一种基于PaaS媒体技术的网间安全交互的系统及其方法与流程

本发明属于多媒体技术领域，具体涉及一种基于PaaS媒体技术的网间安全交互的系统及其方法。

背景技术：

随着信息技术、媒体技术以及媒体行业的迅猛发展，电视台传统的媒体建设已经无法适应广大受众的需求，融合媒体的建设成为电视台的发展方向。融合媒体的建设，需要实现跨业务、跨平台的交互，实现多业务共平台生产，多媒体融合共享要求。在此前提下，为确保跨网和跨平台的内容安全，满足内容交互效率，提升用户体验，同时符合平台总体的安全等保要求，需要对平台内容传输的安全进行设计。

现有的平台内容传输安全机制主要有以下四种：

1、直接接入

直接接入的方式主要应用于安全性要求不高或无需考虑安全性的情况下，该方法最大的特点是传输效率极高，但缺点是安全性极低，在跨网跨平台传输中无法满足安全要求。

2、调用杀毒软件直接查杀

这种方式的安全性高于直接接入，但安全性仍然不好，最重要的是其性能受杀毒软件性能影响。虽然该方法的传输效率比较高，也具有一定的安全性，但在电视台融媒体平台的建设中跨平台、跨业务的交互中安全性还是无法满足。

3、过防火墙

过防火墙这种方法常用在平台的建设中，是一种协议过滤机制。这种方式的传输效率比较好，安全性也比较高，但是缺点是无法识别病毒和木马，无法对数据病毒和木马进行过滤，而且传输的性能受防火墙吞吐性的影响。

4、安全网闸

安全网闸是一种物理摆渡机制，安全性非常高，能够有效地过滤数据和协议病毒或木马，但是它的缺点是传输效率相对较低。

技术实现要素：

本发明的目的在于解决现有技术中跨网、跨平台的内容传输时无法满足对安全和交互效率的问题，并提供一种基于PaaS媒体技术的网间安全交互的系统。

本发明解决技术问题所采用的具体技术方案如下：

基于PaaS媒体技术的网间安全交互的系统，包括互联网和/或办公网、高安全区、云平台、网间安全交互系统和台内业务系统；互联网和/或办公网通过高安全区过滤后接入云平台，云平台与台内业务系统之间通过网间安全交互系统进行交互。

作为优选，所述的高安全区包括上传服务器、四台安全交互服务器、高安全区缓存和防火墙；所述的互联网和/或办公网通过平台出口交换机与高安全区中的上传服务器、第一安全交互服务器、第二安全交互服务器及防火墙连接，上传服务器、第一安全交互服务器和第二安全交互服务器均接入高安全区缓存中，第一安全交互服务器、第二安全交互服务器分别通过USB线连接第三安全交互服务器、第四安全交互服务器以构成第一安全交互系统，用于实现文件的摆渡；第三安全交互服务器、第四安全交互服务器及防火墙均通过平台核心交换机接入云平台中。

作为进一步的优选，所述的网间安全交互系统包括两台安全交互服务器、两台接口调度服务器、网间交互系统缓存、防火墙以及网间互联交换机；第一接口调度服务器、防火墙及第五安全交互服务器均连接至平台核心交换机，第五安全交互服务器和第六安全交互服务器之间通过IB线缆连通构成第二安全交互系统，用于实现数据的摆渡；防火墙第二接口调度服务器、第六安全交互服务器及网间交互系统缓存分别通过平台网间互联交换机与台内业务系统进行交互。

作为优选，所述的云平台中设有云平台存储和平台入库服务，分别连接平台核心交换机。

作为优选，所述的互联网中接入个人用户端、UGC端和个人网盘中的一种或多种；所述的办公网中接有若干台个人用户端。

本发明的另一目的在于提供一种利用所述系统的基于PaaS媒体技术的网间安全交互的方法，包括互联网和/或办公网与云平台间的数据交互以及云平台与台内业务系统间的数据交互；

所述的互联网和/或办公网与云平台间的数据交互中，互联网和/或办公网向云平台上传数据流程如下：

S101：互联网和/或办公网用户通过登录云平台，使用平台上传页面发起上传任务；

S102：上传页面调用上传服务将用户本地数据上传到高安全区缓存；

S103：上传服务器通过防火墙调用平台入库服务接口进行入库；

S104：云平台入库服务器调用安全交互系统接口发送摆渡任务，任务包含源文件名、缓存地址和目标路径地址；

S105：安全交互系统将缓存文件通过USB摆渡到云平台存储指定路径，并反馈摆渡进度给上传服务器；

S106：上传服务对反馈的进度在用户页面进行展现；

S107:云平台将迁移的素材文件分析、抽帧、转码最后入库；

互联网和/或办公网从云平台下载数据的流程如下：

S201：互联网或办公网用户登录云平台，检索到所需数据后发起下载；

S202：云平台中的媒资库通过HTTP，经过防火墙传输数据到用户本地；

所述的云平台与台内业务系统间的数据交互中，云平台向台内业务系统传输数据的流程如下：

S301：云平台调用网间安全交互系统的第一接口调度服务器发送摆渡任务，任务中包括数据名、数据源路径和结果返回接口；

S302：第二安全交互系统执行摆渡任务，将云平台存储上的数据摆渡迁移到网间交互系统缓存，并反馈任务进度；

S303：摆渡完成后通过第一接口调度服务器向云平台接口反馈执行结果，包括数据名和数据缓存路径；

S304：云平台收到反馈结果后，通过防火墙调用全台网主干接口发送消息，包括数据名、数据缓存存放路径和元数据；

S305：全台网主干系统根据接收到的云平台消息，自主从网间交互系统缓存读取目标数据并迁移到目标系统，迁移完成后通过防火墙调用云平台接口做应答；

台内业务系统向云平台传输数据的流程如下：

S401：台内业务系统用户通过调用全台网主干系统发起向云平台传输的流程；

S402：全台网主干系统将台内业务系统数据迁移到网间交互系统缓存，并通过防火墙调用云平台接口，提交数据名、数据缓存路径和数据信息；

S403：云平台通过防火墙调用网间安全交互系统的第二接口调度服务器并发送摆渡任务，任务包括数据名、数据源路径、数据目标路径和返回接口；

S404：第二安全交互系统执行摆渡任务，将网间交互系统缓存上的目标数据摆渡迁移到云平台存储目标路径，然后反馈任务进度；

S405：摆渡完成后由第二接口服务器通过防火墙调用云平台接口并反馈执行结果；

S406：云平台在收到反馈结果后，通过防火墙调用全台网主干接口发送完成消息。

作为优选，所述的云平台中还设有HotFolder扫描服务，并接入平台核心交换机中。

本发明相对于现有技术而言，具有以下优点：

1、安全性

该方法中主要采用了防火墙和安全网闸的方式实现平台内容传输的安全性。其中，防火墙的传输效率较高，主要用于传输过程中流程控制信息的传输；安全网闸的安全性高，主要用于实现真实媒体数据的摆渡传输。该方法可以在保障数据高安全性的基础上尽可能地提高传输效率。

2、实现流程监控

该方法能够实现传输流程的监控，高安全区的上传服务器和安全交互服务器以及网间安全交互系统的接口调度服务器和安全交互服务器能够反馈传输过程和传输进度，有利于直观掌握传输情况，实现传输流程的监控。

附图说明

图1为一种基于PaaS媒体技术的网间安全交互的系统结构图；

图2为互联网/办公网、高安全区和云平台之间的连接结构图；

图3为云平台、网间安全交互系统和台内业务系统之间的连接结构图；

图4为互联网/办公网向云平台上传素材数据的流程图；

图5为云平台向台内业务系统传输数据的流程图；

图6为台内业务系统向云平台传输数据的流程图。

具体实施方式

下面结合附图和具体实施方式对本发明做进一步阐述和说明。本发明中各个实施方式的技术特征在没有相互冲突的前提下，均可进行相应组合。

如图1所示，为一种基于PaaS媒体技术的网间安全交互的系统，主要应用于电视台融合媒体的跨业务、跨平台的交互、数据共享。其主要结构包括5个部分，分别为：互联网(也可以是办公网，本实施例中互联网与办公网同时接入)、云平台和台内业务系统，以及保障安全性的高安全区、网间安全交互系统；互联网和/或办公网经高安全区过滤后，接入云平台；云平台与台内业务系统之间通过网间安全交互系统进行交互。同时系统中还设有两台交换机，分别为平台出口交换机和平台网间互联交换机，平台出口交换机用于互联网和/或办公网与云平台之间的数据传输，而平台网间互联交换机用于云平台与台内业务系统之间的数据传输。

该架构视为了满足台内不同系统平台之间的安全性要求。互联网和办公网的安全级别低，云平台安全级别高。互联网和办公网传入云平台，安全级别由低到高，传输内容需经高安全区进行过滤，确保传入内容安全；对于云平台下载到互联网和办公网，安全级别由高到低，可直接通过HTTP方式传输，提高下载效率。其中，云平台和台内业务系统均属于生产业务系统，安全级别相同，但根据安全等级保护要求，均需要设定边界，实现安全交互。

互联网作为与外界网络进行连接和交互的端口，其可接入多种形式，如个人用户的电脑、各类UGC平台和个人网盘等。而办公网作为电视台内日常办公用的内部网络，其中接入了众多的电视台工作人员的工作电脑。

台内业务系统是电视台内原有的业务系统，本实施例中包括全台网、电视购物播出系统、IPTV UT系统等，每个业务系统均通过两个交换机连接平台网间互联交换机。其中全台网为一个包含电视台各类业务子系统的平台，包括如小媒资系统、音频媒资系统、新闻媒资系统、电视剧缩编系统、高清制作网、各频道制作系统、播出系统、中心媒资系统等若干类业务子系统。当业务系统较多时，在全台网中设置主干系统实现各类子系统的交互。本实施例中，采用企业服务总线(ESB)和媒体服务总线(EMB)的双总线架构建设统一的主干系统作为子网交互的基础，负责实现各业务子系统间的元数据和媒体数据的交互。

高安全区是台内网络整体安全体系的重要组成部分，主要用于互联网和办公网与云平台之间的安全交互。下面具体给出一实施例中的一种实现方式。如图2所示，高安全区的架构包括上传服务器、四台安全交互服务器(可采用M7340服务器，或其他满足系统需求的服务器)、高安全区缓存和防火墙；互联网和办公网通过平台出口交换机与高安全区中的上传服务器、第一安全交互服务器、第二安全交互服务器及防火墙连接，上传服务器、第一安全交互服务器和第二安全交互服务器均接入高安全区缓存中，第一安全交互服务器、第二安全交互服务器分别通过USB线连接第三安全交互服务器、第四安全交互服务器，以四台安全交互服务器为核心构成了第一安全交互系统，通过安全交互服务器实现文件的摆渡；第三安全交互服务器、第四安全交互服务器及防火墙均通过平台核心交换机接入云平台中。其中，上传服务器主要实现上传服务，可将摆渡任务进度反馈给客户端，支持分离部署；高安全区缓存用于缓存传输任务的媒体素材；防火墙用于安全隔离。

云平台是实现整个系统中数据和资源共享、传输和交互的基础。下面给出另一实施例中的一种具体实现方式。云平台中设有云平台存储和平台入库服务，分别连接平台核心交换机。为运行上述服务，云平台中设置入库服务器及存储服务器等设备。当云平台中存储有大量的素材等数据时，便形成了可供检索、下载的媒资库，即云媒资库。云平台中还可设有HotFolder扫描服务，并接入平台核心交换机中。

网间安全交互系统主要用于云平台与台内业务系统之间的安全交互。下面给出另一实施例中的一种具体实现方式。如图3所示，其架构包括两台安全交互服务器(可采用M8000服务器，或其他满足系统需求的服务器)、两台接口调度服务器、网间交互系统缓存、防火墙以及网间互联交换机；第一接口调度服务器、防火墙及第五安全交互服务器均连接至平台核心交换机，第五安全交互服务器和第六安全交互服务器之间通过IB线缆连通构成第二安全交互系统，通过安全交互服务器实现数据的摆渡，将素材从云平台存储摆渡至网间安全交互存储缓存；防火墙第二接口调度服务器、第六安全交互服务器及网间交互系统缓存分别通过平台网间互联交换机与台内业务系统进行交互。两台接口调度服务器用于整个传输过程的接口调度和流程控制；防火墙用于安全隔离；平台网间互联交换机用于实现网间数据传输的流通性。

该系统可用于电视台不同网络系统间交互方法的素材数据的安全上下载，同时兼顾传输效率。为了便于理解，下面给出一种利用上述系统的基于PaaS媒体技术的网间安全交互的方法，该方法中包括互联网和/或办公网与云平台间的数据交互以及云平台与台内业务系统间的数据交互两部分。

首先介绍互联网和/或办公网与云平台间的数据交互。如图4所示，互联网和或办公网向云平台上传数据流程如下：

S101：互联网或办公网中的web客户端或UGC客户端通过登录云平台，使用平台上传页面发起上传任务；

S102：上传页面调用HTTP上传服务将用户本地数据上传到高安全区缓存；

S103：上传服务器向web客户端或UGC客户端发送缓存完成时，再通过高安全区中的防火墙调用平台入库服务接口进行入库；

S104：云平台入库服务器调用高安全区中的第一安全交互系统接口发送摆渡任务，任务包含源文件名、缓存地址和目标路径地址；

S105：第一安全交互系统接收到上述信息后，将S102中传输完成的缓存文件通过安全交互服务器间的USB摆渡到云平台存储指定路径，并反馈摆渡进度给上传服务器；

S106：上传服务对反馈的进度在用户页面以进度条或百分比等形式进行展现；

S107:云平台将迁移的素材文件分析、抽帧、转码流媒体等动作，最后入库。

由此，将用户本地的素材数据安全地保存于云平台上。

互联网和/或办公网从云平台下载数据的流程如下：

S201：互联网或办公网用户登录云平台，检索到所需数据后发起下载；

S202：云平台中的媒资库通过HTTP，经过防火墙传输数据到用户本地；

由于云平台的安全级别高于互联网和办公网，因此可直接通过HTTP方式传输，以提高下载速度。

下面介绍云平台与台内业务系统间的数据交互。台内业务系统中的全台网主干系统或其他台内平台、子业务系统等外部系统可在云媒资库中检索挑选素材数据。当需要获取感兴趣的数据时，云平台向台内业务系统传输数据的流程如下：

S301：云平台调用网间安全交互系统的第一接口调度服务器发起数据出库的摆渡任务，任务中包括数据名、数据源路径和结果返回接口；

S302：第二安全交互系统开始执行摆渡任务，通过其中的安全交互服务器将云平台存储上被选中的数据摆渡迁移到网间交互系统缓存，并反馈任务进度；

S303：摆渡完成后通过第一接口调度服务器向云平台接口反馈执行结果，包括数据名和数据缓存路径；

S304：云平台收到反馈结果后，通过防火墙调用全台网主干接口发送消息，包括数据名、数据缓存存放路径和元数据；

S305：全台网主干系统根据接收到的云平台消息进行出库，自主从网间交互系统缓存读取目标文件数据并迁移到目标系统，迁移完成后通过防火墙调用云平台接口做应答；

台内业务系统也可以将素材上传至云平台中，供业务共享或异地办公使用。如图6所示，台内业务系统向云平台传输数据的流程如下：

S401：台内业务系统用户选择需要传输的文件后，通过调用全台网主干系统发起向云平台传输的流程；

S402：全台网主干系统将台内业务系统数据迁移到网间交互系统缓存，并通过网间安全交互系统中的防火墙调用云平台接口，提交数据名、数据缓存路径和数据信息；

S403：云平台通过防火墙调用网间安全交互系统的第二接口调度服务器并发送入库的摆渡任务，任务包括数据名、数据源路径、数据目标路径和返回接口；

S404：第二安全交互系统执行摆渡任务，将网间交互系统缓存上的目标数据摆渡迁移到云平台存储目标路径，然后反馈任务进度；云平台将迁移的素材文件分析、抽帧、转码流媒体等动作，最后入库；

S405：摆渡完成后由第二接口服务器通过防火墙调用云平台接口并反馈执行结果；

S406：云平台在收到反馈结果后，通过防火墙调用全台网主干接口发送完成消息。

因此，本发明中，互联网和办公网与云平台的交互需通过高安全区，云平台与台内业务系统的交互需通过网间安全交互系统，该安全机制解决了电视台融媒体建设中跨平台带来的安全问题，同时兼顾了数据传输的高效性。

本领域的技术人员应当知道，本发明中的各系统、工具、组件、客户端或步骤可以通过通用的计算装置来实现，可以集成于单个计算装置中，也可以分布于多个计算装置中并通过网络相连实现。本发明系统中的各服务器，可采用一台集成服务器同时实现多台功能，也可以利用多台服务器联网共同实现某一台服务器的功能。例如，当然，它们中部分工具和步骤可以通过可执行的程序代码来实现，代码可存储于存储装置中，并有计算装置中的相应元件执行。另外，其也可以通过集成电路模块来实现相应的功能或组成相应的单元。与计算装置相似，集成电路也可以采用整体性的模块或分割成不同的集成电路模块来实现。由此，本发明的实现便不限制于任何特定的硬件和软件结合。本发明中的各硬件型号除特定限定外，均可采用市售产品，可根据实际用户需求进行选择。

以上所述的实施例只是本发明的若干种较佳的方案，然其并非用以限制本发明。有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型。因此凡采取等同替换或等效变换的方式所获得的技术方案，均落在本发明的保护范围内。