ISUP 协议 — 海康设备接入方式
海康设备接入方式 — ISUP 协议
文档版本: V1.0
适用范围: 煤矿工业视频监控平台
编写日期: 2026-06-12
1. 概述
ISUP(Intelligent Secure Union Protocol,智能安全联合协议)是海康威视推出的私有安全隧道协议,是 EHome 协议的升级替代版本。
定位: 针对 EHome 在安全性、穿透稳定性、复杂网络适应性等方面的不足进行全面重构,是当前海康推荐的主流设备接入协议。
适用场景: 井下/地面环网中的海康摄像机、NVR 等设备,通过矿用环网网关或 4G/5G 路由器安全注册到上层视频监控平台。
2. 技术原理与架构
2.1 核心架构
ISUP 基于 C/S 架构:
- ISUP 客户端(ISU-Client) — 内置于海康设备固件,主动向平台发起注册
- ISUP 服务器(ISU-Server) — 运行于平台侧或平台前置网关,接收设备注册、鉴权、管理会话
2.2 架构图
┌──────────────────┐ ┌──────────────────────┐ ┌──────────────────┐
│ 设备侧 (井下) │ │ 广域网/专网 │ │ 平台侧 (地面) │
│ │ │ │ │ │
│ ┌──────────────┐ │ 主动外连 │ ┌────────────────┐ │ 解析 │ ┌──────────────┐ │
│ │ 摄像机 / NVR │ │─────────►│ │ 防火墙/NAT网关 │──│─────────►│ │ ISUP 服务器 │ │
│ │(ISUP-Client) │ │ 隧道建立 │ │(不需端口映射) │ │ │ │(ISU-Server) │ │
│ └──────┬───────┘ │ │ └────────────────┘ │ │ └──────┬───────┘ │
│ │ │ │ │ │ │ │
│ TCP/TLS │ │ │ │ 验证、 │ │
│ 封装流 │ │ │ │ 解封装、│ │
│ 媒体/信令 │ │ │ │ 转发 │ │
│ ┌──────────────┐ │ └──────────────────────┘ │ ┌──────────────┐ │
│ │ 心跳保活 │ │ │ │ 流媒体服务 │ │
│ │ (5-30s) │ │ │ │ (客户端反向) │ │
│ └──────────────┘ │ │ └──────────────┘ │
└──────────────────┘ └──────────────────┘
2.3 核心技术特性
| 特性 | 实现 |
|---|---|
| 双向隧道 | 客户端主动发起 TCP/TLS 连接,建立虚拟隧道;平台可通过隧道反向发送控制信令 |
| 数据封装 | 信令、音视频流、文件全部封装在 ISUP 私有帧中,不再独立发送 RTP 流 |
| 流复用 | 单条物理连接内支持多逻辑通道,同时传输视频、音频、告警、对讲等多路数据 |
| 加密 | 默认支持 TLS 1.2/1.3,推荐始终开启 |
3. 与 EHome 协议的区别
| 特性 | EHome(旧) | ISUP(新) |
|---|---|---|
| 协议栈 | 自定义上层协议 | 重构的协议栈,支持流复用(Stream Multiplexing) |
| 安全性 | 弱:简单设备ID+密码鉴权 | 强:双向认证、TLS 1.2/1.3 强制加密、PKI 证书 |
| 穿透能力 | 基础,对复杂 NAT 支持不佳 | 强大:深度优化 TCP 穿透,支持 HTTP 代理封装 |
| 信令效率 | 较重 XML 信令 | 轻量化二进制帧,减少带宽占用 |
| 多会话支持 | 一条连接对应一个逻辑会话 | 单连接内多逻辑通道 |
| 配置复杂度 | 简单 | 略高(增加 TLS/证书选项) |
| 兼容性 | 仅海康设备 | 仅海康设备(无向后兼容 EHome) |
一句话总结: ISUP 是在 EHome 基础上,针对现代网络安全和复杂网络环境进行全面协议重构的升级版。
4. 安全机制
ISUP 的安全性是核心优势:
| 安全层 | 说明 |
|---|---|
| 传输加密 | TLS 1.2/1.3 加密隧道,防止窃听和篡改 |
| 设备身份认证(基础) | 设备 ID + 密码/Token 鉴权 |
| 设备身份认证(高级) | 证书双向认证(PKI):设备预置客户端证书,平台持有 CA 根证书,相互验证 |
| 信令完整性 | HMAC 校验,防止数据篡改 |
| 会话保护 | 心跳包携带认证 Token,防止会话劫持;断线自动重连重新鉴权 |
5. 通信流程(TLS 模式)
[海康设备] [平台 ISUP 服务器]
│ │
│ ① TCP (SSL/TLS) 连接建立 │
│ (设备主动连接: 平台IP:Port) │
│◄───── TLS Handshake (X.509 证书) ────►│
│ │
│ ② TLS 加密通道建立完毕 │
│ │
│ ③ 设备注册请求 (Register) │
│ {DeviceID, 密码/Token, 型号, 版本}│
│─────────────────────────────────────►│
│ │ ④ 鉴权验证
│ ⑤ 注册响应 (Register Response) │
│ {Result: Success, SessionID, ...} │
│◄─────────────────────────────────────│
│ │
│ ⑥ 持续心跳 (Heartbeat, 5-30s) │
│ (携带 SessionID/Token, 保活隧道) │
│◄═════════════════════════════════════►│
│ │
│ ⑦ 平台发起请求 (反向隧道) │
│ 例: "播放实时视频" │
│ (平台通过已建隧道发送信令帧) │
│◄─────────────────────────────────────│
│ │
│ ⑧ 设备响应流媒体数据 │
│ H.264/H.265 码流封装进 ISUP 隧道 │
│══════════════════════════════════════►│
│ │
│ ⑨ 断线 → 自动重连 (回到步骤①) │
6. 适用场景
| 场景 | 推荐理由 |
|---|---|
| 煤矿井下设备回传 | 穿透井下环网 NAT 和防火墙,地面平台统一管理 |
| 高安全等级场景 | TLS 加密 + 双向证书认证,满足等保 2.0 要求 |
| 复杂网络环境 | 跨运营商、多层 NAT、强防火墙(如仅开放 443 端口) |
| 远程运维与配置 | 反向隧道支持高延迟链路上的远程操作、固件升级 |
| 云平台部署 | 设备注册到 HikCentral Cloud 等海康云平台 |
7. 配置要求
设备端
| 参数 | 说明 |
|---|---|
| 固件要求 | NVR ≥ V4.1+ / IPC ≥ V5.5+ |
| 菜单路径 | 网络 → 高级配置 → ISUP |
| 启用 ISUP | 打开 |
| 服务器地址 | 平台 ISUP 服务器的公网 IP 或域名 |
| 端口号 | 默认 7660(TCP)或 7443(TLS) |
| 设备 ID | 平台分配的唯一标识 |
| 密码/Token | 设备注册密钥 |
| TLS 模式 | 建议开启 |
平台端
| 参数 | 说明 |
|---|---|
| 部署要求 | 需支持 ISUP 的服务(iVMS-4200 V3.x+ / HikCentral) |
| 端口放行 | 服务器 7660/7443 端口对外开放 |
| 设备库 | 创建设备 ID 和密码 |
| 证书(可选) | 配置 CA 和证书下发流程 |
8. 优缺点
优点
- ✅ 高安全性 — 比 EHome 和 GB/T 28181 的安全内置能力最强(TLS+双向证书)
- ✅ 强网络穿透 — 基于 TCP 隧道优化,无需端口映射,煤矿复杂网络表现极佳
- ✅ 传输效率高 — 多路复用和二进制封装,信令开销小于 EHome
- ✅ 易运维 — 设备即插即用,网络拓扑变更不影响联通
- ✅ 功能完整 — 预览、回放、PTZ、告警、升级全支持
缺点
- ❌ 私有协议 — 完全海康专有,无法与第三方品牌互通
- ❌ 平台锁定 — 迁移到非海康平台需切换协议
- ❌ 配置稍复杂 — 比 EHome 多 TLS/证书配置
- ❌ 带宽消耗 — 流媒体经平台转发时,对平台带宽要求高
9. 煤矿场景建议
- 海康设备优先走 ISUP — 除非网络条件极其恶劣(如极低带宽卫星链路)
- 务必开启 TLS — 煤矿场景下,启用加密传输
- 异构接入共存 — 平台同时支持 GB/T 28181(国标)和 ISUP(海康私有)
- 端口放行 — 协调网络管理员开放出方向的 TCP 7660/7443 端口