一种提升Portal认证用户IP地址使用效率的方法及系统

1.一种提升Portal认证用户IP地址使用效率的方法，应用于无线网络中，其特征在于，包括如下步骤：
步骤21、用户终端关联无线网络成功后，AC接收用户终端发送的DHCP请求，通过DHCP服务器为所述用户终端分配私网IP地址，其中AC指城域网的接入控制器；
步骤22、NAT对于用户终端访问免认证网站的流量进行PAT多对一转换；对于用户终端访问非免认证的流量进行一对一NAT转换，其中NAT指网络地址转换，PAT指端口地址转换。
2.如权利要求1所述的方法，其特征在于，如果用户终端访问非免认证网站时，所述AC还需进一步判断该用户终端是否通过Portal认证，并在用户终端未通过认证时，强制用户终端进行Portal认证。
3.如权利要求2所述的方法，其特征在于，AC强制未认证用户终端进行Portal认证时，在其发送给用户终端的重定向报文中携带用户终端的IP地址和AC设备的IP地址。
4.如权利要求3所述的方法，其特征在于，用户终端在对Portal服务器发起http访问请求时，在http访问请求中携带用户终端的IP地址和AC设备的IP地址，并在本地浏览器中记录该用户终端的IP地址和AC的IP地址信息。
5.如权利要求1所述的方法，其特征在于，在步骤22之后，AC进一步发送Radius报文到NAT设备，NAT设备进行radius代理，对收到的radius报文进行解析，根据radius报文中用户终端的私网IP地址查找本地NAT转换记录，查询到对应的用户公网IP地址，并通过radius扩展属性实时插入用户终端的公网IP地址，发送给真正的Radius服务器。
6.一种提升Portal认证用户IP地址使用效率的系统，所述系统应用于无线网络中，其特征在于，所述系统包括：
AC，在用户终端关联无线网络成功后，接收用户终端发送的DHCP请求，通过DHCP服务器为所述用户终端分配私网IP地址，并在用户终端访问非免认证网站时，判断用户终端是否通过Portal认证，其中AC指城域网的接入控制器；
Portal服务器，用于对未认证用户访问非免认证网站时进行Portal认证；
NAT设备，用于对用户终端发送的数据报文进行地址转换，对于用户终端访问免认证网站的流量进行PAT多对一转换；对于用户终端访问非免认证的流量进行一对一NAT转换，其中NAT指网络地址转换，PAT指端口地址转换。
7.如权利要求6所述的系统，其特征在于，当用户终端未认证时，AC将强制未认证用户终端进行Portal认证，并在其发送给用户终端的重定向报文中携带用户终端的IP地址和AC设备的IP地址，以便Portal认证可以穿越NAT。
8.如权利要求7所述的系统，其特征在于，未认证用户终端在对Portal服务器发起http访问请求时，在访问请求中携带用户终端的IP地址和AC设备的IP地址，并在本地浏览器中记录该用户终端的私网IP地址和AC的IP地址信息，以便Portal认证用户可以穿越NAT正常下线。
9.如权利要求6所述的系统，其特征在于，所述NAT设备还将充当radius代理设备，对AC发送的radius报文进行解析，根据radius报文中用户终端的私网IP地址查找本地NAT转换池，查询到对应的用户公网IP地址，通过radius扩展属性实时插入用户的公网IP地址，转发给真正的Radius服务器，以实现用户的精确回溯，无需部署NAT日志。

一种提升Portal认证用户IP地址使用效率的方法及系统\n技术领域\n[0001] 本发明涉及无线网络数据通信领域，尤其涉及一种在Portal认证过程中提升用户IP地址使用效率的方法及装置。\n背景技术\n[0002] 在移动城域网架构中，一般采用门户（Portal）方式来实现用户的安全认证，认证控制点在城域网的接入控制器（AC，Access controller）上。无线网络中用户终端上网涉及的Portal认证基本流程如图1所示，包括：\n[0003] 步骤101：无线用户终端首先关联无线网络，关联成功，向AC发送携带自身介质访问控制（MAC，Media Access Control）地址的动态主机配置协议（DHCP，Dynamic Host Configuration Protocol）请求消息。\n[0004] 步骤102：AC接收DHCP请求消息，为用户终端分配因特网协议（IP，Internet Protocol）地址，将该IP地址携带在DHCP响应消息中返回给用户终端。\n[0005] 若AC自身配置了DHCP模板，则AC自己为用户终端分配IP地址，并将该IP地址携带在DHCP响应消息中返回给用户终端；若采用外挂DHCP服务器，则AC需要将DHCP请求消息转发给DHCP服务器，由DHCP服务器为用户终端分配IP地址，并将该IP地址携带在DHCP响应消息中返回给AC，AC再将该DHCP响应消息返回给用户终端。\n[0006] 步骤103：用户终端发起超文本传输协议（HTTP，Hyper-Text Transfer Protocol）请求消息。\n[0007] 步骤104：AC接收该HTTP请求消息，将该消息强制重定向到Portal服务器，Portal服务器向用户终端推送认证页面。\n[0008] 步骤105：用户在认证页面上输入用户名和密码，Portal服务器将用户名和密码携带在认证请求消息中发送给AC，AC接收该消息后，将用户名和密码封装成远端用户拨入认证服务（RADIUS，Remote Authentication Dial In User Service）报文提交给RADIUS服务器。\n[0009] 步骤106：RADIUS服务器对用户进行认证，认证通过，通知AC，AC下发访问控制列表（ACL，Access Control List），允许用户访问网络。\n[0010] 针对广域网（WLAN，Wide Local Area Network）用户，用户开机后一般均自动连接无线网络，随后立即发起DHCP请求，获取IP地址。无论用户是否认证，均可获取IP地址，如此会造成地址资源的浪费。尤其目前移动网络针对用户分配的都是公网IP地址，地址资源相当宝贵，经常出现真正想上网的用户无法获取IP地址，而没有上网需求的用户却无意占用了IP地址的问题。\n[0011] 为了解决上述问题，业界通常采用DHCP二次地址分配的解决方案。即在认证前分配一个私网IP地址，认证后分配一个公网IP地址，但此种方案一般需要用户终端和DHCP服务器之间的特殊支持，在运营商网络中很少使用。\n[0012] 另外，现有技术中还提出了采用NAT（Network Address Translation，网络地址转换）方式解决用户IP地址紧缺问题。然而，常用的NATPT和NAT444技术由于存在多个私网IP地址映射到同一公网IP地址的问题，如果无法提供公网端口号信息，则无法实现用户精确回溯；同时，通过PAT端口号映射可能会导致同一用户的不同进程映射到不同的公网IP地址，进而影响网银、视频等业务的应用。此外，PAT部署并且需要建立专门的日志分析系统，部署繁琐，因此在运营商WLAN网络里还没有大规模部署。\n发明内容\n[0013] 有鉴于此，本发明提供一种提升Portal认证用户IP地址使用效率的方法和装置，以解决上述问题和不足。\n[0014] 为实现本发明目的，本发明实现方案具体如下：\n[0015] 一种提升Portal认证用户IP地址使用效率的方法，应用于无线网络中，其中，所述方法包括如下步骤：\n[0016] 步骤21、用户终端关联无线网络成功后，AC接收用户终端发送的DHCP请求，通过DHCP服务器为所述用户终端分配私网IP地址；\n[0017] 步骤22、NAT设备接收用户终端访问任意网站的请求，对于用户终端访问免认证网站的流量进行PAT多对一转换；对于用户终端访问非免认证的流量进行一对一NAT转换。\n[0018] 优选地，如果用户终端访问非免认证网站时，所述AC还需进一步判断该用户终端是否通过Portal认证，并在用户终端未通过认证时，强制用户终端进行Portal认证。