一种分布式终端准入控制方法和装置制造方法及图纸

本申请实施例公开了一种分布式终端准入控制方法和装置，该方法在分布式监控系统的各交换机中分别设置对应的基于业务类型的控制规则，并且基于前端设备的业务类型变化对相应的控制规则进行更新，从而，使各交换机分别根据相应的控制规则，针对自身所连接的前端设备进行业务级的接入控制，对符合控制规则的报文进行正常转发，而对不符合控制规则的报文则进行丢弃，实现终端接入的精确控制，并使各交换机中的控制规则基于前端设备的业务类型变化进行及时更新，避免大量设置控制规则给服务器设备所带来的存储负担。

【技术实现步骤摘要】

本申请涉及监控数据传输领域，特别涉及一种分布式终端准入控制方法和装置。
技术介绍
随着IP(InternetProtocol，网络互联协议)视频监控业务的发展，客户对视频监控系统的安全防护日益重视。通常入侵者首先会使用漏洞扫描工具对目标设备进行端口扫描，端口扫描一般向目标设备的各个知名端口及部分常用服务端口范围连接消息，根据接收到的消息回应类型判断设备是否在使用该端口，然后通过分析提供服务端口漏洞，进一步发起入侵攻击。现有技术中提出了基于控制规则的防御解决方案，使监控系统具备一定的自防御功能，将业务端口自动隐藏，系统中任何前端设备对系统内某设备的业务管理等访问需求，都需要经过控制规则的过滤，通过视频管理服务网服务器预先集中授权，才允许客户端等设备访问目标设备的业务端口，整个系统形成一个闭环的安全业务环境，可以有效消除安全隐患。具体的，在现有技术中，视频管理服务器默认开放针对前端设备的“注册端口”及针对客户端的“登录端口”，只有在终端设备注册成功后，才允许该前段设备的“IP地址”访问视频管理服务器的其他业务端口。控制规则可用iptables下发或业务级代码控制等方式实现，具体说明如下。如图1所示，为现有技术中的一种监控系统的应用场景示意图。在初始状态下，视频管理服务器中生效的控制规则为：本设备目的端口源设备控制行为5060、80所有允许“源设备”访问“本设备目的端口”在IPC1注册成功之后，视频管理服务器记录IPC1的掩码，将自身生效的控制规则变更为允许IPC1访问本设备所有端口，具体如下：相应的，业务服务器记录IPC1的掩码，其所生效的控制规则变更为允许IPC1和视频管理服务器访问本设备所有端口，具体如下：申请人在实现本申请的过程中发现，上述现有的处理方案至少存在如下的问题：视频监控系统中前端设备数量众多，相应的，视频管理服务器等设备中需配置的规则也随之增多，而服务器设备本身支持的过滤规则数量有限，一般都只支持1000条规则，当前端设备的数量超过服务器设备支持的最大规则数量时，会导致服务器设备无法提供正常业务服务。
技术实现思路
本申请实施例提供一种分布式终端准入控制方法和装置，通过在分布式监控系统的各交换机中分别设置对应的基于业务类型的控制规则，使各交换机分别根据相应的控制规则，针对自身所连接的前端设备进行业务级的接入控制，实现终端接入的精确控制，避免大量设置控制规则给服务器设备所带来的存储负担。为了达到上述技术目的，本申请提出了一种分布式终端准入控制方法，应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设备通过交换机接入所述分布式监控系统，所述交换机中配置控制规则，所述方法具体包括：当所述交换机所连接的前端设备启动新的业务时，所述交换机根据所述管理服务器发送的控制规则更新指示对自身所配置的控制规则进行更新，其中，所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息；所述交换机判断接收到的自身所连接的前端设备所发送的所述新的业务的报文的转发信息是否符合更新后的所述控制规则；如果符合，所述交换机将所述业务报文转发给相对应的接口，如果不符合，所述交换机丢弃所述业务报文。优选的，所述交换机中所配置的控制规则的初始内容为：在接收到自身所连接的前端设备所发送的报文中，只允许将注册报文转发给所述管理服务器，其余报文均进行丢弃。优选的，所述交换机所连接的前端设备启动新的业务操作之前，还包括：当交换机所配置的控制规则为初始内容时，所述交换机识别所接收到的自身所连接的前端设备所发送的报文是否为注册报文；如果识别结果为是，所述交换机将自身的网络地址信息，以及自身与所述前端设备相连接的端口信息添加到所述报文中，并将所述报文转发给所述管理服务器，以使所述管理服务器对所述前端设备进行注册，并在注册成功后，保存所述交换机的网络地址信息和所述端口信息；当所述交换机接收到所述管理服务器返回的注册确认指示时，将所述注册确认指示发送给所述前端设备。优选的所述控制规则更新指示的处理过程，具体为：当所述交换机所连接的前端设备启动新的业务时，所述管理服务器确定在所述新的业务中，允许所述前端设备接入的设备的端口；所述管理服务器生成以所述前端设备的网络地址信息作为源地址信息，以所述允许所述前端设备接入的设备的网络地址信息作为目的地址信息，以所述允许所述前端设备接入的设备端口的端口信息作为目的端口信息的控制规则项；所述管理服务器根据所述前端设备所对应的交换机的网络地址信息，向所述交换机发送携带了所述控制规则项的控制规则更新指示，以使所述交换机对自身控制规则中与所述前端设备相连接的端口相对应的内容进行更新。优选的，所述方法还包括：当所述交换机所连接的前端设备结束业务时，所述交换机根据所述管理服务器发送的控制规则删除指示，在自身所配置的控制规则中，将与被结束的业务相对应的控制规则内容进行删除。另一方面，本申请实施例还提出了一种交换机，应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设备通过交换机接入所述分布式监控系统，所述交换机中配置控制规则，所述交换机具体包括：通信模块，用于与所述交换机所连接的前端设备，以及所述管理服务器进行通信；管理模块，用于在所述交换机所连接的前端设备启动新的业务时，根据所述通信模块所接收到的所述管理服务器发送的控制规则更新指示对所述交换机当前所配置的控制规则进行更新，其中，所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息；判断模块，用于判断所述通信模块所接收到的所述交换机所连接的前端设备所发送的所述新的业务的报文的转发信息，是否符合所述管理模块更新后的所述控制规则；处理模块，用于在所述判断模块的判断结果为符合时，通知通信模块将所述业务报文转发给相对应的接口，或，在所述判断模块的判断结果为不符合时，丢弃所述业务报文。优选的，所述交换机中所配置的控制规则的初始内容为：在接收到自身所连接的前端设备所发送的报文中，只允许将注册报文转发给所述管理服务器，其余报文均进行丢弃。优选的，所述判断模块，还用于当所述交换机所配置的控制规则为初始内容时，识别所述通信模块所接收到的自身所连接的前端设备所发送的报文是否为注册报文；所述通信模块，还用于在所述判断模块的识别结果为是时，将所述交换机的网络地址信息，以及所述交换机与所述前端设备相连接的端口信息添加到所述报文中，并将所述报文转发给所述管理服务器，以使所述管理服务器对所述前端设备进行注册，并在注册成功后，保存所述交换机的网络地址信息和所述端口信息，并且，在接收到所述管理服务器返回的注册确认指示时，将所述注册确认指示发送给所述前端设备。优选的，所述控制规则更新指示的处理过程，具体为：当所述交换机所连接的前端设备启动新的业务时，所述管理服务器确定在所述新的业务中，允许所述前端设备接入的设备的端口；所述管理服务器生成以所述前端设备的网络地址信息作为源地址信息，以所述允许所述前端设备接入的设备的网络地址信息作为目的地址信息，以所述允许所述前端设备接入的设备端口的端口信息作为目的端口信息的控制规则项；所述管理服务器根据所述前端设备所对应的交换机的网络地址信息，向所述交本文档来自技高网...

【技术保护点】
一种分布式终端准入控制方法，其特征在于，应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设备通过交换机接入所述分布式监控系统，所述交换机中配置控制规则，所述方法具体包括：当所述交换机所连接的前端设备启动新的业务时，所述交换机根据所述管理服务器发送的控制规则更新指示对自身所配置的控制规则进行更新，其中，所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息；所述交换机判断接收到的自身所连接的前端设备所发送的所述新的业务的报文的转发信息是否符合更新后的所述控制规则；如果符合，所述交换机将所述业务报文转发给相对应的接口，如果不符合，所述交换机丢弃所述业务报文。

【技术特征摘要】
1.一种分布式终端准入控制方法，其特征在于，应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设备通过交换机接入所述分布式监控系统，所述交换机中配置控制规则，所述方法具体包括：当所述交换机所连接的前端设备启动新的业务时，所述交换机根据所述管理服务器发送的控制规则更新指示对自身所配置的控制规则进行更新，其中，所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息；所述交换机判断接收到的自身所连接的前端设备所发送的所述新的业务的报文的转发信息是否符合更新后的所述控制规则；如果符合，所述交换机将所述业务报文转发给相对应的接口，如果不符合，所述交换机丢弃所述业务报文。2.如权利要求1所述的方法，其特征在于，所述交换机中所配置的控制规则的初始内容为：在接收到自身所连接的前端设备所发送的报文中，只允许将注册报文转发给所述管理服务器，其余报文均进行丢弃。3.如权利要求2所述的方法，其特征在于，所述交换机所连接的前端设备启动新的业务操作之前，还包括：当交换机所配置的控制规则为初始内容时，所述交换机识别所接收到的自身所连接的前端设备所发送的报文是否为注册报文；如果识别结果为是，所述交换机将自身的网络地址信息，以及自身与所述前端设备相连接的端口信息添加到所述报文中，并将所述报文转发给所述管理服务器，以使所述管理服务器对所述前端设备进行注册，并在注册成功后，保存所述交换机的网络地址信息和所述端口信息；当所述交换机接收到所述管理服务器返回的注册确认指示时，将所述注册确认指示发送给所述前端设备。4.如权利要求3所述的方法，其特征在于，所述控制规则更新指示的处理过程，具体为：当所述交换机所连接的前端设备启动新的业务时，所述管理服务器确定在所述新的业务中，允许所述前端设备接入的设备，以及允许所述前端设备接入的设备端口；所述管理服务器生成以所述前端设备的网络地址信息作为源地址信息，以所述允许所述前端设备接入的设备的网络地址信息作为目的地址信息，以所述允许所述前端设备接入的设备端口的端口信息作为目的端口信息的控制规则项；所述管理服务器根据所述前端设备所对应的交换机的网络地址信息，向所述交换机发送携带了所述控制规则项的控制规则更新指示，以使所述交换机对自身控制规则中与所述前端设备相连接的端口相对应的内容进行更新。5.如权利要求1所述的方法，其特征在于，还包括：当所述交换机所连接的前端设备结束业务时，所述交换机根据所述管理服务器发送的控制规则删除指示，在自身所配置的控制规则中，将与被结束的业务相对应的控制规则内容进行删除。6.一种交换机，其特征在于，应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设...

【专利技术属性】
技术研发人员：周迪，赵晖，
申请(专利权)人：浙江宇视科技有限公司，
类型：发明
国别省市：浙江;33