【文章內(nèi)容簡介】 考模型，提出了實現(xiàn)SOA所需要的基本元素以及它們之間應該具備的邏輯關系，指引著SOA的良性發(fā)展。Portal技術：Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動訪問已知的Portal認證網(wǎng)站，輸入用戶名和密碼進行認證，這種開始Portal認證的方式稱作主動認證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強制訪問Portal認證網(wǎng)站，從而開始Portal認證過程，這種方式稱作強制認證。Portal業(yè)務可以為運營商提供方便的管理功能，門戶網(wǎng)站可以開展廣告、社區(qū)服務、個性化的業(yè)務等，使寬帶運營商、設備提供商和內(nèi)容服務提供商形成一個產(chǎn)業(yè)生態(tài)系統(tǒng)。Portal擴展功能Portal的擴展功能主要是指通過強制接入終端實施補丁和防病毒策略，加強網(wǎng)絡終端對病毒攻擊的主動防御能力。具體擴展功能如下：l 在Portal身份認證的基礎上增加了安全認證機制，可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作系統(tǒng)補丁等；l 用戶通過身份認證后僅僅獲得訪問部分互聯(lián)網(wǎng)資源（受限資源）的權限，如病毒服務器、操作系統(tǒng)補丁更新服務器等；當用戶通過安全認證后便可以訪問更多的互聯(lián)網(wǎng)資源（非受限資源）。Portal的系統(tǒng)組成Portal的典型組網(wǎng)方式如圖 1所示，它由五個基本要素組成：認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。由于Portal服務器可以是接入設備之外的獨立實體，也可以是存在于接入設備之內(nèi)的內(nèi)嵌實體，本文稱之為“本地Portal服務器”，因此下文中除對本地支持的Portal服務器做特殊說明之外，其它所有Portal服務器均指獨立的Portal服務器，請勿混淆。圖 1 Portal系統(tǒng)組成示意圖1. 認證客戶端安裝于用戶終端的客戶端系統(tǒng)，為運行HTTP/HTTPS協(xié)議的瀏覽器或運行Portal客戶端軟件的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。2. 接入設備交換機、路由器等寬帶接入設備的統(tǒng)稱，主要有三方面的作用：l 在認證之前，將認證網(wǎng)段內(nèi)用戶的所有HTTP請求都重定向到Portal服務器。l 在認證過程中，與Portal服務器、安全策略服務器、認證/計費服務器交互，完成身份認證/安全認證/計費的功能。l 在認證通過后，允許用戶訪問被管理員授權的互聯(lián)網(wǎng)資源。3. Portal服務器接收Portal客戶端認證請求的服務器端系統(tǒng)，提供免費門戶服務和基于Web認證的界面，與接入設備交互認證客戶端的認證信息。4. 認證/計費服務器與接入設備進行交互，完成對用戶的認證和計費。5. 安全策略服務器與Portal客戶端、接入設備進行交互，完成對用戶的安全認證，并對用戶進行授權操作。以上五個基本要素的交互過程為：(1) 未認證用戶訪問網(wǎng)絡時，在IE地址欄中輸入一個互聯(lián)網(wǎng)的地址，那么此HTTP請求在經(jīng)過接入設備時會被重定向到Portal服務器的Web認證主頁上；若需要使用Portal的擴展認證功能，則用戶必須使用Portal客戶端。(2) 用戶在認證主頁/認證對話框中輸入認證信息后提交，Portal服務器會將用戶的認證信息傳遞給接入設備；(3) 然后接入設備再與認證/計費服務器通信進行認證和計費；(4) 認證通過后，如果未對用戶采用安全策略，則接入設備會打開用戶與互聯(lián)網(wǎng)的通路，允許用戶訪問互聯(lián)網(wǎng)；如果對用戶采用了安全策略，則客戶端、接入設備與安全策略服務器交互，對用戶的安全檢測通過之后，安全策略服務器根據(jù)用戶的安全性授權用戶訪問非受限資源。使用本地Portal服務器的Portal認證系統(tǒng)1. 系統(tǒng)組成本地Portal服務器功能是指，Portal認證系統(tǒng)中不采用外部獨立的Portal服務器，而由接入設備實現(xiàn)Portal服務器功能。這種情況下，Portal認證系統(tǒng)僅包括三個基本要素：認證客戶端、接入設備和認證/計費服務器，如圖 2所示。由于設備支持Web用戶直接認證，因此就不需要部署額外的Portal服務器，增強了Portal認證的通用性。圖 2 使用本地Portal服務器的Portal系統(tǒng)組成示意圖l 使用本地Portal服務器的Portal認證系統(tǒng)不支持Portal擴展功能，因此不需要部署安全策略服務器。l 內(nèi)嵌本地Portal服務器的接入設備實現(xiàn)了簡單的Portal服務器功能，僅能給用戶提供通過Web方式登錄、下線的基本功能，并不能完全替代獨立的Portal服務器。2. 認證客戶端和本地Portal服務器之間的交互協(xié)議認證客戶端和內(nèi)嵌本地Portal服務器的接入設備之間可以采用HTTP和HTTPS協(xié)議通信。若客戶端和接入設備之間交互HTTP協(xié)議，則報文以明文形式傳輸，安全性無法保證；若客戶端和接入設備之間交互HTTPS協(xié)議，則報文基于SSL提供的安全機制以密文的形式傳輸，數(shù)據(jù)的安全性有保障。3. 本地Portal服務器支持用戶自定義認證頁面本地Portal服務器支持由用戶自定義認證頁面的內(nèi)容，即允許用戶編輯一套認證頁面的HTML文件，并在壓縮之后保存至設備的存儲設備中。該套自定義頁面中包括六個認證頁面：登錄頁面、登錄成功頁面、在線頁面、下線成功頁面、登錄失敗頁面和系統(tǒng)忙頁面。本地Portal服務器根據(jù)不同的認證階段向客戶端推出對應的認證頁面，若不自定義，則分別推出系統(tǒng)提供的缺省認證頁面。Portal的認證方式不同的組網(wǎng)方式下，可采用的Portal認證方式不同。按照網(wǎng)絡中實施Portal認證的網(wǎng)絡層次來分，Portal的認證方式分為兩種：二層認證方式和三層認證方式。二層認證方式的支持情況與設備的型號有關，請以設備的實際情況為準。1. 二層認證方式這種方式支持在接入設備連接用戶的二層端口上開啟Portal認證功能，只允許源MAC地址通過認證的用戶才能訪問外部網(wǎng)絡資源。目前，該認證方式僅支持本地Portal認證，即接入設備作為本地Portal服務器向用戶提供Web認證服務。另外，該方式還支持服務器下發(fā)授權VLAN和將認證失敗用戶加入認證失敗VLAN功能（三層認證方式不支持）。2. 三層認證方式這種方式支持在接入設備連接用戶的三層接口上開啟Portal認證功能。三層接口Portal認證又可分為三種不同的認證方式：直接認證方式、二次地址分配認證方式和三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端和接入設備之間沒有三層轉發(fā)；三層認證方式下，認證客戶端和接入設備之間可以跨接三層轉發(fā)設備。(1) 直接認證方式用戶在認證前通過手工配置或DHCP直接獲取一個IP地址，只能訪問Portal服務器，以及設定的免費訪問地址；認證通過后即可訪問網(wǎng)絡資源。認證流程相對二次地址較為簡單。(2) 二次地址分配認證方式用戶在認證前通過DHCP獲取一個私網(wǎng)IP地址，只能訪問Portal服務器，以及設定的免費訪問地址；認證通過后，用戶會申請到一個公網(wǎng)IP地址，即可訪問網(wǎng)絡資源。該認證方式解決了IP地址規(guī)劃和分配問題，對未認證通過的用戶不分配公網(wǎng)IP地址。例如運營商對于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時才分配公網(wǎng)IP。使用本地Portal服務器的Portal認證不支持二次地址分配認證方式。(3) 可跨三層認證方式和直接認證方式基本相同，但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發(fā)設備。對于以上三種認證方式，IP地址都是用戶的唯一標識。接入設備基于用戶的IP地址下發(fā)ACL對接口上通過認證的用戶報文轉發(fā)進行控制。由于直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發(fā)設備，因此接口可以學習到用戶的MAC地址，接入設備可以利用學習到MAC地址增強對用戶報文轉發(fā)的控制粒度。二層Portal認證過程1. 二層Portal認證流程目前，二層Portal認證只支持本地Portal認證，因此由接入設備作為本地Portal服務器向用戶提供Web認證服務，具體認證過程如下。圖 3 二層Portal認證流程圖(1) Portal用戶通過HTTP或HTTPS協(xié)議發(fā)起認證請求。HTTP報文經(jīng)過配置了本地Portal服務器的接入設備的端口時會被重定向到本地Portal服務器，本地Port