CN101714992A - 一种扩展实现安全数据通道的方法、装置和网络设备 - Google Patents
一种扩展实现安全数据通道的方法、装置和网络设备 Download PDFInfo
- Publication number
- CN101714992A CN101714992A CN200910244093A CN200910244093A CN101714992A CN 101714992 A CN101714992 A CN 101714992A CN 200910244093 A CN200910244093 A CN 200910244093A CN 200910244093 A CN200910244093 A CN 200910244093A CN 101714992 A CN101714992 A CN 101714992A
- Authority
- CN
- China
- Prior art keywords
- message
- subclauses
- clauses
- feature
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种扩展实现安全数据通道的方法、装置和网络设备。所述方法包括:在报文特征数据库中加入允许静态添加用户通过的特征条目;当受控端口接收到的报文满足报文特征数据库的允许通过条件时,允许所述报文通过所述受控端口。本发明实施例使没有通过802.1X认证检查的数据流可以通过安全数据通道访问网络,同时简化了对认证用户的匹配方法,节省了报文特征数据库的特征条目,降低了相关网络设备如交换机的硬件成本,提高了可认证用户容量,提升了网络的稳定性。
Description
技术领域
本发明实施例涉及一种扩展实现安全数据通道的方法、装置和网络设备,属于数据通信技术领域。
背景技术
交换机之所以能够直接对目的节点发送数据包,而不是像集线器一样以广播方式对所有节点发送数据包,最关键的技术就是交换机可以识别连在网络上的节点的网卡的介质访问控制(Media Access Control,简称MAC)地址,并把它们放到MAC地址表中。MAC地址表存放于交换机的缓存中,并记住这些地址,这样一来当需要向目的地址发送数据时,交换机就可在MAC地址表中查找这个MAC地址的节点位置,然后直接向这个位置的节点发送。交换机可以通过地址学习的方式来增强这个地址表功能,学习方式如下:
(1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
(2)读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3)如表中有与此目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4)如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习回应此报文的目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
通过不断的循环这个过程,则全网的MAC地址信息都可以学习到,交换机就是这样建立和维护它自己的地址表。
除了通过动态学习过程来建立和维护交换机的MAC地址表外,还可以通过将MAC地址静态添加到MAC地址表中,以此来维护MAC地址表。静态MAC地址区别于通过动态学习得到的动态MAC地址,静态地址一旦被加入,该地址在删除之前将一直有效,不受最大老化时间的限制。地址表记录了端口的静态地址。地址表中一个MAC地址对应一个端口,如果MAC地址被设置到地址表中,则所有发给这个地址的数据只会转发给该端口。地址表中会标识出MAC地址的状态,通过该标识可以检测出MAC是否静态添加。
IEEE802.1X是美国电气电子工程师学会(Institute of Electricaland Electronic Engineers,简称IEEE)802委员会制定的局域网(LocalArea Network,简称LAN)标准中的一个。对于一个部署了802.1X认证的LAN,当用户(如个人电脑等)接入到LAN中时,需要通过802.1X认证,未经过认证的用户将无法接入到LAN中。
在普通局域网中,只要能接到网络设备上,不需要经过认证和授权即可直接使用网络。这种缺陷不利于网络管理员对网络的实时监控,也引起了人们对网络安全的担忧,801.1X认证就成了用户对网络或设备访问合法性认证的一种有效方法,提高了网络的安全性。
801.1X认证基本采用基于端口的网络存取控制,为局域网用户提供点对点式的安全接入。以电脑接入为例(也可以是其他接入终端),一个简单的示意如图1所示。
1)安装有802.1X认证客户端软件的个人计算机(Personal Computer,简称PC)提交相关的认证信息给交换机(通常为接入交换机设备)进行802.1X认证,802.1X认证客户端通过报文与交换机与认证服务器交互。
2)交换机将相关认证信息转交给认证服务器进行确认。
3)认证服务器将认证结果发送给交换机,交换机将认证结果转发给PC,如果认证通过,交换机将该PC的MAC地址静态添加到交换机MAC地址表中,同时打开PC和外界的通路。
4)在认证成功之后,正常的接入终端便可访问相关的网络资源。
在交换机上可以根据应用需要,对端口的地址学习能力进行操作,打开或者关闭端口的地址学习能力。在802.1X认证的环境下,为了控制受控端口下的用户,可以采用关闭地址学习的方式。对于通过802.1X的认证的合法用户,进行静态地址添加,保证的合法用户的报文被正常转发,其余非法用户即未认证用户的报文的处理策略是不转发、不学习地址和不送到交换机软件进行处理。
这里,PC上联的交换机端口为受控口,也就是用户必须先通过802.1X认证,所发出的报文才能通过该端口进行转发,而非受控口是交换机和上层设备(如认证服务器)相连的端口,允许所有报文通过。受控口会关闭地址学习来控制用户访问网络。
在接入层设备上开启802.1X功能之后,只有通过认证的接入用户的数据流才能通过接入层交换机转发,从而访问网络。
在此基础上,一些特殊情况下,未认证用户的数据流也需要通过接入交换机去访问网络,例如:一些管理员或者特权用户也接在开启了802.1X协议的交换机受控口下,但是他们需要不认证而直接访问网络;或者普通用户在未认证时,希望能够访问一些特殊的网段,或访问防病毒服务器进行病毒库升级等,原来的设计不能满足这种需求。在这种需求下,高优先级的安全数据通道应运而生。
安全数据通道简称安全通道,在802.1X认证的应用环境下,使得未认证通过的用户可以访问特定的网络资源(如服务器等)而开放的通道称之为安全数据通道。
传统的安全数据通道是通过在交换机的受控端口下建立一个报文特征数据库来实现。报文特征数据库是在接入交换机上建立的一个用于检测报文合法性的特征数据库;该数据库由一系列的特征条目构成的,每一个特征条目包括匹配内容和匹配动作两个部分,当匹配到相应内容时,动作为Permit则表示允许报文通过,动作为Deny表示阻断报文通过并将其丢弃。
除了将符合特殊规则的特征条目(即安全数据通道的规则)添加到该数据库中,还需要将认证用户的信息(MAC地址、端口、动作策略等)添加到该过滤数据库中,如图2所示。
当用户报文从受控端口进入交换机之后,交换机会根据报文内容提取出每一个报文的源MAC(Source MAC,简称SMAC)地址、目的IP(DestinationInternet Protocol,简称DIP)地址等报文协议字段的内容,即报文的特征内容,例如通过源MAC协议字段,能够识别出用户是否认证用户或特权用户,通过目的IP协议字段,能够识别出是否发往特殊网段的报文;根据这些特征内容去逐条查找交换机上报文特征数据库的特征条目,如果内容匹配了某条特征条目且特征条目的策略为Permit则进行转发,如特征条目的策略为Drop则进行丢弃。例如:源MAC地址为MAC1、MAC2、MAC3的三个用户通过了802.1X认证,且允许所有用户访问目的IP地址为192.168.193.1的特殊网络,则此时报文特征数据库中会有以下特征条目:
条目1:Permit DIP=192.168.193.1;
条目2:Permit SMAC=MAC1;
条目3:Permit SMAC=MAC2;
条目4:Permit SMAC=MAC3;
条目5:Deny any;
源MAC地址为MAC1、MAC2、MAC3的用户发出的报文会分别匹配上特征条目2、3、4而进行转发,而非认证用户,如MAC4,如果其发出报文的目的IP为192.168.193.1,则会匹配上特征条目1而正常转发,其它报文则会匹配上特征条目5而被丢弃。
在现有的技术方案中,在不开启安全数据通道的情况下,受控端口的地址学习能力保持关闭状态,不动态学习未认证用户的源MAC地址,也不转发未认证用户报文。同时将通过认证的用户的源MAC地址静态添加到MAC地址表中,通过只对源MAC地址存在于地址表中的报文进行转发,确保只有认证用户报文可以进行转发,由于未认证用户的源MAC地址无法被学习,不会被添加到地址表中,从而未认证用户的报文将被过滤。由于MAC地址表的硬件容量一般有2K以上,因此通过该方案,单台接入交换机上能够提供2K以上用户进行接入认证。
而当在受控端口上打开安全数据通道后,需要转发部分未认证用户的报文,无法通过上述方案对未认证用户报文进行控制,现有的技术方案中,例如专利《一种安全通道建立方法与装置)》(专利申请号200810113821.0)是通过将认证用户信息和需要转发的未认证用户报文信息均添加到报文特征数据库,使用过滤数据库统一处理,而无法通过控制受控端口地址学习能力来阻断未认证用户,但是由于硬件成本等各方面的限制,报文特征数据库的容量一般为1-2K,容量非常有限,且交换机上丰富的各种安全功能例如安全ACL等一般也是通过特征数据库进行匹配,使用报文特征数据来维护认证用户的MAC地址,将导致单台接入交换机上的可认证用户数量大量减少,考虑到与其他应用共存的情况,一般只能认证300个用户左右,根据硬件差异而变化,极端情况下将由于没有空闲的特征条目而导致用户无法进行认证。
同时,由于安全数据通道打开和关闭时分别使用了不同的实现方式,当对安全数据通道进行操作时,需要进行复杂的处理,导致所有认证用户下线并重新进行认证,增加了交换机负担,同时造成了网络不稳定。
发明内容
本发明实施例的目的是提供一种扩展实现安全数据通道的方法、装置和网络设备,简化安全数据通道对认证用户匹配方法,降低相关网络设备的硬件成本,提高可认证用户容量,提升网络的稳定性。
为实现上述目的,本发明实施例提供了一种扩展实现安全数据通道的方法,所述方法包括:
在报文特征数据库中加入允许静态添加用户通过的特征条目;
当受控端口接收到的报文满足报文特征数据库的允许通过条件时,允许所述报文通过所述受控端口。
为了实现上述目的,本发明实施例还提供了一种扩展实现安全数据通道的装置,所述装置包括特征条目添加单元和报文检查单元,
所述特征条目添加单元用于在报文特征数据库中加入允许静态添加用户通过的特征条目;
所述报文检查单元与特征条目添加单元连接,用于当受控端口接收到的报文满足报文特征数据库的允许通过条件时,允许所述报文通过所述受控端口。
为了实现上述目的,本发明实施例又提供了一种网络设备,所述网络设备包括上述装置。
本发明实施例在802.1X认证的基础上,利用认证用户在MAC地址表中静态添加的特性,扩展实现了一种优化的安全数据通道,使没有通过802.1X认证检查的数据流可以通过安全数据通道访问网络,同时简化了对认证用户的匹配方法,对所有认证用户的匹配只占用报文特征数据库的一个特征条目,节省了报文特征数据库的特征条目,降低了相关网络设备如交换机的硬件成本,提高了可认证用户容量,提升了网络的稳定性。
附图说明
图1为802.1X认证示意图
图2为现有技术中数据安全通道的实现原理示意图
图3为本发明一种扩展实现安全数据通道的方法实施例一示意图
图4为本发明一种扩展实现安全数据通道的方法实施例二示意图
图5为本发明一种扩展实现安全数据通道的方法实现原理示意图一
图6为本发明一种扩展实现安全数据通道的方法实施例三示意图
图7为本发明一种扩展实现安全数据通道的方法实现原理示意图二
图8为本发明一种扩展实现安全数据通道的方法实施例四示意图
图9为本发明一种扩展实现安全数据通道的装置实施例一示意图
图10为本发明一种扩展实现安全数据通道的装置实施例二示意图
图11为本发明一种网络设备实施例示意图
具体实施方式
下面结合附图对本发明实施例进行说明,本发明实施例提供了一种扩展实现安全数据通道的方法,图3给出了本发明一种扩展实现安全数据通道的方法实施例一示意图,所述方法包括:
步骤S1,在报文特征数据库中加入允许静态添加用户通过的特征条目;
所述静态添加用户具体可以为源MAC地址与MAC地址表中静态添加的MAC地址相同的用户。
步骤S2,当受控端口接收到的报文满足报文特征数据库的允许通过条件时,允许所述报文通过所述受控端口。
所述接收到的报文满足报文特征数据库的允许通过条件具体可以包括:接收到的报文的源MAC地址在MAC地址表中的添加标志为静态标志。
现有网络设备如交换机在802.1X认证过程中,会关闭端口地址学习能力,在认证通过后,交换机会静态添加该用户的MAC地址到MAC地址表,此时该MAC地址在MAC地址表中的添加标志为静态标识,即只有通过认证的用户数据流才能通过交换机进行转发。
由于所有认证用户都会被静态添加到MAC地址表,而非认证用户的MAC地址只能被动态学习,因此可以通过源MAC地址是否为静态地址,即源MAC地址在MAC地址表中的添加标志是否为静态标识来识别是否为认证用户,而不需要关注每个认证用户的具体信息。因此,在原有安全数据通道实现的基础上,可以利用MAC地址表的静态标识扩展实现安全数据通道与802.1X认证的共存,使没有通过802.1X认证检查的数据流可以通过安全数据通道访问网络,同时简化了对认证用户的匹配方法,对所有认证用户的匹配只占用报文特征数据库的一个特征条目,节省了报文特征数据库的特征条目,降低了相关网络设备如交换机的硬件成本,提高了可认证用户容量,提升了网络的稳定性。
图4给出了本发明一种扩展实现安全数据通道的方法实施例二示意图,本实施例除了包括方法实施例一的步骤之外,还包括:
步骤S3,开启受控端口的地址学习功能。
步骤S3可以在步骤S1之前执行,也可以与步骤S1同步执行,或者在步骤S1之后执行。
保持受控端口的地址学习能力开启,以保证安全数据通道放行的未认证报文不会被过滤。同时在报文特征数据库中添加一条特殊的特征条目:PermitSMAC静态命中用户,如图5所示,该特征条目的作用是检测报文的源MAC地址的静态属性,并转发源MAC地址为静态地址的报文,静态地址通过地址表中的静态标识可以进行识别,即在MAC地址表中检测报文的源MAC地址的添加标志是否为静态标志,如果是则认为是静态命中,转发该报文。
设报文特征数据库中有两条特征条目:
条目1:Permit SMAC静态命中用户;
条目2:Deny any;
当报文从受控端口进入交换机之后,交换机会到报文特征数据库中进行匹配,提取出每个报文的源MAC地址信息,检查出该MAC是否为静态命中,当用户的源MAC地址已经被静态添加到地址表,则该特征条目1生效,报文被转发;当用户的源MAC地址没有被静态添加在地址表中时,则特征条目1不生效,接着匹配下一条特征条目2为Deny any,即拒绝所有报文,因此报文最终被过滤。
交换机上逐条查找报文特征数据库的特征条目进行匹配,对于认证用户,由于其源MAC地址被静态添加到地址表中,因此,总是能够匹配上Permit SMAC静态命中用户的特征条目1而转发;而对于非认证用户,由于不可能被静态命中,只能匹配特征条目2,全部被默认丢弃。
图6给出了本发明一种扩展实现安全数据通道的方法实施例三示意图,本实施例除了包括方法实施例二的步骤之外,还包括:
步骤S4,在报文特征数据库中加入符合特殊访问规则的特征条目。
所述符合特殊访问规则的特征条目具体可以包括:特权用户的特征条目和/或特殊网络的特征条目,和/或一些协议报文对应的特征条目,等等。
步骤S4可以在步骤S1之后执行,也可以在其它位置执行。
所述符合特殊访问规则的特征条目可以位于允许静态添加用户通过的特征条目之前。
本实施例除了可以在方法实施例二的基础上进行上述扩展外,还可以在装置实施例一的基础上进行上述扩展。
在报文特征数据库中添加符合特殊访问规则的特征条目,例如特权用户的特征条目、特殊网络的特征条目等。
本发明实施例所指的特权用户是指网络管理员或者一些特别的用户,在启用了802.1X的网络中,通过在报文特征数据库中添加特权用户的特征条目,可以使得这些特权用户不用通过认证即可访问网络资源。
本发明实施例所指的特殊网络是指由管理员指定的具有固定IP标识的任意一台网络设备或任意一个网络。通过在报文特征数据库中添加特殊网络的特征条目,可以允许访问特殊网络的数据流通过交换机。
这些特征条目可以位于允许静态添加用户通过的特征条目之前,以确保其优先发挥作用。这样,未认证用户就能够访问安全数据通道开放的资源。
报文进入交换机后,只要符合报文特征数据库中这些特殊访问规则的特征条目,就允许报文通过,这样就能达到允许特权用户不认证即可访问网络资源、允许未认证用户访问特殊网络以进行软件升级等目的;如果不符合这些特殊访问规则的特征条目,则会进一步检测是否匹配允许静态添加用户通过的特征条目,如果匹配该特征条目,则必然为认证用户报文,报文正常转发,如果不匹配该特征条目,则为未认证用户报文,将继续匹配上默认的Denyany特征条目而被丢弃。
如图7所示,在图5的基础上,在报文特征数据库最前面增加了特权用户的特征条目:Permit特权用户,和特殊网络的特征条目:Permit特殊网络,让特权用户无需认证即可访问网络资源,同时保证用户在未认证通过时,能够访问特殊网络资源。
例如:源地址为MAC1、MAC2、MAC3、...、MAC100的用户通过802.1X认证,且安全数据通道允许访问特殊网络192.168.193.1,则此时报文特征数据库中会有以下特征条目:
条目1:Permit DIP=192.168.193.1;
条目2:Permit SMAC静态命中用户;
条目3:Deny any;
特征条目1表示允许所有发往目的IP地址为192.168.193.1的报文通过,当用户发出报文的目的IP地址为192.168.193.1时,不管是否认证用户,会因为匹配上特征条目1而转发;当用户发出报文的目的IP地址不为192.168.193.1时,会进一步去匹配特征条目2,由于认证用户的源MAC地址MAC1、MAC2、MAC3、...、MAC100被静态添加到MAC地址表,因而其发出的报文会匹配上特征条目2而进行转发;而非认证用户,如MAC101,则会匹配上特征条目3而被丢弃。
本发明实施例在MAC地址表的基础上扩展实现的安全数据通道充分利用了MAC地址表资源,只需要使用一条允许静态添加用户通过的特征条目就能够对所有认证用户进行控制,而不需要每个认证用户都占用一条特征条目,有效提升了的交换机整机的可认证用户数量,例如整机可认证2K以上个用户,避免了原有安全数据通道实现只能认证用户数少,极端情况下会由于报文特征数据库耗尽而无法进行认证的问题,最大程度的节省了报文特征数据库,降低了交换机成本。
本发明实施例还允许用户在未通过认证的情况下,能够访问某些指定网络或者具备特殊权限。
本发明实施例同时保证了802.1X的实现与安全数据通道的无关性,无论安全数据通道打开或者关闭,都是使用MAC地址表维护认证用户的源MAC地址,在安全数据通道的操作过程中,无需进行复杂的处理,避免了现有技术中安全数据通道操作会导致用户全部下线的问题,保证了网络的稳定性。
本发明的一个较优实施例如图8所示,具体步骤如下:
步骤101,在网络中启用802.1X作为客户认证机制;
步骤102,打开802.1X受控端口的地址学习能力;
步骤103,在报文特征数据库中添加一条特征条目:Permit SMAC地址静态命中用户,作用在受控端口;
步骤104,有用户的802.1X认证通过后,静态添加认证用户的源MAC地址到MAC地址表;
步骤105,根据不同的应用需求在报文特征数据库中配置不同的符合特殊访问规则的特征条目。
步骤106,当受控端口接收到的报文特征数据库的允许通过条件时,允许所述报文通过所述受控端口。
通过上述机制,网络管理员可以根据应用需要方便地配置各种符合特殊访问规则的特征条目,实现特殊数据流通道,如访问服务器下载认证客户端,方便地控制特权用户的上网权限,如访问服务器上放置的上网认证指南等,或在特殊的情况下开辟数据通路给用户使用等等。具体可实现为可供用户选择配置的形式,这样就可以针对不同的特殊数据流进行灵活的配置,且不会浪费交换机资源,这是对802.1X等安全机制的一种有效补充。
本发明实施例还提供了一种扩展实现安全数据通道的装置,图9给出了本发明一种扩展实现安全数据通道的装置实施例一示意图,所述装置包括特征条目添加单元M1和报文检查单元M2,
所述特征条目添加单元M1用于在报文特征数据库中加入允许静态添加用户通过的特征条目;
所述静态添加用户具体可以为源介质访问控制MAC地址与MAC地址表中静态添加的MAC地址相同的用户。
所述特征条目添加单元M1还可以用于在报文特征数据库中加入符合特殊访问规则的特征条目。
所述符合特殊访问规则的特征条目具体可以包括:特权用户的特征条目和/或特殊网络的特征条目,和/或一些协议报文对应的特征条目,等等。
所述符合特殊访问规则的特征条目可以位于允许静态添加用户通过的特征条目之前。
所述报文检查单元M2与特征条目添加单元M1连接,用于当受控端口接收到的报文满足报文特征数据库的允许通过条件时,允许所述报文通过所述受控端口。
所述接收到的报文满足报文特征数据库的允许通过条件具体可以包括:接收到的报文的源MAC地址在MAC地址表中的添加标志为静态标志。
图10给出了本发明一种扩展实现安全数据通道的装置实施例二示意图,本实施例除了包括装置实施例一的结构特征外,还包括受控端口设置单元M3,与报文检查单元M2连接,用于开启受控端口的地址学习功能。
本发明实施例又提供了一种网络设备,图11给出了本发明一种网络设备实施例示意图,所述网络设备包括所述装置实施例一或装置实施例二。
所述网络设备具体可以为交换机、路由器等网络设备。
本发明实施例在802.1X认证的基础上,利用认证用户在MAC地址表中静态添加的特性,扩展实现了一种优化的安全数据通道,使没有通过802.1X认证检查的数据流可以通过安全数据通道访问网络,同时简化了对认证用户的匹配方法,对所有认证用户的匹配只占用报文特征数据库的一个特征条目,节省了报文特征数据库的特征条目,降低了相关网络设备如交换机的硬件成本,提高了可认证用户容量,提升了网络的稳定性。
本发明实施例还允许用户在未通过认证的情况下,能够访问某些指定网络或者具备特殊权限。
本发明实施例同时保证了802.1X的实现与安全数据通道的无关性,无论安全数据通道打开或者关闭,都是使用MAC地址表维护认证用户的源MAC地址,在安全数据通道的操作过程中,无需进行复杂的处理,避免了现有技术中安全数据通道操作会导致用户全部下线的问题,保证了网络的稳定性。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种扩展实现安全数据通道的方法,其特征在于,所述方法包括:
在报文特征数据库中加入允许静态添加用户通过的特征条目;
当受控端口接收到的报文满足报文特征数据库的允许通过条件时,允许所述报文通过所述受控端口。
2.根据权利要求1所述的方法,其特征在于,所述静态添加用户具体为源介质访问控制MAC地址与MAC地址表中静态添加的MAC地址相同的用户。
3.根据权利要求1或2所述的方法,其特征在于,所述接收到的报文满足报文特征数据库的允许通过条件具体包括:接收到的报文的源MAC地址在MAC地址表中的添加标志为静态标志。
4.根据权利要求1或2所述的方法,其特征在于,还包括:开启受控端口的地址学习功能。
5.根据权利要求1或2所述的方法,其特征在于,还包括:在报文特征数据库中加入符合特殊访问规则的特征条目。
6.根据权利要求5所述的方法,其特征在于,所述符合特殊访问规则的特征条目具体包括:特权用户的特征条目和/或特殊网络的特征条目。
7.根据权利要求5所述的方法,其特征在于,所述符合特殊访问规则的特征条目位于允许静态添加用户通过的特征条目之前。
8.一种扩展实现安全数据通道的装置,其特征在于,所述装置包括特征条目添加单元和报文检查单元,
所述特征条目添加单元用于在报文特征数据库中加入允许静态添加用户通过的特征条目;
所述报文检查单元与特征条目添加单元连接,用于当受控端口接收到的报文满足报文特征数据库的允许通过条件时,允许所述报文通过所述受控端口。
9.根据权利要求8所述的装置,其特征在于,还包括受控端口设置单元,与报文检查单元连接,用于开启受控端口的地址学习功能。
10.根据权利要求8或9所述的装置,其特征在于,所述特征条目添加单元还用于在报文特征数据库中加入符合特殊访问规则的特征条目。
11.一种包括权利要求8-10任一所述装置的网络设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910244093A CN101714992A (zh) | 2009-12-28 | 2009-12-28 | 一种扩展实现安全数据通道的方法、装置和网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910244093A CN101714992A (zh) | 2009-12-28 | 2009-12-28 | 一种扩展实现安全数据通道的方法、装置和网络设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101714992A true CN101714992A (zh) | 2010-05-26 |
Family
ID=42418268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910244093A Pending CN101714992A (zh) | 2009-12-28 | 2009-12-28 | 一种扩展实现安全数据通道的方法、装置和网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101714992A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102316031A (zh) * | 2011-09-05 | 2012-01-11 | 西安和利时系统工程有限公司 | 交换机系统 |
| CN102801820A (zh) * | 2012-08-10 | 2012-11-28 | 杭州华三通信技术有限公司 | 一种evi网络中mac地址发布方法和装置 |
| CN103036906A (zh) * | 2012-12-28 | 2013-04-10 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127696A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 二层网络中的数据转发方法和网络及节点设备 |
| CN101340367A (zh) * | 2008-05-30 | 2009-01-07 | 北京星网锐捷网络技术有限公司 | 一种安全通道建立方法与装置 |
-
2009
- 2009-12-28 CN CN200910244093A patent/CN101714992A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127696A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 二层网络中的数据转发方法和网络及节点设备 |
| CN101340367A (zh) * | 2008-05-30 | 2009-01-07 | 北京星网锐捷网络技术有限公司 | 一种安全通道建立方法与装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102316031A (zh) * | 2011-09-05 | 2012-01-11 | 西安和利时系统工程有限公司 | 交换机系统 |
| CN102801820A (zh) * | 2012-08-10 | 2012-11-28 | 杭州华三通信技术有限公司 | 一种evi网络中mac地址发布方法和装置 |
| CN102801820B (zh) * | 2012-08-10 | 2015-01-28 | 杭州华三通信技术有限公司 | 一种evi网络中mac地址发布方法和装置 |
| CN103036906A (zh) * | 2012-12-28 | 2013-04-10 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
| CN103036906B (zh) * | 2012-12-28 | 2016-03-30 | 福建星网锐捷网络有限公司 | 网络设备的认证方法、装置、接入设备和可控设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN101102188B (zh) | 一种移动接入虚拟局域网的方法与系统 | |
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| KR101048510B1 (ko) | 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치 | |
| CN103916475B (zh) | 一种网络遥控方法 | |
| US20070258448A1 (en) | System and method for restricting network access using forwarding databases | |
| WO2011140802A1 (zh) | 一种以太环网中管理地址的方法、系统以及设备 | |
| JP2002111870A (ja) | 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法 | |
| JPH10135945A (ja) | 移動計算機装置、パケット処理装置及び通信制御方法 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN103763102B (zh) | 一种基于消息推送的wifi安全管理系统及管理方法 | |
| US7451479B2 (en) | Network apparatus with secure IPSec mechanism and method for operating the same | |
| CN100438427C (zh) | 网络控制方法和设备 | |
| CN100589434C (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
| TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
| CN101478485A (zh) | 局域网访问控制的方法以及网关设备 | |
| CN101714992A (zh) | 一种扩展实现安全数据通道的方法、装置和网络设备 | |
| CN101599834B (zh) | 一种认证部署方法和一种管理设备 | |
| JP2013034096A (ja) | アクセス制御システム、端末装置、中継装置及びアクセス制御方法 | |
| CN201821376U (zh) | 一种全局的网络访问控制装置和网络设备 | |
| CN101516091A (zh) | 一种基于端口的无线局域网接入控制系统及方法 | |
| EP1987440B1 (en) | Method and system for obviating redundant actions in a network | |
| CN102045313B (zh) | 一种控制用户访问身份标识和位置分离网络的方法和系统 | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| CN101645891A (zh) | 一种影子用户识别控制方法、装置和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Zhou Jian Document name: Notification of Passing Examination on Formalities Addressee: Zhou Jian Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100526 |