近年来,安防和视频监控已向着大型化、数字化、网络化的趋势发展,甚至出现了社会化联网的需求,即出现了整合不同建设方、不同管理机构的跨区域安防系统的实验,这引起安防行业中设备供应商、工程商、用户、相关行业人员对于这个过程中出现的新技术问题的热烈讨论和争议,本文主要针对大型网络化视频监控互联互通的关键技术做简要的分析,仅供读者参考。
文/李滨 李伟
研究背景
近年来,安防和视频监控已经向着大型化、数字化、网络化的趋势发展,甚至出现了社会化联网的需求,即出现了整合不同建设方、不同管理机构的跨区域安防系统的实验,这引起安防行业中设备供应商、工程商、用户、相关行业人员对于这个过程中出现的新技术问题的热烈讨论和争议,其中的热点主要有:
1、统一安防平台:利用工业自动化控制的成果和理念,试图将安防系统中不同的功能单元和子系统整合在一个统一的框架下,实现信息共享和联动,安防的监控操作在一个单独的完整用户界面上进行,一些新名词如:CMS(中央管理系统)和ISCS(综合监控系统)就属于这些趋势的代表。
2、智能化系统:随着系统规模的不断扩大和覆盖面的不断增加,传统上依靠人员主导的监控模式受到挑战,而智能化系统试图将更多的智能引入系统,将人从初级的判断和大量无意义的监看中解放出来。这方面的重点突破主要是结合视频分析技术和人工智能技术对各种系统的改良,如智能交通管理、智能门禁系统等。
3、集成化:由于芯片技术的发展,更多的功能可以以更小的体积和更小的功耗实现,使得厂商可以在单一元件上集成更多的功能,如IP摄像机集成了光学、电子、视频、智能化、网络等种种功能,可以使安防系统的建设更经济更快捷。
4、网络化:系统控制流和信息捕获,直接借助于标准的TCP/IP网络,实现网络化使用和管理,极大地增加了系统的可扩展性。
其他的热点还包括开放性和软件化等趋势。
我们看到,以上提到的这些技术研究已经为解决设备级的互联提供了很多技术途径和方案,但目前仍局限于企业级或机构内部的系统级别,其特点是考虑的目标系统仍处于一个统一的管理机构的管理之下,可以进行统一的规划和管理,在设备选型、管理维护的过程中按照统一的规划进行。对于我们前文所展望的连接不同机构和单位,形成真正社会化安防网络的“安防互联网”,还存在很多关键技术上的研究空白。
举例来说,某市的各区级治安部门、交通管理部门、重点场所、民防系统等均已经建有覆盖较广的视频监控系统,如果整合起来,可以形成全市的视频网络,不仅可以实现市一级的统一应急指挥,还可使原来子系统之间实现资源共享和互补,具有巨大的社会效益,但是原来的子系统实现方式既有模拟也有数字方式,设备五花八门,因而存在一系列问题,降低了整个系统的可用性。
系统的特点是:
·存在若干相对独立的区域或子网络, 通常以政府部门或行政区划的形式存在;
·存在连接以上区域和子网络的数据网络,提供基本的TCP/IP或串口通讯通道;
·存在松散的协调机构, 但此协调机构并不负责各区域的管理,管理和维护采用自治的形式;
·需要在区域之间实现可管理的资源共享。
反观目前可用的成熟技术,面临的难题是:
·子系统间的信息传导没有一个自发协调机制,对子系统的资源,缺乏有效的发布和公告机制,可能形成混乱;
·子系统用户管理高度自治,在子系统间需要共享资源时,不同子系统的用户存在信任和授权问题;
·子系统中控制/信令的多样化,阻碍了系统的融合;
·系统之间互联缺乏公认有效的机制,必须靠双边协调进行。
本文将结合实际案例, 对这些问题进行初步探讨和尝试。
互联互通的实现方式
对于以上存在的问题,可以将这样的安防网络认为是早期的互联网。互联网的一些特点,如松散性、开放性、规范性使得互联网可以自然的根据需要进行扩展、延伸,更为重要的是,一旦互联网成为一种认可的模式,业界会提供更好的产品和方案,达到产品和应用的良好促进。有鉴于此,我们可以借用互联网的建设理念来解决我们在安防网络中的难题。
资源发布
现在人们越来越依赖搜索引擎在互联网上获得各种可互相替代的资源,确定性的资源则依赖门户网站。在一个安防网络中,资源或控制基本是不可替代的,所以,获得可用的资源信息清单并使用资源,需要的是一个系统白页号码簿,即需要向系统用户完整地提供系统所有可用资源的列表。(当然,也同时提供对白页号簿的搜索功能)
系统的资源情况,可用一个多维树状目录结构表示,如图1所示。
这个树状目录既可根据行政自治关系,也可根据子系统来区分,层次性地列出所有系统资源,用户可以分层次遍历整个目录树。
这样的结构完全是分布式和可扩展的,由各子区域/自治系统的资源解析服务器负责本区域内部资源的解析和发布。
从算法上来看,只要存在解析的根服务器,即可以保证迭代的解析过程正常进行,而通常业务情况下,仅是对某一子树的遍历。
这样的情形,和网络世界中的SNMP MIB何其相似。对于网络上的可管理实体,均提供一个树状的MIB库,提供各种可管理的资源。
那么,可以借用SNMP的MIB遍历实现机制,来对安防网絡中的资源实现遍历。不同的是,SNMP由每一个可管理实体各自实现,而在安防网络的系统层面,需要由系统管理服务器进行子系统间的对话。
资源的描述
系统在实现互联互通的目的是为了能够去除边界,使用其他系统的资源,但是由于安防设备种类复杂,要实现不同种类的系统互联,在完成前文所描述的资源发布之后,还需对资源的使用方式进行进一步的描述。
从语义学看,安防系统的内部差异性是比较大的,甚至在很长的时间内,也无法实现直接的互操作,只能对不同的资源,调用不同的后台程序分别处理,不同资源的使用则依赖于资源的数据性质,可以是离散的数字量,也可以是连续的媒体流。
这个要求与在互联网中对多媒体的处理方式极其类似,现在可以轻松地访问网上各种媒体,欣赏丰富的视频资源,都是因为互联网存在统一的对多媒体的MIME类型规定,对不同的多媒体类型,MIME类型给出了对应的执行软件,消除了误解,常见的MIME类型有:
·超文本标记语言文本:html,.html text/html;
·普通文本:txt text/plain;
·RTF文本:rtf application/rtf;
·GIF图形:gif image/gif;
·JPEG图形:ipeg,.jpg image/jpeg;
·au声音文件:au audio/basic;
·MIDI音乐文件:mid,.midi audio/midi,audio/x-midi;
·RealAudio音乐文件:ra, .ram audio/x-pn-realaudio;
·MPEG文件:mpg,.mpeg video/mpeg;
·AVI文件:avi video/x-msvideo;
·GZIP文件:gz application/x-gzip;
·TAR文件:tar application/x-tar。
同理,我们也可以对不同的安防资源进行规定,并在调用有关资源时补充辅助信息。
举例如下:
对系统中的视频资源可作以下描述:
·TYPE:AXRTPM(AXIS组播视频);
·URL:axrtpm://192.168.6.230/mpeg4/media.amp;
·DESC:延安路/中山路;
·GIS:2324424/4144551;
·DOMAIN:PDD;
·ID:02022001。
这些信息,应在资源发布完成后,准备启动调用时向目标子系统请求。
按照这样的规范,可以在全网实现资源的互相理解和共享。同时由于这些规范,仅在软件层面实现,可以充分容纳异构的子系统。
认证和授权
与互联网不同的是,一个大型的安防网络,涉及各个子区域/自治系统的多个操作员,对操作员的行为进行管理是非常必要的,而绝不能变成互联网上的完全开放和虚拟时空,这是由安防系统的本身性质决定的,而安防系统的很多操作需要对资源进行独占和互动性操作,这也和互联网有着根本的区别。
安防系统中,通常原来独立的子系统内部可能已经采用了自主的认证和授权机制,例如可采用设备授权、用户名/口令、生物信息等不同的技术手段,但是对一个网络化的大型系统来说,如果废除这种子系统单独管理的机制,转而采取全局的用户认证和授权,往往建设和管理的成本过高,这是因为不仅涉及不同的管理机构,而且可能对原有的设备和软件提出更新的要求。
因此,建议采取一种基于自治系统间信任关系的认证和授权模型,即用户在自治系统内部进行一次认证,需要访问其他自治系统的资源时,则进行第二次认证,根据在本系统的认证情况,取得在其他系统的权限,这种不同系统之间权限的传递过程,就是信任过程。
信任过程需要专门的服务器进行判断,由于信任过程原则上只在不同系统的不同用户组(或角色)之间进行,不对具体用户进行,因此数据维护工作比较简单,改变这种信任关系只需在该服务器上进行修改。
例如,可建立这样的一个信任关系库(表3)。
这一过程,类似于运营商对漫游帐号的处理机制。
分布式控制
在实现了以上针对大型化安防网络的基础平台后, 具体资源使用时,要对用户操作进行控制,在一个开放的网络结构中,必须有一个实体来对边界进行一定的划分和管理,也就是在子系统边界设立网关,由网关实现操作界面的分离。
同时为了减少对子系统内部原有结构的冲击,又在大系统层面保持一定的稳定性,可以认为需要对网关内外的控制协议进行区分:自治系统网关之间采用统一的网络间接口协议NNI,自治系统内部的用户侧协议UNI则不做全局性的规定,由子系统自己决定。
具体的说,网络间NNI协议是对功能和控制的抽象表达,不涉及具体设备的特殊性,因而可保持一定的稳定性,而用户侧协议UNI,则主要实现对设备的接口,比较多样,不具有全局意义,可以依靠子系统的网关实现NNI和UNI之间的转换。
同时,这一网关还是自治系统实现上述所有功能的代理,实现的功能还有:
·操作员认证服务器和全局认证代理;
·资源更新发布者,向全局发布资源更新情况;
·资源解析服务器,接受外部对资源情况的解析请求。
实例:某市的政府视频监控网络
这一案例中,我们面对的是一个要融合很多已建成的视频监控系统的社会化监控网络,并将不断有新建成的视频系统连入,在系统层面实现全网内的视频资源有序共享,和一般新建的视频系统不同,本系统主要对已有子系统进行控制层面的整合,不改动原有系统。
具体需求如下:
·视频监控平台为分级层次型结构,上级视频控制服务器负责为下级视频控制服务器提供用户全局身份和权限,以及共享视频资源列表;
·市政府位于“视频监控平台”的最顶端,负责为整个平台提供用户认证,授予用户访问控制整个平台视频资源的功能;
·市政府下级的各局视频控制服务器负责本局内的用户管理,用户接入认证授权,接受处理其他局用户的视频访问控制,以及本地视频资源管理;
·用户直接登录所在局的视频控制服务器,在各局的用户属性中可标识用户仅仅是本局内部操作用户还是“视频监控平台”的全局用户;
·下级局须向上级提供本局内的用户权限组,以便上级管理人员统一分配用户可访问资源权限;
·下级局对用户访问和获得的“视频监控平台”资源做缓冲保存,并在“视频监控平台”用户无法访问上级服务器(主机故障,网络故障等情况下)时,可暂时使用缓冲数据,保障用户的正常使用;
·下级局用户在访问本局内所有视频资源时,用户的权限和控制指令全部在本地视频服务器的范围内执行;
·在整个层次中,下级服务器和上级服务器之间,平级各服务器之间建立授权信任机制,保证“视频监控平台”的业务数据安全。
功能组网结构如图4。
网间视频切换示意流程如图5。
1、用户登录XX局视频服务器。
2、XX局视频服务器对用户身份识别后,若用户为“视频监控平台”用户,则向市政府服务器发送登录请求。
3、市政府服务器将用户在整个“视频监控平台”所拥有访问权限的视频资源列表以及用户在其他局视频服务器上的访问权限标识返回用户登录视频服务器。
4、视频服务器向用户返回用户在整个“视频监控平台”所拥有访问权限的视频资源列表。
5、用户发送视频切换和PTZ控制指令
6、对于用户要求的本地视频源,则按本地视频切换流程实现视频切换和控制;对于切换和控制其他局的视频源,则将指令发送到对应局的视频控制服务器。
7、视频控制服务器将指令发送到前端视频服务器/编码器。
8、前端视频服务器/编码器返回状态信息。
9、视频源所在的目标局将分配给用户终端的视频服务器信息返回。
10、向用户终端返回目标局将分配给用户终端的视频服务器信息(视频服务器IP,Port)。
11、视频服务器向用户终端发送视频流。
总结
安防互联网尚处于萌芽阶段,标准的制定需要行业组织和权威机构的统筹安排,更需要有识之士达成共识,共同推动。本文并无意宣扬一种特点规范,只是介绍一种借鉴与发展的思路,供行业内人士参考。