收藏
下载资源 加入会员免费下载

基于数字证书的视频监控数据传输方法和系统.pdf

上传人:1****2 文档编号:4324463 上传时间:2018-09-13 格式:PDF 页数:14 大小:652.53KB
返回 下载 相关 举报
摘要
申请专利号:

CN201110420171.6

 申请日:

2011.12.14
公开号:

CN102497581A

 公开日:

2012.06.13
当前法律状态:

授权

 有效性:

有权
法律详情:

授权|||实质审查的生效IPC(主分类):H04N 21/2389申请日:20111214|||公开
IPC分类号:

H04N21/2389(2011.01)I; H04N21/4405(2011.01)I; H04N21/6334(2011.01)I; H04N21/6583(2011.01)I

 主分类号:

H04N21/2389
申请人:

广州杰赛科技股份有限公司
发明人:

林凡; 黄建青
地址:

510310 广东省广州市海珠区新港中路381号31分箱
优先权:

专利代理机构:

广州三环专利代理有限公司 44202

 代理人:

郝传鑫
PDF下载: PDF下载
内容摘要

本发明公开了一种基于数字证书的视频监控数据传输方法,包括步骤:A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向视频监控服务器颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控前端颁发视频监控前端证书和视频监控前端私钥;B、视频监控前端接入到视频监控服务器,基于视频监控前端、视频监控服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使视频监控前端和视频监控服务器完成相互、双向的身份验证,以及完成视频监控前端和视频监控服务器间用于视频数据传送时保密的数据密钥的同步;C、完成相互、双向身份验证的视频监控前端和视频监控服务器利用所述数据密钥进行视频数据的保密传输。本发明还公开了一种基于数字证书的视频监控数据传输系统。

权利要求书

1: 一种基于数字证书的视频监控数据传输方法, 其特征在于包括步骤 : A、 持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向视频监 控服务器颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控前端颁发视频 监控前端证书和视频监控前端私钥 ; B、 视频监控前端接入到视频监控服务器, 基于视频监控前端、 视频监控服务器和身份 验证服务器持有的证书和对应的私钥进行身份信息验证, 使视频监控前端和视频监控服务 器完成相互、 双向的身份验证, 以及完成视频监控前端和视频监控服务器间用于视频数据 传送时保密的数据密钥的同步 ; C、 完成相互、 双向身份验证的视频监控前端和视频监控服务器利用所述数据密钥进行 视频数据的保密传输。2: 如权利要求 1 所述的视频监控数据传输方法, 其特征在于, 所述步骤 B 具体包括 : B1、 视频监控前端向视频监控服务器发送主要由所述视频监控前端证书构建的并经过 视频监控前端私钥签名的接入请求消息 ; B2、 视频监控服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证 ; 验证通过后, 向所述身份验证服务器发送主要由所述视频监控前端证书、 视频监控服务器 证书构建的并经过视频监控服务器私钥签名的身份验证请求消息 ; B3、 身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解析 和验证 ; 验证通过后获得证书验证结果, 并向所述视频监控服务器发送主要由所述证书验 证结果、 视频监控前端证书和视频监控服务器证书中提取出的身份信息构建的并经过身份 验证服务器私钥签名的身份验证响应消息 ; B4、 视频监控服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解析 和验证 ; 验证通过后, 将预先产生的身份验证密钥进行加密, 并绑定到身份验证密钥信息 中; 然后向所述视频监控前端发送主要由身份验证响应消息、 视频监控服务器证书、 身份 验证密钥密文和身份验证密钥信息构建的并经过视频监控服务器私钥签名的接入响应消 息; B5、 视频监控前端接收所述接入响应消息并对所述接入响应消息进行解析和验证 ; 验 证通过后, 利用视频监控前端私钥解密所述身份验证密钥密文, 获得身份验证密钥, 并从身 份验证密钥推导出数据密钥 ; 然后向所述视频监控服务器发送主要由视频监控前端身份、 视频监控服务器身份和身份验证密钥信息构建的接入确认消息 ; B6、 视频监控服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证 ; 验证通过后, 利用身份验证密钥推导出数据密钥。3: 如权利要求 2 所述的视频监控数据传输方法, 其特征在于 : 所述接入请求消息主要由视频监控前端产生的视频监控前端随机数、 视频监控前端信 息和视频监控前端证书组成 ; 所述身份验证请求消息主要由所述视频监控前端证书、 视频监控服务器证书、 视频监 控前端随机数和视频监控服务器产生的视频监控服务器随机数组成 ; 所述身份验证响应消息主要由所述证书验证结果、 视频监控前端证书和视频监控服务 器证书中提取出的身份信息、 视频监控前端随机数和视频监控服务器随机数组成 ; 所述接入响应消息主要由所述身份验证响应消息、 视频监控服务器证书、 身份验证密 2 钥密文和身份验证密钥信息组成 ; 所述接入确认消息主要由视频监控前端身份、 视频监控服务器身份和身份验证密钥信 息、 视频监控前端随机数和视频监控服务器随机数组成。4: 如权利要求 3 所述的视频监控数据传输方法, 其特征在于, 所述视频监控前端和视 频监控服务器在本地均缓存有身份验证服务器证书, 所述步骤 B2 具体包括 : B21、 视频监控服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证, 具体包括 : 使用视频监控前端证书公钥验证消息签名的有效性以及使用身份验证服务器 的证书公钥验证视频监控前端证书签名的有效性, 若验证失败, 则接入过程失败, 否则执行 B22 ; B22、 若验证通过, 并确定视频监控前端信息有效, 则保存视频监控前端随机数和产生 的视频监控服务器随机数 ; 并向所述身份验证服务器发送主要由所述视频监控前端证书、 视频监控服务器证书、 视频监控前端随机数和视频监控服务器随机数构建的并经过视频监 控服务器私钥签名的身份验证请求消息。5: 如权利要求 4 所述的视频监控数据传输方法, 其特征在于, 所述步骤 B3 具体包括 : B31、 身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解 析和验证, 具体包括 : 使用视频监控服务器证书公钥验证消息签名的有效性、 使用身份验证 服务器私钥验证视频监控服务器证书和视频监控前端证书签名的有效性以及通过验证视 频监控服务器和视频监控前端证书的有效期、 吊销信息、 使用用途和策略信息以判断视频 监控服务器和视频监控前端证书的有效性 ; B32、 若验证通过, 则构造视频监控服务器和视频监控前端的证书验证结果, 并向所述 视频监控服务器发送主要由所述证书验证结果、 视频监控前端身份、 视频监控服务器身份、 视频监控前端随机数和视频监控服务器随机数构建的并经过身份验证服务器私钥签名的 身份验证响应消息。6: 如权利要求 5 所述的视频监控数据传输方法, 其特征在于, 所述步骤 B4 具体包括 : B41、 视频监控服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解 析和验证, 具体包括 : 使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性 ; 判断身份验证服务器和视频监控前端的证书验证结果是否有效 ; 读取存储的视频监控服务 器、 视频监控前端随机数和身份验证响应消息中的随机数进行对比, 确定一致 ; 判断视频监 控服务器和视频监控前端身份是否相同 ; 如以上任一项验证未通过, 则接入过程失败, 否则 执行 B42 ; B42、 验证通过后, 根据视频监控服务器预先产生的身份验证密钥, 使用视频监控前端 证书公钥对身份验证密钥进行加密, 同时将密钥绑定到身份验证密钥信息中, 身份验证密 钥信息包含身份验证密钥的索引等信息 ; 然后向所述视频监控前端发送主要由身份验证响 应消息、 视频监控服务器证书、 身份验证密钥密文和身份验证密钥信息构建的并经过视频 监控服务器私钥签名的接入响应消息。7: 如权利要求 6 所述的视频监控数据传输方法, 其特征在于, 所述步骤 B5 具体包括 : B51、 视频监控前端接收所述接入响应消息并对所述接入响应消息进行解析和验证, 具 体包括 : 使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性 ; 使用视频监 控服务器证书公钥判断接入响应消息签名的有效性 ; 判断视频监控服务器和视频监控前端 3 的证书验证结果是否有效 ; 读取存储的视频监控前端随机数和接入响应消息中的随机数进 行对比, 确定一致 ; 判断视频监控服务器和视频监控前端身份是否相同 ; 如以上任一项验 证未通过, 则接入过程失败, 否则执行 B52 ; B52、 验证通过后, 利用视频监控前端私钥解密所述身份验证密钥密文, 获得身份验证 密钥, 并从身份验证密钥推导出数据密钥, 且存储所述身份验证密钥信息和数据密钥 ; 然后 向所述视频监控服务器发送主要由视频监控前端身份、 视频监控服务器身份、 身份验证密 钥信息、 视频监控前端随机数和视频监控服务器随机数构建的并附有由消息身份验证密钥 计算得到的消息鉴别码的接入确认消息。8: 如权利要求 7 所述的视频监控数据传输方法, 其特征在于, 所述步骤 B6 具体包括 : B61、 视频监控服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证, 具体包括 : 计算接入确认消息的消息鉴别码, 比较本地计算和接收到的消息鉴别码, 判断是 否一致 ; 读取存储的视频监控前端随机数和视频监控服务器随机数, 和接入确认消息中的 随机数进行对比, 确定一致 ; 判断视频监控服务器和视频监控前端身份是否相同 ; 判断身 份验证密钥信息和接入响应消息中的身份验证密钥信息是否相同 ; 如以上任一项验证未通 过, 则接入过程失败, 否则执行 B62 ; B62、 验证通过后, 利用身份验证密钥推导出数据密钥并存储。9: 如权利要求 1 所述的视频监控数据传输方法, 其特征在于, 所述步骤 C 具体包括 : C1、 视频监控前端采集到视频数据后, 并利用存储的数据密钥对视频数据进行加密, 然 后将视频数据密文发送至所述视频监控服务器 ; C2、 视频监控服务器接收所述视频数据密文后, 并利用存储的数据密钥对所述视频数 据密文进行解密, 得到可使用的视频数据明文。10: 一种基于数字证书的视频监控数据传输系统, 其特征在于包括利用网络连接进行 相互通信的身份验证服务器、 视频监控服务器和视频监控前端 ; 其中, 所述身份验证服务器 持有身份验证服务器证书和身份验证服务器私钥, 并向视频监控服务器颁发视频监控服务 器证书和视频监控服务器私钥以及向视频监控前端颁发视频监控前端证书和视频监控前 端私钥 ; 所述视频监控前端接入到视频监控服务器时, 基于视频监控前端、 视频监控服务器 和身份验证服务器持有的证书和对应的私钥进行身份信息验证, 使视频监控前端和视频监 控服务器完成相互、 双向的身份验证, 以及完成视频监控前端和视频监控服务器间用于视 频数据传送时保密的数据密钥的同步 ; 而完成相互、 双向身份验证的视频监控前端和视频 监控服务器利用所述数据密钥进行视频数据的保密传输。

说明书


基于数字证书的视频监控数据传输方法和系统

    【技术领域】
     本发明涉及视频监控领域, 尤其涉及一种基于数字证书的视频监控数据传输方法和系统。 背景技术 随着社会信息化程度的不断提高, 社会各行各业需要实施视频监控的需求大大增 加, 对远程视频监控系统的要求也日益增高。 目前, 网络视频监控系统已经能够实现对大量 视频数据实时和无地域性阻碍的传输。传统的视频监控服务, 如广泛应用于金融、 交通、 公 安、 水利和质检等行业和部门的视频监控服务, 大多都是在封闭式的局域网或专用网络中, 他们的网络没有对外开放, 基本不用考虑视频数据的安全和隐私保护。
     然而随着现代通讯技术和多媒体数据编解码技术的不断发展和完善, 监控摄像机 从模拟和数字摄像机逐渐发展成为网络摄像机。各种监控系统的网络环境也逐渐地从专 网、 局域网向互联网发展, 即监控系统逐渐从模拟和数字视频监控系统向网络监控监控系 统发展。 视频监控的服务对象也逐渐从只面向行业和企业的专业服务发展到面向个人和家
     庭等广大公众提供通用的视频监控服务。
     当前提供给个人视频监控前端的网络视频监控一般都是基于互联网的, 个人和家 庭在家中安装网络摄像机获得远程视频监控服务方便的同时, 人们也非常担心和重视视频 数据安全的问题, 担心个人隐私泄漏。因此有必要找到一种对网络视频监控的视频数据进 行有效的加密方法, 以避免人们对于隐私泄漏的担心。通过加密的方法保护视频数据的传 输安全, 视频数据即使在传输过程中被截获, 非法视频监控前端也无法解开视频信息。 发明内容 本发明实施例提出一种基于数字证书的视频监控数据传输方法和系统, 能够解决 对于目前视频监控系统中, 视频监控前端与视频监控服务器的相互、 双向的身份验证、 视频 监控前端采集的视频数据传输时的数据保密等问题。
     本发明实施例提供一种基于数字证书的视频监控数据传输方法, 包括步骤 :
     A、 持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向视 频监控服务器颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控前端颁发 视频监控前端证书和视频监控前端私钥 ;
     B、 视频监控前端接入到视频监控服务器, 基于视频监控前端、 视频监控服务器和 身份验证服务器持有的证书和对应的私钥进行身份信息验证, 使视频监控前端和视频监控 服务器完成相互、 双向的身份验证, 以及完成视频监控前端和视频监控服务器间用于视频 数据传送时保密的数据密钥的同步 ;
     C、 完成相互、 双向身份验证的视频监控前端和视频监控服务器利用所述数据密钥 进行视频数据的保密传输。
     另外, 本发明实施例还对应提供一种基于数字证书的视频监控数据传输系统, 包
     括利用网络连接进行相互通信的身份验证服务器、 视频监控服务器和视频监控前端 ; 其中, 所述身份验证服务器持有身份验证服务器证书和身份验证服务器私钥, 并向视频监控服务 器颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控前端颁发视频监控前 端证书和视频监控前端私钥 ; 所述视频监控前端接入到视频监控服务器时, 基于视频监控 前端、 视频监控服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证, 使 视频监控前端和视频监控服务器完成相互、 双向的身份验证, 以及完成视频监控前端和视 频监控服务器间用于视频数据传送时保密的数据密钥的同步 ; 而完成相互、 双向身份验证 的视频监控前端和视频监控服务器利用所述数据密钥进行视频数据的保密传输。
     实施本发明实施例, 具有如下有益效果 :
     1、 通过建立一个统一的视频监控数据传输方法和系统, 使得视频监控前端可以以 同一个身份接入到不同视频监控服务器。
     2、 视频监控前端和视频监控服务器通过身份验证服务器验证双方的身份后, 视频 监控服务器向视频监控前端分发数据密钥, 用于进行视频数据的保密传输, 避免了网络非 法入侵者截获数据并使用。
     3、 本发明赋予视频监控服务器以独立的身份, 基于视频监控服务器身份的可区分 性, 方便监管, 同时视频监控前端、 视频监控服务器、 以及身份验证服务器之间在接入过程 中的通信无需经过额外的安全信道, 节约了使用成本。 附图说明 图 1 是本发明所提供的基于数字证书的视频监控数据传输系统的结构框图。
     图 2 是本发明所提供的基于数字证书的视频监控数据传输方法的流程图。
     图 3 是图 2 所示视频监控数据传输方法中视频监控前端接入视频监控服务器的具 体流程图。
     具体实施方式
     下面将结合本发明实施例中的附图, 对本发明实施例中的技术方案进行清楚、 完 整地描述, 显然, 所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实施例。基于 本发明中的实施例, 本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例, 都属于本发明保护的范围。
     请参照图 1, 本发明的基于数字证书的视频监控服务器访问系统包括利用网络连 接进行相互通信的身份验证服务器 10、 提供视频数据访问服务的视频监控服务器 20 和视 频监控前端 30。 其中, 所述身份验证服务器 10 持有身份验证服务器证书和身份验证服务器 私钥, 并向视频监控服务器 20 颁发视频监控服务器证书和视频监控服务器私钥以及向视 频监控前端 30 颁发视频监控前端证书和视频监控前端私钥 ; 所述视频监控前端 30 接入到 视频监控服务器 20 时, 基于视频监控前端 30、 视频监控服务器 20 和身份验证服务器 10 持 有的证书和对应的私钥进行身份信息验证, 使视频监控前端 30 和视频监控服务器 20 完成 相互、 双向的身份验证, 以及完成视频监控前端 30 和视频监控服务器 20 间用于视频数据传 送时保密的数据密钥的同步 ; 而完成相互、 双向身份验证的视频监控前端 30 和视频监控服 务器 20 利用所述数据密钥进行视频数据的保密传输。较佳地, 所述视频监控前端 30 通过有线或无线网络访问视频监控服务器 20, 视频 监控服务器 20 通过专用网络或者互联网连接到管理机构的身份验证服务器 10。
     所述身份验证服务器 10 负责对视频监控服务器 20 和视频监控前端 30 的证书颁 发和状态维护、 证书验证等的管理, 具体地, 所述身份验证服务器 10 包括身份验证模块 11、 第一存储模块 12 和注册模块 13, 其中 :
     第一存储模块 12 存储身份验证服务器的证书和私钥、 视频监控服务器和视频监 控前端的注册信息等 ;
     注册模块 13 负责对视频监控前端和视频监控服务器进行注册, 发放证书和私钥 ;
     身份验证模块 11 接收视频监控服务器 20 发送的身份验证请求消息, 验证视频监 控前端 30 和视频监控服务器 20 的身份有效性, 并构建身份验证响应消息发送给视频监控 服务器 20。
     所述视频监控服务器 20 包括第一接入处理模块 21、 第二存储模块 22 及第一数据 传输模块 23, 其中 :
     第二存储模块 22 存储身份验证服务器的证书、 视频监控服务器的证书和私钥、 接 入视频监控前端的证书、 身份验证密钥、 数据密钥、 随机数、 视频数据等 ; 第一接入处理模块 21 接收并解析视频监控前端 30 的接入请求消息, 构建身份验 证请求消息发送给身份验证服务器 10, 接收并解析身份验证服务器 10 的身份验证响应消 息, 构建接入响应消息, 接收并解析接入确认消息, 使用身份验证密钥推导出数据密钥 ;
     第一数据传输模块 23 负责从第二存储模块 22 中读取数据密钥, 解密第二数据传 输模块 33 发来的视频数据密文。
     所述视频监控前端 30 包括第二接入处理模块 31、 第三存储模块 32、 第二数据传输 模块 33 以及视频数据采集模块 34。其中,
     第三存储模块 32 存储身份验证服务器的证书、 视频监控前端的证书和私钥、 视频 监控服务器的证书、 身份验证密钥、 数据密钥、 随机数、 视频数据等 ;
     第二接入处理模块 31 在视频监控前端 30 接入系统时, 向视频监控服务器 20 发起 接入请求消息, 接收并解析视频监控服务器 20 的接入响应消息, 构建接入确认消息发送给 视频监控服务器 20, 使用身份验证密钥推导出数据密钥 ;
     第二数据传输模块 33 负责从第三存储模块 32 中读取数据密钥, 加密发送给第一 数据传输模块 23 的视频数据密文。
     视频数据采集模块 34 负责采集视频数据, 并传送给第二数据传输模块 33 进行加 密传输。
     下面, 结合图 2 和图 3, 对本发明提供的基于数字证书的视频监控数据传输方法进 行详细的描述。本发明所提供的基于数字证书的视频监控数据传输方法, 适用于基于数字 证书的视频监控数据传输系统中, 其中该视频监控数据传输系统包括利用网络连接进行相 互通信的身份验证服务器 10、 提供视频数据访问服务的视频监控服务器 20 和视频监控前 端 30, 本发明的基于数字证书的视频监控数据传输方法包括步骤 :
     S101、 持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器 10 分 别向视频监控服务器 20 颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控 前端 30 颁发视频监控前端证书和视频监控前端私钥 ;
     S102、 视频监控前端 30 接入到提供视频数据访问服务的视频监控服务器 20, 基于 视频监控前端 30、 视频监控服务器 20 和身份验证服务器 10 持有的证书和对应的私钥进行 身份信息验证, 使视频监控前端 30 和视频监控服务器 20 完成相互、 双向的身份验证, 以及 完成视频监控前端 30 和视频监控服务器 20 间用于视频数据传送时保密的数据密钥的同 步;
     S103、 完成相互、 双向身份验证的视频监控前端 30 和视频监控服务器 20 利用所述 数据密钥进行视频数据的保密传输。
     其中, 在步骤 S101 中, 实现的是由身份验证服务器 10 对视频监控前端 30 和视频 监控服务器 20 进行注册和颁发数字证书的过程。身份验证服务器 10 本地持有一个身份验 证服务器证书, 身份验证服务器证书的私钥用于对颁发视频监控服务器 20、 视频监控前端 30 的证书进行签名, 并维护证书的有效性等相关信息。 当一个视频监控服务器 20 接入到系 统中时, 需要向身份验证服务器 10 申请颁发一个视频监控服务器证书和对应的私钥, 并且 在本地缓存身份验证服务器证书。视频监控前端 30 接入到视频监控服务器系统中时, 同样 需要身份验证服务器 10 颁发一个视频监控前端证书和对应的私钥, 并在本地缓存身份验 证服务器证书。视频监控服务器 20 和视频监控前端 30 使用证书代表各自的身份。而身份 验证服务器 10 的注册模块 13 负责对视频监控前端 30 和视频监控服务器 20 进行注册, 发 放证书和私钥。身份验证服务器的证书和私钥、 视频监控服务器和视频监控前端的注册信 息等存储在第一存储模块 12 中。 在步骤 S102 中, 主要是完成视频监控前端接入到提供视频数据访问服务的视频 监控服务器的过程, 以实现视频监控前端和视频监控服务器完成相互、 双向的身份验证, 以 及完成视频监控前端和视频监控服务器间用于视频数据传送时保密的数据密钥的同步 ; 具 体包括 :
     S1021 : 视频监控前端 30 向视频监控服务器 20 发送主要由所述视频监控前端证书 构建的并经过视频监控前端私钥签名的接入请求消息 ;
     在该步骤中, 视频监控前端 30 开始接入到视频监控服务器系统时, 由第二接入处 理模块 31 产生一个视频监控前端随机数, 将视频监控前端信息, 视频监控前端证书和视频 监控前端随机数等字段组成接入请求消息, 并使用视频监控前端私钥对消息进行签名后发 送接入请求消息给需要提供视频数据访问服务的视频监控服务器 20。
     S1022 : 视频监控服务器 20 接收所述接入请求消息并对所述接入请求消息进行解 析和验证 ; 验证通过后, 向所述身份验证服务器 10 发送主要由所述视频监控前端证书、 视 频监控服务器证书构建的并经过视频监控服务器私钥签名的身份验证请求消息 ;
     在该步骤中, 具体地, 当视频监控服务器 20 的第一接入处理模块 21 接收到第二接 入处理模块 31 发送接入请求消息后, 进行如下处理 :
     a) 视频监控服务器接收所述接入请求消息并对所述接入请求消息进行解析和验 证, 具体包括 : 使用视频监控前端证书公钥验证消息签名的有效性 ; 从第二存储模块 22 中 读取身份验证服务器证书, 使用身份验证服务器的证书公钥验证视频监控前端证书签名的 有效性, 若验证失败, 则接入过程失败, 否则执行 b) ;
     b) 若验证通过, 并确定视频监控前端信息有效, 则在第二存储模块 22 中保存视频 监控前端随机数和产生的视频监控服务器随机数 ; 然后向所述身份验证服务器 10 发送主
     要由所述视频监控前端证书、 视频监控服务器证书、 视频监控前端随机数和视频监控服务 器随机数构建的并经过视频监控服务器私钥签名的身份验证请求消息。
