- 相關推薦
一種實用的基于VPN的遠程數字視頻監控系統架構
摘要:結合一套專門為企業制作的遠程數字監控系統開發過程,從系統的網絡設計需求開始,逐步闡述了一種實用的基于VPN的遠程數字視頻監控系統的架構。關鍵詞:虛擬專用網(VPN) 遠程數字視頻監控系統 數字硬盤錄像?DVR 網絡視頻傳輸
近年來,數字視頻監控系統以其控制靈活、信息容量大、存儲和檢索便利等優點逐步取代了傳統的模擬視頻監控系統,被廣泛應用于安防、監控、質檢等方面。隨著計算機及網絡技術的發展、普及和網絡帶寬的迅速擴大,視頻監控又逐漸產生了新的需求,即將數字視頻監控技術與網絡技術相結合,在現場監控主機無人職守情況下,實現局域網或Internet遠程監控的功能。這樣,將監控信息從監控中心釋放出來?提高了管理水平和效率。但在通過Internet遠程訪問視頻監控服務?傳統的遠程訪問技術體現功能不足,無法保證監控所需的保密性和速度性的要求。VPN?Virtual Private Networking)技術的出現,改變了這一局面。通過使用VPN的隧道和加密技術,實現了視頻數據經過Internet在虛擬企業網絡中安全和便利的傳播。本文將結合一套為企業制作的遠程數字視頻監控系統,介紹一種實用的基于VPN的遠程視頻監控系統架構。該系統已成功應用于多個部門,對視頻監控、網絡視頻傳輸開發有很高的參考價值。
圖1 用于VPN的IP-in-IP土封裝傳輸原理
1 遠程數字視頻監控系統的網絡設計要求
本系統是一套專門為企業制作的數字視頻監控系統,在工程實施過程中,需要提供遠程監控(實時圖像傳輸和遠程操作)功能。具體地講,就是利用不同的方式(如拔號上網、局域網等方式)進行單路及多路遠程監控,用戶在遠程的監控中心可以很方便地通過網絡了解各網點的基本情況、各路狀態控制、云臺控制、傳輸文件、遠程解密。工程中將要完成對400余路視頻的處理,整個工程將配置20~30臺數字硬盤錄像機。具體要求:(1)本地主機通過局域網訪問本地的任意一臺視頻服務器;(2)遠程傳輸必須實時、可靠,必須保證視頻數據的高速和可靠傳輸。根據實際需要可以申請DDN,并在價格合適的條件下同時兼顧ADSL、PSTN和 DDN等三種連接方式;(3)遠程接入終端通過遠程撥號?Remote Dial?方式透過Internet訪問本地局域網的任意一臺視頻服務器? 最多可同時連接16臺本地視頻服務器;(4)在工程中傳輸的視頻數據可以定性為非高保密數據,在上層的系統軟件中完成加密和必要的合法驗證,在網絡設計中可以不特意選擇高性能的防火墻;(5)遠程接入終端透過Internet 對本地局域網的訪問對上層系統是絕對透明的,從某種意義來說,上層系統可以根據指定的局域網IP 地址來訪問任何一臺本地視頻服務器。
采用方案分析:(1)對于速度要求,可以采用DDN專線、ADSL或將來的寬帶傳輸技術;(2)價格要求,最廉價的方式是使用Internet進行數據傳輸?但這必然涉及到數據保密性的要求;(3)網絡安全性問題,遠程主機的接入身份驗證和驗證身份的數據必須加密,視頻數據可以根據需求加密;(4)遠程訪問,需要視頻服務器提供允許遠程接入的能力, 需要進行RAS配置;(5)訪問透明性要求,上層系統只需要設計成簡單的兩步架構,用戶指定視頻服務器IP---->監控指定IP的視頻,無需涉及網絡連接的具體實現過程,無需用代碼實現遠程連接的過程?。
鑒于以上需求,可以采用VPN+ADSL方案,這是一個切實可行且成本低廉的方案。能夠提供速度及企業移動用戶(mobile user)的安全便利接入、數據保密性、客戶遠程訪問透明性的需求.以下將介紹構架VPN的基本原理, 以及本系統的具體實現構架。
圖2 Internet網上VPN應用與局域網內部VPN應用
2 VPN介紹
2.1 VPN的概念
隨著Internet網絡規模與使用的擴大和廣泛化,通過Internet傳輸保密數據的安全性需求日益提上議程。分布式企業想在處于不同地域的部門之間安全傳遞數據,傳統的方法是使用租用線路將各部門的私有網絡相連,并使用租用線路進行內部通訊。該方案的主要缺點在于租用線路價格昂貴。一種新的降低成本的途徑是允許單位配置VPN技術,不用任何租用線路? 通過Internet傳輸加密數據,這樣可以把線路費用降到最低。該技術通過隧道和加密技術達到類似私有網絡的安全數據傳輸功能?有著非常廣闊的應用前景。它具有以下優點:
(1)費用低--VPN使用Internet進行數據傳輸?免去了昂貴的專線費用? 只須添加支持VPN的上網設備。
(2)保密性--VPN使用了加密技術? 保證了通過Internet進行數據傳輸的安全性。
(3)私有性--連接上VPN服務器的客戶就像在使用局域網一樣。使用局域網內部IP地址就可以訪問整個VPN中的所有主機。
2.2 VPN的基本工作原理
針對VPN實現的幾個優點,VPN主要使用了隧道傳輸,tunneling,技術和加密,encrypting,技術。為了
實現保密性, VPN把外發的數據報加密傳輸。對于私有性,VPN使用隧道技術, 定義了兩個網點的路由器之間通過Internet的一個隧道, 并使用IP-in-IP封裝通過隧道轉發數據報。其基本原理如圖1所示,為了確保保密性?內層數據經過加密。
圖1中,VPN授權主機A發給主機B的整個內層數據報,包括首部,在被封裝前進行了加密。當數據報通過隧道到達VPN服務器時, VPN服務器將數據區解密, 還原出內層數據報, 然后轉發該數據報給主機B。對A和B而言, 它們之間的數據傳輸過程是透明的。A要發送的原始信息包的目的地址就是B, 用戶并無覺察數據經過打包交由VPN服務器轉發給B, 反之亦然。感覺上A和B之間存在一條虛擬的加密直達鏈路。總之,VPN通過Internet傳輸數據, 但對網點間傳輸進行加密,以保證保密性。
市面上的VPN方案繁多?但都包含了三個基本元素:(1)授權:VPN服務器對遠程接入終端進行授權接入VPN,(2)加密:遠程接入終端發送的數據加密后才通過非私有網傳輸;(3)隧道:遠程接入終端發送的數據經過封裝?由VPN服務器轉發。
2.3 VPN的主要應用
設計VPN的初衷在于使用Internet安全傳遞數據? 此外VPN也提供了對移動用戶和漫游用戶的支持?這是VPN能迅速推廣和被運用的主要原因。在Internet網上的VPN應用及使用步驟,如圖2上部所示?圖中的PPTP是VPN的一種實現方案?。遠程主機可以有三種方法通過Internet向VPN服務器請求VPN服務。同理,如圖2下部,在局域網內部,主機A的加密數據報也可以由VPN服務器轉發給主機B,實現A到B的保密傳輸。
圖3 視頻監控系統網絡架構
3 遠程數字視頻監控系統架構
3.1網絡架構方案
出于系統的設計要求和VPN的優點,本系統采用VPN方案來構架遠程數字視頻監控系統。在工程設施中,采用預裝了VPN協議組的路由器作為VPN服務器。系統網絡構架如圖3所示。
若不采用傳統的遠程訪問方案,要使遠程用戶訪問視頻服務器?必須給每臺視頻服務器配置RAS協議?接受傳入的訪問?? 并在遠程訪問終端上添加所有要訪問的視頻服務器的撥號連接? 每訪問一臺視頻服務器都須撥號一次? 非常麻煩;但采用了VPN方案? 遠程用戶只需撥號訪問VPN服務器一次?就與本地所有的視頻服務器構成一個虛擬的局域網?可以使用局域網IP地址直接訪問任意的視頻服務器?大大減小了遠程訪問連接的開銷? 方便了用戶和上層軟件系統的設計?只需要設計成局域網訪問方案就可以了?,并做到安全通訊。
3.1.1 VPN路由器/局域網內部主機/遠程訪問主機的配置
當前VPN行業使用四個標準:點到點隧道協議PPTP?Point-to-Point Tunneling Protocol?,第2層發送協議?L2F?,第2層隧道協議?L2TP?,IP安全性?IPsec?。由于本系統中使用的所有主機都是基于WindowNT系統? 出于協議兼容性考慮?本系統VPN方案主體采用微軟的PPTP協議構架。
(1)本系統采用VPN路由器,它內置了Web服務器? 用戶可以直接訪問其Web服務器進行路由器配置。例如?預先向ISP申請了靜態的IP地址202.168.25.1? 可以直接在瀏覽器地址欄中輸入http?//202.168.25.1?80訪問網頁,輸入用戶帳戶和密碼后進入設置界面,對路由器進行如下配置:在VPN協議配置頁面中?選擇“自動選用VPN協議”,并采用加密傳輸選項;在訪問頁面? 設置加入VPN的用戶名和密碼? 用于為遠程客戶授權加入VPN;過濾數據包?令VPN路由器只處理VPN數據包,其他數據包丟棄,以減少網絡流量。
(2)本地訪問主機B和視頻服務器處于同一局域網內部? 無需其他附加的協議。
(3)遠程訪問主機A想通過VPN方案訪問局域網內的所有視頻服務器。需要有連接上Internet的設備?如ADSL、ISDN、PSTN?;需要安裝RAS協議以連接上VPN服務器;需要安裝PPTP協議以與VPN服務器通訊并構架VPN。
3.1.2 系統工作流程
(1)25臺視頻服務器通過100Mbps以太網交換機連接組成局域網? 每部監控視頻服務器?數字硬盤錄像機?通過4張PCI 板卡可以直接連接16個攝像機并完成視頻的實時采集、壓縮和寫盤工作。系統中共有25×16=400路實時視頻信號資源。
(2)在特定時段內(可在系統中由用戶設置,可以設置為非監控時段),監控服務器將記錄在本機的視頻數據資料發送給回放視頻服務器存檔,供日后檢索使用。授權用戶可以訪問監控視頻服務器獲取實時監控視頻,也可以訪問回放視頻服務器獲取回放視頻資料。
(3)在局域網內部?例如主機B可以直接訪問局域網內部的任何一臺視頻服務器。
(
4)局域網通過VPN路由器與Internet相連?為授權移動用戶?mobil user?提供遠程訪問的能力。遠程移動用戶A可以在任何地方先使用ADSL、ISDN或PSTN向ISP請求連接上Internet?再使用PPTP協議請求連接上私有局域網的VPN路由器?預裝了VPN相關協議?;VPN路由器根據預先設置的授權名單? 校驗授權用戶,若校驗通過? 則與遠程主機A建立一條VPN隧道供傳輸數據? 并將主機加入到虛擬專用網VPN中;此后主機A可以使用私有局域網內部的IP地址訪問私有局域網中的任意一臺監控或回放視頻服務器。
3.2 軟件架構方案
Internet應用層軟件開發主要使用兩種方案進行數據傳輸:傳輸控制協議TCP(Translate Control Protocol)和用戶數據報協議UDP?User Datagram Protocol?。TCP采用丟幀重發的方法來提供有可靠保障的數據流服務,UDP提供“盡最大可能地交付”高效小時延但不可靠的數據報傳輸服務。根據它們各自的特點,可以使用TCP傳輸有質量要求的控制命令,且用UDP迅速傳輸大量的音視頻數據。
本系統作如下設計:在可靠性要求比較嚴格的地方使用TCP傳輸數據,包括服務器信息收集、各路狀態控制、云臺控制、傳輸文件、遠程解密等;同時在速度要求比較嚴格的地方--實時視頻傳輸中使用UDP。遠程監控最大的一個問題是實時性,而實時性最大的障礙就是網絡傳輸時延問題。在這種情況下應該選用UDP傳輸視頻圖像,對用戶來說,一定程度的數據丟失和次序錯誤并不是大問題,上一幀的丟失不會影響到下一幀。用戶寧愿接受有一定丟幀的實時視頻圖像,也不愿意接受沒有丟幀的具有累加時延的滯后視頻圖像。若采用TCP,TCP固有的傳錯傳丟重發機制本身就加重了視頻傳輸的時延。在具體編程中可以通過WinSock來使用TCP和UDP協議提供的功能。
整個視頻監控系統各部分功能及數據流向如圖4所示。
圖4 系統總體功能模型
3.3 系統評價及應用前景
作者使用Visual C++6實現數字視頻監控系統,該系統經過測試能實際達到的效果:
(1)速度:局域網(100Mbps以太網)內部可以達到實時傳輸16路×23幀/每秒CIF圖像的要求。廣域網實用ADSL可以達到2路×23幀/每秒CIF圖像的要求,并可以使用通道輪轉技術實時監控16路視頻的能力。
(2)遠程訪問的安全性:由于在VPN服務器上設置了遠程訪問企業內部網的用戶權限,并使用VPN的安全用戶訪問方式(如RADIUS遠程驗證撥號用戶服務),保證了用戶保密資料的傳輸。
(3)訪問方便:遠程連接時,在連接上企業的VPN服務器后,用戶感覺上就處于一個虛擬的企業內部局域網中,其后操作都與局域網操作致。用戶可任意訪問任意臺視頻服務器的任意個視頻通道。
該系統架構已經在多個銀行和企業部門中使用,其實用性和易操作性受到客戶的好評。該系統對于視頻監控、網絡視頻傳輸開發有很高的參考價值。
【一種基于VPN的遠程數字視頻監控系統架構】相關文章:
遠程監控系統方案08-10
數字視頻局域網監控系統的設計與實現02-21
基于SMS通信的直放站監控系統設計02-21
一種基于單片機控制的數字視頻混合器02-20
基于MPLS的VPN技術原理及其實現02-20
基于Web 的遠程教育系統的實現02-21