一种门户认证方法及装置与流程

本申请涉及通信技术领域，特别是涉及一种门户(portal)认证方法及装置。

背景技术：

目前，wlan(wirelesslocalareanetworks，无线局域网)中，报文的转发模式包括集中转发和本地转发两种。其中，集中转发是指站点(sta，station)的报文经接入点(ap，accesspoint)转发给接入控制器(ac，accesscontroller)，由ac进行有线转发。本地转发是指sta的报文由ap进行有线转发。为满足不同用户对转发模式的需求，ap可以根据无线转发策略对用户报文进行转发。其中，无线转发策略包含转发规则和转发行为两部分。无线转发策略包括一条或多条转发规则，每条转发规则中包含匹配报文特征的规则，比如用户的网络协议(ip，internetprotocol)地址网段等。转发行为是指对匹配上转发规则的用户报文进行集中转发或本地转发。这里，用户报文可以包括portal认证报文、数据报文等。

portal认证为通过web页面接收用户输入的用户名和密码等用户信息，对用户进行身份认证，以达到对用户访问进行控制的目的。对于portal认证，需要在ac上设置配置节点和portal认证信息。配置节点可以为ac或ap，ac根据portal认证信息生成portal过滤规则，然后将portal过滤规则下发到配置节点。

当portal认证和无线转发策略结合时，若配置节点与通过无线转发策略决策的进行有线转发的节点不同，例如，配置节点为ap，进行有线转发的节点为ac，或者配置节点为ac，进行有线转发的节点为ap，将导致无法对sta进行portal认证，也就是，直接有线转发sta发送的数据报文，这将给网络带来了很大的安全隐患。

技术实现要素：

本申请实施例的目的在于提供一种portal认证方法及装置，以在portal认证和无线转发策略结合的情况下提高网络安全性。具体技术方案如下：

为实现上述目的，本申请实施例提供了一种portal认证方法，应用于ap，所述方法包括：

接收sta发送的portal认证报文；

判断是否存储有强制策略，所述强制策略用于指示所述ap对所述sta进行portal认证；

若有，则根据所述portal认证报文，依据本地存储的portal过滤规则对所述sta进行portal认证。

为实现上述目的，本申请实施例还提供了一种portal认证装置，应用于ap，所述装置包括：

接收单元，用于接收sta发送的portal认证报文；

第一判断单元，用于判断是否存储有强制策略，所述强制策略用于指示所述ap对所述sta进行portal认证；

认证单元，用于在所述第一判断单元的判断结果为是时，根据所述portal认证报文，依据本地存储的portal过滤规则对所述sta进行portal认证。

为实现上述目的，本申请实施例还提供了一种ap，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使实现上述portal认证方法。

为实现上述目的，本申请实施例还提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现实现上述portal认证方法。

本申请实施例中，ap中存储了portal过滤规则，还可以存储指示ap对sta进行portal认证的强制策略。若ap中存储了强制策略，则不论portal认证报文匹配的目标转发规则对应的转发行为，是集中转发还是本地转发，也就是，不论进行有线转发的节点是ac还是ac，ap均依据本地存储的portal过滤规则对sta进行portal认证，避免了不对sta进行portal认证，直接有线转发sta发送的数据报文的问题，在portal认证和无线转发策略结合的情况下提高了网络安全性。当然，实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一种组网示意图；

图2为本申请实施例提供的portal认证方法的一种流程示意图；

图3为本申请实施例提供的portal过滤规则的一种配置流程图；

图4为本申请实施例提供的portal认证装置的一种结构示意图；

图5为本申请实施例提供的ap的一种结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

目前，在portal认证和无线转发策略结合的情况下，若portal认证的配置节点与通过无线转发策略决策的进行有线转发的节点不同，将给网络带来了很大的安全隐患。

如图1所示的组网中包括ac、ap和sta。ac上设置了配置节点和portal认证信息，则ac根据portal认证信息生成portal过滤规则(也可以称为portalfree-rule)，并将portal过滤规则发送给ap，ap存储portal过滤规则。

另外，在使能无线转发策略的情况下，ac将转发规则及转发规则对应的转发行为发送给ap。

在portal认证阶段，当ap接收到sta发送的进行portal认证的portal认证报文后，若确定portal认证报文的源地址在无线转发策略中转发规则的ip地址网段内，则确定portal认证报文匹配的转发规则。

若portal认证报文匹配的转发规则对应的转发行为是本地转发，也就是，通过无线转发策略决策的进行有线转发的节点为ap。此时，若portal认证的配置节点是ap，ap可以根据portal认证报文，依据portal过滤规则，将portal认证报文发送给portal认证服务器，对sta进行portal认证。portal认证成功后，ap若接收到sta发送的数据报文，该数据报文匹配的转发规则所对应的转发行为依然会是本地转发，则直接对数据报文进行有线转发。

若portal认证报文匹配的转发规则对应的转发行为是本地转发，但portal认证的配置节点是ac，ap上没有portal过滤规则，ap不会对sta进行portal认证。之后，若ap若接收到sta发送的数据报文，该数据报文匹配的转发规则所对应的转发行为依然会是本地转发，直接对数据报文进行有线转发，由于未对sta进行portal认证就转发了数据报文，将给网络带来了很大的安全隐患。

另外，若portal认证报文匹配的转发规则对应的转发行为是集中转发，也就是，通过无线转发策略决策的进行有线转发的节点为ac，ap将portal认证报文发送给ac。时，若portal认证的配置节点是ac，ac可以根据portal认证报文，依据portal过滤规则，将portal认证报文发送给portal认证服务器，对sta进行portal认证。portal认证成功后，ap若接收到sta发送的数据报文，该数据报文匹配的转发规则所对应的转发行为依然会是集中转发，ap将数据报文转发给ac。ac对数据报文进行有线转发。

若portal认证报文匹配的转发规则对应的转发行为是集中转发，但portal认证的配置节点是ap，ac上没有portal过滤规则，也就ac接收到portal认证报文后，不会对sta进行portal认证。之后，ap若接收到sta发送的数据报文，该数据报文匹配的转发规则所对应的转发行为依然会是集中转发，ap将数据报文转发给ac。ac对数据报文进行有线转发。由于ac未对sta进行portal认证，就转发了数据报文，将给网络带来了很大的安全隐患。

为了在portal认证和无线转发策略结合的情况下提高网络安全性，本申请实施例提供了一种应用于ap的portal认证方法及装置。该方法中，ap中存储了portal过滤规则，还可以存储指示ap对sta进行portal认证的强制策略。若ap中存储了强制策略，则不论portal认证报文匹配的目标转发规则对应的转发行为，是集中转发还是本地转发，ap都依据本地存储的portal过滤规则对sta进行portal认证，避免了ac不对sta进行portal认证，直接转发sta发送的数据报文的问题，在portal认证和无线转发策略结合的情况下提高了网络安全性。

下面通过具体的实施例对本申请进行详细说明。

参考图2，图2为本申请实施例提供的portal认证方法的一种流程示意图，应用于ap，该方法包括：

步骤201：接收sta发送的portal认证报文。

其中，portal认证报文中可以包括用户名、用户密码等用户信息，portal认证报文用于用户在发送数据报文前进行portal认证。

步骤202：判断是否存储有强制策略。其中，强制策略用于指示ap对sta进行portal认证。

本申请实施例中，强制策略可以在用户配置portal认证信息时直接配置在ap中，也可以是ac向ap发送portal过滤规则时发送给ap的。

步骤203：根据portal认证报文，依据本地存储的portal过滤规则对sta进行portal认证。

若ap中存储有强制策略，则不论portal认证报文匹配的目标转发规则对应的转发行为，是集中转发还是本地转发，ap直接依据本地存储的portal过滤规则，将portal认证报文发送给portal认证服务器，对sta进行portal认证。

在本申请的一个实施例中，若ap中未存储强制策略，则ap判断无线转发策略中是否存在与portal认证报文匹配的目标转发规则。

若存在目标转发规则，且目标转发规则对应的转发行为是集中转发，则ap将portal认证报文转发给ac。ac接收到portal认证报文后，依据本地存储的portal过滤规则对sta进行portal认证。

若存在目标转发规则，且目标转发规则对应的转发行为是本地转发，则ap根据portal认证报文，依据本地存储的portal过滤规则对所述sta进行portal认证。

例如，无线转发策略中的转发规则有：转发规则1包括ip地址网段1，转发规则2包括ip地址网段2。其中，转发规则1对应的转发行为是本地转发，转发规则2对应的转发行为是集中转发。

当ap接收到portal认证报文1时，若portal认证报文1的源ip地址1在ip地址网段1内，则ap确定portal认证报文1与转发规则1匹配，ap根据portal认证报文，依据本地存储的portal过滤规则对所述sta进行portal认证。

若portal认证报文1的源ip地址1在ip地址网段2内，则ap确定portal认证报文1与转发规则2匹配，ap将portal认证报文转发给ac。ac接收到portal认证报文后，依据本地存储的portal过滤规则对sta进行portal认证。

在本申请的一个实施例中，为保证用户报文的转发，ap可以配置默认转发规则，默认转发规则对应的转发行为是本地转发。若无线转发策略中不存在目标转发规则，则ap确定portal认证报文与默认转发规则匹配，进而ap根据portal认证报文，依据本地存储的portal过滤规则对所述sta进行portal认证。

仍以上面的例子进行说明。若portal认证报文1的源ip地址1既不在ip地址网段1内，也不在ip地址网段2内，则ap确定portal认证报文1与默认转发规则匹配，根据portal认证报文，依据本地存储的portal过滤规则对所述sta进行portal认证。

在本申请的一个实施例中，为了节约ap的存储空间，可以在ac中可以仅配置集中转发对应的转发规则，并将配置的转发规则下发给ap。ap仅存储了集中转发对应的转发规则，节约了存储空间。此时，ap接收到的用户报文匹配到无线转发策略中的转发规则时，该转发规则对应的转发行为一定为集中转发，进而将用户报文转发给ac，由ac对用户报文进行有线转发。ap接收到的用户报文匹配不到无线转发策略中的转发规则时，就依据默认转发规则直接对用户报文进行有线转发。这里，用户报文可以包括portal认证报文、数据报文等。

本申请的实施例中，为了在portal认证和无线转发策略结合的情况下提高了网络安全性，在ap接收到portal认证报文对sta进行portal认证前，可以预先在ac和ap中配置portal过滤规则。

在本申请的一个实施例中，若portal认证的配置节点为ac，配置portal过滤规则的过程可以包括：ac在获取到portal认证信息后，根据portal认证信息生成portal过滤规则。ac在本地存储了portal过滤规则后，复制一份portal过滤规则发送给ap。ap接收ac发送的portal过滤规则，并存储接收的portal过滤规则。

在本申请的另一个实施例中，若portal认证的配置节点为ap，配置portal过滤规则的过程可以包括：ac在获取到portal认证信息后，根据portal认证信息生成portal过滤规则，并将生成的portal过滤规则发送给ap。ap接收ac发送的portal过滤规则。若ap本地存储了强制策略，则不做其他处理。若ap本地未存储强制策略，则复制一份portal过滤规则发送给ac。ac接收ap发送的portal过滤规则，并存储接收的portal过滤规则。

下面结合图3所示的portal过滤规则的一种配置流程图，对本申请实施例提供的portal过滤规则配置流程进行说明。其中，portal过滤规则需要配置在预设的服务模板的基本服务集(bss，basicserviceset)口上。服务模板与一个或多个ap绑定。

步骤301，用户在ac上配置portal认证信息和配置节点。ac根据配置的portal认证信息生成portal过滤规则。

步骤302，ac判断portal认证信息和配置节点是否配置在服务模板下。如果否，执行步骤303。如果是，执行步骤304。

步骤303，ac将portal过滤规则配置在虚拟局域网(vlan，virtuallocalareanetwork)口上。

此时，sta通过vlan口上的portal过滤规则进行portal认证。

步骤304，ac判断该服务模板下是否使能了无线转发策略。如果否，执行步骤305。如果是，执行步骤306。

其中，步骤302和步骤304的执行顺序本申请实施例不进行限定。

步骤305，ac根据配置节点配置portal过滤规则。

具体的，若配置节点是ac，则ac本地服务模板对应的bss口上配置portal过滤规则。

若配置节点是ap，则ac将portal过滤规则发送给绑定该服务模板的ap。ap接收到portal过滤规则，将portal过滤规则配置在该ap上服务模板对应的bss口上。

步骤306，ac检测配置节点。

若配置节点是ac，则执行步骤307。若配置节点是ap，则执行步骤309。

步骤307，ac将portal过滤规则配置在该ac上该服务模板对应的bss口上，并复制一份portal过滤规则发送给ap。执行步骤308。

步骤308，ap接收到portal过滤规则，将portal过滤规则配置在该ap上该服务模板对应的bss口上。

步骤309，ac将portal过滤规则发送给绑定该服务模板的ap。执行步骤310。

步骤310，ap接收到portal过滤规则，将portal过滤规则配置在该ap上该服务模板对应的bss口上，检测是否配置了强制策略。

若配置了强制策略，则不做其他处理。若未配置强制策略，则执行步骤311。

步骤311，复制一份portal过滤规则，将复制得到的portal过滤规则发送给ac。

步骤312，ac接收ap发送的portal过滤规则，将portal过滤规则配置在该ac上该服务模板对应的bss口上。

这样，ap和ac均存储了portal过滤规则，保证了对sta进行portal认证。

本申请实施例中，ap中存储了portal过滤规则，还可以存储指示ap对sta进行portal认证的强制策略。若ap中存储了强制策略，则不论portal认证报文匹配的目标转发规则对应的转发行为，是集中转发还是本地转发，也就是，不论进行有线转发的节点是ac还是ac，ap均依据本地存储的portal过滤规则对sta进行portal认证，避免了不对sta进行portal认证，直接有线转发sta发送的数据报文的问题，在portal认证和无线转发策略结合的情况下提高了网络安全性。

另外，若ap中未存储强制策略，但ap和ac中均配置了portal过滤规则，同样保证了对sta进行portal认证，提高了网络安全性。

在对sta进行portal认证之后，ap当接收到sta发送的数据报文时，查找与数据报文匹配的转发规则。若查找到，则ap根据查找到的转发规则对应的转发行为转发数据报文。若未查找到，则ap对数据报文进行本地转发。此时，ap已经对sta进行了portal认证，提高了网络安全性。

与portal认证方法实施例对应，本申请实施例还提供了一种portal认证装置。参考图4，图4为本申请实施例提供的portal认证装置的一种结构示意图，应用于ap，该装置包括：

接收单元401，用于接收sta发送的portal认证报文；

第一判断单元402，用于判断是否存储有强制策略，强制策略用于指示ap对sta进行portal认证；

认证单元403，用于在第一判断单元402的判断结果为是时，根据portal认证报文，依据本地存储的portal过滤规则对sta进行portal认证。

在本申请的一个实施例中，上述报文转发装置还可以包括：

第二判断单元，用于在第一判断单元的判断结果为否时，判断无线转发策略中是否存在与portal认证报文匹配的目标转发规则；

发送单元，用于若存在目标转发规则，且目标转发规则对应的转发行为是集中转发，则将portal认证报文转发给接入控制器ac，以使ac根据portal认证报文，依据本地存储的portal过滤规则对sta进行portal认证；

认证单元403，还可以用于若存在目标转发规则，且目标转发规则对应的转发行为是本地转发，则根据portal认证报文，依据本地存储的portal过滤规则对sta进行portal认证。

在本申请的一个实施例中，上述报文转发装置还可以包括：复制单元；

接收单元401，还可以用于在接收sta发送的portal认证报文之前，接收ac发送的portal过滤规则，其中，portal过滤规则为ac根据配置的portal认证信息生成的；

复制单元，用于若未存储强制策略，则复制portal过滤规则，并将复制得到的portal过滤规则发送给ac，以使ac存储portal过滤规则。

在本申请的一个实施例中，接收单元401，还可以用于接收ac发送的portal过滤规则，其中，portal过滤规则为ac复制的本地存储的portal过滤规则。

在本申请的一个实施例中，认证单元403，还可以用于若无线转发策略中不存在目标转发规则，根据portal认证报文，依据本地存储的portal过滤规则对sta进行portal认证。

应用本申请实施例，ap中存储了portal过滤规则，还可以存储指示ap对sta进行portal认证的强制策略。若ap中存储了强制策略，则不论portal认证报文匹配的目标转发规则对应的转发行为，是集中转发还是本地转发，也就是，不论进行有线转发的节点是ac还是ac，ap均依据本地存储的portal过滤规则对sta进行portal认证，避免了不对sta进行portal认证，直接有线转发sta发送的数据报文的问题，在portal认证和无线转发策略结合的情况下提高了网络安全性。

与上述portal认证方法实施例对应，本申请实施例还提供了一种ap，如图5所示的ap，包括处理器501和机器可读存储介质502，机器可读存储介质502存储有能够被处理器501执行的机器可执行指令，处理器501被机器可执行指令促使实现上述图2和图3所示的portal认证方法。具体的，portal认证方法包括：

接收sta发送的portal认证报文；

判断是否存储有强制策略，所述强制策略用于指示所述ap对所述sta进行portal认证；

若有，则根据所述portal认证报文，依据本地存储的portal过滤规则对所述sta进行portal认证。

应用本申请实施例，ap中存储了portal过滤规则，还可以存储指示ap对sta进行portal认证的强制策略。若ap中存储了强制策略，则不论portal认证报文匹配的目标转发规则对应的转发行为，是集中转发还是本地转发，也就是，不论进行有线转发的节点是ac还是ac，ap均依据本地存储的portal过滤规则对sta进行portal认证，避免了不对sta进行portal认证，直接有线转发sta发送的数据报文的问题，在portal认证和无线转发策略结合的情况下提高了网络安全性。

另外，如图5所示的ap，ap还可以包括：通信接口503和通信总线504；其中，处理器501、机器可读存储介质502、通信接口503通过通信总线504完成相互间的通信，通信接口503用于上述ap与其他设备之间的通信。

通信总线504可以是外设部件互连标准(pci，peripheralcomponentinterconnect)总线或扩展工业标准结构(eisa，extendedindustrystandardarchitecture)总线等。该通信总线504可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

机器可读存储介质502可以包括随机存取存储器(ram，randomaccessmemory)，也可以包括非易失性存储器(nvm，non-volatilememory)，例如至少一个磁盘存储器。另外，机器可读存储介质502还可以是至少一个位于远离前述处理器的存储装置。

处理器501可以是通用处理器，包括中央处理器(cpu，centralprocessingunit)、网络处理器(np，networkprocessor)等；还可以是数字信号处理器(dsp，digitalsignalprocessing)、专用集成电路(asic，applicationspecificintegratedcircuit)、现场可编程门阵列(fpga，field-programmablegatearray)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

与上述portal认证方法实施例对应，本申请实施例还提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器实现上述图2和图3所示的portal认证方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于portal认证装置、ap和机器可读存储介质实施例而言，由于其基本相似于portal认证方法实施例，所以描述的比较简单，相关之处参见portal认证方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。