CN114765549A - 一种基于tcp协议的nat环境终端准入视频监控网络的系统和方法 - Google Patents

Abstract

本发明提出了一种基于TCP协议的NAT环境终端准入视频监控网络的系统，应用于局域网内终端通过NAT访问云端视频监控服务器时，根据其身份的合法性对云端服务器是否可以访问做准入管控；本系统包括功能配置模块、告警展示模块、数据库模块、网关通信模块、状态检测模块、报文封装模块、报文解析模块和准入控制模块。本发明只在SYN报文进行标记，在实现局域网终端通过NAT访问云端视频监控网络时的准入作用的同时，可以有效解决视频传输场景逐包标记所带来性能问题以及与私有协议标记冲突问题。

Description

一种基于TCP协议的NAT环境终端准入视频监控网络的系统和 方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于TCP协议的NAT环境终端准入视频监控网络的系统和方法。

缩略语及名词解释：

NAT：NAT(Network Address Translation，网络地址转换)是一种将私有(保留)地址转化为合法的IP地址的转换技术。

TCP：传输控制协议(TCP，Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC 793定义。

SYN：同步序列编号(Synchronize Sequence Numbers)。是TCP建立连接时使用的握手信号。

MTU：最大传输单元(Maximum Transmission Unit，MTU)，是包或帧的最大长度，一般以字节记。

背景技术

随着国家视频监控体系的大力建设，视频监控规模日益增长，而与之配套的视频监控平台整合了一个地区或一个区域的视频监控资源，采用TCP技术能够实现对视频监控的调阅查看，视频监控平台部署在云服务器，其暴露在公网当中存在非法访问的风险。

在相关技术中，通常对视频监控平台进行准入控制，针对访问视频监控平台的IP进行过滤，只有在准入规则内的地址可以访问视频监控平台；但在NAT场景下，局域网用户通过NAT访问视频监控平台，出口IP相同，无法对局域网内的终端做精细准入控制，非法用户只要接入此局域网就可以访问视频监控平台，视频监控平台被非法访问造成视频监控数据泄露的安全问题。

现有技术中，应用于服务器的准入控制方法，实现针对不同的终端预先构建不同的特征信息，通过接收来自终端设备的多个数据包，对数据包进行分析提取包括源IP、目的IP、源端口、目的端口等信息来确定终端设备的特征信息，根据所确定的终端设备的特征信息与预先构建的预定应用的特征模板是否匹配判断终端是否可信，可信准许执行预定操作，不可信禁止执行预定操作来实现终端的准入。该技术虽然实现了对于应用系统的终端准入，但是在NAT场景下由于终端出口IP相同，无法对相同局域网内的终端根据源IP进行准入控制，不能解决本发明场景的问题。

现有技术中，NAT环境下的准入控制方法，通常为NAT环境下的终端接入网络环境的准入控制场景，即在NAT环境中的终端，部分终端允许接入到公网，部分终端禁止接入公网，如图1所示，实现的方法是客户端对所要发送的网络数据包进行逐包标记预设标记信息，准入控制服务器旁路部署方式放置于交换机的镜像口，准入管控服务器接收所有客户端发送给交换机的网络数据包的镜像流数据，并逐包解析校验，判断网络数据包是否包含预定标记实现终端的准入网络控制。

本文所要解决的问题场景，如图2所示，是在NAT环境下，采用TCP传输，与云端视频监控服务器进行视频数据交互时，需要根据用户身份合法性来确定是否可以访问云端视频监控服务器做准入管控，若将现有技术应用到本发明场景会遇到如下问题：一方面，视频监控场景中数据包以视频居多，而由于视频数据量大，并且每帧数据也很大，因此视频数据包按满MTU传输，若采用逐包标记，需要在报文中增加一定长度的信息，导致超过MTU，因此需要客户端侧增加标记并拆包，同时服务器侧组包并去除标记，1造成报文数量大量增长，对转发设备的性能要求提高，成本增加，2造成视频传输时延变长，在实际场景中出现视频卡顿等播放异常问题；另一方面，在视频监控网络中视频传输存在多种私有协议，逐包标记概率性存在与视频数据传输包中原私有标记冲突的情况，造成错检误检，导致阻拦了正常访问的用户，因此现有技术无法满足本文所述环境的使用要求。

发明内容

本发明提出了一种基于TCP协议的NAT环境终端准入视频监控网络的系统，应用于局域网内终端通过NAT访问云端视频监控服务器时，只在SYN报文进行标记，在实现局域网终端通过NAT访问云端视频监控网络时的准入作用的同时，不会产生上述现有技术导致的问题。

本发明所述系统如图3示，包括功能配置模块、告警展示模块、数据库模块、网关通信模块、状态检测模块、报文封装模块、报文解析模块和准入控制模块；其中功能配置模块、告警展示模块、数据库模块、网关通信模块、状态检测模块组成了准入管理系统；报文解析模块、准入控制模块组成了准入控制系统；报文封装模块组成了客户端软件。

1.功能配置模块，部署在网关，负责网页访问进行功能规则的相关配置，如配置准入开关的开启或关闭、准入的源IP范围、准入的防护动作(仅告警或告警+阻断)、标记信息设置、防护的服务器IP等。

2.告警展示模块，部署在网关，负责将准入控制模块上报的告警信息进行统计分析，以数据可视化方式进行告警展示。

3.数据库模块，部署在网关，负责持久化存储功能配置数据以及告警数据，确保系统重启后，无须重新配置功能可以正常运行以及告警数据的正常展示。

4.网关通信模块，部署在网关，负责网关与客户端软件的数据通信，包含心跳保活、接口数据的传输等。

5.状态检测模块，部署在网关，负责定时检测客户端软件最近一次心跳上报时间，如果判断当前时间与上次心跳时间的时间差超过了3个心跳周期，则认为客户端连续3次没有进行心跳上报，判定为相应客户端离线，并通知准入控制模块清除该客户端信息。

6.报文封装模块，部署在客户端，负责对TCP SYN报文进行封装，完成将设置的标记信息、终端局域网IP以及终端识别码组合后计算hash值，标记在TCP SYN报文内的选项字段，并将报文发送到指定IP。

7.报文解析模块，可灵活部署，在客户不能开放云化环境下的网络流量的镜像和路由策略时，可以随准入控制系统部署在视频监控服务器；当可以开放流量镜像和路由策略时，可以随准入控制系统部署在网关；负责接收TCP报文，进行报文解析，提取TCP SYN报文内的选项字段信息并发送到指定模块处理。

8.准入控制模块，可灵活部署，在客户不能开放云化环境下的网络流量的镜像和路由策略时，可以随准入控制系统部署在视频监控服务器；当可以开放流量镜像和路由策略时，可以随准入控制系统部署在网关；负责准入规则的判定，判断报文来源IP是否包含在功能配置模块所设置的源IP范围内，若不在，则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；若在，则进一步验证报文TCP选项信息是否存在，若不存在，则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；若存在，则验证TCP选项信息是否与准入控制模块保存的标记信息一致，一致则放行，不一致则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警。

本发明还提供了一种基于TCP协议的NAT环境终端准入视频监控网络的方法，所述方法采用本发明所述的一种基于TCP协议的NAT环境终端准入视频监控网络的系统，所述系统的准入管理系统、准入控制系统、客户端软件的功能模块随着各自的操作系统启动自启动，客户端软件自动向所述准入管理系统完成注册操作。

所述系统启动后，需要通过功能配置模块配置准入开关、准入的源IP范围、准入的防护动作、标记信息以及防护的服务器IP，配置完成后，配置数据会存储在数据库模块中；客户端软件在系统启动时自启动，并通过网关通信模块自动完成在准入管理系统注册操作，准入管理系统将客户端软件终端识别码在完成注册时响应给客户端，并将预先设定的标记信息、终端局域网IP、终端识别码组合计算后的hash值发送到准入控制模块；客户端软件定时与准入管理系统进行心跳保活，网关通信模块会在客户端软件与准入管理系统进行心跳时通知客户端软件配置信息是否需要更新，如果需要更新则客户端软件通过网关通信模块向准入管理系统请求最新配置信息，同时会识别客户端软件上报的局域网IP的变化并将存储的信息进行修正，每次心跳时终端识别码会重新生成并响应给客户端软件，准入管理系统重新计算标记信息、终端局域网IP以及终端识别码组合计算后的hash值并同步给准入控制模块；同时状态检测模块会定时检查客户端软件在离线状态，一旦检测到客户端软件离线，则会通知准入控制模块将该客户端信息清除；PC终端用户通过网页或者APP访问防护的服务器时，报文封装模块识别出目的IP为防护的服务器的报文，对SYN报文进行封装，将设置的标记信息、终端局域网IP以及终端识别码组合计算后的hash值标记在TCP SYN报文内的TCP选项字段后发送报文解析模块；报文解析模块接收到报文后对报文进行解析，得到TCP选项字段信息并转发到准入控制模块处理；准入控制模块首先判断报文来源IP是否包含在功能配置模块所设置的源IP范围内，若不在，则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；若在，则进一步验证报文TCP选项信息是否存在，若不存在，则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；若存在，则验证TCP选项信息是否与准入控制模块中保存的标记信息一致，一致则放行，不一致则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；触发的告警信息通过网关通信模块上报给准入管理系统，由告警展示摸块对告警信息进行统计分析后，以数据可视化方式进行告警展示。图4所示为准入控制模块校验流程示意图。

具体实施方式：

本发明提供了一种基于TCP协议的NAT环境终端准入视频监控网络的系统和方法，下面对本发明实施例进行说明。

第一实施例，为在无法开放云端网络流量镜像和路由策略的场景，报文解析模块和准入控制模块组成的准入控制系统部署在云端视频监控服务器，准入管理系统部署在网关放置于云端网络入口侧交换机，可以与云端视频监控服务器相互连通，客户端软件部署于NAT内局域网PC，实现对被访问的云端视频监控服务器进行保护，如图5所示，为准入控制系统部署在云端服务器实现准入控制的实施示意图。

本系统所有模块随操作系统启动而启动，启动后配置准入开关的开启或关闭、准入的源IP范围、准入的防护动作、标记信息以及防护的服务器IP；配置数据将数据保存到数据库模块，确保再次重新启动后，无须重新配置，功能正常使用；客户端软件在系统启动时自启动，并自动完成在准入管理系统的注册操作，准入管理系统将客户端软件终端识别码在完成注册时响应给客户端，并将预先设定的标记信息、终端局域网IP以及终端识别码组合计算后的hash值同步给准入控制模块保存；客户端软件通过网关通信模块与网关保持心跳以及接口数据的接收和发送，网关在心跳响应消息中通知客户端软件配置信息是否需要更新，如果需要更新，则客户端软件通过网关通信模块从网关获取最新配置数据，同时生成新的终端识别码响应给客户端软件，并将更新配置后计算好的hash值数据同步给准入控制模块；网关定时检测客户端软件在线状态以及IP变化，发现变化后会将相关信息同步给服务器软件，保证准入控制模块可以及时识别信息变化后的客户端软件的报文，以免阻断正常访问的报文；如图6所示，为客户端软件与准入管理系统交互示意图。

PC终端访问云端视频监控服务器时，客户端软件会识别出目的IP为防护的服务器的报文，将设置的标记信息、终端局域网IP以及终端识别码组合计算后的hash值标记在TCPSYN报文内的选项字段，然后将报文发送到所要访问的云端服务器；准入控制系统的报文解析模块接收TCP报文，并进行报文解析，提取SYN报文内的选项字段信息并发送到准入控制模块；准入控制模块通过判断报文来源IP是否包含在功能配置模块所设置的源IP范围内，以及验证报文TCP选项信息是否存在且与保存的该终端对应的信息一致，实现对终端访问的准入控制，根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；触发的告警信息通过网关通信模块上报给网关，由告警展示摸块对告警信息进行统计分析后，以数据可视化方式进行告警展示。

第二实施例，为在可以开放云端网络流量镜像和路由策略的场景，准入控制系统以及准入管理系统均部署在网关内部，网关部署于云端网络入口侧交换机，可以与云端视频监控服务器相互连通，客户端软件部署于NAT内局域网PC，此实施例报文解析和准入控制均由网关经准入控制系统实现处理，视频监控服务器不必部署准入控制系统，实现对被访问的云端视频监控服务器进行保护，在本实施例中，网关可使用主路串接、旁路策略路由和旁路流量镜像的方式进行部署；如图7所示，为准入控制系统部署在网关实现准入控制的实施示意图。

本系统随操作系统自启动后，完成功能配置，客户端软件向网关完成注册，并获取到配置的标记信息以及终端识别码，网关将针对该客户端的根据标记信息、客户端IP以及终端识别码组合计算后的hash值同步给网关内部的准入控制模块，PC终端访问云端视频监控服务器时，由网关内部的报文解析模块接收解析镜像的网络数据包，并转发给准入控制模块进行准入判断，实现对合法访问的放行，对非法访问根据设置进行阻断或放行，并触发告警。图8所示，为客户端软件与准入控制模块配合实现准入控制示意图。

附图说明

图1为现有技术NAT环境下的终端接入网络环境的准入控制场景

图2为本发明NAT环境下的终端接入云端服务器的准入控制场景

图3为本发明所述的NAT环境终端准入云端服务器的系统功能模块图

图4为本发明所述NAT环境终端准入方法准入控制模块校验流程图

图5为本发明第一实施例所述的准入控制系统部署在云端服务器实现准入控制的实施示意图

图6为本发明第一实施例客户端软件与准入管理系统交互示意图

图7为本发明第二实施例所述的准入控制系统部署在网关实现准入控制的实施示意图

图8本发明所述客户端软件与准入控制模块配合实现准入控制示意图。

Claims (5)

1.本发明提出了一种基于TCP协议的NAT环境终端准入视频监控网络的系统，应用于局域网内终端通过NAT访问云端视频监控服务器时，根据其身份的合法性对云端服务器是否可以访问做准入管控；系统包括功能配置模块、告警展示模块、数据库模块、网关通信模块、状态检测模块、报文封装模块、报文解析模块和准入控制模块；其中功能配置模块、告警展示模块、数据库模块、网关通信模块、状态检测模块组成了准入管理系统；报文解析模块、准入控制模块组成了准入控制系统；报文封装模块组成了客户端软件；

功能配置模块，负责网页访问进行功能规则的相关配置；

告警展示模块，负责将准入控制模块上报的告警信息进行统计分析，以数据可视化方式进行告警展示；

数据库模块，负责持久化存储功能配置数据以及告警数据；

网关通信模块，负责准入管理系统与客户端软件的数据通信，包含心跳保活、接口数据的传输等；

状态检测模块，负责定时检测客户端软件在线状态；

报文封装模块，负责对TCP SYN报文进行封装，并将报文发送到指定IP；

报文解析模块，负责接收TCP报文，进行报文解析，提取TCP SYN报文内的选项字段信息并发送到指定模块处理；

准入控制模块，负责准入规则的判定，对合法访问放行，对非法访问根据设置放行或阻断并告警。

2.如权利要求1所述的基于TCP协议的NAT环境终端准入视频监控网络的系统，其特征在于，该系统的所有模块均随操作系统启动自动启动，并且启动后功能正常使用，保障所有数据包都可以被识别和检测。

3.如权利要求1所述的基于TCP协议的NAT环境终端准入视频监控网络的系统，其特征在于，网关通信模块可以在客户端软件与其进行心跳时，识别客户端IP是否发生变化，并修正存储的信息，同时将新的信息同步给准入控制模块，准入控制模块实时根据可信的客户端信息控制此终端访问放通或者阻断，当用户更换终端登录时，也可以及时更新IP信息以免阻断正常的访问；状态检测模块可以定时根据客户端软件最新心跳的时间与当前时间差是否超过3个跳周期来检测客户端软件在线离线状态，并通知准入控制模块，准入控制模块据此控制此终端访问放通或者阻断。

4.如权利要求1所述的基于TCP协议的NAT环境终端准入视频监控网络的系统，其特征在于，只在SYN报文进行标记，所述标记内容为功能设置的标记信息、终端局域网IP和终端识别码组合计算后的hash值；对网络不会增加压力，同时也可以避免错检误检。

5.一种基于TCP协议的NAT环境终端准入视频监控网络的方法其特征在于采用权利要求1-4所述之基于TCP协议的NAT环境终端准入视频监控网络的系统，所述系统的准入管理系统、准入控制系统、客户端软件的功能模块随着各自的操作系统启动自启动，客户端软件自动向所述准入管理系统完成注册操作；所述系统启动后，需要通过功能配置模块配置准入开关、准入的源IP范围、准入的防护动作、标记信息以及防护的服务器IP，配置完成后，配置数据会存储在数据库模块中；客户端软件在系统启动时自启动，并通过网关通信模块自动完成在准入管理系统的注册操作，准入管理系统将客户端软件终端识别码在完成注册时响应给客户端，并将预先设定的标记信息、终端局域网IP、终端识别码组合计算后的hash值发送到准入控制模块；客户端软件定时与准入管理系统进行心跳保活，网关通信模块会在客户端软件与准入管理系统进行心跳时通知客户端软件配置信息是否需要更新，如果需要更新则客户端软件通过网关通信模块向准入管理系统请求最新配置信息，同时会识别客户端软件上报的局域网IP的变化并将存储的信息进行修正，每次心跳时终端识别码会重新生成并响应给客户端软件，准入管理系统重新计算标记信息、终端局域网IP以及终端识别码组合计算后的hash值并同步给准入控制模块；同时状态检测模块会定时检查客户端软件在离线状态，一旦检测到客户端软件离线，则会通知准入控制模块将该客户端信息清除；PC终端用户通过网页或者APP访问防护的服务器时，报文封装模块识别出目的IP为防护的服务器的报文，对SYN报文进行封装，将设置的标记信息、终端局域网IP以及终端识别码组合计算后的hash值标记在TCP SYN报文内的TCP选项字段后发送报文解析模块；报文解析模块接收到报文后对报文进行解析，得到TCP选项字段信息并转发到准入控制模块处理；准入控制模块首先判断报文来源IP是否包含在功能配置模块所设置的源IP范围内，若不在，则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；若在，则进一步验证报文TCP选项信息是否存在，若不存在，则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；若存在，则验证TCP选项信息是否与准入控制模块中保存的标记信息一致，一致则放行，不一致则根据功能配置模块设置的防护动作进行阻断或放行，并触发告警；触发的告警信息通过网关通信模块上报给准入管理系统，由告警展示摸块对告警信息进行统计分析后，以数据可视化方式进行告警展示。

Images