一種sip視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法及系統(tǒng)�,各SIP終端進(jìn)行入網(wǎng)操作����,SIP終端分別與SIP服務(wù)計算共享單播密鑰;SIP服務(wù)器計算生成點對點認(rèn)證密鑰及視頻加密密鑰;經(jīng)加密處理后下發(fā)給相應(yīng)的SIP終端�����;SIP終端利用認(rèn)證密鑰生成并交換點到點認(rèn)證令牌實現(xiàn)雙向身份認(rèn)證�;完成雙向身份認(rèn)證的兩個SIP終端進(jìn)行信息交互�;SIP終端內(nèi)預(yù)置認(rèn)證期限,認(rèn)證期滿��,SIP終端進(jìn)行雙向身份重認(rèn)證���,認(rèn)證通過繼續(xù)進(jìn)行信息交互��;本發(fā)明中所述密鑰采取實時分發(fā)的處理方法�����,解決了現(xiàn)有技術(shù)中將密鑰預(yù)置在設(shè)備中��,導(dǎo)致密鑰容易泄露的技術(shù)問題���,且定期進(jìn)行終端身份重認(rèn)證及更新視頻加密密鑰,大大提高了密鑰的安全性����。
【專利說明】-種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及視頻監(jiān)控聯(lián)網(wǎng)領(lǐng)域��,尤其涉及一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理 方法及系統(tǒng)����。
【背景技術(shù)】
[0002] 近年來�,視頻監(jiān)控系統(tǒng)已經(jīng)由原來的模擬監(jiān)控、數(shù)字監(jiān)控逐步發(fā)展升級成完全基 于IP網(wǎng)絡(luò)的視頻監(jiān)控系統(tǒng)(IPVS)��,并且將SIP作為未來市場網(wǎng)絡(luò)視頻監(jiān)控的主流協(xié)議已成 為業(yè)界共識���?;赟IP的安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)可謂是今后視頻監(jiān)控領(lǐng)域發(fā)展的主流 趨勢���。但是����,由于IP網(wǎng)絡(luò)固有的開放式特點����、IP網(wǎng)絡(luò)和SIP協(xié)議本身存在的安全缺陷以及 應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全隱患,使得整個基于IP的視頻監(jiān)控系統(tǒng)及其設(shè)備都面臨著嚴(yán)峻的信 息安全風(fēng)險�����。除了基本的防止攻擊、防止非法入侵�、防病毒等要求之外,還需要保證只有合 法用戶才可以訪問和使用視頻監(jiān)控系統(tǒng)提供的服務(wù)���。為了實現(xiàn)上述要求��,網(wǎng)絡(luò)視頻監(jiān)控業(yè) 務(wù)運營管理系統(tǒng)更需要設(shè)計完善的安全性機制,從多方面保證系統(tǒng)的安全性����。系統(tǒng)和設(shè)備 需要從網(wǎng)絡(luò)接入安全、傳輸和網(wǎng)絡(luò)安全以及數(shù)據(jù)存儲�����、訪問安全等層次來保證從硬件到軟 件��、前端到中心��、局部到整體進(jìn)行全方位�、全過程、全時段的信息安全防范�����。
[0003] 而且,在一些重點�����、敏感監(jiān)控區(qū)域(例如銀行����、金庫)的視頻監(jiān)控系統(tǒng)中,視頻圖像 如果由于缺少信息安全防護(hù)而導(dǎo)致被未經(jīng)授權(quán)的訪問���、使用���、修改和破壞的話,則將會產(chǎn)生 極大的損失��。例如攻擊者通過IP網(wǎng)絡(luò)�����,輕而易舉地侵入監(jiān)控設(shè)備��,發(fā)起例如竊取或篡改監(jiān) 控畫面��、對攝像機進(jìn)行非法操控等攻擊,進(jìn)而達(dá)到窺探隱私���、威脅用戶���、相關(guān)管理部門、政府 甚至國家公共安全的目的�����。
[0004] 為了防止攻擊者竊取��、窺視重點監(jiān)控區(qū)域的視頻圖像��,可以在傳輸時先對視頻碼 流進(jìn)行加密處理后再發(fā)送��,然后在查看時先對視頻碼流進(jìn)行解密后再播放��。這樣一來�����,即使 攻擊者竊取到視頻數(shù)據(jù)�,由于沒有正確的解密密鑰�����,也無法解密視頻圖像,更不能正常播放 視頻�����。
[0005] 但是���,由于視頻數(shù)據(jù)量較大���,而且需要進(jìn)行實時加密,這對于前端視頻采集設(shè)備 (即攝像機)中的加密模塊的處理速度要求較高���,所以一般情況下�,推薦采用處理速度較快 的對稱加密算法加密實時的視頻碼流����。由于對稱加密算法的加密和解密密鑰是相同的,因 此其安全性完全依賴于密鑰的安全��,如果密鑰一旦泄露��,那也就意味著未經(jīng)授權(quán)者也能對 視頻數(shù)據(jù)進(jìn)行解密操作���。因此�,如果在對稱密鑰的協(xié)商、生成�、分發(fā)、存儲環(huán)節(jié)中的安全不能 得到保障的話���,那么對于加密視頻數(shù)據(jù)的安全也就無從談起了����?��?梢哉f����,基于SIP的安全防 范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)中的密鑰(尤其是視頻加/解密密鑰)協(xié)商�����、分發(fā)是一個極為關(guān)鍵的 環(huán)節(jié)����。
[0006] 目前��,現(xiàn)有市面上的各大視頻監(jiān)控廠家的產(chǎn)品或系統(tǒng)中所提供的加密方式,一般 都是使用(對稱加密算法)AES協(xié)處理器來對視頻進(jìn)行加密處理�,但是其加/解密碼流的密 鑰都是預(yù)置的,并非實時分發(fā)的�,其系統(tǒng)可擴(kuò)展性和靈活性極差。
[0007] 在方案CN 101729854 A中����,雖然提出了一種用于SIP視頻監(jiān)控系統(tǒng)加解密碼流密 鑰實時分發(fā)方法。但是其方案的安全性完全依賴于SIP服務(wù)器這個第三方控制者來實現(xiàn)間 接認(rèn)證�,而攝像機、網(wǎng)絡(luò)硬盤錄像機�、用戶客戶端并沒有進(jìn)行直接的雙向認(rèn)證,也就是一旦 SIP癱瘓�����,那么攝像機�、網(wǎng)絡(luò)硬盤錄像機、用戶客戶端三者之間就無法繼續(xù)進(jìn)行認(rèn)證操作了����, 這在系統(tǒng)魯棒性上是一個致命的缺陷。因此�����,綜上可知,有必要根據(jù)SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng) 的應(yīng)用環(huán)境和特點���,來重新設(shè)計密鑰協(xié)商�、分發(fā)�����、更新機制����,以此來解決最為基礎(chǔ)和重要的 密鑰安全問題。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明所要解決的技術(shù)問題是針對現(xiàn)有技術(shù)的不足�����,提供一種SIP視頻監(jiān)控聯(lián)網(wǎng) 系統(tǒng)的密鑰管理方法及系統(tǒng)�。
[0009] 本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下:一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管 理方法,包括如下步驟:
[0010] 步驟1:各SIP終端�����、SIP服務(wù)器和認(rèn)證服務(wù)器進(jìn)行三元對等身份認(rèn)證�����,實現(xiàn)SIP終 端的入網(wǎng)操作����,其中所述SIP終端包括視頻采集設(shè)備IPC、視頻存儲設(shè)備NVR及用戶客戶端 Client ��;
[0011] 步驟2 :SIP終端分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會話協(xié)商�����,各自獲得與 SIP服務(wù)器之間的共享單播密鑰�����;
[0012] 步驟3 :SIP服務(wù)器利用相應(yīng)的共享單播密鑰生成需要進(jìn)行信息交互的IPC����、NVR或 Client間的點對點身份認(rèn)證的認(rèn)證密鑰及視頻加密密鑰,并建立以時間為索引的密鑰庫����;
[0013] 步驟4 :SIP服務(wù)器利用相應(yīng)的共享單播密鑰加密步驟2中所述認(rèn)證密鑰及視頻 加密密鑰,將加密的認(rèn)證密鑰發(fā)送給進(jìn)行交互的SIP終端��,將視頻加密密鑰發(fā)送給IPC或 Client ;
[0014] 步驟5 :進(jìn)行信息交互的兩個SIP終端利用SIP服務(wù)器下發(fā)的認(rèn)證密鑰�,生成并交 換點到點認(rèn)證令牌實現(xiàn)雙向身份認(rèn)證;
[0015] 步驟6 :完成雙向身份認(rèn)證的兩個SIP終端進(jìn)行信息交互���;
[0016] 步驟7 :SIP終端內(nèi)預(yù)置認(rèn)證期限����,認(rèn)證期滿��,SIP終端進(jìn)行雙向身份重認(rèn)證���,認(rèn)證 通過繼續(xù)進(jìn)行信息交互����。
[0017] 本發(fā)明的有益效果是:本發(fā)明中所述密鑰采取實時分發(fā)的處理方法���,解決了現(xiàn)有 技術(shù)中將密鑰預(yù)置在設(shè)備中�,導(dǎo)致密鑰容易泄露的技術(shù)問題���,且定期進(jìn)行終端身份重認(rèn)證 及及時跟新密鑰�,大大提高了密鑰的安全性�,進(jìn)而提高了終端設(shè)備間信息交互的安全性��;本 發(fā)明的重認(rèn)證機制,完成初次身份認(rèn)證的SIP終端的重認(rèn)證將不受SIP服務(wù)器的影響�����,即使 SIP服務(wù)器出現(xiàn)故障不能正常工作���,SIP終端將能正常進(jìn)行重認(rèn)證并繼續(xù)進(jìn)行信息交互��。
[0018] 在上述技術(shù)方案的基礎(chǔ)上�,本發(fā)明還可以做如下改進(jìn)����。
[0019] 進(jìn)一步,步驟2中所述共享單播密鑰包括單播加密密鑰CK����,單播完整性校驗密鑰 IK,密鑰加密密鑰KEK;
[0020] IPC與SIP服務(wù)器之間共享的單播加密密鑰���、單播完整性校驗密鑰�����、密鑰加密密鑰 依次為 CK_IPC�����、IK_IPC��、KEK_IPC ;
[0021] NVR與SIP服務(wù)器之間共享的單播加密密鑰���、單播完整性校驗密鑰�、密鑰加密密鑰 依次為 CK_NVR���、IK_NVR�、KEK_NVR ;
[0022] Client與SIP服務(wù)器之間共享的單播加密密鑰����、單播完整性校驗密鑰、密鑰加密 密鑰依次為 CK_Client��、IK_Client��、KEK_Client�。
[0023] 進(jìn)一步,步驟3中SIP服務(wù)器利用相應(yīng)的共享單播密鑰生成進(jìn)行信息交互的SIP 終端進(jìn)行點對點身份認(rèn)證的認(rèn)證密鑰及視頻加密密鑰的具體實現(xiàn)為:
[0024] 步驟3. 1 :SIP服務(wù)器計算得到IPC與NVR之間的單播完整性校驗密鑰IK_IPC_ NVR����,Client與NVR之間的單播完整性校驗密鑰IK_Client_NVR��,以及單播加密密鑰CK_IPC_ NVR����,計算算法如下�����,
[0025] IK_IPC_NVR = SHA256(IK_IPC||IK_NVR)
[0026] IK_Client_NVR = SHA256(IK_Client||IK_NNR)
[0027] CK_IPC_NVR = SHA256(CK_IPC||CK_NVR)
[0028] 步驟3. 2 :SIP服務(wù)器利用單播加密密鑰CK_IPC_NVR計算得到IPC的視頻加密密 鑰CK_Video,計算算法如下���,
[0029] CK_Video = CK_IPC_NVR · P = SHA(CK_IPC| | CK_NVR) · P,
[0030] 其中,P是在三元對等身份認(rèn)證中所采用的n階橢圓曲線群Fn的生成元�,n是一個 素數(shù)。
[0031] 進(jìn)一步��,步驟4的具體實現(xiàn)為:
[0032] 步驟4 1 :SIP服務(wù)器利用KEK_IPC對IK_IPC_NVR和CK_Video加密后發(fā)送給IPC�, IPC利用與SIP服務(wù)器共享的KEK_IPC對其進(jìn)行解密得到IK_IPC_NVR和CK_Video ;
[0033] 步驟4. 2 :SIP服務(wù)器利用KEK_NVR對IK_IPC_NVR加密后發(fā)送給NVR,NVR利用與 SIP服務(wù)器共享的KEK_NVR對其進(jìn)行解密得到IK_IPC_NVR ;
[0034] 步驟 4. 3 :SIP 服務(wù)器利用 KEK_Client 對 IK_Client_NVR 和 CK_Video 加密后發(fā)送 Client��,Client利用與SIP服務(wù)器共享的KEK_Client對其進(jìn)行解密得到IK_Client_NVR和 CK_Video�����。
[0035] 采用上述進(jìn)一步方案的有益效果是:為了提高視頻加密密鑰CK_Video和密文視 頻數(shù)據(jù)的安全性,將視頻加密密鑰CK_Video發(fā)給IPC和Client�����,并沒有發(fā)送給NVR���,密文視 頻在NVR處進(jìn)行密文存儲和檢索�����,并不進(jìn)行解密����,進(jìn)而大大提高了視頻數(shù)據(jù)存儲的安全性�����。
[0036] 進(jìn)一步�,步驟5的具體實現(xiàn)為:
[0037] 步驟5. 1 :SIP終端利用SIP服務(wù)器下發(fā)的認(rèn)證密鑰生成點對點認(rèn)證令牌,并將各 自的認(rèn)證令牌發(fā)給對方�����;
[0038] 步驟5.2 :接收到認(rèn)證令牌的SIP終端利用單播完整性校驗密鑰��,通過 HMAC-SHA256算法來驗證認(rèn)證令牌中的單播數(shù)據(jù)消息認(rèn)證碼是否正確,若正確則檢查單播 完整性校驗密鑰的地址字段是否與自己當(dāng)前所認(rèn)同的一致���,如果一致則檢查對方時間與自 身的系統(tǒng)時間之差�,是否在可以接受的范圍之內(nèi)�,如果可以接受,則完成驗證工作�����;
[0039] 步驟5. 3 :兩個SIP終端雙向身份認(rèn)證通過后���,IPC與NVR按照以下算法計算出下 一次重認(rèn)證所需的單播完整性校驗密鑰reauth_IK_IPC_NVRnew,
[0040] reauth_IK_IPC_NVRnew = KD-HMAC-SHA256 (reauth_IK_IPC_NVR,
[0041] MACIPC| IMAC^rI |randIPC| |randNVE
[0042] | | ''reauthentication IK expansion for key and additional nonce")
[0043] 其中���,reauth_IK_IPC_NVRnew 為下一次身份認(rèn)證所需的����,reauth_IK_IPC_NVR 為 本次完成的身份認(rèn)證使用的單播完整性校驗密鑰�����;MACirc為IPC的物理地址���,MAQ?為NVR的 物理地址����,randirc為IPC生成的隨機數(shù),rand·��;為NVR生成的隨機數(shù)��,"reauthentication IK expansion for key and additional nonce"為固定字符串���,表不該操作用于重認(rèn)證IK 的密鑰生成和隨機數(shù)生成�;
[0044] 所述Client與NVR計算下一次重認(rèn)證單播完整性校驗密鑰的方法與IPC與NVR 生成下一次重認(rèn)證所需單播完整性校驗密鑰的方法相同���。
[0045] 進(jìn)一步��,步驟6的具體實現(xiàn)為完成雙向身份認(rèn)證的IPC��、NVR和Client進(jìn)行如下信 息交互:
[0046] 步驟6. 1 :IPC利用視頻加密密鑰CK_Video對采集的視頻數(shù)據(jù)行加密處理�����,并發(fā)送 給NVR進(jìn)行存儲�����;
[0047] 步驟6. 2 :Client需要獲取某個IPC上傳到NVR的視頻數(shù)據(jù)時���,向SIP服務(wù)器發(fā)送 請求����,SIP服務(wù)器將相應(yīng)是視頻解密密鑰CK_Video發(fā)送給Client ;
[0048] 步驟6. 3 :Client向相應(yīng)的NVR發(fā)送調(diào)閱實時或歷史視頻數(shù)據(jù)的請求�,接收NVR發(fā) 送的視頻數(shù)據(jù),利用SIP服務(wù)器發(fā)送的視頻解密密鑰CK_Video進(jìn)行解密操作后播放視頻���。
[0049] 進(jìn)一步��,步驟7的具體實現(xiàn)如下:
[0050] 步驟7. 1 :需要進(jìn)行重認(rèn)證的SIP終端利用重認(rèn)證單播完整性校驗密鑰生成重認(rèn) 證令牌��,利用重認(rèn)證令牌按照初次認(rèn)證的流程進(jìn)行重認(rèn)證操作;
[0051] 步驟7. 2 :重認(rèn)證后IPC按照以下算法更新IPC與NVR之間視頻加密密鑰CK_IPC_ NVRnew,
[0052] CK-IPC-NVRnew = KD-HMAC-SHA256 (CK-IPC-NVR�,
[0053] MACIPC| IMAC^rI |randIPC| |randNVE
[0054] | | ''reauthentication CK expansion for key and additional nonce")
[0055] 其中,CK_IPC_NVR為單播加密密鑰����,MACirc為IPC的物理地址,MAC NVK為NVR的物 理地址���,randirc為IPC生成的隨機數(shù)��,randNVK為NVR生成的隨機數(shù)��,"reauthentication CK expansion for key and additional nonce"為固定字符串���,表示該操作用于重認(rèn)證CK的 密鑰生成和隨機數(shù)生成�����;
[0056] IPC利用其與SIP服務(wù)器之間的當(dāng)前共享單播密鑰加密更新后的視頻加密密鑰�����, 并上傳給SIP服務(wù)器����,SIP服務(wù)器更新密鑰庫信息��。
[0057] 本發(fā)明解決上述技術(shù)問題的另一技術(shù)方案如下:一種實現(xiàn)密鑰管理方法的SIP視 頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)�����,包括SIP終端����、SIP服務(wù)器和認(rèn)證服務(wù)器��;所述SIP終端包括視頻采集設(shè) 備IPC�����、視頻存儲設(shè)備NVR及用戶客戶端Client ;
[0058] 所述視頻采集設(shè)備IPC�,其用于采集視頻信息并進(jìn)行處理����,并將處理后的視頻信息 經(jīng)加密處理發(fā)送給視頻存儲設(shè)備NVR ;
[0059] 所述視頻存儲設(shè)備NVR,其用于存儲視頻采集設(shè)備IPC上傳的視頻信息����,供用戶客 戶端Client調(diào)閱實時或歷史視頻數(shù)據(jù);
[0060] 所述用戶客戶端Client�,其用于向視頻存儲設(shè)備發(fā)送調(diào)閱實時或歷史視頻數(shù)據(jù)的 請求,接收視頻存儲設(shè)備NVR發(fā)送的視頻數(shù)據(jù)����,經(jīng)解密后播放�����;
[0061] 以上各SIP終端進(jìn)行信息交互前需要與SIP服務(wù)器和認(rèn)證服務(wù)器進(jìn)行三元對等身 份認(rèn)證,實現(xiàn)SIP終端的入網(wǎng)操作���;進(jìn)而分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會話協(xié)商�����, 各自獲得與SIP服務(wù)器之間的共享單播密鑰���;
[0062] SIP服務(wù)器生成進(jìn)行信息交互的SIP終端進(jìn)行點對點身份認(rèn)證的認(rèn)證密鑰及視頻 加密密鑰,并建立以時間為索引的密鑰庫�����;SIP服務(wù)器利用與每個SIP終端的密鑰加密密鑰 加密認(rèn)證密鑰及視頻加密密鑰�����,并分別發(fā)送給相應(yīng)SIP終端���;
[0063] 兩個SIP終端利用SIP服務(wù)器下發(fā)的認(rèn)證密鑰���,生成并交換點到點認(rèn)證令牌實現(xiàn) 雙向身份認(rèn)證;完成雙向身份認(rèn)證的兩個SIP終端進(jìn)行信息交互���;SIP終端內(nèi)預(yù)置認(rèn)證期 限�����,認(rèn)證期滿�,SIP終端進(jìn)行雙向身份重認(rèn)證,認(rèn)證通過繼續(xù)進(jìn)行信息交互��。
[0064] 在上述技術(shù)方案的基礎(chǔ)上�,本發(fā)明還可以做如下改進(jìn)。
[0065] 進(jìn)一步�����,完成雙向身份認(rèn)證的IPC����、NVR和Client進(jìn)行如下信息交互:
[0066] SIP服務(wù)器將視頻加密密鑰發(fā)送給IPC,IPC將采集的視頻數(shù)據(jù)利用視頻加密密鑰 進(jìn)行加密處理后發(fā)送給NVR進(jìn)行存儲�;Client需要獲取某個IPC上傳到NVR的視頻數(shù)據(jù)時, 向SIP服務(wù)器發(fā)送請求�����,SIP服務(wù)器將相應(yīng)是視頻解密密鑰發(fā)送給Client ;Client向相應(yīng) 的NVR發(fā)送調(diào)閱實時或歷史視頻數(shù)據(jù)的請求�,接收NVR發(fā)送的視頻數(shù)據(jù),利用SIP服務(wù)器發(fā) 送的視頻解密密鑰進(jìn)行解密操作后播放���。
[0067] 采用上述進(jìn)一步方案的有益效果是:為了提高視頻加密密鑰CK_Video和密文視 頻數(shù)據(jù)的安全性����,將視頻加密密鑰CK_Video發(fā)給IPC和Client�,并沒有發(fā)送給NVR,密文視 頻在NVR處進(jìn)行密文存儲和檢索��,并不進(jìn)行解密�����,進(jìn)而大大提高了視頻數(shù)據(jù)存儲的安全性���。
【專利附圖】
【附圖說明】
[0068] 圖1為本發(fā)明一種實現(xiàn)密鑰管理方法的SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)結(jié)構(gòu)示意圖��;
[0069] 圖2為本發(fā)明一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)密鑰管理方法流程圖�;
[0070] 圖3為本發(fā)明所述SIP終端注冊及其與SIP服務(wù)器完成單播密鑰與安全會話協(xié)商 過程的示意圖���;
[0071] 圖4為生成單播共享密鑰過程的示意圖���;
[0072] 圖5為IPC與NVR雙向身份認(rèn)證和密文傳輸過程中所涉及到的完整的密鑰體系和 密鑰導(dǎo)出方式���;
[0073] 圖6為NVR與Client雙向身份認(rèn)證和密文傳輸過程中所涉及到的完整的密鑰體 系和密鑰導(dǎo)出方式。
【具體實施方式】
[0074] 以下結(jié)合附圖對本發(fā)明的原理和特征進(jìn)行描述�����,所舉實例只用于解釋本發(fā)明����,并 非用于限定本發(fā)明的范圍。
[0075] 如圖1所示���,一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)包括SIP終端�、SIP服務(wù)器和認(rèn)證服務(wù)器�。
[0076] 1. SIP終端(SIP攝像機、SIP網(wǎng)絡(luò)硬盤錄像機�、SIP用戶客戶端),即支持SIP信令 協(xié)議的攝像機���、網(wǎng)絡(luò)硬盤錄像機和用戶客戶端����,其中����,
[0077] SIP攝像機�����,本專利中簡稱為IPC,一種包括視頻采集模塊���、視頻處理模塊及信息 安全處理模塊���、視頻存儲模塊、通信模塊的網(wǎng)絡(luò)攝像機�����。視頻采集模塊負(fù)責(zé)完成視頻采集相 關(guān)工作����。視頻處理模塊負(fù)責(zé)對攝像機采集的媒體流數(shù)據(jù)進(jìn)行預(yù)處理、壓縮編碼等相關(guān)工作�����。 信息安全處理模塊負(fù)責(zé)攝像機設(shè)備的身份鑒別���,以及對媒體流數(shù)據(jù)�、信令流數(shù)據(jù)進(jìn)行加解 密和數(shù)據(jù)完整性保護(hù)等安全操作。視頻存儲模塊負(fù)責(zé)將經(jīng)過處理后的媒體流數(shù)據(jù)進(jìn)行本地 存儲��。通信模塊負(fù)責(zé)將經(jīng)過處理后的媒體流數(shù)據(jù)���、信令流數(shù)據(jù)等所有數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸�����。
[0078] SIP網(wǎng)絡(luò)硬盤錄像機���,本專利中簡稱NVR,提供實時媒體流(包括音/視頻流)的 轉(zhuǎn)發(fā)服務(wù)�,提供媒體流的存儲、歷史信息的檢索和點播服務(wù)�����。媒體服務(wù)器接收來自SIP攝像 機或其他媒體服務(wù)器等設(shè)備的密文媒體數(shù)據(jù)�,并根據(jù)指令,將這些數(shù)據(jù)轉(zhuǎn)發(fā)到其他單個或 多個SIP用戶客戶端和SIP網(wǎng)絡(luò)硬盤錄像機����。
[0079] SIP用戶客戶端����,本專利中簡稱Client��,具有接收�����、解密和播放碼流等功能的客 戶端設(shè)備��,主要包括用戶界面����、用戶代理(SIP邏輯終端實體)���、信息安全處理模塊(如以 USBKey形式存在)���、媒體解碼模塊和媒體通信模塊。
[0080] 2. SIP服務(wù)器(集SIP代理服務(wù)器�����、SIP重定向服務(wù)器、SIP位置服務(wù)器�����、SIP注冊 服務(wù)器等邏輯功能和實體為一體的SIP服務(wù)器平臺)��,本專利中簡稱SIP Server�,主要負(fù)責(zé) 創(chuàng)建和維護(hù)SIP會話,并控制SIP終端的網(wǎng)絡(luò)接入�。
[0081] 3.后臺網(wǎng)絡(luò)的認(rèn)證服務(wù)器Radius Server (也可為Diameter Server),本專利中 簡稱認(rèn)證服務(wù)器����,負(fù)責(zé)為SIP終端和SIP服務(wù)器等網(wǎng)絡(luò)實體簽發(fā)數(shù)字證書,并且作為在線可 信第三方認(rèn)證服務(wù)器����,為其他網(wǎng)絡(luò)實體提供實體身份鑒別服務(wù)。
[0082] SIP終端和SIP服務(wù)器都有認(rèn)證服務(wù)器簽發(fā)的數(shù)字證書和相應(yīng)的私鑰���,并且(通 過預(yù)置或離線下載的方式)得到認(rèn)證服務(wù)器的數(shù)字證書����。在SIP服務(wù)器中運行有Radius client (或 Diameter Client)����,負(fù)責(zé)與認(rèn)證月艮務(wù)器 Radius Server (或 Diameter Server) 進(jìn)行通信���。
[0083] 在SIP安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)中,SIP服務(wù)器(例如可以包括SIP代理服務(wù) 器���、SIP重定向服務(wù)器�、SIP位置服務(wù)器����、SIP注冊服務(wù)器等邏輯功能和實體)主要負(fù)責(zé)為 SIP終端(支持SIP協(xié)議的SIP攝像機、SIP網(wǎng)絡(luò)硬盤錄像機��、SIP用戶客戶端)中的兩方 或多方創(chuàng)建����、維護(hù)或釋放SIP會話�����,并負(fù)責(zé)會話方之間的媒體協(xié)商�。在SIP服務(wù)器控制和協(xié) 調(diào)下,一方面�����,攝像機將加密后的密文視頻數(shù)據(jù)發(fā)送至網(wǎng)絡(luò)硬盤錄像機處進(jìn)行存儲;另一方 面���,網(wǎng)絡(luò)硬盤錄像機將密文視頻數(shù)據(jù)轉(zhuǎn)發(fā)給用戶客戶端��,用戶客戶端解密得到明文視頻數(shù) 據(jù)后進(jìn)行播放���。
[0084] 本發(fā)明所述實現(xiàn)密鑰管理的SIP視頻監(jiān)控聯(lián)網(wǎng)方法的系統(tǒng),包括SIP終端����、SIP服 務(wù)器和認(rèn)證服務(wù)器,所述SIP終端包括視頻采集設(shè)備IPC�����、視頻存儲設(shè)備NVR及用戶客戶端 Client ��;
[0085] 所述視頻采集設(shè)備IPC�,其用于采集視頻信息并進(jìn)行處理,并將處理后的視頻信息 經(jīng)加密處理發(fā)送給視頻存儲設(shè)備NVR ;
[0086] 所述視頻存儲設(shè)備NVR�,其用于存儲視頻采集設(shè)備IPC上傳的視頻信息,供用戶客 戶端Client調(diào)閱實時或歷史視頻數(shù)據(jù)����;
[0087] 所述用戶客戶端Client��,其用于向視頻存儲設(shè)備發(fā)送調(diào)閱實時或歷史視頻數(shù)據(jù)的 請求�����,接收視頻存儲設(shè)備NVR發(fā)送的視頻數(shù)據(jù)�����,經(jīng)解密后播放����。
[0088] 以上各SIP終端進(jìn)行信息交互前需要與SIP服務(wù)器和認(rèn)證服務(wù)器進(jìn)行三元對等身 份認(rèn)證�,實現(xiàn)SIP終端的入網(wǎng)操作;進(jìn)而分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會話協(xié)商�, 各自獲得與SIP服務(wù)器之間的共享單播密鑰��;SIP服務(wù)器生成進(jìn)行信息交互的SIP終端進(jìn) 行點對點身份認(rèn)證的認(rèn)證密鑰及視頻加密密鑰�����,并建立以時間為索引的密鑰庫����;SIP服務(wù) 器利用與每個SIP終端的共享單播密鑰加密認(rèn)證密鑰及視頻加密密鑰�����,并分別發(fā)送給相應(yīng) SIP終端����;兩個SIP終端利用SIP服務(wù)器下發(fā)的認(rèn)證密鑰���,生成并交換點到點認(rèn)證令牌實現(xiàn) 雙向身份認(rèn)證�;完成雙向身份認(rèn)證的兩個SIP終端進(jìn)行信息交互�����;SIP終端內(nèi)預(yù)置認(rèn)證期 限��,認(rèn)證期滿����,SIP終端進(jìn)行雙向身份重認(rèn)證,認(rèn)證通過繼續(xù)進(jìn)行信息交互����。
[0089] 完成雙向身份認(rèn)證的IPC���、NVR和Client進(jìn)行如下信息交互:
[0090] SIP服務(wù)器將視頻加密密鑰發(fā)送給IPC,IPC將采集的視頻數(shù)據(jù)利用視頻加密密鑰 進(jìn)行加密處理后發(fā)送給NVR進(jìn)行存儲�����;Client需要獲取某個IPC上傳到NVR的視頻數(shù)據(jù)時���, 向SIP服務(wù)器發(fā)送請求��,SIP服務(wù)器將相應(yīng)是視頻解密密鑰發(fā)送給Client ;Client向相應(yīng) 的NVR發(fā)送調(diào)閱實時或歷史視頻數(shù)據(jù)的請求�,接收NVR發(fā)送的視頻數(shù)據(jù)�����,利用SIP服務(wù)器發(fā) 送的視頻解密密鑰進(jìn)行解密操作后播放��。
[0091] 如圖2所示��,一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法�����,包括如下步驟:
[0092] 步驟1 :各SIP終端��、SIP服務(wù)器和認(rèn)證服務(wù)器進(jìn)行三元對等身份認(rèn)證��,實現(xiàn)SIP終 端的入網(wǎng)操作��,其中所述SIP終端包括視頻采集設(shè)備IPC��、視頻存儲設(shè)備NVR及用戶客戶端 Client ���;
[0093] 步驟2 :SIP終端分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會話協(xié)商�����,各自獲得與 SIP服務(wù)器之間的共享單播密鑰��;
[0094] 步驟3 :SIP服務(wù)器利用相應(yīng)的共享單播密鑰生成需要進(jìn)行信息交互的IPC��、NVR或 Client間的點對點身份認(rèn)證的認(rèn)證密鑰及視頻加密密鑰�����,并建立以時間為索引的密鑰庫����; [0095] 步驟4 :SIP服務(wù)器利用相應(yīng)的共享單播密鑰加密步驟2中所述認(rèn)證密鑰及視頻 加密密鑰��,將加密的認(rèn)證密鑰發(fā)送給進(jìn)行交互的SIP終端,將視頻加密密鑰發(fā)送給IPC或 Client ����;
[0096] 步驟5 :進(jìn)行信息交互的兩個SIP終端利用SIP服務(wù)器下發(fā)的認(rèn)證密鑰,生成并交 換點到點認(rèn)證令牌實現(xiàn)雙向身份認(rèn)證��;
[0097] 步驟6 :完成雙向身份認(rèn)證的兩個SIP終端進(jìn)行信息交互����;
[0098] 步驟7 :SIP終端內(nèi)預(yù)置認(rèn)證期限,認(rèn)證期滿����,SIP終端進(jìn)行雙向身份重認(rèn)證,認(rèn)證 通過繼續(xù)進(jìn)行信息交互�。
[0099] 下面結(jié)合附圖和具體實施示例對本發(fā)明作進(jìn)一步詳細(xì)的介紹。
[0100] 基于三元對等思想的設(shè)備和用戶身份認(rèn)證及單播密鑰協(xié)商過程����,SIP UA(包括 IPC、NVR����,Client)分別與SIP Server之間獲得共享單播密鑰(包括單播加密密鑰CK,單播 完整性校驗密鑰IK,密鑰加密密鑰KEK)的過程�����。
[0101] 參照GB/T28455-2012《信息安全技術(shù)引入可信第三方的實體鑒別及接入架構(gòu)規(guī) 范》中關(guān)于三元對等交互過程和GB/T28181-2011《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸 交換控制技術(shù)要求》���,并針對SIP安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)特點,本發(fā)明設(shè)計了如圖3所 示的設(shè)備和用戶身份認(rèn)證流程�����,經(jīng)過三元對等身份認(rèn)證和單播密鑰協(xié)商���,如圖4所示����,SIP UA(包括IPC�����、NVR����,Client)分別與SIP Server之間創(chuàng)建了共享的主密鑰,并通過單播密鑰 導(dǎo)出算法計算得到了共享單播密鑰(包括單播加密密鑰CK,單播完整性校驗密鑰IK����,密鑰 加密密鑰KEK)。
[0102] 如圖3所示���,具體流程如下(對應(yīng)圖2中步驟1和步驟2的具體流程):
[0103] 步驟1. 1 :SIP終端向SIP服務(wù)器發(fā)送觸發(fā)注冊請求消息Ml ;
[0104] 步驟1. 2 :SIP服務(wù)器在收到SIP終端發(fā)送的觸發(fā)注冊請求Ml后�����,向所述SIP終端 發(fā)送觸發(fā)注冊響應(yīng)消息M2;
[0105] 步驟1. 3 :所述SIP終端驗證觸發(fā)響應(yīng)消息M2的合法性��,若合法�,向SIP服務(wù)器發(fā) 送接入認(rèn)證請求M3 ;否則返回步驟1. 1 ;
[0106] 步驟1. 4 :SIP服務(wù)器驗證所述SIP終端發(fā)送的接入認(rèn)證請求M3的合法性����,若合 法,SIP服務(wù)器向認(rèn)證服務(wù)器發(fā)送證書認(rèn)證請求M4,執(zhí)行步驟1. 5 ;否則�,向SIP終端發(fā)送注 冊失敗的信息,返回步驟1.1;
[0107] 步驟1. 5 :認(rèn)證服務(wù)器驗證所述SIP服務(wù)器發(fā)送的證書認(rèn)證請求M4的合法性����,若 合法,則生成驗證結(jié)果并對驗證結(jié)果簽名��,將攜帶已簽名的驗證結(jié)果的證書認(rèn)證響應(yīng)消息 M5發(fā)送給SIP服務(wù)器,執(zhí)行步驟1. 6 ;否則�,向SIP服務(wù)器發(fā)送證書認(rèn)證失敗的信息,返回步 驟 1. 1 ;
[0108] 步驟1.6 :SIP服務(wù)器驗證證書認(rèn)證響應(yīng)消息M5的合法性���,若合法,則驗證認(rèn)證服 務(wù)器對證書驗證結(jié)果的簽名字段的合法性��,若合法��,則查看證書驗證結(jié)果字段中SIP終端 的證書驗證結(jié)果����,根據(jù)此字段來決定是否允許SIP終端接入,進(jìn)而封裝得到接入認(rèn)證響應(yīng) 消息M6并發(fā)送給SIP終端��,執(zhí)行步驟1. 7 ;否則�����,向認(rèn)證服務(wù)器發(fā)送認(rèn)證失敗的信息�,返回 步驟1. 1 ;
[0109] 步驟1. 7 :SIP終端驗證接入認(rèn)證響應(yīng)消息M6的合法性,若合法�,則驗證認(rèn)證服務(wù) 器對則證書驗證結(jié)果的簽名字段的合法性,若合法���,則查看證書驗證結(jié)果字段中SIP服務(wù) 器的證書驗證結(jié)果�����,根據(jù)此字段決定是否接入該SIP服務(wù)器�����,如決定接入該SIP服務(wù)器�,則 進(jìn)入待會話狀態(tài);否則���,向SIP服務(wù)器發(fā)送認(rèn)證失敗的信息�����,返回步驟1. 1�。
[0110] 步驟2. 1 :SIP服務(wù)器向SIP終端發(fā)送單播密鑰和安全會話協(xié)商請求M7 ;
[0111] 步驟2. 2 :SIP終端對接收到的單播密鑰和安全會話協(xié)商請求M7進(jìn)行驗證��,驗證通 過��,則生成單播密鑰和安全會話協(xié)商響應(yīng)消息M8,并發(fā)送給SIP服務(wù)器���;
[0112] 步驟2. 3 :SIP服務(wù)器對接收的單播密鑰和安全會話協(xié)商響應(yīng)消息M8進(jìn)行驗證���,驗 證通過���,則生成單播密鑰與安全會話協(xié)商確認(rèn)消息M9,并發(fā)送給SIP終端;
[0113] 步驟2. 4 :SIP終端對接收到單播密鑰與安全會話協(xié)商確認(rèn)消息M9進(jìn)行驗證��,驗證 通過�����,向SIP服務(wù)器發(fā)送確認(rèn)消息M10����。
[0114] IPC與SIP服務(wù)器之間共享的單播加密密鑰�����、單播完整性校驗密鑰��、密鑰加密密鑰 依次為:CK_IPC���、IK_IPC��、KEK_IPC ;
[0115] NVR與SIP服務(wù)器之間共享的單播加密密鑰��、單播完整性校驗密鑰��、密鑰加密密鑰 依次為:CK_NVR����、IK_NVR、KEK_NVR ;
[0116] CLIENT與SIP服務(wù)器之間共享的單播加密密鑰�����、單播完整性校驗密鑰�、密鑰加密 密鑰依次為:CK_Client、IK_Client��、KEK_Client ;
[0117] 基于IPC�����、NVR分別與SIP服務(wù)器通過三元對等身份認(rèn)證過程所創(chuàng)建的共享單播密 鑰(包括單播加密密鑰CK�,單播完整性校驗密鑰IK,密鑰加密密鑰KEK)��,SIP服務(wù)器計算 生成IPC的視頻加密密鑰CK_Video,并扮演一個密鑰分發(fā)中心的角色���,將CK_Video分發(fā)給 IPC和Client�����,IPC使用CK_Video對明文視頻數(shù)據(jù)進(jìn)行加密操作后再發(fā)送給NVR處進(jìn)行密 文存儲和轉(zhuǎn)發(fā)操作�,而Client則使用CK_Video對密文視頻數(shù)據(jù)進(jìn)行解密操作后再進(jìn)行播 放。上述過程���,具體涉及到以下兩個子過程��,即IPC與NVR之間和Client與NVR之間的兩 個安全通道的建立過程��。這兩個子過程的具體描述如下�。
[0118] 一���、IPC與NVR之間安全通道的建立
[0119] 如圖5所示,在建立IPC與NVR之間的安全通道之前��,IPC需要與NVR直接進(jìn)行雙 向身份認(rèn)證��,雙向身份認(rèn)證的過程如下 :
[0120] 1. SIP Server計算得到IPC與NVR之間的共享單播完整性校驗密鑰IK_IPC_NVR 和單播加密密鑰CK_IPC_NVR��,計算算法為
[0121] IK_IPC_NVR = SHA256(IK_IPC||IK_NVR)
[0122] CK_IPC_NVR = SHA256(CK_IPC||CK_NVR),
[0123] 其中的散列算法SHA256還可以采用其他的散列算法�,如國密散列算法SM3 ;
[0124] 2. SIP Server利用密鑰材料keydata(CK_IPC_NVR)來計算得到IPC的視頻加密密 鑰CK_Video,計算算法為
[0125] CK_Video = CK_IPC_NVR · P = SHA(CK_IPC| | CK_NVR) · P,
[0126] 其中,P是在三元對等身份認(rèn)證中所采用的n階橢圓曲線群Fn的生成元����,n是一個 素數(shù)�����。
[0127] 3. SIP Server將計算得到的IK_IPC_NVR和CK_Video以安全的方式下發(fā)給IPC�����,即 使用KEK_IPC加密IK_IPC_NVR和CK_Video后發(fā)送給IPC�����,IPC接收到之后用與SIP Server 共享的KEK_IPC解密后得到IK_IPC_NVR和CK_Video�����。
[0128] 4. SIP Server將計算得到的IK_IPC_NVR以安全的方式下發(fā)給NVR��,即使用KEK_ NVR加密IK_IPC_NVR后發(fā)送給NVR��,NVR接收到之后用與SIP Server共享的KEK_NVR解密 后得到 IK_IPC_NVR��。
[0129] 為了提高視頻加密密鑰CK_Video和密文視頻數(shù)據(jù)的安全性���,本專利所述密鑰分 發(fā)方法中����,將CK_Video發(fā)送給IPC����,而并不發(fā)送給NVR,密文視頻在NVR處進(jìn)行密文存儲和 檢索�����,并不進(jìn)行解密���,大大提高了視頻數(shù)據(jù)存儲的安全性���。
[0130] 5. IPC與NVR進(jìn)行peer-t〇-peer authentication token交換,實現(xiàn)初次雙向身份 認(rèn)證后將密文視頻發(fā)送至NVR���。
[0131] a) IPC 向 NVR 發(fā)送 peer-t〇-peer authentication token :IPC 按照以下定義來封 裝數(shù)據(jù)分組,并在SIP的Message Body字段中填充該分組后發(fā)送給NVR��。
[0132] 數(shù)據(jù)分組定義格式:
[0133]
[0134]
【權(quán)利要求】
1. 一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法�����,其特征在于,包括如下步驟: 步驟1 :各SIP終端����、SIP服務(wù)器和認(rèn)證服務(wù)器進(jìn)行三元對等身份認(rèn)證,實現(xiàn)SIP終端 的入網(wǎng)操作�,其中所述SIP終端包括視頻采集設(shè)備IPC、視頻存儲設(shè)備NVR及用戶客戶端 Client �; 步驟2 :SIP終端分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會話協(xié)商,各自獲得與SIP服 務(wù)器之間的共享單播密鑰����; 步驟3 :SIP服務(wù)器利用相應(yīng)的共享單播密鑰生成需要進(jìn)行信息交互的IPC、NVR或 Client間的點對點身份認(rèn)證的認(rèn)證密鑰及視頻加密密鑰���,并建立以時間為索引的密鑰庫�; 步驟4 :SIP服務(wù)器利用相應(yīng)的共享單播密鑰加密步驟2中所述認(rèn)證密鑰及視頻加密密 鑰���,將加密的認(rèn)證密鑰發(fā)送給進(jìn)行交互的SIP終端�����,將視頻加密密鑰發(fā)送給IPC或Client ; 步驟5 :進(jìn)行信息交互的兩個SIP終端利用SIP服務(wù)器下發(fā)的認(rèn)證密鑰����,生成并交換點 到點認(rèn)證令牌實現(xiàn)雙向身份認(rèn)證; 步驟6 :完成雙向身份認(rèn)證的兩個SIP終端進(jìn)行信息交互����; 步驟7 :SIP終端內(nèi)預(yù)置認(rèn)證期限,認(rèn)證期滿�����,SIP終端進(jìn)行雙向身份重認(rèn)證�,認(rèn)證通過 繼續(xù)進(jìn)行信息交互。
2. 根據(jù)權(quán)利要求1所述一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法��,其特征在于�,步驟 2中所述共享單播密鑰包括單播加密密鑰CK,單播完整性校驗密鑰IK�����,密鑰加密密鑰KEK ; IPC與SIP服務(wù)器之間共享的單播加密密鑰����、單播完整性校驗密鑰���、密鑰加密密鑰依次 為 CK_IPC�����、IK_IPC�����、KEK_IPC ; NVR與SIP服務(wù)器之間共享的單播加密密鑰��、單播完整性校驗密鑰��、密鑰加密密鑰依次 為 CK_NVR�、IK_NVR、KEK_NVR ; Client與SIP服務(wù)器之間共享的單播加密密鑰�、單播完整性校驗密鑰、密鑰加密密鑰 依次為 CK_Client���、IK_Client���、KEK_Client。
3. 根據(jù)權(quán)利要求2所述一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法��,其特征在于���,步驟 3中SIP服務(wù)器利用相應(yīng)的共享單播密鑰生成進(jìn)行信息交互的SIP終端進(jìn)行點對點身份認(rèn) 證的認(rèn)證密鑰及視頻加密密鑰的具體實現(xiàn)為: 步驟3. 1 :SIP服務(wù)器計算得到IPC與NVR之間的單播完整性校驗密鑰IK_IPC_NVR���, Client與NVR之間的單播完整性校驗密鑰IK_Client_NVR��,以及單播加密密鑰CK_IPC_NVR���, 計算算法如下, IK_IPC_NVR = SHA256(IK_IPC||IK_NVR) IK_Client_NVR = SHA256(IK_Client||IK_NNR) CK_IPC_NVR = SHA256(CK_IPC||CK_NVR) 步驟3. 2 :SIP服務(wù)器利用單播加密密鑰CK_IPC_NVR計算得到IPC的視頻加密密鑰CK_ Video,計算算法如下�, CK_Video = CK_IPC_NVR · P = SHA(CK_IPC| |CK_NVR) · P, 其中,P是在三元對等身份認(rèn)證中所采用的n階橢圓曲線群Fn的生成元�����,n是一個素 數(shù)�。
4. 根據(jù)權(quán)利要求3所述一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法,其特征在于����,步驟 4的具體實現(xiàn)為: 步驟4. 1 :SIP服務(wù)器利用KEK_IPC對IK_IPC_NVR和CK_Video加密后發(fā)送給IPC,IPC 利用與SIP服務(wù)器共享的KEK_IPC對其進(jìn)行解密得到IK_IPC_NVR和CK_Video ; 步驟4. 2 :SIP服務(wù)器利用KEK_NVR對IK_IPC_NVR加密后發(fā)送給NVR����,NVR利用與SIP 服務(wù)器共享的KEK_NVR對其進(jìn)行解密得到IK_IPC_NVR ; 步驟4. 3 :SIP服務(wù)器利用KEK_Client對IK_Client_NVR和CK_Video加密后發(fā)送 Client,Client利用與SIP服務(wù)器共享的KEK_Client對其進(jìn)行解密得到IK_Client_NVR和 CK_Video�����。
5. 根據(jù)權(quán)利要求4所述一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法����,其特征在于,步驟 5的具體實現(xiàn)為: 步驟5. 1 :SIP終端利用SIP服務(wù)器下發(fā)的認(rèn)證密鑰生成點對點認(rèn)證令牌���,并將各自的 認(rèn)證令牌發(fā)給對方�; 步驟5. 2 :接收到認(rèn)證令牌的SIP終端利用單播完整性校驗密鑰����,通過HMAC-SHA256算 法來驗證認(rèn)證令牌中的單播數(shù)據(jù)消息認(rèn)證碼是否正確,若正確則檢查單播完整性校驗密鑰 的地址字段是否與自己當(dāng)前所認(rèn)同的一致���,如果一致則檢查對方時間與自身的系統(tǒng)時間之 差�����,是否在可以接受的范圍之內(nèi)�,如果可以接受�����,則完成驗證工作; 步驟5. 3 :兩個SIP終端雙向身份認(rèn)證通過后��,IPC與NVR按照以下算法計算出下一次 重認(rèn)證所需的單播完整性校驗密鑰reauth_IK_IPC_NVRnew��, reauth_IK_IPC_NVRnew = KD-HMAC-SHA256(reauth_IK_IPC_NVR, MACIPCI I MACnve I I randIPC | | randNVE I ''reauthentication IK expansion for key and additional nonce") 其中����,reauth_IK_IPC_NVRnew為下一次身份認(rèn)證所需的單播完整性校驗密鑰,reauth_ IK_IPC_NVR為本次完成的身份認(rèn)證使用的單播完整性校驗密鑰��;MACircS IPC的物理地 址����,MACNVK為NVR的物理地址,randirc為IPC生成的隨機數(shù)�����,rancU為NVR生成的隨機數(shù)�����, ''reauthentication IK expansion for key and additional nonce�����,'為固定字符串,表不 該操作用于重認(rèn)證IK的密鑰生成和隨機數(shù)生成����; 所述Client與NVR計算下一次重認(rèn)證單播完整性校驗密鑰的方法與IPC與NVR生成 下一次重認(rèn)證所需單播完整性校驗密鑰的方法相同。
6. 根據(jù)權(quán)利要求5所述一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法�,其特征在于���,步驟 6的具體實現(xiàn)為完成雙向身份認(rèn)證的IPC��、NVR和Client進(jìn)行如下信息交互: 步驟6. 1 :IPC利用視頻加密密鑰CK_Video對采集的視頻數(shù)據(jù)行加密處理���,并發(fā)送給 NVR進(jìn)行存儲; 步驟6. 2 :Client需要獲取某個IPC上傳到NVR的視頻數(shù)據(jù)時�,向SIP服務(wù)器發(fā)送請 求,SIP服務(wù)器將相應(yīng)是視頻解密密鑰CK_Video發(fā)送給Client ; 步驟6. 3 :Client向相應(yīng)的NVR發(fā)送調(diào)閱實時或歷史視頻數(shù)據(jù)的請求���,接收NVR發(fā)送的 視頻數(shù)據(jù)���,利用SIP服務(wù)器發(fā)送的視頻解密密鑰CK_Video進(jìn)行解密操作后播放視頻。
7. 根據(jù)權(quán)利要求3所述一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理方法�,其特征在于,步驟 7的具體實現(xiàn)如下: 步驟7. 1 :需要進(jìn)行重認(rèn)證的SIP終端利用重認(rèn)證單播完整性校驗密鑰生成重認(rèn)證令 牌��,利用重認(rèn)證令牌按照初次認(rèn)證的流程進(jìn)行重認(rèn)證操作; 步驟7. 2 :重認(rèn)證后IPC按照以下算法更新IPC與NVR之間視頻加密密鑰CK_IPC_ NVRnew, CK_IPC_NVRnew = KD-HMAC-SHA256 (CK_IPC_NVR, MACIPCI I MACnve I I randIPC | | randNVE I ''reauthentication CK expansion for key and additional nonce") 其中����,CK_IPC_NVR為單播加密密鑰,MACirc為IPC的物理地址��,ΜΑ(^Κ為NVR的物理 地址�,randirc為IPC生成的隨機數(shù),rand·(為NVR生成的隨機數(shù)���,"reauthentication CK expansion for key and additional nonce"為固定字符串����,表示該操作用于重認(rèn)證CK的 密鑰生成和隨機數(shù)生成�����; IPC利用其與SIP服務(wù)器之間的當(dāng)前共享單播密鑰加密更新后的視頻加密密鑰��,并上 傳給SIP服務(wù)器�,SIP服務(wù)器更新密鑰庫信息。
8. -種實現(xiàn)權(quán)利1-7中密鑰管理方法的SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)�,其特征在于,包括SIP 終端、SIP服務(wù)器和認(rèn)證服務(wù)器����;所述SIP終端包括視頻采集設(shè)備IPC、視頻存儲設(shè)備NVR及 用戶客戶端Client ; 所述視頻采集設(shè)備IPC�����,其用于采集視頻信息并進(jìn)行處理����,并將處理后的視頻信息經(jīng)加 密處理發(fā)送給視頻存儲設(shè)備NVR ; 所述視頻存儲設(shè)備NVR���,其用于存儲視頻采集設(shè)備IPC上傳的視頻信息����,供用戶客戶端 Client調(diào)閱實時或歷史視頻數(shù)據(jù)��; 所述用戶客戶端Client�,其用于向視頻存儲設(shè)備發(fā)送調(diào)閱實時或歷史視頻數(shù)據(jù)的請 求,接收視頻存儲設(shè)備NVR發(fā)送的視頻數(shù)據(jù)���,經(jīng)解密后播放�����; 以上各SIP終端進(jìn)行信息交互前需要與SIP服務(wù)器和認(rèn)證服務(wù)器進(jìn)行三元對等身份認(rèn) 證��,實現(xiàn)SIP終端的入網(wǎng)操作���;進(jìn)而分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會話協(xié)商�����,各自 獲得與SIP服務(wù)器之間的共享單播密鑰�; SIP服務(wù)器生成進(jìn)行信息交互的SIP終端進(jìn)行點對點身份認(rèn)證的認(rèn)證密鑰及視頻加密 密鑰����,并建立以時間為索引的密鑰庫;SIP服務(wù)器利用與每個SIP終端的密鑰加密密鑰加密 認(rèn)證密鑰及視頻加密密鑰�����,分別發(fā)送給相應(yīng)SIP終端����; 兩個SIP終端利用SIP服務(wù)器下發(fā)的認(rèn)證密鑰,生成并交換點到點認(rèn)證令牌實現(xiàn)雙向 身份認(rèn)證����;完成雙向身份認(rèn)證的兩個SIP終端進(jìn)行信息交互�����;SIP終端內(nèi)預(yù)置認(rèn)證期限�����,認(rèn) 證期滿�,SIP終端進(jìn)行雙向身份重認(rèn)證��,認(rèn)證通過后繼續(xù)進(jìn)行信息交互��。
9. 根據(jù)權(quán)利要求8所述一種SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)的密鑰管理系統(tǒng)����,其特征在于��,完成 雙向身份認(rèn)證的IPC����、NVR和Client進(jìn)行如下信息交互: SIP服務(wù)器將視頻加密密鑰發(fā)送給IPC,IPC將采集的視頻數(shù)據(jù)利用視頻加密密鑰進(jìn)行 加密處理后發(fā)送給NVR進(jìn)行存儲��;Client需要獲取某個IPC上傳到NVR的視頻數(shù)據(jù)時,向 SIP服務(wù)器發(fā)送請求�,SIP服務(wù)器將相應(yīng)視頻解密密鑰發(fā)送給Client ;Client向相應(yīng)的NVR 發(fā)送調(diào)閱實時或歷史視頻數(shù)據(jù)的請求,接收NVR發(fā)送的視頻數(shù)據(jù)����,利用SIP服務(wù)器發(fā)送的視 頻解密密鑰進(jìn)行解密操作后播放。
【文檔編號】H04L9/08GK104113409SQ201410353115
【公開日】2014年10月22日 申請日期:2014年7月23日 優(yōu)先權(quán)日:2014年7月23日
【發(fā)明者】孫利民, 呂世超, 蘆翔, 朱紅松, 潘磊, 周新運 申請人:中國科學(xué)院信息工程研究所