CN102082729A - 接入层交换机端口安全控制方法及交换机 - Google Patents
接入层交换机端口安全控制方法及交换机 Download PDFInfo
- Publication number
- CN102082729A CN102082729A CN201110033166XA CN201110033166A CN102082729A CN 102082729 A CN102082729 A CN 102082729A CN 201110033166X A CN201110033166X A CN 201110033166XA CN 201110033166 A CN201110033166 A CN 201110033166A CN 102082729 A CN102082729 A CN 102082729A
- Authority
- CN
- China
- Prior art keywords
- user
- mac address
- security control
- switch
- grade
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000011217 control strategy Methods 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000012827 research and development Methods 0.000 description 2
- 101150082208 DIABLO gene Proteins 0.000 description 1
- 102100033189 Diablo IAP-binding mitochondrial protein Human genes 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种接入层交换机端口安全控制方法和交换机,该方法包括:获取用户的安全控制信息;根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级;对不同等级的用户执行不同的安全控制策略。该方法和交换机通过多种端口安全控制方案之间的配合,来确定出合法用户的等级,进而对不同等级的合法用户进行不同的安全控制策略,从而达到对合法用户进行多级别安全控制的目的。
Description
技术领域
本发明涉及通信网络技术领域,特别涉及接入层交换机端口安全控制方法及交换机。
背景技术
现有技术中,通常将通信网络中直接面向用户连接或者访问网络的部分称为接入层。按照宽带网络的定义,接入层主要功能是完成用户流量的接入和隔离。最常用的接入层设备即接入层以太网交换机,随着数据通信技术的发展,用户对于接入层以太网交换机端口的安全性要求越来越高,要求接入层交换机可以对端口进行有效的控制,以提高端口安全性。
图1为典型用户接入层网络结构示意图,如图1所示,接入层交换机通过端口1和HUB与多个用户相连,并通过外部网络与网管平台和数据服务器相连,在该网络中,为了数据安全等考虑,用户访问外部网络或数据服务器等行为需要通过接入层交换机进行端口安全控制。
对于接入层以太网交换机而言,目前常用的端口安全控制机制,包括端口802.1x认证、端口媒体访问控制地址(MAC:Media Access Control)学习数目限制、端口安全MAC地址等,第一种是基于端口的用户身份认证实现,后两种均为基于入报文源MAC地址(SMAC:Source MediaAccess Control)学习控制实现。
端口802.1x认证方案:
IEEE标准规定的一种基于端口的认证方案,接入用户使用命令行、密码的方式向认证服务器发送认证申请,通过后该用户即可通过该认证端口访问外部网络。对于没有合法用户名、密码的用户属于非法用户。
端口MAC地址数目限制方案:
通过端口对MAC地址学习数目的限制来达到接入的合法用户数量的限制,对于超过限制的用户而言,视为非法用户,数据报文直接丢弃。
安全MAC地址方案:
通过预先设置的端口MAC地址来区分用户,设置为安全MAC地址的用户为合法用户,非安全MAC地址对应的用户均为非法用户,可通过配置报告到网管平台,网管平台可以监控和管理当前端口上的接入用户。
上述三种方案各有优缺点,具体比较如下表所示:
表一,现有以太网交换机端口安全方案对比表
从表一中可以看出,现有的以太网交换机端口安全控制方法只能区分出合法用户和非法用户,而没有区分合法用户的不同用户等级的能力,因此不能实现针对不同等级的合法用户进行不同的安全控制操作。
发明内容
本发明实施例提供一种接入层交换机端口安全控制方法,能够实现合法用户的多等级安全控制。
本发明实施例提供一种交换机,能够实现合法用户的多等级安全控制。
为达到上述目的,本发明的技术方案具体是这样实现的:
一种接入层交换机端口安全控制方法,该方法包括:
获取用户的安全控制信息;
根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级;
对不同等级的用户执行不同的安全控制策略。
较佳地,所述安全控制判据包括:
安全MAC地址、MAC地址学习数目上限和802.1x认证。
较佳地,所述安全控制信息包括:
用户的源MAC地址和/或,802.1x认证用户名及密码。
