1、，安全與VPN-Portal技術(shù)白皮書Portal技術(shù)白皮書杭州華三通信技術(shù)有限公司 HYPERLINK / 第 PAGE 2頁(yè)，共12頁(yè)P(yáng)ortal技術(shù)白皮書關(guān)鍵詞：Portal，CAMS，安全，認(rèn)證摘要：Portal認(rèn)證也叫Web認(rèn)證，即通過(guò)HTTP頁(yè)面接受用戶輸入的用戶名和密碼，對(duì)用戶進(jìn)行認(rèn)證。本文檔主要介紹了Portal認(rèn)證的基本流程和典型組網(wǎng)應(yīng)用?？s略語(yǔ)：縮略語(yǔ)英文全名中文解釋AAAAuthentication, Authorization, Accounting認(rèn)證/授權(quán)/計(jì)費(fèi)ACLAccess Control List訪問(wèn)控制列表BASBroad Access Server寬帶接

2、入服務(wù)器CAMSComprehensive Access Management Server綜合訪問(wèn)管理服務(wù)器HTTPHypertext Transfer Protocol超文本傳輸協(xié)議RADIUSRemote Access Dial in User Service遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)目 錄 HYPERLINK l _bookmark0 概述3 HYPERLINK l _bookmark0 產(chǎn)生背景3 HYPERLINK l _bookmark0 技術(shù)優(yōu)點(diǎn)3 HYPERLINK l _bookmark1 Portal技術(shù)實(shí)現(xiàn)4 HYPERLINK l _bookmark1 概念介紹4 HYPE

3、RLINK l _bookmark3 協(xié)議框架5 HYPERLINK l _bookmark3 認(rèn)證流程5 HYPERLINK l _bookmark5 直接認(rèn)證方式的認(rèn)證流程7 HYPERLINK l _bookmark6 二次地址方式的認(rèn)證流程8 HYPERLINK l _bookmark7 下線流程9 HYPERLINK l _bookmark7 主動(dòng)下線流程9 HYPERLINK l _bookmark8 強(qiáng)制下線流程10 HYPERLINK l _bookmark9 典型組網(wǎng)應(yīng)用11 HYPERLINK l _bookmark9 Portal二層組網(wǎng)方案11 HYPERLINK l

4、_bookmark10 Portal三層組網(wǎng)方案12 HYPERLINK l _bookmark10 參考文獻(xiàn)12Portal技術(shù)白皮書杭州華三通信技術(shù)有限公司 HYPERLINK / 第 PAGE 12頁(yè), 共12頁(yè)概述Portal在英語(yǔ)中是入口的意思。Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問(wèn)其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過(guò)后才可以使用互聯(lián)網(wǎng)資源。產(chǎn)生背景在傳統(tǒng)的組網(wǎng)環(huán)境中，用戶只要能接入局域網(wǎng)設(shè)備，就可以訪問(wèn)網(wǎng)絡(luò)中的設(shè)備或資源，為加強(qiáng)網(wǎng)絡(luò)資

5、源的安全控制和運(yùn)營(yíng)管理，很多情況下需要對(duì)用戶的訪問(wèn)進(jìn)行控制。例如，在一些公共場(chǎng)合、小區(qū)或公司的網(wǎng)絡(luò)接入點(diǎn)，提供接入服務(wù)的供應(yīng)商希望只允許付費(fèi)的合法用戶接入，所以供應(yīng)商為每個(gè)用戶提供一個(gè)接入網(wǎng)絡(luò)的賬號(hào)和密碼。另外，一些企業(yè)會(huì)提供一些內(nèi)部關(guān)鍵資源給外部用戶訪問(wèn)，并且希望經(jīng)過(guò)有效認(rèn)證的用戶才可以訪問(wèn)這些資源?，F(xiàn)有的802.1x和PPPoE等訪問(wèn)控制方式，都需要客戶端的配合，并且只能在接入層對(duì)用戶的訪問(wèn)進(jìn)行控制。Portal認(rèn)證技術(shù)則提供一種靈活的訪問(wèn)控制方式，不需要安裝客戶端，就可以在接入層以及需要保護(hù)的關(guān)鍵數(shù)據(jù)入口處實(shí)施訪問(wèn)控制。技術(shù)優(yōu)點(diǎn)與現(xiàn)有的802.1x、PPPoE等認(rèn)證技術(shù)相比，Portal

6、認(rèn)證技術(shù)具有以下優(yōu)勢(shì)：不需要部署客戶端，直接使用 WEB 頁(yè)面認(rèn)證，使用方便；可以定制“VLAN+端口+IP 地址池”粒度級(jí)別的個(gè)性化認(rèn)證頁(yè)面，同時(shí)可以在 Portal 頁(yè)面上開展廣告業(yè)務(wù)、服務(wù)選擇和信息發(fā)布等內(nèi)容，進(jìn)行業(yè)務(wù)拓展，實(shí)現(xiàn) IP 網(wǎng)絡(luò)的運(yùn)營(yíng)；關(guān)注對(duì)用戶的管理，可基于用戶名與 VLAN ID/IP/MAC 的捆綁識(shí)別來(lái)認(rèn)證， 并采用 Portal server 和 Portal client 之間，BAS 和 Portal client 之間定期發(fā)送握手報(bào)文的方式來(lái)進(jìn)行斷網(wǎng)檢測(cè)；二次地址方式可以實(shí)現(xiàn)靈活的地址分配策略和計(jì)費(fèi)策略，且能節(jié)省公網(wǎng) IP 地址；三層認(rèn)證方式可以跨越網(wǎng)絡(luò)層對(duì)用

7、戶作認(rèn)證，可以在企業(yè)網(wǎng)絡(luò)出口或關(guān)鍵數(shù)據(jù)的入口作訪問(wèn)控制。Portal技術(shù)實(shí)現(xiàn)概念介紹如 HYPERLINK l _bookmark2 圖1所示，Portal認(rèn)證過(guò)程涉及到了認(rèn)證客戶端（Portal client），Portal服務(wù)器（Portal server），BAS和AAA服務(wù)器四個(gè)基本要素。圖1 Portal系統(tǒng)組成示意圖Portal client：Portal組網(wǎng)中發(fā)起認(rèn)證請(qǐng)求的客戶端系統(tǒng)，為運(yùn)行HTTP協(xié)議的瀏覽器。Portal server：Portal組網(wǎng)中接受客戶端認(rèn)證請(qǐng)求的服務(wù)端系統(tǒng)，提供免費(fèi)門戶服務(wù)和基于WEB認(rèn)證的界面，與BAS設(shè)備交互認(rèn)證客戶端的身份信息。BAS：寬帶接

8、入服務(wù)器，用于向Portal server重定向HTTP認(rèn)證請(qǐng)求，并且與Portal server、AAA服務(wù)器交互完成用戶的認(rèn)證/授權(quán)/計(jì)費(fèi)功能。AAA服務(wù)器：認(rèn)證/授權(quán)/計(jì)費(fèi)服務(wù)器，與BAS進(jìn)行交互，對(duì)用戶進(jìn)行認(rèn)證/授權(quán)/計(jì)費(fèi)。以上四個(gè)基本要素的交互過(guò)程為：未認(rèn)證用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，在 IE 地址欄中輸入一個(gè)互聯(lián)網(wǎng)的地址，那么此HTTP 請(qǐng)求在經(jīng)過(guò) BAS 設(shè)備時(shí)會(huì)被重定向到 Portal server 的 Web 認(rèn)證主頁(yè)上；用戶在認(rèn)證主頁(yè)/認(rèn)證對(duì)話框中輸入認(rèn)證信息后提交，Portal server 會(huì)將用戶的認(rèn)證信息傳遞給 BAS；然后 BAS 與AAA 服務(wù)器通信進(jìn)行用戶認(rèn)證和計(jì)費(fèi)；認(rèn)證

9、通過(guò)后，BAS 會(huì)打開用戶與互聯(lián)網(wǎng)的通路，允許用戶訪問(wèn)互聯(lián)網(wǎng)。協(xié)議框架Portal協(xié)議包括Portal接入和Portal HYPERLINK l _bookmark4 認(rèn)證兩部分，協(xié)議框架如圖2所示：圖2 Portal協(xié)議框架Portal接入?yún)f(xié)議描述了Portal client和Portal server之間的協(xié)議交互，主要內(nèi)容包括：Portal client 通過(guò) HTTP 協(xié)議向 Portal server 提交認(rèn)證信息。Portal server 通過(guò) HTTP 協(xié)議向 Portal client 推出認(rèn)證成功或者認(rèn)證失敗頁(yè)面。Portal server 與 Portal client

10、之間通過(guò)握手檢測(cè)用戶是否在線。Portal認(rèn)證協(xié)議描述了Portal server和BAS之間的協(xié)議交互，主要內(nèi)容包括：Portal 認(rèn)證協(xié)議采用了非嚴(yán)格意義上的 Client/Server 結(jié)構(gòu)，大部分消息采用Request/Response 進(jìn)行交互。同時(shí)還定義了一種 Notify 報(bào)文，提供 Portal sever 和 BAS 設(shè)備之間的消息通道。Portal 認(rèn)證協(xié)議承載在 UDP 報(bào)文上。Portal server 使用本地的特定 UDP 端口監(jiān)聽 BAS 設(shè)備發(fā)送的非響應(yīng)類報(bào)文，并向 BAS 設(shè)備特定的端口發(fā)送所有報(bào)文。BAS 使用本地的特定的 UDP 端口監(jiān)聽 Portal s

11、erver 發(fā)送的所有報(bào)文，并向 Portal server 的特定端口發(fā)送非響應(yīng)類報(bào)文。響應(yīng)類報(bào)文的目的端口號(hào)使用對(duì)應(yīng)的請(qǐng)求報(bào)文的源端口號(hào)。認(rèn)證流程Portal認(rèn)證有兩種認(rèn)證方式：二層認(rèn)證方式和三層認(rèn)證方式。二層認(rèn)證方式又包括直接認(rèn)證方式和二次地址方式。二層認(rèn)證方式二次認(rèn)證方式下，Portal client與BAS直連，或它們之間只有二層設(shè)備存在。直接認(rèn)證方式用戶通過(guò)手工配置或DHCP獲取的一個(gè)公網(wǎng)IP地址進(jìn)行認(rèn)證，在認(rèn)證通過(guò)之前，只能訪問(wèn)Portal服務(wù)器以及設(shè)定的免費(fèi)訪問(wèn)地址，認(rèn)證通過(guò)后可使用此IP地址訪問(wèn)外部網(wǎng)絡(luò)。直接認(rèn)證流程簡(jiǎn)單，但由于限制了Portal client只能與BAS通過(guò)

12、二層交換設(shè)備互連，降低了組網(wǎng)的靈活性。二次地址方式用戶通過(guò)DHCP獲取一個(gè)私網(wǎng)IP地址進(jìn)行認(rèn)證，在認(rèn)證通過(guò)之前，只能訪問(wèn)Portal 服務(wù)器以及設(shè)定的免費(fèi)訪問(wèn)地址，認(rèn)證通過(guò)后，釋放原有私網(wǎng)IP地址，使用重新分配的公網(wǎng)IP地址訪問(wèn)外部網(wǎng)絡(luò)。二次地址方式流程較為復(fù)雜，認(rèn)證通過(guò)之前用戶可使用私網(wǎng)IP地址，節(jié)省了公網(wǎng)IP 地址，但組網(wǎng)方式不靈活。三層認(rèn)證方式這種認(rèn)證方式允許Portal client和BAS之間跨接三層轉(zhuǎn)發(fā)設(shè)備，組網(wǎng)方式靈活。因?yàn)槿龑诱J(rèn)證流程與直接認(rèn)證方式相同，下面將僅對(duì)直接認(rèn)證方式的認(rèn)證流程和二次地址方式的認(rèn)證流程做詳細(xì)描述。直接認(rèn)證方式的認(rèn)證流程流程圖圖3 Portal直接認(rèn)證方式

13、認(rèn)證流程圖具體步驟下面認(rèn)證流程以CHAP認(rèn)證為例，對(duì)于PAP認(rèn)證方式，步驟（2）、（3）、（4） 可以省略。Portal client 通過(guò) HTTP 協(xié)議觸發(fā)認(rèn)證請(qǐng)求。Portal sever 收到認(rèn)證請(qǐng)求后，首先向 BAS 設(shè)備發(fā)送 Challenge 請(qǐng)求報(bào)文， 并啟動(dòng)定時(shí)器等待 BAS 設(shè)備的響應(yīng)。如果在一定時(shí)間內(nèi)沒有收到 BAS 設(shè)備的回應(yīng)報(bào)文，則重傳此報(bào)文，若到達(dá)最大重傳次數(shù)仍沒有回應(yīng)，則通知Portal client 認(rèn)證失敗。BAS 設(shè)備收到 Challenge 請(qǐng)求報(bào)文后，檢查報(bào)文的合法性，對(duì)合法的報(bào)文進(jìn)行響應(yīng)。Portal server 收到 Challenge 請(qǐng)求報(bào)文的

14、響應(yīng)報(bào)文后，根據(jù) CHAP 算法，計(jì)算 CHAP-PASSWORD，然后向 BAS 設(shè)備發(fā)送請(qǐng)求認(rèn)證報(bào)文，并啟動(dòng)定時(shí)器等待 BAS 設(shè)備的響應(yīng)。如果在規(guī)定的時(shí)間內(nèi)沒有收到 BAS 設(shè)備的回應(yīng)報(bào)文，Portal server 會(huì)重發(fā)一定次數(shù)的認(rèn)證請(qǐng)求報(bào)文，當(dāng)達(dá)到最大重傳次數(shù)時(shí)仍沒有回應(yīng)，則通知用戶認(rèn)證失敗。BAS 設(shè)備收到請(qǐng)求認(rèn)證報(bào)文后，首先進(jìn)行合法性檢查，對(duì)合法的報(bào)文進(jìn)行認(rèn)證處理，即根據(jù)認(rèn)證方式（ CHAP ）構(gòu)造 RADIUS 認(rèn)證請(qǐng)求報(bào)文發(fā)給RADIUS server，然后開啟定時(shí)器等待 RADIUS server 的認(rèn)證回應(yīng)。如果在規(guī)定的時(shí)間內(nèi) RADIUS server 無(wú)響應(yīng)，則 B

15、AS 設(shè)備向 RADIUS server 重發(fā)一定次數(shù)的認(rèn)證請(qǐng)求報(bào)文，當(dāng)達(dá)到最大重傳次數(shù)時(shí)仍沒有回應(yīng)，則認(rèn)為本次認(rèn)證失敗。BAS 設(shè)備根據(jù)認(rèn)證的結(jié)果向 Portal sever 發(fā)送認(rèn)證請(qǐng)求響應(yīng)報(bào)文。Portal server 根據(jù)認(rèn)證請(qǐng)求響應(yīng)報(bào)文表示的認(rèn)證結(jié)果（成功，失?。┩ㄖ狿ortal client 是否認(rèn)證成功。二次地址方式的認(rèn)證流程流程圖圖4 Portal二次地址方式認(rèn)證流程圖具體步驟Portal client 通過(guò) HTTP 協(xié)議觸發(fā)認(rèn)證請(qǐng)求。Portal sever 收到認(rèn)證請(qǐng)求后，首先向 BAS 設(shè)備發(fā)送 Challenge 請(qǐng)求報(bào)文， 并啟動(dòng)定時(shí)器等待 BAS 設(shè)備的響應(yīng)。B

16、AS 設(shè)備收到 Challenge 請(qǐng)求報(bào)文后，檢查報(bào)文的合法性，對(duì)合法的報(bào)文進(jìn)行響應(yīng)。Portal sever 向 BAS 發(fā)送請(qǐng)求認(rèn)證報(bào)文，并啟動(dòng)定時(shí)器等待 BAS 設(shè)備的回應(yīng)。BAS 設(shè)備與 RADIUS server 之間進(jìn)行 RADIUS 協(xié)議報(bào)文的交互。BAS 設(shè)備根據(jù)認(rèn)證的結(jié)果以及定時(shí)器的信息向 Portal server 發(fā)送請(qǐng)求認(rèn)證響應(yīng)報(bào)文，同時(shí)在報(bào)文中增加控制信息。若認(rèn)證成功，則控制信息表示要求Portal server 通知 Portal client 釋放IP，并重新申請(qǐng) IP 地址。Portal server 向 Portal client 發(fā)送認(rèn)證通過(guò)報(bào)文，收到該報(bào)

17、文后，Portal client 釋放原私網(wǎng) IP 地址，并申請(qǐng)新的公網(wǎng) IP 地址。BAS 設(shè)備通過(guò) Portal client 發(fā)送的免費(fèi) ARP 報(bào)文可以檢測(cè)到 Portal client 的IP 地址的狀態(tài)，一旦檢測(cè)到 Portal client 的 IP 地址成功更換成公網(wǎng) IP 地址， 就向 Portal server 發(fā)送用戶 IP 地址更換的通知報(bào)文，并開啟定時(shí)器等待地址更新回應(yīng)報(bào)文。Portal server 在收到 BAS 的用戶 IP 地址更換通知，以及客戶端的 IP 地址更新通知后，向 BAS 發(fā)送確認(rèn)報(bào)文，并向客戶端進(jìn)行地址更新確認(rèn)。如果只收到一方的報(bào)文，Portal

18、 server 認(rèn)為用戶 IP 地址沒有更新。BAS 收到的確認(rèn)報(bào)文中攜帶標(biāo)識(shí)地址切換是否成功的信息，若該信息表示地址切換成功，則 BAS 向 RADIUS server 發(fā)送計(jì)費(fèi)請(qǐng)求，請(qǐng)求上線；如果表示地址切換失敗，則 BAS 會(huì)向 Portal server 發(fā)送報(bào)文來(lái)強(qiáng)制用戶下線。下線流程Portal 用戶下線流程包括兩種方式：由Portal client 發(fā)起的主動(dòng)下線和由Portal server或BAS發(fā)起的強(qiáng)制下線。主動(dòng)下線流程具體步驟如下：Portal 用戶通過(guò) HTTP 協(xié)議發(fā)起下線請(qǐng)求。Portal server 發(fā)送請(qǐng)求下線報(bào)文后，開啟定時(shí)器等待 BAS 設(shè)備的回應(yīng)，如果

19、BAS 設(shè)備在規(guī)定的時(shí)間內(nèi)沒有回應(yīng)，則 Portal server 一直重發(fā)下線請(qǐng)求。報(bào)文的重傳次數(shù)可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況調(diào)整。當(dāng) BAS 設(shè)備收到 Portal server 的下線請(qǐng)求后，向 Portal server 發(fā)送請(qǐng)求下線回應(yīng)報(bào)文，同時(shí)向 RADIUS sever 發(fā)送停止計(jì)費(fèi)報(bào)文。一般來(lái)說(shuō)，下線不存在成功和失敗的說(shuō)法，用戶要選擇下線，肯定是要允許的，所以Portal server收到用戶的下線請(qǐng)求后，會(huì)通知Portal client下線成功，而不需要等待BAS設(shè)備對(duì)下線的確認(rèn)。強(qiáng)制下線流程當(dāng)管理員通過(guò)命令行切斷連接，或BAS設(shè)備主動(dòng)探測(cè)發(fā)現(xiàn)用戶已經(jīng)離線，以及BAS 設(shè)備接入用戶的接口被拔出、接口板被拔出等事件發(fā)生時(shí)，BAS設(shè)備需要通知Portal server強(qiáng)制用戶下線。具體步驟如下：BAS 設(shè)備向 Portal server 發(fā)送用戶被強(qiáng)制下線的通知報(bào)文來(lái)告知 Portal client 已經(jīng)下線。Portal server 收到通知報(bào)文后，向 BAS 設(shè)備發(fā)送確認(rèn)報(bào)文來(lái)確認(rèn)，同時(shí)通知Portal client 網(wǎng)絡(luò)連接已中斷。由于Portal server可能會(huì)因網(wǎng)絡(luò)問(wèn)題等原因收不到BAS的通知報(bào)文，從而無(wú)法得知用戶已下線的消息。因此BAS設(shè)備會(huì)向Portal server重復(fù)發(fā)送通知報(bào)文有限次數(shù)。若有限次數(shù)的重復(fù)過(guò)程