本发明专利技术公开了门户认证方法及接入控制器。方法包括:AC接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;当AC在用户终端的门户认证过程完成后,强制用户终端断开无线连接;当AC重新接收到用户终端发来的DHCP请求后,确认用户通过认证,则为用户终端分配公网IP地址,并向远端用户泼入认证服务RADIUS服务器发送计费请求;当AC发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址。本发明专利技术只为有上网需求的无线用户分配公网IP地址,节约了公网IP地址。
【技术实现步骤摘要】
本专利技术涉及安全认证
,具体涉及门户认证方法及接入控制器(AC,Access Controller)。
技术介绍
在移动城域网架构中,一般采用门户(Portal)方式来实现用户的安全认证,认证控制点在城域网的接入控制器(AC,Access controller)。无线网络中用户终端上网涉及的Portal认证基本流程如图1所示,包括步骤101 无线用户终端首先关联无线网络,关联成功,向AC发送携带自身介质访问控制(MAC, Media Access Control)地址的动态主机配置协议(DHCP, Dynamic Host Configuration Protocol)请求消息。步骤102 =AC接收DHCP请求消息,为用户终端分配因特网协议(IP,Internet Protocol)地址,将该IP地址携带在DHCP响应消息中返回给用户终端。若AC自身配置了 DHCP模板,则AC自己为用户终端分配IP地址,并将该IP地址携带在DHCP响应消息中返回给用户终端;若采用外挂DHCP服务器,则AC需要将DHCP请求消息转发给DHCP服务器,由DHCP服务器为用户终端分配IP地址,并将该IP地址携带在 DHCP响应消息中返回给AC,AC再将该DHCP响应消息返回给用户终端。步骤103 用户终端发起超文本传输协议(HTTP,Hyper-Text Transfer Protocol) 请求消息。步骤104 :AC接收该HTTP请求消息,将该消息强制重定向到Portal服务器, Portal服务器向用户终端推送认证页面。步骤105 用户在认证页面上输入用户名和密码,Portal服务器将用户名和密码携带在认证请求消息中发送给AC,AC接收该消息后,将用户名和密码封装成远端用户拨入认证服务(RADIUS,Remote Authentication Dial In User Service)报文提交给 RADIUS 服务器。步骤106 =RADIUS服务器对用户进行认证,认证通过,通知AC,AC下发访问控制列表(ACL, Access Control List),允许用户访问网络。针对广域网(WLAN,Wide Local Area Network)用户,用户开机后自动连接无线网络,随后立即发起DHCP请求,获取IP地址。无论用户是否认证,均可获取IP地址,造成地址资源的浪费。尤其目前移动网络针对用户分配的都是公网地址,地址资源相当宝贵,经常出现真正想上网的用户无法获取IP地址,而没有上网需求的用户却无意占用了 IP地址的问题。通常,为了解决用户IP地址紧缺问题,采用网络地址转换(NAT,Network Address Translation)方式。但NAT方式存在一个公网地址对应多个私网地址的问题,无法精确回溯用户。
技术实现思路
本专利技术提供portal认证方法及AC,以实现只为上网无线用户分配公网IP地址。本专利技术的技术方案是这样实现的一种门户认证方法,该方法包括接入控制器AC接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;当AC在用户终端的门户认证过程完成后,强制用户终端断开无线连接;当AC重新接收到用户终端发来的DHCP请求后,确认用户通过认证,则为用户终端分配公网IP地址, 并向远端用户拨入认证服务RADIUS服务器发送计费请求;当AC发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址。所述AC为用户终端分配私网IP地址之后、在用户终端的门户认证过程完成之前进一步包括当AC接收到用户终端发起的超文本传输协议HTTP请求时,将该请求重定向到门户服务器,当接收到门户服务器发来的用户名和密码时,将该用户名和密码封装成RADIUS 报文发送给RADIUS服务器。所述AC为用户终端分配公网IP地址之后、向远端用户拨入认证服务RADIUS服务器发送计费请求之前进一步包括AC向门户服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址,门户服务器接收该地址变更消息,向AC返回地址变更响应消息,同时在自身记录用户终端的用户名、MAC地址和公网IP地址的对应关系,AC接收到该地址变更响应消息后,执行所述向远端用户拨入认证服务RADIUS服务器发送计费请求的动作。所述认证完成,强制用户终端断开无线连接之后进一步包括AC释放为用户终端分配的私网IP地址。当AC上未配置DHCP模块时,所述AC为用户终端分配公网IP地址包括-M将所述DHCP请求转发给DHCP服务器,其中,所述DHCP请求中的接口地址为AC的公网IP地址,DHCP服务器接收该DHCP请求, 分配一个公网IP地址,记录用户终端的MAC地址和用户终端的公网IP地址的对应关系,将该公网IP地址携带在DHCP响应中返回给AC,AC将该DHCP响应转发给用户终端;所述AC释放所述公网IP地址包括-M向DHCP服务器发送DHCP释放消息,该消息携带用户终端的MAC地址,DHCP服务器接收该消息,根据用户终端的MAC地址查找到用户终端的公网IP地址,释放用户终端的公网IP地址。一种 AC,包括地址处理模块接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;否则,为用户终端分配公网IP地址,并向远端用户拨入认证服务RADIUS服务器发送计费请求;当发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址;门户认证协助模块在确认用户终端通过门户认证后,强制用户终端断开无线连接。 所述门户认证协助模块进一步用于,当接收到用户终端发起的HTTP请求时,将该请求重定向到门户服务器,当接收到门户服务器发来的用户名和密码时,将该用户名和密码封装成RADIUS报文发送给RADIUS服务器。 所述地址处理模块进一步用于,当为用户终端分配公网IP地址后,向门户服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址,且当接收到门户服务器返回的地址变更响应消息后,执行所述向远端用户拨入认证服务RADIUS服务器发送计费请求的动作。所述门户认证协助模块进一步用于在强制用户终端断开无线连接之后,向地址处理模块发送释放用户IP地址指示,且,所述地址处理模块接收到所述释放用户IP地址指示后,释放为用户终端分配的私网IP地址。所述AC上未配置有DHCP模块,所述地址处理模块进一步用于,当接收到用户终端发来的DHCP请求时,则将DHCP 请求转发给DHCP服务器,且若为未认证用户,所述DHCP请求中的接口地址为AC的私网IP 地址,否则,所述DHCP请求中的接口地址为AC的公网IP地址;当强制用户终端断开无线连接后,通过向DHCP服务器发送携带用户终端的MAC地址的DHCP释放消息,来释放用户终端的公网IP地址。与现有技术相比,本专利技术中,只为有上网需求的无线用户分配公网IP地址,且在用户下线后,释放为用户分配的公网IP地址,节约了公网IP地址。附图说明图1为现有的无线网络中用户终端上网涉及的Portal认证示意图;图2为本专利技术实施例一提供的无线用户终端的Porta本文档来自技高网...
【技术保护点】
1.一种门户认证方法,其特征在于,该方法包括:接入控制器AC接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;当AC在用户终端的门户认证过程完成后,强制用户终端断开无线连接;当AC重新接收到用户终端发来的DHCP请求后,确认用户通过认证,则为用户终端分配公网IP地址,并向远端用户拨入认证服务RADIUS服务器发送计费请求;当AC发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址。
【技术特征摘要】
1.一种门户认证方法,其特征在于,该方法包括接入控制器AC接收无线用户终端发来的动态主机配置协议DHCP请求,若发现为未认证用户,则为用户终端分配私网IP地址;当AC在用户终端的门户认证过程完成后,强制用户终端断开无线连接;当AC重新接收到用户终端发来的DHCP请求后,确认用户通过认证,则为用户终端分配公网IP地址,并向远端用户拨入认证服务RADIUS服务器发送计费请求;当AC发现用户终端下线时,向RADIUS服务器发送停止计费消息,并强制用户终端断开无线连接,同时释放所述公网IP地址。2.根据权利要求1所述的方法,其特征在于,所述AC为用户终端分配私网IP地址之后、在用户终端的门户认证过程完成之前进一步包括当AC接收到用户终端发起的超文本传输协议HTTP请求时,将该请求重定向到门户服务器,当接收到门户服务器发来的用户名和密码时,将该用户名和密码封装成RADIUS报文发送给RADIUS服务器。3.根据权利要求1所述的方法,其特征在于,所述AC为用户终端分配公网IP地址之后、向远端用户拨入认证服务RADIUS服务器发送计费请求之前进一步包括AC向门户服务器发送地址变更消息,该消息携带用户终端的MAC地址和公网IP地址, 门户服务器接收该地址变更消息,向AC返回地址变更响应消息,同时在自身记录用户终端的用户名、MAC地址和公网IP地址的对应关系,AC接收到该地址变更响应消息后,执行所述向远端用户拨入认证服务RADIUS服务器发送计费请求的动作。4.根据权利要求1所述的方法,其特征在于,所述认证完成,强制用户终端断开无线连接之后进一步包括AC释放为用户终端分配的私网IP地址。5.根据权利要求1所述的方法,其特征在于,当AC上未配置DHCP模块时,所述AC为用户终端分配公网IP地址包括-M将所述DHCP请求转发给DHCP服务器, 其中,所述DHCP请求中的接口地址为AC的公网IP地址,DHCP服务器接收该DHCP请求,分配一个公网IP地址,记录用户终端的MAC地址和用户终端的公网IP地址的对应关系,将该公网IP地址携带在DHCP响应中返回给AC,AC将该DHCP响应转发给用户终端;所述AC释放所述公...
【专利技术属性】
技术研发人员:郑涛,刘建锋,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。