Portal認(rèn)證過程解析

1、Portal認(rèn)證過程解析Enabling Performance-FreeTM Wireless LANs概念Portal在英語中是入口的意思。Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。通常用來提供個性化、單次登錄、聚集各個信息源的內(nèi)容，并作為信息系統(tǒng)表現(xiàn)層的宿主。未認(rèn)證用戶上網(wǎng)時，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源產(chǎn)生背景在傳統(tǒng)的組網(wǎng)環(huán)境中，用戶只要能接入局域網(wǎng)設(shè)備，就可以訪問網(wǎng)絡(luò)中的設(shè)備或資源，為加強(qiáng)網(wǎng)絡(luò)資源的安全控制和運(yùn)營管理，很多情況下

2、需要對用戶的訪問進(jìn)行控制。例如，在一些公共場合、小區(qū)或公司的網(wǎng)絡(luò)接入點(diǎn)，提供接入服務(wù)的供應(yīng)商希望只允許付費(fèi)的合法用戶接入，所以供應(yīng)商為每個用戶提供一個接入網(wǎng)絡(luò)的賬號和密碼。另外，一些企業(yè)會提供一些內(nèi)部關(guān)鍵資源給外部用戶訪問，并且希望經(jīng)過有效認(rèn)證的用戶才可以訪問這些資源。技術(shù)優(yōu)點(diǎn)l不需要部署客戶端，直接使用WEB頁面認(rèn)證，使用方便；l可以基于VLAN/SSID/WTPid粒度級別的個性化認(rèn)證頁面，同時可以在Portal頁面上開展廣告業(yè)務(wù)、服務(wù)選擇和信息發(fā)布等內(nèi)容，進(jìn)行業(yè)務(wù)拓展，實(shí)現(xiàn)IP網(wǎng)絡(luò)的運(yùn)營；l并采用Portal server和Portal client之間，BAS和Portal clien

3、t之間定期發(fā)送握手報文的方式來進(jìn)行斷網(wǎng)檢測；l可以跨越網(wǎng)絡(luò)層對用戶作認(rèn)證，可以在企業(yè)網(wǎng)絡(luò)出口或關(guān)鍵數(shù)據(jù)的入口作訪問控制；整體認(rèn)證框架1.未認(rèn)證用戶訪問網(wǎng)絡(luò)時，在IE地址欄中輸入一個互聯(lián)網(wǎng)的地址，那么此HTTP請求在經(jīng)過BAS設(shè)備時會被重定向到Portal server的Web認(rèn)證主頁上2.用戶在認(rèn)證主頁/認(rèn)證對話框中輸入認(rèn)證信息后提交，Portal server會將用戶的認(rèn)證信息傳遞給BAS3.然后BAS與AAA服務(wù)器通信進(jìn)行用戶認(rèn)證和計費(fèi)4.然后BAS與AAA服務(wù)器通信進(jìn)行用戶認(rèn)證和計費(fèi)詳細(xì)認(rèn)證流程圖Portal交互過程分析1、用戶訪問網(wǎng)站，經(jīng)過AC重定向到Portal Server；2、P

4、ortal server推送統(tǒng)一的認(rèn)證頁面；3、用戶填入用戶名、密碼，提交頁面，向Portal Server發(fā)起連 接請求4、Portal向Radius發(fā)出用戶信息查詢請求，由Radius驗證用戶密碼、查詢用戶信息，并向Portal返回查詢結(jié)果及系統(tǒng)配置的單次連接最大時長、手機(jī)用戶及卡用戶的套餐剩余時長信息；5、如果查詢失敗，Portal結(jié)束認(rèn)證流程，并直接返回提示信息給用戶，指導(dǎo)用戶開戶及正確使用Portal交互過程分析6、如果查詢成功，Portal Server向AC請求Challenge；7、AC分配Challenge給Portal Server；8、Portal Server向AC發(fā)起

5、認(rèn)證請求；Portal交互過程分析Challenge報文分析注意：如果抓包沒有收到challenge報文，則需要portal sevver查明原因Portal交互過程分析Radius認(rèn)證計費(fèi)過程分析9、AC攜帶用戶名和密碼發(fā)起認(rèn)證請求；10、radius返回認(rèn)證結(jié)果；11、在次發(fā)起計費(fèi)請求；12、radius回應(yīng)計費(fèi)請求；Radish報文分析：access-requestRadius認(rèn)證計費(fèi)過程分析Radish報文分析：access-acceptRadius認(rèn)證計費(fèi)過程分析Radish報文分析：access-reject注意：如果收到此種報文，需由radius端給出說明Radius認(rèn)證計費(fèi)過程

6、分析Radish報文分析：accounting-requestRadius認(rèn)證計費(fèi)過程分析Radish報文分析：accounting-responseRadius認(rèn)證計費(fèi)過程分析13、AC向Portal Server送認(rèn)證結(jié)果14、Portal Server根據(jù)編碼規(guī)則判斷帳戶的歸屬地，推送歸屬地定制的個性化頁面，并將認(rèn)證結(jié)果、系統(tǒng)配置的單次連接最大時長、套餐剩余時長、自服務(wù)選項填入頁面，和門戶網(wǎng)站一起推送給客戶,同時啟動正計時提醒15、Portal Server回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報文Radius認(rèn)證計費(fèi)過程分析用戶下線過程分析下線過程分為三種情況：1、主動發(fā)起下線請求（即點(diǎn)擊下線按鈕）2

7、、強(qiáng)制顯現(xiàn)流程（即直接關(guān)閉portal頁面）3、異常下線流程（AC自己偵測到用戶下線）WLAN用戶門戶網(wǎng)站（Portal）接入控制器（AC）下線請求請求下線下線回應(yīng)告訴用戶下線結(jié)果主動下線過程：主動下線過程：（1）用戶發(fā)起下線請求到Portal Server；（2）Portal Server向AC請求下線；（3）AC回應(yīng)Portal Server下線請求；（4）Portal Server推送下線結(jié)果頁面給用戶用戶下線過程分析強(qiáng)制下線過程：強(qiáng)制下線過程：W LAN用 戶門 戶 網(wǎng) 站（ Portal）接 入 控 制 器（ AC）請 求 下 線下 線 成 功告 訴 用 戶 下 線 結(jié) 果AC偵 測

8、 到 用 戶 允許 接 入 時 間 結(jié) 束（1）AC偵測到用戶的本次連接最大允許接入時間結(jié)束，向Portal Server請求下線；（2）Portal Server回應(yīng)下線成功，并向用戶推送下線結(jié)果頁面。用戶下線過程分析WLAN用戶門戶網(wǎng)站（Portal）接入控制器（AC）請求下線下線成功AC偵測到用戶下線異常下線過程：異常下線過程：（1）AC偵測到用戶下線，向Portal Server請求下線；（2）Portal Server回應(yīng)下線成功；用戶下線過程分析用戶下線停止計費(fèi)報文分析：用戶下線停止計費(fèi)報文分析：用戶下線過程分析以上過程為中國移動wlan業(yè)務(wù)portal協(xié)議規(guī)范。人有了知識，就會具備各種分析能力，明辨是非的能力。所以我們要勤懇讀書，廣泛閱讀