发明内容
本发明提供一种安全控制方法和设备,以在监控系统中实现安全控制。
为了达到上述目的,本发明提供一种安全控制方法,应用于包括VC和MS的监控系统中,所述VC和所述MS之间至少存在一个接入设备,该方法包括:
所述接入设备监听所述VC向所述MS发送的携带VLAN信息的VLAN注册加入消息,并记录所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,监听所述MS向所述VC发送的携带所述VLAN信息的VLAN注册加入消息,并记录所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系;
所述接入设备在所述VC发送的VLAN注册加入消息的接收端口上接收到来自所述VC的数据,且来自所述VC的数据中携带所述VLAN信息时,将来自所述VC的数据发送给所述MS;以及,在所述MS发送的VLAN注册加入消息的接收端口上接收到来自所述MS的数据,且来自所述MS的数据中携带所述VLAN信息时,将来自所述MS的数据发送给所述VC。
所述监控系统中还包括VM服务器,所述接入设备监听所述VC向所述MS发送的携带VLAN信息的VLAN注册加入消息,之前还包括:
所述VC向所述VM服务器发送请求查看数据的业务请求消息,并在所述VM服务器允许所述VC查看所述数据时,接收所述VM服务器返回的业务应答消息,所述业务应答消息中携带所述VC与所述MS之间传输的数据所对应的所述VLAN信息、以及所述MS的地址信息;
所述VC利用所述MS的地址信息向所述MS发送携带所述VLAN信息的VLAN注册加入消息。
所述接入设备监听所述MS向所述VC发送的携带所述VLAN信息的VLAN注册加入消息,之前还包括:
在所述VM服务器允许所述VC查看所述数据时,所述MS接收来自所述VM服务器的通告消息,所述通告消息中携带所述VC与所述MS之间传输的数据所对应的VLAN信息、以及所述VC的地址信息;
所述MS利用所述VC的地址信息向所述VC发送携带所述VLAN信息的VLAN注册加入消息。
在所述VC与所述MS之间的数据传输过程结束后,所述方法还包括:
所述VC利用所述MS的地址信息向所述MS发送携带所述VLAN信息的VLAN回收消息,以及,所述MS利用所述VC的地址信息向所述VC发送携带所述VLAN信息的VLAN回收消息;
所述接入设备监听所述VC向所述MS发送的携带所述VLAN信息的VLAN回收消息,并删除所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,监听所述MS向所述VC发送的携带所述VLAN信息的VLAN回收消息,并删除所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系。
所述方法还包括:如果所述接入设备在预设第一时间内未接收到所述MS发送给所述VC的数据,且未接收到所述VC发送给所述MS的数据,则所述接入设备向所述VC发送VLAN查询请求消息,请求所述VC重新发送VLAN注册加入消息;
如果所述接入设备在预设第二时间内未接收到来自所述VC的VLAN注册加入消息,则所述接入设备删除所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,删除所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系。
所述接入设备向所述VC发送VLAN查询请求消息,之后还包括:
所述VC接收来自所述接入设备的VLAN查询请求消息,所述VLAN查询请求消息用于请求所述VC重新发送VLAN注册加入消息;在所述VC确定本地业务没有出现问题时,向所述接入设备重新发送VLAN注册加入消息,否则,不向所述接入设备重新发送VLAN注册加入消息。
所述监控系统中还包括VM服务器,所述接入设备监听所述VC向所述MS发送的携带VLAN信息的VLAN注册加入消息,之前还包括:
所述接入设备接收来自所述VC的注册请求消息,并将所述注册请求消息发送给所述VM服务器;当所述接入设备接收到所述VM服务器返回的注册成功消息时,所述接入设备允许所述VC与所述VM服务器之间通过所述接入设备上所述注册请求消息的接收端口进行数据通信;当所述接入设备未接收到所述VM服务器返回的注册成功消息时,所述接入设备禁止通过所述注册请求消息的接收端口转发来自所述VC的数据。
所述方法进一步包括:在所述接入设备接收到所述VM服务器返回的注册成功消息之前,所述接入设备仅允许通过所述注册请求消息的接收端口向所述VM服务器转发来自所述VC的注册请求消息;
在所述接入设备禁止通过所述注册请求消息的接收端口转发来自所述VC的数据之后,所述接入设备禁止通过所述注册请求消息的接收端口向所述VM服务器转发来自所述VC的注册请求消息。
所述接入设备未接收到所述VM服务器返回的注册成功消息,具体包括:
所述接入设备在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息,和/或,在预设第三时间内未接收到所述VM服务器返回的注册成功消息,所述接入设备确认未接收到所述VM服务器返回的注册成功消息。
一种视频客户端VC,应用于包括所述VC、MS、VM服务器的监控系统中,所述VC和所述MS之间存在至少一个接入设备,该VC包括:
VM侧通信模块,用于向所述VM服务器发送请求查看数据的业务请求消息,并在所述VM服务器允许所述VC查看所述数据时,接收所述VM服务器返回的业务应答消息,所述业务应答消息中携带所述VC与所述MS之间传输的数据所对应的VLAN信息、以及所述MS的地址信息;
MS侧通信模块,用于利用所述MS的地址信息向所述MS发送携带所述VLAN信息的VLAN注册加入消息,由所述VC和MS之间的接入设备记录所述VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
在所述VC与所述MS之间的数据传输过程结束后,
所述MS侧通信模块,还用于利用所述MS的地址信息向所述MS发送携带所述VLAN信息的VLAN回收消息,由所述VC和所述MS之间的接入设备删除所述VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
所述MS侧通信模块,还用于接收来自所述接入设备的VLAN查询请求消息,所述VLAN查询请求消息用于请求所述VC重新发送VLAN注册加入消息;在所述VC确定本地业务没有出现问题时,向所述接入设备重新发送VLAN注册加入消息,否则不向所述接入设备重新发送VLAN注册加入消息。
一种流媒体服务器MS,应用于包括VC、所述MS、VM服务器的监控系统中,所述VC和所述MS间存在至少一个接入设备,该MS包括:
VM侧通信模块,用于接收来自所述VM服务器的通告消息,所述通告消息中携带所述VC与所述MS之间传输的数据所对应的VLAN信息、以及所述VC的地址信息;
VC侧通信模块,用于利用所述VC的地址信息向所述VC发送携带所述VLAN信息的VLAN注册加入消息,由所述MS和VC之间的接入设备记录所述VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
在所述VC与所述MS之间的数据传输过程结束后,
所述VC侧通信模块,还用于利用所述VC的地址信息向所述VC发送携带所述VLAN信息的VLAN回收消息,由所述MS和所述VC之间的接入设备删除所述VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
一种接入设备,应用于包括VC和MS的监控系统中,所述VC和所述MS之间至少存在一个接入设备,该接入设备包括:
处理模块,用于监听所述VC向所述MS发送的携带VLAN信息的VLAN注册加入消息,并记录所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,监听所述MS向所述VC发送的携带所述VLAN信息的VLAN注册加入消息,并记录所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系;
通信模块,用于在所述VC发送的VLAN注册加入消息的接收端口上接收到来自所述VC的数据,且来自所述VC的数据中携带所述VLAN信息时,将来自所述VC的数据发送给所述MS;以及,在所述MS发送的VLAN注册加入消息的接收端口上接收到来自所述MS的数据,且来自所述MS的数据中携带所述VLAN信息时,将来自所述MS的数据发送给所述VC。
所述监控系统中还包括VM服务器,所述VLAN信息为所述VC与所述MS之间传输的数据所对应的VLAN信息,且所述VLAN信息为所述VM服务器分配并通知给所述VC和所述MS的。
在所述VC与所述MS之间的数据传输过程结束后;
所述处理模块,还用于监听所述VC向所述MS发送的携带所述VLAN信息的VLAN回收消息,并删除所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,监听所述MS向所述VC发送的携带所述VLAN信息的VLAN回收消息,并删除所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系。
所述通信模块,还用于在预设第一时间内未接收到所述MS发送给所述VC的数据,且未接收到所述VC发送给所述MS的数据时,则向所述VC发送VLAN查询请求消息,请求所述VC重新发送VLAN注册加入消息;
所述处理模块,还用于如在预设第二时间内未接收到来自所述VC的VLAN注册加入消息,则删除所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,删除所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系。
所述监控系统中还包括VM服务器;
所述通信模块,还用于接收来自所述VC的注册请求消息,并将所述注册请求消息发送给所述VM服务器;
所述处理模块,还用于当接收到所述VM服务器返回的注册成功消息时,允许所述VC与所述VM服务器之间通过所述接入设备上所述注册请求消息的接收端口进行数据通信;当未接收到所述VM服务器返回的注册成功消息时,禁止通过所述注册请求消息的接收端口转发来自所述VC的数据。
所述处理模块,还用于在接收到所述VM服务器返回的注册成功消息之前,仅允许通过所述注册请求消息的接收端口向所述VM服务器转发来自所述VC的注册请求消息;在禁止通过所述注册请求消息的接收端口转发来自所述VC的数据之后,禁止通过所述注册请求消息的接收端口向所述VM服务器转发来自所述VC的注册请求消息。
所述处理模块,还用于在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息,和/或,在预设第三时间内未接收到所述VM服务器返回的注册成功消息,确认未接收到所述VM服务器返回的注册成功消息。
与现有技术相比,本发明至少具有以下优点:接入设备通过监听VC和MS发送的携带VLAN(Virtual Local Area Network,虚拟局域网)信息的VLAN注册加入消息,并记录VLAN信息与VLAN注册加入消息的接收端口之间的对应关系,在接收到来自VC或MS的数据时,只有当数据匹配该对应关系时,才会转发数据,从而保证监控业务数据的安全性,使得网络中仅出现合法的监控业务数据流,最大限度的提高网络带宽的利用率;而且从网络协议层面来控制监控业务数据流,接入层安全,高效、简洁且安全,不需要安全控制服务器,即可以在监控业务接入层,保证监控业务数据流的安全性。
具体实施方式
现有技术中,并没有对监控系统实施有效的安全控制手段;如果将EAD(Endpoint Admission Defense,端点准入防御)技术引入到监控系统中,则由于监控系统的IP地址和端口号非常多,部分端口号是临时分配的,且EAD是对接入到网络中的用户进行身份认证,并根据用户的权限下发相应的访问策略(这些访问策略是管理员指定的),因此,EAD无法对监控系统的访问进行全面有效的控制。例如,1个编码器有16路摄像头,16路摄像头的数据流的源IP地址相同,但端口号不同,且端口号是监控系统临时确定的;该情况下,使用EAD将无法控制VC仅获取其中某个摄像头的数据流,EAD只能允许VC获取所有16路摄像头的数据流,或不允许VC获取数据流。
为了在监控系统实施有效的安全控制手段,本发明提出一种安全控制方法,该方法应用于包括VC、MS和VM服务器的监控系统中,在VC和MS之间至少存在一个接入设备(如接入交换机、路由器等),且接入设备用于将来自VC的信息转发给MS,并用于将来自MS的信息转发给VC;由于各接入设备的处理相同,后续以一个接入设备的处理为例,如图2所示,该安全控制方法包括以下步骤:
步骤201,VC接收来自VM服务器的业务应答消息,且MS接收来自VM服务器的通告消息;该业务应答消息中携带VC与MS之间传输的数据所对应的VLAN信息以及MS的地址信息,该通告消息中携带VC与MS之间传输的数据所对应的VLAN信息以及VC的地址信息。
需要说明的是,VC与MS之间传输的数据所对应的VLAN信息为VM服务器分配并通知给VC和MS的,为了方便描述,该VLAN信息后续以VLAN1为例进行说明。
具体的,VC在注册成功后可与VM服务器进行通信,当VC需要查看某路单播实况或回放存储录像时,则VC会向VM服务器发送请求查看数据的业务请求消息,由VM服务器审核该业务请求消息(即根据业务请求消息中的用户名等信息查看数据库,以确定该VC是否有查看某路单播实况或回放存储录像的权限),如在允许查看权限范围内(即VM服务器允许VC查看数据),则VM服务器向VC回应业务应答消息,该业务应答消息中携带VM服务器为业务流(即VC与MS之间传输的数据)分配的VLAN信息(VLAN1)。
需要注意的是,由于VC查看某路单播实况或回放存储录像时,数据均需要通过MS进行转发,因此,VM服务器还需要通过业务应答消息将MS的地址信息通知给VC;此外,VM服务器还需要将为业务流分配的VLAN信息(VLAN1)以及VC的地址信息通过通告消息发送给MS。
步骤202,VC利用MS的地址信息向MS发送携带VLAN1的VLAN注册加入消息,且MS利用VC的地址信息向VC发送携带VLAN1的VLAN注册加入消息。VC和MS之间的接入设备会向目的设备转发该VLAN注册加入消息,且VLAN注册加入消息用于指示VC和MS之间的接入设备记录VLAN1与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
本发明中,VC在接收到业务应答消息后,将根据业务应答消息中携带的MS的地址信息和VLAN信息,向MS发起单播VLAN注册加入消息;此外,MS在接收到通告消息后,将根据通告消息中携带的VC的地址信息和VLAN信息,向VC发起单播VLAN注册加入消息。
步骤203,接入设备监听VC向MS发送的携带VLAN1的VLAN注册加入消息,并记录VLAN1与接收到VLAN注册加入消息的接收端口(后续以接入设备上的端口P1为例)之间的对应关系;以及,监听MS向VC发送的携带VLAN1的VLAN注册加入消息,并记录VLAN1与接收到VLAN注册加入消息的接收端口(后续以接入设备上的端口P2为例)之间的对应关系。
本发明中,在接入设备支持GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议,用于注册和注销VLAN属性)功能时,接入设备可灵活控制端口上允许通过的VLAN,从而可以将恶意攻击消灭在接入设备上,避免恶意攻击进入监控网络进行攻击或消耗IP网络带宽。
基于此,在VC向MS发送携带VLAN1的VLAN注册加入消息时,VC与MS之间的接入设备会监听VLAN注册加入消息,并在VLAN注册加入消息的接收端口P1上创建对应的VLAN1,即记录接收端口P1与VLAN1的对应关系,该情况表明接入设备只允许继续向MS转发从接收端口P1上接收到的携带VLAN1的数据。此外,接入设备会继续向MS转发携带VLAN1的VLAN注册加入消息。
在MS向VC发送携带VLAN1的VLAN注册加入消息时,VC与MS之间的接入设备会监听VLAN注册加入消息,并在VLAN注册加入消息的接收端口P2上创建对应的VLAN1,即记录接收端口P2与VLAN1的对应关系,该情况表明接入设备只允许继续向VC转发从接收端口P2上接收到的携带VLAN1的数据。此外,接入设备会继续向VC转发携带VLAN1的VLAN注册加入消息。
步骤204,接入设备在接收端口P1上接收到来自VC的数据,且来自VC的数据中携带VLAN1时,将来自VC的数据发送给MS;以及,在接收端口P2上接收到来自MS的数据,且来自MS的数据中携带VLAN1时,将来自MS的数据发送给VC。
本发明中,在接入设备支持GVRP功能,且记录了接收端口P1与VLAN1的对应关系,以及接收端口P2与VLAN1的对应关系后,接入设备只向MS转发从接收端口P1接收到的携带VLAN1的数据,以及只向VC转发从接收端口P2接收到的携带VLAN1的数据;从而可根据VC在监控系统的正当权限和业务状态来灵活控制接入设备上所接入端口允许通过的VLAN,将恶意攻击消灭在接入设备,避免恶意攻击进入监控网络进行攻击或消耗IP网络带宽,且避免了业务流被引导到无权限用户使其可进行非法窃听。
需要说明的是,上述处理是针对点播阶段的处理过程,在回收阶段(VC与MS之间的数据传输过程结束),本发明提供的安全控制方法还可以包括:
步骤1、VC利用MS的地址信息向MS发送携带VLAN信息的VLAN回收消息,且MS利用VC的地址信息向VC发送携带VLAN信息的VLAN回收消息。VC和MS之间的接入设备会向目的设备转发该VLAN回收消息,且VLAN回收消息用于指示VC和MS之间的接入设备删除VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
具体的,VC在实况点播和录像回放完成后,需要向VM服务器发送结束点播请求,且VC需要向MS发送携带VLAN信息的VLAN回收消息,由接入设备在收到VLAN回收消息后,删除VLAN信息与接收端口的对应关系。
进一步的,VM服务器收到结束点播请求后,通知点播源端停止发送数据,并通知MS删除相关表项,停止向VC发送数据,并向VC发送结束应答消息。MS在收到结束点播通知消息后,删除转发表项,停止向VC转发数据,并向VC发送携带VLAN信息的VLAN回收消息,由接入设备在收到VLAN回收消息后,删除VLAN信息与接收端口的对应关系。
步骤2、接入设备监听VC向MS发送的携带VLAN信息的VLAN回收消息,并删除VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系;以及,监听MS向VC发送的携带VLAN信息的VLAN回收消息,并删除VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
具体的,接入设备在记录VLAN1与接收端口P1的对应关系以及VLAN1与接收端口P2的对应关系后,当接收到VC向MS发送的VLAN回收消息时,接入设备需要删除VLAN1与接收端口P1的对应关系,之后,在从接收端口P1接收到携带VLAN1的数据时,接入设备不会向MS转发该数据;当接收到MS向VC发送的VLAN回收消息时,接入设备需要删除VLAN1与接收端口P2的对应关系,之后,在从接收端口P2接收到携带VLAN1的数据时,接入设备不会向VC转发该数据。
本发明中,如果接入设备在预设第一时间内未接收到MS发送给VC的数据,且未接收到VC发送给MS的数据(即VC长时间未进行数据的发送和接收),则接入设备主动向VC发送VLAN查询请求消息,以请求VC重新发送VLAN注册加入消息;VC在接收到VLAN查询请求消息后,根据VLAN查询请求消息中携带的VLAN信息查询本地业务是否出现问题(如故障或丢失等问题),在确定本地业务没有出现问题时,向接入设备重新发送VLAN注册加入消息,否则,不向接入设备重新发送VLAN注册加入消息。
进一步的,如果接入设备在预设第二时间内未接收到来自VC的VLAN注册加入消息,则接入设备删除VLAN信息与VLAN注册加入消息的接收端口之间的对应关系;如果接入设备在预设第二时间内接收到来自VC的VLAN注册加入消息,则接入设备保留VLAN信息与VLAN注册加入消息的接收端口之间的对应关系,并等待转发数据流。
需要说明的是,上述处理是针对点播阶段和回收阶段的处理,在点播阶段之前,还需要有注册阶段,因此本发明提供的安全控制方法还可以包括:
步骤A、接入设备接收来自VC的注册请求消息(该注册请求消息的目的地址为VM服务器,且用于到VM服务器上进行注册),并将注册请求消息发送给VM服务器。本发明中,在VC未注册成功之前,接入设备需要在与VC直连的端口(以端口P为例)上监听注册请求消息,并当在端口P上监听到注册请求消息后,将注册请求消息发送给VM服务器。
需要注意的是,在VC未注册成功之前(即接入设备接收到VM服务器返回的注册成功消息之前),接入设备默认仅允许向VM服务器转发通过端口P接收到的来自VC的注册请求消息;对于端口P上接收到的其他类型的报文,接入设备均直接丢弃。
步骤B、当接入设备接收到VM服务器返回的注册成功消息时,允许VC与VM服务器之间通过接入设备上注册请求消息的接收端口进行数据通信;当接入设备未接收到VM服务器返回的注册成功消息时,禁止通过注册请求消息的接收端口转发来自VC的数据,并确定VC为非法接入客户端。
VM服务器在接收到注册请求消息后,会利用该注册请求消息实现对VC的注册,并在注册成功时返回注册成功消息,否则返回注册失败消息或不返回消息,基于VM服务器的上述处理,接入设备可接收到VM服务器返回的注册成功消息或未接收到VM服务器返回的注册成功消息。
在接入设备禁止通过注册请求消息的接收端口转发来自VC的数据之后,接入设备禁止通过注册请求消息的接收端口向VM服务器转发来自VC的注册请求消息,此时不会转发来自VC的任何信息。
本发明中,接入设备在向VM服务器发送预设次数(例如预设次数为经验值5次,实际应用中还可以进行调整)的注册请求消息后未接收到VM服务器返回的注册成功消息,和/或,在预设第二时间(例如预设第二时间为经验值120s,实际应用中还可以进行调整)内未接收到VM服务器返回的注册成功消息,则接入设备确认未接收到VM服务器返回的注册成功消息。
例如,接入设备在连续向VM服务器发送5次注册请求消息后,均未接收到VM服务器返回的注册成功消息,则确认未接收到VM服务器返回的注册成功消息;或者,接入设备在120s内均未接收到VM服务器返回的注册成功消息,则确认未接收到VM服务器返回的注册成功消息;或者,接入设备在连续向VM服务器发送5次注册请求消息后,如果在120s内均无法接收到VM服务器返回的注册成功消息(即注册ACK消息),则确认未接收到VM服务器返回的注册成功消息。
本发明中,在确认未接收到VM服务器返回的注册成功消息后,接入设备确定端口P进入注册静默阶段(该阶段禁止转发任何注册报文或业务数据),即认为VC为非法接入客户端(VM服务器中无此VC或VC与VM服务器的通信故障),因此避免了恶意攻击监控系统或无故耗用带宽资源的问题。进一步的,在接入设备禁止通过端口P向VM服务器转发来自VC的注册请求消息之后,只有当达到预设时间(如等待静默定时器超时,该等待静默定时器在向VM服务器发送注册请求消息时启动)或者接收到VM服务器返回的注册成功消息时,注册静默阶段才能结束,之后,接入设备允许通过端口P向VM服务器转发来自VC的注册请求消息。
为了更加清楚的阐述本发明提供的技术方案,以下结合图1所示的监控系统,对本发明进行详细说明。假设VC1(IP地址为192.0.0.1)所直连的接入设备为交换机SW1,所连接入设备的接入端口为P1,MS1(IP地址:1.0.0.1)所直连的接入设备为SW2,所连接入设备的接入端口为P2,SW1与SW2连接的接口为S1,SW2与SW1连接的接口为S2,且VM服务器为本实例中为业务流分配VLAN100。
(1)注册阶段:
步骤1、VC1向VM服务器发送注册请求消息,SW1在收到该注册请求消息后(其他数据报文均丢弃,不处理),将该注册请求消息继续向VM服务器转发,并启动注册定时器。
步骤2、如果在注册定时器1分钟超时前,SW1收到注册成功消息,则将端口P1设为信任端口,允许VC通过该端口P1与VM服务器之间的通信。
步骤3、如果注册定时器超过1分钟,且在超时后仍没有收到注册成功消息,则SW1将端口P1设为注册静默端口(该阶段禁止通过端口P1转发任何注册报文或业务数据)。
(2)点播阶段:
步骤1、VM服务器收到VC1的监控业务点播的业务请求消息后,检查VC1是否有权限查看所请求业务实况,业务请求消息是否合法,如不合法,则向VC1回应监控业务点播失败消息;如在允许查看权限范围内,则向VC1回应业务应答消息(即请求成功),该业务应答消息中携带VM服务器为该业务流分配的VLAN信息(VLAN100),为该业务流所分配的转发MS的目的IP地址1.0.0.1和端口信息40000。
此外,由于VC业务点播和录像回放均通过MS进行转发,因此VM服务器还需要通过通告消息将该业务流对应信息(即VLAN100以及VC1的地址消息)通告给MS1。
步骤2、VC1收到业务应答消息后,检查该业务应答消息是否为业务点播成功应答,如为点播失败应答消息,则检查失败错误码;如为业务点播成功应答消息,则开放业务接收端口为40000,并向MS 1发送携带VLAN100的VLAN注册加入消息。
步骤3、SW1的端口P1监听到携带VLAN100的VLAN注册加入消息后,创建VLAN100,并在收到该VLAN注册加入消息的端口P1加入VLAN100,即允许VLAN100的报文进行转发,且SW1将VLAN注册加入消息继续向MS1进行转发;SW2的端口S2监听到携带VLAN100的VLAN注册加入消息后,创建VLAN100,并在收到该VLAN注册加入消息的端口S2加入VLAN100,即允许VLAN100的报文进行转发,且SW2将VLAN注册加入消息继续向MS1进行转发。
步骤4,MS1接收到来自VM服务器的通告消息(监控业务点播通告消息)后,检查通告消息的合法性以及本地资源是否支持该业务转发,如均无异常则回应点播成功消息,并向VC1发送携带VLAN100的VLAN注册加入消息,以及将对应的监控业务流打上VLAN100的TAG值发送到指定目的端。
步骤5、SW2的端口P2监听到携带VLAN100的VLAN注册加入消息后,创建VLAN100,并在收到该VLAN注册加入消息的端口P2加入VLAN100,即允许VLAN100的报文进行转发,且SW2将VLAN注册加入消息继续向VC1进行转发;SW1的端口S1监听到携带VLAN100的VLAN注册加入消息后,创建VLAN100,并在收到该VLAN注册加入消息的端口S1加入VLAN100,即允许VLAN100的报文进行转发,且SW1将VLAN注册加入消息继续向VC1进行转发。
经过上述处理,则VC1和MS1之间完整的双向VLAN隧道建立完成,后续可利用该双向VLAN隧道实现VC1和MS1之间的数据通信。
(3)回收阶段:
步骤1、VC1实况点播完成后,向VM服务器发送监控业务结束点播请求,并向MS1发送携带VLAN100的VLAN回收消息。
步骤2、SW1的端口P1监听到携带VLAN100的VLAN回收消息后,将端口P1从VLAN100中删除,并继续向MS1发送VLAN回收消息。SW2的端口S2监听到携带VLAN100的VLAN回收消息后,将端口S2从VLAN100中删除,并继续向MS1发送VLAN回收消息。
步骤3、VM服务器收到监控业务结束点播请求后,通知点播源端停止发送数据,通知MS1删除相关表项,停止向VC1发送数据,并向VC1发送结束点播应答消息。
步骤4、MS1收到结束点播通知消息后,删除转发表项,停止转发对应的数据,并向VC1发送携带VLAN100的VLAN回收消息。
步骤5、SW2的端口P2监听到携带VLAN100的VLAN回收消息后,将端口P2从VLAN100中删除(即禁止该VLAN业务流转发),并继续向VC1发送VLAN回收消息;SW1的端口S1监听到携带VLAN100的的VLAN回收消息后,将端口S1从VLAN100中删除,并继续向VC1发送VLAN回收消息;至此双向VLAN隧道删除完毕。
综上所述,本发明提供的技术方案中,不需要额外的认证系统或认证服务器,就可以保证监控业务数据的安全性;不需要对数据进行额外数据加密,同样能够保证监控业务数据的安全性;从网络协议层面来控制监控业务接入层安全,高效简洁且安全。
基于与上述方法同样的发明构思,本发明还提出了一种接入设备,应用于包括VC和MS的监控系统中,所述VC和所述MS之间至少存在一个接入设备,如图3所示,该接入设备包括:
处理模块11,用于监听所述VC向所述MS发送的携带VLAN信息的VLAN注册加入消息,并记录所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,监听所述MS向所述VC发送的携带所述VLAN信息的VLAN注册加入消息,并记录所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系;
通信模块12,用于在所述VC发送的VLAN注册加入消息的接收端口上接收到来自所述VC的数据,且来自所述VC的数据中携带所述VLAN信息时,将来自所述VC的数据发送给所述MS;以及,在所述MS发送的VLAN注册加入消息的接收端口上接收到来自所述MS的数据,且来自所述MS的数据中携带所述VLAN信息时,将来自所述MS的数据发送给所述VC。
所述监控系统中还包括VM服务器,所述VLAN信息为所述VC与所述MS之间传输的数据所对应的VLAN信息,且所述VLAN信息为所述VM服务器分配并通知给所述VC和所述MS的。
在所述VC与所述MS之间的数据传输过程结束后;所述处理模块11,还用于监听所述VC向所述MS发送的携带所述VLAN信息的VLAN回收消息,并删除所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,监听所述MS向所述VC发送的携带所述VLAN信息的VLAN回收消息,并删除所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系。
所述通信模块12,还用于在预设第一时间内未接收到所述MS发送给所述VC的数据,且未接收到所述VC发送给所述MS的数据时,则向所述VC发送VLAN查询请求消息,请求所述VC重新发送VLAN注册加入消息;
所述处理模块11,还用于如在预设第二时间内未接收到来自所述VC的VLAN注册加入消息,则删除所述VLAN信息与所述接入设备上接收到所述VC发送的VLAN注册加入消息的接收端口之间的对应关系;以及,删除所述VLAN信息与所述接入设备上接收到所述MS发送的VLAN注册加入消息的接收端口之间的对应关系。
所述监控系统中还包括VM服务器;所述通信模块12,还用于接收来自所述VC的注册请求消息,并将所述注册请求消息发送给所述VM服务器;
所述处理模块11,还用于当接收到所述VM服务器返回的注册成功消息时,允许所述VC与所述VM服务器之间通过所述接入设备上所述注册请求消息的接收端口进行数据通信;当未接收到所述VM服务器返回的注册成功消息时,禁止通过所述注册请求消息的接收端口转发来自所述VC的数据。
所述处理模块11,还用于在接收到所述VM服务器返回的注册成功消息之前,仅允许通过所述注册请求消息的接收端口向所述VM服务器转发来自所述VC的注册请求消息;在禁止通过所述注册请求消息的接收端口转发来自所述VC的数据之后,禁止通过所述注册请求消息的接收端口向所述VM服务器转发来自所述VC的注册请求消息。
所述处理模块11,还用于在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息,和/或,在预设第三时间内未接收到所述VM服务器返回的注册成功消息,确认未接收到所述VM服务器返回的注册成功消息。
基于与上述方法同样的发明构思,本发明还提出了一种视频客户端VC,应用于包括所述VC、MS、VM服务器的监控系统中,所述VC和所述MS之间存在至少一个接入设备,如图4所示,该VC包括:
VM侧通信模块21,用于向所述VM服务器发送请求查看数据的业务请求消息,并在所述VM服务器允许所述VC查看所述数据时,接收所述VM服务器返回的业务应答消息,所述业务应答消息中携带所述VC与所述MS之间传输的数据所对应的VLAN信息、以及所述MS的地址信息;
MS侧通信模块22,用于利用所述MS的地址信息向所述MS发送携带所述VLAN信息的VLAN注册加入消息,由所述VC和MS之间的接入设备记录所述VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
在所述VC与所述MS之间的数据传输过程结束后,所述MS侧通信模块22,还用于利用所述MS的地址信息向所述MS发送携带所述VLAN信息的VLAN回收消息,由所述VC和所述MS之间的接入设备删除所述VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
所述MS侧通信模块22,还用于接收来自所述接入设备的VLAN查询请求消息,所述VLAN查询请求消息用于请求所述VC重新发送VLAN注册加入消息;在所述VC确定本地业务没有出现问题时,向所述接入设备重新发送VLAN注册加入消息,否则不向所述接入设备重新发送VLAN注册加入消息。
基于与上述方法同样的发明构思,本发明还提出了一种流媒体服务器MS,应用于包括VC、所述MS、VM服务器的监控系统中,所述VC和所述MS间存在至少一个接入设备,如图5所示,该MS包括:
VM侧通信模块31,用于接收来自所述VM服务器的通告消息,所述通告消息中携带所述VC与所述MS之间传输的数据所对应的VLAN信息、以及所述VC的地址信息;
VC侧通信模块32,用于利用所述VC的地址信息向所述VC发送携带所述VLAN信息的VLAN注册加入消息,由所述MS和VC之间的接入设备记录所述VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
在所述VC与所述MS之间的数据传输过程结束后,所述VC侧通信模块32,还用于利用所述VC的地址信息向所述VC发送携带所述VLAN信息的VLAN回收消息,由所述MS和所述VC之间的接入设备删除所述VLAN信息与接入设备上接收到VLAN注册加入消息的接收端口之间的对应关系。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。