一种sip安全防范视频监控入网控制系统的制作方法

一种sip安全防范视频监控入网控制系统的制作方法
【专利摘要】本发明涉及一种SIP安全防范视频监控入网控制系统，包括SIP终端、SIP服务器和认证服务器；所述SIP终端、SIP服务器及认证服务器配合完成设备入网注册，SIP终端、SIP服务器配合完成单播秘钥及安全会话协商，各通信的SIP终端间进行双向身份认证，认证通过交互数据；本发明采用在线可信第三方的实体鉴别机制，实现网络接入过程中实体之间的双向身份鉴别操作，且需要通信的两个SIP终端间需进行点对点令牌交换实现双向身份认证，建立安全的通信通道后，才能进行数据交互，这为数据的安全传输提供一个可靠的环境。
【专利说明】-种SIP安全防范视频监控入网控制系统

【技术领域】
[0001] 本发明涉及视频监控联网领域，尤其涉及一种SIP安全防范视频监控入网控制系 统。

【背景技术】
[0002] SIP安全防范视频监控联网系统是基于IP网络和SIP协议（用于创建、修改和释 放一个或多个参与者会话的应用层信令控制协议）的视频远程监控、传输、存储、管理的系 统。该系统将分散独立的视频图像采集点进行联网，实现了跨区域的统一监控、存储、管理 和资源共享。系统一般情况下包括以下组成部分：SIP终端（支持SIP协议通信的摄像机、 网络硬盘录像机、用户客户端）、SIP服务器、信令安全路由网关。
[0003] 作为一种重要的安全防范系统，近年来，SIP安全防范视频监控联网系统不仅在城 市治安视频监控系统乃至平安城市的建设中获得了应用，而且也逐渐在一些民用的设施、 居住和工作场所（如酒店、个人住所、办公室）中获得了大规模的推广。
[0004] 但是，由于IP网络固有的开放式特点，IP网络和SIP协议本身存在的安全缺陷以 及应用系统的网络安全隐患，设备、系统及其监控数据也就不可避免地面临着一系列的信 息安全问题。
[0005] 系统的信息安全，总的来说分为以下3个方面：网络接入安全、传输安全和数据存 储、访问安全。其中，网络接入安全是指接入网络过程的安全，包括设备接入网络和用户接 入网络两种，设备接入网络的安全是指在监控设备接入网络的过程中，实现设备与网络之 间的双向身份鉴别，有效阻止不符合安全要求的视频监控设备访问网络，并且避免设备接 入不符合安全要求的网络。用户接入网络的安全则是指在监控用户（客户端）在访问查 看视频数据之前的接入网络过程中，网络通过对用户的身份认证实现对用户权限的有效管 控。
[0006] 目前，现有系统或标准中建议使用终端安全接入管理机制提供多种安全接入认 证，例如使用IEEE802. lx端口访问机制、IEEE802. lli协议等来保障网络接入安全。但是 以上现有的安全技术，都存在着单向认证的安全漏洞，未考虑中间人攻击，密钥管理复杂， 系统可扩展性和灵活性差等缺陷。


【发明内容】

[0007] 本发明所要解决的技术问题是针对现有技术的不足，提供一种SIP安全防范视频 监控入网控制系统。
[0008] 本发明解决上述技术问题的技术方案如下：一种SIP安全防范视频监控入网控制 系统，包括SIP终端、SIP服务器和认证服务器；
[0009] 所述SIP终端，其用于在进行信息交互前在SIP服务器处经过三元对等身份认证 完成注册，并与SIP服务器进行单播密钥及安全会话协商，获取所需密钥；各SIP终端间还 进行点对点令牌交换，实现双向身份认证，认证通过的SIP终端间进行数据交互；
[0010] 所述SIP服务器，其用于与认证服务器配合为各SIP终端提供注册服务；与SIP终 端进行单播密钥及安全会话协商；作为密钥分发中心，向各SIP终端分发数据交互过程所 需的密钥；还用于管理网络中不同SIP终端间的SIP会话；
[0011] 所述认证服务器，其用于为SIP终端和SIP服务器签发数字证书，并且作为在线可 信第一方认证服务器，提供SIP终端与SIP服务器间的身份鉴别服务。
[0012] 本发明的有益效果是：本发明采用在线可信第三方的实体鉴别机制，实现网络接 入过程中实体之间的双向身份鉴别操作，首先各SIP终端在接入其他SIP终端前在SIP服 务器处进行注册，并与SIP服务器完成单播密钥及安全会话协商，SIP服务器为需要通信的 两个SIP终端下发通信链路及所需的秘钥，两个SIP终端进行点对点令牌交换实现双向身 份认证，建立了安全的通信通道，为数据的安全传输提供一个可靠的环境。
[0013] 在上述技术方案的基础上，本发明还可以做如下改进。
[0014] 进一步，所述SIP终端包括第一注册模块、第一单播密钥及安全会话协商模块、终 端身份双向认证模块、终端会话模块和第一注销模块；所述SIP服务器包括第二注册模块、 第二单播密钥及安全会话协商模块和第二注销模块；所述认证服务器包括第三注册模块；
[0015] 所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的 注册过程；
[0016] 所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进 行SIP终端与SIP服务器的单播密钥及安全会话协商；
[0017] 所述各SIP终端的终端身份双向认证模块之间交换点对点令牌，实现双向身份认 证；
[0018] 所述各SIP终端的终端会话模块之间传递数据；
[0019] 所述第一注销模块和第二注销模块配合实现SIP终端的注销操作，注销认证通 过，则SIP终端允许离网。
[0020] 进一步，所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP 终端的注册过程如下：
[0021] 步骤1. 1 :第一注册模块向第二注册模块发送触发注册请求消息Ml ;
[0022] 步骤1. 2 :第二注册模块在收到第一注册模块发送的触发注册请求Ml后，向所述 第一注册模块发送触发注册响应消息M2 ;
[0023] 步骤1. 3 :所述第一注册模块验证触发响应消息M2的合法性，若合法，向第二注册 模块发送接入认证请求M3 ;否则返回步骤1. 1 ;
[0024] 步骤1. 4 :第二注册模块验证所述第一注册模块发送的接入认证请求M3的合法 性，若合法，第二注册模块向第三注册模块发送证书认证请求M4,执行步骤1. 5 ;否则向第 一注册模块发送注册失败的信息，返回步骤1. 1 ;
[0025] 步骤1. 5 :第三注册模块验证所述第二注册模块发送的证书认证请求M4的合法 性，若合法，则生成验证结果并对验证结果签名，将携带已签名的验证结果的证书认证响应 消息M5发送给第二注册模块，执行步骤1. 6 ;否则向第二注册模块发送证书认证失败的信 息，返回步骤1. 1 ;
[0026] 步骤1. 6 :第二注册模块验证证书认证响应消息M5的合法性，若合法，则验证第三 注册模块对证书验证结果的签名字段的合法性，若合法，则查看证书验证结果字段中第一 注册模块的证书验证结果，根据此字段来决定是否允许第一注册模块接入，进而封装得到 接入认证响应消息M6并发送给第一注册模块，执行步骤1. 7 ;否则向第三注册模块发送认 证失败的信息，返回步骤1.1;
[0027] 步骤1. 7 :第一注册模块验证接入认证响应消息M6的合法性，若合法，则验证第 三注册模块对则证书验证结果的签名字段的合法性，若合法，则查看证书验证结果字段中 第二注册模块的证书验证结果，根据此字段决定是否接入该第二注册模块，如决定接入该 第二注册模块，则进入待会话状态；否则向第二注册模块发送认证失败的信息，返回步骤 1. 1。
[0028] 进一步，所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商 模块进行SIP终端与SIP服务器的单播密钥及安全会话协商的过程如下：
[0029] 步骤2. 1 :第二单播密钥及安全会话协商模块向第一单播密钥及安全会话协商模 块发送单播密钥和安全会话协商请求M7 ;
[0030] 步骤2. 2 :第一单播密钥及安全会话协商模块对接收到的单播密钥和安全会话协 商请求M7进行验证，验证通过，则生成单播密钥和安全会话协商响应消息M8,并发送给第 二单播密钥及安全会话协商模块；
[0031] 步骤2. 3 :第二单播密钥及安全会话协商模块对接收的单播密钥和安全会话协商 响应消息M8进行验证，验证通过，则生成单播密钥与安全会话协商确认消息M9,并发送给 第一单播密钥及安全会话协商模块；
[0032] 步骤2. 4 :第一单播密钥及安全会话协商模块对接收到单播密钥与安全会话协商 确认。
[0033] 进一步，所述各SIP终端的终端身份双向认证模块之间交换点对点令牌，实现双 向身份认证的具体实现为：
[0034] 步骤3. 1 :两个SIP终端的终端身份双向认证模块交换点对点认证令牌；
[0035] 步骤3. 2 :两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令 牌中的单播数据消息认证码，验证通过，则执行步骤3. 3 ;否则返回步骤3. 1，并当执行预定 次数后仍验证不通过的话则终止本次点对点认证过程；
[0036] 步骤3. 3 :检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所 认同的一致，如果一致，则执行步骤3. 4 ;否则返回步骤3. 1，并当执行预定次数后仍验证不 通过的话则终止本次点对点认证过程；
[0037] 步骤3.4 :检查对方的当前系统时间与自己的系统时间之差，如果在预定接受的 范围内，则完成点对点认证令牌验证工作，实现点对点认证；否则返回步骤3. 1，并当执行 预定次数后仍验证不通过的话则终止本次点对点认证过程。
[0038] 进一步，所述第一注销模块和第二注销模块配合实现SIP终端的注销操作，注销 认证通过，则SIP终端允许离网的实现过程为：
[0039] 步骤4. 1 :SIP终端向SIP服务器发送注销请求消息Mil ;
[0040] 步骤4. 2 :SIP服务器收到注销请求消息Mil后生成一个挑战随机数nonce，并生 成注销响应消息M12发给SIP终端；
[0041] 步骤4. 3 :SIP终端按照以下方式计算并重新封装注销请求消息M13发送给SIP服 务器；
[0042] HA1 = SHA256[username I |realm] (password]
[0043] HA2 = SHA256[methodI | (to:field)]
[0044] Response = SHA256[HAl| |nonce] |HA2]
[0045] 其中，username为SIP终端的用户名，realm为SIP终端所属的SIP监控域； password为SIP终端的秘密口令；method为消息类型，to :field为接收者的账户信 息，nonce为SIP服务器生成的随机数；
[0046] 步骤4. 4 :SIP服务器验证挑战随机数nonce,从数据库中读取username所对应的 password, SIP服务器按照与SIP终端相同的方式来计算得到Response'，并对比Response 与Response'是否一致，若一致，则注销认证成功。
[0047] 进一步，所述认证服务器还包括证书生成及下发模块，其用于生成自身数字证书、 SIP终端的数字证书及SIP服务器的数字证书，并预先将SIP终端的数字证书和SIP服务 器的数字证书分别下发给SIP终端和SIP服务器，并将自身的数字证书发送给SIP终端和 SIP服务器。
[0048] 进一步，所述SIP终端的终端身份双向认证模块还用于设定认证有效期，当有效 期届满时，两个SIP终端需要进行点对点重认证操作，具体实现为两个SIP终端之间交换点 对点重认证令牌，按照初次认证的步骤进行重认证；当两个SIP终端需暂时关闭会话时，两 个SIP终端需交换点对点会话关闭令牌，认证通过则关闭会话；当两个SIP终端要彻底关闭 通信链路时，两个SIP终端除交换点对点会话关闭令牌之外，还需要交换点对点链路关闭 令牌，认证通过时，彻底关闭链路。
[0049] 进一步，所述SIP终端包括SIP视频采集设备、SIP视频存储设备和SIP客户端；
[0050] 所述SIP视频采集设备，其用于采集视频信息并进行处理，并将处理后的视频信 息发送给SIP视频存储设备；
[0051] 所述SIP视频存储设备，其用于存储SIP视频采集设备上传的视频信息，供SIP客 户端调阅实时或历史视频数据；
[0052] 所述SIP客户端，其用于向SIP视频存储设备发送调阅实时或历史视频数据的请 求，从SIP视频存储设备获取视频数据。
[0053] 进一步，所述SIP服务器其还用于实现安全信令路由功能。

【专利附图】

【附图说明】
[0054] 图1为本发明一种SIP安全防范视频监控入网控制系统示意图；
[0055] 图2为本发明所述SIP终端、SIP服务器和认证服务器内部结构框图；
[0056] 图3为本发明所述两设备间状态转换图；
[0057] 图4为SIP终端注册过程示意图；
[0058] 附图中，各标号所代表的部件列表如下：
[0059] 1、SIP终端，2、SIP服务器，3、认证服务器。

【具体实施方式】
[0060] 以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并 非用于限定本发明的范围。
[0061] 如图1所示，设定网络中三个网络元素（A、B、C元），每一个元对应网络中的一类 网络实体，解释如下：
[0062] A元SIP终端（支持SIP协议的SIP摄像机IPC、SIP网络硬盘录像机NVR、SIP 用户客户端Client)，即支持SIP信令协议的摄像机、网络硬盘录像机和用户客户端，由于 SIP终端中都运行SIP会话所需的核心程序即SIP用户代理（SIP User Agent，SIP UA)程 序，因此，在本专利中，SIP终端等同于SIP UA，SIP终端和SIP UA都是相对于SIP服务器 来说的。其中，
[0063] SIP摄像机，本专利中简称为IPC，一种包括视频采集模块、视频处理模块及信息 安全处理模块、视频存储模块、通信模块的网络摄像机。视频采集模块负责完成视频采集相 关工作。视频处理模块负责对摄像机采集的媒体流数据进行预处理、压缩编码等相关工作。 信息安全处理模块负责摄像机设备的身份鉴别，以及对媒体流数据、信令流数据进行加解 密和数据完整性保护等安全操作。视频存储模块负责将经过处理后的媒体流数据进行本地 存储。通信模块负责将经过处理后的媒体流数据、信令流数据等所有数据进行网络传输。
[0064] SIP网络硬盘录像机，本专利中简称NVR，提供实时媒体流（包括音/视频流）的 转发服务，提供媒体流的存储、历史信息的检索和点播服务。媒体服务器接收来自SIP摄像 机或其他媒体服务器等设备的密文媒体数据，并根据指令，将这些数据转发到其他单个或 多个SIP用户客户端和SIP网络硬盘录像机。
[0065] SIP用户客户端，本专利中简称Client，具有接收、解密和播放码流等功能的客 户端设备，主要包括用户界面、用户代理（SIP逻辑终端实体）、信息安全处理模块（如以 USBKey形式存在）、媒体解码模块和媒体通信模块。
[0066] B元一SIP服务器（集SIP代理服务器、SIP重定向服务器、SIP位置服务器、SIP 注册服务器等逻辑功能和实体为一体的SIP服务器平台），本专利中简称SIP Server，主要 负责创建和维护SIP会话，并控制SIP终端的网络接入。
[0067] C元 后台网络的认证服务器Radius Server (也可为Diameter Server)，本专 利中简称认证服务器，负责为SIP终端和SIP服务器等网络实体签发公钥证书，并且作为在 线可信第三方认证服务器，为其他网络实体提供实体身份鉴别服务。
[0068] 在SIP服务器中运行有Radius client (或Diameter Client)，负责与认证服务器 Radius Server (或 Diameter Server)进行通信。
[0069] 所述认证服务器并不是一种SIP服务器，而是通过引入一种通用的认证服务器 (Radius服务器或者Diameter服务器，Radius或者Diameter都是一种AAA协议，AAA具体 指认证（Authentication):验证用户的身份与可使用的网络服务；授权（Authorization): 依据认证结果开放网络服务给用户；计帐（Accounting):记录用户对各种网络服务的用 量，并提供给计费系统）来保证网络中的SIP信令、会话以及相关通信的安全。此外，本申 请，在网络架构方面也做了一些创新，比如原来的系统中信令安全路由器网关是在每一个 SIP监控域中的，而本申请则是把认证服务器放在SIP监控域之外，将安全信令路由的功能 转移到SIP服务器处（因为SIP的信令在后台认证服务器的帮助下已经获得了安全保护， 所以可以将安全信令路由的功能转移到SIP服务器处）。
[0070] 如图2所示，一种SIP安全防范视频监控入网控制系统，包括SIP终端1、SIP服务 器2和认证服务器3 ;
[0071 ] 所述SIP终端1，其用于在进行信息交互前在SIP服务器处经过三元对等身份认证 完成注册，并与SIP服务器进行单播密钥及安全会话协商，获取所需密钥；各SIP终端间还 进行点对点令牌交换，实现双向身份认证，认证通过的SIP终端间进行数据交互；
[0072] 所述SIP服务器2,其用于与认证服务器配合为各SIP终端提供注册服务；与SIP 终端进行单播密钥及安全会话协商；作为密钥分发中心，向各SIP终端分发数据交互过程 所需的密钥；还用于管理网络中不同SIP终端间的SIP会话；
[0073] 所述认证服务器3,其用于为SIP终端和SIP服务器签发数字证书，并且作为在线 可信第三方认证服务器，提供SIP终端与SIP服务器间的身份鉴别服务。
[0074] 其中，所述SIP终端1包括第一注册模块、第一单播密钥及安全会话协商模块、终 端身份双向认证模块、终端会话模块和第一注销模块；所述SIP服务器2包括第二注册模 块、第二单播密钥及安全会话协商模块和第二注销模块；所述认证服务器3包括第三注册 模块。
[0075] 所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的 注册过程，其具体实现为：
[0076] 步骤1. 1 :第一注册模块向第二注册模块发送触发注册请求消息Ml ;
[0077] 步骤1. 2 :第二注册模块在收到第一注册模块发送的触发注册请求Ml后，向所述 第一注册模块发送触发注册响应消息M2 ;
[0078] 步骤1. 3 :所述第一注册模块验证触发响应消息M2的合法性，若合法，向第二注册 模块发送接入认证请求M3 ;否则返回步骤1. 1 ;
[0079] 步骤1. 4 :第二注册模块验证所述第一注册模块发送的接入认证请求M3的合法 性，若合法，第二注册模块向第三注册模块发送证书认证请求M4,执行步骤1. 5 ;否则向第 一注册模块发送注册失败的信息，返回步骤1. 1 ;
[0080] 步骤1. 5 :第三注册模块验证所述第二注册模块发送的证书认证请求M4的合法 性，若合法，则生成验证结果并对验证结果签名，将携带已签名的验证结果的证书认证响应 消息M5发送给第二注册模块，执行步骤1. 6 ;否则向第二注册模块发送证书认证失败的信 息，返回步骤1. 1 ;
[0081] 步骤1. 6 :第二注册模块验证证书认证响应消息M5的合法性，若合法，则验证第三 注册模块对证书验证结果的签名字段的合法性，若合法，则查看证书验证结果字段中第一 注册模块的证书验证结果，根据此字段来决定是否允许第一注册模块接入，进而封装得到 接入认证响应消息M6并发送给第一注册模块，执行步骤1. 7 ;否则向第三注册模块发送认 证失败的信息，返回步骤1.1;
[0082] 步骤1. 7 :第一注册模块验证接入认证响应消息M6的合法性，若合法，则验证第 三注册模块对则证书验证结果的签名字段的合法性，若合法，则查看证书验证结果字段中 第二注册模块的证书验证结果，根据此字段决定是否接入该第二注册模块，如决定接入该 第二注册模块，则进入待会话状态；否则向第二注册模块发送认证失败的信息，返回步骤 1. 1。
[0083] 所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进 行SIP终端与SIP服务器的单播密钥及安全会话协商，其具体实现为：
[0084] 步骤2. 1 :第二单播密钥及安全会话协商模块向第一单播密钥及安全会话协商模 块发送单播密钥和安全会话协商请求M7 ;
[0085] 步骤2. 2 :第一单播密钥及安全会话协商模块对接收到的单播密钥和安全会话协 商请求M7进行验证，验证通过，则生成单播密钥和安全会话协商响应消息M8,并发送给第 二单播密钥及安全会话协商模块；
[0086] 步骤2. 3 :第二单播密钥及安全会话协商模块对接收的单播密钥和安全会话协商 响应消息M8进行验证，验证通过，则生成单播密钥与安全会话协商确认消息M9,并发送给 第一单播密钥及安全会话协商模块；
[0087] 步骤2. 4 :第一单播密钥及安全会话协商模块对接收到单播密钥与安全会话协商 确认。
[0088] 所述各SIP终端的终端身份双向认证模块之间交换点对点令牌，实现双向身份认 证，其具体实现为：
[0089] 步骤3. 1 :两个SIP终端的终端身份双向认证模块交换点对点认证令牌；
[0090] 步骤3. 2 :两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令 牌中的单播数据消息认证码，验证通过，则执行步骤3. 3 ;否则返回步骤3. 1，并当执行预定 次数后仍验证不通过的话则终止本次点对点认证过程；
[0091] 步骤3. 3 :检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所 认同的一致，如果一致，则执行步骤3. 4 ;否则返回步骤3. 1，并当执行预定次数后仍验证不 通过的话则终止本次点对点认证过程；
[0092] 步骤3. 4 :检查对方的当前系统时间与自己的系统时间之差，如果在预定接受的 范围内，则完成点对点认证令牌验证工作，实现点对点认证；否则返回步骤3. 1，并当执行 预定次数后仍验证不通过的话则终止本次点对点认证过程。
[0093] 所述各SIP终端的终端会话模块之间传递数据；当SIP终端想要离网时，所述第一 注销模块和第二注销模块配合实现SIP终端的注销操作，注销认证通过，则SIP终端允许离 网，具体实现为：
[0094] 步骤4. 1 :SIP终端向SIP服务器发送注销请求消息Mil ;
[0095] 步骤4. 2 :SIP服务器收到注销请求消息Mil后生成一个挑战随机数nonce，并生 成注销响应消息M12发给SIP终端；
[0096] 步骤4. 3 :SIP终端按照以下方式计算并重新封装注销请求消息M13发送给SIP服 务器；
[0097] HA1 = SHA256[username||realm](password]
[0098] HA2 = SHA256[methodI | (to:field)]
[0099] Response = SHA256[HAl| |nonce] |HA2]
[0100] 其中，username为SIP终端的用户名，realm为SIP终端所属的SIP监控域； password为SIP终端的秘密口令；method为消息类型，to :field为接收者的账户信 息，nonce为SIP服务器生成的随机数；
[0101] 步骤4. 4 :SIP服务器验证挑战随机数nonce,从数据库中读取username所对应的 password, SIP服务器按照与SIP终端相同的方式来计算得到Response'，并对比Response 与Response'是否一致，若一致，则注销认证成功。
[0102] 所述认证服务器还包括证书生成及下发模块，其用于生成自身数字证书、SIP终端 的数字证书及SIP服务器的数字证书，并预先将SIP终端的数字证书和SIP服务器的数字 证书分别下发给SIP终端和SIP服务器，并将自身的数字证书发送给SIP终端和SIP服务 器。
[0103] 所述SIP终端的终端身份双向认证模块还用于设定认证有效期，当有效期届满 时，两个SIP终端需要进行点对点重认证操作，具体实现为两个SIP终端之间交换点对点重 认证令牌，按照初次认证的步骤进行重认证；当两个SIP终端需暂时关闭会话时，两个SIP 终端需交换点对点会话关闭令牌，认证通过则关闭会话；当两个SIP终端要彻底关闭通信 链路时，两个SIP终端除交换点对点会话关闭令牌之外，还需要交换点对点链路关闭令牌， 认证通过时，彻底关闭链路。
[0104] 所述SIP终端包括SIP视频采集设备、SIP视频存储设备和SIP客户端；
[0105] 所述SIP视频采集设备，其用于采集视频信息并进行处理，并将处理后的视频信 息发送给SIP视频存储设备；
[0106] 所述SIP视频存储设备，其用于存储SIP视频采集设备上传的视频信息，供SIP客 户端调阅实时或历史视频数据；
[0107] 所述SIP客户端，其用于向SIP视频存储设备发送调阅实时或历史视频数据的请 求，从SIP视频存储设备获取视频数据。
[0108] 如图3所示，网络中的每一个设备为与自己直接通信的设备之间的通信维护两个 状态变量：链路认证状态和会话关联状态。这两个变量为每个设备建立了三种状态：未链 路认证未会话关联（初始状态）、已链路认证未会话关联、已链路认证已会话关联。
[0109] 利用本发明所述SIP安全防范视频监控入网控制系统，可实现设备和用户网络接 入安全。根据设备接入中安全连接的建立过程，将所有的接入过程总体上分为三个场景 ：
[0110] 即场景1(IPC安全接入NVR，IPC将采集的视频数据加密后上传至NVR处进行密文 存储）；
[0111] 场景2 (Client安全接入NVR，Client向NVR发出视频访问请求，NVR将相应的密 文视频转发给Client);
[0112] 场景3 (IPC、NVR、Client在SIP Server完成注销操作，离开该网络）。
[0113] 上述3种场景的共同点，场景1和场景2是非常类似的，分别是IPC或Client安 全接入NVR处，目的是分别与NVR进行安全通信而创建一个安全链接和会话，IPC为的是将 采集的视频数据安全的传输至NVR处进行密文存储，而Client为的是访问NVR中存储的密 文视频数据（实时的或历史的视频数据）。
[0114] 场景3与场景1和场景2对比起来，显得不太一样，场景1和2描述的是三种SIP 终端（IPC、NVR、Client)安全接入网络，并且相互之间（IPC与NVR之间、Client与NVR之 间）创建安全链接和会话的过程，而场景3描述的则是三种SIP终端（IPC、NVR、Client)离 开网络的过程。
[0115] 在注册时，设备间的身份认证过程中，包括三种网络实体A、B、C。第三个实体C是 完全被A和B信任的第三方，A和B都有由C颁发的一个公钥证书，并且C也保存有A和B 的公钥证书。身份认证过程步骤如下：
[0116] - 向A发送自己的身份信息（如公钥证书）和相关的可选信息（如对整 个数据包的数字签名）；
[0117] 2)A -B:A向B发送自己的身份信息（如公钥证书）和相关的可选信息（如对整 个数据包的数字签名）；
[0118] 3)B - C:B将A和B的身份信息及其他相关信息发送给在线可信第三方C来进行 验证；
[0119] 4)C -B:C将验证结果返回给B ;
[0120] 5)B - A:B依据C的验证结果来决定是否允许A接入自己，此外，B还将C的验证 结果发送给A，A依据该结果来决定是否接入B。
[0121] 场景1，IPC安全接入NVR，具体步骤如下：
[0122] 1)NVR首先在SIP服务器处经过如图4所示的身份认证（图4中的A为NVR，B为 SIP服务器、C为认证服务器）之后完成注册【（NVR VS SIP服务器）状态1 -状态2,已链 路认证、未会话关联】；
[0123] 2)NVR与SIP服务器完成单播密钥协商过程【（NVR VS SIP服务器）状态2 -状态 3,已链路认证、已会话关联】，NVR等待IPC的接入（等待接收IPC的视频数据）；
[0124] 3) IPC在SIP服务器处经过三元对等身份认证（图4中的A为IPC，B为SIP服务 器、C为认证服务器）之后完成注册【（IPC VS SIP服务器）状态1 -状态2,已链路认证、 未会话关联】；
[0125] 4) IPC与SIP服务器完成单播密钥协商过程【（IPC VS SIP服务器）状态2 -状态 3,已链路认证、已会话关联】；
[0126] 5)基于IPC、NVR与SIP服务器各自的单播密钥，SIP服务器扮演一个密钥分发中 心的角色，生成并分发IPC与NVR peer-to-peer通信的认证密钥；
[0127] 6)基于步骤5中的认证密钥，IPC与NVR完成peer-to-peer双向身份认证【（IPC VS NVR)状态1 -状态2,已链路认证、未会话关联】；
[0128] 7) IPC将密文视频数据上传到NVR处进行密文存储【（IPC VS NVR)状态2 -状态 3,已链路认证、已会话关联】；
[0129] 8)在步骤6中，IPC与NVR已经建立了 peer-to-peer通信链路，并且通信双方处 于已链路认证、已会话关联状态。当会话的认证期满时【（IPC VS NVR)状态3 -状态2,已 链路认证、未会话关联】，IPC与NVR之间需要基于上次认证的共享密钥来进行重认证操作， 并生成下一次重认证的密钥材料。重认证完成后【（IPC VS NVR)状态2-状态3,已链路认 证、已会话关联】；
[0130] 9)当IPC由于某些原因（如IPC检测到网络拥塞了）要暂时停止向NVR传输密文 视频数据或者NVR由于存储空间不足时无法继续接收IPC的视频数据时，IPC、NVR在经过 认证操作后，任何一方都可以主动地暂时关闭当前的视频传输会话。【（IPC VS NVR)状态 3 -状态2,已链路认证、未会话关联】；
[0131] 当IPC要彻底断开与当前NVR的链路时（不需再创建会话，IPC将转接入其他的 NVR)，在经过认证操作之后，IPC、NVR中的一方都可以主动地彻底解除当前的认证链路。 【（IPC VS NVR)状态2 -状态1，未链路认证、未会话关联】。
[0132] 场景2, Client安全接入NVR，具体步骤如下：
[0133] 1) Client首先在SIP Server处经过三元对等身份认证（图4中的A为Client, B为SIP服务器、C为认证服务器）之后完成注册【（Client VS SIP服务器）状态1 -状态 2,已链路认证、未会话关联】；
[0134] 2) Client与SIP服务器完成单播密钥协商过程【（Client VS SIP服务器）状态 2 -状态3,已链路认证、已会话关联】；
[0135] 3)Client向SIP Server发送要访问的IPC信息和监控视频资源信息，SIP Server 向Client以安全的方式下发相应的视频加密密钥，其中，IPC、视频信息与视频加密密钥的 对应关系及相关的策略问题不在本专利规定范围内；
[0136] 4) Client以安全的方式得到视频加密密钥，并与NVR完成双向身份认证的操作， 接入之后【（Client VS NVR)状态1 -状态2,已链路认证、未会话关联】；
[0137] 5)Client向NVR发起调阅实时或历史视频数据的请求【（Client VS NVR)状态2 - 状态3,已链路认证、已会话关联】；
[0138] 6)NVR响应步骤5中Client的请求，将密文视频发送给Client,Client接收到密 文视频后，使用CK_Video来解密密文视频并播放；
[0139] 7)在步骤5和6中，Client与NVR已经建立了 peer-to-peer通信链路，并且通信 双方处于已链路认证、已会话关联状态。当会话的认证期满时【（Client VS NVR)状态3 - 状态2,已链路认证、未会话关联】，Client与NVR之间需要基于上次认证的共享密钥来进 行重认证操作，并生成下一次重认证的密钥材料。重认证通过之后【（Client VS NVR)状态 2 -状态3,已链路认证、已会话关联】；
[0140] 8)当Client要暂时停止从NVR接收密文视频数据时，经过认证操作后，Client关 闭与NVR的视频传输会话连接【（Client VS NVR)状态3 -状态2,已链路认证、未会话关 联】；
[0141] 9)当Client要彻底断开与NVR的链路时（不需再创建会话），在经过认证操作之 后，Client、NVR中的一方都可以主动地彻底地解除当前的认证链路【（Client VS NVR)状 态2 -状态1，未链路认证、未会话关联】。
[0142] 场景3, IPC、NVR、Client在SIP Server完成注销操作，离开该网络，具体包括以 下操作：
[0143] 1)经过IPC与SIP Server之间的注销认证操作后，IPC在SIP Server完成注销 彻底离开该网络。【（IPC VS SIP Server)状态3-状态1，未链路认证、未会话关联】；
[0144] 2)经过Client与SIP Server之间的注销认证操作后，Client在SIP Server完 成注销彻底离开该网络【（Client VS SIP Server)状态3-状态1，未链路认证、未会话关 联】；
[0145] 3)经过NVR与SIP Server之间的注销认证操作后，NVR在SIP Server完成注销 彻底离开该网络【（NVR VS SIP Server)状态3-状态1，未链路认证、未会话关联】。
[0146] 以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和 原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1. 一种SIP安全防范视频监控入网控制系统，其特征在于，包括SIP终端、SIP服务器 和认证服务器； 所述SIP终端，其用于在进行信息交互前在SIP服务器处经过三元对等身份认证完成 注册，并与SIP服务器进行单播密钥及安全会话协商，获取所需密钥；各SIP终端间还进行 点对点令牌交换，实现双向身份认证，认证通过的SIP终端间进行数据交互； 所述SIP服务器，其用于与认证服务器配合为各SIP终端提供注册服务；与SIP终端进 行单播密钥及安全会话协商；作为密钥分发中心，向各SIP终端分发数据交互过程所需的 密钥；还用于管理网络中不同SIP终端间的SIP会话； 所述认证服务器，其用于为SIP终端和SIP服务器签发数字证书，并且作为在线可信第 三方认证服务器，提供SIP终端与SIP服务器间的身份鉴别服务。
2. 根据权利要求1所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述 SIP终端包括第一注册模块、第一单播密钥及安全会话协商模块、终端身份双向认证模块、 终端会话模块和第一注销模块；所述SIP服务器包括第二注册模块、第二单播密钥及安全 会话协商模块和第二注销模块；所述认证服务器包括第三注册模块； 所述第一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的注册 过程； 所述第一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进行SIP 终端与SIP服务器的单播密钥及安全会话协商； 所述各SIP终端的终端身份双向认证模块之间交换点对点令牌，实现双向身份认证； 所述各SIP终端的终端会话模块之间传递数据； 所述第一注销模块和第二注销模块配合实现SIP终端的注销操作，注销认证通过，则 SIP终端允许离网。
3. 根据权利要求2所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述第 一注册模块、第二注册模块及第三注册模块之间相互配合完成SIP终端的注册过程如下 ： 步骤1. 1 :第一注册模块向第二注册模块发送触发注册请求消息Ml ; 步骤1. 2 :第二注册模块在收到第一注册模块发送的触发注册请求Ml后，向所述第一 注册模块发送触发注册响应消息M2 ; 步骤1. 3 :所述第一注册模块验证触发响应消息M2的合法性，若合法，向第二注册模块 发送接入认证请求M3 ;否则返回步骤1. 1 ; 步骤1. 4 :第二注册模块验证所述第一注册模块发送的接入认证请求M3的合法性，若 合法，第二注册模块向第三注册模块发送证书认证请求M4,执行步骤1. 5 ;否则向第一注册 模块发送注册失败的信息，返回步骤1. 1 ; 步骤1. 5 :第三注册模块验证所述第二注册模块发送的证书认证请求M4的合法性，若 合法，则生成验证结果并对验证结果签名，将携带已签名的验证结果的证书认证响应消息 M5发送给第二注册模块，执行步骤1. 6 ;否则向第二注册模块发送证书认证失败的信息，返 回步骤1. 1 ; 步骤1. 6 :第二注册模块验证证书认证响应消息M5的合法性，若合法，则验证第三注册 模块对证书验证结果的签名字段的合法性，若合法，则查看证书验证结果字段中第一注册 模块的证书验证结果，根据此字段来决定是否允许第一注册模块接入，进而封装得到接入 认证响应消息M6并发送给第一注册模块，执行步骤1. 7 ;否则向第三注册模块发送认证失 败的信息，返回步骤1.1; 步骤1. 7 :第一注册模块验证接入认证响应消息M6的合法性，若合法，则验证第三注册 模块对则证书验证结果的签名字段的合法性，若合法，则查看证书验证结果字段中第二注 册模块的证书验证结果，根据此字段决定是否接入该第二注册模块，如决定接入该第二注 册模块，则进入待会话状态；否则向第二注册模块发送认证失败的信息，返回步骤1. 1。
4. 根据权利要求2所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述第 一单播密钥及安全会话协商模块和第二单播密钥及安全会话协商模块进行SIP终端与SIP 服务器的单播密钥及安全会话协商的过程如下： 步骤2. 1 :第二单播密钥及安全会话协商模块向第一单播密钥及安全会话协商模块发 送单播密钥和安全会话协商请求M7 ; 步骤2. 2 :第一单播密钥及安全会话协商模块对接收到的单播密钥和安全会话协商请 求M7进行验证，验证通过，则生成单播密钥和安全会话协商响应消息M8,并发送给第二单 播密钥及安全会话协商模块； 步骤2. 3 :第二单播密钥及安全会话协商模块对接收的单播密钥和安全会话协商响应 消息M8进行验证，验证通过，则生成单播密钥与安全会话协商确认消息M9,并发送给第一 单播密钥及安全会话协商模块； 步骤2. 4 :第一单播密钥及安全会话协商模块对接收到单播密钥与安全会话协商确 认。
5. 根据权利要求2所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述 各SIP终端的终端身份双向认证模块之间交换点对点令牌，实现双向身份认证的具体实现 为： 步骤3. 1 :两个SIP终端的终端身份双向认证模块交换点对点认证令牌； 步骤3. 2 :两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令牌中 的单播数据消息认证码，验证通过，则执行步骤3. 3 ;否则返回步骤3. 1，并当执行预定次数 后仍验证不通过的话则终止本次点对点认证过程； 步骤3. 3 :检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所认同 的一致，如果一致，则执行步骤3. 4 ;否则返回步骤3. 1，并当执行预定次数后仍验证不通过 的话则终止本次点对点认证过程； 步骤3. 4 :检查对方的当前系统时间与自己的系统时间之差，如果在预定接受的范围 内，则完成点对点认证令牌验证工作，实现点对点认证；否则返回步骤3. 1，并当执行预定 次数后仍验证不通过的话则终止本次点对点认证过程。
6. 根据权利要求2所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述第 一注销模块和第二注销模块配合实现SIP终端的注销操作，注销认证通过，则SIP终端允许 离网的实现过程为： 步骤4. 1 :SIP终端向SIP服务器发送注销请求消息Mil ; 步骤4. 2 :SIP服务器收到注销请求消息Mil后生成一个挑战随机数nonce，并生成注 销响应消息Ml2发给SIP终端； 步骤4. 3 :SIP终端按照以下方式计算并重新封装注销请求消息M13发送给SIP服务 器； HA1 = SHA256[username I I realm I I password] HA2 = SHA256[methodI | (to:field)] Response = SHA256[HAl||nonce]|HA2] 其中，username为SIP终端的用户名，realm为SIP终端所属的SIP监控域；password 为SIP终端的秘密口令；method为消息类型，to :field为接收者的账户信息，nonce为SIP 服务器生成的随机数； 步骤4. 4 :SIP服务器验证挑战随机数nonce,从数据库中读取username所对应的 password, SIP服务器按照与SIP终端相同的方式来计算得到Response'，并对比Response 与Response'是否一致，若一致，则注销认证成功。
7. 根据权利要求2所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述 认证服务器还包括证书生成及下发模块，其用于生成自身数字证书、SIP终端的数字证书及 SIP服务器的数字证书，并预先将SIP终端的数字证书和SIP服务器的数字证书分别下发给 SIP终端和SIP服务器，并将自身的数字证书发送给SIP终端和SIP服务器。
8. 根据权利要求2所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述 SIP终端的终端身份双向认证模块还用于设定认证有效期，当有效期届满时，两个SIP终端 需要进行点对点重认证操作，具体实现为两个SIP终端之间交换点对点重认证令牌，按照 初次认证的步骤进行重认证；当两个SIP终端需暂时关闭会话时，两个SIP终端需交换点对 点会话关闭令牌，认证通过则关闭会话；当两个SIP终端要彻底关闭通信链路时，两个SIP 终端除交换点对点会话关闭令牌之外，还需要交换点对点链路关闭令牌，认证通过时，彻底 关闭链路。
9. 根据权利要求1所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述 SIP终端包括SIP视频采集设备、SIP视频存储设备和SIP客户端； 所述SIP视频采集设备，其用于采集视频信息并进行处理，并将处理后的视频信息发 送给SIP视频存储设备； 所述SIP视频存储设备，其用于存储SIP视频采集设备上传的视频信息，供SIP客户端 调阅实时或历史视频数据； 所述SIP客户端，其用于向SIP视频存储设备发送调阅实时或历史视频数据的请求，从 SIP视频存储设备获取视频数据。
10. 根据权利要求1所述一种SIP安全防范视频监控入网控制系统，其特征在于，所述 SIP服务器其还用于实现安全信令路由功能。
【文档编号】H04L29/06GK104113547SQ201410352691
【公开日】2014年10月22日 申请日期:2014年7月23日 优先权日:2014年7月23日
【发明者】芦翔, 吕世超, 孙利民, 石志强, 朱红松, 潘磊 申请人:中国科学院信息工程研究所