基于H.264或H.265媒体流数据NAL层加密及传输的符合性方法
文献发布时间:2023-06-19 12:07:15
技术领域
本发明涉及数据处理技术领域,具体为一种基于H.264或H.265媒体流数据NAL层加密及传输的符合性方法。
背景技术
现有的监控设备和系统绝大部分无法满足SVAC编码要求,全部按照GB/T25724-2017的要求做GB/T35114-2017改造需要耗费庞大的各种资源和SVAC编解码硬件设备,
发明内容
本发明所解决的技术问题在于提供一种基于H.264或H.265媒体流数据NAL层加密及传输的符合性方法,以解决上述背景技术中提出的问题。
本发明所解决的技术问题采用以下技术方案来实现:基于H.264或H.265媒体流数据NAL层加密及传输的符合性方法,包括以下步骤:
步骤(1).数据采集平台的视频及结构化数据通过GB/T28181或GA/T1400协议接入全网通安全加密机,由全网通安全加密机将前端摄像机的GB/T28181或GA/T1400协议数据转换为符合GB35114协议的加密数据;
步骤(2).通过运营商链路/专线/裸光纤传与安全接入管理机通讯,完成接入权限认证、系统设备注册及验证、数据通讯的端口聚合多项数据安全通讯传输功能;
步骤(3).通过安全接入管理机将前端摄像机的视频及人脸、车牌智能摄像机和数据服务器获取相关数据及文件,再通过综合型视频资源安全网关的安全透传功能单向接入到公安图像感知网,再由视频数据汇聚安全网关,配合证书秘钥系统进行授权,解密还原为GB/T28181或GA/T1400协议,接入上级智能监控平台。
所述全网通安全加密机完成设备的合法性认证和前端设备或系统的信令和音视频流的加密,中心汇聚安全网关设备负责安全认证、解密,同时为中心其它非加密的平台系统提供GB/T28181、GA/T1400的联网服务。
所述全网通安全加密机的加密方法为对整个I帧数据做AES128加密,服务器接收到以上数据解密后,需比对SHA256摘要、user token、video token、channelID进行合法性验证.四者如不匹配,放弃整个GOP数据。
所述Video token和user token有效期为1小时,在过期前,流媒体设备需在与服务器信令通讯中刷新或重新请求token,并在下一个I帧中使用。
所述全网通安全加密机保留H264、265码流的原始NAL结构和RBSP数据,按照GB/T35114-2017和GB/T25724-2017的要求为H264、265数据流添加安全参数集NAL、数字签名NAL和绝对时间扩展信息,实现H264、265码流的防劫持、防篡改。
所述全网通安全加密机保留H264、265码流的原始NAL结构数据,按照GB/T35114-2017和GB/T25724-2017的要求用新增加的安全参数集NAL描述的加密语法为H264、265数据流的视频编码片RBSP数据进行加密生成新的加密后的编码片RBSP数据,实现H264、265视频流的加密。
所述全网通安全加密机将音频数据按照GB/T35114-2017规定的加密算法要求使用视频加密的VEK和IV来生成加密的音频数据;采用可伸缩可选择的加密扩展,有三种选项:视频I帧的编码片RBSP加/解密、视频全域编码片RBSP加/解密、视频+音频全域加/解密,可以选择性地减少算法对CPU的占用,降低视频流在加/解密的耗时,降低视频加密传输的延时。
所述全网通安全加密机视频结构化数据加密:将图片数据按照GB/T35114-2017规定的加密算法要求进行数据加密,控制信令部分保留GA/T1400的通讯方式。
与现有技术相比,本发明的有益效果是:本发明完善H264、265等多种码流的加密算法、视频流数据签名和数据封装方法,实现了码流的防篡改和加密传输,同时,完全遵从了GB/T35114-2017规范要求的加密体系,保障了在网络非安全域的防篡改、防攻击,防止了各种敏感数据的泄密。
附图说明
图1为本发明的系统架构示意图。
具体实施方式
为了使本发明的实现技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明,在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以两个元件内部的连通。
如图1所示,基于H.264或H.265媒体流数据NAL层加密及传输的符合性方法,包括以下步骤:
步骤(1).数据采集平台的视频及结构化数据通过GB/T28181或GA/T1400协议接入VC-NFSP1600-X全网通安全加密机,由VC-NFSP1600-X全网通安全加密机将前端摄像机的GB/T28181或GA/T1400协议数据转换为符合GB35114协议的加密数据;
步骤(2).通过运营商链路/专线/裸光纤传与VC-SS-NCG安全接入管理机通讯,完成接入权限认证、系统设备注册及验证、数据通讯的端口聚合多项数据安全通讯传输功能;
步骤(3).通过安全接入管理机将前端摄像机的视频及人脸、车牌智能摄像机和数据服务器获取相关数据及文件,再通过VC-SS6200综合型视频资源安全网关的安全透传功能单向接入到公安图像感知网,再由VC-NDPS3600视频数据汇聚安全网关,配合证书秘钥系统进行授权,解密还原为GB/T28181或GA/T1400协议,接入上级智能监控平台。
所述全网通安全加密机完成设备的合法性认证和前端设备或系统的信令和音视频流的加密,中心汇聚安全网关设备负责安全认证、解密,同时为中心其它非加密的平台系统提供GB/T28181、GA/T1400的联网服务。
所述全网通安全加密机的加密方法为对整个I帧数据做AES128加密,服务器接收到以上数据解密后,需比对SHA256摘要、user token、video token、channelID进行合法性验证.四者如不匹配,放弃整个GOP数据。
所述Video token和user token有效期为1小时,在过期前,流媒体设备需在与服务器信令通讯中刷新或重新请求token,并在下一个I帧中使用。
实施例1
前端摄像机直接接入方式:前端摄像机视频及结构化数据通过GB/T28181或GA/T1400协议接入VC-NFSP1600-X全网通安全加密机,由VC-NFSP1600-X全网通安全加密机将前端摄像机的GB/T28181或GA/T1400协议数据转换为符合GB35114协议的加密数据,通过运营商链路/专线/裸光纤传与VC-SS-NCG安全接入管理机通讯,完成接入权限认证、系统设备注册及验证、数据通讯的端口聚合等多项数据安全通讯传输功能,通过安全接入管理机将前端摄像机的视频及人脸、车牌等智能摄像机和数据服务器获取相关数据及文件,再通过VC-SS6200综合型视频资源安全网关的安全透传功能单向接入到公安图像感知网,再由VC-NDPS3600视频数据汇聚安全网关(配合证书秘钥系统进行授权)解密还原为GB/T28181或GA/T1400协议,接入上级智能监控平台。
实施例2
前端NVR接入方式:前端NVR的视频及结构化数据通过GB/T28181或GA/T1400协议接入VC-NFSP1600-X全网通安全加密机,由VC-NFSP1600-X全网通安全加密机将前端NVR的GB/T28181或GA/T1400协议数据转换为符合GB35114协议的加密数据,通过运营商链路/专线/裸光纤传与VC-SS-NCG安全接入管理机通讯,完成解密及接入权限认证、系统设备注册及验证、数据通讯的端口聚合等多项数据安全通讯传输功能,通过安全接入管理机将前端摄像机的视频及人脸、车牌等智能摄像机和数据服务器获取相关数据及文件,再通过VC-SS6200综合型视频资源安全网关的安全透传功能单向接入到公安图像感知网,再由VC-NDPS3600视频数据汇聚安全网关(配合证书秘钥系统进行授权)解密还原为GB/T28181或GA/T1400协议,接入上级智能监控平台。
实施例3
前端平台接入方式:级监控平台的视频及结构化数据通过GB/T28181或GA/T1400协议接入VC-NFSP1600-X全网通安全加密机,由VC-NFSP1600-X全网通安全加密机将前端摄像机的GB/T28181或GA/T1400协议数据转换为符合GB35114协议的加密数据,通过运营商链路/专线/裸光纤传与VC-SS-NCG安全接入管理机通讯,完成接入权限认证、系统设备注册及验证、数据通讯的端口聚合等多项数据安全通讯传输功能,通过安全接入管理机将前端摄像机的视频及人脸、车牌等智能摄像机和数据服务器获取相关数据及文件,再通过VC-SS6200综合型视频资源安全网关的安全透传功能单向接入到公安图像感知网,再由VC-NDPS3600视频数据汇聚安全网关(配合证书秘钥系统进行授权)解密还原为GB/T28181或GA/T1400协议,接入上级智能监控平台。
所述全网通安全加密机保留H264、265码流的原始NAL结构和RBSP数据,按照GB/T35114-2017和GB/T25724-2017的要求为H264、265数据流添加安全参数集NAL、数字签名NAL和绝对时间扩展信息,实现H264、265码流的防劫持、防篡改。
所述全网通安全加密机保留H264、265码流的原始NAL结构数据,按照GB/T35114-2017和GB/T25724-2017的要求用新增加的安全参数集NAL描述的加密语法为H264、265数据流的视频编码片RBSP数据进行加密生成新的加密后的编码片RBSP数据,实现H264、265视频流的加密。
所述全网通安全加密机将音频数据按照GB/T35114-2017规定的加密算法要求使用视频加密的VEK和IV来生成加密的音频数据;采用可伸缩可选择的加密扩展,有三种选项:视频I帧的编码片RBSP加/解密、视频全域编码片RBSP加/解密、视频+音频全域加/解密,可以选择性地减少算法对CPU的占用,降低视频流在加/解密的耗时,降低视频加密传输的延时。
所述全网通安全加密机视频结构化数据加密:将图片数据按照GB/T35114-2017规定的加密算法要求进行数据加密,控制信令部分保留GA/T1400的通讯方式。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明的要求保护范围由所附的权利要求书及其等效物界定。