CN105656927A - 一种安全访问方法及系统 - Google Patents
一种安全访问方法及系统 Download PDFInfo
- Publication number
- CN105656927A CN105656927A CN201610099561.0A CN201610099561A CN105656927A CN 105656927 A CN105656927 A CN 105656927A CN 201610099561 A CN201610099561 A CN 201610099561A CN 105656927 A CN105656927 A CN 105656927A
- Authority
- CN
- China
- Prior art keywords
- port
- client
- management server
- server
- headend equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Abstract
本申请提供一种安全访问方法及系统,该方法包括:业务服务器及前端设备均通过注册端口向管理服务器进行注册,在注册成功前,仅对外开放web配置端口,在注册成功后,业务服务器、前端设备及管理服务器更新各自的访问规则;客户端通过登录端口向管理服务器发送登录请求,在登录成功后可向管理服务器请求业务;客户端向管理服务器发送携带有目标设备、业务端口及自身源端口的业务访问请求,并在管理服务器授权后,通过自身源端口对该业务端口进行业务访问。本发明通过管理服务器对监控系统中的客户端、前端设备和业务服务器进行集中授权,仅允许经过授权的客户端、前端设备、业务服务器对监控设备进行访问,有效阻止入侵者对监控设备的扫描入侵。
Description
技术领域
本申请涉及视频监控领域,尤其涉及一种安全访问方法及系统。
背景技术
随着IP视频监控业务的发展,视频监控系统的安全防护变得日益重要。通常入侵者首先会使用漏洞扫描工具对目标设备进行端口扫描,端口扫描一般向目标设备的各个知名端口及部分常用服务端口范围连接消息,根据接收到的消息回应类型判断设备是否在使用该端口,然后通过分析提供服务端口漏洞,进一步发起入侵攻击。然而目前视频监控系统中,前端设备(如IPC网络摄像机、EC编码器)、管理服务器(如VM,VideoManagementServer视频管理服务器)、业务服务器(如DM,DataManagerServer数据管理服务器)等监控设备的各知名端口及常用服务端口,甚至全部端口均是开放的,容易被入侵者非法入侵攻击。漏洞会不断被发现或新出现,通过升级监控软件版本来解决漏洞和防护攻击,在时间上有一定的迟滞,而且在网设备的升级工作量巨大,故迫切需要一种有效阻止攻击者访问监控设备的方案一劳永逸的消除安全隐患。
发明内容
有鉴于此,本申请提供一种安全访问方法及系统,可以有效阻止入侵者对监控设备的扫描入侵。
具体地,本申请是通过如下技术方案实现的:
根据本发明实施例的第一方面,提供一种安全访问方法,该方法包括:
管理服务器的访问规则初始为仅对外开放注册端口和登录端口,业务服务器和前端设备的访问规则初始均为仅对外开放web配置端口;
业务服务器通过所述注册端口向管理服务器进行注册,在业务服务器注册成功后,业务服务器增加向管理服务器开放业务服务器自身已设定端口的访问规则;
前端设备通过所述注册端口向管理服务器进行注册,在前端设备注册成功后,前端设备增加向管理服务器开放前端设备自身已设定端口的访问规则,同时管理服务器增加向该前端设备开放管理服务器自身已设定端口的访问规则,同时管理服务器通知业务服务器增加向该前端设备开放业务服务器自身已设定端口的访问规则;
客户端通过所述登录端口向管理服务器发送登录请求,在客户端登录成功后可向管理服务器发送业务访问请求,所述业务访问请求携带的信息至少包括:目标设备、业务端口及自身源端口,所述目标设备是管理服务器或业务服务器或前端设备;
管理服务器接收所述业务访问请求后,先判断客户端是否已登录,若该客户端已登录,则根据所述业务访问请求对所述客户端进行授权;若该客户端未登录,则对该客户端不进行授权;
客户端在管理服务器授权后,通过自身源端口对所述业务端口进行业务访问。
根据本发明实施例的第二方面,提供一种安全访问系统,所述安全访问系统包括管理服务器、业务服务器、前端设备和客户端;其中,管理服务器的访问规则初始为仅对外开放注册端口和登录端口,业务服务器和前端设备的访问规则初始均为仅对外开放web配置端口;
业务服务器通过所述注册端口向管理服务器进行注册,在业务服务器注册成功后,业务服务器增加向管理服务器开放业务服务器自身已设定端口的访问规则;
前端设备通过所述注册端口向管理服务器进行注册,在前端设备注册成功后,前端设备增加向管理服务器开放前端设备自身已设定端口的访问规则,同时管理服务器增加向该前端设备开放管理服务器自身已设定端口的访问规则,同时管理服务器通知业务服务器增加向该前端设备开放业务服务器自身已设定端口的访问规则;
客户端通过所述登录端口向管理服务器发送登录请求,在客户端登录成功后可向管理服务器发送业务访问请求,所述业务访问请求携带的信息至少包括:目标设备、业务端口及自身源端口,所述目标设备是管理服务器或业务服务器或前端设备;
管理服务器接收所述业务访问请求后,先判断客户端是否已登录,若该客户端已登录,则根据所述业务访问请求对所述客户端进行授权;若该客户端未登录,则对该客户端不进行授权;
客户端在管理服务器授权后,通过自身源端口对所述业务端口进行业务访问。
本发明通过管理服务器对监控系统中的客户端、前端设备和业务服务器进行集中授权,仅允许经过授权的客户端、前端设备、业务服务器对监控系统中的管理服务器或业务服务器或前端设备等监控设备进行访问,而入侵者无法访问监控系统中的任何监控设备的端口,即使监控设备版本有新增漏洞或暂未解决的漏洞,攻击者由于不能访问监控设备而无法利用版本漏洞,有效保障监控系统中各设备安全,有效阻止入侵者对监控设备的扫描入侵。
附图说明
图1是本申请一示例性实施例示出的一种安全访问方法的流程图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的方法和系统的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在......时”或“当......时”或“响应于确定”。
请参见图1,图1为本发明实施例提供的一种安全访问方法的流程示意图。该安全访问方法包括:
S101、管理服务器的访问规则初始为仅对外开放注册端口和登录端口,业务服务器和前端设备的访问规则初始均为仅对外开放web配置端口。
本发明实施例中,管理服务器为VM视频管理服务器,统一管理监控系统中的前端设备(比如IPC网络摄像机、EC编码器)、业务服务器(比如DM数据管理服务器)和客户端。为方便描述,下文将管理服务器、前端设备和业务服务器统一称为监控设备。
管理服务器初始访问规则为:仅对外开放注册端口和登录端口,即除注册端口和登录端口外,管理服务器不对外开放其他端口。允许任何设备通过注册端口向管理服务器进行注册,允许客户端以用户名及密码鉴权形式通过登录端口向管理服务器进行登录。业务服务器和前端设备的初始访问规则均为:仅对外开放web配置端口,即除web配置端口外,业务服务器和前端设备不对外开放其他端口。允许用户以用户名及密码鉴权形式通过web配置端口登录业务服务器或前端设备的web页面进行配置,配置管理服务器的注册信息后主动向管理服务器进行注册。作为一个例子,管理服务器的注册端口可以为5060,登录端口可以为80,管理服务器的初始访问规则可以如表1所示的访问规则。
表1
本设备目的端口 | 源设备 | 控制行为 |
5060、80 | 所有 | 允许“源设备”访问“本设备目的端口” |
作为一个例子,前端设备或业务服务器的web配置端口可以为81,前端设备或业务服务器的初始访问规则可以如表2所示的访问规则。
表2
本设备目的端口 | 源设备 | 控制行为 |
81 | 所有 | 允许“源设备”访问“本设备目的端口” |
S102、业务服务器通过注册端口向管理服务器进行注册,在业务服务器注册成功后,业务服务器增加向管理服务器开放业务服务器自身已设定端口的访问规则。
业务服务器注册成功后,向管理服务器开放其自身已设定端口的访问规则,业务服务器自身已设定端口包括所有业务类端口及信令交互端口。业务服务器注册成功后,可以向管理服务器开放其自身所有已设定端口,也可以根据实际场景向管理服务器开放其自身部分已设定端口。优选地,在本实施例中,业务服务器注册成功后,向管理服务器开放其所有已设定端口,允许管理服务器访问其所有设定端口,便于后续与管理服务器的通信。
作为一个例子,假设管理服务器IP为192.168.1.11,业务服务器IP为192.168.1.12。业务服务器通过5060端口向管理服务器进行注册,注册成功后,业务服务器新增一条访问规则为:允许IP地址为192.168.1.11的管理服务器访问业务服务器所有已设定端口(为方便描述,以下简称为所有端口),更新后的访问规则如表3所示。
表3
S103、前端设备通过注册端口向管理服务器进行注册,在前端设备注册成功后,前端设备增加向管理服务器开放前端设备自身已设定端口的访问规则,同时管理服务器增加向该前端设备开放管理服务器自身已设定端口的访问规则,同时管理服务器通知业务服务器增加向该前端设备开放业务服务器自身已设定端口的访问规则。
前端设备注册成功后,向管理服务器开放其自身已设定端口的访问规则,前端设备自身已设定端口包括所有业务类端口及信令交互端口。前端设备注册成功后,可以向管理服务器开放其自身所有已设定端口,也可以根据实际场景向管理服务器开放其自身部分已设定端口。优选地,在本实施例中,前端设备注册成功后,向管理服务器开放其所有已设定端口,允许管理服务器访问其所有设定端口。同时,管理服务器增加向该前端设备开放其所有已设定端口的访问规则,同时管理服务器通知业务服务器增加向该前端设备开放业务服务器自身所有已设定端口的访问规则,便于后续通信。比如该前端设备在注册成功后,可以在业务服务器或管理服务器上进行存储、升级等业务,本发明不对具体业务类型进行限定。
优选地,前端设备通过所述注册端口向管理服务器进行注册时发送的注册报文中携带的信息,至少包括:前端设备的IP地址和mask掩码地址,管理服务器根据前端设备的IP地址和mask掩码地址调整访问规则。
作为一个例子,假设前端设备IP地址为192.168.2.20,mask掩码地址为255.255.255.0,管理服务器IP为192.168.1.11,业务服务器IP为192.168.1.12。前端设备通过5060端口向管理服务器进行注册,发送的注册报文中携带有IP地址192.168.2.20和mask掩码地址255.255.255.0,前端设备的mask掩码地址被管理服务器记录,用于后续调整访问规则(访问规则的调整方式不在此说明,在下文中描述)。前端设备注册成功后,管理服务器在表1所示的访问规则基础上新增一条访问规则,新增的访问规则为:允许IP地址为192.168.2.20,mask掩码地址为255.255.255.0的前端设备访问管理服务器的所有端口,更新后的访问规则如表4所示;前端设备也在表2所示的访问规则基础上新增一条访问规则,新增的访问规则为:允许IP地址为192.168.1.11的管理服务器访问前端设备的所有端口,更新后的访问规则如表3所示。同时,管理服务器通知业务服务器向该前端设备放开所有端口,故业务服务器在表3所示的访问规则基础上新增一条访问规则,新增的访问规则为:允许IP地址为192.168.2.20的前端设备访问业务服务器的所有端口,更新后的访问规则如表5所示。
表4
表5
S104、客户端通过登录端口向管理服务器发送登录请求,在客户端登录成功后可向管理服务器发送业务访问请求。
在本实施例中,该业务访问请求携带的信息至少包括:目标设备、业务端口及自身源端口,该目标设备是管理服务器或业务服务器或前端设备。
客户端以用户名及密码鉴权形式通过登录端口向管理服务器发送登录请求,登录成功后,可向管理服务器请求管理服务器或业务服务器或前端设备所提供的业务,需要管理服务器对客户端进行授权。
S105、管理服务器接收客户端发送的业务访问请求后,先判断客户端是否已登录,若该客户端已登录,则根据该业务访问请求对该客户端进行授权;若该客户端未登录,则对该客户端不进行授权。
可选地,当客户端已登录时,管理服务器进一步确定目标设备,当目标设备是管理服务器时,对该客户端进行授权;当目标设备是业务服务器或前端设备时,通知目标设备向该客户端开放业务端口,且在得到目标设备发送的已向该客户端开放业务端口的响应后,对该客户端进行授权。
可选地,当客户端已登录时,管理服务器进一步确定目标设备,当目标设备是管理服务器时,对该客户端进行授权;当目标设备是业务服务器或前端设备时,通知目标设备向该客户端开放业务端口,并对该客户端进行授权。
当客户端已登录且目标设备是业务服务器或前端设备时,管理服务器通知目标设备向该客户端开放业务端口,可以在目标设备返回的已向该客户端开放业务端口的响应后,再对该客户端进行授权,也可以不等待响应,直接对该客户端进行授权。本发明对此不作限定。
本发明实施例中,当客户端发送的业务访问请求所携带的目标设备为管理服务器时,管理服务器直接对客户端进行授权,并更新访问规则,即在原访问规则基础上新增一条访问规则,允许该客户端访问管理服务器的该业务端口。当客户端发送的业务访问请求所携带的目标设备为业务服务器时,管理服务器接收该业务访问请求后,先向业务服务器发送携带有客户端IP地址、客户端源端口和业务端口的业务准备通知;业务服务器在接收到业务准备通知时,更新自身的访问规则,并向管理服务器发送允许该客户端访问该业务端口的准备就绪响应;管理服务器在接收到准备就绪响应后,对客户端进行授权。当客户端发送的业务访问请求所携带的目标设备为前端设备时,管理服务器接收该业务访问请求后,先向前端设备发送携带有客户端IP地址、客户端源端口和业务端口的业务准备通知;前端设备在接收到业务准备通知时,更新自身的访问规则,并向管理服务器发送允许该客户端访问该业务端口的准备就绪响应;管理服务器在接收到准备就绪响应后,对客户端进行授权。
本发明实施例中,管理服务器可提供升级业务,业务端口为21;业务服务器可提供回放业务,业务端口为554;前端设备可提供实况业务,业务端口为554。管理服务器、业务服务器及前端设备所支持的业务类型还可以包括其他业务,本发明在此不进行一一举例。
作为一个例子,假设前端设备IP为192.168.2.20,mask掩码地址为255.255.255.0,管理服务器IP为192.168.1.11,业务服务器IP为192.168.1.12,客户端IP为192.168.3.10。
当客户端请求管理服务器提供的升级业务时,向管理服务器发送携带有自身源端口10000的业务访问请求,请求访问管理服务器的业务端口21,由于客户端已登录成功,则管理服务器直接对该客户端进行授权,同时在表4所示的访问规则基础上新增一条访问规则,新增的访问规则为:允许IP地址为192.168.3.10和源端口为10000的客户端访问管理服务器的业务端口21,更新后的访问规则如表6所示。
表6
当客户端请求业务服务器提供的回放业务时,向管理服务器发送携带有自身源端口10003的业务访问请求,请求访问业务服务器的业务端口554,由于客户端已登录成功,管理服务器通知业务服务器向IP地址为192.168.3.10,源端口为10003的客户端开发其554端口,业务服务器在接收到该业务准备通知后,在表5所示的访问规则基础上新增一条访问规则,新增的访问规则为:允许IP地址为192.168.3.10和源端口为10003的客户端访问业务服务器的业务端口554,更新后的访问规则如表7所示。
表7
当客户端请求前端设备提供的实况业务时,向管理服务器发送携带有自身源端口10005的业务访问请求,请求访问前端设备的业务端口554,由于客户端已登录成功,管理服务器通知前端设备向IP地址为192.168.3.10,源端口为10005的客户端开发其554端口,前端设备在接收到该业务准备通知后,在表3所示的访问规则基础上新增一条访问规则,新增的访问规则为:允许IP地址为192.168.3.10和源端口为10005的客户端访问前端设备的业务端口554,更新后的访问规则如表8所示。
表8
S106、客户端在管理服务器授权后,通过自身源端口对目标设备的业务端口进行业务访问。
只有经过管理服务器授权的客户端,可通过自身源端口对目标设备提供服务的业务端口进行访问。其他未经过管理服务器授权的客户端或其他设备,均无法访问目标设备。
从上述方法实施例可看出,本发明通过管理服务器对监控系统中的客户端、前端设备和业务服务器进行集中授权,仅允许经过授权的客户端、前端设备、业务服务器对监控设备进行访问,而入侵者无法访问任何监控设备的端口,即使监控设备版本有新增漏洞或暂未解决的漏洞,攻击者由于不能访问监控设备而无法利用版本漏洞,有效保障监控系统中各设备安全,有效阻止入侵者对监控设备的扫描入侵。
优选地,当管理服务器或业务服务器或前端设备的访问规则达到对应的预设阈值时,根据与预设阈值对应的控制粒度调整访问规则。
本发明实施例中,当管理服务器存储在本地的访问规则数量达到第一阈值时,根据第一控制粒度调整访问规则;当业务服务器存储在本地的访问规则数量达到第二阈值时,根据第二控制粒度调整访问规则;当业务服务器存储在本地的访问规则数量达到第三阈值时,根据第三控制粒度调整访问规则;当前端设备存储在本地的访问规则数量达到第四阈值时,根据第二控制粒度调整访问规则;当业务服务器存储在本地的访问规则数量达到第五阈值时,根据第三控制粒度调整访问规则。
可选地,第三阈值比第二阈值的数值大,第五阈值比第四阈值的数值大;根据第一控制粒度、第二控制粒度、第三控制粒度调整访问规则后的访问规则数量较调整前少。
本发明实施例中,管理服务器、前端设备、业务服务器的访问规则自动生成,无需人工配置,安全部署方便快捷。为避免访问规则数量过多影响设备性能,访问规则的控制粒度随访问量的变化而动态调整,控制的粒度随着访问量变大而逐步变粗,从而减少规则数量。
本发明实施例中,当有前端设备注册成功时,管理服务器存储在本地的访问规则根据初始控制粒度添加新规则,初始控制粒度为“服务端口号+前端设备IP地址”。当有大量前端设备注册时,管理服务器的访问规则数量达到预设的第一阈值(比如5000条)时,将控制粒度变粗,降低为第一控制粒度,第一控制粒度为“服务端口号+前端设备IP网段”,并根据第一控制粒度调整访问规则。
作为一个例子,比如管理服务器的访问规则数量达到第一阈值时的访问规则如表9所示,则根据第一控制粒度调整后的访问规则如表10所示。对比表9和表10可看出,根据第一控制粒度调整后的访问规则数量较调整前少。
表9
表10
本发明实施例中,当有客户端请求访问业务服务器的业务端口时,业务服务器存储在本地的访问规则根据初始控制粒度添加新规则,初始控制粒度为“服务端口号+客户端IP地址+客户端源端口号”。随着访问目标设备的客户端增加,当访问规则数量达到达到预设的第二阈值(比如600条)时,将控制粒度变粗,降低为第二控制粒度,第二控制粒度为“服务端口号+客户端IP地址”,并根据第二控制粒度调整访问规则;当访问规则数量达到达到预设的第三阈值(比如1000条)时,将控制粒度变粗,降低为第三控制粒度,第三控制粒度为“服务端口号”,并根据第三控制粒度调整访问规则。
作为一个例子,比如业务服务器的访问规则数量达到第二阈值时的访问规则如表11所示,则根据第二控制粒度调整后的访问规则如表12所示。对比表11和表12可看出,根据第二控制粒度调整后的访问规则数量较调整前少。
表11
表12
作为一个例子,比如业务服务器的访问规则数量达到第三阈值时的访问规则如表12所示,则根据第三控制粒度调整后的访问规则如表13所示。对比表12和表13可看出,根据第三控制粒度调整后的访问规则数量较调整前少。
表13
本发明实施例中,当有客户端请求访问前端设备的业务端口时,前端设备存储在本地的访问规则根据初始控制粒度添加新规则,初始控制粒度为“服务端口号+客户端IP地址+客户端源端口号”。随着访问目标设备的客户端增加,当访问规则数量达到达到预设的第四阈值(比如300条)时,将控制粒度变粗,降低为第二控制粒度,第二控制粒度为“服务端口号+客户端IP地址”,并根据第二控制粒度调整访问规则;当访问规则数量达到达到预设的第五阈值(比如500条)时,将控制粒度变粗,降低为第三控制粒度,第三控制粒度为“服务端口号”,并根据第三控制粒度调整访问规则。前端设备对访问规则的调整方式同业务服务器,本发明在此不再举例说明。
从上述方法实施例可看出,本发明通过管理服务器对监控系统中的客户端、前端设备和业务服务器进行集中授权,仅允许经过授权的客户端、前端设备、业务服务器对监控设备进行访问,而入侵者无法访问任何监控设备的端口,即使监控设备版本有新增漏洞或暂未解决的漏洞,攻击者由于不能访问监控设备而无法利用版本漏洞,有效保障监控系统中各设备安全,有效阻止入侵者对监控设备的扫描入侵。本发明中,管理服务器、前端设备、业务服务器的访问规则自动生成,无需人工配置,安全部署方便快捷,并且访问规则的控制粒度随访问量的变化而动态调整,控制的粒度随着访问量变大而逐步变粗,从而减少规则数量,避免出现因访问规则数量过多而影响设备性能的情况。
与前述一种安全访问方法的实施例相对应,本申请还提供了一种安全访问系统的实施例。
该安全访问系统包括管理服务器、业务服务器、前端设备和客户端;其中,管理服务器的访问规则初始为仅对外开放注册端口和登录端口,业务服务器和前端设备的访问规则初始均为仅对外开放web配置端口;
业务服务器通过所述注册端口向管理服务器进行注册,在业务服务器注册成功后,业务服务器增加向管理服务器开放业务服务器自身已设定端口的访问规则;
前端设备通过所述注册端口向管理服务器进行注册,在前端设备注册成功后,前端设备增加向管理服务器开放前端设备自身已设定端口的访问规则,同时管理服务器增加向该前端设备开放管理服务器自身已设定端口的访问规则,同时管理服务器通知业务服务器增加向该前端设备开放业务服务器自身已设定端口的访问规则;
客户端通过所述登录端口向管理服务器发送登录请求,在客户端登录成功后可向管理服务器发送业务访问请求,该业务访问请求携带的信息至少包括:目标设备、业务端口及自身源端口,目标设备是管理服务器或业务服务器或前端设备;
管理服务器接收业务访问请求后,先判断客户端是否已登录,若该客户端已登录,则根据该业务访问请求对所述客户端进行授权;若该客户端未登录,则对该客户端不进行授权;
客户端在管理服务器授权后,通过自身源端口对该业务端口进行业务访问。
优选地,管理服务器根据业务访问请求对客户端进行授权,具体包括:确定目标设备,当目标设备是管理服务器时,对该客户端进行授权;当目标设备是业务服务器或前端设备时,通知目标设备向该客户端开放业务端口,且在得到目标设备发送的已向该客户端开放业务端口的响应后,对该客户端进行授权。
优选地,管理服务器根据业务访问请求对客户端进行授权,具体包括:确定目标设备,当目标设备是管理服务器时,对该客户端进行授权;当目标设备是业务服务器或前端设备时,通知目标设备向该客户端开放业务端口,并对该客户端进行授权。
优选地,当管理服务器或业务服务器或前端设备的访问规则达到对应的预设阈值时,根据与预设阈值对应的控制粒度调整访问规则。
优选地,前端设备通过注册端口向管理服务器进行注册时发送的注册报文中携带的信息,至少包括:前端设备的IP地址和mask掩码地址,管理服务器根据前端设备的IP地址和mask掩码地址调整访问规则。
上述系统中各个设备的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种安全访问方法,其特征在于,所述安全访问方法包括:
管理服务器的访问规则初始为仅对外开放注册端口和登录端口,业务服务器和前端设备的访问规则初始均为仅对外开放web配置端口;
业务服务器通过所述注册端口向管理服务器进行注册,在业务服务器注册成功后,业务服务器增加向管理服务器开放业务服务器自身已设定端口的访问规则;
前端设备通过所述注册端口向管理服务器进行注册,在前端设备注册成功后,前端设备增加向管理服务器开放前端设备自身已设定端口的访问规则,同时管理服务器增加向该前端设备开放管理服务器自身已设定端口的访问规则,同时管理服务器通知业务服务器增加向该前端设备开放业务服务器自身已设定端口的访问规则;
客户端通过所述登录端口向管理服务器发送登录请求,在客户端登录成功后可向管理服务器发送业务访问请求,所述业务访问请求携带的信息至少包括:目标设备、业务端口及自身源端口,所述目标设备是管理服务器或业务服务器或前端设备;
管理服务器接收所述业务访问请求后,先判断客户端是否已登录,若该客户端已登录,则根据所述业务访问请求对所述客户端进行授权;若该客户端未登录,则对该客户端不进行授权;
客户端在管理服务器授权后,通过自身源端口对所述业务端口进行业务访问。
2.如权利要求1所述的安全访问方法,其特征在于,所述根据所述业务访问请求对所述客户端进行授权,具体包括:确定目标设备,当目标设备是管理服务器时,对该客户端进行授权;当目标设备是业务服务器或前端设备时,通知目标设备向该客户端开放所述业务端口,且在得到目标设备发送的已向该客户端开放所述业务端口的响应后,对该客户端进行授权。
3.如权利要求1所述的安全访问方法,其特征在于,所述根据所述业务访问请求对所述客户端进行授权,具体包括:确定目标设备,当目标设备是管理服务器时,对该客户端进行授权;当目标设备是业务服务器或前端设备时,通知目标设备向该客户端开放所述业务端口,并对该客户端进行授权。
4.如权利要求1所述的安全访问方法,其特征在于,所述安全访问方法还包括:
当管理服务器或业务服务器或前端设备的访问规则达到对应的预设阈值时,根据与预设阈值对应的控制粒度调整访问规则。
5.如权利要求1所述的安全访问方法,其特征在于,所述安全访问方法还包括:前端设备通过所述注册端口向管理服务器进行注册时发送的注册报文中携带的信息,至少包括:前端设备的IP地址和mask掩码地址,管理服务器根据前端设备的IP地址和mask掩码地址调整访问规则。
6.一种安全访问系统,其特征在于,所述安全访问系统包括管理服务器、业务服务器、前端设备和客户端;其中,管理服务器的访问规则初始为仅对外开放注册端口和登录端口,业务服务器和前端设备的访问规则初始均为仅对外开放web配置端口;
业务服务器通过所述注册端口向管理服务器进行注册,在业务服务器注册成功后,业务服务器增加向管理服务器开放业务服务器自身已设定端口的访问规则;
前端设备通过所述注册端口向管理服务器进行注册,在前端设备注册成功后,前端设备增加向管理服务器开放前端设备自身已设定端口的访问规则,同时管理服务器增加向该前端设备开放管理服务器自身已设定端口的访问规则,同时管理服务器通知业务服务器增加向该前端设备开放业务服务器自身已设定端口的访问规则;
客户端通过所述登录端口向管理服务器发送登录请求,在客户端登录成功后可向管理服务器发送业务访问请求,所述业务访问请求携带的信息至少包括:目标设备、业务端口及自身源端口,所述目标设备是管理服务器或业务服务器或前端设备;
管理服务器接收所述业务访问请求后,先判断客户端是否已登录,若该客户端已登录,则根据所述业务访问请求对所述客户端进行授权;若该客户端未登录,则对该客户端不进行授权;
客户端在管理服务器授权后,通过自身源端口对所述业务端口进行业务访问。
7.如权利要求6所述的安全访问系统,其特征在于,管理服务器根据所述业务访问请求对所述客户端进行授权,具体包括:确定目标设备,当目标设备是管理服务器时,对该客户端进行授权;当目标设备是业务服务器或前端设备时,通知目标设备向该客户端开放所述业务端口,且在得到目标设备发送的已向该客户端开放所述业务端口的响应后,对该客户端进行授权。
8.如权利要求6所述的安全访问系统,其特征在于,管理服务器根据所述业务访问请求对所述客户端进行授权,具体包括:确定目标设备,当目标设备是管理服务器时,对该客户端进行授权;当目标设备是业务服务器或前端设备时,通知目标设备向该客户端开放所述业务端口,并对该客户端进行授权。
9.如权利要求6所述的安全访问系统,其特征在于,当管理服务器或业务服务器或前端设备的访问规则达到对应的预设阈值时,根据与预设阈值对应的控制粒度调整访问规则。
10.如权利要求6所述的安全访问系统,其特征在于,所述前端设备通过所述注册端口向管理服务器进行注册时发送的注册报文中携带的信息,至少包括:前端设备的IP地址和mask掩码地址,管理服务器根据前端设备的IP地址和mask掩码地址调整访问规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610099561.0A CN105656927B (zh) | 2016-02-23 | 2016-02-23 | 一种安全访问方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610099561.0A CN105656927B (zh) | 2016-02-23 | 2016-02-23 | 一种安全访问方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105656927A true CN105656927A (zh) | 2016-06-08 |
CN105656927B CN105656927B (zh) | 2019-03-08 |
Family
ID=56488658
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610099561.0A Active CN105656927B (zh) | 2016-02-23 | 2016-02-23 | 一种安全访问方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105656927B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790134A (zh) * | 2016-12-28 | 2017-05-31 | 浙江宇视科技有限公司 | 一种视频监控系统的访问控制方法及安全策略服务器 |
CN111817933A (zh) * | 2020-07-08 | 2020-10-23 | 山东有人信息技术有限公司 | 一种工业物联网云平台接入系统及其通信方法 |
CN113765905A (zh) * | 2021-08-27 | 2021-12-07 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102316119A (zh) * | 2011-10-12 | 2012-01-11 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN102340511A (zh) * | 2011-11-03 | 2012-02-01 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
US20140237550A1 (en) * | 2009-11-25 | 2014-08-21 | Novell, Inc. | System and method for intelligent workload management |
CN105207853A (zh) * | 2015-10-12 | 2015-12-30 | 深圳市万网博通科技有限公司 | 一种局域网监控管理方法 |
-
2016
- 2016-02-23 CN CN201610099561.0A patent/CN105656927B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140237550A1 (en) * | 2009-11-25 | 2014-08-21 | Novell, Inc. | System and method for intelligent workload management |
CN102316119A (zh) * | 2011-10-12 | 2012-01-11 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN102340511A (zh) * | 2011-11-03 | 2012-02-01 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
CN105207853A (zh) * | 2015-10-12 | 2015-12-30 | 深圳市万网博通科技有限公司 | 一种局域网监控管理方法 |
Non-Patent Citations (2)
Title |
---|
周迪,赵兴涛: "《面向NAT网络环境的IP监控系统架构》", 《中国公共安全·学术版》 * |
周迪: "《视频监控安全性分析》", 《中国安防》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790134A (zh) * | 2016-12-28 | 2017-05-31 | 浙江宇视科技有限公司 | 一种视频监控系统的访问控制方法及安全策略服务器 |
CN106790134B (zh) * | 2016-12-28 | 2021-01-29 | 浙江宇视科技有限公司 | 一种视频监控系统的访问控制方法及安全策略服务器 |
CN111817933A (zh) * | 2020-07-08 | 2020-10-23 | 山东有人信息技术有限公司 | 一种工业物联网云平台接入系统及其通信方法 |
CN111817933B (zh) * | 2020-07-08 | 2022-03-11 | 山东有人物联网股份有限公司 | 一种工业物联网云平台接入系统及其通信方法 |
CN113765905A (zh) * | 2021-08-27 | 2021-12-07 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105656927B (zh) | 2019-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11263305B2 (en) | Multilayered approach to protecting cloud credentials | |
US7054944B2 (en) | Access control management system utilizing network and application layer access control lists | |
US10154067B2 (en) | Network application security policy enforcement | |
CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
US10244001B2 (en) | System, apparatus and method for access control list processing in a constrained environment | |
US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
US7890640B2 (en) | Access control in client-server systems | |
US20190104160A1 (en) | Method and apparatus for centralized policy programming and distributive policy enforcement | |
US20170208147A1 (en) | Network infrastructure management | |
CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
CN109347784B (zh) | 终端准入控制方法、控制器、管控设备及系统 | |
EP3295652B1 (en) | Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment | |
CN105187378A (zh) | 处理网络流量的计算机系统及方法 | |
US20160139573A1 (en) | System and method for access decision evaluation for building automation and control systems | |
WO2020083288A1 (zh) | Dns服务器的安全防御方法及装置、通信设备及存储介质 | |
CN104333567A (zh) | 采用安全即服务的web缓存 | |
CN105656927A (zh) | 一种安全访问方法及系统 | |
US20110023088A1 (en) | Flow-based dynamic access control system and method | |
US20040158643A1 (en) | Network control method and equipment | |
US20210344723A1 (en) | Distributed network application security policy generation and enforcement for microsegmentation | |
US10277713B2 (en) | Role-based access to shared resources | |
US20220103526A1 (en) | Policy integration for cloud-based explicit proxy | |
US20180220477A1 (en) | Mobile communication system and pre-authentication filters | |
KR20220121045A (ko) | 에지 컴퓨팅 시스템 그리고 이의 네트워크 접근 제어 방법 | |
CN110493199A (zh) | 一种防止互联网Web攻击的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |