專利名稱:基于標識的視頻監控數據的傳輸方法及系統的制作方法
技術領域:
本發明涉及通信技術領域,尤其涉及一種基于標識的視頻監控數據的傳輸方法及系統。
背景技術:
隨著社會信息化程度的不斷提高,社會各行各業需要實施視頻監控的需求大大增力口,對遠程視頻監控系統的要求也日益增高。目前,網絡視頻監控系統已經能夠實現對大量視頻數據進行實時的和無地域性阻礙的傳輸。傳統的視頻監控服務,如廣泛應用于金融、交通、公安、水利和質檢等行業和部門的視頻監控服務,大多都是在封閉式的局域網或專用網絡中,其網絡沒有對外開放,基本不用考慮視頻數據的安全和隱私保護。然而,隨著現代通訊技術和多媒體數據編解碼技術的不斷發展和完善,監控攝像機從模擬和數字攝像機逐漸發展成為網絡攝像機。各種監控系統的網絡環境也逐漸地從專網、局域網向互聯網發展,即監控系統逐漸從模擬和數字視頻監控系統向網絡監控系統發展。視頻監控的服務對象也逐漸從只面向行業和企業的專業服務,發展到面向個人和家庭等廣大公眾提供通用的視頻監控服務。當前提供給個人視頻監控前端的網絡視頻監控一般都是基于固定或移動互聯網的,個人和家庭在家中安裝網絡攝像機獲得遠程視頻監控服務方便的同時,人們也非常擔心和重視視頻數據安全的問題,擔心個人隱私泄漏。因此迫切需要找到一種對網絡視頻監控的視頻數據進行有效的加密的方法,保護視頻數據的傳輸安全,而且視頻數據即使在傳輸過程中被截獲,非法視頻監控前端也無法解開視頻信息,以解除人們對于隱私泄漏的擔心。
發明內容
本發明實施例提出一種基于標識的視頻監控數據的傳輸方法及系統,能夠降低接入過程中的通信負荷,實現視頻監控數據的安全傳輸。本發明實施例提供的基于標識的視頻監控數據的傳輸方法,包括
在視頻監控前端接入視頻監控服務器的過程中,身份驗證服務器根據所述視頻監控前端和所述視頻監控服務器的身份標識,獲取所述視頻監控前端和所述視頻監控服務器的證書,對所述視頻監控前端和所述視頻監控服務器的身份進行驗證,且在所述視頻監控前端和所述視頻監控服務器的身份驗證通過后,所述視頻監控前端和所述視頻監控服務器協商獲得數據密鑰;
所述視頻監控前端和所述視頻監控服務器根據所述數據密鑰,進行視頻數據的保密傳輸。本發明實施例提供的視頻監控系統,包括視頻監控前端、視頻監控服務器和身份驗證服務器;
在所述視頻監控前端接入所述視頻監控服務器的過程中,身份驗證服務器根據所述視、頻監控前端和所述視頻監控服務器的身份標識,獲取所述視頻監控前端和所述視頻監控服務器的證書,對所述視頻監控前端和所述視頻監控服務器的身份進行驗證,且在所述視頻監控前端和所述視頻監控服務器的身份驗證通過后,所述視頻監控前端和所述視頻監控服務器協商獲得數據密鑰;
所述視頻監控前端和所述視頻監控服務器根據所述數據密鑰,進行視頻數據的保密傳輸。本發明實施例提供的基于標識的視頻監控數據的傳輸方法及系統,視頻監控前端和視頻監控服務器通過身份驗證服務器驗證雙方的身份標識后,視頻監控服務器向視頻監控前端分發數據密鑰,用于進行視頻數據的保密傳輸,避免了網絡非法入侵者截獲數據并使用。而且,在視頻監控前端接入視頻監控服務器的過程中,使用身份標識代替證書描述各個角色的身份信息,減少了接入過程中傳遞消息的報文長度,可以降低通信負荷,極大地提高通信效率。
圖I是本發明提供的基于標識的視頻監控數據的傳輸方法的一個實施例的流程示意 圖2是本發明提供的視頻監控系統的一個實施例的結構示意圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。參見圖1,是本發明提供的基于標識的視頻監控數據的傳輸方法的一個實施例的流程示意圖。本實施例提供的基于標識的視頻監控數據的傳輸方法,包括
在所述視頻監控前端接入所述視頻監控服務器的過程中,身份驗證服務器根據所述視頻監控前端和所述視頻監控服務器的身份標識,獲取所述視頻監控前端和所述視頻監控服務器的證書,對所述視頻監控前端和所述視頻監控服務器的身份進行驗證,且在所述視頻監控前端和所述視頻監控服務器的身份驗證通過后,所述視頻監控前端和所述視頻監控服務器協商獲得數據密鑰;
所述視頻監控前端和所述視頻監控服務器根據所述數據密鑰,進行視頻數據的保密傳輸。其中,在所述視頻監控前端接入所述視頻監控服務器之前,還包括
所述身份驗證服務器對所述視頻監控前端和所述視頻監控服務器進行注冊,發放證書和對應的私鑰。所述身份驗證服務器綁定并維護所述視頻監控前端的證書、注冊信息和身份標識的對應關系,以及所述視頻監控服務器的證書、注冊信息和身份標識的對應關系。所述身份驗證服務器在本地保存所述身份驗證服務器的證書、對應的私鑰和身份標識,所述視頻監控前端的證書、注冊信息和身份標識,以及所述視頻監控服務器的證書、注冊信息和身份標識。所述視頻監控服務器在本地保存所述視頻監控服務器的證書、對應的私鑰和身份標識,所述身份驗證服務器的證書和身份標識,以及所述視頻監控前端的證書和身份標識。所述視頻監控前端在本地保存所述視頻監控前端的證書、對應的私鑰和身份標識,所述身份驗證服務器的證書和身份標識,以及所述視頻監控服務器的證書和身份標識。具體實施時,當一個視頻監控服務器接入到視頻監控系統中時,需要向身份驗證服務器申請頒發一個視頻監控服務器證書和對應的私鑰,并綁定身份標識。此外,視頻監控服務器在本地緩存身份驗證服務器證書及其身份標識。同理,當視頻監控前端接入到視頻監控系統中時,同樣需要身份驗證服務器頒發一個視頻監控前端證書和對應的私鑰,并綁定身份標識。此外,視頻監控前端在本地緩存身份驗證服務器證書及其身份標識。其中,視頻監控前端的身份標識、視頻監控服務器的身份標識和身份驗證服務器 的身份標識是唯一的,分別用于描述視頻監控前端、視頻監控服務器和身份驗證服務器的身份。所述身份標識可以是從證書中提取出的證書持有者、證書頒發者和證書序列號等信息,或者是對上述信息進行組合后獲得的信息,或者其他可以描述其唯一性的信息。如圖I所示,在視頻監控前端接入視頻監控服務器的過程中,所述視頻監控前端和所述視頻監控服務器通過身份驗證服務器驗證雙方的身份標識,并獲得數據密鑰,具體包括以下步驟sfse
SI、在視頻監控前端接入視頻監控服務器時,構建接入請求消息,使用視頻監控前端證書私鑰對所述接入請求消息進行簽名后,發送給視頻監控服務器;所述接入請求消息包含所述視頻監控前端身份標識和第一隨機數。具體的,視頻監控前端接入視頻監控系統時,產生一個視頻監控前端隨機數,即第一隨機數。然后根據視頻監控前端信息、視頻監控前端證書公鑰(從證書中提取)、視頻監控前端身份標識、第一隨機數等字段構建接入請求消息,并使用視頻監控前端證書私鑰對所述接入請求消息進行簽名后,發送給視頻監控服務器。S2、視頻監控服務器接收所述接入請求消息,使用視頻監控前端證書公鑰驗證所述接入請求消息的簽名的有效性;在簽名驗證通過后,保存所述接入請求消息中的視頻監控前端身份標識和第一隨機數,且構建驗證請求消息,使用視頻監控服務器證書私鑰對所述驗證請求消息進行簽名后,發送給身份驗證服務器;所述驗證請求消息包含視頻監控前端身份標識、第一隨機數、視頻監控服務器身份標識和第二隨機數。具體的,視頻監控服務器接收到所述接入請求消息后,進行如下處理
5201、從視頻監控服務器的本地存儲器中讀取視頻監控前端證書,使用視頻監控前端證書公鑰驗證所述接入請求消息的簽名的有效性,若簽名驗證失敗,則接入過程失敗;若簽名驗證通過,則執行S202 S204 ;
5202、確定視頻監控前端相關信息有效后,在視頻監控服務器本地保存所述接入請求消息中的視頻監控前端身份標識和第一隨機數;
5203、產生視頻監控服務器隨機數,即第二隨機數,在視頻監控服務器本地保存所述第二隨機數;
5204、根據視頻監控前端身份標識、視頻監控服務器身份標識、第一隨機數和第二隨機數構建驗證請求消息,并使用視頻監控服務器證書私鑰對所述驗證請求消息進行簽名后,發送給身份驗證服務器。S3、身份驗證服務器接收所述驗證請求消息,根據所述驗證請求消息中的視頻監控前端身份標識和視頻監控服務器身份標識,獲取對應的視頻監控前端證書和視頻監控服務器證書;使用所述視頻監控服務器證書公鑰驗證所述驗證請求消息的簽名的有效性,以及驗證所述視頻監控前端證書和所述視頻監控服務器證書的有效性,獲得身份驗證結果;構建驗證響應消息,使用身份驗證服務器證書私鑰對所述驗證響應消息進行簽名后,發送給所述視頻監控服務器;所述驗證響應消息包含身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識和視頻監控服務器身份標識。具體的,身份驗證服務器接收到所述驗證請求消息后,進行如下處理
5301、根據所述驗證請求消息中的視頻監控前端身份標識和視頻監控服務器身份標識,查詢到與所述身份標識綁定的證書信息,進而從身份驗證服務器的本地存儲器中讀取 對應的視頻監控前端證書和視頻監控服務器證書,并執行S302飛303 ;若無法查詢或獲取證書,則接入過程失敗;
5302、提取視頻監控服務器證書公鑰,使用所述視頻監控服務器證書公鑰驗證所述驗證請求消息的簽名的有效性,并驗證視頻監控服務器證書和視頻監控前端證書的有效期和吊銷信息等信息,判斷證書的有效性,獲得視頻監控服務器和視頻監控前端的身份驗證結果;
5303、根據身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識和視頻監控服務器身份標識構建驗證響應消息,使用身份驗證服務器證書私鑰對所述驗證響應消息進行簽名后,發送給所述視頻監控服務器。S4、視頻監控服務器接收所述驗證響應消息,使用身份驗證服務器證書公鑰驗證所述驗證響應消息的簽名的有效性;在簽名驗證通過后,判斷所述驗證響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效,則接入失敗;若每一項都有效,則使用視頻監控前端證書公鑰對預先設置的身份驗證密鑰進行加密,獲得身份驗證密鑰密文,且構建接入響應消息,使用視頻監控服務器證書私鑰對所述接入響應消息進行簽名后,發送給所述視頻監控前端;所述接入響應消息包含身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識和身份驗證密鑰密文。具體的,視頻監控服務器接收到所述驗證響應消息后,進行如下處理
5401、從視頻監控服務器的本地存儲器中讀取身份驗證服務器證書,使用身份驗證服務器證書公鑰驗證所述驗證響應消息的簽名,判斷簽名是否有效;
5402、根據所述驗證響應消息中的身份驗證結果,判斷所述視頻監控服務器和所述視頻監控前端的身份驗證是否有效;
5403、從視頻監控服務器的本地存儲器中讀取第一隨機數和第二隨機數,分別對應地與所述驗證響應消息中的第一隨機數和第二隨機數進行比較,判斷隨機數是否一致;
5404、從視頻監控服務器的本地存儲器中讀取視頻監控服務器身份標識和視頻監控前端身份標識,分別對應地與所述驗證響應消息中的視頻監控服務器身份標識和視頻監控前端身份標識進行比較,判斷身份標識是否一致;
如果上述S401 S404任意一項的判斷結果為否,則接入失敗;如果上述S401 S404的判斷結果全部為是,則執行S405 S406 ;
5405、使用視頻監控前端證書公鑰對所述視頻監控服務器預先產生的身份驗證密鑰進行加密,獲得身份驗證密 鑰密文;同時將所述身份驗證密鑰綁定到身份驗證密鑰信息中;其中,所述身份驗證密鑰信息除了包含身份驗證密鑰,還包含身份驗證密鑰的索引等信息;
5406、根據所述驗證響應消息、第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識、身份驗證密鑰密文和身份驗證密鑰信息構建接入響應消息,使用視頻監控服務器證書私鑰對所述接入響應消息進行簽名后,發送給所述視頻監控前端。S5、視頻監控前端接收所述接入響應消息,使用視頻監控服務器證書公鑰驗證所述接入響應消息的簽名的有效性,使用身份驗證服務器證書公鑰驗證所述接入響應消息中的驗證響應消息的簽名的有效性,在簽名驗證通過后,判斷所述接入響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效,則接入失敗;若每一項都有效,則使用視頻監控前端證書私鑰解密所述接入響應消息中的身份驗證密鑰密文,獲得身份驗證密鑰;根據所述身份驗證密鑰計算出數據密鑰和消息鑒別碼,且構建接入確認消息,發送給所述視頻監控服務器;所述接入確認消息包含第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識、身份驗證密鑰和消息鑒別碼。具體的,視頻監控前端接收到所述接入響應消息后,進行如下處理
5501、從視頻監控前端的本地存儲器中讀取視頻監控服務器證書和身份驗證服務器證書,使用視頻監控服務器證書公鑰驗證所述接入響應消息的簽名,使用身份驗證服務器證書公鑰驗證所述接入響應消息中的驗證響應消息的簽名,判斷簽名是否有效;
5502、根據所述驗證響應消息中的身份驗證結果,判斷所述視頻監控服務器和所述視頻監控前端的身份驗證是否有效;
5503、從視頻監控前端的本地存儲器中讀取第一隨機數和第二隨機數,分別對應地與所述接入響應消息中的第一隨機數和第二隨機數進行比較,判斷隨機數是否一致;
5504、從視頻監控前端的本地存儲器中讀取視頻監控服務器身份標識和視頻監控前端身份標識,分別對應地與所述接入響應消息中的視頻監控服務器身份標識和視頻監控前端身份標識進行比較,判斷身份標識是否一致;
如果上述S501 S504任意一項的判斷結果為否,則接入失敗;如果上述S501 S504的判斷結果全部為是,則執行S505 S507 ;
5505、從視頻監控前端的本地存儲器中讀取視頻監控前端證書私鑰,使用所述視頻監控前端證書私鑰解密所述接入響應消息中的身份驗證密鑰密文,獲得身份驗證密鑰,并在本地保存所述身份驗證密鑰及所述接入響應消息中的身份驗證密鑰信息;
5506、根據所述身份驗證密鑰推導出數據密鑰,并在本地保存所述數據密鑰;
5507、根據第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識和身份驗證密鑰信息構建接入確認消息,使用身份驗證密鑰計算得到消息鑒別碼,將該消息鑒別碼附在所述接入確認消息中,然后發送給所述視頻監控服務器。S6、視頻監控服務器接收所述接入確認消息,根據本地保存的身份驗證密鑰計算消息鑒別碼,當計算出的消息鑒別碼與所述接入確認消息的消息鑒別碼相同時,判斷所述接入確認消息中的隨機數、身份標識和身份驗證密鑰是否有效,若任意一項無效,則接入失敗;若每一項都有效,則根據所述身份驗證密鑰計算出數據密鑰。具體的,視頻監控服務器接收到所述接入確認消息后,進行如下處理
5601、根據視頻監控服務器本地保存的身份驗證密鑰計算消息鑒別碼,判斷計算出來的消息鑒別碼與所述接入確認消息的消息鑒別碼是否相同;若相同,則執行S602飛604 ;若不同,則接入失敗;
5602、從視頻監控服務器的本地存儲器中讀取第一隨機數和第二隨機數,分別對應地與所述接入確認消息中的第一隨機數和第二隨機數進行比較,判斷隨機數是否一致;
5603、從視頻監控服務器的本地存儲器中讀取視頻監控服務器身份標識和視頻監控前端身份標識,分別對應地與所述接入確認消息中的視頻監控服務器身份標識和視頻監控前端身份標識進行比較,判斷身份標識是否一致;
5604、從視頻監控服務器的本地存儲器中讀取身份驗證密鑰信息,與所述接入確認消息中的身份驗證密鑰信息進行比較,判斷是否一致;
如果上述S602 S604任意一項的判斷結果為否,則接入失敗;如果上述S602 S604的判斷結果全部為是,則執行S605;
5605、根據所述身份驗證密鑰計算出數據密鑰。至此,視頻監控前端成功接入視頻監控服務器,完成了基于身份標識的雙向身份鑒別,同時完成視頻監控前端和視頻監控服務器間數據密鑰的同步。視頻監控前端和視頻監控服務器執行上述步驟Sf S6,完成相互的身份驗證和數據密鑰同步后,即可進行視頻數據的保密傳輸。如圖I所示,視頻監控前端和視頻監控服務器之間的數據傳輸,具體包括以下步驟S7 S9
S7、視頻監控前端采集視頻數據,在每個視頻數據幀中設置視頻監控前端身份標識。S8、視頻監控前端使用數據密鑰對設置身份標識后的視頻數據進行加密后,將視頻數據密文發送給所述視頻監控服務器。S9、視頻監控服務器接收所述視頻數據密文,使用數據密鑰對所述視頻數據密文進行解密,獲得視頻數據明文和視頻監控前端身份標識;判斷所述視頻監控前端是否通過身份驗證,若通過身份驗證,則對所述視頻數據明文進行后續處理;若未通過身份驗證,則丟棄所述視頻數據明文。此外,所述視頻監控服務器還保存接入過程中的隨機數、身份驗證密鑰和數據密鑰,以及數據傳輸過程中接收的視頻數據。所述視頻監控前端還保存接入過程中的隨機數、身份驗證密鑰和數據密鑰,以及采集的視頻數據。本發明實施例提供的基于標識的基于標識的視頻監控數據的傳輸方法,身份驗證服務器為接入視頻監控網絡中的每個視頻監控前端和每個視頻監控服務器頒發證書,并保存證書、注冊信息和身份標識的對應關系。在視頻監控前端接入視頻監控服務器的過程中,身份驗證服務器根據視頻監控前端和視頻監控服務器的身份標識,獲取視頻監控前端和視頻監控服務器的證書,對視頻監控服務器和視頻監控前端進行統一認證,使視頻監控前端能夠以同一身份標識訪問不同視頻監控前端,為用戶帶來很大的便利。而且,在視頻監控前端接入視頻監控服務器的過程中,使用身份標識代替證書描述各個角色的身份信息,減少了接入過程中傳遞消息的報文長度,可以降低通信負荷,極大、地提高通信效率。本發明實施例還提供一種視頻監控系統,能夠實現上述的基于標識的視頻監控數據的傳輸方法的所有處理流程。參見圖2,是本發明提供的視頻監控系統的一個實施例的結構示意圖。本實施例提供的視頻監控系統,包括視頻監控前端3、視頻監控服務器2和身份驗證服務器I。在視頻監控前端3接入視頻監控服務器2的過程中,身份驗證服務器I根據所述視頻監控前端3和所述視頻監控服務器2的身份標識,獲取所述視頻監控前端3和所述視頻監控服務器2的證書,對所述視頻監控前端3和所述視頻監控服務器2的身份進行驗證,且在所述視頻監控前端3和所述視頻監控服務器2的身份驗證通過后,所述視頻監控前端3和所述視頻監控服務器2協商獲得數據密鑰。 所述視頻監控前端3和所述視頻監控服務器2根據所述數據密鑰,進行視頻數據的保密傳輸。具體的,所述視頻監控服務器2包括第一接入處理單元21,所述視頻監控前端3包括第二接入處理單元31,所述身份驗證服務器I包括身份驗證單元11。所述視頻監控前端3的第二接入處理單元31,用于在所述視頻監控前端接入視頻監控服務器時構建接入請求消息,使用視頻監控前端證書私鑰對所述接入請求消息進行簽名后,發送給視頻監控服務器;所述接入請求消息包含所述視頻監控前端身份標識和第一隨機數。所述視頻監控服務器2的第一接入處理單元21,用于接收所述接入請求消息,使用視頻監控前端證書公鑰驗證所述接入請求消息的簽名的有效性;在簽名驗證通過后,保存所述接入請求消息中的視頻監控前端身份標識和第一隨機數,且構建驗證請求消息,使用視頻監控服務器證書私鑰對所述驗證請求消息進行簽名后,發送給身份驗證服務器;所述驗證請求消息包含視頻監控前端身份標識、第一隨機數、視頻監控服務器身份標識和第二隨機數。所述身份驗證服務器I的身份驗證單元11,用于接收所述驗證請求消息,根據所述驗證請求消息中的視頻監控前端身份標識和視頻監控服務器身份標識,獲取對應的視頻監控前端證書和視頻監控服務器證書;使用所述視頻監控服務器證書公鑰驗證所述驗證請求消息的簽名的有效性,以及驗證所述視頻監控前端證書和所述視頻監控服務器證書的有效性,獲得身份驗證結果;構建驗證響應消息,使用身份驗證服務器證書私鑰對所述驗證響應消息進行簽名后,發送給所述視頻監控服務器;所述驗證響應消息包含身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識和視頻監控服務器身份標識。所述視頻監控服務器2的第一接入處理單元21,還用于接收所述驗證響應消息,使用身份驗證服務器證書公鑰驗證所述驗證響應消息的簽名的有效性;在簽名驗證通過后,判斷所述驗證響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效,則接入失敗;若每一項都有效,則使用視頻監控前端證書公鑰對預先設置的身份驗證密鑰進行加密,獲得身份驗證密鑰密文,且構建接入響應消息,使用視頻監控服務器證書私鑰對所述接入響應消息進行簽名后,發送給所述視頻監控前端;所述接入響應消息包含身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識和身份驗證密鑰密文。所述視頻監控前端3的第二接入處理單元31,還用于接收所述接入響應消息,使用視頻監控服務器證書公鑰驗證所述接入響應消息的簽名的有效性,使用身份驗證服務器證書公鑰驗證所述接入響應消息中的驗證響應消息的簽名的有效性,在簽名驗證通過后,判斷所述接入響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效,則接入失敗;若每一項都有效,則使用視頻監控前端證書私鑰解密所述接入響應消息中的身份驗證密鑰密文,獲得身份驗證密鑰;根據所述身份驗證密鑰計算出數據密鑰和消息鑒別碼,且構建接入確認消息,發送給所述視頻監控服務器;所述接入確認消息包含第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識、身份驗證密鑰和消息鑒別碼。所述視頻監控服務器2的第一接入處理單元21,還用于接收所述接入確認消息,根據本地保存的身份驗證密鑰計算消息鑒別碼,當計算出的消息鑒別碼與所述接入確認消 息的消息鑒別碼相同時,判斷所述接入確認消息中的隨機數、身份標識和身份驗證密鑰是否有效,若任意一項無效,則接入失敗;若每一項都有效,則根據所述身份驗證密鑰計算出數據密鑰。進一步的,所述身份驗證服務器I還包括注冊單元12、身份標識管理單元13和第一存儲單元14。所述注冊單元12,用于對所述視頻監控前端和所述視頻監控服務器進行注冊,發放證書和對應的私鑰。所述身份標識管理單元13,用于綁定并維護所述視頻監控前端的證書、注冊信息和身份標識的對應關系,以及所述視頻監控服務器的證書、注冊信息和身份標識的對應關系。所述第一存儲單元14,用于保存所述身份驗證服務器的證書、對應的私鑰和身份標識,所述視頻監控前端的證書、注冊信息和身份標識,以及所述視頻監控服務器的證書、注冊信息和身份標識。所述視頻監控服務器2還包括第二存儲單元22,用于保存所述視頻監控服務器的證書、對應的私鑰和身份標識,所述身份驗證服務器的證書和身份標識,以及所述視頻監控前端的證書和身份標識。所述視頻監控前端還包括第三存儲單元32,用于保存所述視頻監控前端的證書、對應的私鑰和身份標識,所述身份驗證服務器的證書和身份標識,以及所述視頻監控服務器的證書和身份標識。再進一步的,所述視頻監控服務器2還包括第一數據傳輸單元23 ;所述視頻監控前端3還包括視頻數據采集單元33和第二數據傳輸單元34。所述視頻數據采集單元33,用于采集視頻數據,在每個視頻數據幀中設置視頻監控前端身份標識,并傳送給所述第二數據傳輸單元34。所述第二數據傳輸單元34,用于使用數據密鑰對設置身份標識后的視頻數據進行加密后,將視頻數據密文發送給所述視頻監控服務器。所述第一數據傳輸單元23,用于接收所述視頻數據密文,使用數據密鑰對所述視頻數據密文進行解密,獲得視頻數據明文和視頻監控前端身份標識;判斷所述視頻監控前端是否通過身份驗證,若通過身份驗證,則對所述視頻數據明文進行后續處理;若未通過身份驗證,則丟棄所述視頻數據明文。此外,所述第二存儲單元22還用于保存接入過程中的隨機數、身份驗證密鑰和數據密鑰,以及數據傳輸過程中接收的視頻數據;所述第三存儲單元32還用于保存接入過程中的隨機數、身份驗證密鑰和數據密鑰,以及采集的視頻數據。本發明實施例提供的基于標識的視頻監控數據的傳輸方法及系統,具有如下有益效果
(I )、通過建立一個統一的視頻監控系統,使得視頻監控前端能夠以同一個身份標識接入到不同視頻監控服務器中。(2)、視頻監控前端和視頻監控服務器通過身份驗證服務器驗證雙方的身份標識 后,視頻監控服務器向視頻監控前端分發數據密鑰,用于進行視頻數據的保密傳輸,避免了網絡非法入侵者截獲數據并使用。(3)、本發明賦予視頻監控服務器以獨立的身份標識,基于視頻監控服務器身份標識的可區分性,方便監管,同時視頻監控前端、視頻監控服務器以及身份驗證服務器之間在接入過程中的通信無需經過額外的安全信道,節約了使用成本。(4)、在視頻監控前端接入視頻監控服務器的過程中,使用身份標識代替證書描述各個角色的身份信息,減少了接入過程中傳遞消息的報文長度,可以降低通信負荷,極大地提高通信效率。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質中,該程序在執行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random AccessMemory, RAM)等。以上所述是本發明的優選實施方式,應當指出,對于本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也視為本發明的保護范圍。
權利要求
1.一種基于標識的視頻監控數據的傳輸方法,其特征在于,包括 在視頻監控前端接入視頻監控服務器的過程中,身份驗證服務器根據所述視頻監控前端和所述視頻監控服務器的身份標識,獲取所述視頻監控前端和所述視頻監控服務器的證書,對所述視頻監控前端和所述視頻監控服務器的身份進行驗證,且在所述視頻監控前端和所述視頻監控服務器的身份驗證通過后,所述視頻監控前端和所述視頻監控服務器協商獲得數據密鑰; 所述視頻監控前端和所述視頻監控服務器根據所述數據密鑰,進行視頻數據的保密傳輸。
2.如權利要求I所述的基于標識的視頻監控數據的傳輸方法,其特征在于,所述在視頻監控前端接入視頻監控服務器的過程中,身份驗證服務器根據所述視頻監控前端和所述視頻監控服務器的身份標識,獲取所述視頻監控前端和所述視頻監控服務器的證書,對所述視頻監控前端和所述視頻監控服務器的身份進行驗證,且在所述視頻監控前端和所述視頻監控服務器的身份驗證通過后,所述視頻監控前端和所述視頻監控服務器協商獲得數據密鑰,包括 . 51、在視頻監控前端接入視頻監控服務器時,構建接入請求消息,使用視頻監控前端證書私鑰對所述接入請求消息進行簽名后,發送給視頻監控服務器;所述接入請求消息包含所述視頻監控前端身份標識和第一隨機數; .52、視頻監控服務器接收所述接入請求消息,使用視頻監控前端證書公鑰驗證所述接入請求消息的簽名的有效性;在簽名驗證通過后,保存所述接入請求消息中的視頻監控前端身份標識和第一隨機數,且構建驗證請求消息,使用視頻監控服務器證書私鑰對所述驗證請求消息進行簽名后,發送給身份驗證服務器;所述驗證請求消息包含視頻監控前端身份標識、第一隨機數、視頻監控服務器身份標識和第二隨機數; .53、身份驗證服務器接收所述驗證請求消息,根據所述驗證請求消息中的視頻監控前端身份標識和視頻監控服務器身份標識,獲取對應的視頻監控前端證書和視頻監控服務器證書;使用所述視頻監控服務器證書公鑰驗證所述驗證請求消息的簽名的有效性,以及驗證所述視頻監控前端證書和所述視頻監控服務器證書的有效性,獲得身份驗證結果;構建驗證響應消息,使用身份驗證服務器證書私鑰對所述驗證響應消息進行簽名后,發送給所述視頻監控服務器;所述驗證響應消息包含身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識和視頻監控服務器身份標識; .54、視頻監控服務器接收所述驗證響應消息,使用身份驗證服務器證書公鑰驗證所述驗證響應消息的簽名的有效性;在簽名驗證通過后,判斷所述驗證響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效,則接入失敗;若每一項都有效,則使用視頻監控前端證書公鑰對預先設置的身份驗證密鑰進行加密,獲得身份驗證密鑰密文,且構建接入響應消息,使用視頻監控服務器證書私鑰對所述接入響應消息進行簽名后,發送給所述視頻監控前端;所述接入響應消息包含身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識和身份驗證密鑰密文; . 55、視頻監控前端接收所述接入響應消息,使用視頻監控服務器證書公鑰驗證所述接入響應消息的簽名的有效性,使用身份驗證服務器證書公鑰驗證所述接入響應消息中的驗證響應消息的簽名的有效性,在簽名驗證通過后,判斷所述接入響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效,則接入失敗;若每一項都有效,則使用視頻監控前端證書私鑰解密所述接入響應消息中的身份驗證密鑰密文,獲得身份驗證密鑰;根據所述身份驗證密鑰計算出數據密鑰和消息鑒別碼,且構建接入確認消息,發送給所述視頻監控服務器;所述接入確認消息包含第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識、身份驗證密鑰和消息鑒別碼; S6、視頻監控服務器接收所述接入確認消息,根據本地保存的身份驗證密鑰計算消息鑒別碼,當計算出的消息鑒別碼與所述接入確認消息的消息鑒別碼相同時,判斷所述接入確認消息中的隨機數、身份標識和身份驗證密鑰是否有效,若任意一項無效,則接入失敗;若每一項都有效,則根據所述身份驗證密鑰計算出數據密鑰。
3.如權利要求2所述的基于標識的視頻監控數據的傳輸方法,其特征在于,在所述視頻監控前端接入所述視頻監控服務器之前,還包括 所述身份驗證服務器對所述視頻監控前端和所述視頻監控服務器進行注冊,發放證書和對應的私鑰; 所述身份驗證服務器綁定并維護所述視頻監控前端的證書、注冊信息和身份標識的對應關系,以及所述視頻監控服務器的證書、注冊信息和身份標識的對應關系; 所述身份驗證服務器在本地保存所述身份驗證服務器的證書、對應的私鑰和身份標識,所述視頻監控前端的證書、注冊信息和身份標識,以及所述視頻監控服務器的證書、注冊信息和身份標識; 所述視頻監控服務器在本地保存所述視頻監控服務器的證書、對應的私鑰和身份標識,所述身份驗證服務器的證書和身份標識,以及所述視頻監控前端的證書和身份標識; 所述視頻監控前端在本地保存所述視頻監控前端的證書、對應的私鑰和身份標識,所述身份驗證服務器的證書和身份標識,以及所述視頻監控服務器的證書和身份標識。
4.如權利要求r3任一項所述的基于標識的視頻監控數據的傳輸方法,其特征在于,所述視頻監控前端和所述視頻監控服務器根據所述數據密鑰,進行視頻數據的保密傳輸,包括 所述視頻監控前端采集視頻數據,在每個視頻數據幀中設置視頻監控前端身份標識; 所述視頻監控前端使用數據密鑰對設置身份標識后的視頻數據進行加密后,將視頻數據密文發送給所述視頻監控服務器; 所述視頻監控服務器接收所述視頻數據密文,使用數據密鑰對所述視頻數據密文進行解密,獲得視頻數據明文和視頻監控前端身份標識;判斷所述視頻監控前端是否通過身份驗證,若通過身份驗證,則對所述視頻數據明文進行后續處理;若未通過身份驗證,則丟棄所述視頻數據明文。
5.如權利要求4所述的基于標識的視頻監控數據的傳輸方法,其特征在于,所述視頻監控服務器還保存接入過程中的隨機數、身份驗證密鑰和數據密鑰,以及數據傳輸過程中接收的視頻數據; 所述視頻監控前端還保存接入過程中的隨機數、身份驗證密鑰和數據密鑰,以及采集的視頻數據。
6.一種視頻監控系統,其特征在于,包括視頻監控前端、視頻監控服務器和身份驗證服務器;在所述視頻監控前端接入所述視頻監控服務器的過程中,身份驗證服務器根據所述視頻監控前端和所述視頻監控服務器的身份標識,獲取所述視頻監控前端和所述視頻監控服務器的證書,對所述視頻監控前端和所述視頻監控服務器的身份進行驗證,且在所述視頻監控前端和所述視頻監控服務器的身份驗證通過后,所述視頻監控前端和所述視頻監控服務器協商獲得數據密鑰; 所述視頻監控前端和所述視頻監控服務器根據所述數據密鑰,進行視頻數據的保密傳輸。
7.如權利要求6所述的視頻監控系統,其特征在于,所述視頻監控服務器包括第一接入處理單元,所述視頻監控前端包括第二接入處理單元,所述身份驗證服務器包括身份驗證單元; 所述視頻監控前端的第二接入處理單元,用于在所述視頻監控前端接入視頻監控服務器時構建接入請求消息,使用視頻監控前端證書私鑰對所述接入請求消息進行簽名后,發送給視頻監控服務器;所述接入請求消息包含所述視頻監控前端身份標識和第一隨機數; 所述視頻監控服務器的第一接入處理單元,用于接收所述接入請求消息,使用視頻監控前端證書公鑰驗證所述接入請求消息的簽名的有效性;在簽名驗證通過后,保存所述接入請求消息中的視頻監控前端身份標識和第一隨機數,且構建驗證請求消息,使用視頻監控服務器證書私鑰對所述驗證請求消息進行簽名后,發送給身份驗證服務器;所述驗證請求消息包含視頻監控前端身份標識、第一隨機數、視頻監控服務器身份標識和第二隨機數; 所述身份驗證服務器的身份驗證單元,用于接收所述驗證請求消息,根據所述驗證請求消息中的視頻監控前端身份標識和視頻監控服務器身份標識,獲取對應的視頻監控前端證書和視頻監控服務器證書;使用所述視頻監控服務器證書公鑰驗證所述驗證請求消息的簽名的有效性,以及驗證所述視頻監控前端證書和所述視頻監控服務器證書的有效性,獲得身份驗證結果;構建驗證響應消息,使用身份驗證服務器證書私鑰對所述驗證響應消息進行簽名后,發送給所述視頻監控服務器;所述驗證響應消息包含身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識和視頻監控服務器身份標識; 所述視頻監控服務器的第一接入處理單元,還用于接收所述驗證響應消息,使用身份驗證服務器證書公鑰驗證所述驗證響應消息的簽名的有效性;在簽名驗證通過后,判斷所述驗證響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效,則接入失敗;若每一項都有效,則使用視頻監控前端證書公鑰對預先設置的身份驗證密鑰進行加密,獲得身份驗證密鑰密文,且構建接入響應消息,使用視頻監控服務器證書私鑰對所述接入響應消息進行簽名后,發送給所述視頻監控前端;所述接入響應消息包含身份驗證結果、第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識和身份驗證密鑰密文; 所述視頻監控前端的第二接入處理單元,還用于接收所述接入響應消息,使用視頻監控服務器證書公鑰驗證所述接入響應消息的簽名的有效性,使用身份驗證服務器證書公鑰驗證所述接入響應消息中的驗證響應消息的簽名的有效性,在簽名驗證通過后,判斷所述接入響應消息中的身份驗證結果、隨機數和身份標識是否有效,若任意一項無效,則接入失敗;若每一項都有效,則使用視頻監控前端證書私鑰解密所述接入響應消息中的身份驗證密鑰密文,獲得身份驗證密鑰;根據所述身份驗證密鑰計算出數據密鑰和消息鑒別碼,且構建接入確認消息,發送給所述視頻監控服務器;所述接入確認消息包含第一隨機數、第二隨機數、視頻監控前端身份標識、視頻監控服務器身份標識、身份驗證密鑰和消息鑒別碼; 所述視頻監控服務器的第一接入處理單元,還用于接收所述接入確認消息,根據本地保存的身份驗證密鑰計算消息鑒別碼,當計算出的消息鑒別碼與所述接入確認消息的消息鑒別碼相同時,判斷所述接入確認消息中的隨機數、身份標識和身份驗證密鑰是否有效,若任意一項無效,則接入失敗;若每一項都有效,則根據所述身份驗證密鑰計算出數據密鑰。
8.如權利要求7所述的視頻監控系統,其特征在于,所述身份驗證服務器還包括注冊單元、身份標識管理單元和第一存儲單元; 所述注冊單元,用于對所述視頻監控前端和所述視頻監控服務器進行注冊,發放證書和對應的私鑰; 所述身份標識管理單元,用于綁定并維護所述視頻監控前端的證書、注冊信息和身份標識的對應關系,以及所述視頻監控服務器的證書、注冊信息和身份標識的對應關系; 所述第一存儲單元,用于保存所述身份驗證服務器的證書、對應的私鑰和身份標識,所述視頻監控前端的證書、注冊信息和身份標識,以及所述視頻監控服務器的證書、注冊信息和身份標識; 所述視頻監控服務器還包括第二存儲單元,用于保存所述視頻監控服務器的證書、對應的私鑰和身份標識,所述身份驗證服務器的證書和身份標識,以及所述視頻監控前端的證書和身份標識; 所述視頻監控前端還包括第三存儲單元,用于保存所述視頻監控前端的證書、對應的私鑰和身份標識,所述身份驗證服務器的證書和身份標識,以及所述視頻監控服務器的證書和身份標識。
9.如權利要求61任一項所述的視頻監控系統,其特征在于,所述視頻監控服務器還包括第一數據傳輸單元;所述視頻監控前端還包括視頻數據采集單元和第二數據傳輸單元; 所述視頻數據采集單元,用于采集視頻數據,在每個視頻數據幀中設置視頻監控前端身份標識,并傳送給所述第二數據傳輸單元; 所述第二數據傳輸單元,用于使用數據密鑰對設置身份標識后的視頻數據進行加密后,將視頻數據密文發送給所述視頻監控服務器; 所述第一數據傳輸單元,用于接收所述視頻數據密文,使用數據密鑰對所述視頻數據密文進行解密,獲得視頻數據明文和視頻監控前端身份標識;判斷所述視頻監控前端是否通過身份驗證,若通過身份驗證,則對所述視頻數據明文進行后續處理;若未通過身份驗證,則丟棄所述視頻數據明文。
10.如權利要求9所述的視頻監控系統,其特征在于,所述第二存儲單元還用于保存接入過程中的隨機數、身份驗證密鑰和數據密鑰,以及數據傳輸過程中接收的視頻數據; 所述第三存儲單元還用于保存接入過程中的隨機數、身份驗證密鑰和數據密鑰,以及采集的視頻數據。
全文摘要
本發明公開了一種基于標識的視頻監控數據的傳輸方法,該方法包括在視頻監控前端接入視頻監控服務器的過程中,身份驗證服務器根據所述視頻監控前端和所述視頻監控服務器的身份標識,獲取所述視頻監控前端和所述視頻監控服務器的證書,對所述視頻監控前端和所述視頻監控服務器的身份進行驗證,且在所述視頻監控前端和所述視頻監控服務器的身份驗證通過后,所述視頻監控前端和所述視頻監控服務器協商獲得數據密鑰;所述視頻監控前端和所述視頻監控服務器根據所述數據密鑰,進行視頻數據的保密傳輸。本發明還公開一種視頻監控系統。采用本發明實施例,能夠降低接入過程中的通信負荷,實現視頻監控數據的安全傳輸。
文檔編號H04L29/06GK102752307SQ20121023535
公開日2012年10月24日 申請日期2012年7月9日 優先權日2012年7月9日
發明者杜文元, 林凡, 黃建青 申請人:廣州杰賽科技股份有限公司