一种网络接入认证方法、接入认证设备及认证服务器与流程

本发明涉及通信领域，尤其涉及一种网络接入认证方法、接入认证设备及认证服务器。

背景技术：

接入认证设备为最接近接入终端的设备，通常用于与认证服务器进行报文交互，从而将接入终端的访问请求转发给认证服务器，以便该认证服务器进行网络接入认证。

图1为现有的最常用的接入认证设备组网架构图，该组网包括：认证服务器11、接入认证设备12(主12a、备12b)、AP(英文：Access Point，中文：接入点)设备13和接入终端14。其中，AP设备13用于将接入终端14发起的用户访问请求转发给接入认证设备12，而接入认证设备12主要用于对接入终端14进行网络接入权限判定，若该接入终端14有网络接入权限，则指示该接入终端14直接访问互联网，若该接入终端14没有网络接入权限，则将用户访问请求转发给认证服务器11，使得认证服务器11对接入终端14进行网络接入认证操作。此外，为了避免由于接入认证设备12出故障无法对用户权限进行判断的问题，现有组网通常会设置主备两台接入认证设备(一般的，主接入认证设备12a上电，另一台备12b接入认证设备不上电)。同时，为了保证备用接入认证设备12b能够替换主接入认证设备12a处理业务，通常会配置两台整体配置(例如，设备SN(英文：serial number，中文：序列号)、设备IP(英文：Internet Protocol，中文：网络之间互连的协议)、协议通信端口配置等)完全相同的接入认证设备。这样基于图1所示的组网架构，认证服务器11便可在主接入认证设备12a出故障时，仍然可以对接入终端14进行网络接入认证。

但是，由于上述组网中主备接入认证设备为完全独立的两个设备，当主接入认证设备12a出故障时，该主接入认证设备12a会丢失掉访问互联网的接入终端14(例如，已上线的接入终端和正在准备上线的接入终端)，使得接入终端14必须重新登录备接入认证设备12来重新认证上线，整个替换过程相当于一次设备的重启，从而影响到接入终端14的访问感知，即这种方式只是从时间上减少了故障排除对接入终端14接入互联网业整个业务过程的影响，并没有做到单设备故障后对接入终端接入互联网业务整个过程的零影响。

技术实现要素：

本发明的实施例提供一种网络接入认证方法、接入认证设备及认证服务器，以解决现有的接入认证设备出现故障时所导致的访问互联网的接入终端丢失的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种网络接入认证方法，包括：

新选接入认证设备接收接入点设备发送的接管请求，所述接管请求包含与所述接入点设备间存在故障连接的故障接入认证设备的设备标识，用于请求所述新选接入认证设备接管故障接入认证设备处理的业务信息；

接收所述接入点设备发送的业务信息，并向认证服务器发送接管通知消息，所述接管通知消息包含所述接入点设备的设备标识以及与所述接入点设备互联的所述新选接入认证设备的设备标识；

接收所述认证服务器发送的响应消息。

第二方面，提供一种网络接入认证方法，包括：

认证服务器接收新选接入认证设备发送的接管通知消息；

从所述接管通知消息中解析出所述接入点设备的设备标识以及与所述连接设备互联的所述新选接入认证设备的设备标识；

将所述接入点设备的设备标识与所述新选接入认证设备的设备标识按照互联关系对应存储至数据库；

向所述新选接入认证设备反馈响应消息。

第三方面，提供一种接入认证设备，包括：

接收模块，用于接收接入点设备发送的接管请求，该接管请求包含发生故障的故障接入认证设备的设备标识，用于请求新选接入认证设备接管故障接入认证设备处理的业务信息；

上述接收模块，还用于接收所述接入点设备发送的业务信息；

发送模块，用于向认证服务器发送接管通知消息，接管通知消息包含接入点设备的设备标识以及与接入点设备互联的新选接入认证设备的设备标识；

上述接收模块，用于接收所述认证服务器发送的响应消息。

第四方面，提供一种认证服务器，包括：

接收模块，用于接收新选接入认证设备发送的接管通知消息；

解析模块，用于从接收模块接收的接管通知消息中解析出接入点设备的设备标识以及与接入点设备互联的新选接入认证设备的设备标识；

存储模块，用于将解析模块解析出的接入点设备的设备标识与新选接入认证设备的设备标识按照互联关系对应存储至数据库；

发送模块，用于向新选接入认证设备反馈响应消息。

本发明的实施例提供的一种网络接入认证方法、接入认证设备及认证服务器，在故障接入认证设备发生故障无法与接入点设备互联时，接入点设备会为接入终端重新分配一台接管设备(即新选接入认证设备)，并向该接管设备发送的接管请求，来请求该接管设备接管故障接入认证设备所处理的业务信息，而该接管设备在接收到该接管请求后便会接管接入点设备发送的业务信息，并向认证服务器发送接管通知消息，来通知认证服务器该接入点设备已与新选接入认证设备互联，从而保证接管设备与认证服务器能够无缝对接，保障后续业务的正常收发。此外，由于接入认证设备发生故障时，与其互联的接入点设备会重新为接入终端分配新的接管设备，使得访问互联网的接入终端不会受到影响，例如，已上线的接入终端无需再重新认证上线，正在准备上线的接入终端不会被迫退出等。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种接入认证设备组网架构图；

图2为本发明实施例提供的一种接入认证设备集群组网架构图；

图3为本发明实施例提供的一种网络接入认证方法的方法流程图；

图4为本发明实施例提供的另一种网络接入认证方法的方法流程图；

图5为本发明实施例提供的一种Portal报文格式的格式示意图；

图6为本发明实施例提供的一种接入认证设备的结构示意图；

图7为本发明实施例提供的一种认证服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了使本领域的技术人员更好的理解本发明的技术方案，下面结合附图和具体实施例对本发明作进一步的详细说明。

图2为本发明实施例应用的接入认证设备集群组网架构图，如图2所示，该接入认证设备组网包括认证服务器21、接入认证设备集群22、接入点设备23与接入终端24，其中：

上述的接入点设备用于接收网管系统下发接入认证设备集群中的所有接入认证设备配置信息。该接入点设备可以为路由器。该接入点设备用于提供接入热点，可以将接入终端24连接到无线网中。

上述的接入认证设备集群22由N个接入认证设备组成(如图2中的22a、22b、22c)，该接入认证设备集群22中每个接入认证设备分别拥有独立的设备标识SN、设备IP以及协议通信端口配置，且该接入认证设备集群22中的所有接入认证设备拥有相同的Portal认证配置、radius配置等认证配置，可以认为，该接入认证设备集群22中的所有接入认证设备物理上可以部署在不同位置，但在逻辑上属于同一个整体，即本发明实施例中的接入认证设备集群22中的所有接入认证设备具备相同的业务处理能力。同时，该接入认证设备集群22中的所有接入认证设备之间均可进行交互，互通其所处理业务的业务信息。具体的，接入认证设备用于对访问互联网的接入终端进行权限判定，即判定该接入终端是否拥有访问互联网的权限，若该接入终端24有访问权限时，则指示该接入终端24直接访问互联网；若该接入终端24没有网络接入权限，则将用户访问请求转发给认证服务器22，使得认证服务器21对接入终端24进行网络接入认证操作。

上述的认证服务器主要用于为认证成功的接入终端提供认证服务交互界面，并与该接入认证设备进行报文交互，来完成接入终端的网络接入认证。该认证服务器包括AAA服务器和Portal服务器，其中，该AAA服务器(AAA server)是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务，AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作，同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)。Portal服务器用于对接入终端进行Portal认证，并为通过Portal认证的接入终端提供Portal服务器管理员授权的互联网资源。

基于图2对应的组网架构，本发明实施例提供一种网络接入认证方法，如图3所示，该方法包括如下步骤：

101、新选接入认证设备接收接入点设备发送的接管请求。

其中，上述接管请求包含与接入点设备间存在故障连接的故障接入认证设备的设备标识，用于请求新选接入认证设备接管故障接入认证设备处理的业务信息。故障接入认证设备的设备标识可以为SN码，是设备的序列号，具备唯一性。

示例性的，如图4所示，本发明实施例中的接入点设备在接收到其下属的接入终端发送的认证请求(例如，HTTP(英文：Hyper Text Transfer Protocol，中文：超文本传输协议)请求)后，会基于接入认证设备配置策略从接入认证设备集群中选择一台接入认证设备对自己生效。这样当与接入点设备互联的接入认证设备出现故障(即与接入点设备断开连接)时，由于首先发现此问题的是与其互联的接入点设备，因此，当接入点设备发现对自己生效的接入认证设备发生故障时，该接入点设备会根据接入认证设备配置策略从接入认证设备集群中重新选择一台接入认证设备作为接管设备，来接管故障设备(即故障接入认证设备)需要处理的所有业务，并向接管设备(即新选接入认证设备)发送接管请求。

此外，由于接入点设备与接入认证设备互联后，接入点设备与接入认证设备之间会按照预定时间周期发送报文，因此，接入点设备可以通过判定该接入点设备在预定时间周期内是否接收到接入认证设备发送的报文来判定与其互联的接入认证设备是否发生故障，即当接入点设备在预定时间周期内未接收到接入认证设备发送的报文时，则判断与其互联的接入认证设备发生故障。

102、新选接入认证设备接收接入点设备发送的业务信息，并向认证服务器发送接管通知消息。

其中，上述的接管通知消息包含该接入点设备的设备标识以及与该接入点设备互联的新选接入认证设备的设备标识，用于告知认证服务器该接入点设备与该新选接入认证设备互联，即告知该认证服务器该接入点设备与该新选接入认证设备间的互联关系。具体的，上述的接入点设备的设备标识可以为接入点设备的MAC信息，而该新选接入认证设备的设备标识可以为该新选接入认证设备的SN标识。

103、认证服务器接收新选接入认证设备发送的接管通知消息。

104、认证服务器从接管通知消息中解析出接入点设备的设备标识以及与接入点设备互联的新选接入认证设备的设备标识。

105、认证服务器将接入点设备的设备标识与新选接入认证设备的设备标识按照互联关系对应存储至数据库。

示例性的，如图4所示，认证服务器会记录接入认证设备集群中的所有接入认证设备，当任意一台接入认证设备接管了故障接入认证设备的接入点设备时，都会向认证服务器的Portal服务器发送接管通知报文，而认证服务器接收到该接管通知消息后，解析该接管通知消息，从而获取到该接入点设备与新选接入认证设备间的互联关系，并将该接入点设备与新选接入认证设备间的互联关系存储至数据库，记录下设备接管关系，从而保证认证、下线等业务正常。

106、认证服务器向新选接入认证设备反馈响应消息。

107、新选接入认证设备接收认证服务器发送的响应消息。

可选的，在步骤106之后，该方法还包括：

106a、接收业务消息。

上述的业务消息中包括目的接入终端对应的目标接入点设备的设备标识，该业务消息是承载在UDP(英文：User Datagram Protocol，中文：用户数据报协议)报文。

106b、根据目标接入点设备的设备标识从数据库中读取与该目标接入点设备存在互联关系的目标接入认证设备的设备标识，通过目标接入认证设备向目标接入点设备转发业务消息。

示例性的，当认证服务器需要给故障设备发送报文时，该认证服务器首先从该报文中携带的业务消息中解析出目的接入点设备的设备标识，然后在数据库中查找到与该目的接入点设备互联的目的接入认证设备，通过Portal认证服务器在报文处理层增加的适配装置，将该目的接入点设备与该目的接入认证设备进行适配，从而保证后续发往故障设备的报文能够正常的发送至接管设备(即目的接入认证设备)。

可选的，步骤102中向认证服务器发送接管通知消息具体包括如下内容：向认证服务器发送基于Portal报文格式的接管通知报文。

基于上述内容，对应的步骤107具体包括如下内容：接收认证服务器发送的基于Portal报文格式的响应报文。

示例性的，参照图5所示的Portal报文格式的格式示意图可知，现有的Portal报文格式包括Ver(版本)字段、Type(报文类型)字段、Pap/Chap(认证类型)字段、SerialNo(设备序列号)字段、ReqID(应答ID)字段、UserIP(用户IP)字段、ErrCode(错误码)字段、AttrNum(属性个数)字段。其中，若该AttrNum字段中存储的属性个数不为0，则需要存储所有属性的属性信息，具体可以参照下述的表1。

表1

其中，表1中的属性wlanapmac支持在一个报文中携带多个，便于设备批量接管故障设备的接入点设备，只需一个报文。

示例性的，若接管通知报文中各字段中携带的信息为：Type＝0xc0，Pap/Chap＝0x01，SerialNo＝设备生成标识值，ReqID＝设备随机生成，UserIP＝0.0.0.0，ErrCode＝0。

则对应的响应报文中各字段中携带的信息为：Ver＝0x01，Type＝0xc1，Pap/Chap＝0x01，SerialNo＝通知报文的SerialNo，ReqID＝通知报文的ReqID，UserIP＝0.0.0.0，ErrCode＝0，AttrNum＝0。

需要说明的是，当新选接入认证设备向认证服务器发送接管通知报文后，若新选接入认证设备发送接管通知报文后10秒后还未收到认证服务器反馈的响应报文，则会再次发送接管通知报文，如此重试两次，从而保证消息的正常送达。若新选接入认证设备连续向认证服务器发送三次接管通知报文，认证服务器都没有向该新选接入认证设备发送接管响应报文，则接入终端访问网络出现的问题不仅仅是该新选接入认证设备出现故障，还需对组网其他设备进行检测。

此外，由于本发明实施例中的接入认证设备集群中的所有接入认证设备之间均可进行交互，互通其所处理业务的业务信息。因此，当接入认证设备发生故障时，该故障设备可以将其处理的业务消息同步至接入认证设备集群中的其他接入认证设备中。

具体的，在步骤101之前，该方法还包括：

A1、将故障接入认证设备当前处理的业务信息同步至接入认证设备集群中的其他接入认证设备。

当然，上述的同步过程也不仅仅是接入认证设备存在故障时才会执行的，在正常情况下，该接入认证设备集群中的所有接入认证设备均可将其处理的业务信息同步至其他接入认证设备，在此不做限定。

本发明的实施例提供的网络接入认证方法，在故障接入认证设备发生故障无法与接入点设备互联时，接入点设备会为接入终端重新分配一台接管设备(即新选接入认证设备)，并向该接管设备发送的接管请求，来请求该接管设备接管故障接入认证设备所处理的业务信息，而该接管设备在接收到该接管请求后便会接管接入点设备发送的业务信息，并向认证服务器发送接管通知消息，来通知认证服务器该接入点设备已与新选接入认证设备互联，从而保证接管设备与认证服务器能够无缝对接，保障后续业务的正常收发。此外，由于接入认证设备发生故障时，与其互联的接入点设备会重新为接入终端分配新的接管设备，使得访问互联网的接入终端不会受到影响，例如，已上线的接入终端无需再重新认证上线，正在准备上线的接入终端不会被迫退出等。

本发明的实施例提供一种接入认证设备，如图6所示，该接入认证设备2包括：接收模块21和发送模块22，其中：

接收模块21，用于接收接入点设备发送的接管请求，接管请求包含发生故障的故障接入认证设备的设备标识，用于请求新选接入认证设备接管故障接入认证设备处理的业务信息。

接收模块21，还用于接收接入点设备发送的业务信息。

发送模块22，用于向认证服务器发送接管通知消息，接管通知消息包含接入点设备的设备标识以及与接入点设备互联的新选接入认证设备的设备标识。

接收模块21，用于接收认证服务器发送的响应消息。

示例性的，上述新选接入认证设备与故障接入认证设备所在的接入认证设备集群由N个接入认证设备组成，接入认证设备集群中每个接入认证设备分别拥有独立的设备标识、设备IP以及协议通信端口配置，且所述接入认证设备集群中的所有接入认证设备拥有相同的认证配置。

可选的，发送模块22具体用于：

向认证服务器发送基于Portal报文格式的接管通知报文；

接收模块21在接收认证服务器发送的响应消息时具体用于：

接收认证服务器发送的基于Portal报文格式的响应报文。

可选的，如图6所示，该接入认证设备还包括：同步模块23，其中：

同步模块23，用于将故障接入认证设备当前处理的业务信息同步至接入认证设备集群中的其他接入认证设备。

本发明的实施例提供的接入认证设备，在故障接入认证设备发生故障无法与接入点设备互联时，接入点设备会为接入终端重新分配一台接管设备(即新选接入认证设备)，并向该接管设备发送的接管请求，来请求该接管设备接管故障接入认证设备所处理的业务信息，而该接管设备在接收到该接管请求后便会接管接入点设备发送的业务信息，并向认证服务器发送接管通知消息，来通知认证服务器该接入点设备已与新选接入认证设备互联，从而保证接管设备与认证服务器能够无缝对接，保障后续业务的正常收发。此外，由于接入认证设备发生故障时，与其互联的接入点设备会重新为接入终端分配新的接管设备，使得访问互联网的接入终端不会受到影响，例如，已上线的接入终端无需再重新认证上线，正在准备上线的接入终端不会被迫退出等。

需要说明的是，在具体实现过程中，上述如图3所示的方法流程中接入认证设备所执行的各步骤均可以通过硬件形式的处理器执行存储器中存储的软件形式的计算机执行指令实现，为避免重复，此处不再赘述。而上述接入认证设备所执行的动作所对应的程序均可以以软件形式存储于该接入认证设备的存储器中，以便于处理器调用执行以上各个模块对应的操作。

本发明的实施例提供一种认证服务器，如图7所示，该认证服务器3包括：接收模块31、解析模块32、存储模块33和发送模块34，其中：

接收模块31，用于接收新选接入认证设备发送的接管通知消息。

解析模块32，用于从接收模块31接收的接管通知消息中解析出接入点设备的设备标识以及与接入点设备互联的新选接入认证设备的设备标识。

存储模块33，用于将解析模块32解析出的接入点设备的设备标识与新选接入认证设备的设备标识按照互联关系对应存储至数据库。

发送模块34，用于向新选接入认证设备反馈响应消息。

可选的，上述的接收模块31，还用于接收业务消息，该业务消息包括目的接入终端对应的目标接入点设备的设备标识。

发送模块34，还用于根据目标接入点设备的设备标识从数据库中读取与目标接入点设备存在互联关系的目标接入认证设备的设备标识，通过目标接入认证设备向目标接入点设备转发业务消息。

本发明的实施例提供的认证服务器，在故障接入认证设备发生故障无法与接入点设备互联时，接入点设备会为接入终端重新分配一台接管设备(即新选接入认证设备)，认证服务器在接收到新选接入认证设备发送的接管通知消息后，便从中解析出接入点设备的设备标识以及与接入点设备互联的新选接入认证设备的设备标识，然后存储设备接管关系，并向接入认证设备发送接管响应消息，从而保证认证服务器与接管设备能够无缝对接，保障后续业务的正常收发。此外，由于接入认证设备发生故障时，与其互联的接入点设备会重新为接入终端分配新的接管设备，使得访问互联网的接入终端不会受到影响，例如，已上线的接入终端无需再重新认证上线，正在准备上线的接入终端不会被迫退出等。

需要说明的是，在具体实现过程中，上述如图3所示的方法流程中认证服务器所执行的各步骤均可以通过硬件形式的处理器执行存储器中存储的软件形式的计算机执行指令实现，为避免重复，此处不再赘述。而上述认证服务器所执行的动作所对应的程序均可以以软件形式存储于该认证服务器的存储器中，以便于处理器调用执行以上各个模块对应的操作。

上文中的存储器可以包括易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；也可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；还可以包括上述种类的存储器的组合。

上文所提供的装置中的处理器可以是一个处理器，也可以是多个处理元件的统称。例如，处理器可以为中央处理器(central processing unit，CPU；也可以为其他通用处理器、数字信号处理器(digital signal processing，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(field-programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等；还可以为专用处理器，该专用处理器可以包括基带处理芯片、射频处理芯片等中的至少一个。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。