CN107517189B - 一种wlan用户接入认证及配置信息下发的方法、设备 - Google Patents
一种wlan用户接入认证及配置信息下发的方法、设备 Download PDFInfo
- Publication number
- CN107517189B CN107517189B CN201610437725.6A CN201610437725A CN107517189B CN 107517189 B CN107517189 B CN 107517189B CN 201610437725 A CN201610437725 A CN 201610437725A CN 107517189 B CN107517189 B CN 107517189B
- Authority
- CN
- China
- Prior art keywords
- authentication
- wlan user
- user
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种WLAN用户接入认证及配置信息下发的方法、设备,AP拦截WLAN用户通过站点STA发送的超文本传输协议HTTP请求;所述AP确定所述WLAN用户未经过接入认证时,向所述STA发送重定向报文,其中,所述重定向报文携带接入认证服务器上认证页面的统一资源定位标识符URL地址,所述重定向报文用于将所述HTTP请求重定向到所述接入认证服务器。AC接收网管***下发的接入点AP的配置信息并保存,所述配置信息包括为WLAN用户提供的个性化认证页面的URL地址,然后在所述AP接入时,向所述AP下发所述配置信息。本申请避免了现有在AC上进行拦截WLAN用户的HTTP请求报文的方法对AC处理性能有一定影响,接入认证效率较低的问题。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种WLAN用户接入认证及配置信息下发的方法、设备。
背景技术
近几年,随着智能手机、平板电脑等移动终端的普及,无线数据的需求呈现***性增长,作为3G/4G覆盖补充的WLAN技术的应用也越来越广泛,如商场、酒店、餐厅等越来越多的服务场所需要给客户提供免费WiFi,针对WLAN用户的认证和推送广告信息成为该类公共无线网络的基础要求。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。当未认证用户上网时,接入设备强制用户终端登录到特定站点,用户终端可以免费访问特定站点的服务。当用户终端需要访问互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态***。
传统的WLAN网络基于“胖”AP架构,WLAN网络由相互独立的接入点(AP:AccessPoint)组成,传统WLAN架构在组网、管理、配置等上面非常复杂,难以满足大规模部署要求。目前运营商部署的WLAN网络普遍采用包括AP和接入控制器(AC:Access Control)的网络架构,请参见图1,称为“瘦”AP架构;在瘦AP架构下,AC主要通过接入点控制与供应协议(CAPWAP:Control And Provisioning of Wireless Access Points ProtocolSpecification)对无线局域网中的所有AP进行统一的管理和配置。在瘦AP网络架构下,进一步根据AP对STA数据报文转发流向不同分为本地转发模式和集中转发模式。本地转发模式下,AP对用户数据报文不做CAPWAP封装,报文可以不经过AC直接转发;集中转发模式则把用户数据报文封装到CAPWAP隧道中,必须经过AC统一进行转发。
在AP集中转发模式下,一般都由AC作为WLAN用户的接入认证点,由AC截获WLAN用户终端发送的HTTP请求报文,检查WLAN用户是否已经过认证,并和Portal服务器及Radius认证服务器一起完成对WLAN用户的认证。同时AC作为业务控制点,也用于用户在WLAN接入过程中的业务控制,包括强制Portal功能等。随着AP集中大量的部署,集中转发模式下对AC的性能要求越来越高,故AP本地转发模式也得到了广泛的应用。
对于AP本地转发模式下的Portal认证,相关技术提出接入点AP在接收到STA的认证请求后,通过CAPWAP隧道将该认证请求发送给接入控制器AC,再由AC转发给Portal服务器。该方法可以利用已有的网络认证架构实现AP本地转发情况下的Portal认证,但是该方法在STA认证通过之前需要将STA的所有认证请求报文集中发送至AC处理,由AC将WLAN用户的所有HTTP请求重定向到Portal服务器,对AC本身处理性能会有一定影响。
另一方面,目前推送的统一认证页面大多是基于各运营商定制的,不能满足很多商家AP用户本身真正个性化Portal认证页面的定制需求。
发明内容
有鉴于此,本发明提供了以下方案。
一种WLAN用户接入认证的方法,应用于包括接入点AP和接入控制器AC的网络架构,包括:
AP拦截WLAN用户通过站点STA发送的超文本传输协议HTTP请求;
所述AP确定所述WLAN用户未经过接入认证时,向所述STA发送重定向报文,其中,所述重定向报文携带接入认证服务器上认证页面的统一资源定位标识符URL地址,所述重定向报文用于将所述HTTP请求重定向到所述接入认证服务器。
一种接入点AP,所述AP应用于包括接入控制器AC的网络,其特征在于,所述AP包括:
拦截模块,用于拦截WLAN用户通过站点STA发送的超文本传输协议HTTP请求;
重定向模块,用于确定所述WLAN用户未经过接入认证时,向所述STA发送重定向报文,其中,所述重定向报文携带接入认证服务器上认证页面的统一资源定位标识符URL地址,所述重定向报文用于将所述HTTP请求重定向到所述接入认证服务器。
上述方案在包括AP和AC的“瘦”AP架构中,直接由AP拦截WLAN用户的HTTP请求,将其重定向到接入认证服务器进行接入认证,避免了现有在AC上进行拦截WLAN用户的HTTP请求报文的方法对AC处理性能有一定影响,接入认证效率较低的问题。
有鉴于此,本发明还提供了以下方案。
一种接入点配置信息下发的方法,包括:
接入控制器AC接收网管***下发的接入点AP的配置信息并保存,所述配置信息包括为WLAN用户提供的个性化认证页面的统一资源定位标识符URL地址;
所述AC在所述AP接入时,向所述AP下发所述配置信息。
一种接入点控制器AC,其特征在于,包括:
信息接收子模块,用于接收网管***下发的接入点AP的配置信息并保存,所述配置信息包括为WLAN用户提供的个性化认证页面的统一资源定位标识符URL地址;
信息下发子模块,用于在所述AP接入时,向所述AP下发所述配置信息。
上述方案将定制的个性化认证页面的URL地址下发给AP,并且使得AP可以很方便地将WLAN用户重定向到相应的个性化认证页面,实现个性化的认证页面的推送功能。
附图说明
图1是具有“瘦”AP架构的网络示意图;
图2是本发明实施例一用户认证方法的流程图;
图3是本发明实施例一接入点AP的模块图;
图4是本发明实施例二配置信息下发方法的流程图;
图5是本发明实施例二接入控制器AC的模块图;
图6是本发明实施例三云网管***的模块图及与AC的连接示意图;
图7是本发明实施例四AC的功能模块图;
图8是本发明示例二AP本地转发模式下,拦截WLAN用户HTTP请求并实现Portal认证的流程图;
图9是本发明示例三云网管***下发Portal认证相关配置的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
实施例一
本实施例提供一种用户接入认证的方法,应用于包括接入点AP和接入控制器AC的网络架构,如图1所示,包括:
步骤110,AP拦截WLAN用户通过站点STA发送的超文本传输协议HTTP请求;
步骤120,所述AP确定所述WLAN用户未经过接入认证时,向所述STA发送重定向报文,其中,所述重定向报文携带接入认证服务器上认证页面的URL地址,所述重定向报文用于将所述HTTP请求重定向到所述接入认证服务器。
本实施例中,接入认证服务器为Portal服务器,但不局限于此。
本实施例中,所述AP通过以下方式得到所述重定向报文中携带的URL地址:所述AP根据所述HTTP请求中携带的SSID查找所述绑定关系信息,得到与所述SSID绑定的URL地址,作为所述重定向报文中携带的URL地址;其中,所述绑定关系信息是根据AC下发的SSID与接入认证服务器上认证页面的URL地址之间的绑定关系信息。AP可以根据WLAN用户STA终端关联的SSID对应的虚拟接入设备名称wlan0,wlan1等进行重定向参数的填充,AP收到空口处理报文时已知道该报文对应的虚拟接入设备名称SSID1-wlan0,SSID2-wlan1。
本实施例中,所述绑定关系信息中,与每一个SSID绑定的URL地址,是为该SSID所标识网络的WLAN用户定制的个性化认证页面的URL地址。但本发明不局限于此,该URL地址也可以是统一的认证页面的URL地址,或者按照其他方式定制的认证页面的URL地址。需要说明的是,URL地址与SSID绑定,包括URL与SSID和AP标识绑定的情形,也即可以针对不同AP下的SSID分别定制个性化的认证页面,也可以对不同AP下相同的SSID定制相同的个性化认证页面。
本实施例中,所述AP拦截所述HTTP请求之前,可以接收所述AC下发的需要在URL中***的用户认证参数,在向所述STA发送的重定向报文中携带所述用户认证参数。
本实施例中,所述AP可以采用本地转发模式进行数据报文的转发,也可以采用集中转发模式进行数据报文的转发。在采用集中转发模块时,所述AP在对所述HTTP请求进行接入点控制和供应协议CAPWAP隧道进行封装之前,拦截所述HTTP请求。本实施例在AP集中转发或本地转发模式下,均可以实现HTTP请求的拦截和重定向。
本实施例中,所述AP通过AP侧网络防火墙拦截所述HTTP请求。但本发明不局限于此,也可以是其他模块如新增功能模块来实现这一功能。
本实施例中,所述AP可以根据设置在所述AP侧网络防火墙中的包过滤规则中所述WLAN用户的接入认证信息,确定所述WLAN用户未经过接入认证;而在所述AP向所述STA发送重定向报文之后,如接收到AC在所述WLAN用户通过接入认证后下发的访问控制规则,则更新所述包过滤规则中所述WLAN用户的接入认证信息,以指示所述WLAN用户已经过接入认证,放开对所述WLAN用户的接入限制。
本实施例中,所述AP更新所述包过滤规则中所述WLAN用户的接入认证信息后,所述方法还包括:所述AP如接收到所述AC发送的所述WLAN用户下线的通知或收到所述STA发送的去关联消息后,则删除所述包过滤规则中所述WLAN用户的信息,所述WLAN用户的信息包括所述WLAN用户的接入认证信息。
本实施例还提供一种接入点AP,所述AP应用于包括接入控制器AC的网络,如图3所示,所述AP包括:
拦截模块10,用于拦截WLAN用户通过站点STA发送的超文本传输协议HTTP请求;
重定向模块20,用于确定所述WLAN用户未经过接入认证时,向所述STA发送重定向报文,其中,所述重定向报文携带接入认证服务器上认证页面的统一资源定位标识符URL地址,所述重定向报文用于将所述HTTP请求重定向到所述接入认证服务器。
可选地,
所述重定向模块通过以下方式得到所述重定向报文中携带的URL地址:根据所述HTTP请求中携带的SSID查找所述绑定关系信息,得到与所述SSID绑定的URL地址,作为所述重定向报文中携带的URL地址;其中,所述绑定关系信息是根据AC下发的SSID与接入认证服务器上认证页面的URL地址之间的绑定关系信息。
可选地,
所述绑定关系信息中,与每一个SSID绑定的URL地址,是为该SSID所标识网络的WLAN用户定制的个性化认证页面的URL地址。
可选地,
所述AP还包括:接收模块,用于接收所述AC下发的需要在URL中***的用户认证参数;
所述重定向模块向所述STA发送的重定向报文中还携带所述用户认证参数。
可选地,
所述AP还包括转发模块;
所述转发模块采用本地转发模式进行数据报文的转发;或者
所述转发模块采用集中转发模式进行数据报文的转发;所述拦截模块拦截所述HTTP请求,包括:对所述HTTP请求进行接入点控制和供应协议CAPWAP隧道封装之前,拦截所述HTTP请求。
可选地,
所述拦截模块使用AP侧网络防火墙实现。
可选地,
所述重定向模块确定所述WLAN用户未经过接入认证,包括:根据包过滤规则中所述WLAN用户的接入认证信息,确定所述WLAN用户未经过接入认证,其中,所述包过滤规则设置在所述AP侧网络防火墙中;
所述AP还包括:更新模块,用于接收AC在所述WLAN用户通过接入认证后下发的访问控制规则,更新所述包过滤规则中所述WLAN用户的接入认证信息,以指示所述WLAN用户已经过接入认证。
可选地,
所述更新模块还用于接收到所述AC发送的所述WLAN用户下线的通知或收到所述STA发送的去关联消息后,删除所述包过滤规则中所述WLAN用户的信息,所述WLAN用户的信息包括所述WLAN用户的接入认证信息。
本实施例在包括AP和AC的“瘦”AP架构中,直接由AP拦截WLAN用户的HTTP请求,将其重定向到接入认证服务器进行接入认证,不需要AP和AC之间的Portal客户端进行交互,避免了现有在AC上进行拦截WLAN用户的HTTP请求报文的方法对AC处理性能有一定影响,接入认证效率较低的问题。
另外,相关技术一般由AC或Portal服务器根据STA发送的HTTP请求消息中携带的用户属性信息,实现个性化的Portal推送页面,在服务端先查询再推送个性化认证页面的方法耗时及响应时间比较慢。上述方案是一种动态预配置的方法,在AP侧直接根据WLAN用户关联的AP和SSID标识实现个性化的Portal认证页面推送。
本实施例不需要AP和AC之间的Portal客户端频繁地进行交互,在Radius服务器与AC确认该STA用户认证成功后,由AC上的Portal认证管理模块直接通过一条CAPWAP消息通知到AP侧(即将STA用户访问控制相关的ACL规则下发给AP),AP侧CAPWAP模块收到该ACL规则后,可通知网络防火墙模块,以放开该用户上网的限制。
实施例二
本实施例提供一种接入点配置信息下发的方法,如图4所示,包括:
步骤210,接入控制器AC接收网管***下发的接入点AP的配置信息并保存,所述配置信息包括为WLAN用户提供的个性化认证页面的统一资源定位标识符URL地址;
步骤220,所述AC在所述AP接入时,向所述AP下发所述配置信息。
本实施例中,AC可以在开通一个AP时,从网管***接收该AP的配置信息并保存。
本实施例中,所述配置信息还可以包括需要在URL中***的用户认证参数。AC将用户认证参数下发给AP,AP可以将其和所述URL地址写入在发送给WLAN用户的重定向报文中。
本实施例中,所述网管***可以为云网管***,所述云网管***针对不同AC虚拟化对应的接入认证服务器,所述个性化认证页面为接入认证服务器上的认证页面。
本实施例中,所述URL地址与SSID具有绑定关系,其中,与每一个SSID绑定的URL地址,是为该SSID所标识网络的WLAN用户定制的个性化认证页面的URL地址。所述配置信息还包括与所述URL地址绑定的SSID的信息。但本发明不局限于此。URL地址可以与其他信息如AP标识绑定,也可以不与其他信息绑定。
现有AC基于各个运营商自身的网络部署,推送的统一认证页面大多是基于各运营商定制的,不能满足很多商家AP用户本身真正个性化Portal认证页面的定制。而云网管***可以提供统一的定制接口,很方便地为各个AC下AP的WLAN用户实现个化性页面的定制。
本实施例还提供一种接入点控制器AC,包括接入点AP管理模块,如图5所示,所述AP管理模块包括:
信息接收子模块30,用于接收网管***下发的接入点AP的配置信息并保存,所述配置信息包括为WLAN用户提供的个性化认证页面的统一资源定位标识符URL地址;
信息下发子模块40,用于在所述AP接入时,向所述AP下发所述配置信息。
可选地,
所述信息接收子模块接收的所述配置信息还包括需要在URL中***的用户认证参数。
可选地,
所述网管***为云网管***,所述云网管***针对不同AC虚拟化对应的接入认证服务器,所述个性化认证页面为接入认证服务器上的认证页面。
可选地,
所述信息接收子模块接收的配置信息中的URL地址与SSID具有绑定关系,其中,与每一个SSID绑定的URL地址,是为该SSID所标识网络的WLAN用户定制的个性化认证页面的URL地址;
所述信息接收子模块接收的配置信息还包括与所述URL地址绑定的SSID的信息。
本实施例中,URL地址与SSID绑定,可以是只与SSID绑定,即根据SSID即可确定需要提供的URL地址;也可以同时与SSID和其他信息绑定,如与SSID和AP绑定,此时需要根据SSID和AP标识信息,共同确定需要提供的URL地址。
AC个性化的Portal推送技术,可以由Portal服务器根据一定策略向WLAN用户终端推送定制的个性化Portal认证页面。本实施例将定制的个性化认证页面的URL地址下发给AP,直接由AP将WLAN用户重定向到相应的个性化认证页面,可以更方便地实现个性化的认证页面的推送功能。
实施例三
传统AC一般基于各个于各个运营商的网络部署,AC网络维护成本较高,不能满足新型IT架构需求,如大量虚拟化、云计算、统一存储技术等。本实施例提出了一种基于云平台的网管***,也称为云网管***、AC云网管平台、云平台网管等)。本实施例的云网管***可以通过SNMP协议对AC或AC下挂的AP进行管理或配置。支持通过网管***对接入AC和AP设备进行基本配置,包括对AP无线接口参数(SSID、信道选择、安全加密相关参数、发射功率参数、QoS相关参数配置等)进行配置。AC需要先向云平台注册,AC注册至云网管***成功后,后续可以通过云平台下发认证所需的相关参数配置信息。
如图6所示,本实施例的云网管***包括AC注册服务端、AC配置管理模块及数据库,还可以包括虚拟化的接入认证服务器和Radius((Remote Authentication Dial InUser Service:远程用户拨号认证***))服务器、
其中
AC注册服务模块,用于接收AC的注册请求,验证通过后,将所述AC的注册信息存储至所述数据库,还可以负责与AC的通信链路维护。AC注册至云网管***的步骤可以包括:AC设备获取到公网地址后,主动向云网管***进行连接注册,注册请求可通过UDP或TCP的方式向云网管***发送,内容包括AC设备的型号、名称、MAC地址、IP地址、SN、软硬件版本号等;云网管***在验证所述AC的合法性后,将相关注册信息存储至DB数据库,后续云网管***可对这些AC设备进行统一配置和管理。
AC配置管理模块,用于管理所有接入AC的全局参数配置,及AC的接入认证方式等配置信息的下发、AC接入的AP和STA容量规划,AC的DHCP地址池容量规划、SSID规划及对应无线射频参数配等。AP实现的可以是零配置方式,AP上电时的所有配置信息均需AC下发,即在AP接入AC时,AC统一经过CAPWAP协议交互将AP的配置信息下发给AP。
Porta服务器,用于存储AC的配置信息,其中包括为AC下的WLAN用户定制的个性化的认证页面,及在认证过程中推送所述个性化的认证页面,其中可以包括一些广告推送信息。这些个性化认证页面可以根据SSID定制,这些个性化认证页面的URL地址可以与相应的SSID绑定。所述配置信息可以包括以下至少一种信息:为WLAN用户提供的个性化认证页面的统一资源定位标识符URL地址,及所述URL地址与SSID具有绑定关系,其中,与每一个SSID绑定的URL地址,是为该SSID所标识网络的WLAN用户定制的个性化认证页面的URL地址。
Radius服务器用于对WLAN用户进行Radius认证。
数据库,用于存储和维护AC的基本配置信息。所述配置信息可以包括以下信息中的一种或多种:AP的SSID规划及对应无线射频参数配置信息、Portal服务器的URL地址及其绑定的SSID信息等,这些数据均存储在云平台的数据库中。并可通过AC配置管理模块将相关的配置信息下发给AC,可对AC实现统一存储和管理。
在现有AC架构下,各AP的个性化定制Portal认证页面不方便进行统一管理。一般每个AC都需要有一个对应的Portal认证服务器,不同AC及认证服务器之间不能实现资源共享。本实施例的云网管***通过SNTP协议给各个AC下发所需的配置参数信息,由AC将配置信息通过CAPWAP协议通知到AP侧;可以对不同AC设置对应的虚拟化Portal/Radius认证服务器,兼容在不同运营商网络中部署的AC,实现统一管理;还可以直接根据AP商家用户的需要实现个性化Portal认证页面的定制。
实施例四
本实施例涉及AC的功能模块,如图7所示,本实施例的AC包括以下功能模块:云平台接口管理模块、数据库、AP管理模块、STA管理模块、WLAN管理模块、Portal认证管理模块和CAPWAP协议模块。
其中:
云平台接口模块,用于到云网管***进行注册,及对心跳链路状态进行维护,如可以周期性地上报心跳消息至云网管***,以保证AC和云网管***的通信通道正常,AC在与主用网管服务器通信失败时,也可选择注册至云平台上的其它备份AC网管。
AP管理模块,用于在AP接入时下发AP的相关配置,及AP版本升级和状态维护等;可以将Portal认证页面的URL地址及与其绑定的SSID标识,及需要在URL中***的用户认证参数下发给相应的AP。
STA管理模块,用于管理STA上下线认证及STA的漫游处理等;STA管理模块可对WLAN用户的MAC地址进行记录并对用户的行为进行分析。WLAN用户首次访问接入时,如果用户认证通过,则将认证通过的用户名、MAC和访问的原始URL等信息上报记录在云端服务器中,当用户漫游或再次接入时即可实现用户的免认证或快速认证功能。
CAPWAP协议模块,用于AC和AP之间的控制协议报文的交互,实现AP配置参数下发。
Portal认证模块,用于实现Portal认证和策略控制,该Portal认证模块同时支持Portal客户端及Radius客户端功能,所述Portal客户端及Radius客户端的WLAN用户数据区与STA上线时在所述STA管理模块中创建的数据区共用,所述STA管理模块创建的数据区记录有所述WALN用户的信息,所述信息包括认证过程中所需要的WLAN用户的身份验证参数。
WLAN管理模块,用于WLAN接口SSID射频参数的设置;
下面再用几个应用中的具体示例对本发明进行说明。
示例一
本示例基于瘦“AP”架构,由AP实现本地用户HTTP请求的拦截和重定向功能。在WLAN用户STA终端关联SSID成功之后,AP首先通过CAPWAP消息通知AC该STA上线,AC侧的STA管理创建对应的STA数据区,记录该STA的相关身份信息。
当有WLAN用户发起外网HTTP请求时,由AP侧的网络防火墙模块拦截并确认是否需要重定向到Portal服务器,Portal服务器推送认证页面,用户在认证页面填写用户认证信息并向portal服务器提交。
Portal服务器接收到用户信息,向Radius服务器发出用户信息查询请求,Radius验证用户密码、查询用户信息,并向Portal返回查询结果,如查询成功,Portal服务器按照CHAP流程向AC请求Challenge,AC返回Challenge ID和Challenge,后续Portal服务器将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password和帐号一起提交到AC,发起认证。AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到RADIUS认证服务器,由RADIUS认证服务器进行认证。RADIUS服务器根据用户信息判断用户是否合法。如果认证成功,RADIUS向AC返回认证成功报文。如果认证失败,RADIUS向AC返回认证失败报文,AC进一步返回认证结果给Portal服务器。
Portal服务器根据认证结果,推送认证结果页面。如果成功,Portal服务器推送定制的个性化页面,并放行该WLAN用户STA终端的上网限制;如果失败,页面提示用户失败原因。
在Radius服务器确认该STA用户认证成功后,可由AC上的Portal认证管理模块进一步通过CAPWAP协议将STA用户访问控制相关的ACL规则下发给相关的AP,AP侧的CAPWAP模块收到该ACL规则后,可通知网络防火墙模块配置针对该STA用户的IPTABLE规则等,以放开该用户上网的限制。
AC对接的Portal服务器和Radius服务器可以为用户提供个性化的Portal认证页面,这些个性化定制页面的统一资源定位标识符URL地址可以和AC下某个AP的SSID进行绑定。AC在从云网管***获取到这些配置后,进一步通过CAPWAP协议将AP和SSID绑定的URL地址参数等配置下发给相关的AP。后续在STA关联AP时,AP侧的网络防火墙根据WLAN用户终端关联的SSID信息,直接将用户重定向到个性化的定制需求访问页面的URL。云平台上的Portal服务器认证页面的内容可以由管理员自定义,以便及时更新发布相关广告信息。
本示例中,在AP集中转发或本地转发模式下,均由AP侧的网络防火墙拦截用户的HTTP请求报文,以实现用户的URL重定向功能,直接在AP侧根据WLAN用户关联的SSID标识实现个性化的Portal认证页面推送。在本地转发模式下,报文AP拦截后直接由AP本地重定向到Portal Server服务器;在集中转发模式下,AP需在STA的数据报文经CAPWAP隧道封装之前进行拦截并判断用户是否已经通过认证,即如果未经过认证,则将报文经CAPWAP隧道封装送至AC转发,AC不必再拦截和处理该报文,从而减小了由AC处理HTTP请求报文所带来对AC处理性能的影响。
本示例中,在AP侧可以方便地获取到WLAN用户的IP、MAC等信息,便于携带Portal服务器认证所需要的相关参数。
示例二
图4是本示例AP本地转发模式下,由AP拦截WLAN用户HTTP请求并实现Portal认证流程图,包括如下步骤:
1:STA用户探测关联AP的某个SSID成功。
2:STA通过DHCP获取到IP地址,该DHCP请求报文可由AP本地转发或经AC集中转发至DHCP服务器。
3:用户打开浏览器,访问某个网站,发起HTTP请求。
4:AP侧网络防火墙模块截获到用户的HTTP请求,确认用户是否通过认证。如果已认证通过,则直接转发该HTTP请求报文;
如果用户没有认证过,则判断访问的是否是Portal认证服务器的URL地址,是则放行,否则丢弃原有HTTP的请求,进一步获取到该用户关联的SSID信息,并根据AC下发的配置获取到该SSID绑定的URL地址及需要携带的相关认证参数(如在URL后需要***AC/AP名称、SSID名称、用户IP地址等),进一步构造HTTP协议的重定向报文(可以是30X报文,如通过HTTP协议状态码为302的重定向操作)给STA,STA用户直接根据新的URL地址访问下一跳,从而实现URL重定向功能。
在集中转发模式下,该步骤中AP需在STA的数据报文经CAPWAP隧道封装之前进行拦截并判断用户是否已经通过认证。
5:STA根据该SSID绑定的Portal URL地址信息,向指定Portal服务器URL地址发起认证请求;
6:Portal服务器向WLAN用户终端推送定制的个性化的WEB认证页面;
7:用户在认证页面上填入帐号、密码等信息,提交到Portal服务器。
8:Portal服务器接收到用户信息,向Radius服务器发出用户信息查询请求。
9:Radius验证用户密码、查询用户信息,并向Portal返回查询结果。
10:如查询成功,Portal服务器按照CHAP流程向AC请求Challenge;如果查询失败,Portal直接返回提示信息给用户,流程至此结束。
11:AC返回Challenge,包括Challenge ID和Challenge。
12:Portal服务器将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password和帐号一起提交到AC,发起认证。
13:AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到RADIUS认证服务器,由RADIUS认证服务器进行认证。
14:RADIUS服务器根据用户信息判断用户是否合法。如果认证成功,RADIUS向AC返回认证成功报文。如果认证失败,RADIUS向AC返回认证失败报文。
15:AC返回认证结果给Portal服务器。
其中,7至15步是Portal服务器和AC及Radius的交互完成认证的过程,该过程可以采用现有流程。
16:在Radius服务器确认该STA用户认证成功后,AC上的Portal认证管理模块进一步通过CAPWAP将STA用户访问控制相关的ACL规则下发给相关的AP,AP侧CAPWAP模块收到该ACL规则后,可通知网络防火墙模块配置针对该STA用户的IPTABLE规则等,以放开该用户上网的限制。
17:Portal服务器根据认证结果,推送认证结果页面。如果成功,推送定制的个性化页面;如果失败,页面提示用户失败原因。
18:Portal服务器回应AC收到认证结果报文。如果认证成功,AC后续会发起计费开启请求报文给Radius服务器,计费流程在此不再详述;如果认证失败,则流程到此结束。
WLAN用户的下线流程一般包括用户主动下线和异常下线两类情况。主动下线指当WLAN用户需要下线时,点击认证结束页面上的下线机制,主动向Portal服务器发起下线请求;异常下线包括AC设备检测到用户异常下线、Portal服务器侦测到用户下线、AC强制用户下线等。在AC获知WLAN用户下线后,需要通知AP删除该WLAN用户的相关ACL规则。
示例三
图9是本示例云网管***下发Portal认证相关配置流程图,主要步骤如下:
S501:AC云网管***针对不同AC虚拟化对应的Portal/Radius认证服务器,并根据用户需求针对某AC下指定AP的各SSID定制对应的个性化认证页面内容,然后将该个性化定制页面的统一资源定位标识符URL地址和该AP的SSID进行绑定。
一般WLAN用户关联的SSID对应于某个WLAN服务集,AP上一般可支持多个SSID,基于SSID的业务接入控制、用户认证方式、本地转发或集中转发方式等是WLAN应用中基本的业务需求。
S502:当开通AP时,云网管***将上述AP各SSID绑定的URL地址信息及需要在URL中***的用户认证参数内容(如AC和AP名称、SSID名称、用户IP地址等)下发给AC。
S503:AC接收到上述配置后,通过云平台接口管理模块将相关配置信息分发给具体业务模块,如将待开通AP各个SSID绑定的Portal服务器URL地址信息配置给Portal认证管理模块。在AP发现接入时,AC通过CAPWAP协议将AP基本配置和各SSID无线射频参数通用配置及各SSID绑定的URL地址信息等动态下发给相关的AP。对于AP本地转发模式下,AC同时需要给AP下发用户网关下一跳地址的路由信息。
S504:AP接收到上述配置后,由CAPWAP模块解码后调用相关配置接口将AP各SSID绑定的Portal服务器URL地址信息配置给AP的网络防火墙URL重定向模块。
S505:AP侧的网络防火墙URL重定向模块拦截用户的HTTP请求,根据用户关联的SSID信息获取到该SSID绑定的强制Portal URL地址及需要携带的相关认证参数,进一步构造HTTP协议的30X报文给STA,STA用户直接根据新的URL地址访问下一跳,从而实现个性化的Portal认证页面推送功能。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种WLAN用户接入认证的方法,其特征在于,包括:
在包括接入点AP和接入控制器AC的网络架构中的所述AP拦截WLAN用户通过站点STA发送的超文本传输协议HTTP请求;
在包括所述AP和所述AC的网络架构中的所述AP在根据设置在AP侧网络防火墙的包过滤规则中的所述WLAN用户的接入认证信息,确定所述WLAN用户未经过接入认证时,向所述STA发送携带接入认证服务器上认证页面的统一资源定位标识符URL地址的重定向报文;
在包括所述AP和所述AC的网络架构中的所述AP向所述STA发送携带接入认证服务器上认证页面的URL地址的重定向报文之后,接收所述AC在所述WLAN用户通过接入认证后下发的访问控制规则,更新所述包过滤规则中所述WLAN用户的接入认证信息,以指示所述WLAN用户已经过接入认证;
所述AP更新所述包过滤规则中所述WLAN用户的接入认证信息后,所述方法还包括:
所述AP接收到所述AC发送的所述WLAN用户下线的通知或收到所述STA发送的去关联消息后,删除所述包过滤规则中所述WLAN用户的信息,所述WLAN用户的信息包括所述WLAN用户的接入认证信息。
2.如权利要求1所述的方法,其特征在于:
所述AP通过以下方式得到所述重定向报文中携带的URL地址:所述AP根据所述HTTP请求中携带的服务集标识SSID查找绑定关系信息,得到与所述SSID绑定的URL地址,作为所述重定向报文中携带的URL地址;其中,所述绑定关系信息是根据AC下发的SSID与接入认证服务器上认证页面的URL地址之间的绑定关系信息。
3.如权利要求2所述的方法,其特征在于:
所述绑定关系信息中,与每一个SSID绑定的URL地址,是为该SSID所标识网络的WLAN用户定制的个性化认证页面的URL地址。
4.如权利要求1所述的方法,其特征在于:
所述AP拦截所述HTTP请求之前,所述方法还包括:所述AP接收所述AC下发的需要在URL中***的用户认证参数;
所述AP向所述STA发送的重定向报文中还携带所述用户认证参数。
5.如权利要求1所述的方法,其特征在于:
所述AP采用本地转发模式进行数据报文的转发;或者
所述AP采用集中转发模式进行数据报文的转发,所述AP拦截所述HTTP请求,包括:所述AP对所述HTTP请求进行接入点控制和供应协议CAPWAP隧道封装之前,拦截所述HTTP请求。
6.如权利要求1-5中任一所述的方法,其特征在于:
所述AP拦截所述HTTP请求,包括:所述AP通过AP侧网络防火墙拦截所述HTTP请求。
7.一种接入点AP,其特征在于,所述AP包括:
拦截模块,用于在包括所述AP和接入控制器AC的网络架构中,拦截WLAN用户通过站点STA发送的超文本传输协议HTTP请求;
重定向模块,用于在包括所述AP和所述AC的网络架构中在根据设置在AP侧网络防火墙的包过滤规则中的所述WLAN用户的接入认证信息,确定所述WLAN用户未经过接入认证时,向所述STA发送携带接入认证服务器上认证页面的统一资源定位标识符URL地址的重定向报文;
更新模块,用于在包括所述AP和所述AC的网络架构中,向所述STA发送携带接入认证服务器上认证页面的URL地址的重定向报文之后,接收所述AC在所述WLAN用户通过接入认证后下发的访问控制规则,更新所述包过滤规则中所述WLAN用户的接入认证信息,以指示所述WLAN用户已经过接入认证;
所述更新模块还用于接收到所述AC发送的所述WLAN用户下线的通知或收到所述STA发送的去关联消息后,删除所述包过滤规则中所述WLAN用户的信息,所述WLAN用户的信息包括所述WLAN用户的接入认证信息。
8.如权利要求7所述的接入点AP,其特征在于:
所述重定向模块通过以下方式得到所述重定向报文中携带的URL地址:根据所述HTTP请求中携带的SSID查找绑定关系信息,作为所述重定向报文中携带的URL地址;其中,所述绑定关系信息是根据AC下发的SSID与接入认证服务器上认证页面的URL地址之间的绑定关系信息。
9.如权利要求8所述的接入点AP,其特征在于:
所述绑定关系信息中,与每一个SSID绑定的URL地址,是为该SSID所标识网络的WLAN用户定制的个性化认证页面的URL地址。
10.如权利要求7所述的接入点AP,其特征在于:
所述AP还包括:接收模块,用于接收所述AC下发的需要在URL中***的用户认证参数;
所述重定向模块向所述STA发送的重定向报文中还携带所述用户认证参数。
11.如权利要求7所述的接入点AP,其特征在于:
所述AP还包括转发模块;
所述转发模块采用本地转发模式进行数据报文的转发;或者
所述转发模块采用集中转发模式进行数据报文的转发;所述拦截模块拦截所述HTTP请求,包括:对所述HTTP请求进行接入点控制和供应协议CAPWAP隧道封装之前,拦截所述HTTP请求。
12.如权利要求7-11中任一所述的接入点AP,其特征在于:
所述拦截模块使用AP侧网络防火墙实现。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610437725.6A CN107517189B (zh) | 2016-06-17 | 2016-06-17 | 一种wlan用户接入认证及配置信息下发的方法、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610437725.6A CN107517189B (zh) | 2016-06-17 | 2016-06-17 | 一种wlan用户接入认证及配置信息下发的方法、设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107517189A CN107517189A (zh) | 2017-12-26 |
| CN107517189B true CN107517189B (zh) | 2022-03-29 |
Family
ID=60720182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610437725.6A Active CN107517189B (zh) | 2016-06-17 | 2016-06-17 | 一种wlan用户接入认证及配置信息下发的方法、设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107517189B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108601022B (zh) * | 2018-03-30 | 2021-05-14 | 新华三技术有限公司 | 一种门户认证方法及装置 |
| CN110839050B (zh) * | 2018-08-16 | 2023-01-17 | 中国电信股份有限公司 | 用于检测用户下线的方法、***和无线接入点 |
| CN108989348A (zh) * | 2018-08-31 | 2018-12-11 | 福建星网智慧科技股份有限公司 | 基于网关的wifidog的优化方法 |
| CN109558172B (zh) * | 2018-11-13 | 2021-11-30 | Oppo(重庆)智能科技有限公司 | 机台电脑及其参数管理方法、服务器及其参数管理方法 |
| CN111225376A (zh) * | 2018-11-26 | 2020-06-02 | 中国电信股份有限公司 | 认证方法、***、无线接入点ap和计算机可读存储介质 |
| CN110022538B (zh) * | 2019-05-28 | 2020-12-25 | 新华三技术有限公司 | 一种识别流量类型的方法及装置 |
| CN111314286B (zh) * | 2019-12-20 | 2022-11-01 | 杭州迪普科技股份有限公司 | 安全访问控制策略的配置方法及装置 |
| CN111107106A (zh) * | 2019-12-31 | 2020-05-05 | 奇安信科技集团股份有限公司 | 认证方法、认证***、防火墙设备和存储介质 |
| CN111654535A (zh) * | 2020-05-26 | 2020-09-11 | 迈普通信技术股份有限公司 | 一种访问Portal服务器的方法及接入设备 |
| CN113079518A (zh) * | 2021-03-29 | 2021-07-06 | 新华三技术有限公司 | 一种报文转发方法、装置及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1842000A (zh) * | 2005-03-29 | 2006-10-04 | 华为技术有限公司 | 实现无线局域网接入认证的方法 |
| CN101741888A (zh) * | 2008-11-11 | 2010-06-16 | ***通信集团上海有限公司 | 推送认证页面的方法、***及装置 |
| CN104821940A (zh) * | 2015-04-16 | 2015-08-05 | 京信通信技术(广州)有限公司 | 一种发送portal重定向地址的方法及设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100596085C (zh) * | 2007-11-23 | 2010-03-24 | 杭州华三通信技术有限公司 | 一种ap的注册方法及设备 |
| KR102143441B1 (ko) * | 2013-11-15 | 2020-08-11 | 삼성전자주식회사 | 전자장치 및 전자장치의 인증정보 업데이트 방법 |
| CN104378382A (zh) * | 2014-11-28 | 2015-02-25 | 上海斐讯数据通信技术有限公司 | 一种多商户无线认证***及其认证方法 |
| CN104780168A (zh) * | 2015-03-30 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
| CN105049457A (zh) * | 2015-09-06 | 2015-11-11 | 武汉虹信通信技术有限责任公司 | 一种基于互联网和wifi模式下的云平台分布式***及方法 |
-
2016
- 2016-06-17 CN CN201610437725.6A patent/CN107517189B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1842000A (zh) * | 2005-03-29 | 2006-10-04 | 华为技术有限公司 | 实现无线局域网接入认证的方法 |
| CN101741888A (zh) * | 2008-11-11 | 2010-06-16 | ***通信集团上海有限公司 | 推送认证页面的方法、***及装置 |
| CN104821940A (zh) * | 2015-04-16 | 2015-08-05 | 京信通信技术(广州)有限公司 | 一种发送portal重定向地址的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107517189A (zh) | 2017-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107517189B (zh) | 一种wlan用户接入认证及配置信息下发的方法、设备 | |
| CN109842906B (zh) | 一种通信的方法、装置及*** | |
| US9654970B2 (en) | Method and device for web redirect authentication in WiFi roaming based on AC and AP interworking | |
| US11451510B2 (en) | Method and apparatus for processing service request | |
| US8179840B2 (en) | Method for extending mobile IP and AAA to enable integrated support for local access and roaming access connectivity | |
| US8924459B2 (en) | Support for WISPr attributes in a TAL/CAR PWLAN environment | |
| RU2583723C2 (ru) | Способ и устройство для управления передачей сервиса | |
| US10715999B2 (en) | Selective key caching for fast roaming of wireless stations in communication networks | |
| CN109981316A (zh) | 应用服务器的切换方法及会话管理网元、终端设备 | |
| US8621572B2 (en) | Method, apparatus and system for updating authentication, authorization and accounting session | |
| EP4210297A1 (en) | Edge application discovery method and apparatus, and edge application service support method and apparatus | |
| CN110830538B (zh) | 一种消息传输方法、装置及存储介质 | |
| JP2005209194A (ja) | ユーザプロファイルサービス | |
| CN113572835B (zh) | 一种数据处理方法、网元设备以及可读存储介质 | |
| CN104780168A (zh) | 一种Portal认证的方法和设备 | |
| US20200367155A1 (en) | Application based routing of data packets in multi-access communication networks | |
| EP4246936A1 (en) | Data processing method, function device and readable storage medium | |
| KR20210144490A (ko) | 무선 통신 시스템에서 단말로 지역 데이터 네트워크 정보를 제공하기 위한 방법 및 장치 | |
| US9807819B1 (en) | Cross-technology session continuity | |
| JP6138136B2 (ja) | ワイヤレス・セルラ・ネットワークを通じてサービス・プロバイダからユーザにオンライン・サービスを提供する方法、システム、コンピュータ・プログラム、および、オンライン・プロバイダが発信するソフトウェア・イメージがセルラ・ネットワークのエッジ・ネットワークに動的に存在できるようにする方法 | |
| CN105493540A (zh) | 一种无线局域网用户侧设备及信息处理方法 | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| KR102273390B1 (ko) | 네트워크 기능 통합방법 및 장치 | |
| JP2007028572A (ja) | 無線構内通信網(wlan)付加価値サービスシステム及び無線構内通信網(wlan)を介して付加価値サービスを提供する方法 | |
| CN104735749A (zh) | 一种接入网络的方法及无线路由器、门户平台服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |