CN111314286A - 安全访问控制策略的配置方法及装置 - Google Patents

安全访问控制策略的配置方法及装置 Download PDF

Info

Publication number
CN111314286A
CN111314286A CN201911327420.XA CN201911327420A CN111314286A CN 111314286 A CN111314286 A CN 111314286A CN 201911327420 A CN201911327420 A CN 201911327420A CN 111314286 A CN111314286 A CN 111314286A
Authority
CN
China
Prior art keywords
type
end access
equipment
message
service interaction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911327420.XA
Other languages
English (en)
Other versions
CN111314286B (zh
Inventor
赵艳丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201911327420.XA priority Critical patent/CN111314286B/zh
Publication of CN111314286A publication Critical patent/CN111314286A/zh
Application granted granted Critical
Publication of CN111314286B publication Critical patent/CN111314286B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种安全访问控制策略的配置方法及装置,该方法应用于准入控制设备,可以包括:向各前端接入设备发送设备类型探测报文,以将获取的各前端接入设备的设备地址与设备类型记录于设备类型表中;针对各设备类型分别配置相应的的安全访问控制策略,以在接收到任一前端接入设备发送的业务交互报文的情况下,按照所述任一前端接入设备所归属设备类型对应的所述安全访问控制策略对所述业务交互报文执行预设操作。通过本申请的技术方案,对于同一类型的所有前端接入设备,仅需要配置一套对应于设备类型的安全访问控制策略,具有相对更高的配置效率。

Description

安全访问控制策略的配置方法及装置
技术领域
本申请涉及视频监控技术领域,尤其涉及一种安全访问控制策略的配置方法及装置。
背景技术
随着视频监控网络建设规模的日益增长,针对前端接入设备的非法入侵、恶意劫持和数据泄露等安全问题逐渐凸显,解决上述安全问题的有效方式是利用准入控制设备对前端接入设备与视频监控中心之间的数据交互过程进行访问控制,因此就需要对准入控制设备配置安全访问控制策略。
在相关技术中,通常由准入控制设备首先获取所连接的各前端接入设备的IP(Internet Protocol,网际互连协议)地址,然后基于IP地址对各前端接入设备分别配置相应的安全访问控制策略。这种方式需要基于IP地址对各前端接入设备逐一进行配置,在前端接入设备数量较多时,显然配置过程重复,配置效率较低。
发明内容
有鉴于此,本申请提供一种安全访问控制策略的配置方法及装置,以解决相关技术中存在的问题。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种安全访问控制策略的配置方法,应用于准入控制设备,所述方法包括:
向各前端接入设备发送设备类型探测报文,以获取所述各前端接入设备的设备地址与设备类型的对应关系;
针对各设备类型分别配置相应的的安全访问控制策略,以在接收到任一前端接入设备发送的业务交互报文的情况下,按照所述任一前端接入设备所归属设备类型对应的所述安全访问控制策略对所述业务交互报文执行预设操作。
根据本申请的第二方面,提出了一种安全访问控制策略的配置装置,应用于准入控制设备,所述装置包括:
设备类型获取单元,用于向各前端接入设备发送设备类型探测报文,以获取所述各前端接入设备的设备地址与设备类型的对应关系;
安全访问控制策略配置单元,用于针对各设备类型分别配置相应的的安全访问控制策略,以在接收到任一前端接入设备发送的业务交互报文的情况下,按照所述任一前端接入设备所归属设备类型对应的所述安全访问控制策略对所述业务交互报文执行预设操作。
根据本申请的第三方面,提出了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为实现如上述第一方面方案中任一项所述方法的步骤。
根据本申请的第四方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述第一方面方案中任一项所述方法的步骤。
由以上技术方案可见,本申请方案首先获取各前端接入设备的设备类型,然后按照前端接入设备的设备类型分别配置相应的安全访问控制策略,不再根据IP地址对各前端接入设备进行逐一配置,提高了配置效率。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的视频监控系统的网络架构示意图;
图2是本申请一示例性实施例示出的一种安全访问控制策略的配置方法的流程示意图;
图3是本申请一示例性实施例示出的另一种安全访问控制策略的配置方法的流程示意图;
图4是本申请一示例性实施例示出的一种电子设备的结构示意图;
图5是本申请一示例性实施例示出的一种安全访问控制策略的配置装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”、“上述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
作为现代社会安防领域的最常用手段,视频监控系统的应用场景越来越多,与此同时,针对监控系统中的前端接入设备的入侵、劫持、非法控制、恶意访问、数据泄露等安全问题也日渐增多。在图1所示的常规视频监控系统中,通常需要由准入控制设备对各前端接入设备向视频监控中心提出的访问请求进行控制,以在保证系统内前端接入设备的正常访问的同时阻挡非法访问,因此需要在准入控制设备中配置针对系统内各前端接入设备提出的合法访问请求的安全访问控制策略。
在相关技术中,通常由准入控制设备依次基于各前端接入设备的IP地址对各前端接入设备依次进行策略配置。然而这种方式需要基于IP地址对各前端接入设备逐一进行配置,在前端接入设备数量较多且各前端接入设备的IP地址较为分散时,会导致配置过程重复,配置效率较低。
为此,本申请提出一种安全访问控制策略的配置方法及装置,以解决相关技术中存在的上述不足。为对本申请进行进一步说明,提供下列实施例,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请保护的范围。为了便于理解,下面结合附图对本申请的技术方案进行进一步说明。
图1是本申请的视频监控系统的网络架构示意图。如图1所示,同一视频监控系统中可能具有多种不同类型的前端接入设备,如PC(personal computer,个人计算机)、IPC(Industrial Personal Computer,工业个人计算机)、DVR(Digital Video Recorder,数字视频录像机)或NVR(Network Video Recorder,网络视频录像机)等,可以理解的是,每种前端接入设备可能有多台,每台除IPC之外的前端接入设备又可以连接多台摄像头、摄像机等视频采集设备。各前端接入设备通过视频接入网与视频监控中心之间进行数据传输,而二者之间的准入控制设备用于通过配置安全访问控制策略控制各前端接入设备对视频监控中心的访问。另外,同一视频监控中心通常可以连接多个准入控制设备,即连接多套如图1所示视频监控系统中准入控制设备及其前端设备。
图2是本申请一示例性实施例示出的一种安全访问控制策略的配置方法的流程示意图。如图2所示,该方法应用于准入控制设备,可以包括以下步骤:
步骤201,向各前端接入设备发送设备类型探测报文,以获取所述各前端接入设备的设备地址与设备类型的对应关系。
首先需要说明的是,针对PC、IPC、DVR或NVR等可能的前端接入设备,由于PC和其他前端接入设备与视频监控中心之间建立会话所使用的会话协议和需要的端口通常区别较大,因此本申请方案中将所有可能的前端接入设备至少分为两类:PC型和视频监控型,也就是说,本申请方案中涉及到的前端接入设备的设备类型至少包括PC型和视频监控型。其中,PC型前端接入设备可以包括台式计算机、笔记本电脑等个人计算机,也可以包括服务器、工作站等网络计算机,还可以包括PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(Distributed Control System,集散控制系统)等工控机;视频监控型前端接入设备可以包括IPC、DVR或NVR等常见的视频接入设备。
该步骤可以有多种实现方式:在一实施例中,在一实施例中,使用特定报文探测的方式建立所述设备类型表,具体为:首先向各前端接入设备发送设备类型探测报文,然后在接收到任一前端接入设备返回的设备类型回复报文的情况下,从该设备类型回复报文中提取上述任一前端接入设备的设备地址与终端型号,再在预设的型号类型库中查询匹配于上述终端型号的设备类型,最后将上述任一前端接入设备的设备地址与其设备类型对应记录于设备类型表中,从而到的设备类型表。
上述特定报文可以由准入控制设备以ONVIF协议支持的WS-Discovery方式发送给各前端接入设备;也可以使用各终端普遍支持的其他协议来发送。通过发送上述特定报文探测出各前端接入设备的终端型号,然后使用该终端型号在预设的型号类型库中查询对应的设备类型。
在另一实施例中,针对特定端口进行探测以建立所述设备类型表,具体为:首先向各前端接入设备的多个预设端口依次发送PC型探测报文,上述预设端口通常仅有PC型的前端接入设备开启,而视频监控型的终端不会开启;然后在接收到的任一前端接入设备返回的报文表明上述预设端口开放的情况下,将该前端接入设备的设备地址与PC型之间的对应关系记录于设备类型表中,从而到的设备类型表。
在上述两实施例中,获取到前端接入设备的设备地址与设备类型的对应关系后,均将该对应关系记录于设备类型表中,以便后续在接收到任一业务交互报文后,按照设备地址查找对应的设备类型。作为另一示例性实施例,上述获取的对应关系也可以不保存在终端类型表中,而在每获取到一个设备地址对应的设备类型后,即为该设备地址对应的前端接入设备配置其设备类型对应的安全访问控制策略。
步骤202,针对各设备类型分别配置相应的的安全访问控制策略,以在接收到任一前端接入设备发送的业务交互报文的情况下,按照所述任一前端接入设备所归属设备类型对应的所述安全访问控制策略对所述业务交互报文执行预设操作。
根据步骤202中确定出的前端接入设备的设备类型,针对各设备类型分别配置相应的安全访问控制策略。对于不同设备类型的前端接入设备,其对应的安全访问控制策略通常也不相同,需要明确的是,本申请中的安全访问控制策略包括两部分:特征集合和处理逻辑。
在一实施例中,在设备类型为视频监控型的情况下,安全访问控制策略的特征集合包括以下至少之一:业务交互报文的协议类型和数据部分特征、业务交互报文的协议类型和目的端口、业务交互报文所归属会话的会话通道阶段协商出的源端口和目的端口;在设备类型为PC型的情况下,安全访问控制策略的特征集合包括以下至少之一:业务交互报文的协议类型、业务交互报文的协议类型和数据部分特征、业务交互报文的协议类型和提供该业务交互报文所对应网络服务的特定端口、业务交互报文的协议类型、数据部分特征和提供该业务交互报文所对应网络服务的特定端口。
准入控制设备针对各类前端接入设备的安全访问控制策略配置完成后,即可利用该安全访问控制策略对接收到的业务交互报文进行相应的处理。具体的,接收到任一前端接入设备发送的业务交互报文后,根据该业务交互报文携带的设备地址确定其发送方前端接入设备的设备类型,然后判断该业务交互报文的报文特征是否与该设备类型对应的设备安全访问控制策略的特征集合中的特征相匹配,在二者相匹配的情况下,按照该安全访问控制策略中的处理逻辑对该业务交互报文执行预设操作。上述预设操作是与安全访问控制策略相对应的,可以为:放行、丢弃或警告等。
在一实施例中,在设备类型为视频监控型的情况下,前端接入设备发送的业务交互报文可以为:SIP报文、RTP报文、RTCP报文或RTSP报文。在另一实施例中,在所述设备类型为PC型且所述安全访问控制策略的特征集合包含特定端口的情况下,所述特定端口包括:80端口或443端口。在上述两实施例中,报文特征包括对应安全访问控制策略中的若干项,如协议类型、数据部分特征、源端口和目的端口等。
由上述技术方案可见,本申请在接收任一前端接入设备发送的业务交互报文之前,针对前端接入设备的各设备类型分别配置相应的的安全访问控制策略。这种基于设备类型的配置方式,不再需要针对各前端接入设备的IP地进行逐一配置,一定程度上简化了配置操作,提高了配置效率。
图3是本申请一示例性实施例示出的另一种安全访问控制策略的配置方法的流程示意图。该方法应用于准入控制设备,如图3所示,可以包括以下步骤:
步骤301,以ONVIF协议的方式获取前端接入设备的设备类型。
配置之前需要获取各前端接入设备的设备类型。在一实施例中,以ONVIF协议支持的WS-Discovery方式向与准入控制设备相连的各前端接入设备发送探测报文:首先构建记录有各前端接入设备的设备类型与终端型号对应关系的型号类型库,具体构建方法详见下文;然后通过ONVIF协议支持的WS-Discovery方式向各前端接入设备发送设备类型探测报文,探测报文的具体发送方式本申请并不进行限制,详见相关技术公开的内容;在接收到任一前端接入设备的设备类型回复报文的情况下,从设备类型回复报文的特定字段中提取终端型号,该特定字段可以为“onvif://www.onvif.org/hardware/”后的字段,示例性的,在回复报文中包含字段“onvif://www.onvif.org/hardware/DS-2DE4120IW-DE”的情况下,则该回复报文的发送方前端接入设备的终端型号为“DS-2DE4120IW-DE”;在上述型号类型库中查询匹配于该所获取的上述终端型号的设备类型,在查询成功的情况下,即获取到上述回复报文中提取的设备地址对应的设备类型,反之,在查询不成功的情况下,则未获取到上述回复报文中提取的设备地址对应的设备类型,此时可以将查询不成功的前端接入设备类型暂时记录为“未知类型”。
值得说明的是,可以通过多种方式构建上述型号类型库:在一示例性实施例中,针对上述视频监控系统所使用前端接入设备的厂家为用户提供的设备相关信息进行数据分析,从中提取出各前端接入设备分别对应的设备类型,并将上述终端型号与设备类型对应记录,从而得到型号类型库。在另一示例性实施例中,人工收集上述视频监控系统所使用前端接入设备的厂家为用户提供的设备相关信息,从中提取各各前端接入设备分别对应的设备类型,并将上述终端型号与设备类型对应记录,从而得到型号类型库。在上述两示例性实施例中,最终得到的型号类型库可以保存在准入控制设备中,需要查询时直接调用;也可以保存在视频监控中心或其他设备中,在准入控制设备需要查询时向视频监控中心或其他设备申请,由其他设备发送给准入控制设备;还可以保存在视频监控中心或其他设备中,在准入控制设备需要查询时将设备信号发送给视频监控中心或其他设备,由后者进行相应查询并将设备类型的查询结果发送给准入控制设备。
步骤302,以针对特定端口的方式获取前端接入设备的设备类型。
在另一实施例中,针对特定端口向前端接入设备发送探测报文。该方式发送的探测报文的目的设备可以是与准入控制设备相连的全部前端接入设备,也可以是使用如步骤301所示方式获取不成功的前端接入设备。该方式中的上述特定端口通常仅有PC型前端接入设备开放,而视频监控型前端接入设备不会开放,下表1中记录了常见的特定端口及其对应的典型服务:
Figure BDA0002328744410000081
Figure BDA0002328744410000091
表1
该方式具体为:首先向前端接入设备依次发送各端口对应的PC型探测报文,该探测报文可以为TCP报文,如对任一前端接入设备,依次发送目的端口为135、137、139、445、3389的syn位置1的TCP握手报文;在接收到该前端接入设备的回复报文的情况下,检查该回复报文中的syn和ack位是否同时为1,若同时为1则表明该前端接入设备开放了对应端口,进一步表明该前端接入设备是PC型前端接入设备。同样的,对于使用该方式获取设备类型失败的前端接入设备,也可以将其设备类型记录为“未知类型”。
值得说明的是,在获取设备类型时,可以仅使用步骤301所示的ONVIF协议的方式,也可以仅使用步骤302所示的特定端口的方式,还可以同时使用上述两种方式。而且,本实施例中,作为一示例性实施例,可以先使用ONVIF协议的方式,再使用特定端口的方式;或者,作为另一示例性实施例,可以先使用特定端口的方式,再使用ONVIF协议的方式。换言之,“特定端口的方式”与“ONVIF协议的方式”并不存在必然的先后顺序,可以根据系统设备清单等实际情况进行调整。
步骤303,按照获取的设备类型建立设备类型表。
在获取到与准入控制设备相连接的各前端接入设备的设备类型后,将各前端接入设备的设备类型与设备地址对应保存在设备类型表中,以实现多次配置仅需一次获取。得到的该设备类型表可以保存在准入控制设备中,在配置安全访问控制策略时使用,以加快安全访问控制策略的配置速度;也可以保存在视频监控中心或其他设备中,在准入控制设备查询时由视频监控中心或其他设备申请发送给准入控制设备,以减少准入控制设备的存储空间的使用率;还可以保存在视频监控中心或其他设备中,在准入控制设备配置安全访问控制策略时时将设备地址发送给视频监控中心或其他设备,由后者进行相应查询并将与设备地址相匹配的设备类型的查询结果发送给准入控制设备,以减小准入控制设备的查询负荷。
当然,本步骤是可选步骤,在获取到与准入控制设备相连接的任一前端接入设备的设备类型后,也可以直接针对该前端接入设备进行安全访问控制策略的配置。可见,若采用该方式,每次进行安全访问控制策略配置之前都需要获取各设备的设备类型。
通过前述两种方式最终建立的设备类型表如下表2所示,但可以理解的是,表2中仅示例性示出了部分设备类型及型号的对应关系。
Figure BDA0002328744410000101
表2
步骤304,针对各设备类型分别配置相应的安全访问控制策略。
同一准入控制设备连接的多个前端接入设备可能分别属于不同的设备类型,针对不同的设备类型分别配置相应的安全访问控制策略。
可以理解的是,视频监控型前端接入设备与视频监控中心之间进行数据传输时会建立会话通道和流媒体通道,其中会话通道用于二者之间采用SIP或RTSP建立会话并传输系统控制命令,这一阶段会协商出媒体流通道中使用的源端口号和目端口号;媒体流通道用于采用流媒体协议RTP、RTCP传输压缩编码的视音频数据。因此上述业务交互报文可以为SIP报文、RTP报文、RTCP报文或RTSP报文等;相应的,视频监控型前端接入设备对应的安全访问控制策略的特征集合部分参见下表3:
协议类型 目的端口 数据部分特征
UDP ALL SIP
TCP ALL RTSP
TCP 554
表3
PC型前端接入设备与视频监控中心之间进行数据传输时,不同的应用服务所需要的端口也不相同,PC型前端接入设备向视频监控中心发送的业务交互报文的报文特征可不相同。
视频监控型前端接入设备向视频监控中心发送的业务交互报文的报文特征可以包括:业务交互报文的协议类型和数据部分特征(对应SIP和RTSP报文),业务交互报文的协议类型和目的端口(对应RTCP报文);还可以包括业务交互报文所归属会话的会话通道阶段协商出的源端口和目的端口(对应RTP报文)。PC型前端接入设备向视频监控中心发送的业务交互报文的报文特征可以包括:提供HTTP(Hyper Text Transfer Protocol,超文本传输协议)服务的80端口、提供HTTPS(Hyper Text Transfer Protocol Secure,超文本传输安全协议)服务的443端口或提供FTP(File Transfer Protocol,文件传输协议)服务的21端口等。
在该实施例中,如上表2所示,可以分别对视频监控型和PC型设置不同的安全访问控制策略。在一示例性实施例中,上述视频监控型对应的安全访问控制策略的特征集合可以包括:业务交互报文的协议类型和数据部分特征、业务交互报文的协议类型和目的端口、业务交互报文所归属会话的会话通道阶段协商出的源端口和目的端口等。在另一示例性实施例中,上述PC型对应的安全访问控制策略的特征集合可以包括:业务交互报文的协议类型、业务交互报文的协议类型和数据部分特征、业务交互报文的协议类型和提供该业务交互报文所对应网络服务的特定端口、业务交互报文的协议类型、数据部分特征和提供该业务交互报文所对应网络服务的特定端口等。
值得说明的是,上述两实施例仅是示例性的,在本申请方案的实际应用中,针对视频监控型和PC型前端接入设备配置的安全访问控制策略的特征集合并不仅限于上文所述,也可以包括其他内容;同样的,实际的视频监控系统中并不仅限于上述两种设备类型,但对于各种设备类型均应分别配置相应的安全访问控制策略,对此本申请不再赘述。
上述安全访问控制策略的配置过程,实际上就是将上述安全访问控制策略与相应的设备类型进行绑定的过程。该安全访问控制策略可以为电子表格形式,也可以具有其他形式;可以保存在准入控制设备中,也可以保存在与准入控制设备具有网络连接关系的其他设备中,对此本申请并不进行限制。但需要说明的是,无论上述安全访问控制策略的保存形式和保存位置如何,其都应保持与相应设备类型之间的对应关系;而且,对于同一种设备类型仅需要配置一套相应的安全访问控制策略。
步骤305,按照安全访问控制策略对接收到的业务交互报文进行处理。
在上述安全访问控制策略配置完成的情况下,当准入控制设备接收到前端接入设备发送的任一业务交互报文后,按照对应的安全访问控制策略对接收到的业务交互报文进行处理。显然,该步骤实际上是对前述设备类型表和安全访问控制策略的应用,因此,该步骤并不属于本申请方案的配置过程。
对于接收到的任一业务交互报文,首先提取该业务交互报文中的设备地址(如报文的源IP地址、源MAC地址等)和报文特征;然后按照设备地址在上述设备类型表中查找对应的设备类型,并根据该设备类型找到对应的安全访问控制策略;再判断上述报文特征与安全访问控制策略的特征集合中的特征是否匹配;最后,在二者相匹配的情况下,对该业务交互报文执行该安全访问控制策略的处理逻辑对应的预设操作。特殊的,在二者不相匹配的情况下,可以向预设对象发出针对该业务交互报文的告警信息。
以上述表2为例进行说明:若准入控制设备接收到的任一报文的源IP地址是192.168.0.26,则查找表2可知其发送方设备是视频监控型前端接入设备,然后查找到预先配置的视频监监控型对应的安全访问控制策略,若该报文的报文特征符合该策略的特征集合中的特征,如其协议类型是UDP类型,其数据部分特征是SIP字段,则说明该业务交互报文符合上述安全访问控制策略,对该业务交互报文执行预设的放行操作,以实现IP地址为192.168.0.26的前端接入设备与视频监控中心之间的数据交互。其他IP地址对应的前端接入设备发送的业务交互报文的处理过程同上,不再赘述。
图4是本申请一示例性实施例示出的一种电子设备的结构示意图。请参考图4,在硬件层面,该电子设备包括处理器401、内部总线402、网络接口403、内存404以及非易失性存储器405,当然还可能包括其他业务所需要的硬件。处理器401从非易失性存储器405中读取对应的计算机程序到内存404中并运行,在逻辑层面上形成安全访问控制策略的配置装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图5示出了本申请一示例性实施例示出的一种安全访问控制策略的配置装置的框图。请参见图5,在软件实施方式中,该安全访问控制策略的配置装置应用于准入控制设备,可以包括设备类型表建立单元501、安全访问控制策略配置单元502。其中:
设备类型获取单元501,用于向各前端接入设备发送设备类型探测报文,以将获取的所述各前端接入设备的设备地址与设备类型记录于设备类型表中;
安全访问控制策略配置单元502,用于针对各设备类型分别配置相应的的安全访问控制策略,以在接收到任一前端接入设备发送的业务交互报文的情况下,按照所述任一前端接入设备所归属设备类型对应的所述安全访问控制策略对所述业务交互报文执行预设操作。
可选的,上述设备类型获取单元501具体用于:
向各前端接入设备发送设备类型探测报文;
在接收到任一前端接入设备返回的设备类型回复报文的情况下,从所述设备类型回复报文中提取所述任一前端接入设备的设备地址与终端型号;
在预设的型号类型库中查询匹配于所述终端型号的设备类型;
将所述任一前端接入设备的设备地址与所述任一前端接入设备的设备类型对应记录于设备类型表中,以便按照所述设备类型表查找相同设备类型对应的设备地址。
可选的,上述设备类型探测报文以ONVIF协议支持的WS-Discovery方式发送。
可选的,上述设备类型表建立单元501具体用于:
向各前端接入设备的多个预设端口依次发送设备类型探测报文,所述预设端口仅有属于PC型的前端接入设备开启;
在接收到的任一前端接入设备返回的设备类型回复报文表明所述任一预设端口开放的情况下,将所述前端接入设备的设备地址与PC型之间的对应关系记录于设备类型表中。
可选的,在所述设备类型为视频监控型的情况下,所述特征集合包括以下至少之一:业务交互报文的协议类型和数据部分特征、业务交互报文的协议类型和目的端口、业务交互报文所归属会话的会话通道阶段协商出的源端口和目的端口;
在所述设备类型为PC型的情况下,所述特征集合包括以下至少之一:业务交互报文的协议类型、业务交互报文的协议类型和数据部分特征、业务交互报文的协议类型和提供该业务交互报文所对应网络服务的特定端口、业务交互报文的协议类型、数据部分特征和提供该业务交互报文所对应网络服务的特定端口。
可选的,在所述设备类型为视频监控型的情况下,所述任一业务交互报文包括:SIP报文、RTP报文、RTCP报文或RTSP报文。
可选的,在所述设备类型为PC型且所述安全访问控制策略的特征集合包含特定端口的情况下,所述特定端口包括:80端口或443端口。
上述装置中各个单元的功能和作用的实现过程详见上述方法中对应步骤的实现过程,在此不再赘述。
在一个典型的配置中,电子设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
对于上述装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种安全访问控制策略的配置方法,其特征在于,应用于准入控制设备,所述方法包括:
向各前端接入设备发送设备类型探测报文,以获取所述各前端接入设备的设备地址与设备类型的对应关系;
针对各设备类型分别配置相应的的安全访问控制策略,以在接收到任一前端接入设备发送的业务交互报文的情况下,按照所述任一前端接入设备所归属设备类型对应的所述安全访问控制策略对所述业务交互报文执行预设操作。
2.根据权利要求1所述的方法,其特征在于,向各前端接入设备发送设备类型探测报文,以获取所述各前端接入设备的设备地址与设备类型的对应关系,包括:
向各前端接入设备发送设备类型探测报文;
在接收到任一前端接入设备返回的设备类型回复报文的情况下,从所述设备类型回复报文中提取所述任一前端接入设备的设备地址与终端型号;
在预设的型号类型库中查询匹配于所述终端型号的设备类型;
将所述任一前端接入设备的设备地址与所述任一前端接入设备的设备类型对应记录于设备类型表中。
3.根据权利要求2所述的方法,其特征在于,所述设备类型探测报文以开放型网络视频接口论坛ONVIF协议支持的WS-Discovery方式发送。
4.根据权利要求1所述的方法,其特征在于,向各前端接入设备发送设备类型探测报文,以获取所述各前端接入设备的设备地址与设备类型的对应关系,包括:
向各前端接入设备的多个预设端口依次发送设备类型探测报文,所述预设端口仅有属于PC型的前端接入设备开启;
在接收到的任一前端接入设备返回的设备类型回复报文表明所述任一预设端口开放的情况下,将所述前端接入设备的设备地址与PC型之间的对应关系记录于设备类型表中。
5.根据权利要求1所述的方法,其特征在于,所述安全访问控制策略包括特征集合,
在所述设备类型为视频监控型的情况下,所述特征集合包括以下至少之一:业务交互报文的协议类型和数据部分特征、业务交互报文的协议类型和目的端口、业务交互报文所归属会话的会话通道阶段协商出的源端口和目的端口;
在所述设备类型为PC型的情况下,所述特征集合包括以下至少之一:业务交互报文的协议类型、业务交互报文的协议类型和数据部分特征、业务交互报文的协议类型和提供该业务交互报文所对应网络服务的特定端口、业务交互报文的协议类型、数据部分特征和提供该业务交互报文所对应网络服务的特定端口。
6.根据权利要求5所述的方法,其特征在于,在所述设备类型为视频监控型的情况下,所述任一业务交互报文包括:会话初始协议SIP报文、实时传输协议RTP报文、实时传输控制协议RTCP报文或实时流传输协议RTSP报文。
7.根据权利要求5所述的方法,其特征在于,在所述设备类型为PC型且所述安全访问控制策略的特征集合包含特定端口的情况下,所述特定端口包括:80端口或443端口。
8.一种安全访问控制策略的配置装置,其特征在于,应用于准入控制设备,所述装置包括:
设备类型获取单元,用于向各前端接入设备发送设备类型探测报文,以获取所述各前端接入设备的设备地址与设备类型的对应关系;
安全访问控制策略配置单元,用于针对各设备类型分别配置相应的的安全访问控制策略,以在接收到任一前端接入设备发送的业务交互报文的情况下,按照所述任一前端接入设备所归属设备类型对应的所述安全访问控制策略对所述业务交互报文执行预设操作。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-7中任一项所述方法的步骤。
CN201911327420.XA 2019-12-20 2019-12-20 安全访问控制策略的配置方法及装置 Active CN111314286B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911327420.XA CN111314286B (zh) 2019-12-20 2019-12-20 安全访问控制策略的配置方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911327420.XA CN111314286B (zh) 2019-12-20 2019-12-20 安全访问控制策略的配置方法及装置

Publications (2)

Publication Number Publication Date
CN111314286A true CN111314286A (zh) 2020-06-19
CN111314286B CN111314286B (zh) 2022-11-01

Family

ID=71150717

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911327420.XA Active CN111314286B (zh) 2019-12-20 2019-12-20 安全访问控制策略的配置方法及装置

Country Status (1)

Country Link
CN (1) CN111314286B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112954055A (zh) * 2021-02-08 2021-06-11 杭州迪普科技股份有限公司 一种基于ftp的访问控制方法和装置
CN113630390A (zh) * 2021-07-23 2021-11-09 谭静 基于大数据的终端设备的网络安全通信方法及装置
CN113904813A (zh) * 2021-09-22 2022-01-07 深信服科技股份有限公司 数据防护方法、装置、电子设备和存储介质
CN116015876A (zh) * 2022-12-27 2023-04-25 北京天融信网络安全技术有限公司 访问控制方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080228932A1 (en) * 2007-03-12 2008-09-18 Telefonaktiebolaget Lm Ericsson (Publ) Applying policies for managing a service flow
CN103369531A (zh) * 2013-07-02 2013-10-23 杭州华三通信技术有限公司 一种基于终端信息进行权限控制的方法及装置
CN105847223A (zh) * 2015-01-15 2016-08-10 杭州华三通信技术有限公司 一种终端设备的认证方法和设备
CN107517189A (zh) * 2016-06-17 2017-12-26 中兴通讯股份有限公司 一种wlan用户接入认证及配置信息下发的方法、设备
CN107547480A (zh) * 2016-06-28 2018-01-05 华为技术有限公司 一种虚拟桌面安全控制的方法、装置和虚拟桌面管理系统
CN110336684A (zh) * 2019-03-21 2019-10-15 北京天防安全科技有限公司 一种网络资产智能识别方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080228932A1 (en) * 2007-03-12 2008-09-18 Telefonaktiebolaget Lm Ericsson (Publ) Applying policies for managing a service flow
CN103369531A (zh) * 2013-07-02 2013-10-23 杭州华三通信技术有限公司 一种基于终端信息进行权限控制的方法及装置
CN105847223A (zh) * 2015-01-15 2016-08-10 杭州华三通信技术有限公司 一种终端设备的认证方法和设备
CN107517189A (zh) * 2016-06-17 2017-12-26 中兴通讯股份有限公司 一种wlan用户接入认证及配置信息下发的方法、设备
CN107547480A (zh) * 2016-06-28 2018-01-05 华为技术有限公司 一种虚拟桌面安全控制的方法、装置和虚拟桌面管理系统
CN110336684A (zh) * 2019-03-21 2019-10-15 北京天防安全科技有限公司 一种网络资产智能识别方法及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112954055A (zh) * 2021-02-08 2021-06-11 杭州迪普科技股份有限公司 一种基于ftp的访问控制方法和装置
CN113630390A (zh) * 2021-07-23 2021-11-09 谭静 基于大数据的终端设备的网络安全通信方法及装置
CN113630390B (zh) * 2021-07-23 2023-09-01 国网湖北省电力有限公司荆州供电公司 基于大数据的终端设备的网络安全通信方法及装置
CN113904813A (zh) * 2021-09-22 2022-01-07 深信服科技股份有限公司 数据防护方法、装置、电子设备和存储介质
CN116015876A (zh) * 2022-12-27 2023-04-25 北京天融信网络安全技术有限公司 访问控制方法、装置、电子设备及存储介质
CN116015876B (zh) * 2022-12-27 2024-01-26 北京天融信网络安全技术有限公司 访问控制方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN111314286B (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
CN111314286B (zh) 安全访问控制策略的配置方法及装置
US10992569B2 (en) System and method for real-time load balancing of network packets
US20190075049A1 (en) Determining Direction of Network Sessions
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
CN106936791B (zh) 拦截恶意网址访问的方法和装置
US7385975B2 (en) Routing method and SIP server using the same
US20090010277A1 (en) Method and system for selecting a recording route in a multi-media recording environment
CN107666473B (zh) 一种攻击检测的方法及控制器
KR20160106062A (ko) 프록시 ip 어드레스를 식별하는 방법 및 장치
CN110062064B (zh) 一种地址解析协议arp请求报文响应方法及装置
US9015344B2 (en) Method, apparatus and system for managing private network remotely using session initiation protocol
US9537930B2 (en) Information system, file server, and file server control method
CN110740144B (zh) 确定攻击目标的方法、装置、设备及存储介质
CN110875897B (zh) 数据传输方法、装置、服务器和存储介质
CN111147519A (zh) 数据检测方法、装置、电子设备和介质
CN108206788B (zh) 一种流量的业务识别方法及相关设备
CN108243072A (zh) 一种进行网络延时监控的方法与设备
CN111064804A (zh) 网络访问方法和装置
US9509777B2 (en) Connection method and management server
US20150222529A1 (en) Information transmission system, information communication apparatus, and information transmission apparatus
CN116708041A (zh) 伪装代理方法、装置、设备及介质
CN112653609B (zh) 一种vpn识别应用方法、装置、终端及存储介质
CN112653708B (zh) 媒体流量检测方法、装置、网络设备及可读存储介质
CN114285771A (zh) 一种tcp连接的连接状态追踪方法及装置
KR101828546B1 (ko) 감시 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant