[发明专利]一种门户服务器与宽带接入设备的会话建立方法及其系统

说明书

技术领域

本发明涉及Portal(门户)认证技术，尤其涉及一种Portal认证中的Portal 服务器与BAS(Broadband Access Server，宽带接入服务器)设备的会话建 立方法及其系统。

背景技术

伴随着网络应用技术的快速发展，网络信息安全问题也日益突出。目前， 作为解决网络安全问题的重要技术及管理手段，802.1x(基于端口的访问控 制协议)认证、PPPoE(以太网上点对点协议)认证、Portal认证等网络接 入认证技术得到了迅速普及。其中，Portal认证由于使用web页面登陆而具 有操作简便的优点，也因此得到越来越广泛的应用。

目前常见的Portal认证系统结构如图1所示，包括认证客户端11、BAS 设备12、Portal服务器13及认证/计费服务器14四个部分，其中，BAS设备 12和Portal服务器13为Portal协议的协议主体，承载协议是UDP(User Datagram Protocol，用户数据报协议)。下面分别对上述四个部分进行详述： 认证客户端11，是安装于用户终端的客户端系统，表现为运行HTTP协议的 浏览器或运行Portal客户端软件的主机。BAS设备12是交换机、路由器等 宽带接入设备的统称，主要用于完成三个方面的工作：在认证之前，将认证 网段内用户的所有HTTP请求都重定向到Portal服务器13；在认证过程中， 与Portal服务器13、认证/计费服务器14进行交互，实现身份认证/安全认证 /计费的功能；在认证通过后，允许通过Portal认证的用户访问被管理员授权 的互联网资源。Portal服务器13，是接受认证客户端11认证请求的服务器端 系统，用于提供免费服务和基于Web认证的界面，与接入设备交互认证客户 端的认证信息。认证/计费服务器14，用于与BAS设备12进行交互，完成 对用户的认证和计费。

现有技术应用上述系统的Portal认证过程中，Portal服务器和BAS设备 之间的报文交互首次是由前者主动发起，Portal服务器是利用认证客户端的 认证请求报文中携带的用户私网IP地址，并根据预先配置的用户私网IP地 址与BAS设备IP地址的映射关系，来查询BAS设备的IP地址进而进行报 文发送。然而，这种方式在当前一种使用同一Portal服务器为多个不同私网 提供Portal认证服务的应用环境中会有出现错误的可能。

如图2所示，处于公网的某运营商Portal服务器21同时为企业A及企 业B提供Portal认证服务，各企业网内部需要认证服务的客户端都是使用按 各自规则手动配置的私网地址，企业网关22、23的公网接口上配置有NAT (Network Address Translation，网络地址转换)用于将私网内的客户端主机 映射到公网上，并且企业网关22、23还同时作为Portal认证的BAS设备。 由上述Portal服务器与BAS设备的交互过程可知，图2中的Portal服务器 21只能根据收到的认证请求报文进行BAS设备IP地址的查询，由于上述应 用环境下企业网内的认证客户端使用的都是私网地址，认证请求报文中携带 的用户IP地址也即为客户端的私网地址，此时如果两个企业网配置的私网地 址出现重叠的情况，Portal服务器21根据用户IP地址与BAS设备IP地址的 映射关系则不能准确地找到对应的BAS设备IP地址，从而无法建立会话进 行后续的报文交互。

发明内容

本发明的实施例旨在提供一种Portal服务器与BAS设备的会话建立方法 及系统，以解决现有技术中使用同一Portal服务器为多个不同私网提供Portal 认证服务的应用环境中可能出现错误的问题。

为实现上述目的，本发明的实施例提供了一种门户Portal服务器与宽带 接入服务器BAS设备的会话建立方法，其应用的组网结构中包括认证客户 端、为至少一个BAS设备提供Portal认证服务的Portal服务器以及配置有网 络地址转换NAT的BAS设备，该方法包括以下步骤：

S1、所述BAS设备在由认证客户端发往Portal服务器的报文需要进行 NAT时，将携带有用户公网IP地址的认证请求报文转发至Portal服务器；