一种基于策略随行的网络权限控制方法、设备及介质与流程

1.本技术涉及通信技术领域，具体涉及一种基于策略随行的网络权限控制方法、设备及介质。


背景技术：

2.在园区网络内，网络管理员需要对用户的网络访问权限进行统一管理，需要用户按照事先规划好的网段和位置接入。现阶段，企业的网络不断得到建设与发展，传统园区网络的边界在逐渐消失，为了提高员工的工作效率，企业要求员工在网络可许范围内进行无规律性的移动。而在该种办公方式下，用户的接入位置会进行大范围移动，网络管理员往往需要重新给用户分配网络访问权限，给网络的管理及维护带来了极大的不方便。
3.因此，为解决上述问题，提出了一种有效的网络管理以及保障企业网络安全的方法，也就是策略随行。策略随行是指用户无论移动到哪里，用户的体验是不变的，其打破了传统网络受接入位置的限制，真正意义上体现了网随人动的特点。在此管理方式下，实现用户网络权限控制的途径在于：通过园区网络内部的sdn控制器进行交换机配置下发、终端设备的认证和相关执行策略的下发，核心交换机作为策略执行设备，汇聚交换机作为认证设备，而该种方式的缺点有如下几点：第一、认证点位于汇聚交换机，如果终端设备未认证成功，其仍然会收到同一接入交换机下其他终端设备发送过来的bum流量(广播、组播、未知单播流量)，无法实现终端设备流量之间的隔离。第二、sdn控制器必须依赖于认证结果进行网络权限的控制，灵活性较差，具有一定的使用限制。


技术实现要素：

4.为了解决上述问题，本技术提出了一种基于策略随行的网络权限控制方法，应用于预设的园区网络上，所述园区网络至少包括sdn控制器、多层级交换机和终端设备，所述方法包括：
5.将所述多层级交换机中用于接入所述终端设备的接入交换机作为认证设备，用于汇聚所述接入交换机的汇聚交换机作为策略执行设备；
6.根据所述园区网络外部是否设有认证服务器，确定用于对所述终端设备进行网络访问权限控制的控制策略；所述控制策略包括外部认证策略和内部白名单认证策略；
7.针对接入于所述认证设备的第一终端设备，基于所述内部白名单认证策略，控制所述认证设备根据所述sdn控制器下发的访问白名单配置信息，对所述第一终端设备进行网络访问权限控制；
8.针对向所述认证设备发送准入认证请求的第二终端设备，基于所述外部认证策略，生成所述第二终端设备对应的访问控制规则并下发至所述策略执行设备，以控制所述策略执行设备根据所述访问控制规则，对所述第二终端设备进行网络访问权限控制。
9.在本技术的一种实现方式中，控制所述认证设备根据所述sdn控制器下发的访问白名单配置信息，对所述第一终端设备进行网络访问权限控制，具体包括：
10.通过所述认证设备，从预设的接入设备缓存信息表中，获取所述第一终端设备的基本设备信息；所述基本设备信息至少包括以下任意一项或多项：媒体访问控制地址、接入接口、上下线时间；
11.根据所述基本设备信息确定所述第一终端设备上线时，对所述第一终端设备进行审计，以判断所述第一终端设备是否具有网络访问权限；
12.在所述第一终端设备具有所述网络访问权限时，向所述认证设备下发访问白名单配置信息，以使所述认证设备根据所述访问白名单配置信息对所述第一终端设备开放所述网络访问权限。
13.在本技术的一种实现方式中，生成所述所述第二终端设备对应的访问控制规则并下发至所述策略执行设备之前，所述方法还包括：
14.控制所述认证设备，将所述第二终端设备发送的准入认证请求发送至所述认证服务器，以使所述认证服务器确定所述第二终端设备对应的网络访问权限，并向所述认证设备反馈携带有所述网络访问权限的认证信息；
15.接收所述认证设备发送的第二终端设备对应的认证信息和基本设备信息，根据所述基本设备信息和所述认证信息，生成所述第二终端设备对应的访问控制规则。
16.在本技术的一种实现方式中，在所述第一终端设备具有所述网络访问权限时，向所述认证设备下发访问白名单配置信息，具体包括：
17.在所述第一终端设备具有所述网络访问权限时，将所述基本设备信息中的媒体访问控制地址作为标识符，生成所述第一终端设备对应的访问白名单配置信息，并将所述访问白名单配置信息下发至所述认证设备；所述访问白名单配置信息至少包括所述基本设备信息。
18.在本技术的一种实现方式中，获取所述第一终端设备的基本设备信息之后，所述方法还包括：
19.根据所述基本设备信息确定所述第一终端设备下线时，通过所述认证设备从其对应的白名单中，移除所述第一终端设备对应的访问白名单信息；并
20.根据所述媒体访问控制地址生成所述第一终端设备的移除配置信息，将所述移除配置信息下发至所述认证设备，以使所述认证设备根据所述移除配置信息，确认所述白名单中是否已移除所述访问白名单信息。
21.在本技术的一种实现方式中，从预设的接入设备缓存信息表中，获取所述第一终端设备的基本设备信息之前，所述方法还包括：
22.向所述认证设备下发第一认证配置信息，以使所述认证设备在所述园区网络外部未设有所述认证服务器的情况下，根据所述第一认证配置信息进行设备配置；所述第一认证配置信息包括认证协议信息、端口审计信息和所述sdn控制器的地址信息。
23.在本技术的一种实现方式中，控制所述认证设备，将所述第二终端设备发送的准入认证请求发送至所述认证服务器之前，所述方法还包括：
24.向所述认证设备下发第二认证配置信息，以使所述认证设备在所述园区网络外部设有所述认证服务器的情况下，根据所述第二认证配置信息进行设备配置；所述第二认证配置信息包括认证协议信息和所述认证服务器的地址信息。
25.在本技术的一种实现方式中，将所述多层级交换机中用于接入所述终端设备的接
入交换机作为认证设备之后，所述方法还包括：
26.控制所述认证设备，生成能够允许动态主机配置协议报文通过所述认证设备的指定访问控制规则，以使所述第二终端设备根据所述指定访问控制规则，获取到其对应的ip地址。
27.本技术实施例提供了一种基于策略随行的网络权限控制设备，其特征在于，应用于预设的园区网络上，所述园区网络至少包括sdn控制器、多层级交换机和终端设备，所述设备包括：至少一个处理器；
28.以及，与所述至少一个处理器通信连接的存储器；其中，
29.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：
30.将所述多层级交换机中用于接入所述终端设备的接入交换机作为认证设备，用于汇聚所述接入交换机的汇聚交换机作为策略执行设备；
31.根据所述园区网络外部是否设有认证服务器，确定用于对所述终端设备进行网络访问权项控制的控制策略；所述控制策略包括外部认证策略和内部白名单认证策略；
32.针对接入于所述认证设备的第一终端设备，基于所述内部白名单认证策略，控制所述认证设备根据所述sdn控制器下发的访问白名单配置信息，对所述第一终端设备进行网络访问权限控制；
33.针对向所述认证设备发送准入认证请求的第二终端设备，基于所述外部认证策略，生成所述所述第二终端设备对应的访问控制规则并下发至所述策略执行设备，以控制所述策略执行设备根据所述访问控制规则，对所述第二终端设备进行网络访问权限控制。
34.本技术实施例提供了一种非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，应用于预设的园区网络上，所述园区网络至少包括sdn控制器、多层级交换机和终端设备，所述计算机可执行指令设置为：
35.将所述多层级交换机中用于接入所述终端设备的接入交换机作为认证设备，用于汇聚所述接入交换机的汇聚交换机作为策略执行设备；
36.根据所述园区网络外部是否设有认证服务器，确定用于对所述终端设备进行网络访问权项控制的控制策略；所述控制策略包括外部认证策略和内部白名单认证策略；
37.针对接入于所述认证设备的第一终端设备，基于所述内部白名单认证策略，控制所述认证设备根据所述sdn控制器下发的访问白名单配置信息，对所述第一终端设备进行网络访问权限控制；
38.针对向所述认证设备发送准入认证请求的第二终端设备，基于所述外部认证策略，生成所述所述第二终端设备对应的访问控制规则并下发至所述策略执行设备，以控制所述策略执行设备根据所述访问控制规则，对所述第二终端设备进行网络访问权限控制。
39.通过本技术提出的一种基于策略随行的网络权限控制方法能够带来如下有益效果：
40.将用于接入终端设备的接入交换机作为认证设备，通过对接入交换机进行认证配置能够使得未通过认证的终端设备，无法访问同一接入交换机下的其他终端设备，有效隔离了同一接入交换机下各终端设备之间的流量访问，提高了通信安全性；根据园区网络外部是否存在认证服务器，设置不同的控制策略，相较于单一的控制策略来说，不再依赖于认
证结果对终端设备进行网络权限控制，灵活性更强，且适用范围更广。
附图说明
41.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
42.图1为本技术实施例提供的一种基于策略随行的网络权限控制方法的流程示意图；
43.图2为本技术实施例提供的一种园区网络拓扑结构图；
44.图3为本技术实施例提供的一种网络访问权限控制策略的流程示意图；
45.图4为本技术实施例提供的另一种网络访问权限控制策略的流程示意图；
46.图5为本技术实施例提供的一种基于策略随行的网络权限控制设备的结构示意图。
具体实施方式
47.为使本技术的目的、技术方案和优点更加清楚，下面将结合本技术具体实施例及相应的附图对本技术技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
48.以下结合附图，详细说明本技术各实施例提供的技术方案。
49.如图1所示，本技术实施例提供的一种基于策略随行的网络权限控制方法，包括：
50.s101：将多层级交换机中用于接入终端设备的接入交换机作为认证设备，用于汇聚接入交换机的汇聚交换机作为策略执行设备。
51.如图2所示的一种园区网络拓扑结构示意图，园区网络至少包括sdn控制器、多层级交换机和终端设备。其中，终端设备位于最底层，位于接入层的接入交换机用于接入属于同一局域网下的终端设备，位于汇聚层的汇聚交换机是多台接入交换机的汇聚点，位于核心层的核心交换机可进行高速转发通信，边界交换机用于实现不同网络之间的互连。
52.在本技术实施例中，接入交换机作为认证设备，用以实现对终端设备的网络权限认证，汇聚交换机作为策略执行设备，通过执行相应的访问控制策略实现网络权限的访问控制。接入交换机的端口在开启dot1x认证功能后，该端口会丢弃所有未认证终端设备的流量，这样在终端设备未完成认证的情况下，有效阻止了未通过认证的终端设备访问同一接入交换机下的其他终端设备，既隔离了流量，也提高了通信安全性。需要说明的是，软件定义网络(software defined network，sdn)控制器还会控制认证设备配置相应的访问控制规则，来允许动态主机配置协议(dynamic host configuration protocol，dhcp)报文能够通过认证设备，从而使得认证设备接入的终端设备能够通过发送dhcp报文获取到网络互连协议(internet protocol，ip)地址，只有在得知终端设备ip地址后，策略执行设备才能够据此进行相应的网络权限控制。
53.s102：根据园区网络外部是否设有认证服务器，确定用于对终端设备进行网络访问权限控制的控制策略；控制策略包括外部认证策略和内部白名单认证策略。
54.本技术实施例根据园区网络外部是否存在认证服务器，设置了不同的控制策略，
相较于单一的控制策略来说，不再依赖于认证结果对终端设备进行网络权限控制，灵活性更强，且适用范围更广。控制策略分为外部认证策略和内部白名单认证策略两种。
55.s103：针对接入于认证设备的第一终端设备，基于内部白名单认证策略，控制认证设备根据sdn控制器下发的访问白名单配置信息，对第一终端设备进行网络访问权限控制。
56.在一个实施例中，若园区网络外部未设有认证服务器，此时需采用内部白名单认证策略来进行网络权限控制。终端设备的认证不再依赖于认证服务器，而是可通过开启sdn控制器的审计功能，由审计结果控制是否分配网络权限给相应的终端设备，其中，网络权限可通过下发至认证设备的访问白名单配置信息确定，也就是说，只有存在于白名单中的终端设备，才能够通过认证设备的认证，其才具有对外访问网络的权限。
57.具体地，如图3所示的一种网络访问权限控制策略的流程示意图，在不设有外部认证服务器的情况下，可通过感知终端设备是否接入认证设备触发控制策略的执行。在执行控制策略前，sdn控制器首先会向认证设备下发第一认证配置信息，使得认证设备能够根据第一认证配置信息进行设备配置。其中，第一认证配置信息包括认证协议信息(比如，802.1x协议)、端口审计信息和sdn控制器的地址信息。
58.认证设备在根据第一认证配置信息完成设备配置后，会实时监测第一终端设备的接入情况，当存在第一终端设备上下线时，便会将该第一终端设备的基本设备信息写入预设的接入设备缓存信息表中。在第一终端设备上下线时，其会向sdn控制器发起请求连接，此时，认证设备可从设备缓存信息表中，获取到该第一终端设备的基本设备信息并上报至sdn控制器，基本设备信息至少包括以下任意一项或多项：媒体访问控制(media access control address，mac)地址、接入接口、上下线时间。sdn控制器在接收到基本设备信息后，可据其确定第一终端设备当前是上线还是下线，如果是设备上线，则需对上线的第一终端设备进行审计，以此来判断对应的第一终端设备是否具有网络访问权限。若第一终端设备具有网络访问权限，则下发相应的访问白名单配置信息至认证设备，这样，认证设备在接收到该访问白名单配置信息之后，便可据此对白名单进行相关配置，进而对位于白名单中的第一终端设备开放网络访问权限，使其可访问园区网络内的其他终端设备。
59.需要说明的是，访问白名单配置信息至少包括第一终端设备的基本设备信息，在生成访问白名单配置信息时，不再依赖于ip地址的标识作用，取而代之的是将基本设备信息中的mac地址作为标识符，来生成第一终端设备对应的访问白名单配置信息，然后将访问白名单配置信息下发至认证设备。此时，无需在终端设备获取其ip地址后进行白名单的配置，有效降低了延时时长，提高了认证效率。
60.如果是第一终端设备下线，首先，认证设备从其对应的白名单中，移除该第一终端设备对应的访问白名单信息，然后，sdn控制器还会根据第一终端设备的mac地址生成相应的移除配置信息，并将移除配置信息下发至认证设备，认证设备在接收到该移除配置信息后，可据其对白名单中的访问白名单信息进行查询，从而确定认证设备是否已将第一终端设备从白名单中主动移除。通过sdn控制器控制移除和认证设备主动移除这两种方式，将已下线的第一终端设备从白名单中移除，既做到了对下线设备的及时响应，也避免因某些特殊情况导致的认证设备未收到sdn控制器下发的移除配置信息，更具有保障。
61.在一种可能实现的方式中，sdn控制器设有可视化界面，可视化界面用于显示第一终端设备信息，通过对可视化界面进行操作可实现网络权限的分配。
62.在未设有认证服务器的情况下，不再需要终端设备主动向sdn控制器上报ip地址，而是可直接通过mac地址学习感知终端设备的上线，减少了获取ip地址所带来的延时，有效提高了认证效率。
63.s104：针对向认证设备发送准入认证请求的第二终端设备，基于外部认证策略，生成第二终端设备对应的访问控制规则并下发至策略执行设备，以控制策略执行设备根据访问控制规则，对第二终端设备进行网络访问权限控制。
64.在一个实施例中，若园区网络外部设有认证服务器，此时需采用外部认证策略来进行网络权限控制。终端设备的认证依赖于认证服务器的认证结果，只有在sdn控制器接收到该认证结果后，才会生成相应的访问控制规则。在将访问控制规则下发至策略执行设备后，策略执行设备可根据访问流量源地址和目的地址执行相关访问策略，以此实现对于终端设备的网络权限控制。
65.具体地，如图4所示的另一种网络访问权限控制策略的流程示意图，在设有外部认证服务器的情况下，可通过第二终端设备向认证设备发送的准入认证请求触发控制策略的执行。在执行控制策略前，sdn控制器首先会向认证设备下发第二认证配置信息，使得认证设备能够根据第二认证配置信息进行设备配置。与未设有认证服务器这一情形的不同点在于，第二认证配置信息仅包括认证协议信息(比如，802.1x协议)和认证服务器的地址信息，不再需要配置审计功能，也就是说，在此情况下，网络权限不再需要进行审计，而是可直接通过认证服务器来确定。
66.在认证设备完成设备配置后，需实时接收第二终端设备发送的准入认证请求，并在sdn控制器的控制下，将接收到的准入认证请求发送至认证服务器，以使认证服务器对第二终端设备对应的网络访问权限进行认证。不论是第二终端设备是否通过了认证，认证服务器都会将第二终端设备的认证信息反馈至认证设备。认证设备在接收到认证服务器下发的认证信息后，会将该认证信息以及第二终端设备的基本设备信息上报至sdn控制器，同时，第二终端设备通过dhcp报文获取到其对应的ip地址后，会将ip地址直接上报至sdn控制器。sdn控制器接收到第二终端设备对应的认证信息、基本设备信息以及ip地址后，能够建立ip地址和基本设备信息之间的关联关系，并根据认证信息判断第二终端设备是否具备对外的网络访问权限，进而根据第二终端设备对应的ip地址生成相应的访问控制规则，然后根据基本设备信息中的mac地址，将访问控制规则下发至策略执行设备。策略执行设备接收到访问控制规则后，可通过控制访问控制规则中所包含的目的ip地址和源ip地址之间的访问流量，对第二终端设备进行网络权限控制。
67.以上为本技术提出的方法实施例。基于同样的思路，本说明书一个或多个实施例还提供了上述方法对应的设备及介质。
68.图5为本技术实施例提供的一种基于策略随行的网络权限控制设备的结构示意图，设备应用于预设的园区网络上，园区网络至少包括sdn控制器、多层级交换机和终端设备，设备包括：至少一个处理器；
69.以及，与至少一个处理器通信连接的存储器；其中，
70.存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够：
71.将多层级交换机中用于接入终端设备的接入交换机作为认证设备，用于汇聚接入
交换机的汇聚交换机作为策略执行设备；
72.根据园区网络外部是否设有认证服务器，确定用于对终端设备进行网络访问权项控制的控制策略；控制策略包括外部认证策略和内部白名单认证策略；
73.针对接入于认证设备的第一终端设备，基于内部白名单认证策略，控制认证设备根据sdn控制器下发的访问白名单配置信息，对第一终端设备进行网络访问权限控制；
74.针对向认证设备发送准入认证请求的第二终端设备，基于外部认证策略，生成第二终端设备对应的访问控制规则并下发至策略执行设备，以控制策略执行设备根据访问控制规则，对第二终端设备进行网络访问权限控制。
75.本技术实施例提供了一种非易失性计算机存储介质，存储有计算机可执行指令，应用于预设的园区网络上，园区网络至少包括sdn控制器、多层级交换机和终端设备，计算机可执行指令设置为：
76.将多层级交换机中用于接入终端设备的接入交换机作为认证设备，用于汇聚接入交换机的汇聚交换机作为策略执行设备；
77.根据园区网络外部是否设有认证服务器，确定用于对终端设备进行网络访问权项控制的控制策略；控制策略包括外部认证策略和内部白名单认证策略；
78.针对接入于认证设备的第一终端设备，基于内部白名单认证策略，控制认证设备根据sdn控制器下发的访问白名单配置信息，对第一终端设备进行网络访问权限控制；
79.针对向认证设备发送准入认证请求的第二终端设备，基于外部认证策略，生成第二终端设备对应的访问控制规则并下发至策略执行设备，以控制策略执行设备根据访问控制规则，对第二终端设备进行网络访问权限控制。
80.本技术中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备和介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
81.本技术实施例提供的设备和介质与方法是一一对应的，因此，设备和介质也具有与其对应的方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述设备和介质的有益技术效果。
82.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
83.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
84.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特
定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
85.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
86.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
87.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
88.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
89.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
90.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。