CN105208352B - 一种网络视频安全监控系统及物理隔离方法 - Google Patents
一种网络视频安全监控系统及物理隔离方法 Download PDFInfo
- Publication number
- CN105208352B CN105208352B CN201510675660.4A CN201510675660A CN105208352B CN 105208352 B CN105208352 B CN 105208352B CN 201510675660 A CN201510675660 A CN 201510675660A CN 105208352 B CN105208352 B CN 105208352B
- Authority
- CN
- China
- Prior art keywords
- processor
- network
- message
- data
- end video
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种网络视频安全监控系统及物理隔离方法,一种网络视频安全监控系统,前端视频接入网络、后端视频监控网络以及物理隔离模块,物理隔离模块包括处理器A和处理器B,处理器A和处理器B相互独立,处理器B通过网络接口连接前端视频接入网络,处理器A通过网络接口连接后端视频监控网络,处理器A和处理器B之间采用非以太网方式的物理传输信道连接;处理器B的系统为从片系统,处理器A的系统为主片系统,处理器B的系统启动加载由处理器A控制,使用视频隔离模块连接两个网络:安全网络和公开网络,进行数据通信和网络转发,本系统列举出来的所有拓扑结构可以在实际的项目中做更改、变换,从而适应不同的项目。
Description
技术领域
本发明涉及网络视频监控领域,尤其涉及一种网络视频安全监控系统及物理隔离方法。
背景技术
视频监控系统作为安全防范系统的组成部分,承载着监控人员掌控所辖区域监控点的图像信息,对事件进行记录、预警,避免国家及个人财产受到损害,或者对监控点紧急事件进行远程指挥、综合战斗,具有高清晰、实时性要求;视频作为安全防范的的强有力系统自身的安全性受到越来越多的重视;视频监控系统经历了第一代模拟视频时代、第二代数字视频非压缩传输交换系统(DVR存储管理系统)、第三代完全数字化的系统(网络摄像机IPC+视频服务器NVR结构),这3个阶段的发展演变。然而,真正的视频监控的意义在于保证监控区域以及系统的安全性和可靠性,第三代数字化系统基于网络摄像机即IP-camera技术,视频信息完全通过标准的以太网协议和通道进行传输,视频码率较低,网络的通用性和系统可维护性得到明显提升,但由于治安和视频监控区域分散,难于管理网络安全状况遇到极大的挑战;网络的安全性、设备的可靠性、内部系统的安全性受到较大的挑战,需要一种能够安全可靠的网络视频监控系统来解决目前系统遇到的问题。
发明内容
针对上述技术缺陷,本发明提出一种网络视频安全监控系统及物理隔离方法,该系统采用物理隔离设备结合网络视频监控协议设计系统,可很好的保证视频码流安全性以及视频监控系统的健壮性;通过两个处理器分别连接公开网络和信任网络,内部通过物理隔离单相通道进行数据传输,进行视频、控制数据以及部分报警信号、数据通道协议传输,阻断恶意连接攻击
一种网络视频安全监控系统,前端视频接入网络、后端视频监控网络以及物理隔离模块,所述物理隔离模块包括处理器A和处理器B,所述处理器A和处理器B相互独立,所述处理器B通过网络接口连接前端视频接入网络,所述处理器A通过网络接口连接后端视频监控网络,所述处理器A和处理器B之间采用非以太网方式的物理传输信道连接;所述处理器B的系统为从片系统,所述处理器A的系统为主片系统,处理器B的系统启动加载由处理器A控制。
进一步的,所述前端视频接入网络通过交换机或以太网光环网系统或以太网点对点接入物理隔离模块,并通过网络交换系统,设置网络隔离和端口Vlan划分。
进一步的,处理器A由系统复位,处理器B由处理器A进行系统复位和加载,处理器A通过固化在flash中的程序进行引导启动,处理器A进入系统后在本地文件系统根目录下创建对应的目录,将预先制作好的处理器B的启动镜像文件加载存放到该目录中。
进一步的,所述处理器A加载内核启动模块,以支持处理器B的启动控制、消息通信功能;处理器A还包括加载级联启动的驱动模块以及处理器A运行启动处理器B的应用程序,启动处理器B的应用程序开始初始化处理器B系统需要用到的所有DDR,然后将处理器A的系统目录下的启动镜像文件搬运到处理器B的内存地址,最后开始引导启动。
进一步的,所述处理器A连接启动复位电路以及报警输出电路。
进一步的,所述处理器A以及处理器B系统均通过tcp/ip协议接收或发送数据
利用所述的物理隔离模块的物理隔离方法,包括系统启动步骤和数据处理流程步骤:
所述系统启动步骤包括:
71)处理器A由系统复位,处理器B由处理器A进行系统复位和加载,处理器A 通过固化在flash中的程序进行引导启动,处理器A进入系统后在本地文件系统根目录下创建对应的目录,将预先制作好的处理器B的启动镜像文件加载存放到该目录中;
72)所述处理器A加载内核启动模块,以支持处理器B的启动控制、消息通信功能;处理器A还包括加载级联启动的驱动模块以及处理器A运行启动处理器B的应用程序,启动处理器B的应用程序开始初始化处理器B系统需要用到的所有DDR,然后将处理器A的系统目录下的启动镜像文件搬运到处理器B的内存地址,最后开始引导启动;
所述数据处理流程步骤包括:
73)后端视频监控网络发送消息之前通过用户以及密码的方式登录到处理器A系统,经认证通过后在处理器A系统端产生一个session,后端视频监控网络发送的消息只有通过该session才能被接收处理;
74)后端视频监控网络发送的消息通过处理器A系统进行报文的分析,当报文结构和内容符合协议规定时,报文会被送到处理器A系统的数据处理模块进行处理;所述数据处理模块分析消息的类型,并根据具体的报文内容直接本地处理或通过隔离通道转发至处理器B。
进一步的,所述处理器A与处理器B之间的隔离通道可进行双向数据传输,该隔离通道包括消息传输通道和数据传输通道;消息传输通道用于数据规模和吞吐量都低的数据;数据传输通道用于传输连续大块的数据。
进一步的,步骤74)中的报文内容在隔离通道的应用层进行协议格式校检,符合规定协议格式的报文内容才被允许通过隔离通道进行传输;所述隔离通道上传输的协议格式采用非公开的私有协议。
进一步的,处理器B系统运行时,定时发送心跳报文由隔离通道给处理器A系统,当在一定时间内处理器A系统没有接收到心跳消息,对后端视频监控网络预警,并获取处理器B的运行指令,进行报警,并可同时对处理器B进行系统初始化,使系统自恢复到正常状态。
本发明的有益效果在于:使用视频隔离模块连接两个网络:安全网络和公开网络,进行数据通信和网络转发,本系统列举出来的所有拓扑结构可以在实际的项目中做更改、变换,从而适应不同的项目,本系统采用单设备系统部署,以嵌入式系统为开发核心,采用端口物理隔离方案,并能保证满足协议的安全内容无障碍通信,对非法数据信息严格阻断,并采用单系统引导保证系统的安全可靠,最大限度的保证了客户的便利性和系统的安全性,成本较低推广价值较高。
附图说明
图1为本发明网络视频监控系统简要框图;
图2为物理隔离系统硬件框图;
图3为物理隔离模块视频数据流程示意图;
图4为物理隔离模块视频数据流程示意图。
具体实施方式
下面将结合附图和具体实施例对本发明做进一步的说明。
1、本发明的系统拓扑图
如图1所示,本发明系统基本框图,本系统核心部件为物理隔离模块,该物理隔离模块如图2所示,硬件系统采用两颗嵌入式处理器,对数据包协议进行解析,通过内部数据通道连接进行数据交互、处理,完成网络接入、用户管理、信任验证、协议分析等操作,构建高吞吐量的安全隔离设备;分别用作前端视频接入网络和后端视频监控网络接入服务,两颗处理器之间通过自定义通道相连,分别为加载管理通道、消息传输通道和数据传输通道;
加载管理通道:用于对从片进行启动加载;
消息传输通道:用于传输公开网络与可信网络之间的慢速双向数据,保证安全数据的控制传输;
数据传输通道:用于传递高吞吐量的安全数据,保证安全信息的高可靠信任传输;
嵌入式处理器B定义为从片系统,启动加载由嵌入式处理器A主片控制,便于系统统一管理运行,主片系统配有硬件报警输出接口,在系统受到攻击或者运行异常时进行硬件报警输出;由此隔离前端视频接入网络和后端视频监控网络内部传输系统;避免了通过前端IPC网络接口或通道访问、攻击内部设备的可能性。
本系统的核心硬件为两个独立的处理器,可采用通用的ARM、PowerPC、DSP等系统处理器,网络接口根据项目需求配置网口数量,可根据芯片支持能力、项目需求处理器能力进行多端口配置;采用硬件连接通信,嵌入式处理器B从片采取无系统文件运行模式,保证系统不被篡改,全部由嵌入式处理器A主片进行加载、启动。
系统前端IPC网络接入可采用多种方式如交换机接入、以太网光环网系统以及以太网点对点接入系统,可通过对网络交换系统进行配置,设置网络隔离和端口Vlan划分,解决网络共享功能,从而保证单个接入IPC节点都不能访问到其他节点的图像,做到视频监控系统的可靠性和安全性;
系统的设备管理和维护有平台管理软件发起,后端视频监控网络作为内部信任网络的设备可以通过交换网络直接获取设备状态和发送配置指令,对于作为公开网络B的前端IPC网络内的设备和摄像机,可通过视频隔离模块作为代理,获取设备状态和视频,进行虚拟设备管理,做到全网设备统一管理、调度。
2、本发明物理隔离模块的系统启动方案
处理器B在硬件上不带flash,通过处理器A系统将其需要的启动镜像文件加载到特定的内存地址,再开始引导的方式启动系统。
处理器A由系统复位,处理器B系统由处理器A系统进行系统复位和加载。处理器A系统通过固化在flash中的程序进行引导启动,进入系统后在本地文件系统根目录下创建特定的目录,将预先制作好的处理器B系统的启动镜像文件加载存放到该目录中。
处理器A系统加载内核启动模块,以支持处理器B的启动控制,消息通信等基础功能。
处理器A系统加载级联启动的驱动模块。
处理器A系统运行启动处理器B系统的应用程序,启动程序开始初始化处理器B系统需要用到的所有DDR,接着将处理器A系统目录下的启动镜像文件搬运到特定的处理器B的内存地址,即加载到特定的内存空间,再发出指令要求处理器A系统引导启动,最后处理器A系统开始引导启动。
3、视频隔离模块数据流程图
物理隔离模块的的两个处理器在软件上存在两个独立的操作系统,每个处理器系统对应一个独立的域。处理器A和处理器B的两个系统之间采用非以太网方式的物理传输信道,如采用,并行总线、PCI-E等传输接口,只有特定的数据包才能被转发到对端系统。这样可以确保即使外部域公开网络端口被攻破,也可以同样保证内部域的绝对安全。
如图3所示,在整个系统设备管理和维护过程中,处理器B连接公开网络B,承担代理服务器的作用;处理器A连接信任网络A,作为虚拟接入设备,设备通道对应于前端不同的IPC或编码器客户端;设备通过公开网络获取前端设备视频流业务,进行逐层认证、处理通过物理隔离通达发送给内部安全处理器A,进行打包处理,供内部的信任网络A进行虚拟设备布局,实现视频流的传送,并保证网络间的隔离性,从而实现视频监控系统的安全传输、通信。
如图4所示,处理器A端连接的网络A属于可信网络,主要控制消息由网内的客户端发起。为了保证消息发起端的安全可控,在客户端发送消息之前需要先通过用户+密码的方式登录到处理器A系统,经认证通过后在处理器A系统端会产生一个session,所有后续的消息只有通过这个session才能被接收处理。
处理器A、B系统通过tcp/ip协议接收或发送数据、消息需要通过处理器A系统的报文的分析,在报文结构和内容完全符合协议规定,报文会被送到处理器A系统的数据处理模块进行处理。数据处理模块首先分析消息的类型,根据具体的报文内容直接本地处理或通过隔离通道转发。
处理器A、B系统之间的隔离通道具有双向传输功能,在设计区分为消息传输通道和数据传输通道。消息传输通道设计用于数据规模和吞吐量都小的场景,如控制消息、报警消息等。数据传输通道设计用于传输连续大块的数据,如媒体流,大文件等。数据传输通道在设计上使用DMA的方式,可以达到很高的传输效率。
网络A、B中所有以太网传输协议全部被隔离通道在物理层上隔绝,只在隔离通道的应用层上符合规定协议格式的数据报文才被允许通过隔离通道到达对端。隔离通道上传输的报文格式采用非公开的私有协议,可以选择对协议的明文进行加密后再传输。在加密的情况下即使报文被监听获取到,在没有协议说明文档和密钥的情况下无法被分析和构造,大大提高了隔离通道的安全性。
处理器A、B系统之间通过隔离通道获得数据。如果是密文,则解密得到明文后再一次校验报文的正确性,经校验无误后由数据处理模块进行处理。数据处理模块根据报文的类型进行本地处理或者构造相应的网络报文转发到前端设备。
处理器B在系统运行起来后,需要定时发送心跳报文由隔离通道给处理器A系统。在一定时间内处理器A系统没有接收到心跳消息,认为处理器B系统出现严重的异常错误,需要对内部网络预警,并获取处理器B的运行指令,上报服务器,进行报警,并可同时对处理器B进行系统初始化,使系统自恢复到正常状态。
处理器B系统所属非安全域,可能存在不确定的网络攻击。处理器B系统带有安全检测功能,能检测到ARP、DDOS、在线暴力破解等常见的网络攻击。在检测并确定存在攻击后,通过内部处理器进行相关的系统报警。
4、系统设备网络管理和维护
本系统的网管状态可通过内网服务器对网络隔离模块进行直接访问,并通过内部消息通道借助于公开网络对远端IPC、远端视频设备、报警等设备进行间接访问获取设备状态,如图1所示系统,同时可对远端设备进行管理配置,保证系统的稳定性;并可以监控公开网络的运行情况,对于异常攻击进行报警,保证系统异常能及时处理;
在内部公开网络的控制服务器可通过内网设备发现广播协议发现系统内的多台网络隔离模块,每台网络隔离模块可进行公开网络的设备发现搜索,从而将系统内存在的多台网络进行发现,通过控制服务器软件系统进行管理和端口绑定工作,保证系统操作的便捷性;
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员,在不脱离本发明构思的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明保护范围内。
Claims (8)
1.一种网络视频安全监控系统,其特征在于,前端视频接入网络、后端视频监控网络以及物理隔离模块,所述物理隔离模块包括处理器A和处理器B,所述处理器A和处理器B相互独立,所述处理器B通过网络接口连接前端视频接入网络,所述处理器A通过网络接口连接后端视频监控网络,所述处理器A和处理器B之间采用非以太网方式的物理传输信道连接;所述处理器B的系统为从片系统,所述处理器A的系统为主片系统,处理器B的系统启动加载由处理器A控制;
处理器A由系统复位,处理器B由处理器A进行系统复位和加载,处理器A通过固化在flash中的程序进行引导启动,处理器A进入系统后在本地文件系统根目录下创建对应的目录,将预先制作好的处理器B的启动镜像文件加载存放到该目录中;所述处理器A加载内核启动模块,以支持处理器B的启动控制、消息通信功能;处理器A还包括加载级联启动的驱动模块以及处理器A运行启动处理器B的应用程序,启动处理器B的应用程序开始初始化处理器B系统需要用到的所有DDR,然后将处理器A的系统目录下的启动镜像文件搬运到处理器B的内存地址,最后开始引导启动。
2.根据权利要求1所述的一种网络视频安全监控系统,其特征在于,所述前端视频接入网络通过交换机或以太网光环网系统或以太网点对点接入物理隔离模块,并通过网络交换系统,设置网络隔离和端口Vlan划分。
3.根据权利要求1所述的一种网络视频安全监控系统,其特征在于,所述处理器A连接启动复位电路以及报警输出电路。
4.根据权利要求1所述的一种网络视频安全监控系统,其特征在于,所述处理器A以及处理器B系统均通过tcp/ip协议接收或发送数据。
5.利用权利要求1所述的物理隔离模块的物理隔离方法,其特征在于,包括系统启动步骤和数据处理流程步骤:
所述系统启动步骤包括:
71)处理器A由系统复位,处理器B由处理器A进行系统复位和加载,处理器A通过固化在flash中的程序进行引导启动,处理器A进入系统后在本地文件系统根目录下创建对应的目录,将预先制作好的处理器B的启动镜像文件加载存放到该目录中;
72)所述处理器A加载内核启动模块,以支持处理器B的启动控制、消息通信功能;处理器A还包括加载级联启动的驱动模块以及处理器A运行启动处理器B的应用程序,启动处理器B的应用程序开始初始化处理器B系统需要用到的所有DDR,然后将处理器A的系统目录下的启动镜像文件搬运到处理器B的内存地址,最后开始引导启动;
所述数据处理流程步骤包括:
73)后端视频监控网络发送消息之前通过用户以及密码的方式登录到处理器A系统,经认证通过后在处理器A系统端产生一个session,后端视频监控网络发送的消息只有通过该session才能被接收处理;
74)后端视频监控网络发送的消息通过处理器A系统进行报文的分析,当报文结构和内容符合协议规定时,报文会被送到处理器A系统的数据处理模块进行处理;所述数据处理模块分析消息的类型,并根据具体的报文内容直接本地处理或通过隔离通道转发至处理器B。
6.根据权利要求5所述的物理隔离方法,其特征在于,所述处理器A与处理器B之间的隔离通道可进行双向数据传输,该隔离通道包括消息传输通道和数据传输通道;消息传输通道用于数据规模和吞吐量都低的数据;数据传输通道用于传输连续大块的数据。
7.根据权利要求6所述的物理隔离方法,其特征在于,
步骤74)中的报文内容在隔离通道的应用层进行协议格式校检,符合规定协议格式的报文内容才被允许通过隔离通道进行传输;所述隔离通道上传输的协议格式采用非公开的私有协议。
8.根据权利要求7所述的物理隔离方法,其特征在于,处理器B系统运行时,定时发送心跳报文由隔离通道给处理器A系统,当在一定时间内处理器A系统没有接收到心跳消息,对后端视频监控网络预警,并获取处理器B的运行指令,进行报警,并可同时对处理器B.进行系统初始化,使系统自恢复到正常状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510675660.4A CN105208352B (zh) | 2015-10-16 | 2015-10-16 | 一种网络视频安全监控系统及物理隔离方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510675660.4A CN105208352B (zh) | 2015-10-16 | 2015-10-16 | 一种网络视频安全监控系统及物理隔离方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105208352A CN105208352A (zh) | 2015-12-30 |
| CN105208352B true CN105208352B (zh) | 2018-07-31 |
Family
ID=54955749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510675660.4A Active CN105208352B (zh) | 2015-10-16 | 2015-10-16 | 一种网络视频安全监控系统及物理隔离方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105208352B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108363918B (zh) * | 2017-04-28 | 2022-02-18 | 清华大学 | 处理器操作系统的引导启动方法、装置及处理器系统 |
| CN107360566B (zh) * | 2017-07-25 | 2020-11-27 | 深圳市盛路物联通讯技术有限公司 | 物联网终端基于类型的上行数据加密控制方法及装置 |
| CN110740115A (zh) * | 2018-07-20 | 2020-01-31 | 视联动力信息技术股份有限公司 | 一种视联网的数据处理方法和装置 |
| CN111131793A (zh) * | 2020-01-08 | 2020-05-08 | 北京汉邦智慧科技有限公司 | 一种视频入网安全装置 |
| CN113472727B (zh) * | 2020-03-31 | 2023-02-17 | 北京中科网威信息技术有限公司 | 一种数据同步方法、装置、电子设备及存储介质 |
| CN116094753A (zh) * | 2022-11-29 | 2023-05-09 | 国网山东省电力公司信息通信公司 | 一种面向电力异构融合场景的调度消息交互方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103259695A (zh) * | 2013-04-16 | 2013-08-21 | 李军 | 便携式互联网终端监视器及其监视方法 |
| CN103888446A (zh) * | 2014-02-28 | 2014-06-25 | 西南交通大学 | 面向铁路信号控制网络的协议安全隔离系统 |
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
-
2015
- 2015-10-16 CN CN201510675660.4A patent/CN105208352B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103259695A (zh) * | 2013-04-16 | 2013-08-21 | 李军 | 便携式互联网终端监视器及其监视方法 |
| CN103888446A (zh) * | 2014-02-28 | 2014-06-25 | 西南交通大学 | 面向铁路信号控制网络的协议安全隔离系统 |
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105208352A (zh) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105208352B (zh) | 一种网络视频安全监控系统及物理隔离方法 | |
| CN105204583B (zh) | 一种基于嵌入式系统构建的物理隔离系统及隔离方法 | |
| US9851982B2 (en) | Emergency video camera system | |
| CN102404254A (zh) | 多网融合的智能家庭网关装置及系统 | |
| Doan et al. | Towards a resilient smart home | |
| CN106027358A (zh) | 一种社会视频网接入视频专网的网络安全管控系统 | |
| CN106789909A (zh) | 应用程序的网络数据传输方法、装置及系统 | |
| CN202475474U (zh) | 多网融合的智能家庭网关装置及系统 | |
| WO2016202007A1 (zh) | 一种设备运维方法及系统 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN112615858B (zh) | 物联网设备监控方法、装置与系统 | |
| CN101945116A (zh) | 一种跨域视频数据安全交换方法 | |
| CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| CN101809570A (zh) | 使能对受防火墙保护的数据的访问的方法 | |
| CN104539600A (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN107294876A (zh) | 用于执行lan唤醒的网络交换机 | |
| CN201878191U (zh) | 一种视频安全接入装置 | |
| CN102630042A (zh) | 户外电子信息联播网投递与监控系统 | |
| CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
| CN109617918A (zh) | 一种安全运维网关及其运维方法 | |
| Li et al. | Research on sensor-gateway-terminal security mechanism of smart home based on IOT | |
| CN205160680U (zh) | 一种网络视频安全监控装置 | |
| Yuhong et al. | Industrial internet security protection based on an industrial firewall | |
| CN205028207U (zh) | 一种基于嵌入式系统构建的物理隔离装置 | |
| CN210112051U (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |