在网络中使权利跟随终端设备的方法和装置制造方法及图纸

系统和方法允许以与设备在何处连接到网络无关的方式来在该网络处跟踪该设备。实施例可以识别与安全策略相关联的设备先前已经连接到网络。作为响应，确定设备与现有会话ID和设备跟踪信息之间的匹配，其中，现有会话ID和设备跟踪信息独立于设备在网络中的何处连接。基于匹配，将安全策略应用于设备。

【技术实现步骤摘要】
【国外来华专利技术】在网络中使权利跟随终端设备的方法和装置相关申请的交叉引用本申请要求于2019年4月24日提交的题为“METHODANDAPPARATUSTOHAVEENTITLEMENTFOLLOWTHEENDDEVICEINNETWORK”(在网络中使权利跟随终端设备的方法和装置)的美国非临时专利申请号16/393,680的权益和优先权，并要求于2018年11月21日提交的题为“METHODANDAPPARATUSTOHAVEENTITLEMENTFOLLOWTHEENDDEVICEINNETWORK”(在网络中使权利跟随终端设备的方法和装置)的美国临时专利申请号62/770,321的权益，它们的全部内容通过引用合并于此。
本公开的主题大体上涉及计算机联网领域，并且更具体地，涉及用于改进企业网络的操作的系统和方法。
技术介绍
园区网络可以提供与位于环境(例如，办公室、医院、学院和大学、石油和天然气设施、工厂、以及类似地点)中的计算设备(例如，服务器、工作站、台式计算机、膝上型计算机、平板电脑，移动电话等)和事物(例如，台式电话，安全相机，照明，供暖、通风及空调(heating,ventilating,andair-conditioning，HVAC)，窗户，门，锁，医疗设备，工业和制造设备等)的连接性。园区网络可能面临的一些独特挑战包括：集成有线和无线设备；加载可能在网络中任何地方出现的计算设备和事物并且在这些设备和事物在网络中从一个位置迁移到另一位置时保持连接性；支持自带设备(bringyourowndevice，BYOD)能力；连接物联网(Internet-of-Things，IoT)设备并向其供电；以及尽管存在与Wi-Fi接入、设备移动性、BYOD和IoT相关联的漏洞，但是仍要保护网络的安全。用于部署能够提供这些功能的网络的当前方法经常需要由高技能网络工程师操作若干不同的系统(例如，基于目录的身份服务；认证、授权和计费(authentication,authorization,andaccounting，AAA)服务、无线局域网(wirelesslocalareanetwork，WLAN)控制器；用于每个交换机、路由器或网络中其他网络设备的命令行接口；等等)并且手动将这些系统拼接在一起，来进行连续且广泛的配置和管理。这可能使网络部署变得困难且耗时，并且阻碍许多组织快速创新和采用新技术(例如，视频、协作和连接的工作区)的能力。附图说明为了提供对本公开及其特征和优点的更完整的理解，结合附图来参考以下描述，其中：图1示出了根据实施例的企业网络的物理拓扑的示例；图2示出了根据实施例的用于企业网络的逻辑架构的示例；图3A-图3I示出了根据实施例的用于网络管理系统的图形用户界面的示例；图4示出了根据实施例的用于多站点企业网络的物理拓扑的示例；图5A示出了根据实施例的使得权利能够在网络中跟随终端设备的流程图表示；图5B示出了根据一些实施例的跟随设备以应用一致权利的多网络环境的示例示意图；并且图6A和图6B示出了根据一些实施例的系统的示例。具体实施方式以下阐述的详细描述意在作为对实施例的各种配置的描述，而不意在代表可以实施本公开的主题的唯一配置。附图被并入本文并构成详细描述的一部分。为了提供对本公开的主题的更透彻的理解，详细描述包括具体细节。然而，将清楚并显而易见的是，本公开的主题不限于本文阐述的具体细节，并且可以在没有这些细节的情况下被实施。在一些实例中，以框图形式示出了结构和组件，以避免模糊本公开的主题的概念。概述在独立权利要求中陈述了本专利技术的各方面，并在从属权利要求中陈述了优选特征。一个方面的特征可以单独地或与其他方面相组合地应用于每个方面。系统和方法提供了在网络处以独立于设备在何处连接到该网络的方式来跟踪该设备。实施例可以识别与安全策略相关联的设备先前已经连接到网络。作为响应，确定设备与现有会话ID和设备跟踪信息之间的匹配，其中，现有会话ID和设备跟踪信息独立于设备在网络中所连接的位置。基于匹配，将安全策略应用于设备。示例实施例在一些情况下，设备可以在其附接到网络时基于其关于附接点和网络的授权和安全态势而被分配以网络服务权利(例如，访问控制列表(accesscontrollists，ACL)、服务质量(QualityofService，QoS)、虚拟局域网(virtuallocalareanetwork，VLAN))。当设备移动至其他的端口或网络时，必须基于该网络的要求重新计算权利。用户(例如，员工或学生)可能会尝试通过进入另一个安全性较低的网络(例如，访客网络)来逃避公司补丁和/或升级要求。受感染的设备可能是受感染的端点，并且如果这些端点可以从一个网络中除去并且重新连接到另一个网络(例如，设备可以从隔离网络中除去并且然后重新连接到访客网络)，则该受感染的端点可能会用新病毒感染其他端点和/或泄露数据。基于客户端的技术可以尝试在网络上强制实施一致的强制实施，但是这通常需要安装客户端软件(例如，态势/高级恶意软件防护(AdvancedMalwareProtection，AMP)客户端)，或者在端点内构建客户端驱动的强制实施(例如，制造商使用说明(ManufacturerUsageDescription，MUD))。此外，用户可能规避基于客户端软件的强制实施。例如，学生可能想逃避注册他们的设备。学生的笔记本电脑可能需要注册其资产以进行升级、打补丁等，从而符合政策(例如，学校的安全政策)。如果学生想避免升级、打补丁等，和/或在其笔记本电脑上安装被禁止的软件(例如，不符合学校安全政策的软件)，则学生可以通过下列方式来逃避被跟踪：通过虚拟专用网络(virtualprivatenetwork，VPN)来进入学校的网络，或者进入不同的网络。或者，除了进入学生网络之外，学生可以进入访客网络。本质上，学生可以进行网络跳转，以防止其笔记本电脑被要求遵守原始网络的安全策略(例如，防止最新的安全补丁)。为了解决这个问题，系统可以跟踪客户端的实际身份。不管学生在什么网络上，替代跟踪感知到的网络角色，网络将跟踪设备的实际身份，从而准确识别设备是否在进行网络跳转。换句话说，当涉及加密的流量分析时，本文公开的示例实施例可以使能解决客户端移动性问题的能力。如果考虑使用网络设备(无论其接入无线设备还是非无线设备)来收集关于某些客户端的网络信息并且然后将其导出到分析器系统，则常常会出现以下问题：如果客户端连接到网络的一部分，并且然后客户端移动并连接到网络的另一部分，则无论客户端走到哪里它都需要被跟随，以确保跟踪其网络流量。机制目前无法做到这一点。所公开的技术为上述问题提供了解决方案。该技术的机制和方法使用在网络设备(例如，交换机)中实现的IP设备跟踪，其可以从动态主机配置协议(DynamicHostConfigurationProtocol，DHCP)和/或域名服务器(DomainNameServer，DNS)本文档来自技高网...

【技术保护点】
1.一种用于以与设备在何处连接到网络无关的方式来在该网络处跟踪所述设备的方法，所述方法包括：/n通过确定设备与现有会话ID和设备跟踪信息之间是否存在匹配，来识别所述设备先前已经连接到所述网络，其中，所述设备与安全策略相关联，所述现有会话ID和设备跟踪信息无论所述设备在所述网络中的何处连接都是一致的；以及/n基于所述匹配，将所述安全策略应用于所述设备。/n

【技术特征摘要】
【国外来华专利技术】20181121 US 62/770,321;20190424 US 16/393,6801.一种用于以与设备在何处连接到网络无关的方式来在该网络处跟踪所述设备的方法，所述方法包括：
通过确定设备与现有会话ID和设备跟踪信息之间是否存在匹配，来识别所述设备先前已经连接到所述网络，其中，所述设备与安全策略相关联，所述现有会话ID和设备跟踪信息无论所述设备在所述网络中的何处连接都是一致的；以及
基于所述匹配，将所述安全策略应用于所述设备。


2.根据权利要求1所述的方法，其中，所述设备跟踪信息包括IP设备跟踪信息和远程认证拨入用户服务计费信息，所述IP设备跟踪信息跟踪本地连接到所述网络的设备的MAC地址和IP地址，并且所述远程认证拨入用户服务计费信息跟踪远程连接到所述网络的设备。


3.根据权利要求1或2所述的方法，还包括：
确定所述设备与所述现有会话ID和所述设备跟踪信息之间不存在匹配；
基于确定不存在匹配，分配当前会话ID；
接收关于与所述设备相关联的新授权的pxGrid通知；以及
存储所述当前会话ID。


4.根据权利要求1至3中任一项所述的方法，其中，基于所述匹配，获取特定于所述设备的先前授权。


5.根据权利要求1至4中任一项所述的方法，其中，识别所述设备已经连接到所述网络包括：
周期性地轮询所有设备以寻找新连接的设备。


6.根据权利要求1至5中任一项所述的方法，其中，识别所述设备已经连接到所述网络包括：
从SNMP陷阱接收关于如下内容的通知：所述设备已经连接。


7.根据权利要求1至6中任一项所述的方法，还包括：
基于所述设备在一段时间不活动，确定所述设备不再进行网络跳转；以及
基于所述确定，清除所述现有会话ID。


8.一种系统，包括：
服务器，用于以与设备在何处连接到网络无关的方式来在该网络处跟踪所述设备，所述服务器用于执行下列操作：
通过确定设备与现有会话ID和设备跟踪信息之间是否存在匹配，来识别所述设备先前已经连接到所述网络，其中，所述设备与安全策略相关联，所述现有会话ID和设备跟踪信息无论所述设备在所述网络中的何处连接都是一致的；以及
基于所述匹配，将所述安全策略应用于所述设备。


9.根据权利要求8所述的系统，其中，所述设备跟踪信息包括IP设备跟踪信息和远程认证拨入用户服务计费信息，所述IP设备跟踪信息跟踪本地连接到所述网络的设备的MAC地址和IP地址，并且所述远程认证拨入用户服务计费信息跟踪远程连接到所述网络的设备。


10.根据权利要求8或9所述的系统，所述服务器还用于执行下列操作：
确定所述设备与所述现有会话ID和所述设备跟踪信息之间不存在匹配；
基于确定不存在匹配，分配当前会话ID；以及
存储所述当前会话ID。


11.根据权利要求8至10中任一项所述的系统，其中，基于所述匹配，获取特定于所述设备的先前授权...

【专利技术属性】
技术研发人员：博克·子·黄，文卡塔拉曼·拉戈塔曼，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US