基于认证服务集群的Portal保活系统及方法、认证系统及方法
【技术领域】
[0001]本发明涉及WLAN安全接入技术,具体涉及一种基于认证服务集群的Portal保活系统及方法、认证系统及方法
【背景技术】
[0002]伴随着网络应用技术的快速发展,网络信息安全问题也日益突出。目前作为解决网络安全问题的重要技术及管理手段,802.lx(给予端口的访问控制协议)认证、PPPoE(以太网上点对点协议)认证、Portal认证等网络接入认证技术得到了迅速普及。其中,Portal认证由于使用web页面登陆而具有操作简单、丰富的展示效果、便于业务推广等优点,因此得到越来越广泛的应用。
[0003]最简单的Portal认证系统结构如图1所示,包括认证客户端、Portal服务器、接入控制设备和AAA服务器四个部分,其中认证客户端是安装于用户终端的客户端系统,如运行HTTP协议的浏览器。Portal服务器是接受认证客户端认证请求的服务端系统,用于提供免费服务和给予Web认证的界面,与接入控制设备交互认证客户端的认证信息。接入控制设备主要完成三个方面的工作:在认证前拦截认证网段内的所有HTTP请求并重定向到Portal服务器;在认证过程中与Portal服务器、AAA服务器进行UDP报文交互;在认证通过后,允许通过Portal认证的用户访问被管理员授权的互联网资源。AAA服务器用于与接入控制设备进行UDP报文交互,完成对用户的认证和计费。
[0004]目前常见的Portal认证体系结构如图2所示,企业总部机房部署一套Portal&AAA认证服务器为多个网点提供认证服务,各网点按各自规则配置接入控制设备私网地址,网点到企业总部机房上配置有NAT(Network Address Translat1n,网络地址转换)设备用于将私网内的用户终端映射到企业内网中,由上述Portal服务器与接入控制设备的交互过程可知,图2中的Portal服务器只能根据收到的认证请求HTTP报文进行接入控制设备IP地址的查询,由于上述应用环境下企业网内的用户终端使用的是私网地址,不同的网点为用户终端分配的地址可能会出现重叠的情况,Portal服务器根据用户IP地址与接入控制设备IP地址的映射关系则不能准确找到对应的接入控制设备IP地址,从而无法建立会话进行后续的报文交互。此问题现有的解决方式为:在用户终端发往Portal服务器的HTTP报文中携带用户公网和私网地址,Portal服务器判断公网、私网地址的一致性,当不一致时,根据预先配置好的映射关系(用户终端公网、私网IP地址和接入控制设备IP的映射关系)获取接入控制设备的IP地址,并建立会话。此方法存在配置复杂,可操作性差的问题,对于网点上万的的大型企业,收集并配置用户终端公网、私网IP地址与接入控制设备IP的映射关系是一件繁琐并容易出错的事情。
[0005]图2所示中,网点接入控制设备与总部机房之间可能配置了单向NATjMtPortal服务器主动向设备发送报文是不能正常下发的,需要依赖接入控制设备不断向Portal服务器发报文保活,以保证NAT的链路可用。
[0006]随着应用场景的发展,单台Portal&AAA服务器已经不能满足现在企业动则上千万用户的使用并发量,集群部署成为了必然,如图3所示,在企业总部机房部署一套Portal&AAA服务集群,集群共用数据层,网点客户端认证HTTP请求经由负载均衡器负载到任意服务节点,服务节点与网点接入控制设备通过报文交互完成认证过程,在此过程中如果接入控制设备与Portal&AAA设备配置了单向NAT,则存在接入设备保活与负载均衡所负载的服务节点不一致,导致Portal报文不能正常发送到接入控制设备。例如网点接入控制设备与Portal服务节点I链路保活,当网点HTTP认证请求被负载到Portal服务节点2时,Portal月艮务节点2是不能主动与网点接入控制设备建立会话的。
【发明内容】
[0007]本发明所要解决的技术问题是:提出一种基于认证服务集群的Portal保活系统及方法、认证系统及方法,以解决现有技术中接入控制设备保活与负载Portal服务节点不一致会出现Portal报文不能正常发送到接入控制设备的问题。
[0008]本发明解决上述技术问题所采用的技术方案是,基于认证服务集群的Portal保活系统,包括:
[0009]接入控制设备,用于通过NAT设备持续向负载均衡器发送携带自身设备序列号的保活报文;
[0010]NAT设备,用于在接收到所述接入控制设备发送的保活报文后,对保活报文中的源IP地址和源端口进行NAT转换后发送到负载均衡器,并保存所述接入控制设备转换前后的IP地址和端口号的映射关系;
[0011]负载均衡器,用于将保活报文依据设定的负载均衡的规则发送到某个Portal服务节点上;
[0012]Portal服务节点,用于在收到所述保活报文后存储接入控制设备的设备序列号、NAT转换后的IP地址与端口号、收到保活报文的Portal服务节点IP地址之间的关联关系。
[0013]进一步,所述映射关系是指接入控制设备的私网IP地址、私网端口号对应NAT设备的公网IP地址、公网端口号之间的关系。
[0014]基于认证服务集群的Portal保活方法,包括以下步骤:
[0015]A.接入控制设备通过NAT设备持续向负载均衡器发送携带自身设备序列号的保活报文;
[0016]B.NAT设备在接收到所述接入控制设备发送的保活报文后,对保活报文中的源IP地址和源端口进行NAT转换后发送到负载均衡器,并保存所述接入控制设备转换前后的IP地址和端口号的映射关系;
[0017]C.负载均衡器依据设定的负载均衡规则将保活报文发送到某个Portal服务节点上;
[0018]D.Portal服务节点在接收到所述保活报文后存储所述接入控制设备的序列号、NAT转换后的IP地址与端口号、收到保活报文的Portal服务节点IP地址之间的关联关系。
[0019]进一步的,步骤B中,所述映射关系是指接入控制设备的私网IP地址、私网端口号对应NAT设备的公网IP地址、公网端口号之间的关系。
[0020]基于认证服务集群的Portal认证系统,包括:[0021 ] 认证客户端,用于在访问网络资源时向接入控制设备发出HTTP请求,在HTTP请求被接入控制设备拦截后,向负载均衡器发送经过重定向后的HTTP请求;还用于在收到Portal服务节点推送的认证界面后根据页面内容中携带的Portal服务节点IP直接向该Porta I服务节点发起认证请求;
[0022]接入控制设备,用于对认证客户端发起的HTTP请求进行拦截,判断该客户端是否有访问权限,若无访问权限,则将所述HTTP请求重定向到负载均衡器,并在请求参数中添加自身设备序列号;在收到Portal服务节点发送的Portal认证报文后向Portal服务节点返回Portal认证响应报文;
[0023]NAT设备,用于保存接入控制设备与NAT设备之间的映射关系;在收到Portal服务节点发送的Portal认证报文时,根据映射关系将所述Portal认证报文发送给对应接入控制设备;
[0024]负载均衡器,用于将认证客户端的重定向的HTTP请求依据设定的负载均衡规则发送到某个Porta I服务节点上;
[0025]Portal服务节点,用于在收到认证客户端的重定向的HTTP请求后进行解析获得接入控制设备的设备序列号,并根据所述接入控制设备的设备序列号查询获得该接入控制设备对应保活的Portal服务节点IP,向认证客户端推送认证界面,并在页面内容中携带获得的所述保活的Por ta I服务节点IP;
[0026]在收到认证客户端的认证请求后根据认证请求中携带的设备序列号查询NAT映射后的接入控制设备的IP地址和端口号,然后向NAT设备发送Portal认证报文;并根据对应的接入控制设备返回的Portal认证响应报文响应认证客户端的认证请求。
[0027]进一步的