[发明专利]一种视频监控系统的访问控制方法及安全策略服务器

说明书

本发明公开了一种视频监控系统的访问控制方法及安全策略服务器，所述视频监控系统包括前端设备、业务服务器，安全策略服务器设置在二者之间通信链路上，安全策略服务器向业务服务器订阅典型事件，并根据典型事件的类型设置对应的访问控制规则，接收业务服务器在被订阅典型事件发生时上报的典型事件，从上报的典型事件中提取其对应的前端设备和典型事件的类型，根据该典型事件类型对应的访问控制规则，控制该典型事件对应的前端设备对业务服务器的访问。本发明在原有监控系统中，增加一台安全策略服务器，控制过程中无需前端设备做任何适配，无缝全兼容接入，实施简单、普适性强。

技术领域

本发明属于视频监控技术领域，具体涉及一种视频监控系统的访问控制方法及安全策略服务器。

背景技术

随着视频监控建设的不断深入，接入的视频监控设备数量大幅增加。而常见的网络入侵大都发生在接入层，非法接入是进行DDOS攻击和病毒传播的基础。据统计，视频监控网络入侵90％以上都来自于前端网络攻击。因此，如何从前端设备接入的源头来保证非法设备即时物理上接入了视频专网也无法使用，这对接入网络的安全性提出较大的挑战。

公开号为CN101515927A的中国专利申请公开了一种支持隔离模式的网络接入控制方法，该网络结果控制方法为设备级接入控制方案：某设备初始接入网络时，网络设备控制只能发送或接收其认证协议报文，其他报文禁止通过，设备通过802.1X、Radius等协议与AAA认证服务器交互，认证成功后，认证服务器通过安全策略服务器向网络设备发送配置消息，允许该设备其他报文类型通过网络，认证失败则继续对该设备报文进行隔离。

该接入控制方法能够有效保证网络系统的安全性，但是其需要在接入设备上安装认证客户端，同时配置认证用户名、密码等信息，配置工作量大，且前端设备种类繁多、功能单一，具备认证能力的仅是极其小的一部分，大部分设备无法升级。

此外，公开号为CN105939305A的中国申请公开了一种访问控制方法，该访问控制方法基于防火墙实现，具体如下：基于业务报文特征与识别；在接收到客户端设备发送的业务报文后，解析所述业务报文的报文特征；判断所述报文特征是否匹配协议识别表，所述协议识别表包括报文特征与协议类型的对应关系；如果匹配，则根据匹配到的表项确定所述业务报文的协议类型；根据所述协议类型，对所述业务报文进行访问控制处理。但是该访问控制方法存在如下缺点：监控业务报文特征复杂，不单一，各种业务纷繁复杂，不同接入协议的前端所发出来的报文也不一样；应用层内容识别对性能消耗很大，因此此种方案性能比较低。

发明内容

针对现有技术的不足，本发明提供了一种视频监控系统的访问控制方法及安全策略服务器，对前端设备对业务服务器的访问进行访问控制，消除前端网络攻击带来的安全隐患。

一种视频监控系统的访问控制方法，所述视频监控系统包括前端设备和业务服务器，应用于安全策略服务器，所述安全策略服务器设置在所述前端设备与业务服务器之间通信链路上，所述视频监控系统的访问控制方法包括：

向业务服务器订阅典型事件，并根据典型事件的类型设置对应的访问控制规则，接收业务服务器在被订阅典型事件发生时上报的典型事件，从上报的典型事件中提取其对应的前端设备信息和典型事件的类型，根据该典型事件类型对应的访问控制规则，控制该典型事件对应的前端设备对业务服务器的访问。

作为优选，所述典型事件的类型包括增加前端设备、删除前端设备，所述访问控制规则包括：

若典型事件的类型为增加前端设备，访问控制规则为允许对应的前端设备在第一时间段内和业务服务器通信；

若典型事件的类型为删除前端设备，访问控制规则为拒绝对应的前端设备和业务服务器通信。

作为优选，所述典型事件的类型包括前端设备上线和前端设备下线，所述访问控制规则包括：