CN102316119B - 一种安全控制方法和设备 - Google Patents
一种安全控制方法和设备 Download PDFInfo
- Publication number
- CN102316119B CN102316119B CN201110307851.7A CN201110307851A CN102316119B CN 102316119 B CN102316119 B CN 102316119B CN 201110307851 A CN201110307851 A CN 201110307851A CN 102316119 B CN102316119 B CN 102316119B
- Authority
- CN
- China
- Prior art keywords
- message
- server
- registration
- access device
- encoding device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种安全控制方法和设备,该方法包括:接入设备接收来自编码设备的注册请求消息,并将所述注册请求消息发送给VM服务器;当所述接入设备未接收到所述VM服务器返回的注册成功消息时,所述接入设备确定所述编码设备为非法接入客户端,并禁止通过所述接收端口转发来自所述编码设备的信息。本发明中,能够保证IP网络中仅仅出现合法的监控业务数据流,最大限度的提高网络带宽的利用率。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种安全控制方法和设备。
背景技术
随着网络技术和IP技术的不断发展,基于IP和网络的智能监控技术得到快速发展,IP监控已成为目前监控的主流。但是,IP网络是开放式网络,对监控系统存在安全威胁;即接入IP网络的设备可以对监控系统进行业务攻击,从而导致监控系统瘫痪;或监听监控系统中其他用户的数据流,窃取自身没有权限访问的数据资料。例如,非法用户模拟EC(Encoder,编码器)来攻击监控系统或模拟数据流干扰正常监控。
如图1所示,为目前IP视频监控的组网示意图,包括:MS(Media Switch,媒体交换)服务器、EC、VM(Video Management,视频管理)服务器、VC(Video Client视频客户端)等。其中,各EC指定使用MS服务器进行数据流分发时,VC将使用MS服务器实现单播实况或回放存储录像;当多台VC点播某路实况图像时,MS服务器需复制多份向VC转发。
现有技术中,如图2所示,为EAD(Endpoint Admission Defense,端点准入防御)的实现过程示意图,EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器等)、安全策略服务器、以及防病毒服务器、补丁服务器的联动实现的,该实现过程包括:
(1)用户试图接入网络时,首先通过安全客户端进行用户身份认证,该过程中非法用户将被拒绝接入网络。
(2)合法用户将被要求进行安全认证,由安全策略服务器验证补丁版本、病毒库版本、安全设置等是否合格,不合格的用户将被安全联动设备隔离到隔离区。
(3)进入隔离区的用户进行补丁升级、病毒库升级等操作,直到可以通过安全策略服务器的验证,安全状态合格为止。
(4)安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务。
综上所述,EAD将防病毒、补丁修复等安全措施与网络接入控制、访问权限控制等网络安全措施整合为联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
但是,由于监控系统的IP地址和端口号非常多,部分端口号是临时分配的;且EAD是对接入到网络中的用户进行身份认证,并根据用户的权限下发相应的访问策略,这些访问策略是管理员指定的;因此,EAD无法对监控系统的访问进行全面有效的控制。例如,1个编码器有16路摄像头,16路摄像头的数据流的源IP地址相同,但端口号不同,且端口号是监控系统临时确定的;该情况下,使用EAD将无法控制VC仅获取其中某个摄像头的数据流,EAD只能允许VC获取所有16路摄像头的数据流,或不允许VC获取数据流。
为了实现安全控制,还可以对数据流进行加密,即数据流在发送端进行加密,在接收端进行解密。由于数据流在网路中是密文传输,因此,即使非法用户窃取到该加密的数据流,也无法进行机密,即无法获得其中的数据。
但是,该方法需要使用复杂的加密算法,对监控系统的资源要求比较高,需要使用专门的硬件加密卡才能满足大流量、多用户的访问要求;即要求监控系统中的每台设备配备加密卡,实现很困难。另外,对于组播数据也不好进行数据加密。
发明内容
本发明提供一种安全控制方法和设备,以在监控系统中实现安全控制。
为了达到上述目的,本发明提供一种安全控制方法,应用于包括接入设备、编码设备和视频管理VM服务器的监控系统中,该方法包括以下步骤:
所述接入设备接收来自所述编码设备的注册请求消息,并将所述注册请求消息发送给所述VM服务器;
当所述接入设备接收到所述VM服务器返回的注册成功消息时,所述接入设备将注册成功消息中携带的安全配置信息下发到所述接入设备上接收到所述注册请求消息的接收端口,以利用所述安全配置信息允许所述编码设备通过所述接收端口与所述VM服务器之间实现双向监控通信;
当所述接入设备未接收到所述VM服务器返回的注册成功消息时,所述接入设备确定所述编码设备为非法接入客户端,并禁止通过所述接收端口转发来自所述编码设备的信息。
在所述接入设备将注册成功消息中携带的安全配置信息下发到所述注册请求消息的接收端口之前,所述接入设备仅允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息;
在所述接入设备禁止通过所述接收端口转发来自所述编码设备的信息之后,所述接入设备禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
在所述接入设备禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息之后,当达到预设第一时间或者接收到所述VM服务器返回的注册成功消息时,所述接入设备允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
所述接入设备未接收到所述VM服务器返回的注册成功消息,具体包括:
所述接入设备在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息,和/或,在预设第二时间内未接收到所述VM服务器返回的注册成功消息,所述接入设备确认未接收到所述VM服务器返回的注册成功消息。
该方法进一步包括:在将所述注册请求消息发送给所述VM服务器时,所述接入设备将自身的设备ID和所述接收端口信息添加到所述注册请求消息中;在所述接入设备接收到所述VM服务器返回的注册成功消息时,所述接入设备检查所述注册成功消息中携带的设备ID和接收端口信息是否正确,如果是,所述接入设备将所述安全配置信息下发到所述接收端口,否则,所述接入设备丢弃所述注册成功消息。
在所述编码设备注册成功后,所述方法还包括:所述编码设备接收来自所述VM服务器的监控业务点播通告消息,所述监控业务点播通告消息中携带监控业务数据流对应的目的地址和端口信息;
当所述编码设备确定监控业务合法时,向所述接入设备发送安全通告请求消息,所述安全通告请求消息用于请求所述接入设备转发所述编码设备、与所述目的地址和端口信息对应的设备之间的监控业务数据流;
所述接入设备接收来自所述编码设备的安全通告请求消息,在所述接入设备上接收到所述安全通告请求消息的接收端口下发安全配置信息,以利用所述安全配置信息允许所述安全通告请求消息所请求的监控业务数据流通过所述接入设备进行转发。
在所述编码设备注册成功,且所述编码设备当前在发送监控业务数据流时,所述方法还包括:
所述编码设备接收来自所述VM服务器的监控业务结束请求消息,所述监控业务结束请求消息中携带监控业务数据流对应的目的地址和端口信息;
所述编码设备停止发送所述目的地址和端口信息对应的监控业务数据流,并向所述接入设备发送安全配置回收消息,所述安全配置回收消息用于请求所述接入设备停止转发所述编码设备、与所述目的地址和端口信息对应的设备之间的监控业务数据流;
所述接入设备接收来自所述编码设备的安全配置回收消息,在所述接入设备上接收到所述安全配置回收消息的接收端口删除对应的安全配置信息。
一种接入设备,应用于包括所述接入设备、编码设备和视频管理VM服务器的监控系统中,所述接入设备包括:
通信模块,用于接收来自所述编码设备的注册请求消息,并将所述注册请求消息发送给所述VM服务器;
处理模块,用于当接收到所述VM服务器返回的注册成功消息时,将注册成功消息中携带的安全配置信息下发到所述接入设备上接收到所述注册请求消息的接收端口,以利用所述安全配置信息允许所述编码设备通过所述接收端口与所述VM服务器之间实现双向监控通信;
当未接收到所述VM服务器返回的注册成功消息时,确定所述编码设备为非法接入客户端,并禁止通过所述接收端口转发来自所述编码设备的信息。
所述处理模块,还用于在将注册成功消息中携带的安全配置信息下发到所述注册请求消息的接收端口之前,仅允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息;
在禁止通过所述接收端口转发来自所述编码设备的信息之后,禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
所述处理模块,还用于在禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息之后,当达到预设第一时间或者接收到所述VM服务器返回的注册成功消息时,允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
所述处理模块,进一步用于在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息,和/或,在预设第二时间内未接收到所述VM服务器返回的注册成功消息,则确认未接收到所述VM服务器返回的注册成功消息。
所述通信模块,还用于在将所述注册请求消息发送给所述VM服务器时,将自身的设备ID和所述接收端口信息添加到所述注册请求消息中;
所述处理模块,还用于在接收到所述VM服务器返回的注册成功消息时,检查所述注册成功消息中携带的设备ID和接收端口信息是否正确,如果是,将所述安全配置信息下发到所述接收端口,否则,丢弃所述注册成功消息。
在所述编码设备注册成功后,所述通信模块,还用于接收来自所述编码设备的安全通告请求消息;
所述处理模块,还用于在安全通告请求消息的接收端口下发安全配置信息,以利用所述安全配置信息允许所述安全通告请求消息所请求的监控业务数据流通过所述接入设备进行转发。
在所述编码设备注册成功,且所述编码设备当前在发送监控业务数据流时,所述通信模块,还用于接收来自所述编码设备的安全配置回收消息;
所述处理模块,还用于在安全配置回收消息的接收端口删除对应的安全配置信息。
与现有技术相比,本发明至少具有以下优点:VM服务器可以根据监控业务灵活控制接入设备的安全部署和流量准入控制,能够保证IP网络中仅仅出现合法的监控业务数据流,最大限度的提高网络带宽的利用率;而且从网络协议层面来控制监控业务数据流,接入层安全,高效、简洁且安全,不需要安全控制服务器,即可以在监控业务接入层,保证监控业务数据流的安全性。
附图说明
图1是现有技术中IP视频监控的组网示意图;
图2是现有技术中EAD的实现过程示意图;
图3是本发明提供的一种安全控制方法流程图;
图4是本发明提出的一种接入设备的结构图。
具体实施方式
本发明提出一种安全控制方法,该方法应用于包括接入设备(如接入交换机、路由器等)、编码设备(如EC)和VM服务器的监控系统中,该接入设备与编码设备之间为直接连接,如图3所示,该方法包括以下步骤:
步骤301,编码设备向接入设备发送注册请求消息,该注册请求消息的目的地址为VM服务器,且用于到VM服务器上进行注册。
步骤302,接入设备接收来自编码设备的注册请求消息,并将注册请求消息发送给VM服务器。
本发明中,在编码设备未注册成功之前,接入设备需要在与编码设备直连的端口(该端口为接入层端口,如端口P)上,监听注册请求消息,并当在端口P上监听到注册请求消息后,将注册请求消息发送给VM服务器。
需要注意的是,在编码设备未注册成功之前,接入设备默认仅允许向VM服务器转发通过端口P接收到的来自编码设备的注册请求消息;对于端口P上接收到的其他类型的报文,接入设备均直接丢弃。
本发明中,当监听到注册请求消息后,在将注册请求消息发送给VM服务器时,接入设备还需要将自身的设备ID(一般为接入设备的环回口IP地址或管理口IP地址)和注册请求消息的接收端口信息(即端口号P)添加到注册请求消息的相应字段中。
步骤303,接入设备判断是否接收到VM服务器返回的注册成功消息,当接入设备接收到VM服务器返回的注册成功消息时,执行步骤304;当接入设备未接收到VM服务器返回的注册成功消息时(如接收到注册失败消息或未接收到返回的任何消息),执行步骤305。
VM服务器在接收到注册请求消息后,会利用该注册请求消息实现对编码设备的注册,并在注册成功时返回注册成功消息,否则返回注册失败消息或不返回消息,该过程不再赘述。基于VM服务器的上述处理,接入设备可以判断出是否接收到VM服务器返回的注册成功消息。
步骤304,接入设备将注册成功消息中携带的安全配置信息下发到注册请求消息的接收端口(即端口P),以利用安全配置信息允许编码设备通过该接收端口与VM服务器之间实现双向监控通信。其中,该安全配置信息为允许编码设备通过端口P与VM服务器之间实现双向监控通信,且VM服务器返回的注册成功消息中会携带该安全配置信息。
具体的,在注册成功消息中还需要携带设备ID和接收端口信息,在接入设备接收到VM服务器返回的注册成功消息时,接入设备检查注册成功消息中携带的设备ID和接收端口信息是否正确;如果是,则接入设备将安全配置信息下发到端口P,从而仅允许编码设备与VM服务器之间的双向监控通信,其他无关通信或者恶意攻击信息均无法通过该接入设备进行转发;否则,接入设备直接丢弃注册成功消息,此时不将安全配置信息下发到端口P。
需要说明的是,由于在编码设备未注册成功之前,接入设备默认仅允许向VM服务器转发通过端口P接收到的来自编码设备的注册请求消息;因此,在接入设备将注册成功消息中携带的安全配置信息下发到端口P之前,接入设备仅允许通过端口P向VM服务器转发来自编码设备的注册请求消息;在接入设备将注册成功消息中携带的安全配置信息下发到端口P之后,接入设备允许通过端口P向VM服务器转发来自编码设备的其他类型的信息。
步骤305,接入设备确定编码设备为非法接入客户端,并禁止通过接收端口转发来自编码设备的信息。
需要注意的是,在接入设备禁止通过端口P转发来自编码设备的信息之后,则接入设备也将禁止通过端口P向VM服务器转发来自编码设备的注册请求消息,此时不会转发来自编码设备的任何信息。
具体的,接入设备在向VM服务器发送预设次数(例如预设次数为经验值5次,实际应用中还可以进行调整)的注册请求消息后未接收到VM服务器返回的注册成功消息,和/或,在预设第二时间(例如预设第二时间为经验值120s,实际应用中还可以进行调整)内未接收到VM服务器返回的注册成功消息,则接入设备确认未接收到VM服务器返回的注册成功消息。
例如,接入设备在连续向VM服务器发送5次注册请求消息后,均未接收到VM服务器返回的注册成功消息,则确认未接收到VM服务器返回的注册成功消息;或者,接入设备在120s内均未接收到VM服务器返回的注册成功消息,则确认未接收到VM服务器返回的注册成功消息;或者,接入设备在连续向VM服务器发送5次注册请求消息后,如果在120s内均无法接收到VM服务器返回的注册成功消息(即注册ACK消息),则确认未接收到VM服务器返回的注册成功消息。
本发明中,在确认未接收到VM服务器返回的注册成功消息后,接入设备确定端口P进入注册静默阶段(该阶段禁止转发任何注册报文或业务数据),即认为编码设备为非法接入客户端(VM服务器中无此编码设备或编码设备与VM服务器的通信故障),因此避免了恶意攻击监控系统或无故耗用带宽资源的问题。
进一步的,在接入设备禁止通过端口P向VM服务器转发来自编码设备的注册请求消息之后,只有当达到预设时间(如等待静默定时器超时,该等待静默定时器在向VM服务器发送注册请求消息时启动)或者接收到VM服务器返回的注册成功消息时,注册静默阶段才能结束,之后,接入设备允许通过端口P向VM服务器转发来自编码设备的注册请求消息。
需要说明的是,上述处理是针对注册阶段的处理过程,在点播阶段中,在编码设备注册成功后,本发明提供的安全控制方法还可以包括:
步骤1、编码设备接收来自VM服务器的监控业务点播通告消息,该监控业务点播通告消息中携带监控业务数据流对应的目的地址和端口信息。
需要注意的是,VC如果需要查看某一摄像头的视频实况或存储录像,则VC登录注册到VM服务器上,请求查看某一摄像头的视频实况或存储录像,VM服务器根据VC的请求报文中的用户名等信息查看数据库,以确定该VC是否有查看这一摄像头的权限,如果有权限,则VM服务器返回ACK消息给VC,并向对应的编码设备发送监控业务点播通告消息,以请求编码设备将监控业务数据流发送给监控业务点播通告消息中指定的目的地址和端口。
步骤2、当编码设备根据监控业务点播通告消息确定监控业务合法时,向接入设备发送安全通告请求消息(即向直连的接入设备的端口发送安全通告请求消息),该安全通告请求消息用于请求接入设备转发编码设备、与目的地址和端口信息对应的设备之间的监控业务数据流。
步骤3、接入设备接收来自编码设备的安全通告请求消息,在安全通告请求消息的接收端口下发安全配置信息,以利用安全配置信息允许安全通告请求消息所请求的监控业务数据流通过接入设备进行转发。该安全配置信息为允许通过上述接收端口转发安全通告请求消息所请求的监控业务数据流。
本发明中,接入设备需要在收到安全通告请求消息的端口下发安全配置信息,允许安全通告请求消息所请求的监控业务数据流通过该接入设备进行转发,并在安全配置信息下发成功后,向编码设备返回成功的安全应答;编码设备在收到成功的安全应答后,向VM服务器回应点播业务请求成功消息。
此外,如果安全配置信息下发不成功,则接入设备向编码设备返回失败的安全应答消息,该消息中携带失败原因,编码设备在收到失败的安全应答后,向VM服务器回应监控业务点播失败应答消息,该消息中携带失败原因错误码,向VM服务器提出告警,以便VM服务器进行错误排查和集中管理。
需要注意的是,经过上述处理,在安全配置信息下发成功后,编码设备会通过该接入设备向目的地址和端口信息发送监控业务数据流,该过程在此不再详加赘述。
上述处理是针对注册阶段和点播阶段的处理过程,在回收阶段中,在编码设备注册成功,且编码设备当前在发送监控业务数据流时,本发明提供的安全控制方法还可以包括:
步骤A、编码设备接收来自VM服务器的监控业务结束请求消息,监控业务结束请求消息中携带监控业务数据流对应的目的地址和端口信息。
需要注意的是,VC实况点播和录像回放完成后,需要向VM服务器发送结束点播请求;VM服务器收到结束点播请求后,通知点播源(即编码设备)停止发送监控业务数据流给上述目的地址和端口信息,即VM服务器向编码设备发送监控业务结束请求消息。
步骤B、编码设备停止发送目的地址和端口信息对应的监控业务数据流,并向接入设备发送安全配置回收消息,该安全配置回收消息用于请求接入设备停止转发编码设备、与目的地址和端口信息对应的设备之间的监控业务数据流。
具体的,编码设备在接收到监控业务结束请求消息后,需要停止发送监控业务数据流给上述目的地址和端口信息,并进一步向接入设备发送安全配置回收消息。
步骤C、接入设备接收来自编码设备的安全配置回收消息,并在安全配置回收消息的接收端口删除对应的安全配置信息。由于该安全配置信息被删除,则后续无法再通过该接收端口发送编码设备、与目的地址和端口信息对应的设备之间的监控业务数据流。
本发明中,在删除安全配置信息后,接入设备会向编码设备回应删除成功消息;编码设备收到删除成功消息后,向VM服务器发送监控业务结束回应消息。此外,如果接入设备在接收端口上删除安全配置信息失败,则接入设备向编码设备回应删除失败消息;编码设备收到删除失败消息后,仍然停止发送对应的监控业务数据流,并向VM服务器发送监控业务结束回应消息,同时携带删除失败对应的错误码告警信息。
为了更加清楚的阐述本发明提供的技术方案,以下结合图1所示的监控网络,对本发明进行详细说明。假设编码设备EC1(IP地址为192.0.0.1)所直连的接入设备为交换机SW1(设备ID为Loopback0口IP地址:1.0.0.1),EC1在SW1上的接入端口为P1。
注册阶段:
1、EC1向VM服务器发送注册请求消息,SW1收到该注册请求消息后,将自身的设备ID(1.0.0.1)和接收端口信息P1添加到注册请求消息中,并将该注册请求消息继续向VM服务器转发,且SW1启动注册定时器。
2、如果在注册定时器1分钟(可根据实际情况进行配置)超时之前,SW1收到VM服务器返回的注册成功消息,则SW1检查注册成功消息中携带的设备ID和接收端口信息是否正确,如果均正确,则将注册成功消息中携带的安全配置下发到P1端口;如果上述信息出现错误,则丢弃该注册成功消息。
3、如果注册定时器超过1分钟,即在超时后仍然没有收到VM服务器返回的注册成功消息,则SW1可将P1端口设为注册静默端口,禁止P1端口转发任何注册报文或业务数据。
点播阶段:
1、VM服务器向EC1发送监控业务点播通告消息,该监控业务点播通告消息中携带VM服务器为业务流(即监控业务数据流)分配的目的IP地址192.168.40.1和端口信息40000。
2、EC1收到监控业务点播通告消息后,检查该监控业务点播通告消息是否合法,如果该监控业务点播通告消息不合法,则向VM服务器回应点播失败消息,其中携带失败错误码。
3、如果检查该监控业务点播通告消息合法,则EC1向SW1发送安全通告请求消息,该安全通告请求消息中携带该业务流对应的五元组信息(其中携带的信息可以根据实际情况进行调整,只要可以唯一标识EC1与目的地址和端口之间的监控业务数据流即可):源IP地址192.0.0.1、源MAC地址0000-0011-2233、目的IP地址192.168.40.1、端口号40000、业务流优先级5。
4、SW1的P1端口收到该安全通告请求消息后,在P1端口上下发允许配置上述五元组对应业务流通过的安全配置,其他非法业务流均禁止。
SW1安全配置部署成功后,向EC1回应安全配置信息下发成功的消息;SW1安全配置部署失败后,向EC1回应安全配置信息下发失败的消息,且该消息中携带失败错误码。
5、EC1收到安全配置信息下发成功的消息后,向VM服务器回应点播业务请求成功消息,并发送对应的监控业务数据流到指定目的端。
6、EC1收到安全配置信息下发失败的消息后,向VM服务器回应点播失败应答消息,并携带失败错误码,向VM服务器提出告警,VM服务器收到后可进行错误排查和集中管理。
回收阶段:
1、VM服务器向EC1发送监控业务结束请求消息,该监控业务结束请求消息中携带VM服务器为该业务流(即监控业务数据流)分配的目的IP地址192.168.40.1和端口信息40000。
2、EC1收到监控业务结束请求消息后,检查该监控业务结束请求消息是否合法,如果非法,则向VM服务器回应停止点播失败消息,其中携带失败错误码。
3、如果检查该监控业务结束请求消息合法,EC1停止发送对应的业务流,向SW1发送安全配置回收消息,安全配置回收消息中携带业务流对应的五元组信息(与点播阶段的五元组信息对应):源IP地址192.0.0.1、源MAC地址0000-0011-2233、目的IP地址192.168.40.1、端口号40000、业务流优先级5。
4、SW1的P1端口收到该安全配置回收消息后,在P1端口上删除允许上述五元组对应业务流通过的安全配置,即禁止该业务流的转发。
SW1上对安全配置回收成功后,向EC1回应删除成功消息;SW1上对安全配置回收失败后,向EC1回应删除失败消息,该删除失败消息中携带失败错误码。
5、EC1收到删除成功消息后,向VM服务器回应停止点播成功消息。
6、EC1收到删除失败消息后,向VM服务器回应点播成功消息,但是携带安全回收失败的错误码,向VM服务器提出告警,VM服务器收到后可进行错误排查和集中管理。
综上所述,通过本发明采用的技术方案,具有以下优点:(1)VM服务器可以根据现有的监控业务灵活控制接入设备的安全部署和流量准入控制,保证了监控业务数据流在接入层安全,能够保证IP网络中仅仅出现合法的监控业务数据,最大限度的提高网络带宽利用率;(2)从网络协议层面来控制监控业务数据流,接入层安全,高效、简洁且安全;(3)不需要安全控制服务器,即可以在监控业务接入层,保证监控业务数据流的安性;(4)利用监控业务实时触发直连编码设备的接入设备进行安全控制,避免非法监控业务数据流越界;(5)解决视频监控组网中的业务安全问题,有效的防治IP网络中的恶意用户攻击视频监控系统中的监控服务器,从而造成视频监控系统崩溃的问题;保证非法用户无法绕开监控应用系统层的监管伪造视频监控数据,避免干扰正常视频监控。
基于与上述方法同样的发明构思,本发明还提出了一种接入设备,应用于包括所述接入设备、编码设备和视频管理VM服务器的监控系统中,如图4所示,所述接入设备包括:
通信模块11,用于接收来自所述编码设备的注册请求消息,并将所述注册请求消息发送给所述VM服务器;
处理模块12,用于当接收到所述VM服务器返回的注册成功消息时,将注册成功消息中携带的安全配置信息下发到所述接入设备上接收到所述注册请求消息的接收端口,以利用所述安全配置信息允许所述编码设备通过所述接收端口与所述VM服务器之间实现双向监控通信;
当未接收到所述VM服务器返回的注册成功消息时,确定所述编码设备为非法接入客户端,并禁止通过所述接收端口转发来自所述编码设备的信息。
所述处理模块12,还用于在将注册成功消息中携带的安全配置信息下发到所述注册请求消息的接收端口之前,仅允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息;
在禁止通过所述接收端口转发来自所述编码设备的信息之后,禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
所述处理模块12,还用于在禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息之后,当达到预设第一时间或者接收到所述VM服务器返回的注册成功消息时,允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
所述处理模块12,进一步用于在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息,和/或,在预设第二时间内未接收到所述VM服务器返回的注册成功消息,则确认未接收到所述VM服务器返回的注册成功消息。
所述通信模块11,还用于在将所述注册请求消息发送给所述VM服务器时,将自身的设备ID和所述接收端口信息添加到所述注册请求消息中;
所述处理模块12,还用于在接收到所述VM服务器返回的注册成功消息时,检查所述注册成功消息中携带的设备ID和接收端口信息是否正确;
如果是,将所述安全配置信息下发到所述接收端口,否则,丢弃所述注册成功消息。
本发明中,在所述编码设备注册成功后,
所述通信模块11,还用于接收来自所述编码设备的安全通告请求消息;
所述处理模块12,还用于在安全通告请求消息的接收端口下发安全配置信息,以利用所述安全配置信息允许所述安全通告请求消息所请求的监控业务数据流通过所述接入设备进行转发。
本发明中,在所述编码设备注册成功,且所述编码设备当前在发送监控业务数据流时,
所述通信模块11,还用于接收来自所述编码设备的安全配置回收消息;
所述处理模块12,还用于在安全配置回收消息的接收端口删除对应的安全配置信息。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (14)
1.一种安全控制方法,应用于包括接入设备、编码设备和视频管理VM服务器的监控系统中,其特征在于,该方法包括以下步骤:
所述接入设备接收来自所述编码设备的注册请求消息,并将所述注册请求消息发送给所述VM服务器;
当所述接入设备接收到所述VM服务器返回的注册成功消息时,所述接入设备将注册成功消息中携带的安全配置信息下发到所述接入设备上接收到所述注册请求消息的接收端口,以利用所述安全配置信息允许所述编码设备通过所述接收端口与所述VM服务器之间实现双向监控通信;
当所述接入设备未接收到所述VM服务器返回的注册成功消息时,所述接入设备确定所述编码设备为非法接入客户端,并禁止通过所述接收端口转发来自所述编码设备的信息。
2.如权利要求1所述的方法,其特征在于,
在所述接入设备将注册成功消息中携带的安全配置信息下发到所述注册请求消息的接收端口之前,所述接入设备仅允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息;
在所述接入设备禁止通过所述接收端口转发来自所述编码设备的信息之后,所述接入设备禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
3.如权利要求2所述的方法,其特征在于,
在所述接入设备禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息之后,当达到预设第一时间或者接收到所述VM服务器返回的注册成功消息时,所述接入设备允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
4.如权利要求1所述的方法,其特征在于,所述接入设备未接收到所述VM服务器返回的注册成功消息,具体包括:
所述接入设备在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息,和/或,在预设第二时间内未接收到所述VM服务器返回的注册成功消息,所述接入设备确认未接收到所述VM服务器返回的注册成功消息。
5.如权利要求1-4任一项所述的方法,其特征在于,该方法进一步包括:
在将所述注册请求消息发送给所述VM服务器时,所述接入设备将自身的设备ID和所述接收端口信息添加到所述注册请求消息中;
在所述接入设备接收到所述VM服务器返回的注册成功消息时,所述接入设备检查所述注册成功消息中携带的设备ID和接收端口信息是否正确,如果是,所述接入设备将所述安全配置信息下发到所述接收端口,否则,所述接入设备丢弃所述注册成功消息。
6.如权利要求1所述的方法,其特征在于,在所述编码设备注册成功后,所述方法还包括:
所述编码设备接收来自所述VM服务器的监控业务点播通告消息,所述监控业务点播通告消息中携带监控业务数据流对应的目的地址和端口信息;
当所述编码设备确定监控业务合法时,向所述接入设备发送安全通告请求消息,所述安全通告请求消息用于请求所述接入设备转发所述编码设备、与所述目的地址和端口信息对应的设备之间的监控业务数据流;
所述接入设备接收来自所述编码设备的安全通告请求消息,在所述接入设备上接收到所述安全通告请求消息的接收端口下发安全配置信息,以利用所述安全配置信息允许所述安全通告请求消息所请求的监控业务数据流通过所述接入设备进行转发。
7.如权利要求1所述的方法,其特征在于,在所述编码设备注册成功,且所述编码设备当前在发送监控业务数据流时,所述方法还包括:
所述编码设备接收来自所述VM服务器的监控业务结束请求消息,所述监控业务结束请求消息中携带监控业务数据流对应的目的地址和端口信息;
所述编码设备停止发送所述目的地址和端口信息对应的监控业务数据流,并向所述接入设备发送安全配置回收消息,所述安全配置回收消息用于请求所述接入设备停止转发所述编码设备、与所述目的地址和端口信息对应的设备之间的监控业务数据流;
所述接入设备接收来自所述编码设备的安全配置回收消息,在所述接入设备上接收到所述安全配置回收消息的接收端口删除对应的安全配置信息。
8.一种接入设备,应用于包括所述接入设备、编码设备和视频管理VM服务器的监控系统中,其特征在于,所述接入设备包括:
通信模块,用于接收来自所述编码设备的注册请求消息,并将所述注册请求消息发送给所述VM服务器;
处理模块,用于当接收到所述VM服务器返回的注册成功消息时,将注册成功消息中携带的安全配置信息下发到所述接入设备上接收到所述注册请求消息的接收端口,以利用所述安全配置信息允许所述编码设备通过所述接收端口与所述VM服务器之间实现双向监控通信;
当未接收到所述VM服务器返回的注册成功消息时,确定所述编码设备为非法接入客户端,并禁止通过所述接收端口转发来自所述编码设备的信息。
9.如权利要求8所述的接入设备,其特征在于,
所述处理模块,还用于在将注册成功消息中携带的安全配置信息下发到所述注册请求消息的接收端口之前,仅允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息;
在禁止通过所述接收端口转发来自所述编码设备的信息之后,禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
10.如权利要求9所述的接入设备,其特征在于,
所述处理模块,还用于在禁止通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息之后,当达到预设第一时间或者接收到所述VM服务器返回的注册成功消息时,允许通过所述接收端口向所述VM服务器转发来自所述编码设备的注册请求消息。
11.如权利要求8所述的接入设备,其特征在于,
所述处理模块,进一步用于在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息,和/或,在预设第二时间内未接收到所述VM服务器返回的注册成功消息,则确认未接收到所述VM服务器返回的注册成功消息。
12.如权利要求8-11任一项所述的接入设备,其特征在于,
所述通信模块,还用于在将所述注册请求消息发送给所述VM服务器时,将接入设备的设备ID和所述接收端口信息添加到所述注册请求消息中;
所述处理模块,还用于在接收到所述VM服务器返回的注册成功消息时,检查所述注册成功消息中携带的设备ID和接收端口信息是否正确,如果是,将所述安全配置信息下发到所述接收端口,否则,丢弃所述注册成功消息。
13.如权利要求8所述的接入设备,其特征在于,在所述编码设备注册成功后,
所述通信模块,还用于接收来自所述编码设备的安全通告请求消息;
所述处理模块,还用于在安全通告请求消息的接收端口下发安全配置信息,以利用所述安全配置信息允许所述安全通告请求消息所请求的监控业务数据流通过所述接入设备进行转发。
14.如权利要求8所述的接入设备,其特征在于,在所述编码设备注册成功,且所述编码设备当前在发送监控业务数据流时,
所述通信模块,还用于接收来自所述编码设备的安全配置回收消息;
所述处理模块,还用于在安全配置回收消息的接收端口删除对应的安全配置信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110307851.7A CN102316119B (zh) | 2011-10-12 | 2011-10-12 | 一种安全控制方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110307851.7A CN102316119B (zh) | 2011-10-12 | 2011-10-12 | 一种安全控制方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102316119A CN102316119A (zh) | 2012-01-11 |
| CN102316119B true CN102316119B (zh) | 2014-06-25 |
Family
ID=45428935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110307851.7A Active CN102316119B (zh) | 2011-10-12 | 2011-10-12 | 一种安全控制方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102316119B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104822163A (zh) * | 2014-02-03 | 2015-08-05 | 马维尔国际有限公司 | 一种用于单天线多模多卡终端的通用调度系统和方法 |
| CN105656927B (zh) * | 2016-02-23 | 2019-03-08 | 浙江宇视科技有限公司 | 一种安全访问方法及系统 |
| CN106411852B (zh) * | 2016-08-31 | 2020-01-14 | 浙江宇视科技有限公司 | 一种分布式终端准入控制方法和装置 |
| CN112312389B (zh) * | 2019-07-29 | 2022-05-06 | 中国移动通信集团广东有限公司 | 通信信息传输方法、装置及存储介质、电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1444815A (zh) * | 2000-07-28 | 2003-09-24 | 瑞吉威系统及软件有限公司 | 带有防火墙和网络地址转换的音频-视频电话 |
| CN1988553A (zh) * | 2006-12-14 | 2007-06-27 | 杭州华为三康技术有限公司 | 一种实现域名注册的方法和装置 |
| CN102209040A (zh) * | 2011-07-12 | 2011-10-05 | 杭州华三通信技术有限公司 | 基于多网络端口实现负载分担的方法和装置 |
-
2011
- 2011-10-12 CN CN201110307851.7A patent/CN102316119B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1444815A (zh) * | 2000-07-28 | 2003-09-24 | 瑞吉威系统及软件有限公司 | 带有防火墙和网络地址转换的音频-视频电话 |
| CN1988553A (zh) * | 2006-12-14 | 2007-06-27 | 杭州华为三康技术有限公司 | 一种实现域名注册的方法和装置 |
| CN102209040A (zh) * | 2011-07-12 | 2011-10-05 | 杭州华三通信技术有限公司 | 基于多网络端口实现负载分担的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102316119A (zh) | 2012-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8971537B2 (en) | Access control protocol for embedded devices | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| US5577209A (en) | Apparatus and method for providing multi-level security for communication among computers and terminals on a network | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| EP0606401B1 (en) | Apparatus and method for providing network security | |
| US20060190997A1 (en) | Method and system for transparent in-line protection of an electronic communications network | |
| CN103780580B (zh) | 提供能力访问策略的方法、服务器和系统 | |
| AU2005206813A1 (en) | Avoiding server storage of client state | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| CN101599977B (zh) | 网络业务的管理方法和系统 | |
| EP1760988A1 (en) | Multi-level and multi-factor security credentials management for network element authentication | |
| CN102333099B (zh) | 一种安全控制方法和设备 | |
| CN111277607A (zh) | 通信隧道模块、应用监控模块及移动终端安全接入系统 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| CN102316119B (zh) | 一种安全控制方法和设备 | |
| JP2008003879A (ja) | グループ参加管理方法及びシステム並びにプログラム | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN114697061B (zh) | 接入控制方法、装置、网络侧设备、终端及区块链节点 | |
| US10298588B2 (en) | Secure communication system and method | |
| CN114764492A (zh) | 基于区块链的sdp访问控制方法及系统 | |
| EP1530343B1 (en) | Method and system for creating authentication stacks in communication networks | |
| JPH11331181A (ja) | ネットワーク端末認証装置 | |
| EP1280315B1 (en) | Apparatus and method for providing network security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230602 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |