1、南京市交通建设投资控股(集团)视频上云解决方案演讲人:许 松汇报目录01020304视频上云建设内容及目标视频上云建设需求视频上云技术解决方案视频上云方案概算安全需求需求理解业务需求技术需求建设需求业务需求双路视频监控、低码率持续推送高清视频按需调用视频图像按接口推送上传视频转码设备运行状态监控 技术需求前置终端与云视频平台实时交互标准H.264编码基于RTMP协议的主动推送模式可调整编码码率码流封装标准化安全需求防攻击和恶意使用防破解、非法访问防监听、数据伪造、匿名访问防数据泄露或丢失管理需求网络监控故障监控性能监控数据库监控容量规划与弹性部署补丁管理总体业务需求 在在保留南京市交通建设投资
2、控股保留南京市交通建设投资控股(集团集团)有限责任公司有限责任公司(以下简称(以下简称“南京交通控股集团南京交通控股集团 ”)现有)现有视频监控平台的视频监控平台的基础基础,接入全部道路,接入全部道路视频监控图像视频监控图像,并存储至云端,并存储至云端视频视频服务服务器,满足视频的实时推送和调看需求。器,满足视频的实时推送和调看需求。视频视频转码设备通过云视频平台的接口实时上报道路高清转码设备通过云视频平台的接口实时上报道路高清视频的摄像机信息。视频的摄像机信息。由云视频平台通过由云视频平台通过接口指定摄像机图像上报推接口指定摄像机图像上报推送以及停送以及停止推止推送。送。定期地向云视频平台做
3、状态上报,定期地向云视频平台做状态上报,以便及时以便及时了解视频转了解视频转码设备的当前系统状态和负载情况。码设备的当前系统状态和负载情况。业 务需 求满足云视频平台实时交互要求,与其云平台实现对接,按照平台的指令推送视频、停止视频、调整码率、调用高清等云视频平台实时交互与指令管理前置终端接入网关需将传输协议与码流封装类型标准化,支持不同封装格式、不同通信协议视频的统一接入传输协议与码流的标准化封装在前置终端接入网关支持因网络抖动引起的断开,要有自动重连机制保障,同时支持复制转发的功能支持自动重连与复制转发项目需要建设前端视频接入设备,负责视频数据上云服务,该前端接入设备需定制开发,并且后续需
4、要根据云服务商的要求进行升级维护前端视频接入设备建设与维护接入设备需要支持长期24小时不间断推送最低码率为32Kbps的道路视频推送功能低码率视频不间断推送接入设备需要支持高清视频的推送,该路道路视频为按需调看,有用户访问,才启动推送高清视频码流高清视频推送安 全 需 求有效策略有效策略可靠技术可靠技术安全管理安全管理运营商内运营商内部人员泄部人员泄露露接口或接口或APIAPI不安全不安全账号或者账号或者服务劫持服务劫持数据丢失数据丢失或者泄露或者泄露恶意使用恶意使用或者攻击或者攻击云计算云计算虚拟化共虚拟化共享机制不享机制不可靠可靠u缺乏流程管理u缺乏监督机制u编写恶意代码u破解访问密码uD
5、DOS攻击等“多租户”冲击u非法访问其他租户u数据恢复薄弱u密钥体系不完整u数据残留等u缺乏足够日志u监控能力不足u匿名访问等u网络钓鱼u网络监听u数据伪造等建设内容建设内容及目标总体建设目标总体技术架构总体建设目标 根据交通运输部和省交通厅关于交通信息化根据交通运输部和省交通厅关于交通信息化“十三五十三五”发展规划的要求,在符合交通视频监控系统相关技术要求的发展规划的要求,在符合交通视频监控系统相关技术要求的基础上,基础上,实现南京交通控股集团所辖段实现南京交通控股集团所辖段视频等的视频等的外场监控图外场监控图像像分别通过分别通过电信电信VPNVPN隧道隧道分别接入分别接入云端云端进行管理,
6、并且建进行管理,并且建设设视频管控平台视频管控平台,实现,实现云端调云端调看看南京交通控股集团段的道路南京交通控股集团段的道路视频视频图像。图像。建 设 内 容方案设计 设备采购、安装、调试系统软件开发与系统上云按照方案设计要求保质保时的完成相关设备的采购、安装与上级调试工作。根据管理西区完成系统软件的设计、开发、测试、部署和后续视频数据的上云建设工作。根据总体业务建设需求分析,形成完善的技术方案与详细设计。技术支持与售后服务根据项目全生命周期管理要求完成系统上线后的运营管理、技术支持和售后服务工作。视频上云方案总体架构公有云互联网战略互联网战略电信专线云端安全框架云用户安全 云服务安全云运营
7、安全数据库防火墙数据审计WEB应用防火墙WEB漏洞检测主机入侵防护双因素认证堡垒机安全防火墙DDoS攻击防护大数据安全分析集群数据库安全大规模计算安全安全开发解决方案弹性计算存储安全云管控平台异常协议检测Linux软件安全开发生命周期数据安全生命周期数据安全应用安全系统安全云操作系统安全网络安全物理安全视 频 上 云 方 案 说 明南京交通控股集团路段监控中心将本路段道路监控视频推送送到互联网视频云,实现视频资源的数据上云,还需要做如下工作:根据云视频平台的指令实时调整可以以CIF格式32kbps的码流上传至公网视频云,同时也可测试取子码流方式推送码流的效果方法,以节约硬件投入统一化传输协议与
8、码流封装类型路段公司现有的视频监控平台有不同厂家的不同品牌的摄像机设备或平台,码流封装格式不统一,通信协议类型不统一,需要接入开发网关软件统一化传输协议与码流封装类型稳定可靠的视频推送服务软件面向公众直播视频,由于考虑到公众用户体验,可以秒开视频,需要采用长连接方式一直的推送视频至公网视频云以实时更新缓存视频片高效的流媒体转发软件考虑到南京交通控股集团的监控中心可能还需要向省中心或临近路段公司管理部门提供高清视频监控图像,用于常规的高清监控和管理,需要提供相关软件服务采用监控中心集中上云方式南京交通控股集团公路监控中心可以调看到高速路段全线主线道路视频监控图像,因此建议采用监控中心集中上云方式
9、进行视频上云需要六台视频转码上云设备南京交通控股集团全线主线道路监控摄像机总数有600路左右摄像机,需要六台视频转码上云设备布设于集团监控中心用于视频上云的硬件建设投入解决方案系统软件设计 系统硬件安装与调试 网络设计 系统软件云视频管控平台的指令对接转码服务软件流媒体软件OAuth 2.0道路摄像头道路摄像头云视频管控平台高清视频32kbps低码率视频32kbps低码率视频视频转码服务器视频转码服务器视频转码服务器设备状态数据设备状态数据云管控平台指令对接接口摄像机信息统一管理云视频平台要对各路桥公司道路视频的摄像机信息做统一的管理,这些摄像机信息来源于视频转码设备实时地将各路桥公司道路视频
10、的摄像机信息通过接口的上报接口管理推送视频视频转码设备要具体推送的道路视频图像是由云视频平台通过接口向其指定的,通过接口,指定摄像机图像开始推送以及停止推送设备状态管理视频转码设备需定期地向云视频平台做状态上报,以便云视频平台能及时了解视频转码设备的当前系统状态和负载情况云管控平台指令接口定义接口名称接口描述接口和访问形式摄像机信息注册/修改接口接收数据上报方提供的摄像机列表信息,如果摄像机存在则对信息进行修改,否则新增。该接口可以一次上报多条摄像机信息http:/ip:port/bms/service/video.VideoInformation?token=xx摄像机信息删除接口接收数据上
11、报方提供的删除摄像机编号,删除摄像机信息。该接口支持一次性删多个摄像机信息http:/ip:port/bms/service/video.VideoInformationDel?cameraNum=xx,xx&token=xx视频推送开始接口平台通知视频转码设备开始启动指定的摄像机视频推送,视频转码设备处理后,向平台返回处理结果http:/ip:port/bms/service/video.VideoTransBegin?cameraNum=xx&token=xx&videotype=1视频推送停止接口平台通知视频转码设备停止指定的摄像机视频推送,视频转码设备处理后,向平台返回处理结果。推荐每
12、次只停止一路http:/ip:port/bms/service/video.VideoTransFinish?cameraNum=xxxx&token=xx&videotype=1视频转码设备状态上报由视频转码设备向平台上报状态信息使用,视频转码设备根据运行状态,实时上报运行中所遇到的异常或状态内容。发送频率每秒不超过3条。平台收到上报内容后,需要对上报内容做出回应,并记录上报内容。上报的摄像机推流状态可以有多个。http:/ip:port/bms/service/video.TransStatusReport?pcTranscodID=xx&token=xx转码服务软件统一媒体数据格式根据客
13、户端终端设备能力生成符合其解码播放的媒体数据。以实现不同客户端终端顺利解码播放根据客户端终端网络状况,调整媒体数据的分辨率,帧率以适应不同的网络通信要求。输入&输出媒体数据接口转码服务软件通过多种多媒体国际标准网络协议接口从外部获取需要转码的媒体数据,将转码之后的媒体数据通过多种多媒体国际标准协议推送到外部标准编解码算法国际成熟的标准编解码算法可以适应不同的硬件平台方便嵌入式移植流媒体软件多媒体转发通信平台核心软件负责各类监控设备的实时视频、历史回放视频等的复制转发与接入控制实现不同的客户端可以随时随地调看前端多种不同设备多媒体数据实现单播复制转发,组播流转单播复制分发多样化私有协议&标准因特
14、网多媒体通信协议支持多媒体国际标准,灵活性和适应能力强,满足多媒体融合需求,方便对不同种类的客户端提供多媒体服务国际标准接口跨平台技术软件全部基于标准的C/C+语言编写,可以在不同的CPU平台上编译运行,可以非常容易的部署于各种高可靠性的嵌入式硬件设备中OAuth 2.0resource owner:资源所有者指终端的“用户”(user)resource server:资源服务器即服务提供商存放受保护资源client:客户端代表向受保护资源进行资源请求的第三方应用程序OAuth 2.0 的认证流程的认证流程authorization server:授权服务器在验证资源所有者并获得授权成功后,将
15、发放访问令牌给客户端硬 件 设 备 安 装 要 求考虑到南京交通控股集团监控中心机房的实际情况,现在有如下几点安装位置的注意事项及说明:单一机柜部署所有与数据上云相关的设备,需要安装在同一个机柜中设备安装顺序要求上云的设备从下而上分别是网络设备(电信光猫、路由器、交换机等)、视频接入网关设备等顺序安装网络接入要求视频接入网关设备需要接入南京交通控股集团监控中心的监控网,同时需要接入数据上云的电信宽带网络,以实现将南京交通控股集团监控中心的监控网段视频接入转码并推送至视频云平台设备安装间距要求设备的上下设备间距1U以上以保障设备及时散热,延迟设备使用寿命电源接入要求由于视频接入网关设备转码计算量
16、大,需要高功率的机房标准电源支持,以保障至少500W以上的视频接入网关设备的用电负荷硬 件 设 备 调 试 说 明本项目建设的视频接入设备不是自成体系的独立设备,是需要与上级控股信息中心的管控平台实现指令控制、状态推送等等,因此调试的工作主要为对接的工作,具体工作内容说明如下:视频接入网关设备的网络调试,网络需要同时联调阿里云以及南京市交通建设投资控股(集团)有限责任公司监控中心视频监控内网,通过配置静态路由方式进行多网络通信,最终实现视频数据上云的网络架构将该视频接入网关设备信息向控股信息中心的云控平台注册,以通知其设备上线,方便后续的摄像机列表推送、资源推送、状态推送以及控制指令的执行南京
17、市交通建设投资控股(集团)有限责任公司的外场道路监控视频的点位信息采集,包括监控点位的名称、GPS坐标、IP地址、端口号、用户名、密码、方向、线路号、英飞拓视频平台内的唯一标示等等信息将第三条采集到的道路监控点列表信息向控股信息中心云控平台推送注册,以达到视频图像资源共享最终实现视频数据上云接收来自控股信息中心指令信息按照视频上云的接口协议要求,进行相应的推送控制包括启动推流、停止推流、状态推送、指令认证、编码参数调整等等,最终实现视频数据上云12345网络安全设计上云的网络安全问题非法入侵访问数据泄露篡改漏洞攻击服务中断数据丢失病毒木马流量拦截网络安全策略高强度加密VPN链接内置防火墙加密密
18、钥URL以及密钥有效期限制服务内容访问权限认证加密密钥URL以及密钥有效期限制 项 目 实 施 配 合 要 求项目在建设与实施调试过程,需要南京交通控股集团提供以下配合工作:设备的机房机柜安装位置需要业主提供且指定地点进行设备的供电需要业主提供相应的电源接口设备的网络接入至南京交通控股集团监控中心视频监控内网,需要业主提供相应的网络接口(RJ45电口)与英飞拓视频平台及视频设备的对接,信息获取,需要业主提供相应的沟通支持现场调试与开发时,希望业主提供场所办公调试12345方案概算视频上云工程量概算清单(单位:万元)序号接入内容数量单价合价备注一、软、硬件费1软件开发13535安卓和IOS两个版本的APP、微信公众号、网页浏览的软件开发2视频上云硬件前置接入设备(定制设备)61484含视频压缩和推流上云软件费用3前端网路硬件接入路由器616三层交换机60.84.84小计94.8二、服务费(按年计算)1视频硬件服务费6318视频接入服务费6500.0213按650路图像计2前端网络电信50M宽带63183云上服务费视频接入6500.086456.164云上服务费视频观看14.74.7按200TB流量计及一台管理服务器5小计109.86总计总计204.66204.66方案费用概算THANKS