[发明专利]一种设备接入权限控制方法、装置及系统

说明书

本发明提供了一种设备接入权限控制方法、装置及系统，包括：获取接入设备权限控制基础数据；绑定端口与接入设备并判断绑定是否成功；如果成功，依据接入端口类型及接入权限要求数据，授权接入设备；持续检测并维持端口当前VLAN状态，持续检测端口碰撞统计数据、接入设备身份状态是否有效、接入设备在线状态；判断是否应撤销接入设备接入权限，如果满足撤销条件，依据端口类型将端口划分至受控VLAN；取消端口与接入设备的绑定。通过应用本发明控制接入设备接入授权、防止非法接入、撤销授权等全过程，能确保合法接入设备能且仅能获取许可范围的接入权限，防止非法接入设备获得与授权设备相同的接入权限，大幅提高以太网终端设备的安全性。

技术领域

本发明涉及网络安全控制技术领域，尤其是涉及一种应用于以太网网络安全智能化控制的设备接入权限控制方法、装置及系统。

背景技术

随着信息网络技术的进步，以太网网络技术及相关产品与系统已快速、大量地应用至各行各业，并已成为信息化社会的基础设施。然而随之而来的是，各种网络安全隐患问题日益突出，其中最为突出的是接入设备接入至以太网端口的接入权限控制问题。

目前，在现有技术中，主要存在以下几种解决接入设备接入到以太网端口的接入权限控制问题的技术方案：

方案1为通过设置管理型交换机的端口MAC地址过滤规则控制接入设备的接入权限，管理型交换机的MAC地址过滤功能允许仅允许指定源MAC地址的报文进入交换机。

方案2为利用设备身份认证技术对接入设备的身份进行认证的方式控制接入设备的接入权限。

方案3为通过管理手段来解决接入设备接入权限的控制问题。

然而，上述技术方案分别存在相应的技术缺陷，无法彻底解决接入设备的接入权限控制问题。

方案1的缺陷在于：在制定了源MAC地址过滤规则之后，如果需要更换接入设备，则需要再次进行人工干预，重新设置源MAC地址过滤规则。这种方式效率低下，且无法防止非授权终端设备通过伪造源MAC地址顺利通过该端口的源MAC地址过滤规则而接入到网络中，无法防止级联设备之间接入非管理型交换机而带来的嫁接式接入入侵隐患，无法实质性地满足接入权限控制要求。同时，该方案无法防止非授权的临时终端设备接入网络中，无法控制临时终端设备的访问权限，从而对固定终端设备造成一定的安全隐患。方案1实现的接入权限控制存在明显的缺陷，无法实质性地解决设备接入权限控制的技术问题。

方案2的缺陷在于：如果接入设备不执行身份认证模块，不具备配合身份认证的能力，则可通过在成功完成身份认证的设备与所接入的端口之间接入一台非管理型交换机的方式顺利接入到该端口中，能获得授权设备同样的接入权限。方案2对于级联设备的接入无法进行接入权限控制，显然无法达到真正意义上的接入权限控制的目的。

方案3的缺陷在于：管理手段是人为的解决方法，管理手段的持续执行能力的高低决定了接入权限管控的力度，且管理手段是通过管理人员来执行的。如果管理人员的设备出现木马等病毒或管理不到位，接入权限失控的概率更大，在管理手段执行落实过程中存在诸多的安全漏洞，而且耗财耗力。

因此，在现有技术中，无论是终端设备还是级联设备，都是直接接入到以太网络中。在调试的时候，也是直接连接到以太网中即可访问网络中的设备。也有些项目或工程，应用VLAN进行隔离或应用端口的MAC地址过滤技术，在网络的实际运行中，任何设备都可以通过简单的仿造MAC地址便可接入到网络中。在这种粗放的接入权限控制手段情况下，以太网络中的终端设备完全暴露，毫无安全可言，会直接或间接地危害终端设备的安全正常运行，尤其是对于某些特种行业(例如轨道交通领域)，这种危害更为显著。

总而言之，目前尚未有一种技术手段能够达到彻底解决以太网接入设备的接入权限控制问题。

发明内容

有鉴于此，本发明的目的在于提供一种设备接入权限控制方法、装置及系统，以解决以太网端口所有接入设备接入权限控制的技术问题。