一種sip安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)�,包括SIP終端、SIP服務(wù)器和認(rèn)證服務(wù)器;所述SIP終端、SIP服務(wù)器及認(rèn)證服務(wù)器配合完成設(shè)備入網(wǎng)注冊����,SIP終端����、SIP服務(wù)器配合完成單播秘鑰及安全會話協(xié)商�,各通信的SIP終端間進(jìn)行雙向身份認(rèn)證�����,認(rèn)證通過交互數(shù)據(jù)��;本發(fā)明采用在線可信第三方的實(shí)體鑒別機(jī)制��,實(shí)現(xiàn)網(wǎng)絡(luò)接入過程中實(shí)體之間的雙向身份鑒別操作���,且需要通信的兩個SIP終端間需進(jìn)行點(diǎn)對點(diǎn)令牌交換實(shí)現(xiàn)雙向身份認(rèn)證�,建立安全的通信通道后��,才能進(jìn)行數(shù)據(jù)交互�����,這為數(shù)據(jù)的安全傳輸提供一個可靠的環(huán)境�����。
【專利說明】-種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及視頻監(jiān)控聯(lián)網(wǎng)領(lǐng)域���,尤其涉及一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系 統(tǒng)��。
【背景技術(shù)】
[0002] SIP安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)是基于IP網(wǎng)絡(luò)和SIP協(xié)議(用于創(chuàng)建�、修改和釋 放一個或多個參與者會話的應(yīng)用層信令控制協(xié)議)的視頻遠(yuǎn)程監(jiān)控、傳輸��、存儲���、管理的系 統(tǒng)����。該系統(tǒng)將分散獨(dú)立的視頻圖像采集點(diǎn)進(jìn)行聯(lián)網(wǎng)��,實(shí)現(xiàn)了跨區(qū)域的統(tǒng)一監(jiān)控�、存儲��、管理 和資源共享�����。系統(tǒng)一般情況下包括以下組成部分:SIP終端(支持SIP協(xié)議通信的攝像機(jī)���、 網(wǎng)絡(luò)硬盤錄像機(jī)���、用戶客戶端)���、SIP服務(wù)器、信令安全路由網(wǎng)關(guān)����。
[0003] 作為一種重要的安全防范系統(tǒng),近年來�,SIP安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)不僅在城 市治安視頻監(jiān)控系統(tǒng)乃至平安城市的建設(shè)中獲得了應(yīng)用,而且也逐漸在一些民用的設(shè)施���、 居住和工作場所(如酒店�����、個人住所�、辦公室)中獲得了大規(guī)模的推廣��。
[0004] 但是�����,由于IP網(wǎng)絡(luò)固有的開放式特點(diǎn),IP網(wǎng)絡(luò)和SIP協(xié)議本身存在的安全缺陷以 及應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全隱患�,設(shè)備、系統(tǒng)及其監(jiān)控?cái)?shù)據(jù)也就不可避免地面臨著一系列的信 息安全問題����。
[0005] 系統(tǒng)的信息安全,總的來說分為以下3個方面:網(wǎng)絡(luò)接入安全���、傳輸安全和數(shù)據(jù)存 儲���、訪問安全。其中�����,網(wǎng)絡(luò)接入安全是指接入網(wǎng)絡(luò)過程的安全���,包括設(shè)備接入網(wǎng)絡(luò)和用戶接 入網(wǎng)絡(luò)兩種,設(shè)備接入網(wǎng)絡(luò)的安全是指在監(jiān)控設(shè)備接入網(wǎng)絡(luò)的過程中��,實(shí)現(xiàn)設(shè)備與網(wǎng)絡(luò)之 間的雙向身份鑒別�,有效阻止不符合安全要求的視頻監(jiān)控設(shè)備訪問網(wǎng)絡(luò),并且避免設(shè)備接 入不符合安全要求的網(wǎng)絡(luò)����。用戶接入網(wǎng)絡(luò)的安全則是指在監(jiān)控用戶(客戶端)在訪問查 看視頻數(shù)據(jù)之前的接入網(wǎng)絡(luò)過程中��,網(wǎng)絡(luò)通過對用戶的身份認(rèn)證實(shí)現(xiàn)對用戶權(quán)限的有效管 控��。
[0006] 目前���,現(xiàn)有系統(tǒng)或標(biāo)準(zhǔn)中建議使用終端安全接入管理機(jī)制提供多種安全接入認(rèn) 證,例如使用IEEE802. lx端口訪問機(jī)制��、IEEE802. lli協(xié)議等來保障網(wǎng)絡(luò)接入安全��。但是 以上現(xiàn)有的安全技術(shù)���,都存在著單向認(rèn)證的安全漏洞����,未考慮中間人攻擊���,密鑰管理復(fù)雜��, 系統(tǒng)可擴(kuò)展性和靈活性差等缺陷��。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明所要解決的技術(shù)問題是針對現(xiàn)有技術(shù)的不足���,提供一種SIP安全防范視頻 監(jiān)控入網(wǎng)控制系統(tǒng)�����。
[0008] 本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下:一種SIP安全防范視頻監(jiān)控入網(wǎng)控制 系統(tǒng)�����,包括SIP終端����、SIP服務(wù)器和認(rèn)證服務(wù)器�����;
[0009] 所述SIP終端����,其用于在進(jìn)行信息交互前在SIP服務(wù)器處經(jīng)過三元對等身份認(rèn)證 完成注冊,并與SIP服務(wù)器進(jìn)行單播密鑰及安全會話協(xié)商�,獲取所需密鑰;各SIP終端間還 進(jìn)行點(diǎn)對點(diǎn)令牌交換�����,實(shí)現(xiàn)雙向身份認(rèn)證�����,認(rèn)證通過的SIP終端間進(jìn)行數(shù)據(jù)交互�;
[0010] 所述SIP服務(wù)器,其用于與認(rèn)證服務(wù)器配合為各SIP終端提供注冊服務(wù)���;與SIP終 端進(jìn)行單播密鑰及安全會話協(xié)商����;作為密鑰分發(fā)中心����,向各SIP終端分發(fā)數(shù)據(jù)交互過程所 需的密鑰;還用于管理網(wǎng)絡(luò)中不同SIP終端間的SIP會話���;
[0011] 所述認(rèn)證服務(wù)器�,其用于為SIP終端和SIP服務(wù)器簽發(fā)數(shù)字證書�����,并且作為在線可 信第一方認(rèn)證服務(wù)器�����,提供SIP終端與SIP服務(wù)器間的身份鑒別服務(wù)。
[0012] 本發(fā)明的有益效果是:本發(fā)明采用在線可信第三方的實(shí)體鑒別機(jī)制��,實(shí)現(xiàn)網(wǎng)絡(luò)接 入過程中實(shí)體之間的雙向身份鑒別操作����,首先各SIP終端在接入其他SIP終端前在SIP服 務(wù)器處進(jìn)行注冊,并與SIP服務(wù)器完成單播密鑰及安全會話協(xié)商����,SIP服務(wù)器為需要通信的 兩個SIP終端下發(fā)通信鏈路及所需的秘鑰,兩個SIP終端進(jìn)行點(diǎn)對點(diǎn)令牌交換實(shí)現(xiàn)雙向身 份認(rèn)證����,建立了安全的通信通道,為數(shù)據(jù)的安全傳輸提供一個可靠的環(huán)境�。
[0013] 在上述技術(shù)方案的基礎(chǔ)上,本發(fā)明還可以做如下改進(jìn)��。
[0014] 進(jìn)一步���,所述SIP終端包括第一注冊模塊�、第一單播密鑰及安全會話協(xié)商模塊����、終 端身份雙向認(rèn)證模塊、終端會話模塊和第一注銷模塊���;所述SIP服務(wù)器包括第二注冊模塊�����、 第二單播密鑰及安全會話協(xié)商模塊和第二注銷模塊����;所述認(rèn)證服務(wù)器包括第三注冊模塊�;
[0015] 所述第一注冊模塊、第二注冊模塊及第三注冊模塊之間相互配合完成SIP終端的 注冊過程���;
[0016] 所述第一單播密鑰及安全會話協(xié)商模塊和第二單播密鑰及安全會話協(xié)商模塊進(jìn) 行SIP終端與SIP服務(wù)器的單播密鑰及安全會話協(xié)商��;
[0017] 所述各SIP終端的終端身份雙向認(rèn)證模塊之間交換點(diǎn)對點(diǎn)令牌��,實(shí)現(xiàn)雙向身份認(rèn) 證����;
[0018] 所述各SIP終端的終端會話模塊之間傳遞數(shù)據(jù)���;
[0019] 所述第一注銷模塊和第二注銷模塊配合實(shí)現(xiàn)SIP終端的注銷操作�,注銷認(rèn)證通 過,則SIP終端允許離網(wǎng)�。
[0020] 進(jìn)一步,所述第一注冊模塊���、第二注冊模塊及第三注冊模塊之間相互配合完成SIP 終端的注冊過程如下:
[0021] 步驟1. 1 :第一注冊模塊向第二注冊模塊發(fā)送觸發(fā)注冊請求消息Ml ;
[0022] 步驟1. 2 :第二注冊模塊在收到第一注冊模塊發(fā)送的觸發(fā)注冊請求Ml后�,向所述 第一注冊模塊發(fā)送觸發(fā)注冊響應(yīng)消息M2 ;
[0023] 步驟1. 3 :所述第一注冊模塊驗(yàn)證觸發(fā)響應(yīng)消息M2的合法性�����,若合法��,向第二注冊 模塊發(fā)送接入認(rèn)證請求M3 ;否則返回步驟1. 1 ;
[0024] 步驟1. 4 :第二注冊模塊驗(yàn)證所述第一注冊模塊發(fā)送的接入認(rèn)證請求M3的合法 性�,若合法,第二注冊模塊向第三注冊模塊發(fā)送證書認(rèn)證請求M4,執(zhí)行步驟1. 5 ;否則向第 一注冊模塊發(fā)送注冊失敗的信息���,返回步驟1. 1 ;
[0025] 步驟1. 5 :第三注冊模塊驗(yàn)證所述第二注冊模塊發(fā)送的證書認(rèn)證請求M4的合法 性�����,若合法��,則生成驗(yàn)證結(jié)果并對驗(yàn)證結(jié)果簽名�,將攜帶已簽名的驗(yàn)證結(jié)果的證書認(rèn)證響應(yīng) 消息M5發(fā)送給第二注冊模塊,執(zhí)行步驟1. 6 ;否則向第二注冊模塊發(fā)送證書認(rèn)證失敗的信 息����,返回步驟1. 1 ;
[0026] 步驟1. 6 :第二注冊模塊驗(yàn)證證書認(rèn)證響應(yīng)消息M5的合法性,若合法��,則驗(yàn)證第三 注冊模塊對證書驗(yàn)證結(jié)果的簽名字段的合法性�����,若合法���,則查看證書驗(yàn)證結(jié)果字段中第一 注冊模塊的證書驗(yàn)證結(jié)果,根據(jù)此字段來決定是否允許第一注冊模塊接入����,進(jìn)而封裝得到 接入認(rèn)證響應(yīng)消息M6并發(fā)送給第一注冊模塊,執(zhí)行步驟1. 7 ;否則向第三注冊模塊發(fā)送認(rèn) 證失敗的信息���,返回步驟1.1;
[0027] 步驟1. 7 :第一注冊模塊驗(yàn)證接入認(rèn)證響應(yīng)消息M6的合法性����,若合法�����,則驗(yàn)證第 三注冊模塊對則證書驗(yàn)證結(jié)果的簽名字段的合法性,若合法���,則查看證書驗(yàn)證結(jié)果字段中 第二注冊模塊的證書驗(yàn)證結(jié)果�����,根據(jù)此字段決定是否接入該第二注冊模塊���,如決定接入該 第二注冊模塊,則進(jìn)入待會話狀態(tài)�;否則向第二注冊模塊發(fā)送認(rèn)證失敗的信息,返回步驟 1. 1���。
[0028] 進(jìn)一步���,所述第一單播密鑰及安全會話協(xié)商模塊和第二單播密鑰及安全會話協(xié)商 模塊進(jìn)行SIP終端與SIP服務(wù)器的單播密鑰及安全會話協(xié)商的過程如下:
[0029] 步驟2. 1 :第二單播密鑰及安全會話協(xié)商模塊向第一單播密鑰及安全會話協(xié)商模 塊發(fā)送單播密鑰和安全會話協(xié)商請求M7 ;
[0030] 步驟2. 2 :第一單播密鑰及安全會話協(xié)商模塊對接收到的單播密鑰和安全會話協(xié) 商請求M7進(jìn)行驗(yàn)證,驗(yàn)證通過���,則生成單播密鑰和安全會話協(xié)商響應(yīng)消息M8,并發(fā)送給第 二單播密鑰及安全會話協(xié)商模塊���;
[0031] 步驟2. 3 :第二單播密鑰及安全會話協(xié)商模塊對接收的單播密鑰和安全會話協(xié)商 響應(yīng)消息M8進(jìn)行驗(yàn)證����,驗(yàn)證通過�����,則生成單播密鑰與安全會話協(xié)商確認(rèn)消息M9,并發(fā)送給 第一單播密鑰及安全會話協(xié)商模塊��;
[0032] 步驟2. 4 :第一單播密鑰及安全會話協(xié)商模塊對接收到單播密鑰與安全會話協(xié)商 確認(rèn)��。
[0033] 進(jìn)一步�,所述各SIP終端的終端身份雙向認(rèn)證模塊之間交換點(diǎn)對點(diǎn)令牌���,實(shí)現(xiàn)雙 向身份認(rèn)證的具體實(shí)現(xiàn)為:
[0034] 步驟3. 1 :兩個SIP終端的終端身份雙向認(rèn)證模塊交換點(diǎn)對點(diǎn)認(rèn)證令牌�����;
[0035] 步驟3. 2 :兩個SIP終端分別利用單播數(shù)據(jù)完整性密鑰驗(yàn)證對方的點(diǎn)對點(diǎn)認(rèn)證令 牌中的單播數(shù)據(jù)消息認(rèn)證碼����,驗(yàn)證通過�����,則執(zhí)行步驟3. 3 ;否則返回步驟3. 1,并當(dāng)執(zhí)行預(yù)定 次數(shù)后仍驗(yàn)證不通過的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程�����;
[0036] 步驟3. 3 :檢查兩SIP終端之間單播數(shù)據(jù)完整性密鑰索引字段是否與自己當(dāng)前所 認(rèn)同的一致����,如果一致,則執(zhí)行步驟3. 4 ;否則返回步驟3. 1�����,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不 通過的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程����;
[0037] 步驟3.4 :檢查對方的當(dāng)前系統(tǒng)時間與自己的系統(tǒng)時間之差,如果在預(yù)定接受的 范圍內(nèi)��,則完成點(diǎn)對點(diǎn)認(rèn)證令牌驗(yàn)證工作�,實(shí)現(xiàn)點(diǎn)對點(diǎn)認(rèn)證;否則返回步驟3. 1��,并當(dāng)執(zhí)行 預(yù)定次數(shù)后仍驗(yàn)證不通過的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程�。
[0038] 進(jìn)一步��,所述第一注銷模塊和第二注銷模塊配合實(shí)現(xiàn)SIP終端的注銷操作���,注銷 認(rèn)證通過,則SIP終端允許離網(wǎng)的實(shí)現(xiàn)過程為:
[0039] 步驟4. 1 :SIP終端向SIP服務(wù)器發(fā)送注銷請求消息Mil ;
[0040] 步驟4. 2 :SIP服務(wù)器收到注銷請求消息Mil后生成一個挑戰(zhàn)隨機(jī)數(shù)nonce�����,并生 成注銷響應(yīng)消息M12發(fā)給SIP終端�����;
[0041] 步驟4. 3 :SIP終端按照以下方式計(jì)算并重新封裝注銷請求消息M13發(fā)送給SIP服 務(wù)器�;
[0042] HA1 = SHA256[username I |realm] (password]
[0043] HA2 = SHA256[methodI | (to:field)]
[0044] Response = SHA256[HAl| |nonce] |HA2]
[0045] 其中,username為SIP終端的用戶名����,realm為SIP終端所屬的SIP監(jiān)控域�; password為SIP終端的秘密口令;method為消息類型��,to :field為接收者的賬戶信 息�,nonce為SIP服務(wù)器生成的隨機(jī)數(shù);
[0046] 步驟4. 4 :SIP服務(wù)器驗(yàn)證挑戰(zhàn)隨機(jī)數(shù)nonce,從數(shù)據(jù)庫中讀取username所對應(yīng)的 password, SIP服務(wù)器按照與SIP終端相同的方式來計(jì)算得到Response'�����,并對比Response 與Response'是否一致,若一致����,則注銷認(rèn)證成功。
[0047] 進(jìn)一步����,所述認(rèn)證服務(wù)器還包括證書生成及下發(fā)模塊,其用于生成自身數(shù)字證書��、 SIP終端的數(shù)字證書及SIP服務(wù)器的數(shù)字證書�����,并預(yù)先將SIP終端的數(shù)字證書和SIP服務(wù) 器的數(shù)字證書分別下發(fā)給SIP終端和SIP服務(wù)器�����,并將自身的數(shù)字證書發(fā)送給SIP終端和 SIP服務(wù)器��。
[0048] 進(jìn)一步���,所述SIP終端的終端身份雙向認(rèn)證模塊還用于設(shè)定認(rèn)證有效期�����,當(dāng)有效 期屆滿時����,兩個SIP終端需要進(jìn)行點(diǎn)對點(diǎn)重認(rèn)證操作,具體實(shí)現(xiàn)為兩個SIP終端之間交換點(diǎn) 對點(diǎn)重認(rèn)證令牌��,按照初次認(rèn)證的步驟進(jìn)行重認(rèn)證���;當(dāng)兩個SIP終端需暫時關(guān)閉會話時����,兩 個SIP終端需交換點(diǎn)對點(diǎn)會話關(guān)閉令牌��,認(rèn)證通過則關(guān)閉會話����;當(dāng)兩個SIP終端要徹底關(guān)閉 通信鏈路時����,兩個SIP終端除交換點(diǎn)對點(diǎn)會話關(guān)閉令牌之外,還需要交換點(diǎn)對點(diǎn)鏈路關(guān)閉 令牌�����,認(rèn)證通過時,徹底關(guān)閉鏈路��。
[0049] 進(jìn)一步�,所述SIP終端包括SIP視頻采集設(shè)備、SIP視頻存儲設(shè)備和SIP客戶端��;
[0050] 所述SIP視頻采集設(shè)備��,其用于采集視頻信息并進(jìn)行處理��,并將處理后的視頻信 息發(fā)送給SIP視頻存儲設(shè)備����;
[0051] 所述SIP視頻存儲設(shè)備,其用于存儲SIP視頻采集設(shè)備上傳的視頻信息���,供SIP客 戶端調(diào)閱實(shí)時或歷史視頻數(shù)據(jù)��;
[0052] 所述SIP客戶端����,其用于向SIP視頻存儲設(shè)備發(fā)送調(diào)閱實(shí)時或歷史視頻數(shù)據(jù)的請 求��,從SIP視頻存儲設(shè)備獲取視頻數(shù)據(jù)。
[0053] 進(jìn)一步��,所述SIP服務(wù)器其還用于實(shí)現(xiàn)安全信令路由功能���。
【專利附圖】
【附圖說明】
[0054] 圖1為本發(fā)明一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)示意圖��;
[0055] 圖2為本發(fā)明所述SIP終端���、SIP服務(wù)器和認(rèn)證服務(wù)器內(nèi)部結(jié)構(gòu)框圖;
[0056] 圖3為本發(fā)明所述兩設(shè)備間狀態(tài)轉(zhuǎn)換圖����;
[0057] 圖4為SIP終端注冊過程示意圖;
[0058] 附圖中�,各標(biāo)號所代表的部件列表如下:
[0059] 1、SIP終端���,2���、SIP服務(wù)器,3��、認(rèn)證服務(wù)器�。
【具體實(shí)施方式】
[0060] 以下結(jié)合附圖對本發(fā)明的原理和特征進(jìn)行描述,所舉實(shí)例只用于解釋本發(fā)明����,并 非用于限定本發(fā)明的范圍。
[0061] 如圖1所示����,設(shè)定網(wǎng)絡(luò)中三個網(wǎng)絡(luò)元素(A、B����、C元),每一個元對應(yīng)網(wǎng)絡(luò)中的一類 網(wǎng)絡(luò)實(shí)體���,解釋如下:
[0062] A元SIP終端(支持SIP協(xié)議的SIP攝像機(jī)IPC��、SIP網(wǎng)絡(luò)硬盤錄像機(jī)NVR��、SIP 用戶客戶端Client)��,即支持SIP信令協(xié)議的攝像機(jī)��、網(wǎng)絡(luò)硬盤錄像機(jī)和用戶客戶端���,由于 SIP終端中都運(yùn)行SIP會話所需的核心程序即SIP用戶代理(SIP User Agent����,SIP UA)程 序��,因此���,在本專利中�����,SIP終端等同于SIP UA��,SIP終端和SIP UA都是相對于SIP服務(wù)器 來說的���。其中,
[0063] SIP攝像機(jī)����,本專利中簡稱為IPC,一種包括視頻采集模塊�、視頻處理模塊及信息 安全處理模塊、視頻存儲模塊��、通信模塊的網(wǎng)絡(luò)攝像機(jī)。視頻采集模塊負(fù)責(zé)完成視頻采集相 關(guān)工作����。視頻處理模塊負(fù)責(zé)對攝像機(jī)采集的媒體流數(shù)據(jù)進(jìn)行預(yù)處理���、壓縮編碼等相關(guān)工作��。 信息安全處理模塊負(fù)責(zé)攝像機(jī)設(shè)備的身份鑒別��,以及對媒體流數(shù)據(jù)���、信令流數(shù)據(jù)進(jìn)行加解 密和數(shù)據(jù)完整性保護(hù)等安全操作。視頻存儲模塊負(fù)責(zé)將經(jīng)過處理后的媒體流數(shù)據(jù)進(jìn)行本地 存儲�����。通信模塊負(fù)責(zé)將經(jīng)過處理后的媒體流數(shù)據(jù)����、信令流數(shù)據(jù)等所有數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸。
[0064] SIP網(wǎng)絡(luò)硬盤錄像機(jī)����,本專利中簡稱NVR,提供實(shí)時媒體流(包括音/視頻流)的 轉(zhuǎn)發(fā)服務(wù),提供媒體流的存儲�����、歷史信息的檢索和點(diǎn)播服務(wù)��。媒體服務(wù)器接收來自SIP攝像 機(jī)或其他媒體服務(wù)器等設(shè)備的密文媒體數(shù)據(jù)���,并根據(jù)指令���,將這些數(shù)據(jù)轉(zhuǎn)發(fā)到其他單個或 多個SIP用戶客戶端和SIP網(wǎng)絡(luò)硬盤錄像機(jī)。
[0065] SIP用戶客戶端����,本專利中簡稱Client,具有接收�����、解密和播放碼流等功能的客 戶端設(shè)備���,主要包括用戶界面��、用戶代理(SIP邏輯終端實(shí)體)�����、信息安全處理模塊(如以 USBKey形式存在)����、媒體解碼模塊和媒體通信模塊。
[0066] B元一SIP服務(wù)器(集SIP代理服務(wù)器��、SIP重定向服務(wù)器���、SIP位置服務(wù)器、SIP 注冊服務(wù)器等邏輯功能和實(shí)體為一體的SIP服務(wù)器平臺)�����,本專利中簡稱SIP Server�����,主要 負(fù)責(zé)創(chuàng)建和維護(hù)SIP會話���,并控制SIP終端的網(wǎng)絡(luò)接入����。
[0067] C元 后臺網(wǎng)絡(luò)的認(rèn)證服務(wù)器Radius Server (也可為Diameter Server),本專 利中簡稱認(rèn)證服務(wù)器�����,負(fù)責(zé)為SIP終端和SIP服務(wù)器等網(wǎng)絡(luò)實(shí)體簽發(fā)公鑰證書�����,并且作為在 線可信第三方認(rèn)證服務(wù)器���,為其他網(wǎng)絡(luò)實(shí)體提供實(shí)體身份鑒別服務(wù)����。
[0068] 在SIP服務(wù)器中運(yùn)行有Radius client (或Diameter Client)�,負(fù)責(zé)與認(rèn)證服務(wù)器 Radius Server (或 Diameter Server)進(jìn)行通信。
[0069] 所述認(rèn)證服務(wù)器并不是一種SIP服務(wù)器���,而是通過引入一種通用的認(rèn)證服務(wù)器 (Radius服務(wù)器或者Diameter服務(wù)器�,Radius或者Diameter都是一種AAA協(xié)議��,AAA具體 指認(rèn)證(Authentication):驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)����;授權(quán)(Authorization): 依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶����;計(jì)帳(Accounting):記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用 量���,并提供給計(jì)費(fèi)系統(tǒng))來保證網(wǎng)絡(luò)中的SIP信令�����、會話以及相關(guān)通信的安全��。此外�,本申 請�,在網(wǎng)絡(luò)架構(gòu)方面也做了一些創(chuàng)新�����,比如原來的系統(tǒng)中信令安全路由器網(wǎng)關(guān)是在每一個 SIP監(jiān)控域中的����,而本申請則是把認(rèn)證服務(wù)器放在SIP監(jiān)控域之外,將安全信令路由的功能 轉(zhuǎn)移到SIP服務(wù)器處(因?yàn)镾IP的信令在后臺認(rèn)證服務(wù)器的幫助下已經(jīng)獲得了安全保護(hù)����, 所以可以將安全信令路由的功能轉(zhuǎn)移到SIP服務(wù)器處)���。
[0070] 如圖2所示,一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)����,包括SIP終端1、SIP服務(wù) 器2和認(rèn)證服務(wù)器3 ;
[0071 ] 所述SIP終端1����,其用于在進(jìn)行信息交互前在SIP服務(wù)器處經(jīng)過三元對等身份認(rèn)證 完成注冊,并與SIP服務(wù)器進(jìn)行單播密鑰及安全會話協(xié)商����,獲取所需密鑰;各SIP終端間還 進(jìn)行點(diǎn)對點(diǎn)令牌交換�,實(shí)現(xiàn)雙向身份認(rèn)證,認(rèn)證通過的SIP終端間進(jìn)行數(shù)據(jù)交互��;
[0072] 所述SIP服務(wù)器2,其用于與認(rèn)證服務(wù)器配合為各SIP終端提供注冊服務(wù)��;與SIP 終端進(jìn)行單播密鑰及安全會話協(xié)商����;作為密鑰分發(fā)中心,向各SIP終端分發(fā)數(shù)據(jù)交互過程 所需的密鑰�����;還用于管理網(wǎng)絡(luò)中不同SIP終端間的SIP會話;
[0073] 所述認(rèn)證服務(wù)器3,其用于為SIP終端和SIP服務(wù)器簽發(fā)數(shù)字證書��,并且作為在線 可信第三方認(rèn)證服務(wù)器�,提供SIP終端與SIP服務(wù)器間的身份鑒別服務(wù)。
[0074] 其中���,所述SIP終端1包括第一注冊模塊�����、第一單播密鑰及安全會話協(xié)商模塊�、終 端身份雙向認(rèn)證模塊�、終端會話模塊和第一注銷模塊;所述SIP服務(wù)器2包括第二注冊模 塊����、第二單播密鑰及安全會話協(xié)商模塊和第二注銷模塊���;所述認(rèn)證服務(wù)器3包括第三注冊 模塊����。
[0075] 所述第一注冊模塊、第二注冊模塊及第三注冊模塊之間相互配合完成SIP終端的 注冊過程�����,其具體實(shí)現(xiàn)為:
[0076] 步驟1. 1 :第一注冊模塊向第二注冊模塊發(fā)送觸發(fā)注冊請求消息Ml ;
[0077] 步驟1. 2 :第二注冊模塊在收到第一注冊模塊發(fā)送的觸發(fā)注冊請求Ml后��,向所述 第一注冊模塊發(fā)送觸發(fā)注冊響應(yīng)消息M2 ;
[0078] 步驟1. 3 :所述第一注冊模塊驗(yàn)證觸發(fā)響應(yīng)消息M2的合法性��,若合法��,向第二注冊 模塊發(fā)送接入認(rèn)證請求M3 ;否則返回步驟1. 1 ;
[0079] 步驟1. 4 :第二注冊模塊驗(yàn)證所述第一注冊模塊發(fā)送的接入認(rèn)證請求M3的合法 性���,若合法���,第二注冊模塊向第三注冊模塊發(fā)送證書認(rèn)證請求M4,執(zhí)行步驟1. 5 ;否則向第 一注冊模塊發(fā)送注冊失敗的信息,返回步驟1. 1 ;
[0080] 步驟1. 5 :第三注冊模塊驗(yàn)證所述第二注冊模塊發(fā)送的證書認(rèn)證請求M4的合法 性���,若合法����,則生成驗(yàn)證結(jié)果并對驗(yàn)證結(jié)果簽名��,將攜帶已簽名的驗(yàn)證結(jié)果的證書認(rèn)證響應(yīng) 消息M5發(fā)送給第二注冊模塊,執(zhí)行步驟1. 6 ;否則向第二注冊模塊發(fā)送證書認(rèn)證失敗的信 息����,返回步驟1. 1 ;
[0081] 步驟1. 6 :第二注冊模塊驗(yàn)證證書認(rèn)證響應(yīng)消息M5的合法性,若合法���,則驗(yàn)證第三 注冊模塊對證書驗(yàn)證結(jié)果的簽名字段的合法性����,若合法����,則查看證書驗(yàn)證結(jié)果字段中第一 注冊模塊的證書驗(yàn)證結(jié)果,根據(jù)此字段來決定是否允許第一注冊模塊接入����,進(jìn)而封裝得到 接入認(rèn)證響應(yīng)消息M6并發(fā)送給第一注冊模塊,執(zhí)行步驟1. 7 ;否則向第三注冊模塊發(fā)送認(rèn) 證失敗的信息��,返回步驟1.1;
[0082] 步驟1. 7 :第一注冊模塊驗(yàn)證接入認(rèn)證響應(yīng)消息M6的合法性��,若合法�����,則驗(yàn)證第 三注冊模塊對則證書驗(yàn)證結(jié)果的簽名字段的合法性�����,若合法����,則查看證書驗(yàn)證結(jié)果字段中 第二注冊模塊的證書驗(yàn)證結(jié)果,根據(jù)此字段決定是否接入該第二注冊模塊�,如決定接入該 第二注冊模塊,則進(jìn)入待會話狀態(tài)���;否則向第二注冊模塊發(fā)送認(rèn)證失敗的信息�����,返回步驟 1. 1����。
[0083] 所述第一單播密鑰及安全會話協(xié)商模塊和第二單播密鑰及安全會話協(xié)商模塊進(jìn) 行SIP終端與SIP服務(wù)器的單播密鑰及安全會話協(xié)商�,其具體實(shí)現(xiàn)為:
[0084] 步驟2. 1 :第二單播密鑰及安全會話協(xié)商模塊向第一單播密鑰及安全會話協(xié)商模 塊發(fā)送單播密鑰和安全會話協(xié)商請求M7 ;
[0085] 步驟2. 2 :第一單播密鑰及安全會話協(xié)商模塊對接收到的單播密鑰和安全會話協(xié) 商請求M7進(jìn)行驗(yàn)證,驗(yàn)證通過�����,則生成單播密鑰和安全會話協(xié)商響應(yīng)消息M8,并發(fā)送給第 二單播密鑰及安全會話協(xié)商模塊;
[0086] 步驟2. 3 :第二單播密鑰及安全會話協(xié)商模塊對接收的單播密鑰和安全會話協(xié)商 響應(yīng)消息M8進(jìn)行驗(yàn)證��,驗(yàn)證通過����,則生成單播密鑰與安全會話協(xié)商確認(rèn)消息M9,并發(fā)送給 第一單播密鑰及安全會話協(xié)商模塊;
[0087] 步驟2. 4 :第一單播密鑰及安全會話協(xié)商模塊對接收到單播密鑰與安全會話協(xié)商 確認(rèn)�����。
[0088] 所述各SIP終端的終端身份雙向認(rèn)證模塊之間交換點(diǎn)對點(diǎn)令牌��,實(shí)現(xiàn)雙向身份認(rèn) 證����,其具體實(shí)現(xiàn)為:
[0089] 步驟3. 1 :兩個SIP終端的終端身份雙向認(rèn)證模塊交換點(diǎn)對點(diǎn)認(rèn)證令牌;
[0090] 步驟3. 2 :兩個SIP終端分別利用單播數(shù)據(jù)完整性密鑰驗(yàn)證對方的點(diǎn)對點(diǎn)認(rèn)證令 牌中的單播數(shù)據(jù)消息認(rèn)證碼��,驗(yàn)證通過��,則執(zhí)行步驟3. 3 ;否則返回步驟3. 1�����,并當(dāng)執(zhí)行預(yù)定 次數(shù)后仍驗(yàn)證不通過的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程����;
[0091] 步驟3. 3 :檢查兩SIP終端之間單播數(shù)據(jù)完整性密鑰索引字段是否與自己當(dāng)前所 認(rèn)同的一致,如果一致��,則執(zhí)行步驟3. 4 ;否則返回步驟3. 1���,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不 通過的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程���;
[0092] 步驟3. 4 :檢查對方的當(dāng)前系統(tǒng)時間與自己的系統(tǒng)時間之差,如果在預(yù)定接受的 范圍內(nèi)����,則完成點(diǎn)對點(diǎn)認(rèn)證令牌驗(yàn)證工作,實(shí)現(xiàn)點(diǎn)對點(diǎn)認(rèn)證����;否則返回步驟3. 1,并當(dāng)執(zhí)行 預(yù)定次數(shù)后仍驗(yàn)證不通過的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程���。
[0093] 所述各SIP終端的終端會話模塊之間傳遞數(shù)據(jù)����;當(dāng)SIP終端想要離網(wǎng)時��,所述第一 注銷模塊和第二注銷模塊配合實(shí)現(xiàn)SIP終端的注銷操作,注銷認(rèn)證通過�����,則SIP終端允許離 網(wǎng)���,具體實(shí)現(xiàn)為:
[0094] 步驟4. 1 :SIP終端向SIP服務(wù)器發(fā)送注銷請求消息Mil ;
[0095] 步驟4. 2 :SIP服務(wù)器收到注銷請求消息Mil后生成一個挑戰(zhàn)隨機(jī)數(shù)nonce��,并生 成注銷響應(yīng)消息M12發(fā)給SIP終端��;
[0096] 步驟4. 3 :SIP終端按照以下方式計(jì)算并重新封裝注銷請求消息M13發(fā)送給SIP服 務(wù)器�;
[0097] HA1 = SHA256[username||realm](password]
[0098] HA2 = SHA256[methodI | (to:field)]
[0099] Response = SHA256[HAl| |nonce] |HA2]
[0100] 其中��,username為SIP終端的用戶名��,realm為SIP終端所屬的SIP監(jiān)控域�; password為SIP終端的秘密口令;method為消息類型�����,to :field為接收者的賬戶信 息�,nonce為SIP服務(wù)器生成的隨機(jī)數(shù);
[0101] 步驟4. 4 :SIP服務(wù)器驗(yàn)證挑戰(zhàn)隨機(jī)數(shù)nonce,從數(shù)據(jù)庫中讀取username所對應(yīng)的 password, SIP服務(wù)器按照與SIP終端相同的方式來計(jì)算得到Response'����,并對比Response 與Response'是否一致���,若一致,則注銷認(rèn)證成功�。
[0102] 所述認(rèn)證服務(wù)器還包括證書生成及下發(fā)模塊����,其用于生成自身數(shù)字證書、SIP終端 的數(shù)字證書及SIP服務(wù)器的數(shù)字證書�����,并預(yù)先將SIP終端的數(shù)字證書和SIP服務(wù)器的數(shù)字 證書分別下發(fā)給SIP終端和SIP服務(wù)器���,并將自身的數(shù)字證書發(fā)送給SIP終端和SIP服務(wù) 器���。
[0103] 所述SIP終端的終端身份雙向認(rèn)證模塊還用于設(shè)定認(rèn)證有效期,當(dāng)有效期屆滿 時���,兩個SIP終端需要進(jìn)行點(diǎn)對點(diǎn)重認(rèn)證操作�����,具體實(shí)現(xiàn)為兩個SIP終端之間交換點(diǎn)對點(diǎn)重 認(rèn)證令牌�,按照初次認(rèn)證的步驟進(jìn)行重認(rèn)證;當(dāng)兩個SIP終端需暫時關(guān)閉會話時�,兩個SIP 終端需交換點(diǎn)對點(diǎn)會話關(guān)閉令牌,認(rèn)證通過則關(guān)閉會話����;當(dāng)兩個SIP終端要徹底關(guān)閉通信 鏈路時,兩個SIP終端除交換點(diǎn)對點(diǎn)會話關(guān)閉令牌之外���,還需要交換點(diǎn)對點(diǎn)鏈路關(guān)閉令牌���, 認(rèn)證通過時,徹底關(guān)閉鏈路�����。
[0104] 所述SIP終端包括SIP視頻采集設(shè)備�����、SIP視頻存儲設(shè)備和SIP客戶端�����;
[0105] 所述SIP視頻采集設(shè)備,其用于采集視頻信息并進(jìn)行處理����,并將處理后的視頻信 息發(fā)送給SIP視頻存儲設(shè)備;
[0106] 所述SIP視頻存儲設(shè)備��,其用于存儲SIP視頻采集設(shè)備上傳的視頻信息���,供SIP客 戶端調(diào)閱實(shí)時或歷史視頻數(shù)據(jù);
[0107] 所述SIP客戶端�,其用于向SIP視頻存儲設(shè)備發(fā)送調(diào)閱實(shí)時或歷史視頻數(shù)據(jù)的請 求,從SIP視頻存儲設(shè)備獲取視頻數(shù)據(jù)�。
[0108] 如圖3所示,網(wǎng)絡(luò)中的每一個設(shè)備為與自己直接通信的設(shè)備之間的通信維護(hù)兩個 狀態(tài)變量:鏈路認(rèn)證狀態(tài)和會話關(guān)聯(lián)狀態(tài)�����。這兩個變量為每個設(shè)備建立了三種狀態(tài):未鏈 路認(rèn)證未會話關(guān)聯(lián)(初始狀態(tài))�����、已鏈路認(rèn)證未會話關(guān)聯(lián)����、已鏈路認(rèn)證已會話關(guān)聯(lián)��。
[0109] 利用本發(fā)明所述SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)�����,可實(shí)現(xiàn)設(shè)備和用戶網(wǎng)絡(luò)接 入安全��。根據(jù)設(shè)備接入中安全連接的建立過程���,將所有的接入過程總體上分為三個場景 :
[0110] 即場景1(IPC安全接入NVR,IPC將采集的視頻數(shù)據(jù)加密后上傳至NVR處進(jìn)行密文 存儲)�;
[0111] 場景2 (Client安全接入NVR,Client向NVR發(fā)出視頻訪問請求���,NVR將相應(yīng)的密 文視頻轉(zhuǎn)發(fā)給Client);
[0112] 場景3 (IPC�����、NVR��、Client在SIP Server完成注銷操作���,離開該網(wǎng)絡(luò))。
[0113] 上述3種場景的共同點(diǎn),場景1和場景2是非常類似的����,分別是IPC或Client安 全接入NVR處,目的是分別與NVR進(jìn)行安全通信而創(chuàng)建一個安全鏈接和會話���,IPC為的是將 采集的視頻數(shù)據(jù)安全的傳輸至NVR處進(jìn)行密文存儲����,而Client為的是訪問NVR中存儲的密 文視頻數(shù)據(jù)(實(shí)時的或歷史的視頻數(shù)據(jù))�。
[0114] 場景3與場景1和場景2對比起來,顯得不太一樣����,場景1和2描述的是三種SIP 終端(IPC���、NVR���、Client)安全接入網(wǎng)絡(luò),并且相互之間(IPC與NVR之間���、Client與NVR之 間)創(chuàng)建安全鏈接和會話的過程�,而場景3描述的則是三種SIP終端(IPC、NVR����、Client)離 開網(wǎng)絡(luò)的過程。
[0115] 在注冊時�����,設(shè)備間的身份認(rèn)證過程中���,包括三種網(wǎng)絡(luò)實(shí)體A�、B�、C。第三個實(shí)體C是 完全被A和B信任的第三方�,A和B都有由C頒發(fā)的一個公鑰證書,并且C也保存有A和B 的公鑰證書�����。身份認(rèn)證過程步驟如下:
[0116] - 向A發(fā)送自己的身份信息(如公鑰證書)和相關(guān)的可選信息(如對整 個數(shù)據(jù)包的數(shù)字簽名)�����;
[0117] 2)A -B:A向B發(fā)送自己的身份信息(如公鑰證書)和相關(guān)的可選信息(如對整 個數(shù)據(jù)包的數(shù)字簽名)����;
[0118] 3)B - C:B將A和B的身份信息及其他相關(guān)信息發(fā)送給在線可信第三方C來進(jìn)行 驗(yàn)證�;
[0119] 4)C -B:C將驗(yàn)證結(jié)果返回給B ;
[0120] 5)B - A:B依據(jù)C的驗(yàn)證結(jié)果來決定是否允許A接入自己�,此外,B還將C的驗(yàn)證 結(jié)果發(fā)送給A�����,A依據(jù)該結(jié)果來決定是否接入B���。
[0121] 場景1���,IPC安全接入NVR,具體步驟如下:
[0122] 1)NVR首先在SIP服務(wù)器處經(jīng)過如圖4所示的身份認(rèn)證(圖4中的A為NVR�,B為 SIP服務(wù)器、C為認(rèn)證服務(wù)器)之后完成注冊【(NVR VS SIP服務(wù)器)狀態(tài)1 -狀態(tài)2,已鏈 路認(rèn)證���、未會話關(guān)聯(lián)】;
[0123] 2)NVR與SIP服務(wù)器完成單播密鑰協(xié)商過程【(NVR VS SIP服務(wù)器)狀態(tài)2 -狀態(tài) 3,已鏈路認(rèn)證�、已會話關(guān)聯(lián)】,NVR等待IPC的接入(等待接收IPC的視頻數(shù)據(jù))��;
[0124] 3) IPC在SIP服務(wù)器處經(jīng)過三元對等身份認(rèn)證(圖4中的A為IPC����,B為SIP服務(wù) 器�����、C為認(rèn)證服務(wù)器)之后完成注冊【(IPC VS SIP服務(wù)器)狀態(tài)1 -狀態(tài)2,已鏈路認(rèn)證����、 未會話關(guān)聯(lián)】�����;
[0125] 4) IPC與SIP服務(wù)器完成單播密鑰協(xié)商過程【(IPC VS SIP服務(wù)器)狀態(tài)2 -狀態(tài) 3,已鏈路認(rèn)證�����、已會話關(guān)聯(lián)】�;
[0126] 5)基于IPC、NVR與SIP服務(wù)器各自的單播密鑰�����,SIP服務(wù)器扮演一個密鑰分發(fā)中 心的角色����,生成并分發(fā)IPC與NVR peer-to-peer通信的認(rèn)證密鑰�����;
[0127] 6)基于步驟5中的認(rèn)證密鑰����,IPC與NVR完成peer-to-peer雙向身份認(rèn)證【(IPC VS NVR)狀態(tài)1 -狀態(tài)2,已鏈路認(rèn)證���、未會話關(guān)聯(lián)】�;
[0128] 7) IPC將密文視頻數(shù)據(jù)上傳到NVR處進(jìn)行密文存儲【(IPC VS NVR)狀態(tài)2 -狀態(tài) 3,已鏈路認(rèn)證�、已會話關(guān)聯(lián)】;
[0129] 8)在步驟6中�����,IPC與NVR已經(jīng)建立了 peer-to-peer通信鏈路��,并且通信雙方處 于已鏈路認(rèn)證�、已會話關(guān)聯(lián)狀態(tài)。當(dāng)會話的認(rèn)證期滿時【(IPC VS NVR)狀態(tài)3 -狀態(tài)2,已 鏈路認(rèn)證���、未會話關(guān)聯(lián)】,IPC與NVR之間需要基于上次認(rèn)證的共享密鑰來進(jìn)行重認(rèn)證操作�, 并生成下一次重認(rèn)證的密鑰材料����。重認(rèn)證完成后【(IPC VS NVR)狀態(tài)2-狀態(tài)3,已鏈路認(rèn) 證���、已會話關(guān)聯(lián)】��;
[0130] 9)當(dāng)IPC由于某些原因(如IPC檢測到網(wǎng)絡(luò)擁塞了)要暫時停止向NVR傳輸密文 視頻數(shù)據(jù)或者NVR由于存儲空間不足時無法繼續(xù)接收IPC的視頻數(shù)據(jù)時����,IPC����、NVR在經(jīng)過 認(rèn)證操作后,任何一方都可以主動地暫時關(guān)閉當(dāng)前的視頻傳輸會話�����?���!荆↖PC VS NVR)狀態(tài) 3 -狀態(tài)2,已鏈路認(rèn)證、未會話關(guān)聯(lián)】���;
[0131] 當(dāng)IPC要徹底斷開與當(dāng)前NVR的鏈路時(不需再創(chuàng)建會話���,IPC將轉(zhuǎn)接入其他的 NVR)�����,在經(jīng)過認(rèn)證操作之后����,IPC��、NVR中的一方都可以主動地徹底解除當(dāng)前的認(rèn)證鏈路�。 【(IPC VS NVR)狀態(tài)2 -狀態(tài)1,未鏈路認(rèn)證��、未會話關(guān)聯(lián)】��。
[0132] 場景2, Client安全接入NVR��,具體步驟如下:
[0133] 1) Client首先在SIP Server處經(jīng)過三元對等身份認(rèn)證(圖4中的A為Client, B為SIP服務(wù)器��、C為認(rèn)證服務(wù)器)之后完成注冊【(Client VS SIP服務(wù)器)狀態(tài)1 -狀態(tài) 2,已鏈路認(rèn)證����、未會話關(guān)聯(lián)】;
[0134] 2) Client與SIP服務(wù)器完成單播密鑰協(xié)商過程【(Client VS SIP服務(wù)器)狀態(tài) 2 -狀態(tài)3,已鏈路認(rèn)證���、已會話關(guān)聯(lián)】��;
[0135] 3)Client向SIP Server發(fā)送要訪問的IPC信息和監(jiān)控視頻資源信息���,SIP Server 向Client以安全的方式下發(fā)相應(yīng)的視頻加密密鑰,其中����,IPC、視頻信息與視頻加密密鑰的 對應(yīng)關(guān)系及相關(guān)的策略問題不在本專利規(guī)定范圍內(nèi)���;
[0136] 4) Client以安全的方式得到視頻加密密鑰�����,并與NVR完成雙向身份認(rèn)證的操作��, 接入之后【(Client VS NVR)狀態(tài)1 -狀態(tài)2,已鏈路認(rèn)證�����、未會話關(guān)聯(lián)】��;
[0137] 5)Client向NVR發(fā)起調(diào)閱實(shí)時或歷史視頻數(shù)據(jù)的請求【(Client VS NVR)狀態(tài)2 - 狀態(tài)3,已鏈路認(rèn)證�、已會話關(guān)聯(lián)】;
[0138] 6)NVR響應(yīng)步驟5中Client的請求���,將密文視頻發(fā)送給Client,Client接收到密 文視頻后�����,使用CK_Video來解密密文視頻并播放��;
[0139] 7)在步驟5和6中����,Client與NVR已經(jīng)建立了 peer-to-peer通信鏈路�����,并且通信 雙方處于已鏈路認(rèn)證���、已會話關(guān)聯(lián)狀態(tài)�。當(dāng)會話的認(rèn)證期滿時【(Client VS NVR)狀態(tài)3 - 狀態(tài)2,已鏈路認(rèn)證�����、未會話關(guān)聯(lián)】,Client與NVR之間需要基于上次認(rèn)證的共享密鑰來進(jìn) 行重認(rèn)證操作����,并生成下一次重認(rèn)證的密鑰材料。重認(rèn)證通過之后【(Client VS NVR)狀態(tài) 2 -狀態(tài)3,已鏈路認(rèn)證���、已會話關(guān)聯(lián)】;
[0140] 8)當(dāng)Client要暫時停止從NVR接收密文視頻數(shù)據(jù)時��,經(jīng)過認(rèn)證操作后�����,Client關(guān) 閉與NVR的視頻傳輸會話連接【(Client VS NVR)狀態(tài)3 -狀態(tài)2,已鏈路認(rèn)證��、未會話關(guān) 聯(lián)】���;
[0141] 9)當(dāng)Client要徹底斷開與NVR的鏈路時(不需再創(chuàng)建會話)����,在經(jīng)過認(rèn)證操作之 后�����,Client、NVR中的一方都可以主動地徹底地解除當(dāng)前的認(rèn)證鏈路【(Client VS NVR)狀 態(tài)2 -狀態(tài)1�����,未鏈路認(rèn)證����、未會話關(guān)聯(lián)】。
[0142] 場景3, IPC�����、NVR����、Client在SIP Server完成注銷操作,離開該網(wǎng)絡(luò)����,具體包括以 下操作:
[0143] 1)經(jīng)過IPC與SIP Server之間的注銷認(rèn)證操作后,IPC在SIP Server完成注銷 徹底離開該網(wǎng)絡(luò)���?���!荆↖PC VS SIP Server)狀態(tài)3-狀態(tài)1,未鏈路認(rèn)證���、未會話關(guān)聯(lián)】���;
[0144] 2)經(jīng)過Client與SIP Server之間的注銷認(rèn)證操作后,Client在SIP Server完 成注銷徹底離開該網(wǎng)絡(luò)【(Client VS SIP Server)狀態(tài)3-狀態(tài)1�����,未鏈路認(rèn)證�、未會話關(guān) 聯(lián)】����;
[0145] 3)經(jīng)過NVR與SIP Server之間的注銷認(rèn)證操作后,NVR在SIP Server完成注銷 徹底離開該網(wǎng)絡(luò)【(NVR VS SIP Server)狀態(tài)3-狀態(tài)1����,未鏈路認(rèn)證、未會話關(guān)聯(lián)】�����。
[0146] 以上所述僅為本發(fā)明的較佳實(shí)施例���,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和 原則之內(nèi),所作的任何修改��、等同替換��、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1. 一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)�����,其特征在于�,包括SIP終端、SIP服務(wù)器 和認(rèn)證服務(wù)器���; 所述SIP終端���,其用于在進(jìn)行信息交互前在SIP服務(wù)器處經(jīng)過三元對等身份認(rèn)證完成 注冊,并與SIP服務(wù)器進(jìn)行單播密鑰及安全會話協(xié)商�,獲取所需密鑰;各SIP終端間還進(jìn)行 點(diǎn)對點(diǎn)令牌交換����,實(shí)現(xiàn)雙向身份認(rèn)證���,認(rèn)證通過的SIP終端間進(jìn)行數(shù)據(jù)交互; 所述SIP服務(wù)器�,其用于與認(rèn)證服務(wù)器配合為各SIP終端提供注冊服務(wù);與SIP終端進(jìn) 行單播密鑰及安全會話協(xié)商��;作為密鑰分發(fā)中心���,向各SIP終端分發(fā)數(shù)據(jù)交互過程所需的 密鑰�����;還用于管理網(wǎng)絡(luò)中不同SIP終端間的SIP會話��; 所述認(rèn)證服務(wù)器,其用于為SIP終端和SIP服務(wù)器簽發(fā)數(shù)字證書���,并且作為在線可信第 三方認(rèn)證服務(wù)器�����,提供SIP終端與SIP服務(wù)器間的身份鑒別服務(wù)����。
2. 根據(jù)權(quán)利要求1所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng),其特征在于��,所述 SIP終端包括第一注冊模塊��、第一單播密鑰及安全會話協(xié)商模塊�����、終端身份雙向認(rèn)證模塊�、 終端會話模塊和第一注銷模塊;所述SIP服務(wù)器包括第二注冊模塊���、第二單播密鑰及安全 會話協(xié)商模塊和第二注銷模塊�;所述認(rèn)證服務(wù)器包括第三注冊模塊��; 所述第一注冊模塊��、第二注冊模塊及第三注冊模塊之間相互配合完成SIP終端的注冊 過程����; 所述第一單播密鑰及安全會話協(xié)商模塊和第二單播密鑰及安全會話協(xié)商模塊進(jìn)行SIP 終端與SIP服務(wù)器的單播密鑰及安全會話協(xié)商; 所述各SIP終端的終端身份雙向認(rèn)證模塊之間交換點(diǎn)對點(diǎn)令牌���,實(shí)現(xiàn)雙向身份認(rèn)證���; 所述各SIP終端的終端會話模塊之間傳遞數(shù)據(jù)��; 所述第一注銷模塊和第二注銷模塊配合實(shí)現(xiàn)SIP終端的注銷操作�,注銷認(rèn)證通過����,則 SIP終端允許離網(wǎng)。
3. 根據(jù)權(quán)利要求2所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)����,其特征在于,所述第 一注冊模塊���、第二注冊模塊及第三注冊模塊之間相互配合完成SIP終端的注冊過程如下 : 步驟1. 1 :第一注冊模塊向第二注冊模塊發(fā)送觸發(fā)注冊請求消息Ml ; 步驟1. 2 :第二注冊模塊在收到第一注冊模塊發(fā)送的觸發(fā)注冊請求Ml后���,向所述第一 注冊模塊發(fā)送觸發(fā)注冊響應(yīng)消息M2 ; 步驟1. 3 :所述第一注冊模塊驗(yàn)證觸發(fā)響應(yīng)消息M2的合法性,若合法�����,向第二注冊模塊 發(fā)送接入認(rèn)證請求M3 ;否則返回步驟1. 1 ; 步驟1. 4 :第二注冊模塊驗(yàn)證所述第一注冊模塊發(fā)送的接入認(rèn)證請求M3的合法性�����,若 合法�,第二注冊模塊向第三注冊模塊發(fā)送證書認(rèn)證請求M4,執(zhí)行步驟1. 5 ;否則向第一注冊 模塊發(fā)送注冊失敗的信息,返回步驟1. 1 ; 步驟1. 5 :第三注冊模塊驗(yàn)證所述第二注冊模塊發(fā)送的證書認(rèn)證請求M4的合法性���,若 合法��,則生成驗(yàn)證結(jié)果并對驗(yàn)證結(jié)果簽名��,將攜帶已簽名的驗(yàn)證結(jié)果的證書認(rèn)證響應(yīng)消息 M5發(fā)送給第二注冊模塊���,執(zhí)行步驟1. 6 ;否則向第二注冊模塊發(fā)送證書認(rèn)證失敗的信息,返 回步驟1. 1 ; 步驟1. 6 :第二注冊模塊驗(yàn)證證書認(rèn)證響應(yīng)消息M5的合法性����,若合法,則驗(yàn)證第三注冊 模塊對證書驗(yàn)證結(jié)果的簽名字段的合法性��,若合法�����,則查看證書驗(yàn)證結(jié)果字段中第一注冊 模塊的證書驗(yàn)證結(jié)果�,根據(jù)此字段來決定是否允許第一注冊模塊接入,進(jìn)而封裝得到接入 認(rèn)證響應(yīng)消息M6并發(fā)送給第一注冊模塊���,執(zhí)行步驟1. 7 ;否則向第三注冊模塊發(fā)送認(rèn)證失 敗的信息���,返回步驟1.1; 步驟1. 7 :第一注冊模塊驗(yàn)證接入認(rèn)證響應(yīng)消息M6的合法性�����,若合法����,則驗(yàn)證第三注冊 模塊對則證書驗(yàn)證結(jié)果的簽名字段的合法性���,若合法�����,則查看證書驗(yàn)證結(jié)果字段中第二注 冊模塊的證書驗(yàn)證結(jié)果�����,根據(jù)此字段決定是否接入該第二注冊模塊����,如決定接入該第二注 冊模塊�,則進(jìn)入待會話狀態(tài);否則向第二注冊模塊發(fā)送認(rèn)證失敗的信息�����,返回步驟1. 1����。
4. 根據(jù)權(quán)利要求2所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng),其特征在于�,所述第 一單播密鑰及安全會話協(xié)商模塊和第二單播密鑰及安全會話協(xié)商模塊進(jìn)行SIP終端與SIP 服務(wù)器的單播密鑰及安全會話協(xié)商的過程如下: 步驟2. 1 :第二單播密鑰及安全會話協(xié)商模塊向第一單播密鑰及安全會話協(xié)商模塊發(fā) 送單播密鑰和安全會話協(xié)商請求M7 ; 步驟2. 2 :第一單播密鑰及安全會話協(xié)商模塊對接收到的單播密鑰和安全會話協(xié)商請 求M7進(jìn)行驗(yàn)證,驗(yàn)證通過���,則生成單播密鑰和安全會話協(xié)商響應(yīng)消息M8,并發(fā)送給第二單 播密鑰及安全會話協(xié)商模塊�����; 步驟2. 3 :第二單播密鑰及安全會話協(xié)商模塊對接收的單播密鑰和安全會話協(xié)商響應(yīng) 消息M8進(jìn)行驗(yàn)證��,驗(yàn)證通過��,則生成單播密鑰與安全會話協(xié)商確認(rèn)消息M9,并發(fā)送給第一 單播密鑰及安全會話協(xié)商模塊�; 步驟2. 4 :第一單播密鑰及安全會話協(xié)商模塊對接收到單播密鑰與安全會話協(xié)商確 認(rèn)�。
5. 根據(jù)權(quán)利要求2所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng),其特征在于,所述 各SIP終端的終端身份雙向認(rèn)證模塊之間交換點(diǎn)對點(diǎn)令牌����,實(shí)現(xiàn)雙向身份認(rèn)證的具體實(shí)現(xiàn) 為: 步驟3. 1 :兩個SIP終端的終端身份雙向認(rèn)證模塊交換點(diǎn)對點(diǎn)認(rèn)證令牌; 步驟3. 2 :兩個SIP終端分別利用單播數(shù)據(jù)完整性密鑰驗(yàn)證對方的點(diǎn)對點(diǎn)認(rèn)證令牌中 的單播數(shù)據(jù)消息認(rèn)證碼����,驗(yàn)證通過,則執(zhí)行步驟3. 3 ;否則返回步驟3. 1��,并當(dāng)執(zhí)行預(yù)定次數(shù) 后仍驗(yàn)證不通過的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程�; 步驟3. 3 :檢查兩SIP終端之間單播數(shù)據(jù)完整性密鑰索引字段是否與自己當(dāng)前所認(rèn)同 的一致,如果一致�����,則執(zhí)行步驟3. 4 ;否則返回步驟3. 1�,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不通過 的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程; 步驟3. 4 :檢查對方的當(dāng)前系統(tǒng)時間與自己的系統(tǒng)時間之差�����,如果在預(yù)定接受的范圍 內(nèi)�,則完成點(diǎn)對點(diǎn)認(rèn)證令牌驗(yàn)證工作,實(shí)現(xiàn)點(diǎn)對點(diǎn)認(rèn)證��;否則返回步驟3. 1,并當(dāng)執(zhí)行預(yù)定 次數(shù)后仍驗(yàn)證不通過的話則終止本次點(diǎn)對點(diǎn)認(rèn)證過程���。
6. 根據(jù)權(quán)利要求2所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng),其特征在于����,所述第 一注銷模塊和第二注銷模塊配合實(shí)現(xiàn)SIP終端的注銷操作,注銷認(rèn)證通過��,則SIP終端允許 離網(wǎng)的實(shí)現(xiàn)過程為: 步驟4. 1 :SIP終端向SIP服務(wù)器發(fā)送注銷請求消息Mil ; 步驟4. 2 :SIP服務(wù)器收到注銷請求消息Mil后生成一個挑戰(zhàn)隨機(jī)數(shù)nonce����,并生成注 銷響應(yīng)消息Ml2發(fā)給SIP終端; 步驟4. 3 :SIP終端按照以下方式計(jì)算并重新封裝注銷請求消息M13發(fā)送給SIP服務(wù) 器���; HA1 = SHA256[username I I realm I I password] HA2 = SHA256[methodI | (to:field)] Response = SHA256[HAl||nonce]|HA2] 其中���,username為SIP終端的用戶名,realm為SIP終端所屬的SIP監(jiān)控域��;password 為SIP終端的秘密口令���;method為消息類型��,to :field為接收者的賬戶信息����,nonce為SIP 服務(wù)器生成的隨機(jī)數(shù); 步驟4. 4 :SIP服務(wù)器驗(yàn)證挑戰(zhàn)隨機(jī)數(shù)nonce,從數(shù)據(jù)庫中讀取username所對應(yīng)的 password, SIP服務(wù)器按照與SIP終端相同的方式來計(jì)算得到Response'��,并對比Response 與Response'是否一致�,若一致,則注銷認(rèn)證成功��。
7. 根據(jù)權(quán)利要求2所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)����,其特征在于,所述 認(rèn)證服務(wù)器還包括證書生成及下發(fā)模塊�����,其用于生成自身數(shù)字證書�����、SIP終端的數(shù)字證書及 SIP服務(wù)器的數(shù)字證書��,并預(yù)先將SIP終端的數(shù)字證書和SIP服務(wù)器的數(shù)字證書分別下發(fā)給 SIP終端和SIP服務(wù)器����,并將自身的數(shù)字證書發(fā)送給SIP終端和SIP服務(wù)器�����。
8. 根據(jù)權(quán)利要求2所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)���,其特征在于����,所述 SIP終端的終端身份雙向認(rèn)證模塊還用于設(shè)定認(rèn)證有效期,當(dāng)有效期屆滿時���,兩個SIP終端 需要進(jìn)行點(diǎn)對點(diǎn)重認(rèn)證操作��,具體實(shí)現(xiàn)為兩個SIP終端之間交換點(diǎn)對點(diǎn)重認(rèn)證令牌���,按照 初次認(rèn)證的步驟進(jìn)行重認(rèn)證;當(dāng)兩個SIP終端需暫時關(guān)閉會話時�����,兩個SIP終端需交換點(diǎn)對 點(diǎn)會話關(guān)閉令牌�����,認(rèn)證通過則關(guān)閉會話;當(dāng)兩個SIP終端要徹底關(guān)閉通信鏈路時�����,兩個SIP 終端除交換點(diǎn)對點(diǎn)會話關(guān)閉令牌之外�,還需要交換點(diǎn)對點(diǎn)鏈路關(guān)閉令牌,認(rèn)證通過時��,徹底 關(guān)閉鏈路��。
9. 根據(jù)權(quán)利要求1所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)��,其特征在于�����,所述 SIP終端包括SIP視頻采集設(shè)備�、SIP視頻存儲設(shè)備和SIP客戶端; 所述SIP視頻采集設(shè)備��,其用于采集視頻信息并進(jìn)行處理�,并將處理后的視頻信息發(fā) 送給SIP視頻存儲設(shè)備; 所述SIP視頻存儲設(shè)備�����,其用于存儲SIP視頻采集設(shè)備上傳的視頻信息,供SIP客戶端 調(diào)閱實(shí)時或歷史視頻數(shù)據(jù)��; 所述SIP客戶端��,其用于向SIP視頻存儲設(shè)備發(fā)送調(diào)閱實(shí)時或歷史視頻數(shù)據(jù)的請求�����,從 SIP視頻存儲設(shè)備獲取視頻數(shù)據(jù)��。
10. 根據(jù)權(quán)利要求1所述一種SIP安全防范視頻監(jiān)控入網(wǎng)控制系統(tǒng)����,其特征在于����,所述 SIP服務(wù)器其還用于實(shí)現(xiàn)安全信令路由功能。
【文檔編號】H04L29/06GK104113547SQ201410352691
【公開日】2014年10月22日 申請日期:2014年7月23日 優(yōu)先權(quán)日:2014年7月23日
【發(fā)明者】蘆翔, 呂世超, 孫利民, 石志強(qiáng), 朱紅松, 潘磊 申請人:中國科學(xué)院信息工程研究所