本發(fā)明涉及網(wǎng)絡安全技術(shù)、網(wǎng)絡通信技術(shù)、視頻傳輸技術(shù)領(lǐng)域,專用于保證網(wǎng)絡視頻監(jiān)控攝像機節(jié)點與服務器間網(wǎng)絡數(shù)據(jù)的安全性。
技術(shù)背景
如今,視頻監(jiān)控對于社會的管理、國家的穩(wěn)定、人民財產(chǎn)的安全都起著至關(guān)重要的作用。在道路、公共場所也有數(shù)量巨大的監(jiān)控攝像頭。這些監(jiān)控網(wǎng)絡,都是由網(wǎng)絡視頻監(jiān)控攝像機節(jié)點采集視頻圖像,再通過網(wǎng)絡通路將數(shù)據(jù)傳遞給視頻監(jiān)控服務器。一般,視頻監(jiān)控服務器是一個管理網(wǎng)絡的一部分,處于管理網(wǎng)絡的內(nèi)部;而暴露于外界的網(wǎng)絡視頻監(jiān)控攝像機節(jié)點直接與視頻監(jiān)控服務器和內(nèi)部管理網(wǎng)絡相連接帶來了極大的安全隱患。
例如,一個工業(yè)控制網(wǎng)絡中包括了視頻監(jiān)控網(wǎng)絡,工廠網(wǎng)絡視頻監(jiān)控攝像機節(jié)點直接連接到內(nèi)部管理網(wǎng)絡中,以實現(xiàn)在管理網(wǎng)絡中實時調(diào)用監(jiān)控數(shù)據(jù);而與此同時,此管理網(wǎng)絡還控制著工廠的其他功能網(wǎng)絡。在這樣的網(wǎng)絡拓撲環(huán)境下,通過網(wǎng)絡視頻監(jiān)控攝像機節(jié)點端的網(wǎng)口,就可以直接訪問工業(yè)控制網(wǎng)絡中的管理網(wǎng)絡。網(wǎng)絡視頻監(jiān)控攝像機節(jié)點與視頻監(jiān)控服務器間的無限制、無監(jiān)控的網(wǎng)絡通信帶來了內(nèi)部管理網(wǎng)絡被暴露攻擊的巨大隱患。
為了解決這種網(wǎng)絡拓撲中對于內(nèi)部服務器、內(nèi)部管理網(wǎng)絡的安全威脅,設計了一種網(wǎng)絡視頻監(jiān)控攝像機節(jié)點及服務器間隔離設備。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的是為了解決視頻監(jiān)控網(wǎng)絡中,網(wǎng)絡視頻監(jiān)控攝像機節(jié)點與視頻監(jiān)控服務器間的無限制、無監(jiān)控的網(wǎng)絡通信帶來了內(nèi)部管理網(wǎng)絡被暴露攻擊的巨大隱患,而提供的一種網(wǎng)絡視頻監(jiān)控攝像機節(jié)點及服務器間隔離設備。該設備能夠很好地解決網(wǎng)絡視頻監(jiān)控攝像機節(jié)點接入后無限制、無監(jiān)控的網(wǎng)絡通信直接與內(nèi)部服務器相連的問題。
實現(xiàn)本發(fā)明目的的具體技術(shù)方案是:
一種網(wǎng)絡視頻監(jiān)控攝像機節(jié)點及服務器間隔離設備,特點是:該設備包括1000M/100M/10M以太網(wǎng)接口模塊、合法設備特性列表儲存配置模塊、網(wǎng)絡數(shù)據(jù)處理模塊、USB接口模塊、時鐘模塊及電源模塊。所述1000M/100M/10M以太網(wǎng)接口模塊與網(wǎng)絡數(shù)據(jù)處理模塊、時鐘模塊相連,作為網(wǎng)絡數(shù)據(jù)處理模塊的網(wǎng)絡數(shù)據(jù)輸入、輸出;合法設備特性列表儲存配置模塊與USB接口模塊、網(wǎng)絡數(shù)據(jù)處理模塊、時鐘模塊相連,接收USB接口模塊的配置并本地儲存,進而向網(wǎng)絡數(shù)據(jù)處理模塊配置合法設備特性列表;網(wǎng)絡數(shù)據(jù)處理模塊與1000M/100M/10M以太網(wǎng)接口、合法設備特性列表儲存配置模塊、時鐘模塊及電源模塊相連,其作用為處理網(wǎng)絡數(shù)據(jù);USB接口模塊與合法設備特性列表儲存配置模塊、時鐘模塊相連;時鐘模塊與1000M/100M/10M以太網(wǎng)接口模塊、合法設備特性列表儲存配置模塊、網(wǎng)絡數(shù)據(jù)處理模塊、USB接口模塊相連,向各模塊提供參考時鐘;電源模塊與1000M/100M/10M以太網(wǎng)接口模塊、合法設備特性列表儲存配置模塊、網(wǎng)絡數(shù)據(jù)處理模塊、USB接口模塊、時鐘模塊相連,為各模塊供電。
所述1000M/100M/10M以太網(wǎng)接口模塊包含四路獨立的以太網(wǎng)接口,每一路包含千兆以太網(wǎng)RJ45插座以及以太網(wǎng)物理層PHY芯片;三路以太網(wǎng)接口可分別連接三路網(wǎng)絡視頻監(jiān)控攝像機節(jié)點,其余一路以太網(wǎng)接口可連接內(nèi)部網(wǎng)絡服務器。
所述合法設備特性列表儲存配置模塊包括微處理器和Flash存儲芯片,微處理器和Flash存儲芯片與互相連接。其中,F(xiàn)lash存儲芯片中的合法設備特性列表中包括所有允許與內(nèi)部服務器通信的網(wǎng)絡視頻監(jiān)控攝像機節(jié)點數(shù)據(jù)的MAC地址、源端口號、目的端口號、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征。
所述網(wǎng)絡數(shù)據(jù)處理模塊包括FPGA芯片和DDR3高速存儲芯片,F(xiàn)PGA芯片與DDR3高速存儲芯片互相連接。DDR3高速存儲芯片對輸入的網(wǎng)絡數(shù)據(jù)實時進行高速的緩存。FPGA芯片通過讀取DDR3的高速緩存獲取網(wǎng)絡視頻監(jiān)控攝像機節(jié)點網(wǎng)絡數(shù)據(jù)包的MAC地址、源端口號、目的端口號、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征;將其與合法設備特性列表比較;僅允許合法特征的數(shù)據(jù)和設備通信,并且FPGA將合法特征的數(shù)據(jù)進行重新打包,輸出。
所述USB接口模塊包括USB 3.0 Type B插座以及USB解析芯片USB 3.0 Type B插座與USB解析芯片互相連接。數(shù)據(jù)傳輸過程及速率符合USB 3.0標準。
與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:
⑴、本發(fā)明使用FPGA硬件處理網(wǎng)絡數(shù)據(jù),相對傳統(tǒng)的雙ARM芯片的架構(gòu),具有更高的處理速度以及更強的并行處理能力。
⑵、本發(fā)明對于網(wǎng)絡數(shù)據(jù)具有強大的處理能力,并且通過優(yōu)化FPGA中的網(wǎng)絡安全執(zhí)行過程,可以實現(xiàn)80微秒的極小網(wǎng)絡延時。此項指標對于保證視頻監(jiān)控數(shù)據(jù)的實時性至關(guān)重要。
⑶、本發(fā)明采用USB 3.0的接口對設備進行合法設備特性列表配置。相較傳統(tǒng)的使用RS232接口的配置方式,本發(fā)明使用的USB 3.0的接口擁有更高的速度以及更高的可靠性。
附圖說明
圖1為本發(fā)明結(jié)構(gòu)框圖;
圖2為本發(fā)明工作流程圖;
圖3為本發(fā)明應用系統(tǒng)連接示意圖。
具體實施方式
下面結(jié)合附圖對本發(fā)明作詳細描述。
參閱圖1,本發(fā)明包括:1000M/100M/10M以太網(wǎng)接口模塊1、合法設備特性列表儲存配置模塊2、網(wǎng)絡數(shù)據(jù)處理模塊3、USB接口模塊4、時鐘模塊5及電源模塊6。
1000M/100M/10M以太網(wǎng)接口模塊1分別與網(wǎng)絡數(shù)據(jù)處理模塊3、時鐘模塊5、電源模塊6相連。
合法設備特性列表儲存配置模塊2分別與網(wǎng)絡數(shù)據(jù)處理模塊3、USB接口模塊4、時鐘模塊5、電源模塊6相連。
網(wǎng)絡數(shù)據(jù)處理模塊3分別與1000M/100M/10M以太網(wǎng)接口模塊1、合法設備特性列表儲存配置模塊2、時鐘模塊5、電源模塊6相連。
USB接口模塊4分別與合法設備特性列表儲存配置模塊2、時鐘模塊5、電源模塊6相連。
時鐘模塊5分別與1000M/100M/10M以太網(wǎng)接口模塊1、合法設備特性列表儲存配置模塊2、網(wǎng)絡數(shù)據(jù)處理模塊3、USB接口模塊4、電源模塊6相連。
電源模塊6分別與1000M/100M/10M以太網(wǎng)接口模塊1、合法設備特性列表儲存配置模塊2、網(wǎng)絡數(shù)據(jù)處理模塊3、USB接口模塊4、時鐘模塊5相連,為各個模塊供電。
本發(fā)明的1000M/100M/10M以太網(wǎng)接口模塊1包含四路獨立的以太網(wǎng)接口,每一路包含千兆以太網(wǎng)RJ45插座11以及以太網(wǎng)物理層PHY芯片12;三路以太網(wǎng)接口可分別連接三路網(wǎng)絡視頻監(jiān)控攝像機節(jié)點,其余一路以太網(wǎng)接口可連接內(nèi)部網(wǎng)絡服務器。PHY芯片12提供RGMII接口與網(wǎng)絡數(shù)據(jù)處理模塊3中的FPGA芯片31連接并進行數(shù)據(jù)交換。
本發(fā)明的合法設備特性列表儲存配置模塊2包含微處理器21和Flash存儲芯片22。合法設備特性列表儲存配置模塊2與USB接口模塊4相連,通過USB接口模塊4接收來自電腦的管理配置命令。合法設備特性列表儲存配置模塊2通過微處理器21將接收到的管理配置命令轉(zhuǎn)化為可執(zhí)行的合法設備特性列表,其中,合法設備特性列表中包括所有允許與內(nèi)部服務器通信的網(wǎng)絡視頻監(jiān)控攝像機節(jié)點數(shù)據(jù)的MAC地址、源端口號、目的端口號、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征。然后將其儲存在Flash存儲芯片22中,并將此合法設備特性列表配置進網(wǎng)絡數(shù)據(jù)處理模塊3。
網(wǎng)絡數(shù)據(jù)處理模塊3包含F(xiàn)PGA芯片31和DDR3高速存儲芯片32,對輸入的網(wǎng)絡數(shù)據(jù)實時進行高速的緩存、判斷、過濾、重構(gòu)、轉(zhuǎn)發(fā)操作。
本發(fā)明的USB接口模塊4包含USB 3.0 Type B插座41以及USB解析芯片42,傳輸過程及速率符合USB 3.0標準。USB接口模塊4的USB 3.0 Type B插座41通過USB 3.0 Type B標準線纜與電腦相連;USB解析芯片42與USB 3.0 Type B插座41相連接收電腦發(fā)來的數(shù)據(jù),并且USB解析芯片42與合法設備特性列表儲存配置模塊2的微處理器21相連,與其進行通信。
本發(fā)明的時鐘模塊5為1000M/100M/10M以太網(wǎng)接口模塊1、合法設備特性列表儲存配置模塊2、網(wǎng)絡數(shù)據(jù)處理模塊3、USB接口模塊4提供時鐘驅(qū)動。
本發(fā)明的電源模塊6與1000M/100M/10M以太網(wǎng)接口模塊1、合法設備特性列表儲存配置模塊2、網(wǎng)絡數(shù)據(jù)處理模塊3、USB接口模塊4、時鐘模塊5相連,為各模塊供電。
參閱圖2,本發(fā)明是這樣工作的:
先使用將三路網(wǎng)絡視頻監(jiān)控攝像機與本發(fā)明1000M/100M/10M以太網(wǎng)接口模塊1中的第一、第二、第三路千兆以太網(wǎng)RJ45插座11相連。使用六類網(wǎng)線將監(jiān)控服務器與本發(fā)明1000M/100M/10M以太網(wǎng)接口模塊1中的第四路千兆以太網(wǎng)RJ45插座11相連。使用USB 3.0 Type B線纜,將裝有配置軟件的電腦與USB模塊4的USB 3.0 Type B插座41相連。
上電后,進行默認合法設備特性列表配置。合法設備特性列表儲存配置模塊2中的微處理器21將默認合法設備特性列表配置數(shù)據(jù)從Flash存儲芯片22中讀取出來,并將此安全配置策略發(fā)送給網(wǎng)絡數(shù)據(jù)處理模塊3的FPGA 31。
之后針對已連接的三路網(wǎng)絡視頻監(jiān)控攝像機和監(jiān)控服務器,配置實際網(wǎng)絡合法設備特性列表。裝有配置軟件的電腦將針對已連接的三路網(wǎng)絡視頻監(jiān)控攝像機和監(jiān)控服務器的合法設備特性列表通過USB線纜發(fā)送至USB模塊4。USB 3.0 Type B插座41接收數(shù)據(jù)后,USB解析芯片42將解析后的數(shù)據(jù)發(fā)送給合法設備特性列表儲存配置模塊2中的微處理器21。其中,合法設備特性列表中包括所有允許與內(nèi)部服務器通信的網(wǎng)絡視頻監(jiān)控攝像機節(jié)點數(shù)據(jù)的MAC地址、源端口號、目的端口號、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征。合法設備特性列表儲存配置模塊2中的微處理器21將此合法設備特性列表配置數(shù)據(jù)存儲在Flash存儲芯片22中,并此合法設備特性列表發(fā)送給網(wǎng)絡數(shù)據(jù)處理模塊3的FPGA 31。
當以太網(wǎng)數(shù)據(jù)傳送進本發(fā)明設備時,1000M/100M/10M以太網(wǎng)接口模塊1中的千兆以太網(wǎng)RJ45插座11將模擬網(wǎng)絡數(shù)據(jù)轉(zhuǎn)換為四路差分信號傳送進PHY芯片12。PHY芯片12將差分信號的網(wǎng)絡數(shù)據(jù)轉(zhuǎn)換為后級芯片可處理的RGMII接口網(wǎng)絡數(shù)據(jù),并將轉(zhuǎn)換格式后的信號傳送至網(wǎng)絡數(shù)據(jù)處理模塊3的FPGA 31。
當網(wǎng)絡數(shù)據(jù)處理模塊3的FPGA 31接收到來自PHY芯片12的RGMII格式數(shù)據(jù)之后,采用流水線處理的方式,對網(wǎng)絡數(shù)據(jù)包做如下處理:將RGMII接口的網(wǎng)絡數(shù)據(jù)轉(zhuǎn)換為125MHz頻率、8-Bit位寬的網(wǎng)絡數(shù)據(jù)格式;提取其源MAC、目的MAC、協(xié)議類型、源IP、目的IP、源端口和目的端口等參數(shù);將網(wǎng)絡數(shù)據(jù)高速緩存至網(wǎng)絡數(shù)據(jù)處理模塊3的DDR3高速存儲芯片32中。
當網(wǎng)絡數(shù)據(jù)處理模塊3的DDR3高速存儲芯片32中已經(jīng)完整接收到一個網(wǎng)絡數(shù)據(jù)包之后,再將此網(wǎng)絡數(shù)據(jù)包從DDR3高速存儲芯片32中讀出。在此讀出網(wǎng)絡數(shù)據(jù)包的過程中,將此數(shù)據(jù)包的源MAC、目的MAC、協(xié)議類型、源IP、目的IP、源端口和目的端口等參數(shù)與網(wǎng)絡數(shù)據(jù)處理模塊3的FPGA 31中執(zhí)行的網(wǎng)絡數(shù)據(jù)合法設備特性列表進行比對,當提取的MAC地址、源端口號、目的端口號、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征,與合法設備特性列表中的MAC地址、源端口號、目的端口號、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征完全一致時,判斷此數(shù)據(jù)包為合法網(wǎng)絡數(shù)據(jù)包。
當網(wǎng)絡數(shù)據(jù)包經(jīng)過合法設備特性列表判斷為合法數(shù)據(jù)包后,根據(jù)合法設備特性列表,將此數(shù)據(jù)包重新打包,并轉(zhuǎn)換為RGMII接口數(shù)據(jù),轉(zhuǎn)發(fā)至1000M/100M/10M以太網(wǎng)接口模塊1中的數(shù)據(jù)包目的網(wǎng)口。進過PHY芯片12的處理后,通過千兆以太網(wǎng)RJ45插座11向外發(fā)送。
參閱圖3為本發(fā)明連接應用系統(tǒng)示意圖,圖中N為本發(fā)明,IPC1、IPC2、IPC3為三路網(wǎng)絡視頻監(jiān)控攝像機,S1為監(jiān)控服務器,S2、S3、S4為其余內(nèi)部控制子網(wǎng),S1、S2、S3、S4由于需要進行通信,因此它們之間是互相可以通信的。
三路網(wǎng)絡視頻監(jiān)控攝像機的網(wǎng)絡數(shù)據(jù)經(jīng)過本發(fā)明的篩選和判斷后,連入S1、S2、S3、S4組成的內(nèi)部控制網(wǎng)絡,其中S1為監(jiān)控服務器。通過本發(fā)明對于外部的網(wǎng)絡視頻監(jiān)控攝像機接入內(nèi)部控制網(wǎng)絡的數(shù)據(jù)進行篩選過濾,解決了網(wǎng)絡視頻監(jiān)控攝像機節(jié)點與視頻監(jiān)控服務器間的無限制、無監(jiān)控的網(wǎng)絡通信帶來的內(nèi)部管理網(wǎng)絡被暴露攻擊的巨大隱患,有效地保護了內(nèi)部監(jiān)控、控制網(wǎng)絡的安全性。