CN112422490B - 一种基于本地缓存对用户设备进行鉴权的方法及*** - Google Patents
一种基于本地缓存对用户设备进行鉴权的方法及*** Download PDFInfo
- Publication number
- CN112422490B CN112422490B CN202010296973.XA CN202010296973A CN112422490B CN 112422490 B CN112422490 B CN 112422490B CN 202010296973 A CN202010296973 A CN 202010296973A CN 112422490 B CN112422490 B CN 112422490B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user equipment
- local
- area
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于本地缓存对用户设备进行鉴权的方法及***,其中方法包括:接收对用户设备进行鉴权的本地鉴权请求;将所述用户设备的设备标识与所述本地缓存内每个无效请求项的标识信息进行比对,确定是否存在相匹配的无效请求项;当确定不存在相匹配的无效请求项时,将所述用户设备的设备标识与所述本地缓存内每个有效请求项的标识信息进行比对,确定是否存在相匹配的一个或多个有效请求项;当确定存在相匹配的一个或多个有效请求项时,获取每个有效请求项的区域信息;以及当所述用户设备的当前区域的区域标识与任意有效请求项的区域信息相匹配时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
Description
技术领域
本发明涉及数据通信领域,并且更具体地,涉及一种基于本地缓存对用户设备进行鉴权的方法及***。
背景技术
目前,在传统的网络(例如Wi-Fi网络)鉴权方案中,网关(或者具备接入控制功能的接入点AP(Access Point)/接入控制器AC(Access Controller)),以及鉴权服务(采用RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证***),或者基于WEB的应用程序接口API(Application Programming Interface)等方式实现)都部署在本地。随着云计算越来越成熟普及,很多厂商都将鉴权业务提升到了云端。云鉴权方案可以大大降低使用成本,并且对客户来说,运营点节省了本地鉴权服务所需要的软硬件投入,对鉴权提供方来说,一套云鉴权业务***可以满足上千个运营点的鉴权业务需求。
但云鉴权的方案同时也带来了其它问题,例如,1.可靠性问题。如果云基础设施提供商(例如,阿里云、亚马逊AWS云等)内部发生故障,例如网络故障,或者虚拟机、物理机、存储服务故障,或者鉴权业务平台本身发生故障,都可能影响到鉴权服务有效性,严重时甚至会使得所有Wi-Fi运营点发生鉴权服务失效的情况。2.时延问题。由于云鉴权业务平台在广域网上,鉴权时延可能在100毫秒级到秒级之间抖动,而本地鉴权,可能稳定在10毫秒级别。3.大量无效鉴权请求问题。对于某些客流量大,且大量部署Wi-Fi AP的场所,用户终端的Wi-Fi连接的反复激活/休眠动作,或者某些应用APP本身的Wi-Fi探测和连接行为,都可能引发大量的无效鉴权请求,即用户并没有因为要上网去主动点按连接场所Wi-Fi,但是却实际引发了鉴权请求。这种情况使得云端鉴权服务压力陡增,严重时可能造成服务阻塞甚至失效。4.重复鉴权问题。即已经鉴权过的用户,从一个场所的一个区域移动到另一个区域时,或者从一个场所移动到另一个场所时,都需要重复鉴权,影响用户体验。
发明内容
本发明的目的,就是为了解决上述问题,对网关和云鉴权服务进行针对性的优化,从而解决鉴权的可靠性问题,优化鉴权体验,并实现跨运营点漫游。例如,对于酒店、商场、机场等公共Wi-Fi运营场所,本发明提供一种基于网关和云计算的MAC鉴权和漫游方法,能够提升鉴权服务可靠性,并实现用户的跨运营点漫游,提升用户体验。
根据本发明的一个方面,提供一种基于本地缓存对用户设备进行鉴权的方法,所述方法包括:
接收对用户设备进行鉴权的本地鉴权请求,对所述本地鉴权请求进行解析以获取所述本地鉴权请求所包括的用户设备的设备标识和当前区域的区域标识;
将所述用户设备的设备标识与所述本地缓存内每个无效请求项的标识信息进行比对,确定是否存在相匹配的无效请求项;
当确定不存在相匹配的无效请求项时,将所述用户设备的设备标识与所述本地缓存内每个有效请求项的标识信息进行比对,确定是否存在相匹配的一个或多个有效请求项;
当确定存在相匹配的一个或多个有效请求项时,获取每个有效请求项的区域信息;以及
当所述用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息相匹配时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
当接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,获取所述用户设备的设备标识,根据设备标识和当前区域的区域标识生成本地鉴权请求。
当确定存在相匹配的无效请求项时,确定所述用户设备的鉴权结果为本地鉴权失败,并向当前区域的接入设备返回用于指示禁止发送与所述用户设备相关联的本地鉴权请求的响应消息。
当确定不存在相匹配的有效请求项时,确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
当所述用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息均不相匹配时,确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
当接收到用于指示本地鉴权失败的响应消息后,促使所述用户设备进行云端鉴权。
所述用户设备将设备标识和身份信息发送给云端服务器,以进行云端鉴权。
所述云端服务器根据所述设备标识和身份信息对所述用户设备进行云端鉴权,当确定所述用户设备的鉴权结果为云端鉴权成功时,将用于指示云端鉴权成功的响应消息发送给所述接入设备;
所述用于指示云端鉴权成功的响应消息包括:标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期。
所述接入设备基于用于指示云端鉴权成功的响应消息中的标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期生成有效请求项,并存储在本地缓存中。
在接收到用于指示云端鉴权成功的响应消息之后,所述接入设备允许所述用户设备接入服务网络。
所述云端服务器根据所述设备标识和身份信息对用户设备进行云端鉴权,当确定所述用户设备的鉴权结果为云端鉴权失败时,将用于指示云端鉴权失败的响应消息发送给所述接入设备。
在接收到用于指示云端鉴权失败的响应消息之后,所述接入设备拒绝所述用户设备接入服务网络并在本地缓存内预先建立的无效缓存区域中存储无效请求项。
所述无效请求项包括标识信息和缓存有效期。
所述本地鉴权请求还包括场所标识。
在获取每个有效请求项的区域信息之前还包括:
获取每个有效请求项的场所信息;
获取所述本地缓存内的多个场所信息集合,每个场所信息集合包括多个场所信息;
当所述用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息属于同一个场所信息集合时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
当所述用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息均不属于同一个场所信息集合时,确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
还包括当所述用户设备的当前区域的区域标识与公共区域的标识信息相匹配时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
当确定与云端服务器的通信链路处于连接故障状态或云端服务器处于运行故障状态时,确定所述用户设备的鉴权结果为免鉴权状态并返回用于指示免鉴权状态的响应消息。
在返回用于指示免鉴权状态的响应消息之后还包括,将处于免鉴权状态的用户设备的网络连接设置为临时连接状态。
当确定与云端服务器的通信链路从网络故障恢复为正常连接状态或云端服务器从故障状态恢复为正常运行状态时,启动具有预定时间长度的计时器,当计时器期满时为处于临时连接状态的用户设备进行本地鉴权。
根据本发明的另一方面,提供一种基于本地缓存对用户设备进行鉴权的***,所述***包括:
解析单元,接收对用户设备进行鉴权的本地鉴权请求,对所述本地鉴权请求进行解析以获取所述本地鉴权请求所包括的用户设备的设备标识和当前区域的区域标识;
比对单元,将所述用户设备的设备标识与所述本地缓存内每个无效请求项的标识信息进行比对,确定是否存在相匹配的无效请求项;当确定不存在相匹配的无效请求项时,将所述用户设备的设备标识与所述本地缓存内每个有效请求项的标识信息进行比对,确定是否存在相匹配的一个或多个有效请求项;
获取单元,当确定存在相匹配的一个或多个有效请求项时,获取每个有效请求项的区域信息;以及
鉴权单元,当所述用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息相匹配时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
还包括处理单元,当接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,获取所述用户设备的设备标识,根据设备标识和当前区域的区域标识生成本地鉴权请求。
当确定存在相匹配的无效请求项时,鉴权单元确定所述用户设备的鉴权结果为本地鉴权失败,并向当前区域的接入设备返回用于指示禁止发送与所述用户设备相关联的本地鉴权请求的响应消息。
当确定不存在相匹配的有效请求项时,鉴权单元确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
当所述用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息均不相匹配时,鉴权单元确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
当接收到用于指示本地鉴权失败的响应消息后,所述处理单元促使所述用户设备进行云端鉴权。
所述用户设备将设备标识和身份信息发送给云端服务器,以进行云端鉴权。
所述云端服务器根据所述设备标识和身份信息对所述用户设备进行云端鉴权,当确定所述用户设备的鉴权结果为云端鉴权成功时,将用于指示云端鉴权成功的响应消息发送给所述接入设备;
所述用于指示云端鉴权成功的响应消息包括:标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期。
所述接入设备基于用于指示云端鉴权成功的响应消息中的标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期生成有效请求项,并存储在本地缓存中。
在接收到用于指示云端鉴权成功的响应消息之后,所述接入设备允许所述用户设备接入服务网络。
所述云端服务器根据所述设备标识和身份信息对用户设备进行云端鉴权,当确定所述用户设备的鉴权结果为云端鉴权失败时,将用于指示云端鉴权失败的响应消息发送给所述接入设备。
在接收到用于指示云端鉴权失败的响应消息之后,所述接入设备拒绝所述用户设备接入服务网络并在本地缓存内预先建立的无效缓存区域中存储无效请求项。
所述无效请求项包括标识信息和缓存有效期。
所述本地鉴权请求还包括场所标识。
所述鉴权单元,获取每个有效请求项的场所信息;
获取所述本地缓存内的多个场所信息集合,每个场所信息集合包括多个场所信息;
当所述用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息属于同一个场所信息集合时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
当所述用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息均不属于同一个场所信息集合时,所述鉴权单元确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
还包括当所述用户设备的当前区域的区域标识与公共区域的标识信息相匹配时,所述鉴权单元确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
当确定与云端服务器的通信链路处于连接故障状态或云端服务器处于运行故障状态时,所述鉴权单元确定所述用户设备的鉴权结果为免鉴权状态并返回用于指示免鉴权状态的响应消息。
所述处理单元将处于免鉴权状态的用户设备的网络连接设置为临时连接状态。
当确定与云端服务器的通信链路从网络故障恢复为正常连接状态或云端服务器从故障状态恢复为正常运行状态时,所述处理单元启动具有预定时间长度的计时器,当计时器期满时为处于临时连接状态的用户设备进行本地鉴权。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施例的基于本地缓存对用户设备进行鉴权的方法的流程图;
图2为根据本发明实施例的在网关处进行MAC鉴权的方法的流程图;
图3为根据本发明实施例的实现跨场所鉴权的方法的流程图;
图4为根据本发明实施例的云端鉴权的方法的流程图;
图5为根据本发明实施例的本地缓存的示意图;
图6为根据本发明实施例的基于本地缓存对用户设备进行鉴权的***的结构示意图;以及
图7为根据本发明实施例的鉴权***的结构示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
在本发明中,与Wi-Fi鉴权相关的名词解释如下:
MAC(Media Access Control,媒体访问控制)鉴权,即用户设备(手机或平板电脑)接入到Wi-Fi网络时,若用户设备的MAC地址对于所接入的Wi-Fi网络是个新加入的MAC地址,那么就引发一次MAC鉴权。若MAC鉴权通过,则用户设备接入成功。MAC鉴权对于用户来说,是“无感知”的。
Portal(门户网站或入口站点)鉴权,即用户设备(手机或平板电脑)点按连接Wi-Fi网络时,在用户设备的显示界面弹出窗口,显示一个鉴权页面,用户输入与鉴权相关的身份信息(例如,手机号、会员号、房号、认证码、身份码等)以及验证码或密码,进行鉴权。Portal鉴权是用户主动发起的鉴权,有别于上述“无感知”的MAC鉴权。Portal鉴权对于用户来说,是“有感知”的。
图1为根据本发明实施例的基于本地缓存对用户设备进行鉴权的方法100的流程图。如图1所示,方法100从步骤101处开始。在步骤101,接收对用户设备进行鉴权的本地鉴权请求,对本地鉴权请求进行解析以获取本地鉴权请求所包括的用户设备的设备标识和当前区域的区域标识。当接入设备或接入点接收到来自用户设备的接入请求时或者当检测到用户设备进入接入设备的服务区域内时,接入设备获取用户设备的设备标识,根据设备标识和当前区域的区域标识生成本地鉴权请求。其中用户设备的设备标识可以是用户设备的硬件信息,例如MAC地址或唯一的识别码等。当前区域是用户设备当前所处于的区域。当前区域可以是特定场所内的一个区域。其中,每个场所可以包括至少一个区域。区域标识例如可以是场所名称和区域名称的组合。或者,区域标识可以是用于唯一地标识当前场所的当前区域的标识符,例如,本申请使用VLAN(虚拟局域网)ID(标识符)作为场所内区域标识,即使是同一个SSID,在不同区域内(的AP上),可以配置不同的VLAN ID。通常,一个区域或当前区域内可以存在一个或多个接入设备并且每个接入设备用于为区域提供网络服务。
在本申请中,可以由网关设备从接入设备接收对用户设备进行鉴权的本地鉴权请求。网关设备具有本地缓存,并且本地缓存用于存储至少一个无效请求项和至少一个有效请求项。云端服务器通常可以与多个网关设备进行通信,并且能够促使多个网关设备进行数据一致性的维护。举例来说,场所A具有网关设备A并且场所B具有网关设备B,当用户设备从场所A移动到场所B时,网关设备A处与用户设备相关的有效请求项或无效请求项也可能会被同步保存到场所B。应当了解的是,本申请可以通过云端服务器保持多个网关设备中的数据(有效请求项或无效请求项)的部分一致性或全部一致性。
在步骤102,将用户设备的设备标识与本地缓存内每个无效请求项的标识信息进行比对,确定是否存在相匹配的无效请求项。无效请求项至少包括标识信息和缓存有效期,如图5所示。其中无效请求项的标识信息可以是用户设备的硬件信息或设备标识,例如MAC地址或唯一的识别码等。缓存有效期用于指示无效请求项在本地缓存中的生存时间或保存时间。当缓存有效期到期或期满时,将本地缓存中的这个无效请求项删除。缓存有效期例如是2个小时、8个小时、1天等。,
在本申请中,无效鉴权的Cache机制是为了解决公共场所发生大量无效鉴权的问题。为此,网关设备实现一个本地的无效鉴权Cache机制,具体如下:
1.当发生云端鉴权失败的情况时,网关设备记录鉴权失败信息到Cache中,鉴权失败信息或无效请求项包括用户设备的MAC地址,以及一个缓存有效期(比如,30分钟),并且到期后此条Cache记录自动删除;
2.当用户设备再次引发MAC鉴权时(例如,非用户手工引发的Portal鉴权或者本地鉴权),网关设备根据MAC地址先查询本地的无效鉴权Cache,若Cache中存在鉴权失败记录存在,则直接返回鉴权失败信息。此外,当用户手工引发Portal鉴权或云端鉴权并成功通过鉴权,即鉴权成功时,网关设备将Cache中无效鉴权信息转换为有效鉴权信息,例如将无效请求项转换为有效请求项。
当确定存在相匹配的无效请求项时,确定用户设备的鉴权结果为本地鉴权失败,并向当前区域的接入设备返回用于指示禁止发送与用户设备相关联的本地鉴权请求的响应消息。通过这种方式,能够避免用户设备在后续发送无效的鉴权请求,即用户并不希望接入网络,从而能够降低无效鉴权数量。
在步骤103,当确定不存在相匹配的无效请求项时,将用户设备的设备标识与本地缓存内每个有效请求项的标识信息进行比对,确定是否存在相匹配的一个或多个有效请求项。其中有效请求项的标识信息可以是用户设备的硬件信息或设备标识,例如MAC地址或唯一的识别码等。
具体地,本申请针对云端鉴权服务的可靠性和时延问题,在网关设备上实现Cache鉴权机制,具体如下:
1.当用户通过用户设备首次Portal鉴权或云端鉴权成功后,网关设备记录鉴权成功信息到Cache中。鉴权成功信息或有效请求项包括:用户设备的标识信息(例如,用户设备的设备标识,例如,MAC地址)、身份信息(例如,手机号、房间号、会员号等)、区域信息(例如,酒店大堂、酒店餐厅、酒店客房等)、场所信息(例如,酒店A、酒店B)、授权信息(带宽等级、优先等级等),以及Cache有效期(例如,5天、7天等)。并且到期后此条Cache记录自动删除。
2.当用户设备在Cache有效期内再次引发本地MAC鉴权时(例如,用户设备的状态改变:关机到开机、或休眠到唤醒,或者用户离开场所后再返回),网关设备根据MAC地址查询本地Cache。由于用户设备的MAC地址和鉴权成功信息或有效请求项已经存在于网关设备的本地Cache中,则直接通过本地Cache进行鉴权。由于网关设备对本地Cache进行查询非常高效,因此本地鉴权时延可以在1ms级别。用户基本不会感知到这个本地鉴权过程。
3.当用户设备的设备标识没有在网关设备的本地Cache中命中时,则引发云端MAC鉴权或Portal鉴权。若云端MAC鉴权或Portal鉴权失败,则会促使在用户设备中自动弹出Portal界面,以使得用户能够进行手工的Portal鉴权。
根据本申请的Cache鉴权机制,可以实现一次Portal鉴权后,多次本地鉴权。这种方式可以极大程度解决云端可靠性,降低鉴权平均时延。例如,对于酒店场所,当云端发生故障时,只有新到的还没有使用过酒店Wi-Fi的客人才受影响。而已经使用过Wi-Fi的客人则完全不受影响。另外,Cache鉴权机制还极大地缓解云端鉴权服务的业务压力。实际典型应用中(例如,高端酒店),本地MAC鉴权可以占到90%的比例,即本地Cache鉴权分流了了云端鉴权90%以上鉴权压力。
在步骤104,当确定存在相匹配的一个或多个有效请求项时,获取每个有效请求项的区域信息。在一种情况下,当确定不存在相匹配的有效请求项时,网关设备确定用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息给接入设备或接入点。当接入设备或接入点接收到用于指示本地鉴权失败的响应消息后,促使用户设备进行云端鉴权。例如,接入设备或接入点向用户设备发送指示本地鉴权失败的响应消息,使得用户设备进行云端鉴权。例如,用户可以通过用户设备进行Portal鉴权。
随后,用户设备将设备标识和身份信息(可以经由接入设备或网关设备,或直接)发送给云端服务器,以进行云端鉴权。用户设备的设备标识例如时MAC地址;并且身份信息例如是手机号、房间号、会员号等。云端服务器根据设备标识和身份信息对用户设备进行云端鉴权,当云端服务器确定用户设备的鉴权结果为云端鉴权成功时,云端服务器经由网关设备将用于指示云端鉴权成功的响应消息发送给接入设备。用于指示云端鉴权成功的响应消息包括:标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期。标识信息例如是用户设备的设备标识,例如,MAC地址。身份信息例如是手机号、房间号、会员号等。区域信息例如是酒店大堂、酒店餐厅、酒店客房等。场所信息例如是酒店A、酒店B。授权信息例如是带宽等级、优先等级等。以及缓存有效期例如是5天、7天等。缓存有效期用于指示有效请求项在本地缓存中的生存时间或保存时间。当缓存有效期到期或期满时,将本地缓存中的这个有效请求项删除。缓存有效期例如是1天、2天、5天等。
接入设备基于用于指示云端鉴权成功的响应消息中的标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期生成有效请求项,并存储在本地缓存中,如图5所示。图5为根据本发明实施例的本地缓存的示意图。本地缓存Cache例如在网关设备中。本地缓存Cache例如包括多个缓存区,其中缓存区域501、503和505用于存储其它类型的数据。缓存区域502用于存储无效请求项,或无效MAC鉴权信息或记录。其中无效请求项,或无效MAC鉴权信息或记录的格式例如是<标识信息、缓存有效期>。缓存区域504用于存储有效请求项,或有效MAC鉴权信息或记录。有效请求项,或有效MAC鉴权信息或记录例如是<标识信息、身份信息、区域信息、场所信息、授权信息、缓存有效期>。在接入设备接收到用于指示云端鉴权成功的响应消息之后,接入设备允许用户设备接入服务网络。
云端服务器根据设备标识和身份信息对用户设备进行云端鉴权,当确定用户设备的鉴权结果为云端鉴权失败时,将用于指示云端鉴权失败的响应消息发送给接入设备。在接收到用于指示云端鉴权失败的响应消息之后,接入设备拒绝用户设备接入服务网络并在本地缓存内预先建立的无效缓存区域中存储无效请求项。例如,网关设备记录鉴权失败信息或无效请求项到Cache中,鉴权失败信息或无效请求项包括用户设备的MAC地址,以及一个缓存有效期(比如,30分钟)。
本发明通过以下方式提供场所内的MAC鉴权和公共区域漫游:
1.Wi-Fi网络部署的配合。为场所内不同的区域配置不同的VLAN。例如,为酒店内的酒店大堂、酒店商务/会议区和客房区,配置三个不同的VLAN,酒店大堂VLAN、酒店商务/会议区VLAN和客房区VLAN。
2.跨接入区域时引发MAC鉴权。每当用户设备在场所内改变接入区域(例如,从客房区VLAN移动到了酒店大堂VLAN),则会引发MAC鉴权。云端服务器维护账号记录可接入的VLAN的区域属性。若用户设备移动到的VLAN区域在许可范围内,则MAC鉴权通过,否则会引发Portal鉴权或云端鉴权。
3.公共漫游区的设置。针对某些需要独立设置公共漫游区的场所,例如,酒店大堂是所有客人都允许使用Wi-Fi的公共漫游区,那么可以根据VLAN设置一段或多段公共漫游区(例如,可以由网关本地配置,也可以由云端服务器配置后下发),例如VLAN 1000~1015。当用户移动到漫游区域引发MAC鉴权后,网关设备检测到Cache中存在有效请求项,且用户处于公共漫游区VLAN,则直接通过本地MAC鉴权,而避免引发云端MAC鉴权。
4.云端MAC鉴权。当用户通过用户设备进行Portal鉴权或云端鉴权获得鉴权成功时,云端服务器会生成一个带有效期属性、许可VLAN范围的MAC鉴权记录(以MAC地址作为查询主键),供云端快速处理场所内的跨区域MAC鉴权业务。
在步骤105,当用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息相匹配时,确定用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。当用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息均不相匹配时,确定用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
本申请还实现了用户设备的跨场所MAC漫游。某些同一集团/品牌属性的场所,比如同一集团下的多个酒店或商场,客人从场所A到场所B时,仍然需要Portal鉴权。对此,云端鉴权服务可以设置跨场所漫游,比如允许某酒店集团下的酒店可以180天内自由漫游。当客人从酒店A离店,入住到酒店B时,由于客人已经在酒店A鉴权过,已经生成了MAC鉴权记录,则客人的移动设备在酒店B连接Wi-Fi时,直接无感知MAC鉴权通过,而不需要Portal鉴权。
本地鉴权请求还可以场所标识。在获取每个有效请求项的区域信息之前还包括:获取每个有效请求项的场所信息;获取本地缓存内的多个场所信息集合,每个场所信息集合包括多个场所信息;当用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息属于同一个场所信息集合时,确定用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
当用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息均不属于同一个场所信息集合时,确定用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。还包括当用户设备的当前区域的区域标识与公共区域的标识信息相匹配时,确定用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
本申请还实现了云端服务的有效性探测。例如,网关设备定时探测云端鉴权服务的有效性:1.当发生链路故障或者云端基础设施或服务故障时,网关确认云端鉴权服务不可达,则可以自动切换到免鉴权状态,即客人连入Wi-Fi即可上网,避免云端故障影响客人Wi-Fi体验。2.当故障恢复时,网关自动切换回正常的鉴权状态。
当确定与云端服务器的通信链路处于连接故障状态或云端服务器处于运行故障状态时,确定用户设备的鉴权结果为免鉴权状态并返回用于指示免鉴权状态的响应消息。在返回用于指示免鉴权状态的响应消息之后还包括,将处于免鉴权状态的用户设备的网络连接设置为临时连接状态。当确定与云端服务器的通信链路从网络故障恢复为正常连接状态或云端服务器从故障状态恢复为正常运行状态时,启动具有预定时间长度的计时器,当计时器期满时为处于临时连接状态的用户设备进行本地鉴权。在本申请中,临时连接具备一个较短的有效期属性(例如,1小时、1.5小时)。当有效期期满后,才会要求用户设备重新鉴权,而非故障一恢复就立即要求用户设备重新鉴权。这是基于用户体验的考虑,降低临时连接用户在上网过程中突然被打断、重新鉴权的概率。
本发明采用上面的各种方案和机制,实现一个高可靠、支持场所内、跨场所漫游的Wi-Fi鉴权方案。实际案例中,应用本发明的方案,一套云鉴权服务端,可以有效支撑1600个以上的Wi-Fi运营场所,超过20万并发在线用户。
图2为根据本发明实施例的在网关处进行MAC鉴权的方法200的流程图。如图2所示,方法200从步骤201处开始。在步骤201,新的用户设备请求接入。例如,当接收到来自用户设备的接入请求时或者当检测到用户设备进入接入设备的服务区域内时,获取用户设备的设备标识,根据设备标识和当前区域的区域标识生成MAC鉴权请求。在步骤202,确定用户设备的MAC地址是否匹配Cache的无效鉴权信息。如果用户设备的MAC地址匹配Cache的无效鉴权信息,则进行步骤203,拒绝用户设备的接入。如果用户设备的MAC地址不匹配Cache的无效鉴权信息,则进行步骤204,确定用户设备的MAC地址是否匹配Cache的有效鉴权信息。
如果用户设备的MAC地址不匹配Cache的有效鉴权信息,则进行步骤206,向云端请求鉴权。如果用户设备的MAC地址匹配Cache的有效鉴权信息,则进行步骤205,确定用户设备是否符合场所内的漫游规则。
如果用户设备不符合场所内的漫游规则,则进行步骤206,向云端请求鉴权。如果用户设备符合场所内的漫游规则,则进行步骤209,授权用户设备的带宽、有效期等属性,允许用户设备接入。
在步骤207,确定用户设备是否云端鉴权成功。如果云端鉴权成功,则进行步骤208,更新用户设备在Cache中的有效鉴权信息并随后进行步骤209。如果云端鉴权失败,则进行步骤210,拒绝用户设备接入,并且进行步骤211,更新用户设备在Cache中的无效鉴权信息。
图3为根据本发明实施例的实现跨场所鉴权的方法300的流程图。方法300从步骤301处开始。当接收到来自用户设备的接入请求时或者当检测到用户设备进入接入设备的服务区域内时,获取用户设备的设备标识,根据设备标识和当前区域的区域标识生成MAC鉴权请求。在步骤301,开始进行MAC鉴权。在步骤302,确定用户设备的MAC地址是否匹配Cache的有效鉴权记录。如果不匹配,则进行步骤306,返回MAC鉴权失败消息;如果匹配,则进行步骤303,判断确定用户设备的场所信息与MAC鉴权记录是否匹配。
如果用户设备的场所信息与MAC鉴权记录匹配,则进行步骤305,判断用户设备的当前区域是否符合场所内的接入区域规则。如果用户设备的当前区域符合场所内的接入区域规则,则进行步骤307,返回MAC鉴权成功消息。如果用户设备的当前区域不符合场所内的接入区域规则,则进行步骤306,返回MAC鉴权失败消息。
如果用户设备的场所信息与MAC鉴权记录不匹配,则进行步骤304,判断用户设备是否符合跨场所漫游规则。如果用户设备符合跨场所漫游规则,则进行步骤307,返回MAC鉴权成功消息。如果用户设备不符合跨场所漫游规则,则进行步骤306,返回MAC鉴权失败消息。
图4为根据本发明实施例的云端鉴权的方法400的流程图。如图4所示,方法400从步骤401处开始。在确定用户设备的鉴权结果为本地鉴权失败并且接收到用于指示本地鉴权失败的响应消息,或者当用户设备希望进行云端鉴权时。用户设备将设备标识和身份信息(可以经由接入设备或网关设备,或直接)接入设备发送给云端服务器,以进行云端鉴权或Portal鉴权。在步骤401,开始云端鉴权或Portal鉴权。在步骤402,判断用户的身份/密码或验证码鉴权是否鉴权通过。如果没有鉴权通过,则进行步骤406,返回云端鉴权或Portal鉴权失效消息。如果鉴权通过,则进行步骤403,判断用户设备是否符合场所内接入区域规则。
如果用户设备不符合场所内接入区域规则,则进行步骤406,返回云端鉴权或Portal鉴权失败消息。如果用户设备符合场所内接入区域规则,则进行步骤404,生成MAC鉴权记录,包括带宽、有效期和漫游规则属性。在步骤405,返回云端鉴权或Portal鉴权成功消息。
由此可知,本申请至少采用如下五种机制,实现一个高可靠、支持场所内、跨场所漫游的Wi-Fi鉴权方案。实际案例中,应用本发明的方案,一套云鉴权服务端,可以有效支撑1600个以上的Wi-Fi运营场所,超过20万并发在线用户。
一.本地Cache鉴权
针对云端鉴权服务的可靠性和时延问题,网关上实现一个Cache鉴权机制,具体如下:
1.当用户首次Portal鉴权成功,则网关记录鉴权信息到Cache,包括用户设备的MAC地址,身份信息(手机号或者房号、会员号等),授权信息(带宽),以及Cache有效期(比如7天),到期后此条Cache记录自动淘汰。
2.当用户设备在Cache有效期内再次引发MAC鉴权时(比如设备状态改变:关机到开机,或休眠到唤醒,或者用户离开场所再回来),网关根据MAC地址查询本地Cache,由于用户MAC地址和鉴权信息已经存在于网关本地Cache中,则直接本地鉴权通过,由于本地Cache查询非常高效,本地鉴权时延可以在1ms级别完成,用户基本感知到这个本地鉴权过程。
3.当用户设备没有本地Cache命中时,则引发云端MAC鉴权,若云端MAC鉴权失败,则用户设备会自动弹出Portal,需要用户进行手工的Portal鉴权。
上述Cache鉴权机制,实现了一次Portal鉴权后,多次本地鉴权,可以极大程度解决云端可靠性,降低鉴权平均时延。比如对于酒店场所,当云端发生故障时,只有新到的还没有使用过Wi-Fi的客人才受影响,已经使用过Wi-Fi的客人则完全不受影响。另外,Cache鉴权机制还极大缓解云端鉴权服务的压力。实际典型应用中(比如高端酒店),本地MAC鉴权可以占到90%的比例,即本地Cache鉴权分流了了云端90%以上鉴权压力。
二.无效鉴权Cache
针对公共场所发生大量无效鉴权的问题,网关同时实现一个本地的无效鉴权Cache机制,具体如下:
1.当发生云端鉴权失败,则记录鉴权失败信息到Cache,包括用户设备的MAC地址,以及一个有效期(比如30分钟),到期后此条Cache记录自动淘汰。
4.当用户设备再次引发MAC鉴权时(非用户手工引发的Portal鉴权),网关根据MAC地址先查询本地无效鉴权Cache,若Cache记录存在,则直接返回鉴权失败信息。
5.当用户手工引发Portal鉴权并成功通过鉴权时,无效鉴权Cache转换为有效鉴权Cache,如上一节的第1点。
三.场所内的MAC鉴权和公共区域漫游
1.Wi-Fi网络部署的配合:场所内不同的区域配置不同的VLAN,比如酒店大堂,酒店商务/会议区,客房区,配置三个不同的VLAN;
2.跨接入区域时引发MAC鉴权:每当用户在场所内改变接入区域(比如从客房VLAN移动到了大堂VLAN),则会引发MAC鉴权。云端维护账号都有自己可接入VLAN区域属性,若用户移动到的VLAN区域在许可范围内,则MAC鉴权通过,否则会引发手工Portal鉴权。
3.公共漫游区的设置:针对某些需要独立设置公共漫游区的场所,比如酒店大堂是所有客人都允许使用的Wi-Fi公共漫游区,那么可以根据VLAN设置一段或多段公共漫游区(可以网关本地配置,也可以云端配置后下发),比如VLAN 1000~1015,当用户移动到漫游区引发了MAC鉴权后,网关检测到Cache有效,且用户处于公共漫游区VLAN,则直接通过本地MAC鉴权,而避免引发云端MAC鉴权。
4.云端MAC鉴权:当用户Portal鉴权通过时,云端会生成一个带有效期属性、上述第2点的许可VLAN范围的MAC鉴权记录(以MAC地址作为查询主键),供云端快速处理场所内的跨区域MAC鉴权业务。
四.跨场所MAC漫游
某些同一集团/品牌属性的场所,比如同一集团下的多个酒店或商场,客人从场所A到场所B时,仍然需要Portal鉴权。对此,云端鉴权服务可以设置跨场所漫游,比如允许某酒店集团下的酒店可以180天内自由漫游。当客人从酒店A离店,入住到酒店B时,由于客人已经在酒店A鉴权过,已经生成了MAC鉴权记录,则客人的移动设备在酒店B连接Wi-Fi时,直接无感知MAC鉴权通过,而不需要Portal鉴权。
五.云端服务有效性探测
网关定时探测云端鉴权服务的有效性:
1.当发生链路故障或者云端基础设施或服务故障时,网关确认云端鉴权服务不可达,则可以自动切换到免鉴权状态,即客人连入Wi-Fi即可上网,避免云端故障影响客人Wi-Fi体验。
2.当故障恢复时,网关自动切换回正常的鉴权状态。
图6为根据本发明实施例的基于本地缓存对用户设备进行鉴权的***600的结构示意图。***600包括:解析单元601、比对单元602、获取单元603、鉴权单元604和处理单元605。其中解析单元601接收对用户设备进行鉴权的本地鉴权请求,对本地鉴权请求进行解析以获取本地鉴权请求所包括的用户设备的设备标识和当前区域的区域标识。
处理单元605当接入设备或接入点接收到来自用户设备的接入请求时或者当检测到用户设备进入接入设备的服务区域内时,接入设备获取用户设备的设备标识,根据设备标识和当前区域的区域标识生成本地鉴权请求。其中用户设备的设备标识可以是用户设备的硬件信息,例如MAC地址或唯一的识别码等。当前区域是用户设备当前所处于的区域。当前区域可以是特定场所内的一个区域。其中,每个场所可以包括至少一个区域。区域标识例如可以是场所名称和区域名称的组合。或者,区域标识可以是用于唯一地标识当前场所的当前区域的标识符,例如,本申请使用VLAN(虚拟局域网)ID(标识符)作为场所内区域标识,即使是同一个SSID,在不同区域内(的AP上),可以配置不同的VLAN ID。通常,一个区域或当前区域内可以存在一个或多个接入设备并且每个接入设备用于为区域提供网络服务。
在本申请中,可以由网关设备从接入设备接收对用户设备进行鉴权的本地鉴权请求。网关设备具有本地缓存,并且本地缓存用于存储至少一个无效请求项和至少一个有效请求项。云端服务器通常可以与多个网关设备进行通信,并且能够促使多个网关设备进行数据一致性的维护。举例来说,场所A具有网关设备A并且场所B具有网关设备B,当用户设备从场所A移动到场所B时,网关设备A处与用户设备相关的有效请求项或无效请求项也可能会被同步保存到场所B。应当了解的是,本申请可以通过云端服务器保持多个网关设备中的数据(有效请求项或无效请求项)的部分一致性或全部一致性。
比对单元602将用户设备的设备标识与本地缓存内每个无效请求项的标识信息进行比对,确定是否存在相匹配的无效请求项。无效请求项至少包括标识信息和缓存有效期,如图5所示。其中无效请求项的标识信息可以是用户设备的硬件信息或设备标识,例如MAC地址或唯一的识别码等。缓存有效期用于指示无效请求项在本地缓存中的生存时间或保存时间。当缓存有效期到期或期满时,将本地缓存中的这个无效请求项删除。缓存有效期例如是2个小时、8个小时、1天等。,
在本申请中,无效鉴权的Cache机制是为了解决公共场所发生大量无效鉴权的问题。为此,网关设备实现一个本地的无效鉴权Cache机制,具体如下:
1.当发生云端鉴权失败的情况时,网关设备记录鉴权失败信息到Cache中,鉴权失败信息或无效请求项包括用户设备的MAC地址,以及一个缓存有效期(比如,30分钟),并且到期后此条Cache记录自动删除;
2.当用户设备再次引发MAC鉴权时(例如,非用户手工引发的Portal鉴权或者本地鉴权),网关设备根据MAC地址先查询本地的无效鉴权Cache,若Cache中存在鉴权失败记录存在,则直接返回鉴权失败信息。此外,当用户手工引发Portal鉴权或云端鉴权并成功通过鉴权,即鉴权成功时,网关设备将Cache中无效鉴权信息转换为有效鉴权信息,例如将无效请求项转换为有效请求项。
当确定存在相匹配的无效请求项时,确定用户设备的鉴权结果为本地鉴权失败,并向当前区域的接入设备返回用于指示禁止发送与用户设备相关联的本地鉴权请求的响应消息。通过这种方式,能够避免用户设备在后续发送无效的鉴权请求,即用户并不希望接入网络,从而能够降低无效鉴权数量。
比对单元602当确定不存在相匹配的无效请求项时,将用户设备的设备标识与本地缓存内每个有效请求项的标识信息进行比对,确定是否存在相匹配的一个或多个有效请求项。其中有效请求项的标识信息可以是用户设备的硬件信息或设备标识,例如MAC地址或唯一的识别码等。
具体地,本申请针对云端鉴权服务的可靠性和时延问题,在网关设备上实现Cache鉴权机制,具体如下:
1.当用户通过用户设备首次Portal鉴权或云端鉴权成功后,网关设备记录鉴权成功信息到Cache中。鉴权成功信息或有效请求项包括:用户设备的标识信息(例如,用户设备的设备标识,例如,MAC地址)、身份信息(例如,手机号、房间号、会员号等)、区域信息(例如,酒店大堂、酒店餐厅、酒店客房等)、场所信息(例如,酒店A、酒店B)、授权信息(带宽等级、优先等级等),以及Cache有效期(例如,5天、7天等)。并且到期后此条Cache记录自动删除。
2.当用户设备在Cache有效期内再次引发本地MAC鉴权时(例如,用户设备的状态改变:关机到开机、或休眠到唤醒,或者用户离开场所后再返回),网关设备根据MAC地址查询本地Cache。由于用户设备的MAC地址和鉴权成功信息或有效请求项已经存在于网关设备的本地Cache中,则直接通过本地Cache进行鉴权。由于网关设备对本地Cache进行查询非常高效,因此本地鉴权时延可以在1ms级别。用户基本不会感知到这个本地鉴权过程。
3.当用户设备的设备标识没有在网关设备的本地Cache中命中时,则引发云端MAC鉴权或Portal鉴权。若云端MAC鉴权或Portal鉴权失败,则会促使在用户设备中自动弹出Portal界面,以使得用户能够进行手工的Portal鉴权。
根据本申请的Cache鉴权机制,可以实现一次Portal鉴权后,多次本地鉴权。这种方式可以极大程度解决云端可靠性,降低鉴权平均时延。例如,对于酒店场所,当云端发生故障时,只有新到的还没有使用过酒店Wi-Fi的客人才受影响。而已经使用过Wi-Fi的客人则完全不受影响。另外,Cache鉴权机制还极大地缓解云端鉴权服务的业务压力。实际典型应用中(例如,高端酒店),本地MAC鉴权可以占到90%的比例,即本地Cache鉴权分流了了云端鉴权90%以上鉴权压力。
获取单元603当确定存在相匹配的一个或多个有效请求项时,获取每个有效请求项的区域信息。在一种情况下,当确定不存在相匹配的有效请求项时,网关设备确定用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息给接入设备或接入点。当接入设备或接入点接收到用于指示本地鉴权失败的响应消息后,促使用户设备进行云端鉴权。例如,接入设备或接入点向用户设备发送指示本地鉴权失败的响应消息,使得用户设备进行云端鉴权。例如,用户可以通过用户设备进行Portal鉴权。
随后,用户设备将设备标识和身份信息(可以经由接入设备或网关设备,或直接)接入设备发送给云端服务器,以进行云端鉴权。用户设备的设备标识例如时MAC地址;并且身份信息例如是手机号、房间号、会员号等。云端服务器根据设备标识和身份信息对用户设备进行云端鉴权,当云端服务器确定用户设备的鉴权结果为云端鉴权成功时,云端服务器(可以经由网关设备)将用于指示云端鉴权成功的响应消息发送给接入设备。用于指示云端鉴权成功的响应消息包括:标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期。标识信息例如是用户设备的设备标识,例如,MAC地址。身份信息例如是手机号、房间号、会员号等。区域信息例如是酒店大堂、酒店餐厅、酒店客房等。场所信息例如是酒店A、酒店B。授权信息例如是带宽等级、优先等级等。以及缓存有效期例如是5天、7天等。缓存有效期用于指示有效请求项在本地缓存中的生存时间或保存时间。当缓存有效期到期或期满时,将本地缓存中的这个有效请求项删除。缓存有效期例如是1天、2天、5天等。
接入设备基于用于指示云端鉴权成功的响应消息中的标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期生成有效请求项,并存储在本地缓存中,如图5所示。图5为根据本发明实施例的本地缓存的示意图。本地缓存Cache例如在网关设备中。本地缓存Cache例如包括多个缓存区,其中缓存区域501、503和505用于存储其它类型的数据。缓存区域502用于存储无效请求项,或无效MAC鉴权信息或记录。其中无效请求项,或无效MAC鉴权信息或记录的格式例如是<标识信息、缓存有效期>。缓存区域504用于存储有效请求项,或有效MAC鉴权信息或记录。有效请求项,或有效MAC鉴权信息或记录例如是<标识信息、身份信息、区域信息、场所信息、授权信息、缓存有效期>。在接入设备接收到用于指示云端鉴权成功的响应消息之后,接入设备允许用户设备接入服务网络。
云端服务器根据设备标识和身份信息对用户设备进行云端鉴权,当确定用户设备的鉴权结果为云端鉴权失败时,将用于指示云端鉴权失败的响应消息发送给接入设备。在接收到用于指示云端鉴权失败的响应消息之后,接入设备拒绝用户设备接入服务网络并在本地缓存内预先建立的无效缓存区域中存储无效请求项。网关设备记录鉴权失败信息到Cache中,鉴权失败信息或无效请求项包括用户设备的MAC地址,以及一个缓存有效期(比如,30分钟)。
本发明通过以下方式提供场所内的MAC鉴权和公共区域漫游:
1.Wi-Fi网络部署的配合。为场所内不同的区域配置不同的VLAN。例如,为酒店内的酒店大堂、酒店商务/会议区和客房区,配置三个不同的VLAN,酒店大堂VLAN、酒店商务/会议区VLAN和客房区VLAN。
2.跨接入区域时引发MAC鉴权。每当用户设备在场所内改变接入区域(例如,从客房区VLAN移动到了酒店大堂VLAN),则会引发MAC鉴权。云端服务器维护账号记录可接入的VLAN的区域属性。若用户设备移动到的VLAN区域在许可范围内,则MAC鉴权通过,否则会引发Portal鉴权或云端鉴权。
3.公共漫游区的设置。针对某些需要独立设置公共漫游区的场所,例如,酒店大堂是所有客人都允许使用Wi-Fi的公共漫游区,那么可以根据VLAN设置一段或多段公共漫游区(例如,可以由网关本地配置,也可以由云端服务器配置后下发),例如VLAN 1000~1015。当用户移动到漫游区域引发MAC鉴权后,网关设备检测到Cache中存在有效请求项,且用户处于公共漫游区VLAN,则直接通过本地MAC鉴权,而避免引发云端MAC鉴权。
4.云端MAC鉴权。当用户通过用户设备进行Portal鉴权或云端鉴权获得鉴权成功时,云端服务器会生成一个带有效期属性、许可VLAN范围的MAC鉴权记录(以MAC地址作为查询主键),供云端快速处理场所内的跨区域MAC鉴权业务。
鉴权单元604当用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息相匹配时,确定用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。当用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息均不相匹配时,确定用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
本申请还实现了用户设备的跨场所MAC漫游。某些同一集团/品牌属性的场所,比如同一集团下的多个酒店或商场,客人从场所A到场所B时,仍然需要Portal鉴权。对此,云端鉴权服务可以设置跨场所漫游,比如允许某酒店集团下的酒店可以180天内自由漫游。当客人从酒店A离店,入住到酒店B时,由于客人已经在酒店A鉴权过,已经生成了MAC鉴权记录,则客人的移动设备在酒店B连接Wi-Fi时,直接无感知MAC鉴权通过,而不需要Portal鉴权。
本地鉴权请求还可以场所标识。在获取每个有效请求项的区域信息之前还包括:获取每个有效请求项的场所信息;获取本地缓存内的多个场所信息集合,每个场所信息集合包括多个场所信息;当用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息属于同一个场所信息集合时,确定用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
当用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息均不属于同一个场所信息集合时,确定用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。还包括当用户设备的当前区域的区域标识与公共区域的标识信息相匹配时,确定用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
本申请还实现了云端服务的有效性探测。例如,网关设备定时探测云端鉴权服务的有效性:1.当发生链路故障或者云端基础设施或服务故障时,网关确认云端鉴权服务不可达,则可以自动切换到免鉴权状态,即客人连入Wi-Fi即可上网,避免云端故障影响客人Wi-Fi体验。2.当故障恢复时,网关自动切换回正常的鉴权状态。
当确定与云端服务器的通信链路处于连接故障状态或云端服务器处于运行故障状态时,确定用户设备的鉴权结果为免鉴权状态并返回用于指示免鉴权状态的响应消息。在返回用于指示免鉴权状态的响应消息之后还包括,将处于免鉴权状态的用户设备的网络连接设置为临时连接状态。当确定与云端服务器的通信链路从网络故障恢复为正常连接状态或云端服务器从故障状态恢复为正常运行状态时,启动具有预定时间长度的计时器,当计时器期满时为处于临时连接状态的用户设备进行本地鉴权。在本申请中,临时连接具备一个较短的有效期属性(例如,1小时、1.5小时)。当有效期期满后,才会要求用户设备重新鉴权,而非故障一恢复就立即要求用户设备重新鉴权。这是基于用户体验的考虑,降低临时连接用户在上网过程中突然被打断、重新鉴权的概率。
本发明采用上面的各种方案和机制,实现一个高可靠、支持场所内、跨场所漫游的Wi-Fi鉴权方案。实际案例中,应用本发明的方案,一套云鉴权服务端,可以有效支撑1600个以上的Wi-Fi运营场所,超过20万并发在线用户。
图7为根据本发明实施例的鉴权***700的结构示意图。鉴权***700包括云端服务器、网关设备、接入设备和用户设备。其中接入设备包括接入设备1、接入设备2、……、接入设备M。用户设备包括用户设备1、用户设备2、……、用户设备N。其中云端服务器可以与多个网关设备进行通信并促使多个网关设备的本地缓存中的有效请求项和无效请求项的一致性。例如,每个网关设备的本地缓存中可以保存相同的有效请求项和无效请求项以实现全局的数据统一。
网关设备接收对用户设备1进行鉴权的本地鉴权请求,对本地鉴权请求进行解析以获取本地鉴权请求所包括的用户设备1的设备标识和当前区域的区域标识。当接入设备1接收到来自用户设备1的接入请求时或者当检测到用户设备1进入接入设备1的服务区域内时,获取用户设备1的设备标识,根据设备标识和当前区域的区域标识生成本地鉴权请求。随后接入设备1将本地鉴权请求发送给网关设备。
网关设备将用户设备1的设备标识与网关设备本地缓存内每个无效请求项的标识信息进行比对,确定是否存在相匹配的无效请求项。当网关设备确定存在相匹配的无效请求项时,确定用户设备1的鉴权结果为本地鉴权失败,并向当前区域的接入设备1返回用于指示禁止发送与用户设备1相关联的本地鉴权请求的响应消息。
当网关设备确定不存在相匹配的无效请求项时,将用户设备1的设备标识与本地缓存内每个有效请求项的标识信息进行比对,确定是否存在相匹配的一个或多个有效请求项。当网关设备确定存在相匹配的一个或多个有效请求项时,获取每个有效请求项的区域信息。当网关设备确定不存在相匹配的有效请求项时,确定用户设备1的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
当用户设备1的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息相匹配时,确定用户设备1的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。当用户设备1的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息均不相匹配时,确定用户设备1的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
当接入设备1接收到用于指示本地鉴权失败的响应消息后,促使用户设备1进行云端鉴权。用户设备1将设备标识和身份信息例如,经由网关设备发送给云端服务器,以进行云端鉴权。云端服务器根据设备标识和身份信息对用户设备1进行云端鉴权,当确定用户设备1的鉴权结果为云端鉴权成功时,将用于指示云端鉴权成功的响应消息发送给网关设备,随后网关设备指示接入设备1允许用户设备1接入网络。其中用于指示云端鉴权成功的响应消息包括:标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期。
网关设备基于用于指示云端鉴权成功的响应消息中的标识信息、身份信息、区域信息、场所信息、授权信息和缓存有效期生成有效请求项,并存储在本地缓存中。在接收到网关设备转发的用于指示云端鉴权成功的响应消息之后,接入设备1允许用户设备1接入服务网络。
云端服务器根据设备标识和身份信息对用户设备进行云端鉴权,当确定用户设备1的鉴权结果为云端鉴权失败时,将用于指示云端鉴权失败的响应消息发送给接入设备1。在接收到由网关设备转发的用于指示云端鉴权失败的响应消息之后,接入设备1拒绝用户设备1接入服务网络。其中无效请求项包括标识信息和缓存有效期。
本地鉴权请求还包括场所标识。在获取每个有效请求项的区域信息之前还包括:获取每个有效请求项的场所信息;获取本地缓存内的多个场所信息集合,每个场所信息集合包括多个场所信息;当用户设备1的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息属于同一个场所信息集合时,确定用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。
当用户设备1的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息均不属于同一个场所信息集合时,确定用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。还包括当用户设备1的当前区域的区域标识与公共区域的标识信息相匹配时,确定用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息。当确定与云端服务器的通信链路处于连接故障状态或云端服务器处于运行故障状态时,确定用户设备1的鉴权结果为免鉴权状态并返回用于指示免鉴权状态的响应消息。在返回用于指示免鉴权状态的响应消息之后还包括,将处于免鉴权状态的用户设备的网络连接设置为临时连接状态。当确定与云端服务器的通信链路从网络故障恢复为正常连接状态或云端服务器从故障状态恢复为正常运行状态时,启动具有预定时间长度的计时器,当计时器期满时为处于临时连接状态的用户设备进行本地鉴权。在本申请中,临时连接具备一个较短的有效期属性(例如,1小时、1.5小时)。当有效期期满后,才会要求用户设备重新鉴权,而非故障一恢复就立即要求用户设备重新鉴权。这是基于用户体验的考虑,降低临时连接用户在上网过程中突然被打断、重新鉴权的概率。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个//该[装置、组件等]”都被开放地解释为装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (10)
1.一种基于本地缓存对用户设备进行鉴权的方法,所述方法包括:
接收对用户设备进行鉴权的本地鉴权请求,对所述本地鉴权请求进行解析以获取所述本地鉴权请求所包括的用户设备的设备标识和当前区域的区域标识;
将所述用户设备的设备标识与所述本地缓存内每个无效请求项的标识信息进行比对,确定是否存在相匹配的无效请求项;
当确定不存在相匹配的无效请求项时,将所述用户设备的设备标识与所述本地缓存内每个有效请求项的标识信息进行比对,确定是否存在相匹配的一个或多个有效请求项;
当确定存在相匹配的一个或多个有效请求项时,获取每个有效请求项的区域信息;以及
当所述用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息相匹配时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息;
在获取每个有效请求项的区域信息之前还包括:
获取每个有效请求项的场所信息;
获取所述本地缓存内的多个场所信息集合,每个场所信息集合包括多个场所信息;
当所述用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息属于同一个场所信息集合时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息;
当所述用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息均不属于同一个场所信息集合时,确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息;
还包括当所述用户设备的当前区域的区域标识与公共区域的标识信息相匹配时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息;
当确定与云端服务器的通信链路处于连接故障状态或云端服务器处于运行故障状态时,确定所述用户设备的鉴权结果为免鉴权状态并返回用于指示免鉴权状态的响应消息;
在返回用于指示免鉴权状态的响应消息之后还包括,将处于免鉴权状态的用户设备的网络连接设置为临时连接状态;
当确定与云端服务器的通信链路从网络故障恢复为正常连接状态或云端服务器从故障状态恢复为正常运行状态时,启动具有预定时间长度的计时器,当计时器期满时为处于临时连接状态的用户设备进行本地鉴权。
2.根据权利要求1所述的方法,当接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,获取所述用户设备的设备标识,根据设备标识和当前区域的区域标识生成本地鉴权请求。
3.根据权利要求1所述的方法,当确定存在相匹配的无效请求项时,确定所述用户设备的鉴权结果为本地鉴权失败,并向当前区域的接入设备返回用于指示禁止发送与所述用户设备相关联的本地鉴权请求的响应消息。
4.根据权利要求1所述的方法,当确定不存在相匹配的有效请求项时,确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
5.根据权利要求1所述的方法,当所述用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息均不相匹配时,确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
6.一种基于本地缓存对用户设备进行鉴权的***,所述***包括:
解析单元,接收对用户设备进行鉴权的本地鉴权请求,对所述本地鉴权请求进行解析以获取所述本地鉴权请求所包括的用户设备的设备标识和当前区域的区域标识;
比对单元,将所述用户设备的设备标识与所述本地缓存内每个无效请求项的标识信息进行比对,确定是否存在相匹配的无效请求项;当确定不存在相匹配的无效请求项时,将所述用户设备的设备标识与所述本地缓存内每个有效请求项的标识信息进行比对,确定是否存在相匹配的一个或多个有效请求项;
获取单元,当确定存在相匹配的一个或多个有效请求项时,获取每个有效请求项的区域信息;以及
鉴权单元,当所述用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息相匹配时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息;
所述鉴权单元,获取每个有效请求项的场所信息;
获取所述本地缓存内的多个场所信息集合,每个场所信息集合包括多个场所信息;
当所述用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息属于同一个场所信息集合时,确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息;
当所述用户设备的场所标识与一个或多个有效请求项中的任意有效请求项的场所信息均不属于同一个场所信息集合时,所述鉴权单元确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息;
还包括当所述用户设备的当前区域的区域标识与公共区域的标识信息相匹配时,所述鉴权单元确定所述用户设备的鉴权结果为本地鉴权成功并返回用于指示本地鉴权成功的响应消息;
当确定与云端服务器的通信链路处于连接故障状态或云端服务器处于运行故障状态时,所述鉴权单元确定所述用户设备的鉴权结果为免鉴权状态并返回用于指示免鉴权状态的响应消息;
处理单元,用于将处于免鉴权状态的用户设备的网络连接设置为临时连接状态;
当确定与云端服务器的通信链路从网络故障恢复为正常连接状态或云端服务器从故障状态恢复为正常运行状态时,所述处理单元启动具有预定时间长度的计时器,当计时器期满时为处于临时连接状态的用户设备进行本地鉴权。
7.根据权利要求6所述的***,还包括处理单元,当接收到来自所述用户设备的接入请求时或者当检测到所述用户设备进入接入设备的服务区域内时,获取所述用户设备的设备标识,根据设备标识和当前区域的区域标识生成本地鉴权请求。
8.根据权利要求6所述的***,当确定存在相匹配的无效请求项时,鉴权单元确定所述用户设备的鉴权结果为本地鉴权失败,并向当前区域的接入设备返回用于指示禁止发送与所述用户设备相关联的本地鉴权请求的响应消息。
9.根据权利要求6所述的***,当确定不存在相匹配的有效请求项时,鉴权单元确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
10.根据权利要求6所述的***,当所述用户设备的当前区域的区域标识与一个或多个有效请求项中的任意有效请求项的区域信息均不相匹配时,鉴权单元确定所述用户设备的鉴权结果为本地鉴权失败并返回用于指示本地鉴权失败的响应消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010296973.XA CN112422490B (zh) | 2020-04-15 | 2020-04-15 | 一种基于本地缓存对用户设备进行鉴权的方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010296973.XA CN112422490B (zh) | 2020-04-15 | 2020-04-15 | 一种基于本地缓存对用户设备进行鉴权的方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112422490A CN112422490A (zh) | 2021-02-26 |
| CN112422490B true CN112422490B (zh) | 2022-07-01 |
Family
ID=74844085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010296973.XA Active CN112422490B (zh) | 2020-04-15 | 2020-04-15 | 一种基于本地缓存对用户设备进行鉴权的方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112422490B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127659A (zh) * | 2007-09-06 | 2008-02-20 | 中兴通讯股份有限公司 | 在WiMAX***中实现用户鉴权控制移动终端上线方法 |
| WO2016188256A1 (zh) * | 2016-01-25 | 2016-12-01 | 中兴通讯股份有限公司 | 一种应用接入鉴权的方法、***、装置及终端 |
| CN107484164A (zh) * | 2016-06-08 | 2017-12-15 | 中兴通讯股份有限公司 | 权限管理方法、微波通信设备及鉴权服务器 |
| CN107659542A (zh) * | 2016-07-26 | 2018-02-02 | 阿里巴巴集团控股有限公司 | 一种鉴权方法及服务器 |
| CN108173850A (zh) * | 2017-12-28 | 2018-06-15 | 杭州趣链科技有限公司 | 一种基于区块链智能合约的身份认证***和身份认证方法 |
| CN109510802A (zh) * | 2017-09-15 | 2019-03-22 | 华为技术有限公司 | 鉴权方法、装置及*** |
-
2020
- 2020-04-15 CN CN202010296973.XA patent/CN112422490B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127659A (zh) * | 2007-09-06 | 2008-02-20 | 中兴通讯股份有限公司 | 在WiMAX***中实现用户鉴权控制移动终端上线方法 |
| WO2016188256A1 (zh) * | 2016-01-25 | 2016-12-01 | 中兴通讯股份有限公司 | 一种应用接入鉴权的方法、***、装置及终端 |
| CN107484164A (zh) * | 2016-06-08 | 2017-12-15 | 中兴通讯股份有限公司 | 权限管理方法、微波通信设备及鉴权服务器 |
| CN107659542A (zh) * | 2016-07-26 | 2018-02-02 | 阿里巴巴集团控股有限公司 | 一种鉴权方法及服务器 |
| CN109510802A (zh) * | 2017-09-15 | 2019-03-22 | 华为技术有限公司 | 鉴权方法、装置及*** |
| CN108173850A (zh) * | 2017-12-28 | 2018-06-15 | 杭州趣链科技有限公司 | 一种基于区块链智能合约的身份认证***和身份认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112422490A (zh) | 2021-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11336652B2 (en) | Service controller at first establishment updating central user profile server to associate device identifier of user device with user identifier to facilitate automatic network service activation for the user device at second establishment | |
| US7050797B2 (en) | Remote control system in mobile communication terminal and method thereof | |
| JP4880699B2 (ja) | サービスアカウントを保護するための方法、システム、及び装置 | |
| US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
| US20180300824A1 (en) | Allowing guest of hospitality establishment to utilize multiple guest devices to access network service | |
| CN101262500B (zh) | 推送登录页面的方法、接入控制器和web认证服务器 | |
| US8213583B2 (en) | Secure access to restricted resource | |
| CN103619019B (zh) | 一种无线网络的上网认证方法 | |
| EP2706719A1 (en) | File synchronization method and device | |
| CN109413649B (zh) | 一种接入认证方法及装置 | |
| CN104735078B (zh) | 一种Portal接入认证***及方法 | |
| CN106686592B (zh) | 一种带有认证的网络接入方法及*** | |
| WO2008121576A4 (en) | Methods and system for terminal authentication using a terminal hardware indentifier | |
| CN105792206A (zh) | 基于信号强度的Portal认证方法、装置和*** | |
| CN113841429B (zh) | 用于发起切片特定的认证和授权的通信网络组件和方法 | |
| CN112383500A (zh) | 一种对涉及投屏设备的访问请求进行控制的方法及*** | |
| KR101916342B1 (ko) | Ap를 활용한 위치기반 마케팅 정보 서비스 시스템 및 그 방법 | |
| CN112422490B (zh) | 一种基于本地缓存对用户设备进行鉴权的方法及*** | |
| CN106535189B (zh) | 网络访问控制信息配置方法、装置及出口网关 | |
| WO2009153402A1 (en) | Method, arrangement and computer program for authentication data management | |
| EP2922318B1 (en) | Method and device for internet protocol multimedia subsystem terminal to access network | |
| CN110611909B (zh) | 一种基于移动终端的身份识别方法及*** | |
| KR100645296B1 (ko) | 이동통신 단말기 전화번호 변경 방법 | |
| WO2020120159A1 (en) | Method and system for delivering dedicated services restricted to a predefined service area | |
| CN114465785B (zh) | 服务器登录管理方法、***、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |