本發(fā)明專利技術(shù)涉及一種基于代理與隔離的視頻安全接入系統(tǒng)及其方法,所述系統(tǒng)包括前置代理模塊、專用通信協(xié)議、隔離過濾模塊;所述前置代理模塊、專用通信協(xié)議、隔離過濾模塊將視頻源從外網(wǎng)安全的接入內(nèi)網(wǎng)統(tǒng)一監(jiān)控平臺。所述方法包括:(1)前置代理模塊對接入視頻源進行認證;(2)前置代理模塊接入視頻數(shù)據(jù)并解析視頻協(xié)議;(3)對視頻數(shù)據(jù)進行特征過濾、加擾和添加策略標(biāo)簽;(4)采用專用通信協(xié)議重組視頻數(shù)據(jù)發(fā)送至隔離過濾模塊;(5)隔離過濾模塊接收前置代理模塊發(fā)送來的專用協(xié)議封裝的視頻數(shù)據(jù);(6)隔離過濾模塊解析標(biāo)簽并進行過濾;(7)恢復(fù)視頻元數(shù)據(jù);(8)將視頻元數(shù)據(jù)進行視頻格式封裝并發(fā)送至內(nèi)網(wǎng)統(tǒng)一監(jiān)控平臺。
【技術(shù)實現(xiàn)步驟摘要】
本專利技術(shù)屬于計算機與網(wǎng)絡(luò)安全
,具體涉及一種基于代理與隔離的視頻安全接入系統(tǒng)及其方法。
技術(shù)介紹
隨著社會信息化建設(shè)的日益完善,很多大型企業(yè)、政務(wù)部門已實現(xiàn)辦公運營信息化和數(shù)字化。在政府內(nèi)部和大型企業(yè)內(nèi)部存在多級聯(lián)網(wǎng)的大型專用網(wǎng)絡(luò),由于建設(shè)過程考慮安全性,各網(wǎng)絡(luò)間保持著橫向分割、內(nèi)外分離的局面。信息化的飛速發(fā)展帶,來了信息網(wǎng)絡(luò)分散建設(shè)向資源整合利用轉(zhuǎn)變、信息系統(tǒng)獨立運行向互聯(lián)互通各資源共享轉(zhuǎn)變的需求。其中,內(nèi)外網(wǎng)的視頻信息共享就是一項重要的業(yè)務(wù)需求。對于視頻源接入的實現(xiàn),一般采用以下的處理方式:首先,在通用防火墻上開放特定的端口以接入視頻源。接著,通過專用模塊對視頻源報文進行解析。如果是涉及安全的業(yè)務(wù)應(yīng)用,在視頻源報文解析時可能還會進行報文過濾,丟棄一些非法報文。最后,將解析后的報文傳輸?shù)揭曨l播放平臺。這種方式是目前較為普遍的處理方式,在功能上能夠?qū)崿F(xiàn)視頻源的接入和傳輸。但是缺點顯而易見:安全防護較弱。通用型防火墻不能有效識別接入源的合法性、接入的協(xié)議是否為指定視頻源協(xié)議,也無法對視頻源協(xié)議的內(nèi)容進行過濾或重組,因此接入的視頻源存在被其他應(yīng)用協(xié)議侵入的風(fēng)險,也存在有害程序或指令通過視頻源協(xié)議侵入的風(fēng)險。并且,在傳輸視頻源報文的網(wǎng)絡(luò)通道上,也缺乏安全保障,存在一定的安全風(fēng)險。由于視頻數(shù)據(jù)分布范圍廣、數(shù)據(jù)流量大、協(xié)議格式單一等特點,在視頻數(shù)據(jù)通過外網(wǎng)接入到內(nèi)網(wǎng)時,有必要提出統(tǒng)一的視頻安全接入系統(tǒng),來確保視頻數(shù)據(jù)在內(nèi)外網(wǎng)交換過程中的安全。
技術(shù)實現(xiàn)思路
針對現(xiàn)有技術(shù)的不足,本專利技術(shù)提供一種基于代理與隔離的視頻安全接入系統(tǒng)及其方法,本專利技術(shù)有前置視頻代理服務(wù)模塊、隔離過濾模塊及模塊間通信專用協(xié)議。視頻源通過認證接入到前置代理模塊,代理服務(wù)模塊對視頻數(shù)據(jù)進行格式解析、添加干擾、增加管理標(biāo)簽、使用專用協(xié)議重新封裝后,交給隔離過濾模塊;隔離過濾模塊接到數(shù)據(jù)后,解析數(shù)據(jù),消除干擾,通過策略管理充分標(biāo)簽進行過濾,確保安全后,將視頻數(shù)據(jù)重新封裝成源視頻格式擺渡到內(nèi)網(wǎng)。該視頻接入系統(tǒng)基于代理與隔離的安全指導(dǎo)思想,以視頻協(xié)議解析、過濾、加擾和重組為核心技術(shù),通過代理技術(shù)實現(xiàn)視頻點播客戶端加固和自動協(xié)議轉(zhuǎn)換、通過私有協(xié)議進行通信、通過在隔離模塊對視頻源數(shù)據(jù)進行策略過濾,使得任何非法視頻源信息或有害指令都可以通過協(xié)議防護和安全傳輸通道進行過濾和隔離,以保證視頻源的安全接入。本專利技術(shù)的目的是采用下述技術(shù)方案實現(xiàn)的:一種基于代理與隔離的視頻安全接入系統(tǒng),其改進之處在于,所述系統(tǒng)包括前置代理模塊、專用通信協(xié)議、隔離過濾模塊;所述前置代理模塊、專用通信協(xié)議、隔離過濾模塊將視頻源從外網(wǎng)接入至內(nèi)網(wǎng)統(tǒng)一監(jiān)控平臺。優(yōu)選的,所述視頻源客戶端安裝視頻源中間件或中間件設(shè)備;視頻源中間件使用支持國密局SM2加密算法的智能USBKEY,通過TCP/IP協(xié)議與前置代理裝置進行身份認證;認證通過中間件以UDP協(xié)議將視頻源發(fā)送至前置代理裝置。優(yōu)選的,所述前置代理裝置通過TCP/IP協(xié)議與視頻流客戶端進行認證及控制操作,依據(jù)接入視頻源的用戶名、IP地址、身份證書信息對其進行認證。優(yōu)選的,所述系統(tǒng)對前置代理模塊和隔離模塊進行全面的日志審計,對視頻流安全接入裝置的軟硬件狀態(tài)及運行信息、管理員操作進行日志審計。優(yōu)選的,所述系統(tǒng)對視頻源的通信狀態(tài)進行實時監(jiān)控,包括連接者身份、連接建立的初始時間、上傳和下載數(shù)據(jù)量,管理員可根據(jù)需要隨時中斷其通訊連接。本專利技術(shù)基于另一目的提供的一種基于代理與隔離的視頻安全接入方法,其改進之處在于,所述方法包括:(1)前置代理模塊對接入視頻源進行認證;(2)前置代理模塊接入視頻數(shù)據(jù)并解析視頻協(xié)議;(3)對視頻數(shù)據(jù)進行特征過濾、加擾和添加策略標(biāo)簽;(4)采用專用通信協(xié)議重組視頻數(shù)據(jù)發(fā)送至隔離過濾模塊;(5)隔離過濾模塊接收前置代理模塊發(fā)送來的專用協(xié)議封裝的視頻數(shù)據(jù);(6)隔離過濾模塊解析標(biāo)簽并進行過濾;(7)恢復(fù)視頻元數(shù)據(jù);(8)將視頻元數(shù)據(jù)進行視頻格式封裝并發(fā)送至內(nèi)網(wǎng)統(tǒng)一監(jiān)控平臺。優(yōu)選的,所述步驟(2)包括所述解析視頻協(xié)議依據(jù)標(biāo)準(zhǔn)的視頻協(xié)議將視頻源解析成視頻元數(shù)據(jù)。優(yōu)選的,所述步驟(3)包括所述視頻源特征過濾、加擾和標(biāo)簽提取,采用專用特征過濾算法和過濾規(guī)則,濾除不符合視頻源報文特征的非法報文。優(yōu)選的,所述步驟(3)包括在視頻元數(shù)據(jù)中加入無用的視頻幀擾亂信息。優(yōu)選的,所述步驟(3)包括提取視頻報文、視頻報文的特征以及管理策略作為標(biāo)簽信息。優(yōu)選的,所述步驟(4)包括重組視頻數(shù)據(jù)將加擾視頻數(shù)據(jù)隨機分塊,與標(biāo)簽信息一起通過專用私有通信協(xié)議,進行封裝,并發(fā)送到隔離過濾模塊。優(yōu)選的,所述步驟(5)包括隔離過濾模塊實時監(jiān)聽從前置服務(wù)模塊經(jīng)專用協(xié)議封裝后發(fā)送過來的視頻源數(shù)據(jù)。優(yōu)選的,所述步驟(6)包括專用協(xié)議解析依據(jù)專用私有通信協(xié)議格式解析視頻數(shù)據(jù),去除加擾視頻幀,提取標(biāo)簽;標(biāo)簽過濾依據(jù)管理策略庫,對提取的標(biāo)簽進行匹配,通過視頻數(shù)據(jù)標(biāo)簽信息,對視頻進行過濾。優(yōu)選的,所述步驟(7)包括解析隨機分塊的噪聲視頻元數(shù)據(jù),恢復(fù)視頻元數(shù)據(jù)。優(yōu)選的,所述步驟(8)包括視頻通過安全過濾后,將視頻數(shù)據(jù)經(jīng)標(biāo)準(zhǔn)視頻協(xié)議進行恢復(fù),轉(zhuǎn)發(fā)至內(nèi)網(wǎng)統(tǒng)一監(jiān)控平臺。優(yōu)選的,所述前置代理裝置將封裝后的視頻流數(shù)據(jù)通過TCP/IP協(xié)議發(fā)送至隔離裝置;所述隔離裝置監(jiān)聽特定端口,接收前置代理裝置的以私有格式封裝的TCP報文;所述隔離裝置將恢復(fù)的視頻源數(shù)據(jù)通過UDP端口轉(zhuǎn)發(fā)至統(tǒng)一監(jiān)控平臺。與現(xiàn)有技術(shù)比,本專利技術(shù)的有益效果為:1、本專利技術(shù)在視頻點播平臺和視頻源之間采用專用私有協(xié)議進行通信,通過代理技術(shù)實現(xiàn)了視頻源信息的隔離、過濾、交換功能。2、本專利技術(shù)在通用防火墻后部署專用的視頻源安全接入服務(wù),對經(jīng)過的所有通信報文進行協(xié)議分析,通過對視頻源協(xié)議特征的識別,可阻斷一切非指定視頻源協(xié)議的報文。3、本專利技術(shù)基于視頻源協(xié)議的特征,利用加擾技術(shù)提高協(xié)議防護的安全等級。在視頻源報文解析和重組時,通過插入部分無用幀數(shù)據(jù)等無效信息,達到數(shù)據(jù)擾亂的目的,可破壞黑客植入攻擊性代碼或數(shù)據(jù),滿足安全等級較高的業(yè)務(wù)應(yīng)用需求。4、本專利技術(shù)中的統(tǒng)一安全策略過濾服務(wù)可根據(jù)管理部門制定的安全管理規(guī)定進行靈活控制,例如視頻源密級劃分、授權(quán)等。如果忽略安全管理策略就容易導(dǎo)致視頻源被非授權(quán)用戶訪問,視頻源泄漏等安全風(fēng)險。5、統(tǒng)一安全策略過濾服務(wù)在視頻源進行特征識別時,提取關(guān)鍵信息形成策略管理標(biāo)簽,在通過隔離模塊時根據(jù)管理部門制定本文檔來自技高網(wǎng)...
【技術(shù)保護點】
一種基于代理與隔離的視頻安全接入系統(tǒng),其特征在于,所述系統(tǒng)包括前置代理模塊、專用通信協(xié)議、隔離過濾模塊;?所述前置代理模塊、專用通信協(xié)議、隔離過濾模塊將視頻源從外網(wǎng)接入至內(nèi)網(wǎng)統(tǒng)一監(jiān)控平臺。
【技術(shù)特征摘要】
1.一種基于代理與隔離的視頻安全接入系統(tǒng),其特征在于,所述系統(tǒng)包括前置代理模塊、專用通信協(xié)議、隔離過濾模塊;?
所述前置代理模塊、專用通信協(xié)議、隔離過濾模塊將視頻源從外網(wǎng)接入至內(nèi)網(wǎng)統(tǒng)一監(jiān)控平臺。?
2.如權(quán)利要求1所述的一種基于代理與隔離的視頻安全接入系統(tǒng),其特征在于,所述視頻源客戶端安裝視頻源中間件或中間件設(shè)備;?
視頻源中間件使用支持國密局SM2加密算法的智能USBKEY,通過TCP/IP協(xié)議與前置代理裝置進行身份認證;認證通過中間件以UDP協(xié)議將視頻源發(fā)送至前置代理裝置。?
3.如權(quán)利要求1所述的一種基于代理與隔離的視頻安全接入系統(tǒng),其特征在于,所述前置代理裝置通過TCP/IP協(xié)議與視頻流客戶端進行認證及控制操作,依據(jù)接入視頻源的用戶名、IP地址、身份證書信息對其進行認證。?
4.如權(quán)利要求1所述的一種基于代理與隔離的視頻安全接入系統(tǒng),其特征在于,所述系統(tǒng)對前置代理模塊和隔離模塊進行全面的日志審計,對視頻流安全接入裝置的軟硬件狀態(tài)及運行信息、管理員操作進行日志審計。?
5.如權(quán)利要求1所述的一種基于代理與隔離的視頻安全接入系統(tǒng),其特征在于,所述系統(tǒng)對視頻源的通信狀態(tài)進行實時監(jiān)控,包括連接者身份、連接建立的初始時間、上傳和下載數(shù)據(jù)量,管理員可根據(jù)需要隨時中斷其通訊連接。?
6.一種基于代理與隔離的視頻安全接入方法,其特征在于,所述方法包括:?
(1)前置代理模塊對接入視頻源進行認證;?
(2)前置代理模塊接入視頻數(shù)據(jù)并解析視頻協(xié)議;?
(3)對視頻數(shù)據(jù)進行特征過濾、加擾和添加策略標(biāo)簽;?
(4)采用專用通信協(xié)議重組視頻數(shù)據(jù)發(fā)送至隔離過濾模塊;?
(5)隔離過濾模塊接收前置代理模塊發(fā)送來的專用協(xié)議封裝的視頻數(shù)據(jù);?
(6)隔離過濾模塊解析標(biāo)簽并進行過濾;?
(7)恢復(fù)視頻元數(shù)據(jù);?
(8)將視頻元數(shù)據(jù)進行視頻格式封裝并發(fā)送至內(nèi)網(wǎng)統(tǒng)一監(jiān)控平臺。?
7.如權(quán)利要求6所述的一種基于代理與隔離的視頻安全接入方法,其特征在于,所述步驟(2)包括所述解析視頻協(xié)議依據(jù)標(biāo)準(zhǔn)的視頻協(xié)議將...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:汪晨,周誠,林為民,張濤,馬媛媛,邵志鵬,時堅,錢炫宇,劉時敏,楚杰,
申請(專利權(quán))人:國家電網(wǎng)公司,中國電力科學(xué)研究院,
類型:發(fā)明
國別省市:北京;11
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。