一种视频前端设备安全接入的方法及装置与流程

本发明属于网络设备安全接入技术领域，尤其涉及一种视频前端设备安全接入的方法及装置。

背景技术：

网络安全在当今的网络时代一直是各方关注的焦点问题，网络系统受到的干扰或攻击将导致数据信息损坏或泄漏，其代价是难以估量的。在视频监控组网中，前端视频输入设备分布广泛，前端设备接入视频监控管理平台的安全性一直备受关注，容易发生视频监控系统受到攻击而发生系统故障或视频泄漏的情况。

目前已经存在一些视频管理平台对前端设备安全控制的技术方法，例如视频监控管理平台与前端视频输入设备之间，可以通过密码鉴权、安全证书认证等手段保证设备的安全接入。但是，在前端设备与接入交换机之间，以及交换机与视频监控管理平台之间，缺少安全控制的技术手段。而交换机作为一种核心的网络设备，在组网中必不可少，而且分布相当广泛，对于视频监控系统的安全防范，应该考虑对通过接入交换机产生的非法攻击进行防范。对于交换机网络安全方面的技术实现手段，常用的方法包括：mac地址泛洪攻击的安全防护、广播风暴攻击的防护、环路攻击安全防护等。

然而在视频监控组网中，目前只存在视频监控管理平台与前端视频输入设备之间的安全接入方案，缺少视频监控管理平台通过交换机对接入的前端设备进行安全管理的技术手段。并且目前交换机的安全技术大多针对普适的网络安全，缺少适配视频监控网络设备接入的安全控制手段。

技术实现要素：

本发明的目的是提供一种视频前端设备安全接入的方法及装置，应用在接入前端设备的接入交换机上，用于防范在交换机侧进行的网络攻击行为，提高视频监控系统的安全性。

为了实现上述目的，本发明技术方案如下：

一种视频前端设备安全接入的方法，应用于将前端设备接入到视频监控系统的接入交换机，所述交换机注册到视频监控管理平台，所述交换机上连接有用于监测当前网络环境是否安全的传感器，所述视频前端设备安全接入的方法，包括：

所述交换机接收所述传感器感知的网络环境存在安全风险的信号后，将工作模式切换到安全风险模式；

在安全风险模式下，记录当前已经正常接入前端设备的网络端口，并将当前已经正常接入前端设备的网络端口设置为保护状态，将其他没有接入前端设备的网络端口设置为禁用状态；

接收视频监控管理平台发来的复位请求，将工作模式切换到正常工作模式，将所有网络端口设置为正常状态。

进一步地，所述将当前已经正常接入前端设备的网络端口设置为保护状态，还包括：

在保护状态下，若检测到处于保护状态下的网络端口下电，则将该网络端口设置为禁用状态，向视频监控管理平台推送告警信息。

进一步地，所述传感器包括但不限于：位置传感器，或/和加速度传感器，或/和压力传感器，或/和视频摄像头。

进一步地，所述接收所述传感器感知的网络环境存在安全风险的信号后，将工作模式切换到安全风险模式，包括：

监听连接传感器的输入接口，若发现输入接口接收到阶跃信号，则将工作模式切换到安全风险模式。

进一步地，所述视频前端设备安全接入的方法，还包括：

采用断电后存储信息不丢失的内部存储器记录当前工作模式，在断电重启时继续工作在所记录的工作模式。

本发明还提出了一种视频前端设备安全接入的装置，应用于将前端设备接入到视频监控系统的接入交换机，所述交换机注册到视频监控管理平台，所述交换机上连接有用于监测当前网络环境是否安全的传感器，所述视频前端设备安全接入的装置，包括：

工作模式切换模块，用于接收所述传感器感知的网络环境存在安全风险的信号后，将工作模式切换到安全风险模式；

端口设置模块，用于在安全风险模式下，记录当前已经正常接入前端设备的网络端口，并将当前已经正常接入前端设备的网络端口设置为保护状态，将其他没有接入前端设备的网络端口设置为禁用状态；

复位模块，用于接收视频监控管理平台发来的复位请求，将工作模式切换到正常工作模式，将所有网络端口设置为正常状态。

进一步地，所述端口设置模块在将当前已经正常接入前端设备的网络端口设置为保护状态时，执行如下操作：

在保护状态下，若检测到处于保护状态下的网络端口下电，则将该网络端口设置为禁用状态，向视频监控管理平台推送告警信息。

进一步地，所述工作模式切换模块在接收所述传感器感知的网络环境存在安全风险的信号后，将工作模式切换到安全风险模式时，执行如下操作：

监听连接传感器的输入接口，若发现输入接口接收到阶跃信号，则将工作模式切换到安全风险模式。

进一步地，所述视频前端设备安全接入的装置，还包括：

存储模块，用于采用断电后存储信息不丢失的内部存储器记录当前工作模式，在断电重启时继续工作在所记录的工作模式。

本发明提出的一种视频前端设备安全接入的方法及装置，通过连接用于监测当前网络环境是否安全的传感器，在感知的网络环境存在安全风险的信号后，将工作模式切换到安全风险模式，并在安全风险模式下，记录当前已经正常接入前端设备的网络端口，并将当前已经正常接入前端设备的网络端口设置为保护状态，将其他没有接入前端设备的网络端口设置为禁用状态。交换机以不同的工作模式应对不同安全级别的网络环境，通过不同状态模式之间的转换，来保证交换机提供安全的网络服务。使得对交换机更加适用于视频监控行业，用于防范在交换机侧进行的网络攻击行为，提高视频监控系统的安全性。

附图说明

图1为本发明视频监控系统组网示意图；

图2为本发明视频前端设备安全接入的方法的流程图；

图3为本发明交换机网络端口状态转换示意图。

具体实施方式

下面结合附图和实施例对本发明技术方案做进一步详细说明，以下实施例不构成对本发明的限定。

如图1所示，一般视频监控系统包括视频管理平台、前端设备、以及将前端设备接入到视频监控系统的交换机。其中视频管理平台可以是专门的管理服务器，或采用视频监控系统本身的视频管理服务器。本技术方案的总体思路是在前端设备接入的交换机上控制前端设备安全地接入视频监控管理平台。为此本技术方案在交换机上连接了传感器，用于监测当前的网络环境是否安全。在连接传感器后，交换机具备检测当前的网络环境是否安全的能力，当交换机认为当前环境中接入的网络设备存在网络安全隐患时，要控制可能存在安全隐患的新的前端设备接入视频监控管理平台，同时将安全隐患告警上报到视频管理平台，同时不能够影响已经连接的正常前端设备的正常工作。在确保网络环境安全的前提下，想要解除安全隐患警报，必须经过视频监控管理平台确认。

如图2所示，一种视频前端设备安全接入的方法，应用于将前端设备接入到视频监控系统的接入交换机，该交换机上连接有用于监测当前的网络环境是否安全的传感器。本实施例一种视频前端设备安全接入的方法，包括：

步骤s1、接收所述传感器感知的网络环境存在安全风险的信号后，将工作模式切换到安全风险模式。

视频监控系统的一般应用场景中，前端设备与直连的交换机都放置在现场环境中。前端设备通过交换机接入网络，从而接入位于中心机房的视频监控管理平台。交换机作为视频监控系统中的一种网络设备，接入视频监控管理平台。交换机要向视频监控管理平台发起注册与保活，消息中要携带交换机唯一的id，同时在视频监控管理平台上可以对每个接入的交换机进行信息配置，如位置信息等，并且视频监控管理平台可以通过给交换机发送请求消息控制交换机切换工作模式。

需要说明的是，本实施例为交换机定义了两种工作模式，分别为正常模式与安全风险模式，但并不限于对这两种模式采用这两种命名，本领域技术人员可以自由进行命名，例如还可以命名为第一工作模式和第二工作模式，以下以正常模式与安全风险模式为例进行说明。

本实施例交换机外部连接的传感器要能够监测当前的网络环境是否安全。对于网络环境安全的定义有很多，此处具体指的是交换机设备所处的外部环境是否发生变化，可以通过外部的传感器感知到交换机所处外部环境的改变，在发生改变时认为网络环境处于一种不安全的状态，将这种不安全的信号通过交换机提供的外部输入接口通知到交换机内部。

举几个例子：可以通过位置传感器监测安装交换机设备的机柜的箱门是否被打开；可以通过加速度传感器监测周围环境的振动信号，当振幅达到某个阈值时，认为网络环境不安全；可以通过压力传感器监测交换机是否被碰触；可以通过视频摄像头监测周围是否有大型物体的移动等。上述几个事例中，当传感器感知到变化时，认为交换机受到人为干涉，即可以认为网络环境不再安全，发出网络环境存在安全风险的信号。

本实施例的传感器安置在现场环境中，与交换机连接，按照上面对不安全网络环境的定义，判断当前的网络环境是否安全，当传感器认为当前的网络环境不再安全时，需要给交换机输入一个开关量信号，此信号包括但不限于是高低电平的改变，表示网络环境存在安全风险的信号。

本实施例交换机上提供外部输入接口，接收传感器发出的网络环境存在安全风险的信号，通常是高低电平信号。当交换机处于正常工作模式时，其内部监听此外部输入接口，若发现外部输入接口接收到阶跃信号(无论从高电平变为低电平，还是从低电平变为高电平)，交换机将工作模式切换为安全风险模式。

本实施例采用断电后存储信息不丢失的内部存储器记录当前工作模式，在断电重启时继续工作在所记录的工作模式。及将当前工作模式使用交换机内部存储器上的某一位标识来记录，并保证断电后标识信息不丢失，例如采用的存储器可以为只读存储器rom、磁性随机存储器mram等。当交换机处于安全风险模式时，不再监听此外部输入的变化。则在交换机处于安全风险模式后，即使外来操作断电重启交换机后，仍然保持交换机工作在安全风险模式，保证了交换机不被外来操作攻击。

交换机收到网络存在安全风险的信号后，需要切换到安全风险模式工作。在这种模式下，交换机对其自身的网络接入端口要实现安全控制。此时对于新连接的前端设备要禁止接入，并且对于已经在正常工作的前端设备要保证其正常通信不受影响，但是如果正常工作的交换机网络端口存在下电现象，则需要交换机上报告警给视频管理平台，并且此端口不允许重新接入设备。

步骤s2、在安全风险模式下，记录当前已经正常接入前端设备的网络端口，并将当前已经正常接入前端设备的网络端口设置为保护状态，将其他没有接入前端设备的网络端口设置为禁用状态。

本实施例定义了交换机上网络端口的3种模式：

模式a：enable模式，端口正常工作，可以随时连接和断开设备；

模式b：disable模式，端口禁用模式，端口不允许上电；

模式c：protect模式，端口处于上电的状态，保持端口正常工作，但是如果端口下电，则切换到模式b，同时给视频监控管理平台推送此交换机的告警。

图3表示了交换机三种端口的状态机，当交换机处于正常工作模式时，交换机不会对前端设备接入的端口进行控制，即所有端口处于模式a，但是当交换机处于安全风险工作模式时，需要对前端设备接入的端口进行控制，具体控制方式如下：

当交换机从正常工作模式切换到了安全风险工作模式时，记录当前已经正常接入了前端设备的网络端口，并将这些端口置为模式c，对应了图3中的②的状态迁移，同时将其他没有接入前端设备的端口置为模式b，对应了图3中的①的状态迁移。

本实施例将当前已经正常接入前端设备的网络端口设置为保护状态，具体为若检测到处于保护状态下的网络端口下电，则将该网络端口设置为禁用状态，向视频监控管理平台推送告警信息。即当模式c的端口接入的前端设备因为某些异常导致端口下电时，交换机上报告警给视频监控管理平台，并将此端口由模式c变为模式b，对应了图3中的③的状态迁移。

步骤s3、接收视频监控管理平台发来的复位请求，将工作模式切换到正常工作模式，将所有网络端口设置为正常状态。

本实施例交换机向视频管理平台发送报警后，需要经过人工确认，确保现场环境没有网络安全隐患。在现场确认后，由视频监控管理平台发送复位消息给交换机，交换机收到复位请求后，退出安全风险工作模式，切换到正常工作模式下，此时前端设备通过交换机接入视频管理平台将不再受控。

具体地，通过视频监控管理平台收到的告警发现此处交换机存在安全隐患后，需要人工排查现场的网络环境，以及排查前端设备和交换机是否存在问题，如果确认没有问题，需要在视频监控管理平台上给此交换机发送复位请求消息

交换机收到视频监控管理平台发来的复位请求后，重置内部存储器中的标志位，切换到正常工作模式，同时将交换机上所有的端口置为模式a，对应了图3中④和⑤的状态迁移，并继续监听传感器发来的外部输入信号。

与上述方法对应地，本技术方案还给出了一种视频前端设备安全接入的装置的实施例，该装置应用于将前端设备接入到视频监控系统的接入交换机。所述交换机注册到视频监控管理平台，所述交换机上连接有用于监测当前网络环境是否安全的传感器，所述视频前端设备安全接入的装置，包括：

工作模式切换模块，用于接收所述传感器感知的网络环境存在安全风险的信号后，将工作模式切换到安全风险模式；

端口设置模块，用于在安全风险模式下，记录当前已经正常接入前端设备的网络端口，并将当前已经正常接入前端设备的网络端口设置为保护状态，将其他没有接入前端设备的网络端口设置为禁用状态；

复位模块，用于接收视频监控管理平台发来的复位请求，将工作模式切换到正常工作模式，将所有网络端口设置为正常状态。

各模块的具体操作与上述方法的阐述相对应，以下通过实施例进行简单的说明。其中，端口设置模块在将当前已经正常接入前端设备的网络端口设置为保护状态时，执行如下操作：

在保护状态下，若检测到处于保护状态下的网络端口下电，则将该网络端口设置为禁用状态，向视频监控管理平台推送告警信息。

其中，工作模式切换模块在接收所述传感器感知的网络环境存在安全风险的信号后，将工作模式切换到安全风险模式时，执行如下操作：

监听连接传感器的输入接口，若发现输入接口接收到阶跃信号，则将工作模式切换到安全风险模式。

本实施例视频前端设备安全接入的装置，还包括：

存储模块，用于采用断电后存储信息不丢失的内部存储器记录当前工作模式，在断电重启时继续工作在所记录的工作模式。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。