一种网络视频安全监控系统及物理隔离方法

一种网络视频安全监控系统及物理隔离方法
【技术领域】
[0001]本发明涉及网络视频监控领域，尤其涉及一种网络视频安全监控系统及物理隔离方法。
【背景技术】
[0002]视频监控系统作为安全防范系统的组成部分，承载着监控人员掌控所辖区域监控点的图像信息，对事件进行记录、预警，避免国家及个人财产受到损害，或者对监控点紧急事件进行远程指挥、综合战斗，具有高清晰、实时性要求；视频作为安全防范的的强有力系统自身的安全性受到越来越多的重视；视频监控系统经历了第一代模拟视频时代、第二代数字视频非压缩传输交换系统(DVR存储管理系统)、第三代完全数字化的系统(网络摄像机IPC+视频服务器NVR结构)，这3个阶段的发展演变。然而，真正的视频监控的意义在于保证监控区域以及系统的安全性和可靠性，第三代数字化系统基于网络摄像机即IP-camera技术，视频信息完全通过标准的以太网协议和通道进行传输，视频码率较低，网络的通用性和系统可维护性得到明显提升，但由于治安和视频监控区域分散，难于管理网络安全状况遇到极大的挑战；网络的安全性、设备的可靠性、内部系统的安全性受到较大的挑战，需要一种能够安全可靠的网络视频监控系统来解决目前系统遇到的问题。

【发明内容】

[0003]针对上述技术缺陷，本发明提出一种网络视频安全监控系统及物理隔离方法，该系统采用物理隔离设备结合网络视频监控协议设计系统，可很好的保证视频码流安全性以及视频监控系统的健壮性；通过两个处理器分别连接公开网络和信任网络，内部通过物理隔离单相通道进行数据传输，进行视频、控制数据以及部分报警信号、数据通道协议传输，阻断恶意连接攻击
一种网络视频安全监控系统，前端视频接入网络、后端视频监控网络以及物理隔离模块，所述物理隔离模块包括处理器A和处理器B，所述处理器A和处理器B相互独立，所述处理器B通过网络接口连接前端视频接入网络，所述处理器A通过网络接口连接后端视频监控网络，所述处理器A和处理器B之间采用非以太网方式的物理传输信道连接；所述处理器B的系统为从片系统，所述处理器A的系统为主片系统，处理器B的系统启动加载由处理器A控制。
[0004]进一步的，所述前端视频接入网络通过交换机或以太网光环网系统或以太网点对点接入物理隔离模块，并通过网络交换系统，设置网络隔离和端口 Vlan划分。
[0005]进一步的，处理器A由系统复位，处理器B由处理器A进行系统复位和加载，处理器A通过固化在flash中的程序进行引导启动，处理器A进入系统后在本地文件系统根目录下创建对应的目录，将预先制作好的处理器B的启动镜像文件加载存放到该目录中。
[0006]进一步的，所述处理器A加载内核启动模块，以支持处理器B的启动控制、消息通信功能；处理器A还包括加载级联启动的驱动模块以及处理器A运行启动处理器B的应用程序，启动处理器B的应用程序开始初始化处理器B系统需要用到的所有DDR，然后将处理器A的系统目录下的启动镜像文件搬运到处理器B的内存地址，最后开始引导启动。
[0007]进一步的，所述处理器A连接启动复位电路以及报警输出电路。
[0008]进一步的，所述处理器A以及处理器B系统均通过tcp/ip协议接收或发送数据利用所述的物理隔离模块的物理隔离方法，包括系统启动步骤和数据处理流程步骤: 所述系统启动步骤包括:
71)处理器A由系统复位，处理器B由处理器A进行系统复位和加载，处理器A通过固化在flash中的程序进行引导启动，处理器A进入系统后在本地文件系统根目录下创建对应的目录，将预先制作好的处理器B的启动镜像文件加载存放到该目录中；
72)所述处理器A加载内核启动模块，以支持处理器B的启动控制、消息通信功能；处理器A还包括加载级联启动的驱动模块以及处理器A运行启动处理器B的应用程序，启动处理器B的应用程序开始初始化处理器B系统需要用到的所有DDR，然后将处理器A的系统目录下的启动镜像文件搬运到处理器B的内存地址，最后开始引导启动；
所述数据处理流程步骤包括:
73)后端视频监控网络发送消息之前通过用户以及密码的方式登录到处理器A系统，经认证通过后在处理器A系统端产生一个sess1n，后端视频监控网络发送的消息只有通过该sess1n才能被接收处理；
74)后端视频监控网络发送的消息通过处理器A系统进行报文的分析，当报文结构和内容符合协议规定时，报文会被送到处理器A系统的数据处理模块进行处理；所述数据处理模块分析消息的类型，并根据具体的报文内容直接本地处理或通过隔离通道转发至处理器B。
[0009]进一步的，所述处理器A与处理器B之间的隔离通道可进行双向数据传输，该隔离通道包括消息传输通道和数据传输通道；消息传输通道用于数据规模和吞吐量都低的数据；数据传输通道用于传输连续大块的数据。
[0010]进一步的，步骤74)中的报文内容在隔离通道的应用层进行协议格式校检，符合规定协议格式的报文内容才被允许通过隔离通道进行传输；所述隔离通道上传输的协议格式采用非公开的私有协议。
[0011]进一步的，处理器B系统运行时，定时发送心跳报文由隔离通道给处理器A系统，当在一定时间内处理器A系统没有接收到心跳消息，对后端视频监控网络预警，并获取处理器B的运行指令，进行报警，并可同时对处理器B进行系统初始化，使系统自恢复到正常状态。
[0012]本发明的有益效果在于:使用视频隔离模块连接两个网络:安全网络和公开网络，进行数据通信和网络转发，本系统列举出来的所有拓扑结构可以在实际的项目中做更改、变换，从而适应不同的项目，本系统采用单设备系统部署，以嵌入式系统为开发核心，采用端口物理隔离方案，并能保证满足协议的安全内容无障碍通信，对非法数据信息严格阻断，并采用单系统引导保证系统的安全可靠，最大限度的保证了客户的便利性和系统的安全性，成本较低推广价值较高。
【附图说明】
[0013]图1为本发明网络视频监控系统简要框图；
图2为物理隔离系统硬件框图；
图3为物理隔离模块视频数据流程示意图；
图4为物理隔离模块视频数据流程示意图。
【具体实施方式】
[0014]下面将结合附图和具体实施例对本发明做进一步的说明。
[0015]1、本发明的系统拓扑图
如图1所示，本发明系统基本框图，本系统核心部件为物理隔离模块，该物理隔离模块如图2所示，硬件系统采用两颗嵌入式处理器，对数据包协议进行解析，通过内部数据通道连接进行数据交互、处理，完成网络接入、用户管理、信任验证、协议分析等操作，构建高吞吐量的安全隔离设备；分别用作前端视频接入网络和后端视频监控网络接入服务，两颗处理器之间通过自定义通道相连，分别为加载管理通道、消息传输通道和数据传输通道；加载管理通道:用于对从片进行启动加载；
消息传输通道:用于传输公开网络与可信网络之间的慢速双向数据，保证安全数据的控制传输；
数据传输通道:用于传递高吞吐量的安全数据，保证安全信息的高可靠信任传输；嵌入式处理器B定义为从片系统，启动加载由嵌入式处理器A主片控制，便于系统统一管理运行，主片系统配有硬件报警输出接口，在系统受到攻击或者运行异常时进行硬件报警输出；由此隔离前端视频接入网络和后端视频监控网络内部传输系统；避免了通过前端IPC网络接口或通道访问、攻击内部设备的可能性。
[0016]本系统的核心硬件为两个独立的处理器，可采用通用的ARM、PowerPC、DSP等系统处理器，网络接口根据项目需求配置网口数量，可根据芯片支持能力、项目需求处理器能力进行多端口配置；采用硬件连接通信，嵌入式处理器B从片采取无系统文件运行模式，保证系统不被篡改，全部由嵌入式处理器A主片进行加载、启动。
[0017]系统前端IPC网络接入可采用多种方式如交换机接入、以太网光环网系统以及以太网点对点接入系统，可通过对网络交换系统进行配置，设置网络隔离和端口 Vlan划分，解决网络共享功能，从而保证单个接入IPC节点都不能访问到其他节点的图像，做到视频监控系统的可靠性和安全性；
系统的设备管理和维护有平台管理软件发起，后端视频监控网络作为内部信任网络的设备可以通过交换网络直接获取设备状态和发送配置指令，对于作为公开网络B的前端IPC网络内的设备和摄像机，可通过视频隔离模块作为代理，获取设备状态和视频，进行虚拟设备管理，做到全网设备统一管理、调度。
[0018]2、本发明物理隔离模块的系统启动方案
处理器B在硬件上不带flash，通过处理器A系统将其需要的启动镜像文件加载到特定的内存地址，再开始引导的方式启动系统。
[0019]处理器A由系统复位，处理器B系统由处理器A系统进行系统复位和加载。处理器A系统通过固化在flash中的程序进行引导启动，进入系统后在本地文件系统根目录下创建特定的目录，将预先制作好的处理器B系统的启动镜像文件加载存放到该目录中。
[0020]处理器A系统加载内核启动模块，以支持处理器B的启动控制，消息通信等基础功會K。
[0021 ] 处理器A系统加载级联启动的驱动模块。
[0022]处理器A系统运行启动处理器B系统的应用程序，启动程序开始初始化处理器B系统需要用到的所有DDR，接着将处理器A系统目录下的启动镜像文件搬运到特定的处理器B的内存地址，S卩