本发明专利技术公开了一种公共安全视频监控联网摄像头接入认证方法,涉及公共安全视频监控联网安全领域。实施步骤包括:摄像头终端设备向认证服务器发送Register请求;认证服务器检查摄像头终端设备数字证书是否有效,有效向摄像头终端设备返回401 Unauthorized并携带信息;摄像头终端设备检查认证服务器数字证书有效性,如果有效则对信息签名后,再次发送Register请求;认证服务器端验证R1时效性,验证Sign1有效性,如果均有效,认证服务器验证成功后返回信息给摄像头终端设备;摄像头终端设备验证有效性,有效则则双向认证成功。本发明专利技术解决现在一直以来频监控系统的接入,调用基于弱口令模式导致安全问题,降低摄像头终端设备和认证服务器身份认证方案中存在的风险。
A Public Security Video Surveillance Network Camera Access Authentication Method
【技术实现步骤摘要】
一种公共安全视频监控联网摄像头接入认证方法
本专利技术属于公共安全视频监控联网安全领域,特别涉及一种公共安全视频监控联网摄像头接入认证方法。
技术介绍
随着经济的快速发展,视频图像信息大规模的联网共享应用,带来便利的同时也使得其信息安全和网络安全面临着严峻考验。摄像头的入侵、劫持、非法控制、恶意访问、数据泄露等安全问题已不止停留在纸面阶段,视频监控领域安全事件报道也日渐增多,视频监控系统的安全状况令人担忧。由于公共安全视频监控系统全面覆盖了治安保卫重点单位和重点目标,其采集和传输的视频监控图像信息涉及到公共安全的敏感信息。一直以来,视频监控系统的接入,调用等安全措施基于简单口令模式,在前端设备接入、视频传输、用户访问等环节没有采取视频内容可信度鉴别以及敏感内容保护等有效安全措施,急需制定相应的安全标准来防范和减小系统性安全风险,保护视频监控信息的安全使用。摄像头按照安全能力由低至高分为A级,B级,C级三个等级,对应分别解决弱口令,视频源认证,视频流窃听问题。然而现阶段所使用的摄像头与服务器之间的身份认证方案中仍存在部分安全问题。
技术实现思路
本专利技术的目的在于解决现有身份认证技术的缺点与不足,本专利技术所要解决的技术问题是提供摄像头终端设备及认证服务器身份认证方案中存在的安全问题,该方法可有效降低摄像头终端设备和认证服务器身份认证方案中存在的风险。实现本专利技术目的的具体技术方案是:一种公共安全视频监控联网摄像头接入认证方法,该方法包括如下步骤:步骤S1,摄像头终端设备向认证服务器发送Register请求,携带自身安全能力、摄像头终端设备数字证书和DeviceID;步骤S2,认证服务器检查摄像头终端设备数字证书是否有效,如果有效则生成随机数R1,向摄像头终端设备返回401Unauthorized,并携带认证服务器数字证书、随机数R1、认证服务器设备号ServerID和认证服务器选择的密码学算法algorithm1;步骤S3,摄像头终端设备检查认证服务器数字证书有效性,如果有效则生成随机数R2,并对{R2||R1||ServerID}使用认证服务器选择的数字签名算法计算数字签名Sign1;再次发送Register请求,携带随机数R2、R1、认证服务器设备号ServerID及数字签名Sign1;步骤S4,认证服务器端验证随机数R1时效性,验证数字签名Sign1有效性,如果均有效,则使用摄像头终端设备公钥对视频密钥加密密钥VKEK加密得到CryptKey,并对{R1||R2||DeviceID||CryptKey}使用认证服务器选择的数字签名算法计算数字签名Sign2,认证服务器向摄像头终端设备返回信息200OK、随机数R1、随机数R2、摄像头终端设备DeviceID、数字签名Sign2和CryptKey;步骤S5,摄像头终端设备验证随机数R2时效性,摄像头终端设备使用认证服务器公钥验证数字签名Sign2有效性;如果均有效,则双向认证成功。本专利技术的所述步骤S1具体包括:摄像头终端设备包括但不限于公共安防联网摄像头;所述自身安全能力是指摄像头终端设备支持使用的密码学算法列表,包括但不限于杂凑算法、对称加密算法、非对称加密算法、hash算法及数字签名算法;所述认证服务器包括但不限于能够对终端进行身份认证的信令服务器;所述摄像头终端设备向认证服务器发送使用协议包括但不限于SIP、TCP、IP、Ethernet协议;所述摄像头终端设备号DeviceID是指唯一标示摄像头终端设备的出厂设定的数字标示;所叙摄像头终端设备数字证书包括数字签名和摄像头终端设备公钥。本专利技术的所述步骤S1中Register请求包括但不限于摄像头终端设备携带摄像头终端设备自身安全能力列表、摄像头终端设备数字证书和摄像头终端设备号DeviceID。本专利技术的所述步骤S2具体包括:认证服务器设备号ServerID是指唯一标示认证服务器设备的出厂设定的数字标示;所述随机数R1生成方法包括但不限于硬件随机选择和软件随机选择;认证服务器选择的密码学算法algorithm1是从摄像头终端自身安全能力的列表中随机一种;所叙认证服务器数字证书包括数字签名和认证服务器公钥。本专利技术的所述步骤S2中认证服务器向摄像头发送信息包括但不限于返回401Unauthorized、认证服务器数字证书、随机数R1、认证服务器号ServerID和数字签名算法algorithm1。本专利技术的所述步骤S3具体包括:摄像头终端设备使用认证服务器选择的数字签名算法algorithm1对{R2||R1||ServerID}计算数字签名得到Sign1;本专利技术的所述步骤S3中摄像头终端设备向认证服务器发送Register请求信息包括但不限于随机数R2、随机数R1、摄像头终端设备号DeviceID、数字签名Sign1和数字签名算法algorithm1。本专利技术的所述步骤S4具体包括:视频密钥加密密钥VKEK是认证服务器跟摄像头终端设备进行视频流传输使用的密钥;认证服务器使用摄像头终端设备的数字证书公钥加密VKEK得到CryptKey。本专利技术的所述步骤S4中认证服务器使用数字签名算法algorithm1对{R1||R2||DeviceID||CryptKey}计算数字签名Sign2;认证服务器向摄像头终端设备返回信息包括但不限于200OK、随机数R1、随机数R2、摄像头终端设备DeviceID、数字签名Sign2和CryptKey。本专利技术的所述步骤S5具体包括:摄像头终端设备使用认证服务器公钥验证数字签名Sign2有效性。本专利技术的有效益效果:提高了摄像头终端设备及认证服务器身份认证方案的安全性,保证摄像头终端的可用性和安全性,能够有效降低摄像头终端设备和认证服务器身份认证方案中存在的风险。附图说明图1是本专利技术流程图。具体实施方式下面结合附图和具体的实施例对本专利技术技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本专利技术并能予以实施,但所举实施例不作为对本专利技术的限定。实施例本专利技术中有关的技术术语代表的含义如下:Device表示摄像头终端设备;DeviceID表示摄像头终端设备号;DevicePub表示摄像头终端设备公钥;DeviceDigitalCertificate表示摄像头终端设备数字证书;Server表示认证服务器设备;ServerID表示认证服务器设备号;ServerPub表示认证服务器设备公钥;ServerDigitalCertificate表示认证服务器设备数字证书;Register表示认证请求;Response表示认证服务器返回;{algorithm1-n}表示摄像头终端设置支持使用的密码学算法列表;algorithm1表示认证服务器随机选择的算法;Rand表示随机生成随机数;RandN表示随机数;Rn表示随机数;TimestampN表示时间戳;VKEK表示视频密钥加密密钥;Hash表示Hash函数;SignN表示签名后得到的数字签名;如图1,本专利技术包括以下步骤:下面详细描述步骤S1,摄像头终端Device向认证服务器Server发送包含摄像头终端设置支持使用的密码学算法列表{algorithm1-n},摄像头终端设备数字证书DeviceDigitalCertificate和摄像头终本文档来自技高网...
【技术保护点】
1.一种公共安全视频监控联网摄像头接入认证方法,其特征在于,该方法包括如下步骤:步骤S1,摄像头终端设备向认证服务器发送Register请求,携带自身安全能力、摄像头终端设备数字证书和DeviceID;步骤S2,认证服务器检查摄像头终端设备数字证书是否有效,如果有效则生成随机数R1,向摄像头终端设备返回401 Unauthorized,并携带认证服务器数字证书、随机数R1、认证服务器设备号ServerID和认证服务器选择的密码学算法algorithm1;步骤S3,摄像头终端设备检查认证服务器数字证书有效性,如果有效则生成随机数R2,并对{R2||R1||ServerID}使用认证服务器选择的数字签名算法计算数字签名Sign1;再次发送Register请求,携带随机数R2、R1、认证服务器设备号ServerID及数字签名Sign1;步骤S4,认证服务器端验证随机数R1时效性,验证数字签名Sign1有效性,如果均有效,则使用摄像头终端设备公钥对视频密钥加密密钥VKEK加密得到CryptKey,并对{R1||R2||DeviceID||CryptKey}使用认证服务器选择的数字签名算法计算数字签名Sign2,认证服务器向摄像头终端设备返回信息200 OK、随机数R1、随机数R2、摄像头终端设备DeviceID、数字签名Sign2和CryptKey;步骤S5, 摄像头终端设备验证随机数R2时效性,摄像头终端设备使用认证服务器公钥验证数字签名Sign2有效性;如果均有效,则双向认证成功。...
【技术特征摘要】
1.一种公共安全视频监控联网摄像头接入认证方法,其特征在于,该方法包括如下步骤:步骤S1,摄像头终端设备向认证服务器发送Register请求,携带自身安全能力、摄像头终端设备数字证书和DeviceID;步骤S2,认证服务器检查摄像头终端设备数字证书是否有效,如果有效则生成随机数R1,向摄像头终端设备返回401Unauthorized,并携带认证服务器数字证书、随机数R1、认证服务器设备号ServerID和认证服务器选择的密码学算法algorithm1;步骤S3,摄像头终端设备检查认证服务器数字证书有效性,如果有效则生成随机数R2,并对{R2||R1||ServerID}使用认证服务器选择的数字签名算法计算数字签名Sign1;再次发送Register请求,携带随机数R2、R1、认证服务器设备号ServerID及数字签名Sign1;步骤S4,认证服务器端验证随机数R1时效性,验证数字签名Sign1有效性,如果均有效,则使用摄像头终端设备公钥对视频密钥加密密钥VKEK加密得到CryptKey,并对{R1||R2||DeviceID||CryptKey}使用认证服务器选择的数字签名算法计算数字签名Sign2,认证服务器向摄像头终端设备返回信息200OK、随机数R1、随机数R2、摄像头终端设备DeviceID、数字签名Sign2和CryptKey;步骤S5,摄像头终端设备验证随机数R2时效性,摄像头终端设备使用认证服务器公钥验证数字签...
【专利技术属性】
技术研发人员:何道敬,邓智,张宇星,
申请(专利权)人:华东师范大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。