[go: up one dir, main page]

RU2839575C1 - Network access control method and system - Google Patents

Network access control method and system Download PDF

Info

Publication number
RU2839575C1
RU2839575C1 RU2024105681A RU2024105681A RU2839575C1 RU 2839575 C1 RU2839575 C1 RU 2839575C1 RU 2024105681 A RU2024105681 A RU 2024105681A RU 2024105681 A RU2024105681 A RU 2024105681A RU 2839575 C1 RU2839575 C1 RU 2839575C1
Authority
RU
Russia
Prior art keywords
network
host device
server
certificate
specified
Prior art date
Application number
RU2024105681A
Other languages
Russian (ru)
Inventor
Роман Алексеевич Аникин
Марина Михайловна Гельвер
Эльдар Тимурович Заитов
Александр Михайлович Карпенко
Антон Валерьевич Конвалюк
Павел Александрович Кондратьев
Сергей Евгеньевич Коротков
Михаил Николаевич Краснов
Никита Сергеевич Курганов
Владимир Владимирович Кутявин
Александр Сергеевич Лавруков
Борис Николаевич Лыточкин
Артем Юрьевич Руденко
Рид Кевин
Original Assignee
Ооо "Яндекс"
Filing date
Publication date
Application filed by Ооо "Яндекс" filed Critical Ооо "Яндекс"
Priority to US19/057,684 priority Critical patent/US20250286887A1/en
Application granted granted Critical
Publication of RU2839575C1 publication Critical patent/RU2839575C1/en

Links

Abstract

FIELD: physics.
SUBSTANCE: invention relates to network access control systems. Method includes generating a network certificate for a network host device for accessing a local area network, generating, for a network certificate associated with a network host device, an authorization tag indicating a set of actions that the network host device is allowed to perform in the local area network, and transmitting data indicative of the association between the network certificate and the authorization tag associated with the network host device to the local area network authentication server, as a result of which the authentication server allows the network host device to access the local network and perform a set of actions in it.
EFFECT: enabling detection of security threats associated with authorized electronic devices.
18 cl, 6 dwg

Description

Область техники, к которой относится изобретениеField of technology to which the invention relates

[0001] Настоящая технология относится к способам и системам управления доступом к сети, в частности, к управлению доступом к сети на основе портов.[0001] The present technology relates to methods and systems for network access control, in particular, to port-based network access control.

Уровень техникиState of the art

[0002] Управление доступом к сети (NAC, Network Access Control) включает в себя разнообразные подходы, направленные на обеспечение или ограничение доступа различных электронных устройств к сети (например, к частной или корпоративной сети) и ее узлам, в частности, на предотвращение несанкционированного доступа электронных устройств или на ограничение доступа электронных устройств, нарушающих какие-либо политики безопасности сети.[0002] Network Access Control (NAC) includes a variety of approaches aimed at ensuring or restricting access of various electronic devices to a network (e.g., a private or corporate network) and its nodes, in particular, preventing unauthorized access of electronic devices or restricting access of electronic devices that violate any network security policies.

[0003] В связи с этим в некоторых традиционных подходах к управлению доступом к сети предусматривается выдача авторизованным электронным устройствам специальных цифровых сертификатов. Такой сертификат обеспечивает взаимную аутентификацию между авторизованным устройством и узлами сети, что позволяет авторизованному электронному устройству получать доступ к сети. Иными словами, такой сертификат содержит данные (1) для цифровой идентификации электронного устройства и (2) для разрешений на действия, которые это электронное устройство может выполнять в сети. К таким действиям относятся, например, подключение к сетевому принтеру и его использование или получение доступа к приложению на одном из серверов сети и его запуск.[0003] In this regard, some traditional approaches to network access control provide for issuing special digital certificates to authorized electronic devices. Such a certificate ensures mutual authentication between the authorized device and the network nodes, which allows the authorized electronic device to access the network. In other words, such a certificate contains data (1) for the digital identification of the electronic device and (2) for permissions for actions that this electronic device can perform on the network. Such actions include, for example, connecting to a network printer and using it, or accessing an application on one of the network servers and launching it.

[0004] При этом в тех случаях, когда авторизованное электронное устройство нарушает политики безопасности сети, предотвращение распространения возможной вредоносной активности в сети путем повторной выдачи цифрового сертификата может оказаться неэффективным. Например, если в результате атаки вредоносной программы на электронном устройстве прекращает работу антивирусное приложение, это электронное устройство может сохранять доступ к сети и оставаться подключенным к ней, продолжая вредоносную активность до получения нового сертификата. В другом примере мошенническое электронное устройство может украсть цифровой сертификат у авторизованного электронного устройства и действовать в сети от имени этого авторизованного электронного устройства.[0004] However, in cases where an authorized electronic device violates network security policies, preventing the spread of potential malicious activity on the network by reissuing a digital certificate may be ineffective. For example, if a malware attack on an electronic device causes the antivirus application to stop working, the electronic device may retain access to the network and remain connected to it, continuing malicious activity until a new certificate is received. In another example, a rogue electronic device may steal a digital certificate from an authorized electronic device and act on the network on behalf of that authorized electronic device.

[0005] Выявление таких нарушений безопасности, повторная выдача цифровых сертификатов и обеспечение регистрации повторно выданных цифровых сертификатов на узлах сети могут быть сопряжены со значительными затратами времени и ресурсов, что, с одной стороны, может приводить к серьезному повреждению данных, хранящихся в сети, а с другой - к ухудшению обслуживания пользователей авторизованных электронных устройств.[0005] Detecting such security breaches, reissuing digital certificates, and ensuring that reissued digital certificates are registered on network nodes may be time-consuming and resource-intensive, which may, on the one hand, result in serious damage to data stored on the network and, on the other hand, may result in deterioration in service to users of authorized electronic devices.

[0006] В известных технических решениях был предложен ряд способов для решения вышеуказанной технической проблемы.[0006] A number of methods have been proposed in the known technical solutions to solve the above technical problem.

[0007] В патентной заявке US 20180352003 A1 «Network access control with compliance policy check» (Управление доступом к сети с контролем соблюдения политики соответствия), опубликованной 6 декабря 2018 года и принадлежащей компании Opswat Inc, раскрыты способы, предусматривающие использование приложения для аутентификации, клиентского приложения или сервера управления доступом к сети в сочетании с приложением для аутентификации и клиентским приложением. Клиентское приложение собирает данные о соответствии пользовательского устройства установленным требованиям и передает их на сервер управления доступом к сети. В зависимости от этих данных, определяющих, соответствует ли пользовательское устройство политике безопасности для сервера, работающего по модели «программное обеспечение как услуга», сервер управления доступом к сети формирует результат проверки соответствия. Если результат проверки оказывается положительным, приложение для аутентификации предоставляет доступ пользовательскому устройству, а если отрицательным - отказывает в доступе этому устройству. В некоторых вариантах осуществления результат проверки соответствия или идентификатор пользовательского устройства хранится в куки-файле веб-браузера или в сертификате клиента на пользовательском устройстве.[0007] In the patent application US 20180352003 A1 "Network access control with compliance policy check" (Network access control with compliance policy check), published on December 6, 2018 and owned by Opswat Inc, methods are disclosed that involve using an authentication application, a client application, or a network access control server in combination with the authentication application and the client application. The client application collects data on the compliance of the user device with the established requirements and transmits it to the network access control server. Depending on this data, which determines whether the user device complies with the security policy for the server operating on the "software as a service" model, the network access control server generates a compliance check result. If the check result is positive, the authentication application grants access to the user device, and if negative, denies access to this device. In some embodiments, the compliance check result or the user device identifier is stored in a web browser cookie or in a client certificate on the user device.

[0008] В патентной заявке US 20180198786 A1 «Associating Layer 2 and Layer 3 sessions for access control» (Ассоциирование сеансов на уровнях 2 и 3 для управления доступом), опубликованной 12 июля 2018 года и принадлежащей компании Pulse Secure LLC, раскрыто устройство управления доступом к сети, которое обеспечивает доступ к одному или нескольким удаленным сетевым устройствам в соответствии с одной или несколькими политиками. Устройство управления доступом к сети содержит процессор, способный принимать учетные идентификационные данные от пользовательского устройства через соединение уровня 2, в том числе первые идентификационные данные пользовательского устройства, аутентифицировать пользовательское устройство на основе этих учетных идентификационных данных, получать данные о соответствии от пользовательского устройства через соединение уровня 3, в том числе вторые идентификационные данные пользовательского устройства, ассоциировать соединение уровня 2 с соединением уровня 3 с использованием первых и вторых идентификационных данных, и если данные о соответствии отвечают одной или нескольким политикам, предоставлять пользовательскому устройству доступ к одному или нескольким удаленным сетевым устройствам.[0008] US 20180198786 A1, "Associating Layer 2 and Layer 3 sessions for access control," published July 12, 2018, by Pulse Secure LLC, discloses a network access control device that provides access to one or more remote network devices in accordance with one or more policies. A network access control device comprises a processor capable of receiving credential identification data from a user device via a layer 2 connection, including first identification data of the user device, authenticating the user device based on these credential identification data, receiving compliance data from the user device via a layer 3 connection, including second identification data of the user device, associating the layer 2 connection with the layer 3 connection using the first and second identification data, and if the compliance data meets one or more policies, providing the user device with access to one or more remote network devices.

Раскрытие изобретенияDisclosure of invention

[0009] Целью настоящей технологии является устранение по меньшей мере одного из недостатков известных технических решений.[0009] The aim of the present technology is to eliminate at least one of the disadvantages of known technical solutions.

[0010] Разработчики настоящей технологии учли, что управление доступом авторизованного электронного устройства к сети можно реализовать без повторной выдачи сертификатов.[0010] The developers of this technology took into account that access control of an authorized electronic device to the network can be implemented without re-issuing certificates.

[0011] В частности, различные не имеющие ограничительного характера варианты осуществления настоящей технологии ориентированы на управление разрешениями для авторизованного электронного устройства в сети с использованием особого тега авторизации, назначенного цифровому сертификату. Таким образом, в соответствии с по меньшей мере некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, в случае угрозы безопасности сервер управления доступом к сети способен заменять назначенный тег авторизации, позволяющий авторизованному электронному устройству выполнение заданного набора действий в нормальном режиме работы, на тег безопасного режима, позволяющий такому авторизованному электронному устройству выполнение ограниченного набора действий и, следовательно, запрещающий ему выполнение действий, связанных с нормальным режимом работы. Ограниченный набор действий может быть задан таким образом, чтобы при компрометации авторизованного электронного устройства оно не могло нанести ущерб сети. Это позволяет эффективно ограничивать доступ подозрительных электронных устройств к сети, снижая риски повреждения данных, которые хранятся и передаются в сети.[0011] In particular, various non-limiting embodiments of the present technology are oriented towards managing permissions for an authorized electronic device in a network using a special authorization tag assigned to a digital certificate. Thus, in accordance with at least some non-limiting embodiments of the present technology, in the event of a security threat, the network access control server is capable of replacing the assigned authorization tag, which allows the authorized electronic device to perform a specified set of actions in the normal operating mode, with a secure mode tag, which allows such an authorized electronic device to perform a limited set of actions and, therefore, prohibits it from performing actions associated with the normal operating mode. The limited set of actions can be defined in such a way that if the authorized electronic device is compromised, it cannot damage the network. This makes it possible to effectively limit the access of suspicious electronic devices to the network, reducing the risks of damage to data stored and transmitted on the network.

[0012] Кроме того, некоторые не имеющие ограничительного характера варианты осуществления настоящих способов и систем ориентированы на мониторинг отдельных параметров авторизованного электронного устройства, которые указывают на нарушение безопасности (например, отключение антивирусного приложения или принудительное завершение тех или иных задач операционной системы), по различным каналам. В частности, сервер управления доступом к сети способен осуществлять мониторинг этих параметров, обеспечивая (например, через специальное внутреннее приложение диспетчера мониторинга устройства) сбор таких данных авторизованным электронным устройством и их передачу на сервер управления доступом к сети. При этом сервер управления доступом к сети способен одновременно собирать эти данные с использованием внешних приложений диспетчера мониторинга устройств, которые обеспечивают сбор данных от авторизованных электронных устройств независимо от них. Таким образом, в случае компрометации авторизованного электронного устройства, в результате которого данные о параметрах устройства, передаваемые внутренним приложением диспетчера мониторинга устройства на сервер управления доступом к сети, могут быть сфальсифицированы, сервер управления доступом к сети все же может получать достоверную информацию о состоянии данного авторизованного электронного устройства. Это позволяет более эффективно выявлять угрозы безопасности, связанные с авторизованными электронными устройствами, и тем самым усиливать защиту сети от несанкционированного доступа.[0012] In addition, some non-limiting embodiments of the present methods and systems are oriented towards monitoring individual parameters of an authorized electronic device that indicate a security breach (e.g., disabling an antivirus application or forcibly terminating certain operating system tasks) via various channels. In particular, the network access control server is capable of monitoring these parameters, ensuring (e.g., via a special internal application of the device monitoring manager) the collection of such data by the authorized electronic device and their transmission to the network access control server. In this case, the network access control server is capable of simultaneously collecting this data using external applications of the device monitoring manager that ensure the collection of data from authorized electronic devices independently of them. Thus, in the event of a compromise of an authorized electronic device, as a result of which the data on the device parameters transmitted by the internal application of the device monitoring manager to the network access control server may be falsified, the network access control server can still receive reliable information on the state of this authorized electronic device. This enables more effective detection of security threats associated with authorized electronic devices, thereby strengthening the network's protection against unauthorized access.

[0013] В частности, в соответствии с одним широким аспектом настоящей технологии реализован компьютерный способ управления доступом к сети на основе портов для множества сетевых хост-устройств в локальной сети (LAN, Local Area Network). Управление доступом к сети на основе портов реализовано в соответствии со стандартом IEEE 802.1x. Локальная сеть содержит (1) сервер, на котором размещена база данных сертификатов, и (2) сервер аутентификации, способный предоставлять доступ к локальной сети множеству сетевых хост-устройств на основе сетевых сертификатов. Локальная сеть связана с политикой сетевой безопасности. Способ предусматривает формирование в базе данных сертификатов для сетевого хост-устройства из множества сетевых хост-устройств сетевого сертификата для доступа к локальной сети, формирование в базе данных сертификатов для сетевого сертификата, связанного с сетевым хост-устройством, тега авторизации, указывающего на набор действий, которые разрешено выполнять сетевому хост-устройству в локальной сети, передачу данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает сетевому хост-устройству (1) доступ к локальной сети и (2) выполнение в ней набора действий, определение наличия нарушения безопасности, связанного с сетевым хост-устройством, которое включает в себя указание на нарушение сетевым хост-устройством политики сетевой безопасности локальной сети, и при наличии нарушения безопасности, связанного с сетевым хост-устройством, замену в базе данных сертификатов тега авторизации сетевого сертификата сетевого хост-устройства на тег безопасного режима, указывающий на ограниченный, более узкий, чем у тега авторизации, набор действий, которые разрешено выполнять сетевому хост-устройству в локальной сети до устранения нарушения безопасности, и передачу данных, указывающих на связь между сетевым сертификатом и тегом безопасного режима, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации (1) запрещает сетевому хост-устройству выполнение набора действий, связанных с тегом авторизации, и (2) разрешает сетевому хост-устройству выполнение лишь ограниченного набора действий.[0013] In particular, according to one broad aspect of the present technology, a computer method for controlling port-based network access for a plurality of network host devices in a local area network (LAN) is implemented. The port-based network access control is implemented in accordance with the IEEE 802.1x standard. The local area network comprises (1) a server that hosts a certificate database and (2) an authentication server capable of providing access to the local area network to a plurality of network host devices based on network certificates. The local area network is associated with a network security policy. The method comprises forming a network certificate for access to a local network in a certificate database for a network host device from a plurality of network host devices, forming an authorization tag in the certificate database for the network certificate associated with the network host device, indicating a set of actions that the network host device is permitted to perform in the local network, transmitting data indicating a relationship between the network certificate and the authorization tag associated with the network host device to an authentication server of the local network, as a result of which the authentication server permits the network host device (1) access to the local network and (2) performing a set of actions in it, determining the presence of a security violation associated with the network host device, which includes an indication of a violation by the network host device of the network security policy of the local network, and, if there is a security violation associated with the network host device, replacing the authorization tag of the network certificate of the network host device in the certificate database with a secure mode tag indicating a limited, more a narrower set of actions than that of the authorization tag that the network host device is permitted to perform on the local network until the security breach is resolved, and transmitting data indicating an association between the network certificate and the secure mode tag associated with the network host device to an authentication server of the local network, as a result of which the authentication server (1) prohibits the network host device from performing the set of actions associated with the authorization tag, and (2) permits the network host device to perform only a limited set of actions.

[0014] В некоторых вариантах реализации способа нарушение безопасности включает в себя указание на использование сетевого сертификата, связанного с сетевым хост-устройством, для доступа к локальной сети другим сетевым хост-устройством из множества сетевых хост-устройств, а определение наличия нарушения безопасности предусматривает мониторинг сеансов каждого из множества сетевых хост-устройств в локальной сети за заданный период на основе сетевых сертификатов и выявление наложения по меньшей мере двух сеансов использования сетевого сертификата, связанного с хост-устройством, в течение времени, превышающего заданный пороговый период.[0014] In some embodiments of the method, a security violation includes an indication of the use of a network certificate associated with a network host device for accessing a local network by another network host device from a plurality of network host devices, and determining the presence of a security violation includes monitoring sessions of each of the plurality of network host devices in the local network for a specified period based on network certificates and detecting an overlap of at least two sessions of using a network certificate associated with a host device for a time exceeding a specified threshold period.

[0015] В некоторых вариантах реализации способа нарушение безопасности включает в себя указание на отклонение текущего значения по меньшей мере одного заданного параметра из множества заданных параметров сетевого хост-устройства от заданного значения, а определение наличия нарушения безопасности предусматривает мониторинг текущих значений множества заданных параметров сетевого хост-устройства.[0015] In some embodiments of the method, a security violation includes an indication of a deviation of the current value of at least one specified parameter from a plurality of specified parameters of the network host device from a specified value, and determining the presence of a security violation involves monitoring the current values of the plurality of specified parameters of the network host device.

[0016] В некоторых вариантах реализации способа мониторинг включает в себя обеспечение того, чтобы электронное хост-устройство (1) собирало текущие значения множества заданных параметров устройства, используя внутренний диспетчер мониторинга устройства, и (2) передавало на сервер текущие значения множества заданных параметров устройства.[0016] In some embodiments of the method, monitoring includes ensuring that the electronic host device (1) collects current values of a plurality of specified device parameters using an internal device monitoring manager, and (2) transmits current values of a plurality of specified device parameters to a server.

[0017] В некоторых вариантах реализации способа внутренним диспетчером мониторинга устройства является внутренний диспетчер мониторинга устройства Osquery.[0017] In some embodiments of the method, the internal device monitoring manager is the internal Osquery device monitoring manager.

[0018] В некоторых вариантах реализации способа мониторинг включает в себя выполнение на сервере сетевого приложения диспетчера мониторинга устройств, способного запрашивать по локальной сети текущие значения множества заданных параметров устройства по меньшей мере у части из множества сетевых хост-устройств, включая данное сетевое хост-устройство.[0018] In some embodiments of the method, monitoring includes executing on the server a network application of a device monitoring manager capable of requesting over the local network the current values of a plurality of specified device parameters from at least a portion of a plurality of network host devices, including the given network host device.

[0019] В некоторых вариантах реализации способа сетевой диспетчер мониторинга устройств содержит по меньшей мере один из сетевых диспетчеров мониторинга устройств SCCM, Jamf и Salt Manager.[0019] In some embodiments of the method, the network device monitoring manager comprises at least one of the network device monitoring managers SCCM, Jamf, and Salt Manager.

[0020] В некоторых вариантах реализации способа мониторинг включает в себя обеспечение того, чтобы электронное хост-устройство (1) собирало текущие значения множества заданных параметров устройства, используя внутренний диспетчер мониторинга устройства, и (2) передавало на сервер текущие значения множества заданных параметров устройства, а также выполнение на сервере сетевого приложения диспетчера мониторинга устройств, способного запрашивать по локальной сети текущие значения множества заданных параметров устройства по меньшей мере у части из множества сетевых хост-устройств, включая данное сетевое хост-устройство, а нарушение безопасности включает в себя указание на отклонение текущего значения по меньшей мере одного заданного параметра сетевого хост-устройства от заданного значения, обнаруженное внутренним диспетчером мониторинга устройства и центральным диспетчером конфигураций устройств системы.[0020] In some embodiments of the method, monitoring includes ensuring that the electronic host device (1) collects current values of a plurality of specified device parameters using an internal device monitoring manager, and (2) transmits current values of a plurality of specified device parameters to a server, as well as executing on the server a network application of the device monitoring manager capable of requesting current values of a plurality of specified device parameters over a local network from at least a portion of a plurality of network host devices, including this network host device, and the security violation includes an indication of a deviation of the current value of at least one specified parameter of the network host device from a specified value, detected by the internal device monitoring manager and the central device configuration manager of the system.

[0021] В некоторых вариантах реализации способа при обнаружении устранения нарушения безопасности дополнительно предусмотрены замена в базе данных сертификатов тега безопасного режима сетевого сертификата сетевого хост-устройства вновь на тег авторизации, и передача данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает сетевому хост-устройству выполнение набора действий.[0021] In some embodiments of the method, upon detection of the elimination of a security violation, it is additionally provided to replace in the certificate database the secure mode tag of the network certificate of the network host device again with an authorization tag, and to transmit data indicating the relationship between the network certificate and the authorization tag associated with the network host device to the authentication server of the local network, as a result of which the authentication server allows the network host device to perform a set of actions.

[0022] В соответствии с другим широким аспектом настоящей технологии реализован сервер для управления доступом к сети на основе портов для множества сетевых хост-устройств в локальной сети. Управление доступом к сети на основе портов реализовано в соответствии со стандартом IEEE 802.1x. Локальная сеть содержит сервер аутентификации, способный предоставлять доступ к локальной сети множеству сетевых хост-устройств на основе сетевых сертификатов. Локальная сеть связана с политикой сетевой безопасности. На сервере размещена база данных сертификатов. Сервер содержит по меньшей мере один процессор и по меньшей мере один физический машиночитаемый носитель, хранящий исполняемые команды, при исполнении которых по меньшей мере одним процессором на сервере обеспечиваются формирование в базе данных сертификатов для сетевого хост-устройства из множества сетевых хост-устройств сетевого сертификата для доступа к локальной сети, формирование в базе данных сертификатов для сетевого сертификата, связанного с сетевым хост-устройством, тега авторизации, указывающего на набор действий, которые разрешено выполнять сетевому хост-устройству в локальной сети, передача данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает сетевому хост-устройству (1) доступ к локальной сети и (2) выполнение в ней набора действий, определение наличия нарушения безопасности, связанного с сетевым хост-устройством, которое включает в себя указание на нарушение сетевым хост-устройством политики сетевой безопасности локальной сети, при наличии нарушения безопасности, связанного с сетевым хост-устройством, замена в базе данных сертификатов тега авторизации сетевого сертификата сетевого хост-устройства на тег безопасного режима, указывающий на ограниченный, более узкий, чем у тега авторизации, набор действий, которые разрешено выполнять сетевому хост-устройству в локальной сети до устранения нарушения безопасности, и передача данных, указывающих на связь между сетевым сертификатом и тегом безопасного режима, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации (1) запрещает сетевому хост-устройству выполнение набора действий, связанных с тегом авторизации, и (2) разрешает сетевому хост-устройству выполнение лишь ограниченного набора действий.[0022] According to another broad aspect of the present technology, a server is implemented for controlling port-based network access for a plurality of network host devices in a local network. The port-based network access control is implemented in accordance with the IEEE 802.1x standard. The local network comprises an authentication server capable of providing access to the local network to a plurality of network host devices based on network certificates. The local network is associated with a network security policy. A certificate database is located on the server. The server comprises at least one processor and at least one physical machine-readable medium storing executable instructions, the execution of which by at least one processor on the server ensures the generation in a certificate database for a network host device from a plurality of network host devices of a network certificate for accessing a local network, the generation in the certificate database for a network certificate associated with the network host device of an authorization tag indicating a set of actions that the network host device is permitted to perform in the local network, the transmission of data indicating a relationship between the network certificate and the authorization tag associated with the network host device to an authentication server of the local network, as a result of which the authentication server permits the network host device to (1) access the local network and (2) perform a set of actions therein, determining the presence of a security violation associated with the network host device, which includes an indication of a violation by the network host device of the network security policy of the local network, in the presence of a security violation associated with by a network host device, replacing in a certificate database an authorization tag of a network certificate of the network host device with a secure mode tag indicating a limited set of actions, narrower than that of the authorization tag, that the network host device is permitted to perform on the local network until the security breach is eliminated, and transmitting data indicating an association between the network certificate and the secure mode tag associated with the network host device to an authentication server of the local network, as a result of which the authentication server (1) prohibits the network host device from performing the set of actions associated with the authorization tag, and (2) permits the network host device to perform only a limited set of actions.

[0023] В некоторых вариантах реализации сервера нарушение безопасности включает в себя указание на использование сетевого сертификата, связанного с сетевым хост-устройством, для доступа к локальной сети другим сетевым хост-устройством из множества сетевых хост-устройств, а для определения наличия нарушения безопасности по меньшей мере один процессор обеспечивает мониторинг сервером сеансов каждого из множества сетевых хост-устройств в локальной сети за заданный период на основе сетевых сертификатов и выявления наложения по меньшей мере двух сеансов использования сетевого сертификата, связанного с хост-устройством, в течение времени, превышающего заданный пороговый период.[0023] In some embodiments of the server, a security violation includes an indication of the use of a network certificate associated with a network host device for accessing a local network by another network host device from a plurality of network host devices, and to determine the presence of a security violation, at least one processor ensures that the server monitors sessions of each of the plurality of network host devices in the local network for a specified period based on network certificates and detects an overlap of at least two sessions of using a network certificate associated with the host device for a time exceeding a specified threshold period.

[0024] В некоторых вариантах реализации сервера нарушение безопасности включает в себя указание на отклонение текущего значения по меньшей мере одного заданного параметра из множества заданных параметров сетевого хост-устройства от заданного значения, а для определения наличия нарушения безопасности по меньшей мере один процессор обеспечивает мониторинг сервером текущих значений множества заданных параметров сетевого хост-устройства.[0024] In some embodiments of the server, a security violation includes an indication of a deviation of the current value of at least one specified parameter from a plurality of specified parameters of the network host device from a specified value, and to determine the presence of a security violation, at least one processor ensures that the server monitors the current values of the plurality of specified parameters of the network host device.

[0025] В некоторых вариантах реализации сервера для мониторинга текущих значений множества заданных параметров устройства по меньшей мере один процессор обеспечивает, чтобы электронное хост-устройство под управлением сервера (1) собирало текущие значения множества заданных параметров устройства, используя внутренний диспетчер мониторинга устройства, и (2) передавало на сервер текущие значения множества заданных параметров устройства.[0025] In some embodiments of a server for monitoring current values of a plurality of specified device parameters, at least one processor ensures that an electronic host device under the control of the server (1) collects current values of a plurality of specified device parameters using an internal device monitoring manager, and (2) transmits current values of a plurality of specified device parameters to the server.

[0026] В некоторых вариантах реализации сервера внутренним диспетчером мониторинга устройства является внутренний диспетчер мониторинга устройства Osquery.[0026] In some server implementations, the internal device monitoring manager is the Osquery internal device monitoring manager.

[0027] В некоторых вариантах реализации сервера для мониторинга текущих значений множества заданных параметров устройства по меньшей мере один процессор обеспечивает выполнение на сервере сетевого приложения диспетчера мониторинга устройств, способного запрашивать по локальной сети текущие значения множества заданных параметров устройства по меньшей мере у части из множества сетевых хост-устройств, включая данное сетевое хост-устройство.[0027] In some embodiments of a server for monitoring current values of a plurality of specified device parameters, at least one processor ensures execution on the server of a network application of a device monitoring manager, capable of requesting current values of a plurality of specified device parameters over a local network from at least a portion of a plurality of network host devices, including the given network host device.

[0028] В некоторых вариантах реализации сервера сетевой диспетчер мониторинга устройств содержит по меньшей мере один из сетевых диспетчеров мониторинга устройств SCCM, Jamf и Salt Manager.[0028] In some embodiments of the server, the network device monitoring manager comprises at least one of the network device monitoring managers SCCM, Jamf, and Salt Manager.

[0029] В некоторых вариантах реализации сервера для мониторинга текущих значений множества заданных параметров устройства по меньшей мере один процессор обеспечивает, чтобы электронное хост-устройство под управлением сервера (1) собирало текущие значения множества заданных параметров устройства, используя внутренний диспетчер мониторинга устройства, и (2) передавало на сервер текущие значения множества заданных параметров устройства, и чтобы на сервере выполнялось сетевое приложение диспетчера мониторинга устройств, способное запрашивать по локальной сети текущие значения множества заданных параметров устройства по меньшей мере у части из множества сетевых хост-устройств, включая данное сетевое хост-устройство, а нарушение безопасности включает в себя указание на отклонение текущего значения по меньшей мере одного заданного параметра сетевого хост-устройства от заданного значения, обнаруженное внутренним диспетчером мониторинга устройства и центральным диспетчером конфигураций устройств системы.[0029] In some embodiments of a server for monitoring current values of a plurality of specified device parameters, at least one processor ensures that an electronic host device under the control of the server (1) collects current values of a plurality of specified device parameters using an internal device monitoring manager, and (2) transmits current values of a plurality of specified device parameters to the server, and that a network application of the device monitoring manager is executed on the server, capable of requesting current values of a plurality of specified device parameters over a local network from at least a portion of a plurality of network host devices, including this network host device, and the security violation includes an indication of a deviation of a current value of at least one specified parameter of a network host device from a specified value, detected by the internal device monitoring manager and the central device configuration manager of the system.

[0030] В некоторых вариантах реализации сервера при обнаружении устранения нарушения безопасности по меньшей мере один процессор дополнительно обеспечивает замену сервером в базе данных сертификатов тега безопасного режима сетевого сертификата сетевого хост-устройства вновь на тег авторизации и передачу данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает сетевому хост-устройству выполнение набора действий.[0030] In some embodiments of the server, upon detection of a security breach elimination, at least one processor further ensures that the server replaces in the certificate database the secure mode tag of the network certificate of the network host device again with an authorization tag and transmits data indicating a relationship between the network certificate and the authorization tag associated with the network host device to the authentication server of the local network, as a result of which the authentication server allows the network host device to perform a set of actions.

[0031] В контексте настоящего описания «сервер» представляет собой компьютерную программу, выполняемую на соответствующих аппаратных средствах и способную принимать по сети запросы (например, от клиентских устройств), а также выполнять эти запросы или инициировать их выполнение. Такие аппаратные средства могут быть реализованы в виде одного физического компьютера или одной физической компьютерной системы, что не имеет существенного значения для настоящей технологии. В данном контексте при употреблении выражения «сервер» не подразумевается, что какая-либо конкретная задача или все задачи (например, принятые команды или запросы) принимаются, выполняются или запускаются на одном и том же сервере (т.е. одними и теми же программными и/или аппаратными средствами), а имеется в виду, что участвовать в приеме, передаче, выполнении или инициировании выполнения каких-либо задач или запросов либо результатов каких-либо задач или запросов может любое количество программных или аппаратных средств, и что все эти программные и аппаратные средства могут представлять собой один сервер или несколько серверов, причем выражение «по меньшей мере один сервер» охватывает оба этих случая.[0031] In the context of the present description, a "server" is a computer program executed on appropriate hardware and capable of receiving requests over a network (e.g., from client devices) and executing or initiating the execution of these requests. Such hardware may be implemented as a single physical computer or a single physical computer system, which is not essential for the present technology. In this context, when using the expression "server", it is not implied that any particular task or all tasks (e.g., received commands or requests) are received, executed or started on the same server (i.e., by the same software and/or hardware), but it is meant that any number of software or hardware may participate in receiving, transmitting, executing or initiating the execution of any tasks or requests or the results of any tasks or requests, and that all of these software and hardware may represent a single server or several servers, and the expression "at least one server" covers both of these cases.

[0032] В контексте настоящего описания «клиентское устройство» представляет собой любые компьютерные аппаратные средства, способные обеспечивать работу программного обеспечения, подходящего для выполнения поставленной задачи. Таким образом, примерами (не имеющими ограничительного характера) клиентских устройств являются персональные компьютеры (настольные компьютеры, ноутбуки, нетбуки и т.п.), смартфоны и планшеты, а также сетевое оборудование, например, маршрутизаторы, коммутаторы и шлюзы. При этом следует отметить, что устройство, выступающее в данном контексте в качестве клиентского, не лишено возможности выступать в качестве сервера для других клиентских устройств. Употребление выражения «клиентское устройство» не исключает использования нескольких клиентских устройств для приема, передачи, выполнения или инициирования выполнения каких-либо задач или запросов, результатов каких-либо задач или запросов либо шагов какого-либо описанного здесь способа.[0032] In the context of the present description, a "client device" is any computer hardware capable of running software suitable for performing a given task. Thus, non-limiting examples of client devices are personal computers (desktop computers, laptops, netbooks, etc.), smartphones and tablets, as well as network equipment such as routers, switches and gateways. It should be noted that a device acting as a client in this context is not deprived of the ability to act as a server for other client devices. The use of the expression "client device" does not exclude the use of several client devices for receiving, transmitting, performing or initiating the performance of any tasks or requests, the results of any tasks or requests, or the steps of any method described herein.

[0033] В контексте настоящего описания термин «база данных» означает любой структурированный набор данных, независимо от его конкретной структуры, программного обеспечения для управления базой данных и компьютерных аппаратных средств для хранения таких данных, их применения или обеспечения их использования иным способом. База данных может размещаться в тех же аппаратных средствах, где реализован процесс, обеспечивающий хранение или использование информации, хранящейся в базе данных, либо в отдельных аппаратных средствах, таких как специализированный сервер или группа серверов.[0033] In the context of the present description, the term "database" means any structured set of data, regardless of its specific structure, software for managing the database, and computer hardware for storing such data, using them, or otherwise providing for their use. The database may be located in the same hardware where the process providing for the storage or use of information stored in the database is implemented, or in separate hardware, such as a specialized server or a group of servers.

[0034] В контексте настоящего описания выражение «информация» означает информацию любого рода или вида, допускающую хранение в базе данных. Таким образом, информация включает в себя, среди прочего, аудиовизуальные произведения (изображения, фильмы, звукозаписи, презентации и т.д.), данные (данные о местоположении, числовые данные и т.д.), текст (отзывы, комментарии, вопросы, сообщения и т.д.), документы, электронные таблицы, списки слов и т.д.[0034] In the context of the present description, the expression "information" means information of any kind or type capable of being stored in a database. Thus, information includes, among other things, audiovisual works (images, films, sound recordings, presentations, etc.), data (location data, numerical data, etc.), text (reviews, comments, questions, messages, etc.), documents, spreadsheets, word lists, etc.

[0035] В контексте настоящего описания выражение «компонент» означает программное обеспечение (в контексте конкретных аппаратных средств), необходимое и достаточное для выполнения конкретных упоминаемых функций.[0035] In the context of the present description, the expression "component" means software (in the context of specific hardware) necessary and sufficient to perform the specific functions mentioned.

[0036] В контексте настоящего описания выражение «компьютерный носитель информации» предназначено для обозначения носителей любого рода и вида, включая ОЗУ, ПЗУ, диски (CD-ROM, DVD, дискеты, жесткие диски и т.п.), USB-накопители, твердотельные накопители, ленточные накопители и т.д.[0036] In the context of the present description, the expression "computer storage medium" is intended to refer to media of any kind and type, including RAM, ROM, disks (CD-ROM, DVD, floppy disks, hard disks, etc.), USB drives, solid state drives, tape drives, etc.

[0037] В контексте настоящего описания числительные «первый», «второй», «третий» и т.д. служат лишь для указания на различие между существительными, к которым они относятся, а не для описания каких-либо определенных взаимосвязей между этими существительными. Таким образом, следует понимать, что, например, термины «первый сервер» и «третий сервер» не предполагают существования каких-либо определенных порядка, типов, хронологии, иерархии или ранжирования серверов, а употребление этих терминов (само по себе) не подразумевает обязательного наличия какого-либо «второго сервера» в той или иной конкретной ситуации. Кроме того, как встречается в настоящем описании в другом контексте, ссылки на «первый» элемент и «второй» элемент не исключают того, что эти два элемента в действительности могут быть одним и тем же элементом. Так, например, в одних случаях «первый» и «второй» серверы могут представлять собой одни и те же программные и/или аппаратные средства, а в других случаях - разные программные и/или аппаратные средства.[0037] As used herein, the numerals "first," "second," "third," etc., serve merely to distinguish between the nouns to which they refer, and do not describe any particular relationships between those nouns. Thus, it should be understood that, for example, the terms "first server" and "third server" do not imply the existence of any particular order, type, chronology, hierarchy, or ranking of servers, and the use of these terms (in and of themselves) does not necessarily imply the presence of any "second server" in any particular situation. Furthermore, as used herein in other contexts, references to a "first" element and a "second" element do not exclude the possibility that the two elements may in fact be the same element. For example, in some cases the “first” and “second” servers may represent the same software and/or hardware, and in other cases, different software and/or hardware.

[0038] Каждый вариант осуществления настоящей технологии относится к по меньшей мере одной из вышеупомянутых целей и/или к одному из вышеупомянутых аспектов, но не обязательно ко всем ним. Следует понимать, что некоторые аспекты настоящей технологии, связанные с попыткой достижения вышеупомянутой цели, могут не соответствовать этой цели и/или могут соответствовать другим целям, не упомянутым здесь явным образом.[0038] Each embodiment of the present technology relates to at least one of the above-mentioned objectives and/or to one of the above-mentioned aspects, but not necessarily to all of them. It should be understood that some aspects of the present technology associated with an attempt to achieve the above-mentioned objective may not correspond to this objective and/or may correspond to other objectives not explicitly mentioned herein.

[0039] Дополнительные и/или альтернативные признаки, аспекты и преимущества вариантов осуществления настоящей технологии содержатся в дальнейшем описании, на приложенных чертежах и в формуле изобретения.[0039] Additional and/or alternative features, aspects and advantages of embodiments of the present technology are contained in the following description, in the attached drawings and in the claims.

Краткое описание чертежейBrief description of the drawings

[0040] Для более полного понимания настоящей технологии, а также ее аспектов и дополнительных признаков следует обратиться к следующему описанию в сочетании с сопроводительными чертежами.[0040] For a more complete understanding of the present technology, as well as its aspects and additional features, reference should be made to the following description in conjunction with the accompanying drawings.

[0041] На фиг. 1 схематически представлен пример компьютерной системы, пригодной для реализации некоторых не имеющих ограничительного характера вариантов осуществления систем и/или способов в соответствии с настоящей технологией.[0041] Fig. 1 is a schematic representation of an example of a computer system suitable for implementing certain non-limiting embodiments of systems and/or methods in accordance with the present technology.

[0042] На фиг. 2 представлена сетевая компьютерная среда, пригодная для организации управления доступом множества электронных устройств к локальной сети на основе портов в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии.[0042] Fig. 2 illustrates a networked computer environment suitable for organizing access control of multiple electronic devices to a local area network based on ports in accordance with certain non-limiting embodiments of the present technology.

[0043] На фиг. 3 схематически представлена база данных сертификатов, размещенная на сервере, который входит в состав сетевой компьютерной среды, показанной на фиг. 2, и иллюстрирующая пример назначения тега безопасного режима электронному устройству из множества электронных устройств при нарушении политик сетевой безопасности локальной сети, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии.[0043] Fig. 3 is a schematic representation of a certificate database located on a server that is part of the network computer environment shown in Fig. 2 and illustrating an example of assigning a secure mode tag to an electronic device from a plurality of electronic devices when the network security policies of a local network are violated, in accordance with some non-limiting embodiments of the present technology.

[0044] На фиг. 4 представлена временная диаграмма сеансов работы двух электронных устройств, входящих в состав сетевой компьютерной среды, которые получили доступ к локальной сети, используя один и тот же цифровой сертификат, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии.[0044] Fig. 4 is a time diagram of the operating sessions of two electronic devices that are part of a networked computer environment and that have accessed the local network using the same digital certificate, in accordance with some non-limiting embodiments of the present technology.

[0045] На фиг. 5 схематически представлена база данных сертификатов, изображенная на фиг. 3, в которой тег безопасного режима заменен на тег авторизации в результате выявления сервером, который входит в состав сетевой компьютерной среды, показанной на фиг. 2, устранения нарушения безопасности, связанного с электронным устройством, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии.[0045] Fig. 5 is a schematic representation of the certificate database of Fig. 3, in which the secure mode tag has been replaced with an authorization tag as a result of a server, which is part of the networked computer environment shown in Fig. 2, detecting that a security breach has been corrected in connection with an electronic device, in accordance with some non-limiting embodiments of the present technology.

[0046] На фиг. 6 представлена блок-схема способа управления доступом множества электронных устройств к локальной сети на основе портов, реализованного в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии.[0046] Fig. 6 is a block diagram of a method for controlling access of a plurality of electronic devices to a local area network based on ports, implemented in accordance with some non-limiting embodiments of the present technology.

Осуществление изобретенияImplementation of the invention

[0047] Представленные здесь примеры и условный язык предназначены для обеспечения лучшего понимания принципов настоящей технологии, а не для ограничения ее объема до таких специально приведенных примеров и условий. Очевидно, что специалисты в данной области техники способны разработать различные способы и устройства, которые явно не описаны и не показаны, но реализуют принципы настоящей технологии в пределах ее существа и объема.[0047] The examples and conventional language provided herein are intended to provide a better understanding of the principles of the present technology, and not to limit its scope to such specifically provided examples and conditions. It is obvious that those skilled in the art are able to develop various methods and devices that are not explicitly described or shown, but implement the principles of the present technology within its spirit and scope.

[0048] Кроме того, чтобы способствовать лучшему пониманию, последующее описание может содержать упрощенные варианты реализации настоящей технологии. Специалисты в данной области должны понимать, что различные варианты осуществления настоящей технологии могут быть значительно сложнее.[0048] In addition, to facilitate better understanding, the following description may contain simplified embodiments of the present technology. Those skilled in the art will understand that various embodiments of the present technology may be significantly more complex.

[0049] В некоторых случаях приводятся предположительно полезные примеры модификаций настоящей технологии. Они призваны лишь способствовать пониманию и также не определяют объема или границ настоящей технологии. Представленный перечень модификаций не является исчерпывающим и специалист в данной области может разработать другие модификации в пределах объема настоящей технологии. Кроме того, если в некоторых случаях модификации не описаны, это не означает, что они невозможны и/или что описание содержит единственно возможный вариант реализации того или иного элемента настоящей технологии.[0049] In some cases, supposedly useful examples of modifications of the present technology are given. They are intended only to facilitate understanding and also do not define the scope or boundaries of the present technology. The presented list of modifications is not exhaustive and a person skilled in the art can develop other modifications within the scope of the present technology. In addition, if in some cases modifications are not described, this does not mean that they are impossible and/or that the description contains the only possible embodiment of a particular element of the present technology.

[0050] Описание принципов, аспектов и вариантов реализации настоящей технологии, а также их конкретные примеры предназначены для охвата их структурных и функциональных эквивалентов, независимо от того, известны они в настоящее время или будут разработаны в будущем. Например, специалисты в данной области техники должны понимать, что все приведенные здесь блок-схемы соответствуют концептуальным представлениям иллюстративных принципиальных схем, реализующих принципы настоящей технологии. Также следует понимать, что все блок-схемы, схемы процессов, диаграммы изменения состояния, псевдокоды и т.п. соответствуют различным процессам, которые могут быть представлены на машиночитаемом физическом носителе информации и могут выполняться компьютером или процессором независимо от того, показан такой компьютер или процессор в явном виде или нет.[0050] The description of the principles, aspects and embodiments of the present technology, as well as specific examples thereof, are intended to cover their structural and functional equivalents, regardless of whether they are currently known or will be developed in the future. For example, those skilled in the art should understand that all block diagrams provided herein correspond to conceptual representations of illustrative circuit diagrams implementing the principles of the present technology. It should also be understood that all block diagrams, process diagrams, state transition diagrams, pseudocodes and the like correspond to various processes that can be represented on a machine-readable physical storage medium and can be executed by a computer or processor, regardless of whether such a computer or processor is shown explicitly or not.

[0051] Функции различных элементов, показанных на чертежах, включая все функциональные блоки, обозначенные как «процессор» или «графический процессор», могут быть реализованы с использованием специализированных аппаратных средств, а также аппаратных средств, способных обеспечивать работу соответствующего программного обеспечения. Если используется процессор, эти функции могут выполняться одним выделенным процессором, одним совместно используемым процессором и/или несколькими отдельными процессорами, некоторые из которых могут использоваться совместно. В некоторых вариантах реализации настоящей технологии процессор может представлять собой процессор общего назначения, например, центральный процессор, или процессор, предназначенный для решения конкретной задачи, например, графический процессор. Кроме того, явное использование термина «процессор» или «контроллер» не должно трактоваться как указание исключительно на аппаратные средства, способные обеспечивать работу программного обеспечения, и может подразумевать, среди прочего, аппаратные средства цифрового сигнального процессора (DSP), сетевой процессор, специализированную интегральную схему (ASIC), программируемую вентильную матрицу (FPGA), ПЗУ для хранения программного обеспечения, ОЗУ и/или энергонезависимое ЗУ. Также могут подразумеваться другие аппаратные средства, общего назначения и/или заказные.[0051] The functions of the various elements shown in the drawings, including all functional blocks designated as a "processor" or "graphics processor", may be implemented using specialized hardware, as well as hardware capable of supporting the execution of corresponding software. If a processor is used, these functions may be performed by a single dedicated processor, a single shared processor, and/or multiple separate processors, some of which may be used together. In some embodiments of the present technology, the processor may be a general-purpose processor, such as a central processing unit, or a processor dedicated to solving a specific task, such as a graphic processing unit. Furthermore, the explicit use of the term "processor" or "controller" should not be interpreted as indicating exclusively hardware capable of supporting the execution of software, and may mean, among other things, hardware of a digital signal processor (DSP), a network processor, an application-specific integrated circuit (ASIC), a field-programmable gate array (FPGA), ROM for storing software, RAM, and/or non-volatile memory. Other hardware, general purpose and/or custom, may also be included.

[0052] Программные модули или просто модули, реализация которых предполагается на базе программных средств, могут быть представлены здесь в виде любого сочетания элементов блок-схемы или других элементов, указывающих на выполнение шагов процесса и/или содержащих текстовое описание. Такие модули могут реализовываться с помощью аппаратных средств, показанных явно или подразумеваемых.[0052] Software modules or simply modules, the implementation of which is supposed to be based on software, may be represented here in the form of any combination of flow chart elements or other elements indicating the execution of process steps and/or containing a text description. Such modules may be implemented using hardware, shown explicitly or implied.

[0053] С учетом вышеизложенных принципов ниже рассмотрены некоторые не имеющие ограничительного характера примеры, иллюстрирующие различные варианты реализации аспектов настоящей технологии.[0053] Taking into account the above principles, some non-limiting examples are discussed below to illustrate various embodiments of aspects of the present technology.

Компьютерная системаComputer system

[0054] На фиг. 1 изображена компьютерная система 100, пригодная для использования в некоторых вариантах осуществления настоящей технологии. Компьютерная система 100 содержит различные аппаратные элементы, включая один или несколько одноядерных или многоядерных процессоров, совместно представленных процессором 110, графический процессор 111, твердотельный накопитель 120, оперативное запоминающее устройство (ОЗУ) 130, интерфейс 140 дисплея и интерфейс 150 ввода/вывода.[0054] Fig. 1 shows a computer system 100 suitable for use in some embodiments of the present technology. The computer system 100 includes various hardware elements, including one or more single-core or multi-core processors, collectively represented by a processor 110, a graphics processor 111, a solid-state drive 120, a random access memory (RAM) 130, a display interface 140, and an input/output interface 150.

[0055] Связь между элементами компьютерной системы 100 может осуществляться через одну или несколько внутренних и/или внешних шин 160 (таких как шина PCI, шина USB, шина FireWire стандарта IEEE 1394, шина SCSI, шина Serial-ATA и т.д.), с которыми различные аппаратные элементы соединены электронными средствами.[0055] Communication between elements of the computer system 100 may be accomplished via one or more internal and/or external buses 160 (such as a PCI bus, a USB bus, an IEEE 1394 FireWire bus, a SCSI bus, a Serial-ATA bus, etc.) to which various hardware elements are electronically connected.

[0056] Интерфейс 150 ввода/вывода может быть соединен с сенсорным экраном 190 и/или с одной или несколькими внутренними и/или внешними шинами 160. Сенсорный экран 190 может быть частью дисплея. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сенсорный экран 190 представляет собой дисплей. Сенсорный экран 190 также может называться экраном 190. В вариантах осуществления, показанных на фиг. 1, сенсорный экран 190 содержит сенсорные средства 194 (например, сенсорные элементы, встроенные в слой дисплея и обеспечивающие регистрацию физического взаимодействия между пользователем и дисплеем) и контроллер 192 сенсорных средств ввода/вывода, обеспечивающий связь с интерфейсом 140 дисплея и/или с одной или несколькими внутренними и/или внешними шинами 160. В некоторых вариантах осуществления интерфейс 150 ввода/вывода может быть соединен с клавиатурой (не показана), мышью (не показана) или сенсорной панелью (не показана), которые обеспечивают взаимодействие пользователя с компьютерной системой 100 в дополнение к сенсорному экрану 190 или вместо него.[0056] The input/output interface 150 may be connected to a touch screen 190 and/or to one or more internal and/or external buses 160. The touch screen 190 may be part of a display. In some non-limiting embodiments of the present technology, the touch screen 190 is a display. The touch screen 190 may also be referred to as a screen 190. In the embodiments shown in FIG. 1, the touch screen 190 comprises touch means 194 (for example, touch elements embedded in the display layer and providing registration of physical interaction between the user and the display) and a touch input/output controller 192 providing communication with the display interface 140 and/or with one or more internal and/or external buses 160. In some embodiments, the input/output interface 150 may be connected to a keyboard (not shown), a mouse (not shown), or a touch pad (not shown), which provide user interaction with the computer system 100 in addition to or instead of the touch screen 190.

[0057] Следует отметить, что в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии некоторые элементы компьютерной системы 100 могут отсутствовать. Например, может отсутствовать сенсорный экран 190, в частности, в тех случаях (среди прочего), когда компьютерная система реализована в виде сервера.[0057] It should be noted that in some non-limiting embodiments of the present technology, some elements of the computer system 100 may be missing. For example, the touch screen 190 may be missing, particularly in cases (among other things) where the computer system is implemented as a server.

[0058] В соответствии с вариантами реализации настоящей технологии, в твердотельном накопителе 120 хранятся программные команды, пригодные для загрузки в ОЗУ 130 и исполнения процессором 110 и/или графическим процессором 111. Например, программные команды могут входить в состав библиотеки или приложения.[0058] According to embodiments of the present technology, the solid-state drive 120 stores software instructions suitable for loading into the RAM 130 and executing by the processor 110 and/or the graphics processor 111. For example, the software instructions may be part of a library or an application.

Сетевая компьютерная средаNetworked computing environment

[0059] На фиг. 2 схематически представлена сетевая компьютерная среда 200, пригодная для использования с некоторыми не имеющими ограничительного характера вариантами осуществления систем и/или способов в соответствии с настоящей технологией. Сетевая компьютерная среда 200 содержит сервер 202 управления доступом к сети и сервер 212 аутентификации, связанный с первым электронным устройством 204 и со вторым электронным устройством 205 через локальную сеть 208.[0059] Fig. 2 is a schematic representation of a networked computing environment 200 suitable for use with certain non-limiting embodiments of systems and/or methods in accordance with the present technology. The networked computing environment 200 comprises a network access control server 202 and an authentication server 212 coupled to a first electronic device 204 and to a second electronic device 205 via a local area network 208.

[0060] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии первым и вторым электронными устройствами 204, 205 могут быть любые компьютерные аппаратные средства, способные обеспечивать работу программного обеспечения, подходящего для решения поставленной задачи. В связи с этим первое и второе электронные устройства 204, 205 могут содержать некоторые или все элементы компьютерной системы 100, представленной на фиг. 1. Таким образом, не имеющими ограничительного характера примерами первого и второго электронных устройств 204, 205 являются персональные компьютеры (настольные компьютеры, ноутбуки, нетбуки и т.п.), смартфоны и планшеты. Кроме того, очевидно, что в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии первое и второе электронные устройства 204, 205 без отступления от существа и объема настоящей технологии могут быть связаны с пользователем или с группой пользователей (отдельно не показаны).[0060] In some non-limiting embodiments of the present technology, the first and second electronic devices 204, 205 may be any computer hardware capable of running software suitable for solving the task. In this regard, the first and second electronic devices 204, 205 may comprise some or all of the elements of the computer system 100 shown in Fig. 1. Thus, non-limiting examples of the first and second electronic devices 204, 205 are personal computers (desktop computers, laptops, netbooks, etc.), smartphones and tablets. In addition, it is obvious that in some non-limiting embodiments of the present technology, the first and second electronic devices 204, 205, without departing from the spirit and scope of the present technology, may be associated with a user or a group of users (not separately shown).

[0061] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети реализован как обычный компьютерный сервер и может содержать некоторые или все элементы компьютерной системы 100, показанной на фиг. 1. В конкретном не имеющем ограничительного характера примере сервер 202 управления доступом к сети реализован в виде сервера Dell™ PowerEdge™, работающего под управлением операционной системы Microsoft™ Windows Server™, но он также может быть реализован на базе любых других подходящих видов аппаратных средств, программного обеспечения и/или микропрограммного обеспечения либо их сочетания. В показанных не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети представляет собой одиночный сервер. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии (не показаны) функции сервера 202 управления доступом к сети могут быть распределены между несколькими серверами. Сервер 212 аутентификации может быть реализован подобно серверу 202 управления доступом к сети.[0061] In some non-limiting embodiments of the present technology, the network access control server 202 is implemented as a conventional computer server and may include some or all of the elements of the computer system 100 shown in Fig. 1. In a specific non-limiting example, the network access control server 202 is implemented as a Dell™ PowerEdge™ server running a Microsoft™ Windows Server™ operating system, but it may also be implemented based on any other suitable types of hardware, software and/or firmware, or a combination thereof. In the shown non-limiting embodiments of the present technology, the network access control server 202 is a single server. In other non-limiting embodiments of the present technology (not shown), the functions of the network access control server 202 may be distributed among multiple servers. The authentication server 212 may be implemented similarly to the network access control server 202.

[0062] В соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, локальной сетью 208 может быть любая частная или корпоративная локальная сеть, соединяющая множество электронных устройств в ограниченной зоне. Количество электронных устройств, которые могут быть подключены к локальной сети 208, не ограничено и зависит от количества сетевых и вычислительных ресурсов в этой сети, таких как маршрутизаторы (не показаны), коммутаторы (не показаны), концентраторы (не показаны), мосты (не показаны) и серверы, в том числе серверы 202, 212 управления доступом к сети и аутентификации. Например, локальная сеть 208 может обеспечивать соединение десятков, сотен, тысяч или даже десятков или сотен тысяч электронных устройств.[0062] According to some non-limiting embodiments of the present technology, the local network 208 may be any private or corporate local network that connects a plurality of electronic devices in a limited area. The number of electronic devices that can be connected to the local network 208 is not limited and depends on the number of network and computing resources in this network, such as routers (not shown), switches (not shown), hubs (not shown), bridges (not shown) and servers, including network access control and authentication servers 202, 212. For example, the local network 208 can provide for the connection of tens, hundreds, thousands, or even tens or hundreds of thousands of electronic devices.

[0063] При этом на реализацию канала связи между первым и вторым электронными устройствами 204, 205, серверами 202, 212 управления доступом к сети и аутентификации и локальной сетью 208 не накладывается ограничений. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии таким каналом связи может быть проводной канал связи. В одном из примеров проводной канал связи может быть реализован в виде витой пары с интерфейсом связи RJ-45. Тем не менее, возможны и другие варианты реализации проводного канала связи (например, волоконно-оптическая или коаксиальная кабельная линия), а также другие подходящие интерфейсы для соединения, например, первого и второго электронных устройств 204, 205 с сервером 212 аутентификации. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии канал связи может быть реализован в виде беспроводного канала связи. Примерами протоколов беспроводной связи, которые могут использоваться для реализации беспроводного канала связи, являются, среди прочего, протоколы беспроводной связи BluetoothTM, ZigbeeTM и NFCTM. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии беспроводной канал связи может представлять собой сетевой беспроводной канал связи, реализованный на базе сетевого протокола беспроводной связи Wi-FiTM, одного из сетевых протоколов беспроводной связи 3G/4G/5G и т.п. В таких вариантах осуществления (1) первое и второе электронные устройства 204, 205 и сервер 212 аутентификации, (2) сервер 212 аутентификации и локальная сеть 208 и/или (3) сервер 202 управления доступом к сети и локальная сеть 208 могут быть прямо или опосредованно (через прокси-сервер или сеть VPN (virtual private network)) соединены друг с другом через другую сеть (не показана на фиг. 2), например, через сеть Интернет. Может использоваться и прямой канал связи между сервером 202 управления доступом к сети и каждым из первого и второго электронных устройств 204, 205 в обход сервера 212 аутентификации.[0063] In this case, no restrictions are imposed on the implementation of the communication channel between the first and second electronic devices 204, 205, the network access control and authentication servers 202, 212 and the local network 208. In some non-limiting embodiments of the present technology, such a communication channel may be a wired communication channel. In one example, the wired communication channel may be implemented as a twisted pair with an RJ-45 communication interface. However, other embodiments of the wired communication channel are also possible (for example, a fiber-optic or coaxial cable line), as well as other suitable interfaces for connecting, for example, the first and second electronic devices 204, 205 with the authentication server 212. In other non-limiting embodiments of the present technology, the communication channel may be implemented as a wireless communication channel. Examples of wireless communication protocols that can be used to implement the wireless communication channel include, among others, the Bluetooth , Zigbee and NFC wireless communication protocols. In some non-limiting embodiments of the present technology, the wireless communication channel may be a network wireless communication channel implemented on the basis of the Wi-Fi wireless communication network protocol, one of the 3G/4G/5G wireless communication network protocols, etc. In such embodiments, (1) the first and second electronic devices 204, 205 and the authentication server 212, (2) the authentication server 212 and the local network 208 and/or (3) the network access control server 202 and the local network 208 may be directly or indirectly (via a proxy server or a VPN (virtual private network)) connected to each other via another network (not shown in Fig. 2), for example, via the Internet. A direct communication channel can also be used between the network access control server 202 and each of the first and second electronic devices 204, 205, bypassing the authentication server 212.

[0064] В соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, локальная сеть 208 может быть связана с принятыми в ней политиками сетевой безопасности, на основе которых сервер 202 управления доступом к сети способен формировать команды и передавать их на сервер 212 аутентификации для предоставления или ограничения доступа к локальной сети 208 множеству электронных устройств, таких как первое и второе электронные устройства 204, 205. В связи с этим первое и второе электронные устройства 204, 205 могут называться «сетевыми хост-устройствами». Кроме того, следует отметить, что в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети и сервер 212 аутентификации могут быть реализованы в виде единого сервера, способного определять и внедрять политики сетевой безопасности.[0064] According to some non-limiting embodiments of the present technology, the local network 208 may be associated with network security policies adopted therein, based on which the network access control server 202 is capable of generating commands and transmitting them to the authentication server 212 to grant or restrict access to the local network 208 to a plurality of electronic devices, such as the first and second electronic devices 204, 205. In this regard, the first and second electronic devices 204, 205 may be referred to as "network host devices". In addition, it should be noted that in some non-limiting embodiments of the present technology, the network access control server 202 and the authentication server 212 may be implemented as a single server capable of determining and implementing network security policies.

[0065] В общем случае политики сетевой безопасности в локальной сети 208 устанавливают стандарты безопасности для электронных устройств, которые могут получать доступ к локальной сети 208 и оставаться подключенными к ней. В частности, в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии политики сетевой безопасности могут устанавливать, среди прочего, целевые значения множества заданных параметров устройства, позволяющие каждому из первого и второго электронных устройств 204, 205 получать доступ к локальной сети 208 и оставаться в ней.[0065] In general, network security policies in the local network 208 establish security standards for electronic devices that can access the local network 208 and remain connected to it. In particular, in some non-limiting embodiments of the present technology, network security policies can establish, among other things, target values of a plurality of specified device parameters that allow each of the first and second electronic devices 204, 205 to access the local network 208 and remain connected to it.

[0066] В различных не имеющих ограничительного характера вариантах осуществления настоящей технологии множество заданных параметров электронного устройства, например, первого электронного устройства 204, может включать в себя, среди прочего, (1) наличие программных приложений на первом электронном устройстве 204, (2) название и версию операционной системы, работающей на первом электронном устройстве 204, (3) параметры операционной системы, в том числе, например, языковые параметры, размеры и стили шрифтов, параметры времени и региональные настройки и т.п., и (4) наличие процессов и служб, запущенных в операционной системе первого электронного устройства 204.[0066] In various non-limiting embodiments of the present technology, the plurality of specified parameters of the electronic device, such as the first electronic device 204, may include, among other things, (1) the presence of software applications on the first electronic device 204, (2) the name and version of the operating system running on the first electronic device 204, (3) operating system parameters, including, for example, language settings, font sizes and styles, time settings and regional settings, etc., and (4) the presence of processes and services running in the operating system of the first electronic device 204.

[0067] Например, заданным параметром устройства может быть наличие антивирусного приложения, для которого в политиках сетевой безопасности определено целевое двоичное значение, например, «истина», указывающее на то, что при доступе к локальной сети 208 на каждом из первого и второго электронных устройств 204, 205 должно присутствовать и/или функционировать антивирусное приложение. В другом примере заданным параметром устройства может быть стиль шрифта в графическом пользовательском интерфейсе операционной системы электронного устройства, для которого в политиках сетевой безопасности определено множество целевых значений строкового типа, например, «Times New Roman», «Arial» и «Cambria», указывающее на то, что в операционной системе каждого из первого и второго электронных устройств 204, 205 при доступе к локальной сети 208 должен быть установлен по меньшей мере один из только этих стилей шрифта.[0067] For example, a given device parameter may be the presence of an antivirus application, for which a target binary value, such as "true", is defined in the network security policies, indicating that an antivirus application must be present and/or functioning on each of the first and second electronic devices 204, 205 when accessing the local network 208. In another example, a given device parameter may be a font style in a graphical user interface of an operating system of an electronic device, for which a plurality of target values of a string type are defined in the network security policies, such as "Times New Roman", "Arial" and "Cambria", indicating that at least one of only these font styles must be installed in the operating system of each of the first and second electronic devices 204, 205 when accessing the local network 208.

[0068] В еще одном примере заданным параметром устройства может быть наличие процесса или службы, которые были предварительно определены как связанные с выполнением ненадежного и/или вредоносного приложения. Для этого заданного параметра устройства в политиках сетевой безопасности может быть определено целевое двоичное значение, например, «ложь», указывающее на то, что такой процесс и/или такая служба не должны быть запущены в операционной системе каждого из первого и второго электронных устройств 204, 205 при доступе к локальной сети 208. В связи с этим в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии на сервере 202 управления доступом к сети может быть размещен черный список приложений и/или связанных с ними процессов и служб, которые были определены как ненадежные и/или вредоносные.[0068] In another example, a given device parameter may be the presence of a process or service that has been previously determined to be associated with the execution of an untrusted and/or malicious application. For this given device parameter, a target binary value, such as "false", may be defined in the network security policies, indicating that such a process and/or such a service should not be launched in the operating system of each of the first and second electronic devices 204, 205 when accessing the local network 208. In this regard, in some non-limiting embodiments of the present technology, a blacklist of applications and/or processes and services associated with them that have been determined to be untrusted and/or malicious may be placed on the network access control server 202.

[0069] Таким образом, сервер 202 управления доступом к сети способен (1) предоставлять доступ к локальной сети 208 каждому из первого и второго электронных устройств 204, 205, (2) определять для каждого из первого и второго электронных устройств 204, 205 действия, которые им разрешено выполнять в локальной сети 208, как описано ниже, (3) передавать данные о первом и втором электронных устройствах 204, 205 и разрешенных им действиях на сервер 212 аутентификации с целью обеспечения доступа каждого из первого и второго электронных устройств 204, 205 к локальной сети 208 в соответствии с политиками сетевой безопасности и (4) контролировать соответствие каждого из первого и второго электронных устройств 204, 205 политикам сетевой безопасности при их подключении.[0069] Thus, the network access control server 202 is capable of (1) providing access to the local network 208 to each of the first and second electronic devices 204, 205, (2) determining for each of the first and second electronic devices 204, 205 the actions that they are allowed to perform in the local network 208, as described below, (3) transmitting data about the first and second electronic devices 204, 205 and the actions they are allowed to the authentication server 212 for the purpose of providing access to each of the first and second electronic devices 204, 205 to the local network 208 in accordance with the network security policies, and (4) monitoring the compliance of each of the first and second electronic devices 204, 205 with the network security policies when they are connected.

[0070] В соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, сервер 202 управления доступом к сети способен предоставлять или ограничивать доступ к локальной сети 208 для каждого из первого и второго электронных устройств 204, 205 путем выдачи и последующей передачи на сервер 212 аутентификации сетевых (цифровых) сертификатов для первого и второго электронных устройств 204, 205.[0070] According to some non-limiting embodiments of the present technology, the network access control server 202 is capable of providing or restricting access to the local network 208 for each of the first and second electronic devices 204, 205 by issuing and subsequently transmitting to the authentication server 212 network (digital) certificates for the first and second electronic devices 204, 205.

[0071] В контексте настоящего описания цифровым сертификатом называется электронный документ, выпущенный для электронного устройства и содержащий (1) два ключа - открытый и закрытый, (2) идентификационные данные электронного устройства, включая, например, тип, наименование торговой марки, операционную систему, связанную с электронным устройством, и принадлежность электронного устройства (если применимо), а также (3) цифровую подпись выпускающего органа (также называемого «центром сертификации» (CA, Certificate Authority)), который проверил содержимое сертификата и утвердил его своим закрытым ключом, тем самым поставив свою цифровую подпись. Таким образом, благодаря цифровому сертификату, электронное устройство способно шифровать сообщения, отправляемые получателю (другому электронному устройству или серверу), используя закрытый ключ, а открытый ключ, связанный с данным электронным устройством, необходимый для расшифровки и чтения сообщений, может предоставляться получателю сообщений после проверки цифровой подписи выпускающего органа на цифровом сертификате.[0071] In the context of the present description, a digital certificate is an electronic document issued for an electronic device and containing (1) two keys - a public and a private key, (2) identification data of the electronic device, including, for example, the type, brand name, operating system associated with the electronic device, and the affiliation of the electronic device (if applicable), as well as (3) a digital signature of the issuing authority (also called a "certificate authority" (CA)), which has verified the contents of the certificate and approved it with its private key, thereby putting its digital signature. Thus, thanks to the digital certificate, the electronic device is able to encrypt messages sent to the recipient (another electronic device or a server) using the private key, and the public key associated with this electronic device, necessary for decrypting and reading messages, can be provided to the recipient of the messages after checking the digital signature of the issuing authority on the digital certificate.

[0072] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии выпускающим органом может быть сторонняя организация, которой отправители (то есть электронные устройства в приведенном выше примере) и получатели доверяют выдачу, подписание и хранение цифровых сертификатов. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии выпускающим органом может быть тот же орган, что управляет работой сервера 202 управления доступом к сети в локальной сети 208 (или осуществляет владение им в иной форме). Например, в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии выпускающим органом может быть компания ООО «Яндекс», зарегистрированная по адресу: 119021, Российская Федерация, г. Москва, ул. Льва Толстого, д. 16.[0072] In some non-limiting embodiments of the present technology, the issuing authority may be a third party organization that senders (i.e., electronic devices in the above example) and recipients trust to issue, sign, and store digital certificates. In other non-limiting embodiments of the present technology, the issuing authority may be the same authority that operates (or otherwise owns) the network access control server 202 in the local network 208. For example, in some non-limiting embodiments of the present technology, the issuing authority may be Yandex LLC, registered at 119021, Russian Federation, Moscow, Leo Tolstoy St., Bldg. 16.

[0073] В таких вариантах осуществления на сервере 202 управления доступом к сети может работать внутренний центр сертификации (не обозначен отдельно), способный выдавать, подписывать и хранить цифровые сертификаты. В другом варианте для формирования цифровых сертификатов сервер 202 управления доступом к сети способен обращаться к внешнему (стороннему) центру сертификации.[0073] In such embodiments, an internal certification authority (not indicated separately) capable of issuing, signing and storing digital certificates may operate on the network access control server 202. In another embodiment, the network access control server 202 may access an external (third-party) certification authority to generate digital certificates.

[0074] При этом, например, сервер 202 управления доступом к сети способен создавать (1) первый цифровой сертификат 214 для первого электронного устройства 204 и (2) второй цифровой сертификат 215 для второго электронного устройства 205. Кроме того, сервер 202 управления доступом к сети способен передавать эти сертификаты (1) соответствующим электронным устройствам, тем самым разрешая им доступ к локальной сети 208, а также (2) серверу 212 аутентификации для последующей аутентификации первого и второго электронных устройств 204, 205 в локальной сети 208. На формат цифровых сертификатов, выпускаемых сервером 202 управления доступом к сети, не накладывается ограничений. Среди прочего, такой формат определяется выбранным стандартом реализации управления доступом к локальной сети 208.[0074] In this case, for example, the network access control server 202 is capable of creating (1) the first digital certificate 214 for the first electronic device 204 and (2) the second digital certificate 215 for the second electronic device 205. In addition, the network access control server 202 is capable of transmitting these certificates (1) to the corresponding electronic devices, thereby allowing them to access the local network 208, as well as (2) to the authentication server 212 for subsequent authentication of the first and second electronic devices 204, 205 in the local network 208. There are no restrictions on the format of the digital certificates issued by the network access control server 202. Among other things, such a format is determined by the selected standard for implementing access control to the local network 208.

[0075] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен обеспечивать управление доступом к сети по стандарту IEEE 802.1x (здесь такое управление также называется управлением доступом к сети на основе портов), реализуя управление доступом множества электронных устройств к локальной сети 208 на сетевом и транспортном уровнях модели взаимодействия открытых систем (OSI, Open Systems Interconnection). Соответственно, в таких вариантах осуществления сервер 202 управления доступом к сети способен выпускать цифровые сертификаты в формате X.509. Для обеспечения использования цифровых сертификатов в формате X.509 сервер 212 аутентификации способен осуществлять аутентификацию множества электронных устройств в локальной сети 208 с использованием протоколов аутентификации EAP-TSL.[0075] In some non-limiting embodiments of the present technology, the network access control server 202 is capable of providing network access control according to the IEEE 802.1x standard (herein, such control is also called port-based network access control), implementing access control of a plurality of electronic devices to the local network 208 at the network and transport layers of the Open Systems Interconnection (OSI) model. Accordingly, in such embodiments, the network access control server 202 is capable of issuing digital certificates in the X.509 format. To ensure the use of digital certificates in the X.509 format, the authentication server 212 is capable of authenticating a plurality of electronic devices in the local network 208 using the EAP-TSL authentication protocols.

[0076] Кроме того, в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети может быть выполнен с возможностью размещения на нем базы 216 данных сертификатов (или обеспечения доступа к такой базе данных иным способом) для хранения цифровых сертификатов. На фиг. 3 схематически представлена структура базы 216 данных сертификатов в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии.[0076] In addition, in some non-limiting embodiments of the present technology, the network access control server 202 may be configured to host (or otherwise provide access to) a certificate database 216 for storing digital certificates. Fig. 3 schematically illustrates the structure of the certificate database 216 in accordance with some non-limiting embodiments of the present technology.

[0077] Очевидно, что в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен сохранять каждый цифровой сертификат в базе 216 данных сертификатов в привязке к соответствующим электронным устройствам, имеющим разрешение на доступ к локальной сети 208. Например, сервер 202 управления доступом к сети способен сохранять (1) идентификационный номер первого электронного устройства 204 в привязке к серийному номеру первого цифрового сертификата 214 и (2) идентификационный номер второго электронного устройства 205 в привязке к серийному номеру второго цифрового сертификата 215. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии идентификационный номер электронного устройства может формироваться сервером 202 управления доступом к сети автоматически. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии идентификационный номер устройства может представлять собой собственный номер электронного устройства, такой как МАС-адрес, а сервер 202 управления доступом к сети способен получать идентификационный номер устройства от самого электронного устройства.[0077] It is apparent that in some non-limiting embodiments of the present technology, the network access control server 202 is capable of storing each digital certificate in the certificate database 216 in association with the corresponding electronic devices authorized to access the local network 208. For example, the network access control server 202 is capable of storing (1) the identification number of the first electronic device 204 in association with the serial number of the first digital certificate 214 and (2) the identification number of the second electronic device 205 in association with the serial number of the second digital certificate 215. In some non-limiting embodiments of the present technology, the identification number of the electronic device may be generated automatically by the network access control server 202. In some non-limiting embodiments of the present technology, the device identification number may be a proprietary number of the electronic device, such as a MAC address, and the network access control server 202 is capable of obtaining the device identification number from the electronic device itself.

[0078] Кроме того, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, сервер 202 управления доступом к сети способен определять допустимые действия для электронного устройства, назначая цифровому сертификату специальный тег, в частности, первый тег 224 авторизации, назначенный первому цифровому сертификату 214, выпущенному для первого электронного устройства 204. В контексте настоящего описания «тег», назначаемый цифровому сертификату, представляет собой электронный документ (отдельный или являющийся частью цифрового сертификата), который определяет разрешения для электронного устройства в локальной сети 208. Такие разрешения в различных не имеющих ограничительного характера вариантах осуществления настоящей технологии могут включать в себя, например, (1) заданный набор действий, которые разрешено выполнять электронному устройству в локальной сети 208, и (2) список электронных устройств, на которых электронному устройству разрешено выполнение допустимых действий. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен передавать данные о связи между тегом и цифровым сертификатом на сервер 212 аутентификации, чтобы сервер 212 аутентификации разрешил электронному устройству выполнение заданного набора действий в локальной сети 208. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен сохранять теги всех электронных устройств, авторизованных в локальной сети 208, в базе 216 данных сертификатов.[0078] Furthermore, according to some non-limiting embodiments of the present technology, the network access control server 202 is capable of determining the permitted actions for the electronic device by assigning a special tag to the digital certificate, in particular, a first authorization tag 224 assigned to a first digital certificate 214 issued for the first electronic device 204. In the context of the present description, a “tag” assigned to a digital certificate is an electronic document (separate or part of the digital certificate) that defines permissions for the electronic device in the local network 208. Such permissions in various non-limiting embodiments of the present technology may include, for example, (1) a specified set of actions that the electronic device is permitted to perform in the local network 208, and (2) a list of electronic devices on which the electronic device is permitted to perform the permitted actions. In some non-limiting embodiments of the present technology, the network access control server 202 is capable of transmitting data about the association between the tag and the digital certificate to the authentication server 212 so that the authentication server 212 allows the electronic device to perform a specified set of actions in the local network 208. In some non-limiting embodiments of the present technology, the network access control server 202 is capable of storing tags of all electronic devices authorized in the local network 208 in the certificate database 216.

[0079] Таким образом, в продолжение примера, показанного на фиг. 3, сервер 202 управления доступом к сети способен назначать первому цифровому сертификату 214, связанному с первым электронным устройством 204, первый тег 224 авторизации, определяющий (среди прочего) следующий набор действий, которые разрешено выполнять первому электронному устройству 204 в локальной сети 208: (1) чтение файлов на всех электронных устройствах, подключенных к локальной сети 208, (2) запись нового файла в память всех электронных устройств, подключенных к локальной сети 208, (3) выполнение исполняемых файлов на всех электронных устройствах, подключенных к локальной сети 208, (4) удаление любых файлов на всех электронных устройствах, подключенных к локальной сети 208, (5) изменение любых файлов на всех электронных устройствах, подключенных к локальной сети 208, и (6) принятие права собственности на любой файл на всех электронных устройствах, подключенных к локальной сети 208. Первому электронному устройству 204 может быть разрешено выполнять и другие действия. Кроме того, следует понимать, что первый тег 224 авторизации, разрешающий первому электронному устройству 204 выполнять вышеупомянутые действия на всех электронных устройствах, подключенных к локальной сети 208, служит лишь примером и в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен включать в первый тег 224 авторизации списки электронных устройств для отдельных действий, которые могут быть одинаковыми или могут отличаться.[0079] Thus, continuing with the example shown in Fig. 3, the network access control server 202 is capable of assigning to the first digital certificate 214 associated with the first electronic device 204, a first authorization tag 224 defining (among other things) the following set of actions that the first electronic device 204 is permitted to perform in the local network 208: (1) reading files on all electronic devices connected to the local network 208, (2) writing a new file to the memory of all electronic devices connected to the local network 208, (3) executing executable files on all electronic devices connected to the local network 208, (4) deleting any files on all electronic devices connected to the local network 208, (5) modifying any files on all electronic devices connected to the local network 208, and (6) taking ownership of any file on all electronic devices connected to the local network 208. The first electronic device 204 may also be permitted to perform other actions. In addition, it should be understood that the first authorization tag 224, allowing the first electronic device 204 to perform the above-mentioned actions on all electronic devices connected to the local network 208, serves only as an example and in some non-limiting embodiments of the present technology, the network access control server 202 is capable of including in the first authorization tag 224 lists of electronic devices for individual actions, which may be the same or may differ.

[0080] Кроме того, в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен передавать данные, характеризующие связь между цифровым сертификатом и назначенным ему тегом, на сервер 212 аутентификации, чтобы предоставить электронному устройству, имеющему цифровой сертификат, доступ к локальной сети 208 в соответствии с разрешениями, определенными в теге. В связи с этим в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии на сервере 212 аутентификации может быть размещена отдельная база данных (не показана) для хранения данных о связях между выпущенными цифровыми сертификатами и назначенными им тегами, полученными от сервера 202 управления доступом к сети. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен предоставлять доступ к базе 216 данных сертификатов серверу 212 аутентификации через локальную сеть 208.[0080] In addition, in some non-limiting embodiments of the present technology, the network access control server 202 is capable of transmitting data characterizing the relationship between the digital certificate and the tag assigned to it to the authentication server 212 in order to provide the electronic device having the digital certificate with access to the local network 208 in accordance with the permissions defined in the tag. In this regard, in some non-limiting embodiments of the present technology, a separate database (not shown) can be placed on the authentication server 212 for storing data on the relationships between the issued digital certificates and the tags assigned to them received from the network access control server 202. In other non-limiting embodiments of the present technology, the network access control server 202 is capable of providing access to the certificate database 216 to the authentication server 212 via the local network 208.

[0081] Таким образом, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, первое электронное устройство 204 при попытке подключения к локальной сети 208 способно передавать на сервер 212 аутентификации запрос на доступ к локальной сети 208, включающий в себя первый цифровой сертификат 214. В ответ на это сервер 212 аутентификации способен (1) проверять цифровую подпись выпускающего органа на первом цифровом сертификате 214 и (2) в случае принятия решения о том, что выпускающий орган является доверенным центром сертификации, например, таким как сервер 202 управления доступом к сети, разрешать первому электронному устройству 204 доступ к локальной сети 208. Кроме того, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, сервер 212 аутентификации способен разрешать первому электронному устройству 204 выполнение в локальной сети 208 заданного набора действий, определенного в первом теге 224 авторизации.[0081] Thus, according to some non-limiting embodiments of the present technology, the first electronic device 204, when attempting to connect to the local network 208, is capable of transmitting to the authentication server 212 a request for access to the local network 208, including the first digital certificate 214. In response to this, the authentication server 212 is capable of (1) verifying the digital signature of the issuing authority on the first digital certificate 214 and (2) in the event of a decision that the issuing authority is a trusted certification authority, such as, for example, the network access control server 202, allowing the first electronic device 204 to access the local network 208. Furthermore, according to some non-limiting embodiments of the present technology, the authentication server 212 is capable of allowing the first electronic device 204 to perform on the local network 208 a given set of actions defined in the first authorization tag 224.

[0082] Также в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, сервер 202 управления доступом к сети способен обнаруживать нарушение безопасности, связанное с электронным устройством, то есть выявлять нарушение электронным устройством одной из политик сетевой безопасности. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен обнаруживать нарушение безопасности, контролируя и/или анализируя текущие значения множества заданных параметров электронного устройства.[0082] Also, in accordance with some non-limiting embodiments of the present technology, the network access control server 202 is capable of detecting a security violation associated with the electronic device, that is, detecting a violation by the electronic device of one of the network security policies. In some non-limiting embodiments of the present technology, the network access control server 202 is capable of detecting a security violation by monitoring and/or analyzing the current values of a plurality of specified parameters of the electronic device.

[0083] В соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, сервер 202 управления доступом к сети способен получать текущие значения множества заданных параметров электронного устройства, в частности, первого электронного устройства 204, различными способами. Как показано на фиг. 2, в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен получать текущие значения множества заданных параметров устройства непосредственно от первого электронного устройства 204. В связи с этим первое электронное устройство 204 способно выполнять внутреннее приложение 206 диспетчера мониторинга устройства. В общем случае внутреннее приложение 206 диспетчера мониторинга устройства представляет собой программное приложение, способное собирать и сохранять различные аналитические данные операционной системы первого электронного устройства 204, включая текущие значения множества заданных параметров этого устройства, и представлять эти данные, например, в виде реляционной базы данных. С использованием внутреннего приложения 206 диспетчера мониторинга устройства первое электронное устройство 204 способно передавать реляционную базу данных (или ее обновления) в ответ на запрос от сервера 202 управления доступом к сети. Отправляя запросы на получение реляционной базы данных, сервер 202 управления доступом к сети способен получать текущие значения множества заданных параметров первого электронного устройства 204. Не имеющими ограничительного характера примерами внутреннего приложения 206 диспетчера мониторинга устройства являются внутренние приложения диспетчера мониторинга устройства OsqueryTM, OssecTM и ELKTM.[0083] According to some non-limiting embodiments of the present technology, the network access control server 202 is capable of obtaining current values of a plurality of specified parameters of the electronic device, in particular, the first electronic device 204, in various ways. As shown in Fig. 2, in some non-limiting embodiments of the present technology, the network access control server 202 is capable of obtaining current values of a plurality of specified parameters of the device directly from the first electronic device 204. In this regard, the first electronic device 204 is capable of executing an internal device monitoring manager application 206. In general, the internal device monitoring manager application 206 is a software application capable of collecting and storing various analytical data of the operating system of the first electronic device 204, including the current values of a plurality of specified parameters of this device, and presenting this data, for example, in the form of a relational database. Using the internal application 206 of the device monitoring manager, the first electronic device 204 is capable of transmitting a relational database (or its updates) in response to a request from the network access control server 202. By sending requests for obtaining the relational database, the network access control server 202 is capable of obtaining current values of a plurality of specified parameters of the first electronic device 204. Non-limiting examples of the internal application 206 of the device monitoring manager are the internal applications of the Osquery TM , Ossec TM and ELK TM device monitoring manager.

[0084] В других не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен получать текущие значения множества заданных параметров устройства от сетевого приложения 210 диспетчера мониторинга устройств. В общем случае сетевое приложение 210 диспетчера мониторинга устройств способно собирать аналитические данные от операционных систем множества электронных устройств, подключенных к локальной сети 208, в том числе, первого электронного устройства 204, причем делать это независимо для каждого из множества электронных устройств. Таким образом, если текущие значения множества заданных параметров устройства, собранные внутренним приложением 206 диспетчера мониторинга устройства, фальсифицируются перед передачей на сервер 202 управления доступом к сети, например, в результате атаки вредоносной программы, сервер 202 управления доступом к сети способен проверять достоверность этих значений на основе данных, предоставленных сетевым приложением 210 диспетчера мониторинга устройств.[0084] In other non-limiting embodiments of the present technology, the network access control server 202 is capable of receiving current values of a plurality of specified device parameters from the network device monitoring manager application 210. In general, the network device monitoring manager application 210 is capable of collecting analytical data from operating systems of a plurality of electronic devices connected to the local network 208, including the first electronic device 204, and doing so independently for each of the plurality of electronic devices. Thus, if the current values of a plurality of specified device parameters collected by the internal device monitoring manager application 206 are falsified before being transmitted to the network access control server 202, for example, as a result of a malware attack, the network access control server 202 is capable of checking the validity of these values based on the data provided by the network device monitoring manager application 210.

[0085] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сетевое приложение 210 диспетчера мониторинга устройств может выполняться на сервере 202 управления доступом к сети. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии сетевое приложение 210 диспетчера мониторинга устройств может выполняться на другом электронном устройстве, связанном с локальной сетью 208. В таких вариантах осуществления другим электронным устройством может быть сторонний сервер производителя сетевого приложения 210 диспетчера мониторинга устройств, которому предоставлен доступ к локальной сети 208. На реализацию сетевого приложения 210 диспетчера мониторинга устройств не накладывается ограничений и в общем случае она зависит от операционной системы, работающей на множестве электронных устройств, подлежащих мониторингу. Например, среди прочего, в тех не имеющих ограничительного характера вариантах осуществления настоящей технологии, в которых электронное устройство работает под управлением операционной системы WindowsTM, в качестве сетевого приложения 210 диспетчера мониторинга устройств для мониторинга текущих значений множества заданных параметров устройства может использоваться сетевое приложение диспетчера мониторинга устройств SCCMTM. В другом не имеющем ограничительного характера примере, где электронное устройство работает под управлением операционной системы iOSTM или macOSTM, в качестве сетевого приложения 210 диспетчера мониторинга устройств для мониторинга текущих значений множества заданных параметров устройства может использоваться сетевое приложение диспетчера мониторинга устройств JamfTM. В еще одном примере, где электронное устройство работает под управлением операционной системы LinuxTM, в качестве сетевого приложения 210 диспетчера мониторинга устройств для мониторинга текущих значений множества заданных параметров устройства может использоваться сетевое приложение диспетчера мониторинга устройств Salt ManagerTM. В тех не имеющих ограничительного характера вариантах осуществления настоящей технологии, в которых множество электронных устройств, подключенных к локальной сети 208, работает под управлением разных операционных систем, сервер 202 управления доступом к сети способен осуществлять доступ к разным вариантам сетевого приложения 210 диспетчера мониторинга устройств, перечисленным выше неисчерпывающим образом.[0085] In some non-limiting embodiments of the present technology, the network device monitoring manager application 210 may be executed on the network access control server 202. In other non-limiting embodiments of the present technology, the network device monitoring manager application 210 may be executed on another electronic device that is associated with the local network 208. In such embodiments, the other electronic device may be a third-party server of the manufacturer of the network device monitoring manager application 210 that is granted access to the local network 208. The implementation of the network device monitoring manager application 210 is not limited and generally depends on the operating system running on the plurality of electronic devices to be monitored. For example, among other things, in those non-limiting embodiments of the present technology in which the electronic device is running the Windows TM operating system, the network device monitoring manager application 210 may be the SCCM TM network device monitoring manager application for monitoring the current values of the plurality of specified parameters of the device. In another non-limiting example, where the electronic device operates under the iOS TM or macOS TM operating system, the Jamf TM device monitoring manager network application can be used as the device monitoring manager network application 210 for monitoring the current values of the plurality of specified device parameters. In another example, where the electronic device operates under the Linux TM operating system, the Salt Manager TM device monitoring manager network application can be used as the device monitoring manager network application 210 for monitoring the current values of the plurality of specified device parameters. In those non-limiting embodiments of the present technology in which a plurality of electronic devices connected to the local network 208 operate under different operating systems, the network access control server 202 is capable of accessing different versions of the device monitoring manager network application 210, listed above in a non-exhaustive manner.

[0086] В некоторых других не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен получать текущие значения множества заданных параметров первого электронного устройства 204 как от внутреннего приложения 206 диспетчера мониторинга устройства, так и от сетевого приложения 210 диспетчера мониторинга устройств. Например, в таких вариантах осуществления сервер 202 управления доступом к сети способен проверять данные, полученные от внутреннего приложения 206 диспетчера мониторинга устройства, используя данные, полученные от сетевого приложения 210 диспетчера мониторинга устройств.[0086] In some other non-limiting embodiments of the present technology, the network access control server 202 is capable of receiving current values of a plurality of specified parameters of the first electronic device 204 from both the internal device monitoring manager application 206 and the network device monitoring manager application 210. For example, in such embodiments, the network access control server 202 is capable of verifying data received from the internal device monitoring manager application 206 using data received from the network device monitoring manager application 210.

[0087] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен получать текущие значения множества заданных параметров каждого из первого и второго электронных устройств 204, 205 непрерывно в режиме реального времени. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен получать такие значения периодически, например, раз в минуту, раз в двенадцать часов, раз в день и т.д.[0087] In some non-limiting embodiments of the present technology, the network access control server 202 is capable of receiving current values of a plurality of specified parameters of each of the first and second electronic devices 204, 205 continuously in real time. In other non-limiting embodiments of the present technology, the network access control server 202 is capable of receiving such values periodically, such as once per minute, once per twelve hours, once per day, etc.

[0088] Например, анализируя текущие значения множества заданных параметров некоторого электронного устройства, такого как второе электронное устройство 205, сервер 202 управления доступом к сети способен обнаруживать, что одно из приложений, которое должно быть установлено на втором электронном устройстве 205 в соответствии с политиками сетевой безопасности локальной сети 208, в частности, антивирусное приложение, было отключено или удалено. В другом примере сервер 202 управления доступом к сети способен обнаруживать, что в операционной системе второго электронного устройства 205 произведен запуск процесса и/или службы, свидетельствующий о наличии и/или активности приложения, которое не должно быть установлено и/или выполняться в соответствии с политиками сетевой безопасности, например, игрового приложения, дополнительного веб-браузера или приложения, определенного сервером 202 управления доступом к сети как ненадежное (или вредоносное).[0088] For example, by analyzing the current values of a plurality of specified parameters of some electronic device, such as the second electronic device 205, the network access control server 202 is able to detect that one of the applications that must be installed on the second electronic device 205 in accordance with the network security policies of the local network 208, in particular, an antivirus application, has been disabled or removed. In another example, the network access control server 202 is able to detect that a process and/or service has been launched in the operating system of the second electronic device 205, indicating the presence and/or activity of an application that must not be installed and/or executed in accordance with the network security policies, for example, a game application, an additional web browser, or an application determined by the network access control server 202 as untrusted (or malicious).

[0089] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен обнаруживать нарушение безопасности при выявлении наложения сеансов работы по меньшей мере двух электронных устройств в локальной сети 208, которые получили доступ к локальной сети 208, используя один и тот же цифровой сертификат. Для этого в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен получать доступ к журналу доступа (не обозначен) на сервере 212 аутентификации и благодаря этому анализировать (1) цифровой сертификат, использованный электронным устройством для доступа к локальной сети 208, и (2) продолжительность сетевого сеанса, в течение которого это электронное устройство оставалось подключенным к локальной сети 208. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен запрашивать журнал доступа у сервера 212 аутентификации по мере необходимости, например, периодически. В таких вариантах осуществления сервер 202 управления доступом к сети способен получать доступ к журналу доступа на сервере 212 аутентификации раз в час, раз в день, раз в неделю и т.д. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен получать доступ к журналу доступа на сервере 212 аутентификации в режиме реального времени и контролировать соответствующие данные непрерывно.[0089] In some non-limiting embodiments of the present technology, the network access control server 202 is capable of detecting a security violation by detecting an overlap of operating sessions of at least two electronic devices in the local network 208 that have accessed the local network 208 using the same digital certificate. To this end, in some non-limiting embodiments of the present technology, the network access control server 202 is capable of accessing an access log (not indicated) on the authentication server 212 and thereby analyzing (1) the digital certificate used by the electronic device to access the local network 208 and (2) the duration of the network session during which this electronic device remained connected to the local network 208. In some non-limiting embodiments of the present technology, the network access control server 202 is capable of requesting the access log from the authentication server 212 as needed, for example periodically. In such embodiments, the network access control server 202 is capable of accessing the access log on the authentication server 212 once an hour, once a day, once a week, etc. In other non-limiting embodiments of the present technology, the network access control server 202 is capable of accessing the access log on the authentication server 212 in real time and monitoring the corresponding data continuously.

[0090] На фиг. 4 представлена временная диаграмма сеансов работы двух электронных устройств, которые получили доступ к локальной сети 208, используя второй цифровой сертификат 215, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии.[0090] Fig. 4 is a time diagram of the operating sessions of two electronic devices that have accessed the local network 208 using the second digital certificate 215, in accordance with some non-limiting embodiments of the present technology.

[0091] Из примера, показанного на фиг. 4, очевидно, что второе электронное устройство 205 получило доступ к локальной сети 208, используя второй цифровой сертификат 215, как описано выше, и оставалось подключенным к ней в течение первого сетевого сеанса 402. При этом, пока второе электронное устройство 205 было подключено к локальной сети 208, еще одно, третье, электронное устройство 405 (не показано на фиг. 2) подключилось к локальной сети 208, также используя второй цифровой сертификат 215, и оставалось подключенным к локальной сети 208 в течение второго сетевого сеанса 404. Третье электронное устройство 405 могло получить второй цифровой сертификат 215, например, в результате злонамеренной атаки на второе электронное устройство 205.[0091] From the example shown in Fig. 4, it is evident that the second electronic device 205 gained access to the local network 208 using the second digital certificate 215, as described above, and remained connected to it during the first network session 402. Moreover, while the second electronic device 205 was connected to the local network 208, another, third, electronic device 405 (not shown in Fig. 2) connected to the local network 208, also using the second digital certificate 215, and remained connected to the local network 208 during the second network session 404. The third electronic device 405 could have obtained the second digital certificate 215, for example, as a result of a malicious attack on the second electronic device 205.

[0092] Таким образом, анализируя журнал доступа на сервере 212 аутентификации, сервер 202 управления доступом к сети способен выявлять наложение 406 сетевых сеансов между первым сетевым сеансом 402 второго электронного устройства 205 и вторым сетевым сеансом 404 третьего электронного устройства 405, тем самым обнаруживая нарушение безопасности. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен обнаруживать нарушение безопасности в том случае, если длительность наложения 406 сетевых сеансов превышает заданный порог времени, например, 1, 5 или 10 минут.[0092] Thus, by analyzing the access log on the authentication server 212, the network access control server 202 is able to detect an overlap 406 of network sessions between the first network session 402 of the second electronic device 205 and the second network session 404 of the third electronic device 405, thereby detecting a security violation. In some non-limiting embodiments of the present technology, the network access control server 202 is able to detect a security violation if the duration of the overlap 406 of network sessions exceeds a specified time threshold, such as 1, 5, or 10 minutes.

[0093] Другими примерами нарушения политик сетевой безопасности являются осуществление доступа к локальной сети 208 с использованием просроченного цифрового сертификата, попытка выполнения действий, не входящих в заданный набор действий, определенный для электронного устройства в теге авторизации, расхождение между данными, полученными от внутреннего приложения 206 диспетчера мониторинга устройства, и данными, полученными от сетевого приложения 210 диспетчера мониторинга устройств, и т.д.[0093] Other examples of violation of network security policies include accessing the local network 208 using an expired digital certificate, attempting to perform actions that are not included in the specified set of actions defined for the electronic device in the authorization tag, discrepancies between data received from the internal device monitoring manager application 206 and data received from the network device monitoring manager application 210, etc.

[0094] Таким образом, при обнаружении нарушения безопасности, связанного, например, со вторым электронным устройством 205, сервер 202 управления доступом к сети способен ограничивать доступ второго электронного устройства 205 к сети. Как показано на фиг. 3, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, сервер 202 управления доступом к сети способен ограничивать доступ второго электронного устройства 205, назначая связанному с ним второму цифровому сертификату 215 тег 225 безопасного режима вместо назначенного ранее тега авторизации, такого как второй тег 525 авторизации, показанный на фиг. 5. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии второй тег 525 авторизации второго цифрового сертификата 215 может быть аналогичен первому тегу 224 авторизации, назначенному первому электронному устройству 204, то есть может определять тот же набор действий, которые разрешено выполнять в локальной сети 208 второму электронному устройству 205 в отношении того же списка электронных устройств. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии второй тег 525 авторизации может определять набор действий и/или список электронных устройств, отличающиеся от тех, что определены первым тегом 224 авторизации.[0094] Thus, upon detection of a security breach associated with, for example, the second electronic device 205, the network access control server 202 is capable of restricting access of the second electronic device 205 to the network. As shown in Fig. 3, in accordance with some non-limiting embodiments of the present technology, the network access control server 202 is capable of restricting access of the second electronic device 205 by assigning a secure mode tag 225 to the second digital certificate 215 associated therewith instead of a previously assigned authorization tag, such as the second authorization tag 525 shown in Fig. 5. In some non-limiting embodiments of the present technology, the second authorization tag 525 of the second digital certificate 215 may be similar to the first authorization tag 224 assigned to the first electronic device 204, that is, it may define the same set of actions that are permitted to be performed in the local network 208 by the second electronic device 205 with respect to the same list of electronic devices. In other non-limiting embodiments of the present technology, the second authorization tag 525 may define a set of actions and/or a list of electronic devices that are different from those defined by the first authorization tag 224.

[0095] В соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, тег 225 безопасного режима может определять ограниченный набор действий, более узкий, чем заданный набор действий, определяемый вторым тегом 525 авторизации, например, только чтение или выполнение исполняемых файлов на электронных устройствах, подключенных к локальной сети 208. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии тег 225 безопасного режима может определять ограниченный список электронных устройств, на которых электронному устройству, имеющему второй цифровой сертификат 215, разрешено выполнение допустимых действий. Например, электронные устройства, включенные в ограниченный список электронных устройств, могут быть связаны с меньшим риском компрометации других электронных устройств в локальной сети 208. Электронное устройство из ограниченного списка электронных устройств может выбираться путем определения сервером 202 управления доступом к сети или внешним (в том числе сторонним) программным обеспечением, включая сетевое приложение 210 диспетчера мониторинга устройств, второго тега 525 авторизации второго цифрового сертификата 215, связанного с выбираемым устройством. В частности, выбираемое электронное устройство может быть связано с уникальными идентификационными данными аппаратных средств, дополнительно хранящимся в базе 216 данных сертификатов, на основании которых сервер 202 управления доступом к сети назначает тег 225 безопасного режима. В некоторых других не имеющих ограничительного характера вариантах осуществления настоящей технологии тег 225 безопасного режима может определять как ограниченный набор действий, которые разрешено выполнять электронному устройству, имеющему второй цифровой сертификат 215, так и ограниченный список электронных устройств, на которых электронным устройствам, имеющим второй цифровой сертификат 215, разрешено выполнение ограниченного набора действий. В некоторых других не имеющих ограничительного характера вариантах осуществления настоящей технологии тег 225 безопасного режима второго цифрового сертификата может включать в себя указание на полный запрет доступа электронного устройства, имеющего второй цифровой сертификат 215, к локальной сети 208.[0095] According to some non-limiting embodiments of the present technology, the secure mode tag 225 may define a limited set of actions that is narrower than the specified set of actions defined by the second authorization tag 525, such as only reading or executing executable files on electronic devices connected to the local network 208. In other non-limiting embodiments of the present technology, the secure mode tag 225 may define a limited list of electronic devices on which the electronic device having the second digital certificate 215 is allowed to perform permitted actions. For example, electronic devices included in the limited list of electronic devices may be associated with a lower risk of compromising other electronic devices in the local network 208. An electronic device from the limited list of electronic devices may be selected by determining by the network access control server 202 or external (including third-party) software, including the network application 210 of the device monitoring manager, the second authorization tag 525 of the second digital certificate 215 associated with the selected device. In particular, the selected electronic device may be associated with unique identification data of the hardware, additionally stored in the certificate database 216, on the basis of which the network access control server 202 assigns the secure mode tag 225. In some other non-limiting embodiments of the present technology, the secure mode tag 225 may define both a limited set of actions that the electronic device having the second digital certificate 215 is allowed to perform and a limited list of electronic devices on which the electronic devices having the second digital certificate 215 are allowed to perform the limited set of actions. In some other non-limiting embodiments of the present technology, the secure mode tag 225 of the second digital certificate may include an indication of a complete ban on access of the electronic device having the second digital certificate 215 to the local network 208.

[0096] Кроме того, после замены сервером 202 управления доступом к сети второго тега 525 авторизации второго цифрового сертификата 215 в базе 216 данных сертификатов на тег 225 безопасного режима сервер 202 управления доступом к сети способен передавать на сервер 212 аутентификации данные, характеризующие связь между вторым цифровым сертификатом 215 и тегом 225 безопасного режима, которые могут включать в себя обновление базы 216 данных сертификатов. После получения данных о связи между вторым цифровым сертификатом 215 и тегом 225 безопасного режима сервер 212 аутентификации, в свою очередь, в ответ на запрос доступа к локальной сети 208 от электронного устройства, имеющего второй цифровой сертификат 215 (такого как второе электронное устройство 205), способен предоставлять такой доступ второму электронному устройству 205 в соответствии с разрешениями, определенными в теге 225 безопасного режима, а именно (1) разрешать второму электронному устройству 205 выполнение ограниченного набора действий и/или (2) разрешать второму электронному устройству 205 выполнение допустимых действий на электронных устройствах локальной сети 208 из ограниченного списка.[0096] In addition, after the network access control server 202 replaces the second authorization tag 525 of the second digital certificate 215 in the certificate database 216 with the secure mode tag 225, the network access control server 202 is capable of transmitting to the authentication server 212 data characterizing the relationship between the second digital certificate 215 and the secure mode tag 225, which may include an update of the certificate database 216. After receiving data on the connection between the second digital certificate 215 and the secure mode tag 225, the authentication server 212, in turn, in response to a request for access to the local network 208 from the electronic device having the second digital certificate 215 (such as the second electronic device 205), is able to provide such access to the second electronic device 205 in accordance with the permissions defined in the secure mode tag 225, namely (1) to allow the second electronic device 205 to perform a limited set of actions and/or (2) to allow the second electronic device 205 to perform permissible actions on electronic devices of the local network 208 from a limited list.

[0097] Кроме того, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, при выявлении того, что нарушение, связанное со вторым электронным устройством 205, устранено, например, при мониторинге множества заданных параметров первого и второго электронных устройств 204, 205, сервер 202 управления доступом к сети способен (1) удалять тег 225 безопасного режима из второго цифрового сертификата 215 в базе 216 данных сертификатов и (2) вновь назначать этому сертификату второй тег 525 авторизации, как схематически представлено на фиг. 5. Таким образом, сервер 202 управления доступом к сети способен разрешать электронным устройствам, имеющим второй цифровой сертификат 215, таким как второе электронное устройство 205, выполнять в локальной сети 208 исходный набор действий, которые были разрешены до нарушения политик сетевой безопасности вторым электронным устройством 205.[0097] Furthermore, according to some non-limiting embodiments of the present technology, upon detection that the violation associated with the second electronic device 205 has been resolved, such as by monitoring a plurality of specified parameters of the first and second electronic devices 204, 205, the network access control server 202 is configured to (1) remove the secure mode tag 225 from the second digital certificate 215 in the certificate database 216 and (2) reassign the second authorization tag 525 to this certificate, as schematically illustrated in Fig. 5. Thus, the network access control server 202 is configured to permit electronic devices having the second digital certificate 215, such as the second electronic device 205, to perform on the local network 208 the original set of actions that were permitted prior to the violation of the network security policies by the second electronic device 205.

[0098] Например, если сервер 202 управления доступом к сети назначил тег 225 безопасного режима второму цифровому сертификату 215 после обнаружения того, что антивирусное приложение на втором электронном устройстве 205 было отключено, то при обнаружении возобновления работы антивирусного приложения на втором электронном устройстве 205 сервер 202 управления доступом к сети способен вновь заменять тег 225 безопасного режима второго цифрового сертификата 215 в базе 216 данных сертификатов на второй тег 525 авторизации.[0098] For example, if the network access control server 202 has assigned the secure mode tag 225 to the second digital certificate 215 after detecting that the antivirus application on the second electronic device 205 has been disabled, then upon detecting that the antivirus application on the second electronic device 205 has been resumed, the network access control server 202 is able to again replace the secure mode tag 225 of the second digital certificate 215 in the certificate database 216 with the second authorization tag 525.

[0099] Кроме того, после получения данных о связи между вторым цифровым сертификатом 215 и вторым тегом 525 авторизации сервер 212 аутентификации способен разрешать второму электронному устройству 205 на основе второго цифрового сертификата 215 (1) доступ к локальной сети 208 и (2) выполнение заданного набора действий на электронных устройствах из заданного списка согласно второму тегу 525 авторизации.[0099] In addition, after receiving the data on the relationship between the second digital certificate 215 and the second authorization tag 525, the authentication server 212 is capable of allowing the second electronic device 205, based on the second digital certificate 215, (1) access to the local network 208 and (2) performing a specified set of actions on electronic devices from a specified list according to the second authorization tag 525.

СпособWay

[0100] С учетом описанной выше архитектуры и приведенных примеров возможна реализация способа управления доступом к сети на основе портов для множества электронных устройств в локальной сети, в частности, для первого и второго электронных устройств 204, 205 в локальной сети 208. На фиг. 6 представлена блок-схема способа 600 в соответствии с не имеющими ограничительного характера вариантами осуществления настоящей технологии. Способ 600 может быть реализован сервером 202 управления доступом к сети с элементами компьютерной системы 100.[0100] Taking into account the above-described architecture and the given examples, it is possible to implement a method for controlling access to a network based on ports for a plurality of electronic devices in a local network, in particular, for the first and second electronic devices 204, 205 in the local network 208. Fig. 6 shows a block diagram of a method 600 in accordance with non-limiting embodiments of the present technology. The method 600 can be implemented by a network access control server 202 with elements of a computer system 100.

Шаг 602: формирование в базе данных сертификатов для сетевого хост-устройства из множества сетевых хост-устройств сетевого сертификата для доступа к локальной сети.Step 602: Generating a network certificate for accessing the local network in the certificate database for a network host device from among the plurality of network host devices.

[0101] Способ 600 начинается с шага 602, на котором сервер 202 управления доступом к сети способен выпускать первый и второй цифровые сертификаты 214, 215 для первого и второго электронных устройств 204, 205, соответственно, как подробно описано выше со ссылкой на фиг. 2 и 3. Как указано выше, сервер 202 управления доступом к сети способен сохранять первый и второй цифровые сертификаты 214, 215 в базе 216 данных сертификатов с привязкой к идентификационным номерам первого и второго электронных устройств 204, 205.[0101] The method 600 begins with step 602, in which the network access control server 202 is capable of issuing first and second digital certificates 214, 215 for the first and second electronic devices 204, 205, respectively, as described in detail above with reference to Figs. 2 and 3. As indicated above, the network access control server 202 is capable of storing the first and second digital certificates 214, 215 in the certificate database 216 with a link to the identification numbers of the first and second electronic devices 204, 205.

[0102] В соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, цифровой сертификат, сформированный для первого электронного устройства 204, например, первый цифровой сертификат 214, позволяет серверу 212 аутентификации проверять сообщения (в частности, запросы на доступ к локальной сети 208), передаваемые ему первым электронным устройством 204, и исходя из этого разрешать доступ первого электронного устройства 204 к локальной сети 208.[0102] According to some non-limiting embodiments of the present technology, a digital certificate generated for the first electronic device 204, such as the first digital certificate 214, allows the authentication server 212 to verify messages (in particular, requests for access to the local network 208) transmitted to it by the first electronic device 204, and based on this, to permit access of the first electronic device 204 to the local network 208.

[0103] Как отмечалось выше, в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии, в которых сервер 202 управления доступом к сети способен управлять доступом к сети по стандарту IEEE 802.1x, первый и второй цифровые сертификаты 214, 215 могут иметь формат X.509.[0103] As noted above, in some non-limiting embodiments of the present technology in which the network access control server 202 is capable of controlling network access according to the IEEE 802.1x standard, the first and second digital certificates 214, 215 may be in X.509 format.

[0104] Следующим шагом в способе 600 является шаг 604.[0104] The next step in method 600 is step 604.

Шаг 604: формирование в базе данных сертификатов для сетевого сертификата, связанного с сетевым хост-устройством, тега авторизации, указывающего на набор действий, которые разрешено выполнять этому сетевому хост-устройству в локальной сети.Step 604: Generate in the certificate database for the network certificate associated with the network host device an authorization tag that specifies the set of actions that the network host device is authorized to perform on the local network.

[0105] На шаге 604 в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии сервер 202 управления доступом к сети способен создавать для первого и второго цифровых сертификатов 214, 215 в базе 216 данных сертификатов теги авторизации, в частности, первый и второй теги 224, 525 авторизации. Как отмечено выше со ссылкой на фиг. 3, тег авторизации, например, первый тег 224 авторизации, назначенный первому цифровому сертификату 214, определяет (1) заданный набор действий, которые разрешено выполнять первому электронному устройству 204 в локальной сети 208, и (2) список электронных устройств, на которых первому электронному устройству 204 разрешено выполнять этот заданный набор действий.[0105] In step 604, according to some non-limiting embodiments of the present technology, the network access control server 202 is capable of creating authorization tags for the first and second digital certificates 214, 215 in the certificate database 216, in particular, the first and second authorization tags 224, 525. As noted above with reference to Fig. 3, an authorization tag, for example, the first authorization tag 224, assigned to the first digital certificate 214, defines (1) a given set of actions that the first electronic device 204 is allowed to perform in the local network 208, and (2) a list of electronic devices on which the first electronic device 204 is allowed to perform this given set of actions.

[0106] Следующим шагом в способе 600 является шаг 606.[0106] The next step in method 600 is step 606.

Шаг 606: передача данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает этому сетевому хост-устройству (1) доступ к локальной сети и (2) выполнение в ней набора действий.Step 606: transmitting data indicating a relationship between a network certificate and an authorization tag associated with a network host device to an authentication server of the local network, whereby the authentication server permits the network host device to (1) access the local network and (2) perform a set of actions on the local network.

[0107] На шаге 606 в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен передавать данные о связи, например, между первым тегом 224 авторизации и первым цифровым сертификатом 214, на сервер 212 аутентификации, чтобы сервер 212 аутентификации разрешил первому электронному устройству 204 выполнение в локальной сети 208 заданного набора действий на электронных устройствах из списка, определенного в первом теге 224 авторизации.[0107] At step 606, in some non-limiting embodiments of the present technology, the network access control server 202 is configured to transmit data about a relationship, for example, between the first authorization tag 224 and the first digital certificate 214, to the authentication server 212 so that the authentication server 212 allows the first electronic device 204 to perform in the local network 208 a specified set of actions on the electronic devices from the list defined in the first authorization tag 224.

[0108] Следующим шагом в способе 600 является шаг 608.[0108] The next step in method 600 is step 608.

Шаг 608: определение наличия нарушения безопасности, связанного с сетевым хост-устройством, которое включает в себя указание на нарушение этим сетевым хост-устройством политики сетевой безопасности локальной сети.Step 608: Determine whether there is a security violation associated with the network host device, which includes an indication that the network host device has violated the local network security policy.

[0109] На шаге 608, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, сервер 202 управления доступом к сети способен обнаруживать нарушение безопасности, связанное с любым из первого и второго электронных устройств 204, 205. Иными словами, на этом шаге сервер 202 управления доступом к сети способен обнаруживать нарушение по меньшей мере одним из первого и второго электронных устройств 204, 205 одной или нескольких политик сетевой безопасности локальной сети 208.[0109] At step 608, according to some non-limiting embodiments of the present technology, the network access control server 202 is capable of detecting a security violation associated with any of the first and second electronic devices 204, 205. In other words, at this step, the network access control server 202 is capable of detecting a violation by at least one of the first and second electronic devices 204, 205 of one or more network security policies of the local network 208.

[0110] Для этого в некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен выявлять отклонение одного или нескольких текущих значений множества заданных параметров по меньшей мере одного из первого и второго электронных устройств 204, 205 от целевых значений, определенных в политиках сетевой безопасности, как описано выше со ссылкой на фиг. 2. В соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, сервер 202 управления доступом к сети способен контролировать текущие значения множества заданных параметров каждого из первого и второго электронных устройств 204, 205 с использованием внутреннего приложения 206 диспетчера мониторинга устройства и/или сетевого приложения 210 диспетчера мониторинга устройств, как указано выше со ссылкой на фиг. 2. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен обнаруживать нарушение безопасности в случае расхождения между одним или несколькими текущими значениями множества заданных параметров устройства, полученными от внутреннего приложения 206 диспетчера мониторинга устройства данного электронного устройства, и значениями, полученными от сетевого приложения 210 диспетчера мониторинга устройств.[0110] To this end, in some non-limiting embodiments of the present technology, the network access control server 202 is configured to detect a deviation of one or more current values of a plurality of specified parameters of at least one of the first and second electronic devices 204, 205 from target values defined in network security policies, as described above with reference to Fig. 2. According to some non-limiting embodiments of the present technology, the network access control server 202 is configured to monitor the current values of the plurality of specified parameters of each of the first and second electronic devices 204, 205 using an internal device monitoring manager application 206 and/or a network device monitoring manager application 210, as described above with reference to Fig. 2. In some non-limiting embodiments of the present technology, the network access control server 202 is capable of detecting a security violation in the event of a discrepancy between one or more current values of a plurality of specified device parameters received from the internal device monitoring manager application 206 of the given electronic device and the values received from the network device monitoring manager application 210.

[0111] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии сервер 202 управления доступом к сети способен обнаруживать нарушение безопасности при выявлении наложения сеансов работы по меньшей мере двух электронных устройств в локальной сети 208, которые получили доступ к локальной сети 208, используя один и тот же цифровой сертификат. Например, сервер 202 управления доступом к сети способен выявлять наложение 406 сетевых сеансов между первым сетевым сеансом 402 и вторым сетевым сеансом 404 второго электронного устройства 205 и третьего электронного устройства 405, соответственно, которые осуществляли доступ к локальной сети 208, используя один и тот же второй цифровой сертификат 215, как описано выше со ссылкой на фиг. 4.[0111] In some non-limiting embodiments of the present technology, the network access control server 202 is capable of detecting a security violation by detecting an overlap of operating sessions of at least two electronic devices in the local network 208 that have accessed the local network 208 using the same digital certificate. For example, the network access control server 202 is capable of detecting an overlap 406 of network sessions between the first network session 402 and the second network session 404 of the second electronic device 205 and the third electronic device 405, respectively, that have accessed the local network 208 using the same second digital certificate 215, as described above with reference to Fig. 4.

[0112] Следующим шагом в способе 600 является шаг 610.[0112] The next step in method 600 is step 610.

Шаг 610: при наличии нарушения безопасности, связанного с сетевым хост-устройством, замена в базе данных сертификатов тега авторизации сетевого сертификата этого сетевого хост-устройства на тег безопасного режима.Step 610: If there is a security violation associated with a network host device, replace the authorization tag of the network certificate of the network host device with a secure mode tag in the certificate database.

[0113] На шаге 610, в соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, при обнаружении нарушения безопасности, связанного с электронным устройством, например, со вторым электронным устройством 205, сервер 202 управления доступом к сети способен заменять в базе 216 данных сертификатов второй тег 525 авторизации, первоначально назначенный второму цифровому сертификату 215, на тег 225 безопасного режима.[0113] In step 610, according to some non-limiting embodiments of the present technology, upon detection of a security breach associated with an electronic device, such as the second electronic device 205, the network access control server 202 is configured to replace in the certificate database 216 the second authorization tag 525, originally assigned to the second digital certificate 215, with a secure mode tag 225.

[0114] В соответствии с некоторыми не имеющими ограничительного характера вариантами осуществления настоящей технологии, тег 225 безопасного режима может определять ограниченный набор действий, более узкий, чем заданный набор действий, определяемый вторым тегом 525 авторизации, например, только чтение или выполнение исполняемых файлов на электронных устройствах, подключенных к локальной сети 208. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии тег 225 безопасного режима может определять ограниченный список электронных устройств, на которых электронному устройству, имеющему второй цифровой сертификат 215, разрешено выполнение допустимых действий. Например, электронные устройства, включенные в ограниченный список электронных устройств, могут быть связаны с меньшим риском компрометации других электронных устройств в локальной сети 208. В некоторых других не имеющих ограничительного характера вариантах осуществления настоящей технологии тег 225 безопасного режима может определять как ограниченный набор действий, которые разрешено выполнять электронному устройству, имеющему второй цифровой сертификат 215, так и ограниченный список электронных устройств, на которых электронным устройствам, имеющим второй цифровой сертификат 215, разрешено выполнение ограниченного набора действий. В некоторых других не имеющих ограничительного характера вариантах осуществления настоящей технологии тег 225 безопасного режима второго цифрового сертификата может включать в себя указание на полный запрет доступа электронного устройства, имеющего второй цифровой сертификат 215, к локальной сети 208.[0114] According to some non-limiting embodiments of the present technology, the secure mode tag 225 may define a limited set of actions that is narrower than the specified set of actions defined by the second authorization tag 525, such as only reading or executing executable files on electronic devices connected to the local network 208. In other non-limiting embodiments of the present technology, the secure mode tag 225 may define a limited list of electronic devices on which the electronic device having the second digital certificate 215 is allowed to perform permitted actions. For example, electronic devices included in the restricted list of electronic devices may be associated with a lower risk of compromising other electronic devices on the local network 208. In some other non-limiting embodiments of the present technology, the secure mode tag 225 may define both a restricted set of actions that an electronic device having the second digital certificate 215 is permitted to perform and a restricted list of electronic devices on which electronic devices having the second digital certificate 215 are permitted to perform the restricted set of actions. In some other non-limiting embodiments of the present technology, the secure mode tag 225 of the second digital certificate may include an indication of a complete ban on access of the electronic device having the second digital certificate 215 to the local network 208.

[0115] Кроме того, после замены сервером 202 управления доступом к сети второго тега 525 авторизации второго цифрового сертификата 215 в базе 216 данных сертификатов на тег 225 безопасного режима сервер 202 управления доступом к сети способен передавать на сервер 212 аутентификации данные, характеризующие связь между вторым цифровым сертификатом 215 и тегом 225 безопасного режима, которые могут включать в себя обновление базы 216 данных сертификатов. После получения данных о связи между вторым цифровым сертификатом 215 и тегом 225 безопасного режима сервер 212 аутентификации, в свою очередь, в ответ на запрос доступа к локальной сети 208 от электронного устройства, имеющего второй цифровой сертификат 215 (такого как второе электронное устройство 205), способен предоставлять такой доступ второму электронному устройству 205 в соответствии с разрешениями, определенными в теге 225 безопасного режима, а именно (1) разрешать второму электронному устройству 205 выполнение ограниченного набора действий и/или (2) разрешать второму электронному устройству 205 выполнение допустимых действий на электронных устройствах локальной сети 208 из ограниченного списка.[0115] In addition, after the network access control server 202 replaces the second authorization tag 525 of the second digital certificate 215 in the certificate database 216 with the secure mode tag 225, the network access control server 202 is capable of transmitting to the authentication server 212 data characterizing the relationship between the second digital certificate 215 and the secure mode tag 225, which may include an update of the certificate database 216. After receiving data on the connection between the second digital certificate 215 and the secure mode tag 225, the authentication server 212, in turn, in response to a request for access to the local network 208 from the electronic device having the second digital certificate 215 (such as the second electronic device 205), is able to provide such access to the second electronic device 205 in accordance with the permissions defined in the secure mode tag 225, namely (1) to allow the second electronic device 205 to perform a limited set of actions and/or (2) to allow the second electronic device 205 to perform permissible actions on electronic devices of the local network 208 from a limited list.

[0116] Кроме того, при выявлении того, что нарушение, связанное со вторым электронным устройством 205, устранено, например, при мониторинге множества заданных параметров первого и второго электронных устройств 204, 205, сервер 202 управления доступом к сети способен (1) удалять тег 225 безопасного режима из второго цифрового сертификата 215 в базе 216 данных сертификатов, (2) вновь назначать этому сертификату второй тег 525 авторизации и (3) передавать данные о связи между вторым цифровым сертификатом 215 и вторым тегом 525 авторизации на сервер 212 аутентификации, чтобы сервер 212 аутентификации разрешил доступ второго электронного устройства 205 к локальной сети в соответствии с разрешением, определенным во втором теге 525 авторизации.[0116] In addition, when it is determined that the violation associated with the second electronic device 205 is eliminated, for example, when monitoring a plurality of specified parameters of the first and second electronic devices 204, 205, the network access control server 202 is capable of (1) deleting the secure mode tag 225 from the second digital certificate 215 in the certificate database 216, (2) again assigning the second authorization tag 525 to this certificate, and (3) transmitting data about the relationship between the second digital certificate 215 and the second authorization tag 525 to the authentication server 212 so that the authentication server 212 allows access of the second electronic device 205 to the local network in accordance with the permission defined in the second authorization tag 525.

[0117] На этом реализация способа 600 завершается.[0117] This completes the implementation of method 600.

[0118] Таким образом, некоторые не имеющие ограничительного характера варианты осуществления способа 600 позволяют (1) более эффективно выявлять подозрительные электронные устройства в локальной сети 208 и (2) более оперативно предотвращать доступ к ней таких электронных устройств, что помогает повысить безопасность локальной сети 208 и качество обслуживания ее пользователей.[0118] Thus, some non-limiting embodiments of the method 600 make it possible to (1) more effectively identify suspicious electronic devices on the local network 208 and (2) more quickly prevent such electronic devices from accessing it, which helps to improve the security of the local network 208 and the quality of service to its users.

[0119] Очевидно, что не все упомянутые здесь технические эффекты подлежат реализации в каждом конкретном варианте осуществления настоящей технологии.[0119] It is obvious that not all technical effects mentioned herein are subject to implementation in each specific embodiment of the present technology.

[0120] Для специалиста в данной области могут быть очевидными возможные изменения и усовершенствования описанных выше вариантов осуществления настоящей технологии. Предшествующее описание приведено лишь в иллюстративных целях, а не для ограничения объема изобретения. Объем охраны настоящей технологии определяется исключительно объемом приложенной формулы изобретения.[0120] Possible changes and improvements to the above-described embodiments of the present technology may be obvious to a person skilled in the art. The preceding description is provided for illustrative purposes only and is not intended to limit the scope of the invention. The scope of protection of the present technology is determined solely by the scope of the appended claims.

Claims (36)

1. Компьютерный способ управления доступом к сети на основе портов, реализуемого в соответствии со стандартом IEEE 802.1x, для множества сетевых хост-устройств в локальной сети, содержащей сервер аутентификации, способный предоставлять доступ к локальной сети множеству сетевых хост-устройств на основе сетевых сертификатов, и сервер, на котором размещена база данных сертификатов, при этом локальная сеть связана с политикой сетевой безопасности, а способ предусматривает:1. A computer method for managing access to a network based on ports, implemented in accordance with the IEEE 802.1x standard, for a plurality of network host devices in a local network containing an authentication server capable of providing access to the local network to a plurality of network host devices based on network certificates, and a server on which a certificate database is located, wherein the local network is associated with a network security policy, and the method provides: - формирование в базе данных сертификатов для сетевого хост-устройства из множества сетевых хост-устройств сетевого сертификата для доступа к локальной сети;- formation in the certificate database for a network host device from a plurality of network host devices of a network certificate for access to a local network; - формирование в базе данных сертификатов для сетевого сертификата, связанного с сетевым хост-устройством, тега авторизации, указывающего на набор действий, которые разрешено выполнять сетевому хост-устройству в локальной сети,- generation in the certificate database for a network certificate associated with a network host device of an authorization tag indicating the set of actions that the network host device is permitted to perform in the local network, - передачу данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает сетевому хост-устройству доступ к локальной сети и выполнение в ней набора действий;- transmitting data indicating a relationship between a network certificate and an authorization tag associated with a network host device to a local network authentication server, whereby the authentication server authorizes the network host device to access the local network and perform a set of actions therein; - определение наличия нарушения безопасности, связанного с сетевым хост-устройством и включающего в себя указание на нарушение сетевым хост-устройством политики сетевой безопасности локальной сети;- determining the presence of a security violation associated with a network host device and including an indication of a violation by the network host device of the local network security policy; - при наличии нарушения безопасности, связанного с сетевым хост-устройством:- if there is a security breach associated with a network host device: - замену в базе данных сертификатов тега авторизации сетевого сертификата сетевого хост-устройства на тег безопасного режима, указывающий на ограниченный, более узкий, чем у тега авторизации, набор действий, которые разрешено выполнять сетевому хост-устройству в локальной сети до устранения нарушения безопасности; и- replacing the authorization tag of the network certificate of the network host device in the certificate database with a secure mode tag indicating a limited set of actions, narrower than those of the authorization tag, that the network host device is permitted to perform on the local network until the security breach is resolved; and - передачу данных, указывающих на связь между сетевым сертификатом и тегом безопасного режима, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации запрещает сетевому хост-устройству выполнение набора действий, связанных с тегом авторизации, и разрешает сетевому хост-устройству выполнение лишь ограниченного набора действий.- transmitting data indicating an association between a network certificate and a secure mode tag associated with a network host device to a local network authentication server, as a result of which the authentication server prohibits the network host device from performing a set of actions associated with the authorization tag and permits the network host device to perform only a limited set of actions. 2. Способ по п. 1, в котором нарушение безопасности включает в себя указание на использование сетевого сертификата, связанного с сетевым хост-устройством, для доступа к локальной сети другим сетевым хост-устройством из множества сетевых хост-устройств, а определение наличия нарушения безопасности предусматривает:2. The method according to claim 1, wherein the security violation includes an indication of the use of a network certificate associated with a network host device for accessing a local network by another network host device from a plurality of network host devices, and determining the presence of a security violation includes: - мониторинг сеансов каждого из множества сетевых хост-устройств в локальной сети за заданный период на основе сетевых сертификатов; и- monitoring sessions of each of a plurality of network host devices in a local network for a specified period based on network certificates; and - выявление наложения по меньшей мере двух сеансов использования сетевого сертификата, связанного с хост-устройством, в течение времени, превышающего заданный пороговый период.- detection of an overlap of at least two sessions of use of a network certificate associated with a host device for a period of time exceeding a specified threshold period. 3. Способ по п. 1, в котором нарушение безопасности включает в себя указание на отклонение текущего значения по меньшей мере одного заданного параметра из множества заданных параметров сетевого хост-устройства от заданного значения, а определение наличия нарушения безопасности предусматривает мониторинг текущих значений множества заданных параметров сетевого хост-устройства.3. The method according to claim 1, wherein the security violation includes an indication of a deviation of the current value of at least one specified parameter from a plurality of specified parameters of the network host device from a specified value, and determining the presence of a security violation involves monitoring the current values of the plurality of specified parameters of the network host device. 4. Способ по п. 3, в котором мониторинг включает в себя обеспечение того, чтобы электронное хост-устройство собирало текущие значения множества заданных параметров устройства, используя внутренний диспетчер мониторинга устройства, и передавало на сервер текущие значения множества заданных параметров устройства.4. The method according to claim 3, wherein the monitoring includes ensuring that the electronic host device collects current values of a plurality of specified device parameters using an internal device monitoring manager and transmits current values of a plurality of specified device parameters to the server. 5. Способ по п. 4, в котором внутренним диспетчером мониторинга устройства является внутренний диспетчер мониторинга устройства Osquery.5. The method according to claim 4, wherein the internal device monitoring manager is the internal Osquery device monitoring manager. 6. Способ по п. 3, в котором мониторинг включает в себя выполнение на сервере сетевого приложения диспетчера мониторинга устройств, способного запрашивать по локальной сети текущие значения множества заданных параметров устройства по меньшей мере у части из множества сетевых хост-устройств, включая данное сетевое хост-устройство.6. The method according to claim 3, wherein the monitoring includes executing on the server a network application of a device monitoring manager capable of requesting via the local network the current values of a plurality of specified device parameters from at least a portion of the plurality of network host devices, including the given network host device. 7. Способ по п. 6, в котором сетевой диспетчер мониторинга устройств содержит по меньшей мере один из следующих сетевых диспетчеров мониторинга устройств: SCCM, Jamf и Salt Manager.7. The method of claim 6, wherein the network device monitoring manager comprises at least one of the following network device monitoring managers: SCCM, Jamf, and Salt Manager. 8. Способ по п. 3, в котором мониторинг включает в себя обеспечение того, чтобы электронное хост-устройство собирало текущие значения множества заданных параметров устройства, используя внутренний диспетчер мониторинга устройства, и передавало на сервер текущие значения множества заданных параметров устройства, а также выполнение на сервере сетевого приложения диспетчера мониторинга устройств, способного запрашивать по локальной сети текущие значения множества заданных параметров устройства по меньшей мере у части из множества сетевых хост-устройств, включая данное сетевое хост-устройство, при этом нарушение безопасности включает в себя указание на отклонение текущего значения по меньшей мере одного заданного параметра сетевого хост-устройства от заданного значения, обнаруженное внутренним диспетчером мониторинга устройства и центральным диспетчером конфигураций устройств системы.8. The method according to claim 3, wherein the monitoring includes ensuring that the electronic host device collects current values of a plurality of specified device parameters using an internal device monitoring manager and transmits the current values of the plurality of specified device parameters to the server, as well as executing on the server a network application of the device monitoring manager capable of requesting over a local network the current values of the plurality of specified device parameters from at least a portion of the plurality of network host devices, including the given network host device, wherein the security violation includes an indication of a deviation of the current value of at least one specified parameter of the network host device from a specified value, detected by the internal device monitoring manager and the central device configuration manager of the system. 9. Способ по п. 1, который при обнаружении устранения нарушения безопасности дополнительно включает в себя замену в базе данных сертификатов тега безопасного режима сетевого сертификата сетевого хост-устройства вновь на тег авторизации и передачу данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает сетевому хост-устройству выполнение набора действий.9. The method according to claim 1, which, upon detection of the elimination of the security violation, further includes replacing in the certificate database the secure mode tag of the network certificate of the network host device again with an authorization tag and transmitting data indicating the relationship between the network certificate and the authorization tag associated with the network host device to the authentication server of the local network, as a result of which the authentication server allows the network host device to perform a set of actions. 10. Сервер для управления доступом к сети на основе портов, реализуемого в соответствии со стандартом IEEE 802.1x, для множества сетевых хост-устройств в локальной сети, содержащей сервер аутентификации, способный предоставлять доступ к локальной сети множеству сетевых хост-устройств на основе сетевых сертификатов, при этом локальная сеть связана с политикой сетевой безопасности, на сервере размещена база данных сертификатов, а сервер содержит по меньшей мере один процессор и по меньшей мере один физический машиночитаемый носитель, хранящий исполняемые команды, при исполнении которых по меньшей мере одним процессором на сервере обеспечивается:10. A server for port-based network access control implemented in accordance with the IEEE 802.1x standard for a plurality of network host devices in a local area network containing an authentication server capable of providing access to the local area network to a plurality of network host devices based on network certificates, wherein the local area network is associated with a network security policy, a certificate database is located on the server, and the server contains at least one processor and at least one physical machine-readable medium storing executable commands, the execution of which by at least one processor on the server ensures: - формирование в базе данных сертификатов для сетевого хост-устройства из множества сетевых хост-устройств сетевого сертификата для доступа к локальной сети;- formation in the certificate database for a network host device from a plurality of network host devices of a network certificate for access to a local network; - формирование в базе данных сертификатов для сетевого сертификата, связанного с сетевым хост-устройством, тега авторизации, указывающего на набор действий, которые разрешено выполнять сетевому хост-устройству в локальной сети;- generation in the certificate database for a network certificate associated with a network host device of an authorization tag indicating the set of actions that the network host device is permitted to perform in the local network; - передача данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает сетевому хост-устройству доступ к локальной сети и выполнение в ней набора действий;- transmitting data indicating a relationship between a network certificate and an authorization tag associated with a network host device to a local network authentication server, whereby the authentication server authorizes the network host device to access the local network and perform a set of actions therein; - определение наличия нарушения безопасности, связанного с сетевым хост-устройством, которое включает в себя указание на нарушение сетевым хост-устройством политики сетевой безопасности локальной сети;- determining the presence of a security violation associated with a network host device, which includes an indication that the network host device has violated the local network security policy; - при наличии нарушения безопасности, связанного с сетевым хост-устройством:- if there is a security breach associated with a network host device: - замена в базе данных сертификатов тега авторизации сетевого сертификата сетевого хост-устройства на тег безопасного режима, указывающий на ограниченный, более узкий, чем у тега авторизации, набор действий, которые разрешено выполнять сетевому хост-устройству в локальной сети до устранения нарушения безопасности; и- replacing the authorization tag of the network certificate of the network host device in the certificate database with a secure mode tag indicating a limited set of actions, narrower than those of the authorization tag, that the network host device is permitted to perform on the local network until the security breach is resolved; and - передача данных, указывающих на связь между сетевым сертификатом и тегом безопасного режима, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации запрещает сетевому хост-устройству выполнение набора действий, связанных с тегом авторизации, и разрешает сетевому хост-устройству выполнение лишь ограниченного набора действий.- transmitting data indicating an association between a network certificate and a secure mode tag associated with a network host device to a local network authentication server, as a result of which the authentication server prohibits the network host device from performing a set of actions associated with the authorization tag and permits the network host device to perform only a limited set of actions. 11. Сервер по п. 10, в котором нарушение безопасности включает в себя указание на использование сетевого сертификата, связанного с сетевым хост-устройством, для доступа к локальной сети другим сетевым хост-устройством из множества сетевых хост-устройств, а для определения наличия нарушения безопасности по меньшей мере один процессор обеспечивает выполнение сервером:11. The server of claim 10, wherein the security violation includes an indication of the use of a network certificate associated with a network host device for accessing a local network by another network host device from a plurality of network host devices, and to determine the presence of a security violation, at least one processor ensures that the server performs: - мониторинга сеансов каждого из множества сетевых хост-устройств в локальной сети за заданный период на основе сетевых сертификатов; и- monitoring sessions of each of a plurality of network host devices in a local network for a specified period based on network certificates; and - выявления наложения по меньшей мере двух сеансов использования сетевого сертификата, связанного с хост-устройством, в течение времени, превышающего заданный пороговый период.- detecting an overlap of at least two sessions of use of a network certificate associated with a host device for a period of time exceeding a specified threshold period. 12. Сервер по п. 10, в котором нарушение безопасности включает в себя указание на отклонение текущего значения по меньшей мере одного заданного параметра из множества заданных параметров сетевого хост-устройства от заданного значения, а для определения наличия нарушения безопасности по меньшей мере один процессор обеспечивает мониторинг сервером текущих значений множества заданных параметров сетевого хост-устройства.12. The server according to claim 10, wherein the security violation includes an indication of a deviation of the current value of at least one specified parameter from a plurality of specified parameters of the network host device from a specified value, and to determine the presence of a security violation, at least one processor ensures that the server monitors the current values of the plurality of specified parameters of the network host device. 13. Сервер по п. 12, в котором для мониторинга текущих значений множества заданных параметров устройства по меньшей мере один процессор обеспечивает, чтобы электронное хост-устройство под управлением сервера собирало текущие значения множества заданных параметров устройства, используя внутренний диспетчер мониторинга устройства, и передавало на сервер текущие значения множества заданных параметров устройства.13. The server according to claim 12, wherein for monitoring current values of a plurality of specified device parameters, at least one processor ensures that the electronic host device under the control of the server collects current values of a plurality of specified device parameters using an internal device monitoring manager and transmits current values of a plurality of specified device parameters to the server. 14. Сервер по п. 13, в котором внутренним диспетчером мониторинга устройства является внутренний диспетчер мониторинга устройства Osquery.14. The server of claim 13, wherein the internal device monitoring manager is the internal Osquery device monitoring manager. 15. Сервер по п. 12, в котором для мониторинга текущих значений множества заданных параметров устройства по меньшей мере один процессор обеспечивает выполнение на сервере сетевого приложения диспетчера мониторинга устройств, способного запрашивать по локальной сети текущие значения множества заданных параметров устройства по меньшей мере у части из множества сетевых хост-устройств, включая данное сетевое хост-устройство.15. The server according to claim 12, wherein for monitoring the current values of a plurality of specified device parameters, at least one processor ensures execution on the server of a network application of a device monitoring manager, capable of requesting, via a local network, the current values of a plurality of specified device parameters from at least a portion of a plurality of network host devices, including the given network host device. 16. Сервер по п. 15, в котором сетевой диспетчер мониторинга устройств содержит по меньшей мере один из следующих сетевых диспетчеров мониторинга устройств: SCCM, Jamf и Salt Manager.16. The server of claim 15, wherein the network device monitoring manager comprises at least one of the following network device monitoring managers: SCCM, Jamf, and Salt Manager. 17. Сервер по п. 12, в котором для мониторинга текущих значений множества заданных параметров устройства по меньшей мере один процессор обеспечивает, чтобы электронное хост-устройство под управлением сервера собирало текущие значения множества заданных параметров устройства, используя внутренний диспетчер мониторинга устройства, и передавало на сервер текущие значения множества заданных параметров устройства, и чтобы на сервере выполнялось сетевое приложение диспетчера мониторинга устройств, способное запрашивать по локальной сети текущие значения множества заданных параметров устройства по меньшей мере у части из множества сетевых хост-устройств, включая данное сетевое хост-устройство, при этом нарушение безопасности включает в себя указание на отклонение текущего значения по меньшей мере одного заданного параметра сетевого хост-устройства от заданного значения, обнаруженное внутренним диспетчером мониторинга устройства и центральным диспетчером конфигураций устройств системы.17. The server according to claim 12, wherein for monitoring current values of a plurality of specified device parameters, at least one processor ensures that the electronic host device under the control of the server collects current values of a plurality of specified device parameters using an internal device monitoring manager and transmits the current values of the plurality of specified device parameters to the server, and that a network application of the device monitoring manager is executed on the server, capable of requesting current values of a plurality of specified device parameters over a local network from at least a portion of a plurality of network host devices, including the given network host device, wherein the security violation includes an indication of a deviation of the current value of at least one specified parameter of the network host device from a specified value, detected by the internal device monitoring manager and the central device configuration manager of the system. 18. Сервер по п. 10, в котором при обнаружении устранения нарушения безопасности по меньшей мере один процессор дополнительно обеспечивает выполнение сервером замены в базе данных сертификатов тега безопасного режима сетевого сертификата сетевого хост-устройства вновь на тег авторизации и передачу данных, указывающих на связь между сетевым сертификатом и тегом авторизации, связанным с сетевым хост-устройством, на сервер аутентификации локальной сети, в результате чего сервер аутентификации разрешает сетевому хост-устройству выполнение набора действий.18. The server according to claim 10, wherein upon detection of the elimination of the security violation, at least one processor additionally ensures that the server replaces in the certificate database the secure mode tag of the network certificate of the network host device again with an authorization tag and transmits data indicating the relationship between the network certificate and the authorization tag associated with the network host device to the authentication server of the local network, as a result of which the authentication server allows the network host device to perform a set of actions.
RU2024105681A 2024-03-05 2024-03-05 Network access control method and system RU2839575C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US19/057,684 US20250286887A1 (en) 2024-03-05 2025-02-19 Method and a system for network access control

Publications (1)

Publication Number Publication Date
RU2839575C1 true RU2839575C1 (en) 2025-05-06

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187459A (en) * 2015-10-28 2015-12-23 广州睿颢软件技术有限公司 Account private data security system and data protection method thereof
RU2638741C2 (en) * 2012-12-07 2017-12-15 Микросек Самиташтечникаи Фейлестё Зрт. Method and user authentication system through mobile device with usage of certificates
RU2648942C1 (en) * 2017-07-13 2018-03-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации System of protection of information from unauthorized access
US20180198786A1 (en) * 2017-01-11 2018-07-12 Pulse Secure, Llc Associating layer 2 and layer 3 sessions for access control
US20180352003A1 (en) * 2014-12-16 2018-12-06 OPSWAT, Inc. Network Access Control with Compliance Policy Check

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2638741C2 (en) * 2012-12-07 2017-12-15 Микросек Самиташтечникаи Фейлестё Зрт. Method and user authentication system through mobile device with usage of certificates
US20180352003A1 (en) * 2014-12-16 2018-12-06 OPSWAT, Inc. Network Access Control with Compliance Policy Check
CN105187459A (en) * 2015-10-28 2015-12-23 广州睿颢软件技术有限公司 Account private data security system and data protection method thereof
US20180198786A1 (en) * 2017-01-11 2018-07-12 Pulse Secure, Llc Associating layer 2 and layer 3 sessions for access control
RU2648942C1 (en) * 2017-07-13 2018-03-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации System of protection of information from unauthorized access

Similar Documents

Publication Publication Date Title
US11604861B2 (en) Systems and methods for providing real time security and access monitoring of a removable media device
CN112926056B (en) Method and system for detecting unauthorized access to cloud applications based on speed events
JP5518865B2 (en) Protecting virtual guest machines from attacks by infected hosts
US10762209B2 (en) Boot security
US20160127417A1 (en) Systems, methods, and devices for improved cybersecurity
US9876804B2 (en) Method and system for detecting unauthorized access to and use of network resources
US20090282457A1 (en) Common representation for different protection architectures (crpa)
US12526292B2 (en) Security threat remediation for network-accessible devices
CN114365128B (en) Method and system for data self-protection
CN1981277A (en) Quarantine system
Kumar et al. Exploring security issues and solutions in cloud computing services–a survey
US12271495B2 (en) Management of resource access in a blockchain
US20240146536A1 (en) Network access using hardware-based security
CN117544322B (en) Browser identification method, device, equipment and storage medium
US20080184368A1 (en) Preventing False Positive Detections in an Intrusion Detection System
Kim et al. A study on the security requirements analysis to build a zero trust-based remote work environment
RU2839575C1 (en) Network access control method and system
GB2572471A (en) Detecting lateral movement by malicious applications
KR20100067383A (en) Server security system and server security method
US20250286887A1 (en) Method and a system for network access control
CN114662080B (en) Data protection method and device and desktop cloud system
US20240411878A1 (en) Elevated security execution mode for network-accessible devices
US20260006002A1 (en) Managing traffic in networks that use zero trust network access
US20250071124A1 (en) Systems and methods for processing electronic communications
WO2024117925A1 (en) Preventing unauthorized access to a corporate network