一種無線應用場景下的出口網關權限策略控制方法

摘要：在802.lx無線認證場景下，出口網關不參與到整個認證流程，無法對上網終端進行基于用戶或用戶組的上網策略控制，為此本文提出了一種無線應用場景下的出口網關權限策略控制的方法，首先對AAA服務器和出口網關進行權限策略配置，然后通過擴展radius協議使radius認證附帶更多認證參數，最后通過AAA服務器和出口網關之間的私有認證協議報文傳遞使出口網關即使不參與整個認證流程依然能獲知終端的用戶和用戶組信息，最終實現對上網終端的各種行為控制。

關鍵詞：無線應用;出口網關;權限策略控制

中圖分類號：TP393

文獻標識碼：A

文章編號：1009-3044（2019）36-0061-02

傳統的802.lx在無線接入認證場景非常常見，它能夠提供基于用戶名和密碼的校驗，并解決用戶上網的安全問題。一般的出口網關不提供802.lx服務器端的功能，因此802.lx服務器端使用AC做802.lx服務器，AC和AAA服務器完成radius認證。在802.lx無線認證場景下，出口網關不參與到整個認證流程，無法獲知上網的終端的用戶名、用戶分組信息等，因此無法對上網終端進行基于用戶或用戶組的上網策略控制，如保證特定用戶的上網帶寬流量，限制某些用戶訪問特定的網址等。

目前廣泛使用的無線接入認證場景大致有如下兩種情況：（l） AC設備負責完成終端的802.lx認證，AAA服務器負責完成radius認證，出口網關只負責互聯網接入控制;（2）不區分AC設備和AAA服務器，二者為一個完整設備，直接完成終端的所有認證，然后發送報文給出口網關負責互聯網接人。無論采用任意一種接入場景，出口網關都不參與整個認證流程，無法匹配到終端設備和本地配置的權限策略組，無法對終端沒備的上網策略進行控制。針對這種情況，本文提出了一種無線應用場景下的出口網關權限策略控制的方法，使出口網關即使不參與整個認證流程仍然能夠獲知上網終端的用戶名和分組信息，通過匹配本地配置的權限組和對應的權限策略，可以靈活實現對上網終端的各種行為控制，不僅解決了上網安全性問題，而且也有效提供了基于用戶組的靈活策略控制。

1無線應用場景

無線應用場景通常由終端、AP設備、AC設備、AAA服務器、出口網關等產品構成，如圖l所示。其中除AAA和出口網關通過私有協議報文單向通信外，其他設備之間都是雙向連通的。其中終端為需要接入網絡的手機、PC、筆記本等，能發起802.lx認證的設備。具體產品說明如下所述：

1） AC設備：無線控制器，是一種網絡設備，負責管理某個區域內無線網絡中的AP;

2） AP設備：無線訪問接入點，主要作用是將各個無線網絡客戶端連接在一起，然后將無線網絡接人以太網;

3） AAA服務器：認證服務器，主要用于管理哪些用戶可以訪問網絡服務器或者具有訪問權限的用戶可以得到哪些服務。

2出口網關權限策略控制方法

在無線應用場景下，首先對AAA服務器和出口網關進行權限策略配置，預定義不同的用戶組所具有的不同權限，然后擴展radius協議，使得radius認證能夠附帶更多的認證參數，通過AAA服務器和出口網關之間的私有認證協議報文傳遞使得出口網關即使不參與整個認證流程依然能獲知終端的用戶和用戶組信息，最終實現權限策略控制的方法，具體認證流程如圖2所示。

1）向AAA服務器上導人采集的AP設備的MAC地址和出口網關lP地址的映射關系表，配置用戶賬號和策略分組ID的對應關系表;

2）出口網關上配置策略分組信息，維護策略分組ID和帶寬策略、ACL策略等的對應關系表;

3）終端輸入用戶名和密碼，發起802.lx認證請求;

4） AP將認證請求轉發至對應AC;

5） AC收到終端的認證請求，向AAA服務器發送radius認證請求報文;

6） AAA服務器收到radius認證報文，AAA服務器校驗用戶密鑰，同時將認證結果返回給AC;

7） 8）AC將認證結果返回給終端，如果認證成功，則終端就獲取了網絡訪問權限;

9）如果認證成功，AC向AAA服務器發送終端計費開始報文，該報文擴展了標準radius報文，攜帶了終端的MAC地址、終端的lP地址、終端連接的AP MAC、認證賬號;

10） AAA服務器收到radius開始計費報文，用戶賬號查找到該賬號對應的策略分組ID同時根據AP MAC查找到卅口網關IP地址（參考基礎數據導入和配置）。最后AAA服務器將用戶賬號、終端IP、終端MAC、終端AP MAC、策略分組ID封裝為私有授權協議報文，發給出口網關;

11）出口網關收到授權報文，創建一條綁定關系：終端（MAC+IP） 策略分組ID;

12） 13）終端訪問網絡應用，出口網關根據終端MAC和lP地址，查找到該終端的分組策略（參考基礎數據導人和配置），執行該分組策略的帶寬保證和ACL等;

14）終端滿足權限策略要求，允許終端上網。

3結論

本方法擴展了radius認證協議，通過AAA服務器和出口網關的私有授權協議，解決了雖然無線終端接入認證在AC上，但是出口網關仍然能夠有效對上網終端進行上網策略控制的問題。相較于普通的無線接入場景具有以下優點。

1）解決了上網終端的權限策略控制問題

相較于普通的無線接入場景，本方法可以細粒度的控制每一臺或一批上網終端所對應的上網權限，包括但不限于控制終端可訪問的網站、控制網絡帶寬等。

2）解決安全性問題

普通無線接入場景僅能控制終端設備的上網權限，認證成功則能夠上網，失敗則拒絕上網，對終端認證成功之后的網絡行為沒有有效的安全控制，通過本發明，能夠制定終端上網策略，避免一些惡意的網絡攻擊。

3）充分利用用戶資源

在沒有增加任何設備的情況下，本方法只是擴展了radius協議和添加私有授權協議，即完成了終端上網策略控制，未增加用戶的資金投入，充分地利用了用戶現有資源。

【通聯編輯：唐一東】

收稿日期：2019-08-15

作者簡介：陳龍（1988-），男，四川成都人，學士，研究方向為數字家庭業務、智能網關業務、網絡設備管理/認證/集成。