视音频监控设备及其安全认证方法、视音频展示设备

暂无

视音频监控设备及其安全认证方法、视音频展示设备\n技术领域\n[0001] 本发明涉及数据安全技术领域，特别涉及一种视音频监控设备及其安全认证方法、视音频展示设备。\n背景技术\n[0002] 近十几年以来，安防、视音频监控行业迅猛发展，尤其是最近几年随着互联网的高速发展，安防行业，视音频监控系统和产品的互联网化已经呈普及趋势，如今视音频监控系统、和个人，家庭用智能远程监控摄像系统和产品等已经无处不在，大范围应用，也不断创新，需求也在不断的增加。\n[0003] 在现有安防行业内，各种视音频摄像头，监控系统控制中心，各种平台的监控客户端(PC端和移动端APP)，他们之间的通过网络连接(有线网络和无线网络)构建闭环的监控体系，通过网络传递的视、音频内容，通常只是通过既定的几种视、音频编码算法(例如，H.264,H.265,MP4,FLV等等)编码后传输，并保存到硬盘存储设备中或者云端，而客户端与控制中心，以及摄像头三者之间的一些操控指令等也都是通过既有的通信协议进行上传下达；而每个摄像头和控制中心的安装对接，以及客户端和控制中心，以及客户端直接和摄像头之间，现有的安防行业各类系统和产品，基本都是通过视像头设备ID，用户名和密码(PIN码)的方式来安装、配置建立连接，后续基本就通过这样的方式实现运营和管理了。\n[0004] 摄像头、客户端、控制中心几个板块之间，通过互联网连接，没有可靠的安全技术保障，在现在的互联网环境下，很容易受到攻击，被控制等，造成监控系统不能正常的工作。\n发明内容\n[0005] 鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种视音频监控设备的安全认证发明、一种视音频监控设备及一种视音频展示设备。\n[0006] 依据本发明的第一个方面，提供了一种视音频展示设备，所述视音频展示设备包括：\n[0007] 公钥获取单元，用于根据视音频监控设备标识从标识公钥矩阵中获取对应的第一标识公钥；\n[0008] 非对称加密单元，用于通过所述第一标识公钥对待传输的指令明文进行非对称加密，得到指令密文；\n[0009] 密文签名单元，用于采用本地设备的第一标识私钥对所述指令密文进行签名；\n[0010] 密文发送单元，用于将签名后的指令密文发送至所述视音频监控设备，以使所述视音频监控设备根据所述签名后的指令密文进行安全认证。\n[0011] 可选地，所述视音频展示设备还包括：\n[0012] 标识接收单元，用于接收并存储由所述视音频监控设备发送的所述视音频监控设备标识。\n[0013] 依据本发明的第二个方面，提供了一种视音频监控设备的安全认证方法，所述方法包括：\n[0014] 根据视音频监控设备标识从标识公钥矩阵中获取对应的第一标识公钥；\n[0015] 通过所述第一标识公钥对待传输的指令明文进行非对称加密，得到指令密文；\n[0016] 采用本地设备的第一标识私钥对所述指令密文进行签名；\n[0017] 将签名后的指令密文发送至所述视音频监控设备，以使所述视音频监控设备根据所述签名后的指令密文进行安全认证。\n[0018] 可选地，所述根据视音频监控设备的标识从标识公钥矩阵中获取对应的第一标识公钥之前，所述方法还包括：\n[0019] 接收并存储由所述视音频监控设备发送的所述视音频监控设备标识。\n[0020] 依据本发明的第三个方面，提供了一种视音频监控设备，所述视音频监控设备包括：\n[0021] 密文接收单元，用于接收视音频展示设备发送的指令密文；\n[0022] 公钥获取单元，用于根据视音频展示设备标识从标识公钥矩阵中获取对应的第二标识公钥；\n[0023] 签名验证单元，用于通过所述第二标识公钥验证所述指令密文的签名；\n[0024] 密文解密单元，用于在验证通过时，采用本地设备的第二标识私钥对所述指令密文进行解密，得到指令明文，以实现安全认证。\n[0025] 可选地，所述视音频监控设备还包括：\n[0026] 标识接收单元，用于接收并存储由所述视音频展示设备发送的所述视音频展示设备标识。\n[0027] 可选地，所述视音频监控设备还包括：\n[0028] 指令执行单元，用于按照所述指令明文执行指令。\n[0029] 依据本发明的第四个方面，提供了一种视音频监控设备的安全认证方法，所述方法包括：\n[0030] 接收视音频展示设备发送的指令密文；\n[0031] 根据视音频展示设备标识从标识公钥矩阵中获取对应的第二标识公钥；\n[0032] 通过所述第二标识公钥验证所述指令密文的签名；\n[0033] 在验证通过时，采用本地设备的第二标识私钥对所述指令密文进行解密，得到指令明文，以实现安全认证。\n[0034] 可选地，所述接收视音频展示设备所发送的指令密文之前，所述方法还包括：\n[0035] 接收并存储由所述视音频展示设备发送的所述视音频展示设备标识。\n[0036] 可选地，所述方法还包括：\n[0037] 按照所述指令明文执行指令。\n[0038] 本发明根据视音频监控设备标识从标识公钥矩阵中获取对应的第一标识公钥，通过所述第一标识公钥对待传输的指令明文进行非对称加密，得到指令密文，采用本地设备的第一标识私钥对所述指令密文进行签名，将签名后的指令密文发送至所述视音频监控设备，以使所述视音频监控设备根据所述签名后的指令密文进行安全认证，可防止在互联网环境下受到攻击、被控制等，保证监控系统能够正常工作。\n附图说明\n[0039] 通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：\n[0040] 图1是本发明一种实施方式的视音频监控设备的安全认证方法的流程图；\n[0041] 图2是密钥生产的流程示意图；\n[0042] 图3是本发明另一种实施方式的视音频监控设备的安全认证方法的流程图；\n[0043] 图4是本发明又一种实施方式的视音频监控设备的安全认证方法的流程图；\n[0044] 图5是本发明还一种实施方式的视音频监控设备的安全认证方法的流程图；\n[0045] 图6是本发明一种具体实施例的视音频监控设备的安全认证及视音频数据加密示意图；\n[0046] 图7是本发明一种具体实施例的视音频监控设备的安全认证及视音频数据解密示意图；\n[0047] 图8是本发明一种视音频展示设备的结构框图；\n[0048] 图9是本发明一种视音频监控设备的结构框图。\n具体实施方式\n[0049] 下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。\n[0050] 图1是本发明一种实施方式的视音频监控设备的安全认证方法的流程图；参照图\n1，所述方法包括：\n[0051] S101：根据视音频监控设备标识从标识公钥矩阵中获取对应的第一标识公钥；\n[0052] 需要说明的是，本实施方式的方法的执行主体为视音频展示设备，所述视音频展示设备为能够对视音频进行展示的设备，其可为具有视音频展示功能的服务器，也可为具有视音频展示功能的用户设备，当然，还可为其他设备，本实施方式对此不加以限制。\n[0053] 在具体实现中，所述用户设备可为PC机、笔记本电脑、平板电脑或智能手机等设备，本实施方式对此不加以限制。\n[0054] 可理解的是，所述视音频展示设备中设有产品或用户数字证书，所述数字证书包括：标识公钥矩阵和本地设备的第一标识私钥。\n[0055] 为便于生成所述数字证书，本实施方式中，参照图2，可预先通过专用研制的密钥生产系统生产出标识私钥矩阵和标识公钥矩阵，将产品或用户标识(即用于反映产品身份的标识，或用于反映用户身份的标识)作为视音频展示设备标识，并HASH到标识私钥矩阵通过模N整数运算生成本地设备的第一标识私钥，然后连同标识公钥矩阵一起生成产品或者用户数字证书。\n[0056] 在本实施方式中，所述本地设备即指代视音频展示设备。\n[0057] 当然，所述产品或者用户数字证书可采用密态软件数据形式直接写入到产品中使用，或者写入到标识USBKEY内发放给用户使用。\n[0058] 所述标识USBKEY包括但不限于TF卡KEY和SIM卡KEY，均由对符合国密认证并许可的专用安全芯片(例如：HS08K、HS32U2、Z8D64、Z8168或Z32)作进一步研制生产而成，并在产品和用户应用过程中完成对产品或者用户标识和数据、指令等信息的数字签名和加密。\n[0059] 所述数字证书或标识密钥符合ITU-T X.509国际标准，符合组合公钥密码体制的证书规范，符合CA证书规范。\n[0060] S102：通过所述第一标识公钥对待传输的指令明文进行非对称加密，得到指令密文；\n[0061] 可理解的是，所述第一标识公钥为与视音频监控设备标识对应的标识公钥，也就是说，所述第一标识公钥与视音频监控设备标识之间存在一一对应关系。\n[0062] 需要说明的是，通过所述第一标识公钥对待传输的指令明文进行非对称加密，即可得到指令密文，也就是说，所述指令密文是对所述指令明文进行非对称加密后的文件。\n[0063] S103：采用本地设备的第一标识私钥对所述指令密文进行签名；\n[0064] 由于所述本地设备的第一标识私钥是根据产品或用户标识生成，故而，其与产品或用户标识存在一一对应关系，也就是说，所述本地设备的第一标识私钥能够反映所述产品或用户标识的身份。\n[0065] 可理解的是，对所述指令密文进行签名通常是采用本地设备的第一标识私钥对所述指令密文的数字摘要进行加密。\n[0066] S104：将签名后的指令密文发送至所述视音频监控设备，以使所述视音频监控设备根据所述签名后的指令密文进行安全认证。\n[0067] 本实施方式根据视音频监控设备标识从标识公钥矩阵中获取对应的第一标识公钥，通过所述第一标识公钥对待传输的指令明文进行非对称加密，得到指令密文，采用本地设备的第一标识私钥对所述指令密文进行签名，将签名后的指令密文发送至所述视音频监控设备，以使所述视音频监控设备根据所述签名后的指令密文进行安全认证，可防止在互联网环境下受到攻击、被控制等，保证监控系统能够正常工作。\n[0068] 并且，由于采用本地设备的第一标识私钥对所述指令密文进行签名，而所述本地设备的第一标识私钥能够反映所述产品或用户标识的身份，因此，在进行安全认证时，只需要进行单向认证即可，而无需采用双向认证。\n[0069] 图3是本发明另一种实施方式的视音频监控设备的安全认证方法的流程图；参照图3，所述方法包括：\n[0070] S300：接收并存储由所述视音频监控设备发送的视音频监控设备标识；\n[0071] 需要说明的是，本实施方式的方法的执行主体同样为视音频展示设备。\n[0072] 可理解的是，在视音频监控设备在安全开通后，需要在视音频展示设备中进行注册，也就是说，所述视音频监控设备向所述视音频展示设备发送视音频监控设备标识，由所述视音频展示设备接收并存储由所述视音频监控设备发送的视音频监控设备标识。\n[0073] 当然，通常所述视音频展示设备也会向所述视音频监控设备发送视音频展示设备标识，由所述视音频监控设备对所述视音频展示设备标识进行接收和存储。\n[0074] S301：根据视音频监控设备标识从标识公钥矩阵中获取对应的第一标识公钥；\n[0075] S302：通过所述第一标识公钥对待传输的指令明文进行非对称加密，得到指令密文；\n[0076] S303：采用本地设备的第一标识私钥对所述指令密文进行签名；\n[0077] S304：将签名后的指令密文发送至所述视音频监控设备，以使所述视音频监控设备根据所述签名后的指令密文进行安全认证。\n[0078] 步骤S301～S304与图1所示的实施方式的步骤S101～S104相同，在此不再赘述。\n[0079] 图4是本发明又一种实施方式的视音频监控设备的安全认证方法的流程图；参照图4，所述方法包括：\n[0080] S401：接收视音频展示设备发送的指令密文；\n[0081] 需要说明的是，本实施方式的方法的执行主体为视音频监控设备，所述视音频监控设备为能够对视音频进行采集的设备，其可为具有视音频采集功能的摄像头，也可为图像传感器，当然，还可为其他设备，本实施方式对此不加以限制。\n[0082] S402：根据视音频展示设备标识从标识公钥矩阵中获取对应的第二标识公钥；\n[0083] 可理解的是，所述视音频监控设备中也设有产品或用户数字证书，所述数字证书包括：标识公钥矩阵和本地设备的第二标识私钥。\n[0084] 为便于生成所述数字证书，本实施方式中，可预先通过专用研制的密钥生产系统生产出标识私钥矩阵和标识公钥矩阵，将产品或用户标识(即用于反映产品身份的标识，或用于反映用户身份的标识)作为视音频监控设备标识，并HASH到标识私钥矩阵通过模N整数运算生成本地设备的第二标识私钥，然后连同标识公钥矩阵一起生成产品或者用户数字证书。\n[0085] 在本实施方式中，所述本地设备即指代视音频展示设备。\n[0086] 当然，所述产品或者用户数字证书可采用密态软件数据形式直接写入到产品中使用，或者写入到标识USBKEY内发放给用户使用。\n[0087] 所述标识USBKEY包括但不限于TF卡KEY和SIM卡KEY，均由对符合国密认证并许可的专用安全芯片(例如：HS08K、HS32U2、Z8D64、Z8168或Z32)作进一步研制生产而成，并在产品和用户应用过程中完成对产品或者用户标识和数据、指令等信息的数字签名和加密。\n[0088] 所述数字证书或标识密钥符合ITU-T X.509国际标准，符合组合公钥密码体制的证书规范，符合CA证书规范。\n[0089] S403：通过所述第二标识公钥验证所述指令密文的签名；\n[0090] 可理解的是，由于指令密文是由视音频展示设备采用第一标识私钥进行签名的，所述第一标识私钥是根据视音频展示设备标识生成，而所述第二标识公钥是根据视音频展示设备标识从标识公钥矩阵中获取，故而，所述第一标识私钥和第二标识公钥存在对应关系，两者可相互进行加解密。\n[0091] 因此，对所述指令密文进行签名是由视音频展示设备采用第一标识私钥对所述指令密文的数字摘要进行加密的情况下，可由第二标识公钥对所述数字摘要进行解密，并将解密后的数字摘要与所述指令密文进行匹配，若匹配成功，则认定为验证通过，从而保证在进行安全认证时，只需要进行单向认证即可，而无需采用双向认证。\n[0092] S404：在验证通过时，采用本地设备的第二标识私钥对所述指令密文进行解密，得到指令明文，以实现安全认证。\n[0093] 可理解的是，由于指令明文是由视音频展示设备采用第一标识公钥进行加密的，所述第一标识公钥是根据视音频监控设备标识从标识公钥矩阵中获取，而所述第二标识私钥是根据视音频监控设备标识生成，故而，所述第一标识公钥和第二标识私钥存在对应关系，两者可相互进行加解密。\n[0094] 需要说明的是，采用本地设备的第二标识私钥对所述指令密文进行解密，在解密成功后，即可理解为实现了安全认证。\n[0095] 图5是本发明还一种实施方式的视音频监控设备的安全认证方法的流程图；参照图5，所述方法包括：\n[0096] S500：接收并存储由所述视音频展示设备发送的所述视音频展示设备标识；\n[0097] 需要说明的是，本实施方式的方法的执行主体同样为视音频监控设备。\n[0098] S501：接收视音频展示设备发送的指令密文；\n[0099] S502：根据视音频展示设备标识从标识公钥矩阵中获取对应的第二标识公钥；\n[0100] S503：通过所述第二标识公钥验证所述指令密文的签名；\n[0101] S504：在验证通过时，采用本地设备的第二标识私钥对所述指令密文进行解密，得到指令明文，以实现安全认证。\n[0102] 步骤S501～S504与图4所示的实施方式的步骤S401～S404相同，在此不再赘述。\n[0103] S505：按照所述指令明文执行指令。\n[0104] 可理解的是，所述指令明文可为使所述视音频监控设备启动监控的触发指令，也可为调整所述视音频监控设备的视音频采集或编码参数的调整指令，当然，还可为其他指令，本实施方式对此不加以限制。\n[0105] 参照图6，在视音频监控设备A进行安全认证后，即可根据预先设置好的视音频采集和编码参数，或者接收到的调整指令，配置其视音频采集和编码参数，实现视音频采集，在对采集的视音频信息数据进行视音频编码后，进行对称加密，输出A密态视音频文件；\n[0106] 其中，所述对称加密，是由随机数发生器产生一个随机数作为对称密码，采用这个对称密码对编码后的视音频数据进行对称加密，输出A密态视音频文件；\n[0107] 可理解的是，由于视音频监控设备A中存有视音频展示设备X标识，根据视音频展示设备X标识通过标识公钥矩阵计算出X标识公钥(即对应上述的“第二标识公钥”)，采用X标识公钥对对称密码进行加密，得到A密钥文件，再通过A标识私钥(即对应上述的“第二标识私钥”)对所述A密钥文件进行签名；\n[0108] 将签名后的A密钥文件和A密态视音频文件通过私有协议算法融合一起打包形成密态数据文件，通过有线网络、无线网络、云端或互联网平台输出到视音频展示设备。\n[0109] 相应地，所述视音频展示设备X将各视音频监控设备的密态数据文件保存到视音频数据存储阵列中，同时对每一个视音频监控设备的密态数据文件均进行如下处理：\n[0110] 设针对的是视音频监控设备A的密态数据文件，参照图7，首先按密态数据打包的私有协议算法可逆过程对密态数据文件进行数据解包，分别得到A密态视音频文件和A密钥文件，根据视音频监控设备A标识通过标识公钥矩阵计算出A标识公钥(即对应上述的“第一标识公钥”)，通过A标识公钥验证A密钥文件的签名，在验证通过时，通过X标识私钥(即对应上述的“第一标识私钥”)对所述A密钥文件进行解密，得到对称密码，然后使用对称密码对所述A密态视音频文件进行对称解密，得到视音频数据，还可对所述视音频数据输出到监视器进行解码播放。\n[0111] 与现有技术的方式相比，上述各实施例具有以下至少一种优点：\n[0112] 1、采用Pin码验证和标识密钥双因子身份验证，提高安全级别；\n[0113] 2、采用随机数产生视频数据加密的对称密码，可以做到一次一密；\n[0114] 3、使用非对称算法对对称密码进行加密，提高了对称密码的安全。\n[0115] 4、对加密后的文件再次利用加密者的标识私钥进行数字签名，确保了数据在传输途中的安全性，防篡改。\n[0116] 5、把密钥文件和密文数据合并，方便了文件的传递。\n[0117] 6、在收到密态数据，进行分解，获得密态视频和密钥文件。对密钥文件进行身份验证，并解密出对称密码，然后对密态视频直接解密，大大的方便了应用，提高了安全性。\n[0118] 7、指令明文经过加密和签名，使用时通过验签和解密使用，确保指令明文传输的安全性和可靠性，以及不可抵赖性。\n[0119] 8、在每个设备端，都通过其自己的数字证书，基于标识提取对应的标识公钥，实现了离线方式的本地密钥交换，极大的方便了系统的应用和高强度安全保障。\n[0120] 9、构建了整个视音频监控系统的信息数据，指令在任何平台和模式下都是全密态传输和交互的体系。\n[0121] 对于方法实施方式，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施方式并不受所描述的动作顺序的限制，因为依据本发明实施方式，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施方式均属于优选实施方式，所涉及的动作并不一定是本发明实施方式所必须的。\n[0122] 图8是本发明一种视音频展示设备的结构框图；参照图8，所述视音频展示设备包括：\n[0123] 公钥获取单元801，用于根据视音频监控设备标识从标识公钥矩阵中获取对应的第一标识公钥；\n[0124] 非对称加密单元802，用于通过所述第一标识公钥对待传输的指令明文进行非对称加密，得到指令密文；\n[0125] 密文签名单元803，用于采用本地设备的第一标识私钥对所述指令密文进行签名；\n[0126] 密文发送单元804，用于将签名后的指令密文发送至所述视音频监控设备，以使所述视音频监控设备根据所述签名后的指令密文进行安全认证。\n[0127] 在本发明的一种可选实施方式中，所述视音频展示设备还包括：\n[0128] 标识接收单元，用于接收并存储由所述视音频监控设备发送的所述视音频监控设备标识。\n[0129] 图9是本发明一种视音频监控设备的结构框图；参照图9，所述视音频监控设备包括：\n[0130] 密文接收单元901，用于接收视音频展示设备发送的指令密文；\n[0131] 公钥获取单元902，用于根据视音频展示设备标识从标识公钥矩阵中获取对应的第二标识公钥；\n[0132] 签名验证单元903，用于通过所述第二标识公钥验证所述指令密文的签名；\n[0133] 密文解密单元904，用于在验证通过时，采用本地设备的第二标识私钥对所述指令密文进行解密，得到指令明文，以实现安全认证。\n[0134] 在本发明的一种可选实施方式中，所述视音频监控设备还包括：\n[0135] 标识接收单元，用于接收并存储由所述视音频展示设备发送的所述视音频展示设备标识。\n[0136] 在本发明的一种可选实施方式中，所述视音频监控设备还包括：\n[0137] 指令执行单元，用于按照所述指令明文执行指令。\n[0138] 对于装置实施方式而言，由于其与方法实施方式基本相似，所以描述的比较简单，相关之处参见方法实施方式的部分说明即可。\n[0139] 应当注意的是，在本发明的装置的各个部件中，根据其要实现的功能而对其中的部件进行了逻辑划分，但是，本发明不受限于此，可以根据需要对各个部件进行重新划分或者组合。\n[0140] 本发明的各个部件实施方式可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本装置中，PC通过实现因特网对设备或者装置远程控制，精准的控制设备或者装置每个操作的步骤。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样实现本发明的程序可以存储在计算机可读介质上，并且程序产生的文件或文档具有可统计性，产生数据报告和cpk报告等，能对功放进行批量测试并统计。应该注意的是上述实施方式对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施方式。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。\n[0141] 以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。