CN108040268A - 一种基于sdn的视频监控网络安全控制方法及系统 - Google Patents
一种基于sdn的视频监控网络安全控制方法及系统 Download PDFInfo
- Publication number
- CN108040268A CN108040268A CN201711239493.4A CN201711239493A CN108040268A CN 108040268 A CN108040268 A CN 108040268A CN 201711239493 A CN201711239493 A CN 201711239493A CN 108040268 A CN108040268 A CN 108040268A
- Authority
- CN
- China
- Prior art keywords
- sdn
- management server
- customer end
- service customer
- video surveillance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/254—Management at additional data server, e.g. shopping server, rights management server
- H04N21/2541—Rights Management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26606—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/61—Network physical structure; Signal processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Graphics (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN的视频监控网络安全控制方法及系统,应用在视频监控网络中,首先管理服务器根据用户操作的具体任务,向SDN控制器上报任务对应的设备网络信息;然后SDN控制器根据管理服务器上报的任务对应的设备网络信息,下发流表到对应的SDN交换机;SDN交换机根据SDN控制器下发的流表,配置访问控制列表,控制任务对应的访问报文通过。本发明实现了先有监控业务后有转发流表,大大提高了网络安全配置的实时性、精准性,并且避免了网络安全配置的专业性,大大降低网络的维护成本。
Description
技术领域
本发明属于网络通信技术领域,尤其涉及一种基于SDN的视频监控网络安全控制方法及系统。
背景技术
随着视频监控技术的广泛应用,越来越多的视频监控设备通过广域网接入到视频监控服务器中,监控客户端也通过广域网连接到视频监控服务器中点播查看实时监控画面,导致网络安全的问题在视频管理服务器平台中日趋突出。
虽然目前可以通过交换机的网络配置进行网络安全的保护,其大致流程就是对各个设备和服务器的接入交换机进行访问控制列表(Access Control List,ACL)配置。但由于配置复杂、专业性要求很高,很难在非专业人士中推广使用并且维护成本很高。
此外,交换机的网络配置一般都是提前配置的,在还没有建立监控业务的时候,已经将监控设备和监控服务器暴露在公网下,无法实现实时的精准防护。
发明内容
本发明的目的是提供一种基于SDN的视频监控网络安全控制方法及系统,基于SDN控制器向SDN交换机下发配置,实现自动、实时的网络配置,避免了现有技术网络设备配置专业要求高,配置复杂的问题,大大降低了网络维护成本。
为了实现上述目的,本发明技术方案如下:
一种基于SDN的视频监控网络安全控制方法,应用在视频监控系统中,所述视频监控系统包括管理服务器、SDN控制器和SDN交换机,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户操作的具体任务,向SDN控制器上报任务对应的设备网络信息;
SDN控制器根据管理服务器上报的任务对应的设备网络信息,下发流表到对应的SDN交换机;
SDN交换机根据SDN控制器下发的流表,配置访问控制列表,控制任务对应的访问报文通过。
进一步地,当所述用户操作的具体任务为监控设备的添加,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户添加监控设备的操作任务,向SDN控制器上报自身的网络信息;
SDN控制器根据管理服务器上报的自身网络信息,下发流表通知SDN交换机配置访问控制列表,允许目的端口为设备注册端口的发往管理服务器的报文通过;
管理服务器在监控设备注册成功后,将各个监控设备的网络信息上报到SDN控制器;
SND控制器下发流表通知SDN交换机配置访问控制列表,允许目的端口为设备注册端口的,从监控设备发往管理服务器的报文通过。
进一步地,当所述用户操作的具体任务为监控设备的添加,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户添加监控设备的操作任务,向SDN控制器上报自身的网络信息;
SDN控制器根据管理服务器上报的自身网络信息,下发流表通知SDN交换机配置访问控制列表,允许管理客户端和管理服务器发往监控设备的报文通过。
进一步地,当所述用户操作的具体任务为业务客户端区域的添加,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户添加业务客户端所在的区域,向SDN控制器上报业务客户端所在的区域信息;
SDN控制器查找到业务客户端所在的区域对应的SDN交换,下发流表通知所述SDN交换机配置访问控制列表,允许发向管理服务器的目的端口为HTTP端口、设备注册端口、以及业务请求端口的报文通过。
进一步地,当所述用户操作的具体任务为业务客户端向前端设备的业务请求,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据业务客户端的业务请求,向SDN控制器上报对应的业务客户端和前端设备的网络信息;
SDN控制器向所述业务客户端和前端设备对应的SDN交换机下发流表,通知所述SDN交换机配置访问控制列表,允许所述业务客户端和前端设备与管理服务器之间业务信令的交互;
管理服务器分别与所述业务客户端、前端设备进行信令交互,获取所述前端设备的发流端口和业务客户端的收流端口,向SDN控制器上报所述前端设备的发流端口和业务客户端的收流端口;
SDN控制器向所述业务客户端和前端设备对应的SDN交换机下发流表,通知所述SDN交换机配置访问控制列表,允许所述前端设备的发流端口报文能够到达业务客户端的收流端口。
本发明还提出了一种基于SDN的视频监控网络安全控制系统,应用在视频监控网络中,所述基于SDN的视频监控网络安全控制系统包括管理服务器、SDN控制器和SDN交换机,其中:
所述管理服务器,用于根据用户操作的具体任务,向SDN控制器上报任务对应的设备网络信息;
所述SDN控制器,用于根据管理服务器上报的任务对应的设备网络信息,下发流表到对应的SDN交换机;
所述SDN交换机,用于根据SDN控制器下发的流表,配置访问控制列表,允许任务对应的访问报文通过。
本发明提出的一种基于SDN的视频监控网络安全控制方法及系统,本发明由监控服务器通过SDN控制器向SDN交换机下发配置,实现自动、实时的网络配置,真正实现了先有监控业务后有转发流表(网络配置列表),大大提高了网络安全配置的实时性、精准性,并且避免了网络安全配置的专业性,大大降低网络的维护成本。
附图说明
图1为本发明实施例视频监控系统网络图;
图2为本发明一种基于SDN的视频监控网络安全控制方法流程图。
具体实施方式
下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
目前软件定义网络SDN(Software Defined Network)得到了广泛的应用,SDN是一种新型的网络架构,它的设计理念是将网络的控制平面与数据转发平面进行分离,从而实现对网络资源灵活的按需调配。在SDN网络中,SDN控制器通过北向接口收集网络应用的信息,并通过南向接口发送控制策略到SDN交换机,SDN交换机根据控制策略进行对应的操作。
本发明的总体思想是,通过SDN技术实现视频监控设备和视频监控服务器在广域网中网络安全性,通过视频监控服务器、SDN控制器和SDN交换机之间的控制交互,能实现自动、实时、精准的网络配置,在各个SDN交换机上实现了先有监控业务后有转发表项的安全特性,大大提高了管理服务器平台和监控设备的网络安全,并降低了网络安全的维护成本。
本实施例以如图1所示的视频监控系统为例,该视频监控系统中的视频监控设备如网络摄像机IPC1、IPC2、IPC3、网络硬盘录像机NVR等通过SDN交换机SW1接入到网络中;IPC4、IPC5通过SDN交换机SW2接入到网络中;客户端PC1、PC2通过SDN交换机SW3接入到网络中;视频管理服务器与SDN控制器位于同一个SDN网络中,通过SDN交换机SW4接入网络。其中IPC和NVR也统称为前端设备。容易理解的是,图1的视频监控系统仅仅为一个实施例,在实际的视频监控系统中,会存在更多的视频监控设备和客户端,管理服务器平台的服务器也不仅仅包括视频管理服务器,还包括媒体流服务器等,这里不一一赘述。然而,普遍的是,将IPC、NVR、PC客户端、视频管理服务器接入网络的接入设备,在本实施例中都作为SDN交换机来使用,这些作为SDN交换机的接入设备可以是交换机或路由器等网络通信设备。
如图2所示,本实施例一种基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户操作的具体任务,向SDN控制器上报任务对应的设备网络信息;
SDN控制器根据管理服务器上报的任务对应的设备网络信息,下发流表到对应的SDN交换机,
SDN交换机根据SDN控制器下发的流表,配置访问控制列表,控制任务对应的访问报文通过。
本申请技术方案根据用户操作的具体任务,通过SDN控制器下发流表来通知对应的SDN交换机来配置访问控制列表。以下通过视频监控系统的一些具体任务来进行详细的阐述,并不限于如下所列的任务,对于未列出的其他具体任务,仍然适用。
实施例一、监控设备的添加,设置监控设备到管理服务器的访问控制列表。
在本实施例中,用户操作的具体任务是添加监控设备,通常是用户在管理客户端上连接视频管理服务器,添加IPC、NVR或业务客户端PC等监控设备,在添加监控设备之前,SDN交换机的访问控制列表配置为所有的监控设备注册报文将无法发往VM,可以理解为初始配置。当用户执行添加监控设备后,本实施例,包括如下步骤:
管理服务器根据用户添加监控设备的操作任务,向SDN控制器上报自身的网络信息;
SDN控制器根据管理服务器上报的自身网络信息,下发流表通知SDN交换机配置访问控制列表,允许目的端口为设备注册端口的发往管理服务器的报文通过;
管理服务器在监控设备注册成功后,将各个监控设备的网络信息上报到SDN控制器;
SND控制器下发流表通知SDN交换机配置访问控制列表,允许目的端口为设备注册端口的,从监控设备发往管理服务器的报文通过。
例如,添加IPC1,则视频管理服务器向SDN控制器上报自身的IP地址和设备注册端口,SDN控制器下发流表通知所有SDN交换机配置访问控制列表,允许目的端口为设备注册端口的发往视频管理服务器的报文通过,对于其他发往视频管理服务器的报文将被阻止。
此时,各监控设备(IPC、NVR或业务客户端PC)发出的注册报文可以发往视频管理服务器,IPC1的注册报文被SDN交换机SW1允许通过,通过SW1发往视频管理服务器,视频管理服务器接收到注册报文后,进行响应,完成注册过程。
视频管理服务器在所有添加的监控设备注册成功后,将各个监控设备的网络信息上报到SDN控制器,例如将IPC1的IP地址上报给SDN控制器。接着SDN控制器下发流表通知所有SDN交换机配置访问控制列表,允许目的端口为设备注册端口的,从监控设备发往管理服务器的报文通过。SDN交换机的访问控制列表调整为源地址为监控设备IP、目的地址为视频管理服务器的IP、并且端口为设备注册端口,此时只有监控设备的保活报文能到达视频管理服务器,其他的报文无法发向视频管理服务器,以此最大程度的保证视频监控管理服务器的网络安全性。
容易理解的是,本实施例在监控设备都注册成功后,SND控制器下发流表通知SDN交换机配置访问控制列表时,会通知SDN交换机删除之前配置的访问控制列表,变为仅允许从监控设备发往视频管理服务器的注册报文通过。此外,在视频管理服务器删除监控设备之后,视频管理服务器会通知SDN控制器,删除待删除的监控设备的IP,SDN控制器通知SDN交换机删除该监控设备IP对应的访问控制列表,此时该IP地址的所有报文将无法转发到视频管理服务器,这里不再赘述。
实施例二、监控设备的添加,设置管理服务器到监控设备的访问控制列表。
在本实施例中,用户操作的具体任务是添加监控设备,通常是用户在管理客户端上连接视频管理服务器,添加IPC、NVR或业务客户端PC等监控设备,在添加设备之前,SDN交换机的访问控制列表配置为除了管理客户端之外其他所有发往设备的报文被阻止,可以理解为初始配置。当用户执行添加设备后,本实施例,包括如下步骤:
管理服务器根据用户添加监控设备的操作任务,向SDN控制器上报自身的网络信息;
SDN控制器根据管理服务器上报的自身网络信息,下发流表通知SDN交换机配置访问控制列表,允许管理客户端和管理服务器发往监控设备的报文通过。
具体地,仍然以图1为例,例如在视频管理服务器添加监控设备之前,SDN交换机的访问控制列表配置为除了管理客户端之外其他所有发往监控设备的报文将被阻止。
当视频管理服务器添加监控设备之后,视频管理服务器(VM)向SDN控制器上报其IP地址和设备注册端口;SDN控制器通知所有SDN交换机配置访问控制列表为管理服务器和管理客户端可以通过。此时SDN交换机仅允许管理客户端和管理服务器发往监控设备的报文通过,对于其他发往监控设备的报文将被阻止。
此外,当视频管理服务器删除监控设备之后,VM通知SDN控制器删除已删除的监控设备IP地址,SDN控制器通知SDN交换机删除该监控设备IP的访问控制列表,此时视频管理服务器发往该监控设备的报文将被阻止。
实施例三、业务客户端区域的添加,设置业务客户端发向管理服务器的访问控制列表。
在本实施例中,用户操作的具体任务是添加业务客户端对应的SDN交换机,业务客户端在图1中为PC1和PC2,为网络中供用户查看视频监控的客户端,他们都通过SDN交换机接入视频监控网络,需要设置业务客户端接入到视频监控网络的SDN交换机上的访问控制列表。在视频管理服务器上可以通过添加业务客户端所在的区域来进行操作,本实施例,包括如下步骤:
管理服务器根据用户添加业务客户端所在的区域,向SDN控制器上报业务客户端所在的区域信息;
SDN控制器查找到业务客户端所在的区域对应的SDN交换,下发流表通知所述SDN交换机配置访问控制列表,允许发向管理服务器的目的端口为HTTP端口、设备注册端口、以及业务请求端口的报文通过。
具体地,仍然以图1为例,例如在视频管理服务器添加业务客户端PC1所在的区域,SDN控制器查找到对应的SDN交换机SW3,向SW3下发流表,配置SW3的访问控制列表,允许发向视频管理服务器的目的端口为HTTP端口、设备注册端口、以及业务请求端口的报文通过,其他报文将被阻止。
此外,当视频管理服务器删除该区域的业务点播权限时,SDN控制器向对应的SDN交换机SW3下发删除对应的访问控制列表,SW3删除对应的访问控制列表,对应的业务客户端将不再能访问视频管理服务器。
通过上述步骤可以尽量缩小管理服务器平台暴露在广域网下的范围,同时可以通过流量监测等技术,实时修改访问控制列表。
实施例四、业务请求,设置SDN交换的业务访问控制列表。
在本实施例中,用户操作的具体任务是进行业务请求,业务客户端在图1中为PC1和PC2,为网络中供用户查看视频监控的客户端,他们都通过SDN交换机SW3接入视频监控网络。假设业务请求对应的前端设备是IPC1,IPC1通过SDN交换机SW1接入视频监控网络。本实施例需要设置SW1和SW3的业务对应的访问控制列表。本实施例,包括如下步骤:
管理服务器根据业务客户端的业务请求,向SDN控制器上报对应的业务客户端和前端设备的网络信息;
SDN控制器向所述业务客户端和前端设备对应的SDN交换机下发流表,通知所述SDN交换机配置访问控制列表,允许所述业务客户端和前端设备与管理服务器之间业务信令的交互;
管理服务器分别与所述业务客户端、前端设备进行信令交互,获取所述前端设备的发流端口和业务客户端的收流端口,向SDN控制器上报所述前端设备的发流端口和业务客户端的收流端口;
SDN控制器向所述业务客户端和前端设备对应的SDN交换机下发流表,通知所述SDN交换机配置访问控制列表,允许所述前端设备的发流端口报文能够到达业务客户端的收流端口。
具体地,仍然以图1为例,假设PC1向IPC1请求业务,视频管理服务器向SDN控制器上报业务客户端PC1的IP地址和前端设备IPC1的IP地址。SDN控制器向SDN交换机SW3下发待建立业务的客户端PC1的IP地址和业务端口,此时视频管理服务器和业务客户端PC1之间能进行业务的信令交互,通过该步骤仅允许待请求业务客户端和管理服务器之间可以业务信令的交互。SDN控制器向SDN交换机SW1下发待建立业务的前端设备IPC1的IP地址和业务端口,此时管理服务器平台和前端设备IPC1之间能进行业务的信令交互,通过该步骤仅允许待请求前端设备和管理服务器平台之间可以业务信令的交互。
管理服务器平台分别与业务客户端PC1、前端设备IPC1进行信令交互,获取前端设备IPC1的发流端口和业务客户端PC1的收流端口,管理服务器向SDN控制器上报业务客户端PC1的IP地址和收流端口,同时上报前端设备IPC1的IP地址和发流端口。
SDN控制器向SDN交换机SW1、SW3下发业务客户端PC1的IP地址和收流端口,同时下发前端设备IPC1的IP地址和发流端口,通过该步骤仅允许建立业务的前端设备IPC1的发流端口报文能够到达业务客户端PC1的收流端口,该步骤极大的保证了监控业务流的安全性,保证了监控的隐私性。
此外,当业务客户端PC1停止业务时,管理服务器平台向SDN控制器上报已停止业务的前端设备和业务客户端的IP地址和端口,SDN控制器向对应的SDN交换机下发已停止业务的前端设备和业务客户端的IP地址和端口,SDN交换机删除相应的控制表项。
通过上述步骤实现了先有业务需求,后有转发表项的时间次序,能够精准、实时的防护管理服务器平台和监控设备的网络安全,最大程度的保证了业务流(监控实况流)的安全性,保证了监控的隐私性。
本申请技术方案在集中控制的模式下,网络中的SDN交换机没有任何基于目的网段的转发表项。业务客户端申请的业务请求由管理服务器平台协调发送端和接收端相互建立连接,该连接的报文传输路径完全由SDN控制器控制管理服务器指定路径上的SDN交换机建立五元组的流表,SDN交换机上的所有流表只能匹配该业务相关的报文,而无法匹配无关的数据。实现先有业务需求,后有转发表项的时间次序。具体的管理服务器平台通过SDN控制器控制SDN交换机发向管理服务器平台的访问控制列表,最大程度的限制了管理服务器平台的网络访问入口从而保证了管理服务器平台的网络安全;管理服务器平台通过SDN控制器控制SDN交换机发向监控设备的访问控制列表,最大程度的限制了监控设备的网络访问入口从而保证了监控设备的网络安全;在建立监控业务时,管理服务器平台通过SDN控制器实时、精准控制SDN交换机的监控设备和业务客户端之间的访问控制列表,最大程度的保证了业务流(监控实况流)的安全性,保证了监控的隐私性。
与上述方法对应地,本发明的另一个实施例,提出了一种基于SDN的视频监控网络安全控制系统,应用在视频监控网络中,所述基于SDN的视频监控网络安全控制系统包括管理服务器、SDN控制器和SDN交换机,其中:
所述管理服务器,用于根据用户操作的具体任务,向SDN控制器上报任务对应的设备网络信息;
所述SDN控制器,用于根据管理服务器上报的任务对应的设备网络信息,下发流表到对应的SDN交换机;
所述SDN交换机,用于根据SDN控制器下发的流表,配置访问控制列表,控制任务对应的访问报文通过。
关于本实施例基于SDN的视频监控网络安全控制系统中,各设备在不同具体任务的情况下,如何进行安全控制,在上述方法的说明中已经详细描述,这里不再赘述。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种基于SDN的视频监控网络安全控制方法,应用在视频监控系统中,其特征在于,所述视频监控系统包括管理服务器、SDN控制器和SDN交换机,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户操作的具体任务,向SDN控制器上报任务对应的设备网络信息;
SDN控制器根据管理服务器上报的任务对应的设备网络信息,下发流表到对应的SDN交换机;
SDN交换机根据SDN控制器下发的流表,配置访问控制列表,控制任务对应的访问报文通过。
2.根据权利要求1所述的基于SDN的视频监控网络安全控制方法,其特征在于,所述用户操作的具体任务为监控设备的添加,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户添加监控设备的操作任务,向SDN控制器上报自身的网络信息;
SDN控制器根据管理服务器上报的自身网络信息,下发流表通知SDN交换机配置访问控制列表,允许目的端口为设备注册端口的发往管理服务器的报文通过;
管理服务器在监控设备注册成功后,将各个监控设备的网络信息上报到SDN控制器;
SND控制器下发流表通知SDN交换机配置访问控制列表,允许目的端口为设备注册端口的,从监控设备发往管理服务器的报文通过。
3.根据权利要求1所述的基于SDN的视频监控网络安全控制方法,其特征在于,所述用户操作的具体任务为监控设备的添加,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户添加监控设备的操作任务,向SDN控制器上报自身的网络信息;
SDN控制器根据管理服务器上报的自身网络信息,下发流表通知SDN交换机配置访问控制列表,允许管理客户端和管理服务器发往监控设备的报文通过。
4.根据权利要求1所述的基于SDN的视频监控网络安全控制方法,其特征在于,所述用户操作的具体任务为业务客户端区域的添加,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据用户添加业务客户端所在的区域,向SDN控制器上报业务客户端所在的区域信息;
SDN控制器查找到业务客户端所在的区域对应的SDN交换,下发流表通知所述SDN交换机配置访问控制列表,允许发向管理服务器的目的端口为HTTP端口、设备注册端口、以及业务请求端口的报文通过。
5.根据权利要求1所述的基于SDN的视频监控网络安全控制方法,其特征在于,所述用户操作的具体任务为业务客户端向前端设备的业务请求,所述基于SDN的视频监控网络安全控制方法,包括:
管理服务器根据业务客户端的业务请求,向SDN控制器上报对应的业务客户端和前端设备的网络信息;
SDN控制器向所述业务客户端和前端设备对应的SDN交换机下发流表,通知所述SDN交换机配置访问控制列表,允许所述业务客户端和前端设备与管理服务器之间业务信令的交互;
管理服务器分别与所述业务客户端、前端设备进行信令交互,获取所述前端设备的发流端口和业务客户端的收流端口,向SDN控制器上报所述前端设备的发流端口和业务客户端的收流端口;
SDN控制器向所述业务客户端和前端设备对应的SDN交换机下发流表,通知所述SDN交换机配置访问控制列表,允许所述前端设备的发流端口报文能够到达业务客户端的收流端口。
6.一种基于SDN的视频监控网络安全控制系统,应用在视频监控网络中,其特征在于,所述基于SDN的视频监控网络安全控制系统包括管理服务器、SDN控制器和SDN交换机,其中:
所述管理服务器,用于根据用户操作的具体任务,向SDN控制器上报任务对应的设备网络信息;
所述SDN控制器,用于根据管理服务器上报的任务对应的设备网络信息,下发流表到对应的SDN交换机;
所述SDN交换机,用于根据SDN控制器下发的流表,配置访问控制列表,控制任务对应的访问报文通过。
7.根据权利要求6所述的基于SDN的视频监控网络安全控制系统,其特征在于,所述用户操作的具体任务为监控设备的添加,所述基于SDN的视频监控网络安全控制系统,其中:
管理服务器根据用户添加监控设备的操作任务,向SDN控制器上报自身的网络信息;
SDN控制器根据管理服务器上报的自身网络信息,下发流表通知SDN交换机配置访问控制列表,允许目的端口为设备注册端口的发往管理服务器的报文通过;
管理服务器在监控设备注册成功后,将各个监控设备的网络信息上报到SDN控制器;
SND控制器下发流表通知SDN交换机配置访问控制列表,允许目的端口为设备注册端口的,从监控设备发往管理服务器的报文通过。
8.根据权利要求6所述的基于SDN的视频监控网络安全控制系统,其特征在于,所述用户操作的具体任务为监控设备的添加,所述基于SDN的视频监控网络安全控制系统,其中:
管理服务器根据用户添加监控设备的操作任务,向SDN控制器上报自身的网络信息;
SDN控制器根据管理服务器上报的自身网络信息,下发流表通知SDN交换机配置访问控制列表,允许管理客户端和管理服务器发往监控设备的报文通过。
9.根据权利要求6所述的基于SDN的视频监控网络安全控制系统,其特征在于,所述用户操作的具体任务为业务客户端区域的添加,所述基于SDN的视频监控网络安全控制系统,其中:
管理服务器根据用户添加业务客户端所在的区域,向SDN控制器上报业务客户端所在的区域信息;
SDN控制器查找到业务客户端所在的区域对应的SDN交换,下发流表通知所述SDN交换机配置访问控制列表,允许发向管理服务器的目的端口为HTTP端口、设备注册端口、以及业务请求端口的报文通过。
10.根据权利要求6所述的基于SDN的视频监控网络安全控制系统,其特征在于,所述用户操作的具体任务为业务客户端向前端设备的业务请求,所述基于SDN的视频监控网络安全控制系统,其中:
管理服务器根据业务客户端的业务请求,向SDN控制器上报对应的业务客户端和前端设备的网络信息;
SDN控制器向所述业务客户端和前端设备对应的SDN交换机下发流表,通知所述SDN交换机配置访问控制列表,允许所述业务客户端和前端设备与管理服务器之间业务信令的交互;
管理服务器分别与所述业务客户端、前端设备进行信令交互,获取所述前端设备的发流端口和业务客户端的收流端口,向SDN控制器上报所述前端设备的发流端口和业务客户端的收流端口;
SDN控制器向所述业务客户端和前端设备对应的SDN交换机下发流表,通知所述SDN交换机配置访问控制列表,允许所述前端设备的发流端口报文能够到达业务客户端的收流端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711239493.4A CN108040268B (zh) | 2017-11-30 | 2017-11-30 | 一种基于sdn的视频监控网络安全控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711239493.4A CN108040268B (zh) | 2017-11-30 | 2017-11-30 | 一种基于sdn的视频监控网络安全控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108040268A true CN108040268A (zh) | 2018-05-15 |
| CN108040268B CN108040268B (zh) | 2021-03-09 |
Family
ID=62094895
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711239493.4A Active CN108040268B (zh) | 2017-11-30 | 2017-11-30 | 一种基于sdn的视频监控网络安全控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108040268B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110347694A (zh) * | 2019-07-12 | 2019-10-18 | 中国工商银行股份有限公司 | 一种基于物联网的设备监控方法、装置及系统 |
| CN110855651A (zh) * | 2019-11-05 | 2020-02-28 | 中盈优创资讯科技有限公司 | 一种基于流量驱动的访问控制策略的自动生成方法及系统 |
| CN111327534A (zh) * | 2018-12-13 | 2020-06-23 | 浙江宇视科技有限公司 | 一种跨域单播转组播传输方法及装置 |
| CN111695149A (zh) * | 2020-05-15 | 2020-09-22 | 浙江信网真科技股份有限公司 | 一种基于云协同的安全过滤方法 |
| CN111970497A (zh) * | 2020-08-31 | 2020-11-20 | 重庆紫光华山智安科技有限公司 | 视频流处理方法、装置、sdn控制器及存储介质 |
| CN111970331A (zh) * | 2020-07-27 | 2020-11-20 | 江苏量动信息科技有限公司 | 基于sdn的高速公路监控数据链路优化方法及装置 |
| CN113259859A (zh) * | 2021-05-27 | 2021-08-13 | 之江实验室 | 一种面向区域寻址的地理标识转发方法及装置 |
| CN113507521A (zh) * | 2021-07-08 | 2021-10-15 | 上海中通吉网络技术有限公司 | 基于sdn机架出租场景实现业务快速上线的方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994065A (zh) * | 2015-05-20 | 2015-10-21 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的访问控制列表运行系统和方法 |
| CN105262624A (zh) * | 2015-10-29 | 2016-01-20 | 国网信息通信产业集团有限公司 | 一种基于软件定义网络的异构配电通信网络架构 |
| CN107395380A (zh) * | 2016-05-16 | 2017-11-24 | 中兴通讯股份有限公司 | 一种业务处理方法及系统 |
-
2017
- 2017-11-30 CN CN201711239493.4A patent/CN108040268B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994065A (zh) * | 2015-05-20 | 2015-10-21 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的访问控制列表运行系统和方法 |
| CN105262624A (zh) * | 2015-10-29 | 2016-01-20 | 国网信息通信产业集团有限公司 | 一种基于软件定义网络的异构配电通信网络架构 |
| CN107395380A (zh) * | 2016-05-16 | 2017-11-24 | 中兴通讯股份有限公司 | 一种业务处理方法及系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111327534A (zh) * | 2018-12-13 | 2020-06-23 | 浙江宇视科技有限公司 | 一种跨域单播转组播传输方法及装置 |
| CN111327534B (zh) * | 2018-12-13 | 2022-06-14 | 浙江宇视科技有限公司 | 一种跨域单播转组播传输方法及装置 |
| CN110347694A (zh) * | 2019-07-12 | 2019-10-18 | 中国工商银行股份有限公司 | 一种基于物联网的设备监控方法、装置及系统 |
| CN110855651A (zh) * | 2019-11-05 | 2020-02-28 | 中盈优创资讯科技有限公司 | 一种基于流量驱动的访问控制策略的自动生成方法及系统 |
| CN111695149A (zh) * | 2020-05-15 | 2020-09-22 | 浙江信网真科技股份有限公司 | 一种基于云协同的安全过滤方法 |
| CN111970331A (zh) * | 2020-07-27 | 2020-11-20 | 江苏量动信息科技有限公司 | 基于sdn的高速公路监控数据链路优化方法及装置 |
| CN111970497A (zh) * | 2020-08-31 | 2020-11-20 | 重庆紫光华山智安科技有限公司 | 视频流处理方法、装置、sdn控制器及存储介质 |
| CN111970497B (zh) * | 2020-08-31 | 2022-06-03 | 重庆紫光华山智安科技有限公司 | 视频流处理方法、装置、sdn控制器及存储介质 |
| CN113259859A (zh) * | 2021-05-27 | 2021-08-13 | 之江实验室 | 一种面向区域寻址的地理标识转发方法及装置 |
| CN113259859B (zh) * | 2021-05-27 | 2021-10-29 | 之江实验室 | 一种面向区域寻址的地理标识转发方法及装置 |
| US11870560B2 (en) | 2021-05-27 | 2024-01-09 | Zhejiang Lab | Geographical identification forwarding method and device for area-oriented addressing |
| CN113507521A (zh) * | 2021-07-08 | 2021-10-15 | 上海中通吉网络技术有限公司 | 基于sdn机架出租场景实现业务快速上线的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108040268B (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108040268A (zh) | 一种基于sdn的视频监控网络安全控制方法及系统 | |
| US10230798B2 (en) | Distributed edge processing of internet of things device data in co-location facilities | |
| US10887160B2 (en) | Management method for home network device and network management system | |
| CN108293001B (zh) | 一种软件定义数据中心及其中的服务集群的部署方法 | |
| CN103916634B (zh) | 一种基于openflow控制的视频点播方法 | |
| CN105791047B (zh) | 一种安全视频专网网络管理系统的控制方法 | |
| US8149263B2 (en) | Distributed scheduling, call control, and resource management for dispersed dynamic video communications networks | |
| CN108093014A (zh) | 一种资源监控方法及装置 | |
| JP2012235461A (ja) | ネットワーク・モニタリング・システム、コンピュータ読み出し可能記録媒体及びネットワークのトポロジを特定する方法 | |
| CN105207853A (zh) | 一种局域网监控管理方法 | |
| JP2011081809A (ja) | ネットワークリソース管理装置 | |
| CN102938768B (zh) | 一种漫游用户跨域登陆、跨域进行监控业务的方法和装置 | |
| CN109743401A (zh) | 一种基于物联网边缘计算服务器的智能设备管理系统 | |
| CN102647295B (zh) | 一种设备管理的方法及装置 | |
| CN105703960A (zh) | 基于sdn的网络功能管理系统及方法 | |
| CN202475474U (zh) | 多网融合的智能家庭网关装置及系统 | |
| CN108769279A (zh) | 基于ssh反向隧道的内网消防监控视频访问方法与系统 | |
| CN105979202B (zh) | 一种数据传输方法及装置 | |
| CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
| CN111479215A (zh) | 位置信息处理方法、装置、电子设备及存储介质 | |
| CN105915662B (zh) | 一种数据传输方法及装置 | |
| CN103595967B (zh) | 一种适合多运营商客户端接入的监控方法和装置 | |
| CN107453910A (zh) | 一种连接视频云和传统onvif监控设备的方法及设备 | |
| CN107968825B (zh) | 一种报文转发控制方法及装置 | |
| CN103001890B (zh) | 一种网络访问控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |