用于设备认证的方法、装置及认证服务系统的制作方法

用于设备认证的方法、装置及认证服务系统的制作方法
【专利摘要】本发明提供一种用于设备认证的方法、装置及认证服务系统。一种用于设备认证的方法包括：从用户设备接收网络访问请求；如果认证设备列表中包括所述用户设备的设备标识，则对所述网络访问请求放行；如果所述认证设备列表中不包括所述用户设备的设备标识，并且所述网络访问请求中不包括令牌，则将用于指示用户设备向所述认证管理设备进行认证的重定向消息发送给所述用户设备。可为商户提供定制的认证服务，帮助商户快速搭建WiFi上网服务系统，为商户屏蔽复杂的WiFi认证过程。
【专利说明】用于设备认证的方法、装置及认证服务系统

【技术领域】
[0001]本发明涉及一种认证技术，尤其涉及一种用于设备认证的方法、装置及认证服务系统。

【背景技术】
[0002]随着电子设备的普及，人们对WiFi的需求越来越强烈，越来越多的商户愿意为用户提供免费WiFi。商户往往需要用户在使用免费WiFi之前，先进行登录认证，只有通过认证的用户才能免费使用WiFi。
[0003]现有的认证技术方案主要包括两个部分:接入设备(如智能路由器)和认证服务器。
[0004]接入设备
[0005]我们通常需要在接入设备上安装一个认证客户端软件，它负责对经过该路由器的请求进行过滤。如果请求来源于一个已经通过了认证的设备，那么就让该请求通过(用户可以正常上网)；如果请求来源于一个没有通过认证的设备，那么就将该请求重定向到认证服务器，进行认证操作。
[0006]认证服务器
[0007]认证服务器用于对用户进行认证，我们通常使用用户设备的MAC地址作为这个用户的唯一标识。当用户请求被认证客户端软件重定向到认证服务器后，认证服务器会让用户进行认证。
[0008]目前有多种认证方式可选:用户名和密码认证、短信动态验证码认证以及第三方帐号登录认证等。当用户通过认证后，认证服务器会告知认证客户端软件，该用户(MAC地址)已经通过了认证。
[0009]之后，认证客户端软件就会放行该用户的请求。
[0010]然而，商户每次在搭建和设置WiFi接入设备时，都需要分别配置认证服务器、认证方式以及认证所需信息等，并且需要对每台接入设备分别进行维护，这些工作对于在技术能力不强的中小型商户来讲具有较大的挑战性。


【发明内容】

[0011]本发明的实施例提供一种用于设备认证的方法、装置及认证服务系统，以帮助商户快速搭建WiFi上网服务系统，为商户屏蔽复杂的WiFi认证过程。
[0012]根据本发明的一方面，提供一种用于设备认证的方法。所述方法包括:从用户设备接收网络访问请求；如果认证设备列表中包括所述用户设备的设备标识，则对所述网络访问请求放行；如果所述认证设备列表中不包括所述用户设备的设备标识，并且所述网络访问请求中不包括令牌，则将用于指示用户设备向所述认证管理设备进行认证的重定向消息发送给所述用户设备。
[0013]根据本发明的另一方面，提供一种用于设备认证的方法。所述方法包括:从用户设备接收包括接入设备的设备标识的认证请求；根据所述接入设备的设备标识获取服务商标识；将包括所述服务商标识的认证请求重定向到定制登录设备或转发给所述定制登录设备；从所述定制登录设备接收包括所述用户设备的设备标识的认证结果响应；如果接收到的认证结果响应指示认证成功，则生成唯一的令牌，将所述令牌发送给所述定制登录设备，并且存储所述用户设备的设备标识和所述令牌的映射信息。
[0014]根据本发明的另一方面，提供一种用于设备认证的方法。所述方法包括:接收来自用户设备的认证请求，所述认证请求包括和服务商标识接入设备；根据所述服务商标识获取相应的认证方式信息；根据所述认证方式信息与所述用户设备执行认证；将包括所述用户设备的设备标识的认证结果响应发送给认证管理设备；从所述认证管理设备接收令牌，并且将所述令牌发送给所述用户设备。
[0015]根据本发明的另一方面，提供一种用于设备认证的装置，所述装置包括:网络访问请求接收单元，用于从用户设备接收网络访问请求；请求放行单元，用于如果认证设备列表中包括所述用户设备的设备标识，则对所述网络访问请求放行；访问请求重定向单元，用于如果认证设备列表中不包括所述用户设备的设备标识，并且所述网络访问请求中不包括令牌，则将用于指示用户设备向所述认证管理设备进行认证的重定向消息发送给所述用户设备。
[0016]根据本发明的另一方面，提供一种用于设备认证的装置，所述装置包括:认证请求接收单元，用于从用户设备接收包括接入设备的设备标识的认证请求；服务商信息获取单元，用于根据所述接入设备的设备标识获取服务商标识；认证请求重定向单元，用于将包括所述服务商标识的认证请求重定向到定制登录设备或转发给所述定制登录设备；认证结果接收单元，用于从所述定制登录设备接收包括所述用户设备的设备标识的认证结果响应；令牌生成单元，用于如果所述认证请求接收单元接收到的认证结果响应指示认证成功，贝1J生成唯一的令牌；令牌发送单元，用于将所述令牌生成单元生成的令牌发送给所述定制登录设备，并且存储所述用户设备的设备标识和所述令牌的映射信息。
[0017]根据本发明的另一方面，提供一种用于设备认证的装置，所述装置包括:认证请求接收单元，用于接收来自用户设备的认证请求，所述认证请求包括服务商标识；认证信息获取单元，用于根据所述服务商标识获取相应的认证方式信息；认证执行单元，用于根据所述认证方式信息与所述用户设备执行认证；认证结果发送单元，用于将包括所述用户设备的设备标识的认证结果响应发送给认证管理设备；令牌传递单元，用于从所述认证管理设备接收令牌，并且将所述令牌发送给所述用户设备。
[0018]根据本发明的另一方面，提供一种认证服务系统，包括接入设备、认证管理设备和定制登录设备。
[0019]根据本发明实施例的用于设备认证的方法、装置及认证服务系统，可为商户提供并定制用户设备的认证服务，商户仅需要在所述认证服务系统中设置认证方式信息并且登记其要提供上网服务的接入设备的信息，即可为其服务用户提供上网服务，从而可快速搭建无线上网系统，为商户屏蔽复杂的WiFi认证过程。

【专利附图】

【附图说明】
[0020]图1是根据本发明的示例性实施例的认证服务系统的总体架构示意图；
[0021]图2是根据本发明的示例性实施例的用于设备认证的方法的流程图；
[0022]图3是根据本发明的另一示例性实施例的用于设备认证的方法的流程图；
[0023]图4是根据本发明的另一示例性实施例的用于设备认证的方法的流程图；
[0024]图5是根据本发明的示例性实施例的用于设备认证的装置的逻辑框图；
[0025]图6是根据本发明的示例性实施例的认证管理设备的逻辑框图；
[0026]图7是根据本发明的示例性实施例的定制登录设备的逻辑框图。

【具体实施方式】
[0027]本发明的总体发明构思是，在云端设置用于商户的认证服务系统。商户可通过例如统一的管理界面在所述认证服务系统中设置其基本信息、认证相关信息以及接入设备的信息。通过所述认证服务系统，其用户可通过商户提供的接入设备进行上网认证，从而可帮助商户快速搭建起WiFi上网服务系统，为商户屏蔽复杂的WiFi认证过程。
[0028]下面结合附图对本发明的示例性实施例进行详细描述。
[0029]图1是根据本发明的示例性实施例的认证服务系统的总体架构示意图。
[0030]参照图1，根据本发明的示例性实施例的认证服务系统包括接入设备110、认证管理设备120和定制登录设备130。其中，在接入设备110中安装用于执行认证的认证客户端软件。
[0031]当用户使用其用户设备(如平板电脑、笔记本电脑、手机)执行上网(如下载网页)操作时，安装在其通过无线连接接入的接入设备110(如智能路由器)中的认证客户端软件根据所述用户设备的设备标识(如MAC地址)执行认证检查。如果确定所述用户设备已被认证过，则所述认证客户端软件对所述用户设备的上网请求给予放行。如果确定所述用户设备没有被认证过，则所述认证客户端软件向所述用户设备发送将所述上网请求重定向到认证管理设备120的响应。
[0032]此后，所述用户设备向认证管理设备120发送认证请求。认证管理设备120根据认证请求中附带的接入设备110的设备标识(如MAC地址)从预先配置的服务商设备数据库获取接入设备110所属的服务商(即商户)的标识信息并添加到所述认证请求中，然后将所述认证请求重定向到定制登录设备130，或者将所述认证请求直接转发给定制登录设备 130。
[0033]如果认证管理设备120将所述认证请求重定向到定制登录设备130，则所述用户设备在接收到认证管理设备120返回的重定向认证请求后，根据所述重定向认证请求中指定的IP地址或网址向定制登录设备130再次发送所述认证请求，定制登录设备130从所述用户设备接收到所述认证请求；如果认证管理设备120将所述认证请求直接转发给定制登录设备130，则定制登录设备130从认证管理设备120接收到转发的所述认证请求。
[0034]定制登录设备130在接收到所述认证请求后，根据其中的服务商的标识信息从预先配置的服务商设备认证信息数据库获取相应的认证方式信息，并根据所述认证方式信息与用户设备执行认证。
[0035]如果用户设备通过认证，则认证管理设备120为所述用户设备生产唯一的令牌，并由定制登录设备130发放给所述用户设备。
[0036]此后，用户设备以所述令牌为参数再次发起网络访问请求。接入设备110中的认证客户端软件在接收到所述网络访问请求后，与认证管理设备120执行交互，以根据所述令牌和用户设备的设备标识执行身份校验。通过所述身份校验成功，则所述认证客户端软件将所述用户设备的设备标识存储在所述认证设备列表中，并且对所述网络访问请求以及之后的网络访问操作给予放行。
[0037]在前述涉及的操作中，用户设备和定制登录设备之间的交互可以是应用层面的，例如，用户设备与定制登录设备130之间可通过网页、动态密码或应用界面执行认证。用户设备和所述认证客户端软件之间的交互、所述认证客户端软件与认证管理设备120之间的交互以及认证管理设备120和定制登录设备130之间的交互则是通过硬件层面上的设备标识执行的。由此，硬件标识对用户设备是透明的。
[0038]在此基础上，如果定制的认证方式是通过第三方网站进行认证，则需要对用户设备发起的对第三方网站的访问请求给予放行；此外，有的商户希望在用户设备没有进行认证的情况下，也允许其访问部分网站。例如，酒店商户希望允许任何用户访问其网站。为此，可以为接入设备110中的认证客户端软件配置IP地址白名单，所述IP地址白名单可包括第三方网站的域名及IP地址和/或允许用户自由访问的网址或IP地址，从而所述认证客户端软件在接收到访问IP地址白名单中的网站的请求时，自动给予放行处理。
[0039]此外，根据本发明的认证服务系统可还包括增值服务设备140，其用于在定制登录设备130与用户设备执行认证的过程中，向定制登录设备130提供例如天气信息、新闻短讯等的增值服务信息，从而定制登录设备130可进一步将所述增值服务信息提供给所述用户设备。
[0040]此外，通常在与用户设备执行认证的过程中，需要从第三方认证服务器(如第三方网站)调取认证用的数据(如认证网站的网页数据)，其中包括例如图片的静态数据。例如，常用的一种作法是将认证网页中图片存放到云服务器上(例如，阿里云，百度云等)，依赖这些大型的互联网公司来保证数据的可靠性。然而，由于这些云服务器并不在接入设备设置的IP地址白名单里，所以用户在进行认证的时候无法访问这些数据。一种解决办法是将这些云服务器的IP地址加入到接入设备的IP地址白名单，但这种方法有很多缺陷。首先它会导致接入设备加载大量的IP地址；更重要的一个问题是，由于将云服务器的IP地址加入到IP地址白名单了，所以用户在不通过认证的情况下，就可以访问云服务器上的所有数据，这显然是不合理的。例如，原本只是想让用户访问云服务器上的两张图片，但现在却将整个云服务器都开放给了未认证的用户。为此，根据本发明的认证服务系统可还包括数据缓存设备150，其用于缓存用于认证的部分第三方数据，从而用户设备可从数据缓存设备150下载所述第三方数据。其中，可将从第三方网站缓存下来的数据的URL替换成为访问数据缓存设备150预定位置的URL，从而用户设备可自动通过访问数据缓存设备150来获取所述缓存数据。
[0041]为了方便对商户设置的接入设备进行管理，根据本发明的认证服务系统可还包括用于从远程对在所述认证服务系统中设置的接入设备进行配置和管理的接入设备管理设备 170。
[0042]接入设备管理设备170用于远程管理接入设备110，它保持与在所述认证服务系统中设置的接入设备110进行通信，收集这些接入设备的状态，并完成对这些接入设备的远程操作。另一方面，接入设备110中的认证客户端软件还可每隔一段时间向接入设备管理设备170发送心跳数据，以使接入设备管理设备170确定每台接入设备是否存活以及每台接入设备的工作状态是否正常。通过对接入设备110进行远程操作，接入设备管理设备170可以从远程开启或关闭接入设备110。在此基础上，接入设备管理设备170还可以对登录用户进行流量限制。此外，接入设备管理设备170还可以从远程设置接入设备110中的认证客户端软件使用的IP地址白名单等等。可通过提供管理界面、控制脚本等来辅助实现接入设备110的远程控制。
[0043]如前所述，用户在完成登录认证前，可以访问的网络是有限的，但当定制登录设备130需要通过第三方执行账户登录认证时，需要用户能够访问第三方网站。由于这些访问是动态请求，需要访问动态数据，因此不能利用数据缓存设备150来解决这个问题。为此我们只能将这些第三方网站加入到认证客户端软件的IP地址白名单中，以便用户能够顺利地完成第三方网站的登录认证。
[0044]由于认证客户端软件只能通过IP地址来对接入的用户设备进行流量控制，而通常第三方网站都是以域名的方式提供服务，因此需要使用域名解析服务(DNS)获取到域名对应的IP地址，然后将该IP地址加入到认证客户端软件的IP地址白名单中。对于大型网站，它们的域名往往会对应于多个IP地址，而通常查询DNS服务只会返回一个IP地址，并且当设备处于不同的网络中时，DNS返回的IP地址也可能不同。由于单个接入设备无法获取到域名所有的IP地址，认证客户端软件不可能将域名所有的IP地址都加入到IP地址白名单中；即使暂时可以获取到大多数IP地址，之后网站的IP地址也有可能发生变化，使得之前设置的IP地址白名单无效。如果收集不到域名对应的所有IP地址，那么就可能导致用户无法访问第三方网站，进而无法进行认证。为了解决这个问题，我们可通过分布式的DNS数据分发设备来分发IP地址。因此，根据本发明的优选实施例，所述认证服务系统可还包括DNS数据分发设备160，用于收集从接入设备上运行的认证客户端软件上传的DNS解析数据(主要为用于认证的第三方网站的DNS解析数据)，并且将从各个接入设备收集的DNS解析数据直接或通过接入设备管理设备170分发给各个接入设备。
[0045]具体地，在所述认证服务系统中设置的大量接入设备可部署在全国各地，处于不同的运营商提供的网络中。当这些接入设备上运行的认证客户端软件在不同的网络中使用DNS解析同一个域名时，就可以收集到该域名在不同网络中对应的各个IP地址。认证客户端软件将自己收集到第三方认证网站的DNS解析数据(即多个IP地址)发回所述DNS数据分发设备，所述DNS数据分发设备将这些数据整合，进而可以最大可能的收集到域名对应的IP地址集合。然后，所述DNS数据分发设备再将整合好的IP地址集合直接或通过接入设备管理设备170分发给认证客户端软件，并由认证客户端软件将第三方认证网站的全部IP地址更新到IP地址白名单中，从而使得用户可以访问第三方认证网站。
[0046]综上所述，根据本发明的示例性实施例的认证服务系统可向商户提供全套的用户设备认证服务并且根据定制的认证方式执行认证，使用所述认证服务的商户仅需要通过所述认证服务系统来设置认证方式及相关信息即可快速地搭建WiFi上网服务系统，不再需要对每个接入设备进行复杂的设置。
[0047]以下将参照图2?图7具体描述根据本发明的示例性实施例的用于设备认证的方法以及相应的装置。需要指出，在本发明中凡涉及接入设备110的操作，除单独指出以外，皆指代接入设备110中的认证客户端软件。为了便于描述，在下文统一使用接入设备110来指代所述认证客户端软件。
[0048]图2是根据本发明的示例性实施例的用于设备认证的方法的流程图。根据本发明的示例性实施例，由接入设备110执行所述用于设备认证的方法。
[0049]参照图2，在步骤S210，接入设备110从用户设备接收网络访问请求，例如，下载网页的HTTP请求。
[0050]在步骤S220，接入设备110确定在其维护的认证设备列表中是否包括所述用户设备的设备标识(如MAC地址)。
[0051]如果在步骤S220，接入设备110确定在所述认证设备列表中包括所述用户设备的设备标识，可确定所述用户设备已经被认证，则执行步骤S230，对所述网络访问请求放行。此外，对之后来自所述用户设备的网络访问请求也给予放行。
[0052]如果在步骤S220，接入设备110确定在所述认证设备列表中不包括所述用户设备的设备标识，说明所述用户设备还没有经过认证，则继续执行步骤S240。
[0053]如前所述，用户设备在与定制登录设备130交互执行设备认证的过程中，如果认证基本通过，则认证管理设备120将为所述用户设备生成唯一的令牌，并经由定制登录设备130发送给所述用户设备。此后，所述用户设备将以所述令牌作为网络访问请求的参数，发出网络访问请求。
[0054]因此，在步骤S240，接入设备110查看所述网络访问请求是否包括令牌。
[0055]如果在步骤S240，接入设备110确定所述网络访问请求包括令牌，则继续执行步骤S250至步骤S270。其中，在步骤S250，接入设备110将包括所述用户设备的设备标识和所述令牌的身份校验请求发送给所述认证管理设备120 ;在步骤S260，接入设备110从所述认证管理设备接收校验结果信息。如果所述校验结果信息指示校验成功，则执行步骤S270 ;在步骤S270，接入设备110根据校验成功的结果将所述用户设备的设备标识存储在所述认证设备列表中，并且对所述网络访问请求放行。自此，对所述用户设备的认证过程结束。
[0056]另一方面，如果在步骤S240，接入设备110确定所述网络访问请求不包括令牌，也就是说，所述认证设备列表中不包括所述用户设备的设备标识，并且所述网络访问请求中不包括令牌，那么执行步骤S280，接入设备110将用于指示用户设备向认证管理设备120进行认证的重定向消息发送给所述用户设备。也就是说，在步骤S280，接入设备110将所述网络访问请求重定向到认证管理设备120。之后，所述用户设备将根据接入设备110的重定向指示向认证管理设备120发送认证请求。
[0057]通过前述步骤的处理，接入设备110可对用户设备的上网进行控制，并且将未经过认证的用户设备的上网请求进行重定向，以提示用户设备与向认证管理设备120发送认证请求。此外，接入设备110根据分发给通过设备认证的用户设备的令牌及设备标识与认证管理设备120进行交互，进行身份校验，以最终确定对所述用户设备的网络访问请求放行。
[0058]根据本发明的优选实施例，接入设备110中预先配置有包括可自由放行的网址或IP地址的IP地址白名单。在这种情况下，根据本发明的优选实施例的用于设备认证的方法还包括:接入设备110从预先设置的IP地址白名单查找所述网络访问请求中的访问目标地址。如果接入设备110从所述IP地址白名单匹配到所述网络访问请求中的访问目标地址，则接入设备110执行步骤S230，对所述网络访问请求放行；如果接入设备110从所述IP地址白名单没有匹配到所述网络访问请求中的访问目标地址，则执行步骤S240，查看所述网络访问请求是否包括令牌，并且根据查看结果继续执行步骤S250或S280。由此，可在支持设备认证重定向、身份校验请求以及放行的基础上，对访问目标地址在所述IP地址白名单中的网络访问请求做自由放行处理。
[0059]此外，在使用第三方网站进行认证的情况下，为了获取更新的、较全面的从第三方网站域名解析出的IP地址的信息，根据本发明的另一优选实施例，所述用于设备认证的方法还包括:收集指定域名(例如，第三方网站的域名)的DNS解析数据，并且按照预定的规则将所述DNS解析数据上传给预定的DNS分发设备。所述预定的规则可以是，例如，每3小时、每天、每周等周期。
[0060]根据所述优选实施例，所述方法可还包括:从所述DNS分发设备接收DNS解析数据，并且根据接收的DNS解析数据更新所述IP地址白名单中所述指定域名的IP地址。其中，所述本地的DNS解析数据包括第三方认证网站或主机的DNS解析数据。所述DNS分发设备可以是接入设备管理设备或分布式的DNS数据管理设备。
[0061]如此，通过上传各接入设备获得的DNS解析数据以及下载由分布式的DNS数据管理设备整合的DNS解析数据，接入设备可获取更新的第三方认证网站或主机的DNS解析数据。
[0062]图3是根据本发明的另一示例性实施例的用于设备认证的方法的流程图。根据本发明的示例性实施例，由认证管理设备120执行所述用于设备认证的方法。
[0063]参照图3，在步骤S310，认证管理设备120从用户设备接收包括接入设备的设备标识的认证请求。
[0064]之前提及，在步骤S280，接入设备110将所述网络访问请求重定向到认证管理设备120。之后，所述用户设备将根据接入设备110的重定向指示向认证管理设备120发送认证请求。在所述认证请求的传送过程中前，接入设备110将其设备标识附在所述认证请求中。
[0065]在步骤S320，认证管理设备120根据所述接入设备的设备标识获取服务商标识，从而获取服务商(即商户)的信息。具体地，认证管理设备120根据所述设备标识从服务商设备数据库获取所述服务商标识，所述服务商设备数据库包括为所述服务商配置的接入设备的信息。服务商预先在所述认证服务系统中注册其提供的接入设备的信息，所述信息可被存入所述服务商设备数据库。
[0066]在步骤S330，认证管理设备120将包括所述服务商标识的认证请求重定向到定制登录设备130或转发给定制登录设备130。定制登录设备130根据所述认证请求获取相应的认证方式信息，并且与所述用户设备执行设备认证。如果所述设备认证成功，则定制登录设备130将向认证管理设备120发送包括所述用户设备的设备标识的认证结果响应。
[0067]在步骤S340，认证管理设备120从定制登录设备130接收包括所述用户设备的设备标识的认证结果响应。
[0068]在步骤S350，认证管理设备120确定接收到的认证结果响应是否指示认证成功。如果接收到的认证结果响应指示认证成功，则执行步骤S360和步骤S370。其中，在步骤S360，生成唯一的令牌；在步骤S370，将所述令牌发送给所述定制登录设备，并且存储所述用户设备的设备标识和所述令牌的映射信息。如果认证接收到的认证结果响应指示认证不成功，则结束所述方法的处理。
[0069]之前提及，用户设备在接收到令牌后，将以所述令牌作为参数再次发起网络访问请求。如果在步骤S240，接入设备110确定所述网络访问请求包括令牌，则在步骤S250，接入设备110将包括所述用户设备的设备标识和所述令牌的身份校验请求发送给认证管理设备120。
[0070]因此，根据本发明的示例性实施例，所述用于设备认证的方法还包括:认证管理设备120从接入设备110接收包括设备标识和令牌的身份校验请求；根据存储的映射信息对接收的设备标识和令牌进行合法性校验；将校验结果信息发送给接入设备110。
[0071]根据前述示例性实施例的用于设备认证的方法，认证管理设备120可对用户设备的认证请求进行处理，在其中添加服务商的标识，并且将所述认证请求重定向到定制登录设备130或将所述认证请求转发给定制登录设备130，从而可根据服务商定制的认证方式对所述用户设备进行认证处理。此外，还为用户设备生成令牌，并且通过所述令牌对所述用户设备进行身份校验，以完成所述设备认证过程。
[0072]图4是根据本发明的另一示例性实施例的用于设备认证的方法的流程图。根据本发明的示例性实施例，由定制登录设备130执行所述用于设备认证的方法。
[0073]如前所述，认证管理设备120在收到用户设备初次发送的认证请求后，根据接入设备的设备标识提取所述服务商标识并添加到所述认证请求中，再将所述认证请求重定向到定制登录设备130或转发给定制登录设备130。
[0074]参照图4，在步骤S410，定制登录设备130接收来自用户设备的认证请求，所述认证请求包括服务商标识。定制登录设备130可从所述用户设备或认证管理设备120接收所述认证请求。
[0075]在步骤S420，定制登录设备130根据所述服务商标识获取相应的认证方式信息。具体地，定制登录设备130根据所述服务商标识从服务商设备认证信息数据库获取所述相应的认证方式信息。服务商预先在所述认证服务系统中设置认证方式信息以及相关的信息，所述认证方式信息以及相关的信息可被存入所述服务商设备认证信息数据库。
[0076]在步骤S430，定制登录设备130根据所述认证方式信息与所述用户设备执行认证。所述认证方式可以是现有的任何一种认证方式，也可以是所述认证服务系统提供的定制认证方式。
[0077]其后，在步骤S440，定制登录设备130将包括所述用户设备的设备标识的认证结果响应发送给认证管理设备120。
[0078]在步骤S450，定制登录设备130从认证管理设备120接收令牌。
[0079]在步骤S460，定制登录设备130将所述令牌发送给所述用户设备。
[0080]通过前述步骤的处理，定制登录设备130可根据服务商预先设置的认证方式对用户设备进行认证。
[0081]此外，所述认证服务系统的维护人员还可设置和维护用户黑名单，用于阻止所述黑名单中列出的用户通过所述认证服务系统管理的或某个商户的接入设备上网。所述用户黑名单包括应用级别的用户标识，如用户名、电话号码、银行账号等。因此，根据本发明的示例性实施例，所述用于设备认证的方法还包括:如果在与所述用户设备执行认证的过程中，确定认证用户的标识在预设的用户黑名单中，向所述用户设备发送拒绝认证的消息。
[0082]图5是根据本发明的示例性实施例的用于设备认证的装置的逻辑框图。
[0083]参照图5，所述用于设备认证的装置包括网络访问请求接收单元510、请求放行单元520和访问请求重定向单元530。
[0084]网络访问请求接收单元510用于从用户设备接收网络访问请求。
[0085]请求放行单元520用于如果认证设备列表中包括所述用户设备的设备标识，则对所述网络访问请求放行。
[0086]访问请求重定向单元530用于如果认证设备列表中不包括所述用户设备的设备标识，并且所述网络访问请求中不包括令牌，则将用于指示用户设备向认证管理设备120进行认证的重定向消息发送给所述用户设备。
[0087]根据本发明的示例性实施例，所述装置还包括:校验请求发送单元540以及校验结果接收和处理单元550。
[0088]校验请求发送单元540用于如果所述网络访问请求包括用户设备的令牌，则将包括所述用户设备的设备标识和所述令牌的身份校验请求发送给认证管理设备120。
[0089]校验结果接收和处理单元550用于从认证管理设备120接收校验结果信息，根据校验成功的结果将所述用户设备的设备标识存储在所述认证设备列表中，并且通过请求放行单元520对所述网络访问请求放行。
[0090]根据本发明的优选实施例，所述装置还包括:IP地址白名单匹配单元(未示出)，用于从预先设置的IP地址白名单匹配所述网络访问请求中的访问目标地址。其中，如果所述IP地址白名单匹配单元从所述IP地址白名单匹配到所述网络访问请求中的访问目标地址，则请求放行单元520对所述网络访问请求放行。
[0091]根据本发明的所述优选实施例，访问请求重定向单元530用于如果所述认证设备列表中不包括用户设备的设备标识，所述网络访问请求中不包括令牌，并且通过所述IP地址白名单匹配单元从所述IP地址白名单没有匹配到所述网络访问请求中的访问目标地址，则访问请求重定向单元530将用于指示用户设备向认证管理设备120进行认证的重定向消息发送给所述用户设备。
[0092]根据本发明的另一优选实施例，所述装置还包括DNS解析数据传送单元(未示出)。所述DNS解析数据传送单元用于收集指定域名的DNS解析数据，并且按照预定的规则将所述DNS解析数据上传给预定的DNS分发设备。此外，所述装置还包括:DNS解析数据接收单元，用于从所述DNS分发设备接收DNS解析数据，并且根据接收的DNS解析数据更新所述IP地址白名单中所述指定域名的IP地址。其中，所述DNS分发设备是接入设备管理设备或分布式的DNS数据管理设备。
[0093]图6是根据本发明的示例性实施例的认证管理设备的逻辑框图。
[0094]参照图6，所述用于设备认证的装置包括第一认证请求接收单元610、服务商信息获取单元620、认证请求重定向单元630、认证结果接收单元640、令牌生成单元650和令牌发送单元660。
[0095]第一认证请求接收单元610用于从用户设备接收包括接入设备的设备标识的认证请求。
[0096]服务商信息获取单元620用于根据所述接入设备的设备标识获取服务商标识。具体地，服务商信息获取单元620用于根据所述设备标识从服务商设备数据库获取所述服务商标识，所述服务商设备数据库包括为所述服务商配置的接入设备的信息。
[0097]认证请求重定向单元630用于将包括所述服务商标识的认证请求重定向到定制登录设备130或转发给定制登录设备130。
[0098]认证结果接收单元640用于从定制登录设备130接收包括所述用户设备的设备标识的认证结果响应。
[0099]令牌生成单元650用于如果第一认证请求接收单元610接收到的认证结果响应指示认证成功，则生成唯一的令牌。
[0100]令牌发送单元660用于将令牌生成单元650生成的令牌发送给定制登录设备130，并且存储所述用户设备的设备标识和所述令牌的映射信息。
[0101]根据本发明的优选实施例，所述用于设备认证的装置还包括:校验请求接收单元，用于从接入设备110接收包括设备标识和令牌的身份校验请求；校验执行单元，用于根据存储的映射信息对接收的设备标识和令牌进行合法性校验；校验结果发送单元，用于将校验结果信息发送给接入设备110。
[0102]图7是根据本发明的示例性实施例的定制登录设备的逻辑框图。
[0103]参照图7，所述用于设备认证的装置包括第二认证请求接收单元710、认证信息获取单元720、认证执行单元730、认证结果发送单元740和令牌传递单元750。
[0104]第二认证请求接收单元710用于接收来自用户设备的认证请求，所述认证请求包括服务商标识。第二认证请求接收单元710从所述用户设备或认证管理设备120接收所述认证请求。
[0105]认证信息获取单元720用于根据所述服务商标识获取相应的认证方式信息。具体地，认证信息获取单元720用于根据所述服务商标识从服务商设备认证信息数据库获取所述相应的认证方式信息。
[0106]认证执行单元730用于根据所述认证方式信息与所述用户设备执行认证。
[0107]认证结果发送单元740用于将包括所述用户设备的设备标识的认证结果响应发送给认证管理设备120。
[0108]令牌传递单元750用于从认证管理设备120接收令牌，并且将所述令牌发送给所述用户设备。
[0109]根据本发明的优选实施例，所述装置还包括:缓存数据获取单元，用于在与所述用户设备执行认证的过程中，从预定的内容缓存服务器获取用于认证的数据。
[0110]根据本发明的另一优选实施例，所述装置还包括:增值服务推送单元，用于在与所述用户设备执行认证的过程中，向所述用户设备推送增值服务信息。
[0111]根据本发明的另一优选实施例，所述认证执行单元还用于如果在与所述用户设备执行认证的过程中，确定认证用户的标识在预设的用户黑名单中，向所述用户设备发送拒绝认证的消息。
[0112]本发明还提出一种认证服务系统，其包括接入设备110、认证管理设备以及定制登录设备。其中，所述接入设备包括如图5所示的用于设备认证的装置，所述认证管理设备包括如图6所示的用于设备认证的装置，并且所述定制登录设备包括如图7所示的用于设备认证的装置。
[0113]根据本发明的优选实施例，所述系统还包括:接入设备管理设备，用于从远程对所述系统管理的接入设备进行设置和控制，包括开启和关闭接入设备、向所述接入设备推送IP地址白名单和/或向接入设备推送DNS解析数据。
[0114]根据本发明的另一优选实施例，所述系统还包括:DNS数据分发设备，用于直接或通过所述接入设备管理设备向所述系统管理的接入设备推送第一 DNS解析数据，并且用于直接或通过所述接入设备管理设备从所述系统管理的接入设备接收第二 DNS解析数据并将所述第二 DNS解析数据整合成为所述第一 DNS解析数据。
[0115]根据本发明的另一优选实施例，所述系统还包括:增值服务设备，用于向所述定制登录设备提供增值服务信息。
[0116]根据本发明的另一优选实施例，所述系统还包括:数据缓存设备，用于存储认证所需的数据，并用于向所述定制登录设备提供所述数据。
[0117]根据本发明实施例的用于设备认证的方法、装置及认证服务系统，可为商户提供并定制用户设备的认证服务，商户仅需要在所述认证服务系统中设置认证方式信息并且登记其要提供上网服务的接入设备的信息，即可为其服务用户提供上网服务，从而可快速搭建无线上网系统，为商户屏蔽复杂的WiFi认证过程。
[0118]上述根据本发明的方法可在硬件、固件中实现，或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码，或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如，RAM、R0M、闪存等)，当所述软件或计算机代码被计算机、处理器或硬件访问且执行时，实现在此描述的处理方法。此外，当通用计算机访问用于实现在此示出的处理的代码时，代码的执行将通用计算机转换为用于执行在此示出的处理的专用计算机。
[0119]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。
【权利要求】
1.一种用于设备认证的方法，其特征在于，所述方法包括: 从用户设备接收网络访问请求； 如果认证设备列表中包括所述用户设备的设备标识，则对所述网络访问请求放行； 如果所述认证设备列表中不包括所述用户设备的设备标识，并且所述网络访问请求中不包括令牌，则将用于指示用户设备向所述认证管理设备进行认证的重定向消息发送给所述用户设备。
2.根据权利要求1所述的方法，其特征在于，所述方法还包括: 如果所述网络访问请求包括用户设备的令牌，则将包括所述用户设备的设备标识和所述令牌的身份校验请求发送给所述认证管理设备，从所述认证管理设备接收校验结果信息，根据校验成功的结果将所述用户设备的设备标识存储在所述认证设备列表中，并且对所述网络访问请求放行。
3.根据权利要求2所述的方法，其特征在于，所述方法还包括: 如果从预先设置的IP地址白名单匹配到所述网络访问请求中的访问目标地址，则对所述网络访问请求放行。
4.根据权利要求3所述的方法，其特征在于，所述方法还包括: 如果所述认证设备列表中不包括所述用户设备的设备标识，所述网络访问请求中不包括令牌，并且从所述IP地址白名单没有匹配到所述网络访问请求中的访问目标地址，则将用于指示用户设备向所述认证管理设备进行认证的重定向消息发送给所述用户设备。
5.根据权利要求3?4中任一项所述的方法，其特征在于，所述方法还包括: 收集指定域名的DNS解析数据，并且按照预定的规则将所述DNS解析数据上传给预定的DNS分发设备。
6.根据权利要求5所述的方法，其特征在于，所述方法还包括: 从所述DNS分发设备接收DNS解析数据，并且根据接收的DNS解析数据更新所述IP地址白名单中所述指定域名的IP地址。
7.根据权利要求6所述的方法，其特征在于，所述DNS分发设备是接入设备管理设备或分布式的DNS数据管理设备。
8.一种用于设备认证的方法，其特征在于，所述方法包括: 从用户设备接收包括接入设备的设备标识的认证请求； 根据所述接入设备的设备标识获取服务商标识； 将包括所述服务商标识的认证请求重定向到定制登录设备或转发给所述定制登录设备; 从所述定制登录设备接收包括所述用户设备的设备标识的认证结果响应； 如果接收到的认证结果响应指示认证成功，则生成唯一的令牌，将所述令牌发送给所述定制登录设备，并且存储所述用户设备的设备标识和所述令牌的映射信息。
9.根据权利要求8所述的方法，其特征在于，所述根据所述设备标识获取服务商标识的处理包括: 根据所述设备标识从服务商设备数据库获取所述服务商标识，所述服务商设备数据库包括为所述服务商配置的接入设备的信息。
10.根据权利要求8或9所述的方法，其特征在于，所述方法还包括: 从所述接入设备接收包括设备标识和令牌的身份校验请求； 根据存储的映射信息对接收的设备标识和令牌进行合法性校验； 将校验结果信息发送给所述接入设备。
11.一种用于设备认证的方法，其特征在于，所述方法包括: 接收来自用户设备的认证请求，所述认证请求包括服务商标识接入设备； 根据所述服务商标识获取相应的认证方式信息； 根据所述认证方式信息与所述用户设备执行认证； 将包括所述用户设备的设备标识的认证结果响应发送给认证管理设备； 从所述认证管理设备接收令牌，并且将所述令牌发送给所述用户设备。
12.根据权利要求11所述的方法，其特征在于，所述根据所述服务商标识获取相应的认证方式信息的处理包括: 根据所述服务商标识从服务商设备认证信息数据库获取所述相应的认证方式信息。
13.根据权利要求12所述的方法，其特征在于，所述接收来自用户设备的认证请求的处理包括: 从所述用户设备或认证管理设备接收所述认证请求。
14.根据权利要求11?13中任一项所述的方法，其特征在于，所述方法还包括: 在与所述用户设备执行认证的过程中，向所述用户设备推送增值服务信息。
15.根据权利要求12所述的方法，其特征在于，所述方法还包括: 如果在与所述用户设备执行认证的过程中，确定认证用户的标识在预设的用户黑名单中，向所述用户设备发送拒绝认证的消息。
16.一种用于设备认证的装置，其特征在于，所述装置包括: 网络访问请求接收单元，用于从用户设备接收网络访问请求； 请求放行单元，用于如果认证设备列表中包括所述用户设备的设备标识，则对所述网络访问请求放行； 访问请求重定向单元，用于如果所述认证设备列表中不包括所述用户设备的设备标识，并且所述网络访问请求中不包括令牌，则将用于指示用户设备向所述认证管理设备进行认证的重定向消息发送给所述用户设备。
17.根据权利要求16所述的装置，其特征在于，所述装置还包括: 校验请求发送单元，用于如果所述网络访问请求包括用户设备的令牌，则将包括所述用户设备的设备标识和所述令牌的身份校验请求发送给所述认证管理设备； 校验结果接收和处理单元，用于从所述认证管理设备接收校验结果信息，根据校验成功的结果将所述用户设备的设备标识存储在所述认证设备列表中，并且通过所述请求放行单元对所述网络访问请求放行。
18.根据权利要求17所述的装置，其特征在于，所述装置还包括: IP地址白名单匹配单元，用于从预先设置的IP地址白名单匹配所述网络访问请求中的访问目标地址， 其中，如果所述IP地址白名单匹配单元从所述IP地址白名单匹配到所述网络访问请求中的访问目标地址，则所述请求放行单元对所述网络访问请求放行。
19.根据权利要求18所述的装置，其特征在于，所述访问请求重定向单元用于如果所述认证设备列表中不包括用户设备的设备标识，所述网络访问请求中不包括令牌，并且通过所述IP地址白名单匹配单元从所述IP地址白名单没有匹配到所述网络访问请求中的访问目标地址，则所述访问请求重定向单元将用于指示用户设备向所述认证管理设备进行认证的重定向消息发送给所述用户设备。
20.根据权利要求18?19中任一项所述的装置，其特征在于，所述装置还包括: DNS解析数据传送单元，用于收集指定域名的DNS解析数据，并且按照预定的规则将所述DNS解析数据上传给预定的DNS分发设备。
21.根据权利要求20所述的装置，其特征在于，所述装置还包括: DNS解析数据接收单元，用于从所述DNS分发设备接收DNS解析数据，并且根据接收的DNS解析数据更新所述IP地址白名单中所述指定域名的IP地址。
22.根据权利要求21所述的装置，其特征在于，所述DNS分发设备是接入设备管理设备或分布式的DNS数据管理设备。
23.一种用于设备认证的装置，其特征在于，所述装置包括: 认证请求接收单元，用于从用户设备接收包括接入设备的设备标识的认证请求； 服务商信息获取单元，用于根据所述接入设备的设备标识获取服务商标识； 认证请求重定向单元，用于将包括所述服务商标识的认证请求重定向到定制登录设备或转发给所述定制登录设备； 认证结果接收单元，用于从所述定制登录设备接收包括所述用户设备的设备标识的认证结果响应； 令牌生成单元，用于如果所述认证请求接收单元接收到的认证结果响应指示认证成功，则生成唯一的令牌； 令牌发送单元，用于将所述令牌生成单元生成的令牌发送给所述定制登录设备，并且存储所述用户设备的设备标识和所述令牌的映射信息。
24.根据权利要求23所述的装置，其特征在于，所述服务商信息获取单元用于根据所述设备标识从服务商设备数据库获取所述服务商标识，所述服务商设备数据库包括为所述服务商配置的接入设备的信息。
25.根据权利要求23或24所述的装置，其特征在于，所述装置还包括: 校验请求接收单元，用于从所述接入设备接收包括设备标识和令牌的身份校验请求； 校验执行单元，用于根据存储的映射信息对接收的设备标识和令牌进行合法性校验； 校验结果发送单元，用于将校验结果信息发送给所述接入设备。
26.一种用于设备认证的装置，其特征在于，所述装置包括: 认证请求接收单元，用于接收来自用户设备的认证请求，所述认证请求包括服务商标识； 认证信息获取单元，用于根据所述服务商标识获取相应的认证方式信息； 认证执行单元，用于根据所述认证方式信息与所述用户设备执行认证； 认证结果发送单元，用于将包括所述用户设备的设备标识的认证结果响应发送给认证管理设备； 令牌传递单元，用于从所述认证管理设备接收令牌，并且将所述令牌发送给所述用户设备。
27.根据权利要求26所述的装置，其特征在于，所述认证信息获取单元用于根据所述服务商标识从服务商设备认证信息数据库获取所述相应的认证方式信息。
28.根据权利要求27所述的装置，其特征在于，所述认证请求接收单元用于从所述用户设备或认证管理设备接收所述认证请求。
29.根据权利要求26?28中任一项所述的装置，其特征在于，所述装置还包括: 增值服务推送单元，用于在与所述用户设备执行认证的过程中，向所述用户设备推送增值服务信息。
30.根据权利要求27所述的装置，其特征在于，所述认证执行单元还用于如果在与所述用户设备执行认证的过程中，确定认证用户的标识在预设的用户黑名单中，向所述用户设备发送拒绝认证的消息。
31.一种认证服务系统，其特征在于，包括: 接入设备，包括如权利要求16?19中任一项所述的用于设备认证的装置， 认证管理设备，包括如权利要求23?25中任一项所述的用于设备认证的装置， 定制登录设备，包括如权利要求26?28中任一项所述的用于设备认证的装置。
32.根据权利要求31所述的系统，其特征在于，所述系统还包括:接入设备管理设备，用于从远程对所述系统管理的接入设备进行设置和控制，包括开启和关闭接入设备、向所述接入设备推送IP地址白名单和/或向接入设备推送DNS解析数据。
33.根据权利要求32所述的系统，其特征在于，所述系统还包括:DNS数据分发设备，用于直接或通过所述接入设备管理设备向所述系统管理的接入设备推送第一 DNS解析数据，并且用于直接或通过所述接入设备管理设备从所述系统管理的接入设备接收第二 DNS解析数据并将所述第二 DNS解析数据整合成为所述第一 DNS解析数据。
34.根据权利要求31?33中任一项所述的系统，其特征在于，所述系统还包括:增值服务设备，用于向所述定制登录设备提供增值服务信息。
35.根据权利要求34所述的系统，其特征在于，所述系统还包括:数据缓存设备，用于存储认证所需的部分数据，并用 于向用户设备提供所述数据。
【文档编号】H04L29/06GK104506510SQ201410778838
【公开日】2015年4月8日 申请日期:2014年12月15日 优先权日:2014年12月15日
【发明者】陈炜于, 刘四维, 欧阳显雅 申请人:百度在线网络技术（北京）有限公司