CN105024999A - 一种ip视频监控网络安全接入方法 - Google Patents

一种ip视频监控网络安全接入方法 Download PDF

Info

Publication number
CN105024999A
CN105024999A CN201510295956.3A CN201510295956A CN105024999A CN 105024999 A CN105024999 A CN 105024999A CN 201510295956 A CN201510295956 A CN 201510295956A CN 105024999 A CN105024999 A CN 105024999A
Authority
CN
China
Prior art keywords
switch
access
convergence switch
network
end convergence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510295956.3A
Other languages
English (en)
Other versions
CN105024999B (zh
Inventor
张延平
任文植
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Perseverance Letter And Peace Electronic Science And Technology Co Ltd
Original Assignee
Jiangsu Perseverance Letter And Peace Electronic Science And Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Perseverance Letter And Peace Electronic Science And Technology Co Ltd filed Critical Jiangsu Perseverance Letter And Peace Electronic Science And Technology Co Ltd
Priority to CN201510295956.3A priority Critical patent/CN105024999B/zh
Publication of CN105024999A publication Critical patent/CN105024999A/zh
Application granted granted Critical
Publication of CN105024999B publication Critical patent/CN105024999B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • H04N7/181Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种IP视频监控网络安全接入方法,针对直接用入侵网络设备替代IP摄像头,接入前端汇聚交换机的网络接入端口的入侵方式、针对跳过前端汇聚交换机,直接接入机房二级汇聚交换机接入端口的入侵方式以及针对工作人员流动造成的交换机设备网管密码泄露问题提供了一整套IP视频监控网络安全接入方案与技术,为IP视频监控网络筑起一座安全的围墙,保证在任何情况下都不可能人为地从这座安全墙外入侵被这座墙保护的内部网络,杜绝任何试图非法控制视频监控资源的行为。

Description

一种IP视频监控网络安全接入方法
技术领域
本发明涉及一种IP视频监控网络安全接入方法。
背景技术
视频监控发展到今天,已快速进入IP网络化视频时代,大部分视频监控从摄像头到监控中心都已完全IP化。而海康威视的视频摄像头被劫持事件,却及时地给我们敲响了警钟:如果我们不注重网络入口的安全保护,就很可能还会陆续出现各种层出不穷的安全事件。
比如,任何一个“有心人”都可以在路边、在野外、在只要有IP摄像头的地方,把连接IP摄像头的网线拔下来接入自己的计算机,就可以窥探这个视频监控网内的任何设备,就可以劫持这个视频监控网内的任何一个摄像头来达到不可告人的目的……毕竟单凭IP摄像头的密码保护是很脆弱的!而且,任何一个IP摄像头厂家或工程商内部的人员流动也会增加这种网络密码安全的风险。
通常大多数IP视频监控网络的接入部分构架如下:若干台IP摄像机通过接入端口接入前端汇聚交换机,前端汇聚交换机通过上联端口接入到机房二级汇聚交换机的接入端口,机房二级汇聚交换机通过上联端口将数据传输至监控中心。有些情况下可能会在前端汇聚交换机与IP摄像头之间含有小容量的汇聚小交换机。前端汇聚交换机处于室外环境,容易被入侵或被替换,我们称之为“室外接入端”;机房二级汇聚交换机位于室内机房,不易被人为替换或破坏,我们称之为“室内汇聚端”。人为入侵IP视频监控网络一般有2种方式:一种方式是直接用入侵网络设备替代IP摄像头,接入前端汇聚交换机的网络接入端口;另一种入侵方式是跳过前端汇聚交换机,直接接入机房二级汇聚交换机的接入端口。另外,工作人员流动造成的交换机设备网管密码泄露,也会引起网络安全问题。
发明内容
本发明要解决的技术问题是克服现有技术的缺陷,提供一种IP视频监控网络安全接入方法。
为了解决上述技术问题,本发明提供了如下的技术方案:
本发明一种IP视频监控网络安全接入方法,其包括以下步骤:
S1、针对直接用入侵网络设备替代IP摄像头,接入前端汇聚交换机的网络接入端口的入侵方式,采用如下方法:
广播包单向控制:只允许前端汇聚交换机的上联端口接收并向本交换机的其它端口转发广播包,禁止前端汇聚交换机的其它端口向本交换机的内部转发广播包;
PING包方向控制:只允许前端汇聚交换机的所有接入端口响应本交换机上联端口转发的PING请求包,禁止前端汇聚交换机的所有接入端口向本交换机内部转发PING请求包;
服务访问方向控制:禁止通过前端汇聚交换机的所有接入端口主动发起服务访问;
S2、针对跳过前端汇聚交换机,直接接入机房二级汇聚交换机接入端口的入侵方式,采用如下方法:
在前端汇聚交换机的上联端口和机房二级汇聚交换机的接入端口之间加入加密的心跳报文验证机制;当失去加密的心跳报文响应或加密的心跳报文响应验证不正确时,机房二级汇聚交换机会主动阻塞没有接收到正确响应或验证错误的接入端口,防止各种伪接入非法入侵。
进一步地,还包括步骤S3:针对工作人员流动造成的交换机设备网管密码泄露问题,采用如下方法:
二级权限管理并废除超级密码机制:第一级权限为全部操作权限,可以修改交换机中任何的参数配置,但所有操作都必须在有加密认证的物理设备在线的情况下才能被执行;第二级权限为维护查看权限,只能查看设备工作状态,不能修改设备工作参数,仅限于设备维护人员巡检工作。
进一步地,还包括步骤S4:针对维护人员有在前端对网络连接状况测试的需求,在前端汇聚交换机内部嵌入访问授权代理服务机制,即通过第二级权限登录交换机WEB服务后,申请PING功能代理,由交换机WEB服务代行测试网络连接状况并返回结果。
本发明所达到的有益效果是:
本发明针对直接用入侵网络设备替代IP摄像头,接入前端汇聚交换机的网络接入端口的入侵方式、针对跳过前端汇聚交换机,直接接入机房二级汇聚交换机接入端口的入侵方式以及针对工作人员流动造成的交换机设备网管密码泄露问题提供了一整套IP视频监控网络安全接入方案与技术,为IP视频监控网络筑起一座安全的围墙,保证在任何情况下都不可能人为地从这座安全墙外入侵被这座墙保护的内部网络,杜绝任何试图非法控制视频监控资源的行为。
具体实施方式
以下对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明一种IP视频监控网络安全接入方法,其包括以下步骤:
S1、针对直接用入侵网络设备替代IP摄像头,接入前端汇聚交换机的网络接入端口的入侵方式,采用如下方法:
广播包单向控制:只允许前端汇聚交换机的上联端口接收并向本交换机的其它端口转发广播包,禁止前端汇聚交换机的其它端口向本交换机的内部转发广播包;
PING包方向控制:只允许前端汇聚交换机的所有接入端口响应本交换机上联端口转发的PING请求包,禁止前端汇聚交换机的所有接入端口向本交换机内部转发PING请求包;
服务访问方向控制:禁止通过前端汇聚交换机的所有接入端口主动发起服务访问;
S2、针对跳过前端汇聚交换机,直接接入机房二级汇聚交换机接入端口的入侵方式,采用如下方法:
在前端汇聚交换机的上联端口和机房二级汇聚交换机的接入端口之间加入加密的心跳报文验证机制;当失去加密的心跳报文响应或加密的心跳报文响应验证不正确时,机房二级汇聚交换机会主动阻塞没有接收到正确响应或验证错误的接入端口,防止各种伪接入非法入侵。
另外,还包括步骤S3:针对工作人员流动造成的交换机设备网管密码泄露问题,采用如下方法:
二级权限管理并废除超级密码机制:其中,第一级权限为全部操作权限,可以修改交换机中任何的参数配置,但所有操作都必须在有加密认证的物理设备在线的情况下才能被执行,防止“知道密码就可以做任何事”的情况发生,用户只要管理好加密认证物理设备(USB加密认证设备),就可以防止非法修改所有在线网络交换机的配置参数;第二级权限为维护查看权限,只能查看设备工作状态,不能修改设备工作参数,仅限于设备维护人员巡检工作。
另外,还包括步骤S4:针对维护人员有在前端对网络连接状况测试的需求,在前端汇聚交换机内部嵌入访问授权代理服务机制,即通过第二级权限登录交换机WEB服务后,申请PING功能代理,由交换机WEB服务代行测试网络连接状况并返回结果。
本发明针对直接用入侵网络设备替代IP摄像头,接入前端汇聚交换机的网络接入端口的入侵方式、针对跳过前端汇聚交换机,直接接入机房二级汇聚交换机接入端口的入侵方式以及针对工作人员流动造成的交换机设备网管密码泄露问题提供了一整套IP视频监控网络安全接入方案与技术,为IP视频监控网络筑起一座安全的围墙,保证在任何情况下都不可能人为地从这座安全墙外入侵被这座墙保护的内部网络,杜绝任何试图非法控制视频监控资源的行为。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (3)

1.一种IP视频监控网络安全接入方法,其特征在于,包括以下步骤:
S1、针对直接用入侵网络设备替代IP摄像头,接入前端汇聚交换机的网络接入端口的入侵方式,采用如下方法:
广播包单向控制:只允许前端汇聚交换机的上联端口接收并向本交换机的其它端口转发广播包,禁止前端汇聚交换机的其它端口向本交换机的内部转发广播包;
PING包方向控制:只允许前端汇聚交换机的所有接入端口响应本交换机上联端口转发的PING请求包,禁止前端汇聚交换机的所有接入端口向本交换机内部转发PING请求包;
服务访问方向控制:禁止通过前端汇聚交换机的所有接入端口主动发起服务访问;
S2、针对跳过前端汇聚交换机,直接接入机房二级汇聚交换机接入端口的入侵方式,采用如下方法:
在前端汇聚交换机的上联端口和机房二级汇聚交换机的接入端口之间加入加密的心跳报文验证机制;当失去加密的心跳报文响应或加密的心跳报文响应验证不正确时,机房二级汇聚交换机会主动阻塞没有接收到正确响应或验证错误的接入端口,防止各种伪接入非法入侵。
2.根据权利要求1所述的一种IP视频监控网络安全接入方法,其特征在于,还包括步骤S3:针对工作人员流动造成的交换机设备网管密码泄露问题,采用如下方法:
二级权限管理并废除超级密码机制:第一级权限为全部操作权限,可以修改交换机中任何的参数配置,但所有操作都必须在有加密认证的物理设备在线的情况下才能被执行;第二级权限为维护查看权限,只能查看设备工作状态,不能修改设备工作参数,仅限于设备维护人员巡检工作。
3.根据权利要求1所述的一种IP视频监控网络安全接入方法,其特征在于,还包括步骤S4:针对维护人员有在前端对网络连接状况测试的需求,在前端汇聚交换机内部嵌入访问授权代理服务机制,即通过第二级权限登录交换机WEB服务后,申请PING功能代理,由交换机WEB服务代行测试网络连接状况并返回结果。
CN201510295956.3A 2015-06-02 2015-06-02 一种ip视频监控网络安全接入方法 Active CN105024999B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510295956.3A CN105024999B (zh) 2015-06-02 2015-06-02 一种ip视频监控网络安全接入方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510295956.3A CN105024999B (zh) 2015-06-02 2015-06-02 一种ip视频监控网络安全接入方法

Publications (2)

Publication Number Publication Date
CN105024999A true CN105024999A (zh) 2015-11-04
CN105024999B CN105024999B (zh) 2018-08-28

Family

ID=54414706

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510295956.3A Active CN105024999B (zh) 2015-06-02 2015-06-02 一种ip视频监控网络安全接入方法

Country Status (1)

Country Link
CN (1) CN105024999B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357485A (zh) * 2015-11-20 2016-02-24 武汉微创光电股份有限公司 一种网络视频监控中网络设备接入认证方法
CN105471912A (zh) * 2015-12-31 2016-04-06 深圳市深信服电子科技有限公司 监控网络的安全防御方法和系统
CN107040544A (zh) * 2017-05-15 2017-08-11 上海斐讯数据通信技术有限公司 一种基于流量的入侵检测方法、装置及系统
CN108521399A (zh) * 2018-02-24 2018-09-11 浙江远望通信技术有限公司 一种基于设备特征识别和白名单的视频监控安全接入方法
CN108965272A (zh) * 2018-07-02 2018-12-07 山东华软金盾软件股份有限公司 一种探测网络摄像头弱密码的方法
CN109600348A (zh) * 2018-06-12 2019-04-09 浙江宇视科技有限公司 一种视频前端设备安全接入的方法及装置
CN112543203A (zh) * 2020-12-28 2021-03-23 杭州迪普科技股份有限公司 终端接入方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1538685A (zh) * 2003-10-23 2004-10-20 港湾网络有限公司 二层vlan端口隔离的方法
US20050108568A1 (en) * 2003-11-14 2005-05-19 Enterasys Networks, Inc. Distributed intrusion response system
CN101848463A (zh) * 2010-03-16 2010-09-29 苏州汉明科技有限公司 无线接入点保护合法用户接入的方法
CN104301413A (zh) * 2014-10-17 2015-01-21 国云科技股份有限公司 面向云数据库的一种Oracle分布式实时监控方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1538685A (zh) * 2003-10-23 2004-10-20 港湾网络有限公司 二层vlan端口隔离的方法
US20050108568A1 (en) * 2003-11-14 2005-05-19 Enterasys Networks, Inc. Distributed intrusion response system
CN101848463A (zh) * 2010-03-16 2010-09-29 苏州汉明科技有限公司 无线接入点保护合法用户接入的方法
CN104301413A (zh) * 2014-10-17 2015-01-21 国云科技股份有限公司 面向云数据库的一种Oracle分布式实时监控方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李蓉等: "局域网中单向"Ping"通问题浅析", 《电脑知识与技术》 *
黑与白1989: "交换机抑制广播命令详解", 《URL: HTTP://HEIYUBAI1989.BLOG.51CTO.COM/1947381/365354》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357485A (zh) * 2015-11-20 2016-02-24 武汉微创光电股份有限公司 一种网络视频监控中网络设备接入认证方法
CN105471912A (zh) * 2015-12-31 2016-04-06 深圳市深信服电子科技有限公司 监控网络的安全防御方法和系统
CN105471912B (zh) * 2015-12-31 2019-01-22 深信服科技股份有限公司 监控网络的安全防御方法和系统
CN107040544A (zh) * 2017-05-15 2017-08-11 上海斐讯数据通信技术有限公司 一种基于流量的入侵检测方法、装置及系统
CN107040544B (zh) * 2017-05-15 2020-10-16 北京国科环宇科技股份有限公司 一种基于流量的入侵检测方法、装置及系统
CN108521399A (zh) * 2018-02-24 2018-09-11 浙江远望通信技术有限公司 一种基于设备特征识别和白名单的视频监控安全接入方法
CN109600348A (zh) * 2018-06-12 2019-04-09 浙江宇视科技有限公司 一种视频前端设备安全接入的方法及装置
CN109600348B (zh) * 2018-06-12 2021-09-28 浙江宇视科技有限公司 一种视频前端设备安全接入的方法及装置
CN108965272A (zh) * 2018-07-02 2018-12-07 山东华软金盾软件股份有限公司 一种探测网络摄像头弱密码的方法
CN112543203A (zh) * 2020-12-28 2021-03-23 杭州迪普科技股份有限公司 终端接入方法、装置及系统

Also Published As

Publication number Publication date
CN105024999B (zh) 2018-08-28

Similar Documents

Publication Publication Date Title
CN105024999A (zh) 一种ip视频监控网络安全接入方法
CN110601889B (zh) 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法
CN106850690B (zh) 一种蜜罐构造方法及系统
CN109543301A (zh) 一种基于工业控制的网络安全攻击原型建模方法
Robinson The SCADA threat landscape
CN106559399A (zh) 一种互联网移动终端综合管控系统
CN113645213A (zh) 一种基于vpn技术的多终端网络管理监控系统
CN110708340A (zh) 一种企业专用网络安全监管系统
KR102365580B1 (ko) 오남용 이벤트 정보를 제공하는 통합 cctv 관리 방법 및 장치
CN113365277A (zh) 无线网络安全防护系统
CN106778173A (zh) 一种基于智能操作系统的应用锁设置的方法及装置
CN113973193A (zh) 安全质量管控方法、电子设备及可读介质
CN109922058B (zh) 一种防止非法访问内网的内网保护方法
KR101977374B1 (ko) 스마트 그리드 기반 스마트홈 시스템 및 it 재해 복구 방법
CN106162053A (zh) 视频监控设备及其网络客户端
KR102450471B1 (ko) 인공지능 기반의 스마트홈 네트워크 패턴분석을 이용한 외부 침입 차단 시스템 및 그 방법
CN113839922B (zh) 一种视频监控系统信息安全防护系统和方法
CN106982217A (zh) 一种去中心化的网络安全管理方式
Mahlous Threat Model and Risk Management for a Smart Home IoT System
Wang et al. Analysis on the Application of Campus Network Firewall And Intrusion Detection System
Aziminejad A Cyber-Physical Security Framework for Rail Transportation Data Systems
Cheng et al. Research on Security and Privacy for IOT-Domotics
Himelwright Cybersecurity & Correctional Institutions
Liu et al. The security and protection strategy research of computer network information
Santa et al. Physical and Infrastructure Security IT

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant