一种接入WLAN的认证方法、装置及系统与流程

本发明涉及通信技术领域，尤其涉及一种接入wlan的认证方法、装置及系统。

背景技术：

随着无线通信的飞速发展，无线局域网的应用也越来越广泛，通常在用户接入某个无线局域网时，需要对该用户的身份进行认证。例如：对于企业而言，应对来宾临时接入企业内部网络的需求时，一方面：企业为了控制企业内部无线局域网的人群，需要接入企业内部网络的安全门槛较高；另一方面，又需要来宾可以便捷的接入企业内部网络。

现有技术中的接入认证方法中，来宾可以通过手机验证码认证/第三方应用程序认证(例如qq号码认证、微博号码认证和微信号码认证等)等方式进行接入认证，接入企业内部网络，但是该方法虽然可以使得来宾便捷的接入企业内部网络，但是其安全接入门槛过低，使得企业不能有效控制接入人群。

技术实现要素：

本发明的实施例提供一种接入wlan的认证方法、装置及系统，能够更加便捷安全的进行接入wlan的认证。

第一方面，提供一种接入wlan的认证方法，该方法包括：

授权担保装置接收授权终端发送的来宾信息，授权终端为采用担保员授权凭证访问授权担保装置的终端；

授权担保装置向接入认证装置发送授权请求，授权请求中包括来宾信息；

授权担保装置接收接入认证装置发送的授权响应，授权响应中包括由来宾信息生成的来宾授权凭证；

授权担保装置生成授权编码，并将授权编码发送至授权终端；授权编码中包括来宾授权凭证和授权担保装置的地址；

授权担保装置接收来宾终端发送的认证请求，认证请求中包括来宾授权凭证；

授权担保装置向接入认证装置转发认证请求。

可选的，认证请求中还包括担保员信息；方法还包括：

授权担保装置确定认证请求是否在担保员信息对应的权限范围内；

授权担保装置向接入认证装置转发认证请求包括：

若认证请求在担保员信息对应的权限范围内，则授权担保装置向接入认证装置转发认证请求。

可选的，认证请求中还包括来宾信息和担保员信息。

可选的，上述方法还包括：授权担保装置删除授权编码。

可选的，上述授权编码为二维码。

本发明实施例提供的接入wlan的认证方法，授权担保装置可以接收授权终端发送的来宾信息，授权终端为采用担保员授权凭证访问授权担保装置的终端；向接入认证装置发送授权请求，授权请求中包括来宾信息；并接收接入认证装置发送的授权响应，授权响应中包括由来宾信息生成的来宾授权凭证；且生成授权编码，并将授权编码发送至授权终端，授权编码中包括来宾授权凭证和授权担保装置的地址；然后接收来宾终端发送的认证请求，认证请求中包括来宾授权凭证；以及向接入认证装置转发认证请求。如此本发明实施例中当来宾终端需要接入wlan时，可以通过扫描授权担保装置生成的授权编码向授权担保装置发送认证请求，并且授权担保装置可以将该认证请求发送至接入认证装置进行认证，从而在接入认证装置认证通过后可以同意该来宾终端接入wlan。与现有技术中，通过手机验证码认证/第三方应用程序认证的接入认证方式相比，本发明实施例提供的方法能够更加便捷安全的进行接入wlan的认证。

第二方面，提供一种接入wlan的认证方法，该方法包括：

授权终端通过担保员授权凭证访问授权担保装置；

授权终端获取来宾信息，并将来宾信息发送至授权担保装置；

授权终端接收并显示授权担保装置发送的授权编码；授权编码中包括来宾授权凭证和授权担保装置的地址。

本发明实施例提供的接入wlan的认证方法，授权终端可以通过担保员授权凭证访问授权担保装置；并将来宾信息发送至授权担保装置；以及接收并显示授权担保装置发送的授权编码；授权编码中包括来宾授权凭证和授权担保装置的地址。如此本发明实施例中当来宾终端需要接入wlan时，可以通过扫描显示于授权终端中的授权编码，向授权担保装置发送认证请求，以请求接入wlan。与现有技术中，通过手机验证码认证/第三方应用程序认证的接入认证方式相比，本发明实施例提供的方法能够更加便捷安全的进行接入wlan的认证。

第三方面，提供一种授权担保装置，该装置包括：

收发模块，用于接收授权终端发送的来宾信息，授权终端为采用担保员授权凭证访问授权担保装置的终端；向接入认证装置发送授权请求，授权请求中包括来宾信息；接收接入认证装置发送的授权响应，授权响应中包括由来宾信息生成的来宾授权凭证；将授权编码发送至授权终端；授权编码中包括来宾授权凭证和授权担保装置的地址；接收来宾终端发送的认证请求，认证请求中包括来宾授权凭证；向接入认证装置转发认证请求；

处理模块，用于生成授权编码。

可选的，认证请求中还包括担保员信息；

处理模块还用于确定认证请求是否在担保员信息对应的权限范围内；

收发模块具体用于若认证请求在担保员信息对应的权限范围内，则授权担保装置向接入认证装置转发认证请求。

可选的，认证请求中还包括来宾信息和担保员信息。

可选的，处理模块还用于删除授权编码。

可选的，授权编码为二维码。

对于第三方面的技术效果的描述，具体可以参照上述对第一方面的技术效果的描述。

第四方面，提供一种授权终端，该授权终端包括：

处理模块，通过担保员授权凭证访问授权担保装置；

输入模块，用于获取担保员授权凭证和来宾信息；

收发模块，将来宾信息发送至授权担保装置；接收授权担保装置发送的授权编码；授权编码中包括来宾授权凭证和授权担保装置的地址；

显示模块，用于显示授权编码。

对于第四方面的技术效果的描述，具体可以参照上述对第二方面的技术效果的描述。

第五方面，提供一种接入wlan的认证系统，该系统包括：接入认证装置、上述第三方面或其可选的实现方式的授权担保装置和上述第四方面所示的授权终端；

接入认证装置用于：

接收授权担保装置发送的授权请求，授权请求中包括来宾信息；

根据来宾信息生成来宾授权凭证；

发送授权响应给授权担保装置，授权响应中包括由来宾信息生成的来宾授权凭证；

接收授权担保装置发送的认证请求；认证请求中包括来宾授权凭证；

对来宾授权凭证进行认证；

向来宾终端发送认证响应，认证响应用于同意/拒绝来宾终端接入wlan。

可选的，认证请求中还包括来宾信息和担保员信息；接入认证装置还用于：保存来宾信息和担保员信息。

本发明实施例提供的接入wlan的认证系统中，接入认证装置可以接收授权担保装置发送的授权请求，授权请求中包括来宾信息；根据来宾信息生成来宾授权凭证；并发送授权响应给授权担保装置，授权响应中包括由来宾信息生成的来宾授权凭证；且接收授权担保装置发送的认证请求，认证请求中包括来宾授权凭证；然后对来宾授权凭证进行认证；以及向来宾终端发送认证响应，认证响应用于同意/拒绝来宾终端接入wlan。如此本发明实施例中当来宾终端需要接入wlan时，可以通过扫描授权担保装置生成的授权编码向授权担保装置发送认证请求，并且接入认证装置可以在接收到认证请求后对来宾授权凭证进行认证，从而在接入认证装置认证通过后可以同意该来宾终端接入wlan。与现有技术中，通过手机验证码认证/第三方应用程序认证的接入认证方式相比，本发明实施例提供的方法能够更加便捷安全的进行接入wlan的认证。

附图说明

图1为本发明实施例提供的一种接入wlan的认证方法的示意图一；

图2为本发明实施例提供的一种接入wlan的认证方法的示意图二；

图3为本发明实施例提供的一种授权担保装置的结构示意图；

图4为本发明实施例提供的一种授权终端的结构示意图；

图5为本发明实施例提供的一种接入wlan的认证系统的结构示意图。

具体实施方式

下面结合附图对本发明实施例提供的接入wlan的认证方法、装置及系统进行详细描述。

在本发明实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本发明实施例提供的接入wlan(英文：wirelesslocalareanetworks，中文：无线局域网)的认证方法，可以应用于任何终端接入无线局域网的场景。下面的实施例将以来宾访问企业时，来宾终端(即来宾使用的终端设备，例如手机)临时接入某企业内部wlan的场景为例进行示例性的说明。

如图1所示，本发明实施例提供的接入wlan的认证方法可以包括下述s101-s114。

s101、授权终端通过担保员授权凭证访问授权担保装置。

本发明实施例中，授权终端上可以安装有授权担保系统的应用程序或客户端等软件系统，而授权担保装置可以为授权担保系统的服务器。

其中，授权终端可以通过预先分配的担保员授权凭证登录授权担保系统的终端。

本发明实施例中的终端可以为移动终端。示例性的，可以为手机、平板电脑、笔记本电脑等。

本发明实施例中的担保员授权凭证具体可以为用于识别担保员的授权凭证，具体的可以是为担保员分配的访问授权担保装置的账号和密码，担保员授权凭证。

担保员可以为企业职员，其可以获取来宾身份，并对来宾身份进行核实。示例性的，担保员可以为企业的来宾接待人员或者大堂经理等人员。

示例性的，在采用本发明实施例提供的接入wlan的认证方法之前，本发明实施例中，系统管理员(例如，企业中的网络管理员)可以为授权担保装置添加/管理担保员的信息(例如担保员的名称，以及为担保员分配的授权凭证)，以及系统管理员可以为授权担保装置指定为担保员规定的授权范围。具体的，系统管理员可以为担保员的担保员授权凭证设置具有在特定场所、特定时间、担保一定量的来宾接入指定无线局域网络的权限。

s102、授权终端获取来宾信息。

本发明实施例中，来宾来访时，在担保员要担保来宾接入指定无线局域网络的情况下，担保员可以在授权终端中录入来宾的信息，以使得授权终端获取来宾信息。

示例性的，来宾信息可以为来宾的姓名、电话号码、身份证号码等信息。

s103、授权终端将该来宾信息发送至授权担保装置。

示例性的，可以是通过担保员登录到授权终端中安装的授权担保系统应用程序后，将来宾信息录入到授权担保系统应用程序中，经该信息发送至授权担保装置(也即授权担保系统的服务器)，以担保该来宾接入指定无线局域网络。

s104、授权担保装置向该接入认证装置发送授权请求，该授权请求中包括该来宾信息。

本发明实施例中，授权终端将该来宾信息发送至授权担保装置，相应的，授权担保装置接收该来宾信息。然后授权担保装置可以向该接入认证装置发送包括该来宾信息的授权请求，以请求接入认证装置为该来宾生成授权凭证。

s105、接入认证装置根据该来宾信息生成来宾授权凭证。

s106、接入认证装置发送授权响应给授权担保装置，该授权响应中包括由来宾信息生成的来宾授权凭证。

本发明实施例中，在接入认证装置接收到携带有来宾信息的授权请求之后，可以根据其中的来宾信息生成来宾授权凭证，并将生成的来宾授权凭证携带在授权响应中回复给授权担保装置。

s107、授权担保装置生成授权编码，该授权编码中包括来宾授权凭证和授权担保装置的地址。

本发明实施例中，在授权担保装置接收到携带有来宾信息的授权请求之后，授权担保装置可以生成包括来宾授权凭证和授权担保装置的地址的授权编码。

本发明实施例中，授权编码可以为采用某种编码方式生成的编码，其可以携带有部分信息(例如上述的来宾授权凭证和授权担保装置的地址等信息)。示例性的，在实际应用中可以为二维码或者其他编码，本发名实施例不做限定。

s108、授权担保装置向授权终端发送该授权编码。

s109、授权终端显示该授权编码。

本发明实施例中，授权终端在接收到授权担保装置发送的该授权编码之后，可以在该授权终端的屏幕上显示该授权编码，以供来宾终端获取该授权编码中的信息。

由于本发明实施例中采用了授权编码的形式来进行显示，因此来宾授权凭证等信息不会直接显示在授权终端，避免了来宾授权凭证的泄露，保证了接入wlan的安全性。

s110、来宾终端扫描授权终端显示的授权编码。

s111、来宾终端向授权担保装置发送认证请求，该认证请求中包括来宾授权凭证。

示例性的，来宾可以使用来宾终端上安装的浏览器的扫码功能扫描授权编码(例如可以为二维码)，以获取该授权编码中的信息，并向授权担保装置发送包括来宾授权凭证的认证请求。

s112、授权担保装置向接入认证装置转发该认证请求。

需要说明的是，上述转发的该认证请求中要转发的内容(也即来宾授权凭证)不变，认证请求的形式可以变化。

s113、接入认证装置对该来宾授权凭证进行认证。

s114、接入认证装置向来宾终端发送认证响应。

本发明实施例中，授权担保装置在接收到该认证请求之后，可以对该认证请求中包括的来宾授权凭证做认证处理，具体的可以将该认证请求转发给接入认证装置来进行认证。

接入认证装置在接收到该认证请求之后，可以对该认证请求中的来宾授权凭证进行认证，并回复认证响应给来宾终端。

其中，认证响应用于同意/拒绝该来宾终端接入wlan。具体的，在该认证请求中包括的来宾授权凭证是为其曾经分配过的来宾授权凭证的情况下，接入认证装置可以向来宾终端回复用于同意该来宾终端接入wlan的认证响应；在该认证请求中包括的来宾授权凭证不是为其曾经分配过的来宾授权凭证的情况下，接入认证装置可以向来宾终端回复用于拒绝该来宾终端接入wlan的认证响应。本发明实施例中的接入认证装置可以为认证服务器，具体的可以为入口(英文：portal)认证服务器。

可选的，如图2所示，本发明实施例提供的接入wlan的认证方法包括下述步骤s201-s216。

s201、授权终端通过担保员授权凭证访问授权担保装置。

s202、授权终端获取来宾信息。

s203、授权终端将该来宾信息发送至授权担保装置。

s204、授权担保装置向该接入认证装置发送授权请求，该授权请求中包括该来宾信息。

s205、接入认证装置根据该来宾信息生成来宾授权凭证。

s206、接入认证装置发送授权响应给授权担保装置，该授权响应中包括由来宾信息生成的来宾授权凭证。

对于上述s201-s206的描述，具体可以参见上述对s101-s106的相关描述，此处不再赘述。

s207、授权担保装置生成授权编码，该授权编码中包括来宾授权凭证、担保员信息和授权担保装置的地址。

本发明实施例中，在授权担保装置接收到携带有来宾信息的授权请求之后，授权担保装置可以生成包括来宾授权凭证、担保员信息和授权担保装置的地址的授权编码。

s208、授权担保装置向授权终端发送该授权编码。

s209、授权终端显示该授权编码。

s210、来宾终端扫描授权终端显示的授权编码。

对于上述s208-s210的描述，具体可以参见上述对s108-s110的相关描述，此处不再赘述。

s211、来宾终端向授权担保装置发送认证请求，该认证请求中包括来宾授权凭证和担保员信息。

s212、授权担保装置确定认证请求是否在担保员信息对应的权限范围内。

本发明实施例中，在授权担保装置确定认证请求在担保员信息对应的权限范围内的情况下，执行下述s213-s215；在授权担保装置确定认证请求不在担保员信息对应的权限范围内的情况下，执行下述s216。

需要说明的是，因为在执行s212之后，s213-s215和s216不会同时存在，因此为了在图2中区分执行s213-s215和执行s216的两种情况，在图2中将s216采用虚线示出。

s213、授权担保装置向接入认证装置转发该认证请求。

s214、接入认证装置对该来宾授权凭证进行认证。

s215、接入认证装置向来宾终端发送认证响应。

对于上述s213-s215的描述，具体可以参见上述对s112-s114的相关描述，此处不再赘述。

s216、授权担保装置向来宾终端发送认证拒绝消息。

本发明实施例中，在授权担保装置确定认证请求不在担保员信息对应的权限范围内的情况下，授权担保装置可以向来宾终端发送认证拒绝消息，以拒绝来宾终端的认证请求。

可选的，授权担保装置还可以删除该授权编码。示例性的在上述图1和图2所示的方法流程中，授权担保装置执行s108或s208之后，还可以删除该授权编码。一方面可以节省授权担保装置的空间，另一方面可以减小该授权编码泄露的风险。

可选的，在上述方法实施例中，上述认证请求中还可以包括来宾信息和担保员信息。如此在接入认证装置对该认证请求中的来宾授权凭证进行接入认证之后可以保存该来宾信息和担保员信息。

在接入认证装置保存该来宾信息和担保员信息的情况下，系统管理员(例如，企业中的网络管理员)可以根据保存的来宾信息和担保员信息以及来宾终端的唯一标识(例如,媒体访问控制地址)和互联网协议地址查看来宾的浏览记录，以及确定该担保该来宾接入的担保员，以实现对来宾行为的审计。

本发明实施例提供的接入wlan的认证方法，授权担保装置可以接收授权终端发送的来宾信息，授权终端为采用担保员授权凭证访问授权担保装置的终端；向接入认证装置发送授权请求，授权请求中包括来宾信息；并接收接入认证装置发送的授权响应，授权响应中包括由来宾信息生成的来宾授权凭证；且生成授权编码，并将授权编码发送至授权终端，授权编码中包括来宾授权凭证和授权担保装置的地址；然后接收来宾终端发送的认证请求，认证请求中包括来宾授权凭证；以及向接入认证装置转发认证请求。如此本发明实施例中当来宾终端需要接入wlan时，可以通过扫描授权担保装置生成的授权编码向授权担保装置发送认证请求，并且授权担保装置可以将该认证请求发送至接入认证装置进行认证，从而在接入认证装置认证通过后可以同意该来宾终端接入wlan。与现有技术中，通过手机验证码认证/第三方应用程序认证的接入认证方式相比，本发明实施例提供的方法能够更加便捷安全的进行接入wlan的认证。

如图3所示，本发明实施例提供一种授权担保装置，该装置包括：

收发模块11，用于接收授权终端发送的来宾信息，授权终端为采用担保员授权凭证访问授权担保装置的终端；向接入认证装置发送授权请求，授权请求中包括来宾信息；接收接入认证装置发送的授权响应，授权响应中包括由来宾信息生成的来宾授权凭证；将授权编码发送至授权终端；授权编码中包括来宾授权凭证和授权担保装置的地址；接收来宾终端发送的认证请求，认证请求中包括来宾授权凭证；向接入认证装置转发认证请求；

处理模块12，用于生成授权编码。

可选的，认证请求中还包括担保员信息；

处理模块12还用于确定认证请求是否在担保员信息对应的权限范围内；

收发模块11具体用于若认证请求在担保员信息对应的权限范围内，则授权担保装置向接入认证装置转发认证请求。

可选的，认证请求中还包括来宾信息和担保员信息。

可选的，处理模块12还用于删除授权编码。

可选的，授权编码为二维码。

如图4所示，本发明实施例提供一种授权终端，该授权终端包括：

处理模块21，通过担保员授权凭证访问授权担保装置；

输入模块22，用于获取担保员授权凭证和来宾信息；

收发模块23，将来宾信息发送至授权担保装置；接收授权担保装置发送的授权编码；授权编码中包括来宾授权凭证和授权担保装置的地址；

显示模块24，用于显示授权编码。

如图5所示，本发明实施例提供一种接入wlan的认证系统，该系统包括：上述实施例的授权终端、接入认证装置和上述实施例所示的授权担保装置；

其中，接入认证装置用于：

接收授权担保装置发送的授权请求，授权请求中包括来宾信息；

根据来宾信息生成来宾授权凭证；

发送授权响应给授权担保装置，授权响应中包括由来宾信息生成的来宾授权凭证；

接收授权担保装置发送的认证请求；认证请求中包括来宾授权凭证；

对来宾授权凭证进行认证；

向来宾终端发送认证响应，认证响应用于同意/拒绝来宾终端接入wlan。

可选的，认证请求中还包括来宾信息和担保员信息；接入认证装置还用于：保存来宾信息和担保员信息。需要说明的是，本发明实施例中的接入认证装置和授权担保装置可以为单独的两个服务器，也可以集成在一个服务器中(例如接入认证装置和授权担保装置组成认证系统，并集成在同一个服务器中)，接入认证装置和授权担保装置的具体实现形式本法明实施例中不做限定。

本发明实施例提供的接入wlan的认证系统中，接入认证装置可以接收授权担保装置发送的授权请求，授权请求中包括来宾信息；根据来宾信息生成来宾授权凭证；并发送授权响应给授权担保装置，授权响应中包括由来宾信息生成的来宾授权凭证；且接收授权担保装置发送的认证请求，认证请求中包括来宾授权凭证；然后对来宾授权凭证进行认证；以及向来宾终端发送认证响应，认证响应用于同意/拒绝来宾终端接入wlan。如此本发明实施例中当来宾终端需要接入wlan时，可以通过扫描授权担保装置生成的授权编码向授权担保装置发送认证请求，并且接入认证装置可以在接收到认证请求后对来宾授权凭证进行认证，从而在接入认证装置认证通过后可以同意该来宾终端接入wlan。与现有技术中，通过手机验证码认证/第三方应用程序认证的接入认证方式相比，本发明实施例提供的方法能够更加便捷安全的进行接入wlan的认证。

本发明实施例提供的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以通过软件程序、硬件、固件或者其任意组合来实现。当使用软件程序实现时，该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机指令时，全部或部分地产生按照本发明实施例中的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriberline，dsl))方式或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如，软盘、磁盘、磁带)、光介质(例如，数字视频光盘(digitalvideodisc，dvd))、或者半导体介质(例如固态硬盘(solidstatedrives，ssd))等。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。