[发明专利]一种基于代理与隔离的视频安全接入系统及其方法

说明书

技术领域

本发明属于计算机与网络安全技术领域，具体涉及一种基于代理与隔离的视频安全接入系统及其方法。

背景技术

随着社会信息化建设的日益完善，很多大型企业、政务部门已实现办公运营信息化和数字化。在政府内部和大型企业内部存在多级联网的大型专用网络，由于建设过程考虑安全性，各网络间保持着横向分割、内外分离的局面。信息化的飞速发展带，来了信息网络分散建设向资源整合利用转变、信息系统独立运行向互联互通各资源共享转变的需求。其中，内外网的视频信息共享就是一项重要的业务需求。

对于视频源接入的实现，一般采用以下的处理方式：

首先，在通用防火墙上开放特定的端口以接入视频源。接着，通过专用模块对视频源报文进行解析。如果是涉及安全的业务应用，在视频源报文解析时可能还会进行报文过滤，丢弃一些非法报文。最后，将解析后的报文传输到视频播放平台。

这种方式是目前较为普遍的处理方式，在功能上能够实现视频源的接入和传输。但是缺点显而易见：安全防护较弱。通用型防火墙不能有效识别接入源的合法性、接入的协议是否为指定视频源协议，也无法对视频源协议的内容进行过滤或重组，因此接入的视频源存在被其他应用协议侵入的风险，也存在有害程序或指令通过视频源协议侵入的风险。并且，在传输视频源报文的网络通道上，也缺乏安全保障，存在一定的安全风险。

由于视频数据分布范围广、数据流量大、协议格式单一等特点，在视频数据通过外网接入到内网时，有必要提出统一的视频安全接入系统，来确保视频数据在内外网交换过程中的安全。

发明内容

针对现有技术的不足，本发明提供一种基于代理与隔离的视频安全接入系统及其方法，本发明有前置视频代理服务模块、隔离过滤模块及模块间通信专用协议。视频源通过认证接入到前置代理模块，代理服务模块对视频数据进行格式解析、添加干扰、增加管理标签、使用专用协议重新封装后，交给隔离过滤模块；隔离过滤模块接到数据后，解析数据，消除干扰，通过策略管理充分标签进行过滤，确保安全后，将视频数据重新封装成源视频格式摆渡到内网。该视频接入系统基于代理与隔离的安全指导思想，以视频协议解析、过滤、加扰和重组为核心技术，通过代理技术实现视频点播客户端加固和自动协议转换、通过私有协议进行通信、通过在隔离模块对视频源数据进行策略过滤，使得任何非法视频源信息或有害指令都可以通过协议防护和安全传输通道进行过滤和隔离，以保证视频源的安全接入。

本发明的目的是采用下述技术方案实现的：

一种基于代理与隔离的视频安全接入系统，其改进之处在于，所述系统包括前置代理模块、专用通信协议、隔离过滤模块；

所述前置代理模块、专用通信协议、隔离过滤模块将视频源从外网接入至内网统一监控平台。

优选的，所述视频源客户端安装视频源中间件或中间件设备；

视频源中间件使用支持国密局SM2加密算法的智能USBKEY，通过TCP/IP协议与前置代理装置进行身份认证；认证通过中间件以UDP协议将视频源发送至前置代理装置。

优选的，所述前置代理装置通过TCP/IP协议与视频流客户端进行认证及控制操作，依据接入视频源的用户名、IP地址、身份证书信息对其进行认证。

优选的，所述系统对前置代理模块和隔离模块进行全面的日志审计，对视频流安全接入装置的软硬件状态及运行信息、管理员操作进行日志审计。

优选的，所述系统对视频源的通信状态进行实时监控，包括连接者身份、连接建立的初始时间、上传和下载数据量，管理员可根据需要随时中断其通讯连接。

本发明基于另一目的提供的一种基于代理与隔离的视频安全接入方法，其改进之处在于，所述方法包括：

(1)前置代理模块对接入视频源进行认证；

(2)前置代理模块接入视频数据并解析视频协议；

(3)对视频数据进行特征过滤、加扰和添加策略标签；

(4)采用专用通信协议重组视频数据发送至隔离过滤模块；

(5)隔离过滤模块接收前置代理模块发送来的专用协议封装的视频数据；

(6)隔离过滤模块解析标签并进行过滤；

(7)恢复视频元数据；

(8)将视频元数据进行视频格式封装并发送至内网统一监控平台。

优选的，所述步骤(2)包括所述解析视频协议依据标准的视频协议将视频源解析成视频元数据。

优选的，所述步骤(3)包括所述视频源特征过滤、加扰和标签提取，采用专用特征过滤算法和过滤规则，滤除不符合视频源报文特征的非法报文。