“智能眼”网络视频监控系统综述.doc

“智能眼”网络视频监控系统综述中国移动通信集团内蒙古有限公司2010年5月13日目录目录2一、智能眼网络视频监控系统说明34.1.系统设计原则34.2.系统架构44.2.1.监控点（前端）部分44.2.2.中心平台部分54.2.3.客户端部分84.2.4.传输网络部分124.3.系统功能134.3.1.图像播放功能：134.3.2.控制功能144.3.3.报警功能144.3.4.声音功能144.3.5.图像存储功能154.3.6.数据采集功能154.3.7.应用功能扩展154.4.系统特点154.5.系统安全设计164.5.1.平台网络层面安全建设164.5.2.平台应用层面安全建设17二、智能眼网络视频监控系统客户使用简介205.1.系统建设205.2.权限定制和账户种类规划205.3.系统使用人员培训21一、 “智能眼”网络视频监控系统说明本章从智能眼网络视频监控系统的设计原则、系统架构、系统功能、系统特点以及系统安全设计5个方面，对其进行全面、概要的说明，使用户对本系统有全面的了解和把握。1.1. 系统设计原则本系统遵循以下六个原则设计，这些原则以多年技术经验积累和行业实践为基础，从更好地服务与客户的角度进行归纳而得。l 可靠性：系统满足一年365天，724小时稳定可靠运行；l 可用性：系统满足不同层面客户需求，充分考虑不同网络接入情况，保证业务最大可用性。l 可扩展性：系统框架设计灵活，可方便的添加其他业务支持，系统根据当前的负荷，可平滑扩容升级。l 可管理性：系统提供完善的设备管理、远程设备故障诊断等服务； l 安全性：系统具有用户接入认证、前端设备接入认证，完备的权限管理；l 开放性：平台系统可与其它中国移动网络视频监控系统平台级连，支持与其他厂家的前端设备的编码格式实现兼容，并根据相关业务要求开放相关标准接口。1.2. 系统架构本系统分为监控点（前端）、中心平台、客户端、传输网络4个部分。监控对象的图像由监控点采集，通过传输网络传递到中心平台，用户操作客户端向中心平台发送指令，图像最终由中心平台根据用户指令经存储、分发等环节送达客户端。图1：智能眼网络视频监控系统示意图1.2.1. 监控点（前端）部分监控点（下文中简称前端）部分是整个网络视频监控系统的眼睛，本系统中前端部署包含两部分工作：前端点位选择和前端设备的选择，选择不同的点位对应部署相应种类和型号的前端设备。1. 前端点位选择原则和依据前端点位的选择遵从近网性、合理性、最大化利用三个原则，用最少的资源满足客户最多的需求。 近网性：尽量选择离传输网络近的点，节约成本、提高系统效率； 合理性：点位的密度要根据监控覆盖的需求合理布设，做到无盲区、少重复； 最大化利用：点位选择时结合设备选型，做到视频、音频、其他数据采集、报警等不同设备在不同点位的最优化配置，高效、无浪费。2. 前端设备前端设备负责现场视音频、报警信号的收集和各种监控外围设备的控制，具体分为：视频监控设备（视频服务器、网络摄像机、硬盘录像机、摄像机和相关配套设备），报警设备和各种传感设备，其它数据采集设备等。“智能眼”系统支持WIFI、TD-SCDMA制式的无线前端接入，WIFI前端由WIFI信号发送装置发出信号，由近端的WIFI路由器或基站接收后将数据传输到“智能眼”平台；TD-SCDMA制式的3G前端通过数据卡进行拨号后使用3G网络传输到“智能眼”平台。在车辆远程定损中，可以支持有线前段接入、WIFI无线接入、TD-SCDMA无线接入、高清手持DV摄像机接入。1.2.2. 中心平台部分中心业务平台，是智能眼网络视频监控系统的核心，汇接各种监控资源。主要由中心服务子平台、中心存储子平台以及分发子平台等几部分组成。各子平台相对独立，任一子平台的升级更新都不会导致其他部分瘫痪或崩溃。1. 中心服务子平台作为整个中心平台的核心，主要完成系统管理、设备工作状态监视、命令请求响应、视频调度、用户管理、权限管理、日志管理及计费等功能。中心服务子平台由接入模块、中心管理模块、数据库模块、WEB模块、无线模块以及网管模块等六个模块组成。中心服务子平台采用服务器集群的方式架构，每个模块拥有专属的服务器组，相对独立又互相协助。 接入模块：负责响应客户端和设备提交的系统请求服务。如视频请求、云台控制请求、报警处理请求、视频存储请求、认证转发等。并进行视频分发和存储的调度管理。 中心管理模块：完成设备管理、用户管理、权限管理、报警管理、日志管理等事务性业务处理，采用J2EE架构。 数据库模块：存储系统的核心运行数据和业务数据，由数据库服务器和磁盘存储介质组成。 WEB模块：支持视频监控和信息服务的在线展示，用户通过互联网以浏览器的方式登录在线系统查看所需视频，进行监控相关操作。 无线模块：支持通过3G等无线网络将前端视频传输到中心平台、并将视频等信息发送到用户的手机客户端。 网管模块：监控中心平台中的各个模块服务器组（比如：接入服务器等）的运行状态，向网管人员显示系统相应的运行状态信息，支持异常告警，便于了解整个系统的运行情况，也便于运行系统配置和管理。2. 中心存储子平台在智能眼网络视频监控系统中有三种存储方式：前端存储、中心存储和前端+中心存储。三种存储方式通过前端存储服务和中心存储子平台独立或共同完成。中心存储子平台是系统的客户图像数据存储管理中心，主要完成图像中心存储的管理和监测功能，后台连接海量存储空间。由两部分组成：存储服务器和存储介质。当客户有中心存储需求时，可以选择中心存储或前端+中心存储，图像通过传输网络从本地上传到中心存储子平台进行存储。3. 分发子平台分发子平台应用于针对热点访问进行视频广播，能有效减少并发访问量，节约网络带宽。传统视频监控应用中，用户可以直接访问来自于前端视频服务器，以便保证现场图像的实时性，但在大量用户同时访问某个热点前端图像的情况下，会造成前端服务器压力遽增，加之网络带宽限制，致使无法保证所有用户的正常连接、观看图像。本系统中的分发子平台即为针对性解决方案。分发子平台支持多级部署，并且有完善的触发机制。可以部署在客户监控中心、客户监控点，也可以根据需要部署在任何地方。1.2.3. 客户端部分客户端部分是直接面向用户的界面和工具，用户通过对客户端的操作来指挥整个系统的运作。为兼顾用户对监控的浏览、调用、切换、存储、远程指挥、报警等操作的集中性、便捷性的要求，本系统提供三种客户端方式：企业客户端、电脑客户端和手机客户端。1. 企业客户端应用于企业的监控中心，通过控制台能够进行授权范围内的各种操作，实现对应功能。控制台由PC（带麦克风和音箱用于语音对讲）和控制台管理软件组成，是整个系统的核心控制的用户接口部分，操控整个图像监控系统的操作界面，实现系统管理和图像管理，如用户管理、控制显示服务器、实时图像显示、历史图像播放等。同时，本系统还通过主、副控制台的搭建支持多级多用户的分控管理。企业客户端方式中，视频信息根据控制台的指令，经由显示服务器解码最终投放到监视器、电视机、电脑显示器以及电视墙等显示设备。此类型的客户端适用于大路数、长时间的图像监控需求。企业客户端操作界面显示设备电视墙2. 电脑客户端以能够接入互联网的电脑为载体，通过安装智能眼网络视频监控系统电脑客户端或安装浏览器播放插件来浏览监控视频，并可以进行授权范围内的操作，实现相应功能。电脑客户端操作界面3. 手机客户端以手机为载体，安装手机客户端软件后用户即可浏览监控视频，进行授权范围内的操作并实现相应功能。手机客户端界面1.2.4. 传输网络部分智能眼网络视频监控系统利用互联网或客户专网作为传输网络，传输视频流、控制指令及其它数据信息。智能眼网络视频监控系统的各部分设备都将以不同的方式接入网络，可以采用客户专网、3G无线网、或者客户已有的ADSL、LAN、WLAN等不同的互联网接入方式。1.3. 系统功能本系统具备以下功能：图像播放、控制、报警、声音、图像存储、数据采集以及应用功能拓展。用户可根据自己的需求对已有功能进行定制，并支持特殊需求的定制开发。1.3.1. 图像播放功能：l 图像实时播放、历史播放，播放控制处理；l 图像切换功能：将指定摄像机实时或历史图像在指定的播放窗口内任意显示或输出到数字显示墙的监视器上；l 对图像显示方式进行顺序切换和分组切换设置；l 图像参数远程实时调节，包括亮度、对比度、色度、帧率、码流、关键帧参数、图像格式（QCIF、CIF、2CIF、4CIF）等。l 为每路图像配置文字注释和编号设置，并可以叠加时间，字符和时间可在观看图像时取消或叠加；l 历史图像回放：根据日期、时间或报警事件检索相关历史记录；l 对图像进行放大、缩小操作；l 定格抓拍画面；l 设置图像区域遮挡；l 远程副控台可根据授权操作实时图像，下载历史图像记录文件。1.3.2. 控制功能l 音视频切换；l 云台镜头控制：控制相应的云台转动以及镜头的变倍、光圈和聚焦；l 远程现场辅助开关灯光、雨刷等的开闭控制；l 支持传统键盘和摇杆控制。1.3.3. 报警功能l 报警输入、输出设备连接，如红外探头、警灯等；l 报警参数远程设置，如报警定时开关时间、蜂鸣时间等；l 图像丢失报警；l 图像框定区域的移动变化报警；l 报警联动和报警录像功能；l 现场报警信息事件日志记录，以备查询取证；l 防瞌睡提醒功能。1.3.4. 声音功能l 现场声音实时监听。l 点对点语音对讲。l 点对多点语音广播。1.3.5. 图像存储功能l 支持前端存储、中心存储和前端+中心存储三种存储方式；l 中心存储支持集中部署或分散式的分中心部署；l 图像存储采用周期性删除或覆盖方式，用户可以设置存储周期、存储时间段、报警或事件触发存储，事件触发存储提供预录像功能。l 空间使用状况实时检测，达到空间占用上限值时，平台报警。1.3.6. 数据采集功能对现场图像进行实时监控的同时、将环境的温度、湿度等数据通过相应外接设备进行同步采集并和图像同步发送到客户端。1.3.7. 应用功能扩展l 与GIS系统相结合，将监控和报警点在GIS中显示，扩展多种应用；l 图像智能分析：可以应用于车辆识别、人数统计、流量统计等等需要。1.4. 系统特点本系统按照运营级技术规范自主研发,是“可运营、可管理、成熟、稳定”的强大系统中心管理平台，并具有以下特点。l 易用性：系统设计人性化，操作简单容易掌握。l 高可靠性：系统平台主要模块采用双机热备或多机群集的组成方式，保证系统运行所需要的稳定性、容错性、安全性和快速响应，且易于扩容和维护；l 高安全性：系统各种数据（用户认证、控制指令、图像数据等）传输采用不同安全等级的加密方式，保证系统的安全性和防止恶意攻击；用户操作采用授权和操作记录结合的方式，避免越权操作、恶意更改。l 便捷性：系统的三种客户端形式能够让用户随时随地获取视频信息；l 开放性：易于集成新设备、新功能、增值服务等；l 兼容性：兼容多家厂商前端视频服务器产品。l 强拓展性：能够与GIS、车辆识别系统、环保数据采集系统等其他系统的快速无缝集成结合。1.5. 系统安全设计将业务系统平台从使用角度分为网络层面和应用层面，并通过对两个层面的安全建设保障系统的安全稳定运行。1.5.1. 平台网络层面安全建设将平台网络层面的安全建设细分为中心平台、网络设备、接入网络、客户端管理等四项。1. 中心平台安全：l 采用防火墙对核心平台进行隔离和防护；l 所有核心网络网络设备采用双冗余设备、双线路上联模式布防；2. 网络设备安全：设备软件故障问题解决办法：加强设备管理，采用SNMP管理系统、监控软件等实现对设备状态的记录和分析，从历史记录中发现隐含的问题，也可以采用故障实时告警的模式来实现实时的声音和屏幕告警。设备远程访问问题解决办法：对于网络设备的管理全部采用SSH和HTTPs模式，实现敏感管理信息的加密传送。还可以从网络设备上限制相关的访问权限和可以访问的源地址，缩小设备管理权限公开的范围。需要开发远程访问时进行临时授权，并通过网络管理员进行必要的监管和操作监视；3. 接入网络安全：（1） 网络管理问题解决办法：l 定期对接入网络的线路连接进行检查；l 对于摄像头等采用模拟连接的线路检测，并提供前端设备故障告警能力；（2） 前端管理问题解决办法：l 前端设备入网的许可和管理； l 使用者通过平台进行授权，才能对前端设备进行许可范围内的操作；4. 客户端管理问题解决办法：l 安装杀毒和防火墙软件，加强设备的坚固性；l 不安装盗版和垃圾软件，降低木马和病毒的感染机率；l PC应加强补丁、使用权限、密码的管理，应对设备自身的使用提供详细的内部管理流程；1.5.2. 平台应用层面安全建设平台应用层面从认证安全、数据安全和系统安全三方面来保证客户信息和资料在各个环节的安全，并保证用户在使用过程中的稳定、流畅。1. 认证安全为使只有合法用户才能在授权的范围内管理自己设置的监控点的前端子系统设备，查看有权限使用的监控点的视频监控图像，并保证视频文件的安全和避免越权查阅，本系统设置用户认证。认证原则：登录认证+应用服务二次认证。（1） 登录认证：用户必须向系统提供正确地身份验证信息才能登录客户端； （2） 应用服务二次认证：用户登录后，客户端将用户操作请求及用户身份信息提交到中心平台，当信息全部正确且在用户权限内时操作成功。（3） 特殊需要客户USB-KEY电子钥匙认证方法：考虑到管理用户（系统平台维护人员、业务开通、管理人员）和安全性要求很高的用户（公安系统用户等）对安全性有更高要求，系统支持此方式。只有持有该电子钥匙的用户才能正常启动客户端软件，再配合加密的用户名密码，双重保证用户访问的安全性。2. 数据安全本小节所述数据包括帐户信息、系统操作记录、音视频实时及历史数据、其他实时及历史环境数据数据、报警等事件信息、设备所属信息、以及管理指令信息等，数据安全分为数据的存储安全和传输安全。（1） 数据存储安全：l 用户信息数据库设备具有热备份、热缓存能力，当用户数据库设备因外界因素或病毒攻击不能正常运行时，备份数据库可以正常为用户工作；l 通过设备管理功能对磁盘的容量、工作状态、温度等进行集中化的管理、监控和告警。l 对于存储的静态数据或文件可以采用数据或文件加密的方式确保信息的完整性；l 采用数字水印技术使数据信息的真实性受到保护。（2） 数据传输安全：l 系统设备在安全域中设置，并设置防火墙进行保护，结合认证模块保证数据传输通路安全；l 系统采取加密的办法来保证信息传输的安全性。3. 系统安全l 系统设备层采用LINUX操作系统，采用一定的冗余备份方案；l 中心服务平台、应用服务器、平台的控制信令网关、视频管理主机、终端维护系统、中心管理服务器、接入服务器、增值应用服务器等重要网元设置在防火墙保护区域内；l 在报警与监控系统中，设备控制权限划分到对每个摄像头、报警探头、电视墙的控制；l 对每个摄像头分为“实时视频查看”、“历史资料检索”、“远程云镜控制”、“参数设置”、“音频控制”等不同控制权限能力；l 系统对使用者的权限管理，是基于“机构”、“角色”和“用户”三个层次。l 分级分域管理：分用户、分用户组、分区域、分任务管理，不同级别给予不同的操作及管理权限；l 至少设置机构管理员、机构操作员