【導讀】的基礎(chǔ)和重要組成部分。根據(jù)高檢發(fā)技字[2020]1號《有關(guān)于印發(fā)〈2020-2020. 和專業(yè)化電視電話會議室。”，結(jié)合安徽省檢察機關(guān)實際情況，明確提出建設(shè)以省。遠程交互的會議及其它會議功能。本次建設(shè)計劃將原有系統(tǒng)的標清終端設(shè)備布置在省、市、縣各檢察院審訊室，能夠接入到本次新建視頻指揮系統(tǒng)中，既作為本次新建視頻指揮系統(tǒng)的一部分，實現(xiàn)與其它會場的視頻綜合應(yīng)用，也可以作為其它會場的備份。時，能夠保證隨著網(wǎng)絡(luò)和技術(shù)的發(fā)展，支持平滑升級和擴容，有效保護投資?；枨?，提高辦案偵查效率。設(shè)管理帳號、經(jīng)授權(quán)并分配權(quán)限后，才可控制所轄區(qū)域的會議管理和控制。具備嚴格的授權(quán)和認證機制。對審訊進行綜合指揮調(diào)度；省檢察機關(guān)會議圖像，監(jiān)控圖像整合聯(lián)網(wǎng)，及突發(fā)性事件應(yīng)急指揮。范，則參照相應(yīng)的國際標準執(zhí)行。本方案主要遵循以下設(shè)計依據(jù)。目》招標文件的第88包《視頻指揮系統(tǒng)》的招標規(guī)范；

　　

【正文】 這個攝像機也是無法升級到 1080P的，以后如果系統(tǒng)升級到 1080P，還需要 更換攝像機?？七_ 缺省配置 1080P的攝像機，用戶 只需 一次性投資。 另外，大部分海外品牌的攝像機都采用專用接口，如果要擴展只能購買其自有攝像機，當然也可以通過分量接口來擴展攝像機，但這時是模擬方式，不是數(shù)字高清攝像機信號輸入。同時，海外品牌終端不具備 HD中非常重要的 HDSDI接口，這是中國廣電的標準 HD接口，以后會 有 很多支持 HDSDI的視頻設(shè)備。海外廠商都無法直接進行數(shù)字對接。 科達的解決方案采用標準的 HD接口，包括了高端的廣電級 HDSDI接口、 HDMI、高清分量 等 HD接口，可以配置標準的 HD攝像機， SONY等廠商都具有標準的 HD攝像機。 數(shù)字錄播系統(tǒng) 科達具備同品牌的數(shù)字錄播系統(tǒng)， KDV7910高清終端 可以直接進行 VOD點播，并能實現(xiàn)雙流的點播?？梢酝瓿?2路 720P的同時錄播。 通過權(quán)威機構(gòu)檢測 科達 MCU和高清終端均已通過信產(chǎn)部泰爾實驗室的進網(wǎng)檢驗測試，也都通過CCC強制認證測試，獲得了信產(chǎn)部進網(wǎng)許可證和 3C認證書。 科達高清視頻會議產(chǎn)品是業(yè)內(nèi)首家通過 1080P進網(wǎng)測試的產(chǎn)品。 KDV8000A并支持電源冗余、主控備份、線路備份、 MCU備份、單板熱插拔，并均已通過信產(chǎn)部的進網(wǎng) 檢驗 測試。 系統(tǒng)的可持續(xù) 升 級擴容 科達 擁有 全套的 MCU和終端技術(shù)， KDV8000A既支持 SD終端的接入，也支持 HD終端的接入， MCU可以平穩(wěn)升級和擴容，能最大限度地保護用戶的投資。特別是針對前期已經(jīng)具備的 KDV8000AMCU，只要增加少數(shù)的高清處理板卡，并升級軟件版本，即可實現(xiàn)高清的擴展 ，可以大大減少重復投資 。 針對檢察院視頻指揮系統(tǒng)的安全性設(shè)計 隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷普及，私人數(shù)據(jù)、重要的企業(yè)資源以及政府機密等信息被前所未有的暴露在公共網(wǎng)絡(luò)空間之下，而互聯(lián)網(wǎng)和IP 協(xié)議體系的開放性使得這些重要的私有信息很容易 被獲取。黑客們可以通過不同類型的攻擊威脅上述機構(gòu)，而且這種威脅日益明顯。 本次視頻會議基于 IP 線路，基于 IP 的 視頻會議系統(tǒng)同樣面臨上述安全威脅，因此有必要根據(jù)技術(shù)規(guī)范要求提出安全性設(shè)計方案。 系統(tǒng)安全性威脅 根據(jù)過去的經(jīng)驗以及網(wǎng)絡(luò)實際運行情況來看，目前的視頻系統(tǒng)網(wǎng)絡(luò)安全性威脅來自承載網(wǎng)和視頻會議設(shè)備本身等多個方面，主要包括外部黑客善意或惡意的攻擊、內(nèi)部員工有意或無意的機密泄漏以及各種病毒的入侵。這些安全威脅具體體現(xiàn)為以下幾類： 1）報文竊聽 攻擊者使用報文獲取工具，從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流中獲取視頻業(yè)務(wù) 包并進行分析，一方面獲取用戶名、口令或者其他敏感的信息，一方面通過解碼技術(shù)實現(xiàn)會議視音頻資料的恢復輸出。這種攻擊方式利用工作于混合模式的網(wǎng)卡捕獲通過某個沖突域的所有網(wǎng)絡(luò)分組。這種分組捕獲最初用于流量分析與故障排除，但后來被用于竊取以明文方式傳輸?shù)拿舾行畔ⅰ? 2）報文篡改 攻擊者采取與竊聽報文類似的手段，但不是簡單地復制報文，而是截獲視頻報文，而后不僅可以從這些視頻數(shù)據(jù)中獲得一些敏感信息，而且可以任意更改報文中的信息并繼續(xù)發(fā)送給原目的地，這樣就能造成比竊聽報文類型攻擊更大的危害。 3） IP 地址欺騙 攻擊者通過 改變自己的 IP 地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，以合法用戶身份登錄那些只以 IP 地址作為驗證的主機；或者發(fā)送特定的報文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，甚至是偽造一些可接受的路由報文（如發(fā)送 ICMP的特定報文）來更改路由信息，以竊取信息。 IP 地址欺騙另外一個典型的例子是用騙取的源地址隱藏黑客的身份，從而引發(fā)拒絕服務(wù)攻擊（ DoS）。 4）網(wǎng)絡(luò)偵察 網(wǎng)絡(luò)偵察是指運用公用的信息或應(yīng)用程序獲得有關(guān)目標網(wǎng)絡(luò)信息的一種攻擊手段。當黑客試圖入侵某個網(wǎng)絡(luò)之前，利用域名系統(tǒng)查詢（ DNS）、 Ping 掃描或端口掃描等工具來探測 系統(tǒng)信息以及正在偵聽的端口，來發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道某個系統(tǒng)存在漏洞，通過查詢特定的端口，來確定是否存在漏洞。然后利用這些漏洞對系統(tǒng)進行攻擊，導致系統(tǒng)癱瘓或無法正常運行。 5）拒絕服務(wù)攻擊（ DoS） DoS（拒絕服務(wù)攻擊）攻擊是通過發(fā)送大量報文導致網(wǎng)絡(luò)資源和帶寬被消耗，從而達到阻止合法用戶對資源的訪問。最近拒絕服務(wù)攻擊又有了新的發(fā)展，即分布式拒絕服務(wù)攻擊。 DoS 攻擊與其他攻擊有所不同，因為這種攻擊的目的通常不是進入某個網(wǎng)絡(luò)或獲取其上的信息，這種攻擊的主要目的是使某種服務(wù)無法被正確使用，而且這種攻擊通 常是通過破壞網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用內(nèi)部的某些資源限制來實現(xiàn)的。 6）密碼攻擊 黑客可以采用幾種不同的方法實施密碼攻擊，包括暴力攻擊、特洛伊、 IP地址欺騙以及報文竊聽。雖然報文竊聽與 IP 地址欺騙可以獲得用戶賬號和密碼，但密碼攻擊通常是指多次試圖識別一個用戶賬號和密碼的行為，這種多次重復的攻擊行為稱為暴力攻擊。 7）應(yīng)用層攻擊 黑客可以通過多種方法實施應(yīng)用層攻擊。最常用的一種方法是利用服務(wù)器上通用軟件的常見漏洞，包括電子郵件、 HTTP 以及 FTP。通過探測并利用這些漏洞，黑客能夠獲得運行應(yīng)用程序的賬號許可，從而得以 訪問計算機及其資源。 與應(yīng)用層相關(guān)的另外一個攻擊主要是通過使用被允許穿越的通用防火墻端口，如利用知名的 TCP 端口 80 來攻擊 WEB 服務(wù)器。 8）網(wǎng)絡(luò)病毒 大部分網(wǎng)絡(luò)病毒和“特洛依木馬”等也是威脅網(wǎng)絡(luò)安全的重要因素，通過大量復制的病毒包，以耗盡承載網(wǎng)和視頻系統(tǒng)設(shè)備的資源為目的。 承載網(wǎng)安全性設(shè)計 通過承載網(wǎng)的安全性設(shè)置可有效避免和防范上述部分安全威脅。 IP 平臺應(yīng)可支持豐富的安全特性，包括 IP VPN、 VLAN、訪問列表、用戶授權(quán)與認證等，用于保證承載網(wǎng)提供語音、數(shù)據(jù)以及視頻等多種業(yè)務(wù)間的安全隔離。 通過訪問列表 和用戶授權(quán)認證可阻止非法用戶對承載網(wǎng)的訪問與登陸。 利用 VLAN 技術(shù)可實現(xiàn)業(yè)務(wù)接入端口及各業(yè)務(wù)網(wǎng)間的安全隔離。 科達視頻產(chǎn)品安全性 科達視頻產(chǎn)品可通過如下安全特性提供行之有效的視頻會議系統(tǒng)安全防范措施。 斷線重邀 系統(tǒng) 具有繼線重邀功能，在召開視頻會議過程中，當某一終端的線路出現(xiàn)故障時，并不影響其他終端會議的繼續(xù)進行，并且當該終端的線路故障排除后，該終端不需要人工再次進行呼叫就能自動加入到會議中，繼續(xù)參與到會議中。 自動升降速 當網(wǎng)絡(luò) 出現(xiàn)擁塞，視頻會議的帶寬得不到保證，將會出現(xiàn)畫面馬賽克甚至停頓的情況 ，科達動態(tài)速率調(diào)整技術(shù)可通過檢測網(wǎng)絡(luò)狀況動態(tài)調(diào)整視頻會議的碼率，當網(wǎng)絡(luò)帶寬不足時，自動降低會議帶寬，當網(wǎng)絡(luò)狀況恢復后，視頻會議恢復到正常帶寬。保證會議的連貫性，提供更好的視音頻 。 內(nèi)置嵌入式 GK 本次配置的視頻會議系統(tǒng)具有 GK 功能，通過在 KDV8000A MCU 上配置了KDV8000AGK 內(nèi)置網(wǎng)守板來完成地址解析、呼叫轉(zhuǎn)移、終端注冊管理等功能。為保證會議安全， GK 支持終端密碼認證，以防止非法終端入會，只有授權(quán)用戶才能進入會議。 外置 GK 一般采用 GK 軟件裝在 PC 電腦上，增加故障點，本次采用嵌入式硬件 GK 模塊內(nèi)置在電信級 KDV8000A MCU 的方式來實現(xiàn) GK 功能，比外置 GK 穩(wěn)定可靠。 內(nèi)置防火墻保證網(wǎng)絡(luò)接口處的安全性 科達視頻會議終端和 MCU 在 IP網(wǎng)絡(luò)接口處均內(nèi)置防火墻功能，通過靈活的標準與擴展訪問列表，可根據(jù) IP 地址、 TCP/UDP 端口號等參數(shù)有效過濾和阻止非法用戶的接入和攻擊。 通過會議加密防止視音頻信號的泄漏 可以采用 DES 或 AES 等多種安全加密技術(shù)實現(xiàn)對會議內(nèi)容的加密，即使被中途截取，也無法破譯?？七_視頻產(chǎn)品支持 128 位 AES 硬件加密技術(shù)，通過對每組會議的加密，防止會議內(nèi)容的泄漏 。同時也保證了會議內(nèi)容的完整性與不可篡改性。 通過會議密碼防止非法用戶加入 竊取 后無法破譯 加密碼流 加密碼流 加密碼流 對于自助式會議，對即將召開的會議可采取密碼登陸的方式進入，密碼提前以 EMail 或其他手段送達授權(quán)會場。未獲密碼的非授權(quán)用戶無法加入會議。 通過身份認證和授權(quán)保證業(yè)務(wù)系統(tǒng)的安全性 用戶密碼、身份認證以及用戶授權(quán)是實現(xiàn)網(wǎng)絡(luò)安全防護的基本功能。只有經(jīng)過認證的用戶才可以享受服務(wù)，而未經(jīng)認證的用戶則被拒絕。身份認證包括 設(shè)備訪問、管理軟件的登陸、以及設(shè)備之間的通信認證等。經(jīng)過認證的用戶，又可通過分級授權(quán)實現(xiàn)不同的管理權(quán)限。 科達視頻系統(tǒng)可通過 GK 與業(yè)務(wù)系統(tǒng)聯(lián)合實現(xiàn)用戶認證和分級授權(quán)功能。 無密碼用戶遭拒 密碼會議 視頻網(wǎng)與數(shù)據(jù)網(wǎng)間的安全隔離 通常建議視頻會議系統(tǒng)與數(shù)據(jù)網(wǎng)采用物理隔離的方式確保安全性，但在需要將視頻會議擴展到計算機桌面或?qū)崿F(xiàn)流媒體點播應(yīng)用時，必須要與數(shù)據(jù)網(wǎng)聯(lián)通。這種情況下可采用以太網(wǎng) VLAN 技術(shù)實現(xiàn)與無關(guān)端口用戶之間的隔離。如下圖所示： 利用交換機的 VLAN 功能可為視頻設(shè)備 （包括管理系統(tǒng)、 MCU、終端）和普通局域網(wǎng)辦公 PC 劃分不同的 VLAN，以阻止數(shù)據(jù)網(wǎng)廣播風暴等影響視頻系統(tǒng)的正常運行。但由于流媒體系統(tǒng)需要提供對普通 PC用戶的訪問，因此可劃分在公共 VLAN中。 VLAN 10 流媒體 辦公 PC 辦公 PC VLAN 11 公共 VLAN 管理 MCU 終端 檢察院視頻指揮系統(tǒng)傳輸網(wǎng)絡(luò)的 QOS保障策略 安徽省檢察院采用的傳輸線路是租用運營商的 IP 專線網(wǎng)絡(luò)，網(wǎng)絡(luò)情況受到檢察院各部門數(shù)據(jù)流量的影響，可能會出現(xiàn)網(wǎng)絡(luò)擁塞、帶寬下降等網(wǎng)絡(luò)問題，針對上述實際網(wǎng)絡(luò)情況，我們接下來將會一一分析視頻會議系統(tǒng)中影響會議質(zhì)量的各種因素（包括網(wǎng)絡(luò)傳輸因素），并針對這些因素提供針對性的解決方案。 視頻會議系統(tǒng)的視音頻質(zhì)量通過延時、抖動、回聲等參數(shù)來衡量，影響這些參數(shù)的主要因素有： 1）承載網(wǎng)提供和保證的傳輸帶寬； 2）視頻輸入、輸出設(shè)備（攝像機 /麥克風等）； 3）視音頻編解碼能力； 4）多點控制單元（ MCU）的處理能力； 5）其他。 其中承載網(wǎng)絡(luò)因素可通過承載網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備的 QOS 保障和視頻會議系統(tǒng)的網(wǎng)絡(luò) QOS 保障兩大措施來解決。 網(wǎng)絡(luò)傳輸設(shè)備的 QOS 保障 網(wǎng)絡(luò)是視頻會議系統(tǒng)的基礎(chǔ)，用于承載分布在各地的視頻會議設(shè)備之間所交換的視頻、音頻以及各類控制信息。 由于 體系下的視頻會議系統(tǒng)，采用無糾錯的 UDP 數(shù)據(jù)包的方式傳送視音頻碼流，在網(wǎng)上傳送語音和圖像數(shù)據(jù)包，對丟包、時延和抖動較為敏感，嚴重的會出現(xiàn)馬賽克、停頓等現(xiàn)象。因此為了保證會議的流暢，路由器、交換機等網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)置 PQ、 CQ、 WFQ 等優(yōu)先級隊列，將視音頻數(shù)據(jù)包設(shè)置成較高優(yōu)先級，保證視頻業(yè)務(wù)的優(yōu)先傳送。 科達視頻會議系統(tǒng)網(wǎng)絡(luò) QOS 保障策略 科達視頻會議系統(tǒng)除了支持 PQ、 CQ、 WFQ 等 QOS 策略外，還通過以下幾個方面來保證會議的質(zhì)量。 對視音頻包的優(yōu)化處理 本系統(tǒng)承載網(wǎng)基于 100/1000M 光纖 IP 專線網(wǎng)絡(luò)， IP 傳輸信道 要求網(wǎng)絡(luò)平臺提供嚴格、完善的服務(wù) 質(zhì)量控制和管理能力，以減少承載網(wǎng)本身對視頻會議系統(tǒng)效果的影響。 科達公司視頻會議產(chǎn)品本身也可支持豐富的 QoS 特性，可配合 IP 平臺完成全網(wǎng)視頻會議系統(tǒng)的 QoS 規(guī)劃與設(shè)計。 IP優(yōu)先權(quán)（ IP Precedence） 在承載網(wǎng)規(guī)劃差分服務(wù)模型的 QoS 技術(shù)時，可通過多種匹配手段對進入數(shù)據(jù)網(wǎng)的業(yè)務(wù)包進行分類，包括 IP 地址、協(xié)議、 IP Precedence、 IP ToS 等。 科達視頻產(chǎn)品可利用該字節(jié)的 IP 優(yōu)先權(quán)部分對音頻、視頻和 RTCP 數(shù)據(jù)流進行優(yōu)先級劃分。當承載網(wǎng)采用 IP Precedence 或 IP ToS 進行匹 配時，可通過視頻設(shè)備發(fā)出的修改過 IP Precedence 或 IP ToS 字段信息的視音頻包進行入隊列處理，以保證視頻會議碼流優(yōu)先傳送。 本次的承載網(wǎng)絡(luò)平臺上，也同時承載著數(shù)據(jù)業(yè)務(wù)和視音頻業(yè)務(wù)，可通過網(wǎng)管控制臺或遙控器定義視音頻數(shù)據(jù)包的優(yōu)先級，保證視音頻碼流的優(yōu)先傳送。 IP包排序 通常，承載網(wǎng)的盡力傳遞機制無法保證其轉(zhuǎn)發(fā)的數(shù)據(jù)包的正確次序。對于 視頻會議系統(tǒng)，如果視頻設(shè)備按次序接收 IP 包，將帶來錯序問題，數(shù)據(jù)網(wǎng)絡(luò)設(shè)備 科達視頻 1 0 1 QoSIP 優(yōu)先級 可設(shè)置 0－ 7 級優(yōu)先級 不同級別的數(shù)據(jù)通過交換機和路由器得到不同的處理 可改變音頻、視頻以及 RTCP 包的默認優(yōu)先級 包的丟失或延遲將導致視頻圖像的凍結(jié)或聲音的中斷或抖動。 為解決該問題，科達公司視頻產(chǎn)品支持 IP 包排序功能，當 IP 包到達時，將對其次序進行驗證，無序的包被退回，以維護發(fā)送給終端用戶的音頻和視頻流的連續(xù)性。 本方案 通過 IP包排序功能，可保證視音頻信號的實時、連續(xù)和流暢的傳輸。 IP包重復控制 一個 IP 包經(jīng)過承載網(wǎng)時可能會產(chǎn)生多個重復的副本，或為了適應(yīng)惡劣網(wǎng)絡(luò)環(huán)境系統(tǒng)可能采用重傳機制時也會產(chǎn)生多個重復的副本，這樣將引起視頻圖像的凍結(jié)或聲 音中斷?？七_視頻產(chǎn)品可通過 IP 包重復控制來糾正該錯誤，以維護發(fā)送給終端用戶的音頻和視頻流的連續(xù)性。 本方案 利用 IP包重復控制技術(shù)，可避免因采用重傳機制面造成的多個重復IP 包的錯誤，維