一种视频专网与内部专网的安全隔离单向可靠传输的方法与流程
1.本发明涉及视频通信技术领域,具体涉及一种视频专网与内部专网的安全隔离单向可靠传输的方法。
背景技术:
2.警务信息网主要承载警务重要的业务应用系统和数据,为警务机关提供各类业务应用平台。视频监控业务突发性强,流量大,需要占用大量带宽资源。依托警务信息网承载视频监控业务,极易导致网络拥塞,影响警务信息网业务系统的正常运行。因此从保障警务信息网业务的稳定性来分析不能在警务信息网里运行视频专网。
3.随着警务云,视频云的建设,图侦应用的重要性和迫切性日益显著,图侦应用不仅对视频流调取的数量大,而且对实时性要求很高。因此,为保障警务信息网的稳定可靠运行,保障视频监控业务的应用需求得到满足,需要将视频监控业务使用独立的专网进行传输。同时,社会治安视频图像资源需要在政府部门间实现共享应用,但警务信息网要求其数据信息只能单向导入,不能对外导出,难以实现视频图像与其他部门的共享;因此从当前和未来视频业务的应用需求出发,需要独立的视频专网。
4.针对警务机关的如上需求,一般建立了各种级别的涉密网络,保护重要组织内部系统的安全。但在实际工作中高安全域网络中的业务系统和工作人员经常需要从低安全域网络传输某些数据或文件,即所谓单向传回输。视频信令只能从高密网
‑‑
》低密网单向传输数据,或者视频数据只能从低高密网
‑‑
》高密网单向传输,并且要求物理隔离、反向没有任何连接和交互。近十年来,物理隔离网闸在安全信息交换方面获得了极大应用,它在视频专网和内部专网之间传输数据时扮演着一种类似“信息渡船”的角,“船闸”的控制通过开关控制系统实现。传统的开关控制技术主要有两种:电子开关和存储介质读写控制开关。电子开关受器件本身限制,开关速度低,数据传输存在比较大的延时,因此网络的性能受到极大影响。存储介质读写控制开关受总线标准的限制,速度达不到要求,因而严重制约了网闸的性能发挥。更重要的是,这两种开关控制技术都是基于电接口的,物理上难以避免反馈控制信道的使用,因此由程序控制的数据单向写入、单向读出理论上依然存在被人为篡改的可能,从而导致单向隔离失效,产生灾难性的后果。为了实现视频专网和内部专网的真正安全物理隔离和信息单向传输,提高数据传输的可靠性和传输效率,针对上述问题,本发明利用非接触式光传输的单向性,在保证数据绝对单向高速率传输的基础上,采用一种支持视频监控领域视频信令和视频数据安全隔离与单向可靠传输的方法及系统。解决的技术问题是视频监控领域视频信令和视频数据无法有效实现安全隔离与单向可靠传输,一般视频专网和内部专网之间要求物理隔离,必须采用安全隔离组件构建传输通道,其中视频信令和视频数据不可共用同一个传输通道,且视频信令的数据量一般较小,传输可靠性要求比较高,不允许传输出错,但是视频数据的数据量一般较大,传输速率要求比较高,传输允许一定的丢包概率。
技术实现要素:
5.针对现有技术中存在的问题,本发明的目的在于提供一种视频专网与内部专网的安全隔离单向可靠传输的方法。
6.本发明解决其技术问题所采用的技术方案是:一种视频专网与内部专网的安全隔离单向可靠传输的方法,包括以下步骤:1)视频专网与内部专网通过监控视频单向隔离传输系统进行视频信令控制信息、视频信令应答信息和视频数据视频信息的独立单向传输;2)使用者位于内部专网,向监控视频单向隔离传输系统的内网端发出视频请求信令,请求信令通过单向传输隔离通道 1 到达外网端,外网端将该请求信令发送到视频专网的视频监控设备;3)视频专网的视频监控设备响应视频请求信令,向外网端发送视频响应信令,响应信令通过单向传输隔离通道 2 到达内网端,内网端将该响应信令发送到内部专网的使用者,完成视频请求的过程;4)视频专网的视频监控设备响应视频请求信令之后,开始向外网端发送视频流数据,视频流数据通过单向传输隔离通道 3 到达内网端,内网端将该视频流数据发送到内部专网的使用者,实现视频流的单向隔离组件传输。
7.具体的是,所述监控视频单向隔离传输系统包括外网端和内网端,外网端连接视频专网,内网端连接内部专网,外网端和内网端通过 3 个独立的单向传输隔离通道连接。具体的是,所述单向传输隔离通道的数据传输步骤如下:(1)分块编号:首先对要传输的原始数据进行分块编号,分割成固定大小的数据块,最后一个数据块不足用零填充;(2)冗余编码,数据包恢复:对每个数据块进行冗余编码,利用数据包回复算法进行数据纠错和数据恢复;(3)多重传输:同一个数据块先后多次重复传输,最后将具有相同编号的数据块进行交叉互补,多重覆盖;(4)数据包校验:接收端收到的每个数据包,计算首部和数据校验和,验证数据包的完整性;(5)文件摘要校验:按照数据块的编号重新组装原始数据,对组装后的原始数据进行摘要计算,校验整个数据的完整性。
8.具体的是,所述外网端包括管理接口、数据接口、业务管控平台、安全引擎和单向发送模块,内网端包括管理接口、数据接口、业务管控平台、安全引擎和单向接收模块。具体的是,所述管理接口采用 rj45 接口,采用 https 协议,用于配置外网侧和内网侧的系统参数,外网端的管理接口只连接外网侧专用管理计算机,内网端的管理接口只连接内网侧专用管理计算机。
9.具体的是,所述数据接口连接视频专网。
10.具体的是,所述业务管控平台为管理接口的 web 服务提供后台支撑,提供配置管理服务,为数据接口的视频数据和视频信令提供安全隔离传输逻辑通道,提供数据交换界面。
11.具体的是,所述安全引擎为每个单向传输隔离通道提供安全规则管理、信令防火
墙和视频流防火墙,信令防火墙用于信令的数据包过滤和非法数据包屏蔽,视频流防火墙用于视频流的数据包过滤和非法数据包屏蔽。
12.具体的是,所述单向发送模块将数据打包送到单向传输隔离通道,单向接收模块从单向传输隔离通道获取数据组包还原。
13.具体的是,所述单向传输隔离通道采用单向光通信技术和冗余编码纠错技术,光信号发射端和光信号接收端之间为自由空间,无任何线缆连接,也无光信号之外的电磁信号泄露。
14.本发明具有以下有益效果:本发明设计的视频专网与内部专网的安全隔离单向可靠传输的方法1、基于自由空间光通信技术的单向传输隔离通道,具备高带宽、高可靠性和无物理链接的特点,且具备硬件级别的单向传输特性;2、采用多级循环冗余编码技术,增加单向传输隔离通道的可靠性;3、基于3个独立的单向传输隔离通道的视频信令和视频数据融合一体化的单向可靠传输及控制系统,视频信令请求信息、视频信令应答信息和视频数据视频信息独立单向传输,各自通道互不干涉;4、高速视频数据传输的流量控制与并发处理技术,支持多用户高带宽并发。
附图说明
15.图 1 是视频专网与内部专网的安全隔离单向可靠传输的系统图。图 2 是 3 个独立的单向传输隔离通道的传输结构示意图。图 3 是单向传输隔离通道的内部传输结构示意图。图 4 是监控视频单向隔离传输系统的内部业务逻辑框图。
具体实施方式
16.以下将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地进一步详细的说明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
17.如图 1-4 所示,一种视频专网与内部专网的安全隔离单向可靠传输的方法,包括以下步骤:1)视频专网与内部专网通过监控视频单向隔离传输系统进行视频信令控制信息、视频信令应答信息和视频数据视频信息的独立单向传输;2)使用者位于内部专网,向监控视频单向隔离传输系统的内网端发出视频请求信令,请求信令通过单向传输隔离通道 1 到达外网端,外网端将该请求信令发送到视频专网的视频监控设备;3)视频专网的视频监控设备响应视频请求信令,向外网端发送视频响应信令,响应信令通过单向传输隔离通道 2 到达内网端,内网端将该响应信令发送到内部专网的使用者,完成视频请求的过程;4)视频专网的视频监控设备响应视频请求信令之后,开始向外网端发送视频流数据,视频流数据通过单向传输隔离通道 3 到达内网端,内网端将该视频流数据发送到内部
专网的使用者,实现视频流的单向隔离组件传输。
18.如图 1 所示,监控视频单向隔离传输系统的外网端连接视频专网,内网端连接内部专网,监控视频单向隔离传输系统内部采用图 1 所述的 3 个独立的单向传输隔离通道的硬件设备来实现视频信令控制信息、视频信令应答信息和视频数据视频信息的独立单向传输。
19.视频监控数据根据属性和目的,分为视频信令和视频数据,其中信令信息采用的通信协议,需要控制端设备和被控制端设备的双向交互和请求应答,若只采用外网端到内网端的单向信道,就破坏了这种通信协议。
20.在完整的视频监控数据通信过程中,视频信令一般在视频拉取和视频中断过程中才会出现,因此和视频数据相比,视频信令容量很小,视频数据容量巨大。若两者存在同一信道中,会因为堵塞、qos 效果不佳等效果影响产生视频信令丢包,视频数据本身允许少量丢包,视频信令对丢包很敏感。
21.因此本发明采用 3 个独立的单向传输隔离通道来传输视频信令控制信息、视频信令应答信息和视频数据视频信息,各司其职互相独立。单向传输隔离通道只允许数据。如图 2 所示,单向传输隔离通道 1 只有视频信令控制信息从内部专网传输到视频专网,单向传输隔离通道 2 只有视频信令应答信息从视频专网传输到内部专网,单向传输隔离通道 3 只有视频数据视频信息从视频专网传输到内部专网。单向传输隔离通道 1 和单向传输隔离通道 2 组合起来,变相的满足视频信令的双向交互和应答请求。
22.每个独立单向传输隔离通道本身只允许数据信息单向流动,虽然可以有效防止网络攻击,但缺失反向信道就意味着传输错误和传输丢包发端不可知,因此,引入多重纠错校验技术对数据进行冗余编码进行差错控制,接收端利用冗余编码进行错误检查甚至错误恢复,极大的提高数据传输的可靠性。
23.单向传输隔离通道的数据传输过程如图 3 所示,通过多级纠错校验提高传输可靠性:(1)分块编号:首先对要传输的原始数据进行分块编号,分割成固定大小的数据块,最后一个数据块不足用零填充。(2)冗余编码,数据包恢复:对每个数据块进行冗余编码,这样即使数据块部分丢失或者传输错误,只要在可恢复范围内,就可以利用数据包回复算法进行数据纠错和数据恢复。(3)多重传输:同一个数据块先后多次重复传输,最后将具有相同编号的数据块进行交叉互补,多重覆盖,以此来提高数据传输正确率。(4)数据包校验:接收端收到的每个数据包,计算首部和数据校验和,验证数据包的完整性。(5)文件摘要校验:按照数据块的编号重新组装原始数据,对组装后的原始数据进行摘要计算,校验整个数据的完整性。
24.监控视频单向隔离传输系统内部业务逻辑如图 4 所示:(1)监控视频单向隔离传输系统包含外网端和内网端;(2)外网端和内网端通过 3 个独立的单向传输隔离通道连接;(3)外网端和内网端,均包含了管理接口、数据接口、业务管控平台、安全引擎,外
网端有单向发送模块,内网端有单向接收模块;(4)外网端和内网端的管理接口采用 rj45 接口,采用 https 协议,用于配置外网侧和内网侧的系统参数。其中外网端的管理接口,只可连接外网侧专用管理计算机,不可连接外网侧专用管理计算机以外的网络。其中内网端的管理接口,只可连接内网侧专用管理计算机,不可连接内网侧专用管理计算机以外的网络;(5)外网端和内网端的数据接口连接视频专网,承载着监控视频的业务数据;(6)外网端和内网端的业务管控平台,为管理接口的 web 服务提供后台支撑,提供配置管理服务,为业务接口的视频数据和视频信令提供安全隔离传输逻辑通道,实现数据交换界面;(7)外网端和内网端的安全引擎,为每个安全隔离传输通道提供安全规则管理、信令防火墙和视频流防火墙,其中信令防火墙用于信令的数据包过滤和非法数据包屏蔽,视频流防火墙用于视频流的数据包过滤和非法数据包屏蔽;(8)外网端和内网端的单向发送模块和单向接收模块,为每个安全隔离传输通道提供设备管理、数据发送接收、软调制解调等功能。单向发送模块,仅实现将数据打包送到单向传输隔离通道。单向接收模块,仅实现从单向传输隔离通道获取数据组包还原;(9)单向传输隔离通道,采用单向光通信技术以及复杂的冗余编码纠错技术,光信号发射端和光信号接收端之间为自由空间,无任何线缆连接,也无光信号之外的电磁信号泄露,具有高带宽和高可靠性,无反向信号传输的特点。
25.本发明不局限于上述实施方式,任何人应得知在本发明的启示下作出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
26.本发明未详细描述的技术、形状、构造部分均为公知技术。
技术特征:
1.一种视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,包括以下步骤:1)视频专网与内部专网通过监控视频单向隔离传输系统进行视频信令控制信息、视频信令应答信息和视频数据视频信息的独立单向传输;2)使用者位于内部专网,向监控视频单向隔离传输系统的内网端发出视频请求信令,请求信令通过单向传输隔离通道1到达外网端,外网端将该请求信令发送到视频专网的视频监控设备;3)视频专网的视频监控设备响应视频请求信令,向外网端发送视频响应信令,响应信令通过单向传输隔离通道2到达内网端,内网端将该响应信令发送到内部专网的使用者,完成视频请求的过程;4)视频专网的视频监控设备响应视频请求信令之后,开始向外网端发送视频流数据,视频流数据通过单向传输隔离通道3到达内网端,内网端将该视频流数据发送到内部专网的使用者,实现视频流的单向隔离组件传输。2.根据权利要求1所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述监控视频单向隔离传输系统包括外网端和内网端,外网端连接视频专网,内网端连接内部专网,外网端和内网端通过3个独立的单向传输隔离通道连接。3.根据权利要求2所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述单向传输隔离通道的数据传输步骤如下:(1)分块编号:首先对要传输的原始数据进行分块编号,分割成固定大小的数据块,最后一个数据块不足用零填充;(2)冗余编码,数据包恢复:对每个数据块进行冗余编码,利用数据包回复算法进行数据纠错和数据恢复;(3)多重传输:同一个数据块先后多次重复传输,最后将具有相同编号的数据块进行交叉互补,多重覆盖;(4)数据包校验:接收端收到的每个数据包,计算首部和数据校验和,验证数据包的完整性;(5)文件摘要校验:按照数据块的编号重新组装原始数据,对组装后的原始数据进行摘要计算,校验整个数据的完整性。4.根据权利要求1所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述外网端包括管理接口、数据接口、业务管控平台、安全引擎和单向发送模块,内网端包括管理接口、数据接口、业务管控平台、安全引擎和单向接收模块。5.根据权利要求4所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述管理接口采用rj45接口,采用https协议,用于配置外网侧和内网侧的系统参数,外网端的管理接口只连接外网侧专用管理计算机,内网端的管理接口只连接内网侧专用管理计算机。6.根据权利要求4所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述数据接口连接视频专网。7.根据权利要求4所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述业务管控平台为管理接口的web服务提供后台支撑,提供配置管理服务,为数
据接口的视频数据和视频信令提供安全隔离传输逻辑通道,提供数据交换界面。8.根据权利要求4所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述安全引擎为每个单向传输隔离通道提供安全规则管理、信令防火墙和视频流防火墙,信令防火墙用于信令的数据包过滤和非法数据包屏蔽,视频流防火墙用于视频流的数据包过滤和非法数据包屏蔽。9.根据权利要求4所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述单向发送模块将数据打包送到单向传输隔离通道,单向接收模块从单向传输隔离通道获取数据组包还原。10.根据权利要求4所述的视频专网与内部专网的安全隔离单向可靠传输的方法,其特征在于,所述单向传输隔离通道采用单向光通信技术和冗余编码纠错技术,光信号发射端和光信号接收端之间为自由空间,无任何线缆连接,也无光信号之外的电磁信号泄露。
技术总结
本发明涉及视频通信技术领域,具体公开了一种视频专网与内部专网的安全隔离单向可靠传输的方法,视频专网与内部专网通过监控视频单向隔离传输系统进行视频信令控制信息、视频信令应答信息和视频数据视频信息的独立单向传输;单向传输隔离通道1只有视频信令控制信息从内部专网传输到视频专网,单向传输隔离通道2只有视频信令应答信息从视频专网传输到内部专网,单向传输隔离通道3只有视频数据视频信息从视频专网传输到内部专网;本发明采用多级循环冗余编码技术,增加单向传输隔离通道的可靠性;视频信令请求信息、视频信令应答信息和视频数据视频信息独立单向传输,各自通道互不干涉;支持多用户高带宽并发。支持多用户高带宽并发。支持多用户高带宽并发。
