The invention discloses a system and method for providing for the multi factor IEEE 802.1x network authorization. Specifically, network devices authenticate client devices via network authentication protocols to gain access to network resources in the network. The network device then detects the device isolation trigger indicating that the current user of the client device is a suspicious level of increasing the unauthenticated user. In response to device isolation triggers, network devices temporarily place client devices from the authenticated state to the isolated state until the specific workflow is completed by the current users. Regardless of previously successful user and / or device authentication, client devices have limited access to network resources during isolation.
【技术实现步骤摘要】
【国外来华专利技术】针对使能IEEE802.1X的网络的多因素授权
本公开的实施例涉及网络认证。特别地,本公开的实施例描述用于提供针对使能IEEE802.1x的网络的多因素授权的系统和方法。
技术介绍
目前,当客户端设备连接到使能IEEE802.1x的网络或者被供应对使能IEEE802.1x的网络的访问时,客户端设备将在所有后续认证尝试时透明地连接到该网络。透明访问可经由诸如高速缓存的凭证、设备证书等的技术来递送。例如,先前已经根据IEEE802.1x协议认证的客户端设备可在不需要任何附加用户输入的情况下向认证服务器呈现设备凭证。然而,不存在使网络基础结构对在客户端设备后面的用户授权的方法。因此,网络访问仅由防止其他用户误用客户端设备和不适当地访问网络资源的本地密码策略来保护。如果非法用户在客户端设备被本地密码锁定之前获得对客户端设备的访问,或者如果非法用户盗取客户端设备的本地密码,则非法用户将能够获得与客户端设备的所有者相同的对网络资源的访问。为了解决上面的忧虑,网络管理员可以配置要求网络用户以频繁间隔改变他们的网络凭证的网络策略。因此,网络基础结构暴露可以被限于密码轮换策略的程度。然而,此类网络策略常常应用于所有网络用户并且对合法的网络用户产生极大的不便和负担。因此,合期望的是在使能IEEE802.1x的网络中具有附加的安全保护以实现至少两个目的。第一,非法获得对先前认证的客户端设备的占有的用户将不能接收对网络资源的认证。第二,附加的安全保护不会向适当地认证的客户端设备的合法用户添加过度的负担。详细描述在以下描述中,呈现若干具体细节以提供透彻理解。虽然本公开的背景针对网络 ...
【技术保护点】
一种包括指令的非瞬时计算机可读介质,所述指令在由一个或多个硬件处理器执行时引起包括以下各项的操作的执行:经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问;检测设备隔离触发器,其指示客户端设备的当前用户是未经认证用户的增加的可疑级别;以及响应于设备隔离触发器,临时将客户端设备从已认证状态放置到隔离状态直到特定工作流程被当前用户完成,其中不管先前成功的用户和/或设备认证,客户端设备在隔离状态中时对网络资源具有受限的访问。
【技术特征摘要】
【国外来华专利技术】2015.04.29 US 14/6994201.一种包括指令的非瞬时计算机可读介质,所述指令在由一个或多个硬件处理器执行时引起包括以下各项的操作的执行:经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问;检测设备隔离触发器,其指示客户端设备的当前用户是未经认证用户的增加的可疑级别;以及响应于设备隔离触发器,临时将客户端设备从已认证状态放置到隔离状态直到特定工作流程被当前用户完成,其中不管先前成功的用户和/或设备认证,客户端设备在隔离状态中时对网络资源具有受限的访问。2.根据权利要求1所述的介质,进一步包括:发起多因素认证,其要求客户端设备的当前用户完成特定工作流程来确认当前用户的身份。3.根据权利要求1所述的介质,进一步包括:响应于由当前用户进行的特定工作流程的完成,将客户端设备从隔离状态放置到已认证状态;以及响应于由当前用户进行的特定工作流程的失败,将客户端设备从隔离状态放置到未经认证状态,其中客户端设备在未经认证状态中时对网络资源具有受限的访问或不能访问网络资源。4.根据权利要求1所述的介质,其中网络认证协议遵从IEEE802.1X标准。5.根据权利要求1所述的介质,其中经由网络认证协议认证客户端设备包括:从客户端设备接收用户凭证信息;基于用户凭证信息的有效性来认证客户端设备。6.根据权利要求1所述的介质,其中经由网络认证协议认证客户端设备包括:从客户端设备接收设备证书,其中设备证书已经被在先前的成功认证时发给客户端设备;基于设备证书的有效性来认证客户端设备。7.根据权利要求1所述的介质,其中设备隔离触发器包括预定义时间间隔的流逝。8.根据权利要求1所述的介质,其中设备隔离触发器包括客户端设备的姿势或地理位置的改变。9.根据权利要求1所述的介质,其中设备隔离触发器包括阈值数目的连续失败的密码尝试。10.根据权利要求1所述的介质,其中仅针对网络中的已认证客户端设备的子集发起特定工作流程,并且其中针对子集中的每个已认证客户端设备触发由...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。