视频监控系统的权限控制方法和系统.pdf

视频监控系统的权限控制方法和系统
    【技术领域】

    本发明涉及控制技术，特别涉及一种视频监控系统的权限控制方法、以及一种视频监控系统的权限控制系统。

    背景技术

    现有基于IP网络的视频监控系统，主要包括视频监控摄像机、数字视频服务器(Digital Video Server，DVS)、数字视频录像机(Digital VideoRecorder，DVR)等前端设备，还包括用于实现视频传输的IP传输网络、用于实现设备统一管理和中心存储的网络视频监控平台、以及用于将视频数据显示在个人计算机(PC)或电视的客户端。

    然而，上述的现有基于IP网络的视频监控系统并未实现全IP化，尤其是该系统中的前端设备均为DVS、DVR等未通过IP网络连接的设备，因而存在以下问题：

    1、DVS、DVR等设备则需要通过模拟线缆与模拟视频摄像机相连，布线困难且设备维护成本高；

    2、模拟摄像机的视频清晰度制式逐行倒相(Phase Alternating Line，PAL)或国家电视系统委员会制式(National Television System Committee，NTSC)是上世纪六七十年代的标准，其规定的最高清晰度仅为(720×576)，阻碍了视频监控向高清视频的发展；

    3、DVS、DVR等设备需要基于自身的端口连接在视频系统中，而DVR、DVS等设备的端口众多，使得设备的配置较为复杂，并且很难实现自动发现和自动配置功能；

    4、DVS、DVR等设备使用硬件板卡制式，各厂商定制的功能差异大，需要针对不同厂商的设备制定不同的接入方式；

    5、DVS、DVR等设备无智能设备接入端口，阻碍了视频监控向智能化视频的发展。

    由上述问题可见，现有基于IP网络的视频监控系统并未实现全IP化，进而使得组网布线的难度较大、系统配置的通用性较差且实现较为复杂、同时还阻碍了视频监控向高清视频和智能化的发展。而且，现有基于IP网络的视频监控系统并未实现全IP化，还使得系统架构不清晰、不统一，且系统中的通信协议混乱、不规范，更是无法实现多个视频监控系统的多级多域互联互通，从而无法进行统一化管理和无限级联扩展。

    此外，现有基于IP网络的视频监控系统也未能实现高效的权限控制。

    【发明内容】

    有鉴于此，本发明提供了一种视频监控系统的权限控制方法、以及一种视频监控系统的权限控制系统，能够实现全IP化的视频监控、并提高权限控制的效率。

    本发明提供的一种视频监控系统的权限控制方法，所述视频监控系统包括：第一控制层设备、与所述第一控制层设备通过IP网络相连的第二控制层设备、与所述第一控制层设备通过所述IP网络相连的第一接入层设备和第一承载层设备、分别与所述第一接入层设备和第一承载层设备通过所述IP网络相连的前端设备、以及分别与所述第一接入层设备和第一承载层设备通过所述IP网络相连的客户端单元CE；

    该方法在所述第二控制层设备中设置多个角色、以及每个角色所关联的对应相应资源的权限，并分别为所述视频监控系统使用所述CE的各用户分配至少一个角色，且当任一用户通过所述CE登录至所述视频监控系统时，该方法包括：

    a、所述第一控制层设备从所述第二控制层设备中获取为登录的用户所分配的角色、以及该角色所关联的对应相应资源的权限；

    b、所述第一控制层设备将获取的权限赋予登录的该用户。

    该方法在所述步骤a之前进一步包括：在所述第二控制层设备中分别设置各用户所关联的对应相应资源的权限；

    所述步骤a进一步包括：所述第一控制层设备从所述第二控制层设备中获取登录的用户所关联的对应相应资源的权限；

    所述步骤b进一步包括：所述第一控制层设备将获取的登录的用户所关联的对应相应资源的权限中，与获取的角色所关联的权限未重叠地权限赋予该登录的用户。

    该方法在所述步骤a之前进一步将所述视频监控系统所有资源中的部分或全部资源分别划分为不同的资源组，

    且所述相应资源中包括至少一个资源组，则所述对应相应资源的权限包括：分别与所述相应资源中的任一资源组一一对应的至少一个权限。

    所述相应资源中包括未被划分为资源组至少一个资源，则所述对应相应资源的权限进一步包括：分别与所述相应资源中的任一资源一一对应的至少一个权限。

    该方法在所述步骤a之前进一步包括：所述第一控制层设备判断登录的用户是否为管理用户，如果是，则将对应所述视频监控系统所有资源的所有权限赋予登录的该用户、并结束本流程，否则执行所述步骤a。

    本发明提供的一种视频监控系统的权限控制系统，该系统包括：第一控制层设备、与所述第一控制层设备通过IP网络相连的第二控制层设备、与所述第一控制层设备通过所述IP网络相连的第一接入层设备和第一承载层设备、分别与所述第一接入层设备和第一承载层设备通过所述IP网络相连的前端设备、以及分别与所述第一接入层设备和第一承载层设备通过所述IP网络相连的客户端单元CE；

    所述第一接入层设备基于所述第一控制层设备的控制，将所述CE和所述前端设备接入至所述系统中、以及所述视频监控系统中的用户利用所述CE登陆；

    所述第一承载层设备基于所述第一控制层设备的控制，实现所述前端设备与所述CE之间的媒体流传输；

    所述第二控制层设备，用于记录预先设置多个角色、每个角色所关联的对应相应资源的权限，以及预先为所述视频监控系统的各用户分配的至少一个角色；

    且，第一控制层设备，还用于获取为登录的用户所分配的角色、以及该角色所关联的对应相应资源的权限，并将获取的权限赋予该用户。

    所述第二控制层设备进一步用于存储各用户所关联的对应相应资源的权限；

    所述第一控制层设备进一步用于获取登录的用户所关联的对应相应资源的权限，并将获取的登录的用户所关联的对应相应资源的权限中，与获取的角色所关联的权限未重叠的权限赋予该登录的用户。

    所述第二控制层设备进一步用于存储由所述视频监控系统所有资源中的部分或全部资源分别划分而成的不同资源组；

    且所述相应资源中包括至少一个资源组，则所述对应相应资源的权限包括：分别与所述相应资源中的任一资源组一一对应的至少一个权限。

    所述相应资源中包括未被划分为资源组至少一个资源，则所述对应相应资源的权限进一步包括：分别与所述相应资源中的任一资源一一对应的至少一个权限。

    所述第一控制层设备进一步用于在登录的用户为管理用户时，则将对应所述视频监控系统所有资源的所有权限赋予登录的该用户。

    由上述技术方案可见，本发明实现了全IP化的视频监控，且设置了多个角色、以及每个角色所关联的权限，因而，如果某角色所关联的权限与用户相符，则将该角色分配给该用户后，即可直接将获取的角色所关联的权限赋予该用户，而无需将与该用户相符的各权限一一与该用户关联后、再一一赋予该用户，从而提高了权限控制中权限设置和权限赋予的效率；而且，对于分配有同一角色的多个用户来说，如果均需要修改其相符的权限，则只需修改该角色所关联的权限即可，而无需一一修改每一个用户所关联的权限，从而简化了权限控制中权限维护的效率。

    进一步地，本发明中结合用户与权限直接关联的方案，从而使得权限控制的灵活性更高。

    【附图说明】

    图1为本发明中基于IP网络的视频监控系统逻辑层结构示意图；

    图2为本发明中基于IP网络的视频监控系统的系统架构示意图；

    图3为本发明中基于IP网络的视频监控系统的系统接口示意图；

    图4为本发明中基于IP网络的视频监控系统的单域组网结构示意图；

    图5为本发明中基于IP网络的视频监控系统中交互方法的一种流程示意图；

    图6为本发明中基于IP网络的视频监控系统中交互方法的另一种流程示意图；

    图7为本发明中视频监控系统承载的功能模块以及各种操作动作的示意图；

    图8为本发明实施例一中权限控制方法的示例性流程图；

    图9为本发明实施例一中权限控制系统的示例性结构图；

    图10为本发明实施例二中权限控制的模型示意图。

    【具体实施方式】

    为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明进一步详细说明。

    首先，对本发明中能够实现全IP化的视频监控系统进行总体说明。

    图1为本发明中基于IP网络的视频监控系统逻辑层结构示意图。如图1所示，在实施例中基于IP网络的视频监控系统中，可包含4个逻辑层：接入层101、承载层102、控制层103、以及业务层104。

    1)接入层101支持IP协议、传输控制协议(Transmission ControlProtocol，TCP)、用户数据报协议(User Datagram Protocol，UDP)和会话初始协议(Session Initiation Protocol，SIP)等传输控制协议，用于视频监控中的各种端点的接入。其中，端点可至少包括用户端点、媒体流端点，可选地还可以包含告警端点。

    2)承载层102，用于承载视频监控中的媒体流，包括媒体流的转发分发、媒体流的底层传输；可选地，承载层102还可以进一步用于媒体流的存储。

    对于承载层102的媒体流的转发分发，可由承载层102中在逻辑上划分出的媒体转发分发功能模块来实现。媒体转发分发功能模块可用于媒体流的复制、转发、分发、广播、组播和路由等功能。

    对于承载层102的媒体流的底层传输，可由承载层102中在逻辑上划分出的底层传输功能模块来实现。底层传输功能模块可用于控制信令和通知信令的传输。其中，控制信令和通知信令均可为SIP协议的信令，并可以使用TCP中的套接字(Socket)连接、且内容携带可扩展标记语言(eXtensibleMarkup Language，XML)格式的消息描述。其中，通知信令为可选的信令而非必需。

    当然，底层传输功能模块还用于实现媒体流的传输。具体来说，针对媒体流的传输，可采用系统中的各逻辑层设备所支持的媒体流格式，并选择使用H.264、动态图像专家组(Moving Pictures Experts Group，MPEG-4)、数字音视频编解码技术标准(Audio and Video Coding Standard，AVS)等协议对媒体流进行封装。

    对于承载层102的媒体流的存储，可由承载层102中在逻辑上划分出的媒体存储功能模块来实现。媒体存储功能模块可用于媒体流的接收、存储；该媒体存储功能模块可接入存储域网络(Storage Area Network，IP-SAN)、网络附属存储(Network Attached Storage，NAS)、直连方式存储(DirectAttached Storage，DAS)等IP存储设备；且，媒体存储功能模块还可以进一步用于存储计划管理、存储介质管理及录像回放服务等，例如，由用户根据时间、各逻辑层设备的特性、告警类型等制定存储计划，供媒体存储功能模块来执行。

    3)控制层103，用于视频监控系统的会话控制和音视频分发管理(Audioand Video Distribute Management，AVDM)；可选地，控制层103还可以至少进一步用于音视频存储管理(Audio and Video Storage Management，AVSM)、端点管理、权限管理等。

    对于控制层103的会话控制，可由控制层103中在逻辑上划分出的会话控制功能模块来实现。会话控制功能模块可用于本发明中基于IP网络的视频监控系统内所有业务的控制。且，本发明中的业务层104可通过SIP协议进行业务的建立、使用和取消操作，因而控制层103中的会话控制功能模块内部会针对该业务建立用来控制该业务的业务控制块、时间控制块和资源控制块等，并维护所建立的业务控制块、时间控制块和资源控制块等。

    对于控制层103的AVDM和AVSM，可分别由控制层103中在逻辑上划分出的AVDM功能模块和AVSM功能模块来实现。AVDM功能模块用于进行媒体流传输控制、控制信令和通知信令的控制、以及负载分担策略控制、语音视讯会议所需要的混音功能；AVSM功能模块用于对承载层102中的媒体存储功能模块的控制。

    对于控制层103的端点管理，可由控制层103中在逻辑上划分出的端点管理功能模块来实现。端点管理功能模块可用于对本发明中基于IP网络的视频监控系统内，所有接入的用户端点、媒体流端点、以及告警端点等各端点的设备进行管理，通过对上述设备的设备信息、以及记录于系统的用户信息的抽象化存储，通过对系统中的数据库的静态配置，通过网络管理单元进行各逻辑层设备的配置及属性管理，使本发明中基于IP网络的视频监控系统拥有全局统一管理和规划各逻辑层设备的能力。其中，上述设备信息可包括设备标识、设备属性等信息，而上述用户信息则可以包括用户标识、用户属性等信息；如上所述的系统中的数据库通常可以由各逻辑层共享使用，因而在本文中并未单独结合某一逻辑层进行说明。

    对于控制层103的权限管理，可由控制层103中在逻辑上划分出的权限管理功能模块来实现。权限管理功能模块可用于确定用户对实施例中基于IP网络的视频监控系统内的各种资源的使用权限。

    4)业务层104，至少用于实现本发明中基于IP网络的视频监控系统中基础业务、作为业务制定参考的智能分析等。

    对于业务层104中的基础业务，可由业务层104中在逻辑上划分出的基础业务功能模块来实现。基础业务功能模块可用于提供本发明中基于IP网络的视频监控系统的基本业务，例如实时监控、点播回放、云台控制、存储计划、接入控制、批量配置等。用户可通过接入层中的CE客户端使用基本业务。

    对于业务层104中的智能分析，可由业务层104中在逻辑上划分出的智能分析功能模块来实现。智能分析功能模块可用于提供本发明中基于IP网络的视频监控系统的智能业务，通过智能技术与上层应用的结合，满足用户对系统的需求。例如：物体追踪(Motion Tracking)、人脸识别(FacialDetection)、车辆识别(Vehicle Identification)、非法滞留(Object Persistence)、烟火检测(Fire Detection)、人流量统计(People Counting)、人群控制(FlowControl)、人体行为分析(Action Analyze)、交通流量控制(Traffic Flow)、高级视频移动侦测(Advanced VMD)、物品丢失或位移检测(MovingDetection)等。

    需要说明的是，业务层104中的各功能模块，主要是为了使得本发明中基于IP网络的视频监控系统能够以业务的方式提供视频监控功能、并能够进一步提供其他业务功能。当然，如果脱离业务而直接由承载层102在控制层103的控制下通过接入层101获取并分发媒体流，则也能够实现视频监控，因而业务层104对于本发明中基于IP网络的视频监控系统来说是可选的而非必需的。

    上述逻辑层结构中提及的各种功能模块，均可以由本领域技术人员通过计算机程序来实现，在此不再一一赘述。

    下面，基于上述的逻辑层结构，对本发明中基于IP网络的视频监控系统的系统架构进行详细说明。

    图2为本发明中基于IP网络的视频监控系统的系统架构示意图。如图2所示，在本发明中，基于IP网络的视频监控系统的系统架构包括对应接入层101的接入层设备、对应承载层102的承载层设备、对应控制层103的控制层设备。

    1)对应接入层101的接入层设备包括：对应用户端点的客户端单元(Client Element，CE)201、对应媒体流端点或告警端点的前端设备202、以及用于CE 201、前端设备202接入的呼叫控制功能(Call Control Function，CCF)服务器203。

    较佳地，CCF服务器203可提供SIP服务网关和安全接入网关。

    较佳地，CE 201可以具体分为客户端/服务器(Client/Serve，C/S)架构模式和浏览器/服务器(Browser/Server，B/S)架构模式两种，且CE 201可支持实时视频、点播回放、实时告警、告警联动、轮切计划、组切计划、群切计划、用户登录、权限管理、设备管理、批量配置、巡航轨迹、云台控制、透明通道、存储管理、存储计划、语音广播、语音对讲、录像下载、录像管理、组角色管理、设备划归、地理信息系统(Geographic Information System，GIS)等网络视频监控系统业务。

    较佳地，前端设备202可以是例如IP Camera、IP云台设备等媒体流信息提供设备，用于视频信息、音频信息、数据信息、智能分析信息及告警信息的采集和输出；可选地，前端设备202可通过例如模拟线路、嵌入等电连接方式与智能设备202’相连，或者也可以通过IP网络与智能设备202’相连，该智能设备202’同时还与CCF服务器203通过IP网络相连，以便于通过CCF服务器203接入至视频监控系统中；当然，对于包含可选的告警端点的系统来说，前端设备202还可以是例如门禁设备、红外设备、烟感设备、智能告警分析设备等安防领域设备。

    且，上述CE 201和前端设备202支持SIP协议扩展，支持实时传输协议(Real-time Transport Protocol，RTP)、实时传输控制协议(Real-timeTransport Control Protocol，RTCP)和实时流化协议(Real-time StreamingProtocol，RTSP)等媒体流传输控制协议。

    2)对应承载层102的承载层设备包括：音视频分发功能(Audio and VideoDistribute Function，AVDF)服务器204和可选的音视频存储功能(Audio andVideo Storage Function，AVSF)服务器205。如前所述的承载层102中的媒体转发分发功能模块承载于AVDF服务器204中；如前所述的承载层102中的媒体存储功能模块承载于AVSF服务器中205。

    3)对应控制层103的控制层设备包括：业务管理功能(Service ManagerFunction，SMF)服务器206和用户鉴权功能(User Authentication Function，UAF)服务器207。如前所述的控制层103中的会话控制功能模块和AVDM功能模块承载于SMF服务器206中；如前所述控制层103中的端点管理功能模块、权限管理功能模块，可以由SMF服务器206和UAF服务器207共同承载。

    仍参见图2，在本实施例中基于IP网络的视频监控系统中：

    CE 201、前端设备202分别与CCF服务器203通过IP网络相连，通过CCF服务器203接入至本实施例中基于IP网络的视频监控系统中；

    CCF服务器203与SMF服务器206通过IP网络相连，基于SMF服务器206的会话控制，实现CE 201、前端设备202的接入；

    CE 201、前端设备202分别与AVDF服务器204通过IP网络相连，通过AVDF服务器204传输媒体流；

    AVDF服务器204与SMF服务器206通过IP网络相连，基于SMF服务器206的会话控制，实现前端设备202与CE 201之间的媒体流传输相关处理。具体来说，AVDF服务器204用于来自前端设备与CE之间的媒体流接收、复制、转发、分发、路由、组播和广播等转发分发相关处理，实现CE 201与前端设备202的视频监控会话的视频监控，即实现对该前端设备202所在场景的视频监控；AVDF服务器204进一步用于控制信令和通知信令的传输等底层传输相关处理。

    AVSF服务器205与AVDF服务器204通过IP网络连接，还与AVDF服务器204之间建立如图9所示的媒体流传输接口连接414，即对应图8中所示的基于RTP、或RTCP、或RTSP协议的Ids接口310的连接，从而基于SMF服务器206的会话控制，通过IP网络实现前端设备202与CE 201之间经由AVDF服务器204传输的媒体流的存储相关处理；该媒体流传输接口连接414的建立方式可按照现有任一种逻辑接口连接的建立流程来实现，在此不再赘述。

    具体来说，AVSF服务器205用于接收、存储来自AVDF服务器204的媒体流，并进一步用于执行存储计划管理、存储介质管理及录像回放服务等处理。如前所述，AVSF服务器205为可选的承载层设备，因而如果不包含AVSF服务器205仅仅是无法存储媒体流、且无法实现基于存储的进一步功能而已，并不影响视频监控的实现。

    UAF服务器207通过IP网络与SMF服务器206相连，用于对通过已接入至系统中的CE 201登录的用户进行权限校验。

    对于新登陆至系统的用户来说，该用户利用通过CCF服务器203接入系统的CE 201申请登录，CCF服务器203将登录消息通过IP网络转发至归属的SMF服务器206，SMF服务器206将消息通过IP网络转发至UAF服务器207处，由UAF服务器207根据登录用户ID、校验码在数据库中获取该用户的权限集合，然后通过IP网络向SMF服务器206返回登录用户是否为已授权许可(Licence)用户的结果。

    SMF服务器206，用于实现上述的会话控制。实际应用中，一个SMF服务器206可连接多个CCF服务器203进行负载均衡控制；多个CCF服务器203可提供广泛范围的CE 201、前端设备202、或其它任何能够接入系统的设备的接入，且CCF服务器203可进一步作为网关支持广域网内的网络地址转换(Network Address Translation，NAT)网关。

    本文中所提及的“通过IP网络相连”，可以采用现有任意通过IP网络连接的具体方式，例如，各逻辑层设备可连接在IP网络中的同一台交换设备、或分别连接在IP网络中的不同交换设备，其它方式在此不再一一赘述。

    此外，对于如前所述可选的业务层104中的基础业务功能模块、智能分析功能模块等，则可以由在本实施例的系统中包括的所有接入层设备、所有承载层设备、所有控制层设备共同承载。

    图3为本发明实施例中基于IP网络的视频监控系统的系统接口示意图。如图3所示，在本实施例中如图2所示基于IP网络的视频监控系统架构中：

    CE 201与CCF服务器203之间采用Icc接口(Interface of CE and CCF)301，接口通信使用SIP协议；

    前端设备202与CCF服务器203之间采用Icn接口(Interface of CCF andNE)302a，接口通信使用SIP协议；需要说明的是，本文中各英文缩写所涉及的英文全称中的“NE”，在本文中仅表示前端设备202；

    与前端设备202电连接的智能设备202’，则与CCF服务器203之间采用Ici接口(Interface of CCF and Intelligent Device)302b，接口通信使用SIP协议；

    CCF服务器203与SMF服务器206之间采用Isc接口(Interface of SMFand CCF)303，接口通信使用SIP协议；

    AVDF服务器204与SMF服务器206之间采用Isd接口(Interface of SMFand AVDF)304，接口通信使用Socket协议；

    AVSF服务器205与SMF服务器206之间采用Iss接口(Interface of SMFand AVSF)305，接口通信使用Socket协议；

    UAF服务器207与SMF服务器206之间采用Isu接口(Interface of SMFand UAF)306，接口通信使用SIP协议；

    CE 201与AVDF服务器204之间采用Idc接口(Interface of AVDF andCE)308，接口通信使用RTP、或RTCP、或RTSP协议；

    前端设备202与AVDF服务器204之间采用Ind接口(Interface of NE andAVDF)309，接口通信使用RTP、或RTCP、或RTSP协议。

    图4为本发明实施例中基于IP网络的视频监控系统的单域组网结构示意图。如图4所示，在本实施例中基于IP网络的视频监控系统中，对于仅包含一个SMF服务器206的情况，称之为单域组网结构，该系统具体包括：CE 201、前端设备202、CCF服务器203、AVDF服务器204、AVSF服务器205、SMF服务器206、以及UAF服务器207。

    图5为本发明实施例中基于IP网络的视频监控系统中交互方法的一种流程示意图。如图5所示，本实施例中如图4所示的基于IP网络的视频监控系统中，CE 201、前端设备202、CCF服务器203、AVDF服务器204、SMF服务器206之间可以按照如下流程进行媒体流传输控制的交互：

    步骤501，CE 201通过IP网络向CCF服务器203发送获取媒体流的第一请求消息，例如名为“INVITE”的消息，表示请求获取任一前端设备202的媒体流；

    步骤502，CCF服务器203根据来自CE 201的第一请求消息，通过IP网络向CE 201返回例如名为“100”消息的第一响应消息、并保存该请求对应的会话(Session)；

    步骤503，CCF服务器203根据来自CE 201的第一请求消息，通过IP网络向SMF服务器206发送例如名为“INVITE”的消息等获取媒体流的第二请求消息，以将CE 201的请求转发至SMF服务器206；此处所述的第二请求消息可以是以透传方式直接转发的第一请求消息，也可以是由CCF服务器203另行生成的请求消息；

    步骤504，SMF服务器206根据来自CCF服务器203的获取媒体流的第二请求消息，通过IP网络向CCF服务器203返回第二响应消息；

    步骤505，SMF服务器206判断前端设备202是否已与AVDF服务器204建立了如图4所示的媒体流传输接口连接413；如果是，则直接执行步骤509，否则执行步骤506；

    步骤506，SMF服务器206通过IP网络并向前端设备202发送例如名为“INVITE”消息等表示申请端口的第五请求消息，以向前端设备202申请能够输出媒体流的端口；

    步骤507，前端设备202分配对应的端口，通过IP网络并向SMF服务器206返回例如名为“200OK”消息等表示端口已分配的第五响应消息；

    步骤508，SMF服务器206根据前端设备202在分配对应的端口后所返回的表示端口已分配的第五响应消息，通过IP网络并向前端设备202发送确认端口已分配的第三ACK，此后，前端设备202即通过IP网络与AVDF服务器204建立如图4所示的媒体流传输接口连接413；

    步骤509，SMF服务器206通过IP网络向CCF服务器203返回例如名为“200OK”的消息等表示可视频监控会话可建立的第三响应消息；

    步骤510，CCF服务器203根据来自SMF服务器206的第三响应消息，向CE 201返回例如名为“200OK”的消息等表示可视频监控会话可建立的第四响应消息；需要说明的是，此处所述的第四响应消息可以是以透传方式直接转发的第三响应消息，也可以是由CCF服务器203另行生成的响应消息；

    步骤511，CE 201根据来自CCF服务器203的第四响应消息，通过IP网络向CCF服务器203发送表示确认视频监控会话可建立的第一ACK；

    步骤512，CCF服务器203根据来自CE 201的表示确认视频监控会话可建立的第一ACK，通过IP网络向SMF服务器206发送表示确认视频监控会话可建立的第二ACK；需要说明的是，此处所述的第二ACK可以是以透传方式直接转发的第一ACK，也可以是由CCF服务器203另行生成的ACK；

    步骤513，SMF服务器206根据来自CCF服务器203的表示确认视频监控会话可建立的第二ACK，通过IP网络向AVDF服务器204发送开放媒体流端口的请求消息，例如PortOpenNotify请求消息；

    步骤514，AVDF服务器204根据来自SMF服务器206的开放媒体流端口的请求消息，通过其与对应前端设备202之间基于IP网络的媒体流传输接口连接413，开放该前端设备202能够输出媒体流的端口，并通过IP网络并向SMF服务器206返回例如名为“Response”消息的开放响应消息；

    步骤515，CE 201在AVDF服务器204开放了对应前端设备202能够输出媒体流的端口后，通过IP网络与AVDF服务器204建立如图4所示的媒体流传输接口连接411，并通过与AVDF服务器204之间基于IP网络的媒体流传输接口连接411、AVDF服务器204、以及AVDF服务器204与前端设备202之间基于IP网络的媒体流传输接口连接413，基于视频监控会话与前端设备202进行媒体流的交互。

    至此，本流程结束。

    上述流程中，步骤502、504均为可选的步骤，步骤503可以在步骤502之前或与步骤502同时执行，步骤505可以在步骤504之前或与步骤504同时执行；且对于前端设备202已通过与AVDF服务器204建立了媒体流传输接口连接413的情况，步骤505～508也为可选的步骤。

    图6为本发明实施例中基于IP网络的视频监控系统中交互方法的另一种流程示意图。如图6所示，基于本实施例中基于IP网络的视频监控系统、且在如图5所示的流程之后，本实施例中如图4所示的基于IP网络的视频监控系统中，CE 201、前端设备202、CCF服务器203、AVDF服务器204、SMF服务器206之间，还可以进一步按照如下流程实现媒体流传输控制的交互：

    步骤601，CE 201通过IP网络向CCF服务器203发送例如名为“BYE”消息的表示终止视频监控会话的第六请求消息，请求终止与前端设备202之间的视频监控会话；

    步骤602，CCF服务器203根据来自CE 201的第六请求消息，通过向SMF服务器206发送表示终止视频监控会话的第七请求消息，以将CE 201终止与前端设备202之间的视频监控会话的请求转发至SMF服务器206；需要说明的是，此处所述的第七请求消息可以是以透传方式直接转发的第六请求消息，也可以是CCF服务器203另行生成的请求消息；

    步骤603，SMF服务器206根据来自CCF服务器203的第七请求消息，通过IP网络向AVDF服务器204发送关闭媒体流端口的请求消息，例如PortCloseNotify请求消息；

    步骤604，AVDF服务器204根据来自SMF服务器206的开放媒体流端口的请求消息，通过其与对应前端设备202之间基于IP网络的媒体流传输接口连接413，关闭该前端设备202能够输出媒体流的端口，并通过IP网络向SMF服务器206返回例如名为“Response”消息的关闭响应消息；

    步骤605，SMF服务器206根据关闭响应消息终止CE 201与ASDF服务器204之间的媒体流传输接口411，并通过IP网络向CCF服务器203发送例如名为“200OK”消息等表示视频监控会话终止的第六响应消息；

    步骤606，CCF服务器203根据第六响应消息，通过IP网络向CE 201发送例如名为“200OK”消息等表示视频监控会话终止的第七响应消息，CE201在接收到第七响应消息后断开与AVDF服务器204之间基于IP网络的媒体流传输接口连接411，从而终止与前端设备202的视频监控会话；需要说明的示，上述第七响应消息可以是以透传方式直接转发的第六响应消息，也可以是由CCF服务器203另行生成的消息；

    步骤607，SMF服务器206判断当前终止的视频监控会话，是否为对应前端接口202的最后一个视频监控会话，如果是，则继续执行步骤608，否则结束本流程；

    步骤608，SMF服务器206通过IP网络并向前端设备发送例如名为“BYE”消息等撤销端口的第八请求消息，以向前端设备202撤销能够输出媒体流的端口；

    步骤609，当前端设备202在撤销对应的端口、并所返回的例如名为“200OK”消息等表示端口已撤销的第八响应消息后，前端设备202断开了通过IP网络与AVDF服务器204之间的媒体流传输接口连接413。

    至此，本流程结束。

    上述流程中，步骤605、606为可选的步骤，步骤607可在步骤605或步骤606之前执行，也可以与步骤605或步骤606同时执行；且，由于断开前端设备202与AVDF服务器204之间的媒体流传输接口413连接并非必需，因此，步骤607～609也为可选的步骤。

    可见，本发明中基于IP网络的视频监控系统中，CE、前端设备、以及各逻辑层设备之间的连接均通过IP网络来实现，从而实现了视频监控系统的全IP化。

    以上，是对本实施例中基于IP网络的视频监控系统的详细说明。

    在本实施例如图4所示的视频监控系统中，前端设备102和各逻辑层设备可统称为视频监控系统的资源。

    用户可通过CE 201登录至视频监控系统中，并利用对功能模块的操作动作即可控制相应资源。其中，用户可在CE 201显示的视频监控系统可视化界面中点击对应的按钮来发起上述操作动作；其中，操作动作至少包括：登录、鉴权、过滤、查询、增加、删除、修改、访问、下载、更新、启动、停止、回放、增加倍速、减少倍速、云台协议、协议下发、预置位、接收、联动等。如图4所示的基于IP网络的视频监控系统中，承载的功能模块以及各种操作动作的示意图可参见图7。

    实际应用中，登录的用户通常分为管理用户和普通用户，本文所述的“用户”是指利用CE 101登陆至系统的用户。管理用户负责对系统运行进行管理和维护、且还能够作为系统中各种业务功能的服务对象，而普通用户则主要作为系统中各种业务功能的服务对象，也就是说，应当控制普通用户利用对实现管理功能的各种功能模块的操作动作控制相应资源的权限。而且，即便是普通用户之间，也可能存在由实际应用场景所决定的不同用户级别，那么对应不同用户级别的普通用户，其利用对功能模块的操作动作所控制的资源、以及操作动作类型也应当是存在差异的。由此，就需要对视频监控系统的权限进行控制。

    本文如上所述的“利用对功能模块的操作动作来控制相应资源的权限”，在下文中简称为“对应相应资源的权限”，所述“相应资源”表示由用户所在应用场景决定的该用户能够控制的资源；权限可以包括多种，不同种类的权限可对应不同类型的操作动作，例如，启动权限对应“启动”这一操作动作，下载权限对应“下载”这一操作动作。

    在本实施例中如图4所示的基于IP网络的视频监控系统中，对于权限的控制可以采用如下的现有方式：

    如果是管理用户，则当该用户登录至视频监控系统时，SMF服务器206将对应视频监控系统所有资源的所有权限赋予登录的该用户；

    如果是普通用户，则在用户登录至视频监控系统之前，管理用户可利用接入至视频监控系统的CE 201，在UAF服务器207中分别设置各用户所关联的对应相应资源的权限，例如设置用户1关联对应资源1的权限1和权限2，设置用户2关联对应资源2的权限1，设置用户3对应资源1的权限3以及资源3的权限2，即权限设置；当任一用户登录至视频监控系统时，SMF服务器206从设置于UAF服务器207中的所有用户所关联的对应相应资源的权限中，一一查找并获取登录的该用户所关联的对应相应资源的权限，然后将查找并获取的权限一一赋予该用户，即权限赋予。

    可见，上述权限控制方式虽然能够实现对用户的权限控制，但是，对于普通用户来说，需要对每一用户均执行设置关联权限的操作，使得权限控制中的权限设置效率较低；当用户登录至视频监控系统时，需要一一查找并获取登录的该用户所关联的对应相应资源的权限，使得权限控制中的权限赋予效率较低；此外，在权限维护时，如果需要修改用户关联的权限时，即便多个用户关联的权限相同，也需要对这些用户所关联的权限一一修改，使得权限控制中的权限维护效率也较低。

    由此，本实施例基于如图4所示的视频监控系统，还进一步提供了一种视频监控系统的权限控制方法、以及一种视频监控系统的权限控制系统。

    实施例一

    图8为本发明实施例中权限控制方法的示例性流程图。如图8所示，本实施例中的权限控制方法包括：

    步骤800，在视频监控系统的UAF服务器中设置多个角色、以及每个角色所关联的对应相应资源的权限，并分别为所述视频监控系统的各用户分配至少一个角色。

    在本步骤中，“角色”实际上可以看作一个抽象的虚拟用户，其表示的是，具有对应相同资源的相同权限的一类用户。由此一来，对于具有对应相同资源的相同权限的多个用户来说，只需要设置一个角色、以及该角色所关联的对应相应资源的权限即可，且在维护时，只需要修改一个角色所关联的对应相应资源的权限。例如，假设用户1、用户2、用户3所在应用场景决定了这三个用户均应当能够基于操作动作a和操作动作b控制资源1和资源2，则在本步骤中即可设置一角色1、以及角色1所关联的对应资源1和资源2的权限a和权限b。

    本步骤可以是由管理用户利用接入至视频监控系统的CE执行的。

    此后，当任一用户登录至视频监控系统时，继续执行后续步骤。可选地，如果登录的用户是管理用户，则可以将对应视频监控系统所有资源的所有权限赋予登录的该用户、并结束本流程；否则，登录的用户是普通用户，则继续执行后续步骤。当然，无论是管理用户还是普通用户，也可以均继续执行后续步骤。用户是否为管理用户，可以由SMF服务器206按照现有方式来判断，在此不再赘述。

    步骤801，SMF服务器从UAF服务器中，获取为登录的用户所分配的角色、以及该角色所关联的对应相应资源的权限。

    步骤802，SMF服务器将获取的角色所关联的对应相应资源的权限赋予登录的该用户。

    在上述步骤801～802中，角色所关联的对应相应资源的权限，可以为对应一个相应资源的多种权限、或对应多个资源的一种权限、或对应多个相应资源的多种权限，而无论是哪一种情况，由于均与一个角色关联，因而可以一次获取并一次赋予用户。

    至此，本流程结束。

    由上述流程可见，在本实施例中，由于设置了多个角色、以及每个角色所关联的权限，因而，如果某角色所关联的权限与用户相符，则将该角色分配给该用户后，即可直接将获取的角色所关联的权限赋予该用户，而无需将与该用户相符的各权限一一与该用户关联后、再一一赋予该用户，从而提高了权限控制中权限设置和权限赋予的效率；而且，对于分配有同一角色的多个用户来说，如果均需要修改其相符的权限，则只需修改该角色所关联的权限即可，而无需一一修改每一个用户所关联的权限，从而简化了权限控制中权限维护的效率。

    此外，在本实施例中的上述流程中，执行步骤800的同时、之前或之后，可以进一步将视频监控系统所有资源中的部分或全部资源分别划分为不同的资源组，并将划分得到的资源组设置于UAF服务器中。这样，如果任一角色所涉及的相应资源中包括至少一个资源组，则UAF服务器中设置的该角色所关联的对应相应资源的权限，可以包括：分别与上述相应资源中的任一资源组一一对应的至少一个权限。也就是说，相应资源与权限可以以资源组的方式与权限对应。

    例如，假设用户1、用户2、用户3所在应用场景决定了这三个用户均应当能够基于操作动作a和操作动作b控制资源1和资源2，且资源1和资源2共同构成了资源组1，则为用户1、用户2、用户3分配的角色1，角色1与对应资源组1的权限a和对应资源组1的权限b关联。

    如此一来，即可进一步简化权限设置，从而进一步提高权限控制中权限设置的效率。

    当然，在本实施例中，相应资源与权限也可以以单个资源的方式与权限对应。这样，如果任一角色所涉及的相应资源中包括未被划分为资源组至少一个资源，则UAF服务器中设置的该角色所关联的对应相应资源的权限，可以进一步包括：分别与所述相应资源中的任一资源一一对应的至少一个权限。

    例如，假设用户1、用户2、用户3所在应用场景决定了这三个用户均应当能够基于操作动作a和操作动作b控制资源1和资源2，且资源1和资源2共同构成了资源组1，则为用户1、用户2、用户3分配的角色1，角色1与对应资源1的权限a、对应资源1的权限b、对应资源2的权限a、以及对应资源2的权限b关联。

    如此一来，对于某些不支持划分资源组的视频监控系统来说，仍可以采用本实施例中的技术方案，从而提高了本实施例中技术方案的通用性和兼容性。

    需要说明的是，上述流程中各步骤所涉及的设备主要是针对如图4所示的视频监控系统。那么对于结构不同于如图4所示视频监控系统的其他视频监控系统，本领域技术人员当然能够想到可能存在需要替换各步骤所涉及的设备的情况，在此不再针对各种视频监控系统对各步骤可能涉及的设备一一赘述。

    图9为本发明实施例一中权限控制系统的示例性结构图。如图9所示，本实施例中的权限控制系统可由例如图4中所示视频监控系统中的部分逻辑层设备构成，具体包括：CCF服务器203、SMF服务器206、UAF服务器207。

    UAF服务器207，用于记录预先设置多个角色、每个角色所关联的对应相应资源的权限，以及预先为所述视频监控系统的各用户分配的至少一个角色；此处所述的“角色”与如图3所示流程中所述的基本相同，在此不再赘述；

    CCF服务器203，用于视频监控系统中的用户通过接入至该视频监控系统的CE(图中未示出)登录；

    SMF服务器206，用于获取为登录的用户所分配的角色、以及该角色所关联的对应相应资源的权限，并将获取的权限赋予该用户。其中，角色所关联的对应相应资源的权限，可以为对应一个相应资源的多种权限、或对应多个资源的一种权限、或对应多个相应资源的多种权限，而无论是哪一种情况，由于均与一个角色关联，因而可以一次获取并一次赋予用户。

    实际应用中，SMF服务器206还可以进一步用于在登录的用户为管理用户时，则将对应所述视频监控系统所有资源的所有权限赋予登录的该用户，而无需获取为该管理用户分配的角色；当然，如果为管理用户所分配的角色与所有资源的所有权限均关联，则SMF服务器206对于管理用户也可以采用上述处理方式。

    本实施例中的上述权限控制系统，可由如图4所示的视频监控系统中的上述逻辑层设备来实现，但需要改进上述网元设备中原有的功能模块、或增加新的功能模块，以使得这些网元设备相比于原视频监控系统的功能，能够进一步实现权限控制系统。其中，功能模块的改进或增加可以由本领域技术人员利用计算机程序来实现，在此不再赘述。

    由上述系统可见，在本实施例中，由于设置了多个角色、以及每个角色所关联的权限，因而，如果某角色所关联的权限与用户相符，则将该角色分配给该用户后，即可直接将获取的角色所关联的权限赋予该用户，而无需将与该用户相符的各权限一一与该用户关联后、再一一赋予该用户，从而提高了权限控制中权限设置和权限赋予的效率；而且，对于分配有同一角色的多个用户来说，如果均需要修改其相符的权限，则只需修改该角色所关联的权限即可，而无需一一修改每一个用户所关联的权限，从而简化了权限控制中权限维护的效率。

    此外，在本实施例中，视频监控系统所有资源中的部分或全部资源可以被进一步划分为不同的资源组。这样，对于如图9所示的权限控制系统来说，其UAF服务器207可以进一步用于存储由如图4所示视频监控系统所有资源中的部分或全部资源分别划分而成的不同资源组，相应地，如果任一角色所涉及的相应资源中包括至少一个资源组，则UAF服务器207中存储的该角色所关联的对应相应资源的权限，可以包括：分别与上述相应资源中的任一资源组一一对应的至少一个权限。也就是说，相应资源与权限可以以资源组的方式与权限对应。

    当然，在本实施例中，相应资源与权限也可以以单个资源的方式与权限对应。这样，如果相应资源中包括未被划分为资源组至少一个资源，则UAF服务器207中存储的该对应相应资源的权限可以进一步包括：分别与所述相应资源中的任一资源一一对应的至少一个权限。

    需要说明的是，本实施例中的上述权限控制系统中所涉及的设备，主要是针对如图4所示的视频监控系统。那么对于结构不同于如图4所示视频监控系统的其他视频监控系统，本领域技术人员当然能够想到可能存在需要替换网元设备的情况，在此不再针对各种视频监控系统对本实施例中的权限控制系统可能涉及的设备一一赘述。

    实施例二

    本实施例相比于实施例一，进一步结合了用户与对应相应资源的权限直接关联的方案，以便于提高权限控制的灵活性。

    图10为本发明实施例二中权限控制的模型示意图。如图10所示，在本实施例中，不但设置有角色、以及角色相关联的对应相应资源的权限，还设置有用户相关联的分别与资源组一一对应的权限、以及用户相关联的分别与相应资源一一对应的权限。这样，当用户登录至视频监控系统时，可以获取为用户分配的角色、以及该角色所关联的对应相应资源的权限，如果该用户还与分别与资源组一一对应的权限关联、和/或与分别与资源一一对应的权限关联，则还可以进一步同时获取该用户所关联的分别与资源组一一对应的权限、和/或分别与资源一一对应的权限，即同时获取该用户所关联的相应资源的权限。

    例如，假设用户1、用户2、用户3所在应用场景决定了用户1应当能够基于操作动作a和操作动作b控制资源1、资源2和资源组3，用户2和用户3应当能够基于操作动作a控制资源1、资源2和资源组3。其中，资源1和资源2共同构成了资源组1。这样，为用户1、用户2、用户3分配的角色1，角色1与对应资源组1的权限a、对应资源3的权限a关联，同时，还进一步将用户1与对应资源组1的权限b、对应资源3的权限b关联。

    如此一来，可以对多个用户的相应资源取交集得到相应资源交集，并对这多个用户对相应资源交集能够执行的操作动作、即对应相应资源交集的权限在取交集，得到权限交集；然后依据相应资源交集和权限交集建立一个角色并分配给这多个用户，同时，将对应相应交集之外的各资源的权限交集之外的各权限，分别与对应的用户关联。

    可见，结合了用户与对应相应资源的权限直接关联的方案，能够提高权限控制的灵活性。

    具体来说，本实施例中的权限控制方法与实施例一中如图8所示的基本相同，但是：

    需要在步骤801中进一步获取登录的用户所关联的对应相应资源的权限；

    且，需要在步骤802中进一步将获取的登录的用户所关联的对应相应资源的权限中，与获取的角色所关联的权限未重叠的权限赋予该登录的用户，即假设登录的用户1分配有角色1，而角色1与对应资源1的权限a、对应资源2的权限b关联，且该用户1还与对应资源1的权限a、对应资源3的权限a相关联，则在步骤302中，除了将角色1所关联的对应资源1的权限a、对应资源2的权限b赋予用户1，还应当将用户1所关联的对应资源3的权限a也赋予用户1，而对于用户1所关联的对应资源1的权限a，由于已与角色1关联，因而不再重复赋予以避免实际应用中的运行出错。

    本实施例中的权限控制系统与实施例一中如图9所示的结构基本相同，但是：

    UAF服务器207、或其它视频监控系统中对应的可替换的对应控制层设备，需要进一步用于存储各用户所关联的对应相应资源的权限；

    且，SMF服务器206、或其它视频监控系统中对应的可替换的对应控制层设备，需要进一步用于获取登录的用户所关联的对应相应资源的权限，并将获取的登录的用户所关联的对应相应资源的权限中，与获取的角色所关联的权限未重叠的权限赋予该登录的用户。

    需要说明的是，在本实施例中，相应资源与权限可以按照实施例一中相同的方式，以资源组的方式与权限对应、和/或以单个资源的方式与权限对应，在此不再赘述。

    可见，本实施例不但能够产生实施例一所具有的有益效果，进一步地，本实施例由于结合了用户与权限直接关联的方案，从而使得权限控制的灵活性更高。

    以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应包含在本发明的保护范围之内。