本申请公开了一种网络接入控制方法和设备,用以降低现有移动终端安全接入网络时的接入控制难度。该方法包括:网络接入设备接收移动终端发送的携带所述移动终端的标识的接入请求消息;判断所述移动终端的标识对应的注册状态;若未注册,为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置允许所述IP地址访问认证网页;所述网络接入设备接收移动终端使用所述IP地址发送的网页访问请求消息,根据访问控制策略将网页访问请求消息重定向到所述认证网页,如果确定所述移动终端认证成功,重定向到注册网页;如果所述网络接入设备确定所述移动终端完成注册,向所述移动终端发送用于通过EAP-TLS接入所述企业的无线网络的配置文件和数字证书。
【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种网络接入控制方法及一种无线访问接入点和无线接入控制器。
技术介绍
随着移动终端技术的发展、制造工艺的提高以及销售价格的下降,最近几年移动终端获得了快速普及。目前,移动终端在销量上已经超过了个人计算机。携带自带设备办公(Bring your own device,简称BY0D)已经随之成为了一种被普遍接受的工作方式。出于降低固定资产投入和提高办公效率方面的考虑,越来越多的企业鼓励员工携带私人的移动终端接入企业网络进行日常办公。然而,由于接入企业无线网络的移动终端的类型、归属和接入位置的不确定性,也给企业信息安全管理提出了挑战:如何在移动终端接入企业无线网络时进行有效的接入控制,从而确保企业网络中的资源不被非法用户使用。处于安全性方面的考虑,通常推荐采用较高安全等级的接入认证方式,例如电气和电子工程师协会(Institute of Electrical and Electronics Engineers,简称 IEEE)802.1X 可扩展认证协议-传输层安全(Extensible Authenticat1n Protocol-TransportLayer Security,简称EAP-TLS)证书认证,对接入企业无线网络的移动终端进行接入控制。然而这种方式在实际应用中有一些不便之处:用户的移动终端需要预先获取数字证书,而且对于不同品牌型号的移动终端,在配置802.1X认证接入参数时有所不同,有的会较为复杂。如何实现自动化地将数字证书分发给移动终端,以及帮助移动终端的用户配置认证接入参数,成为一个需要解决的问题。
技术实现思路
本专利技术实施例提供一种网络接入控制方法,用以降低现有移动终端安全接入网络时的接入控制难度。对应地,本专利技术实施例还提供了一种无线接入点和无线控制器。本专利技术实施例提供的技术方案如下:第一方面,提供了网络接入控制方法,其特征在于,包括:网络接入设备接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;所述网络接入设备判断所述移动终端的标识对应的注册状态,所述注册状态用于标识所述移动终端是否已在企业的无线网络中注册;若所述网络接入设备判断所述移动终端的标识对应的注册状态为未注册,所述网络接入设备为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;所述网络接入设备接收所述移动终端使用所述IP地址发送的网页访问请求消息,所述网络接入设备根据所述IP地址对应的所述第一权限策略将所述网页访问请求消息重定向到所述认证网页,如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,重定向到注册网页;如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书,所述配置文件和数字证书用于所述移动终端通过可扩展认证协议EAP-传输层安全TLS认证方式接入所述企业的无线网络。在第一方面的第一种可能的实现方式中,所述认证网页是所述企业的无线网络中的门户Portal服务器提供的,所述Portal服务器将所述移动终端在所述认证网页中输入的轻型目录访问协议LDAP域账号认证信息发送到拨号用户远程认证服务RADIUS服务器中进行网页认证;所述如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,重定向到注册网页,包括:所述网络接入设备接收到所述RADIUS服务器返回的网页认证结果;如果所述网页认证结果指示所述移动终端通过网页认证,则所述网络接入设备将所述IP地址对应的访问控制策略设置为第二权限策略,所述第二权限策略允许所述IP地址访问所述注册网页;所述网络接入设备根据所述IP地址对应的所述第二权限策略,将所述网页访问请求消息重定向到所述注册网页。在第一方面、或第一方面的第一种可能的实现方式中,还提供了第一方面的第二种可能的实现方式,还包括:若所述网络接入设备判断所述移动终端的标识对应的注册状态为已注册,所述网络接入设备向所述移动终端发送响应消息,所述响应消息中携带的认证算法字段设置为EAP-TLS认证指示符,用以指示所述移动终端按照EAP-TLS认证方式接入所述企业的无线网络;当所述网络接入设备确定所述移动终端与所述RADIUS服务器之间进行的EAP-TLS认证成功时,为所述移动终端开通受控端口,所述受控端口用于传输所述移动终端的业务数据。在第一方面的第一种、或第二种可能的实现方式中,还提供了第一方面的第三种可能的实现方式,所述网络接入设备判断所述移动终端的标识对应的注册状态,包括:所述网络接入设备从所述接入请求消息中获取所述移动终端的标识;根据所述移动终端的标识向所述企业的无线网络中的管理服务器查询所述移动终端的注册状态;接收所述管理服务器返回的所述移动终端在所述网络中的注册状态。在第一方面的第三种可能的实现方式中,还提供了第一方面的第四种可能的实现方式,所述注册网页是所述管理服务器提供的,所述如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书,包括:所述网络接入设备接收所述管理服务器发送的所述配置文件和所述数字证书,所述配置文件和所述数字证书是所述管理服务器在所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册之后发送的;所述管理服务器发送所述配置文件和数字证书之后,所述移动终端在所述管理服务器中的注册状态被更新为已注册;所述网络接入设备将所述配置文件和所述数字证书发送给所述移动终端。在第一方面的第四种可能的实现方式中,还提供了第一方面的第五种可能的实现方式,所述网络接入设备向所述移动终端发送配置文件和数字证书之后,还包括:所述网络接入设备接收所述RADIUS服务器发送的动态授权CoA消息,并在接收到所述CoA消息后指示所述移动终端重新发送所述接入请求消息;所述CoA消息是所述移动终端在所述管理服务器中的注册状态被更新为已注册后发送的。在第一方面的第五种可能的实现方式中,还提供了第一方面的第六种可能的实现方式,所述网络接入设备接收到所述CoA消息后,所述方法还包括:所述网络接入设备回收所述IP地址。第二方面,还提供了一种无线访问接入点AP,其特征在于,包括:接收单元,用于接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;判断单元,用于判断所述接收单元接收的接入请求消息中移动终端的标识对应的注册状态,所述注册状态用以标识所述移动终端是否已在企业的无线网络中注册;资源分配请求单元,用于若所述判断单元判断出所述移动终端的标识对应的注册状态为未注册,请求控制所述无线AP的无线访问控制器AC为所述移动终端分配IP地址;策略设置单元,用于将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;所本文档来自技高网...
【技术保护点】
一种网络接入控制方法,其特征在于,包括:网络接入设备接收移动终端发送的接入请求消息,所述接入请求消息用于请求接入企业的无线网络,所述接入请求消息携带所述移动终端的标识,所述移动终端的标识用于在所述企业的无线网络的范围内唯一地标识所述移动终端;所述网络接入设备判断所述移动终端的标识对应的注册状态,所述注册状态用于标识所述移动终端是否已在企业的无线网络中注册;若所述网络接入设备判断所述移动终端的标识对应的注册状态为未注册,所述网络接入设备为所述移动终端分配IP地址后,将所述IP地址对应的访问控制策略设置为第一权限策略,所述第一权限策略允许所述IP地址访问认证网页;所述网络接入设备接收所述移动终端使用所述IP地址发送的网页访问请求消息,所述网络接入设备根据所述IP地址对应的所述第一权限策略将所述网页访问请求消息重定向到所述认证网页,如果所述网络接入设备确定所述移动终端通过所述认证网页认证成功,重定向到注册网页;如果所述网络接入设备确定所述移动终端通过所述注册网页完成在所述企业的无线网络中的注册,所述网络接入设备向所述移动终端发送配置文件和数字证书,所述配置文件和数字证书用于所述移动终端通过可扩展认证协议EAP‑传输层安全TLS认证方式接入所述企业的无线网络。...
【技术特征摘要】
【专利技术属性】
技术研发人员:于丹,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。