wbc560

1.1.7  Portal認證流程

直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程，所以其認證流程和另外兩種認證方式有所不同。

1. 直接認證和可跨三層Portal認證的流程（CHAP/PAP認證方式）

圖1-3 直接認證/可跨三層Portal認證流程圖

直接認證/可跨三層Portal認證流程：

(1)     Portal用戶通過HTTP/HTTPS協議訪問外部網絡。HTTP/HTTPS報文經過接入設備時，對於訪問Portal Web服務器或設定的免認證地址的HTTP/HTTPS報文，接入設備允許其通過；對於訪問其它地址的HTTP/HTTPS報文，接入設備將其重定向到Portal Web服務器。Portal Web服務器提供Web頁麵供用戶輸入用戶名和密碼。

(2)     Portal Web服務器將用戶輸入的信息提交給Portal認證服務器進行認證。

(3)     Portal認證服務器與接入設備之間進行CHAP（Challenge Handshake Authentication Protocol，質詢握手認證協議）認證交互。若采用PAP（Password Authentication Protocol，密碼認證協議）認證則直接進入下一步驟。采用哪種認證交互方式由Portal認證服務器決定。

(4)     Portal認證服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備，同時開啟定時器等待認證應答報文。

(5)     接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。

(6)     接入設備向Portal認證服務器發送認證應答報文，表示認證成功或者認證失敗。

(7)     Portal認證服務器向客戶端發送認證成功或認證失敗報文，通知客戶端認證成功（上線）或失敗。

(8)     若認證成功，Portal認證服務器還會向接入設備發送認證應答確認。若是iNode客戶端，則還需要進行以下安全擴展功能的步驟，否則Portal認證過程結束，用戶上線。

(9)     客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。

(10)     安全策略服務器根據安全檢查結果授權用戶訪問指定的網絡資源，授權信息保存到接入設備中，接入設備將使用該信息控製用戶的訪問。

步驟(9)、(10)為Portal認證安全擴展功能的交互過程。

2. 二次地址分配認證方式的流程（CHAP/PAP認證方式）

圖1-4 二次地址分配認證方式流程圖

二次地址分配認證流程：

(1)～(7)同直接/可跨三層Portal認證中步驟（1）～（7）。

(8)     客戶端收到認證通過報文後，通過DHCP獲得新的公網IP地址，並通知Portal認證服務器用戶已獲得新IP地址。

(9)     Portal認證服務器通知接入設備客戶端獲得新公網IP地址。

(10)     接入設備通過DHCP模塊得知用戶IP地址變化後，通告Portal認證服務器已檢測到用戶IP變化。

(11)     當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後，通知客戶端上線成功。

(12)     Portal認證服務器向接入設備發送IP變化確認報文。

(13)     客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。

(14)     安全策略服務器根據用戶的安全性授權用戶訪問指定的網絡資源，授權信息保存到接入設備中，接入設備將使用該信息控製用戶的訪問。

步驟(13)、(14)為Portal認證擴展功能的交互過程。