【文章內(nèi)容簡介】 考模型，提出了實現(xiàn)SOA所需要的基本元素以及它們之間應(yīng)該具備的邏輯關(guān)系，指引著SOA的良性發(fā)展。Portal技術(shù)：Portal在英語中是入口的意思。Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。未認(rèn)證用戶上網(wǎng)時，設(shè)備強(qiáng)制用戶登錄到特定站點，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動訪問已知的Portal認(rèn)證網(wǎng)站，輸入用戶名和密碼進(jìn)行認(rèn)證，這種開始Portal認(rèn)證的方式稱作主動認(rèn)證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強(qiáng)制訪問Portal認(rèn)證網(wǎng)站，從而開始Portal認(rèn)證過程，這種方式稱作強(qiáng)制認(rèn)證。Portal業(yè)務(wù)可以為運(yùn)營商提供方便的管理功能，門戶網(wǎng)站可以開展廣告、社區(qū)服務(wù)、個性化的業(yè)務(wù)等，使寬帶運(yùn)營商、設(shè)備提供商和內(nèi)容服務(wù)提供商形成一個產(chǎn)業(yè)生態(tài)系統(tǒng)。Portal擴(kuò)展功能Portal的擴(kuò)展功能主要是指通過強(qiáng)制接入終端實施補(bǔ)丁和防病毒策略，加強(qiáng)網(wǎng)絡(luò)終端對病毒攻擊的主動防御能力。具體擴(kuò)展功能如下：l 在Portal身份認(rèn)證的基礎(chǔ)上增加了安全認(rèn)證機(jī)制，可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作系統(tǒng)補(bǔ)丁等；l 用戶通過身份認(rèn)證后僅僅獲得訪問部分互聯(lián)網(wǎng)資源（受限資源）的權(quán)限，如病毒服務(wù)器、操作系統(tǒng)補(bǔ)丁更新服務(wù)器等；當(dāng)用戶通過安全認(rèn)證后便可以訪問更多的互聯(lián)網(wǎng)資源（非受限資源）。Portal的系統(tǒng)組成Portal的典型組網(wǎng)方式如圖 1所示，它由五個基本要素組成：認(rèn)證客戶端、接入設(shè)備、Portal服務(wù)器、認(rèn)證/計費(fèi)服務(wù)器和安全策略服務(wù)器。由于Portal服務(wù)器可以是接入設(shè)備之外的獨立實體，也可以是存在于接入設(shè)備之內(nèi)的內(nèi)嵌實體，本文稱之為“本地Portal服務(wù)器”，因此下文中除對本地支持的Portal服務(wù)器做特殊說明之外，其它所有Portal服務(wù)器均指獨立的Portal服務(wù)器，請勿混淆。圖 1 Portal系統(tǒng)組成示意圖1. 認(rèn)證客戶端安裝于用戶終端的客戶端系統(tǒng)，為運(yùn)行HTTP/HTTPS協(xié)議的瀏覽器或運(yùn)行Portal客戶端軟件的主機(jī)。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務(wù)器之間的信息交流完成的。2. 接入設(shè)備交換機(jī)、路由器等寬帶接入設(shè)備的統(tǒng)稱，主要有三方面的作用：l 在認(rèn)證之前，將認(rèn)證網(wǎng)段內(nèi)用戶的所有HTTP請求都重定向到Portal服務(wù)器。l 在認(rèn)證過程中，與Portal服務(wù)器、安全策略服務(wù)器、認(rèn)證/計費(fèi)服務(wù)器交互，完成身份認(rèn)證/安全認(rèn)證/計費(fèi)的功能。l 在認(rèn)證通過后，允許用戶訪問被管理員授權(quán)的互聯(lián)網(wǎng)資源。3. Portal服務(wù)器接收Portal客戶端認(rèn)證請求的服務(wù)器端系統(tǒng)，提供免費(fèi)門戶服務(wù)和基于Web認(rèn)證的界面，與接入設(shè)備交互認(rèn)證客戶端的認(rèn)證信息。4. 認(rèn)證/計費(fèi)服務(wù)器與接入設(shè)備進(jìn)行交互，完成對用戶的認(rèn)證和計費(fèi)。5. 安全策略服務(wù)器與Portal客戶端、接入設(shè)備進(jìn)行交互，完成對用戶的安全認(rèn)證，并對用戶進(jìn)行授權(quán)操作。以上五個基本要素的交互過程為：(1) 未認(rèn)證用戶訪問網(wǎng)絡(luò)時，在IE地址欄中輸入一個互聯(lián)網(wǎng)的地址，那么此HTTP請求在經(jīng)過接入設(shè)備時會被重定向到Portal服務(wù)器的Web認(rèn)證主頁上；若需要使用Portal的擴(kuò)展認(rèn)證功能，則用戶必須使用Portal客戶端。(2) 用戶在認(rèn)證主頁/認(rèn)證對話框中輸入認(rèn)證信息后提交，Portal服務(wù)器會將用戶的認(rèn)證信息傳遞給接入設(shè)備；(3) 然后接入設(shè)備再與認(rèn)證/計費(fèi)服務(wù)器通信進(jìn)行認(rèn)證和計費(fèi)；(4) 認(rèn)證通過后，如果未對用戶采用安全策略，則接入設(shè)備會打開用戶與互聯(lián)網(wǎng)的通路，允許用戶訪問互聯(lián)網(wǎng)；如果對用戶采用了安全策略，則客戶端、接入設(shè)備與安全策略服務(wù)器交互，對用戶的安全檢測通過之后，安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源。使用本地Portal服務(wù)器的Portal認(rèn)證系統(tǒng)1. 系統(tǒng)組成本地Portal服務(wù)器功能是指，Portal認(rèn)證系統(tǒng)中不采用外部獨立的Portal服務(wù)器，而由接入設(shè)備實現(xiàn)Portal服務(wù)器功能。這種情況下，Portal認(rèn)證系統(tǒng)僅包括三個基本要素：認(rèn)證客戶端、接入設(shè)備和認(rèn)證/計費(fèi)服務(wù)器，如圖 2所示。由于設(shè)備支持Web用戶直接認(rèn)證，因此就不需要部署額外的Portal服務(wù)器，增強(qiáng)了Portal認(rèn)證的通用性。圖 2 使用本地Portal服務(wù)器的Portal系統(tǒng)組成示意圖l 使用本地Portal服務(wù)器的Portal認(rèn)證系統(tǒng)不支持Portal擴(kuò)展功能，因此不需要部署安全策略服務(wù)器。l 內(nèi)嵌本地Portal服務(wù)器的接入設(shè)備實現(xiàn)了簡單的Portal服務(wù)器功能，僅能給用戶提供通過Web方式登錄、下線的基本功能，并不能完全替代獨立的Portal服務(wù)器。2. 認(rèn)證客戶端和本地Portal服務(wù)器之間的交互協(xié)議認(rèn)證客戶端和內(nèi)嵌本地Portal服務(wù)器的接入設(shè)備之間可以采用HTTP和HTTPS協(xié)議通信。若客戶端和接入設(shè)備之間交互HTTP協(xié)議，則報文以明文形式傳輸，安全性無法保證；若客戶端和接入設(shè)備之間交互HTTPS協(xié)議，則報文基于SSL提供的安全機(jī)制以密文的形式傳輸，數(shù)據(jù)的安全性有保障。3. 本地Portal服務(wù)器支持用戶自定義認(rèn)證頁面本地Portal服務(wù)器支持由用戶自定義認(rèn)證頁面的內(nèi)容，即允許用戶編輯一套認(rèn)證頁面的HTML文件，并在壓縮之后保存至設(shè)備的存儲設(shè)備中。該套自定義頁面中包括六個認(rèn)證頁面：登錄頁面、登錄成功頁面、在線頁面、下線成功頁面、登錄失敗頁面和系統(tǒng)忙頁面。本地Portal服務(wù)器根據(jù)不同的認(rèn)證階段向客戶端推出對應(yīng)的認(rèn)證頁面，若不自定義，則分別推出系統(tǒng)提供的缺省認(rèn)證頁面。Portal的認(rèn)證方式不同的組網(wǎng)方式下，可采用的Portal認(rèn)證方式不同。按照網(wǎng)絡(luò)中實施Portal認(rèn)證的網(wǎng)絡(luò)層次來分，Portal的認(rèn)證方式分為兩種：二層認(rèn)證方式和三層認(rèn)證方式。二層認(rèn)證方式的支持情況與設(shè)備的型號有關(guān)，請以設(shè)備的實際情況為準(zhǔn)。1. 二層認(rèn)證方式這種方式支持在接入設(shè)備連接用戶的二層端口上開啟Portal認(rèn)證功能，只允許源MAC地址通過認(rèn)證的用戶才能訪問外部網(wǎng)絡(luò)資源。目前，該認(rèn)證方式僅支持本地Portal認(rèn)證，即接入設(shè)備作為本地Portal服務(wù)器向用戶提供Web認(rèn)證服務(wù)。另外，該方式還支持服務(wù)器下發(fā)授權(quán)VLAN和將認(rèn)證失敗用戶加入認(rèn)證失敗VLAN功能（三層認(rèn)證方式不支持）。2. 三層認(rèn)證方式這種方式支持在接入設(shè)備連接用戶的三層接口上開啟Portal認(rèn)證功能。三層接口Portal認(rèn)證又可分為三種不同的認(rèn)證方式：直接認(rèn)證方式、二次地址分配認(rèn)證方式和三層認(rèn)證方式。直接認(rèn)證方式和二次地址分配認(rèn)證方式下，認(rèn)證客戶端和接入設(shè)備之間沒有三層轉(zhuǎn)發(fā)；三層認(rèn)證方式下，認(rèn)證客戶端和接入設(shè)備之間可以跨接三層轉(zhuǎn)發(fā)設(shè)備。(1) 直接認(rèn)證方式用戶在認(rèn)證前通過手工配置或DHCP直接獲取一個IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的免費(fèi)訪問地址；認(rèn)證通過后即可訪問網(wǎng)絡(luò)資源。認(rèn)證流程相對二次地址較為簡單。(2) 二次地址分配認(rèn)證方式用戶在認(rèn)證前通過DHCP獲取一個私網(wǎng)IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的免費(fèi)訪問地址；認(rèn)證通過后，用戶會申請到一個公網(wǎng)IP地址，即可訪問網(wǎng)絡(luò)資源。該認(rèn)證方式解決了IP地址規(guī)劃和分配問題，對未認(rèn)證通過的用戶不分配公網(wǎng)IP地址。例如運(yùn)營商對于小區(qū)寬帶用戶只在訪問小區(qū)外部資源時才分配公網(wǎng)IP。使用本地Portal服務(wù)器的Portal認(rèn)證不支持二次地址分配認(rèn)證方式。(3) 可跨三層認(rèn)證方式和直接認(rèn)證方式基本相同，但是這種認(rèn)證方式允許認(rèn)證用戶和接入設(shè)備之間跨越三層轉(zhuǎn)發(fā)設(shè)備。對于以上三種認(rèn)證方式，IP地址都是用戶的唯一標(biāo)識。接入設(shè)備基于用戶的IP地址下發(fā)ACL對接口上通過認(rèn)證的用戶報文轉(zhuǎn)發(fā)進(jìn)行控制。由于直接認(rèn)證和二次地址分配認(rèn)證下的接入設(shè)備與用戶之間未跨越三層轉(zhuǎn)發(fā)設(shè)備，因此接口可以學(xué)習(xí)到用戶的MAC地址，接入設(shè)備可以利用學(xué)習(xí)到MAC地址增強(qiáng)對用戶報文轉(zhuǎn)發(fā)的控制粒度。二層Portal認(rèn)證過程1. 二層Portal認(rèn)證流程目前，二層Portal認(rèn)證只支持本地Portal認(rèn)證，因此由接入設(shè)備作為本地Portal服務(wù)器向用戶提供Web認(rèn)證服務(wù)，具體認(rèn)證過程如下。圖 3 二層Portal認(rèn)證流程圖(1) Portal用戶通過HTTP或HTTPS協(xié)議發(fā)起認(rèn)證請求。HTTP報文經(jīng)過配置了本地Portal服務(wù)器的接入設(shè)備的端口時會被重定向到本地Portal服務(wù)器，本地Port