一种Portal认证方法、BNG、Portal服务器和系统的制作方法

一种Portal认证方法、BNG、Portal服务器和系统的制作方法
【专利摘要】本发明公开了一种Portal认证方法，包括：Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。本发明还同时公开了一种BNG、Portal服务器和系统，本发明可规避现有的故障风险，适应IPv6网络等新的网络环境。
【专利说明】—种Portal认证方法、BNG、Portal服务器和系统

【技术领域】
[0001]本发明涉及移动通信【技术领域】,尤其涉及一种Portal认证方法、BNG (BroadbandNetwork Gateway,宽带网络网关)、Portal服务器和系统。

【背景技术】
[0002]随着互联网应用和智能终端的快速发展，WLAN (Wireless Local Area Networks,无线局域网)的应用已经非常普遍，很多公共场所，例如:工厂，学校，咖啡厅等都已部署，用户可以通过手机、电脑等各种终端设备，随时随地访问互联网以进行网上办公、娱乐等活动。通过WLAN接入网络已是用户访问网络资源最重要的手段之一。随着公众对随时随地通过WLAN访问互联网的需求不断增加，政府和运营商纷纷出台了公众WLAN热点、热区的建设计划，部分城市和地区已经完成了包括商业中心、大中院校等地区的WLAN大范围覆盖，这也进一步刺激了终端用户通过WLAN进行视频的频率，使得同时在线的WLAN终端的数量飞速增长。
[0003]当前对WLAN用户访问网络的接入控制和认证/鉴权的方法主要有两种:802.1x方式和Portal认证、或称Web认证方式，后者在现网中应用更加普遍，不仅应用于WLAN用户访问前的认证/鉴权，同时也应用于某些有线接入场景中。当前的Portal认证系统的基本架构如图1所示，主要包括:用户终端11、用户接入网关BNG12、Portal服务器13和AAA(Authenticat1n Authorizat1n and Accounting,认证授权计费)服务器 14 等。所述用户终端11与所述BNG12交互获取IP (Internet Protocol，互联网协议)地址之后，BNG12将用户访问互联网的HTTP (Hyper Text Transport Protocol,超文本传输协议)访问请求重定向到Portal服务器13, Portal服务器13向用户提供web portal认证页面供用户输入认证/鉴权信息，如:用户名、密码等，通过Portal服务器13、AAA服务器14及BNG12的交互完成用户的认证和授权。
[0004]当前的Portal服务器采用的是“有状态”方式，即=Portal服务器存储有用户的状态信息，所述用户的状态信息包括:用户是否认证，即认证状态、用户在线时长、用户流量等信息，且通常每个Portal服务器为多个BNG服务，存储了大量的用户状态信息，随着用户规模的不断扩大和IPv6 (Internet Protocol vers1n6,互联网协议第六版)等新技术的普及，这种Portal认证方式也产生了越来越多的问题:
[0005]首先、故障风险考虑不足。由于Portal服务器同时存储着多个BNG上大量的在线用户信息，且目前Portal服务器没有涉及与BNG间的在线用户信息实时同步机制，一旦BNG故障并快速重启，Portal服务器不会及时清除用户的状态信息，导致Portal服务器与BNG间的用户信息不一致，出现用户无法访问网络的情况。例如:在Portal服务器上管理的在线用户没有成功下线的情况下，BNG重启后会重新为用户分配IP地址，并将用户状态置为未认证状态。如果用户被分配相同的地址，那么当BNG将该用户的HTTP请求重定向到Portal服务器时，Portal服务器会认为该用户状态为在线，直接给用户推出认证成功的页面，而不会向用户提供输入用户名和密码的认证页面，导致该用户最终不能成功上网，而BNG上该用户状态始终为未认证状态。
[0006]其次、对IPv6支持存在不足。由于当前Portal服务器上的用户标识为用户的IP地址，而在IPv6网络等新的网络环境中，用户可能同时拥有多个IPv6地址，并且可以动态释放或申请其中一个或多个地址。如果某IPv6用户采用某IP地址首次发起HTTP请求并被重定向到Portal服务器完成认证之后，如果该用户采用另一 IP地址访问Portal服务器提交下线请求时，由于Portal服务器上没有该另一 IP地址已通过认证的记录，则无法完成该用户的下线流程，继而可能导致用户计费不会停止等诸多问题。
[0007]此外，除上述问题之外，当前的portal认证方式对诸如定制化/个性化页面推送、用户移动性接入等等功能的需求都不能完全满足。
[0008]针对如上的问题，目前尚未提出有效的解决方案。


【发明内容】

[0009]有鉴于此,本发明实施例的主要目的在于提供一种Portal认证方法、BNG、Portal服务器和系统，可规避现有的故障风险，适应IPv6网络等新的网络环境。
[0010]为达到上述目的，本发明实施例的技术方案是这样实现的:
[0011]本发明提供了一种Portal认证方法，该方法包括:
[0012]Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。
[0013]其中，所述HTTP请求包括:终端的HTTP连接建立请求、终端通过HTTP连接发送的终端计量信息查询请求，以及终端下线请求。
[0014]其中，所述信息查询消息用于指示BNG反馈终端信息，所述终端信息包括以下一种或多种:终端的IP地址集、终端的位置信息、终端的计量信息、终端的认证状态。
[0015]其中，所述信息查询消息和所述应答消息采用Portal协议、或远程用户拨号认证系统RADIUS协议的封装格式。
[0016]优选的，该方法还包括:
[0017]所述Portal服务器收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。
[0018]上述方案中，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，该方法还包括:
[0019]切换后的BNG，在终端访问Portal服务器的HTTP请求的统一资源定位符URL字段中加入自身的标识信息。
[0020]其中，所述BNG的标识信息为BNG的系统名。
[0021]本发明还提供了一种BNG，所述BNG包括:搜集处理模块和发送模块；其中，
[0022]所述搜集处理模块，用于根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；
[0023]所述发送模块，用于将搜集处理模块搜集到的终端信息通过应答消息反馈给所述Portal服务器。
[0024]其中，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，
[0025]所述搜集处理模块，还用于在终端访问Portal服务器的HTTP请求的URL字段中加入所属BNG的标识信息。
[0026]本发明还提供了一种Portal服务器，所述Portal服务器包括:接收处理模块，用于收到终端发送的HTTP请求后，向所述终端当前接入的BNG发送信息查询消息。
[0027]其中，所述接收处理模块，还用于收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。
[0028]本发明还提供了一种Portal认证系统，该系统包括:终％j}、BNG和Portal服务器；所述BNG为上述的BNG，所述Portal服务器为上述的Portal服务器。
[0029]本发明实施例提供的Portal认证方法、BNG> Portal服务器和系统，Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。本发明实施例由于Portal服务器采用了 “无状态”处理机制，即:不实时存储用户状态信息的机制，故BNG重启前后，UE的地址获取、认证流程完全相同，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题；此外，在终端采用另一 IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，适应了 IPv6网络等新的网络环境。

【专利附图】

【附图说明】
[0030]此处所说明的附图便于对本发明实施例的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0031]图1为现有Portal认证系统的基本结构不意图；
[0032]图2为本发明实施例所述的Portal认证方法的流程示意图；
[0033]图3为本发明实施例一的网络拓扑结构示意图；
[0034]图4为本发明实施例一的方法流程示意图；
[0035]图5为本发明实施例二的网络拓扑结构示意图；
[0036]图6为本发明实施例二的方法流程示意图；
[0037]图7为本发明实施例三的网络拓扑结构示意图；
[0038]图8为本发明实施例三的方法流程示意图；
[0039]图9为本发明实施例所述BNG的结构示意图；
[0040]图10为本发明实施例所述Portal服务器的结构示意图。

【具体实施方式】
[0041]为使本发明的目的、技术方案和优点更加清楚明白，下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0042]图2为本发明实施例所述的Portal认证方法的流程示意图，如图2所示,包括如下步骤:
[0043]步骤201 =Portal服务器收到终端发送的HTTP请求；
[0044]这里，所述HTTP请求包括:终端的HTTP连接建立请求、终端通过HTTP连接发送的终端计量信息查询请求，以及终端下线请求。其中，所述计量信息包括时长、流量。
[0045]步骤202:所述Portal服务器向所述终端当前接入的BNG发送信息查询消息；
[0046]这里，所述信息查询消息用于指示BNG反馈终端的各种信息，所述终端信息包括以下一种或多种:终端的IP地址集，即:该终端的全部IP地址、终端的位置信息、终端的计量信息、终端的认证状态。
[0047]步骤203:所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；
[0048]步骤204:所述BNG将搜集到的终端信息通过应答消息反馈给所述Portal服务器。
[0049]在一个实施例中，该方法还包括:所述Portal服务器收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。
[0050]在一个实施例中，上文所述信息查询消息和所述应答消息采用Portal协议或RADIUS (Remote Authenticat1n Dial In User Service,远程用户拨号认证系统)协议格式进行封装。
[0051]在一个实施例中，对于漫游的终端，即:处于漫游接入场景中的终端和移动的终端，即:处于移动接入场景中的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，该方法还包括:
[0052]切换后的BNG在终端访问Portal服务器的HTTP请求中的URL(UniformResourceLocator,统一资源定位符)字段中加入自身的标识信息。
[0053]在一个实施例中，所述BNG的标识信息可为BNG的系统名。
[0054]下面结合附图及具体实施例对本发明作进一步详细说明。
[0055]实施例一
[0056]本实施例为用户终端的认证流程，包括定制化/个人化页面的推送。本实施例的网络拓扑结构示意图如图3所示,包括:UE (User Equipment,用户终端)21、BNG22、Portal服务器23、AAA服务器24和网络侧服务器25，对应的方法流程图如图4所示。
[0057]步骤401:UE与BNG进行交互获取自身的IP地址；
[0058]步骤402:UE向网络侧服务器发起HTTP请求时，BNG判断该UE未经过认证，则将该HTTP请求重定向到Portal服务器；
[0059]步骤403 =Portal服务器向BNG发送信息查询消息，要求BNG反馈该UE的IP地址集和UE认证状态；
[0060]可选的，Portal服务器在所述信息查询消息中还可以要求BNG反馈该UE的位置信息。
[0061]步骤404 =BNG收到Portal服务器发送的信息查询消息后，搜集该UE的全部IP地址信息和认证状态信息；
[0062]这里，若Portal服务器在信息查询消息中还可以要求BNG反馈该UE的位置信息，则BNG同时也需要搜集该UE的位置信息。
[0063]步骤405:BNG向Portal服务器发送应答消息，将该UE的IP地址集和认证状态发送给所述Portal服务器；
[0064]这里，若Portal服务器在信息查询消息中还要求BNG反馈该UE的位置信息，则所述BNG同时将该UE的位置信息携带在所述应答消息中发送给所述Portal服务器。
[0065]步骤406 =Portal服务器收到所述应答消息后，判断该UE尚未认证，则向UE提供认证页面，要求用户输入认证信息，如UE名、密码等；
[0066]优选的，所述Portal服务器向UE提供认证页面前与UE完成HTTP连接的建立。
[0067]这里，Portal服务器还可根据应答消息中的UE的位置信息向UE推送定制化/个人化的认证页面，如:根据商家要求推送UE地理位置周边的商户信息等。
[0068]步骤407:UE向Portal服务器提供认证信息，即在UE认证页面内输入认证信息并提交；
[0069]步骤408 =Portal服务器收到认证信息后，与AAA服务器、BNG进行交互，完成UE的认证；
[0070]步骤409:若认证成功，则Portal服务器向UE推送认证成功的页面；否则，推送认证失败的页面；
[0071]可选的，Portal服务器根据UE的位置信息推送定制化/个人化的认证成功页面或认证失败页面，如:根据商家要求推送UE地理位置周边的商户信息，或者，由于UE欠费导致认证失败时，推送附近的营业厅地址信息、自助缴费终端位置信息等。
[0072]步骤410:认证成功后，UE再次访问网络侧服务器，BNG判断该UE已经通过认证，不再重定向UE的HTTP请求，UE与网络侧服务器建立HTTP连接。
[0073]可见，本发明实施例由于Portal服务器采用了“无状态”处理机制，即:不实时存储用户状态信息的机制，故BNG重启前后，UE的地址获取、认证流程完全相同，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题。
[0074]这里，在终端漫游接入场景中，终端位置移动后需要重新认证，终端重新接入的BNG重新发起强推认证，服务器找到对应的BNG地址进行强推认证。此时，如果允许终端漫游前后IP地址不变化，那么Portal服务器无法根据终端的IP地址找到终端位置移动后重新接入的BNG。此时，需要Portal服务器存储BNG的系统名(system-name)与BNG地址的映射关系来实现对BNG的准确定位，相应的，该实施例所述步骤402还包括:
[0075]BNG在重定向终端的HTTP请求时，在所述请求的URL中携带自身的标识信息，如:系统名(system-name),所述Portal服务器根据所述system-name与BNG地址的映射关系找到对应的BNG地址。
[0076]进一步的，在终端移动性接入场景中，终端移动位置后IP地址不变化且无需重新认证，Portal服务器感知不到在线终端发生了位置移动，但终端重新与Portal服务器建立HTTP连接时，终端位置移动后重新接入的BNG需要对终端访问Portal服务器的HTTP请求执行“重定向”操作，并在所述请求的URL中携带BNG的系统名(system-name),以便实现终端下线、计量信息查询等功能。
[0077]实施例二
[0078]本实施例中IPv6终端执行下线操作。本实施例的网络拓扑结构示意图如图5所示，包括:终端31、BNG32、Portal服务器33和AAA服务器34，对应的方法流程图如图6所
/Jn ο
[0079]本实施例中终端上线认证流程与实施例一完全相同，所述上线认证流程中该用户使用的IPv6地址为IPl。
[0080]步骤601:终端使用另一 IPv6地址IP2访问Portal服务器，重新发起HTTP连接建立请求；
[0081]步骤602 =Portal服务器向BNG发送信息查询消息，要求BNG反馈该终端的IP地址集和终端认证状态；
[0082]步骤603 =BNG收到Portal服务器发送的查询消息后，搜集该终端的全部IP地址信息和认证状态信息；
[0083]步骤604 =BNG向Portal服务器发送应答消息，将该终端的IP地址集和终端认证状态发送给所述Portal服务器；
[0084]步骤605 =Portal服务器收到应答消息后，判断该终端已经过认证，则向终端提供认证通过页面；
[0085]优选地，Portal服务器向终端提供认证通过页面前与终端完成HTTP连接的建立。
[0086]步骤606:终端向Portal服务器发送下线请求，如:用户在终端认证通过页面内点击下线按钮；
[0087]步骤607 =Portal服务器收到下线请求后，与AAA服务器、BNG进行交互，完成终端下线流程；
[0088]步骤608:若终端下线成功，则Portal服务器向终端推送认证下线成功页面，否则推送认证下线失败页面；
[0089]该实施例还包括:步骤609:终端下线成功后，终端再次访问网络侧服务器，BNG判断该终端未经过认证，再次将该HTTP请求重定向到Portal服务器。
[0090]可见，本发明实施例由于Portal服务器采用了 “无状态”处理机制，即:不实时存储用户状态信息的机制，故终端采用另一 IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，本发明适应了IPv6网络等新的网络环境。
[0091]实施例三
[0092]本实施例为终端进行计量信息查询的方法。本实施例的网络拓扑结构示意图如图7所示，包括:终端41、BNG42和Portal服务器43，对应的方法流程图如图8所示。
[0093]本实施例中，终端上线认证流程与第一实施例完全相同。
[0094]步骤801:终端向Portal服务器发送计量信息查询请求，包括时长、流量等，即:终端用户可在认证通过页面内输入认证信息并提交；
[0095]这里，所述计量信息查询请求为所述HTTP请求中的一种。
[0096]优选的，若终端已关闭Portal服务器提供的认证页面，那么终端与Portal服务器将重新建立HTTP连接，所述HTTP连接的建立过程与实施例二的步骤601?605相同。
[0097]步骤802 =Portal服务器向BNG发送信息查询消息，要求BNG反馈该终端的计量信息；
[0098]步骤803 =BNG收到Portal服务器的查询消息后，搜集该终端的计量信息；
[0099]步骤804:BNG向Portal服务器发送应答消息，将该终端的计量信息发送给Portal服务器；
[0100]步骤805 =Portal服务器收到应答消息后，向终端提供计量信息页面/信息。
[0101]本发明实施例还提供了一种BNG，如图9所示，所述BNG包括:搜集处理模块51和发送模块52;其中，
[0102]所述搜集处理模块51，用于根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；
[0103]所述发送模块52，用于将所述搜集处理模块51搜集到的终端信息通过应答消息反馈给所述Portal服务器。
[0104]这里，所述搜集处理模块51和发送模块52可由BNG中的中央处理器(CPU，Central Processing Unit)、数字信号处理器(DSP, Digital Singnal Processor)或可编程逻辑阵列(FPGA, Field — Programmable Gate Array)实现。
[0105]优选的，在一个实施例中，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，
[0106]所述搜集处理模块，还用于在终端访问Portal服务器的HTTP请求的URL字段中加入所属BNG的标识信息。
[0107]本发明实施例还提供了一种Portal服务器，如图10所示，所述Portal服务器包括:接收处理模块61，用于收到终端发送的HTTP请求后，向所述终端当前接入的BNG发送信息查询消息。
[0108]这里，所述接收处理模块可由Portal服务器中的CPU、DSP或FPGA实现。
[0109]优选的，在一个实施例中，所述接收处理模块，还用于收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。
[0110]本发明实施例还提供了一种Portal认证系统，该系统与图7所示架构相同，该系统包括:终端、BNG和Portal服务器；所述BNG为上文所述的BNG，所述Portal服务器为上文所述的Portal服务器。
[0111]可见，本发明实施例所述BNG、Portal服务器和系统中，由于Portal服务器米用了“无状态”处理机制，即:不实时存储用户状态信息的机制，故BNG重启前后，UE的地址获取、认证流程完全相同，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题；此外，在终端采用另一 IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，适应了 IPv6网络等新的网络环境。
[0112]本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
[0113]以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
【权利要求】
1.一种认证方法，其特征在于，该方法包括:
服务器收到终端发送的超文本传输协议肌1？请求后，向所述终端当前接入的8^6发送信息查询消息；所述8如根据所述？01'仏1服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述？01'仏1服务器。
2.根据权利要求1所述的方法，其特征在于，所述肌1？请求包括:终端的肌1？连接建立请求、终端通过肌1？连接发送的终端计量信息查询请求，以及终端下线请求。
3.根据权利要求1所述的方法，其特征在于，所述信息查询消息用于指示8如反馈终端信息，所述终端信息包括以下一种或多种:终端的I？地址集、终端的位置信息、终端的计量信息、终端的认证状态。
4.根据权利要求1所述的方法，其特征在于，所述信息查询消息和所述应答消息采用 协议、或远程用户拨号认证系统狀01113协议的封装格式。
5.根据权利要求1-4中任一项所述的方法，其特征在于，该方法还包括: 所述？01'仏1服务器收到所述8如发送的应答消息后，根据所述终端发送的肌1？请求和所述应答消息向终端提供对应的页面和/或信息。
6.根据权利要求1-4中任一项所述的方法，其特征在于，对于漫游的终端和移动的终端，如果漫游或移动后终端的I？地址不变、且发生8如切换时，该方法还包括: 切换后的8如，在终端访问？01~仏1服务器的肌1？请求的统一资源定位符口此字段中加入自身的标识信息。
7.根据权利要求6所述的方法，其特征在于，所述8如的标识信息为8如的系统名。
8.—种8如，其特征在于，所述刚包括:搜集处理模块和发送模块；其中， 所述搜集处理模块，用于根据所述？01*^1服务器发送的信息查询消息，搜集所述终端信息； 所述发送模块，用于将搜集处理模块搜集到的终端信息通过应答消息反馈给所述 服务器。
9.根据权利要求8所述的8如，其特征在于，对于漫游的终端和移动的终端，如果漫游或移动后终端的I？地址不变、且发生8如切换时， 所述搜集处理模块，还用于在终端访问？01~仏1服务器的肌1？请求的口此字段中加入所属8如的标识信息。
10.一种？01'仏1服务器，其特征在于，所述？01'仏1服务器包括:接收处理模块，用于收到终端发送的肌1？请求后，向所述终端当前接入的8如发送信息查询消息。
11.根据权利要求10所述的？01'仏1服务器，其特征在于，所述接收处理模块，还用于收到所述刚发送的应答消息后，根据所述终端发送的肌1？请求和所述应答消息向终端提供对应的页面和丨或信息。
12.—种？01^11认证系统，该系统包括:终端、刚和？01^11服务器；其特征在于，所述8^6为权利要求8或9所述的8如，所述？01~仏1服务器为权利要求10或11所述的？0代31服务器。
【文档编号】H04L29/06GK104426660SQ201310399004
【公开日】2015年3月18日 申请日期:2013年9月4日 优先权日:2013年9月4日
【发明者】范亮, 王姝懿, 朱承旭, 毛薇, 袁博 申请人:中兴通讯股份有限公司