接入访问控制方法及设备的制作方法

接入访问控制方法及设备的制作方法
【专利摘要】本发明提供一种接入访问控制方法及设备。一种方法包括：Portal服务器根据AC提供的第二终端对应的信息生成编码图像并返回给第二终端，已认证第一终端扫描编码图像将第二终端对应的信息通过Portal服务器发送给Radius认证授权服务器；Radius认证授权服务器在确定第一终端为已认证终端后，为第二终端分配用户名和密码并根据第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和为第二终端分配的默认上网权限中的至少一个生成上网权限，并提供给AC，AC根据所述用户名和密码对第二终端进行认证，并在认证通过后在本地设置第二终端的上网权限。本发明技术方案有利于降低终端开户周期。
【专利说明】接入访问控制方法及设备
【技术领域】
[0001]本发明涉及通信技术，尤其涉及一种接入访问控制方法及设备。
【背景技术】
[0002]入口(Portal)认证通常也被称为Web认证。与802.1x认证方式相比，Web认证具有较强的易用性。用户不需要安装认证客户端，只需要在终端上使用浏览器，输入用户名和密码，即可完成认证，实现访问控制。Web认证的典型组网结构主要包括五个基本角色:站点(Station,简称为STA)、访问点(Access Point,简称为AP)、访问控制器(AccessController,简称为AC)、Portal服务器和Radius服务器。通常Portal服务器会设置在AC中实现。
[0003]其中，STA支持运行超文本传输协议(Hypertext Transfer Protocol,简称为HTTP)的浏览器，上网时发出HTTP请求。AC实现用户强制Portal、业务控制，接收Portal服务器发起的认证请求，完成用户认证功能。Portal服务器是门户网站，主要负责推送认证页面，接收无线局域网(Wireless Local Area Networks,简称为WLAN)用户的认证信息，向AC发起用户认证请求以及用户下线通知，以及提供用户自服务选项，链接到Radius服务器提供的自服务页面完成相应功能。Radius服务器主要对用户接入进行认证、计费和授权。
[0004]在部署Web认证前，需要在Radius服务器上预先配置用户名、密码和对应的网络权限，然后才可以进行Web认证，这个过程被称为用户开户。目前有如下两种开户方式:一种是管理员手动开户，这种方式的问题是管理员管理工作量大，开户周期长；另一种是用户自助开户，即用户通过Web认证登录的时候，Portal服务器的认证页面提供了一个用户自开户的页面，用户通过该页面填写用户名、密码和申请需要的网络权限；然后由管理员统一在线处理，这种方式减轻了管理员的管理工作量，但由于仍需管理员参与操作所以仍然存在开户周期长的问题。

【发明内容】

[0005]本发明提供一种接入访问控制方法及设备，用以解决用户开户周期长的问题。
[0006]第一方面提供一种接入访问控制方法，包括:
[0007]访问控制器AC拦截到待认证第二终端的访问请求后，将所述第二终端重定向到Portal服务器，并向所述Portal服务器提供所述第二终端对应的信息，以使所述Portal服务器根据所述第二终端对应的信息生成所述第二终端对应的第一编码图像并返回给所述第二终端，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0008]所述AC接收Radius认证授权服务器通过所述Portal服务器发送的所述第二终端对应的用户名、密码和上网权限；其中，所述上网权限是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成的，所述用户名和密码是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配的；所述第二终端对应的信息和所述第一终端的标识信息是所述Portal服务器在接收到所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的所述第二终端对应的信息后，发送给所述Radius认证授权服务器的；
[0009]所述AC将所述第二终端的用户名和密码发送给所述Radius认证授权服务器，以对所述第二终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述第二终端的上网权限设置于本地，向所述Portal服务器和所述第二终端发送所述认证通过结果。
[0010]第二方面提供一种接入访问控制方法，包括:
[0011]Portal服务器接收待认证第二终端发送的访问请求，并接收访问控制器AC发送的所述第二终端对应的信息，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0012]所述Portal服务器根据所述第二终端对应的信息生成所述第二终端的第一编码图像，并将所述第一编码图像发送给所述第二终端；
[0013]所述Portal服务器接收已认证第一终端发送的所述第二终端对应的信息，所述第一终端发送的所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的；
[0014]所述Portal服务器将所述第二终端对应的信息和所述第一终端的标识信息发送给Radius认证授权服务器，以使所述Radius认证授权服务器在根据所述第一终端的标识信息和所述Radius认证授权服务器本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成上网权限；
[0015]所述Portal服务器接收所述Radius认证授权服务器发送的所述第二终端的上网权限、用户名和密码，并转发给所述AC，以使所述AC根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
[0016]第三方面提供一种接入访问控制方法，包括:
[0017]Radius认证授权服务器接收Portal服务器发送的待认证第二终端对应的信息和已认证第一终端的标识信息，所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的第一编码图像获取并发送给所述Portal服务器的，所述第一编码图像是所述Portal服务器根据访问控制器AC发送的所述第二终端对应的信息生成并发送给重定向到所述Portal服务器的所述第二终端的，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；[0018]所述Radius认证授权服务器根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端是否为已认证终端，并在确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码，并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个为所述第二终端生成上网权限；
[0019]所述Radius认证授权服务器将所述第二终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
[0020]第四方面提供一种接入访问控制方法，包括:
[0021]访问控制器AC接收待认证终端发送的编码指示信息，所述编码指示信息是所述待认证终端扫描所述待认证终端的第二编码图像获取的，所述第二编码图像是Radius认证授权服务器根据所述编码指示信息生成的，所述编码指示信息用于指示所述待认证终端对应的信息，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0022]所述AC根据所述编码指示信息获取所述待认证终端对应的信息，并将所述待认证终端对应的信息通过Portal服务器发送给所述Radius认证授权服务器，以使所述Radius认证授权服务器在接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限；
[0023]所述AC接收所述Radius认证授权服务器发送的所述待认证终端的上网权限、用户名和密码；
[0024]所述AC将所述待认证终端的用户名和密码发送给所述Radius认证授权服务器，以对所述待认证终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述待认证终端的上网权限设置于本地，向所述Portal服务器和所述待认证终端发送所述认证通过结果。
[0025]第五方面提供一种接入访问控制方法，包括:
[0026]Radius认证授权服务器接收Portal服务器发送的待认证终端对应的信息，所述待认证终端对应的信息是访问控制器AC在接收到所述待认证终端通过扫描第二编码图像获取的编码指示信息后，根据所述编码指示信息获取并发送给所述Portal服务器的，所述第二编码图像是所述Radius认证授权服务器根据所述待认证终端对应的信息生成的，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0027]所述Radius认证授权服务器在接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码，并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限；
[0028]所述Radius认证授权服务器将所述待认证终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述待认证终端的用户名和密码完成对所述待认证终端的认证并在认证通过后将所述待认证终端的上网权限设置在本地。
[0029]第六方面提供一种访问控制器AC，包括:
[0030]重定向模块，用于拦截到待认证第二终端的访问请求后，将所述第二终端重定向到Portal服务器，并向所述Portal服务器提供所述第二终端对应的信息，以使所述Portal服务器根据所述第二终端对应的信息生成所述第二终端对应的第一编码图像并返回给所述第二终端，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0031]接收模块，用于接收Radius认证授权服务器通过所述Portal服务器发送的所述第二终端对应的用户名、密码和上网权限；其中，所述上网权限是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成的，所述用户名和密码是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配的；所述第二终端对应的信息和所述第一终端的标识信息是所述Portal服务器在接收到所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的所述第二终端对应的信息后，发送给所述Radius认证授权服务器的；
[0032]认证处理模块，用于将所述第二终端的用户名和密码发送给所述Radius认证授权服务器，以对所述第二终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述第二终端的上网权限设置于本地，向所述Portal服务器和所述第二终端发送所述认证通过结果。
[0033]第七方面提供一种Portal服务器，包括:
[0034]接收模块，用于接收待认证第二终端发送的访问请求，并接收访问控制器AC发送的所述第二终端对应的信息，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0035]发送模块，用于根据所述第二终端对应的信息生成所述第二终端的第一编码图像，并将所述第一编码图像发送给所述第二终端；
[0036]所述接收模块，还用于接收已认证第一终端发送的所述第二终端对应的信息，所述第一终端发送的所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的；
[0037]所述发送模块，还用于将所述第二终端对应的信息和所述第一终端的标识信息发送给Radius认证授权服务器，以使所述Radius认证授权服务器在根据所述第一终端的标识信息和所述Radius认证授权服务器本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成上网权限；
[0038]所述接收模块，还用于接收所述Radius认证授权服务器发送的所述第二终端的上网权限、用户名和密码；
[0039]所述发送模块，还用于将所述接收模块接收的所述第二终端的上网权限、用户名和密码转发给所述AC，以使所述AC根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
[0040]第八方面提供一种Radius认证授权服务器，包括:
[0041]接收模块，用于接收Portal服务器发送的待认证第二终端对应的信息和已认证第一终端的标识信息，所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的第一编码图像获取并发送给所述Portal服务器的，所述第一编码图像是所述Portal服务器根据访问控制器AC发送的所述第二终端对应的信息生成并发送给重定向到所述Portal服务器的所述第二终端的，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0042]分配生成模块，用于根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端是否为已认证终端，并在确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码，并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个为所述第二终端生成上网权限；
[0043]发送模块，用于将所述第二终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
[0044]第九方面提供一种访问控制器AC，包括:
[0045]接收模块，用于接收待认证终端发送的编码指示信息，所述编码指示信息是所述待认证终端扫描所述待认证终端的第二编码图像获取的，所述第二编码图像是Radius认证授权服务器根据所述编码指示信息生成的，所述编码指示信息用于指示所述待认证终端对应的信息，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0046]获取模块，用于根据所述编码指示信息获取所述待认证终端对应的信息；
[0047]发送模块，用于将所述获取模块获取的所述待认证终端对应的信息通过Portal服务器发送给所述Radius认证授权服务器，以使所述Radius认证授权服务器在接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限；
[0048]所述接收模块，还用于接收所述Radius认证授权服务器发送的所述待认证终端的上网权限、用户名和密码；
[0049]所述发送模块，还用于将所述接收模块接收的所述待认证终端的用户名和密码发送给所述Radius认证授权服务器，以对所述待认证终端进行认证；
[0050]所述接收模块，还用于接收所述Radius认证授权服务器返回的认证结果；
[0051]设置模块，用于在所述接收模块接收到所述Radius认证授权服务器返回的认证通过结果后，将所述待认证终端的上网权限设置于本地；
[0052]所述发送模块，还用于向所述Portal服务器和所述待认证终端发送所述认证通过结果。
[0053]第十方面提供一种Radius认证授权服务器，包括:
[0054]接收模块，用于接收Portal服务器发送的待认证终端对应的信息，所述待认证终端对应的信息是访问控制器AC在接收到所述待认证终端通过扫描第二编码图像获取的编码指示信息后，根据所述编码指示信息获取并发送给所述Portal服务器的，所述第二编码图像是所述Radius认证授权服务器根据所述待认证终端对应的信息生成的，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；
[0055]分配生成模块，用于在所述接收模块接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码，并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限；
[0056]发送模块，用于将所述待认证终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述待认证终端的用户名和密码完成对所述待认证终端的认证并在认证通过后将所述待认证终端的上网权限设置在本地。
[0057]本发明提供的接入访问控制方法及设备，由已认证终端扫描由待认证终端对应的信息生成的编码图像，并将获取的待认证终端对应的信息通过Portal服务器提供给Radius服务器，使得Radius服务器在确定上述信息由已认证终端发送后，为待认证终端分配用户名和密码，并根据已认证终端的上网权限、已认证终端和待认证终端接入的AC的SSID上配置的上网权限和为待认证终端分配的默认上网权限中的至少一个动态分配上网权限，之后将上网权限、用户名和密码提供给AC，由AC使用用户名和密码完成对待认证终端的认证并在认证通过后将待认证终端的上网权限设置于本地。由此可见，本发明技术方案在对待认证终端进行认证的过程中同时完成待认证终端的用户名、密码和上网权限的分配，在认证过程中同时完成对终端的开户，并且整个过程无需管理员参与，有利于提高终端开户速度，降低开户周期。
【专利附图】

【附图说明】
[0058]图1为本发明实施例提供的一种接入访问控制方法的流程图；
[0059]图2为本发明实施例提供的另一种接入访问控制方法的流程图；
[0060]图3为本发明实施例提供的又一种接入访问控制方法实施例的流程；
[0061]图4为本发明实施例提供的又一种接入访问控制方法的流程图；
[0062]图5为本发明实施例提供的又一种接入访问控制方法的流程图；
[0063]图6为本发明实施例提供的又一种接入访问控制方法的流程图；
[0064]图7为本发明实施例提供的又一种接入访问控制方法的流程图；
[0065]图8为本发明实施例提供的一种AC的结构示意图；
[0066]图9为本发明实施例提供的一种Portal服务器的结构示意图；
[0067]图10为本发明实施例提供的一种Radius认证授权服务器的结构示意图；[0068]图11为本发明实施例提供的另一 AC的结构示意图；
[0069]图12为本发明实施例提供的另一种Radius认证授权服务器的结构示意图。
【具体实施方式】
[0070]图1为本发明实施例提供的一种接入访问控制方法的流程图。如图1所示，所述方法包括:
[0071]101、AC拦截到待认证第二终端的访问请求后，将所述第二终端重定向到Portal服务器，并向所述Portal服务器提供所述第二终端对应的信息，以使所述Portal服务器根据所述第二终端对应的信息生成所述第二终端对应的第一编码图像并返回给所述第二终端，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识(Service Set Identifier,简称为SSID)的SSID标识信息。
[0072]在本实施例中，由已认证终端代替待认证终端进行编码图像的扫描，协助待认证终端进行认证并开户。为便于描述，将已认证终端称为第一终端，将待认证终端称为第二终端。
[0073]在此说明，本发明实施例对编码图像所使用的编码方式不做限定，例如可以是条形码、二维码或者还可以是将来可能发展出的其他编码方式，例如三维码。其中，二维码编码信息量较大，且是目前较为成熟的编码方式，因此，本发明实施例中的编码图像优选为二维码图像。
[0074]在此说明，在本发明实施例中并不限定第一终端的认证方式，例如第一终端可以采用现有技术中的Web认证流程完成认证，也可以采用本发明实施例提供的方法预先完成认证。
[0075]在本实施例中，进行对第二终端进行认证和开户的网络环境主要包括AC、Portal服务器和Radius认证授权服务器，但不限于此。其中，Portal服务器可以独立实现，也可以集成于AC中实现。Radius认证授权服务器是指集成有网络授权控制功能的Radius服务器。
