CN108833362B - 一种设备接入权限控制方法、装置及系统 - Google Patents
一种设备接入权限控制方法、装置及系统 Download PDFInfo
- Publication number
- CN108833362B CN108833362B CN201810503055.2A CN201810503055A CN108833362B CN 108833362 B CN108833362 B CN 108833362B CN 201810503055 A CN201810503055 A CN 201810503055A CN 108833362 B CN108833362 B CN 108833362B
- Authority
- CN
- China
- Prior art keywords
- port
- access
- vlan
- equipment
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种设备接入权限控制方法、装置及系统,包括:获取接入设备权限控制基础数据;绑定端口与接入设备并判断绑定是否成功;如果成功,依据接入端口类型及接入权限要求数据,授权接入设备;持续检测并维持端口当前VLAN状态,持续检测端口碰撞统计数据、接入设备身份状态是否有效、接入设备在线状态;判断是否应撤销接入设备接入权限,如果满足撤销条件,依据端口类型将端口划分至受控VLAN;取消端口与接入设备的绑定。通过应用本发明控制接入设备接入授权、防止非法接入、撤销授权等全过程,能确保合法接入设备能且仅能获取许可范围的接入权限,防止非法接入设备获得与授权设备相同的接入权限,大幅提高以太网终端设备的安全性。
Description
技术领域
本发明涉及网络安全控制技术领域,尤其是涉及一种应用于以太网网络安全智能化控制的设备接入权限控制方法、装置及系统。
背景技术
随着信息网络技术的进步,以太网网络技术及相关产品与系统已快速、大量地应用至各行各业,并已成为信息化社会的基础设施。然而随之而来的是,各种网络安全隐患问题日益突出,其中最为突出的是接入设备接入至以太网端口的接入权限控制问题。
目前,在现有技术中,主要存在以下几种解决接入设备接入到以太网端口的接入权限控制问题的技术方案:
方案1为通过设置管理型交换机的端口MAC地址过滤规则控制接入设备的接入权限,管理型交换机的MAC地址过滤功能允许仅允许指定源MAC地址的报文进入交换机。
方案2为利用设备身份认证技术对接入设备的身份进行认证的方式控制接入设备的接入权限。
方案3为通过管理手段来解决接入设备接入权限的控制问题。
然而,上述技术方案分别存在相应的技术缺陷,无法彻底解决接入设备的接入权限控制问题。
方案1的缺陷在于:在制定了源MAC地址过滤规则之后,如果需要更换接入设备,则需要再次进行人工干预,重新设置源MAC地址过滤规则。这种方式效率低下,且无法防止非授权终端设备通过伪造源MAC地址顺利通过该端口的源MAC地址过滤规则而接入到网络中,无法防止级联设备之间接入非管理型交换机而带来的嫁接式接入入侵隐患,无法实质性地满足接入权限控制要求。同时,该方案无法防止非授权的临时终端设备接入网络中,无法控制临时终端设备的访问权限,从而对固定终端设备造成一定的安全隐患。方案1实现的接入权限控制存在明显的缺陷,无法实质性地解决设备接入权限控制的技术问题。
方案2的缺陷在于:如果接入设备不执行身份认证模块,不具备配合身份认证的能力,则可通过在成功完成身份认证的设备与所接入的端口之间接入一台非管理型交换机的方式顺利接入到该端口中,能获得授权设备同样的接入权限。方案2对于级联设备的接入无法进行接入权限控制,显然无法达到真正意义上的接入权限控制的目的。
方案3的缺陷在于:管理手段是人为的解决方法,管理手段的持续执行能力的高低决定了接入权限管控的力度,且管理手段是通过管理人员来执行的。如果管理人员的设备出现木马等病毒或管理不到位,接入权限失控的概率更大,在管理手段执行落实过程中存在诸多的安全漏洞,而且耗财耗力。
因此,在现有技术中,无论是终端设备还是级联设备,都是直接接入到以太网络中。在调试的时候,也是直接连接到以太网中即可访问网络中的设备。也有些项目或工程,应用VLAN进行隔离或应用端口的MAC地址过滤技术,在网络的实际运行中,任何设备都可以通过简单的仿造MAC地址便可接入到网络中。在这种粗放的接入权限控制手段情况下,以太网络中的终端设备完全暴露,毫无安全可言,会直接或间接地危害终端设备的安全正常运行,尤其是对于某些特种行业(例如轨道交通领域),这种危害更为显著。
总而言之,目前尚未有一种技术手段能够达到彻底解决以太网接入设备的接入权限控制问题。
发明内容
有鉴于此,本发明的目的在于提供一种设备接入权限控制方法、装置及系统,以解决以太网端口所有接入设备接入权限控制的技术问题。
为了实现上述目的,本发明具体提供了一种设备接入权限控制方法的技术实现方案,一种设备接入权限控制方法,用于接入设备的权限控制,包括以下步骤:
S101)获取接入设备的权限控制基础数据,所述接入设备的权限控制基础数据至少包括接入权限要求数据、接入设备所接入的具体端口的标识、接入端口类型;
S102)绑定所述端口与所述接入设备并判断绑定是否成功;
S103)如果绑定成功,依据所述接入端口类型及所述的接入权限要求数据,授权所述接入设备的接入;
S104)持续检测并维持所述端口的当前VLAN状态,持续检测所述端口的碰撞统计数据,持续检测所述接入设备身份状态是否有效,持续检测所述接入设备的在线状态;
S105)判断是否应撤销所述接入设备的接入权限,包括判断所述接入设备所接入的端口碰撞统计数据是否大于阈值,接入设备的身份状态是否失效,接入设备是否离线;
S106)如果满足撤销所述接入设备接入权限的任一条件,则依据所述端口类型,将所述端口划分至受控VLAN;
S107)取消所述端口与接入设备的绑定。
进一步的,获取所述接入设备的权限控制基础数据,包括:
获取接入设备的身份认证信息;
依据所述接入设备的身份认证信息,从本地或远程,直接或间接地获取所述接入设备的身份认证密钥与认证规则,认证所述接入设备的身份。
本发明还具体提供了另一种设备接入权限控制方法的技术实现方案,一种设备接入权限控制方法,用于接入设备的权限控制,包括以下步骤:
S201)接入权限初始化;
S202)监测接入设备的身份认证信息;
S203)判断是否获取到接入设备的身份认证信息,如果接收到所述接入设备的身份认证信息到则跳转至步骤S204),否则跳转至步骤S202);
S204)判断认证所述接入设备的身份是否成功,如果验证通过跳转至步骤S205),否则跳转至步骤S202);
S205)绑定端口与所述接入设备,并判断绑定所述端口与接入设备是否成功,如果成功则跳转至步骤S206),否则跳转至步骤S202);
S206)完成所述接入设备的接入授权;
S207)持续检测并维持所述端口的当前VLAN状态;
S208)持续检测是否应维持所述接入设备的授权状态,如果是则跳转至步骤S207),否则跳转至步骤S209);
S209)依据所述端口的类型,将所述端口划分至受控VLAN,撤销所述接入设备的接入权限;
S210)取消所述端口与接入设备的绑定。
可选的,在获取所述接入设备的权限控制基础数据之前,还包括:
创建所有VLAN,将所有VLAN划分为受控VLAN与正常VLAN;
将所有受控端口分别划分至相应的受控VLAN中;将所有授权端口分别划分至相应的正常VLAN中;
取消所有受控端口的MAC地址过滤规则,允许所有源MAC地址的接入设备均能够接入至受控端口。
进一步的,绑定所述端口与接入设备并判断绑定是否成功,包括:
应用物理层信号特性绑定所述端口与接入设备。
可选的,绑定所述端口与接入设备并判断绑定是否成功,包括:
若所述端口为非级联端口,获取所述接入设备的MAC地址,应用端口MAC地址过滤规则,设定允许MAC地址列表中仅包括所述接入设备的MAC地址;若所述端口为级联端口,应用物理层信号特性绑定所述端口与接入设备。
可选的,绑定所述端口与接入设备并判断绑定是否成功,还包括:
若所述端口为非级联端口,则获取所述接入设备的MAC地址,持续检测所述端口的动态MAC地址列表是否仅包括该接入设备的MAC地址,若动态MAC地址列表中仅包括所述接入设备的MAC地址,认定绑定所述端口与接入设备成功,否则认定绑定所述端口与接入设备失败;若所述端口为级联端口,则应用物理层信号特性绑定所述端口与接入设备。
进一步的,依据所述接入端口类型及接入权限要求数据,授权所述接入设备接入,包括:
如果所述接入设备为终端设备或特殊级联设备,获取所述接入设备所接入的端口标志数据、所述接入设备的权限所对应的正常VLAN,将所述端口划分至其权限对应的正常VLAN中;
如果所述接入设备为临时终端设备,通过调整所述接入设备所接入的端口与目标终端设备之间的通信关系,建立接入所述端口的接入设备与目标终端设备之间的通信通道;
建立所述接入设备与目标终端设备之间的通信通道,包括:
依据所述接入设备的访问权限,获取目标VLAN编号,将所述接入设备所接入的端口划分至目标VLAN中;或依据所述接入设备的访问权限,获取目标VLAN编号,通过VLAN路由实现所述接入端口所属的受控VLAN与目标VLAN之间的终端设备能跨VLAN通信,将所述端口所属的受控VLAN转换为正常VLAN;
如果所述接入设备为常规级联设备,获取所述接入设备的VLAN权限要求,依据所述VLAN权限要求以及所述端口,获取所述端口所在的所有VLAN,并将所述所有VLAN都作为目标VLAN,然后将所述端口划分至所有目标VLAN中;在所述目标VLAN的数量大于1的情况下,分别在各个所述目标VLAN中设置所述端口的多VLAN共享特性标签。
进一步的,持续检测并维持端口当前VLAN状态,包括:
如果接入设备为终端设备或特殊级联设备,则持续检测目标VLAN的端口数据,一旦发现所述目标VLAN中没有所述端口,则重新将所述端口划分至所述目标VLAN中。
如果在授权时,是通过VLAN路由技术建立接入设备与目标终端设备之间的跨VLAN通信通道,则持续检测跨VLAN数据,一旦发现VLAN通信通道断开,则重新建立所述接入设备与目标终端设备之间的跨VLAN通信通道,确保所述接入设备与目标终端设备之间能正常通信。
如果接入设备为常规级联设备,依据所述VLAN权限要求以及所述端口,获取所述端口所在的所有VLAN,将所有VLAN作为目标VLAN,持续检测所有目标VLAN的端口列表中是否包含有所述端口,一旦发现任意所述目标VLAN的端口列表中没有包含有所述端口,则将所述端口依据所述VLAN设计数据要求划分至所述目标VLAN中,以维持端口的VLAN状态不变;在所述目标VLAN的数量大于1的情况下,一旦发现任意所述目标VLAN中所述端口没有多VLAN共享特性标签,则设置所述目标VLAN中所述端口的多VLAN共享特性标签。
进一步的,持续检测所述接入设备的身份状态是否有效,包括:
应用物理层信号特性持续绑定所述端口与接入设备,持续检测所述端口与接入设备的绑定是否成功。
可选的,持续检测所述接入设备的身份状态是否有效,包括:
若所述端口为非级联端口,则获取所述接入设备的MAC地址,在应用端口MAC地址过滤规则且仅允许所述接入设备的MAC地址的情况下,或持续检测所述端口的动态MAC地址列表,检测是否仅包括所述接入设备的MAC地址的情况下,持续地周期性认证所述接入设备的身份是否有效;若所述端口为级联端口,则应用物理层信号特性持续绑定所述端口与接入设备,持续检测所述端口与接入设备的绑定是否成功。
可选的,持续检测所述接入设备的身份状态是否有效,还包括:
若所述端口为非级联端口,获取所述接入设备的MAC地址,在应用端口MAC地址过滤规则且仅允许所述接入设备的MAC地址,或持续检测所述端口的动态MAC地址列表,检测是否仅包括所述接入设备的MAC地址的情况下,持续检测与所述接入设备之间的TCP连接是否断开,TCP接收在线信息是否超时;若所述端口为级联端口,则应用物理层信号特性持续绑定所述端口与接入设备,持续检测绑定所述端口与接入设备是否成功。
进一步的,持续检测所述接入设备的在线状态,包括:
持续检测所述端口的link连接状态,若link连接状态为在线,则所述接入设备为在线,否则所述接入设备为离线。
可选的,持续检测所述接入设备的在线状态,还包括:
若所述端口为非级联端口,持续检测动态MAC地址表中所述端口对应的接入设备MAC地址记录状态;查看所述端口的动态MAC地址列表中是否仅包含有所述接入设备的MAC地址,若所述端口的动态MAC地址列表中没有所述接入设备的MAC地址,或所述端口的动态MAC地址列表中不止包含有所述接入设备的MAC地址还有其它设备MAC地址,则认定所述接入设备离线,若所述端口的动态MAC地址列表中仅包括所述接入设备的MAC地址,则认定所述接入设备在线。
进一步的,判断是否应撤销所述接入设备的接入权限,包括:
判断所述端口的碰撞统计数据是否大于阈值或所述接入设备身份状态是否失效或所述接入设备是否离线;
若所述端口的碰撞统计数据小于阈值且所述接入设备的身份状态有效且所述接入设备在线,继续判断是否应撤销所述接入设备的接入权限;
若所述接入设备所接入的端口碰撞统计数据大于阈值,或所述接入设备的身份状态失效或所述接入设备离线,认定应撤销所述接入设备的接入权限。
进一步的,所述接入设备的身份状态失效,包括:
应用物理层信号特性绑定所述端口与接入设备失败。
可选的,所述接入设备的身份状态失效,还包括:
周期性认证接入设备的身份时出现身份认证失败。
可选的,所述接入设备的身份状态失效,还包括:
持续检测所述端口的动态MAC地址列表中不止包括所述接入设备的MAC地址还有其它设备MAC地址或所述接入设备的MAC地址失效。
可选的,所述接入设备的身份状态失效,还包括:
采用TCP连接持续接收在线信号的情况下,与所述接入设备之间的TCP连接断开,或TCP接收在线信息超时。
进一步的,依据所述端口的类型,将所述端口划分至默认受控VLAN或将所述端口所属的VLAN恢复为受控VLAN,包括:
授权时将所述端口划分至权限允许的正常VLAN中的情况,将所述端口重新划分至默认受控VLAN,并将所述端口从正常VLAN中删除;
授权时将所述端口所属的VLAN通过跨VLAN通信技术建立与目标VLAN的通讯通道而变更为正常VLAN的情况下,通过防火墙等技术切断所述端口所属的VLAN与目标VLAN之间的通讯通道,将所述端口所属的VLAN转换为受控VLAN;
在所述端口为常规级联端口的情况下,获取共享所述端口的所有VLAN,将所述端口从这些VLAN中删除,并将所述端口重新划分至默认的受控VLAN中,取消所述端口的多VLAN共享特性标签。
进一步的,取消所述端口与接入设备的绑定,包括:
停止应用物理层信号特性绑定所述端口与接入设备。
可选的,取消所述端口与接入设备的绑定,还包括:
取消端口MAC地址过滤规则,允许所有接入设备通过所述端口获取接入权限。
可选的,取消所述端口与接入设备的绑定,还包括:
停止获取所述端口的动态MAC地址列表,取消通过检测所述端口的动态MAC地址列表绑定所述端口与接入设备。
可选的,取消所述端口与接入设备的绑定,还包括:
停止获取所述端口的碰撞统计结果,不再通过碰撞统计结果判断接入设备的身份状态是否有效。
本发明还另外具体提供了基于上述控制方法的设备接入权限控制装置的技术实现方案,一种设备接入权限控制装置,包括:
接入权限控制基础数据获取模块,用于获取接入设备的权限控制基础数据,所述接入设备的权限控制基础数据至少包括接入权限要求数据、接入设备所接入的具体端口标识、接入端口类型;
端口绑定控制模块,用于绑定端口与接入设备并判断绑定是否成功,并用于撤销所述端口与接入设备的绑定;
接入权限授权模块,用于依据所述接入端口类型及接入权限要求数据,将所述端口划分至依据接入权限要求数据对应的VLAN中,或将端口所属VLAN调整为正常VLAN,完成所述接入设备的接入授权;
接入权限维持及检测模块,用于持续检测并维持端口当前的VLAN状态,持续检测接入设备所接入的端口碰撞统计数据,持续检测接入设备的身份状态是否有效,持续检测接入设备的在线状态;并用于判断是否应撤销接入设备的接入权限;
接入权限撤销模块,用于依据端口的类型,将所述端口划分至默认受控VLAN或将所述端口所属的VLAN恢复为受控VLAN。
可选的,还包括:
交换功能管理模块,用于执行所述端口与接入设备的绑定任务;执行将所述端口划分至依据接入权限要求数据对应的VLAN中;执行将所述端口划分至受控VLAN;
PHY模块,用于通过物理层信号特性绑定所述端口与接入设备并判断所述绑定是否成功;
其中,进一步的,所述接入权限控制基础数据获取模块获取接入设备的权限控制基础数据的具体实现方式可以为:
获取所述接入设备的身份认证信息;
依据所述接入设备的身份认证信息,从本地或远程,直接或间接地获取所述接入设备的身份认证密钥与认证规则,认证所述接入设备的身份是否正确。
进一步的,所述端口绑定控制模块绑定所述端口与接入设备的具体实现方式可以为:
应用物理层信号特性绑定所述端口与接入设备。
可选的,所述端口绑定控制模块绑定所述端口与接入设备的具体实现方式可以为:
如果所述接入设备为终端设备,应用端口MAC地址过滤规则设定允许MAC地址列表中仅包括所述接入设备的MAC地址;如果所述接入设备为级联设备,应用物理层信号特性绑定所述端口与接入设备。
可选的,所述端口绑定控制模块绑定所述端口与接入设备的具体实现方式可以为:
如果所述接入设备为终端设备,持续检测所述端口的动态MAC地址列表,判断所述动态MAC地址列表中是否仅包括所述接入设备的MAC地址来判断是否成功绑定所述端口与接入设备;如果所述接入设备为级联设备,应用物理层信号特性绑定所述端口与接入设备。
进一步的,所述端口绑定控制模块判断绑定是否成功的具体实现方式可以为:
判断应用物理层信号特性绑定所述端口与接入设备是否成功。
可选的,所述端口绑定控制模块判断绑定是否成功的具体实现方式可以为:
如果所述接入设备为终端设备,应用端口MAC地址过滤规则情况下判断端口允许MAC地址列表中仅包括所述接入设备的MAC地址;如果所述接入设备为级联设备,判断应用物理层信号特性绑定所述端口与接入设备是否成功。
可选的,所述端口绑定控制模块判断绑定是否成功的具体实现方式可以为:
如果所述接入设备为终端设备,持续检测所述端口的动态MAC地址列表,判断所述动态MAC地址列表中是否仅包括所述接入设备的MAC地址;如果所述接入设备为级联设备,判断应用物理层信号特性绑定所述端口与接入设备是否成功。
进一步的,所述端口绑定控制模块撤销绑定端口与接入设备的具体实现方式可以为:
停止应用物理层信号特性绑定所述端口与接入设备。
可选的,所述端口绑定控制模块撤销绑定端口与接入设备的具体实现方式可以为:
如果所述接入设备为终端设备,在应用端口MAC地址过滤规则的情况下,取消端口MAC地址过滤规则绑定所述端口与接入设备,在应用所述端口的动态MAC地址列表来绑定所述端口与接入设备的情况下,取消通过持续检测所述端口的动态MAC地址列表绑定所述端口与接入设备;如果所述接入设备为级联设备,停止应用物理层信号特性绑定所述端口与接入设备。
进一步的,所述接入权限授权模块依据所述接入端口的类型及接入权限要求数据,将所述端口划分至依据接入权限要求数据对应的VLAN中的具体实现方式可以为:
如果所述接入设备为终端设备或特殊级联设备,获取所述接入设备所接入的端口标志数据、所述接入设备的权限所对应的目标VLAN,将所述端口划分至其权限对应的目标VLAN中;
如果所述接入设备为临时终端设备,通过调整所述接入设备所接入的端口与目标终端设备之间的通信关系,建立接入所述端口的接入设备与目标终端设备之间的通信通道;
建立所述接入设备与目标终端设备之间的通信通道,包括:
依据所述接入设备的访问权限,获取目标VLAN编号,将所述接入设备所接入的端口划分至目标VLAN中;或依据所述接入设备的访问权限,获取目标VLAN编号,通过VLAN路由实现所述接入端口所属的受控VLAN与目标VLAN之间的终端设备能跨VLAN通信,将所述端口所属的受控VLAN转换为正常VLAN;
如果所述接入设备为常规级联设备,获取所述接入设备的VLAN权限要求,依据所述VLAN权限要求及所述端口,获取所述端口所在的所有VLAN,并将所述所有VLAN都作为目标VLAN,再将所述端口划分至所有目标VLAN中;在目标VLAN的数量大于1的情况下,分别在各个所述目标VLAN中设置所述端口的多VLAN共享特性标签。
进一步的,所述接入权限维持及检测模块持续检测并维持端口当前VLAN状态的具体实现方式可以为:
如果所述接入设备为终端设备或特殊级联设备,持续检测目标VLAN的端口数据,一旦发现目标VLAN中没有所述端口,则重新将所述端口划分至目标VLAN中;
如果在授权时,是通过VLAN路由技术建立所述终端设备与目标终端设备之间的跨VLAN通信通道,则持续检测跨VLAN数据,一旦发现VLAN通信通道断开,则重新建立所述接入设备与目标终端设备之间的跨VLAN通信通道,确保所述接入设备与目标终端设备之间能正常通信;
如果所述接入设备为常规级联设备,依据VLAN设计数据及所述端口,获取所述端口所在的所有VLAN,形成VLAN集合,将VLAN集合中的所有VLAN作为目标VLAN,持续检测所有目标VLAN的端口列表中是否包含所述端口,如果发现有一个目标VLAN的端口列表中没有包含所述端口,则将所述端口按照VLAN设计数据要求划分至所述目标VLAN中,以维持所述端口的VLAN状态不变;在目标VLAN的数量大于1的情况下,一旦发现任意所述目标VLAN中所述端口没有多VLAN共享特性标签,则设置所述目标VLAN中所述端口的多VLAN共享特性标签。其作用是确保维持接入设备权限的过程中,所述端口的VLAN不会受到其它方变更的影响而导致接入设备丢失接入权限。
进一步的,所述接入权限维持及检测模块持续检测所述端口的碰撞统计数据的具体实现方式可以为:
持续检测所述端口的碰撞统计数据并判断所述碰撞统计数据是否大于阈值。
进一步的,所述接入权限维持及检测模块持续检测接入设备的身份状态是否有效的具体实现方式可以为:
如果所述接入设备为终端设备,在未采用端口MAC地址过滤规则的情况下,持续检测所述端口的动态MAC地址列表,判断所述动态MAC地址列表中是否仅包括所述接入设备的MAC地址,并持续地周期性认证接入设备的身份是否失败;在采用了端口MAC地址过滤规则且仅允许所述接入设备的MAC地址情况下,持续地周期性认证接入设备的身份是否失败;其作用是防止未经身份认证的接入设备通过仿冒授权接入设备的MAC地址获得与授权接入设备相同的接入权限;
如果所述接入设备为级联设备,判断应用物理层信号特性绑定所述端口与接入设备是否成功;其作用是防止所述接入设备为级联设备情况下,未经身份认证授权的接入设备通过在端口与接入设备之间插入非管理型交换机获得与接入设备相同的接入权限。
进一步的,所述接入权限维持及检测模块持续检测接入设备在线状态的具体实现方式可以为:
检测所述端口的link连接状态是否为断开连接。
进一步的,所述接入权限维持及检测模块判断是否应撤销所述接入设备的接入权限的具体实现方式可以为:
如果所述端口的碰撞统计数据大于阈值;或所述接入设备为终端设备且未采用端口MAC地址过滤的情况下,所述端口的动态MAC地址列表中不止包括所述接入设备的MAC地址或所述接入设备的MAC地址失效;或持续认证所述接入设备的身份过程中出现身份认证结果为失败,或所述接入设备为终端设备且应用了端口MAC地址过滤规则情况下,持续认证所述接入设备的身份过程中出现身份认证结果为失败;或应用物理层信号特性绑定所述端口与接入设备的结果为失败,则应撤销所述接入设备的接入权限。
进一步的,所述接入权限撤销模块依据所述端口的类型将所述端口划分至受控VLAN的具体实现方式为:
如果所述接入设备为终端设备或特殊级联设备,将所述端口划分至受控VLAN中;
如果授权时将所述端口所属的VLAN通过跨VLAN通信技术建立与目标VLAN的通讯通道而变更为正常VLAN的情况下,则通过防火墙等技术切断所述端口所属的VLAN与目标VLAN之间的通讯通道,将所述端口所属的VLAN转换为受控VLAN;
如果所述接入设备为常规级联设备,获取所述端口的所有VLAN,将所述端口重新划分至受控VLAN中,并将所述端口从所有VLAN中删除,取消所述端口的多VLAN共享特性标签;将所述端口变更为受控端口。
本发明还另外具体提供了一种基于上述控制方法的设备接入权限控制系统的技术实现方案,一种设备接入权限控制系统,包括:
接入权限控制基础数据获取模块,用于通过以太网络获取所述接入设备的权限控制基础数据,所述接入设备的权限控制基础数据至少包括接入权限要求数据、接入设备所接入的具体端口标识(包括所述管理型交换机的标识,所述端口的标识,用以唯一端口的识别)、接入端口类型;
端口绑定控制模块,用于通过以太网络发送绑定所述端口与接入设备的指令至所述管理型交换机,并通过以太网络获取该绑定是否成功的结果;并用于通过以太网络发送撤销绑定所述端口与接入设备的指令至所述管理型交换机;
接入权限授权模块,用于依据所述接入端口的类型及接入权限要求数据,通过以太网络发送将所述端口划分至依据接入权限要求数据对应的VLAN中或将所述端口所属VLAN调整为正常VLAN,或将所述端口所属VLAN调整为正常VLAN的指令发送至所述管理型交换机,完成所述接入设备的接入授权;
接入权限维持及检测模块,用于通过以太网络持续检测并维持所述端口的当前VLAN状态,通过以太网络持续检测所述端口的碰撞统计数据,通过以太网络持续检测所述接入设备的身份状态是否有效,通过以太网络持续检测所述接入设备的在线状态;判断是否应撤销所述接入设备的接入权限;
接入权限撤销模块,用于依据所述端口的类型,通过以太网络发送将所述端口划分至默认受控VLAN或将所述端口所属的VLAN恢复为受控VLAN的指令。
管理型交换机,用于接收来自所述端口绑定控制模块的端口绑定指令,并依据端口绑定指令绑定所述端口与接入设备;将所述端口绑定结果发送至所述端口绑定控制模块;用于接收来自于所述接入权限授权模块的接入授权指令,依据接入授权指令将所述端口划分至所述接入授权指令要求的VLAN中,或将所述端口所属VLAN调整为正常VLAN;用于接收来自于所述接入权限维持及检测模块的权限维持及检测指令,依据权限维持指令维持所述端口的VLAN状态,依据所述检测指令持续检测所述端口的碰撞统计数据,持续检测所述接入设备的身份状态是否有效,持续检测所述接入设备的在线状态,并将检测结果通过以太网络发送至所述接入权限维持及检测模块,接收并依据撤销所述接入设备的接入权限指令将所述端口划分至默认受控VLAN或将所述端口所属的VLAN恢复为受控VLAN,接收并依据所述端口绑定控制模块的撤销绑定端口指令撤销端口的绑定。
其中,进一步的,所述接入权限控制基础数据获取模块获取接入设备的权限控制基础数据的具体实现方式可以为:
获取所述接入设备的身份认证信息;
依据所述接入设备的身份认证信息,从本地或远程,直接或间接地获取所述接入设备的身份认证密钥与认证规则,认证所述接入设备的身份是否正确。
进一步的,所述端口绑定控制模块绑定所述端口与接入设备的具体实现方式可以为:
发送应用物理层信号特性绑定所述端口与接入设备指令至管理型交换机。
可选的,所述端口绑定控制模块绑定所述端口与接入设备的具体实现方式可以为:
如果所述接入设备为终端设备,发送应用端口MAC地址过滤规则设定允许MAC地址列表中仅包括所述接入设备的MAC地址的指令至管理型交换机;如果所述接入设备为级联设备,发送应用物理层信号特性绑定所述端口与接入设备指令至管理型交换机。
可选的,所述端口绑定控制模块绑定所述端口与接入设备的具体实现方式可以为:
如果所述接入设备为终端设备,发送检测所述端口的动态MAC地址列表指令至管理型交换机,获取所述端口的动态MAC地址列表;如果所述接入设备为级联设备,发送应用物理层信号特性绑定所述端口与接入设备指令至管理型交换机。
进一步的,所述端口绑定控制模块判断绑定是否成功的具体实现方式可以为:
获取管理型交换机发送过来的应用物理层信号特性绑定所述端口与接入设备的结果,判断应用物理层信号特性绑定所述端口与接入设备是否成功。
可选的,所述端口绑定控制模块判断绑定是否成功的具体实现方式可以为:
如果所述接入设备为终端设备,获取所述管理型交换机中的端口MAC地址过滤规则数据,判断允许MAC地址列表中是否仅包括所述接入设备的MAC地址;如果所述接入设备为级联设备,获取管理型交换机发送过来的应用物理层信号特性绑定所述端口与接入设备的结果,判断应用物理层信号特性绑定所述端口与接入设备是否成功。
可选的,所述端口绑定控制模块判断绑定是否成功的具体实现方式可以为:
如果所述接入设备为终端设备,通过网络获取所述管理型交换机的端口的动态MAC地址列表,判断动态MAC地址列表中是否仅包括所述接入设备的MAC地址;如果所述接入设备为级联设备,获取管理型交换机发送过来的应用物理层信号特性绑定所述端口与接入设备的结果,判断应用物理层信号特性绑定所述端口与接入设备是否成功。
进一步的,所述端口绑定控制模块撤销绑定端口与接入设备的具体实现方式可以为:
发送指令至所述管理型交换机停止应用物理层信号特性绑定所述端口与接入设备。
可选的,所述端口绑定控制模块撤销绑定所述端口与接入设备的具体实现方式可以为:
如果所述接入设备为终端设备,在应用端口MAC地址过滤规则情况下,发送取消端口MAC地址过滤规则绑定所述端口与接入设备的指令至所述管理型交换机;在应用所述端口的动态MAC地址列表情况下,发送指令至所述管理型交换机取消通过检测所述端口的动态MAC地址列表绑定所述端口与接入设备;如果接入设备为级联设备,发送指令至所述管理型交换机停止应用物理层信号特性绑定所述端口与接入设备。
进一步的,所述接入权限授权模块依据所述接入端口类型及接入权限要求数据,将所述端口划分至依据接入权限要求数据对应的VLAN中的具体实现方式可以为:
如果所述接入设备为终端设备或特殊级联设备,获取所述接入设备所接入的端口标志数据、所述接入设备的权限所对应的正常VLAN,发送指令至所述管理型交换机要求将所述端口划分至其权限对应的正常VLAN中;
如果所述接入设备为临时终端设备,依据所述接入设备的访问权限,获取目标VLAN编号,将所述接入设备所接入的端口划分至目标VLAN中;或依据所述接入设备的访问权限,获取目标VLAN编号,通过VLAN路由实现所述接入设备所接入的端口所属的受控VLAN与目标VLAN之间的目标终端设备能跨VLAN通信,将所述端口所属的受控VLAN转换为正常VLAN;
如果所述接入设备为常规级联设备,获取所述接入设备的VLAN权限要求,依据VLAN权限要求及所述端口,获取所述端口所在的所有VLAN,并将所有VLAN都作为目标VLAN,然后发送指令至所述管理型交换机要求将所述端口划分至所有目标VLAN中;在所述目标VLAN的数量大于1的情况下,发送指令至所述管理型交换机,要求分别在各个所述目标VLAN中设置所述端口的多VLAN共享特性标签。
进一步的,所述接入权限维持及检测模块持续检测并维持端口当前VLAN状态的具体实现方式可以为:
如果所述接入设备为终端设备或特殊级联设备,发送指令至所述管理型交换机持续检测目标VLAN的端口数据,一旦发现目标VLAN中没有所述端口,则发送指令至所述管理型交换机要求重新将所述端口划分至目标VLAN中;
如果在授权时,是通过VLAN路由技术建立所述接入设备与目标终端设备之间的跨VLAN通信通道,发送指令至所述管理型交换机持续检测跨VLAN数据,一旦发现VLAN通信通道断开,则发送指令至所述管理型交换机重新建立所述接入设备与目标终端设备之间的跨VLAN通信通道,确保所述接入设备与其它终端设备之间能正常通信;
如果所述接入设备为常规级联设备,依据VLAN设计数据及所述端口,获取所述端口所在的所有VLAN,形成VLAN集合,将VLAN集合中的所有VLAN作为目标VLAN,发送指令至所述管理型交换机要求持续检测所有目标VLAN的端口列表,判断所有目标VLAN中是否包含有所述端口,如果发现有一个所述目标VLAN的端口列表中没有包含所述端口,则发送指令至所述管理型交换机要求将所述端口按照VLAN设计数据要求划分至所述目标VLAN中。在目标VLAN数量大于1的情况下,一旦发现任意目标VLAN中所述端口没有多VLAN共享特性标签,则发送指令至所述管理型交换机要求设置目标VLAN中所述端口的多VLAN共享特性标签,以维持所述端口的VLAN状态不变;其效果是确保在维持接入设备的权限过程中,所述端口VLAN不会受到其它方的变更而导致接入设备丢失接入权限。
进一步的,所述接入权限维持及检测模块持续检测所述端口的碰撞统计数据的具体实现方式可以为:
发送指令至所述管理型交换机,持续检测所述端口的碰撞统计数据并判断所述碰撞统计数据是否大于阈值。
进一步的,所述接入权限维持及检测模块持续检测接入设备的身份状态是否有效的具体实现方式可以为:
如果所述接入设备为终端设备,在未采用端口MAC地址过滤规则的情况下,发送指令至所述管理型交换机,持续检测所述端口的动态MAC地址列表,判断所述动态MAC地址列表中是否仅包括所述接入设备的MAC地址,并持续地周期性认证接入设备的身份是否失败;在采用了端口MAC地址过滤规则且仅允许接入设备MAC地址的情况下,持续地周期性认证接入设备的身份是否失败;其作用是防止未经身份认证的接入设备通过仿冒授权接入设备的MAC地址获得与所述授权接入设备相同的接入权限;
如果所述接入设备为终端设备,则获取所述接入设备的MAC地址,在应用端口MAC地址过滤规则且仅允许所述接入设备的MAC地址,或持续检测所述端口的动态MAC地址列表,检测是否仅包括所述接入设备的MAC地址的情况下,持续检测与所述接入设备之间的TCP连接是否断开,TCP接收在线信息是否超时;
如果所述接入设备为级联设备,发送指令至所述管理型交换机获取应用物理层信号特性绑定所述端口与接入设备的结果,判断绑定是否成功。其作用是防止所述接入设备为级联设备情况下,未经身份认证授权的接入设备通过在所述端口与接入设备之间插入非管理型交换机获得与所述接入设备相同的接入权限。
进一步的,所述接入权限维持及检测模块持续检测接入设备在线状态的具体实现方式可以为:获取所述管理型交换机的端口link连接状态是否为断开连接。
进一步的,所述接入权限维持及检测模块判断是否应撤销接入设备的接入权限的具体实现方式可以为:
如果所述端口的碰撞统计数据大于阈值;或所述接入设备为终端设备且未采用端口MAC地址过滤的情况下,所述端口的动态MAC地址列表中不止包括所述接入设备的MAC地址或接入设备的MAC地址失效;或持续认证所述接入设备身份过程中出现身份认证结果为失败,或所述接入设备为终端设备且应用了端口MAC地址过滤规则的情况下,持续认证所述接入设备身份过程中出现身份认证结果为失败;或应用物理层信号特性绑定所述端口与接入设备的结果为失败,则应撤销所述接入设备的接入权限。
进一步的,所述接入权限撤销模块依据所述端口的类型将所述端口划分至受控VLAN的具体实现方式为:
如果所述接入设备为终端设备或特殊级联设备,发送指令至所述管理型交换机要求将所述端口划分至受控VLAN中;
如果授权时将所述端口所属的VLAN通过跨VLAN通信技术建立与目标VLAN的通讯通道而变更为正常VLAN的情况下,发送指令至所述管理型交换机要求通过防火墙等技术切断所述端口所述的VLAN与目标VLAN之间的通讯通道,将所述端口所属的VLAN转换为受控VLAN;
如果所述接入设备为常规级联设备,获取所述端口的所有VLAN,发送指令至所述管理型交换机要求将所述端口重新划分至受控VLAN中,并将所述端口从所有VLAN中删除,取消所述端口的多VLAN共享特性标签;
将所述端口变更为受控端口。
进一步的,所述管理型交换机依据端口绑定指令绑定所述端口与接入设备的具体实现方式可以为:
应用物理层信号特性绑定所述端口与接入设备。
可选的,所述管理型交换机依据端口绑定指令绑定所述端口与接入设备的实现方式可以为:
获取所述接入设备的MAC地址,应用端口MAC地址过滤规则,设定允许MAC地址列表中仅包括所述接入设备的MAC地址。
可选的,所述管理型交换机依据端口绑定指令绑定所述端口与接入设备的具体实现方式可以为:
获取所述接入设备的MAC地址,持续获取所述端口的动态MAC地址列表,判断所述动态MAC地址列表中是否仅包括所述接入设备的MAC地址,并发送判断结果至端口绑定控制模块。
进一步的,所述管理型交换机包括交换功能管理模块6、管理型交换芯片20和PHY模块。
进一步的,所述PHY模块除了正常普通用途之外,还用于应用物理层信号特性绑定所述端口与接入设备并判断绑定是否成功。
进一步的,所述管理型交换芯片用于基本的数据交换,并提供相关的芯片管理接口。
通过实施上述本发明提供的设备接入权限控制方法、装置及系统的技术方案,具有如下有益效果:
本发明设备接入权限控制方法、装置及系统,通过获取接入设备的权限控制基础数据,绑定通过身份认证的接入设备与所接入的端口,将端口划分至依据接入权限要求数据对应的VLAN中,持续检测并维持端口当前VLAN状态,持续检测端口的碰撞统计数据,持续检测接入设备身份状态是否有效,持续检测接入设备的在线状态,一旦发现端口的碰撞统计数据大于阈值或接入设备身份状态失效或接入设备离线,将端口划分至受控VLAN并取消端口与接入设备的绑定等严密过程,实现了接入权限的严格控制,达到只有通过身份认证的接入设备才能够接入的目的。本发明能够有效防止未经身份认证的接入设备通过嫁接(在授权接入设备与端口之间接入非管理型交换机、集线器等设备)、伪造MAC、共享授权端口等技术手段接入以太网网络中,达到了提高以太网网络中的终端设备安全性的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的实施例。
图1是本发明设备接入权限控制方法的流程示意图;
图2是本发明设备接入权限控制方法一种具体实施例的的流程示意图;
图3是本发明设备接入权限控制方法另一种具体实施例的流程示意图;
图4是本发明设备接入权限控制装置一种具体实施例的原理示意图;
图5是本发明设备接入权限控制装置一种具体实施例的结构框图;
图6是本发明设备接入权限控制系统一种具体实施例的结构框图;
图中:1-接入权限控制基础数据获取模块,2-端口绑定控制模块,3-接入权限授权模块,4-接入权限维持及检测模块,5-接入权限撤销模块,6-交换功能管理模块,7-MAC模块,8-PHY模块,9-寄存器,10-设备接入权限控制装置,20-管理型交换芯片,30-接入设备,31-级联设备,32-终端设备,100-设备接入权限控制系统,101-端口,200-管理型交换机。
具体实施方式
为了引用和清楚起见,将下文中使用的技术名词、简写或缩写记载如下:
VLAN:Virtual Local Area Network,虚拟局域网的简称;
MAC:Medium Access Control,媒体接入控制器的简称;
PHY:physical layer,物理接口收发器的简称;
TCP:Transmission Control Protocol,传输控制协议的简称;
Link:连接信号的简称。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如附图1至附图6所示,给出了本发明设备接入权限控制方法、装置及系统的具体实施例,下面结合附图和具体实施例对本发明作进一步的说明。
本发明实施例公开的设备接入权限控制方法、装置及系统,可以应用在设备接入至以太网络中的接入权限的控制过程中。本发明实施例公开的设备接入权限控制方法、装置及系统,用于加强接入权限控制,防止未经授权的设备接入至以太网络中,消除了终端设备的安全隐患,提高了以太网络系统的安全性。
在本发明下述实施例中,进行如下定义:
接入设备30包括:级联设备31和终端设备32;
级联设备31包括:特殊级联设备和常规级联设备;
终端设备32包括:固定终端设备和临时终端设备;
端口101包括:非级联端口、特殊级联端口和常规级联端口;
终端设备32是指不具备交换能力且具有以太网接口的设备;
特殊级联设备是指接入至特殊级联端口的级联设备;
常规级联设备是指接入至常规级联端口的级联设备;
特殊级联端口是指设计上仅被划分至单一VLAN中的级联端口;
常规级联端口是指设计上被划分至多个VLAN中的级联端口;
级联端口是指具有管理型交换芯片实现二层及以上交换机能力的设备通过以太网连接器及以太网线缆连接的以太网端口;
非级联端口是指不具有交换能力的设备所连接的端口;
受控端口是指划分至受控VLAN中的端口;
授权端口是指划分至正常VLAN中的端口;
受控VLAN是指设计上不能访问需要安全防护的终端设备的接入设备所属的VLAN;
受控端口是指被划分至受控VLAN的端口;
正常VLAN是指仅包含授权端口的VLAN。
在本发明下述实施例中,预先已经完成接入权限的初始化工作,包括:
创建所有VLAN,将所有VLAN划分为受控VLAN与正常VLAN;
将所有受控端口分别划分至相应的受控VLAN中;将所有授权端口分别划分至相应的正常VLAN中;
取消所有受控端口的MAC地址过滤规则,允许所有源MAC地址的接入设备均能够接入到受控端口。
实施例1
如附图1所示,一种设备接入权限控制方法的实施例,用于接入设备30的权限控制,具体包括以下步骤:
S101)获取接入设备30的权限控制基础数据,接入设备30的权限控制基础数据至少包括接入权限要求数据、接入设备30所接入端口101的标识、类型;
S102)绑定端口101与接入设备30并判断绑定是否成功;
S103)如果绑定成功,依据接入的端口101类型及接入权限要求数据,授权接入设备30的接入;
S104)持续检测并维持端口101的当前VLAN状态,持续检测端口101的碰撞统计数据,持续检测接入设备30的身份状态是否有效,持续检测接入设备30的在线状态;
S105)判断是否应撤销接入设备30的接入权限,包括判断接入设备30所接入的端口101碰撞统计数据是否大于阈值,接入设备30的身份状态是否失效,接入设备30是否离线;
S106)如果满足撤销接入设备30接入权限的任一条件,则依据端口101的类型,将端口101划分至受控VLAN;
S107)取消端口101与接入设备30的绑定。
在步骤S101)中,获取接入设备30权限控制基础数据的过程进一步包括:
获取接入设备30的身份认证信息;
依据接入设备30的身份认证信息,从本地或远程,直接或间接地获取接入设备30的身份认证密钥与认证规则,认证接入设备30的身份。
在步骤S101)之前进一步的包括以下过程:
创建所有VLAN,将所有VLAN划分为受控VLAN与正常VLAN,接入设备30所接入的端口101划分为受控端口和授权端口;
将所有受控端口分别划分至相应的受控VLAN中,将所有授权端口分别划分至相应的正常VLAN中;
取消所有受控端口的MAC地址过滤规则,允许所有源MAC地址的接入设备30均能够接入至受控端口。
步骤S104)中,绑定端口101与接入设备30并判断绑定是否成功的过程包括以下任意一种方法:
(i)应用物理层信号特性绑定端口101与接入设备30;
(ii)如果端口101为非级联端口,获取接入设备30的MAC地址,应用端口MAC地址过滤规则,设定允许MAC地址列表中仅包括接入设备30的MAC地址;否则应用物理层信号特性绑定端口101与接入设备30;
(iii)如果端口101为非级联端口,持续检测端口101的动态MAC地址列表,判断端口的动态MAC地址列表中是否仅包括该接入设备30的MAC地址;否则应用物理层信号特性绑定端口101与接入设备30。
步骤S103)中,依据接入的端口101类型及接入权限要求数据,授权接入设备30接入的的过程进一步包括:
如果端口101为接入设备30为终端设备32或特殊级联设备,获取接入设备30所接入端口101的标志数据、接入设备30的权限所对应的目标VLAN,将端口101划分至目标VLAN中;
如果接入设备30为临时终端设备,通过调整接入设备30所接入的端口101与目标终端设备之间的通信关系,建立接入端口101的接入设备30与目标终端设备之间的通信通道;
建立接入设备30与目标终端设备之间的通信通道,包括:
依据接入设备30的访问权限,获取目标VLAN编号,将接入设备30所接入的端口101划分至目标VLAN中;或依据接入设备30的访问权限,获取目标VLAN编号,通过VLAN路由实现接入端口101所属的受控VLAN与目标VLAN之间的终端设备(是指接入设备30访问的目标终端设备)32能跨VLAN通信,将端口101所属的受控VLAN转换为正常VLAN;
如果接入设备30为常规级联设备,获取接入设备30的VLAN权限要求,依据VLAN权限要求以及端口101,获取端口101所在的所有VLAN,并将所有VLAN都作为目标VLAN,再将端口101划分至所有目标VLAN中。在目标VLAN数量大于1的情况下,分别在各个目标VLAN中设置端口101的多VLAN共享特性标签。
步骤S104)中,持续检测并维持端口101当前VLAN状态的过程进一步包括:
如果接入设备30为终端设备32或特殊级联设备,则持续检测目标VLAN的端口数据,一旦发现目标VLAN中没有端口101,则重新将端口101划分至目标VLAN中;
如果在授权时,是通过VLAN路由技术建立接入设备30与目标终端设备之间的跨VLAN通信通道,持续检测跨VLAN数据,一旦发现VLAN通信通道断开,则重新建立接入设备30与目标终端设备之间的跨VLAN通信通道,确保接入设备30与目标终端设备之间能正常通信;
如果接入设备30为常规级联设备,则依据VLAN权限要求以及端口101,获取端口101所在的所有VLAN,将所有VLAN作为目标VLAN,持续检测所有目标VLAN的端口列表中是否包含有端口101,一旦发现任意目标VLAN的端口列表中没有包含有端口101,则将端口101依据VLAN设计数据要求划分至目标VLAN中,以维持端口101的VLAN状态不变。在目标VLAN数量大于1的情况下,一旦发现任意目标VLAN中端口101没有多VLAN共享特性标签,则设置目标VLAN中端口101的多VLAN共享特性标签。
步骤S104)中,持续检测接入设备30身份状态是否有效的过程进一步的包括以下任意一种方法:
(i)持续应用物理层信号特性绑定端口101与接入设备30,持续检测是否成功绑定端口101与接入设备30;
(ii)若端口101为非级联端口,则获取接入设备30的MAC地址,在应用端口MAC地址过滤规则且仅允许接入设备30的MAC地址的情况下,或持续检测端口101的动态MAC地址列表仅包括接入设备30的MAC地址的情况下,持续地周期性认证接入设备30的身份是否有效;
若端口101为级联端口,则持续应用物理层信号特性绑定端口101与接入设备30,并判断是否成功绑定端口101与接入设备30;
(iii)若端口101为非级联端口,则获取接入设备30的MAC地址,在应用端口MAC地址过滤规则且仅允许接入设备30的MAC地址,或持续检测端口101的动态MAC地址列表仅包括接入设备30的MAC地址的情况下,持续检测与接入设备30之间的TCP连接是否断开,TCP接收在线信息是否超时;
若端口101为级联端口,则持续应用物理层信号特性绑定端口101与接入设备30,并判断是否成功绑定端口101与接入设备30。
步骤S105)中,判断是否应撤销接入设备30接入权限的过程进一步包括:
若端口101的碰撞统计数据小于阈值,且接入设备30的身份状态有效,且接入设备30在线,则继续判断是否应撤销接入设备30的接入权限;
若接入设备30所接入端口101的碰撞统计数据大于阈值,或接入设备30的身份状态失效,或接入设备30离线,则认定应撤销接入设备30的接入权限。
步骤S106)中依据端口101的类型,将端口101划分至受控VLAN的过程进一步包括:
若端口101为非级联端口或特殊级联端口,则将端口101重新划分至受控VLAN中;
若授权时将端口101所属的VLAN通过跨VLAN通信技术建立与目标VLAN的通讯通道而变更为正常VLAN的情况下,通过防火墙等技术切断端口101所属的VLAN与目标VLAN之间的通讯通道,将端口101所属的VLAN转换为受控VLAN;
若端口101为常规级联端口,则获取包含端口101的所有VLAN,将端口101从所有VLAN中删除,并将端口101重新划分至受控VLAN中,取消端口101的多VLAN共享特性标签。
步骤S107)中,取消绑定端口101与接入设备30的过程包括以下任意一种方法:
(i)停止应用物理层信号特性绑定端口101与接入设备30;
(ii)若端口101为非级联端口,则取消端口MAC地址过滤规则,允许所有接入设备30通过端口101获取接入权限;若端口101为级联端口,则停止应用物理层信号特性绑定端口101与接入设备30;
(iii)若端口101为非级联端口,则停止获取端口101的动态MAC地址列表,取消通过检测端口101的动态MAC地址列表绑定端口101与接入设备30;若端口101为级联端口,则停止应用物理层信号特性绑定端口101与接入设备30;
(iv)若应用端口101的碰撞统计数据来检测是否应撤销绑定端口101与接入设备30,则停止获取端口101的碰撞统计数据。
判断接入设备30身份状态失效的过程包括以下任意一种方法:
(i)应用物理层信号特性绑定端口101与接入设备30失败;
(ii)若端口101为非级联端口,且周期性认证接入设备30的身份时出现身份认证失败,则认定接入设备30的身份状态失效;若端口101为级联端口,则应用物理层信号特性绑定端口100与接入设备30失败;
(iii)若端口101为非级联端口,且持续检测端口101的动态MAC地址列表中不止包括接入设备30的MAC地址或接入设备30的MAC地址失效,则认定接入设备30的身份状态失效;若端口101为级联端口,则应用物理层信号特性绑定端口101与接入设备30失败;
(iv)若端口101为非级联端口,且在采用TCP连接持续接收在线信号的情况下,与接入设备30之间的TCP连接断开,或TCP接收在线信息超时,则认定接入设备30的身份状态失效;若端口101为级联端口,则应用物理层信号特性绑定端口101与接入设备30失败。
实施例2
如附图2所示,另一种设备接入权限控制方法的实施例,用于接入设备30的权限控制,其特征在于,具体包括以下步骤:
S101)获取接入设备30的权限控制基础数据;
获取接入到受控端口的接入设备30的身份认证信息;
依据接入设备30的身份认证信息,从本地或远程,直接或间接地获取接入设备30的身份认证密钥与认证规则,成功认证接入设备30的身份。
S102)绑定端口101与接入设备30并判断绑定是否成功;
绑定端口101与接入设备30的技术方案包括但不限于应用物理层信号特性绑定端口101与接入设备30。
在本实施例中,步骤S102)必须在步骤S103)之前,其作用是防止其它未经身份认证的接入设备30通过共享端口嫁接侵入以太网络。
如果端口101与接入设备30绑定不成功,除了继续获取接入权限数据,还可以直接跳转至最后一步,取消端口101与接入设备30绑定。
本实施例利用设备接入权限控制装置10与接入设备30之间的一对PHY模块8的物理信号特性,传递一种只有一对PHY模块8知晓确认的可验证信号,实现绑定端口101与接入设备30的目的,确保了端口101与接入设备30之间无法通过插入非管理型交换机来共享授权端口,以达到绑定端口101与接入设备30的目的。
S103)依据接入端口101的类型及接入权限要求数据,授权接入设备30的接入;
如果接入设备30为终端设备32或特殊级联设备,获取接入设备30所接入的端口标志数据、接入设备30的权限所对应的正常VLAN,将端口101划分至其权限对应的正常VLAN中;
如果接入设备30是常规级联设备,获取接入设备30的VLAN权限要求,依据VLAN权限要求及端口101,获取端口101所在的所有VLAN,并将所有VLAN都作为目标VLAN,然后将端口101划分至所有目标VLAN中;在目标VLAN的数量大于1的情况下,分别在各个目标VLAN中设置端口101的多VLAN共享特性标签。
在该步骤中,由于未经授权的接入设备30接入的端口为受控端口,通过动态划分VLAN技术,依据接入设备30的接入权限要求将端口101划分至满足接入权限要求的所有VLAN,将受控端口自动变更为授权端口,从而实现接入设备30的接入授权。
S104)持续检测并维持接入设备30的接入权限状态;
如果接入设备30为终端设备32或特殊级联设备,包括但不限于持续检测目标VLAN的端口数据,一旦发现目标VLAN中没有该端口101,则重新将该端口101划分至目标VLAN中。
如果接入设备30为常规级联设备,包括但不限于依据VLAN权限要求及端口101,获取端口101所在的所有VLAN,将所有VLAN作为目标VLAN,持续检测所有目标VLAN的端口列表中是否包含有该端口101,一旦发现任意目标VLAN的端口列表中没有包含有该端口101,则将端口101依据VLAN设计数据要求划分至目标VLAN中,以维持端口101的VLAN状态不变;在目标VLAN的数量大于1的情况下,一旦发现任意目标VLAN中端口101没有多VLAN共享特性标签,则设置目标VLAN中端口101的多VLAN共享特性标签。
持续检测应用物理层信号特性绑定端口101与接入设备30是否失败;
持续检测端口101的碰撞统计数据是否大于阈值。
在本实施例中,步骤S104)通过不断维持端口101的VLAN特性防止端口的VLAN特性被无意修改而导致接入设备30接入权限的丧失;同时通过持续检测端口101的碰撞统计数据防止端口101与接入设备30之间接入集线器等设备而导致未经身份认证的接入设备共享端口101而获得与授权接入设备30相同的接入权限;通过持续应用物理层信号特性绑定端口101与接入设备30是否失败,来检测未经身份认证的接入设备30是否通过端口101与授权接入设备30之间插入非管理型交换机来获得与授权接入设备30相同的接入权限;以此达到持续维持接入设备30的接入权限及持续检测未经认证的接入设备30是否通过在端口101与接入设备30之间插入非管理型交换机或集线器获得与授权接入设备30相同的接入权限的效果。
S105)判断是否应撤销接入设备30的接入权限;
如果端口101的碰撞统计数据小于阈值且检测到应用物理层信号特性绑定端口101与接入设备30的结果为成功,则跳转至步骤S104);
如果端口101的碰撞统计数据大于阈值,或检测到应用物理层信号特性绑定端口101与接入设备30的结果为失败,则跳转至步骤S106)。
在本实施例中,出现应撤销接入设备30的接入权限情形,先撤销接入设备30的接入权限,然后再取消端口101与接入设备30的绑定;
如果不应撤销接入设备30的接入权限,除了持续检测并维持接入状态,还可以处理其它流程后再回到S104步骤。
S106)撤销接入设备的接入权限;
如果接入设备30为终端设备32或特殊级联设备,重新将端口101划分至受控VLAN,并将端口101从正常VLAN中删除;
如果接入设备30为常规级联设备,获取共享端口101的所有VLAN,将端口101从这些VLAN中删除,并将端口101重新划分至受控VLAN中,取消端口101的多VLAN共享特性标签。
在本实施例中,通过将端口101重新划分至受控VLAN来变更端口101为受控端口,其作用是取消接入设备30的接入权限,使得接入至受控端口的任何接入设备30在被认证与授权之前,无法访问到需要防护的授权终端设备,以提高网络中的授权终端设备的安全性。
S107)取消端口101与接入设备30的绑定;
包括但不限于停止应用物理层信号特性绑定端口101与接入设备30。
在本实施例中,取消端口101与接入设备30绑定的作用是允许所有未经身份认证及授权的接入设备30能够获得被认证的机会。
实施例3
如附图3所示,又一种设备接入权限控制方法的实施例,用于接入设备30的权限控制,其特征在于,具体包括以下步骤:
S201)接入权限初始化;
根据设计数据要求,创建所有VLAN,将所有VLAN划分为受控VLAN与正常VLAN,如果检测到通过路由技术构建了受控VLAN与正常VLAN之间的跨VLAN通讯通道,则通过直接或间接通讯的方式请求跨VLAN通信的设备禁止受控VLAN与正常VLAN之间进行跨VLAN通讯;其效果是切断受控VLAN中的终端设备30与正常VLAN中的终端设备32之间的通讯通道,防止未经授权的受控VLAN中的接入设备30通过跨VLAN技术与正常VLAN中的终端设备32通讯,取消非默认授权固定终端设备接入正常VLAN的权限,取消临时终端的授权状态及访问权限,消除正常VLAN中的授权终端设备的安全隐患。
根据设计数据要求,将所有设计上必须进行接入权限控制的接入设备30所接入的端口划分为受控端口,并直接或间接地通过控制通道或通过交换功能管理模块6,根据设计数据将受控端口划分至受控VLAN中;将所有设计上默认已经授权的接入设备30所接入的端口101划分为授权端口,并直接或间接地通过控制通道或通过交换功能管理模块6,根据设计数据将授权端口分别划分至正常VLAN中;其效果是将接入到受控端口的接入设备30与接入到授权端口的设备进行隔离,确保未经授权的接入设备30接入到受控端口之后无法与接入到授权端口的设备进行通讯,消除接入到授权端口的终端设备32的安全隐患;
取消应用物理层信号特性绑定端口101与接入设备30;
如果本发明设备接入权限控制装置10的受控端口应用了MAC地址过滤规则,则设备接入权限控制装置10直接或间接地通过控制通道或通过交换功能管理模块6取消受控端口的MAC地址过滤规则,允许所有源MAC地址的接入设备30均能够接入受控端口,其作用是允许任何接入设备30能够接入受控端口;如果未应用端口MAC地址过滤规则,则默认具备该特征。
划分以太网端口VLAN的方法包括但不限于:
A)从本地获取VLAN设计数据,然后根据VLAN设计数据及接入权限控制要求划分本地端口VLAN;
B)通过远程方式获取VLAN设计数据,然后根据VLAN设计数据及接入权限控制要求划分本地端口VLAN;
C)网络中的某个主控设备通过远程访问技术直接操作设备接入权限控制装置10,根据VLAN设计数据及接入权限控制要求划分本地端口VLAN;
本步骤涉及的通讯技术包括但不限于基于链路层通讯、网络层通讯、传输层通讯和应用层通讯等技术;
本步骤的目的是将接入到受控VLAN的接入设备30与正常VLAN的终端设备32进行隔离,如果接入设备30未经认证及授权则无法与任何正常VLAN中的设计上需要防护的终端设备32进行通讯,防止未经接入权限认证授权的非安全设备接入网络而对已经获得授权的终端设备32造成安全隐患。
S202)监测接入设备30的身份认证信息;
接入设备30的身份认证信息包括但不限于可认证数据、控制接入设备30的访问权限所需数据;接入设备30身份认证信息中的可认证数据可隐含控制接入设备30的访问权限所需数据;接入设备30的身份认证信息是否全部或部分加密均不影响;
可一次性获取完整的接入设备30身份认证信息,也可以通过分片多次获取然后组合为完整的接入设备30身份认证信息;
如果接入设备30接入的端口是常规级联端口,通讯方式为链路层通讯;否则,通讯方式包括但不限于基于链路层通讯、网络层通讯、传输层通讯和应用层通讯等技术;
其作用是为设备接入权限控制装置10针对接入设备30的接入进行安全认证及权限控制提供必要的数据依据。
S203)判断是否获取到接入设备30的身份认证信息?
其作用是判断是需要继续获取接入设备30的身份认证信息,还是需要针对接入设备30进行身份认证;
如果接收到接入设备30的身份认证信息到则跳转至步骤S204),否则跳转至步骤S202)。
S204)判断接入设备30的身份是否认证成功?
设备接入权限控制装置10根据获取到的接入设备认证信息,从本地或远程,直接或间接地获取该接入设备30的身份认证密钥,结合认证数据及认证规则,认证接入设备30的身份是否正确,如果不正确则认定接入设备30的认证信息验证未通过,否则认定接入设备30的认证信息验证通过;
如果验证通过则跳转至步骤S205),否则跳转至步骤S202);
S205)绑定端口101与接入设备30;
如果接入设备30为终端设备32,则获取接入设备30的MAC地址,应用其接入端口的MAC地址过滤规则,设定允许MAC地址列表中仅包括该接入设备30的MAC地址,跳转至步骤S206);
如果接入设备30为级联设备31,则应用物理层信号特性绑定端口101与接入设备30,如果绑定成功则跳转至步骤S206),否则跳转至步骤S202)。
S206)接入设备30授权接入;
如果接入设备30是固定终端设备32或特殊级联设备,获取接入设备30所接入的端口标志数据,及接入设备30权限所对应的正常VLAN数据,直接或间接地通过控制通道或通过交换功能管理模块6将接入设备30所连接的端口101划分至其权限对应的正常VLAN中,实现接入设备30的接入授权;
如果接入设备30是临时终端设备,根据接入设备30的访问权限,获取目标VLAN编号,将接入设备30所接入的以太网端口划分至目标VLAN中;目标VLAN可以是访问终端设备所在的VLAN,也可以是能够通过跨VLAN与被访问终端设备通讯的VLAN;
如果接入设备30是常规级联设备,依据VLAN设计数据以及端口101,获取接入设备30权限对应的所有VLAN,形成VLAN集合,将VLAN集合中的所有VLAN作为目标VLAN,将端口101划分至所有目标VLAN中,并且分别在各个目标VLAN中设置端口101的多VLAN共享特性标签,以便端口101符合VLAN设计预期;其效果是确保端口101具有承担多VLAN共享端口的特性,以实现接入设备30的接入授权;
本步骤所采取的通讯方式包括但不限于基于链路层通讯、网络层通讯、传输层通讯和应用层通讯等技术。
本步骤的目的是确保成功通过身份认证的临时终端设备能且仅能访问其权限允许范围内的目标终端设备,确保通过授权认证的终端设备32能且仅能接入其权限允许的正常VLAN中,确保成功经过授权认证的级联设备31能顺利接入到网络的正常VLAN中,确保未经授权的任何接入设备30都无法接入网络的正常VLAN中,也无法访问正常VLAN中的任何需要防护的目标终端设备。
S207)维持当前接入设备30的权限;
持续检测并维持端口101当前的VLAN状态,具体包括:
如果接入设备30为终端设备32或特殊级联设备,持续检测目标VLAN的端口数据,一旦发现目标VLAN中没有该端口101,则重新将该端口101划分至目标VLAN中;
如果在授权时,是通过VLAN路由技术建立接入设备30与目标终端设备之间的跨VLAN通信通道,持续检测跨VLAN数据,一旦发现VLAN通信通道断开,则重新建立接入设备30与目标终端设备之间的跨VLAN通信通道,确保接入设备30与目标终端设备之间能正常通信;
如果接入设备30为常规级联设备,根据VLAN设计数据以及端口101,获取端口101所在的所有VLAN,形成VLAN集合,将VLAN集合中的所有VLAN作为目标VLAN,持续检测所有目标VLAN的端口列表中是否包含有该端口101,如果发现有一个目标VLAN的端口列表中没有包含该端口101,则将该端口按照VLAN设计数据要求划分至目标VLAN中,以维持端口的VLAN状态不变;在目标VLAN的数量大于1的情况下,一旦发现任意目标VLAN中端口没有多VLAN共享标签,则设置该目标VLAN中端口101的多VLAN共享特性标签。
其效果是确保维持接入设备30的权限过程中,端口101的VLAN不会受到其它方的变更而导致接入设备30丢失接入权限;
S208)持续检测是否应维持接入设备30的授权状态;
包括检测接入设备30所接入的端口碰撞统计数据、持续检测接入设备30的身份状态是否有效、持续检测接入设备30的在线状态;
持续检测碰撞统计数据,具体为:直接或间接地通过控制通道或通过交换功能管理模块6持续检测报文碰撞统计数据是否大于阈值,判断是否有报文碰撞现象;其效果是检测在接入设备30与所接入的端口101之间是否有集线器及类似设备存在,确保需要进行授权认证但未经授权的接入设备30必须通过接入权限认证;
如果端口101的碰撞统计数据大于阈值,则认定不应维持接入设备30的授权状态,跳转至步骤S209);
持续检测接入设备30的身份状态是否有效,具体为:
如果接入设备为终端设备32,在未采用端口MAC地址过滤规则的情况下,持续检测端口101的动态MAC地址列表,判断动态MAC地址列表中是否仅包括接入设备30的MAC地址,并持续地周期性认证接入设备的身份是否失败;如果端口的动态MAC地址列表中不止包括接入设备30的MAC地址或接入设备30的MAC地址失效,或认证接入设备30的身份失败,则跳转至步骤S209;
采用了端口MAC地址过滤规则的情况下,持续地周期性认证接入设备30的身份是否失败,一旦接入设备30的身份认证失败,则跳转至步骤S209);
其作用是防止未经身份认证的接入设备30通过仿冒授权接入设备30的MAC地址获得与授权接入设备相同的接入权限;
如果接入设备30为级联设备31,判断应用物理层信号特性绑定端口101与接入设备30是否成功;如果应用物理层信号特性绑定端口101与述接入设备失败,则跳转至步骤S209);其作用是防止接入设备30为级联设备31的情况下,未经身份认证授权的接入设备30通过在端口101与接入设备30之间插入非管理型交换机获得与接入设备30相同的接入权限;
持续检测接入设备30的在线状态,具体为:检测端口101的link连接状态;如果端口101的link连接状态为断开连接,则跳转至步骤S209);
如果未跳转至步骤S209),则跳转至步骤S207)。
S209)撤销接入设备30的接入权限;
如果接入设备30为终端设备32或特殊级联设备,将端口101划分至受控VLAN中;
如果接入设备30为常规级联设备,获取端口101的所有VLAN,将端口101重新划分至受控VLAN中,并将端口101从所有VLAN中删除,取消端口101的多VLAN共享特性标签;
将端口101变更为受控端口;
本步骤的目的是通过恢复端口101到受控端口状态取消接入设备30的接入权限,有效防止未经授权的接入设备30接入到正常VLAN中而给已经授权的终端设备32带来安全隐患。
S210)取消端口101与接入设备30的绑定;
如果接入设备30为终端设备32,在应用端口MAC地址过滤规则的情况下,取消应用端口MAC地址过滤规则绑定端口101与接入设备30;在应用持续检测端口101的动态MAC地址列表来绑定端口101与接入设备30情况下,取消通过检测端口101的动态MAC地址列表绑定端口101与接入设备30;
如果接入设备30为级联设备,停止应用物理层信号特性绑定端口101与接入设备30;
如果应用持续监测端口101的碰撞统计数据,取消持续检测碰撞统计数据;
其目的是允许任何接入设备30均能接入到端口101而接受身份认证。
实施例4
如附图4和5所示,一种基于实施例2所述方法的设备接入权限控制装置的实施例,具体包括:接入权限控制基础数据获取模块1,用于获取接入设备30的权限控制基础数据,接入设备30的权限控制基础数据至少包括接入权限要求数据、接入设备30所接入的具体端口标识、接入端口类型;
端口绑定控制模块2,用于绑定端口101与接入设备30并判断绑定是否成功,并用于撤销端口101与接入设备30的绑定;
接入权限授权模块3,用于依据接入端口类型及接入权限要求数据,将端口101划分至依据接入权限要求数据对应的VLAN中,或将端口101所属VLAN调整为正常VLAN,完成接入设备30的接入授权;
接入权限维持及检测模块4,用于持续检测并维持端口101当前VLAN状态,持续检测端口101的碰撞统计数据,持续检测接入设备30的身份状态是否有效,持续检测接入设备30在线状态;并用于判断是否应撤销接入设备30的接入权限;
接入权限撤销模块5,用于依据端口101的类型,将端口101划分至受控VLAN。
设备接入权限控制装置10还可以包括:
交换功能管理模块6,用于执行端口101与接入设备30的绑定任务;执行将端口101划分至依据接入权限要求数据对应的VLAN中;执行将端口101划分至受控VLAN;
PHY模块8,用于通过物理层信号特性绑定端口101与接入设备30并判断绑定是否成功。
如附图5所示,设备接入权限控制系统100包括设备接入权限控制装置10和管理型交换芯片20,管理型交换芯片20进一步包括MAC模块7、PHY模块8和寄存器9。其中,PHY模块8既可以成为设备接入权限控制装置10的一部分,也可以包括在管理型交换芯片20中。接入设备30通过端口101与管理型交换芯片20的PHY模块8相连,PHY模块8再通过MAC模块7、寄存器9与本实施例描述的设备接入权限控制装置10相连。
其中,接入权限控制基础数据获取模块1获取接入设备30的权限控制基础数据的具体实现方式可以为:
获取接入设备30的身份认证信息;
依据接入设备30的身份认证信息,从本地或远程,直接或间接地获取接入设备30的身份认证密钥与认证规则,认证接入设备30的身份是否正确。
端口绑定控制模块2绑定端口101与接入设备30的具体实现方式可以为:应用物理层信号特性绑定端口101与接入设备30。
端口绑定控制模块2绑定端口101与接入设备30的具体实现方式还可以为:
如果接入设备30为终端设备32,应用端口MAC地址过滤规则设定允许MAC地址列表中仅包括接入设备30的MAC地址;如果接入设备30为级联设备31,应用物理层信号特性绑定端口101与接入设备30。
端口绑定控制模块2绑定端口101与接入设备30的具体实现方式还可以为:
如果接入设备30为终端设备32,持续检测端口101的动态MAC地址列表,判断动态MAC地址列表中是否仅包括接入设备30的MAC地址;如果接入设备30为级联设备31,应用物理层信号特性绑定端口101与接入设备30。
端口绑定控制模块2判断绑定是否成功的具体实现方式可以为:
判断应用物理层信号特性绑定101端口与30接入设备是否成功。
端口绑定控制模块2判断绑定是否成功的具体实现方式还可以为:
如果接入设备30为终端设备32,应用端口MAC地址过滤规则设定允许MAC地址列表中仅包括接入设备30的MAC地址;如果接入设备30为级联设备31,判断应用物理层信号特性绑定端口101与接入设备30是否成功。
端口绑定控制模块2判断绑定是否成功的具体实现方式还可以为:
如果接入设备30为终端设备32,持续检测端口的动态MAC地址列表,判断动态MAC地址列表中是否仅包括接入设备30的MAC地址;如果接入设备30为级联设备31,应用物理层信号特性绑定端口101与接入设备30是否成功。
端口绑定控制模块2撤销端口101与接入设备30绑定的具体实现方式可以为:
停止应用物理层信号特性绑定端口101与接入设备30。
端口绑定控制模块2撤销端口101与接入设备30绑定的具体实现方式还可以为:
如果接入设备30为终端设备32,在应用端口MAC地址过滤规则的情况下,取消端口MAC地址过滤规则绑定端口101与接入设备30,在应用持续检测端口101的动态MAC地址列表来绑定端口101和接入设备30的情况下,取消通过检测端口101的动态MAC地址列表绑定端口101与接入设备30;如果接入设备30为级联设备31,停止应用物理层信号特性绑定端口101与接入设备30。
接入权限授权模块3依据接入端口类型及接入权限要求数据,授权接入设备30接入的具体实现方式可以为:
如果接入设备30为终端设备32或特殊级联设备,获取接入设备30所接入的端口标志数据,及接入设备30的权限所对应的正常VLAN,将端口101划分至其权限对应的正常VLAN中;
如果接入设备30为临时终端设备,通过调整接入设备30所接入的端口101与目标终端设备之间的通信关系,建立接入端口101的接入设备30与目标终端设备之间的通信通道;
建立接入设备30与目标终端设备之间的通信通道,包括:
依据接入设备30的访问权限,获取目标VLAN编号,将接入设备30所接入的端口101划分至目标VLAN中;或依据接入设备30的访问权限,获取目标VLAN编号,通过VLAN路由实现接入端口101所属的受控VLAN与目标VLAN之间的终端设备32能跨VLAN通信,将端口101所属的受控VLAN转换为正常VLAN;
如果接入设备30为常规级联设备,获取接入设备30的VLAN权限要求,依据VLAN权限要求及端口101,获取端口101所在的所有VLAN,并将所有VLAN都作为目标VLAN,再将端口101划分至所有目标VLAN中;在目标VLAN的数量大于1的情况下,分别在各个目标VLAN中设置端口101的多VLAN共享特性标签。
接入权限维持及检测模块4持续检测并维持端口101当前VLAN状态的具体实现方式可以为:
如果接入设备30为终端设备32或特殊级联设备,持续检测目标VLAN的端口数据,一旦发现目标VLAN中没有该端口101,则重新将该端口101划分至目标VLAN中;
如果在授权时,是通过VLAN路由技术建立接入设备30与目标终端设备之间的跨VLAN通信通道,接入权限控制模块持续检测跨VLAN数据,一旦发现VLAN通信通道断开,则重新建立接入设备30与目标终端设备之间的跨VLAN通信通道,确保接入设备30与目标设备之间能正常通信;
如果接入设备30为常规级联设备,依据VLAN设计数据以及端口101,获取该端口101所在的所有VLAN,形成VLAN集合,将VLAN集合中的所有VLAN作为目标VLAN,持续检测所有目标VLAN的端口列表中是否包含有该端口101,如果发现有一个目标VLAN的端口列表中没有包含该端口101,则将端口101按照VLAN设计数据要求划分至目标VLAN中,以维持端口101的VLAN状态不变;在目标VLAN的数量大于1的情况下,一旦发现任意目标VLAN中端口101没有多VLAN共享特性标签,则设置目标VLAN中端口101的多VLAN共享标签;
其作用是确保维持接入设备30的权限过程中,端口VLAN不会受到其它方的变更而导致接入设备30丢失接入权限。
接入权限维持及检测模块4持续检测端口101的碰撞统计数据的具体实现方式可以为:
持续检测端口101的碰撞统计数据并判断碰撞统计数据是否大于阈值。
接入权限维持及检测模块4持续检测接入设备30的身份状态是否有效的具体实现方式可以为:
如果接入设备30为终端设备32,在未采用端口MAC地址过滤规则的情况下,持续检测端口100的动态MAC地址列表,判断动态MAC地址列表中是否仅包括接入设备30的MAC地址,并持续地周期性认证接入设备30的身份是否失败;在采用端口MAC地址过滤规则的情况下,持续地周期性认证接入设备30的身份是否失败。其作用是防止未经身份认证的接入设备30通过仿冒授权接入设备的MAC地址获得与授权接入设备30相同的接入权限。
如果接入设备30为级联设备31,判断应用物理层信号特性绑定端口101与接入设备30是否成功。其作用是防止接入设备30为级联设备31情况下,未经身份认证授权的接入设备30通过在端口101与接入设备30之间插入非管理型交换机以获得与接入设备30相同的接入权限。
接入权限维持及检测模块4持续检测接入设备30在线状态的具体实现方式可以为:
检测端口101的link连接状态是否为断开连接。
接入权限维持及检测模块4判断是否应撤销接入设备30的接入权限的具体实现方式可以为:
如果端口101的碰撞统计数据大于阈值;或接入设备30为终端设备32且未采用端口MAC地址过滤的情况下,端口101的动态MAC地址列表中不止包括接入设备30的MAC地址或接入设备30的MAC地址失效,或持续认证接入设备30身份过程中出现身份认证结果为失败;或接入设备30为终端设备32且应用了端口MAC地址过滤规则的情况下,持续认证接入设备30身份过程中出现身份认证结果为失败;或应用物理层信号特性绑定端口101与接入设备30的结果为失败,则应撤销接入设备30的接入权限。
接入权限撤销模块5依据端口101的类型将端口101划分至受控VLAN的具体实现方式为:
如果接入设备30为终端设备32或特殊级联设备,将端口101划分至受控VLAN中;
如果授权时将端口101所属的VLAN通过跨VLAN通信技术建立与目标VLAN的通讯通道而变更为正常VLAN的情况下,通过防火墙等技术切断端口101所属的VLAN与目标VLAN之间的通讯通道,将端口101所属的VLAN转换为受控VLAN;
如果接入设备30为常规级联设备,获取端口的所有VLAN,将端口101重新划分至受控VLAN中,并将端口101从所有VLAN中删除,取消端口101的多VLAN共享特性标签;
将端口101变更为受控端口。
本实施例描述的设备接入权限控制装置10,针对接入至端口101中的接入设备30进行身份权限认证,成功验证接入设备30的身份权限之后,依据端口101的类型或接入设备30的类型,采取相应的绑定方式绑定端口101与接入设备30,绑定成功之后,依据接入设备30的接入权限,将端口101划分至相应VLAN中,完成接入设备30的接入授权。然后持续维持接入设备30的接入权限,通过持续检测端口101的碰撞统计数、持续检测接入设备30的身份状态、持续检测接入设备30的在线状态,判断是否应撤销接入设备30的接入权限,一旦发现应撤销接入设备30的接入权限,设备接入权限控制装置10通过将端口101恢复到受控VLAN中的方法撤销接入设备30的接入权限,并停止绑定端口101。设备接入权限控制装置10通过对接入设备30的接入权限身份认证、绑定接入设备、接入权限授权、维持接入权限、持续防止通过嫁接集线器或非管理型交换机等方式躲避身份权限认证等接入权限全过程的控制,实现有效控制接入权限的目的。在以太网络中,重复多次应用本实施例描述的装置能够有效满足分布式接入权限控制的需求。
本实施例描述的设备接入权限控制装置10可以是一种交换机,也可以是一种具有交换能力的接入权限控制装置,也可以是一种不具有交换能力的接入权限控制装置。
实施例5
如附图6所示,一种基于实施例2所述方法的设备接入权限控制系统的实施例,具体包括:
接入权限控制基础数据获取模块1,用于通过以太网络获取接入设备30的权限控制基础数据,接入设备30的权限控制基础数据至少包括接入权限要求数据、接入设备30所接入的具体端口标识(包括管理型交换机200的标识,端口101的标识,用于唯一端口的识别)、接入端口的类型;
端口绑定控制模块2,用于通过以太网络发送绑定端口101与接入设备30的指令至管理型交换机200,通过以太网络获取绑定是否成功的结果;并用于通过以太网络发送撤销绑定端口101与接入设备30的指令至管理型交换机200;
接入权限授权模块3,用于依据接入端口的类型及接入权限要求数据,通过以太网络发送将端口101划分至依据接入权限要求数据对应的VLAN中,或将端口101所属VLAN调整为正常VLAN的指令发送至管理型交换机200,完成接入设备30的接入授权;
接入权限维持及检测模块4,用于通过以太网络持续检测并维持端口101的当前VLAN状态,通过以太网络持续检测端口101的碰撞统计数据,通过以太网络持续检测接入设备30的身份状态是否有效,通过以太网络持续检测接入设备30的在线状态;并用于判断是否应撤销接入设备30的接入权限;
接入权限撤销模块5,用于依据端口101的类型,通过以太网络发送将端口101划分至默认受控VLAN或将端口101所属的VLAN恢复为受控VLAN的指令。
管理型交换机200,用于接收来自于端口绑定控制模块2的端口绑定指令,并依据端口绑定指令,绑定端口101与接入设备30;将端口绑定结果发送至端口绑定控制模块2;用于接收来自于接入权限授权模块3的接入授权指令,依据接入授权指令,将端口101划分至接入授权指令要求的VLAN中;用于接收来自于接入权限维持及检测模块4的权限维持及检测指令,依据权限维持指令维持端口101的VLAN状态,依据检测指令持续检测端口101的碰撞统计数据、持续检测接入设备30的身份状态是否有效、持续检测接入设备30的在线状态,并将检测结果通过以太网络发送至接入权限维持及检测模块4,接收并依据撤销接入设备30的接入权限指令将端口101划分至默认受控VLAN,接收并依据端口绑定控制模块2的撤销绑定端口指令撤销端口101的绑定。
如附图6所示,管理型交换机200包括交换功能管理模块6和管理型交换芯片20,管理型交换芯片20进一步包括MAC模块7、PHY模块8和寄存器9。其中,接入设备30、设备接入权限控制装置10均通过端口101与管理型交换芯片20的PHY模块8相连,PHY模块8再通过MAC模块7、寄存器9与交换功能管理模块6相连。
其中,接入权限控制基础数据获取模块1获取接入设备30的权限控制基础数据的具体实现方式可以为:
获取接入设备30的身份认证信息;
依据接入设备30的身份认证信息,从本地或远程,直接或间接地获取接入设备30的身份认证密钥与认证规则,认证接入设备30的身份是否正确。
端口绑定控制模块2绑定端口101与接入设备30的具体实现方式可以为:
发送应用物理层信号特性绑定端口101与接入设备30指令至管理型交换机200。
端口绑定控制模块2绑定端口101与接入设备30的具体实现方式还可以为:
如果接入设备30为终端设备32,发送应用端口MAC地址过滤规则设定允许MAC地址列表中仅包括接入设备30的MAC地址的指令至管理型交换机200;如果接入设备30为级联设备31,发送应用物理层信号特性绑定端口101与接入设备30的指令至管理型交换机200。
端口绑定控制模块2绑定端口101与接入设备30的具体实现方式还可以为:
如果接入设备30为终端设备32,发送检测端口101的动态MAC地址列表指令至管理型交换机200,持续获取端口101的动态MAC地址列表,判断动态MAC地址列表是否仅包含接入设备30的MAC地址;如果接入设备30为级联设备31,发送应用物理层信号特性绑定端口101与接入设备30指令至管理型交换机200。
端口绑定控制模块2判断绑定是否成功的具体实现方式可以为:
获取管理型交换机200发送过来的应用物理层信号特性绑定端口101与接入设备30的结果,判断应用物理层信号特性端口101与接入设备30的绑定是否成功。
端口绑定控制模块2判断绑定是否成功的具体实现方式还可以为:
如果接入设备30为终端设备32,获取管理型交换机200中端口MAC地址过滤规则数据,判断允许MAC地址列表中是否仅包括接入设备30的MAC地址;如果接入设备30为级联设备31,获取管理型交换机200发送过来的应用物理层信号特性绑定端口101与接入设备30的结果,判断应用物理层信号特性绑定端口101与接入设备30是否成功。
端口绑定控制模块2判断绑定是否成功的具体实现方式还可以为:
如果接入设备30为终端设备32,通过网络持续获取管理型交换机200的端口的动态MAC地址列表,判断动态MAC地址列表中是否仅包括接入设备30的MAC地址;如果接入设备30为级联设备31,获取管理型交换机200发送过来的应用物理层信号特性绑定端口101与接入设备30的结果,判断应用物理层信号特性绑定端口101与接入设备30是否成功。
端口绑定控制模块2撤销绑定端口101与接入设备30的具体实现方式可以为:
停止应用物理层信号特性绑定端口101与接入设备30。
端口绑定控制模块2撤销端口101与接入设备30绑定的具体实现方式还可以为:
如果接入设备30为终端设备32,应用端口MAC地址过滤规则的情况下,发送取消端口MAC地址过滤规则绑定端口101与接入设备的指令至管理型交换机200;在应用持续检测端口101的动态MAC地址列表来绑定端口101和接入设备30的情况下,取消通过检测端口101的动态MAC地址列表绑定端口101与接入设备30;如果接入设备30为级联设备31,停止应用物理层信号特性绑定端口101与接入设备30。
接入权限授权模块3依据接入端口类型及接入权限要求数据,授权接入设备30接入的具体实现方式可以为:
如果接入设备30为终端设备32或特殊级联设备,获取接入设备30所接入的端口标志数据、接入设备30的权限所对应的正常VLAN,发送指令至管理型交换机200要求将端口100划分至其权限对应的正常VLAN中;
如果接入设备30为临时终端设备,通过调整接入设备30所接入的端口101与目标终端设备之间的通信关系,建立接入端口101的接入设备30与目标终端设备之间的通信通道;
建立接入设备30与目标终端设备之间的通信通道,包括:
依据接入设备30的访问权限,获取目标VLAN编号,将接入设备30所接入的端口101划分至目标VLAN中;或依据接入设备30的访问权限,获取目标VLAN编号,通过VLAN路由实现接入端口101所属的受控VLAN与目标VLAN之间的终端设备32能跨VLAN通信,将端口101所属的受控VLAN转换为正常VLAN;
如果接入设备30为常规级联设备,获取接入设备30的VLAN权限要求,依据VLAN权限要求及端口101,获取端口101所在的所有VLAN,并将所有VLAN都作为目标VLAN,然后发送指令至管理型交换机200要求将端口101划分至所有目标VLAN中;在目标VLAN的数量大于1的情况下,发送指令至管理型交换机200要求分别在各个目标VLAN中设置端口101的多VLAN共享特性标签。
接入权限维持及检测模块4持续检测并维持端口101当前VLAN状态的具体实现方式可以为:
如果接入设备30为终端设备32或特殊级联设备,发送指令至管理型交换机200持续检测目标VLAN的端口数据,一旦发现目标VLAN中没有该端口101,则发送指令至管理型交换机200要求重新将端口101划分至目标VLAN中;
如果在授权时,是通过VLAN路由技术建立接入设备30与目标终端设备之间的跨VLAN通信通道,发送指令至管理型交换机200持续检测跨VLAN数据,一旦发现VLAN通信通道断开,则发送指令至管理型交换机200要求重新建立接入设备30与目标终端设备之间的跨VLAN通信通道,确保接入设备30与目标终端设备之间能正常通信;
如果接入设备30为常规级联设备,依据VLAN设计数据以及端口101,获取该端口101所在的所有VLAN,形成VLAN集合,将VLAN集合中的所有VLAN作为目标VLAN,发送指令至管理型交换机200要求持续检测所有目标VLAN的端口列表,判断所有目标VLAN中是否包含有该端口101,如果发现有一个目标VLAN的端口列表中没有包含该端口,则发送指令至管理型交换机200要求将该端口101按照VLAN设计数据要求划分至目标VLAN中,以维持端口101的VLAN状态不变;在目标VLAN的数量大于1的情况下,一旦发现任意目标VLAN中的端口101没有多VLAN共享特性标签,则发送指令至管理型交换机200要求设置目标VLAN中端口10的多VLAN共享特性标签;
其目的是确保维持接入设备30的权限过程中,端口VLAN不会受到其它方的变更而导致接入设备30丢失接入权限。
接入权限维持及检测模块4持续检测端口101的碰撞统计数据的具体实现方式可以为:
发送指令至管理型交换机200,持续检测端口101的碰撞统计数据并判断碰撞统计数据是否大于阈值。
接入权限维持及检测模块4持续检测接入设备30的身份状态是否有效的具体实现方式可以为:
如果接入设备30为终端设备32,在未采用端口MAC地址过滤规则的情况下,发送指令至管理型交换机200持续检测端口101的动态MAC地址列表,判断动态MAC地址列表中是否仅包括接入设备30的MAC地址,并持续地周期性认证接入设备30的身份是否失败;在采用端口MAC地址过滤规则且仅允许接入设备30的MAC地址的情况下,持续地周期性认证接入设备30的身份是否失败;
其作用是防止未经身份认证的接入设备30通过仿冒授权接入设备30的MAC地址获得与授权接入设备相同的接入权限;
如果接入设备30为级联设备31,发送指令至管理型交换机200以获取应用物理层信号特性绑定端口101与接入设备30的结果,判断绑定是否成功;其作用是防止接入设备30为级联设备31的情况下,未经身份认证授权的接入设备30通过在端口101与接入设备30之间插入非管理型交换机获得与接入设备30相同的接入权限。
接入权限维持及检测模块4持续检测接入设备30在线状态的具体实现方式可以为:
通过网络获取管理型交换机200的端口101的link连接状态是否为断开连接。
接入权限维持及检测模块4判断是否应撤销接入设备30的接入权限的具体实现方式可以为:
如果端口101的碰撞统计数据大于阈值;或接入设备30为终端设备32且未采用端口MAC地址过滤情况下,端口101的动态MAC地址列表中不止包括接入设备30的MAC地址或接入设备30的MAC地址失效,或在持续认证接入设备30的身份过程中出现身份认证结果为失败;或接入设备30为终端设备32且应用了端口MAC地址过滤规则的情况下,持续认证接入设备30的身份过程中出现身份认证结果为失败;或应用物理层信号特性绑定端口101与接入设备30的结果为失败,则应撤销接入设备30的接入权限。
接入权限撤销模块5依据端口101的类型将端口101划分至受控VLAN的具体实现方式为:
如果接入设备30为终端设备32或特殊级联设备,发送指令至管理型交换机200要求将端口101划分至受控VLAN中;
如果授权时将端口101所属的VLAN通过跨VLAN通信技术建立与目标VLAN的通讯通道而变更为正常VLAN的情况下,发送指令至管理型交换机200要求通过防火墙等技术切断端口101所属的VLAN与目标VLAN之间的通讯通道,将端口101所属的VLAN转换为受控VLAN;
如果接入设备30为常规级联设备,获取端口101的所有VLAN,发送指令至管理型交换机200要求将端口101重新划分至受控VLAN中,并将端口101从所有VLAN中删除,取消端口101的多VLAN共享特性标签;
将端口101变更为受控端口。
管理型交换机200依据端口绑定指令绑定端口101与接入设备30的具体实现方式可以为:
应用物理层信号特性绑定端口101与接入设备30。
管理型交换机200依据端口绑定指令绑定端口101与接入设备30的实现方式还可以为:
获取接入设备30的MAC地址,应用端口MAC地址过滤规则,设定允许MAC地址列表中仅包括接入设备30的MAC地址。
管理型交换机200依据端口绑定指令绑定端口101与接入设备30的具体实现方式还可以为:
获取接入设备30的MAC地址,持续获取端口101的动态MAC地址列表,判断动态MAC地址列表中是否仅包括接入设备30的MAC地址,并发送判断结果至端口绑定控制模块2。
管理型交换机200包括交换功能管理模块6、管理型交换芯片20和PHY模块8。
PHY模块8除了正常普通用途之外,还用于应用物理层信号特性绑定端口101与接入设备30并判断绑定是否成功。
管理型交换芯片20用于基本的数据交换,并提供相关的芯片管理接口。
通过实施本发明具体实施例描述的设备接入权限控制方法、装置及系统的技术方案,能够产生如下技术效果:
本发明具体实施例描述的设备接入权限控制方法、装置及系统,通过获取接入设备的权限控制基础数据,绑定通过身份认证的接入设备与所接入的端口,将端口划分至依据接入权限要求数据对应的VLAN中,持续检测并维持端口当前VLAN状态,持续检测端口的碰撞统计数据,持续检测接入设备身份状态是否有效,持续检测接入设备的在线状态,一旦发现端口的碰撞统计数据大于阈值或接入设备身份状态失效或接入设备离线,将端口划分至受控VLAN并取消端口与接入设备的绑定等严密过程,实现了接入权限的严格控制,达到只有通过身份认证的接入设备才能够接入的目的。本发明能够有效防止未经身份认证的接入设备通过嫁接(在授权级联设备与级联端口之间接入非管理型交换机、集线器等设备)、伪造MAC、共享授权端口等技术手段接入以太网网络中,达到了提高以太网网络中的终端设备安全性的目的。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭示如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明的精神实质和技术方案的情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同替换、等效变化及修饰,均仍属于本发明技术方案保护的范围。
Claims (15)
1.一种设备接入权限控制方法,用于接入设备(30)的权限控制,其特征在于,包括以下步骤:
S101)获取接入设备(30)的权限控制基础数据,所述接入设备(30)的权限控制基础数据至少包括接入权限要求数据、所述接入设备(30)所接入端口(101)的标识、类型;
S102)绑定所述端口(101)与接入设备(30)并判断绑定是否成功;
S103)如果绑定成功,依据接入的端口(101)类型及接入权限要求数据,授权所述接入设备(30)的接入;
S104)持续检测并维持所述端口(101)的当前VLAN状态,持续检测所述端口(101)的碰撞统计数据,持续检测所述接入设备(30)的身份状态是否有效,持续检测所述接入设备(30)的在线状态;
S105)判断是否应撤销所述接入设备(30)的接入权限,包括判断所述接入设备(30)所接入的端口(101)碰撞统计数据是否大于阈值、接入设备(30)的身份状态是否失效、接入设备是否离线;
S106)如果满足撤销所述接入设备(30)接入权限的任一条件,则依据端口(101)的类型,将所述端口(101)划分至受控VLAN;
S107)取消所述端口(101)与接入设备(30)的绑定。
2.根据权利要求1所述的设备接入权限控制方法,其特征在于,在所述步骤S101)中,获取所述接入设备(30)权限控制基础数据的过程包括:
获取所述接入设备(30)的身份认证信息;
依据所述接入设备(30)的身份认证信息,从本地或远程,直接或间接地获取所述接入设备(30)的身份认证密钥与认证规则,认证所述接入设备(30)的身份。
3.一种设备接入权限控制方法,用于接入设备(30)的权限控制,其特征在于,包括以下步骤:
S201)接入权限初始化;
S202)监测接入设备(30)的身份认证信息;
S203)判断是否获取到接入设备(30)的身份认证信息,如果接收到所述接入设备(30)的身份认证信息到则跳转至步骤S204),否则跳转至步骤S202);
S204)判断认证所述接入设备(30)的身份是否成功,如果验证通过跳转至步骤S205),否则跳转至步骤S202);
S205)绑定端口(101)与所述接入设备(30),并判断绑定所述端口(101)与接入设备(30)是否成功,如果成功则跳转至步骤S206),否则跳转至步骤S202);
S206)完成所述接入设备(30)的接入授权;
S207)持续检测并维持所述端口(101)的当前VLAN状态;
S208)持续检测是否应维持所述接入设备(30)的授权状态,如果是则跳转至步骤S207),否则跳转至步骤S209);
S209)依据所述端口(101)的类型,将所述端口(101)划分至受控VLAN,撤销所述接入设备(30)的接入权限;
S210)取消所述端口(101)与接入设备(30)的绑定。
4.根据权利要求1、2或3所述的设备接入权限控制方法,其特征在于,在所述步骤S101)之前,或所述步骤S201)中进一步的包括以下过程:
创建所有VLAN,将所有VLAN划分为受控VLAN与正常VLAN,所述接入设备(30)所接入的端口(101)划分为受控端口和授权端口;
将所有受控端口分别划分至相应的受控VLAN中,将所有授权端口分别划分至相应的正常VLAN中;
取消所有受控端口的MAC地址过滤规则,允许所有源MAC地址的接入设备(30)均能够接入至受控端口。
5.根据权利要求4所述的设备接入权限控制方法,其特征在于,所述步骤S102)或步骤S205)中,绑定所述端口(101)与接入设备(30)并判断绑定是否成功的过程包括以下任意一种方法:
(i)应用物理层信号特性绑定所述端口(101)与接入设备(30);
(ii)如果所述端口(101)为非级联端口,获取所述接入设备(30)的MAC地址,应用端口MAC地址过滤规则,设定允许MAC地址列表中仅包括所述接入设备(30)的MAC地址,否则应用物理层信号特性绑定所述端口(101)与接入设备(30);
(iii)如果所述端口(101)为非级联端口,持续检测所述端口(101)的动态MAC地址列表,是否仅包括该接入设备(30)的MAC地址,否则应用物理层信号特性绑定所述端口(101)与接入设备(30)。
6.根据权利要求5所述的设备接入权限控制方法,其特征在于,所述步骤S103)或步骤S206)中,依据接入的端口(101)类型及接入权限要求数据,授权所述接入设备(30)接入的过程进一步包括:
如果所述接入设备(30)为终端设备(32)或特殊级联设备,获取所述接入设备(30)所接入端口(101)的标志数据、所述接入设备(30)的权限所对应的目标VLAN,将所述端口(101)划分至目标VLAN中;
如果所述接入设备(30)为临时终端设备,通过调整所述接入设备(30)所接入的端口(101)与目标终端设备之间的通信关系,建立接入所述端口(101)的接入设备(30)与目标终端设备之间的通信通道;
建立所述接入设备(30)与目标终端设备之间的通信通道,包括:
依据所述接入设备(30)的访问权限,获取目标VLAN编号,将所述接入设备(30)所接入的端口(101)划分至目标VLAN中;或依据所述接入设备(30)的访问权限,获取目标VLAN编号,通过VLAN路由实现所述接入端口(101)所属的受控VLAN与目标VLAN之间的终端设备(32)能跨VLAN通信,将所述端口(101)所属的受控VLAN转换为正常VLAN;
如果所述接入设备(30)为常规级联设备,获取所述接入设备(30)的VLAN权限要求,依据VLAN权限要求以及所述端口(101),获取所述端口(101)所在的所有VLAN,并将所有VLAN都作为目标VLAN,再将所述端口(101)划分至所有目标VLAN中;在目标VLAN数量大于1的情况下,分别在各个所述目标VLAN中设置所述端口(101)的多VLAN共享特性标签。
7.根据权利要求6所述的设备接入权限控制方法,其特征在于,所述步骤S104)或步骤S207)中,持续检测并维持所述端口(101)当前VLAN状态的过程进一步包括:
如果接入设备(30)为终端设备(32)或特殊级联设备,则持续检测目标VLAN的端口数据,一旦发现目标VLAN中没有所述端口(101),则重新将所述端口(101)划分至所述目标VLAN中;
如果在授权时,是通过VLAN路由建立所述接入设备(30)与其它终端设备(32)之间的跨VLAN通信通道,则持续检测跨VLAN数据,一旦发现VLAN通信通道断开,则重新建立所述接入设备(30)与目标终端设备之间的跨VLAN通信通道,确保所述接入设备(30)与目标终端设备之间能正常通信;
如果接入设备(30)为常规级联设备,则依据VLAN权限要求以及所述端口(101),获取所述端口(101)所在的所有VLAN,将所有VLAN作为目标VLAN,持续检测所有目标VLAN的端口列表中是否包含有所述端口(101),一旦发现任意目标VLAN的端口列表中没有包含有所述端口(101),则将所述端口(101)依据VLAN设计数据要求划分至目标VLAN中,以维持所述端口(101)的VLAN状态不变;在目标VLAN数量大于1的情况下,一旦发现任意目标VLAN中所述端口(101)没有多VLAN共享特性标签,则设置目标VLAN中所述端口(101)的多VLAN共享特性标签。
8.根据权利要求7所述的设备接入权限控制方法,其特征在于,所述步骤S104)或步骤S207)中,持续检测所述接入设备(30)的身份状态是否有效的过程进一步包括以下任意一种方法:
(i)持续应用物理层信号特性绑定所述端口(101)与接入设备(30),持续检测是否成功绑定所述端口(101)与接入设备(30);
(ii)若所述端口(101)为非级联端口,则获取所述接入设备(30)的MAC地址,在应用端口MAC地址过滤规则且仅允许所述接入设备(30)的MAC地址的情况下,或持续检测所述端口(101)的动态MAC地址列表,检测是否仅包括所述接入设备(30)的MAC地址的情况下,持续地周期性认证所述接入设备(30)的身份是否有效;
若所述端口(101)为级联端口,则持续应用物理层信号特性绑定所述端口(101)与接入设备(30),并判断是否成功绑定所述端口(101)与接入设备(30);
(iii)若所述端口(101)为非级联端口,则获取所述接入设备(30)的MAC地址,在应用端口MAC地址过滤规则且仅允许所述接入设备(30)的MAC地址,或持续检测所述端口(101)的动态MAC地址列表,检测是否仅包括所述接入设备(30)的MAC地址的情况下,持续检测与所述接入设备(30)之间的TCP连接是否断开,TCP接收在线信息是否超时;
若所述端口(101)为级联端口,则持续应用物理层信号特性绑定所述端口(101)与接入设备(30),并判断是否成功绑定所述端口(101)与接入设备(30)。
9.根据权利要求8所述的设备接入权限控制方法,其特征在于,所述步骤S105)中判断是否应撤销所述接入设备(30)接入权限的过程,或步骤S208)中持续检测是否应维持所述接入设备(30)授权状态的过程进一步包括:
若所述端口(101)的碰撞统计数据小于阈值,且所述接入设备(30)的身份状态有效,且所述接入设备(30)在线,则继续判断是否应撤销所述接入设备(30)的接入权限;
若所述接入设备(30)所接入端口(101)的碰撞统计数据大于阈值,或所述接入设备(30)的身份状态失效,或所述接入设备(30)离线,则认定应撤销所述接入设备(30)的接入权限。
10.根据权利要求6、7、8或9所述的设备接入权限控制方法,其特征在于,所述步骤S106)或步骤S209)中,依据端口(101)的类型,将所述端口(101)划分至受控VLAN的过程进一步包括:
若所述端口(101)为非级联端口或特殊级联端口,则将所述端口(101)重新划分至受控VLAN中;
如果授权时将所述端口(101)所属的VLAN通过跨VLAN通信建立与目标VLAN的通讯通道而变更为正常VLAN的情况下,通过防火墙切断所述端口(101)所属的VLAN与目标VLAN之间的通讯通道,将所述端口(101)所属的VLAN转换为受控VLAN;
若所述端口(101)为常规级联端口,则获取包含所述端口(101)的所有VLAN,将所述端口(101)从所有VLAN中删除,并将所述端口(101)重新划分至受控VLAN中,取消所述端口(101)的多VLAN共享特性标签。
11.根据权利要求10所述的设备接入权限控制方法,其特征在于,所述步骤S107)或步骤S210)中,取消绑定所述端口(101)与接入设备(30)的过程包括以下任意一种方法:
(i)停止应用物理层信号特性绑定所述端口(101)与接入设备(30);
(ii)若所述端口(101)为非级联端口,则取消应用端口MAC地址过滤规则,允许所有接入设备(30)通过所述端口(101)获取接入权限;若所述端口(101)为级联端口,则停止应用物理层信号特性绑定所述端口(101)与接入设备(30);
(iii)若所述端口(101)为非级联端口,则停止获取所述端口(101)的动态MAC地址列表,取消通过检测端口(101)的动态MAC地址列表绑定所述端口(101)与接入设备(30);若所述端口(101)为级联端口,则停止应用物理层信号特性绑定所述端口(101)与接入设备(30);
(iv)若应用所述端口(101)的碰撞统计数据来检测是否应撤销绑定所述端口(101)与接入设备(30),则停止获取所述端口(101)的碰撞统计数据。
12.根据权利要求11所述的设备接入权限控制方法,其特征在于,判断所述接入设备(30)身份状态失效的过程包括以下任意一种方法:
(i)应用物理层信号特性绑定所述端口(101)与接入设备(30)失败;
(ii)若所述端口(101)为非级联端口,且周期性认证所述接入设备(30)的身份时出现身份认证失败,则认定所述接入设备(30)的身份状态失效;若所述端口(101)为级联端口,则应用物理层信号特性绑定所述端口(100)与接入设备(30)失败;
(iii)若所述端口(101)为非级联端口,且持续检测所述端口(101)的动态MAC地址列表中不止包括所述接入设备(30)的MAC地址或所述接入设备(30)的MAC地址失效,则认定所述接入设备(30)的身份状态失效;若所述端口(101)为级联端口,则应用物理层信号特性绑定所述端口(101)与接入设备(30)失败;
(iv)若所述端口(101)为非级联端口,且在采用TCP连接持续接收在线信号的情况下,与所述接入设备(30)之间的TCP连接断开,或TCP接收在线信息超时,则认定所述接入设备(30)的身份状态失效;若所述端口(101)为级联端口,则应用物理层信号特性绑定所述端口(101)与接入设备(30)失败。
13.基于权利要求1至12中任一项所述方法的设备接入权限控制装置,其特征在于,包括:
接入权限控制基础数据获取模块(1),用于获取接入设备(30)的权限控制基础数据,所述接入设备(30)的权限控制基础数据至少包括接入权限要求数据、接入设备(30)所接入端口(101)的标识、类型;
端口绑定控制模块(2),用于绑定所述端口(101)与接入设备(30)并判断绑定是否成功,并用于撤销所述端口(101)与接入设备(30)的绑定;
接入权限授权模块(3),用于依据接入的端口(101)类型及接入权限要求数据,将所述端口(101)划分至依据接入权限要求数据对应的VLAN中,或将所述端口所属VLAN调整为正常VLAN,完成所述接入设备(30)的接入授权;
接入权限维持及检测模块(4),用于持续检测并维持所述端口(101)的当前VLAN状态,持续检测所述接入设备(30)所接入的端口碰撞统计数据,持续检测所述接入设备(30)的身份状态是否有效,持续检测所述接入设备(30)的在线状态;并用于判断是否应撤销所述接入设备(30)的接入权限;
接入权限撤销模块(5),用于依据所述端口(101)的类型,将所述端口(101)划分至受控VLAN。
14.根据权利要求13所述的设备接入权限控制装置 ,其特征在于,设备接入权限控制装置(10)还包括:
交换功能管理模块(6),用于执行所述端口(101)与接入设备(30)的绑定任务;用于执行将所述端口(101)划分至依据接入权限要求数据对应的VLAN中;用于执行将所述端口(101)划分至受控VLAN;
PHY模块(7),用于通过物理层信号特性绑定所述端口(101)与接入设备(30),并判断该绑定是否成功。
15.基于权利要求1至12中任一项所述方法的设备接入权限控制系统,其特征在于,包括:
接入权限控制基础数据获取模块(1),用于通过以太网络获取接入设备(30)的权限控制基础数据,所述接入设备(30)的权限控制基础数据至少包括接入权限要求数据、所述接入设备(30)所接入端口(101)的标识、类型及管理型交换机(200)的标识;
端口绑定控制模块(2),用于通过以太网络发送绑定所述端口(101)与接入设备(30)的指令至所述管理型交换机(200),并通过以太网络获取该绑定是否成功的结果;并用于通过以太网络发送撤销绑定所述端口(101)与接入设备(30)的指令至所述管理型交换机(200);
接入权限授权模块(3),用于依据接入的端口(101)类型及接入权限要求数据,通过以太网络发送将所述端口(101)划分至依据接入权限要求数据对应的VLAN中,或将所述端口(101)所属VLAN调整为正常VLAN的指令发送至所述管理型交换机(200),完成所述接入设备(30)的接入授权;
接入权限维持及检测模块(4),用于通过以太网络持续检测并维持所述端口(101)当前的VLAN状态,通过以太网络持续检测所述端口(101)的碰撞统计数据,通过以太网络持续检测所述接入设备(30)的身份状态是否有效,通过以太网络持续检测所述接入设备(30)的在线状态;判断是否应撤销所述接入设备(30)的接入权限;
接入权限撤销模块(5),用于依据所述端口(101)的类型,通过以太网络发送将所述端口(101)划分至受控VLAN的指令,完成撤销所述接入设备(30)的接入权限;
管理型交换机(200),用于接收来自于所述端口绑定控制模块(2)的端口绑定指令,并依据端口绑定指令,绑定所述端口(101)与接入设备(30);将端口绑定结果发送至所述端口绑定控制模块(2);用于接收来自于所述接入权限授权模块(3)的接入授权指令,依据接入授权指令,将所述端口(101)划分至所述接入授权指令要求的VLAN中;用于接收来自于所述接入权限维持及检测模块(4)的权限维持及检测指令,依据权限维持指令维持所述端口(101)的VLAN状态,依据所述检测指令持续检测所述端口(101)的碰撞统计数据,持续检测所述接入设备(30)的身份状态是否有效,持续检测所述接入设备(30)的在线状态,并将检测结果通过以太网络发送至所述接入权限维持及检测模块(4),接收并依据撤销所述接入设备(30)接入权限的指令将所述端口(101)划分至受控VLAN,接收并依据所述端口绑定控制模块(2)的撤销绑定端口指令撤销所述端口(101)的绑定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810503055.2A CN108833362B (zh) | 2018-05-23 | 2018-05-23 | 一种设备接入权限控制方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810503055.2A CN108833362B (zh) | 2018-05-23 | 2018-05-23 | 一种设备接入权限控制方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108833362A CN108833362A (zh) | 2018-11-16 |
| CN108833362B true CN108833362B (zh) | 2021-05-07 |
Family
ID=64148589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810503055.2A Active CN108833362B (zh) | 2018-05-23 | 2018-05-23 | 一种设备接入权限控制方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108833362B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109361695B (zh) * | 2018-11-28 | 2021-11-19 | 深圳市万网博通科技有限公司 | 对网络接入的授权方法、装置、计算机设备和存储介质 |
| CN109561103B (zh) * | 2018-12-26 | 2021-09-21 | 北京城强科技有限公司 | 一种针对集线器的内网边界管控方法 |
| CN110933151A (zh) * | 2019-11-19 | 2020-03-27 | 联想(北京)有限公司 | 一种处理方法及第一电子设备 |
| CN114513300B (zh) * | 2021-12-27 | 2023-09-29 | 广州广哈通信股份有限公司 | 一种鉴权认证方法、接入设备及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060498A (zh) * | 2007-06-22 | 2007-10-24 | 杭州华三通信技术有限公司 | 实现网关Mac绑定的方法、组件、网关和二层交换机 |
| CN103414885A (zh) * | 2013-08-22 | 2013-11-27 | 济南中维世纪科技有限公司 | 一种网络音视频监控系统的通信方法 |
| CN103684861A (zh) * | 2013-12-05 | 2014-03-26 | 北京星网锐捷网络技术有限公司 | 网络配置的处理方法和装置以及通信系统 |
| US8719917B1 (en) * | 2009-02-17 | 2014-05-06 | Juniper Networks, Inc. | Merging firewall filters using merge graphs |
| CN103795708A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 终端准入方法及系统 |
| CN106060040A (zh) * | 2016-05-30 | 2016-10-26 | 北京琵琶行科技有限公司 | 企业网络访问控制方法及装置 |
| CN107483277A (zh) * | 2017-09-28 | 2017-12-15 | 北京小米移动软件有限公司 | 端口管理方法及装置 |
-
2018
- 2018-05-23 CN CN201810503055.2A patent/CN108833362B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060498A (zh) * | 2007-06-22 | 2007-10-24 | 杭州华三通信技术有限公司 | 实现网关Mac绑定的方法、组件、网关和二层交换机 |
| US8719917B1 (en) * | 2009-02-17 | 2014-05-06 | Juniper Networks, Inc. | Merging firewall filters using merge graphs |
| CN103414885A (zh) * | 2013-08-22 | 2013-11-27 | 济南中维世纪科技有限公司 | 一种网络音视频监控系统的通信方法 |
| CN103684861A (zh) * | 2013-12-05 | 2014-03-26 | 北京星网锐捷网络技术有限公司 | 网络配置的处理方法和装置以及通信系统 |
| CN103795708A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 终端准入方法及系统 |
| CN106060040A (zh) * | 2016-05-30 | 2016-10-26 | 北京琵琶行科技有限公司 | 企业网络访问控制方法及装置 |
| CN107483277A (zh) * | 2017-09-28 | 2017-12-15 | 北京小米移动软件有限公司 | 端口管理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108833362A (zh) | 2018-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108833362B (zh) | 一种设备接入权限控制方法、装置及系统 | |
| CN100499554C (zh) | 网络准入控制方法及网络准入控制系统 | |
| US20060224897A1 (en) | Access control service and control server | |
| CN113596009B (zh) | 零信任访问方法、系统、零信任安全代理、终端及介质 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| JP2008053808A (ja) | 無線端末を認証する認証システム及び認証方法 | |
| EP1760988A1 (en) | Multi-level and multi-factor security credentials management for network element authentication | |
| KR102463051B1 (ko) | 선박 네트워크 접근제어 방법 및 장치 | |
| CN102377740A (zh) | 一种工业访问控制方法及装置 | |
| US20220247744A1 (en) | System and method for secure onboarding of network devices | |
| US20220312202A1 (en) | Authenticating a device in a communication network of an automation installation | |
| CN115250203A (zh) | 一种控制设备准入的方法、装置及相关产品 | |
| JP2007208759A (ja) | Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム | |
| US10298588B2 (en) | Secure communication system and method | |
| CN101631078B (zh) | 一种端点准入防御中的报文控制方法及接入设备 | |
| CN102316119B (zh) | 一种安全控制方法和设备 | |
| Braband | What's Security Level got to do with Safety Integrity Level? | |
| CN105471905B (zh) | 一种堆叠系统中aaa的实现方法及系统 | |
| KR102075514B1 (ko) | 차량용 네트워크 보안장치 | |
| CN111865998A (zh) | 网络安全区登录方法及装置 | |
| CN116886343A (zh) | 一种基于持续认证的用户访问控制方法及系统 | |
| KR20150114921A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
| CN112367188B (zh) | 一种基于零信任模型的私有化安全系统及实现方法 | |
| CN102082729B (zh) | 接入层交换机端口安全控制方法及交换机 | |
| CN109922058B (zh) | 一种防止非法访问内网的内网保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |