[发明专利]一种用于安防行业的设备接入混合认证系统

说明书

本发明提供一种用于安防行业的设备接入混合认证系统，包括认证服务器、混合认证系统、监控相机和业务网络，其中，监控相机与混合认证系统建立数据连接并进行数据交换，认证服务器与混合认证系统建立数据连接并进行数据交换，认证服务器与业务网络建立数据连接并进行数据交换。本发明通过对各种认证方式进行组合，构成了多道接入门槛，可根据实际应用场景灵活调节，来满足各类业务需求。

技术领域

本发明涉及网络接入技术，主要应用于面向安防行业的网络基础设施。

背景技术

随着安防监控的日趋普及，视频监控走向网络化、高清化和智能化，IT化浪潮正在席卷整个安防行业。理论上任何接入公网的设备都可能受到攻击，而安防行业作为互联网终端新的接入者，甚至有可能比传统的网络设备更严重。近年来安防行业中出现了多起网络攻击事件可以看出，加强安防网络信息安全已经迫在眉睫。然而在目前的安防建设中，业界仍旧没有针对网络安全这块有比较完善的解决方案，甚至可以这样认为，网络安全对于安防行业而言仍然是一个块空白和陌生的领地。

发明内容

本发明所要解决的技术问题是提供一种用于安防行业的设备接入混合认证系统，能够加强整个安防网络设备群的安全性。

本发明解决技术问题所采用的技术方案是：一种用于安防行业的设备接入混合认证系统，包括认证服务器、混合认证系统、监控相机和业务网络，其中，监控相机与混合认证系统建立数据连接并进行数据交换，认证服务器与混合认证系统建立数据连接并进行数据交换，认证服务器与业务网络建立数据连接并进行数据交换。

进一步地，认证服务器采用标准的radius认证服务器。

进一步地，混合认证系统架设在传输安防业务的网络基础设备上。

进一步地，混合认证系统的认证方式包括独立的MAC地址认证方式、独立的802.1X认证方式、MAC地址+802.1X混合认证方式以及MAC地址+802.1X+设备安防协议的混合认证方式。

进一步地，独立的MAC地址认证方式的认证步骤是：当首次检测到设备的MAC地址时，即启动对该MAC地址的认证操作，如果该MAC地址与该端口配置的白名单存在匹配，则将该MAC地址作为一条静态的MAC绑到该端口，从而允许其接入安全的业务网络，如果不匹配，该MAC会被加入黑名单，并为其设置一个静默期，在静默期间，认证系统会忽略该MAC的所有数据，直到静默期结束，重新进行认证。

进一步地，独立的802.1X认证包括客户端主动申请和交换机主动扫描两种认证触发方式。

进一步地，独立的802.1X认证包括基于端口和基于MAC两种接入控制方式，在基于端口的接入控制方式下，只要该端口的第一个设备认证成功后，其他从该端口接入的设备均无需再次认证，但当上述的第一个设备下线后，其他的设备也会被拒绝进入系统；在基于MAC的接入控制方式下，所有的设备都需要独立进行认证，认证后的设备下线不会影响其他设备。

进一步地，MAC地址+802.1X混合认证方式的组网环境是：接入的设备群MAC地址分布明确并且均安装了802.1X客户端，其认证流程是：

（A1）混合认证系统接收到来自请求接入设备的报文；

（A2）判断该报文是否属于802.1X协议报文，如果是，进入步骤A3，如果否，进入步骤A5；

（A3）判断报文源的MAC是否位于该端口的白名单中，如果是，进入步骤A4，如果否，进入步骤A5；

（A4）执行802.1X认证，如果是，则认证通过，允许设备接入，如果否，进入步骤A5；

（A5）认证不通过，将设备加入系统黑名单并设置静默期。