[0076]在实际应用中，AC会打开上网权限控制，用以对接入的终端进行上网控制，同时还会设置Web跳转功能，以将需要认证的终端重定向到Portal服务器上进行认证。另外，本实施例的Radius认证授权服务器上会预先存储一些用户名、密码和对应的上网权限，用于为待认证的第二终端分配。一种较为优选的实施方式为=Radius认证授权服务器上创建访客流水账号池，用于存储访客流水账号，访客流水账号按照一定的顺序编号，每个访客流水账号包括预设的用户名、预设的密码和预设的上网权限等信息。
[0077]当第二终端需要上网时，会开启第二终端上的浏览器，访问任意的统一资源定位符(Uniform Resource Locator,简称为URL),相当于发出访问请求。AC会拦截第二终端的访问请求，在发现第二终端为未认证终端后，将第二终端重定向到Portal服务器。第二终端通过Portal服务器的URL访问Portal服务器。在本实施例中，AC除了将第二终端重定向到Portal服务器之外，还会向Portal服务器提供第二终端对应的信息。
[0078]在本实施例中，第二终端对应的信息包括但不限于:第二终端的标识信息和用于标识AC上的SSID的SSID标识信息。举例说明，第二终端的标识信息可以是第二终端的介质访问控制(Media Access Control，简称为MAC)地址，或者可以是第二终端的IP地址和MAC地址的组合，等等。所述SSID标识信息可以是任何可以标识第二终端接入的所述AC上的SSID的信息，例如该SSID标识信息可以包括AC的IP地址和AC上的SSID，其中，AC的IP地址用于唯一标识一个AC，进而结合该AC上的SSID可以唯一标识是某个AC上的SSID ；又例如，所述SSID标识信息还可以包括AC的IP地址、AC的名称(Name)和AC上的SSID。
[0079]在此说明，所述第二终端对应的信息除了包括第二终端的标识信息和所述SSID标识信息外，还可以包括AC上默认的认证方式和AC上默认的上网权限等信息。
[0080]Portal服务器接收到第二终端对应的信息后，会对第二终端对应的信息进行编码编码，生成携带有第二终端对应的信息的编码图像。之后，Portal服务器会将该编码图像返回给第二终端，该编码图像可以显示在第二终端的浏览器上。
[0081]102、AC接收Radius认证授权服务器通过所述Portal服务器发送的所述第二终端对应的用户名、密码和上网权限。
[0082]其中，所述上网权限是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成的，所述用户名和密码是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配的；所述第二终端对应的信息和所述第一终端的标识信息是所述Portal服务器在接收到所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的所述第二终端对应的信息后，发送给所述Radius认证授权服务器的。
[0083]在第二终端上显示编码图像后，已经认证的第一终端代替第二终端对该编码图像进行扫描，并解析获取其中第二终端对应的信息，即第二终端的标识信息和所述SSID标识信息。然后，第一终端将所述第二终端对应的信息发送给Portal服务器。Portal服务器收到第一终端发送的第二终端对应的信息后，将第二终端对应的信息和第一终端的标识信息一同发送给Radius认证授权服务器。
[0084]在此说明，在第一终端通过认证后，在AC、Portal服务器和Radius认证授权服务器上存储有第一终端的有关信息。举例说明，Radius认证授权服务器上存储的第一终端的信息包括:第一终端认证的用户名，第一终端的IP地址，第一终端的MAC地址，第一终端所在AC的IP地址，第一终端所获得的上网权限，等等。Radius认证授权服务器上存储的第一终端的信息可以用一个信息组来表不:A_authentication&authorization (A_username,A_IP, A_MAC, A_AC_IP, A_authorization)，但不限于此。AC上存储的第一终端的信息也包括:第一终端认证的用户名，第一终端的IP地址，第一终端的MAC地址，第一终端所在AC的IP地址，第一终端所获得的上网权限，等等。AC上存储的第一终端的信息可以用一个信息组来表不:A (A_username,A_IP,A_MAC,A_AC_IP,A_authorization),但不限于此。Portal服务器上存储的第一终端的信息包括:第一终端认证的用户名、第一终端的IP地址和第一终端的MAC地址，等等。第一终端认证的用户名、第一终端的IP地址和第一终端的MAC地址等可以唯一标识第一终端，因此视为第一终端的标识信息。[0085]Radius认证授权服务器接收到Portal服务器发送的第二终端对应的信息和第一终端的标识信息后，可以根据第一终端的标识信息和本地存储的已认证终端的标识信息确定第一终端是否为已认证终端，另外，可以根据第二终端对应的信息中第二终端的标识信息确认是要对第二终端进行认证且需要为其分配用户名、密码和上网权限，而根据第二终端对应的信息中的SSID标识信息可以确定第二终端和第一终端所接入的AC的SSID。具体的，Radius认证授权服务器可以将第一终端的标识信息在本地存储的已认证终端的标识信息中进行匹配，如果匹配中，说明第一终端是已认证终端，这样Radius认证授权服务器就可以确定由第一终端协助的第二终端属于合法用户，可以为其分配用户名、密码和上网权限。
[0086]于是，Radius认证授权服务器在确定第一终端为已认证终端后，为第二终端分配用户名和密码，并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成上网权限。
[0087]举例说明，在Radius认证授权服务器上预先创建了访客流水账号池的情况下，Radius认证授权服务器可以从访客流水账号池中，顺序取出空闲的访客流水账号，将所取出的访客流水账号中预设的用户名和预设的密码作为第二终端的用户名和密码分配给第二终端，并将所取出的访客流水账号中预设的上网权限作为第二终端的默认上网权限分配给第二终端。然后，Radius认证授权服务器根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限中的至少一个为所述第二终端生成上网权限。
[0088]为便于描述，可以将第一终端的上网权限记为A_auth，将所述SSID标识信息所标识的SSID上配置的上网权限记为SSID_auth，将第二终端的默认上网权限记为R_auth，将第二终端的上网权限记为B_auth。
[0089]可选的，Radius认证授权服务器可以采用但不限于以下几种方式为第二终端分配上网权限:
[0090]Radius认证授权服务器取所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限。即 B_auth=A_auth U SSID_auth U R_auth。或者
[0091]Radius认证授权服务器将所述第一终端的上网权限作为所述第二终端的上网权限。即 B_auth=A_auth。或者
[0092]Radius认证授权服务器将所述SSID标识信息所标识的SSID上配置的上网权限作为所述第二终端的上网权限。即B_auth=R_auth。或者
[0093]Radius认证授权服务器取所述第一终端的上网权限与所述SSID标识信息所标识的SSID上配置的上网权限的交集，再取所述交集和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限。即B_auth=A_auth Π SSID_auth Π R_auth。或者
[0094]Radius认证授权服务器取第二终端的默认上网权限作为所述第二终端的上网权限。即 B_auth=R_auth。
[0095]由此可见,在实际应用中，通过合理规划A_auth, SSID_auth和R_auth,即可为第二终端授予不同的网络权限。[0096]当Radius认证授权服务器为第二终端分配了用户名、密码并生成了上网权限后，可以将第二终端的上网权限、用户名和密码通过Portal服务器发送给AC。
[0097]103、AC将所述第二终端的用户名和密码发送给所述Radius认证授权服务器，以对所述第二终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述第二终端的上网权限设置于本地，向所述Portal服务器和所述第二终端发送所述认证通过结果。
[0098]AC收到第二终端的上网权限、用户名和密码后，基于第二终端的用户名和密码对第二终端进行认证，并在认证通过后，将第二终端的上网权限设置于本地，从而根据所设置的第二终端的上网权限控制第二终端对网络的访问。
[0099]具体的，AC可以将第二终端的用户名和密码发送给Radius认证授权服务器，以对第二终端进行认证，该过程可参见现有Web认证流程中的相同部分，在此不再赘述。
[0100]AC接收到Radius认证授权服务器返回的认证通过结果后，除了在本地设置第二终端的上网权限之外，还会向第二终端和Portal服务器等发送认证通过结果。可选的，AC还可以将认证通过结果发送给第一终端。
[0101]由上述可见，本实施例提供的接入访问控制方法，由已认证终端扫描由待认证终端对应的信息生成的编码图像，并将获取的待认证终端对应的信息通过Portal服务器提供给Radius服务器，使得Radius服务器在确定上述信息由已认证终端发送后，为待认证终端分配用户名和密码，并根据已认证终端的上网权限、AC的SSID上配置的上网权限以及为待认证终端分配的默认上网权限中的至少一个动态分配上网权限，之后将上网权限、用户名和密码提供给AC，由AC使用用户名和密码完成对待认证终端的认证并在认证通过后将待认证终端的上网权限设置于本地。由于本实施例在对待认证终端进行认证的过程中同时完成待认证终端的用户名、密码和上网权限的分配，在认证过程中同时完成对终端的开户，并且整个过程无需管理员参与，有利于提高终端开户速度，降低开户周期。
[0102]图2为本发明实施例提供的另一种接入访问控制方法的流程图。如图2所示，所述方法包括:
[0103]201、Portal服务器接收待认证第二终端发送的访问请求，并接收AC发送的所述第二终端对应的信息，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的SSID的SSID标识信息。
[0104]202、Portal服务器根据所述第二终端对应的信息生成所述第二终端的第一编码图像，并将所述第一编码图像发送给所述第二终端。
[0105]203、Portal服务器接收已认证第一终端发送的所述第二终端对应的信息，所述第一终端发送的所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的。
[0106]204、Portal服务器将所述第二终端对应的信息和所述第一终端的标识信息发送给Radius认证授权服务器，以使所述Radius认证授权服务器在根据所述第一终端的标识信息和所述Radius认证授权服务器本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成上网权限。[0107]205、Portal服务器接收所述Radius认证授权服务器发送的所述第二终端的上网权限、用户名和密码，并转发给所述AC，以使所述AC根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
[0108]本实施例提供的方法与图1所示实施例相适应，是从Portal服务器的角度进行的描述，详细流程可参见图1所示实施例的描述，在此不再赘述。
[0109]本实施例提供的接入访问控制方法，在对待认证终端进行认证的过程中同时完成待认证终端的用户名、密码和上网权限的分配，在认证过程中同时完成对终端的开户，并且整个过程无需管理员参与，有利于提高终端开户速度，降低开户周期。
[0110]图3为本发明实施例提供的又一种接入访问控制方法实施例的流程。如图3所示，所述方法包括:
[0111]301、Radius认证授权服务器接收Portal服务器发送的待认证第二终端对应的信息和已认证第一终端的标识信息，所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的第一编码图像获取并发送给所述Portal服务器的，所述第一编码图像是所述Portal服务器根据AC发送的所述第二终端对应的信息生成并发送给重定向到所述Portal服务器的所述第二终端的，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的SSID的SSID标识信息。
[0112]302、Radius认证授权服务器根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端是否为已认证终端，并在确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码，并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个为所述第二终端生成上网权限。
[0113]303、Radius认证授权服务器将所述第二终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
[0114]在一可选实施方式中，所述Radius认证授权服务器为所述第二终端分配用户名和密码，并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个为所述第二终端生成上网权限，包括:
[0115]所述Radius认证授权服务器从预设的访客流水账号池中，顺序取出空闲的访客流水账号，所述访问流水账号包括预设的用户名、预设的密码和预设的上网权限；
[0116]所述Radius认证授权服务器将所述访问流水账号中预设的用户名和预设的密码作为所述第二终端的用户名和密码分配给所述第二终端，并将所述访问流水账号中预设的上网权限作为所述第二终端的默认上网权限分配为所述第二终端；
[0117]所述Radius认证授权服务器根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限中的至少一个为所述第二终端生成上网权限。
[0118]进一步可选的，所述Radius认证授权服务器根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限中的至少一个为所述第二终端生成上网权限，包括:[0119]所述Radius认证授权服务器取所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限；或者
[0120]所述Radius认证授权服务器将所述第一终端的上网权限作为所述第二终端的上网权限；或者
[0121]所述Radius认证授权服务器将所述SSID标识信息所标识的SSID上配置的上网权限作为所述第二终端的上网权限；或者
[0122]所述Radius认证授权服务器取所述第一终端的上网权限与所述SSID标识信息所标识的SSID上配置的上网权限的交集，再取所述交集和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限；或者
[0123]Radius认证授权服务器取第二终端的默认上网权限作为所述第二终端的上网权限。即 B_auth=R_auth。
[0124]基于上述，所述Radius认证授权服务器将所述第二终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，包括:
[0125]所述Radius认证授权服务器将所述访问流水账号中预设的上网权限替换为所述第二终端的上网权限后，通过所述Portal服务器发送给所述AC。
[0126]本实施例提供的方法与图1所示实施例相适应，是从Radius认证授权服务器的角度进行的描述，详细流程可参见图1所示实施例的描述，在此不再赘述。
[0127]本实施例提供的接入访问控制方法，在对待认证终端进行认证的过程中同时完成待认证终端的用户名、密码和上网权限的分配，在认证过程中同时完成对终端的开户，并且整个过程无需管理员参与，有利于提高终端开户速度，降低开户周期。
[0128]图4为本发明实施例提供的又一种接入访问控制方法的流程图。在介绍待认证第二终端的认证流程之前，首先对AC、Portal服务器和Radius认证授权服务器上存储的已认证第一终端的有关信息进行说明:
[0129]Radius认证授权服务器上存储的第一终端的信息包括:第一终端认证的用户名，第一终端的IP地址，第一终端的MAC地址，第一终端所在AC的IP地址，第一终端所获得的上网权限，等等。Radius认证授权服务器上存储的第一终端的信息可以用一个信息组来表不:A_authentication&authorization (A_username, A_IP, A_MAC, A_AC_IP, A_authorization),但不限于此。
[0130]AC上存储的第一终端的信息也包括:第一终端认证的用户名，第一终端的IP地址，第一终端的MAC地址，第一终端所在AC的IP地址，第一终端所获得的上网权限，等等。AC上存储的第一终端的信息可以用一个信息组来表示:A (A_username，A_IP，A_MAC，A_AC_IP, A_authorization),但不限于此。
[0131]Portal服务器上存储的第一终端的信息包括:第一终端认证的用户名、第一终端的IP地址和第一终端的MAC地址，等等。
[0132]本实施例以二维码图像为例，如图4所示，所述方法包括:
[0133]41、AC打开上网权限控制，设置Web跳转功能；同时，Radius认证授权服务器创建访客流水账号池，用于存储访客流水账号，每个访客流水账号包括预设的用户名、预设的密码和预设的上网权限等。用一个三元组表示:访客流水账号_x(预设的用户名，预设的密码，预设的上网权限)；其中X为自然数编号，比如1，2，3 ;
[0134]42、第二终端开启浏览器，访问任意的URL，相当于发出访问请求；
[0135]43、AC拦截第二终端的访问请求，将第二终端重定向到Portal服务器；
[0136]44、第二终端访问Portal服务器；
[0137]45、AC把第二终端的IP地址，第二终端的MAC地址，AC的IP地址，AC的名称，AC上的SSID，默认的认证方式，默认的上网权限传递给Portal服务器；
[0138]46、Portal服务器对AC传递的信息进行二维码编码，生成二维码图像，并返回给
第二终端；
[0139]47、第一终端使用二维码扫描软件扫描第二终端上的二维码图像，并解析获取其中携带的第二终端的MAC地址，AC的IP地址，AC的名称，AC上的SSID，默认的认证方式，默认的上网权等信息；
[0140]48、第一终端将获取的信息发送给Portal服务器；
[0141]49、Portal服务器收到第一终端发送的信息后，将收到的信息和第一终端的标识信息一同发送给Radius认证授权服务器。其中，第一终端的标识信息包括第一终端认证的用户名、第一终端的IP地址和第一终端的MAC地址。
[0142]50、Radius认证授权服务器从访客流水账号池中，顺次取出空闲的访客流水账号，并在取出的访客流水账号前增加第一终端的用户名前缀，形成新的访客流水账号，即A_username访客流水账号_x (第二终端的用户名，第二终端的密码，第二终端的上网权限)，然后将A_uSername_访客流水账号_x (第二终端的用户名，第二终端的密码，第二终端的上网权限)发送给Portal服务器。
[0143]其中，Radius认证授权服务器具体可以根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限中的至少一个为所述第二终端生成上网权限。为便于描述，可以将第一终端的上网权限记为A_auth，将所述SSID标识信息所标识的SSID上配置的上网权限记为SSID_auth，将第二终端的默认上网权限记为R_auth，将第二终端的上网权限记为B_auth。
[0144]具体的，Radius认证授权服务器为第二终端生成上网权限可采用但不限于以下方法:
[0145]Radius认证授权服务器取所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限。即 B_auth=A_auth U SSID_auth U R_auth。或者
[0146]Radius认证授权服务器将所述第一终端的上网权限作为所述第二终端的上网权限。即 B_auth=A_auth。或者
[0147]Radius认证授权服务器将所述SSID标识信息所标识的SSID上配置的上网权限作为所述第二终端的上网权限。即B_auth=R_auth。或者
[0148]Radius认证授权服务器取所述第一终端的上网权限与所述SSID标识信息所标识的SSID上配置的上网权限的交集，再取所述交集和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限。即B_auth=A_auth Π SSID_auth Π R_auth。或者
[0149]Radius认证授权服务器将第二终端的默认上网权限作为所述第二终端的上网权限。即 B_auth=R_auth。[0150]由此可见,在实际应用中，通过合理规划A_auth, SSID_auth和R_auth,即可为第二终端授予不同的网络权限。
[0151]51、Portal服务器通过Portal协议,将A_username_访客流水账号_x (第二终端的用户名，第二终端的密码，第二终端的上网权限)发给AC;
[0152]52、AC使用第二终端的用户名和密码发起Radius协议认证；
[0153]53、Radius服务器返回认证结果给AC ；
[0154]54、AC根据认证结果，设置第二终端的上网权限；
[0155]55、AC根据认证结果，向第一终端返回认证结果；
[0156]56、AC根据认证结果，向Portal服务器返回认证结果；
[0157]57、AC根据认证结果，向第二终端返回认证结果。
[0158]由上述可见，本实施例提供的接入访问控制方法，由已认证终端扫描由待认证终端对应的信息生成的二维码图像，并将获取的待认证终端对应的信息通过Portal服务器提供给Radius服务器，使得Radius服务器在确定上述信息由已认证终端发送后，为待认证终端分配用户名和密码，并根据已认证终端的上网权限、已认证终端和待认证终端接入的AC的SSID上配置的上网权限和为待认证终端分配的默认上网权限中的至少一个动态分配上网权限，之后将上网权限、用户名和密码提供给AC，由AC使用用户名和密码完成对待认证终端的认证并在认证通过后将待认证终端的上网权限设置于本地。由于本实施例在对待认证终端进行认证的过程中同时完成待认证终端的用户名、密码和上网权限的分配，在认证过程中同时完成对终端的开户，并且整个过程无需管理员参与，有利于提高终端开户速度，降低开户周期。
[0159]图5为本发明实施例提供的又一种接入访问控制方法的流程图。如图5所示，所述方法包括:
[0160]501、AC接收待认证终端发送的编码指示信息，所述编码指示信息是所述待认证终端扫描所述待认证终端的第二编码图像获取的，所述第二编码图像是Radius认证授权服务器根据所述编码指示信息生成的，所述编码指示信息用于指示所述待认证终端对应的信息，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的SSID的SSID标识信息。
[0161]在本实施例中，待认证终端通过自己扫描编码图像，以便进行认证并为自己开户。
[0162]在本实施例中，进行对待认证终端进行认证和开户的网络环境主要包括AC、Portal服务器和Radius认证授权服务器,但不限于此。其中，Portal服务器可以独立实现，也可以集成于AC中实现。Radius认证授权服务器是指集成有网络授权控制功能的Radius服务器。
[0163]在本实施例中，Radius认证授权服务器会预先根据待认证终端对应的编码指示信息生成编码图像，并将该编码图像放置在待认证终端可以扫描到的地方。所述编码指示信息用于指示待认证终端对应的信息，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的SSID的SSID标识信息。
[0164]在此说明，本发明实施例对编码图像所使用的编码方式不做限定，例如可以是条形码、二维码或者还可以是将来可能发展出的其他编码方式，例如三维码。其中，二维码编码信息量较大，且是目前较为成熟的编码方式，因此，本发明实施例中的编码图像优选为二维码图像。相应的，编码指示信息可以是条形码指示信息、二维码指示信息或其他编码指示信息。
[0165]举例说明，待认证终端的标识信息可以是待认证终端的MAC地址,或者可以是待认证终端的IP地址和MAC地址的组合，等等。所述SSID标识信息可以是AC的IP地址和AC上的SSID，或者可以是AC的IP地址、AC的名称和AC上的SSID，等等。以待认证终端的标识信息为待认证终端的IP地址和MAC地址，所述SSID标识信息可以是AC的IP地址、AC的名称和AC上的SSID为例，则所述编码指示信息可以是(B_IP=0，B_MAC=0, AC_IP=0, AC_NAMe=NULL, AC_SSID=NULL)o其中，B表示待认证终端。
[0166]在实际应用中，AC会打开上网权限控制，用以对接入的终端进行上网控制，同时还会设置Web跳转功能，以将需要认证的终端重定向到Portal服务器上进行认证。另外，本实施例的Radius认证授权服务器上会预先存储一些用户名、密码和对应的上网权限，用于为待认证的第二终端分配。一种较为优选的实施方式为=Radius认证授权服务器上创建访客流水账号池，用于存储访客流水账号，访客流水账号按照一定的顺序编号，每个访客流水账号包括预设的用户名、预设的密码和预设的上网权限等信息。
[0167]在此说明，所述待认证终端对应的信息除了包括待认证终端的标识信息和所述SSID标识信息外，还可以包括AC上默认的认证方式和AC上默认的上网权限等信息。
[0168]当待认证终端需要上网时，会使用编码扫描软件扫描编码图像，对编码图像进行解析，获取其中携带的编码指示信息。然后，待认证终端会将获取的编码指示信息发送给AC。AC收到编码指示信息后，根据该编码指示信息的指示，获取待认证终端对应的信息，即待认证终端的标识信息和所述SSID标识信息。
[0169]502、AC根据所述编码指示信息获取所述待认证终端对应的信息，并将所述待认证终端对应的信息通过Portal服务器发送给所述Radius认证授权服务器，以使所述Radius认证授权服务器在接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限。
[0170]AC获取到待认证终端对应的信息后，通过Portal服务器将待认证终端对应的信息发送给Radius认证授权服务器。Radius认证授权服务器接收到Portal服务器发送的待认证终端对应的信息后，为待认证终端分配用户名和密码，并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限。
[0171]举例说明，在Radius认证授权服务器上预先创建了访客流水账号池的情况下，Radius认证授权服务器可以从访客流水账号池中，顺序取出空闲的访客流水账号，将所取出的访客流水账号中预设的用户名和预设的密码作为待认证终端的用户名和密码分配给待认证终端，并将所取出的访客流水账号中预设的上网权限作为待认证终端的默认上网权限分配给待认证终端。然后，Radius认证授权服务器根据所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限中的至少一个为所述待认证终端生成上网权限。
[0172]为便于描述，可以将所述SSID标识信息所标识的SSID上配置的上网权限记为SSID_auth,将待认证终端的默认上网权限记为R_auth，将待认证终端的上网权限记为B_autho
[0173]可选的，Radius认证授权服务器可以采用但不限于以下几种方式为待认证终端分配上网权限:
[0174]Radius认证授权服务器取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的并集作为所述待认证终端的上网权限。即B_auth=SSID_auth U R_auth。或者
[0175]Radius认证授权服务器将所述SSID标识信息所标识的SSID上配置的上网权限作为所述待认证终端的上网权限。即B_auth=R_auth。或者
[0176]Radius认证授权服务器取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的交集作为所述待认证终端的上网权限。即B_auth=SSID_auth Π R_auth。或者
[0177]Radius认证授权服务器将待认证终端的默认上网权限作为所述待认证终端的上网权限。即 B_auth=R_auth。
[0178]由此可见，在实际应用中，通过合理规划SSID_auth和R_auth，即可为待认证终端授予不同的网络权限。
[0179]503、AC接收所述Radius认证授权服务器发送的所述待认证终端的上网权限、用户名和密码。
[0180]当Radius认证授权服务器为待认证终端分配了用户名、密码并生成了上网权限后，可以将待认证终端的上网权限、用户名和密码通过Portal服务器发送给AC。相应的，AC会接收Radius认证授权服务器通过Portal服务器发送的所述待认证终端的上网权限、用户名和密码。
[0181]504、AC将所述待认证终端的用户名和密码发送给所述Radius认证授权服务器，以对所述待认证终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述待认证终端的上网权限设置于本地，向所述Portal服务器和所述待认证终端发送所述认证通过结果。
[0182]AC收到待认证终端的上网权限、用户名和密码后，基于待认证终端的用户名和密码对待认证终端进行认证，并在认证通过后，将待认证终端的上网权限设置于本地，从而根据所设置的待认证终端的上网权限控制待认证终端对网络的访问。
[0183]具体的，AC可以将待认证终端的用户名和密码发送给Radius认证授权服务器，以对待认证终端进行认证，该过程可参见现有Web认证流程中的相同部分，在此不再赘述。
[0184]AC接收到Radius认证授权服务器返回的认证通过结果后，除了在本地设置待认证终端的上网权限之外，还会向待认证终端和Portal服务器等发送认证通过结果。
[0185]由上述可见，本实施例提供的接入访问控制方法，由待认证终端自己扫描编码图像获取编码指示信息，并提供给AC，而AC根据编码指示信息获取待认证终端对应的信息，并通过Portal服务器提供给Radius服务器，使得Radius服务器在确定收到上述信息后，为待认证终端分配用户名和密码，并根据AC的SSID上配置的上网权限和为待认证终端分配的默认上网权限中的至少一个动态分配上网权限，之后将上网权限、用户名和密码提供给AC，由AC使用用户名和密码完成对待认证终端的认证并在认证通过后将待认证终端的上网权限设置于本地。由于本实施例在对待认证终端进行认证的过程中同时完成待认证终端的用户名、密码和上网权限的分配，在认证过程中同时完成对终端的开户，并且整个过程无需管理员参与，有利于提高终端开户速度，降低开户周期。
[0186]图6为本发明实施例提供的又一种接入访问控制方法的流程图。如图6所示，所述方法包括:
[0187]601、Radius认证授权服务器接收Portal服务器发送的待认证终端对应的信息，所述待认证终端对应的信息是AC在接收到所述待认证终端通过扫描第二编码图像获取的编码指示信息后，根据所述编码指示信息获取并发送给所述Portal服务器的，所述第二编码图像是所述Radius认证授权服务器根据所述待认证终端对应的信息生成的，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的SSID的SSID标识信息。
[0188]602,Radius认证授权服务器在接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码，并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限。
[0189]603、Radius认证授权服务器将所述待认证终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述待认证终端的用户名和密码完成对所述待认证终端的认证并在认证通过后将所述待认证终端的上网权限设置在本地。
[0190]在一可选实施方式中，Radius认证授权服务器为所述待认证终端分配用户名和密码，并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限，包括:
[0191]所述Radius认证授权服务器从预设的访客流水账号池中，顺序取出空闲的访客流水账号，所述访问流水账号包括预设的用户名、预设的密码和预设的上网权限；
[0192]所述Radius认证授权服务器将所述访问流水账号中预设的用户名和预设的密码作为所述待认证终端的用户名和密码分配给所述待认证终端，并将所述访问流水账号中预设的上网权限作为所述待认证终端的默认上网权限分配为所述待认证终端；
[0193]所述Radius认证授权服务器根据所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限中的至少一个动态为所述待认证终端生成上网权限。
[0194]进一步可选的，所述Radius认证授权服务器根据所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限中的至少一个动态为所述待认证终端生成上网权限，包括:
[0195]所述Radius认证授权服务器取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的并集作为所述待认证终端的上网权限；或者
[0196]所述Radius认证授权服务器将所述SSID标识信息所标识的SSID上配置的上网权限作为所述待认证终端的上网权限；或者
[0197]所述Radius认证授权服务器取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的交集作为所述待认证终端的上网权限；或者[0198]所述Radius认证授权服务器取待认证终端的默认上网权限作为所述待认证终端的上网权限。
[0199]基于上述，所述Radius认证授权服务器将所述待认证终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，包括:
[0200]所述Radius认证授权服务器将所述访问流水账号中预设的上网权限替换为所述待认证终端的上网权限后，通过所述Portal服务器发送给所述AC。
[0201]本实施例提供的方法与图5所示实施例相适应,本实施例是从Radius认证授权服务器的角度进行的描述，具体流程可参见图5所示实施例的描述。
[0202]本实施例提供的方法，在对待认证终端进行认证的过程中同时完成待认证终端的用户名、密码和上网权限的分配，在认证过程中同时完成对终端的开户，并且整个过程无需管理员参与，有利于提高终端开户速度，降低开户周期。
[0203]图7为本发明实施例提供的又一种接入访问控制方法的流程图。本实施例以二维码图像和二维码指示信息为例进行说明。在介绍待认证终端的认证流程之前，首先对本实施例中的二维码图像和二维码指示信息进行说明=Radius认证授权服务器上预设好二维码指示信息，例如二维码指示信息=(B_IP=0，B_MAC=0, AC_IP=0, AC_NAME=NULL, AC_SSId=NULL,默认的认证方式=1，默认的上网权限=1)，并对二维码指示信息进行二维码编码生成二维码图像放置在待认证终端可以扫描到的地方。其中，二维码指示信息中的B表示待认证终端，也就是说二维码指示信息用于指示要对待认证终端进行认证和开户，需要使用待认证终端的IP地址、待认证终端的MAC地址、待认证终端所在AC的IP地址、该AC的名称、该AC的SSID以及默认的认证方式和上网权限等信息。在此说明，在本实施例中，二维码指示信息指示包括的信息较为丰富，但并不意味着所有信息都是必须的。
[0204]如图7所示,所述方法包括:
[0205]71、AC打开上网权限控制，设置Web跳转功能；同时，Radius认证授权服务器创建访客流水账号池，用于存储访客流水账号，每个访客流水账号包括预设的用户名、预设的密码和预设的上网权限等。用一个三元组表示:访客流水账号_x(预设的用户名，预设的密码，预设的上网权限)；其中X为自然数编号，比如1，2，3 ;
[0206]72、待认证终端使用二维码扫描软件扫描二维码图像，提取其中的二维码指示信
肩、O
[0207]73、待认证终端将提取的二维码指示信息发送给AC ；
[0208]74、AC收到二维码指示信息后，获取待认证终端对应的信息，然后发送给Portal服务器。这里待认证终端对应的信息包括:待认证终端的IP地址、待认证终端的MAC地址、待认证终端所在AC的IP地址、该AC的名称、该AC的SSID以及默认的认证方式和上网权
限等信息。
[0209]75、Portal服务器将待认证终端对应的信息发送给Radius认证授权服务器。
[0210]76、Radius认证授权服务器从访客流水账号池中，顺次取出空闲的访客流水账号，并在取出的访客流水账号前增加AC的用户名前缀，形成新的访客流水账号，即AC,username,访客流水账号_x (待认证终端的用户名，待认证终端的密码，待认证终端的上网权限)，然后发送给Portal服务器。
[0211]其中，Radius认证授权服务器具体可以根据所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限中的至少一个为所述待认证终端生成上网权限。为便于描述，可以将所述SSID标识信息所标识的SSID上配置的上网权限记为SSID_auth,将待认证终端的默认上网权限记为R_auth，将待认证终端的上网权限记为B_autho
[0212]具体的，Radius认证授权服务器为待认证终端生成上网权限可采用但不限于以下方法:
[0213]Radius认证授权服务器取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的并集作为所述待认证终端的上网权限。即B_auth=SSID_auth U R_auth。或者
[0214]Radius认证授权服务器将所述SSID标识信息所标识的SSID上配置的上网权限作为所述待认证终端的上网权限。即B_auth=R_auth。或者
[0215]Radius认证授权服务器取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的交集作为所述待认证终端的上网权限。即B_auth=SSID_auth Π R_auth。或者
[0216]Radius认证授权服务器取待认证终端的默认上网权限作为所述待认证终端的上网权限。即 B_auth=R_auth。
[0217]由此可见，在实际应用中，通过合理规划SSID_auth和R_auth，即可为待认证终端授予不同的网络权限。
[0218]77、Portal服务器通过Portal协议,将AC_username_访客流水账号_x (待认证终端的用户名，待认证终端的密码，待认证终端的上网权限)发给AC ；
[0219]78、AC使用待认证终端的用户名和密码发起Radius协议认证；
[0220]79、Radius服务器返回认证结果给AC ；
[0221]80、AC根据认证结果，设置待认证终端的上网权限；
[0222]81、AC根据认证结果，向待认证终端返回认证结果。
[0223]由上述可见，本实施例提供的接入访问控制方法，由待认证终端自己扫描二维码图像获取二维码指示信息，并提供给AC，而AC根据二维码指示信息获取待认证终端对应的信息，并通过Portal服务器提供给Radius服务器，使得Radius服务器在确定收到上述信息后，为待认证终端分配用户名和密码，并根据AC的SSID上配置的上网权限和为待认证终端分配的默认上网权限中的至少一个动态分配上网权限，之后将上网权限、用户名和密码提供给AC，由AC使用用户名和密码完成对待认证终端的认证并在认证通过后将待认证终端的上网权限设置于本地。由于本实施例在对待认证终端进行认证的过程中同时完成待认证终端的用户名、密码和上网权限的分配，在认证过程中同时完成对终端的开户，并且整个过程无需管理员参与，有利于提高终端开户速度，降低开户周期。
[0224]通过实际测试比较说明本实施例提供的基于编码在认证过程中为待认证终端开户的方法所具有的有益效果，比较结果如表I所示。
[0225]表I
[0226]
【权利要求】
1.一种接入访问控制方法，其特征在于，包括: 访问控制器AC拦截到待认证第二终端的访问请求后，将所述第二终端重定向到Portal服务器，并向所述Portal服务器提供所述第二终端对应的信息，以使所述Portal服务器根据所述第二终端对应的信息生成所述第二终端对应的第一编码图像并返回给所述第二终端，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 所述AC接收Radius认证授权服务器通过所述Portal服务器发送的所述第二终端对应的用户名、密码和上网权限；其中，所述上网权限是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成的，所述用户名和密码是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配的；所述第二终端对应的信息和所述第一终端的标识信息是所述Portal服务器在接收到所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的所述第二终端对应的信息后，发送给所述Radius认证授权服务器的； 所述AC将所述第二终端的用户名和密码发送给所述Radius认证授权服务器，以对所述第二终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述第二终端的上网权限设置于本地，向所述Portal服务器和所述第二终端发送所述认证通过结果。
2.一种接入访问控制方法，其特征在于，包括: Portal服务器接收待认证第二终端发送的访问请求，并接收访问控制器AC发送的所述第二终端对应的信息，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 所述Portal服务器根据所述第二终端对应的信息生成所述第二终端的第一编码图像，并将所述第一编码图像发送给所述第二终端； 所述Portal服务器接收已认证第一终端发送的所述第二终端对应的信息，所述第一终端发送的所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的； 所述Portal服务器将所述第二终端对应的信息和所述第一终端的标识信息发送给Radius认证授权服务器，以使所述Radius认证授权服务器在根据所述第一终端的标识信息和所述Radius认证授权服务器本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成上网权限； 所述Portal服务器接收所述Radius认证授权服务器发送的所述第二终端的上网权限、用户名和密码，并转发给所述AC，以使所述AC根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
3.一种接入访问控制方法，其特征在于，包括: Radius认证授权服务器接收Portal服务器发送的待认证第二终端对应的信息和已认证第一终端的标识信息，所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的第一编码图像获取并发送给所述Portal服务器的，所述第一编码图像是所述Portal服务器根据访问控制器AC发送的所述第二终端对应的信息生成并发送给重定向到所述Portal服务器的所述第二终端的，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 所述Radius认证授权服务器根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端是否为已认证终端，并在确定所述第一终端为已认证终端后，为所述第二终端分配用户名和 密码，并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个为所述第二终端生成上网权限； 所述Radius认证授权服务器将所述第二终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
4.根据权利要求3所述的方法，其特征在于，所述Radius认证授权服务器为所述第二终端分配用户名和密码，并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个为所述第二终端生成上网权限，包括: 所述Radius认证授权服务器从预设的访客流水账号池中，顺序取出空闲的访客流水账号，所述访问流水账号包括预设的用户名、预设的密码和预设的上网权限； 所述Radius认证授权服务器将所述访问流水账号中预设的用户名和预设的密码作为所述第二终端的用户名和密码分配给所述第二终端，并将所述访问流水账号中预设的上网权限作为所述第二终端的默认上网权限分配为所述第二终端； 所述Radius认证授权服务器根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限中的至少一个为所述第二终端生成上网权限。
5.根据权利要求4所述的方法，其特征在于，所述Radius认证授权服务器根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限中的至少一个为所述第二终端生成上网权限，包括: 所述Radius认证授权服务器取所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限；或者 所述Radius认证授权服务器将所述第一终端的上网权限作为所述第二终端的上网权限；或者 所述Radius认证授权服务器将所述SSID标识信息所标识的SSID上配置的上网权限作为所述第二终端的上网权限；或者所述Radius认证授权服务器取所述第一终端的上网权限与所述SSID标识信息所标识的SSID上配置的上网权限的交集，再取所述交集和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限；或者 所述Radius认证授权服务器将所述第二终端的默认上网权限作为所述第二终端的上网权限。
6.一种接入访问控制方法，其特征在于，包括: 访问控制器AC接收待认证终端发送的编码指示信息，所述编码指示信息是所述待认证终端扫描所述待认证终端的第二编码图像获取的，所述第二编码图像是Radius认证授权服务器根据所述编码指示信息生成的，所述编码指示信息用于指示所述待认证终端对应的信息，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 所述AC根据所述编码指示信息获取所述待认证终端对应的信息，并将所述待认证终端对应的信息通过Portal服务器发送给所述Radius认证授权服务器，以使所述Radius认证授权服务器在接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限； 所述AC接收所述Radius认证授权服务器发送的所述待认证终端的上网权限、用户名和密码； 所述AC将所述待认证终端的用户名和密码发送给所述Radius认证授权服务器，以对所述待认证终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述待认证终端的上网权限设置于本地，向所述Portal服务器和所述待认证终端发送所述认证通过结果。
7.一种接入访问控制方法，其特征在于，包括: Radius认证授权服务器接收Portal服务器发送的待认证终端对应的信息，所述待认证终端对应的信息是访问控制器AC在接收到所述待认证终端通过扫描第二编码图像获取的编码指示信息后，根据所述编码指示信息获取并发送给所述Portal服务器的，所述第二编码图像是所述Radius认证授权服务器根据所述待认证终端对应的信息生成的，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 所述Radius认证授权服务器在接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码，并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限； 所述Radius认证授权服务器将所述待认证终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述待认证终端的用户名和密码完成对所述待认证终端的认证并在认证通过后将所述待认证终端的上网权限设置在本地。
8.根据权利要求7所述的方法，其特征在于，所述Radius认证授权服务器为所述待认证终端分配用户名和密码，并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限，包括: 所述Radius认证授权服务器从预设的访客流水账号池中，顺序取出空闲的访客流水账号，所述访问流水账号包括预设的用户名、预设的密码和预设的上网权限； 所述Radius认证授权服务器将所述访问流水账号中预设的用户名和预设的密码作为所述待认证终端的用户名和密码分配给所述待认证终端，并将所述访问流水账号中预设的上网权限作为所述待认证终端的默认上网权限分配为所述待认证终端； 所述Radius认证授权服务器根据所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限中的至少一个动态为所述待认证终端生成上网权限。
9.根据权利要求8所述的方法，其特征在于，所述Radius认证授权服务器根据所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限中的至少一个动态为所述待认证终端生成上网权限，包括: 所述Radius认证授权服务器取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的并集作为所述待认证终端的上网权限；或者 所述Radius认证授权服务器将所述SSID标识信息所标识的SSID上配置的上网权限作为所述待认证终端的上网权限；或者 所述Radius认证授权服务器取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的交集作为所述待认证终端的上网权限；或者 所述Radius认证授权服务器将所述待认证终端的默认上网权限作为所述待认证终端的上网权限。`
10.一种访问控制器AC，其特征在于，包括: 重定向模块，用于拦截到待认证第二终端的访问请求后，将所述第二终端重定向到Portal服务器，并向所述Portal服务器提供所述第二终端对应的信息，以使所述Portal服务器根据所述第二终端对应的信息生成所述第二终端对应的第一编码图像并返回给所述第二终端，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 接收模块，用于接收Radius认证授权服务器通过所述Portal服务器发送的所述第二终端对应的用户名、密码和上网权限；其中，所述上网权限是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成的，所述用户名和密码是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配的；所述第二终端对应的信息和所述第一终端的标识信息是所述Portal服务器在接收到所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的所述第二终端对应的信息后，发送给所述Radius认证授权服务器的；认证处理模块，用于将所述第二终端的用户名和密码发送给所述Radius认证授权服务器，以对所述第二终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述第二终端的上网权限设置于本地，向所述Portal服务器和所述第二终端发送所述认证通过结果。
11.一种Portal服务器，其特征在于，包括: 接收模块，用于接收待认证第二终端发送的访问请求，并接收访问控制器AC发送的所述第二终端对应的信息，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 发送模块，用于根据所述第二终端对应的信息生成所述第二终端的第一编码图像，并将所述第一编码图像发送给所述第二终端； 所述接收模块，还用于接收已认证第一终端发送的所述第二终端对应的信息，所述第一终端发送的所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的； 所述发送模块，还用于将所述第二终端对应的信息和所述第一终端的标识信息发送给Radius认证授权服务器，以使所述Radius认证授权服务器在根据所述第一终端的标识信息和所述Radius认证授权服务器本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成上网权限；所述接收模块，还用于接收所述Radius认证授权服务 器发送的所述第二终端的上网权限、用户名和密码； 所述发送模块，还用于将所述接收模块接收的所述第二终端的上网权限、用户名和密码转发给所述AC，以使所述AC根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
12.—种Radius认证授权服务器，其特征在于，包括: 接收模块，用于接收Portal服务器发送的待认证第二终端对应的信息和已认证第一终端的标识信息，所述第二终端对应的信息是所述第一终端通过扫描所述第二终端上的第一编码图像获取并发送给所述Portal服务器的，所述第一编码图像是所述Portal服务器根据访问控制器AC发送的所述第二终端对应的信息生成并发送给重定向到所述Portal服务器的所述第二终端的，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 分配生成模块，用于根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端是否为已认证终端，并在确定所述第一终端为已认证终端后，为所述第二终端分配用户名和密码，并根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个为所述第二终端生成上网权限； 发送模块，用于将所述第二终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述第二终端的用户名和密码完成对所述第二终端的认证并在认证通过后将所述第二终端的上网权限设置在本地。
13.根据权利要求12所述的Radius认证授权服务器，其特征在于，所述分配生成模块包括: 获取单元，用于从预设的访客流水账号池中，顺序取出空闲的访客流水账号，所述访问流水账号包括预设的用户名、预设的密码和预设的上网权限； 分配单元，用于将所述访问流水账号中预设的用户名和预设的密码作为所述第二终端的用户名和密码分配给所述第二终端，并将所述访问流水账号中预设的上网权限作为所述第二终端的默认上网权限分配为所述第二终端； 生成单元，用于根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限中的至少一个为所述第二终端生成上网权限。
14.根据权利要求13所述的Radius认证授权服务器，其特征在于，所述生成单元具体用于取所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限；或者 所述生成单元具体用于将所述第一终端的上网权限作为所述第二终端的上网权限；或者 所述生成单元具体用于将所述SSID标识信息所标识的SSID上配置的上网权限作为所述第二终端的上网权限；或者 所述生成单元具体用于取所述第 一终端的上网权限与所述SSID标识信息所标识的SSID上配置的上网权限的交集，再取所述交集和所述第二终端的默认上网权限的并集作为所述第二终端的上网权限；或者 所述生成单元具体用于将所述第二终端的默认上网权限作为所述第二终端的上网权限。
15.—种访问控制器AC,其特征在于,包括: 接收模块，用于接收待认证终端发送的编码指示信息，所述编码指示信息是所述待认证终端扫描所述待认证终端的第二编码图像获取的，所述第二编码图像是Radius认证授权服务器根据所述编码指示信息生成的，所述编码指示信息用于指示所述待认证终端对应的信息，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息； 获取模块，用于根据所述编码指示信息获取所述待认证终端对应的信息； 发送模块，用于将所述获取模块获取的所述待认证终端对应的信息通过Portal服务器发送给所述Radius认证授权服务器，以使所述Radius认证授权服务器在接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限； 所述接收模块，还用于接收所述Radius认证授权服务器发送的所述待认证终端的上网权限、用户名和密码； 所述发送模块，还用于将所述接收模块接收的所述待认证终端的用户名和密码发送给所述Radius认证授权服务器，以对所述待认证终端进行认证； 所述接收模块，还用于接收所述Radius认证授权服务器返回的认证结果；设置模块，用于在所述接收模块接收到所述Radius认证授权服务器返回的认证通过结果后，将所述待认证终端的上网权限设置于本地； 所述发送模块，还用于向所述Portal服务器和所述待认证终端发送所述认证通过结果O
16.—种Radius认证授权服务器,其特征在于,包括: 接收模块，用于接收Portal服务器发送的待认证终端对应的信息，所述待认证终端对应的信息是访问控制器AC在接收到所述待认证终端通过扫描第二编码图像获取的编码指示信息后，根据所述编码指示信息获取并发送给所述Portal服务器的，所述第二编码图像是所述Radius认证授权服务器根据所述待认证终端对应的信息生成的，所述待认证终端对应的信息包括所述待认证终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识/[目息； 分配生成模块，用于在所述接收模块接收到所述待认证终端对应的信息后，为所述待认证终端分配用户名和密码，并根据所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认 证授权服务器为所述待认证终端分配的默认上网权限中的至少一个动态为所述待认证终端生成上网权限； 发送模块，用于将所述待认证终端的上网权限、用户名和密码通过所述Portal服务器发送给所述AC，以使所述根据所述待认证终端的用户名和密码完成对所述待认证终端的认证并在认证通过后将所述待认证终端的上网权限设置在本地。
17.根据权利要求16所述的Radius认证授权服务器，其特征在于，所述分配生成模块包括: 获取单元，用于从预设的访客流水账号池中，顺序取出空闲的访客流水账号，所述访问流水账号包括预设的用户名、预设的密码和预设的上网权限； 分配单元，用于将所述访问流水账号中预设的用户名和预设的密码作为所述待认证终端的用户名和密码分配给所述待认证终端，并将所述访问流水账号中预设的上网权限作为所述待认证终端的默认上网权限分配为所述待认证终端； 生成单元，用于根据所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限中的至少一个动态为所述待认证终端生成上网权限。
18.根据权利要求17所述的Radius认证授权服务器，其特征在于，所述生成单元具体用于取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的并集作为所述待认证终端的上网权限；或者 所述生成单元具体用于将所述SSID标识信息所标识的SSID上配置的上网权限作为所述待认证终端的上网权限；或者 所述生成单元具体用于取所述SSID标识信息所标识的SSID上配置的上网权限和所述待认证终端的默认上网权限的交集作为所述待认证终端的上网权限；或者 所述生成单元具体用于将所述待认证终端的默认上网权限作为所述待认证终端的上网权限。
【文档编号】H04L29/06GK103428203SQ201310314455
【公开日】2013年12月4日 申请日期:2013年7月24日 优先权日:2013年7月24日
【发明者】杨敬民 申请人:福建星网锐捷网络有限公司