Portal认证过程解析参考幻灯片

1、Portal,认证过程解析,Enabling,Performance-Free,TM,Wireless LANs,1,2,产生背景,在传统的组网环境中，用户只要能接入局域网设备，就可以访问网络中,的设备或资源，为加强网络资源的安全控制和运营管理，很多情况下需,要对用户的访问进行控制。,例如，在一些公共场合、小区或公司的网络接入点，提供接入服务的供,应商希望只允许付费的合法用户接入，所以供应商为每个用户提供一个,接入网络的账号和密码。另外，一些企业会提供一些内部关键资源给外,部用户访问，并且希望经过有效认证的用户才可以访问这些资源。,3,2020/3/30,技术优点,?,不需要部署客户端，直接使

2、用,WEB,页面认证，使用方便；,?,可以基于,VLAN/SSID/WTPid,粒度级别的个性化认证页面，同时可以,在,Portal,页面上开展广告业务、服务选择和信息发布等内容，进行业务,拓展，实现,IP,网络的运营；,?,并采用,Portal server,和,Portal client,之间，,BAS,和,Portal client,之间定期,发送握手报文的方式来进行断网检测；,?,可以跨越网络层对用户作认证，可以在企业网络出口或关键数据的入,口作访问控制；,4,2020/3/30,整体认证框架,1.,未认证用户访问网络时，在,IE,地址栏中输入一个互联网的地址，,那么此,HTTP,请求

3、在经过,BAS,设备时会被重定向到,Portal server,的,Web,认证主页上,2.,用户在认证主页,/,认证对话框中输入认证信息后提交，,Portal,server,会将用户的认证信息传递给,BAS,3.,然后,BAS,与,AAA,服务器通信进行用户认证和计费,4.,然后,BAS,与,AAA,服务器通信进行用户认证和计费,5,2020/3/30,详细认证流程图,WLAN,用户,门户网站,（,Portal,）,接入控制器,（,AC,）,连接请求,请求认证,认证结果,推送归属地定制的页面，通知,用户认证结果，并,启动正计时提醒,用户请求，通过,AC,强制到,Portal server,统

4、一认证页面推送,请求,Challenge,分配,Challenge,查询用户信息,返回查询结果,及用户连接时长相,关信息,Radius,RADIUS,认证流程,如果查询失败，直接给,出提示信息，结束认证,判断归属地,6,2020/3/30,Portal,交互过程分析,1,、用户访问网站，经过,AC,重定向到,Portal Server,；,2,、,Portal server,推送统一的认证页面；,3,、用户填入用户名、密码，提交页面，向,Portal Server,发起连,接请求,7,2020/3/30,4,、,Portal,向,Radius,发出用户信息查询请求，由,Radius,验证用,户

5、密码、查询用户信息，并向,Portal,返回查询结果及系统配置,的单次连接最大时长、手机用户及卡用户的套餐剩余时长信,息；,5,、如果查询失败，,Portal,结束认证流程，并直接返回提示信,息给用户，指导用户开户及正确使用,Portal,交互过程分析,8,2020/3/30,6,、如果查询成功，,Portal Server,向,AC,请求,Challenge,；,7,、,AC,分配,Challenge,给,Portal Server,；,8,、,Portal Server,向,AC,发起认证请求；,Portal,交互过程分析,9,2020/3/30,Challenge,报文分析,注意：如果抓

6、包没有收到,challenge,报文，则需要,portal sevver,查明原因,Portal,交互过程分析,10,2020/3/30,Radius,认证计费过程分析,9,、,AC,携带用户名和密码发起认证请求；,10,、,radius,返回认证结果；,11,、在次发起计费请求；,12,、,radius,回应计费请求；,11,2020/3/30,Radish,报文分析：,access-request,Radius,认证计费过程分析,12,2020/3/30,Radish,报文分析：,access-accept,Radius,认证计费过程分析,13,2020/3/30,Radish,报文分析：

7、,access-reject,注意：如果收到此种报文，需由,radius,端给出说明,Radius,认证计费过程分析,14,2020/3/30,Radish,报文分析：,accounting-request,Radius,认证计费过程分析,15,2020/3/30,Radish,报文分析：,accounting-response,Radius,认证计费过程分析,16,2020/3/30,WLAN,用户,门户网站,（,Portal,）,接入控制器,（,AC,）,连接请求,请求认证,认证结果,推送归属地定制的页面，通知,用户认证结果，并,启动正计时提醒,用户请求，通过,AC,强制到,Portal

8、server,统一认证页面推送,请求,Challenge,分配,Challenge,查询用户信息,返回查询结果,及用户连接时长相,关信息,Radius,RADIUS,认证流程,如果查询失败，直接给,出提示信息，结束认证,判断归属地,13,、,AC,向,Portal Server,送认证结果,14,、,Portal Server,根据,编码规则判断帐户的归,属地，推送归属地定制,的个性化页面，并将认,证结果、系统配置的单,次连接最大时长、套餐,剩余时长、自服务选项,填入页面，和门户网站,一起推送给客户,同时启,动正计时提醒,15,、,Portal Server,回应,确认收到认证结果的报,文,R

9、adius,认证计费过程分析,17,2020/3/30,用户下线过程分析,下线过程分为三种情况：,1,、主动发起下线请求（即点击下线按钮）,2,、强制显现流程（即直接关闭,portal,页面）,3,、异常下线流程（,AC,自己侦测到用户下线）,18,2020/3/30,WLAN用户,门户网站,（Portal）,接入控制器,（AC）,下线请求,请求下线,下线回应,告诉用户下线结果,主动下线过程：,（,1,）用户发起下线请求到,Portal Server,；,（,2,）,Portal Server,向,AC,请求下线；,（,3,）,AC,回应,Portal Server,下线请求；,（,4,）,P

10、ortal Server,推送下线结果页面给用户,用户下线过程分析,19,2020/3/30,强制下线过程：,WLAN,用户,门户网站,（,Portal,）,接入控制器,（,AC,）,请求下线,下线成功,告诉用户下线结果,AC,侦测到用户允,许接入时间结束,（,1,）,AC,侦测到用户的本次连接最大允许接入时间结束，,向,Portal Server,请求下线；,（,2,）,Portal Server,回应下线成功，并向用户推送下线,结果页面。,用户下线过程分析,20,2020/3/30,WLAN用户,门户网站,（Portal）,接入控制器,（AC）,请求下线,下线成功,AC侦测到用户,下线,异常下线过程：,（,1,）,AC,侦测到用户下线，向,Port