[发明专利]一种安全访问方法及系统

说明书

本申请提供一种安全访问方法及系统，该方法包括：业务服务器及前端设备均通过注册端口向管理服务器进行注册，在注册成功前，仅对外开放web配置端口，在注册成功后，业务服务器、前端设备及管理服务器更新各自的访问规则；客户端通过登录端口向管理服务器发送登录请求，在登录成功后可向管理服务器请求业务；客户端向管理服务器发送携带有目标设备、业务端口及自身源端口的业务访问请求，并在管理服务器授权后，通过自身源端口对该业务端口进行业务访问。本发明通过管理服务器对监控系统中的客户端、前端设备和业务服务器进行集中授权，仅允许经过授权的客户端、前端设备、业务服务器对监控设备进行访问，有效阻止入侵者对监控设备的扫描入侵。

技术领域

本申请涉及视频监控领域，尤其涉及一种安全访问方法及系统。

背景技术

随着IP视频监控业务的发展，视频监控系统的安全防护变得日益重要。通常入侵者首先会使用漏洞扫描工具对目标设备进行端口扫描，端口扫描一般向目标设备的各个知名端口及部分常用服务端口范围连接消息，根据接收到的消息回应类型判断设备是否在使用该端口，然后通过分析提供服务端口漏洞，进一步发起入侵攻击。然而目前视频监控系统中，前端设备(如IPC网络摄像机、EC编码器)、管理服务器(如VM，Video Management Server视频管理服务器)、业务服务器(如DM，Data Manager Server数据管理服务器)等监控设备的各知名端口及常用服务端口，甚至全部端口均是开放的，容易被入侵者非法入侵攻击。漏洞会不断被发现或新出现，通过升级监控软件版本来解决漏洞和防护攻击，在时间上有一定的迟滞，而且在网设备的升级工作量巨大，故迫切需要一种有效阻止攻击者访问监控设备的方案一劳永逸的消除安全隐患。

发明内容

有鉴于此，本申请提供一种安全访问方法及系统，可以有效阻止入侵者对监控设备的扫描入侵。

具体地，本申请是通过如下技术方案实现的：

根据本发明实施例的第一方面，提供一种安全访问方法，该方法包括：

管理服务器的访问规则初始为仅对外开放注册端口和登录端口，业务服务器和前端设备的访问规则初始均为仅对外开放web配置端口；

业务服务器通过所述注册端口向管理服务器进行注册，在业务服务器注册成功后，业务服务器增加向管理服务器开放业务服务器自身已设定端口的访问规则；

前端设备通过所述注册端口向管理服务器进行注册，在前端设备注册成功后，前端设备增加向管理服务器开放前端设备自身已设定端口的访问规则，同时管理服务器增加向该前端设备开放管理服务器自身已设定端口的访问规则，同时管理服务器通知业务服务器增加向该前端设备开放业务服务器自身已设定端口的访问规则；

客户端通过所述登录端口向管理服务器发送登录请求，在客户端登录成功后可向管理服务器发送业务访问请求，所述业务访问请求携带的信息至少包括：目标设备、业务端口及自身源端口，所述目标设备是管理服务器或业务服务器或前端设备；

管理服务器接收所述业务访问请求后，先判断客户端是否已登录，若该客户端已登录，则根据所述业务访问请求对所述客户端进行授权；若该客户端未登录，则对该客户端不进行授权；

客户端在管理服务器授权后，通过自身源端口对所述业务端口进行业务访问。

根据本发明实施例的第二方面，提供一种安全访问系统，所述安全访问系统包括管理服务器、业务服务器、前端设备和客户端；其中，管理服务器的访问规则初始为仅对外开放注册端口和登录端口，业务服务器和前端设备的访问规则初始均为仅对外开放web配置端口；

业务服务器通过所述注册端口向管理服务器进行注册，在业务服务器注册成功后，业务服务器增加向管理服务器开放业务服务器自身已设定端口的访问规则；