Portal_portal.pku.edu cn

1.portal认证服务器（提供安全访问控制和身份验证服务）

2.什么是portal认证服务器？

3.Portal是什么， Portal主要有什么功能？

4.门户网站什么意思

门户，原意是指正门、入口，现多用于互联网的门户（入口）网站和企业应用系统的门户系统。?

广义注解?

1、这里是一个应用框架，它将各种应用系统、数据和互联网集成到一个信息管理平台之上，并以统一的用户界面提供给用户，使企业可以快速地建立企业对客户、企业对内部员工和企业对企业的信息通道, 使企业能够释放存储在企业内部和外部的各种信息。?

2、它将各种应用系统、数据和互联网集成到一个信息管理平台之上，并以统一的用户界面提供给用户，使企业可以快速地建立企业对客户、企业对内部员工和企业对企业的信息通道, 使企业能够释放存储在企业内部和外部的各种信息。?

portal认证服务器（提供安全访问控制和身份验证服务）

PORTAL概述

Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。它提供了一种较为简单的用户认证方法，对用户而言，相对其它认证方式更易于使用。它有两大特色：

? 免客户端

只需要网页浏览器（如IE）支持，即可为用户提供认证服务，不需要安装专门的客户端或者拨号程序。免客户端软件对于像宾馆、酒店等公共网络节点，免客户端软件是一个基本要求。

? 新业务载体

利用Portal认证的门户功能，运营商可以将小区广播、广告、信息查询、网上购物等业务放到Portal上。用户上网时会强制地看到上述信息。

Portal认证的基本方式是通过在Portal页面的显著位置设置认证窗口，用户开机获取IP地址后，通过登录Portal认证页面进行认证，认证通过后即可访问Internet。

对于用户来说有两种方式访问认证页面：

? 主动Portal：用户必须知道PORTAL服务器的IP地址，主动登陆PORTAL服务器进行认证，之后才能访问网络。

? 强制Portal：未认证用户访问网址，都会先强制定向到PORTAL服务器进行认证，用户不需要记忆Portal服务器的IP地址。

Portal业务可以为运营商提供方便的管理功能，基于其门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

1 PORTAL系统组成

1.1 Portal的四大主要系统

? 认证客户端

安装于用户终端的客户端系统，如运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机等。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

? 接入设备（BAS）

交换机、路由器等宽带接入设备的统称，主要有三方面的作用：

在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。

在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

在认证通过后，允许用户访问被管理员授权的互联网。

? Portal服务器

接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。

? 认证/计费服务器

与接入设备进行交互，完成对用户的认证和计费。

以上四个基本要素的交互过程为：

1． 未认证用户访问网络时，在Web浏览器地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上；

2． 用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给接入设备；

3． 然后接入设备再与认证/计费服务器通信进行认证和计费；

4． 认证通过后，则接入设备会打开用户与互联网的通路，允许用户访问被管理员授权的互联网。

认证的实现机制

2.1 发起认证的方式

虽然免客户端认证是Portal认证的一种主流方式，但在需要实现更安全灵活的功能的前提下，也可以用客户端认证的方式进行认证，这两种方式的认证流程大致如下：

对于通过Web进行认证的用户（免客户端方式），用对HTTP报文重定向的方式，接入设备对用户连接进行TCP仿冒和认证客户端建立TCP连接，然后将页面重定向到Portal服务器，而从实现向客户推出认证页面。用户通过在该页面登录将用户信息传递给了Portal服务器，随后Portal服务器通过PAP或CHAP的方式向接入设备传递用户信息。接入设备获取到用户信息后，将该信息通过AAA模块完成认证。

对于使用客户端进行认证的用户，直接使用portal协议报文与portal-server进行交互，实现对客户端的相关控制和用户状态的实时上报。随后Portal服务器与接入设备交互，接入设备再通过AAA模块完成认证。

2.2 用户保活机制

用户通过WEB实现认证时，认证后在线窗口处于开打状态，并用上层的协议的get动作实现心跳机制，用户下线时需要在该页面上主动点击下线按钮触发下线动作，如果该页面或用户PC不正常关闭，可能导致用户在一定时间内无法手动下线，直到Portal服务器侧超时后，再触发下线动作，通知接入设备将用户下线。

用户使用专用的客户端时，使用Portal握手报文来确认用户是否在线。对于客户端来说，4个心跳没有收到答复，就认为自己已经下线，重新发起认证；对于Portal服务器，在指定的时间内没有收到心跳报文，就认为用户下线，并通知接入设备将用户下线。

