一种前端设备的访问控制方法及系统的制作方法
【技术领域】
[0001] 本发明属于通信领域,具体而言,设及一种前端设备的访问控制方法及系统。
【背景技术】
[0002] 大量的前端设备在出厂时的登录密码都是默认的admin,刚开始使用时,前端设备 会提示用户进行该前端设备登录密码的修改,然而,为了便于记忆,用户普遍会将登录密码 修改为弱密码,弱密码包括短密码、常见的密码、系统默认密码,还包括可W被穷举法通过 排列组合破解的密码,运些密码通常由一些可能被用作密码的词组成,如字典里的单词、真 实姓名或与用户名相关的词,运些密码可W被快速破译。采用生日或者宠物的名字作为密 码也是弱密码,因为有可能被熟人轻易猜出。
[0003] 采用弱密码作为设备的登录密码很容易被别人猜到或者暴力破解,不仅本地网络 (运里指一个管理员负责的网络)的用户能登录该前端设备,异地网络(相对于本地网络而 言)的用户也能登录该前端设备。在监控领域,监控前端设备的登录密码为弱密码时,异地 网络的用户容易破解密码获取该监控前端设备的视频码流,从而导致安全风险。
[0004] 现有技术中解决前端设备密码容易破解的方法是通过强制管理员将弱密码修改 为强密码,但该方法在前端设备多的情况下,实施会比较繁琐,且强密码不便于记忆,使得 管理员难W接受。
【发明内容】
[0005] 本发明的目的在于克服现有技术的不足,提供一种前端设备的访问控制方法,W 解决前端设备的登录密码为弱密码时容易被破解的问题。
[0006] 本发明的目的是运样实现的:一种前端设备的访问控制方法,所述前端设备通过 网关设备接入本地网络中,所述方法包括步骤:
[0007] 获取所述前端设备的登录密码并判断登录密码是否为弱密码,若是,则发送弱密 码警告信号给网关设备,接着从网关设备获取本地网络的网段并将该网段存储到白名单 中;
[000引客户端访问所述前端设备时,所述前端设备获取该客户端的网络地址后进行判 断,当客户端的网络地址在白名单存储的网段内时,允许该客户端访问所述前端设备;反 之,禁止该客户端访问所述前端设备。
[0009] 进一步地,网关设备利用0SP刊办议得到LSA信息,通过LSA信息获取本地网络的网 段后将本地网络的网段发送给所述前端设备。
[0010] 进一步地,所述前端设备的登录密码为弱密码时,所述前端设备则发送包过滤信 号给网关设备,网关设备根据接收到的包过滤信号禁止所述前端设备发送数据给异地网络 的客户端。
[0011] 进一步地,所述包过滤信号为ACL启用信号,网关设备根据接收到的ACL启用信号 在所述前端设备对应的接入接口上启用ACL,所述A化被配置成禁止所述前端设备发送数据 给异地网络的客户端。
[0012] 进一步地,当前端设备判断登录密码由弱密码修改为强密码后,向网关设备发送 弱密码警告结束信号,网关设备在接收到弱密码警告结束信号后,关闭所述前端设备对应 的接入接口上已启用的ACL。
[0013] 进一步地,当前端设备判断其登录密码由弱密码修改为强密码后,向网关设备发 送弱密码警告结束信号,网关设备在接收到弱密码警告结束信号后,前端设备删除白名单 中存储的本地网络的网段。
[0014] 利用本发明的方法,本发明另外提供了一种前端设备的访问控制系统。
[0015] -种前端设备的访问控制系统,所述前端设备通过网关设备接入本地网络中,所 述系统包括:
[0016] 密码获取模块:获取所述前端设备的登录密码;
[0017] 判断模块:判断所述前端设备的登录密码是否为弱密码;
[0018] 设备网址获取模块:在判断模块判断所述前端设备的登录密码为弱密码后,发送 弱密码警告信号给网关设备,接着从网关设备获取本地网络的网段;
[0019] 白名单存储模块:存储本地网络的网段;
[0020] 客户端访问所述前端设备时,设备网址获取模块获取该客户端的网络地址并进行 判断,当该客户端的网络地址在白名单存储模块存储的网段内时,允许该客户端访问所述 前端设备;否则,禁止该客户端访问所述前端设备。
[0021] 进一步地,网关设备利用0SP刊办议得到LSA信息,通过LSA信息获取本地网络的网 段后将该网段发送给设备网址获取模块。
[0022] 进一步地,所述系统还包括包过滤模块,当判断模块判断所述前端设备的登录密 码为弱密码时,所述包过滤模块发送包过滤信号给网关设备,该网关设备根据接收到的包 过滤信号禁止所述前端设备发送数据给异地网络的客户端。
[0023] 进一步地,所述包过滤信号为ACL启用信号,网关设备根据接收到的ACL启用信号 在所述前端设备对应的接入接口上启用ACL,所述A化被配置成禁止所述前端设备发送数据 给异地网络的客户端。
[0024] 本发明的有益效果:本发明不需要人为的参与,利用前端设备和网关设备之间的 交互,自动生成存储本地网络网段的白名单,仅允许本地网络中的客户端访问该前端设备, 禁止异地网络中的客户端访问该前端设备,从而防止异地网络的客户端登录前端设备获取 媒体数据流。
[0025] 同时,通过网关设备设置包过滤模块,在判断前端设备登录密码为弱密码时,利用 包过滤模块禁止该前端设备发送数据给异地网络的客户端,运样即使异地网络的客户端破 解了前端设备的登录密码,成功地访问该前端设备,在判断客户端的网络地址属于异地网 络网段时,网关设备启用包过滤模块,禁止该前端设备发送媒体流数据给异地网络的客户 端,进而防止异地网络的客户端通过其他方式获取到该前端设备中的媒体流数据。
[00%] 利用网关设备通过0SPF获取LSA信息来判断哪些网络是本地网络,哪些网络是异 地网络,使得前端能自动获取本地网络的网段并添加到白名单中,不需要要人为手动添加, 访问控制过程更加智能化。
【附图说明】
[0027] 图1为本发明实施例监控网络组网示意图;
[0028] 图2为本发明实施例的前端设备访问控制方法的流程图;
[0029] 图3为本发明实施例1P权限配置示意图;
[0030] 图4为本发明实施例1P权限配置示意图。
【具体实施方式】
[0031] 下面结合附图并通过具体实施例对本发明作进一步详述,W下实施例只是描述性 的,不是限定性的,不能W此限定本发明的保护范围。
[0032] 本发明的一种前端设备的访问控制方法及系统,应用于监控领域。参见图1,监控 网络根据管理员的管理范围将监控网络划分为多个区域,其中,相同区域的网络由同一管 理员负责管理,不同区域的网络由不同管理员分别管理。每个区域的管理员负责本网络的 网络设备、监控设备的维护和配置工作。在每个区域的内部运行IGP协议(Interior Gateway Protocol,内部网关协议),各区域之间进行路由的相互引入达到全网路由的互 通,从而达到各个区域之间互访的需求。W内部网关协议中的0SPF协议(Open化ortest 化th First,开放最短路径优先)为例,各个路由器之间通过0SPF协议交互获得路由信息, 其中,引入的外部网络路由是通过5类LSA化ink-state Advedisement,链路状态广播)进 行发布的,而本区域内部的网络路由都是通过1、2和3类LSA进行发布的。即本区域内的各个 路由器之间通过0SP刊办议得到各自的1类、2类和3类LSA信息,本区域的路由器与外部区域 的路由器通过0SPF协议得到各自的5类LSA信息。
[0033] LSA包括设备的IP地址、子网掩码、网络类型、Cost值等信息,0SPF路由器之间交换 的并不是路由表,而是LSA,0SPF通过获得网络中所有的链路状态信息,从而计算出到达每 个目标精确的网络路径。
[0034] 其中,1类LSA是路由器LSA(Router LSA),每一台路由器都会产生路由器LSA通告。 运个最基本的LSA通告列出了路由器所有的链路或接口,并指明了它们的状态和沿每条链 路方向出站的代价,W及该链路上所有已知的0SPF邻居。
[0035] 2类LSA是网络LSA(化twork LSA),列出了所有与之相连的路由器,包括指定路由 器本身。2类LSA描述本0SPF区域内部的网络信息。
[0036] 3类LSA是网络汇总LSA(化twork Summary LSA),是由区域边界路由器始发的,区 域边界路由器将发送网络汇总LSA到一个区域,用来通告该区域外部的目的地址。3类LSA描 述其他0SPF区域的网络信息。
[0037] 5类LSA是自治系统外部LSA(Autonomous System External LSA),或者称为外部 LSA化xternal LSA),用来通告到达0SPF自治系统外部的目的地或者0SPF自治系统外部的 缺省路由的LSA"5类LSA描述引入的外部路由网络信息。
[0038] 本实施例中,前端设备(运里为IPC,即网络摄像机)通过网线连接网关设备,从而 使得该前端设备通过该网关设备接入到本地网络中,并通过该网关设备与外界设备进行通 信。首先通过管理员人为地对该前端设备进行网络地址的配置,包括该前端设备的IP地址 和网关地址。其中,管理该前端设备的管理员负责的网络区域为本地网络,而由其他管理员 负责的网络区域则为异地网络。
[0039] 在使用时,为了安全考虑,一般都会给前端设备设置一个统一的登录密码,在多个 客户端访问该前端设备时,需要输入正确的登录密码才能访问该前端设备。为了防止前端 设备的登录密码容易破解,异地网络用户非法访问该前端设备获取媒体流数据,参见图2, 本实施例的前端设备的访问控制方法步骤如下:
[0040] 通过前端设备获取该前端设备的登录密码并判断是否为弱密码,若登录密码为弱 密码,该前端设备则向相应的网关设备(即将该前端设备接入到本地网络的网关设备)发送 携带弱密码警告信号的报文。其中,弱密码的判断规则可根据需要来设置,在本实施例中, 将短密码(例如密码长度小于6位)、常见密码(例如12%56789、abcdef等)、系统默认密码 (例如admin)、可W被穷举法通过排列组合破解的密码(由一些可能被用作密码的词组成, 如字典里的单词、真实姓名或与用户名相关的词等组成的密码)、该前端设备用户的生日和 宠物的名字均当作弱密码。
[0041] 网关设备可W为路由器或交换机,在本实施例中,选择交换机作为前端设备接入 本地网络的网关设备。弱密码警告信号是通过私有定制的XML报文来传递的。