论文部分内容阅读
摘要:在802.lx无线认证场景下,出口网关不参与到整个认证流程,无法对上网终端进行基于用户或用户组的上网策略控制,为此本文提出了一种无线应用场景下的出口网关权限策略控制的方法,首先对AAA服务器和出口网关进行权限策略配置,然后通过扩展radius协议使radius认证附带更多认证参数,最后通过AAA服务器和出口网关之间的私有认证协议报文传递使出口网关即使不参与整个认证流程依然能获知终端的用户和用户组信息,最终实现对上网终端的各种行为控制。
关键词:无线应用;出口网关;权限策略控制
中图分类号:TP393
文献标识码:A
文章编号:1009-3044(2019)36-0061-02
传统的802.lx在无线接入认证场景非常常见,它能够提供基于用户名和密码的校验,并解决用户上网的安全问题。一般的出口网关不提供802.lx服务器端的功能,因此802.lx服务器端使用AC做802.lx服务器,AC和AAA服务器完成radius认证。在802.lx无线认证场景下,出口网关不参与到整个认证流程,无法获知上网的终端的用户名、用户分组信息等,因此无法对上网终端进行基于用户或用户组的上网策略控制,如保证特定用户的上网带宽流量,限制某些用户访问特定的网址等。
目前广泛使用的无线接入认证场景大致有如下两种情况:(l) AC设备负责完成终端的802.lx认证,AAA服务器负责完成radius认证,出口网关只负责互联网接入控制;(2)不区分AC设备和AAA服务器,二者为一个完整设备,直接完成终端的所有认证,然后发送报文给出口网关负责互联网接人。无论采用任意一种接入场景,出口网关都不参与整个认证流程,无法匹配到终端设备和本地配置的权限策略组,无法对终端没备的上网策略进行控制。针对这种情况,本文提出了一种无线应用场景下的出口网关权限策略控制的方法,使出口网关即使不参与整个认证流程仍然能够获知上网终端的用户名和分组信息,通过匹配本地配置的权限组和对应的权限策略,可以灵活实现对上网终端的各种行为控制,不仅解决了上网安全性问题,而且也有效提供了基于用户组的灵活策略控制。
1无线应用场景
无线应用场景通常由终端、AP设备、AC设备、AAA服务器、出口网关等产品构成,如图l所示。其中除AAA和出口网关通过私有协议报文单向通信外,其他设备之间都是双向连通的。其中终端为需要接入网络的手机、PC、笔记本等,能发起802.lx认证的设备。具体产品说明如下所述:
1) AC设备:无线控制器,是一种网络设备,负责管理某个区域内无线网络中的AP;
2) AP设备:无线访问接入点,主要作用是将各个无线网络客户端连接在一起,然后将无线网络接人以太网;
3) AAA服务器:认证服务器,主要用于管理哪些用户可以访问网络服务器或者具有访问权限的用户可以得到哪些服务。
2出口网关权限策略控制方法
在无线应用场景下,首先对AAA服务器和出口网关进行权限策略配置,预定义不同的用户组所具有的不同权限,然后扩展radius协议,使得radius认证能够附带更多的认证参数,通过AAA服务器和出口网关之间的私有认证协议报文传递使得出口网关即使不参与整个认证流程依然能获知终端的用户和用户组信息,最终实现权限策略控制的方法,具体认证流程如图2所示。
1)向AAA服务器上导人采集的AP设备的MAC地址和出口网关lP地址的映射关系表,配置用户账号和策略分组ID的对应关系表;
2)出口网关上配置策略分组信息,维护策略分组ID和带宽策略、ACL策略等的对应关系表;
3)终端输入用户名和密码,发起802.lx认证请求;
4) AP将认证请求转发至对应AC;
5) AC收到终端的认证请求,向AAA服务器发送radius认证请求报文;
6) AAA服务器收到radius认证报文,AAA服务器校验用户密钥,同时将认证结果返回给AC;
7) 8)AC将认证结果返回给终端,如果认证成功,则终端就获取了网络访问权限;
9)如果认证成功,AC向AAA服务器发送终端计费开始报文,该报文扩展了标准radius报文,携带了终端的MAC地址、终端的lP地址、终端连接的AP MAC、认证账号;
10) AAA服务器收到radius开始计费报文,用户账号查找到该账号对应的策略分组ID同时根据AP MAC查找到卅口网关IP地址(参考基础数据导入和配置)。最后AAA服务器将用户账号、终端IP、终端MAC、终端AP MAC、策略分组ID封装为私有授权协议报文,发给出口网关;
11)出口网关收到授权报文,创建一条绑定关系:终端(MAC IP) 策略分组ID;
12) 13)终端访问网络应用,出口网关根据终端MAC和lP地址,查找到该终端的分组策略(参考基础数据导人和配置),执行该分组策略的带宽保证和ACL等;
14)终端满足权限策略要求,允许终端上网。
3结论
本方法扩展了radius认证协议,通过AAA服务器和出口网关的私有授权协议,解决了虽然无线终端接入认证在AC上,但是出口网关仍然能够有效对上网终端进行上网策略控制的问题。相较于普通的无线接入场景具有以下优点。
1)解决了上网终端的权限策略控制问题
相较于普通的无线接入场景,本方法可以细粒度的控制每一台或一批上网终端所对应的上网权限,包括但不限于控制终端可访问的网站、控制网络带宽等。
2)解决安全性问题
普通无线接入场景仅能控制终端设备的上网权限,认证成功则能夠上网,失败则拒绝上网,对终端认证成功之后的网络行为没有有效的安全控制,通过本发明,能够制定终端上网策略,避免一些恶意的网络攻击。
3)充分利用用户资源
在没有增加任何设备的情况下,本方法只是扩展了radius协议和添加私有授权协议,即完成了终端上网策略控制,未增加用户的资金投入,充分地利用了用户现有资源。
【通联编辑:唐一东】
收稿日期:2019-08-15
作者简介:陈龙(1988-),男,四川成都人,学士,研究方向为数字家庭业务、智能网关业务、网络设备管理/认证/集成。
关键词:无线应用;出口网关;权限策略控制
中图分类号:TP393
文献标识码:A
文章编号:1009-3044(2019)36-0061-02
传统的802.lx在无线接入认证场景非常常见,它能够提供基于用户名和密码的校验,并解决用户上网的安全问题。一般的出口网关不提供802.lx服务器端的功能,因此802.lx服务器端使用AC做802.lx服务器,AC和AAA服务器完成radius认证。在802.lx无线认证场景下,出口网关不参与到整个认证流程,无法获知上网的终端的用户名、用户分组信息等,因此无法对上网终端进行基于用户或用户组的上网策略控制,如保证特定用户的上网带宽流量,限制某些用户访问特定的网址等。
目前广泛使用的无线接入认证场景大致有如下两种情况:(l) AC设备负责完成终端的802.lx认证,AAA服务器负责完成radius认证,出口网关只负责互联网接入控制;(2)不区分AC设备和AAA服务器,二者为一个完整设备,直接完成终端的所有认证,然后发送报文给出口网关负责互联网接人。无论采用任意一种接入场景,出口网关都不参与整个认证流程,无法匹配到终端设备和本地配置的权限策略组,无法对终端没备的上网策略进行控制。针对这种情况,本文提出了一种无线应用场景下的出口网关权限策略控制的方法,使出口网关即使不参与整个认证流程仍然能够获知上网终端的用户名和分组信息,通过匹配本地配置的权限组和对应的权限策略,可以灵活实现对上网终端的各种行为控制,不仅解决了上网安全性问题,而且也有效提供了基于用户组的灵活策略控制。
1无线应用场景
无线应用场景通常由终端、AP设备、AC设备、AAA服务器、出口网关等产品构成,如图l所示。其中除AAA和出口网关通过私有协议报文单向通信外,其他设备之间都是双向连通的。其中终端为需要接入网络的手机、PC、笔记本等,能发起802.lx认证的设备。具体产品说明如下所述:
1) AC设备:无线控制器,是一种网络设备,负责管理某个区域内无线网络中的AP;
2) AP设备:无线访问接入点,主要作用是将各个无线网络客户端连接在一起,然后将无线网络接人以太网;
3) AAA服务器:认证服务器,主要用于管理哪些用户可以访问网络服务器或者具有访问权限的用户可以得到哪些服务。
2出口网关权限策略控制方法
在无线应用场景下,首先对AAA服务器和出口网关进行权限策略配置,预定义不同的用户组所具有的不同权限,然后扩展radius协议,使得radius认证能够附带更多的认证参数,通过AAA服务器和出口网关之间的私有认证协议报文传递使得出口网关即使不参与整个认证流程依然能获知终端的用户和用户组信息,最终实现权限策略控制的方法,具体认证流程如图2所示。
1)向AAA服务器上导人采集的AP设备的MAC地址和出口网关lP地址的映射关系表,配置用户账号和策略分组ID的对应关系表;
2)出口网关上配置策略分组信息,维护策略分组ID和带宽策略、ACL策略等的对应关系表;
3)终端输入用户名和密码,发起802.lx认证请求;
4) AP将认证请求转发至对应AC;
5) AC收到终端的认证请求,向AAA服务器发送radius认证请求报文;
6) AAA服务器收到radius认证报文,AAA服务器校验用户密钥,同时将认证结果返回给AC;
7) 8)AC将认证结果返回给终端,如果认证成功,则终端就获取了网络访问权限;
9)如果认证成功,AC向AAA服务器发送终端计费开始报文,该报文扩展了标准radius报文,携带了终端的MAC地址、终端的lP地址、终端连接的AP MAC、认证账号;
10) AAA服务器收到radius开始计费报文,用户账号查找到该账号对应的策略分组ID同时根据AP MAC查找到卅口网关IP地址(参考基础数据导入和配置)。最后AAA服务器将用户账号、终端IP、终端MAC、终端AP MAC、策略分组ID封装为私有授权协议报文,发给出口网关;
11)出口网关收到授权报文,创建一条绑定关系:终端(MAC IP) 策略分组ID;
12) 13)终端访问网络应用,出口网关根据终端MAC和lP地址,查找到该终端的分组策略(参考基础数据导人和配置),执行该分组策略的带宽保证和ACL等;
14)终端满足权限策略要求,允许终端上网。
3结论
本方法扩展了radius认证协议,通过AAA服务器和出口网关的私有授权协议,解决了虽然无线终端接入认证在AC上,但是出口网关仍然能够有效对上网终端进行上网策略控制的问题。相较于普通的无线接入场景具有以下优点。
1)解决了上网终端的权限策略控制问题
相较于普通的无线接入场景,本方法可以细粒度的控制每一台或一批上网终端所对应的上网权限,包括但不限于控制终端可访问的网站、控制网络带宽等。
2)解决安全性问题
普通无线接入场景仅能控制终端设备的上网权限,认证成功则能夠上网,失败则拒绝上网,对终端认证成功之后的网络行为没有有效的安全控制,通过本发明,能够制定终端上网策略,避免一些恶意的网络攻击。
3)充分利用用户资源
在没有增加任何设备的情况下,本方法只是扩展了radius协议和添加私有授权协议,即完成了终端上网策略控制,未增加用户的资金投入,充分地利用了用户现有资源。
【通联编辑:唐一东】
收稿日期:2019-08-15
作者简介:陈龙(1988-),男,四川成都人,学士,研究方向为数字家庭业务、智能网关业务、网络设备管理/认证/集成。