一种身份验证系统的制作方法
【专利摘要】本发明公开了一种身份验证系统,应用于视频监控网络,包括管理服务器和客户端,所述客户端包括第一客户端和第二客户端,所述第一客户端访问管理服务器,由管理服务器生成对应的访问ID,并向管理服务器查询该访问ID是否已经获得授权,在获得授权后直接登录管理服务器;第二客户端携带访问ID连接管理服务器,在管理服务器中建立该访问ID、第二客户端和监控用户名的绑定关系,对第一客户端进行授权。本发明的身份验证系统由第二客户端移动终端通过指纹确认对第一客户端进行授权,不需要每次登录时输入复杂的用户名和密码,方便了用户在不同的客户端上进行登录。
【专利说明】
一种身份验证系统
技术领域
[0001]本发明属于安全验证技术领域,尤其涉及一种视频监控网络中的身份验证系统。
【背景技术】
[0002]视频监控是安全防范系统的重要组成部分,视频监控以其直观、准确、及时和信息内容丰富而广泛应用于许多场合。近年来,随着计算机、网络以及图像处理、传输技术的飞速发展,视频监控的普及化趋势越来越明显。
[0003]随着移动通信技术的发展,特别是3G/4G技术的普及,高带宽的移动服务为视频监控在移动终端上的实现提供了条件,越来越多的用户开始使用移动终端作为视频监控的客户端。用户在需要查看视频监控系统的录像或实况时,只需要通过移动终端登录视频监控系统的管理服务器,即可实现录像查看和实况监控。
[0004]在现有技术中,视频监控系统的身份验证主要是通过用户名和密码进行登录和验证。在某些视频监控系统中,还不能直接访问管理服务器,需要通过VPN的拨号后才能接入网络,此时还需要输入VPN拨号的用户名和密码。而对于需要多次输入用户名和密码的视频监控系统,用户的操作比较繁琐。密码设置的过于简单,容易被猜测被非法入侵,而如果密码设置的过于复杂,又不便于记忆和输入。
【发明内容】
[0005]本发明的目的是提供一种身份验证系统,避免了现有技术密码输入繁琐,不便于登录的技术问题,能够快速安全地接入视频监控系统。
[0006]为了实现上述目的,本发明技术方案如下:
[0007]—种身份验证系统,应用于视频监控网络,包括管理服务器和客户端,所述客户端包括第一客户端和第二客户端,其中:
[0008]所述第一客户端,用于携带自身的特征码访问管理服务器,根据管理服务器的反馈信息,显示对应的图形码,该图形码包含管理服务器根据所述特征码生成的访问ID,并向管理服务器查询该访问ID是否已经获得授权,在获得授权后直接登录管理服务器;
[0009]所述第二客户端,用于扫描第一客户端显示的图形码,携带第二客户端的特征码以及所述图形码中的访问ID连接管理服务器,在管理服务器中没有该访问ID、第二客户端特征码和监控用户名的绑定关系时,提示用户输入监控用户名和密码,向管理服务器发起登录,在验证通过后在管理服务器中记录该访问ID、第二客户端特征码与监控用户名的绑定关系,并在第二客户端上建立用户身份信息与该访问ID的绑定关系;在管理服务器中存在该访问ID、第二客户端特征码和监控用户名的绑定关系时,接收管理服务器的响应信息,根据提示输入用户身份信息,向管理服务器发送携带该访问ID和第二客户端特征码的授权信息;
[0010]管理服务器,用于在收到第二客户端携带特征码及访问ID的连接时,查询自身是否具有该访问ID、特征码和监控用户名的绑定关系,在存在该绑定关系时,向第二客户端发送响应消息,在收到第二客户端的授权信息后,判断授权信息是否与记录的访问ID、第二客户端特征码与监控用户名的绑定关系一致,如果一致则授权第一客户端登录;如果不存在该绑定关系,则通知第二客户端输入监控用户名和密码进行登录,在验证通过后,记录访问ID、第二客户端特征码和监控用户名的绑定关系。
[0011]进一步地,所述第一客户端还用于记录管理服务器返回的访问ID,在二次访问管理服务器时,携带该访问ID访问管理服务器,并显示带有该访问ID的图形码供第二客户端扫描。
[0012]所述管理服务器还用于接收第一客户端携带访问ID的访问,在收到第二客户端的授权信息后,判断授权信息是否与记录的访问ID、第二客户端特征码与监控用户名的绑定关系一致,如果一致则授权第一客户端登录。
[0013]进一步地,所述第一客户端还用于在管理服务器没有得到第二客户端的授权时,输入VPN用户名和密码进行VPN连接;在管理服务器得到第二客户端的授权时,直接根据管理服务器返回的VPN用户名和密码进行VPN连接。
[0014]所述图形码还包含管理服务器地址、VPN用户名与密码、VPN拨号后的管理服务器地址。
[0015]所述第二客户端还用于根据图形码中包含的VPN用户名与密码进行VPN拨号,与管理服务器建立VPN连接。
[0016]进一步地,所述管理服务器还用于记录第一客户端的访问ID及登录状态作为使用痕迹,将第一客户端的访问ID及管理使用痕迹的管理服务器IP地址和端口号发给第二客户端,第二客户端保留第一客户端的访问ID及管理使用痕迹的管理服务器IP地址和端口号。
[0017]所述第二客户端还用于向管理服务器发送断开连接请求,将所述访问ID发送给管理使用痕迹的管理服务器IP地址和端口号,所述管理服务器收到携带访问ID的断开连接请求后,终止与对应第一客户端的所有业务。
[0018]本发明提出的一种身份验证系统,通过管理服务器根据PC客户端特征码生成访问ID,并通过第二客户端移动终端登录管理服务器,在管理服务器中生成访问ID、移动终端和监控用户名的绑定关系,由移动终端通过指纹确认对第一客户端进行授权,实现在PC客户端免密码登录。本发明的身份验证系统,不需要每次登录时输入复杂的用户名和密码,方便了用户在不同的客户端上进行登录。
【附图说明】
[0019]图1为本发明实施例视频监控网络结构示意图;
[0020]图2为本发明身份验证系统结构示意图。
【具体实施方式】
[0021]下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
[0022]如图1所示,视频监控网络包括管理服务器、客户端,以及前端设备等。客户端可以是PC客户端或移动终端客户端,客户端通过客户端软件或者浏览器登录到管理服务器,通过验证和授权后访问整个视频监控系统,客户端也会直接访问管理服务器所管理的下级设备(IPC、存储)。
[0023]对于大型视频监控系统,其视频管理服务器VM即可作为本实施例中的管理服务器。而对于NVR+IPC的小型组网系统,可以认为NVR是本实施例中的管理服务器的角色。特别地,也可以认为单个IPC组成的视频监控系统,IPC自己就是管理服务器的角色。而本实施例的前端设备通常指网络摄像机IPC。在本实施例中,管理服务器仅以视频管理服务器为例加以描述,对于管理服务器管辖下的其它设备,仅以IPC为例加以描述。
[0024]如图2所示,本实施例一种身份验证系统,应用于视频监控网络,包括管理服务器和客户端,客户端包括第一客户端和第二客户端。
[0025]在本实施例中,第一客户端为PC客户端,或其他固定安装的客户端,大屏幕显示客户端等,而第二客户端为移动终端,或智能平板电脑等。本发明的总体思想是,管理服务器根据第一客户端的特征码,生成第一客户端对应的访问ID返回给第一客户端,第二客户端通过登录管理服务器实现该访问ID与第二客户端的绑定,从而可以通过第二客户端来授权第一客户端免密码登录管理服务器。
[0026]以下分别对第一客户端、第二客户端和管理服务器进行详细的阐述:
[0027]第一客户端,用于携带自身的特征码访问管理服务器,根据管理服务器的反馈信息,显示对应的图形码,该图形码包含管理服务器根据所述特征码生成的访问ID,并向管理服务器查询该访问ID是否已经获得授权,在获得授权后直接登录管理服务器。
[0028]以PC上安装了客户端软件作为第一客户端为例,当PC客户端访问管理服务器时,PC客户端可以根据PC的特征生成唯一的特征码,例如根据MAC地址、随机数、登陆用户名生成唯一的特征码。如果PC客户端直接采用Web浏览器,则可以根据浏览器版本、操作系统、计算机名等生成唯一的特征码。
[0029]PC客户端唯一的特征码提交到管理服务器后,管理服务器再次生成随机数,将随机数与提交的唯一的特征码进行哈希算法后的计算结果作为第一客户端的访问ID返回给PC客户端。PC客户端保留此访问ID,后续访问通过此访问ID和唯一的特征码一起作为第一客户端的区分标识。
[0030]容易理解的是,对于不同的管理服务器,根据管理服务器的哈希算法,对于同一个PC客户端产生的访问ID可以相同,也可以不同。但是对于同一台管理服务器,对于一个PC客户端,产生的访问ID是唯一的。然而当PC上的特征码发生变化后,将生成不同的访问ID,这里不再赘述。
[0031]例如,PC客户端对应的特征码为随机数12938,在首次访问管理服务器时,携带该随机数12938,管理服务器进行计算后得到访问ID 32309。管理服务器生成二维码或直接将访问ID返回给PC客户端,PC客户端将此访问ID保存至本地cookie作为后续访问ID。
[0032]本实施例图形码为二维码,也可以为条形码等其他可以识别的图形码。在第一客户端上显示的图形码,可以有管理服务器直接生成,然后下发给第一客户端,或者由第一客户端根据管理服务器下发的信息,在第一客户端上生成。
[0033]二维码中包含如下信息:第一客户端对应的访问ID(例如32309)、管理服务器地址。在二维码中携带管理服务器地址是针对多个管理服务器的情形,为了区分所登录的管理服务器,对于仅有一台管理服务器的视频监控网络,也可以不携带该信息。
[0034]在第一客户端显示二维码之后,就开始不断向管理服务器查询访问ID是否已经得到第二客户端的授权,同时页面显示监控用户名和密码的输入界面,便于用户在第二客户端上手工登录。一旦用户在第二客户端上进行确认授权后,第一客户端就能够完成登录过程,登录成功,不需要手工输入用户名和密码。
[0035]容易理解的是,在第一客户端访问管理服务器,管理服务器根据第一客户端的特征码生成访问ID后,第一客户端保存了访问ID,在后续需要访问管理服务器时,只需要携带该访问ID向管理服务器发起访问即可,并显示带有该访问ID的图形码供第二客户端扫描。
[0036]而目前很多视频监控系统都处于用户的私网中,处于公网的用户需要通过VPN接入管理服务器,因此第一客户端在访问管理服务器时,还需要通过VPN拨号建立与管理服务器的VPN连接。在这样的系统中,直接访问管理服务器时会提示下载VPN拨号客户端,然后通过VPN拨号客户端输入VPN用户名和密码后才能连接到管理服务器,再次输入监控系统的用户名密码后才能进行完整的访问。
[0037]具体地,第一客户端还用于在管理服务器没有得到第二客户端的授权时,输入VPN用户名和密码进行VPN连接;在管理服务器得到第二客户端的授权时,直接根据管理服务器返回的VPN用户名和密码进行VPN连接。
[0038]同样地,第二客户端也需要与管理服务器建立VPN连接,因此本实施例二维码中,还携带有VPN用户名、密码、VPN拨号后的管理服务器地址。
[0039]即管理服务器在与第一客户端建立VPN连接后,将上述信息生成在二维码中返回给第一客户端,或直接返回给第一客户端,由第一客户端来生成二维码。第二客户端在访问管理服务器时,也需要根据图形码中包含的VPN用户名与密码进行VPN拨号,与管理服务器建立VPN连接。
[0040]第二客户端,用于扫描第一客户端显示的图形码,携带第二客户端的特征码以及所述图形码中的访问ID连接管理服务器,在管理服务器中没有该访问ID、第二客户端特征码和监控用户名的绑定关系时,提示用户输入监控用户名和密码,向管理服务器发起登录,在验证通过后在管理服务器中记录该访问ID、第二客户端特征码与监控用户名的绑定关系,并在第二客户端上建立用户身份信息与该访问ID的绑定关系;在管理服务器中存在该访问ID、第二客户端特征码和监控用户名的绑定关系时,接收管理服务器的响应信息,根据提示输入用户身份信息,向管理服务器发送携带该访问ID和第二客户端特征码的授权信息。
[0041]本实施例以安装有客户端软件的移动终端为第二客户端为例,移动终端通过扫面第一客户端显示的二维码,可以得到第一客户端对应的访问ID、管理服务器地址,进一步地,还可以得到VPN用户名和密码。从而可以访问管理服务器,如果管理服务器在私网内,需要通过VPN连接来实现访问,则还根据得到的VPN用户名和密码先建立VPN连接。二维码中也可以不包含VPN用户名和密码,由用户自己手动输入。
[0042]第二客户端首次扫描二维码时,还未在第二客户端中生成访问ID、移动终端特征码以及监控用户名的绑定关系,在管理服务器中也不存在对应的绑定关系。因此需要进行一次绑定,即第二客户端连接管理服务器时,第二客户端携带了访问ID和自身的特征码,如移动终端的MEI序列号,管理服务器会查询到自身没有访问ID、第二客户端特征码和监控用户名的绑定关系,则返回连接失败。第二客户端提示输入监控用户名和密码,向管理服务器发起登录,在验证通过后在管理服务器中记录访问ID、第二客户端特征码与监控用户名的绑定关系。
[0043]同时在第二客户端中,保存第一客户端的访问ID,并提示用户输入用户身份信息(如指纹、或脸、或视网膜,本实施例以指纹为例)对保存的访问ID进行绑定,同时第二客户端保存连接监控服务器的地址和VPN用户名和密码。从而通过在需要携带访问ID访问管理服务器时,需要输入用户身份信息来进行确认,保证了是用户本人的操作,提高了安全性。
[0044]在第二客户端成功登录管理服务器后,管理服务器中记录访问ID、第二客户端特征码与监控用户名的绑定关系,此时在管理服务器中存在了访问ID与监控用户名的绑定关系,因此管理服务器向第二客户端发送响应信息,即在第二客户端显示“用户将在PC客户端登陆”,提示输入用户身份信息(例如指纹)进行授权。一旦用户输入指纹,就向管理服务器发送携带访问ID和第二客户端特征码的授权信息。
[0045]容易理解的是,在首次第二客户端与管理服务器进行交互,已经完成过绑定后,第二次再扫描第一客户端的二维码时,只需输入用户身份信息,就可以调用绑定的访问ID和第二客户端特征码向管理服务器发起访问,而管理服务器在接收到访问后,查找自身是否有存在的绑定关系,这时候存在绑定关系,向第二客户端发送响应,通知第二客户端进行授权即可。
[0046]在授权时,在第二客户端,也需要用户输入用户身份信息,向管理服务器发送携带该访问ID和第二客户端特征码的授权信息。
[0047]管理服务器,用于在收到第二客户端携带特征码及访问ID的连接时,查询自身是否具有该访问ID、特征码和监控用户名的绑定关系,在存在该绑定关系时,通知第二客户端进行授权,在收到第二客户端的授权信息后,判断授权信息是否与记录的访问ID、第二客户端特征码与监控用户名的绑定关系一致,如果一致则授权第一客户端登录;如果不存在该绑定关系,则通知第二客户端进行登录,在验证通过后,记录访问ID、第二客户端特征码和监控用户名的绑定关系。
[0048]管理服务器在收到第一客户端的访问后,生成对应第一客户端的访问ID,并开始查询该访问ID是否得到第二客户端的授权。在得到第二客户端的授权后,就直接授权第一客户端登录成功。从而不需要在第一客户端上输入用户名和密码来进行登录操作。
[0049]容易理解的是,第二客户端在完成首次绑定后,当再次遇到第一客户端需要进行登录时,只需扫描第一客户端的二维码,通过指纹确认后携带访问ID和自身的特征码连接管理服务器,而管理服务器查询到存在绑定关系,向第二客户端发送响应信息,即在第二客户端显示“用户将在PC客户端登陆”,提示输入用户身份信息(例如指纹)进行授权。一旦用户输入指纹,就向管理服务器发送携带访问ID和第二客户端特征码的授权信息。管理服务器在收到第二客户端的授权信息后,判断授权信息是否与记录的访问ID、第二客户端特征码与监控用户名的绑定关系一致,如果一致则授权第一客户端登录。
[0050]需要说明的是,在访问ID发生变化时,需要重新进行绑定,绑定过程相同,这里不再赘述。
[0051]下面通过具体的实施例来描述实现的过程,其中用户身份信息以指纹为例。
[0052]PC通过浏览器首次访问管理服务器,携带特征码12938;
[0053]管理服务器进行计算后返回访问ID 32309;
[0054]PC浏览器将此访问ID保存至本地cookie作为后续访问ID;
[0055]PC浏览器访问管理服务器,管理服务器发现PC直接访问的是管理服务器的公网地址,提示用户下载和安装VPN拨号软件;
[0056]用户安装VPN拨号软件后,输入VPN拨号用户名和密码,VPN登录后再次访问管理服务器;
[0057]管理服务器发现客户端已经拨号,跳转至拨号后的管理服务器地址,完成VPN登陆;
[0058]此时PC浏览器显示生成的二维码,二维码中包含如下信息:访问ID32309、管理服务器地址、VPN用户名、密码、VPN拨号后的管理服务器地址;
[0059]PC浏览器向管理服务器查询是否已经获得授权;
[0060]作为第二客户端的移动终端扫二维码,获取访问ID32309、管理服务器地址、VPN用户名、密码、VPN拨号后的管理服务器地址;
[0061]移动终端尝试以管理服务器地址连接管理服务器,由于未进行VPN拨号,连接失败;
[0062]管理服务器地址尝试使用二维码中携带的VPN用户名、密码进行拨号,拨号成功后再次连接管理服务器,携带访问ID32309和手机唯一标识,例如頂EI;
[0063]管理服务器地址向管理服务器查询ID32309+B1EI是否绑定监控用户,返回失败;
[0064]管理服务器地址提示输入监控用户名和密码,在输入监控用户名和密码后,管理服务器验证该用户名密码正确性;
[0065]管理服务器验证通过后将访问ID32309和监控用户名绑定,管理服务器记录监控用户名-访问ID-頂EI之间的绑定关系;
[0066]移动终端登录管理服务器后,保存访问ID,并提示用户输入指纹对保存的访问ID进行绑定,同时移动终端保存连接管理服务器的地址和VPN用户/密码(如有);
[0067]管理服务器发现此时已经有以访问ID32309登陆的移动终端,向移动终端发送响应消息“用户将在PC客户端登陆”;
[0068]移动终端显示“用户将在PC客户端登陆”,并提示输入指纹授权;
[0069]用户输入指纹后,移动终端向管理服务器发送携带访问ID32309和IMEI的授权信息,管理服务器收到后,查询与保存的记录一致就认为授权通过;
[0070]PC浏览器向管理服务器查询是否已经获得授权,得知授权通过,跳转至登录成功界面。
[0071]需要说明的是,后续用户再次在同一PC登录,直接采用已保存的访问ID32309访问管理服务器,而第二客户端通过扫描二维码,并通过指纹确认,向管理服务器发送携带访问ID 32309的访问,管理服务器查询发现有对应的绑定关系,对第二客户端进行响应,第二客户端通过指纹进行确认,发送授权消息进行授权,管理服务器收到授权消息后,完成授权。因此在后续的登录中,移动终端通过指纹确认即可完成第一客户端的登录。
[0072]并且在后续的登录过程中,不需要移动终端完成与监控服务器的监控业务连接,只需发送访问并接收响应即可,不需要输入监控用户名和密码,在不建立监控连接的情况下实现对第一客户端的登录确认,实现过程快。
[0073]后续用户在另一PC登陆,此时PC客户端访问ID将发生变化。此时需要移动终端扫描二维码,再次实现重新绑定后完成同样的处理过程,实现登录,这里不再赘述。
[0074]本实施例身份验证系统,还可以在用户从PC离开之后,想起忘记关闭重要视频,可以由移动终端发起注销PC端登录的请求。
[0075]为此,本实施例管理服务器还用于记录第一客户端的访问ID及登录状态作为使用痕迹,将第一客户端的访问ID及管理使用痕迹的管理服务器IP地址和端口号发给第二客户端,第二客户端保留第一客户端的访问ID及管理使用痕迹的管理服务器IP地址和端口号。
[0076]当需要通过第二客户端来关闭第一客户端的连接时,向管理服务器发送断开连接请求,将所述访问ID发送给管理使用痕迹的管理服务器IP地址和端口号,管理服务器收到携带访问ID的断开连接请求后,终止与对应第一客户端的所有业务。
[0077]通常VPN对管理服务器的开销比较大,因此本实施例的第二客户端还在登录成功后,主动断开VPN连接。或者管理服务器端主动断开与第二客户端的VPN连接,以减少VPN对服务器的开销。
[0078]以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
【主权项】
1.一种身份验证系统,应用于视频监控网络,包括管理服务器和客户端,其特征在于,所述客户端包括第一客户端和第二客户端,其中: 所述第一客户端,用于携带自身的特征码访问管理服务器,根据管理服务器的反馈信息,显示对应的图形码,该图形码包含管理服务器根据所述特征码生成的访问ID,并向管理服务器查询该访问ID是否已经获得授权,在获得授权后直接登录管理服务器; 所述第二客户端,用于扫描第一客户端显示的图形码,携带第二客户端的特征码以及所述图形码中的访问ID连接管理服务器,在管理服务器中没有该访问ID、第二客户端特征码和监控用户名的绑定关系时,提示用户输入监控用户名和密码,向管理服务器发起登录,在验证通过后在管理服务器中记录该访问ID、第二客户端特征码与监控用户名的绑定关系,并在第二客户端上建立用户身份信息与该访问ID的绑定关系;在管理服务器中存在该访问ID、第二客户端特征码和监控用户名的绑定关系时,接收管理服务器的响应信息,根据提示输入用户身份信息,向管理服务器发送携带该访问ID和第二客户端特征码的授权信息; 管理服务器,用于在收到第二客户端携带特征码及访问ID的连接时,查询自身是否具有该访问ID、特征码和监控用户名的绑定关系,在存在该绑定关系时,向第二客户端发送响应消息,在收到第二客户端的授权信息后,判断授权信息是否与记录的访问ID、第二客户端特征码与监控用户名的绑定关系一致,如果一致则授权第一客户端登录;如果不存在该绑定关系,则通知第二客户端输入监控用户名和密码进行登录,在验证通过后,记录访问ID、第二客户端特征码和监控用户名的绑定关系。2.根据权利要求1所述的身份验证系统,其特征在于,所述第一客户端还用于记录管理服务器返回的访问ID,在二次访问管理服务器时,携带该访问ID访问管理服务器,并显示带有该访问ID的图形码供第二客户端扫描。3.根据权利要求2所述的身份验证系统,其特征在于,所述管理服务器还用于接收第一客户端携带访问ID的访问,在收到第二客户端的授权信息后,判断授权信息是否与记录的访问ID、第二客户端特征码与监控用户名的绑定关系一致,如果一致则授权第一客户端登录。4.根据权利要求1所述的身份验证系统,其特征在于,所述第一客户端还用于在管理服务器没有得到第二客户端的授权时,输入VPN用户名和密码进行VPN连接;在管理服务器得到第二客户端的授权时,直接根据管理服务器返回的VPN用户名和密码进行VPN连接。5.根据权利要求4所述的身份验证系统,其特征在于,所述图形码还包含管理服务器地址、VPN用户名与密码、VPN拨号后的管理服务器地址。6.根据权利要求5所述的身份验证系统,其特征在于,所述第二客户端还用于根据图形码中包含的VPN用户名与密码进行VPN拨号,与管理服务器建立VPN连接。7.根据权利要求1所述的身份验证系统,其特征在于,所述管理服务器还用于记录第一客户端的访问ID及登录状态作为使用痕迹,将第一客户端的访问ID及管理使用痕迹的管理服务器IP地址和端口号发给第二客户端,第二客户端保留第一客户端的访问ID及管理使用痕迹的管理服务器IP地址和端口号。8.根据权利要求7所述的身份验证系统,其特征在于,所述第二客户端还用于向管理服务器发送断开连接请求,将所述访问ID发送给管理使用痕迹的管理服务器IP地址和端口号,所述管理服务器收到携带访问ID的断开连接请求后,终止与对应第一客户端的所有业务。
【文档编号】G06F21/36GK105827624SQ201610269359
【公开日】2016年8月3日
【申请日】2016年4月26日
【发明人】周迪, 赵子华
【申请人】浙江宇视科技有限公司