一种Portal认证方法和设备的制作方法

一种Portal认证方法和设备的制作方法
【专利摘要】本发明提供一种Portal认证方法和设备，其中方法包括：接入设备接收终端发送的网络访问请求；接入设备向所述终端返回重定向报文，所述重定向报文携带Portal服务器地址、以及所述终端对应的终端标识信息，以使得所述终端根据所述Portal服务器地址将所述终端标识信息发送至Portal服务器。本发明解决了Portal认证时的IP地址冲突的问题。
【专利说明】一种Portal认证方法和设备

【技术领域】
[0001] 本发明涉及入口认证技术，特别涉及一种Portal认证方法和设备。

【背景技术】
[0002] Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站，当用户 需要访问互联网时，需要在门户网站进行认证，只有认证通过后才可以使用互联网资源。随 着网络技术的发展，运营商开始采用"LTE-Fi+AC"的组网方式，以提高网络利用率和WLAN 的部署和覆盖率，这种方式的组网中，作为接入设备的LTE-Fi采用分布式部署，由无线控 制器（Access Controller，AC)来管理这些分布式部署的多个LTE-Fi。每个LTE-Fi下可 以接入多个需要使用网络资源的终端，这些终端要使用互联网资源时也是需要进行Portal 认证的，但是Portal认证集中在AC上进行管理。例如，LTE-Fi在接收到终端发送的Portal 认证请求时，会重定向至Portal服务器，由Portal服务器将终端的认证请求转发至AC， AC去向认证服务器认证；如果认证通过，AC会向LTE-Fi下发数据转发规则，用于终端在 LTE-Fi上的数据转发。
[0003] 上述方式可能存在的问题是，终端上网所需要的IP地址是由其关联的LTE-Fi分 配的，如果每个LTE-Fi各自分配自己负责的IP地址段，有可能出现不同LTE-Fi下的两个 终端具有相同的IP地址；而在集中管理认证的AC侧，AC是根据IP地址来区分不同终端的， 比如AC会记录IP地址为***的终端已经认证通过，并查找该IP地址对应的终端关联在哪 个LTE-Fi，并向该LTE-Fi发送数据转发规则，但是如果AC侧发现两个IP地址相同的终端 将导致AC将无法区分，因此，在AC不能出现IP地址冲突的情况。为了避免IP地址冲突， 相关技术中有考虑为各个不同的LTE-Fi之间做IP地址规划，各LTE-Fi之间用于分配的IP 地址段不能重叠，但是这样当LTE-Fi数量很多有时会有上千台时，进行IP地址规划将是一 个很大的工作量，不能适应LTE-Fi的大规模部署。


【发明内容】

[0004] 有鉴于此，本发明提供一种Portal认证方法和设备，以解决Portal认证时的IP 地址冲突的问题。
[0005] 具体地，本发明是通过如下技术方案实现的：
[0006] 第一方面，提供一种Portal认证方法，包括：
[0007] 接入设备接收终端发送的网络访问请求；
[0008] 所述接入设备向所述终端返回重定向报文，所述重定向报文携带Portal服务器 地址、以及所述终端对应的终端标识信息，以使得所述终端根据所述Portal服务器地址将 所述终端标识信息发送至Portal服务器。
[0009] 可选的，所述终端标识信息，包括：所述终端的MAC地址。
[0010] 可选的，所述终端标识信息还包括如下的至少一项：所述终端的IP地址；或者，所 述接入设备的MAC地址和所述终端接入的VLAN ;或者，时间戳信息，所述时间戳信息用于表 示所述重定向报文的发送时间。
[0011] 可选的，所述接入设备在接收终端发送的网络访问请求之前，还包括：所述接入设 备接收所述终端发送的地址分配请求；所述接入设备根据所述地址分配请求，确定用于分 配给所述终端的待分配IP地址，并检查所述接入设备的已关联终端的IP地址是否与所述 待分配IP地址相同，若存在IP地址与所述待分配IP地址相同的已关联终端，则将所述待 分配IP地址更改为另一个IP地址。
[0012] 可选的，还包括：所述接入设备与新终端建立关联，所述新终端是从另一个接入设 备移至所述接入设备；在确定所述新终端的IP地址与所述接入设备的已关联终端的IP地 址相同时，向所述新终端发送用于指示重新请求地址的地址重配请求；所述接入设备接收 所述新终端发送的地址分配请求，并根据所述地址分配请求向所述新终端分配与所述IP 地址不同的另一个IP地址。
[0013] 第二方面，提供一种Portal认证方法，包括：
[0014] Portal服务器接收终端发送的重定向报文，所述重定向报文携带所述终端的IP 地址、以及终端标识信息；
[0015] 所述Portal服务器获取所述终端的认证信息，并向无线控制器AC发送认证请求， 所述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所述AC 根据所述IP地址和所述终端标识信息识别所述终端。
[0016] 第三方面，提供一种Portal认证方法，包括：
[0017] 无线控制器接收Portal服务器发送的认证请求，所述认证请求中携带请求认证 的所述终端的第一 IP地址、认证信息、以及所述终端对应的终端标识信息；
[0018] 所述无线控制器将所述MAC地址和第一 IP地址对应的所述认证信息发送至认证 服务器进行认证，并在认证通过时，向所述终端关联的接入设备发送数据转发规则，所述数 据转发规则用于所述接入设备转发所述终端的数据。
[0019] 可选的，所述终端标识信息，包括：所述终端的MAC地址。
[0020] 可选的，所述终端标识信息中还包括：加密的所述终端对应的第二IP地址；在所 述无线控制器接收Portal服务器发送的认证请求之后，还包括：
[0021] 所述无线控制器解密所述终端标识信息，得到所述第二IP地址；所述无线控制器 将所述第二IP地址与所述认证请求中携带的第一 IP地址比较，若所述第一 IP地址与第二 IP地址不同，则向所述Portal服务器返回认证失败。
[0022] 可选的，所述终端标识信息中还包括：时间戳信息，所述时间戳信息用于表示所述 重定向报文的发送时间；在所述无线控制器接收Portal服务器发送的认证请求之后，还包 括：所述无线控制器解密所述终端标识信息，得到所述时间戳信息；所述无线控制器将所 述时间戳信息与当前时间比较，若所述时间戳信息与所述当前时间之间的间隔超过预定时 长，则向Portal服务器返回认证失败。
[0023] 可选的，所述终端标识信息中还包括：所述接入设备的MAC地址和所述终端接入 的VLAN ;所述无线控制器向所述终端关联的接入设备发送数据转发规则，包括：所述无线 控制器根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转 发规则。
[0024] 第四方面，提供一种接入设备，包括：
[0025] 接收单元，用于接收终端发送的网络访问请求；
[0026] 处理单元，用于将Portal服务器地址、以及所述终端对应的终端标识信息携带在 重定向报文中；
[0027] 发送单元，用于向所述终端返回所述重定向报文，以使得所述终端根据所述 Portal服务器地址将所述终端标识信息发送至Portal服务器。
[0028] 可选的，所述终端标识信息还包括如下的至少一项：所述终端的MAC地址；或者， 所述终端的IP地址；或者，所述接入设备的MAC地址和所述终端接入的VLAN ;或者，时间戳 信息，所述时间戳信息用于表示所述重定向报文的发送时间。
[0029] 可选的，所述接收单元，还用于接收所述终端发送的地址分配请求；
[0030] 所述处理单元，还用于根据所述地址分配请求，确定用于分配给所述终端的待分 配IP地址，并检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同， 若存在IP地址与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另 一个IP地址。
[0031] 可选的，所述处理单元，还用于与新终端建立关联，所述新终端是从另一个接入设 备移至所述接入设备；并确定所述新终端的IP地址与所述接入设备的已关联终端的IP地 址相同；所述发送单元，还用于向所述新终端发送用于指示重新请求地址的地址重配请求； 所述接收单元，还用于接收所述新终端发送的地址分配请求，并指示所述处理单元根据所 述地址分配请求向所述新终端分配与所述IP地址不同的另一个IP地址。
[0032] 第五方面，提供一种Portal服务器，包括：
[0033] 信息接收单元，用于接收终端发送的重定向报文，所述重定向报文携带所述终端 的IP地址、以及终端标识信息；
[0034] 认证请求单元，用于获取所述终端的认证信息，并向无线控制器AC发送认证请 求，所述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所 述AC根据所述IP地址和终端标识信息识别所述终端。
[0035] 第六方面，提供一种无线控制器，包括：
[0036] 请求接收单元，用于接收Portal服务器发送的认证请求，所述认证请求中携带请 求认证的所述终端的第一 IP地址、认证信息、以及所述终端对应的终端标识信息；认证处 理单元，用于将所述MAC地址和第一 IP地址对应的所述认证信息发送至认证服务器进行认 证；结果发送单元，用于在认证通过时，向所述终端关联的接入设备发送数据转发规则，所 述数据转发规则用于所述接入设备转发所述终端的数据。
[0037] 可选的，所述认证处理单元，还用于解密所述终端标识信息，得到终端标识信息中 包括的第二IP地址；将所述第二IP地址与所述认证请求中携带的第一 IP地址比较；所述 第一 IP地址与第二IP地址不同，则指示所述结果发送单元向所述Portal服务器返回认证 失败。
[0038] 可选的，所述认证处理单元，还用于解密所述终端标识信息，得到终端标识信息中 包括的时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间；将所述时间戳 信息与当前时间比较，若所述时间戳信息与所述当前时间之间的间隔超过预定时长，则指 示所述结果发送单元向所述Portal服务器返回认证失败。
[0039] 可选的，所述请求接收单元接收的所述终端标识信息中还包括：所述接入设备的 MAC地址和所述终端接入的VLAN ;所述结果发送单元，在发送数据转发规则时，具体是用于 根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转发规 则。
[0040] 本发明的Portal认证方法和设备，AP在向终端发送重定向报文时，会将终端的终 端标识信息也一起发送给终端，这样终端在重定向至Portal服务器时会将该终端标识信 息也发送给Portal服务器，使得Portal服务器在向AC发送认证请求时也会同样将该终端 的终端标识信息发送至AC，AC就可以结合该终端标识信息识别IP地址相同的终端。

【专利附图】

【附图说明】
[0041] 图1是本发明实施例提供的Portal认证方法的应用场景图；
[0042] 图2是本发明实施例提供的一种Portal认证方法的流程示意图；
[0043] 图3是本发明实施例提供的另一种Portal认证方法的流程示意图；
[0044] 图4是本发明实施例提供的又一种Portal认证方法的流程示意图；
[0045] 图5是本发明实施例提供的又一种Portal认证方法的信令示意图；
[0046] 图6是本发明实施例提供的又一种Portal认证方法的信令示意图；
[0047] 图7是本发明实施例提供的又一种Portal认证方法的信令示意图；
[0048] 图8是本发明实施例提供的又一种Portal认证方法的信令示意图；
[0049] 图9是本发明实施例提供的接入设备AP的结构示意图；
[0050] 图10是本发明实施例提供的Portal服务器的结构示意图；
[0051] 图11是本发明实施例提供的无线控制器的结构示意图。

【具体实施方式】
[0052] Portal认证在网络访问中是一种常用的门户认证方式，当前运营商将Portal认 证应用在"LTE-Fi+AC"的组网中（LTE-FI是4G与WIFI融合的产品，通过把4G-LTE技术和 WiFi技术有机地结合在一起，将4G网络作为透明通道回传 WiFi业务），参见图1，图1是本 发明实施例提供的Portal认证方法的应用场景图。LTE-Fi是将4G网络和WiFi技术的结 合，将4G网络作为透明通道回传 WiFi业务，LTE-Fi集成了 FitAP和4G的功能（Fit AP是 与Fat AP相对来讲的，Fat AP将WLAN的实体层、加密、用户认证、网络管理等功能集于一 身；而FitAP是一个只有射频和通信功能的AP，功能单一，不能独立工作）。在大型的运营 商网络中，由于用户量较大，LTE-Fi采用分布式部署，参见图1，本发明实施例将LTE-Fi简 称为AP，图1示出了三个AP，分别是API、AP2和AP3,各个AP分别对关联到自己的用户设 备（User Equipment，UE)分配IP地址，但是这三个AP的UE均在AC侧进行集中用户管理。
[0053] 以图1的场景为例，在进行Portal认证时，UE向AP发送的网络访问请求，会被AP 重定向至Portal服务器，UE需要输入认证信息（例如，用户名和密码）给Portal服务器； 再由Portal服务器向AC发送认证请求，携带UE的标识和认证信息。并且，图1中所示的三 个AP下的各个UE (例如，UE1、UE2和UE3)，在进行Portal认证时，认证请求都会由Portal 集中发给AC，再由AC将认证信息发送至认证服务器（例如，AAA服务器）进行认证。
[0054] 本实施例的Portal认证方法，将针对上述的Portal认证流程，使得AC在集中管 理各个AP下的UE时，能够对不同的UE进行区分，并且即使不同AP下的UE出现了 IP地址 相同的情况，在AC也能够区分。详见如下各实施例：
[0055] 实施例一
[0056] 图2是本发明实施例提供的一种Portal认证方法的流程示意图，本实施例的方法 是由接入设备AP (即LTE-Fi)执行的，以AP2为例；可以包括：
[0057] 201、AP接收UE发送的网络访问请求；
[0058] 例如，该网络访问请求是向某个URL发起的HTTP访问请求，比如AP2下关联的 UE2,要访问某个.com域名的网站，那么UE2就会向AP2发送要访问该域名的访问请求。需 要说明的是，此时当UE向AP发起访问请求时，UE已经关联在AP上，包括AP已经与UE建 立了无线连接并且为UE分配了 IP地址。
[0059] 202、AP向终端返回重定向报文，该重定向报文携带Portal服务器地址、以及终端 对应的终端标识信息；
[0060] 本实施例中，当AP接收到UE发送的访问请求，但是发现UE尚未进行Portal认证 时（只有Portal认证通过才可以访问网络资源），AP会将UE重定向至Portal服务器进行 认证。
[0061] 具体的，以AP2为例，AP2会向UE2发送重定向报文，该重定向报文携带Portal服 务器地址，以使得UE2根据该Portal服务器地址连接Portal服务器；并且重定向报文中还 携带终端对应的终端标识信息。AP2将终端标识信息发送至UE2, UE2在根据Portal服务 器地址向Portal服务器访问时，会将该终端标识信息一起发送给Portal服务器。
[0062] 可选的，上述的终端标识信息中可以包括：UE2的MAC地址，使得Portal服务器将 MAC地址发送至AC后，AC根据该MAC地址实现对IP地址相同的终端的区分。具体实施中， 也可以采用MAC地址之外的其他信息来识别终端，只要能够起到对相同IP地址的终端进行 区分的功能即可。
[0063] 本实施例的Portal认证方法，AP在向终端发送重定向报文时，会将终端的MAC 地址也一起发送给终端，这样终端在重定向至Portal服务器时会将该MAC地址也发送给 Portal服务器，使得Portal服务器在向AC发送认证请求时也会同样将该终端的MAC地址 发送至AC，AC就可以结合该MAC地址识别终端。
[0064] 实施例二
[0065] 图3是本发明实施例提供的另一种Portal认证方法的流程示意图，本实施例的方 法是由Portal服务器执行；如图3所示，可以包括：
[0066] 301、Portal服务器接收终端发送的重定向报文，该报文携带终端的IP地址、以及 终端标识信息；
[0067] 例如，该终端标识信息包括：终端的MAC地址；
[0068] 本实施例中，终端向Portal服务器发送的终端标识信息，是由终端所关联的AP发 送至终端的；需要说明的是，本实施例将AP发送给终端的携带Portal服务器地址的报文称 为重定向报文，将终端根据该Portal服务器地址向Portal服务器发送的访问请求（携带 终端标识信息）也称为了重定向报文，具体实施中当然也可以采用其他名称。
[0069] 302、Portal服务器获取所述终端的认证信息，并向无线控制器AC发送认证请求， 该认证请求携带认证信息、终端的IP地址和上述终端标识信息；
[0070] 本实施例中，Portal服务器在接收到UE发送的重定向报文后，会将登录界面推送 给UE，UE侧的用户在该界面输入用户名和密码后返回给Portal服务器，该用户名和密码可 以称为认证信息。
[0071] Portal服务器将向AC发送认证请求，携带上述的认证信息、终端的IP地址和上述 终端标识信息中的UE的MAC地址；这样，AC侧就能够根据IP地址和MAC地址识别终端，t匕 如AC可以记录为"IP+MAC"对应的终端的认证信息。
[0072] 本实施例的Portal认证方法，Portal服务器在向AC发送认证请求时会将UE的 IP地址和终端标识信息一起发送；这样在AC就能够根据"IP+MAC"来识别不同的UE，即使 两个UE的IP地址相同，但是两者的MAC地址是不同的，因此AC仍然能够识别这两个UE，从 而解决了 IP地址冲突问题。
[0073] 实施例三
[0074] 图4是本发明实施例提供的又一种Portal认证方法的流程示意图，本实施例的方 法是由无线控制器AC执行；如图4所示，可以包括：
[0075] 401、AC接收Portal服务器发送的认证请求；
[0076] 其中，Portal服务器在接收到UE的认证信息（包括用户名和密码）后，会将该认 证信息携带在认证请求中发送至AC，认证请求中还携带UE的IP地址、UE对应的终端标识 信息（UE的MAC地址）。本实施例中，为了与后续实施例中出现的IP地址区分，本实施例将 这里的认证请求中携带的UE的IP地址称为第一 IP地址。
[0077] 402、AC将MAC地址和第一 IP地址对应的终端的认证信息发送至认证服务器进行 认证，并在认证通过时，向终端关联的AP发送数据转发规则。
[0078] 本实施例中，AC是根据"IP+MAC"来区分不同的终端的，AC会将终端的认证信息 (例如包括用户名和密码）发送至认证服务器，例如AAA服务器。在AAA服务器认证通过 后，AC会将数据转发规则发送至终端所关联的AP。该数据转发规则是用于AP转发终端的 数据。
[0079] 本实施例的Portal认证方法，AC可以获取到终端的IP地址和MAC地址，并且根 据" IP+MAC"来区分不同的终端，这样即使在AC集中管理的用户中，有两个UE的IP地址相 同，但是由于两者的MAC地址是不同的，因此AC也能够区分该两个UE，从而解决了 IP地址 冲突的问题。
[0080] 通过本发明实施例的方法，可以有效解决IP地址冲突的问题，即使存在IP地址相 同的UE，AC也能够结合MAC加以区分，这样就使得不用在分布式部署的AP侧统一规划IP 地址段的分配，不需要给每个AP划分单独的IP地址段，减少了工作量，有利于LTE-Fi设备 的大规模部署。
[0081] 实施例四
[0082] 图5是本发明实施例提供的又一种Portal认证方法的信令示意图，本实施例的方 法描述了由AP、Portal和AC等设备配合执行的Portal认证的完整流程；如图5所示，本实 施例的方法可以包括：
[0083] 501、UE向AP发送网络访问请求；
[0084] 其中，当UE与AP建立无线连接，并且AP为UE分配了 IP地址后，UE向AP发送网 络访问请求。
[0085] 502、AP向UE返回第一重定向报文；
[0086] 其中，当AP确定UE尚未进行Portal认证（如果已经通过认证，AP侧会有记录） 时，AP将向UE发送重定向报文，本实施例称为第一重定向报文。
[0087] 具体的，该第一重定向报文中携带Portal服务器地址、以及UE对应的终端标识信 息，该终端标识信息中可以包括：UE的MAC地址。本实施例中，为了保证安全，终端标识信息 采用加密处理；例如，可以采用数据加密算法（Data Encryption Standard,简称：DES)或 高级加密标准（Advanced Encryption Standard，AES)等加密算法。AP采用的加密算法和 相关参数可以预先在AP配置。加密的终端标识信息可以是在第一重定向报文中的某个私 有字段中设置。
[0088] 503、UE向Portal服务器发送第二重定向报文；
[0089] 本步骤中，UE将根据Portal服务器地址，向Portal服务器发送第二重定向报文， 其中携带UE的IP地址、以及加密的终端标识信息。也就是说，UE在从AP接收到加密的终 端标识信息之后，会在重定向时，将该加密的终端标识信息发送至Portal服务器。
[0090] 需要说明是，在502中AP在向UE发送第一重定向报文时，在Portal服务器地址 以及终端标识信息之外，还可以携带其他的参数，例如AP的IP地址等，这是常规技术，本实 施例不再详述；并且，同样的，UE在向Portal服务器发送第二重定向报文时，在UE的IP地 址以及终端标识信息之外，也可以携带其他参数，例如UE加入的服务集标识（Service Set Identifier，SSID)等。
[0091] 504、Portal服务器发送登录界面至UE ;
[0092] 其中，Portal服务器会将接收到的第二重定向报文中的UE的IP地址、加密的终 端标识信息等提取出来，并进行保存。
[0093] 505、UE向Portal服务器发送认证信息；
[0094] 例如，UE侧的用户可以通过登录界面，输入用户名、密码等信息，发送至Portal服 务器，请求对认证信息进行认证。
[0095] 506、Portal服务器向AC发送认证请求，该认证请求中携带：UE的IP地址和终端 标识信息；
[0096] 本实施例中，Portal服务器将在504中接收到的加密的终端标识信息，和UE的IP 地址一起发送至AC ;当然，认证请求中还携带用于请求认证的认证信息，比如用户的用户 名和密码。
[0097] 507、AC将MAC和IP对应的认证信息发送至AAA服务器请求认证；
[0098] 本实施例中，AC作为集中管理不同AP下的各个UE的设备，以"IP+MAC"的组合 来区分不同的UE ;例如，AC可以记录"IP1+MAC1"对应的UE1，其认证信息是*#*，记录 " IP2+MAC2"对应的UE2,其认证信息是AC将UE对应的认证信息，例如用户名和密码， 发送至AAA请求认证。
[0099] 508、AC接收到AAA服务器返回的认证成功的通知；
[0100] 509、AC向Portal服务器通知认证成功；
[0101] 此外，Portal服务器在接收到认证成功的通知后，可以通知UE认证成功，这些可 以按照常规技术进行，本实施例不再详述。
[0102] 510、AC向MAC和IP对应的UE所关联的AP发送数据转发规则；
[0103] 本实施例中，AC在确定" IP+MAC"对应的UE认证成功后，将下发该UE对应的数据 转发规则，该规则将下发至UE所关联的AP上；例如，参见图1中的UE1，AC会将数据转发规 则发送至API，API将根据该规则转发UE的数据。
[0104] 本实施例的Portal认证方法，Portal服务器会将UE对应的IP地址和MAC地址 均发送至AC，AC可以根据IP+MAC"识别不同的UE，从而使得即使AC发现两个IP地址相同 的UE，也可以结合MAC进行区分。
[0105] 实施例五
[0106] 本实施例与实施例四的区别在于，终端标识信息中还包括UE的MAC地址之外的其 他一些信息，这些信息是用于提高Portal认证的安全性，详见下述的图6流程，图6仅示出 了一些主要的与实施例四相区别的流程，对于相同的流程例如将认证信息发送至AAA服务 器等，本实施例也会执行，但是这些在本实施例中将不再重复描述，图6中也不再显示。
[0107] 图6是本发明实施例提供的又一种Portal认证方法的信令示意图，如图6所示， 本实施例的方法可以包括：
[0108] 601、UE向AP发送网络访问请求；
[0109] 602、AP向UE返回第一重定向报文；
[0110] 本实施例中，第一重定向报文中携带Portal服务器地址、以及加密的终端标识信 息，该终端标识信息不仅包括UE的MAC地址，还包括如下至少一项：UE的IP地址、以及时 间戳信息，该时间戳信息用于表示第一重定向报文的发送时间。这里所述的至少一项的意 思是，在UE的MAC地址之外，终端标识信息中可以只包括UE的IP地址、或者只包括时间戳 信息、或者时间戳信息和IP地址两者都包括在终端标识信息中。
[0111] 603、UE向Portal服务器发送第二重定向报文，将加密的终端标识信息也携带在 报文中发送至Portal服务器；
[0112] 604、Portal服务器发送登录界面至UE ;
[0113] 605、UE向Portal服务器发送认证信息；
[0114] 606、Portal服务器向AC发送认证请求，该认证请求中携带：UE的IP地址和加密 的终端标识信息；
[0115] 在本步骤中，Portal服务器向AC发送的UE的IP地址有两个，其中一个IP地址 是在603中UE发送至Portal服务器的，这也是常规技术中Portal服务器需要将UE的IP 地址发送至AC ;另一个IP地址是携带在加密的终端标识信息中的，这个加密的终端标识信 息是在AP侧加密后，由UE转发给Portal服务器，Portal服务器也不会解密该信息，而是 将该加密的终端标识信息发送给AC，终端标识信息中包括了 UE的IP地址。
[0116] 为了在后续描述时能够清楚的区分这两个IP地址，可以将加密的终端标识信息 中包括的IP地址称为第二IP地址，将另一个称为第一 IP地址。
[0117] 607、AC解密终端标识信息，得到IP地址和时间戳信息；
[0118] 本实施例中，AC解密终端标识信息可以得到其中包括的第二IP地址，还可以得到 时间戳信息。如前面说明过的，终端标识信息包括第二IP地址、和时间戳信息中的至少一 项即可，这里是以两者均携带为例。
[0119] 此外，AC和AP可以是预先配置的相同的加密算法和相关参数，这样终端标识信息 在AP侧加密后，AC可以采用相同的算法进行解密。
[0120] 608、AC根据解密的终端标识信息进行初始认证判断；
[0121] 例如，AC可以进行IP地址的比较，将认证请求中携带的第一 IP地址与解密得到 的第二IP地址比较，如果第一 IP地址与第二IP地址不同，则表明认证失败，执行609 ;否 贝lj，AC初始认证通过后，可以接着由AC向AAA服务器请求认证，可以结合参见实施例四。
[0122] IP地址比较来判断是否认证通过是这样的，举例如下：假设UE1在进行Portal认 证流程，请求访问网络资源；某个用户UE4想要仿冒UE1，其截获了 UE1向Portal发送第一 重定向报文时携带的加密的终端标识信息，因为按照本实施例的流程，UE1在重定向时是需 要将该加密的终端标识信息发送给Portal的，因此仿冒用户在截获后会将加密的终端标 识信息发送至Portal服务器。但是，终端标识信息中携带的是UE1的IP地址，而UE4向 Portal服务器发送的认证请求中还携带的另一个IP地址是UE4自身的IP地址，这两个地 址是不同的，AC可以据此判断加密的终端标识信息可能是被仿冒用户截获的。
[0123] 又例如，AC还可以根据时间戳信息进行比较，将时间戳信息与当前时间比较，该当 前时间可以是AC解密获得该时间戳的时间，或者也可以是AC接收到该认证请求的时间，也 可以说是AC本次处理认证请求的时间；若时间戳信息与当前时间之间的间隔超过预定时 长（例如该预定时长是5分钟），则向Portal服务器返回认证失败。
[0124] 通过时间戳的比较来判断是否认证通过是这样的，举例如下：假设UE1在进行 Portal认证流程，AP在接收到UE1的网络访问请求后，向UE1返回了时间戳信息；正常情况 下，如果UE1继续执行后续的登录Portal、向AC请求认证等，在AC接收到Portal服务器发 送的认证请求时应该不会太久。但是有些特殊情况，比如Portal服务器向UE1推送登录界 面后，UE1的用户并未输入用户名和密码进行认证，而是停止输入转而去做其他的事情，那 么这个认证流程在登录界面这里就中断了。
[0125] UE1的用户有可能将该登录界面保存下来比如放在收藏夹，等第二天上网时直接 打开昨天收藏夹的登录界面进行输入，但是此时可能UE1的IP地址已经与昨天不同了（用 户上网时要重新分配IP地址），那么也就是说Portal服务器在昨天接收并存储的加密的终 端标识信息中的IP地址是昨天的UE1的，这就不符合实际情况，需要UE1重新向AP发送一 次网络访问请求，由AP重新向UE下发一次携带有本次IP地址的加密的终端标识信息，因 此，本次AC要反馈认证失败，触发Portal服务器通知UE重新启动访问。
[0126] 609、AC向Portal服务器返回认证失败。
[0127] 本实施例的Portal认证方法，通过在终端标识信息中添加 UE的IP地址和时间戳 信息，使得AC可以根据这些信息在向AAA请求认证之前，就判断出用户的认证信息存在问 题，直接向Portal返回认证失败；这样加快了认证流程的速度，并且提高了认证的安全性。
[0128] 实施例六
[0129] 本实施例在实施例四的流程基础上，在终端标识信息中增加了 ：AP的MAC地址和 UE接入的VLAN信息；当然，终端标识信息中也可以包括实施例五中所述的时间戳等。AP的 MAC地址和UE接入的VLAN信息，主要是为了在认证通过时，提高数据转发规则的下发速度。
[0130] 例如，AC在接收到AAA服务器返回的认证通过的通知后，AC将向AP下发数据转发 规则；此时，AC可以根据解密终端标识信息得到的AP的MAC地址和UE接入的VLAN信息， 快速准确的将数据转发规则下发到AP，并且UE接入的VLAN信息对应了 AP上的某个端口， 向该端口下发了用于UE的数据转发规则。
[0131] 实施例七
[0132] 本实施例针对的主要是UE在不同AP间漫游的情况，例如，假设UE1从API漫游至 AP2,此时AP2可以执行本实施例的方法，来解决IP地址冲突的问题。图7是本发明实施例 提供的又一种Portal认证方法的信令示意图，如图7所示，可以包括：
[0133] 701、AP接收UE发送的地址分配请求；
[0134] 例如，位于AP2下关联的UE2,向AP2发送地址分配请求。
[0135] 702、AP根据地址分配请求，确定用于分配给UE的待分配IP地址；
[0136] 例如，AP2确定待分配IP地址是IP1，准备将IP1分配给UE2。
[0137] 703、AP检查已关联终端的IP地址是否与待分配IP地址相同；
[0138] 例如，前述的UE1已经从API漫游至AP2, AP2可以比较已关联终端UE1的IP地 址，是否与待分配地址IP1相同。如果相同，则执行704。
[0139] 704、AP将待分配IP地址更改为另一个IP地址；
[0140] 例如，AP2将待分配IP地址IP1，更改为IP2,当然IP1和IP2是AP2从自己负责 的IP段中选择分配的。
[0141] 705、AP将IP地址发送至UE。
[0142] 例如，AP2将IP2发送至UE2,作为分配至UE2的IP地址。如果703中的判断结果 是两个IP地址不同，AP2可以直接将最初的待分配地址IP1发送至UE。
[0143] 在图7所示的流程中，AP在为关联到自己的UE分配IP地址时，会先检查在已关 联自己的终端中是否存在与待分配IP相同的终端，如果有则更换IP分配。
[0144] 图8是本发明实施例提供的又一种Portal认证方法的信令示意图，如图8所示， 可以包括：
[0145] 801、AP与新终端建立关联；
[0146] 例如，UE1从API漫游至AP2,那么对于AP2来说，UE1是新终端。
[0147] 802、AP确定新终端的IP地址与AP的已关联终端的IP地址相同；
[0148] 例如，AP2的已关联终端是UE2, UE2的IP地址与UE1的IP地址相同，这里的UE1 的IP地址是UE1漫游之前在API分配的。当AP2发现两者的IP地址相同时，可以继续执 行 803 ;
[0149] 803、AP向新终端发送重关联指示；
[0150] 例如，AP2向UE1发送重关联指示，通知UE1重新进行关联。
[0151] 804、新终端根据重关联指示，与AP之间执行重关联流程，并请求AP分配IP地址；
[0152] UE1会根据AP发送的重关联指示，与AP之间执行重关联流程；例如UE1向AP发送 关联请求帧开始关联，携带SSID和协商速率等信息，重关联流程可以按照常规流程执行， 不再详述。建立关联后，UE1将向AP请求分配IP地址。
[0153] 805、AP向新终端分配另一个IP地址；
[0154] 此时AP2会向UE1分配一个与UE2不同的IP地址。
[0155] 通过本实施例的Portal认证方法，AP侧可以在关联漫游的UE时，避免同一个AP 下的IP地址冲突情况的发生。
[0156] 如下的实施例八至实施例十，提供了设备的结构，在这些实施例中仅对设备结构 进行简单描述，其具体的工作原理可以结合参见方法实施例。
[0157] 实施例八
[0158] 图9是本发明实施例提供的接入设备AP的结构示意图，如图9所示，该AP可以包 括：接收单元91、处理单元92和发送单元93 ;其中，
[0159] 接收单元91，用于接收终端发送的网络访问请求；
[0160] 处理单元92,用于将Portal服务器地址、以及所述终端对应的终端标识信息携带 在重定向报文中；例如，该终端标识彳目息包括：终端的MAC地址；
[0161] 发送单元93,用于向所述终端返回所述重定向报文，以使得所述终端根据所述 Portal服务器地址将所述终端标识信息发送至Portal服务器。
[0162] 进一步的，所述终端标识信息还包括如下的至少一项：所述终端的IP地址；或者， 所述接入设备的MAC地址和所述终端接入的VLAN ;或者，时间戳信息，所述时间戳信息用于 表示所述重定向报文的发送时间。
[0163] 进一步的，所述接收单元91，还用于接收所述终端发送的地址分配请求；所述处 理单元92,还用于根据所述地址分配请求，确定用于分配给所述终端的待分配IP地址，并 检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同，若存在IP地址 与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另一个IP地址。
[0164] 进一步的，所述处理单元92,还用于与新终端建立关联，所述新终端是从另一个接 入设备移至所述接入设备；并确定所述新终端的IP地址与所述接入设备的已关联终端的 IP地址相同；所述发送单元93,还用于向所述新终端发送用于指示重新请求地址的地址重 配请求。接收单元91，还用于接收所述新终端发送的地址分配请求，并指示所述处理单元 92根据所述地址分配请求向所述新终端分配与所述IP地址不同的另一个IP地址。
[0165] 实施例九
[0166] 图10是本发明实施例提供的Portal服务器的结构示意图，如图10所示，该 Portal服务器可以包括：信息接收单元1001和认证请求单元1002 ;其中，
[0167] 信息接收单元1001，用于接收终端发送的重定向报文，所述重定向报文携带所述 终端的IP地址、以及终端标识信息；例如，该终端标识信息包括：终端的MAC地址；
[0168] 认证请求单元1002,用于获取所述终端的认证信息，并向无线控制器AC发送认证 请求，所述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得 所述AC根据所述IP地址和MAC地址识别所述终端。
[0169] 实施例十
[0170] 图11是本发明实施例提供的无线控制器的结构示意图，如图11所示，该无线控制 器可以包括：请求接收单元1101、认证处理单元1102和结果发送单元1103 ;其中，
[0171] 请求接收单元1101，用于接收Portal服务器发送的认证请求，所述认证请求中携 带请求认证的所述终端的第一 IP地址、认证信息、以及所述终端对应的终端标识信息；例 如，该终端标识信息包括：终端的MAC地址；
[0172] 认证处理单元1102,用于将所述MAC地址和第一 IP地址对应的所述认证信息发送 至认证服务器进行认证；
[0173] 结果发送单元1103,用于在认证通过时，向所述终端关联的接入设备发送数据转 发规则，所述数据转发规则用于所述接入设备转发所述终端的数据。
[0174] 进一步的，认证处理单元1102，还用于解密所述终端标识信息，得到终端标识信息 中包括的第二IP地址；将所述第二IP地址与所述认证请求中携带的第一 IP地址比较；所 述第一 IP地址与第二IP地址不同，则指示所述结果发送单元向所述Portal服务器返回认 证失败。
[0175] 进一步的，认证处理单元1102，还用于解密所述终端标识信息，得到终端标识信息 中包括的时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间；将所述时间 戳信息与当前时间比较，若所述时间戳信息与所述当前时间之间的间隔超过预定时长，则 指示所述结果发送单元向所述Portal服务器返回认证失败。
[0176] 进一步的，请求接收单元1101接收的所述终端标识信息中还包括：所述接入设备 的MAC地址和所述终端接入的VLAN ;结果发送单元1103,在发送数据转发规则时，具体是用 于根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转发规 则。
[0177] 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【权利要求】
1. 一种Portal认证方法，其特征在于，包括： 接入设备接收终端发送的网络访问请求； 所述接入设备向所述终端返回重定向报文，所述重定向报文携带Portal服务器地址、 以及所述终端对应的终端标识信息，以使得所述终端根据所述Portal服务器地址将所述 终端标识信息发送至Portal服务器。
2. 根据权利要求1所述的方法，其特征在于，所述终端标识信息，包括：所述终端的MAC 地址。
3. 根据权利要求1或2所述的方法，其特征在于，所述终端标识信息还包括如下的至少 一项： 所述终端的IP地址； 或者，所述接入设备的MAC地址和所述终端接入的VLAN ; 或者，时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间。
4. 根据权利要求1所述的方法，其特征在于，所述接入设备在接收终端发送的网络访 问请求之前，还包括： 所述接入设备接收所述终端发送的地址分配请求； 所述接入设备根据所述地址分配请求，确定用于分配给所述终端的待分配IP地址，并 检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同，若存在IP地址 与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另一个IP地址。
5. 根据权利要求1所述的方法，其特征在于，还包括： 所述接入设备与新终端建立关联，所述新终端是从另一个接入设备移至所述接入设 备； 在确定所述新终端的IP地址与所述接入设备的已关联终端的IP地址相同时，向所述 新终端发送用于指示重新请求地址的地址重配请求； 所述接入设备接收所述新终端发送的地址分配请求，并根据所述地址分配请求向所述 新终端分配与所述IP地址不同的另一个IP地址。
6. -种Portal认证方法，其特征在于，包括： Portal服务器接收终端发送的重定向报文，所述重定向报文携带所述终端的IP地址、 以及终端标识信息； 所述Portal服务器获取所述终端的认证信息，并向无线控制器AC发送认证请求，所述 认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所述AC根据 所述IP地址和所述终端标识信息识别所述终端。
7. -种Portal认证方法，其特征在于，包括： 无线控制器接收Portal服务器发送的认证请求，所述认证请求中携带请求认证的所 述终端的第一 IP地址、认证信息、以及所述终端对应的终端标识信息； 所述无线控制器将所述MAC地址和第一 IP地址对应的所述认证信息发送至认证服务 器进行认证，并在认证通过时，向所述终端关联的接入设备发送数据转发规则，所述数据转 发规则用于所述接入设备转发所述终端的数据。
8. 根据权利要求7所述的方法，其特征在于，所述终端标识信息，包括：所述终端的MAC 地址。
9. 根据权利要求7或8所述的方法，其特征在于，所述终端标识信息中还包括：加密的 所述终端对应的第二IP地址； 在所述无线控制器接收Portal服务器发送的认证请求之后，还包括： 所述无线控制器解密所述终端标识信息，得到所述第二IP地址； 所述无线控制器将所述第二IP地址与所述认证请求中携带的第一 IP地址比较，若所 述第一 IP地址与第二IP地址不同，则向所述Portal服务器返回认证失败。
10. 根据权利要求7所述的方法，其特征在于，所述终端标识信息中还包括：时间戳信 息，所述时间戳信息用于表示所述重定向报文的发送时间； 在所述无线控制器接收Portal服务器发送的认证请求之后，还包括： 所述无线控制器解密所述终端标识信息，得到所述时间戳信息； 所述无线控制器将所述时间戳信息与当前时间比较，若所述时间戳信息与所述当前时 间之间的间隔超过预定时长，则向所述Portal服务器返回认证失败。
11. 根据权利要求7所述的方法，其特征在于，所述终端标识信息中还包括：所述接入 设备的MAC地址和所述终端接入的VLAN ; 所述无线控制器向所述终端关联的接入设备发送数据转发规则，包括：所述无线控制 器根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转发规 则。
12. -种接入设备，其特征在于，包括： 接收单元，用于接收终端发送的网络访问请求； 处理单元，用于将Portal服务器地址、以及所述终端对应的终端标识信息携带在重定 向报文中； 发送单元，用于向所述终端返回所述重定向报文，以使得所述终端根据所述Portal服 务器地址将所述终端标识信息发送至Portal服务器。
13. 根据权利要求12所述的接入设备，其特征在于，所述终端标识信息还包括如下的 至少一项：所述终端的MAC地址；或者，所述终端的IP地址；或者，所述接入设备的MAC地 址和所述终端接入的VLAN ;或者，时间戳信息，所述时间戳信息用于表示所述重定向报文 的发送时间。
14. 根据权利要求12所述的接入设备，其特征在于， 所述接收单元，还用于接收所述终端发送的地址分配请求； 所述处理单元，还用于根据所述地址分配请求，确定用于分配给所述终端的待分配IP 地址，并检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同，若存在 IP地址与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另一个IP 地址。
15. 根据权利要求12所述的接入设备，其特征在于， 所述处理单元，还用于与新终端建立关联，所述新终端是从另一个接入设备移至所述 接入设备；并确定所述新终端的IP地址与所述接入设备的已关联终端的IP地址相同； 所述发送单元，还用于向所述新终端发送用于指示重新请求地址的地址重配请求； 所述接收单元，还用于接收所述新终端发送的地址分配请求，并指示所述处理单元根 据所述地址分配请求向所述新终端分配与所述IP地址不同的另一个IP地址。
16. -种Portal服务器，其特征在于，包括： 信息接收单元，用于接收终端发送的重定向报文，所述重定向报文携带所述终端的IP 地址、以及终端标识信息； 认证请求单元，用于获取所述终端的认证信息，并向无线控制器AC发送认证请求，所 述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所述AC根 据所述IP地址和终端标识信息识别所述终端。
17. -种无线控制器，其特征在于，包括： 请求接收单元，用于接收Portal服务器发送的认证请求，所述认证请求中携带请求认 证的所述终端的第一 IP地址、认证信息、以及所述终端对应的终端标识信息； 认证处理单元，用于将所述MAC地址和第一 IP地址对应的所述认证信息发送至认证服 务器进行认证； 结果发送单元，用于在认证通过时，向所述终端关联的接入设备发送数据转发规则，所 述数据转发规则用于所述接入设备转发所述终端的数据。
18. 根据权利要求17所述的无线控制器，其特征在于， 所述认证处理单元，还用于解密所述终端标识信息，得到终端标识信息中包括的第二 IP地址；将所述第二IP地址与所述认证请求中携带的第一 IP地址比较；所述第一 IP地址 与第二IP地址不同，则指示所述结果发送单元向所述Portal服务器返回认证失败。
19. 根据权利要求17所述的无线控制器，其特征在于， 所述认证处理单元，还用于解密所述终端标识信息，得到终端标识信息中包括的时间 戳信息，所述时间戳信息用于表示所述重定向报文的发送时间；将所述时间戳信息与当前 时间比较，若所述时间戳信息与所述当前时间之间的间隔超过预定时长，则指示所述结果 发送单元向所述Portal服务器返回认证失败。
20. 根据权利要求17所述的无线控制器，其特征在于， 所述请求接收单元接收的所述终端标识信息中还包括：所述接入设备的MAC地址和所 述终端接入的VLAN ; 所述结果发送单元，在发送数据转发规则时，具体是用于根据所述接入设备的MAC地 址和所述终端接入的VLAN，向所述接入设备发送数据转发规则。
【文档编号】H04L29/12GK104104516SQ201410369824
【公开日】2014年10月15日 申请日期:2014年7月30日 优先权日:2014年7月30日
【发明者】徐勇刚 申请人:杭州华三通信技术有限公司