李俊清，桂 樹

（中國電信股份有限公司廣州分公司 廣州510620）

1 引言

近年來，隨著我國經(jīng)濟的高速發(fā)展，城市化進程的日益加快，社會治安狀況的日趨復(fù)雜，公共安全問題逐漸成為公眾關(guān)注的焦點。為了維護城市社會治安，有力地預(yù)防和打擊犯罪，全面安裝視頻監(jiān)控系統(tǒng)，從而提高了相關(guān)安全部門的信息獲取、快速反應(yīng)、決策指揮和防災(zāi)減災(zāi)能力，為城市道路的安全暢通、交通違規(guī)行為的減少提供了有力的保障。

同時，用戶對圖像清晰度、處理速度、圖像智能分析、海量信息存儲方面提出了更高的要求，促使視頻監(jiān)控技術(shù)向高清化、數(shù)字化、智能化方向發(fā)展。傳統(tǒng)的模擬監(jiān)控逐漸不能滿足某些行業(yè)的監(jiān)控需求，隨著新一代圖像處理芯片技術(shù)的發(fā)展，高清視頻監(jiān)控系統(tǒng)逐漸進入人們的視野。

2 高清建設(shè)所面臨的主要問題

目前高清視頻的發(fā)展主要有兩種技術(shù)路線，分別為HD-SDI和網(wǎng)絡(luò)高清。SDI技術(shù)源自廣電行業(yè)，主要是為了傳輸與存儲高清無損的視頻圖像，由于其采集的數(shù)據(jù)量大，傳輸過程不經(jīng)編/解碼器壓縮，給數(shù)據(jù)的存儲提出了很大的挑戰(zhàn)。而高清網(wǎng)絡(luò)攝像機采用H.264壓縮算法，能夠很好地節(jié)省傳輸帶寬和存儲空間?？偟膩碚f，HD-SDI方案在接入網(wǎng)絡(luò)、傳輸設(shè)備、視頻控制矩陣、存儲等方面具有與現(xiàn)行模擬視頻方案相似的特點，但系統(tǒng)的擴展性和融合性受到一定程度的限制，適合應(yīng)用在一些對圖像質(zhì)量要求特別嚴格的場合，而IPC在業(yè)內(nèi)已經(jīng)發(fā)展了5年，方案已非常成熟，大規(guī)模監(jiān)控布點的匯聚是在數(shù)據(jù)交換網(wǎng)絡(luò)上進行傳輸，并通過開放式平臺進行統(tǒng)一調(diào)度指揮、應(yīng)用管理和監(jiān)控、維護，能適用于平安城市的大部分業(yè)務(wù)環(huán)境，成本控制更均衡，成為高清卡口監(jiān)控的應(yīng)用標準。

雖然網(wǎng)絡(luò)高清相對于HD-SDI來說，對帶寬的要求沒有那么苛刻，但從技術(shù)標準上講，一路視頻占用帶寬也達到4～12 Mbit/s，實現(xiàn)高清首先面臨的問題是傳輸能否接納如此龐大的數(shù)據(jù)流。由于目前的視頻光纜建設(shè)都采用點對點方式進行，占用了大量中繼光纜資源，如何在中繼資源緊缺的今天采用一種節(jié)省端局間中繼占用的方案也是需討論的問題。

另一個主要問題則是由選擇網(wǎng)絡(luò)高清路線所引出的，網(wǎng)絡(luò)高清攝像機在前端內(nèi)置了數(shù)字編碼芯片直接輸出數(shù)字信號，通過網(wǎng)口接入存在被攻擊和病毒入侵的可能，因此在選擇網(wǎng)絡(luò)高清建設(shè)“平安城市”時，要建設(shè)相應(yīng)的安全保障體系、采用相應(yīng)的技術(shù)手段以確保視頻網(wǎng)絡(luò)的安全和保密性，可以從如下兩個角度考慮。

·攝像機設(shè)備本身：可以通過定制具備光口的攝像機確保接口的安全接入性，但此方式會帶來成本的上升和前端集成度提升帶來的維護等問題。

·通過建設(shè)前端攝像機的認證系統(tǒng)和邊界防火墻等技術(shù)手段，確保前端攝像機及網(wǎng)絡(luò)傳輸、數(shù)據(jù)和接口的安全。

3 網(wǎng)絡(luò)技術(shù)

傳統(tǒng)的視頻監(jiān)控光纖采用點對點方式建設(shè)，建設(shè)成本高、資源浪費嚴重。而PON采用點到多點無源光傳輸，可以在以太網(wǎng)之上提供多種業(yè)務(wù)，業(yè)務(wù)形態(tài)上可以滿足視頻業(yè)務(wù)的承載要求。

從技術(shù)層面上看，在接入段采用PON，傳輸距離可達20 km，線路采用一個無源分光器實現(xiàn)多個監(jiān)控點共享光纖，可大幅降低光纜的采購和建設(shè)成本。攝像機部署在前端，并通過PON接入網(wǎng)將IP化的視頻信號上傳，IP視頻流可以靈活地傳輸至多級監(jiān)控中心，多級監(jiān)控中心通過網(wǎng)絡(luò)連接，通過分布在各監(jiān)控中心的視頻解碼器將圖像轉(zhuǎn)化為模擬型號進行輸出顯示。全綜合組網(wǎng)模式如圖1所示，網(wǎng)絡(luò)結(jié)構(gòu)簡單，實施方便。

采用PON傳輸，既能充分保障信息的安全性，又能充分發(fā)揮其技術(shù)的先進性和傳輸成本的最優(yōu)性。其采用波分復(fù)用技術(shù)，實現(xiàn)單纖雙向傳輸，上行數(shù)據(jù)分時發(fā)送，各ONU的發(fā)送時間與長度由OLT集中控制。因此網(wǎng)絡(luò)中ONU不可能監(jiān)測到其他ONU的上行數(shù)據(jù)，即前端監(jiān)控點視頻信號從ONU上傳到OLT是天然安全的。下行數(shù)據(jù)廣播發(fā)送，每個ONU根據(jù)下行數(shù)據(jù)的標識信息接收屬于自己的數(shù)據(jù)，丟棄其他用戶的數(shù)據(jù)。對于OLT下行數(shù)據(jù)的安全性，主要采用信息（包括所有的數(shù)據(jù)幀和OAM幀）加密技術(shù)。

PON的另一大特點是高帶寬且具備帶寬優(yōu)先保障機制，能夠保證末梢單點上行不低于15 Mbit/s（滿配64路），足夠滿足高清視頻傳輸?shù)男枨?，不會影響其他末梢點客戶的使用。

與光纖直連方式相比，PON具備如下優(yōu)點。

·快速部署：由于從分光器到OLT再到主干光纜已經(jīng)部署，在建設(shè)傳輸時，只需新建前端監(jiān)控點到分光器的末梢段。

·安全可靠：PON口有備份端口，當一個端口出現(xiàn)問題，可以馬上換一個PON口。

·可管可控：具備先進的網(wǎng)管系統(tǒng)，可對前端的每個ONU設(shè)備的接入進行管理和控制，出現(xiàn)故障可快速定位并修復(fù)。

從資源利用上看，隨著光網(wǎng)城市的建設(shè)，大部分地市都基本實現(xiàn)了PON的覆蓋，通常來說每個地市PON OLT節(jié)點一般為200～500個，部署在市區(qū)、縣城和大部分鄉(xiāng)鎮(zhèn)。市區(qū)OLT的覆蓋半徑一般為2～5 km，縣城和農(nóng)村OLT的覆蓋半徑一般為5～20 km，基本涵蓋城區(qū)內(nèi)視頻監(jiān)控的潛在需求點，有效利用現(xiàn)有光覆蓋進行視頻監(jiān)控承載，將大大提升光覆蓋投資的效益。

圖1 全綜合組網(wǎng)模式示意

4 安全可靠性策略研究

在安全接入方面，以設(shè)備的安全接入控制最為重要，其與IT基礎(chǔ)設(shè)施緊密集成在一起，網(wǎng)絡(luò)接入控制不僅需提供網(wǎng)絡(luò)層身份管理，還需致力于解決終端風險源的安全威脅，涉及終端安全的各個方面。如非法接入和越權(quán)訪問控制、終端安全策略檢查、實時監(jiān)控和取證、終端行為控制等。

為杜絕非法攝像機接入視頻網(wǎng)絡(luò)，當攝像機接入內(nèi)網(wǎng)時，攝像機需經(jīng)過身份認證和安全檢查，只有身份認證通過和安全檢查符合安全策略要求的才能接入內(nèi)網(wǎng)；對于那些不符合要求的終端，將被系統(tǒng)隔離，并在終端界面上提示用戶進行相關(guān)修復(fù)操作。

為防止非法用戶越權(quán)訪問內(nèi)網(wǎng)資源，需要對接入內(nèi)網(wǎng)的終端用戶進行授權(quán)訪問。建議采用基于終端用戶角色的網(wǎng)絡(luò)訪問權(quán)限控制。管理員根據(jù)訪問對象和安全等級，將內(nèi)網(wǎng)的業(yè)務(wù)服務(wù)器資源劃分為若干個認證子域，授權(quán)指定的終端用戶或用戶組進行訪問。

因此，在建設(shè)大規(guī)模網(wǎng)絡(luò)高清數(shù)字視頻監(jiān)控系統(tǒng)應(yīng)用時，應(yīng)重點關(guān)注整體系統(tǒng)應(yīng)用的安全性與可靠性，主要體現(xiàn)在以下方面。

（1）安全性策略

·應(yīng)具有對前端攝像機及視頻工作站等接入設(shè)備進行端口綁定及接入認證的功能，以防止外來設(shè)備的惡意入侵；支持客戶端MAC地址、IEEE 802.1x等方式的認證，并提供賬號與IP地址、MAC地址的綁定功能，滿足用戶復(fù)雜網(wǎng)絡(luò)狀況的各種需求。

·系統(tǒng)應(yīng)支持將網(wǎng)絡(luò)劃分為多個認證前域、隔離域、認證后域，允許將安全域的訪問策略分配到部門或終端，系統(tǒng)根據(jù)準入要求和安全檢查狀態(tài)，分配不同安全域的訪問權(quán)限，如按設(shè)備類型分為平臺服務(wù)器核心層設(shè)備、視頻控制工作站應(yīng)用終端、IPC圖像采集設(shè)備三大類，劃分不同的VLAN范圍。

·中心端應(yīng)具有綜合管理平臺，設(shè)置不同人員的權(quán)限與密碼，對視頻調(diào)用與錄像查閱下載做好管理工作，實現(xiàn)系統(tǒng)安全管理。

（2）可靠性策略

·網(wǎng)絡(luò)傳輸性能應(yīng)保證前端IP攝像機碼流傳輸（實時監(jiān)看、錄像存儲、遠程調(diào)用），不應(yīng)存在分組丟失、時延過高或堵塞斷線的情況。

·各層級的網(wǎng)絡(luò)交換設(shè)備和安全管理服務(wù)器等均應(yīng)具有冗余功能，即在一臺設(shè)備出現(xiàn)故障的情況下能自動切換，通過該另一臺設(shè)備進行傳輸。

·中心端應(yīng)具有設(shè)備管理功能，可對各網(wǎng)絡(luò)設(shè)備（含前端、交換和存儲）的設(shè)備狀態(tài)進行有效管理，可統(tǒng)一采用基于SNMP的網(wǎng)管平臺，并能及時對故障設(shè)備進行報警。

5 系統(tǒng)驗證及測試

為進一步驗證GPON承載高清視頻監(jiān)控的可行性及IP化后前端攝像機在安全接入方面的可控性，搭建了測試環(huán)境，進行系統(tǒng)建設(shè)前的驗證性測試。

（1）設(shè)備部署

前端視頻采用IPC直連、IPC通過GPON傳輸、HD-SDI光纖傳輸3種方式。其中，HD-SDI攝像機通過光端機接入高清硬盤錄像機轉(zhuǎn)換為IP信號。所有圖像信號集中通過交換機接入視頻服務(wù)器進行平臺統(tǒng)一管理，搭建安全管理服務(wù)器并配置安全接入控制軟件，對所有接入設(shè)備進行安全訪問控制策略實施。測試系統(tǒng)配置如圖2所示。

圖2 測試系統(tǒng)配置示意

表1 系統(tǒng)測試結(jié)果

測試內(nèi)容包含前端視頻采集、接入傳輸、控制管理、安全防范、運行維護等多個方面，盡量反映高清視頻監(jiān)控系統(tǒng)的組成架構(gòu)和運行狀況。

（2）測試內(nèi)容及結(jié)果

系統(tǒng)測試結(jié)果見表1。

通過實際測試的結(jié)果可證明，在實驗環(huán)境下GPON可以承載高清視頻監(jiān)控的視頻流數(shù)據(jù)，并可保證在其容量范圍內(nèi)的多路視頻信號的同時傳輸，對前端IP攝像機的安全措施也起到了有效的防范作用。

6 結(jié)束語

隨著高清視頻監(jiān)控的逐步成熟，整個監(jiān)控領(lǐng)域?qū)⑦M入新的發(fā)展階段，在建設(shè)高清視頻監(jiān)控系統(tǒng)時必須考慮整體系統(tǒng)的應(yīng)對策略，從設(shè)計角度開始就不能缺失安全性和可靠性的要素考慮，而且要在項目實施后進行測試驗證，并在實際使用中實時注意，不斷提高，確保系統(tǒng)有效運行。從研究結(jié)論分析，基于PON承載的高清視頻監(jiān)控系統(tǒng)，具備較好的安全性和拓展性，具備大規(guī)模運營管理的能力。

除了上述關(guān)鍵技術(shù)外，還要考慮如何推動整個產(chǎn)業(yè)鏈（包括電信運營商、平臺提供商、終端提供商等）的良性合作，明確產(chǎn)業(yè)鏈各環(huán)節(jié)的定位，降低終端銷售和維護成本，促使高清視頻監(jiān)控系統(tǒng)快速落地推廣，為各行各業(yè)的應(yīng)用發(fā)揮更大的作用。

1 GB 50348-2004.安全防范工程技術(shù)規(guī)范,2004