CN114124473B - 基于端口镜像的网络准入认证系统及认证方法 - Google Patents
基于端口镜像的网络准入认证系统及认证方法 Download PDFInfo
- Publication number
- CN114124473B CN114124473B CN202111289846.8A CN202111289846A CN114124473B CN 114124473 B CN114124473 B CN 114124473B CN 202111289846 A CN202111289846 A CN 202111289846A CN 114124473 B CN114124473 B CN 114124473B
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- port
- network
- mirror image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于端口镜像的网络准入认证系统及认证方法,网络准入认证系统,包括:接入交换机、核心交换机及网络准入控制设备,接入交换机用于连接终端,包括PC终端和哑终端,核心交换机上配置有镜像源端口和镜像目的端口,接入交换机通过镜像源端口连接核心交换机,核心交换机通过镜像目的端口连接网络准入控制设备。本发明采用端口镜像认证模式可以将该端口的数据镜像到网络准入控制设备上,网络准入控制设备对数据流量进行解析,获取产生数据流量的终端信息,根据解析获取的终端信息,判断终端是否需要认证和当前准入状态,对需要认证的终端进行认证,认证成功后下发入网ACL,认证失败的保持阻断状态或下发阻断ACL。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于端口镜像的网络准入认证系统及认证方法。
背景技术
在一种比较复杂的网络环境下(单个接入端口下存在PC终端与哑终端混合部署),现有的准入方式无法很好的满足用户的网络准入需求,如以下实际案例:
客户的PC终端与哑终端接入在同一台二层傻瓜交换机,需要实现pc终端管控和哑终端同时认证入网。由于交换机无法在同一接口或vlan下配置两种认证方式(802.1x和mac认证)并一起生效,因此,推荐使用旁路部署的策略路由准入模式,但是经过安全评估后,需对核心做出修改(对流量进行引流),会改变客户现有的网络结构,后期会增加安全风险。
发明内容
本发明要解决的技术问题是如何在保证网络安全性的情况下,实现对PC终端和哑终端的网络准入认证,本发明提出一种基于端口镜像的网络准入认证系统及认证方法。
根据本发明实施例的基于端口镜像的网络准入认证系统,包括:
接入交换机,用于连接终端,包括PC终端和哑终端;
核心交换机,所述核心交换机上配置有镜像源端口和镜像目的端口,所述接入交换机通过所述镜像源端口连接所述核心交换机;
网络准入控制设备,所述核心交换机通过所述镜像目的端口连接所述网络准入控制设备。
根据本发明的一些实施例,当所述PC终端和所述哑终端通过多个所述交换机以跨交换机的方式连接至所述核心交换机时,所述镜像源端口为远程镜像端口。
在本发明的一些实施例中,所述网络准入控制设备中具有用于存储所述哑终端资产的资产列表。
根据本发明的一些实施例,所述核心交换机上配置有ACL规则,用于阻止未认证的终端访问资源。
根据本发明实施例的基于端口镜像的网络准入认证方法,所述方法采用如上所述的网络准入认证系统对终端进行网络准入认证,所述方法包括:
所述核心交换机通过所述镜像源端口和镜像目的端口,将接收的数据镜像到所述网络准入控制设备;
所述网络准入控制设备解析所述数据;
判断所述数据的来源终端是否在线;
若所述数据来源终端未在线,则判断所述终端类型,并根据所述终端类型对所述终端进行网络准入认证。
根据本发明的一些实施例,根据所述终端类型对所述终端进行网络准入认证包括:
当所述终端为哑终端时,判断资产列表中是否具有所述哑终端;
若所述哑终端在所述资产列表,则将所述哑终端加入在线列表;若所述哑终端不在所述资产列表,则认证失败。
在本发明的一些实施例中,根据所述终端类型对所述终端进行网络准入认证包括:
当所述终端为PC终端时,将所述PC终端重定向到登录认证页面进行准入认证;
若认证成功,则将所述PC终端加入所述在线列表;否则,认证失败。
根据本发明的一些实施例,当所述终端为PC终端时,所述网络准入控制设备进行包伪造,伪造TCP连接或DNS服务器应答,以将所述PC终端重定向到所述登录认证页面。
在本发明的一些实施例中,在判断所述终端是否在线前,所述方法还包括:
判断所述终端是否在白名单或黑名单;
若所述终端在白名单,则认证成功;若所述终端在黑名单,则认证失败;若所述终端既不在所述白名单,也不在所述黑名单,则判断所述终端是否在线。
根据本发明的一些实施例,所述网络准入控制设备解析所述数据获取的数据终端信息包括:IP、PORT及协议类型。
本发明提出的基于端口镜像的网络准入认证系统及认证方法具有如下优点:
实施配置简单:没有对交换机较复杂的配置,对交换机功能要求不高,只需能够端口镜像功能和ACL功能即可。
网络结构依赖低:可以在较复杂的网络环境下进行实施,对网络结构要求低,一般不需要对网络结构进行大的改造。
终端类型适用广:网络准入设备上录入了哑终端资产信息后,可以同时满足哑终端和PC终端的网络准入,有较广的适用性。
流量数据安全性较高:由于是镜像流量,不会对正常流量产生异常篡改,从而不会影响正常通信。
网络通信速度影响小:由于是镜像流量,正常流量数据的通信则不会产生影响,对网络通信速度影响较小。
不依赖于客户端:只需简单配置交换机和网络准入设备即可使用,不增加准入终端的资源消耗。
附图说明
图1为根据本发明实施例的基于端口镜像的网络准入认证系统网络拓扑图;
图2为根据本发明实施例的基于端口镜像的网络准入认证方法流程图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明中说明书中对方法流程的描述及本发明说明书附图中流程图的步骤并非必须按步骤标号严格执行,方法步骤是可以改变执行顺序的。而且,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
首先对本发明中涉及的技术术语进行如下介绍:
NAC(Network Admission Control,网络准入控制);
TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议);
DNS(Domain Name System,域名系统);
ACL(Access Control Lists,访问控制列表);
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议);
VLAN(Virtual Local Area Network,虚拟局域网路);
SNMP(Simple Network Management Protocol,简单网络管理协议)。
基于背景技术部分的介绍,由于客户网络环境和需求的特殊性,对于较复杂的网络中同时存在PC终端和哑终端,但交换机又不满足mac认证配置条件,无法满足网络准入需求。相关技术中通过802.1x网络准入方式、策略路由网络准入方式及Portal准入方式进行终端的网络准入认证。然而,现有相关技术存在如下缺陷:
对于802.1x网络准入方式,在部分网络中对交换机的要求较高,在部分较老的网络中,交换机并不能满足802.1x准入配置,且802.1x准入配置交换机较为复杂,802.1x准入方式几乎都需要依赖于准入客户端来完成的,因此,不能同时满足哑终端和PC终端的网络准入。
对于策略路由准入方式,准入终端的流量全部引流到NAC设备中,需要进行清洗、回注等操作,存在一定的时间损耗,终端对资源的访问速度存在一定的影响;同时在流量数据经过准入装置后,回注的数据是直接应用于网络通信的,数据可能存在一定的不安全性。
如相关技术文献中,提出一种基于白名单和约束集流控的视频监控安全接入方法,策略路由准入方式是将客户终端的数据流量通过交换机配置的策略路由引到NAC的路由口,进行流量清洗,符合规定的流量进行放行回注,不符合规定的流量进行重定向或丢弃,来实现对用户网络访问的控制。
对于Portal准入方式,依赖snmp trap消息获取终端信息,在网络准认证过程中,需要多个vlan之间切换,vlan切换过程中存在DHCP老化时间,认证过程较复杂,且交换机配置方面也较复杂,终端准入处理速度较缓慢,且不能支持哑终端的网络准入。
因此,需要一种新的网络准入模式来满足这种特殊场景需求,本发明提出一种基于端口镜像的网络准入认证系统及认证方法,无需改变网络结构、无需安装客户端的特性。
采用端口镜像认证模式可以将该端口的数据镜像到NAC上,NAC对数据流量进行解析,获取数据源(产生数据流量的终端)等信息,根据解析获取的终端信息,判断终端是否需要认证和当前准入状态,对需要认证的终端进行认证,认证成功后下发入网ACL,认证失败的保持阻断状态或下发阻断ACL。
如图1所示,根据本发明实施例的基于端口镜像的网络准入认证系统,包括:接入交换机、核心交换机及网络准入控制设备(NAC设备)。
接入交换机用于连接终端,包括PC终端和哑终端。核心交换机上配置有镜像源端口和镜像目的端口,接入交换机通过镜像源端口连接至核心交换机,核心交换机通过镜像目的端口连接网络准入控制设备。
根据本发明的一些实施例,当PC终端和哑终端通过多个交换机以跨交换机的方式连接至核心交换机时,镜像源端口为远程镜像端口。也就是说,若存在跨交换机的情况,可以配置远程端口镜像,目前市面常用交换机均可配置远程端口镜像。
在本发明的一些实施例中,网络准入控制设备中具有用于存储哑终端资产的资产列表。由此,可以通过资产列表对哑终端进行网络准入认证。
根据本发明的一些实施例,核心交换机上配置有ACL规则,用于阻止未认证的终端访问资源。
如图2所示,根据本发明实施例的基于端口镜像的网络准入认证方法,方法采用如上的网络准入认证系统对终端进行网络准入认证,方法包括:
S100,核心交换机通过镜像源端口和镜像目的端口,将接收的数据镜像到网络准入控制设备;
S200,网络准入控制设备解析数据;
S400,判断数据的来源终端是否在线;
S500,若数据来源终端未在线,则判断终端类型,并根据终端类型对终端进行网络准入认证。
根据本发明的一些实施例,步骤S500中,根据终端类型对终端进行网络准入认证包括:
S511,当终端为哑终端时,判断资产列表中是否具有哑终端;
S512,若哑终端在资产列表,则将哑终端加入在线列表;若哑终端不在资产列表,则认证失败。
在本发明的一些实施例中,步骤S300中,根据终端类型对终端进行网络准入认证包括:
S521,当终端为PC终端时,将PC终端重定向到登录认证页面进行准入认证;
S522,若认证成功,则将PC终端加入在线列表;否则,认证失败。
根据本发明的一些实施例,步骤S321中,当终端为PC终端时,网络准入控制设备进行包伪造,伪造TCP连接或DNS服务器应答,以将PC终端重定向到登录认证页面。
在本发明的一些实施例中,步骤S200中,在判断终端是否在线前,方法还包括:
S300,判断终端是否在白名单或黑名单;
S310,若终端在黑名单,则认证失败;
S320,若终端在白名单,则认证成功;
若终端既不在白名单,也不在黑名单,则判断终端是否在线。
根据本发明的一些实施例,网络准入控制设备解析数据获取的数据终端信息包括:IP、PORT及协议类型。
本发明提出的基于端口镜像的网络准入认证系统及认证方法具有如下优点:
实施配置简单:没有对交换机较复杂的配置,对交换机功能要求不高,只需能够端口镜像功能和ACL功能即可。
网络结构依赖低:可以在较复杂的网络环境下进行实施,对网络结构要求低,一般不需要对网络结构进行大的改造。
终端类型适用广:网络准入设备上录入了哑终端资产信息后,可以同时满足哑终端和PC终端的网络准入,有较广的适用性。
流量数据安全性较高:由于是镜像流量,不会对正常流量产生异常篡改,从而不会影响正常通信。
网络通信速度影响小:由于是镜像流量,正常流量数据的通信则不会产生影响,对网络通信速度影响较小。
不依赖于客户端:只需简单配置交换机和网络准入设备即可使用,不增加准入终端的资源消耗。
下面参照附图详细描述根据本发明的基于端口镜像的网络准入认证系统及认证方法。值得理解的是,下述描述仅是示例性描述,而不应理解为对本发明的具体限制。
本发明提出的基于端口镜像的网络准入认证系统及认证方法,采用端口镜像技术,是一种同时支持PC终端和哑终端进行网络准入方式,可以较好解决以下问题:
其他准入方式对网络结构要求较高,交换机配置复杂;不能同时满足哑终端和PC终端的网络准入;策略路由正常通信时通信数据必须经过NAC设备,通信数据存在一定的安全性隐患;准入过程中对客户端的依赖,本发明不依赖客户端。
本发明提出的基于端口镜像的网络准入认证系统的网络拓扑如图1所示:
准入终端配置静态IP,并接入到接入层交换机,正常情况下能够访问网络资源。
核心交换机上分别配置镜像源端口和和镜像目的端口,镜像目的端口接NAC的端口镜像口,镜像源端口接有准入终端的接入层交换机。
核心交换机上配置ACL规则,使未认证的终端无法正常访问资源。
配置网络准入控制设备(NAC设备),在有哑终端的网络中可以添加哑终端资产,开启端口镜像网络准入认证。
如图2所示,基于端口镜像的网络准入认证及认证方法主要工作包含,端口镜像、镜像数据分析、包伪造等,具体如下:
A100,端口镜像,通过交换机端口镜像功能,将交换机一个或多个端口上的数据镜像到NAC上,用于NAC解析获取终端信息;
A200,镜像数据解析,NAC对镜像来的数据进行解析,获取终端信息(包括IP、PORT、协议类型);
A300,根据终端信息查询黑白名单列表,判断该数据来源终端是否在黑白名单列表中;
A310,如果在黑名单中,则认证结束,表示认证失败;
A320,如果在白名单中,查询ACL下发状态,ACL若已下发,则认证成功并结束认证,若未下发ACL,则到第A700步,下发ACL;
A400,根据终端信息判断终端是否在线用户列表中,如果在线,则认证结束;若不在线则进行第A500步;
A500,判断终端类型,默认为PC终端,当在资产列表中资产类型为哑终端则为哑终端,并进行标记;
A510,根据标记若为哑终端,判断资产列表,是否已被删除,若不在资产列表,则认证结束;若在资产列表中,则进入第A600步;
A520,若为PC终端,根据第A200步解析获取的终端信息,进行包伪造,伪造TCP连接或者DNS服务器应答,从而实现包伪造和欺骗连接,然后重定向到登录认证web页面,引导用户进行认证,若认证成功则进入第A600步,若认证失败,则认证结束;
A600,根据解析的终端信息将认证终端加入在线列表。
A700,认证终端加入在线列表后,则下发认证成功的ACL规则。
A800,认证结束。
综上所述,本发明认证终端网络准入控制,通过端口镜像、流量分析、本地黑白名单、在线列表、资产列表、认证结果、ACL下发等多项功能模块协调工作,实现认证端的网络准入控制。
TCP,UDP,DNS等协议解析,通过协议解析实现流量分析,根据需求对未认证的终端,通过伪造TCP连接和DNS应答报文,实现重定向并引导进入准入认证登录web页面。
本发明提出的基于端口镜像的网络准入认证系统及认证方法具有如下优点:
实施配置简单:没有对交换机较复杂的配置,对交换机功能要求不高,只需能够端口镜像功能和ACL功能即可。
网络结构依赖低:可以在较复杂的网络环境下进行实施,对网络结构要求低,一般不需要对网络结构进行大的改造。
终端类型适用广:网络准入设备上录入了哑终端资产信息后,可以同时满足哑终端和PC终端的网络准入,有较广的适用性。
流量数据安全性较高:由于是镜像流量,不会对正常流量产生异常篡改,从而不会影响正常通信。
网络通信速度影响小:由于是镜像流量,正常流量数据的通信则不会产生影响,对网络通信速度影响较小。
不依赖于客户端:只需简单配置交换机和网络准入设备即可使用,不增加准入终端的资源消耗。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
Claims (7)
1.一种基于端口镜像的网络准入认证系统,其特征在于,包括:
接入交换机,用于连接终端,包括PC终端和哑终端;
核心交换机,所述核心交换机上配置有镜像源端口和镜像目的端口,所述接入交换机通过所述镜像源端口连接所述核心交换机;
网络准入控制设备,所述核心交换机通过所述镜像目的端口连接所述网络准入控制设备,所述网络准入控制设备中具有用于存储所述哑终端资产的资产列表,
所述核心交换机通过所述镜像源端口和镜像目的端口,将接收的数据镜像到所述网络准入控制设备;
所述网络准入控制设备解析所述数据;
判断所述数据的来源终端是否在线;
若所述数据来源终端未在线,则判断所述终端类型,根据所述终端类型对所述终端进行网络准入认证;
当所述终端为哑终端时,判断资产列表中是否具有所述哑终端;若所述哑终端在所述资产列表,则将所述哑终端加入在线列表,所述加入在线列表的哑终端认证成功;当所述终端为PC终端时,将所述PC终端重定向到登录认证页面进行准入认证;若认证成功,则将所述PC终端加入所述在线列表;否则,认证失败。
2.根据权利要求1所述的基于端口镜像的网络准入认证系统,其特征在于,当所述PC终端和所述哑终端通过多个所述交换机以跨交换机的方式连接至所述核心交换机时,所述镜像源端口为远程镜像端口。
3.根据权利要求1所述的基于端口镜像的网络准入认证系统,其特征在于,所述核心交换机上配置有ACL规则,用于阻止未认证的终端访问资源。
4.一种基于端口镜像的网络准入认证方法,其特征在于,所述方法采用如权利要求1-3中任一项所述的网络准入认证系统对终端进行网络准入认证,所述方法包括:
若所述哑终端不在所述资产列表,则认证失败。
5.根据权利要求4所述的基于端口镜像的网络准入认证方法,其特征在于,根据所述终端类型对所述终端进行网络准入认证包括:
当所述终端为PC终端时,所述网络准入控制设备进行包伪造,伪造TCP连接或DNS服务器应答,以将所述PC终端重定向到所述登录认证页面。
6.根据权利要求4所述的基于端口镜像的网络准入认证方法,其特征在于,在判断所述终端是否在线前,所述方法还包括:
判断所述终端是否在白名单或黑名单;
若所述终端在白名单,则认证成功;若所述终端在黑名单,则认证失败;若所述终端既不在所述白名单,也不在所述黑名单,则判断所述终端是否在线。
7.根据权利要求4-6中任一项所述的基于端口镜像的网络准入认证方法,其特征在于,所述网络准入控制设备解析所述数据获取的数据终端信息包括:IP、PORT及协议类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111289846.8A CN114124473B (zh) | 2021-11-02 | 2021-11-02 | 基于端口镜像的网络准入认证系统及认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111289846.8A CN114124473B (zh) | 2021-11-02 | 2021-11-02 | 基于端口镜像的网络准入认证系统及认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124473A CN114124473A (zh) | 2022-03-01 |
| CN114124473B true CN114124473B (zh) | 2024-02-02 |
Family
ID=80380230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111289846.8A Active CN114124473B (zh) | 2021-11-02 | 2021-11-02 | 基于端口镜像的网络准入认证系统及认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124473B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150143B (zh) * | 2022-06-24 | 2024-03-12 | 国家石油天然气管网集团有限公司 | 工控设备入网认证方法、装置、设备和存储介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1670205A1 (en) * | 2004-12-13 | 2006-06-14 | Alcatel | Method and apparatuses for pre-authenticating a mobile user to multiple network nodes using a secure authentication advertisement protocol |
| CN101075920A (zh) * | 2007-06-26 | 2007-11-21 | 中兴通讯股份有限公司 | 一种实现交换机端口远端监控的方法 |
| CN102075410A (zh) * | 2009-11-20 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种堆叠设备中的端口镜像方法和装置 |
| CN102271133A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和系统 |
| CN103812841A (zh) * | 2012-11-14 | 2014-05-21 | 华为技术有限公司 | 旁路认证方法、设备和系统 |
| CN105025016A (zh) * | 2015-06-30 | 2015-11-04 | 公安部第一研究所 | 一种内网终端准入控制方法 |
| CN106059802A (zh) * | 2016-05-25 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种终端接入认证方法及装置 |
| CN107332803A (zh) * | 2016-04-29 | 2017-11-07 | 北京北信源软件股份有限公司 | 一种基于终端主机安全状态的准入控制方法和系统 |
| CN107342903A (zh) * | 2017-07-18 | 2017-11-10 | 杭州敦崇科技股份有限公司 | 一种旁路认证和审计方法 |
| CN107517138A (zh) * | 2016-06-16 | 2017-12-26 | 中兴通讯股份有限公司 | 设备检测方法及装置 |
| CN109922160A (zh) * | 2019-03-28 | 2019-06-21 | 全球能源互联网研究院有限公司 | 一种基于电力物联网的终端安全接入方法、装置及系统 |
| CN209086928U (zh) * | 2018-10-26 | 2019-07-09 | 上海纽盾科技股份有限公司 | 一种数据库审计的部署结构 |
| CN110493195A (zh) * | 2019-07-23 | 2019-11-22 | 上海文化广播影视集团有限公司 | 一种网络准入控制方法及系统 |
| CN110808865A (zh) * | 2019-11-13 | 2020-02-18 | 北京理工大学 | 一种被动工控网络拓扑发现方法及工控网络安全管理系统 |
-
2021
- 2021-11-02 CN CN202111289846.8A patent/CN114124473B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1670205A1 (en) * | 2004-12-13 | 2006-06-14 | Alcatel | Method and apparatuses for pre-authenticating a mobile user to multiple network nodes using a secure authentication advertisement protocol |
| CN101075920A (zh) * | 2007-06-26 | 2007-11-21 | 中兴通讯股份有限公司 | 一种实现交换机端口远端监控的方法 |
| CN102075410A (zh) * | 2009-11-20 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种堆叠设备中的端口镜像方法和装置 |
| CN102271133A (zh) * | 2011-08-11 | 2011-12-07 | 北京星网锐捷网络技术有限公司 | 认证方法、装置和系统 |
| CN103812841A (zh) * | 2012-11-14 | 2014-05-21 | 华为技术有限公司 | 旁路认证方法、设备和系统 |
| CN105025016A (zh) * | 2015-06-30 | 2015-11-04 | 公安部第一研究所 | 一种内网终端准入控制方法 |
| CN107332803A (zh) * | 2016-04-29 | 2017-11-07 | 北京北信源软件股份有限公司 | 一种基于终端主机安全状态的准入控制方法和系统 |
| CN106059802A (zh) * | 2016-05-25 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种终端接入认证方法及装置 |
| CN107517138A (zh) * | 2016-06-16 | 2017-12-26 | 中兴通讯股份有限公司 | 设备检测方法及装置 |
| CN107342903A (zh) * | 2017-07-18 | 2017-11-10 | 杭州敦崇科技股份有限公司 | 一种旁路认证和审计方法 |
| CN209086928U (zh) * | 2018-10-26 | 2019-07-09 | 上海纽盾科技股份有限公司 | 一种数据库审计的部署结构 |
| CN109922160A (zh) * | 2019-03-28 | 2019-06-21 | 全球能源互联网研究院有限公司 | 一种基于电力物联网的终端安全接入方法、装置及系统 |
| CN110493195A (zh) * | 2019-07-23 | 2019-11-22 | 上海文化广播影视集团有限公司 | 一种网络准入控制方法及系统 |
| CN110808865A (zh) * | 2019-11-13 | 2020-02-18 | 北京理工大学 | 一种被动工控网络拓扑发现方法及工控网络安全管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124473A (zh) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1790980B (zh) | 安全验证通告协议 | |
| US20170078168A1 (en) | Micro-Segmenting Networked Device Controller | |
| Wendzel et al. | Covert channels and their prevention in building automation protocols: A prototype exemplified using BACnet | |
| US20050125697A1 (en) | Device for checking firewall policy | |
| MXPA06013129A (es) | Contencion automatizada de un invasor en redes. | |
| KR20020005440A (ko) | 미디어 억세스 제어 어드레스에 의한 통신제한 방법 | |
| JP4630896B2 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| CN114079971B (zh) | 业务流量管控方法、系统、dpi节点及存储介质 | |
| WO2008099403A2 (en) | A method and device for determining network device status | |
| CN109495431A (zh) | 接入控制方法、装置和系统、以及交换机 | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| CN114124473B (zh) | 基于端口镜像的网络准入认证系统及认证方法 | |
| EP1563664A1 (en) | Management of network security domains | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| KR101160219B1 (ko) | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 | |
| KR100717635B1 (ko) | 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템 | |
| KR100765340B1 (ko) | 가상의 인라인 네트워크 보안방법 | |
| CN114070830B (zh) | 互联网代理单臂部署架构、及互联网代理异地部署系统 | |
| CN115883216A (zh) | 通信系统安全防护方法、装置及电子设备 | |
| KR102412933B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 서비스를 제공하는 시스템 및 방법 | |
| CN111371765A (zh) | 基于链路阻断的在线异构通信方法及系统 | |
| CN115549974B (zh) | 专线业务的认证方法、装置以及电子设备 | |
| CN118802320A (zh) | 网络接入方法、装置、电子设备、存储介质及产品 | |
| CN118102297A (zh) | 一种基于5g切片的移动企业专线的构建方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |