網(wǎng)絡(luò)接入控制方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)接入控制方法及一種無線訪問接入點和無線接入控制器����。
【背景技術(shù)】
[0002]隨著移動終端技術(shù)的發(fā)展、制造工藝的提高以及銷售價格的下降���,最近幾年移動終端獲得了快速普及�。目前����,移動終端在銷量上已經(jīng)超過了個人計算機(jī)�����。攜帶自帶設(shè)備辦公(Bring your own device,簡稱BY0D)已經(jīng)隨之成為了一種被普遍接受的工作方式��。出于降低固定資產(chǎn)投入和提高辦公效率方面的考慮���,越來越多的企業(yè)鼓勵員工攜帶私人的移動終端接入企業(yè)網(wǎng)絡(luò)進(jìn)行日常辦公。
[0003]然而��,由于接入企業(yè)無線網(wǎng)絡(luò)的移動終端的類型�、歸屬和接入位置的不確定性,也給企業(yè)信息安全管理提出了挑戰(zhàn):如何在移動終端接入企業(yè)無線網(wǎng)絡(luò)時進(jìn)行有效的接入控制���,從而確保企業(yè)網(wǎng)絡(luò)中的資源不被非法用戶使用��。
[0004]處于安全性方面的考慮,通常推薦采用較高安全等級的接入認(rèn)證方式�,例如電氣和電子工程師協(xié)會(Institute of Electrical and Electronics Engineers,簡稱 IEEE)802.1X 可擴(kuò)展認(rèn)證協(xié)議-傳輸層安全(Extensible Authenticat1n Protocol-TransportLayer Security,簡稱EAP-TLS)證書認(rèn)證,對接入企業(yè)無線網(wǎng)絡(luò)的移動終端進(jìn)行接入控制。然而這種方式在實際應(yīng)用中有一些不便之處:用戶的移動終端需要預(yù)先獲取數(shù)字證書����,而且對于不同品牌型號的移動終端,在配置802.1X認(rèn)證接入?yún)?shù)時有所不同,有的會較為復(fù)雜����。如何實現(xiàn)自動化地將數(shù)字證書分發(fā)給移動終端,以及幫助移動終端的用戶配置認(rèn)證接入?yún)?shù)��,成為一個需要解決的問題���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實施例提供一種網(wǎng)絡(luò)接入控制方法�����,用以降低現(xiàn)有移動終端安全接入網(wǎng)絡(luò)時的接入控制難度�。
[0006]對應(yīng)地��,本發(fā)明實施例還提供了一種無線接入點和無線控制器�。
[0007]本發(fā)明實施例提供的技術(shù)方案如下:
[0008]第一方面,提供了網(wǎng)絡(luò)接入控制方法�����,其特征在于����,包括:
[0009]網(wǎng)絡(luò)接入設(shè)備接收移動終端發(fā)送的接入請求消息�����,所述接入請求消息用于請求接入企業(yè)的無線網(wǎng)絡(luò)�,所述接入請求消息攜帶所述移動終端的標(biāo)識�,所述移動終端的標(biāo)識用于在所述企業(yè)的無線網(wǎng)絡(luò)的范圍內(nèi)唯一地標(biāo)識所述移動終端;
[0010]所述網(wǎng)絡(luò)接入設(shè)備判斷所述移動終端的標(biāo)識對應(yīng)的注冊狀態(tài)���,所述注冊狀態(tài)用于標(biāo)識所述移動終端是否已在企業(yè)的無線網(wǎng)絡(luò)中注冊�;
[0011]若所述網(wǎng)絡(luò)接入設(shè)備判斷所述移動終端的標(biāo)識對應(yīng)的注冊狀態(tài)為未注冊�,所述網(wǎng)絡(luò)接入設(shè)備為所述移動終端分配IP地址后,將所述IP地址對應(yīng)的訪問控制策略設(shè)置為第一權(quán)限策略����,所述第一權(quán)限策略允許所述IP地址訪問認(rèn)證網(wǎng)頁;
[0012]所述網(wǎng)絡(luò)接入設(shè)備接收所述移動終端使用所述IP地址發(fā)送的網(wǎng)頁訪問請求消息�����,所述網(wǎng)絡(luò)接入設(shè)備根據(jù)所述IP地址對應(yīng)的所述第一權(quán)限策略將所述網(wǎng)頁訪問請求消息重定向到所述認(rèn)證網(wǎng)頁�,如果所述網(wǎng)絡(luò)接入設(shè)備確定所述移動終端通過所述認(rèn)證網(wǎng)頁認(rèn)證成功,重定向到注冊網(wǎng)頁����;
[0013]如果所述網(wǎng)絡(luò)接入設(shè)備確定所述移動終端通過所述注冊網(wǎng)頁完成在所述企業(yè)的無線網(wǎng)絡(luò)中的注冊,所述網(wǎng)絡(luò)接入設(shè)備向所述移動終端發(fā)送配置文件和數(shù)字證書����,所述配置文件和數(shù)字證書用于所述移動終端通過可擴(kuò)展認(rèn)證協(xié)議EAP-傳輸層安全TLS認(rèn)證方式接入所述企業(yè)的無線網(wǎng)絡(luò)。
[0014]在第一方面的第一種可能的實現(xiàn)方式中�,所述認(rèn)證網(wǎng)頁是所述企業(yè)的無線網(wǎng)絡(luò)中的門戶Portal服務(wù)器提供的,所述Portal服務(wù)器將所述移動終端在所述認(rèn)證網(wǎng)頁中輸入的輕型目錄訪問協(xié)議LDAP域賬號認(rèn)證信息發(fā)送到撥號用戶遠(yuǎn)程認(rèn)證服務(wù)RADIUS服務(wù)器中進(jìn)行網(wǎng)頁認(rèn)證����;
[0015]所述如果所述網(wǎng)絡(luò)接入設(shè)備確定所述移動終端通過所述認(rèn)證網(wǎng)頁認(rèn)證成功,重定向到注冊網(wǎng)頁����,包括:
[0016]所述網(wǎng)絡(luò)接入設(shè)備接收到所述RADIUS服務(wù)器返回的網(wǎng)頁認(rèn)證結(jié)果;
[0017]如果所述網(wǎng)頁認(rèn)證結(jié)果指示所述移動終端通過網(wǎng)頁認(rèn)證����,則所述網(wǎng)絡(luò)接入設(shè)備將所述IP地址對應(yīng)的訪問控制策略設(shè)置為第二權(quán)限策略,所述第二權(quán)限策略允許所述IP地址訪問所述注冊網(wǎng)頁���;
[0018]所述網(wǎng)絡(luò)接入設(shè)備根據(jù)所述IP地址對應(yīng)的所述第二權(quán)限策略�,將所述網(wǎng)頁訪問請求消息重定向到所述注冊網(wǎng)頁����。
[0019]在第一方面�����、或第一方面的第一種可能的實現(xiàn)方式中���,還提供了第一方面的第二種可能的實現(xiàn)方式,還包括:若所述網(wǎng)絡(luò)接入設(shè)備判斷所述移動終端的標(biāo)識對應(yīng)的注冊狀態(tài)為已注冊��,所述網(wǎng)絡(luò)接入設(shè)備向所述移動終端發(fā)送響應(yīng)消息�,所述響應(yīng)消息中攜帶的認(rèn)證算法字段設(shè)置為EAP-TLS認(rèn)證指示符,用以指示所述移動終端按照EAP-TLS認(rèn)證方式接入所述企業(yè)的無線網(wǎng)絡(luò)�;
[0020]當(dāng)所述網(wǎng)絡(luò)接入設(shè)備確定所述移動終端與所述RADIUS服務(wù)器之間進(jìn)行的EAP-TLS認(rèn)證成功時,為所述移動終端開通受控端口���,所述受控端口用于傳輸所述移動終端的業(yè)務(wù)數(shù)據(jù)�����。
[0021]在第一方面的第一種����、或第二種可能的實現(xiàn)方式中����,還提供了第一方面的第三種可能的實現(xiàn)方式�,所述網(wǎng)絡(luò)接入設(shè)備判斷所述移動終端的標(biāo)識對應(yīng)的注冊狀態(tài)��,包括:
[0022]所述網(wǎng)絡(luò)接入設(shè)備從所述接入請求消息中獲取所述移動終端的標(biāo)識�;
[0023]根據(jù)所述移動終端的標(biāo)識向所述企業(yè)的無線網(wǎng)絡(luò)中的管理服務(wù)器查詢所述移動終端的注冊狀態(tài)�����;
[0024]接收所述管理服務(wù)器返回的所述移動終端在所述網(wǎng)絡(luò)中的注冊狀態(tài)���。
[0025]在第一方面的第三種可能的實現(xiàn)方式中�,還提供了第一方面的第四種可能的實現(xiàn)方式��,所述注冊網(wǎng)頁是所述管理服務(wù)器提供的����,
[0026]所述如果所述網(wǎng)絡(luò)接入設(shè)備確定所述移動終端通過所述注冊網(wǎng)頁完成在所述企業(yè)的無線網(wǎng)絡(luò)中的注冊,所述網(wǎng)絡(luò)接入設(shè)備向所述移動終端發(fā)送配置文件和數(shù)字證書�����,包括:
[0027]所述網(wǎng)絡(luò)接入設(shè)備接收所述管理服務(wù)器發(fā)送的所述配置文件和所述數(shù)字證書����,所述配置文件和所述數(shù)字證書是所述管理服務(wù)器在所述移動終端通過所述注冊網(wǎng)頁完成在所述企業(yè)的無線網(wǎng)絡(luò)中的注冊之后發(fā)送的�����;所述管理服務(wù)器發(fā)送所述配置文件和數(shù)字證書之后�,所述移動終端在所述管理服務(wù)器中的注冊狀態(tài)被更新為已注冊�;
[0028]所述網(wǎng)絡(luò)接入設(shè)備將所述配置文件和所述數(shù)字證書發(fā)送給所述移動終端。
[0029]在第一方面的第四種可能的實現(xiàn)方式中����,還提供了第一方面的第五種可能的實現(xiàn)方式,所述網(wǎng)絡(luò)接入設(shè)備向所述移動終端發(fā)送配置文件和數(shù)字證書之后�,還包括:
[0030]所述網(wǎng)絡(luò)接入設(shè)備接收所述RADIUS服務(wù)器發(fā)送的動態(tài)授權(quán)CoA消息,并在接收到所述CoA消息后指示所述移動終端重新發(fā)送所述接入請求消息��;所述CoA消息是所述移動終端在所述管理服務(wù)器中的注冊狀態(tài)被更新為已注冊后發(fā)送的���。
[0031]在第一方面的第五種可能的實現(xiàn)方式中�����,還提供了第一方面的第六種可能的實現(xiàn)方式�����,所述網(wǎng)絡(luò)接入設(shè)備接收到所述CoA消息后����,所述方法還包括:所述網(wǎng)絡(luò)接入設(shè)備回收所述IP地址。
[0032]第二方面���,還提供了一種無線訪問接入點AP,其特征在于���,包括:
[0033]接收單元����,用于接收移動終端發(fā)送的接入請求消息�����,所述接入請求消息用于請求接入企業(yè)的無線網(wǎng)絡(luò)�����,所述接入請求消息攜帶所述移動終端的標(biāo)識�,所述移動終端的標(biāo)識用于在所述企業(yè)的無線網(wǎng)絡(luò)的范圍內(nèi)唯一地標(biāo)識所述移動終端;
[0034]判斷單元�����,用于判斷所述接收單元接收的接入請求消息中移動終端的標(biāo)識對應(yīng)的注冊狀態(tài),所述注冊狀態(tài)用以標(biāo)識所述移動終端是否已在企業(yè)的無線網(wǎng)絡(luò)中注冊��;
[0035]資源分配請求單元���,用于若所述判斷單元判斷出所述移動終端的標(biāo)識對應(yīng)的注冊狀態(tài)為未注冊����,請求控制所述無線AP的無線訪問控制器AC為所述移動終端分配IP地址��;
[0036]策略設(shè)置單元�����,用于將所述IP地址對應(yīng)的訪問控制策略設(shè)置為第一權(quán)限策略����,所述第一權(quán)限策略允許所述IP地址訪問認(rèn)證網(wǎng)頁;
[0037]所述接收單元���,還用于接收所述移動終端使用所述IP地址發(fā)送的網(wǎng)頁訪問請求消息�;
[0038]重定向請求單元�����,用于根據(jù)策略設(shè)置單元設(shè)置的所述第一權(quán)限策略,向所述AC發(fā)送第一轉(zhuǎn)發(fā)請求�����,用于請求將所述網(wǎng)頁訪問請求消息重定向到認(rèn)證網(wǎng)頁�;以及如果確定所述移動終端通過所述認(rèn)證網(wǎng)頁認(rèn)證成功,向所述AC發(fā)送第二轉(zhuǎn)發(fā)請求�����,用于請求將所述網(wǎng)頁訪問請求消息重定向到注冊網(wǎng)頁��;
[0039]所述接收單元���,還用于接收來自所述無線AC的配置文件和數(shù)字證書;
[0040]所述發(fā)送單元�����,還用于向所述移動終端轉(zhuǎn)發(fā)所述配置文件和所述數(shù)字證書���,所述配置文件和所述數(shù)字證書用于所述移動終端通過可擴(kuò)展認(rèn)證協(xié)議EAP-傳輸層安全TLS認(rèn)證方式接入所述企業(yè)的無線網(wǎng)絡(luò)�。
[0041]在第二方面的第一種可能的實現(xiàn)方式中,所述接收單元�,還用于接收來自撥號用戶遠(yuǎn)程認(rèn)證服務(wù)RADIUS服務(wù)器的網(wǎng)頁認(rèn)證結(jié)果,所述認(rèn)證網(wǎng)頁是所述企業(yè)的無線網(wǎng)絡(luò)中的門戶Portal服務(wù)器提供的����,所述Portal服務(wù)器將所述移動終端在所述認(rèn)證網(wǎng)頁中輸入的輕型目錄訪問協(xié)議LDAP域賬號認(rèn)證信息發(fā)送到所述RADIUS服務(wù)器中進(jìn)行網(wǎng)頁認(rèn)證;
[0042]所述策略設(shè)置單元�����,還用于如果所述網(wǎng)頁認(rèn)證結(jié)果指示所述移動終端通過網(wǎng)頁認(rèn)證���,則將所述IP地址對應(yīng)的訪問控制策略設(shè)置為第二權(quán)限策略���,所述第二權(quán)限策略允許所述IP地址訪問所述注冊網(wǎng)頁;
[0043]所述重定向請求單元�,具體用于根據(jù)所述IP地址對應(yīng)的所述第二權(quán)限策略,向所述AC發(fā)送第一轉(zhuǎn)發(fā)請求��,用于請求將所述網(wǎng)頁訪問請求消息重定向到所述注冊網(wǎng)頁��。
[0044]在第二方面�����、或第二方面的第一種可能的實現(xiàn)方式中,還提供了第二方面的第二種可能的實現(xiàn)方式����,所述發(fā)送單元,還用于若所述判斷單元判斷出所述注冊狀態(tài)為已注冊����,向所述移動終端發(fā)送響應(yīng)消息,所述響應(yīng)消息中攜帶的認(rèn)證算法字段設(shè)置為EAP-TLS認(rèn)證指示符���,用以指示所述移動終端按照EAP-TLS認(rèn)證方式接入所述企業(yè)的無線網(wǎng)絡(luò)����;
[0045]所述無線AP還包括:
[0046]端口開放單元��,用于當(dāng)所述網(wǎng)絡(luò)接入設(shè)備確定所述移動終端與所述RADIUS服務(wù)器之間進(jìn)行的EAP-TLS認(rèn)證成功時�,為所述移動終端開通受控端口�,所述受控端口用于傳輸所述移動終端的業(yè)務(wù)數(shù)據(jù)。
[0047]在第二方面�����、或上述第二方面的任意一種可能的實現(xiàn)方式中��,所述判斷單元包括:
[0048]獲取子單元,用于從所述接入請求消息中獲取所述移動終端的標(biāo)識����;
[0049]查詢子單元,用于根據(jù)所述獲取子單元獲取的所述移動終端的標(biāo)識�,向所述企業(yè)的無線網(wǎng)絡(luò)中的管理服務(wù)器查詢所述移動終端的注冊狀態(tài);
[0050]接收子單元�����,用于接收所述管理服務(wù)器返回的所述移動終端在所述網(wǎng)絡(luò)中的注冊狀態(tài)���。
[0051]第三方面�,提供了一種無線訪問接入點AP��,包括存儲器��、處理器�、接收器和發(fā)送器;
[0052]所述接收器��,用于接收移動終端發(fā)送的接入請求消息��,所述接入請求消息用于請求接入企業(yè)的無線網(wǎng)絡(luò)���,所述接入請求消息攜帶所述移動終端的標(biāo)識�,所述移動終端的標(biāo)識用于在所述企業(yè)的無線網(wǎng)絡(luò)的范圍內(nèi)唯一地標(biāo)識所述移動終端;
[0053]所述處理器����,用于讀取所述存儲器中存儲的程序代碼,執(zhí)行:判斷所述移