Portal2.0协议认证流程

Portal2.0协议认证流程

Portal认证上线流程

1.客户端通过HTTPS协议发起连接请求。

2.HTTPS报文经过接入设备时，对于访问Portal服务器或设定的免认证网络资源的HTTPS报文，接入设备允许其通过；对于访问其它地址的HTTPS报文，接入设备将其URL地址重定向到Portal认证页面。

3.用户在Portal认证页面输入用户名和密码，向Portal服务器发起认证请求。

4.Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互，Portal服务器发起Portal挑战字请求报文（REQ_CHALLENGE）。若采用PAP（Password Authentication Protocol，密码验证协议）认证则Portal服务器无需与接入设备进行PAP认证交互，而直接进行第6步。

5.接入设备向Portal服务器回应Portal挑战字应答报文（ACK_CHALLENGE）。

6.Portal服务器将用户输入的用户名和密码封装成认证请求报文（REQ_AUTH）发往接入设备。

7.接入设备根据获取到的帐号和密码，向RADIUS服务器发送认证请求（ACCESS-REQUEST），其中密码在共享密钥的参与下进行加密处理。

8.RADIUS服务器对帐号和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接受报文（ACCESS-ACCEPT）；如果认证失败，则返回认证拒绝报文（ACCESS-REJECT）。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。

9.接入设备根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则接入设备向RADIUS服务器发送计费开始请求报文（ACCOUNTING-REQUEST）。

10.RADIUS服务器返回计费开始响应报文（ACCOUNTING-RESPONSE），并开始计费，将用户加入自身在线用户列表。如果开启了MAC优先的Portal认证，RADIUS服务器同时将终端的MAC地址和Portal认证连接的SSID加入服务器缓存和数据库中（只有二层认证方式支持MAC优先的Portal认证）。

11.接入设备向Portal服务器返回Portal认证结果（ACK_AUTH），并将用户加入自身在线用户列表。

12.Portal服务器向客户端发送认证结果报文，通知客户端认证成功，并将用户加入自身在线用户列表。

13.Portal服务器向接入设备发送认证应答确认（AFF_ACK_AUTH）。