imc做portal认证的完整报文交互流程
- 0关注
- 0收藏,46浏览
有的 ,参考:
1.1.7 Portal认证流程
直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。
1. 直接认证和可跨三层Portal认证的流程(CHAP/PAP认证方式)
图1-3 直接认证/可跨三层Portal认证流程图
直接认证/可跨三层Portal认证流程:
(2) Portal用户通过HTTP/HTTPS协议访问外部网络。HTTP/HTTPS报文经过接入设备时,对于访问Portal Web服务器或设定的免认证地址的HTTP/HTTPS报文,接入设备允许其通过;对于访问其它地址的HTTP/HTTPS报文,接入设备将其重定向到Portal Web服务器。Portal Web服务器提供Web页面供用户输入用户名和密码。
(3) Portal Web服务器将用户输入的信息提交给Portal认证服务器进行认证。
(4) Portal认证服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)认证交互。若采用PAP(Password Authentication Protocol,密码认证协议)认证则直接进入下一步骤。采用哪种认证交互方式由Portal认证服务器决定。
(5) Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(6) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(7) 接入设备向Portal认证服务器发送认证应答报文,表示认证成功或者认证失败。
(8) Portal认证服务器向客户端发送认证成功或认证失败报文,通知客户端认证成功(上线)或失败。
(9) 若认证成功,Portal认证服务器还会向接入设备发送认证应答确认。若是iNode客户端,则还需要进行以下安全扩展功能的步骤,否则Portal认证过程结束,用户上线。
(10) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(11) 安全策略服务器根据安全检查结果授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(9)、(10)为Portal认证安全扩展功能的交互过程。
2. 二次地址分配认证方式的流程(CHAP/PAP认证方式)
图1-4 二次地址分配认证方式流程图
二次地址分配认证流程:
(2) Portal用户通过HTTP/HTTPS协议访问外部网络。HTTP/HTTPS报文经过接入设备时,对于访问Portal Web服务器或设定的免认证地址的HTTP/HTTPS报文,接入设备允许其通过;对于访问其它地址的HTTP/HTTPS报文,接入设备将其重定向到Portal Web服务器。Portal Web服务器提供Web页面供用户输入用户名和密码。
(3) Portal Web服务器将用户输入的信息提交给Portal认证服务器进行认证。
(4) Portal认证服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)认证交互。若采用PAP(Password Authentication Protocol,密码认证协议)认证则直接进入下一步骤。采用哪种认证交互方式由Portal认证服务器决定。
(5) Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(6) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(7) 接入设备向Portal认证服务器发送认证应答报文,表示认证成功或者认证失败。
(8) Portal认证服务器向客户端发送认证成功或认证失败报文,通知客户端认证成功(上线)或失败。
(9) 客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal认证服务器用户已获得新IP地址。
(10) Portal认证服务器通知接入设备客户端获得新公网IP地址。
(11) 接入设备通过DHCP模块得知用户IP地址变化后,通告Portal认证服务器已检测到用户IP变化。
(12) 当Portal认证服务器接收到客户端以及接入设备发送的关于用户IP变化的通告后,通知客户端上线成功。
(13) Portal认证服务器向接入设备发送IP变化确认报文。
(14) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(15) 安全策略服务器根据用户的安全性授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(13)、(14)为Portal认证扩展功能的交互过程。
1.1.8 Portal支持EAP认证
EAP认证仅能与iMC的Portal服务器以及iNode Portal客户端配合使用,且仅使用远程Portal服务器的Portal认证支持该功能。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-5 Portal支持EAP认证协议交互示意图
如图1-5所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置
1. 用户终端→网关设备:用户终端发起未认证的HTTP请求(如GET访问任意公网URL),报文携带终端IP、MAC地址,目标为公网地址。
2. 网关设备→用户终端:网关检测到用户未认证,返回HTTP 302重定向响应,Location字段指向IMC Portal服务器的认证页面URL,同时附带deviceip(网关IP)、mac(终端MAC)等唯一标识参数。
3. 用户终端→IMC Portal服务器:终端收到重定向后,向Portal服务器发送HTTP GET请求,获取认证页面资源,报文携带重定向阶段的标识参数。
4. IMC Portal服务器→用户终端:Portal服务器返回HTTP 200响应,推送完整的Portal认证页面(包含账号密码输入框、提交按钮等前端HTML/CSS/JS资源)。
暂无评论
您好,参考
有简单流程
4. RADIUS的基本消息交互流程
用户、RADIUS客户端和RADIUS服务器之间的交互流程如图1-3所示。
图1-3 RADIUS的基本消息交互流程
消息交互流程如下:
(1) 用户发起连接请求,向RADIUS客户端发送用户名和密码。
(2) RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下利用MD5算法进行加密处理。
(3) RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。
(6) 用户开始访问网络资源。
(7) 用户请求断开连接。
(8) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。
(9) RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。
(10) 通知用户结束访问网络资源。
1.1.7 Portal认证流程
直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。
1. 直接认证和可跨三层Portal认证的流程(CHAP/PAP认证方式)
图1-3 直接认证/可跨三层Portal认证流程图
直接认证/可跨三层Portal认证流程:
(1) Portal用户通过HTTP/HTTPS协议访问外部网络。HTTP/HTTPS报文经过接入设备时,对于访问Portal Web服务器或设定的免认证地址的HTTP/HTTPS报文,接入设备允许其通过;对于访问其它地址的HTTP/HTTPS报文,接入设备将其重定向到Portal Web服务器。Portal Web服务器提供Web页面供用户输入用户名和密码。
(2) Portal Web服务器将用户输入的信息提交给Portal认证服务器进行认证。
(3) Portal认证服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)认证交互。若采用PAP(Password Authentication Protocol,密码认证协议)认证则直接进入下一步骤。采用哪种认证交互方式由Portal认证服务器决定。
(4) Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(5) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(6) 接入设备向Portal认证服务器发送认证应答报文,表示认证成功或者认证失败。
(7) Portal认证服务器向客户端发送认证成功或认证失败报文,通知客户端认证成功(上线)或失败。
(8) 若认证成功,Portal认证服务器还会向接入设备发送认证应答确认。若是iNode客户端,则还需要进行以下安全扩展功能的步骤,否则Portal认证过程结束,用户上线。
(9) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(10) 安全策略服务器根据安全检查结果授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(9)、(10)为Portal认证安全扩展功能的交互过程。
2. 二次地址分配认证方式的流程(CHAP/PAP认证方式)
图1-4 二次地址分配认证方式流程图
二次地址分配认证流程:
(1)~(7)同直接/可跨三层Portal认证中步骤(1)~(7)。
(8) 客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal认证服务器用户已获得新IP地址。
(9) Portal认证服务器通知接入设备客户端获得新公网IP地址。
(10) 接入设备通过DHCP模块得知用户IP地址变化后,通告Portal认证服务器已检测到用户IP变化。
(11) 当Portal认证服务器接收到客户端以及接入设备发送的关于用户IP变化的通告后,通知客户端上线成功。
(12) Portal认证服务器向接入设备发送IP变化确认报文。
(13) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(14) 安全策略服务器根据用户的安全性授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(13)、(14)为Portal认证扩展功能的交互过程。
暂无评论
一、整体流程分 4 大阶段
- 重定向阶段(用户触发,设备劫持 HTTP)
- Portal 页面推送阶段(你最关心的部分)
- Portal 认证交互阶段(Portal 协议报文)
- RADIUS 认证 & 授权放行阶段
二、阶段 1:重定向(用户第一次上网)
- 终端:
GET http://www.baidu.com - 接入设备(交换机 / AC)拦截 80 端口:
- 不转发,直接回:plaintext
HTTP/1.1 302 Found Location: http://<iMC-Portal-IP>:8080/portal?userip=10.40.98.3&nasip=172.16.1.250
- 不转发,直接回:
- 终端收到 302,自动访问 iMC Portal 地址。
这个阶段 还没有 Portal 协议报文,只有 HTTP 302。
三、阶段 2:Portal 页面推送(你最关心的部分)
http://imc/portal?userip=xxx&nasip=xxx报文 1:终端 → iMC(HTTP GET 认证页面)
GET /portal?userip=10.40.98.3&nasip=172.16.1.250 HTTP/1.1
Host: ***.***
报文 2:iMC → 接入设备(PORTAL_FAST_AUTH_QUERY(48))
Packet Type: PORTAL_FAST_AUTH_QUERY(48)
UserIP: 10.40.98.3
NAS-IP: 172.16.1.250
报文 3:接入设备 → iMC(PORTAL_FAST_AUTH_RESPONSE(49))
- 如果没开快速认证 / MAC 未绑定:返回 允许推送页面
- 如果开了快速认证:返回 直接放行,不弹页面(你之前的故障点)
报文 4:iMC → 终端(HTTP 200 OK,下发登录页面)
HTTP/1.1 200 OK
Content-Type: text/html
<html>
<body>请输入账号密码</body>
</html>
四、阶段 3:Portal 认证交互(输入账号密码后)
报文 5:终端 → iMC(HTTP POST 账号密码)
POST /portal/login HTTP/1.1
username=test&password=123456
报文 6:iMC → 接入设备(REQ_AUTH (3) 认证请求)
Packet Type: REQ_AUTH(3)
UserIP: 10.40.98.3
UserName: test
Password: 123456(CHAP 是密文)
报文 7:接入设备 → iMC(CHAP 挑战(可选))
Packet Type: CHALLENGE(5)
Challenge: 随机字符串
报文 8:iMC → 接入设备(CHAP 应答)
Packet Type: REQ_AUTH(3)(带加密后的密码)
五、阶段 4:RADIUS 认证 & 放行
报文 9:接入设备 → iMC RADIUS(Access-Request)
RADIUS Code: 1(Access-Request)
User-Name: test
User-Password: xxx
NAS-IP-Address: 172.16.1.250
报文 10:iMC → 接入设备(Access-Accept)
RADIUS Code: 2(Access-Accept)
Authorization: 放行所有
报文 11:接入设备 → iMC(AUTH_SUCCESS (11) 认证成功)
Packet Type: AUTH_SUCCESS(11)
UserIP: 10.40.98.3
报文 12:iMC → 终端(HTTP 跳转成功页)
HTTP/1.1 200 OK
Location: http://www.baidu.com
六、关键总结(对应你日志)
- PORTAL_FAST_AUTH_QUERY(48) = iMC 查设备:要不要免认证?
- 如果设备回 49 允许推送页面 → 正常弹页
- 如果开了 fast-auth → 设备直接放行,不弹页(你之前的问题)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论