基于国密SVAC视频编码的分布式KVM系统及方法与流程

本发明涉及计算机，具体为基于国密svac视频编码的分布式kvm系统及方法。

背景技术：

1、中机房管理系统中，kvm(keyboard、video、mouse，即键盘视频鼠标)是最常用的设备，通过该设备，可用一套鼠标键盘访问控制多个目标主机，极大的简化了设备，传统分布式kvm系统采用h.264或h.265非加密明文视频编码方式传输kvm数据流，存在kvm数据被篡改、监听、劫持的网络安全风险；除此之外，在多用户和多任务的环境中，用户对kvm数据的访问操作带来数据泄露或未授权访问的风险；为此，如何增加多用户和多任务环境中kvm数据的安全性成为了一个亟需解决的问题。

技术实现思路

1、本发明的目的在于提供基于国密svac视频编码的分布式kvm系统及方法，以解决上述背景技术中提出的问题。

2、在本发明的一个方面，提供基于国密svac视频编码的分布式kvm方法，包括：

3、s11，获取目标用户对电脑终端的访问控制记录；

4、s12，根据目标用户对目标电脑终端的访问控制记录，确定目标用户的第一风险值；所述目标电脑终端为目标用户持有访问控制权限的电脑终端；

5、s13，根据所有用户在每个目标电脑终端上的访问控制记录，确定目标用户的第二风险值；

6、s14，基于目标用户的第一风险值和第二风险值判断目标用户是否存在异常，

7、若存在异常，则关闭目标用户对目标电脑终端的访问控制权限，对目标用户进行身份验证，若目标用户通过身份验证则再次开放权限，并将此时的第一风险值和第二风险值标注为正常数据，若未通过身份验证，则将此时的第一风险值和第二风险值标注为异常数据；

8、若不存在异常，则不限制目标用户对目标电脑终端的访问控制权限；

9、s15，目标用户通过自身权限对目标电脑终端进行访问控制，对电脑终端的音视频数据进行svac2加密编码，目标用户基于接收的音视频数据通过一套键盘和鼠标热键切换对所有电脑终端的信号进行访问控制管理。

10、在步骤s12中，所述根据目标用户对目标电脑终端的访问控制记录，确定目标用户的第一风险值，还包括以下步骤：

11、s21，在一个访问控制周期内，获取目标用户对目标电脑终端的访问控制序列；从首个被目标用户访问控制的电脑终端开始，忽略重复被访问控制的电脑终端，当目标用户对所有目标电脑终端均存在访问控制行为之后，按照时间先后得到目标用户对目标电脑终端的访问控制序列；一个访问控制周期根据用户的任务安排进行确定，当用户的任务为每个小时对电脑终端信号进行一次访问控制，则访问控制周期可设置为一个小时；

12、s22，通过目标电脑终端的索引编号表示目标用户对目标电脑终端的访问控制序列，在目标用户的历史数据中，确定目标用户对目标电脑终端的不同访问控制序列的出现次数，找出出现次数的众数，众数对应的访问控制序列为基准访问控制序列，计算目标用户对目标电脑终端的访问控制序列与基准访问控制序列的绝对误差和se，d1i为目标用户对目标电脑终端的访问控制序列中，第i个目标电脑终端的序列位置，d2i第i个目标电脑终端在基准访问控制序列的位置，m为目标电脑终端的数量；基于绝对误差和se确定次序风险f，semin为历史访问控制序列与基准访问控制序列绝对误差和的最小值，semax为历史访问控制序列与基准访问控制序列绝对误差和的最大值；

13、用户通常会按照固定的顺序对电脑终端进行访问控制，当用户对电脑终端的访问控制顺序与历史行为不符时，可能是其他人员窃取了用户信息对电脑终端进行了未授权的访问，因而根据目标用户对目标电脑终端的访问控制序列与基准访问控制序列的绝对误差和判断次序风险；

14、s23，目标电脑终端判断用户是否存在超出权限的行为，若存在，则超限风险f1为1，否则f1为0；作为权限的持有者，用户能够知道自己的权限范围，而未经授权的访问会尝试获取权限范围之外的数据；

15、s24，确定目标用户对目标电脑终端进行访问控制周期所处的时间，计算时间风险f2，令t1和t2表示目标用户对目标电脑终端进行的访问控制的访问控制周期所处的时间起点和终点，基于目标用户的历史数据，确定目标用户在[t1,t2]时间内进行访问控制的概率p1，令t表示时间随机变量，n为目标用户历史数据的数量，n1为目标用户在时间t1之前进行访问控制的历史数据的数量，n2为目标用户在时间t2之后进行访问控制的历史数据的数量，根据p1确定时间风险f2，f2＝p12-2×p1+1；

16、当p1为0时，说明用户在这个时间段进行访问控制的概率为0，此时f2为1，风险值达到最大值；当p1为1时，说明用户在这个时间段进行访问控制的概率为1，此时f2为0，风险值达到最小值，且随着p1增加，风险值减小的速度也逐渐减小，表现出来即为风险值降低的难度会逐渐增加，更符合现实情况。

17、s25，令目标用户在一个访问控制周期内对目标电脑终端进行访问控制的次数为n，基于n确定次数风险f3，n众为历史数据中一个访问控制周期内目标用户对目标电脑终端进行访问控制次数的众数，p2为一个访问控制周期内目标用户对目标电脑终端进行访问控制次数达到n的概率，令num表示访问控制次数随机变量，sn1为一个访问控制周期内目标用户访问控制次数少于n的历史数据的数量；

18、s26，确定目标用户的第一风险值f，f＝f(1+f1+f2+f3)。

19、在步骤s13中，所述根据所有用户在每个目标电脑终端上的访问控制记录，确定目标用户的第二风险值还包括以下步骤：

20、令g表示目标用户的第二风险值，gi表示第i个目标电脑终端的风险值，表示第i个目标电脑终端上目标用户的第j次访问控制行为带来的风险值，b为一个周期内第i个目标电脑终端上目标用户的访问控制行为次数；根据第i个目标电脑终端上目标用户的第j次访问控制行为之前的其他对第i个目标电脑终端进行访问控制的用户身份，确定出当用户身份为时，vi表示目标用户在第i个目标电脑终端上进行访问控制操作的历史数据数量，vi(u)表示在用户之后目标用户对第i个目标电脑终端上进行访问控制操作的历史数据数量，对u额外进行赋值，用于表示目标用户之前没有其他用户进行访问控制的情况；k为正数，用于减少单次访问控制行为带来的风险值。

21、通常情况下不会出现0的情况，防止出现多次为0的情况风险值却不增加，同时为了减少正常情况下的风险值，设置正数k进行放缩处理，针对多次访问控制行为的情况。

22、除了用户自身的访问控制次序，电脑终端上也存在包括用户在内的访问控制记录，根据目标用户权限，目标用户可能需要在其他用户的基础上完成职责，需要在其他用户完成职责之后再对电脑终端进行访问控制，利用电脑终端上不同用户的访问控制记录确定出目标用户的第二风险值。

23、具体地，k通过以下步骤进行确定：

24、从所有用户对电脑终端的访问控制记录中，获取异常访问控制记录中电脑终端被访问控制的次数，计算出所有异常访问控制记录中电脑终端被访问控制的次数的平均值ave；令vimax和vimin表示vi(u)的最大值和最小值，

25、平均值ave基于所有用户身份进行确定，为了及时确定异常访问控制行为，需要在ave的基础上进行减小，取极端情况下，利用gji的最小值和最大值的比值对ave进行减小。

26、在步骤s14中，所述基于目标用户的第一风险值和第二风险值判断目标用户是否存在异常还包括以下步骤：

27、获取所有用户对电脑终端的访问控制记录，得到所有用户的第一风险值和第二风险值数据，并将数据分成训练集和测试集；令正常数据为正例，异常数据为负例，利用训练集数据训练二分类模型区分正例和负例，并以测试集数据对二分类模型进行验证；通过验证之后，将目标用户的第一风险值和第二风险值输入到第二分类模型中，根据分类结果进行判断，若输出为正例，则目标用户不存在异常，否则目标用户存在异常。每个用户在一个周期内的数据都能够作为数据，分别对正常数据和异常数据赋予标签1和0，将第一风险值和第二风险值数据作输入，标签作为输入，训练支持向量机、人工神经网络、卷积神经网络等分类模型，可实现对目标用户的异常判断。

28、在本发明的另一个方面，提供基于国密svac视频编码的分布式kvm系统，包括：权限管理模块、记录存储模块、数据分析模块和kvm模块，所述权限管理模块的输出端与所述kvm模块的输入端相连接，用于对用户的权限进行访问控制；所述数据分析模块的输出端与所述权限管理模型的输入端相连接，根据目标用户对电脑终端的访问控制记录，判断目标用户是否存在异常，若存在异常，则向权限管理模块发送关闭目标用户的访问控制权限指令，若不存在异常，则不限制目标用户的访问控制权限；所述kvm模块的输出端与所述记录存储模块的输入端相连接，用于实现用户对电脑终端信号的访问控制，并将每个用户对权限内电脑终端的访问控制记录、每个电脑终端上所有用户的访问控制记录发送到记录存储模块中；所述记录存储模块的输出端与所述数据分析模块的输入端相连接，用于存储所有用户的访问控制记录，为数据分析模块提供异常分析所需要的数据。

29、所述kvm模块还包括网络交换机、kvm坐席输入单元、kvm管理中心系统、拼接显示墙和电脑终端，所述kvm坐席输入单元通过光或电性连接相对应的电脑终端，所述kvm坐席输入单元均光或电性连接网络交换机，所述网络交换机电性连接kvm管理中心系统，所述kvm管理中心系统由kvm坐席输出单元、显示器、键盘和鼠标组成，所述kvm坐席输出单元均与网络交换机电性连接，所述kvm坐席输出单元均与显示器电性连接，所述kvm坐席输出单元均与键盘和鼠标电性连接，所述kvm坐席输出单元均与拼接显示墙电性连接。

30、所述kvm坐席输入单元通过svac2国密编码协议对音频、视频和访问控制数据进行加密编码后传输至网络交换机，kvm坐席输出单元将网络交换机发送来的音频、视频和访问控制数据信号，进行解密解码显示；所述网络交换机内部设置有asci处理芯片，将采集到的音视频数据信号编码打包并发送至kvm坐席输出单元；所述键盘和鼠标用于访问控制kvm坐席输入单元的信号显示和切换，所述鼠标还用于kvm坐席输入单元之间的漫游热键切换。

31、所述数据分析模块还包括用户风险值确定单元、电脑终端风险值确定单元和异常分析单元，所述用户风险值确定单元根据目标用户对电脑终端的访问控制次序、访问控制时间和访问控制次数确定目标用户的第一风险值，所述电脑终端风险值确定单元根据电脑终端上包括目标用户在内的所有用户的访问控制记录数据，确定目标用户的第二风险值；所述异常分析单元基于目标用户的第一风险值和第二风险值判断异常情况，并生成指令。

32、所述用户风险值确定单元基于目标用户对目标电脑终端的访问控制序列与基准访问控制序列的绝对误差和确定次序风险，根据用户是否存在超出权限的行为确定超限风险，基于目标用户对目标电脑终端进行的访问控制的访问控制周期所处的时间确定时间风险，基于目标用户在一个访问控制周期内对目标电脑终端进行访问控制的次数确定次数风险，基于次序风险、超限风险、时间风险和次数风险确定目标用户的第一风险值。

33、与现有技术相比，本发明所达到的有益效果是：通过国密视频编码svac2方式防止kvm数据流的非授权访问和非法监听，通过网络交换机网络传输至kvm管理中心系统，通过kvm管理中心系统的kvm坐席输出节点可将网络内的所有节点进行视频预监，可视化访问控制切换管理，使用一套鼠标和键盘通过热键切换即可对所有节点的信号进行访问控制管理，通过分布式组网方式实现了点对多可视化切换访问控制，在网络内任何地方使用kvm访问控制web客户端都可实现远程访问控制，实现kvm加密数据流的传输访问控制，减少传输过程中kvm数据的风险；通过用户的访问控制行为确定第一风险值和第二风险值，对用户进行异常分析，减少用户给kvm数据带来的安全风险。