Web认证方案说明
一种基于WEB的在线考试系统身份认证方案的设计与实现
关键词 : 身份 认 证 ; o ke ; 线 考 试 系统 ;P地 址 ; 记 字 段 Coi 在 s I 标
中 图分 类 号 : 3 1 1 TP 1 . 1
文 献标 识 码 : A
文章 编 号 :6 27 0 ( 0 1 0 —0 20 1 7 —8 0 2 1 ) 50 9 ~2
即使 系 统 中 保 留 的 C o i 值 在 重 新 启 动 计 算 机 系 统 之 o ke s
1 本 系统 的基 本 思 想 与 应 用 环 境
图 1 系 统 程 序 流 程 图
采用基于 we b的在 线 考 试 系统 将 很 方 便 地 部 署 考 试
其 中数 据 库 字 段 sae布 尔 型 为标 记 字 段 , 录 考 生 tt 记 是 否 完 成 考 试 , 据 库 字 段 u ei 数 sr p文 本 型 标 记 字 段 , 录 记
师 , 究 方 向 为 计 算 机 网络 安 全 、 式识 别 、 研 模 远程 教 育 。
第 5 期
郭承湘 , 如宽 , 树刚 : 种基于 WE 彭 林 一 B的 在 线 考 试 系统 身 份 认 证 方 案 的设 计 与 实 现
.9 . 3
置 Re p n e Co ke ( p s ” 一 1 下 面 语 句 将 控 制 页 s o s. o is ” a s ) 。 面 的非 法 访 问 。
生 理 特 征 。认 证 常 常 被 用 于 通 信 双 方 相 互 确 认 身 份 , 以保
如 图 1所 示 :
证通 信 的安 全 。认 证 可 采 用 各 种 方 法 进 行 。
目前 在 线 考 试 系 统 很 多 , 考 试 系 统 用 户 身 份 认 证 , 对
Wifi使用说明
WIFI使用说明WIFI上网认证有三种:WEB+DHCP页面认证和天翼宽带客户端软件方式,PPPOE 拨号登录上网方式。
WIFI认证登录方式具体操作如以下说明:A: 使用PC连接中国电信ChinaNet热点1. 使用WEB+DHCP页面认证方式输入中国电信天翼宽带认证地址:https:///或者打开IE,输入任意网址,都将打开认证页面,会自动弹出https:///页面,输入账号密码如果没有密码可以点击获取密码,会有短信发送到您手机上,告知一个5小时时限的临时密码。
如需要固定密码可以到营业厅申请。
账号密码认证成功后如下图注意:不要关掉该网页,在WIFI上网过程中,请将该网页要保持打开并最小化。
2. 使用天翼宽带客户端软件上网方式到/下载中国电信天翼宽带客户端软件安装后如图:先在设置项对WIFI账号进行设置如图然后进行WIFI连接,如图WIFI连接成功后就可以正常上网了。
3.PPPOE拨号认证登录上网方式,和家庭宽带拨号方式一样,把手机账号和密码输入就可以上网,需要注意的是:①先要连接ChinaNet信号,才能进行下图拨号认证。
②密码可以到营业厅进行绑定固定密码,这样就不需要每次获取新密码。
WEB+DHCP页面认证方式由于PORT服务器问题,经常出现页面弹不出来情况,PPPOE拨号方式可以正常认证上网。
按照下面步骤设置PPPOE拨号:首先如下图打开网络连接,创建一个新的拨号连接。
点击下一步:选手动设置我的连接用要求用户名和密码的宽带连接来连接点击连接后就可以上网了。
B: 使用智能手机连接中国电信ChinaNet热点1、使用WEB+DHCP页面认证方式WM及Andriod系统手机均可使用打开手机wifi功能,连接到ChinaNet 打开手机浏览器,即自动跳转到认证页面,输入账号密码UC浏览器界面手机自带浏览器界面注意:不要关掉该网页,在WIFI上网过程中,该网页要保持打开。
1.使用天翼宽带客户端软件上网方式仅限于Andriod系统手机在手机上安装天翼宽带客户端(for andriod)打开软件,自动开启wifi并搜索ChinaNet信号设置账号密码连接成功。
几种常用的登录认证方式
⼏种常⽤的登录认证⽅式登录认证⼏乎是任何⼀个系统的标配,web 系统、APP、PC 客户端等,好多都需要注册、登录、授权认证。
场景说明以⼀个电商系统,假设淘宝为例,如果我们想要下单,⾸先需要注册⼀个账号。
拥有了账号之后,我们需要输⼊⽤户名(⽐如⼿机号或邮箱)、密码完成登录过程。
之后如果你在⼀段时间内再次进⼊系统,是不需要输⼊⽤户名和密码的,只有在连续长时间不登录的情况下(例如⼀个⽉没登录过)访问系统,再次需要输⼊⽤户名和密码。
如果使⽤频率很频繁,通常是⼀年都不⽤再输⼀次密码,所以经常在换了⼀台电脑或者⼀部⼿机之后,⼀些经常使⽤的⽹站或 APP 不记得密码了。
提炼出来整个过程⼤概就是如下⼏步:1. ⾸次使⽤,需要通过邮箱或⼿机号注册;2. 注册完成后,需要提供⽤户名和密码完成登录;3. 下次再使⽤,通常不会再次输⼊⽤户名和密码即可直接进⼊系统并使⽤其功能(除⾮连续长时间未使⽤);常⽤的认证⽅式OAuth 认证OAuth 认证⽐较常见的就是微信登录、微博登录、qq登录等,简单来说就是利⽤这些⽐较权威的⽹站或应⽤开放的 API 来实现⽤户登录,⽤户可以不⽤在你的⽹站或应⽤上注册账号,直接⽤已有的微信、微博、qq 等账号登录。
这⼀样⼀来,即省了⽤户注册的时间,⼜简化了你的系统的账号体系。
从⽽既可以提⾼⽤户注册率可以节省开发时间,同时,安全性也有了保障。
维基百科对它的解释摘要如下:OAuth允许⽤户提供⼀个令牌,⽽不是⽤户名和密码来访问他们存放在特定服务提供者的数据。
每⼀个令牌授权⼀个特定的⽹站(例如,视频编辑⽹站)在特定的时段(例如,接下来的2⼩时内)内访问特定的资源(例如仅仅是某⼀相册中的视频)。
这样,OAuth让⽤户可以授权第三⽅⽹站访问他们存储在另外服务提供者的某些特定信息,⽽⾮所有内容。
假设我们开发了⼀个电商平台,并集成了微信登录,以这个场景为例,说⼀下 OAuth 的⼯作原理。
讲之前需要了解其中涉及到的⼏个⾓⾊:⽤户:即使⽤我们平台的⽤户⽤户终端:即最终⽤户使⽤的 APP 端或 web 端应⽤服务器端:即我们的服务器端授权服务器端:这⾥就是微信处理授权请求的服务器好的,接下来开始在我们的电商平台web端实现微信登录功能。
WebPortal无线接入认证解决方案
WebPortal无线接入认证解决方案12020年4月19日蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (3)4.1 方案拓扑图 (4)4.2 方案特色说明 (5)五、产品介绍 (7)5.1 蓝海卓越室外型无线AP NS712-POE (7)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (11)5.3 蓝海卓越Portal服务器产品 (14)六、典型客户案例 (16)6.1 合肥某商场 (16)6.2 XX市建设银行 (19)6.3 XX省图书馆 (21)6.4 郑州某宽带运营商 (23)一、项目背景随着移动终端设备的快速发展,越来越多的人随身携带者手机、平板、笔记本等移动终端。
人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈,不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。
商家企业经过提供易用的无线网络不但能够使顾客方便的访问互联网,也能够使顾客驻足停留吸引人气增加消费。
提供WIFI已经成为商家企业提升服务水平,提高品牌知名度的一种方式。
可是传统的无线网络的接入方式,用户上网需要得知无线密码或者不需要密码直接接入到无线网络中,不但在安全上存在一定的隐患,网络运行也不够稳定更不能对接入用户进行管理控制,实际操作起来也不够方便。
更重要的是商家企业并没有经过无线网络跟顾客建立一种良性互动,没有发挥其应有的作用,使无线网络的效果大打折扣。
因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。
二、需求分析针对当前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题,商场、连锁酒店的无线接入认证解决方案需要满足以下需求:1、用户能够经过手机获取密码短信的方式方便的接入到无线网络中,只需要填写自己的手机号码接收密码短信即可;2、商家企业能够对认证页面进行高度定制,页面支持多种设计语言,以实现对认证页面自由设计的需求;3、方便管理,能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理;4、能够进行广告推送,只要用户接入到无线网络中,除了能够在认证页面推送业务广告和促销活动信息外,同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息;5、部署方便,维护简单;商场及连锁酒店基本上都有现有的有线网络,在此基础上增加的无线网络,需要在不影响原有网络架构的前提下方便部署,同时对整体设备需要易操作易管理,维护简单。
C#进阶系列WebApi身份认证解决方案推荐:Basic基础认证
C#进阶系列WebApi⾝份认证解决⽅案推荐:Basic基础认证前⾔:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。
也就是说,任何⼈只要知道了接⼝的url,都能够模拟http请求去访问我们的服务接⼝,从⽽去增删改查数据库,这后果想想都恐怖。
经过⼀番折腾,总算是加上了接⼝的⾝份认证,在此记录下,也给需要做⾝份认证的园友们提供参考。
⼀、为什么需要⾝份认证在前⾔⾥⾯,我们说了,如果没有启⽤⾝份认证,那么任何匿名⽤户只要知道了我们服务的url,就能随意访问我们的服务接⼝,从⽽访问或修改数据库。
1、我们不加⾝份认证,匿名⽤户可以直接通过url随意访问接⼝:可以看到,匿名⽤户直接通过url就能访问我们的数据接⼝,最终会发⽣什么事,⼤家可以随意畅想。
2、增加了⾝份认证之后,只有带了我们访问票据的请求才能访问我们的接⼝。
例如我们直接通过url访问,会返回401如果是正常流程的请求,带了票据,就OK了。
可以看到,正常流程的请求,会在请求报⽂的头⾥⾯增加Authorization这⼀项,它的值就是我们的Ticket票据信息。
⼆、Basic基础认证的原理解析1、常见的认证⽅式我们知道,的认证机制有很多种。
对于WebApi也不例外,常见的认证⽅式有FORM⾝份验证集成WINDOWS验证Basic基础认证Digest摘要认证园⼦⾥很多关于WebApi认证的⽂章,各种认证⽅式都会涉及到,但感觉都不够细。
这⾥也并不想去研究哪种验证⽅式适⽤哪种使⽤场景,因为博主还是觉得“贪多嚼不烂”,也可能是博主能⼒所限。
对于认证机制,弄懂其中⼀种,其他的都能融会贯通。
此篇就使⽤Basic基础认证来详细讲解下整个的过程。
2、Basic基础认证原理我们知道,认证的⽬的在于安全,那么如何能保证安全呢?常⽤的⼿段⾃然是加密。
Basic认证也不例外,主要原理就是加密⽤户信息,⽣成票据,每次请求的时候将票据带过来验证。
无线十大web认证方式说明
wifiAP支持十大认证方式,详细说明如下:一、不需认证应用场合:主要强调品牌宣传价值、广告展示价值的场所(允许所有人接入上网,无安全性要求)认证效果:1)用户无密码连接WIFI热点,强制打开web认证页面,浏览页面内容;2)10秒后自动登录或点击指定广告后方可登录上网。
配置方式:在web认证配置页面,选择“不需认证”方式,并设计好认证页面信息即可。
示意图:略二、用户认证应用场合:对安全性要求较高的场所,自建一套用户的账号库。
适用于企业、网站、收费网络等场合。
认证效果:1)用户无密码连接WIFI热点,强制打开web认证页面,浏览页面内容;2)输入正确的用户和密码;3)登录上网。
配置方式:在web认证配置页面,选择“用户认证”方式,并设计好认证页面信息。
再到用户管理页面,创建或导入用户名密码即可。
示意图:略三、验证码认证应用场合:对安全性要求较高的场所,同时希望用户更方便地登录网络(只需要输入一段字母或数字即可)。
适用于餐饮店、咖啡厅等人员流动频繁的场合。
认证效果:1)用户无密码连接WIFI热点,强制打开web认证页面,浏览页面内容;2)输入正确的验证码;3)登录上网。
配置方式:在web认证配置页面,选择“验证码认证”方式,并设计好认证页面信息。
再到用户管理页面,创建或导入验证码即可。
示意图:略四、短信验证码认证应用场合:对安全性要求较高的场所,政策上要求对上网的人员进行实名制,同时收集用户手机号码,进行二次营销。
适用于银行、企业、网站、商场、餐饮店等场合。
认证效果:1)用户无密码连接WIFI热点,强制打开web认证页面,浏览页面内容;2)输入正确的手机号码,手机将获取一条包含验证码的短信;3)在认证页面输入短信验证码;4)登录上网。
配置方式:1)在web认证配置页面,选择“短信验证码认证”方式;2)选择wifiAP短信通道或使用自己的短信接口;3)设置认证用户参数及认证页面相关信息。
短信接口说明:wifiAP认证系统支持标准的HTTP接口的下行短信网关,通过URL直接调用。
配置STA和AP间Web认证
二、适用场景说明
Web认证是一种对用户访问网络的权限进行控制的身份认 证方法,这种认证方法不需要用户安装专用的客户端认证 软件,使用普通的浏览器软件就可以进行身份认证。适合 无线终端不想或不能安装认证客户端(特别是手机、平板 电脑等)但是又想对网络中的客户做准入控制
优点:无线终端不需要安装客户端,使用web浏览器即可
……
配置ortal(推送认证的web界面)和radius 服务器(用于储存客户端用户名和密码的设备)
三、组网需求 无线用户需要先经过web认证才能访问无线网络。
四、组网拓扑 配置STA和AP间Web认证的网络场景如下图所示。
五、配置要点
1、配置Portal key 及Portal服务器IP地址 2、配置重定向页面 3、开发免认证访问资源 4、WLAN上开启web认证 5、配置SNMP服务器 6、eportal服务器配置 7、SAM服务器配置
些; 3、如何配置STA和AP间Web认证。
一、组网功能介绍
Web认证是一种对用户访问网络的权限进行控制的身份认 证方法,这种认证方法,不需要用户安装专用的客户端认 证软件,使用普通的浏览器软件,就可以进行身份认证。
未认证用户使用浏览器上网时,接入设备会强制浏览器访 问特定站点。
在指定的web站点进行认证操作。锐捷Web认证有2个版 本,不同版本的Web认证流程不同,将其分别称为锐捷一 代Web认证和锐捷二代Web认证。此外在设备端也实现一 个简易版portal服务器功能,称为内置web认证。
本单元主要了解无线传输配置STA和AP间Web认证基 础知识,通过本单元的学习,了解无线局域网的配置 STA和AP间Web认证传输基础知识,会分组建和配置 STA和AP间Web认证,组建安全的无线局域网。
在WEB应用中使用基于数字证书的登录验证
2、身份认证原理
2.1 数字签名
数字签名的产生和验证过程: 1. Alice 产生文件的单向散列值。 2. Alice 用她的私人密钥对散列加密,以此表示对文件的签名。 3. Alice 将文件和散列签名送给 Bob。 4. Bob 用 Alice 发送的文件产生文件的单向散列值,同时用 Alice 的公钥对签名的散列解密。 如果签名的散列值与自己产生的散列值匹配,签名是有效的。 数字签名具有以下特性: 1.完整性。 因为它提供了一项用以确认电子文件完整性的技术和方法,可认定文件为未经更改的 原件。 2.可验证性。可以确认电子文件之来源.由于发件人以私钥产生的电子签章惟有与发件人的私钥 对应的公钥方能解密,故可确认文件之来源。 3.不可否认性。由于只有发文者拥有私钥,所以其无法否认该电子文件非由其所发送。
1.2、引进 eKey+ 数字证书登录带来的好处
1.安全。双因子认证。用户在使用 eKey 之前,需要输入 PIN 码验证;验证通过后再调用 eKey 里的私钥作用于身份认证用的签名运算。这样就等于设置了 2 道门,都通过后才能最终进入。
2.方便。用户只需随身携带一个 eKey,就可不限时间、不限地点的证明自己的身份。可以用同 一个 eKey 登录不同的 Web 站点而不怕安全问题。 3.用户身份具有法律保障。用户的数字证书由权威的 CA 签发。用户的登录认证可以保留用于以 后举证,提防抵赖。
6.认证服务器解开 SignedData 里面的签名内容、用户证书和数据签名,比较签名内容是否和 RS 相同,证书是否有效,签名是否有效,若都有效则返回成功 7.应用服务器返回登录成功页面,让用户使用应用服务 该流程的优点是: l 挑战-响应机制:客户端在发起认证请求时,服务器端首先产生并返回一个随机数(挑战) ;客 户端在提交认证请求时,将数字签名后的随机数发送到服务器端(响应) ,由服务器端比较本地的随 机数和收到的随机数,以校验认证请求的有效性,从而有效防止截获和重放攻击。 l 数字签名机制:客户端提交的认证请求,均由客户端认证组件调用 eKey 进行签名处理。eKey 随身携带,其中的私钥不可复制,保证了私钥的唯一性,由于数字签名不可伪造和篡改,服务器端通 过校验客户端用户证书和数字签名的有效性,并结合认证数据库鉴别用户身份。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Web认证接入方案说明目录目录 (2)1.爱立信DHCP+WEB认证原理 (3)1.1.WEB 认证方案概述 (3)1.1.1.系统部署图 (3)1.1.2.W EB认证/登出流程 (4)1.2.NPM 与WEB PORTAL 服务器的沟通机制 (6)2.苏州移动WEB认证建议方案 (9)2.1.方案一:使用SE800作为DHCP服务器 (9)2.1.1.用户上网认证的步骤如下: (9)2.1.2.用户登出过程: (10)2.1.3.SE800的配置 (10)2.1.4.对其他系统的要求 (12)2.2.方案二:SE800作为DHCP PROXY,使用广电DHCP SERVER (12)2.2.1.用户上网认证的步骤如下: (13)2.2.2.用户登出过程: (13)2.2.3.SE800的配置 (14)2.2.4.对其他系统的要求 (15)3.总结 (15)1. 爱立信DHCP+Web 认证原理 1.1. Web 认证方案概述1.1.1. 系统部署图Ericsson 的Web 认证方案基于SE800 BRAS 和策略管理服务器NPM 系统实现。
下图是Web 认证涉及的各单元的关系图。
PRODUCT AREA PACKET NETWORKSUNIFYINGFIXED AND MOBILE NETWORKSPortal说明:用户的DHCP 请求必须通过SE800,用来确定用户的上下线,并且可以防止地址盗用的问题。
如果DHCP 请求不经过SE800,则无法确定用户上下线,也很难防止用户地址盗用的问题DHCP 服务器可以外置,也可以使用SE800内置服务器在三层连接时,配置DHCP Relay ,使得DHCP 请求需要经过SE800整个组网方案元件包括◆ 用户:使用DHCP 获得IP 地址的用户 ◆ 接入网:二层网络或者支持DHCP Relay 的三层网络 ◆ 宽带接入服务器SmartEdge 800。
负责DHCP 的用户接入管理。
◆NPM策略管理器Netop 策略管理器-NPM,作为用户和Web Portal/Radius server 的桥梁。
Web Portal Server 通过API XML SOAP Call 把用户的Web 帐号发送到NPM,用户在网页登陆的帐号会通过NPM 发送到Radius Server 进行认证◆后台服务器Web Portal 服务器用户通过Web Portal 服务器进行网上登录。
利用Ericsson 策略管理器可以把用户帐号从NPM 发送到Radius 服务器进行认证。
Radius 服务器主要用作用户帐号的认证和计费之用。
DHCP服务器负责用户的DHCP地址分配管理。
在Ericsson解决方案中,可以采用SE800内置的DHCP 服务器。
1.1.2. Web认证/登出流程用户只需要通过DHCP 接入方式,就可以在开启浏览器后连到Web Portal 服务器进行登陆,而用户在网上所登陆的帐号会通过NPM 服务器再Proxy 到Radius 服务器进行认证。
当认证通过后,用户就会自动获得所需要的网络服务。
而用户在网上所使用的流量和时间都会记录在Radius 服务器作为计费之用。
下面为Web认证的具体过程1. 用户登录过程SMS or SmartEdgeInternetBroadband SubscriberWeb Portal5如上图所示, 步骤1:用户在通过DHCP 获得IP 地址时,SE800检查DHCP 报文,记录用户的MAC 地址,并以MAC 地址到NPM 用户认证。
步骤2:NPM 认证通过,返回缺省策略,也就是允许用户通过DHCP 获得IP 地址,并且可以访问Portal 服务器,这时不允许访问Internet 步骤3:用户访问Internet 时被重定向到Portal 服务器,输入认证用户/口令,Portal 和NPM 通信,以用户的IP 地址/用户名/口令要求NPM 认证,NPM 将认证请求转发给后台服务器,认证通过后,则到步骤4 步骤4:NPM 通知SE800用户认证通过,改变用户的策略,允许访问Internet 步骤5:SE800发送Acct-Start 信息,开始记账2.用户显式登出过程如上图,步骤1:用户访问Portal服务器,点击登出,Portal获得用户的IP地址,步骤2:Portal以IP地址为参数调用NPM的logout API和NPM通信,NPM通知SE800将此IP地址用户下线步骤3:SE800发送Acct-stop信息,停止计费3. 用户非显式登出过程用户非显示登出是指用户不登录到Portal点击登出,而是用户关机、超时等情况下SE800检查到用户下线,告知后台系统用户已下线,停止计费在上图中,SE800检查用户已经下线的机制包括:1、用户DHCP 的Lease time过期2、用户在一定时间内没有流量1.2.NPM 与Web Portal 服务器的沟通机制NPM 本身具备了API(Application Programming Interface )服务器的功能。
这个功能主要是给予外部的服务器连接到NPM 的一个公开接口。
外部服务器主要包括Web Portal 服务器,Netop Client 和一些OSS 系统。
通过这个接口,外部服务器可以在NPM 进行认证和服务选择的功能。
NPM 的API 是基于Simple Object Access Protocol(SOAP)来进行。
这个协议的优点是简单和利用XML(Extensible Markup Language)文件为协议传输的格式。
在这个方案里,用户打开浏览器后会先在Web Portal 上登陆,然后通过NPM 再向Radius 进行认证,Web Portal 跟NPM 之间的沟通就是通过SOAP 的脚本来实现。
以下是用户在Web Portal 登陆的认证流程,当中会牵涉到NPM 和Web Portal 服务器之间的沟通。
用户登录流程1用户接入到BRAS 并获得IP 地址。
在取得网络服务之前,首先在Web Portal 服务器登陆用户登录流程2当Web Portal 服务器接收到用户帐号和密码后,Web Portal 服务器会通过API 接口发送用户认证信息(包括IP地址、用户名、口令)到NPM 。
用户登录流程3当NPM 通过API 接收到从Web Portal 发送的用户帐号信息后, NPM 会利用标准Radius 协议发送用户认证请求包到Radius 服务器。
用户登录流程4Radius 服务器返回NPM 认证结果。
• 认证通过发送Access-Accept 包并带有用户属性,例如Session-Timeout.• 认证失败发送Access-Reject 包用户登录流程5NPM 从Radius 服务器接收到认证结果并通过API 接口把认证确认包返回Web Portal 服务器• 认证通过NPM将通过API给Portal服务器返回‘Sucessful’信息• 认证失败NPM将通过API给Portal服务器返回‘Error’信息用户登录流程6Web Portal 服务器通过网页显示显示给用户,例如• 认证通过显示登陆成功信息!用户可以开始网络服务• 认证失败显示登陆错误信息,并提示请重新输入用户登录流程7NPM 更新BRAS 的用户参数,例如Session-Timout,把http redirect 策略删除等,用户可以正常访问Internet。
2. 苏州移动Web 认证建议方案根据上面Web 认证的原理,我们可以看到,要采用SE800实现Web 认证,用户的DHCP 过程(包括获取地址,地址续租,释放地址等)必须经过SE800。
根据实际情况,要达到这一要求,可以有两种方案:♦ 由SE800作为DHCP 服务器♦ SE800作为DHCP Proxy ,继续使用广电DHCP 服务器2.1. 方案一:使用SE800作为DHCP 服务器CMTS as DHCP RelayL3 NetworkSE800/DHCP ServerCM NetWeb ServerRadius ServerExit Router广电移动NPMCMTS as DHCP Relay2.1.1. 用户上网认证的步骤:▪ 广电CMTS 配置DHCP Relay 到SE800,用户通过DHCP 要求获得地址时,请求被Relay到SE800▪在用户DHCP请求到SE800时,SE800为用户建立会话,由SE800根据用户的Relay 地址分配相应网段的地址给用户,并且给用户设置重定向到Portal服务器的策略,但不可以访问Internet▪在Portal上输入用户名/口令,Portal和NPM通信,进行认证▪认证通过后,用户获得访问Internet的权限,并发送计费包2.1.2. 用户登出过程:1.用户显式登出▪用户在Portal页面选择Logout▪Portal与NPM通信,通知IP地址为用户地址(通过用户访问Portal的IP地址获得)的用户下线▪NPM通知SE800用户下线▪SE800发送Acct_stop计费包2.用户异常下线当用户异常下线(关机、拔网线等)时,由SE800判断用户下线。
在SE800作为DHCP 服务器的方案中,建议采用DHCP租约来判断用户下线:▪SE800在用户租约到期没有收到该用户的续租,则判断该用户已下线▪SE800清除用户在线记录,发送Acct_stop计费包2.1.3. SE800的配置以下为SE800上与Web认证相关的主要配置:! global config! 以下配置用于WebPortal重定向forward policy captiveportalaccess-group captiveportalacl WebAuthclass CAPTIVE_PORTALredirect destination localclass IPdrop! 以下用于NPM与SE800的SNMP通讯snmp serversnmp view netopview internet includedsnmp community redback-npm all-contexts view netopview read-write!! 以下配置context WebAuth,用于终结web认证用户context WebAuth!interface loopback1 loopbackip address 1.1.1.1/32!interface tocatvip address 10.1.1.1/30! 和广电互联的接口地址interface dhcp1 multibindip address 2.1.1.1/24ip address 3.1.1.1/24 secondaryip address 4.1.1.1/24 secondarydhcp server interface!以上ip 地址和用户地址段匹配,每个地址段都应该有相应的ip地址,并且和CMTS上的用户接口地址一致dhcp server policydefault-lease-time 900 //配置租约时间为15分钟subnet 1.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 2.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 3.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1subnet 4.1.1.0/24range 1.1.1.2 1.1.1.254option router 1.1.1.1!为每个用户地址段配置subscriber defaultip address pooldhcp max-addrs 1dns primary x.x.x.xdns secondary y.y.y.y!!policy access-list captiveportalaclseq 10 permit udp any any eq bootps class BOOTPSseq 20 permit udp any any eq domain class DNSseq 30 permit udp any any eq netbios-ns class DNSseq 35 permit tcp any host x.x.x.x eq www class WEB!上面的地址为Portal Server的地址seq 36 permit tcp any host [其他不需认证可访问的服务器]] eq www class WEBseq 50 permit tcp any any eq www class CAPTIVE_PORTALseq 60 permit ip any class IP!2.1.4. 对其他系统的要求对广电网络的要求:要求CMTS能区分用户DHCP和Cable Modem的DHCP请求,并且只将用户DHCP请求Relay 到SE800。