CN114553509A - 基于隔离装置的信息内外网视频会议互通系统及方法 - Google Patents

Abstract

本发明提出了基于隔离装置的信息内外网视频会议互通系统及方法，包括：分别部署于内网、外网的公私网穿越服务器，用于实现对内、外网设备的注册和信息处理；内网、外网的服务器之间连接有隔离装置，所述隔离装置用于实现内网、外网的IP地址、端口的映射，实现位于内网、外网的视频数据互通及网络隔离。本发明采用基于隔离装置的内外网互通技术，既可确保内外网数据安全性，防止网络入侵，又可以满足内外网视频会议业务不间断、实时性数据的交互需求。

Description

基于隔离装置的信息内外网视频会议互通系统及方法

技术领域

本发明属于信息通信技术领域，尤其涉及基于隔离装置的信息内外网视频会议互通系统及方法。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

当前，基于信息安全考虑，管理信息内网与外网之间、管理信息大区与生产控制大区之间的边界均采用逻辑强隔离策略进行安全隔离，信息内外网分别使用物理隔离并使用独立的服务器，强化网络边界安全，提升信息内网安全等级。

受内外网物理隔离组网影响，信息内网和信息外网间无法实现数据双向传输和服务接口调用等功能，导致信息内网的视频会议终端与信息外网的会议终端无法组会，视频会议终端无法跨越信息内网和信息外网边界实现音视频数据的双向传输，视频会议终端的应用受到极大限制。

现有技术中，申请号201210192483.0，公开了跨网络视频会议的控制方法，该方法通过模拟转接的方式，使用位于同一地点的、两个不同网络里的视频会议终端，进行音视频信号对接，以实现跨网络的视频会议互通及控制。

上述技术存在的问题是：该方法使用模拟转接方式，需要在两个网络里分别部署一套转接用的终端，同时需要在两个网络的会控服务器上进行会议控制，既占用设备资源又增加了人员的控会压力。

现有技术中还存在MCU骑墙技术，MCU骑墙是将MCU部署于两个不同网络的边界，实现两个不同网段的终端设备间多媒体通信，是解决不同网络穿越的一种方法。

上述技术存在的问题是：大型企业网络安全要求极高，不允许使用第三方设备进行骑墙、网络穿越，以免造成网络安全风险。

因此，本申请技术方案所要解决的技术问题是：

如何在网络隔离的情况下，实现跨网络的视频会议互通，如视频会议专网与互联网的音视频信号互通。

如何避免使用模拟转接方式，节省设备成本、人员运维成本。

发明内容

为克服上述现有技术的不足，本发明提供了基于隔离装置的信息内外网视频会议互通系统，在网络隔离的情况下，实现了跨网络的视频会议互通。

为实现上述目的，本发明的一个或多个实施例提供了如下技术方案：

第一方面，公开了基于隔离装置的信息内外网视频会议互通系统，包括：

分别部署于内网、外网的公私网穿越服务器，用于实现对内、外网设备的注册和信息处理；

内网、外网的服务器之间连接有隔离装置，所述隔离装置用于实现内网、外网的IP地址、端口的映射，实现位于内网、外网的视频数据互通及网络隔离。

进一步的技术方案，所述内网、外网的公私网穿越服务器分别与各自对应的视频会议系统通信，隔离装置实现内外网跨网音视频数据的交互和网络的隔离。

进一步的技术方案，所述视频会议系统包括部署在机房的多点控制单元，还包括录播服务器及会议管理平台，公私网穿越服务器、多点控制单元、录播服务器及会议管理平台均连接至同一网络上。

进一步的技术方案，内网的公私网穿越服务器与外网的公私网穿越服务器中间连接有隔离装置，内网的公私网穿越服务器连接2个网口，同时设置内网IP，其中1个内网IP通过NAT转换成外网IP；

电脑客户端在外网中接入使用，通过外网连通视频会议系统，视频会议系统在会议室中使用，通过内网连通视频会议系统，通过内网和外网的公私网穿越服务器做邻居路由，实现会议内容的互传。

进一步的技术方案，在隔离装置两侧部署穿越的公私网穿越服务器，分别为客户端和服务端，两者之间通过标准的协议实现公私网穿越。

进一步的技术方案，所述隔离装置划分为两个安全区域：公网和私网区域，每个安全区域通过接口与实际网络对应，实现隔离装置对不同网络的区分和隔离；

当报文在不同的安全区域之间流动时，触发隔离装置进行安全检查，也就是隔离装置的安全策略功能；

私网区域对应公司信息内网，公网区域对应信息外网，区域中的公私网穿越服务器通过隔离装置配置NAT Server功能对外提供访问服务。

第二方面，公开了基于隔离装置的信息内外网互通方法，包括：

内外网两个视频会议系统以会场方式穿越隔离装置级联，隔离装置需绑定2个防火墙；

内网终端能够通过两个SMC呼叫外网终端，公网和私网区域间的媒体通信由内置公私网穿越服务器进行转发，实现外网到内网之间的音视频数据流的互联互通。

进一步的技术方案，隔离装置上各区域之间的安全策略配置原则：

私网区域中的设备不允许外部设备主动访问，所以公网和私网之间只开放指定源网段outbound方向的单向安全策略；

位于私网区域的公私网穿越服务器允许公网终端通过公网IP地址访问，也需要主动访问公网终端，所以私网和公网之间要开放服务器IP地址+指定端口的双向安全策略；

公网和私网区域间的媒体通信由两个公私网穿越服务器进行转发，所以无需配置公网和私网区域之间的安全策略；

在私网区域，公私网穿越服务器划分两个网段，公私网穿越服务器通过两个物理网卡接入两个网段，接口1配置了通向企业内网的静态路由，接口2配置了通向外网的静态映射；

进一步的技术方案，划分不同的网段使得公私网穿越服务器将内网业务和外网业务进行了很好的分离，内网设备间的呼叫仅通过接口1处理，外网设备间的呼叫仅通过接口2处理，只有当内网和外网设备进行通信时，公私网穿越服务器才通过两个接口转发数据。

进一步的技术方案，在防火墙上做NAT端口映射即可实现信息外网与互联网的互联互通。

以上一个或多个技术方案存在以下有益效果：

本发明利用穿越服务器，实现对部署于不同网络的设备的注册和管理。与音视频信号背靠背模拟转接相比，不需要额外部署背靠背终端、不需要进行多网络会议控制，节约设备资源与人工资源，同时减少操作环节，降低了误操作可能性。与MCU骑墙相比，利用隔离装置实现固定IP地址、端口的映射，满足网络安全要求。

本发明利用隔离装置，实现不同网络IP地址、端口的映射，从而实现视频会议数据互通及网络隔离，满足网络安全要求。

本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为本发明实施例总体架构示意图；

图2为本发明实施例隔离装置示意图；

图3(a)为本发明实施例组网示意图一；

图3(b)为本发明实施例组网示意图二；

图4为内外网两个会议配置示意图；

图5为本发明实施例点对点场景通信示意图；

图6为本发明实施例点对点场景验证测试通过，视频会议实现互通示意图；

图7为本发明实施例会议场景(管理平台召集)验证方案示意图；

图8为本发明实施例会议场景(管理平台召集)验证测试通过，视频会议实现互通示意图；

图9为本发明实施例会议场景(终端主叫)验证方案示意图；

图10为本发明实施例会议场景(终端主叫)验证测试通过，视频会议实现互通示意图；

图11为本发明实施例双流共享图；

图12为2个互联网手机与1台外网PC的会议场景实际测试效果图；

图13为信息外网与互联网视频互通测试(数据共享)示意图。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。

在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

实施例一

本实施例公开了基于隔离装置的信息内外网视频会议互通系统，在信息外网部署一套独立的视频会议系统，满足会议室多人会议、手机/电脑个人会议互通需求，使用信息内网的安全隔离装置，通过端口策略控制和公私网穿越方案实现内外网视频会议互通，内网终端发起视频会议，外网终端也可以入会，双方可以实现音视频互通和画面的同步。

具体的，总体架构如图1所示，在信息内外网分别部署一台呼叫控制和公私网穿越服务器SC，实现对内外网设备的注册和管理；隔离装置分别配置内外网IP地址/端口和完成内外网IP地址/端口的映射，实现内外网跨网音视频数据的交互和网络的隔离，满足电力边界信息网络安全防护要求。

其中，外网部署一台呼叫控制和公私网穿越服务器SC，实现对外网设备和MCU的注册和管理，内网新部署一台呼叫控制和公私网穿越服务器SC，实现对内网设备的管理和注册。内网SC与外网SC中间通过隔离装置做安全策略，开放响应端口。内网SC连接2个网口，同时设置内网IP，其中1个内网IP通过NAT转换成外网IP。电脑客户端在外网中接入使用，通过外网的视频会议召开，现有的视频会议系统在会议室中使用，通过内网的视频会议召开，两个会议通过内网和外网的公私网穿越SC做邻居路由，实现会议内容的互传。

在外网机房部署一套独立的视频会议系统，在外网机房部署多点控制单元MCU，部署录播服务器实现视频会议的录制功能，同时，部署会管平台系统SMC，实现对会议终端和中心平台的管理。

外网部署一台呼叫控制和公私网穿越服务器SC，实现对外网设备和MCU的注册和管理，内网新部署一台呼叫控制和公私网穿越服务器SC，实现对内网设备的管理和注册。

内网SC与外网SC中间通过隔离装置做安全策略，开放响应端口。内网SC连接2个网口，同时设置内网IP，其中1个内网IP通过NAT转换成外网IP。

电脑客户端在外网中接入使用，通过外网的视频会议召开，现有的视频会议系统在会议室中使用，通过内网的视频会议召开，两个会议通过内网和外网的公私网穿越SC做邻居路由，实现会议内容的互传。

当所有视频通讯的设备运行在同一个网络中时，可以进行愉快的通讯，提供完美的视频会议体验，但公司实际情况是这些设备分布在不同的网络中，并且网络的边界部署了隔离装置，用于保护内网免受外网的攻击和入侵。

参见附图2所示，部署与内外网边界的隔离装置阻断了外部的威胁，也使得内网与外网的视频会议设备通信变得困难。视频会议公私网穿越就是为了实现内外网中的视频会议设备正常通信。

现在的隔离装置的功能众多，但在不同网络间的隔离作用上，主要可以归纳为两大功能：安全策略和NAT Server。通常隔离装置配置内外网之间的安全策略，及NAPT和NATServer功能，其中安全策略的配置原则为仅允许内网设备主动发起请求并接收来自外网的响应，拒绝一切未被邀请的外部访问进入内网。

视频会议交互的呼叫信令会被中间隔离装置的安全策略“阻断”。本次测试的公私网穿越SC方案(Switch Center，视讯业务的网络交换中心，主要负责设备的注册和呼叫业务)(下称双SC方案)仅需在隔离装置上增加相应的NAT Server和安全策略配置即可，部署难度小，对隔离装置的原有配置的影响小，引入问题的机会也最小。

组网参见附图3(a)、图3(b)：在隔离装置两侧部署穿越的客户端和服务端，通过标准的协议实现公私网穿越。视频会议设备间的通信都是基于H.323或SIP协议，其中，H.460协议定义了H.323通信下的公私网穿越标准，而SIP通信基于其协议自身的简单灵活，可方便实现公私网穿越，SC服务器来充当这个服务端和客户端。

隔离装置会划分两个安全区域：公网和私网区域，每个安全区域通过接口与实际网络对应，从而实现隔离装置对不同网络的区分和隔离，当报文在不同的安全区域之间流动时，触发隔离装置进行安全检查，也就是隔离装置的安全策略功能。一般私网区域对应公司信息内网，公网区域对应信息外网，区域中的服务器可以通过隔离装置配置NAT Server功能对外提供访问服务，如SC2就需要对信息外网提供注册和呼叫服务。

为了更清晰地体现防火墙安全区域在视频会议组网中的应用，我们将安全区域改画至下面的组网中，可以看到：组网中的两堵隔离装置实际是同一个设备，在任意两个不同区域之间都起到了隔离作用。

该组网下，隔离装置上各区域之间的安全策略配置原则如下：

私网区域中的设备不允许外部设备主动访问，所以公网和私网之间只开放指定源网段outbound方向的单向安全策略。

位于私网区域的SC2允许公网终端通过公网IP地址访问，也需要主动访问公网终端，所以私网和公网之间要开放服务器IP地址+指定端口的双向安全策略。

公网和私网区域间的媒体通信由SC1和SC2进行转发，所以无需配置公网和私网区域之间的安全策略。

设备的部署对公司已有的组网规划有特殊的要求，在组网图中已经体现，在私网区域，必须给SC划分两个网段，SC服务器通过两个物理网卡接入两个网段，接口1配置了通向企业内网的静态路由，接口2配置了通向外网的静态映射。划分不同的网段使得SC将内网业务和外网业务进行了很好的分离，内网设备间的呼叫仅通过接口1处理，外网设备间的呼叫仅通过接口2处理，只有当内网和外网设备进行通信时，SC才通过两个接口转发数据。

参见附图4所示，具体配置时，内外网两个会议以会场方式穿越隔离装置级联，隔离装置仅需绑定2个防火墙，内网终端能够通过两个SMC呼叫外网终端(此处SMC是指搭配MCU(多点控制单元)使用的会议控制软件)，公网和私网区域间的媒体通信由内置SC进行转发，所以无需配置公网和私网区域之间的安全策略，最大限度的保护现有组网的安全性，实现外网到内网之间的音视频数据流的互联互通。

场景验证：

在信息外网与内网侧各部署一套视讯平台和软终端，中间放置隔离装置，隔离装置通过双向映射通信端口的方式实现信息内外网穿越。本次SC都是MCU使用内置SC，信息内外网设备间进行通信，通过SC进行信令路由，SC可以同时监听和处理两个网络的信令。同时，SC对两个网络的媒体进行转发，实现网络互通。在管理上可以实现信息外网与信息内网互不干扰。

点对点场景，参见附图5所示：

点对点场景验证方案如下：

(1)内网终端A呼内网终端B

A<--->SC<--->B(双向)

(2)内网终端A呼叫外网终端B

A<--->SC<--->(隔离装置)<--->B(双向)

(3)外网终端A呼叫内网终端B

A<--->(隔离装置)<--->SC<--->B(双向)

(4)外网终端A呼叫外网终端B

A<--->SC<--->B(双向)

点对点场景验证测试通过，视频会议实现互通，详见图6所示。

会议场景(管理平台召集)，会议场景(管理平台召集)验证方案如图7所示：

(1)纯内网会议(内网终端A、B)

SC<--->A、SC<--->B、SC<--->MCU(双向)

(2)纯外网会议(外网终端A、B)

SC<--->A、SC<--->B、SC<--->MCU(双向)

(3)内外网混合会议(外网终端A、内网终端B)

SC<--->(隔离装置)<--->A、SC<--->B、SC<--->MCU(双向)

会议场景(管理平台召集)验证测试通过，视频会议实现互通，详见图8所示。

会议场景(终端主叫)，会议场景(终端主叫)验证方案如图9所示：

(1)纯内网会议(内网终端A、B)

A<--->SC<--->MCU(双向),B<--->SC<--->MCU(双向)

(2)纯外网会议(外网终端A、B)

A<--->SC<--->MCU(双向),B<--->SC<--->MCU(双向)

(3)内外网混合会议(外网终端A，内网终端B)

A<--->(隔离装置)<--->SC<--->MCU(双向),B<--->SC<--->MCU(双向)

会议场景(终端主叫)验证测试通过，视频会议实现互通，详见图10所示。

此方案经过现网实例化验证，参见附图11所示，可以实现信息外网与信息内网视频会议的互联互通，能够在无需改造现有网络的情况下实现内外网穿越，保证网络的安全性，外网与内网在管理上互不干扰，实现对区域内所有设备的管理和业务调度。

公司在内网和外网均部署了大量视频会议设备，内网的业务由SC1处理，外网的业务由SC2处理，实现视频会议业务的负载均衡。在组网上与内网和外网均隔离，提升了公司内网的安全性。内网与外网之间的设备通信由SC1和SC2共同代理，充分减少了防火墙上端口的开放，进一步公司企业内网的安全性。在防火墙、隔离装置侧开放相应端口以实现SC与设备间的数据互通，无需做过多配置，简单安全高效。

互联网与信息外网互通：用户手机使用的网络为互联网，互联网与公司信息外网之间设置有防火墙，要实现用户通过手机与部署在信息外网的会议服务器通信，进而与信息内网的用户召开会议，则需要将互联网与信息外网进行打通。

要实现此功能，仅在防火墙上做NAT端口映射即可实现信息外网与互联网的互联互通。

图12为实际测试效果，2个互联网手机与1台外网PC的会议场景。图13为信息外网与互联网视频互通测试(数据共享)。

本次测试以山东公司内外网隔离环境为背景，以信息安全网络隔离装置为研究基础，对如何突破信息安全网络隔离限制、实现内外网音视频数据互通进行了较为深入的研究并取得关键突破，对信息内外网穿越的实用化进行了有效验证，率先完成国网公司首个基于硬视频的视频会议内外网互通方案测试。

在公司内网外隔离场景下，采用基于隔离装置的视频内外网互通技术与实现方案，位于信息安全网络隔离装置两侧的会议系统能够通过信息内外网穿越方案进行简单、方便的和隔离装置设备通信，通信协议的协商过程都是标准的，协商的两端都是公私网穿越服务器SC，协商过程被进行了合并优化，隔离装置上需要开放的端口大大减少，使组网的安全性得到了提升。

本方案采用基于隔离装置的内外网互通技术，既可确保内外网数据安全性，防止网络入侵，又可以满足内外网视频会议业务不间断、实时性数据的交互需求。

本发明通过基于隔离装置的内外网互通方案实现信息内外网会议音视频信号的实时传达，且易于控制，公司内部各专业之间的沟通更加快捷和便利。

本发明设备体验佳，现场感好：视频会议系统互通方案要求稳定可靠，保证会议的正常召开，会议音视频、数据辅流传送清晰，现场感强，会议体验好，最大限度提高远程沟通效率，使视频会议系统的使用率得到大幅度提高。

本发明使用简单，方便易用：本方案实施后，要求使用简单、方便易用，不能因为过于复杂的操作要求增加人力等会议成本，平台设备7×24小时在线，各会场能够在会议室内通过终端直接发起会议。

本发明统一部署，互联互通：省公司能够直接召开包含市公司的内外网统一会议，各市公司能够随时召开所管辖区域内的内外网会议。

本发明实时传达，提高效率：能够将省公司视频会议的音视频信号实时传送至全省各市公司和区县公司，提高政策和精神传达效率，提高业务效率。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (10)

1.基于隔离装置的信息内外网视频会议互通系统，其特征是，包括：

分别部署于内网、外网的公私网穿越服务器，用于实现对内、外网设备的注册和信息处理；

内网、外网的服务器之间连接有隔离装置，所述隔离装置用于实现内网、外网的IP地址、端口的映射，实现位于内网、外网的视频数据互通及网络隔离。

2.如权利要求1所述的基于隔离装置的信息内外网视频会议互通系统，其特征是，所述内网、外网的公私网穿越服务器分别与各自对应的视频会议系统通信，隔离装置实现内外网跨网音视频数据的交互和网络的隔离。

3.如权利要求2所述的基于隔离装置的信息内外网视频会议互通系统，其特征是，所述视频会议系统包括部署在机房的多点控制单元，还包括录播服务器及会议管理平台，公私网穿越服务器、多点控制单元、录播服务器及会议管理平台均连接至同一网络上。

4.如权利要求1所述的基于隔离装置的信息内外网视频会议互通系统，其特征是，内网的公私网穿越服务器与外网的公私网穿越服务器中间连接有隔离装置，内网的公私网穿越服务器连接2个网口，同时设置内网IP，其中1个内网IP通过NAT转换成外网IP；

电脑客户端在外网中接入使用，通过外网连通视频会议系统，视频会议系统在会议室中使用，通过内网连通视频会议系统，通过内网和外网的公私网穿越服务器做邻居路由，实现会议内容的互传。

5.如权利要求1所述的基于隔离装置的信息内外网视频会议互通系统，其特征是，在隔离装置两侧部署穿越的公私网穿越服务器，分别为客户端和服务端，两者之间通过标准的协议实现公私网穿越。

6.如权利要求1所述的基于隔离装置的信息内外网视频会议互通系统，其特征是，所述隔离装置划分为两个安全区域：公网和私网区域，每个安全区域通过接口与实际网络对应，实现隔离装置对不同网络的区分和隔离；

当报文在不同的安全区域之间流动时，触发隔离装置进行安全检查，也就是隔离装置的安全策略功能；

私网区域对应公司信息内网，公网区域对应信息外网，区域中的公私网穿越服务器通过隔离装置配置NAT Server功能对外提供访问服务。

7.基于隔离装置的信息内外网互通方法，其特征是，包括：

内外网两个视频会议系统以会场方式穿越隔离装置级联，隔离装置需绑定2个防火墙；

内网终端能够通过两个SMC呼叫外网终端，公网和私网区域间的媒体通信由内置公私网穿越服务器进行转发，实现外网到内网之间的音视频数据流的互联互通。

8.如权利要求7所述的基于隔离装置的信息内外网互通方法，其特征是，隔离装置上各区域之间的安全策略配置原则：

私网区域中的设备不允许外部设备主动访问，所以公网和私网之间只开放指定源网段outbound方向的单向安全策略；

位于私网区域的公私网穿越服务器允许公网终端通过公网IP地址访问，也需要主动访问公网终端，所以私网和公网之间要开放服务器IP地址+指定端口的双向安全策略；

公网和私网区域间的媒体通信由两个公私网穿越服务器进行转发，所以无需配置公网和私网区域之间的安全策略；

在私网区域，公私网穿越服务器划分两个网段，公私网穿越服务器通过两个物理网卡接入两个网段，接口1配置了通向企业内网的静态路由，接口2配置了通向外网的静态映射。

9.如权利要求8所述的基于隔离装置的信息内外网互通方法，其特征是，划分不同的网段使得公私网穿越服务器将内网业务和外网业务进行了很好的分离，内网设备间的呼叫仅通过接口1处理，外网设备间的呼叫仅通过接口2处理，只有当内网和外网设备进行通信时，公私网穿越服务器才通过两个接口转发数据。

10.如权利要求7所述的基于隔离装置的信息内外网互通方法，其特征是，在防火墙上做NAT端口映射即可实现信息外网与互联网的互联互通。

Images