[发明专利]针对使能IEEE 802.1X的网络的多因素授权

说明书

本公开公开了用于提供针对使能IEEE 802.1x的网络的多因素授权的系统和方法。具体地，网络设备经由网络认证协议来认证客户端设备以获得对网络中的网络资源的访问。网络设备然后检测设备隔离触发器，其指示客户端设备的当前用户是未经认证用户的增加的可疑级别。响应于设备隔离触发器，网络设备临时将客户端设备从已认证状态放置到隔离状态直到特定工作流程被当前用户完成。不管先前成功的用户和/或设备认证，客户端设备在隔离状态中时对网络资源具有受限的访问。

技术领域

本公开的实施例涉及网络认证。特别地，本公开的实施例描述用于提供针对使能IEEE 802.1x的网络的多因素授权的系统和方法。

背景技术

目前，当客户端设备连接到使能IEEE 802.1x的网络或者被供应对使能IEEE802.1x的网络的访问时，客户端设备将在所有后续认证尝试时透明地连接到该网络。透明访问可经由诸如高速缓存的凭证、设备证书等的技术来递送。例如，先前已经根据IEEE802.1x协议认证的客户端设备可在不需要任何附加用户输入的情况下向认证服务器呈现设备凭证。

然而，不存在使网络基础结构对在客户端设备后面的用户授权的方法。因此，网络访问仅由防止其他用户误用客户端设备和不适当地访问网络资源的本地密码策略来保护。如果非法用户在客户端设备被本地密码锁定之前获得对客户端设备的访问，或者如果非法用户盗取客户端设备的本地密码，则非法用户将能够获得与客户端设备的所有者相同的对网络资源的访问。

为了解决上面的忧虑，网络管理员可以配置要求网络用户以频繁间隔改变他们的网络凭证的网络策略。因此，网络基础结构暴露可以被限于密码轮换策略的程度。然而，此类网络策略常常应用于所有网络用户并且对合法的网络用户产生极大的不便和负担。

因此，合期望的是在使能IEEE 802.1x的网络中具有附加的安全保护以实现至少两个目的。第一，非法获得对先前认证的客户端设备的占有的用户将不能接收对网络资源的认证。第二，附加的安全保护不会向适当地认证的客户端设备的合法用户添加过度的负担。

详细描述

在以下描述中，呈现若干具体细节以提供透彻理解。虽然本公开的背景针对网络认证，然而，相关领域中的技术人员将认识到，在本文中公开的概念和技术可以在没有具体细节中的一个或多个的情况下或者结合其他组件等来实践。在其他实例中，未详细地示出或描述公知的实现或操作以避免使在本文中公开的各种示例的各方面模糊。应当理解，本公开涵盖落在本公开的精神和范围内的所有修改、等同和替代。

附图说明

通过参考用于说明本公开的实施例的以下描述和随附各图，可以最好地理解本公开。

图1是图示根据本公开的实施例的支持IEEE 802.1x认证的示例性网络环境的框图。

图2A-2B示出根据本公开的实施例的支持设备凭证供应的示例性网络基础结构。

图3是图示根据本公开的实施例的用于在使能IEEE 802.1x的网络中的多因素授权的示例性网络环境的框图。

图4A-4B是图示根据本公开的实施例的涉及在使能IEEE 802.1x的网络中的多因素授权的示例性网络通信交换的序列图。

图5是图示根据本公开的实施例的用于在使能IEEE 802.1x的网络中提供多因素授权的过程的流程图。

图6是图示根据本公开的实施例的用于在使能IEEE 802.1x的网络中提供多因素授权的系统的框图。

概述

本公开的实施例涉及网络认证。特别地，本公开的实施例描述用于在使能IEEE802.1x的网络中提供多因素授权的系统和方法。