著录项信息
专利名称 | 基于双向安全认证的点对点协议的IPCamera服务实现方法 |
申请号 | CN201010279061.8 | 申请日期 | 2010-09-10 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2011-01-05 | 公开/公告号 | CN101938485A |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04L29/06 | IPC分类号 | H04L29/06;H04L29/08;H04L9/32查看分类表>
|
申请人 | 上海复控华龙微系统技术有限公司 | 申请人地址 | 上海市浦东新区春晓路439号***
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 上海复控华龙微系统技术有限公司 | 当前权利人 | 上海复控华龙微系统技术有限公司 |
发明人 | 廖小勇;盛秀梅;罗友军;金国壅;顾宇斌;杨松绍;张茵 |
代理机构 | 上海天翔知识产权代理有限公司 | 代理人 | 蒋卫国 |
摘要
本发明公开了一种基于双向安全认证的点对点协议的IP?Camera服务实现方法,其基于一个由网络摄像终端、客户端以及服务平台所构建的服务系统。其中,网络摄像终端用于采集和传送被监控对象图像和音频,客户端用于控制和调整网络摄像终端的运行状态,服务平台用于协助网络摄像终端和客户端建立通信连接。主要方案是:(1)网络摄像终端从服务平台获取配置,与服务平台双向安全认证,然后保持心跳连接等待客户端访问;(2)客户端向服务平台访问门户并登录;(3)客户端向服务平台发出访问和控制网络摄像终端的信令,同时服务平台根据客户端操作转发控制信令;(4)客户端与网络摄像终端在服务平台的协助下建立点对点音视频连接。
1.基于双向安全认证的点对点协议的IP Camera服务实现方法,包括一个由网络摄像终端、客户端以及服务平台所构建的服务系统;其中,网络摄像终端用于采集和传送被监控对象图像和音频,客户端用于控制和调整网络摄像终端的运行状态,服务平台用于协助网络摄像终端和客户端建立通信连接;
其特征在于,包括以下步骤:
⑴网络摄像终端从服务平台获取配置,与服务平台双向安全认证,然后保持心跳连接等待客户端访问;
⑵客户端向服务平台访问门户或通过程序访问服务平台并登录;
⑶客户端向服务平台发出访问和控制网络摄像终端的信令,同时服务平台根据客户端转发控制信令;
⑷客户端与网络摄像终端在服务平台的协助下建立点对点音视频连接;
所述网络摄像终端连接服务平台获取用于注册和认证的配置信息由加密算法E1内置于网络摄像终端和服务平台内;网络摄像终端用E1加密特征信息,向服务平台发送获取配置信息的请求;服务平台收到请求后用E1解密判断网络摄像终端是否合法,如合法则将配置信息用E1加密后发送给网络摄像终端;网络摄像终端用E1解密后判断服务平台是否合法,同时获取配置信息;
所述网络摄像终端根据该配置信息向服务平台注册由加密算法E2内置于网络摄像终端和服务平台内;网络摄像终端根据之前获取的配置信息,向服务平台发送用E2加密注册信息;服务平台收到请求后用E2解密判断网络摄像终端是否合法,如合法则将注册成功信息用E2加密后发送给网络摄像终端;网络摄像终端用E2解密后判断服务平台是否合法,同时获取注册成功信息;
所述加密算法E1和E2为不相同的加密算法。
2.根据权利要求1的基于双向安全认证的点对点协议的IP Camera服务实现方法,其特征在于,所述网络摄像终端注册成功后,与服务平台保持心跳连接,等待客户端连接。
3.根据权利要求1的基于双向安全认证的点对点协议的IP Camera服务实现方法,其特征在于,所述步骤⑵中客户端向服务平台访问门户或通过程序访问服务平台并登录是由客户端访问服务平台的登录界面或由客户端安装程序并通过程序访问服务平台,服务平台的门户服务返回链接信息和加密所需信息;用户在客户端输入用户名、密码,加密后向服务平台提交认证请求;服务平台收到请求后判断登录是否成功并响应结果;如登录成功,客户端可进行看视频、控制云台和调整参数这些操作;服务平台根据情况将操作信令转发给网络摄像终端,网络摄像终端进行响应后服务平台再响应客户端,即所有控制信令都经由服务平台中间处理和转发。
4.根据权利要求1的基于双向安全认证的点对点协议的IP Camera服务实现方法,其特征在于,所述步骤⑷中建立点对点音视频连接是由网络摄像终端和客户端从服务平台的点对点连接服务获取各自的公网地址和端口;为了防止在进行穿越之后由于端口长时间处于不活动的状态从而导致相应的端口映射被关闭,网络摄像终端和客户端周期性地向点对点连接服务发送保持连接数据包以保持端口映射关系;所述网络摄像终端以及客户端在注册消息中包含点对点参数,包括网络类型及点对点通信能力;所述网络摄像终端或者客户端需要进行点对点通信时,由服务平台判断相互的网络类型、点对点通信能力、公网IP地址和端口号;在音视频数据流发送之前,网络摄像终端以及客户端需要发送穿网包以建立连接,之后双方即可进入音视频流传输阶段,期间网络摄像终端以及客户端均要求周期性地发送穿网包以保持该连接。
5.根据权利要求1的基于双向安全认证的点对点协议的IP Camera服务实现方法,其特征在于,所述步骤⑷中建立音视频连接后,网络摄像终端用内置加密算法E3及用户自定义密钥K1加密音视频码流,加密的音视频码流通过网络传输到客户端,由客户端程序内置加密算法E3及用户输入密钥进行解密;如用户输入密钥与加密密钥K1相同,则可完成解密并观看视频;如用户输入密钥与加密密钥K1不同,则无法完成解密。
基于双向安全认证的点对点协议的IP Camera服务实现方
法
技术领域:
[0001] 本发明涉及互联网中多媒体信息通信技术,特别涉及一种基于双向安全认证的点对点协议的IP Camera服务实现方法。
背景技术:
[0002] 随着技术的进步,网络摄像机(也称为IPCAM或者IP camera)技术现在已经得到了广泛的应用。
[0003] 而这其中,目前比较多应用的是消费类产品,即普通消费者无需通过电信运营商,可以在电子卖场或者安防卖场等可以购买到的IPCAM。消费类IPCAM主要用于家庭中对老人或孩子的监看,以及家庭安防、企业监看等。
[0004] 而这些消费类IPCAM主要缺点为:设置繁琐,成功率很低。整个过程除了要设置IPCAM网络连接方式及地址外,使用过程中还涉及以下设置过程:
[0005] 1.第一步:开设动态域名服务(DDNS)帐号。例如在花生壳或3322等DDNS服务供应商那里注册用户,并在用户下开设相应域名,并且需要知晓DDNS服务的设置方式。 [0006] 2.第二步:在IPCAM上设置DDNS帐号。需要登录IPCAM的管理界面,找到DDNS设置,在其中设置第一步中注册的用户名和密码以及开设域名,不同DDNS服务的设置方式和内容会有所不同。
[0007] 3.第三步:在路由器上启用NAT策略。将某固定端口映射到IPCAM的内网地址上。
[0008] 只有在确保上述三个步骤全部正确的情况下,消费类IPCAM才能顺利使用。全过程设置繁琐,对于不熟悉IT技术的普通消费者成功率很低。
[0009] 当然,除了上述常规的IPCAM外,中国电信目前也推出了“家庭全球眼”的网络摄像机产品服务,其功能与消费类产品相同,所不同的是:
[0010] 1.用户参加电信套餐或单独购买产品,电信服务人员上门安装终端; [0011] 2.所有终端连接到电信自己建设的网络服务平台,用户通过访问服务平台 进行视频访问;
[0012] 3.视频码流全部通过服务平台转发,即终端将码流发给服务平台,服务平台再分发给各连接用户。
[0013] 这种模式主要缺点在于视频码流全部通过服务平台转发,每台服务平台所能承载的终端数量较少,导致平均运营成本较高。
发明内容:
[0014] 为了简化消费者在使用过程中繁琐的设置过程,同时降低提供服务的运营商的服务器由于担负着整个通信过程中传送数据码流所承载的巨大压力,本发明提出了一种在确保通信安全的基础上基于双向安全认证的点对点协议的IPCamera服务实现方法。 [0015] 如图1所示,这种基于双向安全认证的点对点协议的IP Camera服务实现方法,其基于一个由网络摄像终端、客户端以及服务平台所构建的服务系统。其中,网络摄像终端用于采集和传送被监控对象图像和音频,客户端用于控制和调整网络摄像终端的运行状态,服务平台用于协助网络摄像终端和客户端建立通信连接。主要方案是: [0016] (1)网络摄像终端从服务平台获取配置,与服务平台双向安全认证,然后保持心跳连接等待客户端访问;
[0017] (2)客户端向服务平台访问门户或通过程序访问服务平台并登录; [0018] (3)客户端向服务平台发出访问和控制网络摄像终端的信令,同时服务平台根据客户端转发控制信令;
[0019] (4)客户端与网络摄像终端在服务平台的协助下建立点对点音视频连接。 [0020] 上述方案中,所述步骤(1)中网络摄像终端与服务平台的双向安全认证是由网络摄像终端连接服务平台获取用于注册和认证等配置信息,之后网络摄像终端根据该配置信息向服务平台注册继而完成双向认证。
[0021] 上述方案中,所述网络摄像终端连接服务平台获取用于注册和认证等配置信息由加密算法E1(E1可以是DES、3DES、RC2、RC4、IDEA、RSA、DSA、AES等加密算法)内置于网络摄像终端和服务平台内;网络摄像终端用E1加密特征信息,向服务平台发送获取配置信息的请求;服务平台收到请求后用 E1解密判断网络摄像终端是否合法,如合法则将配置信息用E1加密后发送给网络摄像终端;网络摄像终端用E1解密后判断服务平台是否合法,同时获取配置信息;
[0022] 上述方案中,所述网络摄像终端根据该配置信息向服务平台注册由加密算法E2(E2可以是DES、3DES、RC2、RC4、IDEA、RSA、DSA、AES等加密算法)内置于网络摄像终端和服务平台内;网络摄像终端根据之前获取的配置信息,向服务平台发送用E2加密注册信息;服务平台收到请求后用E2解密判断网络摄像终端是否合法,如合法则将注册成功信息用E2加密后发送给网络摄像终端;网络摄像终端用E2解密后判断服务平台是否合法,同时获取注册成功信息。
[0023] 上述方案中,所述网络摄像终端注册成功后,与服务平台保持心跳连接,等待客户端连接。
[0024] 上述方案中,所述步骤(2)中客户端向服务平台访问门户或通过程序访问服务平台并登录是由客户端访问服务平台的登录界面或由客户端安装程序并通过程序访问服务平台,服务平台的门户服务返回链接信息和加密所需信息;用户在客户端输入用户名、密码等,加密后向服务平台提交认证请求;服务平台收到请求后判断登录是否成功并响应结果;
如登录成功,客户端可进行看视频、控制云台和调整参数等操作;服务平台根据情况将操作信令转发给网络摄像终端,网络摄像终端进行响应后服务平台再响应客户端,即所有控制信令都经由服务平台中间处理和转发。
[0025] 上述方案中,所述步骤(4)中建立点对点音视频连接是由网络摄像终端和客户端从服务平台的点对点连接服务获取各自的公网地址和端口;为了防止在进行穿越之后由于端口长时间处于不活动的状态从而导致相应的端口映射被关闭,网络摄像终端和客户端周期性地向点对点连接服务发送保持连接数据包以保持端口映射关系;所述网络摄像终端以及客户端在注册消息中包含点对点参数,包括网络类型及点对点通信能力;所述网络摄像终端或者客户端需要进行点对点通信时,由服务平台判断相互的网络类型、点对点通信能力、公网IP地址和端口号;在音视频数据流发送之前,网络摄像终端以及客户端需要发送穿网包以建立连接,之后双方即可进入音视频流传输阶段,期间网络摄像终端 以及客户端均要求周期性地发送穿网包以保持该连接。
[0026] 上述方案中,所述步骤(4)中建立音视频连接后,网络摄像终端用内置加密算法E3(E3可以是DES、3DES、RC2、RC4、IDEA、RSA、DSA、AES等加密算法)及用户自定义密钥(K1)加密音视频码流,加密的音视频码流通过网络传输到客户端,由客户端程序内置加密算法E3及用户输入密钥进行解密;如用户输入密钥与加密密钥K1相同,则可完成解密并观看视频;如用户输入密钥与加密密钥K1不同,则无法完成解密。
[0027] 对于上述提及的加密算法E1、E2和E3,能够使得E1、E2和E3这三者分别采用不同的加密算法,或能够使得三者中任意两个采用相同的加密算法,或能够使得三者都采用相同的加密算法。这全是根据实际应用时对安全等级的需要来设定的。 [0028] 本发明所述系统中的网络摄像终端放置在家中(中小企业也适用),可通过无线Wi-Fi或者以太网与路由器连接,通过互联网与服务平台连接,或直接通过3G等无线通讯方式与服务平台连接。
[0029] 客户端可以是个人电脑或者手机。个人电脑一般位于路由器后的局域网内,可访问互联网。手机可通过GPRS、EDGE、3G或Wi-Fi等方式上网。
[0030] 服务平台架设在互联网上,包括以下组成部分:
[0031] 1.门户服务。用户或客户端程序访问的门户,通过登录验证后可进行各种交互操作。
[0032] 2.信令服务。负责用户客户端与终端之间控制信令的处理。
[0033] 3.点对点连接服务。协助终端和客户端进行网关穿透和点对点连接。 [0034] 4.码流转发服务。无法点对点时提供音视频码流转发,确保100%视频可看。 [0035] 5.配置服务。服务平台对终端和客户端进行配置和管理。
[0036] 6.数据库。记录所有终端、客户端和服务平台的数据及使用情况。 [0037] 由此可见,本发明系统通过运用“点对点”技术和认证加密验证技术,并将设置使用方式方便、简洁化,解决了市场现有IPCAM产品存在的缺陷,大大提高了产品的易用性。 [0038] 本发明系统的服务平台对终端和客户端会进行安全认证。而服务平台通过 用户自助注册和100%的视频查看来实现良好的用户体验。用户购买终端后可以登录服务平台,通过门户服务进行用户注册,以及添加、删除终端、修改和找回登录密码等。这样极大简化了业务应用模式。
[0039] 另外,服务平台的点对点连接服务会提供很高的点对点连接成功率,但在某些特定网络情况下还会遇到障碍无法实现点对点连接。在这种情况下,服务平台的码流转发服务会将终端音视频码流转发至客户端,即服务平台会控制终端将码流发送到码流转发服务,再由码流转发服务发送给客户端,确保100%的视频可看。
[0040] 另一方面,服务平台采用点对点技术实现音视频码流直接由终端发送至客户端,解决了电信“家庭全球眼”现有音视频码流全转发所导致的服务器压力问题,大大提高了单台服务器的承载能力,从而大大降低了终端的平均服务成本。
附图说明:
[0041] 以下结合附图和具体实施方式来进一步说明本发明。
[0042] 图1为本发明所述系统的基本结构和工作流程框图;
[0043] 图2为本发明所述系统在具体应用时的结构原理图;
[0044] 图3为本发明所述系统中网络摄像终端与服务平台双向安全认证的流程图; [0045] 图4为本发明所述系统中客户端与服务平台之间的工作流程图; [0046] 图5为本发明所述系统中网络摄像终端与客户端点对点连接过程的流程图。 具体实施方式:
[0047] 为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
[0048] 如图2所示,图中所示为本发明方法的典型应用案例,其中除了包括方案中描述的网络摄像终端(终端/IPCAM)、客户端(个人电脑、手机/MID)以及服务平台以外,还包括用来连接网络摄像终端和服务平台的家庭无线路由器、 用来连接作为客户端的个人电脑和服务平台的企业路由器。另外,手机/MID等设备还可以通过GPRS、EDGE、3G或Wi-Fi等方式与服务平台建立通信连接。
[0049] 上述这些设备中,网络摄像终端放置在家中,用户在单位访问。 [0050] 家中无线路由器通过ADSL连接互联网,获取到外网IP地址为180.45.109.124,配置内网网段为10.0.0.x。终端通过Wi-Fi与无线路由器连接,获取到IP地址为10.0.0.2。 [0051] 单位企业路由器通过光纤专线连接互联网,外网IP地址为202.95.223.213,配置内网网段为192.168.1.x。用户的个人电脑配置的IP地址为192.168.1.66,操作系统为Windows XP,使用Internet Explorer 8.0浏览器。
[0052] 终端在家中通过无线路由器向服务平台完成认证和注册,并保持心跳连接。 [0053] 用户在单位通过企业路由器访问服务平台,验证通过后可通过服务平台向终端发送控制信令。如需要看视频,由服务平台判断双方互联网类型:如可以进行点对点连接,则根据网络情况发送信令给双方进行点对点连接;如无法进行点对点连接,则发送信令给IPCAM终端,让其发送视频码流给服务平台,由服务平台转发给用户客户端。 [0054] 如图3所示,终端连接服务平台之间的双向安全认证过程,即终端启动后,在确保可以连接互联网的情况下,实现以下步骤:
[0055] 1、连接服务平台获取用于注册和认证等配置信息,同时完成双向认证。加密算法E1内置于终端和服务平台内。终端用E1加密特征信息,向服务平台发送获取配置信息的请求。服务平台收到请求后用E1解密判断终端是否合法,如合法则将配置信息用E1加密后发送给终端。终端用E1解密后判断服务平台是否合法,同时获取配置信息。 [0056] 2、终端根据配置信息向服务平台注册,同时完成双向认证。加密算法E2内置于终端和服务平台内。终端根据之前获取的配置信息,向服务平台发送用E2加密注册信息。服务平台收到请求后用E2解密判断终端是否合法,如合法则将注册成功信息用E2加密后发送给终端。终端用E2解密后判断服务平台是 否合法,同时获取注册成功信息。 [0057] 终端注册成功后,与服务平台保持心跳链接,等待客户端连接。 [0058] 如图4所示,客户端与服务平台之间用户的通信工作过程主要是用户通过个人电脑或者手机/MID进行客户端登录,完成以下步骤:
[0059] 1、客户端访问服务平台的登录界面,服务平台的门户服务返回链接信息和加密所需信息。
[0060] 2、用户在客户端输入用户名、密码等,加密后向服务平台提交认证请求。服务平台收到请求后判断登录是否成功并响应结果。
[0061] 3、如登录成功,客户端可进行各种操作,如看视频、控制云台和调整参数等。服务平台根据情况将操作信令转发给终端,终端进行响应后服务平台再响应客户端。 [0062] 如图5所示,终端以及客户端通过服务平台的点对点连接服务进行路由器/防火墙的NAT穿越,并完成点对点音视频链接,完成以下步骤:
[0063] 1、终端和客户端从服务平台的点对点连接服务获取各自的公网地址和端口。为了防止在进行穿越之后由于端口长时间处于不活动的状态从而导致相应的端口映射被关闭,终端和客户端周期性地向点对点连接服务发送保持连接数据包以保持端口映射关系。 [0064] 2、终端以及客户端在注册消息中包含点对点参数,包括网络类型及点对点通信能力等。
[0065] 3、终端或者客户端需要进行点对点通信时,由服务平台判断相互的网络类型、点对点通信能力、公网IP地址和端口号。在音视频数据流发送之前,终端以及客户端需要发送穿网包以建立连接,之后双方即可进入音视频流传输阶段,期间终端以及客户端均要求周期性地发送穿网包以保持该连接。
[0066] 另外,用户可在终端上设置音视频码流的加密密码。当用户设置加密密码后,终端会将所发出的音视频码流进行加密,即终端与客户端之间在网络上传送的码流是加密传输的,用户只有在客户端输入密码才能进行解密。这样可以确保音视频传输的安全和保密性。 [0067] 系统可实现码流多路连接。当多个客户端访问同一个终端时,终端采取视频码流多路复制(同时降低单路码流)、音频码流时分复用的方式。这样可以 在因特网带宽有限的情况下实现多客户端同时访问,且尽量确保使用效果。
[0068] 当终端和客户端在同一局域网时,可自动或手动切换至局域网模式,即音视频码流直接在局域网内部传输而不再通过因特网。这样可大大减小因特网带宽和服务平台的压力。
[0069] 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
法律信息
- 2014-05-14
- 2011-03-02
实质审查的生效
IPC(主分类): H04L 29/06
专利申请号: 201010279061.8
申请日: 2010.09.10
- 2011-01-05
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2009-04-22
|
2008-11-21
| | |
2
| |
2009-01-28
|
2008-09-18
| | |
3
| |
2008-07-30
|
2007-01-22
| | |
4
| |
2009-06-17
|
2008-12-26
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |