一种视频设备数据安全传输方法及系统转让专利
申请号 : CN202210996046.8
文献号 : CN115361593B
文献日 : 2023-04-07
发明人 : 肖建喜
申请人 : 湖北巨字传媒有限公司
摘要 :
本发明提供了一种视频设备数据安全传输方法及系统,涉及数据安全通信技术领域,所述安全传输方法包含了视频设备启动后向安全加密服务器请求安全认证,通过安全认证的视频设备将获得安全认证签名、视频设备通过安全认证签名信息与视频业务服务器建立连接,并向服务器请求设备配置参数和播放资源数据,然后通过设备播放视频资源、视频设备播放完视频后向安全加密服务器发送播放日志数据,请求播放日志数据安全验证。本发明通过建立视频设备与服务器之间数据传输安全验证的方法,从而有效的防止视频设备被非法攻击,导致播放的视频内容被篡改、替换等安全问题,达到提高视频内容播出安全性的优点。
权利要求 :
1.一种视频设备数据安全传输方法,其特征在于,视频设备的数据安全传输方法包含以下步骤:S1、视频设备启动后,向安全加密服务器请求安全认证,通过安全认证的视频设备将获得安全认证签名;
S2、视频设备通过安全认证签名信息与视频业务服务器建立连接,并向视频业务服务器请求视频设备配置参数和播放资源数据,然后通过视频设备播放视频资源;
S3、视频设备播放完视频后向安全加密服务器发送播放日志数据,请求播放日志数据安全验证;
视频设备的数据安全传输方法步骤S1中,视频设备安全认证采用了随机序列矩阵式哈希加密算法进行了视频设备一机一密安全认证签名,其详细方法和步骤如下:S101、视频设备启动后,获取对应的设备硬件信息;
S102、视频设备将获取的硬件信息和当前时间戳发送至安全加密服务器,请求视频设备的安全认证;
S103、安全加密服务器接收到请求的视频设备的数据后,首先判断视频设备的认证状态,对通过认证的视频设备生成一组128位随机序列字符串签名(sign);
S104、安全加密服务器,将视频设备的硬件信息与生成的随机序列字符串签名组合,通过哈希加密算法,生成视频设备唯一的签名密钥(sign_key),并将此签名密钥返回给视频设备;
S105、同时,安全加密服务器将请求视频设备的硬件信息和生成的唯一签名密钥发送给视频业务服务器;
视频设备的数据安全传输方法步骤S2中,视频设备通过签名密钥与视频业务服务器建立连接,采用长连接网络通讯协议,其详细方法和步骤如下:S201、视频设备接收到安全加密服务器返回的签名密钥后,向视频业务服务器发送视频设备的硬件信息数据和签名密钥,请求建立连接;
S202、视频业务服务器接收到连接请求后,完成视频设备发送的签名密钥验证,并返回请求数据,应答视频设备的签名密钥已验证通过,视频设备确认连接后向视频业务服务器请求配置参数;
S203、视频业务服务器在接收到请求后,向视频设备返回配置参数,视频设备在接收到视频业务服务器返回的配置参数后,立即将相关配置参数进行加载完成,并再次向视频业务服务器请求播放资源数据;
S204、视频业务服务器将依据请求的视频设备的播放任务,返回视频设备的播放资源数据,视频设备接收到播放资源数据后,开始播放视频;
S205、同时,视频业务服务器会将请求视频设备的播放资源数据信息与视频设备请求连接的签名密钥进行组合,并通过安全加密服务器指定的生成签名密钥的哈希加密算法,来重新生成一组视频资源信息的文件签名密钥(file_sign_key),并将此文件签名密钥发送给安全加密服务器临时保存,用于播放日志数据安全验证;
视频设备的数据安全传输方法步骤S3中,视频设备的播放日志数据安全验证由安全加密服务器完成,其详细方法和步骤如下:S301、视频设备完成播放任务后向安全加密服务器发送视频设备的硬件信息、当前时间戳和本地播放资源数据信息,执行播放日志数据的安全验证;
S302、安全加密服务器接收到视频设备发送的数据后,将播放日志的本地播放资源数据信息与请求的视频设备的签名密钥进行组合,并通过安全加密服务器的哈希加密算法,生成一组播放日志信息的日志签名密钥(log_sign_key);
S303、安全加密服务器将上述视频业务服务器发送并保存的文件签名密钥(file_sign_key)与视频设备发送并生成的日志签名密钥(log_sign_key)进行验证,并判断是否匹配;
S304、安全加密服务器对通过验证的视频设备,将其硬件信息、当前时间戳和本地播放资源数据信息,发送至视频业务服务器,保存设备播放日志;
S305、未通过安全加密服务器验证的视频设备,将其验证失败信息发送至视频业务服务器锁定视频设备,并通知服务器管理工作人员处理异常。
2.一种视频设备数据安全传输系统,用于实现权利要求1中一种视频设备数据安全传输方法,其特征在于,包含了视频业务系统和安全加密服务器,视频业务系统指一对一或一对多的视频点播系统、视频发布系统、广告系统、公共宣传发布系统,其系统的架构至少包含视频终端设备和视频业务服务器;安全加密服务器为视频业务系统提供安全加密支持;
所述安全加密服务器应用方式是基于linux和windows操作系统的传统x86体系结构服务器,使用Intel或其它兼容x86指令集的处理器芯片,或选用基于FPGA可伸缩计算架构的安全加密服务平台。
3.如权利要求2所述一种视频设备数据安全传输系统,其特征在于,视频设备数据安全传输系统采用分布式架构和服务器群集模式来对整套系统进行部署,在视频业务系统领域,将业务应用管理、视频文件存储、视频日志数据管理、和设备信息数据管理作为单独的服务进行分布式部署;安全加密服务器接驳大型视频终端设备系统时,采用服务器群集管理模式。
4.如权利要求2所述一种视频设备数据安全传输系统,其特征在于,视频设备、视频业务服务器与安全加密服务器三者之间必须依靠网络连接,视频设备会自动判断与视频业务服务器之间的连接状态,如果一旦断开连接,视频设备将自动锁定,并执行设备重启指令,在重启后重新向安全加密服务器请求认证。
5.如权利要求2所述一种视频设备数据安全传输系统,其特征在于,视频设备的数据安全传输方法所采用的加密算法由安全加密服务器配置一种或多种加密算法,且在系统加密应用过程中,能够实现多种算法同时使用。
6.如权利要求2所述一种视频设备数据安全传输系统,其特征在于,播放日志数据安全验证由安全加密服务器完成,安全加密服务器在选择日志数据安全验证加密方式的过程中,根据视频业务服务器的应用环境和需求搭建,配置或选用对称式加密算法或非对称式加密算法,当选用对称式或非对称式加密算法进行安全保护时,安全加密服务器均应采用对应的解密算法来完成播放日志数据的验证。
说明书 :
一种视频设备数据安全传输方法及系统
技术领域:
[0001] 本发明涉及数据安全通信技术领域,尤其涉及一种视频设备数据安全传输方法及系统。技术背景
[0002] 随着社会经济和文化生活的不断发展,网络已经与人们的日常生活、工作密不可分,无论在娱乐社交、线上学习,还是观影体验等生活场景中,视频都已成为最重要的互动方式之一,用户对于视频效果也提出越来越高的要求,而延时低,弱网对抗能力强,视频画质清晰等也让企业面临很高的技术挑战。伴随着视频技术的不断进步和各种视频应用的日益广泛,视频信息的安全问题也日益突出。尤其最近,视频领域在某一地区出现大范围信息发布系统的显示设备遭到攻击,替换和删除了原来的资源,更换了视频系统发布展示的内容,这类似的安全事故频出,让人们再一次将视线拉回到视频安全方面相关话题。视频安全,是一个系统性的问题,笼统来说,它包含了视频应用系统安全和播放终端两个部分的防范组成。从结构层面上来说,可理解为从硬件层面、系统层面和应用层面来实现安全防范,当面对庞大的视频发布系统、点播系统、广告系统等一系列应用时,都可以采用不同的防范方式,来确保视频安全事故的发生。而就目前技术及应用来说,相对于硬件层面、系统层面和应用层面来对比,应用层面或许是目前最为之有效的防范方式。从应用层面完善的系统软件生态来加强视频安全防范应用,不仅可以快捷、高效的产出视频安全防范的整套应用系统,而且还可以获得较高安全性能的视频安全保障,并同时从经济角度得到非常明显的优势。
发明内容
[0003] 本发明的目的在于提供一种视频设备数据安全传输方法及系统,解决视频设备与应用服务之间数据传输过程中存在的被篡改、删除、替换或诱导其它视频播放的问题,本发明通过对视频设备数据传输过程中进行加密认证和校验认证等方法,来确保视频数据在网络通信传输过程中的合法性和唯一性,从而达到解决视频安全播放的问题。
[0004] 为实现上述目的,本发明提供了如下技术方案:
[0005] 一种视频设备数据安全传输方法及系统,其视频设备的数据安全传输方法包括以下步骤:
[0006] S1、视频设备(或应用)启动后,向安全加密服务器请求安全认证,通过安全认证的设备将获得安全认证签名;
[0007] S2、视频设备通过签名信息与视频业务服务器建立连接,并向服务器请求设备配置参数和播放资源数据,然后通过设备播放视频资源;
[0008] S3、视频设备播放完视频后(或定时)向安全加密服务器发送播放日志数据,请求验证播放日志数据安全验证。
[0009] 进一步的,在视频设备的数据安全传输方法的步骤S1中,视频设备安全认证采用了随机序列矩阵式哈希加密算法进行了视频设备一机一密安全认证签名,其详细方法和步骤如下:
[0010] S101、视频设备(或应用)启动后,获取对应的设备硬件信息(cpuid/chipid+Wlan/lanmac);
[0011] S102、视频设备将获取的硬件信息和当前时间戳发送至安全加密服务器,请求视频设备的安全认证;
[0012] S103、安全加密服务器接收到请求设备的数据后,首先判断视频设备的认证状态,对通过认证的视频设备生成一组128位随机序列字符串签名(sign);
[0013] S104、安全加密服务器,将视频设备的硬件信息与生成的随机序列字符串签名组合,通过哈希加密算法,生成视频设备唯一的签名密钥(sign_key),并将此签名密钥返回给视频设备;
[0014] S105、同时,安全加密服务器将请求视频设备的硬件信息和生成的唯一签名密钥发送给视频业务服务器。
[0015] 进一步的,在视频设备的数据安全传输方法的步骤S2中,视频设备通过签名密钥与视频业务服务器建立连接,采用主流的长连接网络通讯协议,可以快捷的请求数据和达到设备控制的目的,其详细方法和步骤如下:
[0016] S201、视频设备接收到安全加密服务器返回的签名密钥后,向视频业务服务器发送视频设备的硬件信息数据和签名密钥,请求建立连接;
[0017] S202、视频业务服务器接收到连接请求后,完成视频设备发送的签名密钥验证,并返回请求数据,应答视频设备的签名密钥已验证通过,视频设备确认连接后向视频业务服务器请求配置参数;
[0018] S203、视频业务服务器在接收到请求后,向视频设备返回配置参数,设备在接收到视频业务服务器返回的配置参数后,立即将相关配置参数进行加载完成,并再次向视频业务服务器请求播放资源数据;
[0019] S204、视频业务服务器将依据请求设备的播放任务,返回视频设备的播放资源数据,视频设备接收到播放资源数据后,开始播放视频;
[0020] S205、同时,视频业务服务器会将请求视频设备的播放资源数据信息与设备请求连接的签名密钥进行组合,并通过安全加密服务器指定的生成签名密钥的哈希加密算法,来重新生成一组视频资源信息的文件签名密钥(file_sign_key),并将此文件签名密钥发送给安全加密服务器临时保存,用于播放日志数据安全验证。
[0021] 进一步的,在视频设备的数据安全传输方法的步骤S3中,视频设备的播放日志数据安全验证由安全加密服务器完成,其详细方法和步骤如下:
[0022] S301、视频设备完成播放任务后(或定时)向安全加密服务器发送设备的硬件信息、当前时间戳和本地播放资源数据信息,执行播放日志数据的安全验证;
[0023] S302、安全加密服务器接收到视频设备发送的数据后,将播放日志的本地播放资源数据信息与请求设备的签名密钥进行组合,并通过安全加密服务器的哈希加密算法,生成一组播放日志信息的日志签名密钥(log_sign_key);
[0024] S303、安全加密服务器将上述视频业务服务器发送并保存的文件签名密钥(file_sign_key)与视频设备发送并生成的日志签名密钥(log_sign_key)进行验证,并判断是否匹配;
[0025] S304、安全加密服务器对通过验证的视频设备,将其硬件信息、当前时间戳和本地播放资源数据信息,发送至视频业务服务器,保存设备播放日志;
[0026] S305、未通过安全加密服务器验证的视频设备,将其验证失败信息发送至视频业务服务器锁定视频设备,并通知服务器管理工作人员处理异常。
[0027] 所述一种视频设备数据安全传输方法及系统,在视频设备数据安全传输系统,包含了视频业务系统,和安全加密服务器。视频业务系统通常指一对一或一对多的视频点播系统、视频发布系统、广告系统、公共宣传发布系统等,其系统的架构至少包含视频终端设备和视频业务服务器(或服务平台)。
[0028] 进一步的,安全加密服务器通常应用方式是基于linux和windows操作系统的传统x86体系结构服务器,使用Intel或其它兼容x86指令集的处理器芯片,也可以选用基于FPGA可伸缩计算架构的安全加密服务平台,依托于FPGA架构灵活的部署优势,和对加密算法逻辑应用可编程的特点,能够直接通过硬件层面提升加密计算性能。
[0029] 进一步的,视频设备数据安全传输系统可以采用分布式架构和服务器群集模式来对整套系统进行部署,在视频业务系统领域,可单独的将业务应用管理、视频文件存储、视频日志数据管理、和设备信息数据管理作为单独的服务进行分布式部署;安全加密服务器如需接驳大型视频终端设备系统时,可采用服务器群集管理模式,来应对高强度视频业务需求所带来的加密运算压力。
[0030] 进一步的,视频设备数据安全传输系统的视频设备、视频业务服务器与安全加密服务器三者之间必须依靠网络连接,视频设备会自动判断与视频业务服务器之间的连接状态,如果一旦断开连接,视频设备将自动锁定,并执行设备重启指令,在重启后重新向安全加密服务器请求认证。
[0031] 所述一种视频设备数据安全传输方法及系统,视频设备的数据安全传输方法所采用的加密算法由安全加密服务器配置一种或多种加密算法,且在系统加密应用过程中,能够实现多种算法同时使用,此方式的应用可以让不同的设备采用不同方式加密算法来进行加密,所得的安全认证更不易于破解。
[0032] 所述一种视频设备数据安全传输方法及系统,播放日志数据安全验证由安全加密服务器完成,安全加密服务器在选择日志数据安全验证加密方式的过程中,除了采用上述哈希加密算法之外,可根据视频业务服务器的应用环境和需求搭建,配置或选用对称式加密算法或非对称式加密算法,当选用对称式或非对称式加密算法进行安全保护时,均应采用对应的解密算法来完成播放日志数据的验证。
附图说明
[0033] 图1为本发明实施例提供的一种视频设备数据安全传输方法流程示意图;
[0034] 图2为本发明实施例提供的视频设备的数据安全传输方法的步骤S1的流程示意图;
[0035] 图3为本发明实施例提供的视频设备的数据安全传输方法的步骤S2的流程示意图;
[0036] 图4为本发明实施例提供的视频设备的数据安全传输方法的步骤S3的流程示意图;
[0037] 图5为本发明实施例提供的一种视频设备数据安全传输系统结构示意图;
[0038] 图6为本发明实施例提供的一种视频设备数据安全传输系统分布式架构示意图。
具体实施方式
[0039] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案及方法进行清楚、完整地描述,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护范围。
[0040] 如图1所示,一种视频设备数据安全传输方法流程示意图,视图所示本发明的方法及流程,主要包含了三个步骤:
[0041] S1、视频设备(或应用)启动后,向安全加密服务器请求安全认证,通过安全认证的设备将获得安全认证签名;
[0042] S2、视频设备通过签名信息与视频业务服务器建立连接,并向服务器请求设备配置参数和播放资源数据,然后通过设备播放视频资源;
[0043] S3、视频设备播放完视频后(或定时)向安全加密服务器发送播放日志数据,请求验证播放日志数据安全验证。
[0044] 结合图1所述视频设备,包含了智能终端硬件设备,如广告机、点播机、信息发布系统等,此类设备通常是基于linux定制的设备操作系统和应用程序两部分组成,也可以是某种智能设备,通过应用程序达到视频点播的功能,这类设备所采取的方式通常为安卓或微软视窗的操作系统,和企业定制开发的应用程序或app。设备在向安全加密服务器请求安全认证时,安全加密服务器会读取视频业务服务器数据库存储的设备信息,验证设备是否为已通过视频业务注册认证设备,从而判断设备的合法性。
[0045] 结合图1所述视频设备通过签名信息与视频业务服务器建立连接的时候,采用MQTT低带宽长连接通信协议,MQTT服务平台在设备兼容性、低带宽通信及设备载荷数量上都有着较大的性能优势,也是当前基于物联网设备通信最常用的连接方式之一。系统同时还支持socket通信协议,以及由中间设备转换为网络通信协议的Modbus协议设备,视频设备的网络连接要求是需要视频设备与视频业务服务器之间建立并保持长连接,且视频业务服务器会根据视频设备的网络请求及环境判断视频设备的连接状态,一旦连接中断,视频业务服务器会拒绝视频设备的再次重连,丢失服务连接的视频设备必须向安全加密服务器重新发起安全认证请求。
[0046] 结合图1所述视频设备向安全加密服务器发送播放日志数据请求安全验证时,安全加密服务器会根据视频设备发送的播放数据进行验证,验证过程中,安全加密服务器根据不同的视频资源信息进行加密后匹配,通常匹配视频资源信息分为两种状态,匹配成功和匹配失败,成功状态下,视频设备的运行和长连接网络状态不会发生变化,匹配失败的视频设备,会被视频业务服务器下达设备锁定的指令,被锁定状态的视频设备仍然与视频业务服务器保持连接,平台管理员此时可通过远程的方式操作设备重启来校验设备时候正常,如一旦多次发生安全请求验证不通过或日志数据请求安全验证不通过时,可大致判断设备存在被入侵可能性,此时安全管理员可以采取必要措施查询日志的访问数据及设备的访问信息来进行处理设备异常。
[0047] 结合图1所述一种视频设备数据安全传输方法流程示意图,视图所示本发明的方法及流程为系统关键的三个步骤,也是本发明视频设备的数据安全传输方法的重要逻辑组成部分,进一步的,如图2所示在视频设备的数据安全传输方法的步骤S1中,视频设备安全认证采用了随机序列矩阵式哈希加密算法进行了视频设备一机一密安全认证签名,其详细方法和步骤如下:
[0048] S101、视频设备(或应用)启动后,获取对应的设备硬件信息(cpuid/chipid+Wlan/lanmac);
[0049] S102、视频设备将获取的硬件信息和当前时间戳发送至安全加密服务器,请求视频设备的安全认证;
[0050] S103、安全加密服务器接收到请求设备的数据后,首先判断视频设备的认证状态,对通过认证的视频设备生成一组128位随机序列字符串签名(sign);
[0051] S104、安全加密服务器,将视频设备的硬件信息与生成的随机序列字符串签名组合,通过哈希加密算法,生成视频设备唯一的签名密钥(sign_key),并将此签名密钥返回给视频设备;
[0052] S105、同时,安全加密服务器将请求视频设备的硬件信息和生成的唯一签名密钥发送给视频业务服务器。
[0053] 结合图2视频设备获取设备硬件信息,当视频设备的终端应用方式为嵌入式集成终端设备时,则设备配套应用软件的启动是同步进行的,设备启动后即进入到应用状态,此时获取到的设备硬件信息是主控芯片ID和无线局域网卡Mac地址的组合,此类设备应用包括广告机终端设备、点播机终端设备、大屏信息发布系统等;当终端应用方式为Pc设备时,则对应应用程序启动后,应用程序将收集pc设备cpuid和LanMac地址的组合,通常此类设备为在线教学、大屏信息发布、和在线视频点播等系统及设备。
[0054] 结合图2视频设备将硬件信息获取后,与当前时间戳发送至安全加密服务器,请求视频设备安全认证,安全加密服务器会读取视频业务服务器所存储的注册设备信息白名单列表,并判断视频设备信息列表中,是否存在当前请求设备,如果设备信息存在,则返回视频设备信息执行下一步操作;如当前请求设备未在设备信息列表中,则会返回数据到视频设备,展示当前设备状态为未认证状态,并提示安全认证的操作信息及流程;如当前请求设备已被安全加密服务器列入了黑名单设备列表,则视频设备不会通过设备安全认证请求,直接将返回设备已锁定状态信息页面内容。
[0055] 结合图2安全加密服务器已获得请求设备的安全认证状态后,为了确保视频设备每次请求建立连接的唯一性,安全加密服务器会对视频设备生成一组以小写字母“a‑z”和阿拉伯数字“0‑9”随机组合的128位字符串签名,来区分视频设备每次请求连接时的特征。生成字符串签名的同时,加密服务器会将请求设备的硬件信息与生成的128位字符串签名进行组合,并通过哈希加密算法生成设备的签名密钥信息,来增强设备请求认证的安全性。
哈希加密算法通常选择熟知的单向、且不可还原的md5、SHA‑1、HMAC等算法为主,也可以通过安全加密服务器配置随机加密机制,让不同设备随机选择和生成不同加密算法信息,来加强视频设备的安全认证。
哈希加密算法通常选择熟知的单向、且不可还原的md5、SHA‑1、HMAC等算法为主,也可以通过安全加密服务器配置随机加密机制,让不同设备随机选择和生成不同加密算法信息,来加强视频设备的安全认证。
[0056] 结合图2视频设备的签名密钥信息,及签名密钥的128位随机字符串,由安全加密服务器单向生成,且生成的信息来源和加密算法均与视频设备不会进行任何信息交互,因此通过安全加密服务器生成的设备签名密钥,具有不公开唯一性,且不可反向解密和还原。签名完成后,安全加密服务器会将完整的设备签名密钥返回给请求的视频设备,并将请求的视频设备硬件信息和签名密钥信息发送给视频业务服务器,来验证建立设备安全通信连接。
[0057] 结合图1所述一种视频设备数据安全传输方法流程示意图,视图所示本发明的方法及流程为系统关键的三个步骤,也是本发明视频设备的数据安全传输方法的重要逻辑组成部分,进一步的,如图3所示在视频设备的数据安全传输方法的步骤S2中,视频设备通过签名密钥与视频业务服务器建立连接,采用主流的长连接网络通讯协议,可以快捷的请求数据和达到设备控制的目的,其详细方法和步骤如下:
[0058] S201、视频设备接收到安全加密服务器返回的签名密钥后,向视频业务服务器发送视频设备的硬件信息数据和签名密钥,请求建立连接;
[0059] S202、视频业务服务器接收到连接请求后,完成视频设备发送的签名密钥验证,并返回请求数据,应答视频设备的签名密钥已验证通过,视频设备确认连接后向视频业务服务器请求配置参数;
[0060] S203、视频业务服务器在接收到请求后,向视频设备返回配置参数,设备在接收到视频业务服务器返回的配置参数后,立即将相关配置参数进行加载完成,并再次向视频业务服务器请求播放资源数据;
[0061] S204、视频业务服务器将依据请求设备的播放任务,返回视频设备的播放资源数据,视频设备接收到播放资源数据后,开始播放视频;
[0062] S205、同时,视频业务服务器会将请求视频设备的播放资源数据信息与设备请求连接的签名密钥进行组合,并通过安全加密服务器指定的生成签名密钥的哈希加密算法,来重新生成一组视频资源信息的文件签名密钥(file_sign_key),并将此文件签名密钥发送给安全加密服务器临时保存,用于播放日志数据安全验证。
[0063] 结合图3视频设备接收到安全加密服务器返回的唯一设备签名密钥信息后,会将视频设备硬件信息和设备的签名密钥信息向视频业务服务器发起请求,建立网络连接。视频业务服务器在接收到视频设备发送的设备硬件信息和签名密钥信息后,会与上述安全加密服务器发送的设备硬件信息和签名密钥进行匹配和验证,如匹配硬件设备信息失败,则视频业务服务器会向视频设备返回拒绝请求的安全指令,并中断请求设备的所有连接;如匹配硬件设备信息成功,设备签名密钥验证失败,则直接返回视频设备安全验证失败,并中断设备当前连接状态,下发锁定设备指令,通过设备重新进行S1中安全认证后,再次向视频业务服务器发起请求建立连接,直至设备硬件信息匹配和设备签名密钥验证成功,并由视频设备应答成功建立起长连接后,开始执行下一步请求数据。
[0064] 结合图3视频设备通过签名密钥验证,并成功建立起与视频业务服务器之间的连接后,开始第一次向视频业务服务器请求视频设备的配置参数,设备参数包含时间校准、设备分辨率、音量设置、工作时间组、开启时间、关闭时间等相关设备硬件运行的参数配置,视频业务服务器在接收视频设备的请求后,会根据设备的硬件信息和硬件签名密钥返回设备的配置参数,设备接收到返回数据后会自动进行加载,当视频设备加载参数成功后,会发起第二次向视频业务服务器请求播放资源数据。图3中,如当前请求设备为pc或某些视频点播设备时,可能存在无需请求配置参数,那么在此状态下,视频设备的请求会发生变化,将直接跨过第一次请求,直接在确认与视频业务服务器建立连接后,发起向视频业务服务器请求播放资源数据。
[0065] 结合图3视频设备获取到第一次请求设备配置参数后,发起第二次请求或直接发起的第二次请求,请求播放资源数据包含设备硬件信息、设备签名密钥、播放资源文件名称、播放时间、文件大小、创建日期、视频文件分辨率、视频码率、文件MD5验证信息、视频地址链接等与视频资源播放相关的文件信息数据,视频业务服务器根据请求设备的硬件信息将当天日期需播放的视频资源信息以列表的形式返回至视频设备;视频设备获取到来自视频业务服务器的播放资源数据后,会根据视频设备缓存的数据判断是否已经存在播放资源文件,如视频资源文件已存在,则直接开始播放视频,如返回的视频资源文件中没有本地缓存文件,视频设备会向视频资源信息中的视频链接请求下载当前视频文件,并在视频文件下载完成后开始视频文件。
[0066] 结合图3视频业务服务器在返回视频资源信息数据给视频设备的同时,会将请求设备的签名密钥以及视频资源信息中所包含的文件信息数据进行组合,并按照安全加密服务器所指定的加密算法进行加密,然后将加密后的信息文件签名密钥发送给安全加密服务器临时保存,用于视频设备播放日志安全验证。
[0067] 结合图3视频业务服务器在按照安全加密服务器所指定的加密算法进行加密的过程中,其指定的加密算法可以为对称式加密算法、非对称式加密算法或常见的签名加密算法,对称算法和非对称加密算法中涉及到加密和解密部分,全部由视频业务服务器和安全加密服务器单向生成,且生成的信息来源和加密算法均与视频设备不会进行任何信息交互,因此通过服务器生成的设备加密签名密钥,具有不公开唯一性,以此来确保安全加密的全过程不会被泄露,让设备安全认证更加安全。
[0068] 结合图3视频设备与视频业务服务器通过设备的硬件信息和签名密钥认证,建立长连接通信。在通信连接中,视频业务服务器可随时向视频设备发起设备控制,例如设备关机、重启、设备锁定、设备音量设置、暂停播放、切换播放资源等。视频业务服务器为保持与视频设备的长连接,服务器会根据设置参数要求定时向视频设备发起检测报文,来判断视频设备的网络通信是否正常,如视频设备超时未接收到服务器端发送的检测报文,视频设备会自动判断设备已中断与服务器连接,执行自动锁定设备状态,并重新与安全加密服务器发起安全认证请求,来确保视频设备在工作过程中的安全性。
[0069] 结合图1所述一种视频设备数据安全传输方法流程示意图,视图所示本发明的方法及流程为系统关键的三个步骤,也是本发明视频设备的数据安全传输方法的重要逻辑组成部分,进一步的,如图4所示在视频设备的数据安全传输方法的步骤S3中,视频设备的播放日志数据安全验证由安全加密服务器完成,其详细方法和步骤如下:
[0070] S301、视频设备完成播放任务后(或定时)向安全加密服务器发送设备的硬件信息、当前时间戳和本地播放资源数据信息,执行播放日志数据的安全验证;
[0071] S302、安全加密服务器接收到视频设备发送的数据后,将播放日志的本地播放资源数据信息与请求设备的签名密钥进行组合,并通过安全加密服务器的哈希加密算法,生成一组播放日志信息的日志签名密钥(log_sign_key);
[0072] S303、安全加密服务器将上述视频业务服务器发送并保存的文件签名密钥(file_sign_key)与视频设备发送并生成的日志签名密钥(log_sign_key)进行验证,并判断是否匹配;
[0073] S304、安全加密服务器对通过验证的视频设备,将其硬件信息、当前时间戳和本地播放资源数据信息,发送至视频业务服务器,保存设备播放日志;
[0074] S305、未通过安全加密服务器验证的视频设备,将其验证失败信息发送至视频业务服务器锁定视频设备,并通知服务器管理工作人员处理异常。
[0075] 结合图4视频设备完成视频播放,会向安全加密服务器发送设备的硬件信息、当前时间戳、和播放视频资源信息,进行视频播放日志的安全验证。视频播放日志的安全验证,是为防止视频播放文件被替换或篡改而执行的,通过视频播放日志信息所发送的资源文件信息内容,与上述视频业务服务器发送的视频播放日志信息进行加密解密、对比验证和解密验证等方式,来验证播放的视频资源文件信息是否匹配,从而确定安全验证结果。
[0076] 结合图4当安全加密服务器接收到来自请求设备发送的设备硬件信息、时间戳和播放视频资源信息后,会通过安全加密服务器所设定的加密方式,生成一组播放日志的日志签名密钥。签名密钥的获得,是必须与视频业务服务器生成文件签名密钥方式进行匹配,如上述加密方式采用对称式加密,则安全加密服务器同样须采用对称加密方式进行解密,如采用非对称加密方式或签名加密算法方式亦是同样逻辑原理。通过安全加密服务器生成的日志签名密钥,与视频业务服务器生成的文件签名密钥进行安全验证,并判断是否匹配,并将匹配结果反馈至视频业务服务器。
[0077] 结合图4安全加密服务器判断签名密钥匹配结果为符合安全验证时,安全加密服务器会将验证结果反馈至视频业务服务器,并将请求设备的播放日志信息存储至日志数据库,以方便后续随时查询和其它应用;如安全加密服务器判断签名密钥匹配结果为失败,不符合安全验证时,安全加密服务器同样会将验证结果反馈至视频业务服务器,并同时锁定视频设备状态,如有设置匹配失败则重启设备功能,那么服务器同时会向视频设备发送重起视频设备指令,并通过平台的业务通知系统或其它信息方式通知到服务器安全管理工作人员处理异常。
[0078] 结合图4视频设备向安全加密服务器发送安全验证时,可配置采用定时任务的方式来执行,通常由于视频播放文件时长较长的情况下,采用定时任务方式来执行安全验证,应用于类似视频教学、在线视频点播等系统。
[0079] 如图5所示,一种视频设备数据安全传输系统结构示意图,示意图所示本发明视频设备数据安全传输的系统结构包含了视频设备、视频业务服务器、安全加密服务器三个部分组成。其中视频设备与视频业务服务器,可以看作为一个完整的视频业务系统,该系统通常所指大众所见的视频点播、信息发布、广告系统(可拓展至公交车和出租车广告发布系统)、公共宣传发布系统等,诸如此类视频系统架构至少包含视频终端(视频设备)和视频业务服务器(服务平台)。
[0080] 结合图5安全加密服务器在本系统中的主要功能是完成对设备的安全认证和对播放日志的安全认证,任何设备的接入、访问和数据回传都必须通过安全加密服务器的加密或签名认证才能获取到视频设备及视频业务服务器所需数据。安全加密服务器可以是常规的基于windows或linux系统进行部署的服务器,也可以是部署在云端的基于linux群集的安全加密云服务器,其系统的结构应用主要以实际业务需求来配置,能达到业务的基础运行环境和配置即可。
[0081] 结合图5安全加密服务器不仅可以是基于linux和windows操作系统的传统x86体系结构服务器,使用Intel或其它兼容x86指令集的处理器芯片,也可以选用基于FPGA可伸缩计算架构的安全加密服务平台,通过使用FPGA内部逻辑资源构建计算电路,优化大量计算引擎,提高计算并行度,实现对指定算法的加速计算,另外依托于FPGA架构灵活的优势,和对加密算法逻辑应用可编程的特点,还可以实现各种加密算法的择优随机逻辑处理,让整个速度优势和安全更优于x86架构。同样的,在基于安全加密云计算部署的方式上,采用FPGA架构方式的安全加密服务平台也可以采用FPGA芯片构成专用集群,形成FPGA加速构成的超级计算服务群集,来满足更多设备同时在线进行加密和解密计算服务。
[0082] 结合图5视频设备在应用上,也可选用与安全机密服务器所支持的安全算法加密集成电路芯片来处理视频设备安全认证。对于集成电路封装安全加密芯片的应用,就目前市场来说已经公开,在此就不再赘述,而应用视频设备的安全加密芯片集成电路封装及软件应用上,本发明优先采用算法认证的方案,即根据安全加密应用方式来获取安全加密芯片的密钥方案,将安全加密服务器指令中的算法植入到加密芯片内部,在加密芯片内部来执行这些程序,使得加密芯片内部的程序代码成为整个MCU程序的一部分,从而可以达到安全加密的目的。同样的,采用安全加密芯片的视频设备,可通过集成加密算法和密钥,让视频设备数据安全传输的安全性得到更进一步提升。
[0083] 结合图5所示视频设备数据安全传输系统结构示意图中不难看出,在采用数据安全加密方案为应用层面的同时,本发明还可以灵活的运用集成电路封装安全芯片和采用FPGA芯片构成专用集群方案,将通用的视频设备和安全加密服务器采用了硬件方式来解决,达到软硬兼备的安全加密目的,从而从技术方案上更进一步的加强了视频设备数据传输的安全性,尤其是运用在政府项目、跨企业合作项目上,运用上述软硬相结合的安全加密手段,更利于结合实际需求来达到视频数据安全传输的目的。
[0084] 结合图5视频设备数据安全传输系统的视频设备、视频业务服务器与安全加密服务器三者之间必须依靠网络连接,视频设备会自动判断与视频业务服务器之间的连接状态,如果一旦断开连接,视频设备将自动锁定,并执行设备重启指令,在重启后重新向安全加密服务器请求认证。
[0085] 如图6所示,一种视频设备数据安全传输系统分布式架构示意图,示意图所示本发明应用于大型视频终端设备系统时,可采用服务器群集管理模式,来应对高强度视频业务需求所带来的加密运算压力。采用分布式部署的视频设备数据安全传输系统可将视频业务服务器的单一功能进行独立部署,例如视频业务数据库可单独部署数据库服务器或直接部署在云端的云数据库中间组件,视频及文件的存储,可单独部署文件存储服务器,或直接部署在云端的切片存储桶,如目前常用的OSS对象存储产品,日志服务器也可以单独进行部署标准日志组件服务器,或选择适合的云产品进行独立部署,针对视频设备下载缓存的网络带宽压力,可选择配套的cdn加速服务等。
[0086] 结合图6安全加密服务器采用群集方式部署时,如需考虑到大型设备接入的场景应用,还需考虑是否配置负载均衡应用服务,由于大型设备接入的状态下,设备安全验证和播放日志安全验证请求的并发数据量需求巨大,所以配置安全加密服务器均衡负载设备体现的尤为重要。
[0087] 本发明内容在此结合实施例对本申请进行了描述,然而,在实施所要求保护本申请的过程中,本领域技术人员通过查看附图、公开内容、以及所附权利要求书,可理解并实现公开实施例的其他变化。在权利要求中,“包含”一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个方法或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
[0088] 尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。