本發(fā)明涉及接入控制技術(shù)領(lǐng)域，具體涉及一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備。

背景技術(shù)：

Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門(mén)戶網(wǎng)站。未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問(wèn)其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門(mén)戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過(guò)后才可以使用互聯(lián)網(wǎng)資源。

在傳統(tǒng)的組網(wǎng)環(huán)境中，用戶只要能接入局域網(wǎng)設(shè)備，就可以訪問(wèn)網(wǎng)絡(luò)中的設(shè)備或資源，為加強(qiáng)網(wǎng)絡(luò)資源的安全和運(yùn)營(yíng)管理，很多情況下需要對(duì)用戶的訪問(wèn)進(jìn)行控制，而8021x和PPPoE等訪問(wèn)控制方式，都需要客戶端的配合。

Portal認(rèn)證技術(shù)則提供一種靈活的訪問(wèn)控制方式，不需要安裝客戶端；可定制個(gè)性化認(rèn)證頁(yè)面，可在Portal頁(yè)面上開(kāi)展廣告頁(yè)面、信息發(fā)布等內(nèi)容；可基于VLAN id/IP/MAC的捆綁來(lái)認(rèn)證；采用server和client之間，BAS和client之間定期交互檢測(cè)是否斷網(wǎng)；因此目前急需一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于針對(duì)現(xiàn)有技術(shù)的不足，提供一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備，該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備可以很好地解決上述問(wèn)題。

為達(dá)到上述要求，本發(fā)明采取的技術(shù)方案是：提供一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備，該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備包括相互之間信號(hào)連接的HTTP/HTTPS請(qǐng)求重定向模塊、網(wǎng)絡(luò)訪問(wèn)控制模塊、支持portal協(xié)議認(rèn)證的認(rèn)證模塊及用戶管理模塊；網(wǎng)絡(luò)訪問(wèn)控制模塊通過(guò)配置對(duì)應(yīng)規(guī)則，用于管理未認(rèn)證用戶、已認(rèn)證用戶、白名單、黑名單、HTTP及HTTPS的抓取；HTTP/HTTPS重定向模塊與所述網(wǎng)絡(luò)訪問(wèn)控制模塊配合完成對(duì)到達(dá)設(shè)備的未認(rèn)證用戶HTTP/HTTPS請(qǐng)求的強(qiáng)制重定向；用戶管理模塊用于對(duì)用戶的上下線管理及在線用戶的檢測(cè)。

該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備具有的優(yōu)點(diǎn)如下：

該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備可以實(shí)現(xiàn)用戶網(wǎng)絡(luò)訪問(wèn)的控制及認(rèn)證功能；對(duì)于未認(rèn)證用戶，將其HTTP/HTTPS請(qǐng)求強(qiáng)制重定向到portal server上，并對(duì)于已認(rèn)證用戶提供正常的網(wǎng)絡(luò)訪問(wèn)，并對(duì)其提供靈活可靠的在線檢測(cè)機(jī)制。

附圖說(shuō)明

此處所說(shuō)明的附圖用來(lái)提供對(duì)本申請(qǐng)的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，在這些附圖中使用相同的參考標(biāo)號(hào)來(lái)表示相同或相似的部分，本申請(qǐng)的示意性實(shí)施例及其說(shuō)明用于解釋本申請(qǐng)，并不構(gòu)成對(duì)本申請(qǐng)的不當(dāng)限定。在附圖中：

圖1示意性地示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的portal認(rèn)證流程圖。

圖2示意性地示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的HTTP/HTTPS重定向模塊處理框圖。

圖3示意性地示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的TCAM分區(qū)規(guī)劃圖。

具體實(shí)施方式

為使本申請(qǐng)的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，以下結(jié)合附圖及具體實(shí)施例，對(duì)本申請(qǐng)作進(jìn)一步地詳細(xì)說(shuō)明。

在以下描述中，對(duì)“一個(gè)實(shí)施例”、“實(shí)施例”、“一個(gè)示例”、“示例”等等的引用表明如此描述的實(shí)施例或示例可以包括特定特征、結(jié)構(gòu)、特性、性質(zhì)、元素或限度，但并非每個(gè)實(shí)施例或示例都必然包括特定特征、結(jié)構(gòu)、特性、性質(zhì)、元素或限度。另外，重復(fù)使用短語(yǔ)“根據(jù)本申請(qǐng)的一個(gè)實(shí)施例”雖然有可能是指代相同實(shí)施例，但并非必然指代相同的實(shí)施例。

為簡(jiǎn)單起見(jiàn)，以下描述中省略了本領(lǐng)域技術(shù)人員公知的某些技術(shù)特征。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例，提供一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備，如圖1至圖2所示，包括HTTP/HTTPS請(qǐng)求重定向模塊、網(wǎng)絡(luò)訪問(wèn)控制模塊、認(rèn)證模塊、用戶管理模塊等，可支持portal協(xié)議認(rèn)證的使用環(huán)境。

該設(shè)備的網(wǎng)絡(luò)訪問(wèn)控制模塊通過(guò)配置對(duì)應(yīng)規(guī)則，用于管理未認(rèn)證用戶、已認(rèn)證用戶、白名單、黑名單、HTTP和HTTPS抓取。其中規(guī)則使用交換芯片硬件TCAM表實(shí)現(xiàn)，利用交換芯片TCAM表的優(yōu)先級(jí)特性，通過(guò)對(duì)表的分區(qū)使用來(lái)實(shí)現(xiàn)各種規(guī)則。由于使用了硬件實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制功能，對(duì)于各規(guī)則的查找匹配動(dòng)作由交換芯片實(shí)現(xiàn)，該設(shè)備的網(wǎng)絡(luò)訪問(wèn)控制不會(huì)影響用戶的數(shù)據(jù)通信性能，TCAM分區(qū)規(guī)劃使用如圖3。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例，該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的HTTP/HTTPS重定向模塊與網(wǎng)絡(luò)訪問(wèn)控制模塊配合完成對(duì)到達(dá)設(shè)備的未認(rèn)證用戶HTTP/HTTPS請(qǐng)求的強(qiáng)制重定向動(dòng)作。網(wǎng)絡(luò)訪問(wèn)控制模塊通過(guò)交換芯片硬件表項(xiàng)將HTTP/HTTPS報(bào)文(已認(rèn)證用戶的HTTP/HTTPS報(bào)文通過(guò)匹配認(rèn)證規(guī)則已經(jīng)通過(guò)，不會(huì)被抓取到)抓取上CPU。重定向模塊對(duì)抓取到的報(bào)文進(jìn)行目的地址轉(zhuǎn)換操作，將目的地址轉(zhuǎn)換為交換機(jī)地址。由設(shè)備內(nèi)置的web server仿冒用戶的目的站點(diǎn)與用戶建立TCP握手，并向用戶回復(fù)HTTP 302重定向報(bào)文，將用戶重定向到portal server。其中，對(duì)于HTTPS請(qǐng)求，除仿冒TCP握手之外，還將仿冒用戶目的站點(diǎn)與用戶建立SSL握手。同時(shí)，在進(jìn)行目的地址轉(zhuǎn)換時(shí)，將目的端口由常用的80、8080、443端口分別轉(zhuǎn)換為20001(HTTP)與20002(HTTPS)，以和設(shè)備上原本提供的web服務(wù)區(qū)別開(kāi)來(lái)，可同時(shí)提供服務(wù)。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例，該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的認(rèn)證模塊支持portal協(xié)議的認(rèn)證。目前市面上存在V1和V2兩個(gè)版本的portal協(xié)議。其中V2版本相對(duì)于V1版本，加強(qiáng)了協(xié)議的安全性，提供了更豐富的屬性。但也導(dǎo)致了兩個(gè)版本協(xié)議的不兼容。該發(fā)明設(shè)備提供對(duì)portal協(xié)議V1、V2版本主動(dòng)識(shí)別，增強(qiáng)了對(duì)協(xié)議的智能適配。并增加對(duì)portal協(xié)議的chap、pap認(rèn)證方式的智能識(shí)別。即該設(shè)備可智能的識(shí)別處理到達(dá)設(shè)備的V1、V2版本的pap、chap認(rèn)證報(bào)文，而無(wú)需用戶進(jìn)行特殊的配置。設(shè)備對(duì)于接收到的portal認(rèn)證請(qǐng)求，通過(guò)radius協(xié)議向遠(yuǎn)端的radius server進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)操作。

對(duì)于portal協(xié)議，該發(fā)明設(shè)備進(jìn)行了屬性增強(qiáng)。為了加強(qiáng)portal協(xié)議的安全性，防重放攻擊，該發(fā)明設(shè)備在portal協(xié)議報(bào)文中添加了時(shí)間戳屬性。當(dāng)開(kāi)啟時(shí)間戳屬性時(shí)，設(shè)備僅處理報(bào)文中時(shí)間戳中時(shí)間與當(dāng)前時(shí)刻足夠近的報(bào)文。發(fā)送portal協(xié)議報(bào)文時(shí)，也將在報(bào)文中添加時(shí)間戳屬性。時(shí)間戳屬性與portal協(xié)議報(bào)文中的校驗(yàn)字、序號(hào)配合使用，可有效的預(yù)防重放攻擊。同時(shí)對(duì)于時(shí)間戳的檢查可自由配置，以靈活適配網(wǎng)絡(luò)環(huán)境。當(dāng)網(wǎng)絡(luò)環(huán)境延遲較高時(shí)，可擴(kuò)大檢查時(shí)間窗。當(dāng)需要更好的安全防護(hù)時(shí)，可縮小檢查時(shí)間窗，提高防重放攻擊能力。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例，該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的用戶管理模塊可提供對(duì)用戶的上下線管理及在線用戶的檢測(cè)等功能。其中，設(shè)備提供用戶強(qiáng)制上線、下線、禁止登錄等管理功能。在實(shí)際的網(wǎng)絡(luò)環(huán)境中，用戶可能由于各種原因?qū)е庐惓Ｏ戮€，如終端崩潰、網(wǎng)絡(luò)故障、IP地址切換、用戶轉(zhuǎn)移等。為應(yīng)對(duì)以上問(wèn)題，本發(fā)明設(shè)備提供了靈活可靠的在線用戶檢測(cè)機(jī)制。同時(shí)提供基于ICMP回顯請(qǐng)求的用戶檢測(cè)和基于流量的用戶檢測(cè)功能。

基于ICMP回顯請(qǐng)求的用戶檢測(cè)通過(guò)在設(shè)備中開(kāi)啟一個(gè)在線檢測(cè)服務(wù)，周期性的給各在線用戶發(fā)送ICMP回顯請(qǐng)求，檢測(cè)是否收到用戶的ICMP回顯應(yīng)答報(bào)文。若連續(xù)多次未收到應(yīng)答報(bào)文，則認(rèn)為用戶下線，設(shè)備將清理用戶規(guī)則，并通告portal server和radius server用戶異常下線。

基于流量的用戶檢測(cè)也使用設(shè)備中的在線檢測(cè)服務(wù)，周期性的檢測(cè)各個(gè)在線用戶流經(jīng)設(shè)備的流量。若在一定周期內(nèi)，連續(xù)多次檢測(cè)到用戶無(wú)流量流經(jīng)設(shè)備，則認(rèn)為用戶處于空閑狀態(tài)或已經(jīng)下線，設(shè)備將清理用戶規(guī)則，并通告portal server和radius server用戶異常下線。

實(shí)際環(huán)境中，部分用戶終端的防火墻禁止了ICMP回顯請(qǐng)求。本發(fā)明設(shè)備可智能識(shí)別防火墻是否禁止ICMP回顯請(qǐng)求并采取不同的檢測(cè)機(jī)制。當(dāng)用戶認(rèn)證通過(guò)且已經(jīng)下發(fā)規(guī)則后，設(shè)備將向用戶發(fā)起ICMP回顯請(qǐng)求，若前幾次請(qǐng)求收到應(yīng)答，則認(rèn)為用戶可PING，若前次請(qǐng)求沒(méi)有收到應(yīng)答，則認(rèn)為用戶不可PING。對(duì)于可PING的用戶，采用基于ICMP回顯請(qǐng)求的用戶檢測(cè)。對(duì)于不可PING的用戶，采用基于流量的用戶檢測(cè)。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例，該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備可以包含如下部分：用戶終端、接入控制設(shè)備、portal server、RADIUS server等幾個(gè)模塊，其中：

用戶終端：用戶客戶端，一般為http瀏覽器，通常在各支持web訪問(wèn)的平臺(tái)上都提供該客戶端。

接入控制設(shè)備：寬帶接入服務(wù)器，即BAS。用戶接入服務(wù)設(shè)備，實(shí)現(xiàn)用戶的匯聚、認(rèn)證、計(jì)費(fèi)等服務(wù)。

Portal server：提供Web認(rèn)證的認(rèn)證界面和相關(guān)操作。Portal Server接受認(rèn)證客戶端發(fā)出的基于HTTP的認(rèn)證請(qǐng)求，提取其中的賬號(hào)信息，將此信息發(fā)送到接入設(shè)備，同時(shí)根據(jù)接入設(shè)備反饋的認(rèn)證結(jié)果，通過(guò)頁(yè)面反饋給用戶。

RADIUS server：提供基于RADIUS協(xié)議的遠(yuǎn)程用戶認(rèn)證。

基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備在控制無(wú)線終端接入網(wǎng)絡(luò)認(rèn)證流程如下：

s1、用戶使用手機(jī)搜索連接到無(wú)線接入AP對(duì)應(yīng)的SSID，獲取IP地址，該IP地址可以由AC分配，也可以通過(guò)匯聚交換機(jī)做DHCP中繼，由全網(wǎng)統(tǒng)一規(guī)劃的DHCP服務(wù)器統(tǒng)一分配一個(gè)IP地址；

s2、手機(jī)獲取到IP地址后，通過(guò)瀏覽器訪問(wèn)網(wǎng)頁(yè)。HTTP報(bào)文到達(dá)BAS后被截獲并仿冒目的端完成TCP握手。BAS向手機(jī)回復(fù)一個(gè)HTTP302重定向到portal服務(wù)器的報(bào)文；

s3、手機(jī)瀏覽器根據(jù)重定向報(bào)文訪問(wèn)portal服務(wù)器。獲取portal服務(wù)器推送的認(rèn)證頁(yè)面。用戶在該頁(yè)面輸入賬號(hào)和口令后提交認(rèn)證請(qǐng)求，portal服務(wù)器解析處理用戶信息后，將其使用portal協(xié)議封裝后回傳給BAS；

s4、BAS首先對(duì)用戶的合法性進(jìn)行檢查，然后將用戶輸入的帳號(hào)和口令通過(guò)RADIUS協(xié)議發(fā)給RADIUS服務(wù)器對(duì)用戶進(jìn)行認(rèn)證；

s5、RADIUS服務(wù)器將該用戶的認(rèn)證結(jié)果告知BAS，若認(rèn)證通過(guò)，匯聚交換機(jī)將修改ACL規(guī)則，在ACL表中為該用戶添加一條允許轉(zhuǎn)發(fā)的規(guī)則。若認(rèn)證未通過(guò)，則不修改任何配置。認(rèn)證完后，將認(rèn)證結(jié)果返回portal服務(wù)器；

s6、Portal服務(wù)器為用戶推送認(rèn)證完成頁(yè)面(包括認(rèn)證通過(guò)與未通過(guò))，認(rèn)證結(jié)束；

s7、用戶離開(kāi)網(wǎng)絡(luò)前，可在portal推送的登陸成功頁(yè)面點(diǎn)擊“斷開(kāi)網(wǎng)絡(luò)”按鈕，將觸發(fā)下線流程，匯聚交換機(jī)將刪除用戶的ACL規(guī)則，并結(jié)束radius計(jì)費(fèi)。

以上所述實(shí)施例僅表示本發(fā)明的幾種實(shí)施方式，其描述較為具體和詳細(xì)，但并不能理解為對(duì)本發(fā)明范圍的限制。應(yīng)當(dāng)指出的是，對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進(jìn)，這些都屬于本發(fā)明保護(hù)范圍。因此本發(fā)明的保護(hù)范圍應(yīng)該以所述權(quán)利要求為準(zhǔn)。