[发明专利]一种基于NAT的portal认证的方法及装置

说明书

技术领域

本申请涉及网络通信领域，特别涉及一种基于NAT的portal认证的方法及装置。

背景技术

Portal认证通常也称为Web认证，是一种灵活的访问控制方式，无需安装客户端，就可在接入层或需要保护的关键数据入口处实施访问控制。门户网站通过portal认证来限制用户的权项。用户可以免费访问门户网站的服务，当需要使用互联网中的其它资源时，则必须在门户网站进行portal认证，在认证成功后才可以使用互联网的其它资源。

传统的portal认证使用用户主机的源IP来区分用户，而在NAT(Network Address Translation，网络地址转换)环境下，私网内的多个用户会使用同一个公网IP访问互联网资源，在这种情况下，认证设备无法区分使用同一个公网IP的不同用户。

参见图1，用户A、用户B和用户C使用源NAT技术通过同一个公网IP访问互联网资源。当用户A通过portal认证，该公网IP访问互联网的流量会被认证设备放通。在这种情况下，用户B和用户C在没有通过portal认证的情况下就可以访问互联网资源，因此，传统的portal认证技术无法实现对所有用户的访问控制。

在现有技术中，一般可以在接入设备上集成portal认证的功能，由于每个用户主机都有不同的私网IP，接入设备可以基于私网IP区分不同的用户，从而实现对所有用户的访问控制。所有用户在通过portal认证后，才能经NAT转换，进而访问互联网资源。

然而，对于必须将portal认证放在NAT转换之后的应用场景中，无法应用上述现有技术，也就无法对所有用户进行访问控制。

发明内容

有鉴于此，本申请提供一种基于NAT的portal认证的方法及装置，用以实现在NAT环境下，对所有用户的访问控制。

具体地，本申请是通过如下技术方案实现的：

一种基于NAT的portal认证的方法，应用于认证设备，包括：

接收NAT网关转发的局域网内的主机的访问网络资源请求；

基于所述访问网络资源请求中的源IP和源端口查找认证表；其中，所述认证表包括若干条认证表项，每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系；

如果查找到的所述认证表项的认证标识字段中填入完成认证标识，转发所述访问网络资源请求；

如果查找到的所述认证表项的认证标识字段中填入未完成认证标识，将所述访问网络资源请求重定向至portal认证服务器。

在所述基于NAT的portal认证的方法中，所述认证表项中的私网IP地址、公网IP地址和端口块的映射关系由所述NAT网关基于局域网内的主机的私网IP地址和为局域网内的主机分配的公网IP地址和端口块生成。

在所述基于NAT的portal认证的方法中，所述方法还包括：

接收所述NAT网关发送的私网IP地址、公网IP地址和端口块的映射关系；

基于接收到的所述映射关系建立认证表项，并将所述认证表项的认证标识字段填入未完成认证标识。

在所述基于NAT的portal认证的方法中，所述将所述访问网络资源请求重定向至portal认证服务器，进一步包括：

接收所述portal认证服务器返回的portal认证结果；其中，所述portal认证结果包括公网IP地址和所述源端口；

基于所述公网IP地址和所述源端口查找所述认证表；

将查找到的认证表项的认证标识字段更新为完成认证标识。

在所述基于NAT的portal认证的方法中，所述将所述访问网络资源请求重定向至portal认证服务器，进一步包括：

接收所述portal认证服务器返回的portal认证结果；其中，所述portal认证结果包括私网IP地址；

基于所述私网IP地址查找所述认证表；

将查找到的认证表项的认证标识字段更新为完成认证标识。

一种基于NAT的portal认证的装置，应用于认证设备，包括：

接收单元，用于接收NAT网关转发的局域网内的主机的访问网络资源请求；

查找单元，用于基于所述访问网络资源请求中的源IP和源端口查找认证表；其中，所述认证表包括若干条认证表项，每条认证表项包括私网IP地址、公网IP地址、端口块和认证标识字段的映射关系；

转发单元，用于如果查找到的所述认证表项的认证标识字段中填入完成认证标识，转发所述访问网络资源请求；