CN107426167B - 一种临时终端安全接入控制方法及系统 - Google Patents
一种临时终端安全接入控制方法及系统 Download PDFInfo
- Publication number
- CN107426167B CN107426167B CN201710356047.5A CN201710356047A CN107426167B CN 107426167 B CN107426167 B CN 107426167B CN 201710356047 A CN201710356047 A CN 201710356047A CN 107426167 B CN107426167 B CN 107426167B
- Authority
- CN
- China
- Prior art keywords
- vlan
- security management
- ephemeral terminations
- access
- control module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种临时终端安全接入控制方法,该方法先将所述以太网网络划分为安全管控vlan、标准终端vlan和预留接口vlan,再设置所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离,之后所述接入安全管控模块监测预留接口vlan的临时终端,再对该临时终端进行鉴权,并在验证成功后将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信。本发明实现了对临时接入以太网网络中的终端设备的安全管控,提高了临时终端安全管控的力度,降低了安全隐患,节省了管理成本,提高了管理效率。
Description
技术领域
本发明涉及终端入网方法,尤其涉及一种临时终端安全接入控制方法及系统。
背景技术
随着以太网技术的迅速发展,以及网络市场的推广应用,一些接入以太网网络的终端设备难免需要用到临时终端进行调试与维护,对于临时终端接入以太网网络时的安全管控日益成为棘手的问题,目前采用的方法是通过人工管理手段进行管控,而这种方式严重依赖于管理水平、人员素质来达到安全管控的效果,在实际操作过程中这种方式无法通过技术手段进行安全管控,导致现有临时终端的接入成为网络安全的最大漏洞之一。此外,现有技术中也存在通过mac地址、网络地址进行验证的办法,但mac地址、网络地址均容易被仿冒,无法真正意义上达到安全管控的目的。
发明内容
本发明要解决的技术问题在于,针对现有技术的不足,提供一种临时终端安全接入控制方法及系统,用以对临时接入以太网网络中的终端设备进行安全管控,进而提高临时终端安全管控力度、降低安全隐患、节省管理成本以及提高管理效率。
为解决上述技术问题,本发明采用如下技术方案。
一种临时终端安全接入控制方法,该方法基于一系统实现,所述系统包括有以太网网络和接入安全管控模块,所述方法包括如下步骤:步骤S1,将所述以太网网络划分为至少一个安全管控vlan、多个标准终端vlan和至少一个预留接口vlan,所述接入安全管控模块连接于安全管控vlan,所述标准终端vlan用于接入目标终端;步骤S2,将所述以太网网络设置为:所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离;步骤S3,所述接入安全管控模块监测预留接口vlan是否有临时终端接入,若是,则执行步骤S4;步骤S4,所述接入安全管控模块对该临时终端进行鉴权,若验证成功,则执行步骤S5,若验证失败,则执行步骤S6;步骤S5,所述接入安全管控模块将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信;步骤S6,所述接入安全管控模块将验证失败信息发送至临时终端。
优选地,所述步骤S3中,所述接入安全管控模块通过远程访问方式或者接口状态获取方式监测预留接口vlan的连接状态。
优选地,所述步骤S3中,所述接入安全管控模块对预留接口vlan的监测过程包括:所述接入安全管控模块将预留接口vlan的当前连接状态与在先连接状态进行对比,如果在先连接状态是未接入设备状态,而当前连接状态是已接入设备状态,则执行步骤S4。
优选地,所述步骤S3中,所述接入安全管控模块对预留接口vlan的监测过程还包括:如果所述接入安全管控模块仅获取到当前连接状态,并且当前连接状态是已接入设备状态,则认定预留接口vlan从断开到物理连接状态。
优选地,所述步骤S4中,所述接入安全管控模块对临时终端进行鉴权之前,根据临时终端的身份认证状态信息判断是否需要对其进行身份验证,所述身份认证状态信息包括已认证状态和尚未认证状态。
优选地,所述步骤S4中,所述接入安全管控模块对临时终端的鉴权过程包括:所述接入安全管控模块获取临时终端对应的编码及对应的公钥与算法,生成随机冲击数据,选择与该临时终端对应的公钥及相应的算法,加密随机冲击数据,形成密文并将密文发送到临时终端,待接收到临时终端反馈的数字签名数据后,应用相应的公钥、算法及其随机冲击数据对该数字签名数据进行验证。
优选地,执行所述步骤S5之前包括:所述接入安全管控模块判断临时终端与所要访问的标准终端vlan能否通信,如果能够通信,则执行步骤S5,如果不能通信,则所述接入安全管控模块设置以太网网络的访问规则,以令临时终端与所要访问的标准终端vlan建立通信,之后执行步骤S5。
优选地,所述接入安全管控模块判断能否通信的过程为:所述接入安全管控模块根据临时终端所要访问的目标终端,查找该目标终端所属的标准终端vlan,结合该标准终端vlan与临时终端所处的预留接口vlan的设置规则,判断临时终端与所要访问的目标终端是否能够通信。
一种临时终端安全接入控制系统,其包括有:以太网网络,划分有至少一个安全管控vlan、多个标准终端vlan和至少一个预留接口vlan,所述标准终端vlan用于接入目标终端,所述预留接口vlan用于接入临时终端,所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离;接入安全管控模块,连接于安全管控vlan,所述接入安全管控模块用于监测预留接口vlan所连接的临时终端,并对临时终端完成鉴权后,将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信。
优选地,所述以太网网络是由三层以上交换机或路由器构建的网络。
本发明公开的临时终端安全接入控制方法和系统中,先将所述以太网网络划分为安全管控vlan、标准终端vlan和预留接口vlan,再设置所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离,之后所述接入安全管控模块监测预留接口vlan的临时终端,再对该临时终端进行鉴权,并在验证成功后将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信。本发明通过对以太网网络中的接口进行划分不同的vlan,将临时终端接入的接口预留并且划分为隔离于其他标准终端vlan的vlan,对于需要管控的临时终端的接入,必须通过接入安全管控模块进行身份认证之后,才能够由接入安全管控模块将临时终端与目标终端之间的通信导通,基于上述过程,本发明实现了对临时接入以太网网络中的终端设备的安全管控,提高了临时终端安全管控的力度,降低了安全隐患,节省了管理成本,提高了管理效率。
附图说明
图1为本发明临时终端安全接入控制系统的组成框图。
图2为本发明临时终端安全接入控制方法的流程图。
图3为本发明优选实施例中临时终端安全接入控制系统的网络拓扑结构图。
具体实施方式
下面结合附图和实施例对本发明作更加详细的描述。
本发明公开了一种临时终端安全接入控制方法,结合图1和图2所示,该方法基于一系统实现,所述系统包括有以太网网络1和接入安全管控模块2,所述方法包括如下步骤:
步骤S1,将所述以太网网络1划分为至少一个安全管控vlan、多个标准终端vlan和至少一个预留接口vlan,所述接入安全管控模块2连接于安全管控vlan,所述标准终端vlan用于接入目标终端;
步骤S2,将所述以太网网络1设置为:所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离;
步骤S3,所述接入安全管控模块2监测预留接口vlan是否有临时终端接入,若是,则执行步骤S4;
步骤S4,所述接入安全管控模块2对该临时终端进行鉴权,若验证成功,则执行步骤S5,若验证失败,则执行步骤S6;
步骤S5,所述接入安全管控模块2将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信;
步骤S6,所述接入安全管控模块2将验证失败信息发送至临时终端。
上述临时终端安全接入控制方法中,先将所述以太网网络1划分为安全管控vlan、标准终端vlan和预留接口vlan,再设置所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离,之后所述接入安全管控模块2监测预留接口vlan的临时终端,再对该临时终端进行鉴权,并在验证成功后将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信。本发明通过对以太网网络中的接口进行划分不同的vlan,将临时终端接入的接口预留并且划分为隔离于其他标准终端vlan的vlan,对于需要管控的临时终端的接入,必须通过接入安全管控模块进行身份认证之后,才能够由接入安全管控模块将临时终端与目标终端之间的通信导通,基于上述过程,本发明实现了对临时接入以太网网络中的终端设备的安全管控,提高了临时终端安全管控的力度,降低了安全隐患,节省了管理成本,提高了管理效率。
进一步地,所述步骤S3中,所述接入安全管控模块2通过远程访问方式或者接口状态获取方式监测预留接口vlan的连接状态。
所述接入安全管控模块2对预留接口vlan的监测过程包括:所述接入安全管控模块2将预留接口vlan的当前连接状态与在先连接状态进行对比,如果在先连接状态是未接入设备状态,而当前连接状态是已接入设备状态,则执行步骤S4。
该步骤S3中,所述接入安全管控模块2对预留接口vlan的监测过程还包括:如果所述接入安全管控模块2仅获取到当前连接状态,并且当前连接状态是已接入设备状态,则认定预留接口vlan从断开到物理连接状态。
作为一种优选方式,所述步骤S4中,所述接入安全管控模块2对临时终端进行鉴权之前,根据临时终端的身份认证状态信息判断是否需要对其进行身份验证,所述身份认证状态信息包括已认证状态和尚未认证状态。
进一步地,所述接入安全管控模块2对临时终端的鉴权过程包括:所述接入安全管控模块2获取临时终端对应的编码及对应的公钥与算法,生成随机冲击数据,选择与该临时终端对应的公钥及相应的算法,加密随机冲击数据,形成密文并将密文发送到临时终端,待接收到临时终端反馈的数字签名数据后,应用相应的公钥、算法及其随机冲击数据对该数字签名数据进行验证。
执行所述步骤S5之前包括:所述接入安全管控模块2判断临时终端与所要访问的标准终端vlan能否通信,如果能够通信,则执行步骤S5,如果不能通信,则所述接入安全管控模块2设置以太网网络1的访问规则,以令临时终端与所要访问的标准终端vlan建立通信,之后执行步骤S5。
其中,所述接入安全管控模块2判断能否通信的过程为:所述接入安全管控模块2根据临时终端所要访问的目标终端,查找该目标终端所属的标准终端vlan,结合该标准终端vlan与临时终端所处的预留接口vlan的设置规则,判断临时终端与所要访问的目标终端是否能够通信。
为了更好地描述本发明的技术方案,本发明还公开了一种临时终端安全接入控制系统,其包括有:
以太网网络1,划分有至少一个安全管控vlan、多个标准终端vlan和至少一个预留接口vlan,所述标准终端vlan用于接入目标终端,所述预留接口vlan用于接入临时终端,所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离;
接入安全管控模块2,连接于安全管控vlan,所述接入安全管控模块2用于监测预留接口vlan所连接的临时终端,并对临时终端完成鉴权后,将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信。
进一步地,所述以太网网络1是由三层以上交换机或路由器构建的网络
上述系统和方法采用远程访问技术或者交换机接口访问技术,按照设计要求将各种标准终端接入的接口设置为多个不同的vlan,同时将临时终端接入的预留调试维护接口设置为独立的vlan,通过三层交换机或者路由器设置各种vlan之间的访问规则,临时终端接入时,通过网络通信技术、公钥加密技术、公钥验证数字签名技术认证临时终端的身份是否合法;对于合法临时终端,接入安全控制模块调整跨vlan通信规则或者调整临时终端所连接的交换机接口的vlan属性来许可临时终端访问目标标准终端;对于非法临时终端,无须调整任何配置,即可拒绝其访问目标标准终端;当临时终端断开与网络的网线连接,接入安全管控模块根据需要恢复接口配置到默认状态或者恢复跨vlan通信状态为默认状态,以达到安全可控的目的。通过应用本发明提出的方法及系统,可提高对临时终端接入的安全控制效率,提高网络终端设备的安全性。
结合以上技术方案,本发明临时终端安全接入控制方法的具体处理步骤优选包括:
步骤S11:根据需要将所有交换机的接口划分为相应的vlan,设置vlan间通信规则。具体过程包括:
首先,根据设计规则要求,将所有交换机的所有接口通过交换机接口技术智能划分为不同的vlan;
其次,采用三层交换机或者路由器的vlan间通信控制及接口访问技术,设置所有vlan均可与接入安全管控模块所在安全管控vlan之间进行跨vlan通信;而接入不同的标准终端vlan的终端不能跨vlan相互通信;设置调试维护vlan区的终端只能与安全管控vlan区的设备实现跨vlan通信,不能与所有标准终端vlan区的设备实现跨vlan通信;
再次,根据预留的调试维护接口的访问安全管控要求,将预留调试维护接口智能设置为相应的vlan。对于需要进行vlan隔离安全管控的预留调试维护接口智能设置为调试维护vlan;将不需要进行vlan隔离安全管控的预留调试维护接口设置为相对应的标准终端vlan。
步骤S12:接入安全管控模块监测预留临时终端接入接口连接变化过程。具体包括:接入安全管控模块通过远程访问技术或者接口状态获取技术,获取预留调试维护接口的状态,并至少记录两个周期的状态,监测预留调试维护接口连接状态的变化过程。
步骤S13:预留维护接口从断开到物理连通?如果是则跳转至步骤S14,否则跳转至步骤S22;其中,接入安全管控模块通过所获取的同一个调试维护接口的最近两个周期的状态进行比对,如果接口是从未接入设备到接入设备的变化过程,则跳转至步骤S14;如果只有一个当前状态,且当前状态为连接状态,则认定其为从断开到物理连通状态。
步骤S14:是否必须进行身份认证?如果必须进行身份认证,则跳转至步骤S15,否则跳转至步骤S21;其中,接入安全管控模块根据当前记录的身份认证是否成功状态及设计要求接入该接口的终端设备是否必须进行身份认证进行判定;其判定规则如下所示:
当前记录该临时终端的身份认证为认证成功状态,则无须进行身份认证;
当前记录该临时终端的身份认证为尚未认证状态,且设计要求为接入该接口的终端设备无须进行身份认证,则无须进行身份认证;
当前记录该临时终端的身份认证为尚未认证状态,且设计要求接入该接口的终端设备必须进行身份认证,则必须进行身份认证;
当前记录该临时终端的身份认证为认证失败状态,则必须进行身份认证。
步骤S15:接入安全管控模块验证临时终端合法身份。其中,通过与临时终端进行网络通信方式,接入安全管控模块获取临时终端对应的编码及其对应的公钥与算法,生成随机冲击数据,选择与该临时终端对应的公钥及相应的算法,加密随机冲击数据,形成密文,将密文发送到临时终端;接收到临时终端反馈过来的数字签名数据,应用与之对应的公钥、算法及其随机冲击数据验证该数字签名数据。跳转至步骤S16。
步骤S16:验证通过?如果验证通过则跳转至步骤S18,否则跳转至步骤S17。
步骤S17:接入安全管控模块发送验证失败结果给临时终端,跳转至步骤S14。
步骤S18:接入安全管控模块发送验证成功结果给临时终端。跳转至步骤S19。
步骤S19:接口vlan与临时终端权限所属vlan是否能够通信?如果是则跳转至步骤S21,否则跳转至步骤S20。具体过程为:
接入安全管控模块通过该临时终端访问设备类型权限,查找其所属vlan,并且将该vlan与该临时终端的当前vlan结合vlan设置规则,判定临时终端与预期访问的设备是否能够通信,如果能够通信,则跳转至步骤S21,否则跳转至步骤S20。
步骤S20:根据临时终端盾所属vlan与其访问目标终端的vlan,调整相关配置使其能够通信。其中,接入安全管控模块采用远程访问技术,调整三层交换机的vlan访问设置规则或者调整该交换机的该接口的vlan,将该接口调整到预期访问目标终端的vlan中,以达到临时终端能够与预期访问目标终端进行通信的目的;跳转至步骤S21。
步骤S21:允许其接入。
步骤S22:该预留维护接口从物理连通到断开?其中,接入安全管控模块利用预留维护接口的最近两次连接状态进行比对,如果连接状态是从连通到断开,则跳转至步骤S23,否则跳转至步骤S12。
步骤S23:该预留维护接口通信权限发生变化?其中,接入安全管控模块检测该预留接口的通信权限是否发生变化,如果发生变化,则跳转至步骤S24,否则跳转至步骤S12;其过程包括:
该预留维护接口所属vlan是否发生变化;
该预留维护接口vlan与其它vlan之间的跨vlan通信规则是否发生变化。
步骤S24:恢复该预留维护接口的通信权限为默认值。其中,接入安全管控模块根据该预留维护接口默认的属性值,重新恢复为默认的属性值。具体方法为:
如果该预留维护接口所属vlan如果发生变化,则调整该预留维护接口到默认设计vlan中;
如果该预留维护接口所属vlan与其它vlan之间的跨vlan通信规则发生变化,则通过远程访问技术将三层交换机的跨vlan通信规则修改为默认设计规则。
实施例1:
结合图2和图3所示,本实施例根据上述临时终端安全接入控制方法及系统,结合具体的应用场景,提出了如下优选的实施方式:
本实施例的应用场景拓扑结构中,SED1到SED10均属于接入网络中的标准终端,预留调试维护接口SW1-5与SW1-7,接入安全管控模块连接到交换机SW1的9号接口:SW1-9。调试维护设备PTU1要访问设备SED1,则其安全接入控制方法为:
第1步:根据需要将所有交换机的接口划分为相应的vlan;设置vlan间通信规则;具体设置方式为:
首先,将标准终端接口SW1-4与SW2-4划分为vlan2,标准终端接口SW1-2、SW1-3、SW2-2、SW2-3划分为vlan3,标准终端接口SW1-1与SW2-1划分为vlan4,标准终端接口SW2-5与SW2-8划分为vlan5;vlan2、vlan3、vlan4、vlan5均为标准终端vlan;其次,将接入安全管控模块所连接的接口SW1-9划分为vlan1,属于安全管控vlan;再次,将接口SW1-5与SW1-7划分为vlan100,属于调试维护vlan;此外,在三层交换SW1中设置跨vlan的通信规则为:vlan1可以与vlan2、vlan3、vlan4、vlan5、vlan100通信,但是vlan2、vlan3、vlan4、vlan5、vlan100相互之间不能通信。
第2步:接入安全管控模块监测预留临时终端接入接口连接变化过程。其中,接入安全管控模块通过远程访问技术,获取预留调试维护接口SW1-5与SW1-7的连接状态,并至少记录两个周期的状态,监测预留调试维护接口连接状态的变化过程。
第3步:预留维护接口从断开到物理连通?如果是则跳转至第4步,否则跳转至第12步;其中,接入安全管控模块通过所获取的同一个接口SW1-5的最近两个周期的状态进行比对,如果接口SW1-5是从未接入设备到接入设备的变化过程,则跳转至第4步,此时说明PTU1通过以太网网线连接到接口SW1-5中;如果PTU1在接入安全管控模块启动之前已经连接到接口SW1-5中,则接入安全管控模块监测到的状态只有一个连通状态,则认定其为从断开到物理连通状态;跳转至第4步;如果最近两次检测的状态均为连通状态或者为从连通到断开状态,或者均为断开状态,则跳转至第12步。
第4步:是否必须进行身份认证?如果必须进行身份认证,则跳转至第5步,否则跳转至第11步;其中,接入安全管控模块根据当前记录的身份认证是否成功状态及设计要求接入该接口的终端设备是否必须进行身份认证进行判定;其判定规则如下所示:
当前记录该临时终端的身份认证为认证成功状态,则无须进行身份认证;
当前记录该临时终端的身份认证为尚未认证状态,且设计要求为接入该接口的终端设备无须进行身份认证,则无须进行身份认证;
当前记录该临时终端的身份认证为尚未认证状态,且设计要求接入该接口的终端设备必须进行身份认证,则必须进行身份认证;
当前记录该临时终端的身份认证为认证失败状态,则必须进行身份认证。
第5步:接入安全管控模块验证临时终端合法身份。其中,通过与PTU1进行网络通信方式,接入安全管控模块获取PTU1对应的编码及其对应的公钥与算法,生成随机冲击数据,选择与该PTU1对应的公钥及相应的算法,加密随机冲击数据,形成密文,将密文发送到PTU1;接收到PTU1反馈过来的数字签名数据,应用与之对应的公钥、算法及其随机冲击数据验证该数字签名数据。跳转至第6步。
第6步:验证通过?如果验证通过则跳转至第8步,否则跳转至第7步。
第7步:接入安全管控模块发送验证失败结果给临时终端,跳转至第4步。
第8步:接入安全管控模块发送验证成功结果给临时终端,跳转至第9步。
第9步:接口vlan与临时终端权限所属vlan是否能够通信?如果是则跳转至第11步,否则跳转至第10步;该步骤中,接入安全管控模块根据PTU1发送过来的编码,查找其所属vlan100,且PTU1访问目标设备为SED1,则判定出PTU1与SED1所连接的接口分别属于vlan100与vlan4,因此不能通信,跳转至第10步。
第10步:根据临时终端盾所属vlan与其访问目标终端的vlan,调整相关配置使其能够通信。其中,接入安全管控模块采用远程访问技术,调整三层交换机的vlan配置,将接口SW1-5调整到vlan4中,由于接口SW1-5与SW1-1同属于vlan4,因此PTU1就可以访问标准设备SED1了;跳转至第11步。
第11步:允许其接入。
第12步:该预留维护接口从物理连通到断开?其中,当PTU1与交换机SW1的连接网线断开之后,接入安全管控模块利用预留维护接口的最近两次连接状态进行比对,发现连接状态是从连通到断开,则跳转至第13步,否则跳转至第2步;当PTU1与交换机SW1的连接网线未断开,则不属于从连接到断开状态,跳转至第2步;当PTU1一直未与接口SW1连接,跳转至第2步。
第13步:该预留维护接口通信权限发生变化?其中,接入安全管控模块检测发现,由于接口SW1-5由原来的vlan100调整到vlan4了,因此该接口SW1-5的通信权限发生变化,则跳转至第14步。
第14步:恢复该预留维护接口的通信权限为默认值。其中,接入安全管控模块根据该接口SW1-5调整到vlan100。
本发明公开的临时终端安全接入控制方法及系统,其通过对以太网网络中的接口进行划分不同的vlan,将临时终端接入的接口预留并且划分为隔离于其他标准终端vlan的vlan,对于需要管控的临时终端的接入,必须通过接入安全管控模块的身份认证之后,才能够由接入安全管控模块将临时终端与目标访问终端设备之间的通信导通,而且身份认证技术采用随机冲击数据以及数字签名验证的方式进行,提高了临时终端安全管控的力度,降低管理成本,提高管理效率。
实际应用中,本发明按照vlan隔离需要划分为不同类别的vlan:标准终端vlan、安全管控vlan、调试维护vlan,并且设置各种vlan之间的通信规则,以此达到任何需要安全管控的临时终端在访问标准终端vlan中的设备时,必须通过身份认证才能够允许其访问的目的,即通过控制交换机的接口所属vlan或者通过控制各个vlan之间的通信规则来控制临时终端接入网络访问标准终端的许可。对于需要管控的临时终端接入到网络中时,接入安全管控模块仅仅允许通过身份认证的临时终端访问目标终端。接入安全管控模块在进行身份认证时,通过生成随机冲击数据,应用临时终端的公钥加密形成密文,将密文传送给临时终端;由于采用临时终端的公钥加密,而且每次认证完毕时该随机冲击数据随即失效,截取该密文破解也无法在短时间内破解,保证了传输过程中的信息安全;接入安全管控模块在接收到临时终端发送过来的数字签名时,应用临时终端的公钥及随机冲击数据验证该数字签名,达到身份认证的目的,该方式的身份认证结果可信度高。接入安全管控模块不断监测预留调试维护接口的连通及断开状态,在通过身份认证的临时终端使用网络结束断开网络之后,该接口的状态随即由连通转换为断开状态,接入安全管控模块随即将该接口调整到默认通信管控状态,以防止其他未通过身份认证的临时终端利用该接口接入到网络中。
以上所述只是本发明较佳的实施例,并不用于限制本发明,凡在本发明的技术范围内所做的修改、等同替换或者改进等,均应包含在本发明所保护的范围内。
Claims (10)
1.一种临时终端安全接入控制方法,其特征在于,该方法基于一系统实现,所述系统包括有以太网网络(1)和接入安全管控模块(2),所述方法包括如下步骤:
步骤S1,将所述以太网网络(1)划分为至少一个安全管控vlan、多个标准终端vlan和至少一个预留接口vlan,所述接入安全管控模块(2)连接于安全管控vlan,所述标准终端vlan用于接入目标终端;
步骤S2,将所述以太网网络(1)设置为:所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离;
步骤S3,所述接入安全管控模块(2)监测预留接口vlan是否有临时终端接入,若是,则执行步骤S4;
步骤S4,所述接入安全管控模块(2)对该临时终端进行鉴权,若验证成功,则执行步骤S5,若验证失败,则执行步骤S6;
步骤S5,所述接入安全管控模块(2)将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信;
步骤S6,所述接入安全管控模块(2)将验证失败信息发送至临时终端。
2.如权利要求1所述的临时终端安全接入控制方法,其特征在于,所述步骤S3中,所述接入安全管控模块(2)通过远程访问方式或者接口状态获取方式监测预留接口vlan的连接状态。
3.如权利要求2所述的临时终端安全接入控制方法,其特征在于,所述步骤S3中,所述接入安全管控模块(2)对预留接口vlan的监测过程包括:所述接入安全管控模块(2)将预留接口vlan的当前连接状态与在先连接状态进行对比,如果在先连接状态是未接入设备状态,而当前连接状态是已接入设备状态,则执行步骤S4。
4.如权利要求3所述的临时终端安全接入控制方法,其特征在于,所述步骤S3中,所述接入安全管控模块(2)对预留接口vlan的监测过程还包括:如果所述接入安全管控模块(2)仅获取到当前连接状态,并且当前连接状态是已接入设备状态,则认定预留接口vlan从断开到物理连接状态。
5.如权利要求1所述的临时终端安全接入控制方法,其特征在于,所述步骤S4中,所述接入安全管控模块(2)对临时终端进行鉴权之前,根据临时终端的身份认证状态信息判断是否需要对其进行身份验证,所述身份认证状态信息包括已认证状态和尚未认证状态。
6.如权利要求5所述的临时终端安全接入控制方法,其特征在于,所述步骤S4中,所述接入安全管控模块(2)对临时终端的鉴权过程包括:所述接入安全管控模块(2)获取临时终端对应的编码及对应的公钥与算法,生成随机冲击数据,选择与该临时终端对应的公钥及相应的算法,加密随机冲击数据,形成密文并将密文发送到临时终端,待接收到临时终端反馈的数字签名数据后,应用相应的公钥、算法及其随机冲击数据对该数字签名数据进行验证。
7.如权利要求1所述的临时终端安全接入控制方法,其特征在于,执行所述步骤S5之前包括:所述接入安全管控模块(2)判断临时终端与所要访问的标准终端vlan能否通信,如果能够通信,则执行步骤S5,如果不能通信,则所述接入安全管控模块(2)设置以太网网络(1)的访问规则,以令临时终端与所要访问的标准终端vlan建立通信,之后执行步骤S5。
8.如权利要求7所述的临时终端安全接入控制方法,其特征在于,所述接入安全管控模块(2)判断能否通信的过程为:所述接入安全管控模块(2)根据临时终端所要访问的目标终端,查找该目标终端所属的标准终端vlan,结合该标准终端vlan与临时终端所处的预留接口vlan的设置规则,判断临时终端与所要访问的目标终端是否能够通信。
9.一种临时终端安全接入控制系统,其特征在于,包括有:
以太网网络(1),划分有至少一个安全管控vlan、多个标准终端vlan和至少一个预留接口vlan,所述标准终端vlan用于接入目标终端,所述预留接口vlan用于接入临时终端,所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信,多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离;
接入安全管控模块(2),连接于安全管控vlan,所述接入安全管控模块(2)用于监测预留接口vlan所连接的临时终端,并对临时终端完成鉴权后,将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信。
10.如权利要求9所述的临时终端安全接入控制系统,其特征在于,所述以太网网络(1)是由三层以上交换机或路由器构建的网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710356047.5A CN107426167B (zh) | 2017-05-19 | 2017-05-19 | 一种临时终端安全接入控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710356047.5A CN107426167B (zh) | 2017-05-19 | 2017-05-19 | 一种临时终端安全接入控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107426167A CN107426167A (zh) | 2017-12-01 |
| CN107426167B true CN107426167B (zh) | 2019-11-12 |
Family
ID=60425109
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710356047.5A Active CN107426167B (zh) | 2017-05-19 | 2017-05-19 | 一种临时终端安全接入控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107426167B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889430A (zh) * | 2006-06-21 | 2007-01-03 | 南京联创网络科技有限公司 | 基于802.1x的终端宽带接入的安全认证控制方法 |
| CN101515927A (zh) * | 2008-02-26 | 2009-08-26 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
| CN101572655A (zh) * | 2008-04-29 | 2009-11-04 | 华为技术有限公司 | 端口隔离的方法和设备 |
| US8973098B2 (en) * | 2007-01-11 | 2015-03-03 | International Business Machines Corporation | System and method for virtualized resource configuration |
| CN106411673A (zh) * | 2016-11-08 | 2017-02-15 | 西安云雀软件有限公司 | 一种网络准入控制管理平台及管理方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601568B (zh) * | 2015-01-13 | 2019-05-21 | 深信服科技股份有限公司 | 虚拟化安全隔离方法和装置 |
-
2017
- 2017-05-19 CN CN201710356047.5A patent/CN107426167B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889430A (zh) * | 2006-06-21 | 2007-01-03 | 南京联创网络科技有限公司 | 基于802.1x的终端宽带接入的安全认证控制方法 |
| US8973098B2 (en) * | 2007-01-11 | 2015-03-03 | International Business Machines Corporation | System and method for virtualized resource configuration |
| CN101515927A (zh) * | 2008-02-26 | 2009-08-26 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
| CN101572655A (zh) * | 2008-04-29 | 2009-11-04 | 华为技术有限公司 | 端口隔离的方法和设备 |
| CN106411673A (zh) * | 2016-11-08 | 2017-02-15 | 西安云雀软件有限公司 | 一种网络准入控制管理平台及管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107426167A (zh) | 2017-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
| CN103685323B (zh) | 一种基于智能云电视网关的智能家居安全组网实现方法 | |
| US8793767B2 (en) | Network access management via a secondary communication channel | |
| CN105635084B (zh) | 终端认证装置及方法 | |
| US20190104107A1 (en) | Poisoning Protection for Process Control Switches | |
| CN106941494A (zh) | 一种适用于用电信息采集系统的安全隔离网关及其使用方法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN105262597B (zh) | 网络接入认证方法、客户终端、接入设备及认证设备 | |
| CN105162787A (zh) | 外网终端访问厂商设备或内网终端的方法和装置 | |
| CN108712364B (zh) | 一种sdn网络的安全防御系统及方法 | |
| CN109347784A (zh) | 终端准入控制方法、控制器、管控设备及系统 | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| CN107733747A (zh) | 面向多业务承载的公共通信接入系统 | |
| CN107770137A (zh) | 一种信息处理方法和装置 | |
| CN108990062A (zh) | 智能安全Wi-Fi管理方法和系统 | |
| CN1447570A (zh) | 基于802.1x协议的网络接入设备与客户端握手的实现方法 | |
| CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
| CN108966216A (zh) | 一种应用于配电网的移动通信方法及装置 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN107426167B (zh) | 一种临时终端安全接入控制方法及系统 | |
| US11716626B2 (en) | Network access control system | |
| CN106878020A (zh) | 网络系统、网络设备的认证方法和装置 | |
| CN102316119B (zh) | 一种安全控制方法和设备 | |
| CN116208421A (zh) | 一种安全认证的管控方法、装置、介质及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180626 Address after: 518000 8 unit 9A, Chunhua four seasons garden, Minkang Road, Longhua New District, Shenzhen, Guangdong, China. Applicant after: Wang Chenguang Address before: 518100 Shenzhen, Guangdong, Baoan District Xixiang street, silver Field Industrial Zone, West District B District ten plant B unit six building Applicant before: SHENZHEN YAGER TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190515 Address after: Room A668-01, Building No. 2, 351 Guoshoujing Road, China (Shanghai) Free Trade Pilot Area, Pudong New Area, Shanghai, 20107 Applicant after: SHANGHAI YICHUXING INTELLIGENT TECHNOLOGY CO.,LTD. Address before: 518000 8 unit 9A, Chunhua four seasons garden, Minkang Road, Longhua New District, Shenzhen, Guangdong, China. Applicant before: Wang Chenguang |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230406 Address after: 412000 room 603, building E4, Yunlong headquarters economic Park, No. 5099, Yunlong Avenue, Yunlong demonstration zone, Zhuzhou City, Hunan Province Patentee after: Hunan KUKE track equipment Co.,Ltd. Address before: Room A668-01, Building No. 2, 351 Guoshoujing Road, China (Shanghai) Free Trade Pilot Area, Pudong New Area, Shanghai, 20107 Patentee before: SHANGHAI YICHUXING INTELLIGENT TECHNOLOGY CO.,LTD. |
|
| TR01 | Transfer of patent right |