提高监控数据安全性的方法、系统及装置.pdf

提高监控数据安全性的方法、系统及装置
    【技术领域】

    本发明涉及监控技术领域，特别涉及一种提高监控数据安全性的方法、系统及装置。

    背景技术

    随着电子信息技术的不断发展和网络的普及，音视频监控等高新技术已应用于国民经济每个领域。现代化的商场、银行等离不开现代化的管理和保卫手段，城市安全监控、交通管理、森林防火监控等也均离不开音视频监控技术。在上述这些监控应用中，很多监控信息(包括音视频数据)的安全性是非常重要的，例如银行内部监控的视频信息不仅会泄露银行内部的安保情况，还有可能会泄露用户的密码等用户信息。因此需要对编码端采集回传的音视频内容和报警信息等监控数据进行保护，防止没有查看权限的人员获知其内容，造成信息泄露。另外对于编码端采集回传的音视频内容和报警信息等监控数据，还应当保证其真实性和完整性，防止这些数据被篡改，以便作为后期综合研判和法庭调查的证据。因此对于现有监控系统来说，监控系统中编码端采集的音视频内容和产生的报警信息等监控数据需要通过网络传回监控中心，在这一过程中比较容易发生信息的泄漏和被篡改，然而现有技术中没有一种完整、统一的数据安全方案来解决监控信息的安全性、完整性等问题。

    【发明内容】

    本发明的目的旨在至少解决上述技术缺陷之一，特别是解决现有的监控信息的安全性和真实性不高的技术缺陷。

    为达到上述目的，本发明一方提出一种提高监控数据安全性的方法，包括以下步骤：编码端采集监控数据；所述编码端将所述监控数据编码并分割封装为相应的原始数据单元；所述编码端对所述原始数据单元的单元负载进行加密，生成对应的加密数据单元的单元负载；所述编码端对所述加密数据单元进行封装并向解码端发送，并在加密数据单元的单元头内设置加密标志以指示解码端所述加密数据单元的单元负载被加密及加密所采用的算法。

    作为本发明的一个实施例，在所述编码端对所述加密数据单元进行封装并向解码端发送之后，还包括以下步骤：所述解码端接收所述编码端发送的加密数据单元，并解析所述加密数据单元的单元头；在所述加密数据单元的单元头内的所述加密标志有效时，所述解码端根据预设的密钥，按照解析所述加密标志获取的加密算法对所述加密数据单元的单元负载进行解密，得到所述原始数据单元的单元负载。

    作为本发明的一个实施例，所述编码端对所述加密数据单元进行封装具体包括：所述编码端将所述加密数据单元的单元头、单元负载和加密密钥信息作为所述加密数据单元。

    在上述实施例中，在所述编码端对所述加密数据单元进行封装并向解码端发送之后，还包括以下步骤：所述解码端接收所述编码端发送的加密数据单元，并解析所述加密数据单元的单元头；在所述加密数据单元的单元头内的所述加密标志有效时，首先获取所述加密数据单元内的加密密钥信息，再根据所述获取的加密密钥信息，按照解析所述加密标志获取的加密算法对所述加密数据单元进行解密，得到所述原始数据单元的单元负载。

    作为本发明的一个实施例，所述加密数据单元的单元负载长度与所述原始数据单元的单元负载长度相同。

    作为本发明的一个实施例，在所述编码端将所述监控数据编码并分割封装为相应的原始数据单元之后，还包括：所述编码端对所述原始数据单元的单元负载进行认证处理，生成认证数据；所述编码端对所述原始数据单元的单元负载进行加密，生成对应的加密数据单元的单元负载具体为：所述编码端对所述原始数据单元地单元负载和所述认证数据一同进行加密，生成对应的加密数据单元的单元负载，且在对所述加密数据单元进行封装时在所述加密数据单元的单元头内设置认证标志。

    作为本发明的一个实施例，在所述编码端对所述加密数据单元进行封装并向解码端发送之后，还包括以下步骤：所述解码端接收所述编码端发送的加密数据单元，并解析所述加密数据单元的单元头，判断所述加密数据单元单元头内的所述加密标志和所述认证标志是否有效；如果所述加密数据单元单元头内的所述加密标志有效，则所述解码端对所述加密数据单元的单元负载按照解析所述加密标志获取的加密算法进行解密获得相应的原始数据单元的单元负载；如果所述加密数据单元单元头内的所述认证标志有效，则所述解码端根据所述原始数据单元内的认证数据和所述原始数据单元的单元负载判断所述原始数据单元的单元负载是否被篡改；如果判断所述原始数据单元的单元负载被篡改，则向用户报警。

    作为本发明的一个实施例，所述解码端根据所述原始数据单元内的认证数据和所述原始数据单元的单元负载判断所述原始数据单元的单元负载是否被篡改具体包括以下步骤：所述解码端按照解析所述认证标志获取的认证算法对所述原始数据单元的单元负载进行认证处理得到对比认证数据；所述解码端判断所述对比认证数据与获取的所述认证数据是否相同，如果所述对比认证数据与获取的所述认证数据不相同，则判断所述原始数据单元的单元负载被篡改。

    在上述实施例中，所述原始数据单元的单元负载为压缩层数据、编码参数集和报警信息中的一个或多个。

    本发明还提出一种监控数据加密系统，包括解码端和至少一个编码端，所述编码端，用于采集监控数据，并将所述监控数据编码并分割封装为相应的原始数据单元，以及对所述原始数据单元的单元负载进行加密生成对应的加密数据单元的单元负载，并将所述加密数据单元进行封装后向解码端发送，同时在加密数据单元的单元头内设置加密标志以指示解码端所述加密数据单元的单元负载被加密及加密所采用的算法；所述解码端，用于接收到所述编码端发送的加密数据单元后，解析所述加密数据单元的单元头，在所述加密数据单元的单元头内的所述加密标志有效时，根据预设的密钥，按照解析所述加密标志获取的加密算法对所述加密数据单元的单元负载进行解密，得到所述原始数据单元的单元负载。

    作为本发明的一个实施例，所述加密数据单元中还包含有加密密钥信息，所述解码端根据所述加密密钥信息和预定的密钥产生规则，按照解析所述加密标志获取的加密算法对所述加密数据单元的单元负载进行解密，得到所述原始数据单元的单元负载。

    作为本发明的一个实施例，所述加密数据单元的单元负载长度与所述原始数据单元的单元负载长度相同。

    作为本发明的一个实施例，所述编码端，还用于对所述原始数据单元的单元负载进行认证处理，生成认证数据，并对所述原始数据单元的单元负载和所述认证数据一同进行加密，生成对应的加密数据单元的单元负载，且在对所述加密数据单元进行封装时在所述加密数据单元的单元头内设置认证标志。

    作为本发明的一个实施例，所述解码端，还用于在所述编码端对所述原始数据单元的单元负载进行认证处理时，在对所述加密数据单元的单元负载进行解密获得相应的原始数据单元的单元负载和认证数据后，根据所述原始数据单元内的认证数据和所述原始数据单元的单元负载，按照解析所述认证标志获取的认证算法判断所述原始数据单元的单元负载是否被篡改，如果判断所述原始数据单元的单元负载被篡改，则向用户报警。

    在上述实施例中，所述原始数据单元的单元负载为压缩层数据、编码参数集和报警信息中的一个或多个。

    本发明还提出一种编码端，包括数据采集模块、编码分割模块、加密模块和发送模块，所述数据采集模块，用于采集监控数据；所述编码分割模块，用于将所述数据采集模块采集的监控数据编码并分割封装为相应的原始数据单元；所述加密模块，用于对所述编码分割模块得到的原始数据单元的单元负载进行加密，生成对应的加密数据单元的单元负载；所述发送模块，用于对所述加密数据单元进行封装并向解码端发送，并在加密数据单元的单元头内设置加密标志以指示解码端所述加密数据单元的单元负载被加密及加密所采用的算法。

    作为本发明的一个实施例，所述加密数据单元的单元负载长度与所述原始数据单元的单元负载长度相同。

    作为本发明的一个实施例，还包括认证模块，用于对所述原始数据单元的单元负载进行认证处理，生成认证数据。

    本发明还提出一种解码端，包括接收模块和解密模块，所述接收模块，用于接收编码端发送的加密数据单元；所述解密模块，用于在所述加密数据单元的单元头内的所述加密标志有效时，根据预设的密钥，并按照解析所述加密标志获取的加密算法对所述加密数据单元的单元负载进行解密，得到原始数据单元的单元负载。

    作为本发明的一个实施例，还包括认证模块和报警模块，所述认证模块，用于根据所述解密模块得到的原始数据单元的单元负载和所述原始数据单元内的认证数据，按照解析所述认证标志获取的认证算法判断所述原始数据单元的单元负载是否被篡改；所述报警模块，用于在所述认证模块判断所述原始数据单元的单元负载被篡改时向用户报警。

    本发明还提出一种提高监控数据安全性的方法，包括以下步骤：编码端采集监控数据；所述编码端将所述监控数据编码并分割封装为相应的原始数据单元，所述原始数据单元包括单元头和单元负载；所述编码端对所述原始数据单元的单元负载进行认证处理，生成对应的认证数据；所述编码端将所述原始数据单元的单元头、单元负载和认证数据一起作为所述向解码端发送的数据单元，并在数据单元的单元头内设置认证标志以指示解码端所述数据单元的单元负载内包含有认证数据和认证所采用的算法。

    作为本发明的一个实施例，还包括：如果解码端接收的所述数据单元的单元头内所述认证标志有效，则所述解码端按照解析所述认证标志获取的认证算法，并根据所述原始数据单元内的认证数据和所述原始数据单元的单元负载判断所述原始数据单元的单元负载是否被篡改；如果判断所述原始数据单元的单元负载被篡改，则向用户报警。

    作为本发明的一个实施例，还包括：所述数据单元的单元负载内还包含有认证密钥信息，所述解码端根据所述认证密钥信息，按照解析所述认证标志获取的认证算法，并根据所述原始数据单元内的认证数据和所述原始数据单元的单元负载判断所述原始数据单元的单元负载是否被篡改。

    本发明还提出一种编码端，包括数据采集模块、编码分割模块、认证模块和发送模块，所述数据采集模块，用于采集监控数据；所述编码分割模块，用于将所述数据采集模块采集的监控数据编码并分割封装为相应的原始数据单元；所述认证模块，用于对所述原始数据单元的单元负载进行认证处理，生成对应的认证数据；所述发送模块，用于将所述原始数据单元的单元头、单元负载和所述认证模块生成的认证数据一起作为所述向解码端发送的数据单元，并在数据单元的单元头内设置认证标志以指示解码端所述数据单元的单元负载内包含有认证数据及认证所采用的算法。

    作为本发明的一个实施例，还包括：所述数据单元的单元负载内还包含有认证密钥信息。

    本发明通过编码端对原始数据单元的加密和认证处理，能够提高数据的安全性、真实性和完整性，并且本发明通用性强，实现简单。

    本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

    【附图说明】

    本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

    图1为网络传输时划分网络抽象层数据单元的示意图；

    图2为数据单元结构示意图；

    图3为本发明实施例一的提高监控数据安全性的方法流程图；

    图4为本发明实施例一的对原始数据单元RDU加密的示意图

    图5为本发明实施例一的对加密数据单元EDU封装的示意图；

    图6为本发明实施例二的提高监控数据安全性的方法流程图；

    图7为本发明实施例二的认证和加密的示意图；

    图8为本发明实施例二的另一种认证和加密的示意图；

    图9为本发明实施例二的再一种认证和加密的示意图；

    图10为本发明实施例二的再一种认证和加密的示意图；

    图11为本发明实施例三的一种认证示意图；

    图12为本发明实施例三的另一种认证示意图；

    图13为本发明实施例的监控数据加密系统的结构图。

    【具体实施方式】

    下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

    本发明主要在于编码端对原始数据单元的单元负载进行加密和/或认证处理，从而提高监控数据的安全性。另外为了实现本发明的目的，还需要在单元头内相应地添加加密标志和/或认证标志，对现有的单元结构进行相应修改。需要说明的是本发明可通过多种实施例实现提高监控数据安全性方法的目的，例如仅加密，或者仅进行认证，或者两者的结合，以下将以多种实施例对本发明进行介绍，需要说明的是下述实施例仅是为了能够更清楚的理解本发明，并不是说本发明仅能通过以下实施例实现。

    作为本发明的一个实施例，可在对原始数据单元的单元负载进行加密的同时在加密数据单元的单元头内设置加密标志以指示解码端该加密数据单元的单元负载被加密，及加密所采用的算法，从而解码端能够根据该指示和预定的密钥对加密数据单元的单元负载进行解密，从而提高监控数据传输的安全性。作为本发明的优选实施例，在上述实施例的基础上还可由编码端对原始数据单元的单元负载进行认证，生成相应的认证数据与原始数据一同发送给解码端，从而解码端能够根据认证数据对接收到的原始数据进行认证，判断接收到的原始数据是否被篡改，从而保证监控数据传输的可靠性。

    实施例一，

    在该实施例中，编码端对原始数据单元的单元负载进行加密处理，同时在加密数据单元的单元头内设置加密标志以指示解码端所述加密数据单元的单元负载被加密及加密所采用的算法。为了能够对本发明有更清楚和全面的理解，以下对编码端对采集的监控数据压缩及编码的过程进行简单介绍。

    监控系统中编码端编码的监控数据(如音视频内容和产生的报警信息等数据)需要通过网络传回监控中心(如本发明中的解码端)。通常，编码端对采集的监控数据进行压缩编码生成压缩层数据，并把一些编码参数组成编码参数集，如视频压缩时的档次和级别、图像分辨率、数据位宽、视频类型、量化参数等参数，音频和/或语音压缩时的编码模式、采样频率、通道数、码率等参数。在进行网络传输时，一般还要将压缩层数据、编码参数集和可能存在的报警信息再划分为一定长度的数据单元，称为网络抽象层数据单元。如图1所示，为网络传输时划分网络抽象层数据单元的示意图。

    如图2所示，为数据单元结构示意图，每个数据单元一般包括两部分，单元头和单元负载。其中，在单元头中包含有若干语法元素，在编码端和监控中心(解码端)之间传递相关信息，如单元长度、单元类型等语法元素。

    其中，上述的网络抽象层数据单元未加密前可以称为原始数据单元RDU，加密后可以称为加密数据单元EDU。

    如图3所示，为本发明实施例一的提高监控数据安全性的方法流程图，包括以下步骤：

    步骤S301，编码端采集监控数据。其中，所述监控数据包括音视频数据和产生的报警信息等数据。

    步骤S302，编码端将监控数据编码并分割封装为相应的原始数据单元RDU，原始数据单元RDU的单元负载可为如上所述的压缩层数据、编码参数集和报警信息中的一个或多个。

    步骤S303，编码端对原始数据单元RDU进行加密，生成对应的加密数据单元EDU。其中，在对原始数据单元RDU加密时，单元头不加密，只对单元负载加密，且不改变单元负载的数据长度。作为本发明的一个实施例，加密数据单元EDU的单元头与原始数据单元RDU的单元头相同。如图4所示，为本发明实施例一的对原始数据单元RDU加密的示意图。作为本发明的一个实施例，该步骤加密所用密钥既可以是预设好的(即解码端已知)，也可以是根据预设规则产生的。如果是根据预设规则产生的，在加密数据单元EDU中增加一个固定长度的密钥信息，通知解码端采用该密钥信息进行解码。其中，对于本发明的加解密过程可以采用如DES、3DES、AES等通用加密算法，也可以采用其它预共享密钥的加解密方式。密钥长度可以采用40-bit，56-bit，64-bit，80-bit，128-bit等，其中密钥长度越大，安全性越高，运算越复杂。对不同的数据类型，如压缩层数据、编码参数集和报警信息，可以采用不同等级的加密算法，从而可以实现多个安全级别及数据访问权限的控制。

    步骤S304，编码端对加密数据单元EDU进行封装并向解码端发送，并在加密数据单元的单元头内设置加密标志以指示解码端该加密数据单元的单元负载被加密及加密所采用的算法。如图5所示，为本发明实施例一的对加密数据单元EDU封装的示意图，在该实施例中，编码端将密钥信息与加密数据单元EDU的单元头和单元负载一同传输，其中密钥信息本身不加密。正如上述描述的，在解码端已知密钥信息时，编码端也可仅将加密数据单元EDU的单元头和单元负载一同传输。

    其中作为本发明的一个具体实施例，在加密数据单元的单元头中增加两个标志信息和一个可选的密钥信息，如下所示：

    {

        加密标志；

        加密密钥信息存在标志；

        如果加密密钥信息存在标志为有效，则存在

        {

                  加密密钥信息长度；

                  加密密钥信息；

        }

    }

    其中，上述语法中的加密标志表示单元负载是否被加密及加密所采用的算法。优选的，加密标志可以用3-bit表示，“000”表示加密标志无效，即单元负载不加密；其它非“000”值表示有效，即单元负载被加密，且表明了采用的加密算法，例如，“001”表示单元负载被加密且采用加密算法A，“010”表示单元负载被加密且采用加密算法B，依此类推。加密密钥信息存在标志表示是否存在加密密钥信息。优选的，加密密钥信息存在标志可以用1-bit表示，“1”表示有效，即存在加密密钥信息；“0”表示无效，即不存在加密密钥信息。加密密钥信息长度表示其后的加密密钥信息的长度。优选的，加密密钥信息长度可以用8-bit表示，表示加密密钥信息以比特或字节为单位的长度，例如，“0100，0000”表示加密密钥信息有64个比特或64个字节。加密密钥信息中包含有加密密钥的全部或部分信息，其中，作为本发明的一个实施例，加密密钥信息为一组按某种预设规则产生的伪随机数，其与预设密钥一起根据特定规则构成了加密密钥。优选的，预设密钥可以是编码端的唯一身份标识ID。

    步骤S305，解码端接收编码端发送的加密数据单元，并解析加密数据单元的单元头，判断单元头内的加密标志是否有效。如果加密数据单元的单元头内的加密标志无效，则表示加密数据单元的单元负载没有被加密，直接获得原始数据单元RDU的单元负载。

    步骤S306，如果加密数据单元的单元头内的加密标志有效，则表示加密数据单元的单元负载被加密，解码端根据预设的密钥对加密数据单元EDU的单元负载按照解析加密标志获取的加密算法进行解密，得到原始数据单元RDU的单元负载。如果加密密钥信息存在标志有效，则解码端先从加密数据单元的单元负载中获取密钥信息(密钥信息是未被加密的)，再根据获取的密钥信息和预定的密钥产生规则对加密数据单元EDU的单元负载按照解析加密标志获取的加密算法进行解密，获得原始数据单元RDU的单元负载。

    实施例二，

    该实施例相对于实施例一来说，不仅要对原始数据单元RDU的单元负载进行加密，还需要在加密之前，对原始数据单元RDU的单元负载进行认证生成相应的认证数据，在加密时也对认证数据同时进行加密，解码端在解密得到原始数据单元RDU的单元负载和认证数据后同样也要对得到的原始数据单元RDU的单元负载进行认证，生成相应的解码端的认证数据，并判断生成的认证数据与解密的认证数据是否一致，如果不一致的话，则认为该原始数据单元RDU的单元负载已被篡改，向用户发出报警信号。

    如图6所示，为本发明实施例二的提高监控数据安全性的方法流程图，包括以下步骤：

    步骤S601，编码端采集监控数据。其中，所述监控数据包括音视频数据和产生的报警信息等数据。

    步骤S602，编码端将监控数据编码并分割封装为相应的原始数据单元RDU，原始数据单元RDU的单元负载可为如上所述的压缩层数据、编码参数集和报警信息中的一个或多个。

    步骤S603，编码端对原始数据单元RDU的单元负载进行认证处理，生成认证数据。认证处理可以采用如MD5、SHA、HMAC等通用认证算法，也可以采用其它预定义的认证方式。

    步骤S604，编码端对原始数据单元RDU的单元负载和生成的认证数据一同进行加密，生成对应的加密数据单元EDU的单元负载，且在对加密数据单元EDU进行封装时在加密数据单元的单元头内设置认证标志和加密标志。其中，加密数据单元EDU的单元负载长度与原始数据单元RDU的单元负载加上生成的认证数据的长度相同。如图7所示，为本发明实施例二的一种认证和加密的示意图，在该实施例中认证密钥信息和加密密钥信息均不传输。如图8所示，为本发明实施例二的另一种认证和加密的示意图，在该实施例中仅传输认证密钥信息，不传输加密密钥信息。如图9所示，为本发明实施例二的再一种认证和加密的示意图，在该实施例中仅传输加密密钥信息，不传输认证密钥信息。如图10所示，为本发明实施例二的再一种认证和加密的示意图，在该实施例中既传输认证密钥信息，也传输加密密钥信息。

    相对于上述实施例一，在该实施例中，还需要在加密数据单元的单元头内增加认证标志，作为本发明的具体实现方式，可通过以下语法在加密数据单元的单元头内增加两个认证标志信息和一个可选的认证密钥信息。

    {

        认证标志；

        认证密钥信息存在标志；

        如果认证密钥信息存在标志为有效，则存在

        {

            认证密钥信息长度；

            认证密钥信息；

        }

    }

    其中，认证标志表示原始数据单元RDU的单元负载是否经过认证。优选的，认证标志可以用3-bit表示，“000”表示无效，即原始数据单元RDU的单元负载未经过认证且不包含认证数据；其它非“000”值表示有效，即原始数据单元RDU的单元负载经过认证且包含认证数据，而且表明了采用的认证算法，例如，“001”表示单元负载被认证且采用认证算法A，“010”表示单元负载被认证且采用认证算法B，依此类推。认证密钥信息存在标志表示是否存在认证密钥信息。优选的，认证密钥信息存在标志可以用1-bit表示，“1”表示有效，即存在认证密钥信息；“0”表示无效，即不存在认证密钥信息。认证密钥信息长度表示其后的认证密钥信息的长度。优选的，认证密钥信息长度可以用8-bit表示，表示认证密钥信息以比特或字节为单位的长度，例如，“1000，0000”表示认证密钥信息有128个比特或128个字节。认证密钥信息包含认证密钥的全部或部分信息，其中在本发明的一个实施例中，认证密钥信息为一组按某种预设规则产生的伪随机数，它和预设密钥一起根据特定规则构成了认证密钥。优选的，认证密钥可以是编码端的唯一身份标识ID。

    步骤S605，解码端接收编码端发送的加密数据单元，并解析加密数据单元的单元头，判断单元头内的加密标志和认证标志是否有效。如果加密数据单元单元头内的加密标志和认证标志都无效，则解码端直接获得原始数据单元RDU的单元负载。如果加密数据单元的单元头内仅有加密标志有效而认证标志无效，则解码端的处理过程与实施例一相同，在此不再赘述。如果加密数据单元的单元头内仅有认证标志有效而加密标志无效，则解码端直接获取原始数据单元RDU的单元负载和认证数据，并按照解析认证标志获取的认证算法对获得的原始数据单元RDU的单元负载进行认证，判断其结果是否与编码端发送的认证数据一致，如果不一致则说明原始数据单元RDU的单元负载已被篡改，则解码端向用户报警。以下步骤将以加密数据单元单元头内的加密标志和认证标志都有效为例进行描述。

    步骤S606，解码端按照解析加密标志获取的加密算法对加密数据单元EDU的单元负载进行解密获得相应的原始数据单元RDU的单元负载及认证数据。

    步骤S607，解码端对解密获得的原始数据单元RDU的单元负载按照解析认证标志获取的认证算法进行认证处理，得到本地对比认证数据。如果认证密钥信息存在标志有效，则解码端先从原始数据单元中获取认证密钥信息，再根据获取的认证密钥信息和预定的密钥产生规则，对解密获得的原始数据单元RDU的单元负载按照解析认证标志获取的认证算法进行认证处理，得到本地对比认证数据。

    步骤S608，解码端判断得到的本地对比认证数据与获取的认证数据是否相同，如果对比认证数据与获取的认证数据不相同，则判断原始数据单元的单元负载被篡改，解码端向用户报警，提示用户该原始数据单元的单元负载已被篡改。

    实施例三，

    该实施例与上述实施例不同之处在于，该实施例中仅对原始数据单元的单元负载进行认证处理，而不进行加密处理。如图11所示，为本发明实施例三的一种认证示意图，在该图中将认证密钥信息一起传输。具体地，首先，编码端对原始数据单元RDU的单元负载进行认证处理，生成认证数据。其中，认证处理可以采用如MD5、SHA、HMAC等通用认证算法，也可以采用其它预定义的认证方式。并且编码端还需要在单元头内增加认证标志，增加的认证标志如上述实施例，在此不再赘述。同样解码端需要对传输的原始数据单元RDU的单元负载按照解析认证标志获取的认证算法进行认证处理，得到本地对比认证数据。如果认证密钥信息存在标志有效，则解码端先从原始数据单元中获取认证密钥信息，再根据获取的认证密钥信息和预定的密钥产生规则，对原始数据单元RDU的单元负载按照解析认证标志获取的认证算法进行认证处理，得到本地对比认证数据。并判断得到的本地对比认证数据与获取的认证数据是否相同，如果对比认证数据与获取的认证数据不相同，则判断原始数据单元的单元负载被篡改，解码端向用户报警，提示用户该原始数据单元的单元负载已被篡改。

    如图12所示，为本发明实施例三的另一种认证示意图，在该图中不传输认证密钥信息。

    如图13所示，为本发明实施例的监控数据加密系统的结构图，该系统包括解码端810和至少一个编码端820。编码端820用于采集监控数据，并将监控数据编码并分割封装为相应的原始数据单元RDU，原始数据单元RDU的单元负载为压缩层数据、编码参数集和报警信息中的一个或多个。以及编码端820对原始数据单元RDU的单元负载进行加密生成对应的加密数据单元EDU的单元负载，其中加密数据单元EDU的单元负载长度与原始数据单元RDU的单元负载长度相同，并将加密数据单元EDU进行封装后向解码端810发送，同时在加密数据单元EDU的单元头内设置加密标志以指示解码端810该加密数据单元EDU的单元负载被加密及加密所采用的算法。解码端810用于接收到编码端820发送的加密数据单元EDU后，解析该加密数据单元EDU的单元头，在单元头内加密标志有效时根据预设的密钥，按照解析加密标志获取的加密算法对加密数据单元EDU的单元负载进行解密，得到原始数据单元RDU的单元负载。

    作为本发明的一个实施例，在加密数据单元EDU中还包含有加密密钥信息，解码端810根据加密密钥信息和预定的密钥产生规则，按照解析加密标志获取的加密算法对加密数据单元EDU的单元负载进行解密，得到原始数据单元RDU的单元负载。

    作为本发明的一个实施例，编码端820还用于对原始数据单元RDU的单元负载进行认证处理，生成认证数据，并对原始数据单元RDU的单元负载和认证数据一同进行加密，生成对应的加密数据单元EDU的单元负载，且在对加密数据单元EDU进行封装时在加密数据单元EDU的单元头内设置认证标志。同时，解码端810还用于在编码端820对原始数据单元RDU的单元负载进行认证处理时，在对加密数据单元EDU的单元负载进行解密获得相应的原始数据单元RDU的单元负载和认证数据后，根据原始数据单元RDU内的认证数据和原始数据单元RDU的单元负载，判断解密的原始数据单元RDU的单元负载是否被篡改，如果判断解密的原始数据单元RDU的单元负载被篡改，则向用户报警。

    其中，编码端820包括数据采集模块821、编码分割模块822、加密模块823和发送模块824。数据采集模块821用于采集监控数据。编码分割模块822用于将数据采集模块821采集的监控数据编码并分割封装为相应的原始数据单元RDU。加密模块823用于对编码分割模块822得到的原始数据单元RDU的单元负载进行加密，生成对应的加密数据单元EDU的单元负载，其中加密数据单元EDU的单元负载长度与原始数据单元RDU的单元负载长度相同。发送模块824用于对加密数据单元EDU进行封装并向解码端810发送，并在加密数据单元EDU的单元头内设置加密标志以指示解码端810该加密数据单元EDU的单元负载被加密及加密所采用的算法。

    作为本发明的一个实施例，编码端820还包括认证模块825，用于对原始数据单元RDU的单元负载进行认证处理，生成认证数据。

    其中，解码端810包括接收模块811和解密模块812。接收模块811用于接收编码端820发送的加密数据单元EDU。解密模块812用于在加密数据单元EDU的单元头内的加密标志有效时，根据预设的密钥，按照解析加密标志获取的加密算法对加密数据单元EDU的单元负载进行解密，得到原始数据单元RDU的单元负载。当然，如在加密数据单元EDU中有密钥信息，则解密模块812首先获得该未加密的密钥信息，再根据预设的密钥产生规则和获得的密钥信息，按照解析加密标志获取的加密算法对加密数据单元EDU的单元负载进行解密，得到原始数据单元RDU的单元负载。

    作为本发明的一个实施例，解码端810还包括认证模块813和报警模块814。认证模块813用于根据解密模块812得到的原始数据单元RDU的单元负载和原始数据单元RDU内的认证数据判断原始数据单元RDU的单元负载是否被篡改。报警模块814用于在认证模块813判断原始数据单元RDU的单元负载被篡改时向用户报警。

    上述实施例为本发明较为优选的方案，但是根据上述方法的实施例，本领域技术人员应当明白，上述实施例中编码端也可仅具有认证模块，对原始数据进行认证，而无需包含有加密模块，同样也能够提高监控数据的安全性。不脱离本发明上述思想的类似等同变化均应保护在本发明的保护范围之内。

    本发明通过编码端对原始数据单元的加密和认证处理，能够提高数据的安全性、真实性和完整性，并且本发明通用性强，实现简单。

    尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同限定。