iMaster NCECampus V300R019C10 准入认证技术白皮书Word格式文档下载.docx
《iMaster NCECampus V300R019C10 准入认证技术白皮书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《iMaster NCECampus V300R019C10 准入认证技术白皮书Word格式文档下载.docx(22页珍藏版)》请在冰豆网上搜索。
4008302118
1简介
关键词:
准入认证、Portal认证、802.1x、MAC认证、本地用户管理、访客管理、终端识别
摘要:
本文介绍了云管理产品提供云端的用户认证和管理能力,主要从准入认证业务与功能、典型组网和应用场景三方面进行阐述。
2前言
2.1网络安全接入的诉求
2.2云管理准入认证的职责
随着企业信息化水平的提高,为了满足用户接入企业网络,通常会把网络铺设到办公区的每个角落。
公司内大量流动的办公人员和合作伙伴经常会带着笔记本电脑接入公司的局域网,这将给公司的信息安全带来很大的挑战。
外来的非法终端接入公司的网络,除了可能带来计算机病毒方面的安全威胁外,还可能通过接入公司的网络,非法获取公司的商业秘密。
另外,WLAN技术的成熟以及智能终端的普及,许多企业开始考虑允许员工自带智能设备使用企业内部应用。
企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率,降低企业在移动终端上的成本和投入。
WLAN在企业的应用,给企业带来很大的信息安全风险。
为了解决企业无线网络接入控制的问题,华为公司推出了云管理解决方案,通过与网络接入控制设备联动,控制企业内部和外部终端对网络的访问,实施统一的接入控制策略。
华为云管理解决方案针对不同租户的网络组网场景,提供了多种网络接入控制解决方案:
●针对无线访客接入网络场景,提供基于Portal的准入接入控制解决方案,设备与云跨广域、跨NAT场景,采用新的Portal协议(haca)流程,AP设备与云控制器采用TCP长连接通道,将Portal认证与授权流程统一化,简化Portalhaca接入流程。
私有云非NAT场景方案,控制器和设备之间非NAT场景,采用Portal2.0协议,具体流程参考下面的交互流程。
●针对园区安全接入网络场景,通过与园区控制器配套,实现802.1x安全准入控制解决方案,云控制器进行设备统一配置下发,园区控制器提供Radius服务器和用户管理。
华为云管理Portal、802.1x、MAC接入控制解决方案支持如下维度授权不同的访问策略:
●用户组维度:
基于不同用户所属组,给接入设备下发不同的访问策略。
●位置维度:
无线SSID作为终端的接入位置,能够根据终端所处不同的接入位置,区分给接入设备下发授权访问策略。
●时间维度:
能够区分不同的时间段(例如:
周末和工作日),给接入设备下发不同的访问策略。
●终端类型维度:
提供设备识别功能,能够区分不同的终端类型,给接入设备下发不同的授权规则;
能够把上述的各种维度组合起来进行接入认证授权,满足各种复杂接入认证授权业务。
华为云管理Portal的访客接入控制解决方案支持以下多种种访客接入方式:
●用户名密码认证:
终端通过输入自注册或管理员创建的用户和密码方式认证接入网络。
●匿名认证:
终端通过在推送的Portal页面点击一键认证方式接入网络。
●微信认证:
通过微信提供的微信链接和微信Portal一键认证。
●Facebook认证,Twitter认证,新浪微博认证,QQ认证:
提供三方用户对接的能力,使用社交媒体账号认证接入网络。
●短信认证:
支持手机号短信验证码认证方式接入网络。
3准入认证业务与功能
3.1Portal接入控制
3.2802.1x接入控制
3.3MAC接入控制
在传统的组网环境中,用户只要能接入局域网设备,就可以访问网络中的设备或资源,为加强网络资源的安全控制和运营管理,很多情况下需要对用户的访问进行控制。
例如,在一些公共场合、小区或公司的网络接入点,提供接入服务的供应商希望只允许付费的合法用户接入,所以供应商为每个用户提供一个接入网络的账号和密码。
另外,一些企业会提供一些内部关键资源给外部用户访问,并且希望经过有效认证的用户才可以访问这些资源。
现有的802.1x和PPPoE等访问控制方式,都需要客户端的配合,并且只能在接入层对用户的访问进行控制。
Portal认证技术则提供一种灵活的访问控制方式,不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处实施访问控制。
华为云管理解决方案提供基于Portal的接入认证方案。
华为云管理Portal接入认证,提供了基于设备与云跨广域、跨NAT场景和私有云非NAT场景方案。
基于设备与云跨广域、跨NAT场景:
采用新的Portal协议流程,AP设备与云控制器采用TCP长连接通道,将Portal认证与授权流程统一化,简化Portal接入流程。
无线Portal接入控制流程示意图
1.终端扫描
终端扫描环节,形象的讲就是我们打开WLAN,会列出一个无线网络列表,我们把一个无线网络列表的名称称为SSID。
2.链路认证
从最早的WLAN开始,就设计了认证功能。
在这个环节的认证,我们称为链路认证。
因为这时候WLAN链路还没有建立。
链路认证有两种方式:
−WEP:
WEP--WiredEquivalentPrivacy加密技术,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
WEP认证方式是一个很弱的方式,很早的时候就被破解,现在一般情况下是不会使用这种认证方式。
WEP认证方式,通常情况下只适合个人用户使用。
WEP认证方式,需要预先在设备和终端配置一个PSK(预共享密钥),一旦使用了PSK,那么该PSK就需要在企业范围内公告,PSK一旦在企业范围内公告,就失去了密钥的意义了。
−OPENSYSTEM:
开放系统认证就是不需要认证。
由于链路认证的缺陷,为了给WLAN提供足够强大的安全能力,WIFI联盟设计了802.11i,802.11i为了解决企业应用的场景和个人应用的场景,其并不在链路认证环节做认证,而是等到WIFI二层链路已经建立,才执行802.11i的认证。
3.终端连接
连接的目的是终端跟AP建立链路关系,建立终端连接后,就可以跟AP设备发送后续的报文。
4.申请IP地址
终端与AP建立链路后,触发DHCP请求从DHCP服务器获取IP地址。
5.Portal认证
终端访问网络发起Http请求,AP设备拦截请求报文并返回Http重定向响应。
终端访问返回的重定向Portal认证页面进行认证,云认证服务器在身份校验通过之后,向AP设备下发Portal授权请求,AP设备回应授权响应,通过云服务器认证授权成功,并通过用户上线成功。
6.数据转发
终端认证成功后,即可以进行数据转发业务。
私有云非NAT(portalserver和设备之间)场景下的Portal2.0认证:
认证过程涉及到了认证客户端(Portalclient),Portal服务器(Portalserver),BAS和Radius服务器四个基本要素。
如图所示:
Portal系统组成示意图
−Portalclient:
Portal组网中发起认证请求的客户端系统,为运行HTTP协议的浏览器;
−Portalserver:
Portal组网中接受客户端认证请求的服务端系统,提供免费门户服务和基于WEB认证的界面,与BAS设备交互认证客户端的身份信息;
−BAS:
宽带接入服务器,用于向Portalserver重定向HTTP认证请求,并且与Portalserver、Radius服务器交互完成用户的认证/授权/计费功能;
−Radius服务器:
认证/授权/计费服务器,与BAS进行交互,对用户进行认证/授权/计费。
Portal协议包括Portal接入和Portal认证两部分,协议框架如图:
Portal协议框架
Portal接入协议描述了Portalclient和Portalserver之间的协议交互,主要内容包括:
(1)Portalclient通过HTTP协议向Portalserver提交认证信息;
(2)Portalserver通过HTTP协议向Portalclient推出认证成功或者认证失败页面;
(3)Portalserver与Portalclient之间通过握手检测用户是否在线。
Portal认证协议描述了Portalserver和BAS之间的协议交互,Portal认证协议采用了非严格意义上的Client/Server结构,大部分消息采用Request/Response进行交互。
下面以无线Portal接入控制为例,描述Portal接入控制的流程:
一旦某个网络选择使用PORTAL认证,该网络通常也是会选择使用OPENSYSTEM认证方式。
关联上无线网络后,在不需要额外认证的情况下,终端就可以执行DHCP环节,获取IP地址。
从流程图上可以看到,与802.1X认证相比,Portal认证流程中,终端和AC/AP之间是没有四次握手的密钥协商过程的。
也就是说,Portal认证的时候,一般来说,无线链路部分是不加密的。
因此,无线Portal认证,为了保护通信的内容,需要在上次进行业务加密,保护终端与业务系统的通信。
在WEB认证环节,如果终端当前在AP/AC上尚未通过认证,当终端使用浏览器访问网络的时候,AC/AP设备会对该流量进行重定向,重定向到Portal组件的认证页面上。
当终端用户在Portal组件上输入用户名/口令,进行身份认证的时候,Portal组件会向AC设备发送Portal协议认证请求报文,向AC设备发送用户名/口令相关信息。
AC设备收到Portal认证请求后,构造Radius认证报文,把认证请求转发给iMasterNCE-Campus的Radius组件,有Radius组件负责进行身份验证和授权。
AC/AP设备收到认证授权结果后,通过Portal协议报文,通知Portal组件,再由Portal组件通知终端用户认证成功。
3.1.1页面定制
Portal页面支持基于主题定制,为企业提供个性化的展示界面,提高企业品牌形象。
页面定制的三大亮点:
●预置四套不同接入场景的默认Portal页面,满足客户即装即用需求。
●页面可以基于主题定制,简单易用,满足客户的低门槛定制需求。
●支持自定义上传页面功能,对于自身具备页面开发能力的企业,可通过下载样例并修改后上传更具企业自身特色的高级定制页面(如flash等)。
针对Portal接入认证的整个流程,支持全流程的页面定制,包括用户须知页面、认证页面、认证成功页面、注册页面、注册成功页面和修改密码页面等。
3.1.2页面推送
Portal接入业务的页面推送功能能够为不同用户定制不同的认证和注册页面后,配置Portal页面推送规则策略,确保不同用户能够访问对应的认证和注册页面。
页面推送支持的推送条件维度如下:
●时间维度。
●终端IP地址范围。
●设备维度(不同设备或无线的SSID)。
●自定义参数(如SSID、APMAC等):
终端访问网络时,接入设备强制推送配置的推送地址,并携带配置的URL后缀参数信息,根据携带的URL参数信息完成自定义参数配置推送相应的页面。
此外,针对推送的页面,可以支持认证通过后跳转的认证前访问的页面信息。
3.1.3本地用户管理
本地用户管理用于租户为外来访客准备的账号,用于验证来访客人的身份是否合法。
来访客人通常包括合作人员、客户等。
访客账号通常为临时性账号,同时授予较低网络访问权限。
本地用户管理功能提供了访客用户注册、分发、注销全生命周期管理。
用户管理的流程:
●用户创建
基于不同的用户类型需求,支持管理员创建和用户自注册创建两种方式。
●用户分发
访客自注册用户,填写注册信息注册成功后,即可获得注册用户信息,管理员创建用户后可以通过打印用户信息进行分发。
●用户认证
获知用户名和密码后,访客即能认证并接入网络。
−账号审计和管理
访客账号申请后,管理员可以审计访客审批记录;
访客接入后,管理员可以审计访客的上下线记录,配置账号有效期。
访客账号策略是访客账号创建的关键,主要包括以下几大配置项:
账号创建方式:
管理员单个创建、批量创建和访客自注册。
访客审批方式:
免审批、访客管理员审批、租户管理员审批、接待人审批(邮箱激活)。
访客通知方式:
短信通知、邮件通知和WEB页面通知。
账号生成策略:
手机、邮箱、账号。
此外,还包括账号有效期、生效时间、访客账号所属角色和用户组、密码策略和密码类型等配置项,创建满足不同场景需求下的访客账号。
3.1.4访客管理
访客账号管理
访客账号管理用于租户为外来访客准备的账号策略,访客管理。
访客账号通常为临时性账号,可以支持自注册和手机号短信等,同时授予较低网络访问权限。
提供了整个访客账号审批、通知、删除创建等管理手段。
访客管理的流程:
步骤1访客策略创建
页面定制支持绑定不同的访客账号策略进行访客账号的注册创建。
步骤2待审批访客
访客自注册用户,填写注册信息注册成功后,如果策略制定需要管理员审批,会在审批列表中生成对应的记录,审批后可以拿到对应账号信息。
步骤3用户认证
访客获取到用户名和密码后,即能认证并接入网络。
----结束
3.1.5访客社交媒体接入控制
华为访客管理的访客第三方应用主要用于与Google、FaceBook、Twitter和微信等社交账号平台对接完成接入,即访客可以使用Google等公共账号接入网络。
公共平台(Google、Facebook、Twitter)提供的开放的账号授权API均采用OAuth协议供第三方网站等应用进行关联认证,其中Google与Facebook基于OAuth2.0协议,并且认证流程基本上保持一致,而Twitter是基于OAuth1.0协议,与Google、Facebook的认证流程略有区别。
OAuth全称OpenAuthorization开放授权(OAuthisanopenstandardforauthorization),是一个安全相关的协议,它为桌面程序或者基于B/S的web应用提供了一种简单的,标准的方式去访问需要用户授权的API服务。
即允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息,而这种授权无需将用户提供的用户名和密码提供给该第三方网站。
OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。
(iMasterNCE-Campus)第三方应用登录流程如下:
1.在认证页面定制界面上,提供社交网站的跳转链接,点击可以弹出或跳转到各大社交网站的登录界面。
2.认证授权经过Portal服务器与社交媒体网站之间的交互采用OAuth认证流程,确保了整个认证的安全性。
3.公共账号平台授权成功后,利用该平台获取用户信息,到(iMasterNCE-Campus)服务器继续进行认证授权。
IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入交换机,就可以访问局域网中的资源,存在安全隐患。
IEEE802.1X是一种基于端口的网络接入控制技术,在交换机端口上对接入设备进行认证和控制。
连接在该端口上的用户设备如果能通过认证,就可以访问局域网内的资源;
如果不能通过认证,则无法访问局域网内的资源,相当于物理上断开连接。
IEEE802.1X的体系结构中包括三个部分:
请求者系统,用户接入设备;
认证系统,接入控制单元;
认证服务器系统。
802.1X体系结构如图3-1所示:
图3-1802.1X体系结构示意图
请求者系统通常来说就是做802.1X认证的终端,请求者PAE就是终端上安装的802.1X认证客户端程序。
认证系统,通常是就是802.1X交换机,或者无线的AP/AC。
认证服务器系统,通常指的是Radius服务器。
华为云管理解决方案中,认证服务器可以配套园区iMasterNCE-Campus服务器或第三方Radius服务器。
以无线802.1X接入控制为例一个终端从打开WLAN开始,到获取IP地址,涉及多个业务环节,如图3-2所示:
图3-2无线802.1X接入控制
7.终端扫描
8.链路认证
链路认证有两种方式:
由于链路认证的缺陷,为了给WLAN提供足够强大的安全能力,WIFI联盟设计了802.11i,802.11i为了解决企业应用的场景和个人应用的场景,其并不在链路认证环节,做认证,而是等到WIFI二层链路已经建立,才执行802.11i的认证。
9.终端连接
连接的目的是终端跟AP建立链路关系,建立终端连接后,就可以跟AP设备发送后续的EAP报文。
10.802.1X认证
在无线环节中,802.1X的认证流程,与有线802.1X的类似,都是由网络设备发送Eap-Request/Identity消息,发起认证流程。
由于无线环境的特形式,为了保证无线环境下802.1X认证的安全性,WIFI联盟推荐了如下几种认证协议:
−EAP-TLS:
主要用于证书认证。
−EAP-PEAP:
主要用于口令认证,EAP-PEAP是一个嵌套协议,首先使用EAP-TLS协议建立一个通信隧道,然后再在TLS隧道内传输其他的EAP协议。
−EAP-TTLS:
主要用于口令认证,EAP-TTLS是一个嵌套协议,首先使用EAP-TLS协议建立一个通信隧道,然后再在TLS隧道内传输其他的EAP协议。
11.密钥协商
在802.1X认证成功后,iMasterNCE-Campus服务器会在Radius-Accept报文中,给接入设备AP下发用于链路层密钥协商的MPPE-KEY。
AP拿到该MPPE-KEY进行链路密钥协商。
这个过程通常称为四次握手。
12.获取IP地址和数据转发
在密钥协商成功后,终端开始使用DHCP获取IP地址,并且做后续的数据转发业务。
打印机、IP话机等哑终端设备,由于自身能力的限制,无法使用Portal接入控制或者802.1x接入控制,针对这些设备,可以使用MAC接入控制。
MAC接入控制是一种基于接口和MAC地址对用户的网络权限进行控制的接入控制方法,它不需户安装任何客户端软件,也不需要在认证的时候验证用户名密码等认证凭据。
设备在启动了MAC认证的接口上首次检测到终端的MAC地址以后,即启动对该用户的认证操作。
华为云管理支持基于RadiusPAP方式的MAC接入控制,业务流程如图所示:
13.终端接入
终端接入网络,接入设备检测到终端的MAC地址,进行MAC地址学习,触发MAC认证。
14.MAC认证
接入设备采用RadiusPAP方式向认证服务器发起认证请求,认证请求中以MAC地址作为用户名和密码;
认证服务器根据根据自身的MAC数据源对终端的MAC进行验证,如果验证通过,则向设备发送认证接受报文,表示MAC认证成功,允许该终端访问网络。
3.3.1MAC帐号管理
MAC帐号用于表示哑终端设备或者其他特殊类型的终端设备,华为云管理在作为认证服务器的时候,收到MAC认证请求时,会根据MAC帐号管理中的MAC信息,对请求中的MAC地址进行校验。
MAC帐号管理提供了对MAC的创建、删除的功能。
3.3.2终端列表管理
华为提供了基于终端识别功能进行终端识别管理的功能,对应识别的终端配置对应的授权控制策略,也支持管理员配置对应的mac终端组进行MAC数据的管理。
MAC认证过程中可以将上述终端mac地址作为数据源进行MAC账号的校验,进行对应的准入权限控制。
4典型组网应用
4.1Portal接入控制
4.2通过第三方Radius服务器进行802.1x接入控制
4.3通过华为云管理进行802.1x/MAC接入控制
图4-1云场景Portal接入控制组网图
Portal接入控制组网示意图如上所示,接入云盒设备AP作为网关,注册到控制器后,控制器配置设备WIFI接入SSID基本信息后,启用Portal+MAC无感知认证功能,通过Netconf南向下发配置给云盒AP,终端连接WIFI后访问网络,进行Portal认证。
图2有线Portal2.0接入控制组网图
在接入终端的网关位置,启用Portal认证功能,终端可以使用WEB认证的方式,终端连接WIFI后访问网络,进行Portal认证,接入网络。
图4-1通过第三方Radius服务器进行802.1x接入控制组网图
示意图如上所示,接入云盒设备AP作为接入层设备,注册到控制器后,控制器配置设备WIFI接入SSID基本信息后,启用802.1x认证,并配置第三方Radius服务器对接参数,通过Netconf南向下发配置给云盒AP。
终端接入网络时,设备直接与第三方Radius服务器对接认证。
组网示意图如上所示,云盒交换机或者云盒AP作为接入设备,注册到控制器后,由控制器下发配置,启用802.1x认证或MAC认证,并且配置授权策略下发给认证设备;
控制器自身作为Radius服务器,跟云盒设备进行对接。
终端接入网络时,接入设备和云管理配合完成用户的认证流程。
5典型场景流程
5.1访客通过自注册用户接入网络流程
5.2
升级会员 