【技术实现步骤摘要】
本申请涉及监控数据传输领域,特别涉及一种分布式终端准入控制方法和装置。
技术介绍
随着IP(InternetProtocol,网络互联协议)视频监控业务的发展,客户对视频监控系统的安全防护日益重视。通常入侵者首先会使用漏洞扫描工具对目标设备进行端口扫描,端口扫描一般向目标设备的各个知名端口及部分常用服务端口范围连接消息,根据接收到的消息回应类型判断设备是否在使用该端口,然后通过分析提供服务端口漏洞,进一步发起入侵攻击。现有技术中提出了基于控制规则的防御解决方案,使监控系统具备一定的自防御功能,将业务端口自动隐藏,系统中任何前端设备对系统内某设备的业务管理等访问需求,都需要经过控制规则的过滤,通过视频管理服务网服务器预先集中授权,才允许客户端等设备访问目标设备的业务端口,整个系统形成一个闭环的安全业务环境,可以有效消除安全隐患。具体的,在现有技术中,视频管理服务器默认开放针对前端设备的“注册端口”及针对客户端的“登录端口”,只有在终端设备注册成功后,才允许该前段设备的“IP地址”访问视频管理服务器的其他业务端口。控制规则可用iptables下发或业务级代码控制等方式实现,具体说明如下。如图1所示,为现有技术中的一种监控系统的应用场景示意图。在初始状态下,视频管理服务器中生效的控制规则为:本设备目的端口源设备控制行为5060、80所有允许“源设备”访问“本设备目的端口”在IPC1注册成功之后,视频管理服务器记录IPC1的掩码,将自身生效的控制规则变更为允许IPC1访问本设备所有端口,具体如下:相应的,业务服务器记录IPC1的掩码,其所生效的控制规则变更为允许 ...
【技术保护点】
一种分布式终端准入控制方法,其特征在于,应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中,前端设备通过交换机接入所述分布式监控系统,所述交换机中配置控制规则,所述方法具体包括:当所述交换机所连接的前端设备启动新的业务时,所述交换机根据所述管理服务器发送的控制规则更新指示对自身所配置的控制规则进行更新,其中,所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息;所述交换机判断接收到的自身所连接的前端设备所发送的所述新的业务的报文的转发信息是否符合更新后的所述控制规则;如果符合,所述交换机将所述业务报文转发给相对应的接口,如果不符合,所述交换机丢弃所述业务报文。
【技术特征摘要】
1.一种分布式终端准入控制方法,其特征在于,应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中,前端设备通过交换机接入所述分布式监控系统,所述交换机中配置控制规则,所述方法具体包括:当所述交换机所连接的前端设备启动新的业务时,所述交换机根据所述管理服务器发送的控制规则更新指示对自身所配置的控制规则进行更新,其中,所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息;所述交换机判断接收到的自身所连接的前端设备所发送的所述新的业务的报文的转发信息是否符合更新后的所述控制规则;如果符合,所述交换机将所述业务报文转发给相对应的接口,如果不符合,所述交换机丢弃所述业务报文。2.如权利要求1所述的方法,其特征在于,所述交换机中所配置的控制规则的初始内容为:在接收到自身所连接的前端设备所发送的报文中,只允许将注册报文转发给所述管理服务器,其余报文均进行丢弃。3.如权利要求2所述的方法,其特征在于,所述交换机所连接的前端设备启动新的业务操作之前,还包括:当交换机所配置的控制规则为初始内容时,所述交换机识别所接收到的自身所连接的前端设备所发送的报文是否为注册报文;如果识别结果为是,所述交换机将自身的网络地址信息,以及自身与所述前端设备相连接的端口信息添加到所述报文中,并将所述报文转发给所述管理服务器,以使所述管理服务器对所述前端设备进行注册,并在注册成功后,保存所述交换机的网络地址信息和所述端口信息;当所述交换机接收到所述管理服务器返回的注册确认指示时,将所述注册确认指示发送给所述前端设备。4.如权利要求3所述的方法,其特征在于,所述控制规则更新指示的处理过程,具体为:当所述交换机所连接的前端设备启动新的业务时,所述管理服务器确定在所述新的业务中,允许所述前端设备接入的设备,以及允许所述前端设备接入的设备端口;所述管理服务器生成以所述前端设备的网络地址信息作为源地址信息,以所述允许所述前端设备接入的设备的网络地址信息作为目的地址信息,以所述允许所述前端设备接入的设备端口的端口信息作为目的端口信息的控制规则项;所述管理服务器根据所述前端设备所对应的交换机的网络地址信息,向所述交换机发送携带了所述控制规则项的控制规则更新指示,以使所述交换机对自身控制规则中与所述前端设备相连接的端口相对应的内容进行更新。5.如权利要求1所述的方法,其特征在于,还包括:当所述交换机所连接的前端设备结束业务时,所述交换机根据所述管理服务器发送的控制规则删除指示,在自身所配置的控制规则中,将与被结束的业务相对应的控制规则内容进行删除。6.一种交换机,其特征在于,应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中,前端设...
【专利技术属性】
技术研发人员:周迪,赵晖,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。