CN107819728B - 网络认证方法、相关装置 - Google Patents
网络认证方法、相关装置 Download PDFInfo
- Publication number
- CN107819728B CN107819728B CN201610820746.6A CN201610820746A CN107819728B CN 107819728 B CN107819728 B CN 107819728B CN 201610820746 A CN201610820746 A CN 201610820746A CN 107819728 B CN107819728 B CN 107819728B
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- access
- server
- access controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在本发明实施例中,认证服务器接收来自于Portal服务器发送的认证请求消息,并根据认证请求消息中携带的认证信息对终端进行认证,在认证通过后,向接入控制器发送认证结果,进而接入控制器根据认证结果将终端接入网络。与现有技术相比,认证服务器直接接收Portal服务器发送的认证信息,即认证信息不需要从接入控制器进行中转,避免了认证信息需要由Portal服务器发送到接入控制器所带来的Portal协议的适配问题,不需要Portal服务器针对接入控制器进行适配,提高了网络认证的效率,降低了Portal服务器的开发和维护成本。
Description
技术领域
本发明涉及通信技术领域,具体而言涉及一种网络认证方法、相关装置及***。
背景技术
随着智能终端的普及,用户可以通过具有无线保真(WIFI)功能的智能终端接入网络运营商提供的无线局域网(wireless local area network,WLAN)中。
在终端接入网络的过程中,网络侧设备需要对终端进行认证,认证通过后才会让终端接入网络。现有的网络认证方法中,通常基于用户名和密码来对终端进行认证。
用户通过终端访问运营商提供的门户(Portal)网页,输入终端用户名和密码并提交,Portal网页的后台服务器将接收到的终端用户名和密码发送给接入控制器(accesscontrol,AC),接入控制器不对该终端用户名和密码进行认证,而是将其发送到认证服务器,例如认证授权计费(Authentication,Authorization and Accounting,AAA)服务器,进行认证,认证服务器在认证通过后,通过AC向Portal服务器返回认证成功的结果,Portal服务器在portal页面上向用户展示该结果,提示用户认证成功。
但是,现有技术提供的网络认证方法需要Portal服务器通过Portal协议将终端用户名和密码发送给AC,并且AC将认证服务器的认证结果通过Portal协议发送给Portal服务器。但由于Portal协议属于私有协议,且运营商网络中存在大量的不同厂商提供的AC,导致Portal服务器需要对不同厂商的AC进行适配,网络认证效率较低,且Portal服务器开发维护成本较高。
发明内容
本发明实施例提供了一种不需要门户服务器对不同厂商的接入控制器AC进行适配的网络认证方法,相关装置和***。
在一方面,本发明实施例提供一种网络认证方法,应用于认证服务器,其包括如下的步骤:
接收门户服务器发送的认证请求消息,所述认证请求消息中携带终端的标识、认证信息以及接入控制器的地址信息;
认证服务器根据所述认证信息对所述终端进行认证;
在认证通过时,认证服务器向所述地址信息对应的接入控制器发送认证结果,所述认证结果中携带通过认证的所述终端的标识。
在本发明实施例中,认证服务器接收来自于门户服务器发送的认证请求消息,并根据认证请求消息中携带的认证信息对终端进行认证,在认证通过后,向接入控制器发送认证结果,进而接入控制器根据认证结果将终端接入网络。与现有技术相比,认证服务器直接接收门户服务器发送的认证信息,即认证信息不需要从接入控制器进行中转,避免了认证信息需要由门户服务器发送到接入控制器所带来的Portal协议的适配问题,即不需要门户服务器针对接入控制器进行适配,提高了网络认证的效率,降低了门户服务器的开发和维护成本。
在一个可能的方案中,认证服务器在接收门户服务器发送的认证请求消息之前还包括:
接收所述接入控制器发送的接入请求消息,所述接入请求消息中携带所述终端默认的认证信息;
获取所述默认的认证信息对应的控制策略以及重定向地址,向所述接入控制器发送接入响应消息,所述接入响应消息中携带所述控制策略以及重定向地址,从而接入控制器根据该控制策略对终端进行控制,并根据重定向地址对终端的访问请求进行重定向。
在一个可能的方案中,认证服务器发送是的认证结果中携带更新的控制策略、终端标识,进而接入控制器根据更新的控制策略对终端访问internet进行控制。
在一个可能的方案中,上述终端的认证信息包括终端用户名和密码,所述认证服务器根据认证信息对终端进行认证具体包括以下步骤:
认证服务器验证所述认证信息中的终端用户名和密码是否和本地保存的用户名、密码一致;
若所述认证信息中的终端用户名和密码均和本地保存的用户名、密码一致,则对所述终端的认证通过,若终端用户名或密码和本地保存的用户名、密码不一致,则认证不通过,即不允许终端接入网络。
第二方面,本发明实施例还提供一种网络认证方法,应用于接入控制器,其包括如下步骤:
接收终端发送的网页访问请求,向所述终端返回所述接入控制器的地址信息;
接入控制器接收认证服务器根据所述接入控制器的地址信息发送的认证结果,所述认证结果中携带通过认证的所述终端的标识;
接入控制器根据所述认证结果将所述终端接入网络。
在本发明实施例提供的网络认证方法中,接入控制器在接收到终端的网页访问请求后,向终端返回接入控制器的地址信息,进而后续认证服务器在根据认证信息对用户进行认证时,直接向该地址信息对应的接入控制器发送认证结果,接入控制器根据该认证结果将终端接入网络。与现有技术相比,接入控制器直接接收认证服务器发送的认证结果,不需要接收门户服务器发送的认证信息,进而不需要和门户服务器进行适配,避免了接入控制器和门户服务器对门户协议的适配问题,不需要接入控制器针对Portal协议进行适配,提高了网络认证的效率,降低了门户服务器、接入控制器的开发和维护成本。
在一个可能的方案中,接入控制器接收在接收终端发送的网页访问请求之前,还包括:
向所述认证服务器发送接入请求消息,所述接入请求消息中携带所述终端默认的认证信息,随后接入控制器接收所述认证服务器发送的接入响应消息,所述接入响应消息中携带默认的控制策略,从而根据默认的控制终端。其中,默认的控制策略即为默认的认证信息对应的控制策略。
在一个可能的方案中,接入控制器在接收认证服务器发送的接入响应消息之后,还可以与所述认证服务器之间建立计费会话,所述会话的用户名为默认用户,该计费会话可以在认证服务器和接入控制器之间传递计费数据。
在一个可能的方案中,接入控制器接收到的认证结果中还携带终端用户名,此时接入控制器还在接收到认证结果后,修改所述计费会话的用户名为所述终端用户名,从而使用终端用户名对用户访问internet进行计费。
在一个可能的方案中,接入控制器接收到的接入响应消息中携带重定向地址,进而接入控制器在接收到所述终端发送的网页访问请求后,根据所述重定向地址对所述网页访问请求进行重定向,进而终端向重定向地址对应的门户服务器进行网页访问。
第三方面,本发明实施例提供一种认证服务器,具体包括以下的功能模块:
认证接收模块,用于接收门户服务器发送的认证请求消息,所述认证请求消息中携带终端的标识、认证信息以及接入控制器的地址信息;
认证模块,用于根据所述认证信息对所述终端进行认证;
认证通知模块,用于在认证通过时,向所述地址信息对应的接入控制器发送认证结果,所述认证结果中携带通过认证的所述终端的标识。其中,该认证结果中还可以携带更新的控制策略、终端的标识等信息。
在一个可能的方案中,所述的认证服务器还包括:
所述认证接收模块还用于在接收门户服务器发送的认证请求消息之前,接收接入控制器发送的接入请求消息,所述接入请求消息中携带所述终端默认的认证信息;
接入处理模块,用于获取所述默认的认证信息对应的控制策略以及重定向地址,向所述接入控制器发送接入响应消息,所述接入响应消息中携带所述控制策略以及重定向地址。
在一个可能的方案中,认证服务器还在发送接入响应消息后,与接入控制器之间建立计费会话,通过该计费会话与接入控制器之间传递计费数据。
其中,第三方面提供的认证服务器是和第一方面提供的网络认证方法对应的,其具体执行网络认证方法的过程和有益效果可以参考上述第一方面提供的网络认证方法。
第四方面,本发明实施例提供一种接入控制器,其包括:
响应接收模块,用于接收终端发送的网页访问请求,向所述终端返回所述接入控制器的地址信息;
所述响应接收模块还用于接收认证服务器根据所述接入控制器的地址信息发送的认证结果,所述认证结果中携带通过认证的所述终端的标识;
终端接入模块,用于根据所述认证结果将所述终端接入网络。
在一个可能的方案中,所述的接入控制器还包括:
请求发送模块,用于在所述接收终端发送的网页访问请求之前向所述认证服务器发送接入请求消息,所述接入请求消息中携带所述终端默认的认证信息;
所述响应接收模块还用于接收所述认证服务器发送的接入响应消息,所述接入响应消息中携带默认的控制策略。
在一个可能的方案中,所述的接入控制器还包括:
会话维护模块,用于在接收认证服务器发送的接入响应消息之后与所述认证服务器之间建立计费会话,所述会话的用户名为默认用户。
在一个可能的方案中,所述认证结果中还携带终端用户名,所述的接入控制器中的会话维护模块还用于修改所述计费会话的用户名为所述终端用户名。
在一个可能的方案中,所述接入响应消息中还携带重定向地址,所述接入控制器还包括重定向模块,用于在接收到所述终端发送的网页访问请求后,根据所述重定向地址对所述网页访问请求进行重定向。
其中,第四方面提供的接入控制器是和第二方面提供的网络认证方法对应的,其具体执行网络认证方法的过程和有益效果可以参考上述第二方面提供的网络认证方法。
第五方面,本发明实施例提供一种网络接入***,其包括如上第三方面所述的认证服务器以及第四方面所述的接入控制器。
在以上所有方面提到的实施例中,认证结果具体可以通过修改授权(Change-Of-Authorization,COA)消息来发送给接入控制器。此外,认证服务器具体可以为AAA服务器。终端接入的网络具体可以为无线局域网。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1是本发明实施例一提供的网络认证***的组网示意图;
图2是本发明实施例二提供的网络认证方法的流程图;
图3是本发明实施例三提供的网络认证方法的流程图;
图4是本发明实施例四提供的网络认证方法的流程图;
图5是本发明实施例五提供的网络认证方法的流程图;
图6是本发明实施例六提供的认证服务器和接入控制器的硬件结构图;
图7是本发明实施例七提供的认证服务器的结构示意图;
图8是本发明实施例八提供的接入控制器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性的劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种网络认证方法、相关装置及***,参见图1,图1是本发明实施例一提供的网络认证***的组网示意图。
如图1所示,本发明涉及的网络认证***包括认证服务器、接入控制器AC、门户服务器以及接入点(Access Point,AP)。上述设备均属于运营商网络中的设备。
其中,AP是WLAN的物理接入点,用于向外提供WIFI网络信号。AC是控制终端接入网络的设备。认证服务器具体为AAA服务器,主要用于对用户进行认证,鉴权和计费等。本实施例中的用户设备(User Equipment,UE)包括手机、个人电脑(Personal Computer,PC)、平板电脑等设备。用户设备也可以称为终端。
终端通过AP提供的WIFI网络信号进行网络接入,终端在接入的过程中,访问Portal服务器提供的Portal网页,并输入终端的认证信息,用户通过该Portal网页提交认证信息到Portal服务器。Portal服务器向认证服务器发送认证请求消息,所述认证请求消息中携带终端的标识、认证信息以及接入控制器的地址信息。
如图2所示,本发明实施例二提供的网络认证方法具体包括如下步骤:
步骤101、认证服务器接收Portal服务器发送的认证请求消息,所述认证请求消息中携带终端的标识、认证信息以及接入控制器的地址信息。
在本实施例中,AC给终端分配了IP地址,所述终端的标识可以为终端的IP地址或物理地址。认证信息可以为终端用户名,即使用该终端的用户的用户名。为增强安全性,认证信息中还可以包括密码。
认证服务器接收Portal服务器发送的认证请求消息,该请求消息可以通过Portal服务器和认证服务器之间的简单对象访问协议(Simple Object Access Protocol,SOAP)进行传输。
步骤102、认证服务器根据所述认证信息对所述终端进行认证。
具体的,认证服务器可以验证认证信息中的终端用户名、密码是否和之前保存的用户名、密码相匹配,若是,则认证通过,否则认证失败。其中,用户输入的密码可以来自于运营商网络发送的短信或用户在运营商网络中预留的密码。若用户输入的密码来自于运营商网络下发的短信,则认证服务器还可以认证密码的有效期,即验证从下发密码的时刻到用户输入密码的时刻之间的时长是否超过有效期,例如5分钟,若超时,则同样认证失败,若不超时,则进一步验证该认证信息中的用户名、密码是否和之前保存的用户名、密码相匹配。
此外,认证服务器也可以简单验证终端用户名,即认证信息中的用户名和本地保存的用户名一致,即为认证通过,否则认证失败。
步骤103、在认证通过时,认证服务器向所述地址信息对应的接入控制器发送认证结果,所述认证结果中携带通过认证的所述终端的标识。
具体的,认证服务器可以通过半径(RADIUS)协议向对应的AC发送认证结果。在本实施例中,认证结果为认证通过,AC根据该认证结果将该终端接入网络,用户即可使用该终端访问Internet。
在本发明实施例中,认证服务器接收来自于Portal服务器发送的认证请求消息,并根据认证请求消息中携带的认证信息对终端进行认证,在认证通过后,向接入控制器发送认证结果,进而接入控制器根据认证结果将终端接入网络。与现有技术相比,认证服务器直接接收Portal服务器发送的认证信息,即认证信息不需要从接入控制器进行中转,避免了认证信息需要由Portal服务器发送到接入控制器所带来的Portal协议的适配问题,不需要Portal服务器针对接入控制器进行适配,提高了网络认证的效率,降低了Portal服务器的开发和维护成本。
参见图3,图3是本发明实施例三提供的网络认证方法的流程图。
在本实施例中,终端在检测到运营商提供的无线网络后,开始接入该无线网络,接入控制器在接收到终端的网络附着请求后,将向认证服务器发送接入请求消息,该接入请求消息中携带终端默认的认证信息,本发明实施例提供的网络认证方法包括如下步骤:
步骤201、认证服务器接收接入控制器发送的接入请求消息,接入请求消息中携带终端默认的认证信息。
其中,接入请求消息中还可以携带终端的标识,例如终端的物理地址。终端默认的认证信息可以为默认用户名,例如000,多个不同的终端均可以使用该默认用户名。默认的认证信息中还可以包括默认的密码。
步骤202、认证服务器获取重定向地址以及默认的认证信息对应的控制策略,向所述接入控制器发送接入响应消息,所述接入响应消息中携带所述控制策略以及重定向地址。
其中,认证服务器在接收到接入控制器发送的终端默认的认证信息时,根据该认证信息识别该终端使用默认用户名进行认证,则获取该默认的用户名对应的控制策略,并向该终端返回接入响应消息,接入响应消息中携带所述控制策略以及重定向地址,该重定向地址为Portal网站的地址。
接入控制器接收认证服务器发送的接入响应消息,该接入响应消息中携带默认的控制策略以及重定向地址,以便于在后续接收到终端的网页访问请求后,根据重定向地址对网页访问请求进行重定向,即重定向到Portal服务器。
步骤203、认证服务器与所述接入控制器之间建立计费会话,所述会话的用户名为默认用户。
认证服务器还可以在与接入控制器进行交互后,在本地建立与接入控制器之间的计费会话,传递计费相关的数据。其中,由于终端此时并未上报终端用户名,当前该计费会话的用户名为默认用户。
AC也可以在接收到接入响应消息后,在本地建立与认证服务器之间的计费会话,传递计费相关的数据。其中,由于终端此时并未上报终端用户名(真实的用户名),当前该计费会话的用户名为默认用户。
终端发起网页访问请求到接入控制器,该网页访问请求被接入控制器重定向到Portal服务器,Portal服务器向终端返回登录页面,用户在页面输入终端用户名和密码并提交,Portal服务器接收到终端用户名和密码等认证信息,Portal服务器随后通过认证请求消息将这些认证信息发送到认证服务器。
步骤204、认证服务器接收门户服务器发送的认证请求消息,所述认证请求消息中携带终端的标识、认证信息以及接入控制器的地址信息。
步骤205、认证服务器根据认证信息对所述终端进行认证。
步骤206、认证服务器在认证通过时,向所述地址信息对应的接入控制器发送认证结果,所述认证结果中携带通过认证的所述终端的标识。
其中,步骤204-206的实现过程和上述实施例二中的步骤101-103相同,详情参见上述实施例的描述。
在本发明实施例中,认证服务器发送的认证结果中还可以包括更新的控制策略。接入控制器在接收到认证结果后,还根据更新的控制策略来更新默认的控制策略。该更新的控制策略中可以包括带宽控制信息。
进一步的,认证结果中还可以携带认证信息中的终端用户名,接入控制器还修改所述计费会话的默认用户名为所述终端用户名,以便于后续针对该用户进行计费。
为更详细的理解本发明实施例,以下描述接入控制器在实现网络认证过程中的方法流程。如图所示,图4是本发明实施例四提供的网络认证方法的流程图。
在本实施例中,终端在检测到运营商提供的无线网络后,开始接入该无线网络,接入控制器将针对该终端分配IP地址,终端在接收到分配的IP地址后,将发起网页访问请求。本发明实施例提供的网络认证方法包括如下步骤:
步骤301、接入控制器接收终端发送的网页访问请求,向所述终端返回所述接入控制器的地址信息。
在本实施例中,接入控制器中可以预先配置Portal服务器的地址,进而在接收到终端的网页访问请求后,将该访问请求重定向到Portal服务器。接入控制器还向终端返回其本身的地址信息,便于后续终端在向Portal服务器发起登录请求时,携带上述接入控制器的地址信息。
此外,认证服务器还可以根据接入控制器的地址信息向接入控制器反馈终端的认证结果。
步骤302、接入控制器接收认证服务器根据所述接入控制器的地址信息发送的认证结果,所述认证结果中携带通过认证的所述终端的标识。
在本实施例中,认证服务器在根据终端的认证信息对终端进行认证,且认证通过后,通过RADIUS协议向接入控制器发送认证结果。该认证结果中携带通过认证的所述终端的标识。可选的,该认证结果中还携带终端的控制策略,例如带宽,最大在线时长等。
步骤303、接入控制器根据所述认证结果将所述终端接入网络。
接入控制器根据认证结果将终端接入网络,例如允许终端访问Internet,对终端访问Internet进行策略控制等。
在本发明实施例提供的网络认证方法中,接入控制器在接收到终端的网页访问请求后,向终端返回接入控制器的地址信息,进而后续认证服务器在根据认证信息对用户进行认证时,直接向该地址信息对应的接入控制器发送认证结果,接入控制器根据该认证结果将终端接入网络。与现有技术相比,接入控制器直接接收认证服务器发送的认证结果,不需要接收Portal服务器发送的认证信息,进而不需要和Portal服务器进行适配,避免了接入控制器和Portal服务器对Portal协议的适配问题,不需要接入控制器针对Portal协议进行适配,提高了网络认证的效率,降低了Portal服务器、接入控制器的开发和维护成本。
可选的,本发明实施例提供的网络认证方法中,接入控制器在接收终端发送的网页访问请求之前,还可以在接收到终端的网络附着请求时,向认证服务器发送接入请求消息,接入请求消息中携带所述终端默认的认证信息。此处发送默认的认证信息的原因在于终端当前还未通过网络的认证,因而提供默认的认证信息。认证服务器根据该默认的认证信息对终端进行认证后,接入控制器将接收认证服务器发送的接入响应消息,所述接入响应消息中携带默认的控制策略以及重定向地址,以便于接入控制器根据默认的控制策略对该终端进行控制。
此外,接入控制器还在接收到所述终端发送的网页访问请求后,根据所述重定向地址对所述网页访问请求进行重定向,即将该访问请求重定向到Portal服务器。
接入控制器在接收到认证服务器发送的接入响应消息之后,还可以与所述认证服务器之间建立计费会话,所述会话的用户名为默认用户。接入控制器可以将终端的标识,例如IP地址,与该会话进行关联,便于后续根据该终端的标识找到该会话。接入控制器在随后接到的认证结果中携带终端用户名时,则进一步修改计费会话的用户名为所述终端用户名,从而使用该终端用户名对该终端的上网过程进行计费控制。
参见图5,图5是本发明实施例五提供的网络认证方法的流程图。
在本实施例中,用户通过终端(例如智能设备)接入运营商提供的WLAN,智能设备在检测到WLAN的网络信号后,发起WLAN连接,则本发明实施例提供的网络认证方法包括如下流程:
步骤401、终端向AC发起DHCP发现请求。
其中,终端发送动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)发现请求用于向接入控制器请求IP地址。该请求中可以携带终端的物理地址。
步骤402、AC向AAA服务器发送接入请求消息,其中携带终端默认的认证信息。
具体的,AC需要向AAA服务器请求对终端的认证,因而需要向AAA服务器发送接入请求消息。其中携带的默认的认证信息包括默认用户名和默认密码。接入请求消息可以基于RADIUS协议来发送。
步骤403、AAA服务器向AC返回接入响应消息,其中携带默认的控制策略以及Portal服务器的地址。
其中,AAA服务器还可以在识别默认用户名后,获取本地保存的默认控制策略(默认用户名对应的控制策略)以及Portal服务器的地址,并通过接入响应消息向AC发送。具体的,Portal服务器的地址可以为Portal服务器的统一资源***(Uniform ResourceLocator,URL)。
步骤404、AC对该终端分配IP地址。
其中,AC在对终端分配IP地址userip后,通过DHCP响应向终端发送该IP地址。
步骤405、AC和AAA服务器之间建立计费会话。
其中,建立的计费会话用于在AC和AAA服务器之间传递计费相关的数据。该计费会话的用户名为默认用户名,且AAA服务器、AC均将该会话与终端的IP地址关联起来,便于后续根据终端的IP地址找到关联的会话。
步骤406、终端向AC发起网页访问请求。
用户打开终端上的浏览器,输入任意一个网页,发起超文本传输协议(Hyper TextTransfer Protocol,HTTP)请求到AC。
步骤407、AC对该访问请求进行重定向,并向终端发送自身的地址信息。
AC将终端的http请求重定向到Portal服务器的URL,并在该URL后添加AC自己的IP地址nasipaddr信息。
步骤408-409、终端根据重定向地址访问Portal服务器并提交终端用户名和密码。
其中,用户访问Portal服务器首页URL,页面上有用户名和密码的输入框,用户在Portal上输入终端用户名和密码信息,点击登陆按钮,提交终端用户名和密码。
步骤410、Portal服务器向AAA服务器发起认证请求消息。
其中,Portal服务器发起到AAA服务器的认证请求消息中携带终端用户名和密码,终端IP地址userip以及接入控制器的IP地址nasipaddr。
步骤411、AAA服务器根据终端用户名和密码对终端进行认证。
其中,AAA服务器根据Portal服务器发送的终端用户名、密码信息,和数据库中的信息比对进行认证。若Portal服务器发送的终端用户名、密码信息与数据库中保存的用户名、密码均相同,则认证通过,否则认证失败。在本实施例中,用户输入了正确的终端用户名和密码,则认证通过。
步骤412、AAA服务器向Portal服务器发送认证响应消息。
在本实施例中,认证通过则发送认证通过的认证响应消息给Portal服务器,Portal服务器向终端发送认证通过的通知消息,告知用户认证通过。
步骤413、AAA服务器向接入控制器发送认证结果。
在本实施例中,认证结果可以通过修改授权(Change-Of-Authorization,COA)消息向nasipaddr地址信息对应的AC发送。
其中,COA消息中还可以包含终端IP地址userip和终端用户名,以及更新的控制策略,例如带宽,最大在线时长,最大可使用流量等等。
具体的,COA消息中包含的参数如下:
属性号 | 属性名 | 属性类型 | 使用说明 |
44 | Acct-Session-ID | String | 会话标识 |
1 | User-Name | String | 可选属性 |
8 | Framed-IP-Address | Integer | 会话终端IP地址 |
31 | Calling-Station-Id | String | 会话终端物理地址 |
27 | Session-Timeout | Integer | 授权可用时长属性,可以更新 |
15 | Remanent-Volume | Integer | 授权可用流量属性,可以更新 |
16 | QoS | String | 授权可用带宽属性,可以更新 |
Acct-Session-ID用于标识该COA消息对应的会话,User-Name用于标识用户名,若User-Name中的用户名与该会话对应的用户名不同,则该会话对应的用户名被修改为User-Name中对应的用户名。Framed-IP-Address标识会话对应的终端的IP地址,Calling-Station-Id标识会话对应的终端的物理地址。终端的IP地址和物理地址均可以用来关联会话。
步骤414、AC根据AAA服务器发送的COA消息中的终端IP地址关联会话(步骤405中建立的计费会话),修改会话中的默认用户名为终端用户名,根据更新的控制策略来修改会话的控制策略。
AC在会话修改完毕后,发送送COA确认(Acknowledge,ACK)消息给AAA服务器。AAA服务器后续计费将使用真实用户名计费。
与现有技术相比,本发明实施例绕过了Portal服务器和AC之间的互联,扩展了AAA服务器和AC之间基于RADIUS协议的COA接口的功能,AAA服务器通过COA消息反向通知AC该终端的认证已经通过,并通知该AC真实用户名以及更新的控制策略,从而实现对该终端的策略控制,即完成了终端的网络认证。
参见图6,图6是本发明实施例六提供的认证服务器和接入控制器的硬件结构图。
其中,所述认证服务器以及接入控制器分别可以为图1所示的认证服务器和接入控制器。认证服务器和接入控制器采用了通用的计算机硬件,其包括处理器601、存储器602、总线603、输入设备604、输出设备605以及网络接口606。
具体的,存储器602可以包括以易失性和/或非易失性存储器形式的计算机存储媒体,如只读存储器和/或随机存取存储器。存储器602可以存储操作***、应用程序、其他程序模块、可执行代码和程序数据。
输入设备604可以用于向认证服务器和接入控制器输入命令和信息,输入设备604如键盘或指向设备,如鼠标、轨迹球、触摸板、麦克风、操纵杆、游戏垫、***天线、扫描仪或类似设备。这些输入设备可以通过总线603连接至处理器601。
输出设备605可以用于认证服务器和接入控制器输出信息,除了监视器之外,输出设备605还可以为其他***输出设各,如扬声器和/或打印设备,这些输出设备也可以通过总线603连接到处理器601。
认证服务器和接入控制器可以通过网络接口106连接到网络中,例如连接到局域网(Local Area Network,LAN)。在联网环境下,认证服务器和接入控制器中存储的计算机执行指令可以存储在远程存储设备中,而不限于在本地存储。
当认证服务器中的处理器601执行存储器602中存储的可执行代码或应用程序时,认证服务器可以执行以上实施例二、实施例三、五中的认证服务器一侧的方法步骤,例如执行步骤101-103、201-206、403、411等。具体执行过程参见上述实施例二和实施例三,在此不再赘述。
当接入控制器中的处理器601执行存储器602中存储的可执行代码或应用程序时,接入控制器可以执行以上实施例四、五中的接入控制器一侧的方法步骤,例如执行步骤301-303、402、404-405等。具体执行过程参见上述实施例四和实施例五,在此不再赘述。
参见图7,图7是本发明实施例七提供的认证服务器的结构示意图。
如图所示,本发明实施例提供的认证服务器包括:
认证接收模块710,用于接收门户服务器发送的认证请求消息,所述认证请求消息中携带终端的标识、认证信息以及接入控制器的地址信息;
认证模块720,用于根据所述认证信息对所述终端进行认证;
认证通知模块730,用于在认证通过时,向所述地址信息对应的接入控制器发送认证结果,所述认证结果中携带通过认证的所述终端的标识。
本发明实施例提供的认证服务器可以使用在前述方法实施例二、三和五中,其通过上述的认证接收模块710、认证模块720以及认证通知模块730之间的配合来完成实施例二、实施例三和实施例五中的认证服务器一侧的方法步骤。与现有技术中的认证服务器相比,本实施例提供的认证服务器在执行网络认证时,具有与前述方法实施例相同的有益效果。
在本实施例提供的认证服务器中,认证接收模块710还用于在接收门户服务器发送的认证请求消息之前,接收接入控制器发送的接入请求消息,所述接入请求消息中携带所述终端默认的认证信息。其中,默认的认证信息中携带默认的用户名。
认证服务器还包括接入处理模块740,用于获取所述默认的认证信息对应的控制策略以及重定向地址,并向所述接入控制器发送接入响应消息,所述接入响应消息中携带所述控制策略以及重定向地址,从而接入控制器对终端分配IP地址,并使用默认的控制策略对终端进行控制。
此外,认证服务器在认证通过后向上述地址信息对应的接入控制器发送的认证结果中携带更新的控制策略,从而接入控制器根据更新的控制策略对终端进行控制,便于终端访问internet。
在本实施例中,认证服务器是以功能单元的形式来呈现。这里的“单元”可以指特定应用集成电路(application-specific integrated circuit,ASIC),电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到认证服务器也可以采用图6所示的形式。认证接收模块710,认证模块720,认证通知模块730、接入处理模块740所实现的功能都可以通过图6中的处理器601和存储器602来实现。例如,认证接收模块710接收门户服务器发送的认证请求消息可以通过由处理器601来执行存储器602中存储的代码来实现。
参见图8,图8是本发明实施例八提供的接入控制器的结构示意图。
如图所示,本发明实施例提供的接入控制器主要包括:
响应接收模块810,用于接收终端发送的网页访问请求,向所述终端返回所述接入控制器的地址信息;
所述响应接收模块还用于接收认证服务器根据所述接入控制器的地址信息发送的认证结果,所述认证结果中携带通过认证的所述终端的标识;
终端接入模块820,用于根据所述认证结果将所述终端接入网络。
本发明实施例提供的认证接入控制器可以使用在前述方法实施例四和五中,其通过上述的响应接收模块810和终端接入模块820之间的配合来完成实施例四和实施例五中的接入控制器一侧的方法步骤。与现有技术中的接入控制器相比,本实施例提供的接入控制器在执行网络认证时,具有与前述方法实施例相同的有益效果。
进一步的,本发明实施例提供的接入控制器还可以包括:
请求发送模块830,用于在所述接收终端发送的网页访问请求之前向所述认证服务器发送接入请求消息,所述接入请求消息中携带所述终端默认的认证信息。
从而,上述响应接收模块810还用于接收所述认证服务器发送的接入响应消息,所述接入响应消息中携带默认的控制策略,从而根据默认的控制策略对终端进行策略控制。
可选的,上述所述接入响应消息中还携带重定向地址,进而接入控制器还可以包括:
重定向模块840,用于在接收到所述终端发送的网页访问请求后,根据所述重定向地址对所述网页访问请求进行重定向。其中,重定向地址也可以预先存储在AC中。
进一步参见图8,本发明实施例提供的接入控制器还包括:
会话维护模块850,用于在接收认证服务器发送的接入响应消息之后与所述认证服务器之间建立计费会话,所述会话的用户名为默认用户。
在本实施例中,若接入控制器接收到的认证结果中还携带终端用户名,则会话维护模块850还用于修改计费会话的用户名为所述终端用户名,以便于根据终端用户名对终端访问internet进行计费。
在本实施例中,接入控制器是以功能单元的形式来呈现。这里的“单元”可以指专用集成电路电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到接入控制器也可以采用图6所示的形式。响应接收模块810,终端接入模块820,请求发送模块830、重定向模块840、会话维护模块850所实现的功能都可以通过图6中的处理器601和存储器602来实现。例如,响应接收模块810接收终端发送的网页访问请求,向终端返回所述接入控制器的地址信息可以通过由处理器601来执行存储器602中存储的代码来实现。
本领域普通技术人员将会理解,本发明的各个方面、或各个方面的可能实现方式可以被具体实施为***、方法或者计算机程序产品。因此,本发明的各方面、或各个方面的可能实现方式可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件等等),或者组合软件和硬件方面的实施例的形式,在这里都统称为“电路”、“模块”或者“***”。此外,本发明的各方面、或各个方面的可能实现方式可以采用计算机程序产品的形式,计算机程序产品是指存储在计算机可读介质中的计算机可读程序代码。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (17)
1.一种网络认证方法,应用于认证服务器,其特征在于,包括:
接收门户服务器发送的认证请求消息,所述认证请求消息中携带终端的标识、认证信息以及接入控制器的地址信息;
根据所述认证信息对所述终端进行认证;
在认证通过时,向所述地址信息对应的接入控制器发送认证结果,所述认证结果中携带通过认证的所述终端的标识。
2.根据权利要求1所述的方法,其特征在于,在所述接收门户服务器发送的认证请求消息之前还包括:
接收所述接入控制器发送的接入请求消息,所述接入请求消息中携带所述终端默认的认证信息;
获取所述默认的认证信息对应的控制策略以及重定向地址,向所述接入控制器发送接入响应消息,所述接入响应消息中携带所述控制策略以及重定向地址。
3.根据权利要求2所述的方法,其特征在于,所述认证结果中携带更新的控制策略。
4.根据权利要求1或2所述的方法,其特征在于,所述终端的认证信息包括终端用户名和密码,所述根据认证信息对终端进行认证包括:
验证所述认证信息中的终端用户名和密码是否和本地保存的用户名、密码一致;
若所述认证信息中的终端用户名和密码均和本地保存的用户名、密码一致,则对所述终端的认证通过。
5.一种网络认证方法,应用于接入控制器,其特征在于,包括:
接收终端发送的网页访问请求,向所述终端返回所述接入控制器的地址信息;
接收认证服务器根据所述接入控制器的地址信息发送的认证结果,所述认证结果中携带通过认证的所述终端的标识;其中,所述认证结果是所述认证服务器根据门户服务器发送的认证请求消息得到的,所述认证请求消息中携带终端的标识、认证信息以及所述接入控制器的地址信息;
根据所述认证结果将所述终端接入网络。
6.根据权利要求5所述的方法,其特征在于,在所述接收终端发送的网页访问请求之前,还包括:
向所述认证服务器发送接入请求消息,所述接入请求消息中携带所述终端默认的认证信息;
接收所述认证服务器发送的接入响应消息,所述接入响应消息中携带默认的认证信息对应的控制策略。
7.根据权利要求6所述的方法,其特征在于,在所述接收认证服务器发送的接入响应消息之后,还包括:
与所述认证服务器之间建立计费会话,所述会话的用户名为默认用户。
8.根据权利要求7所述的方法,其特征在于,所述认证结果中还携带终端用户名,所述方法还包括,
修改所述计费会话的用户名为所述终端用户名。
9.根据权利要求6-8任一项所述的方法,其特征在于,所述接入响应消息中携带重定向地址,所述方法还包括,
在接收到所述终端发送的网页访问请求后,根据所述重定向地址对所述网页访问请求进行重定向。
10.一种认证服务器,其特征在于,包括:
认证接收模块,用于接收门户服务器发送的认证请求消息,所述认证请求消息中携带终端的标识、认证信息以及接入控制器的地址信息;
认证模块,用于根据所述认证信息对所述终端进行认证;
认证通知模块,用于在认证通过时,向所述地址信息对应的接入控制器发送认证结果,所述认证结果中携带通过认证的所述终端的标识。
11.根据权利要求10所述的认证服务器,其特征在于,还包括:
所述认证接收模块还用于在接收门户服务器发送的认证请求消息之前,接收接入控制器发送的接入请求消息,所述接入请求消息中携带所述终端默认的认证信息;
接入处理模块,用于获取所述默认的认证信息对应的控制策略以及重定向地址,向所述接入控制器发送接入响应消息,所述接入响应消息中携带所述控制策略以及重定向地址。
12.根据权利要求10所述的认证服务器,其特征在于,所述认证结果中携带更新的控制策略。
13.一种接入控制器,其特征在于,包括:
响应接收模块,用于接收终端发送的网页访问请求,向所述终端返回所述接入控制器的地址信息;
所述响应接收模块还用于接收认证服务器根据所述接入控制器的地址信息发送的认证结果,所述认证结果中携带通过认证的所述终端的标识;其中,所述认证结果是所述认证服务器根据门户服务器发送的认证请求消息得到的,所述认证请求消息中携带终端的标识、认证信息以及所述接入控制器的地址信息;
终端接入模块,用于根据所述认证结果将所述终端接入网络。
14.根据权利要求13所述的接入控制器,其特征在于,还包括:
请求发送模块,用于在所述接收终端发送的网页访问请求之前向所述认证服务器发送接入请求消息,所述接入请求消息中携带所述终端默认的认证信息;
所述响应接收模块还用于接收所述认证服务器发送的接入响应消息,所述接入响应消息中携带默认的控制策略。
15.根据权利要求14所述的接入控制器,其特征在于,还包括:
会话维护模块,用于在接收认证服务器发送的接入响应消息之后与所述认证服务器之间建立计费会话,所述会话的用户名为默认用户。
16.根据权利要求15所述的接入控制器,其特征在于,所述认证结果中还携带终端用户名,所述会话维护模块还用于修改所述计费会话的用户名为所述终端用户名。
17.根据权利要求14-16任一项所述的接入控制器,其特征在于,所述接入响应消息中还携带重定向地址,所述接入控制器还包括,
重定向模块,用于在接收到所述终端发送的网页访问请求后,根据所述重定向地址对所述网页访问请求进行重定向。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610820746.6A CN107819728B (zh) | 2016-09-12 | 2016-09-12 | 网络认证方法、相关装置 |
PCT/CN2017/090606 WO2018045798A1 (zh) | 2016-09-12 | 2017-06-28 | 网络认证方法、相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610820746.6A CN107819728B (zh) | 2016-09-12 | 2016-09-12 | 网络认证方法、相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107819728A CN107819728A (zh) | 2018-03-20 |
CN107819728B true CN107819728B (zh) | 2021-02-12 |
Family
ID=61561675
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610820746.6A Active CN107819728B (zh) | 2016-09-12 | 2016-09-12 | 网络认证方法、相关装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107819728B (zh) |
WO (1) | WO2018045798A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110505188B (zh) * | 2018-05-18 | 2021-10-22 | 华为技术有限公司 | 一种终端认证方法、相关设备和认证*** |
CN110808976B (zh) * | 2019-10-31 | 2022-06-07 | 厦门亿联网络技术股份有限公司 | Wifi-bt信息认证方法、***、可读存储介质及ip话机 |
CN112929188B (zh) * | 2019-12-05 | 2022-06-14 | 中国电信股份有限公司 | 设备连接方法、***、装置及计算机可读存储介质 |
CN114268444A (zh) * | 2020-09-14 | 2022-04-01 | 中兴通讯股份有限公司 | 宽带接入服务器的访问方法、服务器及存储介质 |
CN114071650B (zh) * | 2021-09-26 | 2024-07-19 | 深圳市酷开网络科技股份有限公司 | 跨端配网方法、装置、计算机设备及存储介质 |
CN115022071A (zh) * | 2022-06-22 | 2022-09-06 | 湖北天融信网络安全技术有限公司 | 一种认证服务器的网络接入控制方法及*** |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697377A (zh) * | 2004-05-10 | 2005-11-16 | 华为技术有限公司 | 网络中实现门户认证服务的***及其方法 |
CN101212297A (zh) * | 2006-12-28 | 2008-07-02 | ***通信集团公司 | 基于web的wlan接入认证方法及*** |
CN103634792A (zh) * | 2012-08-27 | 2014-03-12 | ***通信集团公司 | Wlan网络用户状态监测的方法、装置、客户端及*** |
CN104009972A (zh) * | 2014-05-07 | 2014-08-27 | 华南理工大学 | 网络安全接入的认证***及其认证方法 |
CN104427537A (zh) * | 2013-09-11 | 2015-03-18 | 中国电信股份有限公司 | 控制Wifi终端接入互联网的方法与*** |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8495714B2 (en) * | 2011-07-20 | 2013-07-23 | Bridgewater Systems Corp. | Systems and methods for authenticating users accessing unsecured wifi access points |
CN103442359A (zh) * | 2013-09-02 | 2013-12-11 | 北京鹏通高科科技有限公司 | 基于短距离无线接入方式的传感器节点认证方法和*** |
CN105871853A (zh) * | 2016-04-11 | 2016-08-17 | 上海斐讯数据通信技术有限公司 | 一种入口认证方法和*** |
-
2016
- 2016-09-12 CN CN201610820746.6A patent/CN107819728B/zh active Active
-
2017
- 2017-06-28 WO PCT/CN2017/090606 patent/WO2018045798A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697377A (zh) * | 2004-05-10 | 2005-11-16 | 华为技术有限公司 | 网络中实现门户认证服务的***及其方法 |
CN101212297A (zh) * | 2006-12-28 | 2008-07-02 | ***通信集团公司 | 基于web的wlan接入认证方法及*** |
CN103634792A (zh) * | 2012-08-27 | 2014-03-12 | ***通信集团公司 | Wlan网络用户状态监测的方法、装置、客户端及*** |
CN104427537A (zh) * | 2013-09-11 | 2015-03-18 | 中国电信股份有限公司 | 控制Wifi终端接入互联网的方法与*** |
CN104009972A (zh) * | 2014-05-07 | 2014-08-27 | 华南理工大学 | 网络安全接入的认证***及其认证方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2018045798A1 (zh) | 2018-03-15 |
CN107819728A (zh) | 2018-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107819728B (zh) | 网络认证方法、相关装置 | |
CN110300117B (zh) | Iot设备与用户绑定的认证方法、设备及介质 | |
US20220060464A1 (en) | Server for providing a token | |
CN103746812B (zh) | 一种接入认证方法及*** | |
CN112566050B (zh) | 附件无线设备的蜂窝服务账户转移 | |
CN101702717B (zh) | 一种Portal认证的方法、***及设备 | |
US9225706B2 (en) | Multiple access point zero sign-on | |
CN104917727B (zh) | 一种帐户鉴权的方法、***及装置 | |
JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
CN108738013B (zh) | 网络接入方法、装置和网络设备 | |
US9549318B2 (en) | System and method for delayed device registration on a network | |
EP2676464B1 (en) | Seamless wi-fi subscription remediation | |
CN102984173A (zh) | 网络接入控制方法及*** | |
CN105981345B (zh) | Wi-fi/分组核心网接入的合法侦听 | |
KR20090036562A (ko) | 네트워크에 대한 접근을 제어하기 위한 방법 및 시스템 | |
CN108667699B (zh) | 一种终端设备与网关设备间的互联方法和装置 | |
US9288674B2 (en) | Convenient WiFi network access using unique identifier value | |
CN111049946B (zh) | 一种Portal认证方法、***及电子设备和存储介质 | |
CN103796278A (zh) | 移动终端无线网络接入控制方法 | |
CN110248364A (zh) | Iot设备配网方法、装置、设备及介质 | |
CN111194035B (zh) | 一种网络连接方法、装置和存储介质 | |
CN110505188A (zh) | 一种终端认证方法、相关设备和认证*** | |
CN101360107A (zh) | 一种提高单次登录***安全的方法、***及装置 | |
CN112311766B (zh) | 一种用户证书的获取方法及装置、终端设备 | |
CN106453400B (zh) | 一种认证方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |