崇左新闻网

什么是Portal认证

根据国家互联网接入规定,必须在上线前进行身份认证。考虑到移动终端的复杂性,在终端上安装认证客户端进行身份认证是不现实的。几乎所有智能终端都配备了网络浏览器。最好通过网页进行身份验证。

Portal认证(也称为Web认证)可以为用户提供网页形式的身份认证和个性化信息服务。

Portal认证系统的典型组网方式包括四个基本要素:认证客户端,接入设备,Portal服务器和AAA服务器。

5cae9094a55b4471b3ae39136ef3874d

什么是Portal认证

Portal认证设备元素

身份验证客户端:运行HTTP协议的浏览器或运行Portal客户端软件的主机。

接入设备:如交换机,路由器或AC(接入控制器)。如果网络被认为是高层建筑,则接入设备是防护装置,防护装置必须让它进入。访问设备有三个主要功能:

在身份验证之前,来自身份验证网段中用户的所有HTTP请求都会重定向到Portal服务器。

在认证过程中,Portal服务器和AAA服务器进行交互,完成身份认证/授权功能。

身份验证后,允许用户访问管理员授权的Internet资源。

Portal服务器:服务器端系统,从门户网站客户端接收身份验证请求,提供免费门户服务和基于Web的身份验证接口,并与访问设备交互以验证客户端身份验证信息。

门户服务器可以分为内置门户服务器和外部门户服务器。通常,交换机/AC将具有内置门户服务器,帐户和密码将保存在交换机/AC中。由于访问设备的存储空间,功能和性能限制,内置门户服务器仅适用于功能简单且访问器较少的场景。例如,由小餐馆提供的互联网连接服务。

如果需要实现微信访问和短信访问等复杂功能,内置Portal服务器不具备访问设备的功能。因此,需要独立于访问设备的硬件服务器来承载Portal认证服务。

通过单独的硬件服务器保证足够的存储空间和性能,扩展外部Portal服务器的功能。例如,时间控制器服务器中的Portal Server组件在用户密集的位置(如体育场,机场,地铁和购物中心)提供可靠的身份验证和访问服务。

不同的用户可能对网络具有不同的访问权限。例如,访客身份验证仅允许访问Internet,而员工身份验证可以访问内部业务系统。终端认证后的接入网络的大小最终由AAA服务器确定。

Portal认证既可以应用于有线终端认证,也可以应用于无线终端认证,可以在网络中构建有线和无线集成接入解决方案。可以通过交换机访问有线终端的门户认证,并且可以通过使用无线接入设备完成无线终端的Portal认证。门户认证技术成熟,广泛应用于运营商,快餐连锁店,酒店,学校等网络。

2fe98d8d41a946faaba70e82084807c2

1.用户访问网站并通过AC重定向到Portal服务器,从而推送认证页面。

2.用户填写用户名和密码,提交页面并向Portal服务器发起连接请求。

3.来自AC的服务器请求

4.AC向Portal服务器分配挑战;

5. Portal服务器向AC发起认证请求。

6. AC进行认证,获取RADIUS认证结果。

7. AC将验证结果发送给Portal服务器。

8. Portal服务器填写验证结果页面并将其与门户一起推送到客户端。

9. Portal服务器响应确认收到验证结果的消息。

Portal认证具有以下优点:

l无需安装客户端。使用网页身份验证,易于使用,减少客户端的维护工作量。

l易于操作。业务开发可以在Portal页面上进行,如广告展示,责任公告,企业推广等。

l提供计费功能,限制终端通过计费功能访问网络的时间。

门户认证具有明显的优势,因此无处不在。

4a0c74058a8e4a05ad6fab3a05d41cac

在Portal的身份验证解决方案中,用户首次访问WLAN网络身份验证过程如图1所示。具体的认证过程如下:

步骤1.用户连接到WLAN网络的SSID通过DHCP服务器获取IP地址信息。

步骤2. AC将监控用户的互联网流量。

步骤3,当AC监控的用户流量达到阈值时(例如,流量阈值可以设置为5分钟,累计流量为10kB),AC将向MAC绑定服务器发起MAC查询请求。

步骤4,MAC绑定服务器将查询结果返回给AC:未绑定终端MAC信息。 (由于此最终用户首次连接到WLAN网络,因此MAC绑定服务器中没有此终端的MAC地址信息)

步骤5,AC将根据正常的Portal流程将Portal认证页面重定向到终端。

步骤6,用户终端输入用户名和密码信息以启动Portal认证。

步骤7,AC与Portal服务器和AAA服务器之间的Portal认证。

步骤8. Ac向mac绑定服务器发起mac绑定请求。 MAC绑定服务器完成用户终端的MAC地址信息与Portal账户的绑定。

步骤9.用户身份验证成功,可以正常访问Internet。

e19571ffaef044178ad1924d855e1818

在Portal的非感知认证解决方案中,用户重新访问WLAN网络认证过程,如图2所示。具体的认证过程如下:

步骤1.用户连接到WLAN网络的SSID通过DHCP服务器获取IP地址信息。

步骤2. AC将监控用户的互联网流量。

步骤3,当AC监控的用户流量达到阈值时(例如,流量阈值可以设置为5分钟,累计流量为10kB),AC将向MAC绑定服务器发起MAC查询请求。

步骤4. MAC绑定服务器将查询结果返回给AC:绑定终端MAC信息,并将终端Portal帐户/密码信息携带到AC,启动Portal认证。 (因为此最终用户完成了第一次登录,MAC地址,Portal帐户/密码已在MAC绑定服务器中受信息限制)

步骤5. AC与Portal服务器和AAA服务器之间的Portal认证。

步骤6.用户身份验证成功,可以正常访问Internet。

在Portal的非感知认证解决方案中,用户可以被动地通过空闲切割模式离线。也就是说,AC在一段时间内没有检测到用户流量。 AC强制用户离线,如图3所示:

步骤1. AC将监控用户的互联网流量。

结算结束消息。

步骤3. AC强制用户下线。

5f72a627f71f4034a87ec84c0daffb15

同时,在Portal非感知认证解决方案中,用户还可以考虑使用SMS主动离线模式完成用户离线。具体过程如图4所示:

步骤1.用户向短消息网关发送离线请求短消息(例如10085XXQQ)。

步骤2.当SMS网关收到用户请求离线的消息时,它将通知MAC绑定服务器。

步骤3,MAC绑定服务器向AC设备发送离线请求。

步骤4.AC接收离线请求并向AAA发送计费结束消息。

步骤5. AC强制用户下线。

通过介绍Portal非感知认证解决方案的相关流程,可以看出该解决方案极大地简化了最终用户的Portal访问流程,使最终用户能够进行一次永久性身份验证,无需输入用户名/密码。每次页面。信息的操作重复而冗长,大大改善了过程。讨论了WLAN网络中门户认证接入的网络体验和可操作性。

同时,我们可以看到,与以前的Portal解决方案相比,Portal非感知认证解决方案需要添加一个mac绑定服务器来完成记录信息的功能,如mac,account/password,Portal认证等用户终端等。为了简化最终用户的操作并确保最终用户重新访问零配置。目前,H3C IMC软件管理平台已经支持Mac绑定服务器的功能,并且可以在Portal非感知认证解决方案中扮演Mac绑定服务器的角色。