一種無(wú)線應(yīng)用場(chǎng)景下的出口網(wǎng)關(guān)權(quán)限策略控制方法

摘要：在802.lx無(wú)線認(rèn)證場(chǎng)景下，出口網(wǎng)關(guān)不參與到整個(gè)認(rèn)證流程，無(wú)法對(duì)上網(wǎng)終端進(jìn)行基于用戶或用戶組的上網(wǎng)策略控制，為此本文提出了一種無(wú)線應(yīng)用場(chǎng)景下的出口網(wǎng)關(guān)權(quán)限策略控制的方法，首先對(duì)AAA服務(wù)器和出口網(wǎng)關(guān)進(jìn)行權(quán)限策略配置，然后通過(guò)擴(kuò)展radius協(xié)議使radius認(rèn)證附帶更多認(rèn)證參數(shù)，最后通過(guò)AAA服務(wù)器和出口網(wǎng)關(guān)之間的私有認(rèn)證協(xié)議報(bào)文傳遞使出口網(wǎng)關(guān)即使不參與整個(gè)認(rèn)證流程依然能獲知終端的用戶和用戶組信息，最終實(shí)現(xiàn)對(duì)上網(wǎng)終端的各種行為控制。

關(guān)鍵詞：無(wú)線應(yīng)用;出口網(wǎng)關(guān);權(quán)限策略控制

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）36-0061-02

傳統(tǒng)的802.lx在無(wú)線接入認(rèn)證場(chǎng)景非常常見(jiàn)，它能夠提供基于用戶名和密碼的校驗(yàn)，并解決用戶上網(wǎng)的安全問(wèn)題。一般的出口網(wǎng)關(guān)不提供802.lx服務(wù)器端的功能，因此802.lx服務(wù)器端使用AC做802.lx服務(wù)器，AC和AAA服務(wù)器完成radius認(rèn)證。在802.lx無(wú)線認(rèn)證場(chǎng)景下，出口網(wǎng)關(guān)不參與到整個(gè)認(rèn)證流程，無(wú)法獲知上網(wǎng)的終端的用戶名、用戶分組信息等，因此無(wú)法對(duì)上網(wǎng)終端進(jìn)行基于用戶或用戶組的上網(wǎng)策略控制，如保證特定用戶的上網(wǎng)帶寬流量，限制某些用戶訪問(wèn)特定的網(wǎng)址等。

目前廣泛使用的無(wú)線接入認(rèn)證場(chǎng)景大致有如下兩種情況：（l） AC設(shè)備負(fù)責(zé)完成終端的802.lx認(rèn)證，AAA服務(wù)器負(fù)責(zé)完成radius認(rèn)證，出口網(wǎng)關(guān)只負(fù)責(zé)互聯(lián)網(wǎng)接入控制;（2）不區(qū)分AC設(shè)備和AAA服務(wù)器，二者為一個(gè)完整設(shè)備，直接完成終端的所有認(rèn)證，然后發(fā)送報(bào)文給出口網(wǎng)關(guān)負(fù)責(zé)互聯(lián)網(wǎng)接人。無(wú)論采用任意一種接入場(chǎng)景，出口網(wǎng)關(guān)都不參與整個(gè)認(rèn)證流程，無(wú)法匹配到終端設(shè)備和本地配置的權(quán)限策略組，無(wú)法對(duì)終端沒(méi)備的上網(wǎng)策略進(jìn)行控制。針對(duì)這種情況，本文提出了一種無(wú)線應(yīng)用場(chǎng)景下的出口網(wǎng)關(guān)權(quán)限策略控制的方法，使出口網(wǎng)關(guān)即使不參與整個(gè)認(rèn)證流程仍然能夠獲知上網(wǎng)終端的用戶名和分組信息，通過(guò)匹配本地配置的權(quán)限組和對(duì)應(yīng)的權(quán)限策略，可以靈活實(shí)現(xiàn)對(duì)上網(wǎng)終端的各種行為控制，不僅解決了上網(wǎng)安全性問(wèn)題，而且也有效提供了基于用戶組的靈活策略控制。

1無(wú)線應(yīng)用場(chǎng)景

無(wú)線應(yīng)用場(chǎng)景通常由終端、AP設(shè)備、AC設(shè)備、AAA服務(wù)器、出口網(wǎng)關(guān)等產(chǎn)品構(gòu)成，如圖l所示。其中除AAA和出口網(wǎng)關(guān)通過(guò)私有協(xié)議報(bào)文單向通信外，其他設(shè)備之間都是雙向連通的。其中終端為需要接入網(wǎng)絡(luò)的手機(jī)、PC、筆記本等，能發(fā)起802.lx認(rèn)證的設(shè)備。具體產(chǎn)品說(shuō)明如下所述：

1） AC設(shè)備：無(wú)線控制器，是一種網(wǎng)絡(luò)設(shè)備，負(fù)責(zé)管理某個(gè)區(qū)域內(nèi)無(wú)線網(wǎng)絡(luò)中的AP;

2） AP設(shè)備：無(wú)線訪問(wèn)接入點(diǎn)，主要作用是將各個(gè)無(wú)線網(wǎng)絡(luò)客戶端連接在一起，然后將無(wú)線網(wǎng)絡(luò)接人以太網(wǎng);

3） AAA服務(wù)器：認(rèn)證服務(wù)器，主要用于管理哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器或者具有訪問(wèn)權(quán)限的用戶可以得到哪些服務(wù)。

2出口網(wǎng)關(guān)權(quán)限策略控制方法

在無(wú)線應(yīng)用場(chǎng)景下，首先對(duì)AAA服務(wù)器和出口網(wǎng)關(guān)進(jìn)行權(quán)限策略配置，預(yù)定義不同的用戶組所具有的不同權(quán)限，然后擴(kuò)展radius協(xié)議，使得radius認(rèn)證能夠附帶更多的認(rèn)證參數(shù)，通過(guò)AAA服務(wù)器和出口網(wǎng)關(guān)之間的私有認(rèn)證協(xié)議報(bào)文傳遞使得出口網(wǎng)關(guān)即使不參與整個(gè)認(rèn)證流程依然能獲知終端的用戶和用戶組信息，最終實(shí)現(xiàn)權(quán)限策略控制的方法，具體認(rèn)證流程如圖2所示。

1）向AAA服務(wù)器上導(dǎo)人采集的AP設(shè)備的MAC地址和出口網(wǎng)關(guān)lP地址的映射關(guān)系表，配置用戶賬號(hào)和策略分組ID的對(duì)應(yīng)關(guān)系表;

2）出口網(wǎng)關(guān)上配置策略分組信息，維護(hù)策略分組ID和帶寬策略、ACL策略等的對(duì)應(yīng)關(guān)系表;

3）終端輸入用戶名和密碼，發(fā)起802.lx認(rèn)證請(qǐng)求;

4） AP將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)至對(duì)應(yīng)AC;

5） AC收到終端的認(rèn)證請(qǐng)求，向AAA服務(wù)器發(fā)送radius認(rèn)證請(qǐng)求報(bào)文;

6） AAA服務(wù)器收到radius認(rèn)證報(bào)文，AAA服務(wù)器校驗(yàn)用戶密鑰，同時(shí)將認(rèn)證結(jié)果返回給AC;

7） 8）AC將認(rèn)證結(jié)果返回給終端，如果認(rèn)證成功，則終端就獲取了網(wǎng)絡(luò)訪問(wèn)權(quán)限;

9）如果認(rèn)證成功，AC向AAA服務(wù)器發(fā)送終端計(jì)費(fèi)開(kāi)始報(bào)文，該報(bào)文擴(kuò)展了標(biāo)準(zhǔn)radius報(bào)文，攜帶了終端的MAC地址、終端的lP地址、終端連接的AP MAC、認(rèn)證賬號(hào);

10） AAA服務(wù)器收到radius開(kāi)始計(jì)費(fèi)報(bào)文，用戶賬號(hào)查找到該賬號(hào)對(duì)應(yīng)的策略分組ID同時(shí)根據(jù)AP MAC查找到卅口網(wǎng)關(guān)IP地址（參考基礎(chǔ)數(shù)據(jù)導(dǎo)入和配置）。最后AAA服務(wù)器將用戶賬號(hào)、終端IP、終端MAC、終端AP MAC、策略分組ID封裝為私有授權(quán)協(xié)議報(bào)文，發(fā)給出口網(wǎng)關(guān);

11）出口網(wǎng)關(guān)收到授權(quán)報(bào)文，創(chuàng)建一條綁定關(guān)系：終端（MAC+IP） 策略分組ID;

12） 13）終端訪問(wèn)網(wǎng)絡(luò)應(yīng)用，出口網(wǎng)關(guān)根據(jù)終端MAC和lP地址，查找到該終端的分組策略（參考基礎(chǔ)數(shù)據(jù)導(dǎo)人和配置），執(zhí)行該分組策略的帶寬保證和ACL等;

14）終端滿足權(quán)限策略要求，允許終端上網(wǎng)。

3結(jié)論

本方法擴(kuò)展了radius認(rèn)證協(xié)議，通過(guò)AAA服務(wù)器和出口網(wǎng)關(guān)的私有授權(quán)協(xié)議，解決了雖然無(wú)線終端接入認(rèn)證在AC上，但是出口網(wǎng)關(guān)仍然能夠有效對(duì)上網(wǎng)終端進(jìn)行上網(wǎng)策略控制的問(wèn)題。相較于普通的無(wú)線接入場(chǎng)景具有以下優(yōu)點(diǎn)。

1）解決了上網(wǎng)終端的權(quán)限策略控制問(wèn)題

相較于普通的無(wú)線接入場(chǎng)景，本方法可以細(xì)粒度的控制每一臺(tái)或一批上網(wǎng)終端所對(duì)應(yīng)的上網(wǎng)權(quán)限，包括但不限于控制終端可訪問(wèn)的網(wǎng)站、控制網(wǎng)絡(luò)帶寬等。

2）解決安全性問(wèn)題

普通無(wú)線接入場(chǎng)景僅能控制終端設(shè)備的上網(wǎng)權(quán)限，認(rèn)證成功則能夠上網(wǎng)，失敗則拒絕上網(wǎng)，對(duì)終端認(rèn)證成功之后的網(wǎng)絡(luò)行為沒(méi)有有效的安全控制，通過(guò)本發(fā)明，能夠制定終端上網(wǎng)策略，避免一些惡意的網(wǎng)絡(luò)攻擊。

3）充分利用用戶資源

在沒(méi)有增加任何設(shè)備的情況下，本方法只是擴(kuò)展了radius協(xié)議和添加私有授權(quán)協(xié)議，即完成了終端上網(wǎng)策略控制，未增加用戶的資金投入，充分地利用了用戶現(xiàn)有資源。

【通聯(lián)編輯：唐一東】

收稿日期：2019-08-15

作者簡(jiǎn)介：陳龍（1988-），男，四川成都人，學(xué)士，研究方向?yàn)閿?shù)字家庭業(yè)務(wù)、智能網(wǎng)關(guān)業(yè)務(wù)、網(wǎng)絡(luò)設(shè)備管理/認(rèn)證/集成。