基于MyToken的WLAN准入控制方案.docVIP

基于MyToken的WLAN准入控制方案 （临时来宾WLAN接入控制） 1 企业WALN现状分析 现在企业大量部署了WLAN，以方便计算机、笔记本、平板电脑和各种移动智能终端的网络接入，接入网络后，主要访问内网资源或者连接互联网。 合作伙伴（临时来宾）是WALN的一个主要的接入用户，因为临时来宾还是区别于内部员工的，因此对临时来宾的WALN准入控制就显得尤其重要和突出。企业需要对临时来宾准入控制实施一个既安全又简单可行的方案。 2 临时来宾准入情况分析 2.1 接入互联网 临时来宾通过WLAN一个主要的目的就是接入互联网。目前常用的WLAN安全机制，是设置一个共享口令，只要知道这个共享口令，就可以接入WLAN，从而连接互联网，这样就无法区别是临时来宾在访问，也没法控制某个临时来宾什么时刻可以接入WLAN，因此需要一个更安全的机制来完成准入控制。 2.2 接入内部网络 临时来宾另外一个主要目的就是访问企业内网，临时来宾访问企业内部网络会给企业带来额外的安全风险。企业内网从某种程度被当成一个可信网络存在，因此没有安全准入的临时来宾如果可以随意访问内部网络的话，安全风险是不言而喻的。WLAN通常缺少细粒度的访问控制，比如没法区别某个临时来宾，以及授权其访问特定的主机或者网段。 2.3 安全手段 临时来宾准入控制，目前通常同的办法是绑定IP或者MAC，这个方法一方面有安全风险，IP和MAC是能够伪装和假冒的；此方法另一方面不方便管理和使用，每次还得登记用户的IP或者MAC，而且同一来宾换了接入设备，还得重新登记，既不合理也不方便。显然需要更安全更方便的准入控制方法。 3 MyToken介绍 3.1 MyToken是什么 MyToken是一款All In One的身份认证平台，内部整合了强大的准入控制功能。通过MyToken可以为临时来宾建立非常安全和方便的WLAN准入控制。 3.2 MyToken主要功能 MyToken为企业员工和临时来宾分配一个唯一的ID，并同时可以为某个ID添加非常灵活的身份认证机制，包括静态口令、短信动态口令、手机动态口令、硬件令牌动态口令以及数字证书。 MyToken可以划分不同的WLAN准入通道，并且可以对每个准入通道进行基于角色的访问控制。临时来宾通过身份认证后，才可以访问授权的准入通道。未经身份认证或者未经授权，都是不能访问的。 MyToken还可以定义灵活的准入控制策略，比如什么时间段，以及什么网段来源，以及不同的WLAN准入通道的安全级别等，从而满足各种准入控制需求。 3.3 MyToken主要特点 MyToken将All In One的身份认证和强大的准入控制有机集成在了一起，为企业实施不同安全级别的准入控制提供了极佳的解决方案。通过将身份认证和准入控制整合，方便了管理，也使得企业的安全策略保持了一致。 MyToken提供最佳性价比的准入控制方案。首先不用分开部署认证和准入控制设备，从而减少了购买成本，其次可以采用免费的手机令牌动态口令方式降低使用成本。另外MyToken也可为其他应用提供身份认知支持。 4 具体方案 4.1 部署 借助MyToken，企业得以构建强大的WLAN准入控制方案。具体实现方法、所使用的设备以及部署方法如图1所示。 图1 基于MyToken的WALN准入控制 MyToken并联接入企业交换机。WLAN的AP将网关指向MyToken,同时AP可不设置共享密码。MyToken上为临时来宾创建ID，并创建相应的身份认证机制。MyToken上添加准入通道，并完成相应的授权。 4.2 用户使用 临时来宾可随意接入WLAN，但此时不能访问任何企业内部网络或者Internet，Web访问，会被重定向到MyToken的登录页。 临时来宾只有通过MyToken身份，并且符合授权，以及满足定义的安全策略，才可以发访问准入通道（目标网络）。 示意图如图2所示。 图2 来宾使用流程 4.3 身份认证 考虑到临时来宾身份认证的安全性和便捷性，通常推荐用户使用硬件令牌动态口令和短信动态口令。示意图如图3所示。 短信口令是每次登录发送一个临时动态口令给用户，和用户手机号绑定，安全方便，不足之处是需要额外的短信通道和费用。 硬件令牌动态口令是有个小令牌，上面显示的动态口令每分钟变化一次。硬件令牌方便管理，临时来宾用完收回。 图3 动态口令 5 结束语 综上所述，MyToken为企业提供灵活安全的身份认证机制，并同时集成强大的WLAN准入控制，是企业临时来宾WLAN准入控制的理想之选。 MyToken方案 北京云安世纪科技有限公司 4