李俊清,桂 樹
(中國電信股份有限公司廣州分公司 廣州510620)
近年來,隨著我國經(jīng)濟的高速發(fā)展,城市化進程的日益加快,社會治安狀況的日趨復(fù)雜,公共安全問題逐漸成為公眾關(guān)注的焦點。為了維護城市社會治安,有力地預(yù)防和打擊犯罪,全面安裝視頻監(jiān)控系統(tǒng),從而提高了相關(guān)安全部門的信息獲取、快速反應(yīng)、決策指揮和防災(zāi)減災(zāi)能力,為城市道路的安全暢通、交通違規(guī)行為的減少提供了有力的保障。
同時,用戶對圖像清晰度、處理速度、圖像智能分析、海量信息存儲方面提出了更高的要求,促使視頻監(jiān)控技術(shù)向高清化、數(shù)字化、智能化方向發(fā)展。傳統(tǒng)的模擬監(jiān)控逐漸不能滿足某些行業(yè)的監(jiān)控需求,隨著新一代圖像處理芯片技術(shù)的發(fā)展,高清視頻監(jiān)控系統(tǒng)逐漸進入人們的視野。
目前高清視頻的發(fā)展主要有兩種技術(shù)路線,分別為HD-SDI和網(wǎng)絡(luò)高清。SDI技術(shù)源自廣電行業(yè),主要是為了傳輸與存儲高清無損的視頻圖像,由于其采集的數(shù)據(jù)量大,傳輸過程不經(jīng)編/解碼器壓縮,給數(shù)據(jù)的存儲提出了很大的挑戰(zhàn)。而高清網(wǎng)絡(luò)攝像機采用H.264壓縮算法,能夠很好地節(jié)省傳輸帶寬和存儲空間??偟膩碚f,HD-SDI方案在接入網(wǎng)絡(luò)、傳輸設(shè)備、視頻控制矩陣、存儲等方面具有與現(xiàn)行模擬視頻方案相似的特點,但系統(tǒng)的擴展性和融合性受到一定程度的限制,適合應(yīng)用在一些對圖像質(zhì)量要求特別嚴格的場合,而IPC在業(yè)內(nèi)已經(jīng)發(fā)展了5年,方案已非常成熟,大規(guī)模監(jiān)控布點的匯聚是在數(shù)據(jù)交換網(wǎng)絡(luò)上進行傳輸,并通過開放式平臺進行統(tǒng)一調(diào)度指揮、應(yīng)用管理和監(jiān)控、維護,能適用于平安城市的大部分業(yè)務(wù)環(huán)境,成本控制更均衡,成為高清卡口監(jiān)控的應(yīng)用標準。
雖然網(wǎng)絡(luò)高清相對于HD-SDI來說,對帶寬的要求沒有那么苛刻,但從技術(shù)標準上講,一路視頻占用帶寬也達到4~12 Mbit/s,實現(xiàn)高清首先面臨的問題是傳輸能否接納如此龐大的數(shù)據(jù)流。由于目前的視頻光纜建設(shè)都采用點對點方式進行,占用了大量中繼光纜資源,如何在中繼資源緊缺的今天采用一種節(jié)省端局間中繼占用的方案也是需討論的問題。
另一個主要問題則是由選擇網(wǎng)絡(luò)高清路線所引出的,網(wǎng)絡(luò)高清攝像機在前端內(nèi)置了數(shù)字編碼芯片直接輸出數(shù)字信號,通過網(wǎng)口接入存在被攻擊和病毒入侵的可能,因此在選擇網(wǎng)絡(luò)高清建設(shè)“平安城市”時,要建設(shè)相應(yīng)的安全保障體系、采用相應(yīng)的技術(shù)手段以確保視頻網(wǎng)絡(luò)的安全和保密性,可以從如下兩個角度考慮。
·攝像機設(shè)備本身:可以通過定制具備光口的攝像機確保接口的安全接入性,但此方式會帶來成本的上升和前端集成度提升帶來的維護等問題。
·通過建設(shè)前端攝像機的認證系統(tǒng)和邊界防火墻等技術(shù)手段,確保前端攝像機及網(wǎng)絡(luò)傳輸、數(shù)據(jù)和接口的安全。
傳統(tǒng)的視頻監(jiān)控光纖采用點對點方式建設(shè),建設(shè)成本高、資源浪費嚴重。而PON采用點到多點無源光傳輸,可以在以太網(wǎng)之上提供多種業(yè)務(wù),業(yè)務(wù)形態(tài)上可以滿足視頻業(yè)務(wù)的承載要求。
從技術(shù)層面上看,在接入段采用PON,傳輸距離可達20 km,線路采用一個無源分光器實現(xiàn)多個監(jiān)控點共享光纖,可大幅降低光纜的采購和建設(shè)成本。攝像機部署在前端,并通過PON接入網(wǎng)將IP化的視頻信號上傳,IP視頻流可以靈活地傳輸至多級監(jiān)控中心,多級監(jiān)控中心通過網(wǎng)絡(luò)連接,通過分布在各監(jiān)控中心的視頻解碼器將圖像轉(zhuǎn)化為模擬型號進行輸出顯示。全綜合組網(wǎng)模式如圖1所示,網(wǎng)絡(luò)結(jié)構(gòu)簡單,實施方便。
采用PON傳輸,既能充分保障信息的安全性,又能充分發(fā)揮其技術(shù)的先進性和傳輸成本的最優(yōu)性。其采用波分復(fù)用技術(shù),實現(xiàn)單纖雙向傳輸,上行數(shù)據(jù)分時發(fā)送,各ONU的發(fā)送時間與長度由OLT集中控制。因此網(wǎng)絡(luò)中ONU不可能監(jiān)測到其他ONU的上行數(shù)據(jù),即前端監(jiān)控點視頻信號從ONU上傳到OLT是天然安全的。下行數(shù)據(jù)廣播發(fā)送,每個ONU根據(jù)下行數(shù)據(jù)的標識信息接收屬于自己的數(shù)據(jù),丟棄其他用戶的數(shù)據(jù)。對于OLT下行數(shù)據(jù)的安全性,主要采用信息(包括所有的數(shù)據(jù)幀和OAM幀)加密技術(shù)。
PON的另一大特點是高帶寬且具備帶寬優(yōu)先保障機制,能夠保證末梢單點上行不低于15 Mbit/s(滿配64路),足夠滿足高清視頻傳輸?shù)男枨?,不會影響其他末梢點客戶的使用。
與光纖直連方式相比,PON具備如下優(yōu)點。
·快速部署:由于從分光器到OLT再到主干光纜已經(jīng)部署,在建設(shè)傳輸時,只需新建前端監(jiān)控點到分光器的末梢段。
·安全可靠:PON口有備份端口,當一個端口出現(xiàn)問題,可以馬上換一個PON口。
·可管可控:具備先進的網(wǎng)管系統(tǒng),可對前端的每個ONU設(shè)備的接入進行管理和控制,出現(xiàn)故障可快速定位并修復(fù)。
從資源利用上看,隨著光網(wǎng)城市的建設(shè),大部分地市都基本實現(xiàn)了PON的覆蓋,通常來說每個地市PON OLT節(jié)點一般為200~500個,部署在市區(qū)、縣城和大部分鄉(xiāng)鎮(zhèn)。市區(qū)OLT的覆蓋半徑一般為2~5 km,縣城和農(nóng)村OLT的覆蓋半徑一般為5~20 km,基本涵蓋城區(qū)內(nèi)視頻監(jiān)控的潛在需求點,有效利用現(xiàn)有光覆蓋進行視頻監(jiān)控承載,將大大提升光覆蓋投資的效益。
圖1 全綜合組網(wǎng)模式示意
在安全接入方面,以設(shè)備的安全接入控制最為重要,其與IT基礎(chǔ)設(shè)施緊密集成在一起,網(wǎng)絡(luò)接入控制不僅需提供網(wǎng)絡(luò)層身份管理,還需致力于解決終端風險源的安全威脅,涉及終端安全的各個方面。如非法接入和越權(quán)訪問控制、終端安全策略檢查、實時監(jiān)控和取證、終端行為控制等。
為杜絕非法攝像機接入視頻網(wǎng)絡(luò),當攝像機接入內(nèi)網(wǎng)時,攝像機需經(jīng)過身份認證和安全檢查,只有身份認證通過和安全檢查符合安全策略要求的才能接入內(nèi)網(wǎng);對于那些不符合要求的終端,將被系統(tǒng)隔離,并在終端界面上提示用戶進行相關(guān)修復(fù)操作。
為防止非法用戶越權(quán)訪問內(nèi)網(wǎng)資源,需要對接入內(nèi)網(wǎng)的終端用戶進行授權(quán)訪問。建議采用基于終端用戶角色的網(wǎng)絡(luò)訪問權(quán)限控制。管理員根據(jù)訪問對象和安全等級,將內(nèi)網(wǎng)的業(yè)務(wù)服務(wù)器資源劃分為若干個認證子域,授權(quán)指定的終端用戶或用戶組進行訪問。
因此,在建設(shè)大規(guī)模網(wǎng)絡(luò)高清數(shù)字視頻監(jiān)控系統(tǒng)應(yīng)用時,應(yīng)重點關(guān)注整體系統(tǒng)應(yīng)用的安全性與可靠性,主要體現(xiàn)在以下方面。
(1)安全性策略
·應(yīng)具有對前端攝像機及視頻工作站等接入設(shè)備進行端口綁定及接入認證的功能,以防止外來設(shè)備的惡意入侵;支持客戶端MAC地址、IEEE 802.1x等方式的認證,并提供賬號與IP地址、MAC地址的綁定功能,滿足用戶復(fù)雜網(wǎng)絡(luò)狀況的各種需求。
·系統(tǒng)應(yīng)支持將網(wǎng)絡(luò)劃分為多個認證前域、隔離域、認證后域,允許將安全域的訪問策略分配到部門或終端,系統(tǒng)根據(jù)準入要求和安全檢查狀態(tài),分配不同安全域的訪問權(quán)限,如按設(shè)備類型分為平臺服務(wù)器核心層設(shè)備、視頻控制工作站應(yīng)用終端、IPC圖像采集設(shè)備三大類,劃分不同的VLAN范圍。
·中心端應(yīng)具有綜合管理平臺,設(shè)置不同人員的權(quán)限與密碼,對視頻調(diào)用與錄像查閱下載做好管理工作,實現(xiàn)系統(tǒng)安全管理。
(2)可靠性策略
·網(wǎng)絡(luò)傳輸性能應(yīng)保證前端IP攝像機碼流傳輸(實時監(jiān)看、錄像存儲、遠程調(diào)用),不應(yīng)存在分組丟失、時延過高或堵塞斷線的情況。
·各層級的網(wǎng)絡(luò)交換設(shè)備和安全管理服務(wù)器等均應(yīng)具有冗余功能,即在一臺設(shè)備出現(xiàn)故障的情況下能自動切換,通過該另一臺設(shè)備進行傳輸。
·中心端應(yīng)具有設(shè)備管理功能,可對各網(wǎng)絡(luò)設(shè)備(含前端、交換和存儲)的設(shè)備狀態(tài)進行有效管理,可統(tǒng)一采用基于SNMP的網(wǎng)管平臺,并能及時對故障設(shè)備進行報警。
為進一步驗證GPON承載高清視頻監(jiān)控的可行性及IP化后前端攝像機在安全接入方面的可控性,搭建了測試環(huán)境,進行系統(tǒng)建設(shè)前的驗證性測試。
(1)設(shè)備部署
前端視頻采用IPC直連、IPC通過GPON傳輸、HD-SDI光纖傳輸3種方式。其中,HD-SDI攝像機通過光端機接入高清硬盤錄像機轉(zhuǎn)換為IP信號。所有圖像信號集中通過交換機接入視頻服務(wù)器進行平臺統(tǒng)一管理,搭建安全管理服務(wù)器并配置安全接入控制軟件,對所有接入設(shè)備進行安全訪問控制策略實施。測試系統(tǒng)配置如圖2所示。
圖2 測試系統(tǒng)配置示意
表1 系統(tǒng)測試結(jié)果
測試內(nèi)容包含前端視頻采集、接入傳輸、控制管理、安全防范、運行維護等多個方面,盡量反映高清視頻監(jiān)控系統(tǒng)的組成架構(gòu)和運行狀況。
(2)測試內(nèi)容及結(jié)果
系統(tǒng)測試結(jié)果見表1。
通過實際測試的結(jié)果可證明,在實驗環(huán)境下GPON可以承載高清視頻監(jiān)控的視頻流數(shù)據(jù),并可保證在其容量范圍內(nèi)的多路視頻信號的同時傳輸,對前端IP攝像機的安全措施也起到了有效的防范作用。
隨著高清視頻監(jiān)控的逐步成熟,整個監(jiān)控領(lǐng)域?qū)⑦M入新的發(fā)展階段,在建設(shè)高清視頻監(jiān)控系統(tǒng)時必須考慮整體系統(tǒng)的應(yīng)對策略,從設(shè)計角度開始就不能缺失安全性和可靠性的要素考慮,而且要在項目實施后進行測試驗證,并在實際使用中實時注意,不斷提高,確保系統(tǒng)有效運行。從研究結(jié)論分析,基于PON承載的高清視頻監(jiān)控系統(tǒng),具備較好的安全性和拓展性,具備大規(guī)模運營管理的能力。
除了上述關(guān)鍵技術(shù)外,還要考慮如何推動整個產(chǎn)業(yè)鏈(包括電信運營商、平臺提供商、終端提供商等)的良性合作,明確產(chǎn)業(yè)鏈各環(huán)節(jié)的定位,降低終端銷售和維護成本,促使高清視頻監(jiān)控系統(tǒng)快速落地推廣,為各行各業(yè)的應(yīng)用發(fā)揮更大的作用。
1 GB 50348-2004.安全防范工程技術(shù)規(guī)范,2004