李俊清，桂 树

（中国电信股份有限公司广州分公司 广州510620）

1 引言

近年来，随着我国经济的高速发展，城市化进程的日益加快，社会治安状况的日趋复杂，公共安全问题逐渐成为公众关注的焦点。为了维护城市社会治安，有力地预防和打击犯罪，全面安装视频监控系统，从而提高了相关安全部门的信息获取、快速反应、决策指挥和防灾减灾能力，为城市道路的安全畅通、交通违规行为的减少提供了有力的保障。

同时，用户对图像清晰度、处理速度、图像智能分析、海量信息存储方面提出了更高的要求，促使视频监控技术向高清化、数字化、智能化方向发展。传统的模拟监控逐渐不能满足某些行业的监控需求，随着新一代图像处理芯片技术的发展，高清视频监控系统逐渐进入人们的视野。

2 高清建设所面临的主要问题

目前高清视频的发展主要有两种技术路线，分别为HD-SDI和网络高清。SDI技术源自广电行业，主要是为了传输与存储高清无损的视频图像，由于其采集的数据量大，传输过程不经编/解码器压缩，给数据的存储提出了很大的挑战。而高清网络摄像机采用H.264压缩算法，能够很好地节省传输带宽和存储空间。总的来说，HD-SDI方案在接入网络、传输设备、视频控制矩阵、存储等方面具有与现行模拟视频方案相似的特点，但系统的扩展性和融合性受到一定程度的限制，适合应用在一些对图像质量要求特别严格的场合，而IPC在业内已经发展了5年，方案已非常成熟，大规模监控布点的汇聚是在数据交换网络上进行传输，并通过开放式平台进行统一调度指挥、应用管理和监控、维护，能适用于平安城市的大部分业务环境，成本控制更均衡，成为高清卡口监控的应用标准。

虽然网络高清相对于HD-SDI来说，对带宽的要求没有那么苛刻，但从技术标准上讲，一路视频占用带宽也达到4～12 Mbit/s，实现高清首先面临的问题是传输能否接纳如此庞大的数据流。由于目前的视频光缆建设都采用点对点方式进行，占用了大量中继光缆资源，如何在中继资源紧缺的今天采用一种节省端局间中继占用的方案也是需讨论的问题。

另一个主要问题则是由选择网络高清路线所引出的，网络高清摄像机在前端内置了数字编码芯片直接输出数字信号，通过网口接入存在被攻击和病毒入侵的可能，因此在选择网络高清建设“平安城市”时，要建设相应的安全保障体系、采用相应的技术手段以确保视频网络的安全和保密性，可以从如下两个角度考虑。

·摄像机设备本身：可以通过定制具备光口的摄像机确保接口的安全接入性，但此方式会带来成本的上升和前端集成度提升带来的维护等问题。

·通过建设前端摄像机的认证系统和边界防火墙等技术手段，确保前端摄像机及网络传输、数据和接口的安全。

3 网络技术

传统的视频监控光纤采用点对点方式建设，建设成本高、资源浪费严重。而PON采用点到多点无源光传输，可以在以太网之上提供多种业务，业务形态上可以满足视频业务的承载要求。

从技术层面上看，在接入段采用PON，传输距离可达20 km，线路采用一个无源分光器实现多个监控点共享光纤，可大幅降低光缆的采购和建设成本。摄像机部署在前端，并通过PON接入网将IP化的视频信号上传，IP视频流可以灵活地传输至多级监控中心，多级监控中心通过网络连接，通过分布在各监控中心的视频解码器将图像转化为模拟型号进行输出显示。全综合组网模式如图1所示，网络结构简单，实施方便。

采用PON传输，既能充分保障信息的安全性，又能充分发挥其技术的先进性和传输成本的最优性。其采用波分复用技术，实现单纤双向传输，上行数据分时发送，各ONU的发送时间与长度由OLT集中控制。因此网络中ONU不可能监测到其他ONU的上行数据，即前端监控点视频信号从ONU上传到OLT是天然安全的。下行数据广播发送，每个ONU根据下行数据的标识信息接收属于自己的数据，丢弃其他用户的数据。对于OLT下行数据的安全性，主要采用信息（包括所有的数据帧和OAM帧）加密技术。

PON的另一大特点是高带宽且具备带宽优先保障机制，能够保证末梢单点上行不低于15 Mbit/s（满配64路），足够满足高清视频传输的需求，不会影响其他末梢点客户的使用。

与光纤直连方式相比，PON具备如下优点。

·快速部署：由于从分光器到OLT再到主干光缆已经部署，在建设传输时，只需新建前端监控点到分光器的末梢段。

·安全可靠：PON口有备份端口，当一个端口出现问题，可以马上换一个PON口。

·可管可控：具备先进的网管系统，可对前端的每个ONU设备的接入进行管理和控制，出现故障可快速定位并修复。

从资源利用上看，随着光网城市的建设，大部分地市都基本实现了PON的覆盖，通常来说每个地市PON OLT节点一般为200～500个，部署在市区、县城和大部分乡镇。市区OLT的覆盖半径一般为2～5 km，县城和农村OLT的覆盖半径一般为5～20 km，基本涵盖城区内视频监控的潜在需求点，有效利用现有光覆盖进行视频监控承载，将大大提升光覆盖投资的效益。

图1 全综合组网模式示意

4 安全可靠性策略研究

在安全接入方面，以设备的安全接入控制最为重要，其与IT基础设施紧密集成在一起，网络接入控制不仅需提供网络层身份管理，还需致力于解决终端风险源的安全威胁，涉及终端安全的各个方面。如非法接入和越权访问控制、终端安全策略检查、实时监控和取证、终端行为控制等。

为杜绝非法摄像机接入视频网络，当摄像机接入内网时，摄像机需经过身份认证和安全检查，只有身份认证通过和安全检查符合安全策略要求的才能接入内网；对于那些不符合要求的终端，将被系统隔离，并在终端界面上提示用户进行相关修复操作。

为防止非法用户越权访问内网资源，需要对接入内网的终端用户进行授权访问。建议采用基于终端用户角色的网络访问权限控制。管理员根据访问对象和安全等级，将内网的业务服务器资源划分为若干个认证子域，授权指定的终端用户或用户组进行访问。

因此，在建设大规模网络高清数字视频监控系统应用时，应重点关注整体系统应用的安全性与可靠性，主要体现在以下方面。

（1）安全性策略

·应具有对前端摄像机及视频工作站等接入设备进行端口绑定及接入认证的功能，以防止外来设备的恶意入侵；支持客户端MAC地址、IEEE 802.1x等方式的认证，并提供账号与IP地址、MAC地址的绑定功能，满足用户复杂网络状况的各种需求。

·系统应支持将网络划分为多个认证前域、隔离域、认证后域，允许将安全域的访问策略分配到部门或终端，系统根据准入要求和安全检查状态，分配不同安全域的访问权限，如按设备类型分为平台服务器核心层设备、视频控制工作站应用终端、IPC图像采集设备三大类，划分不同的VLAN范围。

·中心端应具有综合管理平台，设置不同人员的权限与密码，对视频调用与录像查阅下载做好管理工作，实现系统安全管理。

（2）可靠性策略

·网络传输性能应保证前端IP摄像机码流传输（实时监看、录像存储、远程调用），不应存在分组丢失、时延过高或堵塞断线的情况。

·各层级的网络交换设备和安全管理服务器等均应具有冗余功能，即在一台设备出现故障的情况下能自动切换，通过该另一台设备进行传输。

·中心端应具有设备管理功能，可对各网络设备（含前端、交换和存储）的设备状态进行有效管理，可统一采用基于SNMP的网管平台，并能及时对故障设备进行报警。

5 系统验证及测试

为进一步验证GPON承载高清视频监控的可行性及IP化后前端摄像机在安全接入方面的可控性，搭建了测试环境，进行系统建设前的验证性测试。

（1）设备部署

前端视频采用IPC直连、IPC通过GPON传输、HD-SDI光纤传输3种方式。其中，HD-SDI摄像机通过光端机接入高清硬盘录像机转换为IP信号。所有图像信号集中通过交换机接入视频服务器进行平台统一管理，搭建安全管理服务器并配置安全接入控制软件，对所有接入设备进行安全访问控制策略实施。测试系统配置如图2所示。

图2 测试系统配置示意

表1 系统测试结果

测试内容包含前端视频采集、接入传输、控制管理、安全防范、运行维护等多个方面，尽量反映高清视频监控系统的组成架构和运行状况。

（2）测试内容及结果

系统测试结果见表1。

通过实际测试的结果可证明，在实验环境下GPON可以承载高清视频监控的视频流数据，并可保证在其容量范围内的多路视频信号的同时传输，对前端IP摄像机的安全措施也起到了有效的防范作用。

6 结束语

随着高清视频监控的逐步成熟，整个监控领域将进入新的发展阶段，在建设高清视频监控系统时必须考虑整体系统的应对策略，从设计角度开始就不能缺失安全性和可靠性的要素考虑，而且要在项目实施后进行测试验证，并在实际使用中实时注意，不断提高，确保系统有效运行。从研究结论分析，基于PON承载的高清视频监控系统，具备较好的安全性和拓展性，具备大规模运营管理的能力。

除了上述关键技术外，还要考虑如何推动整个产业链（包括电信运营商、平台提供商、终端提供商等）的良性合作，明确产业链各环节的定位，降低终端销售和维护成本，促使高清视频监控系统快速落地推广，为各行各业的应用发挥更大的作用。

1 GB 50348-2004.安全防范工程技术规范,2004