本发明专利技术提供一种组播安全管理方法,所述方法包括:MBC向VM发起注册,注册成功后,接收来自VM下发的用户组播权限分级列表,M?BC接收并记录用户组播权限分级列表,当M?BC接收包含用户的权限信息的报文,记录用户的权限信息;MBC收到用户报文后,建立用户端口组播控制表,并根据所述用户组播端口控制控制用户的组播数据转发,如果是合法用户,则转发,如果是非法接入的用户,则禁止转发,基于同样的思想,本发明专利技术还提供了一种MBC设备,应用本发明专利技术可以有效管控监控组网中的组播流,防止用户非法点播组播,且配置简单,适用性强。
【技术实现步骤摘要】
本专利技术涉及组播管理技术,尤其涉及在视频监控的组网环境下的组播安全管理的技术。
技术介绍
随着视音频编解码技术和网络存储技术的发展,将摄像机的图像数据数字化,并在Internet网络上传输、存储形成了数字视频监控技术。 在IP视频监控系统中,主要由前端编码设备、后端解码设备、中心管理服务器和中心存储设备组成。在当前的系统中,实时视频监控数据是通过单播发送给接收者的,因为编码设备的能力有限,因此在存在多个接收者时,往往出现部分访问者无法接收到实时视频数据。为了解决这一问题,媒体处理设备应运而生,媒体处理设备主要完成单条实时视频数据的接收,并复制多条单播流发送到接收者。在I :N (—个源端对应多个接收端)的模式下,采用媒体处理设备的会导致单播数据在网络中快速增长,网络设备带宽不足,或者是媒体处理设备复制转发性能不足从而无法满足接收者需求。在视频监控系统中,为了节约网络带宽,经常采用组播方式发送实时视频数据,而接收者只需要加入相应的组播组即可接收到视频数据,组播的应用节约了网络的带宽,但是,同时也带来了安全管理问题。如图I所示的组网环境中,有很多VC,有些是合法的,但如果有一台非法的VC接入网络后,并且与授权用户在同一个交换机的同一个VLAN下,那么此非法VC可以通过在自己的网口抓IGMP协议包的方法得到授权用户正在接收的流量组播组地址,然后发送对应的IGMP R印ort报文,进行流量窃听;或者该非法用户直接通过发送海量的IGMP Report报文,进行组播组的扫描加入,将整网中的组播流都弓I到其接收端口上进行窃听;甚至直接窃取某个合法用户的IP地址,仿冒合法用户进行加入组播,获取视频监控信息,上述做法均会给视频监控组网带来安全隐患。
技术实现思路
有鉴于此,本专利技术提供一种组播安全管理方法,包括A MBC向视频管理服务器VM发起注册,接收并记录来自VM下发的用户组播权限分级列表,其中,所述用户权限分级列表是VM预先对管辖内的用户预先进行规划而建立的用户权限和组播地址接收范围的对应关系表;B MBC获取并记录用户权限信息;并在MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表;C当MBC收到用户的组播点播请求时,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述点播请求。基于同样的专利技术构思,本专利技术还提供一种MBC,应用于运行组播的视频监控网络中,所述MBC包括 注册模块,用于在MBC启动时,使用MBC的管理IP地址作为源地址向VM发送注册消息;记录模块,接收并记录VM下发的管辖范围内的用户组播权限分级列表,获取并记录用户的用户权限信息,记录收到用户报文的来源端口 ;控制模块,用于在MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表,并用于在收到用户的点播请求时,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述组播点播请求。本专利技术通过上述方法和装置实现了对监控组网环境内的用户组播的控制,保证了组播视频数据流的接收安全可控,同时,实现了能够灵活配置组播接收权限,配置简单,改动小,适用性良好。附图说明图I是本专利技术提供的一种应用组网示意图。图2是本专利技术的方法流程示意图。图3是本专利技术的装置模块示意图。具体实施例方式视频管理服务器VM(Video Management)是指包含以下一种或几种功能的设备可以集中管理控制监控系统中的设备;可以调度各种视频监控业务;可以管理分配监控用户权限。MBC :组播边缘控制设备(Multicast Boundary Control Device),启动了动态组播边界特性的网络设备。本专利技术方法主要包括下面的步骤MBC向VM发起注册,接收并记录来自VM下发的用户组播权限分级列表,其中,所述用户组播权限分级列表是VM预先对管辖内的用户进行规划而建立的用户权限和组播地址接收范围的对应关系表。MBC接收包含用户权限信息的报文,记录用户的权限信息;MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表;MBC收到用户的组播点播请求,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述组播点播请求。其中,MBC接收的包含用户权限信息的报文可能来自用户,也可能来自VM。当所述报文来自用户时,MBC根据报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表。当所述报文来自VM时,MBC记录用户权限信息;当MBC收到对应用户的报文后,根据报文来源端口、记录的用户组播权限分级列表以及所述用、户的权限信息,MBC建立用户端口组播控制表。下面根据具体的实例对本专利技术进行详细说明。步骤1,由VM设备对管理范围内的用户的权限进行规划,并且对用户权限对应的组播地址接收范围进行规划建立用户组播权限分级列表。如图I所示的视频监控组网,MBCl部署在网络接入边缘,其下连接有两个用户,视频客户端VCl和VC2,VM部署在中心区域,VM对全局用户进行用户权限的划分,比如将VCl规划为高权限用户,将VC2规划为低权限用户;VM还对用户权限与组播组地址接收范围进行对应,如表I所示,这里以分为四级为示例,在实际使用中,用户可以根据实际情况设置用户权限分级,同时,这里的Gl、G2、G3表示连续的组播组地址范围,G1+G2+G3组成全部的组播地址范围,当然在实际使用中,用户可以根据实际使用需要将可支配的组播地址按照自定义的某一规则进行分组来表示用户的可以接收组播组的地址范围。本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种组播安全管理方法,应用于组播边界控制设备MBC上,其特征在于,所述方法包括 A、MBC向视频管理服务器VM发起注册,接收并记录来自VM下发的用户组播权限分级列表,其中,所述用户组播权限分级列表是VM预先对管辖内的用户进行规划而建立的用户权限和组播地址接收范围的对应关系表; B、MBC获取并记录用户权限信息;在180收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表; C、当MBC收到用户的组播点播请求时,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述组播点播请求。2.根据权利要求I所述的方法,其特征在于,步骤B进一步包括所述用户权限信息是VM或者用户通过控制报文发送的。3.根据权利要求2所述的方法,其特征在于,步骤B具体为MBC接收来自VM的包含用户权限信息的报文,记录用户权限信息;当MBC收到用户报文后,根据报文来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表。4.根据权利要求I至3任一所述的方法,其特征在于,所述方法进一步包括所述MBC定期通过控制报文获取用户权限信息,并相应更新所述用户报文的来源端口状态;当所述MBC在超时后没有收到所述包括用户权限信息的控制报文,则将用户端口组播控制表端口的状态更新为初始状态。5.根据权利要求I所述的方法,其特征在于,所述MBC向VM发起注册的报文中携带有自身直连的网段信息,以使V...
【专利技术属性】
技术研发人员:王连朝,周迪,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。