CN110875923B - 对网络提供增强型网络访问控制的方法和系统 - Google Patents

Abstract

本公开涉及一种用于对网络提供增强型网络访问控制的方法，所述方法包括：利用具有设置为默认禁用状态的多个MAB条目的数据库；使用MAC地址作为唯一标识符来将不具有802.1X能力的设备连接到所述网络；利用网络交换机来质询所述设备；将所述设备的所述MAC地址发送到RADIUS客户端，以针对已知记录进行认证；处理来自所述设备的连接请求；在验证所述连接请求时，准予对所述设备的访问；利用MAB救援应用程序来将所述设备的所述帐户状态暂时更改为启用状态；在启用所述帐户时，允许对所述设备进行端点认证；以及通过禁用所述网络上的所有MAB条目和新帐户来防止恶意端点访问所述网络。

Description

对网络提供增强型网络访问控制的方法和系统

技术领域

本申请涉及对网络提供增强型网络访问控制的方法和系统。

背景技术

本节中的陈述仅提供与本公开相关的背景信息，并且可能不构成现有技术。

本公开涉及网络访问控制，并且更具体地涉及围绕IEEE 802.1X认证的安全性问题。通常，大型组织和小型组织会将设备的媒体访问控制(MAC)地址注册作为网络访问控制机制，因为MAC地址作为每个设备的网络接口控制器(NIC)的唯一标识符操作。因此，MAC地址提供了对哪些设备可以和不可以对给定网络上的资源进行认证和/或访问资源的一些控制。然而，虽然MAC地址为唯一标识符，但实际上由于MAC欺骗的增长趋势，情况常常并非如此。也就是说，可复制已知设备和授权设备（诸如打印机、扫描仪等）的MAC，并且可使其与危险分子可能想要带入网络中的完全不同的设备相关联。通过在网络上复制和使用已知资源的MAC，危险分子可由此在网络上对他自己的设备赋予完全网络访问。因此，虽然使用802.1X安全性协议结合MAC地址注册的典型网络访问控制为它们的预期目的操作，但本领域中需要新的和改善的网络访问控制和控制框架，所述改善的网络访问控制和控制框架有效地消除在基于MAC或MAC认证旁路的访问控制框架中出现MAC欺骗的可能性，同时改善访问的便利性、冗余性、弹性、以及灾难恢复功能。

发明内容

根据本公开的若干方面，用于利用IEEE 802.1X认证标准对网络提供增强型网络访问控制(eNAC)的方法包括：利用具有多个媒体访问控制认证(MAB)条目的数据库；将数据库中的所有MAB条目和添加到数据库的所有新帐户设置为帐户禁用状态或到期状态；利用MAB救援应用程序来将不具有802.1X能力的设备的MAC地址的帐户状态在预定量的时间内更改为帐户启用状态或不到期状态。该方法还包括：使用不具有802.1X能力的设备的媒体访问控制(MAC)地址作为唯一的设备标识符来将不具有802.1X能力的设备连接到网络；在接收到并识别出该设备缺少802.1X能力时，利用网络交换机来质询该设备；将设备的MAC地址发送到远程认证拨入用户服务(RADIUS)客户端，以针对已知记录进行认证；以及在RADIUS客户端内处理通过将不具有802.1X能力的设备连接到网络而生成的连接请求。在验证连接请求并确定连接请求有效时，RADIUS设备向网络交换机发送权限验证并准予对不具有802.1X能力的设备的访问。该方法还包括：允许在预定量的时间期间对不具有802.1X能力的设备进行端点认证；以及通过确保网络上的所有MAB条目和新帐户处于帐户禁用状态或到期状态来防止恶意端点访问网络。

在本公开的另一方面，用于提供eNAC的方法还包括：在预定时间段内，相对于不具有802.1X能力的设备的先前网络位置，确定不具有802.1X能力的设备的精确网络位置。

在本公开的又一方面，用于eNAC的方法还包括确定网络上的每个启用了MAB的设备的精确网络位置。

在本公开的又一方面，用于eNAC的方法还包括生成活动MAB端口的清单。

在本公开的又一方面，利用MAB救援服务还包括：利用MAB救援服务来允许授权用户查询基于MAB的客户端访问状态的状态；以及在预定时间段内选择性地启用对基于MAB的客户端的访问。

在本公开的又一方面，用于eNAC的方法还包括：利用MAB救援服务来解决设施级客户端访问问题；以及选择性地且安全地启用帐户或使帐户不到期，并且在预定时间段内解决设施级客户端访问问题。

在本公开的又一方面，用于网络的eNAC的方法还包括在预定时间段内自动选择性地对高优先级的基于MAB的客户端启用帐户或使帐户不到期。

在本公开的又一方面，可变的预定时间段在约五分钟和约一小时之间。

在本公开的又一方面，自动选择性地对高优先级的基于MAB的客户端重新启用访问或使访问不到期还包括在物理安全性客户端和物理安全客户端与网络断开连接的设施处，对物理安全性客户端和物理安全客户端重新启用帐户或使帐户不到期。

在本公开的再一方面，用于对网络提供增强型网络访问控制(eNAC)的系统包括：帐户数据库，该帐户数据库耦合到网络并为用户存储账户，并且对于多个可联网客户端设备中的每一个，用户帐户和可联网客户端设备帐户中的每一个默认情况下被设置为禁用状态或到期状态，该多个可联网设备中的至少一个是不具有802.1X能力的；以及耦合到网络的媒体访问控制认证旁路(MAB)救援服务，MAB救援服务选择性地暂时对不具有802.1X能力的设备启用帐户数据库中的帐户或使帐户不到期，不具有802.1X能力的设备连接到网络并且选择性地生成访问请求以获得对网络资源的访问。MAB救援服务暂时允许在预定时间窗中认证不具有802.1X能力的设备，并且通过确保网络上的所有MAB条目和新帐户处于帐户禁用状态或到期状态来防止恶意端点访问网络。

在本公开的再一方面，选择性地暂时启用帐户或使帐户不到期还包括在预定时间段内，相对于不具有802.1X能力的设备的先前已知的网络位置，确定网络上的每个不具有802.1X能力的设备的精确网络位置。

在本公开的再一方面，选择性地暂时启用帐户或使帐户不到期还包括：在预定时间窗期间，启用不具有802.1X能力的设备的帐户或使帐户不到期；以及一旦不具有802.1X能力的设备进行了网络认证，就禁用不具有802.1X能力的设备的帐户。

在本公开的再一方面，MAB救援服务确定每个启用了MAB的设备在网络上的精确网络位置并生成活动MAB端口的清单。

在本公开的再一方面，MAB救援服务包括界面，该界面允许授权用户查询启用了MAB的客户端的状态。

在本公开的再一方面，MAB救援服务包括界面，该界面：允许授权用户查看设施级启用了MAB的客户端访问问题；以及选择性地且安全地启用帐户或使帐户不到期，并且在预定时间窗内解决设施级客户端访问问题。

在本公开的再一方面，该界面还包括用于在预定时间窗内，自动选择性地对高优先级的基于MAB的客户端启用帐户或使帐户不到期的设置。

在本公开的再一方面，用于自动选择性地对高优先级的启用了MAB的客户端启用帐户或使帐户不到期的设置还包括在物理安全性客户端和物理安全客户端与网络断开连接的设施处，对物理安全性客户端和物理安全客户端启用帐户或使帐户不到期。

在本公开的再一方面，预定时间窗在约十五分钟和约一小时之间。

在本公开的再一方面，预定时间窗具有大约一秒的精度。

在本公开的再一方面，用于利用IEEE 802.1X认证标准对网络提供增强型网络访问控制(eNAC)的方法包括：利用具有多个媒体访问控制认证(MAB)条目的数据库；将数据库中的所有MAB条目和添加到数据库的所有新帐户设置为帐户禁用状态或到期状态；以及利用MAB救援应用程序来在预定量的时间内将不具有802.1X能力的设备的帐户状态更改为帐户启用状态或不到期状态。该方法还包括使用媒体访问控制(MAC)地址作为唯一的设备标识符来将不具有802.1X能力的设备连接到网络。该方法还包括：通过在预定时间段内相对于不具有802.1X能力的设备的先前网络位置确定每个启用了MAB的不具有802.1X能力的设备的精确网络位置来验证访问请求；以及在验证访问请求并确定访问请求有效时，允许在预定量的时间期间对不具有802.1X能力的设备进行端点认证；一旦不具有802.1X能力的设备已成功经过网络认证或已经过预定的时间，就在数据库中将不具有802.1X能力的设备的MAB条目恢复为帐户禁用状态或到期状态；以及通过确保网络上的所有MAB条目和新帐户处于帐户禁用状态或到期状态来防止恶意端点访问网络。

根据本文所提供的描述，另外的应用领域将变得显而易见。应当理解，该描述和特定示例仅仅出于说明的目的而非意在限制本公开的范围。

附图说明

本文所述的附图仅仅出于说明目的，而不旨在以任何方式限制本公开的范围。

图1为根据本公开的方面的网络系统的示意图；并且

图2为根据本公开的方面的用于对网络的增强型网络访问控制的方法的流程图。

具体实施方式

现在将详细参考在附图中示出的本公开的若干实施方案。在附图和说明书中，尽可能使用相同或类似的附图标号来指代相同或类似的部分或步骤。这些和类似的方向术语不应被理解为限制本公开的范围。

提供示例性实施方案，使得本公开将变得充分，并向本领域技术人员更全面地传达范围。阐述了许多特定细节，诸如特定部件、设备和方法的示例，以提供对本公开的实施方案的全面理解。对于本领域技术人员将显而易见的是，不需要采用特定细节，示例性实施方案以许多不同的形式实施，并且两者可不应被理解为限制本公开的范围。在一些示例性实施方案中，对众所周知的过程、众所周知的设备结构和众所周知的技术未作详细描述。

本文使用的术语仅用于描述特定示例性实施方案的目的，而并非旨在进行限制。如本文所用，单数形式“一”、“一个”和“所述”可旨在也包括复数形式，除非上下文另有明确指示。术语“包括”、“包含”和“具有”是包含性的，因此指明存在所列出的特征、整体、步骤、操作、元件和/或部件，但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、部件和/或其组合。本文所述的方法步骤、过程和操作不应被理解为必须要求它们以所讨论或所示出的特定顺序执行，除非特别指出以顺序执行。还应理解，可采用附加的或替代的步骤。

当某一元件或层被称为在“另一元件或层上”、“接合到另一元件或层”、“设置在另一元件或层上”、“连接到另一元件或层”或“耦合到另一元件或层”时，该某一元件或层可直接在另一元件或层上、接合到另一元件或层、设置在另一元件或层上、连接或耦合到另一元件或层、或者可能存在居间的元件或层。相反，当某一元件被称为“直接在另一元件或层上”、“直接接合到另一元件或层”、“直接设置在另一元件或层上”、“直接连接到另一元件或层”或“直接耦合到另一元件或层”时，可能存在居间的元件或层。应当以相同的方式解释用于描述元件之间的关系的其它词语（例如“在……之间”和“直接在……之间”、“与……相邻”和“与……直接相邻”等）。如本文所用，术语“和/或”包括相关所列项中的一个或多个的任何和所有组合。

尽管本文可使用术语第一、第二、第三等来描述各种元件、部件、区域、层和/或部分，但这些元件、部件、区域、层和/或部分不应受这些术语的限制。这些术语可仅用于将一个元件、部件、区域、层或部分与另一个区域、层或部分区分开。本文使用的诸如“第一”、“第二”和其它数字术语的术语不暗含顺序或次序，除非上下文明确指示。因此，可以将下面所讨论的第一元件、部件、区域、层或部分称作第二元件、部件、区域、层或部分，而不脱离示例性实施方案的教导内容。

如本文使用的术语“计算机”或“服务器”一般包括：具有预编程数字计算机或处理器的任何电子控制设备；用于存储数据诸如控制逻辑、软件应用程序、指令、计算机代码、软件或应用程序、数据、查找表等的存储器或非暂态计算机可读介质；以及收发器[或输入/输出端口]。计算机可读介质包括能够由计算机存取的任意类型的介质，诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、光盘(CD)、数字视频光盘(DVD)或任意其它类型的存储器。“非暂态”计算机可读介质不包括传输瞬时电信号或其它信号的有线链路、无线链路、光学链路或其它通信链路。非暂态计算机可读介质包括可以永久存储数据的介质和可以存储数据并随后被重写的介质，诸如可重写光盘或可擦除存储器设备。计算机代码、软件或应用程序包括任何类型的程序代码，包括源代码、目标代码和可执行代码。处理器被配置为执行代码或指令。在一些示例中，计算机或服务器还包括专用Wi-Fi控制器，该专用Wi-Fi控制器被配置为依据IEEE 802.1X使用Wi-Fi协议与无线通信热点无线通信。

计算机或服务器还包括一个或多个应用程序。应用程序为被配置为执行特定功能或一组功能的软件程序。应用程序可包括一个或多个计算机程序、软件部件、指令集、程序、功能、对象、类别、实例、相关数据或其适于在合适的计算机可读程序代码中实现的部分。应用程序可存储在存储器内或存储在附加或单独的存储器中。应用程序的示例包括音频或视频流传输服务、游戏、浏览器、社交媒体、网络管理系统、目录访问和管理系统等，而不脱离本公开的范围或意图。

以下描述本质上仅仅是示例性的，并不旨在限制本公开、应用或用途。

参考图1，示出了网络访问控制系统，并且一般由参考标号10指示。网络访问控制系统10可与广泛多种公共网络系统和/或专用网络系统一起使用，而不脱离本公开的范围或意图。网络访问控制系统10通过多种可联网设备14来选择性地提供对网络12的访问。在一些示例中，可联网设备14经由IEEE 802.1X认证标准附接到网络。802.1X认证一般涉及三方：请求方或设备16、认证方18和认证服务器20。请求方16为客户端或客户端设备，诸如台式计算机22、膝上型电脑24、个人数字助理(PDA)、平板计算机26、蜂窝设备诸如智能电话、可联网打印机28等。请求方16生成附接到网络12的请求。在一些示例中，网络12为局域网(LAN)或无线局域网(WLAN)。在另外的示例中，请求方16为在客户端设备上运行的计算机软件，该客户端设备诸如上文提及的台式计算机22、膝上型电脑24、个人数字助理(PDA)、平板计算机26、蜂窝设备诸如智能电话、可联网打印机28等中的一个。请求方16向认证方18提供凭据。认证方18为网络设备，诸如以太网交换机、无线接入点等。认证服务器20通常为主机设备，诸如网络服务器或其它此类设备。认证服务器20使用支持远程认证拨入用户服务(RADIUS)和/或密码认证协议(PAP)、挑战握手认证协议(CHAP)、可扩展认证协议(EAP)等的计算机软件。RADIUS服务为连接到和使用网络12服务的用户提供集中式认证、授权和计费管理。

在一些情况下，认证服务器20计算机软件可在认证方18设备硬件上运行。认证方18充当受保护网络12的安全性保护设备。经由认证方18防止请求方16访问网络12，直到请求方16的身份已经过验证和确认。也就是说，在请求方16的凭据经过验证和授权之前，认证方18将防止请求方16访问网络12的受保护侧28，包括路由器30、内联网和互联网站点32等。通过基于802.1X端口的认证，请求方16向认证方18提供诸如用户名/密码或数字证书的凭据，并且认证方18将凭据转发到认证服务器20以进行确认。如果认证服务器20确定凭据有效，则请求方16被允许访问位于网络12的受保护侧28上的资源。

然而，在一些情况下，必须允许不具有802.1X网络访问控制(NAC)能力的请求方设备16连接到给定网络12。在大型网络12中，不具有802.1X NAC能力的设备16是相当普遍的。此类不具有802.1X NAC能力的设备16可包括传统设备、一些打印机、传真机、VoIP电话、门锁以及物理建筑物内的其它物理访问控制设备等，而不脱离本公开的范围或意图。因此，为了允许不具有802.1X NAC能力的设备16进入网络，在网络12的802.1X认证要求中必须存在有目的的缺口。然后，经由称为媒体访问控制认证旁路或“MAB”的过程，通过各个媒体访问控制(MAC)地址向网络12注册不具有802.1X NAC能力的设备16。由于至少在理论上，给定设备16的MAC地址为该特定设备16的唯一标识符，因此使用给定设备16的MAC地址来向网络12认证该设备16提供网络访问控制机制。为了确定不具有802.1X NAC能力的设备16访问请求的准确性和真实性，认证服务器20包括具有帐户“A”、“B”、“C”和“D”等的数据库34；每个帐户“A”、“B”、“C”和“D”与特定设备16相关联。在图1的示例中，帐户“A”与台式计算机22相关联，帐户“B”与平板计算机26相关联，帐户“C”与可联网打印机28相关联，并且帐户“D”与膝上型计算机24相关联。然而，应当理解，数据库34中可能存在比图1中所描绘的更少或更多数量的帐户。此外，帐户可表示本文未明确描述的广泛多种设备16和/或用户，而不脱离本公开的范围或意图。然而，在一些示例中，MAC地址可在软件或固件中更改。因此，给定设备16硬件的MAC地址可能与另一个请求方16设备错误地或不正确地相关联。换句话说，MAC地址可能是欺骗性的。由于MAC地址可以在软件或固件中针对各种不同的具有网络能力的设备16而改变，因此使用MAC地址来注册不具有802.1X NAC能力的设备16会在网络12的802.1X安全性中产生漏洞。恶意系统或恶意用户可以通过使用有效联网设备16的MAC地址以欺骗性地获得对网络的访问来使用安全性漏洞。可以以至少两种方式实现欺诈性访问，即通过从网络认证方交换机18移除有效联网设备16，或者通过连接到不同的联网交换机18并使用有效联网设备16的相同MAC地址。

现在参考图2，同时继续参考图1，示出了对网络12的增强型网络访问控制(eNAC)的方法，并且一般由参考标号100指示。该方法在框102处开始，其中将数据库34中的所有MAB数据库条目设置为帐户禁用状态或到期状态，并且其中也将经由数据库34添加到网络12的所有新帐户设置为帐户禁用状态或到期状态。在若干方面，帐户禁用状态包括禁用预定通信端口以防止新帐户或利用MAB访问网络12的请求方16设备的未授权或不期望的访问。

在框104处，不具有802.1X能力的设备16通过使用设备16的MAC地址作为唯一标识符来请求访问网络12。在框106处，具有802.1X能力的网络交换机18质询不具有802.1X能力的设备16的访问请求。在框108处，在接收到并识别出在不具有802.1X能力的设备16中缺少802.1X能力时，网络交换机18将不具有802.1X能力的设备16的MAC地址发送到在认证方18或认证服务器20或两者上托管的RADIUS服务以进行认证。在框110处，RADIUS服务通过查询数据库34以获得由不具有802.1X能力的设备16提供的用户ID和密码来处理由不具有802.1X能力的设备16尝试连接到网络12而生成的访问请求。在一些方面，数据库34为轻量目录访问协议(LDAP)系统，是通过互联网协议(IP)网络12访问和维护分布式目录信息服务的目录服务器，诸如活动目录服务器、名称服务器或类似系统。在其中MAC地址用作给定的不具有802.1X能力的设备16的唯一标识符的示例中，MAC地址作为用户ID和密码操作。在框112处，由于MAB数据库条目和新帐户条目在框102处被设置为禁用状态，因此通过RADIUS服务对请求方16设备请求的访问所进行的端点认证将失败。也就是说，由于请求访问的不具有802.1X能力的设备16的MAB数据库条目被设置为“禁用”或“到期”，因此RADIUS服务将拒绝连接授权请求，并且网络交换机18端口，其以其它方式准予网络12对不具有802.1X能力的设备16的访问，将保持禁用或到期。因此，在框112处，不具有802.1X能力的设备16将仍然无法连接到网络12。

在框114处，利用托管在MAB救援服务器上的MAB救援服务来管理设备16的帐户状态MAC记录，并且使MAB条目或帐户能够持续预定持续时间、窗或时间段“T”。在若干方面，MAB救援服务为在各种计算机硬件上运行并允许授权人员访问MAB数据库条目的计算机化软件应用程序。在一些方面，MAB救援服务托管在认证方18硬件、认证服务器20硬件或两者上。在附加方面，MAB救援服务托管在分布式计算平台或云计算平台上，提供对需要访问MAB救援服务的授权用户的普遍访问。预定时间段“T”可根据讨论中的不具有802.1X能力的设备16的类型以及在其上将使用不具有802.1X能力的设备的特定网络系统的性质而变化。在一个示例中，预定时间段“T”在高达约120小时的范围内。在另一示例中，预定时间段“T”在约五分钟至一小时之间。在又一示例中，预定时间段“T”在约十五分钟至四十五分钟之间。在再一示例中，预定时间段“T”在约二十分钟至约三十分钟之间。虽然预定时间段“T”已被描述为在高达约120小时的范围内，但应当理解，取决于讨论中的设备16的类型、访问请求的情况、位置、中断情况等，预定时间段“T”可与上述范围显著不同。在任何情况下，一旦预定时间段“T”到期，则帐户启用或未到期的设备16（在该示例中，帐户“C”）将被防止获得对网络12的访问权限，因为帐户将自动恢复到禁用状态或到期状态。通过在帐户中针对数据库34中的给定MAC地址使用帐户到期日期属性，能够实现高水平的基于时间的精度。也就是说，预定时间段“T”的到期可以以大约一秒的精度设置，其中数据库34中的每个单独的MAC地址帐户具有唯一的到期日期或时间。因此，不需要帐户清理过程，并且不需要附加的或辅助的数据库来跟踪期望的MAC帐户到期日期或时间。此外，在目录34服务器上不会产生额外的负载，因为当在MAB救援服务中设置的预定时间段“T”到期时，不需要帐户级别更改来将帐户移动到禁用状态或到期状态。

在框116处，在一些方面，授权人员可经由管理控制台（未明确示出）访问MAB救援服务。管理控制台可为LAN、WLAN上，或更一般地，本地内联网等上的基于web的接口、虚拟机或服务器接口。能够访问eNAC的MAB救援服务的授权个体为有权在给定网络基础结构内执行IT支持功能的个体。在一些示例中，授权个体可为在需要使用MAB救援服务来将设备16重新连接到网络12的位置处的现场技术人员。在其它示例中，授权个体可为远程定位的个体，其响应于远离授权个体的物理位置处的各种情况而更改MAB数据库条目信息。在一些方面，使用MAB救援服务的各种情况包括但不限于：灾难恢复情况、电力中断、服务器或网络中断、生命周期管理过程、新设备安装、维护等等，而不脱离本公开的范围或意图。当利用MAB救援服务来在预定时间段“T”内更改特定的不具有802.1X能力的设备16 16的帐户状态时，端点设备诸如不具有802.1X能力的设备16可使用该设备的唯一MAC信息来进行认证并获得对网络12的访问。然而，一旦该设备已经过网络验证，则该特定设备的MAB条目或帐户随后自动返回到禁用状态。因此，在框118处，如果由想要通过MAC地址欺骗获得对网络12的访问权限的个体所操作的恶意端点诸如计算机、服务器等试图欺骗有效端点请求方16的设备的MAC，则此类尝试将会失败。尝试将会失败，因为有效请求方16端点设备的MAB条目或帐户已经恢复到禁用状态。一旦有效请求方16的MAB数据库条目或帐户恢复到禁用状态，就防止了对有效设备16的MAC地址的欺骗。

在示例中，设施处的电力中断会使多个有效请求方16设备从网络12断开。虽然许多请求方16具有802.1X能力并且因此将自动重新连接、认证并被提供对网络12的访问，但某些其它不具有802.1X能力的设备16必须经由MAB重新连接。某些不具有802.1X能力的请求方16可被授予高优先级指定，而其它不具有802.1X能力的请求方16将不会接收此类指定。在一些示例中，高优先级指定可应用于物理安全性设备和物理安全设备，诸如灭火系统、烟雾警报器、门锁等。在MAB救援服务中，具有高优先级指定的请求方16设备可自动重新注册到网络12，而不是要求授权个体手动暂时重新启用高优先级请求方16设备中的每一个的帐户或数据库条目。

在提供与请求方16经由MAB认证而不是802.1X访问网络12相关的附加安全性的措施中，MAB救援服务还可执行各种数据库34查询。在一些方面，数据库34查询包括历史位置信息、在线时间信息等。在历史位置信息数据库34查询的示例中，MAB救援服务可以确定特定请求方16的MAC地址是否已经在已知的先前网络12位置和请求方16正作出认证请求的当前位置之间行进。在一个示例中，如果在先前网络12位置和当前网络位置之间行进的距离太大而不能在给定时间量内完成（所谓的“不可能的”或“不可实现的”行进场景），则尽管已生成可以其它方式批准的认证请求，但MAB救援服务可使用MAB救援服务设备来选择性地警告或拒绝对授权个体的帐户状态更改。在第二示例中，当请求方16设备的寿命达到预定阈值时，通过选择性地防止对特定请求方16设备的访问来管理特定请求方16设备的生命周期。在第二示例中，生命周期请求方16设备管理可以防止或限制已知的较旧且可能更易受攻击的硬件附接到网络12。因此，MAB救援服务可选择性地防止请求方16设备的帐户被启用超过该特定请求方16设备的预定生命周期。

本公开的增强型网络访问控制框架提供了若干优点，包括控制框架，其有效地消除了在基于MAC或MAC认证旁路(MAB)的访问控制框架中出现MAC欺骗的可能性，同时改善了访问的便利性、冗余性、弹性、以及灾难恢复功能。

本公开的描述本质上仅仅是示例性的，并且不脱离本公开的主旨的变化旨在落入本公开的范围内。此类变化不应被视为脱离本公开的精神和范围。

Claims (10)

1.一种用于利用IEEE 802.1X认证标准对网络提供增强型网络访问控制的方法，所述方法包括：

利用具有多个媒体访问控制认证旁路条目的数据库；

将所述数据库中的所有媒体访问控制认证旁路条目和添加到所述数据库的所有新帐户设置为帐户禁用状态或到期状态；

利用媒体访问控制认证旁路救援应用程序来在预定量的时间内将不具有802.1X能力的设备的媒体访问控制地址的帐户状态更改为帐户启用状态或不到期状态；

使用所述不具有802.1X能力的设备的媒体访问控制地址作为唯一的设备标识符来将所述不具有802.1X能力的设备连接到所述网络；

允许在所述预定量的时间期间对所述不具有802.1X能力的设备进行端点认证；以及

通过确保所述网络上的所有媒体访问控制认证旁路条目和新帐户处于帐户禁用状态或到期状态来防止恶意端点访问所述网络。

2.根据权利要求1所述的方法，所述方法还包括：在预定时间段内相对于所述不具有802.1X能力的设备的先前网络位置确定所述不具有802.1X能力的设备的精确网络位置。

3.根据权利要求2所述的方法，所述方法还包括：确定所述网络上的每个启用了媒体访问控制认证旁路的设备的精确网络位置。

4.根据权利要求2所述的方法，所述方法还包括：生成活动媒体访问控制认证旁路端口的清单。

5.根据权利要求1所述的方法，其中利用媒体访问控制认证旁路救援服务还包括：

利用所述媒体访问控制认证旁路救援服务来允许授权用户查询基于媒体访问控制认证旁路的客户端访问状态的状态；以及

在预定时间段内选择性地启用对所述基于媒体访问控制认证旁路的客户端的访问。

6.根据权利要求5所述的方法，所述方法还包括：

利用所述媒体访问控制认证旁路救援服务来解决设施级客户端访问问题；以及

选择性地且安全地启用帐户或使帐户不到期，并且在预定时间段内解决设施级客户端访问问题。

7.根据权利要求1所述的方法，其中利用媒体访问控制认证旁路救援服务还包括在预定时间段内自动选择性地对高优先级的基于媒体访问控制认证旁路的客户端启用帐户或使帐户不到期。

8.根据权利要求7所述的方法，其中所述预定时间段在五分钟和一小时之间。

9.根据权利要求7所述的方法，其中自动选择性地对高优先级的基于媒体访问控制认证旁路的客户端重新启用访问或使访问不到期还包括在物理安全性客户端和物理安全客户端与所述网络断开连接的设施处，对物理安全性客户端和物理安全客户端重新启用帐户或使帐户不到期。

10.一种用于对网络提供增强型网络访问控制的系统，所述系统包括：

帐户数据库，所述帐户数据库耦合到所述网络并为用户存储帐户，并且对于多个可联网客户端设备中的每一个，所述用户帐户和所述可联网客户端设备帐户中的每一个默认情况下被设置为禁用状态或到期状态，所述多个可联网设备中的至少一个是不具有802.1X能力的；以及

耦合到所述网络的媒体访问控制认证旁路救援服务，所述媒体访问控制认证旁路救援服务选择性地暂时对所述不具有802.1X能力的设备启用所述帐户数据库中的帐户或使帐户不到期，所述不具有802.1X能力的设备连接到所述网络并且选择性地生成访问请求以获得对网络资源的访问，

其中所述媒体访问控制认证旁路救援服务暂时允许在预定时间窗中认证不具有802.1X能力的设备，并且通过确保所述网络上的所有媒体访问控制认证旁路条目和新帐户处于帐户禁用状态或到期状态来防止恶意端点访问所述网络。

Images