一种实现二层门户认证的方法、系统及门户服务器

摘要

本发明公开了一种实现二层门户(Portal)认证的方法、系统及门户服务器。本发明的技术方案通过Portal服务器获得用户设备所在接入设备的管理IP地址，并通过管理IP地址与接入设备交互，进而实现用户设备的二层Portal认证。另外，由本发明实现二层Portal认证的技术方案可知，Portal服务器在收到用户设备发送网页请求后，才在所在二层网络内查询用户设备的接入设备，因此，即使用户设备从一个接入设备移动到由另一个接入设备接入，Portal服务器也能够准确的找到用户设备所接入的接入设备，避免了用户设备移动后无法认证的问题。

说明书

技术领域

本发明涉及网络认证技术，尤指一种实现二层门户(Portal)认证的方法、系统及门户服务器。

背景技术

在计算机和互联网络的世界中，身份认证是一个最基本的要素，也是整个信息安全体系的基础，用户只有通过了身份认证才能正常的访问网络资源。目前身份认证的方式有很多，典型的有802.1x认证、Portal认证等等。

802.1x认证技术是一种二层认证技术。该技术的优点在于能够完成二层认证，对设备的整体性能要求不高，能够有效降低建网成本，同时由于借用了RAS系统中常用的扩展认证协议(EAP)，可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容。但是，在实施802.1x认证时，管理员需要在每个终端设备上安装802.1x认证代理软件，这样在一个大型企业或者终端分布较为分散的网络里实现802.1x认证就显得十分困难。

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。当用户需要访问互联网中的信息时，其接入设备就将用户设备重定向至门户网站进行认证，在认证通过后才可以使用互联网资源。Portal认证的具体实现可参见图1所示的流程。

在步骤101中，用户设备向接入设备发送HTTP请求。

在步骤102中，接入设备向用户设备返回Portal服务器的IP地址。

当用户访问一个网页，用户设备向接入设备发送的HTTP请求，由于用户设备没有通过认证，因此这里接入设备需要将Portal服务器的IP地址发送给用户设备，将用户设备重定向到Portal服务器接受认证。

在步骤103中，用户设备向Portal服务器请求网页。这个操作由用户设备上的Web浏览器自动完成。

在步骤104中，Portal服务器向接入设备发送请求信息REQ_INFO报文。

在步骤105中，接入设备向Portal服务器返回信息应答报文。

步骤104和105主要用来Portal服务器向接入设备查询用户接入的具体信息，例如虚拟局域网(VLAN)、端口等，用于Portal服务器对的认证。

在步骤106中，Portal服务器响应用户设备的页面请求，将Portal认证页面发送给浏览器。

在步骤107中，用户在Portal页面输入认证信息后，用户设备向Portal设备发送认证请求，其中携带认证信息。

在步骤108中，Portal服务器收到认证请求后，向接入设备发送REQ_CHALLENGE报文。

在步骤109中，接入设备向Portal服务器返回ACK_CHALLENGE报文。

在步骤110中，Portal服务器向接入设备发送REQ_AUTH报文。

用户直接在WEB上输入用户名称、密码进行认证的，此时只有Portal服务器知道用户名称、密码，后续的认证工作需要接入设备和Radius服务器通信完成。因此Portal服务器需要告知接入设备用户名称以及密码，然而，直接在网路上传输这些信息容易被窃取，因此Portal服务器在步骤108中首先发送报文申请一个加密字，在步骤109中接入设备回应生成的加密字，在步骤110中Portal服务器发送使用加密字加密的用户名称和密码信息。

在步骤111中，接入设备向远程用户拨号认证系统(Radius，Remote Authentication Dial In User Service)发送ACCESS_REQUEST报文。

在步骤112中，Radius向接入设备返回ACCESS_ACCEPT报文。

步骤111和112中的ACCESS_REQUEST报文和ACCESS_ACCEPT报文是标准的Radius认证报文。接入设备将用户名称密码等信息通过步骤111中的ACCESS_REQUEST报文发送给Radius服务器，Radius对信息进行认证通过步骤112中的ACCESS_ACCEPT报文将认证后的结果发送给接入设备。

在步骤113中，接入设备向Portal服务器发送ACK_AUTH报文。

在步骤114中，Portal服务器向接入设备返回AFF_ACK_AUTH报文。

这里，在步骤113中，接入设备通过ACK_AUTH报文通知用户是否认证成功以便Portal服务器推送不同的认证结果页面给用户设备。步骤114中的AFF_ACK_AUTH报文表示Portal服务器收到接入设备的通知。

通过上面的介绍可知，用户设备通过浏览器访问互联网时，其流量通过接入设备重定向到Portal服务器，Portal服务器向用户浏览器推送Web认证页面，用户通过Web界面完成认证，进而访问互联网上的资源。Portal认证是一个三层认证，实现简单，不需要在终端设备上安装代理软件，部署起来十分方便。

鉴于802.1x在实现二层认证上所存在的问题，以及Portal认证实现简单的优点，现有技术中亟需提出一种实现二层Portal认证的技术方案。

发明内容

有鉴于此，本发明的主要目的在于提供一种实现二层Portal认证的方法、系统及Portal服务器。

为达到上述目的，本发明的技术方案是这样实现的：

一种实现二层门户认证的方法，适用于二层网络中各设备配置有管理IP地址的情况；

门户服务器接收到用户设备发送的网页请求后，向所在二层网络中的各接入设备发送地址查询报文，其中携带所述用户设备的MAC地址；

接入设备接收地址查询报文，根据其中携带的MAC地址确定用户设备从自身接入时，向门户服务器返回地址查询应答报文，其中携带自身的管理IP地址；

门户服务器在收到地址查询应答报文后，获得其中携带的管理IP地址，向所述用户设备发送认证网页；并在收到用户设备发送的认证请求后，根据获得的管理IP地址与接入设备交互，对用户设备进行认证。

一种实现二层门户认证的系统，适用于二层网络中各设备配置有管理IP地址的情况，包括：用户设备、门户服务器和接入设备；

所述用户设备向门户服务器发送网页请求；在收到门户服务器发送的认证网页后，向门户服务器发送认证请求；

所述门户服务器收到用户设备发送的网页请求后，向所在二层网络中的各接入设备发送地址查询报文，其中携带用户设备的MAC地址；并在收到接入设备返回的地址查询应答报文后，获得其中携带的管理IP地址，向用户设备发送认证网页；在收到用户设备发送的认证请求后，根据获得的管理IP地址与接入设备交互，对用户设备进行认证；

所述接入设备接收门户服务器发送的地址查询报文，根据其中携带的MAC地址，确定所述用户设备从自身接入时，向门户服务器返回地址查询应答报文，其中携带自身的管理IP地址；并与门户服务器交互，对所述用户设备认证。

一种门户服务器，适用于二层网络中各设备配置有管理IP地址的情况，包括：处理单元和认证单元；

所述处理单元在收到用户设备发送的网页请求后，向所在二层网络中的各接入设备发送地址查询报文，其中携带用户设备的MAC地址；并在收到接入设备返回的地址查询应答报文后，获得其中携带的管理IP地址，向用户设备发送认证网页；在收到用户设备发送的认证请求后，指示认证单元对用户设备进行认证；

所述认证单元，根据所述处理单元获得的管理IP地址与接入设备交互，对用户设备进行认证。

本发明通过Portal服务器获得用户设备所在接入设备的管理IP地址，并通过管理IP地址与接入设备交互，进而实现用户设备的二层Portal认证。另外，由本发明实现二层Portal认证的技术方案可知，Portal服务器在收到用户设备发送网页请求后，才在所在二层网络内查询用户设备的接入设备，因此，即使用户设备从一个接入设备移动到另一个接入设备接入，Portal服务器也能够准确的找到用户设备所接入的接入设备，避免了用户设备移动后无法认证的问题。

附图说明

图1为Portal服务器对上网用户进行认证的流程；

图2为本发明实现二层Portal认证方法的示例性流程图；

图3为本发明实现二层Portal认证系统的示例性结构图；

图4为本发明Portal服务器的示例性结构图；

图5为本发明实施例方法的流程图。

具体实施方式

在本部分的详细描述中，仅通过对实施本发明的发明者所预期的最佳方式的示例，示出并描述了本发明的较佳实施例。应意识到，可以在不背离本发明的前提下，就各个显而易见的方面对其进行修改。相应地，附图和说明书应被视为在本质上是示例性的，而不是限制性的。

在二层网络中各设备均配置有管理IP地址时，各设备之间就可以通过管理IP地址进行交互。管理IP地址可以用来进行信息的传输，但不能用于转发。因此，为了实现二层Portal认证，Portal服务器只要能够获得用户设备、以及用户设备所连接的接入设备的管理IP地址，就能够通过管理IP地址与接入设备进行交互，完成对用户设备的二层Portal认证。对于用户设备的管理IP地址，由于用户设备会向Portal服务器发送网页请求，因此Portal服务器获得用户设备的管理IP地址并不困难，关键在于Portal服务器如何获得用户设备所在接入设备的管理IP地址。

参见图2，图2为本发明实现二层Portal认证方法的示例性流程图。该方法包括：在步骤201中，Portal服务器接收到用户设备发送的网页请求后，向所在二层网络中的各接入设备发送地址查询报文，其中携带用户设备的MAC地址；在步骤202中，接入设备接收地址查询报文，根据其中携带的MAC地址确定用户设备从自身接入时，向Portal服务器返回地址查询应答报文，其中携带自身的管理IP地址；在步骤203中，Portal服务器在收到返回的地址查询应答报文后，获得其中携带的管理IP地址，并向用户设备发送认证网页；在收到用户设备发送的认证请求后，根据获得的管理IP地址与接入设备交互，对用户设备进行认证。这里的接入设备可以是宽带接入服务器(BAS，Broadband Access Server)。

参见图3，图3为本发明实现二层Portal认证系统的示例性结构图。该实现二层Portal认证的系统包括：用户设备、Portal服务器和接入设备。其中，用户设备向Portal服务器发送网页请求；在收到Portal服务器发送的认证网页后，向Portal服务器发送认证请求。Portal服务器收到用户设备发送的网页请求后，向所在二层网络中的各接入设备发送地址查询报文，其中携带用户设备的MAC地址；并在收到接入设备返回的地址查询应答报文后，获得其中携带的管理IP地址，向用户设备发送认证网页；在收到用户设备发送的认证请求后，根据获得的管理IP地址与接入设备交互，对用户设备进行认证。接入设备接收Portal服务器发送的地址查询报文，根据其中携带的MAC地址，确定用户设备从自身接入时，向Portal服务器返回地址查询应答报文，其中携带自身的管理IP地址；并在所述用户设备从自身接入时，与Portal服务器交互，对所述用户设备认证。另外，接入设备还可以根据需要与Radius服务器进行交互，完成对用户设备的认证。

其中，接入设备在确定所述用户设备从自身接入时，根据收到的地址查询报文中携带的MAC地址查询自身的MAC地址表，在MAC地址表的下行口上存在该MAC地址时，确定所述用户设备从自身接入。

另外，用户设备通常向接入设备发送网页请求，由接入设备将该网页请求重定向至Portal服务器，进而Portal服务器收到了用户设备发送的网页请求。重定向的具体过程是：用户设备向接入设备发送网页请求；接入设备收到用户设备发送的网页请求后，将Portal服务器的IP地址发送给用户设备；用户设备收到接入设备返回的Portal服务器的IP地址后，向Portal服务器发送所述网页请求。

参见图4，图4为本发明实现二层Portal服务器的示例性结构图。该二层Portal服务器包括：处理单元和认证单元。其中，处理单元在收到用户设备发送的网页请求后，向所在二层网络中的各接入设备发送地址查询报文，其中携带用户设备的MAC地址；并在收到接入设备返回的地址查询应答报文后，获得其中携带的管理IP地址，向用户设备发送认证网页；在收到用户设备发送的认证请求后，指示认证单元对用户设备进行认证；认证单元，根据所述处理单元获得的管理IP地址与接入设备交互，对用户设备进行认证。其中，处理单元可以通过查询集群拓扑，遍历拓扑中的接入设备，向二层网络中的各接入设备发送地址查询报文。处理单元还可以获得集群拓扑，具体为：向所连接的邻接设备发送网络拓扑请求报文，通过接收返回的响应报文收集所在网络各网络设备的邻居信息和连接信息，获得所在网络设备的集群拓扑。

以下通过具体实施例对本发明的技术方案进行详细介绍。

参见图5，图5为本发明实施例中实现二层Portal认证的方法流程图。

步骤501～503与图1中的步骤101～103相同，具体可参见步骤101～103的详细介绍，在此不再详述。

在步骤504中，Portal服务器向每个接入设备发送地址查询报文，报文中携带用户设备的MAC地址。

这里，Portal服务器可以通过查询集群拓扑，遍历拓扑中的接入设备，向各接入设备发送地址查询报文。集群拓扑通过集群协议获得，集群协议包括网络邻居发现(NDP)、网络拓扑发现(NTDP)和成员管理协议(Cluster)等，被指定的管理设备通过集群协议实现二层网络设备之间的邻居发现，整网拓扑的收集以及成员设备的管理。

集群协议的执行大体过程为：运行NDP的设备定时从所有激活NDP协议的端口发送NDP报文，同时接收邻居设备发送的NDP信息，NDP只能用来发现“直接相连”的邻居信息，包括邻接设备的设备类型、软/硬件版本、连接端口等，设备接收到NDP报文后不进行转发。管理设备被指定后，向所有邻接设备发送NTDP拓扑请求报文，收到该请求的设备立即发送响应报文，报告本设备通过NDP协议收集的本设备的NDP信息和它与所有邻接设备的连接信息，并且复制请求报文发送给它的所有邻接设备。邻接设备收到请求后将执行同样的操作：发送响应报文，复制请求报文，发送给它的所有邻接设备，以此类推，管理设备将收集到的各个网络设备NDP信息及相连设备的信息后，通过计算形成网络拓扑。当成员设备上的NDP发现邻居有变化时，通过握手报文将邻居改变的消息通知管理设备，管理设备可以启动NTDP进行指定拓扑收集，从而使NTDP能够及时反映网络拓扑的变化。

Portal服务器可以通过访问管理拓扑的管理设备获得集群拓扑。当管理设备为内嵌式网管(WiNet)服务器时，Portal服务器则可以访问WiNet服务器获得集群拓扑。当然，收集网络拓扑的功能也能集成在Portal服务器内，Portal服务器也可以内嵌入WiNet服务器。

在步骤505中，接入设备收到Portal服务器发送的地址查询报文，根据报文中携带的MAC地址检查自身的MAC地址表，判断MAC地址表中是否有命中的MAC地址，如果有命中，则向Portal服务器返回自身的管理IP地址，该管理IP地址可以携带在地址查询应答报文中返回给Portal服务器；如果没有命中，则可以不处理。本实施例为查询命中的情况。

步骤504中的地址查询报文和步骤505中的地址查询应答报文可以通过扩展Portal报文的类型来实现，定义两种新的报文类型，BAS_REQUEST报文和BAS_ACK报文。其中，BAS REQUEST为地址查询报文，值为0X10，方向为Portal server→接入设备，含义为Portal服务器查询主机接入位置，处理要求为必须；BAS_ACK为地址查询应答报文，值为0x11，方向为接入设备→Portal server，含义为接入设备回应，处理要求为必须。其中，在BAS_REQUEST报文中，增加一属性字段MAC-Address，AttrType为0x0d，属性值长度为6Byte(固定)，属性含义为认证用户设备的MAC地址。

这样，Portal服务器每个接入设备发送BAS_REQUEST报文，UDP报文的目的IP地址填写为接入设备的IP地址。接入设备接收到该报文后，解析报文中MAC地址属性并与自己的MAC地址表项进行比较，如果含有该MAC地址则使用BAS_ACK报文进行回应，该BAS_ACK报文中的BAS-IP属性填写为自己的管理IP、MAC-Address属性填写用户设备的MAC地址。

接入设备查询自身MAC地址表是否有命中的MAC地址时，只需查询下行口，不需要查询上行口。即接入设备根据地址查询报文中携带的MAC地址查询自身的MAC地址表，在MAC地址表的下行口上存在该MAC地址时，则确定有命中的MAC地址，用户设备从自身接入。只查询下行口的原因在于，用户设备在下行接入，如果上行口有用户设备的MAC地址，表明该MAC地址是从其他接入设备学习到的，用户设备并没有从该接入设备接入。

在步骤506中，Portal服务器收到接入设备返回的管理IP地址，根据该管理IP地址向接入设备REQ_INFO报文，后续步骤507～517与步骤105～115相同，在此不再详述。

进而，Portal服务器根据接入设备返回的管理IP地址，完成了对用户设备的认证，实现了二层Portal认证。

本发明提出的技术方案，通过Portal服务器获得用户设备所在接入设备的管理IP地址，通过管理IP地址与接入设备交互，进而实现用户设备的二层Portal认证。另外，由本发明上述记载的技术方案可知，Portal服务器在收到用户设备发送网页请求后，才在所在二层网络内查询用户设备的接入设备，因此，即使用户设备从一个接入设备移动到另一个接入设备接入，Portal服务器也能够准确的找到用户设备所接入的接入设备，避免了用户设备移动后无法认证的问题。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。