避免仿冒的摄像机接入管理方法、系统、设备和介质转让专利
申请号 : CN202211700790.5
文献号 : CN115694843B
文献日 : 2023-04-07
发明人 : 周迪 , 徐爱华 , 王威杰 , 朱兵 , 谢小鸿 , 宋敏特 , 牛春咏
申请人 : 浙江宇视科技有限公司
摘要 :
本发明实施例公开了一种避免仿冒的摄像机接入管理方法、系统、设备和介质。该方法由连接摄像机的交换机执行,摄像机上配置物理不可克隆芯片,包括:获取接入摄像机的身份信息,并根据身份信息确定与摄像机对应的目标挑战值‑目标响应值对;目标挑战值‑目标响应值对基于摄像机上的物理不可克隆芯片进行预先确定;将目标挑战值‑目标响应值对中的目标挑战值发送至摄像机,接收摄像机返回的认证响应消息;根据认证响应值和目标挑战值‑目标响应值对中的目标响应值的比对结果确定摄像机的认证结果,以根据认证结果对摄像机的发送报文进行管理。本方案能够基于摄像机上的物理不可克隆芯片实现摄像机安全认证,从而提高摄像机接入管理的安全性。
权利要求 :
1.一种避免仿冒的摄像机接入管理方法,其特征在于,由连接摄像机的交换机执行,所述摄像机上配置物理不可克隆芯片,包括:获取接入摄像机的身份信息,并根据所述身份信息确定与所述摄像机对应的目标挑战值‑目标响应值对;其中,所述目标挑战值‑目标响应值对基于所述摄像机上的物理不可克隆芯片进行预先确定,所述目标挑战值‑目标响应值对中的目标响应值为服务器基于预设加密算法和随机值对与所述目标挑战值对应的原始响应值进行加密得到;
将所述目标挑战值‑目标响应值对中的目标挑战值发送至所述摄像机,接收所述摄像机返回的认证响应消息;其中,所述认证响应消息中包括所述摄像机根据所述物理不可克隆芯片和所述目标挑战值确定的认证响应值;
根据所述认证响应值和所述目标挑战值‑目标响应值对中的目标响应值的比对结果确定所述摄像机的认证结果,以根据所述认证结果对所述摄像机的发送报文进行管理。
2.根据权利要求1所述的方法,其特征在于,根据所述身份信息确定与所述摄像机对应的目标挑战值‑目标响应值对,包括:根据所述身份信息生成挑战值‑响应值对请求信息,并将所述挑战值‑响应值对请求信息发送至服务器;其中,所述挑战值‑响应值对请求信息中包括身份信息和挑战值‑响应值对的请求数量;
接收所述服务器根据所述身份信息返回的从候选挑战值‑候选响应值对集合中确定的所述请求数量个目标挑战值‑目标响应值对;其中,所述候选挑战值‑候选响应值对集合为预先基于所述摄像机上的物理不可克隆芯片和候选挑战值进行确定,并且保存在服务器本地;
分别建立所述目标挑战值‑目标响应值对与所述身份信息的映射关系,并将所述映射关系保存在本地。
3.根据权利要求2所述的方法,其特征在于,将所述随机值携带在所述目标挑战值‑目标响应值对中发送至所述交换机;
相应的,将所述目标挑战值‑目标响应值对中的目标挑战值发送至所述摄像机,接收所述摄像机返回的认证响应消息,包括:将所述目标挑战值‑目标响应值对中的目标挑战值和所述随机值发送至所述摄像机;
接收所述摄像机根据所述物理不可克隆芯片、所述目标挑战值、预设加密算法和所述随机值确定的认证响应值。
4.根据权利要求2所述的方法,其特征在于,所述请求数量为至少两个;
相应的,将所述目标挑战值‑目标响应值对中的目标挑战值发送至所述摄像机,接收所述摄像机返回的认证响应消息,包括:将第一目标挑战值‑目标响应值对中的第一目标挑战值发送至所述摄像机,接收所述摄像机返回的第一认证响应消息;
相应的,根据所述认证响应值和所述目标挑战值‑目标响应值对中的目标响应值的比对结果确定所述摄像机的认证结果,包括:确定所述第一认证响应消息中的第一认证响应值和所述第一目标挑战值‑目标响应值对中的第一目标响应值的第一比对结果;
若第一比对结果为比对一致,则将后续目标挑战值‑目标响应值对中的后续目标挑战值依次发送至所述摄像机,接收所述摄像机返回的后续认证响应消息,以根据所述后续认证响应消息确定所述摄像机的认证结果。
5.根据权利要求2所述的方法,其特征在于,在确定所述摄像机的认证结果为认证成功之后,所述方法还包括:从所述映射关系中选取附加校验映射关系;
根据所述附加校验映射关系中的附加校验目标挑战值生成认证通过确认消息,并将所述认证通过确认消息发送至所述摄像机,以使所述摄像机根据所述物理不可克隆芯片和所述附加校验目标挑战值确定对应的附加校验认证响应值,并将所述附加校验认证响应值附加在发送至所述交换机的后续报文中;
根据对所述摄像机发送的后续报文中的附加校验认证响应值和所述附加校验映射关系中的附加校验目标响应值的比对结果确定对所述后续报文的管理方式。
6.一种避免仿冒的摄像机接入管理方法,其特征在于,由摄像机执行,所述摄像机上配置物理不可克隆芯片,包括:将身份信息发送至接入的交换机,并接收所述交换机根据所述身份信息确定的目标挑战值;
根据所述物理不可克隆芯片确定与所述目标挑战值对应的认证响应值,并根据所述认证响应值生成认证响应消息发送至所述交换机;
接收所述交换机根据所述认证响应消息返回的认证结果,以根据所述认证结果进行报文发送;
在接收所述交换机根据所述认证响应消息返回的认证结果之后,所述方法还包括:若所述认证结果为认证成功,则根据预先确定的参考挑战值和身份信息生成服务器认证消息,并将所述服务器认证消息发送至所述交换机,由所述交换机转发至所述服务器;
接收所述服务器根据所述服务器认证消息返回的服务器认证响应消息,根据所述服务器认证响应消息中的参考认证响应值和摄像机本地确定的参考响应值的比对结果确定服务器认证结果;其中,所述参考认证响应值基于所述摄像机上的物理不可克隆芯片进行预先确定并保存在所述服务器中。
7.一种避免仿冒的摄像机接入管理系统,其特征在于,包括:
摄像机,与交换机连接,摄像机上配置物理不可克隆芯片,用于将身份信息发送至所述交换机,并接收所述交换机根据所述身份信息确定的目标挑战值;根据所述物理不可克隆芯片确定与所述目标挑战值对应的认证响应值,并根据所述认证响应值生成认证响应消息发送至所述交换机;接收所述交换机根据所述认证响应消息返回的认证结果,以根据所述认证结果进行报文发送;
交换机,分别与摄像机和服务器连接,用于获取接入摄像机的身份信息,并根据所述身份信息从服务器获取与所述摄像机对应的目标挑战值‑目标响应值对;将所述目标挑战值‑目标响应值对中的目标挑战值发送至所述摄像机,接收所述摄像机返回的认证响应消息;
根据所述认证响应值和所述目标挑战值‑目标响应值对中的目标响应值的比对结果确定所述摄像机的认证结果,以根据所述认证结果对所述摄像机的发送报文进行管理;
服务器,与交换机连接,用于根据所述交换机发送的身份信息确定与所述摄像机对应的目标挑战值‑目标响应值对,并将所述目标挑战值‑目标响应值对发送至所述交换机;
其中,所述目标挑战值‑目标响应值对基于所述摄像机上的物理不可克隆芯片进行预先确定;所述认证响应消息中包括所述摄像机根据所述物理不可克隆芯片和所述目标挑战值确定的认证响应值。
8.一种避免仿冒的摄像机接入管理电子设备,其特征在于,所述电子设备包括:至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1‑5或者6中任一项所述的避免仿冒的摄像机接入管理方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1‑5或者6中任一项所述的避免仿冒的摄像机接入管理方法。
说明书 :
避免仿冒的摄像机接入管理方法、系统、设备和介质
技术领域
[0001] 本发明涉及视频监控技术领域,尤其涉及一种避免仿冒的摄像机接入管理方法、系统、设备和介质。
背景技术
[0002] 在公共安全视频监控环境中,摄像机暴露在公共场合,很容易被不法分子替换为自己的设备,从而入侵视频网络,存在较大的安全隐患。现有技术中,通常采用账号密码方式对摄像机进行安全认证。但是账号和密码很容易泄露,因而安全性较差。因此,如何实现摄像机的安全认证,从而提高摄像机接入管理的安全性,是视频监控技术中亟待解决的问题之一。
发明内容
[0003] 本发明提供了一种避免仿冒的摄像机接入管理方法、系统、设备和介质,能够基于摄像机上的物理不可克隆芯片实现对摄像机的安全认证,有效提高了摄像机接入管理的安全性。
[0004] 根据本发明的一方面,提供了一种避免仿冒的摄像机接入管理方法,所述方法由连接摄像机的交换机执行,所述摄像机上配置物理不可克隆芯片,包括:
[0005] 获取接入摄像机的身份信息,并根据所述身份信息确定与所述摄像机对应的目标挑战值‑目标响应值对;其中,所述目标挑战值‑目标响应值对基于所述摄像机上的物理不可克隆芯片进行预先确定;
[0006] 将所述目标挑战值‑目标响应值对中的目标挑战值发送至所述摄像机,接收所述摄像机返回的认证响应消息;其中,所述认证响应消息中包括所述摄像机根据所述物理不可克隆芯片和所述目标挑战值确定的认证响应值;
[0007] 根据所述认证响应值和所述目标挑战值‑目标响应值对中的目标响应值的比对结果确定所述摄像机的认证结果,以根据所述认证结果对所述摄像机的发送报文进行管理。
[0008] 根据本发明的一方面,提供了一种避免仿冒的摄像机接入管理方法,所述方法由摄像机执行,所述摄像机上配置物理不可克隆芯片,包括:
[0009] 将身份信息发送至接入的交换机,并接收所述交换机根据所述身份信息确定的目标挑战值;
[0010] 根据所述物理不可克隆芯片确定与所述目标挑战值对应的认证响应值,并根据所述认证响应值生成认证响应消息发送至所述交换机;
[0011] 接收所述交换机根据所述认证响应消息返回的认证结果,以根据所述认证结果进行报文发送。
[0012] 根据本发明的另一方面,提供了一种避免仿冒的摄像机接入管理系统,包括:
[0013] 摄像机,与交换机连接,摄像机上配置物理不可克隆芯片,用于将身份信息发送至所述交换机,并接收所述交换机根据所述身份信息确定的目标挑战值;根据所述物理不可克隆芯片确定与所述目标挑战值对应的认证响应值,并根据所述认证响应值生成认证响应消息发送至所述交换机;接收所述交换机根据所述认证响应消息返回的认证结果,以根据所述认证结果进行报文发送;
[0014] 交换机,分别与摄像机和服务器连接,用于获取接入摄像机的身份信息,并根据所述身份信息从服务器获取与所述摄像机对应的目标挑战值‑目标响应值对;将所述目标挑战值‑目标响应值对中的目标挑战值发送至所述摄像机,接收所述摄像机返回的认证响应消息;根据所述认证响应值和所述目标挑战值‑目标响应值对中的目标响应值的比对结果确定所述摄像机的认证结果,以根据所述认证结果对所述摄像机的发送报文进行管理;
[0015] 服务器,与交换机连接,用于根据所述交换机发送的身份信息确定与所述摄像机对应的目标挑战值‑目标响应值对,并将所述目标挑战值‑目标响应值对发送至所述交换机;
[0016] 其中,所述目标挑战值‑目标响应值对基于所述摄像机上的物理不可克隆芯片进行预先确定;所述认证响应消息中包括所述摄像机根据所述物理不可克隆芯片和所述目标挑战值确定的认证响应值。
[0017] 根据本发明的另一方面,提供了一种避免仿冒的摄像机接入管理电子设备,所述电子设备包括:
[0018] 至少一个处理器;以及
[0019] 与所述至少一个处理器通信连接的存储器;其中,
[0020] 所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的避免仿冒的摄像机接入管理方法。
[0021] 根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的避免仿冒的摄像机接入管理方法。
[0022] 本发明实施例的技术方案,由连接摄像机的交换机执行,摄像机上配置物理不可克隆芯片,首先获取接入摄像机的身份信息,并根据身份信息确定与摄像机对应的目标挑战值‑目标响应值对;其中,目标挑战值‑目标响应值对基于摄像机上的物理不可克隆芯片进行预先确定;然后将目标挑战值‑目标响应值对中的目标挑战值发送至摄像机,接收摄像机返回的认证响应消息;其中,认证响应消息中包括摄像机根据物理不可克隆芯片和目标挑战值确定的认证响应值;进而根据认证响应值和目标挑战值‑目标响应值对中的目标响应值的比对结果确定摄像机的认证结果,以根据认证结果对摄像机的发送报文进行管理。本技术方案,能够基于摄像机上的物理不可克隆芯片实现对摄像机的安全认证,有效提高摄像机接入管理的安全性。
[0023] 应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0024] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0025] 图1是根据本发明实施例一提供的一种避免仿冒的摄像机接入管理方法的流程图;
[0026] 图2是根据本发明实施例一提供的一种避免仿冒的摄像机接入管理系统的示意图;
[0027] 图3是根据本发明实施例一提供的另一种避免仿冒的摄像机接入管理系统的示意图;
[0028] 图4是根据本发明实施例二提供的一种避免仿冒的摄像机接入管理方法的流程图;
[0029] 图5是根据本发明实施例三提供的一种避免仿冒的摄像机接入管理方法的示意图;
[0030] 图6是根据本发明实施例四提供的一种避免仿冒的摄像机接入管理系统的结构示意图;
[0031] 图7是实现本发明实施例的一种避免仿冒的摄像机接入管理方法的电子设备的结构示意图。
具体实施方式
[0032] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0033] 需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”“目标”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0034] 实施例一
[0035] 图1为本发明实施例一提供的一种避免仿冒的摄像机接入管理方法的流程图,本实施例可适用于对摄像机进行安全接入管理的情况,该方法可以由连接摄像机的交换机执行,所述摄像机上配置物理不可克隆芯片。其中,交换机可配置于避免仿冒的摄像机接入管理系统中,该避免仿冒的摄像机接入管理系统可以采用硬件和/或软件的形式实现,该避免仿冒的摄像机接入管理系统可配置于具有数据处理能力的电子设备中。如图1所示,该方法包括:
[0036] S110,获取接入摄像机的身份信息,并根据身份信息确定与摄像机对应的目标挑战值‑目标响应值对;其中,目标挑战值‑目标响应值对基于摄像机上的物理不可克隆芯片进行预先确定。
[0037] 其中,接入摄像机可以是指通过交换机接入网络的摄像机,参见图2。图2为本发明实施例一提供的一种避免仿冒的摄像机接入管理系统的示意图。其中,一共包括三个接入摄像机,分别为摄像机A、摄像机B和摄像机C。如图2所示,三个接入摄像机通过交换机的不同接口接入网络,并可通过与网络连接的服务器实现数据交互。其中,交换机会对每个接口进行限制,缺省只允许认证消息进入,而不允许其他数据进出。只有摄像机认证通过之后,交换机才会开放摄像机与服务器进行数据交互。需要说明的是,摄像机上配置物理不可克隆芯片,可通过焊接进行固定。基于物理不可克隆芯片的加工工艺特性,任意两个物理不可克隆芯片均存在细小的物理差异,因此每个物理不可克隆芯片对接收到的相同挑战值会回应不同响应值。
[0038] 其中,身份信息可以用于对接入摄像机进行唯一表征。示例性的,身份信息可以包括标识信息(如摄像机ID)。目标挑战值‑目标响应值对可以是指由目标挑战值和目标响应值构成的组对。其中,目标挑战值可以是指对接入摄像机进行安全认证时使用的挑战值。目标响应值可以是指与目标挑战值对应的响应值。其中,目标挑战值‑目标响应值对是基于摄像机上的物理不可克隆芯片进行预先确定的。具体的,针对每个摄像机上的物理不可克隆芯片,可以预先发送预设个数(如10000个)的挑战值,并对应获得预设个数(如10000个)的响应值。将每个挑战值和与之对应的响应值作为一组候选挑战值‑候选响应值对,可以得到包括预设个数(如10000个)的候选挑战值‑候选响应值对的集合,即候选挑战值‑候选响应值对集合,在候选挑战值‑候选响应值对集合中包含目标挑战值‑目标响应值对。确定候选挑战值‑候选响应值对集合之后,可以将候选挑战值‑候选响应值对集合与对应摄像机进行绑定,并将绑定关系保存在交换机或者服务器中。
[0039] 示例性的,假设摄像机A对于接收到的挑战值a0会回复响应值A0,对于接收到的挑战值a1会回复响应值A1,对于接收到的挑战值a2会回复响应值A2,对于接收到的挑战值a3会回复响应值A3。此时,a0‑A0、a1‑A1、a2‑A2和a3‑A3可以分别构成一组候选挑战值‑候选响应值对,这四组候选挑战值‑候选响应值对可以组成一个候选挑战值‑候选响应值对集合。然后可以将候选挑战值‑候选响应值对集合与摄像机A进行绑定,并将该绑定关系保存于交换机或者服务器。
[0040] 本实施例中,当摄像机上电后,会向交换机发送关于网关的ARP解析请求消息。其中,ARP(Address Resolution Protocol,地址解析协议)是指根据IP地址获取物理地址的一个TCP/IP协议。ARP解析请求消息中包括了摄像机的地址信息(如MAC地址)。当交换机接收到摄像机发送的ARP解析请求消息之后,可以获取摄像机的地址信息和接收ARP解析请求消息的设备端口号,然后通过设备端口号向摄像机发送身份信息请求消息,用于获取摄像机的身份信息。当摄像机接收到交换机发送的身份信息请求消息之后,会立即向交换机回复身份信息响应消息。其中,身份信息响应消息中包括身份信息(如摄像机ID)和认证次数。当交换机接收到摄像机发送的身份信息响应消息后,可以获取摄像机的身份信息,并根据该身份信息确定与摄像机对应的目标挑战值‑目标响应值对。其中,目标挑战值‑目标响应值对的数量可以根据摄像机的认证次数进行确定。确定目标挑战值‑目标响应值对之后,可以分别建立目标挑战值‑目标响应值对与身份信息的映射关系,并将映射关系保存在交换机本地。
[0041] 示例性的,假设候选挑战值‑候选响应值对集合与摄像机的绑定关系保存在交换机中,且摄像机认证次数是3。当交换机获取到摄像机的身份信息之后,可以首先根据身份信息确定与摄像机绑定的候选挑战值‑候选响应值对集合,再从候选挑战值‑候选响应值对集合中随机选择3组候选挑战值‑候选响应值对作为目标挑战值‑目标响应值对。确定目标挑战值‑目标响应值对之后,可以分别建立目标挑战值‑目标响应值对与身份信息的映射关系,例如摄像机ID:目标挑战值‑目标响应值‑设备端口号,并将映射关系保存在交换机本地。
[0042] S120,将目标挑战值‑目标响应值对中的目标挑战值发送至摄像机,接收摄像机返回的认证响应消息;其中,认证响应消息中包括摄像机根据物理不可克隆芯片和目标挑战值确定的认证响应值。
[0043] 其中,认证响应消息可以是指摄像机对交换机发送的目标挑战值回复的响应消息,可以作为摄像机认证的依据。具体的,认证响应消息中包括摄像机根据物理不可克隆芯片和目标挑战值确定的认证响应值。
[0044] 本实施例中,确定目标挑战值‑目标响应值对之后,可以通过交换机将目标挑战值‑目标响应值对中的目标挑战值发送至摄像机。摄像机接收到交换机发送的目标挑战值之后,可以基于摄像机中的物理不可克隆芯片对目标挑战值进行响应,确定与目标挑战值对应的认证响应消息,该认证响应消息中包括了认证响应值,并将认证响应消息发送给交换机。由此,交换机可以接收到摄像机返回的认证响应消息。
[0045] S130,根据认证响应值和目标挑战值‑目标响应值对中的目标响应值的比对结果确定摄像机的认证结果,以根据认证结果对摄像机的发送报文进行管理。
[0046] 本实施例中,当交换机接收摄像机返回的认证响应消息之后,可以将认证响应消息中的认证响应值和保存在交换机本地的映射关系中与目标挑战值对应的目标响应值进行比对,并根据比对结果确定出摄像机的认证结果,以便根据认证结果对摄像机的发送报文进行管理。其中,比对结果包括比对一致或比对不一致,认证结果包括认证成功或认证失败。具体的,若认证响应值和目标挑战值‑目标响应值对中的目标响应值比对一致,则可以确定摄像机认证成功,此时交换机可以开放与摄像机连接的设备端口,允许摄像机通过该设备端口发送任意报文,以实现摄像机与服务器之间的网络数据交互;若认证响应值和目标挑战值‑目标响应值对中的目标响应值比对不一致,则可以确定摄像机认证失败,此时交换机不开放与摄像机连接的设备端口,不允许除认证响应消息之外的其他报文通过该设备端口,以禁止摄像机与服务器之间进行网络数据交互。
[0047] 本发明实施例的技术方案,由连接摄像机的交换机执行,摄像机上配置物理不可克隆芯片,首先获取接入摄像机的身份信息,并根据身份信息确定与摄像机对应的目标挑战值‑目标响应值对;其中,目标挑战值‑目标响应值对基于摄像机上的物理不可克隆芯片进行预先确定;然后将目标挑战值‑目标响应值对中的目标挑战值发送至摄像机,接收摄像机返回的认证响应消息;其中,认证响应消息中包括摄像机根据物理不可克隆芯片和目标挑战值确定的认证响应值;进而根据认证响应值和目标挑战值‑目标响应值对中的目标响应值的比对结果确定摄像机的认证结果,以根据认证结果对摄像机的发送报文进行管理。本技术方案,能够基于摄像机上的物理不可克隆芯片实现对摄像机的安全认证,有效提高摄像机接入管理的安全性。
[0048] 在本实施例中,可选的,根据身份信息确定与摄像机对应的目标挑战值‑目标响应值对,包括:根据身份信息生成挑战值‑响应值对请求信息,并将挑战值‑响应值对请求信息发送至服务器;其中,挑战值‑响应值对请求信息中包括身份信息和挑战值‑响应值对的请求数量;接收服务器根据身份信息返回的从候选挑战值‑候选响应值对集合中确定的请求数量个目标挑战值‑目标响应值对;其中,候选挑战值‑候选响应值对集合为预先基于摄像机上的物理不可克隆芯片和候选挑战值进行确定,并且保存在服务器本地;分别建立目标挑战值‑目标响应值对与身份信息的映射关系,并将映射关系保存在本地。
[0049] 其中,挑战值‑响应值对请求信息可以是指交换机请求从服务器中获取挑战值‑响应值对的指令信息。其中,挑战值‑响应值对请求信息中包括身份信息和挑战值‑响应值对的请求数量。其中,请求数量可以根据摄像机的认证次数进行确定。
[0050] 本实施例中,适用于候选挑战值‑候选响应值对集合与摄像机的绑定关系保存在服务器中的情况。具体的,当摄像机上电后,会向交换机发送关于网关的ARP解析请求消息。其中,ARP解析请求消息中包括了摄像机的地址信息(如MAC地址)。当交换机接收到摄像机发送的ARP解析请求消息之后,可以获取摄像机的地址信息和接收ARP解析请求消息的设备端口号,然后通过设备端口号向摄像机发送身份信息请求消息,用于获取摄像机的身份信息。当摄像机接收到交换机发送的身份信息请求消息之后,会立即向交换机回复身份信息响应消息。其中,身份信息响应消息中包括身份信息(如摄像机ID)和请求数量。当交换机接收到摄像机发送的身份信息响应消息之后,可以获取摄像机的身份信息,并根据身份信息生成挑战值‑响应值对请求信息,然后将挑战值‑响应值对请求信息发送至服务器。其中,挑战值‑响应值对请求信息中包括身份信息和挑战值‑响应值对的请求数量,该请求数量即为目标挑战值‑目标响应值对的数量,具体可以根据摄像机认证次数确定。当服务器接收到交换机发送的挑战值‑响应值对请求信息之后,可以从保存在服务器本地的与摄像机绑定的候选挑战值‑候选响应值对集合中,随机选择请求数量个候选挑战值‑候选响应值对作为目标挑战值‑目标响应值对,并将目标挑战值‑目标响应值对发送给交换机。交换机在接收到服务器发送的目标挑战值‑目标响应值对之后,可以分别建立目标挑战值‑目标响应值对与身份信息的映射关系,例如摄像机ID:目标挑战值‑目标响应值‑设备端口号,并将映射关系保存在交换机本地。
[0051] 本方案通过这样的设置,可以通过交换机根据摄像机的身份信息,从保存在服务器本地的候选挑战值‑候选响应值对集合中确定与摄像机对应的目标挑战值‑目标响应值对。
[0052] 在本实施例中,可选的,目标挑战值‑目标响应值对中的目标响应值为服务器基于预设加密算法和随机值对与目标挑战值对应的原始响应值进行加密得到,并将随机值携带在目标挑战值‑目标响应值对中发送至交换机;相应的,将目标挑战值‑目标响应值对中的目标挑战值发送至摄像机,接收摄像机返回的认证响应消息,包括:将目标挑战值‑目标响应值对中的目标挑战值和随机值发送至摄像机;接收摄像机根据物理不可克隆芯片、目标挑战值、预设加密算法和随机值确定的认证响应值。
[0053] 其中,预设加密算法可以是指预先设定的不可逆加密算法。示例性的,预设加密算法可以是哈希算法,具体可以包括MD5(Message‑Digest Algorithm,信息摘要算法)、SHA(Secure Hash Algorithm,安全散列算法)和HMAC(Hash‑based Message Authentication Code,哈希消息认证码)等。随机值可以是指预设加密算法中使用到的参数之一。
[0054] 本实施例中,为了避免在信息传递过程中目标挑战值‑目标响应值对泄露,服务器在确定目标挑战值‑目标响应值对后,会为每个接入摄像机随机生成一个随机值,并将摄像机ID与随机值绑定,保存于服务器本地。然后由服务器基于预设加密算法和随机值对与目标挑战值对应的原始响应值进行加密得到目标响应值,并将随机值携带在目标挑战值‑目标响应值对中发送至交换机。其中,目标挑战值‑目标响应值对中的目标挑战值是保存在服务器本地的原始挑战值,而目标响应值是对与目标挑战值对应的原始响应值加密之后得到的响应值。交换机在接收到服务器发送的携带随机值的目标挑战值‑目标响应值对之后,将其中的随机值和目标挑战值‑目标响应值对与摄像机ID和设备端口号进行绑定,形成新的映射关系,例如摄像机ID:随机值‑目标挑战值‑目标响应值‑设备端口号,并将映射关系保存在交换机本地,再由交换机将目标挑战值‑目标响应值对中的目标挑战值和随机值发送至摄像机。当摄像机接收到交换机发送的目标挑战值‑目标响应值对中的目标挑战值和随机值之后,可以先根据物理不可克隆芯片和目标挑战值得到对应的响应值,然后根据预设加密算法和随机值对该响应值进行加密,从而确定出认证响应值,并将认证响应值发送给交换机。由此,交换机可以接收到由摄像机根据物理不可克隆芯片、目标挑战值、预设加密算法和随机值确定的认证响应值。
[0055] 本方案通过这样的设置,基于预设加密算法和随机值通过对服务器中与目标挑战值对应的原始响应值进行加密得到目标挑战值‑目标响应值对,进一步提高了目标挑战值‑目标响应值对的安全性,有效避免了由于目标挑战值‑目标响应值对泄露导致的摄像机认证失败。
[0056] 在本实施例中,可选的,根据身份信息确定与摄像机对应的目标挑战值‑目标响应值对,包括:确定是否存在与身份信息匹配的映射关系;其中,映射关系中包括身份信息、随机值、目标挑战值‑目标响应值对和设备端口号;若存在,则根据映射关系确定与摄像机对应的目标挑战值‑目标响应值对,以根据目标挑战值‑目标响应值对对摄像机进行离线认证;若不存在,则根据身份信息生成挑战值‑响应值对请求信息,并将挑战值‑响应值对请求信息发送至服务器,以通过服务器根据挑战值‑响应值对请求信息确定与摄像机对应的目标挑战值‑目标响应值对;其中,目标挑战值‑目标响应值对中的目标响应值为服务器基于预设加密算法和随机值对与目标挑战值对应的原始响应值进行加密得到,且目标挑战值‑目标响应值对中携带随机值。
[0057] 本实施例中,当交换机需要对接入摄像机进行安全认证时,可以根据摄像机的身份信息在保存于交换机本地的映射关系中进行搜索,判断是否存在对应的随机值、目标挑战值‑目标响应值对和设备端口号,然后根据判断结果确定目标挑战值‑目标响应值对,以根据目标挑战值‑目标响应值对对摄像机进行安全认证。具体的,交换机接收到摄像机回复的身份信息响应消息之后,首先获取摄像机身份信息(如摄像机ID),并根据摄像机ID在交换机本地的映射关系中进行搜索。若在映射关系中搜索到摄像机ID,此时可以不向服务器发送挑战值‑响应值对请求信息,而是直接根据摄像机ID的映射关系实现对摄像机的离线认证,从而降低服务器认证的压力。若在映射关系中未搜索到摄像机ID,则需要向服务器发送挑战值‑响应值对请求信息,以获得携带随机值的目标挑战值‑目标响应值对,并根据随机值、目标挑战值‑目标响应值对、摄像机ID和设备端口号生成新的映射关系,再对摄像机进行安全认证。
[0058] 本方案通过这样的设置,当交换机中存在与身份信息匹配的映射关系时,可直接根据映射关系确定目标挑战值‑目标响应值对,无需向服务器发送挑战值‑响应值对请求信息,从而减轻了服务器的认证压力,实现了对摄像机的快速离线认证。
[0059] 在本实施例中,可选的,请求数量为至少两个;相应的,将目标挑战值‑目标响应值对中的目标挑战值发送至摄像机,接收摄像机返回的认证响应消息,包括:将第一目标挑战值‑目标响应值对中的第一目标挑战值发送至摄像机,接收摄像机返回的第一认证响应消息;相应的,根据认证响应值和目标挑战值‑目标响应值对中的目标响应值的比对结果确定摄像机的认证结果,包括:确定第一认证响应值和第一目标挑战值‑目标响应值对中的第一目标响应值的第一比对结果;若第一比对结果为比对一致,则将后续目标挑战值‑目标响应值对中的后续目标挑战值依次发送至摄像机,接收摄像机返回的后续认证响应消息,以根据后续认证响应消息确定摄像机的认证结果。
[0060] 其中,第一目标挑战值‑目标响应值对可以是指摄像机第一次认证时使用的目标挑战值‑目标响应值对。第一目标挑战值和第一目标响应值可以分别是指第一目标挑战值‑目标响应值对中的目标挑战值和目标响应值。第一认证响应消息可以是指摄像机返回的与第一目标挑战值对应的认证响应消息。第一比对结果可以是指根据第一认证响应值和第一目标响应值确定的比对结果。后续目标挑战值‑目标响应值对可以是指摄像机第二次及以后认证时使用的目标挑战值‑目标响应值对。后续目标挑战值可以是指后续目标挑战值‑目标响应值对中的目标挑战值。后续认证响应消息可以是指摄像机返回的与后续目标挑战值对应的认证响应消息。
[0061] 本实施例中,可能存在两个摄像机对同一个目标挑战值给出相同认证响应消息的情况,因此为了安全起见,可以选择对摄像机进行多次认证,即请求数量为至少两个。具体的,首先通过交换机确定第一目标挑战值‑目标响应值对,并将第一目标挑战值‑目标响应值对中的第一目标挑战值发送至摄像机,然后接收摄像机返回的第一认证响应消息。进而确定第一认证响应值和第一目标挑战值‑目标响应值对中的第一目标响应值的第一比对结果,根据第一比对结果确定摄像机的认证结果。若第一比对结果为比对不一致,则可直接确定摄像机认证失败,此时无需对摄像机进行后续认证;若第一比对结果为比对一致,则将后续目标挑战值‑目标响应值对中的后续目标挑战值依次发送至摄像机,接收摄像机返回的后续认证响应消息,并将后续认证响应值和后续目标挑战值‑目标响应值对中的后续目标响应值进行比对确定后续比对结果,再根据后续比对结果确定摄像机的认证结果。若后续比对结果均为比对一致,则可以确定摄像机认证成功;若后续比对结果中存在比对不一致,则可以确定摄像机认证失败。
[0062] 本方案通过这样的设置,可以通过对摄像机的多次认证提高摄像机认证的安全性,有助于进一步提高摄像机接入管理的安全性。
[0063] 在本实施例中,可选的,在将映射关系保存在本地之后,所述方法还包括:确定目标随机值的生成时长,并确定生成时长是否大于预设生命阈值;若大于,则删除保存在本地的与目标随机值对应的映射关系,并且确定与目标身份信息对应的映射关系数量是否小于预设数量阈值;若小于,则根据目标身份信息生成挑战值‑响应值对添加请求信息,并将挑战值‑响应值对添加请求信息发送至服务器。
[0064] 其中,目标随机值可以是指服务器为接入摄像机生成的随机值。生成时长可以用于表征目标随机值的生命周期(即有效期)。预设生命阈值可以是指预先设定的生成时长参考值,可以根据实际需求进行设定,对此不做限定。示例性的,预设生命阈值可以设置为48小时。目标身份信息可以是指接入摄像机的身份信息。预设数量阈值可以是指预先设定的映射关系数量参考值,可以根据实际需求进行设定,对此不做限定。挑战值‑响应值对添加请求信息可以是指请求添加挑战值‑响应值对的指令信息。
[0065] 本实施例中,为保证安全性,服务器在为每个接入摄像机生成随机值的同时,可以为随机值设置预设生命阈值,且当随机值的生成时长大于预设生命阈值时更换随机值。若目标随机值的生成时长小于或等于预设生命阈值,则表明目标随机值仍然有效;若目标随机值的生成时长大于预设生命阈值,则表明目标随机值失效,此时需要删除保存在交换地本地的与目标随机值对应的映射关系,避免造成资源浪费,并且进一步确定与目标身份信息对应的映射关系数量是否小于预设数量阈值。若映射关系数量小于预设数量阈值,则可以根据目标身份信息生成挑战值‑响应值对添加请求信息,并将挑战值‑响应值对添加请求信息发送至服务器,以通过服务器确定新的目标挑战值‑目标响应值对,然后通过交换机根据新的目标挑战值‑目标响应值对生成新的与目标随机值对应的映射关系。
[0066] 本方案通过这样的设置,确定生成时长大于预设生命阈值时,删除保存在本地的与目标随机值对应的映射关系,在保证安全的同时有效避免了资源浪费;确定与目标身份信息对应的映射关系数量小于预设数量阈值时,根据目标身份信息生成挑战值‑响应值对添加请求信息,以请求至服务器添加新的目标挑战值‑目标响应值对,避免因映射关系太少而影响摄像机认证。
[0067] 需要说明的是,若多个摄像机通过小二层交换机连接到交换机的同一个设备端口(如图3所示),此时可能出现一部分摄像机认证成功,但是剩余摄像机认证失败的情况,因此不能仅以交换机的物理端口为单位进行报文控制,而是需要识别接收到的报文信息,区分同一设备端口下的不同摄像机,并对各个摄像机发送的报文分别处理,避免造成报文管理混乱。一种可实施方式是,交换机在生成“摄像机ID:随机值‑目标挑战值‑目标响应值‑设备端口号”的映射关系时,增加摄像机的MAC地址。具体的,当交换机接收到摄像机回复的身份信息响应消息时,同时获得摄像机ID和MAC地址,生成“摄像机ID:随机值‑目标挑战值‑目标响应值‑设备端口号‑MAC地址”映射关系。当摄像机认证成功时,允许与摄像机对应的MAC地址的所有报文进入设备端口;当摄像机认证失败时,不允许与摄像机对应的MAC地址的报文(除认证响应消息之外)进入设备端口。
[0068] 但是摄像机的MAC地址容易被更改,因此仍然存在一定的安全隐患。为进一步提高摄像机认证的安全性,可以进行进一步优化。本实施例中,可选的,在确定摄像机的认证结果为认证成功之后,所述方法还包括:从映射关系中选取附加校验映射关系;根据附加校验映射关系中的附加校验目标挑战值生成认证通过确认消息,并将认证通过确认消息发送至摄像机,以使摄像机根据物理不可克隆芯片和附加校验目标挑战值确定对应的附加校验认证响应值,并将附加校验认证响应值附加在发送至交换机的后续报文中;根据对摄像机发送的后续报文中的附加校验认证响应值和附加校验映射关系中的附加校验目标响应值的比对结果确定对后续报文的管理方式。
[0069] 其中,附加校验映射关系可以是指与摄像机对应的映射关系中的任意一组映射关系,可以用于对摄像机进行附加校验。附加校验目标挑战值可以是指附加校验映射关系中的目标挑战值。认证通过确认消息可以用于表征摄像机认证成功。附加校验认证响应值可以是指摄像机根据物理不可克隆芯片和附加校验目标挑战值确定的认证响应值。
[0070] 本实施例中,首先通过交换机从摄像机对应的映射关系中随机选取一组附加校验映射关系,例如摄像机ID:随机值‑目标挑战值‑目标响应值‑设备端口号‑MAC地址,根据附加校验映射关系中的附加校验目标挑战值和随机值生成认证通过确认消息,并将认证通过确认消息发送至摄像机。摄像机在接收到交换机发送的认证通过确认消息后,可以基于物理不可克隆芯片确定与附加校验目标挑战值对应的响应值,并根据预设加密算法和随机值对该响应值进行加密,从而确定与附加校验目标挑战值对应的附加校验认证响应值,再将附加校验认证响应值附加在发送至交换机的后续报文中。交换机在接收到摄像机发送的后续报文之后,可以将后续报文中的附加校验认证响应值和附加校验映射关系中的附加校验目标响应值进行比对,并根据比对结果来确定对后续报文的管理方式。若附加校验认证响应值和附加校验映射关系中的附加校验目标响应值比对一致,则允许后续报文通过;否则,不允许除认证响应消息之外的其他报文通过。
[0071] 需要说明的是,为了进一步提高摄像机认证的安全性,交换机可以从摄像机对应的映射关系中不定期地重新随机选取一组附加校验映射关系,以此更换附加校验映射关系,并根据更换后的附加校验映射关系中的附加校验目标挑战值重新生成认证通过确认消息,并将新生成的认证通过确认消息发送至摄像机。
[0072] 本方案通过这样的设置,通过对摄像机发送的后续报文中的附加校验认证响应值和附加校验映射关系中的附加校验目标响应值的比对结果确定对后续报文的管理方式,可以进一步提高摄像机认证的安全性,从而有助于提高摄像机接入管理的安全性。
[0073] 实施例二
[0074] 图4为本发明实施例二提供的一种避免仿冒的摄像机接入管理方法的流程图,本实施例可适用于对摄像机进行安全接入管理的情况,该方法可以由摄像机执行,所述摄像机上配置物理不可克隆芯片。其中,摄像机可配置于避免仿冒的摄像机接入管理系统中,该避免仿冒的摄像机接入管理系统可以采用硬件和/或软件的形式实现,该避免仿冒的摄像机接入管理系统可配置于具有数据处理能力的电子设备中。如图4所示,该方法包括:
[0075] S210,将身份信息发送至接入的交换机,并接收交换机根据身份信息确定的目标挑战值。
[0076] 本实施例中,当摄像机上电后,会向交换机发送关于网关的ARP解析请求消息。其中,ARP解析请求消息中包括了摄像机的地址信息(如MAC地址)。当交换机接收到摄像机发送的ARP解析请求消息之后,可以获取摄像机的地址信息和接收ARP解析请求消息的设备端口号,然后通过设备端口号向摄像机发送身份信息请求消息,用于获取摄像机的身份信息。当摄像机接收到交换机发送的身份信息请求消息之后,会立即向交换机回复身份信息响应消息。其中,身份信息响应消息包括身份信息(如摄像机ID)和认证次数。当交换机接收到摄像机发送的身份信息响应消息之后,可以获取摄像机的身份信息,并根据该身份信息确定与摄像机对应的目标挑战值‑目标响应值对,再将目标挑战值‑目标响应值对中的目标挑战值发送至摄像机。其中,目标挑战值‑目标响应值对的数量可以根据摄像机的认证次数进行确定。其中,根据身份信息确定与摄像机对应的目标挑战值‑目标响应值对的实现过程,可以参照上述实施例一,此处不再赘述。
[0077] S220,根据物理不可克隆芯片确定与目标挑战值对应的认证响应值,并根据认证响应值生成认证响应消息发送至交换机。
[0078] 本实施例中,摄像机在接收到交换机发送的目标挑战值后,可以根据物理不可克隆芯片确定与目标挑战值对应的认证响应值,并根据认证响应值生成认证响应消息发送至交换机,以使交换机根据认证响应消息中的认证响应值对摄像机进行认证。
[0079] S230,接收交换机根据认证响应消息返回的认证结果,以根据认证结果进行报文发送。
[0080] 本实施例中,当交换机接收摄像机返回的认证响应消息之后,可以将认证响应消息中的认证响应值和保存在交换机本地的映射关系中与目标挑战值对应的目标响应值进行比对,根据比对结果确定摄像机的认证结果,并将认证结果发送至摄像机,以使摄像机根据认证结果进行报文发送。其中,比对结果包括比对一致或比对不一致,认证结果包括认证成功或认证失败。具体的,若认证响应值和目标挑战值‑目标响应值对中的目标响应值比对一致,则可以确定摄像机认证成功,此时允许摄像机通过设备端口发送任意报文,以实现摄像机与服务器之间的网络数据交互;若认证响应值和目标挑战值‑目标响应值对中的目标响应值比对不一致,则可以确定摄像机认证失败,此时不允许除了认证响应消息之外的其他报文通过设备端口,以禁止摄像机与服务器之间进行网络数据交互。
[0081] 本发明实施例的技术方案,由摄像机执行,摄像机上配置物理不可克隆芯片,首先将身份信息发送至接入的交换机,并接收交换机根据身份信息确定的目标挑战值;然后根据物理不可克隆芯片确定与目标挑战值对应的认证响应值,并根据认证响应值生成认证响应消息发送至交换机;进而接收交换机根据认证响应消息返回的认证结果,以根据认证结果进行报文发送。本技术方案,能够基于摄像机上的物理不可克隆芯片实现对摄像机的安全认证,有效提高摄像机接入管理的安全性。
[0082] 在本实施例中,可选的,在接收交换机根据认证响应消息返回的认证结果之后,所述方法还包括:若认证结果为认证成功,则根据预先确定的参考挑战值和身份信息生成服务器认证消息,并将服务器认证消息发送至交换机,由交换机转发至服务器;接收服务器根据服务器认证消息返回的服务器认证响应消息,根据服务器认证响应消息中的参考认证响应值和摄像机本地确定的参考响应值的比对结果确定服务器认证结果;其中,参考认证响应值基于摄像机上的物理不可克隆芯片进行预先确定并保存在服务器中。
[0083] 其中,参考挑战值可以是指服务器认证时使用的挑战值。服务器认证消息可以是指请求对服务器进行安全认证的指令信息。服务器认证响应消息可以是指服务器针对服务器认证消息做出的响应消息。参考认证响应值可以是指服务器认证响应消息中的参考认证响应值。其中,参考认证响应值基于摄像机上的物理不可克隆芯片进行预先确定并保存在服务器中。参考响应值可以是指与参考挑战值对应的响应值。服务器认证结果可以是指服务器的安全认证结果,具体可以包括服务器认证成功或服务器认证失败。
[0084] 本实施例中,为了确保服务器的安全性,避免服务器被侵入和篡改,在摄像机认证成功后,可以进一步对服务器进行安全认证。其中,若请求数量为1,即仅对摄像机进行一次认证,则在摄像机认证成功后对服务器进行认证;若请求数量为至少两个,即对摄像机进行多次认证,则在摄像机第一次认证成功之后且向交换机发送认证响应消息之前对服务器进行认证。具体的,首先通过摄像机根据预先确定的参考挑战值和身份信息生成服务器认证消息,并将服务器认证消息发送至交换机,由交换机转发至服务器。当服务器接收到交换机转发的服务器认证消息之后,可以根据服务器认证消息中的身份信息和参考挑战值查找得到对应的参考认证响应值,并根据参考认证响应值生成服务器认证响应消息,再将服务器认证响应消息通过交换机转发给摄像机。其中,参考认证响应值基于摄像机上的物理不可克隆芯片进行预先确定并保存在服务器中。当摄像机接收到服务器认证响应消息后,可以将服务器认证响应消息中的参考认证响应值和摄像机本地确定的参考响应值进行比对,并根据比对结果确定服务器认证结果。若比对一致,则表明服务器认证成功;若比对不一致,则表明服务器认证失败。若请求数量为至少两个,在服务器认证成功之后,可以继续对摄像机进行后续认证。
[0085] 需要说明的是,在交换机转发消息的过程中可能存在信息泄露,因而存在安全隐患。为避免上述情况发生,在摄像机生成服务器认证消息时,可以通过预设加密算法根据随机值对参考挑战值进行加密,并将身份信息和加密后的参考挑战值封装进服务器认证消息,再将服务器认证消息发送至交换机。服务器在接收到交换机转发的服务器认证消息之后,首先根据服务器认证消息中的身份信息,从服务器本地找到与身份信息对应的参考挑战值和随机值,通过预设加密算法根据随机值对参考挑战值进行加密,并将服务器本地加密后的参考挑战值与服务器认证消息中加密后的参考挑战值进行比对。若比对不一致,表明服务器认证失败,此时可直接将服务器认证消息丢弃;若比对一致,则通过预设加密算法根据随机值将服务器本地与身份信息对应的参考响应值进行加密,得到参考认证响应值,并根据参考认证响应值生成服务器认证响应消息,再将服务器认证响应消息发送给交换机,由交换机将服务器认证响应消息转发给摄像机。
[0086] 其中,交换机在接收到服务器发送的服务器认证响应消息后,可以生成新的映射关系,例如摄像机ID:随机值‑目标挑战值‑目标响应值‑设备端口号‑参考认证响应值,并将映射关系保存于交换机本地。在后续对摄像机进行认证的过程中,如果摄像机掉线后重新上线,当交换机接收到来自摄像机的服务器认证消息时,若与摄像机对应的映射关系依旧存在,即随机值未失效,则可以直接根据映射关系确定参考认证响应值,而无需向服务器转发服务器认证消息,即可实现对服务器的认证。摄像机在接收到交换机转发的服务器认证响应消息之后,首先通过预设加密算法根据服务器认证响应消息中的随机值,对摄像机本地与参考挑战值对应的参考响应值进行加密,然后将摄像机本地加密后的参考响应值与服务器认证响应消息中的参考认证响应值进行比对,根据比对结果确定服务器认证结果。若比对一致,则表明服务器认证成功;若比对不一致,则表明服务器认证失败。
[0087] 本方案通过这样的设置,在摄像机认证成功后,进一步对服务器进行安全认证,能够有效确保服务器的安全性,避免服务器被侵入和篡改,有助于进一步提高摄像机接入管理的安全性。
[0088] 实施例三
[0089] 图5为本发明实施例三提供的一种避免仿冒的摄像机接入管理方法的示意图,本实施例以上述实施例为基础进行优化。如图5所示,本实施例的方法具体包括如下步骤:
[0090] A1、摄像机上电,向交换机发送ARP解析请求消息。其中,ARP解析请求消息中包括了摄像机的地址信息(如MAC地址)。
[0091] A2、交换机接收摄像机发送的ARP解析请求消息,获取摄像机的地址信息和接收ARP解析请求消息的设备端口号,通过设备端口号向摄像机发送身份信息请求消息。
[0092] A3、摄像机接收交换机发送的身份信息请求消息,向交换机回复身份信息响应消息。其中,身份信息响应消息包括身份信息(如摄像机ID)和请求数量。
[0093] A4、交换机接收摄像机发送的身份信息响应消息,获取摄像机的身份信息,并根据身份信息生成挑战值‑响应值对请求信息发送至服务器。
[0094] 其中,挑战值‑响应值对请求信息中包括身份信息和挑战值‑响应值对的请求数量,且请求数量为至少两个。
[0095] A5、服务器接收交换机发送的挑战值‑响应值对请求信息,从保存在服务器本地的与摄像机对应的候选挑战值‑候选响应值对集合中,随机选择请求数量个候选挑战值‑候选响应值对作为目标挑战值‑目标响应值对,并将目标挑战值‑目标响应值对发送给交换机。
[0096] A6、交换机接收服务器发送的目标挑战值‑目标响应值对,将第一目标挑战值‑目标响应值对中的第一目标挑战值发送至摄像机,同时分别建立第一目标挑战值‑目标响应值对与身份信息的映射关系,并将映射关系保存在交换机本地。
[0097] A7、摄像机接收交换机发送的第一目标挑战值,基于摄像机中的物理不可克隆芯片确定与第一目标挑战值对应的第一认证响应消息,并将第一认证响应消息发送给交换机。
[0098] A8、交换机接收摄像机返回的第一认证响应消息,确定第一认证响应消息中的第一认证响应值和保存在交换机本地的映射关系中与第一目标挑战值对应的第一目标响应值的第一比对结果,并根据第一比对结果确定摄像机认证结果,将摄像机认证结果发送至摄像机。
[0099] 具体的,若第一认证响应值和第一目标挑战值‑目标响应值对中的第一目标响应值比对一致,则可以确定摄像机认证成功,此时交换机开放与摄像机连接的设备端口,允许摄像机通过该设备端口发送任意报文,以实现摄像机与服务器之间的网络数据交互;若第一认证响应值和第一目标挑战值‑目标响应值对中的第一目标响应值比对不一致,则可以确定摄像机认证失败,此时交换机不开放与摄像机连接的设备端口,不允许除认证响应消息之外的其他报文通过该设备端口,以禁止摄像机与服务器之间进行网络数据交互。
[0100] A9、若摄像机接收到交换机发送的摄像机认证成功(第一次认证成功),根据预先确定的参考挑战值和身份信息生成服务器认证消息,并将服务器认证消息发送至交换机,由交换机转发至服务器。
[0101] A10、服务器接收交换机转发的服务器认证消息,生成服务器认证消息对应的服务器认证响应消息,将服务器认证响应消息发送至交换机,由交换机转发至摄像机。
[0102] A11、摄像机接收交换机转发的服务器认证响应消息,将服务器认证响应消息中的参考认证响应值和摄像机本地确定的参考响应值进行比对,并根据比对结果确定服务器认证结果,将服务器认证结果发送至交换机。
[0103] 具体的,若参考认证响应值和参考响应值比对一致,则表明服务器认证成功;若参考认证响应值和参考响应值比对不一致,则表明服务器认证失败。
[0104] A12、若服务器认证成功,通过交换机将后续目标挑战值‑目标响应值对中的后续目标挑战值依次发送至摄像机。
[0105] A13、摄像机接收交换机发送的后续目标挑战值,确定后续目标挑战值对应的后续认证响应消息,并将后续认证响应消息发送至交换机。
[0106] A14、交换机接收摄像机发送的后续认证响应消息,确定后续认证响应消息中的后续认证响应值和保存在交换机本地的映射关系中与后续目标挑战值对应的后续目标响应值的后续比对结果,并根据后续比对结果确定摄像机最终认证结果。
[0107] A15、若摄像机最终认证结果为认证成功,交换机从本地映射关系中选取附加校验映射关系,根据附加校验映射关系中的附加校验目标挑战值生成认证通过确认消息,并将认证通过确认消息发送至摄像机。
[0108] A16、摄像机接收交换机发送的认证通过确认消息,基于物理不可克隆芯片确定与附加校验目标挑战值对应的附加校验认证响应值,并将附加校验认证响应值附加在发送至交换机的后续报文中。
[0109] A17、交换机接收摄像机发送的后续报文,将后续报文中的附加校验认证响应值和附加校验映射关系中的附加校验目标响应值进行比对,根据比对结果来确定对后续报文的管理方式。
[0110] 具体的,若附加校验认证响应值和附加校验映射关系中的附加校验目标响应值比对一致,则允许后续报文通过;否则,不允许除认证响应消息之外的其他报文通过。
[0111] 本发明实施例的技术方案,能够基于摄像机上的物理不可克隆芯片同时实现对摄像机和服务器的安全认证,有效提高摄像机接入管理的安全性。
[0112] 实施例四
[0113] 图6为本发明实施例四提供的一种避免仿冒的摄像机接入管理系统的结构示意图,该系统可执行本发明任意实施例所提供的避免仿冒的摄像机接入管理方法,具备执行方法相应的功能模块和有益效果。如图6所示,该系统包括:
[0114] 摄像机410,与交换机420连接,摄像机上配置物理不可克隆芯片,用于将身份信息发送至所述交换机,并接收所述交换机根据所述身份信息确定的目标挑战值;根据所述物理不可克隆芯片确定与所述目标挑战值对应的认证响应值,并根据所述认证响应值生成认证响应消息发送至所述交换机;接收所述交换机根据所述认证响应消息返回的认证结果,以根据所述认证结果进行报文发送;
[0115] 交换机420,分别与摄像机410和服务器430连接,用于获取接入摄像机的身份信息,并根据所述身份信息从服务器获取与所述摄像机对应的目标挑战值‑目标响应值对;将所述目标挑战值‑目标响应值对中的目标挑战值发送至所述摄像机,接收所述摄像机返回的认证响应消息;根据所述认证响应值和所述目标挑战值‑目标响应值对中的目标响应值的比对结果确定所述摄像机的认证结果,以根据所述认证结果对所述摄像机的发送报文进行管理;
[0116] 服务器430,与交换机420连接,用于根据所述交换机发送的身份信息确定与所述摄像机对应的目标挑战值‑目标响应值对,并将所述目标挑战值‑目标响应值对发送至所述交换机;
[0117] 其中,所述目标挑战值‑目标响应值对基于所述摄像机上的物理不可克隆芯片进行预先确定;所述认证响应消息中包括所述摄像机根据所述物理不可克隆芯片和所述目标挑战值确定的认证响应值。
[0118] 可选的,所述摄像机410,还用于:
[0119] 在接收所述交换机根据所述认证响应消息返回的认证结果之后,若所述认证结果为认证成功,则根据预先确定的参考挑战值和身份信息生成服务器认证消息,并将所述服务器认证消息发送至所述交换机,由所述交换机转发至所述服务器;
[0120] 接收所述服务器根据所述服务器认证消息返回的服务器认证响应消息,根据所述服务器认证响应消息中的参考认证响应值和摄像机本地确定的参考响应值的比对结果确定服务器认证结果;其中,所述参考认证响应值基于所述摄像机上的物理不可克隆芯片进行预先确定并保存在所述服务器中。
[0121] 可选的,所述交换机420,还用于:
[0122] 根据所述身份信息生成挑战值‑响应值对请求信息,并将所述挑战值‑响应值对请求信息发送至服务器;其中,所述挑战值‑响应值对请求信息中包括身份信息和挑战值‑响应值对的请求数量;
[0123] 接收所述服务器根据所述身份信息返回的从候选挑战值‑候选响应值对集合中确定的所述请求数量个目标挑战值‑目标响应值对;其中,所述候选挑战值‑候选响应值对集合为预先基于所述摄像机上的物理不可克隆芯片和候选挑战值进行确定,并且保存在服务器本地;
[0124] 分别建立所述目标挑战值‑目标响应值对与所述身份信息的映射关系,并将所述映射关系保存在本地。
[0125] 可选的,所述目标挑战值‑目标响应值对中的目标响应值为服务器基于预设加密算法和随机值对与所述目标挑战值对应的原始响应值进行加密得到,并将所述随机值携带在所述目标挑战值‑目标响应值对中发送至所述交换机;
[0126] 相应的,所述交换机420,还用于:
[0127] 将所述目标挑战值‑目标响应值对中的目标挑战值和所述随机值发送至所述摄像机;
[0128] 接收所述摄像机根据所述物理不可克隆芯片、所述目标挑战值、预设加密算法和所述随机值确定的认证响应值。
[0129] 可选的,所述交换机420,还用于:
[0130] 在将所述映射关系保存在本地之后,确定目标随机值的生成时长,并确定所述生成时长是否大于预设生命阈值;
[0131] 若大于,则删除保存在本地的与所述目标随机值对应的映射关系,并且确定与目标身份信息对应的映射关系数量是否小于预设数量阈值;
[0132] 若小于,则根据所述目标身份信息生成挑战值‑响应值对添加请求信息,并将所述挑战值‑响应值对添加请求信息发送至服务器。
[0133] 可选的,所述请求数量为至少两个;
[0134] 相应的,所述交换机420,还用于:
[0135] 将第一目标挑战值‑目标响应值对中的第一目标挑战值发送至所述摄像机,接收所述摄像机返回的第一认证响应消息;
[0136] 确定所述第一认证响应值和所述第一目标挑战值‑目标响应值对中的第一目标响应值的第一比对结果;
[0137] 若第一比对结果为比对一致,则将后续目标挑战值‑目标响应值对中的后续目标挑战值依次发送至所述摄像机,接收所述摄像机返回的后续认证响应消息,以根据所述后续认证响应消息确定所述摄像机的认证结果。
[0138] 可选的,所述交换机420,还用于:
[0139] 在确定所述摄像机的认证结果为认证成功之后,从所述映射关系中选取附加校验映射关系;
[0140] 根据所述附加校验映射关系中的附加校验目标挑战值生成认证通过确认消息,并将所述认证通过确认消息发送至所述摄像机,以使所述摄像机根据所述物理不可克隆芯片和所述附加校验目标挑战值确定对应的附加校验认证响应值,并将所述附加校验认证响应值附加在发送至所述交换机的后续报文中;
[0141] 根据对所述摄像机发送的后续报文中的附加校验认证响应值和所述附加校验映射关系中的附加校验目标响应值的比对结果确定对所述后续报文的管理方式。
[0142] 本发明实施例所提供的一种避免仿冒的摄像机接入管理系统可执行本发明任意实施例所提供的一种避免仿冒的摄像机接入管理方法,具备执行方法相应的功能模块和有益效果。
[0143] 实施例五
[0144] 图7示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
[0145] 如图7所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
[0146] 电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
[0147] 处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如避免仿冒的摄像机接入管理方法。
[0148] 在一些实施例中,避免仿冒的摄像机接入管理方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的避免仿冒的摄像机接入管理方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行避免仿冒的摄像机接入管理方法。
[0149] 本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
[0150] 用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
[0151] 在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD‑ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
[0152] 为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
[0153] 可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
[0154] 计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端‑服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
[0155] 应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
[0156] 上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。