一種視頻監(jiān)控系統(tǒng)安全準(zhǔn)入方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及視頻監(jiān)控技術(shù)領(lǐng)域���,尤其涉及視頻監(jiān)控系統(tǒng)中的一種視頻監(jiān)控系統(tǒng)安全準(zhǔn)入方法及裝置�����。
【背景技術(shù)】
[0002]視頻監(jiān)控是安全防范系統(tǒng)的重要組成部分��,視頻監(jiān)控以其直觀��、準(zhǔn)確����、及時(shí)和信息內(nèi)容豐富而廣泛應(yīng)用于許多場(chǎng)合����。近年來(lái),隨著計(jì)算機(jī)�、網(wǎng)絡(luò)以及圖像處理、傳輸技術(shù)的飛速發(fā)展���,視頻監(jiān)控的普及化趨勢(shì)越來(lái)越明顯�。目前視頻監(jiān)控系統(tǒng)的前端設(shè)備已經(jīng)部署在城市的各個(gè)角落�����,很多前端設(shè)備需要部署在道路兩旁���、山頂�、樓頂?shù)鹊胤?,這就要求用戶的IP網(wǎng)絡(luò)同樣延伸到城市的各個(gè)角落。
[0003]由于用戶的IP網(wǎng)絡(luò)延伸到城市的各個(gè)角落�����,IP網(wǎng)絡(luò)端口的安全性就很難進(jìn)行管理�,為了防止黑客通過(guò)部署在路邊的接入端口訪問(wèn)用戶網(wǎng)絡(luò),威脅用戶網(wǎng)絡(luò)的安全��,用戶就必須對(duì)接入的終端進(jìn)行各種身份認(rèn)證���、訪問(wèn)認(rèn)證����。
[0004]現(xiàn)有技術(shù)很多前端設(shè)備采用802.lx進(jìn)行身份認(rèn)證,只有認(rèn)證成功的設(shè)備才能接入����。然而很多前端設(shè)備IPC不支持802.1X,無(wú)法要求所有的IPC都通過(guò)802.1X來(lái)進(jìn)行認(rèn)證���。另夕卜IPC在通過(guò)802.lx認(rèn)證后��,接入設(shè)備對(duì)IPC的任何數(shù)據(jù)都不再進(jìn)行控制�����,如果IPC中病毒后再接入�,將會(huì)對(duì)整網(wǎng)帶來(lái)威脅����。
[0005]現(xiàn)有技術(shù)的另一種方案是采用接入設(shè)備根據(jù)IPC的控制報(bào)文、媒體流報(bào)文進(jìn)行ACL過(guò)濾�,對(duì)于非控制報(bào)文、媒體流報(bào)文的端口號(hào)報(bào)文進(jìn)行丟棄����。然而由于前端設(shè)備IPC支持多種協(xié)議類型,譬如國(guó)標(biāo)�����、0NVIF��、DB33�����、企業(yè)私有協(xié)議���、SDK調(diào)用等等�����,前端設(shè)備協(xié)議的多樣性意味著接入設(shè)備需要做定制開(kāi)發(fā)�����,對(duì)各種協(xié)議進(jìn)行區(qū)分認(rèn)知�,對(duì)接入設(shè)備的要求較高����。同時(shí)該方案在媒體流端口放開(kāi)后�����,攻擊設(shè)備依然可以通過(guò)打入大量的媒體流報(bào)文數(shù)據(jù)對(duì)網(wǎng)絡(luò)形成威脅���,無(wú)法徹底消除安全威脅。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是提供一種視頻監(jiān)控系統(tǒng)安全準(zhǔn)入方法及裝置�,對(duì)前端設(shè)備的接入進(jìn)行控制,消除非法入侵帶來(lái)的安全隱患��。
[0007]為了實(shí)現(xiàn)上述目的���,本發(fā)明技術(shù)方案如下:
[0008]—種視頻監(jiān)控系統(tǒng)安全準(zhǔn)入方法�����,應(yīng)用于接入前端設(shè)備的接入交換機(jī)���,所述方法包括:
[0009]接收所接入的設(shè)備發(fā)送的報(bào)文,允許符合事先學(xué)習(xí)到的前端設(shè)備IPC的注冊(cè)報(bào)文通過(guò)�,阻塞其他報(bào)文;
[0010]在監(jiān)測(cè)到所接入的設(shè)備完成整個(gè)注冊(cè)過(guò)程后,進(jìn)入狀態(tài)控制階段���,對(duì)所接入的設(shè)備的報(bào)文進(jìn)行監(jiān)測(cè)�����;
[0011]在接收到符合事先學(xué)習(xí)到的無(wú)流量業(yè)務(wù)模型的報(bào)文時(shí),按照無(wú)流量業(yè)務(wù)控制策略進(jìn)行控制���,在接收到符合事先學(xué)習(xí)到的有流量業(yè)務(wù)模型的報(bào)文時(shí)����,按照有流量業(yè)務(wù)控制策略進(jìn)行控制����。
[0012]進(jìn)一步地,所述方法還包括步驟:
[0013]學(xué)習(xí)前端設(shè)備業(yè)務(wù)狀態(tài)�,保存各業(yè)務(wù)狀態(tài)的業(yè)務(wù)模型。
[0014]具體地��,所述學(xué)習(xí)前端設(shè)備業(yè)務(wù)狀態(tài)�,保存各業(yè)務(wù)狀態(tài)的業(yè)務(wù)模型,包括:
[0015]接入前端設(shè)備�,在感知到接入前端設(shè)備的接口有設(shè)備接入后,判斷該接口是否有進(jìn)行業(yè)務(wù)狀態(tài)學(xué)習(xí)��,如果沒(méi)有則進(jìn)入下一步驟,否則結(jié)束學(xué)習(xí)過(guò)程��;
[0016]獲取該接口所接入的前端設(shè)備的MAC地址��,并將該MAC地址上報(bào)給視頻管理平臺(tái)����,開(kāi)始進(jìn)入臨時(shí)準(zhǔn)入階段并倒計(jì)時(shí);
[0017]在臨時(shí)準(zhǔn)入階段���,對(duì)符合設(shè)定的報(bào)文個(gè)數(shù)和流量的大小的報(bào)文允許通過(guò)�,如果在準(zhǔn)入階段倒計(jì)時(shí)結(jié)束前���,視頻管理平臺(tái)沒(méi)有收到該MAC地址的前端設(shè)備的注冊(cè)報(bào)文��,則通知結(jié)束臨時(shí)準(zhǔn)入階段���,進(jìn)入端口阻塞狀態(tài),阻塞一段時(shí)間后再進(jìn)入臨時(shí)準(zhǔn)入階段��,如果在準(zhǔn)入階段倒計(jì)時(shí)結(jié)束前��,視頻管理平臺(tái)收到該MAC地址的前端設(shè)備注冊(cè)報(bào)文并上線,則通知結(jié)束臨時(shí)準(zhǔn)入階段��,進(jìn)入業(yè)務(wù)狀態(tài)學(xué)習(xí)階段�����;
[0018]進(jìn)入業(yè)務(wù)狀態(tài)學(xué)習(xí)���,學(xué)習(xí)前端設(shè)備的各業(yè)務(wù)狀態(tài)�,并建立對(duì)應(yīng)的業(yè)務(wù)模型����。
[0019]進(jìn)一步地�,所述無(wú)流量業(yè)務(wù)控制策略包括:
[0020]無(wú)流量業(yè)務(wù)報(bào)文的數(shù)量有限,設(shè)置報(bào)文平均數(shù)目以及突發(fā)數(shù)目不得超過(guò)規(guī)定的閾值��;
[0021 ] 無(wú)流量業(yè)務(wù)報(bào)文的交互必須是雙向的��,不允許出現(xiàn)單向連續(xù)發(fā)送超過(guò)規(guī)定數(shù)量以上的報(bào)文�����;
[0022]交互報(bào)文的方向性必須符合業(yè)務(wù)學(xué)習(xí)階段學(xué)習(xí)到的業(yè)務(wù)報(bào)文方向���;
[0023]進(jìn)一步地�,所述有流量業(yè)務(wù)控制策略包括:
[0024]在流量發(fā)送前,必須有相應(yīng)的控制信令交互����,且控制信令必須是視頻管理平臺(tái)主動(dòng)發(fā)起;
[0025]在接收到媒體流請(qǐng)求報(bào)文之后���,記錄當(dāng)前媒體流通過(guò)狀態(tài)為開(kāi)啟�����,即允許通過(guò)�����;
[0026]在接收到媒體流停止報(bào)文之后�,記錄當(dāng)前媒體流通過(guò)狀態(tài)為禁止�,即不允許通過(guò);
[0027]媒體數(shù)據(jù)流的方向必須符合學(xué)習(xí)階段得到的方向�����;
[0028]單條媒體流數(shù)據(jù)帶寬不得超過(guò)該通道的最大媒體流帶寬����;
[0029]同一種媒體流數(shù)量不得超過(guò)一條�;
[0030]在接收到業(yè)務(wù)停止控制信令后�,阻止該媒體流通過(guò)。
[0031]本發(fā)明還提出了一種視頻監(jiān)控系統(tǒng)安全準(zhǔn)入裝置�,應(yīng)用于接入前端設(shè)備的接入交換機(jī),所述裝置包括:
[0032]接入管理模塊�,用于接收所接入的設(shè)備發(fā)送的報(bào)文,允許符合事先學(xué)習(xí)到的前端設(shè)備IPC的注冊(cè)報(bào)文通過(guò)�,阻塞其他報(bào)文;
[0033]監(jiān)測(cè)模塊���,用于在監(jiān)測(cè)到所接入的設(shè)備完成整個(gè)注冊(cè)過(guò)程后�,進(jìn)入狀態(tài)控制階段��,對(duì)所接入的設(shè)備的報(bào)文進(jìn)行監(jiān)測(cè)��;
[0034]控制模塊�,用于在接收到符合事先學(xué)習(xí)到的無(wú)流量業(yè)務(wù)模型的報(bào)文時(shí)���,按照無(wú)流量業(yè)務(wù)控制策略進(jìn)行控制�,在接收到符合事先學(xué)習(xí)到的有流量業(yè)務(wù)模型的報(bào)文時(shí)��,按照有流量業(yè)務(wù)控制策略進(jìn)行控制。
[0035]進(jìn)一步地���,所述裝置還包括學(xué)習(xí)模塊�����,用于學(xué)習(xí)前端設(shè)備業(yè)務(wù)狀態(tài)���,保存各業(yè)務(wù)狀態(tài)的業(yè)務(wù)模型。
[0036]所述學(xué)習(xí)模塊在學(xué)習(xí)前端設(shè)備業(yè)務(wù)狀態(tài)��,保存各業(yè)務(wù)狀態(tài)的業(yè)務(wù)模型時(shí)���,執(zhí)行如下操作:
[0037]接入前端設(shè)備��,在感知到接入前端設(shè)備的接口有設(shè)備接入后�����,判斷該接口是否有進(jìn)行業(yè)務(wù)狀態(tài)學(xué)習(xí)����,如果沒(méi)有則進(jìn)入下一步驟��,否則結(jié)束學(xué)習(xí)過(guò)程;
[0038]獲取該接口所接入的前端設(shè)備的MAC地址�,并將該MAC地址上報(bào)給視頻管理平臺(tái),開(kāi)始進(jìn)入臨時(shí)準(zhǔn)入階段并倒計(jì)時(shí)���;
[0039]在臨時(shí)準(zhǔn)入階段���,對(duì)符合設(shè)定的報(bào)文個(gè)數(shù)和流量的大小的報(bào)文允許通過(guò),如果在準(zhǔn)入階段倒計(jì)時(shí)結(jié)束前��,視頻管理平臺(tái)沒(méi)有收到該MAC地址的前端設(shè)備的注冊(cè)報(bào)文��,則通知結(jié)束臨時(shí)準(zhǔn)入階段����,進(jìn)入端口阻塞狀態(tài),阻塞一段時(shí)間后再進(jìn)入臨時(shí)準(zhǔn)入階段�,如果在準(zhǔn)入階段倒計(jì)時(shí)結(jié)束前,視頻管理平臺(tái)收到該MAC地址的前端設(shè)備注冊(cè)報(bào)文并上線���,則通知結(jié)束臨時(shí)準(zhǔn)入階段,進(jìn)入業(yè)務(wù)狀態(tài)學(xué)習(xí)階段�����;
[0040]進(jìn)入業(yè)務(wù)狀態(tài)學(xué)習(xí),學(xué)習(xí)前端設(shè)備的各業(yè)務(wù)狀態(tài)���,并建立對(duì)應(yīng)的業(yè)務(wù)模型���。
[0041]本發(fā)明提出的一種視頻監(jiān)控系統(tǒng)安全準(zhǔn)入方法及裝置,通過(guò)安全準(zhǔn)入裝置學(xué)習(xí)前端設(shè)備的業(yè)務(wù)狀態(tài)�,并根據(jù)學(xué)習(xí)到的業(yè)務(wù)狀態(tài)建立模型,在接收到輸入的報(bào)文后����,進(jìn)行相應(yīng)的控制,從而實(shí)現(xiàn)對(duì)接入的終端的控制�。本發(fā)明不需要前端設(shè)備IPC支持安全準(zhǔn)入功能,安全準(zhǔn)入裝置也不需要針對(duì)某種特定的協(xié)議�,僅通過(guò)自學(xué)習(xí)就可以進(jìn)行攔截,可以有效識(shí)別終端設(shè)備�,保障了用戶網(wǎng)絡(luò)端口的安全性。
【附圖說(shuō)明】
[0042]圖1為本發(fā)明視頻監(jiān)控系統(tǒng)組網(wǎng)示意圖����;
[0043]圖2為本發(fā)明視頻監(jiān)控系統(tǒng)安全準(zhǔn)入方法流程圖;
[0044]圖3為本發(fā)明安全準(zhǔn)入裝置結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0045]下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明技術(shù)方案做進(jìn)一步詳細(xì)說(shuō)明,以下實(shí)施例不構(gòu)成對(duì)本發(fā)明的限定��。
[0046]本發(fā)明的總體思路是在視頻監(jiān)控系統(tǒng)的前端設(shè)備與用戶的網(wǎng)絡(luò)之間設(shè)置安全準(zhǔn)入機(jī)制����,對(duì)通過(guò)用戶前端端口接入的終端進(jìn)行管控,以阻止非法終端的接入��,保障用戶的網(wǎng)絡(luò)安全���。
[0047]如圖1所示�,視頻監(jiān)控系統(tǒng)包括前端設(shè)備�����、安全準(zhǔn)入裝置�、以及視頻管理平臺(tái)。本實(shí)施例前端設(shè)備為網(wǎng)絡(luò)攝像機(jī)IPC或編碼器��,視頻管理平臺(tái)為視頻監(jiān)控后臺(tái)設(shè)備�,例如包括視頻管理服務(wù)器、媒體服務(wù)器���、存儲(chǔ)設(shè)備和客戶端等����。安全準(zhǔn)入裝置可以是接入交換機(jī)��,也可以是專門(mén)的設(shè)備�,前端設(shè)備通過(guò)安全準(zhǔn)入裝置接入到視頻管理平臺(tái)。
[0048]如圖2所示���,本實(shí)施例一種視頻監(jiān)控系統(tǒng)安全準(zhǔn)入方法��,接入前端設(shè)備的接入交換機(jī)�����,該安全準(zhǔn)入方法包括如下步驟:
[0049]步驟S1�、接收所接入的設(shè)備發(fā)送的報(bào)文�����,允許符合事先學(xué)習(xí)到的前端設(shè)備的注冊(cè)報(bào)文通過(guò)���,阻塞其他報(bào)文�。
[0050]步驟S2、在監(jiān)測(cè)到所接入的設(shè)備完成整個(gè)注冊(cè)過(guò)程后�,進(jìn)入狀態(tài)控制階段,對(duì)所接入的設(shè)備的報(bào)文進(jìn)行監(jiān)測(cè)��。
[0051]步驟