门户技术介绍

9. 第3层Portal认证过程

图5直接认证/跨层Portal认证流程图

直接认证/跨越门户认证过程的三层:

（1）门户网站用户通过HTTP协议发起身份验证请求. 当HTTP数据包通过访问设备时，访问设备允许HTTP设备访问Portal服务器或设置的免费访问地址. 为了使HTTP数据包访问其他地址，访问设备会将其重定向到Portal服务器. 门户服务器提供一个网页，供用户输入用于验证的用户名和密码.

（2）在门户网站服务器和访问设备之间执行CHAP（挑战握手认证协议）认证交互. 如果使用PAP（密码身份验证协议）身份验证，请直接进行下一步.

（3）门户网站服务器将用户输入的用户名和密码组合到身份验证请求消息中，并将其发送到访问设备. 同时，它启动计时器以等待身份验证响应消息.

（4）访问设备与RADIUS服务器交换RADIUS协议数据包.

（5）访问设备将认证响应包发送到Portal服务器.

（6）门户网站服务器向客户端发送认证通过消息，以通知客户端认证（）成功.

（7）门户网站服务器向访问设备发送身份验证响应确认.

（8）客户端和安全策略服务器之间的安全信息交换. 安全策略服务器检测访问终端的安全性是否合格，包括是否安装了防病毒软件，是否更新了病毒，是否安装了非法软件，是否更新了操作系统补丁等.

（9）安全策略服务器根据用户的安全性授权用户访问非受限资源. 授权信息存储在访问设备中. 访问设备将使用此信息来控制用户的访问.

（10）步骤（8）和（9）是Portal认证扩展功能的交互过程.

图6辅助地址分配认证方法流程图

次地址分配认证过程:

（1）〜（6）与直接/跨3层门户认证中的步骤（1）〜（6）相同.

（7）客户端收到认证通过消息后，通过DHCP获取新的公共IP地址，并通知Portal Server用户已获取新的IP地址.

（8）门户服务器通知访问设备的客户端以获取新的公共IP地址.

（9）接入设备通过检测ARP协议数据包来检测用户IP更改，并通知Portal服务器它已检测到用户IP更改.

（10）门户网站服务器通知客户端登录成功.

（11）门户服务器将IP更改确认消息发送到访问设备.

（12）客户端和安全策略服务器之间的安全信息交换. 安全策略服务器检测访问终端的安全性是否合格，包括是否安装了防病毒软件，是否更新了病毒web portal服务器，是否安装了非法软件，是否更新了操作系统补丁等.

（13）安全策略服务器根据用户的安全性授权用户访问不受限制的资源. 授权信息存储在访问设备中，访问设备将使用此信息来控制用户的访问.

（14）步骤（12）和（13）是Portal认证扩展功能的交互过程.

图7使用本地Portal服务器的认证流程图

直接/跨层本地Portal认证过程:

（1）门户网站用户通过HTTP或HTTPS协议发起身份验证请求. HTTP数据包通过配置有本地门户网站服务器的访问设备的接口时，将重定向到本地门户网站服务器. 本地门户网站服务器提供了一个网页，供用户输入用于身份验证的用户名和密码. 本地Portal服务器的监视IP地址是用户可以访问的访问设备上第3层接口的IP地址.

（2）访问设备与RADIUS服务器交换RADIUS协议数据包.

（3）访问设备中的本地Portal服务器将登录成功页面发送给客户端，以通知客户端认证（）成功.

图8 Portal支持EAP认证流程图

支持EAP认证的Portal认证过程如下（每种Portal认证方法对EAP认证的处理过程相同，此处仅以直接认证为例）.

（1）Portal客户端发起EAP身份验证请求，并将身份类型EAP请求数据包发送到Portal服务器.

（2）Portal服务器将Portal认证请求消息发送到访问设备，并启动计时器以等待Portal认证响应消息. 身份验证请求消息包含几个EAP-Message属性. 这些属性用于封装门户. 客户端发送的EAP数据包可以携带客户端的证书信息.

（3）接入设备收到Portal认证请求消息后web portal服务器，构造RADIUS认证请求消息，与RADIUS服务器进行认证交互. 接入设备接收到RADIUS身份验证请求消息的EAP-Message属性值. Portal身份验证请求数据包中的EAP-Message属性值已填充.

（4）接入设备根据RADIUS服务器的响应信息向门户服务器发送证书请求消息. 该消息还包含几个EAP-Message属性，可用于承载RADIUS服务器的证书信息. 这些属性值在RADIUS身份验证响应数据包中用EAP-Message属性值填充.

（5）门户服务器收到证书请求消息后，向门户客户端发送EAP认证响应消息，并将RADIUS服务器响应消息中的EAP-Message属性值透明地发送给门户客户端.

（6）门户网站客户端继续发起EAP身份验证请求，并执行与RADIUS服务器的后续EAP身份验证交互. 在此期间，门户网站认证请求消息可能会出现多次. 后续的认证过程与第一EAP认证请求消息的交互过程类似. 根据EAP身份验证阶段的发展，只有EAP消息的类型会发生变化，在此不再赘述.

（7）通过EAP认证后，RADIUS服务器将认证成功响应消息发送到访问设备. 消息的EAP-Message属性封装了EAP身份验证成功消息（EAP-Success）.

（8）访问设备将认证响应消息发送到Portal服务器. 消息的EAP-Message属性封装了成功的EAP身份验证消息.

（9）Portal服务器根据认证响应报文中的认证结果，通知Portal客户端认证成功.

（10）之后是Portal身份验证扩展功能的交互过程，请参阅CHAP / PAP身份验证模式下的身份验证过程介绍，在此省略.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-150682-1.html