掌桥专利:专业的专利平台
掌桥专利
首页

一种协议互通方法及装置、视频监控系统

文献发布时间:2023-06-19 18:46:07


一种协议互通方法及装置、视频监控系统

技术领域

本发明涉及通信领域,尤其涉及一种协议互通方法及装置、视频监控系统。

背景技术

视频监控一体化解决方案(由厂商提供前端摄像头设备+中间接入设备+上级平台一整套视频监控体系而非仅单独的设备)作为安全监控领域的发展方向,如何保障整个视频监控体系的信息安全传输成为焦点关注问题。而连接视频监控体系中所有的设备,并指引媒体流流向的互联协议,其安全传输则成为了保障整个视频监控体系的信息安全传输中的重中之重。

目前在视频监控一体化解决方案中所使用的互联协议一般分为两大类:一类为私有互联协议,即厂商自己制定的标准,且仅自己生产的设备能通过该协议进行互联的互联协议;一类为通用互联协议,即国际或国家制定的通用标准,通过该标准认证的设备均能通过该协议进行互联的互联协议,现在主流使用的为ONVIF协议和GB28181协议。这两类互联协议各有优劣,相比通用互联协议,私有互联协议更加具备安全性,协议内部可拓展性强,厂商可随时根据客户要求对协议标准内容进行变更或增补,但有着不能与其他厂商设备进行互联互通的重大缺陷;相比私有互联协议,通用互联协议可让所有通过该标准认证的设备进行互联互通,且留有让厂商能够自由拓展的空间,但由于协议标准是明文的,因此信息安全传输的可靠性难以保障。

现有技术中,各个厂商为了同时解决视频监控体系中的互联互通问题和信息安全传输问题,采用的方式为同时在设备上集成私有互联协议和通用互联协议:当接入的是其他厂商的设备,则使用通用互联协议进行互联互通;当接入的是厂商自己的设备,则使用私有互联协议进行互联互通。这种方式虽然最大程度保障了视频监控体系的信息安全传输,但同时集成私有互联协议和通用互联协议极大消耗了设备的系统资源,增加了设备的硬件成本。

发明内容

本发明提供了一种协议互通方法及装置、视频监控系统,用以解决或者至少部分解决现有技术中存在的系统资源消耗较大的技术问题。

为了解决上述技术问题,本发明第一方面提供了一种协议互通方法,应用于视频监控中的上级平台和前端设备,上级平台包括第一ONVIF协议模块、第一GB28181协议模块和第一证书密钥管理模块,第一证书密钥管理模块预先存储上级平台私钥、上级平台证书、上级平台证书密钥以及对称加密密钥,前端设备包括第二ONVIF协议模块、第二GB28181协议模块和第二证书密钥管理模块,第二证书密钥管理模块预先存储前端设备私钥、前端设备证书密钥、前端设备证书以及上级平台证书密钥,且第一证书密钥管理模块能够利用前端设备证书密钥从前端证书中获取前端设备公钥,第二证书密钥管理模块能够利用上级平台证书密钥从上级平台证书中获取上级平台公钥,协议互通方法包括:

上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块之间基于上级平台私钥、上级平台公钥、上级平台证书、上级平台证书密钥、前端设备私钥、前端设备公钥、前端设备证书密钥以及前端设备证书进行协议互通;

上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间基于上级平台私钥、上级平台公钥、对称加密密钥、前端设备私钥、前端设备公钥进行协议互通。

在一种实施方式中,所述上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块之间基于上级平台私钥、上级平台公钥、上级平台证书、上级平台证书密钥、前端设备私钥、前端设备公钥、前端设备证书密钥以及前端设备证书进行协议互通,包括:

上级平台的第一ONVIF协议模块向前端设备发送ONVIF探测报文,其中,ONVIF探测报文中携带上级平台证书,上级平台证书中包含上级平台公钥;

前端设备的第二ONVIF协议模块对接收到的ONVIF探测报文进行解析,得到上级平台证书,并将解析得到的上级平台证书存储至第二证书密钥管理模块;

前端设备的证书密钥管理模块利用预先存储的上级平台证书密钥对上级平台证书进行解密,得到上级平台公钥,并将上级平台公钥、前端设备证书、前端设备证书密钥传递给第二ONVIF协议模块;

前端设备的第二ONVIF协议模块向上级平台发送ONVIF握手请求,ONVIF握手请求中携带利用上级平台公钥加密后的前端设备证书和前端设备证书密钥;

上级平台的第一ONVIF协议模块对接收到的ONVIF握手请求进行解析,得到利用上级平台公钥加密后的前端设备证书和前端设备证书密钥,然后从第一证书密钥管理模块中读取上级平台私钥,并使用上级平台私钥对利用上级平台公钥加密后的前端设备证书和前端设备证书密钥进行解密,如果解密成功则表示前端设备的第二ONVIF协议模块成功注册上上级平台,上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块实现互通;

上级平台的第一ONVIF协议模块将解密成功时获得的前端设备证书和前端设备证书密钥存储至第一证书密钥管理模块中。

在一种实施方式中,所述上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间基于上级平台私钥、上级平台公钥、对称加密密钥、前端设备私钥、前端设备公钥进行协议互通,包括:

前端设备的第二GB28181协议模块从第二证书密钥管理模块中读取上级平台公钥和前端设备私钥,上级平台的第一GB28181协议模块从第一证书密钥管理模块中读取前端设备公钥和上级平台私钥;

上级平台的第一GB28181协议模块从第一书密钥管理模块中首次读取对称加密密钥;

前端设备的第二GB28181协议模块与上级平台的第一GB28181协议模块基于第二GB28181协议模块读取的上级平台公钥、前端设备私钥以及第一GB28181协议模块读取的读取前端设备公钥、上级平台私钥、对称加密密钥进行双向认证,如果认证成功,则前端设备第二GB28181协议模块成功注册上上级平台,上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间实现互通;

前端设备的第二GB28181协议模块将上级平台传递的对称加密密钥存储到第二证书密钥管理模块中。

在一种实施方式中,所述前端设备的第二GB28181协议模块与上级平台的第一GB28181协议模块基于对方的公钥、自身的私钥以及对称加密密钥进行双向认证,包括:

前端设备的第二GB28181协议模块使用上级平台公钥对第一鉴权信息进行加密,并携带在SIP注册报文中,通过SIP注册报文向上级平台发送双向认证请求,其中,第一鉴权信息包括随机数与上级平台ID;

上级平台的第一GB28181协议模块使用上级平台私钥对SIP注册报文中加密后的第一鉴权信息进行解密,若解密成功,获取第一鉴权信息中包含的随机数,并则向前端设备的第二GB28181协议模块发送SIP注册成功通知报文,其中,SIP注册成功通知报文中携带通过前端设备公钥加密后的第二鉴权信息,第二鉴权信息包括随机数、前端设备ID和对称加密密钥,对称加密密钥由第一GB28181协议模块从第一证书密钥管理模块中获取;

前端设备的第二GB28181协议模块使用前端设备公钥对SIP注册成功通知报文中加密后的第二鉴权信息进行解密,若解密成功,则前端设备的第二GB28181协议模块获取第二鉴权信息中的对称加密密钥。

在一种实施方式中,所述方法还包括:上级平台的第一证书密钥管理模块定期对存储的对称加密密钥进行更新,并将更新后的对称加密密钥传递给第一ONVIF协议模块和第一GB28181协议模块;

当对称加密密钥更新时,上级平台的第一GB28181协议模块向前端设备的第二GB28181协议模块发送SIP注册成功通知报文时,SIP注册成功通知报文采用原对称加密密钥进行加密,并在加密后的SIP注册成功通知报文中携带通过前端设备的公钥加密后的新的对称加密密钥。

在一种实施方式中,所述方法还包括:前端设备的第二GB28181协议模块将SIP注册成功通知报文中携带的新的对称加密密钥存储至第二证书密钥管理模块中,前端设备的第二证书密钥管理模块对第二ONVIF协议模块和第二媒体模块发起对称加密密钥变更通知,并将变更后的对称加密密钥传递给第二ONVIF协议模块和第二媒体模块,以使第二ONVIF协议模块和第二媒体模块在收到变更后的对称加密密钥后,废弃原对称加密密钥,使用变更后的对称加密密钥进行当前和后续的ONVIF协议互联交互和媒体流加密传输。

在一种实施方式中,所述方法还包括:当前端设备的第二ONVIF协议模块和第二GB28181协议模块都成功注册上上级平台时,前端设备第二ONVIF协议模块通过使用对称加密密钥对后续ONVIF功能业务报文进行对称加密后与上级平台的第一ONVIF协议模块进行报文交互,前端设备的第二GB28181协议模块使用对称加密密钥对后续SIP功能业务报文进行对称加密后与上级平台的第一GB28181协议模块进行报文交互。

在一种实施方式中,上级平台还包括第一媒体模块,前端设备还包括第二媒体模块,所述方法还包括媒体传输,具体为:

前端设备的第二ONVIF协议模块或者第二GB28181协议模块将协商后的第一媒体传输信息传递至第二媒体模块,第一媒体传输信息包括上级平台IP端口、媒体类型、解析度,通过第二媒体模块根据媒体传输信息做好传输媒体流给上级平台的准备;由上级平台的第一ONVIF协议模块或者第一GB28181协议模块将协商后的第二媒体信息传递给第一媒体模块,第二媒体信息包括前端设备IP端口、媒体类型、解析度,第一媒体模块做好从前端设备接收媒体流的准备;

前端设备的第二媒体模块根据当前设备的安全等级,利用从第二证书密钥管理模块获取的对称加密密钥对即将发往上级平台的媒体流进行加密处理,然后传输给上级平台;上级平台的第一媒体模块根据当前设备的安全等级,对收到的媒体流进行解密处理,若解密处理不成功,则丢弃当前媒体流中的媒体帧,若解密处理成功,则正常接收当前媒体流的媒体帧。

基于同样的发明构思,本发明第二方面提供了一种基于第一方面所述的协议互通方法的协议互通装置,包括:

