基于PON承載的高清視頻監(jiān)控系統(tǒng)及其安全接入策略研究

李俊清，桂 樹

（中國電信股份有限公司廣州分公司 廣州510620）

1 引言

近年來，隨著我國經(jīng)濟(jì)的高速發(fā)展，城市化進(jìn)程的日益加快，社會(huì)治安狀況的日趨復(fù)雜，公共安全問題逐漸成為公眾關(guān)注的焦點(diǎn)。為了維護(hù)城市社會(huì)治安，有力地預(yù)防和打擊犯罪，全面安裝視頻監(jiān)控系統(tǒng)，從而提高了相關(guān)安全部門的信息獲取、快速反應(yīng)、決策指揮和防災(zāi)減災(zāi)能力，為城市道路的安全暢通、交通違規(guī)行為的減少提供了有力的保障。

同時(shí)，用戶對(duì)圖像清晰度、處理速度、圖像智能分析、海量信息存儲(chǔ)方面提出了更高的要求，促使視頻監(jiān)控技術(shù)向高清化、數(shù)字化、智能化方向發(fā)展。傳統(tǒng)的模擬監(jiān)控逐漸不能滿足某些行業(yè)的監(jiān)控需求，隨著新一代圖像處理芯片技術(shù)的發(fā)展，高清視頻監(jiān)控系統(tǒng)逐漸進(jìn)入人們的視野。

2 高清建設(shè)所面臨的主要問題

目前高清視頻的發(fā)展主要有兩種技術(shù)路線，分別為HD-SDI和網(wǎng)絡(luò)高清。SDI技術(shù)源自廣電行業(yè)，主要是為了傳輸與存儲(chǔ)高清無損的視頻圖像，由于其采集的數(shù)據(jù)量大，傳輸過程不經(jīng)編/解碼器壓縮，給數(shù)據(jù)的存儲(chǔ)提出了很大的挑戰(zhàn)。而高清網(wǎng)絡(luò)攝像機(jī)采用H.264壓縮算法，能夠很好地節(jié)省傳輸帶寬和存儲(chǔ)空間?？偟膩碚f，HD-SDI方案在接入網(wǎng)絡(luò)、傳輸設(shè)備、視頻控制矩陣、存儲(chǔ)等方面具有與現(xiàn)行模擬視頻方案相似的特點(diǎn)，但系統(tǒng)的擴(kuò)展性和融合性受到一定程度的限制，適合應(yīng)用在一些對(duì)圖像質(zhì)量要求特別嚴(yán)格的場(chǎng)合，而IPC在業(yè)內(nèi)已經(jīng)發(fā)展了5年，方案已非常成熟，大規(guī)模監(jiān)控布點(diǎn)的匯聚是在數(shù)據(jù)交換網(wǎng)絡(luò)上進(jìn)行傳輸，并通過開放式平臺(tái)進(jìn)行統(tǒng)一調(diào)度指揮、應(yīng)用管理和監(jiān)控、維護(hù)，能適用于平安城市的大部分業(yè)務(wù)環(huán)境，成本控制更均衡，成為高清卡口監(jiān)控的應(yīng)用標(biāo)準(zhǔn)。

雖然網(wǎng)絡(luò)高清相對(duì)于HD-SDI來說，對(duì)帶寬的要求沒有那么苛刻，但從技術(shù)標(biāo)準(zhǔn)上講，一路視頻占用帶寬也達(dá)到4～12 Mbit/s，實(shí)現(xiàn)高清首先面臨的問題是傳輸能否接納如此龐大的數(shù)據(jù)流。由于目前的視頻光纜建設(shè)都采用點(diǎn)對(duì)點(diǎn)方式進(jìn)行，占用了大量中繼光纜資源，如何在中繼資源緊缺的今天采用一種節(jié)省端局間中繼占用的方案也是需討論的問題。

另一個(gè)主要問題則是由選擇網(wǎng)絡(luò)高清路線所引出的，網(wǎng)絡(luò)高清攝像機(jī)在前端內(nèi)置了數(shù)字編碼芯片直接輸出數(shù)字信號(hào)，通過網(wǎng)口接入存在被攻擊和病毒入侵的可能，因此在選擇網(wǎng)絡(luò)高清建設(shè)“平安城市”時(shí)，要建設(shè)相應(yīng)的安全保障體系、采用相應(yīng)的技術(shù)手段以確保視頻網(wǎng)絡(luò)的安全和保密性，可以從如下兩個(gè)角度考慮。

·攝像機(jī)設(shè)備本身：可以通過定制具備光口的攝像機(jī)確保接口的安全接入性，但此方式會(huì)帶來成本的上升和前端集成度提升帶來的維護(hù)等問題。

·通過建設(shè)前端攝像機(jī)的認(rèn)證系統(tǒng)和邊界防火墻等技術(shù)手段，確保前端攝像機(jī)及網(wǎng)絡(luò)傳輸、數(shù)據(jù)和接口的安全。

3 網(wǎng)絡(luò)技術(shù)

傳統(tǒng)的視頻監(jiān)控光纖采用點(diǎn)對(duì)點(diǎn)方式建設(shè)，建設(shè)成本高、資源浪費(fèi)嚴(yán)重。而PON采用點(diǎn)到多點(diǎn)無源光傳輸，可以在以太網(wǎng)之上提供多種業(yè)務(wù)，業(yè)務(wù)形態(tài)上可以滿足視頻業(yè)務(wù)的承載要求。

從技術(shù)層面上看，在接入段采用PON，傳輸距離可達(dá)20 km，線路采用一個(gè)無源分光器實(shí)現(xiàn)多個(gè)監(jiān)控點(diǎn)共享光纖，可大幅降低光纜的采購和建設(shè)成本。攝像機(jī)部署在前端，并通過PON接入網(wǎng)將IP化的視頻信號(hào)上傳，IP視頻流可以靈活地傳輸至多級(jí)監(jiān)控中心，多級(jí)監(jiān)控中心通過網(wǎng)絡(luò)連接，通過分布在各監(jiān)控中心的視頻解碼器將圖像轉(zhuǎn)化為模擬型號(hào)進(jìn)行輸出顯示。全綜合組網(wǎng)模式如圖1所示，網(wǎng)絡(luò)結(jié)構(gòu)簡單，實(shí)施方便。

采用PON傳輸，既能充分保障信息的安全性，又能充分發(fā)揮其技術(shù)的先進(jìn)性和傳輸成本的最優(yōu)性。其采用波分復(fù)用技術(shù)，實(shí)現(xiàn)單纖雙向傳輸，上行數(shù)據(jù)分時(shí)發(fā)送，各ONU的發(fā)送時(shí)間與長度由OLT集中控制。因此網(wǎng)絡(luò)中ONU不可能監(jiān)測(cè)到其他ONU的上行數(shù)據(jù)，即前端監(jiān)控點(diǎn)視頻信號(hào)從ONU上傳到OLT是天然安全的。下行數(shù)據(jù)廣播發(fā)送，每個(gè)ONU根據(jù)下行數(shù)據(jù)的標(biāo)識(shí)信息接收屬于自己的數(shù)據(jù)，丟棄其他用戶的數(shù)據(jù)。對(duì)于OLT下行數(shù)據(jù)的安全性，主要采用信息（包括所有的數(shù)據(jù)幀和OAM幀）加密技術(shù)。

PON的另一大特點(diǎn)是高帶寬且具備帶寬優(yōu)先保障機(jī)制，能夠保證末梢單點(diǎn)上行不低于15 Mbit/s（滿配64路），足夠滿足高清視頻傳輸?shù)男枨?，不?huì)影響其他末梢點(diǎn)客戶的使用。

與光纖直連方式相比，PON具備如下優(yōu)點(diǎn)。

·快速部署：由于從分光器到OLT再到主干光纜已經(jīng)部署，在建設(shè)傳輸時(shí)，只需新建前端監(jiān)控點(diǎn)到分光器的末梢段。

·安全可靠：PON口有備份端口，當(dāng)一個(gè)端口出現(xiàn)問題，可以馬上換一個(gè)PON口。

·可管可控：具備先進(jìn)的網(wǎng)管系統(tǒng)，可對(duì)前端的每個(gè)ONU設(shè)備的接入進(jìn)行管理和控制，出現(xiàn)故障可快速定位并修復(fù)。

從資源利用上看，隨著光網(wǎng)城市的建設(shè)，大部分地市都基本實(shí)現(xiàn)了PON的覆蓋，通常來說每個(gè)地市PON OLT節(jié)點(diǎn)一般為200～500個(gè)，部署在市區(qū)、縣城和大部分鄉(xiāng)鎮(zhèn)。市區(qū)OLT的覆蓋半徑一般為2～5 km，縣城和農(nóng)村OLT的覆蓋半徑一般為5～20 km，基本涵蓋城區(qū)內(nèi)視頻監(jiān)控的潛在需求點(diǎn)，有效利用現(xiàn)有光覆蓋進(jìn)行視頻監(jiān)控承載，將大大提升光覆蓋投資的效益。

圖1 全綜合組網(wǎng)模式示意

4 安全可靠性策略研究

在安全接入方面，以設(shè)備的安全接入控制最為重要，其與IT基礎(chǔ)設(shè)施緊密集成在一起，網(wǎng)絡(luò)接入控制不僅需提供網(wǎng)絡(luò)層身份管理，還需致力于解決終端風(fēng)險(xiǎn)源的安全威脅，涉及終端安全的各個(gè)方面。如非法接入和越權(quán)訪問控制、終端安全策略檢查、實(shí)時(shí)監(jiān)控和取證、終端行為控制等。

為杜絕非法攝像機(jī)接入視頻網(wǎng)絡(luò)，當(dāng)攝像機(jī)接入內(nèi)網(wǎng)時(shí)，攝像機(jī)需經(jīng)過身份認(rèn)證和安全檢查，只有身份認(rèn)證通過和安全檢查符合安全策略要求的才能接入內(nèi)網(wǎng)；對(duì)于那些不符合要求的終端，將被系統(tǒng)隔離，并在終端界面上提示用戶進(jìn)行相關(guān)修復(fù)操作。

為防止非法用戶越權(quán)訪問內(nèi)網(wǎng)資源，需要對(duì)接入內(nèi)網(wǎng)的終端用戶進(jìn)行授權(quán)訪問。建議采用基于終端用戶角色的網(wǎng)絡(luò)訪問權(quán)限控制。管理員根據(jù)訪問對(duì)象和安全等級(jí)，將內(nèi)網(wǎng)的業(yè)務(wù)服務(wù)器資源劃分為若干個(gè)認(rèn)證子域，授權(quán)指定的終端用戶或用戶組進(jìn)行訪問。

因此，在建設(shè)大規(guī)模網(wǎng)絡(luò)高清數(shù)字視頻監(jiān)控系統(tǒng)應(yīng)用時(shí)，應(yīng)重點(diǎn)關(guān)注整體系統(tǒng)應(yīng)用的安全性與可靠性，主要體現(xiàn)在以下方面。

（1）安全性策略

·應(yīng)具有對(duì)前端攝像機(jī)及視頻工作站等接入設(shè)備進(jìn)行端口綁定及接入認(rèn)證的功能，以防止外來設(shè)備的惡意入侵；支持客戶端MAC地址、IEEE 802.1x等方式的認(rèn)證，并提供賬號(hào)與IP地址、MAC地址的綁定功能，滿足用戶復(fù)雜網(wǎng)絡(luò)狀況的各種需求。

·系統(tǒng)應(yīng)支持將網(wǎng)絡(luò)劃分為多個(gè)認(rèn)證前域、隔離域、認(rèn)證后域，允許將安全域的訪問策略分配到部門或終端，系統(tǒng)根據(jù)準(zhǔn)入要求和安全檢查狀態(tài)，分配不同安全域的訪問權(quán)限，如按設(shè)備類型分為平臺(tái)服務(wù)器核心層設(shè)備、視頻控制工作站應(yīng)用終端、IPC圖像采集設(shè)備三大類，劃分不同的VLAN范圍。

·中心端應(yīng)具有綜合管理平臺(tái)，設(shè)置不同人員的權(quán)限與密碼，對(duì)視頻調(diào)用與錄像查閱下載做好管理工作，實(shí)現(xiàn)系統(tǒng)安全管理。

（2）可靠性策略

·網(wǎng)絡(luò)傳輸性能應(yīng)保證前端IP攝像機(jī)碼流傳輸（實(shí)時(shí)監(jiān)看、錄像存儲(chǔ)、遠(yuǎn)程調(diào)用），不應(yīng)存在分組丟失、時(shí)延過高或堵塞斷線的情況。

·各層級(jí)的網(wǎng)絡(luò)交換設(shè)備和安全管理服務(wù)器等均應(yīng)具有冗余功能，即在一臺(tái)設(shè)備出現(xiàn)故障的情況下能自動(dòng)切換，通過該另一臺(tái)設(shè)備進(jìn)行傳輸。

·中心端應(yīng)具有設(shè)備管理功能，可對(duì)各網(wǎng)絡(luò)設(shè)備（含前端、交換和存儲(chǔ)）的設(shè)備狀態(tài)進(jìn)行有效管理，可統(tǒng)一采用基于SNMP的網(wǎng)管平臺(tái)，并能及時(shí)對(duì)故障設(shè)備進(jìn)行報(bào)警。

5 系統(tǒng)驗(yàn)證及測(cè)試

為進(jìn)一步驗(yàn)證GPON承載高清視頻監(jiān)控的可行性及IP化后前端攝像機(jī)在安全接入方面的可控性，搭建了測(cè)試環(huán)境，進(jìn)行系統(tǒng)建設(shè)前的驗(yàn)證性測(cè)試。

（1）設(shè)備部署

前端視頻采用IPC直連、IPC通過GPON傳輸、HD-SDI光纖傳輸3種方式。其中，HD-SDI攝像機(jī)通過光端機(jī)接入高清硬盤錄像機(jī)轉(zhuǎn)換為IP信號(hào)。所有圖像信號(hào)集中通過交換機(jī)接入視頻服務(wù)器進(jìn)行平臺(tái)統(tǒng)一管理，搭建安全管理服務(wù)器并配置安全接入控制軟件，對(duì)所有接入設(shè)備進(jìn)行安全訪問控制策略實(shí)施。測(cè)試系統(tǒng)配置如圖2所示。

圖2 測(cè)試系統(tǒng)配置示意

表1 系統(tǒng)測(cè)試結(jié)果

測(cè)試內(nèi)容包含前端視頻采集、接入傳輸、控制管理、安全防范、運(yùn)行維護(hù)等多個(gè)方面，盡量反映高清視頻監(jiān)控系統(tǒng)的組成架構(gòu)和運(yùn)行狀況。

（2）測(cè)試內(nèi)容及結(jié)果

系統(tǒng)測(cè)試結(jié)果見表1。

通過實(shí)際測(cè)試的結(jié)果可證明，在實(shí)驗(yàn)環(huán)境下GPON可以承載高清視頻監(jiān)控的視頻流數(shù)據(jù)，并可保證在其容量范圍內(nèi)的多路視頻信號(hào)的同時(shí)傳輸，對(duì)前端IP攝像機(jī)的安全措施也起到了有效的防范作用。

6 結(jié)束語

隨著高清視頻監(jiān)控的逐步成熟，整個(gè)監(jiān)控領(lǐng)域?qū)⑦M(jìn)入新的發(fā)展階段，在建設(shè)高清視頻監(jiān)控系統(tǒng)時(shí)必須考慮整體系統(tǒng)的應(yīng)對(duì)策略，從設(shè)計(jì)角度開始就不能缺失安全性和可靠性的要素考慮，而且要在項(xiàng)目實(shí)施后進(jìn)行測(cè)試驗(yàn)證，并在實(shí)際使用中實(shí)時(shí)注意，不斷提高，確保系統(tǒng)有效運(yùn)行。從研究結(jié)論分析，基于PON承載的高清視頻監(jiān)控系統(tǒng)，具備較好的安全性和拓展性，具備大規(guī)模運(yùn)營管理的能力。

除了上述關(guān)鍵技術(shù)外，還要考慮如何推動(dòng)整個(gè)產(chǎn)業(yè)鏈（包括電信運(yùn)營商、平臺(tái)提供商、終端提供商等）的良性合作，明確產(chǎn)業(yè)鏈各環(huán)節(jié)的定位，降低終端銷售和維護(hù)成本，促使高清視頻監(jiān)控系統(tǒng)快速落地推廣，為各行各業(yè)的應(yīng)用發(fā)揮更大的作用。

1 GB 50348-2004.安全防范工程技術(shù)規(guī)范,2004