CN104811439B - 一种Portal认证的方法和设备 - Google Patents
一种Portal认证的方法和设备 Download PDFInfo
- Publication number
- CN104811439B CN104811439B CN201510144051.6A CN201510144051A CN104811439B CN 104811439 B CN104811439 B CN 104811439B CN 201510144051 A CN201510144051 A CN 201510144051A CN 104811439 B CN104811439 B CN 104811439B
- Authority
- CN
- China
- Prior art keywords
- terminal device
- portal
- message
- portal server
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种Portal认证的方法和设备,该方法包括:AP收到来自未通过Portal认证的终端设备的HTTP报文时,判断所述HTTP报文的目的IP地址是否为Portal服务器的IP地址;如果是,所述AP将所述HTTP报文发送给Portal服务器,所述Portal服务器对所述终端设备进行Portal认证;如果否,所述AP将所述HTTP报文发送给AC,所述AC将所述HTTP报文重定向到Portal服务器,所述Portal服务器对所述终端设备进行Portal认证。本发明实施例中,实现AP本地转发的AC集中Portal认证。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种Portal认证的方法和设备。
背景技术
如图1所示,为Portal(门户)集中认证本地转发的应用场景示意图。在分支企业部署中,企业分支机构部署AP(Access Point,接入点)和出口路由器,总部机构部署AC(Access Controller,接入控制器)。在上述组网中,数据流量采用本地转发,即AP在收到来自终端设备的数据流量后,直接将数据流量转发到Internet,而不将数据流量发送给AC。进一步的,由于Portal认证由AC统一控制,因此,当数据流量不经过AC时,AC无法对终端设备的访问进行重定向,也无法对终端设备访问网络的权限进行控制,无法进行Portal认证。
发明内容
本发明实施例提供一种门户Portal认证的方法,接入点AP工作于本地转发模式,所述方法包括以下步骤:
所述AP收到来自未通过Portal认证的终端设备的超文本传输协议HTTP报文时,判断所述HTTP报文的目的IP地址是否为Portal服务器的IP地址;
如果是,则所述AP将所述HTTP报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行Portal认证;
如果否,则所述AP将所述HTTP报文发送给接入控制器AC,由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证。
在由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证之后,所述方法进一步包括:
所述AP接收来自所述AC的认证成功报文,所述认证成功报文中包含所述终端设备的地址信息,并根据所述地址信息确定通过Portal认证的终端设备;所述AP对通过Portal认证的终端设备的HTTP报文进行本地转发。
所述方法进一步包括:
所述AP在接收到来自所述终端设备的下线请求报文后,如果所述下线请求报文的目的IP地址是Portal服务器的IP地址,则所述AP将所述下线请求报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行下线处理;
所述AP接收来自所述AC的下线成功报文,所述下线成功报文中包含所述终端设备对应的地址信息,并根据所述地址信息确定已经下线的终端设备。
本发明实施例提供一种门户Portal认证的方法,接入点AP工作于本地转发模式,所述方法包括以下步骤:
接入控制器AC接收来自所述AP的超文本传输协议HTTP报文;所述HTTP报文是所述AP收到来自未通过Portal认证的终端设备的HTTP报文时,发现所述HTTP报文的目的IP地址不是Portal服务器的IP地址后发送的;
所述AC将所述HTTP报文重定向到Portal服务器,由所述终端设备通过所述AP向Portal服务器发送目的IP地址是所述Portal服务器的IP地址的HTTP报文,并由所述Portal服务器对所述终端设备进行Portal认证。
在由所述Portal服务器对所述终端设备进行Portal认证之后,所述方法进一步包括:所述AC接收来自所述Portal服务器的携带所述终端设备对应的用户信息的认证请求报文;当利用所述用户信息对所述终端设备进行Portal认证成功时,所述AC向所述AP发送包含所述终端设备的地址信息的认证成功报文,由所述AP根据所述地址信息确定通过Portal认证的终端设备,并对通过Portal认证的终端设备的HTTP报文进行本地转发。
所述方法进一步包括:所述AC接收来自所述Portal服务器的携带所述终端设备对应的用户信息的下线请求报文;当利用所述用户信息对所述终端设备下线成功时,所述AC向所述AP发送包含所述终端设备的地址信息的下线成功报文,由所述AP根据所述地址信息确定已经下线的终端设备。
本发明实施例提供一种接入点AP,所述AP工作于本地转发模式,所述AP具体包括:
判断模块,用于在接收到来自未通过Portal认证的终端设备的超文本传输协议HTTP报文时,判断所述HTTP报文的目的IP地址是否为Portal服务器的IP地址;
发送模块,用于当判断结果为是时,将所述HTTP报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行Portal认证;当判断结果为否时,将所述HTTP报文发送给接入控制器AC,由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证。
还包括:接收模块,用于在由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证之后,接收来自所述AC的认证成功报文,所述认证成功报文中包含所述终端设备的地址信息,并根据所述地址信息确定通过Portal认证的终端设备,并对通过Portal认证的终端设备的HTTP报文进行本地转发。
所述发送模块,还用于在接收到来自终端设备的下线请求报文后,如果所述下线请求报文的目的IP地址是Portal服务器的IP地址,将所述下线请求报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行下线处理;
所述接收模块,还用于接收来自所述AC的下线成功报文,且所述下线成功报文中包含所述终端设备对应的地址信息,并根据所述地址信息确定已经下线的终端设备。
本发明实施例提供一种接入控制器AC,接入点AP工作于本地转发模式,所述AC具体包括:
接收模块,用于接收来自所述AP的超文本传输协议HTTP报文;所述HTTP报文是所述AP收到来自未通过Portal认证的终端设备的HTTP报文时,发现所述HTTP报文的目的IP地址不是Portal服务器的IP地址后发送的;
发送模块,用于将所述HTTP报文重定向到Portal服务器,由所述终端设备通过所述AP向Portal服务器发送目的IP地址是所述Portal服务器的IP地址的HTTP报文,并由所述Portal服务器对所述终端设备进行Portal认证。
所述接收模块,还用于在由所述Portal服务器对所述终端设备进行Portal认证之后,接收来自所述Portal服务器的携带所述终端设备对应的用户信息的认证请求报文;
所述发送模块,还用于当利用所述用户信息对所述终端设备进行Portal认证成功时,向所述AP发送包含所述终端设备的地址信息的认证成功报文,由所述AP根据所述地址信息确定通过Portal认证的终端设备,并对通过Portal认证的终端设备的HTTP报文进行本地转发。
所述接收模块,还用于接收来自所述Portal服务器的携带所述终端设备对应的用户信息的下线请求报文;
所述发送模块,还用于当利用所述用户信息对所述终端设备下线成功时,向所述AP发送包含所述终端设备的地址信息的下线成功报文,由所述AP根据所述地址信息确定已经下线的终端设备。
基于上述技术方案,本发明实施例中,在终端设备未通过Portal认证时,强制AP将目的IP地址不是Portal服务器的IP地址的HTTP报文发送给AC,从而使所有非Portal服务器的HTTP(Hyper Text Transfer Protocol,超文本传输协议)访问流量集中转发到AC,实现AP本地转发的AC集中Portal认证,解决了分支部署场景下,分支机构的数据流量本地转发(流量不经过AC)的场景下,用户的Portal集中认证问题。
附图说明
图1是现有技术中Portal集中认证本地转发的应用场景示意图;
图2是本发明实施例提供的一种Portal认证的方法流程示意图;
图3是本发明实施例提供的一种AP的结构示意图;
图4是本发明实施例提供的一种AC的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供了一种Portal认证的方法,以图1为本发明实施例的应用场景示意图,该方法可应用于包括终端设备、AP、AC、出口路由器、Portal服务器和认证服务器(如AAA(Authentication Authorization Accounting、认证、授权和计费)服务器)的网络中。企业分支机构部署AP和出口路由器,总部机构部署AC、Portal服务器和认证服务器。在上述应用场景下,如图2所示,该Portal认证的方法具体可以包括以下步骤:
步骤201,AP在接收到来自未通过Portal认证的终端设备的HTTP报文时,判断该HTTP报文的目的IP地址是否为Portal服务器的IP地址。如果该目的IP地址不是Portal服务器的IP地址,则AP执行步骤202;如果该目的IP地址是Portal服务器的IP地址,则AP执行步骤204。
本发明实施例中,AP工作于本地转发模式。基于此本地转发模式,AP在接收到来自通过Portal认证的终端设备的HTTP报文时,AP直接利用HTTP报文的目的IP地址将HTTP报文发送到Internet,该过程在此不再赘述。
步骤202,AP将HTTP报文发送给AC。
本发明实施例中,在AP上配置策略转发,对于未通过Portal认证的终端设备,当AP收到来自该终端设备的目的IP地址不是Portal服务器的IP地址的HTTP报文时,AP对该HTTP报文进行CAPWAP(Control And Provisioning of Wireless Access Points ProtocolSpecification,无线接入点的控制和配置协议)隧道封装,并将CAPWAP隧道封装后的HTTP报文发送给AC。
步骤203,AC接收来自AP的HTTP报文,将该HTTP报文重定向到Portal服务器,由终端设备通过AP向Portal服务器发送目的IP地址是Portal服务器的IP地址的HTTP报文,并由Portal服务器对终端设备进行Portal认证。
AC在接收到来自AP的HTTP报文(终端设备发出的HTTP报文)之后,通过向终端设备发送HTTP 302响应报文,以触发终端设备到Portal服务器进行Portal认证,即强制终端设备重定向到Portal服务器进行Portal认证。
步骤204,AP将HTTP报文发送给Portal服务器,Portal服务器在接收到来自AP的HTTP报文之后,对终端设备进行Portal认证。
本发明实施例中,在AC强制终端设备重定向到Portal服务器进行Portal认证之后,终端设备将会发送目的IP地址是Portal服务器的IP地址的HTTP报文。AP在接收到目的IP地址是Portal服务器的IP地址的HTTP报文之后,将该HTTP报文发送给Portal服务器。进一步的,在Portal服务器对终端设备进行Portal认证的过程中,Portal服务器会向终端设备返回认证页面,由用户在该认证页面上输入终端设备对应的用户信息(如用户名和密码等信息)。之后,Portal服务器通过认证请求报文将终端设备对应的用户信息发送给AC。
AC接收来自Portal服务器的携带终端设备对应的用户信息的认证请求报文,并将终端设备对应的用户信息发送给认证服务器,由认证服务器利用终端设备对应的用户信息对终端设备进行Portal认证。当利用该用户信息对终端设备进行Portal认证成功时,则AC向AP发送认证成功报文,且该认证成功报文中包含该终端设备对应的地址信息,如该终端设备对应的IP地址、或MAC(Media Access Control,介质访问控制)地址。
进一步的,AP接收来自AC的认证成功报文,并根据该认证成功报文中携带的地址信息确定通过Portal认证的终端设备。进一步的,AP对通过Portal认证的终端设备的HTTP报文进行本地转发。在对通过Portal认证的终端设备的HTTP报文进行本地转发的过程中,AP在ACL(Access Control List,访问控制列表)中记录认证成功报文中携带的终端设备对应的地址信息。基于此ACL,AP在接收到来自终端设备的HTTP报文之后,判断该终端设备的地址信息(即HTTP报文的源IP地址)是否记录在ACL中;如果是,AP确定终端设备通过Portal认证;如果否,AP确定终端设备未通过Portal认证。
本发明实施例中,当终端设备下线时,终端设备发送目的IP地址是Portal服务器的IP地址的下线请求报文。AP在接收到来自终端设备的下线请求报文后,如果下线请求报文的目的IP地址是Portal服务器的IP地址,则AP将下线请求报文发送给Portal服务器,由Portal服务器对终端设备进行下线处理。
在Portal服务器对终端设备进行下线处理的过程中,Portal服务器会向终端设备返回认证页面,由用户在该认证页面上输入终端设备对应的用户信息(如用户名和密码等信息)。之后,Portal服务器通过下线请求报文将终端设备对应的用户信息发送给AC。AC接收来自Portal服务器的携带终端设备对应的用户信息的下线请求报文,并将终端设备对应的用户信息发送给认证服务器,由认证服务器利用终端设备对应的用户信息对终端设备进行下线处理。
当利用终端设备对应的用户信息对终端设备下线成功时,则AC向AP发送下线成功报文,且该下线成功报文中包含终端设备对应的地址信息,如该终端设备对应的IP地址、或MAC地址。AP在收到来自AC的下线成功报文之后,根据下线成功报文中携带的地址信息确定已经下线的终端设备。进一步的,AP从ACL中删除该下线成功报文中包含的终端设备对应的地址信息。
基于上述技术方案,本发明实施例中,在终端设备未通过Portal认证时,强制AP将目的IP地址不是Portal服务器的IP地址的HTTP报文发送给AC,从而使所有非Portal服务器的HTTP访问流量集中转发到AC,实现AP本地转发的AC集中Portal认证,解决分支部署场景下,分支机构的数据流量本地转发的场景下,用户的Portal集中认证问题。
以下结合具体的应用场景对本发明实施例的上述过程进行详细说明。
步骤1、终端设备关联无线网络,并从本企业分支机构的出口路由器获取IP地址和DNS(Domain Name System,域名系统)服务器的IP地址。
步骤2、终端设备在访问任意域名网站时,利用DNS服务器的IP地址向DNS服务器发送DNS请求报文,接收DNS服务器返回的DNS响应报文,向DNS响应报文中携带的网站IP地址发送TCP(Transmission Control Protocol,传输控制协议)连接请求报文,且该TCP连接请求报文为HTTP报文。
步骤3、AP在接收到来自终端设备的TCP连接请求报文之后,由于该终端设备当前未通过Portal认证,并且该TCP连接请求报文的目的IP地址不是Portal服务器的IP地址,因此,AP将TCP连接请求报文发送给AC。
步骤4、AC在接收到来自AP的TCP连接请求报文之后,AC仿冒终端设备访问的目的IP地址,与该终端设备建立相应的TCP连接。
步骤5、终端设备通过AP向AC发送HTTP GET请求报文,该HTTP GET请求报文用于请求相应的URL(Uniform Resource Locator,统一资源定位符)。
步骤6、AC通过向终端设备发送HTTP 302响应报文,以触发终端设备到Portal服务器进行Portal认证,即强制终端设备重定向到Portal服务器进行Portal认证。在重定向的URL中携带AC的IP地址和终端设备的IP地址。
步骤7、终端设备拆除当前与AC之间的TCP连接,并向Portal服务器发送目的IP地址是Portal服务器的IP地址的TCP连接请求报文。
步骤8、AP在接收到来自终端设备的TCP连接请求报文之后,由于该终端设备当前未通过Portal认证,并且该TCP连接请求报文的目的IP地址是Portal服务器的IP地址,因此,AP将TCP连接请求报文发送给Portal服务器。
步骤9、Portal服务器在接收到来自AP的TCP连接请求报文之后,Portal服务器与该TCP连接请求报文对应的终端设备建立相应的TCP连接。
步骤10、Portal服务器通过浏览器向终端设备返回认证页面。
步骤11、用户在该认证页面上输入终端设备对应的用户信息(如用户名和密码等信息),并由终端设备将该用户信息发送给Portal服务器。
步骤12、Portal服务器将终端设备对应的用户信息封装到认证请求报文,向AC发送认证请求报文,该认证请求报文中携带终端设备对应的用户信息。
步骤13、AC接收来自Portal服务器的携带终端设备对应的用户信息的认证请求报文,并将终端设备对应的用户信息发送给认证服务器(如AAA服务器),由认证服务器利用终端设备对应的用户信息对终端设备进行Portal认证。
步骤14、当终端设备进行Portal认证成功时,AC通过CAPWAP控制隧道向AP发送认证成功报文,该认证成功报文中包含终端设备对应的IP地址/MAC地址、AP的MAC(MediaAccess Control,媒体访问控制)地址等信息。
步骤15、AP接收来自AC的认证成功报文,并在ACL中记录该认证成功报文中携带的终端设备对应的地址信息,并向AC返回认证成功响应报文。
步骤16、AC在收到来自AP的认证成功响应报文后,向Portal服务器发送认证成功报文,由Portal服务器向终端设备推送认证成功页面。
进一步的,在具体的应用场景下,Portal认证的下线流程包括以下步骤:
步骤1、终端设备发送目的IP地址是Portal服务器的IP地址的下线请求报文。AP在接收到该下线请求报文后,由于该下线请求报文的目的IP地址是Portal服务器的IP地址,因此,AP将下线请求报文发送给Portal服务器。
步骤2、Portal服务器通过浏览器向终端设备返回认证页面。
步骤3、用户在该认证页面上输入终端设备对应的用户信息(如用户名和密码等信息),并由终端设备将该用户信息发送给Portal服务器。
步骤4、Portal服务器将终端设备对应的用户信息封装到下线请求报文,并通过该下线请求报文将该终端设备对应的用户信息发送给AC。
步骤5、AC接收来自Portal服务器的携带终端设备对应的用户信息的下线请求报文,并将终端设备对应的用户信息发送给认证服务器(如AAA服务器),由认证服务器利用终端设备对应的用户信息对终端设备进行下线处理。
步骤6、当利用终端设备对应的用户信息对该终端设备下线成功时,AC通过CAPWAP控制隧道向AP发送下线成功报文,且该下线成功报文中可以包含该终端设备对应的IP地址/MAC地址、AP的MAC地址等信息。
步骤7、AP在接收到来自AC的下线成功报文之后,从ACL中删除该下线成功报文中包含的终端设备对应的地址信息。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种接入点AP,所述AP工作于本地转发模式,如图3所示,所述AP具体包括:
判断模块11,用于在接收到来自未通过Portal认证的终端设备的超文本传输协议HTTP报文时,判断所述HTTP报文的目的IP地址是否为Portal服务器的IP地址;发送模块12,用于当判断结果为是时,将所述HTTP报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行Portal认证;当判断结果为否时,将所述HTTP报文发送给接入控制器AC,由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证。
本发明实施例中,所述AP还包括:
接收模块13,用于在由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证之后,接收来自所述AC的认证成功报文,所述认证成功报文中包含所述终端设备的地址信息,并根据所述地址信息确定通过Portal认证的终端设备,并对通过Portal认证的终端设备的HTTP报文进行本地转发。
所述发送模块12,还用于在接收到来自终端设备的下线请求报文后,如果所述下线请求报文的目的IP地址是Portal服务器的IP地址,将所述下线请求报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行下线处理;所述接收模块13,还用于接收来自所述AC的下线成功报文,且所述下线成功报文中包含所述终端设备对应的地址信息,并根据所述地址信息确定已经下线的终端设备。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种接入控制器AC,接入点AP工作于本地转发模式,如图4所示,所述AC具体包括:
接收模块21,用于接收来自所述AP的超文本传输协议HTTP报文;所述HTTP报文是所述AP收到来自未通过Portal认证的终端设备的HTTP报文时,发现所述HTTP报文的目的IP地址不是Portal服务器的IP地址后发送的;发送模块22,用于将所述HTTP报文重定向到Portal服务器,由所述终端设备通过所述AP向Portal服务器发送目的IP地址是所述Portal服务器的IP地址的HTTP报文,并由所述Portal服务器对所述终端设备进行Portal认证。
本发明实施例中,所述接收模块21,还用于在由所述Portal服务器对所述终端设备进行Portal认证之后,接收来自所述Portal服务器的携带所述终端设备对应的用户信息的认证请求报文;所述发送模块22,还用于当利用所述用户信息对所述终端设备进行Portal认证成功时,向所述AP发送包含所述终端设备的地址信息的认证成功报文,由所述AP根据所述地址信息确定通过Portal认证的终端设备,并对通过Portal认证的终端设备的HTTP报文进行本地转发。
本发明实施例中,所述接收模块21,还用于接收来自所述Portal服务器的携带所述终端设备对应的用户信息的下线请求报文;所述发送模块22,还用于当利用所述用户信息对所述终端设备下线成功时,向所述AP发送包含所述终端设备的地址信息的下线成功报文,由所述AP根据所述地址信息确定已经下线的终端设备。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种门户Portal认证的方法,其特征在于,接入点AP工作于本地转发模式,所述方法包括以下步骤:
所述AP收到来自未通过Portal认证的终端设备的超文本传输协议HTTP报文时,判断所述HTTP报文的目的IP地址是否为Portal服务器的IP地址;
如果是,则所述AP将所述HTTP报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行Portal认证;
如果否,则所述AP依据配置的策略转发对所述HTTP报文进行无线接入点的控制和配置协议CAPWAP隧道封装,并将CAPWAP隧道封装后的HTTP报文发送给接入控制器AC,由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证。
2.如权利要求1所述的方法,其特征在于,在由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证之后,所述方法进一步包括:
所述AP接收来自所述AC的认证成功报文,所述认证成功报文中包含所述终端设备的地址信息,并根据所述地址信息确定通过Portal认证的终端设备;所述AP对通过Portal认证的终端设备的HTTP报文进行本地转发。
3.如权利要求2所述的方法,其特征在于,所述方法进一步包括:
所述AP在接收到来自所述终端设备的下线请求报文后,如果所述下线请求报文的目的IP地址是Portal服务器的IP地址,则所述AP将所述下线请求报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行下线处理;
所述AP接收来自所述AC的下线成功报文,所述下线成功报文中包含所述终端设备对应的地址信息,并根据所述地址信息确定已经下线的终端设备。
4.一种门户Portal认证的方法,其特征在于,接入点AP工作于本地转发模式,所述方法包括以下步骤:
接入控制器AC接收来自所述AP的超文本传输协议HTTP报文;所述HTTP报文是所述AP收到来自未通过Portal认证的终端设备的HTTP报文时,发现所述HTTP报文的目的IP地址不是Portal服务器的IP地址后依据配置的策略转发对所述HTTP报文进行无线接入点的控制和配置协议CAPWAP隧道封装发送给所述AC的;
所述AC将所述HTTP报文重定向到Portal服务器,由所述终端设备通过所述AP向Portal服务器发送目的IP地址是所述Portal服务器的IP地址的HTTP报文,并由所述Portal服务器对所述终端设备进行Portal认证。
5.如权利要求4所述的方法,其特征在于,在由所述Portal服务器对所述终端设备进行Portal认证之后,所述方法进一步包括:
所述AC接收来自所述Portal服务器的携带所述终端设备对应的用户信息的认证请求报文;当利用所述用户信息对所述终端设备进行Portal认证成功时,所述AC向所述AP发送包含所述终端设备的地址信息的认证成功报文,由所述AP根据所述地址信息确定通过Portal认证的终端设备,并对通过Portal认证的终端设备的HTTP报文进行本地转发。
6.如权利要求5所述的方法,其特征在于,所述方法进一步包括:
所述AC接收来自所述Portal服务器的携带所述终端设备对应的用户信息的下线请求报文;当利用所述用户信息对所述终端设备下线成功时,所述AC向所述AP发送包含所述终端设备的地址信息的下线成功报文,由所述AP根据所述地址信息确定已经下线的终端设备。
7.一种接入点AP,其特征在于,所述AP工作于本地转发模式,所述AP具体包括:
判断模块,用于在接收到来自未通过Portal认证的终端设备的超文本传输协议HTTP报文时,判断所述HTTP报文的目的IP地址是否为Portal服务器的IP地址;
发送模块,用于当判断结果为是时,将所述HTTP报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行Portal认证;当判断结果为否时,依据配置的策略转发对所述HTTP报文进行无线接入点的控制和配置协议CAPWAP隧道封装,并将CAPWAP隧道封装后的HTTP报文发送给接入控制器AC,由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证。
8.如权利要求7所述的AP,其特征在于,还包括:
接收模块,用于在由所述AC将所述HTTP报文重定向到Portal服务器,并由所述Portal服务器对所述终端设备进行Portal认证之后,接收来自所述AC的认证成功报文,所述认证成功报文中包含所述终端设备的地址信息,并根据所述地址信息确定通过Portal认证的终端设备,并对通过Portal认证的终端设备的HTTP报文进行本地转发。
9.如权利要求8所述的AP,其特征在于,
所述发送模块,还用于在接收到来自终端设备的下线请求报文后,如果所述下线请求报文的目的IP地址是Portal服务器的IP地址,将所述下线请求报文发送给Portal服务器,由所述Portal服务器对所述终端设备进行下线处理;
所述接收模块,还用于接收来自所述AC的下线成功报文,且所述下线成功报文中包含所述终端设备对应的地址信息,并根据所述地址信息确定已经下线的终端设备。
10.一种接入控制器AC,其特征在于,接入点AP工作于本地转发模式,所述AC具体包括:
接收模块,用于接收来自所述AP的超文本传输协议HTTP报文;所述HTTP报文是所述AP收到来自未通过Portal认证的终端设备的HTTP报文时,发现所述HTTP报文的目的IP地址不是Portal服务器的IP地址后依据配置的策略转发对所述HTTP报文进行无线接入点的控制和配置协议CAPWAP隧道封装并发送的;
发送模块,用于将所述HTTP报文重定向到Portal服务器,由所述终端设备通过所述AP向Portal服务器发送目的IP地址是所述Portal服务器的IP地址的HTTP报文,并由所述Portal服务器对所述终端设备进行Portal认证。
11.如权利要求10所述的AC,其特征在于,
所述接收模块,还用于在由所述Portal服务器对所述终端设备进行Portal认证之后,接收来自所述Portal服务器的携带所述终端设备对应的用户信息的认证请求报文;
所述发送模块,还用于当利用所述用户信息对所述终端设备进行Portal认证成功时,向所述AP发送包含所述终端设备的地址信息的认证成功报文,由所述AP根据所述地址信息确定通过Portal认证的终端设备,并对通过Portal认证的终端设备的HTTP报文进行本地转发。
12.如权利要求11所述的AC,其特征在于,
所述接收模块,还用于接收来自所述Portal服务器的携带所述终端设备对应的用户信息的下线请求报文;
所述发送模块,还用于当利用所述用户信息对所述终端设备下线成功时,向所述AP发送包含所述终端设备的地址信息的下线成功报文,由所述AP根据所述地址信息确定已经下线的终端设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510144051.6A CN104811439B (zh) | 2015-03-30 | 2015-03-30 | 一种Portal认证的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510144051.6A CN104811439B (zh) | 2015-03-30 | 2015-03-30 | 一种Portal认证的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104811439A CN104811439A (zh) | 2015-07-29 |
| CN104811439B true CN104811439B (zh) | 2018-08-24 |
Family
ID=53695933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510144051.6A Active CN104811439B (zh) | 2015-03-30 | 2015-03-30 | 一种Portal认证的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104811439B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106060072B (zh) * | 2016-06-30 | 2019-09-06 | 新华三技术有限公司 | 认证方法以及装置 |
| CN106686592B (zh) * | 2016-07-12 | 2020-05-19 | 飞天诚信科技股份有限公司 | 一种带有认证的网络接入方法及系统 |
| CN108282537B (zh) * | 2018-01-31 | 2021-02-26 | 新华三技术有限公司 | 一种Portal用户下线的方法和接入设备 |
| CN108737277B (zh) * | 2018-08-30 | 2021-02-26 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN111225376A (zh) * | 2018-11-26 | 2020-06-02 | 中国电信股份有限公司 | 认证方法、系统、无线接入点ap和计算机可读存储介质 |
| CN110474958B (zh) * | 2019-07-12 | 2022-05-20 | 锐捷网络股份有限公司 | 扫码认证的方法、服务器、固定终端和移动终端 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| CN102710667A (zh) * | 2012-06-25 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN103118064A (zh) * | 2012-11-22 | 2013-05-22 | 杭州华三通信技术有限公司 | 一种Portal集中认证的方法和装置 |
| CN103442358A (zh) * | 2013-08-30 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种集中认证本地转发的方法及控制装置 |
| CN103825881A (zh) * | 2013-12-13 | 2014-05-28 | 福建三元达通讯股份有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101439534B1 (ko) * | 2011-09-16 | 2014-09-12 | 주식회사 케이티 | AC와 AP의 연동 기반의 WiFi 로밍에서의 웹 리다이렉트 인증 방법 및 장치 |
-
2015
- 2015-03-30 CN CN201510144051.6A patent/CN104811439B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| CN102710667A (zh) * | 2012-06-25 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN103118064A (zh) * | 2012-11-22 | 2013-05-22 | 杭州华三通信技术有限公司 | 一种Portal集中认证的方法和装置 |
| CN103442358A (zh) * | 2013-08-30 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种集中认证本地转发的方法及控制装置 |
| CN103825881A (zh) * | 2013-12-13 | 2014-05-28 | 福建三元达通讯股份有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104811439A (zh) | 2015-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104811439B (zh) | 一种Portal认证的方法和设备 | |
| CN101702717B (zh) | 一种Portal认证的方法、系统及设备 | |
| CN104427499B (zh) | 基于万维网的无线局域网接入认证方法与系统 | |
| US20160294797A1 (en) | Secure transmission of a session identifier during service authentication | |
| CN108293053A (zh) | 经由浏览器对客户端应用进行单点登录验证 | |
| CN104780168A (zh) | 一种Portal认证的方法和设备 | |
| CN108029017A (zh) | 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法 | |
| CN106603491A (zh) | 基于https协议的Portal认证方法及路由器 | |
| CN104580116B (zh) | 一种安全策略的管理方法和设备 | |
| CN101711031B (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
| CN101873332B (zh) | 一种基于代理服务器的web认证方法和设备 | |
| CN103430516A (zh) | 业务提供系统、方法、移动边缘应用服务器及支持节点 | |
| US7853705B2 (en) | On demand session provisioning of IP flows | |
| US8862869B1 (en) | Method and apparatus for providing network initiated session encryption | |
| CN104980461B (zh) | 页面推送方法、装置、服务器和集中式网络管理控制器 | |
| CN105847223A (zh) | 一种终端设备的认证方法和设备 | |
| CN107508822A (zh) | 访问控制方法及装置 | |
| CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
| CN109891921A (zh) | 下一代系统的认证 | |
| CN102638472B (zh) | 一种Portal认证方法和设备 | |
| KR102359070B1 (ko) | 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스 | |
| CN104869571B (zh) | 一种Portal快速认证的方法和设备 | |
| CN105635148A (zh) | 一种Portal认证方法及装置 | |
| CN109067788A (zh) | 一种接入认证的方法及装置 | |
| CN105101337B (zh) | 信息发送方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |