本實(shí)用新型涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)系統(tǒng)。

背景技術(shù)：

社會(huì)單位自建監(jiān)控系統(tǒng)包含公共區(qū)域視頻資源及內(nèi)部管理區(qū)域視頻資源，社會(huì)單位視頻資源接入平臺(tái)只接入社會(huì)單位涉及公共區(qū)域的視頻資源，為保障社會(huì)單位內(nèi)部資源的安全性及隱私性，應(yīng)采用安全隔離方式對(duì)公共區(qū)域視頻資源進(jìn)行接入。

現(xiàn)有的技術(shù)方案，網(wǎng)絡(luò)硬盤錄像機(jī)(Network Video Recorder，NVR)采用單芯片單系統(tǒng)方案，從軟件層面上實(shí)現(xiàn)的雙網(wǎng)卡安全隔離，由于都是采用的標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議傳輸數(shù)據(jù)，理論上存在安全漏洞。如圖1所示的場(chǎng)景中，NVR101中，包括處理器1011，分別與處理器1011連接的第一網(wǎng)卡1012和第二網(wǎng)卡1013。其中，NVR1的第一網(wǎng)卡接入第一私網(wǎng)前端102A，第二網(wǎng)卡接入公共網(wǎng)絡(luò)(即公網(wǎng))；NVR2的第一網(wǎng)卡接入第二私網(wǎng)前端102B，第二網(wǎng)卡B接入公網(wǎng)。一旦惡意攻擊從第二網(wǎng)卡1013攻入NVR，便有機(jī)會(huì)控制處理器，通過(guò)NVR的第一網(wǎng)卡攻入私網(wǎng)，竊取監(jiān)控視頻數(shù)據(jù)以及私網(wǎng)內(nèi)其它設(shè)備的數(shù)據(jù)。因此，現(xiàn)有的方案中，網(wǎng)絡(luò)硬盤錄像機(jī)在軟件層面上實(shí)現(xiàn)私網(wǎng)的數(shù)據(jù)與公網(wǎng)的數(shù)據(jù)的隔離的安全風(fēng)險(xiǎn)較高。

技術(shù)實(shí)現(xiàn)要素：

本實(shí)用新型實(shí)施例的目的是提供一種網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)系統(tǒng)，用于解決網(wǎng)絡(luò)硬盤錄像機(jī)在軟件層面上實(shí)現(xiàn)私網(wǎng)的數(shù)據(jù)與公網(wǎng)的數(shù)據(jù)的隔離的安全風(fēng)險(xiǎn)較高的問(wèn)題。

本實(shí)用新型實(shí)施例的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的：

一種網(wǎng)絡(luò)設(shè)備，包括：第一處理器，第二處理器，用于與私網(wǎng)連接的第一網(wǎng)卡，用于與公網(wǎng)連接的第二網(wǎng)卡，雙端口存儲(chǔ)器；

所述第一處理器的第一端與所述第一網(wǎng)卡連接，第二端與所述雙端口存儲(chǔ)器的第一端口連接；所述第二處理器的第一端與所述第二網(wǎng)卡連接，第二端與所述雙端口存儲(chǔ)器的第二端口連接；

其中，所述第一處理器用于：將通過(guò)所述第一網(wǎng)卡獲取的私網(wǎng)的數(shù)據(jù)從第一端口寫入所述雙端口存儲(chǔ)器；

所述第二處理器用于：從所述雙端口存儲(chǔ)器的第二端口讀取私網(wǎng)的數(shù)據(jù)。

較佳地，所述第一處理器的第三端通過(guò)第一傳輸線與所述第二處理器的第三端連接；所述第一傳輸線用于通過(guò)第一私有協(xié)議將所述第一處理器在所述雙端口存儲(chǔ)器中的數(shù)據(jù)存儲(chǔ)信息傳輸至所述第二處理器，以便所述第二處理器根據(jù)所述數(shù)據(jù)存儲(chǔ)信息從所述雙端口存儲(chǔ)器中讀取數(shù)據(jù)；以及用于通過(guò)第二私有協(xié)議將所述第二處理器對(duì)私網(wǎng)中的設(shè)備的配置信息傳輸至所述第一處理器，以便所述第一處理器根據(jù)所述配置信息對(duì)私網(wǎng)中的設(shè)備進(jìn)行配置。

較佳地，所述第一處理器的第三端通過(guò)第一傳輸線與所述第二處理器的第三端連接；所述第一傳輸線用于通過(guò)第一私有協(xié)議將所述第一處理器在所述雙端口存儲(chǔ)器中的數(shù)據(jù)存儲(chǔ)信息傳輸至所述第二處理器，以便所述第二處理器根據(jù)所述數(shù)據(jù)存儲(chǔ)信息從所述雙端口存儲(chǔ)器中讀取數(shù)據(jù)；

所述第一處理器的第四端通過(guò)第二傳輸線與所述第二處理器的第四端連接；所述第二傳輸線用于通過(guò)第二私有協(xié)議將所述第二處理器對(duì)私網(wǎng)中的設(shè)備的配置信息傳輸至所述第一處理器，以便所述第一處理器根據(jù)所述配置信息對(duì)私網(wǎng)中的設(shè)備進(jìn)行配置。

較佳地，所述雙端口存儲(chǔ)器為雙口隨機(jī)存儲(chǔ)器RAM，或者串行總線小型計(jì)算機(jī)系統(tǒng)接口SAS硬盤。

較佳地，還包括：與所述第二處理器連接的硬盤存儲(chǔ)器。

較佳地，所述網(wǎng)絡(luò)設(shè)備為網(wǎng)絡(luò)硬盤錄像機(jī)。

一種網(wǎng)絡(luò)系統(tǒng)，包括以上任一項(xiàng)所述的網(wǎng)絡(luò)設(shè)備。

本實(shí)用新型實(shí)施例的有益效果如下：

本實(shí)用新型實(shí)施例提供的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)系統(tǒng)中，第一網(wǎng)卡和第二網(wǎng)卡分別連接的是不同的處理器，第一處理器和第二處理器分別與雙端口存儲(chǔ)器的兩個(gè)端口連接，第一處理器可以將通過(guò)第一網(wǎng)卡獲取的私網(wǎng)的數(shù)據(jù)寫入雙端口存儲(chǔ)器，第二處理器只能從雙端口存儲(chǔ)器讀取私網(wǎng)的數(shù)據(jù)，也就是說(shuō)，第一處理器向雙端口存儲(chǔ)器中寫入了哪些私網(wǎng)的數(shù)據(jù)，第二處理器只能讀取到哪些私網(wǎng)的數(shù)據(jù)，這樣，私網(wǎng)的數(shù)據(jù)按照第一網(wǎng)卡、第一處理器、雙端口存儲(chǔ)器、第二處理器的路徑進(jìn)行傳輸，又由于雙端口存儲(chǔ)器只是一個(gè)存儲(chǔ)設(shè)備，不會(huì)主動(dòng)將控制指令傳輸至第一處理器，也就是說(shuō)，不能按照反向路徑將控制指令傳輸，來(lái)自公網(wǎng)的惡意攻擊即使控制第二處理器，也不能將控制指令傳送到第一處理器進(jìn)而入侵到私網(wǎng)，從而保證了私網(wǎng)其它數(shù)據(jù)的安全，同樣，雙端口存儲(chǔ)器也不會(huì)主動(dòng)將第一處理器的控制指令傳送到第二處理器，惡意攻擊也就無(wú)法以本網(wǎng)絡(luò)設(shè)備為橋梁從私網(wǎng)侵入公網(wǎng)，從物理上實(shí)現(xiàn)了公網(wǎng)的數(shù)據(jù)與私網(wǎng)的數(shù)據(jù)的安全隔離。

附圖說(shuō)明

圖1為現(xiàn)有技術(shù)中的一種網(wǎng)絡(luò)硬盤錄像機(jī)的結(jié)構(gòu)及其所在的網(wǎng)絡(luò)系統(tǒng)的示意圖；

圖2為本實(shí)用新型實(shí)施例提供的一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖之一；

圖3為本實(shí)用新型實(shí)施例提供的一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖之二；

圖4為本實(shí)用新型實(shí)施例提供的一種網(wǎng)絡(luò)系統(tǒng)的示意圖。

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例對(duì)本實(shí)用新型提供的一種網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)系統(tǒng)進(jìn)行更詳細(xì)地說(shuō)明。

本實(shí)用新型實(shí)施例提供一種網(wǎng)絡(luò)設(shè)備，如圖2所示，包括：第一處理器201，第二處理器202，第一網(wǎng)卡203，第二網(wǎng)卡204，雙端口存儲(chǔ)器205；

第一處理器201的第一端與第一網(wǎng)卡203連接，第二端與雙端口存儲(chǔ)器205的第一端口P1連接；第二處理器202的第一端與第二網(wǎng)卡204連接，第二端與雙端口存儲(chǔ)器205的第二端口P2連接。

其中，第一處理器201用于：將通過(guò)第一網(wǎng)卡獲取的私網(wǎng)的數(shù)據(jù)從第一端口P1寫入雙端口存儲(chǔ)器205；

第二處理器202用于：從雙端口存儲(chǔ)器205的第二端口P2讀取私網(wǎng)的數(shù)據(jù)。

本實(shí)用新型實(shí)施例提供的網(wǎng)絡(luò)設(shè)備中，第一網(wǎng)卡和第二網(wǎng)卡分別連接的是不同的處理器，第一處理器和第二處理器分別與雙端口存儲(chǔ)器的兩個(gè)端口連接，第一處理器可以將通過(guò)第一網(wǎng)卡獲取的私網(wǎng)的數(shù)據(jù)寫入雙端口存儲(chǔ)器，第二處理器只能從雙端口存儲(chǔ)器讀取私網(wǎng)的數(shù)據(jù)，也就是說(shuō)，第一處理器向雙端口存儲(chǔ)器中寫入了哪些私網(wǎng)的數(shù)據(jù)，第二處理器只能讀取到哪些私網(wǎng)的數(shù)據(jù)，這樣，私網(wǎng)的數(shù)據(jù)按照第一網(wǎng)卡、第一處理器、雙端口存儲(chǔ)器、第二處理器的路徑進(jìn)行傳輸，又由于雙端口存儲(chǔ)器只是一個(gè)存儲(chǔ)設(shè)備，不會(huì)主動(dòng)將控制指令傳輸至第一處理器，也就是說(shuō)，不能按照反向路徑將控制指令傳輸，來(lái)自公網(wǎng)的惡意攻擊即使控制第二處理器，也不能將控制指令傳送到第一處理器進(jìn)而入侵到私網(wǎng)，從而保證了私網(wǎng)其它數(shù)據(jù)的安全，同樣，雙端口存儲(chǔ)器也不會(huì)主動(dòng)將第一處理器的控制指令傳送到第二處理器，惡意攻擊也就無(wú)法以本網(wǎng)絡(luò)設(shè)備為橋梁從私網(wǎng)侵入公網(wǎng)，從物理上實(shí)現(xiàn)了公網(wǎng)的數(shù)據(jù)與私網(wǎng)的數(shù)據(jù)的安全隔離。

較佳地，如圖3所示，本實(shí)施例提供的網(wǎng)絡(luò)設(shè)備還包括：與第二處理器連接的硬盤存儲(chǔ)器206，硬盤存儲(chǔ)器206用于存儲(chǔ)第二處理器從雙端口存儲(chǔ)器讀取的私網(wǎng)的數(shù)據(jù)，以及用于存儲(chǔ)第二處理器通過(guò)第二網(wǎng)卡獲取的公網(wǎng)的數(shù)據(jù)。本實(shí)施例中，將私網(wǎng)的數(shù)據(jù)存儲(chǔ)到硬盤存儲(chǔ)器中，需要將私網(wǎng)的數(shù)據(jù)上傳至公網(wǎng)時(shí)，從硬盤存儲(chǔ)器中獲取即可。

較佳地，第一網(wǎng)卡與私網(wǎng)連接時(shí)，可以連接社會(huì)單位的設(shè)備，例如可以連接前端監(jiān)控設(shè)備(Internet Protocol Camera，IPC)，服務(wù)器等等。

考慮到如果雙端口存儲(chǔ)器中的數(shù)據(jù)量較多，第二處理器需要從大量的數(shù)據(jù)中查找需要讀取的數(shù)據(jù)，會(huì)降低效率和準(zhǔn)確率，因而可以通過(guò)私有協(xié)議將第一處理器當(dāng)前存放的數(shù)據(jù)的格式，長(zhǎng)度，位置以及數(shù)據(jù)通道等必要的數(shù)據(jù)存儲(chǔ)信息通過(guò)私有協(xié)議告知第二處理器，方便第二處理器從雙端口存儲(chǔ)器讀取數(shù)據(jù)；進(jìn)一步的，考慮到在一種可能的應(yīng)用場(chǎng)景中，私網(wǎng)中的遠(yuǎn)程設(shè)備需要更改配置等等，但是距離較遠(yuǎn)，配置不便，為了解決這一問(wèn)題，可以在公網(wǎng)側(cè)通過(guò)私有協(xié)議進(jìn)行配置，以保證安全性。對(duì)此，下面列舉兩種實(shí)現(xiàn)方案：

一種實(shí)現(xiàn)方案中，較佳地，第一處理器201的第三端通過(guò)第一傳輸線與第二處理器202的第三端連接；第一傳輸線用于通過(guò)第一私有協(xié)議將第一處理器在雙端口存儲(chǔ)器中的數(shù)據(jù)存儲(chǔ)信息傳輸至第二處理器，以便第二處理器根據(jù)數(shù)據(jù)存儲(chǔ)信息從雙端口存儲(chǔ)器中讀取數(shù)據(jù)；以及用于通過(guò)第二私有協(xié)議將第二處理器對(duì)私網(wǎng)中的設(shè)備的配置信息傳輸至第一處理器，以便第一處理器根據(jù)配置信息對(duì)私網(wǎng)中的設(shè)備進(jìn)行配置。

另一種實(shí)現(xiàn)方案中，較佳地，第一處理器201的第三端通過(guò)第一傳輸線與第二處理器202的第三端連接；第一傳輸線用于通過(guò)第一私有協(xié)議將第一處理器在雙端口存儲(chǔ)器中的數(shù)據(jù)存儲(chǔ)信息傳輸至第二處理器，以便第二處理器根據(jù)數(shù)據(jù)存儲(chǔ)信息從雙端口存儲(chǔ)器中讀取數(shù)據(jù)；

第一處理器201的第四端通過(guò)第二傳輸線與第二處理器202的第四端連接；第二傳輸線用于通過(guò)第二私有協(xié)議將第二處理器對(duì)私網(wǎng)中的設(shè)備的配置信息傳輸至第一處理器，以便第一處理器根據(jù)配置信息對(duì)私網(wǎng)中的設(shè)備進(jìn)行配置。

其中，第一處理器和第二處理器之間的第一私有協(xié)議和第二私有協(xié)議是僅在二者之間使用的通信協(xié)議，例如，必須是按照二者約定的格式，或者攜帶二者約定的信息才能進(jìn)行正常傳輸并響應(yīng)。

本實(shí)施例中，第二處理器與第一處理器之間是通過(guò)私有協(xié)議通信的，外部網(wǎng)絡(luò)無(wú)法獲取二者之間的通信協(xié)議，因而無(wú)法從第二處理器入侵到第一處理器，也無(wú)法從第一處理器入侵到第二處理器，進(jìn)一步保證了網(wǎng)絡(luò)安全。

基于以上任意實(shí)施例，雙端口存儲(chǔ)器的種類有多種，較佳地，雙端口存儲(chǔ)器為雙口隨機(jī)存儲(chǔ)器(Ramdom Access Memory，RAM)，或者串行總線小型計(jì)算機(jī)系統(tǒng)接口(Serial Attached Small Computer System Interface Small Computer System Interface，SAS)硬盤。

本實(shí)用新型的方案所適用的網(wǎng)絡(luò)設(shè)備有多種，例如，網(wǎng)絡(luò)設(shè)備為NVR。

基于同樣的構(gòu)思，本實(shí)用新型實(shí)施例還提供一種網(wǎng)絡(luò)系統(tǒng)，包括以上任意實(shí)施例所述的網(wǎng)絡(luò)設(shè)備。

下面以NVR為例，對(duì)本實(shí)用新型實(shí)施例提供的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)系統(tǒng)進(jìn)行更加詳細(xì)地描述。

如圖4所示的網(wǎng)絡(luò)系統(tǒng)中，私網(wǎng)A的設(shè)備3通過(guò)NVR1接入公網(wǎng)4，私網(wǎng)B的設(shè)備5通過(guò)NVR2接入公網(wǎng)4。本實(shí)施例中，NVR1與NVR2的工作原理相同，下面以NVR1為例，進(jìn)行具體說(shuō)明：

在NVR1中，包括第一處理器201、第二處理器202、第一網(wǎng)卡203、第二網(wǎng)卡204、雙端口存儲(chǔ)器205和硬盤存儲(chǔ)器206。

其中，第一網(wǎng)卡203與私網(wǎng)A的設(shè)備5連接，例如與某醫(yī)院的IPC連接。

其中，第一處理器201的第一端與第一網(wǎng)卡203連接，第二端與雙端口存儲(chǔ)器205的第一端口P1連接，第三端通過(guò)第一傳輸線與第二處理器202的第三端連接，第四端通過(guò)第二傳輸線與第二處理器202的第四端連接。

其中，第二處理器202的第一端與第二網(wǎng)卡204連接，第二端與雙端口存儲(chǔ)器205的第二端口P2連接，第五端與硬盤存儲(chǔ)器206連接。其中，該硬盤存儲(chǔ)器為讀寫存儲(chǔ)器。

本實(shí)施例中，第一處理器201通過(guò)第一網(wǎng)卡203從私網(wǎng)A獲取特定格式的視頻碼流，并存放于雙端口存儲(chǔ)器205中，即進(jìn)行寫操作，并且通過(guò)第一私有協(xié)議將視頻碼流當(dāng)前存放的數(shù)據(jù)的格式，長(zhǎng)度，位置以及數(shù)據(jù)通道等數(shù)據(jù)存儲(chǔ)信息傳輸至第二處理器202。第二處理器202根據(jù)數(shù)據(jù)存儲(chǔ)信息從雙端口存儲(chǔ)器205對(duì)應(yīng)的位置讀出第一處理器201當(dāng)前存放的視頻碼流，即進(jìn)行讀操作，將讀出的數(shù)據(jù)寫入硬盤存儲(chǔ)器206中存儲(chǔ)。第二處理器202還可以從硬盤存儲(chǔ)器206中讀取數(shù)據(jù)，解碼顯示，在需要時(shí)，還可以通過(guò)與公網(wǎng)連接的第二網(wǎng)卡204進(jìn)行視頻碼流的上傳。

如果有需要通過(guò)公網(wǎng)去配置前端(如IPC)的基本配置，則第二處理器202可以通過(guò)第二私有協(xié)議向第一處理器201下發(fā)攜帶配置信息的私有指令去配置前端。

本實(shí)施例的場(chǎng)景中，在私網(wǎng)A中，我們可以認(rèn)為是一個(gè)“大型交換機(jī)”，除了如IPC這樣的設(shè)備會(huì)接入，還有其他涉及個(gè)人檔案，財(cái)務(wù)報(bào)表等大數(shù)據(jù)服務(wù)器會(huì)接入“大型交換機(jī)”；來(lái)自公網(wǎng)或者其它接入公網(wǎng)設(shè)備的攻擊，不會(huì)通過(guò)我們的NVR1設(shè)備，侵入到NVR1設(shè)備所在的私網(wǎng)A，保證私網(wǎng)A中其它數(shù)據(jù)的安全，并且惡意攻擊也無(wú)法從NVR2侵入公網(wǎng)，進(jìn)而從公網(wǎng)入侵私網(wǎng)A，進(jìn)一步保證了私網(wǎng)A的其它數(shù)據(jù)的安全，也就是說(shuō)，本實(shí)施例中的NVR無(wú)法成為惡意攻擊的橋梁。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本實(shí)用新型進(jìn)行各種改動(dòng)和變型而不脫離本實(shí)用新型的精神和范圍。這樣，倘若本實(shí)用新型的這些修改和變型屬于本實(shí)用新型權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本實(shí)用新型也意圖包含這些改動(dòng)和變型在內(nèi)。