鐵路視頻資源聯(lián)網(wǎng)共享技術(shù)方案研究

張樂軍

(中國鐵路濟南局集團有限公司電務(wù)部，濟南 250000）

1 鐵路視頻監(jiān)控系統(tǒng)

鐵路視頻監(jiān)控系統(tǒng)因其具有實時、直觀、便捷、準確的突出優(yōu)勢，作為鐵路實時監(jiān)控和歷史回放分析的主要手段和重要工具，越來越被重視和依賴。鐵路視頻監(jiān)控系統(tǒng)主要包括鐵路綜合視頻監(jiān)控系統(tǒng)和專業(yè)視頻監(jiān)控系統(tǒng)。

1.1 鐵路綜合視頻監(jiān)控系統(tǒng)

綜合視頻監(jiān)控系統(tǒng)在鐵路車站公共場所、重點作業(yè)場所、咽喉區(qū)、重要機房以及線路重點區(qū)段等處所安裝視頻采集設(shè)備進行視、音頻采集，經(jīng)共用的業(yè)務(wù)平臺實現(xiàn)視、音頻的存儲和分轉(zhuǎn)發(fā)，供鐵路調(diào)度（車務(wù)）、客貨運、工務(wù)、電務(wù)、供電、機務(wù)、車輛、信息和公安等多專業(yè)用戶使用。在鐵路行車指揮、生產(chǎn)組織、客貨運輸服務(wù)、設(shè)備監(jiān)測、作業(yè)監(jiān)控、搶險救援以及治安防范等方面發(fā)揮重要作用。

鐵路綜合視頻監(jiān)控系統(tǒng)按照《鐵路綜合視頻監(jiān)控系統(tǒng)技術(shù)規(guī)范》（Q/CR 575-2017）（簡稱Q/CR 575）構(gòu)建，具有核心節(jié)點、區(qū)域節(jié)點、視頻接入節(jié)點三級架構(gòu)，其承載網(wǎng)絡(luò)、系統(tǒng)架構(gòu)、視頻資源管理、IP地址規(guī)劃、信令協(xié)議使用等方面統(tǒng)一規(guī)范。使用維護按照《鐵路通信維護規(guī)則》，《鐵路視頻管理辦法》要求嚴格管理，確保運行和運用質(zhì)量。

1.2 鐵路專業(yè)視頻監(jiān)控系統(tǒng)

專業(yè)視頻系統(tǒng)是鐵路專業(yè)部門或單位根據(jù)生產(chǎn)管理或治安保衛(wèi)需要，采用視頻監(jiān)控技術(shù)對重點場所、作業(yè)過程或設(shè)備運行狀態(tài)等進行視頻圖像監(jiān)視，供本部門或本單位內(nèi)部使用的視頻監(jiān)控系統(tǒng)。

鐵路專業(yè)視頻主要由鐵路各業(yè)務(wù)部門或單位自建，其特點大多為規(guī)模較小、本地監(jiān)控、功能單一、沒有統(tǒng)一的技術(shù)規(guī)范要求，未統(tǒng)一規(guī)劃建設(shè)，其系統(tǒng)架構(gòu)、組網(wǎng)和IP地址運用等大部分是自行規(guī)劃，且系統(tǒng)獨立，網(wǎng)絡(luò)安全保護相對薄弱?；ヂ?lián)協(xié)議通過改造后基本能夠支持《公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》（GB/T 28181-2016）技術(shù)標準（簡稱GB/T 28181）。

2 鐵路視頻資源聯(lián)網(wǎng)共享需求分析

鐵路視頻資源非常巨大，但由于技術(shù)標準的不同，綜合視頻和專業(yè)視頻的資源無法聯(lián)網(wǎng)和共享。在鐵路集約化管控、高效運用，以及安全管理不斷強化的大背景下，整合路內(nèi)視頻監(jiān)控系統(tǒng)資源，實現(xiàn)鐵路視頻資源聯(lián)網(wǎng)共享的需求越來越迫切。

在路外環(huán)境整治、護路聯(lián)防、搶險救援、重大活動保障等工作中，地方政府要求鐵路提供沿線區(qū)域及火車站公共區(qū)域的視頻監(jiān)控資源。近年來，在重大活動期間為實現(xiàn)全方位無死角的安保要求，實現(xiàn)鐵路和公安視頻資源聯(lián)網(wǎng)共享已成為常態(tài)措施。同時中國國家鐵路集團有限公司“守底線、補缺陷、除隱患、防風(fēng)險”的安全專項整治活動也明確要求共享“雪亮工程”鐵路沿線及重要設(shè)施附近的相關(guān)視頻資源，形成路地協(xié)作、聚焦發(fā)力的良好機制。

由于鐵路專業(yè)視頻監(jiān)控系統(tǒng)和地方政府、公安等部門的視頻監(jiān)控系統(tǒng)大多基于GB/T 28181對接互聯(lián)，其信令、協(xié)議以及承載網(wǎng)絡(luò)、IP地址規(guī)劃運用、安全防護等級、組網(wǎng)架構(gòu)均與鐵路綜合視頻監(jiān)控系統(tǒng)不同，鐵路綜合視頻監(jiān)控系統(tǒng)與內(nèi)部各專業(yè)視頻監(jiān)控系統(tǒng)，與地方公安等政府部門視頻監(jiān)控系統(tǒng)間不能實現(xiàn)直接聯(lián)網(wǎng)共享。

3 鐵路視頻資源聯(lián)網(wǎng)共享關(guān)鍵問題分析

實現(xiàn)路內(nèi)視頻監(jiān)控系統(tǒng)間，與地方政府部門視頻系統(tǒng)間的聯(lián)網(wǎng)共享，本質(zhì)上都是實現(xiàn)鐵路綜合視頻監(jiān)控系統(tǒng)與國標視頻監(jiān)控系統(tǒng)的聯(lián)網(wǎng)共享，需要解決的關(guān)鍵技術(shù)問題分析如下。

3.1 技術(shù)標準及通信協(xié)議

鐵路綜合視頻和專業(yè)視頻系統(tǒng)，鐵路綜合視頻和政府、公安視頻系統(tǒng)在信令、協(xié)議上互不兼容，是各自獨立的網(wǎng)域，且遵循不同標準的通信協(xié)議，需解決鐵路視頻系統(tǒng)如何與GB/T 28181的系統(tǒng)互通的問題。

3.2 承載網(wǎng)絡(luò)及IP地址

鐵路綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)由鐵路內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)通信網(wǎng)承載，與公眾網(wǎng)絡(luò)物理隔離，數(shù)據(jù)網(wǎng)承載的各業(yè)務(wù)通過VPN隔離，使用統(tǒng)一規(guī)劃的IP地址。鐵路各專業(yè)視頻基本自行規(guī)劃，單獨組網(wǎng)，形式多樣，重復(fù)使用私有IP地址段。路外視頻系統(tǒng)承載網(wǎng)絡(luò)和IP地址的運用更復(fù)雜。

3.3 網(wǎng)絡(luò)安全防護

在實施綜合視頻與國標視頻系統(tǒng)聯(lián)網(wǎng)共享時，既要保證視頻業(yè)務(wù)的共享互通，又要保障各自網(wǎng)絡(luò)邊界的獨立完整和安全防護。

網(wǎng)絡(luò)安全等級保護級別不同。無論是鐵路綜合視頻、專業(yè)視頻系統(tǒng)，還是地方政府部門的視頻系統(tǒng)，信息網(wǎng)絡(luò)安全等級保護級別均不同，必須增加網(wǎng)絡(luò)安全防護措施，并符合相關(guān)規(guī)定。綜合視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護措施應(yīng)符合《鐵路通信網(wǎng)絡(luò)安全技術(shù)要求》（QCR 783.4-2021）第4部分 綜合視頻監(jiān)控系統(tǒng)技術(shù)標準要求。

地方政府構(gòu)建的視頻平臺近年來逐步匯集接入了大量的社會、行業(yè)和部門的視頻資源。尤其是公安系統(tǒng)更是構(gòu)建了社會視頻資源平臺，與海量的社會視頻資源互通，其視頻承載網(wǎng)絡(luò)不同，管控措施不一，存在網(wǎng)絡(luò)安全、病毒入侵等安全隱患。

3.4 資源管理和設(shè)備編碼

鐵路綜合視頻與其他視頻系統(tǒng)在視頻資源管理、權(quán)限管理、用戶和設(shè)備編碼等方面均不相同，需要詳細分析處理，防止出現(xiàn)錯亂干擾本系統(tǒng)正常使用。

3.5 視頻系統(tǒng)建設(shè)標準

由于不同廠家的各種視頻監(jiān)控平臺建設(shè)標準不統(tǒng)一，設(shè)備型號繁多，接口協(xié)議復(fù)雜，編碼格式多樣，因此要采用業(yè)內(nèi)普遍遵循的互聯(lián)協(xié)議，保證聯(lián)網(wǎng)共享的規(guī)范性。

4 綜合視頻監(jiān)控系統(tǒng)國標網(wǎng)關(guān)應(yīng)具備功能分析

為實現(xiàn)聯(lián)網(wǎng)共享，必須具有滿足相關(guān)技術(shù)規(guī)范和管理標準要求的網(wǎng)關(guān)設(shè)備，本研究經(jīng)過了從綜合視頻國標網(wǎng)關(guān)到一體化安全網(wǎng)關(guān)的技術(shù)方案改進過程。

4.1 綜合視頻監(jiān)控系統(tǒng)國標網(wǎng)關(guān)

目前國內(nèi)公共安全視頻監(jiān)控聯(lián)網(wǎng)技術(shù)普遍采用GB/T 28181協(xié)議和國標媒體流（以PS封裝為主），鐵路綜合視頻監(jiān)控平臺主要采用鐵標協(xié)議和鐵標媒體流。為實現(xiàn)互聯(lián)共享，需要增加視頻網(wǎng)關(guān)服務(wù)，既要解決鐵路綜合視頻監(jiān)控平臺與外部國標平臺的協(xié)議轉(zhuǎn)換，又要保證既有系統(tǒng)各自的獨立性和完整性。視頻網(wǎng)關(guān)服務(wù)需同時支持和使用GB/T 28181協(xié)議和Q/CR 575協(xié)議，完成不同協(xié)議間的轉(zhuǎn)換，實現(xiàn)視頻接入傳送、云臺（Pan Tiit Zoom，PTZ）等攝像機控制、告警上報和訂閱等功能。

通過綜合視頻監(jiān)控系統(tǒng)國標網(wǎng)關(guān)實現(xiàn)國標視頻監(jiān)控系統(tǒng)和綜合視頻監(jiān)控系統(tǒng)之間互聯(lián)的系統(tǒng)邏輯如圖1所示。國標網(wǎng)關(guān)服務(wù)通信流程如圖2所示。其中，鐵路綜合視頻監(jiān)控系統(tǒng)區(qū)域節(jié)點和接入節(jié)點簡稱鐵標平臺，采用GB/T 28181標準構(gòu)建的視頻平臺簡稱國標平臺。

圖1 系統(tǒng)邏輯Fig.1 System logic diagram

圖2 國標網(wǎng)關(guān)服務(wù)通信流程Fig.2 Communication flow chart of national standard gateway service

鐵路綜合視頻國標網(wǎng)關(guān)基本功能包括：協(xié)議轉(zhuǎn)換、視頻資源分轉(zhuǎn)發(fā)、權(quán)限分配功能、安全認證、視頻實時監(jiān)控、錄像回放、視頻PTZ控制、查詢視頻資源狀態(tài)和報警設(shè)備的布防/撤防等。

4.2 綜合視頻監(jiān)控系統(tǒng)一體化安全網(wǎng)關(guān)

在綜合視頻與其他國標視頻系統(tǒng)的互通時，必須解決網(wǎng)絡(luò)安全防護和IP地址轉(zhuǎn)換的問題。綜合視頻國標網(wǎng)關(guān)使用時需另行配套相關(guān)的網(wǎng)絡(luò)安全防護設(shè)備和IP地址轉(zhuǎn)換設(shè)備，并連接組網(wǎng)。為便于應(yīng)用，綜合視頻國標網(wǎng)關(guān)除具備上述基本功能外，宜具備網(wǎng)絡(luò)邊界防護、入侵防御、病毒防范等功能，且支持IP地址協(xié)議轉(zhuǎn)換。

一體化安全網(wǎng)關(guān)是實現(xiàn)綜合視頻與國標視頻系統(tǒng)聯(lián)網(wǎng)共享的核心設(shè)備，包括的主要功能如下。

協(xié)議轉(zhuǎn)換功能：通過網(wǎng)關(guān)服務(wù)實現(xiàn)兩個平臺之間協(xié)議轉(zhuǎn)換。

視頻資源分轉(zhuǎn)發(fā)功能：無論國標平臺打開多少次該路實時視頻，網(wǎng)關(guān)只向視頻監(jiān)控平臺請求一次實時視頻，有效緩解對視頻監(jiān)控系統(tǒng)的壓力。

身份認證功能：具備身份認證、sip信令認證、數(shù)據(jù)完整性保護、訪問控制等功能。實現(xiàn)信息傳輸、交換的安全性，保障系統(tǒng)的安全互聯(lián)。

雙網(wǎng)絡(luò)隔離功能：設(shè)備具有雙網(wǎng)卡網(wǎng)絡(luò)隔離功能，每個網(wǎng)卡接入不同的網(wǎng)絡(luò)中，無需改造網(wǎng)絡(luò)結(jié)構(gòu)即可實現(xiàn)兩側(cè)的數(shù)據(jù)聯(lián)通。

權(quán)限分配功能：具有鐵路綜合視頻監(jiān)控平臺的視頻請求權(quán)限分配功能，避免互聯(lián)共享雙方平臺同時操作的干擾，包括PTZ控制、視頻瀏覽優(yōu)先級等。

內(nèi)置網(wǎng)絡(luò)安全設(shè)備：為保障鐵路視頻網(wǎng)絡(luò)不受外部的非法入侵和破壞，應(yīng)具備網(wǎng)絡(luò)邊界安全防護能力。在使用時能根據(jù)實際網(wǎng)絡(luò)和安全防護需要，支持雙側(cè)安全防護和單側(cè)安全防護，靈活部署防護措施。

1）防火墻?？梢杂行У貙σ曨l業(yè)務(wù)所有信令和數(shù)據(jù)包進行過濾，只允許符合規(guī)則的封包數(shù)據(jù)通過。根據(jù)具體防護級別要求，可以靈活運用單側(cè)防護或雙側(cè)防護。

2）入侵防御系統(tǒng)（IPS）?？沙掷m(xù)監(jiān)控網(wǎng)絡(luò)中的惡意活動，并在入侵行為發(fā)生時，采取上報、阻止或丟棄等預(yù)防行動?？梢陨钊刖W(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進行記載。入侵預(yù)防系統(tǒng)不僅依賴于已知病毒特征，還能精確阻斷和有效防御蠕蟲、病毒、間諜軟件、分布式拒絕服務(wù)等深層攻擊行為。

3）防病毒服務(wù)。具有網(wǎng)絡(luò)和終端兩組防病毒模塊。網(wǎng)絡(luò)防病毒模塊對通過一體化安全網(wǎng)關(guān)的數(shù)據(jù)流特征進行檢測和過濾，終端防病毒模塊對到達一體化安全網(wǎng)關(guān)內(nèi)的文件進行防御和病毒查殺，對出入網(wǎng)關(guān)的各類病毒威脅實現(xiàn)全方位防護。

5 鐵路視頻資源聯(lián)網(wǎng)共享技術(shù)方案

5.1 一體化安全網(wǎng)關(guān)技術(shù)方案

一體化安全網(wǎng)關(guān)視頻具有雙向轉(zhuǎn)發(fā)能力，支持多臺堆疊應(yīng)用，便于擴大并發(fā)轉(zhuǎn)發(fā)能力。具體使用中應(yīng)根據(jù)國標視頻平臺和綜合視頻節(jié)點設(shè)置，雙方視頻網(wǎng)絡(luò)可信度，對視頻資源調(diào)用的具體需求和范圍區(qū)域，以及鐵路內(nèi)部承載網(wǎng)帶寬能力等情況，統(tǒng)籌合理規(guī)劃視頻網(wǎng)關(guān)的設(shè)置地點。不宜設(shè)置過多，避免給網(wǎng)絡(luò)安全防護和廣域網(wǎng)承載通道帶來過大壓力，建議視頻網(wǎng)關(guān)一般設(shè)置在省會、各鐵路局集團公司、原鐵路分局所在地的綜合視頻一類節(jié)點，或鐵路局集團公司區(qū)域節(jié)點。運用一體化安全網(wǎng)關(guān)聯(lián)網(wǎng)示意如圖3所示。

圖3 一體化安全網(wǎng)關(guān)聯(lián)網(wǎng)示意Fig.3 Networking diagram of integrated security gateway

本方案利用一體化安全網(wǎng)關(guān)直接實現(xiàn)鐵路綜合視頻監(jiān)控系統(tǒng)與其他視頻系統(tǒng)的互聯(lián)互通。如果對方網(wǎng)絡(luò)環(huán)境復(fù)雜、不可信，應(yīng)完善防護措施，使用雙側(cè)安全防護功能，并按照Q/CR 575-2021要求部署網(wǎng)閘等可靠的網(wǎng)絡(luò)安全防護設(shè)備，確保安全可靠。

5.2 鐵路視頻資源匯聚平臺聯(lián)網(wǎng)共享技術(shù)方案

僅靠國標網(wǎng)關(guān)方式實現(xiàn)互聯(lián)共享，難以滿足鐵路規(guī)?；?、常態(tài)化共享使用的需求。且綜合視頻監(jiān)控系統(tǒng)與鐵路運輸生產(chǎn)安全密切相關(guān)，與其他國標視頻系統(tǒng)直接互聯(lián)，網(wǎng)絡(luò)邊界多，防護難度大，安全風(fēng)險較大。宜構(gòu)建滿足與路內(nèi)多專業(yè)、路外國標視頻系統(tǒng)互通聯(lián)網(wǎng)需要的專業(yè)化鐵路視頻資源匯聚平臺。

鐵路視頻資源匯聚平臺采用視頻匯聚技術(shù)，同時兼容GB/T 28181協(xié)議和Q/CR 575-2017協(xié)議，支持并實現(xiàn)協(xié)議轉(zhuǎn)換，確保互聯(lián)兩側(cè)的網(wǎng)絡(luò)隔離、系統(tǒng)獨立，無需對互聯(lián)兩側(cè)系統(tǒng)進行改造升級，實現(xiàn)綜合視頻和國標視頻系統(tǒng)間視頻資源的匯聚互通。并通過匯聚平臺對視頻資源的匯聚、交換、共享進行有效管理，靈活接入國標視頻系統(tǒng)，通過匯聚平臺實現(xiàn)與國標視頻系統(tǒng)的聯(lián)網(wǎng)共享。鐵路視頻資源匯聚平臺總體架構(gòu)如圖4所示。

圖4 鐵路視頻資源匯聚平臺總體架構(gòu)Fig.4 Overall architecture diagram of railway video resource convergence platform

鐵路視頻資源匯聚平臺是獨立的第三方平臺，同時擁有GB/T 28181協(xié)議接口，以及Q/C R575定義的A接口和C接口，具備同時與綜合視頻和國標視頻系統(tǒng)互通共享，視頻資源匯聚、管理、分轉(zhuǎn)發(fā)，網(wǎng)絡(luò)安全防護、隔離等系統(tǒng)能力。采用視頻網(wǎng)閘進行隔離保護，確保鐵路綜合視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全。與鐵路綜合視頻監(jiān)控系統(tǒng)使用Q/CR 575定義的A接口進行互聯(lián)，采用一體化安全網(wǎng)關(guān)的雙向特性，匯入和輸出視頻流，使用GB/T 28181協(xié)議接口互聯(lián)。用戶通過匯聚平臺的監(jiān)控終端可同時調(diào)用綜合視頻和專業(yè)視頻資源。

6 應(yīng)用案例

2019年青島重大活動期間，利用一體化安全網(wǎng)關(guān)的完善功能，快速部署，迅速實現(xiàn)與公安視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)。重大活動安保機構(gòu)對本次聯(lián)網(wǎng)運用效果的評價是：“聯(lián)網(wǎng)接入方式、接入范圍及運用效果得到聯(lián)合安保指揮部認可，滿足本次重大活動安保要求”。

為驗證視頻資源匯聚平臺運用效果，在調(diào)度樓通信機房構(gòu)建鐵路視頻資源匯聚平臺，實現(xiàn)與車務(wù)行車國標視頻監(jiān)控系統(tǒng)及中小客運站本地視頻監(jiān)控系統(tǒng)的互聯(lián)，通過匯聚平臺監(jiān)控終端，同時調(diào)用綜合視頻監(jiān)控系統(tǒng)和專業(yè)視頻監(jiān)控系統(tǒng)的視頻圖像。

7 結(jié)論

綜合視頻監(jiān)控系統(tǒng)國標網(wǎng)關(guān)使鐵路綜合視頻監(jiān)控系統(tǒng)具備國標接口，使綜合視頻監(jiān)控系統(tǒng)與國標視頻監(jiān)控系統(tǒng)互通成為可能。一體化安全網(wǎng)關(guān)為綜合視頻監(jiān)控系統(tǒng)與國標視頻監(jiān)控系統(tǒng)的互通及網(wǎng)絡(luò)安全防護，提供了更為方便快捷安全的解決方案。

鐵路視頻資源匯聚平臺的構(gòu)建為鐵路綜合視頻監(jiān)控系統(tǒng)與國標視頻監(jiān)控系統(tǒng)的匯聚、交換、共享提供了穩(wěn)定安全的技術(shù)方案，為解決規(guī)?；⒊B(tài)化聯(lián)網(wǎng)運用奠定了技術(shù)基礎(chǔ)。