一种视频监控系统中的密钥分发装置制造方法及图纸

本发明专利技术公开了一种视频监控系统中的密钥分发装置，用于实现从视频源设备到客户端的视频流密钥的分发，该装置分别与视频管理服务器、视频源设备和客户端通过网络连接，该装置包括的第一数字证书发放单元、第一公钥验证单元和服务端密钥解密单元用于与视频源设备进行交互获得视频流密钥并记录，该装置的第二数字证书请求单元、第二公钥验证请求单元和服务端密钥发送单元用于与客户端进行交互，向客户端分发视频流密钥。本发明专利技术的密钥分发装置实现了视频流密钥的安全分发，并有效控制保密视频的发布范围以防止窃听。

【技术实现步骤摘要】
一种视频监控系统中的密钥分发装置
本专利技术属于数据安全
，尤其涉及一种视频监控系统中密钥分发装置。
技术介绍
视频监控是安全防范系统的重要组成部分，视频监控以其直观、准确、及时和信息 内容丰富而广泛应用于许多场合。近年来，随着计算机、网络以及图像处理、传输技术的飞 速发展，视频监控的普及化趋势越来越明显。通常的视频监控系统如图1所示，包括媒体服 务器、视频管理服务器、视频源设备和客户端。客户端通过媒体服务器接收并播放视频源设 备拍摄的视频流，而视频流在视频监控系统网络中进行传输一般是通过互联网络。由于互 联网络是开放的网络，容易被人窃听而造成视频流的泄密。 因此某些特殊位置或者保密机构的视频监控系统需要对视频流进行加密，现有技 术的视频流一般经过对称加密后进行传输，对称加密采用了对称密码编码技术，加密和解 密使用相同的密钥，即加密密钥也可以用作解密密钥。对称加密使用起来简单快捷，密钥较 短，且破译困难，由于对称加密的加密算法是公开的，其保密性取决于对密钥的保密，但是 加解密双方采用的密钥是相同的，在网上传播加密密钥很容易被窃取，因此密钥的发布更 换比较困难。 如何即能对视频流进行对称加密，又能保证加密密钥的发布，是视频监控系统中 急需解决的一个技术问题。
技术实现思路
本专利技术的目的是提供一种视频监控系统中的密钥分发装置，在视频源设备和客户 端间分发视频流密钥，由于对视频流密钥采用非对称加解密算法进行加密分发，保证了视 频流密钥发布的安全。 为了实现上述目的，本专利技术技术方案如下： -种视频监控系统中的密钥分发装置，所述视频监控系统包括视频源设备、视频 管理服务器和客户端，所述密钥分发装置分别与所述视频管理服务器、视频源设备和客户 端通过网络连接，所述密钥分发装置包括第一数字证书发放单元、第一公钥验证单元、服务 端密钥解密单元、第二数字证书请求单元、第二公钥验证请求单元和服务端密钥发送单元， 其中： 第一数字证书发放单元用于接收视频源设备发送的数字证书请求，向该视频源设 备返回第一数字证书； 第一公钥验证单元用于接收视频源设备用第一数字证书中包含的第一公钥加密 的验证请求报文，用第一私钥进行解密后向该视频源设备发送用第一私钥加密的验证报 文； 服务端密钥解密单元用于接收视频源设备发送的用第一公钥加密的视频流密钥 报文，用第一私钥进行解密，得到视频流密钥并记录，为每一个视频流密钥生成一个对应的 密钥ID，并将该密钥ID发送给该视频源设备； 第二数字证书请求单元用于接收客户端发送的携带密钥ID的解密请求，向该客 户端发送第二数字证书请求； 第二公钥验证请求单元用于接收客户端返回的第二数字证书，向该客户端发送用 第二数字证书中包含的第二公钥加密的验证请求； 服务端密钥发送单元用于接收客户端发送的用第二私钥加密的验证报文，用第二 公钥进行解密验证后，找到解密请求中携带的密钥ID对应的视频流密钥，用第二公钥加密 视频流密钥发送给该客户端。 进一步地，所述密钥分发装置还存储有授权策略及其对应的授权码。优选地，所述 密钥分发装置还设置有用户授权单元，用于为视频监控系统的用户设置授权策略及其对应 的授权码。在本地生成授权策略及其对应的授权码更加方便调用。 进一步地，所述解密请求还携带有用户输入的所述授权码，所述第二数字证书请 求单元在接收客户端发送的解密请求后，还会根据解密请求中携带的授权码查找到对应的 授权策略，根据所述授权策略决定是否向所述客户端提供视频流密钥。其中根据解密请求 中携带的授权码查找到对应的授权策略，是从所述授权单元中进行查找；或由授权单元在 得到授权策略和授权码后形成列表存储在数据库中，第二数字证书请求单元直接从数据库 中进行查找。 本专利技术还提出了一种视频监控系统中的密钥分发装置，所述视频监控系统包括视 频源设备、视频管理服务器和客户端，所述视频监控系统还包括许可证服务器，所述许可证 服务器分别与所述视频管理服务器、视频源设备和客户端通过网络连接，所述密钥分发装 置应用于视频源设备，包括第一数字证书请求单元、前端密钥发送单元和视频流加密单元， 其中： 第一数字证书请求单元用于在本地没有第一数字证书时向许可证服务器发送数 字证书请求，并接收许可证服务器返回的第一数字证书，向许可证服务器发送用第一数字 证书中包含的第一公钥加密的验证请求报文； 前端密钥发送单元用于接收许可证服务器用第一私钥加密的验证报文，用第一公 钥解密验证后，向许可证服务器发送用第一公钥加密的视频流密钥； 视频流加密单元用于接收许可证服务器发送的密钥ID，对输出的视频流用视频流 密钥进行加密，在对视频流进行加密时，在视频流报文头部留有非加密区，该非加密区包含 许可证服务器URL和密钥ID。 进一步地，所述密钥分发装置还包括加密开关，所述加密开关在视频源设备启动 或接收到打开指令后，触发所述第一数字证书请求单元在本地没有第一数字证书时向许可 证服务器发送数字证书请求。设置加密开关，则增加了视频源设备的灵活性，在不需要进行 视频流加密的时候，不进行视频流密钥的分发。 进一步地，所述前端密钥发送单元在接收到许可证服务器用第一私钥加密的验证 报文，用第一公钥解密验证后，还先检查本地视频流密钥是否存在，如果存在就将其用第一 公钥加密发送给许可证服务器，如果不存在就随机生成视频流密钥，并用第一公钥加密发 送给许可证服务器；或接收所述视频管理服务器的指令重新随机生成视频流密钥，并用第 一公钥加密发送给许可证服务器。本专利技术可以根据视频管理服务器的指令更新视频流密 钥，以进一步增加安全性。 本专利技术同时还提出了一种视频监控系统中的密钥分发装置，所述视频监控系统包 括视频源设备、视频管理服务器和客户端，所述视频监控系统还包括许可证服务器，所述许 可证服务器分别与所述视频管理服务器、视频源设备和客户端通过网络连接，所述密钥分 发装置应用于客户端，包括解密请求单元、第二数字证书发放单元、第二公钥验证单元和客 户端密钥解密单元，其中： 解密请求单元用于获取视频流报文头部的非加密区包含的许可证服务器URL和 密钥ID，并携带该密钥ID向该许可证服务器发送解密请求； 第二数字证书发放单元用于接收许可证服务器发送的第二数字证书请求，向许可 证服务器发送第二数字证书； 第二公钥验证单元用于接收到许可证服务器用第二数字证书中包含的第二公钥 加密的验证请求，用第二私钥解密后，向许可证服务器发送用第二私钥加密的验证报文； 客户端密钥解密单元用于接收许可证服务器用第二公钥加密的视频流密钥，用第 二私钥进行解密，得到视频流密钥。 进一步地，所述解密请求还携带有授权码。授权码在视频监控系统用户需要授权 的时候就提供给用户，以便于用户在使用时输入授权码，解密请求携带该授权码向许可证 服务器发起解密请求。 本专利技术提出了一种视频监控系统中的密钥分发装置，分别应用于服务器端作为许 可证服务器，以及视频源设备和客户端。从而在许可证服务器与视频源设备间、以及在许可 证服务器与客户端之间安全地分发视频流密钥。并通过在许可证服务器中建立视频流本文档来自技高网...

【技术保护点】
一种视频监控系统中的密钥分发装置，所述视频监控系统包括视频源设备、视频管理服务器和客户端，其特征在于，所述密钥分发装置分别与所述视频管理服务器、视频源设备和客户端通过网络连接，所述密钥分发装置包括第一数字证书发放单元、第一公钥验证单元、服务端密钥解密单元、第二数字证书请求单元、第二公钥验证请求单元和服务端密钥发送单元，其中：第一数字证书发放单元用于接收视频源设备发送的数字证书请求，向该视频源设备返回第一数字证书；第一公钥验证单元用于接收视频源设备用第一数字证书中包含的第一公钥加密的验证请求报文，用第一私钥进行解密后向该视频源设备发送用第一私钥加密的验证报文；服务端密钥解密单元用于接收视频源设备发送的用第一公钥加密的视频流密钥报文，用第一私钥进行解密，得到视频流密钥并记录，为每一个视频流密钥生成一个对应的密钥ID，并将该密钥ID发送给该视频源设备；第二数字证书请求单元用于接收客户端发送的携带密钥ID的解密请求，向该客户端发送第二数字证书请求；第二公钥验证请求单元用于接收客户端返回的第二数字证书，向该客户端发送用第二数字证书中包含的第二公钥加密的验证请求；服务端密钥发送单元用于接收客户端发送的用第二私钥加密的验证报文，用第二公钥进行解密验证后，找到解密请求中携带的密钥ID对应的视频流密钥，用第二公钥加密视频流密钥发送给该客户端。...

【技术特征摘要】
1. 一种视频监控系统中的密钥分发装置，所述视频监控系统包括视频源设备、视频管 理服务器和客户端，其特征在于，所述密钥分发装置分别与所述视频管理服务器、视频源设 备和客户端通过网络连接，所述密钥分发装置包括第一数字证书发放单元、第一公钥验证 单元、服务端密钥解密单元、第二数字证书请求单元、第二公钥验证请求单元和服务端密钥 发送单元，其中： 第一数字证书发放单元用于接收视频源设备发送的数字证书请求，向该视频源设备返 回第一数字证书； 第一公钥验证单元用于接收视频源设备用第一数字证书中包含的第一公钥加密的验 证请求报文，用第一私钥进行解密后向该视频源设备发送用第一私钥加密的验证报文； 服务端密钥解密单元用于接收视频源设备发送的用第一公钥加密的视频流密钥报文， 用第一私钥进行解密，得到视频流密钥并记录，为每一个视频流密钥生成一个对应的密钥 ID，并将该密钥ID发送给该视频源设备； 第二数字证书请求单元用于接收客户端发送的携带密钥ID的解密请求，向该客户端 发送第二数字证书请求； 第二公钥验证请求单元用于接收客户端返回的第二数字证书，向该客户端发送用第二 数字证书中包含的第二公钥加密的验证请求； 服务端密钥发送单元用于接收客户端发送的用第二私钥加密的验证报文，用第二公钥 进行解密验证后，找到解密请求中携带的密钥ID对应的视频流密钥，用第二公钥加密视频 流密钥发送给该客户端。2. 根据权利要求1所述的密钥分发装置，其特征在于，所述密钥分发装置还存储有授 权策略及其对应的授权码。3. 根据权利要求2所述的密钥分发装置，其特征在于，所述密钥分发装置设置有用户 授权单元，用于为视频监控系统的用户设置所述授权策略及其对应的授权码。4. 根据权利要求2或3所述的密钥分发装置，其特征在于，所述解密请求还携带有用户 输入的所述授权码，所述第二数字证书请求单元在接收客户端发送的解密请求后，还会根 据解密请求中携带的授权码查找到对应的授权策略，根据所述授权策略决定是否向所述客 户端提供视频流密钥。5. -种视频监控系统中的密钥分发装置，所述视频监控系统包括视频源设备、视频管 理服务器和客户端，其特征在于，所述视频监控系统还包括许可证服务器，所述许可证服务 器分别与所述视频管理服务器、视频源设备和客户端通过网络连接，所述密钥分发装置应 用于视频源设备，包括第一数字证书请求单元、前端密钥发送单元和视频流加密单元，其 中： ...

【专利技术属性】
技术研发人员：廖双龙，
申请(专利权)人：浙江宇视科技有限公司，
类型：发明
国别省市：浙江;33