第一互通装置,用于实现上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块之间基于上级平台私钥、上级平台公钥、上级平台证书、上级平台证书密钥、前端设备私钥、前端设备公钥、前端设备证书密钥以及前端设备证书的协议互通;

第二互通装置,用于实现上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间基于上级平台私钥、上级平台公钥、对称加密密钥、前端设备私钥、前端设备公钥的协议互通。

基于同样的发明构思,本发明第三方面提供了一种视频监控系统,包括上级平台、前端设备以及第二方面所述的协议互通装置。

相对于现有技术,本发明的优点和有益的技术效果如下:

本发明提供的一种协议互通方法,仅集成了通用互联协议(ONVIF协议和GB28181协议),通过发送ONVIF探测报文以及对探测报文进行解析,同时利用证书密钥管理模块中存储的密钥,实现了上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块之间的互通,前端设备的第二GB28181协议模块与上级平台的第一GB28181协议模块基于对方的公钥、自身的私钥以及对称加密密钥进行双向认证,实现上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间的互通,在证书密钥管理模块的支持下同时保障了通用互联协议的传输安全,相比与同时集成私有互联协议和通用互联协议的方案来说,有效地节省了系统资源,降低了硬件实现成本。相比于仅集成通用互联协议并采用通用互联协议原生安全规则的方案来说,本技术方案通过通用互联协议模块(第一ONVIF协议模块与第二ONVIF协议模块之间、第一GB28181协议模块与第二GB28181协议模块)之间的安全联动,使得对于外部攻击更有抵御能力,在传输的安全性上更有保障,且由于ONVIF协议基于HTTP协议的特性,可实现证书和密钥的远程传输,节省了在设备上进行证书的人工导入的曹邹,节省了人力(因为GB28181协议如果需要使用GB35114协议保障安全,则需要人工在设备上导入证书);

进一步地,上级平台的第一证书密钥管理模块定期对存储的对称加密密钥进行更新,并将更新后的对称加密密钥传递给其他模块,进一步提高了安全性。

进一步地,本申请的上级平台和前端设备共用一套安全加密系统,例如前端设备第二ONVIF协议模块通过与上级平台的第一ONVIF协议模块之间的协议互通,从而得到上级平台公钥,并存储至第二证书密钥管理模块;前端设备的第二GB28181协议模块通过与上级平台的第一GB28181协议模块之间的协议互通,能够获取对称加密密钥,并存储至第二证书密钥管理模块。此外,前端设备能够从第二证书密钥管理模块中获取自身的公钥和私钥,上级平台能够从第一证书密钥管理模块中获取自身的公钥和私钥,以实现互通。相比与现有技术中ONVIF协议和GB28181协议各自采用原生安全规则来说,本方案在不增加系统资源消耗的同时,通过两个通用互联协议模块的安全联动实现了1+1>2的安全防御能力。

进一步地,本发明还提供了基于协议互通方法的交互方法,当前端设备的第二ONVIF协议模块和第二GB28181协议模块都成功注册上上级平台时,上级平台才认为前端设备此时为可远程操作状态,才进行后续的功能报文交互,如果第二ONVIF协议模块或者第二GB28181协议模块因故掉线,上级平台则认为前端设备此时为不可远程操作状态,会等待至前端设备使用ONVIF和GB28181均注册上平台时才与其进行功能报文的交互。

进一步地,本发明还提供了基于协议互通方法的媒体传输方法,在上级平台上针对外部接入设备(例如前端设备)分别进行动态安全等级设置,从而可以根据实际使用场景进行实时调整,一方面在视频监控体系接入非体系内其他厂商的外部前端设备时,可通过在上级平台上设置对该设备的安全等级为不加密,从而避免无法互联互通的问题,另一方面在使用场景所要求传输安全性不高时,可调低上级平台和前端设备的安全等级,从而可有效地节省系统资源(如后续使用场景所要求传输安全性不再变更,可通过该方式降低对硬件的要求,从而降低硬件实现成本)。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为本发明实施例中上级平台与前端设备进行交互的示意图。

具体实施方式

本发明要解决的技术问题是:克服现有技术的不足,提供一种通过通用互联协议模块之间的联动来保障视频监控体系中通用互联协议安全传输的技术方案。该方案相较于在视频监控体系中仅直接使用通用互联协议的方案来说,能够保障其安全传输的可靠性,相较于在设备中同时集成私有互联协议和通用互联协议的方案来说,能够有效地降低设备系统资源消耗,从而降低硬件实现成本。

为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

实施例一

本发明实施例提供了一种协议互通方法,应用于视频监控中的上级平台和前端设备,

上级平台包括第一ONVIF协议模块、第一GB28181协议模块和第一证书密钥管理模块,第一证书密钥管理模块预先存储上级平台私钥、上级平台证书、上级平台证书密钥以及对称加密密钥,前端设备包括第二ONVIF协议模块、第二GB28181协议模块和第二证书密钥管理模块,第二证书密钥管理模块预先存储前端设备私钥、前端设备证书密钥、前端设备证书以及上级平台证书密钥,且第一证书密钥管理模块能够利用前端设备证书密钥从前端证书中获取前端设备公钥,第二证书密钥管理模块能够利用上级平台证书密钥从上级平台证书中获取上级平台公钥,协议互通方法包括:

上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块之间基于上级平台私钥、上级平台公钥、上级平台证书、上级平台证书密钥、前端设备私钥、前端设备公钥、前端设备证书密钥以及前端设备证书进行协议互通;

上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间基于上级平台私钥、上级平台公钥、对称加密密钥、前端设备私钥、前端设备公钥进行协议互通。

具体实施过程中,上级平台和前端设备根据应用场景的不同,可以指不同的设备。例如,当中间接入设备与前端摄像头进行协议互通时,中间接入设备为上级平台,前端摄像头为前端设备。当中间接入设备与后台进行交互时,中间接入设备为前端设备,后台为上级平台。

本发明协议互通方法主要是指上级平台与前端设备之间的协议互通,包括上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块之间的互通(ONVIF协议互通)、上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间的互通(GB28181协议互通)。

在一种实施方式中,上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块之间基于上级平台私钥、上级平台公钥、上级平台证书、上级平台证书密钥、前端设备私钥、前端设备公钥、前端设备证书密钥以及前端设备证书进行协议互通,包括:

上级平台的第一ONVIF协议模块向前端设备发送ONVIF探测报文,其中,ONVIF探测报文中携带上级平台证书,上级平台证书中包含上级平台公钥;

前端设备的第二ONVIF协议模块对接收到的ONVIF探测报文进行解析,得到上级平台证书,并将解析得到的上级平台证书存储至第二证书密钥管理模块;

前端设备的证书密钥管理模块利用预先存储的上级平台证书密钥对上级平台证书进行解密,得到上级平台公钥,并将上级平台公钥、前端设备证书、前端设备证书密钥传递给第二ONVIF协议模块;

前端设备的第二ONVIF协议模块向上级平台发送ONVIF握手请求,ONVIF握手请求中携带利用上级平台公钥加密后的前端设备证书和前端设备证书密钥;

上级平台的第一ONVIF协议模块对接收到的ONVIF握手请求进行解析,得到利用上级平台公钥加密后的前端设备证书和前端设备证书密钥,然后从第一证书密钥管理模块中读取上级平台私钥,并使用上级平台私钥对利用上级平台公钥加密后的前端设备证书和前端设备证书密钥进行解密,如果解密成功则表示前端设备的第二ONVIF协议模块成功注册上上级平台,上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块实现互通;

上级平台的第一ONVIF协议模块将解密成功时获得的前端设备证书和前端设备证书密钥存储至第一证书密钥管理模块中。具体来说,上述互通是ONVIF协议模块之间的协议互通。

ONVIF协议互通通过上级平台的第一ONVIF协议模块向前端设备发送ONVIF探测报文,前端设备对探测报文进行解析来实现,如果解析成功,则表明前端设备的第二ONVIF协议模块成功注册上上级平台,二者实现互通,通过该过程中,上级平台的第一ONVIF协议模块能够获得前端设备证书和证书密钥,并存储至第一证书密钥管理模块中,前端设备的第二ONVIF协议模块可以从第二证书密钥管理模块获取上级平台公钥,以便后续的双向认证。

第一ONVIF协议模块将解密成功所获得的前端设备证书和证书密钥存储至所述第一证书密钥管理模块中,是为了方便后续的读取和使用。

在一种实施方式中,当利用上级平台私钥对利用上级平台公钥加密后的前端设备证书和前端设备公钥解密不成功时,所述方法还包括,上级平台等待后续前端设备发送新的ONVIF握手请求报文。

也就是说,当上级平台对使用上级平台私钥对利用上级平台公钥加密后的前端设备证书和前端设备公钥进行解密,如果解密不成功时,则不进行后续的操作,而是等待前端设备发送新的ONVIF握手请求报文。

在一种实施方式中,上上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间基于上级平台私钥、上级平台公钥、对称加密密钥、前端设备私钥、前端设备公钥进行协议互通,包括:

前端设备的第二GB28181协议模块从第二证书密钥管理模块中读取上级平台公钥和前端设备私钥,上级平台的第一GB28181协议模块从第一证书密钥管理模块中读取前端设备公钥和上级平台私钥;

上级平台的第一GB28181协议模块从第一书密钥管理模块中首次读取对称加密密钥;

前端设备的第二GB28181协议模块与上级平台的第一GB28181协议模块基于第二GB28181协议模块读取的上级平台公钥、前端设备私钥以及第一GB28181协议模块读取的读取前端设备公钥、上级平台私钥、对称加密密钥进行双向认证,如果认证成功,则前端设备第二GB28181协议模块成功注册上上级平台,上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间实现互通;

前端设备的第二GB28181协议模块将上级平台传递的对称加密密钥存储到第二证书密钥管理模块中。

具体来说,上述互通是GB28181协议模块之间的协议互通。

需要说明的是,加密过程均由各协议模块自己完成(例如ONVIF报文中的加密内容由对应的ONVIF协议模块完成,GB28181报文中的加密内容由对应的GB28181协议模块完成),加密的方法为调用系统的加密算法库接口(即传入要加密的内容、密钥,然后返回加密结果),在要组装所要发送的报文时完成。对称加密密钥由证书密钥管理模块调用系统的对称加密算法库的接口生成,在证书密钥管理模块首次启动时会进行第一次生成(仅上级平台的第一证书密钥管理模块会进行自动生成,并后续定期变更)。

GB28181协议互通通过前端设备和上级平台使用对方公钥对鉴权信息进行非对称加密来实现,这是一个双向认证过程,对方公钥通过前文中的ONVIF协议互通获得。在双向认证过程中,上级平台使用前端设备的公钥对对称加密密钥进行加密,并携带于上级平台发送给前端设备的反向认证(SIP注册成功通知报文)中,双方若均通过对方的认证,则前端设备将可获得使用前端设备私钥解密得到的对称加密密钥。

关于密钥传递,本申请的各模块共用一套密钥管理机制。当前端设备的第二ONVIF协议模块获得到上级平台证书后,会传递给同一设备的证书密钥管理模块(该前端设备的第二证书密钥管理模块),第二证书密钥管理模块会对当前自身已保存的上级平台证书进行更新(若当前未保存过该证书,则进行第一次保存,如果保存过,则进行更新);当上级平台的第一ONVIF协议模块接收到前端设备证书和证书密钥时,会传递给同一设备的证书密钥管理模块(第一证书密钥管理模块),第一证书密钥管理模块会对当前自身已保存的前端设备证书和证书密钥进行更新(如果是首次,则进行第一次保存);当前端设备的第二GB28181协议模块接收到来自上级平台的新的对称密钥时,会传递给同一设备的证书密钥管理模块,第二证书密钥管理模块会对当前自身已保存的对称密钥进行更新(前端设备会停用证书密钥管理模块的对称密钥自动更新功能,仅上级平台会开启该功能)。

在一种实施方式中,前端设备的第二GB28181协议模块与上级平台的第一GB28181协议模块基于对方的公钥、自身的私钥以及对称加密密钥进行双向认证,包括:

前端设备的第二GB28181协议模块使用上级平台公钥对第一鉴权信息进行加密,并携带在SIP注册报文中,通过SIP注册报文向上级平台发送双向认证请求,其中,第一鉴权信息包括随机数与上级平台ID;

上级平台的第一GB28181协议模块使用上级平台私钥对SIP注册报文中加密后的第一鉴权信息进行解密,若解密成功,获取第一鉴权信息中包含的随机数,并则向前端设备的第二GB28181协议模块发送SIP注册成功通知报文(即反向认证请求),其中,SIP注册成功通知报文中携带通过前端设备公钥加密后的第二鉴权信息,第二鉴权信息包括随机数、前端设备ID和对称加密密钥,对称加密密钥由第一GB28181协议模块从第一证书密钥管理模块中获取;

前端设备的第二GB28181协议模块使用前端设备公钥对SIP注册成功通知报文中加密后的第二鉴权信息进行解密,若解密成功,则前端设备的第二GB28181协议模块获取第二鉴权信息中的对称加密密钥。

具体来说,当双方都认证成功,即上级平台的第一GB28181协议模块对前端设备发送的SIP注册报文中加密后的第一鉴权信息解密成功,前端设备的第二GB28181协议模块使用前端设备公钥对SIP注册成功通知报文中加密后的第二鉴权信息解密成功,则表明认证通过,前端设备的第二GB28181协议模块获取第二鉴权信息中的对称加密密钥。

在一种实施方式中,当前端设备的第二GB28181协议模块使用前端设备公钥对SIP注册成功通知报文中加密后的第二鉴权信息解密失败时,则丢弃该报文,并在一段时间后重新向上级平台的第一GB28181协议模块发送新的SIP注册报文。

在一种实施方式中,在前端设备的第二GB28181协议模块获取第二鉴权信息中的对称加密密钥之后,所述方法还包括:前端设备的第二GB28181协议模块将获取的对称加密密钥存储至第二证书密钥管理模块中。

前端设备的第二GB28181协议模块将获取的对称加密密钥存储至第二证书密钥管理模块中,以便后续的读取。

在一种实施方式中,所述方法还包括:上级平台的第一证书密钥管理模块定期对存储的对称加密密钥进行更新,并将更新后的对称加密密钥传递给第一ONVIF协议模块和第一GB28181协议模块。

由于对称加密密钥不更新有被盗取的风险,本发明对其进行定时进行更新,以提高安全性。

此外,在对对称加密密钥进行非对称加密时,可与任意其他字段合在一起后再进行加密,可进一步提高安全性;在上级平台第一证书密钥管理模块定时更新对称加密密钥期间,设置一个时间容忍度(即考虑到网络延迟和前端设备更新对称加密密钥所耗费的时间),在该时间容忍度内,上级平台对于收到的使用旧的对称加密密钥所加密的协议报文和媒体帧,若使用新的对称加密密钥解密不成功,会尝试使用旧的对称加密密钥重新进行解密,以保证可靠性和效率。

当对称加密密钥更新时,所述方法还包括:上级平台的GB28181协议模块向前端设备的第二GB28181协议模块发送SIP注册成功通知报文时,SIP注册成功通知报文采用原对称加密密钥进行加密,并在加密后的SIP注册成功通知报文中携带通过前端设备的公钥加密后的新的对称加密密钥。

通过上述方式,可以通过双向认证,上级平台将新的对称加密密钥传递给前端设备的第二GB28181协议模块。

在一种实施方式中,所述方法还包括:当前端设备的第二GB28181协议模块对SIP注册成功通知报文中加密后的第二鉴权信息解密成功时,获得新的对称加密密钥,并存储至第二证书密钥管理模块中;前端设备的第二证书密钥管理模块对第二ONVIF协议模块和第二媒体模块发起对称加密密钥变更通知,并将新的对称加密密钥传递给第二ONVIF协议模块。

从而,第二ONVIF协议模块在收到新的对称加密密钥后,会立刻废弃旧的对称加密密钥,使用新的对称加密密钥进行当前和后续的ONVIF协议互联交互和媒体流加密传输。

在一种实施方式中,所述方法还包括:当前端设备的第二ONVIF协议模块和第二GB28181协议模块都成功注册上上级平台时,前端设备第二ONVIF协议模块通过使用对称加密密钥对后续ONVIF功能业务报文进行对称加密后与上级平台的第一ONVIF协议模块进行报文交互,前端设备的第二GB28181协议模块使用对称加密密钥对后续SIP功能业务报文进行对称加密后与上级平台的第一GB28181协议模块进行报文交互。

具体来说,当确认第二ONVIF协议模块和第二GB28181协议模块均通过上级平台的注册验证后(因为是双向认证过程,此时,表明上级平台的第一ONVIF协议模块和第一GB28181协议模块也能够通过前端设备的反向认证),前端设备的第二ONVIF协议模块才可以使用对称加密密钥对后续ONVIF功能业务报文进行对称加密后与上级平台的第一ONVIF协议模块进行报文交互;前端设备的第二GB28181协议模块才可以使用对称加密密钥对后续SIP功能业务报文进行对称加密后与上级平台的第一GB28181协议模块进行报文交互。同理,在报文交互过程中,在确认前端设备的ONVIF协议和GB28181协议均通过上级平台验证后,上级平台的第一ONVIF协议模块才使用对称加密密钥对前端设备发送的ONVIF功能业务报文进行解密和回复,其中,回复报文同样也经过对称加密密钥的加密;上级平台的第一GB28181协议模块才使用对称加密密钥对前端设备发送的ONVIF功能业务报文进行解密和回复,回复报文同样也经过对称加密密钥的加密。

在一种实施方式中,上级平台还包括第一媒体模块,前端设备还包括第二媒体模块,所述方法还包括媒体传输,具体为:

前端设备的第二ONVIF协议模块或者第二GB28181协议模块将协商后的第一媒体传输信息传递至第二媒体模块,第一媒体传输信息包括上级平台IP端口、媒体类型、解析度,通过第二媒体模块根据媒体传输信息做好传输媒体流给上级平台的准备;由上级平台的第一ONVIF协议模块或者第一GB28181协议模块将协商后的第二媒体信息传递给第一媒体模块,第二媒体信息包括前端设备IP端口、媒体类型、解析度,第一媒体模块做好从前端设备接收媒体流的准备;

前端设备的第二媒体模块根据当前设备的安全等级,利用从第二证书密钥管理模块获取的对称加密密钥对即将发往上级平台的媒体流进行加密处理,然后传输给上级平台;上级平台的第一媒体模块根据当前设备的安全等级,对收到的媒体流进行解密处理,若解密处理不成功,则丢弃当前媒体流中的媒体帧,若解密处理成功,则正常接收当前媒体流的媒体帧。

具体来说,前端设备的第二媒体模块根据当前设备的安全等级,利用从第二证书密钥管理模块获取的对称加密密钥对即将发往上级平台的媒体流进行加密处理,包括以下三种方式,第一种,不加密,第二种,对视频流报文头部进行对称加密,第三种,对整个视频流进行对称加密)。上级平台的第一媒体模块根据当前设备的安全等级,对收到的媒体流进行解密处理,包括两种情形,第一种,当前端设备的安全等级与平台一致,则根据该安全等级进行解密处理,第二种,当前端设备的安全等级与平台一致不一致,则以上级平台的安全等级为准,低于上级平台的安全等级则会引起上级平台解密验证失败而不接收视频流。

下面通过一个详细的实例对本发明实施例中的协议互通方法进行介绍,具体请参见图1。

S1、传递上级平台证书,具体为:上级平台的第一ONVIF协议模块发送ONVIF探测报文,并在报文中携带明文的上级平台证书。

S2、存储上级平台证书,具体为:前端设备的第二ONVIF协议模块收到上级平台广播发送的ONVIF探测报文,解析得到上级平台证书,并将上级平台证书存储到第二证书密钥管理模块。

S3、读取上级平台公钥、前端设备证书、前端设备证书密钥,具体为:前端设备的第二证书密钥管理模块用提前预载在其中的上级平台证书密钥解析上级平台证书得到上级平台公钥,并将上级平台公钥、前端设备证书和证书密钥传递给第二ONVIF协议模块。

S4、传递前端设备证书和前端设备证书密钥,具体为:前端设备的第二ONVIF协议模块发送ONVIF握手请求报文,并在报文中携带通过上级平台公钥加密过的前端设备证书和证书密钥。

S5、读取上级平台私钥,具体为:上级平台的第一ONVIF协议模块收到前端设备发送的ONVIF握手请求报文后,解析得到经过加密的前端设备证书和证书密钥,从第一证书密钥管理模块中读取上级平台私钥,并使用上级平台私钥对经过加密的前端设备证书和证书密钥进行解密,若能解密成功则回复给该前端设备握手成功报文,若不能解密成功则不予任何回复。

S6、存储前端设备证书、前端设备证书密钥,具体为:上级平台的第一ONVIF协议模块将解密成功所获得的前端设备证书和证书密钥存储到第一证书密钥管理模块中。

S7、读取上级平台公钥和前端设备私钥,具体为:前端设备的第二GB28181协议模块从第二证书密钥管理模块读取上级平台公钥和前端设备私钥,上级平台的第一GB28181协议模块从第一证书密钥管理模块读取前端设备公钥和上级平台私钥。

S8、读取对称加密密钥,具体为上级平台的第一ONVIF协议模块从第一证书密钥管理模块首次读取对称加密密钥。

S9、双向认证和传递对称加密密钥,具体为:前端设备的第二GB28181协议模块向上级平台的第一GB28181协议模块发起双向认证(前端设备和上级平台使用对方公钥对鉴权信息进行非对称加密的一种非对称加解密认证方法),对称加密密钥使用前端设备的公钥进行了加密,并携带于上级平台发送给前端设备的反向认证中,双方若均通过对方的认证,则前端设备将可获得使用前端设备私钥解密过的对称加密密钥。

S10、存储对称加密密钥,具体为:前端设备的第二GB28181协议模块将上级平台所传递的对称加密密钥存储到第二证书密钥管理模块中。

S11、读取对称加密密钥,具体为:前端设备的第二证书密钥管理模块将对称加密密钥传递给第二ONVIF协议模块和第二媒体模块。

S12、协议ONVIF互联互通,具体为:前端设备的第二ONVIF协议模块确认第二ONVIF协议模块和第二GB28181协议模块均通过上级平台的注册验证后,使用对称加密密钥对后续ONVIF功能业务报文进行对称加密后与上级平台的第一ONVIF协议模块进行报文交互;前端设备的第二GB28181协议模块确认第二GB28181协议模块和第二ONVIF协议模块均通过上级的平台的注册验证后,使用对称加密密钥对后续SIP功能业务报文进行对称加密后与上级平台的第一GB28181协议模块进行报文交互;上级平台的第一ONVIF协议模块确认前端设备的ONVIF协议和GB28181协议均通过上级平台验证后,才使用对称加密密钥对前端设备发送的ONVIF功能业务报文进行解密和回复,回复报文同样也经过对称加密密钥的加密;上级平台的第一GB28181协议模块确认前端设备的ONVIF协议和GB28181协议均通过上级平台验证后,才使用对称加密密钥对前端设备发送的ONVIF功能业务报文进行解密和回复,回复报文同样也经过对称加密密钥的加密。

S13、传递媒体传输信息,具体为:涉及到媒体传输时,由前端设备的第二ONVIF协议模块和第二GB28181协议模块将协商后的上级平台IP端口、媒体类型、解析度等媒体传输信息传递给第二媒体模块,第二媒体模块根据媒体传输信息做好传输媒体流给上级平台的准备;由上级平台的第一ONVIF协议模块和第一GB28181协议模块将协商后的前端设备IP端口、媒体类型、解析度等媒体传输信息传递给第一媒体模块,媒体模块做好从前端设备接收媒体流的准备。

S14、媒体流传输,具体为:前端设备的第二媒体模块根据当前设备的安全等级,对即将发往上级平台的媒体流进行加密处理(不加密/对视频流报文头部进行对称加密/对整个视频流进行对称加密),然后将媒体流传输给上级平台;上级平台的第一媒体模块根据当前设备的安全等级,对收到的媒体流进行解密处理(一般情况,前端设备的安全等级与平台一致,若不一致,则以上级平台的安全等级为准,低于上级平台的安全等级则会引起上级平台解密验证失败而不接收视频流),若解密处理不成功,则丢弃当前的媒体帧,若解密处理成功,则正常接收当前的媒体帧。

S15、变更对称加密密钥,具体为:上级平台的第一证书密钥管理模块定时进行对称加密密钥的变更,并将变更后的对称加密密钥传递给第一ONVIF协议模块、第一GB28181协议模块和第一媒体模块。

S16、对称加密密钥变更通知和传递,具体为:上级平台的第一GB28181协议模块使用前端设备的公钥对新的对称加密密钥进行加密,并携带于经过旧的对称加密密钥后的SIP报文中,并传递给前端设备的第二GB28181协议模块。

S17、对称加密密钥更新,具体为:前端设备的第二GB28181协议模块将新的对称加密密钥存储到第二证书密钥管理模块中。

S18、对称加密密钥更新,具体为:前端设备的第二证书密钥管理模块对第二ONVIF协议模块和第二媒体模块发起对称加密密钥变更通知,并将新的对称加密密钥传递给第二ONVIF协议模块和第二媒体模块,第二ONVIF协议模块和第二媒体模块在收到新的对称加密密钥后,立刻废弃旧的对称加密密钥,使用新的对称加密密钥进行当前和后续的ONVIF协议互联交互和媒体流加密传输。

其中,S1~S6主要为第一、第二ONVIF协议模块之间的互通,S7~S11主要为第一、第二GB28181协议模块之间的互通,S12为各个模块之间的交互,S13、S14为媒体流的传输,S15~S18为对称加密密钥的更新。

实施例二

基于同样的发明构思,本实施例提供了一种协议互通装置,包括:

第一互通装置,用于实现上级平台的第一ONVIF协议模块与前端设备的第二ONVIF协议模块之间基于第一证书密钥管理模块存储的上级平台的非对称加密密钥、上级平台证书、上级平台证书密钥和第二证书密钥管理模块存储的非对称加密密钥、前端设备证书密钥、前端设备证书以及上级平台证书密钥的协议互通;

第二互通装置,用于实现上级平台的第一GB28181协议模块与前端设备的第二GB28181协议模块之间基于第一证书密钥管理模块存储的上级平台的非对称加密密钥、对称加密密钥以及第二证书密钥管理模块存储的非对称加密密钥的协议互通。

由于本发明实施例二所介绍的装置为实施本发明实施例一种协议互通方法所采用的装置,故而基于本发明实施例一所介绍的方法,本领域所属人员能够了解该装置的具体结构及变形,故而在此不再赘述。凡是实施本发明实施例一所介绍的方法所采用的装置都属于本发明所欲保护的范围。

实施例三

基于同样的发明构思,本实施例提供了一种视频监控系统,包括上级平台、前端设备以及实施例二所述的协议互通装置。

下面对上级平台和前端设备包含的模块进行介绍。

1.ONVIF协议模块:上级平台通过ONVIF协议报文(基于HTTP协议)向前端设备传输明文的上级平台证书(上级平台证书密钥在前端设备系统中进行预载,因为传输上级平台证书和密钥的报文都被窃取后将存在极大安全隐患),前端设备向上级平台传输经过上级平台公钥加密的前端设备证书和证书密钥,在确认外部同一设备的ONVIF协议(模块)和GB28181协议(模块)均通过本设备验证后,则后续使用经过对称加密的ONVIF协议报文与通过验证的外部设备进行互联交互(以前端设备的第二ONVIF协议模块为例,在确认上级平台的第一ONVIF协议模块、第一GB28181协议模块均通过前端设备的认证后,才使用经过对称加密的ONVIF协议报文与通过验证的上级平台进行互联交互)。

2.GB28181协议模块:通过SIP协议报文在前端设备和上级平台之间进行双向认证(一种非对称加密认证方式),并在通过双向认证后,由上级平台向前端设备传输经过前端设备公钥加密的用于后续对称加密的对称加密密钥(对称加密密钥定时更新,更新时通过SIP协议报文传输经过前端设备公钥加密的对称加密密钥),在确认外部同一设备的ONVIF协议和GB28181协议均通过本设备验证后,则后续使用经过对称加密的SIP协议报文与通过验证的外部设备进行互联交互。

3.证书密钥管理模块:预载本设备的非对称私钥,接收外部模块对证书、证书密钥、对称加密密钥的存储和更新,能通过证书密钥解析出证书中的公钥并存储,提供给外部模块对于私钥、公钥、对称密钥的读取(不允许对私钥的写入),可定时更新所存储的对称加密密钥并通知相应所需要该密钥的外部模块进行重新获取(上级平台的第一证书密钥管理模块具备该功能,前端设备的第二证书密钥管理模块不具备该功能),其中,外部模块是指同一设备中的ONVIF协议模块和GB28181协议模块。

4.媒体模块:接收来自ONVIF协议模块和GB28181协议模块关于媒体流传输所需要的IP端口、媒体格式、解析度等媒体传输信息,并依据该媒体传输信息进行媒体流传输和接收,可根据所设置安全等级来决定给媒体流的加密程度(不加密/对视频流报文头部进行对称加密/对整个视频流进行对称加密),当在媒体流传输期间收到对称加密密钥变更的通知时,不会中断媒体流传输,将重新获取新的对称加密密钥,并使用新的对称加密密钥继续对媒体流进行加密(若安全等级为不加密,则不会进行这个动作)。

由于本发明实施例三所介绍的视频监控系统为包括本发明实施例二中协议互通装置的系统,故而基于本发明实施例三所介绍的装置,本领域所属人员能够了解该系统的具体结构及变形,故而在此不再赘述。凡是包含本发明实施例二所介绍的装置的系统都属于本发明所欲保护的范围。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

技术分类

06120115686801