一种监控设备自适应兼容方法及装置与流程

本发明属于设备兼容
技术领域：
，尤其涉及一种监控设备自适应兼容方法及装置。
背景技术：
：视频监控网络中，网络硬盘录像机NVR与网络摄像机IPC需要配合使用。而在NVR与IPC未同步升级安全防范功能的情况下，安全防范等级较低的NVR访问安全防范等级较高时IPC时，会出现安全防范功能不兼容的问题而不能访问IPC。导致出现这种NVR与IPC产品的安全特性不同步现象的原因很多，例如市场中客户购买产品时只关注NVR与IPC之间基本功能的配套使用问题，未关心网络安全的配套使用关系。在出现NVR与IPC产品的安全特性不同步时，对于老版本NVR，安全防范等级较低，访问安全防范等级较高的IPC，若IPC工作在安全模式则无法与NVR互通，若IPC工作在不安全模式则容易受到来自互联网的黑客攻击。对待上述情况，目前采用的一种可行的方案是IPC默认工作在安全模式，当收到来自NVR的访问，判断NVR的访问模式，若为不安全模式，则针对它工作在不安全模式，若为安全模式则针对它工作在安全模式。在这个方式下风险依然存在，远程访问者可以模拟NVR的不安全访问模式，从而驱使IPC工作在不安全模式，进而对它进行攻击。黑客可以仿冒NVR的行为，从而变成了一个新的后门。技术实现要素：本发明的目的是提供一种监控设备自适应兼容方法及装置，用于解决现有技术在监控设备相互之间安全模式不兼容时，造成的网络风险问题。为了实现上述目的，本发明技术方案如下：一种监控设备自适应兼容方法，用于实现第一设备对第二设备的兼容，所述监控设备自适应兼容方法，包括：第一设备在接收到第二设备的访问时，根据该访问的源地址，在本地保存的访问记录表中查找是否有对应的访问记录，如果有则判断为熟悉的访问，否则判断为陌生的访问；第一设备对于陌生的访问，在访问记录表中增加一条对应的访问记录，预置与该访问的交互模式为兼容模式，并进行响应；随后针对该访问的源地址进行实时监听，如果后续未在指定时间内收到第二设备的任何一个业务指令的请求，则将对应的访问记录置为无效访问，保存在访问记录表；如果后续在指定时间内收到第二设备的任何一个业务指令的请求，并与第二设备进行监控业务能力集交换和验证成功后，将对应的访问记录从访问记录表中删除，如果与第二设备进行监控业务能力集交换和验证失败，则将对应的访问记录置为无效访问，保存在访问记录表；第一设备对于熟悉的访问，配置与该访问的交互模式为非兼容模式，拒绝对该访问进行响应。进一步地，在所述第二设备与第一设备不在同一个二层网络时，所述该访问的源地址包括源IP地址和源MAC地址。所述源MAC地址为第一设备的网关的MAC地址。进一步地，在所述第二设备与第一设备在同一个二层网络时，所述该访问的源地址包括源MAC地址，或即包括源MAC地址也包括源IP地址。所述源MAC地址为第二设备的真实MAC地址。本发明还提出了一种监控设备自适应兼容装置，应用于第一设备，实现第一设备对第二设备的兼容，所述监控设备自适应兼容装置，包括：判断模块，用于在接收到第二设备的访问时，根据该访问的源地址，在本地保存的访问记录表中查找是否有对应的访问记录，如果有则判断为熟悉的访问，否则判断为陌生的访问；第一访问处理模块，用于对于陌生的访问，在访问记录表中增加一条对应的访问记录，预置与该访问的交互模式为兼容模式，并进行响应；随后针对该访问的源地址进行实时监听，如果后续未在指定时间内收到第二设备的任何一个业务指令的请求，则将对应的访问记录置为无效访问，保存在访问记录表；如果后续在指定时间内收到第二设备的任何一个业务指令的请求，并与第二设备进行监控业务能力集交换和验证成功后，将对应的访问记录从访问记录表中删除，如果与第二设备进行监控业务能力集交换和验证失败，则将对应的访问记录置为无效访问，保存在访问记录表；第二访问处理模块，用于对于熟悉的访问，配置与该访问的交互模式为非兼容模式，拒绝对该访问进行响应。本发明提出的一种监控设备自适应兼容方法及装置，用于实现已经是安全版本的第一设备对还未升级到安全版本的第二设备的兼容，通过在第一设备接收第二设备访问时，根据访问的源IP地址和源MAC地址，在访问记录表中查找是否有对应的记录，从而判断是陌生的访问还是熟悉的访问，对于陌生的访问，以兼容模式进行响应，并进一步根据业务的交互判断是否是合法的，合法则删除访问记录，否则保存访问记录。而对于熟悉的访问，则配置为不兼容模式，拒绝对访问的响应。本发明的方法和装置，能够以兼容模式实现对未升级到安全版本的监控设备的兼容，同时还有效防止了来自互联网的黑客攻击，保证了网络安全。附图说明图1为本发明实施例监控网络组网结构图；图2为本发明一种监控设备自适应兼容方法流程图。具体实施方式下面结合附图和实施例对本发明技术方案做进一步详细说明，以下实施例不构成对本发明的限定。图1示出了本技术方案实施例的一种典型网络结构图，组网中的IPC与NVR1在一个二层网络中，IPC的网关为GW1，NVR2、NVR3的网关为GWN，NVRF的网关为GWF。且各个设备的地址信息如表1所示：设备名称设备MAC地址设备接口IPIPC12345678900a192.168.0.2NVR112345678900b192.168.0.3GWI12345678900c192.168.0.1NVR212345678901a192.168.1.2NVR312345678901b192.168.1.3GWN12345678901c192.168.1.1NVRF12345678902a192.168.2.1GWF12345678902b192.168.2.2表1由于NVR2与IPC处于不同的二层的网络中，NVR2访问IPC时，需要通过IPC的网关GW1，将报文访问送达IPC，访问报文的MAC地址头域中的信息经过了路由器GW1的处理，将MAC头域中的原本的源MAC地址修改成访问报文经过的网关地址，当访问报文经过IPC的网关到达IPC时，访问报文的源MAC地址字段信息被IPC的网关修改成了IPC网关的MAC地址。转换后访问报文的MAC地址头域和IP头域信息如表2所示：源AMC目的MAC源IP目的IP12345678900c12345678900a192.168.1.2192.168.0.2表2本实施例一种监控设备自适应兼容方法，将以上述基本组网为例进行说明，如图2所示，第一设备在接收到第二设备的访问时，根据该访问的源地址，在本地保存的访问记录表中查找是否有对应的访问记录，如果有则判断为熟悉的访问，否则判断为陌生的访问；第一设备对于陌生的访问，在访问记录表中增加一条对应的访问记录，预置与该访问的交互模式为兼容模式，并进行响应；随后针对该访问的源地址进行实时监听，如果后续未在指定时间内收到第二设备的任何一个业务指令的请求，则将对应的访问记录置为无效访问，保存在访问记录表；如果后续在指定时间内收到第二设备的任何一个业务指令的请求，并与第二设备进行监控业务能力集交换和验证成功后，将对应的访问记录从访问记录表中删除，如果与第二设备进行监控业务能力集交换和验证失败，则将对应的访问记录置为无效访问，保存在访问记录表；第一设备对于熟悉的访问，配置与该访问的交互模式为非兼容模式，拒绝对该访问进行响应。本实施例以不是安全版本的NVR2访问已经升级成安全版本的IPC为例进行说明，其中IPC为第一设备，NVR2为第二设备。容易理解的是，在监控网络中，也有可能存在NVR已经升级为安全版本，而IPC还是老版本，没有升级为安全版本，这时候以IPC为第二设备，以NVR为第一设备，仍然适用于本发明，这里不再赘述。以下通过几个实施例来进行详细的说明：实施例一、NVR2对IPC的访问。在NVR2访问IPC过程中，IPC以默认的安全级别最高的工作模式进行工作。如果是NVR2初次访问，且访问报文的报文体中的MAC地址信息也未携带关于NVR2本身的MAC的地址，其源MAC已经被修改为IPC网关GW1的MAC地址信息，如表2所示。可见在第二设备与第一设备不在同一个二层网络时，任何第二设备访问第一设备的报文的源MAC地址都是网关GW1的MAC地址，因此无法进行区分。所以在第二设备与第一设备不在同一个二层网络时，需要在访问记录表中记录访问的源IP地址和源MAC地址，以进行区分。此时对IPC来说，IPC能看到的源MAC地址就是转换后的GW1的MAC地址，由于是初次访问，在访问记录表中未查找到对应的访问记录，判断是陌生的访问，初步预置与该访问的交互模式为兼容模式。此时，在IPC的访问记录表中增加一条关于访问方NVR2对IPC的访问记录，其中该记录包含访问方的IP地址、MAC地址等信息。但是此时，IPC并未对NVR2的访问做出任何的响应。访问记录表中的信息如表3所示：表3在表3中，源MAC地址为IPC的网关GW1的MAC地址，源IP地址为NVR2的IP地址。IPC此后对该NVR2的访问进行响应，发送访问成功的消息。此时IPC针对该IP地址和该转换后的MAC地址进行实时监听，如果后续未在指定时间内收到NVR2的监控业务列表中的任何一个业务指令的请求，则之前的访问都为无效访问，且在IPC本地的访问记录表中做对应的标识，将访问记录中的访问有效性标识位置为1，即无效受限访问。访问记录表此时更新为如表4所示：表4NVR2收到响应消息后，因为该访问是针对监控业务流程发起过程的访问，所以NVR2会立即下发下一道监控业务指令。当IPC收到NVR2的下一道监控业务指令后，IPC判断该访问是正常的NVR2登录访问，则立即与NVR2进行监控业务能力集交换和验证。关于NVR与IPC之间的监控业务能力集交换和验证，属于正常的NVR与IPC建立监控业务的标准过程，这里不再赘述。在进行监控业务能力集交换和验证成功后，IPC在本地将NVR2的访问记录删除，则后续该NVR2发起访问后，转换后的源MAC地址和IP地址的组合信息又是一个陌生的访问。此时IPC对NVR2的访问记录表重新恢复到初始状态，即表中无任何访问记录。容易理解的是，如果NVR2为非法的访问，在NVR与IPC之间的监控业务能力集交换和验证失败的情况下，则将访问记录中的访问有效性标识位置为1，即将对应的访问记录置为无效访问，保存在访问记录表中。此后，如果NVR2再次访问IPC，如果NVR2由于一些异常原因中间出现网络掉线，当NVR2重新恢复为在线状态后，NVR2对IPC重新发起访问。IPC收到NVR2的访问请求后，发现NVR2的源MAC(被转换后的AMC地址)为陌生MAC，但是在访问记录表中未记录该NVR2的被转换后的MAC地址信息和IP地址信息，则确认该MAC为陌生的MAC地址。假设在之前的访问过程中NVR2对IPC进行业务存储的配置，在离线后再次访问IPC时，将以存储业务恢复业务为驱动NVR2主动去访问IPC，在进行访问过程中的认证过程与首次相似，但是此时IPC收到NVR2的下一道指令是存储恢复，当收到存储恢复的任务后，校验在IPC本地的监控关系，发现在监控关系业务表中有相关IP地址的存储任务，立即向NVR2发送存储流量，业务快速恢复。而当NVR为非法的访问时，第二次访问的报文被IPC接收后，由于在本地保存的访问记录表中存在对应的访问记录，此时则判断为熟悉的访问，配置与该访问的交互模式为非兼容模式，拒绝对该访问进行响应，从而阻隔了非法的访问。实施例二、对于来自两个以上NVR同时访问IPC的安全控制。NVR3与IPC单独交互的过程与NVR2一样，这里不再赘述。但在NVR2与IPC正常交互过程中，NVR3也同时过来访问IPC时，此时在IPC收到NVR3的访问报文时，发现访问报文中携带的源MAC地址都是IPC网关GW1的MAC地址。所以本技术方案在访问记录表中，需要同时记录源MAC和源IP地址，以区分NVR2与NVR3的访问。此时对于NVR3的初次访问，由于源IP与NVR2不同，在访问记录表中未查找到对应的访问记录，判断是陌生的访问，初步预置与该访问的交互模式为兼容模式。此后，IPC对NVR3的访问进行响应，发送访问成功的消息。IPC针对NVR3的IP地址和转换后的MAC地址进行实时监听，如果后续未在指定时间内收到NVR3的监控业务列表中的任何一个业务指令的请求，则之前的访问都为无效访问，且在IPC本地的访问记录表中做对应的标识，将访问记录中的访问有效性标识位置为1，即无效受限访问。NVR3收到响应消息后，因为该访问是针对监控业务流程发起过程的访问，所以NVR3会立即下发下一道监控业务指令。当IPC收到NVR3的下一道监控业务指令后，IPC判断该访问是正常的NVR3登录访问，则立即与NVR3进行监控业务能力集交换和验证，在进行监控业务能力集交换和验证成功后，IPC在本地将NVR3的访问记录删除。该过程与实施例一类似，这里不再赘述。实施例三、对于NVR仿冒者NVRF的安全控制流程。NVRF与IPC处于不同的二层的网络中，NVRF访问IPC时，需要通过IPC的网关GW1，将报文访问送达IPC，访问报文的MAC地址头域中的信息经过了路由器的处理。将MAC头域中的原本的原MAC地址修改成访问报文经过的网关地址，当访问报文经过IPC的网关到达IPC时，访问报文的源MAC地址字段信息被IPC的网关修改成了IPC网关GW1的MAC地址12345678900c，其源IP为192.168.2.1。对于不是安全版本的NVRF访问已经升级成安全版本的IPC这种情况下，在NVRF访问IPC过程中，IPC以默认的安全级别最高的工作模式进行工作。如果是NVRF初次访问，且访问报文的报文体中的MAC地址信息也未携带关于NVRF本身的MAC的地址，且远端的NVRF的源MAC已经被修改为为IPC网关GW1的MAC地址信息。此时对IPC来说，IPC能看到的MAC地址就是转换后的MAC地址，在IPC的访问信息记录表中未查找到NVRF对应的访问记录，判断为陌生的访问。IPC对陌生的访问，初步预置与该访问的交互模式为兼容模式。此时，在IPC的访问记录表中增加一条关于访问方NVRF对IPC的访问记录，其中该记录包含访问方的IP地址、MAC地址等信息。但是此时，IPC并未对NVRF的访问做出任何的响应。IPC将对NVRF进行响应，发送访问成功的消息。此时IPC针对该IP地址和该转换后的MAC地址进行实时监听，如果后续未在指定时间内收到NVRF的监控业务列表中的任何一个业务指令的请求，则之前的访问都为无效访问，且在IPC本地的访问记录表中做对应的标识。NVRF收到响应消息后，因为该访问并不是针对监控业务流程发起过程的访问，所以NVRF不会立即下发下一道监控业务指令。当IPC一直未收到NVRF的下一道监控业务指令时，IPC判断该访问是非正常的NVRF登录访问，IPC依然要立即与NVRF进行监控业务能力集交换和验证。由于是NVRF，所以验证失败，则将对应的访问记录置为无效访问，保存在访问记录表。IPC在本地将NVRF的访问记录长时间保存在IPC本地，则后续该NVRF发起访问后，转换后的源MAC地址和IP地址的组合信息在IPC本地进行长时间保存。当NVRF由于一些访问异常的原因，并未获取到IPC的实质的信息后，NVRF再次向IPC发起访问请求，IPC收到NVRF的访问请求后，在访问记录表中已经记录了该NVRF的被转换后的MAC地址信息和IP地址，最终IPC判断NVRF的访问为熟悉的访问，IPC针对NVRF的这个请求工作在非兼容模式，拒绝对NVRF的访问请求进行响应，导致NVRF仿冒NVR访问IPC失败。实施例四、NVR与IPC在相同二层网络中的安全控制流程。针对NVR与IPC处于相同二层网络的情况，NVR访问IPC过程中，由于是初次访问到IPC，IPC收到访问请求后，针对报文的MAC地址头域中的源MAC进行分析，发现MAC地址不是IPC网关的MAC地址，且在访问记录表中查找MAC地址时，没有找到相关信息，IPC认为该访问请求为陌生的访问，则针对该IP地址的NVR初步确认交互模式为兼容模式访问。此时，在IPC的访问记录表中增加一条关于访问方NVR对IPC的访问记录，其中该记录包含访问方的IP地址、MAC地址等信息，该条记录中转换后的MAC地址字段记录NVR的真实MAC地址。但是此时，IPC并未对NVR的访问做出任何的响应。需要说明的是，在同一个二层网络中，在访问记录表中可以仅记录源MAC地址，因为此时源MAC地址为第二设备的真实MAC地址，可以区分不同设备的访问。IPC将对NVR进行响应，发送访问成功的消息。IPC针对该IP地址和该转换后的MAC地址进行实时监听，如果后续未在指定时间内收到NVR的监控业务列表中的任何一个业务指令的请求，则之前的访问都为无效访问，且在IPC本地的访问记录表中做对应的标识。IPC此时在等待NVR的监控业务能力集的信息同步，当收到NVR的主动发送的监控业务能力集同步信息后，经过参数校验和安全性校验确认后，对NVR进行正常的响应，确认该访问为正常的访问，可以进行相关的监控业务。同时将IPC本地记录的访问记录删除掉，方便NVR对IPC的二次登陆访问。而如果监控业务能力集交换和校验失败，则将对应的访问记录置为无效访问，保存在访问记录表。IPC在本地将对应的访问记录长时间保存，后续在收到对应的访问时，将判断为熟悉的访问，配置与该访问的交互模式为非兼容模式，拒绝对该访问进行响应。本技术方案通过在第一设备接收第二设备访问时，根据访问的源IP地址和源MAC地址，在访问记录表中查找是否有对应的记录，从而判断是陌生的访问还是熟悉的访问，对于陌生的访问，以兼容模式进行响应，并进一步根据业务的交互判断是否是合法的，合法则删除访问记录，否则保存访问记录。而对于熟悉的访问，则配置为不兼容模式，拒绝对访问的响应。本发明的方法和装置，能够以兼容模式实现对未升级到安全版本的监控设备的兼容，同时还有效防止了来自互联网的黑客攻击，保证了网络安全。与上述方法对应的，本技术方案还给出了一种监控设备自适应兼容装置，应用于第一设备，实现第一设备对第二设备的兼容，所述监控设备自适应兼容装置，包括：判断模块，用于在接收到第二设备的访问时，根据该访问的源地址，在本地保存的访问记录表中查找是否有对应的访问记录，如果有则判断为熟悉的访问，否则判断为陌生的访问；第一访问处理模块，用于对于陌生的访问，在访问记录表中增加一条对应的访问记录，预置与该访问的交互模式为兼容模式，并进行响应；随后针对该访问的源地址进行实时监听，如果后续未在指定时间内收到第二设备的任何一个业务指令的请求，则将对应的访问记录置为无效访问，保存在访问记录表；如果后续在指定时间内收到第二设备的任何一个业务指令的请求，并与第二设备进行监控业务能力集交换和验证成功后，将对应的访问记录从访问记录表中删除，如果与第二设备进行监控业务能力集交换和验证失败，则将对应的访问记录置为无效访问，保存在访问记录表；第二访问处理模块，用于对于熟悉的访问，配置与该访问的交互模式为非兼容模式，拒绝对该访问进行响应。在本实施例中，所述监控设备自适应兼容装置中各模块所实现的操作与上述方法的步骤对应，在上述方法的描述中已经详细阐述了第一设备与第二设备的交互过程，这里不再赘述。以上实施例仅用以说明本发明的技术方案而非对其进行限制，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。当前第1页1 2 3