摘要：結(jié)合一套專門為企業(yè)制作的遠(yuǎn)程數(shù)字監(jiān)控系統(tǒng)開發(fā)過程，從系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)需求開始，逐步闡述了一種實(shí)用的基于ＶＰＮ的遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)的架構(gòu)。

關(guān)鍵詞：虛擬專用網(wǎng)（VPN） 遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng) 數(shù)字硬盤錄像DVR 網(wǎng)絡(luò)視頻傳輸

近年來，數(shù)字視頻監(jiān)控系統(tǒng)以其控制靈活、信息容量大、存儲和檢索便利等優(yōu)點(diǎn)逐步取代了傳統(tǒng)的模擬視頻監(jiān)控系統(tǒng)，被廣泛應(yīng)用于安防、監(jiān)控、質(zhì)檢等方面。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展、普及和網(wǎng)絡(luò)帶寬的迅速擴(kuò)大，視頻監(jiān)控又逐漸產(chǎn)生了新的需求，即將數(shù)字視頻監(jiān)控技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合，在現(xiàn)場監(jiān)控主機(jī)無人職守情況下，實(shí)現(xiàn)局域網(wǎng)或Ｉｎｔｅｒｎｅｔ遠(yuǎn)程監(jiān)控的功能。這樣，將監(jiān)控信息從監(jiān)控中心釋放出來提高了管理水平和效率。但在通過Ｉｎｔｅｒｎｅｔ遠(yuǎn)程訪問視頻監(jiān)控服務(wù)傳統(tǒng)的遠(yuǎn)程訪問技術(shù)體現(xiàn)功能不足，無法保證監(jiān)控所需的保密性和速度性的要求。ＶＰＮＶｉｒｔｕａｌ Ｐｒｉｖａｔｅ Ｎｅｔｗｏｒｋｉｎｇ）技術(shù)的出現(xiàn)，改變了這一局面。通過使用ＶＰＮ的隧道和加密技術(shù)，實(shí)現(xiàn)了視頻數(shù)據(jù)經(jīng)過Ｉｎｔｅｒｎｅｔ在虛擬企業(yè)網(wǎng)絡(luò)中安全和便利的傳播。本文將結(jié)合一套為企業(yè)制作的遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)，介紹一種實(shí)用的基于ＶＰＮ的遠(yuǎn)程視頻監(jiān)控系統(tǒng)架構(gòu)。該系統(tǒng)已成功應(yīng)用于多個部門，對視頻監(jiān)控、網(wǎng)絡(luò)視頻傳輸開發(fā)有很高的參考價(jià)值。

圖1 用于VPN的IP-in-IP土封裝傳輸原理

１ 遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)要求

本系統(tǒng)是一套專門為企業(yè)制作的數(shù)字視頻監(jiān)控系統(tǒng)，在工程實(shí)施過程中，需要提供遠(yuǎn)程監(jiān)控（實(shí)時圖像傳輸和遠(yuǎn)程操作）功能。具體地講，就是利用不同的方式（如拔號上網(wǎng)、局域網(wǎng)等方式）進(jìn)行單路及多路遠(yuǎn)程監(jiān)控，用戶在遠(yuǎn)程的監(jiān)控中心可以很方便地通過網(wǎng)絡(luò)了解各網(wǎng)點(diǎn)的基本情況、各路狀態(tài)控制、云臺控制、傳輸文件、遠(yuǎn)程解密。工程中將要完成對４００余路視頻的處理，整個工程將配置２０～３０臺數(shù)字硬盤錄像機(jī)。具體要求：（１）本地主機(jī)通過局域網(wǎng)訪問本地的任意一臺視頻服務(wù)器；（２）遠(yuǎn)程傳輸必須實(shí)時、可靠，必須保證視頻數(shù)據(jù)的高速和可靠傳輸。根據(jù)實(shí)際需要可以申請ＤＤＮ，并在價(jià)格合適的條件下同時兼顧ＡＤＳＬ、ＰＳＴＮ和 ＤＤＮ等三種連接方式；（３）遠(yuǎn)程接入終端通過遠(yuǎn)程撥號Ｒｅｍｏｔｅ Ｄｉａｌ方式透過Ｉｎｔｅｒｎｅｔ訪問本地局域網(wǎng)的任意一臺視頻服務(wù)器 多可同時連接１６臺本地視頻服務(wù)器；（４）在工程中傳輸?shù)囊曨l數(shù)據(jù)可以定性為非高保密數(shù)據(jù)，在上層的系統(tǒng)軟件中完成加密和必要的合法驗(yàn)證，在網(wǎng)絡(luò)設(shè)計(jì)中可以不特意選擇高性能的防火墻；（５）遠(yuǎn)程接入終端透過Ｉｎｔｅｒｎｅｔ 對本地局域網(wǎng)的訪問對上層系統(tǒng)是透明的，從某種意義來說，上層系統(tǒng)可以根據(jù)指定的局域網(wǎng)ＩＰ 地址來訪問任何一臺本地視頻服務(wù)器。

采用方案分析：(１)對于速度要求，可以采用ＤＤＮ專線、ＡＤＳＬ或?qū)淼膶拵鬏敿夹g(shù)；(２)價(jià)格要求，廉價(jià)的方式是使用Ｉｎｔｅｒｎｅｔ進(jìn)行數(shù)據(jù)傳輸但這必然涉及到數(shù)據(jù)保密性的要求；（３）網(wǎng)絡(luò)安全性問題，遠(yuǎn)程主機(jī)的接入身份驗(yàn)證和驗(yàn)證身份的數(shù)據(jù)必須加密，視頻數(shù)據(jù)可以根據(jù)需求加密；（４）遠(yuǎn)程訪問，需要視頻服務(wù)器提供允許遠(yuǎn)程接入的能力, 需要進(jìn)行ＲＡＳ配置；（５）訪問透明性要求，上層系統(tǒng)只需要設(shè)計(jì)成簡單的兩步架構(gòu)，用戶指定視頻服務(wù)器ＩＰ－－－－＞監(jiān)控指定ＩＰ的視頻，無需涉及網(wǎng)絡(luò)連接的具體實(shí)現(xiàn)過程,無需用代碼實(shí)現(xiàn)遠(yuǎn)程連接的過程。

鑒于以上需求，可以采用ＶＰＮ＋ＡＤＳＬ方案，這是一個切實(shí)可行且成本低廉的方案。能夠提供速度及企業(yè)移動用戶（ｍｏｂｉｌｅ ｕｓｅｒ）的安全便利接入、數(shù)據(jù)保密性、客戶遠(yuǎn)程訪問透明性的需求.以下將介紹構(gòu)架ＶＰＮ的基本原理, 以及本系統(tǒng)的具體實(shí)現(xiàn)構(gòu)架。

圖2 Internet網(wǎng)上VPN應(yīng)用與局域網(wǎng)內(nèi)部VPN應(yīng)用

２ ＶＰＮ介紹

２．１ ＶＰＮ的概念

隨著Ｉｎｔｅｒｎｅｔ網(wǎng)絡(luò)規(guī)模與使用的擴(kuò)大和廣泛化，通過Ｉｎｔｅｒｎｅｔ傳輸保密數(shù)據(jù)的安全性需求日益提上議程。分布式企業(yè)想在處于不同地域的部門之間安全傳遞數(shù)據(jù)，傳統(tǒng)的方法是使用租用線路將各部門的私有網(wǎng)絡(luò)相連，并使用租用線路進(jìn)行內(nèi)部通訊。該方案的主要缺點(diǎn)在于租用線路價(jià)格昂貴。一種新的降低成本的途徑是允許單位配置ＶＰＮ技術(shù)，不用任何租用線路 通過Ｉｎｔｅｒｎｅｔ傳輸加密數(shù)據(jù)，這樣可以把線路費(fèi)用降到。該技術(shù)通過隧道和加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能有著非常廣闊的應(yīng)用前景。它具有以下優(yōu)點(diǎn)：

(１)費(fèi)用低--ＶＰＮ使用Ｉｎｔｅｒｎｅｔ進(jìn)行數(shù)據(jù)傳輸免去了昂貴的專線費(fèi)用 只須添加支持ＶＰＮ的上網(wǎng)設(shè)備。

（２)保密性--ＶＰＮ使用了加密技術(shù) 保證了通過Ｉｎｔｅｒｎｅｔ進(jìn)行數(shù)據(jù)傳輸?shù)陌踩浴?/FONT>

(３)私有性--連接上ＶＰＮ服務(wù)器的客戶就像在使用局域網(wǎng)一樣。使用局域網(wǎng)內(nèi)部ＩＰ地址就可以訪問整個ＶＰＮ中的所有主機(jī)。

２．２ ＶＰＮ的基本工作原理

針對ＶＰＮ實(shí)現(xiàn)的幾個優(yōu)點(diǎn)，ＶＰＮ主要使用了隧道傳輸,ｔｕｎｎｅｌｉｎｇ,技術(shù)和加密,ｅｎｃｒｙｐｔｉｎｇ,技術(shù)。為了實(shí)現(xiàn)保密性, ＶＰＮ把外發(fā)的數(shù)據(jù)報(bào)加密傳輸。對于私有性，ＶＰＮ使用隧道技術(shù), 定義了兩個網(wǎng)點(diǎn)的路由器之間通過Ｉｎｔｅｒｎｅｔ的一個隧道, 并使用ＩＰ－ｉｎ－ＩＰ封裝通過隧道轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)。其基本原理如圖１所示，為了確保保密性內(nèi)層數(shù)據(jù)經(jīng)過加密。

圖１中，ＶＰＮ授權(quán)主機(jī)Ａ發(fā)給主機(jī)Ｂ的整個內(nèi)層數(shù)據(jù)報(bào),包括首部,在被封裝前進(jìn)行了加密。當(dāng)數(shù)據(jù)報(bào)通過隧道到達(dá)ＶＰＮ服務(wù)器時, ＶＰＮ服務(wù)器將數(shù)據(jù)區(qū)解密, 還原出內(nèi)層數(shù)據(jù)報(bào), 然后轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)給主機(jī)Ｂ。對Ａ和Ｂ而言, 它們之間的數(shù)據(jù)傳輸過程是透明的。Ａ要發(fā)送的原始信息包的目的地址就是Ｂ, 用戶并無覺察數(shù)據(jù)經(jīng)過打包交由ＶＰＮ服務(wù)器轉(zhuǎn)發(fā)給Ｂ, 反之亦然。感覺上Ａ和Ｂ之間存在一條虛擬的加密直達(dá)鏈路?？傊?ＶＰＮ通過Ｉｎｔｅｒｎｅｔ傳輸數(shù)據(jù), 但對網(wǎng)點(diǎn)間傳輸進(jìn)行加密,以保證保密性。

市面上的ＶＰＮ方案繁多但都包含了三個基本元素：（１）授權(quán)：ＶＰＮ服務(wù)器對遠(yuǎn)程接入終端進(jìn)行授權(quán)接入ＶＰＮ,（２）加密：遠(yuǎn)程接入終端發(fā)送的數(shù)據(jù)加密后才通過非私有網(wǎng)傳輸；（３）隧道：遠(yuǎn)程接入終端發(fā)送的數(shù)據(jù)經(jīng)過封裝由ＶＰＮ服務(wù)器轉(zhuǎn)發(fā)。

２．３ ＶＰＮ的主要應(yīng)用

設(shè)計(jì)ＶＰＮ的初衷在于使用Ｉｎｔｅｒｎｅｔ安全傳遞數(shù)據(jù) 此外ＶＰＮ也提供了對移動用戶和漫游用戶的支持這是ＶＰＮ能迅速推廣和被運(yùn)用的主要原因。在Ｉｎｔｅｒｎｅｔ網(wǎng)上的ＶＰＮ應(yīng)用及使用步驟，如圖２上部所示圖中的ＰＰＴＰ是ＶＰＮ的一種實(shí)現(xiàn)方案。遠(yuǎn)程主機(jī)可以有三種方法通過Ｉｎｔｅｒｎｅｔ向ＶＰＮ服務(wù)器請求ＶＰＮ服務(wù)。同理，如圖２下部，在局域網(wǎng)內(nèi)部，主機(jī)Ａ的加密數(shù)據(jù)報(bào)也可以由ＶＰＮ服務(wù)器轉(zhuǎn)發(fā)給主機(jī)Ｂ，實(shí)現(xiàn)Ａ到Ｂ的保密傳輸。

圖3 視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)架構(gòu)

３ 遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)架構(gòu)

３．１網(wǎng)絡(luò)架構(gòu)方案

出于系統(tǒng)的設(shè)計(jì)要求和ＶＰＮ的優(yōu)點(diǎn)，本系統(tǒng)采用ＶＰＮ方案來構(gòu)架遠(yuǎn)程數(shù)字視頻監(jiān)控系統(tǒng)。在工程設(shè)施中，采用預(yù)裝了ＶＰＮ協(xié)議組的路由器作為ＶＰＮ服務(wù)器。系統(tǒng)網(wǎng)絡(luò)構(gòu)架如圖３所示。

若不采用傳統(tǒng)的遠(yuǎn)程訪問方案，要使遠(yuǎn)程用戶訪問視頻服務(wù)器必須給每臺視頻服務(wù)器配置ＲＡＳ協(xié)議接受傳入的訪問 并在遠(yuǎn)程訪問終端上添加所有要訪問的視頻服務(wù)器的撥號連接 每訪問一臺視頻服務(wù)器都須撥號 非常麻煩；但采用了ＶＰＮ方案 遠(yuǎn)程用戶只需撥號訪問ＶＰＮ服務(wù)器就與本地所有的視頻服務(wù)器構(gòu)成一個虛擬的局域網(wǎng)可以使用局域網(wǎng)ＩＰ地址直接訪問任意的視頻服務(wù)器大大減小了遠(yuǎn)程訪問連接的開銷 方便了用戶和上層軟件系統(tǒng)的設(shè)計(jì)只需要設(shè)計(jì)成局域網(wǎng)訪問方案就可以了，并做到安全通訊。

３．１．１ ＶＰＮ路由器／局域網(wǎng)內(nèi)部主機(jī)／遠(yuǎn)程訪問主機(jī)的配置

當(dāng)前ＶＰＮ行業(yè)使用四個標(biāo)準(zhǔn)：點(diǎn)到點(diǎn)隧道協(xié)議ＰＰＴＰＰｏｉｎｔ－ｔｏ－Ｐｏｉｎｔ Ｔｕｎｎｅｌｉｎｇ Ｐｒｏｔｏｃｏｌ，第２層發(fā)送協(xié)議Ｌ２Ｆ，第２層隧道協(xié)議Ｌ２ＴＰ，ＩＰ安全性ＩＰｓｅｃ。由于本系統(tǒng)中使用的所有主機(jī)都是基于ＷｉｎｄｏｗＮＴ系統(tǒng) 出于協(xié)議兼容性考慮本系統(tǒng)ＶＰＮ方案主體采用微軟的ＰＰＴＰ協(xié)議構(gòu)架。

（１）本系統(tǒng)采用ＶＰＮ路由器，它內(nèi)置了Ｗｅｂ服務(wù)器 用戶可以直接訪問其Ｗｅｂ服務(wù)器進(jìn)行路由器配置。例如預(yù)先向ＩＳＰ申請了靜態(tài)的ＩＰ地址２０２．１６８．２５．１ 可以直接在瀏覽器地址欄中輸入ｈｔｔｐ／／２０２．１６８．２５．１８０訪問網(wǎng)頁，輸入用戶帳戶和密碼后進(jìn)入設(shè)置界面，對路由器進(jìn)行如下配置：在ＶＰＮ協(xié)議配置頁面中選擇“自動選用ＶＰＮ協(xié)議”，并采用加密傳輸選項(xiàng)；在訪問頁面 設(shè)置加入ＶＰＮ的用戶名和密碼 用于為遠(yuǎn)程客戶授權(quán)加入ＶＰＮ；過濾數(shù)據(jù)包令ＶＰＮ路由器只處理ＶＰＮ數(shù)據(jù)包，其他數(shù)據(jù)包丟棄，以減少網(wǎng)絡(luò)流量。

（２）本地訪問主機(jī)Ｂ和視頻服務(wù)器處于同一局域網(wǎng)內(nèi)部 無需其他附加的協(xié)議。

（３）遠(yuǎn)程訪問主機(jī)Ａ想通過ＶＰＮ方案訪問局域網(wǎng)內(nèi)的所有視頻服務(wù)器。需要有連接上Ｉｎｔｅｒｎｅｔ的設(shè)備如ＡＤＳＬ、ＩＳＤＮ、ＰＳＴＮ；需要安裝ＲＡＳ協(xié)議以連接上ＶＰＮ服務(wù)器；需要安裝ＰＰＴＰ協(xié)議以與ＶＰＮ服務(wù)器通訊并構(gòu)架ＶＰＮ。

３．１．２ 系統(tǒng)工作流程

（１）２５臺視頻服務(wù)器通過１００Ｍｂｐｓ以太網(wǎng)交換機(jī)連接組成局域網(wǎng) 每部監(jiān)控視頻服務(wù)器數(shù)字硬盤錄像機(jī)通過４張ＰＣＩ 板卡可以直接連接１６個攝像機(jī)并完成視頻的實(shí)時采集、壓縮和寫盤工作。系統(tǒng)中共有２５×１６＝４００路實(shí)時視頻信號資源。

（２）在特定時段內(nèi)（可在系統(tǒng)中由用戶設(shè)置，可以設(shè)置為非監(jiān)控時段），監(jiān)控服務(wù)器將記錄在本機(jī)的視頻數(shù)據(jù)資料發(fā)送給回放視頻服務(wù)器存檔，供日后檢索使用。授權(quán)用戶可以訪問監(jiān)控視頻服務(wù)器獲取實(shí)時監(jiān)控視頻，也可以訪問回放視頻服務(wù)器獲取回放視頻資料。

（３）在局域網(wǎng)內(nèi)部例如主機(jī)Ｂ可以直接訪問局域網(wǎng)內(nèi)部的任何一臺視頻服務(wù)器。

（４）局域網(wǎng)通過ＶＰＮ路由器與Ｉｎｔｅｒｎｅｔ相連為授權(quán)移動用戶ｍｏｂｉｌ ｕｓｅｒ提供遠(yuǎn)程訪問的能力。遠(yuǎn)程移動用戶Ａ可以在任何地方先使用ＡＤＳＬ、ＩＳＤＮ或ＰＳＴＮ向ＩＳＰ請求連接上Ｉｎｔｅｒｎｅｔ再使用ＰＰＴＰ協(xié)議請求連接上私有局域網(wǎng)的ＶＰＮ路由器預(yù)裝了ＶＰＮ相關(guān)協(xié)議；ＶＰＮ路由器根據(jù)預(yù)先設(shè)置的授權(quán)名單 校驗(yàn)授權(quán)用戶，若校驗(yàn)通過 則與遠(yuǎn)程主機(jī)Ａ建立一條ＶＰＮ隧道供傳輸數(shù)據(jù) 并將主機(jī)加入到虛擬專用網(wǎng)ＶＰＮ中；此后主機(jī)Ａ可以使用私有局域網(wǎng)內(nèi)部的ＩＰ地址訪問私有局域網(wǎng)中的任意一臺監(jiān)控或回放視頻服務(wù)器。

３．２ 軟件架構(gòu)方案

Ｉｎｔｅｒｎｅｔ應(yīng)用層軟件開發(fā)主要使用兩種方案進(jìn)行數(shù)據(jù)傳輸：傳輸控制協(xié)議ＴＣＰ（Ｔｒａｎｓｌａｔｅ Ｃｏｎｔｒｏｌ Ｐｒｏｔｏｃｏｌ）和用戶數(shù)據(jù)報(bào)協(xié)議ＵＤＰＵｓｅｒ Ｄａｔａｇｒａｍ Ｐｒｏｔｏｃｏｌ。ＴＣＰ采用丟幀重發(fā)的方法來提供有可靠保障的數(shù)據(jù)流服務(wù)，ＵＤＰ提供“盡可能地交付”高效小時延但不可靠的數(shù)據(jù)報(bào)傳輸服務(wù)。根據(jù)它們各自的特點(diǎn)，可以使用ＴＣＰ傳輸有質(zhì)量要求的控制命令，且用ＵＤＰ迅速傳輸大量的音視頻數(shù)據(jù)。

本系統(tǒng)作如下設(shè)計(jì)：在可靠性要求比較嚴(yán)格的地方使用ＴＣＰ傳輸數(shù)據(jù)，包括服務(wù)器信息收集、各路狀態(tài)控制、云臺控制、傳輸文件、遠(yuǎn)程解密等；同時在速度要求比較嚴(yán)格的地方--實(shí)時視頻傳輸中使用ＵＤＰ。遠(yuǎn)程監(jiān)控的一個問題是實(shí)時性，而實(shí)時性的障礙就是網(wǎng)絡(luò)傳輸時延問題。在這種情況下應(yīng)該選用ＵＤＰ傳輸視頻圖像，對用戶來說，一定程度的數(shù)據(jù)丟失和次序錯誤并不是大問題，上一幀的丟失不會影響到下一幀。用戶寧愿接受有一定丟幀的實(shí)時視頻圖像，也不愿意接受沒有丟幀的具有累加時延的滯后視頻圖像。若采用ＴＣＰ，ＴＣＰ固有的傳錯傳丟重發(fā)機(jī)制本身就加重了視頻傳輸?shù)臅r延。在具體編程中可以通過ＷｉｎＳｏｃｋ來使用ＴＣＰ和ＵＤＰ協(xié)議提供的功能。

整個視頻監(jiān)控系統(tǒng)各部分功能及數(shù)據(jù)流向如圖４所示。

圖4 系統(tǒng)總體功能模型

３．３ 系統(tǒng)評價(jià)及應(yīng)用前景

作者使用Ｖｉｓｕａｌ Ｃ＋＋６實(shí)現(xiàn)數(shù)字視頻監(jiān)控系統(tǒng)，該系統(tǒng)經(jīng)過測試能實(shí)際達(dá)到的效果：

（１）速度：局域網(wǎng)（１００Ｍｂｐｓ以太網(wǎng)）內(nèi)部可以達(dá)到實(shí)時傳輸１６路×２３幀／每秒ＣＩＦ圖像的要求。廣域網(wǎng)實(shí)用ＡＤＳＬ可以達(dá)到２路×２３幀／每秒ＣＩＦ圖像的要求，并可以使用通道輪轉(zhuǎn)技術(shù)實(shí)時監(jiān)控１６路視頻的能力。

（２）遠(yuǎn)程訪問的安全性：由于在ＶＰＮ服務(wù)器上設(shè)置了遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)的用戶權(quán)限，并使用ＶＰＮ的安全用戶訪問方式（如RADIUS遠(yuǎn)程驗(yàn)證撥號用戶服務(wù)），保證了用戶保密資料的傳輸。

（3）訪問方便：遠(yuǎn)程連接時，在連接上企業(yè)的VPN服務(wù)器后，用戶感覺上就處于一個虛擬的企業(yè)內(nèi)部局域網(wǎng)中，其后操作都與局域網(wǎng)操作致。用戶可任意訪問任意臺視頻服務(wù)器的任意個視頻通道。

該系統(tǒng)架構(gòu)已經(jīng)在多個銀行和企業(yè)部門中使用，其實(shí)用性和易操作性受到客戶的好評。該系統(tǒng)對于視頻監(jiān)控、網(wǎng)絡(luò)視頻傳輸開發(fā)有很高的參考價(jià)值。