发明内容
有鉴于此,本发明提供一种视频安全交换系统及方法,以解决现有视频网闸在视频业务需求多时,需要性能多对多的视频数据通路,从而导致安全隔离强度降低的问题,实现一对一的视频数据通路、不同视频业务的分离传输,保证视频交换的安全性。
为实现上述目的,本发明提供如下技术方案:
一种视频安全交换方法,基于一种视频安全交换系统,所述系统包括与内网相连的第一视频交换模块,和与外网相连的第二视频交换模块,所述方法包括:
第一视频交换模块接收内网用户发送的管理请求信息,对内网用户进行设备认证,将通过设备认证的内网用户的管理请求信息,发送给所述第二视频交换模块,建立与所述第二视频交换模块相连的至少一条第一数据单独传输通道;
第二视频交换模块将所述管理请求信息发送给与所述管理请求信息对应的外网视频设备,对所述外网视频设备进行设备认证,在所述外网视频设备通过设备认证后,建立与所述外网视频设备相连的第二数据单独传输通道,通过所述第二数据单独传输通道接收视频信息,所述视频信息包括视频信令和视频数据流,所述第二数据单独传输通道的数量与所述第一数据单独传输通道的数量相同,当存在多个内网用户请求相同的视频信息时,通过一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息;
第二视频交换模块将所述视频信令和视频数据流进行分离,将所述视频信令通过所述第一数据单独传输通道传输给所述第一视频交换模块和对应的内网用户;
在所述第一视频交换模块,所述第二视频交换模块和内网用户建立贯通的视频信令连接后,所述第二视频交换模块将所述视频数据流通过所述第一数据单独传输通道传输给所述第一视频交换模块,当存在多个内网用户请求相同的视频信息时,通过一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流;
所述第一视频交换模块接收视频数据流,将视频数据流分发给内网用户,当同一视频数据流需交付给多个内网用户时,对该视频数据流进行复制,将复制后的视频数据流分发给内网用户。
本发明实施例还提供一种视频安全交换系统,包括:与内网相连的第一视频交换模块,和与外网相连的第二视频交换模块;
所述第一视频交换模块包括:
内网接口单元,用于接收内网用户的管理请求信息;
内网设备认证单元,用于对所述内网用户进行设备认证;
第一数据传输单元,用于将通过设备认证的内网用户的管理请求信息,发送给所述第二视频交换模块,建立与所述第二视频交换模块相连的至少一条第一数据单独传输通道;
分发单元,用于在所述第一视频交换模块,所述第二视频交换模块和内网用户建立贯通的视频信令连接后,接收视频数据流,将视频数据流分发给内网用户,当同一视频数据流需交付多个内网用户时,对该视频数据流进行复制,将复制后的视频数据流分发给内网用户;
所述第二视频交换模块包括:
外网接口单元,用于将所述管理请求信息发送给与所述管理请求信息对应的外网视频设备;
外网设备认证单元,用于对所述外网视频设备进行设备认证;
第二数据传输单元,用于在所述外网视频设备通过设备认证后,建立与所述外网视频设备相连的第二数据单独传输通道,通过所述第二数据单独传输通道接收视频信息,所述视频信息包括视频信令和视频数据流,所述第二数据单独传输通道的数量与所述第一数据单独传输通道的数量相同,当存在多个内网用户请求相同的视频信息时,通过一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息;
分离单元,用于将所述视频信令和视频数据流进行分离,将所述视频信令通过所述第一数据单独传输通道传输给所述第一视频交换模块和对应的内网用户;
视频数据流发送单元,用于在所述第一视频交换模块,所述第二视频交换模块和内网用户建立贯通的视频信令连接后,将所述视频数据流通过所述第一数据单独传输通道传输给所述第一视频交换模块,当存在多个内网用户请求相同的视频信息时,通过一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流。
基于上述技术方案,本发明实施例提供的视频安全交换方法及系统,第一视频交换模块建立与所述第二视频交换模块相连的至少一条第一数据单独传输通道,第二视频交换模块建立与所述外网视频设备相连的第二数据单独传输通道,当存在多个内网用户请求相同的视频信息时,第二视频交换模块通过一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息,并且第二视频交换模块将所述视频信令和视频数据流进行分离,在所述第一视频交换模块,所述第二视频交换模块和内网用户建立贯通的视频信令连接后,才将所述视频数据流通过所述第一数据单独传输通道传输给所述第一视频交换模块,当存在多个内网用户请求相同的视频信息时,通过一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流。本发明保证了一条视频业务一个传输通道,实现了不同视频业务的分离传输,视频信令和视频数据流的分离传输,保证了视频交换的安全性。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种视频安全交换方法的流程图,该方法基于一种视频安全交换系统,所述系统包括与内网相连的第一视频交换模块,和与外网相连的第二视频交换模块,可选的,内网的安全等级高于外网的安全等级,该方法可以包括下述步骤:
步骤S100、第一视频交换模块接收内网用户发送的管理请求信息,对内网用户进行设备认证,将通过设备认证的内网用户的管理请求信息,发送给所述第二视频交换模块,建立与所述第二视频交换模块相连的至少一条第一数据单独传输通道;
其中,管理请求信息是通过内网用户安装的客户端视频软件上传的,管理请求信息包括内网用户的用户名,IP地址,所请求的视频信息,所请求的视频信息归属的外网视频设备的IP地址等。
对内网用户进行设备认证可选为:对内网中使用视频资源的终端用户进行统一注册、授权管理、身份认证和访问控制,提供基于用户身份、IP/MAC地址的黑白名单访问控制,并结合第三方身份认证系统进行普通用户身份认证,如PKI/PMI系统等。只允许认证通过的用户访问已经授权的视频资源。
通过与第二视频交换模块相连的第一数据单独传输通道,第一视频交换模块可接收第二视频交换模块传输的视频信息,并将接收的视频信息交付给指定的内网用户;第一数据单独传输通道的数量可根据视频交换的实际情况设定,下文将对第一数据单独传输通道的数量设定及第一数据单独传输通道内传输的内容进行描述。
步骤S200、第二视频交换模块将所述管理请求信息发送给与所述管理请求信息对应的外网视频设备,对所述外网视频设备进行设备认证,在所述外网视频设备通过设备认证后,建立与所述外网视频设备相连的第二数据单独传输通道,通过所述第二数据单独传输通道接收视频信息,所述视频信息包括视频信令和视频数据流,所述第二数据单独传输通道的数量与所述第一数据单独传输通道的数量相同,当存在多个内网用户请求相同的视频信息时,通过一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息;
可选的,外网视频设备包括:外网视频服务器和终端。对外网视频设备进行设备认证可选为:对所述外网视频设备进行强认证。只有所述外网视频设备通过强认证,本视频安全交换系统才执行后续的视频交换流程,否则中断该视频交换业务。
所建立的第二数据单独传输通道的数量与第一数据单独传输通道的数量相同,第二视频交换模块可通过第二数据单独传输通道接收外网视频设备内存储的视频信息,视频信息包括视频信令和视频数据流,当存在多个内网用户请求相同的视频信息时,可通过一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息。
步骤S300、第二视频交换模块将所述视频信令和视频数据流进行分离,将所述视频信令通过所述第一数据单独传输通道传输给所述第一视频交换模块和对应的内网用户;
本发明实施例将视频信令和视频数据流进行分离传输,视频信令与内网用户发送的管理请求信息相对应,实现了管理请求信息的响应。
步骤S400、在所述第一视频交换模块,所述第二视频交换模块和内网用户建立贯通的视频信令连接后,所述第二视频交换模块将所述视频数据流通过所述第一数据单独传输通道传输给所述第一视频交换模块,当存在多个内网用户请求相同的视频信息时,通过一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流;
本发明实施例只有在建立了贯通的视频信令连接后,才开始视频数据流的传输,以降低视频数据流在传输过程中的干扰,提高视频数据流传输的成功率和正确率。通过第一数据传输通道可将第二视频交换模块接收的视频数据流,传输给第一视频交换模块,当存在多个内网用户请求相同的视频信息时,可通过一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流。
步骤S500、所述第一视频交换模块接收视频数据流,将视频数据流分发给内网用户,当同一视频数据流需交付给多个内网用户时,对该视频数据流进行复制,将复制后的视频数据流分发给内网用户。
若不存在多个内网用户请求相同视频信息的情况,第一视频交换模块接收视频数据流后,直接将接收的视频数据流分发给对应的内网用户;若存在多个内网用户请求相同视频信息的情况,则第一视频交换模块接收的视频数据流中包含多个内网用户请求的同一视频数据流,则需将该视频数据流进行复制,分成与请求相同视频信息的内网用户数量相同的视频数据流,将复制后的视频数据流分发给内网用户。
本发明实施例提供的视频安全交换方法,第一视频交换模块建立与所述第二视频交换模块相连的至少一条第一数据单独传输通道,第二视频交换模块建立与所述外网视频设备相连的第二数据单独传输通道,当存在多个内网用户请求相同的视频信息时,第二视频交换模块通过一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息,并且第二视频交换模块将所述视频信令和视频数据流进行分离,在所述第一视频交换模块,所述第二视频交换模块和内网用户建立贯通的视频信令连接后,才将所述视频数据流通过所述第一数据单独传输通道传输给所述第一视频交换模块,当存在多个内网用户请求相同的视频信息时,通过一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流。本发明保证了一条视频业务一个传输通道,实现了不同视频业务的分离传输,视频信令和视频数据流的分离传输,保证了视频交换的安全性。
下面将介绍本发明实施例,第一数据单独传输通道和第二数据单独传输通道的数量设定的可选方式及可选的通道内传输内容。
可选的,第一数据单独传输通道和所述第二数据单独传输通道的数量与发送管理请求信息的内网用户的数量相同,一个内网用户对应一条第一数据单独传输通道和第二数据单独传输通道;
当存在多个内网用户请求相同的视频信息时,第二视频交换模块通过其中的一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息,第二视频交换模块通过其中的一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流,即第一视频交换模块通过其中的一条第一数据单独传输通道接收第二视频交换模块发送的多个内网用户所请求的相同的视频信息的视频数据流。
可选的,当存在多个内网用户请求相同的视频信息时,为该多个内网用户建立一条第一数据单独传输通道和第二数据单独传输通道,第二视频交换模块通过该一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息,第二视频交换模块通过该一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流;对于其它请求不同视频信息的内网用户,为各内网用户建立一条对应的第一数据单独传输通道和第二数据单独传输通道。
可选的,图1所示方法还可以包括步骤:第二视频交换模块对所述视频信息进行安全检测处理,将通过安全检测处理的视频信息传送给所述第一视频交换模块;
对所述视频信息据进行安全检测处理可选为:对所述视频信息进行细粒度的内容过滤,根据预置的视频数据格式,对所述视频信息进行格式检测。其中,可对视频信息中的图像内容进行安全过滤,包括数字水印、插帧、丢帧方式,防止视频信息中夹杂恶意代码,对视频信息的数据格式进行格式检测,按照预先注册的视频数据格式,对所传输的视频信息进行实时分析和过滤,对不符合格式的视频信息进行阻断和报警。
可选的,图1所示方法还可以包括步骤:第一视频交换模块对所述视频安全交换系统进行管理配置;
所述视频安全交换系统的所有配置信息均由第一视频交换模块进行管理,第一视频交换模块对系统的配置信息保持定期更新与验证,与外网相连的第二数据交换模块不存储任何配置信息,以确保本系统的配置不被恶意篡改和泄露,其所需的配置信息均由第一视频交换统一发送,保证配置信息的实时交互;第一视频交换模块管理视频安全交换系统的系统配置,如网络配置等,管理用户信息,管理视频交换业务,所述管理视频交换业务包括对接入本视频安全交换系统的外网视频设备的视频数据的任务配置,任务启动、中止,优先级别配置等。
优选的,管理员可采用Console、Web的方式通过第一视频交换模块对本视频安全交换系统进行管理,同时结合使用CA身份证认证技术对管理员身份进行认证。
可选的,第一视频交换模块和第二视频交换模块通过加密链路,采用私有协议通信。
可选的,第二视频交换模块在接收视频信息之前,第二视频交换模块可接收外网视频服务器返回的确认信息,对该确认信息进行安全检测处理,在所述确认信息通过安全检测处理后,第二视频交换模块才通过第二数据单独传输通道接收视频信息,从而进一步保证所接收的视频信息的安全性。
其中,所述确认信息可选为视频控制信令,对所述确认信息的安全检测处理具体为:按照预先注册的视频控制信令的类型、格式和内容,对控制信令进行“白名单”方式的格式检查和内容过滤,只允许符合格式要求的控制信令数据通过,对不符合格式的数据进行阻断和报警。
下面介绍本发明实施例提供的视频安全交换系统,所介绍的视频安全交换系统与上文介绍的视频安全交换相对应,可相互参照。
图2为本发明实施例提供的视频安全交换系统的网络架构图,图3为本发明实施例提供的视频安全交换系统的结构框图,结合图2和图3所示,该系统可以包括:与内网相连的第一视频交换模块100,和与外网相连的第二视频交换模块200,可选的,内网的安全等级高于外网的安全等级。
其中,第一视频交换模块100可以包括:
内网接口单元110,用于接收内网用户的管理请求信息;
内网设备认证单元120,用于对所述内网用户进行设备认证;
第一数据传输单元130,用于将通过设备认证的内网用户的管理请求信息,发送给所述第二视频交换模块,建立与所述第二视频交换模块相连的至少一条第一数据单独传输通道;
分发单元140,用于在所述第一视频交换模块,所述第二视频交换模块和内网用户建立贯通的视频信令连接后,接收视频数据流,将视频数据流分发给内网用户,当同一视频数据流需交付多个内网用户时,对该视频数据流进行复制,将复制后的视频数据流分发给内网用户;
第二视频交换模块200可以包括:
外网接口单元210,用于将所述管理请求信息发送给与所述管理请求信息对应的外网视频设备;
外网设备认证单元220,用于对所述外网视频设备进行设备认证;
第二数据传输单元230,用于在所述外网视频设备通过设备认证后,建立与所述外网视频设备相连的第二数据单独传输通道,通过所述第二数据单独传输通道接收视频信息,所述视频信息包括视频信令和视频数据流,所述第二数据单独传输通道的数量与所述第一数据单独传输通道的数量相同,当存在多个内网用户请求相同的视频信息时,通过一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息;
分离单元240,用于将所述视频信令和视频数据流进行分离,将所述视频信令通过所述第一数据单独传输通道传输给所述第一视频交换模块和对应的内网用户;
视频数据流发送单元250,用于在所述第一视频交换模块,所述第二视频交换模块和内网用户建立贯通的视频信令连接后,将所述视频数据流通过所述第一数据单独传输通道传输给所述第一视频交换模块,当存在多个内网用户请求相同的视频信息时,通过一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流。
可选的,所述第一数据单独传输通道和所述第二数据单独传输通道的数量与发送管理请求信息的内网用户的数量相同,一个内网用户对应一条第一数据单独传输通道和第二数据单独传输通道;
当存在多个内网用户请求相同的视频信息时,第二数据传输单元230将该多个内网用户的请求合并处理,通过其中的一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息,视频数据流发送单元250将该多个内网用户的请求合并处理,通过其中的一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流。
可选的,当存在多个内网用户请求相同的视频信息时,第一数据传输单元130为该多个内网用户建立一条第一数据单独传输通道,第二数据传输单元230为该多个内网用户建立一条第二数据单独传输通道,第二数据传输单元230将该多个内网用户的请求合并处理,通过该一条第二数据单独传输通道接收多个内网用户所请求的相同的视频信息,视频数据流发送单元250将该多个内网用户的请求合并处理,通过该一条第一数据单独传输通道传输多个内网用户所请求的相同的视频信息的视频数据流。
图4为本发明实施例提供的视频安全交换系统的另一结构框图,结合图3和图4所示,第一视频交换模块100还可以包括:管理配置单元150,用于管理配置所述视频安全交换系统;
第二视频交换模块200还可以包括:安全处理单元260,用于对所述视频信息进行安全检测处理,将通过安全检测处理的视频信息传送给所述第一视频交换模块。
可选的,第一视频交换模块100和第二视频交换模块200可通过加密链路,采用私有协议通信。
图5为本发明实施例提供的视频安全交换系统的又一结构框图。参照图5,图5所示视频安全交换系统在图4所示视频安全交换系统的基础上,第一视频交换模块100还包括第一日志审计单元160和报表展现单元170,第二视频交换模块200还包括第二日志审计单元270。
第一日志审计单元160,用于实现对第一视频交换模块100的日志记录和访问;
第二日志审计单元270,用于实现对第二视频交换模块200的日志记录和访问;
第一日志审计单元160与第二日志审计单元270配合使用,实现视频安全交换系统的日志记录及访问;
其中,系统日志包括用户和管理员的操作行为。
报表展现单元170,用于实时展现用户的视频请求情况;
其中,视频请求情况包括当前连接的和已记录的视频资源、累计流量、带宽等。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。