[发明专利]一种实现二层门户认证的方法、系统及门户服务器

说明书

技术领域

本发明涉及网络认证技术，尤指一种实现二层门户(Portal)认证的方法、系统及门户服务器。

背景技术

在计算机和互联网络的世界中，身份认证是一个最基本的要素，也是整个信息安全体系的基础，用户只有通过了身份认证才能正常的访问网络资源。目前身份认证的方式有很多，典型的有802.1x认证、Portal认证等等。

802.1x认证技术是一种二层认证技术。该技术的优点在于能够完成二层认证，对设备的整体性能要求不高，能够有效降低建网成本，同时由于借用了RAS系统中常用的扩展认证协议(EAP)，可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容。但是，在实施802.1x认证时，管理员需要在每个终端设备上安装802.1x认证代理软件，这样在一个大型企业或者终端分布较为分散的网络里实现802.1x认证就显得十分困难。

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。当用户需要访问互联网中的信息时，其接入设备就将用户设备重定向至门户网站进行认证，在认证通过后才可以使用互联网资源。Portal认证的具体实现可参见图1所示的流程。

在步骤101中，用户设备向接入设备发送HTTP请求。

在步骤102中，接入设备向用户设备返回Portal服务器的IP地址。

当用户访问一个网页，用户设备向接入设备发送的HTTP请求，由于用户设备没有通过认证，因此这里接入设备需要将Portal服务器的IP地址发送给用户设备，将用户设备重定向到Portal服务器接受认证。

在步骤103中，用户设备向Portal服务器请求网页。这个操作由用户设备上的Web浏览器自动完成。

在步骤104中，Portal服务器向接入设备发送请求信息REQ_INFO报文。

在步骤105中，接入设备向Portal服务器返回信息应答报文。

步骤104和105主要用来Portal服务器向接入设备查询用户接入的具体信息，例如虚拟局域网(VLAN)、端口等，用于Portal服务器对的认证。

在步骤106中，Portal服务器响应用户设备的页面请求，将Portal认证页面发送给浏览器。

在步骤107中，用户在Portal页面输入认证信息后，用户设备向Portal设备发送认证请求，其中携带认证信息。

在步骤108中，Portal服务器收到认证请求后，向接入设备发送REQ_CHALLENGE报文。

在步骤109中，接入设备向Portal服务器返回ACK_CHALLENGE报文。

在步骤110中，Portal服务器向接入设备发送REQ_AUTH报文。

用户直接在WEB上输入用户名称、密码进行认证的，此时只有Portal服务器知道用户名称、密码，后续的认证工作需要接入设备和Radius服务器通信完成。因此Portal服务器需要告知接入设备用户名称以及密码，然而，直接在网路上传输这些信息容易被窃取，因此Portal服务器在步骤108中首先发送报文申请一个加密字，在步骤109中接入设备回应生成的加密字，在步骤110中Portal服务器发送使用加密字加密的用户名称和密码信息。

在步骤111中，接入设备向远程用户拨号认证系统(Radius，Remote Authentication Dial In User Service)发送ACCESS_REQUEST报文。

在步骤112中，Radius向接入设备返回ACCESS_ACCEPT报文。

步骤111和112中的ACCESS_REQUEST报文和ACCESS_ACCEPT报文是标准的Radius认证报文。接入设备将用户名称密码等信息通过步骤111中的ACCESS_REQUEST报文发送给Radius服务器，Radius对信息进行认证通过步骤112中的ACCESS_ACCEPT报文将认证后的结果发送给接入设备。

在步骤113中，接入设备向Portal服务器发送ACK_AUTH报文。

在步骤114中，Portal服务器向接入设备返回AFF_ACK_AUTH报文。

这里，在步骤113中，接入设备通过ACK_AUTH报文通知用户是否认证成功以便Portal服务器推送不同的认证结果页面给用户设备。步骤114中的AFF_ACK_AUTH报文表示Portal服务器收到接入设备的通知。