(云南电网有限责任公司昆明供电局 云南昆明 650000)
摘要:随着企业无线局域网的发展,需要为无线用户提供更快速、安全的身份认证,对无线用户的上网行为进行审计,同时对用户权限进行管理。基于这些需求,本文设计了一个企业无线局域网身份认证方案,实现企业用户基于802.1x+AD域+手机令牌(双因子)动态密码方式,访客采用短信动态密码、协助扫码的方式进行Portal统一认证的高效身份认证方案,在成功认证的同时实现多分支多品牌的无线统一管理、无线用户上网行为审计和权限管理,该方案使企业无线局域网的整体安全性、用户体验得到极大的提高 。
关键词:无线局域网;身份认证;动态密码;Portal;
近年来,随着企业无线办公网络的发展,如今的企业内部无线网络比以往任何时候都更加动态化,企业网络中用户、设备和访问方式的数量都在不断增加。随着访问量的增加和设备的激增,出现安全漏洞和新的运营挑战的可能性也在增加。因此,维护无线网络的安全性和运营效率需要新的解决方案,这些方案应能够有效地执行访问策略、审核网络使用情况、监控访问的合规性并全面了解整个网络中的活动状况。
本文提出了一种基于动态密码和Portal的企业无线局域网身份认证方案。与基于固定共享密钥认证方案相比,基于动态密码和Portal的认证方案更为灵活、可靠;与基于证书的PKI认证相比,基于动态密码和Portal的认证方案则大大地简化了密钥管理和认证过程。因此,基于动态密码和Portal的无线局域网认证方案特别适合于企业无线局域网这种用户数量多、人员身份和权限复杂、对安全和易用性受到限制的环境。本文的目标是设计一个安全易用的身份认证方案,同时实现多分支多品牌无线统一管理、用户上网行为审计和权限的管理。
1.无线局域网身份认证技术发展前景分析
目前大部分企业的无线办公网络通过无线接入点设备将无线终端接入网络,采用传统的“SSID+固定密码”的方式进行上网,固定密码方式在灵活性、安全性、多SSID接入控制、多用户权限控制等方面存在着大量问题。为了加强企业无线局域网的安全管理,开始出现使用portal认证方式取代传统固定密码方式,这不仅使终端用户体验效果更佳,并减轻IT人员的劳力,人力及时间。企业员工采用802.1x+AD域+动态密码方式,访客采用协助扫码的方式进行portal统一认证接入企业网络,大大提升企业安全性和终端用户体验便捷性。为了增强企业网络的安全性及可控性,可针对企业员工、访客接入无线网络执行严格的准入控制策略,实现对网络安全更精细粒度的控制。
2.基于身份的无线局域网认证系统的优势
1)在原有的企业无线网络条件下,不新增任何无线网络设备,无缝实现身份认证管理;
2)可实现企业员工身份认证安全,核心业务系统通过无线进行交付,以及员工通过BYOD;AD域账号认证登录,增加动态密码认证,提升账号安全;将无线能够安全开放给BYOD设备;
3)企业内部员工实现802.1x+AD+手机令牌双因子认证;企业合作伙伴人员实现审批流程认证;访客实现协助扫码认证;
4)对接专业的上网行为管理设备,实现上网实名审计,满足公安部82号令,同时可管理用户信息如手机号,在线时间,流量等信息。
3.无线局域网安全身份认证系统的设计
3.1无线局域网安全身份认证系统的架构设计
无线局域网用户身份认证平台包括内置的无线认证服器及双因素令牌认证服务器,并对接行为管理设备,实现访客、员工安全连接无线,通过实现上网行为实名审计可追溯。拓扑架构如图1所示:
图2 企业员工无线认证流程
3.2企业合作伙伴的无线安全认证设计
企业合作伙伴的访客通过Portal进入申请信息提交界面,输入业务管理员(内部员工)的邮箱及本人的公司信息、联系电话、来访事由等内容,然后点击提交;业务管理员(内部员工)会收到认证系统的审批邮件,点击审批邮件的审批链接,进入审批界面,可对该外包用户进行设置账号有效时间、填写审批意见、是否通过审批等操作;如审批通过,认证系统将生成随机秘钥以短信方式发给外包用户,外包用户以申请时填写的手机号作为用户名接入无线;如审批未通过,认证系统会将未通过信息发至申请人手机;合作伙伴的访客无线安全认证流程如图3所示:
图3 合作伙伴访客无线认证流程
3.3普通访客的无线安全认证设计
访客通过Portal页面选择协助扫码认证,系统生成认证二维码,接待人员(内部员工)采用移动终端(前提已连入WIFI网络)任意二维码扫描工具扫描访客终端Web中的二维码,系统会在接待人员的终端页面提示输入授权信息(AD账户/密码),接待人员输入授权信息并点击授权,如授权信息正确,访客终端会提示已被授权,然后接入网络;如授权信息不正确或无接待人员操作,则访客终端无任何系统响应;提示授权时效时间;在协助数码认证模式下不显示其他认证登录方式;使用哪种认证方式只显示认证登录界面。普通访客无线安全认证流程如图4所示:
图4 普通访客无线认证流程
3.4无线上网行为实名审计可追溯
在身份认证系统管理平台上能够清晰了解无线用户信息。无线用户、身份认证系统平台通过企业局域网与上网行为管理设备进行连接,上网行为管理设备对无线用户的实时数据进行实时分析和审计,实现上网行为实名审计。
3.5实现多分支、多品牌无线的统一管理
通过选择基于动态密码的第三方身份管理平台,实现对多分支、多品牌无线对接兼容,在保护原有无线投资同时对未来选择提供更强的灵活自主性。
3.6个性化访客Portal,提升形象及体验
实现BYOD设备、笔记本等设备的自适应的Portal页面,一方面可以提升用户的无线体验,同时提升企业形象。
3.7基于用户角色的权限控制管理
在认证服务器上可以针对不同用户进行不同角色的设定,从而实现不同用户帐号访问不同网络资源,与基于网络方式的权限不同,此种方式更加切合企业业务发展需求。
4 结束语
近年来,随着企业无线局域网应用领域的不断拓展和无线认证方式的不断变化,无线用户的身份认证、行为管理、权限管理等问题一直制约着企业无线局域网安全性、易用性和用户体验的提升。为了解决这一问题,本文提出了基于动态密码和Portal的无线局域网认证方案。方案实现了企业无线用户的“802.1x+AD+手机令牌动态密码(双因子)”和访客的基于Portal的短信动态密码、协助扫码方式进行认证,同时便于无线用户上网行为审计、多分支多品牌无线统一管理、无线用户权限管理等,进一步提升了企业无线局域网的安全性、易用性和用户无线体验。
参考文献
[1]石兴方,孟毅,顾若忠等.802.11无线局域网的认证机制研究[J].计算机工程,2003,29(9):131-133.
[2]冯茜,王玉东,张效义.无线局域网802.IX认证机制安全分析及改进[J].无线电工程,2005,35(02).
[3]吴大富.无线局域~(WLAN)技术fJ1.甘肃科技,2006,22(03).
[4]李晓玉.无线局域网中的认证技术[J].信息安全与通信保密,2005,(01):69-71.
论文作者:张倩
论文发表刊物:《电力设备》2016年第22期
论文发表时间:2017/1/19
标签:访客论文; 无线局域网论文; 企业论文; 用户论文; 密码论文; 身份认证论文; 方式论文; 《电力设备》2016年第22期论文;