CN106878270A - 基于portal协议的增强型接入控制设备 - Google Patents
基于portal协议的增强型接入控制设备 Download PDFInfo
- Publication number
- CN106878270A CN106878270A CN201611254703.2A CN201611254703A CN106878270A CN 106878270 A CN106878270 A CN 106878270A CN 201611254703 A CN201611254703 A CN 201611254703A CN 106878270 A CN106878270 A CN 106878270A
- Authority
- CN
- China
- Prior art keywords
- user
- portal
- http
- access control
- https
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种基于portal协议的增强型接入控制设备,包括相互之间信号连接的HTTP/HTTPS请求重定向模块、网络访问控制模块、支持portal协议认证的认证模块及用户管理模块;网络访问控制模块通过配置对应规则,用于管理未认证用户、已认证用户、白名单、黑名单、HTTP及HTTPS的抓取;HTTP/HTTPS重定向模块与所述网络访问控制模块配合完成对到达设备的未认证用户HTTP/HTTPS请求的强制重定向;用户管理模块用于对用户的上下线管理及在线用户的检测;该基于portal协议的增强型接入控制设备可以实现用户网络访问的控制及认证功能;对于未认证用户,将其HTTP/HTTPS请求强制重定向到portal server上,并对于已认证用户提供正常的网络访问,并对其提供灵活可靠的在线检测机制。
Description
技术领域
本发明涉及接入控制技术领域,具体涉及一种基于portal协议的增强型接入控制设备。
背景技术
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
在传统的组网环境中,用户只要能接入局域网设备,就可以访问网络中的设备或资源,为加强网络资源的安全和运营管理,很多情况下需要对用户的访问进行控制,而8021x和PPPoE等访问控制方式,都需要客户端的配合。
Portal认证技术则提供一种灵活的访问控制方式,不需要安装客户端;可定制个性化认证页面,可在Portal页面上开展广告页面、信息发布等内容;可基于VLAN id/IP/MAC的捆绑来认证;采用server和client之间,BAS和client之间定期交互检测是否断网;因此目前急需一种基于portal协议的增强型接入控制设备。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于portal协议的增强型接入控制设备,该基于portal协议的增强型接入控制设备可以很好地解决上述问题。
为达到上述要求,本发明采取的技术方案是:提供一种基于portal协议的增强型接入控制设备,该基于portal协议的增强型接入控制设备包括相互之间信号连接的HTTP/HTTPS请求重定向模块、网络访问控制模块、支持portal协议认证的认证模块及用户管理模块;网络访问控制模块通过配置对应规则,用于管理未认证用户、已认证用户、白名单、黑名单、HTTP及HTTPS的抓取;HTTP/HTTPS重定向模块与所述网络访问控制模块配合完成对到达设备的未认证用户HTTP/HTTPS请求的强制重定向;用户管理模块用于对用户的上下线管理及在线用户的检测。
该基于portal协议的增强型接入控制设备具有的优点如下:
该基于portal协议的增强型接入控制设备可以实现用户网络访问的控制及认证功能;对于未认证用户,将其HTTP/HTTPS请求强制重定向到portal server上,并对于已认证用户提供正常的网络访问,并对其提供灵活可靠的在线检测机制。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,在这些附图中使用相同的参考标号来表示相同或相似的部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示意性地示出了根据本申请一个实施例的基于portal协议的增强型接入控制设备的portal认证流程图。
图2示意性地示出了根据本申请一个实施例的基于portal协议的增强型接入控制设备的HTTP/HTTPS重定向模块处理框图。
图3示意性地示出了根据本申请一个实施例的基于portal协议的增强型接入控制设备的TCAM分区规划图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。
在以下描述中,对“一个实施例”、“实施例”、“一个示例”、“示例”等等的引用表明如此描述的实施例或示例可以包括特定特征、结构、特性、性质、元素或限度,但并非每个实施例或示例都必然包括特定特征、结构、特性、性质、元素或限度。另外,重复使用短语“根据本申请的一个实施例”虽然有可能是指代相同实施例,但并非必然指代相同的实施例。
为简单起见,以下描述中省略了本领域技术人员公知的某些技术特征。
根据本申请的一个实施例,提供一种基于portal协议的增强型接入控制设备,如图1至图2所示,包括HTTP/HTTPS请求重定向模块、网络访问控制模块、认证模块、用户管理模块等,可支持portal协议认证的使用环境。
该设备的网络访问控制模块通过配置对应规则,用于管理未认证用户、已认证用户、白名单、黑名单、HTTP和HTTPS抓取。其中规则使用交换芯片硬件TCAM表实现,利用交换芯片TCAM表的优先级特性,通过对表的分区使用来实现各种规则。由于使用了硬件实现网络访问控制功能,对于各规则的查找匹配动作由交换芯片实现,该设备的网络访问控制不会影响用户的数据通信性能,TCAM分区规划使用如图3。
根据本申请的一个实施例,该基于portal协议的增强型接入控制设备的HTTP/HTTPS重定向模块与网络访问控制模块配合完成对到达设备的未认证用户HTTP/HTTPS请求的强制重定向动作。网络访问控制模块通过交换芯片硬件表项将HTTP/HTTPS报文(已认证用户的HTTP/HTTPS报文通过匹配认证规则已经通过,不会被抓取到)抓取上CPU。重定向模块对抓取到的报文进行目的地址转换操作,将目的地址转换为交换机地址。由设备内置的web server仿冒用户的目的站点与用户建立TCP握手,并向用户回复HTTP 302重定向报文,将用户重定向到portal server。其中,对于HTTPS请求,除仿冒TCP握手之外,还将仿冒用户目的站点与用户建立SSL握手。同时,在进行目的地址转换时,将目的端口由常用的80、8080、443端口分别转换为20001(HTTP)与20002(HTTPS),以和设备上原本提供的web服务区别开来,可同时提供服务。
根据本申请的一个实施例,该基于portal协议的增强型接入控制设备的认证模块支持portal协议的认证。目前市面上存在V1和V2两个版本的portal协议。其中V2版本相对于V1版本,加强了协议的安全性,提供了更丰富的属性。但也导致了两个版本协议的不兼容。该发明设备提供对portal协议V1、V2版本主动识别,增强了对协议的智能适配。并增加对portal协议的chap、pap认证方式的智能识别。即该设备可智能的识别处理到达设备的V1、V2版本的pap、chap认证报文,而无需用户进行特殊的配置。设备对于接收到的portal认证请求,通过radius协议向远端的radius server进行认证、授权、计费操作。
对于portal协议,该发明设备进行了属性增强。为了加强portal协议的安全性,防重放攻击,该发明设备在portal协议报文中添加了时间戳属性。当开启时间戳属性时,设备仅处理报文中时间戳中时间与当前时刻足够近的报文。发送portal协议报文时,也将在报文中添加时间戳属性。时间戳属性与portal协议报文中的校验字、序号配合使用,可有效的预防重放攻击。同时对于时间戳的检查可自由配置,以灵活适配网络环境。当网络环境延迟较高时,可扩大检查时间窗。当需要更好的安全防护时,可缩小检查时间窗,提高防重放攻击能力。
根据本申请的一个实施例,该基于portal协议的增强型接入控制设备的用户管理模块可提供对用户的上下线管理及在线用户的检测等功能。其中,设备提供用户强制上线、下线、禁止登录等管理功能。在实际的网络环境中,用户可能由于各种原因导致异常下线,如终端崩溃、网络故障、IP地址切换、用户转移等。为应对以上问题,本发明设备提供了灵活可靠的在线用户检测机制。同时提供基于ICMP回显请求的用户检测和基于流量的用户检测功能。
基于ICMP回显请求的用户检测通过在设备中开启一个在线检测服务,周期性的给各在线用户发送ICMP回显请求,检测是否收到用户的ICMP回显应答报文。若连续多次未收到应答报文,则认为用户下线,设备将清理用户规则,并通告portal server和radiusserver用户异常下线。
基于流量的用户检测也使用设备中的在线检测服务,周期性的检测各个在线用户流经设备的流量。若在一定周期内,连续多次检测到用户无流量流经设备,则认为用户处于空闲状态或已经下线,设备将清理用户规则,并通告portal server和radius server用户异常下线。
实际环境中,部分用户终端的防火墙禁止了ICMP回显请求。本发明设备可智能识别防火墙是否禁止ICMP回显请求并采取不同的检测机制。当用户认证通过且已经下发规则后,设备将向用户发起ICMP回显请求,若前几次请求收到应答,则认为用户可PING,若前次请求没有收到应答,则认为用户不可PING。对于可PING的用户,采用基于ICMP回显请求的用户检测。对于不可PING的用户,采用基于流量的用户检测。
根据本申请的一个实施例,该基于portal协议的增强型接入控制设备可以包含如下部分:用户终端、接入控制设备、portal server、RADIUS server等几个模块,其中:
用户终端:用户客户端,一般为http浏览器,通常在各支持web访问的平台上都提供该客户端。
接入控制设备:宽带接入服务器,即BAS。用户接入服务设备,实现用户的汇聚、认证、计费等服务。
Portal server:提供Web认证的认证界面和相关操作。Portal Server接受认证客户端发出的基于HTTP的认证请求,提取其中的账号信息,将此信息发送到接入设备,同时根据接入设备反馈的认证结果,通过页面反馈给用户。
RADIUS server:提供基于RADIUS协议的远程用户认证。
基于portal协议的增强型接入控制设备在控制无线终端接入网络认证流程如下:
s1、用户使用手机搜索连接到无线接入AP对应的SSID,获取IP地址,该IP地址可以由AC分配,也可以通过汇聚交换机做DHCP中继,由全网统一规划的DHCP服务器统一分配一个IP地址;
s2、手机获取到IP地址后,通过浏览器访问网页。HTTP报文到达BAS后被截获并仿冒目的端完成TCP握手。BAS向手机回复一个HTTP302重定向到portal服务器的报文;
s3、手机浏览器根据重定向报文访问portal服务器。获取portal服务器推送的认证页面。用户在该页面输入账号和口令后提交认证请求,portal服务器解析处理用户信息后,将其使用portal协议封装后回传给BAS;
s4、BAS首先对用户的合法性进行检查,然后将用户输入的帐号和口令通过RADIUS协议发给RADIUS服务器对用户进行认证;
s5、RADIUS服务器将该用户的认证结果告知BAS,若认证通过,汇聚交换机将修改ACL规则,在ACL表中为该用户添加一条允许转发的规则。若认证未通过,则不修改任何配置。认证完后,将认证结果返回portal服务器;
s6、Portal服务器为用户推送认证完成页面(包括认证通过与未通过),认证结束;
s7、用户离开网络前,可在portal推送的登陆成功页面点击“断开网络”按钮,将触发下线流程,汇聚交换机将删除用户的ACL规则,并结束radius计费。
以上所述实施例仅表示本发明的几种实施方式,其描述较为具体和详细,但并不能理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明保护范围。因此本发明的保护范围应该以所述权利要求为准。
Claims (6)
1.一种基于portal协议的增强型接入控制设备,其特征在于:包括相互之间信号连接的HTTP/HTTPS请求重定向模块、网络访问控制模块、支持portal协议认证的认证模块及用户管理模块;
所述网络访问控制模块通过配置对应规则,用于管理未认证用户、已认证用户、白名单、黑名单、HTTP及HTTPS的抓取;
所述HTTP/HTTPS重定向模块与所述网络访问控制模块配合完成对到达设备的未认证用户HTTP/HTTPS请求的强制重定向;
所述用户管理模块用于对用户的上下线管理及在线用户的检测。
2.根据权利要求1所述的基于portal协议的增强型接入控制设备,其特征在于:所述对应规则使用交换芯片硬件TCAM表实现,利用交换芯片TCAM表的优先级特性,通过对表的分区使用来实现规则。
3.根据权利要求1所述的基于portal协议的增强型接入控制设备,其特征在于:所述网络访问控制模块通过交换芯片硬件表项将HTTP/HTTPS报文抓取上CPU。
4.根据权利要求1所述的基于portal协议的增强型接入控制设备,其特征在于:所述HTTP/HTTPS重定向模块对抓取到的报文进行目的地址转换操作,将目的地址转换为交换机地址。
5.根据权利要求1所述的基于portal协议的增强型接入控制设备,其特征在于:所述认证模块用于对portal协议V1、V2版本主动识别,并对portal协议的chap、pap认证方式进行识别。
6.根据权利要求1所述的基于portal协议的增强型接入控制设备,其特征在于:所述用户管理模块用于实现用户强制上线、下线及禁止登录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611254703.2A CN106878270A (zh) | 2016-12-30 | 2016-12-30 | 基于portal协议的增强型接入控制设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611254703.2A CN106878270A (zh) | 2016-12-30 | 2016-12-30 | 基于portal协议的增强型接入控制设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106878270A true CN106878270A (zh) | 2017-06-20 |
Family
ID=59165031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611254703.2A Pending CN106878270A (zh) | 2016-12-30 | 2016-12-30 | 基于portal协议的增强型接入控制设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106878270A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108040031A (zh) * | 2017-10-31 | 2018-05-15 | 安徽四创电子股份有限公司 | 一种基于portal协议实现AC黑白名单控制方法 |
| CN108712411A (zh) * | 2018-05-11 | 2018-10-26 | 南京铁道职业技术学院 | 一种IPoE漫游会话控制方法 |
| CN110266736A (zh) * | 2019-07-30 | 2019-09-20 | 杭州迪普科技股份有限公司 | 一种针对基于https协议的portal认证的优化方法及装置 |
| CN111314384A (zh) * | 2020-03-23 | 2020-06-19 | 杭州迪普科技股份有限公司 | 一种终端认证方法、装置及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060236381A1 (en) * | 2005-04-19 | 2006-10-19 | Weeden Shane B | Assigning ACLs to a hierarchical namespace to optimize ACL inheritance |
| CN101364947A (zh) * | 2008-09-08 | 2009-02-11 | 中兴通讯股份有限公司 | 一种访问控制列表规则匹配方法及系统 |
| CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN101873329A (zh) * | 2010-06-29 | 2010-10-27 | 迈普通信技术股份有限公司 | 一种Portal强制认证方法以及接入设备 |
| CN102710643A (zh) * | 2012-05-30 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种Portal服务器及其与用户保活的方法 |
-
2016
- 2016-12-30 CN CN201611254703.2A patent/CN106878270A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060236381A1 (en) * | 2005-04-19 | 2006-10-19 | Weeden Shane B | Assigning ACLs to a hierarchical namespace to optimize ACL inheritance |
| CN101364947A (zh) * | 2008-09-08 | 2009-02-11 | 中兴通讯股份有限公司 | 一种访问控制列表规则匹配方法及系统 |
| CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
| CN101873329A (zh) * | 2010-06-29 | 2010-10-27 | 迈普通信技术股份有限公司 | 一种Portal强制认证方法以及接入设备 |
| CN102710643A (zh) * | 2012-05-30 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种Portal服务器及其与用户保活的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《电脑编程技巧与维护》杂志社: "《C#编程技巧典型案例解析》", 31 August 2005 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108040031A (zh) * | 2017-10-31 | 2018-05-15 | 安徽四创电子股份有限公司 | 一种基于portal协议实现AC黑白名单控制方法 |
| CN108040031B (zh) * | 2017-10-31 | 2020-12-29 | 安徽四创电子股份有限公司 | 一种基于portal协议实现AC黑白名单控制方法 |
| CN108712411A (zh) * | 2018-05-11 | 2018-10-26 | 南京铁道职业技术学院 | 一种IPoE漫游会话控制方法 |
| CN108712411B (zh) * | 2018-05-11 | 2021-02-02 | 南京铁道职业技术学院 | 一种IPoE漫游会话控制方法 |
| CN110266736A (zh) * | 2019-07-30 | 2019-09-20 | 杭州迪普科技股份有限公司 | 一种针对基于https协议的portal认证的优化方法及装置 |
| CN111314384A (zh) * | 2020-03-23 | 2020-06-19 | 杭州迪普科技股份有限公司 | 一种终端认证方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108293053A (zh) | 经由浏览器对客户端应用进行单点登录验证 | |
| CN105450643B (zh) | 网络接入的认证方法、装置及系统 | |
| CN104378382A (zh) | 一种多商户无线认证系统及其认证方法 | |
| CN104144163B (zh) | 身份验证方法、装置及系统 | |
| CN104283848B (zh) | 终端接入方法和装置 | |
| CN106878270A (zh) | 基于portal协议的增强型接入控制设备 | |
| KR20180026520A (ko) | 교차-단말 로그인-프리 방법 및 장치 | |
| CN105407074A (zh) | 身份验证方法、装置及系统 | |
| CN105162802B (zh) | Portal认证方法及认证服务器 | |
| CN103916400B (zh) | 一种用户账号管理方法及系统 | |
| CN105592037A (zh) | 一种mac地址认证方法和装置 | |
| CN105871881A (zh) | 一种基于Openwrt路由器的Portal认证的方法 | |
| CN105871853A (zh) | 一种入口认证方法和系统 | |
| CN107508822A (zh) | 访问控制方法及装置 | |
| CN109104475A (zh) | 连接恢复方法、装置及系统 | |
| CN107864475A (zh) | 基于Portal+动态密码的WiFi快捷认证方法 | |
| CN104837134B (zh) | 一种Web认证用户登录方法、设备和系统 | |
| CN106162640A (zh) | 一种portal认证方法及系统 | |
| CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
| CN106060072A (zh) | 认证方法以及装置 | |
| CN105530638A (zh) | 一种基于朋友圈分享的免费wifi认证系统 | |
| CN110149336A (zh) | 单点登录方法、装置以及信息系统 | |
| CN106330948A (zh) | 一种报文控制方法及装置 | |
| CN114079971A (zh) | 业务流量管控方法、系统、dpi节点及存储介质 | |
| CN108322366A (zh) | 接入网络的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170620 |
|
| RJ01 | Rejection of invention patent application after publication |