[发明专利]针对使能IEEE 802.1X的网络的多因素授权

权利要求书

1.一种包括指令的非瞬时计算机可读介质，所述指令在由一个或多个硬件处理器执行时引起包括以下各项的操作的执行：

经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问，其中经由所述网络认证协议认证所述客户端设备包括：

从所述客户端设备接收设备证书，其中在基于从所述客户端设备接收到有效用户凭证而与所述网络的先前的成功用户认证时，所述设备证书已经被发给所述客户端设备；以及

基于所述设备证书的有效性来认证所述客户端设备，以将所述客户端设备放置到已认证状态，而不要求所述设备的用户输入其网络凭证以用于认证；

在所述客户端设备处于所述已认证状态期间，检测设备隔离触发器，其指示客户端设备的当前用户是未经认证用户的增加的可疑级别；以及

响应于设备隔离触发器，临时将客户端设备从所述已认证状态放置到隔离状态直到特定工作流程被当前用户完成，其中不管先前成功的用户和/或设备认证，客户端设备在隔离状态中时对网络资源具有受限的访问。

2.根据权利要求1所述的介质，进一步包括：

发起多因素认证，其要求客户端设备的当前用户完成特定工作流程来确认当前用户的身份。

3.根据权利要求1所述的介质，进一步包括：

响应于由当前用户进行的特定工作流程的完成，将客户端设备从隔离状态放置到已认证状态；以及

响应于由当前用户进行的特定工作流程的失败，将客户端设备从隔离状态放置到未经认证状态，其中客户端设备在未经认证状态中时对网络资源具有受限的访问或不能访问网络资源。

4.根据权利要求1所述的介质，其中网络认证协议遵从IEEE802.1X标准。

5.根据权利要求1所述的介质，其中设备隔离触发器包括预定义时间间隔的流逝。

6.根据权利要求1所述的介质，其中设备隔离触发器包括客户端设备的姿势或地理位置的改变。

7.根据权利要求1所述的介质，其中设备隔离触发器包括阈值数目的连续失败的密码尝试。

8.根据权利要求1所述的介质，其中仅针对网络中的已认证客户端设备的子集发起特定工作流程，并且其中针对子集中的每个已认证客户端设备触发由网络策略定义的特定设备隔离触发器。

9.一种认证系统，包括：

至少一个设备，其包括硬件处理器；

系统被配置成执行包括以下各项的操作：

经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问，其中认证所述客户端设备包括：

从所述客户端设备接收设备证书，其中在基于从所述客户端设备接收到有效用户凭证而与所述网络的先前的成功用户认证时，所述设备证书已经被发给所述客户端设备；以及

基于所述设备证书的有效性来认证所述客户端设备，以将所述客户端设备放置到已认证状态，而不要求所述设备的用户输入其网络凭证以用于认证；

在所述客户端设备处于所述已认证状态期间，检测设备隔离触发器，其指示客户端设备的当前用户是未经认证用户的增加的可疑级别；以及

响应于设备隔离触发器，临时将客户端设备从所述已认证状态放置到隔离状态直到特定工作流程被当前用户完成，其中不管先前成功的用户和/或设备认证，客户端设备在隔离状态中时对网络资源具有受限的访问。

10.根据权利要求9所述的系统，进一步包括：

发起多因素认证，其要求客户端设备的当前用户完成特定工作流程来确认当前用户的身份。

11.根据权利要求9所述的系统，进一步包括：

响应于由当前用户进行的特定工作流程的完成，将客户端设备从隔离状态放置到已认证状态；以及

响应于由当前用户进行的特定工作流程的失败，将客户端设备从隔离状态放置到未经认证状态，其中客户端设备在未经认证状态中时对网络资源具有受限的访问或不能访问网络资源。