CN110099015B - 一种由网络交换设备执行的方法、网络交换设备及介质 - Google Patents
一种由网络交换设备执行的方法、网络交换设备及介质 Download PDFInfo
- Publication number
- CN110099015B CN110099015B CN201910097383.1A CN201910097383A CN110099015B CN 110099015 B CN110099015 B CN 110099015B CN 201910097383 A CN201910097383 A CN 201910097383A CN 110099015 B CN110099015 B CN 110099015B
- Authority
- CN
- China
- Prior art keywords
- network
- client device
- unidentified
- unidentified client
- attributes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及确定设备属性。一种示例方法,包括:检测到未识别的客户端设备加入网络,从去往和/或来自未识别的客户端设备的网络流量中检索与未识别的客户端设备的设备属性相关的信息,将基于该信息的查询发送到指纹服务器,以及接收响应于该查询的未识别的客户端设备的设备属性。
Description
背景技术
在一些网络中,可能期望基于关于设备的信息来为每个设备实施网络访问策略。设备指纹是一种有助于提供关于连接到网络的设备的更多信息的技术,例如设备中的操作系统、设备类型和设备制造商。
关于设备的信息可用于将策略应用到设备。例如,诸如摄像机之类的设备可能在某些网络中被允许访问特定服务器以上传实况摄像机馈送,并且被拒绝其他访问。诸如具有弱安全协议或没有安全协议的温度传感器之类的设备可以例如被分组在访客虚拟LAN(VLAN)内,其具有对网络、其他网络或网络上的资源的受限访问。
附图说明
现在将参考附图通过非限制性示例的方式描述示例,其中:
图1是网络交换设备中的方法的示例的流程图;
图2是网络的示例的示意图;
图3是网络交换设备中的方法的示例的流程图;
图4是用于确定设备的特性的装置的示例的示意图;并且
图5是机器可读介质的示例的示意图。
具体实施方式
在一些网络中,网络交换机可以接收由与网络交换机相关联的(例如,连接到其的)设备发送的通信,或接收发送到该设备的通信,并且适当地将这些通信交换(例如将通信转发)到该设备或另一网络节点。网络交换机还可以将这些通信转发到指纹服务器,指纹服务器可以分析通信并且导出设备属性,设备属性例如设备类型、设备制造商、设备操作系统、设备上安装的软件、操作系统或软件的版本和/或描述设备或其能力的任何其他信息。网络交换机可以例如使用端口镜像来转发通信。然而,将这些通信转发到指纹服务器可能使用相当大的网络资源 (诸如带宽),特别是在有大量设备访问网络并且需要指纹的情况下。
图1示出网络交换设备中的方法100的示例的流程图。在框102中,方法100 包括检测到未识别的客户端设备加入网络。未识别的客户端设备可以例如是先前未访问过网络的客户端设备(例如,通过任何节点或通过交换机),或者在一段时间内没有访问过网络的客户端设备。网络交换设备可以通过例如确定先前未由交换机或网络看到的设备的媒体访问控制(MAC)地址或者在一段时间内没有看到的设备的MAC地址,来识别客户端设备是未识别的设备。
方法100的框104包括从去往和/或来自未识别的客户端设备的网络流量中检索与未识别的客户端设备的设备属性相关的信息。该信息可以是由指纹服务器用来识别设备属性的信息。例如,该信息包含可用于识别设备属性的设备指纹,诸如设备类型(例如笔记本电脑、接入点、交换机、打印机)、设备操作系统(例如Windows、Linux、Mac OS)、操作系统的版本和/或任何其他属性。在一些示例中,信息可以是通信的副本(诸如由未识别的客户端设备发送或向未识别的客户端设备发送的分组),并且在一些示例中,可以是从这种通信中提取的信息。从通信中提取的信息的示例包括动态主机配置协议(DHCP)选项类型-长度-值(TLV)、DHCP请求、HTTP头用户代理字符串、HTTP分组、TCP SYN-ACK 消息头和/或链路层发现协议(LLDP)帧。更具体地,在一些示例中,该信息可以包括DHCP请求中的DHCP选项TLV 55和60,以及LLDP分组中的LLDP组织唯一标识符(OUI)和MAC OUI。
方法100的框106包括将基于该信息的查询发送到指纹服务器。查询可以采用任何合适的形式,例如,表示性状态转移(REST)查询。查询可以包含在框104 中检索的信息,或者可以包括信息的合适的表示。方法100的框108包括接收响应于该查询的未识别的客户端设备的设备属性。在一些示例中,可以从指纹服务器接收设备属性,并且在一些示例中可以采用任何合适的格式,例如REST响应。设备属性可以指示例如设备类型、设备制造商、设备操作系统、设备上安装的软件、操作系统或软件的版本和/或描述设备或其能力的任何其他信息。在一些示例中,交换机可以用提取的信息(例如设备指纹)主动查询指纹服务器,并且将该信息而不是整个分组转发到指纹服务器。
因此,在一些示例中,实现方法100的网络交换机可以充当信息的主动收集器并且可以主动查询指纹服务器,而不是简单地将所有通信转发到特定设备和/或从特定设备转发到指纹服务器。此外,在一些示例中,一旦网络交换机接收到指纹信息(例如,采用设备属性的形式),网络交换机就可以不转发与该设备相关的进一步信息或通信。然而,在一些示例中,网络交换机可以例如周期性地或者根据来自指纹服务器的请求这样做。
在一些示例中,一旦网络交换设备已经接收到设备属性,未识别的客户端设备就可以被视为识别的设备。结果,网络交换设备可以不向与该设备相关的指纹服务器发送进一步查询,并且还可以停止从去往或来自该设备的通信中检索信息。
在一些示例中,网络交换设备可以使用设备属性来配置网络交换设备。例如,网络交换设备可以配置客户端设备连接的或关联的端口。在一个示例中,网络交换设备可以配置客户端设备连接的端口的超时(例如,MAC老化值)。超时指定一时间段,如果在端口上没有从客户端设备接收到通信或者没有通信通过端口发送到客户端设备,则在该时间段期间,客户端被认为是从网络交换设备断开连接、取消关联或解除验证。一些客户端设备(例如相机)可能不经常访问网络(例如,发送或接收通信)。在一些示例中,网络交换设备可以为诸如相机之类的某些设备类型配置更长的超时,使得它们在正常操作条件下不太可能被视为断开连接、取消关联或解除验证。例如,设备可以在一时段的静默之后继续通过网络进行通信,而不需要重新连接或重新认证。在一些示例中,该端口配置可以由网络交换设备自动执行。
在一些示例中,设备属性可以由网络交换设备使用以基于设备属性来应用策略。例如,网络交换设备可以使用设备属性来确定如何处理去往或来自客户端设备的流量,例如允许的带宽、由客户端设备可访问的允许的服务器和/或任何其他流量处理过程。在一些示例中,策略可以由网络交换设备自动为客户端设备实现。
在另一示例使用场景中,网络可以包括多个相机,制造商已经为其发布了新的固件版本。然而,新固件版本可能包括允许恶意软件攻击的漏洞,并且因此实体(例如,网络控制器)可能需要针对相机设备类型或者至少具有新固件版本的相机进行网络访问限制。因此,指纹服务器可以指示网络中的交换机从设备(例如,所有设备、所有相机或具有新固件版本的所有相机)收集信息,并且将相关联的查询发送到指纹服务器,并且随后接收设备属性(例如,每个设备或相机使用的固件版本)。然后,网络交换机可以对具有新固件版本的那些相机强制执行更受限制的网络访问。在一些示例中,网络交换机还可以接收更新的设备配置文件作为对指纹服务器的查询的响应(例如,基于该信息的查询),该设备配置文件指示具有新固件版本的摄像机的更受限制的网络访问。尽管使用作为相机的设备类型作为示例,但是这可以应用于任何设备类型或任何其他设备属性。
图2示出网络200的示例的示意图。网络200包括网络交换设备202,网络交换设备202在一些示例中可以实现图1的方法100或图3的方法300(下面描述)。网络200还包括与网络交换设备202相关联或连接到网络交换设备202的客户端设备204,以及指纹服务器206。在一些示例中,例如,如果客户端设备204是未识别的客户端设备,则网络交换设备202可以从去往和/或来自客户端设备204的通信中检索信息,并且可以基于该信息将查询210发送到指纹服务器206。指纹服务器206可以对通过指纹服务器206从该信息导出的设备的设备属性220进行响应。
图3是网络交换设备中的方法300的示例的流程图。网络交换设备可以例如是图2中所示的设备202。在框302中,方法300包括检测到未识别的客户端设备 (例如,图2中所示的客户端设备204)加入网络,并且在框304中,在预定时间段内从去往和/或来自未识别的客户端设备的网络流量中检索与未识别的客户端设备的设备属性相关的信息。接下来,在框306中,方法300包括在预定时间段之后将基于该信息的查询发送到指纹服务器(例如,图2中所示的服务器206)。
在一些示例中,预定时间段在第一次检测到未识别的客户端设备时开始。因此,例如,只要网络交换设备检测到客户端设备(例如,从客户端设备接收通信或发送到客户端设备),网络交换设备就可以开始检索信息。然后,网络交换设备可以快速地从指纹服务器获得设备属性。
方法300的框308包括接收响应于该查询的未识别的客户端设备的设备属性。因此,在一些示例中,网络交换机可以在预定时间段内收集信息并且随后发送该查询。
方法300的框310包括停止检索信息以及停止将查询发送到指纹服务器。因此,例如一旦网络交换设备知道设备属性,就可以停止这些动作。在一些示例中,当网络交换设备已知设备属性时(例如,通过缓存来自指纹服务器的响应或以其他方式存储来自指纹服务器的信息),网络交换设备认为客户端设备被识别,并且因此不再需要检索信息和将查询发送到与客户端设备相关的指纹服务器。
方法300的框312包括基于设备的属性为去往或来自未识别的客户端设备的网络流量选择网络流量策略。这可以例如由网络交换设备自动完成。因此,设备属性可用于相对于客户端设备配置网络交换设备。
在一些示例中,从网络流量中提取的信息包括动态主机配置协议(DHCP)选项类型-长度-值(TLV)、DHCP请求、HTTP头用户代理字符串、HTTP分组、 TCP SYN-ACK消息头和/或链路层发现协议(LLDP)帧。
在一些示例中,设备属性包括设备的类型、设备的制造商、设备的操作系统、设备上安装的软件、设备的操作系统的版本和/或设备上安装的软件的版本。
图4是用于确定设备的特性的装置400的示例的示意图。在一些示例中,装置400可以是或包括在网络交换机中。装置400包括通信交换模块402以交换去往和/或来自设备的通信。例如,对于发送到设备的通信,通信交换模块402可以将通信提供到设备。对于由设备发送的通信,通信交换模块402可以将通信提供到适当的网络节点。
装置400还包括数据获取模块404,以从通信中获取信息。该信息可以是服务器(诸如指纹服务器)可以使用的信息,以确定设备的特性。该特性可以例如是设备类型、设备的制造商、设备的操作系统、设备上安装的软件、设备的操作系统的版本、设备上安装的软件的版本和/或任何其他设备特征。从通信获取的信息可以例如是至少动态主机配置协议(DHCP)选项类型-长度-值(TLV)、DHCP 请求、HTTP头用户代理字符串、HTTP分组、TCP SYN-ACK消息头和/或链路层发现协议(LLDP)帧。
装置400还包括特性确定模块406,以将信息发送到服务器(例如指纹服务器),并且从服务器接收作为响应的设备的特性的标识。一旦装置400已经接收到设备特性,数据获取模块404就可以停止从与设备相关联的通信中获取信息,并且特性确定模块406可以不再向服务器发送关于设备的查询。
在一些示例中,装置400还包括策略模块408,以基于设备的特性将通信管理策略应用到由设备发送的通信或从设备发送的通信。策略模块408是可选的,如由图4中的虚线轮廓所图示。因此,例如,装置400可以根据要应用到具有该特性或由该特性说明的特定指纹的设备的策略来管理发送到设备的通信或从设备发送的通信。这可以例如由装置400自动完成。在一些示例中,通信管理策略可以指定以下中的一个或多个:应该向其分配某些设备的VLAN、访问策略(访问控制列表,ACL)、服务的类(CoS)、以太网供电(POE)优先级、入口带宽、出口带宽和/或要应用到具有该属性的设备的通信管理的任何其他方面。
在一些示例中,装置400还包括配置模块410,以基于设备的特性来配置与设备相对应的端口的属性。配置模块410是可选的,如由图4中的虚线轮廓所图示。配置模块410可以例如基于设备特性(例如设备类型)配置端口的超时和/或可以基于设备特性配置端口的任何其他参数。例如,期望不经常通信的相机或其他设备可以被给予比至少一些其他设备类型更长的超时。
图5是包括指令502的非瞬态机器可读介质500的示例的示意图,指令502 在由分组交换装置506中的处理器504执行时,使得处理器504从来自网络节点的网络流量中收集508与网络节点(例如,网络终端客户端设备)的特征相关的数据,将该数据转发510到标识节点以从数据中识别网络节点的特征,以及从标识节点接收512网络节点的特征的标识。在一些示例中,特征可以例如是网络节点类型、网络节点的制造商、网络节点的操作系统、网络节点上安装的软件、网络节点的操作系统的版本、网络节点上安装的软件的版本和/或任何其他网络节点特性。从网络流量收集的数据可以例如是至少动态主机配置协议(DHCP)选项类型-长度-值(TLV)、DHCP请求、HTTP头用户代理字符串、HTTP分组、TCP SYN-ACK消息头和/或链路层发现协议(LLDP)帧。指令502可以例如在作为或实现网络交换机的特征的设备中执行。
在一些示例中,指令502在由处理器504执行时,使处理器504在一预定时间段收集数据,并且在预定时间段之后将数据转发到标识节点。
在一些示例中,指令502在由处理器504执行时,使得处理器504识别网络节点不是先前被处理器504检测到的。例如,网络节点的MAC地址不是先前由网络交换机看到的,或者在某时间量内网络交换机没有看到。
本公开中的示例可以作为方法、系统或机器可读指令提供,诸如软件,硬件,固件等的任何组合。这样的机器可读指令可以包括在其中或其上具有计算机可读程序代码的计算机可读存储介质(包括但不限于硬盘存储、CD-ROM、光学存储等)上。
参考根据本公开的示例的方法、设备和系统的流程图和/或框图来描述本公开。尽管上述流程图示出了特定的执行顺序,但是执行顺序可以与所描绘的顺序不同。关于一个流程图描述的块可以与另一个流程图的那些框组合。应当理解,流程图和/或框图中的每个流程和/或框以及流程图和/或框图中的流程和/或图的组合可以通过机器可读指令实现。
机器可读指令可以例如由通用计算机、专用计算机、嵌入式处理器或其他可编程数据处理设备的处理器执行,以实现说明书和图中描述的功能。具体地,处理器或处理装置可以执行机器可读指令。因此,装置和设备的功能模块可以由执行存储在存储器中的机器可读指令的处理器来实现,或者根据嵌入在逻辑电路中的指令操作的处理器来实现。术语“处理器”将被广义地解释为包括CPU、处理单元、ASIC、逻辑单元或可编程门阵列等。方法和功能模块可全部由单个处理器执行或在多个处理器之间分配。
这样的机器可读指令还可以存储在计算机可读储存器中,该计算机可读储存器可以引导计算机或其他可编程数据处理设备以特定模式操作。
这样的机器可读指令也可以加载到计算机或其他可编程数据处理设备上,使得计算机或其他可编程数据处理设备执行一系列操作以产生计算机实现的处理,从而在计算机上执行指令或者其他可编程设备实现由流程图中的流程和/或框图中的框指定的功能。
此外,本文的教导可以采用计算机软件产品的形式实现,计算机软件产品存储在存储介质中并且包括用于使计算机设备实现在本公开的示例中记载的方法的多个指令。
尽管已经参考某些示例描述了方法、装置和相关方面,但是在不脱离本公开的精神的情况下,可以进行各种修改、改变、省略和替换。因此,意图是该方法、装置和相关方面仅由所附权利要求及其等同物的范围限制。应当注意,上述示例说明而不是限制本文描述的内容,并且本领域技术人员将能够在不脱离所附权利要求的范围的情况下设计许多替代实施方式。
词语“包括”不排除权利要求中列出的元件之外的元件的存在,“一”不排除多个,并且单个处理器或其他单元可以实现权利要求中记载的若干单元的功能。
任何从属权利要求的特征可以与任何独立权利要求或其他从属权利要求的特征组合。
Claims (20)
1.一种由网络交换设备执行的方法,所述方法包括:
由所述网络交换设备检测到未识别的客户端设备加入网络,其中所述未识别的客户端设备已经在阈值时间段内未访问所述网络;
由所述网络交换设备从去往或来自所述未识别的客户端设备的网络流量提取与所述未识别的客户端设备的设备属性相关的信息;
由所述网络交换设备将基于所述信息的查询传输到指纹服务器;
由所述网络交换设备接收响应于所述查询的所述未识别的客户端设备的所述设备属性;
当所述设备属性匹配不频繁地加入所述网络的特定类型的设备时,延长所述阈值时间段以与针对所述特定类型的设备的新阈值时间段一致,其中所述新阈值时间段防止所述未识别的客户端设备在随后尝试加入所述网络时要求到所述网络的重新连接或重新认证;以及
基于所述设备属性来配置所述网络交换设备的端口。
2.根据权利要求1所述的方法,包括:基于所述设备属性,为去往或来自所述未识别的客户端设备的网络流量选择网络流量策略。
3.根据权利要求1所述的方法,其中:
提取所述信息在预定时间段内执行;并且
将所述查询发送到所述指纹服务器在所述预定时间段之后执行。
4.根据权利要求3所述的方法,其中,所述预定时间段在第一次检测到所述未识别的客户端设备时开始。
5.根据权利要求1所述的方法,进一步包括:在接收到所述未识别的客户端设备的所述设备属性之后,停止提取所述信息并且停止将所述查询发送到所述指纹服务器。
6.根据权利要求1所述的方法,其中从所述网络流量提取的所述信息包括:动态主机配置协议DHCP选项类型-长度-值TLV、DHCP请求、HTTP头用户代理字符串、HTTP分组、TCP SYN-ACK消息头、或链路层发现协议LLDP帧。
7.根据权利要求1所述的方法,其中,所述设备属性包括所述未识别的客户端设备的类型、所述未识别的客户端设备的制造商、所述未识别的客户端设备的操作系统、所述未识别的客户端设备上安装的软件、所述未识别的客户端设备的操作系统的版本、或所述未识别的客户端设备上安装的软件的版本。
8.根据权利要求1所述的方法,其中所述未识别的客户端设备是温度传感器。
9.根据权利要求1所述的方法,其中所述设备属性是操作系统版本。
10.根据权利要求1所述的方法,其中从所述网络流量提取的所述信息是动态主机配置协议DHCP选项类型-长度-值TLV。
11.根据权利要求1所述的方法,其中从所述网络流量提取的所述信息是TCP SYN-ACK消息头或链路层发现协议LLDP帧。
12.根据权利要求1所述的方法,其中所述端口的配置包括:配置所述端口的超时,在所述端口处所述未识别的客户端设备被连接。
13.一种用于确定未识别的客户端设备的特性的装置,所述装置包括:
存储器;以及
处理器,其中所述处理器被配置为执行被存储在所述存储器上的指令以执行方法,所述方法包括:
检测到所述未识别的客户端加入网络,其中所述未识别的客户端设备已经在阈值时间段内未访问所述网络;
从去往或来自所述未识别的客户端设备的通信提取与所述未识别的客户端设备的设备属性相关的信息;
将基于所述信息的查询传输到指纹服务器;
作为响应,从所述指纹服务器接收所述未识别的客户端设备的所述特性的标识;
当所述设备属性匹配不频繁地加入所述网络的特定类型的设备时,延长所述阈值时间段以与针对所述特定类型的设备的新阈值时间段一致,其中所述新阈值时间段防止所述未识别的客户端设备在随后尝试加入所述网络时要求到所述网络的重新连接或重新认证;以及
基于所述设备属性来配置端口。
14.根据权利要求13所述的装置,其中所述装置包括网络交换机。
15.根据权利要求14所述的装置,还包括:基于所述未识别的客户端设备的所述特性来应用策略。
16.根据权利要求14所述的装置,还包括:基于所述未识别的客户端设备的所述特性来配置与所述未识别的客户端设备相对应的端口的属性。
17.根据权利要求13所述的装置,其中所述未识别的客户端设备的所述特性包括所述未识别的客户端设备的类型、所述未识别的客户端设备的制造商、所述未识别的客户端设备的操作系统、所述未识别的客户端设备上安装的软件、所述未识别的客户端设备的操作系统的版本、或所述未识别的客户端设备上安装的软件的版本。
18.一种包括指令的非瞬态机器可读介质,所述指令在由分组交换装置中的处理器执行时,使得所述处理器:
从来自网络节点的网络流量收集与所述网络节点的特征相关的数据,其中所述网络节点已经在阈值时间段内未访问所述网络;
将所述数据传输到标识节点以从所述数据识别所述网络节点的所述特征,其中所述数据使用查询被传输给所述标识节点;
从所述标识节点接收响应于所述查询的所述网络节点的所述特征的标识,其中设备属性被接收以作为响应;
当所述设备属性匹配不频繁地加入所述网络的特定类型的设备时,延长所述阈值时间段以与针对所述特定类型的设备的新阈值时间段一致,其中所述新阈值时间段防止未识别的客户端设备在随后尝试加入所述网络时要求到所述网络的重新连接或重新认证;以及
基于所述网络节点的所述特征来配置所述分组交换装置的属性。
19.根据权利要求18所述的机器可读介质,其中所述指令在由所述处理器执行时,使得所述处理器在一预定时间段收集所述数据并且在所述预定时间段之后将所述数据转发给所述标识节点。
20.根据权利要求18所述的机器可读介质,其中所述指令在由所述处理器执行时,使得所述处理器识别出所述网络节点先前在预定时间段内未被所述处理器检测到。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/884,877 | 2018-01-31 | ||
| US15/884,877 US10999274B2 (en) | 2018-01-31 | 2018-01-31 | Determining a device property |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110099015A CN110099015A (zh) | 2019-08-06 |
| CN110099015B true CN110099015B (zh) | 2021-12-07 |
Family
ID=65363039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910097383.1A Active CN110099015B (zh) | 2018-01-31 | 2019-01-31 | 一种由网络交换设备执行的方法、网络交换设备及介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10999274B2 (zh) |
| EP (1) | EP3522487B1 (zh) |
| CN (1) | CN110099015B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10999274B2 (en) | 2018-01-31 | 2021-05-04 | Hewlett Packard Enterprise Development Lp | Determining a device property |
| CN113133083B (zh) * | 2019-12-31 | 2023-02-07 | 北京华为数字技术有限公司 | 一种无线局域网通信方法、接入点、控制器 |
| CN113641398A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种Ubuntu操作系统版本的识别方法、装置及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090111466A (ko) * | 2008-04-22 | 2009-10-27 | 주식회사 카모스 | 지문인식에 의한 충전시스템, 지문인식에 의하여 충전되는휴대형 전자기기 및 지문인식에 의하여 충전되는 충전방법 |
| US7813354B1 (en) * | 2003-08-21 | 2010-10-12 | Verizon Laboratories Inc. | Systems and methods for wireless access point detection |
| CN106302397A (zh) * | 2016-07-29 | 2017-01-04 | 北京北信源软件股份有限公司 | 一种基于设备指纹的设备识别系统 |
| CN106407768A (zh) * | 2015-07-29 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种设备指纹的确定、对目标设备进行识别的方法和设备 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110238855A1 (en) * | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US9124650B2 (en) * | 2006-12-13 | 2015-09-01 | Quickplay Media Inc. | Digital rights management in a mobile environment |
| US8468637B2 (en) * | 2009-02-06 | 2013-06-25 | Endoclear Llc | Mechanically-actuated endotracheal tube cleaning device |
| US10135831B2 (en) * | 2011-01-28 | 2018-11-20 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
| US8990891B1 (en) * | 2011-04-19 | 2015-03-24 | Pulse Secure, Llc | Provisioning layer two network access for mobile devices |
| US8887237B2 (en) | 2011-05-13 | 2014-11-11 | Aruba Networks, Inc. | Multimode authentication |
| AU2011101297B4 (en) | 2011-08-15 | 2012-06-14 | Uniloc Usa, Inc. | Remote recognition of an association between remote devices |
| US9197498B2 (en) * | 2012-08-31 | 2015-11-24 | Cisco Technology, Inc. | Method for automatically applying access control policies based on device types of networked computing devices |
| JP5921460B2 (ja) | 2013-02-20 | 2016-05-24 | アラクサラネットワークス株式会社 | 認証方法、転送装置及び認証サーバ |
| US20140269299A1 (en) * | 2013-03-14 | 2014-09-18 | Hewlett-Packard Development Company, L.P. | Network controller normalization of network traffic |
| CN103761791B (zh) | 2014-02-20 | 2017-01-04 | 广州物联家信息科技股份有限公司 | 基于Home-IOT实现安防管理的系统 |
| US10685058B2 (en) * | 2015-01-02 | 2020-06-16 | Gracenote, Inc. | Broadcast profiling system |
| KR20160099182A (ko) * | 2015-02-11 | 2016-08-22 | 한국전자통신연구원 | 무선 디바이스에 대한 보안 서비스 제공 방법 및 장치 |
| US10999274B2 (en) | 2018-01-31 | 2021-05-04 | Hewlett Packard Enterprise Development Lp | Determining a device property |
-
2018
- 2018-01-31 US US15/884,877 patent/US10999274B2/en active Active
-
2019
- 2019-01-22 EP EP19153055.9A patent/EP3522487B1/en active Active
- 2019-01-31 CN CN201910097383.1A patent/CN110099015B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7813354B1 (en) * | 2003-08-21 | 2010-10-12 | Verizon Laboratories Inc. | Systems and methods for wireless access point detection |
| KR20090111466A (ko) * | 2008-04-22 | 2009-10-27 | 주식회사 카모스 | 지문인식에 의한 충전시스템, 지문인식에 의하여 충전되는휴대형 전자기기 및 지문인식에 의하여 충전되는 충전방법 |
| CN106407768A (zh) * | 2015-07-29 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种设备指纹的确定、对目标设备进行识别的方法和设备 |
| CN106302397A (zh) * | 2016-07-29 | 2017-01-04 | 北京北信源软件股份有限公司 | 一种基于设备指纹的设备识别系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3522487B1 (en) | 2021-08-04 |
| US20190238537A1 (en) | 2019-08-01 |
| US10999274B2 (en) | 2021-05-04 |
| CN110099015A (zh) | 2019-08-06 |
| EP3522487A1 (en) | 2019-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11140172B2 (en) | Method for automatically applying access control policies based on device types of networked computing devices | |
| CN110098948B (zh) | 使用设备配置文件的终端设备的自动登入 | |
| US8909742B2 (en) | Distributed configuration of network interface cards | |
| RU2562438C2 (ru) | Сетевая система и способ управления сетью | |
| CN110099015B (zh) | 一种由网络交换设备执行的方法、网络交换设备及介质 | |
| KR101756986B1 (ko) | 통신 시스템에서 디바이스 관리를 지원하는 게이트웨이 장치 및 그 지원 방법 | |
| US8572288B2 (en) | Single logical network interface for advanced load balancing and fail-over functionality | |
| US20150229641A1 (en) | Migration of a security policy of a virtual machine | |
| US20120023552A1 (en) | Method for detection of a rogue wireless access point | |
| US20080270606A1 (en) | Remote client remediation | |
| US20170279689A1 (en) | Software defined network controller for implementing tenant specific policy | |
| WO2021098425A1 (zh) | 配置业务的服务质量策略方法、装置和计算设备 | |
| US8955049B2 (en) | Method and a program for controlling communication of target apparatus | |
| CA2774281C (en) | User access method, system, access server, and access device | |
| EP3769486B1 (en) | Methods and apparatus for operating and managing a constrained device within a network | |
| US9847927B2 (en) | Information processing device, method, and medium | |
| JP2021191007A (ja) | ネットワークトポロジディスカバリ方法、ネットワークトポロジディスカバリ装置及びネットワークトポロジディスカバリシステム | |
| RU2693903C1 (ru) | Способ, устройство и система обработки для расширенного порта | |
| CN109600265B (zh) | 一种接入电路ac配置信息下发方法、装置及服务器 | |
| CN109120738B (zh) | Dhcp服务器及其进行网络内部设备管理的方法 | |
| JP4922620B2 (ja) | ネットワークシステム | |
| US20100166011A1 (en) | Method, apparatus and system for realizing dynamic correlation of control plane traffic rate | |
| US20170019845A1 (en) | Communication terminal, communication method, and program-containing storage medium | |
| EP3726789A1 (en) | Load sharing method, device, and system and computer readable storage medium | |
| TWI628936B (zh) | Automatic control system for controlling the existence of internet protocol address device and control method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |