專利名稱:門戶認證方法和系統(tǒng)的制作方法
技術(shù)領域:
本發(fā)明涉及IT設備認證技術(shù)領域��,特別涉及一種基于網(wǎng)絡地址轉(zhuǎn)換444(NetWOrkAddress Translation 444, NAT444)的門戶(Portal)認證方法和系統(tǒng)��。
背景技術(shù):
隨著公有IPv4地址即將枯竭�,IPV6技術(shù)還未能成熟商用,NAT444技術(shù)是公認的過渡技術(shù)之一�。
NAT444方案主要思想是將NAT44部署位置提高,由運營商部署運營級NAT44設備CGN,同時與用戶側(cè)的NAT組成兩級地址轉(zhuǎn)換����,形成三塊地址空間���,即用戶側(cè)私有地址、運營商私有地址�、公網(wǎng)地址。這也是NAT444名稱的由來�。NAT444方案可以提高IPv4地址的復用率����,緩解地址枯竭問題,而且便于部署����,只需在匯聚層或者核心層增加CGN設備即可,無需進行較大規(guī)模的設備替換����。從用戶感知度、技術(shù)成熟度和部署難易度等方面考慮�����,NAT444是目前比較好的方案�����。
目前,WLAN(Wireless Local Area Networks,無線局域網(wǎng)絡)Portal 流程圖如圖1所示�����,主要包括:終端獲取公網(wǎng)IP地址后��,發(fā)起對應的HTTP (HyperText TransferProtocol,超文本傳輸協(xié)議)請求(步驟 102) ;BRAS (Broadband Remote Access Server,寬帶遠程接入服務器)將終端的HTTP請求重定向到Portal地址(步驟104);終端將Portal頁面上輸入的用戶名����、密碼等參數(shù)發(fā)送到Portal,發(fā)起認證請求(步驟106) ;Portal根據(jù)終端的公網(wǎng)IP地址獲得BRAS設備地址,將用戶名密碼等參數(shù)通過接口傳遞給BRAS設備(步驟108) ���;BRAS設備向AAA發(fā)起認證請求(步驟110) ����;AAA回應認證結(jié)果給BRAS設備(步驟112) ;BRAS設備回應認證結(jié)果給Portal (步驟114) ;Portal展示認證結(jié)果頁面給終端(步驟116)��。
在NAT444環(huán)境下,用戶通過WLan Portal認證上網(wǎng)時,無線網(wǎng)卡首先會獲取一個IP地址�����,該地址是私網(wǎng)IP地址���。當用戶訪問Portal頁面的時候�,Portal服務器獲取到的是該私網(wǎng)IP經(jīng)過NAT以后的公網(wǎng)IP地址。此時WLAN Portal無法知曉用戶是從哪臺BRAS接入的�����,后續(xù)Portal和BRAS交互的流程也就無法運行�,因此無法和BRAS設備進行交換完成認證。發(fā)明內(nèi)容
本發(fā)明的發(fā)明人發(fā)現(xiàn)上述現(xiàn)有技術(shù)中存在問題���,并因此針對所述問題中的至少一個問題提出了一種新的技術(shù)方案。
本發(fā)明的一個目的是提供一種用于基于NAT444的Portal認證的技術(shù)方案�����。
根據(jù)本發(fā)明的第一方面���,提供了一種基于NAT444的Portal認證方法��,包括:BRAS設備將終端的HTTP請求重定向到Portal地址�����,并攜帶終端的私網(wǎng)IP地址�����;終端根據(jù)Portal地址攜帶終端的私網(wǎng)IP地址訪問Portal ;Portal根據(jù)終端的私網(wǎng)IP地址獲得BRAS設備地址��;Portal根據(jù)BRAS設備地址向BRAS設備發(fā)起認證請求��;BRAS設備向Portal返回認證結(jié)果以便展示給終端�����。
可選地��,Portal根據(jù)終端的私網(wǎng)IP地址獲得BRAS設備地址包括:Portal根據(jù)預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系獲得與終端的私網(wǎng)IP地址對應的BRAS設備地址����;預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系中一個私網(wǎng)IP地址對應唯——個BRAS設備地址。
可選地�����,Portal根據(jù)BRAS設備地址向BRAS設備發(fā)起認證請求包括:Portal推送統(tǒng)一認證頁面給終端���;Portal接收來自終端的通過統(tǒng)一認證頁面輸入的用戶名和密碼�����;Portal根據(jù)BRAS設備地址向BRAS設備發(fā)起認證請求��,認證請求中包括用戶名和密碼以及終端的私網(wǎng)IP地址����。
可選地,BRAS設備向Portal返回認證結(jié)果包括:BRAS設備向AAA發(fā)起認證請求����;AAA返回認證結(jié)果給BRAS設備;BRAS設備將認證結(jié)果發(fā)給Portal��。
可選地�����,通過UserIP字段攜帶終端的私網(wǎng)IP地址��。
根據(jù)本發(fā)明的另一方面��,提供一種基于NAT444的Portal認證系統(tǒng)��,包括:BRAS設備�,用于接收來自終端的HTTP請求���,將終端的HTTP請求重定向到Portal地址并攜帶終端的私網(wǎng)IP地址����,以便終端向Portal發(fā)送攜帶終端的私網(wǎng)IP地址訪問請求;接收來自Portal的認證請求�,向Portal返回認證結(jié)果;Portal,用于接收來自終端的攜帶終端的私網(wǎng)IP地址的訪問請求��,根據(jù)預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系獲得與終端的私網(wǎng)IP地址對應的BRAS設備地址�����;根據(jù)BRAS設備地址向BRAS設備發(fā)起認證請求�,接收來自BRAS設備的認證結(jié)果以便展示給終端。
可選地���,預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系中一個私網(wǎng)IP地址對應唯——個BRAS設備地址���。
可選地,Portal接收來自終端的攜帶終端的私網(wǎng)IP地址的訪問請求后�����,推送統(tǒng)一認證頁面給終端�����;接收來自終端的通過統(tǒng)一認證頁面輸入的用戶名和密碼,根據(jù)BRAS設備地址向BRAS設備發(fā)起認證請求���,認證請求中包括用戶名和密碼���。
可選地,BRAS設備向AAA發(fā)起認證請求,接收AAA返回的認證結(jié)果,將認證結(jié)果發(fā)給 Portal。
可選地�,通過UserIP字段攜帶終端的私網(wǎng)IP地址。
本發(fā)明的一個優(yōu)點在于�����,通過BRAS設備和Portal服務器實現(xiàn)了基于NAT444Portal的認證���,能較快速地部署應用����。
通過以下參照附圖對本發(fā)明的示例性實施例的詳細描述����,本發(fā)明的其它特征及其優(yōu)點將會變得清楚����。
構(gòu)成說明書的一部分的附圖描述了本發(fā)明的實施例��,并且連同說明書一起用于解釋本發(fā)明的原理��。
參照附圖���,根據(jù)下面的詳細描述,可以更加清楚地理解本發(fā)明�,其中:
圖1示出現(xiàn)有技術(shù)中WLAN Portal認證的流程圖2示出本發(fā)明基于NAT444的WLAN Portal認證方法的一個實施例的流程圖3示出本發(fā)明基于NAT444的WLAN Portal認證方法的另一個實施例的流程圖4為BRAS在HTTP報文里封裝UserIp字段的報文示例;
圖5示出包括UserIP字段的認證報文的例子�。
具體實施方式
現(xiàn)在將參照附圖來詳細描述本發(fā)明的各種示例性實施例。應注意到:除非另外具體說明����,否則在這些實施例中闡述的部件和步驟的相對布置、數(shù)字表達式和數(shù)值不限制本發(fā)明的范圍����。
同時,應當明白�����,為了便于描述���,附圖中所示出的各個部分的尺寸并不是按照實際的比例關(guān)系繪制的����。
以下對至少一個示例性實施例的描述實際上僅僅是說明性的,決不作為對本發(fā)明及其應用或使用的任何限制��。
對于相關(guān)領域普通技術(shù)人員已知的技術(shù)���、方法和設備可能不作詳細討論��,但在適當情況下�����,所述技術(shù)����、方法和設備應當被視為授權(quán)說明書的一部分�����。
在這里示出和討論的所有示例中���,任何具體值應被解釋為僅僅是示例性的,而不是作為限制。因此��,示例性實施例的其它示例可以具有不同的值���。
應注意到:相似的標號和字母在下面的附圖中表示類似項�����,因此�����,一旦某一項在一個附圖中被定義��,則在隨后的附圖中不需要對其進行進一步討論��。
圖2示出本發(fā)明基于NAT444的WLAN Portal認證方法的一個實施例的流程圖���。
如圖2所示,步驟202�,BRAS設備將終端的HTTP請求重定向到Portal地址,并攜帶終端的私網(wǎng)IP地址��。NAT444場景下��,用戶到WLAN熱點,獲取的IP地址是私網(wǎng)IP地址����,用戶用這個私網(wǎng)IP上網(wǎng)的時候,訪問請求首先到BRAS設備�����,此時BRAS設備根據(jù)用戶http請求報文可以獲得用戶的私網(wǎng)IP地址��。
步驟204����,終端根據(jù)Portal地址攜帶終端的私網(wǎng)IP地址訪問Portal。
步驟206��,Portal根據(jù)終端的私網(wǎng)IP地址獲得BRAS設備地址��。例如��,Portal根據(jù)預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系獲得與終端的私網(wǎng)IP地址對應的BRAS設備地址�,預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系中一個私網(wǎng)IP地址對應唯 個BRAS設備地址。
步驟208�,Portal根據(jù)BRAS設備地址向BRAS設備發(fā)起認證請求。
步驟210, BRAS設備向Portal返回認證結(jié)果以便展示給終端���。
上述實施例中����,提出一種NAT444場景下WLan Portal認證方法���,能夠解決NAT444場景下��,WLan Portal用戶的接入認證,并能較快速地部署應用��。
在一個實施例中����,在Portal服務器上配置BRAS設備和私網(wǎng)IP地址的映射關(guān)系��,例如���,(BRAS設備地址:地址池起始IP�,地址池結(jié)束IP)的對應表����。WLan Portal根據(jù)來訪的用戶私網(wǎng)IP就能直接定位用戶是從哪臺BRAS設備接入的,將用戶在Portal網(wǎng)頁上輸入的用戶名和密碼通過和BRAS的接口發(fā)送給對應的BRAS設備�����。
圖3示出本發(fā)明基于NAT444的WLAN Portal認證方法的另一個實施例的流程圖。該實施例中提供在認證全流程定義一個屬性攜帶用戶私網(wǎng)IP的解決方案���,該屬性暫定為wlanuserip���。
如圖3所示,步驟302�����,終端獲取要訪問網(wǎng)址的IP地址后�,發(fā)起HTTP請求,HTTP請求中包括終端的私網(wǎng)IP地址���。
步驟304��,HTTP請求到達BRAS設備��,BRAS設備將HTTP請求重定向到Portal頁面����,在重定向地址后攜帶wlanuserip參數(shù)值,該wlanuserip參數(shù)值攜帶終端的私網(wǎng)IP地址�����。
步驟306,終端訪問Portal,攜帶wlanuserip參數(shù)值。
步驟308, Portal獲取wlanuserip,推送統(tǒng)一認證頁面給終端�����。
步驟310�����,終端將用戶在Portal頁面上輸入的用戶名�、密碼等參數(shù)發(fā)送到Portal��,發(fā)起認證請求�。
步驟312, Portal利用wlanuserip確定對應的BRAS設備,向BRAS設備發(fā)起認證請求�,認證請求中包括終端的私網(wǎng)IP地址。
步驟314, BRAS 設備向 AAA (Authentication�����、Authorization��、Accounting,驗證�、授權(quán)和記賬)服務器發(fā)起認證請求��。
步驟316����,AAA回應認證結(jié)果給BRAS設備
步驟318, BRAS設備回應認證結(jié)果給Portal�。
步驟320, Portal展示認證結(jié)果頁面給用戶,認證成功則提供攜帶wlanuserip參數(shù)值的下線按鈕或連接���。
上述實施例中��,提供了一種NAT444場景下的WLAN Portal的實現(xiàn)方法�����,該方法通過在BRAS重定向報文中攜帶wlanuserip屬性�,用于傳遞用戶獲取的私網(wǎng)IP屬性����;當用戶訪問Portal認證頁面時,Portal即可獲取該用戶的私網(wǎng)IP,由于Portal平臺在熱點建設和開放的時候已經(jīng)建立了 BRAS設備IP和私網(wǎng)IP地址池的關(guān)聯(lián)關(guān)系�,Portal認證平臺可以通過用戶私網(wǎng)IP確定該用戶的接入設備,從而實現(xiàn)Portal平臺和BRAS設備的交互�����,完成Portal用戶的認證、下線等功能�����。
在NAT444環(huán)境下����,使用本方案解決PC或手機終端通過WLanPortal認證的問題,對BRAS和Portal服務器進行修改:BRAS通過報文字段將終端的私網(wǎng)IP地址攜帶給Portal服務器�,Portal服務器獲得終端的私網(wǎng)IP地址后����,在發(fā)送認證報文時,把該認證報文的userlp字段填充為終端的私網(wǎng)IP地址�。具體如下:
UBRAS通過命令行定義攜帶終端私網(wǎng)IP地址的字段名稱,默認是wlanuserip字段���。發(fā)送給Portal的報文�����,利用報文的HTTP報文體中的wlanuserip字段�����,將該HTTP字符串內(nèi)包含的IP地址信息配置成為用戶分配的私網(wǎng)IP地址���;
2,Portal服務器根據(jù)HTTP攜帶的wlanuserip字符串獲取用戶的私網(wǎng)IP地址信息����,將用戶的私網(wǎng)IP地址而不是IP報文中的源IP地址(此時該源IP地址已經(jīng)替換為公網(wǎng)IP地址)封裝在認證請求報文中發(fā)送給BRAS�。
在設備重定向用戶請求時,由BRAS構(gòu)造以下HTTP重定向報文返回給用戶瀏覽器:
BRAS在HTTP報文里封裝UserIp字段:
權(quán)利要求
1.一種基于NAT444的門戶(Portal)認證方法,其特征在于,包括: 寬帶遠程接入服務器(BRAS)設備將終端的HTTP請求重定向到Portal地址��,并攜帶所述終端的私網(wǎng)IP地址�; 所述終端根據(jù)所述Portal地址攜帶所述終端的私網(wǎng)IP地址訪問Portal ; 所述Portal根據(jù)所述終端的私網(wǎng)IP地址獲得BRAS設備地址��; 所述Portal根據(jù)所述BRAS設備地址向BRAS設備發(fā)起認證請求���; 所述BRAS設備向所述Portal返回認證結(jié)果以便展示給所述終端��。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述Portal根據(jù)所述終端的私網(wǎng)IP地址獲得BRAS設備地址包括: 所述Portal根據(jù)預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系獲得與所述終端的私網(wǎng)IP地址對應的BRAS設備地址�����;所述預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系中一個私網(wǎng)IP地址對應唯——個BRAS設備地址。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述Portal根據(jù)所述BRAS設備地址向BRAS設備發(fā)起認證請求包括: 所述Portal推送統(tǒng)一認證頁面給所述終端��; 所述Portal接收來自所述終端的通過所述統(tǒng)一認證頁面輸入的用戶名和密碼���; 所述Portal根據(jù)所述BRAS設備地址向BRAS設備發(fā)起認證請求,所述認證請求中包括所述用戶名和密碼以及所述終端的私網(wǎng)IP地址��。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述BRAS設備向所述Portal返回認證結(jié)果包括: 所述BRAS設備向AAA發(fā)起認證請求�����; 所述AAA返回認證結(jié)果給所述BRAS設備����; 所述BRAS設備將所述認證結(jié)果發(fā)給所述Portal。
5.根據(jù)權(quán)利要求1至4中任意一項所述的方法���,其特征在于��,通過UserIP字段攜帶所述終端的私網(wǎng)IP地址����。
6.一種基于NAT444的門戶( Portal)認證系統(tǒng)����,其特征在于,包括: 寬帶遠程接入服務器(BRAS)設備��,用于接收來自終端的HTTP請求����,將所述終端的HTTP請求重定向到Portal地址并攜帶所述終端的私網(wǎng)IP地址,以便所述終端向所述Portal發(fā)送攜帶所述終端的私網(wǎng)IP地址訪問請求�����;接收來自Portal的認證請求��,向所述Portal返回認證結(jié)果��; 所述Portal,用于接收來自所述終端的攜帶所述終端的私網(wǎng)IP地址的訪問請求���,根據(jù)預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系獲得與所述終端的私網(wǎng)IP地址對應的BRAS設備地址���;根據(jù)所述BRAS設備地址向BRAS設備發(fā)起認證請求,接收來自所述BRAS設備的認證結(jié)果以便展示給所述終端�。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于���,所述預配置的私網(wǎng)IP地址和BRAS設備地址的對應關(guān)系中一個私網(wǎng)IP地址對應唯——個BRAS設備地址�。
8.根據(jù)權(quán)利要求6所述的系統(tǒng)�,其特征在于,所述Portal接收來自所述終端的攜帶所述終端的私網(wǎng)IP地址的訪問請求后�,推送統(tǒng)一認證頁面給所述終端;接收來自所述終端的通過所述統(tǒng)一認證頁面輸入的用戶名和密碼��,根據(jù)所述BRAS設備地址向BRAS設備發(fā)起認證請求�,所述認證請求中包括所述用戶名和密碼以及所述終端的私網(wǎng)IP地址。
9.根據(jù)權(quán)利要求6所述的系統(tǒng)���,其特征在于,所述BRAS設備向AAA發(fā)起認證請求�����,接收所述AAA返回的認證結(jié)果,將所述認證結(jié)果發(fā)給所述Portal����。
10.根據(jù)權(quán)利要求6至9中任意一項所述的系統(tǒng),其特征在于�����,通過UserIP字段攜帶所述終端的私網(wǎng)IP地址�。
全文摘要
本發(fā)明公開了一種基于網(wǎng)絡地址轉(zhuǎn)換444的Portal認證方法和系統(tǒng),涉及IT設備認證技術(shù)領域�����。通過在BRAS重定向報文中攜帶wlanuserip屬性�,用于傳遞用戶獲取的私網(wǎng)IP屬性,當用戶訪問Portal認證頁面時����,Portal即可獲取該用戶的私網(wǎng)IP,由于Portal平臺在熱點建設和開放的時候已經(jīng)建立了BRAS設備IP和私網(wǎng)IP地址池的關(guān)聯(lián)關(guān)系���,Portal認證平臺可以通過用戶私網(wǎng)IP確定該用戶的接入設備�����,從而實現(xiàn)Portal平臺和BRAS設備的交互��,完成Portal用戶的認證����、下線等功能。
文檔編號H04L29/12GK103209159SQ20121000973
公開日2013年7月17日 申請日期2012年1月13日 優(yōu)先權(quán)日2012年1月13日
發(fā)明者徐良紅 申請人:中國電信股份有限公司