本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種視頻終端身份認(rèn)證系統(tǒng)����。
背景技術(shù):
目前用戶在登陸應(yīng)用系統(tǒng)過程中通常使用用戶名密碼口令的方式進(jìn)行用戶的身份和授權(quán)操作權(quán)限,簡單的用戶名和口令的模式存在一定的業(yè)務(wù)風(fēng)險(xiǎn)����。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的在于提供一種基于插件架構(gòu)的主機(jī)監(jiān)控系統(tǒng),用于解決上述現(xiàn)有技術(shù)的問題�����。
本發(fā)明一種視頻終端身份認(rèn)證系統(tǒng)�����,其中��,包括:CA系統(tǒng)���、轉(zhuǎn)發(fā)服務(wù)器以及加密機(jī)�����;CA系統(tǒng)用于進(jìn)行數(shù)字證書簽發(fā)和管理����,加密機(jī)用于對CA系統(tǒng)調(diào)用生成密鑰和保護(hù)私鑰;其中��,轉(zhuǎn)發(fā)服務(wù)器能夠根據(jù)攝像機(jī)的請求產(chǎn)生隨機(jī)數(shù)�,并發(fā)送給請求攝像機(jī);攝像頭能夠利用私鑰對該隨機(jī)數(shù)進(jìn)行數(shù)字簽名并產(chǎn)生簽名值����;CA服務(wù)器使用CA根證書信息對攝像頭的簽名值結(jié)果和證書信息進(jìn)行信任認(rèn)證;轉(zhuǎn)發(fā)服務(wù)器使用證書公鑰對簽名值進(jìn)行解密���,將解密的結(jié)果跟原隨機(jī)數(shù)進(jìn)行比對�����,進(jìn)行隨機(jī)數(shù)驗(yàn)證�;轉(zhuǎn)發(fā)服務(wù)器對證書信息進(jìn)行解析�,并對數(shù)字證書的唯一信息身份字段進(jìn)行解析���,進(jìn)行證書唯一性認(rèn)證。
根據(jù)本發(fā)明的視頻終端身份認(rèn)證系統(tǒng)的一實(shí)施例�,其中,還包括:屏幕����,用于對驗(yàn)證合法的的視頻進(jìn)行顯示�����。
根據(jù)本發(fā)明的視頻終端身份認(rèn)證系統(tǒng)的一實(shí)施例�����,其中�����,攝像頭驅(qū)動USBKey進(jìn)行基于用戶名和密碼機(jī)制的登錄入網(wǎng)并根據(jù)USBKey序列號指定其唯一ID����。
根據(jù)本發(fā)明的視頻終端身份認(rèn)證系統(tǒng)的一實(shí)施例,其中�����,該隨機(jī)數(shù)為128位隨機(jī)數(shù)。
根據(jù)本發(fā)明的視頻終端身份認(rèn)證系統(tǒng)的一實(shí)施例����,其中,進(jìn)行證書唯一性認(rèn)證包括:轉(zhuǎn)發(fā)服務(wù)器對證書信息進(jìn)行解析����,并對證書的唯一信息身份字段進(jìn)行解析,解析后與攝像機(jī)ID進(jìn)行比對��,若比對成功則證書唯一身份信息驗(yàn)證通過�。
根據(jù)本發(fā)明的視頻終端身份認(rèn)證系統(tǒng)的一實(shí)施例,其中�,還包括:RA系統(tǒng),用于進(jìn)行數(shù)字證書注冊審批�,為CA系統(tǒng)提供數(shù)字證書發(fā)放和管理服務(wù)。
本發(fā)明的視頻終端身份認(rèn)證系統(tǒng)�,主要采用自建基于X 509標(biāo)準(zhǔn)的安全證書身份認(rèn)證。此系統(tǒng)結(jié)合數(shù)字證書和用戶名��、口令的雙因子驗(yàn)證模式將很大程度上降低視頻數(shù)據(jù)安全風(fēng)險(xiǎn)����,在系統(tǒng)的關(guān)鍵環(huán)節(jié)使用數(shù)字簽名技術(shù)���,可以實(shí)現(xiàn)關(guān)鍵環(huán)節(jié)的安全性和客戶身份唯一性的雙重保證。
附圖說明
圖1所示為視頻終端身份認(rèn)證系統(tǒng)的示意圖��。
具體實(shí)施方式
為使本發(fā)明的目的����、內(nèi)容、和優(yōu)點(diǎn)更加清楚�����,下面結(jié)合附圖和實(shí)施例����,對本發(fā)明的具體實(shí)施方式作進(jìn)一步詳細(xì)描述���。
圖1所示為視頻終端身份認(rèn)證系統(tǒng)的示意圖�����,如圖1所示���,本發(fā)明視頻終端身份認(rèn)證系統(tǒng)包括:CA系統(tǒng)1�����、RA系統(tǒng)5�、轉(zhuǎn)發(fā)服務(wù)器2�����、存儲器6���、攝像機(jī)7���、加密機(jī)3以及屏幕4。
如圖1所示�,CA系統(tǒng)1用于進(jìn)行數(shù)字證書簽發(fā)和管理。RA系統(tǒng)5用于進(jìn)行數(shù)字證書注冊審批��,作為CA系統(tǒng)1的延伸為CA系統(tǒng)1提供數(shù)字證書發(fā)放和管理服務(wù)��。加密機(jī)3用于CA系統(tǒng)1調(diào)用生成密鑰和保護(hù)私鑰���。轉(zhuǎn)發(fā)服務(wù)器2用于視頻數(shù)據(jù)的存儲�、傳輸建立和發(fā)送功能。轉(zhuǎn)發(fā)服務(wù)器2的證書應(yīng)用工具包:實(shí)現(xiàn)轉(zhuǎn)發(fā)服務(wù)器2和攝像頭的簽名驗(yàn)簽和加解密功能�。數(shù)字證書用于身份認(rèn)證和關(guān)鍵交易簽名的功能。
如圖1所示�����,本發(fā)明視頻終端身份認(rèn)證系統(tǒng)的工作流程包括:
1.攝像頭端驅(qū)動USBKey進(jìn)行基于用戶名���、密碼機(jī)制的登錄入網(wǎng)并根據(jù)USBKey序列號指定其唯一ID(同時(shí)該唯一ID在申請證書的時(shí)候作為唯一信息字段(DN)存儲在USBKey的證書內(nèi))�;
2.當(dāng)轉(zhuǎn)發(fā)服務(wù)器2對其中指定一臺攝像機(jī)ID請求視頻流數(shù)據(jù)時(shí)�,轉(zhuǎn)發(fā)服務(wù)器2產(chǎn)生一個(gè)128位的隨機(jī)數(shù)并向該攝像頭發(fā)送請求;
3.攝像頭端驅(qū)動USBKey利用證書私鑰對該隨機(jī)數(shù)進(jìn)行數(shù)字簽名產(chǎn)生簽名值����;
4.攝像頭端將簽名值結(jié)果和自己的證書信息發(fā)送到轉(zhuǎn)發(fā)服務(wù)器2���;
5.轉(zhuǎn)發(fā)服務(wù)器2將證書信息提交到CA服務(wù)器1����,CA服務(wù)器1使用CA根證書信息對該證書進(jìn)行證書的證書鏈進(jìn)行信任認(rèn)證���,同時(shí)也對其中的證書頒發(fā)主體���、是否在證書頒發(fā)試用期中等信息進(jìn)行���,若信任信息正確則證書的主體信息驗(yàn)證通過;
6.轉(zhuǎn)發(fā)服務(wù)器2將證書信息解析獲得證書的序列號�����,同時(shí)轉(zhuǎn)發(fā)服務(wù)器2向CA服務(wù)器1提交證書狀態(tài)查詢申請�����,CA服務(wù)器1返回一個(gè)證書吊銷列表文件��,然后轉(zhuǎn)發(fā)服務(wù)器2根據(jù)該文件對證書狀態(tài)進(jìn)行檢測�,若狀態(tài)為使用中則證書狀態(tài)驗(yàn)證通過;
7.轉(zhuǎn)發(fā)服務(wù)器2使用證書公鑰對簽名值進(jìn)行解密���,將解密的結(jié)果跟原隨機(jī)數(shù)進(jìn)行比對���,進(jìn)行隨機(jī)數(shù)驗(yàn)證,若比對結(jié)果一致則證書簽名驗(yàn)證通過���;
8.轉(zhuǎn)發(fā)服務(wù)器2對證書信息進(jìn)行解析�,并對證書的唯一信息身份(DN)字段進(jìn)行解析,解析后與USBKey序列號進(jìn)行比對�����,若比對成功則證書唯一身份信息驗(yàn)證通過����;
9.若5-8的信息驗(yàn)證成功,則身份認(rèn)證成功�,則進(jìn)行碼流傳輸;
10.工作完成后�,轉(zhuǎn)發(fā)服務(wù)器銷毀證書和隨機(jī)數(shù),繼續(xù)其他業(yè)務(wù)�����。
如圖1所示���,本發(fā)明視頻終端身份認(rèn)證系統(tǒng)的另一工作流程包括:
終端屏幕4發(fā)送訪問轉(zhuǎn)發(fā)服務(wù)器2請求數(shù)據(jù)報(bào)文;
轉(zhuǎn)發(fā)服務(wù)器2解析報(bào)文并請求相對應(yīng)的安全攝像機(jī)視頻流數(shù)據(jù)�����,此時(shí)進(jìn)行雙向身份認(rèn)證����;
轉(zhuǎn)發(fā)服務(wù)器2發(fā)送自己的證書給終端屏幕4���,終端屏幕4分析此證書驗(yàn)證轉(zhuǎn)發(fā)服務(wù)器2的身份;
終端屏幕4發(fā)送自己的證書給轉(zhuǎn)發(fā)服務(wù)器2�,轉(zhuǎn)發(fā)服務(wù)器2分析此證書驗(yàn)證終端屏幕4身份,此時(shí)轉(zhuǎn)發(fā)服務(wù)器2會繼續(xù)驗(yàn)證包括驗(yàn)證頒發(fā)者����、有效期和是否被吊銷;
認(rèn)證完成后��,轉(zhuǎn)發(fā)服務(wù)器2會解析客戶端證書�,獲取需要請求攝像機(jī)信息,根據(jù)請求要求����,向攝像機(jī)發(fā)送建立連接協(xié)議。
連接建立后��,攝像機(jī)向終端屏幕4發(fā)送數(shù)據(jù)����。
本發(fā)明的安全的視頻終端身份認(rèn)證系統(tǒng),主要采用自建基于X509標(biāo)準(zhǔn)的安全證書身份認(rèn)證�。此系統(tǒng)結(jié)合數(shù)字證書和用戶名��、口令的雙因子驗(yàn)證模式將很大程度上降低視頻數(shù)據(jù)安全風(fēng)險(xiǎn)�,在系統(tǒng)的關(guān)鍵環(huán)節(jié)使用數(shù)字簽名技術(shù)�,可以實(shí)現(xiàn)關(guān)鍵環(huán)節(jié)的安全性和客戶身份唯一性的雙重保證。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�����,應(yīng)當(dāng)指出����,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明技術(shù)原理的前提下�����,還可以做出若干改進(jìn)和變形��,這些改進(jìn)和變形也應(yīng)視為本發(fā)明的保護(hù)范圍�。