蓝海卓越WEB认证(WEB PORTAL)原理及组网方式
Portal认证方式具有:不需要安装认证客户端,减少客户端的维护工作量、;便于运营,可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。
目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用.
下图是WEB认证的原理图(CHAP认证):
本文所要描述的就是PortalServer的原理与算法.
PortalServer 和BAS 之间的通讯遵循华为的PORTAL v1.0协议.以下是协议格式:
以下是部分源代码和说明.
typedef struct portal_header
{
u_int8_t ver; //版本,在本例中为1
u_int8_t type; //报文类型
u_int8_t auth_type; //认证类型,CHAP或者PHP,本文为CHAP协议
u_int8_t rsv; //保留字段,恒为零
u_int16_t sn; //序列号,用于关联报文用,在一定时间是不能重复的
u_int16_t reqid; //应答ID
u_int32_t userip; //用户的IP
u_int16_t userport; //用户端口,恒为零
u_int8_t errcode; //错误码,非常有用的字段
u_int8_t attrnum; //属性个数
}portal_header_t;
定义了PORTAL协议的协议头.如果属性个数不为零,那么后面将跟attrnum个属性.
以下是构造挑战报文的代码:
sn=(u_int16_t)(1+(int)(9098.0*rand()/(RAND_MAX+1.0))); //随机码
req_chap->ver=ver;
req_chap->type=REQ_CHALLENGE;
req_chap->auth_type=CHAP;
req_chap->rsv=0x00;
req_chap->sn=sn;
req_chap->reqid=0x00;;
req_chap->userip = in->s_addr; //客户的IP
req_chap->userport=0x0;
req_chap->errcode=0x0;
req_chap->attrnum=0x0;
当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功.接下来就可以发送认证请求报文了,以下是构造请求报文的代码:
(ra->header).ver = 0x01;
(ra->header).type=REQ_AUTH;
(ra->header).auth_type=CHAP;
(ra->header).rsv=0x00;
(ra->header).sn= //新的随机码
(ra->header).reqid = req_chap->reqid;
(ra->header).userip = req_chap->userip;
(ra->header).userport=0x0;
(ra->header).errcode=0x0;
(ra->header).attrnum=0x2;
这个请求报文带两个属性.关键的CHAP密码构造代码如下:
MD5_Init(&ctx);
MD5_Update(&ctx, &reqid, 1);
MD5_Update(&ctx, passwd, strlen(passwd));
MD5_Update(&ctx, challenge, 16);
MD5_Final(d3, &ctx);
如果收到CHAP应答报文,错误代码为零的话,就说明认证成功了.
本程序的使用命令如下:
cr ver protocol basip username password client_ip
ver 协议版本,本文只实现了V1
protocol CHAP 或者PAP ,本文只实现了CHAP,PAP实现起来更简单.
basip BAS的ip ,就是报文发送到的设备IP
username 从WEB过来的用户名
password 从WEB PORTAL 过来的密码
client_ip 客户的IP地址
蓝海卓越Web Portal的组网方式通常如下:
蓝海卓越Web Portal的基本认证过程为:
(1)用户连接到网络后,终端通过DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址(私网或公网);(也可能由BAS直接做DHCP Server)。
(2)用户获取到地址后,可以通过IE访问网页,此时由AC向BAS发起认证请求,BAS为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问portal server和一些内部服务器,个别外部服务器如DNS),并将用户访问其他地址的请求强制重定向到强制Web认证服务器进行访问。表现的结果就是用户连接上但不认证的情况下,只能访问指定的页面,浏览指定页面上的广告、新闻等免费信息。
(3)Portal server通过AC向用户提供认证页面,在该页面中,用户输入帐号和口令,并单击"log in"按钮,也可不输入由帐号和口令,直接单击"Log in"按钮;
(4)该按钮启动portal server上的Java程序,该程序将用户信息(IP地址,帐号和口令)送给网络中心设备BAS;
(5)BAS利用IP地址得到用户的二层地址、物理端口号(如Vlan ID, ADSL PVC ID,PPP session ID),利用这些信息,对用户的合法性进行检查,如果用户输入了帐号,使用用户输入的帐号和口令到Radius server对用户进行认证,如果用户未输入帐号,则认为用户是固定用户,网络设备利用Vlan ID(或PVC ID)查用户表得到用户的帐号和口令,将帐号送到Radius server 进行认证;
(6)Radius Server返回认证结果给BAS;
(7)认证通过后,BAS修改该用户的ACL,用户可以访问外部因特网或特定的网络服务;BAS开始计费。
(8)用户离开网络前,连接到portal server上,单击"断开网络"按钮,系统停止计费,删除用户的ACL和转发信息,限制用户不能访问外部网络;
BRAS需要的配置:
(1) 配置Web Portal认证服务器(包括webportal的IP,端口号,密钥)
(2)配置认证前域(由于Web认证用户在未认证前属于非法用户,无法获取IP地址,也没有
权限访问Web认证服务器,因而也无法进行认证。因此需要在认证前域配置DHCP Server,让未认证的用户先获得IP)
(3)配置认证域(通过认证之后的区域,配置Radius服务器信息)
(4)配置BAS接口(配置接入的用户类型为二层用户,要看具体情况,如果中间有三隔离的话,要配置为三层用户)
(5)配置ACL(为了控制未认证用户只能访问Web认证服务器,需要根据未认证用户的认证前域的user-group,制定相应的ACL,使其只有访问Web认证服务器的权限,而没有其他任何权限。并将ACL应用到BAS接口上)
Note:二次地址分配问题:
二次地址分配是指在802.1X或Web Portal接入方式中,初始DHCP时为用户预分配IP地址(通常为私网地址),在用户通过认证后,重新为用户分配地址(通常为公网地址)的技术。这是因为如果在用户开机后未经过认证,DHCP时全部为用户分配公网IP地址,显然是对IP地址资源的极大浪费。采用二次地址分配则可以较为有效的解决公网地址不足的问题,提高公网地址的利用率。
二次地址分配的配置是在BRAS上配置认证域时配置的,需要启用二次地址分配功能并配置地址池。
无线认证解决方案 篇一:免费Portal(无线接入认证)系统解决方案 免费Portal无线接入认证系统解决方案 natshell基于多年的产品运营经验及对无线网络运营需求的深刻理解,针对中低端用户推出一套免费的“Web Portal无线接入认证系统”,从打造可管理、可运营的无线网络角度出发,致力于为中低端用户建设一个高效可靠、运营成本低的商用无线网络,使无线网络的部署轻松、可靠、高效。 需求分析 在众多的公共场所,如:酒店、咖啡厅、学校、车站、商场等人流众多的地方,商家为了留住客户、解决客户在购物消费和等待时的上网问题,往往配置无线接入点提供给广大客户上网使用,而这种传统的输入密码方式不仅给管理带来了极大的不便,同时也具有一定的不安全性。为了实现方便易用、安全稳定的无线接入认证,需要满足以下需求: 1、方便部署、易于维护; 使用此种解决方案的客户,无线认证规模都不是很大,大部分意向用户看到网上此类方案繁琐的安装介绍就已经选择止步了。而我们提供的免费Portal系统方案,用户可以很方便的进行安装部署,中文管理界面,易于维护。 2、能够在系统中建立上网账户,对用户进行管理; 本系统采用Radius认证的方式,支持标准的Radius协议,用户可以自行选择Radius系统或者和现有的Radius系统对接。
免费版Portal系统集成FreeRadius,能够方便的建立用户上网账户,对用户的上网时长、上传下载等进行有效管理。 3、可以设置认证界面,推送相关信息和广告内容; 认证页面高度定制,可以随意的设置满足自己需求的认证页面,目前支持JAVA、PHP环境。 方案拓扑 方案中所需要的设备主要包括:Portal服务器、胖AP。 Portal服务器:natshell免费版Portal系统,WINDOWS环境,安装在一台WIN系统电脑上即可; 胖AP:natshell胖AP产品分为室内型吸顶式AP和室外型壁挂式AP,均为natshell自主开发的AP固件,集成AP、AC及路由等功能,与natshell免费版Portal系统完美对接。 方案及Portal服务器说明 1、部署简单,不影响现有网络环境; Portal服务程序为WIN环境,大大降低的安装的复杂性,只需要安装在现有环境中任意一台电脑中即可;同时只需要购买natshell一台胖AP产品即可,胖AP支持多种接入方式,完全适应现有的网络环境。 2、用户可以随意的定制认证页面; 除了用户名密码区域必须存在外,其他空白区域用户可以自由定制,支持多种网站页面开发语言,可以随心所欲的打造适合自己的认证页面; 3、方便的用户管理功能;
蓝海卓越WEB认证(WEB PORTAL)原理及组网方式 Portal认证方式具有:不需要安装认证客户端,减少客户端的维护工作量、;便于运营,可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。 目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用. 下图是WEB认证的原理图(CHAP认证): 本文所要描述的就是PortalServer的原理与算法. PortalServer 和BAS 之间的通讯遵循华为的PORTAL v1.0协议.以下是协议格式: 以下是部分源代码和说明. typedef struct portal_header { u_int8_t ver; //版本,在本例中为1 u_int8_t type; //报文类型 u_int8_t auth_type; //认证类型,CHAP或者PHP,本文为CHAP协议 u_int8_t rsv; //保留字段,恒为零 u_int16_t sn; //序列号,用于关联报文用,在一定时间是不能重复的 u_int16_t reqid; //应答ID u_int32_t userip; //用户的IP u_int16_t userport; //用户端口,恒为零 u_int8_t errcode; //错误码,非常有用的字段 u_int8_t attrnum; //属性个数 }portal_header_t; 定义了PORTAL协议的协议头.如果属性个数不为零,那么后面将跟attrnum个属性. 以下是构造挑战报文的代码: sn=(u_int16_t)(1+(int)(9098.0*rand()/(RAND_MAX+1.0))); //随机码 req_chap->ver=ver; req_chap->type=REQ_CHALLENGE; req_chap->auth_type=CHAP;
portal认证系统服务 器原理及应用 Portal认证方式具有:不需要安装认证客户端,减少客户端的维护工作量、;便于运营,可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。 目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码•认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了•所以,手机也可以方面的使用. 下图是WEB认证的原理图(CHAP认证): 连接请求卜 请求Challenge . |定*器[, 買请求Choi 1 沁e成功
请求认证. 匡』器| 矚认证成功_______ *告诉用户认证成功 |定N 器认 收到认 证成功 扌艮文 卜 本文所要描述的就是PortalServer的原理与算法. PortalServer和BAS之间的通讯遵循华为的PORTAL v 1.0协议•以下是协议格式 Attr 以下是部分源代码和说明. typedef struct portaLheader { u_int8_t ver; //版本,在本例中为1 u_int8_t type; //报文类型 u_int8_t auth_type; //认证类型,CHAP或者PHP,本文为CHAP协议 u_int8_t rsv; //保留字段,恒为零 u_intl6_t sn; //序列号,用于关联报文用,在一定时间是不能重复的u_intl6_t reqid; //应答ID
u_int32_t userip; //用户的IP u_intl6_t userport; //用户端口,恒为零 u_int8_t errcode; //错误码,非常有用的字段 u_int8_t attrnum; //属性个数 }portal_header_t; 定义了PORTAL协议的协议头•如果属性个数不为零,那么后面将跟attrnum个属性. 以下是构造挑战报文的代码: sn=(u_int 16_t)( 1 +(int)(9098.0*rand()/(RAND_MAX+1.0))); //随机码 req_chap->ver=ver; req_chap->type=REQ_CHALLENGE; req_chap->auth_type=CHAP; req_chap->rsv=OxOO; req_chap->sn=sn; req_chap->reqid=OxOO;; req_chap->userip = in・>s_addr; // 客户的IP req_chap->userport=OxO; req_chap->errcode=OxO; req_chap->attrnum=OxO; 当收到了type为0x02的报文,并且errcode=0x00时,说明挑战成功•接下来就可以发送认证请求报文了,以下是构造请求报文的代码: (ra->header).ver = 0x01; (ra->header).type=REQ_AUTH: (ra->header).auth_type=CHAP; (ra->header).rsv=0x00; (ra->header).sn= //新的随机码 (ra->header).reqid = req_chap->reqid; (ra->header). u seri p = req_chap->u seri p: (ra->header).userport=OxO;
WebPortal无线接入认证解决方案 1 2020年4月19日
蓝海卓越WebPortal无线接入认证解决方案 科技开创蓝海专业成就卓越
目录 一、项目背景 (1) 二、需求分析 (1) 三、方案设计原则 (2) 四、方案详细说明 (3) 4.1 方案拓扑图 (4) 4.2 方案特色说明 (5) 五、产品介绍 (7) 5.1 蓝海卓越室外型无线AP NS712-POE (7) 5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (11) 5.3 蓝海卓越Portal服务器产品 (14) 六、典型客户案例 (16) 6.1 合肥某商场 (16) 6.2 XX市建设银行 (19) 6.3 XX省图书馆 (21) 6.4 郑州某宽带运营商 (23)
一、项目背景 随着移动终端设备的快速发展,越来越多的人随身携带者手机、平板、笔记本等移动终端。人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈,不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。商家企业经过提供易用的无线网络不但能够使顾客方便的访问互联网,也能够使顾客驻足停留吸引人气增加消费。提供WIFI已经成为商家企业提升服务水平,提高品牌知名度的一种方式。 可是传统的无线网络的接入方式,用户上网需要得知无线密码或者不需要密码直接接入到无线网络中,不但在安全上存在一定的隐患,网络运行也不够稳定更不能对接入用户进行管理控制,实际操作起来也不够方便。更重要的是商家企业并没有经过无线网络跟顾客建立一种良性互动,没有发挥其应有的作用,使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。 二、需求分析 针对当前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题,商场、连锁酒店的无线接入认证解决方案需要满足以下需求: