[发明专利]一种基于交换机端口管理的终端准入控制方法

权利要求书

1.一种基于交换机端口管理的终端准入控制方法，其特征在于，包括：

步骤一：新的终端接入网络后，通过交换机采集新接入的所述终端的身份信息；

步骤二：所述交换机提取所述终端的所述身份信息中的唯一标识；所述交换机将所述终端与所述交换机的端口关联起来；

步骤三：将所述唯一标识与服务器端的准入数据库中的MAC地址比对，在预先设置的所述准入数据库中进行查询，判断所述终端的身份信息；

若是在所述准入数据库中查询到所述唯一标识，则为合法的所述终端，不产生动作；

若是在所述准入数据库中查询不到所述唯一标识，则为不合法的所述终端或外部终端，立即关闭所述终端对应的所述交换机的端口，并记录关闭信息在所述准入数据库中；

步骤四：当再有新的终端接入网络时，加入到窗口期处理后；返回所述步骤一；

若没有新的终端接入网络，经过指定时间后自动打开被关闭的所述交换机的端口，使合法的所述终端正常使用曾经被关闭的所述交换机的端口；

所述窗口期是指下述时间段：在系统响应时间后，开启被关闭的所述交换机端口，持续所述系统响应时间后再关闭所述交换机端口，反复N次；使所述终端达到合法化。

2.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述交换机支持SNMP V1、SNMP V2或SNMP V3协议。

3.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述关闭信息包括所述终端对应的关闭的交换机端口、所述新的终端的MAC地址以及所述交换机端口关闭时间和开启时间的对应关系表。

4.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述N为设置值，所述N为1～99的自然数。

5.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述系统响应时间为1min～59min。

6.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述指定时间为设置值，所述指定时间为1min～59min。

7.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述步骤二中，所述唯一标识为MAC地址。

8.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述步骤二中，当所述终端与所述交换机的端口关联起来时，若出现一个所述交换机的端口对应两个或两个以上的所述MAC地址时，所述终端上接入了HUB，则关闭所述交换机的端口。

9.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述步骤二中，当所述终端与所述交换机的端口关联起来时，若合法的所述终端装有虚拟机并运行时，当出现一个所述交换机的端口对应两个或两个以上所述MAC地址时，其中一个所述MAC地址为所述终端的MAC地址，另外一个所述MAC地址为虚拟机的MAC地址；则根据内置在所述准入数据库中的MAC地址自动过滤所述虚拟机的MAC地址，再进行其余MAC地址的检测。

10.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述步骤三中，所述准入数据库包含：经所述终端的安全管理系统注册确认的所述终端的MAC地址、外部批量追加的所述终端的MAC地址以及人工录入的对日常增加的终端计算机和非计算机类节点的MAC地址。

11.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，所述准入数据库定期更新数据，所述定期更新的时间为90天。

12.根据权利要求1所述的基于交换机端口管理的终端准入控制方法，其特征在于，在所述终端设有客户端代理管理，所述终端安装所述客户端代理管理后，所述客户端代理管理采集所述终端的MAC地址并加密保存在所述终端，并同时上传给所述准入数据库进行备份。