基于认证、计费、授权协议的门户认证实现方法

摘要

本发明公开了一种基于认证、计费、授权协议的门户认证实现方法，该方法首先使用户通过网络接入IP地址游览接入提供商的Portal网站，获取认证网页，在认证网页中输入安全性信息并发给Portal Server，由Portal Server在收到该信息后，按RADIUS协议将其组装为认证请求数据包发给NAS，NAS做为代理将上述认证请求数据包进一步发给RADIUS服务器，由RADIUS服务器返回认证结果，如果认证结果为认证成功，NAS在本地对用户连接进行授权，同时NAS向Portal Server发送认证响应，由Portal Server通过认证网页通知客户端认证结果；采用上述方案能有效解决局域网用户级节点的网络接入的认证问题。

说明书

技术领域

本发明涉及网络系统的接入方法，具体地说涉及到基于认证、计费、授权协议的网络接入中的认证、计费方法。

背景技术

在局域网的发展过程中，交换式的局域网(LANswitch)很好的解决了网络性能问题，虚拟局域网(VLAN)有效的解决了网络安全性的问题。将交换局域网与虚拟局域网结合起来，组成交换式的虚拟局域网很好的解决了上述两个问题，使局域网(LAN)具备可管理的特性。但是局域网的一个基本特征并没有改变，那就是只有链路的建立和管理，而没有接入的认证和授权。而接入认证、计费是网络可运营的基本特征。不能对接入的节点进行有效的认证的网络难以被网络运营商(ISP)所采用。所以在宽带网的建设中，采用LAN组网必须解决认证计费问题。目前在局域网环境下常用的接入管理有下面两种，参考图1。

1、采用VLAN技术组网的网络，可以通过虚拟局域网标识(VLANID)来标识用户，所以如果每个VLAN下只有一个终端节点，可以通过VLANID来控制是否允许用户接入。这种方法是将链路与用户一一对应起来。

2、将点对点协议(PPP协议)应用到以太网上(PPPoE)，就可以解决局域网络的认证计费问题。利用PPP协议在Ethernet网上建立点对点的逻辑链路，完成对用户的鉴权。

通常，由接入层的设备和基于RADIUS(Remote Authentication Dial InUser Service)协议的AAA(认证、计费、授权，Authenticator、Accounting、Author)服务器共同为Intemet接入的用户提供丰富的业务，如图1所示。接入层的设备主要为用户提供入网的物理通路和各种业务。AAA服务器主要的任务是认证用户的合法身份、业务策略的制定、业务的管理、用户的管理等。比如接入设备具有为用户分配一定带宽的功能，而AAA服务器为不同的用户制定不同的带宽策略，接入设备执行AAA服务器的决策，从而使不同的用户使用不同的带宽。

现有的基于RADIUS协议的认证、授权、计费方法如下面所述：当用户上网时，在计算机上通过PPP拨号等客户机软件将用户名和密码等信息发送到接入设备上，接入设备根据这些信息生成一个RADIUS报文(报文类型为接入请求(Access-Request))，报文包含用户名、密码、接入的物理位置信息等属性，接入设备将这个报文通过UDP/IP网络发送到AAA服务器。AAA服务器收到Access-Request报文后，根据它的数据库记录和决策方案产生认证结果，如果认证失败，就向接入设备返回拒绝接入(Access-Reject)报文，如果认证通过，则返回接受接入(Access-Accept)报文同时在返回的报文中包含授权的属性信息，如用户的IP地址、上网时限、带宽等。接入设备收到上述报文后，将通知用户认证成功和失败的消息，如果是认证通过，则根据服务器下发的授权信息，有限的开放网络权限，同时向AAA服务器发送计费请求(Accounting-Request)报文，报文中有一个属性标志计费状态为开始计费。AAA服务器收到Accounting-Request报文后，将把当前时间记入数据库中，作为计费的开始时间点，同时返回计费响应(Accounting-Response)报文之后，接入设备每隔一定的时间间隔发送Accounting-Request报文，报文中有一个属性标志计费状态为实时计费，AAA服务器收到Accounting-Request报文后，将计费信息记录到数据库中，同时返回Accounting-Response报文。进行实时计费报文交互的目的是为避免在用户上线的过程中接入设备、RADIUS服务或网络出现异常而损失掉全部计费信息。

在计费的过程中间，用户可能随时下网，接入设备收到用户的下网通知后，向AAA服务器发送一个Accounting-Request报文，报文中有一个属性标志计费状态为停止计费。AAA服务器收到该Accounting-Request报文后，将当前时间记录到数据库中，作为计费的结束时间点，同时返回Accounting-Response报文。

按照上述过程，采用VLAN ID来标识用户的认证解决方案的主要缺点在于：1、认证的粒度只能做到VLAN一级，也就是说，通过同一个VLAN端口上网的几个节点不能被有效的区分，每一个节点都占用一个单独的VLANID。2、组网缺乏灵活性，并且VLANID的管理也是一大难题，新增、删除、移动用户都涉及到VLAN ID的修改，必须在设备上进行管理维护，当VLAN交换机的数目越来越多的时候，将耗费很大的人力物力。

采用PPPoE的认证实现方式的主要缺点在于：1、流程复杂，它包括PPPOE发现(Discovery)阶段和PPP会话阶段，因此连接建立费时长；在局域网的数据链路层上再建立一层链路，效率低下。2、PPPoE的客户机需要安装专门的PPPoE认证客户软件，增加客户的成本和使用上的不方便。3、PPPoE是点对点的链路，不支持组播。

发明内容

本发明的目的在于提供一种基于认证、计费、授权协议的门户认证实现方法，使用该方法能有效解决局域网用户级节点的网络接入的认证问题。

为达到上述目的，本发明提供的第一种基于认证、计费、授权协议的门户认证实现方法，包括下述步骤：

步骤11：用户通过网络接入IP地址游览接入提供商的门户(Portal)网站，获取认证网页；

步骤12：用户在认证网页中输入安全性信息并发给门户服务器(PortalServer)；

步骤13：Portal Server在收到该信息后，按认证、计费、授权协议(RADIUS协议)将其组装为认证请求数据包发给网络接入服务器(NAS)；

步骤14：NAS做为代理将上述认证请求数据包进一步发给RADIUS服务器；

步骤15：RADIUS服务器返回认证结果，所述认证结果有接收(Accept，通过认证)和拒绝(Reject，没有通过认证)两种，如果认证结果为接收，NAS在本地对用户连接进行授权，同时NAS向Portal Server发送认证响应，由Portal Server通过认证网页通知客户端认证结果。

本发明提供的第二种基于认证、计费、授权协议的门户认证实现方法，包括下述步骤：

步骤21：用户通过网络接入IP地址游览接入提供商的Portal网站，获取认证网页；

步骤22：用户在认证网页中输入安全性信息并发给Portal Server；

步骤23：Portal Server在收到该信息后，按RADIUS协议将其组装为认证请求数据包发给NAS，如果认证请求数据包中的安全性信息没有用户口令(User-Password)和采用加密算法加密的用户口令，则

步骤24：NAS用盘问(Access-Challenge)报文向Portal Server发送加密算法需要的盘问码(Challenge)；

步骤25：Portal Server再次构造认证请求数据包，在数据包中将用户密码用加密算法加密后与用户名等信息一起发给NAS；

步骤26：NAS做为代理将上述认证请求数据包进一步发给RADIUS服务器；

步骤27：RADIUS服务器返回认证结果，所述认证结果有接收(Accept，通过认证)和拒绝(Reject，没有通过认证)两种，如果认证结果为接收，NAS在本地对用户连接进行授权，同时NAS向Portal Server发送认证响应，由Portal Server通过认证网页通知客户端认证结果。

本发明提供的第三种基于认证、计费、授权协议的门户认证实现方法，包括下述步骤：

步骤31：用户通过网络接入IP地址游览接入提供商的Portal网站，获取认证网页；

步骤32：用户在认证网页中输入安全性信息并发给Portal Server

步骤33：Portal Server在收到该信息后，按RADIUS协议将其组装为认证请求数据包发给网络接入服务器(NAS)；

步骤34：NAS做为代理将上述认证请求数据包进一步发给RADIUS服务器；

步骤35：RADIUS服务器向NAS发接入盘问(Access-Challenge)报文，要求再次认证；

步骤36：NAS将该报文转发给Portal Server，Portal Server再次对用户密码进行加密，并重新组装认证请求报文发给NAS；

步骤37：NAS做为代理将上述认证请求数据包进一步发给RADIUS服务器；

步骤38：RADIUS服务器返回认证结果，所述认证结果有接收(Accept，通过认证)和拒绝(Reject，没有通过认证)两种，如果认证结果为接收，NAS在本地对用户连接进行授权，同时NAS向Portal Server发送认证响应，由Portal Server通过认证网页通知客户端认证结果。

本发明提供的第四种基于认证、计费、授权协议的门户认证实现方法，包括下述步骤：

步骤41：用户通过网络接入IP地址游览接入提供商的Portal网站，获取认证网页；

步骤42：用户在认证网页中输入安全性信息并发给Portal Server；

步骤43：Portal Server发送接入请求报文(Access-Request)报文给NAS；

步骤44：NAS将接收到的Access-Request报文中的可扩展的认证协议(EAP，Extensible Authentication Protocol)属性转发给RADIUS Server；

步骤45：RADIUS Server发送响应报文Access-Challenge(接入盘问报文)到NAS设备；

步骤46：NAS将Access-Challenge报文中的EAP属性转发给PortalServer。

步骤47：重复上述步骤43到步骤46，直到RADIUS服务器向NAS响应Access-Accept或者Access-Reject报文；

步骤48：RADIUS服务器返回的认证结果有接收(Accept，通过认证)和拒绝(Reject，没有通过认证)两种，如果认证结果为接收，NAS在本地对用户连接进行授权，同时NAS向Portal Server发送认证响应，由PortalServer通过认证网页通知客户端认证结果。

本发明提供的第五种基于认证、计费、授权协议的门户认证实现方法，包括下述步骤：

步骤51：用户通过网络接入IP地址游览接入提供商的Portal网站，获取认证网页；

步骤52：用户在认证网页中输入安全性信息并发给Portal Server；

步骤53：Portal Server直接向RADIUS Server发认证请求；

步骤54：RADIUS Server向Portal Server发认证响应；

步骤55：Portal Server向NAS发Triger Request(触发请求)报文，所述Triger报文为自定义报文，其属性包括Framed-IP-Address(用户IP地址)、Event-Timestamp(事件时间戳)等授权信息，比较Event-Timestamp与NAS上的当前时间，在设定的时间范围内允许用户接入，如果允许用户接入，则对该用户的IP建立连接，打开连接权限；

步骤56：NAS对连接设置权限完成后，向Portal Server返回Triger-ack(触发响应)消息，该消息内容为权限设置成功或失败。

在上述各种方法中还包括：用户通过动态主机配置协议(DHCP)从NAS获取网络接入的IP地址。

在上述各种方法中，用户在认证网页中输入安全性信息通过保密的超文本传输协议(HTTPS)发给Portal Server。

上述各种方法还包括：在用户认证通过后的上网过程中，采用故障检测的方法控制对用户的计费操作。

本发明的优点在于：1、与采用VLAN ID来标识用户的认证解决方案相比，由于基于VLAN ID的管理方式管理粒度只能做到VLAN ID一级，并且VLAN ID的管理也是一大难题，新增、删除、移动用户都涉及到VLANID的修改，必须在设备上进行管理维护，而Portal认证方式的粒度可以做到用户级，而且用户可以自己选择ISP。2、与专用认证客户端(如PPPOE客户端)相比，WEB服务器的内容及认证流程由运营商控制，升级与改变可集中进行。由于在本发明提供的Portal认证方式中，WEB浏览器已经相当普及，一般不用重新安装；并且它的形式为大多用户所熟悉和接受，几乎不用培训即可操作。另外，Portal认证易于实现强制Portal认证，这种情况下用户甚至无需知道WEB服务器的IP地址，只要发出浏览任一WEB服务器的请求就可认证等等。同时Portal认证方式易于实现小区广播或存放其它内容供用户免费使用。总之，本发明提供的通过WEB门户网页认证的方式解决了对宽带网络下的用户做认证的问题，对认证设备的改动较小，而对RADIUS服务器则不需要改动。

附图说明

图1是目前接入网的用户与服务器结构示意图；

图2是本发明的门户认证方式的用户网络接入结构示意图；

图3是门户服务器只与接入设备直接交互实现用户认证的逻辑结构图；

图4是代理方式中的PAP认证方式流程图；

图5是代理方式中的第一种CHAP认证方式流程图；

图6是代理方式中的第二种CHAP认证方式流程图；

图7是代理方式中的EAP认证方式流程图；

图8是门户服务器直接与RADIUS服务器交互实现用户认证的逻辑结构图；

图9是直接方式的门户服务器通告认证方式流程图。

具体实施方式

下面结合附图对本发明作进一步详细的描述。

对局域网接入的控制，可以在多个控制点实施。在图2的接入结构中，主要由边缘接入层、接入层、汇聚层组成。对接入的授权可以在边缘接入层，也可以在接入层或汇聚层实施。边缘接入层一般采用VLAN交换机等二层设备作为入网终端设备，只提供物理接入链路的功能，而接入层以上是三层的设备，具有IP转发的能力。图2中的接入层设备为NAS(网络接入服务器)。门户(Portal)认证功能是对三层接入(IP层)的访问控制，所以必须在具有IP报文识别能力的设备上实现。

首先，客户机通过DHCP(动态主机配置协议)协议获取到IP地址(也可以使用静态IP地址)，但是客户使用获取到的IP地址并不能上互联网，在认证通过前只能访问特定的IP地址，这个地址通常是Portal服务器(Portal Server)的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过实施访问控制表(ACL)实现。

用户登录到Portal Server后，可以浏览上面的内容，比如广告、新闻等免费信息，同时用户还可以在网页上输入用户名和密码，它们会被WEB客户端应用传给Portal Server，再由Portal Server与NAS或RADIUS服务器(RADIUS Server)之间交互来实现用户的认证。本发明按照PortalServer是否直接和RADIUS Server交互而分为两种方式。把Portal Server只通过NAS做认证的方法称为代理方式，把Portal Server直接与RADIUSServer交互进行认证的方式称为直接方式。它们之间的报文交换都按照RADIUS协议规定的格式，在报文类型和属性上有扩展。

本发明提供的Portal认证方式分为：主动Portal认证、强制Portal认证两种。前面提到的用户主动访问Portal服务器进行认证的方式为主动Portal认证。

对于强制Portal认证，用户通过认证前，接入设备(有时称为接入服务器，NAS)丢弃所有该用户其它类型的报文，除了他的报文为TCP报文并且端口号是HTTP协议的知名端口号。如果是这样，NAS将IP重定向到特定的IP地址(通常为Portal服务器的IP地址)。也就是说，不管用户输入什么IP地址进行WEB浏览，他都将被重定向到运营商的WEB主页上(也就是认证界面)。

在本发明的具体应用中，强制Portal认证可以是一项可选业务，接入设备可以没有这个能力。在这种情况下，用户认证通过之前，除了他明确访问运营商的WEB网站，否则任何其它的IP报文都会被接入设备丢弃，用户必须在浏览器中显式地输入Portal Server的IP地址。

实现代理方式认证结构的组网图与各结点间的通信关系参考图3。PortalServer在获得用户的用户名和密码外，还会得到用户的IP地址。然后它与NAS之间用RADIUS协议直接通信，而NAS又与RADIUS直接通信完成用户的认证过程。

图4是代理方式中的PAP(PPP认证协议)认证方式流程图，其具体的认证过程参考下述过程：

1、每个连接到接入设备上的用户机开机时自动通过动态主机配置协议(DHCP)过程从NAS获取唯一的IP地址；如果是静态IP地址用户，该步骤省略；

2、用户游览接入提供商的Portal网站，获取认证网页，同时还可游览社区广告、通知等内容；

3、用户在认证页面中输入安全性信息，如帐号、密码，由WEB客户端发给Portal Server。用户名、密码的安全性可以由HTTPS(保密的HTTP协议，HTTP：超文本传输协议)保证；

4、Portal Server在收到该信息后，按RADIUS协议组装为以PAP(PPP认证协议)方式加密的认证请求数据包发给NAS。Portal Server与NAS间的必须有一个用于MD5加密算法的共享密钥；

5、NAS做为RADIUS代理(Proxy)将认证请求进一步发给RADIUS服务器，实际中NAS设备也可能根据需要对RADIUS报文进行修改，增加某些属性；

6、RADIUS服务器返回认证结果，认证结果有接收(Accept，通过认证)和拒绝(Reject，没有通过认证)两种；

7、如果成功NAS在本地对用户连接进行授权；

8、NAS向Portal Server发认证响应；

9、Portal Server通过WEB方式通知客户端认证结果。

图5是代理方式中的CHAP(基于盘问握手的认证协议，ChallengeHandshake Authentication Protocol)认证方式流程图，其具体的认证过程参考下述过程：

1、每个连接到接入设备上的用户机开机时自动通过动态主机配置协议(DHCP)过程从NAS获取唯一的IP地址；如果是静态IP地址用户，该步骤省略；

2、用户游览接入提供商的Portal网站，获取认证网页，同时还可游览社区广告、通知等内容；

3、用户在认证页面中输入安全性信息，如帐号、密码，由WEB客户端发给Portal Server。用户名、密码的安全性可以有HTTPS(保密的HTTP协议，HTTP：超文本传输协议)保证；

4、Portal Server将上述安全性信息按RADIUS协议组装为认证请求包发送给NAS。如果没有User-Password和CHAP-Password(采用MD5算法加密的用户口令)则表明它需要一个用于CHAP的Challenge，则，

5、NAS用Access-Challenge报文向Portal Server发送CHAP用的Challenge；

6、Portal Server再次构造认证请求数据包，在数据包中将用户密码用该MD5-CHAP加密后与用户名等信息一起发给NAS；

7、NAS做为RADIUS代理(Proxy)将认证请求进一步发给RADIUS服务器，实际中NAS设备也可能根据需要对RADIUS报文进行修改，增加某些属性；

8、RADIUS服务器返回认证结果，认证结果有接收(Accept，通过认证)和拒绝(Reject，没有通过认证)两种；

9、如果成功NAS在本地对用户连接进行授权；

10、NAS向Portal Server发认证响应；

11、Portal Server通过WEB方式通知客户端认证结果。

由于上述加密用的Challenge也可以从RADIUS服务器获取，于是还有下述代理方式中的CHAP认证方式，参考图6，其具体的认证过程参考下述过程：

1、每个连接到接入设备上的用户机开机时自动通过动态主机配置协议(DHCP)过程从NAS获取唯一的IP地址；如果是静态IP地址用户，该步骤省略；

2、用户游览接入提供商的Portal网站，获取认证网页，同时还可游览社区广告、通知等内容；

3、用户在认证页面中输入安全性信息，如帐号、密码，由WEB客户端发给Portal Server。用户名、密码的安全性可以有HTTPS(保密的HTTP协议，HTTP：超文本传输协议)保证；

4、Portal Server在收到该信息后，按RADIUS协议组装为以PAP(PPP认证协议)方式加密的认证请求数据包发给NAS。Portal Server与NAS间的必须有一个用MD5加密算法的共享密钥；

5、NAS做为RADIUS代理(Proxy)将认证请求进一步发给RADIUS服务器，实际中NAS设备也可能根据需要对RADIUS报文进行修改，增加某些属性；

6、RADIUS可能会向NAS发Access-Challenge报文，要求再次认证；

7、NAS将该报文转发给Portal Server。在该过程中，NAS只作为一个中间的代理工作；

8、Portal Server会再次对用户密码进行加密，重新组装认证请求报文发给NAS；

9、NAS做为RADIUS代理(Proxy)将认证请求进一步发给RADIUS服务器，实际中NAS设备也可能根据需要对RADIUS报文进行修改，增加某些属性；

10、RADIUS服务器返回认证结果，认证结果有接收(Accept，通过认证)和拒绝(Reject，没有通过认证)两种；

11、如果成功NAS在本地对用户连接进行授权；

12、NAS向Portal Server发认证响应；

13、Portal Server通过WEB方式通知客户端认证结果。

上述方式都是NAS充当中间者的作用，因此它要实现RADIUS客户端和服务器端的部分功能。

图7是代理方式中的EAP认证方式流程图，本发明中，EAP认证做为一种可扩展的接入认证协议，最大的特点是不需要设备干预认证的具体过程，设备需要做的只是透传。其具体的认证过程参考下述过程：

1、每个连接到接入设备上的用户机开机时自动通过动态主机配置协议(DHCP)过程从NAS获取唯一的IP地址；如果是静态IP地址用户，该步骤省略；

2、用户游览接入提供商的Portal网站，获取认证网页，同时还可游览社区广告、通知等内容；

3、用户在认证页面中输入安全性信息，如帐号、密码，由WEB客户端发给Portal Server。用户名、密码的安全性可以有HTTPS(保密的HTTP协议，HTTP：超文本传输协议)保证；

4、Portal服务器发送Access-Request报文，报文的格式符合RFC2869中关于EAP的描述。

5、NAS设备将Portal服务器的Access-Request报文中的EAP属性转发给RADIUS服务器，报文的格式符合RFC2869中关于EAP的描述。

6、RADIUS服务器发送响应报文Access-Challenge报文到NAS设备，报文的格式符合RFC2869中关于EAP的描述。

7、NAS设备将RADIUS服务器的Access-Challenge报文中的EAP属性转发给Portal服务器。

8、重复上述步骤4到步骤7，直到RADIUS服务器响应Access-Accept或者Access-Reject报文为止，或者这个协商的过程由于某种原因发生了中断。

9、如果成功(NAS收到Access-Accept报文)NAS在本地对用户连接进行授权；

10、NAS向Portal Server发认证响应；

11、Portal Server通过WEB方式通知客户端认证结果。

从上面的流程可以看出，对于EAP方式，NAS只是做为一个中介结构传递EAP属性，用户的认证信息如用户名、密码等则封装在EAP属性里，NAS设备不需知道。EAP的协商过程可以重复多次，直到RADIUS服务器响应了Access-Accept报文或者Access-Reject报文。RADIUS服务器响应了Access-Accept报文后，NAS设备必须执行打开用户访问权限的操作，表示用户通过认证可以访问Internet了。

另一种认证方式是由Portal Server作为RADIUS客户端直接与RADIUS服务器交互实现用户的认证，参考图8，这种方式下，Portal Server取得用户名和密码后不是通过NAS认证，而是直接到RADIUS Server上去认证。一种有代表性的情况是RADIUS Server和Portal Server在同一个机器上。在认证通过后再以某种方式通知NAS。其具体的认证过程参考图9所示的过程：

1、每个连接到接入设备上的用户机开机时自动通过动态主机配置协议(DHCP)过程从NAS获取唯一的IP地址；如果是静态IP地址用户，该步骤省略；

2、用户游览接入提供商的Portal网站，获取认证网页，同时还可游览社区广告、通知等内容；

3、用户在认证页面中输入安全性信息，如帐号、密码，由WEB客户端发给Portal Server。用户名、密码的安全性可以有HTTPS(保密的HTTP协议，HTTP：超文本传输协议)保证；

4、Portal Server直接向RADIUS Server发认证请求；

5、RADIUS Server向Portal Server发认证响应；

6、Portal Server向NAS发Triger Request报文；该报文类型为自定义，类型码是一个与已经有标准RFC2865和RFC2866(请求注释协议)定义的RADIUS报文类型不同的值。属性包括Framed-IP-Address、Event-Timestamp和其它授权信息等。为防止第三者重发捕获的报文实施欺骗，要比较Event-Timestamp与设备上的当前时间，误差在一定范围内才允许用户接入。如果允许接入则对该用户的IP建立连接，打开权限。

7、NAS对连接设置权限完成后，向Portal Server返回Triger-ack消息，内容为权限设置成功或失败。

8、对用户进行配置。

9、用户接入网络。

由于RADIUS协议不具备RADIUS服务器主动发送协议报文到NAS设备的能力，所以需要对RADIUS协议进行扩充，在RADIUS+1.1协议中增加了两种编号的报文(Iriger-Request、Triger-Ack)。

当RADIUS服务器完成对用户的认证后，需要通知NAS设备打开用户访问Internet的权限，RADIUS服务器通过发送一个Triger-Request报文给NAS设备来完成这个工作。NAS设备收到Triger-Request报文后，打开相应的权限，同时发送Triger-Ack给RADIUS服务器说明已经成功地开放了用户地权限，当然Triger-Ack也可以包含开放权限失败地信息，并说明失败的原因。

本发明中，Triger-Request/Triger-Ack报文的安全机制采用与RADIUS协议中Accouting-Request/Accouting-Response(计费请求/计费响应)报文相同的安全机制，共享密钥采用RADIUS服务器与NAS之间用于加密认证报文的共享密钥。

用户通过认证后，就获得了登陆Internet的权利，但是在上网的过程中，有可能随时出现故障或各种异常情况，如：

1、客户机浏览器故障，不能浏览Web网页；

2、客户机停止或者网络中断，不能与NAS设备通信；

3、NAS设备故障，不能为客户提供接入服务。

当出现故障时，用户不能继续占用网络资源，所以应该及时检测出上述故障，并且停止计费。针对各种异常情况，本发明采用以下几种异常检测的机制：

1、ARP探测：ARP探测可以检测出网络层(IP层的故障)，比如当客户机宕机、网卡失灵、网线被卡断等。如果NAS设备探测到客户机的IP地址连续若干次都没有响应ARP报文，就可以认为客户机出现了故障；

2、用户认证通过后，用户在上网过程中维持一个用于握手的WEB小窗口，用于与Portal服务器的握手，握手报文可以是标准的HTTP的GET/POST请求，也可以是通过Java Applet定制的IP报文。WEB小窗口还可以在完成握手功能的同时，从Portal服务器获取已经上网的流量、剩余的费用等信息。Portal服务器如果连续一定时间都没有收到客户WEB小窗口发送的握手信息，就可以认为客户机出现故障，通知NAS设备停止计费，禁止用户访问Internet。

以上两种异常检测的机制通常可以结合使用，也可以单独使用。