较佳地,所述根据安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级,包括:
根据用户的源MAC地址,通过预先在交换机端口上配置的安全MAC地址和MAC地址学习数目上限确定用户等级。
较佳地,所述根据安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级,包括:
根据用户的源MAC地址和802.1x认证用户名及密码,通过预先在交换机端口上配置的安全MAC地址、MAC地址学习数目上限和802.1x认证确定用户等级。
一种交换机,该交换机包括:
信息获取模块,用于获取用户的安全控制信息;
等级确定模块,用于根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级;
控制模块,用于对不同等级的用户执行不同的安全控制策略。
较佳地,所述信息获取模块包括:MAC获取单元和/或密码获取单元;
所述MAC获取单元,用于获取用户的源MAC地址;
所述密码获取单元,用于获取用户的802.1x认证用户名及密码。
较佳地,所述等级确定模块包括:
安全配置单元,用于在交换机端口上配置的安全MAC地址和MAC地址学习数目上限;
等级确定单元,用于根据用户的源MAC地址,通过所述在交换机端口上配置的安全MAC地址和MAC地址学习数目上限确定用户等级。
较佳地,所述等级确定模块包括:
安全配置单元,用于在交换机端口上配置安全MAC地址、MAC地址学习数目上限和802.1x认证;
等级确定单元,用于根据用户的源MAC地址和802.1x认证用户名及密码,通过所述在交换机端口上配置的安全MAC地址、MAC地址学习数目上限和802.1x认证确定用户等级。
由上述的技术方案可见,本发明的这种接入层交换机端口安全控制方法及交换机可以通过预先在交换机端口上设置的两种或至少两种安全控制判据之间的配合,从合法用户中进一步区分出不同的用户等级,从而达到对合法用户进行多等级安全控制的目的,实现更加灵活更加丰富的用户安全控制。
附图说明
图1为典型用户接入层网络结构示意图;
图2为本发明实施例的接入层交换机端口安全控制方法流程图;
图3为本发明实施例的接入层交换机端口安全控制方法的具体应用流程图;
图4为本发明实施例的交换机结构示意图;
图5为本发明实施例的等级确定模块结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
本发明主要是综合了目前多种端口安全控制方案,通过多种端口安全控制方案之间的配合,来确定出合法用户的等级,进而对不同等级的合法用户进行不同的安全控制策略,从而达到对合法用户进行多级别安全控制的目的,实现更加灵活,更加丰富的用户控制,可以为不同等级的合法用户提供不同的网络访问限制策略,提高网络的安全性。
图2为本发明实施例的接入层交换机端口安全控制方法流程图,如图2所示,该方法包括如下步骤:
步骤201,获取用户的安全控制信息;
用户的安全信息用于确定用户等级,如用户的源MAC地址或用户用于802.1x认证的用户名及密码,或者同时包括用户的源MAC地址和用户的802.1x认证用户名及密码。
步骤202,根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级;
具体判据可以包括现有技术中的三种安全控制机制,即安全MAC地址(通过设置安全的MAC地址和不安全的MAC地址区分合法/非法用户)、MAC地址学习数目上限(通过是否允许MAC地址学习,以及允许进行MAC地址学习的数量上限,控制端口允许接入的用户数目)和802.1x认证(通过用户提供的用户名和密码是否合法来区分用户),当然,任何其它判据,包括本发明申请之后开发出的其它安全控制机制也可以作为本发明中的安全控制判据。
具体确定用户等级时,根据端口配置的安全控制判据和获取的用于进行用户等级判断的安全控制信息不同,具体可以有多种实现方式;例如,可以根据用户的源MAC地址,通过预先在交换机端口上配置的安全MAC地址和MAC地址学习数目上限确定用户等级。也可以根据用户的源MAC地址和802.1x认证用户名及密码,通过预先在交换机端口上配置的安全MAC地址、MAC地址学习数目上限和802.1x认证确定用户等级。
鉴于至少两种不同安全控制判据的组合较多,每种组合配合所需获取的安全控制信息,都可以作为本步骤的一个实施例,因此这里就不一一列举了。
步骤203,对不同等级的用户执行不同的安全控制策略。
对于不同等级的用户,可以预先设置不同的安全控制策略,比如允许访问所有网络资源、不允许访问网络资源,或者有条件访问网络资源等,具体可以根据需要而定。
对于以上方法,确定用户等级的具体方法可以根据预先划分的用户等级确定,即根据需要划分的用户等级的数量不同,用户等级的具体确定方法是不同的,例如要划分1、2、3、4共4个等级的用户,则具体用户等级确定方法举例如下:
预先在交换机端口上配置等级2用户的MAC地址和等级4用户的MAC地址;
用户接入时,判断用户的源MAC地址是否为等级2用户的MAC地址,若是,则确定为等级2用户;否则继续判断是否为等级4用户的MAC地址,若是,则确定为等级4用户;否则继续判断用户的目的MAC地址是否为802.1x组播MAC地址,若是,则对该用户进行802.1x认证,并在该用户通过802.1x认证后,确定该用户为等级1用户;若用户的目的MAC地址不是802.1x组播MAC地址,则继续判断用户接入的端口是否允许MAC地址学习,以及是否达到允许MAC地址学习的数量上限,如果允许MAC地址学习且没有达到允许MAC地址学习的数量上限,则确定为等级3用户。
如果要划分3个等级的用户,如上述1、2、4等级的用户,则具体用户等级确定方法举例如下:
预先在交换机端口上配置等级2用户的MAC地址和等级4用户的MAC地址;
用户接入时,判断用户的源MAC地址是否为等级2用户的MAC地址,若是,则确定为等级2用户;否则继续判断是否为等级4用户的MAC地址,若是,则确定为等级4用户;否则继续判断用户的目的MAC地址是否为802.1x组播MAC地址,若是,则确定为等级1用户。
如果要划分3个等级的用户,如上述2、3、4等级的用户,则具体用户等级确定方法举例如下:
预先在交换机端口上配置等级2用户的MAC地址和等级4用户的MAC地址;
用户接入时,判断用户的源MAC地址是否为等级2用户的MAC地址,若是,则确定用户为等级2用户;否则继续判断是否为等级4用户的MAC地址,若是,则确定用户为等级4用户;否则继续判断用户接入的端口是否允许MAC地址学习,若否,则确定执行预设的等级4用户操作,若是,则继续判断用户接入的端口是否已达到允许接入用户数目上限,若否,则确定为等级3用户。
如果要划分3个等级的用户,如上述1、3、4等级的用户,则具体用户等级确定方法举例如下:
预先在交换机端口上配置等级4用户的MAC地址;
用户接入时,判断用户的源MAC地址是否为等级4用户的MAC地址,若是,则确定为等级4用户;否则继续判断用户的目的MAC地址是否为802.1x组播MAC地址,若是,则对该用户进行802.1x认证,并在该用户通过802.1x认证后,确定该用户为等级1用户;若用户的目的MAC地址不是802.1x组播MAC地址,则继续判断用户接入的端口是否允许MAC地址学习,以及是否达到允许MAC地址学习的数量上限,如果允许MAC地址学习且没有达到允许MAC地址学习的数量上限,则确定为等级3用户。
对于上述用户等级确定过程中没有被确定为1、2、3、4等级用户中任意一种等级的用户的情况,可以将该用户统一确定为非法用户。
当然,上述实施例中,由于用户等级的设置和划分都是任意的,从哪个用户开始判断,以及从根据哪个判据对用户等级判断也都是任意的,例如对1、2、3、4,4个等级用户进行判断时,也可以先从等级1用户开始判断,即先对用户的802.1x用户名和密码进行验证,再进行后续的判断流程,或者,也可以使用预先设置的MAC地址来判断等级1的用户而不是等级2的用户,更多的实施例由于篇幅问题,这里就不一一列举了。
本发明的思想在于使用至少两种安全控制机制作为安全控制判据,通过至少两种的判据对用户的安全控制信息进行判断,从而可以得到更多的用户身份判断结果,因此可以将合法用户进行更加细化的等级区分,而不仅是现有技术中使用单独的一种安全控制机制判断用户身份,只能得到合法/不合法两种结果。实际上,任何采用至少两种安全控制机制来对用户等级进行判断的具体判断方法,都属于本发明思想下的实施例。
在确定用户等级后,即可根据用户等级执行相应的安全控制策略,具体什么等级的用户对应什么安全控制策略可以根据需要设定,这里不再赘述。
以下将以一个具体应用来描述本发明的端口安全控制方法,首先,用户等级的具体划分举例如下:
表二,用户等级表
上述用户等级表中的用户权限设计仅仅是一个可行的例子,具体不同等级的用户拥有什么样的权限和对其进行的安全控制操作,可以根据具体的需要而定。根据上述的用户等级划分,本发明的用户等级确定流程如图3所示,包括如下步骤:
步骤301,判断是否为等级2用户,若是,则执行步骤302,否则执行步骤303;
等级2用户的判断方法可以是预先在交换机端口上配置等级2用户的MAC地址,在用户接入时,判断用户的源MAC与预先在交换机端口上配置的等级2用户的MAC地址是否匹配,如果匹配,则认为是等级2用户,执行步骤302,否则,认为该用户不是等级2用户,执行步骤303;
步骤302,执行等级2用户操作;
等级2用户操作,可以根据预先确定的用户权限设置确定,例如直接允许等级2用户接入网络,或继续判断是否有等级1用户已经接入网络(下面具体介绍等级1用户的接入判断流程),如果有等级1用户接入网络,则允许等级2用户接入,否则不允许等级2用户接入网络。
步骤303,判断是否为等级4用户,若是,则执行步骤304,否则执行步骤305;
等级4用户的判断方法与等级2用户类似,也可以预先在交换机端口上配置等级4用户的MAC地址,在用户接入时,判断用户的源MAC与预先在交换机端口上配置的等级4用户的MAC地址是否匹配,如果匹配,则认为是等级4用户,执行步骤304,否则,认为该用户不是等级4用户,执行步骤305;
步骤304,执行等级4用户操作;
等级4用户操作可以根据预先确定的用户权限需要而确定,如表一中预先设定的不允许等级4用户接入网络,直接丢弃等级4用户访问网络的报文。
步骤305,判断是否为等级1用户;
等级1用户的判断可以采用802.1x认证,首先判断用户的目的MAC地址是否为802.1x组播MAC地址,如果用户的目的MAC地址是802.1x组播MAC地址,则对该用户进行802.1x认证,如果用户用于802.1x认证的用户名和密码通过认证,则可以认为该用户为等级1用户,执行步骤306,否则认为该用户不是等级1用户,执行步骤307;
步骤306,执行等级1用户操作;
等级1用户操作可以根据预先确定的用户权限需要而确定,例如允许等级1用户接入网络。
步骤307,判断用户接入端口是否允许MAC地址学习;
若是,则执行步骤308,否则执行步骤309;
步骤308,判断用户接入端口允许MAC地址学习的用户数目是否已达上限;若是,则执行步骤309,否则执行步骤310;
步骤309,执行非法用户操作;
对于非法用户,可以执行预定的非法用户操作,例如拒绝用户接入,丢弃用户的访问报文,或者进一步发出告警信息,或者进行其它限制措施。
步骤310,执行等级3用户操作。
对于等级3用户,可以执行预定的等级3用户操作,例如将用户的源MAC地址写入硬件寄存器,允许用户接入,或进一步发出等级3用户接入的报告,或进行其它操作。
在上述的接入控制流程中,为了进一步加强对于等级2、3用户的限制,在步骤305判断出用户不是等级1用户后,执行步骤307之前,可以进一步判断网络中是否已经有等级1用户通过802.1X认证授权接入网络,如果有,则继续执行步骤307的判断,否则将认为用户为非法用户,执行对非法用户的操作,例如拒绝接入,丢弃报文等。
另外,在步骤307判断出用户接入端口允许MAC地址学习之后,执行步骤308之前,还可以进一步判断网络中是否存在MAC地址冲突,即用户的源MAC地址是否与网络中其它设备的MAC地址相同,若没有冲突,则继续执行步骤308的判断,否则可以执行对非法用户的操作,例如拒绝接入,丢弃报文,发出告警信息等。
另外,上述各步骤在执行中,都可以向网管平台发出报告,以通知网管平台目前的用户接入情况,例如:
有等级1-3的用户作为合法用户刚刚接入到网络中,可以通知网管平台;
有等级1-3的用户作为合法用户刚刚退出网络中,可以通知网管平台;
有非法用户访问网络,可以通知网管平台;
当接入用户的源MAC地址有MAC地址冲突出现,可以通知网管平台;
当物理端口插拔,可以将用户访问情况通知网管平台。
在上述流程中,当拓扑发生变化时,对应端口只要有插拔,合法用户的MAC地址均会被删除,所有用户均需要重新进行上述用户接入的安全控制过程,所以本发明的流程不受拓扑变化的影响,可以很好地适应多变的网络拓扑。
上述实施例可以适应一些对于用户控制要求很高的应用场景,例如:企业中,项目组有成员用户1,用户2,用户3,用户4,其中用户1为项目组长,用户2、用户3为研发关键成员,用户4为非项目关键成员。组网如图1所示,要求在组长未授权的前提下,用户2、用户3不能访问项目组外部网络,只有研发组长授权后,才能访问。其中,用户4在任何情况下,不能访问项目组外部资源。交换机端口1,允许接入用户最大数目为2,但项目组长不受其限制。网管可以时时监控目前项目组成员访问网络情况。此时,只要将用户1设为等级1用户,用户2、用户3设为等级2用户,用户4设为等级4用户,按照上述实施例中对等级1、2、4用户进行安全控制的流程,即可完成该应用场景的用户安全控制,而该应用场景在现有的接入控制方法中是无法实现的。
根据上述的接入流程,本发明还提供了一种交换机,如图4所示,该交换机包括:
信息获取模块401,用于获取用户的安全控制信息;
等级确定模块402,用于根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级;
安全控制模块403,用于对不同等级的用户执行不同的安全控制策略。
其中,所述信息获取模块401可以包括MAC获取单元和/或密码获取单元;
所述MAC获取单元,用于获取用户的源MAC地址;
所述密码获取单元,用于获取用户的802.1x认证用户名及密码。
另外,所述等级确定模块402如图5所示,可以包括:
安全配置单元501,用于在交换机端口上配置的安全MAC地址和MAC地址学习数目上限;
等级确定单元502,用于根据用户的源MAC地址,通过所述在交换机端口上配置的安全MAC地址和MAC地址学习数目上限确定用户等级。
作为另一实施例,所述等级确定模块402中的安全配置单元501,用于在交换机端口上配置安全MAC地址、MAC地址学习数目上限和802.1x认证;
等级确定单元502,用于根据用户的源MAC地址和802.1x认证用户名及密码,通过所述在交换机端口上配置的安全MAC地址、MAC地址学习数目上限和802.1x认证确定用户等级。
上述交换机中各模块所进行具体的操作与方法实施例的执行主体对应,例如等级确定模块402用于执行图3所示流程中各判断步骤,而安全控制模块403则执行其余步骤,也即上述方法实施例中提到的所有用于进行用户等级确定的步骤由等级确定模块402执行,其它步骤由安全控制模块403执行,这里不再详述。
由上述的实施例可见,本发明的这种接入层交换机端口安全控制方法及交换机可以通过预先在交换机端口上设置的两种或至少两种安全控制判据之间的配合,从合法用户中进一步区分出不同的用户等级,从而达到对合法用户进行多等级安全控制的目的,实现更加灵活更加丰富的用户安全控制。
Claims (9)
1.一种接入层交换机端口安全控制方法,其特征在于,该方法包括:
获取用户的安全控制信息;
根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级;
对不同等级的用户执行不同的安全控制策略。
2.如权利要求1所述的接入层交换机端口安全控制方法,其特征在于,所述安全控制判据包括:
安全MAC地址、MAC地址学习数目上限和802.1x认证。
3.如权利要求2所述的接入层交换机端口安全控制方法,其特征在于,所述安全控制信息包括:
用户的源MAC地址和/或,802.1x认证用户名及密码。
4.如权利要求3所述的接入层交换机端口安全控制方法,其特征在于,所述根据安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级,包括:
根据用户的源MAC地址,通过预先在交换机端口上配置的安全MAC地址和MAC地址学习数目上限确定用户等级。
5.如权利要求3所述的接入层交换机端口安全控制方法,其特征在于,所述根据安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级,包括:
根据用户的源MAC地址和802.1x认证用户名及密码,通过预先在交换机端口上配置的安全MAC地址、MAC地址学习数目上限和802.1x认证确定用户等级。
6.一种交换机,其特征在于,该交换机包括:
信息获取模块,用于获取用户的安全控制信息;
等级确定模块,用于根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级;
控制模块,用于对不同等级的用户执行不同的安全控制策略。
7.如权利要求6所述的交换机,其特征在于,所述信息获取模块包括:MAC获取单元和/或密码获取单元;
所述MAC获取单元,用于获取用户的源MAC地址;
所述密码获取单元,用于获取用户的802.1x认证用户名及密码。
8.如权利要求6所述的交换机,其特征在于,所述等级确定模块包括:
安全配置单元,用于在交换机端口上配置的安全MAC地址和MAC地址学习数目上限;
等级确定单元,用于根据用户的源MAC地址,通过所述在交换机端口上配置的安全MAC地址和MAC地址学习数目上限确定用户等级。
9.如权利要求6所述的交换机,其特征在于,所述等级确定模块包括:
安全配置单元,用于在交换机端口上配置安全MAC地址、MAC地址学习数目上限和802.1x认证;
等级确定单元,用于根据用户的源MAC地址和802.1x认证用户名及密码,通过所述在交换机端口上配置的安全MAC地址、MAC地址学习数目上限和802.1x认证确定用户等级。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110033166XA CN102082729B (zh) | 2011-01-30 | 2011-01-30 | 接入层交换机端口安全控制方法及交换机 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110033166XA CN102082729B (zh) | 2011-01-30 | 2011-01-30 | 接入层交换机端口安全控制方法及交换机 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102082729A true CN102082729A (zh) | 2011-06-01 |
CN102082729B CN102082729B (zh) | 2012-12-12 |
Family
ID=44088485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110033166XA Expired - Fee Related CN102082729B (zh) | 2011-01-30 | 2011-01-30 | 接入层交换机端口安全控制方法及交换机 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102082729B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103582132A (zh) * | 2012-07-24 | 2014-02-12 | 电信科学技术研究院 | 一种c-rnti的分配方法及系统 |
CN104426860A (zh) * | 2013-08-26 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 安全策略配置方法、装置和服务器 |
CN105978780A (zh) * | 2016-05-10 | 2016-09-28 | 浙江宇视科技有限公司 | 一种端口切换方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
CN1885765A (zh) * | 2005-06-23 | 2006-12-27 | 株式会社日立制作所 | 包中继装置及包中继系统 |
CN101692649A (zh) * | 2009-08-03 | 2010-04-07 | 杭州华三通信技术有限公司 | 数据多线监控的方法和设备 |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
-
2011
- 2011-01-30 CN CN201110033166XA patent/CN102082729B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
CN1885765A (zh) * | 2005-06-23 | 2006-12-27 | 株式会社日立制作所 | 包中继装置及包中继系统 |
CN101692649A (zh) * | 2009-08-03 | 2010-04-07 | 杭州华三通信技术有限公司 | 数据多线监控的方法和设备 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103582132A (zh) * | 2012-07-24 | 2014-02-12 | 电信科学技术研究院 | 一种c-rnti的分配方法及系统 |
CN103582132B (zh) * | 2012-07-24 | 2018-08-07 | 电信科学技术研究院 | 一种c-rnti的分配方法及系统 |
CN104426860A (zh) * | 2013-08-26 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 安全策略配置方法、装置和服务器 |
CN105978780A (zh) * | 2016-05-10 | 2016-09-28 | 浙江宇视科技有限公司 | 一种端口切换方法及装置 |
CN105978780B (zh) * | 2016-05-10 | 2020-01-14 | 浙江宇视科技有限公司 | 一种端口切换方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102082729B (zh) | 2012-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11595396B2 (en) | Enhanced smart process control switch port lockdown | |
US9635029B2 (en) | Role-based access control permissions | |
US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
CN106464659A (zh) | 软件定义网络中的安全 | |
EP2658207B1 (en) | Authorization method and terminal device | |
US20040153171A1 (en) | System and methodology providing automation security architecture in an industrial controller environment | |
US20050188211A1 (en) | IP for switch based ACL's | |
CN105933245B (zh) | 一种软件定义网络中安全的可信接入方法 | |
CN105302092A (zh) | 基于最小特权的过程控制软件安全架构 | |
US9081982B2 (en) | Authorized data access based on the rights of a user and a location | |
CN101651697A (zh) | 一种网络访问权限的管理方法和设备 | |
US9678492B2 (en) | Dynamic configuration of an industrial control system | |
CN104796383B (zh) | 一种终端信息防篡改的方法和装置 | |
CN110798459B (zh) | 一种基于安全功能虚拟化的多安全节点联动防御方法 | |
CN103959712A (zh) | 大型防火墙集群中的定时管理 | |
TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
CN102082729B (zh) | 接入层交换机端口安全控制方法及交换机 | |
CN101631078B (zh) | 一种端点准入防御中的报文控制方法及接入设备 | |
US11716626B2 (en) | Network access control system | |
CN112312400A (zh) | 一种接入控制方法、接入控制器及存储介质 | |
US9124581B2 (en) | Industrial automation system and method for safeguarding the system | |
CN112491886A (zh) | 基于网络系统的安全控制方法、系统、装置和存储介质 | |
CN102123147B (zh) | 一种网络设备差异化授权的方法及系统 | |
Bailey et al. | Enabling the autonomic management of federated identity providers | |
CN108023861B (zh) | 一种用于开放式数控系统的工业非军事区部署及访问方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121212 |
|
CF01 | Termination of patent right due to non-payment of annual fee |