专利名称:一种实现安全的远程视频监控的方法
技术领域:
本发明涉及通信技术领域,具体涉及采用H.323多媒体通信协议来实现基于IP网络的安全的远程视频监控的方法。
背景技术:
随着Intemet网络的迅速发展,基于IP网络的各种应用层出不穷,远程视频监控是其中很有发展前景的应用之一。一方面视频压缩技术有了很大的发展,另一方面光纤到楼,光纤到户以及ADSL等多种网络接入方式,使企业、家庭等不同用户都能方便地享受宽带IP网络,用于家庭安全、工业控制等的基于IP网络的远程视频监控系统已开始成为研究的热点。
H.323协议体系为现有的分组网络提供了多媒体通信的标准,它规定了基于分组网进行两点/多点实时媒体通信的系统逻辑组件、消息定义和通信过程。H.323已广泛地应用于IP电话、视频会议等IP宽带业务中。
目前基于IP网络的远程监控系统采用比较简单的呼叫控制,如自定义的呼叫建立命令,而且对于呼叫控制过程中的安全认证考虑得比较少,有的系统增加了用户管理,在远程监控端设置服务器,存放注册用户的用户名、密码以及其它信息,只有合法用户才可以呼叫本地监控端。但这种安全方案只是在主叫端的一般的用户认证,而没有被叫端参与的安全认证过程。主叫端的用户认证只能保证主叫端用户登录时的安全性,而且用户管理服务器集中存放了用户名和密码,很容易成为黑客攻击的对象,一旦用户安全信息被窃取,整个系统的安全性就被破坏了。如果在后续的呼叫控制过程中增加本地监控端参与的安全认证,就可以加强远程视频监控业务的安全性。由于用户操作远程视频监控是随机进行的,而且远程监控密码是通过暗文传送,因此黑客捕获到监控密码比较困难,而且对监控密码的破解也非常困难。
发明内容
本发明针对现有基于IP网的远程视频监控方法中存在的不足和缺陷,提供一种采用H.323多媒体协议实现IP网络上安全的远程视频监控的方法,使基于IP网络的远程视频监控系统具有完善的呼叫控制和媒体控制过程,并在呼叫控制过程中或进入媒体传送时增加了安全认证流程,只有安全认证通过之后,才能进行音视频媒体流的传送,并且音视频媒体流以加密的方式进行传送。
一种实现安全的远程视频监控的方法,包括以下步骤a利用消息流程传送和验证远程监控密码的过程;b远程监控密码的加密解密过程;c音视频媒体数据的加密解密过程。
其中,步骤a进一步包括在呼叫控制过程中传送、验证远程监控密码方式以及在呼叫控制和媒体控制过程后传送、验证远程监控密码方式。
所述在呼叫控制过程中传送、验证远程监控密码方式具体包括a11远程监控端呼叫本地监控端,将监控密码暗文作为H.225消息中的扩展项传送至本地监控端;a12本地监控端接收到H.225消息,从扩展项取出监控密码暗文,解密后与本地监控端存储的监控密码进行比较,如果比较结果一致,密码验证通过,则进入H.245媒体控制交互流程,如果H.245交互成功,则本地监控端开始向远程监控端传送被监控现场的音视频媒体数据;如果比较结果不一致,密码验证失败,结束通信。
所述在呼叫控制和媒体控制过程后传送、验证远程监控密码方式具体包括a21远程监控端呼叫本地监控端,呼叫成功并且H.245媒体控制交互成功,则本地监控端要求远程监控端输入监控密码;a22远程监控端采用DTMF(Double Tone MulitiFrequency,双音多频)方式以每次单个字符方式传送监控密码暗文;a23本地监控端接收监控密码单字符暗文并解密、保存,当收到监控密码结束符或设置的接收监控密码定时器超时,则将收到的监控密码与本地监控端存储的监控密码进行比较,如果比较结果一致,密码验证通过,则本地监控端开始向远程监控端传送被监控现场的音视频媒体数据;如果比较结果不一致,密码验证失败,结束通信。
其中,步骤b具体包括b1远程监控端获得本地监控端的公钥;b2远程监控端采用公钥加密算法,使用所述公钥加密远程监控密码,并发送给本地监控端;b3本地监控端接收到监控密码暗文后,使用与所述公钥对应的私钥将暗文的监控密码转换为明文监控密码。
其中,步骤c具体包括c1本地监控端创建一个随机机密密钥,本地监控端使用该机密密钥,采用对称密钥算法加密音视频媒体数据;c2本地监控端获得远程监控端的公钥,并使用所述公钥,采用公钥加密算法加密所述机密密钥;c3本地监控端将暗文机密密钥和暗文音视频媒体数据一起发给远程监控端;c4远程监控端使用与所述公钥对应的私钥将暗文机密密钥转换为明文,再利用该机密密钥将暗文音视频媒体数据转换为明文数据。
与现有技术相比,本发明具有以下优点本发明采用比较简单和实用的方法,在H.323协议的基础上,增加了系统在呼叫控制过程中本地监控端参与的安全认证,加强了远程视频监控业务的安全性,克服了仅在主叫端增加用户管理服务器,安全性易于受到破坏,维护成本高等缺点。
另外,由于本发明采用标准的H.323多媒体协议,该系统不仅具有完善的呼叫控制和媒体控制过程,而且具有较好的互通性和可扩展性,并可根据用户的需求增加其安全性和附加功能等。
图1是本发明所描述的系统结构示意图;图2是本发明在呼叫控制过程中传送、验证远程监控密码的过程示意图;图3是本发明在呼叫控制和媒体控制过程后传送、验证远程监控密码的过程示意图;图4是本发明所描述的在呼叫控制过程中进行远程监控安全认证的消息流程示意图;图5是本发明所描述的在呼叫控制和媒体控制过程完成之后进行远程监控安全认证的消息流程示意图;图6是本发明所描述的远程监控密码的加密和解密过程示意图;图7是本发明所描述的音视频媒体数据的加密和解密过程示意图。
具体实施例下面我们将结合附图,对本发明的最佳实施方案进行详细描述。首先要指出的是,本发明中用到的术语、字词及权利要求的含义不能仅仅限于其字面和普通的含义去理解,还包括与本发明的技术相符的含义和概念,这是因为我们作为发明者,要适当地给出术语的定义,以便对我们的发明进行最恰当的描述。因此,本说明和附图中给出的配置,只是本发明的首选实施方案,而不是要列举本发明的所有技术特性。我们要认识到,还有各种各样的可以取代我们方案的同等方案或修改方案。
假定终端与网守的注册是安全的(通过了注册网守的帐号和密码的验证),本发明主要说明的是远程监控端与本地监控端之间是如何采用H.323多媒体通信协议使基于IP网络的远程视频监控系统具有完善的呼叫控制和媒体控制过程,并采用简单实用的方法增加了远程视频监控系统的安全性的。
本发明所描述的系统结构如图1所示。系统包括远程监控端和本地监控端,本发明所描述的本地监控端是位于监控现场的独立的嵌入式设备,负责本地音视频信息的采集、编码、加密和传送,并负责对远程监控密码的安全认证,实现H.323协议的被叫终端部分,但不限于被叫部分。
本发明所描述的远程监控端是具有远程监控功能的计算机或IP可视终端,负责远程监控密码的加密和传送,并负责在远程监控密码被安全认证通过之后,对被监控端音视频媒体数据进行解密、解码和播放,实现H.323协议的主叫终端部分,但不限于主叫部分。远程监控端与本地监控端之间通过IP网络连接。
本发明所描述的基于IP网络上安全的远程视频监控的方法是在ITU-TH.323多媒体通信协议流程的基础上,增加了安全认证的呼叫控制流程和媒体数据的安全传送过程。其中,安全的呼叫控制认证流程是在H.323协议流程之上,增加了远程监控密码的加密、传送、解密和验证的过程。其中,媒体数据的安全传送过程是在远程监控密码通过验证后,本地监控端的音视频媒体数据的加密、传送和解密的过程。
所述的监控密码是由远程监控端发送,本地监控端接收和验证。监控密码以暗文方式传送。首先,被监控端需要配置和保存监控密码,可以使用统一的远程监控密码,也可以采用不同的呼叫别名对应不同的远程监控密码。远程监控端根据以下两种不同的传送流程,在相应的阶段提示用户输入远程监控密码,密码一般会有一定的位数限制,数据量很小,因此远程监控密码的加密可采用公钥加密算法,如RSA算法。
图2和图3分别表示了在ITU-T H.323协议流程的基础上,增加了远程监控密码的加密传送和验证的端对端通信的两种流程。本领域技术人员可以基于本发明的思路和原理,采用其它的方法传送和验证远程监控密码。
图2所表示的流程中,监控密码的安全认证方法是将远程监控密码的加密、传送、解密、验证过程放在H.225呼叫控制过程中,其步骤为步骤201远程监控端呼叫本地监控端,将监控密码暗文作为H.225消息中的扩展项传送至本地监控端;步骤202本地监控端接收到所述H.225消息,从扩展项取出监控密码暗文,解密并验证,如果监控密码验证失败,结束通信;如果监控密码验证通过,则进入步骤203;步骤203远程监控端与本地监控端进行H.245媒体控制交互,如果H.245交互成功,则进入步骤204;步骤204本地监控端以暗文的方式向远程监控端传送被监控现场的音视频媒体数据。具体步骤见实施例一。
图3所表示的流程中,监控密码的安全认证方法是将远程监控密码的加密、传送、解密、验证过程放在H.225呼叫控制过程和H.245媒体控制过程完成之后,利用DTMF方式传送监控密码。其步骤为步骤301远程监控端呼叫本地监控端,如果H.225呼叫连接成功,则进入步骤302;步骤302远程监控端与本地监控端进行H.245媒体控制交互,如果H.245交互成功,则进入步骤303;步骤303本地监控端通过提示语音要求远程监控端输入监控密码,远程监控端采用DTMF方式传送监控密码暗文,本地监控端接收监控密码暗文,解密并验证,如果监控密码验证失败,结束通信;如果监控密码验证通过,则进入步骤304;步骤304本地监控端以暗文的方式向远程监控端传送被监控现场的音视频媒体数据。具体步骤见实施例二。
被监控现场的音视频媒体数据是由本地监控端发送,远程监控端接收。被监控现场的音视频媒体数据是以暗文方式进行传送。
音视频媒体数据量大,它的加密解密可以采用对称密钥加密算法与公钥加密算法相结合的方法,即大量的音、视频数据的加密、解密采用对称密钥加密算法,如DES算法。利用公钥加密算法来安全地交换执行对称加密时使用的机密密钥。
实施例一本实施例具体说明基于ITU-T H.323多媒体通信协议,在呼叫控制过程中增加安全认证的远程监控通信流程,如图4所示。
步骤401远程监控端用户呼叫本地监控端,远程监控端用户界面模块弹出密码输入窗,要求用户输入监控密码;步骤402远程监控端H.323模块对监控密码进行加密;步骤403~404远程监控端H.323模块作为主叫端向网守发送接入允许请求(ARQ),接收到网守的确认应答(ACF)后,继续步骤405;步骤405将暗文的远程监控密码填写在Setup消息的nonStandardData扩展字段中,向本地监控端发送Setup消息;步骤406本地监控端收到Setup消息后,取出暗文的监控密码保存,并向远程监控端发送CallProceeding消息;步骤407~408本地监控端作为被叫端向网守发送接入允许请求(ARQ),接收到网守的确认应答(ACF)后,继续步骤409;步骤409~413本地监控端对暗文的监控密码解密并进行验证,如果验证失败,则向远程监控端发送H.225的ReleaseComplete消息,结束呼叫;如果验证成功,则向远程监控端发送H.225的Connect消息,表示225呼叫链路已经建立,本地监控端已经处于摘机状态;步骤414~416进行H.323流程中的H.245交互过程,包括能力交换、主从决定、打开音视频逻辑通道;步骤417如果H.245交互成功,本地监控端就会向远程监控端传送监控现场的音视频媒体数据,音视频媒体流以加密的方式进行传送;步骤418~419远程监控端对接收的音视频媒体数据解密、播放就可以通过IP网络监控到对端现场的情况。
实施例二本实施例具体说明基于ITU-T H.323多媒体通信协议,在H.225呼叫控制过程和H.245媒体控制过程完成之后,进入音、视频媒体数据传送之前增加安全认证的远程监控通信流程,如图5所示。
步骤501远程监控端用户呼叫本地监控端;步骤502~503远程监控端H.323模块作为主叫端向网守(GK1)发送接入允许请求(ARQ),接收到网守(GK1)的确认应答(ACF)后,继续步骤504;步骤504远程监控端向本地监控端发送H.225的Setup消息;步骤505本地监控端收到Setup消息后向远程监控端发送CallProceeding消息;步骤506~507本地监控端作为被叫端向网守(GK2)发送接入允许请求(ARQ),接收到网守(GK2)的确认应答(ACF)后,继续步骤508;步骤508~509本地监控端向远程监控端发送H.225的Connect消息,表示呼叫链路已经建立,本地监控端已经处于摘机状态;步骤510~512进行H.323流程中的H.245交互过程,包括能力交换、主从决定、打开音视频逻辑通道;步骤513如果H.245交互成功,本地监控端就会向远程监控端传送“请输入监控密码”提示语音;步骤514远程监控端用户界面模块播放提示语音;步骤515用户键入远程监控密码;步骤516~517远程监控H.323模块依次对监控密码的每一个字符进行单独加密,然后以DTMF方式传送至本地监控端;步骤518本地监控端接收监控密码的单字符暗文,解密并保存;步骤519~521远程监控端用户输入监控密码结束符,远程监控H.323模块对该结束符进行加密,并以DTMF方式传送至本地监控端;步骤522本地监控端解密监控密码的单字符暗文,判断是否为监控密码结束符,如果是,则进行监控密码的验证,否则继续等待接收;另外,本地监控端设置接收监控密码DTMF定时器,如果该定时器超时,则停止等待接收监控密码及结束符,开始进行监控密码的验证;步骤523~525如果本地监控端对监控密码验证失败,则向远程监控端发送H.245的EndSession消息,结束呼叫;如果对监控密码验证成功,则本地监控端就向远程监控端传送监控现场的音视频媒体数据,音视频媒体流以加密的方式进行传送;步骤526~527远程监控端对接收的音视频媒体数据解密、播放就可以通过IP网络监控到对端现场的情况。
在以上流程中,DTMF可以采用以下四种承载方式之一对暗文的监控密码进行打包传送通过Q.931信息传输;通过H.245的SIGNAL字段传输;通过H.245的STRING字段传输;通过RTP音频逻辑通道传输,载荷类型为101,遵循标准RFC2833。
以上实施例一的优点是远程监控端与本地监控端通信流程比较简洁,而且由于监控密码的验证在呼叫控制阶段,因此如果密码验证失败,则不需要再进行H.245媒体控制等流程,系统对于监控密码错误的响应时间很快。实施例二的优点是除加解密部分以外,远程监控端可以是支持DTMF的普通H.323终端,H.225呼叫控制和H.245媒体控制都是标准流程,不需要定制。
以上两种实施例中远程监控端和本地监控端支持如下阐述的监控密码的加密和解密过程以及音视频媒体数据的加密和解密过程。
图6为远程监控密码的加密和解密过程,具体包括以下步骤步骤601远程监控端获得本地监控端的公钥;步骤602远程监控端采用公钥加密算法,使用步骤601中的公钥将监控密码字符串转换为暗文数据;步骤603远程监控端发送暗文的监控密码给本地监控端;步骤604本地监控端接收到监控密码暗文后,使用与步骤601中公钥对应的私钥将暗文的监控密码转换为明文监控密码。
