的端口是50000,在之前协商的50000-51000范围之内,则判断为数据不需要加密传输,就将该报文明文发送给安全网关。安全网关接收到报文,解析载荷,得到加密标志信息,判断为不加密的数据包,则不需要数据解密直接明文数据包转发给视频主站。
视频主站接收数据包明文后根据数据包中的目的端口及目的IP地址转发至相应的视频业务。
例如,视频业务客户端要发送视频信令“sip”给视频主站。视频业务会组一个tcp包,这个包的信息包含:源IP、源port、目的IP、目的port、内容。
通过路由配置,视频业务客户端的这个包,被VPN客户端程序获取到,VPN客户端会重新组装一个udp包,这个包的载荷就是视频业务客户端发送的包。VPN客户端重新组装的udp包还包含了根据tcp包目的port确定的加密标志信息。
经上述过程,可实现视频终端侧端口的选择性加密,能够在数据传输的全过程中同时保障安全及数据传输效率。
实施例2
与实施例1基于相同的发明构思,本实施例介绍由视频终端执行的基于端口选择性加密的视频安全接入方法,视频终端安装有视频业务客户端以及VPN客户端;方法包括:
视频终端通过VPN客户端与安全网关之间进行协商认证,建立SSLVPN隧道;
接收安全网关推送的端口加密配置信息,所述端口加密配置信息包括不加密的端口范围;
视频终端的VPN客户端根据所述端口加密配置信息存储不加密端口范围信息;
视频终端的视频业务客户端响应于需要发送视频信令数据,则按照预先配置的目的端口与数据类型的映射关系确定视频信令数据的目的端口,以及组装视频信令数据包,其中,视频信令数据对应的目的端口在所述不加密端口范围之外;
视频终端的视频业务客户端响应于需要发送视频流数据,则按照预先配置的目的端口与数据类型的映射关系确定视频流数据的目的端口,以及组装视频流数据包,其中,视频流数据对应的目的端口在所述不加密端口范围之内;
视频终端的视频业务客户端将视频信令数据包或视频流数据包发送至VPN客户端;
视频终端的VPN客户端响应于接收到视频业务客户端发送的视频信令数据包或视频流数据包,则获取数据包中的目的端口信息,将目的端口信息与不加密端口范围进行比对,根据比对结果判断数据包是否需要加密,对需要加密的视频信令数据包进行封装加密处理后发送至安全网关,对不需要加密的视频流数据包封装后以明文形式发送至安全网关。
本实施例中,视频终端的视频业务客户端的目的端口与数据类型的映射关系,根据安全网关的不加密端口范围预先配置。视频业务客户端包括用于向用户提供数据目标端口配置界面的人机交互接口。实际应用中,视频终端用户可先从安全网关用户处获知不加密端口范围信息,进而对视频终端内集成的视频业务客户端进行对应不同数据类型的目标端口配置。
视频终端通过VPN客户端与安全网关之间进行协商认证,包括:
通过VPN客户端向安全网关发送协商报文;
接收安全网关响应于接收到所述协商报文后回复的网关证书、证书类型及密钥信息,进行证书验证,并在证书验证通过后生成预祝密钥,发送给安全网关,使得安全网关验证签名后完成协商认证。
VPN客户端封装后的数据包包括根据视频业务终端所发送的数据包目的端口确定的加密标志信息,使得安全网关能够根据对数据包解析后得到的所述加密标志信息判断得到数据包是否为加密数据包。
实施例3
与实施例1和实施例2基于相同的发明构思,本实施例介绍由安全网关执行的基于端口选择性加密的视频安全接入方法,包括:
接收视频终端通过VPN客户端发送的协商报文,与视频终端的VPN客户端之间进行协商认证,建立SSL VPN隧道;
向视频终端的VPN客户端推送端口加密配置信息,所述端口加密配置信息包括不加密的端口范围;
接收视频终端通过VPN客户端发出的加密视频信令数据包或明文视频流数据包;对接收到的数据包进行解析,根据解析结果判断数据包的加密类型;
对于加密视频信令数据包,进行解密后转发至视频主站,对于明文形式的视频流数据包,直接转发至视频主站。
本实施例中,视频终端的VPN客户端封装后的数据包包括根据数据包目的端口确定的加密标志信息;安全网关对数据包进行解析得到所述加密标志信息,根据加密标志信息判断数据包是否为加密数据包。
综上实施例,本发明基于标准SSLVPN(Security Socket Layer VPN)协议,在保证安全可靠的基础上,在视频终端侧根据端口范围进行选择性加密,实现了对视频控制信令进行加密传输,对视频流媒体数据进行不加密传输,既能满足视频流数据高效传输的需求,又能降低视频终端接入复杂度。与视频专用网关相比,本发明的接入复杂度大大降低。
同时,本发明为应用层业务提供了一种加密的选择性,使得应用层业务可根据具体安全要求灵活选择,实现对重要数据加密、不重要数据不加密的目标,既能保证安全性又能兼顾传输效率。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (10)

1.一种基于端口选择性加密的视频安全接入方法,由视频终端执行,所述视频终端安装有视频业务客户端以及VPN客户端;其特征是,方法包括:
视频终端通过VPN客户端与安全网关之间进行协商认证,建立SSL VPN隧道;
接收安全网关推送的端口加密配置信息,所述端口加密配置信息包括不加密的端口范围;
视频终端的VPN客户端根据所述端口加密配置信息存储不加密端口范围信息;
视频终端的视频业务客户端响应于需要发送视频信令数据,则按照预先配置的目的端口与数据类型的映射关系确定视频信令数据的目的端口,以及组装视频信令数据包,其中,视频信令数据对应的目的端口在所述不加密端口范围之外;
视频终端的视频业务客户端响应于需要发送视频流数据,则按照预先配置的目的端口与数据类型的映射关系确定视频流数据的目的端口,以及组装视频流数据包,其中,视频流数据对应的目的端口在所述不加密端口范围之内;
视频终端的视频业务客户端将视频信令数据包或视频流数据包发送至VPN客户端;
视频终端的VPN客户端响应于接收到视频业务客户端发送的视频信令数据包或视频流数据包,则获取数据包中的目的端口信息,将目的端口信息与不加密端口范围进行比对,根据比对结果判断数据包是否需要加密,对需要加密的视频信令数据包进行封装加密处理后发送至安全网关,对不需要加密的视频流数据包封装后以明文形式发送至安全网关。
2.根据权利要求1所述的方法,其特征是,所述视频终端的视频业务客户端的目的端口与数据类型的映射关系,根据安全网关的不加密端口范围预先配置。
3.根据权利要求2所述的方法,其特征是,所述视频业务客户端包括用于向用户提供数据目标端口配置界面的人机交互接口。
4.根据权利要求1所述的方法,其特征是,所述视频终端通过VPN客户端与安全网关之间进行协商认证,包括:
通过VPN客户端向安全网关发送协商报文;
接收安全网关响应于接收到所述协商报文后回复的网关证书、证书类型及密钥信息,进行证书验证,并在证书验证通过后生成预祝密钥,发送给安全网关,使得安全网关验证签名后完成协商认证。
5.根据权利要求1所述的方法,其特征是,所述VPN客户端封装后的数据包包括根据数据包目的端口确定的加密标志信息,使得安全网关能够根据对数据包解析后得到的所述加密标志信息判断得到数据包是否为加密数据包。
6.一种基于端口选择性加密的视频安全接入方法,由安全网关执行,其特征是,方法包括:
接收视频终端通过VPN客户端发送的协商报文,与视频终端的VPN客户端之间进行协商认证,建立SSL VPN隧道;
向视频终端的VPN客户端推送端口加密配置信息,所述端口加密配置信息包括不加密的端口范围;
接收视频终端通过VPN客户端发出的加密视频信令数据包或明文视频流数据包;对接收到的数据包进行解析,根据解析结果判断数据包的加密类型;
对于加密视频信令数据包,进行解密后转发至视频主站,对于明文形式的视频流数据包,直接转发至视频主站。
7.根据权利要求6所述的方法,其特征是,视频终端的VPN客户端封装后的数据包包括根据数据包目的端口确定的加密标志信息;
安全网关对接收到的数据包进行解析,根据解析结果判断数据包的加密类型,为:
安全网关对数据包进行解析得到所述加密标志信息,根据加密标志信息判断数据包是否为加密数据包。
8.一种基于端口选择性加密的视频安全接入系统,其特征是,包括视频终端、安全网关和视频主站;视频终端上安装有视频业务客户端以及VPN客户端;
视频终端通过VPN客户端与安全网关之间进行协商认证,建立SSL VPN隧道;
安全网关向视频终端的VPN客户端推送端口加密配置信息以及路由信息,所述端口加密配置信息包括不加密的端口范围;
视频终端的VPN客户端根据所述端口加密配置信息存储不加密端口范围信息;
视频终端的视频业务客户端响应于需要发送视频信令数据,则按照预先配置的目的端口与数据类型的映射关系确定视频信令数据的目的端口,以及组装视频信令数据包,其中,视频信令数据对应的目的端口在所述不加密端口范围之外;
视频终端的视频业务客户端响应于需要发送视频流数据,则按照预先配置的目的端口与数据类型的映射关系确定视频流数据的目的端口,以及组装视频流数据包,其中,视频流数据对应的目的端口在所述不加密端口范围之内;
视频终端的视频业务客户端将视频信令数据包或视频流数据包发送至VPN客户端;
视频终端的VPN客户端响应于接收到视频业务客户端发送的视频信令数据包或视频流数据包,则获取数据包中的目的端口信息,将目的端口信息与不加密端口范围进行比对,根据比对结果判断数据包是否需要加密,对需要加密的视频信令数据包进行封装加密处理后发送至安全网关,对不需要加密的视频流数据包封装后以明文形式发送至安全网关;
安全网关接收视频终端的VPN客户端发出的加密视频信令数据包或明文视频流数据包,判断所接收到的数据包的加密类型,对于加密视频信令数据包,进行解密后转发至视频主站,对于明文形式的视频流数据包,直接转发至视频主站;
视频主站解析从安全网关接收到的数据包得到目的端口信息以及目的ip地址信息,将数据包经目的端口发送至目的ip地址对应的视频业务终端。
9.根据权利要求8所述的基于端口选择性加密的视频安全接入系统,其特征是,视频终端的视频业务客户端将视频流数据或视频信令数据组装为tcp包发送给VPN客户端;
视频终端的VPN客户端将视频业务客户端发来的数据包封装为udp数据包的载荷。
10.根据权利要求8所述的基于端口选择性加密的视频安全接入系统,其特征是,视频终端的VPN客户端与安全网关之间采用国密算法进行协商认证,所述国密算法包括SM1、SM2、SM3算法。
CN202210110649.3A 2022-01-29 2022-01-29 一种基于端口选择性加密的视频安全接入方法及系统 Active CN114501143B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210110649.3A CN114501143B (zh) 2022-01-29 2022-01-29 一种基于端口选择性加密的视频安全接入方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210110649.3A CN114501143B (zh) 2022-01-29 2022-01-29 一种基于端口选择性加密的视频安全接入方法及系统

Publications (2)

Publication Number Publication Date
CN114501143A true CN114501143A (zh) 2022-05-13
CN114501143B CN114501143B (zh) 2024-02-13

Family

ID=81477878

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210110649.3A Active CN114501143B (zh) 2022-01-29 2022-01-29 一种基于端口选择性加密的视频安全接入方法及系统

Country Status (1)

Country Link
CN (1) CN114501143B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596421A (zh) * 2024-01-18 2024-02-23 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030161473A1 (en) * 2000-06-16 2003-08-28 Fransdonk Robert W. Method and system to securely distribute content via a network
CN101562813A (zh) * 2009-05-12 2009-10-21 中兴通讯股份有限公司 实时数据业务的实现方法、实时数据业务系统和移动终端
CN107343179A (zh) * 2017-08-14 2017-11-10 华北电力大学 一种视频信息加密与视频终端安全认证系统、认证方法及其应用
CN111212429A (zh) * 2019-12-11 2020-05-29 全球能源互联网研究院有限公司 一种移动终端的安全接入系统及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030161473A1 (en) * 2000-06-16 2003-08-28 Fransdonk Robert W. Method and system to securely distribute content via a network
CN101562813A (zh) * 2009-05-12 2009-10-21 中兴通讯股份有限公司 实时数据业务的实现方法、实时数据业务系统和移动终端
CN107343179A (zh) * 2017-08-14 2017-11-10 华北电力大学 一种视频信息加密与视频终端安全认证系统、认证方法及其应用
CN111212429A (zh) * 2019-12-11 2020-05-29 全球能源互联网研究院有限公司 一种移动终端的安全接入系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596421A (zh) * 2024-01-18 2024-02-23 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统
CN117596421B (zh) * 2024-01-18 2024-04-02 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统

Also Published As

Publication number Publication date
CN114501143B (zh) 2024-02-13

Similar Documents

Publication Publication Date Title
KR100480225B1 (ko) 데이터 안전화 통신장치 및 그 방법
CN104683304B (zh) 一种保密通信业务的处理方法、设备和系统
US9294506B2 (en) Method and apparatus for security encapsulating IP datagrams
CN111683367B (zh) 安全通信模组、安全通信系统、方法及可读存储介质
CN109845214B (zh) 一种传输数据的方法、装置和系统
JP2009506617A (ja) セキュア伝送情報を処理するシステムおよび方法
CN111756627A (zh) 一种电力监控系统的云平台安全接入网关
CN113015159A (zh) 初始安全配置方法、安全模块及终端
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
CN114422256B (zh) 一种基于ssal/ssl协议的高性能安全接入方法及装置
CN114143050B (zh) 一种视频数据加密系统
CN114501143B (zh) 一种基于端口选择性加密的视频安全接入方法及系统
CN107276996A (zh) 一种日志文件的传输方法及系统
CN113950802A (zh) 用于执行站点到站点通信的网关设备和方法
CN106161386B (zh) 一种实现IPsec分流的方法和装置
US10015208B2 (en) Single proxies in secure communication using service function chaining
CN112205018A (zh) 监控网络中的加密连接的方法、设备和计算机程序产品
JPH10242957A (ja) ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体
CN105471831B (zh) 一种对实时传输协议数据包进行加密的方法和装置
CN114070606B (zh) 一种基于国产操作系统的网络安全终端装置及工作方法
CN111212044B (zh) 一种数据的传输方法、装置和存储介质
CN114978769A (zh) 单向导入装置、方法、介质、设备
CN114928491A (zh) 基于标识密码算法的物联网安全认证方法、装置及系统
CN112714439B (zh) 通信数据的安全传输方法、装置、设备及存储介质
CN111431846B (zh) 数据传输的方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant