[发明专利]一种使编码设备安全接入监控网络的方法和装置

说明书

技术领域

本发明涉及视频监控领域，尤其涉及一种使编码设备安全接入监控网络的方法和装置。

背景技术

现在监控系统在各行各业中应用起来，并向大联网、大安防的方向发展。网络用户很容易接入监控网络的接入层交换机，如果接入层交换机对接入报文没有比较严格的业务控制，攻击者就有机会肆意攻击监控网络，造成巨大的破坏。针对该问题，现有的一种方案通过在交换机上启用802.1x或者portal相关认证限制接入层的设备，这种方案一般是将设备的MAC地址或者IP地址信息和用户认证进行绑定，通过认证后允许交换机某个端口接入，或者允许该端口下特定源MAC地址或者IP地址的流量通过。但是该方案存在这样的一个问题：通过了认证的端口还可以发送或接收大量的非监控业务流量占用网络带宽，还可以接收网络中的组播报文造成监控视频泄露，还可以对监控网络中的设备进行攻击等。

发明内容

有鉴于此，本发明的目的是提供一种使编码设备安全接入监控网络的方法和装置。

为实现上述目的，本发明提供技术方案如下：

一种使编码设备安全接入监控网络的方法,该方法应用于该监控网络中的监控服务器上,该监控网络还包括与所述编码设备相连的接入交换机,该方法包括以下步骤:

A、向所述接入交换机下行接入端口下发允许编码设备注册报文通过的第一策略；

B、接收编码设备发送的注册报文，根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型，并根据该注册报文中携带的该编码设备的MAC地址查找交换机的MAC地址表以确定该编码设备对应的接入交换机端口信息；向所述确定的接入交换机端口下发允许所述监控标准类型的监控信令报文通过的第二策略；

C、对所述编码设备的监控业务需求执行监控业务处理，并获得该监控业务对应监控业务流的端口号信息，向所述编码设备的接入交换机端口下发允许所述端口号的监控业务流通过的第三策略。

一种使编码设备安全接入监控网络的装置,该装置应用于该监控网络中的监控服务器上,该监控网络还包括与所述编码设备相连的接入交换机,该装置包括：策略下发模块、监控标准确定模块、接入端口确定模块、业务端口号确定模块；其中，

策略下发模块，用于向所述接入交换机下行接入端口下发允许编码设备注册报文通过的第一策略；

监控标准确定模块，用于在该监控服务器接收编码设备发送的注册报文后根据该注册报文携带的监控标准类型确定该编码设备使用的监控标准类型；

接入端口确定模块，用于根据该注册报文中携带的该编码设备的MAC地址查找交换机的MAC地址表以确定该编码设备对应的接入交换机端口信息；

所述策略下发模块，还用于向所述确定的接入交换机端口下发允许所述监控标准类型的监控信令报文通过的第二策略；

业务端口号确定模块，用于在对所述编码设备的监控业务需求执行监控业务处理后获得该监控业务对应监控业务流的端口号信息；

所述策略下发模块，还用于向所述编码设备的接入交换机端口下发允许所述端口号的监控业务流通过的第三策略。

与现有技术相比，本发明的技术实现了精确控制接入层交换机上的接入策略，允许能够通过的信令和实时流量通过，提高监控网络接入层的安全性。

附图说明

图1是本发明实施例的一个监控网络示意图。

图2是本发明实施例方法流程图。

图3是本发明实施例装置逻辑结构图。

具体实施方式

针对背景技术中提到的问题，本发明希望由监控网络中的服务器（监控网络中的服务器后续简称监控服务器）对接入层的交换机进行动态的管理，使其仅通过一些监控服务器认为的合法流量。以下结合附图，详细介绍本发明实施例。

图1是本发明实施例的一个监控网络示意图，该监控网络包括监控服务器10、编码设备11a～11d，将编码设备接入该监控网络的接入交换机12A、12B、视频客户端设备13、存储设备14。以下结合该监控网络示意图进行阐述。

本实施例提供一种使编码设备安全接入监控网络的方法,参见图2该方法流程图。

步骤21、监控服务器向接入交换机下行接入端口下发允许编码设备注册报文通过的策略。