本實(shí)用新型涉及網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)通信技術(shù)、視頻傳輸技術(shù)領(lǐng)域，專用于保證網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)與服務(wù)器間網(wǎng)絡(luò)數(shù)據(jù)的安全性。

背景技術(shù)：

如今，視頻監(jiān)控對(duì)于社會(huì)的管理、國(guó)家的穩(wěn)定、人民財(cái)產(chǎn)的安全都起著至關(guān)重要的作用。在道路、公共場(chǎng)所也有數(shù)量巨大的監(jiān)控?cái)z像頭。這些監(jiān)控網(wǎng)絡(luò)，都是由網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)采集視頻圖像，再通過網(wǎng)絡(luò)通路將數(shù)據(jù)傳遞給視頻監(jiān)控服務(wù)器。一般，視頻監(jiān)控服務(wù)器是一個(gè)管理網(wǎng)絡(luò)的一部分，處于管理網(wǎng)絡(luò)的內(nèi)部；而暴露于外界的網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)直接與視頻監(jiān)控服務(wù)器和內(nèi)部管理網(wǎng)絡(luò)相連接帶來了極大的安全隱患。

例如，一個(gè)工業(yè)控制網(wǎng)絡(luò)中包括了視頻監(jiān)控網(wǎng)絡(luò)，工廠網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)直接連接到內(nèi)部管理網(wǎng)絡(luò)中，以實(shí)現(xiàn)在管理網(wǎng)絡(luò)中實(shí)時(shí)調(diào)用監(jiān)控?cái)?shù)據(jù)；而與此同時(shí)，此管理網(wǎng)絡(luò)還控制著工廠的其他功能網(wǎng)絡(luò)。在這樣的網(wǎng)絡(luò)拓?fù)洵h(huán)境下，通過網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)端的網(wǎng)口，就可以直接訪問工業(yè)控制網(wǎng)絡(luò)中的管理網(wǎng)絡(luò)。網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)與視頻監(jiān)控服務(wù)器間的無限制、無監(jiān)控的網(wǎng)絡(luò)通信帶來了內(nèi)部管理網(wǎng)絡(luò)被暴露攻擊的巨大隱患。

為了解決這種網(wǎng)絡(luò)拓?fù)渲袑?duì)于內(nèi)部服務(wù)器、內(nèi)部管理網(wǎng)絡(luò)的安全威脅，設(shè)計(jì)了一種網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)及服務(wù)器間隔離設(shè)備。

技術(shù)實(shí)現(xiàn)要素：

本實(shí)用新型的目的是為了解決視頻監(jiān)控網(wǎng)絡(luò)中，網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)與視頻監(jiān)控服務(wù)器間的無限制、無監(jiān)控的網(wǎng)絡(luò)通信帶來了內(nèi)部管理網(wǎng)絡(luò)被暴露攻擊的巨大隱患，而提供的一種網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)及服務(wù)器間隔離設(shè)備。該設(shè)備能夠很好地解決網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)接入后無限制、無監(jiān)控的網(wǎng)絡(luò)通信直接與內(nèi)部服務(wù)器相連的問題。

實(shí)現(xiàn)本實(shí)用新型目的的具體技術(shù)方案是：

一種網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)及服務(wù)器間隔離設(shè)備，特點(diǎn)是：該設(shè)備包括1000M/100M/10M以太網(wǎng)接口模塊、合法設(shè)備特性列表儲(chǔ)存配置模塊、網(wǎng)絡(luò)數(shù)據(jù)處理模塊、USB接口模塊、時(shí)鐘模塊及電源模塊。所述1000M/100M/10M以太網(wǎng)接口模塊與網(wǎng)絡(luò)數(shù)據(jù)處理模塊、時(shí)鐘模塊相連，作為網(wǎng)絡(luò)數(shù)據(jù)處理模塊的網(wǎng)絡(luò)數(shù)據(jù)輸入、輸出；合法設(shè)備特性列表儲(chǔ)存配置模塊與USB接口模塊、網(wǎng)絡(luò)數(shù)據(jù)處理模塊、時(shí)鐘模塊相連，接收USB接口模塊的配置并本地儲(chǔ)存，進(jìn)而向網(wǎng)絡(luò)數(shù)據(jù)處理模塊配置合法設(shè)備特性列表；網(wǎng)絡(luò)數(shù)據(jù)處理模塊與1000M/100M/10M以太網(wǎng)接口、合法設(shè)備特性列表儲(chǔ)存配置模塊、時(shí)鐘模塊及電源模塊相連，其作用為處理網(wǎng)絡(luò)數(shù)據(jù)；USB接口模塊與合法設(shè)備特性列表儲(chǔ)存配置模塊、時(shí)鐘模塊相連；時(shí)鐘模塊與1000M/100M/10M以太網(wǎng)接口模塊、合法設(shè)備特性列表儲(chǔ)存配置模塊、網(wǎng)絡(luò)數(shù)據(jù)處理模塊、USB接口模塊相連，向各模塊提供參考時(shí)鐘；電源模塊與1000M/100M/10M以太網(wǎng)接口模塊、合法設(shè)備特性列表儲(chǔ)存配置模塊、網(wǎng)絡(luò)數(shù)據(jù)處理模塊、USB接口模塊、時(shí)鐘模塊相連，為各模塊供電。

所述1000M/100M/10M以太網(wǎng)接口模塊包含四路獨(dú)立的以太網(wǎng)接口，每一路包含千兆以太網(wǎng)RJ45插座以及以太網(wǎng)物理層PHY芯片；三路以太網(wǎng)接口可分別連接三路網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)，其余一路以太網(wǎng)接口可連接內(nèi)部網(wǎng)絡(luò)服務(wù)器。

所述合法設(shè)備特性列表儲(chǔ)存配置模塊包括微處理器和Flash存儲(chǔ)芯片，微處理器和Flash存儲(chǔ)芯片與互相連接。其中，F(xiàn)lash存儲(chǔ)芯片中的合法設(shè)備特性列表中包括所有允許與內(nèi)部服務(wù)器通信的網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)數(shù)據(jù)的MAC地址、源端口號(hào)、目的端口號(hào)、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征。

所述網(wǎng)絡(luò)數(shù)據(jù)處理模塊包括FPGA芯片和DDR3高速存儲(chǔ)芯片，F(xiàn)PGA芯片與DDR3高速存儲(chǔ)芯片互相連接。DDR3高速存儲(chǔ)芯片對(duì)輸入的網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)進(jìn)行高速的緩存。FPGA芯片通過讀取DDR3的高速緩存獲取網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)網(wǎng)絡(luò)數(shù)據(jù)包的MAC地址、源端口號(hào)、目的端口號(hào)、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征；將其與合法設(shè)備特性列表比較；僅允許合法特征的數(shù)據(jù)和設(shè)備通信，并且FPGA將合法特征的數(shù)據(jù)進(jìn)行重新打包，輸出。

所述USB接口模塊包括USB 3.0 Type B插座以及USB解析芯片USB 3.0 Type B插座與USB解析芯片互相連接。數(shù)據(jù)傳輸過程及速率符合USB 3.0標(biāo)準(zhǔn)。

與現(xiàn)有技術(shù)相比，本實(shí)用新型的有益效果是：

⑴、本實(shí)用新型使用FPGA硬件處理網(wǎng)絡(luò)數(shù)據(jù)，相對(duì)傳統(tǒng)的雙ARM芯片的架構(gòu)，具有更高的處理速度以及更強(qiáng)的并行處理能力。

⑵、本實(shí)用新型對(duì)于網(wǎng)絡(luò)數(shù)據(jù)具有強(qiáng)大的處理能力，并且通過優(yōu)化FPGA中的網(wǎng)絡(luò)安全執(zhí)行過程，可以實(shí)現(xiàn)80微秒的極小網(wǎng)絡(luò)延時(shí)。此項(xiàng)指標(biāo)對(duì)于保證視頻監(jiān)控?cái)?shù)據(jù)的實(shí)時(shí)性至關(guān)重要。

⑶、本實(shí)用新型采用USB 3.0的接口對(duì)設(shè)備進(jìn)行合法設(shè)備特性列表配置。相較傳統(tǒng)的使用RS232接口的配置方式，本實(shí)用新型使用的USB 3.0的接口擁有更高的速度以及更高的可靠性。

附圖說明

圖1為本實(shí)用新型結(jié)構(gòu)框圖；

圖2為本實(shí)用新型工作流程圖；

圖3為本實(shí)用新型應(yīng)用系統(tǒng)連接示意圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本實(shí)用新型作詳細(xì)描述。

參閱圖1，本實(shí)用新型包括：1000M/100M/10M以太網(wǎng)接口模塊1、合法設(shè)備特性列表儲(chǔ)存配置模塊2、網(wǎng)絡(luò)數(shù)據(jù)處理模塊3、USB接口模塊4、時(shí)鐘模塊5及電源模塊6。

1000M/100M/10M以太網(wǎng)接口模塊1分別與網(wǎng)絡(luò)數(shù)據(jù)處理模塊3、時(shí)鐘模塊5、電源模塊6相連。

合法設(shè)備特性列表儲(chǔ)存配置模塊2分別與網(wǎng)絡(luò)數(shù)據(jù)處理模塊3、USB接口模塊4、時(shí)鐘模塊5、電源模塊6相連。

網(wǎng)絡(luò)數(shù)據(jù)處理模塊3分別與1000M/100M/10M以太網(wǎng)接口模塊1、合法設(shè)備特性列表儲(chǔ)存配置模塊2、時(shí)鐘模塊5、電源模塊6相連。

USB接口模塊4分別與合法設(shè)備特性列表儲(chǔ)存配置模塊2、時(shí)鐘模塊5、電源模塊6相連。

時(shí)鐘模塊5分別與1000M/100M/10M以太網(wǎng)接口模塊1、合法設(shè)備特性列表儲(chǔ)存配置模塊2、網(wǎng)絡(luò)數(shù)據(jù)處理模塊3、USB接口模塊4、電源模塊6相連。

電源模塊6分別與1000M/100M/10M以太網(wǎng)接口模塊1、合法設(shè)備特性列表儲(chǔ)存配置模塊2、網(wǎng)絡(luò)數(shù)據(jù)處理模塊3、USB接口模塊4、時(shí)鐘模塊5相連，為各個(gè)模塊供電。

本實(shí)用新型的1000M/100M/10M以太網(wǎng)接口模塊1包含四路獨(dú)立的以太網(wǎng)接口，每一路包含千兆以太網(wǎng)RJ45插座11以及以太網(wǎng)物理層PHY芯片12；三路以太網(wǎng)接口可分別連接三路網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)，其余一路以太網(wǎng)接口可連接內(nèi)部網(wǎng)絡(luò)服務(wù)器。PHY芯片12提供RGMII接口與網(wǎng)絡(luò)數(shù)據(jù)處理模塊3中的FPGA芯片31連接并進(jìn)行數(shù)據(jù)交換。

本實(shí)用新型的合法設(shè)備特性列表儲(chǔ)存配置模塊2包含微處理器21和Flash存儲(chǔ)芯片22。合法設(shè)備特性列表儲(chǔ)存配置模塊2與USB接口模塊4相連，通過USB接口模塊4接收來自電腦的管理配置命令。合法設(shè)備特性列表儲(chǔ)存配置模塊2通過微處理器21將接收到的管理配置命令轉(zhuǎn)化為可執(zhí)行的合法設(shè)備特性列表，其中，合法設(shè)備特性列表中包括所有允許與內(nèi)部服務(wù)器通信的網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)數(shù)據(jù)的MAC地址、源端口號(hào)、目的端口號(hào)、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征。然后將其儲(chǔ)存在Flash存儲(chǔ)芯片22中，并將此合法設(shè)備特性列表配置進(jìn)網(wǎng)絡(luò)數(shù)據(jù)處理模塊3。

網(wǎng)絡(luò)數(shù)據(jù)處理模塊3包含F(xiàn)PGA芯片31和DDR3高速存儲(chǔ)芯片32，對(duì)輸入的網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)進(jìn)行高速的緩存、判斷、過濾、重構(gòu)、轉(zhuǎn)發(fā)操作。

本實(shí)用新型的USB接口模塊4包含USB 3.0 Type B插座41以及USB解析芯片42，傳輸過程及速率符合USB 3.0標(biāo)準(zhǔn)。USB接口模塊4的USB 3.0 Type B插座41通過USB 3.0 Type B標(biāo)準(zhǔn)線纜與電腦相連；USB解析芯片42與USB 3.0 Type B插座41相連接收電腦發(fā)來的數(shù)據(jù)，并且USB解析芯片42與合法設(shè)備特性列表儲(chǔ)存配置模塊2的微處理器21相連，與其進(jìn)行通信。

本實(shí)用新型的時(shí)鐘模塊5為1000M/100M/10M以太網(wǎng)接口模塊1、合法設(shè)備特性列表儲(chǔ)存配置模塊2、網(wǎng)絡(luò)數(shù)據(jù)處理模塊3、USB接口模塊4提供時(shí)鐘驅(qū)動(dòng)。

本實(shí)用新型的電源模塊6與1000M/100M/10M以太網(wǎng)接口模塊1、合法設(shè)備特性列表儲(chǔ)存配置模塊2、網(wǎng)絡(luò)數(shù)據(jù)處理模塊3、USB接口模塊4、時(shí)鐘模塊5相連，為各模塊供電。

參閱圖2，本實(shí)用新型是這樣工作的：

先使用將三路網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)與本實(shí)用新型1000M/100M/10M以太網(wǎng)接口模塊1中的第一、第二、第三路千兆以太網(wǎng)RJ45插座11相連。使用六類網(wǎng)線將監(jiān)控服務(wù)器與本實(shí)用新型1000M/100M/10M以太網(wǎng)接口模塊1中的第四路千兆以太網(wǎng)RJ45插座11相連。使用USB 3.0 Type B線纜，將裝有配置軟件的電腦與USB模塊4的USB 3.0 Type B插座41相連。

上電后，進(jìn)行默認(rèn)合法設(shè)備特性列表配置。合法設(shè)備特性列表儲(chǔ)存配置模塊2中的微處理器21將默認(rèn)合法設(shè)備特性列表配置數(shù)據(jù)從Flash存儲(chǔ)芯片22中讀取出來，并將此安全配置策略發(fā)送給網(wǎng)絡(luò)數(shù)據(jù)處理模塊3的FPGA 31。

之后針對(duì)已連接的三路網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)和監(jiān)控服務(wù)器，配置實(shí)際網(wǎng)絡(luò)合法設(shè)備特性列表。裝有配置軟件的電腦將針對(duì)已連接的三路網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)和監(jiān)控服務(wù)器的合法設(shè)備特性列表通過USB線纜發(fā)送至USB模塊4。USB 3.0 Type B插座41接收數(shù)據(jù)后，USB解析芯片42將解析后的數(shù)據(jù)發(fā)送給合法設(shè)備特性列表儲(chǔ)存配置模塊2中的微處理器21。其中，合法設(shè)備特性列表中包括所有允許與內(nèi)部服務(wù)器通信的網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)數(shù)據(jù)的MAC地址、源端口號(hào)、目的端口號(hào)、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征。合法設(shè)備特性列表儲(chǔ)存配置模塊2中的微處理器21將此合法設(shè)備特性列表配置數(shù)據(jù)存儲(chǔ)在Flash存儲(chǔ)芯片22中，并此合法設(shè)備特性列表發(fā)送給網(wǎng)絡(luò)數(shù)據(jù)處理模塊3的FPGA 31。

當(dāng)以太網(wǎng)數(shù)據(jù)傳送進(jìn)本實(shí)用新型設(shè)備時(shí)，1000M/100M/10M以太網(wǎng)接口模塊1中的千兆以太網(wǎng)RJ45插座11將模擬網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換為四路差分信號(hào)傳送進(jìn)PHY芯片12。PHY芯片12將差分信號(hào)的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換為后級(jí)芯片可處理的RGMII接口網(wǎng)絡(luò)數(shù)據(jù)，并將轉(zhuǎn)換格式后的信號(hào)傳送至網(wǎng)絡(luò)數(shù)據(jù)處理模塊3的FPGA 31。

當(dāng)網(wǎng)絡(luò)數(shù)據(jù)處理模塊3的FPGA 31接收到來自PHY芯片12的RGMII格式數(shù)據(jù)之后，采用流水線處理的方式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包做如下處理：將RGMII接口的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換為125MHz頻率、8-Bit位寬的網(wǎng)絡(luò)數(shù)據(jù)格式；提取其源MAC、目的MAC、協(xié)議類型、源IP、目的IP、源端口和目的端口等參數(shù)；將網(wǎng)絡(luò)數(shù)據(jù)高速緩存至網(wǎng)絡(luò)數(shù)據(jù)處理模塊3的DDR3高速存儲(chǔ)芯片32中。

當(dāng)網(wǎng)絡(luò)數(shù)據(jù)處理模塊3的DDR3高速存儲(chǔ)芯片32中已經(jīng)完整接收到一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包之后，再將此網(wǎng)絡(luò)數(shù)據(jù)包從DDR3高速存儲(chǔ)芯片32中讀出。在此讀出網(wǎng)絡(luò)數(shù)據(jù)包的過程中，將此數(shù)據(jù)包的源MAC、目的MAC、協(xié)議類型、源IP、目的IP、源端口和目的端口等參數(shù)與網(wǎng)絡(luò)數(shù)據(jù)處理模塊3的FPGA 31中執(zhí)行的網(wǎng)絡(luò)數(shù)據(jù)合法設(shè)備特性列表進(jìn)行比對(duì)，當(dāng)提取的MAC地址、源端口號(hào)、目的端口號(hào)、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征，與合法設(shè)備特性列表中的MAC地址、源端口號(hào)、目的端口號(hào)、源IP地址、目的IP地址、協(xié)議、數(shù)據(jù)特征完全一致時(shí)，判斷此數(shù)據(jù)包為合法網(wǎng)絡(luò)數(shù)據(jù)包。

當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過合法設(shè)備特性列表判斷為合法數(shù)據(jù)包后，根據(jù)合法設(shè)備特性列表，將此數(shù)據(jù)包重新打包，并轉(zhuǎn)換為RGMII接口數(shù)據(jù)，轉(zhuǎn)發(fā)至1000M/100M/10M以太網(wǎng)接口模塊1中的數(shù)據(jù)包目的網(wǎng)口。進(jìn)過PHY芯片12的處理后，通過千兆以太網(wǎng)RJ45插座11向外發(fā)送。

參閱圖3為本實(shí)用新型連接應(yīng)用系統(tǒng)示意圖，圖中N為本實(shí)用新型，IPC1、IPC2、IPC3為三路網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)，S1為監(jiān)控服務(wù)器，S2、S3、S4為其余內(nèi)部控制子網(wǎng)，S1、S2、S3、S4由于需要進(jìn)行通信，因此它們之間是互相可以通信的。

三路網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)的網(wǎng)絡(luò)數(shù)據(jù)經(jīng)過本實(shí)用新型的篩選和判斷后，連入S1、S2、S3、S4組成的內(nèi)部控制網(wǎng)絡(luò)，其中S1為監(jiān)控服務(wù)器。通過本實(shí)用新型對(duì)于外部的網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)接入內(nèi)部控制網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行篩選過濾，解決了網(wǎng)絡(luò)視頻監(jiān)控?cái)z像機(jī)節(jié)點(diǎn)與視頻監(jiān)控服務(wù)器間的無限制、無監(jiān)控的網(wǎng)絡(luò)通信帶來的內(nèi)部管理網(wǎng)絡(luò)被暴露攻擊的巨大隱患，有效地保護(hù)了內(nèi)部監(jiān)控、控制網(wǎng)絡(luò)的安全性。