[发明专利]一种基于设备特征识别和白名单的视频监控安全接入方法

权利要求书

1.一种基于设备特征识别和白名单的视频监控安全接入方法，其特征在于：该方法基于与接入设备连接的前端管理主机，所述的前端管理主机同普通交换机一样均通过中心交换机与服务器连接，所述的前端管理主机内设置有具有非法接入及非法访问检测和控制功能的CPU，所述的前端管理主机上设置有多个供接入设备连接的外部端口，每个外部端口均与前端管理主机的CPU连接，所述的服务器能够通过中心交换机对每台前端管理主机下发白名单和设备类型识别特征库，该方法的具体步骤如下：

S1、数据报文分析：接入设备接入前端管理主机的外部端口，外部端口接收报文，前端管理主机的CPU启动端口镜像轮询功能，按照前端管理主机外部端口的顺序，依次将报文镜像到CPU管理口，前端管理主机的CPU对镜像报文进行分析，得到每个接入设备的信息，包括接入设备IP地址、MAC地址、协议类型、端口号、报文长度和特征码；

S2、接入设备识别：前端管理主机的CPU根据接入设备的特征码在设备类型识别特征库中进行匹配，如果匹配的到，则返回设备类型编号，并转至S3；如果匹配不到则进入白名单匹配处理，如果白名单匹配失败，则返回无效的设备类型编号，并且前端管理主机的CPU根据用户配置执行动作，转至S5；如果白名单匹配成功，则转至S6；

S3、设备合法识别：前端管理主机的CPU根据返回的设备类型编号在设备类型识别特征库中进行匹配，验证该设备类型的授权信息，如果验证通过则初步确认该接入设备为合法授权设备，并转至S4；如果验证不通过，则将该接入设备的信息添加至设备类型识别特征库中，并转至S5；

S4、设备假冒识别：前端管理主机的CPU根据该接入设备的IP地址和MAC地址，匹配设备类型识别特征库，如果返回的设备类型编号和设备类型识别特征库中识别的不一致，且没有兼容性关系，则说明是假冒的设备，前端管理主机的CPU根据用户配置执行动作，并转至S5；如果一致，则前端管理主机的CPU允许该接入设备通信，转至S6；

S5、分析下一个接入设备的报文，转至S2；如果没有待分析的报文，则结束分析；当有接入设备接入前端管理主机时，则返回至S1；

S6、前端管理主机的CPU对允许通信的接入设备进行流量分析，一旦发现流量发生异常时，上报告警。

2.如权利要求1所述的一种基于设备特征识别和白名单的视频监控安全接入方法，其特征在于：所述的白名单内容包括：MAC地址、IP地址、协议类型和端口号，用户还能够通过服务器对同一台前端管理主机上的白名单进行分配，为每个外部端口单独设置白名单。

3.如权利要求1所述的一种基于设备特征识别和白名单的视频监控安全接入方法，其特征在于：所述的设备类型识别特征库包括：设备类型编号、设备类型名称、设备类型协议特征、端口号、报文长度及设备类型编号的授权信息，所述的设备类型协议特征包括协议号，每一个设备类型协议特征包括一个或多个特征码、特征码掩码、特征码偏移量信息。

4.如权利要求1所述的一种基于设备特征识别和白名单的视频监控安全接入方法，其特征在于：所述的S2和S4中，如果用户配置的是告警，则前端管理主机的CPU发送告警信息；如果用户配置的是阻断并告警，则前端管理主机的CPU直接阻断该接入设备通信，并发送告警信息，其中，S2中的告警信息为“非法接入”，S4中的告警信息为“设备仿冒”。

5.如权利要求1所述的一种基于设备特征识别和白名单的视频监控安全接入方法，其特征在于：所述的前端管理主机和普通交换机分别通过一光猫与中心交换机通信连接，且不同的前端管理主机之间、前端管理主机与普通交换机之间能够通信连接。

6.如权利要求1或5所述的一种基于设备特征识别和白名单的视频监控安全接入方法，其特征在于：所述的普通交换机均能够替换成前端管理主机，与中心交换机通信连接。