[发明专利]一种视频监控系统中的密钥分发装置

说明书

技术领域

本发明属于数据安全技术领域，尤其涉及一种视频监控系统中密钥分发装置。

背景技术

视频监控是安全防范系统的重要组成部分，视频监控以其直观、准确、及时和信息内容丰富而广泛应用于许多场合。近年来，随着计算机、网络以及图像处理、传输技术的飞速发展，视频监控的普及化趋势越来越明显。通常的视频监控系统如图1所示，包括媒体服务器、视频管理服务器、视频源设备和客户端。客户端通过媒体服务器接收并播放视频源设备拍摄的视频流，而视频流在视频监控系统网络中进行传输一般是通过互联网络。由于互联网络是开放的网络，容易被人窃听而造成视频流的泄密。

因此某些特殊位置或者保密机构的视频监控系统需要对视频流进行加密，现有技术的视频流一般经过对称加密后进行传输，对称加密采用了对称密码编码技术，加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥。对称加密使用起来简单快捷，密钥较短，且破译困难，由于对称加密的加密算法是公开的，其保密性取决于对密钥的保密，但是加解密双方采用的密钥是相同的，在网上传播加密密钥很容易被窃取，因此密钥的发布更换比较困难。

如何即能对视频流进行对称加密，又能保证加密密钥的发布，是视频监控系统中急需解决的一个技术问题。

发明内容

本发明的目的是提供一种视频监控系统中的密钥分发装置，在视频源设备和客户端间分发视频流密钥，由于对视频流密钥采用非对称加解密算法进行加密分发，保证了视频流密钥发布的安全。

为了实现上述目的，本发明技术方案如下：

一种视频监控系统中的密钥分发装置，所述视频监控系统包括视频源设备、视频管理服务器和客户端，所述密钥分发装置分别与所述视频管理服务器、视频源设备和客户端通过网络连接，所述密钥分发装置包括第一数字证书发放单元、第一公钥验证单元、服务端密钥解密单元、第二数字证书请求单元、第二公钥验证请求单元和服务端密钥发送单元，其中：

第一数字证书发放单元用于接收视频源设备发送的数字证书请求，向该视频源设备返回第一数字证书；

第一公钥验证单元用于接收视频源设备用第一数字证书中包含的第一公钥加密的验证请求报文，用第一私钥进行解密后向该视频源设备发送用第一私钥加密的验证报文；

服务端密钥解密单元用于接收视频源设备发送的用第一公钥加密的视频流密钥报文，用第一私钥进行解密，得到视频流密钥并记录，为每一个视频流密钥生成一个对应的密钥ID，并将该密钥ID发送给该视频源设备；

第二数字证书请求单元用于接收客户端发送的携带密钥ID的解密请求，向该客户端发送第二数字证书请求；

第二公钥验证请求单元用于接收客户端返回的第二数字证书，向该客户端发送用第二数字证书中包含的第二公钥加密的验证请求；

服务端密钥发送单元用于接收客户端发送的用第二私钥加密的验证报文，用第二公钥进行解密验证后，找到解密请求中携带的密钥ID对应的视频流密钥，用第二公钥加密视频流密钥发送给该客户端。

进一步地，所述密钥分发装置还存储有授权策略及其对应的授权码。优选地，所述密钥分发装置还设置有用户授权单元，用于为视频监控系统的用户设置授权策略及其对应的授权码。在本地生成授权策略及其对应的授权码更加方便调用。

进一步地，所述解密请求还携带有用户输入的所述授权码，所述第二数字证书请求单元在接收客户端发送的解密请求后，还会根据解密请求中携带的授权码查找到对应的授权策略，根据所述授权策略决定是否向所述客户端提供视频流密钥。其中根据解密请求中携带的授权码查找到对应的授权策略，是从所述授权单元中进行查找；或由授权单元在得到授权策略和授权码后形成列表存储在数据库中，第二数字证书请求单元直接从数据库中进行查找。

本发明还提出了一种视频监控系统中的密钥分发装置，所述视频监控系统包括视频源设备、视频管理服务器和客户端，所述视频监控系统还包括许可证服务器，所述许可证服务器分别与所述视频管理服务器、视频源设备和客户端通过网络连接，所述密钥分发装置应用于视频源设备，包括第一数字证书请求单元、前端密钥发送单元和视频流加密单元，其中：

第一数字证书请求单元用于在本地没有第一数字证书时向许可证服务器发送数字证书请求，并接收许可证服务器返回的第一数字证书，向许可证服务器发送用第一数字证书中包含的第一公钥加密的验证请求报文；

前端密钥发送单元用于接收许可证服务器用第一私钥加密的验证报文，用第一公钥解密验证后，向许可证服务器发送用第一公钥加密的视频流密钥；