本發(fā)明涉及接入控制技術(shù)領(lǐng)域，具體涉及一種基于portal協(xié)議的增強型接入控制設備。

背景技術(shù)：

Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。

在傳統(tǒng)的組網(wǎng)環(huán)境中，用戶只要能接入局域網(wǎng)設備，就可以訪問網(wǎng)絡中的設備或資源，為加強網(wǎng)絡資源的安全和運營管理，很多情況下需要對用戶的訪問進行控制，而8021x和PPPoE等訪問控制方式，都需要客戶端的配合。

Portal認證技術(shù)則提供一種靈活的訪問控制方式，不需要安裝客戶端；可定制個性化認證頁面，可在Portal頁面上開展廣告頁面、信息發(fā)布等內(nèi)容；可基于VLAN id/IP/MAC的捆綁來認證；采用server和client之間，BAS和client之間定期交互檢測是否斷網(wǎng)；因此目前急需一種基于portal協(xié)議的增強型接入控制設備。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足，提供一種基于portal協(xié)議的增強型接入控制設備，該基于portal協(xié)議的增強型接入控制設備可以很好地解決上述問題。

為達到上述要求，本發(fā)明采取的技術(shù)方案是：提供一種基于portal協(xié)議的增強型接入控制設備，該基于portal協(xié)議的增強型接入控制設備包括相互之間信號連接的HTTP/HTTPS請求重定向模塊、網(wǎng)絡訪問控制模塊、支持portal協(xié)議認證的認證模塊及用戶管理模塊；網(wǎng)絡訪問控制模塊通過配置對應規(guī)則，用于管理未認證用戶、已認證用戶、白名單、黑名單、HTTP及HTTPS的抓??；HTTP/HTTPS重定向模塊與所述網(wǎng)絡訪問控制模塊配合完成對到達設備的未認證用戶HTTP/HTTPS請求的強制重定向；用戶管理模塊用于對用戶的上下線管理及在線用戶的檢測。

該基于portal協(xié)議的增強型接入控制設備具有的優(yōu)點如下：

該基于portal協(xié)議的增強型接入控制設備可以實現(xiàn)用戶網(wǎng)絡訪問的控制及認證功能；對于未認證用戶，將其HTTP/HTTPS請求強制重定向到portal server上，并對于已認證用戶提供正常的網(wǎng)絡訪問，并對其提供靈活可靠的在線檢測機制。

附圖說明

此處所說明的附圖用來提供對本申請的進一步理解，構(gòu)成本申請的一部分，在這些附圖中使用相同的參考標號來表示相同或相似的部分，本申請的示意性實施例及其說明用于解釋本申請，并不構(gòu)成對本申請的不當限定。在附圖中：

圖1示意性地示出了根據(jù)本申請一個實施例的基于portal協(xié)議的增強型接入控制設備的portal認證流程圖。

圖2示意性地示出了根據(jù)本申請一個實施例的基于portal協(xié)議的增強型接入控制設備的HTTP/HTTPS重定向模塊處理框圖。

圖3示意性地示出了根據(jù)本申請一個實施例的基于portal協(xié)議的增強型接入控制設備的TCAM分區(qū)規(guī)劃圖。

具體實施方式

為使本申請的目的、技術(shù)方案和優(yōu)點更加清楚，以下結(jié)合附圖及具體實施例，對本申請作進一步地詳細說明。

在以下描述中，對“一個實施例”、“實施例”、“一個示例”、“示例”等等的引用表明如此描述的實施例或示例可以包括特定特征、結(jié)構(gòu)、特性、性質(zhì)、元素或限度，但并非每個實施例或示例都必然包括特定特征、結(jié)構(gòu)、特性、性質(zhì)、元素或限度。另外，重復使用短語“根據(jù)本申請的一個實施例”雖然有可能是指代相同實施例，但并非必然指代相同的實施例。

為簡單起見，以下描述中省略了本領(lǐng)域技術(shù)人員公知的某些技術(shù)特征。

根據(jù)本申請的一個實施例，提供一種基于portal協(xié)議的增強型接入控制設備，如圖1至圖2所示，包括HTTP/HTTPS請求重定向模塊、網(wǎng)絡訪問控制模塊、認證模塊、用戶管理模塊等，可支持portal協(xié)議認證的使用環(huán)境。

該設備的網(wǎng)絡訪問控制模塊通過配置對應規(guī)則，用于管理未認證用戶、已認證用戶、白名單、黑名單、HTTP和HTTPS抓取。其中規(guī)則使用交換芯片硬件TCAM表實現(xiàn)，利用交換芯片TCAM表的優(yōu)先級特性，通過對表的分區(qū)使用來實現(xiàn)各種規(guī)則。由于使用了硬件實現(xiàn)網(wǎng)絡訪問控制功能，對于各規(guī)則的查找匹配動作由交換芯片實現(xiàn)，該設備的網(wǎng)絡訪問控制不會影響用戶的數(shù)據(jù)通信性能，TCAM分區(qū)規(guī)劃使用如圖3。

根據(jù)本申請的一個實施例，該基于portal協(xié)議的增強型接入控制設備的HTTP/HTTPS重定向模塊與網(wǎng)絡訪問控制模塊配合完成對到達設備的未認證用戶HTTP/HTTPS請求的強制重定向動作。網(wǎng)絡訪問控制模塊通過交換芯片硬件表項將HTTP/HTTPS報文(已認證用戶的HTTP/HTTPS報文通過匹配認證規(guī)則已經(jīng)通過，不會被抓取到)抓取上CPU。重定向模塊對抓取到的報文進行目的地址轉(zhuǎn)換操作，將目的地址轉(zhuǎn)換為交換機地址。由設備內(nèi)置的web server仿冒用戶的目的站點與用戶建立TCP握手，并向用戶回復HTTP 302重定向報文，將用戶重定向到portal server。其中，對于HTTPS請求，除仿冒TCP握手之外，還將仿冒用戶目的站點與用戶建立SSL握手。同時，在進行目的地址轉(zhuǎn)換時，將目的端口由常用的80、8080、443端口分別轉(zhuǎn)換為20001(HTTP)與20002(HTTPS)，以和設備上原本提供的web服務區(qū)別開來，可同時提供服務。

根據(jù)本申請的一個實施例，該基于portal協(xié)議的增強型接入控制設備的認證模塊支持portal協(xié)議的認證。目前市面上存在V1和V2兩個版本的portal協(xié)議。其中V2版本相對于V1版本，加強了協(xié)議的安全性，提供了更豐富的屬性。但也導致了兩個版本協(xié)議的不兼容。該發(fā)明設備提供對portal協(xié)議V1、V2版本主動識別，增強了對協(xié)議的智能適配。并增加對portal協(xié)議的chap、pap認證方式的智能識別。即該設備可智能的識別處理到達設備的V1、V2版本的pap、chap認證報文，而無需用戶進行特殊的配置。設備對于接收到的portal認證請求，通過radius協(xié)議向遠端的radius server進行認證、授權(quán)、計費操作。

對于portal協(xié)議，該發(fā)明設備進行了屬性增強。為了加強portal協(xié)議的安全性，防重放攻擊，該發(fā)明設備在portal協(xié)議報文中添加了時間戳屬性。當開啟時間戳屬性時，設備僅處理報文中時間戳中時間與當前時刻足夠近的報文。發(fā)送portal協(xié)議報文時，也將在報文中添加時間戳屬性。時間戳屬性與portal協(xié)議報文中的校驗字、序號配合使用，可有效的預防重放攻擊。同時對于時間戳的檢查可自由配置，以靈活適配網(wǎng)絡環(huán)境。當網(wǎng)絡環(huán)境延遲較高時，可擴大檢查時間窗。當需要更好的安全防護時，可縮小檢查時間窗，提高防重放攻擊能力。

根據(jù)本申請的一個實施例，該基于portal協(xié)議的增強型接入控制設備的用戶管理模塊可提供對用戶的上下線管理及在線用戶的檢測等功能。其中，設備提供用戶強制上線、下線、禁止登錄等管理功能。在實際的網(wǎng)絡環(huán)境中，用戶可能由于各種原因?qū)е庐惓Ｏ戮€，如終端崩潰、網(wǎng)絡故障、IP地址切換、用戶轉(zhuǎn)移等。為應對以上問題，本發(fā)明設備提供了靈活可靠的在線用戶檢測機制。同時提供基于ICMP回顯請求的用戶檢測和基于流量的用戶檢測功能。

基于ICMP回顯請求的用戶檢測通過在設備中開啟一個在線檢測服務，周期性的給各在線用戶發(fā)送ICMP回顯請求，檢測是否收到用戶的ICMP回顯應答報文。若連續(xù)多次未收到應答報文，則認為用戶下線，設備將清理用戶規(guī)則，并通告portal server和radius server用戶異常下線。

基于流量的用戶檢測也使用設備中的在線檢測服務，周期性的檢測各個在線用戶流經(jīng)設備的流量。若在一定周期內(nèi)，連續(xù)多次檢測到用戶無流量流經(jīng)設備，則認為用戶處于空閑狀態(tài)或已經(jīng)下線，設備將清理用戶規(guī)則，并通告portal server和radius server用戶異常下線。

實際環(huán)境中，部分用戶終端的防火墻禁止了ICMP回顯請求。本發(fā)明設備可智能識別防火墻是否禁止ICMP回顯請求并采取不同的檢測機制。當用戶認證通過且已經(jīng)下發(fā)規(guī)則后，設備將向用戶發(fā)起ICMP回顯請求，若前幾次請求收到應答，則認為用戶可PING，若前次請求沒有收到應答，則認為用戶不可PING。對于可PING的用戶，采用基于ICMP回顯請求的用戶檢測。對于不可PING的用戶，采用基于流量的用戶檢測。

根據(jù)本申請的一個實施例，該基于portal協(xié)議的增強型接入控制設備可以包含如下部分：用戶終端、接入控制設備、portal server、RADIUS server等幾個模塊，其中：

用戶終端：用戶客戶端，一般為http瀏覽器，通常在各支持web訪問的平臺上都提供該客戶端。

接入控制設備：寬帶接入服務器，即BAS。用戶接入服務設備，實現(xiàn)用戶的匯聚、認證、計費等服務。

Portal server：提供Web認證的認證界面和相關(guān)操作。Portal Server接受認證客戶端發(fā)出的基于HTTP的認證請求，提取其中的賬號信息，將此信息發(fā)送到接入設備，同時根據(jù)接入設備反饋的認證結(jié)果，通過頁面反饋給用戶。

RADIUS server：提供基于RADIUS協(xié)議的遠程用戶認證。

基于portal協(xié)議的增強型接入控制設備在控制無線終端接入網(wǎng)絡認證流程如下：

s1、用戶使用手機搜索連接到無線接入AP對應的SSID，獲取IP地址，該IP地址可以由AC分配，也可以通過匯聚交換機做DHCP中繼，由全網(wǎng)統(tǒng)一規(guī)劃的DHCP服務器統(tǒng)一分配一個IP地址；

s2、手機獲取到IP地址后，通過瀏覽器訪問網(wǎng)頁。HTTP報文到達BAS后被截獲并仿冒目的端完成TCP握手。BAS向手機回復一個HTTP302重定向到portal服務器的報文；

s3、手機瀏覽器根據(jù)重定向報文訪問portal服務器。獲取portal服務器推送的認證頁面。用戶在該頁面輸入賬號和口令后提交認證請求，portal服務器解析處理用戶信息后，將其使用portal協(xié)議封裝后回傳給BAS；

s4、BAS首先對用戶的合法性進行檢查，然后將用戶輸入的帳號和口令通過RADIUS協(xié)議發(fā)給RADIUS服務器對用戶進行認證；

s5、RADIUS服務器將該用戶的認證結(jié)果告知BAS，若認證通過，匯聚交換機將修改ACL規(guī)則，在ACL表中為該用戶添加一條允許轉(zhuǎn)發(fā)的規(guī)則。若認證未通過，則不修改任何配置。認證完后，將認證結(jié)果返回portal服務器；

s6、Portal服務器為用戶推送認證完成頁面(包括認證通過與未通過)，認證結(jié)束；

s7、用戶離開網(wǎng)絡前，可在portal推送的登陸成功頁面點擊“斷開網(wǎng)絡”按鈕，將觸發(fā)下線流程，匯聚交換機將刪除用戶的ACL規(guī)則，并結(jié)束radius計費。

以上所述實施例僅表示本發(fā)明的幾種實施方式，其描述較為具體和詳細，但并不能理解為對本發(fā)明范圍的限制。應當指出的是，對于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進，這些都屬于本發(fā)明保護范圍。因此本發(fā)明的保護范圍應該以所述權(quán)利要求為準。