本發明公開了一種實現用戶和/或終端與SSID綁定的認證系統及方法，在RADIUS模塊以及認證接入控制模塊中實現用戶和/或終端與SSID綁定，無需改變原有用戶憑證數據庫的結構，在對接多種用戶憑證數據庫的應用場景可以減少實施的難度和成本，便于多個SSID精細化權限控制的管理；通過用戶和/或終端與SSID的綁定關系驗證，在保護無線安全的同時，可達到使用較少的RADIUS服務器和用戶憑證數據庫實現精細化的SSID接入控制，降低了成本，易于操作。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種基于802.1x的用戶和/或終端與SSID進行綁定連接的系統及方法。

背景技術

企業中的無線局域網具有無線連接以及連接用戶多等特性，為了保護企業無線局域網被暴力破解和非授權的連接，企業部署服務設置標志符(Service Set Identifier,SSID)時常設置安全性為WPA(Wi-Fi Protected Access)或者WPA2(Wi-Fi ProtectedAccess II)企業模式。WPA企業模式要求對每個接入的終端進行接入認證，典型的認證是802.1x認證方式，認證的信息包括接入的SSID信息、用戶輸入的認證憑據、終端的媒體接入控制地址(Media Access Control Address,MAC地址)。WPA\WPA2的802.1x認證由終端、無線接入點(Wirelress Access Point)、RADIUS服務器、用戶憑證數據庫這幾個實體相互協作完成，如圖1所示。終端是請求接入局域網的用戶終端，它由無線接入點對其進行認證。無線接入點是局域網中控制終端接入的網絡設備，位于終端與RADIUS服務器之間，為終端提供接入網絡的端口(物理端口或邏輯端口)，并通過與RADIUS服務器交互對接入的終端進行認證。RADIUS(Remote Authentication Dial In User Service)服務器通過與用戶憑證數據庫交互對終端進行認證、授權、計費。用戶憑證數據庫用于保存用戶驗證信息，并提供用于驗證用戶驗證信息的查詢API(Application Programming Interface)或認證API。

當企業中部署了多個SSID，且期望多個SSID能訪問的范圍不相同，如市場部的SSID能訪問市場部專有的資源，研發部的SSID能訪問研發部專有的資源。要實現研發部的用戶或終端只能連接研發部的SSID，市場部的用戶或終端只能連接市場部的SSID，需要SSID關聯不同的RADIUS服務器且各個RADIUS服務器所關聯的用戶憑證數據庫不能相同，但普遍情況下企業的多個部門的用戶驗證信息都存儲在同一個用戶憑證數據庫中，RADIUS服務器的數量也有限。

將某個用戶只能連接指定SSID的過程稱為”SSID與用戶綁定”，將某臺終端只能連接指定SSID的過程稱為”SSID與終端綁定”。典型的SSID配置以及接入的總體流程如圖2所示，具體包括：

1、進行RADIUS的服務器配置；2、配置無線接入點；3、用戶使用終端接入SSID。

配置RADIUS服務器的流程如圖3所示，具體包括：

1.1安裝FreeRADIUS軟件(FreeRADIUS軟件是一種公開源代碼的提供RADIUS服務軟件)；

1.2修改FreeRADIUS的SQL模塊(Structured Query Language，結構化查詢語言)的配置(以用戶憑證數據庫為MySQL數據庫為例，若為其他的用戶憑證數據庫如AD域(ActiveDirectory Domain)服務器或者LDAP(LightWeight Directory Access Protocol)服務器則需要修改其他模塊的配置)；

1.3修改FreeRADIUS的RADIUS客戶端地址范圍以允許無線接入點連接并修改對應的RADIUS共享密鑰；

1.4啟動FreeRADIUS服務。

配置無線接入點流程如圖4所示，具體包括：