安全网络高清摄像机的制作方法

本发明涉及一种视频安全控制
技术领域：
，特别涉及一种安全网络高清摄像机。
背景技术：
：从模拟cctv向dvr数字监控转型的同时，网络化、高清化和智能化也逐渐融入到发展趋势中，行业对高清ipcamera的需求也日趋明确与强烈。特别是最近几年，实现高清网络监控的技术、产品条件已经有了实质性的进展。高清监控产品开始覆盖从前端的百万像素摄像机、高性能编解码器一直到后端的高清显示设备[1]。随着信息产业的发展，监控系统网络化、高清化进程加快，信息安全问题日益突出，这促使了基于密码学原理的安全网络摄像机的出现并在信息安全领域不断深入发展。目前大量的视频监控系统都是建立在ip网络或以太网之上，在现有的网络视频监控系统中，尤其是在一些关键部位(比如银行、军区、政府机关、交通枢纽等)的网络视频监控系统中，存在诸多的安全威胁，例如视频欺骗、视频非法截取、视频非法监听以及网络非法接入等，造成视频码流在网络传输的过程中入侵者可以通过多种途径对视频数据进行非法盗取、修改或破坏，造成视频数据外泄。为解决上述威胁，需要研制一种适用于现有高清网络监控体系、应用于政府部门和保密单位、具有信息安全特性的网络摄像机。该摄像机符合高清摄像机的基本要求，采用高效率的视频压缩技术满足实时视频传输的带宽要求，最大程度的还原图像视频画面，并且能够实现监控系统的镜头控制、图像处理、ptz控制、报警、一键复位等通用功能。而最重要的是该摄像机符合信息安全保密要求，建立相应的安全保密机制和服务，通过数据加密，实现监控系统中视频、图像等信息的安全性传输。技术实现要素：本发明的目的在于提供一种安全网络高清摄像机，用于解决上述现有技术的问题。本发明一种安全网络高清摄像机，其中，包括：处理器、密码芯片以及coms感测模块；其中，该处理器用于进行图像信号处理、图像压缩、解码以及控制图像的输入和输出；该cmos感测模块用于进行图像采集；该密码芯片用于进行视频数据的加密功能。根据本发明的安全网络高清摄像机的一实施例，其中，还包括：ddr内存，作为该安全网络高清摄像机的内存。根据本发明的安全网络高清摄像机的一实施例，其中，还包括：spiflash，用于为安全网络高清摄像机的程序存储器。根据本发明的安全网络高清摄像机的一实施例，其中，还包括：rs485模块，用于支持通过rs485串口实现摄像机的控制。根据本发明的安全网络高清摄像机的一实施例，其中，还包括：phy模块，用于摄像机音视频数据、控制信令的网络传输。根据本发明的安全网络高清摄像机的一实施例，其中，该处理器为hi3516芯片。根据本发明的安全网络高清摄像机的一实施例，其中，该密码芯片用于接收外部发送的密钥，并将图像加密。根据本发明的安全网络高清摄像机的一实施例，其中，改密码模块获取图像信息后，生成工作密钥，并将该工作密钥设置为加密模块第一加密通道的密钥；将外部申请的主密钥设置为该加密模块第二加密通道的密钥，该第二加密通道用于对该第一加密通道的该工作密钥进行加密。综上，本发明的安全网络高清摄像机，该摄像机搭载了基于国产密码芯片设计的数据加密模块，并利用该模块的硬件加密功能实现了摄像机通过密钥管理中心(kmc)进行视频数据加密的过程。该安全网络高清摄像机不仅可以满足目前高清网络监控的要求，还能保证视频数据在监控系统中传输的安全性，满足了政府部门及保密单位的安全使用要求。附图说明图1所示为本发明安全网络高清摄像机的模块图；图2所示为安全网络高清摄像机的加密工作流程图。具体实施方式为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。图1所示为本发明安全网络高清摄像机的模块图，如图1所示，安全网络高清摄像机包括：处理器1、密码芯片2以及coms感测模块5。参考图1，处理器1用于进行图像信号处理、图像压缩、解码以及控制图像的输入和输出。cmos感测模块5用于进行图像采集。密码芯片2用于进行高速视频数据的加密功能。参考图1，对于一种实施例，还包括ddr4，ddr4用于为安全网络高清摄像机的程序运行内存，支持数据总线位宽32/16bit，32bit模式支持最大存储空间1gb，16bit模式时512mb。参考图1，对于一种实施例，还包括：spiflash3，其用于为安全网络高清摄像机的程序存储器，主要存储uboot、kernel、文件系统等。参考图1，对于一种实施例，还包括：rs485模块6，其用于支持通过rs485串口实现摄像机的ptz控制。参考图1，对于一种实施例，还包括：phy模块7，用于实现摄像机音视频数据、控制信令的网络传输。参考图1，对于一种较佳实施例，处理器1为华为海思的hi3516芯片，具有1080p@30fpsh264多码流编码、智能加速引擎等特性，支持传感器接口,图像信号处理,图像压缩和解码、rs485控制接口、usb2.0接口、cvbs标清视频输出接口，以太网传输接口等。参考图1，对于一种较佳实施例，密码芯片2集成了高速的安全加密算法和通讯接口，能够实现高速视频数据的加密功能。密码芯片2集成了多种高速硬件加密算法模块，加密步骤由专有的模块实现，数据流加密速度可达25mb/s；拥有两个usb-otg接口，可根据应用需求设置成host、device或otg；支持国家密码管理局指定的对称密码算法、非对称密码算法和杂凑算法(sm1、sm2、sm3、sm4等)，同时支持国际通用的其他密码算法(des/3des、rsa等)。参考图1，对于一种较佳实施例，cmos感测模块5由sony6300机芯构成，该机芯采用一块2m分辨率的cmos图像感光芯片，内部集成了isp图像处理模块，具有极好的图像处理效果，可输出全高清1080p实时图像。参考图1，密钥管理中心(kmc)，可以由一服务器实现，主要由密钥产生、密钥分发、密钥保存、设备身份认证等功能模块构成。kmc密钥产生模块可以生成主密钥对加密工作密钥，工作密钥用于加密视频数据，由摄像机内部加密芯片2自己产生，通过主密钥公钥加密后保存在视频数据每一个i帧或p帧的开头。kmc分发密钥模块主要功能是下发主密钥公钥至摄像机、客户端或解码器，该操作一般发生在摄像机、客户端或解码器身份认证通过后。kmc密钥保存模块保存每一个合法的摄像机、客户端或解码器注册的身份认证公钥以及kmc密钥产生模块产生的主密钥对，这些密钥一般与对应的摄像机、客户端或解码器的id、口令以及搭载的加密模块的序列号一起保存在access数据库中。kmc的设备身份认证模块主要完成各设备、客户端以及解码器的身份合法性验证功能。安全摄像机的安全性体现在其输出数据是被加密的。数据窃取者通过非法渠道或者未经认证的设备获得的数据是加密后的数据，这些数据将不能正确还原成音视频，最终看到是乱码，无法获得有效信息。数据加密通常分为软件加密和硬件加密两种方式，但软件加密无法满足网络摄像机大码流视频流的实时性要求[4]，因此基于hi3516平台的安全网络高清摄像机采用硬件加密方式。国产密码芯片集成了多种高速硬件加密算法模块，数据流加密速度可达25mb/s，支持国家密码管理局指定的对称密码算法、非对称密码算法和杂凑算法(sm1、sm2、sm3、sm4等)，同时支持国际通用的其他密码算法(des/3des、rsa等)。本安全网络高清摄像机采用对称加密算法作为工作密钥对视频数据进行加密，同时采用sm2非对称加密算法作为主密钥对工作密钥进行加密保护，保证密钥数据的安全性。经过h264编码的视频数据按帧进行加密，在每一个i帧或p帧的帧头后插入自定义的sei段数据，该段数据主要用于后续客户端和解码器的视频数据解密。在安全级别要求较低时，也可以在实施过程中选择p帧不加密。安全视频流格式如下所示：i帧/p帧帧头sei段插入数据加密数据自定义的sei段数据结构体为：sei段头sei负载类型sei数据长度加密标志位加密算法加密数据长度加密数据起始长度模块存在标志位{工作密钥}安全摄像机主密钥自定义的sei段数据具体内容为：sei段头0000000106，sei负载类型0xf0，sei数据长度表示整个插入数据的长度，加密标志位表示当前数据是否加密，加密算法表示加密数据时采用的加密算法，加密数据长度表示待加密视频数据的长度，加密数据起始长度表示一帧视频数据加密的起始位置，模块存在标志位表示加密模块是否存在，{工作密钥}安全摄像机主密钥表示安全摄像机主密钥加密工作密钥之后的密钥数据。摄像机启动后，当有客户端或解码器向摄像机申请码流时，摄像机根据配置文件选择加密算法、是否进行p帧加密，打开加密模块该算法对应的加密通道以及sm2加密通道，同时开启加密模块正常工作检测线程和密钥更新线程，前者每隔一定时间检测加密模块是否存在并正常工作，后者每隔预定时间将密钥更新标志位置1。摄像机根据客户端或解码器申请的码流格式开启相对应的编码通道，并开启码流发送线程不断从编码通道中按帧获取h264码流。图2所示为安全网络高清摄像机的加密工作流程图，如图2所示，以sm4算法加密数据为例，具体的视频加密步骤为：1、摄像机按帧从编码通道获取h264码流；2、获取到h264码流后，根据密钥更新标志位判断是否需要更新密钥。如果不需要则直接执行3，否则加密模块生成新的sm4工作密钥，并将该密钥设置为加密模块sm4加密通道的密钥。将从kmc申请的sm2主密钥设置为加密模块sm2加密通道的密钥，该通道用于对sm4工作密钥进行加密，并用加密后的密钥数据更新自定义sei插入数据。3、判断获取的码流数据帧开头是否为0x(0000000165)，即是否为i帧。如果是则直接执行5，否则执行4；4、根据配置文件判断是否需要进行p帧加密，如果需要则执行5，否则执行7；5、根据实际数据帧更新自定义sei插入数据，包括加密标志位、加密数据长度、加密数据起始位置和加密模块是否存在标志位，并将其插入p帧和i帧帧头之后。6、将待加密数据通过usb接口发送给加密模块sm4加密通道进行加密。7、将视频数据通过网口发送给客户端或解码器。综上，本发明的安全网络高清摄像机，该摄像机搭载了基于国产密码芯片设计的数据加密模块，并利用该模块的硬件加密功能实现了摄像机通过密钥管理中心(kmc)进行视频数据加密的过程。该安全网络高清摄像机不仅可以满足目前高清网络监控的要求，还能保证视频数据在监控系统中传输的安全性，满足了政府部门及保密单位的安全使用要求。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。当前第1页12