Web Portal认证类产品

Portal认证技术认证技术是AAA〔认证，授权，计费〕的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、。

基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。

它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，802.1x就无能为力。

1.PPPoE通过PPPoE〔Point-to-Point Protocol over Ethernet〕协议，效劳提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。

PPPoE〔Point-to-Point Protocol over Ethernet〕协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段，分别是搜寻阶段〔Discovery stage〕和点对点对话阶段〔PPP Session stage〕。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号〔SESSION_ID〕。

在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-效劳器的关系。

在搜寻阶段的进程中，主机〔客户端〕搜寻并发现一个网络设备〔效劳器端〕。

在网络拓扑中，主机能与之通信的可能有不只一个网络设备。

在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。

当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。

搜索阶段将在点对点对话建立之前一直存在。

一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1）PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入效劳器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入效劳器成为网络性能的“瓶颈〞。

1.18.1 Portal直接认证配置举例1. 组网需求•用户主机与接入设备Router直接相连，采用直接方式的Portal认证。

用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限的互联网资源。

•采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

•采用RADIUS服务器作为认证/计费服务器。

2. 组网图图1-4 配置Portal直接认证组网图配置Router•配置RADIUS方案# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view[Router] radius scheme rs1# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112[Router-radius-rs1] primary accounting 192.168.0.112[Router-radius-rs1] key authentication simple radius[Router-radius-rs1] key accounting simple radius# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain[Router-radius-rs1] quit# 使能RADIUS session control功能。

[Router] radius session-control enable•配置认证域# 创建并进入名字为dm1的ISP域。

[Router] domain dm1# 配置ISP域使用的RADIUS方案rs1。

PORTAL产品分析报告(1)徐亚斌Portal是web应用进展的一个重要趋势，目前几乎所有大的软件厂商都有自己的Portal 产品。

同时Portal技术已经形成规范。

本文对Portal技术与产品进行了分析，目的是为公司产品的规划提供参考。

本文包含4个部分：Portal简介、Portal厂商及Portlet规范、Portal 技术分析、有关技术－JSF。

Portal简介介绍了Potal的概念，Portal的进展等基本情况。

Portal技术分析介绍了Portal技术的核心概念与实现思路。

由于组件化web页面开发对Portal技术及公司产品都有很大的影响，因此在本文的第四个部分专门介绍了组件化web页面开发的技术JSF。

1Portal简介1.1 Portal的概念从上面的定义能够看出，Portal的核心思想是网页个性化，它有两个含义，一是为不一致的网页访问者匹配不一致的内容(信息)，二是为不一致的网页访问者提供不一致的portlet 应用服务，并在所能提供服务的基础上根据访问者的不一致相应改变处理流程。

这个理念与CRM的理念非常相似。

下面从Portal的分类开始，介绍Portal的进展过程。

1.2 Portal的分类随着web应用的进展，又出现了Vertical Portal与Enterprise Information Portal。

Vertical Portal即行业门户，目的是帮助某一行业的商业人员与技术人员找到自已需要的特定行业的商业信息与技术信息。

Enterprise Information Portal（EIP）即企业信息门户。

目的是帮助企业用户及员工通过统一入口找到分布于企业的各类信息。

与Public Porta相似，lVertical Portal 与EIP也同样提供了检索、分类与个性化定制服务。

在以上三种Portal中，EIP出现的包含内容最多。

因此下文中的Portal，假如不特别声名，指的就是EIP。

Portal认证技术目录1.Portal简介 (1)2.设备内嵌portal-web Server (2)3.Portal的认证方式 (2)3.1二层认证方式 (2)3.2三层认证方式 (3)4.Radius认证计费过程分析 (5)1. Portal简介Portal在英语中是入口的意思。

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

Portal典型组网由4个元素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器。

图1 Portal典型组网方式（1）认证客户端安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。

对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

（2）接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：①在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。

②在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

③在认证通过后，允许用户访问被管理员授权的互联网资源。

Radius server Portal 协议消息 （3）Portal 服务器接收Portal 客户端认证请求的服务器端系统，提供免费门户服务和基于Web 认证的界面，与接入设备交互认证客户端的认证信息。

Portal认证Portal 认证Portal简介Portal在英语中是⼊⼝的意思。

Portal认证通常也称为Web认证，⼀般将Portal认证⽹站称为门户⽹站。

未认证⽤户上⽹时，设备强制⽤户登录到特定站点，⽤户可以免费访问其中的服务。

当⽤户需要使⽤互联⽹中的其它信息时，必须在门户⽹站进⾏认证，只有认证通过后才可以使⽤互联⽹资源。

⽤户可以主动访问已知的Portal认证⽹站，输⼊⽤户名和密码进⾏认证，这种开始Portal认证的⽅式称作主动认证。

反之，如果⽤户试图通过HTTP访问其他外⽹，将被强制访问Portal认证⽹站，从⽽开始Portal认证过程，这种⽅式称作强制认证。

Portal业务可以为运营商提供⽅便的管理功能，门户⽹站可以开展⼴告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成⼀个产业⽣态系统。

Portal扩展功能Portal的扩展功能主要是指通过强制接⼊终端实施补丁和防病毒策略，加强⽹络终端对病毒攻击的主动防御能⼒。

具体扩展功能如下：l 在Portal⾝份认证的基础上增加了安全认证机制，可以检测接⼊终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了⾮法软件、是否更新了操作系统补丁等；l ⽤户通过⾝份认证后仅仅获得访问部分互联⽹资源（受限资源）的权限，如病毒服务器、操作系统补丁更新服务器等；当⽤户通过安全认证后便可以访问更多的互联⽹资源（⾮受限资源）。

Portal的系统组成Portal的典型组⽹⽅式如图1所⽰，它由五个基本要素组成：认证客户端、接⼊设备、Portal服务器、认证/计费服务器和安全策略服务器。

由于Portal服务器可以是接⼊设备之外的独⽴实体，也可以是存在于接⼊设备之内的内嵌实体，本⽂称之为“本地Portal服务器”，因此下⽂中除对本地⽀持的Portal服务器做特殊说明之外，其它所有Portal服务器均指独⽴的Portal服务器，请勿混淆。

图1 Portal系统组成⽰意图1. 认证客户端安装于⽤户终端的客户端系统，为运⾏HTTP/HTTPS协议的浏览器或运⾏Portal客户端软件的主机。

Q/DKBA华为技术有限公司企业技术标准Q/DKBAXXXX-2001华为公司宽带产品Portal协议标准第2部分：Portal标准V2.02001-XX-XX发布2001-XX-XX实施华为技术有限公司发布目次1 范围 42 术语和定义 43 概述4 4协议 44.1报文格式 44.2报文字段说明 44.2.1Ver 54.2.2Type 54.2.3Pap/Chap 54.2.4Rsv 64.2.5SerialNo 64.2.6ReqID 64.2.7UserIP 64.2.8UserPort 64.2.9ErrCode 64.2.10AttrNum 64.2.11 Authenticator 64.2.12报文属性字段（Attr）的格式7 5流程和相关说明95.1信息询问流程（无论成功还是失败）95.2下线通知流程（BAS通知Portal Server）10 6其他说明116.1关于TextInfo属性的使用116.2协议的兼容性116.3协议的不完善之处11前言本标准由宽带联合系统部提出。

本标准主要起草部门：宽带联合系统部，MA5200产品组，ESR产品组，iNet产品组本标准主要解释部门：宽带总体组本标准主要起草人：杨宏杰、周和秘、乔明本标准主要审核人：卢朝晖、胡鹏本标准批准人：华为公司宽带产品Portal协议标准V2.01范围本标准规定了华为公司宽带产品所采用的Portal协议标准。

本标准适用于华为公司具备Portal特性的宽带设备，包括服务器端设备（如：iTellin、iNet IP Hotel系统等）以及BAS端设备（如：ESR、MA5200等）特别的：对于服务器端设备（如：iTellin、iNet IP Hotel系统等）必须同时支持V1.0与V2.0协议，对于BAS端设备（如：ESR、MA5200等）以V2.0为标准。

2术语和定义Portal ——门户业务Web认证——通过Web方式进行用户认证认证Client ——本文中使用的概念，表示协议中发起认证请求的一方，可以为Portal Server或任何发起认证的客户机。