     S1023 : 身份验证服务器 10 接收所述身份验证请求消息并对所述身份验证请求消 息进行解析和验证 ; 验证通过后获得证书验证结果, 并向所述视频监控服务器 20 发送主要 由所述证书验证结果、 视频监控前端证书和视频监控服务器证书中提取出的身份信息构建 的并经过身份验证服务器私钥签名的身份验证响应消息 ;
     在该步骤中, 具体地, 身份验证服务器 10 的身份验证模块 11 收到视频监控服务器 20 发来的身份验证请求消息后, 进行如下处理 :
     a) 身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行 解析和验证, 具体包括 : 使用视频监控服务器证书公钥验证消息签名的有效性 ; 从第一存 储模块 12 中读取身份验证服务器私钥, 使用身份验证服务器私钥验证视频监控服务器证 书和视频监控前端证书签名的有效性 ; 以及通过验证视频监控服务器和视频监控前端证书 的有效期、 吊销信息、 使用用途和策略信息以判断视频监控服务器和视频监控前端证书的 有效性 ;
     b) 若验证通过, 则构造视频监控服务器和视频监控前端的证书验证结果, 并向所 述视频监控服务器发送主要由所述证书验证结果、 视频监控前端和视频监控服务器身份从 证书中提取出的证书持有者, 证书颁发者, 证书序列号等的组合信息 )、 视频监控前端随机 数和视频监控服务器随机数构建的并经过身份验证服务器私钥签名的身份验证响应消息。 S1024 : 视频监控服务器 20 接收所述身份验证响应消息并对所述身份验证响应消 息进行解析和验证 ; 验证通过后, 将预先产生的身份验证密钥进行加密, 并绑定到身份验证 密钥信息中 ; 然后向所述视频监控前端 30 发送主要由身份验证响应消息、 视频监控服务器 证书、 身份验证密钥密文和身份验证密钥信息构建的并经过视频监控服务器私钥签名的接 入响应消息 ;
     在该步骤中, 视频监控服务器 20 的第一接入处理模块 21 收到身份验证服务器 10 的身份验证响应消息后, 进行如下处理 :
     a) 视频监控服务器接收所述身份验证响应消息并对所述身份验证响应消息进行 解析和验证, 具体包括 : 从第二存储模块 22 中读取身份验证服务器证书, 使用身份验证服 务器证书公钥判断身份验证响应消息签名的有效性 ; 判断身份验证服务器和视频监控前端 的证书验证结果是否有效 ; 读取第二存储模块 22 中的视频监控服务器、 视频监控前端的随 机数和身份验证响应消息中的随机数进行对比, 确定一致 ; 判断视频监控服务器和视频监 控前端身份是否相同 ; 如以上任一项验证未通过, 则接入过程失败, 否则执行 b) ;
     b) 验证通过后, 根据视频监控服务器预先产生的身份验证密钥, 使用视频监控前 端证书公钥对身份验证密钥进行加密, 同时将密钥绑定到身份验证密钥信息中, 身份验证 密钥信息包含身份验证密钥的索引等信息 ; 然后向所述视频监控前端发送主要由身份验证 响应消息、 视频监控服务器证书、 身份验证密钥密文和身份验证密钥信息构建的并经过视 频监控服务器私钥签名的接入响应消息。
     S1025 : 视频监控前端 30 接收所述接入响应消息并对所述接入响应消息进行解析 和验证 ; 验证通过后, 利用视频监控前端私钥解密所述身份验证密钥密文, 获得身份验证密 钥, 并从身份验证密钥推导出数据密钥 ; 然后向所述视频监控服务器 20 发送主要由视频监
     控前端身份、 视频监控服务器身份和身份验证密钥信息构建的接入确认消息 ;
     在该步骤中, 视频监控前端 30 的第二接入处理模块 31 收到接入响应消息后, 进行 如下处理 :
     a) 视频监控前端 30 接收所述接入响应消息并对所述接入响应消息进行解析和验 证, 具体包括 : 从第三存储模块 32 中读取身份验证服务器证书, 使用身份验证服务器证书 公钥判断身份验证响应消息签名的有效性 ; 使用视频监控服务器证书公钥判断接入响应消 息签名的有效性 ; 判断视频监控服务器和视频监控前端的证书验证结果是否有效 ; 读取从 第三存储模块 32 中的视频监控前端随机数和接入响应消息中的随机数进行对比, 确定一 致; 判断视频监控服务器和视频监控前端身份是否相同 ; 如以上任一项验证未通过, 则接 入过程失败, 否则执行 b) ;
     b) 验证通过后, 从第三存储模块 32 中读取视频监控前端私钥, 利用视频监控前端 私钥解密所述身份验证密钥密文, 获得身份验证密钥, 并从身份验证密钥推导出数据密钥, 且在第三存储模块 32 中存储所述身份验证密钥信息和数据密钥 ; 然后向所述视频监控服 务器 20 发送主要由视频监控前端身份、 视频监控服务器身份、 身份验证密钥信息、 视频监 控前端随机数和视频监控服务器随机数构建的接入确认消息, 并使用身份验证密钥计算得 到消息鉴别码附在接入确认消息后。
     S1026 : 视频监控服务器接收所述接入确认消息并对所述接入确认消息进行解析 和验证 ; 验证通过后, 利用身份验证密钥推导出数据密钥。
     在该步骤中, 视频监控服务器 20 的第一接入处理模块 21 收到视频监控前端 30 的 接入确认消息后, 进行如下处理 :
     a) 视频监控服务器接收所述接入确认消息并对所述接入确认消息进行解析和验 证, 具体包括 : 计算接入确认消息的消息鉴别码, 比较本地计算和接收到的消息鉴别码, 判 断是否一致 ; 读取第二存储模块 22 存储的视频监控前端随机数和视频监控服务器随机数, 和接入确认消息中的随机数进行对比, 确定一致 ; 判断视频监控服务器和视频监控前端身 份是否相同 ; 判断身份验证密钥信息和接入响应消息中的身份验证密钥信息是否相同 ; 如 以上任一项验证未通过, 则接入过程失败, 否则执行 b) ;
     b) 验证通过后, 利用身份验证密钥推导出数据密钥并存储到第二存储模块 22 中。
     至此, 视频监控前端 30 成功接入至视频监控服务器 20, 完成了双向、 相互的身份 验证, 同时完成视频监控前端 30 和视频监控服务器 20 间用于视频数据传送时保密的数据 密钥的同步。
     视频监控服务器 20 和视频监控前端 30 完成双向相互的身份验证和数据密钥同步 后, 即可进行视频数据的保密传输, 即进行步骤 S103, 在该步骤中, 具体地, 例如 :
     视频监控前端 30 的视频数据采集模块 34 采集到视频数据后, 发送至第二数据传 输模块 33, 并从读取第三存储模块 32 中的数据密钥对视频数据进行加密, 然后将视频数据 密文通过第一传输模块 23 发送至视频监控服务器。
     视频监控服务器 20 的第一数据传输模块 23 收到视频数据密文后, 读取第二存储 模块 22 的数据密钥, 对视频数据密文进行解密, 即得到可使用的视频数据明文。
     以上所述是本发明的优选实施方式, 应当指出, 对于本技术领域的普通技术人员 来说, 在不脱离本发明原理的前提下, 还可以做出若干改进和润饰, 这些改进和润饰也视为本发明的保护范围。

基于数字证书的视频监控数据传输方法和系统.pdf_第1页
第1页 / 共14页
基于数字证书的视频监控数据传输方法和系统.pdf_第2页
第2页 / 共14页
基于数字证书的视频监控数据传输方法和系统.pdf_第3页
第3页 / 共14页
点击查看更多>>
资源描述

《基于数字证书的视频监控数据传输方法和系统.pdf》由会员分享,可在线阅读,更多相关《基于数字证书的视频监控数据传输方法和系统.pdf(14页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 102497581 A (43)申请公布日 2012.06.13 C N 1 0 2 4 9 7 5 8 1 A *CN102497581A* (21)申请号 201110420171.6 (22)申请日 2011.12.14 H04N 21/2389(2011.01) H04N 21/4405(2011.01) H04N 21/6334(2011.01) H04N 21/6583(2011.01) (71)申请人广州杰赛科技股份有限公司 地址 510310 广东省广州市海珠区新港中路 381号31分箱 (72)发明人林凡 黄建青 (74)专利代理机构广州三环专利代理。

2、有限公司 44202 代理人郝传鑫 (54) 发明名称 基于数字证书的视频监控数据传输方法和系 统 (57) 摘要 本发明公开了一种基于数字证书的视频监控 数据传输方法,包括步骤:A、持有身份验证服务 器证书和身份验证服务器私钥的身份验证服务器 分别向视频监控服务器颁发视频监控服务器证书 和视频监控服务器私钥以及向视频监控前端颁发 视频监控前端证书和视频监控前端私钥;B、视频 监控前端接入到视频监控服务器,基于视频监控 前端、视频监控服务器和身份验证服务器持有的 证书和对应的私钥进行身份信息验证,使视频监 控前端和视频监控服务器完成相互、双向的身份 验证,以及完成视频监控前端和视频监控服务器 。

3、间用于视频数据传送时保密的数据密钥的同步; C、完成相互、双向身份验证的视频监控前端和视 频监控服务器利用所述数据密钥进行视频数据的 保密传输。本发明还公开了一种基于数字证书的 视频监控数据传输系统。 (51)Int.Cl. 权利要求书3页 说明书7页 附图3页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 3 页 说明书 7 页 附图 3 页 1/3页 2 1.一种基于数字证书的视频监控数据传输方法,其特征在于包括步骤: A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向视频监 控服务器颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控前端颁。

4、发视频 监控前端证书和视频监控前端私钥; B、视频监控前端接入到视频监控服务器,基于视频监控前端、视频监控服务器和身份 验证服务器持有的证书和对应的私钥进行身份信息验证,使视频监控前端和视频监控服务 器完成相互、双向的身份验证,以及完成视频监控前端和视频监控服务器间用于视频数据 传送时保密的数据密钥的同步; C、完成相互、双向身份验证的视频监控前端和视频监控服务器利用所述数据密钥进行 视频数据的保密传输。 2.如权利要求1所述的视频监控数据传输方法,其特征在于,所述步骤B具体包括: B1、视频监控前端向视频监控服务器发送主要由所述视频监控前端证书构建的并经过 视频监控前端私钥签名的接入请求消息。

5、; B2、视频监控服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证; 验证通过后,向所述身份验证服务器发送主要由所述视频监控前端证书、视频监控服务器 证书构建的并经过视频监控服务器私钥签名的身份验证请求消息; B3、身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解析 和验证;验证通过后获得证书验证结果,并向所述视频监控服务器发送主要由所述证书验 证结果、视频监控前端证书和视频监控服务器证书中提取出的身份信息构建的并经过身份 验证服务器私钥签名的身份验证响应消息; B4、视频监控服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解析 和验证;验证通过后,将。

6、预先产生的身份验证密钥进行加密,并绑定到身份验证密钥信息 中;然后向所述视频监控前端发送主要由身份验证响应消息、视频监控服务器证书、身份 验证密钥密文和身份验证密钥信息构建的并经过视频监控服务器私钥签名的接入响应消 息; B5、视频监控前端接收所述接入响应消息并对所述接入响应消息进行解析和验证;验 证通过后,利用视频监控前端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身 份验证密钥推导出数据密钥;然后向所述视频监控服务器发送主要由视频监控前端身份、 视频监控服务器身份和身份验证密钥信息构建的接入确认消息; B6、视频监控服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证; 验。

7、证通过后,利用身份验证密钥推导出数据密钥。 3.如权利要求2所述的视频监控数据传输方法,其特征在于: 所述接入请求消息主要由视频监控前端产生的视频监控前端随机数、视频监控前端信 息和视频监控前端证书组成; 所述身份验证请求消息主要由所述视频监控前端证书、视频监控服务器证书、视频监 控前端随机数和视频监控服务器产生的视频监控服务器随机数组成; 所述身份验证响应消息主要由所述证书验证结果、视频监控前端证书和视频监控服务 器证书中提取出的身份信息、视频监控前端随机数和视频监控服务器随机数组成; 所述接入响应消息主要由所述身份验证响应消息、视频监控服务器证书、身份验证密 权 利 要 求 书CN 102。

8、497581 A 2/3页 3 钥密文和身份验证密钥信息组成; 所述接入确认消息主要由视频监控前端身份、视频监控服务器身份和身份验证密钥信 息、视频监控前端随机数和视频监控服务器随机数组成。 4.如权利要求3所述的视频监控数据传输方法,其特征在于,所述视频监控前端和视 频监控服务器在本地均缓存有身份验证服务器证书,所述步骤B2具体包括: B21、视频监控服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证, 具体包括:使用视频监控前端证书公钥验证消息签名的有效性以及使用身份验证服务器 的证书公钥验证视频监控前端证书签名的有效性,若验证失败,则接入过程失败,否则执行 B22; B22、若。

9、验证通过,并确定视频监控前端信息有效,则保存视频监控前端随机数和产生 的视频监控服务器随机数;并向所述身份验证服务器发送主要由所述视频监控前端证书、 视频监控服务器证书、视频监控前端随机数和视频监控服务器随机数构建的并经过视频监 控服务器私钥签名的身份验证请求消息。 5.如权利要求4所述的视频监控数据传输方法,其特征在于,所述步骤B3具体包括: B31、身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解 析和验证,具体包括:使用视频监控服务器证书公钥验证消息签名的有效性、使用身份验证 服务器私钥验证视频监控服务器证书和视频监控前端证书签名的有效性以及通过验证视 频监控服务器和。

10、视频监控前端证书的有效期、吊销信息、使用用途和策略信息以判断视频 监控服务器和视频监控前端证书的有效性; B32、若验证通过,则构造视频监控服务器和视频监控前端的证书验证结果,并向所述 视频监控服务器发送主要由所述证书验证结果、视频监控前端身份、视频监控服务器身份、 视频监控前端随机数和视频监控服务器随机数构建的并经过身份验证服务器私钥签名的 身份验证响应消息。 6.如权利要求5所述的视频监控数据传输方法,其特征在于,所述步骤B4具体包括: B41、视频监控服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解 析和验证,具体包括:使用身份验证服务器证书公钥判断身份验证响应消息签名的有效。

11、性; 判断身份验证服务器和视频监控前端的证书验证结果是否有效;读取存储的视频监控服务 器、视频监控前端随机数和身份验证响应消息中的随机数进行对比,确定一致;判断视频监 控服务器和视频监控前端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则 执行B42; B42、验证通过后,根据视频监控服务器预先产生的身份验证密钥,使用视频监控前端 证书公钥对身份验证密钥进行加密,同时将密钥绑定到身份验证密钥信息中,身份验证密 钥信息包含身份验证密钥的索引等信息;然后向所述视频监控前端发送主要由身份验证响 应消息、视频监控服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过视频 监控服务器私钥签。

12、名的接入响应消息。 7.如权利要求6所述的视频监控数据传输方法,其特征在于,所述步骤B5具体包括: B51、视频监控前端接收所述接入响应消息并对所述接入响应消息进行解析和验证,具 体包括:使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;使用视频监 控服务器证书公钥判断接入响应消息签名的有效性;判断视频监控服务器和视频监控前端 权 利 要 求 书CN 102497581 A 3/3页 4 的证书验证结果是否有效;读取存储的视频监控前端随机数和接入响应消息中的随机数进 行对比,确定一致;判断视频监控服务器和视频监控前端身份是否相同;如以上任一项验 证未通过,则接入过程失败,否则执行B5。

13、2; B52、验证通过后,利用视频监控前端私钥解密所述身份验证密钥密文,获得身份验证 密钥,并从身份验证密钥推导出数据密钥,且存储所述身份验证密钥信息和数据密钥;然后 向所述视频监控服务器发送主要由视频监控前端身份、视频监控服务器身份、身份验证密 钥信息、视频监控前端随机数和视频监控服务器随机数构建的并附有由消息身份验证密钥 计算得到的消息鉴别码的接入确认消息。 8.如权利要求7所述的视频监控数据传输方法,其特征在于,所述步骤B6具体包括: B61、视频监控服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证, 具体包括:计算接入确认消息的消息鉴别码,比较本地计算和接收到的消息鉴别码,。

14、判断是 否一致;读取存储的视频监控前端随机数和视频监控服务器随机数,和接入确认消息中的 随机数进行对比,确定一致;判断视频监控服务器和视频监控前端身份是否相同;判断身 份验证密钥信息和接入响应消息中的身份验证密钥信息是否相同;如以上任一项验证未通 过,则接入过程失败,否则执行B62; B62、验证通过后,利用身份验证密钥推导出数据密钥并存储。 9.如权利要求1所述的视频监控数据传输方法,其特征在于,所述步骤C具体包括: C1、视频监控前端采集到视频数据后,并利用存储的数据密钥对视频数据进行加密,然 后将视频数据密文发送至所述视频监控服务器; C2、视频监控服务器接收所述视频数据密文后,并利用存。

15、储的数据密钥对所述视频数 据密文进行解密,得到可使用的视频数据明文。 10.一种基于数字证书的视频监控数据传输系统,其特征在于包括利用网络连接进行 相互通信的身份验证服务器、视频监控服务器和视频监控前端;其中,所述身份验证服务器 持有身份验证服务器证书和身份验证服务器私钥,并向视频监控服务器颁发视频监控服务 器证书和视频监控服务器私钥以及向视频监控前端颁发视频监控前端证书和视频监控前 端私钥;所述视频监控前端接入到视频监控服务器时,基于视频监控前端、视频监控服务器 和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使视频监控前端和视频监 控服务器完成相互、双向的身份验证,以及完成视频监控。

16、前端和视频监控服务器间用于视 频数据传送时保密的数据密钥的同步;而完成相互、双向身份验证的视频监控前端和视频 监控服务器利用所述数据密钥进行视频数据的保密传输。 权 利 要 求 书CN 102497581 A 1/7页 5 基于数字证书的视频监控数据传输方法和系统 技术领域 0001 本发明涉及视频监控领域,尤其涉及一种基于数字证书的视频监控数据传输方法 和系统。 背景技术 0002 随着社会信息化程度的不断提高,社会各行各业需要实施视频监控的需求大大增 加,对远程视频监控系统的要求也日益增高。目前,网络视频监控系统已经能够实现对大量 视频数据实时和无地域性阻碍的传输。传统的视频监控服务,如广。

17、泛应用于金融、交通、公 安、水利和质检等行业和部门的视频监控服务,大多都是在封闭式的局域网或专用网络中, 他们的网络没有对外开放,基本不用考虑视频数据的安全和隐私保护。 0003 然而随着现代通讯技术和多媒体数据编解码技术的不断发展和完善,监控摄像机 从模拟和数字摄像机逐渐发展成为网络摄像机。各种监控系统的网络环境也逐渐地从专 网、局域网向互联网发展,即监控系统逐渐从模拟和数字视频监控系统向网络监控监控系 统发展。视频监控的服务对象也逐渐从只面向行业和企业的专业服务发展到面向个人和家 庭等广大公众提供通用的视频监控服务。 0004 当前提供给个人视频监控前端的网络视频监控一般都是基于互联网的,。

18、个人和家 庭在家中安装网络摄像机获得远程视频监控服务方便的同时,人们也非常担心和重视视频 数据安全的问题,担心个人隐私泄漏。因此有必要找到一种对网络视频监控的视频数据进 行有效的加密方法,以避免人们对于隐私泄漏的担心。通过加密的方法保护视频数据的传 输安全,视频数据即使在传输过程中被截获,非法视频监控前端也无法解开视频信息。 发明内容 0005 本发明实施例提出一种基于数字证书的视频监控数据传输方法和系统,能够解决 对于目前视频监控系统中,视频监控前端与视频监控服务器的相互、双向的身份验证、视频 监控前端采集的视频数据传输时的数据保密等问题。 0006 本发明实施例提供一种基于数字证书的视频监。

19、控数据传输方法,包括步骤: 0007 A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向视 频监控服务器颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控前端颁发 视频监控前端证书和视频监控前端私钥; 0008 B、视频监控前端接入到视频监控服务器,基于视频监控前端、视频监控服务器和 身份验证服务器持有的证书和对应的私钥进行身份信息验证,使视频监控前端和视频监控 服务器完成相互、双向的身份验证,以及完成视频监控前端和视频监控服务器间用于视频 数据传送时保密的数据密钥的同步; 0009 C、完成相互、双向身份验证的视频监控前端和视频监控服务器利用所述数据密钥 进行视频数据。

20、的保密传输。 0010 另外,本发明实施例还对应提供一种基于数字证书的视频监控数据传输系统,包 说 明 书CN 102497581 A 2/7页 6 括利用网络连接进行相互通信的身份验证服务器、视频监控服务器和视频监控前端;其中, 所述身份验证服务器持有身份验证服务器证书和身份验证服务器私钥,并向视频监控服务 器颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控前端颁发视频监控前 端证书和视频监控前端私钥;所述视频监控前端接入到视频监控服务器时,基于视频监控 前端、视频监控服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使 视频监控前端和视频监控服务器完成相互、双向的身份验。

21、证,以及完成视频监控前端和视 频监控服务器间用于视频数据传送时保密的数据密钥的同步;而完成相互、双向身份验证 的视频监控前端和视频监控服务器利用所述数据密钥进行视频数据的保密传输。 0011 实施本发明实施例,具有如下有益效果: 0012 1、通过建立一个统一的视频监控数据传输方法和系统,使得视频监控前端可以以 同一个身份接入到不同视频监控服务器。 0013 2、视频监控前端和视频监控服务器通过身份验证服务器验证双方的身份后,视频 监控服务器向视频监控前端分发数据密钥,用于进行视频数据的保密传输,避免了网络非 法入侵者截获数据并使用。 0014 3、本发明赋予视频监控服务器以独立的身份,基于视。

22、频监控服务器身份的可区分 性,方便监管,同时视频监控前端、视频监控服务器、以及身份验证服务器之间在接入过程 中的通信无需经过额外的安全信道,节约了使用成本。 附图说明 0015 图1是本发明所提供的基于数字证书的视频监控数据传输系统的结构框图。 0016 图2是本发明所提供的基于数字证书的视频监控数据传输方法的流程图。 0017 图3是图2所示视频监控数据传输方法中视频监控前端接入视频监控服务器的具 体流程图。 具体实施方式 0018 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明。

23、中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。 0019 请参照图1,本发明的基于数字证书的视频监控服务器访问系统包括利用网络连 接进行相互通信的身份验证服务器10、提供视频数据访问服务的视频监控服务器20和视 频监控前端30。其中,所述身份验证服务器10持有身份验证服务器证书和身份验证服务器 私钥,并向视频监控服务器20颁发视频监控服务器证书和视频监控服务器私钥以及向视 频监控前端30颁发视频监控前端证书和视频监控前端私钥;所述视频监控前端30接入到 视频监控服务器20时,基于视频监控前端30、视频监控服务器20和身份验证服务器10。

24、持 有的证书和对应的私钥进行身份信息验证,使视频监控前端30和视频监控服务器20完成 相互、双向的身份验证,以及完成视频监控前端30和视频监控服务器20间用于视频数据传 送时保密的数据密钥的同步;而完成相互、双向身份验证的视频监控前端30和视频监控服 务器20利用所述数据密钥进行视频数据的保密传输。 说 明 书CN 102497581 A 3/7页 7 0020 较佳地,所述视频监控前端30通过有线或无线网络访问视频监控服务器20,视频 监控服务器20通过专用网络或者互联网连接到管理机构的身份验证服务器10。 0021 所述身份验证服务器10负责对视频监控服务器20和视频监控前端30的证书颁 。

25、发和状态维护、证书验证等的管理,具体地,所述身份验证服务器10包括身份验证模块11、 第一存储模块12和注册模块13,其中: 0022 第一存储模块12存储身份验证服务器的证书和私钥、视频监控服务器和视频监 控前端的注册信息等; 0023 注册模块13负责对视频监控前端和视频监控服务器进行注册,发放证书和私钥; 0024 身份验证模块11接收视频监控服务器20发送的身份验证请求消息,验证视频监 控前端30和视频监控服务器20的身份有效性,并构建身份验证响应消息发送给视频监控 服务器20。 0025 所述视频监控服务器20包括第一接入处理模块21、第二存储模块22及第一数据 传输模块23,其中:。

26、 0026 第二存储模块22存储身份验证服务器的证书、视频监控服务器的证书和私钥、接 入视频监控前端的证书、身份验证密钥、数据密钥、随机数、视频数据等; 0027 第一接入处理模块21接收并解析视频监控前端30的接入请求消息,构建身份验 证请求消息发送给身份验证服务器10,接收并解析身份验证服务器10的身份验证响应消 息,构建接入响应消息,接收并解析接入确认消息,使用身份验证密钥推导出数据密钥; 0028 第一数据传输模块23负责从第二存储模块22中读取数据密钥,解密第二数据传 输模块33发来的视频数据密文。 0029 所述视频监控前端30包括第二接入处理模块31、第三存储模块32、第二数据传。

27、输 模块33以及视频数据采集模块34。其中, 0030 第三存储模块32存储身份验证服务器的证书、视频监控前端的证书和私钥、视频 监控服务器的证书、身份验证密钥、数据密钥、随机数、视频数据等; 0031 第二接入处理模块31在视频监控前端30接入系统时,向视频监控服务器20发起 接入请求消息,接收并解析视频监控服务器20的接入响应消息,构建接入确认消息发送给 视频监控服务器20,使用身份验证密钥推导出数据密钥; 0032 第二数据传输模块33负责从第三存储模块32中读取数据密钥,加密发送给第一 数据传输模块23的视频数据密文。 0033 视频数据采集模块34负责采集视频数据,并传送给第二数据传。

28、输模块33进行加 密传输。 0034 下面,结合图2和图3,对本发明提供的基于数字证书的视频监控数据传输方法进 行详细的描述。本发明所提供的基于数字证书的视频监控数据传输方法,适用于基于数字 证书的视频监控数据传输系统中,其中该视频监控数据传输系统包括利用网络连接进行相 互通信的身份验证服务器10、提供视频数据访问服务的视频监控服务器20和视频监控前 端30,本发明的基于数字证书的视频监控数据传输方法包括步骤: 0035 S101、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器10分 别向视频监控服务器20颁发视频监控服务器证书和视频监控服务器私钥以及向视频监控 前端30颁发视频监。

29、控前端证书和视频监控前端私钥; 说 明 书CN 102497581 A 4/7页 8 0036 S102、视频监控前端30接入到提供视频数据访问服务的视频监控服务器20,基于 视频监控前端30、视频监控服务器20和身份验证服务器10持有的证书和对应的私钥进行 身份信息验证,使视频监控前端30和视频监控服务器20完成相互、双向的身份验证,以及 完成视频监控前端30和视频监控服务器20间用于视频数据传送时保密的数据密钥的同 步; 0037 S103、完成相互、双向身份验证的视频监控前端30和视频监控服务器20利用所述 数据密钥进行视频数据的保密传输。 0038 其中,在步骤S101中,实现的是由身。

30、份验证服务器10对视频监控前端30和视频 监控服务器20进行注册和颁发数字证书的过程。身份验证服务器10本地持有一个身份验 证服务器证书,身份验证服务器证书的私钥用于对颁发视频监控服务器20、视频监控前端 30的证书进行签名,并维护证书的有效性等相关信息。当一个视频监控服务器20接入到系 统中时,需要向身份验证服务器10申请颁发一个视频监控服务器证书和对应的私钥,并且 在本地缓存身份验证服务器证书。视频监控前端30接入到视频监控服务器系统中时,同样 需要身份验证服务器10颁发一个视频监控前端证书和对应的私钥,并在本地缓存身份验 证服务器证书。视频监控服务器20和视频监控前端30使用证书代表各自。

31、的身份。而身份 验证服务器10的注册模块13负责对视频监控前端30和视频监控服务器20进行注册,发 放证书和私钥。身份验证服务器的证书和私钥、视频监控服务器和视频监控前端的注册信 息等存储在第一存储模块12中。 0039 在步骤S102中,主要是完成视频监控前端接入到提供视频数据访问服务的视频 监控服务器的过程,以实现视频监控前端和视频监控服务器完成相互、双向的身份验证,以 及完成视频监控前端和视频监控服务器间用于视频数据传送时保密的数据密钥的同步;具 体包括: 0040 S1021:视频监控前端30向视频监控服务器20发送主要由所述视频监控前端证书 构建的并经过视频监控前端私钥签名的接入请求。

32、消息; 0041 在该步骤中,视频监控前端30开始接入到视频监控服务器系统时,由第二接入处 理模块31产生一个视频监控前端随机数,将视频监控前端信息,视频监控前端证书和视频 监控前端随机数等字段组成接入请求消息,并使用视频监控前端私钥对消息进行签名后发 送接入请求消息给需要提供视频数据访问服务的视频监控服务器20。 0042 S1022:视频监控服务器20接收所述接入请求消息并对所述接入请求消息进行解 析和验证;验证通过后,向所述身份验证服务器10发送主要由所述视频监控前端证书、视 频监控服务器证书构建的并经过视频监控服务器私钥签名的身份验证请求消息; 0043 在该步骤中,具体地,当视频监控。

33、服务器20的第一接入处理模块21接收到第二接 入处理模块31发送接入请求消息后,进行如下处理: 0044 a)视频监控服务器接收所述接入请求消息并对所述接入请求消息进行解析和验 证,具体包括:使用视频监控前端证书公钥验证消息签名的有效性;从第二存储模块22中 读取身份验证服务器证书,使用身份验证服务器的证书公钥验证视频监控前端证书签名的 有效性,若验证失败,则接入过程失败,否则执行b); 0045 b)若验证通过,并确定视频监控前端信息有效,则在第二存储模块22中保存视频 监控前端随机数和产生的视频监控服务器随机数;然后向所述身份验证服务器10发送主 说 明 书CN 102497581 A 5。

34、/7页 9 要由所述视频监控前端证书、视频监控服务器证书、视频监控前端随机数和视频监控服务 器随机数构建的并经过视频监控服务器私钥签名的身份验证请求消息。 0046 S1023:身份验证服务器10接收所述身份验证请求消息并对所述身份验证请求消 息进行解析和验证;验证通过后获得证书验证结果,并向所述视频监控服务器20发送主要 由所述证书验证结果、视频监控前端证书和视频监控服务器证书中提取出的身份信息构建 的并经过身份验证服务器私钥签名的身份验证响应消息; 0047 在该步骤中,具体地,身份验证服务器10的身份验证模块11收到视频监控服务器 20发来的身份验证请求消息后,进行如下处理: 0048 。

35、a)身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行 解析和验证,具体包括:使用视频监控服务器证书公钥验证消息签名的有效性;从第一存 储模块12中读取身份验证服务器私钥,使用身份验证服务器私钥验证视频监控服务器证 书和视频监控前端证书签名的有效性;以及通过验证视频监控服务器和视频监控前端证书 的有效期、吊销信息、使用用途和策略信息以判断视频监控服务器和视频监控前端证书的 有效性; 0049 b)若验证通过,则构造视频监控服务器和视频监控前端的证书验证结果,并向所 述视频监控服务器发送主要由所述证书验证结果、视频监控前端和视频监控服务器身份从 证书中提取出的证书持有者,证书颁发。

36、者,证书序列号等的组合信息)、视频监控前端随机 数和视频监控服务器随机数构建的并经过身份验证服务器私钥签名的身份验证响应消息。 0050 S1024:视频监控服务器20接收所述身份验证响应消息并对所述身份验证响应消 息进行解析和验证;验证通过后,将预先产生的身份验证密钥进行加密,并绑定到身份验证 密钥信息中;然后向所述视频监控前端30发送主要由身份验证响应消息、视频监控服务器 证书、身份验证密钥密文和身份验证密钥信息构建的并经过视频监控服务器私钥签名的接 入响应消息; 0051 在该步骤中,视频监控服务器20的第一接入处理模块21收到身份验证服务器10 的身份验证响应消息后,进行如下处理: 0。

37、052 a)视频监控服务器接收所述身份验证响应消息并对所述身份验证响应消息进行 解析和验证,具体包括:从第二存储模块22中读取身份验证服务器证书,使用身份验证服 务器证书公钥判断身份验证响应消息签名的有效性;判断身份验证服务器和视频监控前端 的证书验证结果是否有效;读取第二存储模块22中的视频监控服务器、视频监控前端的随 机数和身份验证响应消息中的随机数进行对比,确定一致;判断视频监控服务器和视频监 控前端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行b); 0053 b)验证通过后,根据视频监控服务器预先产生的身份验证密钥,使用视频监控前 端证书公钥对身份验证密钥进行加密,同。

38、时将密钥绑定到身份验证密钥信息中,身份验证 密钥信息包含身份验证密钥的索引等信息;然后向所述视频监控前端发送主要由身份验证 响应消息、视频监控服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过视 频监控服务器私钥签名的接入响应消息。 0054 S1025:视频监控前端30接收所述接入响应消息并对所述接入响应消息进行解析 和验证;验证通过后,利用视频监控前端私钥解密所述身份验证密钥密文,获得身份验证密 钥,并从身份验证密钥推导出数据密钥;然后向所述视频监控服务器20发送主要由视频监 说 明 书CN 102497581 A 6/7页 10 控前端身份、视频监控服务器身份和身份验证密钥信息构。

39、建的接入确认消息; 0055 在该步骤中,视频监控前端30的第二接入处理模块31收到接入响应消息后,进行 如下处理: 0056 a)视频监控前端30接收所述接入响应消息并对所述接入响应消息进行解析和验 证,具体包括:从第三存储模块32中读取身份验证服务器证书,使用身份验证服务器证书 公钥判断身份验证响应消息签名的有效性;使用视频监控服务器证书公钥判断接入响应消 息签名的有效性;判断视频监控服务器和视频监控前端的证书验证结果是否有效;读取从 第三存储模块32中的视频监控前端随机数和接入响应消息中的随机数进行对比,确定一 致;判断视频监控服务器和视频监控前端身份是否相同;如以上任一项验证未通过,则。

40、接 入过程失败,否则执行b); 0057 b)验证通过后,从第三存储模块32中读取视频监控前端私钥,利用视频监控前端 私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥, 且在第三存储模块32中存储所述身份验证密钥信息和数据密钥;然后向所述视频监控服 务器20发送主要由视频监控前端身份、视频监控服务器身份、身份验证密钥信息、视频监 控前端随机数和视频监控服务器随机数构建的接入确认消息,并使用身份验证密钥计算得 到消息鉴别码附在接入确认消息后。 0058 S1026:视频监控服务器接收所述接入确认消息并对所述接入确认消息进行解析 和验证;验证通过后,利用身份验证密钥推。

41、导出数据密钥。 0059 在该步骤中,视频监控服务器20的第一接入处理模块21收到视频监控前端30的 接入确认消息后,进行如下处理: 0060 a)视频监控服务器接收所述接入确认消息并对所述接入确认消息进行解析和验 证,具体包括:计算接入确认消息的消息鉴别码,比较本地计算和接收到的消息鉴别码,判 断是否一致;读取第二存储模块22存储的视频监控前端随机数和视频监控服务器随机数, 和接入确认消息中的随机数进行对比,确定一致;判断视频监控服务器和视频监控前端身 份是否相同;判断身份验证密钥信息和接入响应消息中的身份验证密钥信息是否相同;如 以上任一项验证未通过,则接入过程失败,否则执行b); 006。

42、1 b)验证通过后,利用身份验证密钥推导出数据密钥并存储到第二存储模块22中。 0062 至此,视频监控前端30成功接入至视频监控服务器20,完成了双向、相互的身份 验证,同时完成视频监控前端30和视频监控服务器20间用于视频数据传送时保密的数据 密钥的同步。 0063 视频监控服务器20和视频监控前端30完成双向相互的身份验证和数据密钥同步 后,即可进行视频数据的保密传输,即进行步骤S103,在该步骤中,具体地,例如: 0064 视频监控前端30的视频数据采集模块34采集到视频数据后,发送至第二数据传 输模块33,并从读取第三存储模块32中的数据密钥对视频数据进行加密,然后将视频数据 密文通。

43、过第一传输模块23发送至视频监控服务器。 0065 视频监控服务器20的第一数据传输模块23收到视频数据密文后,读取第二存储 模块22的数据密钥,对视频数据密文进行解密,即得到可使用的视频数据明文。 0066 以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员 来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为 说 明 书CN 102497581 A 10 7/7页 11 本发明的保护范围。 说 明 书CN 102497581 A 11 1/3页 12 图1 说 明 书 附 图CN 102497581 A 12 2/3页 13 图2 说 明 书 附 图CN 102497581 A 13 3/3页 14 图3 说 明 书 附 图CN 102497581 A 14 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1