DE102019114541A1 - RAHMEN ZUR ERWEITERTEN NETZWERKZUGRIFFSSTEUERUNG (eNAC) - Google Patents

RAHMEN ZUR ERWEITERTEN NETZWERKZUGRIFFSSTEUERUNG (eNAC) Download PDF

Info

Publication number
DE102019114541A1
DE102019114541A1 DE102019114541.4A DE102019114541A DE102019114541A1 DE 102019114541 A1 DE102019114541 A1 DE 102019114541A1 DE 102019114541 A DE102019114541 A DE 102019114541A DE 102019114541 A1 DE102019114541 A1 DE 102019114541A1
Authority
DE
Germany
Prior art keywords
network
mab
enac
access
enabled device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019114541.4A
Other languages
English (en)
Inventor
Anthony D. Bolton
Stefan Callery
James B. Currie
Spencer T. Searle
Conor Foley
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102019114541A1 publication Critical patent/DE102019114541A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Ein Verfahren zum Bereitstellen von erweiterten Netzwerkzugriffssteuerungen (eNAC) für ein Netzwerk schließt das Verwenden einer Datenbank mit einer Vielzahl von MAB-Einträgen, die auf einen standardmäßig deaktivierten Zustand eingestellt sind, Verbinden einer nicht-802.1X-fähigen Vorrichtung mit dem Netzwerk unter Verwendung einer MAC Adresse als eine eindeutige Kennung, Verwenden eines Netzwerk-Switches, um die nicht-802.1X-fähigc Vorrichtung zur Authentifizierung aufzufordern, Senden der MAC-Adresse der Vorrichtung an einen RADIUS-Client zum Authentifizieren gegenüber bekannten Aufzeichnungen, Verarbeiten einer Verbindungsanforderung von der nicht-802.1X-fähigen Vorrichtung, nach Validieren der Verbindungsanfrage, Gewähren eines Zugriffs auf die nicht-802. IX-fähige Vorrichtung, Verwenden einer MAB-Rettungsanwendung zur vorübergehenden Änderung des Kontostatus für die nicht-802. IX-fähige Vorrichtung, während das Konto aktiviert ist, und Verhindern, das nicht autorisierte Endpunkte auf das Netzwerk zugreifen, indem alle MAB-Einträge und neuen Konten in dem Netzwerk deaktiviert werden, ein.

Description

  • EINLEITUNG
  • Die Aussagen in diesem Abschnitt stellen lediglich Hintergrundinformationen in Bezug auf die vorliegende Offenbarung bereit und stellen möglicherweise keinen Stand der Technik dar.
  • Die vorliegende Offenbarung bezieht sich auf Netzwerkzugriffssteuerungen und insbesondere auf Sicherheitsprobleme im Zusammenhang mit der IEEE 802.1X-Authentifizierung. Für kleine und große Unternehmen ist es üblich, die Registrierung von MAC-(Media Access Control)-Adressen von Vorrichtungen als Netzwerkzugriffsteuermechanismus zu verwenden, da MAC-Adressen als eindeutige Kennungen der Netzwerkschnittstellensteuerungen (Network Interface Controller - NIC) jeder Vorrichtung fungieren. MAC-Adressen bieten daher ein gewisses Maß an Kontrolle darüber, welche Vorrichtungen sich bei Ressourcen in einem bestimmten Netzwerk authentifizieren und/oder auf diese zugreifen können. Während MAC-Adressen jedoch eindeutige Kennungen sind, ist dies in der Praxis aufgrund eines zunehmenden Trends des MAC-Spoofing oft nicht der Fall. Das heißt, die MAC einer bekannten und autorisierten Vorrichtung, wie etwa eines Druckers, eines Scanners oder dergleichen, kann kopiert werden und mit einer ganz anderen Vorrichtung verknüpft werden, die ein Missetäter in das Netzwerk einbringen möchte. Durch Kopieren und Verwenden der MAC einer bekannten Ressource in dem Netzwerk kann der Missetäter dabei seiner eigenen Vorrichtung im Netzwerk vollen Netzwerkzugriff gewähren. Wenngleich also typische Netzwerkzugriffssteuerungen, die 802.1X-Sicherheitsprotokolle in Kombination mit MAC-Adressregistrierungen verwenden, gemäß ihrem Verwendungszweck arbeiten, besteht auf dem Fachgebiet ein Bedarf an neuen und erweiterten Netzwerkzugriffssteuerungen und einem Steuerrahmen, der das Potenzial für MAC-Spoofing in einem MAC- oder MAC-Authentifizierungsumgehung-basierten Zugriffssteuerungsrahmen (MAB-basierter Zugriffssteuerungsrahmen) wirksam beseitigt, während die Funktionen für einfachen Zugriff, Redundanz, Ausfallsicherheit und Notfallwicderherstellung verbessert werden.
  • KURZDARSTELLUNG
  • Gemäß mehreren Aspekten der vorliegenden Offenbarung schließt ein Verfahren zum Bereitstellen erweiterter Netzwerkzugriffssteuerungen (eNAC) für ein Netzwerk, das IEEE 802.1X-Authentifizierungsstandards verwendet, Folgendes ein: Verwenden einer Datenbank mit einer Vielzahl von Einträgen zur Medienzugriffssteuerungsauthentifizierung (MAB); Versetzen aller MAB-Einträge in der Datenbank und aller neuen Konten, die zu der Datenbank hinzugefügt werden, in einen deaktivierten oder abgelaufen Kontozustand; Verwenden einer MAB-Rettungsanwendung, um einen Kontostatus für die MAC-Adresse für eine nicht-802.1X-fähige Vorrichtung für eine vorbestimmte Zeitdauer in einen aktivierten oder nicht abgelaufenen Kontozustand zu ändern. Das Verfahren schließt ferner das Verbinden der nicht-802.1X-fähigen Vorrichtung mit dem Netzwerk unter Verwendung einer Medienzugriffssteuerungs-(MAC)-Adresse für die nicht-802.1X-fähige Vorrichtung als eine eindeutige Vorrichtungskennung, Verwenden eines Netzwerk-Switches, um die nicht-802. 1X-fähige Vorrichtung zur Authentifizierung aufzufordern, Senden der MAC-Adresse der Vorrichtung an einen Remote Authentication Dial-In User Service (RADIUS)-Client zum Authentifizieren gegenüber bekannten Aufzeichnungen und Verarbeiten innerhalb des RADIUS-Client einer Verbindungsanfrage, die durch Verbinden der nicht-802.1X-fähigen Vorrichtung mit dem Netzwerk generiert wird, ein. Nach dem Validieren der Verbindungsanfrage und Bestimmen, dass die Verbindungsanfrage gültig ist, sendet die RADIUS-Vorrichtung eine Erlaubnisvalidierung an den Netzwerk-Switch und gewährt der nicht-802. 1X-fähigen Vorrichtung Zugriff. Das Verfahren schließt ferner das Zulassen einer Endpunktauthentifizierung der nicht-802.1X-fähigen Vorrichtung während der vorbestimmten Zeitdauer und das Verhindern, dass nicht autorisierte Endpunkte („Rogue Endpoints“) auf das Netzwerk zugreifen, indem sichergestellt wird, dass sich alle MAB-Einträge und neuen Konten in dem Netzwerk in einem deaktivierten oder abgelaufenen Kontozustand befinden, ein.
  • In einem anderen Aspekt der vorliegenden Offenbarung schließt das Verfahren zum Bereitstellen einer eNAC ferner Folgendes ein: Bestimmen eines präzisen Netzwerkstandorts der nicht-802.1X-fähigen Vorrichtung relativ zu einer vorherigen Netzwerkposition der nicht-802. 1X-fähigen Vorrichtung innerhalb eines vorbestimmten Zeitraums.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt das Verfahren für eNAC ferner das Bestimmen einer genauen Netzwerkposition für jede MAB-fähige Vorrichtung in dem Netzwerk ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt das Verfahren für eNAC ferner das Generieren eines Inventars von aktiven MAB-Ports ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt das Verwenden eines MAB-Rettungsdienstes ferner das Verwenden des MAB-Rettungsdienstes, um autorisierten Benutzern zu ermöglichen, einen Status eines MAB-basierten Client-Zugriffsstatus abzufragen; und das selektive Aktivieren eines Zugriffs für den MAB-basierten Client für einen vorbestimmten Zeitraum ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt ein Verfahren für eNAC ferner das Verwenden des MAB-Rettungsdienstes, um Client-Zugriffsprobleme auf Einrichtungsebene zu adressieren; und das selektive und sichere Aktivieren oder Nichtablaufenlassen von Konten und Adressieren von Client-Zugriffsproblemen auf Einrichtungsebene für einen vorbestimmten Zeitraum ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt das Verwenden eines MAB-Rettungsdienstes ferner das automatische selektive Aktivieren oder Nichtablaufenlassen von Konten für MAB-basierte Clients von hoher Priorität für einen vorbestimmten Zeitraum ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung liegt der variable vorbestimmte Zeitraum zwischen etwa fünf Minuten und etwa einer Stunde.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt das automatische selektive Reaktivieren oder Nichtablaufenlassen des Zugriffs auf MAB-basierte Clients von hoher Priorität ferner das Reaktivieren oder Nichtablaufenlassen von Konten für Physical-Security-Clients und Physical-Safety-Clients an einer Einrichtung, an der Physical-Security-Clients und Physical-Safety-Clients von dem Netzwerk getrennt wurden, ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt ein System zum Bereitstellen einer erweiterten Netzwerkzugriffssteuerung (eNAC) für ein Netzwerk Folgendes ein: eine Kontodatenbank, die mit dem Netzwerk gekoppelt ist und Konten für Benutzer speichert, wobei für jede aus einer Vielzahl von netzwerkfähigen Client-Vorrichtungen jedes der Benutzer- und netzwerkfähigen Client-Vorrichtungskonten standardmäßig auf einen deaktivierten oder abgelaufenen Zustand eingestellt ist, wobei mindestens eine der Vielzahl von netzwerkfähigen Vorrichtungen nicht-802. IX-fähig ist; und einen mit dem Netzwerk gekoppelten Medienzugriffssteuerungs-Authentifizierungsumgehungs-(MAB)-Rettungsdienst, wobei der MAB-Rettungsdienst Konten in der Kontodatenbank für die nicht-802.1X-fähigen Vorrichtungen vorübergehend selektiv aktiviert oder nicht ablaufen lässt, wobei die 802.1 X-fähige Vorrichtung mit dem Netzwerk verbunden ist und selektiv Zugriffsanfragen generiert, um Zugriff auf Netzwerkressourcen zu erhalten. Der MAB-Rettungsdienst lässt vorübergehend nicht-802.1X-fähige Vorrichtungen zur Authentifizierung in einem vorbestimmten Zeitfenster zu, und es wird verhindert, dass nicht autorisierte Endpunkte auf das Netzwerk zugreifen, indem sichergestellt wird, dass sich alle MAB-Einträge und neuen Konten in dem Netzwerk in einem deaktivierten oder abgelaufen Kontozustand befinden.
  • In einem noch anderen Aspekt der vorliegenden Offenbarung schließt das selektive vorübergehende Aktivieren oder Ablaufenlassen von Konten ferner das Bestimmen eines präzisen Netzwerkstandorts der nicht-802. 1X-fähigen Vorrichtung relativ zu einer vorherigen Netzwerkposition der nicht-802. IX-fähigen Vorrichtung innerhalb eines vorbestimmten Zeitraums ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt dass selektive vorübergehende Aktivieren oder Ablaufenlassen von Konten ferner das Aktivieren oder Nichtablaufenlassen eines Kontos für eine nicht-802. IX-fähige Vorrichtung während des vorbestimmten Zeitfensters, und wenn die nicht-802.1X-fähige Vorrichtung beim Netzwerk authentifiziert wird, Deaktivieren des Kontos für die nicht-802.1X-fähige Vorrichtung ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung bestimmt der MAB-Rettungsdienst einen genauen Netzwerkstandort jeder MAB-fähigen Vorrichtung in dem Netzwerk und generiert ein Inventar aktiver MAB-Ports.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt der MAB-Rettungsdienst eine Schnittstelle ein, die autorisierten Benutzern ermöglicht, einen Status eines MAB-fähigen Clients abzufragen.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt der MAB-Rettungsdienst eine Schnittstelle ein, die autorisierten Benutzern ermöglicht, MAB-fähige Client-Zugriffsprobleme auf Einrichtungsebene zu erkennen; und das selektive und sichere Aktivieren oder Nichtablaufenlassen von Konten und Adressieren von Client-Zugriffsproblemen auf Einrichtungsebene für das vorbestimmte Zeitfenster.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt die Schnittstelle ferner Einstellungen zum automatischen selektiven Aktivieren oder Nichtablaufenlassen von Konten für MAB-fähige Clients von hoher Priorität für ein vorbestimmtes Zeitfenster ein.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließen die Einstellungen zum automatischen selektiven Reaktivieren oder Nichtablaufenlassen des Zugriffs auf MAB-basierte Clients von hoher Priorität ferner das Reaktivieren oder Nichtablaufenlassen von Konten für Physical-Security-Clients und Physical-Safety-Clients an einer Einrichtung ein, an der Physical-Security-Clients und Physical-Safety-Clients von dem Netzwerk getrennt wurden.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung liegt das vorbestimmte Zeitfenster zwischen etwa fünfzehn Minuten und etwa einer Stunde.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung weist das vorbestimmte Zeitfenster eine Genauigkeit von ungefähr einer Sekunde auf.
  • In noch einem anderen Aspekt der vorliegenden Offenbarung schließt ein Verfahren zum Bereitstellen erweiterter Netzwerkzugriffssteuerungen (eNAC) für ein Netzwerk, das IEEE 802.1 X-Authentifizicrungsstandards verwendet, Folgendes ein: Verwenden einer Datenbank mit einer Vielzahl von Einträgen zur Medienzugriffssteuerungsauthentifizierung (MAB); Versetzen aller MAB-Einträge in der Datenbank und aller neuen Konten, die zu der Datenbank hinzugefügt werden, in einen deaktivierten oder abgelaufen Kontozustand und Verwenden einer MAB-Rettungsanwendung, um einen Kontostatus für eine nicht-802.1X-fähige Vorrichtung für eine vorbestimmte Zeitdauer in einen aktivierten oder nicht abgelaufenen Kontozustand zu ändern. Das Verfahren schließt ferner das Verbinden der nicht-802.1X-fähigen Vorrichtung mit dem Netzwerk unter Verwendung einer Medienzugriffssteuerungs-(MAC)-Adresse als eine eindeutige Vorrichtungskennung ein. Das Verfahren schließt ferner das Validieren der Zugriffsanfrage durch Bestimmen eines genauen Netzwerkstandortes für jede MAB-fähige nicht-802.1X-fähige Vorrichtung relativ zu vorherigen Netzwerkstandorten für die nicht-802.1 Xfähige Vorrichtung innerhalb eines vorbestimmten Zeitraums, und nach Validieren der Zugriffsanfrage und Bestimmen, dass die Zugriffsanfrage gültig ist, Zulassen einer Endpunktauthentifizierung der nicht-802.1X-fähigen Vorrichtung während der vorbestimmten Zeit, Zurücksetzen eines MAB-Eintrags für die nicht-802. 1 X-fähige Vorrichtung in den deaktivierten oder abgelaufenen Kontozustand in der Datenbank, sobald entweder die nicht-802.1X-fähige Vorrichtung das Netzwerk erfolgreich authentifiziert hat oder die vorbestimmte Zeitdauer verstrichen ist; und Verhindern, dass nicht autorisierte Endpunkte auf das Netzwerk zugreifen, indem sichergestellt wird, dass sich alle MAB-Einträge und neuen Konten im Netzwerk in einem deaktivierten oder abgelaufenen Zustand befinden, ein.
  • Weitere Anwendungsgebiete ergeben sich aus der hierin gegebenen Beschreibung. Es versteht sich, dass die Beschreibung und die spezifischen Beispiele nur zu Veranschaulichungszwecken dienen und den Schutzumfang der vorliegenden Offenbarung nicht einschränken sollen.
  • Figurenliste
  • Die hierin beschriebenen Zeichnungen dienen lediglich der Veranschaulichung und sollen den Schutzumfang der vorliegenden Offenbarung in keiner Weise einschränken.
    • 1 ist eine schematische Darstellung eines Netzwerksystems gemäß einem Aspekt der vorliegenden Offenbarung; und
    • 2 ist ein Flussdiagramm eines Verfahrens zur erweiterten Netzwerkzugriffssteuerung für ein Netzwerk gemäß einem Aspekt der vorliegenden Offenbarung.
  • DETAILLIERTE BESCHREIBUNG
  • Es wird nun im Detail auf mehrere Ausführungsformen der Offenbarung Bezug genommen, die in den begleitenden Zeichnungen dargestellt sind. Wann immer möglich, werden die gleichen oder ähnliche Bezugszeichen in den Zeichnungen und der Beschreibung verwendet, um gleiche oder ähnliche Teile oder Schritte zu bezeichnen. Diese und ähnliche Richtungsbcgriffc sind nicht so auszulegen, dass sie den Schutzumfang der Offenbarung einschränken.
  • Ausführungsbeispiele sind derart bereitgestellt, dass diese Offenbarung gründlich ist und dem Fachmann den Schutzumfang vollständig vermittelt. Zahlreiche spezifische Details sind dargelegt, wie etwa Beispiele spezifischer Komponenten, Vorrichtungen und Verfahren, um ein gründliches Verständnis von Ausführungsformen der vorliegenden Offenbarung bereitzustellen. Für den Fachmann wird es offensichtlich sein, dass spezifische Details nicht verwendet werden müssen, dass Ausführungsbeispiele in vielen unterschiedlichen Formen ausgeführt werden können und dass keines so ausgelegt werden sollte, dass es den Schutzumfang der Offenbarung einschränkt. In einigen Ausführungsbeispielen werden gut bekannte Prozesse, gut bekannte Vorrichtungsstrukturen und gut bekannte Technologien nicht im Detail beschrieben.
  • Die hierin verwendete Terminologie dient lediglich dem Zweck der Beschreibung bestimmter Ausführungsbeispiele und soll nicht einschränkend sein. Wie hierin verwendet, können die Singularformen „ein“, „einer“, „eine“ und „der“, „die“, „das“ auch die Pluralformen einschließen, es sei denn, der Kontext gibt eindeutig etwas anderes an. Die Begriffe „umfasst“, „einschließt“, „umfassend“, „einschließlich“ und „aufweisend“ sind inklusiv und spezifizieren daher das Vorhandensein der angegebenen Merkmale, ganzen Zahlen, Schritte, Operationen, Elemente und/oder Komponenten, schließen jedoch nicht das Vorhandensein oder den Zusatz von einem oder mehreren anderen Merkmalen, ganzen Zahlen, Schritten, Operationen, Elementen, Komponenten, und/oder Gruppen davon aus. Die hierin beschriebenen Verfahrensschritte, Prozesse und Arbeitsvorgänge sind nicht so auszulegen, dass sie unbedingt in der speziellen erörterten oder dargestellten Reihenfolge ausgeführt werden müssten, es sei denn, sie werden spezifisch als eine Reihenfolge der Ausführung identifiziert. Es versteht sich auch, dass zusätzliche oder alternative Schritte angewendet werden können.
  • Wenn auf ein Element oder eine Schicht als „auf“, „in Eingriff gebracht mit“, „angeordnet auf“, „verbunden mit“ oder „gekoppelt mit“ einem anderen Element oder einer anderen Schicht Bezug genommen wird, kann dieses bzw. diese direkt auf dem anderen Element oder der anderen Schicht sein, damit in Eingriff gebracht, darauf angeordnet, damit verbunden oder gekoppelt sein oder dazwischenliegende Elemente oder Schichten können vorhanden sein. Wenn im Gegensatz dazu auf ein Element „direkt auf“, „direkt in Eingriff gebracht mit“, „direkt angeordnet auf“, „direkt verbunden mit“ oder „direkt gekoppelt mit“ einem anderen Element oder einer anderen Schicht Bezug genommen wird, sind keine dazwischenliegenden Elemente oder Schichten vorhanden. Andere Wörter, die verwendet werden, um die Beziehung zwischen Elementen zu beschreiben, sollten in einer ähnlichen Weise interpretiert werden (z. B. „zwischen“ gegenüber „direkt zwischen“, „benachbart“ gegenüber „direkt benachbart“ usw.). Wie hierin verwendet, schließt der Ausdruck „und/oder“ jede und alle Kombinationen von einem oder mehreren der zugeordneten aufgelisteten Gegenstände ein.
  • Obwohl die Begriffe erste, zweite, dritte usw. hierin verwendet werden können, um verschiedene Elemente, Komponenten, Regionen, Schichten und/oder Abschnitte zu beschreiben, sollten diese Elemente, Komponenten, Regionen, Schichten und/oder Abschnitte nicht durch diese Begriffe eingeschränkt sein. Diese Begriffe werden möglicherweise nur verwendet, um ein Element, eine Komponente, eine Region, eine Schicht oder einen Abschnitt von einer anderen Region, einer Schicht oder einem anderen Abschnitt zu unterscheiden. Begriffe wie etwa „erster“, „zweiter“ und andere numerische Begriffe implizieren, wenn sie hierin verwendet werden, keine Abfolge oder Reihenfolge, es sei denn, dies wird durch den Kontext eindeutig angegeben. Somit könnte ein erstes Element, eine Komponente, eine Region, eine Schicht oder ein Abschnitt, der unten erläutert wird, als ein zweites Element, Komponente, Region, Schicht oder Abschnitt bezeichnet werden, ohne von den Lehren der Ausführungsbeispiele abzuweichen.
  • Der Begriff „Computer“ oder „Server“, wie hierin verwendet, schließt im Allgemeinen eine beliebige elektronische Steuervorrichtung mit einem vorprogrammierten digitalen Computer oder Prozessor, Speicher oder einem nicht transitorischen computerlesbaren Medium, das zum Speichern von Daten wie Steuerlogik, Softwareanwendungen, Anweisungen, Computercode, Software oder Anwendungen, Daten, Nachschlagetabellen usw. verwendet werden kann, und einen Transceiver [oder Eingabe-/Ausgabeports] ein. Computerlesbares Medium schließt eine beliebige Art von Medium, auf das von einem Computer zugegriffen werden kann, wie Nur-Lese-Speicher (ROM), Direktzugriffsspeicher (RAM), ein Festplattenlaufwerk, eine CD (Compact Disc) und DVD (Digital Video Disc) oder eine beliebige andere Art von Speicher ein. Ein „nicht transitorisches“ computerlesbares Medium schließt verdrahtete, drahtlose, optische oder andere Kommunikationsverbindungen aus, die vorübergehende elektrische oder andere Signale transportieren. Ein nicht transitorisches computerlesbares Medium schließt Medien, in denen Daten permanent gespeichert werden können, und Medien ein, in denen Daten gespeichert und später überschrieben werden können, wie etwa eine wiederbeschreibbare optische Platte oder eine löschbare Speichervorrichtung. Computercode, Software oder Anwendungen schließen eine beliebige Art von Programmcode, einschließlich Quellcode, Objektcode und ausführbaren Code ein. Der Prozessor ist konfiguriert, den Code oder die Befehle auszuführen. In einigen Beispielen schließt der Computer oder Server auch eine dedizierte Wi-Fi-Steuerung ein, die zum drahtlosen Kommunizieren mit drahtlosen Kommunikationspunkten unter Verwendung der Wi-Fi-Protokolle unter dem IEEE 802.1X konfiguriert ist.
  • Der Computer oder Server schließt ferner eine oder mehrere Anwendungen ein. Eine Anwendung ist ein Softwareprogramm, das konfiguriert ist, eine spezifische Funktion oder einen Satz von Funktionen auszuführen. Die Anwendung kann ein oder mehrere Computerprogramme, Softwarekomponenten, Sätze von Anweisungen, Prozeduren, Funktionen, Objekte, Klassen, Instanzen, verwandte Daten oder einen Teil davon einschließen, der zur Implementierung in einem geeigneten computerlesbaren Programmcode ausgelegt ist. Die Anwendungen können in dem Speicher oder in einem zusätzlichen oder separaten Speicher gespeichert sein. Beispiele der Anwendungen schließen Audio- oder Video-Streaming-Dienste, Spiele, Browser, soziale Medien, Netzwerkmanagementsysteme, Verzeichniszugriffs- und Verwaltungssysteme und dergleichen ein, ohne vom Schutzumfang oder der Absicht der vorliegenden Offenbarung abzuweichen.
  • Die folgende Beschreibung ist lediglich beispielhafter Natur und soll die vorliegende Offenbarung, Anwendung oder Verwendungen nicht einschränken.
  • Unter Bezugnahme auf 1 ist ein Netzwerkzugriffssteuersystem gezeigt und im Allgemeinen mit dem Bezugszeichen 10 bezeichnet. Das Netzwerkzugriffssteuersystem 10 kann mit einer breiten Vielfalt von öffentlichen und/oder privaten Netzwerksystemen verwendet werden, ohne vom Schutzumfang oder der Absicht der vorliegenden Offenbarung abzuweichen. Das Netzwerkzugriffssteuersystem 10 stellt durch eine Vielzahl von netzwerkfähigen Vorrichtungen 14 selektiv Zugriff auf ein Netzwerk 12 bereit. In einigen Beispielen sind die netzwerkfähigen Vorrichtungen 14 über IEEE-802.1X-Authentifizierungsstandards an das Netzwerk angeschlossen. Die Authentifizierung von 802.1X schließt im Allgemeinen drei Parteien ein: einen anfragenden Teilnehmer oder eine Vorrichtung 16, einen Authentifikator 18 und einen Authentifizierungsserver 20. Der anfragende Teilnehmer 16 ist ein Client oder eine Client-Vorrichtung, wie etwa ein Desktop-Computer 22, ein Laptop 24, ein persönlicher Datenassistent (PDA), ein Tablet-Computer 26, eine zellulare Vorrichtung wie ein Smartphone, ein netzwerkfähiger Drucker 28 oder dergleichen. Der anfragende Teilnehmer 16 generiert eine Anfrage, sich an das Netzwerk 12 anzuschließen. In einigen Beispielen ist das Netzwerk 12 ein lokales Netzwerk (LAN) oder ein drahtloses lokales Netzwerk (WLAN). In weiteren Beispielen ist der anfragende Teilnehmer 16 Computersoftware, die auf einer Client-Vorrichtung, wie etwa einem der oben erwähnten Desktop-Computer 22, einem Laptop 24, einem persönlichen Datenassistenten (PDA), einem Tablet-Computer 26, einer zellulären Vorrichtung wie einem Smartphone, einem netzwerkfähigen Drucker 28 oder dergleichen, läuft. Der anfragende Teilnehmer 16 stellt dem Authentifikator 18 Anmeldedaten bereit. Der Authentifikator 18 ist eine Netzwerkvorrichtung, wie etwa ein Ethernet-Switch, ein Drahtloszugriffspunkt oder dergleichen. Der Authentifizierungsserver 20 ist typischerweise eine Hostvorrichtung, wie etwa ein Netzwerkserver oder andere solche Vorrichtungen. Der Authentifizierungsserver 20 verwendet Computersoftware, die Remote Authentication Dial-In User Service (RADIUS) und/oder Password Authentication Protocol (PAP), Challenge-Handshake Authentication Protocol (CHAP), Extensible Authentication Protocol (EAP) oder dergleichen unterstützt. Der RADIUS-Dienst stellt eine zentralisierte Authentifizierungs-, Autorisierungs- und Abrechnungsverwaltung für Benutzer bereit, die sich mit einem Dienst des Netzwerks 12 verbinden und diesen nutzen.
  • In einigen Fällen kann die Computersoftware des Authentifizierungsservers 20 auf der Vorrichtungshardware des Authentifikators 18 laufen. Der Authentifikator 18 agiert als Sicherheitsschutz für ein geschütztes Netzwerk 12. Der anfragende Teilnehmer 16 wird daran gehindert, über den Authentifikator 12 auf das Netzwerk 18 zuzugreifen, bis die Identität des anfragenden Teilnehmers 16 validiert und verifiziert wurde. Das heißt, bis die Anmeldedaten des anfragenden Teilnehmers 16 validiert und autorisiert wurden, verhindert der Authentifikator 18, dass der anfragende Teilnehmer 16 auf eine geschützte Seite 28 des Netzwerks 12, einschließlich Routern 30, Intranet- und Internetsites 32 und dergleichen, zugreift. Mit der portbasierten 802.1X-Authentifizierung stellt der anfragende Teilnehmer 16 Anmeldedaten, wie etwa einen Benutzernamen/Passwort oder ein digitales Zertifikat an den Authentifikator 18 bereit, und der Authentifikator 18 leitet die Anmeldedaten an den Authentifizierungsserver 20 zur Verifizierung weiter. Wenn der Authentifizierungsserver 20 feststellt, dass die Berechtigungsnachweise gültig sind, darf der Anbieter 16 auf Ressourcen zugreifen, die sich auf der geschützten Seite 28 des Netzwerks 12 befinden.
  • Jedoch muss es in einigen Fällen möglich sein, dass sich anfragende Teilnchmervorrichtungen 16, die nicht für eine 802.1X-Netzwerkzugriffssteuerung (NAC) fähig sind, mit einem gegebenen Netzwerk 12 verbinden dürfen. In großen Netzwerken 12 sind nicht-802.1X-NAC-fähige Vorrichtungen 16 ziemlich gebräuchlich. Solche nicht-802.1X-NAC-fähigen Vorrichtungen 16 können herkömmliche Vorrichtungen, einige Drucker, Faxgeräte, VoIP-Telefone, Türschlösser und andere physische Zugriffssteuerungsvorrichtungen innerhalb einem physischen Gebäude und dergleichen einschließen, ohne vom Schutzumfang oder der Absicht der vorliegenden Offenbarung abzuweichen. Daher müssen gezielte Lücken in den 802.1X-Authentifizierungsanforderungen des Netzwerks 12 gemacht werden, um nicht-802.1X-NAC-fähige Vorrichtungen 16 in das Netzwerk zuzulassen. Die nicht-802.1X-NAC-fähigen Vorrichtungen 16 werden dann mit dem Netzwerk 12 durch individuelle Medienzugriffssteuerungs-(MAC)-Adressen über einen Prozess registriert, der als Medienzugriffssteuerungs-Authentifizierungsumgehung oder „MAB“ bekannt ist. Da zumindest theoretisch die MAC-Adresse einer bestimmten Vorrichtung 16 eine eindeutige Kennung dieser bestimmten Vorrichtung 16 ist, stellt die Verwendung der MAC-Adresse einer bestimmten Vorrichtung 16 zur Authentifizierung dieser Vorrichtung 16 gegenüber dem Netzwerk 12 einen Netzwerkzugriffssteuerungsmechanismus bereit. Um die Richtigkeit und Authentizität von Zugriffsanfragen für nicht-802.1X NAC-fähige Vorrichtungen 16 zu bestimmen, schließt der Authentifizierungsserver 20 eine Datenbank 34 mit den Konten „A“, „B“, „C“ und „D“ und so weiter ein; jedes Konto „A“, „B“, „C“ und „D“ ist einer bestimmten Vorrichtung 16 zugeordnet. In dem Beispiel aus 1 ist das Konto „A“ dem Desktop-Computer 22 zugeordnet, das Konto „B“ ist dem Tablet-Computer 26 zugeordnet, das Konto „C“ ist dem netzwerkfähigen Drucker 28 zugeordnet und das Konto „D“ ist einem Laptop-Computer 24 zugeordnet. Es sollte jedoch beachtet werden, dass weniger oder eine viel größere Anzahl von Konten in der Datenbank 34 vorhanden sein kann als in 1 dargestellt. Darüber hinaus können die Konten eine breite Vielfalt von Vorrichtungen 16 und/oder Benutzern darstellen, die hierin nicht speziell beschrieben sind, ohne vom Schutzumfang oder der Absicht der vorliegenden Offenbarung abzuweichen. In einigen Beispielen sind jedoch die MAC Adressen in Software oder Firmware änderbar. Folglich kann eine MAC Adresse für einen bestimmten Teil der Vorrichtung 16 Hardware falsch oder fehlerhaft einer anderen Vorrichtung des anfragenden Teilnehmern 16 zugeordnet werden. Anders ausgedrückt können MAC-Adressen gespooft werden. Da MAC-Adressen in Software oder Firmware für eine Vielzahl verschiedener netzwerkfähiger Vorrichtungen 16 geändert werden können, schafft die Verwendung von MAC-Adressen zum Registrieren von nicht-802.1X-NAC-fähigen Vorrichtungen 16 eine Lücke in der 802.1X-Sicherheit des Netzwerks 12. Die Sicherheitshintertür kann von einem nicht autorisierten System oder nicht autorisierten Benutzer unter Verwendung einer MAC-Adresse einer gültigen vernetzten Vorrichtung 16 verwendet werden, um betrügerisch auf das Netzwerk zuzugreifen. Der betrügerische Zugriff kann auf mindestens zwei Arten erreicht werden, nämlich durch Entfernen der gültigen vernetzten Vorrichtung 16 vom Netzwerkauthentifikator-Switch 18 oder durch Verbinden mit einem anderen vernetzten Switch 18 und unter Verwendung der gleichen MAC-Adresse der gültigen vernetzten Vorrichtungen 16.
  • Unter Bezugnahme auf 2 und unter fortgesetzter Bezugnahme auf 1 ist ein Verfahren zur erweiterten Netzwerkzugriffssteuerung (eNAC) für das Netzwerk 12 gezeigt und im Allgemeinen durch das Bezugszeichen 100 angegeben. Das Verfahren beginnt bei Block 102, bei dem alle MAB-Datenbankeinträge in der Datenbank 34 in einen deaktivierten oder abgelaufenen Kontozustand versetzt werden, und wobei alle neuen Konten, die dem Netzwerk 12 über die Datenbank 34 hinzugefügt werden, ebenfalls in einen deaktivierten oder abgelaufenen Zustand versetzt werden. In mehreren Aspekten schließt der deaktivierte Kontozustand das Deaktivieren vorbestimmter Kommunikationsports ein, um einen unautorisierten oder anderweitig unerwünschten Zugriff durch die neuen Konten oder durch Vorrichtungen von anfragenden Teilnehmern 16 zu verhindern, die MAB verwenden, um auf das Netzwerk 12 zuzugreifen.
  • Bei Block 104 fordert eine nicht-802.1X-fähige Vorrichtung 16 Zugriff auf das Netzwerk 12 durch Verwenden der MAC-Adresse der Vorrichtung 16 als eindeutige Kennung an. Bei Block 106 fordert ein 802.1X-fähiger Netzwerk-Switch 18 die Zugriffsanfrage der nicht 802. IX-fähigen Vorrichtung 16 zur Authentifizierung auf. Bei Block 108 sendet der Netzwerk-Switch 18 beim Empfangen und Identifizieren eines Mangels an 802.1X-Fähigkeit in der nicht-802.1X-fähigen Vorrichtung 16 die MAC-Adresse der nicht 802. 1X-fähigen Vorrichtung 16 zur Authentifizierung an einen auf dem Authentifikator 18 oder dem Authentifizierungsserver oder beiden gehosteten RADIUS-Dienst 20. Der RADIUS-Dienst verarbeitet die Zugriffsanfrage, die durch den Versuch der nicht-802.1X-fähigen Vorrichtung 16 zur Verbindung mit dem Netzwerk 12 generiert wird, indem die Datenbank 34 bei Block 110 nach einer Benutzer-ID und einem Passwort abgefragt wird, die von der nicht-802.1X-fähigcn Vorrichtung 16 bereitgestellt werden. In einigen Aspekten ist die Datenbank 34 ein LDAP-System (Lightweight Directory Access Protocol), ein Verzeichnisserver wie ein Active Directory-Server, ein Nameserver oder ähnliche Systeme, die über ein IP-Netzwerk 12 (Internet Protocol) auf verteilte Verzeichnisinformationsdienste zugreifen und diese verwalten. In einem Beispiel, in dem die MAC-Adresse als eindeutige Kennung für eine bestimmte nicht-802.1X-fähige Vorrichtung 16 verwendet wird, fungiert die MAC-Adresse sowohl als Benutzer-ID als auch als Passwort. Bei Block 112 schlägt die Endpunktauthentifizierung für die Vorrichtung des anfragenden Teilnehmers 16 durch den RADIUS-Dienst fehl, da die MAB-Datenbankeinträge und die neuen Kontoeinträge bei Block 102 in einen deaktivierten Zustand versetzt wurden. Das heißt, da der MAB-Datenbankeintrag für die nicht-802.1X-fähige Vorrichtung 16, die den Zugriff anfordert, auf „deaktiviert“ oder „abgelaufen“ gesetzt ist, lehnt der RADIUS-Dienst die Verbindungsautorisierungsanfrage ab, und der Port des Netzwerk-Switches 18, der ansonsten dem Netzwerk 12 Zugriff zu der nicht-802.1X-fähige Vorrichtung 16 gewährt hätte, bleibt deaktiviert oder abgelaufen. Daher ist in Block 112 die nicht-802.1X-fähige Vorrichtung 16 noch immer nicht in der Lage, sich mit dem Netzwerk 12 zu verbinden.
  • Bei Block 114 wird ein auf einem MAB-Rettungsserver gehosteter MAB-Rettungsdienst verwendet, um die Kontostatus-MAC-Aufzeichnungen der Vorrichtungen 16 zu verwalten und MAB-Einträge oder -Konten für eine vorbestimmte Zeitdauer, ein vorgegebenes Zeitfenster oder einen vorgegebenen Zeitraum „T“ zu aktivieren. In mehreren Aspekten ist der MAB-Rettungsdienst eine computergestützte Softwareanwendung, die auf einer Vielzahl von Computerhardware ausgeführt wird und autorisiertem Personal den Zugriff auf MAB-Datenbankeinträge ermöglicht. In einigen Aspekten wird der MAB-Rettungsdienst auf der Hardware des Authentifikators 18, des Authentifizierungsservers 20 oder auf beiden gehostet. In weiteren Aspekten wird der MAB-Rettungsdienst auf einer verteilten Computerplattform oder einer Cloud-Computing-Plattform gehostet, die autorisierten Benutzern, die Zugriff auf den MAB-Rettungsdienst benötigen, allgegenwärtigen Zugriff bietet. Die vorbestimmte Zeitdauer „T“ kann in Übereinstimmung mit dem Typ der fraglichen nicht 802.1X-fähigen Vorrichtung 16 variieren, ebenso wie der Natur des bestimmten Netzwerksystems, auf dem die nicht-802.1X-fähige Vorrichtung verwendet werden soll. In einem Beispiel liegt der vorbestimmte Zeitraum „T“ im Bereich von bis zu etwa 120 Stunden. In einem anderen Beispiel liegt der vorbestimmte Zeitraum „T“ zwischen etwa fünf Minuten und einer Stunde. In noch einem anderen Beispiel liegt der vorbestimmte Zeitraum „T“ zwischen etwa fünfzehn Minuten bis vierzig Minuten. In einem noch anderen Beispiel liegt der vorbestimmte Zeitraum „T“ zwischen etwa zwanzig bis etwa dreißig Minuten. Wenngleich der vorbestimmte Zeitraum „T“ als im Bereich von bis zu etwa 120 Stunden liegend beschrieben wurde, versteht sich, dass je nach Art der betreffenden Vorrichtung 16 der Umstände der Zugriffsanfrage, des Standorts, der Ausfallbedingungen und dergleichen der vorbestimmte Zeitraum „T“ wesentlich von den oben angegebenen Bereichen abweichen kann. In jedem Fall wird nach Ablauf des vorbestimmten Zeitraums „T“ verhindert, dass die Vorrichtung 16, für die das Konto aktiviert wurde oder nicht (in diesem Beispiel Konto „C“) abgelaufen ist, Zugang zum Netzwerk 12 erhält, da das Konto automatisch in den deaktivierten oder abgelaufenen Status zurückgesetzt wurde. Indem das Kontoablaufdatum-Attribut in dem Konto für eine gegebene MAC-Adresse in der Datenbank 34 verwendet wird, ist ein hohes Maß an zeitbasierter Genauigkeit erreichbar. Das heißt, der Ablauf des vorbestimmten Zeitraums „T“ kann mit einer Genauigkeit von ungefähr einer Sekunde mit einem eindeutigen Ablaufdatum oder einer eindeutigen Ablaufzeit für jedes einzelne MAC-Adresskonto in der Datenbank 34 eingestellt werden. Dementsprechend ist keine Kontenbereinigung erforderlich, und es sind keine zusätzlichen oder sekundären Datenbanken erforderlich, um die gewünschten Ablaufdaten oder -zeiten für MAC-Konten nachzuverfolgen. Darüber hinaus wird auf den Servern des Verzeichnisses 34 keine zusätzliche Last erzeugt, da keine Änderungen auf Kontoebene erforderlich sind, um das Konto in einen deaktivierten oder abgelaufenen Zustand zu versetzen, wenn der im MAB-Rettungsdienst festgelegte vorbestimmte Zeitraum „T“ abläuft.
  • Bei Block 116 ist in einigen Aspekten der MAB-Rettungsdienst für autorisiertes Personal über eine Verwaltungskonsole (nicht spezifisch gezeigt) zugänglich. Die Verwaltungskonsole kann eine webbasierte Schnittstelle, eine virtuelle Maschine oder eine Serverschnittstelle im LAN, WLAN oder allgemeiner in einem lokalen Intranet oder dergleichen sein. Eine autorisierte Person mit Zugriff auf den MAB-Rettungsdienst für eNAC ist eine Person, die berechtigt ist, IT-Unterstützungsfunktionen innerhalb einer gegebenen Netzwerkinfrastruktur durchzuführen. In einigen Beispielen kann die autorisierte Person ein Techniker vor Ort an einem Standort sein, an dem der Einsatz des MAB-Rettungsdienstes erforderlich ist, um die Vorrichtungen 16 erneut mit dem Netzwerk 12 zu verbinden. In anderen Beispielen kann die autorisierte Person eine Person sein, die sich entfernt befindet und die MAB-Datenbankeintragsinformationen als Reaktion auf eine Vielzahl von Situationen an physischen Orten ändert, die von der autorisierten Person entfernt sind. In einigen Aspekten schließt die Vielzahl von Situationen, in denen der MAB-Rettungsdienst verwendet wird, Folgendes ein, ist jedoch nicht darauf beschränkt auf: Notfallwiederherstcllungssituationen, Stromausfälle, Server- oder Netzwerkausfälle, Lebenszyklusverwaltungsprozesse, Installation neuer Vorrichtungen, Wartung oder dergleichen ohne Abweichung vom Schutzumfang oder der Absicht der vorliegenden Offenbarung. Wenn der MAB-Rettungsdienst verwendet wird, um einen Kontostatus für eine bestimmte nicht-802.1X-fähige Vorrichtung 16 16 für den vorbestimmten Zeitraum „T“ zu ändern, kann sich eine Endpunktvorrichtung, wie etwa eine nicht-802.1X-fähige Vorrichtung 16 unter Verwendung der eindeutigen MAC-Informationen der Vorrichtung authentifizieren und Zugriff auf das Netzwerk 12 erhalten. Sobald sich die Vorrichtung jedoch beim Netzwerk authentifiziert hat, wird der MAB-Eintrag oder das Konto für diese bestimmte Vorrichtung automatisch in den deaktivierten Zustand zurückgesetzt. Wenn dementsprechend in Block 118 ein nicht autorisierter Endpunkt, wie etwa ein Computer, ein Server oder dergleichen, der von einer Person bedient wird, die durch MAC-Adrcss-Spoofing Zugang zum Netzwerk 12 erhalten möchte, versucht, die MAC einer gültigen Endpunktvorrichtung des anfragenden Teilnehmers 16 zu manipulieren, wird ein solcher Versuch scheitern. Der Versuch wird scheitern, da der MAB-Eintrag oder das Konto der Endpunktvorrichtung des anfragenden Teilnehmers 16 bereits in den deaktivierten Zustand zurückgesetzt wurde. Sobald der MAB-Datenbankeintrag oder das Konto des gültigen anfragenden Teilnehmers 16 in den deaktivierten Zustand zurückversetzt wurde, wird ein Manipulieren der MAC-Adresse der gültigen Vorrichtung 16 verhindert.
  • In einem Beispiel trennt ein Stromausfall an einer Einrichtung eine Vielzahl von gültigen Vorrichtungen des anfragenden Teilnehmers 16 von dem Netzwerk 12. Während viele der anfragenden Teilnehmer 16 802.1X-fähig sind und daher automatisch erneut eine Verbindung mit dem Netzwerk 12 herstellen, dieses authentifizieren und Zugang dazu erhalten, müssen bestimmte andere nicht-802.1X-fähige Vorrichtungen 16 über MAB erneut eine Verbindung herstellen. Bestimmten der nicht-802.1X-fähigen anfragenden Teilnehmer 16 kann eine Bezeichnung von hoher Priorität erteilt werden, während andere nicht-802.1X-fähige anfragende Teilnehmer 16 keine solche Bezeichnung erhalten. In einigen Beispielen kann die Bezeichnung von hoher Priorität auf Physical-Security- und Physical-Safety-Vorrichtungen, wie etwa Feuerunterdrückungssysteme, Rauchmelder, Türverriegelungen und dergleichen, angewendet werden. In dem MAB-Rettungsdienst können Vorrichtungen von anfragenden Teilnehmern 16 mit einer Bezeichnung von hoher Priorität automatisch mit dem Netzwerk 12 neu registriert werden, anstatt dass eine autorisierte Person die Konten oder Datenbankeinträge für jede der Vorrichtungen von anfragenden Teilnehmern 16 manuell erneut aktivieren muss.
  • In einer Maßnahme zur zusätzlichen Sicherheit in Bezug auf den Zugriff von anfragenden Teilnehmern 16 auf das Netzwerk 12 über MAB-Authentifizierung und nicht über 802.1X kann der MAB-Rettungsdienst auch eine Vielzahl von Abfragen der Datenbank 34 ausführen. In einigen Ausführungsformen schließen die Anfragen der Datenbank 34 historische Standortinformationen, Online-Zeitinformationen und dergleichen ein. In dem Beispiel von Abfragen der Datenbank 34 für historische Standortinformationen kann der MAB-Rettungsdienst bestimmen, ob sich die MAC-Adresse eines bestimmten anfragenden Teilnehmers 16 zwischen einem bekannten vorherigen Standort des Netzwerks 12 und einem aktuellen Standort, an dem der anfragende Teilnehmer 16 eine Authentifizierungsanfrage ausführt, bewegt hat. In einem Beispiel, wenn eine zurückgelegte Entfernung zwischen früheren und aktuellen Standorten des Netzwerks 12 zu groß ist, um in einer bestimmten Zeitspanne (einem sogenannten „unmöglichen“ oder „nicht möglichen“ Reiseszenario) trotz Generierung einer ansonsten zulässigen Authentifizierungsanfrage erreicht zu werden, kann der MAB-Rettungsdienst eine autorisierte Person, die den MAB-Rettungsdienst verwendet, selektiv warnen oder ihr Änderungen des Kontostatus verweigern. In einem zweiten Beispiel wird ein Lebenszyklus einer bestimmten Vorrichtung eines anfragenden Teilnehmers 16 verwaltet, indem der Zugriff auf die bestimmte Vorrichtung eines anfragenden Teilnehmers 16 selektiv verhindert wird, wenn ein Alter der Vorrichtung eines anfragenden Teilnehmers 16 einen vorbestimmten Schwellenwert erreicht. Im zweiten Beispiel kann die Vorrichtungsverwaltung der Lebenszyklusvorrichtungsverwaltung des anfragenden Teilnehmers 16 den Anschluss der bekannten älteren und möglicherweise anfälligeren Hardware an das Netzwerk 12 verhindern oder einschränken. Somit kann der MAB-Rettungsdienst selektiv das Aktivieren eines Kontos für eine Vorrichtung des anfragenden Teilnehmers 16 über den vorbestimmten Lebenszyklus dieser bestimmten Vorrichtung des anfragenden Teilnehmers 16 hinaus verhindern.
  • Ein erweiterter Netzwerkzugriffssteuerungsrahmen der vorliegenden Offenbarung bietet mehrere Vorteile, einschließlich eines Steuerungsrahmens, der das Potential für MAC-Spoofing in einem MAC- oder MAC-Authentifizierungsumgehungs-(MAB)-basierten Zugriffssteuerungsrahmen wirksam beseitigt und gleichzeitig die Funktionen für einfachen Zugriff, Redundanz, Ausfallsicherheit und Notfallwiederherstellung verbessert.
  • Die Beschreibung der vorliegenden Offenbarung ist lediglich beispielhafter Natur und Variationen, die nicht vom Kern der vorliegenden Offenbarung abweichen, sollen im Schutzumfang der vorliegenden Offenbarung liegen. Solche Variationen sind nicht als Abweichung vom Geist und Schutzumfang der vorliegenden Offenbarung anzusehen.

Claims (11)

  1. Beansprucht wird:
  2. Verfahren zum Bereitstellen erweiterter Netzwerkzugriffssteuerungen (eNAC) für ein Netzwerk, das IEEE-802.1X-Authentifizierungsstandards verwendet, umfassend: Verwenden einer Datenbank mit einer Vielzahl von Einträgen zur Medienzugriffssteuerungsauthentifizierung (MAB); Versetzen aller MAB-Einträge in der Datenbank und aller neuen Konten, die zu der Datenbank hinzugefügt werden, in einen deaktivierten oder abgelaufen Kontozustand; Verwenden einer MAB-Rettungsanwendung, um einen Kontostatus für die MAC-Adresse für eine nicht-802.1X-fähige Vorrichtung für eine vorbestimmte Zeitdauer in einen aktivierten oder nicht abgelaufenen Kontozustand zu ändern; Verbinden der nicht-802.1X-fähigen Vorrichtung mit dem Netzwerk unter Verwendung einer Medienzugriffssteuerungs-(MAC)-Adresse für die nicht-802. IX-fähige Vorrichtung als eine eindeutige Vorrichtungskennung; Zulassen einer Endpunktauthentifizierung der nicht-802.1X-fähigen Vorrichtung während der vorbestimmten Zeitdauer; und Verhindern, dass nicht autorisierte Endpunkte auf das Netzwerk zugreifen, indem sichergestellt wird, dass sich alle MAB-Einträge und neue Konten in dem Netzwerk in einem deaktivierten oder abgelaufen Kontozustand befinden.
  3. Verfahren für eNAC für ein Netzwerk nach Anspruch 1, ferner umfassend: Bestimmen eines präzisen Netzwerkstandorts der nicht-802.1X-fähigen Vorrichtung relativ zu einer vorherigen Netzwerkposition der nicht-802.1X-fähigen Vorrichtung innerhalb eines vorbestimmten Zeitraums.
  4. Verfahren für eNAC für ein Netzwerk nach Anspruch 2, ferner umfassend: Bestimmen einer genauen Netzwerkposition für jede MAB-fähige Vorrichtung in dem Netzwerk.
  5. Verfahren für eNAC für ein Netzwerk nach Anspruch 2, ferner umfassend: Generieren eines Inventars aktiver MAB-Ports.
  6. Verfahren für eNAC für ein Netzwerk nach Anspruch 1 wobei das Verwenden eines MAB-Rettungsdienstes ferner Folgendes umfasst: Verwenden des MAB-Rettungsdienstes, um autorisierten Benutzern zu ermöglichen, einen Status eines MAB-basierten Client-Zugriffsstatus abzufragen; und selektives Aktivieren eines Zugriffs für den MAB-basierten Client für einen vorbestimmten Zeitraum.
  7. Verfahren für eNAC für ein Netzwerk nach Anspruch 5, ferner umfassend: Verwenden des MAB-Rettungsdienstes, um Client-Zugriffsprobleme auf Einrichtungsebene zu adressieren; und Selektives und sicheres Aktivieren oder Nichtablaufenlassen von Konten und Adressieren von Client-Zugriffsproblemen auf Einrichtungsebene für einen vorbestimmten Zeitraum.
  8. Verfahren für eNAC für ein Netzwerk nach Anspruch 1, wobei das Verwenden eines MAB-Rettungsdienstes ferner das automatische selektive Aktivieren oder Nichtablaufenlassen von Konten für MAB-basierte Clients von hoher Priorität für einen vorbestimmten Zeitraum umfasst.
  9. Verfahren für eNAC für ein Netzwerk nach Anspruch 7, wobei der variable vorbestimmte Zeitraum zwischen etwa fünf Minuten und etwa einer Stunde liegt.
  10. Verfahren für eNAC nach Anspruch 7, wobei das automatische selektive Reaktivieren oder Nichtablaufenlassen des Zugriffs auf MAB-basierte Clients von hoher Priorität ferner das Reaktivieren oder Nichtablaufenlassen von Konten für Physical-Security-Clients und Physical-Safety-Clients an einer Einrichtung umfasst, an der Physical-Security-Clients und Physical-Safety-Clients von dem Netzwerk getrennt wurden.
  11. System zum Bereitstellen einer erweiterten Netzwerkzugriffssteuerung (eNAC) für ein Netzwerk, umfassend: eine Kontodatenbank, die mit dem Netzwerk gekoppelt ist und Konten für Benutzer speichert, wobei für jede aus einer Vielzahl von netzwerkfähigen Client-Vorrichtungen jedes der Benutzer- und netzwerkfähigen Client-Vorrichtungskonten standardmäßig auf einen deaktivierten oder abgelaufenen Zustand eingestellt ist, wobei mindestens eine der Vielzahl von netzwerkfähigen Vorrichtungen nicht-802.1X-fähig ist; und einen mit dem Netzwerk gekoppelten Medienzugriffssteuerungs-Authentifizierungsumgehungs-(MAB)-Rettungsdienst, wobei der MAB-Rettungsdienst Konten in der Kontodatenbank für die nicht-802.1X-fähigen Vorrichtungen vorübergehend selektiv aktiviert oder nicht ablaufen lässt, wobei die 802.1 X-fähige Vorrichtung mit dem Netzwerk verbunden ist und selektiv Zugriffsanfragen generiert, um Zugriff auf Netzwerkressourcen zu erhalten, wobei der MAB-Rettungsdienst vorübergehend nicht-802.1X-fähige Vorrichtungen zur Authentifizierung in einem vorbestimmten Zeitfenster zulässt und verhindert wird, dass nicht autorisierte Endpunkte auf das Netzwerk zugreifen, indem sichergestellt wird, dass sich alle MAB-Einträge und neuen Konten in dem Netzwerk in einem deaktivierten oder abgelaufen Kontozustand befinden.
DE102019114541.4A 2018-08-29 2019-05-29 RAHMEN ZUR ERWEITERTEN NETZWERKZUGRIFFSSTEUERUNG (eNAC) Pending DE102019114541A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/115,963 US10785229B2 (en) 2018-08-29 2018-08-29 Enhanced network access control (eNAC) framework
US16/115,963 2018-08-29

Publications (1)

Publication Number Publication Date
DE102019114541A1 true DE102019114541A1 (de) 2020-03-05

Family

ID=69526859

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019114541.4A Pending DE102019114541A1 (de) 2018-08-29 2019-05-29 RAHMEN ZUR ERWEITERTEN NETZWERKZUGRIFFSSTEUERUNG (eNAC)

Country Status (3)

Country Link
US (1) US10785229B2 (de)
CN (1) CN110875923B (de)
DE (1) DE102019114541A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11438375B2 (en) * 2020-06-02 2022-09-06 Saudi Arabian Oil Company Method and system for preventing medium access control (MAC) spoofing attacks in a communication network

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5889958A (en) * 1996-12-20 1999-03-30 Livingston Enterprises, Inc. Network access control system and process
WO2005011205A1 (en) * 2003-07-22 2005-02-03 Thomson Licensing S.A. Method and apparatus for controlling credit based access (prepaid) to a wireless network
US8528071B1 (en) * 2003-12-05 2013-09-03 Foundry Networks, Llc System and method for flexible authentication in a data communications network
US20130132286A1 (en) * 2011-11-17 2013-05-23 General Motors Llc Method and systems for servicing a subscriber vehicle
US9894599B2 (en) * 2012-06-13 2018-02-13 Qualcomm, Incorporated Method and apparatus for WLAN initial link setup
CN105591848A (zh) * 2014-10-20 2016-05-18 中兴通讯股份有限公司 一种IPv6无状态自动配置的认证方法及装置
US10129255B1 (en) * 2017-05-12 2018-11-13 International Business Machines Corporation Device authentication with MAC address and time period

Also Published As

Publication number Publication date
US20200076824A1 (en) 2020-03-05
US10785229B2 (en) 2020-09-22
CN110875923A (zh) 2020-03-10
CN110875923B (zh) 2022-04-15

Similar Documents

Publication Publication Date Title
US8984606B2 (en) Re-authentication
US8516569B2 (en) Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement
US11201778B2 (en) Authorization processing method, device, and system
DE112007000618B4 (de) Hierarchischer, auf Vertrauen basierender Stellungsbericht und Strategiedurchsetzung
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE69835416T2 (de) Verfahren zur sicheren ausführung eines fernmeldebefehls
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE69232799T2 (de) Netzwerksicherheitsverfahren und-vorrichtung
DE602005004021T2 (de) Verfahren und system zur authentifizierung in einem computernetzwerk
DE112012002729T5 (de) Zero-Sign-On-Authentifizierung
US20020112186A1 (en) Authentication and authorization for access to remote production devices
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
DE102009041805A1 (de) SIP-Signalisierung ohne ständige Neu-Authentifizierung
CN103404103A (zh) 将访问控制系统与业务管理系统相结合的系统和方法
DE102007025162A1 (de) Alarmgesteuerte Zugriffskontrolle in einem Unternehmensnetz
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
US10218712B2 (en) Access control using information on devices and access locations
EP3876497A1 (de) Aktualisierte einhaltungsbewertung von endpunkten
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
CN108881309A (zh) 大数据平台的访问方法、装置、电子设备及可读存储介质
DE102021127364A1 (de) Anschluss von geräten des internet of things ( i0t) an ein drahtloses netz
DE112008002860T5 (de) Verfahren und Vorrichtung für das Bereitstellen einer sicheren Verknüpfung mit einer Benutzeridentität in einem System für digitale Rechteverwaltung
WO2020229537A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
DE102008062984A1 (de) Prozess zur Authentifizierung eines Nutzers durch ein Zertifikat unter Verwendung eines Ausserband-Nachrichtenaustausches

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: MANITZ FINSTERWALD PATENT- UND RECHTSANWALTSPA, DE