【導(dǎo)讀】平安城市監(jiān)控平臺建設(shè)項目技術(shù)方案。鄭州圣安電子科技有限公司

　　

【正文】 過核實的錄像文件，以備后期查用； ? 錄像文件分割和合成：系統(tǒng)能夠?qū)⒍鄠€錄像文件合成為一個文件，同時也可以將一個錄像文件分割成多個文件，方便錄像文件的管理。 、 音頻管理功能 ? 現(xiàn)場聲音監(jiān)聽：在監(jiān)控中心瀏覽現(xiàn)場視頻時，可以監(jiān)聽現(xiàn)場的聲音，獲取更加全面的現(xiàn)場信息； ? 中心語音廣播：監(jiān)控中心可以選擇多 個監(jiān)控現(xiàn)場，進行廣播相同的語音信息，具有信息發(fā)布的功能； ? 語音對講功能：監(jiān)控中心與監(jiān)控現(xiàn)場具有點對點的雙向語音對講功能，實現(xiàn)簡單的信息溝通； ? 遠程調(diào)節(jié)音量：在進行語音廣播時，用戶在監(jiān)控中心可以遠程調(diào)節(jié)監(jiān)控現(xiàn)場的音量大小，便于選擇合適的音量。 、 告警管理功能 ? 外接告警功能：監(jiān)控現(xiàn)場的前端接入模塊具有告警輸入功能，通過安裝在現(xiàn)場的告警探頭，采集監(jiān)控現(xiàn)場的煙霧、漏水、煤氣、玻璃破碎、 28 開門等告警信息；可以設(shè)置告警的有效時間，并且能夠遠程解除告警功能； ? 移動偵測告警：在監(jiān)控現(xiàn)場畫面變化時，系統(tǒng)產(chǎn)生告警信息， 并且自動執(zhí)行畫面切換、視頻存儲等告警聯(lián)動功能；每路視頻畫面劃分多個移動偵測區(qū)域，可以設(shè)置敏感度和有效時間； ? 視頻丟失告警：在拔掉視頻電纜或者沒有獲取到視頻信號情況下，系統(tǒng)產(chǎn)生無視頻源告警信息； ? 鏡頭遮蓋告警：在遮蓋攝像機鏡頭時，系統(tǒng)自動產(chǎn)生告警信息，提醒工作人員注意； ? 告警聯(lián)動功能：發(fā)生告警時， 自動 控制攝像機云臺鏡頭動作， 切換 顯示告警現(xiàn)場 視頻 信息， 自動存 儲告警現(xiàn)場信息， 自動抓拍 告警現(xiàn)場圖片，并且以醒目的方式顯示告警列表；自動開啟現(xiàn)場的燈光，自動啟動現(xiàn)場的警號，以及啟動其他現(xiàn)場設(shè)備工作； ? 告警提示功能：發(fā)生告警時，監(jiān)控中心具有聲光告警、告警打印、告警短消息、語音告警、電子地圖告警等多種輸出告警方式；同時，告警信息也可以輸出給其他的告警處理系統(tǒng)（告警派單系統(tǒng)等）；系統(tǒng)可將多種告警信息發(fā)送到網(wǎng)管系統(tǒng)中，便于維護人員及時發(fā)現(xiàn)處理故障。 ? 告警查詢管理：可以按照攝像機名稱、日期及時間、告警類型等條件，查詢歷史告警信息；在 設(shè)置 媒體 與告警關(guān)聯(lián)時，系統(tǒng)自動查找告警時間段內(nèi)存 儲 的 媒體 文件 ，便于用戶了解告警現(xiàn)場的情況。 、平臺特點 、滿足大規(guī)模的接入 我們的平臺架構(gòu)設(shè)計是基于電信級平臺產(chǎn)品的應(yīng)用 考慮，不管是從攝像機、DVS 還是流媒體分發(fā)等方面，都是以上萬或者百萬數(shù)量級設(shè)計。以目前在各地平臺的實際運營情況以及電信相關(guān)部門的測試結(jié)果，各方面情況良好。 對于覆蓋數(shù)量達到上萬點接入的大規(guī)模視頻監(jiān)控系統(tǒng)，至少要很好的解決三個問題： 29 跨度大、點數(shù)多，人工管理設(shè)備太困難。 點位覆蓋廣泛，網(wǎng)絡(luò)如何到達？另外，系統(tǒng)如何和網(wǎng)絡(luò)很好結(jié)合而不是沖突。 點位增加、監(jiān)控中心增加時是否能做到平滑擴容？ 我公司很好的解決了這 3個問題，詳述如下： 跨度大、點數(shù)多，人工管理設(shè)備太困難 此次我公司設(shè)計的網(wǎng)絡(luò)視頻監(jiān)控管理 系統(tǒng)作為一個電信級的運營平臺，有完善的可網(wǎng)管性和可維護性。中心平臺中有專門的維護模塊診測、管理系統(tǒng)內(nèi)所有設(shè)備的運行狀態(tài)，可對所有設(shè)備進行自動巡航，可以遠程調(diào)試和修復(fù)設(shè)備。做到及時發(fā)現(xiàn)，即使恢復(fù)。 點位覆蓋廣泛，網(wǎng)絡(luò)如何到達？另外，系統(tǒng)如何和網(wǎng)絡(luò)很好結(jié)合而不是沖突。 雖然此次布點的范圍分散在各地市，但中國電信仍能做到完全網(wǎng)絡(luò)覆蓋，監(jiān)控點的搬、拆、遷、移，線路也跟隨到位。另外，經(jīng)過長期的商用，特別是現(xiàn)網(wǎng)平臺業(yè)務(wù)的較大規(guī)模應(yīng)用，系統(tǒng)不會出現(xiàn)大多數(shù)監(jiān)控系統(tǒng)在面臨較大范圍的網(wǎng)絡(luò)傳輸時，不能適應(yīng)通過防火墻和地址轉(zhuǎn)換 器（ NAT）傳輸視頻流和控制信號的問題。 點位增加、監(jiān)控中心增加時是否能做到平滑擴容？ 系統(tǒng)采用全數(shù)字化的技術(shù)，并且采用前端、用戶監(jiān)控中心、中心管理平臺的模塊化結(jié)構(gòu)。點位的增加影響的是軟件處理能力和網(wǎng)絡(luò)吞吐能力，而不需要在各級監(jiān)控中心增加硬件設(shè)備；用戶監(jiān)控中心增加，也不會對以后的監(jiān)控中心產(chǎn)生影響。 、各部門的共享調(diào)用、分級控制 為使系統(tǒng)的利用率達到最大化，應(yīng)該由各部門共享資源。那么，我們從三個方面來進行保障： 在全省范圍內(nèi)完善的網(wǎng)絡(luò)覆蓋，保證當由監(jiān)控中心需要接入的時候，有線路保障其接入。 系統(tǒng)的用戶權(quán)限由中心平臺數(shù)據(jù)庫統(tǒng)一管理，由一個主控臺統(tǒng)一分配和操 30 作，并且有豐富的分級設(shè)定。所以，可對多個監(jiān)控中心、監(jiān)控中心的權(quán)限統(tǒng)一管理。使整個網(wǎng)內(nèi)的權(quán)限分配策略部署簡單，管理方便。 系統(tǒng)的分發(fā)機制，可以滿足多個監(jiān)控中心、副控臺對某一個熱點的并發(fā)訪問。 、技術(shù)先進 采用全光纖網(wǎng)絡(luò)。 視頻編碼格式采用目前最先進的 的方式，并且，最高分辨率達到了D1（ 704179。 576）。圖像清晰，能滿足街面監(jiān)控、治安監(jiān)控等的監(jiān)控需求。 采用先進的流媒體技術(shù)和分發(fā)機制，保證大容量并發(fā)訪問的流暢 。 模塊化結(jié)構(gòu)，擴容平滑。 、開放性和擴展性，使能多種應(yīng)用 系統(tǒng)的中心管理平臺采用 J2EE 架構(gòu)的開放平臺，提供 HTTPS 和 radius 標準協(xié)議與外部應(yīng)用系統(tǒng)的認證接口，使用 RTP、 RTSP 和 RTCP 協(xié)議進行視頻流接口，使用 XML 與外部應(yīng)用系統(tǒng)進行數(shù)據(jù)交換。其他信息系統(tǒng)通過這些標準協(xié)議無縫接口后，二者結(jié)合，可以增加很多新的應(yīng)用模式。所以，建成的系統(tǒng)完全可以為數(shù)字化城市的提供標準接口的視頻服務(wù)平臺。 、安全性設(shè)計 網(wǎng)絡(luò)視頻監(jiān)控管理 系統(tǒng)的安全問題包括兩方面，一是系統(tǒng)自身如何能給用戶提供長期 、穩(wěn)定、不間斷的服務(wù)；二是在受到人為攻擊破壞時，能繼續(xù)保持正常服務(wù)。所以針對 網(wǎng)絡(luò)視頻監(jiān)控管理 系統(tǒng)的運行、管理、使用等各個方面，都需充分考慮安全問題。包括平臺應(yīng)用程序的設(shè)計規(guī)劃、網(wǎng)絡(luò)安全策略，或因服務(wù)器自身硬件等原因，影響正常用戶的使用，我們采取了以下一些措施保證平臺的正常安全運行： ? 應(yīng)用層 安全認證 31 網(wǎng)絡(luò)視頻監(jiān)控管理 系統(tǒng)不同于傳統(tǒng)的企業(yè)級的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)，其安全性是系統(tǒng)重要考慮的問題。網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)安全性除了基本的防攻擊、防非法侵入、防病毒等要求之外，還需要保證只有合法用戶可以訪問和使用網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng) 提供的服務(wù)，保證用戶只能管理自己設(shè)置的監(jiān)控點的前端子系統(tǒng)設(shè)備，查看有權(quán)限使用的監(jiān)控點的視頻監(jiān)控圖像；保證用戶保存在系統(tǒng)中的視頻文件的安全，不會被其它用戶甚至是系統(tǒng)管理員私自查看。為實現(xiàn)上述要求， 網(wǎng)絡(luò)視頻監(jiān)控管理 系統(tǒng)中設(shè)計完善的安全性機制，從多方面保證系統(tǒng)的安全性。 認證機制 用戶訪問 網(wǎng)絡(luò)視頻監(jiān)控管理 系統(tǒng)時都將進行身份認證，用戶輸入用戶名和密碼后，認證信息采用 64 位的 DES 加密處理，由中心管理服務(wù)器的 AAA 認證模塊對其進行驗證，以判斷用戶是否有權(quán)使用此系統(tǒng)。認證系統(tǒng)對用戶進行安全認證，身份驗證的資料來源于集中 規(guī)劃的中心數(shù)據(jù)庫服務(wù)器，數(shù)據(jù)庫服務(wù)器管理著網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中所有用戶的身份資料。用戶使用用戶名和密碼正確登錄平臺后，平臺將會維護該用戶的會話信息，用戶由此使用系統(tǒng)提供的網(wǎng)絡(luò)視頻監(jiān)控服務(wù)。高效的認證機制使非法用戶無權(quán)使用網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)。 對于有特殊需要的客戶可以提供利用 USBKEY 電子鑰匙的 方法 進行認證 ， 只有持有該電子鑰匙的用戶才能正常啟動客戶端軟件，再配合加密的用戶名密碼，雙重保證用戶訪問的安全性。 認證原則：登錄認證 +應(yīng)用服務(wù)二次認證。 (1)、首次認證 32 用戶首次認證時序圖 ① 、用戶通過客戶端向接入服務(wù)器提交身份驗證信息； ② 、接入服務(wù)器向 AAA 服務(wù)模塊提交認證請求； ③ 、 AAA 服務(wù)模塊生成客戶的 SESSIONID，返回給接入服務(wù)器； ④ 、接入服務(wù)器向客戶端返回相應(yīng)頁面及 SESSIONID。 (2)、后續(xù)認證 后續(xù)認證時序圖 33 以分發(fā)服務(wù)器為例，說明二次 認證（后續(xù)認證）的過程； ① 、客戶端向分發(fā)服務(wù)器發(fā)送連接視頻請求，包括用戶的身份信息； ② 、分發(fā)服務(wù)器向 AAA 服務(wù)模塊發(fā)送認證請求； ③ 、 AAA 服務(wù)模塊向分發(fā)服務(wù)器返回認證結(jié)果。 數(shù)據(jù)安全 網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)數(shù)據(jù)的安全性包括用戶視音頻信息的安全性和監(jiān)控用戶信息的安全性。對于視頻流的加密過于耗費芯片資源，加密費用過高，故不建議直接加密實時視頻流。但對部分特殊用戶要求，我們可采用安全網(wǎng)閘的方式進行數(shù)據(jù)隔離，同時也能保證視頻的 遠程調(diào)用。對于網(wǎng)絡(luò)視頻監(jiān)控的客戶或認證信息，系統(tǒng)采取加密的辦法來保證信息的安全性。對于存儲的靜態(tài)數(shù)據(jù)或文件可以采用數(shù)據(jù)或文件加密的方式確保信息的完整性。 報警與監(jiān)控系統(tǒng)中應(yīng)用了數(shù)字水印技術(shù)，通過一定的算法將一些標志性信息直接嵌入到視頻內(nèi)容當中，達到防篡改的目的，但不影響原內(nèi)容的價值和使用，并且不能被人的感知系統(tǒng)覺察或注意到。與傳統(tǒng)的加密技術(shù)不同，數(shù)字水印技術(shù)可以判別對象是否受到保護，監(jiān)視被保護數(shù)據(jù)的傳播，鑒別真?zhèn)?，為法庭提供認證證據(jù)。為了給攻擊者增加去除水印的難度，水印制作方案都采用密碼學(xué)中的加密體系來加強 ，在水印嵌入、提取時采用一種密鑰，甚至幾種密鑰聯(lián)合使用。 視頻水印嵌入在編碼階段的離散余弦變換（ＤＣＴ）的直流系數(shù)（ＤＣ）中（量化后、預(yù)測前）。此方式的優(yōu)點是： 水印僅嵌入在ＤＣＴ系數(shù)中，不會增加視頻流的數(shù)據(jù)比特率； 易設(shè)計出抗多種攻擊的水印； 可通過自適應(yīng)機制依據(jù)人的視覺特性進行調(diào)制，在得到較好的主觀視覺質(zhì)量的同時得到較強的抗攻擊能力。工作原理如下圖所示： 34 系統(tǒng)安全 業(yè)務(wù)管理子系統(tǒng)涉及到非常重要客戶信息、平臺管理子系統(tǒng)涉及到設(shè)備配置信息、路 由信息、網(wǎng)絡(luò)管理信息，因此，系統(tǒng)采取措施保證其安全性。 ① 、系統(tǒng)設(shè)備層從安全性角度考慮采用 LINUX、 SOLARIS 或者 AIX 操作系統(tǒng)，并嚴格選擇安裝組件，精簡系統(tǒng)服務(wù) ② 、采用一定的冗余備份方案，對于客戶資料、費用資料等重要數(shù)據(jù)要有可靠的存儲方案； ③ 、中心服務(wù)平臺放置防火墻之內(nèi)，以保證系統(tǒng)的安全性； ④ 、訪問控制策略 在 報警與監(jiān)控系統(tǒng)中，設(shè)備控制權(quán)限劃分到對每個攝像頭、報警探頭、電視墻 的控制。對于每個攝像頭分為“實時視頻查看”、“歷史資料檢索”、“遠程云鏡控制”、“參數(shù)設(shè)置”、“音頻控制”等不同控制權(quán)限能力。 系統(tǒng)對使用者的權(quán)限管理，是基于“機構(gòu)”、“角色”和“用戶”三個層次。“機構(gòu)”是使用者的行政組織，如保安公司、 110 指揮中心等；“角色”是一個權(quán)限的邏輯組合；“用戶”是具體的使用者。 首先，在系統(tǒng)建立一系列垂直管理的組織機構(gòu)，然后在每級機構(gòu)中建立與工作權(quán)限相應(yīng)的不同“角色”，對每個不同的角色賦予不同的設(shè)備控制權(quán)限，如角色 x 叫“處警人員”，對其賦予對攝像頭編號 2??、編號 10 的“實 時視頻查看”和“遠程云鏡控制”兩種權(quán)限，但不賦予包括“歷史資料檢索”在內(nèi)的其它權(quán)限。 最后，在每級機構(gòu)中建立一系列使用者的“用戶”帳號。并將“用戶”賦予不同的“角色”權(quán)限。 ? 物理層 所有服務(wù)器采用雙電源供電，兩個電源模塊互相熱備份，并支持熱插拔。電源倒換時不影響系統(tǒng)運行。 平臺主要模塊采用雙機熱備或多機集群方式，保證服務(wù)的高可用性。 采用雙網(wǎng)卡（適配器），可以采用主備容錯或負載平衡模式，實現(xiàn)在因 NIC、電纜、交換機或端口出故障而導(dǎo)致鏈接故障時，通過在后備適配器重新發(fā)布通信負載來提供自動恢復(fù)。 35 服務(wù)器硬盤采 用 RAID 1 的方式實現(xiàn)系統(tǒng)盤數(shù)據(jù)容錯。 大容量的存儲介質(zhì)采用 RAID 5+HOTSPARE 的方式實現(xiàn)數(shù)據(jù)容錯和災(zāi)難恢復(fù)。 有特殊安全等級要求的賬號可考慮采用對應(yīng)的硬件加密狗才能正常運行。 整個平臺設(shè)備放置在電信專業(yè)機房，并配置專業(yè)人員進行管理維護，享受電信級的專業(yè)服務(wù)。 ? 網(wǎng)絡(luò)方面 及時變更平臺服務(wù)器的各類帳號密碼，刪除無用系統(tǒng)帳號。 停止不安全的網(wǎng)絡(luò)服務(wù)，如禁止 TELNET 登錄： 關(guān)閉與 網(wǎng)絡(luò)視頻監(jiān)控管理 不相干的服務(wù)端口，修改所要使用的網(wǎng)絡(luò)服務(wù)默認端口，如 ssh 的登錄端口。 核心模塊服務(wù)器采用硬件防火墻進行 安全防護。 三、平臺功能模塊介紹 、平臺軟件 ? 認證服務(wù)軟件模塊：負責用戶登錄的認證管理 ? 接入服務(wù)軟件模塊：包括訪問服務(wù)和調(diào)度服務(wù)。 “訪問服務(wù)”負責響應(yīng)客戶端和設(shè)備提交的系統(tǒng)請求服務(wù)。如視頻請求、云臺控制請求、報警處理請求、視頻存儲請求、認證轉(zhuǎn)發(fā)等。 “調(diào)度服務(wù)”進行視頻分發(fā)和存儲的調(diào)度管理。對視頻流請求指令進行調(diào)度，有幾種情況： ① 、根據(jù)前端的負載狀態(tài)，直接在前端和客戶端之間建立