CN101582856A - 一种门户服务器与宽带接入设备的会话建立方法及其系统 - Google Patents
一种门户服务器与宽带接入设备的会话建立方法及其系统 Download PDFInfo
- Publication number
- CN101582856A CN101582856A CNA2009101485653A CN200910148565A CN101582856A CN 101582856 A CN101582856 A CN 101582856A CN A2009101485653 A CNA2009101485653 A CN A2009101485653A CN 200910148565 A CN200910148565 A CN 200910148565A CN 101582856 A CN101582856 A CN 101582856A
- Authority
- CN
- China
- Prior art keywords
- address
- portal server
- bas
- public network
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种Portal(门户)服务器与BAS(宽带接入服务器)设备的会话建立方法,包括以下步骤:BAS设备在得知由认证客户端发往Portal服务器的报文需要进行NAT时,将填写有用户公网IP地址的认证请求报文转发至Portal服务器;Portal服务器则在收到的认证请求报文中携带的用户公网、私网IP地址不一致时,使用该报文中的用户公网、私网IP地址,并根据预先配置的映射关系,获取BAS设备的IP地址用于建立会话。本发明还涉及一种对应上述方法的系统。本发明通过在认证请求报文中写入用户公网IP地址,同时在Portal服务器配置用户公网、私网IP地址与BAS设备IP地址的映射关系,可以避免在两个私网配置的私网IP地址出现冲突时Portal服务器不能准确与BAS设备建立会话的情况发生。
Description
技术领域
本发明涉及Portal(门户)认证技术,尤其涉及一种Portal认证中的Portal服务器与BAS(Broadband Access Server,宽带接入服务器)设备的会话建立方法及其系统。
背景技术
伴随着网络应用技术的快速发展,网络信息安全问题也日益突出。目前,作为解决网络安全问题的重要技术及管理手段,802.1x(基于端口的访问控制协议)认证、PPPoE(以太网上点对点协议)认证、Portal认证等网络接入认证技术得到了迅速普及。其中,Portal认证由于使用web页面登陆而具有操作简便的优点,也因此得到越来越广泛的应用。
目前常见的Portal认证系统结构如图1所示,包括认证客户端11、BAS设备12、Portal服务器13及认证/计费服务器14四个部分,其中,BAS设备12和Portal服务器13为Portal协议的协议主体,承载协议是UDP(UserDatagram Protocol,用户数据报协议)。下面分别对上述四个部分进行详述:认证客户端11,是安装于用户终端的客户端系统,表现为运行HTTP协议的浏览器或运行Portal客户端软件的主机。BAS设备12是交换机、路由器等宽带接入设备的统称,主要用于完成三个方面的工作:在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器13;在认证过程中,与Portal服务器13、认证/计费服务器14进行交互,实现身份认证/安全认证/计费的功能;在认证通过后,允许通过Portal认证的用户访问被管理员授权的互联网资源。Portal服务器13,是接受认证客户端11认证请求的服务器端系统,用于提供免费服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。认证/计费服务器14,用于与BAS设备12进行交互,完成对用户的认证和计费。
现有技术应用上述系统的Portal认证过程中,Portal服务器和BAS设备之间的报文交互首次是由前者主动发起,Portal服务器是利用认证客户端的认证请求报文中携带的用户私网IP地址,并根据预先配置的用户私网IP地址与BAS设备IP地址的映射关系,来查询BAS设备的IP地址进而进行报文发送。然而,这种方式在当前一种使用同一Portal服务器为多个不同私网提供Portal认证服务的应用环境中会有出现错误的可能。
如图2所示,处于公网的某运营商Portal服务器21同时为企业A及企业B提供Portal认证服务,各企业网内部需要认证服务的客户端都是使用按各自规则手动配置的私网地址,企业网关22、23的公网接口上配置有NAT(Network Address Translation,网络地址转换)用于将私网内的客户端主机映射到公网上,并且企业网关22、23还同时作为Portal认证的BAS设备。由上述Portal服务器与BAS设备的交互过程可知,图2中的Portal服务器21只能根据收到的认证请求报文进行BAS设备IP地址的查询,由于上述应用环境下企业网内的认证客户端使用的都是私网地址,认证请求报文中携带的用户IP地址也即为客户端的私网地址,此时如果两个企业网配置的私网地址出现重叠的情况,Portal服务器21根据用户IP地址与BAS设备IP地址的映射关系则不能准确地找到对应的BAS设备IP地址,从而无法建立会话进行后续的报文交互。
发明内容
本发明的实施例旨在提供一种Portal服务器与BAS设备的会话建立方法及系统,以解决现有技术中使用同一Portal服务器为多个不同私网提供Portal认证服务的应用环境中可能出现错误的问题。
为实现上述目的,本发明的实施例提供了一种门户Portal服务器与宽带接入服务器BAS设备的会话建立方法,其应用的组网结构中包括认证客户端、为至少一个BAS设备提供Portal认证服务的Portal服务器以及配置有网络地址转换NAT的BAS设备,该方法包括以下步骤:
S1、所述BAS设备在由认证客户端发往Portal服务器的报文需要进行NAT时,将携带有用户公网IP地址的认证请求报文转发至Portal服务器;
S2、所述Portal服务器在收到的认证请求报文中携带的用户公网、私网IP地址属性不一致时,使用该报文中的用户公网、私网IP地址,并根据预先配置的第一映射关系获取BAS设备的IP地址用于建立会话。
本发明的另一实施例提供了一种Portal服务器与BAS设备的会话建立系统,包括认证客户端、为至少一个BAS设备提供Portal认证服务的Portal服务器以及配置有NAT的BAS设备,
所述BAS设备,用于在由认证客户端发往Portal服务器的报文需要进行NAT时,将填写有用户公网IP地址的认证请求报文转发至Portal服务器;
所述Portal服务器,用于在收到的认证请求报文中携带的用户公网、私网IP地址属性不一致时,使用该报文中的用户公网、私网IP地址,并根据预先配置的第一映射关系获取BAS设备的IP地址进行会话建立。
由上述技术方案可知,本发明的实施例通过在认证请求报文中写入用户公网IP地址,同时在Portal服务器配置用户公网、私网IP地址与BAS设备IP地址的映射关系,可以避免在两个私网配置的私网IP地址出现冲突时Portal服务器不能准确与BAS设备建立会话的情况发生,从而能够通过较小的设备改动提供更稳定的Portal认证服务。
附图说明
图1为现有技术中Portal认证系统的结构示意图;
图2为现有技术中Portal认证的具体应用场景示意图;
图3为现有技术中Portal认证过程的前期报文交互流程图;
图4为本发明Portal服务器与BAS设备的会话建立系统实施例一结构图;
图5为本发明Portal服务器与BAS设备的会话建立方法实施例一流程图;
图6为本发明Portal服务器与BAS设备的会话建立系统实施例二结构图;
图7为本发明Portal服务器与BAS设备的会话建立方法实施例二流程图。
具体实施方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只用于举例说明,并不用于限制本发明。
在描述本发明Portal服务器与BAS设备的会话建立系统及方法实施例之前,首先需要结合图3对现有技术的Portal认证中Portal服务器与BAS设备建立会话之前的报文交互过程进行简单说明,如图所示,该过程包括以下步骤。
S301、认证客户端向BAS设备发送HTTP(Hyper Text Transport Protocol,超文件传输协议)请求;
认证客户端创建Portal连接时,会首先发送HTTP报文到BAS设备上。
S302、BAS设备向认证客户端回复HTTP响应进行重定向;
BAS设备根据客户端发送的HTTP请求的目的地址,伪造以该地址为源地址的报文,同时将Portal服务器的地址发送给认证客户端,完成重新定向。
S303、认证客户端向Portal服务器发送用户信息查询报文;
重定向完成后,认证客户端先向Portal服务器发送一个用户信息查询报文(CODE_PP_PORTAL_USER_CUSTOM_INFO,0x77),该报文不携带任何属性;其中,0x77为表示该报文类型的16进制码。
S304、Portal服务器向认证客户端回复用户信息查询响应报文;
Portal服务器根据认证客户端的用户信息查询报文,向其回复用户信息查询响应报文(CODE_PP_PORTAL_USER_CUSTOM_INFO_RESPONSE,0x78),并且该报文中携带了以下属性:
Portal Kernel地址(0x61);
Portal Kernel端口号(0x62);
用户私网IP地址(0x4f)。
S305、认证客户端向Portal服务器发送域信息查询请求(CODE_PP_DOMAIN_REQUEST,0x6d)。
S305、Portal服务器向认证客户端回复域信息查询响应报文(CODE_PP_DOMAIN_RESPONSE,0x6e)。
S306、认证客户端向Portal服务器发起认证请求;
认证客户端向Portal服务器发送认证请求报文(CODE_PP_LOGIN_REQUEST,0x64),该报文中除了携带有用户ID(0x64)、用户名(0x65)及用户密码(0x66)等用于鉴权的属性外,还包括后续本发明实施例中需要提及的两个属性:用户公网IP地址(0x68)及用户私网IP地址(0x69)。
对于认证客户端和Portal服务器同时处于私网或公网的情形,只需要由认证客户端将自身的IP地址一起写入上述用户私网IP地址及用户公网IP地址的属性中,作为后续Portal服务器查找BAS设备IP地址的根据,也即此时认证请求报文中用户私网IP地址及用户公网IP地址的属性值是一致的。
而由背景技术的内容可知,在使用同一Portal服务器为多个不同企业私网提供Portal认证服务的应用场景下,位于私网内的认证客户端需要使用企业网关配置的NAT映射后的公网IP向Portal服务器发送报文;但认证请求报文是在NAT之前发出,所以认证客户端无法得知NAT后的公网IP地址,也因此认证客户端仍然只能在认证请求报文的用户私网IP地址及用户公网IP地址的属性中都写入自身的私网IP地址。
进一步,在如现有技术图1的组网中,尽管Portal服务器收到的认证请求报文是通过兼任企业网关的BAS设备进行转发的,然而这并不意味着Portal服务器能够通过获取报文的源地址作为BAS设备的IP地址,这是因为:首先,BAS设备一般会将转发认证请求报文的源地址仍修改为认证客户端的IP地址,而Portal服务器不能区分收到的报文是否被BAS设备进行了源IP地址的修改;其次,基于TCP/IP(传输控制协议/互联网络协议)的分层理论,Portal服务器对BAS设备IP地址的获取属于应用层的范畴,一般也不会使用属于网络层信息的报文源地址。
S307、Portal服务器向BAS设备发送请求信息报文(REQ_INFO,0x09);
现有技术中,Portal服务器预先仅配置有用户私网IP与BAS设备IP地址的映射关系。在一般应用中,Portal服务器收到认证客户端的认证请求报文后,可根据报文中的用户私网IP地址来查询BAS设备的IP地址进而建立会话发送请求信息报文。但在如背景技术所述使用同一Portal服务器为多个不同企业私网提供Portal认证服务的应用场景下,如果两个企业的私网地址配置发生冲突,则会造成Portal服务器无法找到正确的BAS设备IP地址,从而也无法进行会话建立,造成整个Portal认证进程的中断。后续本发明的实施例即针对此问题提出。
图4为本发明Portal服务器与BAS设备的会话建立系统实施例一结构图,如图所示,本实施例的系统包括:认证客户端41、BAS设备42及Portal服务器43。
BAS设备42用于在由认证客户端41发往Portal服务器43的报文需要进行NAT时,将携带有用户公网IP地址的认证请求报文转发至Portal服务器43。为完成上述功能,BAS设备42具体包括:第一报文监控单元421,用于对认证客户端41发往Portal服务器43的认证请求报文进行监控,并根据报文中的源地址及源端口号判断认证请求报文是否需要进行NAT,其中认证请求报文的判断依据为:UDP报文、目的端口是50100以及报文类型为CODE_PP_LOGIN_REQUEST(0x64);第一属性写入单元422,用于在第一报文监控单元421的判断结果为是时,将NAT后的公网IP地址写入认证请求报文的用户公网IP地址属性中;报文转发单元423,用于将第一属性写入单元422完成属性写入的认证请求报文转发至Portal服务器43,以及在第一报文监控单元421的判断结果为否时,对相应的认证请求报文进行正常转发。
Portal服务器43则用于使用认证请求报文中的用户公网、私网IP地址获取BAS设备的IP地址进行会话建立,其具体包括:第一映射单元431,用于存储第一映射关系,该第一映射关系是指用户公网、私网IP地址对应于BAS设备IP地址的映射关系;第二映射单元432,用于存储第二映射关系,该第二映射关系则是指用户私网IP地址对应于BAS设备IP地址的映射关系;报文解析单元433,用于对收到的认证请求报文进行解析,判断该报文中携带的用户公网、私网IP地址是否一致;会话建立单元434,用于在报文解析单元433的判断结果为不一致时,使用认证请求报文中的用户公网、私网IP地址在第一映射单元431中查询BAS设备42的IP地址,而在报文解析单元433的判断结果为一致时,则使用认证请求报文中的用户私网IP地址在第二映射单元432中查询BAS设备42的IP地址,并根据查询到的IP地址建立与BAS设备42的会话。
在上述本实施例的Portal服务器43中,由于其可能同时为其他处于公网的认证客户端提供Portal认证服务,所以设置第二映射单元432可以兼容现有技术的传统方式兼容,在没有公网IP地址属性的时候,Portal服务器仍然可以根据私网IP地址属性进行BAS设备IP地址的映射。
结合以上系统实施例一的描述,下面对图5Portal服务器与BAS设备的会话建立方法实施例一流程进行详细说明,如图所示,本实施例的方法包括以下步骤:
S501、BAS设备对认证客户端发送的认证请求报文进行监控;
本实施例中在认证请求报文中填写用户公网IP地址属性的工作是由BAS设备完成,因此BAS设备必须对认证客户端发往Portal服务器的报文进行监控,在判断收到的报文为认证请求报文时即转入后续步骤进行处理,其判断依据为:UDP报文、目的端口是50100以及报文类型为CODE_PP_LOGIN_REQUEST(0x64)。
S502、BAS设备判断收到的认证请求报文是否需要进行NAT,如果是则进行NAT并转步骤S503,否则直接进行转发;
BAS设备监控到认证客户端发往Portal服务器的认证请求报文后,首先根据报文的源地址及源端口号判断配置的NAT表项中是否有对应记录,如果有则说明需要进行NAT;如果没有则说明无需进行地址转换,从而可直接向Portal服务器转发。
S503、BAS设备将NAT后的公网IP地址写入认证请求报文的用户公网IP地址属性中,再将报文转发至Portal服务器。
由开头对现有技术中Portal认证前期报文的交互流程说明可知,认证请求报文本身携带有用户公网IP地址的属性,但在现有技术的处理方式中,其与用户私网IP地址的属性值相同;而本实施例的方法中,则利用BAS设备将NAT后的公网IP地址写入该属性中,并将完成属性填写的认证请求报文转发至Portal服务器。
S504、Portal服务器判断收到的认证请求报文中携带的用户公网、私网IP地址是否一致,如果不一致则转步骤S505,如果一致则转步骤S506;
在实际应用中,为多个企业私网提供认证服务的Portal服务器还可能同时为其他处于公网的认证客户端提供认证服务;另外,如步骤S502所述,企业私网内还包括一些未在网关(BAS设备)配置NAT表项的认证客户端;这些终端发送的认证请求报文中则并不携带用户公网IP地址,提供本步骤的判断流程则可实现对传统认证方式的兼容。
S505、Portal服务器使用认证请求报文中的用户公网、私网IP地址获取BAS设备的IP地址用于建立会话;
对于处在企业私网并且配置了NAT表项的认证客户端,Portal服务器上会预先为其配置用户公网及私网IP地址与BAS设备IP地址的映射关系,从而在Portal服务器收到携带有用户公网IP地址的认证请求报文后,可使用报文中的公网、私网IP地址,并根据上述映射关系找到对应BAS设备的IP地址,进而能够进行会话的建立,后续报文的交互得以正常进行。
S506、Portal服务器使用认证请求报文中的用户私网IP地址,获取BAS设备的IP地址用于建立会话;
对于处在公网或虽处于私网但无需进行NAT的认证客户端,Portal服务器上则按传统的处理方式预先为其配置用户私网IP地址与BAS设备IP地址的映射关系,从而在Portal服务器收到仅携带用户私网IP地址的认证请求报文后,可使用报文中的私网IP地址,并根据上述映射关系找到对应BAS设备的IP地址,进而能够进行会话建立及报文转发。
图6为本发明Portal服务器与BAS设备的会话建立系统实施例二结构图,如图所示,本实施例的系统包括:认证客户端61、BAS设备62及Portal服务器63。
其中,BAS设备62用于在由认证客户端61发往Portal服务器63的用户信息查询报文进行过NAT时,将携带有用户公网IP地址的认证请求报文转发至Portal服务器63。为完成上述功能,本实施例的BAS设备62具体包括:第二报文监控单元621,用于对Portal服务器63发送的用户信息查询响应报文进行监控,并根据报文中的目的地址及目的端口号,判断之前由认证客户端61发往Portal服务器63的用户信息查询报文是否进行过NAT;第二属性写入单元622,用于在第二报文监控单元621的判断结果为是时,在该用户信息查询响应报文中增加用户公网IP地址属性,并在该属性中写入之前对用户信息查询报文进行NAT的公网IP地址,再由BAS设备将报文转发至认证客户端61;报文转发单元623,则用于对第二属性写入单元622完成属性写入的用户信息查询响应报文及之后由认证客户端61完成属性写入后发送的认证请求报文进行转发,以及用于在第二报文监控单元621的判断结果为否时,对相应的用户信息查询响应报文进行正常转发。
与上述系统实施例一不同,本实施例的系统中,BAS设备是对Portal服务器63发往认证客户端61的用户信息查询响应报文进行监控,其判断依据则为:UDP报文、源端口号50200以及报文类型是CODE_PP_PORTAL_USER_CUSTOM_INFO_RESPONSE(0x78)。在监控到用户信息查询响应报文后,BAS设备还需要判断之前认证客户端61发往Portal服务器63的用户信息查询报文是否进行过NAT,其判断依据则在于查看设备上是否存在与用户信息查询响应报文的目的地址和目的端口号(也即之前用户信息查询报文的源地址和源端口号)对应的NAT Session;其中NAT Session是网关设备上为进行过NAT的报文维护的表项,根据NAT Session外网的访问报文可直接利用其中转换前、后的源地址和源端口号准确地到达私网终端;从而BAS设备也可依据NAT Session对用户信息查询报文是否进行过NAT做出判断。
上述本发明实施例二的系统中,在认证请求报文里写入用户公网IP地址属性的工作是由认证客户端61完成,其具体包括:属性读取单元611,用于在收到BAS设备用户信息查询响应报文后,记取该报文中的公网IP地址;第三属性写入单元612,则用于将记取的公网IP地址写入认证请求报文的用户公网IP地址属性中,再通过BAS设备62向Portal服务器63转发。
与上述实施例一系统中的Portal服务器43相同,本实施例系统的Portal服务器63同样用于使用认证请求报文中的用户公网、私网IP地址获取BAS设备的IP地址进行会话建立,具体结构仍包括:第一映射单元631、第二映射单元632、报文解析单元633及会话建立单元634。各单元的具体实现也与实施例一中的基本相同,此处不再加以复述。但此处需要说明的是,本实施例中在BAS设备上配置的NAT使用了地址池的情况下,认证客户端之前发送的用户信息查询报文和之后发送的认证请求报文进行NAT转换后的公网IP地址不一定相同,但即使不同也不会影响Portal服务器对BAS设备的定位。因为这种情况下,第一映射单元631配置用户公网及私网IP地址与BAS设备IP地址映射关系的时候,也会将地址池中的所有公网IP地址全部映射到同一个BAS设备上,从而Portal服务器在收到认证请求报文时根据地址池中的任一公网IP地址都能够找到BAS设备的IP地址。
结合以上系统实施例二的描述,下面对图7Portal服务器与BAS设备的会话建立方法实施例二流程进行详细说明,如图所示,本实施例的方法包括以下步骤:
S701、BAS设备对Portal服务器发送的用户信息查询响应报文进行监控;
本实施例中在认证请求报文中填写用户公网IP地址属性的工作是由认证客户端完成,但认证客户端并不能主动知悉NAT转换后的公网IP地址。本实施例的方法是通过BAS设备利用用户信息查询响应报文将公网IP地址通知给认证客户端,因此BAS设备首先必须对Portal服务器发往认证客户端的用户信息查询响应报文进行监控,该报文的判断依据则为:UDP报文、源端口号是50200以及报文类型是CODE_PP_PORTAL_USER_CUSTOM_INFO_RES-PONSE(0x78)。
S702、BAS设备判断之前的用户信息查询报文是否进行过NAT,如果是则转步骤S703,否则直接进行转发;
步骤S701中BAS设备监控用户信息查询响应报文的目的是确认是否要在报文中写入用户公网IP地址通知给认证客户端,其依据则在于该认证客户端发往Portal服务器的报文是否要进行NAT;由于已知用户信息查询响应报文是对用户信息查询报文的回复,前者的目的地址及目的端口即为后者源地址及源端口号;同时又由现有技术可知,配置有NAT的网关(BAS设备)会根据源地址及源端口号对每一进行过NAT的内网至外网报文建立NATSession表项,作为后续外网至内网报文直接转发的依据;综上所述,BAS设备可根据收到的用户信息查询响应报文中的目的地址及目的端口号,判断之前由认证客户端发往Portal服务器的用户信息查询报文是否进行过NAT,如果进行了NAT则同时还可以根据对应的NAT Session得知NAT后的公网IP地址。
S703、BAS设备在用户信息查询响应报文中写入之前对所述用户信息查询报文进行NAT的公网IP地址,再向认证客户端转发;
通过步骤S702的判断,如果得知之前的用户查询报文有对应的NATSession,则说明认证客户端发往Portal服务器的报文都需要进行NAT,因此BAS设备就需要将NAT后的公网IP地址通知给认证客户端。由于用户信息查询响应报文中没有携带相关的属性,因此BAS设备还需要先在报文中增加用户公网IP地址属性,然后在该属性中写入之前对用户信息查询报文进行NAT并记录在NAT Session中的公网IP地址,最后将该报文发送至认证客户端。
S704、认证客户端收到用户信息查询响应报文后,记取报文中的公网IP地址并写入认证请求报文的用户公网IP地址属性中,再通过BAS设备向Portal服务器转发;
本实施例中在认证请求报文中填写用户公网IP地址属性的工作是由认证客户端完成,认证客户端在收到BAS设备转发的用户信息查询响应报文后,记取报文中由BAS设备写入的公网IP地址,再将该地址写入认证请求报文本身携带的用户公网IP地址属性当中,再按现有的报文转发流程通过BAS设备发送给Portal服务器。
另外,由步骤S702可知,BAS设备转发的用户信息查询响应报文并非一定携带有公网IP地址,因此实际应用中本步骤认证客户端记取报文的公网IP地址并非对于每个用户信息查询响应报文均有效,但即使记取不成功时也不影响认证客户端将认证请求报文发送至Portal服务器的步骤,此时相当于现有技术的处理方式,认证请求报文中的用户公网IP地址属性即与私网IP地址属性保持一致;当然也可以在本步骤的记取之前设置一个简单的判断过程,对于不包括公网IP地址的用户信息查询响应报文,认证客户端即按正常流程处理;此处不再加以赘述。
S705、Portal服务器判断收到的认证请求报文中携带的用户公网、私网IP地址是否一致,如果不一致则转步骤S706,如果一致则转步骤S707;
S706、Portal服务器使用认证请求报文中的用户公网、私网IP地址获取BAS设备的IP地址用于建立会话;
S707、Portal服务器使用认证请求报文中的用户私网IP地址,获取BAS设备的IP地址用于建立会话。
步骤S705~S707与上述本发明方法实施例一的步骤S504~S506对应一致,此处不再复述。仅有一点需要说明的是,步骤S704中认证客户端写入认证请求报文的公网IP地址是之前用户信息查询报文NAT后的IP地址,而认证请求报文自身通过BAS设备向Portal服务器发送时也需要经过NAT,在BAS设备上NAT转换使用了地址池的情况下,以上两次NAT后的公网IP地址不一定相同;尽管如此,这种情况并不会影响Portal服务器对BAS设备的定位,因为此时Portal服务器配置用户公网及私网IP地址与BAS设备IP地址映射关系的时候,也会将地址池中的所有公网IP地址全部映射到同一个BAS设备上,从而Portal服务器在收到认证请求报文时根据地址池中的任一公网IP地址都能够找到BAS设备的IP地址。
综上所述,本发明的实施例通过在认证请求报文中写入用户公网IP地址,同时在Portal服务器配置用户公网、私网IP地址与BAS设备IP地址的映射关系,可以避免在两个私网配置的私网IP地址出现冲突时Portal服务器不能准确与BAS设备建立会话的情况发生,从而能够通过很小的设备改动提供更稳定的Portal认证服务。对于本发明系统及方法的实施例一,仅需在BAS设备进行相关处理,认证客户端无需任何变动,因此实现较为简便;而对于实施例二,虽然需要由认证客户端和BAS设备一起配合完成公网地址向Portal服务器的通知,但与此同时认证客户端也能够获知公网地址,可以在后续需要的时候直接使用。两种方式各有优点,实际应用中可根据具体情况进行选择适用。
虽然已参照几个典型实施例描述了本发明,但应当理解,所用的术语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离发明的精神或实质,所以应当理解,上述实施例不限于任何前述的细节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
Claims (12)
1、一种门户Portal服务器与宽带接入服务器BAS设备的会话建立方法,其应用的组网结构中包括认证客户端、为至少一个BAS设备提供Portal认证服务的Portal服务器以及配置有网络地址转换NAT的BAS设备,其特征在于,该方法包括以下步骤:
S1、所述BAS设备在由认证客户端发往Portal服务器的报文需要进行NAT时,将携带有用户公网IP地址的认证请求报文转发至Portal服务器;
S2、所述Portal服务器在收到的认证请求报文中携带的用户公网、私网IP地址属性不一致时,使用该报文中的用户公网、私网IP地址,并根据预先配置的第一映射关系获取BAS设备的IP地址用于建立会话。
2、如权利要求1所述Portal服务器与BAS设备的会话建立方法,其特征在于,所述步骤S1具体包括:
S11、所述BAS设备对认证客户端发送的认证请求报文进行监控;
S12、所述BAS设备根据源地址及源端口号判断收到的认证请求报文是否需要进行NAT,如果是则进行NAT并转步骤S13;
S13、所述BAS设备将NAT后的公网IP地址写入所述认证请求报文的用户公网IP地址属性中,再将所述认证请求报文转发至Portal服务器。
3、如权利要求1所述Portal服务器与BAS设备的会话建立方法,其特征在于,所述步骤S1具体包括:
S11’、所述BAS设备对Portal服务器发送的用户信息查询响应报文进行监控;
S12’、所述BAS设备根据用户信息查询响应报文中的目的地址及目的端口号,判断之前由认证客户端发往Portal服务器的用户信息查询报文是否进行过NAT,如果是则转步骤S13’;
S13’、所述BAS设备在用户信息查询响应报文中增加用户公网IP地址属性,并在该属性中写入之前对所述用户信息查询报文进行NAT的公网IP地址,再将所述用户信息查询响应报文发送至认证客户端;
S14’、所述认证客户端收到用户信息查询响应报文后,记取报文中的公网IP地址,并将该地址写入认证请求报文的用户公网IP地址属性中,再通过所述BAS设备向Portal服务器转发。
4、如权利要求2或3所述Portal服务器与BAS设备的会话建立方法,其特征在于,该方法还包括:
S1’、所述BAS设备在由认证客户端发往Portal服务器的报文不需要进行NAT时,对相应的认证请求报文或用户信息查询响应报文进行正常转发。
5、如权利要求1所述Portal服务器与BAS设备的会话建立方法,其特征在于,所述步骤S2之前还包括:
S20、所述Portal服务器判断收到的认证请求报文中携带的用户公网、私网IP地址属性是否一致,如果是一致则使用认证请求报文中的用户私网IP地址,并根据预先配置的第二映射关系获取BAS设备的IP地址用于建立会话,否则执行所述步骤S2。
6、一种Portal服务器与BAS设备的会话建立系统,包括认证客户端、为至少一个BAS设备提供Portal认证服务的Portal服务器以及配置有NAT的BAS设备,其特征在于,
所述BAS设备,用于在由认证客户端发往Portal服务器的报文需要进行NAT时,将填写有用户公网IP地址的认证请求报文转发至Portal服务器;
所述Portal服务器,用于在收到的认证请求报文中携带的用户公网、私网IP地址属性不一致时,使用该报文中的用户公网、私网IP地址,并根据预先配置的第一映射关系获取BAS设备的IP地址进行会话建立。
7、如权利要求6所述Portal服务器与BAS设备的会话建立系统,其特征在于,所述BAS设备具体包括:
第一报文监控单元,用于对认证客户端发往Portal服务器的认证请求报文进行监控,并根据报文中的源地址及源端口号判断所述认证请求报文是否需要进行NAT;
第一属性写入单元,用于在所述第一报文监控单元的判断结果为是时,将NAT后的公网IP地址写入所述认证请求报文的用户公网IP地址属性中,之后再由BAS设备将报文转发至Portal服务器。
8、如权利要求6所述Portal服务器与BAS设备的会话建立系统,其特征在于,所述BAS设备具体包括:
第二报文监控单元,用于对Portal服务器发送的用户信息查询响应报文进行监控,并根据报文中的目的地址及目的端口号,判断之前由认证客户端发往Portal服务器的用户信息查询报文是否进行过NAT;
第二属性写入单元,用于在所述第二报文监控单元的判断结果为是时,在所述用户信息查询响应报文中增加用户公网IP地址属性,并在该属性中写入之前对所述用户信息查询报文进行NAT的公网IP地址,再由BAS设备将报文转发至认证客户端。
9、如权利要求8所述Portal服务器与BAS设备的会话建立系统,其特征在于,所述认证客户端具体包括:
属性读取单元,用于在收到所述用户信息查询响应报文后,记取该报文中的公网IP地址;
第三属性写入单元,用于将记取的所述公网IP地址写入认证请求报文的用户公网IP地址属性中,再由认证客户端通过BAS设备向Portal服务器转发。
10、如权利要求7~9任一项所述Portal服务器与BAS设备的会话建立系统,其特征在于,所述BAS设备还包括:
报文转发单元,用于对所述第一属性写入单元完成属性写入的认证请求报文、或所述第二属性写入单元完成属性写入的用户信息查询响应报文及所述认证客户端的第三属性写入单元完成属性写入后发送的认证请求报文进行转发,并用于在所述第一或第二报文监控单元的判断结果为否时,对相应的认证请求报文或用户信息查询响应报文进行正常转发。
11、如权利要求6所述Portal服务器与BAS设备的会话建立系统,其特征在于,所述Portal服务器包括:
第一映射单元,用于存储用户公网、私网IP地址对应于BAS设备IP地址的第一映射关系;
报文解析单元,用于对Portal服务器收到的认证请求报文进行解析,判断该报文中的用户公网、私网IP地址属性是否一致;
会话建立单元,用于在所述报文解析单元的判断结果为不一致时,使用所述认证请求报文中的用户公网、私网IP地址在所述第一映射单元中查询BAS设备的IP地址,并根据查询到的IP地址建立与所述BAS设备的会话。
12、如权利要求11所述Portal服务器与BAS设备的会话建立系统,其特征在于,所述Portal服务器还包括:
第二映射单元,用于存储用户私网IP地址对应于BAS设备IP地址的第二映射关系;
则所述会话建立单元,在报文解析单元的判断结果为一致时,使用认证请求报文中的用户私网IP地址在所述第二映射单元中查询BAS设备的IP地址,并根据查询到的IP地址建立与所述BAS设备的会话。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101485653A CN101582856B (zh) | 2009-06-29 | 2009-06-29 | 一种门户服务器与宽带接入设备的会话建立方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101485653A CN101582856B (zh) | 2009-06-29 | 2009-06-29 | 一种门户服务器与宽带接入设备的会话建立方法及其系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101582856A true CN101582856A (zh) | 2009-11-18 |
CN101582856B CN101582856B (zh) | 2012-01-11 |
Family
ID=41364822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101485653A Active CN101582856B (zh) | 2009-06-29 | 2009-06-29 | 一种门户服务器与宽带接入设备的会话建立方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101582856B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082733A (zh) * | 2011-02-25 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种Portal系统的接入方法和Portal系统 |
CN102164150A (zh) * | 2011-05-18 | 2011-08-24 | 北京星网锐捷网络技术有限公司 | 策略下发处理方法、设备、服务器和系统 |
CN102271136A (zh) * | 2011-08-16 | 2011-12-07 | 赛尔网络有限公司 | Nat网络环境下的访问控制方法和设备 |
CN102111289B (zh) * | 2009-12-23 | 2013-06-26 | 杭州华三通信技术有限公司 | 一种认证部署方法和设备 |
CN103188356A (zh) * | 2013-04-07 | 2013-07-03 | 汉柏科技有限公司 | 一种外网映射IPsec报文实现NAT穿越的方法 |
WO2014173335A1 (zh) * | 2013-09-04 | 2014-10-30 | 中兴通讯股份有限公司 | 门户认证方法、宽带网络网关、门户服务器和系统 |
CN106656911A (zh) * | 2015-10-29 | 2017-05-10 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
CN107733926A (zh) * | 2017-11-28 | 2018-02-23 | 杭州迪普科技股份有限公司 | 一种基于NAT的portal认证的方法及装置 |
US10050971B2 (en) | 2011-08-18 | 2018-08-14 | Hewlett Packard Enterprise Development Lp | Portal authentication method and access controller |
CN109379450A (zh) * | 2018-10-11 | 2019-02-22 | 平安科技(深圳)有限公司 | 网络接口交互管理方法、装置、计算机设备及存储介质 |
CN112671708A (zh) * | 2020-11-25 | 2021-04-16 | 新华三技术有限公司 | 认证方法及系统、portal服务器、安全策略服务器 |
WO2022053055A1 (zh) * | 2020-09-14 | 2022-03-17 | 中兴通讯股份有限公司 | 宽带接入服务器的访问方法、服务器及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1571356A (zh) * | 2003-07-19 | 2005-01-26 | 华为技术有限公司 | 一种强制门户的实现方法 |
CN100454876C (zh) * | 2007-02-06 | 2009-01-21 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
-
2009
- 2009-06-29 CN CN2009101485653A patent/CN101582856B/zh active Active
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111289B (zh) * | 2009-12-23 | 2013-06-26 | 杭州华三通信技术有限公司 | 一种认证部署方法和设备 |
CN102082733A (zh) * | 2011-02-25 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种Portal系统的接入方法和Portal系统 |
CN102164150A (zh) * | 2011-05-18 | 2011-08-24 | 北京星网锐捷网络技术有限公司 | 策略下发处理方法、设备、服务器和系统 |
CN102164150B (zh) * | 2011-05-18 | 2013-08-14 | 北京星网锐捷网络技术有限公司 | 策略下发处理方法、设备、服务器和系统 |
CN102271136A (zh) * | 2011-08-16 | 2011-12-07 | 赛尔网络有限公司 | Nat网络环境下的访问控制方法和设备 |
US10050971B2 (en) | 2011-08-18 | 2018-08-14 | Hewlett Packard Enterprise Development Lp | Portal authentication method and access controller |
CN103188356A (zh) * | 2013-04-07 | 2013-07-03 | 汉柏科技有限公司 | 一种外网映射IPsec报文实现NAT穿越的方法 |
CN103188356B (zh) * | 2013-04-07 | 2016-07-13 | 汉柏科技有限公司 | 一种外网映射IPsec报文实现NAT穿越的方法 |
WO2014173335A1 (zh) * | 2013-09-04 | 2014-10-30 | 中兴通讯股份有限公司 | 门户认证方法、宽带网络网关、门户服务器和系统 |
CN106656911A (zh) * | 2015-10-29 | 2017-05-10 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
CN106656911B (zh) * | 2015-10-29 | 2019-10-01 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
CN107733926A (zh) * | 2017-11-28 | 2018-02-23 | 杭州迪普科技股份有限公司 | 一种基于NAT的portal认证的方法及装置 |
CN109379450A (zh) * | 2018-10-11 | 2019-02-22 | 平安科技(深圳)有限公司 | 网络接口交互管理方法、装置、计算机设备及存储介质 |
WO2022053055A1 (zh) * | 2020-09-14 | 2022-03-17 | 中兴通讯股份有限公司 | 宽带接入服务器的访问方法、服务器及存储介质 |
CN112671708A (zh) * | 2020-11-25 | 2021-04-16 | 新华三技术有限公司 | 认证方法及系统、portal服务器、安全策略服务器 |
CN112671708B (zh) * | 2020-11-25 | 2022-08-30 | 新华三技术有限公司 | 认证方法及系统、portal服务器、安全策略服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN101582856B (zh) | 2012-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
JP6054484B2 (ja) | 割り当てられたネットワークアドレスを有するデバイスにアクセスするクライアントローカルプロキシサーバを使用したシステムおよび方法 | |
CN101977224B (zh) | 一种基于SSL VPN设备的Web资源认证信息管理方法 | |
JP5739023B2 (ja) | 割り当てられたネットワークアドレスを有するデバイスにアクセスするウェブプロキシサーバを使用したシステムおよび方法 | |
US20170034174A1 (en) | Method for providing access to a web server | |
EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
EP2571228B1 (en) | Access control method and system, and access terminal | |
US20130347072A1 (en) | Private tunnel network | |
CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
JPH10254807A (ja) | 匿名的にサーバサイトを閲覧する方法 | |
CN105430011A (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
CN103168450B (zh) | 访问虚拟专用网络的方法、装置以及网关设备 | |
CN110401641A (zh) | 用户认证方法、装置、电子设备 | |
CN102075504B (zh) | 一种实现二层门户认证的方法、系统及门户服务器 | |
CN102223266B (zh) | 一种协议代理检测方法和装置 | |
CN104735050B (zh) | 一种融合mac认证和web认证的认证方法 | |
CN104756462B (zh) | 用于在限制性防火墙后进行tcp turn操作的方法和系统 | |
CN108156092A (zh) | 报文传输控制方法和装置 | |
KR20120044381A (ko) | 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치 | |
CN105721274A (zh) | 一种多种即时通讯的融合方法及装置 | |
CN104994113A (zh) | 一种adsl无线路由器及使用该路由器在桥接模式下实现强制门户的方法和系统 | |
CN106454817B (zh) | 一种wlan认证方法及系统、AP设备 | |
JP2006293708A (ja) | コンテンツアクセス制御装置、コンテンツアクセス制御方法およびコンテンツアクセス制御プログラム | |
CN107888651B (zh) | 用于多简档创建以减轻剖析的方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |