访问授权方法、装置和系统与流程

本发明涉及安全接入认证领域，尤其涉及一种访问授权方法、装置和系统。

背景技术：

随着计算机及互联网技术的飞速发展，政府、银行、企业等单位都部署有无线或有线网络供员工或访客使用，出于安全性等因素考虑，上述无线网络均不是完全开放式网络，都需要进行认证授权后方可上网，目前接入认证授权方式主要有两种，一种是企业级802.1x的加密认证，另一种是半开放式的Portal(中文名称：门户)认证，前者须一次性输入有效的用户名及密码进行认证，不用与用户进行交互；后者通过Portal页面与用户交互，可以实现手机号获取短信方式认证、微信认证、二维码认证等。

对于内部员工通常采用企业级802.1x认证，员工连接WiFi(英文全称：wireless fidelity，中文全称：无线保真)或有线接口后，输入预先分配给个人的用户名及密码进行认证授权及上网。对于访客通常采用半开放式Portal认证，访客连接WiFi或有线接口后，进行认证授权之前通过手机浏览器访问任何第三方网站都会被系统重定向到Portal页面，通过输入手机号获取短信方式认证、微信认证、二维码认证等方式获得授权及访问网络。

其中，在二维码认证过程中，现有技术要求访客通过接入终端扫描网络授权员通过授权终端提供的二维码，对于接入终端不支持扫描二维码功能(例如未安装摄像头)或授权终端不具有显示功能(例如无显示屏)的场景，则无法进行二维码认证。

技术实现要素：

本发明的实施例提供一种访问授权方法、装置和系统，用于解决接入终端不支持扫描二维码功能或授权终端不具有显示功能场景下，无法进行二维码认证的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供了一种访问授权方法，该方法包括：

门户Portal服务器接收来自接入终端的访问请求，其中，所述访问请求包含接入终端身份信息；

所述Portal服务器根据所述访问请求生成二维码；

所述Portal服务器将所述二维码发送给所述接入终端，以便所述接入终端对所述二维码进行显示；

授权终端扫描所述接入终端上显示的所述二维码；

所述授权终端根据所述二维码生成授权请求并向所述Portal服务器发送所述授权请求；

所述Portal服务器根据所述授权请求判断是否对所述接入终端进行授权；

如果确定授权，则所述Portal服务器向验证、授权和记账AAA认证服务器请求对所述接入终端进行认证；

如果认证通过，则所述AAA认证服务器通知所述接入终端授权和认证成功。

第二方面，提供了一种接入终端，该接入终端包括：

通信单元，用于向门户Portal服务器发送访问请求，所述访问请求用于所述Portal服务器根据所述访问请求生成二维码，其中，所述访问请求包含接入终端身份信息；

显示单元，用于显示所述通信单元得到的所述二维码。

第三方面，提供了一种授权终端，该授权终端包括：

扫描单元，用于扫描接入终端上显示的二维码，其中，所述二维码为门户Portal服务器根据来自所述接入终端的访问请求生成，所述访问请求中包含接入终端身份信息；

处理单元，用于根据所述扫描单元扫描得到的二维码生成授权请求；

通信单元，用于向所述Portal服务器发送所述处理单元生成的所述授权请求。

第四方面，提供了一种Portal服务器，该Portal服务器包括：

通信单元，用于接收来自接入终端的访问请求，其中，所述访问请求包含接入终端身份信息；

处理单元，用于根据所述通信单元得到的所述访问请求生成二维码；

所述通信单元，还用于将所述二维码发送给所述接入终端，以便所述接入终端对所述二维码进行显示；

所述处理单元，还用于根据来自授权终端的授权请求判断是否对所述接入终端进行授权，其中，所述授权请求为所述授权终端根据扫描所述接入终端上显示的所述二维码所生成；

所述通信单元，还用于如果确定授权，则向验证、授权和记账AAA认证服务器请求对所述接入终端进行认证。

第五方面，提供了一种AAA认证服务器，该AAA认证服务器包括：

处理单元，用于根据门户Portal服务器发送的请求对接入终端进行认证；

通信单元，用于如果所述处理单元认证通过，则通知所述接入终端授权和认证成功。

第六方面，提供了一种访问授权系统，包括如第二方面所述的接入终端、如第三方面所述的授权终端、如第四方面所述的Portal服务器和如第五方面所述的AAA认证服务器。

本发明的实施例提供的访问授权方法、装置和系统，通过Portal服务器根据接入终端的访问请求中的接入终端身份信息生成二维码，用于接入终端对该二维码进行显示，由授权终端扫描该二维码后根据二维码生成授权请求，由Portal服务器对授权请求授权通过后再由AAA认证服务器进行认证，认证通过后允许接入终端访问网络。由于该方案中，无需授权终端显示二维码并且无需接入终端进行二维码扫描，实现了由授权终端扫描接入终端的上的二维码以对接入终端进行授权和认证，因此解决了接入终端不支持扫描二维码功能或授权终端不具有显示功能场景下，无法进行二维码认证的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的实施例提供的访问授权系统的结构示意图；

图2为本发明的实施例提供的一种访问授权方法的流程示意图；

图3为本发明的实施例提供的授权终端生成授权请求并向Portal服务器发送授权请求的流程示意图；

图4为本发明的实施例提供的Portal服务器向AAA认证服务器请求对接入终端进行认证的流程示意图；

图5为本发明的实施例提供的AAA认证服务器通知接入终端授权和认证成功的流程示意图；

图6为本发明的实施例提供的另一种访问授权方法的流程示意图；

图7为本发明的实施例提供的接入终端的结构示意图；

图8为本发明的实施例提供的授权终端的结构示意图；

图9为本发明的实施例提供的Portal服务器的结构示意图；

图10为本发明的实施例提供的AAA认证服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种访问授权系统，参照图1中所示，该系统包括：接入终端11、授权终端12、网络接入设备13、Portal服务器14和AAA(英文全称：authentication authorization accounting，中文全称：验证、授权和记账)认证服务器15。

其中，接入终端11为访客使用的接入网络的设备，具备显示二维码功能，例如可以是PC(英文全称：personal computer，中文全称：个人计算机)、笔记本、手机等；授权终端12为网络授权员使用的对接入终端11进行授权的终端，需具备扫描二维码功能，例如可以是手机、扫描枪等；网络接入设备13负责接收Portal服务器14发起的Portal认证请求，并向AAA认证服务器15发起RADIUS(英文全称：remote authentication dial in user service，中文全称：远程用户拨号认证服务)认证请求，并控制接入终端11上网权限，例如可以是路由器；Portal服务器14实现与用户的交互及向网络接入设备13发起Portal认证请求；AAA认证服务器15接收网络接入设备13发起的RADIUS认证请求进行认证授权处理。

本发明实施例所述的接入终端身份信息用于唯一标识接入终端，例如可以包括但不限于接入终端的MAC(英文全称：media access control，中文全称：媒体访问控制)地址、IMSI(英文全称：international mobile subscriber identification number，中文全称：国际移动用户识别码)等。本发明实施例所述的授权终端身份信息与接入终端身份信息类似，用于唯一标识授权终端，同样可以包括但不限于授权终端的MAC地址、IMSI等。

本发明实施例所述的Portal服务器认证地址是指Portal服务器的进行认证的地址，用于其他设备向Portal服务器请求认证时根据该地址发起认证请求，该地址可以是URL(英文全称：uniform resource locator，中文全称：统一资源定位符)地址。

本发明实施例提供的访问授权方法、装置和系统，通过接入终端发起访问请求，由Portal服务器根据访问请求中的接入终端身份信息生成二维码，由接入终端对该二维码进行显示，由授权终端扫描该二维码后根据二维码中的接入终端身份信息生成授权请求，由Portal服务器对授权请求授权通过后再由AAA认证服务器进行认证，认证通过后允许接入终端访问网络，实现了由授权终端扫描接入终端的上的二维码以对接入终端进行授权和认证，解决了接入终端不支持扫描二维码功能或授权终端不具有显示功能场景下，无法进行二维码认证的问题。

实施例1、

本发明实施例提供了一种访问授权方法，应用于图1中所示的访问授权系统，参照图2中所示，该方法包括：

S101、Portal服务器接收来自接入终端的访问请求。

其中，访问请求中包含接入终端身份信息。

可选的，Portal服务器可以通过网络接入设备的转发来接收来自接入终端的访问请求。

进一步可选的，网络接入设备在转发访问请求之前，可以先根据访问请求中的接入终端身份信息来判断该接入终端是否已经授权，如果已经授权则不必转发给Portal服务器，直接允许该接入终端访问网络；如果未授权，则将访问请求转发给Portal服务器。

S102、Portal服务器根据访问请求生成二维码。

其中，二维码中包含接入终端身份信息。

具体的，Portal服务器可以根据访问请求中的接入终端身份信息生成二维码。

可选的，还可以对二维码中的接入终端身份信息进行加密处理以提高安全性。

可选的，二维码中还可以包含Portal服务器认证地址。

S103、Portal服务器将二维码发送给接入终端，以便接入终端对二维码进行显示。

S104、授权终端扫描接入终端上显示的上述二维码。

S105、授权终端根据二维码生成授权请求并向Portal服务器发送该授权请求。

此时，授权请求中包含接入终端身份信息。

其中，授权终端为已经被系统授权并赋予了网络授权权限的终端设备。

可选的，授权终端可以根据二维码中包含的Portal服务器认证地址对Portal服务器进行寻址，从而向Portal服务器发送上述授权请求。

进一步可选的，授权终端还可以根据二维码和授权终端身份信息生成授权请求并向Portal服务器发送该授权请求，此时，授权请求中包含接入终端身份信息和授权终端身份信息。

具体的，参照图3中所示，步骤S105包括步骤S1051-S1054：

S1051、授权终端根据二维码中的接入终端身份信息生成第一授权请求。

S1052、授权终端将第一授权请求发送给Portal服务器。

S1053、Portal服务器接收到第一授权请求后，获取第一授权请求中的接入终端身份信息，并且将用于获取授权终端身份信息的页面发送给授权终端。

另外，Portal服务器获取的接入终端身份信息，可以用于Portal服务器向AAA认证服务器请求对接入终端进行认证。

S1054、授权终端解析上述页面后向Portal服务器发送第二授权请求，其中，第二授权请求中包含授权终端身份信息。

S106、Portal服务器根据授权请求判断是否对接入终端进行授权。

具体的，可以根据授权请求中的授权终端身份信息判断该授权终端是否合法，如果合法，则可以对授权请求不包含的接入终端身份信息所指示的接入终端进行授权和认证。否则，则向授权终端或接入终端发送错误信息或授权失败消息。

S107、如果确定授权，则Portal服务器向AAA认证服务器请求对接入终端进行认证。

具体的，参照图4中所示，步骤S107可以包括步骤S1071和S1072。

S1071、Portal服务器创建临时访客对象，使用临时访客对象向网络接入设备发起Portal认证请求，其中，临时访客对象采用接入终端身份信息，Portal认证请求包含接入终端身份信息。

S1072、网络接入设备根据Portal认证请求向AAA认证服务器发起RADIUS认证请求，其中，RADIUS认证请求中包含接入终端身份信息。

S108、如果认证通过，则AAA认证服务器通知接入终端授权和认证成功。

具体的，参照图5中所示，步骤S108可以包括步骤S1081-S1083：

S1081、AAA认证服务器向网络接入设备通知对接入终端授权和认证成功以允许接入终端通过网络接入设备接入网络。

S1082、网络接入设备向Portal服务器通知已经对接入终端授权和认证成功。

S1083、Portal服务器向接入终端通知授权和认证成功。

本发明实施例提供的访问授权方法，通过Portal服务器根据接入终端的访问请求中的接入终端身份信息生成二维码，用于接入终端对该二维码进行显示，由授权终端扫描该二维码后根据二维码生成授权请求，由Portal服务器对授权请求授权通过后再由AAA认证服务器进行认证，认证通过后允许接入终端访问网络。由于该方案中，无需授权终端显示二维码并且无需接入终端进行二维码扫描，实现了由授权终端扫描接入终端的上的二维码以对接入终端进行授权和认证，解决了接入终端不支持扫描二维码功能或授权终端不具有显示功能场景下，无法进行二维码认证的问题。

实施例2、

本发明实施例提供了另一种访问授权方法，应用于图1中所示的访问授权系统，以接入终端身份信息为接入终端MAC地址为例对图2中所述的访问授权方法进行说明，参照图6中所示，该方法包括：

S201、访客的接入终端通过WLAN(英文全称：wireless local area networks，中文全称：无线局域网)或有线网络接入网络接入设备，准备上网。

S202、接入终端的浏览器打开任意第三方网站以向网络接入设备发送访问请求。

S203、网络接入设备接收访问请求。

S204、网络接入设备根据访问请求中的接入终端MAC地址判断该接入终端是否已经授权，如果已经授权则进行步骤S205，否则进行步骤S206。

示例性的，网络接入设备可以对已经授权过的接入终端进行存储，以便下次接入终端再次访问网络时可以快速接入。

S205、如果已经授权则网络接入设备对该接入终端访问网络放行。

S206、如果未授权则网络接入设备将接入终端的访问请求重定向到Portal服务器。

S207、Portal服务器获取访问请求中的接入终端MAC地址，将Portal服务器认证地址和加密后的接入终端MAC地址进行组合生成二维码。

S208、Portal服务器通过网络接入设备将二维码发送给接入终端。

可选的，还可以在发送的页面中提示类似以下字符串“网络授权人员扫描以下二维码授权后方可访问网络”。

S209、接入终端显示上述二维码。

S210、网络授权人员的授权终端扫描接入终端上显示的上述二维码。

S211、授权终端根据上述二维码中的接入终端MAC地址生成第一授权请求。

S212、授权终端将第一授权请求发送至该二维码中的Portal服务器认证地址，使得授权请求到达Portal服务器。

S213、Portal服务器收到授权终端发送的第一授权请求后，取出其中包含的接入终端MAC地址，将获取授权终端身份信息的页面发送给授权终端。

S214、授权终端解析上述页面后向Portal服务器发送第二授权请求，第二授权请求中包括授权终端MAC地址。

S215、Portal服务器收到第二授权请求后，获取其中包含的授权终端的MAC地址，进行权限审核，确保该授权终端的合法性。如果不合法则进行步骤S216，否则进行步骤S217。

S216、如果授权终端不合法，则Portal服务器通知授权终端和接入终端拒绝授权。

S217、如果授权终端合法，则Portal服务器将创建一个临时访客对象，其模拟的接入终端的MAC地址即为步骤S213获取的接入终端MAC地址。

S218、Portal服务器使用该临时访客对象向网络接入设备发起Portal认证请求，Portal认证请求包含接入终端MAC地址。

S219、网络接入设备根据Portal认证请求向AAA认证服务器发起RADIUS认证请求，RADIUS认证请求中包含接入终端MAC地址。

S220、AAA认证服务器根据认证逻辑和RADIUS认证请求对接入终端进行认证。

S221、认证通过后，AAA认证服务器向网络接入设备发送指示授权和认证成功的RADIUS报文，通知对接入终端授权以允许接入终端通过网络接入设备接入网络。

S222、网络接入设备收到AAA认证服务器发送的指示授权和认证成功的RADIUS报文后，向Portal服务器通知已经对接入终端授权和认证成功。

S223、Portal服务器向接入终端通知授权和认证成功。

需要说明的是，接入终端可以周期性向Portal服务器检查授权状态，以便Portal服务器向接入终端通知授权状态是成功还是失败。

S224、接入终端便可以访问网络。

本发明实施例提供的访问授权方法，通过接入终端发起访问请求，由Portal服务器根据访问请求中的接入终端身份信息生成二维码，由接入终端对该二维码进行显示，由授权终端扫描该二维码后根据二维码中的接入终端身份信息生成第一授权请求并发送给Portal服务器，由Portal服务器获取其中的接入终端身份信息，授权终端根据授权终端MAC地址生成第二授权请求并发送给Portal服务器，由Portal服务器对授权终端进行权限审核，审核通过后，由Portal服务器使用临时访客对象向网络接入设备发起Portal认证请求，由网络接入设备根据Portal认证请求向AAA认证服务器发起RADIUS认证请求，AAA认证服务器认证通过后允许接入终端访问网络，使得本发明可以适用于在接入终端具有显示二维码功能，授权终端具有扫描二维码功能的场景下进行二维码认证，解决了接入终端不支持扫描二维码功能或授权终端不具有显示功能场景下，无法进行二维码认证的问题。

实施例3、

本发明的实施例提供了一种接入终端，应用于图1中所示的访问授权系统中的接入终端11，并且用于执行上述访问授权方法中接入终端的功能，参照图7中所示，该接入终端11包括通信单元111和显示单元112，其中：

通信单元111，用于向Portal服务器发送访问请求并且接收由Portal服务器根据访问请求生成的二维码，其中，访问请求包含接入终端身份信息。

显示单元112，用于显示通过通信单元111得到的上述二维码。

由于本发明实施例中的接入终端可以应用于上述访问授权方法，因此，其所能获得的技术效果也可参考上述方法实施例，本发明实施例在此不再赘述。

实施例4、

本发明的实施例提供了一种授权终端，应用于图1中所示的访问授权系统中的授权终端12，并且用于上述访问授权方法中授权终端的功能，参照图8中所示，该授权终端12包括扫描单元121、处理单元122和通信单元123，其中：

扫描单元121，用于扫描接入终端上显示的二维码，其中，二维码为Portal服务器根据来自接入终端的访问请求生成，访问请求中包含接入终端身份信息。

处理单元122，用于根据扫描单元121扫描的二维码生成授权请求。

通信单元123，用于向Portal服务器发送处理单元122生成的授权请求。

由于本发明实施例中的授权终端可以应用于上述访问授权方法，因此，其所能获得的技术效果也可参考上述方法实施例，本发明实施例在此不再赘述。

需要说明的是，处理单元可以为单独设立的处理器，也可以集成在控制器的某一个处理器中实现，此外，也可以以程序代码的形式存储于控制器的存储器中，由控制器的某一个处理器调用并执行以上处理单元的功能。这里所述的处理器可以是一个中央处理器(英文全称：central processing unit，英文简称：CPU)，或者是特定集成电路(英文全称：application specific integrated circuit，英文简称：ASIC)，或者是被配置成实施本发明实施例的一个或多个集成电路。

实施例5、

本发明的实施例提供了一种Portal服务器，应用于图1中所示的访问授权系统中的Portal服务器14，并且用于上述访问授权方法中Portal服务器的功能，参照图9中所示，该Portal服务器14包括通信单元141和处理单元142，其中：

通信单元141，用于接收来自接入终端的访问请求，其中，访问请求包含接入终端身份信息；

处理单元142，用于根据通信单元141得到的访问请求生成二维码；

通信单元141，还用于将二维码发送给接入终端，以便接入终端对二维码进行显示；

处理单元142，还用于根据来自授权终端的授权请求判断是否对接入终端进行授权，其中，授权请求为授权终端根据扫描接入终端上显示的二维码所生成；

通信单元141，还用于如果确定授权，则向验证、授权和记账AAA认证服务器请求对接入终端进行认证。

由于本发明实施例中的Portal服务器可以应用于上述访问授权方法，因此，其所能获得的技术效果也可参考上述方法实施例，本发明实施例在此不再赘述。

需要说明的是，处理单元可以为单独设立的处理器，也可以集成在控制器的某一个处理器中实现，此外，也可以以程序代码的形式存储于控制器的存储器中，由控制器的某一个处理器调用并执行以上处理单元的功能。这里所述的处理器可以是一个中央处理器(英文全称：central processing unit，英文简称：CPU)，或者是特定集成电路(英文全称：application specific integrated circuit，英文简称：ASIC)，或者是被配置成实施本发明实施例的一个或多个集成电路。

实施例6、

本发明的实施例提供了一种AAA认证服务器，应用于图1中所示的访问授权系统中的AAA认证服务器15，并且用于上述访问授权方法中AAA认证服务器的功能，参照图10中所示，该AAA认证服务器15包括处理单元151和通信单元152，其中：

处理单元151，用于根据门户Portal服务器发送的请求对接入终端进行认证。

通信单元152，用于如果处理单元151认证通过，则通知接入终端授权和认证成功。

由于本发明实施例中的AAA认证服务器可以应用于上述访问授权方法，因此，其所能获得的技术效果也可参考上述方法实施例，本发明实施例在此不再赘述。

需要说明的是，处理单元可以为单独设立的处理器，也可以集成在控制器的某一个处理器中实现，此外，也可以以程序代码的形式存储于控制器的存储器中，由控制器的某一个处理器调用并执行以上处理单元的功能。这里所述的处理器可以是一个中央处理器(英文全称：central processing unit，英文简称：CPU)，或者是特定集成电路(英文全称：application specific integrated circuit，英文简称：ASIC)，或者是被配置成实施本发明实施例的一个或多个集成电路。

应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文全称:read-only memory，英文简称：ROM)、随机存取存储器(英文全称：random access memory，英文简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。