CN115296926A - 一种网络流量管控方法、装置、设备及介质 - Google Patents
一种网络流量管控方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115296926A CN115296926A CN202211178914.8A CN202211178914A CN115296926A CN 115296926 A CN115296926 A CN 115296926A CN 202211178914 A CN202211178914 A CN 202211178914A CN 115296926 A CN115296926 A CN 115296926A
- Authority
- CN
- China
- Prior art keywords
- zero
- terminal
- authentication
- network
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络流量管控方法、装置、设备及介质,涉及网络技术领域。方法应用于二层交换机,通过对连接的各终端设备进行入网认证;其中,终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过入网认证的PC进行单包认证;若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单;发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知,上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证,在通过认证后赋予了零信任终端二层网络资源访问权限;通过零信任终端即可实现二层网络资源的访问流量管控,提升了二层网络资源访问的安全性。
Description
技术领域
本申请涉及网络技术领域,特别是涉及一种网络流量管控方法、装置、设备及介质。
背景技术
零信任代表了新一代的网络安全防护理念;基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。近年来,通过零信任终端进行远程办公的场景也是越来越多。但是,在涉及二层网络资源的安全管控上,传统的网络环境和传统的零信任系统解决方案均存在不足。
在传统零信任的实现方案中,流量的权限管控是由零信任网关完成,而网关的部署一般是和核心交换器串连在一起部署,使用这样的部署方式一方面是因为流量管控的需要,即只有网络流量必须经过零信任网关才能实现流量管控;另一方面是建设成本的问题,和核心交换机部署在一起而不是和二层(或非核心三层)交换机部署在一起可以减少零信任网关部署数量。因此,基于以上原因,二层网络的访问流量因为不流经零信任网关,所以传统零信任无法针对二层网络资源的访问流量进行管控。此外,在传统的二层网络环境中,只要终端连接网络就可以访问二层网络资源,这对资源来说会有严重的安全风险。
鉴于上述问题,如何实现二层网络资源的访问流量进行管控,并实现对二层网络资源的安全访问,是该领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种网络流量管控方法、装置、设备及介质,能够实现对二层网络资源的访问流量进行管控,并实现对二层网络资源的安全访问。
为解决上述技术问题,本申请提供一种网络流量管控方法,应用于二层交换机;所述方法包括:
对连接的各终端设备进行入网认证;其中,所述终端设备至少包含设置有零信任终端的PC;
与零信任控制器共同对通过所述入网认证的所述PC进行单包认证;
若所述PC通过所述单包认证,则接收所述零信任控制器发送的资源访问权限清单;
发送所述资源访问权限清单至所述PC,以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。
优选地,所述对连接的各终端设备进行入网认证包括:
当所述终端设备为设置有所述零信任终端的所述PC时,接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息;
发送所述设备信息至所述零信任控制器,以用于所述零信任控制器根据所述设备信息对所述PC进行入网认证,并返回认证结果。
优选地,所述接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息包括:
通过基于局域网的扩展认证协议接收所述设备信息,以用于作为中继将所述设备信息通过基于局域网的扩展认证协议发送至所述零信任控制器。
优选地,所述对连接的各终端设备进行入网认证包括:
若所述终端设备还包括哑终端,则通过MAC旁路认证对所述哑终端进行所述入网认证。
优选地,所述零信任终端接管所述二层网络的流量代理与管控的具体过程包括:
根据所述资源访问权限清单生成本地流量规划;
根据所述本地流量规划对访问所述二层网络中的所述终端设备的流量进行控制。
优选地,还包括:
根据所述本地流量规划对访问三层及以上网络的业务系统的流量进行控制,或通过零信任网关对访问三层及以上网络的业务系统的流量进行管控。
优选地,在所述对连接的各终端设备进行入网认证之前,还包括:
判断连接的所述PC是否设置有所述零信任终端;
若是,则进入所述对连接的各终端设备进行入网认证的步骤;
若否,则根据控制策略禁止所述PC的访问流量。
为解决上述技术问题,本申请还提供一种网络流量管控装置,应用于二层交换机;所述装置包括:
第一认证模块,用于对连接的各终端设备进行入网认证;其中,所述终端设备至少包含设置有零信任终端的PC;
第二认证模块,用于与零信任控制器共同对通过所述入网认证的所述PC进行单包认证;
接收模块,用于若所述PC通过所述单包认证,则接收所述零信任控制器发送的资源访问权限清单;
发送模块,用于发送所述资源访问权限清单至所述PC,以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。
为解决上述技术问题,本申请还提供一种网络流量管控设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述所述的网络流量管控方法的步骤。
为解决上述技术问题,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述所述的网络流量管控方法的步骤。
本申请所提供的网络流量管控方法,应用于二层交换机;通过对连接的各终端设备进行入网认证;其中,终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过入网认证的PC进行单包认证;若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单;发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知,上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证,在通过认证后赋予了零信任终端二层网络资源访问权限;通过零信任终端即可实现二层网络资源的访问流量管控,提升了二层网络资源访问的安全性。
此外,本申请实施例还提供了一种网络流量管控装置、设备及介质,效果同上。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络结构示意图;
图2为本申请实施例提供的一种网络流量管控方法的流程图;
图3为本申请实施例提供的一种网络流量管控装置的示意图;
图4为本申请实施例提供的一种网络流量管控设备的示意图。
其中,30为二层交换机,31为零信任控制器,32为PC,33为文件服务器,34为打印机,35为零信任网关,36为业务系统,37为核心交换机。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的核心是提供一种网络流量管控方法、装置、设备及介质。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
图1为本申请实施例提供的一种网络结构示意图。如图1所示,在传统零信任的实现方案中,流量的权限管控是由零信任网关35完成;零信任网关35和核心交换机37串连,减少了零信任网关35的部署数量;网络流量必须经过零信任网关35才能实现流量管控,因此无法对未部署零信任网关35的二层网络资源进行访问流量管控。因此,本申请实施例提供了一种网络流量管控方法,能够实现二层网络资源的访问流量管控。图2为本申请实施例提供的一种网络流量管控方法的流程图。方法应用于二层交换机30;如图2所示,方法包括:
S10:对连接的各终端设备进行入网认证。其中,终端设备至少包含设置有零信任终端的PC。
在具体实施中,首先对二级交换机连接的各终端设备进行入网认证,以确定各终端设备接入当前网络的合法性。本实施例中对于终端设备的具体类型不做限制,如图1所示,可包括打印机34、文件服务器33和个人计算机(Personal Computer,PC)32,根据具体的实施情况而定。
需要注意的是,为了通过零信任终端实现二层网络资源的访问流量管控,因此与二级交换机连接的终端设备应至少包含设置有零信任终端的PC。
此外,在入网认证过程,可通过访问控制和认证协议(802.1x)进行认证:802.1x协议是基于Client/Server的访问控制和认证协议;它可以限制未经授权的用户/设备通过接入端口(access port)访问局域网或无线局域网。在获得交换机或局域网提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许基于局域网的扩展认证协议数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
进一步地,还可通过MAC旁路认证(MAC Authentication Bypass,MAB)进行认证:MAC旁路认证是指在802.1X认证环境中,如果在接入控制设备发起的802.1X认证请求时向终端请求账号和密码而终端没有响应(802.1X认证失败),则再尝试MAC认证,即接入控制设备把终端的mac地址当作账号和密码发到RADIUS服务器进行认证。
本实施例中对于各终端设备入网认证的具体方式与过程不做限制,根据具体的实施情况而定。
S11:与零信任控制器共同对通过入网认证的PC进行单包认证。
进一步地,在设置有零信任终端的PC通过入网认证之后,如图1所示,通过二层交换机30和零信任控制器31对其进行单包认证(Single Packet Authorization,SPA)。需要注意的是,在完成入网认证之后,在完成单包认证之前,零信任终端对外发的业务流量进行本地阻断。
可以理解的是,为了保证设备的安全性,需要对关键开放端口进行保护。端口隐身是最常见的一种保护方式,可以通过端口敲门(Port Knocking,PK)、单包认证的方式实现。端口敲门通过设置一系列规则动态的调整防火墙的策略或执行特定命令。而单包认证可以看作是端口敲门的演进,两者具有相同的目标,但实现方式却有很大不同:端口敲门使用多个数据包进行敲门,而单包认证使用单个数据包进行访问申请,将所有必要信息集成在单个数据包内来简化流程,避免了敲门过程中因丢包等因素引起的失败。
因此,在网络中端口默认关闭的情况下,通过单包认证过程中发送包含认证信息的单个数据包来进行信息验证,从而降低被恶意攻击的风险。
S12:若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单。
S13:发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。
进一步地,当设置有零信任终端的PC通过单包认证后,零信任控制器确认该PC所具有的资源访问权限,并生成了资源访问权限清单;二层交换机接收零信任控制器发送的资源访问权限清单,并将其转发至设置有零信任终端的PC,使得零信任终端能够根据资源访问权限清单对二层网络中的资源访问流量进行控制,实现了二层网络的流量代理与管控。
本实施例中,通过对连接的各终端设备进行入网认证;其中,终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过入网认证的PC进行单包认证;若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单;发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知,上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证,在通过认证后赋予了零信任终端二层网络资源访问权限;通过零信任终端即可实现二层网络资源的访问流量管控,提升了二层网络资源访问的安全性。
在上述实施例的基础上,作为一种优选的实施例,对连接的各终端设备进行入网认证包括:
当终端设备为设置有零信任终端的PC时,接收PC通过零信任终端进行环境感知生成并发送的设备信息;
发送设备信息至零信任控制器,以用于零信任控制器根据设备信息对PC进行入网认证,并返回认证结果。
在具体实施中,在对设置有零信任终端的PC进行入网认证的过程中,PC中零信任终端启动进行环境感知,对当前PC的环境的安全风险进行评估;若确认PC的环境存在风险,则不再进行后续流程;若确认PC的环境不存在风险,则检测所在域、登录使用的域控账号、IP地址和mac地址等设备信息。二层交换机接收设备信息并将其发送至零信任控制器;零信任控制器会根据设备信息中的域控账号和自身提前内置的mac地址信息对设备信息进行认证,并返回认证结果至二层交换机,实现了设置有零信任终端的PC的入网认证。本实施例中对于二层交换机收发设备信息所使用的协议不做限制,根据具体的实施情况而定。
作为一种优选的实施例,接收PC通过零信任终端进行环境感知生成并发送的设备信息包括:
通过基于局域网的扩展认证协议接收设备信息,以用于作为中继将设备信息通过基于局域网的扩展认证协议发送至零信任控制器。
即在具体实施中,二层交换机可通过基于局域网的扩展认证协议(ExtensibleAuthentication Protocol OVER LAN,EAPOL)接收设备信息,并作为中继通过EAPOL将设备信息传输到零信任控制器进行认证。其中,EAPOL是基于802.1X网络访问认证技术发展而来的,能够做到最严格的准入控制,提升了网络接入的安全性。
在上述实施例的基础上,作为一种优选的实施例,对连接的各终端设备进行入网认证包括:
若终端设备还包括哑终端,则通过MAC旁路认证对哑终端进行入网认证。
在具体实施中,二层网络中还可包含哑终端(Dumb Terminal)。哑终端只有输入输出字符的功能,没有处理器或硬盘,通过串行接口联接主机,一切工作都要交给主机来做,例如图1中的打印机与文件服务器。由于哑终端无法安装和使用802.1X客户端,则在具体实施中需要通过MAC旁路认证对哑终端进行入网认证,以mac地址作为用户名和密码自动接入网络。
本实施例中,若终端设备还包括哑终端,则通过MAC旁路认证对哑终端进行入网认证,实现了哑终端的入网认证。
在上述实施例的基础上,作为一种优选的实施例,零信任终端接管二层网络的流量代理与管控的具体过程包括:
根据资源访问权限清单生成本地流量规划;
根据本地流量规划对访问二层网络中的终端设备的流量进行控制。
进一步地,在零信任终端获取到终端用户的资源访问权限清单后,接管了PC的流量代理,访问二层网络的终端设备的流量都被零信任终端代理。具体地,零信任终端根据资源访问权限清单生成本地流量规则,针对访问二层网络中的终端设备的流量可根据权限进行本地阻断或放行。
同时,作为一种优选的实施例,如图1所示,访问三层网络的业务系统36的流量也被零信任终端代理。在具体实施中可根据本地流量规划对访问三层及以上网络的业务系统的流量进行本地阻断或放行,也可通过零信任网关对访问三层及以上网络的业务系统的流量进行管控。
本实施例中,根据资源访问权限清单生成本地流量规划;根据本地流量规划能够对访问二层网络中的终端设备的流量和访问三层及以上网络的业务系统的流量进行控制,实现了网络流量管控。
在上述实施例的基础上,作为一种优选的实施例,在对连接的各终端设备进行入网认证之前,还包括:
判断连接的PC是否设置有零信任终端;
若是,则进入对连接的各终端设备进行入网认证的步骤;
若否,则根据控制策略禁止PC的访问流量。
可以理解的是,本实施例中的网络流量管控基于设置有零信任终端的PC。因此在对连接的各终端设备进行入网认证之前,还需要判断二层交换机所连接的PC是否设置有零信任终端。若是,则进入后续步骤;若否,则通过二层交换机的策略控制,禁止该PC的访问流量,提高了二层网络资源访问的安全性。
在上述实施例中,对于网络流量管控方法进行了详细描述,本申请还提供网络流量管控装置对应的实施例。
图3为本申请实施例提供的一种网络流量管控装置的示意图。装置应用于二层交换机;如图3所示,网络流量管控装置包括:
第一认证模块10,用于对连接的各终端设备进行入网认证。其中,终端设备至少包含设置有零信任终端的PC。
第二认证模块11,用于与零信任控制器共同对通过入网认证的PC进行单包认证。
接收模块12,用于若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单。
发送模块13,用于发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。
本实施例中,网络流量管控装置包括第一认证模块、第二认证模块、接收模块和发送模块。第一认证模块用于对连接的各终端设备进行入网认证;其中,终端设备至少包含设置有零信任终端的PC;第二认证模块用于与零信任控制器共同对通过入网认证的PC进行单包认证;接收模块用于若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单;发送模块用于发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知,上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证,在通过认证后赋予了零信任终端二层网络资源访问权限;通过零信任终端即可实现二层网络资源的访问流量管控,提升了二层网络资源访问的安全性。
图4为本申请实施例提供的一种网络流量管控设备的示意图。如图4所示,网络流量管控设备包括:
存储器20,用于存储计算机程序。
处理器21,用于执行计算机程序时实现如上述实施例中所提到的网络流量管控方法的步骤。
本实施例提供的网络流量管控设备可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理器(Digital Signal Processor,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器(CentralProcessing Unit,CPU);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有图形处理器(Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括人工智能(Artificial Intelligence,AI)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例公开的网络流量管控方法的相关步骤。另外,存储器20所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于网络流量管控方法涉及到的数据。
