基于PON承載的高清視頻監控系統及其安全接入策略研究

李俊清，桂 樹

（中國電信股份有限公司廣州分公司 廣州510620）

1 引言

近年來，隨著我國經濟的高速發展，城市化進程的日益加快，社會治安狀況的日趨復雜，公共安全問題逐漸成為公眾關注的焦點。為了維護城市社會治安，有力地預防和打擊犯罪，全面安裝視頻監控系統，從而提高了相關安全部門的信息獲取、快速反應、決策指揮和防災減災能力，為城市道路的安全暢通、交通違規行為的減少提供了有力的保障。

同時，用戶對圖像清晰度、處理速度、圖像智能分析、海量信息存儲方面提出了更高的要求，促使視頻監控技術向高清化、數字化、智能化方向發展。傳統的模擬監控逐漸不能滿足某些行業的監控需求，隨著新一代圖像處理芯片技術的發展，高清視頻監控系統逐漸進入人們的視野。

2 高清建設所面臨的主要問題

目前高清視頻的發展主要有兩種技術路線，分別為HD-SDI和網絡高清。SDI技術源自廣電行業，主要是為了傳輸與存儲高清無損的視頻圖像，由于其采集的數據量大，傳輸過程不經編/解碼器壓縮，給數據的存儲提出了很大的挑戰。而高清網絡攝像機采用H.264壓縮算法，能夠很好地節省傳輸帶寬和存儲空間。總的來說，HD-SDI方案在接入網絡、傳輸設備、視頻控制矩陣、存儲等方面具有與現行模擬視頻方案相似的特點，但系統的擴展性和融合性受到一定程度的限制，適合應用在一些對圖像質量要求特別嚴格的場合，而IPC在業內已經發展了5年，方案已非常成熟，大規模監控布點的匯聚是在數據交換網絡上進行傳輸，并通過開放式平臺進行統一調度指揮、應用管理和監控、維護，能適用于平安城市的大部分業務環境，成本控制更均衡，成為高清卡口監控的應用標準。

雖然網絡高清相對于HD-SDI來說，對帶寬的要求沒有那么苛刻，但從技術標準上講，一路視頻占用帶寬也達到4～12 Mbit/s，實現高清首先面臨的問題是傳輸能否接納如此龐大的數據流。由于目前的視頻光纜建設都采用點對點方式進行，占用了大量中繼光纜資源，如何在中繼資源緊缺的今天采用一種節省端局間中繼占用的方案也是需討論的問題。

另一個主要問題則是由選擇網絡高清路線所引出的，網絡高清攝像機在前端內置了數字編碼芯片直接輸出數字信號，通過網口接入存在被攻擊和病毒入侵的可能，因此在選擇網絡高清建設“平安城市”時，要建設相應的安全保障體系、采用相應的技術手段以確保視頻網絡的安全和保密性，可以從如下兩個角度考慮。

·攝像機設備本身：可以通過定制具備光口的攝像機確保接口的安全接入性，但此方式會帶來成本的上升和前端集成度提升帶來的維護等問題。

·通過建設前端攝像機的認證系統和邊界防火墻等技術手段，確保前端攝像機及網絡傳輸、數據和接口的安全。

3 網絡技術

傳統的視頻監控光纖采用點對點方式建設，建設成本高、資源浪費嚴重。而PON采用點到多點無源光傳輸，可以在以太網之上提供多種業務，業務形態上可以滿足視頻業務的承載要求。

從技術層面上看，在接入段采用PON，傳輸距離可達20 km，線路采用一個無源分光器實現多個監控點共享光纖，可大幅降低光纜的采購和建設成本。攝像機部署在前端，并通過PON接入網將IP化的視頻信號上傳，IP視頻流可以靈活地傳輸至多級監控中心，多級監控中心通過網絡連接，通過分布在各監控中心的視頻解碼器將圖像轉化為模擬型號進行輸出顯示。全綜合組網模式如圖1所示，網絡結構簡單，實施方便。

采用PON傳輸，既能充分保障信息的安全性，又能充分發揮其技術的先進性和傳輸成本的最優性。其采用波分復用技術，實現單纖雙向傳輸，上行數據分時發送，各ONU的發送時間與長度由OLT集中控制。因此網絡中ONU不可能監測到其他ONU的上行數據，即前端監控點視頻信號從ONU上傳到OLT是天然安全的。下行數據廣播發送，每個ONU根據下行數據的標識信息接收屬于自己的數據，丟棄其他用戶的數據。對于OLT下行數據的安全性，主要采用信息（包括所有的數據幀和OAM幀）加密技術。

PON的另一大特點是高帶寬且具備帶寬優先保障機制，能夠保證末梢單點上行不低于15 Mbit/s（滿配64路），足夠滿足高清視頻傳輸的需求，不會影響其他末梢點客戶的使用。

與光纖直連方式相比，PON具備如下優點。

·快速部署：由于從分光器到OLT再到主干光纜已經部署，在建設傳輸時，只需新建前端監控點到分光器的末梢段。

·安全可靠：PON口有備份端口，當一個端口出現問題，可以馬上換一個PON口。

·可管可控：具備先進的網管系統，可對前端的每個ONU設備的接入進行管理和控制，出現故障可快速定位并修復。

從資源利用上看，隨著光網城市的建設，大部分地市都基本實現了PON的覆蓋，通常來說每個地市PON OLT節點一般為200～500個，部署在市區、縣城和大部分鄉鎮。市區OLT的覆蓋半徑一般為2～5 km，縣城和農村OLT的覆蓋半徑一般為5～20 km，基本涵蓋城區內視頻監控的潛在需求點，有效利用現有光覆蓋進行視頻監控承載，將大大提升光覆蓋投資的效益。

圖1 全綜合組網模式示意

4 安全可靠性策略研究

在安全接入方面，以設備的安全接入控制最為重要，其與IT基礎設施緊密集成在一起，網絡接入控制不僅需提供網絡層身份管理，還需致力于解決終端風險源的安全威脅，涉及終端安全的各個方面。如非法接入和越權訪問控制、終端安全策略檢查、實時監控和取證、終端行為控制等。

為杜絕非法攝像機接入視頻網絡，當攝像機接入內網時，攝像機需經過身份認證和安全檢查，只有身份認證通過和安全檢查符合安全策略要求的才能接入內網；對于那些不符合要求的終端，將被系統隔離，并在終端界面上提示用戶進行相關修復操作。

為防止非法用戶越權訪問內網資源，需要對接入內網的終端用戶進行授權訪問。建議采用基于終端用戶角色的網絡訪問權限控制。管理員根據訪問對象和安全等級，將內網的業務服務器資源劃分為若干個認證子域，授權指定的終端用戶或用戶組進行訪問。

因此，在建設大規模網絡高清數字視頻監控系統應用時，應重點關注整體系統應用的安全性與可靠性，主要體現在以下方面。

（1）安全性策略

·應具有對前端攝像機及視頻工作站等接入設備進行端口綁定及接入認證的功能，以防止外來設備的惡意入侵；支持客戶端MAC地址、IEEE 802.1x等方式的認證，并提供賬號與IP地址、MAC地址的綁定功能，滿足用戶復雜網絡狀況的各種需求。

·系統應支持將網絡劃分為多個認證前域、隔離域、認證后域，允許將安全域的訪問策略分配到部門或終端，系統根據準入要求和安全檢查狀態，分配不同安全域的訪問權限，如按設備類型分為平臺服務器核心層設備、視頻控制工作站應用終端、IPC圖像采集設備三大類，劃分不同的VLAN范圍。

·中心端應具有綜合管理平臺，設置不同人員的權限與密碼，對視頻調用與錄像查閱下載做好管理工作，實現系統安全管理。

（2）可靠性策略

·網絡傳輸性能應保證前端IP攝像機碼流傳輸（實時監看、錄像存儲、遠程調用），不應存在分組丟失、時延過高或堵塞斷線的情況。

·各層級的網絡交換設備和安全管理服務器等均應具有冗余功能，即在一臺設備出現故障的情況下能自動切換，通過該另一臺設備進行傳輸。

·中心端應具有設備管理功能，可對各網絡設備（含前端、交換和存儲）的設備狀態進行有效管理，可統一采用基于SNMP的網管平臺，并能及時對故障設備進行報警。

5 系統驗證及測試

為進一步驗證GPON承載高清視頻監控的可行性及IP化后前端攝像機在安全接入方面的可控性，搭建了測試環境，進行系統建設前的驗證性測試。

（1）設備部署

前端視頻采用IPC直連、IPC通過GPON傳輸、HD-SDI光纖傳輸3種方式。其中，HD-SDI攝像機通過光端機接入高清硬盤錄像機轉換為IP信號。所有圖像信號集中通過交換機接入視頻服務器進行平臺統一管理，搭建安全管理服務器并配置安全接入控制軟件，對所有接入設備進行安全訪問控制策略實施。測試系統配置如圖2所示。

圖2 測試系統配置示意

表1 系統測試結果

測試內容包含前端視頻采集、接入傳輸、控制管理、安全防范、運行維護等多個方面，盡量反映高清視頻監控系統的組成架構和運行狀況。

（2）測試內容及結果

系統測試結果見表1。

通過實際測試的結果可證明，在實驗環境下GPON可以承載高清視頻監控的視頻流數據，并可保證在其容量范圍內的多路視頻信號的同時傳輸，對前端IP攝像機的安全措施也起到了有效的防范作用。

6 結束語

隨著高清視頻監控的逐步成熟，整個監控領域將進入新的發展階段，在建設高清視頻監控系統時必須考慮整體系統的應對策略，從設計角度開始就不能缺失安全性和可靠性的要素考慮，而且要在項目實施后進行測試驗證，并在實際使用中實時注意，不斷提高，確保系統有效運行。從研究結論分析，基于PON承載的高清視頻監控系統，具備較好的安全性和拓展性，具備大規模運營管理的能力。

除了上述關鍵技術外，還要考慮如何推動整個產業鏈（包括電信運營商、平臺提供商、終端提供商等）的良性合作，明確產業鏈各環節的定位，降低終端銷售和維護成本，促使高清視頻監控系統快速落地推廣，為各行各業的應用發揮更大的作用。

1 GB 50348-2004.安全防范工程技術規范,2004