2024年4月23日发(作者:)
信息技术
XINXUISHU
2021
年第
3
期
—
种适合
BRAS
的
Captive
Portal
方案
解攀科
-
郭伟秀
S
万力勇'
,徐斌
“
(1.
华中师范大学信息化办公室
,
武汉
430079
;
2.
华中师范大学第一附属中学
,
武汉
430073
;
3.
中南民族大学教育学院
,
武汉
430074
;
4.
湖北科技学院计算机科学与技术学院
,
湖北咸宁
437100)
摘
要
:
随着我国
“
互联网
+
”
战略的推进
,
大型宽带网络发展迅速
。
BRAS
设备在宽带网络中得到
广泛使用
,
并通过
IPoE
方案组网
,
Portal
认证是常用的网络准入解决方案
。
如何提升
Portal
系统性
能
,
业界进行了广泛的研究
。
针对
BRAS
设备组建的宽带网
,
文中提出一种使用终端识别
+
网址判断
的二元过滤方案
,
可有效地进行
Portal
的前置过滤
,
从而大幅降低无关的
Portal
请求
,
提升
Portal
认证
系统的性能
。
关键词
:
BRAS
;
Captive
Portal
;
IPoE
;
Portal
过滤
中图分类号
:
TP393
文献标识码
:
A
文章编号
:
1009
-2552(2021
)03
-
0007
-04
DOI
:
10.
13274/j.
cnki.
hdzj.
2021.03.
002
A
captive
portal
solution
suitable
for
BRAS
XIE
Pan-ke
1
,
GUO
Wei-xiu
2
,
WAN
Li-yong
3
,
XU
Bin
4
(1.
Information
Office
,
Central
China
Normal
University,
Wuhan
430079,
China
;
2.
Middle
School
Affilia
ted
to
Central
China
Normal
University,
Wuhan
430073
,
China
;
3.
The
School
of
Education
,
South-Central
University
for
Nationalities
,
Wuhan
430074,
China
;
4.
The
School
of
Computer
Science
and
Technology
,
Hubei
University
of
Science
and
Technology
,
Xian
9
ning
437100,
Hubei
Province
,
China)
Abstract
:
With
the
advancement
of
the
country
s
Internet
+
strategy
,
large-scale
broadband
networks
have
developed
rapidly.
BRAS
equipment
is
widely
used
in
broadband
networks
and
is
networked
through
the
IPoE
solution.
Portal
authentication
is
a
common
network
access
solution.
The
industry
has
conducted
extensive
research
on
how
to
improve
the
performance
of
the
Portal
system
・
Aiming
at
the
broadband
net
work
built
by
BRAS
equipment
,
the
article
proposes
a
binary
filtering
scheme
using
terminal
identification
+
URL
filtering
,
which
can
effectively
perform
Portal
pre-filtering
,
thereby
greatly
reducing
Portal
irrele
vant
requests
and
improving
the
performance
of
the
Portal
authentication
system.
Key
words
:
BRAS
;
Captive
Portal
;
IPoE
;
Portal
Filtering
o
引言
我国互联网发展迅速
,
全面推进了各行业的
电子政务等
。
中国互联网络信息中心
(CNNIC)
信息化进程
,
如电子商务
、
数字化生产
、
在线教育
、
基金项目
:
中央高校基本科研业务费专项资金项目
(
CCNU19IT-
发布的第
45
次
《
中国互联网络发展状况统计报
告
》
⑴表明
,
我国网民人数已达
9.
04
亿
,
互联网
普及率已达
64.5%,
百兆以上宽带接入比例已达
0107)
;
湖北省技术创新专项项目
(2019ADC145)
;
教
育部科技发展中心产学研创新基金
(2020QTO2
)
85.4%,
光纤接入网用户规模达
4.
17
亿
,
占固定
互联网宽带接入用户总数的
92.
9%
o
我国宽带
网络的迅速发展
,
离不开宽带接入服务器
(
Broad
作者简介
:
解攀科
(1981
-),
男
,
硕士
,
工程师
,
研究方向为教育
信息化和数字化学习
。
band
Remote
Access
Server
,
简称
BRAS)
的大规模
—
7
—
一种适合
BRAS
的
Captive
Portal
方案
—
—
解攀科
等
使用
。
BRAS
是适合大型网络的高性能接入网
网页
,
认证通过后
,
网关设备会下发正常上网策
略,用户即可正常上网
。
关,在高速光纤网
、
大学校园网
、
无线宽带接入网
(WLAN)
中广泛使用⑵
。在宽带网全业务发展的
1
.
3
传统模式下的
Captive
Portal
存在的不足
在大规模网络部署的情况下
,
联网设备会大
背景下
,
基于
DHCP
的
IPoE
协议被广泛采用
。
IPoE
基于
DHCP
协议携带信息与
Portal
系统实现
认证交互
,
通过
Option82
属性来识别策略
,
实现
量接入
,
特别是在
WLAN
场景下
MW,
终端设备
的
Portal
请求会爆发性增长
。Portal
的爆发性请
求会对认证服务器产生高并发的压力
,
可能会导
预定义策略的下发和
Portal
策略推送
。用户在使
用高速宽带网络时,实施网络准入认证是第一步
致认证系统崩溃,从而严重影响用户接入网络
,
甚
的关键工作
,
通常采用
Captive
Portal
的技术向用
户推送网络认证登录网页。
为保障大型宽带网络
的稳定运行
,
需要设计一套可靠稳定的
Captive
至有可能引发网络系统的连锁型崩溃效应。
传统
模式下的
Captive
Portal
部署
,
特别是采用某些厂
商的集成化产品
,
往往存在单一化部署
、
Portal
程
序笨重的缺点
,
可能导致
Captive
Portal
系统性能
低下
,
弹岀
Portal
网页缓慢
,
无法实现全网
Portal
认证的稳定运行
。
Portal
系统
。
1
网络
Portal
认证
1
.
1
Captive
Portal
简介
在大规模网络中
,
为解决用户网络身份认证
的问题
,
通常采用
Captive
Portal
技术来实现
。
2
BRAS
系统的
Porta
]
优化与改进
2.
1
BRAS
部署模式优化
Captive
Portal
是一种特殊的网络认证门户
,
通过
在由
BRAS
作为核心设备组建的大型网络
中
,
Portal
服务器通常以旁路模式部署
,
依据
由网络运营机构通过网关策略执行
,
在用户上网
设备上自动弹出
。
联网终端发起接入请求时,
BRAS
触发
Portal
请求的过程不同,部署模式可分
为内置集中式和外置分离式。
在采用内置集中式
BRAS
网关系统对其网络会话状态进行识别
,
若
其状态未获取认证授权标记
,
则会在用户终端强
Portal
时
,BRAS
等网关设备由专门的
Portal
处理
进程来处理
Portal
请求
,
需要消耗核心设备的计
算资源
。
内置式
Portal
为保障设备正常运行
,
通
制弹岀网络登录网页
。
用户只有在弹出的
Cap
tive
Portal
上输入正确的认证信息
,
获取授权后
,
方可正常访问网络
。
由于
Captive
Portal
采用在浏
常会将内置
Portal
请求限制在指定参数内
,
以避
免大量
Portal
请求对设备造成压力
。
外置分离式
览器弹出网页的方式实施网络认证
,具有良好的
设备兼容性,因此在各大类型的网络系统中均得
以广泛地应用
。
Portal
则较为灵活
,BRAS
设备可通过
Portal
策略
将实际
Portal
请求转发给外置
Portal
设备
,
从而将
1
.
2
Captive
Portal
实现模式
压力分离出去
,
BRAS
设备则可以专注于路由交
换及
QoS
等核心业务
。
外置分离式
Portal
可以灵
Captive
Portal
需要采用合适的机制强制弹出
认证网页⑶
,
通过可采用
HTTP
重定向
、
DNS
拦
活地基于软件模式部署
,
通过虚拟机技术可方便
地实现高可用性集群扩展
,
可实现较低成本的灵
活性扩展
。
表
1
对内置集中式
Portal
和外置分离
截
、
IP
策略等模式实现
。
使用
HTTP
重定向模式
时
,
联网设备默认发岀的任意
HTTP
请求均被网
关通过重定向策略转向到认证门户
,
直到用户认
证成功后
,
便不再实施该操作
,
用户可正常上网
。
式
Portal
进行了具体的对比说明
。
2.
2
Portal
处理机制优化
使用
DNS
拦截模式时
,
联网设备默认发出的任意
DNS
请求均被网关策略强制解析为认证门户的
针对传统
Portal
的不足
,
应考虑一种新的机
制更高效地处理
Portal
请求
。
Portal
服务器应可
IP,
从而弹出认证网络
,
用户认证成功后,恢复正
常的
DNS
解析
,
用户可正常上网
。
使用
IP
策略
识别正常
Portal
请求和异常
Portal
请求
。
后台
APP高频度尝试联网发起的
Portal
请求可视为异
时
,
初始状态未认证时
,
网关通过
DNAT
机制将
IP
包的目标地址改为
Portal
地址
,
从而弹出认证
常请求
,
若处理不当
,
会导致
Portal
服务器计算资
源紧张
,
甚至导致系统宕机
。
可构建专门的
Porlal
—
8
—
一种适合
BRAS
的
Captive
Portal
方案
—
—
解攀科
等
过滤模块
,
过滤程序仅支持在标准浏览器执行
,
判
断其为
APP
或其它类型的
Web
请求时
,
该组件则
不执行
,
初步过滤掉一批异常请求
。
为实现更好
的过滤效果,可配置
BRAS
策略携带
URL,
过滤程
块才将真正的
Portal
请求发送给
Portal
处理程序,
从而提升
Portal
系统的处理性能
。过滤程序采用
标准
JavaScript
和
HTML
构建
,
因此可以部署在高
性能的
Nginx
服务器上运行,
Nginx
仅开启轻量级
的标准模块
,
从而可以保障高性能
,
并支持按需扩
序通过规则库识别
URL
特征
,
将各类广告
URL
或黑名单异常
URL
深度过滤
,
从而进一步减少非
展
,
可构建一套高性能的前置
Portal
过滤集群
。
图
1
对加载
Portal
过滤模块后的
Portal
处理过程
法
Portal
请求
。
经过二次过滤处理后
,
预处理模
表
1
内置集中式
Portal
和外置分离式
Portal
对比
内置集中式
Portal
外置分离式
Portal
网关核心设备轻量级处理
,
策略转发给外置
Portal
处理器
。
Portal
策略
硬件消耗及影响
网关核心设备内置式处理
。
占用网关核心设备资源
,
可能影响网络核心业务
。
不占用网关核心设备资源
,
不影响网络核心业务
。
图
1
Portal
过滤处理流程
进行了说明
。
2.3
Portal
过滤模块具体实现过程
为有效的过滤异常
Portal
请求
,
Portal
过滤模
通过用户代理
(
User
Agent)
的模式来识别用户类
型
2
J
。
〕
。
User
Agent
是终端发起
Web
请求时
,
向
服务器端发送的一系列字符串
,
从这些字符串的
特定规律即可判断用户的终端类型
。
表
2
列举了
常见的终端
User
Agent
类型
。
块可通过识别终端设备类型和筛选网址来实现深
度过滤
。
Portal
请求通常是
Web
请求
,因此可以
表
2
常见的手机
User
Agent
举例
User
Agent
Chrome
浏览器
Mozilla/5.0
(Linux
;
Android
10
;
Pixel
3)
Apple
WebKit/537.
36
(KHTML,
like
Gecko)
Chrome/80.
0.
3987.
87
Mobile
Safari/537.
36
iPhone
浏览器
Mozilla/5.
0
(
iPhone
;
CPU
iPhone
OS
13_0
like
Mac
OS
X
)
AppleWebKit/605.
1.
15
(
KHTML,
like
Gecko)
Version/
11.
2
Mobile/15E148
Safari/604.
1
MIUI
浏览器
Mozilla/5.
0
(
Linux
;
U
;
Android
10
;
zh-cn
;
Red
mi
8
)
AppleWebKit/537.
36
(
KHTML,
like
Gecko
)
Version/4.
0
Chrome/71
.0.3578.
141
Mobile
Safari/537.
36
XiaoMi/MiuiBrowser/1
1.7.34
浏览器
Mozilla/5.0
(Linux
;
U
;
Android
10
;
zh-cn
;
ALP-AL00
Build/HUAWEIALP-ALOO
)
AppleWebKit/537.
36
(
KHTML,
like
Gecko)
Version/4.
0
Chrome/66.
0.
3359.
126
MQQBrowser/10.
1
Mobile
Safari/537.
36
—
9
—
一种适合
BRAS
的
Captive
Portal
方案
—
—
解攀科
等
通过
JavaScript
代码对
User
Agent
进行识别
,
即可比较方便的识别终端及其浏览器类型
,
识别
2
:
return
/ad
1
adv
1
ads
H
ad
]
+
1
adv
]
+
1
[
ads
]
+/.
test
(
user_url)
;
|
为设备默认浏览器时
,
才执行正常的
Portal请求
。
3
:
function
Keq
Real
Portal
(
)
|
if(
isAdv(
User__URL)
=
=
true)
I
1
//
判断广告
URL,
则终止跳转
。
User
Agent
识別过程详见算法
1
。
算法
1
:通过浏览器内核判断设备类型
输入
:
设备
UserAgent
4
:
5
:
6
:
else
1
〃
判断是否正常
Portal
请求
返回:设备类型
1
:
var
Browser
=
UserAgent
:
function
(
)
{
2
:
3
:
4
:
7
:
8
:
if
(
Browser.
UserAgent.
android
=
=
Irue)
]
var
UA
=
navigator.
userAgent
;
//
获取
userAgent
var
xhp
=
new
XMLHttpRequest
()
;
xhp.
onreadystatechange
=
function
(
)
|
return
{
9
:
10
:
5
:
6
:
android
:
UA.
indexOf(
Android
)
>
-
1
II
UA.
indexOf(
Mac
)
>
-
1,
//
android
设备
iPhone
:
UA.
indexOf
(
iPhone
)
>
-
1
II
if
(
this. readyState
=
=
4
&&
this,
status
=
=200)
]
//
返冋
Portal
处理结果
11:
document.
getElementByld
(
”
ACK_AUTH_TAG
H
)
・
UA.
indexOf(
Mac
)
>
-
1
,
//
iPhone
7
:
8
:
innerHTMI, =
xhttp.
responseText
;
i
iPad
:
UA.
indexOf
(
iPad
)
>
-
1,
//
iPad
QQbrw
:
UA.
indexOf
(
MQQBrowser
)
>
-
1,
//
手机浏览器
1;
〃请求实际的
Portal
服务器
12
:
9
:
xhp.
open(
"
GET"
,
"http
:
//[
REAL-PORTAL-
SERVER]"
,
true)
;
webview
:
!
(
UA.
match
(
/Chrome
([
d.
]
+
)/)
||
UA.
match
(
/CriOS
(
[
d.
]
13
:
xhp.
send
()
;
+
)/))
&&
i
f
14
:
〃
…
判断其它类型的异常
Portal
请求
,
则忽略
操作
,
减轻
Portal
压力
。
10
:
UA.
match(/(
iPhone
I
iPod
I
iPad)
・
*
AppleWebKit(
?!.
*
Safari
)
/
)
1;
//
webview
组件
3
结束语
除识别终端的
User
Agent
夕卜,还需要结合用
大型网络实施全网准入认证时,传统的
Cap
tive
Portal
服务器可能存在性能瓶颈
,
从而导致
户
URL
进行深度过滤
,
然后才向实际的
Portal
服
务器发送认证请求
。
用户
LRL
需要在
BRAS
设
备上进行设置
,
开启其发送用户
URL
的使能开
关,
URL
以参数的方式附加在发往
Portal
的请求
Portal
页面无法流畅弹出
。
在
BRAS
组网的宽带
网环境中
,
针对
BRAS
可设计合理的
Captive
Por
tal
策略
,
考虑采用外置式
Captive
Portal构建高性
能的
Web
认证系统
。
文中提出了一种基于用户
路径中
。
通过构造相应的正则表达式
,URL
过滤
程序可依据广告关键字过滤掉此类请求
。
通过两
终端识别
+
网址侦测的二元过滤方案
,
通过双层
种过滤策略的叠加使用
,
可以达到较好的
Portal
过滤效果
,
其实现过程详见算法
2
。
算法
2
:
过滤异常
Portal
请求
输入:
Portal
请求参数
返回
:
Portal
处理结果
过滤机制屏蔽掉大量无效的
Portal
请求
,
从而为
Captive
Portal
服务器大幅降低处理压力
。该过滤
方案通过
JavaScript
执行,从而将
Portal
前置过滤
组件分布在用户设备上执行
,
可进一步有效降低
Captive
Portal
服务器系统的斥力
。
该方案在一体
化的
IPoE
+
WLAN
大学校园网中使用后
,
处理效
果良好
,
缓解了前期的
Portal
压力
,
并采用外置式
//
通过正则表达式过滤广告
URL
1
:
functionis
Adv
(
user_url
)
!
的虚拟机软件集群方案,进一步
(
下转第
15
页
)
—
10
—
无人机自主定位无线电干扰的最佳速度研究
—
—
周超等
增多及框架的完善,定位过程所需时间会缩短
。
多点定位方式需要持续观测
,
不受距离限制
,
[4]
Perkins
A
,
Dressel
L,Lo
S,et
al.
Demonstration
of
UAV
based
GPS
jammer
localization
during
a
live
interference
但是方向偏差会导致较大定位误差
;
自主定位误
差小
,
但计算量大
,
在复杂环境下对系统的自动飞
exercise
[
C
].
29th
International
Technical
Meeting
of
The
Satellite
Division
of
the
Institute
of
Navigation
(
ION
行性能提出严峻考验
。
在复杂地理环境
,
如机场
GNSS+2016)
,2016.
周边
、
航路航线上开展定位无线电干扰作业时首
先应确保安全报备
,
遵守飞行规定
,其次快速准确
[5
J
Dressel
L
,
Kochenderfer
M
J.
Efficient
decision-theoretic
target
localization[C]
.
Twenty-Seventh
International
Con
ference
on
Automated
Planning
and
Scheduling,2017.
的定位不仅需要合理规划飞行参数
,
还要根据实
[6]
Perkins
A
,
Chen
Y
H
,
Lo
S,
et
al.
Vision
based
UAS
nav
际场景选择多种监测定位方式协作进行
。
4
结束语
igation
for
RFI
localization
[
C
].
31
st
International
Tech
nical
Meeting
of
The
Satellite
Division
of
the
Institute
of
本文基于部分可观测马尔科夫决策过程理论
Navigation
JON
GNSS
+
2018,2018
:
2726
-2736.
[7]
史肖冰
,
郭德贵
,
曹捷•基于自适应
Hata
模型的无线
构建了一套无人机自主定位仿真框架
,
根据框架
模型控制变量参数分析给出在不同区域下的最佳
速度
,
并与实际手动测试的数据进行对比
,
说明了
电发射源定位方法
[J].
吉林大学学报
:
理学版
,
2020,58(1)
:
109
-112.
在特定场景下最佳速度参数的有效性
,
在一定程
度上为无人机监测无线电干扰源过程标准化提供
[8]
Dressel
L
,
Kochenderfer
M
J.
Pseudo-bearing
measure
ments
for
improved
localization
of
radio
sources
with
multirotor
uavs[
C]
.
2018
IEEE
International
Conference
on
Robotics
and
Automation
(
ICRA
)
.
IEEE
,2018
:
6560
-6565.
了一些依据
。
针对距离差距明显时仿真数据不准
确问题需要对框架模块进行优化,下一步将搭建
测试系统,改进框架模型
,
结合控制理论实现自主
定位测试
。
[9]
张博轩
,
袁晔
,
郭景阳
,
等•基于升空无线电监测系统
的最佳监测高度研究
[J].
中国无线电
,2018(1)=41
-42.
[10]
刘冰冰
.POMDP
近似算法的研究与设计
[D].
合肥
:
参考文献
:
[1]
崔铠韬•多旋翼无线电监测空中机器人关键技术研
究
[D].
成都:西华大学
,2015.
[2]
张美红•基于无人机的民航无线电干扰空中监测与
中国科学技术大学
,2017.
[11]
张思齐•基于部分可观测马尔科夫决策过程的干扰
分析研究
[D].
广汉
:
中国民航飞行学院
,2019.
[
3
]
Dressel
L
K
,
Kochenderfer
M
J
.
Signal
source
localization
决策研究
[D].
西安:西安电子科技大学
,2019.
[12]
赵明杰•基于无人机平台的黑广播定位与追踪
[D].
using
partially
observable
markov
decision
processes
杭州
:
浙江理工大学
,2019.
(责任编辑
:
杨静)
[J].
2015.
(上接第
10
页)有效降低
Portal
集群的实施成本
。
[6]
陶静烽.基层电大结合
Portal
技术构建校园
WLAN
的
参考文献
:
[1]
李政蔵•第
43
次
《
中国互联网络发展状况统计报告
》
实践研究
[J].
电脑编程技巧与维护
,2019(6)=169
-
171.
发布
[N].
光明日报
.2019
-03
-01.
[2]
陶浩.基于
Portal
技术的高校多运营商网络认证系统
[7]
杨芸.校园自建无线网络管理系统建设
[J].
电脑知
识与技术
,2019(9):59
-60.
[8]
张地•电信运营商与有线电视宽带合作的探讨
[J].
研究与实现
[J]
•江苏科技信息
,2019,36(31):43
-45.
[3]
周江,李贺武.一种面向
Portal
认证的
IPv6
可信地址
科技视界
,2019(14):233
-234.
[9]
李良盛
,
段海新
,
郑晓峰•基于
HTTP
User-Agent
标记
分配机制
[J]
•电信科学
,2019,35(
12)
:
8
-
14.
[4]
王玮.高校
WLAN
无感知认证系统的设计与实现
[J].
软件工程
,2019,22(9)
:
23
-27.
的被动操作系统识别指纹库自动生成方法
[
J]
•
计算
机应用与软件
,2020(5)
:
309
-314,326.
[10]
桂小林
,
刘军
,
乔媛媛
,
等•基于用户代理及互联网
[5]
淡武强
.WLAN
组网中
Portal
认证实例
[J].
网络安全
知识的应用识别
[J].
北京邮电大学学报
,2017(2)
:
102
-105.
(责任编辑
:
丁胡)
和信息化
,2019(9)
:
83
-86.
—
15
—
发布评论