本发明专利技术涉及一种基于代理与隔离的视频安全接入系统及其方法,所述系统包括前置代理模块、专用通信协议、隔离过滤模块;所述前置代理模块、专用通信协议、隔离过滤模块将视频源从外网安全的接入内网统一监控平台。所述方法包括:(1)前置代理模块对接入视频源进行认证;(2)前置代理模块接入视频数据并解析视频协议;(3)对视频数据进行特征过滤、加扰和添加策略标签;(4)采用专用通信协议重组视频数据发送至隔离过滤模块;(5)隔离过滤模块接收前置代理模块发送来的专用协议封装的视频数据;(6)隔离过滤模块解析标签并进行过滤;(7)恢复视频元数据;(8)将视频元数据进行视频格式封装并发送至内网统一监控平台。
【技术实现步骤摘要】
本专利技术属于计算机与网络安全
,具体涉及一种基于代理与隔离的视频安全接入系统及其方法。
技术介绍
随着社会信息化建设的日益完善,很多大型企业、政务部门已实现办公运营信息化和数字化。在政府内部和大型企业内部存在多级联网的大型专用网络,由于建设过程考虑安全性,各网络间保持着横向分割、内外分离的局面。信息化的飞速发展带,来了信息网络分散建设向资源整合利用转变、信息系统独立运行向互联互通各资源共享转变的需求。其中,内外网的视频信息共享就是一项重要的业务需求。对于视频源接入的实现,一般采用以下的处理方式:首先,在通用防火墙上开放特定的端口以接入视频源。接着,通过专用模块对视频源报文进行解析。如果是涉及安全的业务应用,在视频源报文解析时可能还会进行报文过滤,丢弃一些非法报文。最后,将解析后的报文传输到视频播放平台。这种方式是目前较为普遍的处理方式,在功能上能够实现视频源的接入和传输。但是缺点显而易见:安全防护较弱。通用型防火墙不能有效识别接入源的合法性、接入的协议是否为指定视频源协议,也无法对视频源协议的内容进行过滤或重组,因此接入的视频源存在被其他应用协议侵入的风险,也存在有害程序或指令通过视频源协议侵入的风险。并且,在传输视频源报文的网络通道上,也缺乏安全保障,存在一定的安全风险。由于视频数据分布范围广、数据流量大、协议格式单一等特点,在视频数据通过外网接入到内网时,有必要提出统一的视频安全接入系统,来确保视频数据在内外网交换过程中的安全。
技术实现思路
针对现有技术的不足,本专利技术提供一种基于代理与隔离的视频安全接入系统及其方法,本专利技术有前置视频代理服务模块、隔离过滤模块及模块间通信专用协议。视频源通过认证接入到前置代理模块,代理服务模块对视频数据进行格式解析、添加干扰、增加管理标签、使用专用协议重新封装后,交给隔离过滤模块;隔离过滤模块接到数据后,解析数据,消除干扰,通过策略管理充分标签进行过滤,确保安全后,将视频数据重新封装成源视频格式摆渡到内网。该视频接入系统基于代理与隔离的安全指导思想,以视频协议解析、过滤、加扰和重组为核心技术,通过代理技术实现视频点播客户端加固和自动协议转换、通过私有协议进行通信、通过在隔离模块对视频源数据进行策略过滤,使得任何非法视频源信息或有害指令都可以通过协议防护和安全传输通道进行过滤和隔离,以保证视频源的安全接入。本专利技术的目的是采用下述技术方案实现的:一种基于代理与隔离的视频安全接入系统,其改进之处在于,所述系统包括前置代理模块、专用通信协议、隔离过滤模块;所述前置代理模块、专用通信协议、隔离过滤模块将视频源从外网接入至内网统一监控平台。优选的,所述视频源客户端安装视频源中间件或中间件设备;视频源中间件使用支持国密局SM2加密算法的智能USBKEY,通过TCP/IP协议与前置代理装置进行身份认证;认证通过中间件以UDP协议将视频源发送至前置代理装置。优选的,所述前置代理装置通过TCP/IP协议与视频流客户端进行认证及控制操作,依据接入视频源的用户名、IP地址、身份证书信息对其进行认证。优选的,所述系统对前置代理模块和隔离模块进行全面的日志审计,对视频流安全接入装置的软硬件状态及运行信息、管理员操作进行日志审计。优选的,所述系统对视频源的通信状态进行实时监控,包括连接者身份、连接建立的初始时间、上传和下载数据量,管理员可根据需要随时中断其通讯连接。本专利技术基于另一目的提供的一种基于代理与隔离的视频安全接入方法,其改进之处在于,所述方法包括:(1)前置代理模块对接入视频源进行认证;(2)前置代理模块接入视频数据并解析视频协议;(3)对视频数据进行特征过滤、加扰和添加策略标签;(4)采用专用通信协议重组视频数据发送至隔离过滤模块;(5)隔离过滤模块接收前置代理模块发送来的专用协议封装的视频数据;(6)隔离过滤模块解析标签并进行过滤;(7)恢复视频元数据;(8)将视频元数据进行视频格式封装并发送至内网统一监控平台。优选的,所述步骤(2)包括所述解析视频协议依据标准的视频协议将视频源解析成视频元数据。优选的,所述步骤(3)包括所述视频源特征过滤、加扰和标签提取,采用专用特征过滤算法和过滤规则,滤除不符合视频源报文特征的非法报文。优选的,所述步骤(3)包括在视频元数据中加入无用的视频帧扰乱信息。优选的,所述步骤(3)包括提取视频报文、视频报文的特征以及管理策略作为标签信息。优选的,所述步骤(4)包括重组视频数据将加扰视频数据随机分块,与标签信息一起通过专用私有通信协议,进行封装,并发送到隔离过滤模块。优选的,所述步骤(5)包括隔离过滤模块实时监听从前置服务模块经专用协议封装后发送过来的视频源数据。优选的,所述步骤(6)包括专用协议解析依据专用私有通信协议格式解析视频数据,去除加扰视频帧,提取标签;标签过滤依据管理策略库,对提取的标签进行匹配,通过视频数据标签信息,对视频进行过滤。优选的,所述步骤(7)包括解析随机分块的噪声视频元数据,恢复视频元数据。优选的,所述步骤(8)包括视频通过安全过滤后,将视频数据经标准视频协议进行恢复,转发至内网统一监控平台。优选的,所述前置代理装置将封装后的视频流数据通过TCP/IP协议发送至隔离装置;所述隔离装置监听特定端口,接收前置代理装置的以私有格式封装的TCP报文;所述隔离装置将恢复的视频源数据通过UDP端口转发至统一监控平台。与现有技术比,本专利技术的有益效果为:1、本专利技术在视频点播平台和视频源之间采用专用私有协议进行通信,通过代理技术实现了视频源信息的隔离、过滤、交换功能。2、本专利技术在通用防火墙后部署专用的视频源安全接入服务,对经过的所有通信报文进行协议分析,通过对视频源协议特征的识别,可阻断一切非指定视频源协议的报文。3、本专利技术基于视频源协议的特征,利用加扰技术提高协议防护的安全等级。在视频源报文解析和重组时,通过插入部分无用帧数据等无效信息,达到数据扰乱的目的,可破坏黑客植入攻击性代码或数据,满足安全等级较高的业务应用需求。4、本专利技术中的统一安全策略过滤服务可根据管理部门制定的安全管理规定进行灵活控制,例如视频源密级划分、授权等。如果忽略安全管理策略就容易导致视频源被非授权用户访问,视频源泄漏等安全风险。5、统一安全策略过滤服务在视频源进行特征识别时,提取关键信息形成策略管理标签,在通过隔离模块时根据管理部门制定本文档来自技高网...
【技术保护点】
一种基于代理与隔离的视频安全接入系统,其特征在于,所述系统包括前置代理模块、专用通信协议、隔离过滤模块; 所述前置代理模块、专用通信协议、隔离过滤模块将视频源从外网接入至内网统一监控平台。
【技术特征摘要】
1.一种基于代理与隔离的视频安全接入系统,其特征在于,所述系统包括前置代理模块、专用通信协议、隔离过滤模块;
所述前置代理模块、专用通信协议、隔离过滤模块将视频源从外网接入至内网统一监控平台。
2.如权利要求1所述的一种基于代理与隔离的视频安全接入系统,其特征在于,所述视频源客户端安装视频源中间件或中间件设备;
视频源中间件使用支持国密局SM2加密算法的智能USBKEY,通过TCP/IP协议与前置代理装置进行身份认证;认证通过中间件以UDP协议将视频源发送至前置代理装置。
3.如权利要求1所述的一种基于代理与隔离的视频安全接入系统,其特征在于,所述前置代理装置通过TCP/IP协议与视频流客户端进行认证及控制操作,依据接入视频源的用户名、IP地址、身份证书信息对其进行认证。
4.如权利要求1所述的一种基于代理与隔离的视频安全接入系统,其特征在于,所述系统对前置代理模块和隔离模块进行全面的日志审计,对视频流安全接入装置的软硬件状态及运行信息、管理员操作进行日志审计。
5.如权利要求1所述的一种基于代理与隔离的视频安全接入系统,其特征在于,所述系统对视频源的通信状态进行实时监控,包括连接者身份、连接建立的初始时间、上传和下载数据量,管理员可根据需要随时中断其通讯连接。
6.一种基于代理与隔离的视频安全接入方法,其特征在于,所述方法包括:
(1)前置代理模块对接入视频源进行认证;
(2)前置代理模块接入视频数据并解析视频协议;
(3)对视频数据进行特征过滤、加扰和添加策略标签;
(4)采用专用通信协议重组视频数据发送至隔离过滤模块;
(5)隔离过滤模块接收前置代理模块发送来的专用协议封装的视频数据;
(6)隔离过滤模块解析标签并进行过滤;
(7)恢复视频元数据;
(8)将视频元数据进行视频格式封装并发送至内网统一监控平台。
7.如权利要求6所述的一种基于代理与隔离的视频安全接入方法,其特征在于,所述步骤(2)包括所述解析视频协议依据标准的视频协议将...
【专利技术属性】
技术研发人员:汪晨,周诚,林为民,张涛,马媛媛,邵志鹏,时坚,钱炫宇,刘时敏,楚杰,
申请(专利权)人:国家电网公司,中国电力科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。