追踪视频源的方法及装置与流程

本申请涉及视频监控领域，尤其涉及一种追踪视频源的方法及装置。

背景技术：

监控摄像头的数据源，目前多采用认证或端到端的加解密方法来解决数据源安全性的问题，但性能开销很大，无法广泛低成本的推广。

另一方面，IP(Internet Protocol，网络之间互连的协议)承载网(例如视频监控系统)中一旦存在较多的攻击或垃圾报文，仅靠这些攻击或垃圾报文的IP或MAC(Media Access Control，物理地址)地址，很难追踪定位这些攻击或垃圾报文的来源，因为源IP地址在网络传输中会更改(比如NAT技术)，且在跨越二层网络传输时，源MAC地址也会被修改。无法定位攻击或垃圾报文的来源，就无法实现对攻击和垃圾报文的清理，导致IP承载网中的攻击和垃圾报文越来越多。

目前，针对攻击或垃圾报文，网络管理员是依靠源IP地址进行追溯。如果源IP地址在NAT(Network Address Translation，网络地址转换)设备上被更换过，就需要此台NAT设备的管理员配合，查看此IP地址相对应的映射关系，查找到此IP地址变换前的IP地址，依此再查找，直到查找到攻击或垃圾报文的始发者。通过源IP地址追溯的方式不仅通用性差，成本高，如果攻击或垃圾报文通过多个NAT设备，就需要协调所有这些NAT设备的管理员进行查找，费时费力。

技术实现要素：

有鉴于此，本申请提供一种追踪视频源的方法及装置，以解决现有技术中存在的通过源IP地址追溯攻击和垃圾报文的来源所存在的通用性差的问题。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种追踪视频源的方法，应用于接入设备，该接入设备用于将监控设备接入网络，所述方法包括：

在所述监控设备发送的注册报文中，添加与所述监控设备对应的设备标识，并将添加设备标识后的注册报文转发至视频管理服务器，由视频管理服务器下发待转发或解码视频源对应的设备标识至网络设备；

在所述监控设备发送的视频源中，添加所述监控设备对应的设备标识，并将添加设备标识后的视频源转发至网络设备，由所述网络设备根据接收到的视频源中的设备标识以及所述视频管理服务器下发的待转发或解码视频源对应的设备标识，判断是否转发或解码所述视频源。

可选地，当所述网络设备是流媒体服务器时，所述流媒体服务器在接收到视频源后，判断所述视频源中的设备标识与所述待转发视频源对应的设备标识是否一致，若是，所述流媒体服务器转发所述视频源；否则，所述流媒体服务器丢弃所述视频源。

可选地，当所述网络设备是客户端时，所述客户端在接收到视频源后，判断所述视频源中的设备标识与所述待解码视频源对应的设备标识是否一致，若是，所述客户端解码所述视频源；否则，所述客户端丢弃所述视频源。

可选地，所述方法还包括：

接收所述监控设备发送的ARP请求，获得所述监控设备的MAC地址，所述设备标识是监控设备的MAC地址。

可选地，所述注册报文中携带有所述监控设备的MAC地址，所述视频管理服务器对应保存所述监控设备的MAC地址、所述监控设备对应的设备标识，并下发待转发或解码视频源所属监控设备的MAC地址与设备标识至所述网络设备。

根据本申请的第二方面，提供一种追踪视频源的装置，应用于接入设备，该接入设备用于将监控设备接入网络，所述装置包括：

第一处理模块，在所述监控设备发送的注册报文中，添加与所述监控设备对应的设备标识，并将添加设备标识后的注册报文转发至视频管理服务器，由视频管理服务器下发待转发或解码视频源对应的设备标识至网络设备；

第二处理模块，在所述监控设备发送的视频源中，添加所述监控设备对应的设备标识，并将添加设备标识后的视频源转发至网络设备，由所述网络设备根据接收到的视频源中的设备标识以及所述视频管理服务器下发的待转发或解码视频源对应的设备标识，判断是否转发或解码所述视频源。

可选地，当所述网络设备是流媒体服务器时，所述流媒体服务器在接收到视频源后，判断所述视频源中的设备标识与所述待转发视频源对应的设备标识是否一致，若是，所述流媒体服务器转发所述视频源；否则，所述流媒体服务器丢弃所述视频源。

可选地，当所述网络设备是客户端时，所述客户端在接收到视频源后，判断所述视频源中的设备标识与所述待解码视频源对应的设备标识是否一致，若是，所述客户端解码所述视频源；否则，所述客户端丢弃所述视频源。

可选地，所述装置还包括：

学习模块，接收所述监控设备发送的ARP请求，获得所述监控设备的MAC地址，所述设备标识是监控设备的MAC地址。

可选地，所述注册报文中携带有所述监控设备的MAC地址，所述视频管理服务器对应保存所述监控设备的MAC地址、所述监控设备对应的设备标识，并下发待转发或解码视频源所属监控设备的MAC地址与设备标识至所述网络设备。

本申请的有益效果：通过在接入监控设备的接入设备中，对监控设备发出的视频源置入该监控设备对应的设备标识，使得视频源到达IP承载网或后端(例如流媒体服务器或者客户端等网络设备)后，均会根据此设备标识进行追踪溯源，从而判断该视频源的合法性和真实性，对攻击或垃圾嫌疑的视频源直接予以清理处理，能够最大限度降低对网络造成的伤害。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是本申请实施例提供的一种追踪视频源的组网示意图

图2是本申请实施例提供的一种追踪视频源的方法流程图；

图3是本申请实施例提供的一种追踪视频源的组网信号流向示意图；

图4是本申请实施例提供的一种添加设备标识的示意图；

图5是本申请实施例提供的又一种追踪视频源的组网信号流向示意图；

图6是本申请实施例提供的一种追踪视频源的装置结构示意图；

图7是本申请实施例提供的又一种追踪视频源的装置结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。另外，在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

参见图1，本实施例提供的一种追踪视频源的方法及装置的组网，包括监控设备、接入设备、视频管理服务器、流媒体服务器和客户端。其中，接入设备用于将所述监控设备接入网络。

可选地，所述监控设备是IPC(Internet Protocol Camera，网络摄像机)等摄像机。

所述接入设备可以是NVR(Network Video Recorder，网络硬盘录像机)或接入交换机。当接入设备是NVR时，所述NVR是包含多个以太网接口，可以取代接入交换机的设备。

参见图2，本实施例提供的一种追踪视频源的方法，该方法应用于接入设备，所述方法可以包括：

S101：在所述监控设备发送的注册报文中，添加与所述监控设备对应的设备标识，并将添加设备标识后的注册报文转发至视频管理服务器，由视频管理服务器下发待转发或解码视频源对应的设备标识至网络设备。

本实施例中，所述注册报文中携带有所述监控设备的MAC地址，所述视频管理服务器对应保存所述监控设备的MAC地址、所述监控设备对应的设备标识，并下发待转发或解码视频源所属监控设备的MAC地址与设备标识至网络设备。

具体地，参见图3，所述监控设备向视频管理服务器注册时，经接入设备将携带有该监控设备自身MAC地址的注册报文转发至所述视频管理服务器。

其中，注册报文可以是基于GB/T-28181或者ONVIF(Open Network Video Interface Forum，开放型网络视频接口论坛)标准传输的。

而接入设备在转发注册报文至视频管理服务器之前，会在所述注册报文中添加与发送所述注册报文的监控设备对应的设备标识。

其中，所述注册报文传输的协议类型可根据需要选择。

本实施例中，注册报文是通过TCP(Transmission Control Protocol传输控制协议)协议或UDP(User Datagram Protocol，用户数据报协议)协议传输的，即注册报文是TCP报文或UDP报文。

接入设备在接收到监控设备发送的注册报文后，会在TCP或UDP报文的“选项(option)”字段，添加上所述监控设备对应的设备标识，防止注册报文中的设备标识在传输过程中被篡改。

由于TCP报文、UDP报文在传输过程中，源IP地址和目的IP地址都有可能被更改，源端口号和目的端口号也有可能被更改。另外，TCP/UDP协议报文的头部字段定义中，除“选项”字段外，其他的字段都有相关定义与用途的，不能随意更改，故本实施例选择TCP报文或UDP报文的“选项”字段，在“选项”字段中插入设备标识来唯一标记此注册报文，能够防止注册报文中的设备标识在传输过程中被篡改，通用性较强。

其中，所述设备标识可以是监控设备自身的MAC地址或者某一特定标识等，所述某一特定标识可以是设备ID(identification，身份标识号)、管理员统一编码且唯一的字符串等。

如图4所示，为在注册报文里的TCP报文中添加所述对应的设备标识的示意图，在TCP报文的“选项”字段添加所述监控设备对应的设备标识。

本实施例中，所述设备标识是监控设备自身的MAC地址，接入设备在对注册报文添加所述监控设备对应的MAC地址前，需要获取该接入设备物理接口下所连接的监控设备对应的MAC地址。

可选地，接入设备接收所述监控设备发送的ARP(Address Resolution Protocol，地址解析协议)请求，获得所述监控设备的MAC地址。

所述监控设备上电启动后，发送携带有该监控设备网关或目的IP地址的ARP请求，该ARP请求到达接入设备后，接入设备会在接收到此ARP请求的物理接口上学习到所述监控设备的MAC地址。

另外，IP承载网络中的网络设备与视频管理服务器交互发方式可根据需要设定，例如，网络设备与视频管理服务器可基于SNMP(Simple Network Management Protocol，简单网络管理协议)协议进行通信。

S102：在所述监控设备发送的视频源中，添加所述监控设备对应的设备标识，并将添加设备标识后的视频源转发至网络设备，由所述网络设备根据接收到的视频源中的设备标识以及所述视频管理服务器下发的待转发或解码视频源对应的设备标识，判断是否转发或解码所述视频源。

其中，视频源是通过TCP协议或UDP协议传输的，即本实施例的视频源的数据类型是TCP报文或UDP报文。

本实施例中，接入设备的物理接口对收到的视频源(所述视频源以TCP或UDP报文等协议方式传输)进行额外处理。例如，请再参见图4，在TCP报文的“选项”字段里添加上物理接口下连接的监控设备所对应的MAC地址。

在步骤S102中，当所述网络设备是流媒体服务器时，所述流媒体服务器在接收到视频源后，判断所述视频源中的设备标识与所述待转发视频源对应的设备标识是否一致，若是，所述流媒体服务器转发所述视频源；否则，所述流媒体服务器丢弃所述视频源。

当所述网络设备是客户端时，所述客户端在接收到视频源后，判断所述视频源中的设备标识与所述待解码视频源对应的设备标识是否一致，若是，所述客户端解码所述视频源；否则，所述客户端丢弃所述视频源。

在一实施例中，设备标识是监控设备自身的MAC地址。参见图4，客户端向视频管理服务器请求某一IPC的实况流(即视频源)，视频管理服务器则告知该客户端待请求实况流的IPC对应的MAC地址，同时视频管理服务器还会告知流媒体服务器待转发的实况流中的MAC地址(即所述待请求实况流的IPC对应的MAC地址)。

参见图5，流媒体服务器收到IPC发送来的实况流，需先检查所述实况流中的TCP或UDP报文“选项”字段的MAC地址，如果该MAC地址与视频管理服务器告知的待请求实况流IPC对应的MAC地址一致，流媒体服务器则复制分发此实况流至客户端；如果不一致，流媒体服务器则丢弃(例如删除)所述实况流，即不转发所述实况流至客户端，保证安全，防止非法可疑实况流对该IP承载网络造成冲击。

客户端收到所述实况流后，同样也需先检查所述实况流中的TCP或UDP报文“选项”字段的MAC地址，如果该MAC地址与视频管理服务器告知的待转发实况流对应的MAC地址一致，客户端则信任所述实况流并解码收到的实况流；如果不一致，说明实况流在传输的过程中被篡改过，客户端则丢弃(例如删除)收到的实况流，保证安全。

对于非法可疑的实况流，流媒体服务器和客户端可通过查看TCP或UDP报文中的特定标识(例如，TCP或UDP报文“选项”字段的MAC地址)后予以丢弃，能够防止实况流在传输的过程中被篡改，从而减少非法可疑的实况流对应IP承载网的冲击。

如果位于该IP承载网络中的网络设备收到可疑视频源，该网络设备可以直接查看此可疑视频源里的TCP或UDP报文的“选项”字段中的MAC地址，就可获得发送此可疑视频源的监控设备，不仅容易排除与处理险情，同时无需借助信息协议，可唯一确认IP承载网络中的视频源所属的监控设备，溯源较为方便且成本较低。

在其它实施例中，设备标识是某一特定标识(非监控设备自身的MAC地址)，由于在监控设备在视频管理服务器上注册时，接入设备会在监控设备发送的注册报文中添加该监控设备对应的设备标识，而监控设备发送的注册报文中直接携带有该监控设备自身的MAC地址，视频管理服务器会将监控设备的设备标识与MAC地址一一对应保存，并告知IP承载网中的网络设备监控设备的设备标识与对应的MAC地址，这样，网络设备在收到视频源后，即可根据所述接收到的视频源的设备标识，查找到对应的MAC，从而查找到发送该视频源的监控设备，实现对视频源的溯源，防止视频数据篡改。

如图6所示，为本申请提供的追踪视频源的装置的结构框图，与上述追踪视频源的方法相对应，可参照上述追踪视频源的方法的实施例来理解或解释该追踪视频源的装置的内容。

参见图6，本实施例提供的一种追踪视频源的装置，应用于接入设备，该装置可包括第一处理模块101和第二处理模块102。

其中，第一处理模块101，在所述监控设备发送的注册报文中，添加与所述监控设备对应的设备标识，并将添加设备标识后的注册报文转发至视频管理服务器，由视频管理服务器下发待转发或解码视频源对应的设备标识至网络设备；

第二处理模块102，在所述监控设备发送的视频源中，添加所述监控设备对应的设备标识，并将添加设备标识后的视频源转发至网络设备，由所述网络设备根据接收到的视频源中的设备标识以及所述视频管理服务器下发的待转发或解码视频源对应的设备标识，判断是否转发或解码所述视频源。

进一步地，当所述网络设备是流媒体服务器时，所述流媒体服务器在接收到视频源后，判断所述视频源中的设备标识与所述待转发视频源对应的设备标识是否一致，若是，所述流媒体服务器转发所述视频源；否则，所述流媒体服务器丢弃所述视频源。

进一步地，当所述网络设备是客户端时，所述客户端在接收到视频源后，判断所述视频源中的设备标识与所述待解码视频源对应的设备标识是否一致，若是，所述客户端解码所述视频源；否则，所述客户端丢弃所述视频源。

进一步地，参见图7，所述装置还可包括学习模块103。

学习模块103用于接收所述监控设备发送的ARP请求，获得所述监控设备的MAC地址，所述设备标识是监控设备的MAC地址。

进一步地，所述注册报文中携带有所述监控设备的MAC地址，所述视频管理服务器对应保存所述监控设备的MAC地址、所述监控设备对应的设备标识，并下发待转发或解码视频源所属监控设备的MAC地址与设备标识至网络设备。

综上所述，本申请的追踪视频源的方法及装置通过在接入监控设备的接入设备中，对监控设备发出的视频源置入该监控设备对应的设备标识，使得视频源到达IP承载网或后端(例如流媒体服务器或者客户端等网络设备)后，均会根据此设备标识进行追踪溯源，从而判断该视频源的合法性和真实性，对攻击或垃圾嫌疑的视频源直接予以清理处理，能够最大限度降低对网络造成的伤害。另外，本申请的追踪视频源的方法及装置不会对实时传输的视频源引入额外延时和额外的性能开销。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。