一种视频监控系统中的密钥分发装置制造方法
【专利摘要】本发明公开了一种视频监控系统中的密钥分发装置,用于实现从视频源设备到客户端的视频流密钥的分发,该装置分别与视频管理服务器、视频源设备和客户端通过网络连接,该装置包括的第一数字证书发放单元、第一公钥验证单元和服务端密钥解密单元用于与视频源设备进行交互获得视频流密钥并记录,该装置的第二数字证书请求单元、第二公钥验证请求单元和服务端密钥发送单元用于与客户端进行交互,向客户端分发视频流密钥。本发明的密钥分发装置实现了视频流密钥的安全分发,并有效控制保密视频的发布范围以防止窃听。
【专利说明】一种视频监控系统中的密钥分发装置
【技术领域】
[0001] 本发明属于数据安全【技术领域】,尤其涉及一种视频监控系统中密钥分发装置。
【背景技术】
[0002] 视频监控是安全防范系统的重要组成部分,视频监控以其直观、准确、及时和信息 内容丰富而广泛应用于许多场合。近年来,随着计算机、网络以及图像处理、传输技术的飞 速发展,视频监控的普及化趋势越来越明显。通常的视频监控系统如图1所示,包括媒体服 务器、视频管理服务器、视频源设备和客户端。客户端通过媒体服务器接收并播放视频源设 备拍摄的视频流,而视频流在视频监控系统网络中进行传输一般是通过互联网络。由于互 联网络是开放的网络,容易被人窃听而造成视频流的泄密。
[0003] 因此某些特殊位置或者保密机构的视频监控系统需要对视频流进行加密,现有技 术的视频流一般经过对称加密后进行传输,对称加密采用了对称密码编码技术,加密和解 密使用相同的密钥,即加密密钥也可以用作解密密钥。对称加密使用起来简单快捷,密钥较 短,且破译困难,由于对称加密的加密算法是公开的,其保密性取决于对密钥的保密,但是 加解密双方采用的密钥是相同的,在网上传播加密密钥很容易被窃取,因此密钥的发布更 换比较困难。
[0004] 如何即能对视频流进行对称加密,又能保证加密密钥的发布,是视频监控系统中 急需解决的一个技术问题。
【发明内容】
[0005] 本发明的目的是提供一种视频监控系统中的密钥分发装置,在视频源设备和客户 端间分发视频流密钥,由于对视频流密钥采用非对称加解密算法进行加密分发,保证了视 频流密钥发布的安全。
[0006] 为了实现上述目的,本发明技术方案如下:
[0007] -种视频监控系统中的密钥分发装置,所述视频监控系统包括视频源设备、视频 管理服务器和客户端,所述密钥分发装置分别与所述视频管理服务器、视频源设备和客户 端通过网络连接,所述密钥分发装置包括第一数字证书发放单元、第一公钥验证单元、服务 端密钥解密单元、第二数字证书请求单元、第二公钥验证请求单元和服务端密钥发送单元, 其中:
[0008] 第一数字证书发放单元用于接收视频源设备发送的数字证书请求,向该视频源设 备返回第一数字证书;
[0009] 第一公钥验证单元用于接收视频源设备用第一数字证书中包含的第一公钥加密 的验证请求报文,用第一私钥进行解密后向该视频源设备发送用第一私钥加密的验证报 文;
[0010] 服务端密钥解密单元用于接收视频源设备发送的用第一公钥加密的视频流密钥 报文,用第一私钥进行解密,得到视频流密钥并记录,为每一个视频流密钥生成一个对应的 密钥ID,并将该密钥ID发送给该视频源设备;
[0011] 第二数字证书请求单元用于接收客户端发送的携带密钥ID的解密请求,向该客 户端发送第二数字证书请求;
[0012] 第二公钥验证请求单元用于接收客户端返回的第二数字证书,向该客户端发送用 第二数字证书中包含的第二公钥加密的验证请求;
[0013] 服务端密钥发送单元用于接收客户端发送的用第二私钥加密的验证报文,用第二 公钥进行解密验证后,找到解密请求中携带的密钥ID对应的视频流密钥,用第二公钥加密 视频流密钥发送给该客户端。
[0014] 进一步地,所述密钥分发装置还存储有授权策略及其对应的授权码。优选地,所述 密钥分发装置还设置有用户授权单元,用于为视频监控系统的用户设置授权策略及其对应 的授权码。在本地生成授权策略及其对应的授权码更加方便调用。
[0015] 进一步地,所述解密请求还携带有用户输入的所述授权码,所述第二数字证书请 求单元在接收客户端发送的解密请求后,还会根据解密请求中携带的授权码查找到对应的 授权策略,根据所述授权策略决定是否向所述客户端提供视频流密钥。其中根据解密请求 中携带的授权码查找到对应的授权策略,是从所述授权单元中进行查找;或由授权单元在 得到授权策略和授权码后形成列表存储在数据库中,第二数字证书请求单元直接从数据库 中进行查找。
[0016] 本发明还提出了一种视频监控系统中的密钥分发装置,所述视频监控系统包括视 频源设备、视频管理服务器和客户端,所述视频监控系统还包括许可证服务器,所述许可证 服务器分别与所述视频管理服务器、视频源设备和客户端通过网络连接,所述密钥分发装 置应用于视频源设备,包括第一数字证书请求单元、前端密钥发送单元和视频流加密单元, 其中:
[0017] 第一数字证书请求单元用于在本地没有第一数字证书时向许可证服务器发送数 字证书请求,并接收许可证服务器返回的第一数字证书,向许可证服务器发送用第一数字 证书中包含的第一公钥加密的验证请求报文;
[0018] 前端密钥发送单元用于接收许可证服务器用第一私钥加密的验证报文,用第一公 钥解密验证后,向许可证服务器发送用第一公钥加密的视频流密钥;
[0019] 视频流加密单元用于接收许可证服务器发送的密钥ID,对输出的视频流用视频流 密钥进行加密,在对视频流进行加密时,在视频流报文头部留有非加密区,该非加密区包含 许可证服务器URL和密钥ID。
[0020] 进一步地,所述密钥分发装置还包括加密开关,所述加密开关在视频源设备启动 或接收到打开指令后,触发所述第一数字证书请求单元在本地没有第一数字证书时向许可 证服务器发送数字证书请求。设置加密开关,则增加了视频源设备的灵活性,在不需要进行 视频流加密的时候,不进行视频流密钥的分发。
[0021] 进一步地,所述前端密钥发送单元在接收到许可证服务器用第一私钥加密的验证 报文,用第一公钥解密验证后,还先检查本地视频流密钥是否存在,如果存在就将其用第一 公钥加密发送给许可证服务器,如果不存在就随机生成视频流密钥,并用第一公钥加密发 送给许可证服务器;或接收所述视频管理服务器的指令重新随机生成视频流密钥,并用第 一公钥加密发送给许可证服务器。本发明可以根据视频管理服务器的指令更新视频流密 钥,以进一步增加安全性。
[0022] 本发明同时还提出了一种视频监控系统中的密钥分发装置,所述视频监控系统包 括视频源设备、视频管理服务器和客户端,所述视频监控系统还包括许可证服务器,所述许 可证服务器分别与所述视频管理服务器、视频源设备和客户端通过网络连接,所述密钥分 发装置应用于客户端,包括解密请求单元、第二数字证书发放单元、第二公钥验证单元和客 户端密钥解密单元,其中:
[0023] 解密请求单元用于获取视频流报文头部的非加密区包含的许可证服务器URL和 密钥ID,并携带该密钥ID向该许可证服务器发送解密请求;
[0024] 第二数字证书发放单元用于接收许可证服务器发送的第二数字证书请求,向许可 证服务器发送第二数字证书;
[0025] 第二公钥验证单元用于接收到许可证服务器用第二数字证书中包含的第二公钥 加密的验证请求,用第二私钥解密后,向许可证服务器发送用第二私钥加密的验证报文;
[0026] 客户端密钥解密单元用于接收许可证服务器用第二公钥加密的视频流密钥,用第 二私钥进行解密,得到视频流密钥。
[0027] 进一步地,所述解密请求还携带有授权码。授权码在视频监控系统用户需要授权 的时候就提供给用户,以便于用户在使用时输入授权码,解密请求携带该授权码向许可证 服务器发起解密请求。
[0028] 本发明提出了一种视频监控系统中的密钥分发装置,分别应用于服务器端作为许 可证服务器,以及视频源设备和客户端。从而在许可证服务器与视频源设备间、以及在许可 证服务器与客户端之间安全地分发视频流密钥。并通过在许可证服务器中建立视频流密钥 与视频源设备标识对应的关系列表,区分不同视频流对应的视频流密钥,保证分发的准确。 还通过许可证服务器为每个用户设置授权策略,并通过用户输入授权码对应到各自的授权 策略,分时段地划分用户可以播放的监控视频。本发明保证了视频流密钥的安全分发,并有 效控制保密视频的发布范围以防止窃听。视频监控系统只需要通过软件升级就可以实现, 不需要更改硬件设计,系统升级成本较低。
【专利附图】
【附图说明】
[0029] 图1为现有技术视频监控系统的结构示意图;
[0030] 图2为本发明视频监控系统的结构示意图;
[0031] 图3为本发明应用于服务器端的密钥分发装置结构示意图;
[0032] 图4为本发明应用于视频源设备的密钥分发装置结构示意图;
[0033] 图5为本发明应用于客户端的密钥分发装置结构示意图。
【具体实施方式】
[0034] 下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成 对本发明的限定。
[0035] 本实施例的视频监控系统如图2所示,与现有技术不同的是,本实施例的视频监 控系统不仅包括视频管理服务器、媒体服务器、视频源设备和客户端,还包括许可证服务 器。视频监控系统中的视频源设备为网络摄像机IPC,或编码器,或硬盘录像机等任何可以 对视频流进行加密和分发的设备。而客户端是用户用来登录并播放监控视频流的播放器或 播放软件,在同一客户端上可以有不同的用户登录,用户登录客户端向视频管理服务器注 册成功后,点播视频源设备的视频,视频源设备将视频流发送到媒体服务器,媒体服务器转 发视频流到客户端,实现视频监控。
[0036] 由于对视频流进行对称加密和解密的密钥是相同的,本实施例将他们统称为视频 流密钥,则本申请通过许可证服务器与视频源设备之间的非对称加解密算法,保证视频源 设备与许可证服务器之间的传输视频流密钥的安全;通过许可证服务器与客户端之间的非 对称加解密算法,保证许可证服务器与客户端之间传递视频流密钥的安全。非对称加解密 算法具有公钥和私钥,本实施例将许可证服务器与视频源设备之间非对称加解密算法的公 钥和私钥分别称为第一公钥和第一私钥,将许可证与客户端之间非对称加解密算法的公钥 和私钥分别称为第二公钥和第二私钥。
[0037] 在非对称加解密【技术领域】,数字证书是一个经证书授权中心数字签名的包含公钥 拥有者信息以及公钥的文件,最简单的数字证书包含一个公钥、公钥拥有者名称以及证书 授权中心的数字签名。在本实施例中,将包含第一公钥的数字证书称为第一数字证书,将包 含第二公钥的数字证书称为第二数字证书。许可证服务器和每个客户端都被分配单独的数 字证书,数字证书可有第三方独立的发证机构发放,也可集成在许可证服务器中,由许可证 服务器来发放,本发明不限于数字证书的发放形式。许可证服务器拥有第一数字证书,每个 客户端拥有第二数字证书。
[0038] 在本实施例的视频监控系统中,许可证服务器分别与视频管理服务器、视频源设 备和客户端通过网络连接,许可证服务器可以是专门的设备或独立的服务器,也可以与视 频管理服务器合成在一起。如果是专门的设备或独立的服务器,许可证服务器与视频管理 服务器相互配置有对方的地址,许可证服务器可以从视频管理服务器得到视频监控系统中 视频源设备和用户列表。视频源设备与许可证服务器交互发送经第一公钥加密的视频流密 钥,而客户端与许可证服务器交互来获得经第二公钥加密的视频流密钥,从而在客户端上 能采用第二私钥解密得到视频流密钥,用视频流密钥解密视频流并进行播放。
[0039] 图3示出了本实施例许可证服务器的内部结构示意图,包括第一数字证书发放单 元、第一公钥验证单元、服务端密钥解密单元、第二数字证书请求单元、第二公钥验证请求 单元、服务端密钥发送单元。
[0040] 本实施例中,视频管理服务器在需要加密的视频源设备上配置加密开关和许可证 服务器地址,当视频源设备启动后注册到视频监控系统,检查加密开关,如果加密开关打 开,继续检查第一数字证书是否存在,如果没有就向许可证服务器发送数字证书请求。许可 证服务器接收到数字证书请求后,根据从视频管理服务器获得的视频源设备列表,由于该 视频源设备已经在视频管理服务器注册,是合法的视频源设备,则启动与许可证服务器之 间的视频流密钥分发过程。许可证服务器与视频源设备之间的视频流密钥分发过程如下:
[0041] 第一数字证书发放单元接收视频源设备发送的数字证书请求,向该视频源设备返 回第一数字证书;
[0042] 视频源设备在收到第一数字证书后,根据第一数字证书中的第一公钥,向第一公 钥验证单元发送用第一公钥加密的验证请求报文;
[0043] 第一公钥验证单元接收视频源设备发送的用第一公钥加密的验证请求报文,用第 一私钥进行解密后向该视频源设备发送用第一私钥加密的验证报文;
[0044] 视频源设备在收到第一私钥加密的验证报文后,用第一公钥解密验证后,向视频 密钥解密单元发送用第一公钥加密的视频流密钥;
[0045] 服务端密钥解密单元接收视频源设备发送的用第一公钥加密的视频流密钥报文, 用第一私钥进行解密,得到视频流密钥并记录,为每一个视频流密钥生成一个对应的密钥 ID,并将该密钥ID发送给视频源设备。
[0046] 本实施例中,视频源设备在收到第一私钥加密的验证报文后用第一公钥解密验证 后,检查本地视频流密钥是否存在,如果不存在就随机生成视频流密钥,并用第一公钥加密 发送给许可证服务器。在将视频流密钥发送给许可证服务器后,没有新的触发条件(如接 受视频服务器指令)就不再生成新的视频流密钥,如果接受视频服务器指令新生成了视频 流密钥,则需要再次发送加密的视频流密钥给许可证服务器。许可证服务器在收到加密的 视频流密钥后,用第一私钥进行解密得到视频流密钥,在许可证服务器上进行记录。这里对 视频流密钥进行记录是为了区分视频流对应的视频流密钥,在许可证服务器得到视频流密 钥后,建立视频流密钥与视频源设备标识(视频源设备ID)的对照表,如表1所示:
[0047]
【权利要求】
1. 一种视频监控系统中的密钥分发装置,所述视频监控系统包括视频源设备、视频管 理服务器和客户端,其特征在于,所述密钥分发装置分别与所述视频管理服务器、视频源设 备和客户端通过网络连接,所述密钥分发装置包括第一数字证书发放单元、第一公钥验证 单元、服务端密钥解密单元、第二数字证书请求单元、第二公钥验证请求单元和服务端密钥 发送单元,其中: 第一数字证书发放单元用于接收视频源设备发送的数字证书请求,向该视频源设备返 回第一数字证书; 第一公钥验证单元用于接收视频源设备用第一数字证书中包含的第一公钥加密的验 证请求报文,用第一私钥进行解密后向该视频源设备发送用第一私钥加密的验证报文; 服务端密钥解密单元用于接收视频源设备发送的用第一公钥加密的视频流密钥报文, 用第一私钥进行解密,得到视频流密钥并记录,为每一个视频流密钥生成一个对应的密钥 ID,并将该密钥ID发送给该视频源设备; 第二数字证书请求单元用于接收客户端发送的携带密钥ID的解密请求,向该客户端 发送第二数字证书请求; 第二公钥验证请求单元用于接收客户端返回的第二数字证书,向该客户端发送用第二 数字证书中包含的第二公钥加密的验证请求; 服务端密钥发送单元用于接收客户端发送的用第二私钥加密的验证报文,用第二公钥 进行解密验证后,找到解密请求中携带的密钥ID对应的视频流密钥,用第二公钥加密视频 流密钥发送给该客户端。
2. 根据权利要求1所述的密钥分发装置,其特征在于,所述密钥分发装置还存储有授 权策略及其对应的授权码。
3. 根据权利要求2所述的密钥分发装置,其特征在于,所述密钥分发装置设置有用户 授权单元,用于为视频监控系统的用户设置所述授权策略及其对应的授权码。
4. 根据权利要求2或3所述的密钥分发装置,其特征在于,所述解密请求还携带有用户 输入的所述授权码,所述第二数字证书请求单元在接收客户端发送的解密请求后,还会根 据解密请求中携带的授权码查找到对应的授权策略,根据所述授权策略决定是否向所述客 户端提供视频流密钥。
5. -种视频监控系统中的密钥分发装置,所述视频监控系统包括视频源设备、视频管 理服务器和客户端,其特征在于,所述视频监控系统还包括许可证服务器,所述许可证服务 器分别与所述视频管理服务器、视频源设备和客户端通过网络连接,所述密钥分发装置应 用于视频源设备,包括第一数字证书请求单元、前端密钥发送单元和视频流加密单元,其 中: 第一数字证书请求单元用于在本地没有第一数字证书时向许可证服务器发送数字证 书请求,并接收许可证服务器返回的第一数字证书,向许可证服务器发送用第一数字证书 中包含的第一公钥加密的验证请求报文; 前端密钥发送单元用于接收许可证服务器用第一私钥加密的验证报文,用第一公钥解 密验证后,向许可证服务器发送用第一公钥加密的视频流密钥; 视频流加密单元用于接收许可证服务器发送的密钥ID,对输出的视频流用视频流密钥 进行加密,在对视频流进行加密时,在视频流报文头部留有非加密区,该非加密区包含许可 证服务器URL和密钥ID。
6. 根据权利要求5所述的密钥分发装置,其特征在于,所述密钥分发装置还包括加密 开关,所述加密开关在视频源设备启动或接收到打开指令后,触发所述第一数字证书请求 单元在本地没有第一数字证书时向许可证服务器发送数字证书请求。
7. 根据权利要求5所述的密钥分发装置,其特征在于,所述前端密钥发送单元在接收 到许可证服务器用第一私钥加密的验证报文,用第一公钥解密验证后,还先检查本地视频 流密钥是否存在,如果存在就将其用第一公钥加密发送给许可证服务器,如果不存在就随 机生成视频流密钥,并用第一公钥加密发送给许可证服务器;或接收所述视频管理服务器 的指令重新随机生成视频流密钥,并用第一公钥加密发送给许可证服务器。
8. -种视频监控系统中的密钥分发装置,所述视频监控系统包括视频源设备、视频管 理服务器和客户端,其特征在于,所述视频监控系统还包括许可证服务器,所述许可证服务 器分别与所述视频管理服务器、视频源设备和客户端通过网络连接,所述密钥分发装置应 用于客户端,包括解密请求单元、第二数字证书发放单元、第二公钥验证单元和客户端密钥 解密单元,其中 : 解密请求单元用于获取视频流报文头部的非加密区包含的许可证服务器URL和密钥 ID,并携带该密钥ID向该许可证服务器发送解密请求; 第二数字证书发放单元用于接收许可证服务器发送的第二数字证书请求,向许可证服 务器发送第二数字证书; 第二公钥验证单元用于接收到许可证服务器用第二数字证书中包含的第二公钥加密 的验证请求,用第二私钥解密后,向许可证服务器发送用第二私钥加密的验证报文; 客户端密钥解密单元用于接收许可证服务器用第二公钥加密的视频流密钥,用第二私 钥进行解密,得到视频流密钥。
9. 根据权利要求8所述的密钥分发装置,其特征在于,所述解密请求还携带有授权码。
【文档编号】H04N7/18GK104244026SQ201410449163
【公开日】2014年12月24日 申请日期:2014年9月4日 优先权日:2014年9月4日
【发明者】廖双龙 申请人:浙江宇视科技有限公司