CN107733926A - 一种基于NAT的portal认证的方法及装置 - Google Patents
一种基于NAT的portal认证的方法及装置 Download PDFInfo
- Publication number
- CN107733926A CN107733926A CN201711214168.2A CN201711214168A CN107733926A CN 107733926 A CN107733926 A CN 107733926A CN 201711214168 A CN201711214168 A CN 201711214168A CN 107733926 A CN107733926 A CN 107733926A
- Authority
- CN
- China
- Prior art keywords
- certification
- address
- portal
- list item
- resource request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本申请提供一种基于NAT的portal认证的方法及装置,应用于认证设备,所述方法包括:接收NAT网关转发的局域网内的主机的访问网络资源请求;基于所述访问网络资源请求中的源IP和源端口查找认证表;其中,所述认证表包括若干条认证表项,每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系;如果查找到的所述认证表项的认证标识字段中填入完成认证标识,转发所述访问网络资源请求;如果查找到的所述认证表项的认证标识字段中填入未完成认证标识,将所述访问网络资源请求重定向至portal认证服务器。本申请技术方案,实现了在portal认证放在NAT转换之后的应用场景下,对局域网内的所有用户的访问控制。
Description
技术领域
本申请涉及网络通信领域,特别涉及一种基于NAT的portal认证的方法及装置。
背景技术
Portal认证通常也称为Web认证,是一种灵活的访问控制方式,无需安装客户端,就可在接入层或需要保护的关键数据入口处实施访问控制。门户网站通过portal认证来限制用户的权项。用户可以免费访问门户网站的服务,当需要使用互联网中的其它资源时,则必须在门户网站进行portal认证,在认证成功后才可以使用互联网的其它资源。
传统的portal认证使用用户主机的源IP来区分用户,而在NAT(Network AddressTranslation,网络地址转换)环境下,私网内的多个用户会使用同一个公网IP访问互联网资源,在这种情况下,认证设备无法区分使用同一个公网IP的不同用户。
参见图1,用户A、用户B和用户C使用源NAT技术通过同一个公网IP访问互联网资源。当用户A通过portal认证,该公网IP访问互联网的流量会被认证设备放通。在这种情况下,用户B和用户C在没有通过portal认证的情况下就可以访问互联网资源,因此,传统的portal认证技术无法实现对所有用户的访问控制。
在现有技术中,一般可以在接入设备上集成portal认证的功能,由于每个用户主机都有不同的私网IP,接入设备可以基于私网IP区分不同的用户,从而实现对所有用户的访问控制。所有用户在通过portal认证后,才能经NAT转换,进而访问互联网资源。
然而,对于必须将portal认证放在NAT转换之后的应用场景中,无法应用上述现有技术,也就无法对所有用户进行访问控制。
发明内容
有鉴于此,本申请提供一种基于NAT的portal认证的方法及装置,用以实现在NAT环境下,对所有用户的访问控制。
具体地,本申请是通过如下技术方案实现的:
一种基于NAT的portal认证的方法,应用于认证设备,包括:
接收NAT网关转发的局域网内的主机的访问网络资源请求;
基于所述访问网络资源请求中的源IP和源端口查找认证表;其中,所述认证表包括若干条认证表项,每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系;
如果查找到的所述认证表项的认证标识字段中填入完成认证标识,转发所述访问网络资源请求;
如果查找到的所述认证表项的认证标识字段中填入未完成认证标识,将所述访问网络资源请求重定向至portal认证服务器。
在所述基于NAT的portal认证的方法中,所述认证表项中的私网IP地址、公网IP地址和端口块的映射关系由所述NAT网关基于局域网内的主机的私网IP地址和为局域网内的主机分配的公网IP地址和端口块生成。
在所述基于NAT的portal认证的方法中,所述方法还包括:
接收所述NAT网关发送的私网IP地址、公网IP地址和端口块的映射关系;
基于接收到的所述映射关系建立认证表项,并将所述认证表项的认证标识字段填入未完成认证标识。
在所述基于NAT的portal认证的方法中,所述将所述访问网络资源请求重定向至portal认证服务器,进一步包括:
接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括公网IP地址和所述源端口;
基于所述公网IP地址和所述源端口查找所述认证表;
将查找到的认证表项的认证标识字段更新为完成认证标识。
在所述基于NAT的portal认证的方法中,所述将所述访问网络资源请求重定向至portal认证服务器,进一步包括:
接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括私网IP地址;
基于所述私网IP地址查找所述认证表;
将查找到的认证表项的认证标识字段更新为完成认证标识。
一种基于NAT的portal认证的装置,应用于认证设备,包括:
接收单元,用于接收NAT网关转发的局域网内的主机的访问网络资源请求;
查找单元,用于基于所述访问网络资源请求中的源IP和源端口查找认证表;其中,所述认证表包括若干条认证表项,每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系;
转发单元,用于如果查找到的所述认证表项的认证标识字段中填入完成认证标识,转发所述访问网络资源请求;
重定向单元,用于如果查找到的所述认证表项的认证标识字段中填入未完成认证标识,将所述访问网络资源请求重定向至portal认证服务器。
在所述基于NAT的portal认证的装置中,所述认证表项中的私网IP地址、公网IP地址和端口块的映射关系由所述NAT网关基于局域网内的主机的私网IP地址和为局域网内的主机分配的公网IP地址和端口块生成。
在所述基于NAT的portal认证的装置中,所述装置还包括:
所述接收单元,进一步用于接收所述NAT网关发送的私网IP地址、公网IP地址和端口块的映射关系;
新建单元,用于基于接收到的所述映射关系建立认证表项,并将所述认证表项的认证标识字段填入未完成认证标识。
在所述基于NAT的portal认证的装置中,所述装置,还包括:
所述接收单元,进一步用于接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括公网IP地址和所述源端口;
所述查找单元,进一步用于基于所述公网IP地址和所述源端口查找所述认证表;
更新单元,用于将查找到的认证表项的认证标识字段更新为完成认证标识。
在所述基于NAT的portal认证的装置中,所述装置,还包括:
所述接收单元,进一步用于接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括私网IP地址;
所述查找单元,进一步用于基于所述私网IP地址查找所述认证表;
更新单元,用于将查找到的认证表项的认证标识字段更新为完成认证标识。
在本申请实施例中,认证设备接收到NAT转发的局域网内的主机的访问网络资源请求,可以基于上述访问网络资源请求中的源IP和源端口查找认证表;其中,上述认证表包括若干条认证表项,每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系;
一方面,如果查找到的上述认证表项的认证标识字段中填入完成认证标识,则可以转发上述访问网络资源请求;
另一方面,如果查找到的上述认证表项的认证标识字段中填入未完成认证标识,则可以将上述访问网络资源请求重定向至portal认证服务器;
由于认证设备上的认证表包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系,认证设备基于上述访问网络资源请求的源IP和源端口查找认证表时,可以查找到局域网内主机的私网IP,从而正确地区分出局域网内使用同一个公网IP地址与外网通信的多个用户,并基于各私网IP对应的认证标识字段确定不同的用户是否完成portal认证,从而有效地对所有用户进行访问控制。
附图说明
图1是本申请示出的一种NAT环境的网络架构图;
图2是本申请示出的一种基于NAT的portal认证的网络架构图;
图3是本申请示出的一种基于NAT的portal认证的方法的流程图;
图4是本申请示出的一种基于NAT的portal认证的装置的实施例框图;
图5是本申请示出的一种基于NAT的portal认证的装置的硬件结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。
参见图2,为本申请示出的一种基于NAT的portal认证的网络架构图,如图2所示,局域网中的多台主机通过NAT网关与外网进行通信;NAT网关与认证设备连接,负责转发局域网内的主机发送至外网的报文,并将报文中的私网IP地址转换为公网IP地址;认证设备负责检测局域网内的主机是否通过portal认证,在实际应用中,认证设备可以是路由器或者其它具备portal认证功能的网络设备;portal服务器用于为主机提供portal认证页面,而认证服务器用于保存完成认证的用户的用户名和密码,在实际应用中,portal服务器和认证服务器可以集成在一台设备上。
在本申请实施例中,为实现基于NAT的portal认证的功能,外网中的认证设备需正确区分局域网内的不同用户。为此,NAT网关可以采用端口块NAT技术,为每个私网IP分配一个端口块;其中,每个端口块包括多个端口号。
端口号的范围从0到65535,前1024个端口为固定用途端口,不作分配,这样一来,一个公网IP地址可以分配给(65535-1024)/x个私网IP使用;其中,x为每个端口块中的端口号数量。比如:如果设定每个端口块中的端口号数量为1000,则NAT网关可以将一个公网IP地址分配给64个私网IP使用。
NAT网关为局域网内的主机分配公网IP地址和端口块后,可以基于各主机的私网IP地址、为主机分配的公网IP地址和端口块生成映射关系。如下表1所示,为本申请示出的几条映射关系:
| 私网IP地址 | 公网IP地址 | 端口块 |
| 192.168.2.1 | 200.0.0.10 | 1025-2024 |
| 192.168.2.2 | 200.0.0.10 | 2025-3024 |
| 192.168.2.3 | 200.0.0.10 | 3025-4024 |
| 192.168.2.4 | 200.0.0.10 | 4025-5024 |
表1
后续局域网内任一主机访问外网时,NAT网关会从该主机对应的上述映射关系中选择任一未使用的端口,作为该主机的源端口。因此,通过该映射关系,外网的设备就可以正确识别局域网内的不同用户了。
在本申请实施例中,NAT网关生成上述映射关系后,可以向上述认证设备发送上述映射关系。上述认证设备可以为接收到的每一条映射关系增添认证标识字段,然后向所有认证标识字段中填入未完成标识,进而生成认证表。
上述认证设备如果在后续又接收到新的映射关系,可以将新的映射关系加入到认证表中,生成新的认证表项,并将新的认证表项的认证标识字段填入未完成认证标识。
其中,认证标识字段可以填入完成认证标识,用以表征认证表项对应的用户已经完成portal认证;以及,可以填入未完成认证标识,用以表征认证表项对应的用户尚未完成portal认证。在实际应用中,上述完成认证标识可以是1,上述未完成认证标识可以是0。
如下表2所示,为本申请示出的一种认证表:
| 私网IP地址 | 公网IP地址 | 端口块 | 认证标识字段 |
| 192.168.2.1 | 200.0.0.10 | 1025-2024 | 1 |
| 192.168.2.2 | 200.0.0.10 | 2025-3024 | 1 |
| 192.168.2.3 | 200.0.0.10 | 3025-4024 | 0 |
| 192.168.2.4 | 200.0.0.10 | 4025-5024 | 0 |
| 192.168.2.5 | 200.0.0.11 | 1025-2024 | 1 |
| 192.168.2.6 | 200.0.0.11 | 2025-3024 | 0 |
表2
此外,在示出的一种实施方式中,若NAT网关与认证设备之间不同通过直接通信来传送上述映射关系,NAT网关可以基于上述映射关系生成配置文件。管理员再基于该配置文件在认证设备上配置认证表。
参见图3,为本申请示出的一种基于NAT的portal认证的方法的流程图,如图3所示,所述方法包括:
步骤301:接收NAT网关转发的局域网内的主机的访问网络资源请求。
局域网内的主机需要访问网络资源时,会发送访问网络资源请求。NAT网关接收到该访问网络资源请求,将源IP地址由主机的私网IP地址改为分配给主机的公网IP地址,从分配至该主机的端口块中选择端口作为该网络资源请求的源端口,然后转发该访问网络资源请求至上述认证设备。
上述认证设备接收到该访问网络资源请求,可以检测发送该访问网络资源请求的主机是否通过portal认证。
步骤302:基于所述访问网络资源请求中的源IP和源端口查找认证表。
上述认证设备可以提取上述访问网络资源请求的源IP和源端口,然后基于该源IP和源端口查找上述认证表,检查查找到的认证表项中的认证标识。
步骤303:如果查找到的所述认证表项的认证标识字段中填入完成认证标识,转发所述访问网络资源请求。
上述认证设备确定认证标识字段为完成认证标识,则可以确定查找到的认证表项对应的主机已经完成portal认证,此时,转发上述访问网络资源请求,以由该主机顺利访问网络资源。
以表2示出的认证表为例,若上述认证设备基于源IP200.0.0.10查找公网IP地址,基于源端口2026查找端口块,查找到完成认证标识1,此时,可以转发主机192.168.2.2发送的访问网络资源请求。
步骤304:如果查找到的所述认证表项的认证标识字段中填入未完成认证标识,将所述访问网络资源请求重定向至portal认证服务器。
上述认证设备确定认证标识字段为未完成认证标识,则可以确定查找到的认证表项对应的主机尚未完成portal认证,此时,将上述访问网络资源请求重定向至portal认证服务器。在重定向后,该主机访问了portal认证服务器提供的portal认证页面,用户可在该portal认证页面输入用户名和密码。
在示出的一种实施方式中,上述认证设备在将上述访问网络资源请求重定向前,可以在上述访问网络资源请求中加入用户标识。其中,用户标识可以是查找到的认证表项中的私网IP地址,也可以是提取到的上述访问网络资源请求的源IP和源端口。
Portal认证服务器可以将用户输入的用户名和密码在本地进行查找,确定是否存在对应的记录,并向上述认证设备返回portal认证结果;其中,若存在对应的记录,则该portal认证结果为通过认证,若不存在对应的记录,则该portal认证结果为未通过认证。其中,上述portal认证结果包括上述用户标识。
具体的portal认证方式可以参照现有相关技术,本申请不再赘述。
需要指出的是,上述portal认证服务器可以如图2示出的那样,在物理上以两台设备存在。在这种情况下,上述认证设备在确定查找到的认证表项对应的主机尚未完成portal认证后,可以将上述访问网络资源请求重定向至portal服务器。在重定向后,该主机访问portal服务器提供的portal认证页面。Portal服务器可以将用户输入的用户名和密码转发至上述认证设备,以由上述认证设备转发至认证服务器。在示出的一种实施方式中,上述认证设备在将portal服务器发送的用户名和密码转发至认证服务器时,可以将用户标识一并转发至认证服务器。认证服务器在本地查找上述用户名和密码,确定是否有对应的记录,并向上述认证设备返回portal认证结果。其中,上述portal认证结果包括上述用户标识。
仍以表2示出的认证表为例,若上述认证设备基于源IP200.0.0.10查找公网IP地址,基于源端口4026查找端口块,查到未完成标识0,此时,可以重定向主机192.168.2.4至portal认证服务器。并将用户标识(比如主机的私网IP地址192.168.2.4)一并发送至portal认证服务器。在完成认证后,portal认证服务器返回的portal认证结果中包括用户标识。
在本申请实施例中,上述认证设备接收portal认证服务器返回的portal认证结果,然后可以在上述portal认证结果为通过认证时获取该portal认证结果中的用户标识,并更新该用户标识对应的认证表项。当然,如果上述portal认证结果为未通过认证,则上述认证设备无需更新认证表项。
具体地,以上述用户标识是提取到的上述访问网络资源请求的源IP和源端口为例,如果上述portal认证结果为通过认证,上述认证设备将该源IP查找上述认证表中的公网IP地址,将该源端口查找端口块。上述认证设备可以将查找到的认证表项的认证标识字段更新为完成认证标识,使得后续该认证表项对应的用户可以访问网络资源。
仍以表2示出的认证表为例,若上述认证设备接收到的portal认证结果为通过认证,其该portal认证结果携带的用户标识为IP地址200.0.0.10、端口号4026,上述认证设备可以在上述认证表中查找到对应的认证表项,从而确定主机192.168.2.4通过portal认证,进而更新该认证表项中的认证标识字段,将完成认证标识1替代未完成认证标识0。后续接收到主机192.168.2.4发送的访问网络资源请求,上述认证设备可以在查找到主机192.168.2.4对应的认证表项后,确定主机192.168.2.4通过portal认证,进而转发该访问网络请求。
以上述用户标识是私网IP地址为例,如果上述portal认证结果为通过认证,上述认证设备可以将该私网IP地址查找上述认证表中的私网IP地址,然后将查找到的认证表项的认证标识字段更新为完成认证标识,使得后续该认证表项对应的用户可以访问网络资源。
仍以表2示出的认证表为例,若上述认证设备接收到的portal认证结果为通过认证,其该portal认证结果携带的用户标识为IP地址192.168.2.4,上述认证设备可以确定主机192.168.2.4通过portal认证,进而查找IP地址192.168.2.4对应的认证表项,更新该认证表项中的认证标识字段,将完成认证标识1替代未完成认证标识0。后续接收到主机192.168.2.4发送的访问网络资源请求,上述认证设备可以在查找到主机192.168.2.4对应的认证表项后,确定主机192.168.2.4通过portal认证,进而转发该访问网络请求。
通过该措施,上述认证设备可以及时更新上述认证表,确保认证表中各认证表项记录的局域网内主机的portal认证情况处于最新状态。
综上所述,在本申请技术方案中,认证设备接收NAT网关转发的局域网内的主机的访问网络资源请求,然后基于上述访问网络资源请求中的源IP和源端口查找认证表;
一方面,如果查找到的上述认证表项的认证标识字段中填入完成认证标识,则可以转发上述访问网络资源请求;
另一方面,如果查找到的上述认证表项的认证标识字段中填入未完成认证标识,则可以将上述访问网络资源请求重定向至portal认证服务器,以由发送上述访问网络资源请求的主机可以进行portal认证;
由于上述认证表的各认证表项中包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系,上述认证设备可以基于上述访问网络资源请求查找上述认证表,从而确定发送访问网络资源请求的主机的私网IP地址,有效地区分局域网内使用同一个公网IP地址与外网通信的多个用户,并基于各私网IP对应的认证标识字段确定不同的用户是否完成portal认证,进而实现对所有用户的访问控制。
与前述基于NAT的portal认证的方法的实施例相对应,本申请还提供了基于NAT的portal认证的装置的实施例。
参见图4,为本申请示出的一种基于NAT的portal认证的装置的实施例框图:
如图4所示,该基于NAT的portal认证的装置40包括:
接收单元410,用于接收NAT网关转发的局域网内的主机的访问网络资源请求。
查找单元420,用于基于所述访问网络资源请求中的源IP和源端口查找认证表;其中,所述认证表包括若干条认证表项,每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系。
转发单元430,用于如果查找到的所述认证表项的认证标识字段中填入完成认证标识,转发所述访问网络资源请求。
重定向单元440,用于如果查找到的所述认证表项的认证标识字段中填入未完成认证标识,将所述访问网络资源请求重定向至portal认证服务器。
在本例中,所述认证表项中的私网IP地址、公网IP地址和端口块的映射关系由所述NAT网关基于局域网内的主机的私网IP地址和为局域网内的主机分配的公网IP地址和端口块生成。
在本例中,所述装置还包括:
所述接收单元410,进一步用于接收所述NAT网关发送的私网IP地址、公网IP地址和端口块的映射关系。
新建单元450(图中未示出),用于基于接收到的所述映射关系建立认证表项,并将所述认证表项的认证标识字段填入未完成认证标识。
在本例中,所述装置还包括:
所述接收单元410,进一步用于接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括公网IP地址和所述源端口。
所述查找单元420,进一步用于基于所述公网IP地址和所述源端口查找所述认证表。
更新单元460(图中未示出),用于将查找到的认证表项的认证标识字段更新为完成认证标识。
在本例中,所述装置还包括:
所述接收单元410,进一步用于接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括私网IP地址。
所述查找单元420,进一步用于基于所述私网IP地址查找所述认证表。
更新单元460(图中未示出),用于将查找到的认证表项的认证标识字段更新为完成认证标识。
本申请基于NAT的portal认证的装置的实施例可以应用在认证设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在认证设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请基于NAT的portal认证的装置所在认证设备的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的认证设备通常根据该基于NAT的portal认证的装置的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种基于NAT的portal认证的方法,应用于认证设备,其特征在于,包括:
接收NAT网关转发的局域网内的主机的访问网络资源请求;
基于所述访问网络资源请求中的源IP和源端口查找认证表;其中,所述认证表包括若干条认证表项,每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系;
如果查找到的所述认证表项的认证标识字段中填入完成认证标识,转发所述访问网络资源请求;
如果查找到的所述认证表项的认证标识字段中填入未完成认证标识,将所述访问网络资源请求重定向至portal认证服务器。
2.根据权利要求1所述的方法,其特征在于,所述认证表项中的私网IP地址、公网IP地址和端口块的映射关系由所述NAT网关基于局域网内的主机的私网IP地址和为局域网内的主机分配的公网IP地址和端口块生成。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收所述NAT网关发送的私网IP地址、公网IP地址和端口块的映射关系;
基于接收到的所述映射关系建立认证表项,并将所述认证表项的认证标识字段填入未完成认证标识。
4.根据权利要求1所述的方法,其特征在于,所述将所述访问网络资源请求重定向至portal认证服务器,进一步包括:
接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括公网IP地址和所述源端口;
基于所述公网IP地址和所述源端口查找所述认证表;
将查找到的认证表项的认证标识字段更新为完成认证标识。
5.根据权利要求1所述的方法,其特征在于,所述将所述访问网络资源请求重定向至portal认证服务器,进一步包括:
接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括私网IP地址;
基于所述私网IP地址查找所述认证表;
将查找到的认证表项的认证标识字段更新为完成认证标识。
6.一种基于NAT的portal认证的装置,应用于认证设备,其特征在于,包括:
接收单元,用于接收NAT网关转发的局域网内的主机的访问网络资源请求;
查找单元,用于基于所述访问网络资源请求中的源IP和源端口查找认证表;其中,所述认证表包括若干条认证表项,每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系;
转发单元,用于如果查找到的所述认证表项的认证标识字段中填入完成认证标识,转发所述访问网络资源请求;
重定向单元,用于如果查找到的所述认证表项的认证标识字段中填入未完成认证标识,将所述访问网络资源请求重定向至portal认证服务器。
7.根据权利要求6所述的装置,其特征在于,所述认证表项中的私网IP地址、公网IP地址和端口块的映射关系由所述NAT网关基于局域网内的主机的私网IP地址和为局域网内的主机分配的公网IP地址和端口块生成。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
所述接收单元,进一步用于接收所述NAT网关发送的私网IP地址、公网IP地址和端口块的映射关系;
新建单元,用于基于接收到的所述映射关系建立认证表项,并将所述认证表项的认证标识字段填入未完成认证标识。
9.根据权利要求6所述的装置,其特征在于,所述装置,还包括:
所述接收单元,进一步用于接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括公网IP地址和所述源端口;
所述查找单元,进一步用于基于所述公网IP地址和所述源端口查找所述认证表;
更新单元,用于将查找到的认证表项的认证标识字段更新为完成认证标识。
10.根据权利要求6所述的装置,其特征在于,所述装置,还包括:
所述接收单元,进一步用于接收所述portal认证服务器返回的portal认证结果;其中,所述portal认证结果包括私网IP地址;
所述查找单元,进一步用于基于所述私网IP地址查找所述认证表;
更新单元,用于将查找到的认证表项的认证标识字段更新为完成认证标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711214168.2A CN107733926A (zh) | 2017-11-28 | 2017-11-28 | 一种基于NAT的portal认证的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711214168.2A CN107733926A (zh) | 2017-11-28 | 2017-11-28 | 一种基于NAT的portal认证的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107733926A true CN107733926A (zh) | 2018-02-23 |
Family
ID=61219811
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711214168.2A Pending CN107733926A (zh) | 2017-11-28 | 2017-11-28 | 一种基于NAT的portal认证的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107733926A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989483A (zh) * | 2018-08-01 | 2018-12-11 | 新华三技术有限公司 | 一种网络地址的配置方法及装置 |
| CN109474588A (zh) * | 2018-11-02 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种终端认证方法及装置 |
| CN110474863A (zh) * | 2018-05-10 | 2019-11-19 | 中国移动通信集团浙江有限公司 | 微服务安全认证方法及装置 |
| CN114157653A (zh) * | 2021-12-07 | 2022-03-08 | 福建星网视易信息系统有限公司 | 一种上网方法、局域网服务器和计算机存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582856A (zh) * | 2009-06-29 | 2009-11-18 | 杭州华三通信技术有限公司 | 一种门户服务器与宽带接入设备的会话建立方法及其系统 |
| CN102164150A (zh) * | 2011-05-18 | 2011-08-24 | 北京星网锐捷网络技术有限公司 | 策略下发处理方法、设备、服务器和系统 |
| CN103607403A (zh) * | 2013-11-26 | 2014-02-26 | 北京星网锐捷网络技术有限公司 | 一种nat网络环境下使用安全域的方法、装置和系统 |
| CN103916491A (zh) * | 2014-04-04 | 2014-07-09 | 杭州华三通信技术有限公司 | 基于nat444架构的动态地址映射方法及装置 |
| CN104468619A (zh) * | 2014-12-26 | 2015-03-25 | 杭州华三通信技术有限公司 | 一种实现双栈web认证的方法和认证网关 |
| CN106656911A (zh) * | 2015-10-29 | 2017-05-10 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
-
2017
- 2017-11-28 CN CN201711214168.2A patent/CN107733926A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582856A (zh) * | 2009-06-29 | 2009-11-18 | 杭州华三通信技术有限公司 | 一种门户服务器与宽带接入设备的会话建立方法及其系统 |
| CN102164150A (zh) * | 2011-05-18 | 2011-08-24 | 北京星网锐捷网络技术有限公司 | 策略下发处理方法、设备、服务器和系统 |
| CN103607403A (zh) * | 2013-11-26 | 2014-02-26 | 北京星网锐捷网络技术有限公司 | 一种nat网络环境下使用安全域的方法、装置和系统 |
| CN103916491A (zh) * | 2014-04-04 | 2014-07-09 | 杭州华三通信技术有限公司 | 基于nat444架构的动态地址映射方法及装置 |
| CN104468619A (zh) * | 2014-12-26 | 2015-03-25 | 杭州华三通信技术有限公司 | 一种实现双栈web认证的方法和认证网关 |
| CN106656911A (zh) * | 2015-10-29 | 2017-05-10 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474863A (zh) * | 2018-05-10 | 2019-11-19 | 中国移动通信集团浙江有限公司 | 微服务安全认证方法及装置 |
| CN110474863B (zh) * | 2018-05-10 | 2021-11-09 | 中国移动通信集团浙江有限公司 | 微服务安全认证方法及装置 |
| CN108989483A (zh) * | 2018-08-01 | 2018-12-11 | 新华三技术有限公司 | 一种网络地址的配置方法及装置 |
| CN109474588A (zh) * | 2018-11-02 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种终端认证方法及装置 |
| CN114157653A (zh) * | 2021-12-07 | 2022-03-08 | 福建星网视易信息系统有限公司 | 一种上网方法、局域网服务器和计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104506510B (zh) | 用于设备认证的方法、装置及认证服务系统 | |
| CN107733926A (zh) | 一种基于NAT的portal认证的方法及装置 | |
| CN106068639B (zh) | 通过dns处理的透明代理认证 | |
| CN104219340B (zh) | 一种arp应答代理方法以及装置 | |
| CN106533696A (zh) | 基于区块链的身份认证方法、认证服务器及用户终端 | |
| CN106878483A (zh) | 一种ip地址分配方法及装置 | |
| EP1998506A1 (en) | Virtual network connection apparatus, system, method for controlling connection of a virtual network and program | |
| US7376745B2 (en) | Network address generating system, network address generating apparatus and method, program and storage medium | |
| CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| CN104967590B (zh) | 一种传输通信消息的方法、装置和系统 | |
| WO2009093226A2 (en) | A method and apparatus for fingerprinting systems and operating systems in a network | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN105141605B (zh) | 会话方法、网站服务器及浏览器 | |
| JPH11205388A (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| CN107438068A (zh) | 一种防arp攻击的方法及装置 | |
| CN107404470A (zh) | 接入控制方法及装置 | |
| CN103916400B (zh) | 一种用户账号管理方法及系统 | |
| CN104468619B (zh) | 一种实现双栈web认证的方法和认证网关 | |
| CN101300811A (zh) | 窥探回波响应提取器 | |
| CN105939327A (zh) | 审计日志的生成方法及装置 | |
| CN106131066A (zh) | 一种认证方法及装置 | |
| CN107360270A (zh) | 一种dns解析的方法及装置 | |
| CN107196936A (zh) | 接口转发方法、系统、计算机设备和存储介质 | |
| US7917941B2 (en) | System and method for providing physical web security using IP addresses | |
| US7093019B1 (en) | Method and apparatus for providing an automated login process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180223 |
|
| RJ01 | Rejection of invention patent application after publication |