CN112788045A - 网络摄像机的安全防护方法及装置 - Google Patents
网络摄像机的安全防护方法及装置 Download PDFInfo
- Publication number
- CN112788045A CN112788045A CN202110080150.8A CN202110080150A CN112788045A CN 112788045 A CN112788045 A CN 112788045A CN 202110080150 A CN202110080150 A CN 202110080150A CN 112788045 A CN112788045 A CN 112788045A
- Authority
- CN
- China
- Prior art keywords
- network camera
- safety
- security
- level
- flow data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Alarm Systems (AREA)
Abstract
本公开涉及一种网络摄像机的安全防护方法、装置、电子设备及计算机可读介质。该方法包括:安全防护装置获取网络摄像机的流量数据;由所述流量数据中提取所述网络摄像机的终端标识;将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过。本公开涉及的网络摄像机的安全防护方法、装置、电子设备及计算机可读介质,能够减少安全配置人员的工作量,减少配置文件中的人为错误,提高网络摄像机在网络运行中安全性和健壮性。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种网络摄像机的安全防护方法、装置、电子设备及计算机可读介质。
背景技术
GB35114规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求,包括公共安全视频监控联网信息安全系统的互联结构、证书和密钥要求、基本功能要求、性能要求等技术要求。本标准适用于公共安全领域视频监控系统的信息安全方案设计、系统检测、验收以及与之相关的设备研发与检测。
不支持GB35114的摄像头不能保证视频数据的安全传输,且网络摄像头可能发生非法接入视频系统的问题,此外在传输过程中还可能发生视频数据盗取等问题。而支持GB35114只能解决摄像机的信息安全问题,但网络接入等安全问题并没有解决,并且传统的安全设备在IPC支持了GB35114后,又无法满足其网络安全接入和防护的要求。因此,需要一种新的网络摄像机的安全防护方法、装置、电子设备及计算机可读介质。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种网络摄像机的安全防护方法、装置、电子设备及计算机可读介质,能够减少安全配置人员的工作量,减少配置文件中的人为错误,提高网络摄像机在网络运行中安全性和健壮性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种网络摄像机的安全防护方法,该方法包括:安全防护装置获取网络摄像机的流量数据;由所述流量数据中提取所述网络摄像机的终端标识;将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过。
在本公开的一种示例性实施例中,还包括:安全防护装置获取网络摄像机和视频监控系统之间的流量数据;由所述流量数据中提取报文数据;基于所述报文数据确定所述网络摄像机的安全状态和安全等级;基于所述网络摄像机和终端标识和所述安全状态、安全等级实时更新所述白名单。
在本公开的一种示例性实施例中,由所述流量数据中提取报文数据,包括:由所述流量数据中提取UDP报文的报文数据。
在本公开的一种示例性实施例中,基于所述报文数据确定所述网络摄像机的安全状态和安全等级,包括:提取所述报文数据中sip信令;在所述sip信令不满足预设策略时,确定所述网络摄像机的安全状态为不安全。
在本公开的一种示例性实施例中,基于所述报文数据确定所述网络摄像机的安全状态和安全等级,包括:在所述sip信令满足预设策略时,将所述报文数据和多个关键字进行匹配;根据匹配结果确定所述网络摄像机的安全状态和安全等级。
在本公开的一种示例性实施例中,所述预设策略,包括:所述sip信令中包含Authorization字段,且Authorization字段中的值为Capability或Unidirection或Bidirection。
在本公开的一种示例性实施例中,根据匹配结果确定所述网络摄像机的安全状态和安全等级,包括:在匹配结果中包含RegisterWay时,确定所述网络摄像机的安全状态为安全且安全等级为A级;在匹配结果中包含SignatureControl时,确定所述网络摄像机的安全状态为安全且安全等级为B级;在匹配结果中包含EncryptionControl时,确定所述网络摄像机的安全状态为安全且安全等级为C级;在匹配结果中包含ClientVKEYNotify时,确定所述网络摄像机的安全状态为安全且安全等级为C级。
在本公开的一种示例性实施例中,还包括:将所述白名单以日志的形式发送至所述视频监控系统。
在本公开的一种示例性实施例中,包括:在所述安全状态为不安全时,阻断所述流量数据;生成日志警告信息并发送至所述视频监控系统。
根据本公开的一方面,提出一种网络摄像机的安全防护装置,该装置包括:数据模块,用于安全防护装置获取网络摄像机的流量数据;标识模块,用于由所述流量数据中提取所述网络摄像机的终端标识;匹配模块,用于将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;状态模块,用于根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过。
在本公开的一种示例性实施例中,还包括:流量模块,用于安全防护装置获取网络摄像机和视频监控系统之间的流量数据;报文模块,用于由所述流量数据中提取报文数据;判定模块,用于基于所述报文数据确定所述网络摄像机的安全状态和安全等级;更新模块,用于基于所述网络摄像机和终端标识和所述安全状态、安全等级实时更新所述白名单。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的网络摄像机的安全防护方法、装置、电子设备及计算机可读介质,安全防护装置获取网络摄像机的流量数据;由所述流量数据中提取所述网络摄像机的终端标识;将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过的方式,能够减少安全配置人员的工作量,减少配置文件中的人为错误,提高网络摄像机在网络运行中安全性和健壮性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种网络摄像机的安全防护系统的框图。
图2是根据一示例性实施例示出的一种网络摄像机的安全防护方法的流程图。
图3是根据另一示例性实施例示出的一种网络摄像机的安全防护方法的示意图。
图4是根据另一示例性实施例示出的一种网络摄像机的安全防护方法的流程图。
图5是根据一示例性实施例示出的一种网络摄像机的安全防护装置的框图。
图6是根据另一示例性实施例示出的一种网络摄像机的安全防护装置的框图。
图7是根据一示例性实施例示出的一种电子设备的框图。
图8是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
在现有技术中,在IPC支持GB35114的网络环境里,使用传统防火墙对系统进行安全防护。使用传统防火墙进行IPC终端的安全防护需要大量人力,出现问题无法快速的定位和解决。同时随着网络环境的日益复杂手动配置防火墙识别GB35114很容易出现人为错误和安全防护不全面等问题,致使整个摄像头安全性无法得到保证。
有鉴于现有技术中的瓶颈,本公开提出了一种网络摄像机的安全防护方法,旨在公共安全领域视频监控系统中,通过对IPC的sip报文分析和匹配,解决终端设备的安全防护问题。下面借助于具体的实施例对本公开的内容进行详细的说明。
图1是根据一示例性实施例示出的一种网络摄像机的安全防护系统的框图。
如图1所示,系统架构10可以包括网络摄像机101、102、103,交换机104和安全防护装置105、系统服务器106。交换机104用以在网络摄像机101、102、103和安全防护装置105之间提供通信链路。
网络摄像机101、102、103通过安全防护装置105与系统服务器106交互,以接收或发送消息等。网络摄像机101、102、103为网络摄像机(IP CAMERA),是一种将传统摄像机和网络科技结合,具备网络输出接口,可将网络摄像机接入本地局域网的新一代摄像机。
安全防护装置105可以对网络摄像机101、102、103与系统服务器106之间的数据流量进行分析处理,在满足策略时,安全防护装置105可切断网络摄像机101、102、103与系统服务器106之间的数据流量。
服务器105可以是提供各种服务的服务器,例如对网络摄像机101、102、103所发送的流量数据进行分析的后台管理服务器。后台管理服务器可以对接收到的流量数据进行分析,并将处理结果反馈给管理员。
安全防护装置105可例如安全防护装置获取网络摄像机的流量数据;安全防护装置105可例如由所述流量数据中提取所述网络摄像机的终端标识;安全防护装置105可例如将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;安全防护装置105可例如根据匹配结果确定所述网络摄像机的安全状态;安全防护装置105可例如在所述安全状态为安全时,允许所述流量数据通过。
安全防护装置105还可例如安全防护装置获取网络摄像机和视频监控系统之间的流量数据;安全防护装置105还可例如由所述流量数据中提取报文数据;安全防护装置105还可例如基于所述报文数据确定所述网络摄像机的安全状态和安全等级;安全防护装置105还可例如基于所述网络摄像机和终端标识和所述安全状态、安全等级实时更新所述白名单。
安全防护装置105可以是一个实体的装置,还可例如为多个服务器组成,本公开实施例所提供的网络摄像机的安全防护方法可以由安全防护装置105执行。
图2是根据一示例性实施例示出的一种网络摄像机的安全防护方法的流程图。网络摄像机的安全防护方法20至少包括步骤S202至S210。
如图2所示,在S202中,安全防护装置获取网络摄像机的流量数据。在公共安全领域视频监控系统中,存在大量摄像头终端流量,监听摄像头终端与视频监控系统流量。
在S204中,由所述流量数据中提取所述网络摄像机的终端标识。可为硬件设备号,或者管理用户为其分配的名称等。
在S206中,将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新。通过监听摄像头终端与视频监控系统的sip报文内容和类型进行智能分析和过滤,同时动态更新白名单的终端状态。具体内容将在图4对应的实施例中进行详细描述。
在S208中,根据匹配结果确定所述网络摄像机的安全状态。安全装置通过获取sip协议报文中相应位置的内容,进而识别IPC终端是否支持GB35114;并且实时监测当前终端流量业务运行状况,对其合法流量进行认证后通过,非法流量进行阻断并发送日志告警。
在S210中,在所述安全状态为安全时,允许所述流量数据通过。还可例如,在所述安全状态为不安全时,阻断所述流量数据;生成日志警告信息并发送至所述视频监控系统。
在一个实施例中,还包括:将所述白名单以日志的形式发送至所述视频监控系统。
根据本公开的网络摄像机的安全防护方法,安全防护装置获取网络摄像机的流量数据;由所述流量数据中提取所述网络摄像机的终端标识;将所述终端标识和白名单中预存的终端标识进行匹配;根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过的方式,能够减少安全配置人员的工作量,减少配置文件中的人为错误,提高网络摄像机在网络运行中安全性和健壮性。
本公开的网络摄像机的安全防护方法,通过在安全防护设备中集成开发识别GB35114的功能流程,可以减少前方人员的工作量,并且配置时不易出现人为错误,大大提高了IPC网络运行的安全性和健壮性。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
本公开中的方法,通过监听摄像头终端与视频监控系统的业务交互流量,针对基于UDP协议的sip协议信令,提取UDP报文的数据部分内容与预存sip报文格式进行匹配,完成对sip协议信令的类型识别。根据设备所识别到的sip协议信令类型,来确定安全状态。
GB35114规定sip服务器与IPC之间要身份认证,故新增Authorization字段所对应的值Capability、Unidirection和Bidirection来辅助完成身份的认证。安全装置借此来完成对摄像头终端的GB35114的检测,具体流程如下:
1)IPC向sip服务器发送REGISTER sip请求信令,并使其报文头域中的Authorization字段值为Capability,并携带参数algorithm和keyversion用来描述此终端的安全等级。
2)sip服务器产生随机数R1并返回响应401,响应的消息头域取值为Bidirection/Unidirection。
3)IPC得到401响应产生随机数R2,并将Authorization字段值取为Bidirection/Unidirection向sip服务器发送REGISTER请求。
4)Sip服务器收到IPC发送来的请求,经过验证返回一系列参数完成认证。
根据以上的流程,安全防护装置会根据UDP报文的数据部分,即sip请求信令内容,匹配其中是否包含Authorization字段以及其值是否为Capability、Unidirection或Bidirection来判定sip协议报文是否符合GB35114。
在一个实施例中,在如图3所示的系统中,利用本公开中的方法检测分析的结果如下:
C1->S1:
C1为支持GB35114的终端,它的流量通过安全装置到达S1 sip服务器时,设备会抓取sip报文匹配Authorization字段以及其值。匹配成功后,安全装置会将白名单中此终端的状态修改为“符合GB35114”状态,同时对此IPC的报文数据进行放通。
C1->S2:
C1为支持GB35114的终端,它的流量到达S2 sip服务器期间,没有安全装置进行检测。虽然支持GB35114可以保证此摄像头的信息安全,但无法保证网络接入过程中的信息安全。
C2->S1:
C2为普通IPC,即不支持GB35114的普通终端,它的流量通过安全装置到达S1 sip服务器时,设备抓取其sip报文,但无法匹配到正确的Authorization字段的值。匹配失败后,安全装置会将白名单中此终端的状态修改为“不符合GB35114”状态,同时对此终端的报文数据进行阻断处理,并向终端资产控制中心发送日志告警。
C2->S2:
C2为普通IPC,即不支持GB35114的普通终端,它的流量到达S2 sip服务器期间,没有经过安全装置进行检测。C2既不支持GB35114,无法保证摄像头的设备信息安全,也无法保证网络接入过程中的信息安全,致使整个系统容易受到终端非法接入以及视频数据盗取等攻击。
图4是根据另一示例性实施例示出的一种网络摄像机的安全防护方法的流程图。图4所示的流程40是对图2所示的流程的补充描述。
如图4所示,在S402中,安全防护装置获取网络摄像机和视频监控系统之间的流量数据。安全防护装置设置在网络摄像机和视频监控系统服务器之间。
在S404中,由所述流量数据中提取报文数据。包括:由所述流量数据中提取UDP报文的报文数据。更进一步的,可提取UDP协议报文中的SIP协议信令。
SIP:是由IETF(Internet Engineering Task Force,因特网工程任务组)制定的多媒体通信协议。它是一个基于文本的应用层控制协议,用于创建、修改和释放一个或多个参与者的会话。
在S406中,基于所述报文数据确定所述网络摄像机的安全状态和安全等级。所述预设策略,包括:所述sip信令中包含Authorization字段,且Authorization字段中的值为Capability或Unidirection或Bidirection。
在一个实施例中,可例如,提取所述报文数据中sip信令;在所述sip信令不满足预设策略时,确定所述网络摄像机的安全状态为不安全。
在一个实施例中,还可例如,在所述sip信令满足预设策略时,将所述报文数据和多个关键字进行匹配;根据匹配结果确定所述网络摄像机的安全状态和安全等级。
更具体的,在匹配结果中包含RegisterWay时,确定所述网络摄像机的安全状态为安全且安全等级为A级;在匹配结果中包含SignatureControl时,确定所述网络摄像机的安全状态为安全且安全等级为B级;在匹配结果中包含EncryptionControl时,确定所述网络摄像机的安全状态为安全且安全等级为C级;在匹配结果中包含ClientVKEYNotify时,确定所述网络摄像机的安全状态为安全且安全等级为C级。
安全装置根据经流本设备的UDP报文的数据部分,匹配数据内容中是否包含安全装置预设的关键字来判定此终端的安全等级。
其中,数据部分若包含”<RegisterWay>3<”关键字的sip协议报文,则判定此IPC终端安全等级为A级,拥有基于数字证书与管理平台双向设备认证能力;数据部分若包含“SignatureControl”关键字的sip协议报文,则判定此IPC终端安全等级为B级,在A级能力的基础上额外拥有基于数字证书的视频数据签名能力;数据部分包含“EncryptionControl”或者
“ClientVKEYNotify”关键字的sip协议报文,则判定此IPC终端安全等级为C级,在B级能力的基础上额外拥有视频加密能力。
更具体的,不同的安全等级代表不同的含义,表1为GB35114针对不同安全等级的判定标准:
表1终端设备安全等级标准
在S408中,基于所述网络摄像机和终端标识和所述安全状态、安全等级实时更新所述白名单。
摄像头终端安全等级判定完毕后,安全装置会动态更新本设备白名单中此IPC终端的安全等级字段并以发送日志的形式将判定结果通知终端资产控制中心。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图5是根据一示例性实施例示出的一种网络摄像机的安全防护装置的框图。如图5所示,网络摄像机的安全防护装置50包括:数据模块502,标识模块504,匹配模块506,状态模块508。
数据模块502用于安全防护装置获取网络摄像机的流量数据;
标识模块504用于由所述流量数据中提取所述网络摄像机的终端标识;
匹配模块506用于将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;
状态模块508用于根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过。
图6是根据另一示例性实施例示出的一种网络摄像机的安全防护装置的框图。如图6所示,网络摄像机的安全防护装置60包括:流量模块602,报文模块604,判定模块606,更新模块608。
流量模块602用于安全防护装置获取网络摄像机和视频监控系统之间的流量数据;
报文模块604用于由所述流量数据中提取报文数据;
判定模块606用于基于所述报文数据确定所述网络摄像机的安全状态和安全等级;
更新模块608用于基于所述网络摄像机和终端标识和所述安全状态、安全等级实时更新所述白名单。
根据本公开的网络摄像机的安全防护装置,安全防护装置获取网络摄像机的流量数据;由所述流量数据中提取所述网络摄像机的终端标识;将所述终端标识和白名单中预存的终端标识进行匹配;根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过的方式,能够减少安全配置人员的工作量,减少配置文件中的人为错误,提高网络摄像机在网络运行中安全性和健壮性。
图7是根据一示例性实施例示出的一种电子设备的框图。
下面参照图7来描述根据本公开的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:至少一个处理单元710、至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730、显示单元740等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元710执行,使得所述处理单元710执行本说明书中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元710可以执行如图2,图4中所示的步骤。
所述存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
所述存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备700’(例如键盘、指向设备、蓝牙设备等)通信,使得用户能与该电子设备700交互的设备通信,和/或该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器760可以通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图8所示,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:安全防护装置获取网络摄像机的流量数据;由所述流量数据中提取所述网络摄像机的终端标识;将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (11)
1.一种网络摄像机的安全防护方法,可用于安全防护装置,其特征在于,包括:
安全防护装置获取网络摄像机的流量数据;
由所述流量数据中提取所述网络摄像机的终端标识;
将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;
根据匹配结果确定所述网络摄像机的安全状态;
在所述安全状态为安全时,允许所述流量数据通过。
2.如权利要求1所述的方法,其特征在于,还包括:
安全防护装置获取网络摄像机和视频监控系统之间的流量数据;
由所述流量数据中提取报文数据;
基于所述报文数据确定所述网络摄像机的安全状态和安全等级;
基于所述网络摄像机和终端标识和所述安全状态、安全等级实时更新所述白名单。
3.如权利要求2所述的方法,其特征在于,由所述流量数据中提取报文数据,包括:
由所述流量数据中提取UDP报文的报文数据。
4.如权利要求2所述的方法,其特征在于,基于所述报文数据确定所述网络摄像机的安全状态和安全等级,包括:
提取所述报文数据中sip信令;
在所述sip信令不满足预设策略时,确定所述网络摄像机的安全状态为不安全。
5.如权利要求4所述的方法,其特征在于,基于所述报文数据确定所述网络摄像机的安全状态和安全等级,包括:
在所述sip信令满足预设策略时,将所述报文数据和多个关键字进行匹配;
根据匹配结果确定所述网络摄像机的安全状态和安全等级。
6.如权利要求4或5所述的方法,其特征在于,所述预设策略,包括:
所述sip信令中包含Authorization字段,且Authorization字段中的值为Capability或Unidirection或Bidirection。
7.如权利要求5所述的方法,其特征在于,根据匹配结果确定所述网络摄像机的安全状态和安全等级,包括:
在匹配结果中包含RegisterWay时,确定所述网络摄像机的安全状态为安全且安全等级为A级;
在匹配结果中包含SignatureControl时,确定所述网络摄像机的安全状态为安全且安全等级为B级;
在匹配结果中包含EncryptionControl时,确定所述网络摄像机的安全状态为安全且安全等级为C级;
在匹配结果中包含ClientVKEYNotify时,确定所述网络摄像机的安全状态为安全且安全等级为C级。
8.如权利要求2所述的方法,其特征在于,还包括:
将所述白名单以日志的形式发送至所述视频监控系统。
9.如权利要求1所述的方法,其特征在于,包括:
在所述安全状态为不安全时,阻断所述流量数据;
生成日志警告信息并发送至所述视频监控系统。
10.一种网络摄像机的安全防护装置,其特征在于,包括:
数据模块,用于安全防护装置获取网络摄像机的流量数据;
标识模块,用于由所述流量数据中提取所述网络摄像机的终端标识;
匹配模块,用于将所述终端标识和白名单中预存的终端标识进行匹配,所述白名单根据所述安全防护装置对流量数据的分析而进行实时更新;
状态模块,用于根据匹配结果确定所述网络摄像机的安全状态;在所述安全状态为安全时,允许所述流量数据通过。
11.如权利要求10所述的装置,其特征在于,还包括:
流量模块,用于安全防护装置获取网络摄像机和视频监控系统之间的流量数据;
报文模块,用于由所述流量数据中提取报文数据;
判定模块,用于基于所述报文数据确定所述网络摄像机的安全状态和安全等级;
更新模块,用于基于所述网络摄像机和终端标识和所述安全状态、安全等级实时更新所述白名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110080150.8A CN112788045B (zh) | 2021-01-21 | 2021-01-21 | 网络摄像机的安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110080150.8A CN112788045B (zh) | 2021-01-21 | 2021-01-21 | 网络摄像机的安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112788045A true CN112788045A (zh) | 2021-05-11 |
| CN112788045B CN112788045B (zh) | 2023-02-24 |
Family
ID=75757688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110080150.8A Active CN112788045B (zh) | 2021-01-21 | 2021-01-21 | 网络摄像机的安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112788045B (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005295468A (ja) * | 2004-04-06 | 2005-10-20 | Hitachi Hybrid Network Co Ltd | 通信装置及び通信システム |
| CN101483860A (zh) * | 2009-01-23 | 2009-07-15 | 清华大学 | Ims网络中基于sip安全策略等级的协商控制方法 |
| JP2009239525A (ja) * | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
| US7735116B1 (en) * | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
| CN107733858A (zh) * | 2017-09-01 | 2018-02-23 | 北京知道未来信息技术有限公司 | 一种智能保护摄像头信息的监控设备及方法 |
| CN108881814A (zh) * | 2017-08-01 | 2018-11-23 | 北京视联动力国际信息技术有限公司 | 视联网终端与网络摄像头通信的方法、装置以及交互系统 |
| CN109561049A (zh) * | 2017-09-26 | 2019-04-02 | 浙江宇视科技有限公司 | 一种基于监控业务的动态准入方法及装置 |
| CN110572639A (zh) * | 2019-09-30 | 2019-12-13 | 公安部第一研究所 | 一种基于gb35114标准的视频加密解密测评工具及方法 |
| CN110572640A (zh) * | 2019-09-30 | 2019-12-13 | 公安部第一研究所 | 一种基于gb35114标准的视频签名验签测评工具及方法 |
| CN110708336A (zh) * | 2019-10-29 | 2020-01-17 | 杭州迪普科技股份有限公司 | 视频终端的认证方法及装置、电子设备、存储介质 |
| CN110768973A (zh) * | 2019-10-17 | 2020-02-07 | 公安部第一研究所 | 一种基于gb35114标准的信令安全测评系统及方法 |
| CN110912938A (zh) * | 2019-12-24 | 2020-03-24 | 医渡云(北京)技术有限公司 | 入网终端接入验证方法、装置、存储介质及电子设备 |
| CN111277421A (zh) * | 2018-11-16 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种网络摄像机接入安全防护的系统和方法 |
| CN111585957A (zh) * | 2020-04-01 | 2020-08-25 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN112235161A (zh) * | 2020-10-14 | 2021-01-15 | 哈尔滨工程大学 | 一种基于fsm的摄像头网络协议模糊测试方法 |
-
2021
- 2021-01-21 CN CN202110080150.8A patent/CN112788045B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005295468A (ja) * | 2004-04-06 | 2005-10-20 | Hitachi Hybrid Network Co Ltd | 通信装置及び通信システム |
| US7735116B1 (en) * | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
| JP2009239525A (ja) * | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
| CN101483860A (zh) * | 2009-01-23 | 2009-07-15 | 清华大学 | Ims网络中基于sip安全策略等级的协商控制方法 |
| CN108881814A (zh) * | 2017-08-01 | 2018-11-23 | 北京视联动力国际信息技术有限公司 | 视联网终端与网络摄像头通信的方法、装置以及交互系统 |
| CN107733858A (zh) * | 2017-09-01 | 2018-02-23 | 北京知道未来信息技术有限公司 | 一种智能保护摄像头信息的监控设备及方法 |
| CN109561049A (zh) * | 2017-09-26 | 2019-04-02 | 浙江宇视科技有限公司 | 一种基于监控业务的动态准入方法及装置 |
| CN111277421A (zh) * | 2018-11-16 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种网络摄像机接入安全防护的系统和方法 |
| CN110572639A (zh) * | 2019-09-30 | 2019-12-13 | 公安部第一研究所 | 一种基于gb35114标准的视频加密解密测评工具及方法 |
| CN110572640A (zh) * | 2019-09-30 | 2019-12-13 | 公安部第一研究所 | 一种基于gb35114标准的视频签名验签测评工具及方法 |
| CN110768973A (zh) * | 2019-10-17 | 2020-02-07 | 公安部第一研究所 | 一种基于gb35114标准的信令安全测评系统及方法 |
| CN110708336A (zh) * | 2019-10-29 | 2020-01-17 | 杭州迪普科技股份有限公司 | 视频终端的认证方法及装置、电子设备、存储介质 |
| CN110912938A (zh) * | 2019-12-24 | 2020-03-24 | 医渡云(北京)技术有限公司 | 入网终端接入验证方法、装置、存储介质及电子设备 |
| CN111585957A (zh) * | 2020-04-01 | 2020-08-25 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN112235161A (zh) * | 2020-10-14 | 2021-01-15 | 哈尔滨工程大学 | 一种基于fsm的摄像头网络协议模糊测试方法 |
Non-Patent Citations (4)
| Title |
|---|
| 中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会: "公共安全视频监控联网信息安全技术要求", 《HTTP://OPENSTD.SAMR.GOV.CN/BZGK/GB/NEWGBLNFO?HCNO=B7F5589329EF98B32F0EB8ACEC341C81》 * |
| 张巨世,余盈宽: "加强公共安全视频防控系统安全建设", 《中国信息安全》 * |
| 杭州迪普科技股份有限公司: "DPtech DAC 技术白皮书", 《HTTPS://WWW.DPTECH.COM/INDEX.PHP?M=CONTENT&C=INDEX&A=SHOW&CATID=779&ID=52》 * |
| 淳于洋,果伸,邢海波,杨培旭: "针对公安视频专网安全的研究分析", 《通信技术》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112788045B (zh) | 2023-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
| CN101438255B (zh) | 基于应用层消息检查的网络和应用攻击保护 | |
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| CN112073400A (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| CN113542253B (zh) | 一种网络流量检测方法、装置、设备及介质 | |
| EP3871392A1 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| CN114268508B (zh) | 物联网设备安全接入方法、装置、设备及介质 | |
| US20060101261A1 (en) | Security router system and method of authenticating user who connects to the system | |
| CN114598540A (zh) | 访问控制系统、方法、装置及存储介质 | |
| CN114124583B (zh) | 基于零信任的终端控制方法、系统及装置 | |
| CN112615858B (zh) | 物联网设备监控方法、装置与系统 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN112788045B (zh) | 网络摄像机的安全防护方法及装置 | |
| CN116633638A (zh) | 一种增强型身份认证、资源访问控制系统 | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| Li et al. | An efficient intrusion detection and prevention system against SIP malformed messages attacks | |
| CN114866310A (zh) | 一种恶意加密流量检测方法、终端设备及存储介质 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| JP2018098727A (ja) | サービスシステム、通信プログラム、及び通信方法 | |
| CN115801292A (zh) | 访问请求的鉴权方法和装置、存储介质及电子设备 | |
| CN115776517A (zh) | 业务请求处理方法、装置、存储介质及电子设备 | |
| CN112543203B (zh) | 终端接入方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |