一种社会视频网接入视频专网的网络安全管控系统的制作方法
【专利摘要】本发明公开了一种社会视频网接入视频专网的网络安全管控系统,它包括视频专网、若干个社会视频网以及设置于视频专网和社会视频网之间的若干个接入设备,所述视频专网上设置有集中管理平台。本发明通过接入设备及集中管理平台实现网络安全管控,在保证数字视频信息实时传输要求的同时,从网络数据包的底层协议层面,以物理隔离的方式拦截非法数据流和非法用户的访问,保证社会视频网至视频专网的接入安全。
【专利说明】
一种社会视频网接入视频专网的网络安全管控系统
技术领域
[0001]本发明涉及网络安全技术领域,尤其是一种实现社会视频网接入视频专网的网络安全管控系统,实现数字视频联网。在保证数字视频信息实时传输要求的同时,从网络数据包的底层协议层面,以物理隔离的方式拦截非法数据流和非法用户的访问,保证社会视频网至视频专网的接入安全;所述社会视频网是指社区、酒店等视频监控系统组成的网络;视频专网是指公安、政府、机构的视频监控系统组成的专用网络。
【背景技术】
[0002]互联网网络安全产品种类繁多,在网络边界的接入安全方面,主要有防火墙、网闸、安全网关、认证系统等。这些安全产品主要针对互联网设计,能在一定程度上对网络起到保护作用,但是缺乏针对数字视频网络特殊需求的优化设计。
[0003]随着基于数字高清视频的各种智能分析应用日益成熟和普及、视频大数据应用的兴起,以及公共安全对数字视频越来越高的依赖,催生了数字视频大联网需求。
[0004]因此,基于数字视频应用的安全产品,特别是社会视频资源接入视频专网的边界控制,成为一个迫切的需求。常规IT网络安全设备,在高速处理与视频实时传输、小型化与外场安装适应性、数字高清视频协议分析、外场安全设备的集中管控等方面,不能满足数字视频联网的需求。
【发明内容】
[0005]本发明的目的是针对现有技术存在的问题而提供的一种社会视频网接入视频专网的网络安全管控系统,该系统为社会图像资源安全接入视频专网提供了保障,其具有小型化、实时处理、以物理隔离等特点。
[0006]实现本发明目的的具体技术方案是:
一种社会视频网接入视频专网的网络安全管控系统,特点在于该系统包括:
视频专网,部署有视频监控系统和监管接入设备的集中管理平台;
若干个社会视频网,分别通过接入设备与视频专网互接,每个社会视频网均部署有视频监控系统。
[0007]若干个接入设备,设置于视频专网和社会视频网之间,将社会视频网中的监控视频安全接入至视频专网;其中:
所述集中管理平台包括:
管理平台服务器,负责接入设备管理和监控;
管理平台客户端,负责处理与用户的交互操作。
[0008]所述接入设备包括:
第一RJ45网络接口,用于连接社会视频网;
第二RJ45网络接口,用于连接视频专网;
第一以太网物理层芯片(PHY),通过网络数据通道与第一 RJ45网络接口互联,用于控制网络接口收发数据,支持100M的传输速率;
第二以太网物理层芯片(PHY),通过网络数据通道与第二 RJ45网络接口互联,用于控制网络接口收发数据,支持1000M的传输速率;
FPGA,社会视频网与视频专网之间的安全通信主控芯片,负责所有社会视频网与视频专网通信的数据转发和过滤;并通过网络数据通道与第一Ethernet PHY及第二EthernetPHY互联;
第一 Flash存储器,与FPGA连接,存储FPGA的配置信息;
电源模块,为接入设备供电;
M⑶,管理控制芯片,通过管理信息通路与FPGA互联,实现设备的配置和管理及监控设备状态;
第二 Flash存储器,与MCU互联,负责保存MCU相关的数据;
网络数据通路,是社会视频网和视频专网之间的数据通路。
[0009]管理信息数据通路,是集中管理平台配置、管理设备的数据通路。
[0010]所述集中管理平台的服务器通过协议通道传输服务器与接入设备之间的通信数据;并接受客户端提交的用户操作请求。
[0011]所述集中管理平台的客户端负责提供用户交互界面,用户交互操作请求信息与服务器响应信息,通过网络传输。
[0012]本发明的接入设备和集中管理平台,用于将社会视频网(以下简称“外网”)安全接入到视频专网(以下简称“内网”),实现视频资源大联网。接入设备阻止非法用户的访问、控制数据的传输,只允许调取图像资源的指令从内网传输到相关外网、只允许被调取的视频数据流从外网传输到内网;集中管理平台实现对部署在各网络边界的接入设备进行监控和管理。
[0013]本发明的接入设备以FPGA芯片作为核心,通过对FPGA编程,将代码固化,使之成为超大规模ASIC专用芯片,不运行操作系统,仅依靠硬件逻辑电路,在物理层面实现安全管控。具备如下特性:
(I)通信控制功能,包括:①安全过滤。传输层的MAC地址审核、协议审核;网络层的IP地址审核、协议审核;传输层的端口审核。②联网,网络层的IP地址转换,应用层的SIP协议转换。
[0014](2)网管功能,包括:①设备监管,设备配置、管理;设备监控,包括接口状态监控、内部环境温度监控等。②心跳,定时发出心跳信号以声明设备在线。
[0015](3)白名单机制,所有安全措施均采用白名单机制,符合白名单规则的数据才允许通过,否则数据将被丢弃。
[0016](4)动态端口跟踪,接入设备可在网络数据流中提取关键数据包中的通信必须的自定义端口号,添加到端口白名单中,维护其生命周期,达到按需动态放行特定端口号的数据。
[0017](5)七元素绑定审核,对源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议七种元素全部或部分进行绑定,接入设备只允许符合规定的数据包通过。
[0018](6)符合视频联网国标(GB/T 28181),支持SIP协议穿透接入设备。
[0019](7)处理速率:10001?^8,端口速度支持100/10001?^8自适应。
[0020](8)数据时延〈65 US0
[0021](9)防护等级:IP40。
[0022](10)工作环境温度:-40?+85Γ ο
[0023](11)工作环境湿度:工作湿度O?90%RH。
[0024](12)代码加密,防止逆向破解。
[0025]本发明的集中管理平台实现对部署在内网与外网之间的所有接入设备的监控和管理,具备如下特性:
(1)安全管理,包括接入鉴权,只有合法的、经过配置的和无故障的接入设备可以正常接入内网,正常执行社会图像网和视频网的对接;
(2)配置管理,配置、管理每一台接入设备;
(3)故障管理;
(4)运行日志记录。
[0026]本发明可实现安全、稳定、高速的网络连接。集中管理平台实现对视频专网中的所有安全接入设备进行监控、管理。在保证数字视频信息实时传输要求的同时,从网络数据包的底层协议层面,以物理隔离的方式拦截非法数据流和非法用户的访问,保证社会视频网至视频专网的接入安全。
【附图说明】
[0027]图1为本发明结构不意图;
图2为本发明接入设备结构框图;
图3为本发明接入设备存储-转发示意图;
图4为本发明数据链路层网络数据报文结构图;
图5为本发明IP报文格式示意图;
图6为本发明传输层数据报文格式示意图;
图7为本发明集中管理平台连接示意图。
【具体实施方式】
[0028]下面结合附图对本发明进行详细描述。
[0029]参阅图1,本发明包括:
视频专网I,部署有视频监控系统和监管接入设备的集中管理平台10;
若干个社会视频网2,部署有视频监控系统。
[0030]若干个接入设备3,部署于视频专网和社会视频网的之间,用于将社会视频网中的监控视频安全接入到视频专网;
若干个网络摄像机(IPC)4,部署于社会视频网,用于视频图像的采集;其中:
所述监管接入设备3的集中管理平台10包括服务器11及客户端12,服务器11部署于视频专网I,负责接入设备3的管理和监控;客户端12部署于视频专网I,负责处理与用户的交互操作。
[0031]本发明的接入设备3部署在视频专网I和社会视频网2之间,就近实现社会视频网2(以下简称“外网”,比如:酒店、商场、社区等数字视频监控系统)到视频专网1(以下简称“内网”)的安全接入,按国标GB/T 28181实现视频资源大联网。集中管理平台10部署在内网,实现对各接入设备3的监控和管理。
[0032]一台接入设备3将一个外网2接入内网I,通过集中管理平台10对接入设备3进行监控和管理;若干台接入设备3将若干个外网2接入内网I,并通过集中管理平台10对若干台接入设备3进行监控和管理。
[0033]参阅图2,本发明的接入设备3包括:
第一 RJ45网络接口 31,用于连接社会视频网2;
第二RJ45网络接口 32,用于连接视频专网I ;
第一以太网物理层芯片(PHY)33,用于控制网络接口收发数据,支持1000M的传输速率; 第二以太网物理层芯片(PHY)34,用于控制网络接口收发数据,支持1000M的传输速率; Flash存储器35,负责存储FPGA的配置信息;
FPGA 36:,社会视频网2与视频专网I之间的安全通信主控芯片,负责所有两网通信的数据转发和过滤;
电源模块37,为接入设备3供电;
MCU 38,管理控制芯片,实现设备的配置和管理,监控设备状态等功能;
Flash存储器39,负责保存MCU相关的数据;
网络数据通路LI,是社会视频网2和视频专网I之间的数据通路。
[0034]管理信息数据通路L2,是集中管理平台10配置、管理接入设备3的数据通路。
[0035]接入设备3的通信控制,主要负责内网和外网之间的数据传输和过滤,并保证通信安全,包括联网功能和安全过滤功能。接入设备3的网管主要负责监控设备状态,并根据集中管理平台10的服务器11发送的信令管理、配置接入设备3。
[0036]接入设备3核心部件为FPGA 36和MCU 38;FPGA采用白名单机制,实现社会视频网2安全接入视频专网I 8为一块微处理芯片,监控、管理接入设备3,并采用专用通信协议将接入设备3的管理信息和状态信息传输至集中管理平台10的服务器11,实现对接入设备3的网络管理。
[0037]FPGA是一个纯硬件数字逻辑系统,一旦设计代码被固化进FPGA,它就成为一个具有智慧的超大规模专用集成电路(ASIC),以纯硬件数字逻辑电路方式运作,实现内网口和外网口之间数据的安全过滤和管控。
[0038]FPGA控制两个网络端口,对从输入接口(内网或者外网)进入接入设备3的网络数据进行协议解析,识别出保障基本通信的协议数据包,并根据具体需求,结合通信白名单,对数据包进行分析、处理、重新封装,然后将数据包由输出接口(外网或内网)送出。
[0039]下面介绍白名单机制和FPGA对数据的处理过程。
[0040]白名单机制是指,为了保证内网和外网之间传输的数据安全可信,将符合用户需求和认可的网络设备、保障基本通信的网络协议整理收集,并建立一个白名单。该白名单中包含多种安全规则,主要包括MAC地址、IP地址、端口、网络协议、地址转换规则、SIP数据处理规则等。FPGA对流经设备的每一个数据包进行检测,判断其是否符合白名单中定义的规则。如果符合白名单规则,则会用白名单规则对应的处理逻辑对数据进行处理,然后转发该数据包;否则,将直接丢弃该数据包。
[0041]FPGA对数据的处理过程包括:协议解析,数据分析、处理、重新封装,数据输出。
[0042]协议解析:根据TCP/IP协议定义的各协议报文格式及层次关系,FPGA识别出每个数据包,并进行协议拆封。
[0043]数据分析:得到拆封后的网络数据包后,FPGA根据每个数据包的类型以及特征内容,从白名单中查找对应的安全规则。如果能够找到匹配的安全规则,则进入数据处理阶段;否则,FPGA将直接丢弃该数据包。
[0044]数据处理:数据处理主要以白名单定义为依据。FPGA先从白名单中找到数据包匹配的安全规则项,根据白名单规则项对应的处理逻辑,对数据包进行关键内容的修改或地址转换等处理操作,保证数据内容进入另一个网络后,能够被其中的网络设备、应用软件正确转发和识别。
[0045]重新封装:待数据处理完成,FPGA将根据TCP/IP协议,对数据内容进行对应的协议封装,并重新进行校验。
[0046]数据输出:数据重新封装之后,将进入网络接口的发送缓冲区,等待输出端口发出。
[0047]下面介绍FPGA的数据处理通路的基本原理。
[0048]在FPGA中配置输入、输出、实时过滤器和存储器。实时过滤器中存储安全过滤规贝IJ,实时过滤器的基本实现方法是逐字节的匹配检测,符合白名单定义的数据包将被打上合法标识符,送往存储器缓存,等输出端口空闲了就从输出端口送出;而不符合白名单定义的数据包将被打上非法标识符,送往存储器后,会产生一个清除指令将该数据包清除,因此输出端口将不会输出该数据包,从而实现了过滤功能。
[0049 ]参阅图3,该图为FPGA数据处理通路,基本的原理是存储-转发机制。
[0050]图中,输入数据流51通过数据传输通道52进入实时过滤器53,实时过滤器53负责白名单规则匹配,对输入数据进行过滤;对符合定义的数据包将被打上合法标识符,通过数据传输通道54送往存储器55缓存,并通过数据传输通道56将过滤后的数据流57输出,清除信号58,负责通知存储器清除数据包。
[0051]下面根据常用的五层网络参考模型叙述本发明接入设备3过滤功能的具体实现。
[0052]参阅图4,为网络数据包在数据链路层的报文格式。图中:
目的MAC地址:数据帧的目的物理地址;
源MAC地址:数据帧的发送者的物理地址;
类型:网络层数据的协议类型;
净荷区:数据载荷区;
校验:数据帧的校验位。
[0053]针对这一层的审核功能有:MAC审核、协议审核。对应的白名单项有三组,分别为源MAC地址、目的MAC地址和协议类型三种信息。举个例子,假如AA-BB-CC-DD-00-11是唯一的白名单源MAC地址,那么来自这个地址的数据包就能通过过滤器并被输出端口转发出去,而除此以外的源地址来的数据包都会被拦截。目的MAC地址过滤功能与此相同。数据包类型则是审查该数据包所使用的三层网络协议,譬如白名单只允许IP协议和ARP协议通过,那么其他类型协议的数据包将被过滤掉。
[0054]参阅图5,为IP报文格式,图中:
版本:1P协议的版本号; 首部长度:1P报文的首部长度;
服务类型:表示数据包的特殊处理类型;
总长度:1P数据报的总长度;
标识:标记IP的标识符;
标志位:1P报文的特殊标记,用于IP分片和重组功能;
片偏移:1P分片数据的起始点的位置偏移;
TTL:报文的生命期;
传输层协议:指明使用此报文的传输层协议;
首部校验和:报文的首部校验和;
源IP地址:此报文的发送者的IP地址;
目的IP地址:此报文将送达的目的地址;
净荷区:数据载荷区域。
[0055]网络层最常见的就是IP协议,它包含了源IP地址、目的IP地址以及传输层所使用的协议类型等信息。这一层涉及的安全功能有IP地址审核和协议审核,对应的白名单同样有三组,分别对应于以上三种信息。过滤规则也与数据链路层类似。
[0056]参阅图6,传输层数据报文格式,图中:
源端口:发送此报文的端口号;
目的端口:此报文将送达的端口号;
其他首部信息:传输层报文的其他首部信息,TCP和UDP各不相同;
净荷区:应用数据载荷。
[0057]传输层与应用层的过滤紧密相关,传输层报文包含了源端口和目的端口两个信息,而端口号与应用层协议类型有者密切的联系,在白名单机制中,设置端口白名单就是限制了相应的应用类型。对于使用固定端口的应用层协议的过滤,与数据链路层和网络层类似。不同于MAC地址和IP地址的是,在某些协议中端口号常常是动态可变(即自定义端口)的,因此本发明接入设备3添加了动态端口追踪的功能,从而避免误删合法数据包。
[0058]动态端口跟踪是指,接入设备3可在网络数据流中提取关键数据包中的应用层协议使用的自定义端口号,添加到端口白名单中,维护其生命周期,达到按需动态开放特定端口号的目的。主要实现方式是,根据网络数据报文的特征,抓取特殊网络数据报文,并根据协议特性,提取自定义端口号,然后将该端口号加入白名单中。并在端口号使用完之后将其从白名单中删除。以FTP为例,使FTP服务器与FTP客户端通过接入设备3连接,FTP的控制端口号为某特定数字,因此将该数字作为白名单配置下去,FTP客户端可以与FTP服务器建立起基本链接。随后FTP客户端会向FTP服务器请求一个数据端口号用于文件传输,FTP服务器随即返回一个随机端口号给客户端,这个端口号位于应用层数据中,并以ASCII码形式出现。本发明接入设备3根据协议定义,追踪到包含该随机端口号的特殊数据包,并将这个随机端口号记录下来,动态添加到端口白名单中。此后FTP客户端和FTP服务器便可以通过这个数据端口正常传输文件而不需要M⑶或人工干预。同理,接入设备3针对GB/T 28181标准定制开发,使符合GB/T 28181标准的协议(SIP等)的视频数据可以顺利通过网络边界进入视频专网I。
[0059]七元素绑定审核是指,对源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议七种元素全部或部分进行绑定,接入设备3只允许符合规定的数据包通过。实现方式是,将前文所述的MAC地址审核、IP地址审核、端口审核、传输协议审核等全部或部分的多个审核过程进行串联检测,通过串联链路上的全部审核的数据包才被视为合法,进而放行。如果中途出现任何审核不通过,则将数据包被视为不合法,进而丢弃。
[0060]参阅图7,集中管理平台的实现,图中:
接入设备3,部署于视频专网I与社会视频网2之间,负责视频资源的安全接入控制;专用协议通道13,基于以太网的数据通路,使用专用协议传输服务器与接入设备之间的通信数据;
服务器11,集中管理平台服务器,部署于视频专网,负责管理接入设备3,并接受客户端提交的用户操作请求;
客户请求与响应14,客户端的用户交互操作请求信息与服务器响应信息,通过网络传输;
客户端12,负责提供用户交互界面,部署于视频专网I;
集中管理平台10,包含服务器11与客户端12,部署于视频专网I;
集中管理平台10采用C/S结构,包括服务器11和客户端12。服务器11主要负责接入设备3的入网认证等安全管理功能。处理客户端的操作请求,如调取或查询接入设备状态、配置信息等的配置网管。客户端12主要负责向服务器11提交用户的操作请求,并将服务器11返回的信息以友好的形式展现给用户。集中管理平台10可实现对所有视频专网I上的接入设备3的管理、监控、配置等功能。
[0061]服务器11硬件采用通用服务器,运行集中管理平台服务端软件。
[0062]客户端12硬件采用通用PC,运行集中管理平台客户端软件。
[0063]本发明集中管理平台10主要功能的实现:
安全管理:安全管理指对接入设备3的安全管理,包括接入设备3的认证鉴权、通信加密等。每台接入设备3在上电之后,内外网端口之间是完全断开的,接入设备3入网前必须向集中管理平台10进行注册。接入设备3在鉴权通过、注册成功之后,才能根据安全策略配置将社会视频网2接入视频专网I。未通过鉴权的接入设备3无法从服务器11得到入网授权,将被禁止接入视频专网I,亦无法使社会视频网2中的数据进入视频专网I。
[0064]配置管理与故障管理:集中管理平台服务器11与接入设备3之间,使用一种专用网络管理协议进行通信。通过平台客户端12可进行远程配置接入设备3的安全策略以及其他基本信息,监控接入设备3状态,故障监控及响应等操作。如图7所示,用户从客户端12向服务器11发出操作请求,服务器11解析请求信息后,使用专用网络管理协议与接入设备3进行通信,获得用户所需要的信息后反馈给客户端12,客户端12再以友好的形式展现给用户。
[0065]此外,集中管理平台10还具备运行日志记录功能,本发明接入设备3搭载M⑶可记录设备的主要运行信息,并形成日志保存在设备存储器中。根据日志同步设置,接入设备3可按时自动将日志上传到平台服务器11或者等待平台服务器11调取。集中管理平台支持对日志进行长时间保存,并以用户友好的形式展现给用户,以便用户随时掌握接入设备的运行日志和相关网络事件信息。
[0066]本发明接入设备3的联网,主要涉及网络层和应用层。
[0067]联网是指正确联通合法的监控视频信令和数据,使两个网络在逻辑上统一,其实现主要包括两个关键点:1)数据包的转发,即数据包转发至另一个网络;2)保证数据在另一个网络的正确性,即保证数据能够正常到达目的主机,并能够被目的主机的应用程序识别。数据包的转发在先已有叙述,下面介绍如何保证数据在另一个网络的正确性,其包括网络地址转换和SIP协议处理。
[0068]在网络层,IP地址决定了数据包是否能够被网络设备正确转发。为保证数据包的IP地址的合法性,FPGA在数据处理过程中,会根据白名单的定义,精确的更改数据包的IP地址,使数据包的IP地址转变为输出网络中的合法地址,并对数据包重新进行校验。从而保证数据包能够被正确转发至目的主机。
[0069]在应用层,依据GB/T28181定义的视频联网标准,视频传输的信令由SIP协议传输。SIP协议中包含有视频流地址及认证信息等内容。接入设备3的FPGA核心中定义有SIP协议的特定报文的抓取规则,FPGA会根据白名单定义,将SIP协议中的IP地址转换为输出网络可识别的合法IP地址,并保证认证信息的完整性,然后重新对数据包进行校验。从而实现SIP数据包可被目的主机应用层中的SIP处理软件模块识别,保证视频的正常通信。
【主权项】
1.一种社会视频网接入视频专网的网络安全管控系统,其特征在于该系统包括: 视频专网,部署有视频监控系统和监管接入设备的集中管理平台; 若干个社会视频网,分别通过接入设备与视频专网互接,每个社会视频网均部署有视频监控系统; 若干个接入设备,设置于视频专网和社会视频网之间,将社会视频网中的监控视频安全接入至视频专网;其中: 所述集中管理平台包括: 管理平台服务器,负责接入设备管理和监控; 管理平台客户端,负责处理与用户的交互操作。2.根据权利要求1所述的系统,其特征在于所述接入设备包括: 第一RJ45网络接口,用于连接社会视频网; 第二RJ45网络接口,用于连接视频专网; 第一以太网物理层芯片(PHY),通过网络数据通道与第一 RJ45网络接口互联,用于控制网络接口收发数据,支持100M的传输速率; 第二以太网物理层芯片(PHY),通过网络数据通道与第二 RJ45网络接口互联,用于控制网络接口收发数据,支持1000M的传输速率; FPGA,社会视频网与视频专网之间的安全通信主控芯片,负责所有社会视频网与视频专网通信的数据转发和过滤;并通过网络数据通道与第一以太网物理层芯片及第二以太网物理层芯片互联; 第一 Flash存储器,与FPGA连接,存储FPGA的配置信息; 电源模块,为接入设备供电; MCU,管理控制芯片,通过管理信息通路与FPGA互联,实现配置和管理及监控状态; 第二 Flash存储器,与MCU互联,负责保存MCU相关的数据; 网络数据通路,是社会视频网和视频专网之间的数据通路; 管理信息数据通路,是集中管理平台配置、管理设备的数据通路。3.根据权利要求1所述的系统,其特征在于所述集中管理平台的服务器通过协议通道传输服务器与接入设备之间的通信数据;并接受客户端提交的用户操作请求。4.根据权利要求1所述的系统,其特征在于所述集中管理平台的客户端负责提供用户交互界面,用户交互操作请求信息与服务器响应信息,通过网络传输。
【文档编号】H04L12/46GK106027358SQ201610542657
【公开日】2016年10月12日
【申请日】2016年7月12日
【发明人】张军, 黄世美, 刘清, 刘一清, 余奔, 夏邓伟, 毛晓东
【申请人】上海厚泽信息技术有限公司