(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107426167A(43)申请公布日2017.12.01(21)申请号201710356047.5(22)申请日2017.05.19(71)申请人深圳市元基科技开发有限公司地址518100广东省深圳市宝安区西乡街道银田工业区西发小区B区十栋厂房B单元六楼(72)发明人王晨光(74)专利代理机构北京和信华成知识产权代理事务所(普通合伙)11390代理人胡剑辉(51)Int.Cl.H04L29/06(2006.01)H04L9/32(2006.01)权利要求书2页说明书8页附图3页(54)发明名称一种临时终端安全接入控制方法及系统(57)摘要本发明公开了一种临时终端安全接入控制方法，该方法先将所述以太网网络划分为安全管控vlan、标准终端vlan和预留接口vlan，再设置所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信，多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离，之后所述接入安全管控模块监测预留接口vlan的临时终端，再对该临时终端进行鉴权，并在验证成功后将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信。本发明实现了对临时接入以太网网络中的终端设备的安全管控，提高了临时终端安全管控的力度，降低了安全隐患，节省了管理成本，提高了管理效率。CN107426167ACN107426167A权利要求书1/2页1.一种临时终端安全接入控制方法，其特征在于，该方法基于一系统实现，所述系统包括有以太网网络(1)和接入安全管控模块(2)，所述方法包括如下步骤：步骤S1，将所述以太网网络(1)划分为至少一个安全管控vlan、多个标准终端vlan和至少一个预留接口vlan，所述接入安全管控模块(2)连接于安全管控vlan，所述标准终端vlan用于接入目标终端；步骤S2，将所述以太网网络(1)设置为：所述标准终端vlan和预留接口vlan均与安全管控vlan建立通信，多个标准终端vlan之间以及所述标准终端vlan与预留接口vlan之间均相互隔离；步骤S3，所述接入安全管控模块(2)监测预留接口vlan是否有临时终端接入，若是，则执行步骤S4；步骤S4，所述接入安全管控模块(2)对该临时终端进行鉴权，若验证成功，则执行步骤S5，若验证失败，则执行步骤S6；步骤S5，所述接入安全管控模块(2)将所述预留接口vlan与临时终端所要访问的标准终端vlan建立通信；步骤S6，所述接入安全管控模块(2)将验证失败信息发送至临时终端。2.如权利要求1所述的临时终端安全接入控制方法，其特征在于，所述步骤S3中，所述接入安全管控模块(2)通过远程访问方式或者接口状态获取方式监测预留接口vlan的连接状态。3.如权利要求2所述的临时终端安全接入控制方法，其特征在于，所述步骤S3中，所述接入安全管控模块(2)对预留接口vlan的监测过程包括：所述接入安全管控模块(2)将预留接口vlan的当前连接状态与在先连接状态进行对比，如果在先连接状态是未接入设备状态，而当前连接状态是已接入设备状态，则执行步骤S4。4.如权利要求3所述的临时终端安全接入控制方法，其特征在于，所述步骤S3中，所述接入安全管控模块(2)对预留接口vlan的监测过程还包括：如果所述接入安全管控模块(2)仅获取到当前连接状态，并且当前连接状态是已接入设备状态，则认定预留接口vlan从断开到物理连接状态。5.如权利要求1所述的临时终端安全接入控制方法，其特征在于，所述步骤S4中，所述接入安全管控模块(2)对临时终端进行鉴权之前，根据临时终端的身份认证状态信息判断是否需要对其进行身份验证，所述身份认证状态信息包括已认证状态和尚未认证状态。6.如权利要求5所述的临时终端安全接入控制方法，其特征在于，所述步骤S4中，所述接入安全管控模块(2)对临时终端的鉴权过程包括：所述接入安全管控模块(2)获取临时终端对应的编码及对应的公钥与算法，生成随机冲击数据，选择与该临时终端对应的公钥及相应的算法，加密随机冲击数据，形成密文并将密文发送到临时终端，待接收到临时终端反馈的数字签名数据后，应用相应的公钥、算法及其随机冲击数据对该数字签名数据进行验证。7.如权利要求1所述的临时终端安全接入控制方法，其特征在于，执行所述步骤S5之前包括：所述接入安全管控模块(2)判断临时终端与所要访问的标准终端vlan能否通信，如果能够通信，则执行步骤S5，如果不能通信，则所述接入安全管控模块(2)设置以太网网络(1)的访问规则，以令临时终端与所要访问的标准终端vlan建立通信，之后执行步骤S5。2CN107426167A权利要求书2/2页8.如权利要求7所述的临时终端安全接入控制方法，其特征在于