认证客户端设备制造技术

本公开涉及一种认证客户端设备。本文描述的示例涉及用于通过在认证过程的初始阶段期间获得设备类型信息来认证客户端设备的技术。根据一些示例，标识旨在连接至网络的客户端设备，并且向其发送标识请求。从所述客户端设备接收标识响应以及设备类型信息。标识来自设备类别集的对应于所标识的设备类型信息的设备类别。选择适用于所标识的所述设备类型信息的设备策略。认证所述客户端设备以启用对所述网络的接入，并且将所选择的所述设备策略应用于所述客户端设备。所述客户端设备。所述客户端设备。

【技术实现步骤摘要】
认证客户端设备

技术介绍

[0001]在某些网络环境中，用户可以使用其个人设备来接入网络上提供的某些服务。自带设备(BYOD)是示例策略，它可以允许用户使用个人设备连接至网络环境。用户可能必须提供凭证，经历多因素认证过程等来认证设备。认证可以是验证用户/客户端设备的标识的过程。在成功认证时，用户设备可能必须经历授权过程，该授权过程可以被用于确定赋予用户的接入和/或权限。例如，授权过程可以被用于确定对各种资源、信息、应用等的接入。企业电子邮件可以是用户可以从个人设备接入的应用的示例。进一步地，授权过程可以被用于确定权限，诸如只读、读写等。

技术实现思路

[0002]在一个实施例中，一种认证客户端设备的方法包括：由认证方系统标识旨在连接至网络的客户端设备；由认证方系统将标识请求发送给客户端设备，其中标识请求包括针对设备数据的请求；由认证方系统从客户端设备接收标识响应；响应于标识响应包括响应设备数据的确定，由认证方系统标识来自响应设备数据的设备类型信息；由认证方系统标识来自设备类别集的对应于设备类型信息的设备类别；由认证方系统选择适用于所标识的类别的设备策略；以及由认证方系统认证客户端设备以启用对网络的接入，并且在成功认证时将设备策略应用于客户端设备。
[0003]在另一个实施例中，一种接入点包括：处理器；以及包括指令的非瞬态存储介质，该指令由处理器可执行，使该处理器：标识旨在连接至网络的客户端设备；将标识请求发送给客户端设备，其中标识请求包括请求设备数据字段；从客户端设备接收标识响应，其中标识响应包括响应设备数据字段；标识来自响应设备数据字段的设备类型信息；将接入请求发送给认证服务器，其中接入请求包括所标识的设备类型信息；从认证服务器接收接入响应，其中接入响应是基于设备类型信息而被确定的；以及与客户端设备协商以用于其认证，并且基于客户端设备的成功认证来启用对网络的接入。
[0004]在又一个实施例中，一种存储指令的非瞬态存储介质，该指令由处理器可执行以：标识旨在连接至网络的客户端设备；将标识请求发送给客户端设备，其中该标识请求包括请求设备数据字段；从客户端设备接收标识响应，其中标识响应包括响应设备数据字段；标识来自响应设备数据字段的设备类型信息；将接入请求发送给认证服务器，其中接入请求包括所标识的设备类型信息；从认证服务器接收接入响应，其中接入响应是基于设备类型信息而被确定的；以及与客户端设备协商以用于其认证，并且基于客户端设备的成功认证来启用对网络的接入。
附图说明
[0005]本公开根据一个或多个各种示例参照以下附图详细描述。这些附图仅出于图示的目的提供，并且仅描绘示例，其中：
[0006]图1A描绘了根据本公开的各种示例的可以被用于客户端设备的认证的网络环境；
[0007]图1B图示了根据本公开的客户端设备的认证方法的示例；
[0008]图2图示了根据本公开的设置在网络环境中用于客户端设备的认证的网络设备的示例；
[0009]图3图示了根据本公开的在客户端设备的认证期间在设备中发生的示例分组序列。
[0010]图4A是图示了根据本公开的各种示例的设备认证的示例的操作流程图；
[0011]图4B是图4A所图示的操作流程图的继续；以及
[0012]图5图示了可以被用于实施本文讨论的各种示例的示例计算机系统。
[0013]附图不是详尽的，并且不将本公开限制为所公开的精确形式。
具体实施方式
[0014]许多企业网络支持自带设备(BYOD)策略。用户可以使用其个人设备(在下文中称为“客户端设备”)通过有线和/或无线连接连接至企业网络。在这种网络中，用户可能能够从任何通信启用的客户端设备接入网络，例如膝上型计算机、平板计算机或移动电话。在向这种用户设备提供网络接入之前，各种标准可以被用于用户标识的认证。此处，为了简洁起见，用于认证和授权的过程被统称为“认证”。电气和电子工程师协会(IEEE)802.1x可以被视为用于认证用户设备的流行标准的示例。通常，基于IEEE 802.1X的认证可以包括客户端设备、网络设备和认证服务器。网络设备可以提供用户设备和认证服务器/企业网络之间的通信链路。认证服务器可以验证对网络接入的请求并且确定权限。
[0015]通常，直到认证成功，客户端设备可以被允许交换认证业务，诸如IEEE 802.1x认证业务，并且数据的交换可以被限制。在认证过程期间，诸如接入点等网络设备可以与客户端设备通信，并且在客户端设备和认证服务器之间中继信息。典型的认证过程可以包括标识阶段和接入阶段。在标识阶段期间，客户端设备可以将标识符(例如用户ID)发送给网络设备，并且它又被中继到认证服务器。在接入阶段期间，认证服务器可以检查用户凭证以确定网络接入是被准许还是拒绝，并且确定哪些策略可以被应用。
[0016]理解设备类型信息对于应用适当的策略可能是至关重要的，尤其是在BYOD架构中。设备类型信息可以包括硬件信息、软件信息、固件信息等。了解设备类型可能有助于通过应用设备特定策略来保护网络接入。传统上，夹式(sandwiched)认证过程可以被用于标识客户端设备并且将其授权到网络上。例如，在初始认证时，客户端设备可以被允许接入网络。然后，主动发现方法(例如简单网络管理协议[SNMP]、网络映射[Nmap]扫描等)或被动发现方法(例如动态主机配置协议[DHCP]、用户代理超文本传送协议[HTTP]等)可以被用于标识设备类型。在标识设备类型后，客户端设备可能会被要求再次认证。在该第二认证期间并且基于设备类型信息(先前标识的)，认证策略可以由认证服务器确定。考虑到发现和认证步骤，这些现有的认证过程中的一些可能很麻烦，并且会消耗大量的网络带宽。而且，能够执行主动/被动发现的认证服务器可能必须被使用。在该过程期间，网络端口可能必须在认证服务器和客户端设备之间保持打开，这可能是安全风险。
[0017]进一步地，在认证过程期间，认证服务器可以缓存设备的关于第一认证的信息。在一些实例中，设备信息可能会被缓存更长的时间，这可能是由于上述夹式认证过程中发现方法的延迟。这可能会导致客户端设备等待不适当的接入策略，诸如受限接入策略。在一些
其他实例中，缓存的设备信息到期和/或客户端设备的MAC地址随机化可能发生，并且客户端设备可能不得不多次经历夹式认证过程，这可能会进一步延迟认证过程。
[0018]在本公开中，对旨在连接至网络的客户端设备(诸如BYOD类型设备)进行认证的示例技术被公开。诸如接入点或以太网交换机等网络设备可以充当促进通过认证服务器对客户端设备进行认证的中间设备。网络设备可以探测客户端设备以在认证过程的早期阶段(例如标识阶段)期间共享设备类型信息。网络设备可以与认证服务器共享作为网络设备对客户端设备的探测的结果而发现的设备类型信息，以便认证服务器可以拒绝接入或为客户端设备选择适当的接入策略、认证方法和/或(多个)许可。
[0019]在认证过程的初始阶段期间获得设备类型信息使认证服务器能够选择适用策略(例如接入策略)，由此客本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种认证客户端设备的方法，包括：由认证方系统标识旨在连接至网络的客户端设备；由所述认证方系统将标识请求发送给所述客户端设备，其中所述标识请求包括针对设备数据的请求；由所述认证方系统从所述客户端设备接收标识响应；响应于所述标识响应包括响应设备数据的确定，由所述认证方系统标识来自所述响应设备数据的设备类型信息；由所述认证方系统标识来自设备类别集的对应于所述设备类型信息的设备类别；由所述认证方系统选择适用于所标识的所述类别的设备策略；以及由所述认证方系统认证所述客户端设备以启用对所述网络的接入，并且在成功认证时将所述设备策略应用于所述客户端设备。2.根据权利要求1所述的方法，还包括：响应于所述设备类型信息属于受限设备类别的确定，由所述认证方系统终止针对所述客户端设备的对所述网络的接入。3.根据权利要求1所述的方法，其中所述标识请求是可扩展认证协议EAP标识请求，并且所述EAP标识请求包括被设置为真的请求设备数据字段。4.根据权利要求1所述的方法，其中所述标识响应是可扩展认证协议EAP标识响应，并且所述EAP标识响应包括用于提供与所述设备类型信息相对应的信息的响应设备数据字段。5.根据权利要求1所述的方法，其中所述认证方系统包括网络设备和认证服务器，其中所述网络设备被通信地耦合至所述认证服务器，并且基于所述客户端设备的成功认证，所述客户端设备与所述网络设备相关联以接入所述网络。6.根据权利要求1所述的方法，其中所述标识所述设备类别包括：由所述认证方系统的认证服务器从所述认证方系统的网络设备接收接入请求，其中所述接入请求包括所述设备类型信息；由所述认证服务器基于所接收的所述设备类型信息从设备类别集标识所述设备类别；以及由所述认证服务器基于所标识的所述设备类别从设备策略集选择设备策略。7.根据权利要求6所述的方法，还包括：由所述认证服务器基于所述设备类型信息属于受限设备类别的确定，将接入拒绝发送给所述认证方系统的网络设备。8.根据权利要求6所述的方法，还包括：响应于所述响应设备数据“未知”的确定，由所述认证方系统的认证服务器从所述设备策略集选择有限接入策略。9.根据权利要求7所述的方法，其中所述网络设备包括接入点、以太网交换机或者连接启用设备。10.根据权利要求8所述的方法，其中所述设备策略集各自包括设备接入策略、一个或多个权限和设备认证方法。11.一种接入点，包括：
处理器；以及包括指令的非瞬态存储介质，所述指令由所述处理器可执行，使所述处理器：标识旨在连接至网络的客户端设备；将标识请求发送给所述客户端设备，其中所述标识请求包括请求设备数据字段；从所述客户端设备接收标识响应，其中所述标识响应包...

【专利技术属性】
技术研发人员：N，
申请(专利权)人：慧与发展有限责任合伙企业，
类型：发明
国别省市：