**
一、门户认证是什么*
根据国家有关互联网的规定,上网前必须进行身份认证。 考虑到移动终端的复杂性,在终端上安装认证客户端进行认证是不现实的。 大多数智能终端都配备了网络浏览器。 最好通过网页认证。
门户认证(也称为Web认证)作为网页向用户提供认证和个性化信息服务。
门户认证系统的典型组网方式包括认证客户机、访问设备、门户服务器、AAA服务器四个基本要素。
Portal认证设备要素
认证客户端—运行HTTP协议的浏览器或运行门户客户端软件的主机。
接入设备:交换机、路由器或接入控制器(AC )。 如果互联网被认为是高层建筑,则接入设备是门卫,门卫必须放入。 访问设备有三个主要功能。
认证之前,认证网段中的用户发出的所有HTTP请求都将重定向到门户服务器。
在认证过程中,与端口服务器和AAA服务器进行交互,完成认证/授权功能。
认证后,用户可以访问管理员批准的互联网资源。
一种服务器端系统,用于从门户客户端接收认证请求,提供免费的门户服务和基于Web的认证界面,并与访问设备进行交互以认证客户端的认证信息。
入口服务器可以分为内置入口服务器和外部入口服务器。 交换机/交流电源通常具有内置的入口服务器,帐户和密码存储在交换机/交流电源中。 由于存储空间、功能和访问设备的性能限制,集成门户服务仅适用于功能简单、访问较少的场景。 例如,餐厅提供的网络连接服务。
如果需要实现微信访问、短信访问等复杂功能,考虑到访问设备的性能和认证经验,内置门户服务器没有能力,因此需要独立于访问设备的硬件服务器来承载门户认证服务。
通过独立硬件服务器提供足够的存储容量和性能,您可以充分扩展外部入口服务器的功能。 例如,时间消息传递控制器服务器的端口服务组件在用户密集的地方(如体育馆、机场、地铁和大型商场)提供可靠的认证和访问服务。
AAA服务器:与接入设备交互,完成用户认证、计费和授权。
不同的用户对网络的访问权限可能不同。 例如,来宾身份验证仅允许访问互联网,而员工身份验证允许访问内部业务系统。 终端认证后的接入网的规模最终由AAA服务器决定。
门户认证既适用于有线终端认证,也适用于无线终端认证,可以在网络中构建有线无线综合接入方式。 有线终端的门户认证可以通过交换机访问,无线终端的门户认证可以通过无线接入设备进行。 门户认证技术成熟,广泛应用于运营商、快餐连锁、酒店、学校等网络。
2.Portal验证过程
1 .当用户访问此网站并通过交流重定向到门户服务器时,认证页将被推送。
2 .用户填写用户名和密码,提交页面,并向端口服务发起连接请求。
3 .门户服务器向交流请求
4 .交流向门户服务器分配挑战;
5 .门户服务器向AC发出认证请求。
6 .进行AC认证,获得RADIUS认证结果。
7.AC将验证结果发送到门户服务器。
8 .端口服务填写验证结果页面,并与门户网站一起推送给客户。
9 .门户服务器对确认接收到认证结果的消息进行响应。
Portal认证具有以下优点:
l不需要安装客户端。 使用网页认证,方便使用,减少客户端维护工作量。
L运营很容易。 门户页面可以开展广告展示、责任公告、企业宣传等业务拓展。
l提供计费功能,通过计费功能限制终端访问网络的时间。
门户认证的好处很明显,所以无处不在。
三、当Portal用户首次接入,自动完成MAC绑定
在门户认证解决方案中,用户首次访问WLAN网络的认证过程如图1所示。 具体的认证流程如下。
第一步。 用户连接到WLAN网络的SSID并从DHCP服务器获取IP地址信息。
第二步。 交流监控用户的互联网流量。
第三步。 如果交流监视的用户流量达到阈值(例如,流量阈值可以设置为5分钟累计流量10kB ),则交流向MAC绑定服务器发起MAC查询请求。
第四步。 MAC绑定服务器向AC:的未绑定终端MAC信息返回查询结果。 (由于此最终用户是第一次连接到WLAN网络,因此MAC绑定服务器没有此终端的MAC地址信息。)
步骤5和交流按照常规门户过程将门户认证页重定向至终端。
第六步。 用户终端输入用户名和密码信息以开始门户认证。
第七步。 实现AC和门户服务器以及AAA服务器之间的门户认证。
第八步。 从交流到ma
c绑定服务器发起mac绑定请求。MAC绑定服务器完成用户终端的MAC地址信息与Portal帐户的绑定。第9步。用户身份验证成功,并且可以正常访问Internet。
四.Portal用户再次访问,后台自动认证,用户零配置。
在Portal的无感知认证解决方案中,用户重新访问WLAN网络认证过程,如图2所示。具体认证流程如下:
第1步。用户连接到WLAN网络的SSID,通过DHCP服务器获取IP地址信息。
第2步。AC将监控用户的互联网流量。
第3步。当AC监控的用户流量达到阈值时(例如,流量阈值可以设置为5分钟累计流量为10kB),AC将向MAC绑定服务器发起MAC查询请求。
第4步。MAC绑定服务器将查询结果返回到AC:终端MAC信息被绑定,并将终端Portal帐户/密码信息携带到AC以启动Portal身份验证。(由于此最终用户完成了第一次登录,MAC地址、Portal帐户/密码已在MAC绑定服务器中完成了信息绑定)
第5步。实现AC和Portal服务器以及AAA服务器之间的Portal认证。
第6步。用户身份验证成功,并且可以正常访问Internet。
五、用户离线模式
在Portal的无感知认证解决方案中,用户可以通过空闲切割模式被动离线,即AC在一段时间内没有检测到用户流量,AC强制用户离线,如图3所示:
第1步。AC将监控用户的互联网流量。
第2步。如果AC在一段时间内(例如15分钟)没有检测到任何流量,它会向AAA发送一条账单结束消息。
第3步。AC强制用户离线。
同时,在Portal无感知认证解决方案中,用户还可以考虑使用短信主动离线模式完成用户离线,具体流程如图4所示:
第1步。用户向短消息网关发送离线请求短消息(如10085XXQQ)。
第2步。当SMS网关收到用户请求脱机的消息时,它将通知MAC绑定服务器。
第3步。MAC绑定服务器向AC设备发送脱机请求。
第4步。AC接收离线请求并向AAA发送账单结束消息。
第5步。AC强制用户离线。
通过介绍上述Portal无感知认证解决方案的相关流程,可以看出,该方案大大简化了最终用户的Portal访问流程,使最终用户一次认证,永久访问,消除了每次在页面中输入用户名/密码信息的操作重复而冗长,大大提高了流程。讨论了WLAN网络中门户认证接入的网络经验和可操作性。
同时,我们可以看到,与以前的Portal解决方案相比,Portal无感知认证解决方案需要添加一个mac绑定服务器来完成记录信息的功能,如mac、账户/密码、启动用户终端的Portal认证等,从而实现简化终端用户的操作,确保终端用户零配置的重新访问。目前,H3C IMC软件管理平台已经支持Mac绑定服务器的相关功能,可以在Portal非感知认证解决方案中发挥Mac绑定服务器的作用。(本文来自:时讯无线)