专利名称:跨网络视频会议的控制方法
技术领域:
本发明涉及通信领域,更具体地说,涉及一种跨网络视频会议的控制方法。
背景技术:
近年来,网络技术的飞速发展的同时,产生了一些安全问题,例如黑客入侵、网络泄密等。为了保护信息不被泄露,各行业部门普遍部署了防火墙或物理隔离等安全设备,在逻辑上甚至在物理上隔离了内网和外网。实行内部网和公共网的物理隔离,可确保内部网不会受到外部公共网络的非法攻击。同时,实行物理隔离也为涉密计算机及信息系统划定了明确的安全边界,使得网络的可控性增强,便于内部管理和防范。日前,物理隔离技术已成为网络安全保密体系中不可缺少的重要手段,越来越受到各部门、各单位的高度重视。另一方面,随着视频会议在各个行业的广泛部署,用户提出了针对内网与外网处·于隔离状态下的视频通信需求。目前,对于逻辑上隔离的网络,已经有一些成熟的解决方案,如H460代理、应用层网关、反向连接技术等,但这些技术均通过互联网来传输信令和数据,容易给内网引入不安全因素,并且这些技术对物理上隔离的网络无能为力。因此,如何让视频会议系统穿越错综复杂的网络环境,进行跨网络的视频通信,同时避免网络攻击和信息泄密,已经成为各大视频会议厂商面临的首要问题。
发明内容
本发明的目的在于提供一种能实现跨网络视频会议的技术方案,其能穿越逻辑隔离的网络以及物流隔离的网络进行视频会议,并能有效防止网络攻击和信息泄密。为实现上述目的,本发明一种技术方案如下一种跨网络视频会议的控制方法,用于多点控制单元控制至少一个第一资源终端通过与第一资源终端配对的第二资源终端与至少一个会议终端进行跨越第一网络和第二网络的视频会议,第一、第二资源终端至少包括参加视频会议所需的网络硬件资源,多点控制单元和第一资源终端位于第一网络,第二资源终端和会议终端位于第二网络,该控制方法包括如下步骤1)、多点控制单元选用一组空闲的资源终端对,所述资源终端对由一第一资源终端和一第二资源终端构成;2)、多点控制单元呼叫步骤I)中选用的第一资源终端并向该第一资源终端传送第一控制信令;3)、选用的第一资源终端根据第一控制信令与步骤
I)中选用的第二资源终端建立通信连接并向该第二资源终端传送第二控制信令;4)、选用的第二资源终端根据第二控制信令呼叫会议终端并与其进行视频通信;5)、选用的第一资源终端与选用的第二资源终端进行视频通信。优选地,步骤3)中具体包括选用的第一资源终端与第二资源终端通过串口建立通信连接,用于传送第二控制信令。优选地,步骤5)中具体包括选用的第一资源终端与第二资源终端通过音视频线缆进行视频通信。
优选地,第一控制信令包括会议终端的连接信息、要求选用的第一资源终端与第二资源终端建立通信连接的信令;第二控制信令包括选用的第一资源终端与第二资源终端连接握手信令、会议终端的连接信息、要求选用的第二资源终端开启呼叫的信令。优选地,会议终端的连接信息包括视频会议所用的视频码率和会议终端的网络地址。优选地,步骤3)之后还包括一定时检查步骤,其与步骤4)同步进行多点控制单元定时检查选用的第一资源终端和第二资源终端之间的通信连接状态。优选地,定时检查步骤后还包括重启步骤若定时检查步骤检查出选用的第一资源终端和第二资源终端之间断接,则回到步骤I),并继续执行后续步骤。为实现上述目的,本发明又一技术方案如下
一种跨网络视频会议装置,用于与至少一个会议终端进行跨越第一网络和第二网络的视频会议,该会议终端位于第二网络,该装置包括一多点控制单元,位于第一网络;至少一组资源终端对,资源终端对由一位于第一网络的第一资源终端和一位于第二网络的第二资源终端构成,第一、第二资源终端至少包括参加视频会议所需的网络硬件资源;其中,多点控制单元选用一组空闲的资源终端对,以及呼叫选用的第一资源终端并传送第一控制信令;选用的第一资源终端根据第一控制信令与选用的第二资源终端建立通信连接并向该第二资源终端传送第二控制信令,以及与该第二资源终端进行视频通信;选用的第二资源终端根据第二控制信令呼叫会议终端并与该会议终端进行视频通信。为实现上述目的,本发明再一技术方案如下一种跨网络视频会议系统,用于进行跨越第一网络和第二网络的视频会议,该系统包括本发明提供的跨网络视频会议装置以及至少一个会议终端,会议终端位于第二网络,跨网络视频会议装置呼叫该会议终端,并与其进行视频通信。本发明先以第一网络的一个第一资源终端与第二网络的一个第二资源终端建立安全的视频通信连接,再以该第二资源终端与同在第二网络侧的会议终端进行视频通信;从而实现了第一网络的第一资源终端与第二网络的会议终端的视频通信。无论第一网络和第二网络被逻辑隔离还是被物理隔离,根据这种方案均可以顺利地进行跨网络的视频会议。同时,该方案可以有效地防止网络攻击和信息泄密。
图I示出本发明第一实施例的跨网络视频会议的控制方法的流程图;图2示出本发明第二实施例的跨网络视频会议的控制方法的流程图;图3示出本发明第三实施例的跨网络视频会议装置的结构示意图。
具体实施例方式下面结合附图,对本发明的具体实施方式
作进一步的详细说明。需要说明的是,在本发明的以下任一实施例中,第一网络包含有至少一个第一资源终端,第二网络也包含有至少一个第二资源终端,第一、第二资源终端均具有参加视频会议所需的网络硬件资源,一个第一资源终端和一个第二资源终端组成了一个资源终端对。根据本发明的第一实施例,如图I所示,提供了一种跨网络视频会议的控制方法,用于多点控制单元(Multipoint Control Unit,简称为MCU)控制至少一个第一资源终端通过与该第一资源终端配对的第二资源终端与会议终端进行跨越第一网络和第二网络的视频会议。其中,多点控制单元和第一资源终端位于第一网络侧,第二资源终端和会议终端位于第二网络侧。在本实施例中,多组空闲的资源终端对组成了一个空闲资源池,该空闲资源池由位于第一网络侧的MCU控制。第一实施例提供的控制方法包括如下步骤S10、MCU从空闲资源池中选用一组空闲的资源终端对,其包括一个空闲的第一资源终端和与其配对的、一个空闲的第二资源终端; S20、MCU呼叫选用的第一资源终端并向该第一资源终端传送第一控制信令;S30、选用的第一资源终端根据该第一控制信令和与其配对选用的第二资源终端建立通信连接,并向该第二资源终端传送第二控制信令;S41、该第二资源终端根据该第二控制信令呼叫第二网络侧的会议终端并与其进行视频通信,互相传送音频视频信息;S51、该第一资源终端再与该第二资源终端进行视频通信,互相传送音频视频音频信息。在本实施例中,第一资源终端和与其配对的第二资源终端在物理位置上接近,通常由第一网络的所有者或使用者统一配置;两者在逻辑上则是分离的,分别位于第一网络和第二网络。根据本发明进一步的实施例,上述步骤S30中,选用的第一资源终端和配对的第二资源终端通过串口建立通信连接,并传送第二控制信令。进一步地,在步骤S51中,选用的第一资源终端和配对的第二资源终端通过音视频线缆进行视频通信,音视频线缆专用于传送音频和视频数据。更具体地,与TCP/IP等网络通信方式不同的是,串口通信可以屏蔽许多网络攻击及网络泄密;通过对串口通信协议的特别约定,这种屏蔽更加安全。在选用的第一资源终端和与其配对的第二资源终端进行视频通信时,使用音视频线缆将该第一资源终端的音视频输出端口连接到配对的第二资源终端的音视频输入端口,将配对的第二资源终端的音视频输出端口连接到该第一资源终端的音视频输入端口。本领域技术人员理解,第一网络和第二网络可以为不同的网络,两者之间不能直接互相访问,比如第一网络为被网络隔离单元隔离的内网或局域网,相应地,第二网络为外网或公共网络。为实现内网用户能与外网用户进行视频会议,本发明先以内网的一个第一资源终端与外网的一个第二资源终端建立安全的视频通信连接,再以该第二资源终端与同在外网侧的会议终端进行视频通信。一方面,从外网仅能看到第二资源终端,即使外网对该第二资源终端进行攻击,这种攻击也会因为第二资源终端与第一资源终端之间安全的视频通信而被屏蔽;另一方面,从内网侧看不到任何外网用户,即使第一资源终端向第二资源终端传送保密信息,也会被这种安全的视频通信屏蔽。从而本发明以外网侧的第二资源终端作为中介实现了内网侧的终端用户与外网侧的终端用户的视频会话,并有效防止了外网对内网的攻击以及内网信息泄密。第一网络各网络终端之间和第二网络各网络终端之间也可以因为分别使用不同的通信协议,从而第一网络的网络终端无法直接访问第二网络的网络终端;对此,本发明同样以第二网络侧的第二资源终端作为中介实现第一网络侧终端用户与第二网络侧终端用户的视频对话,并有效防止第二网络对第一网络的入侵以及第一网络向第二网络的信息泄
r I I O类似地,在以下情况下,例如第一网络为需要信息保密的局域网或内部网,第二网络为城域网或广域网,或者第二网络为需要信息保密的局域网或内部网,而第一网络为城域网或广域网,又或者第一网络终端之间和第二网络终端之间分别使用不同的通信协议,又或者第一、第二网络为一个整体网络的不同子网,均不脱离本发明的保护范围。
进一步地,第一控制信令包括第二网络侧会议终端的连接信息、要求选用的第一资源终端与第二资源终端建立通信连接的信令;第二控制信令包括选用的第一资源终端与第二资源终端连接握手信令、第二网络侧会议终端的连接信息、要求选用的第二资源终端开启呼叫的信令。其中,第二网络侧会议终端的连接信息先由MCU传送给选用的第一资源终端,再由该第一资源终端传送给与其配对选用的第二资源终端,用于该第二资源终端向同侧的会议终端发起会话呼叫。更具体地,第二网络侧会议终端的连接信息至少应包括视频会议所用的视频码率和该会议终端的网络地址。第二网络侧会议终端的连接信息确保该会议终端会收到来自同侧的第二资源终端的呼叫,并以相同的视频码率进行视频会话。本领域技术人员理解,在一个视频会议开始后,若又有一个或多个视频会议需要召开,即在第二网络侧又出现了一个或多个会议终端等待呼叫并进行视频会话,只需要再从头执行一次本发明的控制方法,即由MCU再选用新的一组空闲的资源终端对,并继续执行后续的步骤。根据本发明的第二实施例,如图2所示,在上述步骤S30之后还包括步骤S42 =MCU定时检查选用的第一资源终端和第二资源终端之间的通信连接状态。该步骤S42与步骤S41及后续的步骤S51同步进行,在软件实现过程中可以启动另一线程执行。本领域技术人员理解,在选用的第一资源终端和第二资源终端之间建立有通信连接,当通信连接断开时,视频会议也即告终止。故本发明还包括步骤S52 :若步骤S42发现选用的第一资源终端和第二资源终端之间连接断开,即回到步骤S10,即重新选用一组空闲的资源终端对,并继续后面的步骤,这样可以迅速恢复视频会议。进一步地,第一控制信令包括第二网络侧会议终端的连接信息、要求选用的第一资源终端与第二资源终端建立通信连接的信令、第一网络侧MCU定时检查选用的第一资源终端与第二资源终端之间通信连接状态的信令;第二控制信令包括选用的第一资源终端与第二资源终端连接握手信令、第二网络侧会议终端的连接信息、要求选用的第二资源终端开启呼叫的信令、以及第一网络侧MCU定时检查选用的第一资源终端与第二资源终端之间通信连接状态的信令。更具体地,第二网络侧会议终端的连接信息包括视频会议所用的视频码率和该会议终端的网络地址。根据本发明的任一实施例,选用的第一资源终端与第二资源终端之间的串口通信采用一私有协议,也即自定义的协议,任何不符合这种协议规定的数据都将被屏蔽,从而有效避免了网络攻击和网络泄密,跨网络视频会议更加安全。进一步地,在步骤S20中,MCU采用H. 323协议或SIP协议呼叫选用的第一资源终端。在步骤S41中,配对的第二资源终端也可以采用H. 323协议或STP协议呼叫同侧的会议终端并与其进行视频通信。其他可以发起视频会议呼叫和视频通信的协议,也可以用于本发明的实施例中。当第一网络和第二网络分别为被一网络隔离单元隔离的内网和外网时,根据隔离措施的不同,又可以将网络隔离单元分为物理隔离单元和逻辑隔离单元。不论网络隔离单元为何种类型,本发明实施例的执行步骤均相同并能带来同样的技术效果,即在进行跨网络的视频会议的同时,有效避免网络攻击和网络泄密。当网络隔离单元为一物理隔离单元时,其从物理上将内网和外网隔离开来,从而内网和外网没有任何公用的存储信息,有益于保证计算机或用户终端的数据在网际间不被 重用。可选地,物理隔离单元可以为一物理隔离网闸,其包括专用安全隔离切换装置(数据暂存区)、内部处理单元和外部处理单元,专用安全隔离切换装置分别连接内部处理单元和外部处理单元,内部处理单元仅负责内网数据的处理,外网处理单元仅负责外网数据的处理。这种设计保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元,从而实现内外网的安全隔离。可选地,物理隔离单元还可以为一安装有双硬盘物理隔离卡的计算机,其双硬盘采用切换SATA或IDE硬盘数据线方式,在同一时间只有一块硬盘在工作,另一块硬盘断电,从而实现内外信息的安全隔离,防止泄密。当网络隔离单元为一逻辑隔离单元时,比如为一防火墙,其从逻辑上将将内网和外网隔离开来。为了在内网和外网之间创建一阻挡层,防火墙通常会使用到NAT(网络地址转换)或NAPT (网络地址及端口转换)。本发明提供的跨网络视频会议的控制方法,允许基于UDP分组的数据穿越那些使用NAT或NAPT的防火墙,而不用改变防火墙的设置。如图3所示,根据本发明的第三实施例,提供了一种跨网络视频会议装置,用于与至少一个会议终端21进行跨越第一网络10和第二网络20的视频会议,会议终端21位于第二网络20,第一网络10和第二网络20被一网络隔离单元30隔离,该装置包括至少一组资源终端对和一个位于第一网络10的多点控制单元11。其中,多点控制单元11用于选用一组空闲的资源终端对12、22,以及呼叫选用的第一资源终端12并传送第一控制信令;选用的第一资源终端12用于根据第一控制信令,与选用的第二资源终端22建立通信连接并向该第二资源终端22传送第二控制信令,以及与该第二资源终端22进行视频通信;选用的第二资源终端22用于根据第二控制信令,呼叫会议终端21并与该会议终端21进行视频通信。进一步地,选用的第一资源终端12与第二资源终端22通过串口建立通信连接,用于传送所述第二控制信令。进一步地,选用的第一资源终端12与第二资源终端22通过音视频线缆进行视频通信。本发明第三实施例提供的跨网络视频会议装置,可与任何一个或多个现有的视频会议终端进行跨网络的视频会议,不再需要其他配件。组装好该装置后,其接入方便,将其与视频会议终端接入同一网络下,即可开始跨网络的视频会议,且能有效防止网络攻击及信息泄密。当有新的视频会议需要召开时,本发明提供的跨网络视频会议装置可以凭借一组新的空闲的资源终端对而继续开启新的视频会议。根据本发明的第四实施例,提供了一种跨网络视频会议系统,用于进行跨越第一网络和第二网络的视频会议,该系统包括本发明第三实施例中提供的跨网络视频会议装置以及至少一个视频会议终端,该视频会议终端位于第二网络,跨网络视频会议装置呼叫该视频会议终端,并与其进行视频通信。进一步地,该系统中的跨网络视频会议装置采用H. 323协议或SIP协议呼叫该系统中的视频会议终端并与其进行视频通信。本发明第四实施例提供的跨网络视频会议系统,无需任何其他配件,即可进行跨网络的视频会议,且能有效防止网络攻击及信息泄密。需要说明的是,根据本发明的实施例,无论第一网络与第二网络以何种方式不同,以及无论多点控制单元或会议终端位于第一网络或者第二网络,对本发明的实施而言均不造成影响,且能同样实现本发明的技术效果,故类似的变形方式均落入本发明的保护范围。以上所述的仅为本发明的优选实施例,所述实施例并非用以限制本发明的专利保护范围,因此凡是运用本发明的说明书及附图内容所作的等同结构变化,同理均应包含在本发明的保护范围内。权利要求
1.一种跨网络视频会议的控制方法,用于多点控制单元控制至少一个第一资源终端通过与所述第一资源终端配对的第二资源终端与至少一个会议终端进行跨越第一网络和第二网络的视频会议,所述第一、第二资源终端至少包括参加视频会议所需的网络硬件资源, 所述多点控制单元和所述第一资源终端位于所述第一网络,所述第二资源终端和所述会议终端位于所述第二网络,所述控制方法包括如下步骤1)、所述多点控制单元选用一组空闲的资源终端对,所述资源终端对由一所述第一资源终端和一所述第二资源终端构成;2)、所述多点控制单元呼叫所述步骤I)中选用的第一资源终端并向该第一资源终端传送第一控制信令;3)、所述选用的第一资源终端根据所述第一控制信令与所述步骤I)中选用的第二资源终端建立通信连接并向该第二资源终端传送第二控制信令;4)、所述选用的第二资源终端根据所述第二控制信令呼叫所述会议终端并与其进行视频通信;5)、所述选用的第一资源终端与所述选用的第二资源终端进行视频通信。
2.如权利要求I所述的跨网络视频会议的控制方法,其特征在于,所述步骤3)中具体包括所述选用的第一资源终端与第二资源终端通过串口建立通信连接,用于传送所述第二控制信令。
3.如权利要求I所述的跨网络视频会议的控制方法,其特征在于,所述步骤5)中具体包括所述选用的第一资源终端与第二资源终端通过音视频线缆进行视频通信。
4.如权利要求I所述的跨网络视频会议的控制方法,其特征在于,所述第一网络和第二网络分别为被一网络隔离单元隔离的内网和外网。
5.如权利要求I所述的跨网络视频会议的控制方法,其特征在于,所述第一网络包括多个所述第一资源终端,所述第二网络包括多个所述第二资源终端,所述第一资源终端之间使用的网络通信协议与所述第二资源终端之间使用的网络通信协议不同。
6.如权利要求4或5所述的跨网络视频会议的控制方法,其特征在于,所述第一控制信令包括所述会议终端的连接信息、要求所述选用的第一资源终端与第二资源终端建立通信连接的信令;所述第二控制信令包括所述选用的第一资源终端与第二资源终端连接握手信令、所述会议终端的连接信息、要求所述选用的第二资源终端开启呼叫的信令。
7.如权利要求6所述的跨网络视频会议的控制方法,其特征在于,所述会议终端的连接信息包括所述视频会议所用的视频码率和所述会议终端的网络地址。
8.如权利要求I所述的跨网络视频会议的控制方法,其特征在于,在所述步骤3)之后还包括一定时检查步骤,其与所述步骤4)同步进行所述多点控制单元定时检查所述选用的第一资源终端和第二资源终端之间的通信连接状态。
9.如权利要求8所述的跨网络视频会议的控制方法,其特征在于,在所述定时检查步骤后还包括重启步骤若所述定时检查步骤检查出所述选用的第一资源终端和第二资源终端之间断接,则回到所述步骤I),并继续执行后续步骤。
10.如权利要求8或9所述的跨网络视频会议的控制方法,其特征在于,所述第一、第二控制信令还包括所述多点控制单元定时检查所述选用的第一资源终端和第二资源终端之间的通信连接状态的信令。
11.如权利要求2所述的跨网络视频会议的控制方法,其特征在于,所述步骤3)中,所述选用的第一资源终端和第二资源终端之间的串口通信采用私有协议。
12.如权利要求I所述的跨网络视频会议的控制方法,其特征在于,所述步骤2)中,所述多点控制单元采用H. 323协议或SIP协议呼叫所述选用的第一资源终端。
13.如权利要求I所述的跨网络视频会议的控制方法,其特征在于,所述步骤4)中,所述选用的第二资源终端采用H. 323协议或SIP协议呼叫所述会议终端并与其进行视频通 目。
14.如权利要求4所述的跨网络视频会议的控制方法,其特征在于,所述网络隔离单元为一物理隔离单元,其从物理上将所述内网和外网隔离开来。
15.如权利要求14所述的跨网络视频会议的控制方法,其特征在于,所述物理隔离单元为安装有双硬盘物理隔离卡的计算机。
16.如权利要求14所述的跨网络视频会议的控制方法,其特征在于,所述物理隔离单元为物理隔离网闸。
17.如权利要求4所述的跨网络视频会议的控制方法,其特征在于,所述网络隔离单元为防火墙,其从逻辑上将将所述内网和外网隔离开来。
18.如权利要求17所述的跨网络视频会议的控制方法,其特征在于,所述防火墙为NAT 防火墙。
19.如权利要求17所述的跨网络视频会议的控制方法,其特征在于,所述防火墙为 NAPT防火墙。
20.一种跨网络视频会议装置,用于与至少一个会议终端进行跨越第一网络和第二网络的视频会议,所述会议终端位于所述第二网络,所述装置包括一多点控制单元,位于所述第一网络;至少一组资源终端对,所述资源终端对由一位于所述第一网络的所述第一资源终端和一位于所述第二网络的所述第二资源终端构成,所述第一、第二资源终端至少包括参加视频会议所需的网络硬件资源;其中,所述多点控制单元选用一组空闲的所述资源终端对,以及呼叫选用的第一资源终端并传送第一控制信令;所述选用的第一资源终端根据所述第一控制信令与选用的第二资源终端建立通信连接并向该第二资源终端传送第二控制信令,以及与该第二资源终端进行视频通信;所述选用的第二资源终端根据所述第二控制信令呼叫所述会议终端并与该会议终端进行视频通信。
21.如权利要求20所述的跨网络视频会议装置,其特征在于,所述选用的第一资源终端与第二资源终端通过串口建立通信连接,用于传送所述第二控制信令。
22.如权利要求20或21所述的跨网络视频会议装置,其特征在于,所述选用的第一资源终端与第二资源终端通过音视频线缆进行视频通信。
23.一种跨网络视频会议系统,用于进行跨越第一网络和第二网络的视频会议,所述系统包括如权利要求20所述的跨网络视频会议装置以及至少一个会议终端,所述会议终端位于所述第二网络,所述跨网络视频会议装置呼叫该会议终端,并与其进行视频通信。
24.如权利要求23所述的跨网络视频会议系统,其特征在于,所述跨网络视频会议装置采用H. 323协议或SIP协议呼叫所述会议终端并 与其进行视频通信。
全文摘要
一种跨网络视频会议的控制方法,用于多点控制单元控制第一资源终端通过与其配对的第二资源终端与会议终端进行跨越第一、第二网络的视频会议,多点控制单元和第一资源终端位于第一网络,第二资源终端和会议终端位于第二网络,该控制方法包括多点控制单元选用一组空闲的资源终端对;多点控制单元呼叫选用的第一资源终端并传送第一控制信令;选用的第一资源终端与第二资源终端建立通信连接并传送第二控制信令;选用的第二资源终端呼叫会议终端并与其进行视频通信;选用的第一资源终端与第二资源终端进行视频通信。该方法能穿越逻辑隔离的网络以及物流隔离的网络进行视频会议,并能有效防止网络攻击和信息泄密。
文档编号H04L29/06GK102710651SQ20121019248
公开日2012年10月3日 申请日期2012年6月12日 优先权日2012年6月12日
发明者芮义根 申请人:苏州科达科技有限公司