[发明专利]保证媒体流安全性的方法、设备和系统

权利要求书

1.一种在视频监控系统中保证媒体流传输安全性的方法，其特征在于，在服务器侧执行：

生成第一内容密钥、第一公钥及对应的私钥；

向视频监控系统客户端发送第一公钥；

接收加密后的第一临时共享用密钥，用第一公钥对应的私钥进行解密后获得第一临时共享用密钥；

用获得的第一临时共享用密钥对第一内容密钥进行加密，发送给视频监控系统客户端；

将使用第一内容密钥加密后的媒体流发送给视频监控系统客户端。

2.根据权利要求1所述的方法，其特征在于，在所述生成第一内容密钥之前，进一步包括：接收到视频监控系统客户端发来的实时浏览请求或者平台录像回放请求；

如果接收到所述平台录像回放请求，在所述将使用第一内容密钥加密后的媒体流发送给视频监控系统客户端之后，在服务器侧进一步执行：

检测到存储的媒体流的内容密钥从第一内容密钥变更为第二内容密钥；

将更新后的加密算法发送给视频监控系统客户端；

将生成的第二公钥发送给视频监控系统客户端；

接收到加密后的第二临时共享用密钥后，利用第二公钥对应的私钥解密，获得第二临时共享用密钥；

利用第二临时共享用密钥对第二内容密钥进行加密，发送给视频监控系统客户端。

3.根据权利要求2所述的方法，其特征在于，在所述接收到所述平台录像回放请求之前，在服务器侧进一步执行：

接收到视频监控系统客户端发来的平台录像请求；从摄像设备获取第一内容密钥加密后的媒体流；通过PBKDF2函数生成存储用的密钥SEK，PBKDF2函数中，P为硬盘ID，盐值S为从文件服务器中获取，仅保存在内存中，C值及dkLen参数作为系统参数配置或编码在程序代码中；利用SEK加密第一内容密钥，保存加密后的第一内容密钥以及利用第一内容密钥加密后的媒体流。

4.根据权利要求1至3中任一所述的方法，其特征在于，在所述将使用第一内容密钥加密后的媒体流发送给视频监控系统客户端之前，在服务器侧进一步执行：

当摄像设备不支持媒体加密时，接收摄像设备发来的媒体流，使用所述第一内容密钥对媒体流进行加密；

或者，

当摄像设备支持媒体加密时，向摄像设备请求第三公钥；生成第三临时共享用密钥，并用第三公钥对第三临时共享用密钥进行加密，然后发送给摄像设备；利用生成的第三临时共享用密钥加密第一内容密钥，发送给摄像设备；接收摄像设备发来的使用第一内容密钥加密后的媒体流。

5.根据权利要求4所述的方法，其特征在于，当摄像设备不支持媒体加密时，

所述使用所述第一内容密钥对媒体流进行加密包括：根据预先设置的加密比例，对媒体流中每一个数据包的所述加密比例的数据使用第一内容密钥加密；相应地，所述使用第一内容密钥加密媒体流的步骤进一步包括：将每一个数据包中未被加密的数据进行扰码处理；

或者，

所述使用第一内容密钥加密媒体流包括：使用第一内容密钥对媒体流的全码流进行加密。

6.一种摄像设备，其特征在于，包括：

公钥处理单元，用于生成第三公钥及对应的私钥，将第三公钥发送给服务器侧；

临时密钥获取单元，接收到服务器侧发来的加密后的第三临时共享用密钥后，用第三公钥对应的私钥进行解密，获得第三临时共享用密钥，发送给内容密钥获取单元；

内容密钥获取单元，用于利用第三临时共享用密钥对服务器侧发来的加密后的第一内容密钥进行解密，获得第一内容密钥，发送给媒体流处理单元；

媒体流处理单元，使用第一内容密钥加密媒体流，发送给服务器侧。

7.根据权利要求6所述的摄像设备，其特征在于，所述媒体流处理单元包括：

第一加密模块，用于根据预先设置的加密比例，对媒体流中每一个数据包的所述加密比例的数据使用第一内容密钥加密，发送给发送模块；

扰码模块，用于将媒体流的每一个数据包中未被加密的数据进行扰码处理，发送给发送模块；

第一发送模块，用于接收第一加密模块发来的加密后的数据以及扰码模块发来的扰码处理后的数据，发送给服务器侧。