一种内外网隔离的单向安全数据传输结构及方法

一种内外网隔离的单向安全数据传输结构及方法

　　技术领域

　　本发明涉及数据单向传输技术领域，尤其涉及一种内外隔离的单向安全数据传输结构及方法。

　　背景技术

　　单向数据传出技术是采用单工的方式，实现数据的点到点传输，例如红外遥控器的红外数据的发送、模拟电视系统的电视接收、接收的FM调频电台，这些方式都是单向的数据传输方式。数据的发送端只能发送数据，而不可以接收数据，数据的接收端只能接收数据而不可以发送数据。

　　这样的数据传输方式感觉又回到了只能监听、收看数据，比如电视、广播，而不能主动的点播节目的时代，与现在科技的进步似乎背道而驰，违背了科技的发展规律。但是任何事都是有二面性的，单向的数据通讯看起来似乎很落后，但事这样的数据非常的安全，接收者只是监听数据，因为不能发送数据到发送者，这样就会保证发射者的内部数据安全，不会被黑客攻击，而导致发送端系统崩溃。如果发送端是电视台、发电厂则后果不堪设想。

　　近些年随着对网络安全的重视，单向数据的传输方式备用在不同的场合，基本上都是采用了数据单向传输的物理方式，这里包括红外数据、光纤数据等等方式，同时还有采用各种方式、方法切换回传数据的通道，采用物理或防火墙的方式，目的是数据大家可以获得，单是决不能有反馈数据干扰，所以单向数据传输被逐渐的应用在安全数据传输中。

　　防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是内部网络和外部网络之前的连接桥梁，同时对进出网络边界的数据进行保护，防止恶意入侵、恶意代码的传播等，保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术，几乎所有的企业内部网络与外部网络(如因特网)相连接的边界设都会放置防火墙，防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。

　　网闸：

　　网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

　　单向网闸：

　　为保证高密级别网络中的数据不能流向低密级网络，但低密级网络中的数据可以流向高密级网络(数据机密性要求)，彻底解决高密级网络信息泄露的问题，只有采用无反馈的单向传输技术。开发的安全隔离与信息单向导入系统采用了独特的“单向无反馈传输”技术，从物理链路层、传输层保证数据的绝对单向流动。同时系统采用了独创性的、先进的纠错编码技术、ASIC并行处理技术和MRP(多重冗余技术)保证系统的高可靠性、高容错性、高安全性和高稳定性。

　　基于不同硬件的单向光传输网卡，现在市场有很多单向传输的光纤网卡，可以实现数据的单向传输，就是数据只能向一个方向传输，不能有反向链路或通道。比如：数据只出不进，只能从高密网往低密网发数据，而不能有反向连接。

　　光码单向传输，光码机是以二维码的方式将高安全域的数据显示在显示设备上，另外一端设备读取显示设备上的二维码，解析、还原为原始数据，发送到低安全域中。显示设备和读取设备之间没有任何电气连接，是完全的物理隔离。

　　UDP组播，UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。

　　TS码流，DVD节目中的MPEG2格式，TS的全称则是Transport Stream。MPEG-TS主要应用于实时zhi传送的节目，比如实时广播的电视节目。TS即是"Transport Stream"的缩写。它是分包发送的，每一个包长为188字节。在TS流里可以填入很多类型的数据，如视频、音频、自定义信息等。他的包的结构为，包头为4个字节，负载为184个字节。

　　复用器数字电视节目复用器主要完成对MPEG-2传输流(TS)的再复用功能，形成多节目传送流(daoMPTS)，用于数字电视节目的传输任务。所谓统计复用是指被复用的各个节目传送的码率不是恒定的，各个节目之间实行按图像复杂程度分配码率的原则。因为每个频道(标准或增补)能传多个节目，各个节目在同一时刻图像复杂程度不一样(一样的概率很小)，所以我们可以在同一频道内各个节目之间按图像复杂程度分配码率，实现统计复用。实现统计复用的关键因素：一是如何对图像序列随时进行复杂程度评估，有主观评估和客观评估两种方法；二是如何适时地进行视频业务的带宽动态分配。使用统计复用技术可以提高压缩效率，改进图像质量，便于在1个频道中传输多套节目，节约传输成本。

　　数字电视调制器，其功能是把信号源(可以是数字电视机顶盒、卫星电视接收机、电信IPTV机顶盒、DVD或VCD机、电脑、监控摄像机、电视解调器等AV信号源)所提供的视频信号(VIDEO)和音频信号(AUDIO)调制成稳定的高频射频振荡信号,视频为调幅调制方式，音频为调频调制方式。数字电视调制器广泛应用于数字有线电视前端改造，将音视频信号调制成射频信号。输入的音频、视频信号可以通过外部的调节旋钮连续调节，允许输入0.7～1.4V视频信号源信号，0.775V±10dB的音频信号，在正常频偏条件下，调制器也可以在外部连续调节使输出图像正常。产品采用频率合成技术，频率稳定度高。

　　TS OVER IP技术，TS OVER IP技术，是将数字电视的TS码流通过IP的方式进行传输，在实时中一般选用UDP的传输协议，适用于组播方式的码流传输协议。同时TS OVER IP的组播传输方式，适用于数字电视的IP化设备，包括复用器、调制器进行数据的复用、调制，从而节省数据的传输带宽以及抗干扰能力。

　　如图1所示，现有的防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。这样的技术是内部网络与外部网络相连接的边界设置防火墙，同时软件的方式设定外网的访问权限，屏蔽外网的攻击。这样的方式不是采用物理隔离方式，如果恶意攻击者攻陷了防火墙，无法保证内网数据安全。从上图看，内、外网数据通过防火墙隔离，因为是双向网络，防火墙如果被入侵，可能会导致内网瘫痪。其次采样这种方式，非数字电视协议的数据，不能由下级的数字电视复用器、调制器进行数据传输。

　　如图2所示，现有的网闸技术是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。网闸只是从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障内部主机的安全。实际上网闸也是软隔离，还是有链路通着的，目前主要是模式是内外网分别布线，但为了满足内部某些特殊业务联外网的需求，内网通过网闸和外网交互，依然是双向的通讯，这样也会有内网数据泄露的风险。同时采样这样的方式，因为传输协议的问题，内网输出的数据也不能通过数字电视复用器、调制器进行数据传输，最后提供给数字电视接收终端。

　　如图3所示，现有单向网闸保证高密级别网络中的数据不能流向低密级网络，但低密级网络中的数据可以流向高密级网络(数据机密性要求)，彻底解决高密级网络信息泄露的问题，只有采用无反馈的单向传输技术。开发的安全隔离与信息单向导入系统采用了独特的“单向无反馈传输”技术，从物理链路层、传输层保证数据的绝对单向流动。单向的网闸在物理上进行回传链路信号的阻断，实现高安全性。但是仍然存在2个方面的问题，一个问题是虽然内网不会被受到攻击，但是数据有可能被泄露出来；另外一个方面的问题，就是在广播电视系统中，因为数据传输协议的问题，单向的发送数据不能通过数字电视复用器和调制器，同时不能通过流媒体协议进行数据传输。

　　如图4所示，现在市场有很多单向传输的光纤网卡，可以实现数据的单向传输，就是数据只能向一个方向传输，不能有反向链路或通道。主要是通过光纤网卡只接入单发的光纤，而不接入接收的光纤，实现数据的单向输出。这个方式存在的问题和单向网闸是一样的。存在2个方面的问题，一个问题是虽然内网不会被受到攻击，但是数据有可能被泄露出来；另外一个方面的问题，就是在广播电视系统中，因为数据传输协议的问题，单向的发送数据不能通过数字电视复用器和调制器，同时不能通过流媒体协议进行数据传输。

　　如图5所示，光码机是以二维码的方式将高安全域的数据显示在显示设备上，另外一端设备读取显示设备上的二维码，解析、还原为原始数据，发送到低安全域中。显示设备和读取设备之间没有任何电气连接，是完全的物理隔离。存在3个方面的问题，一个问题是操作复杂，需要增加硬件设备和日常的人员运维。另外一个问题是虽然内网不会被受到攻击，但是数据有可能被泄露出来；最后一个方面的问题，就是在广播电视系统中，因为数字电视传输数据格式问题，单向的发送数据不能通过数字电视复用器和调制器，同时不能通过流媒体协议进行数据传输。

　　现有防火墙技术缺点：不是采用物理隔离的方式，如果恶意攻击者攻陷了防火墙，也同样会导致攻击、入侵。同时采样这样的方式，因为传输协议的问题，内网输出的数据也不能通过数字电视复用器、调制器进行数据传输，最后提供给数字电视接收终端。

　　现有网闸技术缺点：实际上网闸也是软隔离，还是有双向链路的链接，目前主要是模式是内外网分别布线，但为了满足内部某些特殊业务联外网的需求，内网通过网闸和外网交互，依然是双向的通讯，这样也会有内网数据泄露的风险。同时采样这样的方式，因为传输协议的问题，内网输出的数据也不能通过数字电视复用器、调制器进行数据传输，最后提供给数字电视接收终端。

　　单向网闸缺点：存在2个方面的问题，一个问题是虽然内网不会被受到攻击，但是数据有可能还是被泄露出来；另外一个方面的问题，就是在广播电视系统中，单向的发送数据不能通过数字电视复用器和调制器，同时不能通过流媒体协议进行数据传输。

　　单向光传输网卡缺点存在2个方面的问题，一个问题是虽然内网不会被受到攻击，但是数据有可能被泄露出来；另外一个方面的问题，就是在广播电视系统中，单向的发送数据不能通过数字电视复用器和调制器，同时不能通过流媒体协议进行数据传输。

　　光码单向传输缺点：存在3个方面的问题，一个问题是操作复杂，需要增加硬件设备和日常的人员运维。另外一个问题是虽然内网不会被受到攻击，但是数据有可能被泄露出来；最后一个方面的问题，就是在广播电视系统中，单向的发送数据不能通过数字电视复用器和调制器，同时不能通过流媒体协议进行数据传输。

　　发明内容

　　为解决上述技术问题，本发明的目的是提供一种内外网隔离的单向安全数据传输结构及方法，该结构和方法解决了内网数据通过安全的方式传输到外网的问题，实现内网数据在外网的应用，同时外网不能反向访问内网造成对内网攻击的可能性；解决数据格式的问题，采用适合于广播电视的传输协议发送数据文件，使数据可以在数字电视设备中进行传输；解决公网数据传输的问题，采用流媒体的协议，使数据可以在公网进行传输；解决单向数据传输的问题，采用单向光数据发送和ASI(TS)码流播发卡实现数据的单向输出。

　　本发明的目的通过以下的技术方案来实现：

　　一种内外网隔离的单向安全数据传输结构，包括：内网运维数据信号处理系统、单向光纤组播码流传输单元以及单向ASI码流传输装置；所述内网运维数据信号处理系统与单向光纤组播码流传输单元以及单向ASI码流传输单元相互连接。

　　所述内网运维数据信号处理系统中设置UDP组播装置与TS码流播发卡；

　　所述UDP组播装置包括数据采集模块、内网数据库服务器、本地文件生模块、TS文件生成模块、UDP组播码流生成模块；所述数据采集模块分别与所述内网数据库服务器和本地文件生成模块连接，并发送消息文件到本地文件生成模块中；所述本地文件生成模块与所述TS文件生成模块连接，并发送消息数据文件与配置数据文件到TS文件生成模块；所述TS文件生成模块与所述UDP组播码流生成模块相连接，并发送TS文件到UDP组播码流生成模块；所述UDP组播码流生成模块连接所述TS码流播发卡，并发送UDP组播码流到TS码流播发卡。

　　所述TS码流播发卡包括内网数据采集模块、网数据库服务器、本地文件生成模块、TS文件生成模块及TS/ASI码流播发模块；所述内网数据采集模块分别与所述数据库服务器和本地文件生成模块连接，并发消息文件到本地文件生成模块；所述本地文件生成模块与TS文件生成模块连接，并发送消息数据文件和配置数据文件到TS文件生成模块；所述TS文件生成模块与所述TS/ASI码流播发模块连接，并发送TS文件到TS/ASI码流播发模块。

　　一种内外网隔离的单向安全数据传输方法，包括：

　　步骤10对广播电视播出系统中所有设备的数据采集，将采集的数据生成TS文件，并将TS文件通过UDP组播码流方式发送或通过TS码流播发卡的方式进行输出；

　　步骤20将接收到的组播码流以单向光纤组播传输方式进行传输；

　　步骤30将采用TS码流播发卡的方式输出的ASI信号，并通过一路将ASI信号封装成UDP的组播提供给外网数据接收网关、数据库服务器；及通过另一路将ASI信号直接提供给电视复用设备。

　　与现有技术相比，本发明的一个或多个实施例可以具有如下优点：

　　通过对广播电视通运维数据采用TS格式封装的方式，适用于采用数字电视广播的机制传输运维数据，并且采用的是广播的方式，实现单向的数据传输。

　　采用TS OVER IP的方式，通过数字电视标准的组播协议，实现UDP数据的单向传输，这样的方式适用于光网卡，可以在物理上实现单光纤的数据发送，同时UDP的协议一样也适用与没有握手协议的数据发现，这样的好处是只进行数据的单向传输，没有回传的数据，不会威胁到内部网络安全。

　　采用ASI码流播出卡，实现对TS文件的传输，通过数字电视标准的TS封装协议，采用单向的ASI码流播出卡，实现TS文件数据的单向传输，这样的好处是只进行数据的单向传输，没有回传的数据，不会威胁到内部网络安全。

　　不论是ASI播出卡的方式，还是UDP组播传输的方式，最终都可以实现在公网上采用流媒体协议传输运维数据，这样就将运维数据可以采用公网进行传输，扩大的系统运维的范围，可以实现远程运维、移动运维。

　　传输的运维数据，在封装成TS文件之前，采用MD5的方式实现对文件的加密，采用这样的方式，一方面可以通过MD5实现传输文件完整性的校验，另一个方面采用类似于MD5的加密方式，可以实现传输数据内容的安全性。

　　采用数字电视标准协议、流媒协议进行运维数据的单向传输，这个方式是首创，一方面适应了自身的广播电视安全、运维的需要，更重要的是整个的数据传输机制是完全建立在广播电视通讯的基础上，可以实现传输设备资源的共享，降低系统的投入成本，并可以结合数字电视业务，实现数据的安全、单向的传输。

　　建立了内、外网数据库，同时采用TS文件传输的方式，使用定时器实现内外网存量数据的同时，采用内网数据安全转发的机制，也实现了增量数据内外网同步的方式。

　　附图说明

　　图1是现有防火墙技术结构示意图；

　　图2是现有网闸技术结构示意图；

　　图3是现有的单向网闸技术结构示意图；

　　图4是现有的基于不同硬件的单向光传输网卡技术结构示意图；

　　图5是现有的光码单向传输技术结构示意图；

　　图6是内外网隔离的单向安全数据传输结构示意图；

　　图7是内外网隔离的单向安全数据传输方法流程图；

　　图8是UDP组播装置结构图；

　　图9是TS文件采用码流播发卡输出数据的结构图；

　　图10是单向光纤组播码流传输结构图；

　　图11是组播数据网关结构图；

　　图12是组播、流媒体数据转发结构流程图；

　　图13是数字电视接收终端信号处理结构图；

　　图14是移动端与固定端数据接收结构图；

　　图15单向ASI码流传输方式结构图；

　　图16是ASI信号环通输出及IP组播输出结构图。

　　具体实施方式

　　为使本发明的目的、技术方案和优点更加清楚，下面将结合实施例及附图对本发明作进一步详细的描述。

　　如图6所示，内外网隔离的单向安全数据传输结构，包括：内网运维数据信号处理系统、单向光纤组播码流传输单元以及单向ASI码流传输装置；所述内网运维数据信号处理系统与单向光纤组播码流传输单元以及单向ASI码流传输单元相互连接。

　　图7为内外网隔离的单向安全数据传输方法，包括以下步骤：

　　步骤10对广播电视播出系统中所有设备的数据采集，将采集的数据生成TS文件，并将TS文件通过UDP组播码流方式发送或通过TS码流播发卡的方式进行输出；

　　步骤20将接收到的组播码流以单向光纤组播传输方式进行传输；

　　步骤30采用TS码流播发卡的方式输出ASI信号，并通过其中一路将ASI信号封装成UDP的组播提供给外网数据接收网关、数据库服务器；通过另一路将ASI信号直接提供给电视复用设备。

　　上述内网运维数据信号处理系统：广播电视系统是由多种广播电视专业设备、基础IT设备、动力环境系统等等不同的设备和子系统构成的，涵盖了从节目的制作、处理、分发每个环节，对广播电视系统的运维管理是对安全播出重要保障。见图6A点是内网数据采集服务器，可以实现对广播电视播出系统中所有设备的数据采集，采集后的数据通过内部交换机在数据库服务器进行数据存储，上层应用平台实现通过数据库数据加载不同的业务应用。

　　但是随着技术的发展，本地运维已经不能满足运维需要，这就需要采集的数据在外网进行应用，一旦内网与外网打通，由此带来的是内网系统安全的风险，本方法和结构就是解决数据从高保障、高安全的内网，如何安全传输到低级别外网的结构和方法。

　　上述内网运维数据信号处理系统中设置UDP组播装置与TS码流播发卡；如图8所示，所述UDP组播装置包括数据采集模块、内网数据库服务器、本地文件生模块、TS文件生成模块、UDP组播码流生成模块；所述数据采集模块分别与所述内网数据库服务器和本地文件生成模块连接，并发送消息文件到本地文件生成模块中；所述本地文件生成模块与所述TS文件生成模块连接，并发送消息数据文件与配置数据文件到TS文件生成模块；所述TS文件生成模块与所述UDP组播码流生成模块相连接，并发送TS文件到UDP组播码流生成模块；所述UDP组播码流生成模块连接所述TS码流播发卡，并发送UDP组播码流到TS码流播发卡。

　　上述内网运维数据通过UDP组播的方式输出：

　　第一步先完成将采集的数据生成TS文件，整个软件结构见图8，内网数据采集模块采集到数据，通过内网交换机将数据存储到内网数据库服务器中，同时也转发一份数据到本地文件生成模块。本地文件生成模块将采集的数据生成二种不同的文件类型，其中包括配置数据文件和消息数据文件，配置数据文件是整个广播电视系统的设备、系统的配置数据封装成一种类型的文件，消息数据文件包括报警数据、设备状态等数据封装成另外一种类型的文件。其中配置数据文件需要在本地服务器单独保存，这个为今后内、外网存量配置数据文件同步服务。而实时产生增量的配置数据文件和消息数据文件进入到TS文件生成模块，将二种不同类型的文件实时生成TS文件，TS文件最后提供给IP组播码流生成模块，通过UDP码流光网卡输出。定时器的功能是可以定时将内网存储的配置数据文件转成TS文件，或通过ASI接口、或者组播的方式提供给外网数据库进行配置数据的同步。

　　第二步将TS文件通过UDP组播的方式进行发送，将每个1316字节的TS包，可以按照2-7个TS包封装成一个UDP包，采用TS OVER UDP的方式生成组播码流，将组播码流通过光网卡进行推流输出。

　　输出的组播码流通过光网卡输出，光网卡输出的组播，只通过TX端口输出码流，输出到下级设备，而不接收下级设备的数据，实现UDP组播数据的单向传输。

　　实现对传输文件进行MD5的加密，加密后封装成TS文件进行传输，通过这样的方式确包传输文件在接收端的完成性和安全性。

　　如图9所示，所述TS码流播发卡包括内网数据采集模块、网数据库服务器、本地文件生成模块、TS文件生成模块及TS/ASI码流播发模块；所述内网数据采集模块分别与所述数据库服务器和本地文件生成模块连接，并发消息文件到本地文件生成模块；所述本地文件生成模块与TS文件生成模块连接，并发送消息数据文件和配置数据文件到TS文件生成模块；所述TS文件生成模块与所述TS/ASI码流播发模块连接，并发送TS文件到TS/ASI码流播发模块。

　　内网运维数据通过TS码流播发卡的方式输出：

　　第一步先完成将采集的数据生成TS文件，整个软件结构见图8，内网数据采集模块采集到数据，通过内网交换机将数据存储到内网数据库服务器中，同时也转发一份数据到本地文件生成模块。本地文件生成模块将采集的数据生成二种不同的文件类型，其中包括配置数据文件和消息数据文件，配置数据文件是整个广播电视系统的设备、系统的配置数据封装成一种类型的文件，消息数据文件包括报警数据、设备状态等数据封装成另外一种类型的文件。其中配置数据文件需要在本地服务器单独保存，这个为今后内、外网存量配置数据文件同步服务。而实时产生增量的配置数据文件和消息数据文件进入到TS文件生成模块，将二种不同类型的文件实时生成TS文件，TS文件最后提供给ASI(TS)码流播发卡采用硬件的方式输出。定时器的功能是可以定时将存储的配置数据文件转成TS文件，通过ASI接口、或者组播的方式提供给外网数据库进行配置数据的同步。

　　第二步将TS文件通过TS码流播发卡的方式进行输出，TS码流播发卡一个硬件装置，用在数字电视系统中，实现将TS码流以ASI端口的方式输出码流，这个硬件只能是单向输出，不具备双向的功能。

　　实现对传输文件进行MD5的加密，加密后封装成TS文件进行传输，通过这样的方式确定传输文件在接收端的完成性和安全性。

　　如图10所示，上述单向光纤组播码流传输单元包括内网数据采集服务器，外网数据接收网关、数据库服务器，数字电视复用设备，数字电视调制设备，数字电视接收终端，交换机，移动终端和固定终端；

　　所述内网数据采集服务器与外网数据接收网关、数据库服务器相连；所述外网数据接收网关、数据库服务器分别与数字电视复用设备和交换机相连；所述数字电视复用设备与所述数字电视调制设备相连；所述数字电视调制设备与所述数字电视接收终端相连；所述交换机通过网络分别与所述移动终端和固定终端连接。

　　单向光纤组播码流传输方式：采用单向光纤组播码流的传输方式(如图11)，其中方式A接收来自内网侧A点的单向组播码流数据，以下分环节进行说明：

　　B1点，外网侧数据接收网关、数据库服务器：

　　B1点服务器上部署了网关的软件，将接收到的组播码流还原成数据文件，见图十，通过光板卡接收来自内网侧A点的组播码流，通过软件对组播码流进行解析，还原出配置文件数据、消息文件数据，同时通过MD5校验数据的完整性和安全性。完整安全的数据(配置文件数据、消息文件数据)在本台服务器输数据库中进行存储，同时也将数据(配置文件数据、消息文件数据)按原组播方式向下级发送。在这个点上实际上就已经是外网侧环节了，该侧的数据在传输方式上都可以采用双向通讯方式。

　　在该环节，针对数据库的处理，包括存量数据的定时同步和增量数据的实时同步机制，只有这样上层的应用软件才可以实时获取数据，实时同步应用内容。

　　如图12所示，外网数据接收网关、数据库服务器上部署有光纤接收网卡、组播数据解析网关模块、组播数据转发模块和流媒体数据协议网关模块；所述光纤接收网卡与所述组播数据网关模块连接，并发送组播码流到组播数据网关模块；所述组播数据解析网关模块与组播数据转发模块连接；所述组播数据转发模块与所述流媒体数据协议网关模块连接。

　　B1点服务器上部署了数据解析网关的软件，将接收到的组播码流还原成数据文件，同时也可以将接收到的组播进行转发，提供给下一级的数字电视系统。见图12，通过光板卡接收来自A的组播码流，通过组播数据网关模块中的软件对组播码流进行解析，还原出配置文件数据、消息文件数据。将配置文件数据、消息文件数据在本台服务器输数据库中进行存储，同时也通过组播数据转发模块对组播进行转发，在转发过程中，可以修改组播地址和端口号，发送到下一级数字电视系统设备中去。在这个点上实际上就已经是外网环节了，在数字电视系统的信号数据的传输，还是单向的数据发送。

　　B1点服务器上部署了流媒体协议网关模块，该模块可以将接收到的组播进行协议转换，转换成RTSP、HLS、SRT等流媒体协议进行转发，提供给下一级非数字电视系统。见图12，通过光板卡接收来自A的组播码流，通过软件对组播码流进行解析，还原出配置文件数据、消息文件数据。将配置文件数据、消息文件数据在本台服务器输数据库中进行存储，同时也可以通过流媒体数据网关模块将UDP数据转换成RTSP、HLS、SRT等流媒体协议，发送到下一级网络系统中。在这个点上实际上就已经是外网环节了，这个后级的设备包括但不限于交换机、路由器、服务器等。

　　C1点，数字电视复用设备

　　本系统是服务于广播电视平台，也希望系统的维护信息也可以通过数字电视系统进行发布，这就需要从B1点接收到的组播码流，是标准的TS OVER IP的码流，之所以采用这样的方法和结构，也是为了这一点。从B1点获取的码流到复用器的码流可以和其它的广播电视码流复用在一起后，实现复用码流的输出。

　　E1点，数字电视调制设备

　　同样数字电视调试设备，输入也需要是标准TS OVER IP的码流，E1点接收复用器C1点的标准码流，并将码流进行调制输出，通过HFC网络输出到机顶盒或其他终端。

　　如图13所示，所述数字电视接收终端包括将QAM信号接收设备、光纤接收网卡、组播数据网关和组播数据转发单元；所述QAM信号接收设备与所述光纤接收网卡连接；所述光纤接收网卡与所述组播数据网关连接；组播数据网关与组播数据转发单元连接。

　　F1点，数字电视接收终端

　　通过数字电视接收终端，接收E1点数字电视调试后输出的QAM信号，并将QAM信号进行解调、解复用后输出组播码流(见图13)，通过软件对组播码流进行解析，还原出配置文件数据、消息文件数据，通过MD5校验数据传输的完整性和安全性。安全完整的数据将配置文件数据、消息文件数据在本台服务器输数据库中进行存储，同时也将配置文件数据、消息文件数据通过UDP方式进行协议转换成流媒体协议，发送到下一级交换机或业务应用终端中。这个点上实际上已经是外网环节了，之后的数据都可以进行双向通讯，上层的应用软件可以实时接收到增量数据，同时也可以对数据库服务器进行数据访问，获取历史数据，将数据发布到应用终端。

　　G1点，交换机数据分发

　　G1点交换机接收来自B1点的流媒体协议数据，这些流媒体的数据，是运维数据通过UDP协议转换之后的数据，因为UDP的数据在公网传输的可能性很小，流媒体协议转换主要是保证运维数据可以在公网进行传输，所以采用流媒体的协议方式，这个也本方案方法和结构中重要的部分。

　　H2点，网络

　　实现通过G1点交换机输出的流媒体数据，通过公网进行数据的传输，包括4G、5G网络的传输，实现运维数据的安全公网传输。

　　如图14所示，所述移动终端和固定终端通过公网或局域网与web应用模块与组播数据网关连接，且web应用模块与组播数据网关间相互传输数据文件；所述组播数据网关与流媒体数据网关互连，并由流媒体数据网关将流媒体数据转换成UDP的组播数据传输到组播数据网关；所述流媒体数据网关与本地交换机连接，并由交换机将流媒体数据输送到流媒体数据网关。

　　I1、J1点通过公网获取到流媒体信息，输入到本地交换机中，首先通过流媒体数据网关将流媒体数据(RTSP、HLS、SRT)转换成UDP的组播数据(见图14)，然后在通过组播数据网关，通过软件对组播码流进行解析，还原出配置文件数据、消息文件数据，通过MD5校验数据传输的完整性和安全性。安全完整的数据将配置文件数据、消息文件数据在本台服务器输数据库中进行存储，同时也将配置文件数据、消息文件数据通过文件的方式提供给web应用发出软件，将web应用数据发布到公网过局域网，这样通过移动终端和电脑终端就可以获取实时的信息数据已经对历史数据查询。

　　如图15所示，所述单向ASI码流传输装置包括内网数据采集服务器、ASI转IP网关设备，外网数据接收网关、数据库服务器，数字电视复用设备、数字电视调制设备、数字电视接收终端、交换机、移动终端与固定终端；所述内网数据采集服务器与所述ASI转IP网关设备连接，并发送ASI信号到ASI转IP网关设备；所述ASI转IP网关设备与所述外网数据接收网关、数据库服务器相连；所述外网数据接收网关、数据库服务器分别与数字电视复用设备和交换机相连；所述数字电视复用设备与数字电视调制设备连接并通过数字电视调制设备与数字电视接收终端连接；所述交换机通过网络分别与移动终端和固定终端连接。

　　单向ASI码流传输方式：

　　见图15中的方式B，采用TS码流播发卡实现运维输数据的传输方式，其中方式B接收来自内网侧A点的ASI信号。

　　在整个系统结构上，区别于方式A是增加了B2点，ASI转IP网关的环节。该环节有二种信号的输出，一种是环出一路ASI信号直接提供给C2点的复用器，另一种是通过该环节将ASI信号封装成UDP的组播提供给B3点，经过B3点后输出信号的处理方式上完全与B1点相同，之后不再详细说明。

　　如图16所示，所述ASI转IP网关设备包括由ASI信号输出端发送ASI信号到所连接的ASI信号接收端，ASI信号接收端连接ASI信号网关模块，并由ASI信号网关模块将UDP的组播再封装成流媒体的协议通过所连接的组播数据输出端进行数据输出。

　　接收来自A点的ASI信号，ASI信号是数字电视里的单向传输信号，只能接收数据，不能回传数据，采用的是同轴电缆的传输介质。ASI信号接收模块接收到ASI信号之后，同时环通一路ASI信号输出给C2点数字电视复用设备的复用器，通过复用器将ASI信号在广播电视网络中传输，在最终的信号处理上也可以采用UDP组播的方式进行运维数据的解析，提供给应用软件进行运维数据的处理和发布；同时ASI信号接收模块将接收的数据，输入到到ASI信号的网关，ASI网关可以将ASI信号封装成UDP的组播传输给C1点、B3点，实现C1点接收到数据后在数字电视系统中传输、B3点接收到数据后可以将UDP的组播在封装成流媒体的协议通过公网进行数据的发布。

　　本实施例在数据的信号处理方式上，本方法采用的是将运行维护的数据封装成TS文件的方法，除了这种文件封装方式，在数据的封装上也可能有报IP OVER DVB或DVB数据广播的方式。

　　在传输数据的加密上，方案采用的是MD5加密方式，也可以采用其他不同的加密方式，保证传输数据的完整性和内容的安全性。

　　虽然本发明所揭露的实施方式如上，但所述的内容只是为了便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属技术领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式上及细节上作任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。