CN109561049B - 一种基于监控业务的动态准入方法及装置 - Google Patents

一种基于监控业务的动态准入方法及装置 Download PDF

Info

Publication number
CN109561049B
CN109561049B CN201710881950.3A CN201710881950A CN109561049B CN 109561049 B CN109561049 B CN 109561049B CN 201710881950 A CN201710881950 A CN 201710881950A CN 109561049 B CN109561049 B CN 109561049B
Authority
CN
China
Prior art keywords
white list
message
data
media stream
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710881950.3A
Other languages
English (en)
Other versions
CN109561049A (zh
Inventor
任俊峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Uniview Technologies Co Ltd
Original Assignee
Zhejiang Uniview Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Uniview Technologies Co Ltd filed Critical Zhejiang Uniview Technologies Co Ltd
Priority to CN201710881950.3A priority Critical patent/CN109561049B/zh
Publication of CN109561049A publication Critical patent/CN109561049A/zh
Application granted granted Critical
Publication of CN109561049B publication Critical patent/CN109561049B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast

Abstract

本发明公开了一种基于监控业务的动态准入方法及装置,通过监听接入设备发送的初始注册报文,并接收对应的注册响应报文,建立身份白名单;然后监听从身份白名单中IP地址发出的媒体流协商报文,根据call‑id获取五元组信息,建立转发白名单;从而可以对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。本发明的装置包括注册报文监听模块、媒体流协商报文监听模块和数据报文转发模块。本发明的方法及装置,根据SIP协议的报文建立安全准入策略,并基于监控业务进行动态控制,与监控业务深入融合,在视频监控系统中部署容易,对接入设备的要求低。

Description

一种基于监控业务的动态准入方法及装置
技术领域
本发明属于视频监控的安全准入技术领域,尤其涉及一种基于监控业务的动态准入方法及装置。
背景技术
IP视频监控系统的结构简单,基本上由各种服务器和接入设备组成,布线成本低,尤其多种信号均可在同一网络上传输,同时,新增监控点或客户端都非常方便,只需把相关设备接入IP网络即可,IP系统的开放性也使用户可在任何地方,使用多种方式查看监控视频资料,这为用户带来的便利是传统模拟监控系统无法比拟的。而伴随IP监控的发展,IP系统的开放性是把双刃剑,在为用户带来极大便利的同时也为监控系统带来了极大的隐患。IP监控系统中,视频编码器或者IP摄像机往往就安装在外场前端,视频流将通过光端机等设备传输至监控中心的网络内,即IP系统的信号传输路径是开放的,任何人理论上都可能进入到监控系统的传输网络,也能通过此途径上传病毒文件,此即会给监控网络造成极大的危害,导致系统的崩溃。
视频监控专网的攻击来源有90%以上来至于前端网络,所以解决接入设备安全准入的问题是业界的首要任务。
目前,接入设备的安全准入方案最常用的是802.1x认证。接入设备IPC如果要接入到网络中,必须首先使用802.1x认证,认证通过后方可接入用户网络。从用户管理、实际应用等方面看,802.1x存在部分不足,主要表现在以下几个方面:
1、用户名/密码太多,缺乏易用性。
802.1x认证是基于用户名/密码方式的。如果所有的接入设备都使用同一个用户名/密码,泄密方面存在很大的风险。如果所有的接入设备使用独一无二的用户名/密码,在密码管理和前端配置方面带来新的难题。
2、前端复杂,很难都支持802.1x。
802.1x准入方案需要接入设备、接入层设备都支持。海量接入设备、交换机很难保证可以支持或者通过升级来支持802.1x功能。同时对于部分接入组网,譬如光线路终端OLT+光网络单元ONU的接入方式,无法支持802.1x功能。
3、单纯的网络接入,缺乏与监控业务的融合。
只要接入设备通过了802.1x认证,即可对整个网络进行任何业务的访问,包括非监控业务,在安全准入方面没有与监控业务进行深度的融合。
发明内容
本发明的目的是提供一种基于监控业务的动态准入方法及装置,用于解决接入设备的监控身份认证,同时对于合法接入设备所发送的数据进行基于监控业务的检验。
为了实现上述目的,本发明技术方案如下:
一种基于监控业务的动态准入方法,用于实现视频监控系统中接入设备的安全准入,所述基于监控业务的动态准入方法,包括:
监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;
监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;
对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。
进一步地,所述将所述接入设备的IP地址加入身份白名单,还包括:
根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。
进一步地,所述基于监控业务的动态准入方法,还包括:
监听身份白名单中IP对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。
进一步地,所述将五元组信息加入转发白名单的数据转发表项,还包括:
在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据报文时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。
进一步地,所述基于监控业务的动态准入方法,还包括:
建立包含物联网接入设备对应的端口号和特征字段的物联网白名单;
对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,否则直接丢弃。
本发明还提出了一种基于监控业务的动态准入装置,用于实现视频监控系统中接入设备的安全准入,所述基于监控业务的动态准入装置,包括:
注册报文监听模块,用于监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;
媒体流协商报文监听模块,用于监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;
数据报文转发模块,用于对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。
进一步地,所述注册报文监听模块,还用于根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。
进一步地,所述注册报文监听模块,还用于监听身份白名单中IP对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。
进一步地,所述媒体流协商报文监听模块,还用于在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据报文时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。
进一步地,所述基于监控业务的动态准入装置,还包括:
物联网数据报文转发模块,用于根据建立的包含物联网接入设备对应的端口号和特征字段的物联网白名单,对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,否则直接丢弃。
本发明提出的一种基于监控业务的动态准入方法及装置,根据注册报文及其响应报文建立身份白名单,并监听身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项,实现对媒体流数据报文的直接转发。本发明根据SIP协议的报文建立安全准入策略,并基于监控业务进行动态控制,与监控业务深入融合,在视频监控系统中部署容易,对接入设备的要求低。
附图说明
图1为本发明一种基于监控业务的动态准入方法流程图;
图2为本发明一种基于监控业务的动态准入装置结构示意图。
具体实施方式
下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
本实施例以视频监控系统为例来进行说明,在视频监控系统中,接入设备与视频监控系统中的后台服务器如视频管理服务器、媒体管理服务器等在进行交互时,通常采用SIP信令。本发明的总体思想就是根据SIP信令建立白名单机制,来实现接入设备的安全准入,视频监控系统中的接入设备通常包括网络摄像机IPC、客户端等。
如图1所示,本实施例一种基于监控业务的动态准入方法,包括:
步骤S1、监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单。
SIP消息是接入设备和后台服务器之间通信的基本信息单元,常用的两类SIP消息为请求消息和响应详细,其中请求消息是用户代理客户端UAC(User Agent Client)到用户代理服务器UAS(User Agent Server)的消息,包括INVITE、ACK、REGISTER消息等,而响应消息则是UAS到UAC的消息,包括1XX、2XX、3XX消息等。SIP消息可以通过其报文中的特殊字段来识别,对于请求消息可以根据请求行Request-Line中的字段来识别,或根据CSeq字段来识别,而对于响应消息,则可以根据响应行Status-Line中的字段来识别,或根据CSeq字段来识别。在以下的实施例中,关于如何来识别SIP报文,将不再赘述。
接入设备接入到视频监控系统,首先要进行注册,注册成功后才能成为合法用户。因此可以监听系统中的注册报文,例如可以仅考虑从非信任端口发送的接入设备的注册报文(对于信任端口,认为是可信的,不在本发明考虑的范围之内),如果是初始的注册报文,则临时记录该报文的call-id和五元组信息。在收到对应的响应报文后,查询该响应报文的call-id及五元组信息与临时记录的是否相同,如果相同,且响应报文中的内容为200ok,表示注册成功,则将注册报文中IP地址加入到身份白名单中。并根据响应报文中的保活时间配置该IP在身份白名单中的存活时间,并进行计时。
需要说明的是,call-id是用于全局唯一标识正在建立的会话的标识符,通常采用随机数加UAC标识信息,可以根据call-id来跟踪会话,从而监听同一call-id下的所有交互报文。而五元组信息包括传输协议、源IP、目的IP、源端口、目的端口信息,在身份白名单中记录源IP。
在监听到初始注册报文后,建立临时监听表项,如下:
Figure BDA0001419340280000051
表1
在超时时间内,监听该call-id对应的200OK响应报文,并进行五元组信息的匹配,当200OK响应报文中五元组信息与临时监听表项相同call-id下的五元组信息匹配时,则意味着收到初始注册报文对应的响应报文,表示注册成功。在匹配时,响应报文的源IP和源端口对应注册报文的目的IP和目的端口,响应报文的目的IP和目的端口对应注册报文的源IP和源端口。
确认注册成功,则将初始注册报文的源IP记录在身份白名单中,此时可以删除对应的临时监听表项。如果未收到对应的200OK响应报文,则将临时监听表项删除。
容易理解的是,将接入设备的IP地址记录在身份白名单中,从而可以根据身份白名单实现安全准入,身份白名单中的表项可以永久有效,或在设定的时间内有效。
本实施例优选地,还根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。
例如,根据响应报文中的保活时间配置身份白名单中该IP的存活时间,如下表所示:
白名单IP 存活时间
202.135.10.10 90
表2
从而,本实施例还包括:
监听身份白名单中IP对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。
本实施例身份白名单建立后,就开始进行倒计时,如果倒计时超过存活时间,则应该从身份白名单中删除对应的IP。
具体地,通过监听表2身份白名单IP发送的注册保活报文及其对应的响应报文,如果能收到注册保活报文对应的200OK响应报文,则表示保活正常,此时则将表2身份白名单IP的存活时间重置,即重新开始倒计时。
而如果未收到对应的响应报文,即保活不正常,则继续原来的倒计时,在倒计时结束后,将对应的IP从身份白名单中删除。
通过上述优选方案,本实施例身份白名单的IP表项可在注册保活期间持续有效,在存活时间到期后自动删除,可以有效增加接入设备接入的安全性。而如果收到的注册保活报文不在身份白名单中,则直接丢弃注册保活报文,不进行处理。
步骤S2、监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项。
视频监控系统中,在发送媒体流数据前,需要通过信令协商建立媒体连接,在媒体流协商过程中,常用的协商报文包括:INVITE、200OK、ACK,根据call-id,可以获得一个会话中完整的协商流程中所有的协商报文,从而获取对应的五元组信息。
例如:
从INVITE中获取到媒体流的目的IP、目的端口号和传输协议,从200OK中获取到媒体流的源IP、源端口号。
在获取到五元组信息后,将五元组信息加入到转发白名单,以下是转发白名单中记录的数据转发表项:
ID 传输协议 源IP 源端口 目的IP 目的端口号 超时时间
1 UDP 202.135.10.10 10000 202.100.10.35 40116 10
表3
容易理解的是,转发白名单中记录的数据转发表项中,可以不设置超时时间,即对记录的五元组信息始终认为是有效的。
本实施例优选地,在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。
例如在监听到ACK报文后,通常认为媒体流连接建立完成,启动超时时间倒计时。在超时时间倒计时的过程中,如果在超时时间内收到对应媒体流数据,表示该媒体连接在发送媒体流,则重新开始超时时间倒计时。直到在超时时间内没有发送媒体流,倒计时结束时,将对应的五元组信息从转发白名单中删除。
需要说明的是,本实施例仅说明了监听身份白名单IP发出的媒体流协商报文的操作过程,对于不是从身份白名单IP发出的媒体流协商报文,直接丢弃。
步骤S3、对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。
本实施例通过前面的步骤建立了转发白名单的数据转发表项,从而可以根据监控业务来实现安全准入,即对于媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文,否则直接丢弃。
通过上述步骤,容易理解的是,对于视频监控系统中的报文,可以实现如下安全准入:
首先识别报文,如果是媒体流数据报文,并且媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文,否则直接丢弃。
当不是媒体流数据报文时,可以继续识别是否是注册报文,如果是注册报文,还需要进一步识别是初始注册报文还是注册保活报文,并分别处理:
如果是初始注册报文,则根据步骤S1进行处理,将对应的IP地址加入身份白名单;
如果是注册保活报文,则要看其对应的IP是否在身份白名单中,如果不在身份白名单中,则丢弃该报文,如果在身份白名单中,则按照步骤S2进行处理,重置IP地址在身份白名单中的存活时间。
如果不是注册报文,则要查看其对应的IP是否在身份白名单中,如果不在身份白名单中,则直接丢弃;如果在身份白名单中,则需要进一步识别报文的类型,看是否是媒体流协商报文,对媒体流协商报文按照步骤S4来进行处理。
如果在身份白名单中,但不是媒体流协商报文,则需要进一步识别报文的是否是物联网端口数据报文,如果是按照以下步骤处理,否则直接丢弃。物联网数据报文通过接入设备发送,例如通过网络摄像机IPC发送,因此物联网数据报文进来后,首先不是媒体流数据报文,则需要通过身份白名单来进行安全准入,如果其源IP地址是在身份白名单中,则进行后续处理。
以下具体说明对于物联网数据报文的处理:
由于视频监控系统中的网路摄像机IPC也同时是物联网中的感知设备,相当于物联网的眼睛,因此接入设备还常需要发送物联网标准的数据报文。
因此本实施例,一种基于监控业务的动态准入方法,还包括:
建立包含物联网接入设备对应的端口号和特征字段的物联网白名单;
对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,否则直接丢弃。
具体地,对于物联网接入设备,其数据通道不是通过控制信令进行协商的,而是在标准中规定了报文数据部分的组成规则。对于这部分的报文,需要进行包头特征字段的准入机制。即首先将包头中的特征字段加入到物联网白名单中,同时将物联网接入设备指定的端口号(或使用默认端口号)也加入到物联网白名单中。则从物联网白名单对应端口号接收的物联网数据报文,允许未携带数据的数据报文通过,例如tcp syn报文,TCP连接建立后,对于后续的0字节报文可以通过;对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,否则直接丢弃。
例如,物联网数据报具体格式如下:
Figure BDA0001419340280000091
表4
其中,数据部分以77aa77aa开始,可以将其作为特征字段放入物联网白名单,后续接收到的报文,如果这个字段匹配,则允许通过。
与上述方法对应地,本申请还给出了一种基于监控业务的动态准入装置的实施例,用于实现视频监控系统中接入设备的安全准入。如图2所示,该基于监控业务的动态准入装置,包括:
注册报文监听模块,用于监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;
媒体流协商报文监听模块,用于监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;
数据报文转发模块,用于对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。
本实施例基于监控业务的动态准入装置中各模块所实现的操作步骤与上述方法的步骤一一对应,这里仅对各模块优选的实现方式进行描述如下:
本实施例注册报文监听模块,还用于根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。
本实施例注册报文监听模块,还用于监听身份白名单中IP对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。
本实施例媒体流协商报文监听模块,还用于在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据报文时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。
本实施例基于监控业务的动态准入装置,还包括:
物联网数据报文转发模块,用于根据建立的包含物联网接入设备对应的端口号和特征字段的物联网白名单,对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,否则直接丢弃。
需要说明的是,本实施例基于监控业务的动态准入装置通常连接在接入设备与其他后台管理服务器之间,可以接收从接入设备发出的所有报文,从而达到对接入设备实行安全准入的技术效果。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种基于监控业务的动态准入方法,用于实现视频监控系统中接入设备的安全准入,其特征在于,所述基于监控业务的动态准入方法,包括:
监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;
监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;
对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。
2.如权利要求1所述的基于监控业务的动态准入方法,其特征在于,所述将所述接入设备的IP地址加入身份白名单,还包括:
根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。
3.如权利要求2所述的基于监控业务的动态准入方法,其特征在于,所述基于监控业务的动态准入方法,还包括:
监听身份白名单中IP地址对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。
4.如权利要求1所述的基于监控业务的动态准入方法,其特征在于,所述将五元组信息加入转发白名单的数据转发表项,还包括:
在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据报文时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。
5.如权利要求1所述的基于监控业务的动态准入方法,其特征在于,所述基于监控业务的动态准入方法,还包括:
建立包含物联网接入设备对应的端口号和特征字段的物联网白名单;
对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,对于其包头字段的数据与物联网白名单中特征字段不匹配的数据报文直接丢弃。
6.一种基于监控业务的动态准入装置,用于实现视频监控系统中接入设备的安全准入,其特征在于,所述基于监控业务的动态准入装置,包括:
注册报文监听模块,用于监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;
媒体流协商报文监听模块,用于监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;
数据报文转发模块,用于对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。
7.如权利要求6所述的基于监控业务的动态准入装置,其特征在于,所述注册报文监听模块,还用于根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。
8.如权利要求7所述的基于监控业务的动态准入装置,其特征在于,所述注册报文监听模块,还用于监听身份白名单中IP地址对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。
9.如权利要求6所述的基于监控业务的动态准入装置,其特征在于,所述媒体流协商报文监听模块,还用于在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据报文时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。
10.如权利要求6所述的基于监控业务的动态准入装置,其特征在于,所述基于监控业务的动态准入装置,还包括:
物联网数据报文转发模块,用于根据建立的包含物联网接入设备对应的端口号和特征字段的物联网白名单,对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,对于其包头字段的数据与物联网白名单中特征字段不匹配的数据报文直接丢弃。
CN201710881950.3A 2017-09-26 2017-09-26 一种基于监控业务的动态准入方法及装置 Active CN109561049B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710881950.3A CN109561049B (zh) 2017-09-26 2017-09-26 一种基于监控业务的动态准入方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710881950.3A CN109561049B (zh) 2017-09-26 2017-09-26 一种基于监控业务的动态准入方法及装置

Publications (2)

Publication Number Publication Date
CN109561049A CN109561049A (zh) 2019-04-02
CN109561049B true CN109561049B (zh) 2021-07-20

Family

ID=65862435

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710881950.3A Active CN109561049B (zh) 2017-09-26 2017-09-26 一种基于监控业务的动态准入方法及装置

Country Status (1)

Country Link
CN (1) CN109561049B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110708336B (zh) * 2019-10-29 2022-03-01 杭州迪普科技股份有限公司 视频终端的认证方法及装置、电子设备、存储介质
CN111695150B (zh) * 2020-05-15 2023-07-28 浙江信网真科技股份有限公司 一种动态粒度自聚合的安全过滤方法及装置
CN112565297A (zh) * 2020-12-24 2021-03-26 杭州迪普科技股份有限公司 一种报文控制方法及装置
CN112788045B (zh) * 2021-01-21 2023-02-24 杭州迪普科技股份有限公司 网络摄像机的安全防护方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026567A (zh) * 2007-01-29 2007-08-29 华为技术有限公司 地址转发表项的保活方法及系统
JP2009239525A (ja) * 2008-03-26 2009-10-15 Nippon Telegr & Teleph Corp <Ntt> フィルタリング装置、フィルタリング方法およびフィルタリングプログラム
CN102685117A (zh) * 2012-04-25 2012-09-19 浙江宇视科技有限公司 一种组播安全管理方法及装置
CN102916865A (zh) * 2012-11-08 2013-02-06 浙江宇视科技有限公司 一种监控业务管理方法及装置
CN105491007A (zh) * 2015-11-13 2016-04-13 浙江宇视科技有限公司 一种视频监控系统安全准入方法及装置
CN105553853A (zh) * 2015-12-01 2016-05-04 浙江宇视科技有限公司 一种nvr管理ipc的方法、装置和系统
CN106331567A (zh) * 2015-06-30 2017-01-11 华为技术有限公司 一种视频通信方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026567A (zh) * 2007-01-29 2007-08-29 华为技术有限公司 地址转发表项的保活方法及系统
JP2009239525A (ja) * 2008-03-26 2009-10-15 Nippon Telegr & Teleph Corp <Ntt> フィルタリング装置、フィルタリング方法およびフィルタリングプログラム
CN102685117A (zh) * 2012-04-25 2012-09-19 浙江宇视科技有限公司 一种组播安全管理方法及装置
CN102916865A (zh) * 2012-11-08 2013-02-06 浙江宇视科技有限公司 一种监控业务管理方法及装置
CN106331567A (zh) * 2015-06-30 2017-01-11 华为技术有限公司 一种视频通信方法及装置
CN105491007A (zh) * 2015-11-13 2016-04-13 浙江宇视科技有限公司 一种视频监控系统安全准入方法及装置
CN105553853A (zh) * 2015-12-01 2016-05-04 浙江宇视科技有限公司 一种nvr管理ipc的方法、装置和系统

Also Published As

Publication number Publication date
CN109561049A (zh) 2019-04-02

Similar Documents

Publication Publication Date Title
CN109561049B (zh) 一种基于监控业务的动态准入方法及装置
US7568224B1 (en) Authentication of SIP and RTP traffic
JP4405360B2 (ja) ファイアウォールシステム及びファイアウォール制御方法
US7653938B1 (en) Efficient cookie generator
US8015402B2 (en) Address-authentification-information issuing apparatus, address-authentification-information adding apparatus, false-address checking apparatus, and network system
US9131026B2 (en) Method and system for establishing media channel based on relay
US20070104180A1 (en) Connected communication terminal, connecting communication terminal, session management server and trigger server
US20100095351A1 (en) Method, device for identifying service flows and method, system for protecting against deny of service attack
US20090175165A1 (en) Method for Enabling Communication Between Two Network Nodes via a Network Address Translation Device (NAT)
EP2464079A1 (en) Method for authenticating communication traffic, communication system and protection apparatus
US9883010B2 (en) Method, apparatus, device and system for generating DHCP snooping binding table
JP2007068161A (ja) 分散型認証機能
US20090138959A1 (en) DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
Petit-Huguenin et al. Session traversal utilities for NAT (STUN)
WO2017005163A1 (zh) 基于无线通信的安全认证装置
CN113904807B (zh) 一种源地址认证的方法、装置、电子设备及存储介质
US20100146061A1 (en) session process and system
CN114390049A (zh) 一种应用数据获取方法及装置
JP2003179647A (ja) パケット転送装置およびパケット転送方法
CN110830419B (zh) 一种网际协议摄像机的访问控制方法及装置
CN112333088B (zh) 一种兼容性即时通信传输方法
CN106302456B (zh) 会话保持方法及装置
CN103491081B (zh) 检测dhcp攻击源的方法和装置
WO2011157142A2 (zh) 报文发送方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant