專利名稱:一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng)及隔離方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡安全領(lǐng)域的網(wǎng)絡物理隔離技術(shù)和數(shù)據(jù)通信領(lǐng)域的數(shù)據(jù)傳輸技術(shù),尤其涉及一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng)及隔離方法����。
背景技術(shù):
公安視頻專網(wǎng)是通過改造整合現(xiàn)有的視頻監(jiān)控資源,實現(xiàn)互聯(lián)互通��、共享共用�,覆蓋面廣的全天候監(jiān)控網(wǎng)絡,已成為提升公安工作水平���、促進公安警務化改革��、提高預防打擊犯罪和控制犯罪能力的重要手段����。各級公安機關(guān)需要隨時調(diào)看公安視頻專網(wǎng)中的實時視頻和錄像文件,必要時����,需要調(diào)用現(xiàn)場實時圖像進行統(tǒng)一調(diào)度和指揮。隨著公安信息化建設(shè)的日益深入����,為公安部門的日常工作帶來高效便捷的同時,也帶來了嚴重的計算機安全問題��。尤其是病毒破壞�����、黑客入侵造成的危害越來越大���。國家保密局2000年I月I日頒布《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第2章保密制度第六條規(guī)定:“涉及國家秘密的計算機信息系統(tǒng),不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡相連接����,必須實行物理隔離”。公安視頻專網(wǎng)由于接入點多且分散�����,很難保障網(wǎng)絡的絕對安全,公安內(nèi)網(wǎng)首當其沖需要與公安視頻專網(wǎng)實行物理隔離����。實行物理隔離后,可確保內(nèi)部網(wǎng)不會受到外部公共網(wǎng)絡的非法攻擊�。同時,實行物理隔離也為涉密計算機及信息系統(tǒng)劃定了明確的安全邊界�����,使得網(wǎng)絡的可控性增強�,便于內(nèi)部管理和防范。日前��,物理隔離技術(shù)已成為網(wǎng)絡安全保密體系中不可缺少的重要手段��,越來越受到各部門���、各單位的高度重視���。目前公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離技術(shù)主要采用網(wǎng)閘設(shè)備進行隔離,但是由于視頻數(shù)據(jù)的帶寬很高���,尤其是訪問大量視頻路數(shù)時�����,需要很高的實時帶寬��,使得網(wǎng)閘設(shè)備需要很高的性能才能實時處理大量的視頻數(shù)據(jù)���,造成網(wǎng)閘設(shè)備成本很高�����,難以大規(guī)模推廣應用���。同時,即使采用網(wǎng)閘��,由于核心軟硬件都依賴進口�,技術(shù)手段還存在許多漏洞,也不能保證自身不被黑客攻破����。如何既經(jīng)濟���、又能保證高速實時傳輸大容量視頻數(shù)據(jù)����、而且還能保證斷開內(nèi)網(wǎng)與公安視頻專網(wǎng)的網(wǎng)絡連接,讓黑客無機可乘���,是本發(fā)明要解決的問題�。
發(fā)明內(nèi)容
針對上述技術(shù)問題����,本發(fā)明的提出一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng)及隔離方法。為了解決上述技術(shù)問題����,本發(fā)明的技術(shù)方案如下:
一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng),包括內(nèi)網(wǎng)視頻服務器���、高速單向光纖隔離接收機��、高速單向光纖隔離發(fā)送機和外網(wǎng)視頻服務器���,所述高速單向光纖隔離接收機包括高速光纖接收模塊和調(diào)閱指令解密與認證模塊,所述高速單向光纖隔離發(fā)送機包括高速光纖發(fā)送模塊和低速光纖接收模塊,所述高速光纖接收模塊通過網(wǎng)線和所述內(nèi)網(wǎng)視頻服務器連接��,所述調(diào)閱指令解密與認證模塊通過串口與所述內(nèi)網(wǎng)視頻服務器連接�����,所述調(diào)閱指令解密與認證模塊通過光纖與所述低速光纖接收模塊連接���,所述高速光纖接收模塊通過光纖和所述高速光纖發(fā)送模塊連接���,所述高速光纖發(fā)送模塊通過網(wǎng)線和所述外網(wǎng)視頻服務器連接,所述低速光纖接收模塊通過串口與所述外網(wǎng)視頻服務器連接�。進一步的,所述調(diào)閱指令解密與認證模塊通過單向低速光纖通道與所述低速光纖接收模塊連接���。進一步的�,所述高速光纖接收模塊中包括FPGA芯片和RTL8211BL芯片�����,所述FPGA芯片接收高速單向光纖隔離發(fā)送模塊發(fā)送的高速視頻數(shù)據(jù)�����,并轉(zhuǎn)換成MII/RGMII信號后送入RTL8211BL芯片,再由RTL8211BL芯片通過網(wǎng)口把視頻數(shù)據(jù)流傳輸?shù)絻?nèi)網(wǎng)視頻服務器中�����。一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法�����,包括如下步驟:
41)當內(nèi)網(wǎng)需要調(diào)閱外網(wǎng)視頻的視頻圖像時�,內(nèi)網(wǎng)視頻服務器通過串口發(fā)送加密的調(diào)閱指令到高速單向光纖隔離接收機的調(diào)閱指令解密與認證模塊����,調(diào)閱指令解密與認證模塊對收到的串口數(shù)據(jù)進行解密,并判斷是否是真實的調(diào)閱指令�����,如果判斷是�����,則把調(diào)閱指令通過單向低速光纖通道發(fā)送到低速光纖接收模塊���,低速光纖接收模塊再把調(diào)閱指令信號通過串口發(fā)送到外網(wǎng)視頻服務器中�;
42)當外網(wǎng)視頻服務器接收到調(diào)閱指令后,把相應視頻數(shù)據(jù)流通過網(wǎng)口發(fā)送到高速光纖發(fā)送模塊中�����,所述高速光纖發(fā)送模塊將該視頻數(shù)據(jù)流電光轉(zhuǎn)換后��,再通過單向的光纖通道把視頻數(shù)據(jù)流發(fā)送到高速光纖接收模塊中����,高速光纖接收模塊對視頻數(shù)據(jù)流進行光電轉(zhuǎn)換后,再通過網(wǎng)口把視頻數(shù)據(jù)流傳輸?shù)絻?nèi)網(wǎng)視頻服務器中��。進一步的�����,所述外網(wǎng)視頻服務器將相應的視頻數(shù)據(jù)以UDP報文形式發(fā)送至高速光纖接收模塊中����。進一步的,所述高速光纖接收模塊中包括FPGA芯片和RTL8211BL芯片�����,所述FPGA芯片接收高速單向光纖隔離發(fā)送模塊發(fā)送的高速視頻數(shù)據(jù)�����,并轉(zhuǎn)換成MII/RGMII信號后送入RTL8211BL芯片,再由RTL8211BL芯片通過網(wǎng)口把視頻數(shù)據(jù)流傳輸?shù)絻?nèi)網(wǎng)視頻服務器中���。本發(fā)明的有益效果在于:本發(fā)明創(chuàng)造性地選擇了有限制的單向的串口通道和高速單向的網(wǎng)絡通道進行連接��,這種方法使用自定義的加密協(xié)議和數(shù)據(jù)包格式進行單向視頻調(diào)閱指令傳輸,由于攻擊者無法獲取解密方法��,所以即使最極端情況���,內(nèi)網(wǎng)視頻服務器被攻擊者操縱���,并通過串口往外發(fā)送數(shù)據(jù),這些數(shù)據(jù)也會被“高速單向光纖隔離接收機”攔截�����,無法傳輸?shù)揭曨l專網(wǎng)�����,從而有效地保護了內(nèi)網(wǎng)���。
圖1為本發(fā)明一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法的總體系統(tǒng)結(jié)構(gòu)示意 圖2為本發(fā)明一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法在實際工程應用的示意圖��。附圖標記:內(nèi)網(wǎng)視頻服務器I ;網(wǎng)線2 ;串口線3 ;高速單向光纖隔離接收機4 ;光纖跳線5 ;高速單向光纖隔離發(fā)送機6 ;公安視頻專網(wǎng)服務器7�。
具體實施例方式下面結(jié)合附圖和具體實施例對本發(fā)明做進一步的說明。本發(fā)明在公安內(nèi)網(wǎng)視頻服務器與外網(wǎng)視頻服務器之間建立了只能傳輸專用加密視頻調(diào)閱指令的單向串口數(shù)據(jù)通道和只能單向傳輸?shù)母咚倬W(wǎng)絡通道�。在實現(xiàn)內(nèi)網(wǎng)能夠高效、高速����、大容量調(diào)閱視頻專網(wǎng)的視頻數(shù)據(jù)功能時,保證內(nèi)網(wǎng)與視頻專網(wǎng)在網(wǎng)絡上是物理隔離的�,視頻專網(wǎng)不能通過網(wǎng)絡模式對內(nèi)網(wǎng)進行訪問,或從內(nèi)網(wǎng)獲得除專用調(diào)閱指令以外的任何其他數(shù)據(jù)��。如圖1所示����,一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng)由“內(nèi)網(wǎng)視頻服務器”、“高速單向光纖隔離接收機”���、“高速單向光纖隔離發(fā)送機”��、“外網(wǎng)視頻服務器”四部分組成���。當公安內(nèi)網(wǎng)視頻服務器接收到加密的視頻數(shù)據(jù)后如果不經(jīng)過解密則是亂碼�,此時通過低速的RS232串口發(fā)送一個加密的專用視頻調(diào)閱指令到“高速單向光纖隔離接收機”���,此指令自己可以定義����?!案咚賳蜗蚬饫w隔離接收機”對收到的訪問指令進行解密與識別。接收的加密數(shù)據(jù)是由自定義的加密算法完成的����,此算法可以簡單也可以很復雜���。舉一個簡單的例子就是把視頻數(shù)據(jù)流每bit的數(shù)據(jù)按位取反進行加密���,“高速單向光纖隔離接收機”接到調(diào)閱指令進行解密時再按位取反取得原有數(shù)據(jù)。如果確認是專用的視頻調(diào)閱指令�,則通過單向的低速光纖通道把調(diào)閱指令發(fā)送到“高速單向光纖隔離發(fā)送機”中,再由“高速單向光纖隔離發(fā)送機”通過RS232串口傳輸?shù)酵饩W(wǎng)視頻服務器中�����,并由外網(wǎng)服務器接收下來����。如果“高速單向光纖隔離接收機”接收的不是加密的專用視頻調(diào)閱指令����,而是其他的任何數(shù)據(jù)�����,則“高速單向光纖隔離接收機”不會把這些數(shù)據(jù)發(fā)送到“高速單向光纖隔離發(fā)送機”中���,也即不會發(fā)送到外網(wǎng)視頻服務器中���。“外網(wǎng)視頻服務器”接收到視頻調(diào)閱指令后���,把相應的視頻數(shù)據(jù)以UDP報文形式發(fā)送到“高速單向光纖隔離發(fā)送機”��,“高速單向光纖隔離發(fā)送機”把視頻數(shù)據(jù)信號轉(zhuǎn)換成光信號���,通過光纖單向傳輸?shù)健案咚賳蜗蚬饫w隔離接收機”中,“高速單向光纖隔離接收機”塊把光信號轉(zhuǎn)換成電信號�,并通過網(wǎng)絡口傳輸?shù)健皟?nèi)網(wǎng)視頻服務器”中。在本發(fā)明中,公安內(nèi)網(wǎng)視頻服務器與視頻專網(wǎng)服務器實行的是單向指令傳輸��,只有內(nèi)網(wǎng)視頻服務器發(fā)出的專用視頻調(diào)閱指令能通過單向低速光纖口傳輸?shù)揭曨l專網(wǎng)服務器��,而對于其他任何數(shù)據(jù)都不能從內(nèi)網(wǎng)傳輸?shù)揭曨l專網(wǎng)�����,而對于視頻數(shù)據(jù)����,則只能從視頻專網(wǎng)單向傳輸?shù)焦矁?nèi)網(wǎng)。這就有效保證了公安內(nèi)網(wǎng)與視頻專網(wǎng)的網(wǎng)絡物理隔離���,從視頻專網(wǎng)出發(fā)�����,無論采用何種技術(shù)手段,都不可能建立起與公安內(nèi)網(wǎng)的網(wǎng)絡聯(lián)接���,不可能從公安內(nèi)網(wǎng)獲取其他任何數(shù)據(jù)(只能獲取專用的調(diào)閱指令數(shù)據(jù))�,保證了公安內(nèi)網(wǎng)服務器及其數(shù)據(jù)的安全�。其中“高速單向光纖隔離接收機”和“高速單向光纖隔離發(fā)送機”通過一條單向的高速光纖通道(用于傳輸視頻數(shù)據(jù))和一條單向的低速光纖通道(用于傳輸加密的專用調(diào)閱指令)進行互聯(lián)?!案咚賳蜗蚬饫w隔離接收機”由“高速光纖接收模塊”和“調(diào)閱指令解密與認證模塊”組成�����?���!案咚俟饫w接收模塊”通過網(wǎng)口與“內(nèi)網(wǎng)視頻服務器”的網(wǎng)口聯(lián)接�,“調(diào)閱指令解密與認證模塊”通過RS232串口與“內(nèi)網(wǎng)視頻服務器”聯(lián)接?�!案咚賳蜗蚬饫w隔離發(fā)送機”由“高速光纖發(fā)送模塊”和“低速光纖接收模塊”組成���?����!案咚俟饫w發(fā)送模塊”通過網(wǎng)口與“外網(wǎng)視頻服務器”的網(wǎng)口聯(lián)接��,“低速光纖接收模塊”通過RS232串口與“外網(wǎng)視頻服務器”聯(lián)接�����?����!皟?nèi)網(wǎng)視頻服務器”通過串口把加密的專用調(diào)閱指令發(fā)送到“高速單向光纖隔離接收機”的“調(diào)閱指令解密與認證模塊”���,“調(diào)閱指令解密與認證模塊”�����,對這些指令進行解密和識別�����,如確認為是正確的調(diào)閱指令����,則通過單向的低速光纖通道把調(diào)閱指令數(shù)據(jù)發(fā)送到“高速單向光纖隔離發(fā)送機”的“低速光纖接收模塊”中���,并通過該模塊的RS232串口傳輸?shù)健耙曨l專網(wǎng)服務器”中����?����!耙曨l專網(wǎng)服務器”接收到調(diào)閱指令后����,把相應的視頻數(shù)據(jù)以UDP包的形式通過網(wǎng)口發(fā)送到“高速單向光纖隔離發(fā)送機”的“高速光纖發(fā)送模塊”中,“高速光纖發(fā)送模塊”把電信號轉(zhuǎn)換成光信號并通過單向的高速光纖通道把視頻數(shù)據(jù)發(fā)送到“高速單向光纖隔離接收機”的“高速光纖接收模塊”�����,該模塊通過光電轉(zhuǎn)換后���,把視頻數(shù)據(jù)通過網(wǎng)口傳輸?shù)健皟?nèi)網(wǎng)視頻服務器”中�。這就完成了內(nèi)網(wǎng)調(diào)閱視頻專網(wǎng)中的視頻數(shù)據(jù)的功能了����。具體而言,“高速單向光纖隔離接收機”由“高速光纖接收模塊”和“調(diào)閱指令解密與認證模塊”組成�。“高速光纖接收模塊”主要由LATTICE公司的FPGA芯片LCMX01200C-3TN100I和RTL8211B(L)網(wǎng)絡芯片實現(xiàn)�����。FPGA芯片接收高速單向光纖隔離發(fā)送機發(fā)送的高速視頻數(shù)據(jù)�����,并轉(zhuǎn)換成MII/RGMII (介質(zhì)獨立接口 )信號后送入RTL821 IB (L),再由RTL8211B(L)通過網(wǎng)口把視頻數(shù)據(jù)流傳輸?shù)絻?nèi)網(wǎng)視頻服務器中�。“調(diào)閱指令解密與認證模塊”采用FPGA芯片實現(xiàn)�����,通過RS232串口與“內(nèi)網(wǎng)視頻服務器”聯(lián)接����。“內(nèi)網(wǎng)視頻服務器”通過串口把加密的專用調(diào)閱指令發(fā)送到“調(diào)閱指令解密與認證模塊”的FPGA中�����,F(xiàn)PGA對這些調(diào)閱指令進行解密和識別���,判斷是否為真實的調(diào)閱指令��,如確認為是正確的調(diào)閱指令���,則FPGA把指令數(shù)據(jù)通過單向的低速光纖通發(fā)送到“高速單向光纖隔離發(fā)送機”?�!案咚賳蜗蚬饫w隔離發(fā)送機”由“高速光纖發(fā)送模塊”和“低速光纖接收模塊”組成��?!案咚俟饫w發(fā)送模塊”主要由LATTICE公司的FPGA芯片LCMX01200C-3TN100I和RTL8211B(L)網(wǎng)絡芯片實現(xiàn)。RTL8211B(L)接收由“公安視頻專網(wǎng)服務器”發(fā)送的視頻數(shù)據(jù)流�,并轉(zhuǎn)換成MII/RGMII (介質(zhì)獨立接口)信號后送入FPGA芯片,F(xiàn)PGA芯片把MII/RGMII信號轉(zhuǎn)換成高速串行信號����,通過光電轉(zhuǎn)換后發(fā)送到光纖中?�!暗退俟饫w接收模塊”主要有低速光模塊和RS232接口芯片組成�����,低速光模塊把接收到的調(diào)閱指令信號轉(zhuǎn)換成電信號�����,并通過RS232接口芯片把調(diào)閱指令信號傳輸?shù)揭曨l專網(wǎng)服務器中��。一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法的組成和功能說明如下:
(O公安內(nèi)網(wǎng)服務器完成加密的調(diào)閱指令的發(fā)送和視頻數(shù)據(jù)的接收功能�����。公安內(nèi)網(wǎng)服務器需要包含串口和網(wǎng)口����,其他配置根據(jù)實際需求而定���。當內(nèi)網(wǎng)需要調(diào)閱視頻專網(wǎng)的視頻圖像時,內(nèi)網(wǎng)服務器通過串口發(fā)送加密的調(diào)閱指令到“高速單向光纖隔離接收機”中�,“高速單向光纖隔離接收機”對收到的串口數(shù)據(jù)進行解密,并判斷是否是真實的調(diào)閱指令��,如果判斷是��,則把調(diào)閱指令通過單向低速光纖通道發(fā)送到“高速單向光纖隔離發(fā)送機”�,“高速單向光纖隔離發(fā)送機”再把調(diào)閱指令信號通過串口發(fā)送到“視頻專網(wǎng)服務器”中。(2)公安視頻專網(wǎng)服務器完成調(diào)閱指令信號的接收和視頻數(shù)據(jù)的發(fā)送功能�。公安視頻專網(wǎng)服務器需要包含串口和網(wǎng)口,其他配置根據(jù)實際需求而定����。當“公安專網(wǎng)視頻服務器”接收到調(diào)閱指令后,把相應視頻數(shù)據(jù)流通過網(wǎng)口發(fā)送到“高速單向光纖隔離發(fā)送機”中����,“高速單向光纖隔離發(fā)送機”再通過單向的高速光纖通道把視頻數(shù)據(jù)發(fā)送到“高速單向光纖隔離接收機”中,“高速單向光纖隔離接收機”再通過網(wǎng)口把視頻數(shù)據(jù)傳輸?shù)健肮矁?nèi)網(wǎng)服務器”中��。圖2是本發(fā)明一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法在實際工程應用的示意圖���。本發(fā)明系統(tǒng)由“公安內(nèi)網(wǎng)服務器”����、“高速單向光纖隔離接收機”�����、“高速單向光纖隔離發(fā)送機”�����、“公安視頻專網(wǎng)服務器”組成�����?�!肮矁?nèi)網(wǎng)服務器”通過網(wǎng)線和串口線與“高速單向光纖隔離接收機”聯(lián)接���,“高速單向光纖隔離接收機”通過2條光纖跳線與“高速單向光纖隔離發(fā)送機”聯(lián)接�,“高速單向光纖隔離發(fā)送機”通過網(wǎng)線和串口線與“公安視頻專網(wǎng)服務器”聯(lián)接����。系統(tǒng)能實現(xiàn)“公安內(nèi)網(wǎng)服務器”向“公安視頻專網(wǎng)服務器”實時高速調(diào)閱視頻數(shù)據(jù)�����,同時確保視頻專網(wǎng)與公安內(nèi)網(wǎng)之間的網(wǎng)絡是物理隔離的��,有效保障公安內(nèi)網(wǎng)的安全���。網(wǎng)絡隔離方法的本質(zhì)不在于完全斷開,而在于安全�����,既要信息交換��,也要隔離斷開�����。本發(fā)明創(chuàng)造性地選擇了有限制的單向的串口通道(只能單向傳輸內(nèi)網(wǎng)發(fā)出的視頻調(diào)閱指令)和高速單向的網(wǎng)絡通道進行連接�����,提出了一種全新的“公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法”���,這種方法使用自定義的加密協(xié)議和數(shù)據(jù)包格式進行單向視頻調(diào)閱指令傳輸�����,由于攻擊者無法獲取解密方法(解密工作由“高速單向光纖隔離接收機”中的“調(diào)閱指令解密與認證模塊”以硬件模式完成)��,所以即使最極端情況���,內(nèi)網(wǎng)視頻服務器被攻擊者操縱�����,并通過串口往外發(fā)送數(shù)據(jù),這些數(shù)據(jù)也會被“高速單向光纖隔離接收機”攔截����,無法傳輸?shù)酵饩W(wǎng)(視頻專網(wǎng)),從而有效地保護了內(nèi)網(wǎng)����。從圖1和圖2可以清楚地看到本發(fā)明在工程實際應用中使用的優(yōu)點,這些優(yōu)點包括:設(shè)備安裝使用維護都非常簡單�����;由于是純硬件結(jié)構(gòu)和加密的專用調(diào)閱指令協(xié)議及有保障的單向數(shù)據(jù)通道協(xié)議,能購保障網(wǎng)絡的絕對安全����,沒有被攻擊的可能;單向的視頻數(shù)據(jù)通道速率可達10G��,在保障訪問速率的同時大大降低了系統(tǒng)的成本�����。本發(fā)明的一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法具體有如下創(chuàng)新:創(chuàng)新性地使用有限制的單向串口通道傳輸內(nèi)網(wǎng)發(fā)出的視頻調(diào)閱指令�����,該通道只允許從公安內(nèi)網(wǎng)傳輸加密的專用視頻調(diào)閱指令到視頻專網(wǎng)中��,其他任何數(shù)據(jù)都無法從內(nèi)網(wǎng)傳輸?shù)揭曨l專網(wǎng)中����。1、創(chuàng)新性地使用硬件解密方法對加密的專用視頻調(diào)閱指令進行解密和識別�,有效地保護了加密算法,使攻擊者無法從內(nèi)網(wǎng)或外網(wǎng)的服務器中獲取解密方法����。2�、創(chuàng)新性地使用低速單向光纖通道傳輸單向串口指令數(shù)據(jù)���,從物理上保證了指令信道傳輸?shù)膯蜗蛐浴?���、創(chuàng)新性地采用高速單向光纖通道傳輸視頻數(shù)據(jù),不但以極低的成本保證視頻數(shù)據(jù)的帶寬達到IG甚至10G����,而且從物理上保證了內(nèi)網(wǎng)與視頻專網(wǎng)間的物理隔離。以上所述僅是本發(fā)明的優(yōu)選實施方式�����,應當指出���,對于本技術(shù)領(lǐng)域的普通技術(shù)人員,在不脫離本發(fā)明構(gòu)思的前提下��,還可以做出若干改進和潤飾���,這些改進和潤飾也應視為本發(fā)明保護范圍內(nèi)����。
權(quán)利要求
1.一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng),其特征在于��,包括內(nèi)網(wǎng)視頻服務器���、高速單向光纖隔離接收機�、高速單向光纖隔離發(fā)送機和外網(wǎng)視頻服務器�,所述高速單向光纖隔離接收機包括高速光纖接收模塊和調(diào)閱指令解密與認證模塊, 所述高速單向光纖隔離發(fā)送機包括高速光纖發(fā)送模塊和低速光纖接收模塊�,所述高速光纖接收模塊通過網(wǎng)線和所述內(nèi)網(wǎng)視頻服務器連接,所述調(diào)閱指令解密與認證模塊通過串口與所述內(nèi)網(wǎng)視頻服務器連接�,所述調(diào)閱指令解密與認證模塊通過光纖與所述低速光纖接收模塊連接,所述高速光纖接收模塊通過光纖和所述高速光纖發(fā)送模塊連接�,所述高速光纖發(fā)送模塊通過網(wǎng)線和所述外網(wǎng)視頻服務器連接,所述低速光纖接收模塊通過串口與所述外網(wǎng)視頻服務器連接���。
2.根據(jù)權(quán)利要求1所述的一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng)�,其特征在于���,所述調(diào)閱指令解密與認證模塊通過單向低速光纖通道與所述低速光纖接收模塊連接����。
3.根據(jù)權(quán)利要求1所述的一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng)�����,其特征在于, 所述高速光纖接收模塊中包括FPGA芯片和RTL8211BL芯片��,所述FPGA芯片接收高速單向光纖隔離發(fā)送模塊發(fā)送的高速視頻數(shù)據(jù)�����,并轉(zhuǎn)換成MII/RGMII信號后送入RTL8211BL芯片�,再由RTL8211BL芯片通過網(wǎng)口把視頻數(shù)據(jù)流傳輸?shù)絻?nèi)網(wǎng)視頻服務器中。
4.一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法�����,其特征在于����,包括如下步驟: 41)當內(nèi)網(wǎng)需要調(diào)閱外網(wǎng)視頻的視頻圖像時,內(nèi)網(wǎng)視頻服務器通過串口發(fā)送加密的調(diào)閱指令到高速單向光纖隔離接收機的調(diào)閱指令解密與認證模塊�,調(diào)閱指令解密與認證模塊對收到的串口數(shù)據(jù)進行解密����,并判斷是否是真實的調(diào)閱指令,如果判斷是���,則把調(diào)閱指令通過單向低速光纖通道發(fā)送到低速光纖接收模塊�����,低速光纖接收模塊再把調(diào)閱指令信號通過串口發(fā)送到外網(wǎng)視頻服務器中��; 42)當外網(wǎng)視頻服務器接收到調(diào)閱指令后��,把相應視頻數(shù)據(jù)流通過網(wǎng)口發(fā)送到高速光纖發(fā)送模塊中����,所述高速光纖發(fā)送模塊將該視頻數(shù)據(jù)流電光轉(zhuǎn)換后,再通過單向的光纖通道把視頻數(shù)據(jù)流發(fā)送到高速光纖接收模塊中���,高速光纖接收模塊對視頻數(shù)據(jù)流進行光電轉(zhuǎn)換后�����,再通過網(wǎng)口把視頻數(shù)據(jù)流傳輸?shù)絻?nèi)網(wǎng)視頻服務器中����。
5.根據(jù)權(quán)利要求4所述的一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法�����,其特征在于,所述外網(wǎng)視頻服務器將相應的視頻數(shù)據(jù)以UDP報文形式發(fā)送至高速光纖接收模塊中�。
6.根據(jù)權(quán)利要求4所述的一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離方法,其特征在于���,所述高速光纖接收模塊中包括FPGA芯片和RTL8211BL芯片��,所述FPGA芯片接收高速單向光纖隔離發(fā)送模塊發(fā)送的高速視頻數(shù)據(jù)�����,并轉(zhuǎn)換成MII/RGMII信號后送入RTL8211BL芯片����,再由RTL8211BL芯片通過網(wǎng)口把視頻數(shù)據(jù)流傳輸?shù)絻?nèi)網(wǎng)視頻服務器中�。
全文摘要
本發(fā)明公開了一種公安內(nèi)網(wǎng)與視頻專網(wǎng)的隔離系統(tǒng)及隔離方法,創(chuàng)造性地選擇了有限制的單向的串口通道和高速單向的網(wǎng)絡通道進行連接��,這種方法使用自定義的加密協(xié)議和數(shù)據(jù)包格式進行單向視頻調(diào)閱指令傳輸��,由于攻擊者無法獲取解密方法�����,所以即使最極端情況�����,內(nèi)網(wǎng)視頻服務器被攻擊者操縱���,并通過串口往外發(fā)送數(shù)據(jù)�,這些數(shù)據(jù)也會被“高速單向光纖隔離接收機”攔截���,無法傳輸?shù)揭曨l專網(wǎng)����,從而有效地保護了內(nèi)網(wǎng)��。
文檔編號H04L29/06GK103200201SQ20131013630
公開日2013年7月10日 申請日期2013年4月18日 優(yōu)先權(quán)日2013年4月18日
發(fā)明者石旭剛 申請人:杭州中威電子股份有限公司