(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211170685.5 (22)申请日 2022.09.23 (71)申请人 中孚安全技 术有限公司 地址 250101 山东省济南市高新区经十路 7000号汉峪金谷A1- 5号楼24层 申请人 北京中孚泰和科技发展股份有限公 司 (72)发明人 孟帅帅　李言非　刘洋洋　 (74)专利代理 机构 济南圣达知识产权代理有限 公司 372 21 专利代理师 黄海丽 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/12(2022.01) H04L 12/46(2006.01)H04L 101/695(2022.01) (54)发明名称 基于自动发现和交换设备联动的网络接入 控制方法及系统 (57)摘要 本公开提供了一种自动发现和交换设备联 动的网络接入控制方法及系统， 其属于网络接入 控制技术领域， 所述方案通过采用基于网络指纹 等更多维度信息的流量合法性校验， 同时， 基于 终端主动探测技术以及网络拓扑分析的方式， 实 现设备发现与交换机联动机制， 有效提高了网络 接入控制对不同场景的适应性及准确性。 权利要求书2页 说明书7页 附图4页 CN 115550020 A 2022.12.30 CN 115550020 A 1.一种基于自动发现和交换设备 联动的网络 接入控制方法， 其特 征在于， 包括： 通过交换机将与所述交换机连接的终端所访问的流 量转发至准入服 务器； 准入服务器通过匹配预设控网策略对数据包进行转发或丢弃， 实现网络 接入控制； 其中， 所述预设控网策略具体为： 对于终端上报到准入服务器的流量， 采用终端 网络指 纹分析方法进行分析， 获得当前终端唯一标识； 基于获得 的终端唯一标识与预先构建的图 数据库中的数据进行比对， 若比对失败则禁止当前终端网络接入， 并产生告警； 同时， 通过 默认网关的IP地址表及路由表获取当前网络下VLA N子网信息， 通过IP和子网掩码匹配所有 设备的VLAN子网信息； 基于IP与V LAN子网之间的对应 关系构建交换机与当前网络内各终端 的关系； 基于交换机与终端的关系实现对当前网络拓扑结构的分析， 当一个交换机端口下 出现多个设备时判定为非法接入设备， 并阻断其网络 接入。 2.如权利要求1所述的一种基于自动发现和交换设备联动的网络接入控制方法， 其特 征在于， 所述 终端网络指纹分析方法， 具体为： 基于终端上传到准入服务器中的流量进行终 端信息收集， 基于 收集的终端信息构建终端关系网络； 基于流量中标记的网络指纹标记对 所述终端关系网络进行标记处理， 并利用资产发现扫描以及端口作为辅助条件， 实现终端 关系图谱的构建； 基于所述终端关系图谱， 通过网格聚类确定终端唯一标识。 3.如权利要求2所述的一种基于自动发现和交换设备联动的网络接入控制方法， 其特 征在于， 所述终端关系网络以MAC地址为用户标识 节点， 以IP及硬 盘序列号关系为 边。 4.如权利要求1所述的一种基于自动发现和交换设备联动的网络接入控制方法， 其特 征在于， 所述图数据库中持久化有当前网络下已注册终端的终端信息， 包括IP、 MAC、 操作系 统、 开放端口、 服 务及版本、 浏览器信息、 设备名称以及工作组。 5.如权利要求1所述的一种基于自动发现和交换设备联动的网络接入控制方法， 其特 征在于， 所述网络指纹标识为终端在准入服务器中注册时， 准入服务器根据终端上传的终 端信息， 通过加密算法生成的唯一标识， 同时， 所述网络指纹标识在每个流量请求头报文中 进行标记。 6.如权利要求5所述的一种基于自动发现和交换设备联动的网络接入控制方法， 其特 征在于， 所述终端信息包括但 不限于设备IP、 MAC地址、 操作系统、 开放端口、 服务及版本、 浏 览器信息、 设备名称以及工作组。 7.一种基于自动发现和交换设备 联动的网络 接入控制系统， 其特 征在于， 包括： 数据获取单元， 其用于通过交换机将与 所述交换机连接的终端所访问的流量转发至准 入服务器； 网络接入控制单元， 其用于准入服务器通过匹配预设控 网策略对数据包进行转发或丢 弃， 实现网络 接入控制； 其中， 所述预设控网策略具体为： 对于终端上报到准入服务器的流量， 采用终端 网络指 纹分析方法进行分析， 获得当前终端唯一标识； 基于获得 的终端唯一标识与预先构建的图 数据库中的数据进行比对， 若比对失败则禁止当前终端网络接入， 并产生告警； 同时， 通过 默认网关的IP地址表及路由表获取当前网络下VLA N子网信息， 通过IP和子网掩码匹配所有 设备的VLAN子网信息； 基于IP与V LAN子网之间的对应 关系构建交换机与当前网络内各终端 的关系； 基于交换机与终端的关系实现对当前网络拓扑结构的分析， 当一个交换机端口下 出现多个设备时判定为非法接入设备， 并阻断其网络 接入。权　利　要　求　书 1/2 页 2 CN 115550020 A 28.如权利要求7所述的一种基于自动发现和交换设备联动的网络接入控制系统， 其特 征在于， 所述 终端网络指纹分析方法， 具体为： 基于终端上传到准入服务器中的流量进行终 端信息收集， 基于 收集的终端信息构建终端关系网络； 基于流量中标记的网络指纹标记对 所述终端关系网络进行标记处理， 并利用资产发现扫描以及端口作为辅助条件， 实现终端 关系图谱的构建； 基于所述终端关系图谱， 通过网格聚类确定终端唯一标识。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上运行的计算机程序， 所述处理 器执行所述程序时实现如权利要求 1‑6任一项所述的一种基于自动发现和交换设备联动的 网络接入控制方法。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被 处理器执行时实现如权利要求 1‑6任一项所述的一种基于自动发现和交换设备联动的网络 接入控制方法。权　利　要　求　书 2/2 页 3 CN 115550020 A 3