本发明专利技术提供一种端口切换方法及装置,所述方法包括:监测与隧道服务器之间的第一隧道连接;当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;当接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。应用本发明专利技术实施例可以提高视频监控业务的安全性。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种端口切换方法及装置。
技术介绍
随着标准化且易扩展的网络技术和IP(Internet Protocol,互联网协议)技术不断发展,基于IP和网络的智能监控技术得到快速发展,IP监控已经成为目前监控的主流。在IP监控组网中,两个私网内的用户一般通过VPN(Virtual Private Network,虚拟专用网络)隧道相互连接,以屏蔽NAT(Network Address Translation,网络地址转换)穿越等因素对实际监控业务的影响。目前常见的实现方案为:媒体服务器(如监控服务器)作为隧道服务器,视频监控编码设备作为隧道客户端,隧道客户端向隧道服务器映射出来的端口发起VPN隧道连接。然而实践发现,在现有IP监控组网中,隧道服务器与隧道客户端建立VPN隧道连接后,隧道服务器对外映射的端口号保持不变,存在被攻击的风险,安全性较低。
技术实现思路
本专利技术提供一种端口切换方法及装置,以解决现有IP监控组网中VPN隧道连接建立后,由于隧道服务器对外映射的端口号保持不变导致存在被攻击的风险,安全性低的问题。根据本专利技术的第一方面,提供一种端口切换方法,包括:监测与隧道服务器之间的第一隧道连接;当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;当接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。根据本专利技术的第二方面,提供一种端口切换方法,包括:接收隧道客户端发送的端口切换请求;其中,所述端口切换请求是所述隧道客户端在确定与隧道服务器之间的第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时向所述隧道服务器发送的;向所述隧道客户端发送端口切换确认应答,并与所述隧道客户端进行端口协商,确定目标端口号;将所述目标端口号发送给出口路由器,以使所述出口路由器建立隧道服务器的互联网协议IP地址与所述目标端口号的映射关系;当接收所述隧道客户端发起的针对目标端口号的第二隧道连接请求时,与所述隧道客户端建立第二隧道连接,并对目标端口进行业务监听;其中,所述目标端口为所述目标端口号对应的端口。根据本专利技术的第三方面,提供一种端口切换装置,包括:监测单元,用于监测与隧道服务器之间的第一隧道连接;发送单元,用于当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;接收单元,用于接收所述隧道服务器发送的端口切换确认应答;所述发送单元,还用于当所述接收单元接收到所述隧道服务器发送的端
口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;切换单元,用于当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。根据本专利技术的第四方面,提供一种端口切换装置,包括:接收单元,用于接收隧道客户端发送的端口切换请求;其中,所述端口切换请求是所述隧道客户端在确定与隧道服务器之间的第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时向所述隧道服务器发送的;发送单元,用于向所述隧道客户端发送端口切换确认应答,并与所述隧道客户端进行端口协商,确定目标端口号;所述发送单元,还用于将所述目标端口号发送给出口路由器,以使所述出口路由器建立隧道服务器的互联网协议IP地址与所述目标端口号的映射关系;建立单元,用于当所述接收单元接收所述隧道客户端发起的针对目标端口号的第二隧道连接请求时,与所述隧道客户端建立第二隧道连接;监听单元,用于对目标端口进行业务监听;其中,所述目标端口为所述目标端口号对应的端口。应用本专利技术公开的技术方案,通过隧道客户端监测与隧道服务器之间的第一隧道连接,当该第一隧道连接从负载非零状态变为负载为零状态或第一隧道连接的保持时间超过预设时间阈值时,向隧道服务器发送端口切换请求;当接收到隧道服务器发送的端口切换确认应答时,向隧道服务器发送针对协商确定的目标端口号的第二隧道连接,并在隧道连接建立成功时,进行隧道连接切换,使用第二隧道连接承载上层业务,避免了VPN隧道连接长期固定使用一个端口号带来的安全风险,提高了视频监控业务的安全性。附图说明图1是本专利技术实施例提供的一种端口切换的方法流程示意图;图2是本专利技术实施例提供的另一种端口切换的方法流程示意图;图3是本专利技术实施例提供的一种具体应用场景的架构示意图;图4是本专利技术实施例提供的一种端口切换装置的结构示意图;图5是本专利技术实施例提供的另一种端口切换装置的结构示意图;图6是本专利技术实施例提供的一种端口切换装置的结构示意图;图7是本专利技术实施例提供的另一种端口切换装置的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术实施例中技术方案作进一步详细的说明。请参见图1,图1为本专利技术实施例提供的一种端口切换方法的流程示意图,如图1所示,该端口切换方法可以包括以下步骤:需要说明的是,在本专利技术实施例中,步骤101~步骤104的执行主体可以为隧道客户端,如视频监控编码设备,或隧道客户端中的处理器,如CPU(Center Process Unit,中央处理单元),为便于说明,以下以步骤101~步骤104的执行主体为隧道客户端为例进行描述。步骤101、监测与隧道服务器之间的第一隧道连接。步骤102、当第一隧道连接从负载非零状态变为负载为零状态或第一隧道连接保持的时间超过预设时间阈值时,向隧道服务器发送端口切换请求。本专利技术实施例中,第一隧道连接并不特指某一固定隧道连接,而是可以指代隧道客户端与隧道服务器之间已建立的任一隧道连接。其中,若未特殊说明,本文中提及的隧道连接均指VPN隧道连接,本专利技术后续不再复述。本专利技术实施例中,考虑到VPN隧道建立之后,若隧道服务器对外映射的
端口长时间保持不变会存在被攻击的风险,安全性较低,因而,可以动态变更隧道服务器对外映射的端口,避免长期固定使用一个端口号所带来的安全风险。相应地,在本专利技术实施例中,可以预先设定一个时间阈值(该预设时间阈值可以根据具体场景设定,如800秒、1000秒、1500秒等),隧道客户端与隧道服务器建立隧道连接之后,隧道客户端可以监测与隧道服务器之间的第一隧道连接,并统计与隧道服务器之间建立的隧道连接上的负载状态以及隧道连接保持的时间,当与隧道服务器之间的隧道连接从负载非零状态变为负载为零状态或隧道连接保持的时间超过预设时间阈值时,确定需要进行端口切换,可以向隧道服务器发送端口切换请求。其中,在本专利技术实施例中,隧道连接上的负载状态是指隧道连接上是否承载有上层业务(如视频监控邻域的实施图像查看业务、录像回放业务等);当隧道连接上承载有上层业务时,隧道连接的负载状态为负载非本文档来自技高网...
【技术保护点】
一种端口切换方法,其特征在于,包括:监测与隧道服务器之间的第一隧道连接;当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;当接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。
【技术特征摘要】
1.一种端口切换方法,其特征在于,包括:监测与隧道服务器之间的第一隧道连接;当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;当接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。2.根据权利要求1所述的方法,其特征在于,所述进行隧道连接切换,包括:当所述第一隧道连接上承载有上层业务时,将所述第一隧道连接上承载的上层业务切换到所述第二隧道连接;当所述第一隧道连接上未承载上层业务时,释放所述第一隧道连接。3.一种端口切换方法,其特征在于,包括:接收隧道客户端发送的端口切换请求;其中,所述端口切换请求是所述隧道客户端在确定与隧道服务器之间的第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时向所述隧道服务器发送的;向所述隧道客户端发送端口切换确认应答,并与所述隧道客户端进行端口协商,确定目标端口号;将所述目标端口号发送给出口路由器,以使所述出口路由器建立隧道服务器的互联网协议IP地址与所述目标端口号的映射关系;当接收所述隧道客户端发起的针对目标端口号的第二隧道连接请求时,与所述隧道客户端建立第二隧道连接,并对目标端口进行业务监听;其中,
\t所述目标端口为所述目标端口号对应的端口。4.根据权利要求3所述的方法,其特征在于,所述与所述隧道客户端建立第二隧道连接之后,还包括:判断所述第一隧道连接对应的端口上是否存在活动的隧道连接;若存在,则保持对所述第一隧道连接对应的端口进行业务监听。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:若不存在,则通知所述出口路由器撤销所述第一隧道连接对应的端口与隧道服务器的IP地址的映射关系。6.一种端口切换装置,其特征在于,包括:监测单元,用于监测与隧道服务器之间的第一隧道连接;发送单元,用于当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧...
【专利技术属性】
技术研发人员:周迪,王军,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。