基于端点和用户属性应用安全策略的制作方法

本公开总体上涉及计算机网络，并且更具体地，涉及管理对计算机网络的接入。

背景技术：

1、诸如办公室、医院、机场、体育馆或零售店等商业场所或地点经常在整个场所内安装复杂的无线网络系统，包括无线接入点(ap)网络，以向一个或多个无线客户端设备(或简称“客户端”)提供无线网络服务。ap是物理电子设备，其使得其他设备能够使用各种无线网络协议和技术(诸如符合ieee 802.11标准(即“wifi”)、蓝牙/蓝牙低功耗(ble)中的一种或多种的无线局域网协议、诸如zigbee等网状网络协议或其他无线网络技术)无线连接到有线网络。

2、许多不同类型的无线客户端设备(诸如膝上型计算机、智能手机、平板电脑、可穿戴设备、电器和物联网(iot)设备)都结合了无线通信技术，并且可以被配置为当设备处于兼容ap范围内时连接到无线接入点。为了获得对无线网络的接入，无线客户端设备可能首先需要对ap进行认证。认证可以经由无线客户端设备、ap和控制ap处的接入的认证、授权和计费(aaa)服务器之间的握手交换而发生。

技术实现思路

1、总体上，本公开描述了用于使用由网络接入控制(nac)系统获得的端点设备的用户和端点设备的属性来应用安全策略的一个或多个技术。在一些方面中，网络接入控制(nac)系统可以被配置为当客户端设备请求连接到网络时向网络认证客户端设备。作为连接和/或认证过程的一部分，nac系统可以获得关于客户端设备和客户端设备的用户的属性。nac系统可以向诸如防火墙等安全执行器(security enforcer)提供该属性，该安全执行器可以利用客户端设备属性和用户属性来确定应用于去往和来自客户端设备的网络流量的安全策略。本文公开的技术促进了安全策略的开发，该安全策略可以基于网络管理员的意图，而不是可能限于基于网络地址或用户角色的规则的较低级规则。作为示例，网络管理员可以表达安全策略“如果用户在会计部门且在公司膝上型电脑上登录，则允许访问会计服务器和电子邮件服务器”以及规则“如果用户在会计部门且在智能手机上登录，则允许访问电子邮件服务器”。因此，当用户在网络管理员可以合理地确信具有适当的安全软件的公司膝上型电脑上登录网络时，在会计部门的用户可以访问会计服务器和电子邮件服务器两者。但是，当用户经由可能不如公司膝上型电脑安全的个人设备(诸如智能手机)登录到网络时，可能只能访问电子邮件服务器，而不能访问会计服务器。

2、本公开的技术提供了一个或多个技术优点和实际应用。作为一个示例，现有系统典型地在网络地址方面(诸如互联网协议(ip)地址或媒体访问控制(mac)地址)表达安全策略。然而，这要求网络管理员知道用户的网络地址。这可能很难做到，原因有以下几点。首先，无线和有线网络的网络地址典型地是经由动态主机配置协议提供的。在此类情况下，用户的客户端设备的网络地址可能因网络登录的不同而不同。附加地，用户使用个人设备登录网络也很常见。出于这两个原因，如果并非不可能，网络管理员可能很难在用户的设备在网络上使用之前就知道该设备的网络地址。当网络地址可能在登录与登录之间发生改变，或者当客户端设备是用户的个人设备时，网络管理员很难基于网络地址制定安全策略。本文公开的技术提供的优点在于，网络管理员不必知道可登录网络的设备的具体网络地址。而是，网络管理员可以基于用户和被用户用于登录网络的设备两者的高级属性来确定安全策略。

3、在一个示例中，本公开涉及一种网络接入控制系统，该系统包括：存储器，该存储器存储用于企业网络的一个或多个安全策略；以及一个或多个处理器，该一个或多个处理器耦接到存储器并且被配置为：从用户的客户端设备接收连接到企业网络的请求，响应于接收请求，确定与用户相关联的一个或多个用户属性和客户端设备的一个或多个端点属性，以及向安全执行器提供用户属性和端点属性，该安全执行器被配置为：基于一个或多个用户属性和一个或多个端点属性来标识一个或多个安全策略中的安全策略，以及根据安全策略配置企业网络的网络设备的接入控制模块。

4、在另一个示例中，本公开涉及一种方法，该方法包括：由被配置为执行网络接入控制器的处理电路从用户的客户端设备接收连接到企业网络的请求；响应于接收请求，由网络接入控制器确定与用户相关联的一个或多个用户属性和客户端设备的一个或多个端点属性；以及由网络接入控制器向安全执行器提供一个或多个用户属性和一个或多个端点属性，该安全执行器被配置为：基于一个或多个用户属性和一个或多个端点属性来应用安全策略，以及根据安全策略配置企业网络的网络设备。

5、在再一个示例中，本公开涉及一种网络系统，该网络系统包括：安全执行器，该安全执行器包括处理电路，该处理电路被配置为针对多个网络设备执行安全策略；以及网络接入控制系统，该网络接入控制系统包括存储器和耦接到该存储器的一个或多个处理器，该网络接入控制模块被配置为：从用户的客户端设备接收连接到企业网络的请求，响应于接收到该请求，确定与用户相关联的一个或多个用户属性和客户端设备的一个或多个端点属性，以及向安全执行器提供用户属性和端点属性，其中，安全执行器被配置为：基于一个或多个用户属性和一个或多个端点属性来标识一个或多个安全策略中的安全策略，以及根据安全策略配置企业网络的网络设备的接入控制模块。

6、在附图和下面的描述中阐述了本公开的技术的一个或多个示例的细节。这些技术的其他特征、目的和优点将从描述和附图以及权利要求中变得显而易见。

技术特征：

1.一种网络接入控制系统，包括：

2.根据权利要求1所述的网络接入控制系统，其中，所述一个或多个处理器还被配置为：

3.根据权利要求1所述的网络接入控制系统，其中，所述安全执行器还被配置为：

4.根据权利要求1所述的系统，其中，所述安全执行器还被配置为响应于确定网络会话已经结束，从所述网络设备的所述接入控制列表移除所述接入控制条目。

5.根据权利要求1所述的系统，其中，所述网络设备包括接入点、路由器或交换机。

6.根据权利要求1所述的系统，其中，所述安全策略包括基于所述用户属性中的一者或多者或所述客户端设备属性中的一者或多者的规则。

7.根据权利要求1所述的系统，其中，所述用户属性包括以下各项中的一项或多项：所述用户的姓名、所述用户作为成员的群组、所述用户的家庭办公位置、所述用户的级别、部门、组织、角色。

8.根据权利要求1所述的系统，其中，所述端点属性包括以下各项中的一项或多项：供应商、制造商、型号、操作系统(os)版本、wifi服务集标识符(ssid)、媒体访问控制(mac)地址、互联网协议(ip)地址、连接时间、通信模式、网络端口、位置、与所述客户端设备相关联的标签。

9.根据权利要求1所述的系统，其中，所述安全执行器包括防火墙。

10.一种方法，包括：

11.根据权利要求10所述的方法，还包括：

12.根据权利要求10所述的方法，还包括：

13.根据权利要求10所述的方法，还包括：

14.根据权利要求10所述的方法，其中，所述网络设备包括接入点、路由器或交换机之一。

15.根据权利要求10所述的方法，其中，所述安全策略包括基于所述用户属性中的一者或多者或所述客户端设备属性中的一者或多者的规则。

16.根据权利要求10所述的方法，其中，所述用户属性包括以下各项中的一项或多项：所述用户的姓名、所述用户作为成员的群组、所述用户的家庭办公位置、所述用户的级别、部门、组织、角色。

17.根据权利要求10所述的方法，其中，所述端点属性包括以下各项中的一项或多项：供应商、制造商、型号、操作系统(os)版本、wifi服务集标识符(ssid)、媒体访问控制(mac)地址、互联网协议(ip)地址、连接时间、通信模式、网络端口、位置、与所述客户端设备相关联的标签。

18.一种网络系统，包括：

19.根据权利要求18所述的网络系统，其中，所述一个或多个处理器还被配置为：

20.根据权利要求18所述的网络系统，其中，所述安全执行器还被配置为：

技术总结
示例网络接入控制系统包括：存储器，存储用于企业网络的一个或多个安全策略；以及一个或多个处理器，耦接到存储器并且被配置为：从用户的客户端设备接收连接到企业网络的请求，响应于接收到该请求，确定与用户相关联的一个或多个用户属性和客户端设备的一个或多个端点属性，基于一个或多个用户属性和一个或多个端点属性来标识一个或多个安全策略中的安全策略，以及根据安全策略配置企业网络的网络设备的接入控制模块。

技术研发人员：玛达瓦·拉奥·切希拉拉,拉贾·拉奥·塔迪梅蒂,普拉文·贾因,纳塔拉詹·曼蒂拉莫尔蒂
受保护的技术使用者：瞻博网络公司
技术研发日：
技术公布日：2024/1/15