[发明专利]一种网络流量管控方法、装置、设备及介质

权利要求书

1.一种网络流量管控方法，其特征在于，应用于二层交换机；所述方法包括：

对连接的各终端设备进行入网认证；其中，所述终端设备至少包含设置有零信任终端的PC；

与零信任控制器共同对通过所述入网认证的所述PC进行单包认证；

若所述PC通过所述单包认证，则接收所述零信任控制器发送的资源访问权限清单；

发送所述资源访问权限清单至所述PC，以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。

2.根据权利要求1所述的网络流量管控方法，其特征在于，所述对连接的各终端设备进行入网认证包括：

当所述终端设备为设置有所述零信任终端的所述PC时，接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息；

发送所述设备信息至所述零信任控制器，以用于所述零信任控制器根据所述设备信息对所述PC进行入网认证，并返回认证结果。

3.根据权利要求2所述的网络流量管控方法，其特征在于，所述接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息包括：

通过基于局域网的扩展认证协议接收所述设备信息，以用于将所述设备信息通过基于局域网的扩展认证协议发送至所述零信任控制器。

4.根据权利要求1所述的网络流量管控方法，其特征在于，所述对连接的各终端设备进行入网认证包括：

若所述终端设备还包括哑终端，则通过MAC旁路认证对所述哑终端进行所述入网认证。

5.根据权利要求1所述的网络流量管控方法，其特征在于，所述零信任终端接管所述二层网络的流量代理与管控的具体过程包括：

根据所述资源访问权限清单生成本地流量规划；

根据所述本地流量规划对访问所述二层网络中的所述终端设备的流量进行控制。

6.根据权利要求5所述的网络流量管控方法，其特征在于，还包括：

根据所述本地流量规划对访问三层及以上网络的业务系统的流量进行控制，或通过零信任网关对访问三层及以上网络的业务系统的流量进行管控。

7.根据权利要求1至6任意一项所述的网络流量管控方法，其特征在于，在所述对连接的各终端设备进行入网认证之前，还包括：

判断连接的所述PC是否设置有所述零信任终端；

若是，则进入所述对连接的各终端设备进行入网认证的步骤；

若否，则根据控制策略禁止所述PC的访问流量。

8.一种网络流量管控装置，其特征在于，应用于二层交换机；所述装置包括：

第一认证模块，用于对连接的各终端设备进行入网认证；其中，所述终端设备至少包含设置有零信任终端的PC；

第二认证模块，用于与零信任控制器共同对通过所述入网认证的所述PC进行单包认证；

接收模块，用于若所述PC通过所述单包认证，则接收所述零信任控制器发送的资源访问权限清单；

发送模块，用于发送所述资源访问权限清单至所述PC，以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。

9.一种网络流量管控设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的网络流量管控方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络流量管控方法的步骤。