一种视频监控系统的访问控制方法及安全策略服务器与流程

本发明属于视频监控技术领域，具体涉及一种视频监控系统的访问控制方法及安全策略服务器。

背景技术：

随着视频监控建设的不断深入，接入的视频监控设备数量大幅增加。而常见的网络入侵大都发生在接入层，非法接入是进行DDOS攻击和病毒传播的基础。据统计，视频监控网络入侵90％以上都来自于前端网络攻击。因此，如何从前端设备接入的源头来保证非法设备即时物理上接入了视频专网也无法使用，这对接入网络的安全性提出较大的挑战。

公开号为CN101515927A的中国专利申请公开了一种支持隔离模式的网络接入控制方法，该网络结果控制方法为设备级接入控制方案：某设备初始接入网络时，网络设备控制只能发送或接收其认证协议报文，其他报文禁止通过，设备通过802.1X、Radius等协议与AAA认证服务器交互，认证成功后，认证服务器通过安全策略服务器向网络设备发送配置消息，允许该设备其他报文类型通过网络，认证失败则继续对该设备报文进行隔离。

该接入控制方法能够有效保证网络系统的安全性，但是其需要在接入设备上安装认证客户端，同时配置认证用户名、密码等信息，配置工作量大，且前端设备种类繁多、功能单一，具备认证能力的仅是极其小的一部分，大部分设备无法升级。

此外，公开号为CN105939305A的中国申请公开了一种访问控制方法，该访问控制方法基于防火墙实现，具体如下：基于业务报文特征与识别；在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征；判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类型的对应关系；如果匹配，则根据匹配到的表项确定所述业务报文的协议类型；根据所述协议类型，对所述业务报文进行访问控制处理。但是该访问控制方法存在如下缺点：监控业务报文特征复杂，不单一，各种业务纷繁复杂，不同接入协议的前端所发出来的报文也不一样；应用层内容识别对性能消耗很大，因此此种方案性能比较低。

技术实现要素：

针对现有技术的不足，本发明提供了一种视频监控系统的访问控制方法及安全策略服务器，对前端设备对业务服务器的访问进行访问控制，消除前端网络攻击带来的安全隐患。

一种视频监控系统的访问控制方法，所述视频监控系统包括前端设备和业务服务器，应用于安全策略服务器，所述安全策略服务器设置在所述前端设备与业务服务器之间通信链路上，所述视频监控系统的访问控制方法包括：

向业务服务器订阅典型事件，并根据典型事件的类型设置对应的访问控制规则，接收业务服务器在被订阅典型事件发生时上报的典型事件，从上报的典型事件中提取其对应的前端设备信息和典型事件的类型，根据该典型事件类型对应的访问控制规则，控制该典型事件对应的前端设备对业务服务器的访问。

作为优选，所述典型事件的类型包括增加前端设备、删除前端设备，所述访问控制规则包括：

若典型事件的类型为增加前端设备，访问控制规则为允许对应的前端设备在第一时间段内和业务服务器通信；

若典型事件的类型为删除前端设备，访问控制规则为拒绝对应的前端设备和业务服务器通信。

作为优选，所述典型事件的类型包括前端设备上线和前端设备下线，所述访问控制规则包括：

若典型事件的类型为前端设备上线，访问控制规则为允许对应的前端设备和业务服务器通信，直至该前端设备下线或删除；

若典型事件的类型为前端下线，访问控制规则为拒绝对应的前端设备和业务服务器通信，然后在安全策略服务器中启动一个线程ping该前端设备，若ping通对应的前端设备，且该前端设备在ping通后预设的上线时间内成功上线，则将访问规则跃迁为前端设备上线后所采用的访问控制规则；若ping通后在预设的上线时间未成功上线，则自确认未上线成功时刻起的第二时间段内拒绝该前端设备与业务服务器通信。

作为另一种优选方案，所述典型事件的类型包括前端设备上线和前端设备下线，所述访问控制规则包括：

若典型事件的类型为前端设备上线，访问控制规则为允许对应的前端设备和业务服务器通信，直至该前端设备下线或删除；

若典型事件的类型为前端下线，访问控制规则为拒绝对应的前端设备和业务服务器通信，然后检测是否接收到来自前端设备的数据包，接收到数据包后，若该前端设备在预设的上线时间内成功上线，则将访问规则跃迁为前端设备上线后所采用的访问控制规则，若在预设的上线时间未成功上线，则自确认未上线成功时刻起的第二时间段内拒绝该前端设备与业务服务器通信。

进一步优选，所述安全策略服务器从上报的典型事件中提取其对应的前端设备和典型事件的类型后，还包括：

开放业务服务器向对应前端设备的访问权限。

本发明还提供了一种视频监控系统的安全策略服务器，所述视频监控系统包括前端设备与业务服务器，所述安全策略服务器设置在所述前端设备与业务服务器之间通信链路上，所述视频监控系统的安全策略服务器包括：

事件订阅通知模块，用于向业务服务器订阅典型事件，并根据典型事件的类型设置对应的访问控制规则，接收业务服务器在被订阅典型事件发生时上报的典型事件；

安全策略跃迁模块，用于从上报的典型事件中提取其对应的前端设备和典型事件的类型，并根据典型事件的类型获取对应的访问控制规则；

安全策略执行模块，用于根据该典型事件类型对应的访问控制规则，控制该典型事件对应的前端设备与业务服务器之间的通信。

进一步，所述安全策略执行模块还用于从上报的典型事件中提取其对应的前端设备和典型事件的类型后，开放业务服务器向对应前端设备的访问权限。

需要说明的是，本发明中第一时间段、第二时间段以及上线时间根据实际应用需求设定。且第一时间段、第二时间段实际上为相关访问控制规则的控制时间。

与现有技术相比，本发明具有如下优点：

仅通过在原有监控系统中，增加一台安全策略服务器对前端设备对业务服务器的业务访问进行访问控制，控制过程中安全策略服务器无需理解复杂多样的监控报文内容，原有的业务服务器仅需向安全策略服务器新增典型事件通知，数量庞大的各种前端设备无需做任何适配，也无需进行系统升级，无缝全兼容接入，实施简单、普适性强。

附图说明

图1为本发明的视频监控系统的结构示意图；

图2为本发明的访问控制方法中典型事件订阅流程图；

图3为本发明的访问控制方法的流程图；

图4为本发明安全策略服务器的结构示意图。

具体实施方式

为了更好的理解本发明，下面将结合具体实施例和附图进一步阐述本发明的方案，但本发明的内容不仅仅局限于下面的实施例。

本发明的总体设计思路是在原有监控系统中，增加一台安全策略服务器，视频监控系统中任何前端设备对系统内业务服务器的业务访问需求，都需要通过安全策略服务器进行访问控制。

如图1所示，本实施例的视频监控系统，包括前端设备(包括前端设备1、前端设备2，……前端设备n)和业务服务器，前端设备和业务服务器间的通信链路上设有一安全策略服务器，用于对前端设备访问业务服务器进行访问控制。

在利用该视频监控系统进行控制时，首先对视频监控系统中各个组成进行配置。

安全策略服务器进行如下配置：向业务服务器订阅典型事件，并根据典型事件的类型设置对应的访问控制规则。

业务服务器进行如下配置：接收安全策略服务器的订阅典型事件的请求，并在被订阅典型事件发生时向安全策略服务器上报该典型事件。

该视频监控系统的安全策略服务器初始状态默认禁止一切报文通过，在配置业务服务器IP并启动后，仅允许业务服务器和安全策略服务器通信，安全策略服务器放开源IP(SRC IP)为业务服务器，目的IP(DST IP)为安全策略服务器的报文如表1所示。

表1

整个视频监控系统在使用过程中会发生各种事件，如增加前端设备、删除前端设备、前端设备上线、前端设备下线、前端设备异常等，但并不限于以上事件，在此不一一罗列。

本实施例中以业务服务器上增加前端设备、删除前端设备、前端设备上线、前端设备下线四种操作为例进行详细说明。

增加前端设备过程如下：

业务服务器上配置有允许接入的前端设备，配置的信息如表2所示，在配置成功后触发增加前端设备典型事件。

表2

前端设备上线过程如下：

前端设备上线过程可以由业务服务器在添加前端设备后主动获取前端设备信息以及一系列上线许可动作，或在前端设备配置业务服务器IP并选择业务服务器管理模式后，由前端设备向业务服务器提交注册信息进行注册，注册信息包括设备ID、设备IP、协议、上线辅助信息(如用户名、密码、设备型号等，部分表2中未示出)，业务服务器对前端设备进行鉴权，核对用户名、密码、设备ID、设备型号等信息，核对成功后，判定前端设备上线。如果一次注册不成功，会继续注册直到成功，无论主动或被动注册上线的时间窗口均可设定。

前端设备上线后，业务服务器即可对前端设备发起各种各样的业务请求，如实况、录像、云台控制等。

前端设备下线，指上线的前端设备退出、断开网络连接、或其他设备异常等情况导致前端设备无法和业务服务器进行在线保活从而导致离线，并停止所有业务，业务服务器感知到前端设备离线后判断前端设备事件发生。在使用过程中，前端设备定期保活，保活失败则业务服务器认为该前端设备离线。

删除前端设备，指删除业务服务器中已经配置的前端设备对应的信息，并停止所有业务。

利用上述视频监控系统进行典型事件订阅的流程如图2所示，首先，安全策略服务器向业务服务器发送订阅典型事件的订阅请求(图中1：scribe(事件订阅))，业务服务器向安全策略服务器响应该请求表示请求通过(图中2：OK)；业务服务器向安全策略服务器上报的该订阅请求所订阅的典型事件(图中3：Notify(事件上报))；安全策略服务器向业务服务器发送订阅典型事件成功信息(图中4：OK)。

本实施例一种视频监控系统的访问控制方法，应用于安全策略服务器如图3所示，包括：

接收业务服务器在被订阅典型事件发生时上报的典型事件；

从上报的典型事件中提取其对应的前端设备信息和典型事件的类型；

根据该典型事件类型对应的访问控制规则，控制该典型事件对应的前端设备对业务服务器的访问。

在进行访问控制前，安全策略服务器中已经根据典型事件的类型设定好访问控制规则了。使用过程中，安全策略服务器仅根据上报的典型事件的类型调用相应的访问控制规则即可。

本实施例中从上报的典型事件中提取其对应的前端设备信息包括但不限于该前端设备的IP地址、设备ID、型号等信息，通过将该前端设备的地址与调用的访问规则进行关联，即可实现利用该访问控制规则控制该前端设备与业务服务器间的通信，以实现访问控制的目的。

需要说明的是，上述访问控制规则可根据实际应用情况设定或调整。

本实施例提供了一种访问控制规则包括：

若典型事件的类型为增加前端设备，访问控制规则为允许对应的前端设备在第一时间段内和业务服务器通信；

若典型事件的类型为前端设备上线，访问控制规则为允许对应的前端设备和业务服务器通信，直至该前端设备下线或删除；

若典型事件的类型为前端下线，访问控制规则为拒绝对应的前端设备和业务服务器通信，然后在安全策略服务器中启动一个线程ping该前端设备，若ping通对应的前端设备，且该前端设备在ping通后预设的上线时间内成功上线，则将访问规则跃迁为前端设备上线后所采用的访问控制规则；

若ping通后在预设的上线时间未成功上线，则自确认未上线成功时刻起的第二时间段内拒绝该前端设备与业务服务器通信；

若典型事件的类型为删除前端设备，访问控制规则为拒绝对应的前端设备和业务服务器通信。

需要说明的是，由于增加前端设备、删除前端设备、前端设备上线、前端设备下线等典型事件交替出现，因此在相应典型事件发生后，访问控制规则会随着变化，例如前端设备上线后下线，访问控制规则由前端设备上线对应的访问控制规则变为前端下线对应的访问控制规则，而当前端下线后在安全策略服务器ping通前端设备后，前端设备在预设的上线时间内成功上线，则将访问规则跃迁为前端设备上线后所采用的访问控制规则。

本实施例还提供了另一种访问控制规则包括：

若典型事件的类型为增加前端设备，访问控制规则为允许对应的前端设备在第一时间段内和业务服务器通信；

若典型事件的类型为前端设备上线，访问控制规则为允许对应的前端设备和业务服务器通信，直至该前端设备下线或删除；

若典型事件的类型为前端下线，访问控制规则为拒绝对应的前端设备和业务服务器通信，然后检测是否接收到来自前端设备的数据包，接收到数据包后，若该前端设备在预设的上线时间内成功上线，则将访问规则跃迁为前端设备上线后所采用的访问控制规则，若在预设的上线时间未成功上线，则自确认未上线成功时刻起的设定第二时间段内拒绝该前端设备与业务服务器通信；

若典型事件的类型为删除前端设备，访问控制规则为拒绝对应的前端设备和业务服务器通信。

作为本实施例的一种实现方式，第一时间段为T；第二时间段根据首次ping通时的次数和上线时间确定，具体如下：即若ping通后在预设的上线时间未成功上线，则自确认未上线成功时刻起的nT时间(即第二时间段为nT)内拒绝该前端设备与业务服务器通信，其中，T为上线时间，n为首次ping通时执行ping操作的总次数。

例如，若前3次均未ping通，在第4次ping通后，且超时未完成上线，则认为此设备不可信，拒绝此设备的访问nT的时间，且n＝4，当T为6个小时。当第4次后，则拒绝此设备的访问限制时长为24小时。

需要说明的是，本实施例中第一时间段、第二时间段以及上线时间均根据具体应用情况设定，无特殊要求。

具体实现时，安全策略服务器可以维护一张根据该访问规则将各个前端设备与对应的访问规则汇集成的访问控制规则表，以记录各个控制前端设备的访问规则。

以上述两种实现方式中的第一种访问控制规则为例，对应的访问控制规则表如表3所示，其中，1代表ADD前端设备，2代表DELETE前端设备3代表前端设备ONLINE，4代表前端设备OFFLINE，t为控制时间段，T为上线时间(此处为3min)，SRC IP为业务服务器，DST IP为安全策略服务器。

表3

在使用过程中该视频监控系统中前端设备的状态(包括已注册、上线、离线，未注册四个状态)会实时变化，一旦状态发送变化，则其对应的访问控制规则也会发生变化或跃迁，此时需要及时更新访问控制规则表。

为能够准确的进行访问控制时，必须保证在同一个时刻，对同一个前端设备，仅有一条访问控制规则。因此安全策略服务器会检测每个前端设备所对应的访问控制规则，一旦前端设备的状态变化，则首先删除原来的规则，再接受新的访问控制规则。

本实施例的访问控制方法，由于安全策略是根据业务服务器的典型事件及监控设备访问服务器的一般过程进行设计，确保其他非监控设备无法模拟这样的过程，从而保证了整个视频监控系统的安全。

安全策略服务器无需理解复杂多样的监控报文内容即可进行有效的访问控制。数量庞大的各种前端设备无需做任何适配，也无需进行系统升级，无缝全兼容接入。原有服务器仅需向安全策略服务器新增关键事件通知，实施简单，且监控系统通用的安全策略，复杂度低，性能高。

本实施例中当安全策略服务器收到上报的典型事件后，从上报的典型事件中提取其对应的前端设备后，并放开业务服务器主动向对应设备的访问权限。

实际实现时，业务服务器上报的已订阅的典型事件中应携带有对应的前端设备的信息。安全策略服务器对接收到的上报的典型事件进行解析即可得到前端设备的信息，进而确定具体的前端设备，从而可以主动获取前端设备信息以及一系列上线许可动作。

与上述方法对应地，本实施例的一种视频监控系统的安全策略服务器，包括：

事件订阅通知模块，用于向业务服务器订阅典型事件，并根据典型事件的类型设置对应的访问控制规则，接收业务服务器在被订阅典型事件发生时上报的典型事件；

安全策略跃迁模块，用于从上报的典型事件中提取其对应的前端设备和典型事件的类型，并根据典型事件的类型获取对应的访问控制规则；

安全策略执行模块，用于根据该典型事件类型对应的访问控制规则，控制该典型事件对应的前端设备对业务服务器的访问。

本实施例安全策略执行模块还用于在从上报的典型事件中提取其对应的前端设备信息和典型事件的类型后，开放业务服务器向对应前端设备的访问权限。

需要说明的是，安全策略服务器可以在接收到上报的典型事件后就开放业务服务器向对应前端设备的访问权限，从而允许业务服务器对前端设备进行控制。也可以在相应的访问控制规则生效后，再允许前端设备与业务服务器之间的通信，这里不再赘述。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。