一種ip視頻監(jiān)控網(wǎng)絡(luò)安全接入方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方法�。
【背景技術(shù)】
[0002]視頻監(jiān)控發(fā)展到今天,已快速進(jìn)入IP網(wǎng)絡(luò)化視頻時代��,大部分視頻監(jiān)控從攝像頭到監(jiān)控中心都已完全I(xiàn)P化�����。而海康威視的視頻攝像頭被劫持事件�,卻及時地給我們敲響了警鐘:如果我們不注重網(wǎng)絡(luò)入口的安全保護(hù),就很可能還會陸續(xù)出現(xiàn)各種層出不窮的安全事件�����。
[0003]比如�����,任何一個“有心人”都可以在路邊��、在野外�、在只要有IP攝像頭的地方,把連接IP攝像頭的網(wǎng)線拔下來接入自己的計算機(jī)���,就可以窺探這個視頻監(jiān)控網(wǎng)內(nèi)的任何設(shè)備��,就可以劫持這個視頻監(jiān)控網(wǎng)內(nèi)的任何一個攝像頭來達(dá)到不可告人的目的……畢竟單憑IP攝像頭的密碼保護(hù)是很脆弱的�����!而且����,任何一個IP攝像頭廠家或工程商內(nèi)部的人員流動也會增加這種網(wǎng)絡(luò)密碼安全的風(fēng)險。
[0004]通常大多數(shù)IP視頻監(jiān)控網(wǎng)絡(luò)的接入部分構(gòu)架如下:若干臺IP攝像機(jī)通過接入端口接入前端匯聚交換機(jī)��,前端匯聚交換機(jī)通過上聯(lián)端口接入到機(jī)房二級匯聚交換機(jī)的接入端口�����,機(jī)房二級匯聚交換機(jī)通過上聯(lián)端口將數(shù)據(jù)傳輸至監(jiān)控中心���。有些情況下可能會在前端匯聚交換機(jī)與IP攝像頭之間含有小容量的匯聚小交換機(jī)。前端匯聚交換機(jī)處于室外環(huán)境�����,容易被入侵或被替換����,我們稱之為“室外接入端”;機(jī)房二級匯聚交換機(jī)位于室內(nèi)機(jī)房,不易被人為替換或破壞���,我們稱之為“室內(nèi)匯聚端”�����。人為入侵IP視頻監(jiān)控網(wǎng)絡(luò)一般有2種方式:一種方式是直接用入侵網(wǎng)絡(luò)設(shè)備替代IP攝像頭���,接入前端匯聚交換機(jī)的網(wǎng)絡(luò)接入端口 �;另一種入侵方式是跳過前端匯聚交換機(jī)�,直接接入機(jī)房二級匯聚交換機(jī)的接入端口。另夕卜�,工作人員流動造成的交換機(jī)設(shè)備網(wǎng)管密碼泄露,也會引起網(wǎng)絡(luò)安全問題�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術(shù)問題是克服現(xiàn)有技術(shù)的缺陷���,提供一種IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方法�。
[0006]為了解決上述技術(shù)問題��,本發(fā)明提供了如下的技術(shù)方案:
[0007]本發(fā)明一種IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方法�����,其包括以下步驟:
[0008]S1���、針對直接用入侵網(wǎng)絡(luò)設(shè)備替代IP攝像頭�,接入前端匯聚交換機(jī)的網(wǎng)絡(luò)接入端口的入侵方式�����,采用如下方法:
[0009]廣播包單向控制:只允許前端匯聚交換機(jī)的上聯(lián)端口接收并向本交換機(jī)的其它端口轉(zhuǎn)發(fā)廣播包,禁止前端匯聚交換機(jī)的其它端口向本交換機(jī)的內(nèi)部轉(zhuǎn)發(fā)廣播包����;
[0010]PING包方向控制:只允許前端匯聚交換機(jī)的所有接入端口響應(yīng)本交換機(jī)上聯(lián)端口轉(zhuǎn)發(fā)的PING請求包,禁止前端匯聚交換機(jī)的所有接入端口向本交換機(jī)內(nèi)部轉(zhuǎn)發(fā)PING請求包����;
[0011]服務(wù)訪問方向控制:禁止通過前端匯聚交換機(jī)的所有接入端口主動發(fā)起服務(wù)訪問�����;
[0012]S2�、針對跳過前端匯聚交換機(jī),直接接入機(jī)房二級匯聚交換機(jī)接入端口的入侵方式����,采用如下方法:
[0013]在前端匯聚交換機(jī)的上聯(lián)端口和機(jī)房二級匯聚交換機(jī)的接入端口之間加入加密的心跳報文驗證機(jī)制;當(dāng)失去加密的心跳報文響應(yīng)或加密的心跳報文響應(yīng)驗證不正確時��,機(jī)房二級匯聚交換機(jī)會主動阻塞沒有接收到正確響應(yīng)或驗證錯誤的接入端口����,防止各種偽接入非法入侵��。
[0014]進(jìn)一步地�,還包括步驟S3:針對工作人員流動造成的交換機(jī)設(shè)備網(wǎng)管密碼泄露問題���,采用如下方法:
[0015]二級權(quán)限管理并廢除超級密碼機(jī)制:第一級權(quán)限為全部操作權(quán)限�,可以修改交換機(jī)中任何的參數(shù)配置��,但所有操作都必須在有加密認(rèn)證的物理設(shè)備在線的情況下才能被執(zhí)行��;第二級權(quán)限為維護(hù)查看權(quán)限��,只能查看設(shè)備工作狀態(tài)�����,不能修改設(shè)備工作參數(shù)����,僅限于設(shè)備維護(hù)人員巡檢工作。
[0016]進(jìn)一步地���,還包括步驟S4:針對維護(hù)人員有在前端對網(wǎng)絡(luò)連接狀況測試的需求����,在前端匯聚交換機(jī)內(nèi)部嵌入訪問授權(quán)代理服務(wù)機(jī)制,即通過第二級權(quán)限登錄交換機(jī)WEB服務(wù)后�����,申請PING功能代理�����,由交換機(jī)WEB服務(wù)代行測試網(wǎng)絡(luò)連接狀況并返回結(jié)果����。
[0017]本發(fā)明所達(dá)到的有益效果是:
[0018]本發(fā)明針對直接用入侵網(wǎng)絡(luò)設(shè)備替代IP攝像頭����,接入前端匯聚交換機(jī)的網(wǎng)絡(luò)接入端口的入侵方式、針對跳過前端匯聚交換機(jī)����,直接接入機(jī)房二級匯聚交換機(jī)接入端口的入侵方式以及針對工作人員流動造成的交換機(jī)設(shè)備網(wǎng)管密碼泄露問題提供了一整套IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方案與技術(shù),為IP視頻監(jiān)控網(wǎng)絡(luò)筑起一座安全的圍墻�,保證在任何情況下都不可能人為地從這座安全墻外入侵被這座墻保護(hù)的內(nèi)部網(wǎng)絡(luò),杜絕任何試圖非法控制視頻監(jiān)控資源的行為����。
【具體實施方式】
[0019]以下對本發(fā)明的優(yōu)選實施例進(jìn)行說明��,應(yīng)當(dāng)理解�,此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明�����,并不用于限定本發(fā)明�。
[0020]本發(fā)明一種IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方法,其包括以下步驟:
[0021]S1�����、針對直接用入侵網(wǎng)絡(luò)設(shè)備替代IP攝像頭�����,接入前端匯聚交換機(jī)的網(wǎng)絡(luò)接入端口的入侵方式���,采用如下方法:
[0022]廣播包單向控制:只允許前端匯聚交換機(jī)的上聯(lián)端口接收并向本交換機(jī)的其它端口轉(zhuǎn)發(fā)廣播包�����,禁止前端匯聚交換機(jī)的其它端口向本交換機(jī)的內(nèi)部轉(zhuǎn)發(fā)廣播包�����;
[0023]PING包方向控制:只允許前端匯聚交換機(jī)的所有接入端口響應(yīng)本交換機(jī)上聯(lián)端口轉(zhuǎn)發(fā)的PING請求包�,禁止前端匯聚交換機(jī)的所有接入端口向本交換機(jī)內(nèi)部轉(zhuǎn)發(fā)PING請求包;
[0024]服務(wù)訪問方向控制:禁止通過前端匯聚交換機(jī)的所有接入端口主動發(fā)起服務(wù)訪問�����;
[0025]S2���、針對跳過前端匯聚交換機(jī)����,直接接入機(jī)房二級匯聚交換機(jī)接入端口的入侵方式�����,采用如下方法:
[0026]在前端匯聚交換機(jī)的上聯(lián)端口和機(jī)房二級匯聚交換機(jī)的接入端口之間加入加密的心跳報文驗證機(jī)制�����;當(dāng)失去加密的心跳報文響應(yīng)或加密的心跳報文響應(yīng)驗證不正確時����,機(jī)房二級匯聚交換機(jī)會主動阻塞沒有接收到正確響應(yīng)或驗證錯誤的接入端口,防止各種偽接入非法入侵��。
[0027]另外����,還包括步驟S3:針對工作人員流動造成的交換機(jī)設(shè)備網(wǎng)管密碼泄露問題,采用如下方法:
[0028]二級權(quán)限管理并廢除超級密碼機(jī)制:其中��,第一級權(quán)限為全部操作權(quán)限����,可以修改交換機(jī)中任何的參數(shù)配置,但所有操作都必須在有加密認(rèn)證的物理設(shè)備在線的情況下才能被執(zhí)行��,防止“知道密碼就可以做任何事”的情況發(fā)生���,用戶只要管理好加密認(rèn)證物理設(shè)備(USB加密認(rèn)證設(shè)備)���,就可以防止非法修改所有在線網(wǎng)絡(luò)交換機(jī)的配置參數(shù);第二級權(quán)限為維護(hù)查看權(quán)限��,只能查看設(shè)備工作狀態(tài)���,不能修改設(shè)備工作參數(shù)��,僅限于設(shè)備維護(hù)人員巡檢工作����。
[0029]另外,還包括步驟S4:針對維護(hù)人員有在前端對網(wǎng)絡(luò)連接狀況測試的需求���,在前端匯聚交換機(jī)內(nèi)部嵌入訪問授權(quán)代理服務(wù)機(jī)制�����,即通過第二級權(quán)限登錄交換機(jī)WEB服務(wù)后�,申請PING功能代理����,由交換機(jī)WEB服務(wù)代行測試網(wǎng)絡(luò)連接狀況并返回結(jié)果。
[0030]本發(fā)明針對直接用入侵網(wǎng)絡(luò)設(shè)備替代IP攝像頭���,接入前端匯聚交換機(jī)的網(wǎng)絡(luò)接入端口的入侵方式����、針對跳過前端匯聚交換機(jī)�����,直接接入機(jī)房二級匯聚交換機(jī)接入端口的入侵方式以及針對工作人員流動造成的交換機(jī)設(shè)備網(wǎng)管密碼泄露問題提供了一整套IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方案與技術(shù)�,為IP視頻監(jiān)控網(wǎng)絡(luò)筑起一座安全的圍墻,保證在任何情況下都不可能人為地從這座安全墻外入侵被這座墻保護(hù)的內(nèi)部網(wǎng)絡(luò)���,杜絕任何試圖非法控制視頻監(jiān)控資源的行為��。
[0031]最后應(yīng)說明的是:以上所述僅為本發(fā)明的優(yōu)選實施例而已���,并不用于限制本發(fā)明,盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明��,對于本領(lǐng)域的技術(shù)人員來說����,其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分技術(shù)特征進(jìn)行等同替換�����。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改����、等同替換���、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
【主權(quán)項】
1.一種IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方法,其特征在于�,包括以下步驟: 51、針對直接用入侵網(wǎng)絡(luò)設(shè)備替代IP攝像頭����,接入前端匯聚交換機(jī)的網(wǎng)絡(luò)接入端口的入侵方式,采用如下方法: 廣播包單向控制:只允許前端匯聚交換機(jī)的上聯(lián)端口接收并向本交換機(jī)的其它端口轉(zhuǎn)發(fā)廣播包�����,禁止前端匯聚交換機(jī)的其它端口向本交換機(jī)的內(nèi)部轉(zhuǎn)發(fā)廣播包�����; PING包方向控制:只允許前端匯聚交換機(jī)的所有接入端口響應(yīng)本交換機(jī)上聯(lián)端口轉(zhuǎn)發(fā)的PING請求包����,禁止前端匯聚交換機(jī)的所有接入端口向本交換機(jī)內(nèi)部轉(zhuǎn)發(fā)PING請求包��; 服務(wù)訪問方向控制:禁止通過前端匯聚交換機(jī)的所有接入端口主動發(fā)起服務(wù)訪問; 52��、針對跳過前端匯聚交換機(jī)�����,直接接入機(jī)房二級匯聚交換機(jī)接入端口的入侵方式���,采用如下方法: 在前端匯聚交換機(jī)的上聯(lián)端口和機(jī)房二級匯聚交換機(jī)的接入端口之間加入加密的心跳報文驗證機(jī)制���;當(dāng)失去加密的心跳報文響應(yīng)或加密的心跳報文響應(yīng)驗證不正確時,機(jī)房二級匯聚交換機(jī)會主動阻塞沒有接收到正確響應(yīng)或驗證錯誤的接入端口�����,防止各種偽接入非法入侵��。2.根據(jù)權(quán)利要求1所述的一種IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方法��,其特征在于��,還包括步驟S3:針對工作人員流動造成的交換機(jī)設(shè)備網(wǎng)管密碼泄露問題����,采用如下方法: 二級權(quán)限管理并廢除超級密碼機(jī)制:第一級權(quán)限為全部操作權(quán)限��,可以修改交換機(jī)中任何的參數(shù)配置�����,但所有操作都必須在有加密認(rèn)證的物理設(shè)備在線的情況下才能被執(zhí)行���;第二級權(quán)限為維護(hù)查看權(quán)限,只能查看設(shè)備工作狀態(tài)����,不能修改設(shè)備工作參數(shù),僅限于設(shè)備維護(hù)人員巡檢工作�����。3.根據(jù)權(quán)利要求1所述的一種IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方法��,其特征在于�����,還包括步驟S4:針對維護(hù)人員有在前端對網(wǎng)絡(luò)連接狀況測試的需求,在前端匯聚交換機(jī)內(nèi)部嵌入訪問授權(quán)代理服務(wù)機(jī)制�����,即通過第二級權(quán)限登錄交換機(jī)WEB服務(wù)后���,申請PING功能代理,由交換機(jī)WEB服務(wù)代行測試網(wǎng)絡(luò)連接狀況并返回結(jié)果�。
【專利摘要】本發(fā)明公開了一種IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方法,針對直接用入侵網(wǎng)絡(luò)設(shè)備替代IP攝像頭��,接入前端匯聚交換機(jī)的網(wǎng)絡(luò)接入端口的入侵方式����、針對跳過前端匯聚交換機(jī),直接接入機(jī)房二級匯聚交換機(jī)接入端口的入侵方式以及針對工作人員流動造成的交換機(jī)設(shè)備網(wǎng)管密碼泄露問題提供了一整套IP視頻監(jiān)控網(wǎng)絡(luò)安全接入方案與技術(shù)����,為IP視頻監(jiān)控網(wǎng)絡(luò)筑起一座安全的圍墻,保證在任何情況下都不可能人為地從這座安全墻外入侵被這座墻保護(hù)的內(nèi)部網(wǎng)絡(luò)��,杜絕任何試圖非法控制視頻監(jiān)控資源的行為�����。
【IPC分類】H04L29/06, H04N7/18
【公開號】CN105024999
【申請?zhí)枴緾N201510295956
【發(fā)明人】張延平, 任文植
【申請人】江蘇恒信和安電子科技有限公司
【公開日】2015年11月4日
【申請日】2015年6月2日