一种基于网络多媒体的安全防护装置

一种基于网络多媒体的安全防护装置

　　技术领域

　　本发明涉及网络安全防护设备技术领域，尤其涉及一种基于网络多媒体的安全防护装置。

　　背景技术

　　随着网络、通信、图像处理等技术的迅速发展，网络多媒体系统在智慧交通、公共安全等领域发挥着越来越重要的作用。网络多媒体系统是基于TCP/IP协议，集远程图像采集、监控、传输、存储、分析为一体的信息系统，如果不采用有效的安全防范手段，则存在被黑客远程控制摄像头、非法获取网络多媒体资料、非法接入监控等安全风险。

　　因此需要设置一种网络完全防护装置，进行数据加密和认证，保证网络通道和信源数据安全，防止通过网络渗透对前端网络多媒体的非法攻击和非法远程控制。

　　发明内容

　　本发明提供一种基于网络多媒体的安全防护装置，以解决现有技术中的网络多媒体设备的安全防护系统存在缺陷，从而存在黑客远程控制摄像头、非法获取网络多媒体资料、非法接入监控等安全风险的技术问题。

　　一种基于网络多媒体的安全防护装置，包括微处理器模块、存储模块、缓存模块、安全模块、FPGA模块、通信接口模块、网络模块、电源管理模块，所述微处理器模块与安全模块、存储模块、缓存模块、FPGA模块、指示灯模块、通信接口模块和网络模块分别连接，所述电源管理模块外接DC/POE电源且与所有模块电性连接；

　　所述微处理器模块实现高速数据通信、网络报文处理、密码服务、文件存储等功能，通过本地总线实现随机数产生及获取，通过USB接口安全芯片实现密码运算、密钥产生及存储等；

　　所述存储模块用于系统运行以及程序代码和数据的动态存储；

　　所述缓存模块包括NOR FLASH和NOR FLASH存储引导程序，NAND FLASH存储Linux操作系统内核代码、文件系统、工作程序及日志信息；

　　所述安全模块，安全模块通过USB 2.0总线与微处理器模块连接，提供密钥的产生、更新、存储、销毁功能；提供SM2、SM3和SM4密码算法的运算服务等功能，实现了网络多媒体传输过程中的数据的加解密，提高多媒体数据传输的安全性；

　　所述FPGA模块，FPGA模块为微处理器模块与数字物理噪声源模块之间的通信桥梁，FPGA模块采集数字物理噪声源模块输出的随机数并进行缓存，由微处理器模块通过本地总线进行读取；

　　所述通信接口模块包括网络多媒体设备使用的所有通信接口模块类型，包括PROFIBUS、SPI、IIC、CAN、1-WIRE、RS232、RS422、RS423、RS485、USB、蓝牙、红外等多种通信接口模块；

　　所述网络模块用于提供数据网络通信通道和本地管理网口，包括有线通信，无线通信；

　　所述DC/POE电源模块，用于给所有模块提供电压。

　　进一步，还包括时钟模块，所述时钟模块与微处理器模块进行连接，所述时钟模块为Linux操作系统提供初始工作时钟，后续工作时钟由操作系统计时，为网络报文提供时间因子服务，实现网络防重放攻击的防护。

　　进一步，还包括指示灯模块，所述指示灯模块与微处理器模块进行连接，用于提示目前数据通信状态以及防护盒工作状态。

　　进一步，还包括数字物理噪声源模块，所述数字物理噪声源模块与与微处理器模块进行连接，所述数字物理噪声源模块，两片数字物理噪声源芯片的输出在FPGA模块内部进行异或，由FPGA模块进行移位和缓存。

　　与现有技术相比较，本发明的有益效果在于：

　　其一，本发明在使用时串接在前端的网络多媒体设备后端，前端网络多媒体设备和本装置进行身份绑定后，通信时与远程解密服务器之间建立安全隧道，进行数据加密和认证，保证网络通道和信源数据安全，防止通过网络渗透对前端网络多媒体的非法攻击和非法远程控制，以此有效解决现有技术中的网络多媒体设备的安全防护系统存在缺陷，从而存在黑客远程控制摄像头、非法获取网络多媒体资料、非法接入监控等安全风险的技术问题。

　　其二，本发明在网络多媒体安全防护装置可完成网络多媒体设备之间的多媒体数据通信。

　　其三，本发明中设有安全模块，安全模块通过USB 2.0总线与微处理器模块连接，提供密钥的产生、更新、存储、销毁功能；提供SM2、SM3和SM4密码算法的运算服务等功能，实现了数据的加解密，提高传输的安全性。

　　其四，本发明中网络多媒体设备A与网络多媒体安全防护装置C连接，对端网络多媒体设备B与网络多媒体安全防护装置D连接，网络多媒体安全防护装置C与网络多媒体安全防护装置D通过有线网络或无线网络连接。网络多媒体设备A和网络多媒体设备B这两个设备之间使用的两个网络多媒体安全防护装置是一对一相互配对的；即通过网络多媒体安全防护装置C进行加密的数据经过网络传输后，只有网络多媒体安全防护装置D能够解密，只有网络多媒体设备B可接收网络多媒体安全防护装置D解密后的数据；网络多媒体设备E与网络多媒体安全防护装置J连接，网络多媒体设备F与网络多媒体安全防护装置K连接，对端网络多媒体设备G与网络多媒体设备H均与网络多媒体安全防护装置L连接,网络多媒体安全防护装置J、K与网络多媒体安全防护装置L通过有线网络或无线网络连接。网络多媒体安全防护装置L是可以一对多配对的。网络多媒体设备E、F和网络多媒体设备G、H这些设备之间使用的网络多媒体安全防护装置是相互配对的；即通过网络多媒体安全防护装置J、K进行加密的数据经过网络传输后，只有网络多媒体安全防护装置L能够解密，因此本发明能够实现一对一配对，也可一对多配对，从而增加了本发明的实用性与便利性。

　　附图说明

　　为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

　　图1为本发明中各个模块的连接布设状态示意；

　　图2为本发明连接至设备后的工作原理示意图；

　　具体实施方式

　　下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

　　通常在此处附图中描述和显示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。

　　基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

　　在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

　　在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

　　一种基于网络多媒体的安全防护装置，包括微处理器模块、存储模块、缓存模块、安全模块、FPGA模块、时钟模块、指示灯模块、通信接口模块、网络模块、电源管理模块，所述微处理器模块与安全模块、存储模块、缓存模块、FPGA模块、指示灯模块、时钟模块、通信接口模块、网络模块、指示灯模块分别连接。所述FPGA模块连接数字物理噪声源模块，所述电源管理模块外接DC/POE电源且与所有模块电性连接；

　　所述微处理器模块实现高速数据通信、网络报文处理(如ESP封装、拆包)、密码服务、文件(操作系统内核、文件系统、驱动程序及服务程序)存储等功能，通过本地总线实现随机数产生及获取，通过USB接口安全芯片实现密码运算、密钥产生及存储等；

　　所述存储模块用于系统运行以及程序代码和数据的动态存储；

　　所述缓存模块包括NOR FLASH和NOR FLASH存储引导程序，NAND FLASH存储Linux操作系统内核代码、文件系统、工作程序及日志信息；

　　所述安全模块，安全模块通过USB 2.0总线与微处理器模块连接，提供密钥的产生、更新、存储、销毁功能；提供SM2、SM3和SM4密码算法的运算服务等功能，实现了网络多媒体传输过程中的数据的加解密，提高多媒体数据传输的安全性；

　　所述FPGA模块，FPGA模块为微处理器模块与数字物理噪声源模块之间的通信桥梁，FPGA模块采集数字物理噪声源模块输出的随机数并进行缓存，由微处理器模块通过本地总线进行读取；

　　所述时钟模块，时钟模块为Linux操作系统提供初始工作时钟，后续工作时钟由操作系统计时，为网络报文提供时间因子服务，实现网络防重放攻击的防护；

　　所述指示灯模块，用于提示目前数据通信状态以及防护盒工作状态：

　　正常状态“下绿灯亮，红灯不亮”，

　　异常状态及指示灯：“红灯闪烁，红灯从亮到灭为一次闪烁”；

　　长闪：“2s一次闪烁”；

　　短闪：“1s一次闪烁”；

　　所述通信接口模块包括网络多媒体设备使用的所有通信接口模块类型，包括PROFIBUS、SPI、IIC、CAN、1-WIRE、RS232、RS422、RS423、RS485、USB、蓝牙、红外等多种通信接口模块；

　　所述网络模块用于提供数据网络通信通道和本地管理网口，包括有线通信，无线通信；

　　所述数字物理噪声源模块，两片数字物理噪声源芯片的输出在FPGA模块内部进行异或，由FPGA模块进行移位和缓存；

　　所述DC/POE电源模块，用于给所有模块提供电压。

　　本发明能够进行一对一配对，也可一对多配对。

　　其中，网络多媒体设备A与网络多媒体安全防护装置C连接，对端网络多媒体设备B与网络多媒体安全防护装置D连接，网络多媒体安全防护装置C与网络多媒体安全防护装置D通过有线网络或无线网络连接。网络多媒体设备A和网络多媒体设备B这两个设备之间使用的两个网络多媒体安全防护装置是一对一相互配对的；即通过网络多媒体安全防护装置C进行加密的数据经过网络传输后，只有网络多媒体安全防护装置D能够解密，只有网络多媒体设备B可接收网络多媒体安全防护装置D解密后的数据。

　　网络多媒体设备E与网络多媒体安全防护装置J连接，网络多媒体设备F与网络多媒体安全防护装置K连接，对端网络多媒体设备G与网络多媒体设备H均与网络多媒体安全防护装置L连接,网络多媒体安全防护装置J、K与网络多媒体安全防护装置L通过有线网络或无线网络连接。网络多媒体安全防护装置L是可以一对多配对的。网络多媒体设备E、F和网络多媒体设备G、H这些设备之间使用的网络多媒体安全防护装置是相互配对的；即通过网络多媒体安全防护装置J、K进行加密的数据经过网络传输后，只有网络多媒体安全防护装置L能够解密。

　　需要说明的是，若网络多媒体设备M连接有网络多媒体安全防护装置K，与该设备通信的网络多媒体设备N未连接有网络多媒体安全防护装置，则当网络多媒体设备M与网络多媒体设备N进行数据传输时，网络多媒体设备M与网络多媒体设备N之间无法正常进行数据通信。

　　若网络多媒体设备M连接有网络多媒体安全防护装置K，与该设备通信的网络多媒体设备N连接的网络多媒体安全防护装置与网络多媒体安全防护装置K不配对，则网络多媒体设备M与网络多媒体设备N之间无法正常进行数据通信。

　　最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。