一种扩展实现安全数据通道的方法、装置和网络设备的制作方法

专利名称：一种扩展实现安全数据通道的方法、装置和网络设备的制作方法
技术领域：
本发明实施例涉及一种扩展实现安全数据通道的方法、装置和网络设备，属于数
据通信技术领域。
背景技术：
交换机之所以能够直接对目的节点发送数据包，而不是像集线器一样以广播方式 对所有节点发送数据包，最关键的技术就是交换机可以识别连在网络上的节点的网卡的介 质访问控制(Media Access Control,简称MAC)地址，并把它们放到MAC地址表中。MAC地 址表存放于交换机的缓存中，并记住这些地址，这样一来当需要向目的地址发送数据时，交 换机就可在MAC地址表中查找这个MAC地址的节点位置，然后直接向这个位置的节点发送。 交换机可以通过地址学习的方式来增强这个地址表功能，学习方式如下
(1)当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它 就知道源MAC地址的机器是连在哪个端口上的； (2)读取包头中的目的MAC地址，并在地址表中查找相应的端口 ；
(3)如表中有与此目的MAC地址对应的端口 ，把数据包直接复制到这端口上；
(4)如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机 器回应时，交换机又可以学习回应此报文的目的MAC地址与哪个端口对应，在下次传送数 据时就不再需要对所有端口进行广播了 。 通过不断的循环这个过程，则全网的MAC地址信息都可以学习到，交换机就是这 样建立和维护它自己的地址表。 除了通过动态学习过程来建立和维护交换机的MAC地址表外，还可以通过将MAC 地址静态添加到MAC地址表中，以此来维护MAC地址表。静态MAC地址区别于通过动态学 习得到的动态MAC地址，静态地址一旦被加入，该地址在删除之前将一直有效，不受最大老 化时间的限制。地址表记录了端口的静态地址。地址表中一个MAC地址对应一个端口，如 果MAC地址被设置到地址表中，则所有发给这个地址的数据只会转发给该端口 。地址表中 会标识出MAC地址的状态，通过该标识可以检测出MAC是否静态添加。
IEEE802. 1X是美国电气电子工程师学会(Institute of Electricaland Electronic Engineers,简称IEEE)802委员会制定的局域网(LocalArea Network，简称 LAN)标准中的一个。对于一个部署了 802. 1X认证的LAN，当用户(如个人电脑等)接入到 LAN中时，需要通过802. IX认证，未经过认证的用户将无法接入到LAN中。
在普通局域网中，只要能接到网络设备上，不需要经过认证和授权即可直接使用 网络。这种缺陷不利于网络管理员对网络的实时监控，也引起了人们对网络安全的担忧， 801. IX认证就成了用户对网络或设备访问合法性认证的一种有效方法，提高了网络的安全 性。 801. IX认证基本采用基于端口的网络存取控制，为局域网用户提供点对点式的安 全接入。以电脑接入为例(也可以是其他接入终端)，一个简单的示意如图l所示。
1)安装有802. IX认证客户端软件的个人计算机(Personal Computer,简称PC) 提交相关的认证信息给交换机(通常为接入交换机设备)进行802. 1X认证，802. 1X认证客 户端通过报文与交换机与认证服务器交互。 2)交换机将相关认证信息转交给认证服务器进行确认。 3)认证服务器将认证结果发送给交换机，交换机将认证结果转发给PC，如果认证 通过，交换机将该PC的MAC地址静态添加到交换机MAC地址表中，同时打开PC和外界的通 路。 4)在认证成功之后，正常的接入终端便可访问相关的网络资源。 在交换机上可以根据应用需要，对端口的地址学习能力进行操作，打开或者关闭
端口的地址学习能力。在802. IX认证的环境下，为了控制受控端口下的用户，可以采用关
闭地址学习的方式。对于通过802. IX的认证的合法用户，进行静态地址添加，保证的合法
用户的报文被正常转发，其余非法用户即未认证用户的报文的处理策略是不转发、不学习
地址和不送到交换机软件进行处理。 这里，PC上联的交换机端口为受控口，也就是用户必须先通过802. 1X认证，所发 出的报文才能通过该端口进行转发，而非受控口是交换机和上层设备(如认证服务器)相 连的端口，允许所有报文通过。受控口会关闭地址学习来控制用户访问网络。
在接入层设备上开启802. 1X功能之后，只有通过认证的接入用户的数据流才能 通过接入层交换机转发，从而访问网络。 在此基础上， 一些特殊情况下，未认证用户的数据流也需要通过接入交换机去访 问网络，例如一些管理员或者特权用户也接在开启了 802. 1X协议的交换机受控口下，但 是他们需要不认证而直接访问网络；或者普通用户在未认证时，希望能够访问一些特殊的 网段，或访问防病毒服务器进行病毒库升级等，原来的设计不能满足这种需求。在这种需求 下，高优先级的安全数据通道应运而生。 安全数据通道简称安全通道，在802. IX认证的应用环境下，使得未认证通过的用
户可以访问特定的网络资源(如服务器等)而开放的通道称之为安全数据通道。 传统的安全数据通道是通过在交换机的受控端口下建立一个报文特征数据库来
实现。报文特征数据库是在接入交换机上建立的一个用于检测报文合法性的特征数据库；
该数据库由一系列的特征条目构成的，每一个特征条目包括匹配内容和匹配动作两个部
分，当匹配到相应内容时，动作为Permit则表示允许报文通过，动作为Deny表示阻断报文
通过并将其丢弃。 除了将符合特殊规则的特征条目(即安全数据通道的规则)添加到该数据库中， 还需要将认证用户的信息(MAC地址、端口、动作策略等)添加到该过滤数据库中，如图2所示。 当用户报文从受控端口进入交换机之后，交换机会根据报文内容提取出每一个报 文的源MAC(Source MAC，简称SMAC)地址、目的IP(Destinationlnternet Protocol，简称 DIP)地址等报文协议字段的内容，即报文的特征内容，例如通过源MAC协议字段，能够识别 出用户是否认证用户或特权用户，通过目的IP协议字段，能够识别出是否发往特殊网段的 报文；根据这些特征内容去逐条查找交换机上报文特征数据库的特征条目，如果内容匹配 了某条特征条目且特征条目的策略为Permit则进行转发，如特征条目的策略为Drop则进行丢弃。例如源MAC地址为MAC1、 MAC2、 MAC3的三个用户通过了 802. IX认证，且允许所 有用户访问目的IP地址为192. 168. 193. 1的特殊网络，则此时报文特征数据库中会有以下 特征条目 条目1 -Permit DIP = 192. 168. 193. 1 ;
条目2 :Permit SMAC = MAC1 ;
条目3 -Permit SMAC = MAC2 ;
条目4 :Permit SMAC = MAC3 ;
条目5 :Deny any ; 源MAC地址为MAC1、 MAC2、 MAC3的用户发出的报文会分别匹配上特征条目2、3、4 而进行转发，而非认证用户，如MAC4，如果其发出报文的目的IP为192. 168. 193. l，则会匹 配上特征条目l而正常转发，其它报文则会匹配上特征条目5而被丢弃。
在现有的技术方案中，在不开启安全数据通道的情况下，受控端口的地址学习能 力保持关闭状态，不动态学习未认证用户的源MAC地址，也不转发未认证用户报文。同时将 通过认证的用户的源MAC地址静态添加到MAC地址表中，通过只对源MAC地址存在于地址 表中的报文进行转发，确保只有认证用户报文可以进行转发，由于未认证用户的源MAC地 址无法被学习，不会被添加到地址表中，从而未认证用户的报文将被过滤。由于MAC地址表 的硬件容量一般有2K以上，因此通过该方案，单台接入交换机上能够提供2K以上用户进行 接入认证。 而当在受控端口上打开安全数据通道后，需要转发部分未认证用户的报文，无法 通过上述方案对未认证用户报文进行控制，现有的技术方案中，例如专利《一种安全通道建 立方法与装置)》(专利申请号200810113821. 0)是通过将认证用户信息和需要转发的未认 证用户报文信息均添加到报文特征数据库，使用过滤数据库统一处理，而无法通过控制受 控端口地址学习能力来阻断未认证用户，但是由于硬件成本等各方面的限制，报文特征数 据库的容量一般为l-2K，容量非常有限，且交换机上丰富的各种安全功能例如安全ACL等 一般也是通过特征数据库进行匹配，使用报文特征数据来维护认证用户的MAC地址，将导 致单台接入交换机上的可认证用户数量大量减少，考虑到与其他应用共存的情况，一般只 能认证300个用户左右，根据硬件差异而变化，极端情况下将由于没有空闲的特征条目而 导致用户无法进行认证。 同时，由于安全数据通道打开和关闭时分别使用了不同的实现方式，当对安全数 据通道进行操作时，需要进行复杂的处理，导致所有认证用户下线并重新进行认证，增加了 交换机负担，同时造成了网络不稳定。

发明内容
本发明实施例的目的是提供一种扩展实现安全数据通道的方法、装置和网络设 备，简化安全数据通道对认证用户匹配方法，降低相关网络设备的硬件成本，提高可认证用 户容量，提升网络的稳定性。 为实现上述目的，本发明实施例提供了一种扩展实现安全数据通道的方法，所述 方法包括 在报文特征数据库中加入允许静态添加用户通过的特征条目；
当受控端口接收到的报文满足报文特征数据库的允许通过条件时，允许所述报文 通过所述受控端口。 为了实现上述目的，本发明实施例还提供了 一种扩展实现安全数据通道的装置， 所述装置包括特征条目添加单元和报文检查单元， 所述特征条目添加单元用于在报文特征数据库中加入允许静态添加用户通过的 特征条目； 所述报文检查单元与特征条目添加单元连接，用于当受控端口接收到的报文满足 报文特征数据库的允许通过条件时，允许所述报文通过所述受控端口 。 为了实现上述目的，本发明实施例又提供了一种网络设备，所述网络设备包括上 述装置。 本发明实施例在802. 1X认证的基础上，利用认证用户在MAC地址表中静态添加的 特性，扩展实现了一种优化的安全数据通道，使没有通过802. 1X认证检查的数据流可以通 过安全数据通道访问网络，同时简化了对认证用户的匹配方法，对所有认证用户的匹配只 占用报文特征数据库的一个特征条目，节省了报文特征数据库的特征条目，降低了相关网 络设备如交换机的硬件成本，提高了可认证用户容量，提升了网络的稳定性。


图1为802. IX认证示意图 图2为现有技术中数据安全通道的实现原理示意图 图3为本发明一种扩展实现安全数据通道的方法实施例一示意图 图4为本发明一种扩展实现安全数据通道的方法实施例二示意图 图5为本发明一种扩展实现安全数据通道的方法实现原理示意图一 图6为本发明一种扩展实现安全数据通道的方法实施例三示意图 图7为本发明一种扩展实现安全数据通道的方法实现原理示意图二 图8为本发明一种扩展实现安全数据通道的方法实施例四示意图 图9为本发明一种扩展实现安全数据通道的装置实施例一示意图 图10为本发明一种扩展实现安全数据通道的装置实施例二示意图 图11为本发明一种网络设备实施例示意图
具体实施例方式
下面结合附图对本发明实施例进行说明，本发明实施例提供了一种扩展实现安全 数据通道的方法，图3给出了本发明一种扩展实现安全数据通道的方法实施例一示意图， 所述方法包括 步骤S1，在报文特征数据库中加入允许静态添加用户通过的特征条目； 所述静态添加用户具体可以为源MAC地址与MAC地址表中静态添加的MAC地址相
同的用户。 步骤S2，当受控端口接收到的报文满足报文特征数据库的允许通过条件时，允许 所述报文通过所述受控端口 。 所述接收到的报文 足报文特征数 库的允许通过条件具体可以包括接收到的报文的源MAC地址在MAC地址表中的添加标志为静态标志。 现有网络设备如交换机在802. IX认证过程中，会关闭端口地址学习能力，在认证 通过后，交换机会静态添加该用户的MAC地址到MAC地址表，此时该MAC地址在MAC地址表 中的添加标志为静态标识，即只有通过认证的用户数据流才能通过交换机进行转发。
由于所有认证用户都会被静态添加到MAC地址表，而非认证用户的MAC地址只能 被动态学习，因此可以通过源MAC地址是否为静态地址，即源MAC地址在MAC地址表中的添 加标志是否为静态标识来识别是否为认证用户，而不需要关注每个认证用户的具体信息。 因此，在原有安全数据通道实现的基础上，可以利用MAC地址表的静态标识扩展实现安全 数据通道与802. 1X认证的共存，使没有通过802. 1X认证检查的数据流可以通过安全数据 通道访问网络，同时简化了对认证用户的匹配方法，对所有认证用户的匹配只占用报文特 征数据库的一个特征条目，节省了报文特征数据库的特征条目，降低了相关网络设备如交 换机的硬件成本，提高了可认证用户容量，提升了网络的稳定性。 图4给出了本发明一种扩展实现安全数据通道的方法实施例二示意图，本实施例 除了包括方法实施例一的步骤之外，还包括
步骤S3 ，开启受控端口的地址学习功能。 步骤S3可以在步骤S1之前执行，也可以与步骤S1同步执行，或者在步骤S1之后 执行。 保持受控端口的地址学习能力开启，以保证安全数据通道放行的未认证报文不会 被过滤。同时在报文特征数据库中添加一条特殊的特征条目PermitSMAC静态命中用户， 如图5所示，该特征条目的作用是检测报文的源MAC地址的静态属性，并转发源MAC地址为 静态地址的报文，静态地址通过地址表中的静态标识可以进行识别，即在MAC地址表中检 测报文的源MAC地址的添加标志是否为静态标志，如果是则认为是静态命中，转发该报文。
设报文特征数据库中有两条特征条目
条目1 :Permit SMAC静态命中用户；
条目2 :Deny any ; 当报文从受控端口进入交换机之后，交换机会到报文特征数据库中进行匹配，提 取出每个报文的源MAC地址信息，检查出该MAC是否为静态命中，当用户的源MAC地址已经 被静态添加到地址表，则该特征条目1生效，报文被转发；当用户的源MAC地址没有被静态 添加在地址表中时，则特征条目l不生效，接着匹配下一条特征条目2为Deny any,即拒绝 所有报文，因此报文最终被过滤。 交换机上逐条查找报文特征数据库的特征条目进行匹配，对于认证用户，由于其 源MAC地址被静态添加到地址表中，因此，总是能够匹配上Permit SMAC静态命中用户的特 征条目l而转发；而对于非认证用户，由于不可能被静态命中，只能匹配特征条目2，全部被 默认丢弃。 图6给出了本发明一种扩展实现安全数据通道的方法实施例三示意图，本实施例 除了包括方法实施例二的步骤之外，还包括 步骤S4，在报文特征数据库中加入符合特殊访问规则的特征条目。
所述符合特殊访问规则的特征条目具体可以包括特权用户的特征条目和/或特
殊网络的特征条目，和/或一些协议报文对应的特征条目，等等。
步骤S4可以在步骤SI之后执行，也可以在其它位置执行。 所述符合特殊访问规则的特征条目可以位于允许静态添加用户通过的特征条目 之前。 本实施例除了可以在方法实施例二的基础上进行上述扩展外，还可以在装置实施 例一的基础上进行上述扩展。 在报文特征数据库中添加符合特殊访问规则的特征条目，例如特权用户的特征条 目、特殊网络的特征条目等。 本发明实施例所指的特权用户是指网络管理员或者一些特别的用户，在启用了 802. IX的网络中，通过在报文特征数据库中添加特权用户的特征条目，可以使得这些特权 用户不用通过认证即可访问网络资源。 本发明实施例所指的特殊网络是指由管理员指定的具有固定IP标识的任意一台 网络设备或任意一个网络。通过在报文特征数据库中添加特殊网络的特征条目，可以允许 访问特殊网络的数据流通过交换机。 这些特征条目可以位于允许静态添加用户通过的特征条目之前，以确保其优先发 挥作用。这样，未认证用户就能够访问安全数据通道开放的资源。 报文进入交换机后，只要符合报文特征数据库中这些特殊访问规则的特征条目， 就允许报文通过，这样就能达到允许特权用户不认证即可访问网络资源、允许未认证用户 访问特殊网络以进行软件升级等目的；如果不符合这些特殊访问规则的特征条目，则会进 一步检测是否匹配允许静态添加用户通过的特征条目，如果匹配该特征条目，则必然为认 证用户报文，报文正常转发，如果不匹配该特征条目，则为未认证用户报文，将继续匹配上 默认的Denyany特征条目而被丢弃。 如图7所示，在图5的基础上，在报文特征数据库最前面增加了特权用户的特征条 目Permit特权用户，和特殊网络的特征条目Permit特殊网络，让特权用户无需认证即可 访问网络资源，同时保证用户在未认证通过时，能够访问特殊网络资源。
例如源地址为MAC1、MAC2、MAC3、. . . 、MAC100的用户通过802. 1X认证，且安全数 据通道允许访问特殊网络192. 168. 193. l，则此时报文特征数据库中会有以下特征条目
条目1 -Permit DIP = 192. 168. 193. 1 ;
条目2 :Permit SMAC静态命中用户；
条目3 :Deny any ; 特征条目1表示允许所有发往目的IP地址为192. 168. 193. 1的报文通过，当用户 发出报文的目的IP地址为192. 168. 193. l时，不管是否认证用户，会因为匹配上特征条目1 而转发；当用户发出报文的目的IP地址不为192. 168. 193. 1时，会进一步去匹配特征条目 2，由于认证用户的源MAC地址MAC1、MAC2、MAC3、. . . 、MAC100被静态添加到MAC地址表，因 而其发出的报文会匹配上特征条目2而进行转发；而非认证用户，如MAC101，则会匹配上特 征条目3而被丢弃。 本发明实施例在MAC地址表的基础上扩展实现的安全数据通道充分利用了 MAC 地址表资源，只需要使用一条允许静态添加用户通过的特征条目就能够对所有认证用户进 行控制，而不需要每个认证用户都占用一条特征条目，有效提升了的交换机整机的可认证 用户数量，例如整机可认证2K以上个用户，避免了原有安全数据通道实现只能认证用户数少，极端情况下会由于报文特征数据库耗尽而无法进行认证的问题，最大程度的节省了报 文特征数据库，降低了交换机成本。 本发明实施例还允许用户在未通过认证的情况下，能够访问某些指定网络或者具 备特殊权限。 本发明实施例同时保证了 802. IX的实现与安全数据通道的无关性，无论安全数 据通道打开或者关闭，都是使用MAC地址表维护认证用户的源MAC地址，在安全数据通道的 操作过程中，无需进行复杂的处理，避免了现有技术中安全数据通道操作会导致用户全部 下线的问题，保证了网络的稳定性。 本发明的一个较优实施例如图8所示，具体步骤如下
步骤101，在网络中启用802. 1X作为客户认证机制；
步骤102，打开802. 1X受控端口的地址学习能力； 步骤103，在报文特征数据库中添加一条特征条目Permit SMAC地址静态命中用 户，作用在受控端口 ； 步骤104，有用户的802. 1X认证通过后，静态添加认证用户的源MAC地址到MAC地 址表； 步骤105，根据不同的应用需求在报文特征数据库中配置不同的符合特殊访问规 则的特征条目。 步骤106，当受控端口接收到的报文特征数据库的允许通过条件时，允许所述报文 通过所述受控端口。 通过上述机制，网络管理员可以根据应用需要方便地配置各种符合特殊访问规则 的特征条目，实现特殊数据流通道，如访问服务器下载认证客户端，方便地控制特权用户的 上网权限，如访问服务器上放置的上网认证指南等，或在特殊的情况下开辟数据通路给用 户使用等等。具体可实现为可供用户选择配置的形式，这样就可以针对不同的特殊数据流 进行灵活的配置，且不会浪费交换机资源，这是对802. 1X等安全机制的一种有效补充。
本发明实施例还提供了一种扩展实现安全数据通道的装置，图9给出了本发明一 种扩展实现安全数据通道的装置实施例一示意图，所述装置包括特征条目添加单元M1和 报文检查单元M2， 所述特征条目添加单元M1用于在报文特征数据库中加入允许静态添加用户通过 的特征条目； 所述静态添加用户具体可以为源介质访问控制MAC地址与MAC地址表中静态添加 的MAC地址相同的用户。 所述特征条目添加单元M1还可以用于在报文特征数据库中加入符合特殊访问规 则的特征条目。 所述符合特殊访问规则的特征条目具体可以包括特权用户的特征条目和/或特 殊网络的特征条目，和/或一些协议报文对应的特征条目，等等。 所述符合特殊访问规则的特征条目可以位于允许静态添加用户通过的特征条目 之前。 所述报文检查单元M2与特征条目添加单元M1连接，用于当受控端口接收到的报 文满足报文特征数据库的允许通过条件时，允许所述报文通过所述受控端口 。
所述接收到的报文满足报文特征数据库的允许通过条件具体可以包括接收到的报文的源MAC地址在MAC地址表中的添加标志为静态标志。 图IO给出了本发明一种扩展实现安全数据通道的装置实施例二示意图，本实施例除了包括装置实施例一的结构特征外，还包括受控端口设置单元M3，与报文检查单元M2连接，用于开启受控端口的地址学习功能。 本发明实施例又提供了一种网络设备，图ll给出了本发明一种网络设备实施例
示意图，所述网络设备包括所述装置实施例一或装置实施例二。 所述网络设备具体可以为交换机、路由器等网络设备。 本发明实施例在802. 1X认证的基础上，利用认证用户在MAC地址表中静态添加的
特性，扩展实现了一种优化的安全数据通道，使没有通过802. 1X认证检查的数据流可以通
过安全数据通道访问网络，同时简化了对认证用户的匹配方法，对所有认证用户的匹配只
占用报文特征数据库的一个特征条目，节省了报文特征数据库的特征条目，降低了相关网
络设备如交换机的硬件成本，提高了可认证用户容量，提升了网络的稳定性。 本发明实施例还允许用户在未通过认证的情况下，能够访问某些指定网络或者具
备特殊权限。 本发明实施例同时保证了 802. IX的实现与安全数据通道的无关性，无论安全数据通道打开或者关闭，都是使用MAC地址表维护认证用户的源MAC地址，在安全数据通道的操作过程中，无需进行复杂的处理，避免了现有技术中安全数据通道操作会导致用户全部下线的问题，保证了网络的稳定性。 最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
一种扩展实现安全数据通道的方法，其特征在于，所述方法包括在报文特征数据库中加入允许静态添加用户通过的特征条目；当受控端口接收到的报文满足报文特征数据库的允许通过条件时，允许所述报文通过所述受控端口。
2. 根据权利要求1所述的方法，其特征在于，所述静态添加用户具体为源介质访问控 制MAC地址与MAC地址表中静态添加的MAC地址相同的用户。
3. 根据权利要求1或2所述的方法，其特征在于，所述接收到的报文满足报文特征数据 库的允许通过条件具体包括接收到的报文的源MAC地址在MAC地址表中的添加标志为静 态标志。
4. 根据权利要求1或2所述的方法，其特征在于，还包括开启受控端口的地址学习功能。
5. 根据权利要求1或2所述的方法，其特征在于，还包括在报文特征数据库中加入符 合特殊访问规则的特征条目。
6. 根据权利要求5所述的方法，其特征在于，所述符合特殊访问规则的特征条目具体包括特权用户的特征条目和/或特殊网络的特征条目。
7. 根据权利要求5所述的方法，其特征在于，所述符合特殊访问规则的特征条目位于允许静态添加用户通过的特征条目之前。
8. —种扩展实现安全数据通道的装置，其特征在于，所述装置包括特征条目添加单元 和报文检查单元，所述特征条目添加单元用于在报文特征数据库中加入允许静态添加用户通过的特征 条目；所述报文检查单元与特征条目添加单元连接，用于当受控端口接收到的报文满足报文 特征数据库的允许通过条件时，允许所述报文通过所述受控端口 。
9. 根据权利要求8所述的装置，其特征在于，还包括受控端口设置单元，与报文检查单 元连接，用于开启受控端口的地址学习功能。
10. 根据权利要求8或9所述的装置，其特征在于，所述特征条目添加单元还用于在报 文特征数据库中加入符合特殊访问规则的特征条目。
11. 一种包括权利要求8-10任一所述装置的网络设备。
全文摘要
本发明实施例提供了一种扩展实现安全数据通道的方法、装置和网络设备。所述方法包括在报文特征数据库中加入允许静态添加用户通过的特征条目；当受控端口接收到的报文满足报文特征数据库的允许通过条件时，允许所述报文通过所述受控端口。本发明实施例使没有通过802.1X认证检查的数据流可以通过安全数据通道访问网络，同时简化了对认证用户的匹配方法，节省了报文特征数据库的特征条目，降低了相关网络设备如交换机的硬件成本，提高了可认证用户容量，提升了网络的稳定性。
文档编号H04L12/56GK101714992SQ20091024409
公开日2010年5月26日 申请日期2009年12月28日 优先权日2009年12月28日
发明者张炯煌 申请人:北京星网锐捷网络技术有限公司