CN101461178A - Dvr服务器和在基于网络的dvr***中控制对监控装置的访问的方法 - Google Patents
Dvr服务器和在基于网络的dvr***中控制对监控装置的访问的方法 Download PDFInfo
- Publication number
- CN101461178A CN101461178A CNA2007800208525A CN200780020852A CN101461178A CN 101461178 A CN101461178 A CN 101461178A CN A2007800208525 A CNA2007800208525 A CN A2007800208525A CN 200780020852 A CN200780020852 A CN 200780020852A CN 101461178 A CN101461178 A CN 101461178A
- Authority
- CN
- China
- Prior art keywords
- authentication token
- terminal
- server
- dvr
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
- H04N7/181—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N5/00—Details of television systems
- H04N5/76—Television signal recording
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种数字视频记录器(DVR)服务器和一种用于在基于网络的DVR***中控制对监控装置的访问的方法,其在DVR服务器中仅执行用户认证并且允许通过使用从认证过程获取的认证令牌对视频提供单元进行直接访问,从而可以减小DVR服务器的通信量,以在提供平稳的监控服务的同时保持安全性。
Description
技术领域
本发明涉及一种数字视频记录器(DVR)服务器和用于在基于网络的DVR***中控制对监控装置的访问的方法。
背景技术
图1是示出传统的监控***的示意图。参考图1,大多数第一代监控***都利用闭路TV(CCTV)等。然而,使用CCTV的监控***基本都以通过同轴电缆接收由摄像机拍摄的视频并将其输出在显示单元上的这种方式操作。因而,其实际上并不是远程监控(telemonitoring)***。而且,其使用诸如磁带等用于记录视频的记录介质,使得不仅导致视频质量降低,而且当多次执行记录时,需要用于搜索期望的视频的大量时间。此外,当在监控***处没有操作者时,很难执行常规***管理,诸如磁带的更换。
作为基于模拟类型的CCTV监控***的替换,设计了第二代DVR***。该DVR***将视频数据转换为数字数据并将其存储在硬盘等中,使得在记录和再生时的视频质量不改变并且能够容易地管理存储器。而且,DVR***可以使用互联网以通过视频和音频(甚至从很远的地方)监控特定位置,同时存储用于随后的准确分析的视频和音频,使得这种DVR***可以被用作非常重要的用于安全性的应用。
同时,将被存储在DVR***中的视频数据量近来已增加,从而,最近披露了用于有效管理的第三代基于网络的DVR***,其将由多个摄像机拾取的大量视频数据存储在具有几十太字节(terabyte)或更多的大容量存储器(即,存储装置)中,并且使用其中央DVR服务器控制对存储在大容量存储器中的视频数据的访问,以提供监控服务。
然而,这种基于网络的DVR***仅仅是添加有连网功能的传统DVR***,使得不仅导致DVR服务器上的高网络负载,而且还具有很弱的安全性。这些问题将在以下详细描述。
首先,基于网络的DVR***的中央DVR服务器仅允许具有认证权限的用户访问由摄像机拾取的视频数据是正常的,从而可以集中控制视频数据的安全性和监控。
这种使用DVR服务器的视频数据访问方法可以容易地管理用户的认证,但是DVR服务器必须控制对由所有摄像机拾取的视频数据的访问,因而,如下所述,高网络负载不利地集中在DVR服务器上。
例如,当用户通过客户终端访问DVR服务器以监控从09:00至18:00的第一层门厅(first floor hallway)时,由第一层门厅的摄像机拾取的视频数据通过DVR服务器被传输至客户终端,并且此时,即使当DVR服务器仅负责传输由第一层门厅的摄像机拾取的视频数据时,即,即使当客户终端主要从第一层门厅的摄像机接收视频数据时,在客户终端和DVR服务器之间进行用于维持非必要会话和提供视频流服务的资源分配,因而,在DVR服务器上产生了不必要的网络负载。
另外,在传统的基于网络的DVR***中,当用户在监控第一层门厅的同时通过客户终端访问DVR服务器以监控屋顶(roof)时,即,当改变要监控的对象时,甚至当可以通过在客户终端和屋顶的摄像机之间的消息发送和接收改变监控对象时,也通过在客户终端DVR服务器屋顶的摄像机之间的消息发送和接收来改变对象,从而,在DVR服务器上产生了不必要的网络负载。
特别地,在DVR***中,由于其固有特性导致监控对象的改变频繁发生,并且这种使用DVR服务器的视频数据访问方法包括关于监控对象的改变的过载因素,从而,考虑到DVR服务器的有效性,其并不是优选的。
其次,这种基于网络的DVR***通常是执行用户认证的基于密码的用户认证机制,并且使用密码的用户认证技术是由大多数实际认证***所采用的机制,但是易受外部暴露、推测、窃听电话、重现等的影响,使得当密码在网络上被泄露时,包括个人隐私的视频数据可能被滥用,并且因为每当用户访问DVR服务器时需要输入用户ID和PW,从用户的观点看其难于负担。
为了解决这些问题,披露了一种在不使用密码的情况下发送和接收加密的公共密钥以执行用户认证的方法。然而,其要求用户持有包括用户的证书或私密密钥的智能卡等,并且由于当实际实现***时***的复杂性而导致要求很多努力和成本,使得通常不采用该方法。
另外,在这种基于网络的DVR***中通过内部网络连接本地客户终端的情况下,由于MAC地址管理和未指定用户的IP地址的复杂性以及用于终端认证的每个本地客户的独立密钥管理的复杂性,导致通常忽略了对本地客户终端执行认证。然而,这种认证策略根据要求仅提供给认证用户的有限监控服务的安全性是不被支持的。
总之,需要一种能够分配DVR服务器的网络负载的技术,从而支持平稳的监控服务而没有大量过载,同时在不经历在基于网络的DVR***中的复杂且繁重的用户认证过程的情况下保持安全性。
发明内容
技术问题
为了解决上述和/或其他问题,本发明的一个目的在于提供一种控制用户对监控目标终端的访问的方法,从而减小基于网络的DVR***中的网络和DVR服务器上的负载。
本发明的另一个目的在于提供一种控制由用户对监控目标终端的访问的方法,其允许直接从监控目标终端提供实时多媒体监控服务。
本发明的另一个目的在于提供一种用于控制用户对监控目标终端的访问的方法,其可以通过仅允许认证用户访问监控目标终端来实现有效的安全性。
本发明的另一个目的在于提供一种用于控制用户对监控目标终端的访问的DVR服务器,从而减小基于网络的DVR***中的网络和DVR服务器上的负载。
本发明的另一个目的在于提供一种用于控制用户对监控目标终端的访问的DVR服务器,其允许直接从监控目标终端提供实时多媒体监控服务。
本发明的另一个目的在于提供一种用于控制对监控目标终端的用户访问的DVR服务器,以通过仅允许认证用户访问监控目标终端来实现有效的安全性。
技术方案
一方面,本发明旨在提供一种用于在基于网络的DVR***中控制通过经由网络连接至数字视频记录器(DVR)服务器的客户终端对监控目标终端的访问的方法,该方法包括以下步骤:(a)对客户终端的用户执行认证;(b)当对客户终端的用户的认证为有效时,提供服务器认证令牌;(c)将访问监控目标终端所需的终端认证令牌提供给客户终端;以及(d)使用所提供的终端认证令牌访问对应的监控目标终端。
另一方面,本发明旨在提供一种用于在基于网络的DVR***中控制通过经由网络连接至数字视频记录器(DVR)服务器的客户终端对监控目标终端的访问的方法,该方法包括以下步骤:(a)对客户终端的用户执行认证;(b)如果对客户终端的用户的认证有效,则将服务器认证令牌提供给客户终端;以及(c)使用所提供的服务器认证令牌访问对应的监控目标终端。
另一方面,本发明旨在提供一种用于在数字视频记录器(DVR)***中控制使用客户终端对监控目标终端或多媒体存储单元进行访问的方法,其中,该数字视频记录器***包括通过网络相互连接的至少一个监控目标终端、至少一个客户终端、多媒体存储单元和DVR服务器,该方法包括以下步骤:向DVR服务器请求对客户终端进行用户认证;如果来自DVR服务器的客户终端的用户认证有效,则接收服务器认证令牌;请求访问所选的监控目标终端或多媒体存储单元所需的终端认证令牌并接收终端认证令牌;以及使用终端认证令牌来请求对对应的监控目标终端进行访问。
另一方面,本发明旨在提供一种在基于网络的数字视频记录器(DVR)***中的DVR服务器,该基于网络的数字视频记录器***包括通过网络相互连接的至少一个监控目标终端、至少一个客户终端、和该DVR服务器,该DVR服务器包括:通信单元,用于与外部进行通信;认证和安全性控制单元,用于控制用户认证和安全性;认证令牌生成单元,用于在认证和安全性控制单元的控制下,生成证明客户终端的用户是有效用户的服务器认证令牌以及证明用户是可访问监控目标终端的用户;以及认证令牌验证单元,用于在认证和安全性控制单元的控制下,验证由客户终端的用户提供的服务器认证令牌和终端认证令牌是否有效。
有益效果
根据以上描述的本发明,在不通过基于网络的DVR***中的DVR服务器的情况下,可以直接从每个监控目标终端提供实际的多媒体监控服务,使得可以减小DVR服务器的通信量,从而支持平稳的监控服务而没有大量过载,同时保持安全性。
另外,根据本发明,当用户请求对DVR服务器或监控目标终端进行访问时,检查用户所持有的服务器认证令牌或终端认证令牌,并且随即执行访问认证过程,使得在不经历复杂且繁重的用户认证过程的情况下可以保持安全性。
附图说明
从以下结合附图的示例性实施例的描述中,本发明的以上和其他方面以及优势将变得显而易见并且更容易理解,其中:
图1是示出传统监控***的示图;
图2是示意性地示出本发明所应用的基于网络的DVR***的配置的示图;
图3是示出根据本发明的DVR服务器的访问控制装置的框图;
图4是示出根据本发明的DVR服务器的操作的示图;
图5A是示出存储在图3的存储器中的服务器认证令牌表的实例的示图;
图5B是示出存储在图3的存储器中的终端认证令牌的实例的示图;
图6是示出根据本发明的第一实施例的控制对监控目标终端的访问的方法的流程图;以及
图7是示出根据本发明的第二实施例的控制对监控目标终端的访问的方法的流程图。
*主要参考标号的描述*
210:模拟CCTV摄像机
211:视频压缩和传输装置
220:网络摄像机
230:存储器
240:DVR服务器
250:本地客户终端
260:网络客户终端
300:DVR服务器的访问控制装置
310:通信单元
320:认证和安全性控制单元
330:认证令牌生成单元
340:认证令牌验证单元
350:存储器
351:用户认证表
352:服务器认证令牌表
353:终端认证令牌表
具体实施方式
下文中,将参考附图详细地描述本发明的示例性实施例。
图2是示意性地示出本发明所应用的基于网络的DVR***的配置的示意图。
如图2所示,基于网络的DVR***包括:安装在多个区域中的多个模拟CCTV摄像机210或多个网络摄像机220、管理存储由摄像机210拾取的多媒体数据(视频数据)的存储器230的DVR服务器240、可通过内部网络访问DVR服务器240的本地客户终端250、以及可通过互联网访问DVR服务器240的网络客户终端260(诸如PDA、蜂窝式电话、PC等)。
这里,优选地进一步包括用于压缩由CCTV摄像机210拾取的视频数据并将其传输至DVR服务器240的视频压缩和传输装置211,并且多个模拟CCTV摄像机210(例如,四个模拟CCTV摄像机)优选地通过同轴电缆连接至视频压缩和传输装置211。
网络摄像机220是诸如网络摄像机(web camera)的普通CCTV摄像机或添加有服务器功能的互联网摄像机,并且通过有线/无线IP网络连接至DVR服务器240。
存储器230优选地具有几十太字节以上的大存储容量。
在本实施例中,本地客户终端250或网络客户终端260被统称为客户终端,并且诸如多个模拟CCTV摄像机210或多个网络摄像机220的将被监控的对象以及存储由摄像机210拾取的多媒体数据的存储器230被统称为监控目标终端。
同时,在具有如图2所示的配置的基于网络的DVR***中,在中央DVR服务器240中共同控制安全性和进行监控的方法导致高网络负载集中在DVR服务器240上,因而,根据以上描述的繁重的登录过程和安全性,其不是有效的并且不是优选的。
从而,本发明的DVR服务器240仅执行用户认证并且利用从认证过程获取的认证令牌来从每个模拟CCTV摄像机210或网络摄像机220接收直接监控服务,使得可以减少DVR服务器240的通信量,从而支持平稳监控服务而没有大量过载,同时在不经过繁重的登录过程的情况下,保持安全性。以下将更详细地描述根据本发明的控制对DVR服务器的访问的装置。
图3是示出根据本发明的DVR服务器的访问控制装置的框图。
如图3所示,根据本发明的DVR服务器的访问控制装置300包括:通信单元310,用于与外部进行通信;认证和安全性控制单元320,用于控制用户认证和安全性;认证令牌生成单元330,用于在认证和安全性控制单元320的控制下,生成能够证明认证用户的服务器认证令牌以及能够证明用户是访问监控目标终端的用户的终端认证令牌;认证令牌验证单元340,用于在认证和安全性控制单元320的控制下,验证由用户提供的终端认证令牌和服务器认证令牌的有效性;以及存储器350,其中存储有用户信息和与由认证令牌生成单元330生成的认证令牌相关的多种信息。
这里,优选地,访问控制装置300被包括在图2所示的DVR服务器240中,并且为了描述简明而假设控制装置300包括在DVR240中。
下文中,将参考图4更详细地描述根据本发明的DVR服务器240的操作。
图4是示出根据本发明的DVR服务器的操作的示图。
参考图4,当用户首先通过客户终端250和260访问DVR服务器240时,DVR服务器240要求用户输入标识符(ID)和密码(PW)。
当用户通过客户终端250和260输入ID和PW时,所输入的ID和PW信息通过互联网被发送至DVR服务器240,使得DVR服务器240在认证和安全性控制单元320的控制下,通过搜索存储器350的用户认证表351中的ID和PW信息来执行用户认证。
此时,诸如ID、PW的用户注册信息和用户的权限信息优选地被记录在用户认证表351中,并且作为用户认证过程,执行质询(challenge)和响应类型的基于密码的用户认证是优选的。
在此,在质询和响应类型的基于密码的用户认证的情况下,密码的哈希码可以被记录在用户认证表中。
当用户认证是有效的时,DVR服务器240生成证明用户是能够访问DVR服务器240的认证用户的服务器认证令牌(Auth_token_Server),并且Auth_token_Server通过以下等式1生成。
[等式1]
Auth_token_Server=EncATK(Mac_addr_Server‖Timestamp_Server)
参考等式1,EncATK表示用于生成和验证认证令牌的加密/解密密钥,Mac_addr_Server表示允许DVR服务器240被识别的唯一信息,例如,DVR服务器240的MAC地址,Timestamp_Server表示服务器认证令牌的生成时间,以及‖表示级联。
即,等式1利用EncATK对DVR服务器240的MAC地址(Mac_addr_Server)和服务器认证令牌的生成时间信息(Timestamp_Server)进行加密,使得生成了证明用户是能够访问DVR服务器240的认证用户的服务器认证令牌(Auth_token_Server)。
当通过上述过程生成服务器认证令牌(Auth_token_Server)时,DVR服务器240将所生成的服务器认证令牌(Auth_token_Server)包括在认证成功消息中并将该消息发送至客户终端250和260的用户。
同时,DVR服务器240将关于所生成的服务器认证令牌(Auth_token_Server)的信息存储在存储器350的服务器认证令牌表352中。下文中,将参考图5A更详细地描述服务器认证令牌表352。但是,该信息不能被存储在用于DVR服务器操作的服务器认证令牌表352中。
图5A是示出存储在图3的存储器350中的服务器认证令牌表的实例的示图。
如图5A所示,服务器认证令牌(Auth_token_Server)按索引被记录在服务器认证令牌表352中,并且与DVR服务器240的MAC地址(Mac_addr_Server)、服务器认证令牌的生成时间(Timestamp_Server)、服务器认证令牌的使用期限(Lifetime_Channel)、用户的信道权限信息(Authority_Channel)、用于生成和验证认证令牌的加密/解密密钥(EncATK)相关的其他信息被存储在该表中。
参考图4,当客户终端250和260从DVR服务器240接收认证成功消息时,客户终端从接收到的认证成功消息提取服务器认证令牌并将其存储,并且此时,优选地,在验证了接收到的服务器认证令牌(Auth_token_Server)的完整性之后存储服务器认证令牌。
当用户通过客户终端250和260选择监控目标终端(例如,第一层门厅的摄像机、第三层休息室的摄像机、屋顶的摄像机)时,客户终端250和260将访问所选的监控目标终端所需的权限(即,请求终端认证令牌的消息)发送到DVR服务器240,并且请求终端认证令牌的消息(Auth_token_request)可以被表示为以下等式2。
[等式2]
Auth_token_request(User_ID,Mac_addr_client,Auth_token_Server,N,List_Mac,MAC(KEK‖List_Mac))
参考等式2,User_ID表示用户ID,Mac_addr_client表示客户终端的MAC地址,Auth_token_Server表示客户终端用户所持有的服务器认证令牌,N表示监控目标终端的数量,List_Mac表示监控目标终端的MAC地址列表,以及MAC(KEK‖List_Mac)表示消息认证码(Message authentication code),该消息认证码是利用在客户终端250和260与DVR服务器240之间的密钥加密密钥(KEK)或公共密钥对监控目标终端的MAC地址列表(List_Mac)进行加密而得到的。
同时,当DVR服务器240从如图2所示的客户终端250和260接收终端认证令牌请求消息(Auth_token_request)时,DVR服务器检验并验证包括在终端认证令牌请求消息中的服务器认证令牌(Auth_token_Server)的使用期限,并且下文中将更详细地描述对服务器认证令牌(Auth_token_Server)的使用期限检查和验证。
首先,由于接收到的服务器认证令牌(Auth_token_Server)已经被加密,所以认证令牌验证单元340相反地使用等式1以利用EncATK对服务器认证令牌(Auth_token_Server)进行解密,从而提取了DVR服务器240的MAC地址(Mac_addr_Server)和服务器认证令牌(Auth_token_Server)的生成时间(Timestamp_Server)。
然后,DVR服务器240基于所提取的服务器认证令牌的生成时间信息(Timestamp_Server)检查服务器认证令牌(Auth_token_Server)的使用期限,以确定服务器认证令牌(Auth_token_Server)是否有效,并且此时,优选地还检查所提取的DVR服务器240的MAC地址(Mac_addr_Server)是否相同。
然后,认证令牌验证单元340基于所提取的服务器认证令牌的生成时间(Timestamp_Server)来检查服务器认证令牌表352中的服务器认证令牌的使用期限信息(Lifetime_Server),以确定服务器认证令牌(Auth_token_Server)是否有效。
即,当当前检查时间<服务器认证令牌的生成时间(Timestamp_Server)+服务器认证令牌的使用期限(Lifetime_Server)时,服务器认证令牌(Auth_token_Server)被确定为有效,或者反之被确定为无效。
此时,优选地还检查所提取的DVR服务器240的MAC地址(Mac_addr_Server)是否相同。
接下来,当服务器认证令牌(Auth_token_Server)被确定为有效时,认证令牌验证单元340检查包括在终端认证令牌请求消息(Auth_token_request)中的消息认证码,以验证服务器认证令牌(Auth_token_server)的完整性,将在以下更详细地描述。
认证令牌验证单元340首先利用DVR服务器240的KEK或公共密钥对包括在终端认证令牌请求消息(Auth_token_request)中的监控目标终端的MAC地址列表(List_Mac)进行加密,以生成消息认证码(Message authentication code)
在此,优选地,KEK为DVR服务器240与客户终端250和260之间的公共密钥。
当所生成的消息认证码(Message authentication code)与包括在终端认证令牌请求消息(Auth_token_request)中的消息认证码相同时,认证令牌验证单元340确定服务器认证令牌(Auth_token_Server)具有完整性,或者反之则确定服务器认证令牌可能已被调制。
因而,当确定服务器认证令牌(Auth_token_Server)的使用期限届满而成为无效的服务器认证令牌或者服务器认证令牌(Auth_token_Server)可能已被调制时,DVR服务器240向客户终端的用户作出重新输入用户的ID和PW的请求,从而重新发布服务器认证令牌(Auth_token_Server)。
同时,当根据如上所述的服务器认证令牌(Auth_token_Server)的使用期限检查和验证过程确定服务器认证令牌(Auth_token_Server)是有效的并且具备完整性时,DVR服务器240通过认证令牌生成单元330为每个监控目标终端生成访问对应的监控目标终端所需的终端认证令牌(Auth_token_Terminal)。通过等式3生成终端认证令牌(Auth_token_Terminal)。
[等式3]
Auth_token_Terminal=EncATK(Mac_addr_Terminal‖Timestamp_Terminal‖Authority_Channel)
在等式3中,EncATK表示用于生成和验证认证令牌的加密/解密密钥,Mac_addr_Terminal表示监控目标终端的MAC地址,Timestamp_Terminal表示终端认证令牌的生成时间,Authority_Channel表示用户可访问的摄像机的信道权限信息,以及‖表示级联。
即,等式3表示利用EncATK对监控目标终端的MAC地址(Mac_addr_Terminal)、终端认证令牌的生成时间(Timestamp_Terminal)、和信道权限信息(Authority_Channel)进行加密,从而生成能够证明用户是可以从对应的监控目标终端接收监控服务的用户的终端认证令牌(Auth_token_Terminal)。
这里,当监控目标终端是存储器230时,即,当用户访问存储器230以搜索存储在存储器230中的多媒体数据时,不需要信道权限信息,从而在等式3中信道权限信息优选地被设置为空。
即,从等式3可以了解,除通过在等式1中访问所需的作为监控目标终端的对象不是DVR服务器240而是摄像机210和220或存储器230之外,认证令牌是通过相同的方式生成的,并且添加了所得到的在用于加密的信息之中的信道权限信息。
同时,DVR服务器240将关于所生成的终端认证令牌(Auth_token_Terminal)的信息存储在存储器350的终端认证令牌表353中,以下将参考图5B更详细地描述。但是,可以不将该信息存储在用于DVR服务器操作的终端认证令牌表352中。
图5B是示出存储在图3的存储器350中的终端认证令牌表353的实例的示图。
如图5B所示,终端认证令牌(Auth_token_Terminal)按索引被记录在终端认证令牌表353中,并且存储了与监控目标终端的MAC地址(Mac_addr_Terminal)、终端认证令牌的生成时间(Timestamp_Terminal)、终端认证令牌的使用期限(Lifetime_Termial)、用户的信道权限信息(Authority_Channel)、以及用于生成和验证认证令牌的加密/解密密钥(EncATK)相关的其他信息。
在此,用户的信道权限信息(Authority_Channel)是指用户可访问的摄像机的信道列表,并且该信道权限信息使用户能够检查哪个摄像机是可访问的,并且优选地,关于除摄像机之外的诸如DVR服务器240或存储器230的装置的信道权限信息被设置为空。
同时,当根据上述过程生成访问对应的监控目标终端所需的终端认证令牌时,DVR服务器240将所生成的终端认证令牌包括在终端认证令牌传输消息(Auth_token_reply)中并且将该消息传送给客户终端的用户。终端认证令牌传输消息(Auth_token_reply)可以被表示为等式4。
[等式4]
Auth_token_reply(User_ID,Timestamp_Terminal,N,List_Mac,List_Auth_token_Terminal,MAC(KEK‖List_Auth_token_Terminal))
在等式4中,User_ID表示用户ID,Timestamp_Terminal表示终端认证令牌的生成时间,N表示监控目标终端的数量,List_Mac表示监控目标终端的MAC地址列表,List_Auth_token_Terminal表示终端认证令牌列表,以及MAC(KEK‖List_Auth_token_Terminal)表示消息认证码(Message authentication code),该消息认证码是利用DVR服务器240与客户终端250和260之间的KEK、公共密钥对终端认证令牌(List_Auth_token_Terminal)进行加密而得到的。
即,关于用户ID、终端认证令牌的生成时间、监控目标终端的数量、监控目标终端的MAC地址列表、以及终端认证令牌列表和终端认证令牌列表的认证码信息被包括在终端认证令牌传输消息(Auth_token_reply)中。
同时,当客户终端250和260从DVR服务器240接收终端认证令牌传输消息(Auht_token_reply)时,客户终端250和260从接收到的终端认证令牌传输消息中提取终端认证令牌(Auth_token_Terminal)并将其存储,并且此时,优选地执行终端认证令牌(Auth_token_Terminal)的使用期限检查和验证。以与服务器认证令牌(Auth_token_Server)的使用期限检查和验证相同的方式执行终端认证令牌的使用期限检查和验证,因而,将省略对其的详细描述。
接下来,当用户请求对监控目标终端(例如,第一层门厅的摄像机)进行访问时,客户终端250和260将它们的访问请求消息发送至对应的监控目标终端,并且此时,将访问对应的监控目标终端所需的终端认证令牌优选地被包括在访问请求消息中。
即,客户终端的用户将用户所持有的终端认证令牌(Auth_token_Terminal)提供给对应的监控目标终端以请求访问,并且一旦接收到访问请求,监控目标终端就对接收到的终端认证令牌执行使用期限检查和验证,并且当接收到的终端认证令牌被确定为有效并且具备完整性时,允许用户进行访问以将监控服务提供给用户。
在此,当确定终端认证令牌(Auth_token_Terminal)的使用期限届满(即,为无效的终端认证令牌),或者终端认证令牌(Auth_token_Terminal)可能已被调制时,DVR服务器240优选地重新发布终端认证令牌(Auth_token_Terminal)。
同样地,根据本发明的DVR服务器240将访问服务器所需的服务器认证令牌和访问监控目标终端所需的终端认证令牌提供给认证用户,并且当用户请求对监控目标终端进行访问时,被请求访问的监控目标终端检查用户所持有的终端认证令牌以对其执行访问授权过程,使得在不经过DVR服务器240的情况下,可以从每个监控目标终端提供实际的多媒体监控服务,从而最小化集中在DVR服务器240上的通信量,从而支持平稳的监控服务而在保持安全性的同时没有大量过载。
另外,根据本发明,当用户请求对DVR服务器或监控目标终端进行访问时,检查用户所持有的服务器认证令牌或终端认证令牌,然后对其执行访问授权过程,使得在不经过复杂且繁重的用户认证过程的情况下可以保持安全性。
下文中,将参考附图详细地描述根据本发明的控制对监控目标终端的访问的方法。
图6是示出根据本发明的第一实施例的控制对监控目标终端的访问的方法的流程图。
参考图6,根据本发明的控制对监控目标终端的访问的方法包括:将能够证明认证用户的服务器认证令牌提供给客户终端用户(S610),将能够证明能够访问监控目标终端的用户的终端认证令牌提供给客户终端用户(S620),以及使用所提供的终端认证令牌访问对应的监控目标终端以提供监控服务,并且将在以下描述每个步骤。
(1)提供服务器认证令牌的步骤(S610)
当用户首先在客户终端上输入ID和PW时,客户终端接着向DVR服务器240作出对进行用户认证的请求(S611),使得DVR服务器240根据预定的认证和安全性策略执行用户认证(S612)。
当对用户的认证成功时,DVR服务器240利用用于生成和验证认证令牌的加密/解密密钥(EncATK)对其MAC地址(即,DVR服务器240的MAC地址)和当前时间(即,服务器认证令牌的生成时间)信息进行加密,以生成服务器认证令牌(Auth_token_Server)(S613)。
在此,服务器认证令牌(Auth_token_Server)起到证明用户是能够访问DVR服务器240的认证用户的作用。已经参考等式1详细地描述了生成服务器认证令牌(Auth_token_Server)的方法,从而将省略对其的详细描述。
然后,DVR服务器240将所生成的服务器认证令牌(Auth_token_Server)包括在认证成功消息中并将该消息发送至用户(S614)。
此时,关于所生成的服务器认证令牌(Auth_token_Server)的信息优选地被存储在如图5A所示的服务器认证令牌表352中。但是,所生成的服务器认证令牌不能被存储。
同时,当从DVR服务器240接收到认证成功消息时,客户终端250和260从接收到的认证成功消息中提取服务器认证令牌(Auth_token_Server),然后验证所提取的服务器认证令牌(Auth_token_Server)的完整性(S615)。
在此,使用消息认证码(MAC)算法验证数据完整性的方法优选地被用作验证服务器认证令牌(Auth_token_Server)的完整性的方法。
当检查出服务器认证令牌(Auth_token_Server)具备完整性时,客户终端250和260将服务器认证令牌(Auth_token_Server)存储在它们的内部存储器中(S616)。
(2)提供终端认证令牌的步骤(S620)
当用户首先通过客户终端250和260选择监控目标终端(例如,第一层门厅的摄像机、第三层休息室的摄像机、屋顶的摄像机等)(S621)时,客户终端250和260将请求访问所选的监控目标终端所需的终端认证令牌的终端认证令牌请求消息(Auth_token_request)(见等式2)发送至DVR服务器240(S622)。
此时,如等式2中所示,从利用DVR服务器240与客户终端250和260之间的KEK或公共密钥对监控目标终端的MAC地址列表(List_Mac)进行加密得到的用户ID(User_ID)、客户终端的MAC地址(Mac_addr_client)、客户终端用户所持有的服务器认证令牌(Auth_token_Server)、监控目标终端的数量(N)、监控目标终端的MAC地址列表(List_Mac)、以及消息认证码(MAC(KEK‖List_Mac))优选地包括在终端认证令牌请求消息(Auth_token_request)中。
接下来,当从客户终端250和260接收到终端认证令牌请求消息(Auth_token_request)时,DVR服务器240对包括在终端认证令牌请求消息(Auth_token_request)中的服务器认证令牌(Auth_token_Server)执行使用期限检查和验证(S623)。如下将简短地描述服务器认证令牌(Auth_token_Server)的使用期限检查和验证。
DVR服务器240相反地使用等式1以利用EncATK对服务器认证令牌(Auth_token_Server)进行解密,从而提取DVR服务器240的MAC地址(Mac_addr_Server)和服务器认证令牌的生成时间信息。
然后,DVR服务器240基于所提取的服务器认证令牌的生成时间信息(Timestamp_Server)检查服务器认证令牌表352中的服务器认证令牌的使用期限信息(Lifetime_Server),以确定服务器认证令牌(Auth_token_Server)是否有效,并且此时,优选地还检查所提取的DVR服务器240的MAC地址(Mac_addr_Server)是否相同。
当服务器认证令牌(Auth_token_Server)被确定为有效时,DVR服务器240利用DVR服务器240的KEK或公共密钥对包括在终端认证令牌请求消息(Auth_token_request)中的监控目标终端的MAC地址列表(List_Mac)进行加密,并且当所生成的消息认证码(Message authentication code)与包括在终端认证令牌请求消息(Auth_token_request)中的消息认证码(Message authenticationcode)相同时,确定服务器认证令牌(Auth_token_Server)具备完整性,或者反之确定服务器认证令牌可能已经被调制。
在此,当确定服务器认证令牌(Auth_token_Server)的使用期限届满而变为无效或者服务器认证令牌(Auth_token_Server)可能已被调制时,DVR服务器240使客户终端用户重新输入用户ID和PW,以重新发布服务器认证令牌(Auth_token_Server)。
同时,当根据上述的服务器认证令牌(Auth_token_Server)的使用期限检查和验证,服务器认证令牌(Auth_token_Server)被确定为有效并具备完整性时,DVR服务器240为每个监控目标终端生成访问监控目标终端所需的权限,即,终端认证令牌(Auth_token_Terminal)。
在此,终端认证令牌(Auth_token_Terminal)起到证明用户是能够从对应的监控目标终端接收监控服务的用户的作用,并且通过利用用于生成和验证认证令牌的加密/解密密钥(EncATK)对监控目标终端的MAC地址、当前时间(终端认证令牌的生成时间)、以及能够由用户访问的摄像机的信道权限信息进行加密,来生成该终端认证令牌。已经参考等式3详细地描述了生成终端认证令牌(Auth_token_Terminal)的方法,因而将省略对其的详细描述。
当通过上述过程生成访问每个监控目标终端所需的终端认证令牌时,DVR服务器240将多个终端认证令牌包括在终端认证令牌传输消息(Auth_token_reply)中,并且将该消息发送给客户终端的用户(S625)。
此时,如等式4中所示,用户ID、终端认证令牌的生成时间、监控目标终端的数量、监控目标终端的MAC地址列表、终端认证令牌列表、以及关于终端认证令牌列表的认证码信息优选地包括在终端认证令牌传输消息(Auth_token_reply)中。
同时,关于所生成的终端认证令牌(Auth_token_Terminal)的信息优选地包括在如图5B所示的终端认证令牌表353中。但是,可以不包括该信息。
当从DVR服务器240接收到终端认证令牌传输消息(Auth_token_reply)时,客户终端250和260从接收到的终端认证令牌传输消息(Auth_token_reply)中提取终端认证令牌(Auth_token_Terminal),然后验证所提取的终端认证令牌(Auth_token_Terminal)的完整性(S626)。以与服务器认证令牌(Auth_token_Server)的完整性的验证相同的方式执行验证所提取的终端认证令牌(Auth_token_Terminal)的完整性的方法,因而,将省略对其的详细描述。
当检查出终端认证令牌(Auth_token_Terminal)具备完整性时,客户终端250和260将终端认证令牌(Auth_token_Terminal)存储在其内部存储器中(S627)。
(3)提供监控服务的步骤(S630)
当用户选择监控目标终端(例如,第一层门厅的摄像机),同时通过上述提供终端认证令牌的步骤将允许用户访问对应的监控目标终端的终端认证令牌提供给客户终端用户(S620)时,客户终端250和260将访问请求消息发送至对应的监控目标终端(S631),并且此时,访问对应的监控目标终端所需的终端认证令牌优选地包括在访问请求消息中。
当从客户终端250和260接收到访问请求消息时,监控目标终端对包括在访问请求消息中的终端认证令牌(Auth_token_Terminal)执行使用期限检查和验证(S632),并且当终端认证令牌被确定为有效并且具备完整性(S632)时,对客户终端进行访问,从而将监控服务提供给客户终端用户(S633至S634)。
在此,当终端认证令牌(Auth_token_Terminal)的使用期限届满(即,为无效的终端认证令牌),或者终端认证令牌(Auth_token_Terminal)可能已经被调制时,监控目标终端请求DVR服务器240再次发布终端认证令牌(Auth_token_Terminal)。
已描述了由用户选择对应的监控目标终端,同时客户终端用户持有允许客户终端用户访问监控目标终端的终端认证令牌。然而,当用户未持有终端认证令牌或监控目标终端改变时,优选地通过提供终端认证令牌的步骤(S610)将终端认证令牌首先提供给用户,然后用户被允许使用所提供的终端认证令牌访问对应的监控目标终端。
同时,已描述了服务器认证令牌和终端认证令牌被分别提供给用户,服务器认证令牌用于访问DVR服务器240,并且终端认证令牌用于访问监控目标终端。然而,服务器认证令牌仅可以用于访问监控目标终端,将在以下参考图7更详细地描述。
图7是示出根据本发明的第二实施例的控制对监控目标终端的访问的方法的流程图。
参考图7,根据本发明的控制对监控目标终端的访问的方法可以包括将能够证明认证用户的服务器认证令牌提供给客户终端用户(S710),并且使用所提供的服务器认证令牌访问对应的监控目标终端以提供监控服务(S720)。
提供服务器认证令牌的步骤(S710)与参考图6所描述的提供服务器认证令牌的步骤相同,因而,将省略对其的详细描述。以下将更详细地描述提供监控服务的步骤(S720)。
当由用户选择监控目标终端(例如,第一层门厅的摄像机、第三层休息室的摄像机、屋顶的摄像机等)(S721),同时通过提供服务器认证令牌的步骤(S710)将服务器认证令牌提供给客户终端用户时,客户终端250和260将访问请求消息发送至DVR服务器240(S722),并且此时,服务器认证令牌优选地包括在访问请求消息中。
当从客户终端250和260接收到访问请求消息时,DVR服务器240检查包括在访问请求消息中的服务器认证令牌(Auth_token_Server)的使用期限(S723)。以下将简短地描述服务器认证令牌(Auth_token_Server)的使用期限检查。
DVR服务器240相反地使用等式1以利用EncATK对服务器认证令牌(Auth_token_Server)进行解密,从而提取出DVR服务器240的MAC地址(Mac_addr_Server)和服务器认证令牌(Auth_token_Server)的生成时间(Timestamp_Server)信息。
然后,DVR服务器240基于所提取的服务器认证令牌的生成时间信息(Timestamp_Server)检查服务器认证令牌的使用期限信息(Lifetime_Server),以确定服务器认证令牌(Auth_token_Server)是否有效,并且此时,优选地还检查所提取的DVR服务器240的MAC地址(Mac_addr_Server)是否相同。
在此,当服务器认证令牌(Auth_token_Server)的使用期限届满(即,为无效的服务器认证令牌)时,DVR服务器240向用户作出重新输入客户终端用户的ID和PW的请求,从而重新发布服务器认证令牌。
当服务器认证令牌(Auth_token_Server)被确定为有效时,DVR服务器240将访问授权请求消息发送至对应的监控目标终端(S724)。
当从DVR服务器240接收到访问授权请求消息时,对应的监控目标终端对客户终端进行访问,以将监控服务提供给客户终端的用户(S725)。
根据如上所述的控制对监控目标终端的访问的方法,可以在不经过DVR服务器240的情况下直接从每个监控目标终端提供实际的多媒体监控服务,使得可以最小化集中在DVR服务器240上的通信量,从而支持平稳的监控服务而没有大量过载。
另外,根据本发明的控制对监控目标终端的访问的方法,当用户请求对DVR服务器或监控目标终端进行访问时,检查用户所持有的服务器认证令牌或终端认证令牌,以对其执行访问授权过程,使得在不经过复杂且繁重的用户认证过程的情况下保持安全性。
同时,本发明的上述实施例可以被编程为可以在计算机上执行的程序,并且可以在使用计算机中可读的记录介质运行程序的通用数字计算机中实现。
已经在本文中描述了本发明的优选实施例,虽然采用了特定术语,但是它们仅被用于和被解释为普通和描述性意义而不用于限制本发明。因此,本领域的普通技术人员将明白,在不背离以下权利要求所限定的本发明的精神和范围的情况下,可以作出形式和细节上的多种改变。
Claims (33)
1.一种用于在基于网络的DVR***中控制通过经由网络连接至数字视频记录器(DVR)服务器的客户终端对监控目标终端的访问的方法,所述方法包括以下步骤:
(a)对所述客户终端的用户执行认证;
(b)当对所述客户终端的所述用户的认证为有效时,提供服务器认证令牌;
(c)将访问所述监控目标终端所需的终端认证令牌提供给所述客户终端;以及
(d)使用所提供的终端认证令牌访问对应的监控目标终端。
2.根据权利要求1所述的方法,其中,所述监控目标终端是视频传输装置或数字视频存储装置。
3.根据权利要求1所述的方法,其中,提供所述服务器认证令牌的步骤进一步包括:
第一步骤,基于所述DVR服务器的MAC地址和所述DVR服务器中的当前时间信息生成所述服务器认证令牌;
第二步骤,在所述DVR服务器中将所生成的服务器认证令牌包括在认证成功消息中并且将所述消息发送至所述客户终端;以及
第三步骤,接收所述认证成功消息以提取所述服务器认证令牌并将所述服务器认证令牌存储在所述客户终端中。
4.根据权利要求3所述的方法,其中,利用预定的加密密钥对所述DVR服务器的所述MAC地址和所述服务器认证令牌的生成时间信息进行加密,以生成所述服务器认证令牌。
5.根据权利要求3所述的方法,其中,所述第三步骤进一步包括验证所提取的服务器认证令牌的完整性的步骤。
6.根据权利要求1所述的方法,其中,提供所述终端认证令牌的步骤进一步包括:
第一步骤,选择所述监控目标终端;
第二步骤,将在所述客户终端中通过步骤(b)提供的所述服务器认证令牌包括在终端认证令牌请求消息中并将所述消息发送至所述DVR服务器;
第三步骤,在所述DVR服务器中接收所述终端认证令牌请求消息,并且对包括在所述终端认证令牌请求消息中的所述服务器认证令牌检查使用期限并执行验证;
第四步骤,当所述服务器认证令牌被确定为有效并且通过第三步骤被确定为具备完整性时,在所述DVR服务器中为每个监控目标终端生成访问所述监控目标终端所需的终端认证令牌;
第五步骤,将由所述DVR服务器生成的所述终端认证令牌包括在终端认证令牌传输消息中并将所述消息发送至所述客户终端的所述用户;以及
第六步骤,在所述客户终端中接收所述终端认证令牌传输消息以从所述终端认证令牌传输消息中提取所述终端认证令牌并存储所述终端认证令牌。
7.根据权利要求6所述的方法,其中,所述终端认证令牌请求消息包括:用户ID、所述客户终端的MAC地址、所述服务器认证令牌、监控目标终端的数量、所述监控目标终端的MAC地址列表、以及关于所述监控目标终端的所述MAC地址列表的消息认证码。
8.根据权利要求6所述的方法,其中,所述第三步骤进一步包括以下步骤:
对所述服务器认证令牌进行解密以提取所述DVR服务器的MAC地址和所述服务器认证令牌的生成时间信息;
基于对所述DVR服务器的所述MAC地址的检查、所述服务器认证令牌的生成时间信息、以及所述服务器认证令牌的使用期限信息,确定所述服务器认证令牌是否有效;以及
当所述服务器认证令牌被确定为有效时,使用关于所述监控目标终端的所述MAC地址列表的消息认证码来验证完整性。
9.根据权利要求6所述的方法,其中,所述第四步骤进一步包括以下步骤:当所述服务器认证令牌被确定为无效或被调制时,对所述客户终端的所述用户再次执行认证。
10.根据权利要求6所述的方法,其中,在所述第四步骤中,利用预定的加密密钥对所述监控目标终端的MAC地址、所述终端认证令牌的生成时间、以及所述用户的信道授权信息进行加密以生成所述终端认证令牌。
11.根据权利要求6所述的方法,其中,所述终端认证令牌传输消息包括用户ID、所述终端认证令牌的生成时间、监控目标终端的数量、所述监控目标终端的MAC地址列表、终端认证令牌列表、以及关于所述终端认证令牌列表的认证码信息。
12.根据权利要求6所述的方法,其中,所述第六步骤进一步包括验证所提取的终端认证令牌的完整性的步骤。
13.根据权利要求1所述的方法,其中,步骤(d)进一步包括:
第一步骤,由所述客户终端的所述用户请求对所述监控目标终端进行访问;
第二步骤,在所述客户终端中将通过步骤(c)提供的所述终端认证令牌包括在访问请求消息中并且将所述消息发送至对应的监控目标终端;
第三步骤,在所述监控目标终端中接收所述访问请求消息,以对包括在所述访问请求消息中的所述终端认证令牌执行使用期限检查和验证;以及
第四步骤,当所述终端认证令牌被确定为有效并且具备完整性时,在所述监控目标终端中授权对客户终端进行访问。
14.根据权利要求13所述的方法,进一步包括:
当所述终端认证令牌被确定为无效或被调制时,通过步骤(c)再次生成并提供所述终端认证令牌的步骤。
15.一种用于在基于网络的DVR***中控制通过经由网络连接至数字视频记录器(DVR)服务器的客户终端对监控目标终端的访问的方法,所述方法包括以下步骤:
(a)对所述客户终端的用户执行认证;
(b)如果对所述客户终端的用户的认证有效,则将服务器认证令牌提供给所述客户终端;以及
(c)使用所提供的服务器认证令牌访问对应的监控目标终端。
16.根据权利要求15所述的方法,其中,所述监控目标终端是视频传输装置或数字视频存储装置。
17.根据权利要求15所述的方法,其中,提供所述服务器认证令牌的步骤进一步包括:
第一步骤,基于所述DVR服务器的MAC地址和所述DVR服务器中的当前时间信息生成所述服务器认证令牌;
第二步骤,在所述DVR服务器中将所生成的服务器认证令牌包括在认证成功消息中,并且将所述消息发送至所述客户终端;以及
第三步骤,接收所述认证成功消息以从接收到的认证成功消息中提取所述服务器认证令牌并将所述服务器认证令牌存储在所述客户终端中。
18.根据权利要求17所述的方法,其中,在所述第一步骤中,利用预定的加密密钥对所述DVR服务器的所述MAC地址和所述服务器认证令牌的生成时间信息进行加密,以生成所述服务器认证令牌。
19.根据权利要求15所述的方法,其中,步骤(c)进一步包括:
第一步骤,由所述客户终端的所述用户请求对所述监控目标终端进行访问;
第二步骤,在所述客户终端中将由步骤(b)提供的所述服务器认证令牌包括在访问请求消息中,并且将所述消息发送至所述DVR服务器;
第三步骤,在所述DVR服务器中接收所述访问请求消息,并且对包括在所述访问请求消息中的所述服务器认证令牌的使用期限进行检查;
第四步骤,当所述服务器认证令牌被确定为有效时,在所述DVR服务器中将访问授权请求消息发送至对应的监控目标终端;以及
第五步骤,在所述对应的监控目标终端中授权对所述客户终端进行访问。
20.根据权利要求19所述的方法,其中,所述第三步骤进一步包括以下步骤:
对所述服务器认证令牌进行解密以提取所述DVR服务器的MAC地址和所述服务器认证令牌的生成时间信息;
基于所提取的所述服务器认证令牌的生成时间信息和所述服务器认证令牌的使用期限信息,确定所述服务器认证令牌是否有效;以及
当所述服务器认证令牌被确定为有效时,使用关于所述监控目标终端的所述MAC地址列表的消息认证码验证完整性。
21.一种用于在数字视频记录器(DVR)***中控制使用客户终端对监控目标终端或多媒体存储单元进行访问的方法,其中,所述数字视频记录器***包括通过网络相互连接的至少一个监控目标终端、至少一个客户终端、多媒体存储单元和DVR服务器,所述方法包括以下步骤:
向所述DVR服务器请求对所述客户终端进行用户认证;
如果来自所述DVR服务器的所述客户终端的所述用户认证有效,则接收服务器认证令牌;
请求访问所选的监控目标终端或所述多媒体存储单元所需的终端认证令牌并接收所述终端认证令牌;以及
使用所述终端认证令牌请求对对应的监控目标终端进行访问。
22.根据权利要求21所述的方法,其中,所述监控目标终端是视频传输装置或数字视频存储装置。
23.根据权利要求21所述的方法,其中,所述监控目标终端和所述客户终端无线连接至所述网络。
24.根据权利要求21所述的方法,其中,利用预定的加密密钥对所述DVR服务器的MAC地址和所述服务器认证令牌的生成时间信息进行加密,以生成所述服务器认证令牌。
25.根据权利要求21所述的方法,其中,利用预定的加密密钥对所述监控目标终端或所述多媒体存储单元的MAC地址、所述终端认证令牌的生成时间、以及所述监控目标终端或所述多媒体存储单元的访问权限信息进行加密,以生成所述终端认证令牌。
26.一种在基于网络的数字视频记录器(DVR)***中的DVR服务器,所述基于网络的数字视频记录器***包括通过网络相互连接的至少一个监控目标终端、至少一个客户终端、以及所述DVR服务器,所述DVR服务器包括:
通信单元,用于与外部进行通信;
认证和安全性控制单元,用于控制用户认证和安全性;
认证令牌生成单元,用于在所述认证和安全性控制单元的控制下,生成证明所述客户终端的用户是有效用户的服务器认证令牌以及证明所述用户是可访问所述监控目标终端的用户的终端认证令牌;以及
认证令牌验证单元,用于在所述认证和安全性控制单元的控制下,验证由所述客户终端的所述用户提供的所述服务器认证令牌和所述终端认证令牌是否有效。
27.根据权利要求26所述的DVR服务器,其中,关于所生成的服务器认证令牌的信息包括所述服务器认证令牌、所述DVR服务器的MAC地址、所述服务器认证令牌的生成时间、所述服务器认证令牌的使用期限、用户的信道权限信息、以及用于生成和验证认证令牌的加密/解密密钥。
28.根据权利要求26所述的DVR服务器,其中,关于所生成的终端认证令牌的信息包括所述终端认证令牌、所述监控目标终端的MAC地址、所述终端认证令牌的生成时间、所述终端认证令牌的使用期限、用户的信道权限信息、以及用于生成和验证认证令牌的加密/解密密钥。
29.根据权利要求26所述的DVR服务器,其中,通过利用预定的加密密钥对所述DVR服务器的所述MAC地址和所述服务器认证令牌的生成时间信息进行加密,来生成所述服务器认证令牌。
30.根据权利要求27所述的DVR服务器,其中,通过利用预定的加密密钥对所述DVR服务器的所述MAC地址和所述服务器认证令牌的生成时间信息进行加密,来生成所述服务器认证令牌。
31.根据权利要求26所述的DVR服务器,其中,通过利用预定的加密密钥对所述监控目标终端的所述MAC地址、所述终端认证令牌的生成时间、以及信道权限信息进行加密,来生成所述终端认证令牌。
32.根据权利要求28所述的DVR服务器,其中,通过利用预定的加密密钥对所述监控目标终端的所述MAC地址、所述终端认证令牌的生成时间、以及信道权限信息进行加密,来生成所述终端认证令牌。
33.根据权利要求26所述的DVR服务器,其中,所述认证令牌验证单元包括:
确定单元,用于基于与所生成的服务器认证令牌相关的信息中的所述服务器认证令牌的所述使用期限信息和从由所述客户终端的用户提供的所述服务器认证令牌中获得的所述服务器认证令牌的生成时间信息,确定所述服务器认证令牌是否有效;以及
验证单元,用于当所述服务器认证令牌被确定为有效时,使用与所述监控目标终端的MAC地址列表相关的消息认证码来验证所述服务器认证令牌的完整性。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060061022 | 2006-06-30 | ||
| KR1020060061022A KR100847999B1 (ko) | 2006-06-30 | 2006-06-30 | 네트워크 기반의 dvr 시스템에 있어서 dvr 서버 및모니터링 대상 단말 접근 제어 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101461178A true CN101461178A (zh) | 2009-06-17 |
Family
ID=38845808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800208525A Pending CN101461178A (zh) | 2006-06-30 | 2007-06-29 | Dvr服务器和在基于网络的dvr***中控制对监控装置的访问的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20090313477A1 (zh) |
| JP (1) | JP2009539172A (zh) |
| KR (1) | KR100847999B1 (zh) |
| CN (1) | CN101461178A (zh) |
| WO (1) | WO2008002102A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873459A (zh) * | 2010-03-15 | 2010-10-27 | 杭州海康威视数字技术股份有限公司 | 基于级联网络的dvr操作方法、***及dvr设备 |
| CN105847226A (zh) * | 2015-01-30 | 2016-08-10 | 株式会社Pfu | 服务器、***以及访问令牌管理方法 |
| CN107341404A (zh) * | 2016-04-29 | 2017-11-10 | 晨星半导体股份有限公司 | 计算装置与数据处理方法 |
| CN109981733A (zh) * | 2019-02-19 | 2019-07-05 | 广州勒夫蔓德电器有限公司 | 智能终端设备的控制方法、服务器及计算机可读存储介质 |
| CN110191322A (zh) * | 2019-06-05 | 2019-08-30 | 重庆两江新区管理委员会 | 一种共享预警的视频监控方法及*** |
| CN110300289A (zh) * | 2019-07-31 | 2019-10-01 | 北京中安国通科技有限公司 | 视频安全管理***及方法 |
| CN110572623A (zh) * | 2019-10-09 | 2019-12-13 | 广州交通信息化建设投资营运有限公司 | 车载视频监控方法、装置及车载视频云服务*** |
| CN111741268A (zh) * | 2020-06-30 | 2020-10-02 | 中国建设银行股份有限公司 | 视频的传输方法、装置、服务器、设备和介质 |
| CN113438246A (zh) * | 2021-06-29 | 2021-09-24 | 四川巧夺天工信息安全智能设备有限公司 | 一种针对智能终端的数据安全及权限管控的方法 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009118890A1 (ja) * | 2008-03-28 | 2009-10-01 | パイオニア株式会社 | 表示装置及び映像最適化方法 |
| US9197642B1 (en) * | 2009-12-10 | 2015-11-24 | Otoy, Inc. | Token-based billing model for server-side rendering service |
| US8806198B1 (en) * | 2010-03-04 | 2014-08-12 | The Directv Group, Inc. | Method and system for authenticating a request |
| US9654829B1 (en) | 2010-03-04 | 2017-05-16 | The Directv Group, Inc. | Method and system for retrieving data from multiple sources |
| EP2604017B1 (en) * | 2010-08-10 | 2017-10-04 | Google Technology Holdings LLC | System and method for cognizant transport layer security |
| CN102378170B (zh) * | 2010-08-27 | 2014-12-10 | ***通信有限公司 | 一种鉴权及业务调用方法、装置和*** |
| WO2012153457A1 (ja) * | 2011-05-12 | 2012-11-15 | Necカシオモバイルコミュニケーションズ株式会社 | 遠隔操作システム、中継装置、移動通信端末装置、及び中継方法 |
| US20130103685A1 (en) * | 2011-09-01 | 2013-04-25 | Protegrity Corporation | Multiple Table Tokenization |
| KR20130046155A (ko) * | 2011-10-27 | 2013-05-07 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스에서의 접근제어 시스템 |
| US9202086B1 (en) | 2012-03-30 | 2015-12-01 | Protegrity Corporation | Tokenization in a centralized tokenization environment |
| EP2688263A1 (en) * | 2012-07-17 | 2014-01-22 | Tele2 Sverige AB | System and method for delegated authentication and authorization |
| JP5662391B2 (ja) * | 2012-08-17 | 2015-01-28 | 株式会社東芝 | 情報操作装置、情報出力装置および情報処理方法 |
| US10070310B2 (en) | 2014-05-08 | 2018-09-04 | Visa International Service Association | Method and system for provisioning access data to mobile device |
| US10959093B2 (en) * | 2014-05-08 | 2021-03-23 | Visa International Service Association | Method and system for provisioning access data to mobile device |
| CN104539902B (zh) * | 2014-12-29 | 2018-06-05 | 浙江宇视科技有限公司 | 一种ipc的远程访问方法和*** |
| US10298400B2 (en) * | 2015-02-06 | 2019-05-21 | eStorm Co., LTD | Authentication method and system |
| JP6031543B2 (ja) * | 2015-02-27 | 2016-11-24 | 株式会社Pfu | 画像データ処理サーバー、システム、方法およびプログラム |
| US10318957B2 (en) * | 2017-10-23 | 2019-06-11 | Capital One Services, Llc | Customer identification verification process |
| KR102177447B1 (ko) * | 2019-08-23 | 2020-11-11 | 주식회사 엘지유플러스 | 홈 cctv 영상 전송 제어 방법 및 장치 |
| CN113691978B (zh) * | 2020-05-18 | 2023-07-25 | 云米互联科技(广东)有限公司 | 多设备的token处理方法及*** |
| IL275947A (en) * | 2020-07-09 | 2022-02-01 | Google Llc | Anonymous Event Confirmation |
| IL275954A (en) | 2020-07-09 | 2022-02-01 | Google Llc | Anonymous event confirmation with group signatures |
| CN113411545B (zh) * | 2021-05-12 | 2023-07-18 | 武汉零感网御网络科技有限公司 | 一种重点线路视频监控设备的控制方法 |
| KR102526112B1 (ko) * | 2022-02-10 | 2023-04-26 | 서울대학교산학협력단 | 동형 암호 연산을 위한 키 관리 시스템 및 그 동작 방법 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08317374A (ja) * | 1995-05-18 | 1996-11-29 | Canon Inc | ネットワーク・システム |
| KR20020061288A (ko) * | 2001-01-15 | 2002-07-24 | 유로시스템 주식회사 | 네트워크 디지털 화상 제어 서버 시스템 |
| JP2003233586A (ja) * | 2002-02-13 | 2003-08-22 | Advanced Telecommunication Research Institute International | 制御サーバ、サービス機能へのアクセス制御をコンピュータに実行させるためのプログラム、サービス機能の取得をコンピュータに実行させるためのプログラム、およびプログラムを記録したコンピュータ読取り可能な記録媒体 |
| JP2004166024A (ja) * | 2002-11-14 | 2004-06-10 | Hitachi Ltd | 監視カメラシステムおよび監視方法 |
| KR20050025872A (ko) * | 2003-09-08 | 2005-03-14 | 삼성전자주식회사 | 실시간 스트리밍 프로토콜을 이용한 감시시스템의 제어방법 |
| KR20060010468A (ko) * | 2004-07-28 | 2006-02-02 | 주식회사 원우이엔지 | 네트워크기반 씨씨티브이시스템 |
-
2006
- 2006-06-30 KR KR1020060061022A patent/KR100847999B1/ko not_active IP Right Cessation
-
2007
- 2007-06-29 WO PCT/KR2007/003183 patent/WO2008002102A1/en active Application Filing
- 2007-06-29 JP JP2009513068A patent/JP2009539172A/ja active Pending
- 2007-06-29 US US12/306,627 patent/US20090313477A1/en not_active Abandoned
- 2007-06-29 CN CNA2007800208525A patent/CN101461178A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873459A (zh) * | 2010-03-15 | 2010-10-27 | 杭州海康威视数字技术股份有限公司 | 基于级联网络的dvr操作方法、***及dvr设备 |
| CN105847226A (zh) * | 2015-01-30 | 2016-08-10 | 株式会社Pfu | 服务器、***以及访问令牌管理方法 |
| CN105847226B (zh) * | 2015-01-30 | 2019-07-16 | 株式会社Pfu | 访问令牌管理*** |
| CN107341404A (zh) * | 2016-04-29 | 2017-11-10 | 晨星半导体股份有限公司 | 计算装置与数据处理方法 |
| CN109981733A (zh) * | 2019-02-19 | 2019-07-05 | 广州勒夫蔓德电器有限公司 | 智能终端设备的控制方法、服务器及计算机可读存储介质 |
| CN110191322A (zh) * | 2019-06-05 | 2019-08-30 | 重庆两江新区管理委员会 | 一种共享预警的视频监控方法及*** |
| CN110300289A (zh) * | 2019-07-31 | 2019-10-01 | 北京中安国通科技有限公司 | 视频安全管理***及方法 |
| CN110300289B (zh) * | 2019-07-31 | 2020-08-21 | 北京中安国通科技有限公司 | 视频安全管理***及方法 |
| CN110572623A (zh) * | 2019-10-09 | 2019-12-13 | 广州交通信息化建设投资营运有限公司 | 车载视频监控方法、装置及车载视频云服务*** |
| CN110572623B (zh) * | 2019-10-09 | 2021-05-14 | 广州交信投科技股份有限公司 | 车载视频监控方法、装置及车载视频云服务*** |
| CN111741268A (zh) * | 2020-06-30 | 2020-10-02 | 中国建设银行股份有限公司 | 视频的传输方法、装置、服务器、设备和介质 |
| CN111741268B (zh) * | 2020-06-30 | 2022-07-05 | 中国建设银行股份有限公司 | 视频的传输方法、装置、服务器、设备和介质 |
| CN113438246A (zh) * | 2021-06-29 | 2021-09-24 | 四川巧夺天工信息安全智能设备有限公司 | 一种针对智能终端的数据安全及权限管控的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009539172A (ja) | 2009-11-12 |
| US20090313477A1 (en) | 2009-12-17 |
| KR20080002290A (ko) | 2008-01-04 |
| KR100847999B1 (ko) | 2008-07-23 |
| WO2008002102A1 (en) | 2008-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101461178A (zh) | Dvr服务器和在基于网络的dvr***中控制对监控装置的访问的方法 | |
| US8090106B2 (en) | Multi-level data encryption and decryption system and method thereof | |
| US8984295B2 (en) | Secure access to electronic devices | |
| CN111260398B (zh) | 一种广告投放控制方法、装置、电子设备及存储介质 | |
| US9306943B1 (en) | Access point—authentication server combination | |
| US8234492B2 (en) | Method, client and system for reversed access to management server using one-time password | |
| US20130067544A1 (en) | System for authentication management of a sensor node having a subscription processing function, and a method for operating the system | |
| CN103190130A (zh) | 用于向设备提供秘密值的注册服务器、网关装置和方法 | |
| US8140853B2 (en) | Mutually excluded security managers | |
| KR20050072508A (ko) | 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법 | |
| CN107979461A (zh) | 秘钥找回方法、装置、终端、秘钥托管服务器及可读介质 | |
| JP2007323553A (ja) | ネットワーク上の暗号化通信を行うアダプタ装置及びicカード | |
| CN110070650A (zh) | 一种智能配电箱的智能开锁方法及*** | |
| KR101809974B1 (ko) | 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템 및 보안인증방법 | |
| CN114239046A (zh) | 数据共享方法 | |
| EP2498469B1 (en) | Authenticating method of communicating connection, gateway apparatus using authenticating method, and communication system using authenticating method | |
| CN103095861A (zh) | 确定设备是否处于网络内部 | |
| US20110055895A1 (en) | Shared scalable server to control confidential sensory event traffic among recordation terminals, analysis engines, and a storage farm coupled via a non-proprietary communication channel | |
| CN113472722A (zh) | 数据传输方法、存储介质、电子设备及自动售检票*** | |
| CN112818401A (zh) | 一种区块链健康档案管理*** | |
| CN109981558B (zh) | 智能家居设备的认证方法、设备及*** | |
| KR102479988B1 (ko) | 사용자 의사정보 식별자를 생성하는 방법 및 이를 위한 시스템 | |
| CN109067868A (zh) | 一种用于对云数据存储的方法和*** | |
| CN105577609A (zh) | 用于对访问的内容进行控制的方法和装置 | |
| US11310235B1 (en) | Internet of things system based on security orientation and group sharing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20090617 |
|
| C20 | Patent right or utility model deemed to be abandoned or is abandoned |