视频监控业务的跨网访问技术探讨.doc

视频监控业务的跨网访问技术探讨郑 奕， 罗军荣（福建省邮电规划设计院有限公司 福州 350003）摘要 本文从目前视频监控系统建设中的跨网访问需求出发，通过分析现有的技术方案中存在的主要问题，提出了通用网关服务软件的构思，以期在现网上得到应用，促进视频监控业务的发展。关键词全球眼； 数据摆渡； 网闸； 通用网关1前言传统的远程监控技术主要是通过视频摄像技术、专线传输、远程接收显示、中央集中控制等手段，将前端监控图像信号传送给后端用户，以达到实时监控的目的。视频监控的发展经历了第一代的模拟监控系统、第二代的数字化监控系统（本地硬盘录像），现今的第三代网络化视频监控系统。第三代技术目前以中国电信公司推出的“全球眼业务”为代表，本文所讨论的跨网访问技术正是基于第三代监控系统提出的。网络视频监控业务是基于宽带网络为用户提供图像和各种报警信号远程采集、传输、存储、处理的一种全新电信业务。互联网应用的蓬勃发展，图像压缩编码与流媒体技术的演进，系统处理能力的大幅度提升，都对网络图像应用产生了强大的驱动力。受益于这些技术突破，网络图像业务的应用面得以大大扩展，正逐渐进入许多对网络图像业务有着极大需求的新兴行业，如用于高考考场、连锁百货、医疗监护以及寄宿制学校等场所。目前福建电信“全球眼”业务发展速度迅猛，从2005年开放业务至今用户数已达到全省超过18 000路前端视频摄像头的规模。随着业务发展和系统自身功能的逐步完善，许多新的需求也不断出现，其中的重点便是由用户侧的局域网至监控网络的安全访问。“全球眼”平台为多用户共享的硬件平台，承载网解决方案也是基于公用互联网或者虚拟专用网，由此而来的问题是如何保证用户从其内部局域网发起对“全球眼”的视频访问请求得到实现，同时又必须充分保证用户网络的安全性。以公安部门为例，要求监控网和办公网必须物理隔离，同时又要求办公网能实时调用图像进行监控，然后目前尚无恰当的技术方案解决这一问题。本文对视频监控业务的跨网访问需求提出了通用网关服务软件的构思，以期解决跨网访问对安全和性能要求方面的问题。2现有实现跨网访问安全防护的主要技术方案跨网访问的要求一般包括两个层面，一是不同厂家平台之间的访问，解决异构系统的互通；二是不同网络间的访问，解决办公网和监控网之间互通。通常网络或者系统间的安全防护一般通过防火墙实现，但对于视频业务来说，跨网传送的需求大多数要求两网之间在网络层上不能存在互通的连接，例如路由或映射不能到达。防火墙在保障视频监控系统流媒体数据跨网传送的前提下，只能实现对数据和信号源地址的过滤，并不能真正实现网络层上连接隔断，因为在网络层上一旦隔断，流媒体数据将无法透过防火墙实现跨网访问的目的。因此，要真正实现不同网络在网络层上连接隔断的前提下视频监控系统安全地跨网访问，必须通过专用的软件或者硬件予以解决。目前的跨网解决方案一般基于数据摆渡或者网闸（GAP）这两种方式，下文对这两种方式的工作过程进行分析。2.1 数据摆渡用户内部网络在调用外部监控资源的时候将通过视频数据摆渡设备（图1中专网内前置视频编码工控机组），由该设备中预装的摆渡软件通过RS232口将所要调取的视频数据和控制指令传送给视频监控网内的前置数据摆渡设备（图1中电信前置编码工控机组），由该前置数据摆渡设备将需要访问的请求传送到视频监控资源共享平台，由该平台与电信视频监控平台协同管理视频监控共享资源，包括原电信视频监控业务的监控资源数据统一传送到电信前置摆渡设备，解码输出模拟信号作为专网内的数据摆渡设备的输入，进行二次编码传送到专网，实现专网内用户对社会监控资源的调用。简而言之，就是原本监控网内的图像已经是数字信号，但是需要转换成模拟信号传输进入用户内部网，再由用户进行一次模数转换后进行调用。用户内部网与视频监控业务网之间采用了RS232指令控制模拟视频数据的摆渡和控制指令的转发手段，保障了用户的安全性。因为两网之间的数据连接只有两类：RS232数据交换，只负责摆渡程序的运作；模拟视频数据的传送。这样，专网与电信网络视频监控业务网之间不存在任何可能的入侵和病毒感染问题。基于网络协议而言，两网是实际的物理隔离，故视频监控资源就在用户的内部网络可管控地、随意地、安全地调用。2.2网闸物理隔离数据交换系统俗称网闸，是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离数据交换系统所连接的两个独立主机系统之间，不存在通信的物理连接与逻辑连接，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”。所以，物理隔离数据交换系统从物理上隔离，阻断了具有潜在攻击可能的一切连接，实现了安全保护。“隔离定义应用数据白名单策略安全方式获取数据数据内容检查安全方式发送数据”是网闸技术实现思路的核心。为体现这一技术思路，网闸技术采用了独特的体系架构（如图2所示）。网闸体系结构体现了网闸技术的要点：面向应用数据，采用白名单策略，进行高度可控的数据交换。在实现机制上，网闸技术采用以下三点设计确保核心机制的实施。采用多主机结构设计和专用硬件切断TCP/IP 协议通信，形成网络间的隔离。GAP 硬件采用多主机架构。GAP 设备需要对在网络间交换的数据进行预处理。预处理过程包括：将网络上传送的数据还原为应用层数据；对这些数据进行由用户所定义的检查；读取和发送这些应用数据。这些预处理操作在进行数据交换之前必须在独立的主机系统中进行，保证数据的隔离。另外，多台主机用专用硬件串联的架构形成纵深防御，即使外部主机被攻击，也可以保证内部主机的安全。GAP 硬件架构中采用专用防篡改硬件隔断TCP/IP 协议通信，保证数据传送和检查机制固化、防篡改，保证网络隔离的有效性。不接受任何未知来源的主动请求，应用层数据的读取和发送通过专用API 接口或者应用代理的方式进行。GAP 的“白名单”策略面向应用数据，并对未知来源的主动请求一律拒绝。网闸内部的数据交换与传统网络会话或者IP报文方式不同,是采用私有协议只针对应用数据进行的交换。读取和发送这些数据时，GAP 采用专用安全接口或专用客户端的方法。内部网络的服务端口暴露在各种未知请求面前时，很难避免堆栈溢出，绕过安全检查，拒绝服务等攻击。GAP通过专用安全接口或者应用代理进行数据读取和发送可以避免接收未知数据，同时对外部网络完全屏蔽内部网络信息，这样可以避免绝大多数隐患。通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制。GAP 提供内容检查机制，内容检查机制首先采用病毒查杀引擎对已知病毒进行查杀，其次根据用户对数据的定义检查数据的格式和内容是否匹配，即GAP 技术隔断了从物理层到应用层所有网络层次的协议通信，因此可把GAP理解“the gap of all protocol”的缩写。2.3数据摆渡和网闸技术的主要缺点数据摆渡采用了无网络协议的连接方式，实现视频数据的安全传输，确保了用户网络的高安全性。但是其主要缺点是图像从最前端采集一直到用户内部使用需要进行两次模数采样编码，质量损失较大，较原始模拟信号有相当差距。传统的图像模拟采集清晰度可达到380线，高清摄像头更可达480线，而通过模数转换后显示的图像清晰度将下降，以CIF格式（平均512 kbit/s 码流）为例一般在300线的水平，以D1或者4CIF格式（平均2 Mbit/s码流）也只能达到380线左右的水平。一次模数转换图像质量大约下降到约80，二次转换后就只有60左右，将使得用户的直接感观效果大打折扣，严重影响使用质量。网闸设定只能为从内网发起到外网的单向访问，在网闸外端不配置任何映射记录，不提供任何应用服务，拒绝任何外网用户发起对内网的访问，在物理上隔断两网的连接，从而确保内网的安全。但是网闸的这种技术方式决定了其面对应用的局限性，它相当于两个不同网络之间的缓存，把IP包头拆除后还原通信的内容，当对内容进行了充分的安全检查后再通过内部私有协议向后端传送，这样在数据传送的时候将是较长时间间隔的分段方式，这种方式比较适合如文本、图片等静态数据的传送保护。但视频监控当前均采用了流媒体技术，在发送端和接收端间建立了一条基于UDP的连接，对网络带宽、时延等指标均有较高要求。网闸的缓存和两端通信时延等方面在先天设计上就不适合流媒体传输方式，更无法满足运营性视频监控业务大容量的视频图像的多向流媒体数据传送。3通用网关的构想由于目前数据摆渡和网闸这两种方案都不能很好地满足视频监控的跨网访问要求，因此本文提出了一种新的思路，即通过网络视频监控通用网关实现的方案。3.1网络视频监控通用网关的工作过程网络视频监控系统在实现其功能时主要有以下部分数据的传递。 网络功能数据（用于实现网络层数据传送与识别）； 用户信息登记认证、设备信息认证登记（客户端用户名、密码、设备标识号、地点、名称等）； 视频数据（QCIF、CIF、2CIF、4CIF等不同格式的图像采用JPEG、MPEG、MPEG4、H.264等压缩格式）； 云镜控制指令数据、报警获取与触发指令； 感应、应用等数据（如环境传感器等收集到的环境参数：湿度、温度、某种气体浓度等，电子地图数据等）； 其他数据（可自定义）。网络视频监控系统通用网关的工作过程是：网关服务软件安装在性能足够好的服务器上（支持Windows、LINUX、UNIX），网关服务器安装于不同网络视频监控系统网络的交界处。如有A和B两种系统网络，安装了网关后，网关服务器则与A系统网络和B系统网络同时连通，能实现A系统中网络视频客户端对B系统中的视频监控资源的调用、云台控制、报警响应、相应应用数据的主动读取等功能，反之亦然。当A系统网络调用B系统网络资源时，A感觉不到是在调用B中的视频监控和相关资源，而是像调用本系统视频监控和相关资源一样，同时B的工作不受A的影响。这种相互之间数据的调用和共享是可管理可控制的，即A系统对B系统的视频图像资源的调用是可以由B系统进行管理控制的，反之亦然。3.2网络视频监控系统通用网关构思根据以上分析可以知道，网络视频监控通用网关服务器（video monitoring system gate server，VMSG）要实现这样一个功能，当A系统调用B系统中某处视频监控资源时，VMSG将把A要调用B中的视频监控相关资源通过底层软件接口虚拟成A系统中的一处视频监控相关资源。简而言之，此时对A系统来说，VMSG就是一个A类视频监控服务器，对于B系统来说，VMSG就是B类客户端，由VMSG来实现A类视频监控服务器和B类客户端的模拟并完成数据传递，反之亦然。3.3 访问过程说明 如图3所示，仍以A系统中客户端x要通过VMSG访问B系统中前端视频服务器b1为例，对在VMSG服务软件中如何实现视频访问控制进行说明，并以此类推可以得知相关数据的传送在原理上是相通的。（1）工作流程一A系统客户端x作为访问发起端，图4清晰表明了指令数据的转发以及最终到达B系统中b1前端。A系统中用户欲访问B系统中的b1前端，如A欲看实时视频，可通过客户端x调用客户端上显示的ab1前端（ab1是b1前端在A系统中映射前端，即虚拟前端，在VMSG中通过A类前端视频服务器虚拟处理模块虚拟出来的A类前端），通过平台数据得知ab1前端的相关资料，即VMSG虚拟出来的相关资料，于是客户端与VMSG建立连接，将数据访问请求传送到VMSG，VMSG中相关程序将A类客户端请求指令转换成B类客户端的请求指令格式，并从VMSG中的映射数据库中得知要访问的是b1前端，于是以B类客户端的身份和方式向B平台发起访问b1前端的请求，得到B平台的关于b1前端的相关资料后与前端b1建立连接。（2）工作流程二访问要求到达B系统中的b1后，b1将数据以B类系统格式通过VMSG1转换成A类系统格式并传送给用户，如图5所示。b1将VMSG1所要的数据以B系统格式传送给VMSG1，VMSG1相关程序将数据转换成A类系统格式，并以A类前端视频服务器ab1的身份将数据以A类系统格式传送给客户端x，客户端x通过相应解码方式将数据显示出来，这样A系统中用户就获得了所需要的信息（相关数据在需求确定后都在A平台、B平台、VMSG中预先建立好）。4结束语本文提出的通用网关构思着重于从系统整体框架上给出了异构网络视频监控系统的可管控的一种图像调用方式。在目前现有的技术条件下，视频监控通用网关的设立能为不同平台、不同网络间的视频监控可管理的数据共享的实现提供一种思路，希望能对目前运营商推出的各种网络视频监控业务的跨网访问需求提供一个有效的技术解决途径。Discussion About Video Surveillance Accessing Technology From Different Enterprise NetworkZheng Yi, Luo Junrong(Fujian Posts and Telecom Planning and Designing Institute Co., Ltd.，Fuzhou 350003，China)Abstract The access to video surveillance system across different enterprise LAN is very important， this paper ana