专利名称:一种使编码设备安全接入监控网络的方法和装置的制作方法
技术领域:
本发明涉及视频监控领域,尤其涉及一种使编码设备安全接入监控网络的方法和装直。
背景技术:
现在监控系统在各行各业中应用起来,并向大联网、大安防的方向发展。网络用户很容易接入监控网络的接入层交换机,如果接入层交换机对接入报文没有比较严格的业务控制,攻击者就有机会肆意攻击监控网络,造成巨大的破坏。针对该问题,现有的一种方案通过在交换机上启用802. Ix或者portal相关认证限制接入层的设备,这种方案一般是将设备的MAC地址或者IP地址信息和用户认证进行绑定,通过认证后允许交换机某个端口接入,或者允许该端口下特定源MAC地址或者IP地址的流量通过。但是该方案存在这样的一个问题通过了认证的端口还可以发送或接收大量的非监控业务流量占用网络带宽,还可以接收网络中的组播报文造成监控视频泄露,还可以对监控网络中的设备进行攻击等。
发明内容
有鉴于此,本发明的目的是提供一种使编码设备安全接入监控网络的方法和装置。为实现上述目的,本发明提供技术方案如下一种使编码设备安全接入监控网络的方法,该方法应用于该监控网络中的监控服务器上,该监控网络还包括与所述编码设备相连的接入交换机,该方法包括以下步骤A、向所述接入交换机下行接入端口下发允许编码设备注册报文通过的第一策略;B、接收编码设备发送的注册报文,根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型,并根据该注册报文中携带的该编码设备的MAC地址查找交换机的MAC地址表以确定该编码设备对应的接入交换机端口信息;向所述确定的接入交换机端口下发允许所述监控标准类型的监控信令报文通过的第二策略;C、对所述编码设备的监控业务需求执行监控业务处理,并获得该监控业务对应监控业务流的端口号信息,向所述编码设备的接入交换机端口下发允许所述端口号的监控业务流通过的第三策略。一种使编码设备安全接入监控网络的装置,该装置应用于该监控网络中的监控服务器上,该监控网络还包括与所述编码设备相连的接入交换机,该装置包括策略下发模块、监控标准确定模块、接入端口确定模块、业务端口号确定模块;其中,策略下发模块,用于向所述接入交换机下行接入端口下发允许编码设备注册报文通过的第一策略;监控标准确定模块,用于在该监控服务器接收编码设备发送的注册报文后根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型;
接入端口确定模块,用于根据该注册报文中携带的该编码设备的MAC地址查找交换机的MAC地址表以确定该编码设备对应的接入交换机端口信息;所述策略下发模块,还用于向所述确定的接入交换机端口下发允许所述监控标准类型的监控信令报文通过的第二策略;业务端口号确定模块,用于在对所述编码设备的监控业务需求执行监控业务处理后获得该监控业务对应监控业务流的端口号信息;所述策略下发模块,还用于向所述编码设备的接入交换机端口下发允许所述端口号的监控业务流通过的第三策略。与现有技术相比,本发明的技术实现了精确控制接入层交换机上的接入策略,允许能够通过的信令和实时流量通过,提高监控网络接入层的安全性。
图I是本发明实施例的一个监控网络示意图。图2是本发明实施例方法流程图。图3是本发明实施例装置逻辑结构图。
具体实施例方式针对背景技术中提到的问题,本发明希望由监控网络中的服务器(监控网络中的服务器后续简称监控服务器)对接入层的交换机进行动态的管理,使其仅通过一些监控服务器认为的合法流量。以下结合附图,详细介绍本发明实施例。图I是本发明实施例的一个监控网络示意图,该监控网络包括监控服务器10、编码设备Ila lld,将编码设备接入该监控网络的接入交换机12A、12B、视频客户端设备13、存储设备14。以下结合该监控网络示意图进行阐述。本实施例提供一种使编码设备安全接入监控网络的方法,参见图2该方法流程图。步骤21、监控服务器向接入交换机下行接入端口下发允许编码设备注册报文通过的策略。监控服务器上配置有其所管理的监控网络中的接入交换机,向这些交换机的下行接入端口下发允许编码设备注册报文通过的策略。如果这些接入交换机作为该监控网络的媒体交换机,则该交换机会向监控服务器发起注册,而监控服务器就可以在收到这些交换机发送的注册报文后再下发上述策略。如果监控服务器不区分接入交换机的上下行端口,则可以向交换机的所有端口下发上述策略。向接入交换机的所有端口下发策略属于向交换机的下行接入端口下发策略的一种实现方式。这里,接入交换机的下行接入端口是和编码设备相连的端口。为了让编码设备作为一种网络终端能在监控网络中和其它监控设备正常通信,可以根据实际情况补充一些策略。比如,如果监控网络中的编码设备不是手动配置IP地址的,则可能还需要下发允许编码设备获取IP地址的DHCP协议报文通过的策略。步骤21对于图I监控网络的实现例子监控服务器10向接入交换机12A和12B的每一个端口下发允许编码设备注册报文通过的ACL规则。该ACL规则中包括允许各类编码设备注册信息通过的规则,如允许UDP报文源端口号为5060的报文通过(源端口号为5060、协议类型为UDP是一种注册报文的特征信息)。由于不同厂商注册报文的特征信息可能不一样,所以该ACL规则需要根据注册报文的实际特征信息来制定。步骤22、监控服务器接收编码设备发送的注册报文,并根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型,还根据该注册报文中携带的该编码设备的MAC地址查找接入交换机的MAC地址表以确定该编码设备对应的接入交换机端口信息;向所述确定的接入交换机端口下发允许所述监控标准类型的监控信令报文通过的策略。编码设备接入监控网络向监控服务器发送注册报文,该注册报文顺利通过编码设备的接入交换机被转发到监控服务器。注册报文中携带有待注册的编码设备使用的监控标准类型,如ONVIF标准,监控国家标准等等。监控服务器收到编码设备的注册报文解析后获知其后续进行监控业务使用的监控标准协议。注册报文中还携带编码设备的MAC地址信息,可以是报文头中携带,也可以是非报文头携带。如果编码设备和监控服务器位于同一二层网络,监控服务器可以直接从注册报文的二层头信息中获知编码设备的MAC地址信息。
·
如果编码设备和监控服务器不在同一二层网络,即编码设备的注册报文需要经过三层转发才能到达监控服务器,则可以在注册报文中增加一字段,添加该编码设备的MAC地址信息。当然,编码设备和监控服务器位于同一二层网络时也可以在注册报文中增加字段填充编码设备的MAC地址。监控服务器解析该注册报文获得编码设备的MAC地址。监控服务器获得了编码设备的MAC地址后将根据该MAC地址来判断其通过哪个交换机的哪个端口接入监控网络。一种优选的方法为监控服务器通过telnet或者SNMP的方式登陆到自身管理的接入交换机查找这些接入交换机的MAC地址表来确定编码设备的接入交换机端口信息。监控服务器向将编码设备接入监控网络的接入交换机的端口下发允许该编码设备对应监控标准类型的监控信令报文通过的策略。监控服务器可以按照一定的顺序登陆自身管理的各个接入交换机进行编码设备MAC地址的查找,直到找到为止。如果查询完自身管理的所有接入交换机的MAC地址表,仍然没有找到编码设备的MAC地址,则产生告警信息通知系统管理员。编码设备在向监控服务器注册的时候,监控服务器将这些注册的编码设备的信息保存在本地。这里可以进一步将编码设备使用的监控标准类型以及接入交换机端口的信息一并进行保存。步骤22对于图I监控网络的实现例子以编码器Ila为例,编码器Ila向监控服务器10发送注册报文,该注册报文为端口号是5060的UDP报文,并且该注册报文携带的监控标准类型为0NVIF,并且报文中填充了自身的MAC地址MACA。该注册报文到达接入交换机12A,接入交换机12A根据端口号5060和类型UDP判断该报文为编码设备的注册报文,遂对该报文进行转发。该注册报文经过IP网络中各网络设备的转发到达监控服务器10。监控服务器10收到该注册报文后解析得到编码器Ila使用的监控标准类型0NVIF,并且获得了该编码设备的MAC地址MAC A。监控服务器10保存有其所管理的接入交换机信息接入交换机12A和12B。监控服务器10自动登陆到接入交换机12A查询该交换机的MAC地址表。接入交换机12A的MAC地址表中存在MAC A对应的出接口为Portl的表项,这样监控服务器10经过查找交换机12A的MAC地址表确定了编码器Ila是通过接入交换机12A的Portl接口接入监控网络的。监控服务器10向接入交换机12A的Portl下发允许ONVIF协议的监控信令报文通过的ACL规则。具体地,如允许UDP、TCP端口号为80,81和554的报文通过,即根据ONVIF标准自身的特征来对应到具体的报文规则。步骤23、根据对编码设备的监控业务需求执行监控业务处理,并获得该监控业务对应监控业务流的端口号信息,向该编码设备的接入交换机端口下发允许上述端口号监控业务流通过的策略。监控业务包括实况点播、语音对讲、视频存储等等。以实况点播为例,视频客户端发送对某一编码设备的实况点播需求,监控服务器向对应的编码设备发送监控信令,以通知该编码设备发送实况视频流给该视频客户端或者进行实况视频流转发的媒体交换服务器。编码设备收到监控服务器的通知后,将反馈发送的实况视频流的属性信息给监控服务器,包括发送TCP或者UDP端口号信息等(由于步骤22中,监控服务器已经根据该编码设备支持的监控标准类型向该编码设备接入的交换机端口下发了允许该监控标准类型的信令报文通过的策略,所以接入交换机在接收到编码设备发送的和监控服务器进行交互的实况点播信令报文后将允许其通过)。类似地,监控服务器将获知视频客户端或媒体交换服务器的TCP或者UDP收流端口号信息。监控服务器在和编码设备的监控信令交互,以及和视频客户端或媒体交换服务器的监控信令交互过程中获得了动态分配的TCP或者UDP的视频流收、发端口号信息。监控服务器根据本地保存的编码设备的接入信息向该编码设备的接入交换机端口下发允许该实况视频流通过的策略,即允许源端口号为发流端口号、目的端口号为收流端口号以及协议类型为TCP或者UDP的流通过。这样,编码设备将点播的实况视频流压缩编码后封装成包含上述端口号信息的IP数据包发送到接入交换机后将被接入交换机顺利地转发出去。由于仅在监控服务器下发允许实况视频流通过的端口号信息后,该端口号的实况视频流才能通过接入交换机,否则将直接被接入交换机拦截。所以网络中的其他攻击流由于没有监控服务器允许其通过的策略下发,所以直接就被接入交换机阻断了。其他监控业务,监控服务器虽然在处理流程上会和实况点播业务有所差别,但类似的都能获得编码设备发送的业务流的端口号信息,比如对于语音对讲业务,将获得语音流的端口号信息;存储业务,将获得存储流的端口号信息。监控服务器获得端口号信息后就可以下发到对应的编码设备的接入交换机上,从而实现对网络中流量的准确控制。步骤23对于图I监控网络的实现例子视频客户端设备13向监控服务器10点播网络摄像机IPClld的实况视频流(监控服务器10确认实况视频流的源IP和目的IP地址,分别为IPClld的IP地址(IPA)和视频客户端设备13的IP地址(IPB),这里认为图I的网络中没有媒体交换服务器MS),监控服务器10经过和IPClld的信令交互,以及和视频客户端13的信令交互获得了动态分配的实况视频流的UDP端口号信息,比如UDP收发端口号分别为30000和60000。监控服务器10向接入交换机12B的接口 Port2下发允许UDP端口号为发送端口号60000、接收端口号为30000的流通过。接入交换机12B的接口 Port2在收到IPClld向视频客户端设备13发送上述端口号的视频流时将对其进行转发。步骤24、当对所述编码设备的监控业务需求结束时,监控服务器收回下发的所述允许所述端口号监控业务流通过的策略。监控服务器作为监控网络的管理者,不但控制着监控业务开始的处理,还管理着监控业务的结束。所以当编码设备不需要再执行监控业务的时候,监控服务器针对该编码设备的接入交换机端口收回之前下发的允许上述端口号监控业务流通过的策略。
步骤24对于图I监控网络的实现例子视频客户端设备13向监控服务器10发送释放网络摄像机IPClld实况视频流的监控信令,监控服务器10 —方面通知IPClld不再发送实况视频流,一方面收回向接入交换机12B的端口 Port2下发的允许UDP端口号为发送端口号60000、接收端口号为30000的流通过的策略。通过这样的方式,监控服务器在确定有监控流量需要发送的时候流量才能被发送,整个监控网络的监控业务在监控服务器的精准控制之下。步骤25、编码设备离线,监控服务器收回前述下发的允许该编码设备对应监控标准类型的监控信令报文通过的策略。编码设备在向监控服务器注册完成后和监控服务器之间进行保活通信,所以无论是编码设备正常离线,还是异常离线,监控服务器均会知道编码设备的状态。在监控服务器确定编码设备离线后,就收回前述下发的允许该编码设备对应监控标准类型的监控信令报文通过的策略。这样,进一步达到了安全控制的目的。 监控服务器作为监控网络的管理者,监控信令/业务的实现都离不开它的管理与调配。本发明正是利用监控服务器管理者的角色,知晓监控网络中业务的开展情况、知晓监控网络中监控设备的状态,能根据自身实时掌握的情况,准确下发相应的策略到供编码设备接入的交换机上,从而实现接入层网络的安全性。基于同样的构思,本发明还提供一种使编码设备安全接入监控网络的装置。该装置应用于该监控网络中的监控服务器上,该监控网络还包括与所述编码设备相连的接入交换机。该装置包括策略下发模块、监控标准确定模块、接入端口确定模块、业务端口号确定模块。策略下发模块,用于向所述接入交换机下行接入端口下发允许编码设备注册报文通过的第一策略。监控标准确定模块,用于在该监控服务器接收编码设备发送的注册报文后根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型。接入端口确定模块,用于根据该注册报文中携带的该编码设备的MAC地址查找接入交换机的MAC地址表以确定该编码设备对应的接入交换机端口信息。所述策略下发模块,还用于向所述确定的接入交换机端口下发允许所述监控标准类型的监控信令报文通过的第二策略。业务端口号确定模块,用于在对所述编码设备的监控业务需求执行监控业务处理后获得该监控业务对应监控业务流的端口号信息。所述策略下发模块,还用于向所述编码设备的接入交换机端口下发允许所述端口号的监控业务流通过的第三策略。该策略下发模块,还用于对所述编码设备的监控业务需求结束时,收回下发的允许所述端口号监控业务流通过的第三策略。该策略下发模块,还用于在该编码设备离线时,收回向该编码设备对应的接入交换机端口下发的所述第二策略。该接入端口确定模块通过telenet方式或者SNMP方式登陆到所述接入交换机查询MAC地址表。该装置还包括告警模块,该告警模块,用于在接入端口确定模块在交换机的MAC地址表中没有查找到该编码设备对应的接入交换机端口信息时,产生告警信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种使编码设备安全接入监控网络的方法,该方法应用于该监控网络中的监控服务器上,该监控网络还包括与所述编码设备相连的接入交换机,其特征在于,该方法包括以下步骤 A、向所述接入交换机下行接入端口下发允许编码设备注册报文通过的第一策略; B、接收编码设备发送的注册报文,根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型,并根据该注册报文中携带的该编码设备的MAC地址查找接入交换机的MAC地址表以确定该编码设备对应的接入交换机端口信息;向所述确定的接入交换机端口下发允许所述监控标准类型的监控信令报文通过的第二策略; C、对所述编码设备的监控业务需求执行监控业务处理,并获得该监控业务对应监控业务流的端口号信息,向所述编码设备的接入交换机端口下发允许所述端口号的监控业务流通过的第三策略。
2.如权利要求I所述的方法,其特征在于,所述方法还包括 D、当对所述编码设备的监控业务需求结束时,监控服务器收回下发的允许所述端口号监控业务流通过的第三策略。
3.如权利要求I所述的方法,其特征在于,所述步骤B还包括 如果该编码设备离线,监控服务器收回向该编码设备对应的接入交换机端口下发的所述第二策略。
4.如权利要求I所述的方法,其特征在于,监控服务器通过telenet方式或者SNMP方式登陆到所述接入交换机查询MAC地址表。
5.如权利要求I所述的方法,其特征在于,如果在交换机的MAC地址表中没有查找到该编码设备对应的接入交换机端口信息,产生告警信息。
6.一种使编码设备安全接入监控网络的装置,该装置应用于该监控网络中的监控服务器上,该监控网络还包括与所述编码设备相连的接入交换机,其特征在于,该装置包括策略下发模块、监控标准确定模块、接入端口确定模块、业务端口号确定模块;其中, 策略下发模块,用于向所述接入交换机下行接入端口下发允许编码设备注册报文通过的第一策略; 监控标准确定模块,用于在该监控服务器接收编码设备发送的注册报文后根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型; 接入端口确定模块,用于根据该注册报文中携带的该编码设备的MAC地址查找接入交换机的MAC地址表以确定该编码设备对应的接入交换机端口信息; 所述策略下发模块,还用于向所述确定的接入交换机端口下发允许所述监控标准类型的监控信令报文通过的第二策略; 业务端口号确定模块,用于在对所述编码设备的监控业务需求执行监控业务处理后获得该监控业务对应监控业务流的端口号信息; 所述策略下发模块,还用于向所述编码设备的接入交换机端口下发允许所述端口号的监控业务流通过的第三策略。
7.如权利要求6所述的装置,其特征在于,所述策略下发模块,还用于对所述编码设备的监控业务需求结束时,收回下发的允许所述端口号监控业务流通过的第三策略。
8.如权利要求6所述的装置,其特征在于,所述策略下发模块,还用于在该编码设备离线时,收回向该编码设备对应的接入交换机端口下发的所述第二策略。
9.如权利要求6所述的装置,其特征在于,所述接入端口确定模块通过telenet方式或者SNMP方式登陆到所述接入交换机查询MAC地址表。
10.如权利要求6所述的装置,其特征在于,该装置还包括告警模块,该告警模块,用于在接入端口确定模块在交换机的MAC地址表中没有查找到该编码设备对应的接入交换机端口信息时,产生告警信息。
全文摘要
本发明提供一种使编码设备安全接入监控网络的方法,包括向接入交换机下行接入端口下发允许编码设备注册报文通过的第一策略;接收编码设备发送的注册报文,根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型,并根据该注册报文中携带的该编码设备的MAC地址查找交换机MAC地址表以确定该编码设备对应的接入端口信息,向接入端口下发允许所述监控标准类型的监控信令报文通过的第二策略;对所述编码设备的监控业务需求执行监控业务处理,并获得该监控业务对应监控业务流的端口号信息,向所述编码设备的接入交换机端口下发允许所述端口号的监控业务流通过的第三策略。本发明实现了监控网络接入层的安全。
文档编号H04N7/18GK102984031SQ201210534908
公开日2013年3月20日 申请日期2012年12月12日 优先权日2012年12月12日
发明者周迪, 杜超华 申请人:浙江宇视科技有限公司