全球眼视频监控系统架构设计.kdh

－６８－
一、前言
二、系统体系架构全球眼网络视频监控业务是由中国电信推出的一项完全基于宽带网的包含图像远程监控、传输、存储和管理的增值业务。

该业务系统利用中国电信无处不达的宽带网络，将分散、独立的图像采集点进行联网，实现跨区域、全国范围内的统一监控、统一存储、统一管理、资源共享，为各行业的管理决策者提供一种全新、直观、扩大视觉和听觉范围的管理工具，提高其工作绩效。

同时，通过二次应用开发，为各行业的资源再利用提供手段。

网络视频监控的业务类型主要有如下三种类型：用于安防的数字图像监控、用于业务的视频监控和用于关注点和娱乐的实况点播。

这样，网络视频监控的客户对象将定位在大众、企业用户、行业用户以及政府职能部门之间。

全球眼作为一个公众网络监控系统，在设计上要充分考虑其高可靠性、可用性、可伸缩性、可维护性、可管理性、可运营性和高安全性，做到系统运行稳定，扩容升级方便，业务开展灵活。

该系统不仅能够拉动中国电信宽度接入业务，而且通过提供监控增值业务，发现了全新的业务增长点。

全球眼系统是一可运营的公众网络监控平台，业务承载于公众互连网。

借助于网络接入，用户通过该
平台可以随时随地监控授权的区域，使用平台提供的网络视频监控业务。

前端提供网络摄像机、数字视频服务器（ＤＶＳ）、各种报警控制器、灯光控制器等的接入，使用户可以远程实时获取各种“现场”信息，提高工作效率。

同时，系统充分考虑实际需求，提供强大的实时媒体转发服务，使多点可以同时观看同一或者不同的视频。

对于关键的媒体数据，系统提供分布式及集中式两种存储功能，将历史数据进行保存，使用户在需要时可以回放感兴趣的数据。

系统主要功能可以归结为：网络化监控、数字化存贮、远程图像实时调度、多对多实时监控、多对多历史回放、集中管理控制、灵活的计费方式、可区分服务以及可控业务管理。

根据总体的设计原则及设计目标，系统采用层次化的设计思想，主体框架基于Ｃ／Ｓ体系构架，同时提供Ｂ／Ｓ摸式的用户Ｗｅｂ接入。

将系统分为四层如图１所示，由上及下分别为：业务支撑层（ＢＳＳ）、运营支撑层（ＯＳＳ）、交换层、接入层。

部分服务采用集群技术平滑扩容，同时起到负载均衡及Ｎ＋１热备的作用。

将系统体系结构框图用网络分层图表示如下，从该图中可以看到系统的网络层次结构情况，ＢＳＳ层主要承载于电信内部ＤＣＮ网上，ＯＳＳ层及交换层主要运行于中国电信的公众宽带网上（ＣｈｉｎａＮｅｔ），用户及设备主要通过电信宽带接入，或直接处于公网上，或处于ＮＡＴ后面，或通过Ｐｒｏｘｙ接入。

１、系统设计
２、系统主要功能
３、系统总体结构
全球眼视频监控系统架构设计
张怡群
（浙江公众信息产业有限公司视讯科技事业部，杭州，３１０００３）【摘
要】【关键词】电信级全球眼网络视频监控系统采用清晰的层次化体系架构，将逻
辑和业务彻底分离，同时具有完整的数据接口，能够与电信９７系统，计费系统很好的衔接，能够根据前端设备和用户数的增加平滑的升级，是一个安全的、可伸缩的、方便升级的架构。

电信级
视频监控
层次化
－６９－
从功能及体系构架上分，该系统的三个核心层有如下功能：
ＢＳＳ层（业务支撑）：
主要实现业务管理服务（ＢＭＳ），营帐管理服务（ＢＡＭＳ），服务商管理服务（ＳＰＭＳ），客服系统服务（ＣＳＳＳ），运营维护服务（ＯＭＳ）。

ＢＳＳ层使用对象为平台运营商，运营商借助该层提供的服务，可以定制新业务的资费、营销策略，并可以对第三方服务提供商进行跟踪管理，该层与中国电信原有的９７系统进行对接，可以做到统一业务前台，统一客服（１００００号客服系统），统一运维，对业务开展进行全方位的管理、跟踪、监控。

全球眼ＢＳＳ系统面向电信业务管理人员，提供局方对全球眼业务的受理和管理功能，主要功能包括：业务处理、业务数据管理、报表管理和系统接口管理。

全球眼ＢＳＳ系统包含７个功能模块：业务受理、帐务管理、客户管理、维护管理、报表管理、产品管理和系统管理。

系统分为五层，即客户层、接入层、逻辑处理层、资源集成层、接口层。

如图２所示。

全球眼业务受理平台将受理数据或查询信息，通过９７接口送往９７业务系统，相关信息再通过９７接口返回业务受理系统。

数据库链接方式：采用数据库表方式，由全球眼业务受理系统将受理信息插入接口表，９７端定时从接口表中取出数据进行９７内部定单流转。

如图３所示：
数据链接适用于各系统网络连通，并且各系统的数据库都采用同一类型的情况。

这种方式通过数据库提供的功能在后台自动定时完成数据接口。

同时通过前端的监控管理工具完成对接口运行情况的管理。

ＯＳＳ层（运营支撑）：
主要实现前端设备管理服务（ＦＤＭＳ），用户应用服务（ＵＡＳ），Ｗｅｂ服务（ＷＳ），媒体调度服务（ＭＳＳ），网络管理服务（ＮＭＳ），ＡＡＡ服务（ＡＡＡ），数据服务（ＤＢＭＳ）。

ＦＤＭＳ集中管理各种类型的前端设备，为前端设备接入“全球眼”系统的入口点。

ＦＤＭＳ为用户与前端设备交互的重要部分，与ＵＡＳ配合完成用户对前端设备的实时监控。

ＵＡＳ子系统维护所有本域用户的交互，负责父域和子域的级联，负责本域内其他相关资源包括ＦＤＭＳ、ＡＡＡ和ＭＳＳ的交互、调度和控制。

Ｗｅｂ服务提供用户浏览器方式的接入，方便用户的使用。

Ｗｅｂ服务提供普通ＵＡ的功能，用户可以查看前端设备信息，查看前端的视频流，回放历史录像，远程控制前端设备等。

媒体调度服务器主要功能包括：向ＵＡＳ提交服务注册，并维持心跳连接，管理交换层设备（ＲＴＭＤＳ、ＣＳＳ、ＳＭＳ、ＦＴＳ），响应ＵＡＳ媒体请求，调度交换层服务，配合各交换层设备进行集群。

ＡＡＡ服务器主要负责整个系统的认证（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ）、鉴权（Ａｕｔｈｏｒｉｚａｔｉｏｎ）和计费（Ａｃｃｏｕｎｔｉｎｇ）。

对于来自ＵＡＳ的认证和鉴权请求，
ＡＡＡ查询数据库，然后向ＵＡＳ应答接受或拒绝消息，拒绝时指明拒绝原因；对于计费请求，ＡＡＡ把计费信息插入到数据库中。

数据服务提供对支持系统运行的数据内容的访问。

数据服务不仅屏蔽数据库系统（ＤＢＭＳ）的实现，还负责向业务服务层提供访问数据库系统的接口，使得业务服务层以一种统一的方式和数据库进行交互。

９７／计费接口表
全球眼业务受理
归档
９７／计费系统
定时提取（附以触发提取）
相关返回信息
图３与电信９７系统接口关系图
图１系统四层架构图
业务受理，客户服务
综合业务管理前台
网络球机
ＷＥＢ服务
监控设备管理
流媒体服务
数据服务
媒体调度用户应用服务
实时媒体转发服务
安全管理ＡＡＡ
存储管理
网络管理
ＤＶＳ（＋Ｒ）
报警器
交换层
接入层
ＢＳＳ层业务支撑平台
ＢＳＳ层运营支撑平台
图２软件体系结构示意图
客户层
接入层
逻辑处理层
资源集成层
接口层
外系统
全球眼网管系统实现的监控内容有：服务器监控、应用服务监控、网络设备监控、数据库监控、前端设备（编码器）监控、用户端监控和环境电源监控等内容。

数据交换层：
综合媒体服务主要由三个子系统组成：流媒体服务（ＳＭＳ），中心存储服务（ＣＳＳ），文件传输服务（ＦＴＳ），主要功能包括：提供媒体数据的中心存储，提供历史媒体数据的点播回放，提供历史媒体数据的下载。

ＢＳＳ层主要的操作对象为数据库，借助数据库与ＯＳＳ层通讯。

基本的数据模型为，一个开户实体称为一个客户（如一个企业）。

客户可由其ＩＤ唯一标识，客户可拥有多个角色用户组，其中一个必须为ａｄｍｉｎｉ－ｓｔｒａｔｏｒ组，每个用户组可以指定多个用户。

每个用户具有唯一的用户名及ＩＤ，用于唯一的标识该用户，用户可以同时属于不同的组。

角色组拥有对前端设备的不同权限组合，如可看、可控、可授权等。

只有超级用户组用户可以新建用户组及用户，更改用户属性等用户管理操作。

某客户的超级管理员可以将其所拥有的前端设备的部分或者全部权限授权给其他客户的超级管理员，这里指的其他客户也可能在不同的域内。

综上，数据库要处理的信息主要有三类：用户、设备、权限。

如图４所示。

客户到业务受理前台开户，系统为其生成一客户号。

系统为其提供初始超级用户的用户名及密码。

该客户的其他组信息以及其他用户信息由客户通过初始超级用户自行分配、管理。

根据客户的要求，如果客户所申请的前端设备所在地域同属于开户域，那么系统为其超级用户开放对应前端设备的权限，同时将该客户的用户权限信息及有关前端设备的详细信息如型号、生产厂商、设备出厂编号、设备接入认证信息等
记录到本域数据库。

如果客户申请的前端设备所在地涉及其他域，则设备详细信息以及设备的权限信息存入设备就近的接入域。

开户域保存客户的用户权限信息。

权限信息的简化模型描述为：用户拥有某前端设备的某种权限。

客户开户完成，前端设备安装实施到位后，客户即可使用该业务。

前端设备启动后主动向对应的前端设备管理服务器注册。

前端设备管理服务器可以手动指定，或者采用设备默认。

各域间树状级联可以保证信令方便的路由到对应的服务域。

如图５所示，ＦＤＭＳ．Ｃｏｍ域的前端设备管理服务器收到来自ＦＤ．ｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ设备的注册请求，ＦＤＭＳ．ｃｏｍ域根据设备的ＩＤ找到到达其所属域的路径，返回ｚｊ．ＦＤＭＳ．ｃｏｍ域的ＦＤＭＳ地址给该前端设备；该设备重新向ｚｊ．ＦＤＭＳ．ｃｏｍ注册，ｚｊ．ＦＤＭＳ．ｃｏｍ返回ｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ地址；设备再次向ｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ发起注册请求，ｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ发现该设备属于其管辖域，这次，该请求真正被处理。

如果设备开通时手动配置到ｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ域，即可省略以上过程，或者，设备首次开通时，均向默认的服务器注册，等得到所属域的地址后将其保持，下次注册可直接向对应的域发起。

这样可以实现设备开通的自动化，减少出错概率。

这种接入方式要求子域的ＦＤＭＳ主动向父域的ＦＤＭＳ注册，这样，域之间的级联实现除要求ＵＡＳ间通讯外，还需ＦＤＭＳ间进行通讯。

另外一种方式可以由ＦＤＭＳ向所在域的ＵＡＳ发起查询请求，请求设备对应登陆域的ＦＤＭＳ地址，查询操作在ＵＡＳ间传递，因为ＵＡＳ知道本域的ＦＤＭＳ的地址，所以查询一定会成功。

流程如图６所示，这种方式省去了ＦＤＭＳ间的级联，优先考虑采用。

前端设备ＦＤ登录验证成功后，ＦＤＭＳ通过心跳保持
三、数据组织模型
四、设备及用户接入
－７０－
ＦＤＭＳ．ｃｏｍ
ｂｊ．ＦＤＭＳ．ｃｏｍ
ｚｊ．ＦＤＭＳ．ｃｏｍｈｚ．ｚｊ．ＦＤＭＳ．ｃｏｍｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ
ＦＤ．ｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ
１
２
３
图５设备用户接入方式１
客户信息客户ＩＤ基本信息计费信息认证信息日志信息限制信息客户类别角色管理超级用户组ＩＤ用户列表普通用户组
ＩＤ用户列表权限信息
操作员组ＩＤ用户列表权限信息客户ＩＤ域号：流水号
用户ＩＤ客户ＩＤ：流水号用户名采用Ｅｍａｉｌ地址
客户
设备标识
设备所属域号：设备类别：
编号用户ＩＤ
用户名密码所属组别
前端设备列表
用户列表
图４数据库处理信息对象
－７１－
与其建立的ＴＣＰ连接。

如果连接断线，ＦＤ应主动重连。

通过此信令通道，ＦＤ在有报警信息或者有本地操作时上报ＦＤＭＳ，同时周期性上报其工作状态，ＦＤＭＳ在内存中维护当前接入ＦＤ的状态信息以及客户端ＵＡ在线情况。

通过此信令通道ＦＤＭＳ可以控制ＦＤ动作。

客户端ＵＡ的登陆过程同ＦＤ类似，ＵＡ对应的接入服务器为用户应用服务器（ＵＡＳ）。

ＵＡ与ＵＡＳ之间同样保持ＴＣＰ长连接。

ＵＡ的所有信令请求均由ＵＡＳ处理。

ＵＡ登陆成功后就可向ＵＡＳ发起诸如请求ＦＤ列表、观看视频、云镜控制、布防／撤防、刷新报警状态等请求。

关键业务流程主要包括用户的登陆、设备的注册、请求服务列表、监控请求、回放请求等（为方便起见，不考虑集群情况），如图７所示。

在用户登录流程中，首先客户端ＵＡ与用户应用服务器ＵＡＳ之间建立基于ＳＳＬ的ＴＣＰ连接，客户端向应用服务器发起登陆请求，此时应用服务器返回一随机数，接着客户端将用户名、密码及获取的随机数做单向散列ＭＤ５，并将用户名及ＭＤ５值发向应用服务器，应用服务器将该请求及对应的随机数转发给ＡＡＡ服务器，ＡＡＡ服务器通过读取数据库，并采用同样的方式对请求进行验证，ＡＡＡ验证完成后，将结果回复应用服务器，假设验证通过，应用服务器应答客户端，保持两者之间的ＴＣＰ连接，假如验证失败，应用服务器主动关闭该连接。

在设备注册流程中，前端设备ＦＤ主动建立与ＦＤＭＳ之间的ＴＣＰ连接，ＦＤ计算由其ＩＤ、约定私钥、当前时间戳组成的字符串的ＭＤ５值，并将此ＭＤ５值以及所用时戳、ＩＤ值发向ＦＤＭＳ，请求注册，ＦＤＭＳ将验证的结果返回，若成功，则保持两者之间的ＴＣＰ连接，否则关闭此连接，结束此次注册事务。

请求服务列表流程中，假定客户端已经登录到应用服务器，客户端发起服务列表请求，应用服务器查询数据库，向客户端返回该用户的服务列表。

性能指标：
全球眼视频监控系统采用ＳＰＳ／ＭＰＥＧ４／ｈ．２６４视频压缩标准，视频帧率在１－３０ｆｐｓ间可调，视频分辨率可以为ＣＩＦ／２ＣＩＦ／４ＣＩＦ／Ｄ１。

同时音频压缩标准采用Ｇ．７１１／Ｇ．７２３．１／Ｇ．７２２．１，并采用ＳＳＬ技术保证了信令安全，而且引入ＤＲＭ技术保证媒体数据的安全。

单服务器实时媒体转发：并发７６８路一路码流５１２ｋｂｐｓ，单服务器流媒体点播：并发５１２路一路码流５１２ｋｂｐｓ，实时媒体转发时延＜０．５ｓ，点播响应时延＜２ｓ，单服务器用户接入为并发４０９６路，单服务器监控设备接入数为并发４０９６路，最大允许注册用户１００万（可调），远端录像最长保留时间为３个月，可点播的录像最近时间为０．５小时前，单一客户允许并发用户数可控，各服务均可集群平滑扩容。

系统特色：
在编码算法上全球眼系统采用Ｈ．２６４及专有ＳＰＳ视频压缩算法，低带宽占用，高视频质量，并支持分层编码。

在ＩＯ控制上支持多种报警设备，灯光控制，开关量监控。

系统提供透明通道，支持对用户业务的透明传输。

终端设备登录时需身份验证，且可选双向语音控制，现场调度指挥。

系统具有丰富的设备支持特性，区域化管理，可提供多模业务。

流媒体点播支持边下载边播放，回放响应迅速，自适应调整回放带宽，运用智能流传输技术，自动负荷分担，回放热点智能摾┤輸，可提供最近半小时前的监控回放，提供ＣＰ开发接口，可发展其他内容提供商，开展新的增值业务。

实时媒体转发方面采用基于ＩＰ层路由模式的高效转发，以及线程池及内存池优化技术，达到低时延，高网络可用性的效果。

同时还采用了智能感知客户端网络接入方式，优先采用ＵＤＰ转发。

在数据存储方面可以采取前端分布式存储，也可以采取中心集中存储，存储容量可控，并且支持多种存储模式（如
五、关键业务流程
六、设计性能指标与系统特色ＦＤＭＳ．ｃｏｍｂｊ．ＦＤＭＳ．ｃｏｍ
ｚｊ．ＦＤＭＳ．ｃｏｍ
ｈｚ．ｚｊ．ＦＤＭＳ．ｃｏｍｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ
ＦＤ．ｎｂ．ｚｊ．ＦＤＭＳ．ｃｏｍ
１
ＵＡＳ．ｃｏｍ
ｂｊ．ＵＡＳ．ｃｏｍ
ｚｊ．ＵＡＳ．ｃｏｍ
ｎｂ．ｚｊ．ＵＡＳ．ｃｏｍｈｚ．ｚｊ．ＵＡＳ．ｃｏｍ
２
３
图６设备用户接入方式２
注册登陆设置状态监控请求控制请求回放请求其他请求
用户驱动级联管理本域管理
认证鉴权计费
ＵＡＵＡＳＡＡＡＤＢＭＳ１
２３４５６７
８
图７关键业务流程图
ＤＡＳ、ＮＡＳ和ＳＡＮ）。

稳定性方面采取关键服务１＋１热备，以及负载均衡，心跳维护，故障自恢复。

媒体调度服务器实现了交换层Ｎ＋１热备及负载均衡，并采用配置服务器，实现监控接入服务器及用户应用服务器的Ｎ＋１热备及负载均衡。

安全性方面而言，信令采用ＳＳＬ，媒体数据采用ＤＲＭ，终端、客户端有身份认证，具有完备的权限管理。

兼容性方面提供二次开发包，开放第三方接口，监控接入服务器，规范兼容前端接入设备。

其他还具有可集群式平滑扩容；可分区的灵活业务管理，高度可定制的资费策略；提供运维服务、网管服务、用户自服务和完备系统日志；完备的ＮＡＴ／ＦＷ媒体流穿透技术；高效的认证，完善的权限管理机制；多元化用户管理，平台开户，用户自定义，并支持分区、分组的用户管理；提供Ｗｅｂ方式用户接入，方便移动用户访问；录像文件采用标准的文件格式，可使用ＭｅｄｉａＰｌａｙｅｒ或ＲｅａｌＰｌａｙｅｒ播放等特性。

视频监控系统经历了模拟信号监控系统、数字监控系统、网络视频监控系统等三个发展阶段。

网络视频监控的优点是克服了传统监控的局限性，网络视频可以在计算机网络（局域网或广域网）上传输图像数据，基本上不受距离限制，信号不易受干扰，可大幅度提高图像品质和稳定性；数字视频可利用计算机网络联网，网络带宽可复用，无须重复布线；经过压缩的视频数据可存储在磁盘阵列中，查询十分简便快捷。

随着“平安城市”、“数字环保”、“数字水利”的口号越来越响亮，网络监控已经成为整个社会不可获缺的现代化技术手段，它渗透到全国各个行业领域中，包括公安、环保、水利、商检、教育、金融、连锁企业等。

目前国内的网络视频监控系统大多数针对中小企业，而面临着监控点数量的增多、分布越来越广的需求，原有的小型网络监控系统已经不能满足日益增长的监控需求。

本文详细阐述了如何建设一个高安全、高稳定、高可靠、高统一、高兼容性的满足电信可运营级别的网络视频监控平台。

该系统在设计上专门针对电信运营商级别，并充分保证公安、银行等行业的安全性，并且在设计上符合中国电信视频监控系统技术规范２．０标准。

七、总结【参考文献】
［１］ＤＢ３３／Ｔ５０２－２００４《浙江省社会治安动态视频
监控系统技术规范》
［２］Ｑ／ＧＡＴ００２２００６《基于公共运营商的社会治安
动态视频监控系统技术规范》
［３］ＧＢ５０１９８－９４《民用闭路监视电视系统工程技
术规范》
专为航空业设计的贵宾登机解决方案系统自成功运用于印度尼西亚鹰航空公司后，目前由其方案提供商宏霸数码集团（控股）有限公司（简称「ＲＣＧ」）（ＡＩＭ股票交易代码ＲＣＧ）引进国内航空业，这项解决方案将为国内航空业进一步提升客户服务质量，有效解决航空安全问题提供专业保障。

结合了生物识别和ＲＦＩＤ技术的ＲＣＧ贵宾登机解决方案，融合了一系列数字验证流程，通过贵宾旅客的储存了个人资料的防篡改射频识别卡、机场面相和指纹识辨功能系统、贵宾登机证上的有源射频识别标签以及配套的射频识别信息平台等融合了当今最高安防技术的整合方案，可高效地协助航空公司对贵宾的真实身份识别和位置跟踪，并快速办理登机手续，不仅大大提升了机场的安全保障能力，并能为贵宾乘客提供针对其个人喜好的配套服务以及随时获得的即时航班资讯等度身订做的增值服务。

充份显示了方案提供商在整合软、硬件层面上的超凡卓越性。

“越趋繁重的保安措施让机场登机手续越来越耗时。

这是航空运输业面临的一个重大而日益严峻的挑战”ＲＣＧ中国区高级副总裁杨怀欣表示∶“ＲＣＧ专为航空公司而设的贵宾登机解决方案展示了ＲＣＧ产品和解决方案的多功能性，以及ＲＣＧ整合生物识别与射频识别技术的强大能力，同时也代表了我们对中国航空业市场的信心”。

据悉，此项整合了世界高精尖安防技术的解决方案还具备便于改动的人性化特性，在做出相应的方案调整后，还可应用于火车站、港口等其他主要大众运输业。

ＲＣＧ将携贵宾登机保安系统效力国内航空安全
－７２－。