网络实名认证方法及系统的制作方法

网络实名认证方法及系统的制作方法
【专利摘要】本发明涉及一种网络实名认证方法及系统，该方法包括：用户接入无线网络；为用户分配认证前网络访问权限；用户访问Portal服务器；Portal服务器将认证信息发送至第三方认证系统进行认证；第三方认证系统返回认证结果；Portal服务器根据认证结果确定用户分组信息；调用RADIUS认证服务器为用户开户。通过本发明的方法和系统，可以实现统一的实名认证，大大有利于提高实名认证的准确性和安全性，同时能够充分利用现有资源，避免资源浪费。
【专利说明】网络实名认证方法及系统

【技术领域】
[0001] 本发明涉及网络通信领域技术，涉及一种网络实名认证方法及系统，特别的，涉及 一种通过第三方认证平台实现网络实名认证的方法及系统。

【背景技术】
[0002] 目前，餐厅、咖啡店、商场、酒店等大型公共场所向公众提供免费无线上网服务。通 常，公共无线网的网络认证方式包括固定密码认证和手机短信认证。固定密码认证方式即 所有用户共用一个密码，用户只需在搜索到无线网信号后输入公用密码即可实现联网；手 机短信认证方式即用户输入手机号码，网络密码通过短信方式发送至用户手机上，用户输 入手机号码和短信密码实现网络认证。
[0003] 上述两种认证方式都不属于网络实名认证，至少存在以下缺陷：第一，不符合公安 部82号令有关要求，无法对用户的网络操作进行行为审计，出现信息安全事件后，网络管 理责任无法落实，将造成司法证据链不完整；第二，非实名认证无法对网络用户身份进行识 另IJ，无法对用户提供诸如网络带宽保障与限制，网络访问策略限制等差异化网络服务，无法 满足不同层次用户网络需求。
[0004] 可见，上述现有技术均无法满足政府的网络实名认证要求，无法对用户的网络操 作进行行为审计，导致在出现信息安全事件后，网络管理责任无法落实。另一方面，当前社 会中存在大量的第三方身份认证平台都符合实名认证的要求，例如民航离港系统，铁路购 票系统、移动通信服务用户系统、银行账户系统以及支付宝系统等。这些第三方身份认证平 台均存储有用户的实名认证信息，能够实现实名的身份认证。因此，如果能提供一种方法将 这些第三方身份认证平台联系起来，实现统一的实名认证，将大大有利于提高实名认证的 准确性和安全性，同时能够充分利用现有资源，避免资源浪费。


【发明内容】

[0005] 本发明的目的是提供一种网络实名认证方法及系统，通过第三方认证系统实现网 络实名认证，并获取到用户的真实身份信息，从而根据其真实身份信息实现用户网络访问 行为的审计功能。
[0006] 本发明的另一目的是提供一种网络实名认证系统，通过第三方认证系统实现网络 实名认证，并获取到用户的真实身份信息，从而根据其真实身份信息实现用户网络访问行 为的审计功能。
[0007] 根据本发明的一个方面，提供了一种网络实名认证方法，所述方法包括如下步骤： 步骤S1，用户接入无线网络；步骤S2,为用户分配认证前网络访问权限；步骤S3,用户访问 Portal服务器；步骤S4, Portal服务器将认证信息发送至第三方认证系统进行认证；步骤 S5,第三方认证系统返回认证结果；步骤S6, Portal服务器根据认证结果确定用户分组信 息；步骤S7,调用RADIUS认证服务器为用户开户。
[0008] 进一步，用户终端进入网络认证界面的方式包括网页认证方式或软件认证方式， 所述方法中步骤S4包括：步骤S41，若用户终端通过网页认证方式进入网络认证界面，则将 第三方账号信息发送至外部的第三方认证系统进行校验并返回校验结果，并在校验结果正 确时，由第三方认证系统返回用户的实名身份号码及用户的第三方分组信息；步骤S42,若 用户终端通过软件认证方式进入网络认证界面，则将第三方账号信息发送至外部的第三方 软件后台进行校验并返回校验结果，并在校验结果正确时，由第三方软件后台返回用户的 实名身份号码及用户的第三方分组信息。
[0009] 进一步，所述方法中步骤S6还包括：步骤S61，根据用户的实名身份号码查询本地 后台，以获取用户的本地分组信息；步骤S62,将所获取到的本地分组信息与所述第三方分 组信息进行比较，以确定当前用户的用户分组信息。
[0010] 进一步，所述方法中步骤S7还包括：步骤S71，调用RADIUS服务器的开户接口为 用户开户；步骤S72，Portal服务器向网络接入设备发送认证请求报文；步骤S73,网络接入 设备与RADIUS服务器之间进行RADIUS协议报文的交互；步骤S74,网络接入设备向Portal 服务器发送认证应答报文；步骤S75, Portal服务器向用户终端发送认证通过报文，以通知 用户网络认证上线成功；步骤S76，Portal服务器向网络接入设备发送认证应答确认；步骤 S77,网络接入设备为用户开通网络接入，根据用户分组信息为用户下发相应的网络访问策 略；步骤S78，记录用户访问信息。
[0011] 可选的，所述用户访问信息包括IP地址、第三方账号信息、认证时间、用户分组信 息以及用户的实名身份号码中的一种或多种。
[0012] 进一步，所述方法包括：步骤S300,记录用户访问信息；步骤S301，对不同组的用 户分配相应的网络访问策略。
[0013] 可选的，所述网络访问策略包括下述中的一种或多种：互联网带宽分配，互联网网 站访问权限和终端APP访问权限。
[0014] 可选的，所述方法进一步包括：步骤S400,用户终端获取新IP地址；步骤S401， Portal服务器通知网络接入设备客户端IP地址变化；步骤S402,网络接入设备通知 Portal服务器已检测到用户IP变化；步骤S403, Portal服务器向网络接入设备发送IP 变化确认报文；步骤S404,网络接入设备向认证/计费服务器发送用户IP变化报文；步骤 S405,认证/计费服务器向网络接入设备发送用户IP变化确认报文；步骤S406,网络接入 设备为用户开通网络接入。
[0015] 可选的，所述第三方认证系统包括民航离港系统、银行卡系统、支付宝系统、实名 制医疗系统和实名制社保系统中的一种或多种。
[0016] 根据本发明的另一方面，提供了一种网络实名认证系统，所述系统包括：网络模 块，用于提供用户访问的基础网络，用户终端搜索该基础网络并主动接入该基础网络，用 户终端接入该基础网络时的网络访问权限被限制，用户终端进入网络认证界面；网络认证 模块，与网络模块进行信息交互以完成用户终端的网络认证，在校验结果正确后，调用该网 络认证模块的开户接口为用户开户，并向用户终端下发相应的网络访问策略以实现互联网 资源的访问，该网络认证模块记录用户访问信息；第三方认证模块，与用户终端进行信息交 互，用于接收用户在网络认证界面上输入的第三方应用系统的第三方账号信息，将所述第 三方账号信息发送至第三方认证系统进行校验，并由第三方认证系统返回用户认证结果， 如校验结果不正确，则返回认证失败信息并告知用户；如校验结果正确，则第三方认证系统 返回用户的实名身份号码及用户的第三方分组信息；和网络行为管理模块，用于根据用户 的实名身份号码记录用户访问互联网的行为，并根据用户的第三方分组信息部署相应的网 络访问策略。
[0017] 进一步，用户终端进入网络认证界面的方式包括网页认证方式或软件认证方式， 第三方认证模块用于：若用户终端通过网页认证方式进入网络认证界面，则将第三方账号 信息发送至外部的第三方认证系统进行校验并返回校验结果，并在校验结果正确时，由第 三方认证系统返回用户的实名身份号码及用户的第三方分组信息；若用户终端通过软件认 证方式进入网络认证界面，则将第三方账号信息发送至外部的第三方软件后台进行校验并 返回校验结果，并在校验结果正确时，由第三方软件后台返回用户的实名身份号码及用户 的第三方分组信息。
[0018] 进一步，所述第三方认证模块还用于：根据用户的实名身份号码查询本地后台，以 获取用户的本地分组信息；将所获取到的本地分组信息与所述第三方分组信息进行比较， 以确定当前用户的用户分组信息。
[0019] 进一步，所述网络认证模块还用于：调用开户接口为用户开户，输入的开户信息包 括第三方认证账号信息、用户分组信息及用户的实名身份号码，并根据所述用户分组信息 为用户下发相应的网络访问策略，该网络认证模块记录用户访问信息，所述用户访问信息 包括IP地址、第三方账号信息、认证时间、用户分组信息和用户的实名身份号码中的一种 或多种。
[0020] 可选的，所述第三方认证系统至少包括民航离港系统、银行卡系统、信用卡系统、 支付宝系统、实名制医疗系统和实名制社保系统中的一种或多种。
[0021] 如上所述，本发明的网络实名认证方法及系统可以通过第三方认证系统进行网络 实名认证，确认用户身份信息并相应的分配用户的网络使用权限，并基于当前用户身份信 息对该用户的互联网访问行为进行记录。相对于现有技术来说，借用大量的第三方认证平 台已有的身份认证信息，实现了无线网络访问者的实名身份认证，在兼顾用户使用体验和 便利性的基础上，实现统一的实名认证，将大大有利于提高实名认证的准确性和安全性，同 时能够充分利用现有资源，避免资源浪费。

【专利附图】

【附图说明】
[0022] 图1是本发明所采用的Portal认证系统的架构示意图；
[0023] 图2是本发明优选实施例的网络实名认证方法的流程示意图；
[0024] 图3是本发明另一优选实施例的网络实名认证方法的流程示意图；
[0025] 图4是本发明再一优选实施例的网络实名认证方法的流程示意图；
[0026] 图5是本发明优选实施例的网络实名认证系统的结构示意图。

【具体实施方式】
[0027] 为使本发明的目的、技术方案和优点更加清楚明了，下面结合【具体实施方式】并参 照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发 明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本 发明的概念。
[0028] 现有技术中，公共无线网的网络认证方式通常包括网络固定密码认证方式和短信 密码认证方式。
[0029] 网络固定密码认证方式适用于咖啡馆、餐厅等中小面积公共场所，是最简单和方 便的认证方式，一般密码存储在网络设备本地。用户使用终端搜索到免费无线网SSID，点击 连接并输入密码后即可完成认证。
[0030] 短信密码认证方式适用于商场、火车站等较大面积公共场所。用户使用终端接 入无线网络时只有访问Portal认证页面权限，用户访问portal认证页面输入手机号码， Portal服务器随机生成密码，并将密码发送至用户手机，用户输入密码后完成网络认证并 获得Internet访问权限。由于我国存在大量非实名制手机号码，短信密码认证方式不能认 为是完全的实名制认证方式。
[0031] 现有技术的上述认证方式都不能实现完全的实名制认证。基于此，本发明提出了 一种基于Portal认证技术的网络实名认证方法及系统。
[0032] Portal认证通常也称为Web认证，Portal认证网站通常称为门户网站。在Portal 认证系统中，当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证 通过后才可以使用互联网资源。未认证用户上网时，系统会强制用户登录到特定站点，用户 可以免费访问其中的服务。
[0033] Portal认证系统中，用户可以主动访问已知的Portal认证网站，输入用户名和密 码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访 问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强 制认证。
[0034] 图1显示了本发明所采用的Portal认证系统的系统架构示意图。
[0035] Portal认证系统用于实现在未认证用户上网时，设备强制用户登录到特定站点， 用户可以免费访问其中的服务，而当用户需要使用互联网中的其它信息时，必须在门户网 站进行认证，只有认证通过后才可以使用互联网资源。
[0036] 如图1所示，该Portal认证系统主要包括用户终端11 (即认证客户端）、网络接 入设备14、Portal服务器15、认证/计费服务器16和安全策略服务器17。在本发明具体 实施例的Portal认证系统中，还包括一用于无线信号发射的无线发射器13,以适用于公共 无线网络的实名认证。其中，用户10所使用的用户终端11可包括手机、或个人数字处理 (PDA)、或笔记本电脑、或平板电脑等具备无线网络发射和接收功能的设备。网络接入设备 14可为路由器、交换机、无线接入点（AP)、无线控制器等网络设备组成的网络接入系统等。 Portal服务器15是用于接收用户终端11认证请求的服务器端系统，其提供免费门户服务 和基于Web认证的界面，与网络接入设备14交互用户终端11的认证信息。认证/计费服 务器16与接入设备进行交互，用于完成对用户的认证和计费。安全策略服务器17与用户 终端11及网络接入设备14进行交互，以完成对用户的安全认证，并对用户进行授权操作。
[0037] 图2显示了本发明优选实施例的网络实名认证方法的流程示意图。
[0038] 在本发明的优选实施例中，网络实名认证方法采用第三方认证系统进行实名认 证，公共无线网络的提供方与第三方认证账号的提供方通常会事先签署网络认证协议，开 发身份认证端口。第三方认证系统（外部）在用户输入认证信息后，确定用户合法身份信 息，并将用户的实名身份信息（通常为身份证号码）发送至无线网络提供方的相应设备。
[0039] 在本发明的优选实施例中，外部的第三方认证系统例如可以是民航离港系统、铁 路购票系统、移动通信服务用户系统、银行账户系统和/或支付宝系统等，或者是这些系统 的组合。但本发明不限制于此，任何能够具备实名身份认证功能的第三方认证系统都能适 用于本发明。这里，第三方认证系统的认证信息可以是所有能够通过第三方认证平台的实 名验证的信息，例如登陆账号及登陆密码，采用离港系统时可为身份证号+航班号，采用信 用卡系统时可为卡号+有效期等。
[0040] 具体来说，在以民航离港系统作为第三方认证系统时，用户可以输入姓名+航班 号，或者是身份证号+航班号等认证信息，离港系统可返回用户乘机实名身份证件号码。在 以银行卡系统作为第三方认证系统时，用户输入姓名+银行卡号，银行系统可返回持卡人 身份证件号码；在以支付宝系统作为第三方认证账号系统时，用户输入支付宝账号+密码， 支付宝系统可返回用户身份证件号码；在采用信用卡系统时，用户可以输入信用卡号+信 用卡有效期作为认证信息。此外，可以作为第三方认证系统的还例如包括医疗系统账号、社 保系统账号等实名制身份系统账号。优选的，如果无线网络提供方与第三方认证系统提供 方为同一家企业，则无需签署认证协议。
[0041] 下面参照图1及图2介绍本发明优选实施例的网络实名认证方法的具体流程。如 图2所示，所述网络实名认证方法包括如下步骤：
[0042] 步骤S1，用户接入无线网络。
[0043] 用户到达公共区域以后，可使用笔记本电脑、手机、平板电脑等个人终端搜索到无 线网络并接入无线网络。这里，无线网络即提供了用户访问的基础网络，用户终端搜索该基 础网络并主动接入该基础网络，用户终端接入该基础网络时的网络访问权限被限制，用户 终端进入网络认证界面。
[0044] 步骤S2,为用户分配认证前网络访问权限。
[0045] 任何用户终端都可以搜到基础网络，但是刚接入该基础网络时，用户终端的网络 访问权限仅限于登陆网络身份认证界面。身份认证前，用户终端可访问的内容可包括DHCP、 DNS等基本网络服务。用户终端进入网络身份认证界面的方式包括网页登陆方式或软件 (APP)登陆方式，即用户只要开启浏览器就会自动跳转到相应的网页认证界面，而若采用的 是软件（APP)登陆方式，则仅向用户开放该安装于用户终端上的APP软件的访问权限。
[0046] 这里，认证前网络访问权限包括允许访问DHCP、DNS等基本网络服务以及Portal 服务器或移动终端第三方APP接入服务器访问权限，禁止用户访问其他网络资源。
[0047] 步骤S3，用户访问Portal服务器。
[0048] 如果用户请求访问认证前网络访问权限以外的其他网络，则会转到Portal服务 器，通过Portal服务器处理用户的访问请求。
[0049] 具体来说，用户如果使用浏览器访问Portal认证页面，选择相应第三方认证账号 登陆方式，输入认证信息，开启网络认证过程。这里，认证信息通常包括多个认证因素，优选 的至少两个网络认证因素，例如网络认证因素1、网络认证因素2。
[0050] 用户如果使用第三方移动终端APP，访问第三方APP服务器，点击无线网认证开 关，开启网络认证过程。优选的，为保障安全性，可以在点击无线网认证开关后，第三方APP 可要求用户重新输入用户名及密码。
[0051] 步骤S4, Portal服务器将认证信息发送至第三方认证系统进行认证。
[0052] Portal服务器接收用户在网络认证界面上输入的第三方应用系统的认证信息，也 即第三方账号信息，将所述第三方账号信息发送至第三方认证系统进行校验，并由第三方 认证系统返回用户认证结果。
[0053] 这里，所述步骤S4具体包括如下步骤：
[0054] 步骤S41，若用户终端通过网页认证方式进入网络认证界面，则将第三方账号信息 发送至外部的第三方认证系统进行校验并返回校验结果，并在校验结果正确时，由第三方 认证系统返回用户的实名身份号码及用户的第三方分组信息。
[0055] 步骤S42,若用户终端通过软件认证方式进入网络认证界面，则将第三方账号信息 发送至外部的第三方软件后台进行校验并返回校验结果，并在校验结果正确时，由第三方 软件后台返回用户的实名身份号码及用户的第三方分组信息。
[0056] 步骤S5,第三方认证系统返回认证结果。
[0057] 第三方认证系统对用户输入的认证信息进行校验，如校验结果不正确，则返回认 证失败信息并告知用户；如校验结果正确，则第三方认证系统返回用户的实名身份号码及 用户的第三方分组信息。其中，第三方账号信息即是相应的第三方认证账号的用户账号及 密码。比如，若第三方认证系统为支付宝系统，则将用户输入的支付宝账号和密码发送至支 付宝系统服务器进行认证。本发明优选实施例中，为保障安全性，可在点击无线网认证开关 后，第三方应用软件可要求用户重新输入用户名及密码。
[0058] 步骤S6, Portal服务器根据认证结果确定用户分组信息。
[0059] Portal服务器使用实名身份账号，查询后台网络用户分组数据系统，结合用户第 三方分组信息，确定用户分组信息。这里，用户分组信息体现了用户的访问权限，例如某些 网站、端口的访问权限，给用户分配的带宽等。
[0060] 具体地，所述步骤S6还具体包括如下步骤：
[0061] 步骤S61，根据用户的实名身份号码查询本地后台，以获取用户的本地分组信息。
[0062] 步骤S62,将所获取到的本地分组信息与所述第三方分组信息进行比较，以确定当 前用户的用户分组信息。
[0063] 步骤S7,调用RADIUS认证服务器为用户开户。
[0064] 本发明中，优选地米用 RADIUS (Remote Authentication Dial-In User Service, 远程认证拨号用户服务）认证服务器，以作为支持Portal认证的远端认证/计费服务器。
[0065] 在身份校验结果正确后，Portal服务器调用RADIUS认证服务器的开户接口为用 户开户，并向用户终端下发相应的网络访问策略以实现互联网资源的访问，记录用户访问 信息。用户访问信息包括用户的网络认证用户名、密码、用户分组、实名身份号码等。此步 骤中，为用户所下发的网络访问策略通常为初步的网络访问策略，比如根据用户所处在分 组信息进行网络带宽限制。网络认证模块记录IP地址、用户账号，认证时间、分组、身份证 号码等用户访问信息，此时用户可以访问Internet。
[0066] 优选的，步骤S7包括下述步骤：
[0067] 步骤S71，调用RADIUS服务器的开户接口为用户开户。
[0068] 输入的开户信息包括第三方认证账号、认证密码、用户分组信息及用户的实名身 份号码。
[0069] 步骤S72, Portal服务器向网络接入设备发送认证请求报文。
[0070] 所述Portal服务器将所述第三方认证账号账号、认证密码组装成认证请求报文 发往所述网络接入设备。
[0071] 步骤S73,网络接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
[0072] 步骤S74,网络接入设备向Portal服务器发送认证应答报文。
[0073] 步骤S75, Portal服务器向用户终端发送认证通过报文，以通知用户网络认证上 线成功。
[0074] 步骤S76, Portal服务器向网络接入设备发送认证应答确认。
[0075] 步骤S77,网络接入设备为用户开通网络接入，根据用户分组信息为用户下发相应 的网络访问策略。
[0076] 网络接入设备为用户开通网络接入，允许用户访问被管理员授权的互联网资源。
[0077] 步骤S78，记录用户访问信息。
[0078] 用户访问信息包括IP地址、第三方账号信息、认证时间、用户分组信息以及用户 的实名身份号码中的一种或多种。
[0079] 如上所述，根据本发明所提供的网络实名认证方法，用户使用个人终端访问互联 网资源时，网络审计设备可以调用Radius设备查询接口，获取IP地址与用户账号、用户实 名身份信息的真实对应关系，对实名制用户互联网行为进行记录；此外，用户使用个人终端 访问互联网资源时，网络行为管理设备可以调用Radius设备查询接口，获取IP地址与用户 账号、用户组对应关系，灵活的对用户开放网络访问策略和带宽保障。
[0080] 图3显示了本发明另一优选实施例的网络实名认证方法的流程示意图。
[0081] 如图3所示，在本发明的另一优选实施例中，在图2所示实施例的基础上，还增加 了记录用户行为的步骤，具体包括：
[0082] 步骤S300，记录用户访问信息。
[0083] 用户使用个人终端访问互联网资源时，网络审计设备调用Radius设备查询接口， 获取用户接入互联网时的访问信息，包括IP地址与用户账号、用户实名身份信息的真实对 应关系，对实名制用户访问互联网的行为进行记录。
[0084] 步骤S301，对不同组的用户分配相应的网络访问策略。
[0085] 用户使用个人终端访问互联网资源时，网络行为管理设备可以调用Radius设备 查询接口，记录用户在接入互联网之后的各种使用行为信息，包括获取IP地址与用户账 号、用户组对应关系，灵活的对用户开放网络访问策略。这里，网络访问策略通常为用户笔 记本电脑、手机、平板电话等终端分配的网络访问权限，例如包括互联网带宽分配，互联网 网站访问权限、终端APP访问权限等。
[0086] 举例来说，用户在机场使用机场免费无线网上网，使用民航离港系统作为第三方 认证系统进行网络认证以后，系统可以对无线网用户进行分组，分为两舱旅客组、经济舱旅 客组和未成年旅客组。系统为头等舱旅客组分配的网络访问策略为每个用户10M互联网带 宽，可以访问所有的互联网网站，使用所有的终端APP ;为经济舱旅客组分配的网络访问策 略为每个用户5M互联网带宽，无法访问所有视频网站，无法使用终端视频APP，无法使用迅 雷等下载工具；为未成年旅客组分配的网络访问策略为每个用户3M互联网带宽，无法访问 所有网络游戏网站，无法使用所有终端游戏APP。
[0087] 进一步，可以对用户网络行为进行精细化管理，比如对某个用户组视频网站只封 掉优酷，开放其他视频网站，对年龄小于18岁的用户组可以封掉所有网络游戏等等，也可 以实现更精细的带宽分配策略。
[0088] 本实施例中，根据用户的实名身份号码记录用户访问互联网的行为，并根据用户 的第三方分组信息部署相应的网络访问策略。由于用户的实名身份信息可以通过第三方认 证系统来获取，所以用户终端访问互联网资源的流量记录被记录下来，通过查询该流量对 应的实名用户是谁，从而实现两个功能：第一是记录实名的Internet访问记录；第二是根 据实名用户所属于的用户组，为不同的用户分组部署精确的网络访问策略，比如：若用户分 组信息是高级用户，则为其分配较高的网络带宽，并且互联网上所有网站都能访问，所有应 用软件都能访问网络；若用户分组信息是普通用户，则为其分配较低的网络带宽，并且只能 访问部分互联网网站，部分应用软件的使用也受限，如搜狐视频客户端没法用。当然，在本 发明其他实施方式中，用户网络访问策略的精准部署方式不限于上述内容， 申请人:在此不 再赘述。
[0089] 图4显示了本发明另一优选实施例的网络实名认证方法的流程示意图。
[0090] 如图4所示，在本发明的另一优选实施例中，在图2所示实施例的基础上，还增加 了用户终端IP变化的处理流程，具体包括：
[0091] 步骤S400,用户终端获取新IP地址。
[0092] 用户终端进行二次DHCP获取新的IP地址，在Portal服务器向用户终端发送认证 通过报文后，用户终端通过DHCP获得新的公网IP地址，并通知Portal服务器用户已获得 新IP地址。
[0093] 步骤S401，Portal服务器通知网络接入设备客户端IP地址变化。
[0094] 步骤S402,网络接入设备通知Portal服务器已检测到用户IP变化。
[0095] 网络接入设备通过检测ARP协议报文发现了用户IP变化，并通告Portal服务器 已检测到用户IP变化。
[0096] 步骤S403, Portal服务器向网络接入设备发送IP变化确认报文。
[0097] 步骤S404,网络接入设备向认证/计费服务器发送用户IP变化报文。
[0098] 步骤S405,认证/计费服务器向网络接入设备发送用户IP变化确认报文。
[0099] 步骤S406,网络接入设备为用户开通网络接入。
[0100] 网络接入设备为用户开通网络接入，允许用户访问被管理员授权的互联网资源。
[0101] 最后，Portal服务器通知用户上线成功。
[0102] 图5是本发明优选实施方式的网络实名认证系统的结构示意图。
[0103] 如图5所示，本发明优选实施方式的网络实名认证系统的与前述的网络实名认证 方法相对应，所述网络实名认证系统包括网络模块101，网络认证模块102,第三方认证模 块103以及网络行为管理模块104。
[0104] 网络模块101用于提供用户访问的基础网络，用户终端搜索该基础网络并主动接 入该基础网络，用户终端接入该基础网络时的网络访问权限被限制，用户终端进入网络认 证界面。也就是说，任何用户终端都可以搜到给基础网络，但是刚接入该基础网络时，用户 终端的网络访问权限仅限于登陆网络身份认证界面。身份认证前，用户终端可访问的内容 可包括DHCP、DNS等基本网络服务。用户终端进入网络身份认证界面的方式包括网页登 陆方式或软件（APP)登陆方式，即用户只要开启浏览器就会自动跳转到相应的网页认证界 面，而若采用的是软件（APP)登陆方式，则仅向用户开放该安装于用户终端上的APP软件 的访问权限。
[0105] 网络认证模块102连接到网络模块101，其与网络模块进行信息交互以完成用户 终端的网络认证，在校验结果正确后，调用该网络认证模块的开户接口为用户开户，并向用 户终端下发相应的网络访问策略以实现互联网资源的访问，该网络认证模块记录用户访问 信息。这里，网络认证模块102可选的包括Portal服务器和Radius服务器，用于记录用户 的IP地址、第三方用户账号，认证时间、网络策略分组、身份证号码等用户访问信息，此时 用户可以访问Internet。
[0106] 第三方认证模块103连接到网络认证模块102,与用户终端进行信息交互，用于接 收用户在网络认证界面上输入的第三方应用系统的第三方账号信息，将所述第三方账号信 息发送至第三方认证系统进行校验，并由第三方认证系统返回用户认证结果，如校验结果 不正确，则返回认证失败信息并告知用户；如校验结果正确，则第三方认证系统返回用户的 实名身份号码及用户的第三方分组信息。其中，第三方账号信息即是相应的第三方认证账 号的用户账号及密码。比如，若第三方认证系统为支付宝系统，则将用户输入的支付宝账号 和密码发送至支付宝系统服务器进行认证。本发明优选实施例中，为保障安全性，可在点击 无线网认证开关后，第三方应用软件可要求用户重新输入用户名及密码。
[0107] 网络行为管理模块104连接到网络认证模块102,用于根据用户的实名身份号码 记录用户访问互联网的行为，并根据用户的第三方分组信息部署相应的网络访问策略。由 于用户的实名身份信息可以通过第三方认证系统来获取，所以用户终端访问互联网资源的 流量记录被记录下来，通过查询该流量对应的实名用户是谁，从而实现两个功能：第一是记 录实名的Internet访问记录；第二是根据实名用户所属于的用户组，为不同的用户分组部 署精确的网络访问策略，比如：若用户分组信息是高级用户，则为其分配较高的网络带宽， 并且互联网上所有网站都能访问，所有应用软件都能访问网络；若用户分组信息是普通用 户，则为其分配较低的网络带宽，并且只能访问部分互联网网站，部分应用软件的使用也受 限，如搜狐视频客户端没法用。当然，在本发明其他实施方式中，用户网络访问策略的精准 部署方式不限于上述内容， 申请人:在此不再赘述。
[0108] 优选地，所述第三方认证系统包括民航离港系统、或银行卡系统、或支付宝系统、 或实名制医疗系统、或实名制社保系统中的一种或多种。
[0109] 优选地，用户终端进入网络认证界面的方式包括网页认证方式或软件认证方式， 第三方认证模块用于：若用户终端通过网页认证方式进入网络认证界面，则将第三方账号 信息发送至外部的第三方认证系统进行校验并返回校验结果，并在校验结果正确时，由第 三方认证系统返回用户的实名身份号码及用户的第三方分组信息；若用户终端通过软件认 证方式进入网络认证界面，则将第三方账号信息发送至外部的第三方软件后台进行校验并 返回校验结果，并在校验结果正确时，由第三方软件后台返回用户的实名身份号码及用户 的第三方分组信息。
[0110] 优选地，所述第三方认证模块103还用于：根据用户的实名身份号码查询本地后 台，以获取用户的本地分组信息；将所获取到的本地分组信息与所述第三方分组信息进行 比较，以确定当前用户的用户分组信息。
[0111] 优选地，所述网络认证模块102用于：调用开户接口为用户开户，输入的开户信息 包括第三方认证账号信息、用户分组信息及用户的实名身份号码，并根据所述用户分组信 息为用户下发相应的网络访问策略，该网络认证模块记录用户访问信息，所述用户访问信 息包括IP地址、或第三方账号信息、或认证时间、或用户分组信息、或用户的实名身份号码 中的一种或多种。
[0112] 综上所述，本发明的网络实名认证方法及系统通过将用户终端连接到无线网络后 开启网络实名认证过程，接收用户终端发送的第三方认证账号信息以进行网络身份认证， 校验所述第三方认证账号信息是否正确，并在所述第三方认证账号信息校验正确后，匹配 与该第三方认证账号信息相对应的用户身份信息；根据用户身份信息为所述用户终端进行 网络开户，以允许所述用户终端通过该无线网络访问互联网资源，并基于当前用户身份信 息对该用户的互联网访问行为进行记录，从而实现无线网络访问者的实名身份认证，在兼 顾用户使用体验和便利性的基础上，确保实现用户网络访问行为的审计功能。
[0113] 应当理解的是，本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的 原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何 修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨 在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修 改例。
【权利要求】
1. 一种网络实名认证方法，其特征在于，所述方法包括如下步骤： 步骤S1，用户接入无线网络； 步骤S2,为用户分配认证前网络访问权限； 步骤S3,用户访问Portal服务器； 步骤S4, Portal服务器将认证信息发送至第三方认证系统进行认证； 步骤S5,第三方认证系统返回认证结果； 步骤S6, Portal服务器根据认证结果确定用户分组信息； 步骤S7,调用RADIUS认证服务器为用户开户。
2. 根据权利要求1所述的网络实名认证方法，其特征在于，用户终端进入网络认证界 面的方式包括网页认证方式或软件认证方式，所述方法中步骤S4包括： 步骤S41，若用户终端通过网页认证方式进入网络认证界面，则将第三方账号信息发送 至外部的第三方认证系统进行校验并返回校验结果，并在校验结果正确时，由第三方认证 系统返回用户的实名身份号码及用户的第三方分组信息； 步骤S42,若用户终端通过软件认证方式进入网络认证界面，则将第三方账号信息发送 至外部的第三方软件后台进行校验并返回校验结果，并在校验结果正确时，由第三方软件 后台返回用户的实名身份号码及用户的第三方分组信息。
3. 根据权利要求1所述的网络实名认证方法，其特征在于，所述方法中步骤S6还包 括： 步骤S61，根据用户的实名身份号码查询本地后台，以获取用户的本地分组信息； 步骤S62,将所获取到的本地分组信息与所述第三方分组信息进行比较，以确定当前用 户的用户分组信息。
4. 根据权利要求1所述的网络实名认证方法，其特征在于，所述方法中步骤S7还包 括： 步骤S71，调用RADIUS服务器的开户接口为用户开户； 步骤S72, Portal服务器向网络接入设备发送认证请求报文； 步骤S73,网络接入设备与RADIUS服务器之间进行RADIUS协议报文的交互； 步骤S74,网络接入设备向Portal服务器发送认证应答报文； 步骤S75, Portal服务器向用户终端发送认证通过报文，以通知用户网络认证上线成 功； 步骤S76, Portal服务器向网络接入设备发送认证应答确认； 步骤S77,网络接入设备为用户开通网络接入，根据用户分组信息为用户下发相应的网 络访问策略； 步骤S78，记录用户访问信息。
5. 根据权利要求4所述的网络实名认证方法，其特征在于，所述用户访问信息包括IP 地址、第三方账号信息、认证时间、用户分组信息以及用户的实名身份号码中的一种或多 种。
6. 根据权利要求1所述的网络实名认证方法，其特征在于，所述方法进一步包括： 步骤S300,记录用户访问信息； 步骤S301，对不同组的用户分配相应的网络访问策略。
7. 根据权利要求6所述的网络实名认证方法，所述网络访问策略包括下述中的一种或 多种：互联网带宽分配，互联网网站访问权限和终端APP访问权限。
8. 根据权利要求1所述的网络实名认证方法，其特征在于，所述方法进一步包括： 步骤S400,用户终端获取新IP地址； 步骤S401，Portal服务器通知网络接入设备客户端IP地址变化； 步骤S402,网络接入设备通知Portal服务器已检测到用户IP变化； 步骤S403, Portal服务器向网络接入设备发送IP变化确认报文； 步骤S404,网络接入设备向认证/计费服务器发送用户IP变化报文； 步骤S405,认证/计费服务器向网络接入设备发送用户IP变化确认报文； 步骤S406,网络接入设备为用户开通网络接入。
9. 根据权利要求1-8中任一项所述的网络实名认证方法，其特征在于，所述第三方认 证系统包括民航尚港系统、银彳丁卡系统、支付宝系统、实名制医疗系统和实名制社保系统中 的一种或多种。
10. -种网络实名认证系统，其特征在于，所述系统包括： 网络模块，用于提供用户访问的基础网络，用户终端搜索该基础网络并主动接入该基 础网络，用户终端接入该基础网络时的网络访问权限被限制，用户终端进入网络认证界 面； 网络认证模块，与网络模块进行信息交互以完成用户终端的网络认证，在校验结果正 确后，调用该网络认证模块的开户接口为用户开户，并向用户终端下发相应的网络访问策 略以实现互联网资源的访问，该网络认证模块记录用户访问信息； 第三方认证模块，与用户终端进行信息交互，用于接收用户在网络认证界面上输入的 第三方应用系统的第三方账号信息，将所述第三方账号信息发送至第三方认证系统进行校 验，并由第三方认证系统返回用户认证结果，如校验结果不正确，则返回认证失败信息并告 知用户；如校验结果正确，则第三方认证系统返回用户的实名身份号码及用户的第三方分 组信息；和 网络行为管理模块，用于根据用户的实名身份号码记录用户访问互联网的行为，并根 据用户的第三方分组信息部署相应的网络访问策略。
11. 根据权利要求10所述的网络实名认证系统，其特征在于，用户终端进入网络认证 界面的方式包括网页认证方式或软件认证方式，第三方认证模块用于： 若用户终端通过网页认证方式进入网络认证界面，则将第三方账号信息发送至外部的 第三方认证系统进行校验并返回校验结果，并在校验结果正确时，由第三方认证系统返回 用户的实名身份号码及用户的第三方分组信息； 若用户终端通过软件认证方式进入网络认证界面，则将第三方账号信息发送至外部的 第三方软件后台进行校验并返回校验结果，并在校验结果正确时，由第三方软件后台返回 用户的实名身份号码及用户的第三方分组信息。
12. 根据权利要求10所述的网络实名认证系统，其特征在于，所述第三方认证模块还 用于： 根据用户的实名身份号码查询本地后台，以获取用户的本地分组信息； 将所获取到的本地分组信息与所述第三方分组信息进行比较，以确定当前用户的用户 分组信息。
13. 根据权利要求10所述的网络实名认证系统，其特征在于，所述网络认证模块进一 步用于： 调用开户接口为用户开户，输入的开户信息包括第三方认证账号信息、用户分组信息 及用户的实名身份号码，并根据所述用户分组信息为用户下发相应的网络访问策略，该网 络认证模块记录用户访问信息，所述用户访问信息包括IP地址、第三方账号信息、认证时 间、用户分组信息和用户的实名身份号码中的一种或多种。
14. 根据权利要求10-13中任一项所述的网络实名认证系统，其特征在于，所述第三方 认证系统至少包括民航离港系统、银行卡系统、信用卡系统、支付宝系统、实名制医疗系统 和实名制社保系统中的一种或多种。
【文档编号】H04L9/32GK104158824SQ201410442923
【公开日】2014年11月19日 申请日期:2014年9月2日 优先权日:2014年9月2日
【发明者】解芳 申请人:解芳