技術領域

本發明涉及互聯網技術領域，尤其涉及一種入口認證方法和其對應的網關 設備、服務器。

背景技術

在現有技術的組網環境中，用戶通過自身所在的客戶端連接到局域網設 備后，可以訪問網絡中的設備和資源，在便于用戶共享網絡資源的同時，卻 影響了網絡的安全性能。為加強對網絡資源的安全控制和運營管理，需要對 用戶的訪問進行控制。例如，在某些場合，企業需要提供內部關鍵資源給外 部用戶訪問，為保證安全，一般通過Portal(入口)認證技術在接入層以及需 要保護的關鍵數據入口處對用戶實施訪問控制。

Portal認證也稱為Web(網頁)認證，即通過HTTP(Hypertext?Transfer Protocol，超文本傳輸協議)頁面接收用戶輸入的用戶名和密碼，對用戶進行 認證。在Portal認證中，用于進行Portal認證的網站稱為門戶網站，未認證的 用戶在連接到互聯網時，首先會被強制登錄到門戶網站進行認證，只有認證 通過后才可以使用該門戶網站之外的資源。因此，Portal認證可以為企業、運 營商提供相應的管理功能，使所有用戶登錄門戶網站進行認證。

如圖1所示，為現有技術中的一種Portal認證系統的結構示意圖，包括 Portal客戶端101、Portal服務器102、BAS(Broadband?Access?Server，寬帶 接入服務器)設備103和AAA(Authentication?Authorization?Accounting，認 證、授權與計費)服務器104。其中，Portal客戶端101為Portal認證系統中 發起認證請求的客戶端，可以是運行HTTP協議的瀏覽器；Portal服務器102 為Portal認證系統中接收來自Portal客戶端101的認證請求的服務器，用于提 供基于WEB認證的界面，與BAS設備103交互認證客戶端的身份信息；BAS 設備103用于向Portal服務器102重定向HTTP認證請求，并與Portal服務器 102和AAA服務器104交互，完成對用戶的認證、授權和計費；AAA服務器 104與BAS設備103進行交互，對用戶進行認證、授權和計費。

當未認證的用戶通過Portal客戶端101訪問互聯網時，向BAS設備103 發送HTTP請求，該HTTP請求由BAS設備103重定向到Portal服務器102 的Web認證主頁上；用戶在認證主頁或認證對話框中輸入認證信息后提交， Portal服務器102會將用戶的認證信息傳遞給BAS設備103；BAS設備103 與AAA服務器104通信，進行用戶認證和計費；用戶通過認證后，BAS設備 103打開用戶與互聯網的通路，允許用戶訪問互聯網。

在實際組網過程中，如果用戶數量較多，可以將不同用戶對應的Portal 客戶端101連接到不同的交換機，并通過不同的交換機接入到不同的BAS設 備103上，所有的BAS設備可以通過核心路由器(或高端交換機)連接到互 聯網，Portal服務器102放置在機房中，通過交換機連接到上述核心路由器(或 高端交換機)。

需要說明的是，Portal認證系統也可以不采用外部獨立的Portal服務器 102，而由BAS設備103實現Portal服務器102的功能，將Portal服務器102 內置于BAS設備103中。由于內置Portal服務器102的BAS設備103支持 Web用戶直接認證，因此，不需要部署額外的Portal服務器102，增強了Portal 認證的通用性。但是，內置Portal服務器102的BAS設備103僅能向用戶提 供通過Web方式登錄和下線的基本功能，并不能完全替代獨立的Portal服務 器102。

然而，Portal認證在實際應用中還存在以下缺陷，在Portal服務器受到網 絡、硬件故障或病毒的影響而導致服務中斷時，會造成新用戶無法上線和在 線用戶無法下線的問題，即出現所謂的“吊死”現象，給網絡用戶帶來很大的不 便。為了解決上述缺陷，需要提供一種在Portal服務器無法正常工作的情況下， 使用戶仍然可以正常使用網絡的Portal認證方法。