技術領域

本發明涉及安全認證技術領域，具體涉及門戶認證方法及接入控制器(AC，Access?Controller)。

背景技術

在移動城域網架構中，一般采用門戶(Portal)方式來實現用戶的安全認證，認證控制點在城域網的接入控制器(AC，Access?controller)。無線網絡中用戶終端上網涉及的Portal認證基本流程如圖1所示，包括：

步驟101：無線用戶終端首先關聯無線網絡，關聯成功，向AC發送攜帶自身介質訪問控制(MAC，Media?Access?Control)地址的動態主機配置協議(DHCP，Dynamic?Host?Configuration?Protocol)請求消息。

步驟102：AC接收DHCP請求消息，為用戶終端分配因特網協議(IP，Internet?Protocol)地址，將該IP地址攜帶在DHCP響應消息中返回給用戶終端。

若AC自身配置了DHCP模板，則AC自己為用戶終端分配IP地址，并將該IP地址攜帶在DHCP響應消息中返回給用戶終端；若采用外掛DHCP服務器，則AC需要將DHCP請求消息轉發給DHCP服務器，由DHCP服務器為用戶終端分配IP地址，并將該IP地址攜帶在DHCP響應消息中返回給AC，AC再將該DHCP響應消息返回給用戶終端。

步驟103：用戶終端發起超文本傳輸協議(HTTP，Hyper-Text?Transfer?Protocol)請求消息。

步驟104：AC接收該HTTP請求消息，將該消息強制重定向到Portal服務器，Portal服務器向用戶終端推送認證頁面。

步驟105：用戶在認證頁面上輸入用戶名和密碼，Portal服務器將用戶名和密碼攜帶在認證請求消息中發送給AC，AC接收該消息后，將用戶名和密碼封裝成遠端用戶撥入認證服務(RADIUS，Remote?Authentication?Dial?In?User?Service)報文提交給RADIUS服務器。

步驟106：RADIUS服務器對用戶進行認證，認證通過，通知AC，AC下發訪問控制列表(ACL，Access?Control?List)，允許用戶訪問網絡。

針對廣域網(WLAN，Wide?Local?Area?Network)用戶，用戶開機后自動連接無線網絡，隨后立即發起DHCP請求，獲取IP地址。無論用戶是否認證，均可獲取IP地址，造成地址資源的浪費。尤其目前移動網絡針對用戶分配的都是公網地址，地址資源相當寶貴，經常出現真正想上網的用戶無法獲取IP地址，而沒有上網需求的用戶卻無意占用了IP地址的問題。

通常，為了解決用戶IP地址緊缺問題，采用網絡地址轉換(NAT，Network?Address?Translation)方式。但NAT方式存在一個公網地址對應多個私網地址的問題，無法精確回溯用戶。

發明內容

本發明提供portal認證方法及AC，以實現只為上網無線用戶分配公網IP地址。

本發明的技術方案是這樣實現的：

一種門戶認證方法，該方法包括：

接入控制器AC接收無線用戶終端發來的動態主機配置協議DHCP請求，若發現為未認證用戶，則為用戶終端分配私網IP地址；

當AC在用戶終端的門戶認證過程完成后，強制用戶終端斷開無線連接；當AC重新接收到用戶終端發來的DHCP請求后，確認用戶通過認證，則為用戶終端分配公網IP地址，并向遠端用戶撥入認證服務RADIUS服務器發送計費請求；

當AC發現用戶終端下線時，向RADIUS服務器發送停止計費消息，并強制用戶終端斷開無線連接，同時釋放所述公網IP地址。

所述AC為用戶終端分配私網IP地址之后、在用戶終端的門戶認證過程完成之前進一步包括：

當AC接收到用戶終端發起的超文本傳輸協議HTTP請求時，將該請求重定向到門戶服務器，當接收到門戶服務器發來的用戶名和密碼時，將該用戶名和密碼封裝成RADIUS報文發送給RADIUS服務器。

所述AC為用戶終端分配公網IP地址之后、向遠端用戶撥入認證服務RADIUS服務器發送計費請求之前進一步包括：

AC向門戶服務器發送地址變更消息，該消息攜帶用戶終端的MAC地址和公網IP地址，門戶服務器接收該地址變更消息，向AC返回地址變更響應消息，同時在自身記錄用戶終端的用戶名、MAC地址和公網IP地址的對應關系，AC接收到該地址變更響應消息后，執行所述向遠端用戶撥入認證服務RADIUS服務器發送計費請求的動作。