iMaster NCE-Campus V300R019C10 准入认证技术白皮书

iMaster NCE-Campus V300R019C10 准入认证技术白皮书文档版本01发布日期2020-07-08华为技术有限公司版权所有 华为技术有限公司2020。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：客户服务邮箱：support客户服务电话：4008302118文档版本01 (2020-07-08)版权所有 华为技术有限公司iiMaster NCE-Campus V300R019C10 准入认证技术白皮书目 录目 录1 简介12 前言22.1 网络安全接入的诉求22.2 云管理准入认证的职责23 准入认证业务与功能43.1 Portal接入控制43.1.1 页面定制93.1.2 页面推送93.1.3 本地用户管理93.1.4 访客管理103.1.5 访客社交媒体接入控制103.2 802.1x接入控制113.3 MAC接入控制143.3.1 MAC帐号管理153.3.2 终端列表管理154 典型组网应用164.1 Portal接入控制164.2 通过第三方Radius服务器进行802.1x接入控制184.3 通过华为云管理进行802.1x/MAC接入控制195 典型场景流程205.1 访客通过自注册用户接入网络流程205.2 员工通过802.1x方式接入网络流程235.3 终端通过MAC认证方式接入网络流程246 参考文档26文档版本01 (2020-07-08)版权所有 华为技术有限公司iiiMaster NCE-Campus V300R019C10 准入认证技术白皮书1 简介1 简介关键词：准入认证、Portal认证、802.1x、MAC认证、本地用户管理、访客管理、终端识别摘要：本文介绍了云管理产品提供云端的用户认证和管理能力，主要从准入认证业务与功能、典型组网和应用场景三方面进行阐述。文档版本01 (2020-07-08)版权所有 华为技术有限公司1iMaster NCE-Campus V300R019C10 准入认证技术白皮书2 前言2 前言2.1 网络安全接入的诉求2.2 云管理准入认证的职责2.1 网络安全接入的诉求随着企业信息化水平的提高，为了满足用户接入企业网络，通常会把网络铺设到办公区的每个角落。公司内大量流动的办公人员和合作伙伴经常会带着笔记本电脑接入公司的局域网，这将给公司的信息安全带来很大的挑战。外来的非法终端接入公司的网络，除了可能带来计算机病毒方面的安全威胁外，还可能通过接入公司的网络，非法获取公司的商业秘密。另外，WLAN技术的成熟以及智能终端的普及，许多企业开始考虑允许员工自带智能设备使用企业内部应用。企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率，降低企业在移动终端上的成本和投入。WLAN在企业的应用，给企业带来很大的信息安全风险。为了解决企业无线网络接入控制的问题，华为公司推出了云管理解决方案，通过与网络接入控制设备联动，控制企业内部和外部终端对网络的访问，实施统一的接入控制策略。2.2 云管理准入认证的职责华为云管理解决方案针对不同租户的网络组网场景，提供了多种网络接入控制解决方案：l 针对无线访客接入网络场景，提供基于Portal的准入接入控制解决方案，设备与云跨广域、跨NAT场景，采用新的Portal协议（haca）流程，AP设备与云控制器采用TCP长连接通道，将Portal认证与授权流程统一化，简化Portal haca接入流程。私有云非NAT场景方案，控制器和设备之间非NAT场景，采用Portal2.0协议，具体流程参考下面的交互流程。l 针对园区安全接入网络场景，通过与园区控制器配套，实现802.1x安全准入控制解决方案，云控制器进行设备统一配置下发，园区控制器提供Radius服务器和用户管理。华为云管理Portal、802.1x、MAC接入控制解决方案支持如下维度授权不同的访问策略：l 用户组维度:基于不同用户所属组，给接入设备下发不同的访问策略。l 位置维度：无线SSID作为终端的接入位置，能够根据终端所处不同的接入位置，区分给接入设备下发授权访问策略。l 时间维度：能够区分不同的时间段（例如：周末和工作日），给接入设备下发不同的访问策略。l 终端类型维度：提供设备识别功能，能够区分不同的终端类型，给接入设备下发不同的授权规则；能够把上述的各种维度组合起来进行接入认证授权，满足各种复杂接入认证授权业务。华为云管理Portal的访客接入控制解决方案支持以下多种种访客接入方式：l 用户名密码认证：终端通过输入自注册或管理员创建的用户和密码方式认证接入网络。l 匿名认证：终端通过在推送的Portal页面点击一键认证方式接入网络。l 微信认证：通过微信提供的微信链接和微信Portal一键认证。l Facebook认证，Twitter认证，新浪微博认证，QQ认证：提供三方用户对接的能力，使用社交媒体账号认证接入网络。l 短信认证：支持手机号短信验证码认证方式接入网络。文档版本01 (2020-07-08)版权所有 华为技术有限公司3iMaster NCE-Campus V300R019C10 准入认证技术白皮书3 准入认证业务与功能3 准入认证业务与功能3.1 Portal接入控制3.2 802.1x接入控制3.3 MAC接入控制3.1 Portal接入控制在传统的组网环境中，用户只要能接入局域网设备，就可以访问网络中的设备或资源，为加强网络资源的安全控制和运营管理，很多情况下需要对用户的访问进行控制。例如，在一些公共场合、小区或公司的网络接入点，提供接入服务的供应商希望只允许付费的合法用户接入，所以供应商为每个用户提供一个接入网络的账号和密码。另外，一些企业会提供一些内部关键资源给外部用户访问，并且希望经过有效认证的用户才可以访问这些资源。现有的802.1x和PPPoE等访问控制方式，都需要客户端的配合，并且只能在接入层对用户的访问进行控制。Portal认证技术则提供一种灵活的访问控制方式，不需要安装客户端，就可以在接入层以及需要保护的关键数据入口处实施访问控制。华为云管理解决方案提供基于Portal的接入认证方案。华为云管理Portal接入认证，提供了基于设备与云跨广域、跨NAT场景 和私有云非NAT场景方案。基于设备与云跨广域、跨NAT场景：采用新的Portal协议流程，AP设备与云控制器采用TCP长连接通道，将Portal认证与授权流程统一化，简化Portal接入流程。无线Portal接入控制流程示意图1. 终端扫描终端扫描环节，形象的讲就是我们打开WLAN，会列出一个无线网络列表，我们把一个无线网络列表的名称称为SSID。2. 链路认证从最早的WLAN开始，就设计了认证功能。在这个环节的认证，我们称为链路认证。因为这时候WLAN链路还没有建立。链路认证有两种方式: WEP：WEP-Wired Equivalent Privacy加密技术，WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。WEP认证方式是一个很弱的方式，很早的时候就被破解，现在一般情况下是不会使用这种认证方式。WEP认证方式，通常情况下只适合个人用户使用。WEP认证方式，需要预先在设备和终端配置一个PSK（预共享密钥），一旦使用了PSK，那么该PSK就需要在企业范围内公告，PSK一旦在企业范围内公告，就失去了密钥的意义了。 OPEN SYSTEM：开放系统认证就是不需要认证。由于链路认证的缺陷，为了给WLAN提供足够强大的安全能力，WIFI联盟设计了802.11i，802.11i为了解决企业应用的场景和个人应用的场景，其并不在链路认证环节做认证，而是等到WIFI二层链路已经建立，才执行802.11i的认证。3. 终端连接连接的目的是终端跟AP建立链路关系，建立终端连接后，就可以跟AP设备发送后续的报文。4. 申请IP地址终端与AP建立链路后，触发DHCP请求从DHCP服务器获取IP地址。5. Portal认证终端访问网络发起Http请求，AP设备拦截请求报文并返回Http重定向响应。终端访问返回的重定向Portal认证页面进行认证，云认证服务器在身份校验通过之后，向AP设备下发Portal授权请求，AP设备回应授权响应，通过云服务器认证授权成功，并通过用户上线成功。6. 数据转发终端认证成功后，即可以进行数据转发业务。私有云非NAT（portalserver和设备之间）场景下的Portal2.0认证：认证过程涉及到了认证客户端（Portal client），Portal服务器（Portal server），BAS和Radius服务器四个基本要素。如图所示：Portal系统组成示意图 Portal client：Portal组网中发起认证请求的客户端系统，为运行HTTP协议的浏览器； Portal server：Portal组网中接受客户端认证请求的服务端系统，提供免费门户服务和基于WEB认证的界面，与BAS设备交互认证客户端的身份信息； BAS：宽带接入服务器，用于向Portal server重定向HTTP认证请求，并且与Portal server、Radius服务器交互完成用户的认证/授权/计费功能； Radius服务器：认证/授权/计费服务器，与BAS进行交互，对用户进行认证/授权/计费。Portal协议包括Portal接入和Portal认证两部分，协议框架如图：Portal协议框架Portal接入协议描述了Portal client和Portal server之间的协议交互，主要内容包括：(1) Portal client通过HTTP协议向Portal server提交认证信息；(2) Portal server通过HTTP协议向Portal client推出认证成功或者认证失败页面；(3) Portal server与Portal client之间通过握手检测用户是否在线。Portal认证协议描述了Portal server和BAS之间的协议交互，Portal认证协议采用了非严格意义上的Client/Server结构，大部分消息采用Request/Response进行交互。下面以无线Portal接入控制为例