新闻中心

返回

中韩保险实施宁盾无线认证,实现访客+员工无线接入管理

日期:2016-06-23  来源: 点击量:

项目背景

      中韩人寿保险已经通过Cisco AP+ WLC搭建无线网络,通过分配两个不同网络访问权限的SSID,实现访客、员工接入公司网络,目前员工是通过域账号密码方式认证,访客通过获取上网密码并登入无线网络,在实际运行过程中,出现如下弊端:

(1)由于公司有3-6个月短期工作的临时工作人员,目前是通过访客SSID上网,无法实现审计;

(2)访客通常需向被访员工索取上网密码,此种方式无法实现对访客行为审计;

(3)如果无线密码修改,员工需向管理员重新获取密码,密码获取过程存在不确定并且操作繁琐;

 

实现目标

(1)通过一套认证系统满足员工、临时工、访客三种角色无线接入需求;

(2)员工、临时工通过账号、密码认证,其中员工采用域账号密码;

(3)临时工账号可基于DKEY WMS开通,且可设定账号有效期如3、6个月等;

(4)员工帮助其访客开通其手机号临时上网权限,且无需前台接入;

(5)访客通过手机号+短信动态密码认证;

(6)实现所有角色实名认证,尤其是访客及被访员工可追溯,加强网络安全;

 

 

系统组成

\

图1-中韩人寿保险无线及认证拓扑

       无线接入短信认证系统由手机、移动终端(笔记本、IPAD、智能手机)、AP、无线控制器、DKEY无线认证服务器、AD域、短信网关等组成,在整体方案中,它们充当角色分别如下:
(1) 手机:负责访客短信身份凭证接收,与访客是一一对应关系;
(2) 移动终端:属于访客使用,最终实现其接入企业内外网;
(3) AP:无线接入点;
(4) 思科WLC:集中管理控制不同位置的AP;
(5) DKEY WMS:无线认证服务器,负责用户短信凭证生成、验证、访问控制以及用户管理,开通临时工账号、代理域认证;
(6) 短信网关:复用中韩人寿保险现有的短信通道,用于发送短信密码;

(7)AD域:存储员工用户名,认证系统调用员工账号密码信息。

 

认证流程

员工、临时工采用账号密码认证流程

(1)员工及临时工采用同一认证页面如下:

\

图2-员工、临时工登陆界面

(2)员工账号密码来自于AD,临时工账号密码在DKEY WMS上由管理员建立,根据需要设定账号有效期,实现账号管理员工与临时工分离,DKEY WMS可同时支持AD和内建账号源,且不保存AD账号信息,DKEY WMS先将账号传递给AD认证,如果认证通过,则返回给无线控制器认证结果,否则再在DKEY WMS内部进行认证;

\

图3-DKEY WMS支持AD及内建两种账号源

 

访客动态密码认证流程

(1)被访员工开通其访客的手机上网权限;
       此种方式无需要前台干预,员工通过电脑或手机输入访客的姓名、公司信息及手机号并提交即可开通;

\

图4-员工协助其访客开通临时上网权限

 (2)访客输入手机号并获取动态密码;

第一步:用户输入手机号和及验证码,并提交申请;
第二步:将手机上获取的动态密码输入密码框,并提交登录

\

图5-访客通过手机号及动态密码认证