一种视频监控系统远程控制方法及装置与流程

本发明涉及视频监控技术领域，尤其涉及一种视频监控系统远程控制方法及装置。

背景技术：

随着互联网技术的高速发展，互联网已逐渐融入人们的工作生活，成为人们工作生活中不可或缺地一部分，相应地，关于互联网的安全性问题，尤其是基于IP(Internet Protocol，互联网协议)的攻击，逐渐受到人们的关注。

目前，远程桌面、虚拟桌面是一种比较常见的针对IP攻击的防护方案。其主要实现原理是：将需要进行安全保护的服务器部署在安全内网中，客户端需要通过访问虚拟服务器的方式，才能访问安全内网中的真实服务器，从而避免客户端直接访问真实服务器造成的安全风险。

然而实践发现，在上述IP攻击防护方案中，当安全内网中服务器需要将视频流发送给客户端时，为了保证安全内网中服务器的安全，虚拟服务器接收到视频流时，需要将视频流进行解码后，再重新编码后发送给客户端，这个过程会引入额外的延时，影响视频传输效率。

技术实现要素：

本发明提供一种视频监控系统远程控制方法及装置，以在保证视频监控内网安全性的同时，提高数据传输效率。

根据本发明的第一方面，提供一种视频监控系统远程控制方法，应用于虚拟服务器，所述虚拟服务器包括第一网卡和第二网卡，所述虚拟服务器通过所述第一网卡接入视频监控内网，并通过所述第二网卡与客户端连接，所述方法包括：

当接收到来自视频监控内网的视频流时，将所述视频流的源互联网协议IP地址替换为所述第二网卡的IP地址，并将所述视频流的目的IP地址替换为请求视频流的客户端的IP地址；其中，所述来自视频监控内网的视频流的目的IP地址为所述第一网卡的IP地址；

将IP地址替换后的视频流发送给该请求视频流的客户端。

根据本发明的第二方面，提供一种视频监控系统远程控制装置，应用于虚拟服务器，所述虚拟服务器包括第一网卡和第二网卡，所述虚拟服务器通过所述第一网卡接入视频监控内网，并通过所述第二网卡与客户端连接，所述装置包括：

接收单元，用于接收来自视频监控内网的视频流；

替换单元，用于将所述视频流的源互联网协议IP地址替换为所述第二网卡的IP地址，并将所述视频流的目的IP地址替换为请求视频流的客户端的IP地址；其中，所述来自视频监控内网的视频流的目的IP地址为所述第一网卡的IP地址；

发送单元，用于将IP地址替换后的视频流发送给该请求视频流的客户端。

应用本发明公开的技术方案，通过在虚拟服务器中部署第一网卡和第二网卡，第一网卡连接视频监控内网，第二网卡连接客户端，当接收到来自视频监控内网的视频流时，将该视频流的IP地址替换为第二网卡的IP地址，目的IP地址替换为请求视频流的客户端的IP地址，并将IP地址替换后的视频流发送给请求视频流的客户端，在保证视频监控内网安全性的前提下，提高了视频数据传输效率。

附图说明

图1是本发明实施例提供一种视频监控系统远程控制方法的流程示意图；

图2是本发明实施例提供的一种具体应用场景的架构示意图；

图3是本发明实施例提供的一种视频监控系统远程控制装置的结构示意图；

图4是本发明实施例提供的另一种视频监控系统远程控制装置的结构示意图。

具体实施方式

为了使本领域技术人员更好地理解本发明实施例中的技术方案，下面先对现有IP攻击防护方案中的远程控制实现原理进行简单说明。

现有技术中，视频监控内网与虚拟服务器之间基于GB28181(一种国家标准)协议或onvif(一种全球性的开放接口标准)协议进行交互，虚拟服务器与外网客户端之间通过RDP(Remote Desktop Protocol，远程桌面协议)进行交互。视频监控内网的控制信令或数据流以GB28181协议格式或onvif协议格式发送给虚拟服务器，由虚拟服务器进行协议格式转换，转换为RDP协议格式后发送给客户端；客户端的控制信令或数据流以RDP协议格式发送给虚拟服务器，由虚拟服务器进行协议格式转换，转换为GB28181协议格式或onvif协议格式后转发给视频监控内网。

可见，上述方案中，无论是视频监控内网发送给外网客户端的控制信令或数据流，或者，外网客户端发送给视频监控内网的控制信令或数据流，均需要在虚拟服务器处进行协议格式转换，影响视频监控内网与外网的交互效率。

为了使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。

请参见图1，为本发明实施例提供的一种视频监控系统远程控制方法的流程示意图，其中，该数据转发方法可以应用于虚拟服务器，如图1所示，该数据转发方法可以包括以下步骤：

步骤101、当接收到来自视频监控内网的视频流时，将该视频流的源IP地址替换为虚拟服务器的第二网卡的IP地址，并将该视频流的目的IP地址替换为请求视频流的客户端的IP地址。

本发明实施例中，为了提高视频监控内网的安全性，虚拟服务器上可以部署两张网卡(本文中称为第一网卡和第二网卡)，虚拟服务器通过第一网卡接入视频监控内网，并通过第二网卡与非视频监控内网的客户端连接，从而保证视频监控内网与外网隔离。

需要说明的是，若未特殊说明，本文中提及的客户端均指非视频监控内网的客户端。

本发明实施例中，当虚拟服务器接收到客户端发送的视频请求时，可以向视频监控内网请求相应地视频流。其中，实况流可以向视频监控前端请求，存储流可以向视频存储设备请求。

当视频监控内网设备(包括视频监控前端或视频监控前端等)接收到视频请求时，可以向虚拟服务器发送视频流，其中，该视频流的目的IP地址为虚拟服务器的第一网卡的IP地址。

当虚拟服务器接收到来自视频监控内网的视频流时，虚拟服务器可以将该视频流的源IP地址替换为第二网卡的IP地址，并将视频流的目的IP地址替换为请求视频流的客户端的IP地址。

步骤102、将IP地址替换后的视频流发送给请求视频流的客户端。

本发明实施例中，虚拟服务器对来自视频监控内网的视频流的源IP地址和目的IP地址进行上述替换之后，可以直接将IP地址替换后的视频流发送给请求视频流的客户端。

可见，在图1所示的方法流程中，通过在虚拟服务器中分别部署第一网卡和第二网卡，虚拟服务器通过第一网卡接入视频监控内网，并通过第二网卡与客户端连接，从而，当虚拟服务器接收到来自视频监控内网的视频流时，将该视频流的源IP地址替换为第二网卡的IP地址，并将视频流的目的IP地址由第一网卡的IP地址替换为请求视频流的客户端的IP地址，并将IP地址替换后的视频流发送给请求视频流的客户端，与现有技术中基于远程桌面技术实现的方案相比，本发明实施例提供的技术方案中，虚拟服务器接收到视频监控内网的视频流时，仅需对视频流进行IP地址替换，而不需要进行较为复杂的协议格式转换，在保证视频监控内网安全性的同时，提高了视频流传输效率。

进一步地，作为一种可选的实施方式，在本发明实施例中，为了进一步提高安全性，当虚拟服务器接收到来自视频监控内网的视频流时，还可以执行以下操作：

将视频流的源端口号替换为预先设定的与请求视频流的客户端的IP地址对应的第一端口号，并将该视频流的目的端口号替换为预先设定的与请求视频流的客户端的IP地址对应的第二端口号。

相应地，在该实施方式中，上述将IP地址替换后的视频流发送给请求视频流的客户端，包括：

将IP地址以及端口号替换后的视频流发送给请求视频流的客户端。

在该实施方式中，为了进一步将视频监控内网与外网隔离，提高视频监控内网的安全性，虚拟服务器接收到来自视频监控内网的视频流时，除了可以按照上述方法流程中描述的对视频流进行IP地址替换之外，还可以对视频流的端口号也进行替换。

举例来说，以数据传输协议为UDP(User Datagram Protocol，用户数据报协议)协议为例，当虚拟服务器接收到来自视频内网的视频流时，虚拟服务器可以将该视频流的源端口号(假设为20000)替换为预先设定的与请求视频流的客户端的IP地址对应的第一端口号(假设为20002)，并将该视频流的目的端口号(假设为30000)替换为预先设定的与请求视频流的客户端的IP地址对应的第二端口号(假设为30002)，即将该视频流的源端口号由20000替换为20002；目的端口号由30000替换为30002。

进一步地，在本发明实施例中，由于视频监控内网与外网处于隔离状态，客户端通过无法向视频监控内网的设备发送报文，而在视频监控领域中，客户端可能会存在对视频监控前端的云台控制需求，因此，为了实现客户端对视频监控前端的云台控制，当客户端想要对视频监控前端的进行云台控制时，客户端可以通过向虚拟服务器发送云台控制报文，由虚拟服务器对该云台控制报文进行IP地址替换后转发给视频监控前端。

相应地，在本发明实施例中，当虚拟服务器接收到客户端发送的云台控制报文时，将云台控制报文的源IP地址替换为第一网卡的IP地址，并将云台控制报文的目的IP地址替换为视频监控前端的IP地址，并将IP地址替换后的云台控制报文发送给视频监控前端。

具体地，在本发明实施例中，当客户端想要对视频监控前端进行云台控制时，客户端可以向虚拟服务器发送云台控制报文，该云台控制报文的源IP地址为该客户端的IP地址，目的IP地址为虚拟服务器的第二网卡的IP地址，当虚拟服务器接收到该云台控制报文时，虚拟服务器可以将该云台控制报文的源IP地址替换为第一网卡的IP地址，并将云台控制报文的目的IP地址替换为视频监控前端的IP地址，并将地址替换后的云台控制报文发送给视频监控前端，以实现视频监控前端的云台控制。

进一步地，本发明实施例中，为了在实现客户端对视频监控前端的云台控制的同时，避免客户端的其它报文对视频监控内网的攻击，虚拟服务器在接收到客户端发送的报文时，需要能够识别该报文是否为云台控制报文，从而，对于云台控制报文，将其进行IP地址替换后转发给视频监控前端；对于非云台控制报文，进行隔离处理，如直接丢弃等。

相应地，在本发明实施例中，可以预先设定用于标识云台控制报文的标识(本文中称为预设标识)，当客户端想要对视频监控前端进行云台控制时，客户端可以在云台控制报文中携带该预设标识；虚拟服务器接收到客户端发送的报文时，也可以根据该报文中是否携带该预设标识确定该报文是否为控制报文。

作为一种可选的实施方式，在本发明实施例中，上述预设标识可以为预设端口号；

相应地，当虚拟服务器接收到客户端发送的报文时，且该报文的目的端口号为上述预设端口号时，确定该报文为云台控制报文。

应该认识到，上述通过预设标识指示报文是否为云台控制报文的实现方式仅仅是本发明实施例中虚拟服务器识别云台控制报文的一种具体示例，而并不是对本发明保护范围的限定。

此外，在本发明实施例中，上述预设标识也不限于预设端口号，也可以是其它标识，如预先约定的一种新增字段，其具体实现本发明实施例不做赘述。

为了使本领域技术人员更好地理解本发明实施例提供的技术方案，下面结合具体应用场景对本发明实施例提供的技术方案进行描述。

请参见图2，为本发明实施例提供的一种具体应用场景的架构示意图，如图2所示，在该应用场景中，虚拟服务器上部署有第一网卡(下文中称为网卡1)和第二网卡(下文中称为网卡2)，其中，网卡1的IP地址为10.0.0.2，位于视频监控内网，安全等级要求高，与外网隔离；网卡2的IP地址为61.0.0.1，位于非视频监控内网，安全等级要求低；处于互联网上的客户端(IP地址为61.0.0.100)远程登录到虚拟服务器的网卡1上；虚拟服务器利用网卡2登录到视频监控内网的服务器上进行相关业务操作。

基于图2所示应用场景，本发明实施例提供的数据转发方案实现如下：

实施例一

摄像头(IP地址为10.0.0.5)发送视频流到虚拟服务器上，该视频流的目的IP地址为虚拟服务器网卡2的IP地址10.0.0.2，源IP地址为10.0.0.5(简记为10.0.0.5→10.0.0.2)。

虚拟服务器接收到该视频流时，不做解码处理，将视频流的源IP地址由10.0.0.5替换为61.0.0.1，目的IP地址由10.0.0.2替换为61.0.0.100，并转发IP地址替换后的视频流。即原10.0.0.5→10.0.0.2的视频流变化为61.0.0.1→61.0.0.100的视频流。

值得说明的是，此时仅仅涉及视频流的源IP地址和目的IP地址的替换，其承载的数据不做任何改变。

客户端接收到视频流后，直接解码即可。

实施例二

摄像头(IP地址为10.0.0.5)发送视频流到虚拟服务器上，假设数据传输协议为UDP协议，视频流源端口号为20000，源IP地址为10.0.0.5，视频流的目的IP地址为虚拟网卡2的IP地址10.0.0.2，目的端口号为30000(简记为10.0.0.5:20000→10.0.0.2:30000)。

虚拟服务器接收到该视频流时，不进行解码处理，将视频流的源IP地址由10.0.0.5替换为61.0.0.1，源端口号由20000替换为20002，目的IP地址由10.0.0.2替换为61.0.0.100，目的端口号由30000替换为30003，即原10.0.0.5：20000→10.0.0.2：30000的视频流变化为61.0.0.1：20002→61.0.0.100：30003的视频流。

基于以上转换信息，虚拟服务器可以建立如下转发表：

实施例三

当客户端需要对摄像机进行云台控制时，客户端向虚拟机发送云台控制报文，云台控制报文的源IP地址为61.0.0.100，目的IP地址为61.0.0.1，目的UDP端口号为66666(假设预先预定目的UDP端口号为66666的报文为云台控制报文)。

虚拟服务器接收到该报文时，获取该报文的目的UDP端口号，发现该报文的目的UDP端口号为66666，确定该报文为云台控制报文，进而，虚拟服务器将该报文的源IP地址由61.0.0.100替换为10.0.0.2，目的IP地址由61.0.0.1替换为10.0.0.5，并将IP地址替换后的云台控制报文转发给摄像头，从而，在保证视频监控内网安全隔离的前提下，客户端控制摄像机云台的控制信令能顺利达到摄像机，以此达到对摄像机进行云台控制的目的。

通过以上描述可以看出，在本发明实施例提供的技术方案中，通过在虚拟服务器中部署第一网卡和第二网卡，第一网卡连接视频监控内网，第二网卡连接客户端，当接收到来自视频监控内网的视频流时，将该视频流的IP地址替换为第二网卡的IP地址，目的IP地址替换为请求视频流的客户端的IP地址，并将IP地址替换后的视频流发送给请求视频流的客户端，在保证视频监控内网安全性的前提下，提高了视频数据传输效率。

请参见图3，为本发明实施例提供的一种视频监控系统远程控制装置的结构示意图，其中，该报文转发装置可以应用于上述方法实施例中的虚拟服务器，如图3所示，该数据转发装置可以包括：

接收单元310，用于接收来自视频监控内网的视频流；

替换单元320，用于将所述视频流的源互联网协议IP地址替换为所述第二网卡的IP地址，并将所述视频流的目的IP地址替换为请求视频流的客户端的IP地址；其中，所述来自视频监控内网的视频流的目的IP地址为所述第一网卡的IP地址；

发送单元330，用于将IP地址替换后的视频流发送给该请求视频流的客户端。

在可选实施例中，所述替换单元320，还可以用于将所述视频流的源端口号替换为预先设定的与所述请求视频流的客户端的IP地址对应的第一端口号，并将所述视频流的目的端口号替换为预先设定的与所述请求视频流的客户端的IP地址对应的第二端口号；

所述发送单元330，可以具体用于将IP地址以及端口号替换后的视频流发送给该请求视频流的客户端。

在可选实施例中，所述接收单元310，还可以用于接收客户端发送的云台控制报文；

所述替换单元320，还可以用于将所述云台控制报文的源IP地址替换为所述第一网卡的IP地址，并将所述云台控制报文的目的IP地址替换为视频监控前端的IP地址；

所述发送单元330，还可以用于将IP地址替换后的云台控制报文发送给视频监控前端。

请一并参见图4，为本发明实施例提供的另一种视频监控系统远程控制装置的结构示意图，如图4所示，在图3所示视频监控系统远程控制装置的基础上，图4所示视频监控系统远程控制装置还可以包括：

确定单元340，用于当所述接收单元310接收到客户端发送的报文，且该报文中携带有预设标识时，确定所述报文为云台控制报文；其中，所述预设标识用于指示携带该标识的报文为云台控制报文。

在可选实施例中，所述预设标识为预设端口号；

相应地，所述确定单元340，可以具体用于当所述接收单元310接收到客户端发送的报文，且该报文的目的端口号为所述预设端口号时，确定所述报文为云台控制报文。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

由上述实施例可见，通过在虚拟服务器中部署第一网卡和第二网卡，第一网卡连接视频监控内网，第二网卡连接客户端，当接收到来自视频监控内网的视频流时，将该视频流的IP地址替换为第二网卡的IP地址，目的IP地址替换为请求视频流的客户端的IP地址，并将IP地址替换后的视频流发送给请求视频流的客户端，在保证视频监控内网安全性的前提下，提高了视频数据传输效率。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。