一種前端設備的訪問控制方法及系統(tǒng)的制作方法
【技術(shù)領域】
[0001] 本發(fā)明屬于通信領域，具體而言，設及一種前端設備的訪問控制方法及系統(tǒng)。
【背景技術(shù)】
[0002] 大量的前端設備在出廠時的登錄密碼都是默認的admin,剛開始使用時，前端設備 會提示用戶進行該前端設備登錄密碼的修改，然而，為了便于記憶，用戶普遍會將登錄密碼 修改為弱密碼，弱密碼包括短密碼、常見的密碼、系統(tǒng)默認密碼，還包括可W被窮舉法通過 排列組合破解的密碼，運些密碼通常由一些可能被用作密碼的詞組成，如字典里的單詞、真 實姓名或與用戶名相關(guān)的詞，運些密碼可W被快速破譯。采用生日或者寵物的名字作為密 碼也是弱密碼，因為有可能被熟人輕易猜出。
[0003] 采用弱密碼作為設備的登錄密碼很容易被別人猜到或者暴力破解，不僅本地網(wǎng)絡 (運里指一個管理員負責的網(wǎng)絡）的用戶能登錄該前端設備，異地網(wǎng)絡（相對于本地網(wǎng)絡而 言）的用戶也能登錄該前端設備。在監(jiān)控領域，監(jiān)控前端設備的登錄密碼為弱密碼時，異地 網(wǎng)絡的用戶容易破解密碼獲取該監(jiān)控前端設備的視頻碼流，從而導致安全風險。
[0004] 現(xiàn)有技術(shù)中解決前端設備密碼容易破解的方法是通過強制管理員將弱密碼修改 為強密碼，但該方法在前端設備多的情況下，實施會比較繁瑣，且強密碼不便于記憶，使得 管理員難W接受。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種前端設備的訪問控制方法，W 解決前端設備的登錄密碼為弱密碼時容易被破解的問題。
[0006] 本發(fā)明的目的是運樣實現(xiàn)的：一種前端設備的訪問控制方法，所述前端設備通過 網(wǎng)關(guān)設備接入本地網(wǎng)絡中，所述方法包括步驟：
[0007] 獲取所述前端設備的登錄密碼并判斷登錄密碼是否為弱密碼，若是，則發(fā)送弱密 碼警告信號給網(wǎng)關(guān)設備，接著從網(wǎng)關(guān)設備獲取本地網(wǎng)絡的網(wǎng)段并將該網(wǎng)段存儲到白名單 中；
[000引客戶端訪問所述前端設備時，所述前端設備獲取該客戶端的網(wǎng)絡地址后進行判 斷，當客戶端的網(wǎng)絡地址在白名單存儲的網(wǎng)段內(nèi)時，允許該客戶端訪問所述前端設備；反 之，禁止該客戶端訪問所述前端設備。
[0009] 進一步地，網(wǎng)關(guān)設備利用0SP刊辦議得到LSA信息，通過LSA信息獲取本地網(wǎng)絡的網(wǎng) 段后將本地網(wǎng)絡的網(wǎng)段發(fā)送給所述前端設備。
[0010] 進一步地，所述前端設備的登錄密碼為弱密碼時，所述前端設備則發(fā)送包過濾信 號給網(wǎng)關(guān)設備，網(wǎng)關(guān)設備根據(jù)接收到的包過濾信號禁止所述前端設備發(fā)送數(shù)據(jù)給異地網(wǎng)絡 的客戶端。
[0011] 進一步地，所述包過濾信號為ACL啟用信號，網(wǎng)關(guān)設備根據(jù)接收到的ACL啟用信號 在所述前端設備對應的接入接口上啟用ACL，所述A化被配置成禁止所述前端設備發(fā)送數(shù)據(jù) 給異地網(wǎng)絡的客戶端。
[0012] 進一步地，當前端設備判斷登錄密碼由弱密碼修改為強密碼后，向網(wǎng)關(guān)設備發(fā)送 弱密碼警告結(jié)束信號，網(wǎng)關(guān)設備在接收到弱密碼警告結(jié)束信號后，關(guān)閉所述前端設備對應 的接入接口上已啟用的ACL。
[0013] 進一步地，當前端設備判斷其登錄密碼由弱密碼修改為強密碼后，向網(wǎng)關(guān)設備發(fā) 送弱密碼警告結(jié)束信號，網(wǎng)關(guān)設備在接收到弱密碼警告結(jié)束信號后，前端設備刪除白名單 中存儲的本地網(wǎng)絡的網(wǎng)段。
[0014] 利用本發(fā)明的方法，本發(fā)明另外提供了一種前端設備的訪問控制系統(tǒng)。
[0015] -種前端設備的訪問控制系統(tǒng)，所述前端設備通過網(wǎng)關(guān)設備接入本地網(wǎng)絡中，所 述系統(tǒng)包括：
[0016] 密碼獲取模塊:獲取所述前端設備的登錄密碼；
[0017] 判斷模塊:判斷所述前端設備的登錄密碼是否為弱密碼；
[0018] 設備網(wǎng)址獲取模塊:在判斷模塊判斷所述前端設備的登錄密碼為弱密碼后，發(fā)送 弱密碼警告信號給網(wǎng)關(guān)設備，接著從網(wǎng)關(guān)設備獲取本地網(wǎng)絡的網(wǎng)段；
[0019] 白名單存儲模塊:存儲本地網(wǎng)絡的網(wǎng)段；
[0020] 客戶端訪問所述前端設備時，設備網(wǎng)址獲取模塊獲取該客戶端的網(wǎng)絡地址并進行 判斷，當該客戶端的網(wǎng)絡地址在白名單存儲模塊存儲的網(wǎng)段內(nèi)時，允許該客戶端訪問所述 前端設備;否則，禁止該客戶端訪問所述前端設備。
[0021] 進一步地，網(wǎng)關(guān)設備利用0SP刊辦議得到LSA信息，通過LSA信息獲取本地網(wǎng)絡的網(wǎng) 段后將該網(wǎng)段發(fā)送給設備網(wǎng)址獲取模塊。
[0022] 進一步地，所述系統(tǒng)還包括包過濾模塊，當判斷模塊判斷所述前端設備的登錄密 碼為弱密碼時，所述包過濾模塊發(fā)送包過濾信號給網(wǎng)關(guān)設備，該網(wǎng)關(guān)設備根據(jù)接收到的包 過濾信號禁止所述前端設備發(fā)送數(shù)據(jù)給異地網(wǎng)絡的客戶端。
[0023] 進一步地，所述包過濾信號為ACL啟用信號，網(wǎng)關(guān)設備根據(jù)接收到的ACL啟用信號 在所述前端設備對應的接入接口上啟用ACL，所述A化被配置成禁止所述前端設備發(fā)送數(shù)據(jù) 給異地網(wǎng)絡的客戶端。
[0024] 本發(fā)明的有益效果:本發(fā)明不需要人為的參與，利用前端設備和網(wǎng)關(guān)設備之間的 交互，自動生成存儲本地網(wǎng)絡網(wǎng)段的白名單，僅允許本地網(wǎng)絡中的客戶端訪問該前端設備， 禁止異地網(wǎng)絡中的客戶端訪問該前端設備，從而防止異地網(wǎng)絡的客戶端登錄前端設備獲取 媒體數(shù)據(jù)流。
[0025] 同時，通過網(wǎng)關(guān)設備設置包過濾模塊，在判斷前端設備登錄密碼為弱密碼時，利用 包過濾模塊禁止該前端設備發(fā)送數(shù)據(jù)給異地網(wǎng)絡的客戶端，運樣即使異地網(wǎng)絡的客戶端破 解了前端設備的登錄密碼，成功地訪問該前端設備，在判斷客戶端的網(wǎng)絡地址屬于異地網(wǎng) 絡網(wǎng)段時，網(wǎng)關(guān)設備啟用包過濾模塊，禁止該前端設備發(fā)送媒體流數(shù)據(jù)給異地網(wǎng)絡的客戶 端，進而防止異地網(wǎng)絡的客戶端通過其他方式獲取到該前端設備中的媒體流數(shù)據(jù)。
[00%] 利用網(wǎng)關(guān)設備通過0SPF獲取LSA信息來判斷哪些網(wǎng)絡是本地網(wǎng)絡，哪些網(wǎng)絡是異 地網(wǎng)絡，使得前端能自動獲取本地網(wǎng)絡的網(wǎng)段并添加到白名單中，不需要要人為手動添加， 訪問控制過程更加智能化。
【附圖說明】
[0027] 圖1為本發(fā)明實施例監(jiān)控網(wǎng)絡組網(wǎng)示意圖；
[0028] 圖2為本發(fā)明實施例的前端設備訪問控制方法的流程圖；
[0029] 圖3為本發(fā)明實施例1P權(quán)限配置示意圖；
[0030] 圖4為本發(fā)明實施例1P權(quán)限配置示意圖。
【具體實施方式】
[0031] 下面結(jié)合附圖并通過具體實施例對本發(fā)明作進一步詳述，W下實施例只是描述性 的，不是限定性的，不能W此限定本發(fā)明的保護范圍。
[0032] 本發(fā)明的一種前端設備的訪問控制方法及系統(tǒng)，應用于監(jiān)控領域。參見圖1，監(jiān)控 網(wǎng)絡根據(jù)管理員的管理范圍將監(jiān)控網(wǎng)絡劃分為多個區(qū)域，其中，相同區(qū)域的網(wǎng)絡由同一管 理員負責管理，不同區(qū)域的網(wǎng)絡由不同管理員分別管理。每個區(qū)域的管理員負責本網(wǎng)絡的 網(wǎng)絡設備、監(jiān)控設備的維護和配置工作。在每個區(qū)域的內(nèi)部運行IGP協(xié)議（Interior Gateway Protocol,內(nèi)部網(wǎng)關(guān)協(xié)議），各區(qū)域之間進行路由的相互引入達到全網(wǎng)路由的互 通，從而達到各個區(qū)域之間互訪的需求。W內(nèi)部網(wǎng)關(guān)協(xié)議中的0SPF協(xié)議（Open化ortest 化th First,開放最短路徑優(yōu)先）為例，各個路由器之間通過0SPF協(xié)議交互獲得路由信息， 其中，引入的外部網(wǎng)絡路由是通過5類LSA化ink-state Advedisement，鏈路狀態(tài)廣播)進 行發(fā)布的，而本區(qū)域內(nèi)部的網(wǎng)絡路由都是通過1、2和3類LSA進行發(fā)布的。即本區(qū)域內(nèi)的各個 路由器之間通過0SP刊辦議得到各自的1類、2類和3類LSA信息，本區(qū)域的路由器與外部區(qū)域 的路由器通過0SPF協(xié)議得到各自的5類LSA信息。
[0033] LSA包括設備的IP地址、子網(wǎng)掩碼、網(wǎng)絡類型、Cost值等信息，0SPF路由器之間交換 的并不是路由表，而是LSA，0SPF通過獲得網(wǎng)絡中所有的鏈路狀態(tài)信息，從而計算出到達每 個目標精確的網(wǎng)絡路徑。
[0034] 其中，1類LSA是路由器LSA(Router LSA)，每一臺路由器都會產(chǎn)生路由器LSA通告。 運個最基本的LSA通告列出了路由器所有的鏈路或接口，并指明了它們的狀態(tài)和沿每條鏈 路方向出站的代價，W及該鏈路上所有已知的0SPF鄰居。
[0035] 2類LSA是網(wǎng)絡LSA(化twork LSA)，列出了所有與之相連的路由器，包括指定路由 器本身。2類LSA描述本0SPF區(qū)域內(nèi)部的網(wǎng)絡信息。
[0036] 3類LSA是網(wǎng)絡匯總LSA(化twork Summary LSA)，是由區(qū)域邊界路由器始發(fā)的，區(qū) 域邊界路由器將發(fā)送網(wǎng)絡匯總LSA到一個區(qū)域，用來通告該區(qū)域外部的目的地址。3類LSA描 述其他0SPF區(qū)域的網(wǎng)絡信息。
[0037] 5類LSA是自治系統(tǒng)外部LSA(Autonomous System External LSA)，或者稱為外部 LSA化xternal LSA)，用來通告到達0SPF自治系統(tǒng)外部的目的地或者0SPF自治系統(tǒng)外部的 缺省路由的LSA"5類LSA描述引入的外部路由網(wǎng)絡信息。
[0038] 本實施例中，前端設備(運里為IPC，即網(wǎng)絡攝像機)通過網(wǎng)線連接網(wǎng)關(guān)設備，從而 使得該前端設備通過該網(wǎng)關(guān)設備接入到本地網(wǎng)絡中，并通過該網(wǎng)關(guān)設備與外界設備進行通 信。首先通過管理員人為地對該前端設備進行網(wǎng)絡地址的配置，包括該前端設備的IP地址 和網(wǎng)關(guān)地址。其中，管理該前端設備的管理員負責的網(wǎng)絡區(qū)域為本地網(wǎng)絡，而由其他管理員 負責的網(wǎng)絡區(qū)域則為異地網(wǎng)絡。
[0039] 在使用時，為了安全考慮，一般都會給前端設備設置一個統(tǒng)一的登錄密碼，在多個 客戶端訪問該前端設備時，需要輸入正確的登錄密碼才能訪問該前端設備。為了防止前端 設備的登錄密碼容易破解，異地網(wǎng)絡用戶非法訪問該前端設備獲取媒體流數(shù)據(jù)，參見圖2， 本實施例的前端設備的訪問控制方法步驟如下：
[0040] 通過前端設備獲取該前端設備的登錄密碼并判斷是否為弱密碼，若登錄密碼為弱 密碼，該前端設備則向相應的網(wǎng)關(guān)設備（即將該前端設備接入到本地網(wǎng)絡的網(wǎng)關(guān)設備)發(fā)送 攜帶弱密碼警告信號的報文。其中，弱密碼的判斷規(guī)則可根據(jù)需要來設置，在本實施例中， 將短密碼（例如密碼長度小于6位）、常見密碼（例如12%56789、abcdef等）、系統(tǒng)默認密碼 (例如admin)、可W被窮舉法通過排列組合破解的密碼（由一些可能被用作密碼的詞組成， 如字典里的單詞、真實姓名或與用戶名相關(guān)的詞等組成的密碼）、該前端設備用戶的生日和 寵物的名字均當作弱密碼。
[0041] 網(wǎng)關(guān)設備可W為路由器或交換機，在本實施例中，選擇交換機作為前端設備接入 本地網(wǎng)絡的網(wǎng)關(guān)設備。弱密碼警告信號是通過私有定制的XML報文來傳遞的。