东方盛行极速网盾技术方案

极速网盾富媒体安全传输系统

极速网盾富媒体安全传输解决方案采用多种传输途径，以实现电视台业务生产内网、远程异地传输网、广播电视网、互联网、电信网等全媒体内容交互、共享、双向互动、多向性应用为目的。该解决方案完全符合电视台数字化全台网络、互联网、电信网系统规范，满足不同平台、不同终端数据级的互联互通和异地数据交互，有效提高数据传输的安全性和时效性,广泛应用于电视台内网各子业务板块、远程数据交互、网络电视、3G电视等网络媒体平台。

该平台根据功能分为标准型和增强型两种配置方案：标准型主要提供数据的解析、转码、发布等服务；增强型除具有标准型所有功能外，还可以管理推后的数据，提供检索、下载。

第一章极速网盾系统设计要求及目标

本方案设计是根据贵台的实际需求以及板块间数据交换子系统最新技术而总体设计的，以解决电视台各个子业务系统间数据跨板块交互为目的，满足系统间媒体数据的多向性应用和数据远程传输的应用。板块间数据交换子系统有效提高电视台各板块间数据高效安全的交互，符合电视台数字化全台网络系统规范，实现全台网络异构板块数据级的互联互通和异地数据交互。

本系统的搭建具有很强的灵活性和可升级性，既可以部署在“极速融通”紧凑型全台网络中，也可以部署在其他全台网络中。

一、需求分析

1、现状分析

随着Internet和广域网的广泛应用，病毒传播的速度越来越快，例如制作系统、硬盘播出系统在电视台的特殊性、重要性和紧密联系性使得我们必需建立起一套完善的防御体系，而电视台现在数字化改造后各个业务系统往往也不是一家集成商集成，但是电视台的业务运作模式必须要实现板块间数据的交互，整合成数字化的全台网络系统。那么各不同厂商集成的子业务板块数据交换的方式就显得尤为重要，必须要解决这一问题，要解决异构板块间数据高效安全的交互，就必须建立一个平台来保证系统的服务器、数据库、控制工作站和其它网络设备的安全和数据交互的安全，避免安全事故的发生，确保各个业务板块的顺利进行数据交互。

通过我公司的技术人员与贵单位的技术领导交流后，了解到贵单位的一些基本情况：目前已建立多个子系统，包括：新闻制作系统、硬盘播出系统、媒体资产管理系统等，但是各个系统的数据交换采用简单的文件共享，各板块间在数据共享过程时安全得不到保障，往往会因为其中一个系统中的文件有病毒而感染到其他系统，导致全台遭到病毒的威胁。

2、总体要求

采用现代先进IT网络技术，对电视台各个子系统间实现安全高效的数据互联互通，为电视台的节目制作、播出、发布等生产服务，加强电视台全台网内部数据的安全交互级别，实现高安全、高可靠、高效率的数据交互保障。

3、需求分析

从贵单位的需求得出：需求着重强调了全台网内板块间数据交互的安全和高效。通过分析及理解贵台的需求后，方案设计除了“量体裁衣”外，还考虑到系统良好的系统升级与扩展性。方案决定采用我公司的极速网盾数据交互系统。

二、设计目标

1、设计理念

高效率、高安全、高质量、高可靠

2、系统设计原则

先进性：代表当前安全互通技术的先进水平。

实用性：系统具有很好的实用性，易于操作。

可靠性：系统应采用成熟的技术并稳定、可靠。

安全性：有完善的安全机制，确保系统安全、数据安全。

开放性：兼容主流厂商的业务系统，可实现不同厂商业务系统间数据交互。

经济性：易部署，易维护，除初期投入外，后期没有大的升级维护费用。

3、达到目标

完成全台一体化网络中各个不同厂商业务系统间的数据高效安全传输、网间迁移、归档存储等。概括为：

高安全——各业务板块间数据通过异构媒体网关，实现数据的安全；

高效率——方便快捷的应用方式，通过端口映射实现数据高效传输；

广兼容——能支持各种主流厂家的各个业务板块和远程数据交换。

第二章极速网盾系统设计总述

一、极速网盾系统概述

极速网盾系统是我公司经过长期的研发和实践得出的一套满足电视台内各个厂家业务系统间数据交换的系统。

极速网盾富媒体安全传输解决方案由异构的媒体网关和分布式的MSC媒体服务中心构成。

MSC是构建分布式数据分布的业务支撑平台，它是由DSC分布式任务调度中心、MSU 媒体服务单元、WEB及应用服务器中心、MAD消息自动处理中心、数据存储中心、网管服务中心构成。MSC可动态构建、柔性组合，关键结点均采用多机集群，高度冗余，实现对媒体解析、转码、分发等服务，完全符合电视台业务系统标准，完全能够满足电视台全台网络系统数据安全互访。

极速网盾系统兼容性强，满足不同需求：

1、满足电视台内网数据交互：通过统一的媒体网关，实现同一内容同时向制作、播出、媒资等多个子业务板块间数据跨板块、跨平台交互。

2、满足异地数据共享、远程交互：基于互联网资料互动传输，通过远程数据多目标分发、交互，将媒体内容的数据共享到本组织以外的任何一个有IP网络支持的地点，实现内容远程分发控制，有效保证媒体内容(新闻素材)的时效性。

3、满足“三网融合”业务需求：随着“三网融合”的逐步深入，极速网盾富媒体安全传输解决方案可以与广播电视网、互联网、电信网实现媒体内容的“无缝融合”，使同一内容自动后台转码，在不同终端、不同平台采用不同码率、不同分辨率、不同编码格式同步发布成为现实。

二、极速网盾组成

1、具体实施

根据需求分析，整个系统中设计媒体服务中心（MSC），它是任务处理和调度的中心，所有板块间数据交换都和MSC发生关系，包括高性能集群控制服务器1台，任务调度服务器2台（DSC），任务执行服务器2台（MSU）；各目标板块设计任务处理服务器（MAD）2台，分别布置于媒资板块和播出板块，提供消息协议和媒体任务的处理（主动获取）；在非编网络各站点上部署极速网盾客户端，实现数据接口适配；为了满足全台数据缓冲，设计1

个公共存储缓冲池；在此平台上各个板块业务数据交换安全高效，整个流程透明可控。完全满足贵台对跨板块数据交互的要求。

2、网络构建

基于贵台全台网络化建设的进程，在现有的新闻、制作、播出等网络基础上，充分考虑全台网系统的总体架构，柔性的接入极速网盾系统。在不影响各个业务子板块内部业务的同时实现板块间数据的安全高效的交互，实现跨平台跨网段的数据传输，真正实现电视台全台业务整合。

从系统规模、安全、灵活和开放性等多方面考虑，该极速网盾采用了我公司提出媒体服务总线软件架构，系统采用了基于构件技术，由表示层、应用层、数据层、网络层，接口及通讯层五层架构组成，由这几个部分作为后台支撑着整个极速网盾的各种后台处理和各种消息应用机制。

另外，由于贵台目前的各个系统均是不同厂商集成，因此在网络框架设计方面，采用了我公司的开放、适应性更强的柔性网络存储架构。媒体服务中心和公共存储缓冲池采用了千兆以太网（可选FC＋以太网双网结构或升级成万兆以太网），而网间互连系统则采用了千兆以太网（可升级为万兆以太网）结构，通过以太网实现数据迁移、隔离网关、病毒防护，打通各个系统的互连通道。

3、系统流程

极速网盾系统跨板块跨网段流程科学合理、简单明了。原板块数据需要将数据传输到目标板块须以下步骤，首先目标板块准备好将要传输的数据，通过极速网盾客户端将数据待传数据推送到公共存储缓冲池，在推送到缓冲池的过程中需要经过媒体网关的真实性、完整性认证；MSC中的DSC接到任务后，将任务分配给MSU,MSU经过判断后确认是否符合目标板块格式，不符合须转码后放入指定位置，符合直接放入指定位置；目标板块MAD循环侦测指定位置，发现有新的数据后通过网关将其迁移到目标板块存储中；目标板块将完成消息返回到原板块，一次板块间的数据交换就完成了。如下图所示：

4、文件传输

为了确保数据安全传输，传输协议采用SSL 协议。SSL 协议指定了一种在应用程序协议（如HTTP 、Telenet 、NMTP 和FTP 等）和TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL VPN 客户端的应用是基于标准Web 浏览器内置的加密套件与服务器协议出相应的加密方法，即经过授权用户只要能上网就能够通过浏览器接入服务器建立SSL 安全隧道。对于Web 信息传输通道的机密性及完整性，SSL 是最佳的解决方案，目前所有的浏览器和Web 服务器都支持SSL ，采用SSL 在技术上已经很成熟，互联网的安全敏感数据几乎都是由SSL 通道传输的。

三、关键技术介绍

1、核心技术介绍

概括为：三网络、双

总线、两核心、五层

应用

按照《数字化网络

化建设白皮书》的指导

意见，在构建以媒资为

核心的全台网架构时，

除了解决信息通讯外，

还需要解决媒体数据的交互与传输。极速网盾采用基于 SOA 体系架构的 ESB ＋EMB 的双总线互联架构。基于 SOA 双总线互联架构的主要优点是：强化板块的内部封装，实现高内聚、低耦合，任何板块的变更都不会影响到其他板块，新板块接入也无需对已有板块进行改造，连接复杂度低，易于管理，可以轻松应对业务服务变化、发展的需要。该架构适用于业务规模较大、异构系统较多、流程复杂多变的电视台网。

构组成，这样可减轻系统

维护的负担，提高系统访

问安全性和对具体业务

的支持能力。其相对应的

接口规范主要包括软件

通讯接口、视音频数据编

解码标准、视音频文件格

式标准、元数据交换接

口、管理控制信息交换接

口等。

表示层主要实现用

户界面的展示，完成任务

的执行和事件的触发而

已，跟具体业务处理没有

关系，它通过接口与通讯

层和应用层进行交互。

应用层主要实现业务和媒体数据处理，包括申请、转码、迁移、工作流引擎、任务管理、任务调度等等核心功能,该层通过接口与通讯层、表示层和数据层进行交互。

数据层以元数据存储的数据库服务器和媒体数据存储的存储阵列为主，该层通过接口与通讯层和应用层进行交互。媒体信息层面上，元数据交换采用标准的XML格式，元数据定义规范应符合相关国际标准的约定，保证开放、通用，并制定出各集成厂商共同遵守的互联互通接口规范。

媒体数据层面上，视音频文件的格式标准定义包含两个部分：压缩编码格式和封装格式。压缩编码格式描述视音频信号数据化的方法，数据化的方法可以是压缩或无压缩的。支持的压缩编码格式有：MPEG-2、MPEG-2I帧、MPEG-2IBP帧、DV、AVS、H.246/AVC；低码流支持MPEG4、WMV。封装格式描述数据化后的数据在文件模式下的存储方式、帧索引及其它元数据的记录方式，同时支持AVI、AAF、MXF。随着技术的发展，视音频文件的封装格式跟视音频编码格式一样，已经不构成系统数据交互的主要障碍。视音频文件的封装格式，具体处理方法同样可以通过终端处理或中心转换方式得到解决。

接口及通讯层主要是实现数据和控制信息传输的通道和路径，以及对于硬件接口适配器等功能。通讯层上目前标准的、主流的并广泛应用于广电行业软件通讯接口技术主要有消息队列接口技术、WebService接口技术、组件接口技术等。

网络层主要指网络通信环境，包括光纤网，IP 网，以太网。

2、软件功能模块介绍

2.1、媒体服务中心

整个MSC由五类不同的功能区域构成，不同功能区域之间或者功能区域内部间通过SOA 和标准的IP协议进行数据交换，媒体文件的存取通过FTP（文件传输协议）完成，整个MSC 的所有进程实例都是动态自适应运行，MSC管理中心能够自动剔除异常进程实例（比如DSC、MSU、MAD等关键进程），在运行过程中，能根据各个板块的具体业务需求动态配置确保数据数据传输的便捷性。

2.1.1分布式任务调度中心：该功能区域由DSC（分布式任务调度）、HAC(高效集群控制)、Agent（进程启动代理）等三个主要进程组成。

?DSC（分布式任务调度）主要完成获取用户提交的任务列表，实时获取并维护MSU

（媒体服务单元）的状态信息，根据MSU的状态信息和任务分配原则完成对任务的

调度分配。DSC可以部署在多台计算机设备上，这些计算机设备组成分布式任务调

度集群网络环境，不同计算机设备上的DSC进程互为热备，这样可以极大的提高

DSC的可靠性。DSC在运行过程实时向HAC汇报自己的当前状态。

?HAC(高效集群控制)主要完成分布式任务调度集群网络环境间的计算机设备和DSC

进程之间的心跳检测，实时监视并控制DSC进程的主备状态。HAC在运行过程实时

向互为备份的HAC(高效集群控制)进程实例汇报自己的当前状态。

?Agent（进程启动代理）主要完成当前计算机设备的运行环境资源监测，控制进程

的启动、结束和状态检测。

2.1.2媒体服务单元：该功能区域由MSU、Agent等两个主要进程组成。

?媒体文件的处理主要由MSU完成，根据任务类别分为：归档、下载、转码、迁移、

回迁、合成等媒体服务类别。一台计算机设备可以启动一个MSU进程服务实例，也

可以启动多个处理不同任务类别或者相同任务类别的MSU进程服务实例，也可以根

据用户的要求部署在刀片集群上。多个MSU进程实例和不同任务类别的MSU组成电

视台的后台MSF（媒体服务工厂）。MSU进程实例在运行过程实时向DSC进程汇报自

己的当前状态。

?Agent（进程启动代理）主要完成当前计算机设备的运行环境资源监测，控制进程

的启动、结束和状态检测。

2.1.3 WEB及应用服务器中心：该功能区域由WLB(WEB负载均衡)、Agent（进程启动代理）、任务服务库（.NET SOA LIB）等三个主要部分组成。

?WLB(WEB负载均衡)主要完成IIS（WEB及应用服务器）之间的负载均衡控制，对IIS

部署计算机设备和WLB进程之间的心跳检测，并把可用IIS提供给需要IIS服务的

进程实例。WLB在运行过程实时向互为备份的WLB进程实例汇报自己的当前状态。

?Agent主要完成当前计算机设备的运行环境资源监测，控制进程的启动、结束和状

态检测。

2.1.4消息任务处理中心（MAD）：该功能中心由MAD（消息处理中心）和Agent（进程启动代理）组成。

?MAD自动实时获取本机上队列中的最新消息，对消息内容进行识别和读取，根据

所获信息进行任务的处理。

?Agent主要完成当

前计算机设备的运

行环境资源监测，

控制进程的启动、

结束和状态检测。

2.1.5数据存储中心：

数据存储中心主要存储以下

几类数据，以媒体文件为主

的公共数据交换和处理区存储设备，以存储元数据为主的数据库系统，以存储消息为主的MQ系统。所有数据存储中心中：媒体文件存储设备、DB、MQ都分别一一进行了热备容错构建，避免单点故障，进而提高MSC（媒体服务中心）可用性。

2.1.6网管服务中心：MSC网管中心主要功能完成板块间互联互通的业务参数配置，MSC （媒体服务中心）系统所有进程的部署配置及实时监控，实时获取整个MSC系统中所有设备的资源利用等运行情况信息，包括计算机的CPU利用率、总内存、剩余内存、磁盘容量等信

息；MSU 进程实例处理任务的情况信息，包括当前MSU 进程实例是否是忙或者空闲状态信息，或者异常状态信息，正忙MSU 进程实例完成任务的百分比，正在处理的媒体文件名称，任务类型等状态信息；各个计算机设备及其对应进程的运行状态等信息，包括DSC 、HAC 进程的主、备和异常状态监控，也包括MSU 、MSUM 、MAD 、WLB 等进程是否正常或者异常状态信息，并可以远程完成以上进程实例的启动、结束或者结束命令动作。

2.2、异构媒体网关

2.2.1、UNIX 媒体门户网关是媒体传输的数据总线，也是制作业务板块与播出业务板块数据互联互通的唯一通道，外来数据必须经过播出门户网关才能进入播出业务板块。在本项目中，系统同时部署2个(主、备) 播

出媒体网关，既实现互为备份的多

路由通道，同时又增加了数据互联

互通的并发带宽。

2.2.2、门户网关采用成熟的

UNIX/LINUX 操作系统，确保门户网关本身不受Windows 病毒和恶意程序的感染、破坏。

2.2.3、数据传输速度等同于“点对点”的直联方式，门户网关采用端口映射方式与板块物理存储池进行联结。合法数据通过门户网关时不会停留，将被同步转发到目的存储地。这与目前采用“摆渡”方式的病毒隔离系统相比，具有更高的数据传输效率优势，网关本身也更安全。

2.2.4、与传统的防病毒软件和防火墙相比，不存在防护滞后的问题。传统的防病毒软件和防火墙总是在新病毒出现后才作相应的升级，这时系统可能已经遭受攻击和被破坏。

2.2.5、交换的数据采用“白名单”认证（白名单认证就是指只有系统能够识别的数据才能通过网关，这些数据只包括已经加入了白名单的媒体数据格式，以及该媒体数据格式关联的元数

据。），只有

“白名单”

中的数据才

能完整可靠

的进入系统，或者在系统内进行数据处理；

同时，由于对文件进行深度解析并通过解析后方可进入本系统，使那些“丢包”及破损的数据文件都被挡在本系统之外，保证数据的完整性和真实性。

3、极速网盾客户端

3.1极速网盾客户端

由含客户端软件和Agent （进程启动代理）组成。

提供本系统和第三方系统业务接口，具有上传、下载、查询、浏览等功能。

Agent主要完成当前计算机设备的运行环境资源监测，控制进程的启动、结束和状态检测。

媒体上载网关MNG(Media UpLoad Net Gateway)

各板块的媒体上载网关依托精心研发的调度和仿真软件引擎实现核心工作流程，实现第三方厂商业务系统的数据和我公司的系统交互，也可用于数据远程回传。

各个子业务板块终端站点上布置极速网盾客户端，其界面简洁直观，便于操作，可实时查看当前提交的任务完成情况，所提交任务完成后自动提示任务执行情况。

各地电视台的媒体网关与电视台中心媒资服务中心形成相互联结形成虚拟广域以太网，采用“客户端和服务器”架构模式。每个地区电视台实际是电视台的一个用户，只需输入用户名和密码即可登录联结电视台媒体服务中心公共存储区。

各地节目制作好后，媒体上载网关首先负责将其编码成MPEG2 IBP文件。登录联结后，使用内置CSS系统将新闻MPEG2 IBP文件以及相应的文稿发送入库到电视台媒资服务器的指定位置。

第三章极速网盾系统的特点

极速网盾富媒体安全传输解决方案部署灵活，易于扩展，支持同一数据多目标安全传输、分发；同时，可依据目标应用要求，进行转码，满足同一内容不同平台的应用。

支持“推”、“拉”模式

极速网盾富媒体安全传输解决方案根据目标业务板块部署的差异，MAD消息服务可提供推(push)、拉(pull)两种模式：板块准备好将要传输的数据，通过极速网盾客户端将待传数据推送至目标业务板块。

当通知消息来临时，若将传输信息主动“推给”目标板块，则为推模式；目标板块MAD 收到消息后，主动“扫描”并获取数据，则为拉模式。

全实时监控

极速网盾富媒体安全传输平台采用图形化监控界面，对设备、业务进程全实时监控，并提供及时消息处理、查询

业务、故障分析等。

支持多种文件格式

传输

极速网盾富媒体安

全传输平台，支持广

泛的文件格式，包括

MPEG-2 IBP和

MPEG-2 I帧、Mov、

V ob、MPEG-1、

MPEG-4、DV25、

DV50、H.264、

WMV、RM、ASP、Tga、BMP、JPEG、Wav、Mp3、Doc、Txt等。

支持多任务、多平台、多目标同步发送

1、满足电视台内网数据交互：通过统一的媒体网关，实现同一内容同时向制作、播出、媒资等多个子业务板块间数据跨板块、跨平台交互。

2、满足异地数据共享、远程交互：基于互联网资料互动传输，通过远程数据多目标分发、交互，将媒体内容的数据共享到本组织以外的任何一个有IP网络支持的地点，实现内容远程分发控制，有效保证媒体内容(新闻素材)的时效性。

3、满足“三网融合”业务需求：随着“三网融合”的逐步深入，极速网盾富媒体安全传输解决方案可以与广播电视网、互联网、电信网实现媒体内容的“无缝融合”，使同一内容自动后台转码，在不同终端、不同平台采用不同码率、不同分辨率、不同编码格式同步发布成为现实。