专利名称:门户认证方法及接入控制器的制作方法
技术领域:
本发明涉及安全认证技术领域,具体涉及门户认证方法及接入控制器(AC,Access Controller)。
背景技术:
在移动城域网架构中,一般采用门户(Portal)方式来实现用户的安全认证,认证控制点在城域网的接入控制器(AC,Access controller)。无线网络中用户终端上网涉及的Portal认证基本流程如图1所示,包括步骤101 无线用户终端首先关联无线网络,关联成功,向AC发送携带自身介质访问控制(MAC, Media Access Control)地址的动态主机配置协议(DHCP, Dynamic Host Configuration Protocol)请求消息。步骤102 =AC接收DHCP请求消息,为用户终端分配因特网协议(IP,Internet Protocol)地址,将该IP地址携带在DHCP响应消息中返回给用户终端。若AC自身配置了 DHCP模板,则AC自己为用户终端分配IP地址,并将该IP地址携带在DHCP响应消息中返回给用户终端;若采用外挂DHCP服务器,则AC需要将DHCP请求消息转发给DHCP服务器,由DHCP服务器为用户终端分配IP地址,并将该IP地址携带在 DHCP响应消息中返回给AC,AC再将该DHCP响应消息返回给用户终端。步骤103 用户终端发起超文本传输协议(HTTP,Hyper-Text Transfer Protocol) 请求消息。步骤104 :AC接收该HTTP请求消息,将该消息强制重定向到Portal服务器, Portal服务器向用户终端推送认证页面。步骤105 用户在认证页面上输入用户名和密码,Portal服务器将用户名和密码携带在认证请求消息中发送给AC,AC接收该消息后,将用户名和密码封装成远端用户拨入认证服务(RADIUS,Remote Authentication Dial In User Service)报文提交给 RADIUS 服务器。步骤106 =RADIUS服务器对用户进行认证,认证通过,通知AC,AC下发访问控制列表(ACL, Access Control List),允许用户访问网络。针对广域网(WLAN,Wide Local Area Network)用户,用户开机后自动连接无线网络,随后立即发起DHCP请求,获取IP地址。无论用户是否认证,均可获取IP地址,造成地址资源的浪费。尤其目前移动网络针对用户分配的都是公网地址,地址资源相当宝贵,经常出现真正想上网的用户无法获取IP地址,而没有上网需求的用户却无意占用了 IP地址的问题。通常,为了解决用户IP地址紧缺问题,采用网络地址转换(NAT,Network Address Translation)方式。但NAT方式存在一个公网地址对应多个私网地址的问题,无法精确回溯用户。
发明内容
本发明提供portal认证方法及AC,以实现只为上网无线用户分配公网IP地址。本发明的技术方案是这样实现的一种门户认证方法,该方法包括接入控制器AC接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;当AC在用户终端的门户认证过程完成后,强制用户终端断开无线连接;当AC重新接收到用户终端发来的DHCP请求后,确认用户通过认证,则为用户终端分配公网IP地址, 并向远端用户拨入认证服务RADIUS服务器发送计费请求;当AC发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址。所述AC为用户终端分配私网IP地址之后、在用户终端的门户认证过程完成之前进一步包括当AC接收到用户终端发起的超文本传输协议HTTP请求时,将该请求重定向到门户服务器,当接收到门户服务器发来的用户名和密码时,将该用户名和密码封装成RADIUS 报文发送给RADIUS服务器。所述AC为用户终端分配公网IP地址之后、向远端用户拨入认证服务RADIUS服务器发送计费请求之前进一步包括AC向门户服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址,门户服务器接收该地址变更消息,向AC返回地址变更响应消息,同时在自身记录用户终端的用户名、MAC地址和公网IP地址的对应关系,AC接收到该地址变更响应消息后,执行所述向远端用户拨入认证服务RADIUS服务器发送计费请求的动作。所述认证完成,强制用户终端断开无线连接之后进一步包括AC释放为用户终端分配的私网IP地址。当AC上未配置DHCP模块时,所述AC为用户终端分配公网IP地址包括-M将所述DHCP请求转发给DHCP服务器,其中,所述DHCP请求中的接口地址为AC的公网IP地址,DHCP服务器接收该DHCP请求, 分配一个公网IP地址,记录用户终端的MAC地址和用户终端的公网IP地址的对应关系,将该公网IP地址携带在DHCP响应中返回给AC,AC将该DHCP响应转发给用户终端;所述AC释放所述公网IP地址包括-M向DHCP服务器发送DHCP释放消息,该消息携带用户终端的MAC地址,DHCP服务器接收该消息,根据用户终端的MAC地址查找到用户终端的公网IP地址,释放用户终端的公网IP地址。一种 AC,包括地址处理模块接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;否则,为用户终端分配公网IP地址,并向远端用户拨入认证服务RADIUS服务器发送计费请求;当发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址;门户认证协助模块在确认用户终端通过门户认证后,强制用户终端断开无线连接。
所述门户认证协助模块进一步用于,当接收到用户终端发起的HTTP请求时,将该请求重定向到门户服务器,当接收到门户服务器发来的用户名和密码时,将该用户名和密码封装成RADIUS报文发送给RADIUS服务器。 所述地址处理模块进一步用于,当为用户终端分配公网IP地址后,向门户服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址,且当接收到门户服务器返回的地址变更响应消息后,执行所述向远端用户拨入认证服务RADIUS服务器发送计费请求的动作。所述门户认证协助模块进一步用于在强制用户终端断开无线连接之后,向地址处理模块发送释放用户IP地址指示,且,所述地址处理模块接收到所述释放用户IP地址指示后,释放为用户终端分配的私网IP地址。所述AC上未配置有DHCP模块,所述地址处理模块进一步用于,当接收到用户终端发来的DHCP请求时,则将DHCP 请求转发给DHCP服务器,且若为未认证用户,所述DHCP请求中的接口地址为AC的私网IP 地址,否则,所述DHCP请求中的接口地址为AC的公网IP地址;当强制用户终端断开无线连接后,通过向DHCP服务器发送携带用户终端的MAC地址的DHCP释放消息,来释放用户终端的公网IP地址。与现有技术相比,本发明中,只为有上网需求的无线用户分配公网IP地址,且在用户下线后,释放为用户分配的公网IP地址,节约了公网IP地址。
图1为现有的无线网络中用户终端上网涉及的Portal认证示意图;图2为本发明实施例一提供的无线用户终端的Portal认证方法流程图;图3为本发明实施例二提供的无线用户终端的Portal认证消息流程图;图4为本发明实施例提供的无线网络中的AC的组成示意图。
具体实施例方式下面结合附图及具体实施例对本发明再作进一步详细的说明。图2为本发明实施例一提供的无线用户终端的Portal认证消息流程图,如图2所示,其具体步骤如下步骤201 无线用户终端首先关联无线网络,关联成功,向AC发送携带自身MAC地址的DHCP请求消息。步骤202 :AC接收DHCP请求消息,发现为未认证用户,则为用户终端分配私网IP 地址,将该私网IP地址携带在DHCP响应消息中返回给用户终端。AC会维护一张已认证用户名单,若一个用户通过认证,则将用户终端的MAC地址放入该名单中。本步骤中,AC接收DHCP请求消息后,若发现消息中的用户终端的MAC地址不在已认证用户名单,则确认为未认证用户。若AC自身配置了 DHCP模板,则AC自己为用户终端分配私网IP地址,并将该私网 IP地址携带在DHCP响应消息中返回给用户终端;当采用外挂DHCP服务器时,AC起DHCP中继作用,将用户终端发来的DHCP请求消息转发给DHCP服务器,此时,消息中携带的接口地址为AC的私网地址,以确保DHCP服务器为用户终端分配私网IP地址。步骤203 :AC在用户终端的门户认证过程完成后,强制断开用户终端的无线连接。步骤204 :AC重新接收到用户终端发来的DHCP请求消息,发现用户通过认证,则为用户终端分配公网IP地址,将该公网IP地址携带在DHCP响应消息中返回给用户终端,向 RADIUS服务器发送针对该用户终端的计费请求消息。本步骤中,AC接收DHCP请求消息后,若发现消息中的用户终端的MAC地址在已认证用户名单中,则确认用户通过认证。若AC自身配置了 DHCP模板,则AC自己为用户终端分配公网IP地址,并将该公网 IP地址携带在DHCP响应消息中返回给用户终端;若采用外挂DHCP服务器,则AC在接收到 DHCP请求消息后,需要将该消息转发给DHCP服务器,消息中的接口地址为AC的接口的公网 IP地址,以确保DHCP服务器为用户终端分配公网IP地址。步骤205 =AC发现用户下线,向RADIUS服务器发送针对该用户终端的停止计费消息,并强制断开用户终端的无线连接,并释放用户终端的公网IP地址。AC在用户下线后,还要将用户终端的MAC地址从已认证用户名单中删除。用户终端被强制断开无线连接后,会重新关联无线网络并申请IP地址,此时,由于用户又变为未认证用户,因此,AC会为用户终端重新分配私网IP地址。若AC自身配置了 DHCP模块,则AC直接通知DHCP模块释放用户终端的公网IP地址即可;若采用外挂DHCP服务器,则AC仿冒该用户终端向DHCP服务器发送携带用户终端 MAC地址的DHCP释放消息,DHCP服务器接收到该消息后,根据用户终端的MAC地址查找到用户终端的公网IP地址,释放该公网IP地址。图3为本发明实施例二提供的无线用户终端的Portal认证消息流程图,如图3所示,其具体步骤如下步骤301 无线用户终端首先关联无线网络,关联成功,向AC发送携带自身MAC地址的DHCP请求消息。步骤302 :AC接收DHCP请求消息,发现为未认证用户,则为用户终端分配私网IP 地址,将该私网IP地址携带在DHCP响应消息中返回给用户终端。AC会维护一张已认证用户名单,若一个用户通过认证,则将用户终端的MAC地址放入该名单中。本步骤中,AC接收DHCP请求消息后,若发现消息中的用户终端的MAC地址不在已认证用户名单,则确认为未认证用户。若AC自身配置了 DHCP模板,则AC自己为用户终端分配私网IP地址,并将该私网 IP地址携带在DHCP响应消息中返回给用户终端;当采用外挂DHCP服务器时,AC起DHCP中继作用,将用户终端发来的DHCP请求消息转发给DHCP服务器,此时,消息中携带的接口地址为AC的私网地址,以确保DHCP服务器为用户终端分配私网IP地址。步骤303 用户终端随后发起任意HTTP请求消息,AC接收该消息,重定向该消息到 Portal服务器,Portal服务器向用户终端推送认证页面;用户在认证页面上输入用户名和密码,Portal服务器将用户名和密码携带在认证请求消息中发送给AC,AC接收该消息后, 将用户名和密码封装成RADIUS报文提交给RADIUS服务器。步骤304 =RADIUS服务器对用户进行认证,认证通过,通知AC,AC向Portal服务器发送认证成功响应消息,Portal服务器接收该消息,向用户终端推送认证成功页面,并通知 AC用户上线成功。本步骤中,AC还要将用户终端的MAC地址加入到已认证用户名单中。步骤305 =AC强制断开用户终端的无线连接。这里,AC强制断开用户终端的无线连接后,还可以进一步释放用户终端的私网IP 地址。具体地,若AC自身配置了 DHCP模块,则AC直接通知DHCP模块释放用户终端的私网 IP地址即可;若采用外挂DHCP服务器,则AC仿冒该用户终端向DHCP服务器发送携带用户终端MAC地址的DHCP释放消息,DHCP服务器接收到该消息后,根据用户终端的MAC地址查找到用户终端的私网IP地址,释放该私网IP地址。步骤306 用户终端重新关联无线网络,关联成功后,重新向AC发起DHCP请求消息,AC接收该消息,发现用户通过认证,则为用户终端分配公网IP地址,将该公网IP地址携带在DHCP响应消息中返回给用户终端,并记录用户终端的MAC地址和公网IP地址间的对应关系。本步骤中,AC接收DHCP请求消息后,若发现消息中的用户终端的MAC地址在已认证用户名单中,则确认用户通过认证。若AC自身配置了 DHCP模板,则AC自己为用户终端分配公网IP地址,并将该公网 IP地址携带在DHCP响应消息中返回给用户终端;若采用外挂DHCP服务器,则AC在接收到 DHCP请求消息后,需要将该消息转发给DHCP服务器,消息中的接口地址为AC的接口的公网 IP地址,以确保DHCP服务器为用户终端分配公网IP地址。步骤307 =AC向Portal服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址,Portal服务器接收该地址变更消息,向AC返回地址变更响应消息,同时在自身记录用户终端的用户名、MAC地址和公网IP地址的对应关系。步骤308 =AC接收该地址变更响应消息,向RADIUS服务器发送针对该用户终端的计费请求消息。步骤309 =RADIUS服务器接收该计费请求消息,返回计费响应消息。用户开始正常上网。步骤310 用户终端主动发起下线请求消息,该消息携带用户终端的公网IP地址, Portal服务器接收该消息,根据用户终端的公网IP地址查找到用户名,将该用户名携带在下线请求消息中发送中给AC,AC接收该消息,向RADIUS服务器发送携带用户名的停止计费消息,并通知Portal服务器下线成功,然后强制断开用户终端的无线连接。本步骤中,Portal服务器在得知用户下线成功后,要删除用户终端的用户名、MAC 地址和公网IP地址的对应关系;AC在用户下线后,还要将用户终端的MAC地址从已认证用户名单中删除。用户终端被强制断开无线连接后,会重新关联无线网络并申请IP地址,此时,由于用户又变为未认证用户,因此,AC会为用户终端重新分配私网IP地址。步骤311 AC释放用户终端的公网IP地址。若AC自身配置了 DHCP模块,则AC直接通知DHCP模块释放用户终端的公网IP地址即可;若采用外挂DHCP服务器,则AC仿冒该用户终端向DHCP服务器发送携带用户终端 MAC地址的DHCP释放消息,DHCP服务器接收到该消息后,根据用户终端的MAC地址查找到用户终端的公网IP地址,释放该公网IP地址。图4为本发明实施例提供的无线网络中的AC的组成示意图,如图4所示,其主要包括地址处理模块41和portal认证协助模块42,其中地址处理模块41 接收无线用户终端发来的动态主机配置协议DHCP请求,若根据portal认证协助模块42中的已认证用户名单发现为未认证用户,则为用户终端分配私网IP地址,且当接收到portal认证协助模块42发来的携带用户终端的MAC地址的释放用户IP地址指示时,释放用户终端的私网IP地址;否则,为用户终端分配公网IP地址,向 portal服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址,且当接收到portal服务器返回的地址变更响应消息后向RADIUS服务器发送计费请求;当发现用户终端下线时,向RADIUS服务器发送携带用户名的停止计费消息,将用户终端的MAC地址从portal认证协助模块42中的已认证用户名单中删除,并强制用户终端断开无线连接,同时释放所述公网IP地址。当AC上未配置DHCP功能时,地址处理模块41进一步用于,当接收到用户终端发来的DHCP请求时,则将DHCP请求转发给DHCP服务器,且若根据portal认证协助模块42 中的已认证用户名单发现为未认证用户,则所述DHCP请求中的接口地址为AC的私网IP地址,否则,所述DHCP请求中的接口地址为AC的公网IP地址;且,通过向DHCP服务器发送携带用户终端的MAC地址的DHCP释放消息,来释放用户终端的私网IP地址或公网IP地址。portal认证协助模块42 当接收到用户终端发起的HTTP请求时,将该请求重定向到Portal服务器,当接收到Portal服务器发来的携带用户名和密码的认证请求时,将该用户名和密码封装成Radius报文发送给Radius服务器,当接收到Radius服务器发来的认证成功通知时,确认认证完成,将用户终端的MAC地址放入已认证用户名单中,强制用户终端断开无线连接,同时向地址处理模块41发送携带用户终端的MAC地址的释放用户IP地址指示。以下给出本发明实施例提供的无线网络中的AC的组成,其主要包括处理器和存储器,其中处理器用于与存储器进行通信,执行存储器中的计算机程序代码。存储器存储计算机程序代码,当该代码被处理器执行时完成步骤接收无线用户终端发来的DHCP请求消息,若发现为未认证用户,则为用户终端分配私网IP地址;当在用户终端的portal认证过程完成后,强制用户终端断开无线连接;当重新接收到用户终端发来的DHCP请求消息后,确认用户通过认证,则为用户终端分配公网IP地址,并向RADIUS 服务器发送计费请求;当发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放用户终端的公网IP地址。所述代码进一步用于完成步骤当为用户终端分配私网IP地址之后,若接收到用户终端发起的HTTP请求,将该请求重定向到门户服务器,当接收到门户服务器发来的用户名和密码时,将该用户名和密码封装成RADIUS报文发送给RADIUS服务器。所述代码进一步用于完成步骤当为用户终端分配公网IP地址之后,向portal服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址,当接收到portal 服务器返回的地址变更响应消息后,向RADIUS服务器发送计费请求。所述代码进一步用于完成步骤当认证完成,强制用户终端断开无线连接之后,释放为用户终端分配的私网IP地址。当AC上未配置DHCP模块时,所述代码进一步用于完成步骤当接收到无线用户终端发来的DHCP请求消息并发现为未认证用户时,将该DHCP请求消息转发给DHCP服务器, 其中,DHCP请求消息中的接口地址为AC的私网IP地址,当接收到DHCP服务器返回的携带私网IP地址的DHCP响应消息后,将该DHCP响应消息转发给用户终端;当重新接收到用户终端发来的DHCP请求消息并确认用户通过认证时,将该DHCP请求消息转发给DHCP服务器,其中,DHCP请求消息中的接口地址为AC的公网IP地址,当接收到DHCP服务器返回的携带公网IP地址的DHCP响应消息后,将该DHCP响应消息转发给用户终端;当认证完成并强制用户终端断开无线连接之后,向DHCP服务器发送DHCP释放消息,该消息携带用户终端的MAC地址,以通知DHCP服务器释放用户终端的私网IP地址;当发现用户终端下线并强制用户终端断开无线连接后,向DHCP服务器发送DHCP释放消息,该消息携带用户终端的MAC 地址,以通知DHCP服务器释放用户终端的公网IP地址。本发明实施例提到的存储器包括软盘、硬盘、磁光盘、光盘(如⑶-ROM、⑶-R、 CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和 ROM。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种门户认证方法,其特征在于,该方法包括接入控制器AC接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;当AC在用户终端的门户认证过程完成后,强制用户终端断开无线连接;当AC重新接收到用户终端发来的DHCP请求后,确认用户通过认证,则为用户终端分配公网IP地址,并向远端用户拨入认证服务RADIUS服务器发送计费请求;当AC发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址。
2.根据权利要求1所述的方法,其特征在于,所述AC为用户终端分配私网IP地址之后、在用户终端的门户认证过程完成之前进一步包括当AC接收到用户终端发起的超文本传输协议HTTP请求时,将该请求重定向到门户服务器,当接收到门户服务器发来的用户名和密码时,将该用户名和密码封装成RADIUS报文发送给RADIUS服务器。
3.根据权利要求1所述的方法,其特征在于,所述AC为用户终端分配公网IP地址之后、向远端用户拨入认证服务RADIUS服务器发送计费请求之前进一步包括AC向门户服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址, 门户服务器接收该地址变更消息,向AC返回地址变更响应消息,同时在自身记录用户终端的用户名、MAC地址和公网IP地址的对应关系,AC接收到该地址变更响应消息后,执行所述向远端用户拨入认证服务RADIUS服务器发送计费请求的动作。
4.根据权利要求1所述的方法,其特征在于,所述认证完成,强制用户终端断开无线连接之后进一步包括AC释放为用户终端分配的私网IP地址。
5.根据权利要求1所述的方法,其特征在于,当AC上未配置DHCP模块时,所述AC为用户终端分配公网IP地址包括-M将所述DHCP请求转发给DHCP服务器, 其中,所述DHCP请求中的接口地址为AC的公网IP地址,DHCP服务器接收该DHCP请求,分配一个公网IP地址,记录用户终端的MAC地址和用户终端的公网IP地址的对应关系,将该公网IP地址携带在DHCP响应中返回给AC,AC将该DHCP响应转发给用户终端;所述AC释放所述公网IP地址包括-AC向DHCP服务器发送DHCP释放消息,该消息携带用户终端的MAC地址,DHCP服务器接收该消息,根据用户终端的MAC地址查找到用户终端的公网IP地址,释放用户终端的公网IP地址。
6.一种AC,其特征在于,包括地址处理模块接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;否则,为用户终端分配公网IP地址,并向远端用户拨入认证服务RADIUS服务器发送计费请求;当发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址;门户认证协助模块在确认用户终端通过门户认证后,强制用户终端断开无线连接。
7.根据权利要求6所述的AC,其特征在于,所述门户认证协助模块进一步用于,当接收到用户终端发起的HTTP请求时,将该请求重定向到门户服务器,当接收到门户服务器发来的用户名和密码时,将该用户名和密码封装成RADIUS报文发送给RADIUS服务器。
8.根据权利要求6所述的AC,其特征在于,所述地址处理模块进一步用于,当为用户终端分配公网IP地址后,向门户服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址,且当接收到门户服务器返回的地址变更响应消息后,执行所述向远端用户拨入认证服务RADIUS服务器发送计费请求的动作。
9.根据权利要求6所述的AC,其特征在于,所述门户认证协助模块进一步用于在强制用户终端断开无线连接之后,向地址处理模块发送释放用户IP地址指示,且,所述地址处理模块接收到所述释放用户IP地址指示后,释放为用户终端分配的私网IP地址。
10.根据权利要求6所述的AC,其特征在于,所述AC上未配置有DHCP模块,所述地址处理模块进一步用于,当接收到用户终端发来的DHCP请求时,则将DHCP请求转发给DHCP服务器,且若为未认证用户,所述DHCP请求中的接口地址为AC的私网IP地址, 否则,所述DHCP请求中的接口地址为AC的公网IP地址;当强制用户终端断开无线连接后, 通过向DHCP服务器发送携带用户终端的MAC地址的DHCP释放消息,来释放用户终端的公网IP地址。
全文摘要
本发明公开了门户认证方法及接入控制器。方法包括AC接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;当AC在用户终端的门户认证过程完成后,强制用户终端断开无线连接;当AC重新接收到用户终端发来的DHCP请求后,确认用户通过认证,则为用户终端分配公网IP地址,并向远端用户泼入认证服务RADIUS服务器发送计费请求;当AC发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址。本发明只为有上网需求的无线用户分配公网IP地址,节约了公网IP地址。
文档编号H04W12/08GK102244866SQ20111024197
公开日2011年11月16日 申请日期2011年8月18日 优先权日2011年8月18日
发明者刘建锋, 郑涛 申请人:杭州华三通信技术有限公司