图7为音视频媒体数据的加密和解密过程,具体包括以下步骤步骤701本地监控端获得远程监控端的公钥;步骤702本地监控端创建一个随机机密密钥;步骤703本地监控端采用对称密钥算法,使用步骤702中的机密密钥将明文音视频媒体数据转换为暗文数据;步骤704本地监控端采用公钥加密算法,使用步骤701中的公钥将机密密钥转换为暗文机密密钥;步骤705本地监控端将暗文数据和暗文机密密钥一起发给远程监控端;步骤706远程监控端接收到本地监控端的暗文数据,首先使用与步骤701中公钥所对应的私钥将暗文机密密钥转换为明文;步骤707远程监控端使用明文机密密钥将暗文音视频媒体数据转换为明文数据。
权利要求
1.一种实现安全的远程视频监控的方法,包括以下步骤a利用消息流程传送和验证远程监控密码的过程;b远程监控密码的加密解密过程;c音视频媒体数据的加密解密过程。
2.如权利要求1所述的实现安全的远程视频监控的方法,其特征在于,步骤a进一步包括在呼叫控制过程中传送、验证远程监控密码方式以及在呼叫控制和媒体控制过程后传送、验证远程监控密码方式。
3.如权利要求2所述的实现安全的远程视频监控的方法,其特征在于,所述在呼叫控制过程中传送、验证远程监控密码方式具体包括a11远程监控端呼叫本地监控端,将监控密码暗文作为H.225消息中的扩展项传送至本地监控端;a12本地监控端接收到H.225消息,从扩展项取出监控密码暗文,解密后与本地监控端存储的监控密码进行比较。
4.如权利要求2所述的实现安全的远程视频监控的方法,其特征在于,所述在呼叫控制和媒体控制过程后传送、验证远程监控密码方式具体包括a21远程监控端呼叫本地监控端,呼叫成功并且H.245媒体控制交互成功,则本地监控端要求远程监控端输入监控密码;a22远程监控端采用DTMF方式以每次单个字符方式传送监控密码暗文;a23本地监控端接收监控密码单字符暗文并解密、保存,当收到监控密码结束符或设置的接收监控密码定时器超时,则将收到的监控密码与本地监控端存储的监控密码进行比较。
5.如权利要求1所述的实现安全的远程视频监控的方法,其特征在于,步骤b具体包括b1远程监控端获得本地监控端的公钥;b2远程监控端采用公钥加密算法,使用所述公钥加密远程监控密码,并发送给本地监控端;b3本地监控端接收到监控密码暗文后,使用与所述公钥对应的私钥将暗文的监控密码转换为明文监控密码。
6.如权利要求1所述的实现安全的远程视频监控的方法,其特征在于,步骤c具体包括c1本地监控端创建一个随机机密密钥并使用所述机密密钥,采用对称密钥算法加密音视频媒体数据;c2本地监控端获得远程监控端的公钥,并使用所述公钥,采用公钥加密算法加密所述机密密钥;c3本地监控端将暗文机密密钥和暗文音视频媒体数据一起发给远程监控端;c4远程监控端使用与所述公钥对应的私钥将暗文机密密钥转换为明文,再利用所述机密密钥将暗文音视频媒体数据转换为明文数据。
全文摘要
本发明公开了一种实现安全的远程视频监控的方法,包括以下步骤利用消息流程传送和验证远程监控密码的过程;远程监控密码的加密解密过程;音视频媒体数据的加密解密过程。包括在呼叫控制过程中以及在呼叫控制和媒体控制过程后传送、验证远程监控密码两种方式。监控密码的加密解密的过程包括远程监控端获得本地监控端的公钥;远程监控端利用该公钥及公钥加密算法将监控密码字符串转换为暗文数据;远程监控端发送暗文的监控密码给本地监控端;本地监控端接收到监控密码暗文后,使用其私钥将暗文的监控密码转换为明文监控密码。本发明不仅具有完善的呼叫控制和媒体控制过程,而且具有较好的互通性和可扩展性。
文档编号H04L9/00GK1972278SQ200510096388
公开日2007年5月30日 申请日期2005年11月21日 优先权日2005年11月21日
发明者马敏 申请人:西安大唐电信有限公司