一種視頻專網與內部專網的安全隔離單向可靠傳輸的方法與流程
1.本發明涉及視頻通信技術領域,具體涉及一種視頻專網與內部專網的安全隔離單向可靠傳輸的方法。
背景技術:
2.警務信息網主要承載警務重要的業務應用系統和數據,為警務機關提供各類業務應用平臺。視頻監控業務突發性強,流量大,需要占用大量帶寬資源。依托警務信息網承載視頻監控業務,極易導致網絡擁塞,影響警務信息網業務系統的正常運行。因此從保障警務信息網業務的穩定性來分析不能在警務信息網里運行視頻專網。
3.隨著警務云,視頻云的建設,圖偵應用的重要性和迫切性日益顯著,圖偵應用不僅對視頻流調取的數量大,而且對實時性要求很高。因此,為保障警務信息網的穩定可靠運行,保障視頻監控業務的應用需求得到滿足,需要將視頻監控業務使用獨立的專網進行傳輸。同時,社會治安視頻圖像資源需要在政府部門間實現共享應用,但警務信息網要求其數據信息只能單向導入,不能對外導出,難以實現視頻圖像與其他部門的共享;因此從當前和未來視頻業務的應用需求出發,需要獨立的視頻專網。
4.針對警務機關的如上需求,一般建立了各種級別的涉密網絡,保護重要組織內部系統的安全。但在實際工作中高安全域網絡中的業務系統和工作人員經常需要從低安全域網絡傳輸某些數據或文件,即所謂單向傳回輸。視頻信令只能從高密網
??
》低密網單向傳輸數據,或者視頻數據只能從低高密網
??
》高密網單向傳輸,并且要求物理隔離、反向沒有任何連接和交互。近十年來,物理隔離網閘在安全信息交換方面獲得了極大應用,它在視頻專網和內部專網之間傳輸數據時扮演著一種類似“信息渡船”的角,“船閘”的控制通過開關控制系統實現。傳統的開關控制技術主要有兩種:電子開關和存儲介質讀寫控制開關。電子開關受器件本身限制,開關速度低,數據傳輸存在比較大的延時,因此網絡的性能受到極大影響。存儲介質讀寫控制開關受總線標準的限制,速度達不到要求,因而嚴重制約了網閘的性能發揮。更重要的是,這兩種開關控制技術都是基于電接口的,物理上難以避免反饋控制信道的使用,因此由程序控制的數據單向寫入、單向讀出理論上依然存在被人為篡改的可能,從而導致單向隔離失效,產生災難性的后果。為了實現視頻專網和內部專網的真正安全物理隔離和信息單向傳輸,提高數據傳輸的可靠性和傳輸效率,針對上述問題,本發明利用非接觸式光傳輸的單向性,在保證數據絕對單向高速率傳輸的基礎上,采用一種支持視頻監控領域視頻信令和視頻數據安全隔離與單向可靠傳輸的方法及系統。解決的技術問題是視頻監控領域視頻信令和視頻數據無法有效實現安全隔離與單向可靠傳輸,一般視頻專網和內部專網之間要求物理隔離,必須采用安全隔離組件構建傳輸通道,其中視頻信令和視頻數據不可共用同一個傳輸通道,且視頻信令的數據量一般較小,傳輸可靠性要求比較高,不允許傳輸出錯,但是視頻數據的數據量一般較大,傳輸速率要求比較高,傳輸允許一定的丟包概率。
技術實現要素:
5.針對現有技術中存在的問題,本發明的目的在于提供一種視頻專網與內部專網的安全隔離單向可靠傳輸的方法。
6.本發明解決其技術問題所采用的技術方案是:一種視頻專網與內部專網的安全隔離單向可靠傳輸的方法,包括以下步驟:1)視頻專網與內部專網通過監控視頻單向隔離傳輸系統進行視頻信令控制信息、視頻信令應答信息和視頻數據視頻信息的獨立單向傳輸;2)使用者位于內部專網,向監控視頻單向隔離傳輸系統的內網端發出視頻請求信令,請求信令通過單向傳輸隔離通道 1 到達外網端,外網端將該請求信令發送到視頻專網的視頻監控設備;3)視頻專網的視頻監控設備響應視頻請求信令,向外網端發送視頻響應信令,響應信令通過單向傳輸隔離通道 2 到達內網端,內網端將該響應信令發送到內部專網的使用者,完成視頻請求的過程;4)視頻專網的視頻監控設備響應視頻請求信令之后,開始向外網端發送視頻流數據,視頻流數據通過單向傳輸隔離通道 3 到達內網端,內網端將該視頻流數據發送到內部專網的使用者,實現視頻流的單向隔離組件傳輸。
7.具體的是,所述監控視頻單向隔離傳輸系統包括外網端和內網端,外網端連接視頻專網,內網端連接內部專網,外網端和內網端通過 3 個獨立的單向傳輸隔離通道連接。具體的是,所述單向傳輸隔離通道的數據傳輸步驟如下:(1)分塊編號:首先對要傳輸的原始數據進行分塊編號,分割成固定大小的數據塊,最后一個數據塊不足用零填充;(2)冗余編碼,數據包恢復:對每個數據塊進行冗余編碼,利用數據包回復算法進行數據糾錯和數據恢復;(3)多重傳輸:同一個數據塊先后多次重復傳輸,最后將具有相同編號的數據塊進行交叉互補,多重覆蓋;(4)數據包校驗:接收端收到的每個數據包,計算首部和數據校驗和,驗證數據包的完整性;(5)文件摘要校驗:按照數據塊的編號重新組裝原始數據,對組裝后的原始數據進行摘要計算,校驗整個數據的完整性。
8.具體的是,所述外網端包括管理接口、數據接口、業務管控平臺、安全引擎和單向發送模塊,內網端包括管理接口、數據接口、業務管控平臺、安全引擎和單向接收模塊。具體的是,所述管理接口采用 rj45 接口,采用 https 協議,用于配置外網側和內網側的系統參數,外網端的管理接口只連接外網側專用管理計算機,內網端的管理接口只連接內網側專用管理計算機。
9.具體的是,所述數據接口連接視頻專網。
10.具體的是,所述業務管控平臺為管理接口的 web 服務提供后臺支撐,提供配置管理服務,為數據接口的視頻數據和視頻信令提供安全隔離傳輸邏輯通道,提供數據交換界面。
11.具體的是,所述安全引擎為每個單向傳輸隔離通道提供安全規則管理、信令防火
墻和視頻流防火墻,信令防火墻用于信令的數據包過濾和非法數據包屏蔽,視頻流防火墻用于視頻流的數據包過濾和非法數據包屏蔽。
12.具體的是,所述單向發送模塊將數據打包送到單向傳輸隔離通道,單向接收模塊從單向傳輸隔離通道獲取數據組包還原。
13.具體的是,所述單向傳輸隔離通道采用單向光通信技術和冗余編碼糾錯技術,光信號發射端和光信號接收端之間為自由空間,無任何線纜連接,也無光信號之外的電磁信號泄露。
14.本發明具有以下有益效果:本發明設計的視頻專網與內部專網的安全隔離單向可靠傳輸的方法1、基于自由空間光通信技術的單向傳輸隔離通道,具備高帶寬、高可靠性和無物理鏈接的特點,且具備硬件級別的單向傳輸特性;2、采用多級循環冗余編碼技術,增加單向傳輸隔離通道的可靠性;3、基于3個獨立的單向傳輸隔離通道的視頻信令和視頻數據融合一體化的單向可靠傳輸及控制系統,視頻信令請求信息、視頻信令應答信息和視頻數據視頻信息獨立單向傳輸,各自通道互不干涉;4、高速視頻數據傳輸的流量控制與并發處理技術,支持多用戶高帶寬并發。
附圖說明
15.圖 1 是視頻專網與內部專網的安全隔離單向可靠傳輸的系統圖。圖 2 是 3 個獨立的單向傳輸隔離通道的傳輸結構示意圖。圖 3 是單向傳輸隔離通道的內部傳輸結構示意圖。圖 4 是監控視頻單向隔離傳輸系統的內部業務邏輯框圖。
具體實施方式
16.以下將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地進一步詳細的說明。基于本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
17.如圖 1-4 所示,一種視頻專網與內部專網的安全隔離單向可靠傳輸的方法,包括以下步驟:1)視頻專網與內部專網通過監控視頻單向隔離傳輸系統進行視頻信令控制信息、視頻信令應答信息和視頻數據視頻信息的獨立單向傳輸;2)使用者位于內部專網,向監控視頻單向隔離傳輸系統的內網端發出視頻請求信令,請求信令通過單向傳輸隔離通道 1 到達外網端,外網端將該請求信令發送到視頻專網的視頻監控設備;3)視頻專網的視頻監控設備響應視頻請求信令,向外網端發送視頻響應信令,響應信令通過單向傳輸隔離通道 2 到達內網端,內網端將該響應信令發送到內部專網的使用者,完成視頻請求的過程;4)視頻專網的視頻監控設備響應視頻請求信令之后,開始向外網端發送視頻流數據,視頻流數據通過單向傳輸隔離通道 3 到達內網端,內網端將該視頻流數據發送到內部
專網的使用者,實現視頻流的單向隔離組件傳輸。
18.如圖 1 所示,監控視頻單向隔離傳輸系統的外網端連接視頻專網,內網端連接內部專網,監控視頻單向隔離傳輸系統內部采用圖 1 所述的 3 個獨立的單向傳輸隔離通道的硬件設備來實現視頻信令控制信息、視頻信令應答信息和視頻數據視頻信息的獨立單向傳輸。
19.視頻監控數據根據屬性和目的,分為視頻信令和視頻數據,其中信令信息采用的通信協議,需要控制端設備和被控制端設備的雙向交互和請求應答,若只采用外網端到內網端的單向信道,就破壞了這種通信協議。
20.在完整的視頻監控數據通信過程中,視頻信令一般在視頻拉取和視頻中斷過程中才會出現,因此和視頻數據相比,視頻信令容量很小,視頻數據容量巨大。若兩者存在同一信道中,會因為堵塞、qos 效果不佳等效果影響產生視頻信令丟包,視頻數據本身允許少量丟包,視頻信令對丟包很敏感。
21.因此本發明采用 3 個獨立的單向傳輸隔離通道來傳輸視頻信令控制信息、視頻信令應答信息和視頻數據視頻信息,各司其職互相獨立。單向傳輸隔離通道只允許數據。如圖 2 所示,單向傳輸隔離通道 1 只有視頻信令控制信息從內部專網傳輸到視頻專網,單向傳輸隔離通道 2 只有視頻信令應答信息從視頻專網傳輸到內部專網,單向傳輸隔離通道 3 只有視頻數據視頻信息從視頻專網傳輸到內部專網。單向傳輸隔離通道 1 和單向傳輸隔離通道 2 組合起來,變相的滿足視頻信令的雙向交互和應答請求。
22.每個獨立單向傳輸隔離通道本身只允許數據信息單向流動,雖然可以有效防止網絡攻擊,但缺失反向信道就意味著傳輸錯誤和傳輸丟包發端不可知,因此,引入多重糾錯校驗技術對數據進行冗余編碼進行差錯控制,接收端利用冗余編碼進行錯誤檢查甚至錯誤恢復,極大的提高數據傳輸的可靠性。
23.單向傳輸隔離通道的數據傳輸過程如圖 3 所示,通過多級糾錯校驗提高傳輸可靠性:(1)分塊編號:首先對要傳輸的原始數據進行分塊編號,分割成固定大小的數據塊,最后一個數據塊不足用零填充。(2)冗余編碼,數據包恢復:對每個數據塊進行冗余編碼,這樣即使數據塊部分丟失或者傳輸錯誤,只要在可恢復范圍內,就可以利用數據包回復算法進行數據糾錯和數據恢復。(3)多重傳輸:同一個數據塊先后多次重復傳輸,最后將具有相同編號的數據塊進行交叉互補,多重覆蓋,以此來提高數據傳輸正確率。(4)數據包校驗:接收端收到的每個數據包,計算首部和數據校驗和,驗證數據包的完整性。(5)文件摘要校驗:按照數據塊的編號重新組裝原始數據,對組裝后的原始數據進行摘要計算,校驗整個數據的完整性。
24.監控視頻單向隔離傳輸系統內部業務邏輯如圖 4 所示:(1)監控視頻單向隔離傳輸系統包含外網端和內網端;(2)外網端和內網端通過 3 個獨立的單向傳輸隔離通道連接;(3)外網端和內網端,均包含了管理接口、數據接口、業務管控平臺、安全引擎,外
網端有單向發送模塊,內網端有單向接收模塊;(4)外網端和內網端的管理接口采用 rj45 接口,采用 https 協議,用于配置外網側和內網側的系統參數。其中外網端的管理接口,只可連接外網側專用管理計算機,不可連接外網側專用管理計算機以外的網絡。其中內網端的管理接口,只可連接內網側專用管理計算機,不可連接內網側專用管理計算機以外的網絡;(5)外網端和內網端的數據接口連接視頻專網,承載著監控視頻的業務數據;(6)外網端和內網端的業務管控平臺,為管理接口的 web 服務提供后臺支撐,提供配置管理服務,為業務接口的視頻數據和視頻信令提供安全隔離傳輸邏輯通道,實現數據交換界面;(7)外網端和內網端的安全引擎,為每個安全隔離傳輸通道提供安全規則管理、信令防火墻和視頻流防火墻,其中信令防火墻用于信令的數據包過濾和非法數據包屏蔽,視頻流防火墻用于視頻流的數據包過濾和非法數據包屏蔽;(8)外網端和內網端的單向發送模塊和單向接收模塊,為每個安全隔離傳輸通道提供設備管理、數據發送接收、軟調制解調等功能。單向發送模塊,僅實現將數據打包送到單向傳輸隔離通道。單向接收模塊,僅實現從單向傳輸隔離通道獲取數據組包還原;(9)單向傳輸隔離通道,采用單向光通信技術以及復雜的冗余編碼糾錯技術,光信號發射端和光信號接收端之間為自由空間,無任何線纜連接,也無光信號之外的電磁信號泄露,具有高帶寬和高可靠性,無反向信號傳輸的特點。
25.本發明不局限于上述實施方式,任何人應得知在本發明的啟示下作出的結構變化,凡是與本發明具有相同或相近的技術方案,均落入本發明的保護范圍之內。
26.本發明未詳細描述的技術、形狀、構造部分均為公知技術。
技術特征:
1.一種視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,包括以下步驟:1)視頻專網與內部專網通過監控視頻單向隔離傳輸系統進行視頻信令控制信息、視頻信令應答信息和視頻數據視頻信息的獨立單向傳輸;2)使用者位于內部專網,向監控視頻單向隔離傳輸系統的內網端發出視頻請求信令,請求信令通過單向傳輸隔離通道1到達外網端,外網端將該請求信令發送到視頻專網的視頻監控設備;3)視頻專網的視頻監控設備響應視頻請求信令,向外網端發送視頻響應信令,響應信令通過單向傳輸隔離通道2到達內網端,內網端將該響應信令發送到內部專網的使用者,完成視頻請求的過程;4)視頻專網的視頻監控設備響應視頻請求信令之后,開始向外網端發送視頻流數據,視頻流數據通過單向傳輸隔離通道3到達內網端,內網端將該視頻流數據發送到內部專網的使用者,實現視頻流的單向隔離組件傳輸。2.根據權利要求1所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述監控視頻單向隔離傳輸系統包括外網端和內網端,外網端連接視頻專網,內網端連接內部專網,外網端和內網端通過3個獨立的單向傳輸隔離通道連接。3.根據權利要求2所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述單向傳輸隔離通道的數據傳輸步驟如下:(1)分塊編號:首先對要傳輸的原始數據進行分塊編號,分割成固定大小的數據塊,最后一個數據塊不足用零填充;(2)冗余編碼,數據包恢復:對每個數據塊進行冗余編碼,利用數據包回復算法進行數據糾錯和數據恢復;(3)多重傳輸:同一個數據塊先后多次重復傳輸,最后將具有相同編號的數據塊進行交叉互補,多重覆蓋;(4)數據包校驗:接收端收到的每個數據包,計算首部和數據校驗和,驗證數據包的完整性;(5)文件摘要校驗:按照數據塊的編號重新組裝原始數據,對組裝后的原始數據進行摘要計算,校驗整個數據的完整性。4.根據權利要求1所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述外網端包括管理接口、數據接口、業務管控平臺、安全引擎和單向發送模塊,內網端包括管理接口、數據接口、業務管控平臺、安全引擎和單向接收模塊。5.根據權利要求4所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述管理接口采用rj45接口,采用https協議,用于配置外網側和內網側的系統參數,外網端的管理接口只連接外網側專用管理計算機,內網端的管理接口只連接內網側專用管理計算機。6.根據權利要求4所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述數據接口連接視頻專網。7.根據權利要求4所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述業務管控平臺為管理接口的web服務提供后臺支撐,提供配置管理服務,為數
據接口的視頻數據和視頻信令提供安全隔離傳輸邏輯通道,提供數據交換界面。8.根據權利要求4所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述安全引擎為每個單向傳輸隔離通道提供安全規則管理、信令防火墻和視頻流防火墻,信令防火墻用于信令的數據包過濾和非法數據包屏蔽,視頻流防火墻用于視頻流的數據包過濾和非法數據包屏蔽。9.根據權利要求4所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述單向發送模塊將數據打包送到單向傳輸隔離通道,單向接收模塊從單向傳輸隔離通道獲取數據組包還原。10.根據權利要求4所述的視頻專網與內部專網的安全隔離單向可靠傳輸的方法,其特征在于,所述單向傳輸隔離通道采用單向光通信技術和冗余編碼糾錯技術,光信號發射端和光信號接收端之間為自由空間,無任何線纜連接,也無光信號之外的電磁信號泄露。
技術總結
本發明涉及視頻通信技術領域,具體公開了一種視頻專網與內部專網的安全隔離單向可靠傳輸的方法,視頻專網與內部專網通過監控視頻單向隔離傳輸系統進行視頻信令控制信息、視頻信令應答信息和視頻數據視頻信息的獨立單向傳輸;單向傳輸隔離通道1只有視頻信令控制信息從內部專網傳輸到視頻專網,單向傳輸隔離通道2只有視頻信令應答信息從視頻專網傳輸到內部專網,單向傳輸隔離通道3只有視頻數據視頻信息從視頻專網傳輸到內部專網;本發明采用多級循環冗余編碼技術,增加單向傳輸隔離通道的可靠性;視頻信令請求信息、視頻信令應答信息和視頻數據視頻信息獨立單向傳輸,各自通道互不干涉;支持多用戶高帶寬并發。支持多用戶高帶寬并發。支持多用戶高帶寬并發。
