CN105429966B - 客户端对周围前端设备的控制权限获取方法及系统 - Google Patents
客户端对周围前端设备的控制权限获取方法及系统 Download PDFInfo
- Publication number
- CN105429966B CN105429966B CN201510744125.XA CN201510744125A CN105429966B CN 105429966 B CN105429966 B CN 105429966B CN 201510744125 A CN201510744125 A CN 201510744125A CN 105429966 B CN105429966 B CN 105429966B
- Authority
- CN
- China
- Prior art keywords
- client
- end equipment
- control authority
- sub
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
- H04N7/181—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种客户端对周围前端设备的控制权限获取方法,包括在服务器中存储监控系统中所有带位置信息的前端设备的信息,还包括:客户端周期性向服务器发送自身的位置信息;服务器根据所接收的客户端位置信息以及所存储的前端设备信息获取客户端在预设范围内周围前端设备的登录口令;客户端从服务器获取各前端设备的登录口令并得到对应的账号,并根据登录口令及对应的账号获取前端设备的控制权限。本发明还公开了对应的控制权限获取系统。本发明的方法及系统使得客户端能够快速方便地获取周围前端设备的控制权限,提高应急处理能力。
Description
技术领域
本发明涉及监控系统领域,尤其涉及客户端对周围前端设备的控制权限获取方法及系统。
背景技术
随着平安城市建设的大力推进和不断发展,视频监控系统在城市治安管理、应急事件处置、人员密集场所监控等方面发挥着越来越重要的作用。指挥车(巡逻人员或者执勤人员)在任务执行过程中往往需要通过查看周围的监控画面,来更好的了解现场及附近的道路、人员状况,从而快速地做出最正确的处置。
目前监控系统中,指挥车的客户端通过服务器上的中心管理平台来实现对IPC等前端设备的访问。现有技术中客户端到达监控系统分布范围内的某个位置时,若要获取对前端设备的访问及控制,需要客户端登录服务器,服务器在对客户端进行设备ID、账号及密码的校验通过之后,由用户通过客户端在服务器上存储的前端设备中查找当前客户端所在的位置附近存在哪些前端设备,并由用户进行手动地逐个获取,例如在服务器中将各前端设备按照所在区域的范围大小以树形形式折叠,范围越小越靠近树的末端节点位置,在用户查找时,需要将树形逐渐展开,才能找到所在位置对应的前端设备。对于安全权限的控制主要体现在对主要功能模块的权限控制,如操作资源权限、云台控制权限、存储配置权限等,由于各前端设备类型不同可能存在不同的控制权限,因此也需要各用户通过客户端去手动选择。
采用现有的方式,当指挥车在巡逻或者处置紧急状况时,指挥车上的客户端往往无法快速的获取到周围前端设备例如IPC(IP Camera,网络摄像机)的访问和控制权限,因此现有技术的控制权限获取方式存在手动查找效率低下、耗时过长且容易出错的问题。
发明内容
为解决现有技术存在的问题,本发明提供了一种控制权限的获取方法,以实现客户端在不同位置均能快速获取周围前端设备的控制权限的目的。
一种客户端对周围前端设备的控制权限获取方法,用于在监控系统中客户端对周围前端设备的控制,包括在服务器中存储监控系统中所有带位置信息的前端设备的信息,还包括:
客户端周期性向服务器发送自身的位置信息;
服务器根据所接收的客户端位置信息以及所存储的前端设备信息获取客户端在预设范围内周围前端设备的登录口令;
客户端从服务器获取各前端设备的登录口令并得到对应的账号,并根据登录口令及对应的账号获取前端设备的控制权限。
本发明客户端主动地向服务器周期性报告所在位置,而服务器由于已经预存了各前端设备的所在位置,根据客户端报告的位置再通过预设的范围限定,就能查找出在预设范围内客户端周围存在哪些前端设备,由于这一过程是自动的,因此为避免未经许可的客户端对前端设备进行控制,通过生成前端设备相对应的登录口令以及获取账号的方式,只有通过服务器访问的客户端才能根据账号及登录口令正确地得到相应前端设备的控制权限,而客户端访问服务器是需要通过服务器的身份验证的,从而保证了控制权限获取的安全性。周围前端设备以及控制权限的获取方法由服务器与客户端及前端设备交互完成,消除了用户手动查找周围前端设备所带来的低效率且易出错的弊端。
进一步而言,所述账号带有预设的时限,在达到所述时限时所述客户端获取的控制权限由受控的前端设备停止。
由于现有技术是通过用户手动查找并进行控制的,这种控制不存在时限,只有用户通过客户端主动放弃,才能停止对前端设备的占用,这样一来容易造成一个前端设备被单个客户端占用时间过长的问题,因此对账号设定时限,例如时限为30分钟。如果客户端对一个前端设备的控制超过这个时限时,受控的前端设备可以主动地停止客户端的控制,从而避免占用时间过长的问题,提高了前端设备的利用率。
进一步而言,所述预设范围为客户端与前端设备的距离阈值,对应地,服务器获取登录口令的方法包括:
判断客户端所在位置与所存储的前端设备位置之间的距离,将距离小于所述距离阈值的前端设备作为客户端在预设范围内周围的前端设备;
通过与各前端设备的交互得到动态生成的登录口令且使得各前端设备存储对应的登录口令。
其中这个距离阈值可以预存在服务器上,由服务器对个各客户端统一设定距离阈值或单独设定各客户端的距离阈值,而较佳而言,为了使距离阈值可以根据所处的环境设置(例如同一个监控系统中有些区域前端设备分布较稀疏,则距离阈值相对而言要较大,有些区域比较前端设备分布较密集则距离阈值相对而言较小),所述的距离阈值由客户端设置,每次客户端周期性向服务器发送位置信息时一并将距离阈值发送给服务器。服务器接收到相应的信息之后,根据距离阈值以及位置信息进行周围前端设备的查找,查找到各前端设备后,通过与前端设备的交互完成登录口令的获取。
服务器和对应的前端设备都应当获取登录口令,服务器获取登录口令以发送给需要的客户端,而前端设备则是为了在客户端进行控制权限获取时用于校验,只有客户端发送的登录口令与所存储的登录口令一致时才允许获取控制权限,防止未经许可的控制。
动态生成的登录口令由前端设备生成并发送给服务器,或者由服务器生成并发送给前端设备。
进一步而言,客户端带有预设的权限等级,所述控制权限获取方法还包括各前端设备根据客户端的权限等级生成对应的控制权限信息;
对应地,客户端所得对应前端设备登录口令的账号由前端设备生成,生成的控制权限信息包含于账号中由服务器进行所述交互时获取并发送给客户端,对应地,所述客户端所获取的控制权限仅为对应的前端设备的控制权限信息所包含的控制权限。
不同的客户端在监控中可能处于不同的权限等级,因此对于同一前端设备,处于不同权限等级的各客户端可获取的控制权限是不同的,由于前端设备是可以获知自身包含哪些控制权限的,因此前端设备可以在生成账号的同时就为客户端分配对应权限等级的控制权限,使得客户端只在自己的权限等级内进行控制访问,从而增加了监控系统的安全性。
按照每个前端设备单独生成登录口令及账号,使客户端根据登录口令及账号进行相应的控制虽然保证了针对每个前端设备具有不同的控制权限且实现起来也比较简单,但如果需要获取的前端设备数目较多,则这种方式对于服务器来说,要与多个前端设备同时交互,即需要并发多个任务,性能开销较大,容易对系统稳定性造成影响。
进一步而言,所述监控系统的分布范围被划分为若干子区域且在服务器中存储各子区域的边界信息,所述的预设范围为客户端所在预先划分的子区域,对应地,服务器获取登录口令的方法包括:
根据客户端的位置及所存储的子区域边界信息,得到客户端所在的子区域;
生成登录口令并发送给客户端及子区域中的各前端设备,其中登录口令包含子区域边界信息以及由服务器周期性生成的动态口令,对于单个客户端而言在同一时间获取的子区域内所有前端设备的登录口令及对应的账号均相同。
这种方式将整个监控系统的分布区域划分为若干子区域,且服务器上存有各个子区域的边界信息。例如子区域为矩形区域,则边界信息可以为矩形区域四个角落的坐标,客户端发送的位置信息也一般为坐标信息,通过服务器将客户端的坐标与子区域的边界信息进行比较,可以得知客户端落在哪个子区域。由于前端设备的位置是固定的,因此就可以得到这个子区域内存在哪些前端设备。
为了使客户端可以快速获取各前端设备的控制权限,可以使同一个子区域内所有的前端设备的登录口令都一样,这样客户端只需要一个登录口令即可获取所有的前端设备的控制权限,使得控制权限可以快速获取。
另外,登录口令既包含所在子区域信息又包含动态的口令,使得不同子区域的登录口令不同,且不同时间生成的口令也不同。动态口令部分是服务器周期性地生成,因此,客户端需要通过服务器的校验才能获取,保证了登录口令的安全性。
进一步而言,客户端存有各子区域对应的前端设备的账号,客户端在获取各前端设备登录口令时根据登录口令中的子区域信息从存储的账号中调取得到对应的账号,其中各子区域对应不同的账号且同一子区域内的各前端设备账号相同。
账号可以是前端设备发送的,也可以是客户端预先存储并在收到登录口令时发送,由于账号需要配合登录口令在同一子区域内一致,因此,账号可以预先存在各个客户端内,在收到登录口令时直接由客户端进行调取,从而节省了前端设备生成账号并发送的时间,进一步地提高了效率。
一种客户端对周围前端设备的控制权限获取系统,用于在监控系统中客户端对周围前端设备的控制,包括前端设备信息存储单元,用于在服务器中存储监控系统中所有带位置信息的前端设备的信息,还包括:
客户端的定位单元,用于周期性向服务器发送自身的位置信息;
服务器的登录口令获取单元,用于根据所接收的客户端位置信息以及所存储的前端设备信息获取客户端在预设范围内周围前端设备的登录口令;
客户端的控制权限获取单元,用于从服务器获取各前端设备的登录口令并得到对应的账号,并根据登录口令及对应的账号获取前端设备的控制权限。
本发明客户端主动地向服务器周期性报告所在位置,而服务器由于已经预存了各前端设备的所在位置,根据客户端报告的位置再通过预设的范围限定,就能查找出在预设范围内客户端周围存在哪些前端设备,由于这一过程是自动的,因此为避免未经许可的客户端对前端设备进行控制,通过生成前端设备相对应的登录口令以及获取账号的方式,只有通过服务器访问的客户端才能根据账号及登录口令正确地得到相应前端设备的控制权限,而客户端访问服务器是需要通过服务器的身份验证的,从而保证了控制权限获取的安全性。周围前端设备以及控制权限的获取方法由服务器与客户端及前端设备交互完成,消除了用户手动查找周围前端设备所带来的低效率且易出错的弊端。
进一步而言,所述控制权限获取单元获取的账号带有预设的时限,在达到所述时限时所述客户端获取的控制权限由受控的前端设备停止。
由于现有技术是通过用户手动查找并进行控制的,这种控制不存在时限,只有用户通过客户端主动放弃,才能停止对前端设备的占用,这样一来容易造成一个前端设备被单个客户端占用时间过长的问题,因此对账号设定时限,例如时限为30分钟。如果客户端对一个前端设备的控制超过这个时限时,受控的前端设备可以主动地停止客户端的控制,从而避免占用时间过长的问题,提高了前端设备的利用率。
进一步而言,所述预设范围为客户端与前端设备的距离阈值,对应地,服务器的登录口令获取单元包括:
前端设备获取子单元,判断客户端所在位置与所存储的前端设备的位置,将距离小于所述距离阈值的前端设备作为客户端在预设范围内周围的前端设备;
交互子单元,通过与各前端设备的交互得到动态生成的登录口令且使得各前端设备存储对应的登录口令。
其中这个距离阈值可以预存在服务器上,由服务器对个各客户端统一设定距离阈值或单独设定各客户端的距离阈值,而较佳而言,为了使距离阈值可以根据所处的环境设置(例如同一个监控系统中有些区域前端设备分布较稀疏,则距离阈值相对而言要较大,有些区域比较前端设备分布较密集则距离阈值相对而言较小),所述的距离阈值由客户端设置,每次客户端周期性向服务器发送位置信息时一并将距离阈值发送给服务器。服务器接收到相应的信息之后,根据距离阈值以及位置信息进行周围前端设备的查找,查找到各前端设备后,通过与前端设备的交互完成登录口令的获取。
服务器和对应的前端设备都应当获取登录口令,服务器获取登录口令以发送给需要的客户端,而前端设备则是为了在客户端进行控制权限获取时用于校验,只有客户端发送的登录口令与所存储的登录口令一致时才允许获取控制权限,防止未经许可的控制。
动态生成的登录口令由前端设备生成并发送给服务器,或者由服务器生成并发送给前端设备。
进一步而言,客户端带有预设的权限等级,所述控制权限获取系统还包括各前端设备的权限信息生成单元,用于根据客户端的权限等级生成对应的控制权限信息;
对应地,客户端的控制权限获取单元所得对应前端设备登录口令的账号由前端设备生成,所述权限信息生成单元生成的控制权限信息包含于账号中由服务器进行所述交互时获取并发送给客户端,对应地,所述客户端的控制权限获取单元所获取的控制权限仅为对应的前端设备的控制权限信息所包含的控制权限。
不同的客户端在监控中可能处于不同的权限等级,因此对于同一前端设备,处于不同权限等级的各客户端可获取的控制权限是不同的,由于前端设备是可以获知自身包含哪些控制权限的,因此前端设备可以在生成账号的同时就为客户端分配对应权限等级的控制权限,使得客户端只在自己的权限等级内进行控制访问,从而增加了监控系统的安全性。
按照每个前端设备单独生成登录口令及账号,使客户端根据登录口令及账号进行相应的控制虽然保证了针对每个前端设备具有不同的控制权限且实现起来也比较简单,但如果需要获取的前端设备数目较多,则这种方式对于服务器来说,要与多个前端设备同时交互,即需要并发多个任务,性能开销较大,容易对系统稳定性造成影响。
进一步而言,还包括子区域信息存储单元,所述监控系统的分布范围被划分为若干子区域且在服务器中由所述子区信息存储单元存储各子区域的边界信息,所述的预设范围为客户端所在预先划分的子区域,对应地,服务器的登录口令获取单元包括:
子区域获取子单元,用于根据客户端的位置及所存储的子区域边界信息,得到客户端所在的子区域;
子区域登录口令生成子单元,用于生成登录口令并发送给客户端及子区域中的各前端设备,其中登录口令包含子区域边界信息以及由服务器周期性生成的动态口令,对于单个客户端而言在同一时间获取的子区域内所有前端设备的登录口令及对应的账号均相同。
这种方式将整个监控系统的分布区域划分为若干子区域,且服务器上存有各个子区域的边界信息。例如子区域为矩形区域,则边界信息可以为矩形区域四个角落的坐标,客户端发送的位置信息也一般为坐标信息,通过服务器将客户端的坐标与子区域的边界信息进行比较,可以得知客户端落在哪个子区域。由于前端设备的位置是固定的,因此就可以得到这个子区域内存在哪些前端设备。
为了使客户端可以快速获取各前端设备的控制权限,可以使同一个子区域内所有的前端设备的登录口令都一样,这样客户端只需要一个登录口令即可获取所有的前端设备的控制权限,使得控制权限可以快速获取。
另外,登录口令既包含所在子区域信息又包含动态的口令,使得不同子区域的登录口令不同,且不同时间生成的口令也不同。动态口令部分是服务器周期性地生成,因此,客户端需要通过服务器的校验才能获取,保证了登录口令的安全性。
进一步而言,客户端还包括账号存储单元,所述账号存储单元存有各子区域对应的前端设备的账号,客户端的控制权限获取单元在获取各前端设备登录口令时根据登录口令中的子区域信息从账号存储单元存储的账号中调取得到对应的账号,其中各子区域对应不同的账号且同一子区域内的各前端设备账号相同。
账号可以是前端设备发送的,也可以是客户端预先存储并在收到登录口令时发送,由于账号需要配合登录口令在同一子区域内一致,因此,账号可以预先存在各个客户端内,在收到登录口令时直接由客户端进行调取,从而节省了前端设备生成账号并发送的时间,进一步地提高了效率。
本发明的突出优点在于,客户端可以快速获取周围前端设备的控制权限,提高应急处置能力;客户端在获取前端设备控制权限的过程中,引入有时间限制的临时账号概念,并且账号与口令分别由客户端和服务器生成,提高账号和口令的安全级别,并且服务器全程参与,对设备进行校验,保证系统的可靠性高;前端设备可以根据不同权限等级的客户端提供对应的控制权限,提高监控系统的安全性;客户端可以按照所在的子区域同时自动获取周围多个前端设备的控制权限,使用更加方便快速。
附图说明
图1为本发明第一实施例的客户端通过VM平台与IPC交互的过程示意图;
图2为第二实施例客户端及IPC位置分布示意图;
图3为第二实施例中客户端获取IPC位置分布示意图;
图4为本发明两个实施例的总体方法流程图。
具体实施方式
为使本发明更加清楚明了,现结合实施例及说明书附图对本发明加以详细的解释说明。
本发明的第一及第二实施例中,前端设备为IPC,服务器为VM平台 (VideoManagement,视频管理服务器),客户端为VC/XP(Video Client,监控客户端)。
其中客户端安装在指挥车上,随指挥车移动而移动。本发明的当前实施例方法通过控制权限获取系统实现。当前实施例中,系统包含:服务器的前端设备信息存储单元、客户端的定位单元、服务器的登录口令获取单元、客户端的控制权限获取单元。
其中第一实施例及第二实施例均如图4所示,包括如下大致步骤:
步骤1,在服务器的前端设备信息存储单元中存储监控系统中所有带位置信息的前端设备的信息。
步骤2,客户端的定位单元周期性向服务器发送自身的位置信息。
步骤3,服务器的登录口令获取单元根据所接收的客户端位置信息以及所存储的前端设备信息获取客户端在预设范围内周围前端设备的登录口令。
步骤4,客户端的控制权限获取单元从服务器获取各前端设备的登录口令并得到对应的账号,并根据登录口令及对应的账号获取前端设备的控制权限。
其中在步骤4中,如果账号为带有老化时间(时限)的临时账号,在超出老化时间后,IPC将临时账号置为无效账号,客户端失去对IPC的控制。
第一实施例及第二实施例在步骤1是相同的,不同点在于两个实施例之间进行IPC控制权限获取的方式不同。
步骤1中,可以由管理员在VM平台的管理平台界面手动添加所管理的前端设备对应的坐标点信息,并保存在VM平台的数据库中。视频管理服务器可以集中管理控制监控系统中的所有设备,调度各种视频监控业务,以及管理分配监控用户权限。如表1所示:
表1
应注意,本发明的触发机制只会对带位置信息的前端设备进行处理;不带位置信息的前端设备都不在本发明方法处理的范围之内,例如表1中,只有终端ID为1的IPC带有位置信息,因此只有终端ID为1的IPC会参与到触发判断机制流程中。
第一实施例及第二实施例中,客户端均通过自身的定位单元中GPS定位功能进行周期性的位置坐标获取,并发送给服务器。
但是,第一实施例中客户端在向服务器发送的位置坐标以外还发送其他信息,并在VM平台上会生成一张实时更新的表用于记录各个客户端的相关信息,具体格式如表2:
表2
其中用户名、密码及权限级别可通过VM管理平台界面手动配置;上报周期和阈值由指挥车上的客户端配置后上报给VM平台;位置信息及上报时间点由指挥车的GPS模块根据上报周期实时上报更新。
对应地,在第一实施例中,客户端获取单个IPC控制权限过程,如图1 所示。其中,在步骤3,服务器的登录口令获取单元根据所接收的客户端位置信息以及所存储的前端设备信息获取客户端在预设范围内周围前端设备的登录口令包括如下步骤,其中步骤4中所使用到的账号也通过步骤3 中的服务器与前端设备的交互完成,具体如下:
步骤a-1,客户端处于IPC的触发范围内时,由VM平台完成对客户端的设备号(code)、账户、密码信息的校验,判断为有效触发时继续执行获取IPC访问权限流程;否则丢弃客户端信息。
根据现有的坐标点位距离算法,当客户端返回的坐标点与IPC所在坐标点直线距离小于预设的距离阈值(例如当前实施例为500米)时,触发判断流程,VM平台根据表2中的信息校验客户端的设备号(code)、账户以及密码信息,只有校验通过,确认为合法的客户端用户才会被判定为有效触发,客户端采用本发明实施例的方法获取IPC控制权限的机制;如果校验不通过则丢弃该客户端信息。此时前端设备获取子单元获取处于距离阈值以内的各个前端设备。
步骤a-2,VM平台的登录口令获取单元中的交互子单元对IPC下发指令,告知IPC当前客户端对应的权限等级,并触发IPC产生一个临时账号。
以SIP协议为例,当前实施例IPC所产生的临时账号字段如下:
MESSAGE sip:目的设备编码@目的域名或IP地址端口SIP/2.0
To:sip:目的设备编码@目的域名
Content-Length:消息实体的字节长度
CSeq:1MESSAGE
Call-ID:a84b4c76e66710
Via:SIP/2.0/UDP源域名或IP地址
From:<sip:源设备编码@源域名>;tag=237f57dc
Content-Type:Application/MANSCDP+xml
Max-Forwards:69
<?xml version="1.0"?>
<Control>
<CmdType>Tem-account-needed</CmdType>
<privilege>1</privilege>
<SN>11</SN>
<DeviceID>64010000041310000345</DeviceID>
<OTHER>*****</OTHER>
...
</Control>
其中,<CmdType>Tem-account-needed</CmdType>为触发IPC生成临时账号的字段;下一行<privilege>1</privilege>表示客户端所对应的控制权限信息。
步骤a-3,IPC收到VM平台的指令后,由权限信息生成单元根据客户端的级别分配对应的控制权限并生成临时账号(即带有时限的账号)。
IPC收到VM平台的指令后,会随机产生一个有老化时间(即账号的时限),当前实施例中老化时间为30分钟,则临时账号在30分钟内有效,另外,IPC的权限信息生成单元会读取VM报文中的<privilege>1</privilege> 字段来得到客户端的级别,并根据客户端的级别为客户端分配对应等级的控制权限(实况、回放、云台控制等权限)并生成临时账号,在临时账号中含有权限信息生成单元生成的控制权限信息。本发明当前实施例中客户端等级和对应的控制权限之间的匹配关系如表3所示:
表3
步骤a-4,IPC将生成的临时账号及控制权限信息上报给VM平台。
以SIP报文为例,在保留字段中增加Tem-account(临时账号)、 Survival-time(存活时间)、Control-authority字段(控制权限),报文中增加字段如下:
<Tem-account>USER 1</Tem-account>
<Survival-time>30</Survival-time>
<Control-authority>1</Control-authority>
步骤a-5,VM平台的登录口令获取单元随机生成一个动态口令。
在其他实现方式中,该步骤的动态口令也可以替代地在步骤a-3中由 IPC在生成临时账号时同步生成后上报给VM平台;
步骤a-6,VM平台的交互子单元将动态口令以reply的方式给IPC,作为临时账号的登录口令。如果IPC在生成临时账号的同时生成动态口令上报给VM平台,则不需要步骤a-6。
步骤a-7,VM平台同时将生成的动态口令及IPC上报的临时账号下发给VC/XP客户端。
在完成步骤a-1至a-7后,即完成了步骤3,客户端得到了临时账号及登录口令。此时进入步骤4,客户端使用获取到的临时账号及动态的登录口令访问控制IPC,客户端控制权限获取单元获取的控制权限仅限于临时账号里的控制权限信息允许的范围。
第一实施例在实施步骤3时,按照单个IPC控制权限的获取方法,VM 平台对多个IPC重复执行如步骤a-1~步骤a-7的相同流程,最终在步骤4反馈给VC/XP客户端多个临时账号和动态口令的组合,VC/XP客户端通过多个临时账号和动态口令同时对多个IPC进行控制,此方法实现过程完全重复单个IPC控制权限获取的方法,实现较简单,但是对于VM平台来说,要同时并发多个任务,性能开销较大,容易对系统稳定性造成影响。
因此在第二实施例中,采用一种较快捷的方式,有利于系统稳定。
第二实施例通过私有的口令算法生成口令,口令算法按照当前设备 (IPC)所在的坐标点,当设备在同一区域时,生成相同的口令,VC/XP 客户端可以根据自身所在位置计算出设备的登录口令,如图2所示。
VM平台根据IPC的坐标地址,通过私有算法,可以对如图中的IPC A 和IPC B生成相同的登录口令,在IPC A和IPC B上线时就下发给对应的 IPC,同时IPC保留特殊权限的临时账号。
各客户端的定位单元可通过相同的算法,根据自身当前所处位置的坐标信息及时间点信息,计算出当前时间段内访问该区域内IPC的通用密码,从而通过特定的临时账号和计算出的口令,同时获取到该区域内多个IPC 的访问控制权限。
第二实施例在实施步骤3时所采用的方法可以在获取IPC控制权限的过程中自行通过算法得到口令,免去与VM平台的交互,降低对VM平台的性能消耗,并且口令的生成过程通过特定私有算法实现,不容易被破解。
例如,假定图2中IPC A的坐标点为(a,b),指挥车的坐标点为(A, B),区域边界线由经纬度先组成构成的矩形子区域如图3所示,交点分别为A1(X1,Y1)、A2(X2,Y2)、A3(X3,Y3)、A4(X4,Y4)四个点,这四个点为该子区域的边界信息。在服务器的子区域信息存储单元中存有监控系统分布区域所划分的各子区域的边界信息。
当前实施例中步骤3包括如下步骤:
b-1,服务器登录口令获取单元的子区域获取子单元根据GPS定位模块的坐标信息(A,B),得到客户端所在的子区域。
VM平台的子区域获取子单元根据客户端坐标点(A,B),与区域边界进行比较,满足X1≤A<X2且Y1≤B<Y2,从而得到客户端所在子区域为 A1、A2、A3、A4所形成的子区域。
b-2,子区域登录口令生成子单元生成登录口令并发送给客户端及子区域中的各前端设备。
VM平台的子区域登录口令生成子单元根据客户端坐标点(a,b),与区域边界进行比较,满足X1≤a<X2且Y1≤b<Y2,生成固定的字符串信息X1Y1X2Y2;VM平台登录口令获取单元通过将字符串X1Y1X2Y2与动态字符串进行拼接,形成新的字符串X1Y1X2Y2********,并对新的字符串进行MD5加密,加密后生成的字符串取前8位作为最终的口令(如:password),并且下发给区域内的各个IPC,在区域内的IPC可以进行批量处理。
其中登录口令包含子区域边界信息(即区域的四个角落坐标值)以及由服务器周期性生成的动态口令,对于单个客户端而言在同一时间获取的子区域内所有前端设备的登录口令及对应的账号均相同。动态口令部分由 VM平台周期性更新口令算法的基础参照值,即动态生成的一串字符串 xxxxxxxxx,到达更新周期后,重新生成字符串********,用于新的时刻的客户端登录口令获取。
b-3,客户端的控制权限获取单元在获取登录口令时根据登录口令中的子区域信息从自身的账号存储单元存储的账号中调取得到对应的临时账号。
在当前实施例中账号预先存在各个客户端内,客户端在收到登录口令时直接进行调取,从而节省了前端设备生成账号并发送的时间,进一步地提高了效率。
在步骤4中,指挥车上的客户端通过临时账户及登录口令获取对应的受控IPC实况流,在操作云台时需带入动态口令获取IPC的PTZ控制权限。超出老化时间后,IPC上将临时账号置为无效账号,指挥车(客户端)失去对IPC的控制。
本发明的突出优点在于,客户端可以快速获取周围前端设备的控制权限,提高应急处置能力;客户端在获取前端设备控制权限的过程中,引入有时间限制的临时账号概念,并且账号与口令分别由客户端和服务器生成,提高账号和口令的安全级别,并且服务器全程参与,对设备进行校验,保证系统的可靠性高;前端设备可以根据不同权限等级的客户端提供对应的控制权限,提高监控系统的安全性;客户端可以按照所在的子区域同时自动获取周围多个前端设备的控制权限,使用更加方便快速。
Claims (8)
1.一种客户端对周围前端设备的控制权限获取方法,用于在监控系统中客户端对周围前端设备的控制,包括在服务器中存储监控系统中所有带位置信息的前端设备的信息,其特征在于,还包括:
客户端周期性向服务器发送自身的位置信息;
服务器根据所接收的客户端位置信息以及所存储的前端设备信息获取客户端在预设范围内周围前端设备的登录口令;
客户端从服务器获取各前端设备的登录口令并得到对应的账号,并根据登录口令及对应的账号获取前端设备的控制权限;
客户端带有预设的权限等级,所述控制权限获取方法还包括各前端设备根据客户端的权限等级生成对应的控制权限信息;
对应地,客户端所得对应前端设备登录口令的账号由前端设备生成,生成的控制权限信息包含于账号中由服务器与各前端设备交互时获取并发送给客户端,对应地,所述客户端所获取的控制权限仅为对应的前端设备的控制权限信息所包含的控制权限;
所述监控系统的分布范围被划分为若干子区域且在服务器中存储各子区域的边界信息,所述的预设范围为客户端所在预先划分的子区域,对应地,服务器获取登录口令的方法包括:
根据客户端的位置及所存储的子区域边界信息,得到客户端所在的子区域;
生成登录口令并发送给客户端及子区域中的各前端设备,其中登录口令包含子区域边界信息以及由服务器周期性生成的动态口令,对于单个客户端而言在同一时间获取的子区域内所有前端设备的登录口令及对应的账号均相同。
2.如权利要求1所述客户端对周围前端设备的控制权限获取方法,其特征在于,所述账号带有预设的时限,在达到所述时限时所述客户端获取的控制权限由受控的前端设备停止。
3.如权利要求1所述客户端对周围前端设备的控制权限获取方法,其特征在于,所述预设范围为客户端与前端设备的距离阈值,对应地,服务器获取登录口令的方法包括:
判断客户端所在位置与所存储的前端设备位置之间的距离,将距离小于所述距离阈值的前端设备作为客户端在预设范围内周围的前端设备;
通过与各前端设备的交互得到动态生成的登录口令且使得各前端设备存储对应的登录口令。
4.如权利要求1所述客户端对周围前端设备的控制权限获取方法,其特征在于,客户端存有各子区域对应的前端设备的账号,客户端在获取各前端设备登录口令时根据登录口令中的子区域信息从存储的账号中调取得到对应的账号。
5.一种客户端对周围前端设备的控制权限获取系统,用于在监控系统中客户端对周围前端设备的控制,包括前端设备信息存储单元,用于在服务器中存储监控系统中所有带位置信息的前端设备的信息,其特征在于,还包括:
客户端的定位单元,用于周期性向服务器发送自身的位置信息;
服务器的登录口令获取单元,用于根据所接收的客户端位置信息以及所存储的前端设备信息获取客户端在预设范围内周围前端设备的登录口令;
客户端的控制权限获取单元,用于从服务器获取各前端设备的登录口令并得到对应的账号,并根据登录口令及对应的账号获取前端设备的控制权限;
客户端带有预设的权限等级,所述控制权限获取系统还包括各前端设备的权限信息生成单元,用于根据客户端的权限等级生成对应的控制权限信息;
对应地,客户端的控制权限获取单元所得对应前端设备登录口令的账号由前端设备生成,所述权限信息生成单元生成的控制权限信息包含于账号中由服务器与各前端设备交互时获取并发送给客户端,对应地,所述客户端的控制权限获取单元所获取的控制权限仅为对应的前端设备的控制权限信息所包含的控制权限;
还包括子区域信息存储单元,所述监控系统的分布范围被划分为若干子区域且在服务器中由所述子区信息存储单元存储各子区域的边界信息,所述的预设范围为客户端所在预先划分的子区域,对应地,服务器的登录口令获取单元包括:
子区域获取子单元,用于根据客户端的位置及所存储的子区域边界信息,得到客户端所在的子区域;
子区域登录口令生成子单元,用于生成登录口令并发送给客户端及子区域中的各前端设备,其中登录口令包含子区域边界信息以及由服务器周期性生成的动态口令,对于单个客户端而言在同一时间获取的子区域内所有前端设备的登录口令及对应的账号均相同。
6.如权利要求5所述客户端对周围前端设备的控制权限获取系统,其特征在于,所述控制权限获取单元获取的账号带有预设的时限,在达到所述时限时所述客户端获取的控制权限由受控的前端设备停止。
7.如权利要求5所述客户端对周围前端设备的控制权限获取系统,其特征在于,所述预设范围为客户端与前端设备的距离阈值,对应地,服务器的登录口令获取单元包括:
前端设备获取子单元,判断客户端所在位置与所存储的前端设备的位置,将距离小于所述距离阈值的前端设备作为客户端在预设范围内周围的前端设备;
交互子单元,通过与各前端设备的交互得到动态生成的登录口令且使得各前端设备存储对应的登录口令。
8.如权利要求5所述客户端对周围前端设备的控制权限获取系统,其特征在于,客户端还包括账号存储单元,所述账号存储单元存有各子区域对应的前端设备的账号,客户端的控制权限获取单元在获取各前端设备登录口令时根据登录口令中的子区域信息从账号存储单元存储的账号中调取得到对应的账号,其中各子区域对应不同的账号且同一子区域内的各前端设备账号相同。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510744125.XA CN105429966B (zh) | 2015-11-04 | 2015-11-04 | 客户端对周围前端设备的控制权限获取方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510744125.XA CN105429966B (zh) | 2015-11-04 | 2015-11-04 | 客户端对周围前端设备的控制权限获取方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105429966A CN105429966A (zh) | 2016-03-23 |
| CN105429966B true CN105429966B (zh) | 2019-12-13 |
Family
ID=55507908
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510744125.XA Active CN105429966B (zh) | 2015-11-04 | 2015-11-04 | 客户端对周围前端设备的控制权限获取方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105429966B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230778A (zh) * | 2016-07-12 | 2016-12-14 | 佛山杰致信息科技有限公司 | 一种远程控制系统 |
| CN107888868B (zh) * | 2016-09-28 | 2020-12-01 | 华为数字技术(苏州)有限公司 | 一种访问摄像机的方法及装置 |
| CN107124583B (zh) * | 2017-04-21 | 2020-06-23 | 宁波公众信息产业有限公司 | 一种快速获取视频监控信息的监控系统 |
| CN109286600A (zh) * | 2017-07-20 | 2019-01-29 | 浙江宇视科技有限公司 | 一种视频监控系统中的访问控制方法及装置 |
| US10098201B1 (en) * | 2017-10-17 | 2018-10-09 | Cooper Lighting, Llc | Method and system for controlling functionality of lighting devices from a portable electronic device |
| CN108897844B (zh) * | 2018-06-27 | 2021-04-06 | 广州视源电子科技股份有限公司 | 教学系统账号分配和校验方法、装置和系统 |
| CN109918932A (zh) * | 2019-03-12 | 2019-06-21 | 苏州乐模软件科技有限公司 | 基于mes系统的外延软件用户访问识别方法及系统 |
| CN116868740A (zh) * | 2023-06-30 | 2023-10-13 | 广东环境保护工程职业学院 | 一种植物的养护方法、装置、系统和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1956794A2 (en) * | 2007-02-07 | 2008-08-13 | Hitachi, Ltd. | On-vehicle gateway device |
| CN101964901A (zh) * | 2010-10-11 | 2011-02-02 | 杭州海康威视数字技术股份有限公司 | 一种视频监控设备的权限管理方法及设备 |
| CN103312676A (zh) * | 2012-03-15 | 2013-09-18 | 宇龙计算机通信科技(深圳)有限公司 | 终端、服务器和终端安全管理方法 |
| CN104486835A (zh) * | 2014-12-09 | 2015-04-01 | 浙江宇视科技有限公司 | 一种基于无线接入点和视频监控的定位装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916637B (zh) * | 2014-04-15 | 2017-08-15 | 浙江宇视科技有限公司 | 一种安全地共享监控前端设备的方法和装置 |
-
2015
- 2015-11-04 CN CN201510744125.XA patent/CN105429966B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1956794A2 (en) * | 2007-02-07 | 2008-08-13 | Hitachi, Ltd. | On-vehicle gateway device |
| CN101964901A (zh) * | 2010-10-11 | 2011-02-02 | 杭州海康威视数字技术股份有限公司 | 一种视频监控设备的权限管理方法及设备 |
| CN103312676A (zh) * | 2012-03-15 | 2013-09-18 | 宇龙计算机通信科技(深圳)有限公司 | 终端、服务器和终端安全管理方法 |
| CN104486835A (zh) * | 2014-12-09 | 2015-04-01 | 浙江宇视科技有限公司 | 一种基于无线接入点和视频监控的定位装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105429966A (zh) | 2016-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105429966B (zh) | 客户端对周围前端设备的控制权限获取方法及系统 | |
| CN110311899A (zh) | 多业务系统访问方法、装置及服务器 | |
| CN109257334B (zh) | 一种基于区块链的数据上链系统、方法及存储介质 | |
| CN104219218B (zh) | 一种主动安全防御的方法及装置 | |
| US20170024995A1 (en) | Event notification | |
| CN105553920B (zh) | 数据交互方法及装置、系统 | |
| CN105391744B (zh) | 一种管理监控设备的方法及系统 | |
| CN106911685B (zh) | 一种物联网光交箱的智能控制系统 | |
| CN113542399B (zh) | 车辆的远程控制方法、装置、车辆以及存储介质 | |
| CN107872440B (zh) | 身份鉴权方法、装置和系统 | |
| CN110225031B (zh) | 动态权限漏洞检测方法、系统、装置及可读存储介质 | |
| US20180176206A1 (en) | Dynamic Data Protection System | |
| US20160306619A1 (en) | Method and device for remotely updating application program | |
| CN110430196B (zh) | 视频大数据云平台级联服务方法 | |
| US8510819B2 (en) | System and method for managing and securing mobile devices | |
| CN106162715A (zh) | 监控管理方法及装置 | |
| CN107067354B (zh) | 基于共治网格的监管任务处理方法和装置 | |
| CN111125648B (zh) | 一种设备变更方法和装置 | |
| CN102104769B (zh) | 多域视频监控系统中共享摄像机的方法及系统 | |
| US20180176197A1 (en) | Dynamic Data Protection System | |
| CN110809262A (zh) | 一种基于coap协议的物联网设备运维管理方法 | |
| US20170063862A1 (en) | System and method for authentication | |
| CN112751800B (zh) | 一种认证方法及装置 | |
| CN108156187B (zh) | 一种云服务系统 | |
| CA3164077A1 (en) | System for emergency response alerts and notification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |