포털 인증(이전)이란 무엇입니까?
PORTAL 개요
Portal은 영어로 입구를 의미합니다. 포털 인증은 흔히 웹 인증이라고도 하며, 포털 인증 웹 사이트를 일반적으로 포털 웹 사이트라고 합니다. 다른 인증 방법보다 사용자가 더 쉽게 사용할 수 있는 간단한 사용자 인증 방법을 제공합니다. 두 가지 주요 기능이 있습니다:
? 클라이언트 프리
사용자에게 인증 서비스를 제공하려면 웹 브라우저(예: IE)만 지원하면 되며 설치할 필요가 없습니다. 아니면 특별한 클라이언트. 클라이언트 프리 소프트웨어 호텔, 호텔과 같은 공용 네트워크 노드의 경우 클라이언트 프리 소프트웨어는 기본 요구 사항입니다.
? 신규 사업자
포털 인증의 포털 기능을 사용하여 사업자는 커뮤니티 방송, 광고, 정보 조회, 온라인 쇼핑 등의 서비스를 포털에 올릴 수 있습니다. 사용자는 인터넷 서핑을 할 때 위의 정보를 강제로 보게 됩니다.
포털 인증의 기본 방법은 포털 페이지에서 눈에 띄는 위치에 인증 창을 설정하는 것입니다. 사용자는 부팅하고 IP 주소를 얻은 후 포털 인증 페이지에 로그인합니다. 인증을 통과한 후 사용자는 인터넷에 접속할 수 있습니다.
사용자가 인증 페이지에 접근하는 방법은 두 가지가 있습니다.
? 활성 포털: 사용자는 인증을 위해 PORTAL 서버의 IP 주소를 알고 적극적으로 PORTAL 서버에 로그인해야 합니다. 네트워크에 액세스하기 전에.
? 강제 포털: 인증되지 않은 사용자가 웹사이트에 접속하면 먼저 인증을 위해 강제로 PORTAL 서버로 연결됩니다. 사용자는 포털 서버의 IP 주소를 기억할 필요가 없습니다.
포털 서비스는 운영자에게 편리한 관리 기능을 제공할 수 있으며, 광고, 커뮤니티 서비스, 개인화 서비스 등을 포털 웹사이트를 기반으로 수행할 수 있어 광대역 운영자, 장비 제공자 및 콘텐츠 서비스 제공자가 하나의 네트워크를 형성할 수 있습니다. 산업 생태계.
1 PORTAL 시스템 구성
1.1 Portal의 4가지 주요 시스템
? 인증 클라이언트
사용자 단말에 설치된 클라이언트 시스템 , 예를 들어 HTTP/HTTPS 프로토콜을 실행하는 브라우저 또는 포털 클라이언트 소프트웨어를 실행하는 호스트. 접속 단말의 보안 탐지는 포털 클라이언트와 보안 정책 서버 간의 정보 교환을 통해 완료됩니다.
? 접속 장비(BAS)
스위치, 라우터 등 광대역 접속 장비의 총칭입니다.
인증 전, 모두. 사용자의 HTTP 요청은 포털 서버로 리디렉션됩니다.
인증과정에서는 포털서버, 보안정책서버, 인증/회계서버와 상호작용하여 신원인증/보안인증/회계 기능을 완성한다.
인증을 통과한 후 사용자는 관리자가 승인한 인터넷 리소스에 액세스할 수 있습니다.
? 포털 서버
포털 클라이언트 인증 요청을 수신하고 무료 포털 서비스 및 웹 인증 기반 인터페이스를 제공하며 액세스 장치와 상호 작용하여 인증하는 서버 측 시스템입니다. 클라이언트의 인증 정보.
? 인증/회계 서버
사용자 인증 및 계정을 완료하기 위해 액세스 장치와 상호 작용합니다.
위의 4가지 기본 요소의 상호작용 과정은 다음과 같습니다.
1. 인증되지 않은 사용자가 네트워크에 접속하여 웹 브라우저의 주소창에 인터넷 주소를 입력하면, HTTP 요청이 접속 장치를 통과할 때 포털 서버의 웹 인증 홈페이지로 리디렉션됩니다.
2. 사용자가 인증홈페이지/인증대화상자에 인증정보를 입력하여 제출하면 포털서버가 사용자의 인증정보를 접속기기로 전달합니다.
3. 그런 다음 액세스 장치는 인증 및 회계를 위해 인증/회계 서버와 통신합니다.
4. 인증을 통과한 후 액세스 장치는 사용자와 인터넷 사이의 채널을 열어 사용자가 관리자가 승인한 인터넷 리소스에 액세스할 수 있도록 합니다.
인증 구현 메커니즘
2.1 인증 시작 방법
클라이언트 프리 인증이 Portal 인증의 주류 방법이지만 더 안전해야 합니다. 유연한 기능을 전제로 클라이언트 인증을 인증에 사용할 수도 있습니다. 이 두 가지 방법의 인증 프로세스는 대략 다음과 같습니다.
웹(클라이언트 프리 방법)을 통해 인증하는 사용자의 경우 HTTP 패킷 리디렉션, 액세스 장치는 사용자 연결에 대해 TCP 스푸핑을 수행하고 클라이언트를 인증하여 TCP 연결을 설정한 다음 페이지를 포털 서버로 리디렉션한 다음 인증 페이지를 클라이언트에 푸시합니다. 사용자는 이 페이지에 로그인하여 사용자 정보를 포털 서버로 전송하고, 포털 서버는 PAP 또는 CHAP를 통해 사용자 정보를 접속 장치로 전송합니다. 액세스 장치는 사용자 정보를 획득한 후 AAA 모듈을 통해 인증을 완료합니다.
인증을 위해 클라이언트를 사용하는 사용자의 경우 포털 프로토콜 메시지를 직접 사용하여 포털 서버와 상호 작용하여 클라이언트 관련 제어 및 사용자 상태에 대한 실시간 보고를 구현합니다. 그런 다음 포털 서버는 액세스 장치와 상호 작용하고 액세스 장치는 AAA 모듈을 통해 인증을 완료합니다.
2.2 사용자 연결 유지 메커니즘
사용자가 WEB을 통해 인증되면 인증 후 온라인 창이 열리고 상위 http 프로토콜의 get 조치를 사용하여 구현됩니다. 하트비트 메커니즘이 있으며 사용자는 오프라인 상태입니다. 오프라인 작업을 실행하려면 페이지에서 오프라인 버튼을 적극적으로 클릭해야 합니다. 페이지나 사용자의 PC가 정상적으로 닫히지 않으면 사용자가 수동으로 오프라인으로 로그인하지 못할 수도 있습니다. 특정 기간 동안 포털 서버가 시간 초과되어 사용자를 오프라인으로 기록하도록 액세스 장치에 알릴 때까지 오프라인 작업이 트리거되지 않습니다.
사용자가 전용 클라이언트를 사용하는 경우 포털 핸드셰이크 메시지를 사용하여 사용자가 온라인 상태인지 확인합니다. 클라이언트의 경우 4번의 하트비트 동안 응답이 없으면 오프라인으로 간주되고 인증이 다시 시작됩니다. 포털 서버의 경우 지정된 시간 내에 하트비트 메시지가 수신되지 않으면 사용자는 오프라인으로 간주되고 클라이언트는 사용자를 오프라인으로 기록하려면 장치에 들어가세요.
2.3 제품 구현 원칙
제품의 Portal 구현은 ACL을 기반으로 하며 QACL 모듈을 사용하여 사용자 메시지 리디렉션을 지원하고 사용자가 사용할 수 있는 관련 리소스를 제한합니다. 일반적으로 Portal에서 사용하는 ACL을 4가지 범주로 나눕니다(하위 계층에는 차이가 없으며 주로 일치 항목을 찾는 순서에 있음)
Type1: FreeIP 규칙, 작업이 허용됩니다(Portal에 대한 규칙). -서버가 첫 번째) freeip)
Type2: 사용자 인증을 통과한 후 추가되는 규칙, 해당 작업이 허용됨
Type3: 사용자 네트워크 세그먼트 리디렉션 규칙, HTTP 패킷을 CPU(인증 페이지 구현(런칭))
유형4: 사용자 네트워크 세그먼트 금지 규칙, 작업은 거부
포트에서 포털 규칙이 발행되며, 이에 대한 배열이 필요합니다. 엄격한 순서로 매칭 시 Type1~4의 순서를 따르며 앞에서 뒤로 배열합니다.
포트에 발행된 일반 ACL 규칙(명령줄을 통해 구성된 ACL)이 있고 포털이 활성화된 경우 포털에서 추가된 규칙은 일반 ACL 뒤에 정렬됩니다.
2.4 PORTAL 프로토콜 프레임워크
포털 프로토콜은 주로 Portal Server(Portal Server)와 액세스 장치(BAS)로 구성되며 C/S 구조를 사용하고 UDP를 기반으로 합니다.
포트 정의:
PortalServer는 기본 포트(50100)를 통해 BAS가 보낸 패킷을 수신합니다.
BAS는 포트 2000을 통해 PortalServer에서 보내는 모든 패킷을 수신합니다. 메시지.
2.5 EAD 시스템 지원
Portal은 EAD 시스템의 보안 정책 서버를 통해 확장된 인증 기능을 실현하고 클라이언트와 보안 정책 서버 간의 상호 작용을 실현할 수 있습니다. 후속 보안 탐지 기능을 수행합니다.
EAD에 대한 포털의 지원을 위해서는 사용자가 포털 인증을 통과한 후 보안 정책 서버가 포털 클라이언트 및 액세스 장치와 상호 작용하여 사용자의 보안 인증을 완료해야 합니다. 사용자에 대해 보안 정책이 채택되면 사용자가 보안 테스트를 통과한 후 보안 정책 서버는 사용자의 보안 정책을 기반으로 무제한 리소스에 액세스할 수 있는 권한을 사용자에게 부여합니다.
포털은 EAD 시스템의 연계 메커니즘을 통해 보안 정책을 적극적으로 구현합니다.
? 클라이언트와 보안 정책 서버 연계
1. 클라이언트가 온라인 상태가 되면 포털 서버는 로그인 응답 메시지에 EAD 서버의 IP 주소와 포트 번호를 전달합니다.
2. 사용자가 온라인 상태가 되면 클라이언트는 클라이언트와 상호 작용합니다. 보안 정책 서버 및 서버 문제 정책을 확인합니다. 클라이언트는 정책에 따라 PC의 보안 상태를 확인하고 이를 서버에 보고합니다.
3. 사용자가 온라인일 때 클라이언트는 다음을 수행합니다. 보안 감지에 사용되는 패킷은 UDP이며 일반적으로 포트 번호는 9019(서버)/10102(클라이언트)입니다.
? 접속 장치와 보안 정책 서버 간의 연계
H3C는 Radius 프로토콜을 확장하여 사용자가 온라인에 접속할 때 이러한 유형의 Radius 패킷을 통해 Type20(Session-Control)을 정의했습니다. 격리 ACL과 함께 전달되며, 보안 검사를 통과한 후 보안 ACL이 전달됩니다.
인증 방법
3.1 인증 방법 분류
다양한 네트워킹 방법에서는 다양한 포털 인증 방법을 사용할 수 있습니다. 포털 인증이 네트워크에서 구현되는 네트워크 계층에 따라 포털 인증 방법은 레이어 2 인증과 레이어 3 인증의 두 가지 유형으로 구분됩니다.
? 레이어 2 인증 방법
레이어 2 인증 방법은 사용자에게 연결된 액세스 장치의 레이어 2 포트에서 포털 인증 기능을 열 수 있도록 지원합니다. 인증을 통과하면 외부 네트워크 리소스에 액세스할 수 있습니다. 현재 이 인증 방법은 로컬 포털 인증만 지원합니다. 즉, 액세스 장치는 사용자에게 웹 인증 서비스를 제공하는 로컬 포털 서버 역할을 합니다.
? 레이어 3 인증 방법
레이어 3 인증 방법은 사용자에 연결된 액세스 장치의 레이어 3 인터페이스에서 포털 인증 기능을 열 수 있도록 지원합니다. Layer 3 인터페이스 포털 인증은 직접 인증, 보조 주소 할당 인증, 교차 레이어 3 인증의 세 가지 인증 방법으로 나눌 수 있습니다. 직접 인증 모드와 보조 주소 할당 인증 모드에서는 인증 클라이언트가 Layer 2를 통해 액세스 장치에 직접 연결되어야 하며, 교차 레이어 3 인증 모드에서는 인증 클라이언트와 액세스 장치가 Layer에 연결될 수 있습니다. 3 전달 장치.
직접 인증
사용자는 인증 전 수동 구성이나 DHCP를 통해 직접 IP 주소를 획득하고 인증을 통과한 후에만 포털 서버와 설정된 무료 IP 주소에 액세스할 수 있습니다. 네트워크 리소스. 인증 과정은 보조 주소 할당 인증보다 간단합니다.
2차 주소 할당 인증
사용자는 인증 전 DHCP를 통해 사설 IP 주소를 획득하고, 인증을 통과한 후에는 설정된 무료 접속 주소와 포털 서버에만 접속할 수 있습니다. 공용 IP 주소를 다시 신청하고 네트워크 리소스에 액세스할 수 있습니다. 이 인증 방식은 IP 주소 계획 및 할당 문제를 해결하고, 인증을 통과하지 못한 사용자에게는 공인 IP 주소를 할당하지 않습니다. 예를 들어, 운영자는 커뮤니티 광대역 사용자가 커뮤니티 내의 외부 리소스에 액세스할 때에만 공용 IP 주소를 할당합니다.
교차 레이어 3 인증
기본적으로 직접 인증 방식과 동일하지만, 이 인증 방식을 사용하면 인증된 사용자와 접속 장치가 3 레이어 포워딩 장치를 교차할 수 있습니다. .
위의 세 가지 인증 방법에서 IP 주소는 사용자의 고유 식별자입니다. 액세스 장치는 사용자의 IP 주소를 기반으로 ACL을 발급하여 인터페이스에서 인증된 사용자 패킷의 전달을 제어합니다. 직접 인증과 2차 주소 할당 인증에서는 액세스 장치와 사용자 사이에 Layer 3 전달 장치가 없기 때문에 인터페이스는 사용자의 MAC 주소를 학습할 수 있고, 액세스 장치는 학습된 MAC 주소를 사용하여 사용자 패킷 전달 세분성을 향상시킬 수 있습니다. 통제의.
3.2 레이어 2 포털 인증 프로세스
(1) 포털 사용자는 HTTP 또는 HTTPS 프로토콜을 통해 인증 요청을 시작합니다. HTTP 패킷이 로컬 포털 서버로 구성된 액세스 장치의 포트를 통과하면 로컬 포털 서버의 수신 IP 주소로 리디렉션됩니다. 로컬 포털 서버는 사용자가 사용자 이름과 비밀번호를 입력할 수 있는 웹 페이지를 제공합니다. 입증. 로컬 포털 서버의 수신 IP 주소는 사용자가 연결할 수 있는 액세스 장치(일반적으로 루프백 인터페이스 IP)에 있는 레이어 3 인터페이스의 IP 주소입니다.
(2) 액세스 장치와 RADIUS 서버 간에 RADIUS 프로토콜 메시지를 교환하여 사용자 신원을 인증합니다.
(3) RADIUS 인증이 성공하면 접속기기의 로컬 포털 서버는 클라이언트에게 로그인 성공 페이지를 보내 인증(온라인)이 성공했음을 클라이언트에게 알린다.
3.3 3계층 Portal 인증 과정
직접 인증 및 3계층 간 Portal 인증 과정
직접 인증/3계층 간 Portal 인증 과정 :
(1) 포털 사용자는 HTTP 프로토콜을 통해 인증 요청을 시작합니다. HTTP 패킷이 액세스 장치를 통과할 때 액세스 장치는 포털 서버에 액세스하는 HTTP 패킷 또는 설정된 무료 액세스 주소를 통과하도록 허용하고, 다른 주소에 액세스하는 HTTP 패킷은 포털 서버로 리디렉션합니다. 포털 서버는 사용자가 인증을 위해 사용자 이름과 비밀번호를 입력할 수 있는 웹 페이지를 제공합니다.
(2) CHAP(Challenge Handshake Authentication Protocol, Challenge Handshake Authentication Protocol) 인증 상호 작용은 포털 서버와 액세스 장치 간에 수행됩니다. PAP(Password Authentication Protocol) 인증을 사용하는 경우 바로 다음 단계로 진행하세요.
(3) 포털 서버는 사용자가 입력한 사용자 이름과 비밀번호를 인증 요청 메시지로 모아서 액세스 장치로 전송하는 동시에 타이머를 시작하고 인증 응답을 기다립니다. 메시지.
(4) 액세스 장치와 RADIUS 서버 간에 RADIUS 프로토콜 메시지가 교환됩니다.
(5) 접속기기는 인증응답 메시지를 Portal 서버로 보낸다.
(6) 포털 서버는 클라이언트에게 인증 통과 메시지를 보내 클라이언트에게 인증(온라인)이 성공했음을 알립니다.
(7) 포털 서버는 액세스 장치에 인증 응답 확인을 보냅니다.
(8) 클라이언트와 보안 정책 서버 간의 보안 정보 교환. 보안정책 서버는 안티 바이러스 소프트웨어 설치 여부, 바이러스 데이터베이스 업데이트 여부, 불법 소프트웨어 설치 여부, 운영체제 패치 업데이트 여부 등 출입 단말기의 보안 적격 여부를 탐지한다.
(9) 보안 정책 서버는 사용자의 보안을 기반으로 사용자에게 제한되지 않은 자원에 대한 접근을 승인합니다. 승인 정보는 접근 장치에 저장되며, 접근 장치는 이 정보를 사용하여 사용자의 접근을 제어합니다. .
단계 (8)과 (9)는 Portal 인증 확장 기능의 대화형 프로세스입니다.
2차 주소 할당 인증 방법의 프로세스:
2차 주소 할당 인증 과정:
(1)~(4)는 직접/3계층 포털 인증의 (1)~(4)단계와 동일합니다.
(5) 사용자가 액세스 장치에서 성공적으로 인증되면 BAS는 사용자가 IP 주소를 업데이트해야 함을 알리는 IP-Config 속성을 포함하는 인증 응답 메시지를 Portal-Server로 보냅니다. .
(6) 그런 다음 Portal-Server는 IP-Config 속성이 포함된 인증 통과 메시지(Login-Response)를 클라이언트에 보내 클라이언트 프로그램이 IP 주소를 해제하고 신청하도록 요구합니다.
(7) 클라이언트는 IP 주소 업데이트에 성공한 후 IP 주소 업데이트가 성공했음을 포털 서버에 보고합니다.
(8) 포털 서버는 액세스 장치 클라이언트에 새로운 공용 IP 주소를 얻도록 알립니다.
(9) 액세스 장치는 ARP 프로토콜 패킷을 감지하여 사용자 IP 변경을 감지하고, 사용자 IP 변경이 감지되었음을 포털 서버에 알립니다.
(10) 포털 서버는 클라이언트에게 성공적으로 온라인 상태가 되었음을 알립니다.
(11) 포털 서버는 접속 기기로 IP 변경 확인 메시지를 보낸다.
(12) 클라이언트와 보안정책서버간의 보안정보 교환. 보안정책 서버는 안티 바이러스 소프트웨어 설치 여부, 바이러스 데이터베이스 업데이트 여부, 불법 소프트웨어 설치 여부, 운영체제 패치 업데이트 여부 등 출입 단말기의 보안 적격 여부를 탐지한다.
(13) 보안 정책 서버는 사용자의 보안을 기반으로 사용자에게 제한되지 않은 자원에 대한 접근을 승인합니다. 승인 정보는 접근 장치에 저장되며, 접근 장치는 이 정보를 사용하여 사용자의 접근을 제어합니다. .
(12)와 (13)단계는 Portal 인증 확장 기능의 대화형 프로세스입니다.