一种监控视频安全系统的制作方法

1.本发明涉及信息安全技术领域，具体涉及一种监控视频安全系统。


背景技术：

2.随着网络视频监控技术高速发展，数据安全问题日益凸显。如何保证视频数据在承载网络中不被别人窃取或篡改，同时如何保证视频传输的安全性成了需要解决的问题。
3.然而，随着大量新建和旧系统升级改造的技术问题，且一般的系统供应商或系统维护施行单位为了推行符合新式安全标准的视频系统且为兼顾视频传输的安全性，通常会采行整组更新汰旧的方式，对于原有的旧式设备由于无法和具较高安全性的新式设备并用，且容易造成整体架构的安全性出现破口，通常旧式设备是以丢弃或封存进行处理，使得整个系统的升级建置旷日废时且所费不赀，使得时间以及金钱上的维护成本难以降低。


技术实现要素：

4.本发明的目的就在于解决上述背景技术的问题，而提出一种监控视频安全系统。
5.本发明的目的可以通过以下技术方案实现：本发明实施例提供了一种监控视频安全系统，包括第一前端设备、第二前端设备、转码网关、安全管理服务器和用户终端；所述第一前端设备、转码网关、安全管理服务器和用户终端都包括安全中间件；所述安全中间件用于对视频加密密码进行封装以及存取权限控制，并执行符合gb35114标准的国密算法的视频加密密码的计算、导入、导出以及销毁的至少之一的操作；所述安全管理服务器，用于对所述第一前端设备、所述转码网关和所述用户终端进行签名认证及视频加密密码分发；所述第一前端设备，用于产生第一监控视频，通过所述安全中间件对所述第一监控视频进行加密，得到第一媒体流发送给所述安全管理服务器；所述第一监控视频的视频格式是与所述安全管理服务器对应的目标视频格式；所述转码网关，用于接收所述第二前端设备产生的第二监控视频，将所述第二监控视频的视频格式转码为所述目标视频格式，通过所述安全中间件对所述第二监控视频进行加密，得到第二媒体流发送给所述安全管理服务器；所述用户终端，用于从所述安全管理服务器获取所述第一媒体流或者所述第二媒体流进行解密播放。
6.可选地，所述国密算法包括sm1国密算法、sm2国密算法、sm3国密算法以及sm4国密算法的至少之一。
7.可选地，所述安全管理服务器包括密码服务器、媒体服务器和信令服务器；其中：所述密码服务器，用于进行视频加密密码的产生、导入、导出、存储、备份、恢复以及销毁中的至少一种操作，并对所述第一前端设备、所述转码网关和所述用户终端进行签名认证；
所述信令服务器，用于与所述第一前端设备、所述转码网关和所述用户终端进行数据传输之前，通过信令交互进行认证，并确定视频加密使用的密码类型；所述密码类型包括由所述第一前端设备产生的第一类密码、由所述密码服务器产生的第二类密码和由所述用户终端产生的第三类密码；所述媒体服务器，用于接收所述第一媒体流或者所述第二媒体流，当接收到所述第一类密码，将所述第一类密码转发至所述用户终端，并保存至所述密码服务器，或者，当接收到所述第二类密码，将所述第二类密码转发至所述转码网关、所述第二前端设备和所述用户终端，或者，当接收到所述第三类密码，将所述第三类密码转发至所述第一前端设备，并保存至所述密码服务器。
8.可选地，所述第一前端设备包括用于产生所述第一类密码的安全芯片；所述第一类密码包括sm1国密算法、sm2国密算法、sm3国密算法以及sm4国密算法的至少之一；所述第二类密码和所述第三类密码包括sm2国密算法、sm3国密算法以及sm4国密算法的至少之一。
9.可选地，所述第一前端设备还包括特征识别模块；所述特征识别模块，用于确定所述第一监控视频中的目标特征区域；所述目标特征区域包括所述第一监控视频中的人物图像、文字图像和建筑图像中的至少一种；所述第一前端设备，具体用于通过所述安全中间件使用sm1国密算法对所述第一监控视频中的所述目标特征区域进行加密，得到部分加密视频，使用sm4国密算法对所述部分加密视频进行加密，得到第一待传输视频，使用sm2国密算法和sm3国密算法分别生成所述第一待传输视频的第一数字签名和第二数字签名，将所述第一待传输视频、所述第一数字签名和所述第二数字签名组合为所述第一媒体流；所述第一数字签名用于对所述第一前端设备进行认证；所述第二数字签名用于对所述第一待传输视频的完整性进行验证。
10.可选地，所述转码网关，具体用于接收所述媒体服务器发送的所述第二类密码，通过所述安全中间件使用sm4国密算法对所述目标视频格式的所述第二监控视频进行加密，得到第二待传输视频，使用sm2国密算法和sm3国密算法分别生成所述第二待传输视频的第三数字签名和第四数字签名，将所述第二待传输视频、所述第三数字签名和所述第四数字签名组合为所述第二媒体流；所述第三数字签名用于对所述转码网关进行认证；所述第四数字签名用于对所述第二待传输视频的完整性进行验证。
11.可选地，所述用户终端包括u盾，所述u盾依据所述安全管理服务器发送的密码服务流产生视频加密密码，并将该视频加密密码发送给所述安全管理服务器。
12.可选地，所述媒体服务器，还用于反馈所述用户终端的视频请求，实现视频的实时点播、历史回放、存储以及下载的至少之一。
13.可选地，所述密码服务器包括服务器密码机、密码管理系统、签名验证服务器和数字证书认证系统；其中所述服务器密码机，用于进行视频加密密码的产生、导入、导出、存储、备份、恢复以及销毁中的至少一种操作；密码管理系统，用于周期性地更新视频加密密码；所述签名验证服务器，用于对所述信令服务器和所述媒体服务器的信令流和媒体流进行签名验证服务；所述数字证书认证系统，用以对所述第一前端设备、所述转码网关、和所述用户终
端提供证书签发服务，以验证身份真实性。
14.可选地，所述安全管理服务器还包括上联网关；所述上联网关用于将所述第一媒体流或者所述第二媒体流上传至云端服务器。
15.本发明实施例提供了一种监控视频安全系统，包括第一前端设备、第二前端设备、转码网关、安全管理服务器和用户终端；第一前端设备、转码网关、安全管理服务器和用户终端都包括安全中间件；安全中间件用于对视频加密密码进行封装以及存取权限控制，并执行符合gb35114标准的国密算法的视频加密密码的计算、导入、导出以及销毁的至少之一的操作；安全管理服务器，用于对第一前端设备、转码网关和用户终端进行签名认证及视频加密密码分发；第一前端设备，用于产生第一监控视频，通过安全中间件对第一监控视频进行加密，得到第一媒体流发送给安全管理服务器；第一监控视频的视频格式是与安全管理服务器对应的目标视频格式；转码网关，用于接收第二前端设备产生的第二监控视频，将第二监控视频的视频格式转码为目标视频格式，通过安全中间件对第二监控视频进行加密，得到第二媒体流发送给安全管理服务器；用户终端，用于从安全管理服务器获取第一媒体流或者第二媒体流进行解密播放。
16.通过上述监控视频安全系统，不仅可以形成能基于国标的分布方式实战系统，可应用于大规模生产实战，还能通过基于旧有已建设设备的转码网关，解决现有技术的旧式设备无法和具较高安全性的新式设备并用，且整个系统升级建置的时间以及金钱上难以降低的技术问题，从而达到兼顾网络视频监控安全以及降低关于时间以及金钱上的维护成本的目的。
附图说明
17.下面结合附图对本发明作进一步的说明。
18.图1为本发明实施例提供的一种监控视频安全系统的系统框图。
具体实施方式
19.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
20.本发明实施例提供了一种监控视频安全系统。参见图1，图1为本发明实施例提供的一种监控视频安全系统的系统框图。包括第一前端设备、第二前端设备、转码网关、安全管理服务器和用户终端；第一前端设备、转码网关、安全管理服务器和用户终端都包括安全中间件；安全中间件用于对视频加密密码进行封装以及存取权限控制，并执行符合gb35114标准的国密算法的视频加密密码的计算、导入、导出以及销毁的至少之一的操作；安全管理服务器，用于对第一前端设备、转码网关和用户终端进行签名认证及视频加密密码分发；第一前端设备，用于产生第一监控视频，通过安全中间件对第一监控视频进行加密，得到第一媒体流发送给安全管理服务器；第一监控视频的视频格式是与安全管理服务器对应的目标视频格式；
转码网关，用于接收第二前端设备产生的第二监控视频，将第二监控视频的视频格式转码为目标视频格式，通过安全中间件对第二监控视频进行加密，得到第二媒体流发送给安全管理服务器；用户终端，用于从安全管理服务器获取第一媒体流或者第二媒体流进行解密播放。
21.一种实现方式中，安全中间件是平台软件与应用软件之间的提供通用安全服务的组件，是连接两个独立应用程序或独立系统的软件。即使相连接的系统具有不同的接口，但通过所述安全中间件相互之间仍能交换信息。执行安全中间件的一个关键途径是信息传递，应用程序可以工作于多平台或os环境。安全中间件广泛用于系统的安全增强、安全服务接口标准化和支持跨平台操作等。且安全中间件通常采用分层结构，自下而上分为基础安全算法层、通用安全机制层、体系结构安全层、组件安全服务层和安全管理层。利用面向对象与组件技术，通过分析各种应用系统中的公共安全服务请求，将其从整个系统中分离出来，形成通用组件，屏蔽各种安全算法实现的差异，提供统一接口，增强互操作性，使多个应用可以共享安全服务。在原应用系统体系结构不需做太大改变的情况下，为其集成安全服务功能，是安全中间件常用的应用领域之一。
22.一种实现方式中，第二前端设备为旧的前端设备，为了兼容旧的前端设备，通过部署转码网关来实现。转码网关把原前端设备输出的h.264/265等明文视频流进行签名和加密，转换成svac 2.0 (例如编解码技术要求gb/t 25724-2017)格式的视频流。转码网关还提供设备身份认证、sip信令认证等安全功能。转码网关体积较小，可以直接挂在第二前端设备的后面，或者，转码网关可以是一个服务器，可部署在安全管理服务器的前端，并支持多路前端设备接入。
23.在一个实施例中，国密算法包括sm1国密算法、sm2国密算法、sm3国密算法以及sm4国密算法的至少之一。
24.一种实现方式中，国密算法即国家密码局认定的国产密码算法。主要有sm1算法、sm2算法、sm3算法以及sm4算法。密码长度和分组长度均为128位。其中，sm1算法为对称加密，其加密强度与进阶加密标准（advanced encryption standard, aes）相当。调用sm1算法时，需要通过加密芯片的接口进行调用。采用sm1算法已经研制了系列芯片、智能ic卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域。sm2算法为非对称加密，基于椭圆曲线密码学（elliptic curve cryptography, ecc）。由于sm2算法基于ecc，故其签名速度与密钥生成速度都快于rsa。ecc 256位元(bit)（sm2算法采用的就是ecc 256位元的一种）安全强度比rsa 2048位元高，但运算速度快于rsa。sm3算法为消息摘要，可以用md5作为对比理解，校验结果为256位元。sm4算法为无线局域网标准的分组数据算法，采对称加密，密码长度和分组长度均为128位元。由于sm1算法、sm4算法加解密的分组大小为128位元，故对消息进行加解密时，若消息长度过长，需要进行分组，要消息长度不足，则要进行填充。
25.在一个实施例中，安全管理服务器包括密码服务器、媒体服务器和信令服务器；其中：密码服务器，用于进行视频加密密码的产生、导入、导出、存储、备份、恢复以及销毁中的至少一种操作，并对第一前端设备、所述转码网关和用户终端进行签名认证；
信令服务器，用于与第一前端设备、转码网关和用户终端进行数据传输之前，通过信令交互进行认证，并确定视频加密使用的密码类型；密码类型包括由第一前端设备产生的第一类密码、由密码服务器产生的第二类密码和由用户终端产生的第三类密码；媒体服务器，用于接收第一媒体流或者第二媒体流，当接收到第一类密码，将第一类密码转发至用户终端，并保存至密码服务器，或者，当接收到第二类密码，将第二类密码转发至转码网关、第二前端设备和用户终端，或者，当接收到第三类密码，将第三类密码转发至第一前端设备，并保存至密码服务器。
26.在一个实施例中，第一前端设备包括用于产生第一类密码的安全芯片；第一类密码包括sm1国密算法、sm2国密算法、sm3国密算法以及sm4国密算法的至少之一；第二类密码和第三类密码包括sm2国密算法、sm3国密算法以及sm4国密算法的至少之一。
27.一种实现方式中，安全芯片用以提供密码的产生、导入、导出、销毁、运算等功能，以满足gb35114标准的安全要求，进一步地满足作为密码的视频加密密码(video encryption key, vek)更新周期不大于1小时的要求。
28.在一个实施例中，第一前端设备还包括特征识别模块；特征识别模块，用于确定第一监控视频中的目标特征区域；目标特征区域包括第一监控视频中的人物图像、文字图像和建筑图像中的至少一种；第一前端设备，具体用于通过安全中间件使用sm1国密算法对第一监控视频中的目标特征区域进行加密，得到部分加密视频，使用sm4国密算法对部分加密视频进行加密，得到第一待传输视频，使用sm2国密算法和sm3国密算法分别生成第一待传输视频的第一数字签名和第二数字签名，将第一待传输视频、第一数字签名和第二数字签名组合为第一媒体流；第一数字签名用于对第一前端设备进行认证；第二数字签名用于对第一待传输视频的完整性进行验证。
29.一种实现方式中，由于sm1国密算法为非对称加密算法，使用sm1国密算法对全部视频进行加密或者解密需要消耗大量资源和时间，可能导致加密或者解密的效率低下；而sm4国密算法为对称加密算法，使用sm4国密算法对全部视频进行加密或者解密，加密或者解密的效率较高，安全性比使用sm1国密算法较低。通过使用sm4国密算法和sm1国密算法共同对第一监控视频进行加密，使用sm4国密算法和sm1国密算法对目标特征区域进行双重加密，对其他区域使用sm4国密算法进行加密，可以提高第一待传输视频的隐私性和加密或者解密的效率。
30.在一个实施例中，转码网关，具体用于接收媒体服务器发送的第二类密码，通过安全中间件使用sm4国密算法对目标视频格式的第二监控视频进行加密，得到第二待传输视频，使用sm2国密算法和sm3国密算法分别生成第二待传输视频的第三数字签名和第四数字签名，将第二待传输视频、第三数字签名和第四数字签名组合为第二媒体流；第三数字签名用于对转码网关进行认证；第四数字签名用于对第二待传输视频的完整性进行验证。
31.在一个实施例中，用户终端包括u盾，u盾依据安全管理服务器发送的密码服务流产生视频加密密码，并将该视频加密密码发送给安全管理服务器。
32.一种实现方式中，用户终端主要用于用户身份认证、加密视频解密播放等功能。内置于用户终端的usb key (上述u盾)还用以与内置于用户终端内的安全中间件进行基于编解码技术要求gb/t 0016的信息通信。usb key通过签发数字证书来保障接入用户的身份真
实性。且提供密码的产生、导入、存储、销毁、密码运算等功能，并为视频解密提供支持。
33.在一个实施例中，媒体服务器，还用于反馈用户终端的视频请求，实现视频的实时点播、历史回放、存储以及下载的至少之一。
34.在一个实施例中，密码服务器包括服务器密码机、密码管理系统、签名验证服务器和数字证书认证系统；其中：服务器密码机，用于进行视频加密密码的产生、导入、导出、存储、备份、恢复以及销毁中的至少一种操作；密码管理系统，用于周期性地更新视频加密密码；签名验证服务器，用于对信令服务器和媒体服务器的信令流和媒体流进行签名验证服务；数字证书认证系统，用以对第一前端设备、转码网关和用户终端提供证书签发服务，以验证身份真实性。
35.在一个实施例中，其特征在于，安全管理服务器还包括上联网关；上联网关用于将第一媒体流或者第二媒体流上传至云端服务器。
36.以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。