一種Portal認證方法和設備的制作方法

文檔序號：7810342閱讀：195來源：國知局

一種Portal認證方法和設備的制作方法
【專利摘要】本發明提供一種Portal認證方法和設備，其中方法包括：接入設備接收終端發送的網絡訪問請求；接入設備向所述終端返回重定向報文，所述重定向報文攜帶Portal服務器地址、以及所述終端對應的終端標識信息，以使得所述終端根據所述Portal服務器地址將所述終端標識信息發送至Portal服務器。本發明解決了Portal認證時的IP地址沖突的問題。
【專利說明】一種Portal認證方法和設備

【技術領域】
[0001] 本發明涉及入口認證技術，特別涉及一種Portal認證方法和設備。

【背景技術】
[0002] Portal認證通常也稱為Web認證，一般將Portal認證網站稱為門戶網站，當用戶需要訪問互聯網時，需要在門戶網站進行認證，只有認證通過后才可以使用互聯網資源。隨著網絡技術的發展，運營商開始采用"LTE-Fi+AC"的組網方式，以提高網絡利用率和WLAN 的部署和覆蓋率，這種方式的組網中，作為接入設備的LTE-Fi采用分布式部署，由無線控制器（Access Controller，AC)來管理這些分布式部署的多個LTE-Fi。每個LTE-Fi下可以接入多個需要使用網絡資源的終端，這些終端要使用互聯網資源時也是需要進行Portal 認證的，但是Portal認證集中在AC上進行管理。例如，LTE-Fi在接收到終端發送的Portal 認證請求時，會重定向至Portal服務器，由Portal服務器將終端的認證請求轉發至AC， AC去向認證服務器認證；如果認證通過，AC會向LTE-Fi下發數據轉發規則，用于終端在 LTE-Fi上的數據轉發。
[0003] 上述方式可能存在的問題是，終端上網所需要的IP地址是由其關聯的LTE-Fi分配的，如果每個LTE-Fi各自分配自己負責的IP地址段，有可能出現不同LTE-Fi下的兩個終端具有相同的IP地址；而在集中管理認證的AC側，AC是根據IP地址來區分不同終端的，比如AC會記錄IP地址為***的終端已經認證通過，并查找該IP地址對應的終端關聯在哪個LTE-Fi，并向該LTE-Fi發送數據轉發規則，但是如果AC側發現兩個IP地址相同的終端將導致AC將無法區分，因此，在AC不能出現IP地址沖突的情況。為了避免IP地址沖突，相關技術中有考慮為各個不同的LTE-Fi之間做IP地址規劃，各LTE-Fi之間用于分配的IP 地址段不能重疊，但是這樣當LTE-Fi數量很多有時會有上千臺時，進行IP地址規劃將是一個很大的工作量，不能適應LTE-Fi的大規模部署。

【發明內容】

[0004] 有鑒于此，本發明提供一種Portal認證方法和設備，以解決Portal認證時的IP 地址沖突的問題。
[0005] 具體地，本發明是通過如下技術方案實現的：
[0006] 第一方面，提供一種Portal認證方法，包括：
[0007] 接入設備接收終端發送的網絡訪問請求；
[0008] 所述接入設備向所述終端返回重定向報文，所述重定向報文攜帶Portal服務器地址、以及所述終端對應的終端標識信息，以使得所述終端根據所述Portal服務器地址將所述終端標識信息發送至Portal服務器。
[0009] 可選的，所述終端標識信息，包括：所述終端的MAC地址。
[0010] 可選的，所述終端標識信息還包括如下的至少一項：所述終端的IP地址；或者，所述接入設備的MAC地址和所述終端接入的VLAN ;或者，時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間。
[0011] 可選的，所述接入設備在接收終端發送的網絡訪問請求之前，還包括：所述接入設備接收所述終端發送的地址分配請求；所述接入設備根據所述地址分配請求，確定用于分配給所述終端的待分配IP地址，并檢查所述接入設備的已關聯終端的IP地址是否與所述待分配IP地址相同，若存在IP地址與所述待分配IP地址相同的已關聯終端，則將所述待分配IP地址更改為另一個IP地址。
[0012] 可選的，還包括：所述接入設備與新終端建立關聯，所述新終端是從另一個接入設備移至所述接入設備；在確定所述新終端的IP地址與所述接入設備的已關聯終端的IP地址相同時，向所述新終端發送用于指示重新請求地址的地址重配請求；所述接入設備接收所述新終端發送的地址分配請求，并根據所述地址分配請求向所述新終端分配與所述IP 地址不同的另一個IP地址。
[0013] 第二方面，提供一種Portal認證方法，包括：
[0014] Portal服務器接收終端發送的重定向報文，所述重定向報文攜帶所述終端的IP 地址、以及終端標識信息；
[0015] 所述Portal服務器獲取所述終端的認證信息，并向無線控制器AC發送認證請求，所述認證請求攜帶所述認證信息、所述終端的IP地址和所述終端標識信息，以使得所述AC 根據所述IP地址和所述終端標識信息識別所述終端。
[0016] 第三方面，提供一種Portal認證方法，包括：
[0017] 無線控制器接收Portal服務器發送的認證請求，所述認證請求中攜帶請求認證的所述終端的第一 IP地址、認證信息、以及所述終端對應的終端標識信息；
[0018] 所述無線控制器將所述MAC地址和第一 IP地址對應的所述認證信息發送至認證服務器進行認證，并在認證通過時，向所述終端關聯的接入設備發送數據轉發規則，所述數據轉發規則用于所述接入設備轉發所述終端的數據。
[0019] 可選的，所述終端標識信息，包括：所述終端的MAC地址。
[0020] 可選的，所述終端標識信息中還包括：加密的所述終端對應的第二IP地址；在所述無線控制器接收Portal服務器發送的認證請求之后，還包括：
[0021] 所述無線控制器解密所述終端標識信息，得到所述第二IP地址；所述無線控制器將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較，若所述第一 IP地址與第二 IP地址不同，則向所述Portal服務器返回認證失敗。
[0022] 可選的，所述終端標識信息中還包括：時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間；在所述無線控制器接收Portal服務器發送的認證請求之后，還包括：所述無線控制器解密所述終端標識信息，得到所述時間戳信息；所述無線控制器將所述時間戳信息與當前時間比較，若所述時間戳信息與所述當前時間之間的間隔超過預定時長，則向Portal服務器返回認證失敗。
[0023] 可選的，所述終端標識信息中還包括：所述接入設備的MAC地址和所述終端接入的VLAN ;所述無線控制器向所述終端關聯的接入設備發送數據轉發規則，包括：所述無線控制器根據所述接入設備的MAC地址和所述終端接入的VLAN，向所述接入設備發送數據轉發規則。
[0024] 第四方面，提供一種接入設備，包括：
[0025] 接收單元，用于接收終端發送的網絡訪問請求；
[0026] 處理單元，用于將Portal服務器地址、以及所述終端對應的終端標識信息攜帶在重定向報文中；
[0027] 發送單元，用于向所述終端返回所述重定向報文，以使得所述終端根據所述 Portal服務器地址將所述終端標識信息發送至Portal服務器。
[0028] 可選的，所述終端標識信息還包括如下的至少一項：所述終端的MAC地址；或者，所述終端的IP地址；或者，所述接入設備的MAC地址和所述終端接入的VLAN ;或者，時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間。
[0029] 可選的，所述接收單元，還用于接收所述終端發送的地址分配請求；
[0030] 所述處理單元，還用于根據所述地址分配請求，確定用于分配給所述終端的待分配IP地址，并檢查所述接入設備的已關聯終端的IP地址是否與所述待分配IP地址相同，若存在IP地址與所述待分配IP地址相同的已關聯終端，則將所述待分配IP地址更改為另一個IP地址。
[0031] 可選的，所述處理單元，還用于與新終端建立關聯，所述新終端是從另一個接入設備移至所述接入設備；并確定所述新終端的IP地址與所述接入設備的已關聯終端的IP地址相同；所述發送單元，還用于向所述新終端發送用于指示重新請求地址的地址重配請求；所述接收單元，還用于接收所述新終端發送的地址分配請求，并指示所述處理單元根據所述地址分配請求向所述新終端分配與所述IP地址不同的另一個IP地址。
[0032] 第五方面，提供一種Portal服務器，包括：
[0033] 信息接收單元，用于接收終端發送的重定向報文，所述重定向報文攜帶所述終端的IP地址、以及終端標識信息；
[0034] 認證請求單元，用于獲取所述終端的認證信息，并向無線控制器AC發送認證請求，所述認證請求攜帶所述認證信息、所述終端的IP地址和所述終端標識信息，以使得所述AC根據所述IP地址和終端標識信息識別所述終端。
[0035] 第六方面，提供一種無線控制器，包括：
[0036] 請求接收單元，用于接收Portal服務器發送的認證請求，所述認證請求中攜帶請求認證的所述終端的第一 IP地址、認證信息、以及所述終端對應的終端標識信息；認證處理單元，用于將所述MAC地址和第一 IP地址對應的所述認證信息發送至認證服務器進行認證；結果發送單元，用于在認證通過時，向所述終端關聯的接入設備發送數據轉發規則，所述數據轉發規則用于所述接入設備轉發所述終端的數據。
[0037] 可選的，所述認證處理單元，還用于解密所述終端標識信息，得到終端標識信息中包括的第二IP地址；將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較；所述第一 IP地址與第二IP地址不同，則指示所述結果發送單元向所述Portal服務器返回認證失敗。
[0038] 可選的，所述認證處理單元，還用于解密所述終端標識信息，得到終端標識信息中包括的時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間；將所述時間戳信息與當前時間比較，若所述時間戳信息與所述當前時間之間的間隔超過預定時長，則指示所述結果發送單元向所述Portal服務器返回認證失敗。
[0039] 可選的，所述請求接收單元接收的所述終端標識信息中還包括：所述接入設備的 MAC地址和所述終端接入的VLAN ;所述結果發送單元，在發送數據轉發規則時，具體是用于根據所述接入設備的MAC地址和所述終端接入的VLAN，向所述接入設備發送數據轉發規則。
[0040] 本發明的Portal認證方法和設備，AP在向終端發送重定向報文時，會將終端的終端標識信息也一起發送給終端，這樣終端在重定向至Portal服務器時會將該終端標識信息也發送給Portal服務器，使得Portal服務器在向AC發送認證請求時也會同樣將該終端的終端標識信息發送至AC，AC就可以結合該終端標識信息識別IP地址相同的終端。

【專利附圖】

【附圖說明】
[0041] 圖1是本發明實施例提供的Portal認證方法的應用場景圖；
[0042] 圖2是本發明實施例提供的一種Portal認證方法的流程示意圖；
[0043] 圖3是本發明實施例提供的另一種Portal認證方法的流程示意圖；
[0044] 圖4是本發明實施例提供的又一種Portal認證方法的流程示意圖；
[0045] 圖5是本發明實施例提供的又一種Portal認證方法的信令示意圖；
[0046] 圖6是本發明實施例提供的又一種Portal認證方法的信令示意圖；
[0047] 圖7是本發明實施例提供的又一種Portal認證方法的信令示意圖；
[0048] 圖8是本發明實施例提供的又一種Portal認證方法的信令示意圖；
[0049] 圖9是本發明實施例提供的接入設備AP的結構示意圖；
[0050] 圖10是本發明實施例提供的Portal服務器的結構示意圖；
[0051] 圖11是本發明實施例提供的無線控制器的結構示意圖。

【具體實施方式】
[0052] Portal認證在網絡訪問中是一種常用的門戶認證方式，當前運營商將Portal認證應用在"LTE-Fi+AC"的組網中（LTE-FI是4G與WIFI融合的產品，通過把4G-LTE技術和 WiFi技術有機地結合在一起，將4G網絡作為透明通道回傳 WiFi業務），參見圖1，圖1是本發明實施例提供的Portal認證方法的應用場景圖。LTE-Fi是將4G網絡和WiFi技術的結合，將4G網絡作為透明通道回傳 WiFi業務，LTE-Fi集成了 FitAP和4G的功能（Fit AP是與Fat AP相對來講的，Fat AP將WLAN的實體層、加密、用戶認證、網絡管理等功能集于一身；而FitAP是一個只有射頻和通信功能的AP，功能單一，不能獨立工作）。在大型的運營商網絡中，由于用戶量較大，LTE-Fi采用分布式部署，參見圖1，本發明實施例將LTE-Fi簡稱為AP，圖1示出了三個AP，分別是API、AP2和AP3,各個AP分別對關聯到自己的用戶設備（User Equipment，UE)分配IP地址，但是這三個AP的UE均在AC側進行集中用戶管理。
[0053] 以圖1的場景為例，在進行Portal認證時，UE向AP發送的網絡訪問請求，會被AP 重定向至Portal服務器，UE需要輸入認證信息（例如，用戶名和密碼）給Portal服務器；再由Portal服務器向AC發送認證請求，攜帶UE的標識和認證信息。并且，圖1中所示的三個AP下的各個UE (例如，UE1、UE2和UE3)，在進行Portal認證時，認證請求都會由Portal 集中發給AC，再由AC將認證信息發送至認證服務器（例如，AAA服務器）進行認證。
[0054] 本實施例的Portal認證方法，將針對上述的Portal認證流程，使得AC在集中管理各個AP下的UE時，能夠對不同的UE進行區分，并且即使不同AP下的UE出現了 IP地址相同的情況，在AC也能夠區分。詳見如下各實施例：
[0055] 實施例一
[0056] 圖2是本發明實施例提供的一種Portal認證方法的流程示意圖，本實施例的方法是由接入設備AP (即LTE-Fi)執行的，以AP2為例；可以包括：
[0057] 201、AP接收UE發送的網絡訪問請求；
[0058] 例如，該網絡訪問請求是向某個URL發起的HTTP訪問請求，比如AP2下關聯的 UE2,要訪問某個.com域名的網站，那么UE2就會向AP2發送要訪問該域名的訪問請求。需要說明的是，此時當UE向AP發起訪問請求時，UE已經關聯在AP上，包括AP已經與UE建立了無線連接并且為UE分配了 IP地址。
[0059] 202、AP向終端返回重定向報文，該重定向報文攜帶Portal服務器地址、以及終端對應的終端標識信息；
[0060] 本實施例中，當AP接收到UE發送的訪問請求，但是發現UE尚未進行Portal認證時（只有Portal認證通過才可以訪問網絡資源），AP會將UE重定向至Portal服務器進行認證。
[0061] 具體的，以AP2為例，AP2會向UE2發送重定向報文，該重定向報文攜帶Portal服務器地址，以使得UE2根據該Portal服務器地址連接Portal服務器；并且重定向報文中還攜帶終端對應的終端標識信息。AP2將終端標識信息發送至UE2, UE2在根據Portal服務器地址向Portal服務器訪問時，會將該終端標識信息一起發送給Portal服務器。
[0062] 可選的，上述的終端標識信息中可以包括：UE2的MAC地址，使得Portal服務器將 MAC地址發送至AC后，AC根據該MAC地址實現對IP地址相同的終端的區分。具體實施中，也可以采用MAC地址之外的其他信息來識別終端，只要能夠起到對相同IP地址的終端進行區分的功能即可。
[0063] 本實施例的Portal認證方法，AP在向終端發送重定向報文時，會將終端的MAC 地址也一起發送給終端，這樣終端在重定向至Portal服務器時會將該MAC地址也發送給 Portal服務器，使得Portal服務器在向AC發送認證請求時也會同樣將該終端的MAC地址發送至AC，AC就可以結合該MAC地址識別終端。
[0064] 實施例二
[0065] 圖3是本發明實施例提供的另一種Portal認證方法的流程示意圖，本實施例的方法是由Portal服務器執行；如圖3所示，可以包括：
[0066] 301、Portal服務器接收終端發送的重定向報文，該報文攜帶終端的IP地址、以及終端標識信息；
[0067] 例如，該終端標識信息包括：終端的MAC地址；
[0068] 本實施例中，終端向Portal服務器發送的終端標識信息，是由終端所關聯的AP發送至終端的；需要說明的是，本實施例將AP發送給終端的攜帶Portal服務器地址的報文稱為重定向報文，將終端根據該Portal服務器地址向Portal服務器發送的訪問請求（攜帶終端標識信息）也稱為了重定向報文，具體實施中當然也可以采用其他名稱。
[0069] 302、Portal服務器獲取所述終端的認證信息，并向無線控制器AC發送認證請求，該認證請求攜帶認證信息、終端的IP地址和上述終端標識信息；
[0070] 本實施例中，Portal服務器在接收到UE發送的重定向報文后，會將登錄界面推送給UE，UE側的用戶在該界面輸入用戶名和密碼后返回給Portal服務器，該用戶名和密碼可以稱為認證信息。
[0071] Portal服務器將向AC發送認證請求，攜帶上述的認證信息、終端的IP地址和上述終端標識信息中的UE的MAC地址；這樣，AC側就能夠根據IP地址和MAC地址識別終端，t匕如AC可以記錄為"IP+MAC"對應的終端的認證信息。
[0072] 本實施例的Portal認證方法，Portal服務器在向AC發送認證請求時會將UE的 IP地址和終端標識信息一起發送；這樣在AC就能夠根據"IP+MAC"來識別不同的UE，即使兩個UE的IP地址相同，但是兩者的MAC地址是不同的，因此AC仍然能夠識別這兩個UE，從而解決了 IP地址沖突問題。
[0073] 實施例三
[0074] 圖4是本發明實施例提供的又一種Portal認證方法的流程示意圖，本實施例的方法是由無線控制器AC執行；如圖4所示，可以包括：
[0075] 401、AC接收Portal服務器發送的認證請求；
[0076] 其中，Portal服務器在接收到UE的認證信息（包括用戶名和密碼）后，會將該認證信息攜帶在認證請求中發送至AC，認證請求中還攜帶UE的IP地址、UE對應的終端標識信息（UE的MAC地址）。本實施例中，為了與后續實施例中出現的IP地址區分，本實施例將這里的認證請求中攜帶的UE的IP地址稱為第一 IP地址。
[0077] 402、AC將MAC地址和第一 IP地址對應的終端的認證信息發送至認證服務器進行認證，并在認證通過時，向終端關聯的AP發送數據轉發規則。
[0078] 本實施例中，AC是根據"IP+MAC"來區分不同的終端的，AC會將終端的認證信息 (例如包括用戶名和密碼）發送至認證服務器，例如AAA服務器。在AAA服務器認證通過后，AC會將數據轉發規則發送至終端所關聯的AP。該數據轉發規則是用于AP轉發終端的數據。
[0079] 本實施例的Portal認證方法，AC可以獲取到終端的IP地址和MAC地址，并且根據" IP+MAC"來區分不同的終端，這樣即使在AC集中管理的用戶中，有兩個UE的IP地址相同，但是由于兩者的MAC地址是不同的，因此AC也能夠區分該兩個UE，從而解決了 IP地址沖突的問題。
[0080] 通過本發明實施例的方法，可以有效解決IP地址沖突的問題，即使存在IP地址相同的UE，AC也能夠結合MAC加以區分，這樣就使得不用在分布式部署的AP側統一規劃IP 地址段的分配，不需要給每個AP劃分單獨的IP地址段，減少了工作量，有利于LTE-Fi設備的大規模部署。
[0081] 實施例四
[0082] 圖5是本發明實施例提供的又一種Portal認證方法的信令示意圖，本實施例的方法描述了由AP、Portal和AC等設備配合執行的Portal認證的完整流程；如圖5所示，本實施例的方法可以包括：
[0083] 501、UE向AP發送網絡訪問請求；
[0084] 其中，當UE與AP建立無線連接，并且AP為UE分配了 IP地址后，UE向AP發送網絡訪問請求。
[0085] 502、AP向UE返回第一重定向報文；
[0086] 其中，當AP確定UE尚未進行Portal認證（如果已經通過認證，AP側會有記錄）時，AP將向UE發送重定向報文，本實施例稱為第一重定向報文。
[0087] 具體的，該第一重定向報文中攜帶Portal服務器地址、以及UE對應的終端標識信息，該終端標識信息中可以包括：UE的MAC地址。本實施例中，為了保證安全，終端標識信息采用加密處理；例如，可以采用數據加密算法（Data Encryption Standard,簡稱：DES)或高級加密標準（Advanced Encryption Standard，AES)等加密算法。AP采用的加密算法和相關參數可以預先在AP配置。加密的終端標識信息可以是在第一重定向報文中的某個私有字段中設置。
[0088] 503、UE向Portal服務器發送第二重定向報文；
[0089] 本步驟中，UE將根據Portal服務器地址，向Portal服務器發送第二重定向報文，其中攜帶UE的IP地址、以及加密的終端標識信息。也就是說，UE在從AP接收到加密的終端標識信息之后，會在重定向時，將該加密的終端標識信息發送至Portal服務器。
[0090] 需要說明是，在502中AP在向UE發送第一重定向報文時，在Portal服務器地址以及終端標識信息之外，還可以攜帶其他的參數，例如AP的IP地址等，這是常規技術，本實施例不再詳述；并且，同樣的，UE在向Portal服務器發送第二重定向報文時，在UE的IP地址以及終端標識信息之外，也可以攜帶其他參數，例如UE加入的服務集標識（Service Set Identifier，SSID)等。
[0091] 504、Portal服務器發送登錄界面至UE ;
[0092] 其中，Portal服務器會將接收到的第二重定向報文中的UE的IP地址、加密的終端標識信息等提取出來，并進行保存。
[0093] 505、UE向Portal服務器發送認證信息；
[0094] 例如，UE側的用戶可以通過登錄界面，輸入用戶名、密碼等信息，發送至Portal服務器，請求對認證信息進行認證。
[0095] 506、Portal服務器向AC發送認證請求，該認證請求中攜帶：UE的IP地址和終端標識信息；
[0096] 本實施例中，Portal服務器將在504中接收到的加密的終端標識信息，和UE的IP 地址一起發送至AC ;當然，認證請求中還攜帶用于請求認證的認證信息，比如用戶的用戶名和密碼。
[0097] 507、AC將MAC和IP對應的認證信息發送至AAA服務器請求認證；
[0098] 本實施例中，AC作為集中管理不同AP下的各個UE的設備，以"IP+MAC"的組合來區分不同的UE ;例如，AC可以記錄"IP1+MAC1"對應的UE1，其認證信息是*#*，記錄 " IP2+MAC2"對應的UE2,其認證信息是AC將UE對應的認證信息，例如用戶名和密碼，發送至AAA請求認證。
[0099] 508、AC接收到AAA服務器返回的認證成功的通知；
[0100] 509、AC向Portal服務器通知認證成功；
[0101] 此外，Portal服務器在接收到認證成功的通知后，可以通知UE認證成功，這些可以按照常規技術進行，本實施例不再詳述。
[0102] 510、AC向MAC和IP對應的UE所關聯的AP發送數據轉發規則；
[0103] 本實施例中，AC在確定" IP+MAC"對應的UE認證成功后，將下發該UE對應的數據轉發規則，該規則將下發至UE所關聯的AP上；例如，參見圖1中的UE1，AC會將數據轉發規則發送至API，API將根據該規則轉發UE的數據。
[0104] 本實施例的Portal認證方法，Portal服務器會將UE對應的IP地址和MAC地址均發送至AC，AC可以根據IP+MAC"識別不同的UE，從而使得即使AC發現兩個IP地址相同的UE，也可以結合MAC進行區分。
[0105] 實施例五
[0106] 本實施例與實施例四的區別在于，終端標識信息中還包括UE的MAC地址之外的其他一些信息，這些信息是用于提高Portal認證的安全性，詳見下述的圖6流程，圖6僅示出了一些主要的與實施例四相區別的流程，對于相同的流程例如將認證信息發送至AAA服務器等，本實施例也會執行，但是這些在本實施例中將不再重復描述，圖6中也不再顯示。
[0107] 圖6是本發明實施例提供的又一種Portal認證方法的信令示意圖，如圖6所示，本實施例的方法可以包括：
[0108] 601、UE向AP發送網絡訪問請求；
[0109] 602、AP向UE返回第一重定向報文；
[0110] 本實施例中，第一重定向報文中攜帶Portal服務器地址、以及加密的終端標識信息，該終端標識信息不僅包括UE的MAC地址，還包括如下至少一項：UE的IP地址、以及時間戳信息，該時間戳信息用于表示第一重定向報文的發送時間。這里所述的至少一項的意思是，在UE的MAC地址之外，終端標識信息中可以只包括UE的IP地址、或者只包括時間戳信息、或者時間戳信息和IP地址兩者都包括在終端標識信息中。
[0111] 603、UE向Portal服務器發送第二重定向報文，將加密的終端標識信息也攜帶在報文中發送至Portal服務器；
[0112] 604、Portal服務器發送登錄界面至UE ;
[0113] 605、UE向Portal服務器發送認證信息；
[0114] 606、Portal服務器向AC發送認證請求，該認證請求中攜帶：UE的IP地址和加密的終端標識信息；
[0115] 在本步驟中，Portal服務器向AC發送的UE的IP地址有兩個，其中一個IP地址是在603中UE發送至Portal服務器的，這也是常規技術中Portal服務器需要將UE的IP 地址發送至AC ;另一個IP地址是攜帶在加密的終端標識信息中的，這個加密的終端標識信息是在AP側加密后，由UE轉發給Portal服務器，Portal服務器也不會解密該信息，而是將該加密的終端標識信息發送給AC，終端標識信息中包括了 UE的IP地址。
[0116] 為了在后續描述時能夠清楚的區分這兩個IP地址，可以將加密的終端標識信息中包括的IP地址稱為第二IP地址，將另一個稱為第一 IP地址。
[0117] 607、AC解密終端標識信息，得到IP地址和時間戳信息；
[0118] 本實施例中，AC解密終端標識信息可以得到其中包括的第二IP地址，還可以得到時間戳信息。如前面說明過的，終端標識信息包括第二IP地址、和時間戳信息中的至少一項即可，這里是以兩者均攜帶為例。
[0119] 此外，AC和AP可以是預先配置的相同的加密算法和相關參數，這樣終端標識信息在AP側加密后，AC可以采用相同的算法進行解密。
[0120] 608、AC根據解密的終端標識信息進行初始認證判斷；
[0121] 例如，AC可以進行IP地址的比較，將認證請求中攜帶的第一 IP地址與解密得到的第二IP地址比較，如果第一 IP地址與第二IP地址不同，則表明認證失敗，執行609 ;否貝lj，AC初始認證通過后，可以接著由AC向AAA服務器請求認證，可以結合參見實施例四。
[0122] IP地址比較來判斷是否認證通過是這樣的，舉例如下：假設UE1在進行Portal認證流程，請求訪問網絡資源；某個用戶UE4想要仿冒UE1，其截獲了 UE1向Portal發送第一重定向報文時攜帶的加密的終端標識信息，因為按照本實施例的流程，UE1在重定向時是需要將該加密的終端標識信息發送給Portal的，因此仿冒用戶在截獲后會將加密的終端標識信息發送至Portal服務器。但是，終端標識信息中攜帶的是UE1的IP地址，而UE4向 Portal服務器發送的認證請求中還攜帶的另一個IP地址是UE4自身的IP地址，這兩個地址是不同的，AC可以據此判斷加密的終端標識信息可能是被仿冒用戶截獲的。
[0123] 又例如，AC還可以根據時間戳信息進行比較，將時間戳信息與當前時間比較，該當前時間可以是AC解密獲得該時間戳的時間，或者也可以是AC接收到該認證請求的時間，也可以說是AC本次處理認證請求的時間；若時間戳信息與當前時間之間的間隔超過預定時長（例如該預定時長是5分鐘），則向Portal服務器返回認證失敗。
[0124] 通過時間戳的比較來判斷是否認證通過是這樣的，舉例如下：假設UE1在進行 Portal認證流程，AP在接收到UE1的網絡訪問請求后，向UE1返回了時間戳信息；正常情況下，如果UE1繼續執行后續的登錄Portal、向AC請求認證等，在AC接收到Portal服務器發送的認證請求時應該不會太久。但是有些特殊情況，比如Portal服務器向UE1推送登錄界面后，UE1的用戶并未輸入用戶名和密碼進行認證，而是停止輸入轉而去做其他的事情，那么這個認證流程在登錄界面這里就中斷了。
[0125] UE1的用戶有可能將該登錄界面保存下來比如放在收藏夾，等第二天上網時直接打開昨天收藏夾的登錄界面進行輸入，但是此時可能UE1的IP地址已經與昨天不同了（用戶上網時要重新分配IP地址），那么也就是說Portal服務器在昨天接收并存儲的加密的終端標識信息中的IP地址是昨天的UE1的，這就不符合實際情況，需要UE1重新向AP發送一次網絡訪問請求，由AP重新向UE下發一次攜帶有本次IP地址的加密的終端標識信息，因此，本次AC要反饋認證失敗，觸發Portal服務器通知UE重新啟動訪問。
[0126] 609、AC向Portal服務器返回認證失敗。
[0127] 本實施例的Portal認證方法，通過在終端標識信息中添加 UE的IP地址和時間戳信息，使得AC可以根據這些信息在向AAA請求認證之前，就判斷出用戶的認證信息存在問題，直接向Portal返回認證失敗；這樣加快了認證流程的速度，并且提高了認證的安全性。
[0128] 實施例六
[0129] 本實施例在實施例四的流程基礎上，在終端標識信息中增加了：AP的MAC地址和 UE接入的VLAN信息；當然，終端標識信息中也可以包括實施例五中所述的時間戳等。AP的 MAC地址和UE接入的VLAN信息，主要是為了在認證通過時，提高數據轉發規則的下發速度。
[0130] 例如，AC在接收到AAA服務器返回的認證通過的通知后，AC將向AP下發數據轉發規則；此時，AC可以根據解密終端標識信息得到的AP的MAC地址和UE接入的VLAN信息，快速準確的將數據轉發規則下發到AP，并且UE接入的VLAN信息對應了 AP上的某個端口，向該端口下發了用于UE的數據轉發規則。
[0131] 實施例七
[0132] 本實施例針對的主要是UE在不同AP間漫游的情況，例如，假設UE1從API漫游至 AP2,此時AP2可以執行本實施例的方法，來解決IP地址沖突的問題。圖7是本發明實施例提供的又一種Portal認證方法的信令示意圖，如圖7所示，可以包括：
[0133] 701、AP接收UE發送的地址分配請求；
[0134] 例如，位于AP2下關聯的UE2,向AP2發送地址分配請求。
[0135] 702、AP根據地址分配請求，確定用于分配給UE的待分配IP地址；
[0136] 例如，AP2確定待分配IP地址是IP1，準備將IP1分配給UE2。
[0137] 703、AP檢查已關聯終端的IP地址是否與待分配IP地址相同；
[0138] 例如，前述的UE1已經從API漫游至AP2, AP2可以比較已關聯終端UE1的IP地址，是否與待分配地址IP1相同。如果相同，則執行704。
[0139] 704、AP將待分配IP地址更改為另一個IP地址；
[0140] 例如，AP2將待分配IP地址IP1，更改為IP2,當然IP1和IP2是AP2從自己負責的IP段中選擇分配的。
[0141] 705、AP將IP地址發送至UE。
[0142] 例如，AP2將IP2發送至UE2,作為分配至UE2的IP地址。如果703中的判斷結果是兩個IP地址不同，AP2可以直接將最初的待分配地址IP1發送至UE。
[0143] 在圖7所示的流程中，AP在為關聯到自己的UE分配IP地址時，會先檢查在已關聯自己的終端中是否存在與待分配IP相同的終端，如果有則更換IP分配。
[0144] 圖8是本發明實施例提供的又一種Portal認證方法的信令示意圖，如圖8所示，可以包括：
[0145] 801、AP與新終端建立關聯；
[0146] 例如，UE1從API漫游至AP2,那么對于AP2來說，UE1是新終端。
[0147] 802、AP確定新終端的IP地址與AP的已關聯終端的IP地址相同；
[0148] 例如，AP2的已關聯終端是UE2, UE2的IP地址與UE1的IP地址相同，這里的UE1 的IP地址是UE1漫游之前在API分配的。當AP2發現兩者的IP地址相同時，可以繼續執行 803 ;
[0149] 803、AP向新終端發送重關聯指示；
[0150] 例如，AP2向UE1發送重關聯指示，通知UE1重新進行關聯。
[0151] 804、新終端根據重關聯指示，與AP之間執行重關聯流程，并請求AP分配IP地址；
[0152] UE1會根據AP發送的重關聯指示，與AP之間執行重關聯流程；例如UE1向AP發送關聯請求幀開始關聯，攜帶SSID和協商速率等信息，重關聯流程可以按照常規流程執行，不再詳述。建立關聯后，UE1將向AP請求分配IP地址。
[0153] 805、AP向新終端分配另一個IP地址；
[0154] 此時AP2會向UE1分配一個與UE2不同的IP地址。
[0155] 通過本實施例的Portal認證方法，AP側可以在關聯漫游的UE時，避免同一個AP 下的IP地址沖突情況的發生。
[0156] 如下的實施例八至實施例十，提供了設備的結構，在這些實施例中僅對設備結構進行簡單描述，其具體的工作原理可以結合參見方法實施例。
[0157] 實施例八
[0158] 圖9是本發明實施例提供的接入設備AP的結構示意圖，如圖9所示，該AP可以包括：接收單元91、處理單元92和發送單元93 ;其中，
[0159] 接收單元91，用于接收終端發送的網絡訪問請求；
[0160] 處理單元92,用于將Portal服務器地址、以及所述終端對應的終端標識信息攜帶在重定向報文中；例如，該終端標識彳目息包括：終端的MAC地址；
[0161] 發送單元93,用于向所述終端返回所述重定向報文，以使得所述終端根據所述 Portal服務器地址將所述終端標識信息發送至Portal服務器。
[0162] 進一步的，所述終端標識信息還包括如下的至少一項：所述終端的IP地址；或者，所述接入設備的MAC地址和所述終端接入的VLAN ;或者，時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間。
[0163] 進一步的，所述接收單元91，還用于接收所述終端發送的地址分配請求；所述處理單元92,還用于根據所述地址分配請求，確定用于分配給所述終端的待分配IP地址，并檢查所述接入設備的已關聯終端的IP地址是否與所述待分配IP地址相同，若存在IP地址與所述待分配IP地址相同的已關聯終端，則將所述待分配IP地址更改為另一個IP地址。
[0164] 進一步的，所述處理單元92,還用于與新終端建立關聯，所述新終端是從另一個接入設備移至所述接入設備；并確定所述新終端的IP地址與所述接入設備的已關聯終端的 IP地址相同；所述發送單元93,還用于向所述新終端發送用于指示重新請求地址的地址重配請求。接收單元91，還用于接收所述新終端發送的地址分配請求，并指示所述處理單元 92根據所述地址分配請求向所述新終端分配與所述IP地址不同的另一個IP地址。
[0165] 實施例九
[0166] 圖10是本發明實施例提供的Portal服務器的結構示意圖，如圖10所示，該 Portal服務器可以包括：信息接收單元1001和認證請求單元1002 ;其中，
[0167] 信息接收單元1001，用于接收終端發送的重定向報文，所述重定向報文攜帶所述終端的IP地址、以及終端標識信息；例如，該終端標識信息包括：終端的MAC地址；
[0168] 認證請求單元1002,用于獲取所述終端的認證信息，并向無線控制器AC發送認證請求，所述認證請求攜帶所述認證信息、所述終端的IP地址和所述終端標識信息，以使得所述AC根據所述IP地址和MAC地址識別所述終端。
[0169] 實施例十
[0170] 圖11是本發明實施例提供的無線控制器的結構示意圖，如圖11所示，該無線控制器可以包括：請求接收單元1101、認證處理單元1102和結果發送單元1103 ;其中，
[0171] 請求接收單元1101，用于接收Portal服務器發送的認證請求，所述認證請求中攜帶請求認證的所述終端的第一 IP地址、認證信息、以及所述終端對應的終端標識信息；例如，該終端標識信息包括：終端的MAC地址；
[0172] 認證處理單元1102,用于將所述MAC地址和第一 IP地址對應的所述認證信息發送至認證服務器進行認證；
[0173] 結果發送單元1103,用于在認證通過時，向所述終端關聯的接入設備發送數據轉發規則，所述數據轉發規則用于所述接入設備轉發所述終端的數據。
[0174] 進一步的，認證處理單元1102，還用于解密所述終端標識信息，得到終端標識信息中包括的第二IP地址；將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較；所述第一 IP地址與第二IP地址不同，則指示所述結果發送單元向所述Portal服務器返回認證失敗。
[0175] 進一步的，認證處理單元1102，還用于解密所述終端標識信息，得到終端標識信息中包括的時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間；將所述時間戳信息與當前時間比較，若所述時間戳信息與所述當前時間之間的間隔超過預定時長，則指示所述結果發送單元向所述Portal服務器返回認證失敗。
[0176] 進一步的，請求接收單元1101接收的所述終端標識信息中還包括：所述接入設備的MAC地址和所述終端接入的VLAN ;結果發送單元1103,在發送數據轉發規則時，具體是用于根據所述接入設備的MAC地址和所述終端接入的VLAN，向所述接入設備發送數據轉發規則。
[0177] 以上所述僅為本發明的較佳實施例而已，并不用以限制本發明，凡在本發明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明保護的范圍之內。
【權利要求】
1. 一種Portal認證方法，其特征在于，包括：接入設備接收終端發送的網絡訪問請求；所述接入設備向所述終端返回重定向報文，所述重定向報文攜帶Portal服務器地址、以及所述終端對應的終端標識信息，以使得所述終端根據所述Portal服務器地址將所述終端標識信息發送至Portal服務器。
2. 根據權利要求1所述的方法，其特征在于，所述終端標識信息，包括：所述終端的MAC 地址。
3. 根據權利要求1或2所述的方法，其特征在于，所述終端標識信息還包括如下的至少一項：所述終端的IP地址；或者，所述接入設備的MAC地址和所述終端接入的VLAN ; 或者，時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間。
4. 根據權利要求1所述的方法，其特征在于，所述接入設備在接收終端發送的網絡訪問請求之前，還包括：所述接入設備接收所述終端發送的地址分配請求；所述接入設備根據所述地址分配請求，確定用于分配給所述終端的待分配IP地址，并檢查所述接入設備的已關聯終端的IP地址是否與所述待分配IP地址相同，若存在IP地址與所述待分配IP地址相同的已關聯終端，則將所述待分配IP地址更改為另一個IP地址。
5. 根據權利要求1所述的方法，其特征在于，還包括：所述接入設備與新終端建立關聯，所述新終端是從另一個接入設備移至所述接入設備；在確定所述新終端的IP地址與所述接入設備的已關聯終端的IP地址相同時，向所述新終端發送用于指示重新請求地址的地址重配請求；所述接入設備接收所述新終端發送的地址分配請求，并根據所述地址分配請求向所述新終端分配與所述IP地址不同的另一個IP地址。
6. -種Portal認證方法，其特征在于，包括： Portal服務器接收終端發送的重定向報文，所述重定向報文攜帶所述終端的IP地址、以及終端標識信息；所述Portal服務器獲取所述終端的認證信息，并向無線控制器AC發送認證請求，所述認證請求攜帶所述認證信息、所述終端的IP地址和所述終端標識信息，以使得所述AC根據所述IP地址和所述終端標識信息識別所述終端。
7. -種Portal認證方法，其特征在于，包括：無線控制器接收Portal服務器發送的認證請求，所述認證請求中攜帶請求認證的所述終端的第一 IP地址、認證信息、以及所述終端對應的終端標識信息；所述無線控制器將所述MAC地址和第一 IP地址對應的所述認證信息發送至認證服務器進行認證，并在認證通過時，向所述終端關聯的接入設備發送數據轉發規則，所述數據轉發規則用于所述接入設備轉發所述終端的數據。
8. 根據權利要求7所述的方法，其特征在于，所述終端標識信息，包括：所述終端的MAC 地址。
9. 根據權利要求7或8所述的方法，其特征在于，所述終端標識信息中還包括：加密的所述終端對應的第二IP地址；在所述無線控制器接收Portal服務器發送的認證請求之后，還包括：所述無線控制器解密所述終端標識信息，得到所述第二IP地址；所述無線控制器將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較，若所述第一 IP地址與第二IP地址不同，則向所述Portal服務器返回認證失敗。
10. 根據權利要求7所述的方法，其特征在于，所述終端標識信息中還包括：時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間；在所述無線控制器接收Portal服務器發送的認證請求之后，還包括：所述無線控制器解密所述終端標識信息，得到所述時間戳信息；所述無線控制器將所述時間戳信息與當前時間比較，若所述時間戳信息與所述當前時間之間的間隔超過預定時長，則向所述Portal服務器返回認證失敗。
11. 根據權利要求7所述的方法，其特征在于，所述終端標識信息中還包括：所述接入設備的MAC地址和所述終端接入的VLAN ; 所述無線控制器向所述終端關聯的接入設備發送數據轉發規則，包括：所述無線控制器根據所述接入設備的MAC地址和所述終端接入的VLAN，向所述接入設備發送數據轉發規則。
12. -種接入設備，其特征在于，包括：接收單元，用于接收終端發送的網絡訪問請求；處理單元，用于將Portal服務器地址、以及所述終端對應的終端標識信息攜帶在重定向報文中；發送單元，用于向所述終端返回所述重定向報文，以使得所述終端根據所述Portal服務器地址將所述終端標識信息發送至Portal服務器。
13. 根據權利要求12所述的接入設備，其特征在于，所述終端標識信息還包括如下的至少一項：所述終端的MAC地址；或者，所述終端的IP地址；或者，所述接入設備的MAC地址和所述終端接入的VLAN ;或者，時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間。
14. 根據權利要求12所述的接入設備，其特征在于，所述接收單元，還用于接收所述終端發送的地址分配請求；所述處理單元，還用于根據所述地址分配請求，確定用于分配給所述終端的待分配IP 地址，并檢查所述接入設備的已關聯終端的IP地址是否與所述待分配IP地址相同，若存在 IP地址與所述待分配IP地址相同的已關聯終端，則將所述待分配IP地址更改為另一個IP 地址。
15. 根據權利要求12所述的接入設備，其特征在于，所述處理單元，還用于與新終端建立關聯，所述新終端是從另一個接入設備移至所述接入設備；并確定所述新終端的IP地址與所述接入設備的已關聯終端的IP地址相同；所述發送單元，還用于向所述新終端發送用于指示重新請求地址的地址重配請求；所述接收單元，還用于接收所述新終端發送的地址分配請求，并指示所述處理單元根據所述地址分配請求向所述新終端分配與所述IP地址不同的另一個IP地址。
16. -種Portal服務器，其特征在于，包括：信息接收單元，用于接收終端發送的重定向報文，所述重定向報文攜帶所述終端的IP 地址、以及終端標識信息；認證請求單元，用于獲取所述終端的認證信息，并向無線控制器AC發送認證請求，所述認證請求攜帶所述認證信息、所述終端的IP地址和所述終端標識信息，以使得所述AC根據所述IP地址和終端標識信息識別所述終端。
17. -種無線控制器，其特征在于，包括：請求接收單元，用于接收Portal服務器發送的認證請求，所述認證請求中攜帶請求認證的所述終端的第一 IP地址、認證信息、以及所述終端對應的終端標識信息；認證處理單元，用于將所述MAC地址和第一 IP地址對應的所述認證信息發送至認證服務器進行認證；結果發送單元，用于在認證通過時，向所述終端關聯的接入設備發送數據轉發規則，所述數據轉發規則用于所述接入設備轉發所述終端的數據。
18. 根據權利要求17所述的無線控制器，其特征在于，所述認證處理單元，還用于解密所述終端標識信息，得到終端標識信息中包括的第二 IP地址；將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較；所述第一 IP地址與第二IP地址不同，則指示所述結果發送單元向所述Portal服務器返回認證失敗。
19. 根據權利要求17所述的無線控制器，其特征在于，所述認證處理單元，還用于解密所述終端標識信息，得到終端標識信息中包括的時間戳信息，所述時間戳信息用于表示所述重定向報文的發送時間；將所述時間戳信息與當前時間比較，若所述時間戳信息與所述當前時間之間的間隔超過預定時長，則指示所述結果發送單元向所述Portal服務器返回認證失敗。
20. 根據權利要求17所述的無線控制器，其特征在于，所述請求接收單元接收的所述終端標識信息中還包括：所述接入設備的MAC地址和所述終端接入的VLAN ; 所述結果發送單元，在發送數據轉發規則時，具體是用于根據所述接入設備的MAC地址和所述終端接入的VLAN，向所述接入設備發送數據轉發規則。
【文檔編號】H04L29/12GK104104516SQ201410369824
【公開日】2014年10月15日申請日期:2014年7月30日優先權日:2014年7月30日
【發明者】徐勇剛申請人:杭州華三通信技術有限公司

完整全部詳細技術資料下載