云上视频业务基于边缘容器的技术实践

视频网关是视频云系统下的一个边缘容器设备，它起着将视频数据承上启下的功能。

视频云

说到边缘视频网关就不得不提到云计算中的视频云，它是各领域的视频系统比如安防监控等向着智能化、物联网、上云发展的产物。

在云平台上通过云服务器和边缘视频设备将采集的视频输出编码后经过网络实时传输给终端，终端进行实时解码后显示输出。终端同时可以进行操作，经过网络将操作控制信息实时传送给云端应用后台对边缘视频设备进行控制。

一个物联网场景下云边协同的智能视频云系统，具有实时流、历史录像功能，并支持对视频数据算法分析与结果联动控制，可以兼容市面上大多数厂商的视频设备比如摄像头和NVR。不仅可以在公有云/私有云部署，甚至提供支持有损服务的本地局域网视频最小系统。

视频网关

视频网关是云计算在视频垂直领域中的边缘容器设备，可以将其理解连接视频数据在视频传感器与云上服务之间的桥梁，是视频云系统中的关键一环，实现视频设备广泛的兼容性以及云边协同都离不开它的身影。设计一个功能完备，可扩展，高可用的视频网关是非常值得投入的。

如何实现

视频网关需要实现的基本功能包括视频流采集与推送、视频设备接入与管理等，作为一个与底层硬件打交道的设备，又涉及到云计算中的接入、安全以及云边协同等方面，可谓麻雀虽小五脏俱全。

视频数据采集

视频云系统中视频数据的采集由位于边缘侧的视频网关完成，视频网关连接视频采集设备比如IPC/NVR, 通过厂家SDK或者ONVIF协议对视频采集设备进行管理，网关拉取视频采集设备的数据流并推送云端或者边缘侧的视频服务，由视频服务对视频数据进行转码、数据流协议转换等操作以适配不同的播放客户端。

视频设备管理

摄像头、NVR等视频设备位于用户局域网内，通过边缘视频网关接入到视频云系统中。边缘视频网关和视频设备需要在管理平台上通过导入的方式做登记以便明确视频网关与视频设备以及视频网关与业务的绑定关系。视频网关管理视频设备并将设备状态实时同步到云视频系统中，管理平台实现"设备影子"并提供对视频网关以及视频设备状态信息的增删改查接口。

数据安全

视频上云需要安全认证，视频云系统中边缘容器设备接入云端服务、边缘容器设备之间以及边缘容器设备与云端服务之间的数据流采用标准国密算法保证其运行的安全性，其中边缘容器设备接入云视频流程中采用国密sm2非对称秘钥技术保证接入安全，边缘容器设备与云视频之间的数据通道采用国密sm4对称秘钥技术保证信令与视频数据的安全。

设备接入

视频云系统中视频网关等边缘容器设备通常位于用户局域网内，视频网关在局域网内连接视频设备比如IPC或者NVR，并作为一个边缘容器设备接入到云视频。视频网关通过注册、登录方式接入云视频保证安全性，整个设备接入流程中视频网关与云视频之间通信采用国密sm2非对称加密技术进行消息加密与签名校验，接入云视频后视频网关与云视频之间的信令通道采用国密sm4对称秘钥方式进行数据加解密。

1）在视频云开放平台为视频网关设备申请sn序列号后即可以得到视频网关的私钥以及接入云视频所需的公钥;

2）视频网关接入云视频的注册阶段，首先网关使用网关私钥对自身信息进行签名，然后使用云视频公钥将签名信息以及设备sn等信息进行加密并发送云视频，这一过程可以保证网关的注册请求只能被云视频解析，并且云视频可以通过签名验签识别消息是由视频网关发出。

3）注册云视频成功后，云视频会将其与视频网关之间的信令通道等相关信息经过云视频私钥加密后返回给视频网关，视频网关通过云视频公钥可以解析。

4）视频网关接入云视频的登录阶段会与云视频协商信令通道对称秘钥，首先网关使用网关私钥对自身信息进行签名，然后使用云视频公钥将签名信息以及设备唯一标识、对称秘钥向量等信息进行加密后发送云视频，这一过程可以保证网关的登录请求只能被云视频解析，并且云视频可以通过签名验签识别消息是由视频网关发出。

5）登录云视频成功后，云视频会将其与视频网关之间信令通道中使用的对称秘钥key、token以及有效时间等信息经过云视频私钥加密后返回给视频网关，视频网关通过云视频公钥可以解析。

数据通道

边缘容器设备与云视频之间的业务数据，比如视频网关与云视频之间的视频流推送、摄像头列表维护等消息通过数据通道传达，采用国密sm2对称秘钥技术加密，如果数据通道的token、对称秘钥过期需要视频网关重新登录云视频获取。

以边缘视频网关向云视频推送视频流这一过程为例说明，视频网关采集到摄像头设备的视频流后对视频帧加密后传输到云端视频后台服务，其中视频网关与云端视频后台服务之间推视频流建立握手的token以及推流数据加密使用的国密sm4 key等安全信息是通过视频网关与云视频之间的数据通道下发的，视频链路保证该加密信息的单次使用时效性，也就是说单次