什么是portal认证服务器???

什么是portal认证服务器???,第1张

Portal服务器也就是接收Portal客户端认证请求的服务器端系统,其主要作用是提供免费的门户服务和基于Web认证的界面,以及接入设备交互认证客户端的认证信息。其中的Web认证方案首先需要给用户分配一个地址,用于访问门户网站。

PORTAL 基于浏览器,采用的是B/S构架, 对不同权限的用户下发不同的VLAN  访问不同的服务器资源,当通过认证后才能访问internet资源,Portal认证方式不需要安装认证客户端, 减少了客户端的维护工作量,便于运营。

可以在Portal页面上开展业务拓展,如展示商家广告, 联系方式等基本信息。Portal广泛应用于运营商、学校等网络。

扩展资料:

Portal认证的设备要素

Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常交换机/AC会内置Portal服务器,帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能,内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。

如果需要实现微信接入、短信接入等复杂的功能,考虑到接入设备性能和认证体验,内置Portal服务器恐怕难以胜任,需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。

认证客户端:运行HTTP协议的浏览器或运行Portal客户端软件的主机。

接入设备:交换机、路由器或AC(Access Controller)等宽带接入设备的统称。如果把网络看成一栋高楼,那接入设备就是门卫,要进屋必须由门卫放行。

接入设备主要有三方面的作用: 在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。 在认证过程中,与Portal服务器、AAA服务器交互,完成身份认证/授权的功能。 在认证通过后,允许用户访问被管理员授权的互联网资源。

Portal服务器:接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

Portal作为网关服务于因特网的一种WEB站点。Portal是链路、内容和为用户可能找到的感兴趣的信息(如新闻、天气、娱乐、商业站点、聊天室等)的指南服务的集合。Yahoo、Excite、MSN.com和Netscape NetCenter都是Portal。

参考资料:百度百科——Portal

EAP-MD5:

(1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;

(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;

(4) 接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;

(5) 认证服务器产生一个Challenge,通过接入设备将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;

(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;

(8) 接入设备将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;

(9) RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;

(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCPRelay),通过接入设备获取规划的IP地址;

(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;

EAP-PEAP:

(12) RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

EAP-PEAP:

(1)TLS 握手阶段

申请者向认证者发送EAPOL-Start 帧,启动802.1x 认证流程。认证者向申请者发送

EAP-Request/Idnetity消息,要求申请者提供自己的身份。申请者发送EAP-Response/Identity

消息给认证者,消息中的Identity 域存放用户的网络访问标识符(Network Access Identifier,

NAI),一般为用户名@域名的形式。认证者将此EAP 消息通过RADIUS 协议封装后,转

发给认证服务器。认证服务器开始PEAP 认证,发送EAP-Request/PEAP/Start 消息给认证者,

认证者将其转发给申请者。这时开始TLS 握手过程,建立TLS 隧道。

申请者发送 EAP-Response/Clint_Hello 消息发送给认证者,Client_Hello 握手消息包含

TLS 版本号、客户端随机数、会话ID、客户端支持的密码算法套件和压缩算法(为NULL)。

认证者将EAP 消息转发给认证服务器。认证服务器从Client_Hello 消息中的密码算法套件挑

选出自己支持的一组密码算法,连同服务器端随机数、会话ID、压缩算法组成Server_Hello

消息。Server_Hello、服务器端证书、Server_Key_Exchange 和Server_Hello_Done消息被封

装到EAP 消息中发送给认证者,认证者转发这个EAP 消息给申请者。申请者收到后验证服

务器的数字证书,并回复给服务器密钥材料Clinet_Key_Exchange、Change_Cipher_ Spec 和

Finisisd 消息。认证服务器接收到认证者发来的EAP 消息后,验证Finished 消息的正确性,

并回复自己的Change_Cipher_Spec 和Finished 消息给申请者。申请者收到认证服务器的消

息后校验Finished 消息,并发送一个空响应给认证服务器来进行第二阶段认证。此时申请者

和认证服务器协商都推导出会话密钥,从而建立了一个加密隧道,为接下来的第二阶段EAP

认证提供机密性和完整性服务。

(2)隧道阶段

利用 TLS 记录层协议,认证服务器初始化一个新的EAP 认证。新的交换过程根据具体

EAP 认证方法的要求,完成对申请者身份的认证。值得注意的是,当这一阶段认证方法结

束之后,在隧道内认证服务器和申请者会互相发送一个EAP-TLV/ Result-TLV 数据包来揭示

认证的结果。最后认证服务器根据第二阶段EAP 方法的认证结果,发送给认证者和申请者

的EAP-Success 或EAP-Failure 消息,整个PEAP 认证过程结束。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/279343.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-04-21
下一篇2023-04-21

发表评论

登录后才能评论

评论列表(0条)

    保存