亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的制作方法

文檔序號(hào):12729701閱讀:235來(lái)源:國(guó)知局
基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的制作方法與工藝

本發(fā)明涉及接入控制技術(shù)領(lǐng)域,具體涉及一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備。



背景技術(shù):

Portal認(rèn)證通常也稱為Web認(rèn)證,一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。未認(rèn)證用戶上網(wǎng)時(shí),設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn),用戶可以免費(fèi)訪問(wèn)其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí),必須在門戶網(wǎng)站進(jìn)行認(rèn)證,只有認(rèn)證通過(guò)后才可以使用互聯(lián)網(wǎng)資源。

在傳統(tǒng)的組網(wǎng)環(huán)境中,用戶只要能接入局域網(wǎng)設(shè)備,就可以訪問(wèn)網(wǎng)絡(luò)中的設(shè)備或資源,為加強(qiáng)網(wǎng)絡(luò)資源的安全和運(yùn)營(yíng)管理,很多情況下需要對(duì)用戶的訪問(wèn)進(jìn)行控制,而8021x和PPPoE等訪問(wèn)控制方式,都需要客戶端的配合。

Portal認(rèn)證技術(shù)則提供一種靈活的訪問(wèn)控制方式,不需要安裝客戶端;可定制個(gè)性化認(rèn)證頁(yè)面,可在Portal頁(yè)面上開(kāi)展廣告頁(yè)面、信息發(fā)布等內(nèi)容;可基于VLAN id/IP/MAC的捆綁來(lái)認(rèn)證;采用server和client之間,BAS和client之間定期交互檢測(cè)是否斷網(wǎng);因此目前急需一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備。



技術(shù)實(shí)現(xiàn)要素:

本發(fā)明的目的在于針對(duì)現(xiàn)有技術(shù)的不足,提供一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備,該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備可以很好地解決上述問(wèn)題。

為達(dá)到上述要求,本發(fā)明采取的技術(shù)方案是:提供一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備,該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備包括相互之間信號(hào)連接的HTTP/HTTPS請(qǐng)求重定向模塊、網(wǎng)絡(luò)訪問(wèn)控制模塊、支持portal協(xié)議認(rèn)證的認(rèn)證模塊及用戶管理模塊;網(wǎng)絡(luò)訪問(wèn)控制模塊通過(guò)配置對(duì)應(yīng)規(guī)則,用于管理未認(rèn)證用戶、已認(rèn)證用戶、白名單、黑名單、HTTP及HTTPS的抓?。籋TTP/HTTPS重定向模塊與所述網(wǎng)絡(luò)訪問(wèn)控制模塊配合完成對(duì)到達(dá)設(shè)備的未認(rèn)證用戶HTTP/HTTPS請(qǐng)求的強(qiáng)制重定向;用戶管理模塊用于對(duì)用戶的上下線管理及在線用戶的檢測(cè)。

該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備具有的優(yōu)點(diǎn)如下:

該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備可以實(shí)現(xiàn)用戶網(wǎng)絡(luò)訪問(wèn)的控制及認(rèn)證功能;對(duì)于未認(rèn)證用戶,將其HTTP/HTTPS請(qǐng)求強(qiáng)制重定向到portal server上,并對(duì)于已認(rèn)證用戶提供正常的網(wǎng)絡(luò)訪問(wèn),并對(duì)其提供靈活可靠的在線檢測(cè)機(jī)制。

附圖說(shuō)明

此處所說(shuō)明的附圖用來(lái)提供對(duì)本申請(qǐng)的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,在這些附圖中使用相同的參考標(biāo)號(hào)來(lái)表示相同或相似的部分,本申請(qǐng)的示意性實(shí)施例及其說(shuō)明用于解釋本申請(qǐng),并不構(gòu)成對(duì)本申請(qǐng)的不當(dāng)限定。在附圖中:

圖1示意性地示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的portal認(rèn)證流程圖。

圖2示意性地示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的HTTP/HTTPS重定向模塊處理框圖。

圖3示意性地示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的TCAM分區(qū)規(guī)劃圖。

具體實(shí)施方式

為使本申請(qǐng)的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,以下結(jié)合附圖及具體實(shí)施例,對(duì)本申請(qǐng)作進(jìn)一步地詳細(xì)說(shuō)明。

在以下描述中,對(duì)“一個(gè)實(shí)施例”、“實(shí)施例”、“一個(gè)示例”、“示例”等等的引用表明如此描述的實(shí)施例或示例可以包括特定特征、結(jié)構(gòu)、特性、性質(zhì)、元素或限度,但并非每個(gè)實(shí)施例或示例都必然包括特定特征、結(jié)構(gòu)、特性、性質(zhì)、元素或限度。另外,重復(fù)使用短語(yǔ)“根據(jù)本申請(qǐng)的一個(gè)實(shí)施例”雖然有可能是指代相同實(shí)施例,但并非必然指代相同的實(shí)施例。

為簡(jiǎn)單起見(jiàn),以下描述中省略了本領(lǐng)域技術(shù)人員公知的某些技術(shù)特征。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例,提供一種基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備,如圖1至圖2所示,包括HTTP/HTTPS請(qǐng)求重定向模塊、網(wǎng)絡(luò)訪問(wèn)控制模塊、認(rèn)證模塊、用戶管理模塊等,可支持portal協(xié)議認(rèn)證的使用環(huán)境。

該設(shè)備的網(wǎng)絡(luò)訪問(wèn)控制模塊通過(guò)配置對(duì)應(yīng)規(guī)則,用于管理未認(rèn)證用戶、已認(rèn)證用戶、白名單、黑名單、HTTP和HTTPS抓取。其中規(guī)則使用交換芯片硬件TCAM表實(shí)現(xiàn),利用交換芯片TCAM表的優(yōu)先級(jí)特性,通過(guò)對(duì)表的分區(qū)使用來(lái)實(shí)現(xiàn)各種規(guī)則。由于使用了硬件實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制功能,對(duì)于各規(guī)則的查找匹配動(dòng)作由交換芯片實(shí)現(xiàn),該設(shè)備的網(wǎng)絡(luò)訪問(wèn)控制不會(huì)影響用戶的數(shù)據(jù)通信性能,TCAM分區(qū)規(guī)劃使用如圖3。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例,該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的HTTP/HTTPS重定向模塊與網(wǎng)絡(luò)訪問(wèn)控制模塊配合完成對(duì)到達(dá)設(shè)備的未認(rèn)證用戶HTTP/HTTPS請(qǐng)求的強(qiáng)制重定向動(dòng)作。網(wǎng)絡(luò)訪問(wèn)控制模塊通過(guò)交換芯片硬件表項(xiàng)將HTTP/HTTPS報(bào)文(已認(rèn)證用戶的HTTP/HTTPS報(bào)文通過(guò)匹配認(rèn)證規(guī)則已經(jīng)通過(guò),不會(huì)被抓取到)抓取上CPU。重定向模塊對(duì)抓取到的報(bào)文進(jìn)行目的地址轉(zhuǎn)換操作,將目的地址轉(zhuǎn)換為交換機(jī)地址。由設(shè)備內(nèi)置的web server仿冒用戶的目的站點(diǎn)與用戶建立TCP握手,并向用戶回復(fù)HTTP 302重定向報(bào)文,將用戶重定向到portal server。其中,對(duì)于HTTPS請(qǐng)求,除仿冒TCP握手之外,還將仿冒用戶目的站點(diǎn)與用戶建立SSL握手。同時(shí),在進(jìn)行目的地址轉(zhuǎn)換時(shí),將目的端口由常用的80、8080、443端口分別轉(zhuǎn)換為20001(HTTP)與20002(HTTPS),以和設(shè)備上原本提供的web服務(wù)區(qū)別開(kāi)來(lái),可同時(shí)提供服務(wù)。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例,該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的認(rèn)證模塊支持portal協(xié)議的認(rèn)證。目前市面上存在V1和V2兩個(gè)版本的portal協(xié)議。其中V2版本相對(duì)于V1版本,加強(qiáng)了協(xié)議的安全性,提供了更豐富的屬性。但也導(dǎo)致了兩個(gè)版本協(xié)議的不兼容。該發(fā)明設(shè)備提供對(duì)portal協(xié)議V1、V2版本主動(dòng)識(shí)別,增強(qiáng)了對(duì)協(xié)議的智能適配。并增加對(duì)portal協(xié)議的chap、pap認(rèn)證方式的智能識(shí)別。即該設(shè)備可智能的識(shí)別處理到達(dá)設(shè)備的V1、V2版本的pap、chap認(rèn)證報(bào)文,而無(wú)需用戶進(jìn)行特殊的配置。設(shè)備對(duì)于接收到的portal認(rèn)證請(qǐng)求,通過(guò)radius協(xié)議向遠(yuǎn)端的radius server進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)操作。

對(duì)于portal協(xié)議,該發(fā)明設(shè)備進(jìn)行了屬性增強(qiáng)。為了加強(qiáng)portal協(xié)議的安全性,防重放攻擊,該發(fā)明設(shè)備在portal協(xié)議報(bào)文中添加了時(shí)間戳屬性。當(dāng)開(kāi)啟時(shí)間戳屬性時(shí),設(shè)備僅處理報(bào)文中時(shí)間戳中時(shí)間與當(dāng)前時(shí)刻足夠近的報(bào)文。發(fā)送portal協(xié)議報(bào)文時(shí),也將在報(bào)文中添加時(shí)間戳屬性。時(shí)間戳屬性與portal協(xié)議報(bào)文中的校驗(yàn)字、序號(hào)配合使用,可有效的預(yù)防重放攻擊。同時(shí)對(duì)于時(shí)間戳的檢查可自由配置,以靈活適配網(wǎng)絡(luò)環(huán)境。當(dāng)網(wǎng)絡(luò)環(huán)境延遲較高時(shí),可擴(kuò)大檢查時(shí)間窗。當(dāng)需要更好的安全防護(hù)時(shí),可縮小檢查時(shí)間窗,提高防重放攻擊能力。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例,該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備的用戶管理模塊可提供對(duì)用戶的上下線管理及在線用戶的檢測(cè)等功能。其中,設(shè)備提供用戶強(qiáng)制上線、下線、禁止登錄等管理功能。在實(shí)際的網(wǎng)絡(luò)環(huán)境中,用戶可能由于各種原因?qū)е庐惓O戮€,如終端崩潰、網(wǎng)絡(luò)故障、IP地址切換、用戶轉(zhuǎn)移等。為應(yīng)對(duì)以上問(wèn)題,本發(fā)明設(shè)備提供了靈活可靠的在線用戶檢測(cè)機(jī)制。同時(shí)提供基于ICMP回顯請(qǐng)求的用戶檢測(cè)和基于流量的用戶檢測(cè)功能。

基于ICMP回顯請(qǐng)求的用戶檢測(cè)通過(guò)在設(shè)備中開(kāi)啟一個(gè)在線檢測(cè)服務(wù),周期性的給各在線用戶發(fā)送ICMP回顯請(qǐng)求,檢測(cè)是否收到用戶的ICMP回顯應(yīng)答報(bào)文。若連續(xù)多次未收到應(yīng)答報(bào)文,則認(rèn)為用戶下線,設(shè)備將清理用戶規(guī)則,并通告portal server和radius server用戶異常下線。

基于流量的用戶檢測(cè)也使用設(shè)備中的在線檢測(cè)服務(wù),周期性的檢測(cè)各個(gè)在線用戶流經(jīng)設(shè)備的流量。若在一定周期內(nèi),連續(xù)多次檢測(cè)到用戶無(wú)流量流經(jīng)設(shè)備,則認(rèn)為用戶處于空閑狀態(tài)或已經(jīng)下線,設(shè)備將清理用戶規(guī)則,并通告portal server和radius server用戶異常下線。

實(shí)際環(huán)境中,部分用戶終端的防火墻禁止了ICMP回顯請(qǐng)求。本發(fā)明設(shè)備可智能識(shí)別防火墻是否禁止ICMP回顯請(qǐng)求并采取不同的檢測(cè)機(jī)制。當(dāng)用戶認(rèn)證通過(guò)且已經(jīng)下發(fā)規(guī)則后,設(shè)備將向用戶發(fā)起ICMP回顯請(qǐng)求,若前幾次請(qǐng)求收到應(yīng)答,則認(rèn)為用戶可PING,若前次請(qǐng)求沒(méi)有收到應(yīng)答,則認(rèn)為用戶不可PING。對(duì)于可PING的用戶,采用基于ICMP回顯請(qǐng)求的用戶檢測(cè)。對(duì)于不可PING的用戶,采用基于流量的用戶檢測(cè)。

根據(jù)本申請(qǐng)的一個(gè)實(shí)施例,該基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備可以包含如下部分:用戶終端、接入控制設(shè)備、portal server、RADIUS server等幾個(gè)模塊,其中:

用戶終端:用戶客戶端,一般為http瀏覽器,通常在各支持web訪問(wèn)的平臺(tái)上都提供該客戶端。

接入控制設(shè)備:寬帶接入服務(wù)器,即BAS。用戶接入服務(wù)設(shè)備,實(shí)現(xiàn)用戶的匯聚、認(rèn)證、計(jì)費(fèi)等服務(wù)。

Portal server:提供Web認(rèn)證的認(rèn)證界面和相關(guān)操作。Portal Server接受認(rèn)證客戶端發(fā)出的基于HTTP的認(rèn)證請(qǐng)求,提取其中的賬號(hào)信息,將此信息發(fā)送到接入設(shè)備,同時(shí)根據(jù)接入設(shè)備反饋的認(rèn)證結(jié)果,通過(guò)頁(yè)面反饋給用戶。

RADIUS server:提供基于RADIUS協(xié)議的遠(yuǎn)程用戶認(rèn)證。

基于portal協(xié)議的增強(qiáng)型接入控制設(shè)備在控制無(wú)線終端接入網(wǎng)絡(luò)認(rèn)證流程如下:

s1、用戶使用手機(jī)搜索連接到無(wú)線接入AP對(duì)應(yīng)的SSID,獲取IP地址,該IP地址可以由AC分配,也可以通過(guò)匯聚交換機(jī)做DHCP中繼,由全網(wǎng)統(tǒng)一規(guī)劃的DHCP服務(wù)器統(tǒng)一分配一個(gè)IP地址;

s2、手機(jī)獲取到IP地址后,通過(guò)瀏覽器訪問(wèn)網(wǎng)頁(yè)。HTTP報(bào)文到達(dá)BAS后被截獲并仿冒目的端完成TCP握手。BAS向手機(jī)回復(fù)一個(gè)HTTP302重定向到portal服務(wù)器的報(bào)文;

s3、手機(jī)瀏覽器根據(jù)重定向報(bào)文訪問(wèn)portal服務(wù)器。獲取portal服務(wù)器推送的認(rèn)證頁(yè)面。用戶在該頁(yè)面輸入賬號(hào)和口令后提交認(rèn)證請(qǐng)求,portal服務(wù)器解析處理用戶信息后,將其使用portal協(xié)議封裝后回傳給BAS;

s4、BAS首先對(duì)用戶的合法性進(jìn)行檢查,然后將用戶輸入的帳號(hào)和口令通過(guò)RADIUS協(xié)議發(fā)給RADIUS服務(wù)器對(duì)用戶進(jìn)行認(rèn)證;

s5、RADIUS服務(wù)器將該用戶的認(rèn)證結(jié)果告知BAS,若認(rèn)證通過(guò),匯聚交換機(jī)將修改ACL規(guī)則,在ACL表中為該用戶添加一條允許轉(zhuǎn)發(fā)的規(guī)則。若認(rèn)證未通過(guò),則不修改任何配置。認(rèn)證完后,將認(rèn)證結(jié)果返回portal服務(wù)器;

s6、Portal服務(wù)器為用戶推送認(rèn)證完成頁(yè)面(包括認(rèn)證通過(guò)與未通過(guò)),認(rèn)證結(jié)束;

s7、用戶離開(kāi)網(wǎng)絡(luò)前,可在portal推送的登陸成功頁(yè)面點(diǎn)擊“斷開(kāi)網(wǎng)絡(luò)”按鈕,將觸發(fā)下線流程,匯聚交換機(jī)將刪除用戶的ACL規(guī)則,并結(jié)束radius計(jì)費(fèi)。

以上所述實(shí)施例僅表示本發(fā)明的幾種實(shí)施方式,其描述較為具體和詳細(xì),但并不能理解為對(duì)本發(fā)明范圍的限制。應(yīng)當(dāng)指出的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明保護(hù)范圍。因此本發(fā)明的保護(hù)范圍應(yīng)該以所述權(quán)利要求為準(zhǔn)。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1