摘 要： 隨著當今移動互聯(lián)網的快速發(fā)展，WiFi設備成為人們生活當中不可缺少的組成部分，而傳統(tǒng)的無線網絡在接入穩(wěn)定性和安全性方面有待進一步提高。為了解決上述問題，設計了基于FH?AC系統(tǒng)的Portal認證系統(tǒng)。該系統(tǒng)通過對原有Portal協(xié)議進行改進并且采用Socket/HTTP通信和CHAP認證技術等一系列技術來提升系統(tǒng)性能，使整個系統(tǒng)在使用過程中能夠更快更穩(wěn)定地接入當前無線網絡，其系統(tǒng)安全性也得到進一步的提升。

關鍵詞： WiFi設備； FH?AC系統(tǒng)； Portal協(xié)議； Socket/HTTP通信； CHAP認證

中圖分類號： TN926?34 文獻標識碼： A 文章編號： 1004?373X（2015）03?0069?03

Implementation and development of portal authentication technology

base on FH?AC system

WU Di

（Wuhan Institute of Posts and Telecommunications 430074， China）

Abstract： With the rapid development of mobile Internet， WiFi equipments have already been a necessary part of everyone’s life. However， the traditional wireless network needs to be improved in terms of stability and security access. In order to solving these problems， Portal authentication system based on FH?AC system was designed. The system performance was enhanced by improving the original Portal protocol， and using Socket/Http communications and CHAP authentication technology. The whole system is made to be accessed to the current wireless network more fast and more stably. Moreover， the system security has also been further improved.

Keywords： WiFi Equipment； FH?AC system； Portal protocol； Socket/HTTP communication； CHAP authentication

0 引 言

在傳統(tǒng)的組網環(huán)境中，用戶只要能接入局域網設備，就可以訪問網絡中的設備或資源，但為了加強網絡資源的安全控制和運營管理，很多情況下需要對用戶的訪問進行控制。例如，在一些公共場合、小區(qū)或公司的網絡接入點，提供接入服務的供應商希望只允許付費的合法用戶接入，所以供應商為每個用戶提供一個接入網絡的賬號和密碼。正是在這種需求背景下，Portal技術應運而生，它不僅提供了一種靈活的訪問控制方式，而且可以在不用裝客戶端的情況下在接入層保護關鍵數(shù)據處實施訪問控制[1]。

相對于傳統(tǒng)的IEEE 802.1x、PPPoE等認證技術，Portal認證技術具有以下幾個方面的優(yōu)勢：

（1） 不需要部署客戶端，直接使用Web頁面認證，使用方便；

（2） 可以定制“VLAN+端口+IP地址池”粒度級別的個性化認證頁面，同時可以在Portal頁面上開展廣告業(yè)務、服務選擇和信息發(fā)布等內容，進行業(yè)務拓展，實現(xiàn)IP網絡的運營；

（3） 關注對用戶的管理，可基于用戶名與VLAN ID/IP/MAC的捆綁識別來認證，并采用Portal Server和Portal Client之間、BAS和Portal Client之間定期發(fā)送握手報文的方式來進行斷網檢測[2]。

1 Portal協(xié)議的詳述及改進

1.1 Portal系統(tǒng)組成部分

如圖1所示，整個Portal系統(tǒng)主要涉及到以下四個部分的內容，即認證客戶端（Portal Client），Portal服務器（Portal Server），BAS和AAA服務器，下面簡單地介紹各個部分的功能[3]：

（1） Portal Client：這里的Portal客戶端實際上指的就是發(fā)起認證的客戶端系統(tǒng)，即用戶瀏覽器上的PC；

（2） Portal Server：Portal Server是Portal組網中接受客戶端認證請求的服務端系統(tǒng)，提供免費的門戶服務和Web認證的界面，并且與BAS設備之間進行客戶端身份認證；

（3） BAS，即寬帶接入服務器，主要用于向Portal Server重定向HTTP認證請求，并且與Portal Server，AAA服務器完成用戶認證、授權、計費，這里即FH?AC系統(tǒng)；

（4） AAA Server，即認證、授權、計費服務器，通過與BAS進行交互完成認證、授權、計費功能。

以下是整個Portal系統(tǒng)交互工作流程[4]：

（1） 當未認證的用戶訪問該網絡環(huán)境時，在瀏覽器中隨機輸入一個網站地址，該HTTP請求經過BAS設備被強制重定向到Portal Server的Web認證頁面；

（2） 用戶將所需要填寫的的認證信息提交以后，Portal服務器將會經用戶的認證信息傳遞給接入設備；

（3） 接入設備獲取到認證信息以后，再與AAA Server進行認證和計費處理；

（4） 認證通過后，接入設備會打開用戶與互聯(lián)網的通路，即允許用戶訪問互聯(lián)網。

1.2 Portal協(xié)議

整個Portal協(xié)議是由Portal接入協(xié)議和Portal認證協(xié)議兩個部分組成，如圖2所示[5]。

1.2.1 Portal接入協(xié)議及其改進

Portal接入協(xié)議實際上就是指Portal Client通過 HTTP 協(xié)議向Portal Server提交認證信息，而Portal Server向Portal Client推出認證成功或者認證失敗頁面[6]；

在Portal接入協(xié)議當中 Portal Server是整個協(xié)議中的關鍵部分，現(xiàn)有的Portal Server包括Portal Web（認證頁面），Portal Transfer（轉換器）和Portal Kernel（操作系統(tǒng)內核），如圖3所示。

Portal Client和Portal Kernel之間不能相互通信，Portal Client只有通過Portal Web才能與Portal Kernel進行交互，現(xiàn)有的這種接入方式中，訪問目的地的IP地址被接入認證設備截獲，從而接入設備可以仿冒客戶端所請求的IP地址對客戶端進行欺騙，并向客戶端發(fā)送302的錯誤響應，將瀏覽器重定向到Portal Server的URL資源上，達到接入目的，具體流程如圖4所示。

目前這種Portal認證過程中，Portal Server不能直接獲取到接入認證設備的IP地址，必須預先處理好客戶端和接入認證設備之間的映射關系，所以當終端設備發(fā)生移動時，不能保證接入設備能夠精確捕獲終端的位置。

為了改進上述問題，選擇將Portal Server的URL和接入設備的IP地址進行整合，如http：//x.x.x.x：8080/portal/login.jsp？ip=x.x.x.x，其中ip=x.x.x.x表示接入認證設備的IP，而x.x.x.x代表Portal服務器的IP地址，客戶端在訪問Portal Server時在HTTP報文中攜帶新的URL，Portal Server通過解析新的URL來獲取接入認證設備的IP地址，從而使終端確定接入過程中所對應的接入認證設備，然后Portal Server將該Portal URL的鏈接界面通過DWR技術強制推送給客戶端，從而達到強制認證的效果[6]。

1.2.2 Portal認證協(xié)議

Portal認證協(xié)議主要用于規(guī)定Portal Server和接入認證設備之間的交互動作，整個協(xié)議采用打包方式進行組幀，協(xié)議包采用固定長度加可變長度的屬性字段組成，整個字段采用TLV格式，報文認證格式如圖5所示[7]。

下面簡單說明協(xié)議包各個字段的含義：

Ver字段是協(xié)議的版本號，長度為1 B；

Type字段定義報文的類型，長度為1 B；

Pap/Chap字段定義此用戶的認證方式，長度為1 B；

Rsv目前為保留字段，長度為1 B；

SerialNo字段為報文的序列號，長度為2 B，由Portal Server隨機生成；

ReqID為AC發(fā)回的相應字段，字段長度為2 B，由AC隨機生成；

UserIP為Portal客戶端的IP地址，其值由Portal Server根據其獲得的IP地址填寫（即Portal URL）；

UserPort字段目前沒有用到，長度為2 B；

ErrCode字段和Type字段一起表示一定的意義，長度為1 B；

AttrNum字段表示其后邊可變長度的屬性字段屬性的個數(shù)，長度為1 B。

圖5 報文認證格式

整個協(xié)議包采用UDP通信方式進行發(fā)送，當Portal Server向BAS放送請求信息的時候，BAS使用本地端口2000對Portal Server所發(fā)的報文進行監(jiān)聽，使用50100端口對非響應報文進行監(jiān)聽；相反，當BAS向Portal Server發(fā)送響應報文的時候，Portal Server使用本地端口50100監(jiān)聽BAS發(fā)過來的所有報文，使用本地端口2000接收所發(fā)非響應報文，整個交互過程采用UDP SOCKET實現(xiàn)[8]。

2 FH?AC系統(tǒng)Portal認證的實現(xiàn)

當用戶采用DHCP+Web方式進行接入認證時，F(xiàn)H?AC中的Portal模塊與Portal Server的認證過程包括CHAP和PAP兩種認證方式，由于PAP是簡單的二次握手身份驗證協(xié)議，用戶名和密碼都是明文傳送，安全性低，所以在這里采用三次握手身份驗證，安全性更高的CHAP認證方式作為主要的實現(xiàn)方法。

FH?AC中Portal技術的CHAP認證方式流程，如圖6所示。下面詳細介紹現(xiàn)Portal的CHAP認證[9]過程：

（1）當Portal Server將強制認證界面推送給客戶端以后，客戶端被要求填寫用戶名和密碼進行上網認證。

（2）當用戶輸入正確的用戶名和密碼，并且點擊提交以后，客戶端將一個HTTP Post Portal?url通過HTTP通信協(xié)議傳送給FH?AC的IP模塊，如果這個HTTP數(shù)據包中IP地址與Portal Server的IP地址吻合，則正常轉發(fā)。

（3）在正常轉發(fā)的情況下，IP模塊直接與Portal Server交互，通過HTTP組包，將客戶端發(fā)送的HTTP Post Portal?url直接發(fā)送給Portal Server。

圖6 CHAP認證方式流程

（4） 如果Portal Server認證Portal?url成功，Portal Server就會向Portal模塊發(fā)送一個REQ_CHALLENAGE請求報文；當Portal模塊收到請求報文以后，隨即向Portal Server發(fā)送ACK_CHALLENGE確認報文，確認報文中包含IP地址，CHALLENGE報文以及ReqID[10]。

（5） 當Portal Server收到ACK_CHALLENGE以后，發(fā)起第三次握手，當Portal模塊收到Portal Server發(fā)送過來的REQ_AUTH消息后，會向FH?AC中的CC模塊發(fā)送此消息（即PORTAL_CC_REQ_AUTH），通知CC模塊進行認證（與RADIUS服務器的Access_Request交互流程）。

（6） CC模塊在認證完成后，向Portal模塊發(fā)送CC_PORTAL_ACK_AUTH，通知認證結果，若認證失敗，則釋放資源，認證成功Portal模塊向Portal Server發(fā)送ACK_AUTH，Portal Server隨即向BAS的IP模塊發(fā)送HTTP Post Portal?url。

（7） 同時在收到Portal Server的AFF_ACK_AUTH消息后，Portal模塊會向CC模塊發(fā)送PORTAL_CC_ AFF_ACK_AUTH，表示整個認證過程已經完成。

3 結 語

本文首先對Portal技術產生的背景進行簡單的概述，然后分別從Portal系統(tǒng)組成，Portal協(xié)議，Portal的CHAP認證方式這三個方面進行了詳細的描述，其中重點介紹了基于Portal接入協(xié)議的一些改進方式和Portal的CHAP認證方式。與此同時，隨著移動互聯(lián)網技術不斷的革新，WiFi技術的普及程度也越來越高，Portal技術的穩(wěn)定性，可靠性以及卓越的性能必將使其在眾多無線接入技術中脫穎而出，會被越來越多的人所接受和使用。

參考文獻

[1] 董兆殷.基于Portal 認證的校園WLAN安全設計及應用[J].中國新技術新產品，2010（11）：56?58.

[2] 馬燕，范植華.Web/ Portal認證技術研究[J].微電子學與計算機，2011（8）：106?108.

[3] 王剛，王欣，馮銘能.一種基于Web Portal架構的校園網用戶二次認證方案[J].廣東通信技術，2014（2）：70?72.

[4] 周訓斌.Portal認證的組網配置[J].武漢大學學報，2008（3）：147?149.

[5] 杭州華三通信技術有限公司.一種Portal認證的方法、系統(tǒng)及設備：中國，CN101702717B[P].2013?04?17.

[6] 王彬.基于Portal的個性化網站定制工具的研發(fā)與應用[D].濟南：山東大學，2013.

[7] 中國移動.QB?D?026?2008 中國移動WLAN業(yè)務Portal協(xié)議規(guī)范[S].北京：中國移動，2008.

[8] 盧暢.Portal認證系統(tǒng)的設計與實現(xiàn)[D].武漢：華中科技大學，2013.

[9] 雷曉勇.基于Portal協(xié)議的網絡訪問控制系統(tǒng)的設計和實現(xiàn)[D].武漢：華中科技大學，2011.

[10] 何贊.基于輕量級框架的Portal設計和實現(xiàn)[D].北京：北京交通大學，2007.

[11] 劉旭.基于Portal協(xié)議的安全認證接入的設計與實現(xiàn)[D].西安：西安電子科技大學，2013.