针对使能IEEE 802.1X的网络的多因素授权制造技术

本发明专利技术公开了用于提供针对使能IEEE 802.1x的网络的多因素授权的系统和方法。具体地，网络设备经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问。网络设备然后检测设备隔离触发器，其指示客户端设备的当前用户是未经认证用户的增加的可疑级别。响应于设备隔离触发器，网络设备临时将客户端设备从已认证状态放置到隔离状态直到特定工作流程被当前用户完成。不管先前成功的用户和/或设备认证，客户端设备在隔离状态中时对网络资源具有受限的访问。

Multi factor authorization for networks that enable IEEE 802.1X

The invention discloses a system and method for providing for the multi factor IEEE 802.1x network authorization. Specifically, network devices authenticate client devices via network authentication protocols to gain access to network resources in the network. The network device then detects the device isolation trigger indicating that the current user of the client device is a suspicious level of increasing the unauthenticated user. In response to device isolation triggers, network devices temporarily place client devices from the authenticated state to the isolated state until the specific workflow is completed by the current users. Regardless of previously successful user and / or device authentication, client devices have limited access to network resources during isolation.

【技术实现步骤摘要】
【国外来华专利技术】针对使能IEEE802.1X的网络的多因素授权
本公开的实施例涉及网络认证。特别地，本公开的实施例描述用于提供针对使能IEEE802.1x的网络的多因素授权的系统和方法。
技术介绍
目前，当客户端设备连接到使能IEEE802.1x的网络或者被供应对使能IEEE802.1x的网络的访问时，客户端设备将在所有后续认证尝试时透明地连接到该网络。透明访问可经由诸如高速缓存的凭证、设备证书等的技术来递送。例如，先前已经根据IEEE802.1x协议认证的客户端设备可在不需要任何附加用户输入的情况下向认证服务器呈现设备凭证。然而，不存在使网络基础结构对在客户端设备后面的用户授权的方法。因此，网络访问仅由防止其他用户误用客户端设备和不适当地访问网络资源的本地密码策略来保护。如果非法用户在客户端设备被本地密码锁定之前获得对客户端设备的访问，或者如果非法用户盗取客户端设备的本地密码，则非法用户将能够获得与客户端设备的所有者相同的对网络资源的访问。为了解决上面的忧虑，网络管理员可以配置要求网络用户以频繁间隔改变他们的网络凭证的网络策略。因此，网络基础结构暴露可以被限于密码轮换策略的程度。然而，此类网络策略常常应用于所有网络用户并且对合法的网络用户产生极大的不便和负担。因此，合期望的是在使能IEEE802.1x的网络中具有附加的安全保护以实现至少两个目的。第一，非法获得对先前认证的客户端设备的占有的用户将不能接收对网络资源的认证。第二，附加的安全保护不会向适当地认证的客户端设备的合法用户添加过度的负担。详细描述在以下描述中，呈现若干具体细节以提供透彻理解。虽然本公开的背景针对网络认证，然而，相关领域中的技术人员将认识到，在本文中公开的概念和技术可以在没有具体细节中的一个或多个的情况下或者结合其他组件等来实践。在其他实例中，未详细地示出或描述公知的实现或操作以避免使在本文中公开的各种示例的各方面模糊。应当理解，本公开涵盖落在本公开的精神和范围内的所有修改、等同和替代。附图说明通过参考用于说明本公开的实施例的以下描述和随附各图，可以最好地理解本公开。图1是图示根据本公开的实施例的支持IEEE802.1x认证的示例性网络环境的框图。图2A-2B示出根据本公开的实施例的支持设备凭证供应的示例性网络基础结构。图3是图示根据本公开的实施例的用于在使能IEEE802.1x的网络中的多因素授权的示例性网络环境的框图。图4A-4B是图示根据本公开的实施例的涉及在使能IEEE802.1x的网络中的多因素授权的示例性网络通信交换的序列图。图5是图示根据本公开的实施例的用于在使能IEEE802.1x的网络中提供多因素授权的过程的流程图。图6是图示根据本公开的实施例的用于在使能IEEE802.1x的网络中提供多因素授权的系统的框图。概述本公开的实施例涉及网络认证。特别地，本公开的实施例描述用于在使能IEEE802.1x的网络中提供多因素授权的系统和方法。利用本文中提供的解决方案，网络设备经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问。网络设备然后检测设备隔离（quarantine）触发器。可以以预定义间隔（例如一周一次、一月一次、一季度一次、一学期一次等）或按需基于客户端设备的当前用户是未经认证用户的增加的可疑级别的指示、或二者的组合来触发设备隔离触发器。响应于设备隔离触发器，网络设备临时将客户端设备从已认证状态放置到隔离状态直到特定工作流程被当前用户完成。不管先前成功的用户和/或设备认证，客户端设备在隔离状态中时对网络资源具有受限的访问。接下来，网络设备发起多因素认证，其要求客户端设备的当前用户完成特定工作流程来确认当前用户的身份。响应于由当前用户进行的特定工作流程的完成，网络设备将客户端设备从隔离状态放置到已认证状态。响应于由当前用户进行的特定工作流程的失败，网络设备将客户端设备从隔离状态放置到未经认证状态。客户端设备在未经认证状态中时对网络资源具有受限的访问或不能访问网络资源。在一些实施例中，仅针对网络中的已认证客户端设备的子集发起特定工作流程。此外，针对子集中的每个已认证客户端设备触发由网络策略定义的特定设备隔离触发器。客户端设备凭证供应图1是图示根据本公开的实施例的支持IEEE802.1x认证的示例性网络环境的框图。图2A-2B示出根据本公开的实施例的支持设备凭证供应的示例性网络基础结构。根据本公开的该实施例，网络100是具有根据标题为“基于端口的网络访问控制”（2010）的电气与电子工程师协会（IEEE）802.1X的基于端口的网络访问控制的局域网（LAN）。此类访问控制被适配成提供防备电子设备获得对各种网络资源150（例如因特网、内部数据库等）的未授权访问的安全性。更具体地，根据IEEE802.1X标准的认证包含在（i）设法加入网络100的电子设备（例如客户端设备110）与（ii）形成网络100的某些组件（即网络基础结构120和认证系统130）之间的通信。如所示的，可以安置可选的防火墙140以使认证系统130与可公开访问的服务隔离。然而，将不关于下面描述的操作流程讨论防火墙140。如所图示的，网络基础结构120是被适配成支持认证系统130和客户端设备110之间的通信的电子设备的集合。此外，网络基础结构120被适配成最初限制对网络资源150的访问直到客户端设备110的身份已经被认证。规划网络基础结构120的组件可依赖所选的网络架构而变化。例如，如在网络100是无线局域网（WLAN）的图2A中所示的，网络基础结构120包括通过互连220耦合至控制器210的接入点（AP）200。在本文中，AP200被配置成与例如在其覆盖范围区内的无线电子设备（诸如客户端设备110）建立通信。控制器210被配置成监视由AP200从客户端设备110接收的消息并且确定要将什么“角色”分配给客户端设备110。换言之，控制器210向客户端设备110分配具体角色（例如网络访问级别），其可部分或完全地限制客户端设备110对网络资源150的访问直到客户端设备110的身份已经被认证。作为示例，控制器210可通过将某些消息从客户端设备110重定向到认证系统130支持的强制网络门户实例230来限制对网络资源150的访问。替代地，如在网络100是支持与客户端设备110的有线连通性的局域网（LAN）的图2B中所示的，网络基础结构120包括一个或多个数据传送设备，诸如可管理的交换机240（例如802.1X交换机）和路由器250，它们也为客户端设备110确定特定角色。在客户端设备110第一次尝试加入网络100的情况下，可管理的交换机240将客户端设备110分配到供应角色，其可触发某些消息从客户端110到强制网络门户实例230的重定向直到客户端设备110的身份已经被认证。参考回图1，在已经与客户端设备110建立通信路径之后，网络基础结构120内的电子设备，诸如控制器210或交换机/路由器240和250（在下文中一般被称为“认证器”160），可执行设备指纹识别。“设备指纹识别”包含监视由客户端设备110传输的初始消息以确定客户端设备110是否先前已被认证。一个类型的“设备指纹识别”包含分析DHCP发现消息的DHCP选项字段内的内容。客户端设备110在为了获得本文档来自技高网...

【技术保护点】
一种包括指令的非瞬时计算机可读介质，所述指令在由一个或多个硬件处理器执行时引起包括以下各项的操作的执行：经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问；检测设备隔离触发器，其指示客户端设备的当前用户是未经认证用户的增加的可疑级别；以及响应于设备隔离触发器，临时将客户端设备从已认证状态放置到隔离状态直到特定工作流程被当前用户完成，其中不管先前成功的用户和/或设备认证，客户端设备在隔离状态中时对网络资源具有受限的访问。

【技术特征摘要】
【国外来华专利技术】2015.04.29 US 14/6994201.一种包括指令的非瞬时计算机可读介质，所述指令在由一个或多个硬件处理器执行时引起包括以下各项的操作的执行：经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问；检测设备隔离触发器，其指示客户端设备的当前用户是未经认证用户的增加的可疑级别；以及响应于设备隔离触发器，临时将客户端设备从已认证状态放置到隔离状态直到特定工作流程被当前用户完成，其中不管先前成功的用户和/或设备认证，客户端设备在隔离状态中时对网络资源具有受限的访问。2.根据权利要求1所述的介质，进一步包括：发起多因素认证，其要求客户端设备的当前用户完成特定工作流程来确认当前用户的身份。3.根据权利要求1所述的介质，进一步包括：响应于由当前用户进行的特定工作流程的完成，将客户端设备从隔离状态放置到已认证状态；以及响应于由当前用户进行的特定工作流程的失败，将客户端设备从隔离状态放置到未经认证状态，其中客户端设备在未经认证状态中时对网络资源具有受限的访问或不能访问网络资源。4.根据权利要求1所述的介质，其中网络认证协议遵从IEEE802.1X标准。5.根据权利要求1所述的介质，其中经由网络认证协议认证客户端设备包括：从客户端设备接收用户凭证信息；基于用户凭证信息的有效性来认证客户端设备。6.根据权利要求1所述的介质，其中经由网络认证协议认证客户端设备包括：从客户端设备接收设备证书，其中设备证书已经被在先前的成功认证时发给客户端设备；基于设备证书的有效性来认证客户端设备。7.根据权利要求1所述的介质，其中设备隔离触发器包括预定义时间间隔的流逝。8.根据权利要求1所述的介质，其中设备隔离触发器包括客户端设备的姿势或地理位置的改变。9.根据权利要求1所述的介质，其中设备隔离触发器包括阈值数目的连续失败的密码尝试。10.根据权利要求1所述的介质，其中仅针对网络中的已认证客户端设备的子集发起特定工作流程，并且其中针对子集中的每个已认证客户端设备触发由...

【专利技术属性】
技术研发人员：C埃斯戴勒，
申请(专利权)人：安移通网络公司，
类型：发明
国别省市：美国,US