[发明专利]对网络提供增强型网络访问控制的方法和系统

说明书

本公开涉及一种用于对网络提供增强型网络访问控制的方法，所述方法包括：利用具有设置为默认禁用状态的多个MAB条目的数据库；使用MAC地址作为唯一标识符来将不具有802.1X能力的设备连接到所述网络；利用网络交换机来质询所述设备；将所述设备的所述MAC地址发送到RADIUS客户端，以针对已知记录进行认证；处理来自所述设备的连接请求；在验证所述连接请求时，准予对所述设备的访问；利用MAB救援应用程序来将所述设备的所述帐户状态暂时更改为启用状态；在启用所述帐户时，允许对所述设备进行端点认证；以及通过禁用所述网络上的所有MAB条目和新帐户来防止恶意端点访问所述网络。

技术领域

本申请涉及对网络提供增强型网络访问控制的方法和系统。

背景技术

本节中的陈述仅提供与本公开相关的背景信息，并且可能不构成现有技术。

本公开涉及网络访问控制，并且更具体地涉及围绕IEEE 802.1X认证的安全性问题。通常，大型组织和小型组织会将设备的媒体访问控制(MAC)地址注册作为网络访问控制机制，因为MAC地址作为每个设备的网络接口控制器(NIC)的唯一标识符操作。因此，MAC地址提供了对哪些设备可以和不可以对给定网络上的资源进行认证和/或访问资源的一些控制。然而，虽然MAC地址为唯一标识符，但实际上由于MAC欺骗的增长趋势，情况常常并非如此。也就是说，可复制已知设备和授权设备（诸如打印机、扫描仪等）的MAC，并且可使其与危险分子可能想要带入网络中的完全不同的设备相关联。通过在网络上复制和使用已知资源的MAC，危险分子可由此在网络上对他自己的设备赋予完全网络访问。因此，虽然使用802.1X安全性协议结合MAC地址注册的典型网络访问控制为它们的预期目的操作，但本领域中需要新的和改善的网络访问控制和控制框架，所述改善的网络访问控制和控制框架有效地消除在基于MAC或MAC认证旁路的访问控制框架中出现MAC欺骗的可能性，同时改善访问的便利性、冗余性、弹性、以及灾难恢复功能。

发明内容

根据本公开的若干方面，用于利用IEEE 802.1X认证标准对网络提供增强型网络访问控制(eNAC)的方法包括：利用具有多个媒体访问控制认证(MAB)条目的数据库；将数据库中的所有MAB条目和添加到数据库的所有新帐户设置为帐户禁用状态或到期状态；利用MAB救援应用程序来将不具有802.1X能力的设备的MAC地址的帐户状态在预定量的时间内更改为帐户启用状态或不到期状态。该方法还包括：使用不具有802.1X能力的设备的媒体访问控制(MAC)地址作为唯一的设备标识符来将不具有802.1X能力的设备连接到网络；在接收到并识别出该设备缺少802.1X能力时，利用网络交换机来质询该设备；将设备的MAC地址发送到远程认证拨入用户服务(RADIUS)客户端，以针对已知记录进行认证；以及在RADIUS客户端内处理通过将不具有802.1X能力的设备连接到网络而生成的连接请求。在验证连接请求并确定连接请求有效时，RADIUS设备向网络交换机发送权限验证并准予对不具有802.1X能力的设备的访问。该方法还包括：允许在预定量的时间期间对不具有802.1X能力的设备进行端点认证；以及通过确保网络上的所有MAB条目和新帐户处于帐户禁用状态或到期状态来防止恶意端点访问网络。

在本公开的另一方面，用于提供eNAC的方法还包括：在预定时间段内，相对于不具有802.1X能力的设备的先前网络位置，确定不具有802.1X能力的设备的精确网络位置。

在本公开的又一方面，用于eNAC的方法还包括确定网络上的每个启用了MAB的设备的精确网络位置。

在本公开的又一方面，用于eNAC的方法还包括生成活动MAB端口的清单。

在本公开的又一方面，利用MAB救援服务还包括：利用MAB救援服务来允许授权用户查询基于MAB的客户端访问状态的状态；以及在预定时间段内选择性地启用对基于MAB的客户端的访问。

在本公开的又一方面，用于eNAC的方法还包括：利用MAB救援服务来解决设施级客户端访问问题；以及选择性地且安全地启用帐户或使帐户不到期，并且在预定时间段内解决设施级客户端访问问题。