一种安全控制方法和设备的制作方法

专利名称：一种安全控制方法和设备的制作方法
技术领域：
本发明涉及通信技术领域，特别是涉及一种安全控制方法和设备。
背景技术：
如图1所示，为监控系统的组网示意图，包括MS(流媒体服务器)、EC (Encoder， 编码器)、VM(Video Management，视频管理)服务器、VC(Video Client，视频客户端)等。 各EC指定使用MS服务器进行数据分发时，VC将通过MS服务器实现单播实况或回放存储录像；当多台VC点播某路实况时，MS服务器需复制多份向VC转发。需要注意的是，为了最大限度减少网络上的流量，还可采用组播技术进行实况点播。但是，在现有技术中，并没有对监控系统实施有效的安全控制手段。

发明内容
本发明提供一种安全控制方法和设备，以在监控系统中实现安全控制。为了达到上述目的，本发明提供一种安全控制方法，应用于包括视频客户端VC、接入设备、视频管理VM服务器和流媒体服务器MS的监控系统中，该方法包括所述接入设备接收来自所述VC的注册请求消息，并将所述注册请求消息发送给所述VM服务器；在所述VC注册成功时，所述接入设备接收所述VM服务器返回的注册成功消息，所述注册成功消息中携带所述VM服务器为所述VC分配的业务标签信息；所述接入设备记录所述VC的IP地址、所述VC的MAC地址、所述接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系；所述接入设备接收所述MS发送给所述VC的数据，所述数据中携带所述VM服务器为所述VC分配的业务标签信息、以及所述VC的IP地址；当所述数据中携带的业务标签信息和IP地址在所述对应关系中有相匹配的记录时，所述接入设备通过所述业务标签信息和IP地址所对应的MAC地址和接收端口将所述数据发送给所述VC ；否则，所述接入设备丢弃所述数据。所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP 地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址；当所述接入设备从所述数据的外层IP头中获知目的IP地址为自身的地址时，所述接入设备在剥掉外层IP头后，从剥掉外层IP头后的数据中获得所述VM服务器为所述VC 分配的业务标签信息、以及所述VC的IP地址。所述接入设备将所述注册请求消息发送给所述VM服务器，之后还包括当所述接入设备接收到所述VM服务器返回的注册成功消息时，所述接入设备允许所述VC与所述VM服务器之间通过所述接收端口进行数据传输；当所述接入设备未接收到所述VM服务器返回的注册成功消息时，所述接入设备禁止通过所述接收端口转发来自所述VC的数据。在所述接入设备接收到所述VM服务器返回的注册成功消息之前，所述接入设备仅允许通过所述接收端口向所述VM服务器转发来自所述VC的注册请求消息；在所述接入设备禁止通过所述接收端口转发来自所述VC的数据之后，所述接入设备禁止通过所述接收端口向所述VM服务器转发来自所述VC的注册请求消息。所述接入设备未接收到所述VM服务器返回的注册成功消息，具体包括所述接入设备在向所述VM服务器发送预设次数的注册请求消息后未接收到所述 VM服务器返回的注册成功消息，和/或，在预设时间内未接收到所述VM服务器返回的注册成功消息，所述接入设备确认未接收到所述VM服务器返回的注册成功消息。所述接入设备记录所述VC的IP地址、所述VC的MAC地址、所述接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系，之后还包括所述接入设备接收来自所述VM服务器的Label回收消息，所述Label回收消息中携带所述VM服务器为所述VC分配的业务标签信息；并删除自身记录的所述业务标签信息所对应的对应关系。一种安全控制方法，应用于包括视频客户端VC、接入设备、视频管理VM服务器和流媒体服务器MS的监控系统中，该方法包括所述VM服务器接收所述接入设备转发的来自所述VC的注册请求消息；在所述VC 注册成功时，为所述VC分配业务标签信息，并通过所述接入设备向所述VC发送注册成功消息，所述注册成功消息中携带所述业务标签信息；由所述接入设备记录所述VC的IP地址、 所述VC的MAC地址、所述接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系；所述VM服务器接收所述接入设备转发的来自所述VC的点播请求消息；在允许所述VC点播数据时，所述VM服务器将所述VC的IP地址以及为所述VC分配的所述业务标签信息通知给所述MS ；由所述MS向所述接入设备发送携带所述业务标签信息以及所述VC的 IP地址的数据。在向所述MS通知所述VC的IP地址以及所述业务标签信息时，所述VM服务器将所述接入设备的地址通知给所述MS，由所述MS发送目的IP地址为所述接入设备的地址的数据，所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址。所述VM服务器通过所述接入设备向所述VC发送注册成功消息，之后还包括当VC离线或主动下线后，所述VM服务器向所述接入设备发送Label回收消息，所述Label回收消息中携带所述VM服务器为所述VC分配的业务标签信息。一种安全控制方法，应用于包括视频客户端VC、接入设备、视频管理VM服务器和流媒体服务器MS的监控系统中，该方法包括所述MS接收来自所述VM服务器的通告消息，所述通告消息中携带所述VC的IP 地址以及所述VM服务器为所述VC分配的业务标签信息；所述MS通过所述接入设备向所述VC发送数据时，所述数据中携带所述业务标签信息以及所述VC的IP地址。所述通告消息中还携带所述接入设备的地址；在向所述VC发送数据时，所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址。
一种接入设备，应用于包括视频客户端VC、所述接入设备、视频管理VM服务器和流媒体服务器MS的监控系统中，该设备包括注册请求消息传输模块，用于接收来自所述VC的注册请求消息，并将所述注册请求消息发送给所述VM服务器；注册成功消息传输模块，用于在所述VC注册成功时，接收所述VM服务器返回的注册成功消息，所述注册成功消息中携带所述VM服务器为所述VC分配的业务标签信息；对应关系管理模块，用于记录所述VC的IP地址、MAC地址、接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系；数据处理模块，用于接收所述MS发送给所述VC的数据，所述数据中携带所述VM 服务器为所述VC分配的业务标签信息、以及所述VC的IP地址；并当所述数据中携带的业务标签信息和IP地址在所述对应关系中有相匹配的记录时，通过所述业务标签信息和IP地址所对应的MAC地址和接收端口将所述数据发送给所述VC;否则，丢弃所述数据。所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP 地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址；所述数据处理模块，还用于当从所述数据的外层IP头中获知目的IP地址为自身的地址时，在剥掉外层IP头后，从剥掉外层IP头后的数据中获得所述VM服务器为所述VC 分配的业务标签信息、以及所述VC的IP地址。还包括注册管理模块，用于当接收到所述VM服务器返回的注册成功消息时，允许所述VC与所述VM服务器之间通过所述接收端口进行数据传输；当未接收到所述VM服务器返回的注册成功消息时，禁止通过所述接收端口转发来自所述VC的数据。所述注册管理模块，还用于在接收到所述VM服务器返回的注册成功消息之前，仅允许通过所述接收端口向所述VM服务器转发来自所述VC的注册请求消息；在禁止通过所述接收端口转发来自所述VC的数据之后，禁止通过所述接收端口向所述VM服务器转发来自所述VC的注册请求消息。所述注册管理模块，进一步用于在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息，和/或，在预设时间内未接收到所述VM 服务器返回的注册成功消息，确认未接收到所述VM服务器返回的注册成功消息。还包括回收消息传输模块，用于接收来自所述VM服务器的Label回收消息，所述 Label回收消息中携带所述VM服务器为所述VC分配的业务标签信息；所述对应关系管理模块，还用于删除自身记录的所述业务标签信息所对应的对应关系。一种视频管理VM服务器，应用于包括视频客户端VC、接入设备、所述VM服务器和流媒体服务器MS的监控系统中，该VM服务器包括注册请求消息传输模块，用于接收所述接入设备转发的来自所述VC的注册请求消息；业务标签信息分配模块，用于在所述VC注册成功时，为所述VC分配业务标签信息；注册成功消息传输模块，用于通过所述接入设备向所述VC发送注册成功消息，所述注册成功消息中携带所述业务标签信息；由所述接入设备记录所述VC的IP地址、所述 VC的MAC地址、所述接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系；点播请求消息传输模块，用于接收所述接入设备转发的来自所述VC的点播请求消息；业务标签信息传输模块，用于在允许所述VC点播数据时，将所述VC的IP地址以及为所述VC分配的所述业务标签信息通知给所述MS ；由所述MS向所述接入设备发送携带所述业务标签信息以及所述VC的IP地址的数据。所述业务标签信息传输模块，还用于在向所述MS通知所述VC的IP地址以及所述业务标签信息时，将所述接入设备的地址通知给所述MS，由所述MS发送目的IP地址为所述接入设备的地址的数据，所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址。还包括回收消息传输模块，用于当VC离线或主动下线后，向所述接入设备发送 Label回收消息，所述Label回收消息中携带所述VM服务器为所述VC分配的业务标签信肩、ο一种流媒体服务器MS,应用于包括视频客户端VC、接入设备、视频管理VM服务器和所述MS的监控系统中，该MS包括接收模块，用于接收来自所述VM服务器的通告消息，所述通告消息中携带所述VC 的IP地址以及所述VM服务器为所述VC分配的业务标签信息；发送模块，用于通过所述接入设备向所述VC发送数据时，所述数据中携带所述业务标签信息以及所述VC的IP地址。所述通告消息中还携带所述接入设备的地址；在所述发送模块向所述VC发送数据时，所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址。与现有技术相比，本发明至少具有以下优点接入设备通过记录业务标签信息、VC 的IP地址和MAC(MediaAccess Control，介质访问控制)地址、以及VC与接入设备连接的端口之间的对应关系，在接收到来自MS的数据时，只有当数据中携带的业务标签信息匹配该对应关系时，才会利用MAC地址和端口转发数据给VC ；由于客户端感知不到业务标签信息，无法伪造数据，从而可以保证监控业务数据的安全性，使得网络中仅出现合法的监控业务数据流，最大限度的提高网络带宽的利用率；而且从网络协议层面来控制监控业务数据流，接入层安全，高效、简洁且安全，不需要安全控制服务器，即可以在监控业务接入层，保证监控业务数据流的安全性。


图1是现有技术中IP视频监控的组网示意图；图2是本发明提供的一种安全控制方法流程图；图3是本发明提出的一种接入设备的结构图；图4是本发明提出的一种VM服务器的结构图；图5是本发明提出的一种MS的结构图。
具体实施例方式本发明提出一种安全控制方法，该方法应用于包括接入设备(如接入交换机、路由器等)、VC、MS和VM服务器的监控系统中，该接入设备与VC之间为直接连接，如图2所示，该安全控制方法包括以下步骤步骤201，VC向接入设备发送注册请求消息，该注册请求消息的目的地址为VM服务器，且用于到VM服务器上进行注册。步骤202，接入设备接收来自VC的注册请求消息，并将注册请求消息发送给VM服务器。本发明中，在VC未注册成功之前，接入设备需要在与VC直连的端口(该端口为接入层端口，如端口 P)上监听注册请求消息，并当在端口 P上监听到注册请求消息后，将注册请求消息发送给VM服务器。需要注意的是，在VC未注册成功之前(即接入设备接收到VM 服务器返回的注册成功消息之前)，接入设备默认仅允许向VM服务器转发通过端口 P接收到的来自VC的注册请求消息；对于端口 P上接收到的其他类型的报文，接入设备均直接丢弃。进一步的，当监听到注册请求消息后，在将注册请求消息发送给VM服务器时，接入设备还需要将自身的设备ID (—般为接入设备的环回口 IP地址或管理口 IP地址)和注册请求消息的接收端口信息(即端口号P)添加到注册请求消息的相应字段中。步骤203，VM服务器接收来自接入设备的注册请求消息，并在VC注册成功时，为VC 分配业务标签信息，以及通过接入设备向VC发送注册成功消息，该注册成功消息中携带上述分配的业务标签信息。具体的，VM服务器在接收到注册请求消息后，需要利用该注册请求消息实现对VC 的注册，并在注册成功时返回注册成功消息，否则返回注册失败消息或不返回消息。其中， 在注册成功时，VM服务器还需要为VC分配业务标签信息(每个VC对应唯一的业务标签信息，即Label信息)；此外，VM服务器还需要记录注册请求消息中携带的接入设备ID信息 (即接入设备的地址信息)以及接入接口信息等，以便后续过程中使用。步骤204，接入设备接收VM服务器返回的注册成功消息，并记录VC的IP地址、MAC 地址、注册请求消息的接收端口、及业务标签信息的对应关系。具体的，在VC注册成功时，接入设备可以接收到VM服务器返回的注册成功消息， 该注册成功消息中携带了 VM服务器为VC分配的业务标签信息；之后，接入设备可以记录 VC的IP地址、VC的MAC地址、接入设备上注册请求消息的接收端口(端口 P)、以及业务标签信息的对应关系，如表1所示的一种对应关系示意情况。表 1
IndexIPAddMac AddPortLabel1192. 1. 0. 10000-0011-2233Gl/0/1100002192. 1. 0. 100000-0011-2244Gl/0/320000
权利要求
1.一种安全控制方法，应用于包括视频客户端VC、接入设备、视频管理VM服务器和流媒体服务器MS的监控系统中，其特征在于，该方法包括所述接入设备接收来自所述VC的注册请求消息，并将所述注册请求消息发送给所述 VM服务器；在所述VC注册成功时，所述接入设备接收所述VM服务器返回的注册成功消息， 所述注册成功消息中携带所述VM服务器为所述VC分配的业务标签信息；所述接入设备记录所述VC的IP地址、所述VC的MAC地址、所述接入设备上所述注册请求消息的接收端口、 所述业务标签信息的对应关系；所述接入设备接收所述MS发送给所述VC的数据，所述数据中携带所述VM服务器为所述VC分配的业务标签信息、以及所述VC的IP地址；当所述数据中携带的业务标签信息和 IP地址在所述对应关系中有相匹配的记录时，所述接入设备通过所述业务标签信息和IP 地址所对应的MAC地址和接收端口将所述数据发送给所述VC ；否则，所述接入设备丢弃所述数据。
2.如权利要求1所述的方法，其特征在于，所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址；当所述接入设备从所述数据的外层IP头中获知目的IP地址为自身的地址时，所述接入设备在剥掉外层IP头后，从剥掉外层IP头后的数据中获得所述VM服务器为所述VC分配的业务标签信息、以及所述VC的IP地址。
3.如权利要求1所述的方法，其特征在于，所述接入设备将所述注册请求消息发送给所述VM服务器，之后还包括当所述接入设备接收到所述VM服务器返回的注册成功消息时，所述接入设备允许所述VC与所述VM服务器之间通过所述接收端口进行数据传输；当所述接入设备未接收到所述VM服务器返回的注册成功消息时，所述接入设备禁止通过所述接收端口转发来自所述VC的数据。
4.如权利要求3所述的方法，其特征在于，在所述接入设备接收到所述VM服务器返回的注册成功消息之前，所述接入设备仅允许通过所述接收端口向所述VM服务器转发来自所述VC的注册请求消息；在所述接入设备禁止通过所述接收端口转发来自所述VC的数据之后，所述接入设备禁止通过所述接收端口向所述VM服务器转发来自所述VC的注册请求消息。
5.如权利要求3所述的方法，其特征在于，所述接入设备未接收到所述VM服务器返回的注册成功消息，具体包括所述接入设备在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息，和/或，在预设时间内未接收到所述VM服务器返回的注册成功消息，所述接入设备确认未接收到所述VM服务器返回的注册成功消息。
6.如权利要求1所述的方法，其特征在于，所述接入设备记录所述VC的IP地址、所述 VC的MAC地址、所述接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系，之后还包括所述接入设备接收来自所述VM服务器的Label回收消息，所述Label回收消息中携带所述VM服务器为所述VC分配的业务标签信息；并删除自身记录的所述业务标签信息所对应的对应关系。
7.一种安全控制方法，应用于包括视频客户端VC、接入设备、视频管理VM服务器和流媒体服务器MS的监控系统中，其特征在于，该方法包括所述VM服务器接收所述接入设备转发的来自所述VC的注册请求消息；在所述VC注册成功时，为所述VC分配业务标签信息，并通过所述接入设备向所述VC发送注册成功消息， 所述注册成功消息中携带所述业务标签信息；由所述接入设备记录所述VC的IP地址、所述 VC的MAC地址、所述接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系；所述VM服务器接收所述接入设备转发的来自所述VC的点播请求消息；在允许所述VC 点播数据时，所述VM服务器将所述VC的IP地址以及为所述VC分配的所述业务标签信息通知给所述MS ；由所述MS向所述接入设备发送携带所述业务标签信息以及所述VC的IP地址的数据。
8.如权利要求7所述的方法，其特征在于，在向所述MS通知所述VC的IP地址以及所述业务标签信息时，所述VM服务器将所述接入设备的地址通知给所述MS，由所述MS发送目的IP地址为所述接入设备的地址的数据，所述数据具有两层IP头，且所述数据的内层IP 头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址。
9.如权利要求7所述的方法，其特征在于，所述VM服务器通过所述接入设备向所述VC 发送注册成功消息，之后还包括当VC离线或主动下线后，所述VM服务器向所述接入设备发送Label回收消息，所述 Label回收消息中携带所述VM服务器为所述VC分配的业务标签信息。
10.一种安全控制方法，应用于包括视频客户端VC、接入设备、视频管理VM服务器和流媒体服务器MS的监控系统中，其特征在于，该方法包括所述MS接收来自所述VM服务器的通告消息，所述通告消息中携带所述VC的IP地址以及所述VM服务器为所述VC分配的业务标签信息；所述MS通过所述接入设备向所述VC发送数据时，所述数据中携带所述业务标签信息以及所述VC的IP地址。
11.如权利要求10所述的方法，其特征在于，所述通告消息中还携带所述接入设备的地址；在向所述VC发送数据时，所述数据具有两层IP头，且所述数据的内层IP头的目的IP 地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址。
12.—种接入设备，应用于包括视频客户端VC、所述接入设备、视频管理VM服务器和流媒体服务器MS的监控系统中，其特征在于，该设备包括注册请求消息传输模块，用于接收来自所述VC的注册请求消息，并将所述注册请求消息发送给所述VM服务器；注册成功消息传输模块，用于在所述VC注册成功时，接收所述VM服务器返回的注册成功消息，所述注册成功消息中携带所述VM服务器为所述VC分配的业务标签信息；对应关系管理模块，用于记录所述VC的IP地址、MAC地址、接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系；数据处理模块，用于接收所述MS发送给所述VC的数据，所述数据中携带所述VM服务器为所述VC分配的业务标签信息、以及所述VC的IP地址；并当所述数据中携带的业务标签信息和IP地址在所述对应关系中有相匹配的记录时，通过所述业务标签信息和IP地址所对应的MAC地址和接收端口将所述数据发送给所述 VC;否则，丢弃所述数据。
13.如权利要求12所述的设备，其特征在于，所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址；所述数据处理模块，还用于当从所述数据的外层IP头中获知目的IP地址为自身的地址时，在剥掉外层IP头后，从剥掉外层IP头后的数据中获得所述VM服务器为所述VC分配的业务标签信息、以及所述VC的IP地址。
14.如权利要求12所述的设备，其特征在于，还包括注册管理模块，用于当接收到所述VM服务器返回的注册成功消息时，允许所述VC与所述VM服务器之间通过所述接收端口进行数据传输；当未接收到所述VM服务器返回的注册成功消息时，禁止通过所述接收端口转发来自所述VC的数据。
15.如权利要求14所述的设备，其特征在于，所述注册管理模块，还用于在接收到所述VM服务器返回的注册成功消息之前，仅允许通过所述接收端口向所述VM服务器转发来自所述VC的注册请求消息；在禁止通过所述接收端口转发来自所述VC的数据之后，禁止通过所述接收端口向所述VM服务器转发来自所述VC的注册请求消息。
16.如权利要求14所述的设备，其特征在于，所述注册管理模块，进一步用于在向所述VM服务器发送预设次数的注册请求消息后未接收到所述VM服务器返回的注册成功消息，和/或，在预设时间内未接收到所述VM服务器返回的注册成功消息，确认未接收到所述VM服务器返回的注册成功消息。
17.如权利要求12所述的设备，其特征在于，还包括回收消息传输模块，用于接收来自所述VM服务器的Label回收消息，所述Label回收消息中携带所述VM服务器为所述VC分配的业务标签信息；所述对应关系管理模块，还用于删除自身记录的所述业务标签信息所对应的对应关系。
18.—种视频管理VM服务器，应用于包括视频客户端VC、接入设备、所述VM服务器和流媒体服务器MS的监控系统中，其特征在于，该VM服务器包括注册请求消息传输模块，用于接收所述接入设备转发的来自所述VC的注册请求消息； 业务标签信息分配模块，用于在所述VC注册成功时，为所述VC分配业务标签信息； 注册成功消息传输模块，用于通过所述接入设备向所述VC发送注册成功消息，所述注册成功消息中携带所述业务标签信息；由所述接入设备记录所述VC的IP地址、所述VC的 MAC地址、所述接入设备上所述注册请求消息的接收端口、所述业务标签信息的对应关系； 点播请求消息传输模块，用于接收所述接入设备转发的来自所述VC的点播请求消息； 业务标签信息传输模块，用于在允许所述VC点播数据时，将所述VC的IP地址以及为所述VC分配的所述业务标签信息通知给所述MS ；由所述MS向所述接入设备发送携带所述业务标签信息以及所述VC的IP地址的数据。
19.如权利要求18所述的VM服务器，其特征在于，所述业务标签信息传输模块，还用于在向所述MS通知所述VC的IP地址以及所述业务标签信息时，将所述接入设备的地址通知给所述MS，由所述MS发送目的IP地址为所述接入设备的地址的数据，所述数据具有两层IP头，且所述数据的内层IP头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址。
20.如权利要求18所述的VM服务器，其特征在于，还包括回收消息传输模块，用于当VC离线或主动下线后，向所述接入设备发送Label回收消息，所述Label回收消息中携带所述VM服务器为所述VC分配的业务标签信息。
21.一种流媒体服务器MS，应用于包括视频客户端VC、接入设备、视频管理VM服务器和所述MS的监控系统中，其特征在于，该MS包括接收模块，用于接收来自所述VM服务器的通告消息，所述通告消息中携带所述VC的IP 地址以及所述VM服务器为所述VC分配的业务标签信息；发送模块，用于通过所述接入设备向所述VC发送数据时，所述数据中携带所述业务标签信息以及所述VC的IP地址。
22.如权利要求21所述的MS，其特征在于，所述通告消息中还携带所述接入设备的地址；在所述发送模块向所述VC发送数据时，所述数据具有两层IP头，且所述数据的内层IP 头的目的IP地址为所述VC的IP地址，所述数据的外层IP头的目的IP地址为所述接入设备的地址。
全文摘要
本发明公开了一种安全控制方法和设备，接入设备通过记录业务标签信息、VC的IP地址和MAC地址、以及VC与接入设备连接的端口之间的对应关系，在接收到来自MS的数据时，只有当数据中携带的业务标签信息匹配该对应关系时，才会利用MAC地址和端口转发数据给VC；由于客户端感知不到业务标签信息，无法伪造数据，从而可保证监控业务数据的安全性，使得网络中仅出现合法的监控业务数据流，最大限度的提高网络带宽的利用率。
文档编号H04L12/56GK102340511SQ20111034309
公开日2012年2月1日 申请日期2011年11月3日 优先权日2011年11月3日
发明者周迪, 蒋益群 申请人:杭州华三通信技术有限公司