iConnect是智簡園區網絡解決方案中網絡層的生态名稱,通過(guò)iConnect可實現物聯網終端的即插即用和接入安全。
在智簡園區場景中,物聯網絡如樓宇自動化BA(Building Automation)建設早于園區網絡的部署,因此,需要園區網絡支持物聯網絡的局部測試。部分物聯設備,如門禁、空調聯網溫控等沒(méi)有網絡操作界面(miàn),對(duì)物聯設備安裝調試人員的要求比較高;物聯設備接入網絡後(hòu)還(hái)存在很多安全隐患,如門禁、閘機、攝像頭等容易受到攻擊、仿冒,因此物聯終端還(hái)需要通過(guò)網絡進(jìn)行數字證書申請和下發(fā),操作比較複雜。iConnect的出現,很好(hǎo)的解決了上述問題。
使用iConnect的物聯網終端也被(bèi)稱爲iConnect終端。iConnect可以創建一個帶有iConnect标識的SSID,iConnect終端自動關聯該SSID,并實現終端的即插即用;iConnect終端還(hái)可自動申請并加載數字證書,無需在終端上人工導入數字證書,從而簡化安裝配置,提升部署效率。
無線終端通過(guò)AP接入網絡。SwitchA爲接入交換機,SwitchB支持随闆AC功能(néng),iConnect終端和其他類型的終端(即圖中的STA)同時接入網絡。用戶希望網絡規劃滿足如下要求:
-
無線終端的IP地址通過(guò)DHCP服務器動态分配。
-
對(duì)iConnect終端進(jìn)行免認證授權,STA使用Portal認證。
iConnect終端免認證組網圖
iConnect電子身份信息
iConnect-URL是在MUD-URL的基礎上做了擴展定義。
MUD全稱Manufacture Usage Description Specification,是RFC 8520定義的一種(zhǒng)終端标識自己身份和對(duì)網絡功能(néng)的訴求的方法。初期設計用于網絡訪問控制,後(hòu)面(miàn)逐步應用于其它領域。同時RFC定義了一種(zhǒng)MUD-URL,網絡訪問這(zhè)個MUD-URL獲取到MUD描述文件,并根據該文件獲取終端的身份和網絡功能(néng)訴求,繼而給終端開(kāi)通相應的網絡權限。
iConnect終端本地認證
iConnect終端本地認證流程
-
無線iConnect終端關聯SSID,接入無線網絡。該SSID爲iConnect引導SSID。 -
AP將(jiāng)iConnect終端的身份信息(即iConnect-URL)通過(guò)CAPWAP報文發(fā)送到設備。 -
設備根據身份信息判斷該用戶爲iConnect終端,同時設備已經(jīng)配置iConnect終端不認證即上線功能(néng),則保持該用戶在線。否則,若用戶沒(méi)有攜帶iConnect終端身份信息,或者設備沒(méi)有配置iConnect終端不認證即上線功能(néng),則用戶需要完成(chéng)非iConnect終端的認證流程。
iConnect終端RADIUS認證
如果管理員未在設備上開(kāi)啓iConnect終端不認證即上線功能(néng),則可以進(jìn)行iConnect終端RADIUS認證。
iConnect終端的電子身份信息由RADIUS報文(華爲RADIUS擴展屬性26-202)攜帶至RADIUS服務器。
RADIUS服務器根據該信息識别終端是否爲iConnect終端。如果該終端屬于iConnect終端,則RADIUS服務器根據用戶賬号查詢對(duì)應的授權策略,并將(jiāng)授權策略封裝到認證回應報文中。針對(duì)iConnect終端,建議同時配置重定向(xiàng)功能(néng)有關的RADIUS屬性(例如HW-Redirect-ACL或者HW-Portal-URL),從而使iConnect終端在認證成(chéng)功并訪問網絡後(hòu)被(bèi)重定向(xiàng)到URL地址并下載EAP-TLS證書,最終觸發(fā)EAP-TLS認證。
iConnect無線終端RADIUS認證流程
-
無線iConnect終端關聯SSID,接入無線網絡。該SSID爲iConnect引導SSID。
-
AP將(jiāng)iConnect終端的身份信息(即iConnect-URL)通過(guò)CAPWAP報文發(fā)送到設備。
-
設備向(xiàng)RADIUS服務器發(fā)送RADIUS認證請求報文,認證請求報文中攜帶終端身份信息。
-
RADIUS服務器通過(guò)RADIUS屬性HW-MUD-URL攜帶的終端身份信息識别該用戶爲iConnect終端,同時RADIUS服務器根據賬号查詢該用戶的授權策略(例如RADIUS屬性HW-Redirect-ACL)封裝并發(fā)送認證回應報文。
-
設備按照認證回應報文中的授權策略對(duì)用戶進(jìn)行授權,因此在認證成(chéng)功後(hòu)下發(fā)重定向(xiàng)策略。
-
終端被(bèi)重定向(xiàng)到URL地址(一般是RADIUS服務器提供的Portal頁面(miàn)的地址)下載數字證書,并在加載該證書後(hòu)完成(chéng)EAP-TLS認證。