[发明专利]一种无线准入环境下通用的扩展认证方法

说明书

本发明公开了一种在无线准入环境下通用的扩展认证的方法，该方法通过网络安全控制客户端对无线准入认证协议中的Identity进行扩展，网络安全控制服务端对于接收到的Radius协议中的User‑Name进行解析、还原，来增强无线准入过程的安全性，解决了在任何终端设备上都可以发起无线准入认证，身份认证服务器无法判断终端设备合法性的问题。本发明可以广泛应用于各种网络结构。

技术领域

本发明涉及网络管理技术领域，特别涉及网络准入控制管理技术领域，具体是一种无线准入环境下通用的扩展认证方法。

背景技术

随着社会信息化程度不断提高，企业中移动办公终端的数量越来越多，对终端设备进行管理的要求也越来越高。为了有效地管理终端设备，部分企业在局域网中搭建了无线准入控制设备，通过无线准入控制设备来判断使用终端设备的人员身份是否合法。

现有技术中，终端设备的无线网卡连接AP设备发起无线准入认证请求时，需要传输用户信息，AP设备将无线准入认证数据包发送给AC设备，AC设备将无线准入认证数据包拼装成Radius协议数据包发送给身份认证服务器，身份认证服务器来判断用户信息是否合法，如果合法则允许无线网卡入网，如果非法则不允许无线网卡入网，以达到控制非法用户接入网络的目的。但这种技术有个明显的缺点，就是该技术可以识别用户信息是否合法，但无法识别接入网络的终端设备是否合法，如果在一台非法的终端设备上传输合法的用户信息，一样可以通过身份认证服务器的认证，这样该非法的终端设备就可以接入网络，无法做到严格的准入控制，同时也无法彻底保障网络的安全性。

发明内容

为了克服上述现有技术的不足，本发明提供了一种无线准入环境下通用的扩展认证方法。该方法通过网络安全控制客户端扩展无线准入认证协议中Identity的数据，网络安全控制服务端将接收到的Radius认证协议中的User-Name进行解析、还原，来识别终端设备的合法性，将合法数据包再转给认证服务器进行身份认证，以达到身份认证和终端设备认证双重认证的目的。

为了实现上述目的，本发明采用如下技术方案：

一种无线准入环境下通用的扩展认证方法，包括如下步骤：

a. 网络安全控制服务器获取并保存网络中终端设备的扩展信息：

所述终端设备的扩展信息包括但不限于自动生成的设备唯一标识；

所述终端设备的扩展信息用于与接收到的Radius协议数据包中的User-Name信息进行对比，判断Radius协议数据包是否包含终端设备的扩展信息；

b. 网络安全控制客户端采集终端设备的扩展信息：

安装对应终端软件的终端设备采集终端设备的扩展信息，保存到驱动模块；

未安装对应终端软件的终端设备，因其没有安装对应终端软件，不能采集到终端设备的扩展信息；

c. 终端设备发起无线准入认证请求：

在终端设备上操作无线网卡，连接AP设备，发起无线准入认证请求，传输用户信息数据包；

d. 网络安全控制服务器对解析出Radius协议中User-Name信息进行判断，是否包含终端设备的扩展信息：

如果所述User-Name信息包含所述终端设备的扩展信息，则判定Radius协议数据包为合法，执行步骤e；

如果所述User-Name信息未包含所述终端设备的扩展信息，则判定Radius协议数据包为不合法，执行步骤f；

e.网络安全控制服务器生成新的Radius协议数据包，继续进行身份认证：