一种基于代理与隔离的视频安全接入系统及其方法

一种基于代理与隔离的视频安全接入系统及其方法
【专利摘要】本发明涉及一种基于代理与隔离的视频安全接入系统及其方法，所述系统包括前置代理模块、专用通信协议、隔离过滤模块；所述前置代理模块、专用通信协议、隔离过滤模块将视频源从外网安全的接入内网统一监控平台。所述方法包括：(1)前置代理模块对接入视频源进行认证；(2)前置代理模块接入视频数据并解析视频协议；(3)对视频数据进行特征过滤、加扰和添加策略标签；(4)采用专用通信协议重组视频数据发送至隔离过滤模块；(5)隔离过滤模块接收前置代理模块发送来的专用协议封装的视频数据；(6)隔离过滤模块解析标签并进行过滤；(7)恢复视频元数据；(8)将视频元数据进行视频格式封装并发送至内网统一监控平台。
【专利说明】一种基于代理与隔离的视频安全接入系统及其方法

【技术领域】
[0001]本发明属于计算机与网络安全【技术领域】，具体涉及一种基于代理与隔离的视频安全接入系统及其方法。

【背景技术】
[0002]随着社会信息化建设的日益完善，很多大型企业、政务部门已实现办公运营信息化和数字化。在政府内部和大型企业内部存在多级联网的大型专用网络，由于建设过程考虑安全性，各网络间保持着横向分割、内外分离的局面。信息化的飞速发展带，来了信息网络分散建设向资源整合利用转变、信息系统独立运行向互联互通各资源共享转变的需求。其中，内外网的视频信息共享就是一项重要的业务需求。
[0003]对于视频源接入的实现，一般采用以下的处理方式:
[0004]首先，在通用防火墙上开放特定的端口以接入视频源。接着，通过专用模块对视频源报文进行解析。如果是涉及安全的业务应用，在视频源报文解析时可能还会进行报文过滤，丢弃一些非法报文。最后，将解析后的报文传输到视频播放平台。
[0005]这种方式是目前较为普遍的处理方式，在功能上能够实现视频源的接入和传输。但是缺点显而易见:安全防护较弱。通用型防火墙不能有效识别接入源的合法性、接入的协议是否为指定视频源协议，也无法对视频源协议的内容进行过滤或重组，因此接入的视频源存在被其他应用协议侵入的风险，也存在有害程序或指令通过视频源协议侵入的风险。并且，在传输视频源报文的网络通道上，也缺乏安全保障，存在一定的安全风险。
[0006]由于视频数据分布范围广、数据流量大、协议格式单一等特点，在视频数据通过外网接入到内网时，有必要提出统一的视频安全接入系统，来确保视频数据在内外网交换过程中的安全。


【发明内容】

[0007]针对现有技术的不足，本发明提供一种基于代理与隔离的视频安全接入系统及其方法，本发明有前置视频代理服务模块、隔离过滤模块及模块间通信专用协议。视频源通过认证接入到前置代理模块，代理服务模块对视频数据进行格式解析、添加干扰、增加管理标签、使用专用协议重新封装后，交给隔离过滤模块；隔离过滤模块接到数据后，解析数据，消除干扰，通过策略管理充分标签进行过滤，确保安全后，将视频数据重新封装成源视频格式摆渡到内网。该视频接入系统基于代理与隔离的安全指导思想，以视频协议解析、过滤、加扰和重组为核心技术，通过代理技术实现视频点播客户端加固和自动协议转换、通过私有协议进行通信、通过在隔离模块对视频源数据进行策略过滤，使得任何非法视频源信息或有害指令都可以通过协议防护和安全传输通道进行过滤和隔离，以保证视频源的安全接入。
[0008]本发明的目的是采用下述技术方案实现的:
[0009]一种基于代理与隔离的视频安全接入系统，其改进之处在于，所述系统包括前置代理模块、专用通信协议、隔离过滤模块；
[0010]所述前置代理模块、专用通信协议、隔离过滤模块将视频源从外网接入至内网统一监控平台。
[0011]优选的，所述视频源客户端安装视频源中间件或中间件设备；
[0012]视频源中间件使用支持国密局SM2加密算法的智能USBKEY，通过TCP/IP协议与前置代理装置进行身份认证；认证通过中间件以UDP协议将视频源发送至前置代理装置。
[0013]优选的，所述前置代理装置通过TCP/IP协议与视频流客户端进行认证及控制操作，依据接入视频源的用户名、IP地址、身份证书信息对其进行认证。
[0014]优选的，所述系统对前置代理模块和隔离模块进行全面的日志审计，对视频流安全接入装置的软硬件状态及运行信息、管理员操作进行日志审计。
[0015]优选的，所述系统对视频源的通信状态进行实时监控，包括连接者身份、连接建立的初始时间、上传和下载数据量，管理员可根据需要随时中断其通讯连接。
[0016]本发明基于另一目的提供的一种基于代理与隔离的视频安全接入方法，其改进之处在于，所述方法包括:
[0017](I)前置代理模块对接入视频源进行认证；
[0018](2)前置代理模块接入视频数据并解析视频协议；
[0019](3)对视频数据进行特征过滤、加扰和添加策略标签；
[0020](4)采用专用通信协议重组视频数据发送至隔离过滤模块；
[0021](5)隔离过滤模块接收前置代理模块发送来的专用协议封装的视频数据；
[0022](6)隔离过滤模块解析标签并进行过滤；
[0023](7)恢复视频元数据；
[0024](8)将视频元数据进行视频格式封装并发送至内网统一监控平台。
[0025]优选的，所述步骤(2)包括所述解析视频协议依据标准的视频协议将视频源解析成视频元数据。
[0026]优选的，所述步骤(3)包括所述视频源特征过滤、加扰和标签提取，采用专用特征过滤算法和过滤规则，滤除不符合视频源报文特征的非法报文。
[0027]优选的，所述步骤(3)包括在视频元数据中加入无用的视频帧扰乱信息。
[0028]优选的，所述步骤(3)包括提取视频报文、视频报文的特征以及管理策略作为标签信息。
[0029]优选的，所述步骤(4)包括重组视频数据将加扰视频数据随机分块，与标签信息一起通过专用私有通信协议，进行封装，并发送到隔离过滤模块。
[0030]优选的，所述步骤(5)包括隔离过滤模块实时监听从前置服务模块经专用协议封装后发送过来的视频源数据。
[0031]优选的，所述步骤(6)包括专用协议解析依据专用私有通信协议格式解析视频数据，去除加扰视频帧，提取标签；标签过滤依据管理策略库，对提取的标签进行匹配，通过视频数据标签信息，对视频进行过滤。
[0032]优选的，所述步骤(7)包括解析随机分块的噪声视频元数据，恢复视频元数据。
[0033]优选的，所述步骤(8)包括视频通过安全过滤后，将视频数据经标准视频协议进行恢复，转发至内网统一监控平台。
[0034]优选的，所述前置代理装置将封装后的视频流数据通过TCP/IP协议发送至隔离装置；所述隔离装置监听特定端口，接收前置代理装置的以私有格式封装的TCP报文；所述隔离装置将恢复的视频源数据通过UDP端口转发至统一监控平台。
[0035]与现有技术比，本发明的有益效果为:
[0036]1、本发明在视频点播平台和视频源之间采用专用私有协议进行通信，通过代理技术实现了视频源信息的隔离、过滤、交换功能。
[0037]2、本发明在通用防火墙后部署专用的视频源安全接入服务，对经过的所有通信报文进行协议分析，通过对视频源协议特征的识别，可阻断一切非指定视频源协议的报文。
[0038]3、本发明基于视频源协议的特征，利用加扰技术提高协议防护的安全等级。在视频源报文解析和重组时，通过插入部分无用帧数据等无效信息，达到数据扰乱的目的，可破坏黑客植入攻击性代码或数据，满足安全等级较高的业务应用需求。
[0039]4、本发明中的统一安全策略过滤服务可根据管理部门制定的安全管理规定进行灵活控制，例如视频源密级划分、授权等。如果忽略安全管理策略就容易导致视频源被非授权用户访问，视频源泄漏等安全风险。
[0040]5、统一安全策略过滤服务在视频源进行特征识别时，提取关键信息形成策略管理标签，在通过隔离模块时根据管理部门制定的策略库对标签中信息进行匹配，匹配者方可传输到视频点播平台。该过滤服务既可以灵活适应上层管理策略的变化，又提高了视频源接入装置的安全性。
[0041]6、本发明通过前置代理模块、专用通信协议、隔离过滤模块三位一体，在基于代理技术、专用协议传输通道技术和具有可灵活配置的安全策略过滤服务的隔离技术，实现视频的安全接入，以确保从外网的视频源传输到内网的安全可靠。
[0042]7、本发明基于代理与隔离的视频安全接入系统首先对接入视频源进行认证，然后由前置代理模块对视频数据进行协议解析，再利用专用通信协议对视频数据重新封装，以安全通道传输隔离过滤模块，再由隔离过滤模块进行管理策略过滤成功后发送至内网。前置代理模块和隔离过滤模块通过专用通信协议共同构建视频的安全接入，通道的安全传输，视频数据的安全策略过滤，从而实现了高效的数据接入和协议防护能力。

【专利附图】

【附图说明】
[0043]图1为本发明提供的一种基于代理与隔离的视频安全接入系统示意图。
[0044]图2为本发明提供的一种基于代理与隔离的视频安全接入系统结构图。
[0045]图3为本发明提供的一种基于代理与隔离的视频安全接入方法示意图。
[0046]图4为本发明提供的一种基于代理与隔离的视频安全接入方法流程图。

【具体实施方式】
[0047]下面结合附图对本发明的【具体实施方式】作进一步的详细说明。
[0048]本发明一种基于代理与隔离的视频安全接入系统，通过前置代理模块、专用协议和隔离安全过滤模块将外网不安全的视频源接入到内网。视频源通过认证接入到前置视频代理服务模块，视频代理服务模块对视频数据进行格式解析，提取视频元数据、对视频元数据增加噪声数据，增加管理标签、使用专用协议重新封装，最后将数据发送至隔离过滤模块；隔离过滤模块收到专用协议封装的数据后，解析数据，降噪处理，并进行管理策略过滤后安全摆渡到视频点播平台，来完成视频的安全接入。该视频接入装置基于代理与隔离的安全指导思想，以视频协议解析、过滤、加扰和重组为核心技术，来确保视频接入过程安全。
[0049]如图2所示，本发明一种基于代理与隔离的视频安全接入系统。
[0050]前置代理装置包括源接收认证模块(I)、视频流协议解析模块(2)、视频流特征过滤模块(3)、视频流协议扰乱模块(4)、管理策略标签提取模块(5)、协议重组模块(6)组成。
[0051]隔离过滤模块包括数据监听模块(7)、协议解封模块(8)、标签策略过滤模块(9)、协议转发模块(10)。
[0052]其中，源接收认证模块(I)接收视频源传入的TCP报文，并根据接入的用户名、IP地址和身份证书等信息进行源过滤和源认证，认证通过后，前置代理装置接收视频源通过UDP协议发送视频数据。视频流协议解析模块(2)根据标准的视频流协议解析视频流数据包。视频流特征过滤模块(3)采用专用特征过滤算法和过滤规则，滤除一切不符合视频流报文特征的非法报文。视频流协议扰乱模块(4)在过滤完成的基础上，对特定数据包加入扰乱信息，但不影响视频播放功能。管理策略标签提取模块(5)在该报文信息中提取特点的标签信息，这部分标签信息将在标签策略过滤模块(9)中进行统一安全策略过滤。协议重组模块(6)将数据包根据专用私有通信协议进行封包组装，发送到隔离过滤模块指定端□。
[0053]数据监听模块(7)与前置服务模块使用专用协议通信，当与前置代理装置建立连接后，实时监听服务端口，收到数据请求后由协议解封模块(8)处理。协议解封模块(8)按照专用私有通信协议格式解析数据包，完成解析后调用过滤模块。标签策略过滤模块(9)根据报文中的管理策略标签，和策略库进行匹配过滤。协议转发模块(10)将最终策略过滤后的报文发送给视频点播平台。至此，视频流信息从视频源安全传输至视频点播平台，任何非法应用协议和非法数据包都被过滤隔离。
[0054]本发明一种基于代理与隔离的视频安全接入方法为:
[0055]视频流接入系统通过隔离前置代理装置和隔离装置，对视频流安全过滤后接入到点播平台。
[0056]步骤1:视频源与前置代理装置通过TCP协议进行身份认证通信，认证通过后，进行UDP协议的视频流数据通信，向前置代理装置指定端口发送视频流信息。前置代理装置接收进程负责与视频源交互:其中监听线程实时监听视频流端口的1事件，当收到视频流信息后，放入任务队列；任务分发线程根据处理情况从任务队列中取出任务发送出去。
[0057]步骤2:前置代理装置接收进程的任务分发线程负责与处理进程进行交互:任务分发线程与处理进程的建立连接，处理进程根据业务需要向任务分发线程发送业务请求，任务分发线程收到请求后，将视频流信息发送至处理进程。处理进程将收到的视频流信息放入任务队列中，并交给任务处理线程进行特征过滤、标签提取、报文加扰等识别过滤操作，完成后发送出去。
[0058]步骤3:前置代理装置发送进程与处理进程建立连接，将处理进程发送过来的任务转发给隔离装置，发送过程中需要进行报文的分源处理，将来同源的数据发送给隔离装置的过滤进程进行处理。
[0059]步骤4:前置代理装置发送进程与隔离装置建立TCP连接，使用专有通信协议传输报文。隔离装置的接收进程负责与前置代理装置进行交互:一是监听前置代理装置的请求并与之建立连接，二是对任务处理进程进行状态检测。
[0060]步骤5:隔离装置内部的接收进程和处理进程建立连接。处理进程监听接收进程发送过来的任务，然后调用相关过滤插件，完成后发送出去。
[0061]步骤6:通过过滤后的视频流数据在恢复原始视频格式后将转发给视频点播平台:隔离装置中的发送进程负责将视频流报文发送到视频点播平台的UDP端口。
[0062]本发明一种基于代理与隔离的视频安全接入方法流程，具体为:
[0063]I)视频源数据与前置代理模块进行双向身份认证；
[0064]2)身份认证通过后前置代理模块接入视频数据；
[0065]3)前置代理模块对视频数据格式进行解析，提取视频数据、数据源信息特征及视频元数据(不带格式的视频数据)；
[0066]4)对视频元数据添加噪声(干扰)数据；
[0067]5)依据数据源信息特征、代理服务策略配置和添加噪声后的视频元数据进行添加标签操作；
[0068]6)将标签和随机分块后的视频元数据使用专用协议进行封装，发送至隔离过滤模块；
[0069]7)隔离过滤模块接收专用协议封装的标签及随机分块的带有噪声的视频元数据；
[0070]8)解析标签，依据隔离过滤模块的策略库对标签进行过滤，过滤不通过，出错，结束；
[0071]9)解析随机分块的噪声视频元数据，恢复视频元数据；
[0072]10)重新将视频元数据进行视频格式封装，发送至统一监控平台。
[0073]实施例
[0074]本发明提出了一种基于代理与隔离的视频安全接入系统，通过代理技术实现自动协议转换，代理与隔离过滤模块通过专用协议共同构建安全通道，实现了高效的数据接入和协议防护能力。前置服务机对视频进行特征过滤、加扰和协议重组后，在基于专用协议的安全通道上传世给隔离过滤模块；隔离过滤模块完成协议解封和安全策略过滤后，最终传输至视频点播平台。接入系统确保视频接入过程的视频数据安全。整个系统保证了视频源接入的安全、稳定、可靠、可控。
[0075]—种基于代理与隔离的视频安全接入方法流程，具体为:
[0076]1.前置代理模块
[0077]步骤1.1:前置代理模块通过对标准视频源进行认证通过后，接入标准视频源的视频数据V ；
[0078]步骤1.2:解析视频数据V，剥离视频数据中的视频格式，提取元视频数据Vm ；
[0079]步骤1.3:对元视频数据Vm进行特征处理，获得特征数据F ；
[0080]步骤1.4:在元视频数据Vm中随机添加干扰数据Vi，获得干扰元视频数据Vmi ；
[0081]步骤1.5:针对视频数据源、视频数据V及元视频数据，依据策略规则配置库，创建策略管理标签Lm ；
[0082]步骤1.6:将<Vmi, F，Lm>以专有协议格式封装；
[0083]步骤1.7:通过指定端口发送至隔离过滤模块；
[0084]2.隔离过滤模块
[0085]步骤2.1:通过指定端口接收由前置代理模块发送过来的专有协议视频数据；
[0086]步骤2.2:解析专有协议数据，提取策略管理标签Lm，依据策略过滤规则对标签进行过滤，过滤不通过，丢弃数据，报错；
[0087]步骤2.3:解析专有协议数据，从随机干扰元视频数据Vmi中去除干扰数据Vi，恢复元视频数据Vm ；
[0088]步骤2.4:计算元视频数据的特征数据F’，解析专有协议数据，提取元视频数据的特征数据F，比较F’与F，不等，丢弃数据，报错；
[0089]步骤2.5:将元数据Vm重新封装成视频数据V，并将V转发至内网统一监控平台。
[0090]3.专有协议与策略管理标签
[0091]专有协议为自己定义协议，应用于代理模块与隔离过滤模块之间通信。在前置代理模块中，专用协议将带干扰的视频元数据进行随机分组，然后将分组数据与标签数据以专用格式进行封装。
[0092]策略管理标签依据代理服务模块与隔离过滤模块的安全配置，以及视频数据提取的数据及数据源的特征来获得。
[0093]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解:依然可以对本发明的【具体实施方式】进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种基于代理与隔离的视频安全接入系统，其特征在于，所述系统包括前置代理模块、专用通信协议、隔离过滤模块； 所述前置代理模块、专用通信协议、隔离过滤模块将视频源从外网接入至内网统一监控平台。
2.如权利要求1所述的一种基于代理与隔离的视频安全接入系统，其特征在于，所述视频源客户端安装视频源中间件或中间件设备； 视频源中间件使用支持国密局SM2加密算法的智能USBKEY，通过TCP/IP协议与前置代理装置进行身份认证；认证通过中间件以UDP协议将视频源发送至前置代理装置。
3.如权利要求1所述的一种基于代理与隔离的视频安全接入系统，其特征在于，所述前置代理装置通过TCP/IP协议与视频流客户端进行认证及控制操作，依据接入视频源的用户名、IP地址、身份证书信息对其进行认证。
4.如权利要求1所述的一种基于代理与隔离的视频安全接入系统，其特征在于，所述系统对前置代理模块和隔离模块进行全面的日志审计，对视频流安全接入装置的软硬件状态及运行信息、管理员操作进行日志审计。
5.如权利要求1所述的一种基于代理与隔离的视频安全接入系统，其特征在于，所述系统对视频源的通信状态进行实时监控，包括连接者身份、连接建立的初始时间、上传和下载数据量，管理员可根据需要随时中断其通讯连接。
6.一种基于代理与隔离的视频安全接入方法，其特征在于，所述方法包括: (1)前置代理模块对接入视频源进行认证； (2)前置代理模块接入视频数据并解析视频协议； (3)对视频数据进行特征过滤、加扰和添加策略标签； (4)采用专用通信协议重组视频数据发送至隔离过滤模块； (5)隔离过滤模块接收前置代理模块发送来的专用协议封装的视频数据； (6)隔离过滤模块解析标签并进行过滤； (7)恢复视频元数据； (8)将视频元数据进行视频格式封装并发送至内网统一监控平台。
7.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(2)包括所述解析视频协议依据标准的视频协议将视频源解析成视频元数据。
8.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(3)包括所述视频源特征过滤、加扰和标签提取，采用专用特征过滤算法和过滤规则，滤除不符合视频源报文特征的非法报文。
9.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(3)包括在视频元数据中加入无用的视频帧扰乱信息。
10.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(3)包括提取视频报文、视频报文的特征以及管理策略作为标签信息。
11.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(4)包括重组视频数据将加扰视频数据随机分块，与标签信息一起通过专用私有通信协议，进行封装，并发送到隔离过滤模块。
12.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(5)包括隔离过滤模块实时监听从前置服务模块经专用协议封装后发送过来的视频源数据。
13.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(6)包括专用协议解析依据专用私有通信协议格式解析视频数据，去除加扰视频帧，提取标签；标签过滤依据管理策略库，对提取的标签进行匹配，通过视频数据标签信息，对视频进行过滤。
14.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(7)包括解析随机分块的噪声视频元数据，恢复视频元数据。
15.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述步骤(8)包括视频通过安全过滤后，将视频数据经标准视频协议进行恢复，转发至内网统一监控平台。
16.如权利要求6所述的一种基于代理与隔离的视频安全接入方法，其特征在于，所述前置代理装置将封装后的视频流数据通过TCP/IP协议发送至隔离装置；所述隔离装置监听特定端口，接收前置代理装置的以私有格式封装的TCP报文；所述隔离装置将恢复的视频源数据通过UDP端口转发至统一监控平台。
【文档编号】H04N21/222GK104378657SQ201410441429
【公开日】2015年2月25日 申请日期:2014年9月1日 优先权日:2014年9月1日
【发明者】汪晨, 周诚, 林为民, 张涛, 马媛媛, 邵志鹏, 时坚, 钱炫宇, 刘时敏, 楚杰 申请人:国家电网公司, 中国电力科学研究院