隐私保护的视频采集方法及其对应的播放方法技术

本发明专利技术公开了一种隐私保护的视频采集方法及其对应的播放方法，其中采集方法包括以下：初始环境准备，云存储厂商提供可信执行环境，在可信执行环境中设置飞地，并初始化可信执行环境，在飞地内随机生成一个根对称秘钥；可信执行环境生成一个证书，证书中包括描述当前运行在可信执行环境中的程序和可信执行环境的签名；视频采集设备通过网络连接到云存储厂商提供的可信执行环境，验证所述可信执行环境签名正确；视频采集设备生成一对非对称加密公私钥，保存在视频采集设备安全区域，视频采集设备向飞地上传公钥作为唯一身份凭证；飞地收到上传的视频采集设备唯一身份凭证，使用所述根对称秘钥和视频采集设备的唯一身份凭证，生成视频采集对称秘钥。生成视频采集对称秘钥。生成视频采集对称秘钥。

【技术实现步骤摘要】
隐私保护的视频采集方法及其对应的播放方法


[0001]本专利技术属于区块链
，具体涉及一种隐私保护的视频采集方法及其对应的播放方法。

技术介绍

[0002]具有云存储功能的安防监控摄像机一般是将前端设备采集到的视频数据通过网络(局域网、Internet或无线网络)传送至厂商服务器进行存储。用户需要查阅监控视频时，在终端(PC或APP上)访问厂商服务器，获取实时或历史监控视频。
[0003]现有方案中，用户监控视频存储在厂商服务器中，不论视频采集后是否加密上传，厂商都有能力查看到原视频(视频未加密或者视频加密的秘钥掌握在厂商手中)。而家用、办公场所、公共安全等监控视频一般都涉及到用户隐私，如果厂商对视频访问的安全措施不到位，出现管理员密码被窃取、服务器被攻击、非授权人员访问用户视频等事件，就会导致用户隐私泄露。近年来各国的工厂、家庭已多次发生此类事件，造成严重损失和不良影响。

技术实现思路

[0004]鉴于以上存在的技术问题，本专利技术用于提供一种隐私保护的视频采集方法及其对应的播放方法，使用户在使用视频云存储服务时，保证视频数据安全、不泄露隐私信息。
[0005]为解决上述技术问题，本专利技术采用如下的技术方案：
[0006]本专利技术实施例的第一方面提供一种隐私保护的视频采集方法，包括以下步骤：
[0007]初始环境准备，云存储厂商提供可信执行环境，在可信执行环境中设置飞地，并初始化可信执行环境，在飞地内随机生成一个根对称秘钥；
[0008]可信执行环境生成一个证书，证书中包括描述当前运行在可信执行环境中的程序和可信执行环境的签名；视频采集设备通过网络连接到云存储厂商提供的可信执行环境，验证所述可信执行环境签名正确；视频采集设备生成一对非对称加密公私钥，保存在视频采集设备安全区域，视频采集设备向飞地上传公钥作为唯一身份凭证；
[0009]飞地收到上传的视频采集设备唯一身份凭证，使用所述根对称秘钥和视频采集设备的唯一身份凭证，生成视频采集对称秘钥，发送给视频采集设备；
[0010]视频采集设备采集视频，并使用视频采集对称秘钥加密，将唯一身份凭证和加密后的视频内容上传到厂商云存储服务器；
[0011]厂商云存储服务器保存加密的视频，并记录所述视频采集设备唯一身份凭证为视频的拥有方。
[0012]第一方面的一种可能设计中，所述可信执行环境为在CPU中划分的安全加固区域，运行在一个独立的环境中且与操作系统并行运行。
[0013]第一方面的一种可能设计中，采用ARM TrustZone实现可信执行环境的硬件隔离。
[0014]第一方面的一种可能设计中，采用Intel SGX实现可信执行环境的硬件隔离。
[0015]本专利技术实施例的第二方面提供一种隐私保护的视频播放方法，用于播放采用如上任一设置的隐私保护的视频采集方法得到的视频，其特征在于，包括以下步骤：
[0016]第三方用户申请播放特定的加密的云存储视频，将授权播放请求发送给视频采集设备；
[0017]视频采集设备管理员查看授权播放请求并选择是否同意，选择同意后，视频采集设备使用私钥对授权播放请求签名，将授权播放请求、授权播放签名和视频采集设备唯一身份凭证发送给第三方用户；
[0018]第三方用户连接到云存储厂商提供的可信执行环境，并上传授权播放请求、授权播放签名和视频采集设备唯一身份凭证；
[0019]飞地验证授权播放签名有效，并验证授权播放请求；验证通过后，飞地使用所述根对称秘钥和视频采集设备的唯一身份凭证，生成对称秘钥；飞地使用对称秘钥解密视频内容，返回给第三方用户；
[0020]第三方用户播放解密后的视频内容。
[0021]第二方面的一种可能设计中，授权播放请求中包括申请播放的视频内容、播放时长、授权有效期、播放次数和第三方用户IP。
[0022]第二方面的一种可能设计中，验证授权播放请求包括验证授权播放请求中限定的IP与第三方用户IP一致。
[0023]第二方面的一种可能设计中，验证授权播放请求包括验证当前时间是否在授权有效期内。
[0024]第二方面的一种可能设计中，验证授权播放请求包括验证是否超过授权播放次数。
[0025]采用本专利技术具有如下的有益效果：
[0026](1)本专利技术技术方案采用视频加密上传，播放前解密的方式，解决了云存储厂商数据安全问题导致的用户隐私泄露；
[0027](2)本专利技术技术方案通过将视频加密密钥存储在可信执行环境中，避免了密钥泄露或丢失问题；
[0028](3)本专利技术技术方案通过用户公私钥签名授权并在可信执行环境中验证授权签名的方式，实现了数据拥有方安全、可控的授权第三方访问己方加密数据的能力。
附图说明
[0029]图1为本专利技术实施例的隐私保护的视频采集方法的步骤流程图；
[0030]图2为本专利技术实施例的隐私保护的视频播放方法的步骤流程图。
具体实施方式
[0031]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0032]参照图1，所示为本专利技术实施例的隐私保护的视频采集方法步骤流程图，包括以下
步骤：
[0033]S10，初始环境准备，云存储厂商提供可信执行环境，在可信执行环境中设置飞地，并初始化可信执行环境，在飞地内随机生成一个根对称秘钥；
[0034]其中可信执行环境为在CPU中划分的安全加固区域，运行在一个独立的环境中且与操作系统并行运行。通过可信执行环境可以保证其中的软件逻辑和数据在机密性和完整性上得到保护。该区域的软硬件环境可以看做是与外界隔离的一个反沙箱环境。在这个环境中运行的程序，外部包括操作系统无法读取或写入其内存，也无法干扰其代码运行逻辑。飞地(Enclave)是运行在可信执行环境的逻辑，负责对验证、编译、执行代码，敏感数据密文只能在飞地中解密。
[0035]S20，可信执行环境生成一个证书，证书中包括描述当前运行在可信执行环境中的程序和可信执行环境的签名；视频采集设备通过网络连接到云存储厂商提供的可信执行环境，验证所述可信执行环境签名正确；视频采集设备生成一对非对称加密公私钥，保存在视频采集设备安全区域，视频采集设备向可信执行环境上传公钥作为唯一身份凭证；
[0036]S30，飞地收到上传的视频采集设备唯一身份凭证，使用所述根对称秘钥和视频采集设备的唯一身份凭证，生成视频采集对称秘钥，发送给视频采集设备；
[0037]S40，视频采集设备采集视频，并使用视频采集对称秘钥加密，将唯一身份凭证和加密后的视频内容上传到厂商云存储服务器；
[0038]S50，厂商云存储服务器保存加密的视频，并记录所述视频采集设备唯一身份凭证为视频的拥有方本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种隐私保护的视频采集方法，其特征在于，包括以下步骤：初始环境准备，云存储厂商提供可信执行环境，在可信执行环境中设置飞地，并初始化可信执行环境，在飞地内随机生成一个根对称秘钥；可信执行环境生成一个证书，证书中包括描述当前运行在可信执行环境中的程序和可信执行环境的签名；视频采集设备通过网络连接到云存储厂商提供的可信执行环境，验证所述可信执行环境签名正确；视频采集设备生成一对非对称加密公私钥，保存在视频采集设备安全区域，视频采集设备向飞地上传公钥作为唯一身份凭证；飞地收到上传的视频采集设备唯一身份凭证，使用所述根对称秘钥和视频采集设备的唯一身份凭证，生成视频采集对称秘钥，发送给视频采集设备；视频采集设备采集视频，并使用视频采集对称秘钥加密，将唯一身份凭证和加密后的视频内容上传到厂商云存储服务器；厂商云存储服务器保存加密的视频，并记录所述视频采集设备唯一身份凭证为视频的拥有方。2.如权利要求1所述的隐私保护的视频采集方法，其特征在于，所述可信执行环境为在CPU中划分的安全加固区域，运行在一个独立的环境中且与操作系统并行运行。3.如权利要求2所述的隐私保护的视频采集方法，其特征在于，采用ARM TrustZone实现可信执行环境的硬件隔离。4.如权利要求2所述的隐私保护的视频采集方法，其特征在于，采用Intel SGX实现可信执行环境的硬件隔离。5.一种隐私保护的视频...

【专利技术属性】
技术研发人员：赵刚，程希冀，张森，滕海明，周丹丹，罗骁，陈柏臻，
申请(专利权)人：杭州宇链科技有限公司，
类型：发明
国别省市：