(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111566813.3 (22)申请日 2021.12.20 (71)申请人 北京北信源软件股份有限公司 地址 100081 北京市海淀区中关村南大街 34号中关村科技发展大厦C座16 02室 (72)发明人 林皓　刘建兵　王振欣　杨泳　 (74)专利代理 机构 北京开阳星知识产权代理有 限公司 1 1710 代理人 王雪 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 49/10(2022.01) (54)发明名称 网络安全防护方法、 系统、 装置、 安全交换机 及存储介质 (57)摘要 本申请涉及一种网络安全防护方法、 系统、 装置、 安全交换机及存储介质， 所述方法包括： 安 全交换机通过获取管理平台设备的第一身份标 识和自身的第二身份标识， 并利用第一身份标识 对第二身份标识进行加密， 生成第一密文， 进而 将第一密文发送给管理平台设备进行身份认证， 以使管理平台设备利用第一私钥从第一密文中 解密出第二身份标识， 并在管 理平台设备查询到 本地身份数据库中存在第二身份标识时， 确定安 全交换机认证成功； 进而在安全交换机认证成功 后， 对接入终端进行身份认证， 并在接入终端认 证成功的情况下， 开启网络通路以使接入终端进 行网络通信。 本申请可以构建企业网络统一完整 的终端接入网络的网络边界， 避免终端非法接入 的违规行为。 权利要求书2页 说明书10页 附图4页 CN 114374508 A 2022.04.19 CN 114374508 A 1.一种网络安全防护方法， 其特 征在于， 应用于安全交换机， 所述方法包括： 获取管理平台设备的第一身份标识和所述 安全交换机的第二身份标识； 利用所述第一身份标识对所述第二身份标识进行加密， 生成第一密文； 将所述第一密文发送给所述管理平台设备进行身份认证， 以使所述管理平台设备利用 第一私钥从所述第一密文中解密出所述第二身份标识， 并在查询到所述管理平台设备的本 地身份数据库中存在所述第二身份标识时， 确定所述安全交换机认证成功； 其中， 所述第一 私钥是根据所述第一身份标识， 通过 标识公钥安全技 术生成的； 在所述安全交换机认证成功后， 对接入终端 进行身份认证； 在所述接入终端认证成功的情况 下， 开启网络通路以使所述接入终端 进行网络通信。 2.根据权利要求1所述的方法， 其特征在于， 所述接入终端中安装有认证客户端软件， 所述对接入终端 进行身份认证， 包括： 获取所述接入终端的MAC地址； 向所述管理平台设备发送信息请求， 所述信息请求中包括所述接入终端的MAC地址； 接收所述管理平台设备基于所述信 息请求返回的响应信 息， 所述响应信 息中包括所述 管理平台设备根据所述接入终端的MAC地址查询到的所述接入终端的第三身份标识； 利用所述第三身份标识对预设报文 进行加密， 生成第二密文； 将所述第二密文发送给所述认证客户端软件， 以使所述认证客户端软件利用第 二私钥 对所述第二密文进行解密， 得到解密信息， 并将所述解密信息返回给所述安全交换机； 其 中， 所述第二私钥是根据所述第三身份标识， 通过 所述标识公钥安全技 术生成的； 在确定所述 解密信息与所述预设报文一 致的情况 下， 确定所述接入终端认证成功。 3.根据权利要求2所述的方法， 其特征在于， 所述第 一身份标识根据所述管理平台设备 的MAC地址确定， 所述第二身份标识 根据所述安全交换机的MAC地址确定， 以及， 所述第三身 份标识根据所述接入终端的MAC地址确定 。 4.一种网络安全防护系统， 其特征在于， 包括管理平台设备、 至少一个安全交换机和至 少一个接入终端； 其中， 所述安全交换机， 用于获取所述管理平台设备的第一身份标识和自身的第二身份标 识， 并利用所述第一身份标识对所述第二身份标识进 行加密， 生成第一密 文， 以及将所述第 一密文发送给所述管 理平台设备进行身份认证， 并在认证成功后对所述接入终端进行身份 认证， 在所述接入终端认证成功的情况 下， 开启网络通路； 所述管理平台设备， 用于将自身的第一身份标识发送给所述安全交换机， 并接收所述 安全交换机发送的第一密 文， 以及利用第一私钥从所述第一密文中解密出所述第二身份标 识， 并在查询 到本地身份数据库中存在所述第二身份标识 时， 确定所述安全交换机认证成 功； 其中， 所述第一私钥是根据所述第一身份标识， 通过 标识公钥安全技 术生成的； 所述接入终端， 用于在认证成功后， 通过所述安全交换机开启的所述网络通路进行网 络通信。 5.根据权利要求 4所述的系统， 其特 征在于， 所述接入终端中安装有认证客户端软件； 所述管理平台设备， 还用于接收所述安全交换机发送 的携带所述接入终端的MAC地址 的信息请求， 根据所述接入终端的MAC地址查询所述接入终端的第三身份标识， 并向所述安 全交换机返回携带 所述第三身份标识的响应信息；权　利　要　求　书 1/2 页 2 CN 114374508 A 2所述安全交换机， 还用于获取所述接入终端的MAC地址， 并在向所述管理平台设备发送 所述信息请求后， 接 收所述管理平台设备返回的所述响应信息， 并利用所述第三身份标识 对预设报文 进行加密， 生成第二密文， 以及将所述第二密文发送给 所述认证客户端软件； 所述认证客户端软件， 用于利用第 二私钥对所述第 二密文进行解密， 得到解密信 息， 并 将所述解密信息返回给所述安全交换机； 其中， 所述第二私钥是根据所述第三身份标识， 通 过所述标识公钥安全技 术生成的； 所述安全交换机， 还用于在确定所述解密信息与所述预设报文一致的情况下， 确定所 述接入终端认证成功。 6.根据权利要求5所述的系统， 其特 征在于， 所述安全交换机， 还用于根据所述安全交换机的MAC地址生成第二身份标识， 并保存所 述第二身份标识， 以及将所述第二身份标识导入至所述管理平台软件； 所述接入终端， 还用于根据 所述接入终端的MAC地址生成所述第三身份标识， 并根据所 述第三身份标识， 通过标识公钥安全技术生成所述第二私钥， 以及将所述第二私钥导入所 述认证客户端软件， 将接入终端的MAC地址与所述第三身份标识导入至所述管理平台设备； 所述管理平台设备， 还用于根据 所述管理平台设备的MAC地址生成所述第一身份标识， 并根据所述第一身份标识， 通过所述标识公钥安全技术生成所述第一私钥， 以及保存所述 第一身份标识和所述第一私钥； 将所述第二身份标识保存在所述本地身份数据库中， 以及 保存所述接入终端的MAC地址与所述第三身份标识的映射关系。 7.根据权利要求 4所述的系统， 其特 征在于， 所述管理平台设备包括显示屏； 所述管理平台设备， 还用于通过简单网络管理协议对认证成功的安全交换机进行监 控， 将所述认证成功的安全交换机的终端接入信息 显示在所述显示屏中。 8.一种网络安全防护装置， 其特 征在于， 包括： 获取模块， 用于获取 管理平台设备的第一身份标识和安全交换机的第二身份标识； 加密模块， 用于利用所述第一身份标识对所述第二身份标识进行加密， 生成第一密文； 发送模块， 用于将所述第一密文发送给所述管理平台设备进行身份认证， 以使所述管 理平台设备利用第一私钥从所述第一密 文中解密出所述第二身份标识， 并在查询到所述管 理平台设备的本地身份数据库中存在所述第二身份标识时， 确定所述安全交换机认证成 功； 其中， 所述第一私钥是根据所述第一身份标识， 通过 标识公钥安全技 术生成的； 身份认证模块， 用于在所述 安全交换机认证成功后， 对接入终端 进行身份认证； 开启模块， 用于在所述接入终端认证成功 的情况下， 开启网络通路 以使所述接入终端 进行网络通信。 9.一种安全交换机， 其特征在于， 包括： 处理器， 所述处理器用于执行存储于存储器的 计算机程序， 所述计算机程序被处理器执行时实现如权利要求1 ‑3任一项所述的网络安全 防护方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1 ‑3任一项所述的网络安全防护方法的步骤。权　利　要　求　书 2/2 页 3 CN 114374508 A 3