技术领域本发明涉及通信技术领域,尤其涉及一种数据传输控制方法及视频监控系统。
背景技术:
随着视音频编解码技术和网络存储技术的发展,将摄像机的图像数据数字化,并在Internet(互联网)网络上传输、存储形成了数字视频监控技术。802.1X协议是一种基于端口的网络接入控制协议(portbasednetworkaccesscontrolprotocol),其在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。然而实践发现,当在视频监控组网中应用802.1x协议时,若IPC(InternetProtocolCamera,网络摄像机)所连接的交换机端口为非受控端口,则视频监控组网中业务的安全性将无法得到保证;因而,出于安全考虑,IPC所连接的交换机端口会被设置为受控且非授权端口,此时,IPC的正常实况或其它监控流将无法发出,从而导致整个监控业务不可用。
技术实现要素:
本发明提供一种数据传输控制方法及视频监控系统,以解决现有视频监控组网中应用认证协议时导致监控业务不可用的问题。根据本发明实施例的第一方面,提供一种数据传输控制方法,应用于应用了802.1x协议的视频监控系统,所述视频监控系统包括监控设备、客户端、视频管理器VM、交换机以及认证服务器,系统初始化运行时,所述交换机上监控设备侧端口均被设置为非受控端口,当监控设备向VM注册成功后,VM通知认证服务器将该监控设备所连接的交换机端口修改为允许注册报文和保活报文通过,且禁止媒体流数据通过的受控端口,所述方法包括:当所述VM确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息;所述VM根据所述待传输数据的特征信息确定对应的数据传输控制规则,并将所述数据传输控制规则发送给认证服务器;其中,所述数据传输控制规则用于指示认证服务器允许与所述待传输数据的特征信息匹配的数据通过交换机;所述认证服务器接收所述数据传输控制规则,并根据所述数据传输控制规则进行数据传输控制。根据本发明实施例的第二方面,提供一种视频监控系统,所述系统应用了802.1x协议,所述视频监控系统包括监控设备、客户端、视频管理器VM、交换机以及认证服务器,系统初始化运行时,所述交换机上监控设备侧端口均被设置为非受控端口,当监控设备向VM注册成功后,VM通知认证服务器将该监控设备所连接的交换机端口修改为允许注册报文和保活报文通过,且禁止媒体流数据通过的受控端口,其中:所述VM,用于当确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息;所述VM,还用于根据所述待传输数据的特征信息确定对应的数据传输控制规则,并将所述数据传输控制规则发送给认证服务器;其中,所述数据传输控制规则用于指示认证服务器允许与所述待传输数据的特征信息匹配的数据通过交换机;所述认证服务器,用于接收所述数据传输控制规则,并根据所述数据传输控制规则进行数据传输控制。应用本发明实施例,通过VM在确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息,并根据待传输数据的特征信息确定对应的数据传输控制规则,进而将该数据传输控制规则发送给认证服务器,由认证服务器根据该数据传输控制规则进行数据传输控制,在保证了视频监控组网中业务正常运行的同时,提高了视频监控组网中业务的安全性。附图说明图1是本发明实施例提供的一种数据传输控制的网络架构示意图;图2是本发明实施例提供的一种数据传输控制方法的流程示意图;图3是本发明实施例提供的一种视频监控系统的架构示意图。具体实施方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。下面先对本发明实施例适用的网络架构进行描述。请参见图1,图1为本发明实施例提供的一种数据传输控制的网络架构示意图,如图1所示,该网络架构适用于应用了802.1x协议的视频监控系统,其可以包括监控设备(如IPC)、客户端(如监控客户端)、VM(VideoManager,视频管理器)、交换机以及认证服务器(如RemoteAuthenticationDialInUserService,远程用户拨号认证系统)。在该网络架构中,可以预先配置VM可以通过监控协议或私有协议对认证服务器进行管理,其可以包括但不限于VM向认证服务器发送数据传输控制规则,使认证服务器允许指定特征的报文进入交换机以及局域网内部,而其它报文则禁止进入。当系统初始化运行时,交换机上监控设备侧端口均被设置为非受控端口,当监控设备向VM注册成功后,VM通知认证服务器将该监控设备所连接的交换机端口修改为允许注册报文和保活报文通过,且禁止媒体流数据通过的受控端口。当VM检测到某个监控设备存在数据传输需求时,VM可以确定该监控设备传输的数据的特征信息,生成对应该特征信息的数据传输控制规则,并将该数据传输控制规则发送给认证服务器,由认证服务器根据该数据传输规则对对应的交换机端口进行选择性地授权,在保证视频监控组网中业务正常运行的同时,提高视频监控组网中业务的安全性。基于图1所示的网络架构,本发明实施例提供了一种数据传输控制方法,请参见图2,图2为本发明实施例提供的一种数据传输控制方法的流程示意图,如图2所示,该数据传输控制方法可以包括以下步骤:步骤201、当VM确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息。本发明实施例中,当VM检测到视频监控组网中存在数据传输需求(如视频监控实况数据传输需求)时,VM可以确定待传输数据的特征信息。作为一种可选的实施方式,在本发明实施例中,当VM确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息可以包括:当接收到目标客户端发送的针对目标监控设备的点播请求,确定目标监控设备发送给目标客户端的监控数据的特征信息。在该实施方式中,目标客户端并不特指某一固定的客户端,而是可以指代视频监控组网中任一客户端;目标监控设备也并不特指某一固定的监控设备,而是可以指代视频监控组网中任意监控设备。其中,该监控设备可以包括但不限于IPC(InternetProtocolCamera,网络摄像机)等。在该实施方式中,当VM接收到目标客户端针对目标监控设备的点播请求时,VM需要通知目标监控设备向目标客户端发送监控数据,此时,VM可以确定目标监控设备发送给目标客户端的监控数据的特征信息,其中,该监控数据的特征信息可以包括但不限于监控数据的五元组信息、编码类型以及数据包长度等。举例来说,假设目标客户端为Client1,目标监控设备为IPC1,Client1的IP地址为IP1,IPC1的IP地址为IP2,IPC1和Client1之间分别通过端口a1和端口b1实现数据交互,则IPC1发送给Client1的视频监控实况数据流的五元组信息可以为(IP2,端口b1,IP1,端口a1,传输层协议),编码类型可以为常见的视频监控实况数据的编码类型,如H.264(一种数字视频压缩格式)编码类型、数据包长度可以为视频监控实况数据包的长度。其中,传输层协议用于指示数据为TCP(TransmissionControlProtocol,传输控制协议)数据或UDP(UserDatagramProtocol,用户数据报协议)。进一步地,在本发明实施例中,确定待传输数据的特征信息,还可以包括:当监控数据为TCP数据时,确定目标客户端返回给目标监控设备的回应报文的特征信息。在该实施方式中,考虑到TCP协议中,接收端设备接收到发送端设备发送的数据后,需要回应ACK(确认)报文来确认已接收到数据,因而,当VM确定目标监控设备发送给目标客户端的监控数据为TCP数据时,VM还需要确定目标客户端返回给目标监控设备的回应报文(ACK报文)的特征信息。其中,回应报文的特征信息可以包括但不限于回应报文的五元组信息以及数据包长度等。步骤202、VM根据该待传输数据的特征信息确定对应的数据传输控制规则,并将该数据传输控制规则发送给认证服务器;其中,该数据传输控制规则用于指示认证服务器允许与待传输数据的特征信息匹配的数据通过交换机。本发明实施例中,VM确定待传输数据的特征信息之后,可以根据待传输数据的特征信息确定对应的数据传输控制规则,该数据传输控制规则用于指示认证服务器允许与上述待传输数据的特征信息匹配的数据通过交换机。举例来说,仍以上述步骤201的相关描述中所举示例为例,VM确定待传输数据的特征信息之后,可以确定该特征信息对应的数据传输控制规则,该数据传输控制规则可以包括允许五元组信息为(IP2,端口b1,IP1,端口a1,传输层协议),编码类型为实况数据流的常见编码类型(如H.264编码类型),数据包长度为实况包长范围内的数据通过交换机。进一步地,在该示例中,若IPC1向Client1发送的数据为TCP数据,则VM指定的数据传输控制规则还可以包括允许五元组信息(IP1、端口a1、IP2、端口b1,传输层协议(对应TCP协议)),数据包长度为ACK包长范围的数据通过交换机。可见,在本发明实施例中,对于UDP数据,对应的数据传输控制规则为单向准入规则,即仅允许监控设备发送给客户端的,且与对应的数据传输控制规则匹配的数据进入交换机以及局域网内部;对于TCP数据,对应的数据传输控制规则为双向准入规则,除了允许监控设备发送给客户端的,且与对应的数据传输控制规则匹配的数据进入交换机以及局域网内部之外,还允许客户端向监控设备返回的ACK报文通过交换机的相应端口进行转发。进一步地,在该实施方式中,当目标监控设备发送给目标客户端的监控数据为TCP数据时,数据传输控制规则还可以用于指示认证服务器在预设时长内放开对目标监控设备与目标客户端之间交互的数据的控制。具体的,在该实施方式中,考虑到目标监控设备需要与目标客户端进行TCP数据交互时,目标监控设备需要与目标客户端建立TCP连接(包括TCP建立过程中的三次握手流程),该过程中会涉及到目标监控设备与目标客户端二者的交互,因而,为了保证目标监控设备与目标客户端之间的TCP连接的成功建立,当VM确定目标监控设备与目标客户端之间要进行TCP数据交互时,VM需要指示认证服务器在预设时长内(该预设时长可以由管理员根据经验值设定,如20秒、30秒等)放开对目标监控设备与目标客户端之间交互的数据的控制,以保证目标监控设备可以成功与目标客户端建立TCP连接。本发明实施例中,VM确定了数据传输控制规则之后,可以将该数据传输控制规则发送给认证服务器;认证服务器接收到该数据传输控制规则之后,可以根据该数据传输控制规则进行数据传输控制。为了达到上述目的,在本发明实施例中,需要预先配置VM可以通过监控协议或私有协议对认证服务器进行管理,其可以包括但不限于VM向认证服务器发送数据传输控制规则,使认证服务器允许指定特征的报文进入交换机以及局域网内部,而其它报文则禁止进入。步骤203、认证服务器接收VM发送的数据传输控制规则,并根据接收到的数据传输控制规则进行数据传输控制。本发明实施例中,认证服务器接收到VM发送的数据传输控制规则之后,可以根据该数据传输控制规则进行数据传输控制,如允许与数据传输控制规则中包括的特征信息匹配的数据通过交换机,或,在预设时长内放开对指定监控设备与指定客户端之间的数据交互的控制等。作为一种可选的实施方式,在本发明实施例中,认证服务器根据接收到的数据传输控制规则进行数据传输控制,可以包括:认证服务器根据接收到的数据传输控制规则向交换机下发数据传输控制指令令;其中,该数据传输控制指令用于指示交换机允许从指定端口接收到的与指定特征信息匹配的数据通过交换机;交换机接收该数据传输控制指令,并根据该数据传输控制指令进行数据传输控制。在该实施方式中,认证服务器接收到VM发送的数据传输控制规则之后,可以根据该数据传输控制规则生成对应的数据传输控制指令,并将该数据传输控制指令下发给交换机,由交换机根据该数据传输控制指令进行数据传输控制。其中,认证服务器将数据传输控制指令下发给交换机的具体实现可以沿用802.1xEAPOL(ExtensibleAuthenticationProtocolOverLAN(LocalAreaNetwork,局域网),基于局域网的扩展认证协议)报文进行下发。在该实施方式中,认证服务器向交换机下发数据传输控制指令时,还需要指示进行数据传输控制的端口,因而,认证服务器还可以在向交换机下发的数据传输控制指令中携带该数据传输控制指令对应的监控设备的MAC(MediaAccessControl,媒体访问控制)地址或该监控设备与交换机连接的端口(该MAC地址或端口可以由VM获取并发送给认证服务器)。其中,当认证服务器向交换机下发的数据传输控制指令中携带的为对应的监控设备的MAC地址时,交换机需要通过MAC地址查询对应的监控设备所连接的端口,其具体实现在此不再赘述。相应地,在本发明实施例中,VM可以收集视频监控组网中各监控设备的标识信息(如MAC地址或与交换机连接的端口)。其中,VM收集各监控设备的标识信息可以通过监控设备向VM注册或保活时携带在注册报文或保活报文中的方式实现,也可以通过用户静态地在VM上进行配置的方式实现。当VM检测到某监控设备的数据传输需求,并确定了待传输数据对应的数据传输控制规则时,VM可以将该传输控制规则以及该监控设备的标识信息一起发送给认证服务器。在该实施方式中,交换机接收到认证服务器下发的数据传输控制指令之后,可以在相应端口上使能对应的数据传输控制规则,并当从该端口接收到数据时,根据数据的特征信息匹配对应的数据传输控制规则,若匹配到对应的数据传输控制规则,则允许数据通过;否则,不允许数据通过。举例来说,假设交换机端口a上使能的数据传输控制规则包括允许H.264编码的视频监控实况数据进入交换机以及局域网内部,则当交换机从端口a接收到数据时,可以通过检查IP/RTP(Real-timeTransportProtocol,实时传输协议)/H.264等相关封装后的数据,通过检查IP包的相应偏移量(因为采用H.264封装的数据包中编码数据在IP包内的起始位置是固定的),来检查H.264编码层的NAL(NetworkAbstractLayer,网络抽象层)数据头部信息是否为6442,若是,则确定该IP包的数据为视频监控实况数据,允许其通过;否则,拒绝其通过。作为另一种可选的实施方式,在本发明实施例中,认证服务器根据接收到的数据传输控制规则进行数据传输控制,可以包括:认证服务器接收交换机发送的待传输数据;认证服务器根据待传输数据的特征信息查询自身存储的数据传输控制规则;若查询到对应的数据传输控制规则,且根据该数据传输控制规则确定允许待传输数据通过交换机时,认证服务器向交换机下发允许数据通过指令;否则,认证服务器向交换机下发禁止数据通过指令。在该实施方式中,可以由认证服务器确定是否允许交换机接收到的数据进入交换机以及局域网内部。相应地,在该实施方式中,当交换机接收到数据时,交换机可以对该数据进行复制,并将其上传给认证服务器;认证服务器接收到交换机上传的数据后,可以根据数据的特征信息查询自身存储的数据传输控制规则,以判断是否存在与该数据的特征信息匹配的数据传输控制规则,若存在,且该数据传输控制规则确定允许该数据通过时,认证服务器可以向交换机下发允许待传输数据通过的指令;否则,认证服务器可以向交换机下发禁止待传输数据通过的指令。通过以上描述可以看出,在本发明实施例中,通过VM在确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息,并根据待传输数据的特征信息确定对应的数据传输控制规则,进而将该数据传输控制规则发送给认证服务器,由认证服务器根据该数据传输控制规则进行数据传输控制,在保证了视频监控组网中业务正常运行的同时,提高了视频监控组网中业务的安全性。请参见图3,为本发明实施例提供的一种视频监控系统的架构示意图,所述系统应用了802.1x协议,所述视频监控系统包括监控设备310、客户端320、视频管理器VM330、交换机340以及认证服务器350,系统初始化运行时,所述交换机340上监控设备侧端口均被设置为非受控端口,当监控设备向VM注册成功后,VM通知认证服务器将该监控设备所连接的交换机端口修改为允许注册报文和保活报文通过,且禁止媒体流数据通过的受控端口,其中:所述VM330,用于当确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息;所述VM330,还用于根据所述待传输数据的特征信息确定对应的数据传输控制规则,并将所述数据传输控制规则发送给认证服务器350;其中,所述数据传输控制规则用于指示认证服务器允许与所述待传输数据的特征信息匹配的数据通过交换机340;所述认证服务器350,用于接收所述数据传输控制规则,并根据所述数据传输控制规则进行数据传输控制。在可选实施例中,所述VM330,可以具体用于当接收到目标客户端发送的针对目标监控设备的点播请求,确定所述目标监控设备发送给所述目标客户端的监控数据的特征信息;所述监控数据的特征信息包括所述监控数据的五元组信息、编码类型以及数据包长度。在可选实施例中,所述VM330,还可以用于当所述监控数据为传输控制协议TCP数据时,确定所述目标客户端返回给所述目标监控设备的回应报文的特征信息,所述回应报文的特征信息包括所述回应报文的五元组信息以及数据包长度;其中,所述数据传输控制规则还用于指示认证服务器在预设时长内放开对所述目标监控设备与所述目标客户端之间交互的数据的控制。在可选实施例中,所述认证服务器350,可以具体用于根据所述数据传输控制规则向交换机340下发数据传输控制指令;其中,所述数据传输控制指令用于指示交换机允许从指定端口接收到的与指定特征信息匹配的数据通过交换机;所述交换机340,可以用于接收所述数据传输控制指令,并根据所述数据传输控制指令进行数据传输控制;其中,所述数据传输控制指令用于指示交换机允许从指定端口接收到的与指定特征信息匹配的数据通过交换机。在可选实施例中,所述认证服务器350,可以用于接收交换机340发送的待传输数据;所述认证服务器350,还可以用于根据所述待传输数据的特征信息查询自身存储的数据传输控制规则;所述认证服务器350,还可以用于若查询到对应的数据传输控制规则,且根据所述数据传输控制规则确定允许所述待传输数据通过交换机340时,向所述交换机340下发允许数据通过指令;否则,向所述交换机340下发禁止数据通过指令。在可选实施例中,所述VM330可以包括:第一确定单元,用于当确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息;第二确定单元,用于根据所述待传输数据的特征信息确定对应的数据传输控制规则;发送单元,用于将所述数据传输控制规则发送给认证服务器;其中,所述数据传输控制规则用于指示认证服务器允许与所述待传输数据的特征信息匹配的数据通过交换机。在可选实施例中,所述认证服务器350可以包括:接收单元,用于接收所述数据传输控制规则;控制单元,用于根据所述数据传输控制规则进行数据传输控制。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。由上述实施例可见,通过VM在确定目标监控设备存在数据传输需求时,确定待传输数据的特征信息,并根据待传输数据的特征信息确定对应的数据传输控制规则,进而将该数据传输控制规则发送给认证服务器,由认证服务器根据该数据传输控制规则进行数据传输控制,在保证了视频监控组网中业务正常运行的同时,提高了视频监控组网中业务的安全性。本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。