(19)国家知识产权局
(12)发明 专利
(10)授权公告 号
(45)授权公告日
(21)申请 号 202211178914.8
(22)申请日 2022.09.27
(65)同一申请的已公布的文献号
申请公布号 CN 115296926 A
(43)申请公布日 2022.11.04
(73)专利权人 杭州安恒信息技 术股份有限公司
地址 310000 浙江省杭州市滨江区西兴街
道联慧街18 8号
(72)发明人 刘威 范渊
(74)专利代理 机构 北京集佳知识产权代理有限
公司 11227
专利代理师 陈建平
(51)Int.Cl.
H04L 9/40(2022.01)审查员 王勇
(54)发明名称
一种网络流 量管控方法、 装置、 设备及 介质
(57)摘要
本申请公开了一种网络流量管控方法、 装
置、 设备及介质, 涉及网络技术领域。 方法应用于
二层交换机, 通过对 连接的各终端设备进行入网
认证; 其中, 终端设备至少包含设置有零信任终
端的PC; 与零信任控制器共同对通过入网认证的
PC进行单包认证; 若PC通过单包认证, 则接收零
信任控制器发送的资源访问权限清单; 发送资源
访问权限清单至PC, 以用于PC中的零信任终端接
管二层网络的流量代理与管控。 由此可知, 上述
方案通过二层交换机和零信任控制器对PC中零
信任终端进行入网认证和单包认证, 在通过认证
后赋予了零信任终端二层网络资源访问权限; 通
过零信任终端即可实现二层网络资源的访问流
量管控, 提升 了二层网络资源访问的安全性。
权利要求书2页 说明书8页 附图3页
CN 115296926 B
2022.12.27
CN 115296926 B
1.一种网络流 量管控方法, 其特 征在于, 应用于二层交换机; 所述方法包括:
对连接的各终端设备进行入网认证; 其中, 所述终端设备至少包含设置有零信任终端
的PC;
与零信任 控制器共同对通过 所述入网认证的所述PC进行 单包认证;
若所述PC通过 所述单包认证, 则接收所述 零信任控制器发送的资源访问权限清单;
发送所述资源访问权限清单至所述PC, 以用于所述PC中的所述零信任终端接管二层网
络的流量代理与管控。
2.根据权利要求1所述的网络流量管控方法, 其特征在于, 所述对连接的各终端设备进
行入网认证包括:
当所述终端设备为设置有所述零信任终端的所述PC时, 接收所述PC通过所述零信任终
端进行环境感知生成并发送的设备信息;
发送所述设备信 息至所述零信任控制器, 以用于所述零信任控制器根据 所述设备信 息
对所述PC进行入网认证, 并返回认证结果。
3.根据权利要求2所述的网络流量管控方法, 其特征在于, 所述接收所述PC通过所述零
信任终端 进行环境感知生成并发送的设备信息包括:
通过基于局域网的扩展认证协议接收所述设备信 息, 以用于将所述设备信 息通过基于
局域网的扩展认证协议发送至所述 零信任控制器。
4.根据权利要求1所述的网络流量管控方法, 其特征在于, 所述对连接的各终端设备进
行入网认证包括:
若所述终端设备还 包括哑终端, 则通过MAC旁路认证对所述哑终端 进行所述入网认证。
5.根据权利要求1所述的网络流量管控方法, 其特征在于, 所述零信任终端接管所述二
层网络的流 量代理与管控的具体过程包括:
根据所述资源访问权限清单生成本地 流量规划;
根据所述本地 流量规划对访问所述 二层网络中的所述终端设备的流 量进行控制。
6.根据权利要求5所述的网络流 量管控方法, 其特 征在于, 还 包括:
根据所述本地流量规划对访问三层及以上网络的业务系统 的流量进行控制, 或通过零
信任网关对访问三层 及以上网络的业 务系统的流 量进行管控。
7.根据权利要求1至6任意一项所述的网络流量管控方法, 其特征在于, 在所述对连接
的各终端设备进行入网认证之前, 还 包括:
判断连接的所述PC是否设置有所述 零信任终端;
若是, 则进入所述对连接的各终端设备进行入网认证的步骤;
若否, 则根据控制策略禁止所述PC的访问流 量。
8.一种网络流 量管控装置, 其特 征在于, 应用于二层交换机; 所述装置包括:
第一认证模块, 用于对连接的各终端设备进行入 网认证; 其中, 所述终端设备至少包含
设置有零信任终端的PC;
第二认证模块, 用于与零信任控制器共同对通过所述入网认证的所述PC进行单包认
证;
接收模块, 用于若所述PC通过所述单包认证, 则接收所述零信任控制器发送的资源访
问权限清单;权 利 要 求 书 1/2 页
2
CN 115296926 B
2发送模块, 用于发送所述资源访问权限清单至所述PC, 以用于所述PC中的所述零信任
终端接管二层网络的流 量代理与管控。
9.一种网络流 量管控设备, 其特 征在于, 包括:
存储器, 用于存 储计算机程序;
处理器, 用于执行所述计算机程序时实现如权利要求1至7任一项所述的网络流量管控
方法的步骤。
10.一种计算机可读存储介质, 其特征在于, 所述计算机可读存储介质上存储有计算机
程序, 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述的网络流量管控方
法的步骤。权 利 要 求 书 2/2 页
3
CN 115296926 B
3
专利 一种网络流量管控方法、装置、设备及介质
安全报告 >
其他 >
文档预览
中文文档
14 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共14页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-18 16:41:16上传分享