一种无线准入环境下通用的扩展认证方法
技术领域
本发明涉及网络管理技术领域,特别涉及网络准入控制管理技术领域,具体是一种无线准入环境下通用的扩展认证方法。
背景技术
随着社会信息化程度不断提高,企业中移动办公终端的数量越来越多,对终端设备进行管理的要求也越来越高。为了有效地管理终端设备,部分企业在局域网中搭建了无线准入控制设备,通过无线准入控制设备来判断使用终端设备的人员身份是否合法。
现有技术中,终端设备的无线网卡连接AP设备发起无线准入认证请求时,需要传输用户信息,AP设备将无线准入认证数据包发送给AC设备,AC设备将无线准入认证数据包拼装成Radius协议数据包发送给身份认证服务器,身份认证服务器来判断用户信息是否合法,如果合法则允许无线网卡入网,如果非法则不允许无线网卡入网,以达到控制非法用户接入网络的目的。但这种技术有个明显的缺点,就是该技术可以识别用户信息是否合法,但无法识别接入网络的终端设备是否合法,如果在一台非法的终端设备上传输合法的用户信息,一样可以通过身份认证服务器的认证,这样该非法的终端设备就可以接入网络,无法做到严格的准入控制,同时也无法彻底保障网络的安全性。
发明内容
为了克服上述现有技术的不足,本发明提供了一种无线准入环境下通用的扩展认证方法。该方法通过网络安全控制客户端扩展无线准入认证协议中Identity的数据,网络安全控制服务端将接收到的Radius认证协议中的User-Name进行解析、还原,来识别终端设备的合法性,将合法数据包再转给认证服务器进行身份认证,以达到身份认证和终端设备认证双重认证的目的。
为了实现上述目的,本发明采用如下技术方案:
一种无线准入环境下通用的扩展认证方法,包括如下步骤:
a. 网络安全控制服务器获取并保存网络中终端设备的扩展信息:
所述终端设备的扩展信息包括但不限于自动生成的设备唯一标识;
所述终端设备的扩展信息用于与接收到的Radius协议数据包中的User-Name信息进行对比,判断Radius协议数据包是否包含终端设备的扩展信息;
b. 网络安全控制客户端采集终端设备的扩展信息:
安装对应终端软件的终端设备采集终端设备的扩展信息,保存到驱动模块;
未安装对应终端软件的终端设备,因其没有安装对应终端软件,不能采集到终端设备的扩展信息;
c. 终端设备发起无线准入认证请求:
在终端设备上操作无线网卡,连接AP设备,发起无线准入认证请求,传输用户信息数据包;
d. 网络安全控制服务器对解析出Radius协议中User-Name信息进行判断,是否包含终端设备的扩展信息:
如果所述User-Name信息包含所述终端设备的扩展信息,则判定Radius协议数据包为合法,执行步骤e;
如果所述User-Name信息未包含所述终端设备的扩展信息,则判定Radius协议数据包为不合法,执行步骤f;
e.网络安全控制服务器生成新的Radius协议数据包,继续进行身份认证:
去掉Radius协议中User-Name信息中包含的所述终端设备的扩展信息,并生成新的Radius协议数据包,将所述新的Radius协议数据包发送给身份认证服务器继续进行身份认证;
网络安全控制服务器接收身份认证服务器返回的Radius协议应答数据包,并将所述Radius协议应答数据包发送AC设备;
如果所述Radius协议应答数据包为认证通过数据包,则所述终端设备可入网;
如果所述Radius协议应答数据包为认证拒绝数据包,则所述终端设备不可入网;
f. 网络安全控制服务器给AC设备回应认证拒绝数据包:
网络安全控制服务器不再将Radius协议数据包发送给身份认证服务器进身份认证,直接给AC设备回应认证拒绝数据包,所述终端设备不可入网;
在所述步骤c中,终端设备发起无线准入认证请求:在终端设备上操作无线网卡,连接AP设备,发起无线准入认证请求,传输用户信息数据包,进一步包括以下步骤:
如果终端设备安装对应终端软件,则继续执行步骤c1;
如果终端设备没有安装对应终端软件,则跳转执行步骤c3;
c1. 网络安全控制客户端拦截无线准入认证请求,并解析数据包,继续执行步骤c2:
安装对应终端软件的终端设备,通过其驱动拦截无线准入认证请求的数据包,并解析出无线准入认证协议中Identity的数据,所述Identity的数据为用户信息;
c2. 网络安全控制客户端将所述终端设备的扩展信息与所述用户信息合并,生成新的数据包,并发送出去,继续执行步骤c3:
安装对应终端软件的终端设备的驱动将所述终端设备的扩展信息与所述用户信息进行合并,生成新的用户信息数据,并将所述新的用户信息拼装为新的Identity数据,生成新的准入认证请求数据包,将所述新的准入认证请求数据包发送出去;
c3. 网络安全控制服务器接收到无线准入认证请求,并解析数据包:
无线准入认证请求数据包通过AP设备发送给AC设备进行认证,AC设备根据所述无线准入认证数据包封装成Radius协议数据包发送给网络安全控制服务器;
网络安全控制服务器接收到所述Radius协议数据包,解析出Radius协议中User-Name信息。
本发明的有益效果是:通过对合法终端设备发起的无线准入认证协议中的Identity进行扩展,网络安全控制服务端通过对接收到的Radius认证协议中的User-Name进行解析、还原,使网络安全控制服务器可以准确、快速地识别终端设备的合法性,判断时间短,识别速度快。解决了在任何终端设备上都可以发起无线准入认证,身份认证服务器无法判断终端设备合法性的问题。
附图说明
图1为本发明的一种无线准入环境下通用的扩展认证方法的流程图;
图2为本发明步骤c终端设备发起无线准入认证请求流程图;
图3为本发明的实施例的应用环境示意图。
具体实施方式
下面将结合附图及实施例,对本发明做进一步详细描述。
本发明的一种无线准入环境下通用的扩展认证方法,实施例的应用环境如图3所示,包括身份认证服务器、网络安全控制服务器、交换机、AC设备、AP设备、终端计算机1、终端计算机2;所述身份认证服务器连接交换机的以太网端口J1,所述网络安全控制服务器连接交换机的以太网端口J2,所述AC设备连接交换机的以太网端口J3,所述AP设备连接该交换机的以太网端口J4,所述终端计算机1通过无线网卡W1连接AP设备,所述终端计算机2通过无线网卡W2连接AP设备;在AC设备上配置准入认证服务器IP地址为网络安全控制服务器的IP地址192.168.3.1,在网络安全控制服务器上配置身份认证服务器的IP地址192.168.3.2;因此,当终端计算机1的无线网卡W1或终端计算机2的无线网卡W2连接AP设备时,会发起无线准入认证请求,并向AP设备发送无线准入认证数据包,AP设备将无线准入认证数据包发送给AC设备,AC设备根据无线准入认证数据包封装成Radius协议数据包发送给网络安全控制服务器,网络安全控制服务器对Radius协议数据包进行分析、处理,对于合法数据包处理后发送给身份认证服务器进行认证身份。
本实施例具体采用如下设备:
交换机:Huawei Quidway S3900;
网络安全控制服务器:航天联志 2000R;
AC设备:思科AIR-CT5508-K9;
AP设备:思科AIR-CAP1602I-C-K9。
实施例
本实施例,其中终端计算机1安装有对应网络安全控制客户端,为合法终端计算机,终端计算机2未安装有对应网络安全控制客户端,为不合法终端计算机;
本发明的一种无线准入环境下通用的扩展认证方法,包含如下步骤:
步骤101:网络安全控制服务器获取并保存网络中终端设备的扩展信息:
网络安全控制服务器获取网络中终端计算机1的扩展信息为PC000000000001,并将所述终端计算机1的扩展信息PC000000000001保存在网络安全控制服务器中,用于与接收到的Radius协议数据包中的User-Name信息进行对比,判断Radius协议数据包是否包含PC000000000001;
步骤102:网络安全控制客户端采集终端设备的扩展信息:
安装对应终端软件的终端计算机1采集到终端设备的扩展信息PC000000000001,保存到驱动模块;
未安装对应终端软件的终端计算机2,因其没有安装对应终端软件,不能采集到终端设备的扩展信息;
步骤103:终端设备发起无线准入认证请求:
终端计算机1的无线网卡W1,连接AP设备,发起无线准入认证请求,传输用户信息userauth数据包,因终端计算机1安装对应终端软件,则执行步骤201;
终端计算机2的无线网卡W2,连接AP设备,发起无线准入认证请求,传输用户信息userauth数据包,因终端计算机2未安装对应终端软件,则执行步骤203;
步骤201:网络安全控制客户端拦截无线准入认证请求,并解析数据包,继续执行步骤202:
安装对应终端软件的终端计算机1,通过其驱动拦截无线准入认证请求的数据包,并解析出无线准入认证协议中Identity的数据userauth,userauth为解析出的用户信息;
步骤202:网络安全控制客户端将所述终端设备的扩展信息与所述用户信息合并,生成新的数据包,并发送出去,继续执行步骤203:
安装对应终端软件的终端计算机1的驱动将终端计算机1的扩展信息PC000000000001与解析出来的用户信息userauth进行合并,生成新的用户信息数据PC000000000001userauth,并将新的用户信息PC000000000001userauth拼装为新的Identity数据NewIdentity,生成新的准入认证请求数据包NewPacket,将新的准入认证请求数据包NewPacket发送出去;
步骤203:网络安全控制服务器接收到无线准入认证请求,并解析数据包:
终端计算机1的无线准入认证请求数据包,用户信息为PC000000000001userauth,通过AP设备发送给AC设备进行认证,AC设备根据无线准入认证数据包封装成Radius协议数据包发送给网络安全控制服务器;
网络安全控制服务器接收到Radius协议数据包,解析出Radius协议中User-Name信息PC000000000001userauth;
终端计算机2的无线准入认证请求数据包,用户信息为userauth,通过AP设备发送给AC设备进行认证,AC设备根据无线准入认证数据包封装成Radius协议数据包发送给网络安全控制服务器;
网络安全控制服务器接收到Radius协议数据包,解析出Radius协议中User-Name信息userauth;
步骤104:网络安全控制服务器对解析出Radius协议中User-Name信息进行判断,是否包含终端设备的扩展信息:
网络安全控制服务器对解析出Radius协议中User-Name信息PC000000000001userauth进行判断,该信息为终端计算机1的数据包,User-Name信息PC000000000001userauth包含终端计算机1的扩展信息PC000000000001,执行步骤105;
网络安全控制服务器对解析出Radius协议中User-Name信息userauth进行判断,该信息为终端计算机2的数据包,因终端计算机2为不合法终端计算机,User-Name信息userauth不包含网络中的设备的扩展信息,则执行步骤106;
步骤105:网络安全控制服务器生成新的Radius协议数据包,继续进行身份认证:
去掉Radius协议中User-Name信息PC000000000001userauth中包含的终端设备的扩展信息PC000000000001,去掉后为userauth,并生成新的Radius协议数据包NewRadius,将新的Radius协议数据包NewRadius发送给身份认证服务器继续进行身份认证;
网络安全控制服务器接收身份认证服务器返回的Radius协议应答数据包,并将所述Radius协议应答数据包发送至AC设备;
所述Radius协议应答数据包为认证通过数据包,终端计算机1可入网;
步骤106:网络安全控制服务器给AC设备回应认证拒绝数据包:
网络安全控制服务器不再将Radius协议数据包发送给身份认证服务器进身份认证,直接给AC设备回应认证拒绝数据包,终端计算机2不可入网。
通过上述网络安全控制客户端扩展无线准入认证协议中Identity的数据,网络安全控制服务器对于接收到的Radius认证协议中的User-Name进行解析、还原,来识别终端设备的合法性,从而有效地控制了网络中非法终端设备的访问,实现了通过对无线准入认证协议中Identity的数据进行扩展,控制终端设备的网络访问。