1、 3/3portal認(rèn)證系統(tǒng)服務(wù)器原理及應(yīng)用 Portal認(rèn)證方式具有：不需要安裝認(rèn)證客戶端，減少客戶端的維護工作量、；便于運營，可以在Portal頁面上開展業(yè)務(wù)拓展、技術(shù)成熟等優(yōu)點而被廣泛應(yīng)用于運營商、學(xué)校等網(wǎng)絡(luò)。 目前在公共場合也有很多的WIFI熱點.WIFI本身不加密,但是當(dāng)用戶訪問網(wǎng)絡(luò)的時候,會要求用戶輸入用戶名和密碼.認(rèn)證成功后就可以上網(wǎng)了.WEB認(rèn)證的特點顯而易見,就是不需要特殊的客戶端,有瀏覽器就可以了.所以,手機也可以方面的使用. 下圖是WEB認(rèn)證的原理圖(CHAP認(rèn)證): 本文所要描述的就是PortalServer的原理與算法. PortalServer 和BAS 之間的通訊

2、遵循華為的PORTAL v1.0協(xié)議.以下是協(xié)議格式: 以下是部分源代碼和說明. typedef struct portal_header u_int8_t ver; /版本,在本例中為1 u_int8_t type; /報文類型 u_int8_t auth_type; /認(rèn)證類型,CHAP或者PHP,本文為CHAP協(xié)議 u_int8_t rsv; /保留字段,恒為零 u_int16_t sn; /序列號,用于關(guān)聯(lián)報文用,在一定時間是不能重復(fù)的 u_int16_t reqid; /應(yīng)答ID u_int32_t userip; /用戶的IP u_int16_t userport; /用戶端口,恒

3、為零 u_int8_t errcode; /錯誤碼,非常有用的字段 u_int8_t attrnum; /屬性個數(shù) portal_header_t; 定義了PORTAL協(xié)議的協(xié)議頭.如果屬性個數(shù)不為零,那么后面將跟attrnum個屬性.以下是構(gòu)造挑戰(zhàn)報文的代碼: sn=(u_int16_t)(1+(int)(9098.0*rand()/(RAND_MAX+1.0); /隨機碼 req_chap-ver=ver; req_chap-type=REQ_CHALLENGE; req_chap-auth_type=CHAP; req_chap-rsv=0 x00; req_chap-sn=sn; re

4、q_chap-reqid=0 x00; req_chap-userip = in-s_addr; /客戶的IP req_chap-userport=0 x0; req_chap-errcode=0 x0; req_chap-attrnum=0 x0; 當(dāng)收到了type為0 x02的報文,并且errcode=0 x00時,說明挑戰(zhàn)成功.接下來就可以發(fā)送認(rèn)證請求報文了,以下是構(gòu)造請求報文的代碼: (ra-header).ver = 0 x01; (ra-header).type=REQ_AUTH; (ra-header).auth_type=CHAP; (ra-header).rsv=0 x00;

5、 (ra-header).sn= /新的隨機碼 (ra-header).reqid = req_chap-reqid; (ra-header).userip = req_chap-userip; (ra-header).userport=0 x0; (ra-header).errcode=0 x0; (ra-header).attrnum=0 x2; 這個請求報文帶兩個屬性.關(guān)鍵的CHAP密碼構(gòu)造代碼如下: MD5_Init( MD5_Update( MD5_Update( MD5_Update( MD5_Final(d3, 如果收到CHAP應(yīng)答報文,錯誤代碼為零的話,就說明認(rèn)證成功了. 本程

6、序的使用命令如下: cr ver protocol basip username password client_ip ver 協(xié)議版本,本文只實現(xiàn)了V1 protocol CHAP 或者PAP ,本文只實現(xiàn)了CHAP,PAP實現(xiàn)起來更簡單. basip BAS的ip ,就是報文發(fā)送到的設(shè)備IP username 從WEB過來的用戶名 password 從WEB PORTAL 過來的密碼 client_ip 客戶的IP地址 藍海卓越Web Portal的組網(wǎng)方式通常如下： 藍海卓越Web Portal的基本認(rèn)證過程為： （1）用戶連接到網(wǎng)絡(luò)后，終端通過DHCP由BAS做DHCP-Relay，向

7、DHCP Server要IP地址（私網(wǎng)或公網(wǎng)）；(也可能由BAS直接做DHCP Server)。 （2）用戶獲取到地址后，可以通過IE訪問網(wǎng)頁，BAS為該用戶構(gòu)造對應(yīng)表項信息（基于端口號、IP），添加用戶ACL服務(wù)策略（讓用戶只能訪問portal server和一些內(nèi)部服務(wù)器，個別外部服務(wù)器如DNS），并將用戶訪問其他地址的請求強制重定向到強制Web認(rèn)證服務(wù)器進行訪問。表現(xiàn)的結(jié)果就是用戶連接上但不認(rèn)證的情況下，只能訪問指定的頁面，瀏覽指定頁面上的廣告、新聞等免費信息。 （3）Portal server向用戶提供認(rèn)證頁面，在該頁面中，用戶輸入帳號和口令，并單擊log in按鈕，也可不輸入由帳號和

8、口令，直接單擊Log in按鈕； （4）該按鈕啟動portal server上的Java程序，該程序?qū)⒂脩粜畔ⅲ↖P地址，帳號和口令）送給網(wǎng)絡(luò)中心設(shè)備BAS； （5）BAS利用IP地址得到用戶的二層地址、物理端口號（如Vlan ID, ADSL PVC ID，PPP session ID），利用這些信息，對用戶的合法性進行檢查，如果用戶輸入了帳號，使用用戶輸入的帳號和口令 到Radius server對用戶進行認(rèn)證，如果用戶未輸入帳號，則認(rèn)為用戶是固定用戶，網(wǎng)絡(luò)設(shè)備利用Vlan ID（或PVC ID）查用戶表得到用戶的帳號和口令，將帳號送到Radius server進行認(rèn)證； （6）Radiu

9、s Server返回認(rèn)證結(jié)果給BAS； （7）認(rèn)證通過后，BAS修改該用戶的ACL，用戶可以訪問外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)；BAS 開始計費。 （8）用戶離開網(wǎng)絡(luò)前，連接到portal server上，單擊斷開網(wǎng)絡(luò)按鈕，系統(tǒng)停止計費，刪除用戶的ACL和轉(zhuǎn)發(fā)信息，限制用戶不能訪問外部網(wǎng)絡(luò)； BRAS需要的配置： (1) 配置Web Portal認(rèn)證服務(wù)器(包括webportal的IP，端口號，密鑰) (2)配置認(rèn)證前域(由于Web認(rèn)證用戶在未認(rèn)證前屬于非法用戶，無法獲取IP地址，也沒有權(quán)限訪問Web認(rèn)證服務(wù)器，因而也無法進行認(rèn)證。因此需要在認(rèn)證前域配置DHCP Server，讓未認(rèn)證的用戶先獲得IP) (3)配置認(rèn)證域(通過認(rèn)證之后的區(qū)域，配置Radius服務(wù)器信息) (4)配置BAS接口(配置接入的用戶類型為二層用戶,要看具體情況，如果中間有三隔離的話，要配置為三層用戶) (5)配置ACL(為了控制未認(rèn)證用戶只能訪問Web認(rèn)證服務(wù)器，需要根據(jù)未認(rèn)證用戶的認(rèn)證前域的user-group，制定相應(yīng)的ACL，使其只有訪問Web認(rèn)證服務(wù)器的權(quán)限，而沒有其他任何權(quán)限。并將ACL應(yīng)用到BAS接口上) Note：二次地址分配問題： 二次地址分配是指在802.1X或Web Portal接入方式中，初始DHCP時為用戶預(yù)分配IP地址（通常為私網(wǎng)地址），在用戶通過認(rèn)證后，重新為