专利名称:使用数字签名技术的可信红外热成像系统的制作方法
技术领域:
本实用新型涉及一种红外热成像系统,特别是涉及一种使用数字签名技术的可信 红外热成像系统,属于视频监控技术领域。
背景技术:
红外热成像系统在公安业务的许多领域诸如边境防卫、消防预警、火灾分析、火灾 扑灭后的火场检查、执法缉毒、海上救援、空中搜索及巡逻、野外追踪、安全防范、周界保卫 等等,都有重要的应用价值。现有技术中,红外热成像系统的组成一般包括目标、红外光学 系统、探测器、图像处理系统和图像显示等部分,红外热成像摄像机一般包括电源、机身、控 制输入、视频输出、镜头等主要部分,其中的镜头为红外光学系统,机身内装有探测器和图 像处理系统,使用红外热成像系统可以将目标的红外辐射形成模拟视频图像信号输出到电 视监视上显示,使数据采集系统不受光照及雨雪雾尘等气象条件限制,能在恶劣的条件下 完成特定的监视任务。但普通的红外热成像系统存在明显的缺陷,其输出的模拟视频图像 只能用于实时视频监控,不方便进行存储、回放,很难作为以后检索或查证的资源或凭据, 也不便于接入到“城市监控报警联网系统”中,实现图像信息资源共享和必要时的统一集中 监控,虽然可以通过外接网络视频编码器的方式将普通红外热成像系统输出的模拟视频进 行数字化,但在摄像机输出的D/A转换、网络视频编码器的A/D的转换过程中会在进行视 频编码前就损失一部分信息量,同时普通编码器编码后的数字视频由于是未加任何保护的 “裸”数据,很容易被人为修改,且经修改过的数据很难被证实或证伪。
实用新型内容本实用新型的目的是为了克服现有技术中存在的缺陷,提供一种使用数字签名技 术的可信红外热成像系统。本实用新型的使用数字签名技术的可信红外热成像系统是通过以下技术方案实 现的一种使用数字签名技术的可信红外热成像系统,包括可信红外热成像摄像机,所 述可信红外热成像摄像机包括光学系统、图像采集及视频信号放大模块、图像处理模块、压 缩编码模块、可信计算模块、数据合成模块,所述光学系统与图像采集及视频信号放大模块 连接,所述图像采集及视频信号放大模块与图像处理模块连接,所述图像处理模块与压缩 编码模块连接,所述压缩编码模块与可信计算模块连接,所述可信计算模块及压缩编码模 块均与数据合成模块连接,所述可信红外热成像摄像机上设置了以太网输出物理接口,所 述以太网输出物理接口与监控中心连接。所述监控中心包括传输设备,所述传输设备与存贮器、控制终端、数字视频解码 器、证书管理及可信验证服务器连接,所述数字视频解码器与显示器连接。所述可信红外热成像摄像机还设备了视频系统接口、电源模块接口及通讯设备接[0008]可信计算模块内嵌在红外热成像摄像机的机身内,该部件将红外热成像摄像机的 数字视频信号进行压缩编码、传输,使红外热成像摄像机的数字视频信号在进行压缩编码 前不损失信息量;在可信计算模块内采用数字证书加数字签名的方法,将红外热成像摄像 机输出的视频图像的每一帧或每几帧数据添加一个可证实其可信性的可信数据块,使得对 原始数据的任何修改都能用简单、低成本的办法检测出来,从而大大增加了伪造、变造视频 数据的成本,降低了验证数据可信性的难度,使得所录存视频数据的可信性大大增强,并使 之有可能成为独立的司法证据。本发明在普通的红外热成像摄像机内增加了压缩编码模块和可信计算模块部分, 其工作过程是,图像处理后一方面生成模拟视频输出,同时生成红外数字视频,红外数字视 频首先在压缩编码模块中进行压缩编码,编码后的视频数据流一方面送到网络接口,另一 方面在可信计算模块中进行可信计算,进行可信计算后的可信数据和压缩视频数据在数据 合成模块中合成在一起,使得最终输出的传输或网络视频数据流中比以前增加了可信数据 部分。如表1所示,表2为普通网络视频数据流结构。
包奂 Tfe數權 f fli!数掘 包头掘 If信数掘 包头 P幀数概 丨II佶数》——— 表1、可信网络视频数据流结构镇炎 数遲 丨包实丨?械数擺 a头 p_数纖 —--表2、普通网络视频数据流结构本发明的重点之一是通过新增加的压缩编码模块,使得红外热成像摄像机输出的 视频图像不仅能用于实时视频监控,也可以接入到监控中心即城市监控报警联网系统中, 实现图像信息资源共享和必要时的统一集中监控,实现存储、回放等功能,压缩编码功能使 得普通的红外热成像摄像机成为具备网络功能的红外热成像系统,实现了从模拟系统到数 字系统的跨越。压缩编码模块和可信计算模块采用通用DSP芯片与专用安全芯片结合的方式,通 用DSP芯片主要完成视频的压缩编码算法,在进行可信计算时使用专用安全芯片。压缩编码模块中的压缩算法支持主流的H. 264 Baseline profile Level3视频编 码标准,在D1分辨率25fps时输出码率约为1. 5Mbps,压缩编码模块与红外图像处理模块的 数字接口采用lObit的BT656数字视频接口标准,直接将校正后的图像送入压缩编码模块, 而不是经过D/A转换输出模拟视频后,再经过A/D转换为数字视频,可以最大程度地减少原 始信息的丢失。本发明的另一个重点是采用专用安全芯片来进行可信计算,从而使压缩编码后的 数据具备篡改检测功能,加入的可信数据使得几乎所有对视频数据的修改都能被很容易地 识别出来,专用安全芯片的作用主要有两个保存私钥和算法加速,从原理上来讲专用芯片 的功能是可以用软件来取代的,不过在目前的技术条件下这样做会带来两个方面的问题 难以保证所保存的私钥不会被窃取,因此也就难以保证可信数据的安全(可信)性;运算量 大,普通处理器难以满足实时性或功耗方面的要求。
4[0018]可信数据的计算过程如下1、首先对I帧数据或P帧数据进行HASH运算(MD5、SHA-1、SHA-256等),生成I 帧数据或P帧数据的数字摘要HI或HP。2、用存放在专用安全芯片内的私钥对HI或HP进行签名(RSA1024),生成I帧数据 或P帧数据的签名摘要数据SHI或SHP。3、按照图6所示格式组装I帧或P帧的可信数据ITED或PTED,如表3所示20bytes 46bits2bits2bits6bits128bytes 表3 I帧或P帧可信编码数据(ITED/PTED)构成其中设备ID为已在证书管理及可信验证服务器上注册了的、由系统赋予可信红 外热成像系统的设备识别码,每个设备ID在监控系统中都是唯一的,通过设备ID可以在证 书管理及可信验证服务器上找到与之对应的公钥证书,对应帧序号为与本可信数据对应的 视频数据帧(包括I帧和P帧)的顺序号,在同一段视频数据(一个文件或一段视频流) 中,每一个视频数据帧都有一个唯一的顺序号,摘要算法、签名算法分别由表4、表5确定, 标明进行可信计算时所采用的算法。表4 摘要算法编码表 表5:签名算法编码表 编码帧信息指示出原始数据的类型及可信数据与原始数据的映射关系,除对每个 摘要进行签名外,本发明还支持对多个P帧共同进行一次摘要及签名(简称“联签”),考虑 到对于重建图像而言I帧要远远重要于P帧这一事实,使用联签这一方法可以在不明显降 低安全性的前提下,大大降低运算量,从而提高可信计算的实时性并降低整机功耗,如表6 所示。表6:编码帧信息 对于带有可信数据的视频文件或数据流,当需要验证其中某一帧视频数据的可信 性时,其验证过程如下1、通过该帧数据的帧序号,找到对应帧序号与之相同的可信数据ITED或PTED ;2、在ITED或PTED中分离出设备ID,并根据此设备ID向证书管理服务器索取与之 对应的公钥证书;3、使用得到的公钥证书及ITED或PTED中指定的签名算法对SHI或SHP进行解密 运算,得到DSHD ;4、使用ITED或PTED中指定的摘要算法对该帧(I或P)数据做摘要计算,得到HD ;5、比较DSHD和HD,若DSHD = HD,则表明该帧数据未被篡改过;否则,即 DSHD兴HD,则表明该帧数据曾经被篡改过。本发明使得红外热成像图像可以方便地接入到监控中心即城市监控报警联网系 统中,实现图像信息资源共享和必要时的统一集中监控,实现存储、回放等功能,本发明实 现了红外热成像系统从模拟到数字的跨越,拓宽了红外热成像技术在公安业务中的推广应 用,提高了红外热成像图像的使用效率。另外本发明能极大地提高秘密篡改数据包括原始图像数据及可信数据的难度及 成本,从而达到有效防止篡改、保持视频数据可信性的效果。从上述发明内容来看,要想对带有可信数据的视频图像进行秘密篡改即对数据进 行了修改而又不被发现,其途径只可能有两个一是对一幅图像进行修改后保持其摘要值不变,这样做的难度取决于所采用的摘 要算法,当使用MD5算法时,其难度为1/2128 ;当使用SHA-1算法时,其难度为1/216° ;当使 用SHA-256算法时,其难度为1/2256,即使其中难度最小的MD5算法,使用最有效的生日攻击 (birthdayattack)方法,需要进行264次散列运算才能找到两幅具有相同摘要值的图像,而 要完成这一攻击,使用目前运算能力最强的通用处理器(如主频10GHz、每秒可进行1亿次散列运算),需要264/(108)秒=2.3X1018秒=7.3X101Q年才能完成。二是破译保存在专用安全芯片中的私钥,由于安全芯片在设计时就已规定,任何 条件下保存于其中的私钥都不会被读出芯片,因此获得私钥的惟一途径就是对已签名数据 进行破译,希望能从已签名数据中恢复出私钥,要破解RSA1024算法,使用目前最有效的特 殊数域因子分解法,需要的运算量约为3X107MIPS-year,仍以目前运算能力最强的通用处 理器(如主频10GHz)为例,需要约3000年才能完成。MD5及RSA1024算法目前已经在网上银行、电子支付等商业领域获得了广泛应用, 其安全性已得到普遍认可。普通情况下即当不需要验证视频图像的可信性时,用通用播放器即可无损播放带 有签名摘要数据的视频图像;当需要验证视频图像的可信性时,仅使用较简单算法就可对 视频图像进行逐帧验证。由此可见,本发明确实能够大大提高秘密篡改视频图像的成本及难度,增强视频 图像的可信性。本实用新型的使用数字签名技术的可信红外热成像系统相对于现有技术具有如 下效果1、本实用新型的使用数字签名技术的可信红外热成像系统是在现有的普通红外 热成像系统中增加了可进行压缩编码和可信数据编码的硬件部件,使之成为“使用数字签 名技术的可信红外热成像系统”,使得通过本实用新型实现的红外热成像图像可以方便地 接入到“城市监控报警联网系统”中,实现图像信息资源共享和必要时的统一集中监控,实 现存储、回放等功能,本实用新型实现了红外热成像系统从模拟到数字的跨越,拓宽了红外 热成像技术在公安业务中的推广应用,提高了红外热成像图像的使用效率。2、本实用新型的使用数字签名技术的可信红外热成像系统能极大地提高秘密篡 改数据,包括原始图像数据及可信数据的难度及成本,从而达到有效防止篡改、保持视频数 据可信性的效果。
图1为本实用新型的使用数字签名技术的可信红外热成像系统模块结构图;图2为本实用新型的使用数字签名技术的可信红外热成像系统的监控中心模块 结构图。
具体实施方式
为了使本领域的一般技术人员能够清楚理解本实用新型的技术方案,现结合附图 及实施例作进一步详尽地说明一种使用数字签名技术的可信红外热成像系统,如图1所示,包括可信红外热成 像摄像机1,可信红外热成像摄像机1包括光学系统11、图像采集及视频信号放大模块12、 图像处理模块20、压缩编码模块13、可信计算模块14、数据合成模块15,光学系统11与图 像采集及视频信号放大模块12连接,图像采集及视频信号放大模块12与图像处理模块20 连接,图像处理模块20与压缩编码模块13连接,压缩编码模块13与可信计算模块14连接, 可信计算模块14及压缩编码模块13均与数据合成模块15连接,可信红外热成像摄像机1
7上设置了以太网输出物理接口 16,以太网输出物理接口 16与监控中心2连接。监控中心2包括传输设备21,传输设备21与存贮器24、控制终端25、数字视频解 码器22、证书管理及可信验证服务器26连接,数字视频解码器22与显示器23连接。可信红外热成像摄像机1还设备了视频系统接口 17、电源模块接口 18及通讯设备 接口 19。具体实施例图1和图2是由使用数字签名技术的可信红外热成像摄像机和监控中心组成的可 信红外热成像系统实例框图。图1是一个使用通用处理器及专用安全芯片实现的可信红外热成像摄像机1实例 框图。其中辐射目标100的热辐射通过光学系统11辐射到图像采集和视频信号放大模块 12中的红外热图像采集器(图中未示)上,红外热图像采集器将场景中的红外热辐射转化 为模拟电信号,模拟电信号在图像采集和视频信号放大模块12中转换为数字信号,输送到 图像处理模块20中,数字化后的红外视频信号在图像处理模块20中进行必要的图像处理 后,输出到压缩编码模块13,压缩编码模块13使用通用处理器进行视频压缩编码14,压缩 编码后的数据一方面输送到数据合成模块15,另一方面输送到可信计算模块14,可信计算 模块14使用专用安全芯片进行可信视频计算,计算得到的可信视频数据输送到数据合成 模块15,数据合成模块15将压缩编码后的数据和可信视频数据合成为网络数据包,网络数 据包通过以太网输出物理接口 16输送到监控中心2。图2是监控中心2实例框图。监控中心2 —方面将传输设备21或存贮器24上的 网络数据包输送到数字视频解码器22解码并在显示器23上显示红外热成像,另一方面将 网络数据包输送到证书管理及可信验证服务器26进行逐帧验证,在控制终端25上显示红 外热成像是否被篡改(即是否可信)。使用该方案实现的可信红外热成像摄像机具有如下性能指标 模拟视频输出PAL制复合视频 数字视频编码标准H. 264 Baseline profile 输出码率约 1. 5Mbps (Dli25fps) 签名算法RSA1024 摘要算法SHA_1 或 MD5 可信计算方式实时该实施例的工作过程可简述如下1、首先监控中心2的证书管理及可信验证服务器26为可信红外热成像摄像机1 发放证书,其公钥证书存放在证书管理及可信验证服务器26中,供系统内用户查询;私钥 证书存放在可信红外热成像摄像机1的专用安全芯片中,专用安全芯片本身所具有的技术 特性能够保证存放在其中的私钥证书任何时间不会被任何人从外部读出,对可信红外热成 像系统的证书发放工作可在设备出厂时或设备开始运行前执行一次即可。2、可信红外热成像摄像机1正常工作时,采集红外热图像,经A/D转换,再经图像 处理,一路生成模拟视频信号输出,一路进行压缩编码运算生成如表1中所示的含有包头 (包头中含有帧序号、帧属性、时间戳等信息)的I帧或P帧数据的普通网络视频码流,将普 通网络视频码流按照前述的可信数据计算过程依次算得HI/HP、SHI/SHP、ITED/PTED,将普通网络视频码流以及ITED/PTED合成为表2所示的可信网络视频数据流,并通过以太网输 出物理接口 16向外发出。3、监控中心2在传输设备21上接收可信红外热成像摄像机1发出的可信网络视 频数据流,存储在存贮器24上。4、若要显示可信红外热成像图像,可由数字视频解码器22将网络视频数据流解 码到显示器23上显示。5、若要对可信网络视频数据流中的某一帧进行可信验证,其验证过程为A、通过该帧数据的帧序号(存放在包头内),找到对应帧序号与之相同的可信数 据 ITED 或 PTED。B、在ITED或PTED中分离出设备ID,并根据此设备ID向证书管理及可信验证服务 器26索取与之对应的公钥证书。C、使用得到的公钥证书及ITED或PTED中指定的签名算法对SHI或SHP进行解密 运算,得到DSHD (DSHD是从可信数据中恢复出来的视频数据摘要)。D、使用ITED或PTED中指定的摘要算法对该帧(I或P)数据做摘要计算,得到 HD (HD是通过自己计算获得的视频数据摘要)。E、比较DSHD和HD,若DSHD = HD,则表明该帧数据未被篡改过;否则,即 DSHD辛HD,则表明该帧数据曾经被篡改过。
权利要求一种使用数字签名技术的可信红外热成像系统,其特征在于,包括可信红外热成像摄像机,所述可信红外热成像摄像机包括光学系统,所述光学系统与图像采集及视频信号放大模块连接,所述图像采集及视频信号放大模块与图像处理模块连接,所述图像处理模块与压缩编码模块连接,所述压缩编码模块与可信计算模块连接,所述可信计算模块及压缩编码模块均与数据合成模块连接,所述可信红外热成像摄像机上设置了以太网输出物理接口,所述以太网输出物理接口与监控中心连接。
2.根据权利要求1所述的使用数字签名技术的可信红外热成像系统,其特征在于,所 述监控中心包括传输设备,所述传输设备与存贮器、控制终端、数字视频解码器、证书管理 及可信验证服务器连接,所述数字视频解码器与显示器连接。
3.根据权利要求1所述的使用数字签名技术的可信红外热成像系统,其特征在于,所 述可信红外热成像摄像机还设置了视频系统接口、电源模块接口及通讯设备接口。
专利摘要本实用新型的使用数字签名技术的可信红外热成像系统,包括设有光学系统的可信红外热成像摄像机,光学系统与图像采集及视频信号放大模块连接,图像采集及视频信号放大模块与图像处理模块连接,图像处理模块与压缩编码模块连接,压缩编码模块与可信计算模块连接,可信计算模块及压缩编码模块均与数据合成模块连接,可信红外热成像摄像机上设置了以太网输出物理接口,以太网输出物理接口与监控中心连接。本实用新型是在普通红外热成像系统中增加压缩编码和可信数据编码部件,使得红外热成像图像可以方便地接入监控中心,实现图像信息资源共享和统一集中监控,并提高秘密篡改数据的难度及成本,达到有效防止篡改、保持视频数据可信性的效果。
文档编号H04N7/26GK201657196SQ20092027819
公开日2010年11月24日 申请日期2009年12月23日 优先权日2009年12月23日
发明者刘慧念, 宋春, 张俊业, 房子河, 王艳艳, 赵振涛, 郅晨, 郑裕林, 陈朝武 申请人:公安部第一研究所;北京中盾安全技术开发公司