CN109510839B - 一种分布式Portal接入方法 - Google Patents
一种分布式Portal接入方法 Download PDFInfo
- Publication number
- CN109510839B CN109510839B CN201811578672.5A CN201811578672A CN109510839B CN 109510839 B CN109510839 B CN 109510839B CN 201811578672 A CN201811578672 A CN 201811578672A CN 109510839 B CN109510839 B CN 109510839B
- Authority
- CN
- China
- Prior art keywords
- client
- portal
- authentication
- server
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000000977 initiatory effect Effects 0.000 claims abstract description 3
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 101100001794 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) aps-2 gene Proteins 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种分布式Portal接入方法,主要包括以下操作:步骤a:客户端接入网络接入设备组中的一AP设备后,判断客户端是否有网络访问权限,如果有网络访问权限则允许客户端访问外网,如果没有网络访问权限则客户端向外网发起http请求;步骤b:重定向到portal服务器,由portal服务器返回重定向报文,客户端根据重定向报文访问portal服务器,获得portal页面进行客户端认证;步骤c:客户端认证通过后,客户端认证的信息通过广播形式发送给网络接入设备组中的其他AP设备。本发明通过在AP设备内嵌有一台portal服务器和一台认证服务器功能,即portal的推送和认证均可在网络接入设备中完成,这样极大地减轻了服务器的并发压力,提高了网络接入效率。
Description
技术领域
本发明涉及网络安全接入领域,特别涉及接入的网络通讯技术。
背景技术
随着宽带无线接入技术发展和移动终端的普及,网络资源的安全控制和运营管理成为了大家关注的焦点,Captive Portal应运而生。现有集中式无线覆盖解决方案中,存在控制器出现故障,无法使用Captive Portal的风险,并且在高并发认证场景下,portal服务器和认证服务器承受压力大等问题,针对这些问题,目前还没有比较完善的可行性的解决方案。例如:在公共场合,机场,商场等区域,提供WIFI服务的供应商向个人用户提供免费服务,实现流量及数据的积累,并在后续过程中以加载广告、O2O、大数据服务等形式进行变现;或者提供付费服务,希望只有付费的通过的用户才能使用WIFI,在这些过程中CaptivePortal扮演着至关重要的角色,然而在这样一个环境下,如果控制器出现问题,则将出现一段时间的服务空白期,这样的损失是不可估量的;并且在人流量高峰期间,如何更好地解决并发认证也成为一个疑难问题。
发明内容
本发明目的在于提供一种分布式Portal接入方法,可有效解决Portal服务器的压力和控制器出现故障,无法进行Portal认证的问题布式场景下进行Portal。
为了实现上述发明目的,本发明的一种分布式Portal接入方法,主要包括以下操作:步骤a:客户端接入网络接入设备组中的一AP设备后,判断客户端是否有网络访问权限,如果有网络访问权限则允许客户端访问外网,如果没有网络访问权限则客户端向外网发起http请求;步骤b: 重定向到portal服务器,由portal服务器返回重定向报文,客户端根据重定向报文访问portal服务器,获得portal页面进行客户端认证;步骤c:客户端认证通过后,客户端认证的信息通过广播形式发送给网络接入设备组中的其他AP设备。
优选的,上述网络接入设备组包括一master AP和至少一slave AP,其中,masterAP和slave AP均内嵌有一portal服务器和一认证服务器。
优选的,客户端认证的信息包括:客户端MAC地址,认证时长,认证方式。
优选的,步骤a前还包括操作:用户在master AP管理页面上修改配置文件后,master AP将修改后的配置文件下发给所有的slave AP。
优选的,步骤a前还包括操作:用户在master AP上自定义portal页后,master AP将自定义portal页的portal资源发送给所有的slave AP。
优选的,portal资源包括:图片、html、js,和css文件。
优选的,客户端从之前接入的AP设备漫游到另一AP设备,该另一AP设备的认证模块接收到上线消息后,查询认证信息设置放行规则。
优选的,在上述步骤c中,客户端认证通过后,更新客户端状态信息,告知ovs规则模块,设置放行ovs规则。
优选的,当客户端接入所述网络接入设备超出允许的访问时长,则删除ovs规则和客户端信息。
与现有技术相比,本发明的有益效果是:每一台网络接入设备中都实现了软件portal服务器功能和认证服务器功能,即portal的推送和认证均可在网络接入设备中完成,这样极大地减轻了服务器的并发压力,并且不用考虑portal服务器和认证服务器过载后,后续扩展服务器的成本投入;另外一方面,加快了portal弹出的速度。
附图说明
图1为现有技术中网络接入的组网架构图;
图2为本发明具体实施例中网络接入设备的组网架构图;
图3为本发明具体实施例中网络接入设备间通讯示意图;
图4为本发明具体实施例中网络接入流程图。
具体实施例
本发明方案基本原理:目前多台portal服务器存在的问题:当终端接入任一AP1,返回重定向地址,例如cwp.gwn.cloud,终端被重定向到cwp.gwn.cloud,发起dns请求后,劫持到AP1,返回AP1的地址,请求完成portal页后,将终端接入其他AP2(与AP1不在同一子网),终端就有可能不发dns包,导致终端在AP2上,认为cwp.gwn.cloud对应的是AP1的地址,无法完成portal推送。此时统一将cwp.gwn.cloud的地址解析为1.1.1.1,并在所有AP上都设置一条规则,将目的地址是1.1.1.1的重定向到自身。本发明在网络接入的组网中配置多个网络接入设备,这些设备之间可以进行资源和配置的同步,从而可以实现终端通过任一AP实现网络接入。同时,每一台网络接入设备也是一台portal服务器兼认证服务器,即portal的推送和认证均可在这些网络接入设备中完成。
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是此时所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了方便描述,附图中仅示出于本发明相关的部分而非全部结构。
图2为本发明具体实施例中网络接入设备的组网架构图。由该图所示可知,本发明提供了一种分布式的网络接入组网架构模式,该架构和常规的网络接入架构相比特别使用了多个网络接入设备,即一个master AP以及多个slave AP。并且负责管理的设备也是其中的一个网络接入设备,例如master AP。同时,每一台AP不管其角色是master AP还是slaveAP还都集成portal服务器和认证服务器功能。
在本发明具体实施例中,slave AP负责终端设备的网络接入,master AP除了参与终端设备的网络接入外,还主要负责和多个slave AP进行配置和Portal资源的同步。此外,当用户在master AP更改配置后,master AP将会把配置文件传输给slave AP,告知其更改的配置;当用户在master AP上自定义Portal页后,master AP也会将该资源下发给所有的slave AP,告知其更新Portal资源。例如:客户端与slave AP连接后,是否需要进行Portal认证,具体进行何种认证方式,则由master AP传输配置文件给slave AP,告知其已开启portal,并且进行何种认证方式;根据认证方式决定在屏幕中弹出哪一个页面,该页面的内容则是由master AP下发给slave AP。
在本发明具体实施例中,master AP和每个slave AP都将负责客户端的认证健全。在客户端和AP设备连接时,当其连接的AP设备所内嵌的认证服务器空闲时,客户端进行Portal认证的认证地址都指向该客户端连接的AP设备地址,当客户端连接的AP设备所内嵌的认证服务器满负载时,该客户端的认证地址将指向其他认证服务器,也就是其他AP设备。简单来讲,客户端进行认证时,哪一台AP设备上的认证服务器相对空闲,客户端就往那台AP设备的认证服务器发起认证请求。认证服务器空闲是指CPU、负载相对较小。通过这种方式,达到认证分流,减轻了服务器的并发压力。认证完成后,该AP设备将该客户端的认证信息,如MAC地址,认证时长,认证方式等信息广播给其他AP设备。
图3为本发明具体实施例中分布式Portal接入方法的通讯示意图。由该图可知,本发明实施方案具体步骤如下:
步骤S301:网络接入设备之间的资源和配置同步:当用户在master AP的管理页面上修改配置或者自定义portal页后(只允许在master AP上完成),master AP将配置文件和Portal资源下发给slave AP,告知其修改的配置和更新的portal资源,包括一些图片、html,以及css文件;slave AP解析master AP下发的配置,保存并做相应处理,例如:masterAP开启portal认证,下发该配置,slave AP接收该配置,并设置openvswitch规则,使得连接的客户端访问网络时,都将被重定向(现有技术中大都采用Iptables实现重定向,采用openvswitch的原因是:在性能上有一定的优势,这里不做相信阐述),进行portal认证。
步骤S302:客户端接入任一AP设备后,事件模块上报上线消息给认证模块。
步骤S303:认证模块判断该客户端有无网络访问权限,即判断接入客户端设备的MAC是否在设备放行列表里,如果有网络访问权限,该客户端则可以正常访问外网。
步骤S304:客户端如果没有网络访问权限,则用户使用客户端向外网发起的http请求,例如:用户访问http://www.baidu.com,被重定向到portal服务器,由于portal服务器和认证服务器集成在每一台AP上,此时也就是被重定向到之前接入的那台AP。当portal服务器接收到http请求之后,返回302重定向报文,该报文包含重定向地址等信息。之后客户端通过重定向报文访问portal服务器,获得portal页面。其中portal页面中关于认证信息的提交地址,是由评估后产生的(CPU、负载相对较小,非第三方社交认证等等)。所以客户端连接在同一台AP上,认证服务器可能不同,通过这种方式,达到认证分流,减轻了服务器的并发压力。
步骤S305:在portal页面上输入身份信息,认证服务器接收到相关信息,校验通过后,则记录该客户端信息,返回成功状态;如果校验失败后,则返回错误状态,客户端将显示相关错误信息给用户。
步骤S306:认证通过后,ovs规则模块则设置终端放行规则,使客户端能够访问外网。
步骤S307:网络接入设备之间的信息同步:客户端认证通过后将该客户端的认证信息:客户端MAC地址,认证时长,认证方式等信息后通过广播形式发送给其他AP设备,其他AP设备接收数据。
步骤S308:客户端在网络接入设备之间的有允许访问网络的时长,判断客户端的放行截止时间是否到达,如果到达,则删除该ovs规则和客户端信息,如果没有,则计时等待下次校验。
图4为本发明具体实施例中网络接入流程图。由该图可知,本发明分布式portal接入方法主要包括以下操作:
步骤S401:在master AP管理页面上上传了一些portal资源到master AP设备上,这些portal资源包括图片、html、js,和css文件等。开启了Portal认证方式后,slave AP同步相关资源和配置。
步骤S402:客户端A连接到slave AP上,事件模块上报客户端A上线消息,认证模块接受到上线消息后,判断该客户端是否是认证通过的,如果认证通过,则允许访问外网;如果没有通过,这回复终端302,客户端A向slave AP请求portal页。
步骤S403:Portal模块接收到客户端A的请求,则返回portal页给客户端。
步骤S404:客户端A发起认证请求,认证模块接收到认证请求后,进行认证处理,如果认证通过,则更新客户端状态信息,告知ovs规则模块,设置放行规则;如果认证没有通过,则回复终端错误信息。
步骤S405:ovs规则模块接收到设置放行规则请求后,基于客户端的MAC信息,设置一条ovs放行规则,允许客户端访问外网。
步骤S406:将该客户端A的终端的mac地址,认证时长,认证方式,等等信息广播给其他AP设备,其他AP设备接收到该消息后,储存客户端A的信息,并设置放行规则。
步骤S407:当客户端A漫游到master AP上后,slave AP上的事件模块上报客户端A下线消息,master AP上的事件模块上报客户端A上线消息,认证模块接收到上线消息后,查询客户端A已经认证通过,告知ovs规则模块,设置放行规则。由于之前客户端A认证通过信息已经由其他AP发送到本AP上,故此时可以直接查询判断。
步骤S408:允许客户端访问网络的时间到达后,同一子网下的所有AP的认证模块清除相关客户端A的信息和规则。
注意,上述仅为本发明的较佳实施例以及所运用技术原理。本领域技术人员会理解,本发明不限于所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。 因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (9)
1.一种分布式Portal接入方法,其特征在于,所述Portal接入方法包括以下操作:
步骤a:客户端接入网络接入设备组中的一AP设备后,判断所述客户端是否有网络访问权限,如果有网络访问权限则允许所述客户端访问外网,如果没有网络访问权限则所述客户端向外网发起http请求;
步骤b:重定向到portal服务器,由所述portal服务器返回重定向报文,所述客户端根据所述重定向报文访问portal服务器,获得portal页面进行客户端认证;
步骤c:所述客户端认证通过后,所述客户端认证的信息通过广播形式发送给所述网络接入设备组中的其他AP设备;
所述判断所述客户端是否有网络访问权限,是由任一AP设备实现判断所述客户端是否有网络访问权限;
在所述网络接入设备组包括一master AP和至少一slave AP,所述master AP和所述slave AP均内嵌有一portal服务器和一认证服务器。
2.根据权利要求1所述的Portal接入方法,其特征在于,所述客户端认证的信息包括:客户端MAC地址,认证时长,认证方式。
3.根据权利要求2所述的Portal接入方法,其特征在于,在所述步骤a前还包括操作:用户在所述master AP管理页面上修改配置文件后,所述master AP将修改后的配置文件下发给所有的slave AP。
4.根据权利要求3所述的Portal接入方法,其特征在于,在所述步骤a前还包括操作:用户在所述master AP上自定义portal页后,所述master AP将所述自定义portal页的portal资源发送给所有的slave AP。
5.根据权利要求4所述的Portal接入方法,其特征在于,所述portal资源包括:图片、html、js,和css文件。
6.根据权利要求5所述的Portal接入方法,其特征在于,当所述客户端从之前接入的AP设备漫游到另一AP设备,所述另一AP设备的认证模块接收到上线消息后,查询认证信息设置放行规则。
7.根据权利要求6所述的Portal接入方法,其特征在于,在所述步骤c中,所述客户端认证通过后,更新所述客户端状态信息,告知ovs规则模块,设置放行ovs规则。
8.根据权利要求7所述的Portal接入方法,其特征在于,当所述客户端接入所述网络接入设备超出允许的访问时长,则删除所述ovs规则和所述客户端信息。
9.根据权利要求8所述的Portal接入方法,其特征在于,在所述步骤b中,用户使用客户端进行Portal认证时,认证地址是通过对负载情况评估产生。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811578672.5A CN109510839B (zh) | 2018-12-24 | 2018-12-24 | 一种分布式Portal接入方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811578672.5A CN109510839B (zh) | 2018-12-24 | 2018-12-24 | 一种分布式Portal接入方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109510839A CN109510839A (zh) | 2019-03-22 |
CN109510839B true CN109510839B (zh) | 2023-10-27 |
Family
ID=65755145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811578672.5A Active CN109510839B (zh) | 2018-12-24 | 2018-12-24 | 一种分布式Portal接入方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109510839B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103634794A (zh) * | 2013-10-30 | 2014-03-12 | 邦讯技术股份有限公司 | 通过集成Portal的WLAN终端身份识别方法 |
CN104104516A (zh) * | 2014-07-30 | 2014-10-15 | 杭州华三通信技术有限公司 | 一种Portal认证方法和设备 |
CN106488453A (zh) * | 2016-12-07 | 2017-03-08 | 上海斐讯数据通信技术有限公司 | 一种portal认证的方法及系统 |
CN107454585A (zh) * | 2017-07-14 | 2017-12-08 | 上海斐讯数据通信技术有限公司 | 终端设备Portal认证的管理装置及系统、无线AP |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7539862B2 (en) * | 2004-04-08 | 2009-05-26 | Ipass Inc. | Method and system for verifying and updating the configuration of an access device during authentication |
-
2018
- 2018-12-24 CN CN201811578672.5A patent/CN109510839B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103634794A (zh) * | 2013-10-30 | 2014-03-12 | 邦讯技术股份有限公司 | 通过集成Portal的WLAN终端身份识别方法 |
CN104104516A (zh) * | 2014-07-30 | 2014-10-15 | 杭州华三通信技术有限公司 | 一种Portal认证方法和设备 |
CN106488453A (zh) * | 2016-12-07 | 2017-03-08 | 上海斐讯数据通信技术有限公司 | 一种portal认证的方法及系统 |
CN107454585A (zh) * | 2017-07-14 | 2017-12-08 | 上海斐讯数据通信技术有限公司 | 终端设备Portal认证的管理装置及系统、无线AP |
Also Published As
Publication number | Publication date |
---|---|
CN109510839A (zh) | 2019-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113596191B (zh) | 一种数据处理方法、网元设备以及可读存储介质 | |
JP2020509635A (ja) | ネットワークスライス選択方法、ユーザ機器、及びネットワーク装置 | |
US7555306B2 (en) | Method and system for mobile device performance monitoring | |
US9654970B2 (en) | Method and device for web redirect authentication in WiFi roaming based on AC and AP interworking | |
US20160241571A1 (en) | System and method for authentication of a communication device | |
US9258761B2 (en) | Obtaining, by a terminal, of information relating to access to a service | |
US20150011234A1 (en) | Frequency spectrum allocation method, device and system | |
WO2015157949A1 (zh) | 无线局域网络wlan的接入方法、终端及服务器 | |
CN101459836B (zh) | 交互式网络电视的内容分发网络中的业务处理方法及系统 | |
US20160226849A1 (en) | Portal authentication method, broadband network gateway, portal server and system | |
US11743319B2 (en) | Implementing a queuing system in a distributed network | |
US20230164234A1 (en) | Service continuity event notification method, and apparatus | |
US9417887B2 (en) | Method and apparatus for bootstrapping gateway in device management system | |
CN113572864B (zh) | 一种数据处理方法、网元设备以及可读存储介质 | |
CN118018517A (zh) | 一种数据处理方法、网元设备以及可读存储介质 | |
CN103369020A (zh) | 缓存同步系统、缓存同步方法及其装置 | |
KR101120778B1 (ko) | 브로드캐스트 서비스 가이드의 관리 객체 변경 방법,시스템 및 단말 | |
CN113489689B (zh) | 访问请求的鉴权方法及装置、存储介质、电子设备 | |
CN113691520B (zh) | 获取流媒体信息的方法、装置、存储介质及电子装置 | |
CN111866993B (zh) | 无线局域网连接管理方法、装置、软件程序及存储介质 | |
US9455986B2 (en) | Method of authenticating a device to access a service | |
US20160028650A1 (en) | Method and system for a user to create favorite server lists for multiple services | |
CN109510839B (zh) | 一种分布式Portal接入方法 | |
CN110856145A (zh) | 基于近场认证的iot设备与用户绑定方法、设备及介质 | |
EP2999266B1 (en) | Method, device and system for obtaining mobile network data resources |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |