一种前端设备的访问控制方法及系统的制作方法
一种前端设备的访问控制方法及系统的制作方法
【技术领域】
[0001] 本发明属于通信领域,具体而言,设及一种前端设备的访问控制方法及系统。
【背景技术】
[0002] 大量的前端设备在出厂时的登录密码都是默认的admin,刚开始使用时,前端设备 会提示用户进行该前端设备登录密码的修改,然而,为了便于记忆,用户普遍会将登录密码 修改为弱密码,弱密码包括短密码、常见的密码、系统默认密码,还包括可W被穷举法通过 排列组合破解的密码,运些密码通常由一些可能被用作密码的词组成,如字典里的单词、真 实姓名或与用户名相关的词,运些密码可W被快速破译。采用生日或者宠物的名字作为密 码也是弱密码,因为有可能被熟人轻易猜出。
[0003] 采用弱密码作为设备的登录密码很容易被别人猜到或者暴力破解,不仅本地网络 (运里指一个管理员负责的网络)的用户能登录该前端设备,异地网络(相对于本地网络而 言)的用户也能登录该前端设备。在监控领域,监控前端设备的登录密码为弱密码时,异地 网络的用户容易破解密码获取该监控前端设备的视频码流,从而导致安全风险。
[0004] 现有技术中解决前端设备密码容易破解的方法是通过强制管理员将弱密码修改 为强密码,但该方法在前端设备多的情况下,实施会比较繁琐,且强密码不便于记忆,使得 管理员难W接受。
【发明内容】
[0005] 本发明的目的在于克服现有技术的不足,提供一种前端设备的访问控制方法,W 解决前端设备的登录密码为弱密码时容易被破解的问题。
[0006] 本发明的目的是运样实现的:一种前端设备的访问控制方法,所述前端设备通过 网关设备接入本地网络中,所述方法包括步骤:
[0007] 获取所述前端设备的登录密码并判断登录密码是否为弱密码,若是,则发送弱密 码警告信号给网关设备,接着从网关设备获取本地网络的网段并将该网段存储到白名单 中;
[000引客户端访问所述前端设备时,所述前端设备获取该客户端的网络地址后进行判 断,当客户端的网络地址在白名单存储的网段内时,允许该客户端访问所述前端设备;反 之,禁止该客户端访问所述前端设备。
[0009] 进一步地,网关设备利用0SP刊办议得到LSA信息,通过LSA信息获取本地网络的网 段后将本地网络的网段发送给所述前端设备。
[0010] 进一步地,所述前端设备的登录密码为弱密码时,所述前端设备则发送包过滤信 号给网关设备,网关设备根据接收到的包过滤信号禁止所述前端设备发送数据给异地网络 的客户端。
[0011] 进一步地,所述包过滤信号为ACL启用信号,网关设备根据接收到的ACL启用信号 在所述前端设备对应的接入接口上启用ACL,所述A化被配置成禁止所述前端设备发送数据 给异地网络的客户端。
[0012] 进一步地,当前端设备判断登录密码由弱密码修改为强密码后,向网关设备发送 弱密码警告结束信号,网关设备在接收到弱密码警告结束信号后,关闭所述前端设备对应 的接入接口上已启用的ACL。
[0013] 进一步地,当前端设备判断其登录密码由弱密码修改为强密码后,向网关设备发 送弱密码警告结束信号,网关设备在接收到弱密码警告结束信号后,前端设备删除白名单 中存储的本地网络的网段。
[0014] 利用本发明的方法,本发明另外提供了一种前端设备的访问控制系统。
[0015] -种前端设备的访问控制系统,所述前端设备通过网关设备接入本地网络中,所 述系统包括:
[0016] 密码获取模块:获取所述前端设备的登录密码;
[0017] 判断模块:判断所述前端设备的登录密码是否为弱密码;
[0018] 设备网址获取模块:在判断模块判断所述前端设备的登录密码为弱密码后,发送 弱密码警告信号给网关设备,接着从网关设备获取本地网络的网段;
[0019] 白名单存储模块:存储本地网络的网段;
[0020] 客户端访问所述前端设备时,设备网址获取模块获取该客户端的网络地址并进行 判断,当该客户端的网络地址在白名单存储模块存储的网段内时,允许该客户端访问所述 前端设备;否则,禁止该客户端访问所述前端设备。
[0021] 进一步地,网关设备利用0SP刊办议得到LSA信息,通过LSA信息获取本地网络的网 段后将该网段发送给设备网址获取模块。
[0022] 进一步地,所述系统还包括包过滤模块,当判断模块判断所述前端设备的登录密 码为弱密码时,所述包过滤模块发送包过滤信号给网关设备,该网关设备根据接收到的包 过滤信号禁止所述前端设备发送数据给异地网络的客户端。
[0023] 进一步地,所述包过滤信号为ACL启用信号,网关设备根据接收到的ACL启用信号 在所述前端设备对应的接入接口上启用ACL,所述A化被配置成禁止所述前端设备发送数据 给异地网络的客户端。
[0024] 本发明的有益效果:本发明不需要人为的参与,利用前端设备和网关设备之间的 交互,自动生成存储本地网络网段的白名单,仅允许本地网络中的客户端访问该前端设备, 禁止异地网络中的客户端访问该前端设备,从而防止异地网络的客户端登录前端设备获取 媒体数据流。
[0025] 同时,通过网关设备设置包过滤模块,在判断前端设备登录密码为弱密码时,利用 包过滤模块禁止该前端设备发送数据给异地网络的客户端,运样即使异地网络的客户端破 解了前端设备的登录密码,成功地访问该前端设备,在判断客户端的网络地址属于异地网 络网段时,网关设备启用包过滤模块,禁止该前端设备发送媒体流数据给异地网络的客户 端,进而防止异地网络的客户端通过其他方式获取到该前端设备中的媒体流数据。
[00%] 利用网关设备通过0SPF获取LSA信息来判断哪些网络是本地网络,哪些网络是异 地网络,使得前端能自动获取本地网络的网段并添加到白名单中,不需要要人为手动添加, 访问控制过程更加智能化。
【附图说明】
[0027] 图1为本发明实施例监控网络组网示意图;
[0028] 图2为本发明实施例的前端设备访问控制方法的流程图;
[0029] 图3为本发明实施例1P权限配置示意图;
[0030] 图4为本发明实施例1P权限配置示意图。
【具体实施方式】
[0031] 下面结合附图并通过具体实施例对本发明作进一步详述,W下实施例只是描述性 的,不是限定性的,不能W此限定本发明的保护范围。
[0032] 本发明的一种前端设备的访问控制方法及系统,应用于监控领域。参见图1,监控 网络根据管理员的管理范围将监控网络划分为多个区域,其中,相同区域的网络由同一管 理员负责管理,不同区域的网络由不同管理员分别管理。每个区域的管理员负责本网络的 网络设备、监控设备的维护和配置工作。在每个区域的内部运行IGP协议(Interior Gateway Protocol,内部网关协议),各区域之间进行路由的相互引入达到全网路由的互 通,从而达到各个区域之间互访的需求。W内部网关协议中的0SPF协议(Open化ortest 化th First,开放最短路径优先)为例,各个路由器之间通过0SPF协议交互获得路由信息, 其中,引入的外部网络路由是通过5类LSA化ink-state Advedisement,链路状态广播)进 行发布的,而本区域内部的网络路由都是通过1、2和3类LSA进行发布的。即本区域内的各个 路由器之间通过0SP刊办议得到各自的1类、2类和3类LSA信息,本区域的路由器与外部区域 的路由器通过0SPF协议得到各自的5类LSA信息。
[0033] LSA包括设备的IP地址、子网掩码、网络类型、Cost值等信息,0SPF路由器之间交换 的并不是路由表,而是LSA,0SPF通过获得网络中所有的链路状态信息,从而计算出到达每 个目标精确的网络路径。
[0034] 其中,1类LSA是路由器LSA(Router LSA),每一台路由器都会产生路由器LSA通告。 运个最基本的LSA通告列出了路由器所有的链路或接口,并指明了它们的状态和沿每条链 路方向出站的代价,W及该链路上所有已知的0SPF邻居。
[0035] 2类LSA是网络LSA(化twork LSA),列出了所有与之相连的路由器,包括指定路由 器本身。2类LSA描述本0SPF区域内部的网络信息。
[0036] 3类LSA是网络汇总LSA(化twork Summary LSA),是由区域边界路由器始发的,区 域边界路由器将发送网络汇总LSA到一个区域,用来通告该区域外部的目的地址。3类LSA描 述其他0SPF区域的网络信息。
[0037] 5类LSA是自治系统外部LSA(Autonomous System External LSA),或者称为外部 LSA化xternal LSA),用来通告到达0SPF自治系统外部的目的地或者0SPF自治系统外部的 缺省路由的LSA"5类LSA描述引入的外部路由网络信息。
[0038] 本实施例中,前端设备(运里为IPC,即网络摄像机)通过网线连接网关设备,从而 使得该前端设备通过该网关设备接入到本地网络中,并通过该网关设备与外界设备进行通 信。首先通过管理员人为地对该前端设备进行网络地址的配置,包括该前端设备的IP地址 和网关地址。其中,管理该前端设备的管理员负责的网络区域为本地网络,而由其他管理员 负责的网络区域则为异地网络。
[0039] 在使用时,为了安全考虑,一般都会给前端设备设置一个统一的登录密码,在多个 客户端访问该前端设备时,需要输入正确的登录密码才能访问该前端设备。为了防止前端 设备的登录密码容易破解,异地网络用户非法访问该前端设备获取媒体流数据,参见图2, 本实施例的前端设备的访问控制方法步骤如下:
[0040] 通过前端设备获取该前端设备的登录密码并判断是否为弱密码,若登录密码为弱 密码,该前端设备则向相应的网关设备(即将该前端设备接入到本地网络的网关设备)发送 携带弱密码警告信号的报文。其中,弱密码的判断规则可根据需要来设置,在本实施例中, 将短密码(例如密码长度小于6位)、常见密码(例如12%56789、abcdef等)、系统默认密码 (例如admin)、可W被穷举法通过排列组合破解的密码(由一些可能被用作密码的词组成, 如字典里的单词、真实姓名或与用户名相关的词等组成的密码)、该前端设备用户的生日和 宠物的名字均当作弱密码。
[0041] 网关设备可W为路由器或交换机,在本实施例中,选择交换机作为前端设备接入 本地网络的网关设备。弱密码警告信号是通过私有定制的XML报文来传递的。 具体地,将弱 密码警告信号设置为Alarm字段,当前端设备判断其当前的登录密码为弱密码时,将Alarm 字段设置为1并发送给将该前端设备接入到本地网络的网关设备,具体XML报文格式如下:
[0042]
[0043]
[0044] 当将该前端设备接入到本地网络的网关设备接收到携带弱密码警告信号的报文 后,该网关设备利用0SP刊办议得到LSA信息,通过LSA信息获取本地网络的网段后将本地网 络的网段发送给该前端设备。具体地,将本地网络中的所有设备的网络地址(即内部路由) 通过XML报文发送给前端设备,参见图1,本地网络的内部路由为1.1.1.0/255.255.255.0、 20.20.20.0/255.255.255.0 W及202.169.50.128/255.255.255.192。具体XML报文格式如 下:
[0045]
[0046]
[0047] 将该前端设备接入到本地网络的网关设备通过OSP刊办议获得1类、2类、3类和5类 的LSA信息并存储在该网关设备的本地链路状态数据库中。内部路由是通过查询将该前端 设备接入到本地网络的网关设备的本地链路状态数据库得到的,其中2类、3类LSA描述的是 本地网络。例如,在本地网络中,前端设备获取设备网络地址为20 2. 169.50. 128/ 255.255.255.192的LSA信息的报文格式如下:
[004引
[0049] 该前端设备访问相应网关设备的本地链路状态数据库中LSA信息,对LSA信息进行 筛选,获取LSA中2类LSA和3类LSA信息中的网络地址,即本地网络的网段。参见图3,前端设 备从将其接入到本地网络的网关设备获取本地网络的网段后,将本地网络的网段存储到白 名单中,在客户端访问该前端设备时,该前端设备获取该客户端的网络地址后进行判断,当 客户端的网络地址在白名单存储的网段内时,允许该客户端访问该前端设备;反之,禁止该 客户端访问该前端设备。其中,白名单中存储的为允许访问该前端设备的网络地址。
[0050] 同时,在该前端设备判断自己的登录密码为弱密码时,该前端设备发送包过滤信 号给网关设备,网关设备根据接收到的包过滤信号来禁止该前端设备发送数据给异地网络 的客户端。在本实施例中,包过滤信号为ACL启用信号,网关设备根据接收到的ACL启用信号 在该前端设备接入网关设备的接入接口上启用ACL(Access Control List,访问控制列表) 功能,该ACL被设置成禁止该前端设备将数据发给异地网络设备。在一个具体的实施例中, 前端设备的IP地址为1.1.1.1,则网关设备在该前端设备对应的接入接口上启用的A化为:
[0化1 ]
[0052] 当该前端设备在接收到本地网络信息后,开启本地白名单访问功能;当该前端设 备接收到异地网络信息后,禁止异地网络的设备访问该前端设备,即仅允许本地网络的设 备访问该前端设备。
[0053] 当用户将该前端设备的登录密码由弱密码修改为强密码后,该前端设备向其接入 的网关设备发送携带弱密码警告结束信号的报文。其中,强密码的判断规则可根据需要来 设置,例如,可W将强密码的判断规则设置成如下方式:密码长度至少有8个字符,不包含全 部或部分用户帐户名,至少包含W下四类字符中的Ξ类:大写字母、小写字母、数字,W及键 盘上的符号(例如!、@、#),字典中查不到,不是命令名,不是人名,不是用户名,不是计算机 名,与W前的密码明显不同。
[0054] 本实施例中,当前端设备判断自己的登录密码被修改为强密码后,则将Alarm字段 设置为0并发送至将该前端设备接入到本地网络的网关设备中,具体XML报文格式如下:
[0化5]
[0056] 参见图4,将该前端设备接入到本地网络的网关设备在接收到携带弱密码警告结 束信号的报文后,将对应该前端设备启用的弱密码包过滤规则取消掉,即关闭该前端设备 对应的接入接口上已启用的ACL,同时,该前端设备删除白名单中存储的本地网络的网段。
[0057] 利用本发明的方法,本发明另外提供了一种前端设备的访问控制系统,包括密码 获取模块、判断模块、设备网址获取模块和白名单存储模块,该系统应用于前端设备中,利 用密码获取模块获取该前端设备的登录密码,在获取到该前端设备的登录密码后,通过判 断模块判断该登录密码是否为弱密码,若登录密码为弱密码,设备网址获取模块则发送弱 密码警告信号给网关设备,网关设备在接收到弱密码警告信号后,发送本地网络的网段给 设备网址获取模块,设备网址获取模块从网关设备获取本地网络的网段后将该网段存储在 白名单存储模块中。
[0058] 客户端访问该前端设备时,设备网址获取模块获取该客户端的网络地址并进行判 断,当该客户端的网络地址在白名单存储模块存储的网段内时,允许该客户端访问该前端 设备;否则,禁止该客户端访问该前端设备。若判断模块判断前端设备的登录密码为强密 码,则客户端可直接访问该前端设备。
[0059] 在本实施例中,网关设备利用0SP刊办议得到LSA信息,通过LSA信息判断哪些是本 地网络,哪些是异地网络。2类LSA和3类LSA中的网络地址属于本地网络,网关设备在收到到 弱密码警告信号后,将本地网络的网段发送给设备网址获取模块。5类LSA中的网络地址属 于异地网络。
[0060] 另外,为了防止异地网络的客户端通过其他方式获取监控媒体流数据,该系统还 包括包过滤模块,在判断模块判断前端设备的登录密码为弱密码时,包过滤模块发送包过 滤信号给该前端设备,禁止该前端设备发送数据给异地网络的客户端。具体地,包过滤信号 为ACL启用信号,网关设备在该前端设备对应的接入接口上启用ACL,ACL被配置成禁止该前 端设备发送数据给异地网络的客户端。
[0061] 本发明的方法及系统利用前端设备和网关设备之间的交互,自动生成存储本地网 络网段的白名单,仅允许本地网络中的客户端访问该前端设备,禁止异地网络中的客户端 访问该前端设备,从而防止异地网络的客户端登录前端设备获取媒体数据流。
[0062] W上所述,仅是本发明的较佳实施例,并非对本发明作任何限制,凡是根据本发明 技术实质对W上实施例所作的任何简单修改、变更W及等效结构变化,均仍属于本发明技 术方案的保护范围。
【主权项】
1. 一种前端设备的访问控制方法,所述前端设备通过网关设备接入本地网络中,其特 征在于,所述方法包括步骤: 获取所述前端设备的登录密码并判断登录密码是否为弱密码,若是,则发送弱密码警 告信号给网关设备,接着从网关设备获取本地网络的网段并将该网段存储到白名单中; 客户端访问所述前端设备时,所述前端设备获取该客户端的网络地址后进行判断,当 客户端的网络地址在白名单存储的网段内时,允许该客户端访问所述前端设备;反之,禁止 该客户端访问所述前端设备。2. 如权利要求1所述前端设备的访问控制方法,其特征在于,网关设备利用OSPF协议得 至IJLSA信息,通过LSA信息获取本地网络的网段后将本地网络的网段发送给所述前端设备。3. 如权利要求1所述前端设备的访问控制方法,其特征在于,所述前端设备的登录密码 为弱密码时,所述前端设备则发送包过滤信号给网关设备,网关设备根据接收到的包过滤 信号禁止所述前端设备发送数据给异地网络的客户端。4. 如权利要求3所述前端设备的访问控制方法,其特征在于,所述包过滤信号为ACL启 用信号,网关设备根据接收到的ACL启用信号在所述前端设备对应的接入接口上启用ACL, 所述ACL被配置成禁止所述前端设备发送数据给异地网络的客户端。5. 如权利要求4所述前端设备的访问控制方法,其特征在于,当前端设备判断登录密码 由弱密码修改为强密码后,向网关设备发送弱密码警告结束信号,网关设备在接收到弱密 码警告结束信号后,关闭所述前端设备对应的接入接口上已启用的ACL。6. 如权利要求1所述前端设备的访问控制方法,其特征在于,当前端设备判断其登录密 码由弱密码修改为强密码后,向网关设备发送弱密码警告结束信号,网关设备在接收到弱 密码警告结束信号后,前端设备删除白名单中存储的本地网络的网段。7. -种前端设备的访问控制系统,所述前端设备通过网关设备接入本地网络中,其特 征在于,所述系统包括: 密码获取模块:获取所述前端设备的登录密码; 判断模块:判断所述前端设备的登录密码是否为弱密码; 设备网址获取模块:在判断模块判断所述前端设备的登录密码为弱密码后,发送弱密 码警告信号给网关设备,接着从网关设备获取本地网络的网段; 白名单存储模块:存储本地网络的网段; 客户端访问所述前端设备时,设备网址获取模块获取该客户端的网络地址并进行判 断,当该客户端的网络地址在白名单存储模块存储的网段内时,允许该客户端访问所述前 端设备;否则,禁止该客户端访问所述前端设备。8. 如权利要求7所述前端设备的访问控制系统,其特征在于,网关设备利用OSPF协议得 至IJLSA信息,通过LSA信息获取本地网络的网段后将该网段发送给设备网址获取模块。9. 如权利要求7所述前端设备的访问控制系统,其特征在于,所述系统还包括包过滤模 块,当判断模块判断所述前端设备的登录密码为弱密码时,所述包过滤模块发送包过滤信 号给网关设备,该网关设备根据接收到的包过滤信号禁止所述前端设备发送数据给异地网 络的客户端。10. 如权利要求9所述前端设备的访问控制系统,其特征在于,所述包过滤信号为ACL启 用信号,网关设备根据接收到的ACL启用信号在所述前端设备对应的接入接口上启用ACL, 所述ACL被配置成禁止所述前端设备发送数据给异地网络的客户端。
【专利摘要】本发明公开一种前端设备的访问控制方法及系统,所述前端设备通过网关设备接入本地网络中,所述方法包括步骤:获取所述前端设备的登录密码并判断登录密码是否为弱密码,若是,则发送弱密码警告信号给网关设备,接着从网关设备获取本地网络的网段并将该网段存储到白名单中;客户端访问所述前端设备时,所述前端设备获取该客户端的网络地址后进行判断,当客户端的网络地址在白名单存储的网段内时,允许该客户端访问所述前端设备;反之,禁止该客户端访问所述前端设备。本发明利用前端设备和网关设备之间的交互,自动生成存储本地网络网段的白名单,仅允许本地网络中的客户端访问该前端设备,禁止异地网络中的客户端访问该前端设备。
【IPC分类】H04L29/06
【公开号】CN105491047
【申请号】CN201510915923
【发明人】周迪, 任俊峰, 杨正
【申请人】浙江宇视科技有限公司
【公开日】2016年4月13日
【申请日】2015年12月10日
【技术领域】
[0001] 本发明属于通信领域,具体而言,设及一种前端设备的访问控制方法及系统。
【背景技术】
[0002] 大量的前端设备在出厂时的登录密码都是默认的admin,刚开始使用时,前端设备 会提示用户进行该前端设备登录密码的修改,然而,为了便于记忆,用户普遍会将登录密码 修改为弱密码,弱密码包括短密码、常见的密码、系统默认密码,还包括可W被穷举法通过 排列组合破解的密码,运些密码通常由一些可能被用作密码的词组成,如字典里的单词、真 实姓名或与用户名相关的词,运些密码可W被快速破译。采用生日或者宠物的名字作为密 码也是弱密码,因为有可能被熟人轻易猜出。
[0003] 采用弱密码作为设备的登录密码很容易被别人猜到或者暴力破解,不仅本地网络 (运里指一个管理员负责的网络)的用户能登录该前端设备,异地网络(相对于本地网络而 言)的用户也能登录该前端设备。在监控领域,监控前端设备的登录密码为弱密码时,异地 网络的用户容易破解密码获取该监控前端设备的视频码流,从而导致安全风险。
[0004] 现有技术中解决前端设备密码容易破解的方法是通过强制管理员将弱密码修改 为强密码,但该方法在前端设备多的情况下,实施会比较繁琐,且强密码不便于记忆,使得 管理员难W接受。
【发明内容】
[0005] 本发明的目的在于克服现有技术的不足,提供一种前端设备的访问控制方法,W 解决前端设备的登录密码为弱密码时容易被破解的问题。
[0006] 本发明的目的是运样实现的:一种前端设备的访问控制方法,所述前端设备通过 网关设备接入本地网络中,所述方法包括步骤:
[0007] 获取所述前端设备的登录密码并判断登录密码是否为弱密码,若是,则发送弱密 码警告信号给网关设备,接着从网关设备获取本地网络的网段并将该网段存储到白名单 中;
[000引客户端访问所述前端设备时,所述前端设备获取该客户端的网络地址后进行判 断,当客户端的网络地址在白名单存储的网段内时,允许该客户端访问所述前端设备;反 之,禁止该客户端访问所述前端设备。
[0009] 进一步地,网关设备利用0SP刊办议得到LSA信息,通过LSA信息获取本地网络的网 段后将本地网络的网段发送给所述前端设备。
[0010] 进一步地,所述前端设备的登录密码为弱密码时,所述前端设备则发送包过滤信 号给网关设备,网关设备根据接收到的包过滤信号禁止所述前端设备发送数据给异地网络 的客户端。
[0011] 进一步地,所述包过滤信号为ACL启用信号,网关设备根据接收到的ACL启用信号 在所述前端设备对应的接入接口上启用ACL,所述A化被配置成禁止所述前端设备发送数据 给异地网络的客户端。
[0012] 进一步地,当前端设备判断登录密码由弱密码修改为强密码后,向网关设备发送 弱密码警告结束信号,网关设备在接收到弱密码警告结束信号后,关闭所述前端设备对应 的接入接口上已启用的ACL。
[0013] 进一步地,当前端设备判断其登录密码由弱密码修改为强密码后,向网关设备发 送弱密码警告结束信号,网关设备在接收到弱密码警告结束信号后,前端设备删除白名单 中存储的本地网络的网段。
[0014] 利用本发明的方法,本发明另外提供了一种前端设备的访问控制系统。
[0015] -种前端设备的访问控制系统,所述前端设备通过网关设备接入本地网络中,所 述系统包括:
[0016] 密码获取模块:获取所述前端设备的登录密码;
[0017] 判断模块:判断所述前端设备的登录密码是否为弱密码;
[0018] 设备网址获取模块:在判断模块判断所述前端设备的登录密码为弱密码后,发送 弱密码警告信号给网关设备,接着从网关设备获取本地网络的网段;
[0019] 白名单存储模块:存储本地网络的网段;
[0020] 客户端访问所述前端设备时,设备网址获取模块获取该客户端的网络地址并进行 判断,当该客户端的网络地址在白名单存储模块存储的网段内时,允许该客户端访问所述 前端设备;否则,禁止该客户端访问所述前端设备。
[0021] 进一步地,网关设备利用0SP刊办议得到LSA信息,通过LSA信息获取本地网络的网 段后将该网段发送给设备网址获取模块。
[0022] 进一步地,所述系统还包括包过滤模块,当判断模块判断所述前端设备的登录密 码为弱密码时,所述包过滤模块发送包过滤信号给网关设备,该网关设备根据接收到的包 过滤信号禁止所述前端设备发送数据给异地网络的客户端。
[0023] 进一步地,所述包过滤信号为ACL启用信号,网关设备根据接收到的ACL启用信号 在所述前端设备对应的接入接口上启用ACL,所述A化被配置成禁止所述前端设备发送数据 给异地网络的客户端。
[0024] 本发明的有益效果:本发明不需要人为的参与,利用前端设备和网关设备之间的 交互,自动生成存储本地网络网段的白名单,仅允许本地网络中的客户端访问该前端设备, 禁止异地网络中的客户端访问该前端设备,从而防止异地网络的客户端登录前端设备获取 媒体数据流。
[0025] 同时,通过网关设备设置包过滤模块,在判断前端设备登录密码为弱密码时,利用 包过滤模块禁止该前端设备发送数据给异地网络的客户端,运样即使异地网络的客户端破 解了前端设备的登录密码,成功地访问该前端设备,在判断客户端的网络地址属于异地网 络网段时,网关设备启用包过滤模块,禁止该前端设备发送媒体流数据给异地网络的客户 端,进而防止异地网络的客户端通过其他方式获取到该前端设备中的媒体流数据。
[00%] 利用网关设备通过0SPF获取LSA信息来判断哪些网络是本地网络,哪些网络是异 地网络,使得前端能自动获取本地网络的网段并添加到白名单中,不需要要人为手动添加, 访问控制过程更加智能化。
【附图说明】
[0027] 图1为本发明实施例监控网络组网示意图;
[0028] 图2为本发明实施例的前端设备访问控制方法的流程图;
[0029] 图3为本发明实施例1P权限配置示意图;
[0030] 图4为本发明实施例1P权限配置示意图。
【具体实施方式】
[0031] 下面结合附图并通过具体实施例对本发明作进一步详述,W下实施例只是描述性 的,不是限定性的,不能W此限定本发明的保护范围。
[0032] 本发明的一种前端设备的访问控制方法及系统,应用于监控领域。参见图1,监控 网络根据管理员的管理范围将监控网络划分为多个区域,其中,相同区域的网络由同一管 理员负责管理,不同区域的网络由不同管理员分别管理。每个区域的管理员负责本网络的 网络设备、监控设备的维护和配置工作。在每个区域的内部运行IGP协议(Interior Gateway Protocol,内部网关协议),各区域之间进行路由的相互引入达到全网路由的互 通,从而达到各个区域之间互访的需求。W内部网关协议中的0SPF协议(Open化ortest 化th First,开放最短路径优先)为例,各个路由器之间通过0SPF协议交互获得路由信息, 其中,引入的外部网络路由是通过5类LSA化ink-state Advedisement,链路状态广播)进 行发布的,而本区域内部的网络路由都是通过1、2和3类LSA进行发布的。即本区域内的各个 路由器之间通过0SP刊办议得到各自的1类、2类和3类LSA信息,本区域的路由器与外部区域 的路由器通过0SPF协议得到各自的5类LSA信息。
[0033] LSA包括设备的IP地址、子网掩码、网络类型、Cost值等信息,0SPF路由器之间交换 的并不是路由表,而是LSA,0SPF通过获得网络中所有的链路状态信息,从而计算出到达每 个目标精确的网络路径。
[0034] 其中,1类LSA是路由器LSA(Router LSA),每一台路由器都会产生路由器LSA通告。 运个最基本的LSA通告列出了路由器所有的链路或接口,并指明了它们的状态和沿每条链 路方向出站的代价,W及该链路上所有已知的0SPF邻居。
[0035] 2类LSA是网络LSA(化twork LSA),列出了所有与之相连的路由器,包括指定路由 器本身。2类LSA描述本0SPF区域内部的网络信息。
[0036] 3类LSA是网络汇总LSA(化twork Summary LSA),是由区域边界路由器始发的,区 域边界路由器将发送网络汇总LSA到一个区域,用来通告该区域外部的目的地址。3类LSA描 述其他0SPF区域的网络信息。
[0037] 5类LSA是自治系统外部LSA(Autonomous System External LSA),或者称为外部 LSA化xternal LSA),用来通告到达0SPF自治系统外部的目的地或者0SPF自治系统外部的 缺省路由的LSA"5类LSA描述引入的外部路由网络信息。
[0038] 本实施例中,前端设备(运里为IPC,即网络摄像机)通过网线连接网关设备,从而 使得该前端设备通过该网关设备接入到本地网络中,并通过该网关设备与外界设备进行通 信。首先通过管理员人为地对该前端设备进行网络地址的配置,包括该前端设备的IP地址 和网关地址。其中,管理该前端设备的管理员负责的网络区域为本地网络,而由其他管理员 负责的网络区域则为异地网络。
[0039] 在使用时,为了安全考虑,一般都会给前端设备设置一个统一的登录密码,在多个 客户端访问该前端设备时,需要输入正确的登录密码才能访问该前端设备。为了防止前端 设备的登录密码容易破解,异地网络用户非法访问该前端设备获取媒体流数据,参见图2, 本实施例的前端设备的访问控制方法步骤如下:
[0040] 通过前端设备获取该前端设备的登录密码并判断是否为弱密码,若登录密码为弱 密码,该前端设备则向相应的网关设备(即将该前端设备接入到本地网络的网关设备)发送 携带弱密码警告信号的报文。其中,弱密码的判断规则可根据需要来设置,在本实施例中, 将短密码(例如密码长度小于6位)、常见密码(例如12%56789、abcdef等)、系统默认密码 (例如admin)、可W被穷举法通过排列组合破解的密码(由一些可能被用作密码的词组成, 如字典里的单词、真实姓名或与用户名相关的词等组成的密码)、该前端设备用户的生日和 宠物的名字均当作弱密码。
[0041] 网关设备可W为路由器或交换机,在本实施例中,选择交换机作为前端设备接入 本地网络的网关设备。弱密码警告信号是通过私有定制的XML报文来传递的。 具体地,将弱 密码警告信号设置为Alarm字段,当前端设备判断其当前的登录密码为弱密码时,将Alarm 字段设置为1并发送给将该前端设备接入到本地网络的网关设备,具体XML报文格式如下:
[0042]
[0043]
[0044] 当将该前端设备接入到本地网络的网关设备接收到携带弱密码警告信号的报文 后,该网关设备利用0SP刊办议得到LSA信息,通过LSA信息获取本地网络的网段后将本地网 络的网段发送给该前端设备。具体地,将本地网络中的所有设备的网络地址(即内部路由) 通过XML报文发送给前端设备,参见图1,本地网络的内部路由为1.1.1.0/255.255.255.0、 20.20.20.0/255.255.255.0 W及202.169.50.128/255.255.255.192。具体XML报文格式如 下:
[0045]
[0046]
[0047] 将该前端设备接入到本地网络的网关设备通过OSP刊办议获得1类、2类、3类和5类 的LSA信息并存储在该网关设备的本地链路状态数据库中。内部路由是通过查询将该前端 设备接入到本地网络的网关设备的本地链路状态数据库得到的,其中2类、3类LSA描述的是 本地网络。例如,在本地网络中,前端设备获取设备网络地址为20 2. 169.50. 128/ 255.255.255.192的LSA信息的报文格式如下:
[004引
[0049] 该前端设备访问相应网关设备的本地链路状态数据库中LSA信息,对LSA信息进行 筛选,获取LSA中2类LSA和3类LSA信息中的网络地址,即本地网络的网段。参见图3,前端设 备从将其接入到本地网络的网关设备获取本地网络的网段后,将本地网络的网段存储到白 名单中,在客户端访问该前端设备时,该前端设备获取该客户端的网络地址后进行判断,当 客户端的网络地址在白名单存储的网段内时,允许该客户端访问该前端设备;反之,禁止该 客户端访问该前端设备。其中,白名单中存储的为允许访问该前端设备的网络地址。
[0050] 同时,在该前端设备判断自己的登录密码为弱密码时,该前端设备发送包过滤信 号给网关设备,网关设备根据接收到的包过滤信号来禁止该前端设备发送数据给异地网络 的客户端。在本实施例中,包过滤信号为ACL启用信号,网关设备根据接收到的ACL启用信号 在该前端设备接入网关设备的接入接口上启用ACL(Access Control List,访问控制列表) 功能,该ACL被设置成禁止该前端设备将数据发给异地网络设备。在一个具体的实施例中, 前端设备的IP地址为1.1.1.1,则网关设备在该前端设备对应的接入接口上启用的A化为:
[0化1 ]
[0052] 当该前端设备在接收到本地网络信息后,开启本地白名单访问功能;当该前端设 备接收到异地网络信息后,禁止异地网络的设备访问该前端设备,即仅允许本地网络的设 备访问该前端设备。
[0053] 当用户将该前端设备的登录密码由弱密码修改为强密码后,该前端设备向其接入 的网关设备发送携带弱密码警告结束信号的报文。其中,强密码的判断规则可根据需要来 设置,例如,可W将强密码的判断规则设置成如下方式:密码长度至少有8个字符,不包含全 部或部分用户帐户名,至少包含W下四类字符中的Ξ类:大写字母、小写字母、数字,W及键 盘上的符号(例如!、@、#),字典中查不到,不是命令名,不是人名,不是用户名,不是计算机 名,与W前的密码明显不同。
[0054] 本实施例中,当前端设备判断自己的登录密码被修改为强密码后,则将Alarm字段 设置为0并发送至将该前端设备接入到本地网络的网关设备中,具体XML报文格式如下:
[0化5]
[0056] 参见图4,将该前端设备接入到本地网络的网关设备在接收到携带弱密码警告结 束信号的报文后,将对应该前端设备启用的弱密码包过滤规则取消掉,即关闭该前端设备 对应的接入接口上已启用的ACL,同时,该前端设备删除白名单中存储的本地网络的网段。
[0057] 利用本发明的方法,本发明另外提供了一种前端设备的访问控制系统,包括密码 获取模块、判断模块、设备网址获取模块和白名单存储模块,该系统应用于前端设备中,利 用密码获取模块获取该前端设备的登录密码,在获取到该前端设备的登录密码后,通过判 断模块判断该登录密码是否为弱密码,若登录密码为弱密码,设备网址获取模块则发送弱 密码警告信号给网关设备,网关设备在接收到弱密码警告信号后,发送本地网络的网段给 设备网址获取模块,设备网址获取模块从网关设备获取本地网络的网段后将该网段存储在 白名单存储模块中。
[0058] 客户端访问该前端设备时,设备网址获取模块获取该客户端的网络地址并进行判 断,当该客户端的网络地址在白名单存储模块存储的网段内时,允许该客户端访问该前端 设备;否则,禁止该客户端访问该前端设备。若判断模块判断前端设备的登录密码为强密 码,则客户端可直接访问该前端设备。
[0059] 在本实施例中,网关设备利用0SP刊办议得到LSA信息,通过LSA信息判断哪些是本 地网络,哪些是异地网络。2类LSA和3类LSA中的网络地址属于本地网络,网关设备在收到到 弱密码警告信号后,将本地网络的网段发送给设备网址获取模块。5类LSA中的网络地址属 于异地网络。
[0060] 另外,为了防止异地网络的客户端通过其他方式获取监控媒体流数据,该系统还 包括包过滤模块,在判断模块判断前端设备的登录密码为弱密码时,包过滤模块发送包过 滤信号给该前端设备,禁止该前端设备发送数据给异地网络的客户端。具体地,包过滤信号 为ACL启用信号,网关设备在该前端设备对应的接入接口上启用ACL,ACL被配置成禁止该前 端设备发送数据给异地网络的客户端。
[0061] 本发明的方法及系统利用前端设备和网关设备之间的交互,自动生成存储本地网 络网段的白名单,仅允许本地网络中的客户端访问该前端设备,禁止异地网络中的客户端 访问该前端设备,从而防止异地网络的客户端登录前端设备获取媒体数据流。
[0062] W上所述,仅是本发明的较佳实施例,并非对本发明作任何限制,凡是根据本发明 技术实质对W上实施例所作的任何简单修改、变更W及等效结构变化,均仍属于本发明技 术方案的保护范围。
【主权项】
1. 一种前端设备的访问控制方法,所述前端设备通过网关设备接入本地网络中,其特 征在于,所述方法包括步骤: 获取所述前端设备的登录密码并判断登录密码是否为弱密码,若是,则发送弱密码警 告信号给网关设备,接着从网关设备获取本地网络的网段并将该网段存储到白名单中; 客户端访问所述前端设备时,所述前端设备获取该客户端的网络地址后进行判断,当 客户端的网络地址在白名单存储的网段内时,允许该客户端访问所述前端设备;反之,禁止 该客户端访问所述前端设备。2. 如权利要求1所述前端设备的访问控制方法,其特征在于,网关设备利用OSPF协议得 至IJLSA信息,通过LSA信息获取本地网络的网段后将本地网络的网段发送给所述前端设备。3. 如权利要求1所述前端设备的访问控制方法,其特征在于,所述前端设备的登录密码 为弱密码时,所述前端设备则发送包过滤信号给网关设备,网关设备根据接收到的包过滤 信号禁止所述前端设备发送数据给异地网络的客户端。4. 如权利要求3所述前端设备的访问控制方法,其特征在于,所述包过滤信号为ACL启 用信号,网关设备根据接收到的ACL启用信号在所述前端设备对应的接入接口上启用ACL, 所述ACL被配置成禁止所述前端设备发送数据给异地网络的客户端。5. 如权利要求4所述前端设备的访问控制方法,其特征在于,当前端设备判断登录密码 由弱密码修改为强密码后,向网关设备发送弱密码警告结束信号,网关设备在接收到弱密 码警告结束信号后,关闭所述前端设备对应的接入接口上已启用的ACL。6. 如权利要求1所述前端设备的访问控制方法,其特征在于,当前端设备判断其登录密 码由弱密码修改为强密码后,向网关设备发送弱密码警告结束信号,网关设备在接收到弱 密码警告结束信号后,前端设备删除白名单中存储的本地网络的网段。7. -种前端设备的访问控制系统,所述前端设备通过网关设备接入本地网络中,其特 征在于,所述系统包括: 密码获取模块:获取所述前端设备的登录密码; 判断模块:判断所述前端设备的登录密码是否为弱密码; 设备网址获取模块:在判断模块判断所述前端设备的登录密码为弱密码后,发送弱密 码警告信号给网关设备,接着从网关设备获取本地网络的网段; 白名单存储模块:存储本地网络的网段; 客户端访问所述前端设备时,设备网址获取模块获取该客户端的网络地址并进行判 断,当该客户端的网络地址在白名单存储模块存储的网段内时,允许该客户端访问所述前 端设备;否则,禁止该客户端访问所述前端设备。8. 如权利要求7所述前端设备的访问控制系统,其特征在于,网关设备利用OSPF协议得 至IJLSA信息,通过LSA信息获取本地网络的网段后将该网段发送给设备网址获取模块。9. 如权利要求7所述前端设备的访问控制系统,其特征在于,所述系统还包括包过滤模 块,当判断模块判断所述前端设备的登录密码为弱密码时,所述包过滤模块发送包过滤信 号给网关设备,该网关设备根据接收到的包过滤信号禁止所述前端设备发送数据给异地网 络的客户端。10. 如权利要求9所述前端设备的访问控制系统,其特征在于,所述包过滤信号为ACL启 用信号,网关设备根据接收到的ACL启用信号在所述前端设备对应的接入接口上启用ACL, 所述ACL被配置成禁止所述前端设备发送数据给异地网络的客户端。
【专利摘要】本发明公开一种前端设备的访问控制方法及系统,所述前端设备通过网关设备接入本地网络中,所述方法包括步骤:获取所述前端设备的登录密码并判断登录密码是否为弱密码,若是,则发送弱密码警告信号给网关设备,接着从网关设备获取本地网络的网段并将该网段存储到白名单中;客户端访问所述前端设备时,所述前端设备获取该客户端的网络地址后进行判断,当客户端的网络地址在白名单存储的网段内时,允许该客户端访问所述前端设备;反之,禁止该客户端访问所述前端设备。本发明利用前端设备和网关设备之间的交互,自动生成存储本地网络网段的白名单,仅允许本地网络中的客户端访问该前端设备,禁止异地网络中的客户端访问该前端设备。
【IPC分类】H04L29/06
【公开号】CN105491047
【申请号】CN201510915923
【发明人】周迪, 任俊峰, 杨正
【申请人】浙江宇视科技有限公司
【公开日】2016年4月13日
【申请日】2015年12月10日
最新回复(0)