一种网络视频监控摄像机节点及服务器间隔离设备的制作方法

本发明涉及网络安全技术、网络通信技术、视频传输技术领域，专用于保证网络视频监控摄像机节点与服务器间网络数据的安全性。

技术背景

如今，视频监控对于社会的管理、国家的稳定、人民财产的安全都起着至关重要的作用。在道路、公共场所也有数量巨大的监控摄像头。这些监控网络，都是由网络视频监控摄像机节点采集视频图像，再通过网络通路将数据传递给视频监控服务器。一般，视频监控服务器是一个管理网络的一部分，处于管理网络的内部；而暴露于外界的网络视频监控摄像机节点直接与视频监控服务器和内部管理网络相连接带来了极大的安全隐患。

例如，一个工业控制网络中包括了视频监控网络，工厂网络视频监控摄像机节点直接连接到内部管理网络中，以实现在管理网络中实时调用监控数据；而与此同时，此管理网络还控制着工厂的其他功能网络。在这样的网络拓扑环境下，通过网络视频监控摄像机节点端的网口，就可以直接访问工业控制网络中的管理网络。网络视频监控摄像机节点与视频监控服务器间的无限制、无监控的网络通信带来了内部管理网络被暴露攻击的巨大隐患。

为了解决这种网络拓扑中对于内部服务器、内部管理网络的安全威胁，设计了一种网络视频监控摄像机节点及服务器间隔离设备。

技术实现要素：

本发明的目的是为了解决视频监控网络中，网络视频监控摄像机节点与视频监控服务器间的无限制、无监控的网络通信带来了内部管理网络被暴露攻击的巨大隐患，而提供的一种网络视频监控摄像机节点及服务器间隔离设备。该设备能够很好地解决网络视频监控摄像机节点接入后无限制、无监控的网络通信直接与内部服务器相连的问题。

实现本发明目的的具体技术方案是：

一种网络视频监控摄像机节点及服务器间隔离设备，特点是：该设备包括1000M/100M/10M以太网接口模块、合法设备特性列表储存配置模块、网络数据处理模块、USB接口模块、时钟模块及电源模块。所述1000M/100M/10M以太网接口模块与网络数据处理模块、时钟模块相连，作为网络数据处理模块的网络数据输入、输出；合法设备特性列表储存配置模块与USB接口模块、网络数据处理模块、时钟模块相连，接收USB接口模块的配置并本地储存，进而向网络数据处理模块配置合法设备特性列表；网络数据处理模块与1000M/100M/10M以太网接口、合法设备特性列表储存配置模块、时钟模块及电源模块相连，其作用为处理网络数据；USB接口模块与合法设备特性列表储存配置模块、时钟模块相连；时钟模块与1000M/100M/10M以太网接口模块、合法设备特性列表储存配置模块、网络数据处理模块、USB接口模块相连，向各模块提供参考时钟；电源模块与1000M/100M/10M以太网接口模块、合法设备特性列表储存配置模块、网络数据处理模块、USB接口模块、时钟模块相连，为各模块供电。

所述1000M/100M/10M以太网接口模块包含四路独立的以太网接口，每一路包含千兆以太网RJ45插座以及以太网物理层PHY芯片；三路以太网接口可分别连接三路网络视频监控摄像机节点，其余一路以太网接口可连接内部网络服务器。

所述合法设备特性列表储存配置模块包括微处理器和Flash存储芯片，微处理器和Flash存储芯片与互相连接。其中，Flash存储芯片中的合法设备特性列表中包括所有允许与内部服务器通信的网络视频监控摄像机节点数据的MAC地址、源端口号、目的端口号、源IP地址、目的IP地址、协议、数据特征。

所述网络数据处理模块包括FPGA芯片和DDR3高速存储芯片，FPGA芯片与DDR3高速存储芯片互相连接。DDR3高速存储芯片对输入的网络数据实时进行高速的缓存。FPGA芯片通过读取DDR3的高速缓存获取网络视频监控摄像机节点网络数据包的MAC地址、源端口号、目的端口号、源IP地址、目的IP地址、协议、数据特征；将其与合法设备特性列表比较；仅允许合法特征的数据和设备通信，并且FPGA将合法特征的数据进行重新打包，输出。

所述USB接口模块包括USB 3.0 Type B插座以及USB解析芯片USB 3.0 Type B插座与USB解析芯片互相连接。数据传输过程及速率符合USB 3.0标准。

与现有技术相比，本发明的有益效果是：

⑴、本发明使用FPGA硬件处理网络数据，相对传统的双ARM芯片的架构，具有更高的处理速度以及更强的并行处理能力。

⑵、本发明对于网络数据具有强大的处理能力，并且通过优化FPGA中的网络安全执行过程，可以实现80微秒的极小网络延时。此项指标对于保证视频监控数据的实时性至关重要。

⑶、本发明采用USB 3.0的接口对设备进行合法设备特性列表配置。相较传统的使用RS232接口的配置方式，本发明使用的USB 3.0的接口拥有更高的速度以及更高的可靠性。

附图说明

图1为本发明结构框图；

图2为本发明工作流程图；

图3为本发明应用系统连接示意图。

具体实施方式

下面结合附图对本发明作详细描述。

参阅图1，本发明包括：1000M/100M/10M以太网接口模块1、合法设备特性列表储存配置模块2、网络数据处理模块3、USB接口模块4、时钟模块5及电源模块6。

1000M/100M/10M以太网接口模块1分别与网络数据处理模块3、时钟模块5、电源模块6相连。

合法设备特性列表储存配置模块2分别与网络数据处理模块3、USB接口模块4、时钟模块5、电源模块6相连。

网络数据处理模块3分别与1000M/100M/10M以太网接口模块1、合法设备特性列表储存配置模块2、时钟模块5、电源模块6相连。

USB接口模块4分别与合法设备特性列表储存配置模块2、时钟模块5、电源模块6相连。

时钟模块5分别与1000M/100M/10M以太网接口模块1、合法设备特性列表储存配置模块2、网络数据处理模块3、USB接口模块4、电源模块6相连。

电源模块6分别与1000M/100M/10M以太网接口模块1、合法设备特性列表储存配置模块2、网络数据处理模块3、USB接口模块4、时钟模块5相连，为各个模块供电。

本发明的1000M/100M/10M以太网接口模块1包含四路独立的以太网接口，每一路包含千兆以太网RJ45插座11以及以太网物理层PHY芯片12；三路以太网接口可分别连接三路网络视频监控摄像机节点，其余一路以太网接口可连接内部网络服务器。PHY芯片12提供RGMII接口与网络数据处理模块3中的FPGA芯片31连接并进行数据交换。

本发明的合法设备特性列表储存配置模块2包含微处理器21和Flash存储芯片22。合法设备特性列表储存配置模块2与USB接口模块4相连，通过USB接口模块4接收来自电脑的管理配置命令。合法设备特性列表储存配置模块2通过微处理器21将接收到的管理配置命令转化为可执行的合法设备特性列表，其中，合法设备特性列表中包括所有允许与内部服务器通信的网络视频监控摄像机节点数据的MAC地址、源端口号、目的端口号、源IP地址、目的IP地址、协议、数据特征。然后将其储存在Flash存储芯片22中，并将此合法设备特性列表配置进网络数据处理模块3。

网络数据处理模块3包含FPGA芯片31和DDR3高速存储芯片32，对输入的网络数据实时进行高速的缓存、判断、过滤、重构、转发操作。

本发明的USB接口模块4包含USB 3.0 Type B插座41以及USB解析芯片42，传输过程及速率符合USB 3.0标准。USB接口模块4的USB 3.0 Type B插座41通过USB 3.0 Type B标准线缆与电脑相连；USB解析芯片42与USB 3.0 Type B插座41相连接收电脑发来的数据，并且USB解析芯片42与合法设备特性列表储存配置模块2的微处理器21相连，与其进行通信。

本发明的时钟模块5为1000M/100M/10M以太网接口模块1、合法设备特性列表储存配置模块2、网络数据处理模块3、USB接口模块4提供时钟驱动。

本发明的电源模块6与1000M/100M/10M以太网接口模块1、合法设备特性列表储存配置模块2、网络数据处理模块3、USB接口模块4、时钟模块5相连，为各模块供电。

参阅图2，本发明是这样工作的：

先使用将三路网络视频监控摄像机与本发明1000M/100M/10M以太网接口模块1中的第一、第二、第三路千兆以太网RJ45插座11相连。使用六类网线将监控服务器与本发明1000M/100M/10M以太网接口模块1中的第四路千兆以太网RJ45插座11相连。使用USB 3.0 Type B线缆，将装有配置软件的电脑与USB模块4的USB 3.0 Type B插座41相连。

上电后，进行默认合法设备特性列表配置。合法设备特性列表储存配置模块2中的微处理器21将默认合法设备特性列表配置数据从Flash存储芯片22中读取出来，并将此安全配置策略发送给网络数据处理模块3的FPGA 31。

之后针对已连接的三路网络视频监控摄像机和监控服务器，配置实际网络合法设备特性列表。装有配置软件的电脑将针对已连接的三路网络视频监控摄像机和监控服务器的合法设备特性列表通过USB线缆发送至USB模块4。USB 3.0 Type B插座41接收数据后，USB解析芯片42将解析后的数据发送给合法设备特性列表储存配置模块2中的微处理器21。其中，合法设备特性列表中包括所有允许与内部服务器通信的网络视频监控摄像机节点数据的MAC地址、源端口号、目的端口号、源IP地址、目的IP地址、协议、数据特征。合法设备特性列表储存配置模块2中的微处理器21将此合法设备特性列表配置数据存储在Flash存储芯片22中，并此合法设备特性列表发送给网络数据处理模块3的FPGA 31。

当以太网数据传送进本发明设备时，1000M/100M/10M以太网接口模块1中的千兆以太网RJ45插座11将模拟网络数据转换为四路差分信号传送进PHY芯片12。PHY芯片12将差分信号的网络数据转换为后级芯片可处理的RGMII接口网络数据，并将转换格式后的信号传送至网络数据处理模块3的FPGA 31。

当网络数据处理模块3的FPGA 31接收到来自PHY芯片12的RGMII格式数据之后，采用流水线处理的方式，对网络数据包做如下处理：将RGMII接口的网络数据转换为125MHz频率、8-Bit位宽的网络数据格式；提取其源MAC、目的MAC、协议类型、源IP、目的IP、源端口和目的端口等参数；将网络数据高速缓存至网络数据处理模块3的DDR3高速存储芯片32中。

当网络数据处理模块3的DDR3高速存储芯片32中已经完整接收到一个网络数据包之后，再将此网络数据包从DDR3高速存储芯片32中读出。在此读出网络数据包的过程中，将此数据包的源MAC、目的MAC、协议类型、源IP、目的IP、源端口和目的端口等参数与网络数据处理模块3的FPGA 31中执行的网络数据合法设备特性列表进行比对，当提取的MAC地址、源端口号、目的端口号、源IP地址、目的IP地址、协议、数据特征，与合法设备特性列表中的MAC地址、源端口号、目的端口号、源IP地址、目的IP地址、协议、数据特征完全一致时，判断此数据包为合法网络数据包。

当网络数据包经过合法设备特性列表判断为合法数据包后，根据合法设备特性列表，将此数据包重新打包，并转换为RGMII接口数据，转发至1000M/100M/10M以太网接口模块1中的数据包目的网口。进过PHY芯片12的处理后，通过千兆以太网RJ45插座11向外发送。

参阅图3为本发明连接应用系统示意图，图中N为本发明，IPC1、IPC2、IPC3为三路网络视频监控摄像机，S1为监控服务器，S2、S3、S4为其余内部控制子网，S1、S2、S3、S4由于需要进行通信，因此它们之间是互相可以通信的。

三路网络视频监控摄像机的网络数据经过本发明的筛选和判断后，连入S1、S2、S3、S4组成的内部控制网络，其中S1为监控服务器。通过本发明对于外部的网络视频监控摄像机接入内部控制网络的数据进行筛选过滤，解决了网络视频监控摄像机节点与视频监控服务器间的无限制、无监控的网络通信带来的内部管理网络被暴露攻击的巨大隐患，有效地保护了内部监控、控制网络的安全性。