一种会议电视系统 【技术领域】
本发明涉及视频通讯技术,尤其涉及一种会议电视系统。
背景技术
一台视讯多点控制单元(MCU)的数据流一般分业务数据和维护数据。业务数据用于与其他MCU、终端的交互,以实现MCU的多点控制、信令交互等特定动能。而维护数据只对该设备起管理和维护的作用,对其他设备来说是不可用的。
由于设备基于TCP/IP协议栈的通信,一般都采用套接字(SOCKET,即IP地址与端口的绑定)的方式,因而网络上任何与该设备互联的其他设备,都可以没有任何地限制地向socket发起连接或者发送数据。这使得设备暴露于网络入侵者面前,难免会受到攻击。当前防止网络攻击的方式一般有以下几种:
(1)增加上层的身份认证,即采用认证协议,对接入的用户做身份认证,保证用户的合法性。
(2)添加特殊的设备以提高安全性,如防火墙等。
(3)设置访问控制列表(ACL)禁止非法IP地址、非法端口号的访问。
虽然上述三种防止攻击方法能提高设备的安全性,但存在以下缺点:
采用方法(1)不但增加了软件复杂性,而且入侵者仍然可以通过破译密码的方式实现攻击;采用方法(2)则需要添加昂贵的特殊设备;采用方法(3)则需要复杂的配置,而且IP地址欺骗也可以绕过访问控制列表。
另外,由于业务数据和维护数据均通过业务网络传输,增加了网络的流量,加重网络的负荷。
【发明内容】
本发明的目的在于提供一种会议电视系统,以解决现有技术中因设备的业务数据和维护数据通过业务网络传输而存在的安全问题。
实现本发明的技术方案:
一种会议电视系统,包括用于传输业务数据的业务网络,与该业务网络连接地多点控制单元(MCU)和终端;其中,还包括用于传输维护数据的维护网络,所述MCU具有维护网口和业务网口;该MCU通过维护网口与所述维护网络连接,通过业务网口与所述业务网络连接;所述MCU的业务数据和维护数据分别通过业务网络和维护网络传输。
所述维护网络还包括网管系统和业务中心。
所述维护网口和业务网口分别具有独立的IP地址和介质访问控制(MAC)地址。
采用本发明不再需要增加额外昂贵的特殊设备来实现网段的隔离,也不需要附加复杂的上层协议或者配置;通过网口功能的分离实现网络的隔离,既不增加额外的成本,也达到了提高安全性的目的;由于只有业务数据通过外部网络传输,也减少了外部网络的流量。
【附图说明】
图1为本发明的组网示意图;
图2为MCU内部数据处理示意图;
图3为MCU的维护网口由业务网口完成时的组网示意图。
【具体实施方式】
为了屏蔽维护数据(即使维护数据对外部网络不可见),避免被其他设备非法访问和管理,提高设备的安全性,本发明在多点控制单元(MCU)设备上设置双网口,一个为业务网口,一个为维护网口。业务网口传输业务数据,实现设备功能;维护网口传输维护数据,实现对设备的维护管理。
参阅图1所示,MCU具有维护网口和业务网口(或称信令网口),维护网口和业务网口有各自独立的IP地址和MAC地址,两个网口不在同一个IP网段。
MCU和H323终端接入业务网络(或称外部网络),MCU通过业务网口与业务网络连接。MCU的业务网口可采用公网IP地址与业务网络互联,该业务网络可以是任何的数字网络,如现有的ISDN、IP网络等,MCU之间以及MCU与终端之间的业务数据通过该业务网络传输。
MCU通过维护网口与业务中心和网管搭建维护网络(或称内部网络),维护网口采用私有IP地址,该网络只传输维护数据,而不传输业务数据,与外部网络没有任何地物理连接。外部的设备只能通过业务网口与MCU进行业务数据交互,而不能进行维护数据的交互。由于维护网口处于私网内,不与外部网络直接连接,因而从根本上隔绝了外部的未知设备,屏蔽了设备的维护和管理功能,提高了安全性。同时也减少了业务网络的数据流量,减轻了其负荷。
图2中说明了MediaCentre(MediaCentre一个MCU产品的名称)的内部处理。网管采用SNMP协议对MediaCentre的参数进行查询,监控以及设置。业务中心对MediaCentre进行管理并调度会议。维护数据在维护网口与网管、业务中心之间交互。
在实际的应用中,还可以根据具体的网络配置情况来确定启用还是不启用维护网口。如果不启用维护网口,则维护网口的所有功能都将由业务网口来完成,也就是说维护数据和业务数据一起都由业务网口来传输,不影响设备的功能,也不影响对设备的维护和管理,其典型组网如图3所示。