一种Portal认证方法、接入设备和管理服务器与流程

本发明涉及通信技术领域，尤其涉及一种门户(Portal)认证方法、接入设备、管理服务器和Portal服务器。

背景技术：

Portal认证是一种常用的终端接入网络的认证方式，终端接入网络时，访问任意的互联网(WEB)页面，从而发起超文本传输协议(Hyper Text Transfer Protocol，简称HTTP)报文，由网络接入设备(简称为接入设备)将该HTTP报文重定向到Portal服务器，终端在Portal服务器提供的认证页面输入账号密码进行认证，认证通过后便可正常访问网络。由于Portal认证不需要安装认证客户端软件，终端通过浏览器即可实现认证，因此应用广泛。

Portal认证通常涉及Portal服务器和验证、授权和记账(Authentication、Authorization、Accounting，简称AAA)服务器，其中，Portal服务器用于显示认证页面、接收终端在认证页面上输入的认证信息和显示认证结果，AAA服务器用于终端身份认证和通知接入设备终端的授权结果，具体的Portal认证流程包括：

步骤一：终端访问任意网页，发起超文本传输协议(Hyper Text Transfer Protocol，简称HTTP)报文，若接入设备发现此终端还未认证通过，则将所述HTTP报文重定向到Portal服务器。

步骤二：终端在Portal服务器提供的认证页面输入用户名、密码等认证信息，并将认证信息提交到Portal服务器进行认证。

步骤三：Portal服务器发送私有协议的认证请求报文给接入设备，该私有协议的认证请求报文中携带终端的用户名、密码等认证信息。

步骤四：接入设备发送远端用户拨入验证服务(Remote Authentication Dial in User Service，简称RADIUS)协议的认证请求报文给AAA服务器，该RADIUS协议的认证请求报文中携带终端的用户名、密码等认证信息。

步骤五：AAA服务器校验接收的RADIUS协议的认证请求报文中携带的用户名、密码等认证信息，确定是否认证通过该认证信息所表征的终端，以及根据认证结果确定该终端的授权结果。

步骤六：AAA服务器将授权结果通过RADIUS协议报文返回给接入设备。

步骤七：接入设备根据授权结果对终端进行授权。

步骤八：接入设备通过私有协议发送认证应答报文给Portal服务器。

步骤九：Portal服务器返回认证结果页面给终端。

步骤十：若认证通过，则接入设备允许终端访问网络。

然而，现在越来越多的Portal认证场景中，接入设备和Portal服务器之间、接入设备和AAA服务器之间需要进行网络地址转换(Network Address Translation，简称NAT)，如无线局域网(wireless local area network，简称WLAN)认证场景中，WLAN的接入设备——接入点(Access Point，AP)分散在各个地方，Portal服务器和AAA服务器部署在公有云的数据中心，AP和Portal服务器、AAA服务器之间可能存在NAT设备，使得Portal服务器和AAA服务器发送给接入设备的报文有时不能被接入设备所接收，进而可能导致上述步骤三中位于公有云中的Portal服务器不能直接向接入设备发送Portal认证请求，导致无法完成Portal认证。

技术实现要素：

本发明实施例提供一种Portal认证方法、接入设备、管理服务器和Portal服务器，接入设备和Portal服务器、AAA服务器之间有NAT设备的情况下无法完成Portal认证的问题。

第一方面，提供了一种Portal认证方法，应用于需要进行网络地址转换NAT的网络中，接入设备向管理服务器发送结果查询请求，所述结果查询请求中包括所述接入设备的设备标识ID；所述接入设备接收所述管理服务器响应所述结果查询请求返回的结果查询响应，所述结果查询响应中包括第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由Portal服务器提供给所述管理服务器；所述接入设备根据所述第一授权结果中的认证指示和所述第一认证ID，确定第一终端是否通过Portal认证，并根据所述第一授权结果中的授权信息确定是否转发所述第一终端的超文本传输协议HTTP报文，从而在所述第一终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

结合第一方面，在第一方面的第一种可能的实现方式中，在所述接入设备向管理服务器发送结果查询请求之前，还包括：

若未启动用于触发发送所述结果查询请求的定时器，则所述接入设备启动所述定时器；

所述接入设备向管理服务器发送结果查询请求，包括：

若所述定时器超时，则所述接入设备向管理服务器发送所述结果查询请求。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，在所述定时器超时之后，还包括：

所述接入设备删除所述定时器；或

所述接入设备复位所述定时器并重新计时。

接入设备通过设置定时器触发结果查询请求，与处于NAT设备外网的管理服务器建立连接，使得后续管理服务器可以通过此连接下发授权结果给处于NAT设备内网的接入设备，从而在所述第一终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

结合第一方面和第一方面的第一种至第二种可能的实现方式中的任意一种，在第一方面的第三种可能的实现方式中，在所述接入设备向管理服务器发送结果查询请求之前，还包括：

所述接入设备接收来自未通过Portal认证的所述第一终端的HTTP报文；

所述接入设备发送重定向的统一资源定位符URL给所述第一终端，使得所述第一终端根据所述重定向的URL向所述Portal服务器发起认证请求，以使所述Portal服务器对所述第一终端进行Portal认证并向所述管理服务器提供所述第一对应关系；所述重定向的URL中包括所述设备ID和所述第一认证ID。

结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述结果查询响应中还包括第二对应关系，所述第二对应关系包括第二认证ID和第二授权结果；所述第二认证ID与所述第一认证ID互不相同。

通过在结果查询响应中一次携带多个对应关系，接入设备可以一次获得多个授权结果，完成多个Portal认证，从而提高Portal认证效率。

结合第一方面和第一方面的第一种至第四种可能的实现方式中的任意一种，在第一方面的第五种可能的实现方式中，所述设备ID为唯一标识所述接入设备的媒体访问控制MAC地址或编号。

结合第一方面和第一方面的第一种至第五种可能的实现方式中的任意一种，在第一方面的第六种可能的实现方式中，所述第一认证ID基于所述第一终端的地址生成，为

所述第一终端的MAC地址与随机数的和值；或

所述第一终端的互联网协议IP地址与随机数的和值；或

对所述第一终端的MAC地址与随机数的和值做哈希运算后得到的值；或

对所述第一终端的IP地址与随机数的和值做哈希运算后得到的值。

接入设备通过使用这种方式生成的认证ID来标识每一次Portal认证，可以增加认证的安全性。

第二方面，提供了一种Portal认证方法，应用于需要进行网络地址转换NAT的网络中，管理服务器接收接入设备发送的结果查询请求，所述结果查询请求中包括所述接入设备的设备标识ID；所述管理服务器根据所述结果查询请求，确定所述设备ID对应的第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由Portal服务器提供给所述管理服务器；所述管理服务器向所述接入设备返回结果查询响应，所述结果查询响应中包括所述第一对应关系，以使所述接入设备根据所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

结合第二方面，在第二方面的第一种可能的实现方式中，在所述管理服务器接收接入设备发送的结果查询请求之前，还包括：

所述管理服务器接收所述Portal服务器提供的所述设备ID和所述第一对应关系，将所述第一对应关系存入第一缓存队列，所述第一缓存队列的队列ID为所述设备ID。

管理服务器按照设备ID设置缓存队列存储对应关系，可以提高查询效率。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述管理服务器根据所述结果查询请求，确定所述设备ID对应的第一对应关系，包括：

所述管理服务器根据所述设备ID，确定所述第一缓存队列，

从所述第一缓存队列中获取所述第一对应关系。

结合第二方面的第一种可能的实现方式，在第二方面的第三种可能的实现方式中，所述管理服务器根据所述结果查询请求，确定所述设备ID对应的第一对应关系，包括：

所述管理服务器根据所述设备ID，确定所述第一缓存队列；

获取所述第一缓存队列中的所有对应关系，包括所述第一对应关系和第二对应关系，所述第二对应关系中包括第二认证ID和第二授权结果，所述第二认证ID与所述第一认证ID互不相同；

相应地，所述结果查询响应中还包括所述第二对应关系。

这样，在响应一个接入设备的结果查询时，从缓存队列中获得所有对应关系，使得接入设备的一次查询可以完成多个Portal认证，从而提高Portal认证效率。

结合第二方面或第二方面的第一种可能的实现方式，在第二方面的第四种可能的实现方式中，在所述管理服务器向所述接入设备返回结果查询响应之后，还包括：

所述管理服务器将所述设备ID和所述第一认证ID通知给所述Portal服务器，使得所述Portal服务器返回认证结果页面给对应的终端。

由处于NAT设备外网的管理服务器代替处于NAT设备内网的接入设备，来通知Portal服务器哪些授权结果已下发，可以减少接入设备和Portal服务器之间经过NAT设备的交互次数，提高认证效率。

第三方面，提供了一种Portal认证方法，应用于需要进行网络地址转换NAT的网络中，Portal服务器根据终端提交的认证信息获取第一授权结果，与所述第一授权结果分别对应的接入设备的设备标识ID和第一认证ID；所述第一授权结果中包括认证指示和授权信息；所述Portal服务器将第一对应关系和所述设备ID发送给管理服务器保存，所述第一对应关系包括所述第一授权结果和所述第一认证ID，以便所述接入设备根据所述设备ID查询所述第一对应关系，并根据获取到的所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

结合第三方面，在第三方面的第一种可能的实现方式中，所述Portal服务器根据终端提交的认证信息获取第一授权结果，与所述第一授权结果分别对应的接入设备的设备ID和第一认证ID，包括：

所述Portal服务器接收所述终端通过重定向的统一资源定位符URL向所述Portal服务器发起的认证请求；所述重定向的URL由所述接入设备提供给所述终端，所述重定向的URL中包括所述设备ID和所述第一认证ID；

所述Portal服务器返回认证页面给所述终端，所述认证页面中包括所述设备ID和所述第一认证ID；

所述Portal服务器接收所述终端提交的认证信息，所述认证信息包括所述终端在所述认证页面上输入的终端信息以及所述认证页面中包括的所述设备ID和所述第一认证ID；

所述Portal服务器将所述终端信息发送到验证、授权和记账AAA服务器进行认证；

所述Portal服务器接收所述AAA服务器基于所述终端信息返回的所述第一授权结果；或，所述Portal服务器接收所述AAA服务器基于所述终端信息返回的认证结果，并基于所述认证结果生成所述第一授权结果；

所述Portal服务器从所述认证信息中获取与所述第一授权结果分别对应的所述设备ID和所述第一认证ID。

Portal服务器通过直接将终端提交的认证信息发送到AAA服务器，不经过接入设备来转发，可以减少接入设备和Portal服务器、AAA服务器之间经过NAT设备的交互次数。

结合第三方面或第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，在所述Portal服务器将所述第一对应关系和所述设备ID发送给管理服务器保存之后，还包括：

所述Portal服务器接收所述管理服务器通知的所述设备ID和所述第一认证ID；

所述Portal服务器根据所述设备ID和所述第一认证ID，确定所述终端的地址；

所述Portal服务器根据所述终端的地址，向所述终端发送认证结果页面。

第四方面，提供了一种接入设备，所述接入设备具有实现上述方法中接入设备行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的实现方式中，所述接入设备包括发送器、接收器和处理器，所述发送器、所述接收器和所述处理器之间通过总线相互连接；其中

所述发送器，用于向管理服务器发送结果查询请求，所述结果查询请求中包括所述接入设备的设备标识ID；

所述接收器，用于接收所述管理服务器响应所述结果查询请求返回的结果查询响应，所述结果查询响应中包括第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由Portal服务器提供给所述管理服务器；

所述处理器，用于根据所述第一授权结果中的认证指示和所述第一认证ID，确定第一终端是否通过Portal认证，并根据所述第一授权结果中的授权信息确定是否转发所述第一终端的超文本传输协议HTTP报文，从而在所述第一终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

另一种可能的实现方式中，所述接入设备包括：

发送单元，用于向管理服务器发送结果查询请求，所述结果查询请求中包括所述接入设备的设备标识ID；

接收单元，用于接收所述管理服务器响应所述结果查询请求返回的结果查询响应，所述结果查询响应中包括第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由Portal服务器提供给所述管理服务器；

处理单元，用于根据所述第一授权结果中的认证指示和所述第一认证ID，确定第一终端是否通过Portal认证，并根据所述第一授权结果中的授权信息确定是否转发所述第一终端的超文本传输协议HTTP报文，从而在所述第一终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

第五方面，提供了一种管理服务器，所述管理服务器具有实现上述方法中管理服务器行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的实现方式中，所述管理服务器包括发送器、接收器和处理器，所述发送器、所述接收器和所述处理器之间通过总线相互连接；其中

所述接收器，用于接收接入设备发送的结果查询请求，所述结果查询请求中包括所述接入设备的设备标识ID；

所述处理器，用于根据所述结果查询请求，确定所述设备ID对应的第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由门户Portal服务器提供给所述管理服务器；

所述发送器，用于向所述接入设备返回结果查询响应，所述结果查询响应中包括所述第一对应关系，以使所述接入设备根据所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

另一种可能的实现方式中，所述接入设备包括：

接收单元，用于接收接入设备发送的结果查询请求，所述结果查询请求中包括所述接入设备的设备标识ID；

处理单元，用于根据所述结果查询请求，确定所述设备ID对应的第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由门户Portal服务器提供给所述管理服务器；

发送单元，用于向所述接入设备返回结果查询响应，所述结果查询响应中包括所述第一对应关系，以使所述接入设备根据所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

第六方面，提供了一种Portal服务器，所述Portal服务器具有实现上述方法中Portal服务器行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的实现方式中，所述Portal服务器包括发送器、接收器和处理器，所述发送器、所述接收器和所述处理器之间通过总线相互连接；其中

所述接收器，用于接收终端提交的认证信息；

所述处理器，用于根据所述认证信息获取第一授权结果，与所述第一授权结果分别对应的接入设备的设备标识ID和第一认证ID；

所述发送器，用于将第一对应关系和所述设备ID发送给管理服务器保存，所述第一对应关系包括所述第一授权结果和所述第一认证ID，以便所述接入设备根据所述设备ID查询所述第一对应关系，并根据获取到的所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

另一种可能的实现方式中，所述Portal服务器包括：

接收单元，用于接收终端提交的认证信息；

处理单元，用于根据所述认证信息获取第一授权结果，与所述第一授权结果分别对应的接入设备的设备标识ID和第一认证ID；

发送单元，用于将第一对应关系和所述设备ID发送给管理服务器保存，所述第一对应关系包括所述第一授权结果和所述第一认证ID，以便所述接入设备根据所述设备ID查询所述第一对应关系，并根据获取到的所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

利用本申请提供的方案，通过处于NAT设备外网的Portal服务器将授权结果缓存在同处于NAT设备外网的管理服务器上，由处于NAT设备内网的接入设备主动向管理服务器获取授权结果，解决了接入设备和Portal服务器、AAA服务器之间有NAT网络的情况下无法进行Portal认证的问题，并且减少了接入设备和Portal服务器、AAA服务器之间的交互次数，提高了跨NAT网络的Portal认证场景下的认证性能。

附图说明

图1为一种接入设备和Portal服务器之间存在NAT设备时的组网示意图；

图2为本发明实施例提供的一种Portal认证方法应用的系统架构的示意图；

图3为本发明实施例提供的一种Portal认证方法的交互流程图；

图4A为本发明实施例提供的一种接入设备的结构示意图；

图4B为本发明实施例提供的另一种接入设备的结构示意图；

图5A为本发明实施例提供的一种管理服务器的结构示意图；

图5B为本发明实施例提供的另一种管理服务器的结构示意图；

图6A为本发明实施例提供的一种Portal服务器的结构示意图；

图6B为本发明实施例提供的另一种Portal服务器的结构示意图。

具体实施方式

传统的Portal认证中，设备之间通信不需要经过NAT设备，接入设备和Portal服务器之间、接入设备和AAA服务器之间是双向互通的，但在存在NAT设备的场景下，接入设备和Portal服务器之间、接入设备和AAA服务器之间并不能做到双向互通。

如图1所示为一种接入设备和Portal服务器之间存在NAT设备时的组网示意图，接入设备处于NAT设备的内网，Portal服务器位于NAT设备的外网，接入设备和Portal服务器之间的报文都要通过NAT设备转发。处于内网的接入设备可以主动与Portal服务器建立连接，但处于外网的Portal服务器不能主动与接入设备建立连接。

以图1为例，当位于内网的接入设备1发送报文给位于外网的Portal服务器时，NAT设备可以对接入设备1发送的报文进行转换，将报文的源互联网协议(Internet Protocol，简称IP)地址192.168.1.10(即接入设备1的IP地址)转换为NAT设备的外网IP地址210.32.122.58，以及将报文的源端口，例如，端口号为8000，转换为一个新端口，例如端口号为11000，并且NAT设备会记录端口11000、IP地址210.32.122.58与端口8000、IP地址192.168.1.10的映射关系，此时接入设备1和Portal服务器建立了连接，并可以进行通信。而如果是位于外网的Portal服务器主动向位于内网的接入设备1发送报文，报文只能是发送给NAT设备的外网IP地址，但是此时NAT设备上并没有外网到内网 的端口和IP地址的映射关系，因此NAT设备无法将报文转发给接入设备1。即使接入设备与Portal服务器建立了连接，NAT设备上的端口和IP地址的映射关系也不会长期存在，如果设定时间段内接入设备和Portal服务器之间没有报文往来，那么映射关系将会老化、被删除，之后Portal服务器返回的报文也将无法再送达给接入设备(此时就相当于Portal服务器主动向接入设备发送报文的情形)，接入设备和Portal服务器之间的通信失败。一旦映射关系删除后，只有接入设备主动向Portal服务器发送报文建立新的映射关系，Portal服务器和接入设备间的通信才能进行，而新建立的映射关系与上一次建立的映射关系不一定相同。

针对这种接入设备和Portal服务器、AAA服务器之间有NAT设备的场景，为了解决双向互通的问题，可以考虑在接入设备和Portal服务器、AAA服务器之间建立传输控制协议(Transmission Control Protocol，简称TCP)长连接。所谓TCP长连接，表示即使在接入设备和Portal服务器、AAA服务器之间没有需要传输的报文时，所述TCP长连接也不会中断。通过TCP长连接的通道，Portal服务器和AAA服务器可以随时给接入设备发送报文。但为了保证TCP长连接不中断，接入设备需要周期性地通过TCP长连接的通道给Portal服务器和AAA服务器发送心跳报文，以保证NAT设备上存储的端口和IP地址的映射关系不被删除。建立TCP长连接的方式需要一直与Portal服务器和AAA服务器保持连接，会消耗Portal服务器和AAA服务器的内存资源和端口资源。

本发明实施例提供了一种Portal认证方法，通过位于外网的Portal服务器将授权结果缓存在同位于外网的管理服务器上，由处于内网的接入设备主动向管理服务器获取授权结果，解决了接入设备和Portal服务器、AAA服务器之间存在NAT设备的情况下无法完成Portal认证的问题，并且减少了接入设备和Portal服务器、AAA服务器之间的交互次数，提高了设备之间通信需要经过NAT设备场景下的Portal认证的认证性能。相比在接入设备和Portal服务器、AAA服务器之间建立TCP长连接这种方式，降低了对Portal服务器和AAA 服务器的内存资源和端口资源的消耗。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供的Portal认证方法，应用于图2所示的系统中，该系统包括终端、接入设备、NAT设备、管理服务器、Portal服务器和AAA服务器，其中，

终端，也可称之为用户设备(User Equipment，简称UE)，终端可以是移动电话、计算机或者车载移动装置等。终端在未通过Portal认证之前，通过浏览器访问外部网络，均会被接入设备重定向到Portal服务器的认证页面，终端在认证页面上输入账号和密码进行Portal认证，在通过Portal认证之后，即可正常访问外部网络。

接入设备，为终端连接到网络的网络设备，可以是交换机、路由器等硬件设备，用于将未通过Portal认证的终端发送的HTTP报文重定向到Portal服务器进行身份认证，获取所管理终端的授权结果，根据获取到的授权结果对终端进行授权。

NAT设备，可以插接在接入设备上，也可以是独立设备，终端和接入设备位于NAT设备的内网，管理服务器、Portal服务器和AAA服务器位于NAT设备的外网。

管理服务器，用于保存Portal服务器提供的授权结果，并在接收到接入设备的结果查询请求时返回与该接入设备的设备标识(Identifier，简称ID)对应的授权结果，还可以通知Portal服务器哪些接入设备下的终端的授权结果已下发。

Portal服务器，用于显示认证页面、接收终端在认证页面上输入的认证信息，将接收的认证信息直接发送给AAA服务器进行终端身份认证，并将授权 结果发送给管理服务器保存，以及在接收到管理服务器授权结果已下发的通知时返回认证结果页面给已下发的授权结果对应的终端。

AAA服务器，存有所有终端的信息，用于终端身份认证。AAA服务器有多种类型，常用的AAA服务器有活动目录(Active Directory，AD)服务器、轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)服务器、RADIUS服务器等。

本发明实施例中，管理服务器、Portal服务器和AAA服务器可以合并在一个物理服务器上，也可以分开部署。

管理服务器和Portal服务器分开部署，可以减少接入设备和外网设备的连接。因为Portal服务器可能存在多台，若管理服务器的功能由Portal服务器实现，即管理服务器和Portal服务器合并部署，则需要在每台Portal服务器上都部署管理服务器，接入设备也需要连接多台Portal服务器。而若管理服务器和Portal服务器分开部署，则可以由管理服务器统一连接多台Portal服务器，接入设备只需要与管理服务器相连。

另外，管理服务器和Portal服务器分开部署，还可以避免暴露接入设备的接口。原因在于，若管理服务器和Portal服务器合并部署，当Portal服务器由第三方提供时则需要向第三方的Portal服务器开放接入设备的接口，以便于第三方的Portal服务器知道接入设备的接口协议，进而与接入设备交互。而若管理服务器和Portal服务器分开部署，由于不要求接入设备与Portal服务器做对接，因此可以对Portal服务器屏蔽接入设备的接口，此外这种方式还降低了接入设备和Portal服务器之间的耦合性。

图3所示为本发明实施例提供的Portal认证方法的交互流程图，所述方法可应用于需要进行NAT的网络中，所述方法包括：

S301：接入设备接收来自未通过Portal认证的第一终端的HTTP报文。

其中，所述HTTP报文由所述第一终端在访问任意的网页时发送。

实际应用中，接入设备上通常维护有一记录了通过Portal认证的终端的列 表，接入设备在接收到HTTP报文后，通过判断发送该HTTP报文的终端是否在列表上，来确定发送该HTTP报文的终端是否通过Portal认证。

S302：所述接入设备发送重定向的统一资源定位符(Uniform Resource Locator，简称URL)给所述第一终端。

本发明实施例中，所述接入设备返回给所述第一终端的所述重定向的URL中包括了所述接入设备的设备ID和基于所述第一终端的地址生成的第一认证ID。

后续Portal服务器对所述第一终端进行Portal认证并向所述管理服务器发送第一授权结果时，将把所述第一授权结果连同所述设备ID和所述第一认证ID一起发送给管理服务器。

所述管理服务器根据授权结果对应的设备ID，可以区分每个授权结果应下发给哪个接入设备。所述设备ID可以为能唯一标识所述接入设备的媒体访问控制(Media Access Control，简称MAC)地址或接入设备的编号。

认证ID用于标识每一次Portal认证。不同终端发起的Portal认证，生成的认证ID是不同的。同一终端发起的多次Portal认证，每一次生成的认证ID也是不同的，这样可以增加认证的安全性，防止有人截获某个终端之前的授权结果，并将截获的授权结果来仿冒认证。认证ID由终端连接的接入设备生成，可以根据终端的地址生成；例如，可以是终端的MAC地址与随机数的和值，或者可以是终端的IP地址与随机数的和值，或者可以是对终端的MAC地址与随机数的和值做哈希运算后得到的值，或者也可以是对终端的IP地址与随机数的和值做哈希运算后得到的值。

如下所示为一重定向的URL示例：

http://portalserver/portal？deviceid＝a123c56312bd&authid＝ab238463c523

其中，deviceid＝a123c56312bd表示设备ID，authid＝ab238463c523表示认证ID。

S303：所述第一终端根据所述重定向的URL向Portal服务器发起认证请 求。

S304：所述Portal服务器接收到所述第一终端的认证请求后，向所述第一终端返回认证页面。

本发明实施例中，所述Portal服务器返回的认证页面中将包括上述重定向的URL中包括的所述接入设备的设备ID和所述第一认证ID。所述设备ID和所述第一认证ID可能存放在认证页面的隐藏字段中，不为终端所见。

S305：所述第一终端在认证页面上输入用户名、密码等终端信息。

S306：所述第一终端提交认证信息给所述Portal服务器，所述认证信息包括所述第一终端在所述认证页面上输入的终端信息以及所述认证页面中包括的所述设备ID和所述第一认证ID。

S307：所述Portal服务器将所述认证信息中的终端信息发送到AAA服务器进行认证。

本发明实施例中，Portal服务器直接将终端信息发送到AAA服务器，不需要经过接入设备转发，这样可以减少接入设备和Portal服务器、AAA服务器之间经过NAT设备的交互次数。

针对不同类型的AAA服务器，Portal服务器采用不同的协议发送终端信息，例如，如果AAA服务器是Radius服务器，则Portal服务器采用Radius协议，如果AAA服务器是AD服务器，则Portal服务器采用AD协议，如果AAA服务器是LDAP服务器，则Portal服务器采用LDAP协议。

S308：所述AAA服务器根据认证结果确定所述第一终端的第一授权结果。

AAA服务器上可以维护一个授权结果映射表，所述授权结果映射表用于指示不同IP地址的终端在认证通过或认证不通过的情况下应该下发什么样的授权结果。

本发明实施例中，授权结果中包括认证指示，用于指示终端是否通过Portal认证。可选的，所述授权结果中还包括授权信息，用于指示终端能够访问的IP地址范围。当然，终端也可以不受限制的访问任何IP地址。接入设备基于授 权结果能够决定是否转发终端发送的HTTP报文。

S309：所述AAA服务器将所述第一授权结果返回给所述Portal服务器。

可选的，在本发明的另一实施例中，所述授权结果映射表可以由Portal服务器来维护，AAA服务器直接将终端的认证结果发送给Portal服务器，由Portal服务器根据AAA服务器返回的认证结果来确定终端的授权结果。

S310：所述Portal服务器将所述第一授权结果，以及与所述第一授权结果分别对应的所述接入设备的设备ID和所述第一认证ID一起发送给管理服务器保存。

所述Portal服务器可以从所述认证信息中获取与所述第一授权结果分别对应的所述设备ID和所述第一认证ID。

可选的，在本发明的另一实施例中，Portal服务器可以将所述设备ID和所述第一认证ID连终端信息一同发送给AAA服务器，并由AAA服务器在确定所述第一授权结果后，直接将所述第一授权结果，所述设备ID和所述第一认证ID发送给管理服务器保存。

本发明实施例中，所述管理服务器可以根据设备ID对授权结果分组存储。所述管理服务器一般可以但不限于通过缓存队列的形式存储授权结果，例如还可以通过表格的形式来存储授权结果，本发明实施例以缓存队列为例进行说明，不构成对本发明的限定。

所述管理服务器在接收到所述第一授权结果、设备ID和所述第一认证ID后，若存在第一缓存队列的队列ID与所述设备ID相同，则所述管理服务器将所述第一授权结果和所述第一认证ID，即第一对应关系存入所述第一缓存队列。所述缓存队列用于保存从Portal服务器或AAA服务器接收的、但还未下发给接入设备的授权结果、设备ID和认证ID等信息。若不存在所述第一缓存队列，则所述管理服务器设置第一缓存队列，所述第一缓存队列的队列ID为所述设备ID，并将所述第一授权结果和所述第一认证ID，即所述第一对应关系一起存入所述第一缓存队列中。

可选地，还可以将所述设备ID与所述第一对应关系(所述第一授权结果和所述第一认证ID)一起存储在缓存队列中。

S311：所述接入设备向所述管理服务器发送结果查询请求，所述结果查询请求中包括所述接入设备的设备ID。

可选的，所述结果查询请求可以是通过私有协议定义的专门用于获取授权结果的消息。

可选的，在另一实施例中，若接入设备在启动时便与所述管理服务器建立了TCP长连接，则所述管理服务器可以保存与其建立了连接的接入设备的设备ID的信息，如接入设备的IP地址与接入设备的设备ID的对应关系，所述管理服务器可以根据发送所述结果查询请求的接入设备的IP地址确定该接入设备的设备ID，因此所述结果查询请求中也可以不包括所述接入设备的设备ID。

可选的，本发明实施例中所述接入设备可以在接收到来自所述第一终端的HTTP报文之后，若未启动用于触发发送所述结果查询请求的定时器，则所述接入设备启动所述定时器。若已启动所述定时器，则表示接入设备在接收到所述第一终端的HTTP报文之前，还接收到了另一未通过Portal认证的第二终端的HTTP报文并启动了所述定时器，则接入设备无需重复启动定时器。

若所述定时器超时，则触发所述接入设备向管理服务器发送所述结果查询请求。由于结果查询请求由处于NAT设备内网的接入设备主动发起，因此结果查询请求可以转发到管理服务器，接入设备和管理服务器之间建立了连接可以正常通信，从而解决了设备之间通信需要经过NAT设备的场景下，位于NAT设备外网的Portal服务器无法向位于NAT设备内网的接入设备下发授权结果的问题。

可选的，本发明实施例中在所述定时器超时之后，所述接入设备可以删除所述定时器，也可以复位所述定时器并重新计时。

即，本发明实施例中所述定时器可以是周期性的，也可以是一次性的。在 高峰期时，接入设备可以考虑采用周期性的定时器，在非高峰期时，接入设备可以考虑采用一次性的定时器。实际应用中，可以将周期性的定时器的周期设置为2-3秒。

S312：所述管理服务器接收来自所述接入设备的结果查询请求之后，根据所述结果查询请求，确定所述结果查询请求包括的所述设备ID对应的第一对应关系，所述第一对应关系包括所述第一认证ID和所述第一授权结果。

可选的，本发明实施例中管理服务器可以首先确定所述结果查询请求包括的接入设备的设备ID，或者是确定发送所述结果查询请求的接入设备的设备ID，然后根据确定出的设备ID，确定所述第一缓存队列，即队列ID为所述确定出的设备ID的缓存队列，并从所述第一缓存队列中获取所述第一对应关系。

本发明实施例中，所述管理服务器在根据所述设备ID确定所述第一缓存队列后，还可以获取所述第一缓存队列中的所有对应关系，包括所述第一对应关系和第二对应关系，所述第二对应关系中包括第二认证ID和第二授权结果，所述第二认证ID与所述第一认证ID互不相同。相应地，后续S313中所述管理服务器返回的结果查询响应中除了包括所述第一对应关系之外，还将包括所述第二对应关系，这样所述接入设备通过发送一个结果查询请求，便可以一次性获取到所述接入设备所管理的多个终端的授权结果。

S313：所述管理服务器向所述接入设备返回结果查询响应，所述结果查询响应中包括所述第一对应关系。

本发明实施例中，所述接入设备收到的结果查询响应中除了包括所述第一对应关系，即所述第一授权结果和所述第一认证ID外，还可以包括其它的多个终端的授权结果和所述多个终端的授权结果分别对应的认证ID，其中，所述多个终端的授权结果对应的认证ID互不相同。可选的，所述结果查询响应中还可以包括所述多个终端的授权结果分别对应的设备ID，其中，所述多个终端的授权结果对应的设备ID是相同的。

在所述管理服务器将所述第一缓存队列内包括的所有对应关系发送给所 述接入设备之后，所述管理服务器将删除所述第一缓存队列，即将已发送给接入设备的对应关系从所述管理服务器上删除。

可选的，本发明实施例中，可以在所述管理服务器向所述接入设备返回结果查询响应之后，由所述管理服务器将已下发给所述接入设备的授权结果对应的所述设备ID和所述第一认证ID直接通知给所述Portal服务器，从而减少接入设备和Portal服务器、AAA服务器之间经过NAT设备的交互次数。

由于在终端通过重定向的URL连接到Portal服务器时，终端和Portal服务器之间建立了一个TCP短连接，所述TCP短连接在设定时间内可以一直保持直至Portal服务器通过所述TCP短连接的通道返回报文给终端时所述TCP短连接将断开；Portal服务器会记录终端的地址与该重定向的URL中包括的设备ID和认证ID的对应关系，因此，Portal服务器在收到所述管理服务器通知的所述设备ID和所述第一认证ID后，可以根据所述设备ID和所述第一认证ID，确定出对应的终端的地址，并基于Portal服务器与所述终端之间的TCP短连接通道，根据确定的所述终端的地址，向所述终端发送认证结果页面，以通知所述终端其Portal认证的流程已结束。

S314：所述接入设备接收所述管理服务器响应所述结果查询请求返回的上述结果查询响应后，根据所述第一授权结果中的认证指示和所述第一认证ID，确定所述第一终端是否通过Portal认证，并根据所述第一授权结果中的授权信息确定是否转发所述第一终端的HTTP报文，从而在所述第一终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

本发明实施例中，所述接入设备在基于终端的地址生成认证ID时，可以保存生成的认证ID；后续接收到结果查询响应，接入设备将结果查询响应中包括的认证ID，与所述接入设备保存的认证ID进行比对。若所述接入设备保存的认证ID中存在一个认证ID与结果查询响应中包括的第三认证ID一致，则可以根据所述第三认证ID对应的第三授权结果包括的认证结果来确定所述第三认证ID表征的终端是否通过认证，进一步地，接入设备可以根据所述第三 授权结果所规定的该终端可以访问的IP地址范围，确定是否转发该终端发送的HTTP报文。接入设备对该终端授权后可以删除接入设备上保存的所述第三认证ID。

若所述接入设备保存的认证ID中不存在任何一个认证ID与结果查询响应中包括的第四认证ID一致，则表明所述第四认证ID对应的第四授权结果为仿冒的，接入设备可以忽略所述第四授权结果。

若结果查询响应中包括的认证ID中不存在任何一个认证ID与所述接入设备保存的第五认证ID一致，则表明所述接入设备还未接收到所述第五认证ID对应的授权结果，所述接入设备继续保存所述第五认证ID。

基于上述实施例提供的Portal认证方法，本发明实施例提供一种接入设备400，用于实现上述Portal认证方法中接入设备的功能，如图4A所示，接入设备400包括发送器401，接收器402和处理器403，其中，所述发送器401，所述接收器402和所述处理器403之间通过总线404相互连接。

所述发送器401，用于向管理服务器发送结果查询请求，所述结果查询请求中包括所述接入设备的设备ID。

所述接收器402，用于接收所述管理服务器响应所述结果查询请求返回的结果查询响应，所述结果查询响应中包括第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由Portal服务器提供给所述管理服务器。

所述处理器403，用于根据所述第一授权结果中的认证指示和所述第一认证ID，确定第一终端是否通过Portal认证，并根据所述第一授权结果中的授权信息确定是否转发所述第一终端的HTTP报文，从而在所述第一终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

所述接入设备400还包括若干通信接口分别连接所述管理服务器和所述终端。

可选的，在所述发送器401向管理服务器发送结果查询请求之前，所述处理器403还用于：若未启动用于触发发送所述结果查询请求的定时器，则启动所述定时器。

可选的，所述发送器401向管理服务器发送结果查询请求，具体包括：若所述定时器超时，则所述发送器401向管理服务器发送所述结果查询请求。

可选的，在所述定时器超时之后，所述处理器403还用于：删除所述定时器；或，复位所述定时器并重新计时。

可选的，在所述发送器401向管理服务器发送结果查询请求之前，所述接收器402还用于：接收来自未通过Portal认证的所述第一终端的HTTP报文。相应的，所述发送器401还用于，发送重定向的URL给所述第一终端，使得所述第一终端根据所述重定向的URL向Portal服务器发起认证请求，以使所述Portal服务器对所述第一终端进行Portal认证并向所述管理服务器提供所述第一对应关系；所述重定向的URL中包括所述设备ID和所述第一认证ID。

可选的，所述接收器402接收的所述结果查询请求中还包括第二对应关系，所述第二对应关系包括第二认证ID和第二授权结果；所述第二认证ID与所述第一认证ID互不相同。

可选的，所述设备ID为能唯一标识所述接入设备的MAC地址或编号。

可选的，所述第一认证ID由所述处理器403根据所述第一终端的地址生成，如所述第一认证ID可以为所述第一终端的MAC地址与随机数的和值；或，所述第一认证ID可以为所述第一终端的IP地址与随机数的和值；或，所述第一认证ID可以为对所述第一终端的MAC地址与随机数的和值做哈希运算后得到的值；或，所述第一认证ID可以为对所述第一终端的IP地址与随机数的和值做哈希运算后得到的值。

所述处理器403可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路 (Application Specific Integrated Circuit，简称ASIC)、现场可编程门阵列(Field－Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件等。

所述处理器403为CPU时，所述接入设备400还可以包括：存储器，用于存储程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可能包含随机存取存储器(random access memory，简称RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。所述处理器403执行所述存储器中存储的程序代码，实现上述功能。

本发明实施例还提供一种接入设备4000，用于实现上述Portal认证方法中接入设备的功能。如图4B所示，所述接入设备4000包括发送单元4001、接收单元4002和处理单元4003；其中

所述发送单元4001，用于向管理服务器发送结果查询请求，所述结果查询请求中包括所述接入设备的设备ID。

所述接收单元4002，用于接收所述管理服务器响应所述结果查询请求返回的结果查询响应，所述结果查询响应中包括第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由Portal服务器提供给所述管理服务器。

所述处理单元4003，用于根据所述第一授权结果中的认证指示和所述第一认证ID，确定第一终端是否通过Portal认证，并根据所述第一授权结果中的授权信息确定是否转发所述第一终端的HTTP报文，从而在所述第一终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

需要说明的是，所述发送单元4001还可以执行图4A中所示的发送器401所执行的其他操作，所述接收单元4002还可以执行图4A中所示的接收器402所执行的其他操作，所述处理单元4003还可以执行图4A中所示的处理器403所执行的其他操作。为了简洁，在此不再赘述。

基于上述实施例提供的Portal认证方法，本发明实施例提供一种管理服务器500，用于实现上述Portal认证方法中接入设备的功能，如图5A所示，管 理服务器500包括发送器501、接收器502和处理器503，其中，所述发送器501、接收器502和处理器503通过总线504相互连接。

所述接收器502，用于接收接入设备发送的结果查询请求，所述结果查询请求中包括所述接入设备的设备ID。

所述处理器503，用于根据所述结果查询请求，确定所述设备ID对应的第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由Portal服务器提供给所述管理服务器。

所述发送器501，用于向所述接入设备返回结果查询响应，所述结果查询响应中包括所述第一对应关系，以使所述接入设备根据所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

所述管理服务器500还包括若干通信接口分别连接所述接入设备和所述Portal服务器。

可选的，在所述接收器502接收接入设备发送的结果查询请求之前，所述接收器502还用于，接收所述Portal服务器提供的所述设备ID，所述第一授权结果和所述第一认证ID。

所述处理器503还用于，将所述第一对应关系，即所述第一授权结果和所述第一认证ID，存入第一缓存队列，所述第一缓存队列的队列ID为所述设备ID。

可选的，所述处理器503在根据所述结果查询请求确定所述设备ID对应的第一对应关系时，具体包括：根据所述设备ID，确定所述第一缓存队列，从所述第一缓存队列中获取所述第一对应关系。

可选的，所述处理器503在根据所述结果查询请求确定所述设备ID对应的第一对应关系时，具体包括：根据所述设备ID，确定所述第一缓存队列；获取所述第一缓存队列中的所有对应关系，包括所述第一对应关系和第二对应关系，所述第二对应关系中包括第二认证ID和第二授权结果，所述第二认证ID 与所述第一认证ID互不相同；相应地，所述发送器501返回的所述结果查询响应中还包括所述第二对应关系。

在所述发送器501向所述接入设备返回结果查询响应之后，所述处理器503还用于：删除所述第一缓存队列。

可选的，在所述发送器501向所述接入设备返回结果查询响应之后，所述发送器501还用于：将所述设备ID和所述第一认证ID通知给所述Portal服务器，使得所述Portal服务器返回认证结果页面给对应的终端。

所述处理器503可以是通用处理器，包括中央处理器、网络处理器等；还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件等。

所述处理器503为CPU时，所述管理服务器500还可以包括：存储器，用于存储程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可能包含随机存取存储器，也可能还包括非易失性存储器，例如至少一个磁盘存储器。所述处理器503执行所述存储器中存储的程序代码，实现上述功能。

本发明实施例还提供一种管理服务器5000，用于实现上述Portal认证方法中管理服务器的功能。如图5B所示，所述管理服务器5000包括发送单元5001、接收单元5002和处理单元5003；其中

所述接收单元5002，用于接收接入设备发送的结果查询请求，所述结果查询请求中包括所述接入设备的设备ID。

所述处理单元5003，用于根据所述结果查询请求，确定所述设备ID对应的第一对应关系，所述第一对应关系包括第一认证ID和第一授权结果；所述第一对应关系由门户Portal服务器提供给所述管理服务器。

所述发送单元5001，用于向所述接入设备返回结果查询响应，所述结果查询响应中包括所述第一对应关系，以使所述接入设备根据所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

需要说明的是，发送单元5001还可以执行图5A中所示的发送器501所执行的其他操作，接收单元5002还可以执行图5A中所示的接收器502所执行的其他操作，处理单元5003还可以执行图5A中所示的处理器503所执行的其他操作。为了简洁，在此不再赘述。

基于上述实施例提供的Portal认证方法，本发明实施例提供一种Portal服务器600，用于实现上述Portal认证方法中Portal服务器的功能，如图6A所示，Portal服务器600包括发送器601、接收器602和处理器603，其中，所述发送器601、所述接收器602和所述处理器603之间通过总线604连接。

所述接收器602，用于接收终端提交的认证信息。

所述处理器603，用于根据所述认证信息获取第一授权结果，与所述第一授权结果分别对应的接入设备的设备ID和第一认证ID。

所述发送器601，用于将第一对应关系和所述设备ID发送给管理服务器保存，所述第一对应关系包括所述第一授权结果和所述第一认证ID，以便所述接入设备根据所述设备ID查询所述第一对应关系，并根据获取到的所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

所述Portal服务器600还包括若干通信接口连接所述管理服务器和所述终端。

可选的，在所述处理器603获取第一授权结果，与所述第一授权结果分别对应的接入设备的设备ID和第一认证ID之前，所述接收器602还用于：接收所述终端通过重定向的URL向所述Portal服务器发起的认证请求，所述重定向的URL由所述接入设备提供给所述终端，所述重定向的URL中包括所述设备ID和所述第一认证ID。

相应的，所述发送器601还用于，返回认证页面给所述终端，所述认证页面中包括所述设备ID和所述第一认证ID。

相应的，所述接收器602还用于，接收所述终端提交的认证信息，所述认证信息包括所述终端在所述认证页面上输入的终端信息以及所述认证页面中包括的所述设备ID和所述第一认证ID。

相应的，所述发送器601还用于，将所述终端信息发送到AAA服务器进行认证。

可选的，所述处理器603在获取第一授权结果、与所述第一授权结果分别对应的接入设备的设备ID和第一认证ID时，具体包括：获取所述接收器602接收的所述AAA服务器基于所述终端信息返回的所述第一授权结果，或获取所述接收器602接收的所述AAA服务器基于所述终端信息返回的认证结果，并基于所述认证结果生成所述第一授权结果；从所述认证信息中获取与所述第一授权结果分别对应的所述设备ID和所述第一认证ID。

可选的，在所述发送器601将所述第一对应关系和所述设备ID发送给管理服务器保存之后，所述接收器602还用于：接收所述管理服务器通知的所述设备ID和所述第一认证ID。

可选的所述处理器603还用于，根据所述设备ID和所述第一认证ID，确定所述终端的地址。

可选的，所述发送器601还用于，根据所述终端的地址，向所述终端发送认证结果页面。

所述处理器603可以是通用处理器，包括中央处理器、网络处理器等；还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件等。

所述处理器603为CPU时，所述Portal服务器600还可以包括：存储器，用于存储程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可能包含随机存取存储器，也可能还包括非易失性存储器，例如至少一个磁盘存储器。所述处理器603执行所述存储器中存储的程序代码，实现上述功能。

本发明实施例还提供一种Portal服务器6000，用于实现上述Portal认证方法中Portal服务器的功能。如图6B所示，所述Portal服务器6000包括发送单元6001、接收单元6002和处理单元6003；其中

所述接收单元6002，用于接收终端提交的认证信息。

所述处理单元6003，用于根据所述认证信息获取第一授权结果，与所述第一授权结果分别对应的接入设备的设备标识ID和第一认证ID。

所述发送单元6001，用于将第一对应关系和所述设备ID发送给管理服务器保存，所述第一对应关系包括所述第一授权结果和所述第一认证ID，以便所述接入设备根据所述设备ID查询所述第一对应关系，并根据获取到的所述第一对应关系在终端和所述Portal服务器之间存在NAT设备的情况下完成Portal认证。

需要说明的是，处理单元6003还可以执行图6A中所示的处理器603所执行的其他操作，发送单元6001还可以执行图6A中所示的发送器601所执行的其他操作，接收单元6002还可以执行图6A中所示的接收器602所执行的其他操作。为了简洁，在此不再赘述。

综上所述，利用本发明实施例提供的技术方案，通过Portal服务器将授权结果保存在管理服务器上，由位于内网的接入设备主动向位于外网的管理服务器获取授权结果，解决了接入设备和Portal服务器、AAA服务器之间有NAT设备的情况下无法完成Portal认证的问题。并且本发明实施例提供的技术方案可以有效减少接入设备和Portal服务器、AAA服务器之间的交互次数，例如，假设每个接入设备在高峰期每秒有50次的终端接入认证，按照上述步骤一至步骤十的Portal认证方案，每次认证需要接入设备和Portal服务器、AAA服务器之间有两次交互，交互过程见上述步骤三和步骤四，以及步骤六和步骤八，那么每分钟接入设备和Portal服务器、AAA服务器之间需要6000次交互；而采用本发明实施例提供的新的流程，如果将定时器的周期设置为2秒，则接入设备和Portal服务器、管理服务器之间每分钟只需要30次交互，总的交互次 数只有传统Portal认证方案的二百分之一。如果每个接入设备每秒减少到只有0.25次的终端接入认证，按照步骤一至步骤十所述的传统Portal认证方案达到的交互次数才与采用本发明实施例的方案达到的交互次数持平。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机非易失性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。