(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211178914.8 (22)申请日 2022.09.27 (65)同一申请的已公布的文献号 申请公布号 CN 115296926 A (43)申请公布日 2022.11.04 (73)专利权人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 刘威　范渊　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 陈建平 (51)Int.Cl. H04L 9/40(2022.01)审查员 王勇 (54)发明名称 一种网络流 量管控方法、 装置、 设备及 介质 (57)摘要 本申请公开了一种网络流量管控方法、 装 置、 设备及介质， 涉及网络技术领域。 方法应用于 二层交换机， 通过对 连接的各终端设备进行入网 认证； 其中， 终端设备至少包含设置有零信任终 端的PC； 与零信任控制器共同对通过入网认证的 PC进行单包认证； 若PC通过单包认证， 则接收零 信任控制器发送的资源访问权限清单； 发送资源 访问权限清单至PC， 以用于PC中的零信任终端接 管二层网络的流量代理与管控。 由此可知， 上述 方案通过二层交换机和零信任控制器对PC中零 信任终端进行入网认证和单包认证， 在通过认证 后赋予了零信任终端二层网络资源访问权限； 通 过零信任终端即可实现二层网络资源的访问流 量管控， 提升 了二层网络资源访问的安全性。 权利要求书2页 说明书8页 附图3页 CN 115296926 B 2022.12.27 CN 115296926 B 1.一种网络流 量管控方法， 其特 征在于， 应用于二层交换机； 所述方法包括： 对连接的各终端设备进行入网认证； 其中， 所述终端设备至少包含设置有零信任终端 的PC； 与零信任 控制器共同对通过 所述入网认证的所述PC进行 单包认证； 若所述PC通过 所述单包认证， 则接收所述 零信任控制器发送的资源访问权限清单； 发送所述资源访问权限清单至所述PC， 以用于所述PC中的所述零信任终端接管二层网 络的流量代理与管控。 2.根据权利要求1所述的网络流量管控方法， 其特征在于， 所述对连接的各终端设备进 行入网认证包括： 当所述终端设备为设置有所述零信任终端的所述PC时， 接收所述PC通过所述零信任终 端进行环境感知生成并发送的设备信息； 发送所述设备信 息至所述零信任控制器， 以用于所述零信任控制器根据 所述设备信 息 对所述PC进行入网认证， 并返回认证结果。 3.根据权利要求2所述的网络流量管控方法， 其特征在于， 所述接收所述PC通过所述零 信任终端 进行环境感知生成并发送的设备信息包括： 通过基于局域网的扩展认证协议接收所述设备信 息， 以用于将所述设备信 息通过基于 局域网的扩展认证协议发送至所述 零信任控制器。 4.根据权利要求1所述的网络流量管控方法， 其特征在于， 所述对连接的各终端设备进 行入网认证包括： 若所述终端设备还 包括哑终端， 则通过MAC旁路认证对所述哑终端 进行所述入网认证。 5.根据权利要求1所述的网络流量管控方法， 其特征在于， 所述零信任终端接管所述二 层网络的流 量代理与管控的具体过程包括： 根据所述资源访问权限清单生成本地 流量规划； 根据所述本地 流量规划对访问所述 二层网络中的所述终端设备的流 量进行控制。 6.根据权利要求5所述的网络流 量管控方法， 其特 征在于， 还 包括： 根据所述本地流量规划对访问三层及以上网络的业务系统 的流量进行控制， 或通过零 信任网关对访问三层 及以上网络的业 务系统的流 量进行管控。 7.根据权利要求1至6任意一项所述的网络流量管控方法， 其特征在于， 在所述对连接 的各终端设备进行入网认证之前， 还 包括： 判断连接的所述PC是否设置有所述 零信任终端； 若是， 则进入所述对连接的各终端设备进行入网认证的步骤； 若否， 则根据控制策略禁止所述PC的访问流 量。 8.一种网络流 量管控装置， 其特 征在于， 应用于二层交换机； 所述装置包括： 第一认证模块， 用于对连接的各终端设备进行入 网认证； 其中， 所述终端设备至少包含 设置有零信任终端的PC； 第二认证模块， 用于与零信任控制器共同对通过所述入网认证的所述PC进行单包认 证； 接收模块， 用于若所述PC通过所述单包认证， 则接收所述零信任控制器发送的资源访 问权限清单；权　利　要　求　书 1/2 页 2 CN 115296926 B 2发送模块， 用于发送所述资源访问权限清单至所述PC， 以用于所述PC中的所述零信任 终端接管二层网络的流 量代理与管控。 9.一种网络流 量管控设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至7任一项所述的网络流量管控 方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述的网络流量管控方 法的步骤。权　利　要　求　书 2/2 页 3 CN 115296926 B 3