專利名稱:一種保證視頻數(shù)據(jù)安全傳輸?shù)姆椒耙曨l監(jiān)控系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及監(jiān)控技術(shù)和多媒體通信領(lǐng)域,尤其涉及一種視頻監(jiān)控系統(tǒng)中數(shù)據(jù)安全傳輸?shù)姆椒?,以及一種視頻監(jiān)控系統(tǒng)。
背景技術(shù):
隨著社會(huì)信息化程度的不斷提高,社會(huì)各行各業(yè)需要實(shí)施遠(yuǎn)程視頻監(jiān)控的范圍大大增加,對(duì)遠(yuǎn)程視頻監(jiān)控系統(tǒng)的要求也日益增高。視頻監(jiān)控經(jīng)歷了模擬圖像監(jiān)控、基于PC的數(shù)字化視頻監(jiān)控和網(wǎng)絡(luò)視頻監(jiān)控等階段。網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)實(shí)現(xiàn)對(duì)大量視頻數(shù)據(jù)實(shí)時(shí)和無地域性阻礙的傳輸,從而達(dá)到資源共享,為各級(jí)管理人員和決策者提供方便、快捷、有效的服務(wù)。
網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)主要由視頻監(jiān)控前端、視頻監(jiān)控客戶端和視頻服務(wù)器等構(gòu)成,如圖1。傳統(tǒng)的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)采用視頻監(jiān)控服務(wù)器為核心集中式的組網(wǎng)方式,視頻監(jiān)控服務(wù)器負(fù)責(zé)向客戶端轉(zhuǎn)發(fā)從監(jiān)控前端獲得的音視頻流和控制信令,視頻錄像的存儲(chǔ)也都是放在視頻服務(wù)器中。這種C/S結(jié)構(gòu)的組網(wǎng)方式的缺點(diǎn)是過度依賴于視頻監(jiān)控服務(wù)器,對(duì)視頻監(jiān)控服務(wù)器的性能和可靠性要求高,服務(wù)器成為整個(gè)系統(tǒng)的瓶頸。為了克服這些缺點(diǎn),采用對(duì)等式P2P(Peerto Peer)的方式,音視頻信息流可以不經(jīng)過視頻服務(wù)器,在視頻監(jiān)控前端和視頻監(jiān)控客戶端之間借助對(duì)等網(wǎng)絡(luò)P2P技術(shù)進(jìn)行交互。這種方式減少對(duì)服務(wù)器的依賴,降低對(duì)服務(wù)器的可靠性要求。同時(shí)由于真正實(shí)現(xiàn)視頻錄像的分布存儲(chǔ)、視頻分析的分布協(xié)作,因此可以大大節(jié)省服務(wù)器資源和網(wǎng)絡(luò)帶寬資源。但是由于視頻數(shù)據(jù)從監(jiān)控前端直接傳輸?shù)揭曨l監(jiān)控客戶端,需要保證網(wǎng)絡(luò)中傳輸?shù)囊曨l數(shù)據(jù)不能被竊聽、未被篡改、沒有被仿造。隨著對(duì)保密性和安全性要求的提高,因此如何保證視頻監(jiān)控?cái)?shù)據(jù)的安全保密傳輸成為視頻監(jiān)控的一個(gè)重要問題。
網(wǎng)絡(luò)數(shù)字監(jiān)控系統(tǒng)實(shí)現(xiàn)跨區(qū)域、全球范圍內(nèi)的統(tǒng)一監(jiān)控、統(tǒng)一存儲(chǔ)、統(tǒng)一管理、資源共享。目前視頻監(jiān)控前端主要由各種專用攝像機(jī)及報(bào)警器等構(gòu)成。由于各個(gè)生產(chǎn)廠家的不同,視頻監(jiān)控前端的編碼方式不統(tǒng)一,由最初的MPEG-1、MPEG-2發(fā)展到現(xiàn)在的MPEG-4、H.264等等。另外視頻監(jiān)控系統(tǒng)存在認(rèn)證不統(tǒng)一的問題,主要表現(xiàn)在視頻監(jiān)控客戶端的用戶認(rèn)證采用不同的技術(shù),用戶需要安裝大量的客戶端工具,才能完成各種前端產(chǎn)品的認(rèn)證。要保證網(wǎng)絡(luò)視頻監(jiān)控的安全,一是要保證接入安全,需要對(duì)接入視頻監(jiān)控系統(tǒng)的客戶和監(jiān)控前端進(jìn)行安全認(rèn)證;二是保證視頻數(shù)據(jù)的保密傳輸,建立獨(dú)立于視頻編解碼的保密傳輸?shù)姆椒ā?br>
視頻監(jiān)控系統(tǒng)中,當(dāng)終端用戶需要訪問視頻監(jiān)控前端時(shí),首先通過網(wǎng)絡(luò)接入設(shè)備的接入認(rèn)證,即注冊到服務(wù)器中,在此過程中會(huì)確認(rèn)用戶身份,保證只有合法用戶才能接入系統(tǒng);其后根據(jù)用戶被授予的權(quán)限,確定用戶是否具有這種訪問權(quán)限,保證只有合法授權(quán)的用戶才能獲得這種訪問能力;在用戶使用網(wǎng)絡(luò)資源的過程中,系統(tǒng)還會(huì)把用戶使用資源的各種原始信息保存起來,實(shí)時(shí)或事后計(jì)算用戶的網(wǎng)絡(luò)資源使用費(fèi)用。在實(shí)際環(huán)境中,視頻監(jiān)控服務(wù)常常由多服務(wù)商共同提供,此時(shí)監(jiān)控設(shè)備管理權(quán)并不統(tǒng)一,我們需要從用戶的角度考慮系統(tǒng)的可擴(kuò)展性,為用戶提供訪問不同服務(wù)提供商的監(jiān)控設(shè)備的能力。
僅僅通過權(quán)限控制不能夠保證實(shí)現(xiàn)視頻數(shù)據(jù)的安全,這是因?yàn)槎嗝襟w數(shù)據(jù)本身沒有被加密,因此需要對(duì)視頻數(shù)據(jù)進(jìn)行加密傳輸。由于視頻監(jiān)控前端的編碼方式不統(tǒng)一,而視頻數(shù)據(jù)具有數(shù)據(jù)量大、冗余度高、實(shí)時(shí)性要求高等特點(diǎn),壓縮后的視頻數(shù)據(jù)要求具有數(shù)據(jù)位置索引、編碼率可控等功能。因此在考慮加密方案時(shí),首先要求計(jì)算簡捷,處理速度高。其次要求加解密前后的數(shù)據(jù)量保持不變,即壓縮率不變性。最后保證加解密前后的視頻數(shù)據(jù)的格式信息保持不變,即數(shù)據(jù)格式不變性。目前視頻加密算法主要有三類一是直接加密算法,這類算法將視頻數(shù)據(jù)當(dāng)作普通二進(jìn)制數(shù)據(jù),使用傳統(tǒng)的密碼算法如DES、IDEA、RSA等來加密。這些方法利用了傳統(tǒng)密碼的高強(qiáng)度的優(yōu)點(diǎn),來滿足高安全性要求。二是選擇性加密算法,只加密實(shí)際數(shù)據(jù),要求與視頻數(shù)據(jù)的格式相結(jié)合,并且可以根據(jù)安全性水平要求的不同,選擇加密不同的敏感數(shù)據(jù),從而可以滿足不同的需要。這類加密方法一般速度很快,能夠滿足實(shí)時(shí)性要求。三是具有壓縮編碼功能的加密算法,這類算法通常是將編碼過程和加密過程相結(jié)合,使得二者同時(shí)進(jìn)行。
目前,常見的密碼體制主要分為兩大類私用密鑰體制和公開密鑰體制。私用密鑰體制又稱對(duì)稱密鑰體制,這種加密技術(shù)的特點(diǎn)是數(shù)學(xué)運(yùn)算量小,加密速度快,易于處理,但密鑰的分發(fā)和管理比較困難,一旦密鑰泄露,那么以后的秘密通信也就難以保證了。公開密鑰體制也稱非對(duì)稱密鑰體制,公開密鑰體制最大的優(yōu)點(diǎn)就是不需要對(duì)密鑰通信進(jìn)行保密;公開密鑰體制的缺陷在于其加密和解密的運(yùn)算時(shí)間比較長,這在一定程度上限制了它的應(yīng)用范圍。由此可見,根據(jù)應(yīng)用的需要,研究適當(dāng)?shù)募用芊椒ú⑦M(jìn)行有效地密鑰分發(fā)與管理是加密傳輸中的重要問題。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種視頻監(jiān)控系統(tǒng)中數(shù)據(jù)安全傳輸?shù)姆椒ǎ槍?duì)視頻加密傳輸?shù)膯栴},建立合理有效的視頻數(shù)據(jù)加密方法體系,保證視頻數(shù)據(jù)安全、實(shí)時(shí)性傳輸。
本發(fā)明的另一目的在于針對(duì)視頻監(jiān)控系統(tǒng)存在認(rèn)證不統(tǒng)一的問題,基于標(biāo)準(zhǔn)協(xié)議,采用統(tǒng)一的認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù),提供統(tǒng)一的會(huì)話建立過程,統(tǒng)一的能力描述。
本發(fā)明還針對(duì)密鑰分發(fā)問題,提出層次化的密鑰分發(fā)的方法,并進(jìn)行動(dòng)態(tài)密鑰更新。
本發(fā)明還提供了一種實(shí)現(xiàn)上述方法的視頻監(jiān)控系統(tǒng)。
本發(fā)明的保證視頻數(shù)據(jù)安全傳輸?shù)姆椒?,其步驟包括
1.注冊服務(wù)器注冊視頻監(jiān)控前端和視頻監(jiān)控客戶端,允許其接入視頻監(jiān)控系統(tǒng);2.對(duì)視頻監(jiān)控前端發(fā)出的視頻數(shù)據(jù)進(jìn)行加密,并產(chǎn)生密鑰;3.加密的視頻數(shù)據(jù)直接發(fā)送至視頻監(jiān)控客戶端;4.密鑰通過注冊服務(wù)器發(fā)送至視頻監(jiān)控客戶端;5.視頻監(jiān)控客戶端通過密鑰對(duì)視頻數(shù)據(jù)進(jìn)行解密,得到解密后的視頻數(shù)據(jù)。
設(shè)置監(jiān)控前端代理模塊,該代理模塊提供對(duì)前端的統(tǒng)一接口;由代理模塊對(duì)視頻監(jiān)控客戶端的視頻數(shù)據(jù)進(jìn)行加密,并發(fā)送至客戶端。
視頻監(jiān)控前端注冊的過程為視頻監(jiān)控前端通過代理模塊向注冊服務(wù)器申請(qǐng)注冊,注冊服務(wù)器將視頻監(jiān)控前端的注冊信息轉(zhuǎn)發(fā)至AAA中心進(jìn)行認(rèn)證,認(rèn)證成功后,注冊服務(wù)器注冊該視頻監(jiān)控前端,允許其接入視頻監(jiān)控系統(tǒng);視頻監(jiān)控客戶端注冊的過程為視頻監(jiān)控客戶端向注冊服務(wù)器申請(qǐng)注冊,注冊服務(wù)器將視頻監(jiān)控客戶端的注冊信息轉(zhuǎn)發(fā)至AAA中心進(jìn)行認(rèn)證,認(rèn)證成功后,注冊服務(wù)器注冊該視頻監(jiān)控客戶端,允許其接入視頻監(jiān)控系統(tǒng)。
所述視頻監(jiān)控前端發(fā)送的視頻數(shù)據(jù)為壓縮編碼的視頻碼流;視頻監(jiān)控客戶端對(duì)收到的視頻數(shù)據(jù)解密后得到原始的視頻碼流,再進(jìn)行解碼,得到視頻圖像。
本發(fā)明通過對(duì)稱直接加密算法對(duì)前端發(fā)出的視頻數(shù)據(jù)進(jìn)行加密。
監(jiān)控代理模塊定期產(chǎn)生密鑰,并為每個(gè)密鑰賦予唯一的序列號(hào),序列號(hào)和密鑰一起通過注冊服務(wù)器發(fā)送到客戶端;加密的視頻數(shù)據(jù)加入所用密鑰的序列號(hào),由監(jiān)控代理模塊發(fā)送至客戶端;客戶端通過序列號(hào)取出密鑰,對(duì)視頻數(shù)據(jù)進(jìn)行解密。
所述視頻數(shù)據(jù)以視頻數(shù)據(jù)包為單位,按照分組進(jìn)行加密,每一加密單位均有各自的密鑰。
所述注冊服務(wù)器包括若干層注冊服務(wù)器,其頂層為中心服務(wù)器,底層為域內(nèi)注冊服務(wù)器;上層服務(wù)器與下層服務(wù)器為樹狀信任連接;視頻監(jiān)控系統(tǒng)的監(jiān)控代理服務(wù)器和客戶端分別處于各個(gè)域中,每一域內(nèi)有一個(gè)域內(nèi)注冊服務(wù)器;所述密鑰通過本域的注冊服務(wù)器或上層服務(wù)器發(fā)送至客戶端。
本發(fā)明的視頻監(jiān)控系統(tǒng),包括注冊服務(wù)器;與注冊服務(wù)器網(wǎng)絡(luò)連接的視頻監(jiān)控前端和客戶端;前端和客戶端通過網(wǎng)絡(luò)連接加密模塊,對(duì)前端視頻數(shù)據(jù)進(jìn)行加密并產(chǎn)生密鑰;加密的視頻數(shù)據(jù)由視頻監(jiān)控前端發(fā)送至客戶端;密鑰通過注冊服務(wù)器發(fā)送至客戶端。
上述系統(tǒng)還包括AAA中心,與注冊服務(wù)器相連。
上述系統(tǒng)包括前端代理模塊,所述加密模塊設(shè)于該代理模塊,代理模塊具有面向前端的統(tǒng)一接口;代理模塊分別與注冊服務(wù)器和客戶端通過網(wǎng)絡(luò)連接。
所述注冊服務(wù)器包括若干層,其頂層為中心注冊服務(wù)器,底層為域內(nèi)注冊服務(wù)器;上層注冊服務(wù)器與下層注冊服務(wù)器為樹狀信任結(jié)構(gòu);代理模塊與客戶端均屬于某一域,每一域內(nèi)有一個(gè)域內(nèi)注冊服務(wù)器。
本發(fā)明通過建立注冊服務(wù)器和AAA認(rèn)證中心的方式,采用統(tǒng)一的認(rèn)證方式,實(shí)現(xiàn)所有接入實(shí)體的安全有效認(rèn)證。其次通過注冊服務(wù)器實(shí)現(xiàn)加密數(shù)據(jù)和密鑰的分別傳輸,加密數(shù)據(jù)在視頻監(jiān)控前端和視頻監(jiān)控客戶端采用P2P的方式傳輸,而密鑰通過注冊服務(wù)器在安全信道上實(shí)現(xiàn)密鑰的分發(fā)。最后注冊服務(wù)器采用層次化的結(jié)構(gòu)形式,實(shí)現(xiàn)加密密鑰的動(dòng)態(tài)更新,該方法能有效的避免集中式注冊的密鑰分發(fā)服務(wù)器單點(diǎn)失效問題。
圖1是網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)一般結(jié)構(gòu)示意圖。
圖2是視頻監(jiān)控系統(tǒng)認(rèn)證模塊結(jié)構(gòu)圖。
圖3是視頻加密數(shù)據(jù)與密鑰分離示意圖。
圖4密鑰格式和數(shù)據(jù)包格式圖。
圖5是視頻數(shù)據(jù)加密傳輸過程圖。
圖6是注冊服務(wù)器層次構(gòu)造圖。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。本發(fā)明基于網(wǎng)絡(luò)視頻監(jiān)控體系,圖1是現(xiàn)有的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)一般結(jié)構(gòu)示意圖。主要包括視頻監(jiān)控前端、視頻監(jiān)控客戶端和視頻服務(wù)器。視頻監(jiān)控前端可以接入各種生產(chǎn)廠家的不同的攝像機(jī)及報(bào)警器等,其視頻編碼方式可能不統(tǒng)一。視頻監(jiān)控客戶端可以是任何可聯(lián)網(wǎng)的信息終端,PC機(jī)、手機(jī)、PDA、或者筆記本電腦等。視頻服務(wù)器提供視頻用戶管理、業(yè)務(wù)管理等服務(wù)。本發(fā)明實(shí)現(xiàn)網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中各種不同實(shí)體的有效統(tǒng)一認(rèn)證及實(shí)現(xiàn)視頻數(shù)據(jù)的安全傳輸。
為了實(shí)現(xiàn)各個(gè)實(shí)體的統(tǒng)一認(rèn)證,建立了注冊服務(wù)器和AAA認(rèn)證服務(wù)器,如圖2所示。由于接入的視頻監(jiān)控前端的不同,視頻監(jiān)控前端的編碼方式、接口及功能不盡相同,故加入監(jiān)控代理模塊,它提供統(tǒng)一的接口,實(shí)現(xiàn)視頻監(jiān)控系統(tǒng)中前端實(shí)體的統(tǒng)一接入。當(dāng)視頻監(jiān)控前端接入系統(tǒng)后,首先要向注冊服務(wù)器進(jìn)行注冊,注冊服務(wù)器再轉(zhuǎn)發(fā)到認(rèn)證授權(quán)計(jì)費(fèi)AAA(Authentication、Authorization and Accounting)中心來進(jìn)行認(rèn)證。如果允許接入系統(tǒng),AAA中心返回認(rèn)證成功消息,注冊服務(wù)器為其進(jìn)行注冊。如果不允許接入系統(tǒng)則返回失敗消息,監(jiān)控前端則不能聯(lián)入視頻監(jiān)控系統(tǒng)。同樣當(dāng)視頻監(jiān)控客戶端要接入視頻監(jiān)控系統(tǒng)時(shí)也要進(jìn)行注冊認(rèn)證,認(rèn)證成功方可接入視頻監(jiān)控系統(tǒng)。當(dāng)監(jiān)控前端和監(jiān)控客戶端都注冊成功后,注冊服務(wù)器為它們提供會(huì)話標(biāo)識(shí),然后它們才能進(jìn)行視頻請(qǐng)求操作。注冊服務(wù)器可以采用會(huì)話初始協(xié)議SIP(Session Initiation Protocol)方式實(shí)現(xiàn),會(huì)話初始協(xié)議SIP是由互聯(lián)網(wǎng)工程任務(wù)組IETF提出的一個(gè)應(yīng)用層信令協(xié)議,用來創(chuàng)建、修改以及終止有一個(gè)或多個(gè)參與者的會(huì)話進(jìn)程,并可在會(huì)話中邀請(qǐng)其它參與者加入。AAA認(rèn)證中心可以采用遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RADIUS,或者Diameter實(shí)現(xiàn),Diameter以Internet協(xié)議安全I(xiàn)PSec為基礎(chǔ),能提供良好的安全性保障。
在保證視頻監(jiān)控實(shí)體的有效認(rèn)證后,保證視頻監(jiān)控?cái)?shù)據(jù)從視頻監(jiān)控前端到視頻監(jiān)控客戶端的安全傳輸?shù)囊粋€(gè)重要手段是對(duì)視頻數(shù)據(jù)進(jìn)行加密。由于視頻數(shù)據(jù)具有數(shù)據(jù)量大、實(shí)時(shí)性的特點(diǎn),要求加密算法簡單高效;同時(shí)由于視頻監(jiān)控前端編碼方式等的不統(tǒng)一,要求視頻加密獨(dú)立于視頻編碼方式、具有通用性。因此本發(fā)明視頻監(jiān)控?cái)?shù)據(jù)采用簡單的對(duì)稱直接加密算法,加密過程采用簡單的替代方法進(jìn)行加密,加密速度快,易于處理。但對(duì)稱加密算法的密鑰的分發(fā)是一個(gè)重要的問題,密鑰的泄漏將致使視頻數(shù)據(jù)的安全性受到威脅。為了解決這個(gè)問題,本發(fā)明采用注冊服務(wù)器分發(fā)密鑰的方式。圖3是視頻監(jiān)控加密傳輸?shù)氖疽鈭D。前端代理負(fù)責(zé)視頻數(shù)據(jù)加密并產(chǎn)生密鑰,視頻監(jiān)控客戶端負(fù)責(zé)視頻數(shù)據(jù)解密。注冊服務(wù)器負(fù)責(zé)密鑰的分發(fā),它負(fù)責(zé)將監(jiān)控前端產(chǎn)生的密鑰通過安全通道傳輸?shù)揭曨l監(jiān)控客戶端,圖中虛線即為密鑰安全傳輸通道。而加密的視頻數(shù)據(jù)的傳輸采用P2P的方式,即視頻數(shù)據(jù)直接從前端代理傳輸?shù)揭曨l監(jiān)控客戶端,圖中實(shí)線是加密視頻數(shù)據(jù)傳輸通道,它建立在非安全信道上。因此通過這種加密數(shù)據(jù)和密鑰分別傳輸?shù)姆绞?,既保證了視頻數(shù)據(jù)的實(shí)時(shí)傳輸,又保證密鑰分發(fā)的安全性。
前端代理采用的加密算法獨(dú)立于視頻編碼器和解碼器的軟件或硬件,這樣不需修改編碼模塊或解碼模塊,具有通用性。經(jīng)過壓縮編碼的視頻碼流經(jīng)過加密得到仍然符合標(biāo)準(zhǔn)的視頻密文碼流,密文碼流經(jīng)解密模塊恢復(fù)成原始的視頻碼流,然后經(jīng)過解碼器就可以得到正確的視頻圖像。如果密文碼流沒有被解密或沒有獲得正確的解密密鑰,經(jīng)過解碼器只能得到加密的視頻圖像,不能看到原始視頻圖像。針對(duì)監(jiān)控視頻數(shù)據(jù)實(shí)時(shí)性要求高的特點(diǎn),本發(fā)明采用簡單的分組替換的加密方法,加密和解密過程設(shè)計(jì)為以實(shí)時(shí)傳輸協(xié)議RTP(Real-timeTransport Protocol)視頻數(shù)據(jù)包為單位,以分組為單位使用分組密碼算法加密。通常分組大小以64bits、128bits、192bits、256bits為單位進(jìn)行加密。前端代理定期產(chǎn)生密鑰,并給每個(gè)密鑰賦予一個(gè)唯一的序列號(hào),然后將密鑰和其序列號(hào)通過注冊服務(wù)器傳輸?shù)揭曨l監(jiān)控客戶端,此傳輸建立在安全傳輸通道上。數(shù)據(jù)包在前端代理進(jìn)行加密,同時(shí)加入本次使用加密密鑰的序列號(hào),然后直接發(fā)送到視頻監(jiān)控客戶端,此傳輸建立在非安全傳輸通道上。圖4顯示了密鑰和加密數(shù)據(jù)包的格式。
因此在監(jiān)控前端進(jìn)行加密的具體過程為1)取系統(tǒng)時(shí)鐘逆序產(chǎn)生用于加密的密鑰K,并且每個(gè)密鑰賦予唯一序列號(hào),這樣保證密鑰能定時(shí)更新而且防止重復(fù)。2)將密鑰K通過注冊服務(wù)器傳輸?shù)揭曨l監(jiān)控客戶端。3)前端代理利用替代加密算法對(duì)數(shù)據(jù)進(jìn)行加密,形成密文M。4)在密文M前附加此次加密的密鑰序列號(hào)。5)將數(shù)據(jù)密文M傳遞給視頻監(jiān)控客戶端。視頻監(jiān)控客戶端解密過程為1)檢查密鑰序列號(hào)。2)通過密鑰序列號(hào),從本地取出通過注冊服務(wù)器獲得的密鑰。3)利用該密鑰進(jìn)行解密。圖5顯示了視頻數(shù)據(jù)的加密和解密的整個(gè)過程。
監(jiān)控代理生成的密鑰具有一定的生命期,在一定的時(shí)間間隔內(nèi)重新生成新密鑰的過程稱為“動(dòng)態(tài)密鑰更新”或“密鑰重新生成”。密鑰生命期設(shè)置決定了在特定的時(shí)間間隔之后,將強(qiáng)制生成新密鑰。動(dòng)態(tài)密鑰更新,指在通信過程中,數(shù)據(jù)流被劃分成一個(gè)個(gè)“數(shù)據(jù)塊”,每一個(gè)“數(shù)據(jù)塊”都使用不同的密鑰加密,這可以保證萬一攻擊者中途截取了部分通信數(shù)據(jù)流和相應(yīng)的密鑰后,也不會(huì)危及到所有其余的通信信息的安全。動(dòng)態(tài)密鑰更新決定了一次通信中,新密鑰產(chǎn)生的頻率。根據(jù)對(duì)安全性要求的不同,動(dòng)態(tài)更新的頻率不同。如果使用一個(gè)獨(dú)立的注冊服務(wù)器進(jìn)行密鑰分發(fā),服務(wù)器可能成為攻擊者的主要攻擊目標(biāo),一旦服務(wù)器崩潰壞了,則整個(gè)系統(tǒng)都停止工作,造成單點(diǎn)失效問題。為了克服這些弱點(diǎn),本發(fā)明采用層次化的注冊服務(wù)器配置策略,密鑰分發(fā)通過層次化的模型進(jìn)行分發(fā)和管理。圖6是層次化的注冊服務(wù)器配置示意圖。頂層是中心注冊服務(wù)器,下面是第二層注冊服務(wù)器,依次類推,最后是底層注冊服務(wù)器,即域內(nèi)注冊服務(wù)器。各個(gè)層次的注冊服務(wù)器之間采用樹狀信任結(jié)構(gòu)。視頻監(jiān)控系統(tǒng)中的各個(gè)實(shí)體將被劃分到不同的域中,每個(gè)域里只有一個(gè)注冊服務(wù)器,本域內(nèi)的實(shí)體可以通過本域注冊服務(wù)器分發(fā)加密密鑰,也可以通過本域服務(wù)器的上層注冊服務(wù)器分發(fā)密鑰。采用本層次模型好處是首先將不同的實(shí)體按照一定的規(guī)則劃分成不同的域,各域設(shè)置自己的本域注冊服務(wù)器,可以避免采用單一的注冊服務(wù)器帶來的潛在威脅,即使一個(gè)域中注冊服務(wù)器被攻擊并不影響其它注冊服務(wù)器的工作。其次嚴(yán)格層次結(jié)構(gòu)緩解了單個(gè)注冊服務(wù)器密鑰分發(fā)的壓力。第三通過中心注冊服務(wù)器可以將不同域的密鑰分發(fā)工作聯(lián)系起來,并且減少密鑰分發(fā)次數(shù)。最后對(duì)于視頻監(jiān)控終端用戶是透明,用戶可以與本域其它用戶通信,也可以通過授權(quán)服務(wù)器授權(quán)訪問其它域中的服務(wù)。
雖然本發(fā)明是通過幾個(gè)具體實(shí)施進(jìn)行說明的,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)明白,在不脫離本發(fā)明范圍的情況下,還可以對(duì)本發(fā)明進(jìn)行各種變換及等同替代。因此凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換以及改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種保證視頻數(shù)據(jù)安全傳輸?shù)姆椒?,其步驟包括1)通過注冊服務(wù)器注冊視頻監(jiān)控前端和視頻監(jiān)控客戶端,允許其接入視頻監(jiān)控系統(tǒng);2)對(duì)視頻監(jiān)控前端發(fā)出的視頻數(shù)據(jù)進(jìn)行加密,并產(chǎn)生密鑰;3)加密的視頻數(shù)據(jù)直接發(fā)送至視頻監(jiān)控客戶端;4)密鑰通過注冊服務(wù)器發(fā)送至視頻監(jiān)控客戶端;5)視頻監(jiān)控客戶端通過收到的密鑰對(duì)視頻數(shù)據(jù)進(jìn)行解密,得到解密的視頻數(shù)據(jù)。
2.如權(quán)利要求1所述的保證視頻數(shù)據(jù)安全傳輸?shù)姆椒?,其特征在于設(shè)置視頻監(jiān)控前端代理模塊,該代理模塊提供對(duì)前端的統(tǒng)一接口;由代理模塊對(duì)視頻監(jiān)控客戶端的視頻數(shù)據(jù)進(jìn)行加密,并發(fā)送至客戶端。
3.如權(quán)利要求2所述的保證視頻數(shù)據(jù)安全傳輸?shù)姆椒?,其特征在于所述視頻監(jiān)控前端的注冊過程為視頻監(jiān)控前端通過代理模塊向注冊服務(wù)器申請(qǐng)注冊,注冊服務(wù)器將視頻監(jiān)控前端的注冊信息轉(zhuǎn)發(fā)至AAA中心進(jìn)行認(rèn)證,認(rèn)證成功后,注冊服務(wù)器注冊該視頻監(jiān)控前端,允許其接入視頻監(jiān)控系統(tǒng);所述視頻監(jiān)控客戶端的注冊過程為視頻監(jiān)控客戶端向注冊服務(wù)器申請(qǐng)注冊,注冊服務(wù)器將視頻監(jiān)控客戶端的注冊信息轉(zhuǎn)發(fā)至AAA中心進(jìn)行認(rèn)證,認(rèn)證成功后,注冊服務(wù)器注冊該視頻監(jiān)控客戶端,允許其接入視頻監(jiān)控系統(tǒng)。
4.如權(quán)利要求1或2所述的保證視頻數(shù)據(jù)安全傳輸?shù)姆椒?,其特征在于所述視頻監(jiān)控前端發(fā)送的視頻數(shù)據(jù)為壓縮編碼的視頻碼流;視頻監(jiān)控客戶端對(duì)收到的視頻數(shù)據(jù)解密后得到原始的視頻碼流,再進(jìn)行解碼,得到視頻圖像。
5.如權(quán)利要求1或2所述的保證視頻數(shù)據(jù)安全傳輸?shù)姆椒?,其特征在于通過對(duì)稱直接加密算法對(duì)視頻監(jiān)控前端發(fā)出的視頻數(shù)據(jù)進(jìn)行加密。
6.如權(quán)利要求2所述的保證視頻數(shù)據(jù)安全傳輸?shù)姆椒?,其特征在于所述視頻監(jiān)控代理模塊定期產(chǎn)生密鑰,并為每個(gè)密鑰賦予唯一的序列號(hào),序列號(hào)和密鑰一起通過注冊服務(wù)器發(fā)送到客戶端;加密的視頻數(shù)據(jù)加入所用密鑰的序列號(hào),由監(jiān)控代理模塊發(fā)送至客戶端;客戶端通過序列號(hào)取出密鑰,對(duì)視頻數(shù)據(jù)進(jìn)行解密。
7.如權(quán)利要求6所述的保證視頻數(shù)據(jù)安全傳輸?shù)姆椒ǎ涮卣髟谟谒鲆曨l數(shù)據(jù)以視頻數(shù)據(jù)包為單位,按照分組進(jìn)行加密,每一加密單位均有各自的密鑰。
8.如權(quán)利要求2所述的保證視頻數(shù)據(jù)安全傳輸?shù)姆椒?,其特征在于所述注冊服?wù)器包括若干層注冊服務(wù)器,其頂層為中心服務(wù)器,底層為域內(nèi)注冊服務(wù)器;上層服務(wù)器與下層服務(wù)器為樹狀信任連接;視頻監(jiān)控系統(tǒng)的監(jiān)控代理模塊和客戶端分別處于各個(gè)域中,每一域內(nèi)有一個(gè)域內(nèi)注冊服務(wù)器;所述密鑰通過本域的注冊服務(wù)器或上層服務(wù)器發(fā)送至客戶端。
9.一種視頻監(jiān)控系統(tǒng),包括通過網(wǎng)絡(luò)連接的視頻監(jiān)控前端和視頻監(jiān)控客戶端,其特征在于還包括注冊服務(wù)器,分別與所述視頻監(jiān)控前端和視頻監(jiān)控客戶端通過網(wǎng)絡(luò)連接;加密模塊,對(duì)前端視頻數(shù)據(jù)進(jìn)行加密并產(chǎn)生密鑰;加密的視頻數(shù)據(jù)由視頻監(jiān)控前端發(fā)送至客戶端;密鑰通過注冊服務(wù)器發(fā)送至客戶端。
10.如權(quán)利要求9所述的視頻監(jiān)控系統(tǒng),其特征在于該系統(tǒng)包括AAA中心,與注冊服務(wù)器相連。
11.如權(quán)利要求9所述的視頻監(jiān)控系統(tǒng),其特征在于該系統(tǒng)包括視頻監(jiān)控前端代理模塊,所述加密模塊設(shè)于該代理模塊,代理模塊具有面向前端的統(tǒng)一接口;代理模塊分別與注冊服務(wù)器和客戶端通過網(wǎng)絡(luò)連接。
12.如權(quán)利要求9或10或11所述的視頻監(jiān)控系統(tǒng),其特征在于所述注冊服務(wù)器包括若干層,其頂層為中心注冊服務(wù)器,底層為域內(nèi)注冊服務(wù)器;上層注冊服務(wù)器與下層注冊服務(wù)器為樹狀信任結(jié)構(gòu);代理模塊與客戶端均屬于某一域,每一域內(nèi)有一個(gè)域內(nèi)注冊服務(wù)器。
全文摘要
本發(fā)明涉及一種視頻監(jiān)控系統(tǒng)中數(shù)據(jù)安全傳輸?shù)姆椒?,以及一種視頻監(jiān)控系統(tǒng)。通過建立注冊服務(wù)器和AAA認(rèn)證中心的方式,采用統(tǒng)一的認(rèn)證方式,對(duì)接入視頻監(jiān)控系統(tǒng)的各個(gè)實(shí)體進(jìn)行安全有效認(rèn)證。其次保證視頻數(shù)據(jù)的保密傳輸,實(shí)現(xiàn)獨(dú)立于視頻編解碼的保密傳輸?shù)姆椒?。?shí)現(xiàn)加密數(shù)據(jù)和密鑰的分別傳輸,并采用層次化注冊服務(wù)器配置形式完成加密密鑰的分發(fā)和動(dòng)態(tài)更新。適用于網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的視頻數(shù)據(jù)安全傳輸。
文檔編號(hào)H04L9/32GK101094394SQ20071011915
公開日2007年12月26日 申請(qǐng)日期2007年7月17日 優(yōu)先權(quán)日2007年7月17日
發(fā)明者張春榮, 石志強(qiáng), 吳志美, 劉瓊, 康波, 李韻, 林森, 毛柯, 劉移記, 包曉明, 劉啟, 林建壇 申請(qǐng)人:中國科學(xué)院軟件研究所