2.3 产品实现原理

产品对Portal的实现是基于ACL的，通过QACL模块来支持对用户报文的重定向以及限制用户可以使用的相关;通常我们把Portal使用的ACL分为4类(对于底层没有什么区别，主要是查找匹配的顺序)

Type1：FreeIP规则，动作是permit(到Portal-Server的规则为第1个freeip)

Type2：用户认证通过后添加的规则，动作是permit

Type3：用户网段重定向规则，对HTTP报文重定向到CPU(实现认证页面的推出)

Type4：用户网段禁止规则，动作是deny

Portal规则在端口上下发，排列需要有严格的顺序，匹配时按照Type1-4的顺序从前往后排列。如果在一个端口上既有普通ACL规则（通过命令行配置的ACL）下发，又启用了portal，则portal所添加的规则会排列在普通ACL之后。

2.4 PORTAL协议框架

Portal协议主要涉及Portal服务器（Portal Server）和接入设备（BAS），用C/S结构，基于UDP。

端口定义：

PortalServer通过默认端口（50100）侦听BAS发来的报文；

BAS通过端口2000侦听来自PortalServer的所有报文。

2.5 对EAD系统的支持

通过EAD的系统中的安全策略服务器，Portal可以实现其扩展认证功能，实现基于客户端与安全策略服务器之间的交互来进行后续的安全检测功能。

Portal对EAD的支持需要用户在终端上安装专用的Portal客户端软件，用户在通过Portal认证后，安全策略服务器通过与Portal客户端、接入设备进行交互，完成对用户的安全认证。若对用户用了安全策略，则用户的安全检测通过之后，安全策略服务器根据用户的安全策略，授权用户访问非受限。

Portal在EAD系统中通过联动的机制主动的实施安全策略，联动的基本方式如下：

? 客户端与安全策略服务器联动

1、客户端上线时Portal服务器会在Login-Response报文中携带EAD服务器的IP地址及端口号；

2、用户上线后客户端和安全策略服务器进行交互，服务器下发检查策略，客户端按策略检查所在PC的安全情况，并上报服务器；

3、用户在线过程中客户端仍会定期上报安全情况，以适应动态检测(即EAD心跳)，安全检测使用的报文为UDP，通常端口号是9019(Server)/10102(Client)。

? 接入设备与安全策略服务器的联动

H3C对Radius协议进行了扩展，定义了Type20(Session-Control)，当用户上线后，通过该类型的Radius报文下发隔离ACL，等通过安全检查后，再下发安全ACL。

认证方式

3.1 认证方式分类

不同的组网方式下，可用不同的Portal认证方式。按照网络中实施Portal认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。

? 二层认证方式

二层认证方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源MAC地址通过认证的用户才能访问外部网络。目前，该认证方式仅支持本地Portal认证，即接入设备作为本地Portal服务器向用户提供Web认证服务。

? 三层认证方式

三层认证方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端必须通过二层直接连接到接入设备；跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。

直接认证

用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的free IP地址；认证通过后即可访问网络。认证流程相对二次地址分配认证较为简单。

二次地址分配认证

用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后，用户会重新申请到一个公网IP地址，即可访问网络。该认证方式解决了IP地址规划和分配问题，对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部时才分配公网IP。

跨三层认证

和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。

对于以上三种认证方式，IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。

3.2 二层Portal认证过程

(1) Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址，本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址（通常为Loopback接口IP）。

(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互，对用户身份进行验证。

(3) 如果RADIUS认证成功，则接入设备上的本地Portal服务器向客户端发送登录成功页面，通知客户端认证（上线）成功。

3.3 三层Portal认证过程

直接认证和可跨三层Portal认证的流程

直接认证/可跨三层Portal认证流程：

(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

(2) Portal服务器与接入设备之间进行CHAP（Challenge HandshakeAuthentication Protocol，质询握手验证协议）认证交互。若用PAP（PasswordAuthentication Protocol，密码验证协议）认证则直接进入下一步骤。

(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(5) 接入设备向Portal服务器发送认证应答报文。

(6) Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

(7) Portal服务器向接入设备发送认证应答确认。

(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防软件、是否更新库、是否安装了非法软件、是否更新操作系统补丁等。

(9) 安全策略服务器根据用户的安全性授权用户访问非受限，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。

步骤(8)、(9)为Portal认证扩展功能的交互过程

二次地址分配认证方式的流程：

二次地址分配认证流程：

(1)～(4)同直接/可跨三层Portal认证中步骤(1)～(4)。

(5) 用户在接入设备上认证成功后，BAS向Portal-Server发送带有IP-Config属性的认证回应报文，指出用户需要更新IP地址。

(6) Portal-Server再向客户端发送带有IP-Config属性的认证通过报文（Login-Response），要求客户程序释放再申请IP地址。

(7) 客户端成功更新IP地址后，向Portal-Server报告更新IP地址成功。

(8) Portal服务器通知接入设备客户端获得新公网IP地址。

(9) 接入设备通过检测ARP协议报文检测到了用户IP变化，并通告Portal服务器已检测到用户IP变化。

(10) Portal服务器通知客户端上线成功。

(11) Portal服务器向接入设备发送IP变化确认报文。

(12) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防软件、是否更新库、是否安装了非法软件、是否更新操作系统补丁等。

(13) 安全策略服务器根据用户的安全性授权用户访问非受限，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。

步骤(12)、(13)为Portal认证扩展功能的交互过程

什么是portal认证服务器？

Portal认证服务器是一种提供安全访问控制和身份验证服务的服务器。它允许用户通过一个入口点访问多个应用程序和，同时确保这些访问是安全和受控的。通过Portal认证服务器，用户可以使用单一的登录凭证访问多个应用程序，无需重复输入用户名和密码。这大大简化了用户的访问过程，并提高了安全性。

Portal认证服务器的工作原理

Portal认证服务器的工作原理可以分为以下几个步骤：

1.用户访问Portal认证服务器的入口点。

2.Portal认证服务器验证用户的身份，通常使用用户名和密码进行认证。

3.一旦用户通过身份验证，Portal认证服务器会生成一个令牌，并将其返回给用户。

4.用户使用令牌访问其他应用程序和。

5.当用户访问其他应用程序时，这些应用程序会向Portal认证服务器发送令牌进行验证。

6.Portal认证服务器验证令牌的有效性，并确认用户的身份。

7.一旦用户的身份被确认，Portal认证服务器会向应用程序发送一个访问授权，并将用户重定向到目标应用程序。

如何设置Portal认证服务器

要设置Portal认证服务器，您可以按照以下步骤进行操作：

1.安装Portal认证服务器软件。

2.配置认证服务器的网络设置，包括IP地址、端口号等。

3.配置用户身份验证方式，可以选择用户名和密码、双因素认证等。

4.配置访问控制策略，包括用户权限、访问控制等。

5.配置单点登录功能，确保用户可以使用单一的登录凭证访问多个应用程序。

6.测试Portal认证服务器的功能，确保用户可以正常访问和使用各个应用程序。

Portal认证服务器的优势

Portal认证服务器具有以下几个优势：

1.提高用户体验：用户只需使用一组凭证即可访问多个应用程序，无需重复输入用户名和密码，提高了用户的使用便捷性。

2.强化安全性：Portal认证服务器通过身份验证和访问控制策略，确保只有经过授权的用户才能访问敏感，提高了系统的安全性。

3.简化管理：通过Portal认证服务器，管理员可以集中管理用户的身份和权限，简化了用户管理和权限管理的工作。

4.提高效率：用户可以快速访问所需的应用程序和，提高了工作效率。

Portal是什么， Portal主要有什么功能？

Portal服务器也就是接收Portal客户端认证请求的服务器端系统，其主要作用是提供免费的门户服务和基于Web认证的界面，以及接入设备交互认证客户端的认证信息。其中的Web认证方案首先需要给用户分配一个地址，用于访问门户网站。

PORTAL 基于浏览器，用的是B/S构架， 对不同权限的用户下发不同的VLAN ?访问不同的服务器，当通过认证后才能访问internet，Portal认证方式不需要安装认证客户端， 减少了客户端的维护工作量，便于运营。

可以在Portal页面上开展业务拓展，如展示商家广告， ****等基本信息。Portal广泛应用于运营商、学校等网络。

扩展资料：

Portal认证的设备要素

Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常交换机/AC会内置Portal服务器，帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能，内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。

如果需要实现微信接入、短信接入等复杂的功能，考虑到接入设备性能和认证体验，内置Portal服务器恐怕难以胜任，需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。

认证客户端：运行HTTP协议的浏览器或运行Portal客户端软件的主机。?

接入设备：交换机、路由器或AC（Access Controller）等宽带接入设备的统称。如果把网络看成一栋高楼，那接入设备就是门卫，要进屋必须由门卫放行。

接入设备主要有三方面的作用： 在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。 在认证过程中，与Portal服务器、AAA服务器交互，完成身份认证/授权的功能。 在认证通过后，允许用户访问被管理员授权的互联网。

Portal服务器：接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。?

Portal作为网关服务于因特网的一种WEB站点。Portal是链路、内容和为用户可能找到的感兴趣的信息（如新闻、天气、、商业站点、聊天室等）的指南服务的集合。Yahoo、Excite、MSN和Netscape NetCenter都是Portal。

参考资料：

门户网站什么意思

Portal是一个基于Web的应用， 他主要提供个性化，单点登录(Single Sign-on), 聚集各个信息员的内容并作为信息系统表现层的宿主。 聚集主要是指把各个信息源的内容集成到同一个Web 页面。

Portal主要有如下三种功能：

1.Portlet容器：

Portlet容器与servlet容器非常类似，所有的portlet都部署在portlet容器里，portlet容器控制portlet的生命周期并为其提供必要的和环境信息。Portlet容器负责初始化和销毁portlets，向portlets传送用户请求并合成响应。

2.内容聚集：

Portlet规范中规定portal的主要工作之一是聚集由各种portlet应用生成的内容。

3.公共服务：

portlet服务器的一个强项是它所提供的一套公共服务。这些服务并不是portlet规范所要求的，但portal的商业实现版本提供了丰富的公共服务以有别于它们的竞争者。在大部分实现中都有望找到的几个公共服务有：

a.单点登录：只需登录portal服务器一次就可以访问所有其它的应用，这意味着你无需再分别登录每一个应用。例如一旦我登录了我的intranet网站，我就能访问mail应用、IM消息应用和其它的intranet应用，不必再分别登录这些应用。

Portal服务器会为你分配一个通行证库。你只需要在mail应用里设定一次用户名和密码，这些信息将以加密的方式存储在通行证库中。在你已登录到intranet网站并要访问mail应用的时候，portal服务器会从通行证库中读取你的通行证替你登录到mail服务器上。你对其它应用的访问也将照此处理。

b. 个性化：个性化服务的基本实现使用户能从两方面个性化他的页面：第一，用户可以根据他的自身喜好决定标题条的颜色和控制图标。第二，用户可以决定在他的页面上有哪些portlets。例如，如果我是个体育迷，我可能会用一个能提供我钟爱球队最新信息的portlet来取代股票和新闻portlets。

一些在个性化服务方面领先的商业实现版本允许你建立为用户显示什么样的应用所依据的标准(如收入和兴趣)。在这种情况下，可以设定一些像“对任何收入为X的用户显示馈赠商品的portlet”和“对任何收入为X的用户显示打折商品的portlet”这样的商业规则。

此外还有一些公共服务，比如机器翻译，是由portal服务器将portlet生成的内容翻译为用户要求的语言。大部分的商业portal服务器都支持手持设备访问并具有针对不同的浏览终端生成不同内容的能力。

门户网站的意思是：国家对外开放的窗口网站，或是综合信息、深受欢迎的大众化网站。

门户网网络信息门户之所以被称之为门户（Portal），是因为它把网民们在网上可能用到的众多内容与服务都集中到一个站点中，体现在其站点主页上，使上网者通过这个主页“大门”进入精彩的网络世界，去寻找所需的一切。

什么是门户（Portal）要解释Portal，首先要说我们今天在Internet上随处可见的普通网络信息门户，如Yahoo!、Lycos、新浪和网易、门道网等。网络信息门户面向的是普通网上用户，而Portal是为一个企业的雇员、客户、合作伙伴和供应商建立的企业专用网站。

和普通网络信息门户一样，门户也是在Internet上建一个“大门”以满足所有访问者对内容与服务的需求，但除此之外，门户与普通网络信息门户有着本质的区别。Portal的服务对象是一个企业的雇员、客户、合作伙伴和供应商，服务的对象和目的极为明确。

门户提供的内容与服务也与企业业务相关，不存在用户需求众口难调的现象；而普通网络信息门户从兴起以来，各个门户站点的主办者都切身经历了用户需求众口难调的尴尬。普通网络信息门户服务的是网民个人，一个人一种爱好、一种需求，要满足所有人的要求是不可能的。

好处：

1、首先是企业雇员、客户、合作伙伴和供应商们可以更方便、更迅速、更简单地获得自己所需的信息与服务，从而加强交流，密切协作。在此之前，雇员、客户、合作伙伴和供应商都有着各不相同的信息传递渠道：雇员用intranet，客户用Web站点，合作伙伴和供应商用专用网络等。

2、信息渠道的多样化除了会导致信息的重复、混乱与丢失，以及管理上的困难外，企业运作的速度与成本也会因此而受到影响。今天的人们早已认识到，在商业环境瞬息万变的今天，信息传递方式的简单、高效与迅捷与否将直接影响到企业的生存与发展。

3、其次，门户可以大大降低运营成本。在这方面最显著的例子就是信息技术软硬件投入的减少。从前，企业中的许多信息与应用服务都是通过专用系统或指定软件提供的，要通过一台计算机获得特定的信息与应用服务，这台机器就必须安装指定的硬件与软件。