(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210997114.2 (22)申请日 2022.08.19 (71)申请人 浪潮思科网络科技有限公司 地址 250101 山东省济南市高新区浪潮路 1036号S01-6楼 (72)发明人 蔡旺　 (74)专利代理 机构 北京君慧知识产权代理事务 所(普通合伙) 11716 专利代理师 肖鹏 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01) (54)发明名称 一种基于策略随行的网络权限控制方法、 设 备及介质 (57)摘要 本申请公开了一种基于策略随行的网络权 限控制方法、 设备及介质， 方法包括： 将多层级交 换机中用于接入终端设备的接入交换机作为认 证设备， 用于汇聚接入交换机的汇聚交换机作为 策略执行设备； 根据园区网络外部是否设有认证 服务器， 确定用于对终端设备进行网络访问权限 控制的控制策略； 针对接入于认证 设备的第一终 端设备， 基于内部 白名单认证策略， 控制认证设 备根据SDN控制器下发的访问白名单配置信息， 对第一终端设备进行网络访问权限控制； 针对向 认证设备发送 准入认证请求的第二终端设备， 基 于外部认证策略， 生成第二终端设备对应的访问 控制规则并下 发至策略执行设备， 以控制策略执 行设备根据访问控制规则， 对第二终端设备进行 网络访问权限控制。 权利要求书3页 说明书8页 附图3页 CN 115412319 A 2022.11.29 CN 115412319 A 1.一种基于策略随行的网络权限控制方法， 其特征在于， 应用于预设的园区网络上， 所 述园区网络 至少包括S DN控制器、 多层级交换机和终端设备， 所述方法包括： 将所述多层级交换机中用于接入所述终端设备的接入交换机作为认证设备， 用于汇聚 所述接入交换机的汇聚交换机作为策略执 行设备； 根据所述园区网络外部是否设有认证服务器， 确定用于对所述终端设备进行网络访问 权限控制的控制策略； 所述控制策略包括外 部认证策略和内部白名单认证策略； 针对接入于所述认证设备的第一终端设备， 基于所述内部白名单认证策略， 控制所述 认证设备根据所述SDN控制器下发的访问白名单配置信息， 对所述第一终端设备进行网络 访问权限控制； 针对向所述认证设备发送准入认证请求的第二终端设备， 基于所述外部认证策略， 生 成所述第二 终端设备对应的访问控制规则并下发至所述策略执行设备， 以控制所述策略执 行设备根据所述访问控制规则， 对所述第二终端设备进行网络访问权限控制。 2.根据权利要求1所述的一种基于策略随行的网络权限控制方法， 其特征在于， 控制所 述认证设备根据所述SDN控制器下发的访问白名单配置信息， 对所述第一终端设备进行网 络访问权限控制， 具体包括： 通过所述认证设备， 从预设的接入设备缓存信息表中， 获取所述第一终端设备的基本 设备信息； 所述基本设备信息至少包括以下任意一项或多项： 媒体访问控制地址、 接入接 口、 上下线时间； 根据所述基本设备信息确定所述第一终端设备上线时， 对所述第一终端设备进行审 计， 以判断所述第一终端设备 是否具有网络访问权限； 在所述第一终端设备具有所述网络访问权限时， 向所述认证设备下发访问白名单配置 信息， 以使所述认证设备根据所述访问白名单配置信息对所述第一 终端设备开放所述网络 访问权限。 3.根据权利要求1所述的一种基于策略随行的网络权限控制方法， 其特征在于， 生成所 述所述第二 终端设备对应的访问控制规则并下发至所述策略执行设备之前， 所述方法还包 括： 控制所述认证设备， 将所述第二终端设备发送的准入认证请求发送至所述认证服务 器， 以使所述认证服务器确定所述第二终端设备对应的网络访问权限， 并向所述认证设备 反馈携带有所述网络访问权限的认证信息； 接收所述认证设备发送的第 二终端设备对应的认证信 息和基本设备信 息， 根据所述基 本设备信息和所述认证信息， 生成所述第二终端设备对应的访问控制规则。 4.根据权利要求2所述的一种基于策略随行的网络权限控制方法， 其特征在于， 在所述 第一终端设备具有所述网络访问权限时， 向所述认证设备下发访问白名单配置信息， 具体 包括： 在所述第一终端设备具有所述网络访问权限时， 将所述基本设备信 息中的媒体访问控 制地址作为标识符， 生成所述第一终端设备对应的访问白名单配置信息， 并将所述访问白 名单配置信息下发至所述认证设备； 所述访问白名单配置信息至少包括所述基本设备信 息。 5.根据权利要求2所述的一种基于策略随行的网络权限控制方法， 其特征在于， 获取所权　利　要　求　书 1/3 页 2 CN 115412319 A 2述第一终端设备的基本设备信息之后， 所述方法还 包括： 根据所述基本设备信 息确定所述第 一终端设备下线时， 通过所述认证设备从其对应的 白名单中， 移除所述第一终端设备对应的访问白名单信息； 并 根据所述媒体访问控制地址生成所述第 一终端设备的移除配置信 息， 将所述移除配置 信息下发至所述认证设备， 以使所述认证设备根据所述移除配置信息， 确认所述白名单中 是否已移除所述访问白名单信息 。 6.根据权利要求2所述的一种基于策略随行的网络权限控制方法， 其特征在于， 从预设 的接入设备缓存信息表中， 获取 所述第一终端设备的基本设备信息之前， 所述方法还 包括： 向所述认证设备下发第 一认证配置信 息， 以使所述认证设备在所述园区网络外部未设 有所述认证服务器的情况下， 根据所述第一认证配置信息进行设备配置； 所述第一认证配 置信息包括认证协议信息、 端口审计信息和所述S DN控制器的地址信息 。 7.根据权利要求3所述的一种基于策略随行的网络权限控制方法， 其特征在于， 控制所 述认证设备， 将所述第二终端设备发送的准入认证请求发送至所述认证服务器之前， 所述 方法还包括： 向所述认证设备下发第 二认证配置信 息， 以使所述认证设备在所述园区网络外部设有 所述认证服务器的情况下， 根据所述第二认证配置信息进行设备配置； 所述第二认证配置 信息包括认证协议信息和所述认证服 务器的地址信息 。 8.根据权利要求1所述的一种基于策略随行的网络权限控制方法， 其特征在于， 将所述 多层级交换机中用于接入所述终端设备的接入交换机作为认证设备之后， 所述方法还包 括： 控制所述认证设备， 生成能够允许动态主机配置协议报文通过所述认证设备的指定访 问控制规则， 以使所述第二终端设备根据所述指定访问控制规则， 获取到其对应的IP地址 。 9.一种基于策略随行的网络权限控制设备， 其特征在于， 应用于预设的园区网络上， 所 述园区网络至少包括SDN控制器、 多层级交换机和终端设备， 所述设备包括： 至少一个处理 器； 以及， 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够： 将所述多层级交换机中用于接入所述终端设备的接入交换机作为认证设备， 用于汇聚 所述接入交换机的汇聚交换机作为策略执 行设备； 根据所述园区网络外部是否设有认证服务器， 确定用于对所述终端设备进行网络访问 权项控制的控制策略； 所述控制策略包括外 部认证策略和内部白名单认证策略； 针对接入于所述认证设备的第一终端设备， 基于所述内部白名单认证策略， 控制所述 认证设备根据所述SDN控制器下发的访问白名单配置信息， 对所述第一终端设备进行网络 访问权限控制； 针对向所述认证设备发送准入认证请求的第二终端设备， 基于所述外部认证策略， 生 成所述所述第二 终端设备对应的访问控制规则并下发至所述策略执行设备， 以控制所述策 略执行设备根据所述访问控制规则， 对所述第二终端设备进行网络访问权限控制。 10.一种非易失性计算机存储介质， 存储有计算机可执行指令， 其特征在于， 应用于预权　利　要　求　书 2/3 页 3 CN 115412319 A 3