KR101815467B1 - 보안 에이전트를 이용한 보안 감시 강화 시스템 - Google Patents

보안 에이전트를 이용한 보안 감시 강화 시스템 Download PDF

Info

Publication number
KR101815467B1
KR101815467B1 KR1020170089768A KR20170089768A KR101815467B1 KR 101815467 B1 KR101815467 B1 KR 101815467B1 KR 1020170089768 A KR1020170089768 A KR 1020170089768A KR 20170089768 A KR20170089768 A KR 20170089768A KR 101815467 B1 KR101815467 B1 KR 101815467B1
Authority
KR
South Korea
Prior art keywords
packet
nvr
camera
session
client terminal
Prior art date
Application number
KR1020170089768A
Other languages
English (en)
Inventor
고종석
윤종민
Original Assignee
주식회사에스에이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사에스에이티 filed Critical 주식회사에스에이티
Priority to KR1020170089768A priority Critical patent/KR101815467B1/ko
Application granted granted Critical
Publication of KR101815467B1 publication Critical patent/KR101815467B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • H04N7/181Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Closed-Circuit Television Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

본 발명은 IP 카메라에서 마스터키로 영상을 암호화한 다음 이를 NVR로 전송하는 과정에서 NVR로부터 발급받은 세션키로 전송세션을 인증하여 보안전송채널을 통해 암호화된 영상을 송수신하도록 하고, NVR에서 IP 카메라로부터 수신한 암호화된 영상을 저장하거나 복호화하여 재생하며, 클라이언트 단말의 요청에 따라 세션키로 NVR과 클라이언트 단말의 전송세션을 인증한 후 특정 시점의 영상을 클라이언트 단말로 제공하여 모니터링하도록 하는 보안 에이전트를 이용한 보안 감시 강화 시스템에 관한 것이다.

Description

보안 에이전트를 이용한 보안 감시 강화 시스템{SYSTEM FOR ENFORCING SECURITY SURVEILLANCE BY USING SECURITY AGENTS}
본 발명은 보안 에이전트를 이용한 보안 감시 강화 시스템에 관한 것으로, 더욱 상세하게는 IP(Internet Protocol) 카메라에서 영상을 촬영하여 전송하고, 이를 NVR(Network Video Recorder)에서 저장하여 관리하고, 클라이언트가 NVR을 통해 제공되는 영상을 실시간으로 모니터링하거나 또는 복원하여 재생할 때, IP 카메라에서 마스터키로 영상을 암호화한 다음 이를 NVR로 전송하는 과정에서 NVR로부터 발급받은 세션키로 전송세션을 인증하여 보안전송채널을 통해 암호화된 영상을 송수신하도록 하고, NVR에서 IP 카메라로부터 수신한 암호화된 영상을 저장하거나 복호화하여 재생하며, 클라이언트 단말의 요청에 따라 세션키로 NVR과 클라이언트 단말의 전송세션을 인증한 후 특정 시점의 영상을 클라이언트 단말로 제공하여 모니터링 하도록 함으로써, 마스터키를 이용한 영상의 암호화와 세션키를 이용한 전송세션 인증의 이중 보안 처리를 토대로 촬영 영상의 유출을 방지하며, 높은 보안성을 제공하도록 하는 보안 감시 강화 시스템에 관한 것이다.
최근 들어 정보통신기술의 발달로 인하여 영상을 촬영하여 전송하는 기술이 나날이 발전함과 더불어, 보안에 대한 개인적, 사회적 관심이 높아지면서 카메라를 활용한 보안감시 시스템을 도입하는 개인 및 단체가 점차 증가하고 있다.
특히 감시대상지역에 구비된 카메라에서 촬영한 영상을 암호화하여 IP 패킷으로 변환한 후 네트워크를 통해 전송하여 저장하는 IP 카메라 기반의 보안감시 시스템이 대세를 이루고 있다.
이와 같은 기존의 보안감시 시스템은 카메라에서 획득된 영상데이터를 동축케이블을 통해 전송하여 DVR(Digital Video Recorder)에 저장하도록 하는 구조로 되어 있거나, 이미 DVR에 저장되어 있던 영상데이터를 중앙관제서버에 별도로 전송, 저장 및 관리하는 구조로 되어 있었다. 하지만, 이제 점차 IP 카메라를 통해 촬영된 영상데이터를 카메라 단에서 IP 패킷으로 변환한 다음 바로 네트워크상의 NVR로 전송하여 저장하도록 하는 IP 카메라 기반의 보안감시 시스템으로 대체되고 있는 추세에 있다.
그러나 현재 네트워크를 통해 전송되는 영상데이터는 대부분 암호화처리가 되어 있지 않기 때문에 보안에 대단히 취약한 실정이다.
물론 네트워크 보안프로토콜을 사용하는 기술도 많이 보급되고 있고, 상기 기술은 타 방식에서는 사용할 수 없는 자체적인 보안모듈을 사용하기 때문에 외부에 노출되지 않는 장점을 가지고 있지만, 이러한 기술들도 해킹으로부터 근본적으로 벗어날 수는 없는 실정이다.
또한 종래의 보안감시 시스템에서는 카메라로 촬영한 영상을 암호화하여 저장매체에 저장 관리하며, 클라이언트가 암호화된 영상을 복원하여 재생하는 기술을 일부 도입하고는 있으나, 영상데이터의 암호화 및 복호화 과정에서 암호키를 사용하는 방식이기 때문에 암호키가 유출되는 경우 보안 관리가 취약해지는 문제가 있었다.
또한 현재 서비스되고 있는 대부분의 보안감시 시스템은 영상데이터의 직접적인 암호화 이외에 영상데이터의 송수신 과정에서의 보안처리에 대한 기술은 제공하지 못하고 있는 실정이다.
따라서 본 발명에서는 IP 카메라에서 인증서버로부터 주기적으로 제공받는 마스터키로 영상을 암호화하여 NVR로 전송하는 과정에서 NVR로부터 발급받은 세션키로 전송세션을 인증하여 암호화된 영상을 송신하도록 하고, NVR에서 IP 카메라로부터 수신한 암호화된 영상을 저장하거나 복호화하여 재생하며, 클라이언트 단말의 요청에 따라 세션키로 클라이언트 단말과의 전송세션을 인증한 후 특정 시점의 영상을 클라이언트 단말로 제공함으로써, 이중의 보안 처리로 영상데이터의 유출을 억제하고 높은 보안성을 제공할 수 있는 방안을 제시하고자 한다.
다음으로 본 발명의 기술분야에 존재하는 선행기술에 대하여 간단하게 설명하고, 이어서 본 발명이 상기 선행기술에 비해서 차별적으로 이루고자 하는 기술적 사항에 대해서 기술하고자 한다.
먼저 본 출원인이 이전에 출원하여 등록받은 한국등록특허 제1738334호(2017.05.16.)는 클라우드 컴퓨팅 환경을 이용한 CCTV 보안 감시 장치 및 그 방법에 관한 것으로, IP 카메라, 클라우드 서버 및 클라이언트 단말기 각각에 내장되어 있는 하드웨어 보안모듈(HSM, Hardware Security Module)을 통해 암호화 또는 인증처리를 수행함으로써, 영상데이터의 유출을 방지하고, 설사 영상데이터가 유출된다 하더라도 암호화 처리로 인해 손쉽게 복원하지 못하도록 하며, 유형의 값비싼 NVR 대신에 클라우드 NVR 사용을 통해 설치를 단순화하고 유지비용을 절감할 수 있도록 하는 것을 특징으로 하는 발명이다.
상기 선행기술은 비록 IP 카메라, 클라우드 서버 및 클라이언트 단말기 각각에 하드웨어 보안모듈을 내장하여 암호화를 수행함으로써, 영상데이터 유출을 방지하고, 영상데이터가 유출되더라도 손쉽게 복원하지 못하는 구성을 제시하는 점에서 일부 유사성이 있다.
하지만 본 발명은 IP 카메라, NVR 및 클라이언트 단말 각각에 소프트웨어 형태의 보안 에이전트를 설치한 후 인증서버로부터 주기적으로 제공되는 마스터키를 토대로 카메라로 촬영한 영상을 암호화 또는 복호화하는 것은 물론, 카메라와 NVR, 또는 NVR과 클라이언트 단말 간에 암호화된 영상을 송수신하는 과정에서 세션키를 통해 전송세션을 인증한 다음 암호화된 영상을 송수신하도록 함으로써, 이중의 보안 처리를 수행하는 기술적 특징을 제시하고 있으며, 상기 선행기술에는 이와 관련된 기재나 암시가 없으므로 기술적 특징의 차이점이 명확하다.
또한 한국등록특허 제1253133호(2013.04.09.)는 Cloud 서비스를 이용한 CCTV(IP camera) 영상 녹화에 관한 것으로, 외부의 지정된 곳으로 대용량의 HD 실시간 영상을 전송하는 무선 IP Camera와, 상기 무선 IP Camera와 통신채널을 형성하고, 상기 무선 IP Camera로부터 대용량의 HD 실시간 영상을 전송받아 가입자의 정보를 확인하고, 해당 가입자에게 할당된 서비스공간을 제공하여, 전송받은 HD 실시간 영상을 압축 저장토록 하는 클라우드 서비스를 제공하는 네트워크 비디오 서버(NVS: Network Video Server)를 포함하는 것을 특징으로 하는 발명이다.
상기 선행기술은 클라우드 서비스를 이용한 감시시스템을 구축한 점에서 본 발명의 구성과 일부 유사성이 있지만, IP 카메라에서 촬영한 영상데이터를 보안 에이전트를 통해 마스터키와 세션키를 이용한 이중의 보안 처리를 수행하는 본 발명의 기술적 특징에 대한 기재가 되어 있지 않으므로 기술적 구성의 차이점이 분명하다.
즉 상기 언급한 각각의 선행기술 문헌들은 비록 촬영 영상의 암호화 처리 및 클라우드 저장 관리에 대한 구성을 일부 제시하고 있으나, 보안감시 시스템을 구성하는 각각의 장비에 보안 에이전트를 설치한 다음 인증서버로부터 주기적으로 제공되는 마스터키를 토대로 영상을 암호화하거나 복호화하는 구성은 물론, 암호화된 영상이 각 장비 간에 송수신될 때 세션키를 통해 전송세션을 인증하여 암호화된 영상을 송수신하는 구성에 대하여 전혀 기재되어 있지 않으며, 이에 대한 그 어떠한 암시도 되어 있지 않기 때문에 상기 선행기술들과 본 발명의 기술적 차이점이 분명한 것이다.
본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, IP 카메라에서 인증서버로부터 주기적으로 제공받는 마스터키로 영상을 암호화하고, 이를 NVR로 전송할 때 NVR로부터 발급받은 세션키로 전송세션을 인증하여 암호화된 영상을 송신하도록 하는 보안 에이전트를 이용한 보안 감시 강화 시스템을 제공하는 것을 목적으로 한다.
또한 본 발명은 NVR에서 전송세션이 인증된 IP 카메라로부터 수신한 암호화된 영상을 저장하거나 또는 암호화된 영상의 패킷 해제 및 복호화를 통해 재생하여 로컬 모니터링을 수행하며, 클라이언트 단말의 요청에 따라 생성되는 세션키로 클라이언트 단말과의 전송세션을 인증한 후 특정 시점의 영상을 클라이언트 단말로 제공하여 모니터링을 수행하도록 하는 보안 에이전트를 이용한 보안 감시 강화 시스템을 제공하는 것을 다른 목적으로 한다.
또한 본 발명은 마스터키를 이용한 영상의 암호화와 세션키를 이용한 전송세션 인증의 이중 보안 처리를 토대로 촬영 영상의 유출을 방지하며, 높은 보안성을 제공하도록 하는 보안 에이전트를 이용한 보안 감시 강화 시스템을 제공하는 것을 또 다른 목적으로 한다.
또한 본 발명은 인증서버에서 IP 카메라, NVR 및 클라이언트 단말 각각에 제공하는 마스터키를 주기적으로 생성하고 폐기처리 함으로써, 마스터키의 관리와 보안을 강화하도록 하는 보안 에이전트를 이용한 보안 감시 강화 시스템을 제공하는 것을 또 다른 목적으로 한다.
또한 본 발명은 보안감시 시스템 구축과정에서 길거리 감시용, 가정용, SOHO용 등의 시스템 구축 규모나 비용에 맞추어 클라우드 NVR은 물론 로컬 NVR을 다양하게 적용함으로써, 보안감시 시스템 구축에 소요되는 비용 및 유지비용을 절감하면서 한층 강화된 보안서비스를 제공하도록 하는 보안 에이전트를 이용한 보안 감시 강화 시스템을 제공하는 것을 또 다른 목적으로 한다.
또한 본 발명은 인증서버를 별도로 구비할 필요 없이 인증서버의 기능을 수행하는 소프트웨어 형태의 인증서버모듈을 NVR에 내장시켜 NVR에서 직접 IP 카메라, NVR 및 클라이언트 단말 각각에서 사용하는 마스터키의 생성, 분배 및 관리를 수행하도록 함으로써, 로컬 네트워크의 개인 사용자용으로 제공하기 위한 소호용 모델 형태로 구현할 수 있도록 하는 보안 에이전트를 이용한 보안 감시 강화 시스템을 제공하는 것을 또 다른 목적으로 한다.
본 발명의 일 실시예에 따른 보안 감시 장치는, IP 카메라에서 출력되는 비디오 데이터를 부호화하는 비디오 스트림을 생성하는 비디오 인코더, 상기 생성한 비디오 스트림을 IP 패킷으로 패킷화하는 패킷화부 및 상기 비디오 스트림, IP 패킷 또는 이들의 조합을 마스터키로 암호화하는 보안 에이전트를 포함하며, 상기 암호화는 상기 비디오 스트림의 생성이나 패킷화 과정에서 적용되는 것을 특징으로 한다.
또한 상기 보안 에이전트는, 상기 IP 패킷을 네트워크로 전송하는 과정에서 세션키를 사용하여 IP 카메라와 NVR 간의 전송세션을 인증하는 것을 더 포함하며, 상기 전송세션을 인증하는 것은, IP 카메라와 NVR 간에 IP 패킷을 송수신하기 전에 세션키로 보안전송채널을 설정하는 것을 포함하는 것을 특징으로 한다.
또한 상기 보안 에이전트는, 상기 IP 패킷을 네트워크를 통해 NVR로 전송하는 과정에서 세션키를 사용하여 상기 IP 패킷 중 페이로드 정보를 암호화하는 것을 더 포함하며, 상기 IP 패킷을 수신한 NVR에서 상기 세션키를 사용하여 암호화된 페이로드 정보를 복호화함으로써, IP 카메라와 NVR 간의 전송세션을 인증하는 것을 특징으로 한다.
아울러, 본 발명의 일 실시예에 따른 보안 감시 장치는, IP 카메라로부터 IP 패킷을 수신하기 위한 전송세션을 인증하는 것을 포함하는 보안 에이전트 및 상기 IP 카메라에서 수신된 IP 패킷, 상기 IP 패킷에 포함된 암호화된 비디오 스트림 또는 이들의 조합을 저장하는 저장부를 포함하며, 상기 암호화된 비디오 스트림은 마스터키를 이용하여 암호화되는 것을 특징으로 한다.
또한 상기 보안 에이전트는, 상기 IP 패킷을 네트워크로 수신하는 과정에서 세션키를 사용하여 IP 카메라와 NVR 간의 전송세션을 인증하는 것을 더 포함하며, 상기 전송세션을 인증하는 것은, 상기 IP 카메라로부터 IP 패킷을 수신하기 전에 세션키로 보안전송채널을 설정하는 것을 포함하는 것을 특징으로 한다.
또한 상기 보안 감시 장치는, 상기 IP 카메라에서 수신된 IP 패킷을 해제하여 비디오 스트림으로 변환하는 패킷화부 및 상기 변환한 비디오 스트림을 복호화하여 비디오 데이터를 생성하는 비디오 디코더를 더 포함하며, 상기 생성한 비디오 데이터를 로컬에서 모니터링할 수 있도록 지원하는 것을 특징으로 한다.
또한 상기 보안 감시 장치는, 상기 마스터키의 생성, 분배, 관리 또는 이들의 조합을 포함하는 인증서버의 기능을 수행하는 인증서버모듈;을 더 포함하는 것을 특징으로 한다.
또한 상기 보안 감시 장치는, 클라이언트 단말의 요청에 따라 상기 저장부에 저장된 특정 시점의 IP 패킷, 상기 IP 패킷에 포함된 암호화된 비디오 스트림을 또는 이들의 조합을 추출하여 상기 클라이언트 단말로 제공하는 영상 관리부를 더 포함하며, 상기 클라이언트 단말은, 상기 IP 패킷을 네트워크로 수신하는 과정에서 세션키를 사용하여 NVR과 클라이언트 단말 간의 전송세션을 인증하고, 상기 NVR에서 수신된 IP 패킷을 해제하여 비디오 스트림으로 변환한 다음 이를 복호화하여 비디오 데이터를 생성하고, 상기 비디오 데이터를 재생하여 모니터링을 수행하는 것을 특징으로 한다.
또한 상기 보안 에이전트는, 상기 IP 패킷을 네트워크를 통해 상기 클라이언트 단말로 전송하는 과정에서 세션키를 사용하여 상기 IP 패킷 중 페이로드 정보를 암호화하는 것을 더 포함하며, 상기 IP 패킷을 수신한 상기 클라이언트 단말에서 상기 세션키를 사용하여 암호화된 페이로드 정보를 복호화함으로써, NVR과 클라이언트 단말 간의 전송세션을 인증하는 것을 특징으로 한다.
아울러, 본 발명의 일 실시예에 따른 보안 감시 방법은, 비디오 인코더를 통해 IP 카메라에서 출력되는 비디오 데이터를 부호화하는 비디오 스트림을 생성하는 비디오 인코딩 단계, 상기 생성한 비디오 스트림을 패킷화부를 통해 IP 패킷으로 패킷화하는 패킷화 단계 및 보안 에이전트를 통해 상기 비디오 스트림, IP 패킷 또는 이들의 조합을 마스터키로 암호화하는 마스터키 암호화 단계를 포함하며, 상기 암호화는 상기 비디오 스트림의 생성이나 패킷화 과정에서 적용되는 것을 특징으로 한다.
또한 상기 보안 감시 방법은, 상기 보안 에이전트를 통해 상기 IP 패킷을 네트워크로 전송하는 과정에서 세션키를 사용하여 IP 카메라와 NVR 간의 전송세션을 인증하는 전송세션 인증 단계를 더 포함하며, 상기 전송세션을 인증하는 것은, IP 카메라와 NVR 간에 IP 패킷을 송수신하기 전에 세션키로 보안전송채널을 설정하는 것을 포함하는 것을 특징으로 한다.
또한 상기 보안 감시 방법은, 상기 보안 에이전트에서 상기 IP 패킷을 네트워크를 통해 NVR로 전송하는 과정에서 세션키를 사용하여 상기 IP 패킷 중 페이로드 정보를 암호화하는 세션키 암호화 단계를 더 포함하며, 상기 IP 패킷을 수신한 NVR에서 상기 세션키를 사용하여 암호화된 페이로드 정보를 복호화함으로써, IP 카메라와 NVR 간의 전송세션을 인증하는 것을 특징으로 한다.
아울러, 본 발명의 일 실시예에 따른 보안 감시 방법은, 보안 에이전트를 통해 IP 카메라로부터 IP 패킷을 수신하기 위한 전송세션을 인증하는 전송세션 인증 단계 및 상기 IP 카메라에서 수신된 IP 패킷, 상기 IP 패킷에 포함된 암호화된 비디오 스트림 또는 이들의 조합을 저장부에 저장하는 저장 단계를 포함하며, 상기 암호화된 비디오 스트림은 마스터키를 이용하여 암호화되는 것을 특징으로 한다.
또한 상기 전송세션 인증 단계는, 상기 보안 에이전트를 통해 상기 IP 패킷을 네트워크로 수신하는 과정에서 세션키를 사용하여 IP 카메라와 NVR 간의 전송세션을 인증하는 것을 포함하며, 상기 전송세션을 인증하는 것은, 상기 IP 카메라로부터 IP 패킷을 수신하기 전에 세션키로 보안전송채널을 설정하는 것을 포함하는 것을 특징으로 한다.
또한 상기 보안 감시 방법은, 패킷화부를 통해 상기 IP 카메라에서 수신된 IP 패킷을 해제하여 비디오 스트림으로 변환하는 패킷 해제 단계 및 비디오 디코더를 통해 상기 변환한 비디오 스트림을 복호화하여 비디오 데이터를 생성하는 비디오 디코딩 단계를 더 포함하며, 상기 생성한 비디오 데이터를 로컬에서 모니터링할 수 있도록 지원하는 것을 특징으로 한다.
또한 상기 보안 감시 방법은, 인증서버의 기능을 수행하는 인증서버모듈을 통해 상기 마스터키의 생성, 분배, 관리 또는 이들의 조합을 수행하는 단계;를 더 포함하는 것을 특징으로 한다.
또한 상기 보안 감시 방법은, 클라이언트 단말의 요청에 따라 영상 관리부에서 상기 저장부에 저장된 특정 시점의 IP 패킷, 상기 IP 패킷에 포함된 암호화된 비디오 스트림을 또는 이들의 조합을 추출하여 상기 클라이언트 단말로 제공하는 영상 제공 단계를 더 포함하며, 상기 클라이언트 단말은, 상기 IP 패킷을 네트워크로 수신하는 과정에서 세션키를 사용하여 NVR과 클라이언트 단말 간의 전송세션을 인증하고, 상기 NVR에서 수신된 IP 패킷을 해제하여 비디오 스트림으로 변환한 다음 이를 복호화하여 비디오 데이터를 생성하고, 상기 비디오 데이터를 재생하여 모니터링을 수행하는 것을 특징으로 한다.
또한 상기 보안 감시 방법은, 상기 보안 에이전트에서 상기 IP 패킷을 네트워크를 통해 상기 클라이언트 단말로 전송하는 과정에서 세션키를 사용하여 상기 IP 패킷 중 페이로드 정보를 암호화하는 세션키 암호화 단계를 더 포함하며, 상기 IP 패킷을 수신한 상기 클라이언트 단말에서 상기 세션키를 사용하여 암호화된 페이로드 정보를 복호화함으로써, NVR과 클라이언트 단말 간의 전송세션을 인증하는 것을 특징으로 한다.
이상에서와 같이 본 발명의 보안 에이전트를 이용한 보안 감시 강화 시스템에 따르면, 인증서버에서 주기적으로 제공되는 마스터키를 사용하여 IP 카메라에서의 영상 암호화, NVR에서의 각 IP 카메라별 암호화된 영상의 저장 관리, 클라이언트 단말에서의 암호화된 영상의 복원 재생 또는 실시간 모니터링을 수행함과 동시에, IP 카메라와 NVR, 또는 NVR과 클라이언트 단말 사이에 암호화된 영상을 송수신하는 과정에서 세션키를 이용하여 전송세션을 인증하여 암호화된 영상의 송수신이 이루어지도록 함으로써, 마스터키를 이용한 영상의 암호화와 세션키를 이용한 전송세션 인증의 이중 보안 처리를 토대로 영상 유출을 최대한 방지할 수 있고, 설사 영상이 유출된다 하더라도 이중의 보안 처리로 인해 손쉽게 복원하지 못하도록 하며, 이에 따라 더욱 더 높은 보안성을 제공할 수 있는 효과가 있다.
또한 IP 카메라, NVR 및 클라이언트 단말 각각에서 사용하는 마스터키를 인증서버에서 주기적으로 생성 및 폐기처리함으로써, 암호화에 사용되는 마스터키의 관리와 보안을 한층 강화시킬 수 있는 효과가 있다.
또한 보안감시 시스템의 구축 규모나 소요 비용에 맞추어 클라우드 NVR은 물론 로컬 NVR을 다양하게 적용하도록 함으로써, 보안감시 시스템 구축의 용이성이 증대됨은 물론, 보안감시 시스템 구축에 소요되는 비용 및 유지비용을 절감하면서 한층 강화된 보안서비스를 제공할 수 있는 효과가 있다.
또한 IP 카메라, NVR 및 클라이언트 단말 각각에서 사용되는 마스터키를 NVR에 내장된 인증서버의 기능을 수행하는 소프트웨어 형태의 인증서버모듈을 통해 생성, 분배 및 관리하도록 함으로써, 로컬 네트워크의 개인 사용자들이 사용하기 용이한 소호용 모델로 구현할 수 있는 효과가 있다.
도 1은 본 발명이 적용된 보안 에이전트를 이용한 보안 감시과정을 설명하기 위한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 보안 에이전트를 이용한 보안 감시 장치의 구성을 개략적으로 나타낸 도면이다.
도 3은 도 2의 IP 카메라의 구성을 상세하게 나타낸 도면이다.
도 4는 도 2의 NVR의 구성을 상세하게 나타낸 도면이다.
도 5는 도 2의 클라이언트 단말의 구성을 상세하게 나타낸 도면이다.
도 6은 본 발명의 다른 실시예에 따른 보안 에이전트를 이용한 보안 감시 장치의 구성을 개략적으로 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 따른 보안 에이전트를 이용한 보안 감시 방법의 동작과정을 상세하게 나타낸 순서도이다.
이하, 첨부한 도면을 참조하여 본 발명의 보안 에이전트를 이용한 보안 감시 강화 시스템에 대한 바람직한 실시 예를 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다. 또한 본 발명의 실시 예들에 대해서 특정한 구조적 내지 기능적 설명들은 단지 본 발명에 따른 실시 예를 설명하기 위한 목적으로 예시된 것으로, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는 것이 바람직하다.
도 1은 본 발명이 적용된 보안 에이전트를 이용한 보안 감시과정을 설명하기 위한 개념도이며, 도 2는 본 발명의 일 실시예에 따른 보안 에이전트를 이용한 보안 감시 장치의 구성을 개략적으로 나타낸 도면이다.
도 1 및 도 2에 도시된 바와 같이, 본 발명의 보안 감시 강화 시스템은 마스터키의 관리와 보안 에이전트 프로그램의 업데이트를 관리하는 인증서버(100)와, 보안대상 지역을 촬영하는 복수의 IP 카메라(200)와, 복수의 IP 카메라(200)에서 촬영한 영상데이터를 각각의 IP 카메라 및 클라이언트별로 구분하여 저장하는 NVR(300)과, 상기 NVR(300)로부터 IP 카메라(200)에서 촬영한 영상데이터를 제공받아 재생하는 복수의 클라이언트 단말(400) 등으로 구성된다.
이하에서 기재되는 보안 감시 시스템, 방법 또는 장치는 본 발명의 기술적 특징인 보안 감시 강화를 위한 것이므로, 보안 감시 강화 시스템, 방법 또는 장치와 동등한 의미로 해석될 수 있다.
또한 IP 카메라(200), NVR(300) 및 클라이언트 단말(400) 각각에는 인증서버(100)에서 제공되는 마스터키를 사용하여 촬영 영상을 암호화하거나, 또는 암호화된 영상을 복호화하여 재생하며, 세션키를 사용하여 전송세션을 인증한 다음 암호화된 영상을 송수신하도록 하는 보안 에이전트(210)(310)(410)가 구비되어 있다. 특히 상기 IP 카메라(200)에 구비된 보안 에이전트는 촬영 영상을 마스터키로 암호화하고 세션키로 전송세션 인증 기능을 수행하는 영상 암호화 에이전트(video encryption agent)로, 상기 NVR(300) 및 클라이언트 단말(400)에 구비된 보안 에이전트는 암호화된 영상을 마스터키로 복호화하고 세션키로 전송세션 인증 기능을 수행하는 영상 복호화 에이전트(video decryption agent)로 구분할 수 있다.
이때 상기 NVR(300)은 암호화된 영상을 상기 IP 카메라(100)로부터 수신하거나 또는 상기 클라이언트 단말(400)로 전송할 때 세션키를 통해 전송세션 인증을 수행하여 보안전송채널을 설정한 다음 암호화된 영상의 송수신을 수행한다. 또한 상기 NVR(300)은 상기 설명과 달리 암호화된 영상의 패킷 중 일부분(예를 들면 헤더에 포함되는 페이로드 영역)을 세션키를 사용하여 암호화한 다음 상기 클라이언트 단말(400)로 전송할 수 있으며, 이 경우 상기 클라이언트 단말(400)은 상기 NVR(300)에서 발급한 세션키를 사용하여 상기 IP 패킷의 암호화된 부분을 복호화하게 된다.
물론 상기 IP 카메라(200)에서도 상기 NVR(300)의 설명과 마찬가지로 세션키를 통해 전송세션 인증을 수행하여 보안전송채널을 설정한 다음 암호화된 영상을 상기 NVR(300)로 전송하거나, 또는 암호화된 영상의 패킷 중 일부분을 세션키로 암호화한 다음 상기 NVR(300)로 전송할 수 있다.
상기 마스터키는 IP 카메라(200)에서 촬영한 영상(즉 비디오 스트림 또는 IP 패킷)을 암호화하는데 사용하거나, 또는 NVR(300)이나 클라이언트 단말(400)에서 암호화된 영상을 복호화하는데 사용된다. 이때 상기 마스터키는 상기 인증서버(100)에 의해 주기적으로 생성 및 폐기 처리된다.
상기 세션키는 마스터키로 암호화된 영상을 송수신하는 과정, 즉 상기 IP 카메라(200)와 상기 NVR(300) 사이에 암호화된 영상을 송수신할 때 또는 상기 NVR(300)과 상기 클라이언트 단말(400) 사이에 암호화된 영상을 송수신할 때 각 장치 사이의 전송세션 인증을 수행하는데 사용된다. 이때 상기 세션키는 암호화된 영상을 주고받는 상기 IP 카메라(200)와 상기 NVR(300), 또는 상기 NVR(300)과 상기 클라이언트 단말(400) 사이의 세션이 연결될 때마다 새롭게 갱신된다.
즉 상기 마스터키와 상기 세션키를 이용한 이중의 보안 처리를 토대로 외부의 해킹 등에 의한 영상데이터의 유출을 방지하면서 한층 강화된 보안성을 제공하도록 하는 것이 본 발명의 특징이다.
한편 상기 마스터키는 상기 인증서버(100)에서 주기적으로 생성, 분배 및 관리하는 방식을 사용하지 않고, 인증서버의 기능을 수행하는 소프트웨어 형태의 인증서버모듈을 상기 NVR(300)에 직접 내장한 다음 NVR(300)은 물론 상기 IP 카메라와 클라이언트 단말(400) 각각에서 사용하는 마스터키의 생성, 분배 및 관리를 수행하는 방식을 사용할 수도 있다. 이에 따라 대용량의 다수 사용자들이 사용하기 용이한 엔터프라이즈 모델 형태의 시스템 이외에, 로컬 네트워크의 개인 사용자들이 사용하기 용이한 소호용 모델로 구현할 수 있게 된다.
또한 본 발명에서는 카메라로 IP 카메라를 사용하는 것을 일 실시예로 설명하지만, IP 이외의 다른 네트워크 프로토콜을 사용할 수도 있음은 물론이다. 또한 일부 카메라가 직렬(serial)이나 병렬(parallel) 인터페이스를 구비할 수도 있고, 카메라가 네트워크에 접속되기만 하면 동작이 가능하므로, 다양한 종류의 인터페이스를 가지면서 직접적으로 네트워크에 접속될 수 있는 네트워크 카메라와 간접적으로 네트워크에 접속될 수 있는 인터페이스를 구비한 카메라를 포함할 수 있다.
또한 보안 감시 시스템을 사용하는 각 클라이언트는 NVR과 같은 저장매체를 직접 보유하거나 특정 위치에 설치할 필요없이 사업자 측에서 운용하는 클라우드 NVR이나 로컬 NVR 등을 다양하게 사용할 수 있다. 그러므로 IP 카메라를 보안감시를 원하는 위치에 하나 이상 설치하고 네트워크에 연결만 하면 언제 어디서든 자신이 보유한 스마트폰이나 태블릿 등의 클라이언트 단말을 통해 보안 감시 시스템을 이용할 수 있다.
이와 같이 구성된 보안 감시 시스템을 운영하는 사업자 측에서는 IP 카메라(200), NVR(300) 및 클라이언트 단말(400) 각각에 보안 에이전트(210)(310)(410)를 설치하고, 인증서버(100)에서 촬영 영상을 암호화하거나 또는 암호화된 영상을 복호화하기 위해 사용되는 마스터키를 각각의 보안 에이전트(210)(310)(410)에 제공한다.
이때 상기 보안 에이전트(210)(310)(410)는 소프트웨어 프로그램으로서, 상기 인증서버(100)로부터 주기적으로 제공되는 마스터키와 암호화된 영상의 송수신 과정에서 세션이 연결될 때마다 전송세션 인증에 사용하기 위해 NVR(300)에서 생성하는 세션키를 저장 관리하고, 마스터키를 이용한 촬영 영상의 암호화를 처리하거나 또는 암호화된 영상의 복호화를 처리하며, 세션키를 이용한 전송세션의 인증을 처리한다.
이처럼 보안 에이전트(210)(310)(410)를 IP 카메라(200), NVR(300) 및 클라이언트 단말(400) 각각에 설치한 이후, 특정 건물, 거리 등의 보안감시 지역에 설치된 상기 IP 카메라(200)는 주변의 영상을 촬영한다.
그리고 상기 IP 카메라(200)는 보안 에이전트(210)에 저장되어 있는 마스터키를 사용하여 촬영한 영상을 암호화한다. 예를 들어, 상기 IP 카메라(200)는 촬영한 영상데이터의 원시 이미지(raw image)를 기 설정된 소정의 단위(예를 들어, 블록(block), 매크로블록(macroblock), 슬라이스(slice), 필드(field), 프레임(frame)(혹은 픽처(picture)), GOP(Group of Picture), 시퀀스 또는 이들의 조합 중 적어도 하나의 단위)로 압축하여 비디오 스트림을 생성하는 과정에서 상기 보안 에이전트(210)에서 관리중인 마스터키를 사용하여 암호화한다. 그 이외에 상기 IP 카메라(200)는 원시 이미지를 기 설정된 소정의 단위로 압축하여 비디오 스트림을 생성한 이후 이를 패킷처리하는 과정에서 상기 마스터키를 사용하여 암호화할 수 있다.
상기 보안 에이전트(210)의 마스터키를 사용하여 촬영한 영상의 비디오 스트림의 생성이나 패킷화 과정에서 암호화를 수행한 이후, 상기 IP 카메라(200)는 기 저장된 스케줄 정보를 토대로 상기 암호화된 영상(즉 IP 패킷, IP 패킷에 포함된 암호화된 비디오 스트림 또는 이들의 조합을 포함한 것을 의미함)을 네트워크를 통해 상기 NVR(300)로 전송할 시점이 되었는지를 확인한 다음, 암호화된 영상의 전송시점이 되면 상기 NVR(300)에 데이터 전송과정에서의 전송세션 인증에 사용할 세션키의 발급을 요청한다.
그러면 상기 NVR(300)의 보안 에이전트(310)는 상기 IP 카메라(200)의 요청에 따라 해당 카메라의 IP 정보 또는 식별정보를 확인한 다음 세션키를 발급하고, 상기 IP 카메라(200)에서는 상기 NVR(300)에서 발급한 세션키가 올바르게 발급된 것이 맞는지의 여부를 상기 NVR(300)로 요청하며, 상기 NVR(300)로부터 세션키가 올바르게 발급된 것이 맞는지의 여부에 대한 결과정보를 제공받은 후, 상기 세션키가 정상적으로 발급된 경우 보안전송채널을 설정한다. 이에 따라 상기 IP 카메라(200)의 보안 에이전트(210)는 상기 마스터키를 사용하여 암호화한 영상을 보안전송채널을 통해 상기 NVR(300)로 전송한다.
이때 상기 세션키의 발급요청과 발행은 암호화된 영상을 송수신하는 각 장치 사이의 세션이 연결될 때마다 수행되는 것이 바람직하다.
상기 IP 카메라(200)에서 보안전송채널을 통해 상기 암호화된 영상을 상기 NVR(300)로 전송하면, 상기 NVR(300)의 보안 에이전트(310)는 전송세션 인증이 수행된 상기 IP 카메라(200)로부터 암호화된 영상을 수신한 후 해당 암호화된 영상이 어느 클라이언트와 관련된 것인지를 확인(예를 들어, 헤더에 포함된 식별정보를 토대로 각 클라이언트 및 IP 카메라를 구분함)하여 저장하거나, 또는 실시간 모니터링을 수행하는 특정 클라이언트 단말(400)로 제공한다.
또한 상기 NVR(300)은 상기 IP 카메라(200)로부터 수신한 IP 패킷을 해제(depacketizing)하여 비디오 스트림으로 변환한 후 이를 상기 마스터키로 복호화하고, 복호화된 비디오 데이터를 상기 NVR(300)에 연결되거나 자체적으로 구비된 표시장치에 출력하여 재생함으로써, 상기 IP 카메라(200)에서 촬영한 영상을 로컬에서 직접 모니터링하도록 할 수 있다. 즉 클라이언트가 클라이언트 단말(400)을 통해 모니터링 하지 않고 상기 NVR(300)에서 로컬 모니터링을 수행할 수 있도록 하는 것이다.
한편 상기 NVR(300)은 네트워크를 통해 IP 카메라(200)로부터 전송받은 암호화된 영상(즉 IP 패킷, IP 패킷에 포함된 암호화된 비디오 스트림 또는 이들의 조합)을 저장하여 관리하는 과정에서, 클라이언트 단말(400)의 요청에 따라 특정 시점의 암호화된 영상을 추출하여 해당 클라이언트 단말(400)로 전송할 수 있다.
이 경우 상기 클라이언트 단말(400)의 보안 에이전트(410)는 기 저장된 스케줄 정보 또는 클라이언트의 조작을 토대로 세션이 연결된 상기 NVR(300)로 데이터 전송과정에서의 세션 인증에 사용할 세션키의 발급을 요청한다.
그러면 상기 NVR(300)의 보안 에이전트(310)는 상기 클라이언트 단말(400)의 요청에 따라 세션키를 발급하고, 상기 클라이언트 단말(400)에서는 상기 NVR(300)에서 발급한 세션키가 올바르게 발급된 것이 맞는지의 여부를 상기 NVR(300)로 요청하며, 상기 NVR(300)로부터 세션키가 올바르게 발급된 것이 맞는지의 여부에 대한 결과정보를 제공받은 후, 상기 세션키가 정상적으로 발급된 경우 보안전송채널을 설정한다. 이에 따라 상기 NVR(300)의 보안 에이전트(310)는 특정 시점의 암호화된 영상을 보안전송채널을 통해 상기 클라이언트 단말(400)로 전송한다.
상기 NVR(300)에서 특정 시점의 암호화된 영상을 전송세션 인증에 따라 설정된 보안전송채널을 통해 상기 클라이언트 단말(400)로 전송하면, 상기 클라이언트 단말(400)의 보안 에이전트(410)는 상기 NVR(300)로부터 IP 패킷 형태의 특정 시점의 암호화된 영상을 수신한다.
그리고 상기 클라이언트 단말(400)의 보안 에이전트(410)는 상기 NVR(300)로부터 수신한 IP 패킷을 해제하여 암호화된 비디오 스트림을 추출하고, 이를 상기 마스터키로 복호화한 후 복호화된 비디오 데이터를 재생한다.
이때 상기 클라이언트 단말(400)은 상기 보안 에이전트(410)에서 관리중인 마스터키와 상기 IP 카메라(200)에서 촬영한 영상데이터를 암호화할 때 사용된 마스터키가 서로 일치하지 않아 정상적인 인증처리가 수행되지 않는 경우 암호화된 영상을 실시간 모니터링하거나 복원하여 재생할 수 없다.
한편 상기 IP 카메라(200), NVR(300) 및 클라이언트 단말(400) 각각에 설치된 보안 에이전트(210)(310)(410)에서 저장하여 관리중인 마스터키는 보안 감시 시스템을 운영하는 사업자 측에서 직접 운영하거나 또는 제휴된 기관에서 운영하는 인증서버(100)를 통해 주기적으로 폐기 및 생성처리된다.
즉 상기 마스터키를 주기적으로 변경시켜 마치 금융기관에서 사용하는 보안 수준으로 관리하여 외부에서 해킹 등에 의해 마스터키의 유출을 최대한 방지하도록 함으로써, IP 카메라(200)에서 촬영한 영상데이터나 NVR(300)에 저장, 관리중인 영상데이터가 유출된다 하더라도 외부에서 손쉽게 암호화된 영상을 복원하여 재생할 수 없도록 하는 것이다.
도 3은 상기 도 2의 IP 카메라(200)의 구성을 상세하게 나타낸 도면이다.
도 3에 도시된 바와 같이, 상기 IP 카메라(200)는 보안감시 지역에 위치한 각종 가정이나 빌딩, 거리 등에 적어도 하나 이상 설치되어 있으며, 고성능의 사양(예를 들어, 3Mpixel/30fps를 지원)을 적용하여 영상 송수신시 발생하는 딜레이를 최소화하면서 촬영한 영상데이터를 네트워크를 통해 NVR(300)로 전송하여 저장하도록 한다.
이때 상기 IP 카메라(200)는 촬영한 영상을 암호화할 때, 촬영한 영상의 원시 이미지를 기 설정된 소정의 단위로 압축하는 과정에서 보안 에이전트(210)에서 관리중인 마스터키를 사용하여 암호화하는 것이 가장 바람직하며, 그 이외에 원시 이미지를 기 설정된 소정의 단위로 압축한 후 패킷처리하는 과정에서 상기 마스터키를 사용하여 암호화할 수 있다. 또한 촬영한 영상데이터의 원시 이미지를 기 설정된 소정의 단위로 압축하는 과정 및 원시 이미지를 기 설정된 소정의 단위로 압축한 후 패킷처리하는 과정 모두에서 상기 마스터키를 사용하여 암호화할 수도 있으며, 상기 언급된 두 과정 이외에 촬영한 영상데이터를 암호화할 수 있다면 어느 단계에서도 암호화를 수행할 수 있음은 물론이다.
또한 상기 IP 카메라(200)는 내부에 영상을 촬영하기 위한 카메라모듈 이외에도 촬영한 영상데이터를 부호화(MPEG4, H.264, HEVC 등)할 때 블록레벨의 특정 코드를 암호화하거나 매크로블록 레벨의 비트스트림 코드를 암호화하거나, 슬라이스 헤더, 필드나 프레임의 헤더, GOP 헤더, 시퀀스 헤더 또는 이들의 조합을 암호화하여 영상데이터에 대한 보안의 강화레벨을 신축성 있게 조정할 수 있다.
한편 상기 IP 카메라(200)는 보안 에이전트(210), 프로세서(220), DSP(230), 통신부(240) 등으로 구성된다. 그 이외에 상기 IP 카메라(200)는 도면에 도시하지는 않았지만, 저장부, 배터리 등을 추가하여 구성할 수 있다.
상기 보안 에이전트(210)는 키 관리부(212), 영상암호화부(214), 세션인증부(216)로 구성되고, 비디오 스트림, IP 패킷 또는 이들의 조합을 마스터키로 암호화하고, 세션키로 전송세션을 인증하여 보안전송채널을 통해 암호화된 영상을 송수신하도록 한다.
상기 키 관리부(212)는 상기 인증서버(100)에서 제공되는 마스터키와 상기 NVR(300)과의 세션 연결시 전송세션 인증을 위하여 상기 NVR(300)로부터 제공받은 세션키를 저장 관리한다.
상기 영상암호화부(214)는 상기 키 관리부(212)에서 저장 관리중인 마스터키를 사용하여 프로세스(220)의 비디오 인코더(224)에서 생성한 비디오 스트림을 암호화한다.
세션인증부(216)는 기 저장된 스케줄 정보를 토대로 암호화된 영상을 네트워크를 통해 상기 NVR(300)로 전송할 시점이 되었는지를 확인한 후, 상기 IP 카메라(200)에서 NVR(300)과 세션을 연결하여 IP 패킷 형태의 암호화된 영상을 송수신하는 과정에서의 전송세션 인증에 사용할 세션키의 발급을 상기 NVR(300)로 요청하고, 상기 NVR(300)로부터 세션키가 발급되면 상기 키 관리부(212)에 저장함과 동시에 상기 NVR(300)에서 발급한 세션키가 정상적으로 발급된 것이 맞는지의 여부를 상기 NVR(300)로 요청하며, 상기 NVR(300)로부터 세션키가 정상적으로 발급된 것이 맞는지의 여부에 대한 결과정보를 토대로 상기 NVR(300)과의 보안전송채널 설정을 제어한다.
또한 상기 세션인증부(216)는 상기 영상암호화부(214)에서 상기 마스터키를 사용하여 암호화된 영상을 세션키에 의해 설정된 보안전송채널을 통해 상기 NVR(300)로 전송하도록 제어한다.
상기 프로세서(220)는 상기 IP 카메라(200)에서 촬영한 영상의 원시 이미지를 압축 및 패킷처리를 수행함과 동시에 상기 보안 에이전트(210)에서 저장 관리중인 마스터키를 사용하여 촬영 영상의 암호화를 제어하는 기능을 수행하는 부분으로서, 촬영한 영상데이터의 원시 이미지를 수신하는 원시 이미지 수신부(222), 원시 이미지 수신부(222)를 통해 입력되는 IP 카메라의 비디오 데이터(즉 원시 이미지)를 DSP(230)를 통해 압축 처리하여 비디오 스트림을 생성하는 비디오 인코더(224) 및 비디오 인코더(224)에서 압축 처리된 비디오 스트림을 IP 패킷으로 패킷처리하여 통신부(240)로 출력하는 패킷화부(226)로 구성된다.
이때 상기 프로세서(220)는 촬영한 영상데이터의 원시 이미지를 기 설정된 소정의 단위로 압축할 때, 원시 이미지를 기 설정된 소정의 단위로 압축한 후 패킷처리할 때, 또는 두 과정 모두에서 상기 마스터키를 사용하여 촬영 영상의 암호화를 수행하도록 제어할 수 있다. 또한 촬영한 영상을 암호화할 때 어느 부분이 암호화되었는지에 대한 정보를 암호화된 영상의 헤더에 포함하거나 또는 별도의 파일이나 메타데이터로 기록하도록 제어할 수 있다.
여기서 블록단위로 암호화할 경우 보안이 강화되며, 이는 보안레벨을 높게 설정할 경우 적용되도록 할 수 있으며, 매크로블록, 슬라이스, 필드나 프레임 단위로 암호화를 적용할 수도 있다. 이 경우에 각 프레임마다 최소한 암호화가 적용되는 것이므로, 암호키를 모르는 사용자는 하나의 프레임도 복원해볼 수 없게 된다. 또한, I-프레임에 대해서만 암호화를 적용하여 I-프레임이 복원되지 않는 한 P-프레임이나 B-프레임도 복원하지 못하게 제어할 수 있다. 그밖에 GOP 단위로 암호화하거나, 비디오, 오디오 및 데이터 시퀀스 단위로 암호화하거나, 프로그램 스트림 단위로 암호화하는 것도 가능하다.
또한 상기 프로세서(220)는 상기 IP 카메라(200)에서 촬영한 영상데이터와 함께, 오디오데이터 및 IP 카메라(200)에 추가로 구비되는 각종 센서에서 측정한 감지데이터를 상기 마스터키를 통해 암호화하도록 제어할 수도 있다.
상기 DSP(230)는 프로세서(220)의 비디오 인코더(224)의 제어를 토대로 원시 이미지를 압축 처리한다. 예를 들어, 상기 DSP(230)는 공간압축 처리부(232) 및 시간압축 처리부(234)를 포함하고, 공간압축 처리부(232)는 주로 이산 코사인 변환(DCT, Discrete Cosine Transform) 알고리즘이나 가변길이부호화 알고리즘 등과 같이 하나의 픽처(picture)내에서 각 인접 픽셀간의 공간적인 중복성을 제거하는 알고리즘을 처리하는 것이고, 시간압축 처리부(234)는 움직임 추정(ME, Motion Estimation) 알고리즘과 같이 프레임(픽처)간의 시간영역인 중복성을 제거하여 영상 데이터를 압축하는데 활용한다.
상기 통신부(240)는 상기 인증서버(100)로부터 제공되는 마스터키의 폐기 및 생성에 관련된 정보를 상기 보안 에이전트(210)로 전달하며, 상기 프로세서(220)의 제어를 통해 암호화된 영상을 네트워크를 통해 상기 NVR(300)로 전송하는 기능을 수행한다.
도 4는 상기 도 2의 NVR(300)의 구성을 상세하게 나타낸 도면이다.
도 4에 도시된 바와 같이, 상기 NVR(300)은 네트워크를 통해 상기 IP 카메라(200)로부터 전송받은 암호화된 영상(즉 IP 패킷, IP 패킷에 포함된 암호화된 비디오 스트림)을 각 클라이언트 및 IP 카메라별로 구분하여 저장, 관리하거나 또는 암호화된 영상을 그대로 클라이언트 단말(400)로 바이패스하여 해당 클라이언트 단말(400)에서 실시간 모니터링을 수행하도록 한다.
또한 상기 NVR(300)은 상기 IP 카메라(200)로부터 수신한 IP 패킷을 해제하여 비디오 스트림으로 변환한 후 이를 상기 마스터키로 복호화하고, 복호화된 비디오 데이터를 표시장치에 출력함으로써, 상기 IP 카메라(200)에서 촬영한 영상을 로컬에서 직접 모니터링할 수 있도록 한다. 즉 클라이언트가 클라이언트 단말(400)을 통해 모니터링하지 않고 상기 NVR(300)에서 로컬 모니터링을 수행할 수 있도록 하는 것이다.
또한 상기 NVR(300)은 각각의 IP 카메라 및 클라이언트별로 암호화된 영상을 저장 관리하는 과정에서, 특정 클라이언트 단말(400)로부터 특정 시점의 영상 제공이 요청되면, 기 저장되어 있는 해당 클라이언트가 관리하는 IP 카메라에서 촬영한 특정 시점의 암호화된 영상을 추출한 다음 해당 클라이언트 단말(400)로 제공할 수 있다.
또한 상기 NVR(300)은 상기 IP 카메라(200)로부터 암호화된 영상을 수신하거나, 상기 클라이언트 단말(400)로 특정 시점의 암호화된 영상을 전송할 때, 상기 IP 카메라(200) 또는 상기 클라이언트 단말(400)과의 세션 연결과정에서 갱신한 세션키를 사용하여 전송세션 인증을 처리하는 이중의 보안 관리를 수행한다.
상기 NVR(300)은 보안 에이전트(310), 통신부(320), 패킷화부(330), 비디오 디코더(340), 영상관리부(350), 클라이언트 관리부(360), 저장부(370) 등으로 구성된다.
상기 보안 에이전트(310)는 키 관리부(312), 세션인증부(314), 영상복호화부(316)로 구성되고, 상기 IP 카메라(200)로부터 IP 패킷을 수신하기 전에 세션키로 보안인증채널을 설정한 후 상기 IP 카메라(200)로부터 IP 패킷 형태의 암호화된 영상을 수신한다.
상기 키 관리부(312)는 상기 인증서버(100)에서 제공되는 마스터키와 상기 IP 카메라(200) 또는 상기 클라이언트 단말(400)과의 전송세션 인증시 사용되는 세션키를 저장하여 관리한다.
상기 세션인증부(314)는 암호화된 영상을 전송하고자 하는 상기 IP 카메라(200)의 세션키 요청에 따라 암호화된 영상을 송수신하는 과정에서의 세션 인증에 사용할 세션키를 발급하고, 상기 IP 카메라(200)의 세션키 확인요청에 따라 결과정보를 제공하며, 이와 같은 전송세션 인증을 통해 형성된 보안전송채널을 통해 상기 IP 카메라(200)로부터 암호화된 영상이 수신되면 상기 암호화된 영상을 상기 패킷화부(330)의 제1 패킷화부(332)를 통해 해제하도록 제어한다.
또한 상기 세션인증부(314)는 특정 시점의 암호화된 영상을 제공받기 위하여 상기 NVR(300)과 세션을 연결하는 상기 클라이언트 단말(400)의 세션키 요청에 따라 세션키를 발급하고, 상기 IP 카메라(200)의 세션키 확인요청에 따라 결과정보를 제공하며, 이와 같은 전송세션 인증을 통해 보안전송채널이 형성되면 특정 시점의 암호화된 영상을 상기 클라이언트 단말(400)로 전송하도록 제어한다.
상기 영상복호화부(316)는 상기 제1 패킷화부(332)의 IP 패킷 해제를 통해 추출되는 암호화된 비디오 스트림을 상기 키 관리부(312)에서 저장 관리중인 마스터키를 사용하여 복호화한다.
상기 통신부(320)는 상기 인증서버(100)로부터 제공되는 마스터키의 폐기 및 생성에 관련된 정보를 상기 보안 에이전트(310)로 전달하며, 상기 IP 카메라(200)로부터 수신한 IP 패킷 형태의 암호화된 영상을 패킷화부(330)로 출력한다.
또한 상기 통신부(320)는 영상 관리부(350)의 제어를 토대로 상기 IP 카메라(200)로부터 전송받은 암호화된 영상을 해당 클라이언트 단말(400)로 전송하여 실시간 모니터링을 수행하도록 한다.
또한 상기 통신부(320)는 상기 클라이언트 단말(400)로부터 특정 시점의 암호화된 영상에 대한 요청신호를 영상 관리부(350)로 전달하며, 특정 시점의 암호화된 영상을 해당 클라이언트 단말(400)로 전송한다.
상기 패킷화부(330)는 상기 IP 카메라(200)로부터 수신하는 IP 패킷 형태의 암호화된 영상을 해제하여 암호화된 비디오 스트림을 추출하는 제1 패킷화부(332)와, 상기 클라이언트 단말(400)로부터 요청받은 특정 시점의 암호화된 영상을 IP 패킷으로 패킷화하는 제2 패킷화부(334)로 구성된다.
상기 비디오 디코더(340)는 상기 제1 패킷화부(332)로부터 패킷 해제처리되어 입력되는 비디오 스트림을 디코딩한 다음 디코딩된 비디오 데이터를 외부 표시장치나 자체에 구비된 표시장치로 출력하여 클라이언트나 운영자가 로컬 모니터링을 수행하도록 한다.
상기 영상 관리부(350)는 상기 패킷화부(330)의 제1 패킷화부(332)를 통해 해제 처리된 암호화된 영상(즉 암호화된 비디오 스트림)을 각각의 클라이언트 및 IP 카메라별로 구분하여 상기 저장부(370)에 저장하는 기능을 수행한다.
또한 상기 영상 관리부(350)는 클라이언트가 실시간 모니터링을 수행할 수 있도록 상기 통신부(320)를 통해 상기 IP 카메라(200)로부터 전송받은 암호화된 영상을 그대로 바이패스하여 해당 클라이언트 단말(400)로 전송하거나, 또는 클라이언트 단말(400)의 요청에 따라 상기 저장부(370)에 저장되어 있는 특정 시점의 암호화된 영상을 추출하여 상기 패킷화부(330)의 제2 패킷화부(334)를 통해 IP 패킷으로 패킷화한 후 해당 클라이언트 단말(400)로 제공하는 기능을 수행한다.
이때 상기 클라이언트 단말(400)로 제공되는 IP 패킷 형태의 특정 시점의 암호화된 영상은 해당 클라이언트 단말(400)과의 세션이 연결될 때 갱신되는 세션키를 통해 수행되는 전송세션 인증에 따라 설정되는 보안전송채널을 통해 상기 클라이언트 단말(400)로 전송된다.
상기 클라이언트 관리부(360)는 보안 감시 시스템을 이용하는 각각의 클라이언트별 식별정보, 각각의 클라이언트가 지정하는 IP 카메라별 식별정보를 저장, 관리하는 기능을 수행한다. 예를 들어 상기 IP 카메라(200) 및 클라이언트 단말(400)의 MAC 정보를 포함한 식별정보 등의 관리를 수행하는 것이다.
상기 저장부(370)는 상기 IP 카메라(200)로부터 수신한 암호화된 영상을 각각의 클라이언트 및 IP 카메라별로 구분하여 저장한다.
한편 상기 NVR(300)은 보안 감시 시스템을 이용하는 클라이언트 단말(400)의 설정 조작을 토대로 클라이언트 단말(400)에서 지정한 IP 카메라(200) 각각의 프레임 간격조절에 대한 타임랩스를 포함한 영상데이터 처리정보, 영상데이터의 어느 부분이 암호화되었는지를 알려주기 위한 암호화 정보, 타임스탬프를 포함한 인덱스 정보, 설치위치를 포함한 로케이션 정보 또는 이들의 조합을 포함하는 정보의 처리를 수행하도록 IP 카메라(200)를 제어하는 기능을 추가로 수행할 수 있다.
도 5는 상기 도 2의 클라이언트 단말(400)의 구성을 보다 상세하게 나타낸 도면이다.
도 5에 도시된 바와 같이, 상기 클라이언트 단말(400)은 보안 감시 시스템을 이용하는 개인이나 보안 관리자 등이 보유한 스마트폰, 데스크 탑 PC, 노트 PC, 태블릿 등의 통신기기로서, 보안 에이전트(410)에 저장 관리중인 마스터키를 사용하여 상기 NVR(300)로부터 전송되는 암호화된 영상을 복호화하여 화면에 표시함으로써, 클라이언트가 실시간으로 모니터링을 수행하거나 또는 특정 시점의 암호화된 영상을 복원하여 재생하도록 한다.
또한 상기 클라이언트 단말(400)은 IP 패킷 형태의 암호화된 영상을 수신할 때, 상기 NVR(300)과의 세션 연결과정에서 갱신한 세션키를 사용하여 보안전송채널을 형성하고, 이를 통해 데이터를 수신하는 이중의 보안 관리를 수행한다.
예를 들어 상기 도 2의 #1에 포함된 IP 카메라(200) 및 #1에 포함된 IP 카메라(200)에서 촬영한 영상을 확인하는 특정 클라이언트 단말(400) 각각에는 동일한 마스터키가 저장 관리되기 때문에 #1에 포함된 IP 카메라(200)에서 마스터키를 사용하여 암호화된 영상은 클라이언트 단말(400)에서 동일한 마스터키를 통해 복호화되어 재생되는 것이다. 이에 따라 각각의 클라이언트는 암호화된 영상이 전송 과정에서 외부로 유출되어도 마스터키를 모르는 상태에서는 해당 영상을 복원할 수 없으며, 암호화된 영상의 송수신 과정에서 세션키를 사용하여 전송세션 보안을 처리하는 이중의 보안 관리를 수행하기 때문에 보안을 한층 강화할 수 있다. 그러므로 본 발명은 감시나 녹화 영상데이터의 분실에 의한 프라이버시 침해에 대해서 사전적 대응이 가능하다.
상기 클라이언트 단말(400)은 보안 에이전트(410), 통신부(420), 패킷화부(430), 비디오 디코더(440), 표시부(450) 등으로 구성된다.
상기 보안 에이전트(410)는 키 관리부(412), 세션인증부(414), 영상복호화부(416)로 구성된다.
상기 키 관리부(412)는 상기 인증서버(100)에서 제공되는 마스터키와 상기 NVR(300)과의 세션 연결시 세션 인증을 위하여 상기 NVR(300)에서 생성하는 세션키를 저장 관리한다.
상기 세션인증부(414)는 특정 시점의 암호화된 영상을 수신하고자 하는 클라이언트의 조작을 토대로 상기 NVR(300)로 해당 시점의 암호화된 영상을 송수신하는 과정에서의 세션 인증에 사용할 세션키 발급을 요청하고, 상기 NVR(300)로부터 세션키를 발급받아 상기 키 관리부(412)에 저장한다.
또한 상기 세션인증부(414)는 상기 NVR(300)로부터 세션키가 발급되면 상기 NVR(300)에서 발급한 세션키가 정상적으로 발급된 것이 맞는지의 여부를 상기 NVR(300)로 요청하며, 상기 NVR(300)로부터 세션키가 정상적으로 발급된 것이 맞는지의 여부에 대한 결과정보를 토대로 상기 NVR(300)과의 보안전송채널 설정을 제어한다.
또한 상기 세션인증부(414)는 상기 NVR(300)로부터 IP 패킷 형태의 암호화된 영상이 수신되면 상기 암호화된 영상을 상기 패킷화부(430)를 통해 패킷을 해제처리하도록 한다.
상기 영상복호화부(416)는 상기 패킷화부(430)에서 해제된 암호화된 비디오 스트림을 상기 키 관리부(412)에서 저장 관리중인 마스터키를 사용하여 복호화한다.
상기 통신부(420)는 상기 인증서버(100)로부터 제공되는 마스터키의 폐기 및 생성에 관련된 정보를 상기 보안 에이전트(410)로 전달하며, 상기 NVR(300)로부터 IP 패킷 형태의 암호화된 영상을 수신한다.
상기 패킷화부(430)는 상기 NVR(300)로부터 수신하는 IP 패킷 형태의 암호화된 영상을 패킷 해제하여 암호화된 비디오 스트림을 추출하는 기능을 수행한다.
상기 비디오 디코더(440)는 상기 패킷화부(430)로부터 입력되어 상기 영상복호화부(416)를 통해 복호화된 비디오 스트림을 디코딩한 다음, 디코딩한 비디오 데이터를 표시부(450)로 출력한다.
상기 표시부(450)는 상기 비디오 디코더(440)에서 디코딩된 비디오 데이터를 재생함으로써, 클라이언트가 재생되는 영상을 토대로 실시간 모니터링을 수행하거나, 특정 시점의 영상을 확인할 수 있도록 한다.
한편 상기 도 1 내지 도 5에서의 설명에서와 같이 인증서버(100)를 통해 IP 카메라(200), NVR(300) 및 클라이언트 단말(400) 각각에서 사용되는 마스터키를 관리하는 형태의 실시예 이외에, 로컬 네트워크 및 개인 사용자용으로 제공하기 위하여 상기 인증서버(100)를 별개로 구성하지 않고 NVR(300) 내부에 직접 구성하여 시스템을 구현할 수 있다.
도 6은 본 발명의 다른 실시예에 따른 보안 에이전트를 이용한 보안 감시 장치의 구성을 개략적으로 나타낸 도면이다.
도 6에 도시된 바와 같이 본 발명의 시스템은, 마스터키의 생성, 분배, 관리 또는 이들의 조합을 포함하는 인증서버의 기능을 수행하는 인증서버모듈(500)을 상기 NVR(300) 내에 탑재함으로써, 상기 설명한 대용량의 다수 사용자용으로 제공하기 위한 엔터프라이즈 모델 형태의 시스템을 로컬 네트워크의 개인 사용자용으로 제공하기 위한 소호용 모델 형태의 시스템으로 사용할 수 있도록 한다.
상기 인증서버의 기능을 수행하는 인증서버모듈(500)은 소규모로 제작된 마스터키용 소프트웨어 모듈로서, IP 카메라(200), NVR(300) 및 클라이언트 단말(400) 각각에서 사용하는 마스터키의 주기적인 생성, 분배 및 폐기처리에 대한 관리기능과 보안 에이전트 프로그램의 업데이트 관리기능을 수행한다.
다음에는, 이와 같이 구성된 본 발명에 따른 보안 에이전트를 이용한 보안 감시 방법의 일 실시예를 도 7을 참조하여 상세하게 설명한다. 이때 본 발명의 방법에 따른 각 단계는 사용 환경이나 당업자에 의해 순서가 변경될 수 있다.
도 7은 본 발명의 일 실시예에 따른 보안 에이전트를 이용한 보안 감시 방법의 동작과정을 상세하게 나타낸 순서도이다.
우선, 보안 감시 시스템을 운영하는 사업자측에서 IP 카메라(200), NVR(300) 및 클라이언트 단말(400) 각각에 소프트웨어 형태로 구동되는 보안 에이전트(210)(310)(410)를 설치하고, 인증서버(100)를 통해 촬영 영상을 암호화하거나 또는 암호화된 영상을 복호화하기 위한 마스터키를 각각의 보안 에이전트(210)(310)(410)에 제공하여 저장, 관리하도록 한다.
이때 상기 인증서버(100)에서 각각의 보안 에이전트(210)(310)(410)로 제공하는 마스터키는 기 설정된 주기마다 폐기 및 생성을 반복하여 처리함으로써, 외부 유출을 방지하도록 한다.
이와 같이 상기 보안 에이전트를 각각의 IP 카메라(200), NVR(300) 및 클라이언트 단말(400)에 설치한 이후, 상기 IP 카메라(200)는 보안, 방범 등이 필요한 건물, 거리 등의 영상을 촬영한다(S100).
상기 S100 단계를 통해 IP 카메라(200)에서 영상을 촬영하면, 상기 IP 카메라(200)의 보안 에이전트(210)는 기 저장된 마스터키를 사용하여 촬영한 영상을 암호화한다(S200). 즉 상기 IP 카메라(200)의 보안 에이전트(210)에서 비디오 스트림, IP 패킷 또는 이들의 조합을 마스터키로 암호화하는 것이다.
상기 S200 단계를 통해 상기 보안 에이전트(210)의 마스터키를 사용하여 촬영한 영상을 암호화한 이후, 상기 IP 카메라(200)는 기 저장된 스케줄 정보를 토대로 상기 암호화된 영상을 네트워크를 통해 상기 NVR(300)로 전송할 시점이 되었는지를 판단한다(S300).
판단결과 암호화된 영상의 전송시점이 되면, 상기 IP 카메라(200)의 보안 에이전트(210)는 상기 NVR(300)로 데이터 전송과정에서의 전송세션 인증에 사용할 세션키의 발급을 요청하고, 상기 NVR(300)의 보안 에이전트(310)는 상기 IP 카메라(200)의 요청에 따라 해당 카메라의 IP 정보 또는 식별정보를 확인한 다음 세션키를 발급하고, 상기 IP 카메라(200)의 보안 에이전트(210)에서는 상기 NVR(300)에서 발급한 세션키가 올바르게 발급된 것이 맞는지의 여부를 상기 NVR(300)로 요청하며, 상기 NVR(300)로부터 세션키가 올바르게 발급된 것이 맞는지의 여부에 대한 결과정보를 제공받은 후, 상기 세션키가 정상적으로 발급된 경우 전송세션을 인증하고 보안전송채널을 형성한다(S400). 이때 상기 세션키는 암호화된 영상을 송수신하는 각 장치 사이의 세션이 연결될 때마다 새롭게 갱신된다.
상기 S400 단계를 통해 세션키를 토대로 전송세션이 인증되어 보안전송채널이 형성되면, 상기 IP 카메라(200)는 상기 보안전송채널을 통해 IP 패킷 형태의 암호화된 영상을 네트워크를 통해 상기 NVR(300)로 전송한다(S500).
즉 상기 암호화된 영상을 송수신하는 IP 카메라(200)와 NVR(300) 사이의 전송세션 인증에 세션키를 사용함으로써, 이중의 보안 관리가 이루어져 영상이 유출되어도 손쉽게 복원하지 못하도록 하며, 이에 따라 더욱 더 높은 보안성을 제공하도록 하는 것이다.
그러면 상기 NVR(300)의 보안 에이전트(310)는 전송세션 인증이 수행된 상기 IP 카메라(200)로부터 암호화된 영상을 수신한 다음 각 클라이언트별로 구분하여 저장하거나 또는 특정 클라이언트 단말(400)로 실시간 모니터링을 수행할 수 있도록 그대로 바이패스한다(S600). 이때 클라이언트 단말(400)은 상기 NVR(300)로부터 제공되는 암호화된 영상을 보안 에이전트(410)에서 관리중인 마스터키를 통해 복원하여 실시간으로 모니터링하게 된다.
또한 상기 NVR(300)은 상기 S600 단계에서 상기 IP 카메라(200)로부터 수신한 IP 패킷을 해제하여 암호화된 비디오 스트림 형태로 변환한 후 이를 상기 마스터키로 복호화하고, 복호화된 비디오 데이터를 상기 NVR(300)에 연결되거나 자체적으로 구비된 표시장치에 출력할 수 있다. 이 경우 클라이언트는 클라이언트 단말(400)을 통해 모니터링할 필요없이 상기 NVR(300)에서 직접 모니터링을 수행할 수 있다.
한편 상기 S100 단계 내지 S600 단계를 통해 상기 NVR(300)에서 상기 IP 카메라(200)로부터 전송받은 암호화된 영상(즉 IP 패킷, IP 패킷에 포함된 암호화된 비디오 스트림 또는 이들의 조합)을 각각의 클라이언트별로 구분하여 저장 관리하거나 또는 암호화된 영상을 복호화하여 로컬 모니터링을 수행하도록 하거나 또는 클라이언트 단말(400)로 제공하여 실시간 모니터링을 수행하는 과정에서, 상기 NVR(300)은 상기 클라이언트 단말(400)로부터 특정 시점의 암호화된 영상이 요청되는지를 판단한다(S700).
판단결과 상기 클라이언트 단말(400)로부터 특정 시점의 암호화된 영상이 요청되면, 상기 NVR(300)의 보안 에이전트(310)는 특정 시점의 암호화된 영상을 전송하기에 앞서 전송세션 인증을 위한 상기 클라이언트 단말(400)의 보안 에이전트(410)의 세션키 발급 요청에 따라 세션키를 발급하고, 상기 클라이언트 단말(400)의 보안 에이전트(410)에서는 상기 NVR(300)에서 발급한 세션키가 올바르게 발급된 것이 맞는지의 여부를 상기 NVR(300)로 요청하며, 상기 NVR(300)로부터 세션키가 올바르게 발급된 것이 맞는지의 여부에 대한 결과정보를 제공받은 후, 상기 세션키가 정상적으로 발급된 경우 보안전송채널을 형성한다(S800).
상기 S800 단계를 통해 특정 시점의 암호화된 영상을 송수신하기 이전에 전송세션 인증을 위한 세션키를 통해 보안전송채널이 형성되면, 상기 NVR(300)의 보안 에이전트(310)는 클라이언트가 요구하는 특정 시점의 암호화된 영상을 IP 패킷으로 패킷화한 다음, IP 패킷 형태의 암호화된 영상을 상기 보안전송채널을 통해 상기 클라이언트 단말(400)로 전송한다(S900).
상기 S900 단계를 통해 상기 NVR(300)에서 IP 패킷 형태의 특정 시점의 암호화된 영상을 상기 클라이언트 단말(400)로 전송하면, 상기 클라이언트 단말(400)의 보안 에이전트(410)는 상기 NVR(300)로부터 수신한 IP 패킷을 해제하여 암호화된 비디오 스트림 형태로 변환한 후 이를 상기 마스터키로 복호화하고, 복호화된 비디오 데이터를 표시부를 통해 재생한다(S1000).
이때 상기 클라이언트 단말(400)의 보안 에이전트(410)에서 관리중인 마스터키와 상기 IP 카메라(200)에서 촬영 영상을 암호화할 때 사용한 마스터키가 서로 일치하지 않는 경우에는 상기 암호화된 영상을 복원하여 재생할 수 없음은 물론이다.
이처럼, 본 발명은 인증서버에서 주기적으로 생성하여 관리하는 마스터키와 IP 카메라, NVR 및 클라이언트 단말 각각에 설치된 보안 에이전트에서 암호화된 영상의 송수신 과정에서 전송세션 인증을 위해 세션키를 사용하는 이중의 보안 처리방식을 토대로 카메라에서 촬영한 영상의 유출을 최대한 방지할 수 있고, 설사 영상이 유출된다 하더라도 이중의 보안 처리로 인해 손쉽게 복원하지 못하도록 하며, 이에 따라 높은 보안성을 제공할 수 있다.
또한 본 발명은 IP 카메라, NVR 및 클라이언트 단말 각각에서 사용하는 마스터키를 인증서버에서 주기적으로 생성하고 폐기처리하기 때문에 마스터키의 관리와 보안을 한층 강화시킬 수 있으며, 보안감시 시스템의 구축 규모나 소요 비용에 맞추어 NVR, 로컬 NVR 등을 다양하게 적용할 수 있으므로 시스템 구축의 용이성이 증대된다.
이상으로 본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 기술적 보호범위는 아래의 특허청구범위에 의해서 판단되어야 할 것이다.
100 : 인증서버 200 : IP 카메라
210, 310, 410 : 보안 에이전트 212, 312, 412 : 키 관리부
214 : 영상암호화부 216, 314, 414 : 세션 인증부
316, 416 : 영상복호화부 300 : NVR
400 : 클라이언트 단말

Claims (18)

  1. IP 카메라에서 출력되는 비디오 데이터를 부호화하는 비디오 스트림을 생성하는 비디오 인코더;
    상기 생성한 비디오 스트림을 IP 패킷으로 패킷화하는 패킷화부; 및
    상기 비디오 스트림, IP 패킷 또는 이들의 조합을 마스터키로 암호화하고, 상기 IP 패킷을 네트워크로 전송하는 과정에서 세션키를 사용하여 IP 카메라와 NVR 간의 전송세션을 인증하는 보안 에이전트;를 포함하고,
    상기 암호화는 상기 비디오 스트림의 생성이나 패킷화 과정에서 적용되며,
    상기 전송세션을 인증하는 것은 상기 IP 카메라와 상기 NVR 간에 IP 패킷을 송수신하기 전에 세션키로 보안전송채널을 설정하는 것을 특징으로 하는 보안 감시 장치.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 보안 에이전트는, 상기 IP 패킷을 네트워크를 통해 NVR로 전송하는 과정에서 세션키를 사용하여 상기 IP 패킷 중 페이로드 정보를 암호화하는 것을 더 포함하며,
    상기 IP 패킷을 수신한 NVR에서 상기 세션키를 사용하여 암호화된 페이로드 정보를 복호화함으로써, IP 카메라와 NVR 간의 전송세션을 인증하는 것을 특징으로 하는 보안 감시 장치.
  4. IP 카메라로부터 IP 패킷을 수신하기 위한 전송세션을 인증하고, 상기 IP 패킷을 네트워크로 수신하는 과정에서 세션키를 사용하여 IP 카메라와 NVR 간의 전송세션을 인증하는 것을 포함하는 보안 에이전트; 및
    상기 IP 카메라에서 수신된 IP 패킷, 상기 IP 패킷에 포함된 암호화된 비디오 스트림 또는 이들의 조합을 저장하는 저장부;를 포함하고,
    상기 암호화된 비디오 스트림은 마스터키를 이용하여 암호화되며,
    상기 전송세션을 인증하는 것은 상기 IP 카메라로부터 IP 패킷을 수신하기 전에 세션키로 보안전송채널을 설정하는 것을 특징으로 하는 보안 감시 장치.
  5. 삭제
  6. 청구항 4에 있어서,
    상기 보안 감시 장치는,
    상기 IP 카메라에서 수신된 IP 패킷을 해제하여 비디오 스트림으로 변환하는 패킷화부; 및
    상기 변환한 비디오 스트림을 복호화하여 비디오 데이터를 생성하는 비디오 디코더;를 더 포함하며,
    상기 생성한 비디오 데이터를 로컬에서 모니터링할 수 있도록 지원하는 것을 특징으로 하는 보안 감시 장치.
  7. 청구항 4에 있어서,
    상기 보안 감시 장치는,
    상기 마스터키의 생성, 분배, 관리 또는 이들의 조합을 포함하는 인증서버의 기능을 수행하는 인증서버모듈;을 더 포함하는 것을 특징으로 하는 보안 감시 장치.
  8. 청구항 4에 있어서,
    상기 보안 감시 장치는,
    클라이언트 단말의 요청에 따라 상기 저장부에 저장된 특정 시점의 IP 패킷, 상기 IP 패킷에 포함된 암호화된 비디오 스트림을 또는 이들의 조합을 추출하여 상기 클라이언트 단말로 제공하는 영상 관리부;를 더 포함하며,
    상기 클라이언트 단말은, 상기 IP 패킷을 네트워크로 수신하는 과정에서 세션키를 사용하여 NVR과 클라이언트 단말 간의 전송세션을 인증하고, 상기 NVR에서 수신된 IP 패킷을 해제하여 비디오 스트림으로 변환한 다음 이를 복호화하여 비디오 데이터를 생성하고, 상기 비디오 데이터를 재생하여 모니터링을 수행하는 것을 특징으로 하는 보안 감시 장치.
  9. 청구항 8에 있어서,
    상기 보안 에이전트는, 상기 IP 패킷을 네트워크를 통해 상기 클라이언트 단말로 전송하는 과정에서 세션키를 사용하여 상기 IP 패킷 중 페이로드 정보를 암호화하는 것을 더 포함하며,
    상기 IP 패킷을 수신한 상기 클라이언트 단말에서 상기 세션키를 사용하여 암호화된 페이로드 정보를 복호화함으로써, NVR과 클라이언트 단말 간의 전송세션을 인증하는 것을 특징으로 하는 보안 감시 장치.
  10. 비디오 인코더를 통해 IP 카메라에서 출력되는 비디오 데이터를 부호화하는 비디오 스트림을 생성하는 비디오 인코딩 단계;
    상기 생성한 비디오 스트림을 패킷화부를 통해 IP 패킷으로 패킷화하는 패킷화 단계;
    보안 에이전트를 통해 상기 비디오 스트림, IP 패킷 또는 이들의 조합을 마스터키로 암호화하는 마스터키 암호화 단계; 및
    상기 보안 에이전트를 통해 상기 IP 패킷을 네트워크로 전송하는 과정에서 세션키를 사용하여 IP 카메라와 NVR 간의 전송세션을 인증하는 전송세션 인증 단계;를 포함하고,
    상기 암호화는 상기 비디오 스트림의 생성이나 패킷화 과정에서 적용되며,
    상기 전송세션을 인증하는 것은 IP 카메라와 NVR 간에 IP 패킷을 송수신하기 전에 세션키로 보안전송채널을 설정하는 것을 특징으로 하는 보안 감시 방법.
  11. 삭제
  12. 청구항 10에 있어서,
    상기 보안 감시 방법은,
    상기 보안 에이전트에서 상기 IP 패킷을 네트워크를 통해 NVR로 전송하는 과정에서 세션키를 사용하여 상기 IP 패킷 중 페이로드 정보를 암호화하는 세션키 암호화 단계;를 더 포함하며,
    상기 IP 패킷을 수신한 NVR에서 상기 세션키를 사용하여 암호화된 페이로드 정보를 복호화함으로써, IP 카메라와 NVR 간의 전송세션을 인증하는 것을 특징으로 하는 보안 감시 방법.
  13. 보안 에이전트를 통해 IP 카메라로부터 IP 패킷을 수신하기 위한 전송세션을 인증하고, 상기 IP 패킷을 네트워크로 수신하는 과정에서 세션키를 사용하여 IP 카메라와 NVR 간의 전송세션을 인증하는 전송세션 인증 단계; 및
    상기 IP 카메라에서 수신된 IP 패킷, 상기 IP 패킷에 포함된 암호화된 비디오 스트림 또는 이들의 조합을 저장부에 저장하는 저장 단계;를 포함하고,
    상기 암호화된 비디오 스트림은 마스터키를 이용하여 암호화되며,
    상기 전송세션을 인증하는 것은 상기 IP 카메라로부터 IP 패킷을 수신하기 전에 세션키로 보안전송채널을 설정하는 것을 특징으로 하는 보안 감시 방법.
  14. 삭제
  15. 청구항 13에 있어서,
    상기 보안 감시 방법은,
    패킷화부를 통해 상기 IP 카메라에서 수신된 IP 패킷을 해제하여 비디오 스트림으로 변환하는 패킷 해제 단계; 및
    비디오 디코더를 통해 상기 변환한 비디오 스트림을 복호화하여 비디오 데이터를 생성하는 비디오 디코딩 단계;를 더 포함하며,
    상기 생성한 비디오 데이터를 로컬에서 모니터링할 수 있도록 지원하는 것을 특징으로 하는 보안 감시 방법.
  16. 청구항 13에 있어서,
    상기 보안 감시 방법은,
    인증서버의 기능을 수행하는 인증서버모듈을 통해 상기 마스터키의 생성, 분배, 관리 또는 이들의 조합을 수행하는 단계;를 더 포함하는 것을 특징으로 하는 보안 감시 방법.
  17. 청구항 13에 있어서,
    상기 보안 감시 방법은,
    클라이언트 단말의 요청에 따라 영상 관리부에서 상기 저장부에 저장된 특정 시점의 IP 패킷, 상기 IP 패킷에 포함된 암호화된 비디오 스트림을 또는 이들의 조합을 추출하여 상기 클라이언트 단말로 제공하는 영상 제공 단계;를 더 포함하며,
    상기 클라이언트 단말은, 상기 IP 패킷을 네트워크로 수신하는 과정에서 세션키를 사용하여 NVR과 클라이언트 단말 간의 전송세션을 인증하고, 상기 NVR에서 수신된 IP 패킷을 해제하여 비디오 스트림으로 변환한 다음 이를 복호화하여 비디오 데이터를 생성하고, 상기 비디오 데이터를 재생하여 모니터링을 수행하는 것을 특징으로 하는 보안 감시 방법.
  18. 청구항 17에 있어서,
    상기 보안 감시 방법은,
    상기 보안 에이전트에서 상기 IP 패킷을 네트워크를 통해 상기 클라이언트 단말로 전송하는 과정에서 세션키를 사용하여 상기 IP 패킷 중 페이로드 정보를 암호화하는 세션키 암호화 단계;를 더 포함하며,
    상기 IP 패킷을 수신한 상기 클라이언트 단말에서 상기 세션키를 사용하여 암호화된 페이로드 정보를 복호화함으로써, NVR과 클라이언트 단말 간의 전송세션을 인증하는 것을 특징으로 하는 보안 감시 방법.
KR1020170089768A 2017-07-14 2017-07-14 보안 에이전트를 이용한 보안 감시 강화 시스템 KR101815467B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170089768A KR101815467B1 (ko) 2017-07-14 2017-07-14 보안 에이전트를 이용한 보안 감시 강화 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170089768A KR101815467B1 (ko) 2017-07-14 2017-07-14 보안 에이전트를 이용한 보안 감시 강화 시스템

Publications (1)

Publication Number Publication Date
KR101815467B1 true KR101815467B1 (ko) 2018-01-05

Family

ID=61001791

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170089768A KR101815467B1 (ko) 2017-07-14 2017-07-14 보안 에이전트를 이용한 보안 감시 강화 시스템

Country Status (1)

Country Link
KR (1) KR101815467B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102140721B1 (ko) * 2019-01-29 2020-08-03 주식회사 아이디스 안전한 암호화 정보 전송이 가능한 ip 카메라 보안 시스템
KR102444506B1 (ko) * 2021-11-18 2022-09-19 주식회사 두두아이티 영상데이터의 보안 유지 방법 및 장치
KR102580643B1 (ko) * 2023-03-20 2023-09-20 (주)포소드 키 교환 암호 프로토콜 기반 cctv 카메라 영상 데이터 보안 전송 시스템 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102140721B1 (ko) * 2019-01-29 2020-08-03 주식회사 아이디스 안전한 암호화 정보 전송이 가능한 ip 카메라 보안 시스템
US10957172B2 (en) 2019-01-29 2021-03-23 Idis Co., Ltd. Internet protocol camera security system allowing secure encryption information to be transmitted
KR102444506B1 (ko) * 2021-11-18 2022-09-19 주식회사 두두아이티 영상데이터의 보안 유지 방법 및 장치
KR102580643B1 (ko) * 2023-03-20 2023-09-20 (주)포소드 키 교환 암호 프로토콜 기반 cctv 카메라 영상 데이터 보안 전송 시스템 및 방법

Similar Documents

Publication Publication Date Title
KR101760092B1 (ko) 하드웨어 보안모듈을 이용한 cctv 보안강화 장치 및 그 방법
KR101760095B1 (ko) 암호키 기반의 하드웨어 보안모듈을 이용한 cctv 보안 감시 장치 및 그 방법
CN101163228B (zh) 网络视频监控的视频数据加密的系统和方法
KR101950507B1 (ko) 카메라 촬영 영상에 대한 블록체인 기반의 보안 처리 방법
TW516323B (en) Apparatus and method for encoding and storage of digital image and audio signals
KR100886423B1 (ko) 영상 분배 시스템
KR101738334B1 (ko) 클라우드 컴퓨팅 환경을 이용한 cctv 보안 감시 장치 및 그 방법
CN101420587B (zh) 网络视频采集装置、网络视频监控系统和方法
CN104349135B (zh) 监控服务器、监控服务器的处理数据的方法以及监控系统
WO2017033348A1 (ja) 署名生成システム、署名生成装置及び署名生成方法
KR101837188B1 (ko) 비디오 보호 시스템
KR20040007719A (ko) 디지털 이미지를 워터마킹하는 장치 및 방법
KR101815467B1 (ko) 보안 에이전트를 이용한 보안 감시 강화 시스템
EP3691257B1 (en) Internet protocol camera security system allowing secure encryption information to be transmitted
KR20040094411A (ko) Mpeg-4 타입의 시청각 콘텐츠 권리에 대한 보안처리된 유포, 통제된 디스플레이, 사적 용도의 사본 생성,사용권의 관리 및 조건부 액세스를 위해 사용되는 장치
KR20040089108A (ko) 시청각 프로그램의 전송, 기록 및 상영의 보안을 위한장치
KR101810904B1 (ko) 비디오 보호 시스템
CN101783925B (zh) 一种用于对等计算机顶盒的视频数据安全保护方法
KR100996449B1 (ko) 아이피 네트워크를 이용한 감시 영상 관리 시스템 및 그 방법
JP2005516560A (ja) 高品質の音響映像作品を処理するための安全化装置
US7567670B2 (en) Verification information for digital video signal
Go et al. Secure video transmission framework for battery-powered video devices
KR20170082882A (ko) 네트워크 비디오 기록 장치 및 이를 이용한 비디오 데이터 차단 방법
JP2006352265A (ja) 画像配信システム
CN111757062A (zh) 一种视频流的高效安全传输方法和系统

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant