本發明公開了一種基于交換機的安全準入方法及裝置，管理平臺向交換機發出切換為監控模式的操作指令，將交換機切換為監控模式，此時交換機接入了前端設備的端口切換為監控狀態，未接入前端設備的端口切換為禁用狀態；接收交換機在監控模式下發送的接入到交換機端口的前端設備的唯一標識，與本地存放的交換機端口對應的唯一標識進行比較，實現對接入的前端設備進行安全準入，如果不一致則將該交換機端口置為禁用狀態，觸發告警，并在收到告警時，確認接入到交換機端口的前端設備是否安全，在確定安全的情況下設置該端口允許該前端設備接入，重新將該交換機端口切換到監控狀態。本發明實現了對接入的前端設備的安全準入。

技術領域

本發明屬于設備接入安全技術領域，尤其涉及一種基于交換機的安全準入方法及裝置。

背景技術

在視頻監控系統中，交換機作為接入層設備扮演著重要的角色，視頻監控系統中的前端設備如網絡攝像機等都是通過交換機接入到后端的管理平臺。雖然目前視頻監控管理平臺與前端設備已經存在一些安全準入相關的技術，但是交換機作為其中重要的網絡節點，卻沒有發揮相應的作用。特別是接入層交換機，作為距離前端設備最近的一個網絡節點，更應該發揮其安全準入的作用。

視頻監控管理平臺與前端設備之間，目前可以通過密碼鑒權、安全證書認證等手段保證設備的安全接入。交換機作為一種應用廣泛的網絡設備，已經存在許多網絡安全方面的技術實現手段，比如：MAC地址泛洪攻擊的安全防護、廣播風暴攻擊的防護、環路攻擊安全防護等。

在視頻監控系統的組網中，目前只存在視頻監控管理平臺與前端設備之間的安全接入方案，缺少視頻監控管理平臺通過交換機對接入的前端設備進行安全管理的技術手段。并且目前交換機的安全技術大多針對普適的網絡安全，缺少適配視頻監控網絡設備接入的安全控制手段。

發明內容

本發明的目的是提供一種基于交換機的安全準入方法及裝置，用于在前端設備接入的交換機上控制前端設備安全地接入視頻監控管理平臺，防范在交換機側進行的網絡攻擊行為，提高視頻監控系統的安全性。

為了實現上述目的，本發明技術方案如下：

一種基于交換機的安全準入方法，應用于視頻監控系統的管理平臺，所述基于交換機的安全準入方法，包括：

當交換機接入到管理平臺后，將管理平臺所在設備的信息寫入到交換機中；

向交換機發出切換為監控模式的操作指令，在交換機通過記錄的管理平臺所在設備的信息進行校驗并校驗通過后，將交換機切換為監控模式，此時交換機接入了前端設備的端口切換為監控狀態，未接入前端設備的端口切換為禁用狀態；

接收交換機在監控模式下發送的接入到交換機端口的前端設備的唯一標識，與本地存放的交換機端口對應的唯一標識進行比較，如果一致則不操作，如果不一致則將該交換機端口置為禁用狀態，觸發告警，如果本地存放的該交換機端口對應的唯一標識不存在，則將該前端設備的唯一標識存放到本地存放的該交換機端口對應的唯一標識中；

在收到告警時，確認接入到交換機端口的前端設備是否安全，在確定安全的情況下設置該端口允許該前端設備接入，重新將該交換機端口切換到監控狀態。

進一步地，基于交換機的安全準入方法，還包括：

接收交換機端口在監控狀態下監測到異常時發送的接入到該端口的前端設備的唯一標識，并將該交換機端口置為禁用狀態，觸發告警；

在收到告警時，確認接入到交換機端口的前端設備是否安全，在確定安全的情況下設置該端口允許該前端設備接入，重新將該交換機端口切換到監控狀態。

進一步地，所述基于交換機的安全準入方法，還包括：

向交換機發出切換為正常模式的操作指令，將該交換機下各端口中對應的唯一標識清除，交換機切換為正常模式，交換機各端口切換為啟用狀態。