本发明专利技术公开了一种基于监控业务的动态准入方法及装置,通过监听接入设备发送的初始注册报文,并接收对应的注册响应报文,建立身份白名单;然后监听从身份白名单中IP地址发出的媒体流协商报文,根据call‑id获取五元组信息,建立转发白名单;从而可以对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。本发明专利技术的装置包括注册报文监听模块、媒体流协商报文监听模块和数据报文转发模块。本发明专利技术的方法及装置,根据SIP协议的报文建立安全准入策略,并基于监控业务进行动态控制,与监控业务深入融合,在视频监控系统中部署容易,对接入设备的要求低。
【技术实现步骤摘要】
一种基于监控业务的动态准入方法及装置
本专利技术属于视频监控的安全准入
,尤其涉及一种基于监控业务的动态准入方法及装置。
技术介绍
IP视频监控系统的结构简单,基本上由各种服务器和接入设备组成,布线成本低,尤其多种信号均可在同一网络上传输,同时,新增监控点或客户端都非常方便,只需把相关设备接入IP网络即可,IP系统的开放性也使用户可在任何地方,使用多种方式查看监控视频资料,这为用户带来的便利是传统模拟监控系统无法比拟的。而伴随IP监控的发展,IP系统的开放性是把双刃剑,在为用户带来极大便利的同时也为监控系统带来了极大的隐患。IP监控系统中,视频编码器或者IP摄像机往往就安装在外场前端,视频流将通过光端机等设备传输至监控中心的网络内,即IP系统的信号传输路径是开放的,任何人理论上都可能进入到监控系统的传输网络,也能通过此途径上传病毒文件,此即会给监控网络造成极大的危害,导致系统的崩溃。视频监控专网的攻击来源有90%以上来至于前端网络,所以解决接入设备安全准入的问题是业界的首要任务。目前,接入设备的安全准入方案最常用的是802.1x认证。接入设备IPC如果要接入到网络中,必须首先使用802.1x认证,认证通过后方可接入用户网络。从用户管理、实际应用等方面看,802.1x存在部分不足,主要表现在以下几个方面:1、用户名/密码太多,缺乏易用性。802.1x认证是基于用户名/密码方式的。如果所有的接入设备都使用同一个用户名/密码,泄密方面存在很大的风险。如果所有的接入设备使用独一无二的用户名/密码,在密码管理和前端配置方面带来新的难题。2、前端复杂,很难都支持802.1x。802.1x准入方案需要接入设备、接入层设备都支持。海量接入设备、交换机很难保证可以支持或者通过升级来支持802.1x功能。同时对于部分接入组网,譬如光线路终端OLT+光网络单元ONU的接入方式,无法支持802.1x功能。3、单纯的网络接入,缺乏与监控业务的融合。只要接入设备通过了802.1x认证,即可对整个网络进行任何业务的访问,包括非监控业务,在安全准入方面没有与监控业务进行深度的融合。
技术实现思路
本专利技术的目的是提供一种基于监控业务的动态准入方法及装置,用于解决接入设备的监控身份认证,同时对于合法接入设备所发送的数据进行基于监控业务的检验。为了实现上述目的,本专利技术技术方案如下:一种基于监控业务的动态准入方法,用于实现视频监控系统中接入设备的安全准入,所述基于监控业务的动态准入方法,包括:监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。进一步地,所述将所述接入设备的IP地址加入身份白名单,还包括:根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。进一步地,所述基于监控业务的动态准入方法,还包括:监听身份白名单中IP对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。进一步地,所述将五元组信息加入转发白名单的数据转发表项,还包括:在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据报文时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。进一步地,所述基于监控业务的动态准入方法,还包括:建立包含物联网接入设备对应的端口号和特征字段的物联网白名单;对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,否则直接丢弃。本专利技术还提出了一种基于监控业务的动态准入装置,用于实现视频监控系统中接入设备的安全准入,所述基于监控业务的动态准入装置,包括:注册报文监听模块,用于监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;媒体流协商报文监听模块,用于监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;数据报文转发模块,用于对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。进一步地,所述注册报文监听模块,还用于根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。进一步地,所述注册报文监听模块,还用于监听身份白名单中IP对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。进一步地,所述媒体流协商报文监听模块,还用于在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据报文时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。进一步地,所述基于监控业务的动态准入装置,还包括:物联网数据报文转发模块,用于根据建立的包含物联网接入设备对应的端口号和特征字段的物联网白名单,对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,否则直接丢弃。本专利技术提出的一种基于监控业务的动态准入方法及装置,根据注册报文及其响应报文建立身份白名单,并监听身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项,实现对媒体流数据报文的直接转发。本专利技术根据SIP协议的报文建立安全准入策略,并基于监控业务进行动态控制,与监控业务深入融合,在视频监控系统中部署容易,对接入设备的要求低。附图说明图1为本专利技术一种基于监控业务的动态准入方法流程图;图2为本专利技术一种基于监控业务的动态准入装置结构示意图。具体实施方式下面结合附图和实施例对本专利技术技术方案做进一步详细说明,以下实施例不构成对本专利技术的限定。本实施例以视频监控系统为例来进行说明,在视频监控系统中,接入设备与视频监控系统中的后台服务器如视频管理服务器、媒体管理服务器等在进行交互时,通常采用SIP信令。本专利技术的总体思想就是根据SIP信令建立白名单机制,来实现接入设备的安全准入,视频监控系统中的接入设备通常包括网络摄像机IPC、客户端等。如图1所示,本实施例一种基于监控业务的动态准入方法,包括:步骤S1、监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单。SIP消息是接入设备和后台服务器之间通信的基本信息单元,常用的两类SIP消息为请求消息和响应详细,其中请求消息是用户代理客户端UAC(UserAgentClient)到用户代本文档来自技高网...
【技术保护点】
1.一种基于监控业务的动态准入方法,用于实现视频监控系统中接入设备的安全准入,其特征在于,所述基于监控业务的动态准入方法,包括:监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;监听从身份白名单中IP地址发出的媒体流协商报文,根据call‑id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。
【技术特征摘要】
1.一种基于监控业务的动态准入方法,用于实现视频监控系统中接入设备的安全准入,其特征在于,所述基于监控业务的动态准入方法,包括:监听接入设备发送的初始注册报文,并接收对应的注册响应报文,在确定注册成功后,将所述接入设备的IP地址加入身份白名单;监听从身份白名单中IP地址发出的媒体流协商报文,根据call-id获取五元组信息,将五元组信息加入转发白名单的数据转发表项;对媒体流数据报文进行检查,当媒体流数据报文的五元组信息与转发白名单中的数据转发表项匹配时,转发媒体流数据报文。2.如权利要求1所述的基于监控业务的动态准入方法,其特征在于,所述将所述接入设备的IP地址加入身份白名单,还包括:根据注册响应报文中的保活时间配置所述接入设备的IP地址在身份白名单中的存活时间。3.如权利要求2所述的基于监控业务的动态准入方法,其特征在于,所述基于监控业务的动态准入方法,还包括:监听身份白名单中IP对应的接入设备发送的注册保活报文,在保活正常时,重置所述接入设备的IP地址在身份白名单中的存活时间,否则在存活时间结束时,将所述接入设备的IP地址从身份白名单中删除。4.如权利要求1所述的基于监控业务的动态准入方法,其特征在于,所述将五元组信息加入转发白名单的数据转发表项,还包括:在媒体流连接建立后,启动超时时间倒计时,在超时时间内收到对应媒体流数据报文时重新开始超时时间倒计时,倒计时结束时,将对应的五元组信息从转发白名单的数据转发表项中删除。5.如权利要求1所述的基于监控业务的动态准入方法,其特征在于,所述基于监控业务的动态准入方法,还包括:建立包含物联网接入设备对应的端口号和特征字段的物联网白名单;对来自物联网白名单中端口号的物联网数据报文,允许未携带数据的数据报文通过,对于携带数据的数据报文,允许其包头字段的数据与物联网白名单中特征字段匹配的数据报文通过,否则直接丢弃。6.一种基于监控业务的动态...
【专利技术属性】
技术研发人员:任俊峰,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。