一种PORTAL认证方法、BNG、PORTAL服务器和系统.pdf

摘要
申请专利号：	CN201310399004.7	申请日：	2013.09.04
公开号：	CN104426660A	公开日：	2015.03.18
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 9/32申请日:20130904\|\|\|公开
IPC分类号：	H04L9/32; H04L29/06; H04L29/08	主分类号：	H04L9/32
申请人：	中兴通讯股份有限公司
发明人：	范亮; 王姝懿; 朱承旭; 毛薇; 袁博
地址：	518057广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部
优先权：
专利代理机构：	北京派特恩知识产权代理有限公司11270	代理人：	王黎延; 张振伟
PDF下载：	PDF下载

内容摘要

本发明公开了一种Portal认证方法，包括：Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。本发明还同时公开了一种BNG、Portal服务器和系统，本发明可规避现有的故障风险，适应IPv6网络等新的网络环境。

权利要求书

权利要求书1. 一种Portal认证方法，其特征在于，该方法包括：Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。2. 根据权利要求1所述的方法，其特征在于，所述HTTP请求包括：终端的HTTP连接建立请求、终端通过HTTP连接发送的终端计量信息查询请求，以及终端下线请求。3. 根据权利要求1所述的方法，其特征在于，所述信息查询消息用于指示BNG反馈终端信息，所述终端信息包括以下一种或多种：终端的IP地址集、终端的位置信息、终端的计量信息、终端的认证状态。4. 根据权利要求1所述的方法，其特征在于，所述信息查询消息和所述应答消息采用Portal协议、或远程用户拨号认证系统RADIUS协议的封装格式。5. 根据权利要求1-4中任一项所述的方法，其特征在于，该方法还包括：所述Portal服务器收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。6. 根据权利要求1-4中任一项所述的方法，其特征在于，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，该方法还包括：切换后的BNG，在终端访问Portal服务器的HTTP请求的统一资源定位符URL字段中加入自身的标识信息。7. 根据权利要求6所述的方法，其特征在于，所述BNG的标识信息为BNG的系统名。8. 一种BNG，其特征在于，所述BNG包括：搜集处理模块和发送模块；其中，所述搜集处理模块，用于根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；所述发送模块，用于将搜集处理模块搜集到的终端信息通过应答消息反馈给所述Portal服务器。9. 根据权利要求8所述的BNG，其特征在于，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，所述搜集处理模块，还用于在终端访问Portal服务器的HTTP请求的URL字段中加入所属BNG的标识信息。10. 一种Portal服务器，其特征在于，所述Portal服务器包括：接收处理模块，用于收到终端发送的HTTP请求后，向所述终端当前接入的BNG发送信息查询消息。11. 根据权利要求10所述的Portal服务器，其特征在于，所述接收处理模块，还用于收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。12. 一种Portal认证系统，该系统包括：终端、BNG和Portal服务器；其特征在于，所述BNG为权利要求8或9所述的BNG，所述Portal服务器为权利要求10或11所述的Portal服务器。

说明书

说明书一种Portal认证方法、BNG、Portal服务器和系统
技术领域
本发明涉及移动通信技术领域，尤其涉及一种Portal认证方法、BNG（Broadband Network Gateway，宽带网络网关）、Portal服务器和系统。
背景技术
随着互联网应用和智能终端的快速发展，WLAN（Wireless Local Area Networks，无线局域网）的应用已经非常普遍，很多公共场所，例如：工厂，学校，咖啡厅等都已部署，用户可以通过手机、电脑等各种终端设备，随时随地访问互联网以进行网上办公、娱乐等活动。通过WLAN接入网络已是用户访问网络资源最重要的手段之一。随着公众对随时随地通过WLAN访问互联网的需求不断增加，政府和运营商纷纷出台了公众WLAN热点、热区的建设计划，部分城市和地区已经完成了包括商业中心、大中院校等地区的WLAN大范围覆盖，这也进一步刺激了终端用户通过WLAN进行视频的频率，使得同时在线的WLAN终端的数量飞速增长。
当前对WLAN用户访问网络的接入控制和认证/鉴权的方法主要有两种：802.1x方式和Portal认证、或称Web认证方式，后者在现网中应用更加普遍，不仅应用于WLAN用户访问前的认证/鉴权，同时也应用于某些有线接入场景中。当前的Portal认证系统的基本架构如图1所示，主要包括：用户终端11、用户接入网关BNG12、Portal服务器13和AAA（Authentication Authorization and Accounting，认证授权计费）服务器14等。所述用户终端11与所述BNG12交互获取IP（Internet Protocol，互联网协议）地址之后，BNG12将用户访问互联网的HTTP（Hyper Text Transport Protocol，超文本传输协议）访问请求重定向到Portal服务器13，Portal服务器13向用户提供web portal认证页面供用户输入认证/鉴权信息，如：用户名、密码等，通过Portal服务器13、AAA服务器14及BNG12的交互完成用户的认证和授权。
当前的Portal服务器采用的是“有状态”方式，即：Portal服务器存储有用户的状态信息，所述用户的状态信息包括：用户是否认证，即认证状态、用户在线时长、用户流量等信息，且通常每个Portal服务器为多个BNG服务，存储了大量的用户状态信息，随着用户规模的不断扩大和IPv6（Internet Protocol version6，互联网协议第六版）等新技术的普及，这种Portal认证方式也产生了越来越多的问题：
首先、故障风险考虑不足。由于Portal服务器同时存储着多个BNG上大量的在线用户信息，且目前Portal服务器没有涉及与BNG间的在线用户信息实时同步机制，一旦BNG故障并快速重启，Portal服务器不会及时清除用户的状态信息，导致Portal服务器与BNG间的用户信息不一致，出现用户无法访问网络的情况。例如：在Portal服务器上管理的在线用户没有成功下线的情况下，BNG重启后会重新为用户分配IP地址，并将用户状态置为未认证状态。如果用户被分配相同的地址，那么当BNG将该用户的HTTP请求重定向到Portal服务器时，Portal服务器会认为该用户状态为在线，直接给用户推出认证成功的页面，而不会向用户提供输入用户名和密码的认证页面，导致该用户最终不能成功上网，而BNG上该用户状态始终为未认证状态。
其次、对IPv6支持存在不足。由于当前Portal服务器上的用户标识为用户的IP地址，而在IPv6网络等新的网络环境中，用户可能同时拥有多个IPv6地址，并且可以动态释放或申请其中一个或多个地址。如果某IPv6用户采用某IP地址首次发起HTTP请求并被重定向到Portal服务器完成认证之后，如果该用户采用另一IP地址访问Portal服务器提交下线请求时，由于Portal服务器上没有该另一IP地址已通过认证的记录，则无法完成该用户的下线流程，继而可能导致用户计费不会停止等诸多问题。
此外，除上述问题之外，当前的portal认证方式对诸如定制化/个性化页面推送、用户移动性接入等等功能的需求都不能完全满足。
针对如上的问题，目前尚未提出有效的解决方案。
发明内容
有鉴于此，本发明实施例的主要目的在于提供一种Portal认证方法、BNG、Portal服务器和系统，可规避现有的故障风险，适应IPv6网络等新的网络环境。
为达到上述目的，本发明实施例的技术方案是这样实现的：
本发明提供了一种Portal认证方法，该方法包括：
Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。
其中，所述HTTP请求包括：终端的HTTP连接建立请求、终端通过HTTP连接发送的终端计量信息查询请求，以及终端下线请求。
其中，所述信息查询消息用于指示BNG反馈终端信息，所述终端信息包括以下一种或多种：终端的IP地址集、终端的位置信息、终端的计量信息、终端的认证状态。
其中，所述信息查询消息和所述应答消息采用Portal协议、或远程用户拨号认证系统RADIUS协议的封装格式。
优选的，该方法还包括：
所述Portal服务器收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。
上述方案中，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，该方法还包括：
切换后的BNG，在终端访问Portal服务器的HTTP请求的统一资源定位符URL字段中加入自身的标识信息。
其中，所述BNG的标识信息为BNG的系统名。
本发明还提供了一种BNG，所述BNG包括：搜集处理模块和发送模块；其中，
所述搜集处理模块，用于根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；
所述发送模块，用于将搜集处理模块搜集到的终端信息通过应答消息反馈给所述Portal服务器。
其中，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，
所述搜集处理模块，还用于在终端访问Portal服务器的HTTP请求的URL字段中加入所属BNG的标识信息。
本发明还提供了一种Portal服务器，所述Portal服务器包括：接收处理模块，用于收到终端发送的HTTP请求后，向所述终端当前接入的BNG发送信息查询消息。
其中，所述接收处理模块，还用于收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。
本发明还提供了一种Portal认证系统，该系统包括：终端、BNG和Portal服务器；所述BNG为上述的BNG，所述Portal服务器为上述的Portal服务器。
本发明实施例提供的Portal认证方法、BNG、Portal服务器和系统，Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。本发明实施例由于Portal服务器采用了“无状态”处理机制，即：不实时存储用户状态信息的机制，故BNG重启前后，UE的地址获取、认证流程完全相同，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题；此外，在终端采用另一IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，适应了IPv6网络等新的网络环境。
附图说明
此处所说明的附图便于对本发明实施例的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
图1为现有Portal认证系统的基本结构示意图；
图2为本发明实施例所述的Portal认证方法的流程示意图；
图3为本发明实施例一的网络拓扑结构示意图；
图4为本发明实施例一的方法流程示意图；
图5为本发明实施例二的网络拓扑结构示意图；
图6为本发明实施例二的方法流程示意图；
图7为本发明实施例三的网络拓扑结构示意图；
图8为本发明实施例三的方法流程示意图；
图9为本发明实施例所述BNG的结构示意图；
图10为本发明实施例所述Portal服务器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白，下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
图2为本发明实施例所述的Portal认证方法的流程示意图，如图2所示，包括如下步骤：
步骤201：Portal服务器收到终端发送的HTTP请求；
这里，所述HTTP请求包括：终端的HTTP连接建立请求、终端通过HTTP连接发送的终端计量信息查询请求，以及终端下线请求。其中，所述计量信息包括时长、流量。
步骤202：所述Portal服务器向所述终端当前接入的BNG发送信息查询消息；
这里，所述信息查询消息用于指示BNG反馈终端的各种信息，所述终端信息包括以下一种或多种：终端的IP地址集，即：该终端的全部IP地址、终端的位置信息、终端的计量信息、终端的认证状态。
步骤203：所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；
步骤204：所述BNG将搜集到的终端信息通过应答消息反馈给所述Portal服务器。
在一个实施例中，该方法还包括：所述Portal服务器收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。
在一个实施例中，上文所述信息查询消息和所述应答消息采用Portal协议或RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证系统）协议格式进行封装。
在一个实施例中，对于漫游的终端，即：处于漫游接入场景中的终端和移动的终端，即：处于移动接入场景中的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，该方法还包括：
切换后的BNG在终端访问Portal服务器的HTTP请求中的URL（UniformResourceLocator，统一资源定位符）字段中加入自身的标识信息。
在一个实施例中，所述BNG的标识信息可为BNG的系统名。
下面结合附图及具体实施例对本发明作进一步详细说明。
实施例一
本实施例为用户终端的认证流程，包括定制化/个人化页面的推送。本实施例的网络拓扑结构示意图如图3所示，包括：UE（User Equipment，用户终端）21、BNG22、Portal服务器23、AAA服务器24和网络侧服务器25，对应的方法流程图如图4所示。
步骤401：UE与BNG进行交互获取自身的IP地址；
步骤402：UE向网络侧服务器发起HTTP请求时，BNG判断该UE未经过认证，则将该HTTP请求重定向到Portal服务器；
步骤403：Portal服务器向BNG发送信息查询消息，要求BNG反馈该UE的IP地址集和UE认证状态；
可选的，Portal服务器在所述信息查询消息中还可以要求BNG反馈该UE的位置信息。
步骤404：BNG收到Portal服务器发送的信息查询消息后，搜集该UE的全部IP地址信息和认证状态信息；
这里，若Portal服务器在信息查询消息中还可以要求BNG反馈该UE的位置信息，则BNG同时也需要搜集该UE的位置信息。
步骤405：BNG向Portal服务器发送应答消息，将该UE的IP地址集和认证状态发送给所述Portal服务器；
这里，若Portal服务器在信息查询消息中还要求BNG反馈该UE的位置信息，则所述BNG同时将该UE的位置信息携带在所述应答消息中发送给所述Portal服务器。
步骤406：Portal服务器收到所述应答消息后，判断该UE尚未认证，则向UE提供认证页面，要求用户输入认证信息，如UE名、密码等；
优选的，所述Portal服务器向UE提供认证页面前与UE完成HTTP连接的建立。
这里，Portal服务器还可根据应答消息中的UE的位置信息向UE推送定制化/个人化的认证页面，如：根据商家要求推送UE地理位置周边的商户信息等。
步骤407：UE向Portal服务器提供认证信息，即在UE认证页面内输入认证信息并提交；
步骤408：Portal服务器收到认证信息后，与AAA服务器、BNG进行交互，完成UE的认证；
步骤409：若认证成功，则Portal服务器向UE推送认证成功的页面；否则，推送认证失败的页面；
可选的，Portal服务器根据UE的位置信息推送定制化/个人化的认证成功页面或认证失败页面，如：根据商家要求推送UE地理位置周边的商户信息，或者，由于UE欠费导致认证失败时，推送附近的营业厅地址信息、自助缴费终端位置信息等。
步骤410：认证成功后，UE再次访问网络侧服务器，BNG判断该UE已经通过认证，不再重定向UE的HTTP请求，UE与网络侧服务器建立HTTP连接。
可见，本发明实施例由于Portal服务器采用了“无状态”处理机制，即：不实时存储用户状态信息的机制，故BNG重启前后，UE的地址获取、认证流程完全相同，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题。
这里，在终端漫游接入场景中，终端位置移动后需要重新认证，终端重新接入的BNG重新发起强推认证，服务器找到对应的BNG地址进行强推认证。此时，如果允许终端漫游前后IP地址不变化，那么Portal服务器无法根据终端的IP地址找到终端位置移动后重新接入的BNG。此时，需要Portal服务器存储BNG的系统名（system-name)与BNG地址的映射关系来实现对BNG的准确定位，相应的，该实施例所述步骤402还包括：
BNG在重定向终端的HTTP请求时，在所述请求的URL中携带自身的标识信息，如：系统名（system-name），所述Portal服务器根据所述system-name与BNG地址的映射关系找到对应的BNG地址。
进一步的，在终端移动性接入场景中，终端移动位置后IP地址不变化且无需重新认证，Portal服务器感知不到在线终端发生了位置移动，但终端重新与Portal服务器建立HTTP连接时，终端位置移动后重新接入的BNG需要对终端访问Portal服务器的HTTP请求执行“重定向”操作，并在所述请求的URL中携带BNG的系统名（system-name），以便实现终端下线、计量信息查询等功能。
实施例二
本实施例中IPv6终端执行下线操作。本实施例的网络拓扑结构示意图如图5所示，包括：终端31、BNG32、Portal服务器33和AAA服务器34，对应的方法流程图如图6所示。
本实施例中终端上线认证流程与实施例一完全相同，所述上线认证流程中该用户使用的IPv6地址为IP1。
步骤601：终端使用另一IPv6地址IP2访问Portal服务器，重新发起HTTP连接建立请求；
步骤602：Portal服务器向BNG发送信息查询消息，要求BNG反馈该终端的IP地址集和终端认证状态；
步骤603：BNG收到Portal服务器发送的查询消息后，搜集该终端的全部IP地址信息和认证状态信息；
步骤604：BNG向Portal服务器发送应答消息，将该终端的IP地址集和终端认证状态发送给所述Portal服务器；
步骤605：Portal服务器收到应答消息后，判断该终端已经过认证，则向终端提供认证通过页面；
优选地，Portal服务器向终端提供认证通过页面前与终端完成HTTP连接的建立。
步骤606：终端向Portal服务器发送下线请求，如：用户在终端认证通过页面内点击下线按钮；
步骤607：Portal服务器收到下线请求后，与AAA服务器、BNG进行交互，完成终端下线流程；
步骤608：若终端下线成功，则Portal服务器向终端推送认证下线成功页面，否则推送认证下线失败页面；
该实施例还包括：步骤609：终端下线成功后，终端再次访问网络侧服务器，BNG判断该终端未经过认证，再次将该HTTP请求重定向到Portal服务器。
可见，本发明实施例由于Portal服务器采用了“无状态”处理机制，即：不实时存储用户状态信息的机制，故终端采用另一IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，本发明适应了IPv6网络等新的网络环境。
实施例三
本实施例为终端进行计量信息查询的方法。本实施例的网络拓扑结构示意图如图7所示，包括：终端41、BNG42和Portal服务器43，对应的方法流程图如图8所示。
本实施例中，终端上线认证流程与第一实施例完全相同。
步骤801：终端向Portal服务器发送计量信息查询请求，包括时长、流量等，即：终端用户可在认证通过页面内输入认证信息并提交；
这里，所述计量信息查询请求为所述HTTP请求中的一种。
优选的，若终端已关闭Portal服务器提供的认证页面，那么终端与Portal服务器将重新建立HTTP连接，所述HTTP连接的建立过程与实施例二的步骤601～605相同。
步骤802：Portal服务器向BNG发送信息查询消息，要求BNG反馈该终端的计量信息；
步骤803：BNG收到Portal服务器的查询消息后，搜集该终端的计量信息；
步骤804：BNG向Portal服务器发送应答消息，将该终端的计量信息发送给Portal服务器；
步骤805：Portal服务器收到应答消息后，向终端提供计量信息页面/信息。
本发明实施例还提供了一种BNG，如图9所示，所述BNG包括：搜集处理模块51和发送模块52；其中，
所述搜集处理模块51，用于根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；
所述发送模块52，用于将所述搜集处理模块51搜集到的终端信息通过应答消息反馈给所述Portal服务器。
这里，所述搜集处理模块51和发送模块52可由BNG中的中央处理器（CPU，Central Processing Unit）、数字信号处理器（DSP，Digital Singnal Processor）或可编程逻辑阵列（FPGA，Field－Programmable Gate Array）实现。
优选的，在一个实施例中，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，
所述搜集处理模块，还用于在终端访问Portal服务器的HTTP请求的URL字段中加入所属BNG的标识信息。
本发明实施例还提供了一种Portal服务器，如图10所示，所述Portal服务器包括：接收处理模块61，用于收到终端发送的HTTP请求后，向所述终端当前接入的BNG发送信息查询消息。
这里，所述接收处理模块可由Portal服务器中的CPU、DSP或FPGA实现。
优选的，在一个实施例中，所述接收处理模块，还用于收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。
本发明实施例还提供了一种Portal认证系统，该系统与图7所示架构相同，该系统包括：终端、BNG和Portal服务器；所述BNG为上文所述的BNG，所述Portal服务器为上文所述的Portal服务器。
可见，本发明实施例所述BNG、Portal服务器和系统中，由于Portal服务器采用了“无状态”处理机制，即：不实时存储用户状态信息的机制，故BNG重启前后，UE的地址获取、认证流程完全相同，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题；此外，在终端采用另一IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，适应了IPv6网络等新的网络环境。
本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

资源描述

《一种PORTAL认证方法、BNG、PORTAL服务器和系统.pdf》由会员分享，可在线阅读，更多相关《一种PORTAL认证方法、BNG、PORTAL服务器和系统.pdf（13页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 (43)申请公布日 (21)申请号 201310399004.7(22)申请日 2013.09.04H04L 9/32(2006.01)H04L 29/06(2006.01)H04L 29/08(2006.01)(71)申请人中兴通讯股份有限公司地址 518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部(72)发明人范亮王姝懿朱承旭毛薇袁博(74)专利代理机构北京派特恩知识产权代理有限公司 11270代理人王黎延张振伟(54) 发明名称一种Portal认证方法、BNG、Portal服务器和系统(57) 摘要本发明公开了一种Portal认证方法，包。

2、括：Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。本发明还同时公开了一种BNG、Portal服务器和系统，本发明可规避现有的故障风险，适应IPv6网络等新的网络环境。(51)Int.Cl.(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书1页说明书7页附图4页(10)申请公布号 CN 104426660 A(43)申请公布日 2015.03.18CN 104426660 A1/1页。

3、21.一种Portal认证方法，其特征在于，该方法包括：Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。2.根据权利要求1所述的方法，其特征在于，所述HTTP请求包括：终端的HTTP连接建立请求、终端通过HTTP连接发送的终端计量信息查询请求，以及终端下线请求。3.根据权利要求1所述的方法，其特征在于，所述信息查询消息用于指示BNG反馈终端信息，所述终端信息包括以下一种或多种：终端的IP地址集、终端的位。

4、置信息、终端的计量信息、终端的认证状态。4.根据权利要求1所述的方法，其特征在于，所述信息查询消息和所述应答消息采用Portal协议、或远程用户拨号认证系统RADIUS协议的封装格式。5.根据权利要求1-4中任一项所述的方法，其特征在于，该方法还包括：所述Portal服务器收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。6.根据权利要求1-4中任一项所述的方法，其特征在于，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，该方法还包括：切换后的BNG，在终端访问Portal服务器的HTTP请求的统一资。

5、源定位符URL字段中加入自身的标识信息。7.根据权利要求6所述的方法，其特征在于，所述BNG的标识信息为BNG的系统名。8.一种BNG，其特征在于，所述BNG包括：搜集处理模块和发送模块；其中，所述搜集处理模块，用于根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；所述发送模块，用于将搜集处理模块搜集到的终端信息通过应答消息反馈给所述Portal服务器。9.根据权利要求8所述的BNG，其特征在于，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，所述搜集处理模块，还用于在终端访问Portal服务器的HTTP请求的URL字段中加入所属BNG的标识信。

6、息。10.一种Portal服务器，其特征在于，所述Portal服务器包括：接收处理模块，用于收到终端发送的HTTP请求后，向所述终端当前接入的BNG发送信息查询消息。11.根据权利要求10所述的Portal服务器，其特征在于，所述接收处理模块，还用于收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。12.一种Portal认证系统，该系统包括：终端、BNG和Portal服务器；其特征在于，所述BNG为权利要求8或9所述的BNG，所述Portal服务器为权利要求10或11所述的Portal服务器。权利要求书CN 104426660 。

7、A1/7页3一种 Portal 认证方法、 BNG、 Portal 服务器和系统技术领域0001 本发明涉及移动通信技术领域，尤其涉及一种Portal认证方法、BNG（Broadband Network Gateway，宽带网络网关）、Portal服务器和系统。背景技术0002 随着互联网应用和智能终端的快速发展，WLAN（Wireless Local Area Networks，无线局域网）的应用已经非常普遍，很多公共场所，例如：工厂，学校，咖啡厅等都已部署，用户可以通过手机、电脑等各种终端设备，随时随地访问互联网以进行网上办公、娱乐等活动。通过WLAN接入网络已是用户访问网络资源最重要的手。

8、段之一。随着公众对随时随地通过WLAN访问互联网的需求不断增加，政府和运营商纷纷出台了公众WLAN热点、热区的建设计划，部分城市和地区已经完成了包括商业中心、大中院校等地区的WLAN大范围覆盖，这也进一步刺激了终端用户通过WLAN进行视频的频率，使得同时在线的WLAN终端的数量飞速增长。0003 当前对WLAN用户访问网络的接入控制和认证/鉴权的方法主要有两种：802.1x方式和Portal认证、或称Web认证方式，后者在现网中应用更加普遍，不仅应用于WLAN用户访问前的认证/鉴权，同时也应用于某些有线接入场景中。当前的Portal认证系统的基本架构如图1所示，主要包括：用户终端11、用户接入。

9、网关BNG12、Portal服务器13和AAA（Authentication Authorization and Accounting，认证授权计费）服务器14等。所述用户终端11与所述BNG12交互获取IP（Internet Protocol，互联网协议）地址之后，BNG12将用户访问互联网的HTTP（Hyper Text Transport Protocol，超文本传输协议）访问请求重定向到Portal服务器13，Portal服务器13向用户提供web portal认证页面供用户输入认证/鉴权信息，如：用户名、密码等，通过Portal服务器13、AAA服务器14及BNG12的交互完成用户的。

10、认证和授权。0004 当前的Portal服务器采用的是“有状态”方式，即：Portal服务器存储有用户的状态信息，所述用户的状态信息包括：用户是否认证，即认证状态、用户在线时长、用户流量等信息，且通常每个Portal服务器为多个BNG服务，存储了大量的用户状态信息，随着用户规模的不断扩大和IPv6（Internet Protocol version6，互联网协议第六版）等新技术的普及，这种Portal认证方式也产生了越来越多的问题：0005 首先、故障风险考虑不足。由于Portal服务器同时存储着多个BNG上大量的在线用户信息，且目前Portal服务器没有涉及与BNG间的在线用户信息实时同步机。

11、制，一旦BNG故障并快速重启，Portal服务器不会及时清除用户的状态信息，导致Portal服务器与BNG间的用户信息不一致，出现用户无法访问网络的情况。例如：在Portal服务器上管理的在线用户没有成功下线的情况下，BNG重启后会重新为用户分配IP地址，并将用户状态置为未认证状态。如果用户被分配相同的地址，那么当BNG将该用户的HTTP请求重定向到Portal服务器时，Portal服务器会认为该用户状态为在线，直接给用户推出认证成功的页面，而不会向用户提供输入用户名和密码的认证页面，导致该用户最终不能成功上网，而说明书CN 104426660 A2/7页4BNG上该用户状态始终为未认证状。

12、态。0006 其次、对IPv6支持存在不足。由于当前Portal服务器上的用户标识为用户的IP地址，而在IPv6网络等新的网络环境中，用户可能同时拥有多个IPv6地址，并且可以动态释放或申请其中一个或多个地址。如果某IPv6用户采用某IP地址首次发起HTTP请求并被重定向到Portal服务器完成认证之后，如果该用户采用另一IP地址访问Portal服务器提交下线请求时，由于Portal服务器上没有该另一IP地址已通过认证的记录，则无法完成该用户的下线流程，继而可能导致用户计费不会停止等诸多问题。0007 此外，除上述问题之外，当前的portal认证方式对诸如定制化/个性化页面推送、用户移动性接入。

13、等等功能的需求都不能完全满足。0008 针对如上的问题，目前尚未提出有效的解决方案。发明内容0009 有鉴于此，本发明实施例的主要目的在于提供一种Portal认证方法、BNG、Portal服务器和系统，可规避现有的故障风险，适应IPv6网络等新的网络环境。0010 为达到上述目的，本发明实施例的技术方案是这样实现的：0011 本发明提供了一种Portal认证方法，该方法包括：0012 Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息。

14、反馈给所述Portal服务器。0013 其中，所述HTTP请求包括：终端的HTTP连接建立请求、终端通过HTTP连接发送的终端计量信息查询请求，以及终端下线请求。0014 其中，所述信息查询消息用于指示BNG反馈终端信息，所述终端信息包括以下一种或多种：终端的IP地址集、终端的位置信息、终端的计量信息、终端的认证状态。0015 其中，所述信息查询消息和所述应答消息采用Portal协议、或远程用户拨号认证系统RADIUS协议的封装格式。0016 优选的，该方法还包括：0017 所述Portal服务器收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和。

15、/或信息。0018 上述方案中，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，该方法还包括：0019 切换后的BNG，在终端访问Portal服务器的HTTP请求的统一资源定位符URL字段中加入自身的标识信息。0020 其中，所述BNG的标识信息为BNG的系统名。0021 本发明还提供了一种BNG，所述BNG包括：搜集处理模块和发送模块；其中，0022 所述搜集处理模块，用于根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；0023 所述发送模块，用于将搜集处理模块搜集到的终端信息通过应答消息反馈给所述Portal服务器。0024 其中，对于漫。

16、游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且说明书CN 104426660 A3/7页5发生BNG切换时，0025 所述搜集处理模块，还用于在终端访问Portal服务器的HTTP请求的URL字段中加入所属BNG的标识信息。0026 本发明还提供了一种Portal服务器，所述Portal服务器包括：接收处理模块，用于收到终端发送的HTTP请求后，向所述终端当前接入的BNG发送信息查询消息。0027 其中，所述接收处理模块，还用于收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。0028 本发明还提供了一种Portal认。

17、证系统，该系统包括：终端、BNG和Portal服务器；所述BNG为上述的BNG，所述Portal服务器为上述的Portal服务器。0029 本发明实施例提供的Portal认证方法、BNG、Portal服务器和系统，Portal服务器收到终端发送的超文本传输协议HTTP请求后，向所述终端当前接入的BNG发送信息查询消息；所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息，并将搜集到的终端信息通过应答消息反馈给所述Portal服务器。本发明实施例由于Portal服务器采用了“无状态”处理机制，即：不实时存储用户状态信息的机制，故BNG重启前后，UE的地址获取、认证流程完全相同。

18、，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题；此外，在终端采用另一IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，适应了IPv6网络等新的网络环境。附图说明0030 此处所说明的附图便于对本发明实施例的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：0031 图1为现有Portal认证系统的基本结构示意图；0032 图2为本发明实施例所述的Portal认证方法的流程示意图；0033 图3。

19、为本发明实施例一的网络拓扑结构示意图；0034 图4为本发明实施例一的方法流程示意图；0035 图5为本发明实施例二的网络拓扑结构示意图；0036 图6为本发明实施例二的方法流程示意图；0037 图7为本发明实施例三的网络拓扑结构示意图；0038 图8为本发明实施例三的方法流程示意图；0039 图9为本发明实施例所述BNG的结构示意图；0040 图10为本发明实施例所述Portal服务器的结构示意图。具体实施方式0041 为使本发明的目的、技术方案和优点更加清楚明白，下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。00。

20、42 图2为本发明实施例所述的Portal认证方法的流程示意图，如图2所示，包括如说明书CN 104426660 A4/7页6下步骤：0043 步骤201：Portal服务器收到终端发送的HTTP请求；0044 这里，所述HTTP请求包括：终端的HTTP连接建立请求、终端通过HTTP连接发送的终端计量信息查询请求，以及终端下线请求。其中，所述计量信息包括时长、流量。0045 步骤202：所述Portal服务器向所述终端当前接入的BNG发送信息查询消息；0046 这里，所述信息查询消息用于指示BNG反馈终端的各种信息，所述终端信息包括以下一种或多种：终端的IP地址集，即：该终端的全部IP地址。

21、、终端的位置信息、终端的计量信息、终端的认证状态。0047 步骤203：所述BNG根据所述Portal服务器发送的信息查询消息，搜集所述终端信息；0048 步骤204：所述BNG将搜集到的终端信息通过应答消息反馈给所述Portal服务器。0049 在一个实施例中，该方法还包括：所述Portal服务器收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。0050 在一个实施例中，上文所述信息查询消息和所述应答消息采用Portal协议或RADIUS（Remote Authentication Dial In User Service，远程用户拨。

22、号认证系统）协议格式进行封装。0051 在一个实施例中，对于漫游的终端，即：处于漫游接入场景中的终端和移动的终端，即：处于移动接入场景中的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，该方法还包括：0052 切换后的BNG在终端访问Portal服务器的HTTP请求中的URL（UniformResourceLocator，统一资源定位符）字段中加入自身的标识信息。0053 在一个实施例中，所述BNG的标识信息可为BNG的系统名。0054 下面结合附图及具体实施例对本发明作进一步详细说明。0055 实施例一0056 本实施例为用户终端的认证流程，包括定制化/个人化页面的推送。本实施。

23、例的网络拓扑结构示意图如图3所示，包括：UE（User Equipment，用户终端）21、BNG22、Portal服务器23、AAA服务器24和网络侧服务器25，对应的方法流程图如图4所示。0057 步骤401：UE与BNG进行交互获取自身的IP地址；0058 步骤402：UE向网络侧服务器发起HTTP请求时，BNG判断该UE未经过认证，则将该HTTP请求重定向到Portal服务器；0059 步骤403：Portal服务器向BNG发送信息查询消息，要求BNG反馈该UE的IP地址集和UE认证状态；0060 可选的，Portal服务器在所述信息查询消息中还可以要求BNG反馈该UE的位置信息。00。

24、61 步骤404：BNG收到Portal服务器发送的信息查询消息后，搜集该UE的全部IP地址信息和认证状态信息；0062 这里，若Portal服务器在信息查询消息中还可以要求BNG反馈该UE的位置信息，则BNG同时也需要搜集该UE的位置信息。说明书CN 104426660 A5/7页70063 步骤405：BNG向Portal服务器发送应答消息，将该UE的IP地址集和认证状态发送给所述Portal服务器；0064 这里，若Portal服务器在信息查询消息中还要求BNG反馈该UE的位置信息，则所述BNG同时将该UE的位置信息携带在所述应答消息中发送给所述Portal服务器。0065 步骤40。

25、6：Portal服务器收到所述应答消息后，判断该UE尚未认证，则向UE提供认证页面，要求用户输入认证信息，如UE名、密码等；0066 优选的，所述Portal服务器向UE提供认证页面前与UE完成HTTP连接的建立。0067 这里，Portal服务器还可根据应答消息中的UE的位置信息向UE推送定制化/个人化的认证页面，如：根据商家要求推送UE地理位置周边的商户信息等。0068 步骤407：UE向Portal服务器提供认证信息，即在UE认证页面内输入认证信息并提交；0069 步骤408：Portal服务器收到认证信息后，与AAA服务器、BNG进行交互，完成UE的认证；0070 步骤409：若认证成。

26、功，则Portal服务器向UE推送认证成功的页面；否则，推送认证失败的页面；0071 可选的，Portal服务器根据UE的位置信息推送定制化/个人化的认证成功页面或认证失败页面，如：根据商家要求推送UE地理位置周边的商户信息，或者，由于UE欠费导致认证失败时，推送附近的营业厅地址信息、自助缴费终端位置信息等。0072 步骤410：认证成功后，UE再次访问网络侧服务器，BNG判断该UE已经通过认证，不再重定向UE的HTTP请求，UE与网络侧服务器建立HTTP连接。0073 可见，本发明实施例由于Portal服务器采用了“无状态”处理机制，即：不实时存储用户状态信息的机制，故BNG重启前后，UE的。

27、地址获取、认证流程完全相同，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题。0074 这里，在终端漫游接入场景中，终端位置移动后需要重新认证，终端重新接入的BNG重新发起强推认证，服务器找到对应的BNG地址进行强推认证。此时，如果允许终端漫游前后IP地址不变化，那么Portal服务器无法根据终端的IP地址找到终端位置移动后重新接入的BNG。此时，需要Portal服务器存储BNG的系统名（system-name)与BNG地址的映射关系来实现对BNG的准确定位，相应的，该实施例所述步骤402还包括：0075 BNG在重定向终端的H。

28、TTP请求时，在所述请求的URL中携带自身的标识信息，如：系统名（system-name），所述Portal服务器根据所述system-name与BNG地址的映射关系找到对应的BNG地址。0076 进一步的，在终端移动性接入场景中，终端移动位置后IP地址不变化且无需重新认证，Portal服务器感知不到在线终端发生了位置移动，但终端重新与Portal服务器建立HTTP连接时，终端位置移动后重新接入的BNG需要对终端访问Portal服务器的HTTP请求执行“重定向”操作，并在所述请求的URL中携带BNG的系统名（system-name），以便实现终端下线、计量信息查询等功能。0077 实施例二00。

29、78 本实施例中IPv6终端执行下线操作。本实施例的网络拓扑结构示意图如图5所说明书CN 104426660 A6/7页8示，包括：终端31、BNG32、Portal服务器33和AAA服务器34，对应的方法流程图如图6所示。0079 本实施例中终端上线认证流程与实施例一完全相同，所述上线认证流程中该用户使用的IPv6地址为IP1。0080 步骤601：终端使用另一IPv6地址IP2访问Portal服务器，重新发起HTTP连接建立请求；0081 步骤602：Portal服务器向BNG发送信息查询消息，要求BNG反馈该终端的IP地址集和终端认证状态；0082 步骤603：BNG收到Portal。

30、服务器发送的查询消息后，搜集该终端的全部IP地址信息和认证状态信息；0083 步骤604：BNG向Portal服务器发送应答消息，将该终端的IP地址集和终端认证状态发送给所述Portal服务器；0084 步骤605：Portal服务器收到应答消息后，判断该终端已经过认证，则向终端提供认证通过页面；0085 优选地，Portal服务器向终端提供认证通过页面前与终端完成HTTP连接的建立。0086 步骤606：终端向Portal服务器发送下线请求，如：用户在终端认证通过页面内点击下线按钮；0087 步骤607：Portal服务器收到下线请求后，与AAA服务器、BNG进行交互，完成终端下线流程；00。

31、88 步骤608：若终端下线成功，则Portal服务器向终端推送认证下线成功页面，否则推送认证下线失败页面；0089 该实施例还包括：步骤609：终端下线成功后，终端再次访问网络侧服务器，BNG判断该终端未经过认证，再次将该HTTP请求重定向到Portal服务器。0090 可见，本发明实施例由于Portal服务器采用了“无状态”处理机制，即：不实时存储用户状态信息的机制，故终端采用另一IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，本发明适应了IPv6网络等新的网络环境。0091 实施例三0092 本实施例为终端进行计量信。

32、息查询的方法。本实施例的网络拓扑结构示意图如图7所示，包括：终端41、BNG42和Portal服务器43，对应的方法流程图如图8所示。0093 本实施例中，终端上线认证流程与第一实施例完全相同。0094 步骤801：终端向Portal服务器发送计量信息查询请求，包括时长、流量等，即：终端用户可在认证通过页面内输入认证信息并提交；0095 这里，所述计量信息查询请求为所述HTTP请求中的一种。0096 优选的，若终端已关闭Portal服务器提供的认证页面，那么终端与Portal服务器将重新建立HTTP连接，所述HTTP连接的建立过程与实施例二的步骤601605相同。0097 步骤802：Port。

33、al服务器向BNG发送信息查询消息，要求BNG反馈该终端的计量信息；0098 步骤803：BNG收到Portal服务器的查询消息后，搜集该终端的计量信息；说明书CN 104426660 A7/7页90099 步骤804：BNG向Portal服务器发送应答消息，将该终端的计量信息发送给Portal服务器；0100 步骤805：Portal服务器收到应答消息后，向终端提供计量信息页面/信息。0101 本发明实施例还提供了一种BNG，如图9所示，所述BNG包括：搜集处理模块51和发送模块52；其中，0102 所述搜集处理模块51，用于根据所述Portal服务器发送的信息查询消息，搜集所述终端信息。

34、；0103 所述发送模块52，用于将所述搜集处理模块51搜集到的终端信息通过应答消息反馈给所述Portal服务器。0104 这里，所述搜集处理模块51和发送模块52可由BNG中的中央处理器（CPU，Central Processing Unit）、数字信号处理器（DSP，Digital Singnal Processor）或可编程逻辑阵列（FPGA，FieldProgrammable Gate Array）实现。0105 优选的，在一个实施例中，对于漫游的终端和移动的终端，如果漫游或移动后终端的IP地址不变、且发生BNG切换时，0106 所述搜集处理模块，还用于在终端访问Portal服务器的H。

35、TTP请求的URL字段中加入所属BNG的标识信息。0107 本发明实施例还提供了一种Portal服务器，如图10所示，所述Portal服务器包括：接收处理模块61，用于收到终端发送的HTTP请求后，向所述终端当前接入的BNG发送信息查询消息。0108 这里，所述接收处理模块可由Portal服务器中的CPU、DSP或FPGA实现。0109 优选的，在一个实施例中，所述接收处理模块，还用于收到所述BNG发送的应答消息后，根据所述终端发送的HTTP请求和所述应答消息向终端提供对应的页面和/或信息。0110 本发明实施例还提供了一种Portal认证系统，该系统与图7所示架构相同，该系统包括：终端、BN。

36、G和Portal服务器；所述BNG为上文所述的BNG，所述Portal服务器为上文所述的Portal服务器。0111 可见，本发明实施例所述BNG、Portal服务器和系统中，由于Portal服务器采用了“无状态”处理机制，即：不实时存储用户状态信息的机制，故BNG重启前后，UE的地址获取、认证流程完全相同，规避了现有BNG故障重启后，因Portal服务器与BNG中的终端的状态信息不一致导致的终端无法访问网络等一系列问题；此外，在终端采用另一IP地址访问Portal服务器提交下线请求时，Portal服务器向BNG重新获取该终端的状态信息，便于终端继续访问网络，适应了IPv6网络等新的网络环境。。

37、0112 本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。0113 以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。说明书CN 104426660 A1/4页10图1图2图3说明书附图CN 104426660 A10。

展开阅读全文