本發(fā)明涉及一種視頻安全控制
技術(shù)領(lǐng)域：
，特別涉及一種安全網(wǎng)絡(luò)高清攝像機。
背景技術(shù)：
：從模擬cctv向dvr數(shù)字監(jiān)控轉(zhuǎn)型的同時，網(wǎng)絡(luò)化、高清化和智能化也逐漸融入到發(fā)展趨勢中，行業(yè)對高清ipcamera的需求也日趨明確與強烈。特別是最近幾年，實現(xiàn)高清網(wǎng)絡(luò)監(jiān)控的技術(shù)、產(chǎn)品條件已經(jīng)有了實質(zhì)性的進展。高清監(jiān)控產(chǎn)品開始覆蓋從前端的百萬像素攝像機、高性能編解碼器一直到后端的高清顯示設(shè)備[1]。隨著信息產(chǎn)業(yè)的發(fā)展，監(jiān)控系統(tǒng)網(wǎng)絡(luò)化、高清化進程加快，信息安全問題日益突出，這促使了基于密碼學原理的安全網(wǎng)絡(luò)攝像機的出現(xiàn)并在信息安全領(lǐng)域不斷深入發(fā)展。目前大量的視頻監(jiān)控系統(tǒng)都是建立在ip網(wǎng)絡(luò)或以太網(wǎng)之上，在現(xiàn)有的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中，尤其是在一些關(guān)鍵部位(比如銀行、軍區(qū)、政府機關(guān)、交通樞紐等)的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中，存在諸多的安全威脅，例如視頻欺騙、視頻非法截取、視頻非法監(jiān)聽以及網(wǎng)絡(luò)非法接入等，造成視頻碼流在網(wǎng)絡(luò)傳輸?shù)倪^程中入侵者可以通過多種途徑對視頻數(shù)據(jù)進行非法盜取、修改或破壞，造成視頻數(shù)據(jù)外泄。為解決上述威脅，需要研制一種適用于現(xiàn)有高清網(wǎng)絡(luò)監(jiān)控體系、應用于政府部門和保密單位、具有信息安全特性的網(wǎng)絡(luò)攝像機。該攝像機符合高清攝像機的基本要求，采用高效率的視頻壓縮技術(shù)滿足實時視頻傳輸?shù)膸捯螅畲蟪潭鹊倪€原圖像視頻畫面，并且能夠?qū)崿F(xiàn)監(jiān)控系統(tǒng)的鏡頭控制、圖像處理、ptz控制、報警、一鍵復位等通用功能。而最重要的是該攝像機符合信息安全保密要求，建立相應的安全保密機制和服務(wù)，通過數(shù)據(jù)加密，實現(xiàn)監(jiān)控系統(tǒng)中視頻、圖像等信息的安全性傳輸。技術(shù)實現(xiàn)要素：本發(fā)明的目的在于提供一種安全網(wǎng)絡(luò)高清攝像機，用于解決上述現(xiàn)有技術(shù)的問題。本發(fā)明一種安全網(wǎng)絡(luò)高清攝像機，其中，包括：處理器、密碼芯片以及coms感測模塊；其中，該處理器用于進行圖像信號處理、圖像壓縮、解碼以及控制圖像的輸入和輸出；該cmos感測模塊用于進行圖像采集；該密碼芯片用于進行視頻數(shù)據(jù)的加密功能。根據(jù)本發(fā)明的安全網(wǎng)絡(luò)高清攝像機的一實施例，其中，還包括：ddr內(nèi)存，作為該安全網(wǎng)絡(luò)高清攝像機的內(nèi)存。根據(jù)本發(fā)明的安全網(wǎng)絡(luò)高清攝像機的一實施例，其中，還包括：spiflash，用于為安全網(wǎng)絡(luò)高清攝像機的程序存儲器。根據(jù)本發(fā)明的安全網(wǎng)絡(luò)高清攝像機的一實施例，其中，還包括：rs485模塊，用于支持通過rs485串口實現(xiàn)攝像機的控制。根據(jù)本發(fā)明的安全網(wǎng)絡(luò)高清攝像機的一實施例，其中，還包括：phy模塊，用于攝像機音視頻數(shù)據(jù)、控制信令的網(wǎng)絡(luò)傳輸。根據(jù)本發(fā)明的安全網(wǎng)絡(luò)高清攝像機的一實施例，其中，該處理器為hi3516芯片。根據(jù)本發(fā)明的安全網(wǎng)絡(luò)高清攝像機的一實施例，其中，該密碼芯片用于接收外部發(fā)送的密鑰，并將圖像加密。根據(jù)本發(fā)明的安全網(wǎng)絡(luò)高清攝像機的一實施例，其中，改密碼模塊獲取圖像信息后，生成工作密鑰，并將該工作密鑰設(shè)置為加密模塊第一加密通道的密鑰；將外部申請的主密鑰設(shè)置為該加密模塊第二加密通道的密鑰，該第二加密通道用于對該第一加密通道的該工作密鑰進行加密。綜上，本發(fā)明的安全網(wǎng)絡(luò)高清攝像機，該攝像機搭載了基于國產(chǎn)密碼芯片設(shè)計的數(shù)據(jù)加密模塊，并利用該模塊的硬件加密功能實現(xiàn)了攝像機通過密鑰管理中心(kmc)進行視頻數(shù)據(jù)加密的過程。該安全網(wǎng)絡(luò)高清攝像機不僅可以滿足目前高清網(wǎng)絡(luò)監(jiān)控的要求，還能保證視頻數(shù)據(jù)在監(jiān)控系統(tǒng)中傳輸?shù)陌踩裕瑵M足了政府部門及保密單位的安全使用要求。附圖說明圖1所示為本發(fā)明安全網(wǎng)絡(luò)高清攝像機的模塊圖；圖2所示為安全網(wǎng)絡(luò)高清攝像機的加密工作流程圖。具體實施方式為使本發(fā)明的目的、內(nèi)容、和優(yōu)點更加清楚，下面結(jié)合附圖和實施例，對本發(fā)明的具體實施方式作進一步詳細描述。圖1所示為本發(fā)明安全網(wǎng)絡(luò)高清攝像機的模塊圖，如圖1所示，安全網(wǎng)絡(luò)高清攝像機包括：處理器1、密碼芯片2以及coms感測模塊5。參考圖1，處理器1用于進行圖像信號處理、圖像壓縮、解碼以及控制圖像的輸入和輸出。cmos感測模塊5用于進行圖像采集。密碼芯片2用于進行高速視頻數(shù)據(jù)的加密功能。參考圖1，對于一種實施例，還包括ddr4，ddr4用于為安全網(wǎng)絡(luò)高清攝像機的程序運行內(nèi)存，支持數(shù)據(jù)總線位寬32/16bit，32bit模式支持最大存儲空間1gb，16bit模式時512mb。參考圖1，對于一種實施例，還包括：spiflash3，其用于為安全網(wǎng)絡(luò)高清攝像機的程序存儲器，主要存儲uboot、kernel、文件系統(tǒng)等。參考圖1，對于一種實施例，還包括：rs485模塊6，其用于支持通過rs485串口實現(xiàn)攝像機的ptz控制。參考圖1，對于一種實施例，還包括：phy模塊7，用于實現(xiàn)攝像機音視頻數(shù)據(jù)、控制信令的網(wǎng)絡(luò)傳輸。參考圖1，對于一種較佳實施例，處理器1為華為海思的hi3516芯片，具有1080p@30fpsh264多碼流編碼、智能加速引擎等特性，支持傳感器接口,圖像信號處理,圖像壓縮和解碼、rs485控制接口、usb2.0接口、cvbs標清視頻輸出接口，以太網(wǎng)傳輸接口等。參考圖1，對于一種較佳實施例，密碼芯片2集成了高速的安全加密算法和通訊接口，能夠?qū)崿F(xiàn)高速視頻數(shù)據(jù)的加密功能。密碼芯片2集成了多種高速硬件加密算法模塊，加密步驟由專有的模塊實現(xiàn)，數(shù)據(jù)流加密速度可達25mb/s；擁有兩個usb-otg接口，可根據(jù)應用需求設(shè)置成host、device或otg；支持國家密碼管理局指定的對稱密碼算法、非對稱密碼算法和雜湊算法(sm1、sm2、sm3、sm4等)，同時支持國際通用的其他密碼算法(des/3des、rsa等)。參考圖1，對于一種較佳實施例，cmos感測模塊5由sony6300機芯構(gòu)成，該機芯采用一塊2m分辨率的cmos圖像感光芯片，內(nèi)部集成了isp圖像處理模塊，具有極好的圖像處理效果，可輸出全高清1080p實時圖像。參考圖1，密鑰管理中心(kmc)，可以由一服務(wù)器實現(xiàn)，主要由密鑰產(chǎn)生、密鑰分發(fā)、密鑰保存、設(shè)備身份認證等功能模塊構(gòu)成。kmc密鑰產(chǎn)生模塊可以生成主密鑰對加密工作密鑰，工作密鑰用于加密視頻數(shù)據(jù)，由攝像機內(nèi)部加密芯片2自己產(chǎn)生，通過主密鑰公鑰加密后保存在視頻數(shù)據(jù)每一個i幀或p幀的開頭。kmc分發(fā)密鑰模塊主要功能是下發(fā)主密鑰公鑰至攝像機、客戶端或解碼器，該操作一般發(fā)生在攝像機、客戶端或解碼器身份認證通過后。kmc密鑰保存模塊保存每一個合法的攝像機、客戶端或解碼器注冊的身份認證公鑰以及kmc密鑰產(chǎn)生模塊產(chǎn)生的主密鑰對，這些密鑰一般與對應的攝像機、客戶端或解碼器的id、口令以及搭載的加密模塊的序列號一起保存在access數(shù)據(jù)庫中。kmc的設(shè)備身份認證模塊主要完成各設(shè)備、客戶端以及解碼器的身份合法性驗證功能。安全攝像機的安全性體現(xiàn)在其輸出數(shù)據(jù)是被加密的。數(shù)據(jù)竊取者通過非法渠道或者未經(jīng)認證的設(shè)備獲得的數(shù)據(jù)是加密后的數(shù)據(jù)，這些數(shù)據(jù)將不能正確還原成音視頻，最終看到是亂碼，無法獲得有效信息。數(shù)據(jù)加密通常分為軟件加密和硬件加密兩種方式，但軟件加密無法滿足網(wǎng)絡(luò)攝像機大碼流視頻流的實時性要求[4]，因此基于hi3516平臺的安全網(wǎng)絡(luò)高清攝像機采用硬件加密方式。國產(chǎn)密碼芯片集成了多種高速硬件加密算法模塊，數(shù)據(jù)流加密速度可達25mb/s，支持國家密碼管理局指定的對稱密碼算法、非對稱密碼算法和雜湊算法(sm1、sm2、sm3、sm4等)，同時支持國際通用的其他密碼算法(des/3des、rsa等)。本安全網(wǎng)絡(luò)高清攝像機采用對稱加密算法作為工作密鑰對視頻數(shù)據(jù)進行加密，同時采用sm2非對稱加密算法作為主密鑰對工作密鑰進行加密保護，保證密鑰數(shù)據(jù)的安全性。經(jīng)過h264編碼的視頻數(shù)據(jù)按幀進行加密，在每一個i幀或p幀的幀頭后插入自定義的sei段數(shù)據(jù)，該段數(shù)據(jù)主要用于后續(xù)客戶端和解碼器的視頻數(shù)據(jù)解密。在安全級別要求較低時，也可以在實施過程中選擇p幀不加密。安全視頻流格式如下所示：i幀/p幀幀頭sei段插入數(shù)據(jù)加密數(shù)據(jù)自定義的sei段數(shù)據(jù)結(jié)構(gòu)體為：sei段頭sei負載類型sei數(shù)據(jù)長度加密標志位加密算法加密數(shù)據(jù)長度加密數(shù)據(jù)起始長度模塊存在標志位{工作密鑰}安全攝像機主密鑰自定義的sei段數(shù)據(jù)具體內(nèi)容為：sei段頭0000000106，sei負載類型0xf0，sei數(shù)據(jù)長度表示整個插入數(shù)據(jù)的長度，加密標志位表示當前數(shù)據(jù)是否加密，加密算法表示加密數(shù)據(jù)時采用的加密算法，加密數(shù)據(jù)長度表示待加密視頻數(shù)據(jù)的長度，加密數(shù)據(jù)起始長度表示一幀視頻數(shù)據(jù)加密的起始位置，模塊存在標志位表示加密模塊是否存在，{工作密鑰}安全攝像機主密鑰表示安全攝像機主密鑰加密工作密鑰之后的密鑰數(shù)據(jù)。攝像機啟動后，當有客戶端或解碼器向攝像機申請碼流時，攝像機根據(jù)配置文件選擇加密算法、是否進行p幀加密，打開加密模塊該算法對應的加密通道以及sm2加密通道，同時開啟加密模塊正常工作檢測線程和密鑰更新線程，前者每隔一定時間檢測加密模塊是否存在并正常工作，后者每隔預定時間將密鑰更新標志位置1。攝像機根據(jù)客戶端或解碼器申請的碼流格式開啟相對應的編碼通道，并開啟碼流發(fā)送線程不斷從編碼通道中按幀獲取h264碼流。圖2所示為安全網(wǎng)絡(luò)高清攝像機的加密工作流程圖，如圖2所示，以sm4算法加密數(shù)據(jù)為例，具體的視頻加密步驟為：1、攝像機按幀從編碼通道獲取h264碼流；2、獲取到h264碼流后，根據(jù)密鑰更新標志位判斷是否需要更新密鑰。如果不需要則直接執(zhí)行3，否則加密模塊生成新的sm4工作密鑰，并將該密鑰設(shè)置為加密模塊sm4加密通道的密鑰。將從kmc申請的sm2主密鑰設(shè)置為加密模塊sm2加密通道的密鑰，該通道用于對sm4工作密鑰進行加密，并用加密后的密鑰數(shù)據(jù)更新自定義sei插入數(shù)據(jù)。3、判斷獲取的碼流數(shù)據(jù)幀開頭是否為0x(0000000165)，即是否為i幀。如果是則直接執(zhí)行5，否則執(zhí)行4；4、根據(jù)配置文件判斷是否需要進行p幀加密，如果需要則執(zhí)行5，否則執(zhí)行7；5、根據(jù)實際數(shù)據(jù)幀更新自定義sei插入數(shù)據(jù)，包括加密標志位、加密數(shù)據(jù)長度、加密數(shù)據(jù)起始位置和加密模塊是否存在標志位，并將其插入p幀和i幀幀頭之后。6、將待加密數(shù)據(jù)通過usb接口發(fā)送給加密模塊sm4加密通道進行加密。7、將視頻數(shù)據(jù)通過網(wǎng)口發(fā)送給客戶端或解碼器。綜上，本發(fā)明的安全網(wǎng)絡(luò)高清攝像機，該攝像機搭載了基于國產(chǎn)密碼芯片設(shè)計的數(shù)據(jù)加密模塊，并利用該模塊的硬件加密功能實現(xiàn)了攝像機通過密鑰管理中心(kmc)進行視頻數(shù)據(jù)加密的過程。該安全網(wǎng)絡(luò)高清攝像機不僅可以滿足目前高清網(wǎng)絡(luò)監(jiān)控的要求，還能保證視頻數(shù)據(jù)在監(jiān)控系統(tǒng)中傳輸?shù)陌踩?，滿足了政府部門及保密單位的安全使用要求。以上所述僅是本發(fā)明的優(yōu)選實施方式，應當指出，對于本
技術(shù)領(lǐng)域：
的普通技術(shù)人員來說，在不脫離本發(fā)明技術(shù)原理的前提下，還可以做出若干改進和變形，這些改進和變形也應視為本發(fā)明的保護范圍。當前第1頁12