专利名称:门户认证方法和系统的制作方法
技术领域:
本发明涉及IT设备认证技术领域,特别涉及一种基于网络地址转换444(NetWOrkAddress Translation 444, NAT444)的门户(Portal)认证方法和系统。
背景技术:
随着公有IPv4地址即将枯竭,IPV6技术还未能成熟商用,NAT444技术是公认的过渡技术之一。
NAT444方案主要思想是将NAT44部署位置提高,由运营商部署运营级NAT44设备CGN,同时与用户侧的NAT组成两级地址转换,形成三块地址空间,即用户侧私有地址、运营商私有地址、公网地址。这也是NAT444名称的由来。NAT444方案可以提高IPv4地址的复用率,缓解地址枯竭问题,而且便于部署,只需在汇聚层或者核心层增加CGN设备即可,无需进行较大规模的设备替换。从用户感知度、技术成熟度和部署难易度等方面考虑,NAT444是目前比较好的方案。
目前,WLAN(Wireless Local Area Networks,无线局域网络)Portal 流程图如图1所示,主要包括:终端获取公网IP地址后,发起对应的HTTP (HyperText TransferProtocol,超文本传输协议)请求(步骤 102) ;BRAS (Broadband Remote Access Server,宽带远程接入服务器)将终端的HTTP请求重定向到Portal地址(步骤104);终端将Portal页面上输入的用户名、密码等参数发送到Portal,发起认证请求(步骤106) ;Portal根据终端的公网IP地址获得BRAS设备地址,将用户名密码等参数通过接口传递给BRAS设备(步骤108) ;BRAS设备向AAA发起认证请求(步骤110) ;AAA回应认证结果给BRAS设备(步骤112) ;BRAS设备回应认证结果给Portal (步骤114) ;Portal展示认证结果页面给终端(步骤116)。
在NAT444环境下,用户通过WLan Portal认证上网时,无线网卡首先会获取一个IP地址,该地址是私网IP地址。当用户访问Portal页面的时候,Portal服务器获取到的是该私网IP经过NAT以后的公网IP地址。此时WLAN Portal无法知晓用户是从哪台BRAS接入的,后续Portal和BRAS交互的流程也就无法运行,因此无法和BRAS设备进行交换完成认证。发明内容
本发明的发明人发现上述现有技术中存在问题,并因此针对所述问题中的至少一个问题提出了一种新的技术方案。
本发明的一个目的是提供一种用于基于NAT444的Portal认证的技术方案。
根据本发明的第一方面,提供了一种基于NAT444的Portal认证方法,包括:BRAS设备将终端的HTTP请求重定向到Portal地址,并携带终端的私网IP地址;终端根据Portal地址携带终端的私网IP地址访问Portal ;Portal根据终端的私网IP地址获得BRAS设备地址;Portal根据BRAS设备地址向BRAS设备发起认证请求;BRAS设备向Portal返回认证结果以便展示给终端。
可选地,Portal根据终端的私网IP地址获得BRAS设备地址包括:Portal根据预配置的私网IP地址和BRAS设备地址的对应关系获得与终端的私网IP地址对应的BRAS设备地址;预配置的私网IP地址和BRAS设备地址的对应关系中一个私网IP地址对应唯——个BRAS设备地址。
可选地,Portal根据BRAS设备地址向BRAS设备发起认证请求包括:Portal推送统一认证页面给终端;Portal接收来自终端的通过统一认证页面输入的用户名和密码;Portal根据BRAS设备地址向BRAS设备发起认证请求,认证请求中包括用户名和密码以及终端的私网IP地址。
可选地,BRAS设备向Portal返回认证结果包括:BRAS设备向AAA发起认证请求;AAA返回认证结果给BRAS设备;BRAS设备将认证结果发给Portal。
可选地,通过UserIP字段携带终端的私网IP地址。
根据本发明的另一方面,提供一种基于NAT444的Portal认证系统,包括:BRAS设备,用于接收来自终端的HTTP请求,将终端的HTTP请求重定向到Portal地址并携带终端的私网IP地址,以便终端向Portal发送携带终端的私网IP地址访问请求;接收来自Portal的认证请求,向Portal返回认证结果;Portal,用于接收来自终端的携带终端的私网IP地址的访问请求,根据预配置的私网IP地址和BRAS设备地址的对应关系获得与终端的私网IP地址对应的BRAS设备地址;根据BRAS设备地址向BRAS设备发起认证请求,接收来自BRAS设备的认证结果以便展示给终端。
可选地,预配置的私网IP地址和BRAS设备地址的对应关系中一个私网IP地址对应唯——个BRAS设备地址。
可选地,Portal接收来自终端的携带终端的私网IP地址的访问请求后,推送统一认证页面给终端;接收来自终端的通过统一认证页面输入的用户名和密码,根据BRAS设备地址向BRAS设备发起认证请求,认证请求中包括用户名和密码。
可选地,BRAS设备向AAA发起认证请求,接收AAA返回的认证结果,将认证结果发给 Portal。
可选地,通过UserIP字段携带终端的私网IP地址。
本发明的一个优点在于,通过BRAS设备和Portal服务器实现了基于NAT444Portal的认证,能较快速地部署应用。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1示出现有技术中WLAN Portal认证的流程图2示出本发明基于NAT444的WLAN Portal认证方法的一个实施例的流程图3示出本发明基于NAT444的WLAN Portal认证方法的另一个实施例的流程图4为BRAS在HTTP报文里封装UserIp字段的报文示例;
图5示出包括UserIP字段的认证报文的例子。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图2示出本发明基于NAT444的WLAN Portal认证方法的一个实施例的流程图。
如图2所示,步骤202,BRAS设备将终端的HTTP请求重定向到Portal地址,并携带终端的私网IP地址。NAT444场景下,用户到WLAN热点,获取的IP地址是私网IP地址,用户用这个私网IP上网的时候,访问请求首先到BRAS设备,此时BRAS设备根据用户http请求报文可以获得用户的私网IP地址。
步骤204,终端根据Portal地址携带终端的私网IP地址访问Portal。
步骤206,Portal根据终端的私网IP地址获得BRAS设备地址。例如,Portal根据预配置的私网IP地址和BRAS设备地址的对应关系获得与终端的私网IP地址对应的BRAS设备地址,预配置的私网IP地址和BRAS设备地址的对应关系中一个私网IP地址对应唯 个BRAS设备地址。
步骤208,Portal根据BRAS设备地址向BRAS设备发起认证请求。
步骤210, BRAS设备向Portal返回认证结果以便展示给终端。
上述实施例中,提出一种NAT444场景下WLan Portal认证方法,能够解决NAT444场景下,WLan Portal用户的接入认证,并能较快速地部署应用。
在一个实施例中,在Portal服务器上配置BRAS设备和私网IP地址的映射关系,例如,(BRAS设备地址:地址池起始IP,地址池结束IP)的对应表。WLan Portal根据来访的用户私网IP就能直接定位用户是从哪台BRAS设备接入的,将用户在Portal网页上输入的用户名和密码通过和BRAS的接口发送给对应的BRAS设备。
图3示出本发明基于NAT444的WLAN Portal认证方法的另一个实施例的流程图。该实施例中提供在认证全流程定义一个属性携带用户私网IP的解决方案,该属性暂定为wlanuserip。
如图3所示,步骤302,终端获取要访问网址的IP地址后,发起HTTP请求,HTTP请求中包括终端的私网IP地址。
步骤304,HTTP请求到达BRAS设备,BRAS设备将HTTP请求重定向到Portal页面,在重定向地址后携带wlanuserip参数值,该wlanuserip参数值携带终端的私网IP地址。
步骤306,终端访问Portal,携带wlanuserip参数值。
步骤308, Portal获取wlanuserip,推送统一认证页面给终端。
步骤310,终端将用户在Portal页面上输入的用户名、密码等参数发送到Portal,发起认证请求。
步骤312, Portal利用wlanuserip确定对应的BRAS设备,向BRAS设备发起认证请求,认证请求中包括终端的私网IP地址。
步骤314, BRAS 设备向 AAA (Authentication、Authorization、Accounting,验证、授权和记账)服务器发起认证请求。
步骤316,AAA回应认证结果给BRAS设备
步骤318, BRAS设备回应认证结果给Portal。
步骤320, Portal展示认证结果页面给用户,认证成功则提供携带wlanuserip参数值的下线按钮或连接。
上述实施例中,提供了一种NAT444场景下的WLAN Portal的实现方法,该方法通过在BRAS重定向报文中携带wlanuserip属性,用于传递用户获取的私网IP属性;当用户访问Portal认证页面时,Portal即可获取该用户的私网IP,由于Portal平台在热点建设和开放的时候已经建立了 BRAS设备IP和私网IP地址池的关联关系,Portal认证平台可以通过用户私网IP确定该用户的接入设备,从而实现Portal平台和BRAS设备的交互,完成Portal用户的认证、下线等功能。
在NAT444环境下,使用本方案解决PC或手机终端通过WLanPortal认证的问题,对BRAS和Portal服务器进行修改:BRAS通过报文字段将终端的私网IP地址携带给Portal服务器,Portal服务器获得终端的私网IP地址后,在发送认证报文时,把该认证报文的userlp字段填充为终端的私网IP地址。具体如下:
UBRAS通过命令行定义携带终端私网IP地址的字段名称,默认是wlanuserip字段。发送给Portal的报文,利用报文的HTTP报文体中的wlanuserip字段,将该HTTP字符串内包含的IP地址信息配置成为用户分配的私网IP地址;
2,Portal服务器根据HTTP携带的wlanuserip字符串获取用户的私网IP地址信息,将用户的私网IP地址而不是IP报文中的源IP地址(此时该源IP地址已经替换为公网IP地址)封装在认证请求报文中发送给BRAS。
在设备重定向用户请求时,由BRAS构造以下HTTP重定向报文返回给用户浏览器:
BRAS在HTTP报文里封装UserIp字段:
权利要求
1.一种基于NAT444的门户(Portal)认证方法,其特征在于,包括: 宽带远程接入服务器(BRAS)设备将终端的HTTP请求重定向到Portal地址,并携带所述终端的私网IP地址; 所述终端根据所述Portal地址携带所述终端的私网IP地址访问Portal ; 所述Portal根据所述终端的私网IP地址获得BRAS设备地址; 所述Portal根据所述BRAS设备地址向BRAS设备发起认证请求; 所述BRAS设备向所述Portal返回认证结果以便展示给所述终端。
2.根据权利要求1所述的方法,其特征在于,所述Portal根据所述终端的私网IP地址获得BRAS设备地址包括: 所述Portal根据预配置的私网IP地址和BRAS设备地址的对应关系获得与所述终端的私网IP地址对应的BRAS设备地址;所述预配置的私网IP地址和BRAS设备地址的对应关系中一个私网IP地址对应唯——个BRAS设备地址。
3.根据权利要求1所述的方法,其特征在于,所述Portal根据所述BRAS设备地址向BRAS设备发起认证请求包括: 所述Portal推送统一认证页面给所述终端; 所述Portal接收来自所述终端的通过所述统一认证页面输入的用户名和密码; 所述Portal根据所述BRAS设备地址向BRAS设备发起认证请求,所述认证请求中包括所述用户名和密码以及所述终端的私网IP地址。
4.根据权利要求1所述的方法,其特征在于,所述BRAS设备向所述Portal返回认证结果包括: 所述BRAS设备向AAA发起认证请求; 所述AAA返回认证结果给所述BRAS设备; 所述BRAS设备将所述认证结果发给所述Portal。
5.根据权利要求1至4中任意一项所述的方法,其特征在于,通过UserIP字段携带所述终端的私网IP地址。
6.一种基于NAT444的门户( Portal)认证系统,其特征在于,包括: 宽带远程接入服务器(BRAS)设备,用于接收来自终端的HTTP请求,将所述终端的HTTP请求重定向到Portal地址并携带所述终端的私网IP地址,以便所述终端向所述Portal发送携带所述终端的私网IP地址访问请求;接收来自Portal的认证请求,向所述Portal返回认证结果; 所述Portal,用于接收来自所述终端的携带所述终端的私网IP地址的访问请求,根据预配置的私网IP地址和BRAS设备地址的对应关系获得与所述终端的私网IP地址对应的BRAS设备地址;根据所述BRAS设备地址向BRAS设备发起认证请求,接收来自所述BRAS设备的认证结果以便展示给所述终端。
7.根据权利要求6所述的系统,其特征在于,所述预配置的私网IP地址和BRAS设备地址的对应关系中一个私网IP地址对应唯——个BRAS设备地址。
8.根据权利要求6所述的系统,其特征在于,所述Portal接收来自所述终端的携带所述终端的私网IP地址的访问请求后,推送统一认证页面给所述终端;接收来自所述终端的通过所述统一认证页面输入的用户名和密码,根据所述BRAS设备地址向BRAS设备发起认证请求,所述认证请求中包括所述用户名和密码以及所述终端的私网IP地址。
9.根据权利要求6所述的系统,其特征在于,所述BRAS设备向AAA发起认证请求,接收所述AAA返回的认证结果,将所述认证结果发给所述Portal。
10.根据权利要求6至9中任意一项所述的系统,其特征在于,通过UserIP字段携带所述终端的私网IP地址。
全文摘要
本发明公开了一种基于网络地址转换444的Portal认证方法和系统,涉及IT设备认证技术领域。通过在BRAS重定向报文中携带wlanuserip属性,用于传递用户获取的私网IP属性,当用户访问Portal认证页面时,Portal即可获取该用户的私网IP,由于Portal平台在热点建设和开放的时候已经建立了BRAS设备IP和私网IP地址池的关联关系,Portal认证平台可以通过用户私网IP确定该用户的接入设备,从而实现Portal平台和BRAS设备的交互,完成Portal用户的认证、下线等功能。
文档编号H04L29/12GK103209159SQ20121000973
公开日2013年7月17日 申请日期2012年1月13日 优先权日2012年1月13日
发明者徐良红 申请人:中国电信股份有限公司