摘? 要: 結(jié)合一套專門為企業(yè)制作的遠(yuǎn)程數(shù)字監(jiān)控系統(tǒng)開發(fā)過程,從系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)需求開始,逐步闡述了一種實(shí)用的基于VPN的遠(yuǎn)程視頻監(jiān)控" title="視頻監(jiān)控">視頻監(jiān)控" title="數(shù)字視頻監(jiān)控" title="數(shù)字視頻監(jiān)控">數(shù)字視頻監(jiān)控">數(shù)字視頻監(jiān)控系統(tǒng)的架構(gòu)。

　　關(guān)鍵詞: 虛擬專用網(wǎng)(VPN)? 遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)? 數(shù)字硬盤錄像(DVR)? 網(wǎng)絡(luò)視頻傳輸

?

　　近年來,數(shù)字視頻監(jiān)控系統(tǒng)以其控制靈活、信息容量大、存儲(chǔ)和檢索便利等優(yōu)點(diǎn)逐步取代了傳統(tǒng)的模擬視頻監(jiān)控系統(tǒng),被廣泛應(yīng)用于安防、監(jiān)控、質(zhì)檢等方面。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展、普及和網(wǎng)絡(luò)帶寬的迅速擴(kuò)大,視頻監(jiān)控又逐漸產(chǎn)生了新的需求,即將數(shù)字視頻監(jiān)控技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合,在現(xiàn)場(chǎng)監(jiān)控主機(jī)無人職守情況下,實(shí)現(xiàn)局域網(wǎng)或Internet遠(yuǎn)程監(jiān)控的功能。這樣,將監(jiān)控信息從監(jiān)控中心釋放出來,提高了管理水平和效率。但在通過Internet遠(yuǎn)程訪問視頻監(jiān)控服務(wù),傳統(tǒng)的遠(yuǎn)程訪問技術(shù)體現(xiàn)功能不足,無法保證監(jiān)控所需的保密性和速度性的要求。VPN(Virtual Private Networking)技術(shù)的出現(xiàn),改變了這一局面。通過使用VPN的隧道和加密技術(shù),實(shí)現(xiàn)了視頻數(shù)據(jù)" title="視頻數(shù)據(jù)">視頻數(shù)據(jù)經(jīng)過Internet在虛擬企業(yè)網(wǎng)絡(luò)中安全和便利的傳播。本文將結(jié)合一套為企業(yè)制作的遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng),介紹一種實(shí)用的基于VPN的遠(yuǎn)程視頻監(jiān)控系統(tǒng)架構(gòu)" title="系統(tǒng)架構(gòu)">系統(tǒng)架構(gòu)。該系統(tǒng)已成功應(yīng)用于多個(gè)部門,對(duì)視頻監(jiān)控、網(wǎng)絡(luò)視頻傳輸" title="視頻傳輸">視頻傳輸開發(fā)有很高的參考價(jià)值。

1 遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)要求

　　本系統(tǒng)是一套專門為企業(yè)制作的數(shù)字視頻監(jiān)控系統(tǒng),在工程實(shí)施過程中,需要提供遠(yuǎn)程監(jiān)控(實(shí)時(shí)圖像傳輸和遠(yuǎn)程操作)功能。具體地講,就是利用不同的方式(如拔號(hào)上網(wǎng)、局域網(wǎng)等方式)進(jìn)行單路及多路遠(yuǎn)程監(jiān)控,用戶在遠(yuǎn)程的監(jiān)控中心可以很方便地通過網(wǎng)絡(luò)了解各網(wǎng)點(diǎn)的基本情況、各路狀態(tài)控制、云臺(tái)控制、傳輸文件、遠(yuǎn)程解密。工程中將要完成對(duì)400余路視頻的處理,整個(gè)工程將配置20~30臺(tái)數(shù)字硬盤錄像機(jī)。具體要求:(1)本地主機(jī)通過局域網(wǎng)訪問本地的任意一臺(tái)視頻服務(wù)器;(2)遠(yuǎn)程傳輸必須實(shí)時(shí)、可靠,必須保證視頻數(shù)據(jù)的高速和可靠傳輸。根據(jù)實(shí)際需要可以申請(qǐng)DDN,并在價(jià)格合適的條件下同時(shí)兼顧ADSL、PSTN和 DDN等三種連接方式;(3)遠(yuǎn)程接入終端通過遠(yuǎn)程撥號(hào)(Remote Dial)方式透過Internet訪問本地局域網(wǎng)的任意一臺(tái)視頻服務(wù)器, 最多可同時(shí)連接16臺(tái)本地視頻服務(wù)器;(4)在工程中傳輸?shù)囊曨l數(shù)據(jù)可以定性為非高保密數(shù)據(jù),在上層的系統(tǒng)軟件中完成加密和必要的合法驗(yàn)證,在網(wǎng)絡(luò)設(shè)計(jì)中可以不特意選擇高性能的防火墻;(5)遠(yuǎn)程接入終端透過Internet 對(duì)本地局域網(wǎng)的訪問對(duì)上層系統(tǒng)是絕對(duì)透明的,從某種意義來說,上層系統(tǒng)可以根據(jù)指定的局域網(wǎng)IP 地址來訪問任何一臺(tái)本地視頻服務(wù)器。

　　采用方案分析:(1)對(duì)于速度要求,可以采用DDN專線、ADSL或?qū)淼膶拵鬏敿夹g(shù);(2)價(jià)格要求,最廉價(jià)的方式是使用Internet進(jìn)行數(shù)據(jù)傳輸,但這必然涉及到數(shù)據(jù)保密性的要求;(3)網(wǎng)絡(luò)安全性問題,遠(yuǎn)程主機(jī)的接入身份驗(yàn)證和驗(yàn)證身份的數(shù)據(jù)必須加密,視頻數(shù)據(jù)可以根據(jù)需求加密;(4)遠(yuǎn)程訪問,需要視頻服務(wù)器提供允許遠(yuǎn)程接入的能力, 需要進(jìn)行RAS配置;(5)訪問透明性要求,上層系統(tǒng)只需要設(shè)計(jì)成簡(jiǎn)單的兩步架構(gòu),用戶指定視頻服務(wù)器IP---->監(jiān)控指定IP的視頻,無需涉及網(wǎng)絡(luò)連接的具體實(shí)現(xiàn)過程(無需用代碼實(shí)現(xiàn)遠(yuǎn)程連接的過程)。

　　鑒于以上需求,可以采用VPN+ADSL方案,這是一個(gè)切實(shí)可行且成本低廉的方案。能夠提供速度及企業(yè)移動(dòng)用戶(mobile user)的安全便利接入、數(shù)據(jù)保密性、客戶遠(yuǎn)程訪問透明性的需求.。以下將介紹構(gòu)架VPN的基本原理, 以及本系統(tǒng)的具體實(shí)現(xiàn)構(gòu)架。

2 VPN介紹

2.1 VPN的概念

　　隨著Internet網(wǎng)絡(luò)規(guī)模與使用的擴(kuò)大和廣泛化,通過Internet傳輸保密數(shù)據(jù)的安全性需求日益提上議程。分布式企業(yè)想在處于不同地域的部門之間安全傳遞數(shù)據(jù),傳統(tǒng)的方法是使用租用線路將各部門的私有網(wǎng)絡(luò)相連,并使用租用線路進(jìn)行內(nèi)部通訊。該方案的主要缺點(diǎn)在于租用線路價(jià)格昂貴。一種新的降低成本的途徑是允許單位配置VPN技術(shù),不用任何租用線路, 通過Internet傳輸加密數(shù)據(jù),這樣可以把線路費(fèi)用降到最低。該技術(shù)通過隧道和加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能,有著非常廣闊的應(yīng)用前景。它具有以下優(yōu)點(diǎn):

　　(1)費(fèi)用低——VPN使用Internet進(jìn)行數(shù)據(jù)傳輸,免去了昂貴的專線費(fèi)用, 只須添加支持VPN的上網(wǎng)設(shè)備。

　　(2)保密性——VPN使用了加密技術(shù), 保證了通過Internet進(jìn)行數(shù)據(jù)傳輸?shù)陌踩浴?

　　(3)私有性——連接上VPN服務(wù)器的客戶就像在使用局域網(wǎng)一樣。使用局域網(wǎng)內(nèi)部IP地址就可以訪問整個(gè)VPN中的所有主機(jī)。

2.2 VPN的基本工作原理

　　針對(duì)VPN實(shí)現(xiàn)的幾個(gè)優(yōu)點(diǎn),VPN主要使用了隧道傳輸(tunneling)技術(shù)和加密(encrypting)技術(shù)。為了實(shí)現(xiàn)保密性, VPN把外發(fā)的數(shù)據(jù)報(bào)加密傳輸。對(duì)于私有性,VPN使用隧道技術(shù), 定義了兩個(gè)網(wǎng)點(diǎn)的路由器之間通過Internet的一個(gè)隧道, 并使用IP-in-IP封裝通過隧道轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)。其基本原理如圖1所示,為了確保保密性,內(nèi)層數(shù)據(jù)經(jīng)過加密。

　　圖1中,VPN授權(quán)主機(jī)A發(fā)給主機(jī)B的整個(gè)內(nèi)層數(shù)據(jù)報(bào)(包括首部)在被封裝前進(jìn)行了加密。當(dāng)數(shù)據(jù)報(bào)通過隧道到達(dá)VPN服務(wù)器時(shí), VPN服務(wù)器將數(shù)據(jù)區(qū)解密, 還原出內(nèi)層數(shù)據(jù)報(bào), 然后轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)給主機(jī)B。對(duì)A和B而言, 它們之間的數(shù)據(jù)傳輸過程是透明的。A要發(fā)送的原始信息包的目的地址就是B, 用戶并無覺察數(shù)據(jù)經(jīng)過打包交由VPN服務(wù)器轉(zhuǎn)發(fā)給B, 反之亦然。感覺上A和B之間存在一條虛擬的加密直達(dá)鏈路。總之,VPN通過Internet傳輸數(shù)據(jù), 但對(duì)網(wǎng)點(diǎn)間傳輸進(jìn)行加密,以保證保密性。

?

　　市面上的VPN方案繁多,但都包含了三個(gè)基本元素:(1)授權(quán):VPN服務(wù)器對(duì)遠(yuǎn)程接入終端進(jìn)行授權(quán)接入VPN；(2)加密:遠(yuǎn)程接入終端發(fā)送的數(shù)據(jù)加密后才通過非私有網(wǎng)傳輸;(3)隧道:遠(yuǎn)程接入終端發(fā)送的數(shù)據(jù)經(jīng)過封裝,由VPN服務(wù)器轉(zhuǎn)發(fā)。

2.3 VPN的主要應(yīng)用

　　設(shè)計(jì)VPN的初衷在于使用Internet安全傳遞數(shù)據(jù), 此外VPN也提供了對(duì)移動(dòng)用戶和漫游用戶的支持,這是VPN能迅速推廣和被運(yùn)用的主要原因。在Internet網(wǎng)上的VPN應(yīng)用及使用步驟,如圖2上部所示(圖中的PPTP是VPN的一種實(shí)現(xiàn)方案)。遠(yuǎn)程主機(jī)可以有三種方法通過Internet向VPN服務(wù)器請(qǐng)求VPN服務(wù)。同理,如圖2下部,在局域網(wǎng)內(nèi)部,主機(jī)A的加密數(shù)據(jù)報(bào)也可以由VPN服務(wù)器轉(zhuǎn)發(fā)給主機(jī)B,實(shí)現(xiàn)A到B的保密傳輸。

?

3 遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)架構(gòu)

3.1網(wǎng)絡(luò)架構(gòu)方案

　　出于系統(tǒng)的設(shè)計(jì)要求和VPN的優(yōu)點(diǎn),本系統(tǒng)采用VPN方案來構(gòu)架遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)。在工程設(shè)施中,采用預(yù)裝了VPN協(xié)議組的路由器作為VPN服務(wù)器。系統(tǒng)網(wǎng)絡(luò)構(gòu)架如圖3所示。

?

　　若不采用傳統(tǒng)的遠(yuǎn)程訪問方案,要使遠(yuǎn)程用戶訪問視頻服務(wù)器,必須給每臺(tái)視頻服務(wù)器配置RAS協(xié)議(接受傳入的訪問), 并在遠(yuǎn)程訪問終端上添加所有要訪問的視頻服務(wù)器的撥號(hào)連接, 每訪問一臺(tái)視頻服務(wù)器都須撥號(hào)一次, 非常麻煩;但采用了VPN方案, 遠(yuǎn)程用戶只需撥號(hào)訪問VPN服務(wù)器一次,就與本地所有的視頻服務(wù)器構(gòu)成一個(gè)虛擬的局域網(wǎng),可以使用局域網(wǎng)IP地址直接訪問任意的視頻服務(wù)器,大大減小了遠(yuǎn)程訪問連接的開銷, 方便了用戶和上層軟件系統(tǒng)的設(shè)計(jì)(只需要設(shè)計(jì)成局域網(wǎng)訪問方案就可以了),并做到安全通訊。

3.1.1 VPN路由器/局域網(wǎng)內(nèi)部主機(jī)/遠(yuǎn)程訪問主機(jī)的配置

　　當(dāng)前VPN行業(yè)使用四個(gè)標(biāo)準(zhǔn):點(diǎn)到點(diǎn)隧道協(xié)議PPTP(Point-to-Point Tunneling Protocol),第2層發(fā)送協(xié)議(L2F),第2層隧道協(xié)議(L2TP),IP安全性(IPsec)。由于本系統(tǒng)中使用的所有主機(jī)都是基于WindowNT系統(tǒng), 出于協(xié)議兼容性考慮,本系統(tǒng)VPN方案主體采用微軟的PPTP協(xié)議構(gòu)架。

　　(1)本系統(tǒng)采用VPN路由器,它內(nèi)置了Web服務(wù)器, 用戶可以直接訪問其Web服務(wù)器進(jìn)行路由器配置。例如,預(yù)先向ISP申請(qǐng)了靜態(tài)的IP地址202.168.25.1, 可以直接在瀏覽器地址欄中輸入http://202.168.25.1:80訪問網(wǎng)頁,輸入用戶帳戶和密碼后進(jìn)入設(shè)置界面,對(duì)路由器進(jìn)行如下配置:在VPN協(xié)議配置頁面中,選擇“自動(dòng)選用VPN協(xié)議”,并采用加密傳輸選項(xiàng);在訪問頁面, 設(shè)置加入VPN的用戶名和密碼, 用于為遠(yuǎn)程客戶授權(quán)加入VPN;過濾數(shù)據(jù)包,令VPN路由器只處理VPN數(shù)據(jù)包,其他數(shù)據(jù)包丟棄,以減少網(wǎng)絡(luò)流量。

　　(2)本地訪問主機(jī)B和視頻服務(wù)器處于同一局域網(wǎng)內(nèi)部, 無需其他附加的協(xié)議。

　　(3)遠(yuǎn)程訪問主機(jī)A想通過VPN方案訪問局域網(wǎng)內(nèi)的所有視頻服務(wù)器。需要有連接上Internet的設(shè)備(如ADSL、ISDN、PSTN);需要安裝RAS協(xié)議以連接上VPN服務(wù)器;需要安裝PPTP協(xié)議以與VPN服務(wù)器通訊并構(gòu)架VPN。

3.1.2 系統(tǒng)工作流程

　　(1)25臺(tái)視頻服務(wù)器通過100Mbps以太網(wǎng)交換機(jī)連接組成局域網(wǎng), 每部監(jiān)控視頻服務(wù)器(數(shù)字硬盤錄像機(jī))通過4張PCI 板卡可以直接連接16個(gè)攝像機(jī)并完成視頻的實(shí)時(shí)采集、壓縮和寫盤工作。系統(tǒng)中共有25×16=400路實(shí)時(shí)視頻信號(hào)資源。

　　(2)在特定時(shí)段內(nèi)(可在系統(tǒng)中由用戶設(shè)置,可以設(shè)置為非監(jiān)控時(shí)段),監(jiān)控服務(wù)器將記錄在本機(jī)的視頻數(shù)據(jù)資料發(fā)送給回放視頻服務(wù)器存檔,供日后檢索使用。授權(quán)用戶可以訪問監(jiān)控視頻服務(wù)器獲取實(shí)時(shí)監(jiān)控視頻,也可以訪問回放視頻服務(wù)器獲取回放視頻資料。

　　(3)在局域網(wǎng)內(nèi)部,例如主機(jī)B可以直接訪問局域網(wǎng)內(nèi)部的任何一臺(tái)視頻服務(wù)器。

　　(4)局域網(wǎng)通過VPN路由器與Internet相連,為授權(quán)移動(dòng)用戶(mobil user)提供遠(yuǎn)程訪問的能力。遠(yuǎn)程移動(dòng)用戶A可以在任何地方先使用ADSL、ISDN或PSTN向ISP請(qǐng)求連接上Internet,再使用PPTP協(xié)議請(qǐng)求連接上私有局域網(wǎng)的VPN路由器(預(yù)裝了VPN相關(guān)協(xié)議);VPN路由器根據(jù)預(yù)先設(shè)置的授權(quán)名單, 校驗(yàn)授權(quán)用戶,若校驗(yàn)通過, 則與遠(yuǎn)程主機(jī)A建立一條VPN隧道供傳輸數(shù)據(jù), 并將主機(jī)加入到虛擬專用網(wǎng)VPN中;此后主機(jī)A可以使用私有局域網(wǎng)內(nèi)部的IP地址訪問私有局域網(wǎng)中的任意一臺(tái)監(jiān)控或回放視頻服務(wù)器。

3.2 軟件架構(gòu)方案

　　Internet應(yīng)用層軟件開發(fā)主要使用兩種方案進(jìn)行數(shù)據(jù)傳輸:傳輸控制協(xié)議TCP(Translate Control Protocol)和用戶數(shù)據(jù)報(bào)協(xié)議UDP(User Datagram Protocol)。TCP采用丟幀重發(fā)的方法來提供有可靠保障的數(shù)據(jù)流服務(wù),UDP提供“盡最大可能地交付”高效小時(shí)延但不可靠的數(shù)據(jù)報(bào)傳輸服務(wù)。根據(jù)它們各自的特點(diǎn),可以使用TCP傳輸有質(zhì)量要求的控制命令,且用UDP迅速傳輸大量的音視頻數(shù)據(jù)。

　　本系統(tǒng)作如下設(shè)計(jì):在可靠性要求比較嚴(yán)格的地方使用TCP傳輸數(shù)據(jù),包括服務(wù)器信息收集、各路狀態(tài)控制、云臺(tái)控制、傳輸文件、遠(yuǎn)程解密等;同時(shí)在速度要求比較嚴(yán)格的地方——實(shí)時(shí)視頻傳輸中使用UDP。遠(yuǎn)程監(jiān)控最大的一個(gè)問題是實(shí)時(shí)性,而實(shí)時(shí)性最大的障礙就是網(wǎng)絡(luò)傳輸時(shí)延問題。在這種情況下應(yīng)該選用UDP傳輸視頻圖像,對(duì)用戶來說,一定程度的數(shù)據(jù)丟失和次序錯(cuò)誤并不是大問題,上一幀的丟失不會(huì)影響到下一幀。用戶寧愿接受有一定丟幀的實(shí)時(shí)視頻圖像,也不愿意接受沒有丟幀的具有累加時(shí)延的滯后視頻圖像。若采用TCP,TCP固有的傳錯(cuò)傳丟重發(fā)機(jī)制本身就加重了視頻傳輸?shù)臅r(shí)延。在具體編程中可以通過WinSock來使用TCP和UDP協(xié)議提供的功能。

　　整個(gè)視頻監(jiān)控系統(tǒng)各部分功能及數(shù)據(jù)流向如圖4所示。

?

3.3 系統(tǒng)評(píng)價(jià)及應(yīng)用前景

　　作者使用Visual C++6實(shí)現(xiàn)數(shù)字視頻監(jiān)控系統(tǒng),該系統(tǒng)經(jīng)過測(cè)試能實(shí)際達(dá)到的效果:

　　(1)速度:局域網(wǎng)(100Mbps以太網(wǎng))內(nèi)部可以達(dá)到實(shí)時(shí)傳輸16路×23幀/每秒CIF圖像的要求。廣域網(wǎng)實(shí)用ADSL可以達(dá)到2路　×23幀/每秒CIF圖像的要求,并可以使用通道輪轉(zhuǎn)技術(shù)實(shí)時(shí)監(jiān)控16路視頻的能力。

　　(2)遠(yuǎn)程訪問的安全性:由于在VPN服務(wù)器上設(shè)置了遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)的用戶權(quán)限,并使用VPN的安全用戶訪問方式(如RADIUS遠(yuǎn)程驗(yàn)證撥號(hào)用戶服務(wù)), 保證了用戶保密資料的傳輸。

　　(3)訪問方便:遠(yuǎn)程連接時(shí),在連接上企業(yè)的VPN服務(wù)器后,用戶感覺上就處于一個(gè)虛擬的企業(yè)內(nèi)部局域網(wǎng)中, 其后的操作都與局域網(wǎng)操作一致。用戶可以任意訪問任意一臺(tái)視頻服務(wù)器上的任意一個(gè)視頻通道。

　　該系統(tǒng)架構(gòu)已經(jīng)在多個(gè)銀行和企業(yè)部門中使用,其實(shí)用性和易操作性受到客戶的好評(píng)。該系統(tǒng)對(duì)于視頻監(jiān)控、網(wǎng)絡(luò)視頻傳輸開發(fā)有很高的參考價(jià)值。

?

參考文獻(xiàn)

1 虛擬專用網(wǎng)的創(chuàng)建和實(shí)現(xiàn). www.china-pub.com

2 [美]Douglas E. Comer著, 林瑤譯. 用TCP/IP進(jìn)行網(wǎng)絡(luò)互聯(lián). 第一卷.北京:電子工業(yè)出版社

3 Installing, Configuring and Using PPTP with Microsoft?Clients and Servers.MSDN,Microsoft Corporation,March 1998

4 劉 平,劉 波,周西湘.多媒體智能監(jiān)控系統(tǒng)的研制和功能.湖北電力,2000；24(4):20~22