專(zhuān)利名稱(chēng):一種基于Portal的分布式控制方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,特別是涉及一種基于Portal的分布式控制方法和設(shè)備。
背景技術(shù):
在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中,用戶(hù)只要能夠接入到局域網(wǎng)設(shè)備就可訪(fǎng)問(wèn)網(wǎng)絡(luò)中的設(shè)備或 資源�����,為了加強(qiáng)網(wǎng)絡(luò)資源的安全控制和運(yùn)營(yíng)管理�����,很多情況下需要對(duì)用戶(hù)的訪(fǎng)問(wèn)進(jìn)行控制��。 例如���,在一些公共場(chǎng)合、小區(qū)或公司的網(wǎng)絡(luò)接入點(diǎn)���,提供接入服務(wù)的供應(yīng)商希望只允許付費(fèi) 的合法用戶(hù)接入�,則可為每個(gè)用戶(hù)提供接入網(wǎng)絡(luò)的賬號(hào)和密碼��;另外���,一些企業(yè)會(huì)提供一些 內(nèi)部關(guān)鍵資源給外部用戶(hù)訪(fǎng)問(wèn)�,且希望經(jīng)過(guò)有效認(rèn)證的用戶(hù)才可以訪(fǎng)問(wèn)這些資源?�,F(xiàn)有的802. lx(基于端口訪(fǎng)問(wèn)控制和認(rèn)證的協(xié)議)和PPPoE(Point to Point Protocol over Ethernet��,以太網(wǎng)上的PPP)等訪(fǎng)問(wèn)控制方式,需要客戶(hù)端的配合且只能在 接入層對(duì)用戶(hù)的訪(fǎng)問(wèn)進(jìn)行控制����;Portal (門(mén)戶(hù))認(rèn)證提供一種靈活的訪(fǎng)問(wèn)控制方式,不需要 安裝客戶(hù)端且可以在接入層以及需要保護(hù)的關(guān)鍵數(shù)據(jù)入口處實(shí)施訪(fǎng)問(wèn)控制���。在Portal認(rèn)證過(guò)程中���,未認(rèn)證用戶(hù)上網(wǎng)時(shí),設(shè)備強(qiáng)制用戶(hù)登錄到特定站點(diǎn)���,用戶(hù) 可免費(fèi)訪(fǎng)問(wèn)其中的服務(wù)�����。當(dāng)用戶(hù)需要使用互聯(lián)網(wǎng)中的其它信息時(shí)�����,在門(mén)戶(hù)網(wǎng)站進(jìn)行認(rèn)證��,并 只有認(rèn)證通過(guò)后���,才可使用互聯(lián)網(wǎng)資源���。基于Portal認(rèn)證的特點(diǎn)�,目前城域網(wǎng)架構(gòu)中,一般 采用Portal認(rèn)證的方式來(lái)實(shí)現(xiàn)用戶(hù)的安全認(rèn)證��。其中認(rèn)證控制點(diǎn)在城域網(wǎng)為BAS(Broad Access Server,寬帶接入服務(wù)器)��。如圖1所示���,為Portal認(rèn)證框架示意圖,其中包括=(I)Portal客戶(hù)端��,使用Web 瀏覽器或客戶(hù)端�����,其提供用戶(hù)可見(jiàn)的Portal上下線(xiàn)界面�����,處理相應(yīng)的客戶(hù)端側(cè)認(rèn)證流程�。 (2)Portal服務(wù)器,為Portal認(rèn)證的核心,其檢測(cè)到Portal客戶(hù)端發(fā)起認(rèn)證�,與BAS交 互,使BAS在認(rèn)證通過(guò)后對(duì)用戶(hù)開(kāi)放相應(yīng)的權(quán)限�。(3)BAS,為控制用戶(hù)的核心設(shè)備����,其接受 Portal服務(wù)器發(fā)送的用戶(hù)認(rèn)證請(qǐng)求,并將其轉(zhuǎn)換為相應(yīng)的RADIUS (Remote Authentication Dial In User krvice���,遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證系統(tǒng))認(rèn)證報(bào)文�����,到AAA (Authentication Authorization Accounting����,認(rèn)證授權(quán)和計(jì)費(fèi))服務(wù)器進(jìn)行用戶(hù)身份認(rèn)證�����。G) AAA服務(wù)器����, 對(duì)用戶(hù)進(jìn)行身份認(rèn)證����。Portal認(rèn)證的上線(xiàn)流程如圖2所示����,包括(I)Portal用戶(hù)上線(xiàn),發(fā)送連接請(qǐng)求或 強(qiáng)制重定向到Portal服務(wù)器的認(rèn)證網(wǎng)頁(yè)���。(2)Portal服務(wù)器向BAS發(fā)送認(rèn)證請(qǐng)求��。(3)BAS 將認(rèn)證請(qǐng)求轉(zhuǎn)換為RADIUS認(rèn)證報(bào)文到AAA服務(wù)器進(jìn)行身份認(rèn)證��,認(rèn)證成功后向Portal服 務(wù)器返回認(rèn)證成功�,開(kāi)放此用戶(hù)的訪(fǎng)問(wèn)權(quán)限���。(4)Portal服務(wù)器通知客戶(hù)端Portal認(rèn)證成 功。Portal認(rèn)證的下線(xiàn)流程如圖3所示�,包括(I)Portal用戶(hù)通過(guò)HTTP (Hyper Text Transfer Protocol,超文本傳輸協(xié)議)發(fā)送下線(xiàn)請(qǐng)求���。( Portal服務(wù)器向BAS發(fā)送下線(xiàn) 請(qǐng)求��。(3) BAS向AAA發(fā)送計(jì)費(fèi)結(jié)束報(bào)文��,成功后向Portal服務(wù)器返回下線(xiàn)請(qǐng)求確認(rèn)����,關(guān)閉 此用戶(hù)的訪(fǎng)問(wèn)權(quán)限。(4)Portal服務(wù)器通知客戶(hù)端Portal下線(xiàn)成功��。
在Portal協(xié)議認(rèn)證框架內(nèi)���,Portal服務(wù)器通過(guò)配置獲知哪個(gè)BAS用來(lái)認(rèn)證哪些 IP地址的用戶(hù)�����,并可實(shí)現(xiàn)BAS與用戶(hù)地址網(wǎng)段的一一對(duì)應(yīng)關(guān)系�,同一個(gè)IP地址的用戶(hù)在一 個(gè)網(wǎng)絡(luò)中只能在一臺(tái)BAS上進(jìn)行認(rèn)證?���,F(xiàn)有園區(qū)網(wǎng)中,用戶(hù)的控制方式發(fā)生了變化����,在園區(qū)網(wǎng)不同的位置,利用 ACL(Access Control List��,訪(fǎng)問(wèn)控制列表)下發(fā)的方式對(duì)用戶(hù)進(jìn)行分布式的策略控制�����,以 限制用戶(hù)對(duì)某類(lèi)資源的訪(fǎng)問(wèn)。其中�,這種訪(fǎng)問(wèn)是基于用戶(hù)身份控制(不基于IP地址控制) 的,在BAS上進(jìn)行控制時(shí)將用戶(hù)身份與IP地址對(duì)應(yīng)�,因此,現(xiàn)有利用Portal對(duì)用戶(hù)在園區(qū) 網(wǎng)中進(jìn)行分布式控制是不可行的����。具體的,現(xiàn)有Portal認(rèn)證協(xié)議框架下����,每個(gè)用戶(hù)的IP只在一臺(tái)BAS上進(jìn)行認(rèn)證, 當(dāng)需要對(duì)該用戶(hù)進(jìn)行分布式的策略控制時(shí)�,需要該用戶(hù)的IP在多臺(tái)BAS上進(jìn)行認(rèn)證,而 Portal服務(wù)器上只配置了 BAS與IP地址的一一對(duì)應(yīng)關(guān)系����,因此無(wú)法實(shí)現(xiàn)分布式的策略控 制����。
發(fā)明內(nèi)容
本發(fā)明提供一種基于Portal的分布式控制方法和設(shè)備,以在分布式場(chǎng)景下實(shí)現(xiàn) 資源的訪(fǎng)問(wèn)����。為了達(dá)到上述目的�����,本發(fā)明提供一種基于Portal的分布式控制方法����,應(yīng)用于包括 客戶(hù)端�����、Portal服務(wù)器��、身份認(rèn)證BAS��、策略下發(fā)BAS和認(rèn)證服務(wù)器的分布式系統(tǒng)中��,該方法 包括所述Portal服務(wù)器接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文��,如果所述客戶(hù)端在線(xiàn)��, 則根據(jù)所述連接請(qǐng)求報(bào)文中攜帶的策略下發(fā)BAS的地址信息向所述策略下發(fā)BAS發(fā)送認(rèn)證 請(qǐng)求報(bào)文��,所述認(rèn)證請(qǐng)求報(bào)文中攜帶所述客戶(hù)端的身份認(rèn)證信息��;當(dāng)所述策略下發(fā)BAS根據(jù)所述身份認(rèn)證信息到所述認(rèn)證服務(wù)器上對(duì)所述客戶(hù)端 認(rèn)證通過(guò)時(shí),所述Portal服務(wù)器通知所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源����。所述Portal服務(wù)器接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文,具體包括在提示所述客戶(hù)端是否訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源的重定向頁(yè)面上���,所述 Portal服務(wù)器接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文��。所述客戶(hù)端在線(xiàn)�,之前還包括當(dāng)所述身份認(rèn)證BAS根據(jù)所述客戶(hù)端的身份認(rèn)證信息到所述認(rèn)證服務(wù)器上對(duì)所 述客戶(hù)端認(rèn)證通過(guò)時(shí)��,所述Portal服務(wù)器通知所述客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)��。所述策略下發(fā)BAS根據(jù)所述身份認(rèn)證信息到所述認(rèn)證服務(wù)器上對(duì)所述客戶(hù)端認(rèn) 證�����,具體包括所述策略下發(fā)BAS根據(jù)所述客戶(hù)端的身份認(rèn)證信息向所述認(rèn)證服務(wù)器發(fā)送身份 認(rèn)證請(qǐng)求報(bào)文�;所述認(rèn)證服務(wù)器根據(jù)所述身份認(rèn)證信息對(duì)所述客戶(hù)端進(jìn)行認(rèn)證。所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源���,之前還包括所述認(rèn)證服務(wù)器向所述策略下發(fā)BAS下發(fā)允許所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS 對(duì)應(yīng)的資源的策略ACL����。所述方法還包括當(dāng)所述客戶(hù)端在所述身份認(rèn)證BAS上下線(xiàn)時(shí)���,所述Portal服務(wù)器確定與所述身份認(rèn)證BAS對(duì)應(yīng)的策略下發(fā)BAS�,并將所述客戶(hù)端在對(duì)應(yīng)的策略下發(fā)BAS上下線(xiàn)�。一種Portal服務(wù)器,應(yīng)用于包括客戶(hù)端�����、所述Portal服務(wù)器����、身份認(rèn)證BAS、策略 下發(fā)BAS和認(rèn)證服務(wù)器的分布式系統(tǒng)中��,該P(yáng)ortal服務(wù)器包括連接請(qǐng)求報(bào)文接收模塊��,用于接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文�;認(rèn)證請(qǐng)求報(bào)文發(fā)送模塊,用于當(dāng)所述客戶(hù)端在線(xiàn)時(shí)���,根據(jù)所述連接請(qǐng)求報(bào)文中攜 帶的策略下發(fā)BAS的地址信息向所述策略下發(fā)BAS發(fā)送認(rèn)證請(qǐng)求報(bào)文�,所述認(rèn)證請(qǐng)求報(bào)文 中攜帶所述客戶(hù)端的身份認(rèn)證信息;資源訪(fǎng)問(wèn)通知模塊���,用于當(dāng)所述策略下發(fā)BAS根據(jù)所述身份認(rèn)證信息到所述認(rèn)證 服務(wù)器上對(duì)所述客戶(hù)端認(rèn)證通過(guò)時(shí)�,通知所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源�。所述連接請(qǐng)求報(bào)文接收模塊,具體用于在提示所述客戶(hù)端是否訪(fǎng)問(wèn)所述策略下發(fā) BAS對(duì)應(yīng)的資源的重定向頁(yè)面上��,接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文���。還包括網(wǎng)絡(luò)訪(fǎng)問(wèn)通知模塊����,用于當(dāng)所述身份認(rèn)證BAS根據(jù)所述客戶(hù)端的身份認(rèn)證信息到 所述認(rèn)證服務(wù)器上對(duì)所述客戶(hù)端認(rèn)證通過(guò)時(shí)�����,通知客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)���。還包括下線(xiàn)處理模塊���,用于當(dāng)所述客戶(hù)端在所述身份認(rèn)證BAS上下線(xiàn)時(shí),確定與所述身 份認(rèn)證BAS對(duì)應(yīng)的策略下發(fā)BAS�����,并將所述客戶(hù)端在對(duì)應(yīng)的策略下發(fā)BAS上下線(xiàn)。與現(xiàn)有技術(shù)相比�����,本發(fā)明至少具有以下優(yōu)點(diǎn)使得Portal協(xié)議支持單一 IP地址在多個(gè)BAS上進(jìn)行認(rèn)證或策略下發(fā)的過(guò)程���,滿(mǎn) 足分布式策略下發(fā)的需求,在分布式場(chǎng)景下實(shí)現(xiàn)資源的訪(fǎng)問(wèn)��。
圖1是現(xiàn)有技術(shù)中Portal認(rèn)證框架示意圖����;圖2是現(xiàn)有技術(shù)中Portal認(rèn)證的上線(xiàn)流程示意圖;圖3是現(xiàn)有技術(shù)中Portal認(rèn)證的下線(xiàn)流程示意圖�����;圖4是本發(fā)明提供的一種基于Portal的分布式控制方法流程圖���;圖5是本發(fā)明一種應(yīng)用場(chǎng)景下的組網(wǎng)示意圖�;圖6是本發(fā)明提出的一種Portal服務(wù)器的結(jié)構(gòu)圖���。
具體實(shí)施例方式針對(duì)現(xiàn)有Portal協(xié)議的限制����,本發(fā)明提出一種基于Portal的分布式控制方法和 設(shè)備,使Portal協(xié)議支持IP地址在多個(gè)BAS上進(jìn)行認(rèn)證或策略下發(fā)的過(guò)程�,滿(mǎn)足用戶(hù)的分 布式策略下發(fā)需求,在分布式場(chǎng)景下實(shí)現(xiàn)資源的訪(fǎng)問(wèn)�。本發(fā)明中,客戶(hù)端(即用戶(hù)側(cè))在 BAS上只需要進(jìn)行一次身份認(rèn)證�����,則訪(fǎng)問(wèn)其他的受限制資源時(shí)���,可自動(dòng)的將該客戶(hù)端所應(yīng)用 的策略下發(fā)到BAS上���,無(wú)需再次輸入用戶(hù)身份信息(如用戶(hù)名、密碼等)�。下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述。本發(fā)明提出一種基于Portal的分布式控制方法��,該方法應(yīng)用于包括客戶(hù)端(即 Portal用戶(hù)所使用的客戶(hù)端)���、Portal服務(wù)器�����、身份認(rèn)證BAS��、策略下發(fā)BAS和認(rèn)證服務(wù)器 的分布式系統(tǒng)中���。其中��,在Portal服務(wù)器上配置了 IP地址與BAS的對(duì)應(yīng)關(guān)系,為了滿(mǎn)足多個(gè)BAS上下發(fā)策略的需求�����,可在Portal服務(wù)器上將身份認(rèn)證BAS與策略下發(fā)BAS區(qū)分開(kāi)����, 針對(duì)一個(gè)認(rèn)證客戶(hù)端的IP地址,有一個(gè)身份認(rèn)證BAS�����,并可有多個(gè)策略下發(fā)BAS�����。例如,客 戶(hù)端1通過(guò)BAS 1進(jìn)行身份認(rèn)證并訪(fǎng)問(wèn)網(wǎng)絡(luò)時(shí)��,則Portal服務(wù)器上會(huì)配置客戶(hù)端1的IP 地址與BAS 1的對(duì)應(yīng)關(guān)系�,BAS 1為客戶(hù)端1的身份認(rèn)證BAS ;另外��,當(dāng)BAS2��、BAS 3和BAS 4分別有對(duì)應(yīng)的受限資源(如內(nèi)部資料等)可提供給客戶(hù)端訪(fǎng)問(wèn)時(shí)���,則BAS 2����、BAS 3和BAS 4為策略下發(fā)BAS���。如圖4所示�,該方法包括以下步驟步驟401���,客戶(hù)端發(fā)送HTTP (Hyper Text Transfer Protocol���,超文本傳輸協(xié)議) 請(qǐng)求給身份認(rèn)證BAS。其中�,當(dāng)客戶(hù)端有網(wǎng)絡(luò)訪(fǎng)問(wèn)需求時(shí)�,可任意輸入一個(gè)網(wǎng)址�,發(fā)送HTTP 請(qǐng)求。步驟402�,身份認(rèn)證BAS對(duì)該客戶(hù)端進(jìn)行重定向。其中���,當(dāng)接收到HTTP請(qǐng)求后���,由 于客戶(hù)端沒(méi)有通過(guò)認(rèn)證,則身份認(rèn)證BAS向客戶(hù)端發(fā)送重定向報(bào)文���,該重定向報(bào)文中攜帶 了 Portal服務(wù)器的地址信息。步驟403��,客戶(hù)端根據(jù)重定向報(bào)文訪(fǎng)問(wèn)Portal服務(wù)器�。本發(fā)明中,可區(qū)分身份認(rèn)證BAS的重定向頁(yè)面和策略下發(fā)BAS的重定向頁(yè)面�。身 份認(rèn)證BAS的重定向頁(yè)面可針對(duì)客戶(hù)端輸入身份認(rèn)證信息(如用戶(hù)名、密碼等)����;策略下發(fā) BAS的重定向頁(yè)面可提示客戶(hù)端是否訪(fǎng)問(wèn)策略下發(fā)BAS對(duì)應(yīng)的資源。本步驟中�,是在身份認(rèn)證BAS的重定向頁(yè)面上進(jìn)行的����,即用戶(hù)需要輸入身份認(rèn)證 fn息ο
步驟404��,Portal服務(wù)器通過(guò)身份認(rèn)證BAS和認(rèn)證服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證����,并 在認(rèn)證通過(guò)時(shí)通知客戶(hù)端Portal認(rèn)證成功。具體的���,由于Portal服務(wù)器上配置了客戶(hù)端IP地址與身份認(rèn)證BAS的對(duì)應(yīng)關(guān)系�, 則Portal服務(wù)器可向身份認(rèn)證BAS發(fā)送攜帶該身份認(rèn)證信息的認(rèn)證請(qǐng)求報(bào)文�;之后,身份 認(rèn)證BAS將該認(rèn)證請(qǐng)求報(bào)文發(fā)送給認(rèn)證服務(wù)器(如AAA服務(wù)器)進(jìn)行認(rèn)證�����。當(dāng)認(rèn)證通過(guò)后�����, 身份認(rèn)證BAS開(kāi)放該客戶(hù)端的訪(fǎng)問(wèn)權(quán)限����,并由Portal服務(wù)器通知客戶(hù)端Portal認(rèn)證成功����; 之后�����,客戶(hù)端可以訪(fǎng)問(wèn)網(wǎng)絡(luò)���,并處于在線(xiàn)狀態(tài)���。本發(fā)明中,當(dāng)客戶(hù)端有訪(fǎng)問(wèn)策略下發(fā)BAS對(duì)應(yīng)的受限資源的需求時(shí)�,在認(rèn)證通過(guò) 的基礎(chǔ)上,該方法還包括以下步驟步驟405��,客戶(hù)端發(fā)送HTTP請(qǐng)求給策略下發(fā)BAS����。步驟406����,策略下發(fā)BAS對(duì)該客戶(hù)端進(jìn)行重定向。其中��,當(dāng)接收到HTTP請(qǐng)求后,由 于客戶(hù)端在策略下發(fā)BAS上沒(méi)有通過(guò)認(rèn)證����,則策略下發(fā)BAS向客戶(hù)端發(fā)送重定向報(bào)文,該重 定向報(bào)文中攜帶了 Portal服務(wù)器的地址信息和策略下發(fā)BAS的地址信息��。步驟407�����,客戶(hù)端根據(jù)重定向報(bào)文訪(fǎng)問(wèn)Portal服務(wù)器�����。其中����,該訪(fǎng)問(wèn)過(guò)程是在策略 下發(fā)BAS的重定向頁(yè)面上進(jìn)行的,即重定向頁(yè)面提示客戶(hù)端是否訪(fǎng)問(wèn)策略下發(fā)BAS對(duì)應(yīng)的 資源��,如果訪(fǎng)問(wèn)�,則執(zhí)行訪(fǎng)問(wèn)Portal服務(wù)器的過(guò)程,否則結(jié)束流程����。步驟408�����,Portal服務(wù)器接收來(lái)自客戶(hù)端的連接請(qǐng)求報(bào)文���,并當(dāng)客戶(hù)端在線(xiàn)時(shí),根 據(jù)連接請(qǐng)求報(bào)文中攜帶的策略下發(fā)BAS的地址信息向策略下發(fā)BAS發(fā)送認(rèn)證請(qǐng)求報(bào)文�;該 認(rèn)證請(qǐng)求報(bào)文中攜帶了客戶(hù)端的身份認(rèn)證信息。具體的��,當(dāng)客戶(hù)端根據(jù)重定向報(bào)文訪(fǎng)問(wèn)Portal服務(wù)器時(shí)����,則Portal服務(wù)器可接收到連接請(qǐng)求報(bào)文(即在提示客戶(hù)端是否訪(fǎng)問(wèn)策略下發(fā)BAS對(duì)應(yīng)的資源的重定向頁(yè)面上接收 到來(lái)自客戶(hù)端的連接請(qǐng)求報(bào)文),而由于重定向報(bào)文中攜帶了策略下發(fā)BAS的地址信息�,則 連接請(qǐng)求報(bào)文中會(huì)攜帶策略下發(fā)BAS的地址信息。本步驟中����,如果客戶(hù)端已經(jīng)在線(xiàn)(可通過(guò)查找當(dāng)前IP是否已經(jīng)上線(xiàn)的方式獲知) 且連接請(qǐng)求報(bào)文中攜帶了策略下發(fā)BAS的地址信息,則Portal服務(wù)器可使用已經(jīng)上線(xiàn)的客 戶(hù)端的身份認(rèn)證信息向策略下發(fā)BAS發(fā)送認(rèn)證請(qǐng)求報(bào)文(即REQ-AUTH認(rèn)證請(qǐng)求)��。如果客 戶(hù)端沒(méi)有在線(xiàn)���,則該客戶(hù)端需要進(jìn)行身份認(rèn)證�,即上述身份認(rèn)證的處理流程�,該過(guò)程在此不 再贅述。步驟409�����,策略下發(fā)BAS根據(jù)該身份認(rèn)證信息到認(rèn)證服務(wù)器上對(duì)該客戶(hù)端進(jìn)行認(rèn) 證���。即策略下發(fā)BAS向認(rèn)證服務(wù)器發(fā)送攜帶該身份認(rèn)證信息的身份認(rèn)證請(qǐng)求報(bào)文��,由認(rèn)證 服務(wù)器根據(jù)該身份認(rèn)證信息對(duì)該客戶(hù)端進(jìn)行認(rèn)證����。步驟410���,當(dāng)客戶(hù)端認(rèn)證通過(guò)時(shí)����,認(rèn)證服務(wù)器向策略下發(fā)BAS發(fā)送認(rèn)證通過(guò)報(bào)文����, 并向策略下發(fā)BAS下發(fā)允許客戶(hù)端訪(fǎng)問(wèn)該策略下發(fā)BAS對(duì)應(yīng)資源的策略ACL。本發(fā)明中,該策略ACL的獲取方式包括但不限于根據(jù)用戶(hù)登錄名稱(chēng)的后綴獲取����, 其中,針對(duì)同一個(gè)后綴���,下發(fā)的ACL號(hào)是相同的�����。步驟411���,策略下發(fā)BAS通知Portal服務(wù)器該客戶(hù)端認(rèn)證通過(guò),Portal服務(wù)器通 知客戶(hù)端訪(fǎng)問(wèn)策略下發(fā)BAS對(duì)應(yīng)的資源����。需要說(shuō)明的是,當(dāng)客戶(hù)端在策略下發(fā)BAS上上線(xiàn)后����,在認(rèn)證服務(wù)器上也會(huì)針對(duì)該 客戶(hù)端的身份認(rèn)證信息中的策略下發(fā)BAS上線(xiàn)的記錄進(jìn)行更新,以表示該客戶(hù)端在對(duì)應(yīng)的 策略下發(fā)BAS上上線(xiàn)了���。另外��,當(dāng)客戶(hù)端在策略下發(fā)BAS上上線(xiàn)后�,還可提示接入的TOB瀏 覽器頁(yè)面可以關(guān)閉����,提示頁(yè)面不作為客戶(hù)端的保活頁(yè)面使用���。本發(fā)明中��,當(dāng)客戶(hù)端在身份認(rèn)證BAS上下線(xiàn)時(shí)�����,則Portal服務(wù)器確定與身份認(rèn)證 BAS對(duì)應(yīng)的策略下發(fā)BAS�,并將客戶(hù)端在對(duì)應(yīng)的策略下發(fā)BAS上下線(xiàn)���,即此身份認(rèn)證BAS關(guān) 聯(lián)的所有策略下發(fā)BAS上的相同客戶(hù)端需要下線(xiàn)�����。通過(guò)上述處理過(guò)程��,一個(gè)客戶(hù)端可以在多臺(tái)BAS上上線(xiàn)�,由于區(qū)分了身份認(rèn)證BAS 與策略下發(fā)BAS的不同角色關(guān)系,客戶(hù)端在一個(gè)園區(qū)網(wǎng)中訪(fǎng)問(wèn)不同的資源時(shí)����,能夠動(dòng)態(tài)的 獲取不同的權(quán)限,滿(mǎn)足了園區(qū)網(wǎng)中不同身份用戶(hù)訪(fǎng)問(wèn)不同資源時(shí)獲取不同的權(quán)限����。而且由 于身份認(rèn)證只進(jìn)行一次,用戶(hù)無(wú)需進(jìn)行多次認(rèn)證����,滿(mǎn)足了易用性的要求。為了更加清楚的闡述本發(fā)明技術(shù)方案���,以下結(jié)合圖5所示的應(yīng)用場(chǎng)景對(duì)本發(fā)明進(jìn) 行進(jìn)一步的說(shuō)明�。1����、客戶(hù)端A在控制策略點(diǎn)1(即BAS)認(rèn)證通過(guò),接入網(wǎng)絡(luò)�。該認(rèn)證過(guò)程可以是 802. Ix認(rèn)證或Portal認(rèn)證。2���、Portal服務(wù)器記錄客戶(hù)端A的身份認(rèn)證信息和IP地址��。3�、客戶(hù)端A需要通過(guò)控制策略點(diǎn)2訪(fǎng)問(wèn)資源1����。4���、控制策略點(diǎn)2無(wú)客戶(hù)端A的信息,需要進(jìn)行Portal認(rèn)證�,控制策略點(diǎn)2針對(duì)客 戶(hù)端A的IP在Portal服務(wù)器上配置的是策略下發(fā)設(shè)備�。5、Portal服務(wù)器向控制策略點(diǎn)2發(fā)起認(rèn)證請(qǐng)求���,使用客戶(hù)端A已經(jīng)登錄的身份認(rèn) 證信息進(jìn)行認(rèn)證��。6�����、認(rèn)證成功后��,認(rèn)證服務(wù)器下發(fā)ACL策略到策略控制點(diǎn)2����。
基于與上述方法同樣的發(fā)明構(gòu)思���,本發(fā)明還提出了一種Portal服務(wù)器,應(yīng)用于包 括客戶(hù)端��、所述Portal服務(wù)器、身份認(rèn)證BAS�����、策略下發(fā)BAS和認(rèn)證服務(wù)器的分布式系統(tǒng)中, 如圖6所示�����,該P(yáng)ortal服務(wù)器包括連接請(qǐng)求報(bào)文接收模塊11,用于接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文����;認(rèn)證請(qǐng)求報(bào)文發(fā)送模塊12,用于當(dāng)所述客戶(hù)端在線(xiàn)時(shí)����,根據(jù)所述連接請(qǐng)求報(bào)文中 攜帶的策略下發(fā)BAS的地址信息向所述策略下發(fā)BAS發(fā)送認(rèn)證請(qǐng)求報(bào)文���,所述認(rèn)證請(qǐng)求報(bào) 文中攜帶所述客戶(hù)端的身份認(rèn)證信息;資源訪(fǎng)問(wèn)通知模塊13�����,用于當(dāng)所述策略下發(fā)BAS根據(jù)所述身份認(rèn)證信息到所述 認(rèn)證服務(wù)器上對(duì)所述客戶(hù)端認(rèn)證通過(guò)時(shí)�,通知所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源��。所述連接請(qǐng)求報(bào)文接收模塊11����,具體用于在提示所述客戶(hù)端是否訪(fǎng)問(wèn)所述策略下 發(fā)BAS對(duì)應(yīng)的資源的重定向頁(yè)面上�����,接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文。該P(yáng)ortal服務(wù)器還包括網(wǎng)絡(luò)訪(fǎng)問(wèn)通知模塊14�����,用于當(dāng)所述身份認(rèn)證BAS根據(jù)所述客戶(hù)端的身份認(rèn)證信息 到所述認(rèn)證服務(wù)器上對(duì)所述客戶(hù)端認(rèn)證通過(guò)時(shí),通知客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)���。下線(xiàn)處理模塊15,用于當(dāng)所述客戶(hù)端在所述身份認(rèn)證BAS上下線(xiàn)時(shí)�����,確定與所述 身份認(rèn)證BAS對(duì)應(yīng)的策略下發(fā)BAS�,并將所述客戶(hù)端在對(duì)應(yīng)的策略下發(fā)BAS上下線(xiàn)。其中��,本發(fā)明裝置的各個(gè)模塊可以集成于一體��,也可以分離部署����。上述模塊可以合 并為一個(gè)模塊����,也可以進(jìn)一步拆分成多個(gè)子模塊。通過(guò)以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過(guò)硬件實(shí)現(xiàn),也可以借助軟件加必要的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)����?���;谶@樣的理解,本發(fā) 明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)����,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ) 介質(zhì)(可以是⑶-ROM,U盤(pán)��,移動(dòng)硬盤(pán)等)中����,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可 以是個(gè)人計(jì)算機(jī)����,服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法���。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流 程并不一定是實(shí)施本發(fā)明所必須的���。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中��,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中��。上 述實(shí)施例的模塊可以合并為一個(gè)模塊�,也可以進(jìn)一步拆分成多個(gè)子模塊��。上述本發(fā)明序號(hào)僅僅為了描述����,不代表實(shí)施例的優(yōu)劣�。以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例���,但是����,本發(fā)明并非局限于此����,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍����。
權(quán)利要求
1.一種基于Portal的分布式控制方法�����,其特征在于���,應(yīng)用于包括客戶(hù)端���、Portal服務(wù) 器�����、身份認(rèn)證BAS�����、策略下發(fā)BAS和認(rèn)證服務(wù)器的分布式系統(tǒng)中,該方法包括所述Portal服務(wù)器接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文,如果所述客戶(hù)端在線(xiàn)�,則根 據(jù)所述連接請(qǐng)求報(bào)文中攜帶的策略下發(fā)BAS的地址信息向所述策略下發(fā)BAS發(fā)送認(rèn)證請(qǐng)求 報(bào)文����,所述認(rèn)證請(qǐng)求報(bào)文中攜帶所述客戶(hù)端的身份認(rèn)證信息����;當(dāng)所述策略下發(fā)BAS根據(jù)所述身份認(rèn)證信息到所述認(rèn)證服務(wù)器上對(duì)所述客戶(hù)端認(rèn)證 通過(guò)時(shí)�,所述Portal服務(wù)器通知所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源����。
2.如權(quán)利要求1所述的方法�����,其特征在于�����,所述Portal服務(wù)器接收來(lái)自所述客戶(hù)端的 連接請(qǐng)求報(bào)文����,具體包括在提示所述客戶(hù)端是否訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源的重定向頁(yè)面上��,所述 Portal服務(wù)器接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文���。
3.如權(quán)利要求1所述的方法��,其特征在于,所述客戶(hù)端在線(xiàn)����,之前還包括當(dāng)所述身份認(rèn)證BAS根據(jù)所述客戶(hù)端的身份認(rèn)證信息到所述認(rèn)證服務(wù)器上對(duì)所述客 戶(hù)端認(rèn)證通過(guò)時(shí)����,所述Portal服務(wù)器通知所述客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)���。
4.如權(quán)利要求1所述的方法,其特征在于���,所述策略下發(fā)BAS根據(jù)所述身份認(rèn)證信息到 所述認(rèn)證服務(wù)器上對(duì)所述客戶(hù)端認(rèn)證�,具體包括所述策略下發(fā)BAS根據(jù)所述客戶(hù)端的身份認(rèn)證信息向所述認(rèn)證服務(wù)器發(fā)送身份認(rèn)證 請(qǐng)求報(bào)文�;所述認(rèn)證服務(wù)器根據(jù)所述身份認(rèn)證信息對(duì)所述客戶(hù)端進(jìn)行認(rèn)證。
5.如權(quán)利要求1所述的方法����,其特征在于��,所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資 源����,之前還包括所述認(rèn)證服務(wù)器向所述策略下發(fā)BAS下發(fā)允許所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng) 的資源的策略ACL。
6.如權(quán)利要求1所述的方法�,其特征在于,所述方法還包括當(dāng)所述客戶(hù)端在所述身份認(rèn)證BAS上下線(xiàn)時(shí)���,所述Portal服務(wù)器確定與所述身份認(rèn)證 BAS對(duì)應(yīng)的策略下發(fā)BAS�����,并將所述客戶(hù)端在對(duì)應(yīng)的策略下發(fā)BAS上下線(xiàn)����。
7.—種Portal服務(wù)器,其特征在于�,應(yīng)用于包括客戶(hù)端、所述Portal服務(wù)器����、身份認(rèn)證 BAS、策略下發(fā)BAS和認(rèn)證服務(wù)器的分布式系統(tǒng)中�,該P(yáng)ortal服務(wù)器包括連接請(qǐng)求報(bào)文接收模塊,用于接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文���;認(rèn)證請(qǐng)求報(bào)文發(fā)送模塊�����,用于當(dāng)所述客戶(hù)端在線(xiàn)時(shí)���,根據(jù)所述連接請(qǐng)求報(bào)文中攜帶的 策略下發(fā)BAS的地址信息向所述策略下發(fā)BAS發(fā)送認(rèn)證請(qǐng)求報(bào)文,所述認(rèn)證請(qǐng)求報(bào)文中攜 帶所述客戶(hù)端的身份認(rèn)證信息���;資源訪(fǎng)問(wèn)通知模塊�����,用于當(dāng)所述策略下發(fā)BAS根據(jù)所述身份認(rèn)證信息到所述認(rèn)證服務(wù) 器上對(duì)所述客戶(hù)端認(rèn)證通過(guò)時(shí)�,通知所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源。
8.如權(quán)利要求7所述的Portal服務(wù)器��,其特征在于�,所述連接請(qǐng)求報(bào)文接收模塊,具體用于在提示所述客戶(hù)端是否訪(fǎng)問(wèn)所述策略下發(fā)BAS 對(duì)應(yīng)的資源的重定向頁(yè)面上����,接收來(lái)自所述客戶(hù)端的連接請(qǐng)求報(bào)文。
9.如權(quán)利要求7所述的Portal服務(wù)器����,其特征在于��,還包括網(wǎng)絡(luò)訪(fǎng)問(wèn)通知模塊�����,用于當(dāng)所述身份認(rèn)證BAS根據(jù)所述客戶(hù)端的身份認(rèn)證信息到所述 認(rèn)證服務(wù)器上對(duì)所述客戶(hù)端認(rèn)證通過(guò)時(shí)�,通知客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)。
10.如權(quán)利要求7所述的Portal服務(wù)器�,其特征在于,還包括 下線(xiàn)處理模塊��,用于當(dāng)所述客戶(hù)端在所述身份認(rèn)證BAS上下線(xiàn)時(shí),確定與所述身份認(rèn) 證BAS對(duì)應(yīng)的策略下發(fā)BAS����,并將所述客戶(hù)端在對(duì)應(yīng)的策略下發(fā)BAS上下線(xiàn)。
全文摘要
本發(fā)明公開(kāi)了一種基于Portal的分布式控制方法和設(shè)備�,該方法包括Portal服務(wù)器接收來(lái)自客戶(hù)端的連接請(qǐng)求報(bào)文,如果所述客戶(hù)端在線(xiàn)���,則根據(jù)所述連接請(qǐng)求報(bào)文中攜帶的策略下發(fā)BAS的地址信息向所述策略下發(fā)BAS發(fā)送認(rèn)證請(qǐng)求報(bào)文����,所述認(rèn)證請(qǐng)求報(bào)文中攜帶所述客戶(hù)端的身份認(rèn)證信息�;當(dāng)所述客戶(hù)端認(rèn)證通過(guò)時(shí),所述Portal服務(wù)器通知所述客戶(hù)端訪(fǎng)問(wèn)所述策略下發(fā)BAS對(duì)應(yīng)的資源����。本發(fā)明中,滿(mǎn)足分布式策略下發(fā)的需求���,在分布式場(chǎng)景下實(shí)現(xiàn)資源的訪(fǎng)問(wèn)�����。
文檔編號(hào)H04L29/06GK102045398SQ20101060349
公開(kāi)日2011年5月4日 申請(qǐng)日期2010年12月24日 優(yōu)先權(quán)日2010年12月24日
發(fā)明者喬肖桉 申請(qǐng)人:杭州華三通信技術(shù)有限公司