\n[0019] 优选地，当AC强制未认证用户终端进行Portal认证时，在其发送给用户终端的重定向报文中携带用户终端的IP地址和AC设备的IP地址。\n[0020] 优选地，当用户终端在对Portal服务器发起http访问请求时，在http访问请求中携带用户终端的IP地址和AC设备的IP地址，并在本地浏览器中记录该用户终端的IP地址和AC的IP地址信息。\n[0021] 优选地，在本发明步骤22之后，AC进一步发送Radius报文到NAT设备，NAT设备进行radius代理，对收到的radius报文进行解析，根据radius报文中用户终端的私网IP地址查找本地NAT转换记录，查询到对应的用户公网IP地址，并通过radius扩展属性实时插入用户终端的公网IP地址，发送给真正的Radius服务器。\n[0022] 本发明还同时一种提升Portal认证用户IP地址使用效率的系统，所述系统应用于无线网络中，其中所述系统包括：\n[0023] AC，在用户终端关联无线网络成功后，接收用户终端发送的DHCP请求，通过DHCP服务器为所述用户终端分配私网IP地址，并在用户终端访问非免认证网站时，判断用户终端是否通过Portal认证；\n[0024] Portal服务器，用于对未认证用户访问非免认证网站时进行Portal认证；\n[0025] NAT设备，用于对用户终端发送的数据报文进行地址转换，对于用户终端访问免认证网站的流量进行PAT多对一转换；对于用户终端访问非免认证的流量进行一对一NAT转换。\n[0026] 优选地，当用户终端未认证时，AC将强制未认证用户终端进行Portal认证，并在其发送给用户终端的重定向报文中携带用户终端的IP地址和AC设备的IP地址，以便Portal认证可以穿越NAT。\n[0027] 优选地，当未认证用户终端在对Portal服务器发起http访问请求时，在访问请求中携带用户终端的IP地址和AC设备的IP地址，并在本地浏览器中记录该用户终端的IP地址和AC的IP地址信息，以便Portal认证用户可以穿越NAT正常下线。\n[0028] 优选地，所述NAT设备还将充当radius服务器代理设备，对AC发送的radius报文进行解析，根据radius报文中用户终端的私网IP地址查找本地NAT转换池，查询到对应的用户公网IP地址，通过radius扩展属性实时插入用户终端的公网IP地址，转发给真正的Radius服务器。\n[0029] 与现有技术相比，本发明NAT设备对于访问Portal服务器或DNS服务器等免认证网站的流量进行PAT多对一转换，因而可以节省公网IP地址；对于访问非免认证网站的流量进行一对一NAT转换，同时NAT设备通过启用radius代理功能，在radius报文中实时插入用户的公网IP地址，实现对用户的精确回溯。\n附图说明\n[0030] 图1为现有的无线网络中用户终端上网涉及的Portal认证示意图。\n[0031] 图2为本发明提升Portal认证用户IP地址使用效率的流程示意图。\n[0032] 图3为本发明提升Portal认证用户IP地址使用效率的系统示意图。\n具体实施方式\n[0033] 为实现本发明目的，本发明采用的核心思想为：当用户终端关联无线网络成功后发起任意网站的访问，NAT设备对于访问Portal服务器和DNS服务器等免认证网站的流量进行PAT多对一转换，节省公网IP地址；NAT设备对访问非免认证网站的流量进行一对一NAT转换，同时NAT设备通过启用radius代理功能，在radius报文中实时插入用户的公网IP地址，实现对用户的精确回溯。\n[0034] 为使本领域技术人员更加清楚和明白，以下结合附图详细说明本发明的具体实现方式。如图2所示，为本发明提升Portal认证用户IP地址使用效率的方法流程图，所述方法应用于无线网络中，包括如下步骤：\n[0035] 步骤21、用户终端关联无线网络成功后，AC接收用户终端发送的DHCP请求，通过DHCP服务器为所述用户终端分配私网IP地址。\n[0036] 具体地，用户终端首先关联无线网络，关联成功后，向AC（Access Control，接入控制器）发送携带自身介质访问控制（MAC，Media Access Control）地址的动态主机配置协议（DHCP，Dynamic Host Configuration Protocol）请求消息。\n[0037] AC接收到来自用户终端的DHCP请求消息后，为用户终端分配私网IP地址，将该私网IP地址携带在DHCP响应消息中返回给用户终端。\n[0038] 需要说明的是，若AC自身配置了DHCP模板，则AC自己为用户终端分配私网IP地址，并将该私网IP地址携带在DHCP响应消息中返回给用户终端；若采用外挂DHCP服务器，则AC需要将DHCP请求消息转发给DHCP服务器，由DHCP服务器为用户终端分配私网IP地址，并将该私网IP地址携带在DHCP响应消息中返回给AC，AC再将该DHCP响应消息返回给用户终端。\n[0039] 步骤22、NAT设备对于用户终端访问免认证网站的流量进行PAT多对一转换；对于用户终端访问非免认证网站的流量进行一对一NAT转换。\n[0040] 具体地，当用户终端访问Portal服务器或DNS服务器等免认证网站时，NAT设备接收到AC转发的免认证网站访问请求报文时，将对访问这些免认证网站的报文进行PAT（Port Address Translation，端口地址转换）转换，以实现多个未认证用户终端的私网IP地址通过不同端口对应同一个公网IP地址，以达到节约公网IP地址的目的。如果用户终端访问非免认证网站，所述NAT设备将会对该用户终端访问非免认证网站的流量的公私网IP地址进行一对一NAT转换。\n[0041] 在本发明中，如果用户终端访问非免认证网站时，所述AC还需要进一步判断该用户终端是否通过Portal认证。\n[0042] 具体地，AC通过维护一张已认证通过的用户终端的列表来实现对用户终端是否通过认证进行判断。若一个用户终端通过认证，则将该用户终端的MAC地址放入该名单中。当AC接收到用户终端发送的访问非免认证网站http请求后，若发现该http消息中携带的用户终端的MAC地址不在已认证用户名单，则认为该用户终端为未认证用户；若发现该http消息中携带的用户终端的MAC地址在已认证用户名单内，则认为已认证用户。\n[0043] 当AC发现用户终端未通过认证时，AC在接收到用户终端发起的http访问请求时，AC将仿冒目的服务器和用户终端建立TCP连接，并强制未认证用户终端进行Portal认证。\n[0044] 具体地，当AC接收到未认证用户终端发送的http访问请求后，AC将仿冒目的服务器和用户终端建立TCP连接，并向该未认证用户终端回应重定向报文，将用户终端的http请求重定向到Portal服务器。其中，为了Portal服务器在用户终端认证通过后，能够准确地通知AC将该用户终端加入到已认证的名单内，AC在重定向的URL报文中需要携带用户终端和其自身的IP地址，例如：http://www.portal.com?wlanuserip=10.1.2.34&AC-IP=\n10.1.1.100。\n[0045] 用户终端接收到AC发送的重定向报文后，对Portal服务器发起http访问请求，并在其http访问请求中携带用户终端的IP地址和AC设备的IP地址，并在本地浏览器内进一步记录用户终端的IP地址和AC设备的IP地址信息。\n[0046] AC接收用户终端对Portal服务器发起的http访问请求后，将该http访问请求转发到NAT设备，所述NAT设备对访问目的IP地址为Portal服务器的报文进行PAT转换，确保多个未认证用户终端在认证通过前共用一个公网IP地址达到节省公网IP地址的目的。\n[0047] Portal服务器在接收到AC转发的无线用户终端的认证请求后，向用户终端推送认证页面到无线用户，用户在认证页面上输入用户名和密码，Portal服务器将用户名和密码携带在认证请求消息中发送给AC，AC接收该消息后，将用户名和密码封装成Radius报文提交给Radius服务器。\n[0048] Radius服务器在接收到AC转发的认证报文后，对所述无线用户终端进行认证，并将认证通过与否的情况通知AC。如果认证通过，AC向Portal服务器转发认证成功响应消息，Portal服务器接收到该消息后向用户终端推送认证成功页面，并通知AC用户终端上线成功。AC接收到无线终端认证成功后的消息后，将该用户终端的MAC地址加入到已认证用户名单中。\n[0049] 为了实现本发明目的，在本发明中，还需将NAT设备配置为Radius代理设备。这样，在前述步骤22之后，当AC发送用户终端的计费认证或计费更新等Radius报文到所述NAT设备后，所述NAT设备将启用Radius代理功能，对AC发送的radius报文进行解析，根据radius报文中用户终端的私网IP地址查找本地NAT转换池，查询到对应的用户公网IP地址，通过radius扩展属性实时插入用户终端的公网IP地址，转发给真正的Radius服务器。\n[0050] 所述Radius服务器接收到AC发送的Radius报文后，对该认证计费或计费更新等Radius报文加以记录，由于所述Radius报文中携带有用户终端的公私网IP地址信息，因此，本发明Radius服务器可以实时通过公网IP地址查出某一时刻该公网IP地址对应的私网IP地址和用户名，从而实现从私网IP地址精确回溯到用户的目的，而无需建立复杂的NAT日志系统，也无需提供公网侧端口号信息即可实现用户精确回溯。\n[0051] 进一步地，在本发明中，当用户终端下线时，其处理流程如下：\n[0052] 步骤23、用户终端通过浏览器向Portal服务器发起认证下线请求，报文中携带本地浏览器内记录的用户终端的私网IP地址，这个步骤可以确保即使用户终端的PAT表项发生变化，Portal服务器仍然可以获取到用户终端真实的私网IP地址。\n[0053] 具体地，Portal服务器解析出用户的私网IP地址，向AC发起下线请求。\n[0054] AC接收到Portal服务器发送的下线请求后，向Radius服务器发送下线请求，如果用户终端下线成功，Radius服务器停止对该用户终端进行计费，AC将强制断开该用户终端的无线连接，并释放用户终端占用的公网IP地址；同时，所述AC还要将用户终端的MAC地址从已认证用户名单中删除。\n[0055] 这样，用户终端被强制断开无线连接后，会重新关联无线网络并申请IP地址，此时，由于用户又变为未认证用户，因此，AC会为用户终端重新分配私网IP地址。\n[0056] 需要说明的是，若AC自身配置了DHCP模块，则AC直接通知DHCP模块释放用户终端的公网IP地址即可；若采用外挂DHCP服务器，则AC仿冒该用户终端向DHCP服务器发送携带用户终端MAC地址的DHCP释放消息，DHCP服务器接收到该消息后，根据用户终端的MAC地址查找到用户终端的公网IP地址，释放该公网IP地址。\n[0057] 如图3所示，本发明同时提供了一种提升Portal认证用户IP地址使用效率的系统，应用于无线网络中，包括：\n[0058] AC，在用户终端关联无线网络成功后，接收用户终端发送的DHCP请求，通过DHCP服务器为所述用户终端分配私网IP地址。\n[0059] 具体地，用户终端首先关联无线网络，关联成功后，向AC（Access Control，接入控制器）发送携带自身介质访问控制（MAC，Media Access Control）地址的动态主机配置协议（DHCP，Dynamic Host Configuration Protocol）请求消息。\n[0060] AC接收到来自用户终端的DHCP请求消息后，为用户终端分配私网IP地址，将该私网IP地址携带在DHCP响应消息中返回给用户终端。其中，若AC自身配置了DHCP模板，则AC自己为用户终端分配私网IP地址，并将该私网IP地址携带在DHCP响应消息中返回给用户终端；若AC自身没有配置DHCP模块，则所述系统还进一步包括DHCP服务器，此时，所述AC需要将DHCP请求消息转发给DHCP服务器，由DHCP服务器为用户终端分配私网IP地址，并将该私网IP地址携带在DHCP响应消息中返回给AC，AC再将该DHCP响应消息返回给用户终端。\n[0061] 进一步地，所述AC还接收用户终端访问任意网站的请求，并在用户终端访问非免认证网站时对所述用户终端是否通过认证进行判断，如果未通过，还需要强制该未认证用户终端进行Portal认证。并在其发送给用户终端的重定向报文中携带用户终端的IP地址和AC设备的IP地址，以便Portal认证可以穿越NAT。\n[0062] 所述未认证用户终端在对Portal服务器发起http访问请求时，在访问请求中携带用户终端的IP地址和AC设备的IP地址，并在本地浏览器中记录该用户终端的私网IP地址和AC的IP地址信息，以便Portal认证用户可以穿越NAT正常下线。\n[0063] Portal服务器，用于对未认证用户访问非免认证网站时进行Portal认证。\n[0064] NAT设备，对于用户终端访问免认证网站的流量进行PAT多对一转换；对于用户终端访问非免认证的流量进行一对一NAT转换。\n[0065] 具体地，当用户终端访问Portal服务器或DNS服务器等免认证网站时，NAT设备接收到AC转发的免认证网站访问请求报文时，将对访问这些免认证网站的报文进行PAT（Port Address Translation，端口地址转换）转换，以实现多个未认证用户终端的私网IP地址通过不同端口对应同一个公网IP地址，以达到节约公网IP地址的目的。如果用户终端访问非免认证网站，所述NAT设备将会对该用户终端访问非免认证的流量的公私网IP地址进行一对一NAT转换。\n[0066] 为了实现本发明目的，在本发明中，所述NAT设备还将充当radius代理设备，当所述NAT设备接收到AC发送的计费认证或认证更新等Radius报文后，对AC发送的这些radius报文进行解析，根据radius报文中用户终端的私网IP地址查找本地NAT转换池，查询到对应的用户公网IP地址，通过radius扩展属性实时插入用户终端的公网IP地址，转发给真正的Radius服务器。\n[0067] 所述Radius服务器接收到AC发送的Radius报文后，对该认证计费或计费更新等Radius报文加以记录，由于所述Radius报文中携带有用户终端的公私网IP地址信息，因此，Radius服务器即可实时通过公网IP地址查出某一时刻该IP地址对应的私网IP地址和用户名，从而实现从私网IP地址精确回溯到用户的目的，而无需建立复杂的NAT日志系统，也无需提供公网侧端口号信息即可实现用户精确回溯。\n[0068] 进一步地，当用户终端下线时，所述用户终端通过浏览器向Portal服务器发起认证下线请求，报文中携带本地记录的用户终端的私网IP地址和AC设备的IP地址信息，这个步骤可以确保即使用户终端的PAT表项发生变化，Portal服务器仍然可以获取到用户终端真实的私网IP地址。\n[0069] 具体地，Portal服务器解析出用户的私网IP地址，向AC发起下线请求。\n[0070] AC接收到Portal服务器发送的下线请求后，向Radius服务器发送下线请求，如果用户终端下线成功，Radius服务器停止对该用户终端进行计费，AC将强制断开该用户终端的无线连接，并释放用户终端占用的公网IP地址；同时，所述AC还要将用户终端的MAC地址从已认证用户名单中删除。\n[0071] 这样，用户终端被强制断开无线连接后，会重新关联无线网络并申请IP地址，此时，由于用户又变为未认证用户，因此，AC会为用户终端重新分配私网IP地址。\n[0072] 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。