CN114826794B - 视频监控方法及装置 - Google Patents
视频监控方法及装置 Download PDFInfo
- Publication number
- CN114826794B CN114826794B CN202210777501.5A CN202210777501A CN114826794B CN 114826794 B CN114826794 B CN 114826794B CN 202210777501 A CN202210777501 A CN 202210777501A CN 114826794 B CN114826794 B CN 114826794B
- Authority
- CN
- China
- Prior art keywords
- authentication
- equipment
- data communication
- routing
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种视频监控方法及装置,方法包括:接收电子设备发送的认证请求,电子设备通过路由器的动态域名请求路由器的IP地址,以基于路由器的IP地址发送认证请求;响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果,向电子设备发送认证结果;接收电子设备发送的数据通信请求,通过第一数据通信链路向监控设备转发数据通信请求;通过第一数据通信链路向监控设备转发数据通信请求;通过第一数据通信链路向电子设备发送数据通信应答,以使电子设备和监控设备通过路由设备建立第二数据通信链路,第二数据通信链路在电子设备和监控设备交互时使用,第二数据通信链路的传输时长小于第一数据通信链路的传输时长。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种视频监控方法及装置。
背景技术
随着网络速度提高以及网络摄像机的普及,网络摄像机作为监控设备,被广泛应用在监控场景中,例如网络摄像机可以应用到家庭安全防护场景、远程看护场景中。在通过网络摄像机进行监控时,用户通过手机或电脑等电子设备与网络摄像机进行通信,例如用户通过电子设备获取网络摄像机拍摄到的视频,又例如用户通过电子设备控制网络摄像机的工作,但是电子设备与网络摄像机之间的通信存在安全漏洞,从而存在用户隐私被泄露的风险。
发明内容
本申请提供了一种视频监控方法及装置,目的在于降低用户隐私被泄露的风险。为了实现上述目的,本申请提供了以下技术方案:
第一方面,本申请提供一种视频监控方法,应用于视频监控系统的路由设备,视频监控系统还包括电子设备和监控设备,路由设备用于将监控设备的标准端口映射为非标准端口,电子设备可扫描到非标准端口,路由设备可扫描到标准端口,方法包括:接收电子设备发送的认证请求,电子设备通过路由设备的动态域名请求路由设备的网际互连协议IP地址,以基于路由设备的IP地址发送认证请求;响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果,向电子设备发送认证结果;接收电子设备发送的数据通信请求,通过第一数据通信链路向监控设备转发数据通信请求,数据通信请求是在认证结果指示认证成功的情况下发送;通过第一数据通信链路向监控设备转发数据通信请求;通过第一数据通信链路向电子设备发送数据通信应答,数据通信应答指示电子设备和监控设备通过路由设备建立第二数据通信链路,第二数据通信链路在电子设备和监控设备交互时使用,第二数据通信链路的传输时长小于第一数据通信链路的传输时长。
其中,路由设备是具有路由功能的设备,如下述路由器。标准端口可以是监控设备的RTSP端口,非标准端口可以是路由设备自定义的一个端口,因为电子设备可扫描到非标准端口,说明非标准端口对用户是可见,标准端口对用户是不可见的,对于处于路由设备的外部网络的电子设备来说,电子设备只能访问到路由设备,路由设备将监控设备隔离在路由设备的内部网络中,不对外暴露监控设备的信息,提高安全性。路由设备可以对电子设备至少进行第一类型和第二类型认证,在认证结果指示认证成功的情况下,电子设备可以向路由设备发送数据通信请求,以通过路由设备与监控设备建立第二数据通信链路,第二数据通信链路在电子设备和监控设备交互时使用,第二数据通信链路的传输时长小于第一数据通信链路的传输时长,从而可以缩短数据传输时长,对电子设备的认证可以提高安全性。并且电子设备通过路由设备与监控设备进行通信,使得电子设备和监控设备之间的通信链路可以去掉视频云服务器,减少通信链路中的节点,降低用户隐私被泄露的风险。
在一种可能的实现方式中,通过第一数据通信链路向监控设备转发数据通信请求包括:路由设备的应用业务层的网络业务模块将数据通信请求发送给路由设备的内核层;路由设备的内核层在确定数据通信请求指向监控设备后,向监控设备发送数据通信请求,建立第二数据通信链路;第一数据通信链路经过网络业务模块和内核层,第二数据通信链路经过路由设备的驱动层。也就是说在转发数据通信请求时,路由设备可通过应用业务层的网络业务模块和内核层完成数据通信请求转发。第二数据通信链路经过路由设备的驱动层,说明在完成第二数据通信链路的建立后,电子设备可通过路由设备的驱动层与监控设备交互,相对于经过应用业务层和内核层来说,传输路径被缩短,从而缩短数据传输时长。
在一种可能的实现方式中,路由设备的内核层在确定数据通信请求指向监控设备后,向监控设备发送数据通信请求包括:在内核层接收到数据通信请求后,将数据通信请求的源地址转换为路由设备的地址,数据通信请求的源端口转换为路由设备的端口;对源地址和源端口转换后的数据通信请求进行路由选择判断,得到路由结果;若路由结果指示源地址和源端口转换后的数据通信请求指向监控设备,将源地址和源端口转换后的数据通信请求的目的地址转换为监控设备的地址,源地址和源端口转换后的数据通信请求的目的端口转换为监控设备的端口;向监控设备发送目的地址和目的端口转换后的数据通信请求。通过地址和端口的转换,使得监控设备的地址和端口没有暴露给电子设备,提高安全性。
在一种可能的实现方式中,响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果包括:响应于认证请求,对电子设备进行摘要认证,得到第一认证结果,向电子设备发送第一认证结果;如果第一认证结果指示摘要认证成功,对电子设备进行短信验证,得到第二认证结果,向电子设备发送第二认证结果;如果第二认证结果指示短信验证成功,对电子设备进行挑战握手认证;如果挑战握手认证成功,得到指示认证成功的认证结果。在本实施例中,摘要认证成功、短信验证成功和挑战握手认证成功后,得到指示认证成功的认证结果,通过摘要认证、短信验证和挑战握手认证对电子设备进行认证,提高安全性。
在一种可能的实现方式中,方法还包括:将挑战握手认证中的挑战口令码保存为加解密因子,加解密因子用于加密监控设备发送的视频数据,实现在认证阶段完成加解密因子的配置,提高效率。
在一种可能的实现方式中,响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果包括:响应于认证请求,生成随机数,向电子设备发送随机数和路由设备保存的算法列表;接收电子设备发送的加密后的认证信息,加密后的认证信息是电子设备基于算法列表中的加解密算法、随机数、路由设备的用户名和密码得到;对加密后的认证信息进行认证,得到第一认证结果;如果第一认证结果指示摘要认证成功,对电子设备进行短信验证,得到第二认证结果包括:如果第一认证结果指示摘要认证成功,接收电子设备发送的短信验证码;将短信验证码和路由设备生成的短信验证码进行比对,得到第二认证结果;如果第二认证结果指示短信验证成功,对电子设备进行挑战握手认证包括:如果第二认证结果指示短信验证成功,接收电子设备发送的加密后的挑战口令码;基于加密后的挑战口令码,得到应答值,向电子设备发送应答值,应答值用于得到指示挑战握手成功或失败的第三认证结果。
在一种可能的实现方式中,响应于认证请求,生成随机数,向电子设备发送随机数和路由设备保存的算法列表;接收电子设备发送的加密后的认证信息,加密后的认证信息是电子设备基于算法列表中的加解密算法、随机数、路由设备的用户名和密码得到;对加密后的认证信息进行认证,得到第一认证结果包括:路由设备的应用业务层的认证管理模块响应于认证请求,生成随机数;认证管理模块通过路由设备的组件层的加解密模块从组件层的算法模块中获取算法列表;认证管理模块向电子设备发送随机数和算法列表;认证管理模块接收电子设备发送的加密后的认证信息,将加密后的认证信息发送给加解密模块;加解密模块调用算法列表中的加解密算法对加密后的认证信息进行解密,得到认证信息;认证管理模块基于认证信息得到第一认证结果。算法模块可以是OpenSSL算法模块。
在一种可能的实现方式中,如果第二认证结果指示短信验证成功,接收电子设备发送的加密后的挑战口令码;基于加密后的挑战口令码,得到应答值包括:路由设备的应用业务层的认证管理模块接收加密后的挑战口令码;认证管理模块将加密后的挑战口令码发送给路由设备组件层的加解密模块;加解密模块基于组件层的算法模块保存的加解密算法,对加密后的挑战口令码进行解密;认证管理模块基于挑战口令码,得到应答值。
在一种可能的实现方式中,方法还包括:接收电子设备发送的监控设备控制请求;通过路由设备的驱动层向监控设备转发监控设备控制请求,第二数据通信链路经过驱动层;如果驱动层接收到监控设备发送的视频数据,对视频数据进行加密,加密后的视频数据发送给电子设备。监控设备控制请求是与监控设备相关的请求,如视频播放请求、视频回放请求和云台控制请求,无论是监控设备控制请求还是视频数据,都可以通过路由设备的驱动层传输,省去经过路由设备其他层,从而提高传输效率,缩短传输时长。视频数据可以加密后传输,提高安全性。
在一种可能的实现方式中,通过路由设备的驱动层向监控设备转发监控设备控制指令包括:如果监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息相同,通过路由设备的驱动层向监控设备转发监控设备控制请求;方法还包括:如果监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息不同,禁止通过路由设备的驱动层向监控设备转发监控设备控制请求。路由设备在白名单中保存设备信息,如果监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息相同,说明路由设备的白名单中记录该电子设备的设备信息,电子设备是一个合法设备,可以访问监控设备,在这种情况下,路由设备可以转发监控设备控制请求,以提高安全性。
在一种可能的实现方式中,通过第一数据通信链路向监控设备转发数据通信请求包括:如果数据通信请求中携带电子设备的设备信息与路由设备保存的设备信息相同,通过第一数据通信链路向监控设备转发数据通信请求;方法还包括:如果数据通信请求中携带电子设备的设备信息与路由设备保存的设备信息不同,禁止通过第一数据通信链路向监控设备转发数据通信请求。路由设备在白名单中保存设备信息,如果监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息相同,说明路由设备的白名单中记录该电子设备的设备信息,电子设备是一个合法设备,可以通过路由设备与监控设备建立数据通信链路,在这种情况下,路由设备可以转发数据通信请求,以提高安全性。
第二方面,本申请提供一种路由设备,路由设备包括:一个或多个处理器、存储器;存储上存储有程序,当程序被一个或多个处理器执行时,使得路由设备执行上述视频监控方法。
第三方面,本申请提供一种可读存储介质,可读存储介质上存储有计算机程序,其中,计算机程序被处理器执行时实现上述视频监控方法。
第四方面,本申请提供一种视频监控装置,应用于视频监控系统的路由设备,视频监控系统还包括电子设备和监控设备,路由设备用于将监控设备的标准端口映射为非标准端口,电子设备可扫描到非标准端口,路由设备可扫描到标准端口,视频监控装置包括:接收模块,用于接收电子设备发送的认证请求,电子设备通过路由设备的动态域名请求路由设备的网际互连协议IP地址,以基于路由设备的IP地址发送认证请求;认证模块,用于响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果;发送模块,用于向电子设备发送认证结果;所述接收模块,用于接收电子设备发送的数据通信请求,通过第一数据通信链路向监控设备转发数据通信请求,数据通信请求是在认证结果指示认证成功的情况下发送;所述发送模块,用于通过第一数据通信链路向监控设备转发数据通信请求,以及用于通过第一数据通信链路向电子设备发送数据通信应答,数据通信应答指示电子设备和监控设备通过路由设备建立第二数据通信链路,第二数据通信链路在电子设备和监控设备交互时使用,第二数据通信链路的传输时长小于第一数据通信链路的传输时长。
在一种可能的实现方式中,发送模块通过第一数据通信链路向监控设备转发数据通信请求包括:调用路由设备的应用业务层的网络业务模块将数据通信请求发送给路由设备的内核层;路由设备的内核层在确定数据通信请求指向监控设备后,通过内核层向监控设备发送数据通信请求,建立第二数据通信链路;第一数据通信链路经过网络业务模块和内核层,第二数据通信链路经过路由设备的驱动层。也就是说在转发数据通信请求时,路由设备可通过应用业务层的网络业务模块和内核层完成数据通信请求转发。第二数据通信链路经过路由设备的驱动层,说明在完成第二数据通信链路的建立后,电子设备可通过路由设备的驱动层与监控设备交互,相对于经过应用业务层和内核层来说,传输路径被缩短,从而缩短数据传输时长。
在一种可能的实现方式中,通过内核层向监控设备发送数据通信请求包括:在内核层接收到数据通信请求后,将数据通信请求的源地址转换为路由设备的地址,数据通信请求的源端口转换为路由设备的端口;对源地址和源端口转换后的数据通信请求进行路由选择判断,得到路由结果;若路由结果指示源地址和源端口转换后的数据通信请求指向监控设备,将源地址和源端口转换后的数据通信请求的目的地址转换为监控设备的地址,源地址和源端口转换后的数据通信请求的目的端口转换为监控设备的端口;向监控设备发送目的地址和目的端口转换后的数据通信请求。通过地址和端口的转换,使得监控设备的地址和端口没有暴露给电子设备,提高安全性。
在一种可能的实现方式中,认证模块响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果包括:响应于认证请求,对电子设备进行摘要认证,得到第一认证结果,向电子设备发送第一认证结果;如果第一认证结果指示摘要认证成功,对电子设备进行短信验证,得到第二认证结果,向电子设备发送第二认证结果;如果第二认证结果指示短信验证成功,对电子设备进行挑战握手认证;如果挑战握手认证成功,得到指示认证成功的认证结果。在本实施例中,摘要认证成功、短信验证成功和挑战握手认证成功后,得到指示认证成功的认证结果,通过摘要认证、短信验证和挑战握手认证对电子设备进行认证,提高安全性。
在一种可能的实现方式中,视频监控装置还包括:保存模块,用于将挑战握手认证中的挑战口令码保存为加解密因子,加解密因子用于加密监控设备发送的视频数据,实现在认证阶段完成加解密因子的配置,提高效率。
在一种可能的实现方式中,认证模块响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果包括:响应于认证请求,生成随机数,向电子设备发送随机数和路由设备保存的算法列表;接收电子设备发送的加密后的认证信息,加密后的认证信息是电子设备基于算法列表中的加解密算法、随机数、路由设备的用户名和密码得到;对加密后的认证信息进行认证,得到第一认证结果;如果第一认证结果指示摘要认证成功,对电子设备进行短信验证,得到第二认证结果包括:如果第一认证结果指示摘要认证成功,接收电子设备发送的短信验证码;将短信验证码和路由设备生成的短信验证码进行比对,得到第二认证结果;如果第二认证结果指示短信验证成功,对电子设备进行挑战握手认证包括:如果第二认证结果指示短信验证成功,接收电子设备发送的加密后的挑战口令码;基于加密后的挑战口令码,得到应答值,向电子设备发送应答值,应答值用于得到指示挑战握手成功或失败的第三认证结果。
在一种可能的实现方式中,响应于认证请求,生成随机数,向电子设备发送随机数和路由设备保存的算法列表;接收电子设备发送的加密后的认证信息,加密后的认证信息是电子设备基于算法列表中的加解密算法、随机数、路由设备的用户名和密码得到;对加密后的认证信息进行认证,得到第一认证结果包括:路由设备的应用业务层的认证管理模块响应于认证请求,生成随机数;认证管理模块通过路由设备的组件层的加解密模块从组件层的算法模块中获取算法列表;认证管理模块向电子设备发送随机数和算法列表;认证管理模块接收电子设备发送的加密后的认证信息,将加密后的认证信息发送给加解密模块;加解密模块调用算法列表中的加解密算法对加密后的认证信息进行解密,得到认证信息;认证管理模块基于认证信息得到第一认证结果。算法模块可以是OpenSSL算法模块,认证模块通过对认证管理模块、加解密模块和算法模块的调用完成认证,或者认证模块是认证管理模块,认证管理模块通过对加解密模块和算法模块的调用完成认证。
在一种可能的实现方式中,如果第二认证结果指示短信验证成功,接收电子设备发送的加密后的挑战口令码;基于加密后的挑战口令码,得到应答值包括:路由设备的应用业务层的认证管理模块接收加密后的挑战口令码;认证管理模块将加密后的挑战口令码发送给路由设备组件层的加解密模块;加解密模块基于组件层的算法模块保存的加解密算法,对加密后的挑战口令码进行解密;认证管理模块基于挑战口令码,得到应答值。认证模块通过对认证管理模块、加解密模块和算法模块的调用完成认证,或者认证模块是认证管理模块,认证管理模块通过对加解密模块和算法模块的调用完成认证。
在一种可能的实现方式中,接收模块,还用于接收电子设备发送的监控设备控制请求;发送模块,还用于通过路由设备的驱动层向监控设备转发监控设备控制请求,第二数据通信链路经过驱动层;视频监控装置还包括加密模块,用于如果驱动层接收到监控设备发送的视频数据,对视频数据进行加密,加密后的视频数据发送给电子设备。监控设备控制请求是与监控设备相关的请求,如视频播放请求、视频回放请求和云台控制请求,无论是监控设备控制请求还是视频数据,都可以通过路由设备的驱动层传输,省去经过路由设备其他层,从而提高传输效率,缩短传输时长。视频数据可以加密后传输,提高安全性。
在一种可能的实现方式中,视频监控装置还包括:确定模块,用于确定监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息是否相同,如果相同,触发发送模块通过路由设备的驱动层向监控设备转发监控设备控制请求;如果不同,禁止发送模块通过路由设备的驱动层向监控设备转发监控设备控制请求。路由设备在白名单中保存设备信息,如果监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息相同,说明路由设备的白名单中记录该电子设备的设备信息,电子设备是一个合法设备,可以访问监控设备,在这种情况下,路由设备可以转发监控设备控制请求,以提高安全性。
在一种可能的实现方式中,视频监控装置还包括:确定模块,用于确定监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息是否相同,如果相同,触发发送模块通过第一数据通信链路向监控设备转发数据通信请求;如果不同,禁止发送模块通过第一数据通信链路向监控设备转发数据通信请求。路由设备在白名单中保存设备信息,如果监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息相同,说明路由设备的白名单中记录该电子设备的设备信息,电子设备是一个合法设备,可以通过路由设备与监控设备建立数据通信链路,在这种情况下,路由设备可以转发数据通信请求,以提高安全性。
附图说明
图1为本申请提供的视频监控系统的一种系统架构图;
图2为本申请提供的视频监控系统的另一种系统架构图;
图3为本申请提供的路由器的软件结构图;
图4为本申请提供的与路由器建立连接的时序图;
图5为本申请提供的多重认证的时序图;
图6为本申请提供的视频数据的加密传输流程图;
图7为本申请提供的视频监控方法的时序图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。以下实施例中所使用的术语只是为了描述特定实施例的目的,而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样,单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式,除非其上下文中明确地有相反指示。还应当理解,在本申请实施例中,“一个或多个”是指一个、两个或两个以上;“和/或”,描述关联对象的关联关系,表示可以存在三种关系;例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。
在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例涉及的多个,是指大于或等于两个。需要说明的是,在本申请实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
图1示出了视频监控系统的一种系统架构图,远程看护系统包括监控设备10、路由器20、视频云服务器30和电子设备40,其中监控设备10可以是网络摄像机、监控设备10可以布置在被监控地点,如将监控设备10布置在被监控对象的房屋里。监控设备10可以连接到路由器20提供的网络中。视频云服务器30可以是监控设备厂商的服务器,该视频云服务器30可以存储监控设备10采集的视频数据。一些示例中,监控设备10将视频数据发送给路由器20,再由路由器20发送给视频云服务器30,由视频云服务器30存储视频数据。监控设备10发送视频数据的时机可以是:在监控设备10采集到视频数据后发送,这样视频云服务器30可以及时更新视频数据,但是监控设备10发送视频数据比较频繁,对网络资源占用较多;又或者,监控设备10每间隔一段时间发送一次视频数据,间隔的时间可以固定也可以变化,虽然视频云服务器30不能及时更新视频数据,但是监控设备发送视频数据的次数降低,减少对网络资源的占用。
电子设备40由用户使用,电子设备40可以是手机、智慧屏、平板电脑、可穿戴电子设备(如手表、手环、耳机等)、车载电子设备、增强现实(augmented reality,AR)设备、虚拟现实(virtual reality,VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobilepersonal computer,UMPC)、上网本、个人数字助理(personal digital assistant,PDA)、投影仪等等。用户在购买监控设备10后,用户可以将电子设备40注册到视频云服务器30上,一种方式是,用户可以在视频云服务器30上注册账号和密码,电子设备40通过账号和密码登录到视频云服务器30上,使得电子设备40连接至视频云服务器30上。用户可以通过电子设备40发送与监控设备10相关的请求至视频云服务器30,由视频云服务器30处理与监控设备10相关的请求。
与监控设备10相关的请求包括视频播放请求、视频回放请求和云台控制请求。视频播放请求是观看被监控地点的实时视频。视频回放请求是指播放监控设备10在过去一段时间的视频(简称历史视频),视频回放请求中可以携带用户指定的历史时间,以播放历史时间采集到的视频数据。云台控制请求是对监控设备10的云台进行控制,以调整监控设备10的监控角度等。视频云服务器30在接收到视频播放请求后,通过路由器20向监控设备10转发视频播放请求,监控设备10通过路由器20和视频云服务器30反馈实时的视频数据至电子设备40,用户可通过电子设备40观看。
视频云服务器30在接收到视频回放请求,根据视频回放请求中的历史时间查找历史时间下采集到的视频数据,通过网络发送给电子设备。视频云服务器30在接收到云台控制请求后,通过路由器20发送给监控设备10,由监控设备根据云台控制请求调整监控角度。
从视频监控系统中各设备之间的交互可知,电子设备40可以连接至视频云服务器30,通过视频云服务器30间接操作监控设备10,电子设备40与监控设备10之间通信链路的安全性主要取决于视频云服务器30的安全性,若视频云服务器30出现漏洞被非法人员获取监控设备10的访问权限,则存在用户隐私被泄露的风险。
针对该问题,本申请对视频监控系统进行修改,如修改后的视频监控系统的结构如图2所示,相对于图1所示视频监控系统,去除了视频云服务器,减少了通信链路的节点,从而降低用户隐私被泄露的风险。基于图2所示视频监控系统,本申请提供的视频监控方法可以利用路由器的DDNS(dynamic domain name server,动态域名服务)功能,将路由器注册到DDNS服务器,在注册到DDNS服务器后,DDNS服务器可以提供访问路由器所需的域名和IP(internet protocol,网际互连协议)地址,电子设备可以通过域名和IP地址与路由器建立连接,从而通过路由器与监控设备进行通信,使得电子设备和监控设备之间的通信链路可以去掉视频云服务器,减少通信链路中的节点,降低用户隐私被泄露的风险。
在用户购买到路由器,第一次开始使用路由器时,电子设备可以通过网络(如路由器提供的无线网络或者通过网线与路由器连接)将设备信息注册到路由器中,或者电子设备通过近场通信(near field communication,NFC)的方式将设备信息注册到路由器中,设备信息用于使得路由器通过设备信息可以定位到唯一的一个电子设备,设备信息可以包括手机号码、国际移动设备识别码(international mobile equipment identity,IMEI和国际移动用户识别码(international mobile subscriber identity,IMSI),路由器可以将设备信息记录在白名单中。
其中,路由器的软件架构如图3所示,路由器的软件架构将软件分成若干个层,每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中,路由器的软件架构分为四层,从上至下分别为应用业务层、组件层、内核层和驱动层。应用业务层包括认证管理模块、通信模块、DDNS模块、网页服务器(WebServer)和网络业务模块。组件层包括OpenSSL(open secure sockets layer,开放式安全套接层协议)算法模块和加解密模块。内核层包括协议栈模块、内存管理模块、进程管理模块、调度器和文件系统模块,协议栈模块包括NAT(network address translation,网络地址转换)模块、防火墙和智能业务识别模块。驱动层包括网络驱动、存储驱动和指示灯驱动等。
认证管理模块用于针对电子设备通过路由器远程访问监控设备,完成多重认证。认证管理模块可以依赖OpenSSL算法模块和加解密模块实现密钥认证以及数据加密功能,如OpenSSL算法模块可以提供OpenSSL开源框架内的加解密算法,认证管理模块在进行密钥认证时,调用加解密模块,加解密模块可以从OpenSSL算法模块提供的加解密算法中选择一个算法进行密钥认证,同样的加解密算法也可以调用OpenSSL算法模块提供的加解密算法,加密视频流(也可以称为视频数据)。通信模块用于实现与电子设备的通信,例如通信模块可以是GSM(global system for mobile communications,全球移动通信系统)模块,通过GAM模块遵循GSM标准与电子设备进行通信,DDNS模块用于与DDNS服务器进行通信,以动态管理路由器的IP地址和动态域名。网络业务模块用于执行网络业务,如电子设备对路由器的管理,也可以控制对监控设备的访问等等。
NAT模块用于进行网络地址转换,防火墙用于对路由器的安全进行防护,智能业务识别模块用于识别路由器当前执行的网络业务类型,例如识别是否执行电子设备对监控设备的访问;内存管理模块用于管理路由器的内存;进程管理模块用于管理路由器的进程;文件系统模块用于管理路由器中的文件;调度器用于对任务调度进行管理,如对游戏任务、网页任务的调度进行管理。网络驱动包括以太网(Ethernet)驱动、无线(WIFI)驱动、通用异步收发器(universal asynchronous receiver/transmitter,UART)驱动,以通过这些网络驱动完成利用不同网络的通信,存储驱动可以是闪存(Flash)驱动,路由器可以利用Flash存储文件等,指示灯驱动可以是LED驱动,通过LED驱动驱动路由器中LED的亮和灭。
若用户通过电子设备访问监控设备,电子设备与路由器先建立连接,然后电子设备通过路由器访问监控设备,访问的监控设备也与路由器建立了连接。其中,电子设备访问路由器以建立连接的时序图如图4所示,可以包括以下步骤:
S101、用户通过电子设备设置动态域名、用户名及密码。
电子设备可以显示一个路由器设置界面,路由器设置界面包括动态域名设置选项、用户名设置选项和密码设置选项,用户可以在动态域名设置选项中设置动态域名,在用户名设置选项设置用户名,在密码设置选项设置密码。
动态域名可以是路由器的动态域名,路由器的动态域名是为了电子设备能够访问路由器,用户名和密码在用户管理路由器时使用,通过用户名和密码可以登录到路由器上,由用户控制管理路由器,如用户在通过用户名和密码登录到路由器后,设置路由器提供的网络的账户和密码,也可以设置路由器的IP地址等。一般路由器提供的网络的账户和用户控制管理路由器使用的用户名相同,路由器提供的网络的密码和用户控制管理路由器使用的密码相同,由此一次完成用户名和密码、账户和密码的设置。
S102、路由器利用DDNS功能将路由器注册到DDNS服务器。DDNS功能用来动态更新DDNS服务器上域名和IP地址之间的对应关系,从而保证通过域名访问到正确的IP地址。域名是路由器的动态域名,IP地址是路由器的IP地址,在利用DDNS功能注册时,路由器可以将动态域名和IP地址发送给DDNS服务器,DDNS服务器记录路由器的动态域名和IP地址。
S103、路由器在确定IP地址发生变化后将变化后的IP地址更新到DDNS服务器。一般情况下,路由器的动态域名可以固定不变,而路由器的IP地址可以变化,因此路由器在注册到DDNS服务器后,路由器可以对自身的IP地址进行监测,在监测到路由器的IP地址发生变化后,向DDNS服务器发送变化后的IP地址。在这里说明一点:步骤S103是循环执行的,以使得路由器可以及时将变化后的IP地址发送给DDNS服务器,保证DDNS服务器中路由器的IP地址是准确的。
S104、DDNS服务器记录路由器的动态域名和IP地址。路由器注册到DDNS服务器后,DDNS服务器可以记录路由器的动态域名和IP地址。DDNS服务器每接收到变化后的IP地址,更新DDNS服务器记录的路由器的IP地址,将变化后的IP地址和路由器的动态域名建立关系,以通过路由器的动态域名可以准确获取路由器的IP地址。
S105、电子设备通过路由器的动态域名请求路由器的IP地址。路由器的动态域名可以由用户输入到电子设备中,然后电子设备可以通过动态域名请求IP地址,具体是向DDNS请求路由器的IP地址。IP地址的请求可以是在电子设备与路由器建立连接之前或触发与路由器建立连接时请求,本实施例不进行限定。
S106、DDNS服务器返回路由器的IP地址。
S107、电子设备利用路由器的IP地址、路由器的账户和路由器的密码与路由器建立连接。其中、路由器的账户和路由器的密码是路由器提供网络的账户和密码,通过该账户和密码可以向具有步骤S107的IP地址的路由器发送连接请求,以与路由器建立连接。
例如电子设备显示可连接的路由器的账户,用户触发电子设备与具有路由器的账户的网络建立连接,电子设备可以向路由器发送连接请求,路由器向电子设备发送密码输入指令。电子设备在接收到密码输入指令后显示密码输入界面,用户可以在密码输入界面中输入路由器的密码。
S108、路由器向电子设备返回连接响应。如果电子设备建立连接时向路由器发送的账户和密码正确,路由器向电子设备返回连接成功的响应;如果向路由器发送的账户和/或密码错误,路由器向电子设备返回连接失败的响应。
在电子设备与路由器建立连接过程中,路由器可以对电子设备进行多重认证,多重认证通过后电子设备可以与路由器建立连接,以通过多重认证提高安全性。多重认证可以包括:摘要认证、短信验证以及挑战握手三种认证。摘要认证阶段采用用户名和密码进行认证;短信认证用于验证远程访问是否位于白名单用户中;挑战握手用于通过三次握手周期性的校验电子设备的身份。路由器的多重认证的时序图如图5所示,可以包括以下步骤:
S201、电子设备向路由器发送请求认证。
S202、路由器在接收到请求认证后,生成一个随机数,将随机数及路由器支持的算法列表发送给电子设备。
S203、电子设备从路由器支持的算法列表中选择一个算法,通过选择的算法对随机数、用户名和密码进行处理,以生成加密后的认证信息,加密后的认证信息发送给路由器,其中用户名和密码是在步骤S101中设置,路由器支持的算法可以是OpenSSL算法模块提供的算法。
S204、路由器对加密后的认证信息进行认证,向电子设备返回认证结果,从而完成对电子设备的摘要认证。在摘要认证中,OpenSSL算法模块可以向路由器提供算法列表,算法列表中记录有多种加解密算法,以通过加解密算法进行摘要认证,摘要认证是加密后的认证信息。加解密模块可以调用算法列表中电子设备使用的算法,对随机数、用户名和密码进行处理,以得到待匹配认证信息,如果待匹配认证信息和加密后的认证信息相同,向电子设备返回认证成功的认证结果;如果待匹配认证信息和加密后的认证信息不同,向电子设备返回认证失败的认证结果。如果向电子设备返回认证失败的认证结果,说明电子设备被禁止访问监控设备,那么电子设备和路由器可以不再执行短信验证以及挑战握手认证。
S205、电子设备向路由器发送短信验证码。如果路由器得到认证成功的认证结果,路由器生成一个短信验证码,并发送给电子设备,该短信验证码用于进行短信验证。
S206、路由器接收到短信验证码后,将收到的短信验证码和路由器生成的短信验证码进行比对,以得到验证码认证结果,将验证码认证结果发送给电子设备。如果收到的短信验证码和路由器生成的短信验证码相同,得到验证码成功的验证码认证结果,确定出发送短信验证码的电子设备为上述进行摘要认证的电子设备;如果收到的短信验证码和路由器生成的短信验证码不同,得到验证码失败的验证码认证结果,确定出发送短信验证码的电子设备不是上述进行摘要认证的电子设备,电子设备是非法设备的可能性更大。
如果向电子设备返回验证码失败的验证码认证结果,说明电子设备被禁止访问监控设备,那么电子设备和路由器可以不再执行挑战握手认证。
S207、电子设备向路由器发送加密后的challenge code(挑战口令码)。电子设备可以利用一个密钥对challenge code进行加密。
S208、路由器接收到加密后的challenge code后,计算出应答值,向电子设备返回应答值。在一些示例中,路由器可以调用散列函数(hash函数)对加密后的challenge code进行计算,得到应答值。
S209、电子设备接收到应答值后,将应答值与电子设备计算的应答值进行比对,如果相同,确定完成挑战握手认证,且认证成功。
如果电子设备经过上述摘要认证、短信验证和挑战握手三个认证之后认证成功,说明电子设备是一个合法设备,电子设备可以与路由器进行通信,如下述步骤S210。如果电子设备经过上述摘要认证、短信验证和挑战握手三个认证之后认证失败,电子设备可以向路由管理设备发送提示信息,以提示当前存在对监控设备的非法访问。例如摘要认证、短信验证和挑战握手三个认证都认证失败,或者多次进行摘要认证、短信验证和挑战握手后认证失败,电子设备可以以短信方式向路由管理设备发送提示信息。
摘要认证和短信验证是为了验证电子设备在路由器上的登录,以验证电子设备可以访问路由器,通过挑战握手将challenge code作为加解密因子使用,说明电子设备即将进行数据传输,数据传输是建立在电子设备可以访问路由器的基础上,因此挑战握手在摘要认证和短信验证之后。
S210、电子设备向路由器发送数据通信请求。
S211、路由器向电子设备发送数据通信应答。
电子设备认证成功后,电子设备和路由器之间可以建立数据通信链路,电子设备可以通过路由器访问监控设备,电子设备通过路由器与监控设备建立数据通信链路,如电子设备在步骤S210中向路由器发送数据通信请求,路由器可以将数据通信请求发送给监控设备,再由监控设备通过路由器向电子设备发送数据通信应答,数据通信应答可以指示通过路由器建立与监控设备之间的数据通信链路,其流程图图6所示。
电子设备发送数据通信请求,数据通信请求经过驱动层上传至内核层的协议栈模块。协议栈模块中的源信息转换单元(PREROUTING)对数据通信请求中的源地址和源端口进行转换,将源地址转换为路由器的地址,将源端口转换为路由器的端口;协议栈模块中的路由选择单元(Route Decision)进行路由判断,如果判断出是与监控设备相关的,则通过转发单元(FORWARD)透传源地址和源端口转换后的数据通信请求;在发送至监控设备之前,协议栈模块中的目的信息转换单元(POSTROUTING)对数据通信请求中的目的地址和目的端口进行转换,将目的地址转换为监控设备的地址,将目的端口转换为监控设备的端口,POSTROUTING可以将目的地址和目的端口转换后的数据通信请求发送给监控设备,其中POSTROUTING可以调用NAT模块进行转换。
NAT模块识别到当前访问端口为监控设备的端口,协议栈模块可以建立加速链路,加速链路用于指示路由器再次接收到与监控设备相关的请求/指令后可以通过驱动层发送给监控设备。
监控设备在接收到数据通信请求后,可以通过路由器向电子设备反馈数据通信应答,在反馈数据通信应答时,协议栈模块可以对数据通信应答进行源地址、源端口、目的地址和目的端口的转换,使得电子设备认为数据通信应答是路由器发送的。
电子设备再次向路由器发送请求,该请求可以是视频播放请求、视频回放请求等,因为路由器为电子设备建立了加速链路(第二数据通信链路),电子设备发送的请求可以通过驱动层发送给监控设备,省去协议栈模块的处理环节,从而提高传输速度。监控设备返回视频数据后,驱动层可以调用加解密模块,由加解密模块从OpenSSL算法模块提供的加解密算法中选择一个算法,利用challenge code对视频数据进行加密,然后通过驱动层发送给电子设备,视频加密加速传输在图6中示出。
如果路由器接收到针对路由器的请求,如管理路由器的IP地址的请求,设置路由器的动态域名的请求,在Route Decision判断出是与路由器相关的,针对路由器的请求可以输入(INPUT)到应用业务层的网络业务模块,通过网络业务模块执行针对路由器的请求,执行结果输出(OUTPUT)到POSTROUTING,通过POSTROUTING将执行结果发送给电子设备。
在这里说明一点:路由器接收到数据通信请求后,将数据通信请求中携带的设备信息与白名单中的设备信息进行比对,以确定发送数据通信请求的电子设备是否在白名单中,如果在白名单中,通过路由器在电子设备和路由器之间建立数据通信链路,否则禁止建立数据通信链路;或者在路由器接收到与监控设备相关的请求(如视频播放请求、视频回放请求、云台控制请求等),路由器判断电子设备是否在白名单中,如果在白名单中,路由器向监控设备转发请求,否则禁止转发,以禁止访问监控设备。
结合上述图3至图6,本申请提供的视频监控方法的时序图如图7所示,可以包括以下步骤:
S301、电子设备向认证管理模块发送设备信息,以将设备信息注册到路由器中。
S302、电子设备向认证管理模块发送动态域名、用户名和密码。
S303、认证管理模块向DDNS服务器发送动态域名和IP地址,认证管理模块可以在注册请求中携带动态域名和路由器的IP地址,在路由器的IP地址变化后,认证管理模块可以直接发送变化后的IP地址至DDNS服务器。
S304、电子设备通过路由器的动态域名向DDNS服务器请求路由器的IP地址。
S305、DDNS服务器返回路由器的IP地址至电子设备。
S306、电子设备向认证管理模块发送认证请求。
S307、认证管理模块向加解密模块发送认证处理请求。
S308、加解密模块调用接口从OpenSSL算法模块中获取算法列表。
S309、认证管理模块生成随机数,向电子设备发送随机数和算法列表。
S310、电子设备从算法列表中选择一个算法,通过选择的算法对随机数、用户名和密码进行处理,以生成加密后的认证信息,加密后的认证信息通过认证管理模块发送给加解密模块。
S311、加解密模块对加密后的认证信息进行认证,通过认证管理模块向电子设备返回认证结果,从而完成对电子设备的摘要认证。
S312、电子设备向认证管理模块发送短信验证码。如果认证管理模块确定在摘要认证阶段认证成功,认证管理模块可以生成一个短信验证码,并发送给电子设备,该短信验证码用于进行短信验证。
S313、认证管理模块接收到短信验证码后,将收到的短信验证码和认证管理模块生成的短信验证码进行比对,以得到验证码认证结果,将验证码认证结果发送给电子设备。
S314、电子设备向认证管理模块发送加密后的challenge code,认证管理模块向加解密模块发送加密后的challenge code。
S315、加解密模块对加密后的challenge code进行解密,解密后的challengecode发送给认证管理模块。
S316、认证管理模块对challenge code进行Hash计算,得到应答值,向电子设备返回应答值。
S317、电子设备接收到应答值后,将应答值与电子设备计算的应答值进行比对,如果相同,确定完成挑战握手认证,且认证成功。
如果电子设备经过上述摘要认证、短信验证和挑战握手三个认证之后认证成功,说明电子设备是一个合法设备,电子设备可以与路由器进行通信,如下述步骤S210。如果电子设备经过上述摘要认证、短信验证和挑战握手三个认证之后认证失败,电子设备可以向路由管理设备发送提示信息,以提示当前存在对监控设备的非法访问。例如摘要认证、短信验证和挑战握手三个认证都认证失败,或者多次进行摘要认证、短信验证和挑战握手后认证失败,电子设备可以以短信方式向路由管理设备发送提示信息。
S318、电子设备向网络业务模块发送数据通信请求,数据通信请求用于在电子设备和监控设备之间建立数据通信链路。
S319、网络业务模块通过内核层向监控设备发送数据通信请求,如通过内核层的协议栈模块发送数据通信请求。网络业务模块至内核层的路径为第一数据通信链路或第一数据通信链路的部分路径。
S320、内核建立加速链路(第二数据通信链路),加速链路指示通过驱动层发送,可以不经过协议栈模块。步骤S320和步骤S319可以同步执行,也可以先执行步骤S320,再执行步骤S319。
S321、监控设备通过内核层、网络业务模块向电子设备返回数据通信应答,数据通信应答指示通过路由器在电子设备和监控设备之间建立了数据通信链路,如加速链路。加速链路可以在路由器接收到数据通信应答之前建立也可以在接收到数据通信应答之后建立,此处不进行限定。
S322、电子设备通过驱动层向监控设备发送请求,请求可以是视频播放请求、视频回放请求、云台控制请求等中的至少一个。
S323、如果请求是视频播放请求或视频回放请求,监控设备向驱动层返回与请求对应的视频数据。
S324、驱动层调用加解密模块对视频数据进行加密,加密后的数据发送给电子设备。加解密模块可以利用challenge code对视频数据进行加密。
S325、如果请求是云台控制请求,监控设备通过驱动层向电子设备返回监控设备对云台控制请求作出的响应。
此外,在本实施例中,监控设备与路由器连接后,监控设备可以通过网络将监控设备的信息注册到路由器中,监控设备的信息包括监控设备的实时流传输协议(real timestreaming protocol,RTSP)端口,该RTSP端口是一个标准端口,RTSP端口用于接收指令以实现对监控设备的访问。
路由器可以采用端口映射功能将监控设备的RTSP端口映射为非标准端口,非标准端口对于用户是可见的,电子设备可以扫描到该非标准端口,以发起针对该非标准端口的访问。RTSP端口对于用户是不可见的,路由器可以通过该RTSP端口向监控设备发送指令,以实现通过RTSP端口对监控设备的访问。也就是说,对于处于路由器的外部网络的电子设备来说,电子设备只能访问到路由器,路由器将监控设备隔离在路由器的内部网络中,不对外暴露监控设备的信息,如监控设备的RTSP端口。
一般RTSP端口是网络摄像头等监控设备的端口,如果将监控设备的RTSP端口对用户可见,那么非法人员通过电子设备可以发起对监控设备的攻击,降低安全性。非标准端口是一个非标准的端口,例如路由器可以自定义一个非标准端口,无论是合法用户(如监控设备的买方)还是非法用户,通过非标准端口不能确定非标准端口所属设备,降低被攻击的可能性,从而提高安全性。此外对于合法用户因为不能确定非标准端口所属设备,合法用户通过电子设备访问监控设备时,访问的监控设备可能不是合法用户想要访问的监控设备,使得合法用户通过多次访问,达到访问用户想访问的监控设备的目的。
本申请还提供一种路由设备,路由设备包括:一个或多个处理器、存储器;存储上存储有程序,当程序被一个或多个处理器执行时,使得路由设备执行上述视频监控方法。
本申请还提供一种可读存储介质,可读存储介质上存储有计算机程序,其中,计算机程序被处理器执行时实现上述视频监控方法。
本申请还提供一种视频监控装置,应用于视频监控系统的路由设备,视频监控系统还包括电子设备和监控设备,路由设备用于将监控设备的标准端口映射为非标准端口,电子设备可扫描到非标准端口,路由设备可扫描到标准端口,视频监控装置包括:接收模块、认证模块和发送模块。
接收模块,用于接收电子设备发送的认证请求,电子设备通过路由设备的动态域名请求路由设备的网际互连协议IP地址,以基于路由设备的IP地址发送认证请求;认证模块,用于响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果;发送模块,用于向电子设备发送认证结果;所述接收模块,用于接收电子设备发送的数据通信请求,通过第一数据通信链路向监控设备转发数据通信请求,数据通信请求是在认证结果指示认证成功的情况下发送;所述发送模块,用于通过第一数据通信链路向监控设备转发数据通信请求,以及用于通过第一数据通信链路向电子设备发送数据通信应答,数据通信应答指示电子设备和监控设备通过路由设备建立第二数据通信链路,第二数据通信链路在电子设备和监控设备交互时使用,第二数据通信链路的传输时长小于第一数据通信链路的传输时长。
在一种可能的实现方式中,发送模块通过第一数据通信链路向监控设备转发数据通信请求包括:调用路由设备的应用业务层的网络业务模块将数据通信请求发送给路由设备的内核层;路由设备的内核层在确定数据通信请求指向监控设备后,通过内核层向监控设备发送数据通信请求,建立第二数据通信链路;第一数据通信链路经过网络业务模块和内核层,第二数据通信链路经过路由设备的驱动层。也就是说在转发数据通信请求时,路由设备可通过应用业务层的网络业务模块和内核层完成数据通信请求转发。第二数据通信链路经过路由设备的驱动层,说明在完成第二数据通信链路的建立后,电子设备可通过路由设备的驱动层与监控设备交互,相对于经过应用业务层和内核层来说,传输路径被缩短,从而缩短数据传输时长。
在一种可能的实现方式中,通过内核层向监控设备发送数据通信请求包括:在内核层接收到数据通信请求后,将数据通信请求的源地址转换为路由设备的地址,数据通信请求的源端口转换为路由设备的端口;对源地址和源端口转换后的数据通信请求进行路由选择判断,得到路由结果;若路由结果指示源地址和源端口转换后的数据通信请求指向监控设备,将源地址和源端口转换后的数据通信请求的目的地址转换为监控设备的地址,源地址和源端口转换后的数据通信请求的目的端口转换为监控设备的端口;向监控设备发送目的地址和目的端口转换后的数据通信请求。通过地址和端口的转换,使得监控设备的地址和端口没有暴露给电子设备,提高安全性。
在一种可能的实现方式中,认证模块响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果包括:响应于认证请求,对电子设备进行摘要认证,得到第一认证结果,向电子设备发送第一认证结果;如果第一认证结果指示摘要认证成功,对电子设备进行短信验证,得到第二认证结果,向电子设备发送第二认证结果;如果第二认证结果指示短信验证成功,对电子设备进行挑战握手认证;如果挑战握手认证成功,得到指示认证成功的认证结果。在本实施例中,摘要认证成功、短信验证成功和挑战握手认证成功后,得到指示认证成功的认证结果,通过摘要认证、短信验证和挑战握手认证对电子设备进行认证,提高安全性。
在一种可能的实现方式中,视频监控装置还包括:保存模块,用于将挑战握手认证中的挑战口令码保存为加解密因子,加解密因子用于加密监控设备发送的视频数据,实现在认证阶段完成加解密因子的配置,提高效率。
在一种可能的实现方式中,认证模块响应于认证请求,对电子设备至少进行第一类型认证和第二类型认证,得到认证结果包括:响应于认证请求,生成随机数,向电子设备发送随机数和路由设备保存的算法列表;接收电子设备发送的加密后的认证信息,加密后的认证信息是电子设备基于算法列表中的加解密算法、随机数、路由设备的用户名和密码得到;对加密后的认证信息进行认证,得到第一认证结果;如果第一认证结果指示摘要认证成功,对电子设备进行短信验证,得到第二认证结果包括:如果第一认证结果指示摘要认证成功,接收电子设备发送的短信验证码;将短信验证码和路由设备生成的短信验证码进行比对,得到第二认证结果;如果第二认证结果指示短信验证成功,对电子设备进行挑战握手认证包括:如果第二认证结果指示短信验证成功,接收电子设备发送的加密后的挑战口令码;基于加密后的挑战口令码,得到应答值,向电子设备发送应答值,应答值用于得到指示挑战握手成功或失败的第三认证结果。
在一种可能的实现方式中,响应于认证请求,生成随机数,向电子设备发送随机数和路由设备保存的算法列表;接收电子设备发送的加密后的认证信息,加密后的认证信息是电子设备基于算法列表中的加解密算法、随机数、路由设备的用户名和密码得到;对加密后的认证信息进行认证,得到第一认证结果包括:路由设备的应用业务层的认证管理模块响应于认证请求,生成随机数;认证管理模块通过组件层的加解密模块从组件层的算法模块中获取算法列表;认证管理模块向电子设备发送随机数和算法列表;认证管理模块接收电子设备发送的加密后的认证信息,将加密后的认证信息发送给加解密模块;加解密模块调用算法列表中的加解密算法对加密后的认证信息进行解密,得到认证信息;认证管理模块基于认证信息得到第一认证结果。
在一种可能的实现方式中,如果第二认证结果指示短信验证成功,接收电子设备发送的加密后的挑战口令码;基于加密后的挑战口令码,得到应答值包括:路由设备的应用业务层的认证管理模块接收加密后的挑战口令码;认证管理模块将加密后的挑战口令码发送给组件层的加解密模块;加解密模块基于应用业务层的算法模块保存的加解密算法,对加密后的挑战口令码进行解密;认证管理模块基于挑战口令码,得到应答值。
在一种可能的实现方式中,接收模块,还用于接收电子设备发送的监控设备控制请求;发送模块,还用于通过路由设备的驱动层向监控设备转发监控设备控制请求,第二数据通信链路经过驱动层;视频监控装置还包括加密模块,用于如果驱动层接收到监控设备发送的视频数据,对视频数据进行加密,加密后的视频数据发送给电子设备。监控设备控制请求是与监控设备相关的请求,如视频播放请求、视频回放请求和云台控制请求,无论是监控设备控制请求还是视频数据,都可以通过路由设备的驱动层传输,省去经过路由设备其他层,从而提高传输效率,缩短传输时长。视频数据可以加密后传输,提高安全性。加密模块可以是组件层中的加解密模块。
在一种可能的实现方式中,视频监控装置还包括:确定模块,用于确定监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息是否相同,如果相同,触发发送模块通过路由设备的驱动层向监控设备转发监控设备控制请求;如果不同,禁止发送模块通过路由设备的驱动层向监控设备转发监控设备控制请求。路由设备在白名单中保存设备信息,如果监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息相同,说明路由设备的白名单中记录该电子设备的设备信息,电子设备是一个合法设备,可以访问监控设备,在这种情况下,路由设备可以转发监控设备控制请求,以提高安全性。
在一种可能的实现方式中,视频监控装置还包括:确定模块,用于确定监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息是否相同,如果相同,触发发送模块通过第一数据通信链路向监控设备转发数据通信请求;如果不同,禁止发送模块通过第一数据通信链路向监控设备转发数据通信请求。路由设备在白名单中保存设备信息,如果监控设备控制请求中携带电子设备的设备信息与路由设备保存的设备信息相同,说明路由设备的白名单中记录该电子设备的设备信息,电子设备是一个合法设备,可以通过路由设备与监控设备建立数据通信链路,在这种情况下,路由设备可以转发数据通信请求,以提高安全性。
Claims (13)
1.一种视频监控方法,其特征在于,应用于视频监控系统的路由设备,所述视频监控系统还包括电子设备和监控设备,所述路由设备用于将所述监控设备的标准端口映射为非标准端口,所述电子设备可扫描到所述非标准端口但所述电子设备不可扫描到所述监控设备的标准端口,所述路由设备可扫描到所述监控设备的标准端口,所述方法包括:
接收所述电子设备发送的认证请求,所述电子设备通过路由设备的动态域名请求所述路由设备的网际互连协议IP地址,以基于所述路由设备的IP地址发送所述认证请求;
响应于所述认证请求,对所述电子设备至少进行第一类型认证和第二类型认证,得到认证结果,向所述电子设备发送所述认证结果;
接收所述电子设备发送的数据通信请求,通过第一数据通信链路向所述监控设备转发所述数据通信请求,所述数据通信请求是在所述认证结果指示认证成功的情况下发送;
通过第一数据通信链路向所述监控设备转发所述数据通信请求;
通过所述第一数据通信链路向所述电子设备发送数据通信应答,所述数据通信应答指示所述电子设备和所述监控设备通过所述路由设备建立第二数据通信链路,所述第二数据通信链路在所述电子设备和所述监控设备交互时使用,所述第二数据通信链路的传输时长小于所述第一数据通信链路的传输时长。
2.根据权利要求1所述的方法,其特征在于,所述通过第一数据通信链路向所述监控设备转发所述数据通信请求包括:
所述路由设备的应用业务层的网络业务模块将所述数据通信请求发送给所述路由设备的内核层;
所述路由设备的内核层在确定所述数据通信请求指向所述监控设备后,向所述监控设备发送所述数据通信请求,建立所述第二数据通信链路;所述第一数据通信链路经过所述网络业务模块和所述内核层,所述第二数据通信链路经过所述路由设备的驱动层。
3.根据权利要求2所述的方法,其特征在于,所述路由设备的内核层在确定所述数据通信请求指向所述监控设备后,向所述监控设备发送所述数据通信请求包括:
在所述内核层接收到所述数据通信请求后,将所述数据通信请求的源地址转换为所述路由设备的地址,所述数据通信请求的源端口转换为所述路由设备的端口;
对源地址和源端口转换后的数据通信请求进行路由选择判断,得到路由结果;
若所述路由结果指示源地址和源端口转换后的数据通信请求指向所述监控设备,将源地址和源端口转换后的数据通信请求的目的地址转换为所述监控设备的地址,源地址和源端口转换后的数据通信请求的目的端口转换为所述监控设备的端口;
向所述监控设备发送目的地址和目的端口转换后的数据通信请求。
4.根据权利要求1所述的方法,其特征在于,所述响应于所述认证请求,对所述电子设备至少进行第一类型认证和第二类型认证,得到认证结果包括:
响应于所述认证请求,对所述电子设备进行摘要认证,得到第一认证结果,向所述电子设备发送所述第一认证结果;
如果所述第一认证结果指示所述摘要认证成功,对所述电子设备进行短信验证,得到第二认证结果,向所述电子设备发送所述第二认证结果;
如果所述第二认证结果指示所述短信验证成功,对所述电子设备进行挑战握手认证;
如果所述挑战握手认证成功,得到指示认证成功的认证结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:将所述挑战握手认证中的挑战口令码保存为加解密因子,所述加解密因子用于加密所述监控设备发送的视频数据。
6.根据权利要求4所述的方法,其特征在于,所述响应于所述认证请求,对所述电子设备至少进行第一类型认证和第二类型认证,得到认证结果包括:
响应于所述认证请求,生成随机数,向所述电子设备发送所述随机数和所述路由设备保存的算法列表;接收所述电子设备发送的加密后的认证信息,所述加密后的认证信息是所述电子设备基于算法列表中的加解密算法、所述随机数、所述路由设备的用户名和密码得到;对所述加密后的认证信息进行认证,得到所述第一认证结果;
所述如果所述第一认证结果指示所述摘要认证成功,对所述电子设备进行短信验证,得到第二认证结果包括:
如果所述第一认证结果指示所述摘要认证成功,接收所述电子设备发送的短信验证码;将所述短信验证码和所述路由设备生成的短信验证码进行比对,得到所述第二认证结果;
如果所述第二认证结果指示所述短信验证成功,对所述电子设备进行挑战握手认证包括:
如果所述第二认证结果指示所述短信验证成功,接收所述电子设备发送的加密后的挑战口令码;基于所述加密后的挑战口令码,得到应答值,向所述电子设备发送所述应答值,所述应答值用于得到指示挑战握手成功或失败的第三认证结果。
7.根据权利要求6所述的方法,其特征在于,所述响应于所述认证请求,生成随机数,向所述电子设备发送所述随机数和所述路由设备保存的算法列表;接收所述电子设备发送的加密后的认证信息,所述加密后的认证信息是所述电子设备基于算法列表中的加解密算法、所述随机数、所述路由设备的用户名和密码得到;对所述加密后的认证信息进行认证,得到所述第一认证结果包括:
所述路由设备的应用业务层的认证管理模块响应于所述认证请求,生成随机数;
所述认证管理模块通过所述路由设备的组件层的加解密模块从所述组件层的算法模块中获取所述算法列表;
所述认证管理模块向所述电子设备发送所述随机数和所述算法列表;
所述认证管理模块接收所述电子设备发送的加密后的认证信息,将所述加密后的认证信息发送给所述加解密模块;
所述加解密模块调用所述算法列表中的加解密算法对所述加密后的认证信息进行解密,得到所述认证信息;
所述认证管理模块基于所述认证信息得到所述第一认证结果。
8.根据权利要求6所述的方法,其特征在于,所述如果所述第二认证结果指示所述短信验证成功,接收所述电子设备发送的加密后的挑战口令码;基于所述加密后的挑战口令码,得到应答值包括:
所述路由设备的应用业务层的认证管理模块接收所述加密后的挑战口令码;
所述认证管理模块将所述加密后的挑战口令码发送给路由设备的组件层的加解密模块;
所述加解密模块基于所述组件层的算法模块保存的加解密算法,对所述加密后的挑战口令码进行解密;
所述认证管理模块基于所述挑战口令码,得到所述应答值。
9.根据权利要求1至8中任意一项所述的方法,其特征在于,所述方法还包括:
接收所述电子设备发送的监控设备控制请求;
通过所述路由设备的驱动层向所述监控设备转发所述监控设备控制请求,所述第二数据通信链路经过所述驱动层;
如果所述驱动层接收到所述监控设备发送的视频数据,对所述视频数据进行加密,加密后的视频数据发送给所述电子设备。
10.根据权利要求9所述的方法,其特征在于,所述通过所述路由设备的驱动层向所述监控设备转发所述监控设备控制指令包括:如果所述监控设备控制请求中携带所述电子设备的设备信息与所述路由设备保存的设备信息相同,通过所述路由设备的驱动层向所述监控设备转发所述监控设备控制请求;
所述方法还包括:如果所述监控设备控制请求中携带所述电子设备的设备信息与所述路由设备保存的设备信息不同,禁止通过所述路由设备的驱动层向所述监控设备转发所述监控设备控制请求。
11.根据权利要求1至8中任意一项所述的方法,其特征在于,所述通过第一数据通信链路向所述监控设备转发所述数据通信请求包括:如果所述数据通信请求中携带所述电子设备的设备信息与所述路由设备保存的设备信息相同,通过所述第一数据通信链路向所述监控设备转发所述数据通信请求;
所述方法还包括:如果所述数据通信请求中携带所述电子设备的设备信息与所述路由设备保存的设备信息不同,禁止通过所述第一数据通信链路向所述监控设备转发所述数据通信请求。
12.一种路由设备,其特征在于,所述路由设备包括:一个或多个处理器、存储器;
所述存储上存储有程序,当所述程序被所述一个或多个处理器执行时,使得所述路由设备执行如权利要求1至11中任意一项所述的视频监控方法。
13.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至11中任意一项所述的视频监控方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211293045.3A CN117353968A (zh) | 2022-07-04 | 2022-07-04 | 视频监控方法及装置 |
| CN202210777501.5A CN114826794B (zh) | 2022-07-04 | 2022-07-04 | 视频监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210777501.5A CN114826794B (zh) | 2022-07-04 | 2022-07-04 | 视频监控方法及装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211293045.3A Division CN117353968A (zh) | 2022-07-04 | 2022-07-04 | 视频监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114826794A CN114826794A (zh) | 2022-07-29 |
| CN114826794B true CN114826794B (zh) | 2022-11-08 |
Family
ID=82523030
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211293045.3A Pending CN117353968A (zh) | 2022-07-04 | 2022-07-04 | 视频监控方法及装置 |
| CN202210777501.5A Active CN114826794B (zh) | 2022-07-04 | 2022-07-04 | 视频监控方法及装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211293045.3A Pending CN117353968A (zh) | 2022-07-04 | 2022-07-04 | 视频监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN117353968A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103269329A (zh) * | 2013-04-14 | 2013-08-28 | 江苏省广电有线信息网络股份有限公司 | 一种基于数字电视机顶盒和ims系统的家庭视频监控系统 |
| CN103701695A (zh) * | 2013-12-26 | 2014-04-02 | 四川九洲电器集团有限责任公司 | 一种智能家居网关控制系统 |
| CN104168267A (zh) * | 2014-07-23 | 2014-11-26 | 中国科学院信息工程研究所 | 一种接入sip安防视频监控系统的身份认证方法 |
| CN110830333A (zh) * | 2018-08-09 | 2020-02-21 | 中兴通讯股份有限公司 | 智能家居设备接入认证方法、装置、网关及存储介质 |
| CN112291230A (zh) * | 2020-10-26 | 2021-01-29 | 公安部第一研究所 | 一种用于物联网终端的数据安全认证传输方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5931362B2 (ja) * | 2011-07-01 | 2016-06-08 | 日立マクセル株式会社 | コンテンツ送信装置及びコンテンツ送信方法 |
| US11259180B2 (en) * | 2015-06-04 | 2022-02-22 | Vm-Robot, Inc. | Routing systems and methods |
| CN111328076B (zh) * | 2020-02-25 | 2023-07-18 | 北京小米移动软件有限公司 | 一种设备配网方法、装置及介质 |
-
2022
- 2022-07-04 CN CN202211293045.3A patent/CN117353968A/zh active Pending
- 2022-07-04 CN CN202210777501.5A patent/CN114826794B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103269329A (zh) * | 2013-04-14 | 2013-08-28 | 江苏省广电有线信息网络股份有限公司 | 一种基于数字电视机顶盒和ims系统的家庭视频监控系统 |
| CN103701695A (zh) * | 2013-12-26 | 2014-04-02 | 四川九洲电器集团有限责任公司 | 一种智能家居网关控制系统 |
| CN104168267A (zh) * | 2014-07-23 | 2014-11-26 | 中国科学院信息工程研究所 | 一种接入sip安防视频监控系统的身份认证方法 |
| CN110830333A (zh) * | 2018-08-09 | 2020-02-21 | 中兴通讯股份有限公司 | 智能家居设备接入认证方法、装置、网关及存储介质 |
| CN112291230A (zh) * | 2020-10-26 | 2021-01-29 | 公安部第一研究所 | 一种用于物联网终端的数据安全认证传输方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 基于局域网传输的供电营业厅实时视频监控管理系统;张锦智;《广东电力》;20090225;全文 * |
| 移动设备上的组态监控系统实现方案;时俊普等;《信息技术与标准化》;20130210;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114826794A (zh) | 2022-07-29 |
| CN117353968A (zh) | 2024-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110678770B (zh) | 定位信息验证 | |
| CN110324287B (zh) | 接入认证方法、装置及服务器 | |
| US9032493B2 (en) | Connecting mobile devices, internet-connected vehicles, and cloud services | |
| CN110611905A (zh) | 信息共享方法、终端设备、存储介质及计算机程序产品 | |
| US11277401B1 (en) | Data integrity checker | |
| US20110237221A1 (en) | Method and apparatus for bearer and server independent parental control on smartphone, managed by the smartphone | |
| WO2016080724A1 (ko) | 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치 | |
| CN112765684B (zh) | 区块链节点终端管理方法、装置、设备及存储介质 | |
| KR20170048239A (ko) | 기기 제어 방법 및 장치, 프로그램 및 저장매체 | |
| CN113132091B (zh) | 一种分享设备的方法及电子设备 | |
| JP4405309B2 (ja) | アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム | |
| CN106656923A (zh) | 一种设备关联方法、秘钥更新方法及装置 | |
| CN113490207B (zh) | 物联网设备绑定方法、装置、计算机设备及存储介质 | |
| US11652640B2 (en) | Systems and methods for out-of-band authenticity verification of mobile applications | |
| CN114422216B (zh) | 一种物联网设备绑定方法、装置和存储介质 | |
| US20220295281A1 (en) | System, module, circuitry and method | |
| CN106339623B (zh) | 登录方法和装置 | |
| CN114826794B (zh) | 视频监控方法及装置 | |
| EA032424B1 (ru) | Способ и система для определения присутствия sim-карты и клиента протокола sip в одном и том же мобильном устройстве | |
| JP6847488B1 (ja) | Ip通信における認証方法 | |
| CN114268492B (zh) | 配送方法、装置、机器人、设备、介质及配送系统 | |
| KR100463751B1 (ko) | 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치 | |
| CN114124418B (zh) | 一种基于区块链的数据处理方法、装置、系统及电子设备 | |
| JP2006229926A (ja) | 通信システム、ならびにこれに用いられる車載サーバ、情報端末および変換サーバ | |
| CN117061140A (zh) | 一种渗透防御方法和相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |