[发明专利]一种基于交换机的安全准入方法及装置

说明书

本发明公开了一种基于交换机的安全准入方法及装置，管理平台向交换机发出切换为监控模式的操作指令，将交换机切换为监控模式，此时交换机接入了前端设备的端口切换为监控状态，未接入前端设备的端口切换为禁用状态；接收交换机在监控模式下发送的接入到交换机端口的前端设备的唯一标识，与本地存放的交换机端口对应的唯一标识进行比较，实现对接入的前端设备进行安全准入，如果不一致则将该交换机端口置为禁用状态，触发告警，并在收到告警时，确认接入到交换机端口的前端设备是否安全，在确定安全的情况下设置该端口允许该前端设备接入，重新将该交换机端口切换到监控状态。本发明实现了对接入的前端设备的安全准入。

技术领域

本发明属于设备接入安全技术领域，尤其涉及一种基于交换机的安全准入方法及装置。

背景技术

在视频监控系统中，交换机作为接入层设备扮演着重要的角色，视频监控系统中的前端设备如网络摄像机等都是通过交换机接入到后端的管理平台。虽然目前视频监控管理平台与前端设备已经存在一些安全准入相关的技术，但是交换机作为其中重要的网络节点，却没有发挥相应的作用。特别是接入层交换机，作为距离前端设备最近的一个网络节点，更应该发挥其安全准入的作用。

视频监控管理平台与前端设备之间，目前可以通过密码鉴权、安全证书认证等手段保证设备的安全接入。交换机作为一种应用广泛的网络设备，已经存在许多网络安全方面的技术实现手段，比如：MAC地址泛洪攻击的安全防护、广播风暴攻击的防护、环路攻击安全防护等。

在视频监控系统的组网中，目前只存在视频监控管理平台与前端设备之间的安全接入方案，缺少视频监控管理平台通过交换机对接入的前端设备进行安全管理的技术手段。并且目前交换机的安全技术大多针对普适的网络安全，缺少适配视频监控网络设备接入的安全控制手段。

发明内容

本发明的目的是提供一种基于交换机的安全准入方法及装置，用于在前端设备接入的交换机上控制前端设备安全地接入视频监控管理平台，防范在交换机侧进行的网络攻击行为，提高视频监控系统的安全性。

为了实现上述目的，本发明技术方案如下：

一种基于交换机的安全准入方法，应用于视频监控系统的管理平台，所述基于交换机的安全准入方法，包括：

当交换机接入到管理平台后，将管理平台所在设备的信息写入到交换机中；

向交换机发出切换为监控模式的操作指令，在交换机通过记录的管理平台所在设备的信息进行校验并校验通过后，将交换机切换为监控模式，此时交换机接入了前端设备的端口切换为监控状态，未接入前端设备的端口切换为禁用状态；

接收交换机在监控模式下发送的接入到交换机端口的前端设备的唯一标识，与本地存放的交换机端口对应的唯一标识进行比较，如果一致则不操作，如果不一致则将该交换机端口置为禁用状态，触发告警，如果本地存放的该交换机端口对应的唯一标识不存在，则将该前端设备的唯一标识存放到本地存放的该交换机端口对应的唯一标识中；

在收到告警时，确认接入到交换机端口的前端设备是否安全，在确定安全的情况下设置该端口允许该前端设备接入，重新将该交换机端口切换到监控状态。

进一步地，基于交换机的安全准入方法，还包括：

接收交换机端口在监控状态下监测到异常时发送的接入到该端口的前端设备的唯一标识，并将该交换机端口置为禁用状态，触发告警；

在收到告警时，确认接入到交换机端口的前端设备是否安全，在确定安全的情况下设置该端口允许该前端设备接入，重新将该交换机端口切换到监控状态。

进一步地，所述基于交换机的安全准入方法，还包括：

向交换机发出切换为正常模式的操作指令，将该交换机下各端口中对应的唯一标识清除，交换机切换为正常模式，交换机各端口切换为启用状态。