在一些实施例中,网络流量管控设备还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图4中示出的结构并不构成对网络流量管控设备的限定,可以包括比图示更多或更少的组件。
本实施例中,网络流量管控设备包括存储器与处理器。其中,存储器用于存储计算机程序;处理器用于执行计算机程序时实现如上述实施例中所提到的网络流量管控方法的步骤。通过对连接的各终端设备进行入网认证;其中,终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过入网认证的PC进行单包认证;若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单;发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知,上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证,在通过认证后赋予了零信任终端二层网络资源访问权限;通过零信任终端即可实现二层网络资源的访问流量管控,提升了二层网络资源访问的安全性。
最后,本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例中,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。通过对连接的各终端设备进行入网认证;其中,终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过入网认证的PC进行单包认证;若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单;发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知,上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证,在通过认证后赋予了零信任终端二层网络资源访问权限;通过零信任终端即可实现二层网络资源的访问流量管控,提升了二层网络资源访问的安全性。
以上对本申请所提供的一种网络流量管控方法、装置、设备及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种网络流量管控方法,其特征在于,应用于二层交换机;所述方法包括:
对连接的各终端设备进行入网认证;其中,所述终端设备至少包含设置有零信任终端的PC;
与零信任控制器共同对通过所述入网认证的所述PC进行单包认证;
若所述PC通过所述单包认证,则接收所述零信任控制器发送的资源访问权限清单;
发送所述资源访问权限清单至所述PC,以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。
2.根据权利要求1所述的网络流量管控方法,其特征在于,所述对连接的各终端设备进行入网认证包括:
当所述终端设备为设置有所述零信任终端的所述PC时,接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息;
发送所述设备信息至所述零信任控制器,以用于所述零信任控制器根据所述设备信息对所述PC进行入网认证,并返回认证结果。
3.根据权利要求2所述的网络流量管控方法,其特征在于,所述接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息包括:
通过基于局域网的扩展认证协议接收所述设备信息,以用于作为中继将所述设备信息通过基于局域网的扩展认证协议发送至所述零信任控制器。
4.根据权利要求1所述的网络流量管控方法,其特征在于,所述对连接的各终端设备进行入网认证包括:
若所述终端设备还包括哑终端,则通过MAC旁路认证对所述哑终端进行所述入网认证。
5.根据权利要求1所述的网络流量管控方法,其特征在于,所述零信任终端接管所述二层网络的流量代理与管控的具体过程包括:
根据所述资源访问权限清单生成本地流量规划;
根据所述本地流量规划对访问所述二层网络中的所述终端设备的流量进行控制。
6.根据权利要求5所述的网络流量管控方法,其特征在于,还包括:
根据所述本地流量规划对访问三层及以上网络的业务系统的流量进行控制,或通过零信任网关对访问三层及以上网络的业务系统的流量进行管控。
7.根据权利要求1至6任意一项所述的网络流量管控方法,其特征在于,在所述对连接的各终端设备进行入网认证之前,还包括:
判断连接的所述PC是否设置有所述零信任终端;
若是,则进入所述对连接的各终端设备进行入网认证的步骤;
若否,则根据控制策略禁止所述PC的访问流量。
8.一种网络流量管控装置,其特征在于,应用于二层交换机;所述装置包括:
第一认证模块,用于对连接的各终端设备进行入网认证;其中,所述终端设备至少包含设置有零信任终端的PC;
第二认证模块,用于与零信任控制器共同对通过所述入网认证的所述PC进行单包认证;
接收模块,用于若所述PC通过所述单包认证,则接收所述零信任控制器发送的资源访问权限清单;
发送模块,用于发送所述资源访问权限清单至所述PC,以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。
9.一种网络流量管控设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的网络流量管控方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络流量管控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211178914.8A CN115296926B (zh) | 2022-09-27 | 2022-09-27 | 一种网络流量管控方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211178914.8A CN115296926B (zh) | 2022-09-27 | 2022-09-27 | 一种网络流量管控方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115296926A true CN115296926A (zh) | 2022-11-04 |
| CN115296926B CN115296926B (zh) | 2022-12-27 |
Family
ID=83833653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211178914.8A Active CN115296926B (zh) | 2022-09-27 | 2022-09-27 | 一种网络流量管控方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115296926B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987701A (zh) * | 2023-03-20 | 2023-04-18 | 深圳万物安全科技有限公司 | 接入设备的管理方法、装置、终端设备及介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383835A (zh) * | 2008-10-21 | 2009-03-11 | 杭州华三通信技术有限公司 | 一种实现服务器安全隔离的方法及装置 |
| CN101668017A (zh) * | 2009-09-16 | 2010-03-10 | 杭州华三通信技术有限公司 | 一种认证方法和设备 |
| US20120304277A1 (en) * | 2011-05-26 | 2012-11-29 | Qing Li | System and Method for Building Intelligent and Distributed L2 - L7 Unified Threat Management Infrastructure for IPv4 and IPv6 Environments |
| CN106899500A (zh) * | 2016-12-16 | 2017-06-27 | 新华三技术有限公司 | 一种跨虚拟可扩展局域网的报文处理方法及装置 |
| US20180026987A1 (en) * | 2016-07-21 | 2018-01-25 | At&T Intellectual Property I, L.P. | Systems and methods for providing software defined network based dynamic access control in a cloud |
| US20180198786A1 (en) * | 2017-01-11 | 2018-07-12 | Pulse Secure, Llc | Associating layer 2 and layer 3 sessions for access control |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
| CN113572738A (zh) * | 2021-06-29 | 2021-10-29 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
| CN113992328A (zh) * | 2021-10-27 | 2022-01-28 | 北京房江湖科技有限公司 | 零信任传输层流量认证方法、装置及存储介质 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114756866A (zh) * | 2021-01-08 | 2022-07-15 | 腾讯科技(深圳)有限公司 | 动态安全防护的方法、装置、存储介质及电子设备 |
| US20220264299A1 (en) * | 2022-05-09 | 2022-08-18 | Intel Corporation | Virtual enterprise secure networking |
-
2022
- 2022-09-27 CN CN202211178914.8A patent/CN115296926B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383835A (zh) * | 2008-10-21 | 2009-03-11 | 杭州华三通信技术有限公司 | 一种实现服务器安全隔离的方法及装置 |
| CN101668017A (zh) * | 2009-09-16 | 2010-03-10 | 杭州华三通信技术有限公司 | 一种认证方法和设备 |
| US20120304277A1 (en) * | 2011-05-26 | 2012-11-29 | Qing Li | System and Method for Building Intelligent and Distributed L2 - L7 Unified Threat Management Infrastructure for IPv4 and IPv6 Environments |
| US20180026987A1 (en) * | 2016-07-21 | 2018-01-25 | At&T Intellectual Property I, L.P. | Systems and methods for providing software defined network based dynamic access control in a cloud |
| CN106899500A (zh) * | 2016-12-16 | 2017-06-27 | 新华三技术有限公司 | 一种跨虚拟可扩展局域网的报文处理方法及装置 |
| US20180198786A1 (en) * | 2017-01-11 | 2018-07-12 | Pulse Secure, Llc | Associating layer 2 and layer 3 sessions for access control |
| CN112100675A (zh) * | 2020-11-05 | 2020-12-18 | 南京云信达科技有限公司 | 一种零信任的数据存储访问方法及系统 |
| CN114756866A (zh) * | 2021-01-08 | 2022-07-15 | 腾讯科技(深圳)有限公司 | 动态安全防护的方法、装置、存储介质及电子设备 |
| CN113572738A (zh) * | 2021-06-29 | 2021-10-29 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
| CN113992328A (zh) * | 2021-10-27 | 2022-01-28 | 北京房江湖科技有限公司 | 零信任传输层流量认证方法、装置及存储介质 |
| CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| US20220264299A1 (en) * | 2022-05-09 | 2022-08-18 | Intel Corporation | Virtual enterprise secure networking |
Non-Patent Citations (4)
| Title |
|---|
| 叶水勇: "基于网络接入认证对终端设备的管控研究", 《电力信息与通信技术》 * |
| 孙瑞等: "基于多因素认证的零信任网络构建", 《金陵科技学院学报》 * |
| 林秀: "VPDN用户远程接入细粒度安全控制", 《电信快报》 * |
| 韩贞阳等: "基于软件定义网络的IaaS虚拟机通信访问控制方法", 《计算机应用》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987701A (zh) * | 2023-03-20 | 2023-04-18 | 深圳万物安全科技有限公司 | 接入设备的管理方法、装置、终端设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115296926B (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101455041B (zh) | 网络环境的检测 | |
| US10425419B2 (en) | Systems and methods for providing software defined network based dynamic access control in a cloud | |
| US8281363B1 (en) | Methods and systems for enforcing network access control in a virtual environment | |
| US20190097972A1 (en) | Document isolation | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| US20050055570A1 (en) | Multiple tiered network security system, method and apparatus using dynamic user policy assignment | |
| US20160142914A1 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| CN101416441A (zh) | 基于分层信任的姿态报告和策略实施 | |
| US9178884B2 (en) | Enabling access to remote entities in access controlled networks | |
| EP2790354B1 (en) | Security management system having multiple relay servers, and security management method | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| CN115296926B (zh) | 一种网络流量管控方法、装置、设备及介质 | |
| WO2018118365A1 (en) | Post-connection client certificate authentication | |
| CN110830446A (zh) | 一种spa安全验证的方法和装置 | |
| CN109981367A (zh) | 基于内网穿透的虚机paas服务管理的方法 | |
| CN106899561A (zh) | 一种基于acl的tnc权限控制方法和系统 | |
| CN109995769A (zh) | 一种多级异构跨区域的全实时安全管控方法 | |
| US20150143526A1 (en) | Access point controller and control method thereof | |
| CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
| Pradana et al. | The dhcp snooping and dhcp alert method in securing dhcp server from dhcp rogue attack | |
| Goni | Implementation of Local Area Network (lan) And Build A Secure Lan System For Atomic Energy Research Establishment (AERE) | |
| JP2008276457A (ja) | ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法 | |
| CN114244651A (zh) | 一种基于云桌面的远程办公实现系统及方法 | |
| JP2001014239A (ja) | 多重システム並列稼働計算機によるセキュリティシステム | |
| CN114124473B (zh) | 基于端口镜像的网络准入认证系统及认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |