发明内容
本发明的目的在于提供一种能实现跨网络视频会议的技术方案,其能穿越逻辑隔离的网络以及物流隔离的网络进行视频会议,并能有效防止网络攻击和信息泄密。
为实现上述目的,本发明一种技术方案如下:
一种跨网络视频会议的控制方法,用于多点控制单元控制至少一个第一资源终端通过与第一资源终端配对的第二资源终端与至少一个会议终端进行跨越第一网络和第二网络的视频会议,第一、第二资源终端至少包括参加视频会议所需的网络硬件资源,多点控制单元和第一资源终端位于第一网络,第二资源终端和会议终端位于第二网络,该控制方法包括如下步骤:1)、多点控制单元选用一组空闲的资源终端对,所述资源终端对由一第一资源终端和一第二资源终端构成;2)、多点控制单元呼叫步骤1)中选用的第一资源终端并向该第一资源终端传送第一控制信令;3)、选用的第一资源终端根据第一控制信令与步骤1)中选用的第二资源终端建立通信连接并向该第二资源终端传送第二控制信令;4)、选用的第二资源终端根据第二控制信令呼叫会议终端并与其进行视频通信;5)、选用的第一资源终端与选用的第二资源终端进行视频通信。
优选地,步骤3)中具体包括:选用的第一资源终端与第二资源终端通过串口建立通信连接,用于传送第二控制信令。
优选地,步骤5)中具体包括:选用的第一资源终端与第二资源终端通过音视频线缆进行视频通信。
优选地,第一控制信令包括会议终端的连接信息、要求选用的第一资源终端与第二资源终端建立通信连接的信令;第二控制信令包括选用的第一资源终端与第二资源终端连接握手信令、会议终端的连接信息、要求选用的第二资源终端开启呼叫的信令。
优选地,会议终端的连接信息包括视频会议所用的视频码率和会议终端的网络地址。
优选地,步骤3)之后还包括一定时检查步骤,其与步骤4)同步进行:多点控制单元定时检查选用的第一资源终端和第二资源终端之间的通信连接状态。
优选地,定时检查步骤后还包括重启步骤:若定时检查步骤检查出选用的第一资源终端和第二资源终端之间断接,则回到步骤1),并继续执行后续步骤。
为实现上述目的,本发明又一技术方案如下:
一种跨网络视频会议装置,用于与至少一个会议终端进行跨越第一网络和第二网络的视频会议,该会议终端位于第二网络,该装置包括:一多点控制单元,位于第一网络;至少一组资源终端对,资源终端对由一位于第一网络的第一资源终端和一位于第二网络的第二资源终端构成,第一、第二资源终端至少包括参加视频会议所需的网络硬件资源;其中,多点控制单元选用一组空闲的资源终端对,以及呼叫选用的第一资源终端并传送第一控制信令;选用的第一资源终端根据第一控制信令与选用的第二资源终端建立通信连接并向该第二资源终端传送第二控制信令,以及与该第二资源终端进行视频通信;选用的第二资源终端根据第二控制信令呼叫会议终端并与该会议终端进行视频通信。
为实现上述目的,本发明再一技术方案如下:
一种跨网络视频会议系统,用于进行跨越第一网络和第二网络的视频会议,该系统包括本发明提供的跨网络视频会议装置以及至少一个会议终端,会议终端位于第二网络,跨网络视频会议装置呼叫该会议终端,并与其进行视频通信。
本发明先以第一网络的一个第一资源终端与第二网络的一个第二资源终端建立安全的视频通信连接,再以该第二资源终端与同在第二网络侧的会议终端进行视频通信;从而实现了第一网络的第一资源终端与第二网络的会议终端的视频通信。无论第一网络和第二网络被逻辑隔离还是被物理隔离,根据这种方案均可以顺利地进行跨网络的视频会议。同时,该方案可以有效地防止网络攻击和信息泄密。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步的详细说明。
需要说明的是,在本发明的以下任一实施例中,第一网络包含有至少一个第一资源终端,第二网络也包含有至少一个第二资源终端,第一、第二资源终端均具有参加视频会议所需的网络硬件资源,一个第一资源终端和一个第二资源终端组成了一个资源终端对。
根据本发明的第一实施例,如图1所示,提供了一种跨网络视频会议的控制方法,用于多点控制单元(Multipoint Control Unit,简称为MCU)控制至少一个第一资源终端通过与该第一资源终端配对的第二资源终端与会议终端进行跨越第一网络和第二网络的视频会议。
其中,多点控制单元和第一资源终端位于第一网络侧,第二资源终端和会议终端位于第二网络侧。
在本实施例中,多组空闲的资源终端对组成了一个空闲资源池,该空闲资源池由位于第一网络侧的MCU控制。
第一实施例提供的控制方法包括如下步骤:
S10、MCU从空闲资源池中选用一组空闲的资源终端对,其包括一个空闲的第一资源终端和与其配对的、一个空闲的第二资源终端;
S20、MCU呼叫选用的第一资源终端并向该第一资源终端传送第一控制信令;
S30、选用的第一资源终端根据该第一控制信令和与其配对选用的第二资源终端建立通信连接,并向该第二资源终端传送第二控制信令;
S41、该第二资源终端根据该第二控制信令呼叫第二网络侧的会议终端并与其进行视频通信,互相传送音频视频信息;
S51、该第一资源终端再与该第二资源终端进行视频通信,互相传送音频视频音频信息。
在本实施例中,第一资源终端和与其配对的第二资源终端在物理位置上接近,通常由第一网络的所有者或使用者统一配置;两者在逻辑上则是分离的,分别位于第一网络和第二网络。
根据本发明进一步的实施例,上述步骤S30中,选用的第一资源终端和配对的第二资源终端通过串口建立通信连接,并传送第二控制信令。
进一步地,在步骤S51中,选用的第一资源终端和配对的第二资源终端通过音视频线缆进行视频通信,音视频线缆专用于传送音频和视频数据。
更具体地,与TCP/IP等网络通信方式不同的是,串口通信可以屏蔽许多网络攻击及网络泄密;通过对串口通信协议的特别约定,这种屏蔽更加安全。在选用的第一资源终端和与其配对的第二资源终端进行视频通信时,使用音视频线缆将该第一资源终端的音视频输出端口连接到配对的第二资源终端的音视频输入端口,将配对的第二资源终端的音视频输出端口连接到该第一资源终端的音视频输入端口。
本领域技术人员理解,第一网络和第二网络可以为不同的网络,两者之间不能直接互相访问,比如第一网络为被网络隔离单元隔离的内网或局域网,相应地,第二网络为外网或公共网络。
为实现内网用户能与外网用户进行视频会议,本发明先以内网的一个第一资源终端与外网的一个第二资源终端建立安全的视频通信连接,再以该第二资源终端与同在外网侧的会议终端进行视频通信。一方面,从外网仅能看到第二资源终端,即使外网对该第二资源终端进行攻击,这种攻击也会因为第二资源终端与第一资源终端之间安全的视频通信而被屏蔽;另一方面,从内网侧看不到任何外网用户,即使第一资源终端向第二资源终端传送保密信息,也会被这种安全的视频通信屏蔽。从而本发明以外网侧的第二资源终端作为中介实现了内网侧的终端用户与外网侧的终端用户的视频会话,并有效防止了外网对内网的攻击以及内网信息泄密。
第一网络各网络终端之间和第二网络各网络终端之间也可以因为分别使用不同的通信协议,从而第一网络的网络终端无法直接访问第二网络的网络终端;对此,本发明同样以第二网络侧的第二资源终端作为中介实现第一网络侧终端用户与第二网络侧终端用户的视频对话,并有效防止第二网络对第一网络的入侵以及第一网络向第二网络的信息泄密。
类似地,在以下情况下,例如第一网络为需要信息保密的局域网或内部网,第二网络为城域网或广域网,或者第二网络为需要信息保密的局域网或内部网,而第一网络为城域网或广域网,又或者第一网络终端之间和第二网络终端之间分别使用不同的通信协议,又或者第一、第二网络为一个整体网络的不同子网,均不脱离本发明的保护范围。
进一步地,第一控制信令包括第二网络侧会议终端的连接信息、要求选用的第一资源终端与第二资源终端建立通信连接的信令;第二控制信令包括选用的第一资源终端与第二资源终端连接握手信令、第二网络侧会议终端的连接信息、要求选用的第二资源终端开启呼叫的信令。其中,第二网络侧会议终端的连接信息先由MCU传送给选用的第一资源终端,再由该第一资源终端传送给与其配对选用的第二资源终端,用于该第二资源终端向同侧的会议终端发起会话呼叫。
更具体地,第二网络侧会议终端的连接信息至少应包括视频会议所用的视频码率和该会议终端的网络地址。第二网络侧会议终端的连接信息确保该会议终端会收到来自同侧的第二资源终端的呼叫,并以相同的视频码率进行视频会话。
本领域技术人员理解,在一个视频会议开始后,若又有一个或多个视频会议需要召开,即在第二网络侧又出现了一个或多个会议终端等待呼叫并进行视频会话,只需要再从头执行一次本发明的控制方法,即由MCU再选用新的一组空闲的资源终端对,并继续执行后续的步骤。
根据本发明的第二实施例,如图2所示,在上述步骤S30之后还包括步骤S42:MCU定时检查选用的第一资源终端和第二资源终端之间的通信连接状态。该步骤S42与步骤S41及后续的步骤S51同步进行,在软件实现过程中可以启动另一线程执行。
本领域技术人员理解,在选用的第一资源终端和第二资源终端之间建立有通信连接,当通信连接断开时,视频会议也即告终止。故本发明还包括步骤S52:若步骤S42发现选用的第一资源终端和第二资源终端之间连接断开,即回到步骤S10,即重新选用一组空闲的资源终端对,并继续后面的步骤,这样可以迅速恢复视频会议。
进一步地,第一控制信令包括第二网络侧会议终端的连接信息、要求选用的第一资源终端与第二资源终端建立通信连接的信令、第一网络侧MCU定时检查选用的第一资源终端与第二资源终端之间通信连接状态的信令;第二控制信令包括选用的第一资源终端与第二资源终端连接握手信令、第二网络侧会议终端的连接信息、要求选用的第二资源终端开启呼叫的信令、以及第一网络侧MCU定时检查选用的第一资源终端与第二资源终端之间通信连接状态的信令。更具体地,第二网络侧会议终端的连接信息包括视频会议所用的视频码率和该会议终端的网络地址。
根据本发明的任一实施例,选用的第一资源终端与第二资源终端之间的串口通信采用一私有协议,也即自定义的协议,任何不符合这种协议规定的数据都将被屏蔽,从而有效避免了网络攻击和网络泄密,跨网络视频会议更加安全。
进一步地,在步骤S20中,MCU采用H.323协议或SIP协议呼叫选用的第一资源终端。在步骤S41中,配对的第二资源终端也可以采用H.323协议或STP协议呼叫同侧的会议终端并与其进行视频通信。其他可以发起视频会议呼叫和视频通信的协议,也可以用于本发明的实施例中。
当第一网络和第二网络分别为被一网络隔离单元隔离的内网和外网时,根据隔离措施的不同,又可以将网络隔离单元分为物理隔离单元和逻辑隔离单元。不论网络隔离单元为何种类型,本发明实施例的执行步骤均相同并能带来同样的技术效果,即在进行跨网络的视频会议的同时,有效避免网络攻击和网络泄密。
当网络隔离单元为一物理隔离单元时,其从物理上将内网和外网隔离开来,从而内网和外网没有任何公用的存储信息,有益于保证计算机或用户终端的数据在网际间不被重用。
可选地,物理隔离单元可以为一物理隔离网闸,其包括专用安全隔离切换装置(数据暂存区)、内部处理单元和外部处理单元,专用安全隔离切换装置分别连接内部处理单元和外部处理单元,内部处理单元仅负责内网数据的处理,外网处理单元仅负责外网数据的处理。这种设计保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元,从而实现内外网的安全隔离。
可选地,物理隔离单元还可以为一安装有双硬盘物理隔离卡的计算机,其双硬盘采用切换SATA或IDE硬盘数据线方式,在同一时间只有一块硬盘在工作,另一块硬盘断电,从而实现内外信息的安全隔离,防止泄密。
当网络隔离单元为一逻辑隔离单元时,比如为一防火墙,其从逻辑上将将内网和外网隔离开来。为了在内网和外网之间创建一阻挡层,防火墙通常会使用到NAT(网络地址转换)或NAPT(网络地址及端口转换)。本发明提供的跨网络视频会议的控制方法,允许基于UDP分组的数据穿越那些使用NAT或NAPT的防火墙,而不用改变防火墙的设置。
如图3所示,根据本发明的第三实施例,提供了一种跨网络视频会议装置,用于与至少一个会议终端21进行跨越第一网络10和第二网络20的视频会议,会议终端21位于第二网络20,第一网络10和第二网络20被一网络隔离单元30隔离,该装置包括:至少一组资源终端对和一个位于第一网络10的多点控制单元11。其中,多点控制单元11用于选用一组空闲的资源终端对12、22,以及呼叫选用的第一资源终端12并传送第一控制信令;选用的第一资源终端12用于根据第一控制信令,与选用的第二资源终端22建立通信连接并向该第二资源终端22传送第二控制信令,以及与该第二资源终端22进行视频通信;选用的第二资源终端22用于根据第二控制信令,呼叫会议终端21并与该会议终端21进行视频通信。
进一步地,选用的第一资源终端12与第二资源终端22通过串口建立通信连接,用于传送所述第二控制信令。
进一步地,选用的第一资源终端12与第二资源终端22通过音视频线缆进行视频通信。
本发明第三实施例提供的跨网络视频会议装置,可与任何一个或多个现有的视频会议终端进行跨网络的视频会议,不再需要其他配件。组装好该装置后,其接入方便,将其与视频会议终端接入同一网络下,即可开始跨网络的视频会议,且能有效防止网络攻击及信息泄密。
当有新的视频会议需要召开时,本发明提供的跨网络视频会议装置可以凭借一组新的空闲的资源终端对而继续开启新的视频会议。
根据本发明的第四实施例,提供了一种跨网络视频会议系统,用于进行跨越第一网络和第二网络的视频会议,该系统包括本发明第三实施例中提供的跨网络视频会议装置以及至少一个视频会议终端,该视频会议终端位于第二网络,跨网络视频会议装置呼叫该视频会议终端,并与其进行视频通信。
进一步地,该系统中的跨网络视频会议装置采用H.323协议或SIP协议呼叫该系统中的视频会议终端并与其进行视频通信。
本发明第四实施例提供的跨网络视频会议系统,无需任何其他配件,即可进行跨网络的视频会议,且能有效防止网络攻击及信息泄密。
需要说明的是,根据本发明的实施例,无论第一网络与第二网络以何种方式不同,以及无论多点控制单元或会议终端位于第一网络或者第二网络,对本发明的实施而言均不造成影响,且能同样实现本发明的技术效果,故类似的变形方式均落入本发明的保护范围。
以上所述的仅为本发明的优选实施例,所述实施例并非用以限制本发明的专利保护范围,因此凡是运用本发明的说明书及附图内容所作的等同结构变化,同理均应包含在本发明的保护范围内。