音视频访问控制网关设备的制作方法与工艺

本发明涉及网络安全领域，尤其涉及一种音视频访问控制网关设备。

背景技术：
在公安、武警等行业，以及在电力、石化等能源行业的大型企业中，传统上都有音视频调度系统，该系统采用语音和视频进行调度指挥下属单位，进行协同工作。随着IT技术的迅速发展，移动通信和智能终端极大普及，语音调度向基于SIP（SessionInitiationProtocol，会话起始协议）协议的多网系融合通信方向发展，语音调度不在是单纯地以电话调度为主，而是综合了各种语音终端的调度，包括传统的有线电话，IP电话，可视电话，手机，PAD，卫星电话等等。视频调度系统也不再是单一的视频会议网络系统，视频的调度需要跨越多个网络，接入的设备包括台式机，笔记本，PAD等，可通过其他业务网络和视频监控网络系统融合，形成综合的视频调度系统。因此，上述音视频调度系统也不再是一堆硬件组成的、固定的调度台，且只部署在指挥中心，而是向软调度台发展，主要以软件为主，安装在各种智能设备上，既可以固定，也可以移动。上述音视频调度系统正在改变传统意义上的语音和视频调度模式，在网络上多种网系之间传递音视频数据和访问控制信息。这样，势必在网络接入的边界和各个网系融合点，要考虑安全访问控制问题，否则，非常容易造成整个网络受攻击和遭受病毒入侵。目前，音视频综合调度需要跨网系进行访问控制和信息传输，对网络的安全提出了新的要求，特别是接入的终端类型多，通信协议多，传统电话交换网络和IP网络不断融合，电话交换向软交换发展，各种智能终端设备的不断涌现，如何防止设备的非授权使用？如何防止利用接入终端对网络的恶意攻击？如何防止木马、病毒、入侵、数据泄密和篡改等威胁？这些问题越来越需要亟待解决。在核心IP网络上普遍采用防火墙，入侵检测等，都是针对数据网系进行安全保护，根据使用和服务的类型进行分区保护。由于防火墙本身是基于TCP（TransmissionControlProtocol，传输控制协议）/IP协议体系实现的，所以它无法解决TCP/IP协议体系中存在的漏洞。而对于这种音视频调度平台，通过跨网系进行访问控制和信息传输，目前还没有好的安全防护方法。

技术实现要素：
本发明的实施例提供了一种音视频访问控制网关设备，以实现音视频调度系统中的信息安全。一种音视频访问控制网关设备，包括：前置处理单元、控制处理单元和后置处理单元，所述前置处理单元和接入网端连接，所述的后置处理单元和核心网端连接，所述的控制处理单元将所述接入网端和所述核心网端进行隔离，在接入网端与内部核心网端之间进行内容过滤、入侵检测、操作日志审计和访问控制处理。由上述本发明的实施例提供的技术方案可以看出，本发明实施例通过利用音视频访问控制网关设备将接入网端和核心网端进行隔离，在接入网端与内部核心网端之间进行内容过滤、入侵检测、操作日志审计和访问控制处理。从而可以控制语音、视频网上传输，解决TCP/IP协议体系中存在的音视频信息的安全漏洞，对网络和安全域边界进行安全隔离或系统加固，保护综合通信网络核心数据资源安全可控。附图说明为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种音视频访问控制网关设备的实现原理示意图；图2为本发明实施例提供的一种音视频访问控制网关设备的具体结构示意图；图3为本发明实施例提供的一种音视频访问控制网关设备中的前置处理单元的具体结构示意图；图4为本发明实施例提供的一种音视频访问控制网关设备中的后置处理单元的具体结构示意图；图5为本发明实施例提供的一种音视频访问控制网关设备中的控制处理单元的具体结构示意图。具体实施方式为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。本发明实施例提供的一种音视频访问控制网关设备的实现原理如图1所示，具体结构示意图如图2所示，包括：前置处理单元1、控制处理单元2和后置处理单元3。上述音视频访问控制网关设备将接入网端和核心网端进行隔离，在接入网端与内部核心网端之间进行音视频访问控制，结合物理层断开技术、链路层断开技术、TCP/IP协议剥离和重建技术以及应用协议的剥离和重建技术，实现不同安全等级网络的音视频数据的安全、可靠传输。上述的前置处理单元和接入网端连接，具体结构如图3所示，包括：前置视频数据接收模块31，用于通过单向光纤所构成的视频输入通道接收控制处理单元发送过来的来自后置处理单元的视频数据。前置音频数据接收模块32，用于通过单向光纤所构成的音频输入通道接收控制处理单元发送过来的来自后置处理单元的音频数据前置视频数据发送模块33，用于通过单向光纤所构成的视频输出通道向控制处理单元发送的来自接入网端的视频数据。前置音频数据发送模块34，用于通过单向光纤所构成的音频输出通道向控制处理单元发送的来自接入网端的音频数据。上述的后置处理单元和核心网端连接，具体结构如图4所示，具体包括：后置视频数据接收模块41，用于通过单向光纤所构成的视频输入通道接收控制处理单元发送过来的来自前置处理单元的视频数据。后置音频数据接收模块42，用于通过单向光纤所构成的音频输入通道接收控制处理单元发送过来的来自前置处理单元的音频数据。后置视频数据发送模块43，用于通过单向光纤所构成的视频输出通道向控制处理单元发送的来自核心网端的视频数据。后置音频数据发送模块44，用于通过单向光纤所构成的音频输出通道向控制处理单元发送的来自核心网端的音频数据。上述控制处理单元2和前置处理单元1、后置处理单元3连接，主要功能包括网络设备和用户认证接入、音视频数据分/合流、控制信令的提取、协议解析、规则匹配、内容过滤和单向传输等，具体结构如图5所示，具体包括：安全隔离模块51，用于通过硬件隔离部件实现接入网端和核心网端之间的安全隔离，彻底阻断接入网端和核心网端之间的TCP/IP等通信连接和其他网络协议。内容过滤模块52、用于根据用户定制的安全策略预先设置和存储音视频数据的各种内容过滤规则，该内容过滤规则可以根据数据类型（音频数据或者视频数据）、协议类型（TCP或者UDP等）、数据传输方向（从前置处理单元到后置处理单元或者从后置处理单元到前置处理单元）、用户类型（高级用户或者低级用户）、数据QoS（QualityofService，服务质量）要求等因素而设定。该内容过滤规则中可以包括关键字过滤、名单过滤、图像过滤、语音内容过滤等。对前置处理单元和后置处理单元之间通信的音视频数据进行协议解析、数据包解析，获取上述音视频数据的数据类型、协议类型、数据传输方向、用户类型、数据QoS要求等信息，根据获取的信息确定上述音视频数据对应的过滤规则，利用该过滤规则对前置处理单元和后置处理单元之间通信的音视频数据的内容进行过滤。上述内容过滤模块具体包括：关键字和名单过滤子模块：采用基于特征匹配的DPI（DeepPacketInspection，深度报文检测）方法对音视频数据的数据包进行内容提取，利用上述对应的过滤规则对提取出来的数据包的内容和名单进行过滤处理，使得网络安全隔离可以从链路层到应用层协议字段的过滤进行控制，以及应用数据中关键字和名单的过滤控制，通过协议解析和剥离，对数据的传输进行控制，并对控制信令进行检查和内容过滤，仅允许合法的音视频传输协议，音视频数据通过，除此之外的所有数据都能阻断。语音内容过滤规则子模块：在大多数垃圾广告电话、恶意的骚扰电话的通信过程中，往往是接收方首先挂断，即首先发送bye消息。通过对语音内容的信令执行有效的信令行为统计特性分析，能够有效地判定垃圾广告电话、恶意的骚扰电话的传播行为并对相应的呼叫进行分类标记，从而定义传输控制策略及过滤手段（如黑名单、白名单、灰名单、语音图灵测试、反向身份查询及验证等）做出呼叫属性的最终判断，并执行相应的处置操作。图像过滤规则子模块：首先用肤色检测模型对过滤图像进行肤色检测，然后用纹理检测模型对肤色掩码图像进行确认，最后计算出特征向量送到训练好的分类器进行分类决策。本发明实施例采用基于Gabor函数和多层次识别的敏感图像过滤算法，该算法在利用统计颜色模型对待检图像进行肤色检测的基础上，采用Sobel算子与Gabor滤波器相结合的方法提取图像的肤色特征和纹理特征，并利用RBF神经网络和支持向量机对敏感图像进行多层次过滤识别。入侵检测模块53、用于实时监视前置处理单元和后置处理单元之间通信的音视频数据流，通过会话跟踪技术将网络安全域内的通信按连接划分并记录，它能够全面反应网络通信连接的状况。会话跟踪技术记录了网络通信的客户方（发起方）和服务器方（服务提供方）的全部通信轨迹。会话跟踪技术对各个独立的数据包连接进行会话跟踪，使系统不仅能够处理单包数据，而且能够根据会话的上下文进行分析，更有效地进行模式识别。对于每一个数据包，提取它的源IP地址和目的IP地址，查找主机对链和连接对链。当系统内已经存在了这样一个连接对的时候，根据需要修改该连接对的一些状态标志，以便进行诸如SYNFLOODING等攻击的监测识别，保存该主机对链元素和连接对链元素的地址，传递给高层应用处理。若系统内部不存在这样的主机对或连接对，则需要建立这些结构，填写这些结构中的必要信息，以便进行诸如SYNFLOODING等攻击的监测识别。保存该主机对链元素和连接对链元素的地址，传递给高层应用处理。分析网络通信会话轨迹，能够根据网络数据流和网络通信会话轨迹，采用统计分析、贝叶斯推理和模式预测等方法，进行特征检测、异常检测、状态检测，以及定制的网络安全策略，识别网络攻击、入侵方法及手段。如扫描、探测、后门、未授权访问尝试、恶意代码、拒绝服务攻击和可疑行为等，并采取相应的安全防范管理和技术措施。能够对大量的网络数据进行分析处理和过滤，生成按定制安全策略筛选的网络安全日志，减少需要人工处理的日志数据。操作日志审计模块54，用于提供强大的日志审计功能，完整记录并保存针对系统的各种操作，如用户登录/登出、系统配置操作、通信控制、策略定制等各种类型的日志。提供帐号授权审计，登录过程审计，身份认证审计，使用行为审计，通信行为审计等，审计管理员可对这些日志进行查询、审计，并对日志内容导入、导出、备份等操作，便于审计管理。访问控制模块45，用于对监视前置处理单元和后置处理单元之间的音视频通信进行审计，根据审计内容进行访问控制。对跨域音视频访问进行审计，对音视频的发起人、操作内容等进行记录，便于审计。审计内容包括：内容过滤规则涉及的关键字过滤、名单过滤、图像过滤、语音内容过滤等内容，数据流的状态，网络通信会话轨迹，用户帐号和权限等。在访问控制模块中设置安全策略和数据访问控制规则，阻断或丢弃违法安全策略和访问控制规则的数据流或数据包。访问控制在硬件上采用数据流单向光纤传输通道的模式，因此，能够彻底阻断和物理隔离传输链路，从而真正达到了安全访问控制的目的。本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。本领域普通技术人员可以理解：实施例中的设备中的模块可以按照实施例描述分布于实施例的设备中，也可以进行相应变化位于不同于本实施例的一个或多个设备中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。综上所述，本发明实施例通过利用音视频访问控制网关设备将接入网端和核心网端进行隔离，在接入网端与内部核心网端之间进行内容过滤、入侵检测、操作日志审计和访问控制处理。从而可以控制语音、视频网上传输，解决TCP/IP协议体系中存在的音视频信息的安全漏洞，对网络和安全域边界进行安全隔离或系统加固，保护综合通信网络核心数据资源安全可控。本发明实施例可以对网间病毒侵袭和恶意攻击行为能够进行有效过滤并实施拦截，对网络用户的跨网络、跨安全域访问接入进行身份鉴别和权限访问控制，防止非法用户或合法用户越权非法访问，对应用系统和重要数据资源访问进行身份鉴别和权限访问控制，防止应用或数据的非法或越权使用，对多网系（有线、无线、卫星等）融合后语音视频访问和业务应用访问进行日志记录和行为审计等。本发明实施例可以解决目前在公安、武警等行业，以及在电力、石化等能源行业的大型企业中，音视频调度系统中的信息安全问题。以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。