网络访问控制系统、网络访问控制方法及存储介质技术方案

本申请公开了网络访问控制系统、网络访问控制方法及存储介质。一种多租户、云托管的网络访问控制(NAC)系统可以从网络访问服务器(NAS)设备接收指示符，以识别与NAS设备相关联的租户。NAS设备可以将标识符放入传输层安全性(TLS)/安全套接层(SSL)扩展服务器名称指示(SNI)字段中。NAC系统可以使用该标识符来获得租户特定配置信息，用于建立与NAS设备的安全隧道。隧道。隧道。

【技术实现步骤摘要】
网络访问控制系统、网络访问控制方法及存储介质
[0001]相关申请的交叉引用
[0002]本申请要求于2022年9月21日提交的美国专利申请号17/934,124和2022年6月14日提交的美国临时专利申请号63/366,379的优先权，这两个申请的全部内容通过引用结合于此。


[0003]本公开总体上涉及计算机网络，更具体地，涉及管理对计算机网络的访问。

技术介绍

[0004]诸如办公室、医院、机场、体育场或零售店之类的商业场所或站点通常在整个场所安装复杂的无线网络系统，包括无线接入点(AP)网络，以向一个或多个无线客户端设备(或简称为“客户端”)提供无线网络服务。AP是使其他设备能够使用各种无线网络协议和技术无线连接到有线网络的物理电子设备，例如，符合一个或多个IEEE 802.11标准的无线局域网协议(即“WiFi”)、蓝牙/蓝牙低能量(BLE)、诸如ZigBee等网状网络协议或其他无线网络技术。
[0005]许多不同类型的无线客户端设备(例如，笔记本电脑、智能手机、平板电脑、可穿戴设备、电器和物联网(IoT)设备)都集成了无线通信技术，并且可以被配置为在设备处于兼容AP的范围内时连接到无线接入点。为了访问无线网络，无线客户端设备可能首先需要向AP认证。认证可以经由无线客户端设备、AP和控制AP处的访问的认证、授权和计费(AAA)服务器之间的握手交换来进行。

技术实现思路

[0006]总体上，本公开描述了一种或多种技术，用于在多租户、云托管的网络访问控制(NAC)服务的背景下，识别和验证设备(例如，网络访问服务器(NAS)设备，例如，接入点、交换机、路由器或其他能够认证和授权客户端设备访问企业网络的网络基础设施设备)所属的租户或组织。NAC服务可以被托管在与集中式的、基于云的网络管理系统(NMS)通信的一个或多个NAC系统上，该网络管理系统被配置为管理与一个或多个租户或组织相关联的多个NAS设备。
[0007]根据所公开的技术，NAC系统使用从NAS设备接收的建立安全隧道的请求中包含的指示符。该指示符识别NAS设备关联或所属的租户或组织。在一个示例中，所公开的技术可以利用传输层安全性(TLS)/安全套接层(SSL)扩展服务器名称指示(SNI)来识别租户或组织。在这个示例中，从NAS设备接收的请求可以包括“客户端问候”消息，该消息包括识别NAS设备的租户或组织的SNI值。
[0008]然后，NAC系统可使用该指示符在本地高速缓存中进行查找，以获得租户或组织的配置信息。配置信息可以包括与由指示符识别的租户或组织相关联的服务器证书。如果租户的配置信息不包括在NAC系统的本地高速缓存中，则NAC系统可以在被称为“惰性下载”的
过程中从基于云的NMS请求租户或组织的配置信息。
[0009]一旦获得租户或组织的正确服务器证书，NAC系统可以向NAS设备提供服务器证书。例如，作为TLS握手的一部分，NAC系统可以向NAS设备发送“服务器问候”消息。响应于从NAS设备接收到客户端证书，NAC系统可以使用与租户或组织相关联的证书机构来验证客户端证书。证书机构位置可以包括在由指示符识别的租户或组织的配置信息中。
[0010]在一个示例中，本公开涉及一种系统，该系统包括基于云的NMS，其被配置为管理与一个或多个网络租户相关联的多个NAS设备和与NMS通信的一个或多个基于云的NAC系统。一个或多个NAC系统中的至少一个NAC系统被配置为从与一个或多个网络租户中的网络租户相关联的多个NAS设备中的NAS设备接收建立安全隧道的请求，该请求包括识别NAS设备所属的网络租户的指示符；基于指示符获得网络租户的配置信息，配置信息包括与网络租户相关联的服务器证书；响应于该请求，向NAS设备提供服务器证书；响应于从NAS设备接收到客户端证书，使用网络租户的配置信息来验证客户端证书；建立与NAS设备的安全隧道；以及使用安全隧道向NAS设备提供NAC服务。
[0011]在另一示例中，本公开涉及一种方法，包括：在与基于云的NMS通信的基于云的NAC系统处从与一个或多个网络租户相关联的多个NAS设备中的NAS设备接收建立安全隧道的请求，该请求包括识别NAS设备所属的一个或多个网络租户中的网络租户的指示符；由NAC系统基于指示符获得网络租户的配置信息，配置信息包括与网络租户相关联的服务器证书；响应于请求，由NAC系统向NAS设备提供服务器证书；响应于从NAS设备接收到客户端证书，由NAC系统使用网络租户的配置信息来验证客户端证书；由NAC系统建立与NAS设备的安全隧道；以及由NAC系统使用安全隧道向NAS设备提供NAC服务。
[0012]在另一示例中，本公开涉及一种包括指令的计算机可读存储介质，指令在被执行时使得与基于云的NMS通信的基于云的NAC系统的一个或多个处理器执行以下：从与一个或多个网络租户相关联的多个NAS设备中的NAS设备接收建立安全隧道的请求，请求包括识别NAS设备所属的一个或多个网络租户中的网络租户的指示符；基于指示符获得网络租户的配置信息，配置信息包括与网络租户相关联的服务器证书；响应于请求，向NAS设备提供服务器证书；响应于从NAS设备接收到客户端证书，使用网络租户的配置信息来验证客户端证书；建立与NAS设备的安全隧道；以及使用安全隧道向NAS设备提供NAC服务。
[0013]在附图和以下描述中阐述了本公开的技术的一个或多个示例的细节。从说明书和附图以及权利要求书中，这些技术的其他特征、目的和优点将变得显而易见。
附图说明
[0014]图1A是根据本公开的一种或多种技术的包括网络管理系统和网络访问控制系统的示例网络系统的框图。
[0015]图1B是示出图1A的网络系统的进一步示例细节的框图。
[0016]图1C是示出图1A的网络系统的进一步示例细节的概念图。
[0017]图2是根据本公开的一种或多种技术的示例网络访问控制系统的框图。
[0018]图3是根据本公开的一种或多种技术的示例网络管理系统的框图。
[0019]图4是根据本公开的一种或多种技术的示例接入点设备的框图。
[0020]图5是根据本公开的一种或多种技术的示例边缘设备的框图。
[0021]图6是示出示例通信流程的概念图。
[0022]图7是示出根据本公开的一种或多种技术的在多租户、云托管的网络访问控制系统的背景下识别和验证网络访问服务器设备所属的租户或组织的示例操作的流程图。
具体实施方式
[0023]图1A是根据本公开的一种或多种技术的包括网络访问控制(NAC)系统180A
‑
180K和网络管理系统(NMS)130的示例网络系统100的框图。示例网络系统100包括多个站点102A
‑
102N，在这些站点上，网络服务提供商分别管理一个或多个无线网络106A
‑
106N。尽管在图1A中，每个站点102A
ꢀ‑
102N被示为分别包括单个无线网络1本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络访问控制系统，包括：基于云的网络管理系统NMS，被配置为管理与一个或多个网络租户相关联的多个网络访问服务器NAS设备；以及一个或多个基于云的网络访问控制NAC系统，所述一个或多个NAC系统与所述NMS通信，所述一个或多个NAC系统中的至少一个NAC系统被配置为：从与所述一个或多个网络租户中的网络租户相关联的所述多个NAS设备中的NAS设备接收建立安全隧道的请求，所述请求包括识别所述NAS设备所属的所述网络租户的指示符；基于所述指示符获得所述网络租户的配置信息，所述配置信息包括与所述网络租户相关联的服务器证书；响应于所述请求，向所述NAS设备提供所述服务器证书；响应于从所述NAS设备接收到客户端证书，使用所述网络租户的所述配置信息来验证所述客户端证书；建立与所述NAS设备的所述安全隧道；以及使用所述安全隧道向所述NAS设备提供NAC服务。2.根据权利要求1所述的网络访问控制系统，其中，所述安全隧道包括传输层安全TLS隧道，其中，建立所述安全隧道的所述请求包括“客户端问候”消息，并且其中，所述指示符包括所述“客户端问候”消息的服务器名称指示SNI字段。3.根据权利要求2所述的网络访问控制系统，其中，所述NAC系统被配置为向所述NAS设备提供远程认证拨入用户服务RADIUS服务，并且其中，所述TLS隧道是通过TLS的RADIUS(RADSEC)隧道。4.根据权利要求1所述的网络访问控制系统，其中，为了获得所述网络租户的所述配置信息，所述NAC系统被配置为：使用所述指示符在所述配置信息的本地高速缓存中执行查找，以识别所述网络租户；以及基于成功的查找操作，从所述本地高速缓存获取所述网络租户的所述配置信息。5.根据权利要求4所述的网络访问控制系统，其中，所述NAC系统被配置为如果在预定时间段内没有使用所述配置信息，则从所述本地高速缓存中清除所述网络租户的所述配置信息。6.根据权利要求4所述的网络访问控制系统，其中，所述NMS被配置为向所述NAC系统提供配置信息更新，并且其中，所述NAC系统被配置为使用所述配置信息更新来更新所述本地高速缓存。7.根据权利要求1所述的网络访问控制系统，其中，为了获得所述网络租户的所述配置信息，所述NAC系统被配置为：使用所述指示符在所述配置信息的本地高速缓存中执行查找，以识别所述网络租户；以及基于不成功的查找操作，基于识别所述网络租户的所述指示符，从所述NMS获得所述网络租户的所述配置信息。8.根据权利要求7所述的网络访问控制系统，其中，所述NMS被配置为使用与所述网络租户相关联的策略来确定是否向所述NAC系统提供所述网络租户的所述配置信息。9.根据权利要求8所述的网络访问控制系统，其中，所述策略包括基于所述NAC系统的
物理位置对向所述NAC系统提供所述配置信息的限制。10.根据权利要求1
‑
9中任一项所述的网络访问控制系统，其中，所述NMS被配置为在所述NAC系统接收到对所述安全隧道的请求之前，向所述NAS设备提供所述指示符和所述客户端证书。11.根据权利要求1
‑
9中任一项所述的网络访问控制系统，其中，所述配置信息包括与所述网络租户相关联的认证机构CA的指示，并且其中，所述NAC系统被配置为使用与所述网络租户相关联的C...

【专利技术属性】
技术研发人员：玛达瓦，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：