一、问题分析
成立于深圳的信锐技术是网络安全设备厂商深信服集团投资建立的公司。信锐无线WLAN解决方案,在身份认证安全管理方面,可对网络用户的身份进行权限管理,还可对接深信服做上网行为管理,从而保保障企业信息安全。
无线网络的易扩展性和开放性,使得多期建设项目中并存多家厂商的无线设备。多品牌设备混杂,互相协调能力差、用户难以做统一的身份认证及访问权限控制,所带来的管理和安全上的缺陷越来越明显。因技术实现方式的差异,且受限于信锐自身硬件设备性能,信锐无线WLAN解决方案在多分支异构环境实现统一接入认证的成本昂贵。
对此,信锐无线联合时讯一体化认证平台,打造了一套更具兼容性优势的无线统一认证解决方案,集中式管理多分支无线网络,加固无线网络的安全性,并联动上网行为管理设备,实现实名审计合规。
二、解决方案
1、时讯无线统一认证方案概述
时讯无线统一身份认证是一个轻量级、中心化的无线Portal接入认证服务平台,通过身份认证技术及访问控制策略,加强无线网络安全。支持多无线品牌、多分支异构及审计网关接入能力,能够帮助多分支组织机构,如大型企业、联合办公、Shopping Mall、银行网点、连锁超市、连锁门店等,建立统一的网络接入和认证管理中心。
信锐无线结合时讯无线统一认证方案网络拓扑如下:
通过在数据中心部署时讯无线统一身份认证平台,可实现所有厂商无线设备统一认证,整合无线网络,建立多分支统一认证中心,对整个网络的用户上网进行集中认证。且采用旁路方式无需改变现有网络基础环境,不会产生任何业务影响,补充了当前信锐无线WLAN解决方案的不足。
2、支持多种认证方式,满足不同场景需求
访客场景:短信认证、微信认证、协助扫码、访客自助
短信认证流程
微信认证流程
协助扫码流程
自助认证流程
员工场景:用户名密码认证(结合AD域)
用户名密码认证流程
三、实现功能
1、多分支统一接入,全网无缝漫游
建立一体化认证平台,实现多分支、多用户、多终端、多应用的统一认证和授权,集中管控所有无线接入用户。同时每个分支可做独立配置,实现个性化运营管理。支持全网无线漫游和无感知认证。
2、兼容国内外主流无线厂商设备
可兼容国内外主流无线厂商设备,如Aruba、Cisco、Moto、Ruckus、华三、华为、锐捷、信锐等,并支持多厂商设备统一接入管理,实现多分支异构无线网络统一接入。
3、多种认证方式,满足不同场景需求
包括短信、微信、用户名密码、协助扫码、自助审批、二次无感知等方式,满足不同场景无线认证需求,在保障访问的安全性的同时,提供个性化的认证体验。
4、访问权限控制,保障网络安全可控
基于用户角色做访问策略控制,如用户角色过滤、上网时间段、上网时长、在线设备、额外角色、二次免认证、最大流量控制、最小流量控制等,实现角色权限区分。
5、对接上网行为设备,实名审计合规
将时讯无线统一认证平台与深信服等上网行为管理设备联动,提供无线用户的身份实名认证及清晰完整的上网行为日志,达到实名查询单个用户上网记录的效果,满足了实名审计合规性要求。