本发明涉及通信网络技术领域,特别是一种WLAN认证方法、认证平台和门户服务器。
背景技术:
用户接入无线网络时,无论采用的是WLAN(Wireless Local Area Networks,无线局域网)接入、LAN(Local Area Networks,局域网)接入还是DSL(Digital Subscriber Line,数字用户线路)接入等接入方式,网络侧都要对用户进行接入认证(如采用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)+PORTAL(入口)认证、PPPoE(PPP over Ethernet,以太网上的点对点协议)认证),确认是否是合法的用户,以及确定用户享有的权限(如:接入带宽)等。
随着互联网技术的迅猛发展,微信、QQ、支付宝和微博等互联网公众平台(以下简称为“第三方公众平台”)均具有对用户进行认证的功能,在这些互联网公众平台注册的合法用户均能享受相应的服务。
目前支持采用第三方公众平台认证方式的接入网均是商家和互联网平台公司合作的、或互联网企业建设的,在商家/企业WLAN AP(Access Point,接入点)/AC(Access Controller,接入控制器)安装第三方公众平台的插件,第三方公众平台将对用户互联网身份的判别结果返馈给AP/AC来控制用户上网的权限,用户的认证信、计费等信息均在第三方公众平台侧,这样的方式过于依赖第三方公众平台;另外,由于不同的第三方公众平台相对独立,用户能够接入的网络受到该网络与第三方公众平台合作协议的限制,影响用户的使用。
技术实现要素:
本发明的一个目的在于提供一种利用互联网用户信息进行WLAN接入认证的方案。
根据本发明的一个方面,提出一种WLAN认证方法,包括:认证平台获取来自第三方公众平台的用户上网请求,用户上网请求中包括用户互联网身份信息;将用户互联网身份信息通过认证授权计费AAA服务器进行验证,当验证通过时,从AAA服务器获取用户手机号码;根据用户互联网身份信息从门户服务器获取上网验证链接;根据用户手机号码将上网验证链接经短信平台发送至用户手机终端进行上网认证。
可选地,用户互联网身份信息包括第三方公众平台的公众平台标识和用户在第三方公众平台的账号信息。
可选地,还包括:若AAA服务器返回的验证通过信息中不包括用户手机号码,则:通过第三方公众平台向用户发送号码请求;接收来自第三方公众平台转发的用户手机号码。
可选地,还包括:将从第三方公众平台获取的用户手机号码发送给AAA服务器存储以与用户互联网身份信息绑定。
可选地,还包括:从第三方公众平台获取用户在第三方公众平台的账号信息;将账号信息和公众平台标识发送给AAA服务器存储。
可选地,还包括:获取来自第三方公众平台的用户销户事件,用户销户事件中包括用户互联网身份信息;向AAA服务器发送用户销户请求,用户销户请求中包括用户互联网身份信息;接收来自AAA服务器的销户确认消息。
可选地,还包括:门户服务器接收来自用户的访问信息,其中,访问信息由用户通过上网验证链接接入的认证点设备重定向到门户服务器,访问信息中包括用户互联网身份信息、接入位置信息和用户终端信息,接入位置信息包括用户接入的认证点设备的信息;门户服务器获取用户互联网身份信息与接入位置信息的对应关系,生成用户认证信息;门户服务器将用户认证信息发送给认证点设备,以便认证点设备在通过AAA服务器的验证后开放用户上网权限。
可选地,根据用户互联网身份信息从门户服务器获取上网验证链接:认证平台将用户互联网身份信息发送给门户服务器;门户服务器根据用户互联网身份信息和时间戳,基于加密算法生成用户临时身份信息;门户服务器根据用户临时身份信息和访问目标地址生成上网验证链接;门户服务器将上网验证链接返回给认证平台。
可选地,访问信息中包括用户临时身份信息、接入位置信息和用户终端信息;门户服务器获取用户互联网身份信息与接入位置信息的对应关系,生成用户认证信息包括:门户服务器根据用户临时身份信息确定用户互联网身份信息;门户服务器确定用户互联网身份信息与接入位置信息的对应关系,生成用户认证信息。
通过这样的方法,认证平台能够根据用户上网请求中的用户互联网身份信息,基于AAA服务器中存储的用户互联网身份信息进行认证;当认证通过时,将生成的上网验证链接发送到用户手机号码,以便用户通过该上网验证链接接入网络。
根据本发明的另一个方面,提出一种认证平台,包括:上网请求获取模块,用于获取来自第三方公众平台的用户上网请求,用户上网请求中包括用户互联网身份信息;验证请求模块,用于将用户互联网身份信息通过认证授权计费AAA服务器进行验证,当验证通过时,从AAA服务器获取用户手机号码;验证链接获取模块,用于根据用户互联网身份信息从门户服务器获取上网验证链接;验证短信发送模块,用于根据用户手机号码将上网验证链接经短信平台发送至用户手机终端进行上网认证。
可选地,用户互联网身份信息包括第三方公众平台的公众平台标识和用户在第三方公众平台的账号信息。
可选地,还包括:号码请求发送模块,用于当AAA服务器返回的验证通过信息中不包括用户手机号码时,通过第三方公众平台向用户发送号码请求;号码接收模块,用于接收来自第三方公众平台转发的用户手机号码。
可选地,还包括:号码发送模块,用于将从第三方公众平台获取的用户手机号码发送给AAA服务器存储以与用户互联网身份信息绑定。
可选地,还包括:用户账号信息获取模块,用于从第三方公众平台获取用户在第三方公众平台的账号信息;用户账号信息发送模块,用于将账号信息和公众平台标识发送给AAA服务器存储。
可选地,还包括:销户事件获取模块,用于获取来自第三方公众平台的用户销户事件,用户销户事件中包括用户互联网身份信息;销户请求发送模块,用于向AAA服务器发送用户销户请求,用户销户请求中包括用户互联网身份信息;销户确认模块,用于接收来自AAA服务器的销户确认消息。
这样的认证平台能够根据用户上网请求中的用户互联网身份信息,基于AAA服务器中存储的用户互联网身份信息进行验证;当身份验证通过时,将生成的上网验证链接发送到用户终端,以便用户通过该上网验证链接进行接入认证。
根据本发明的又一个方面,提出一种门户服务器,包括:访问信息获取模块,用于接收来自用户的访问信息,其中,访问信息由用户通过上网验证链接接入的认证点设备重定向到门户服务器,访问信息中包括用户互联网身份信息、接入位置信息和用户终端信息,接入位置信息包括用户接入的认证点设备的信息;认证信息生成模块,用于获取用户互联网身份信息与接入位置信息的对应关系,生成用户认证信息;认证信息发送模块,用于将用户认证信息发送给认证点设备,以便认证点设备在通过AAA服务器的验证后开放用户上网权限。
可选地,还包括:上网认证连接生成模块,用于:接收来自认证平台的用户互联网身份信息;根据用户互联网身份信息和时间戳,基于加密算法生成用户临时身份信息;根据用户临时身份信息和访问目标地址生成上网验证链接;将上网验证链接返回给认证平台。
可选地,访问信息中包括用户临时身份信息、接入位置信息和用户终端信息;认证信息生成模块具体用于:根据用户临时身份信息确定用户互联网身份信息;确定用户互联网身份信息与接入位置信息的对应关系,生成用户认证信息。
这样的门户服务器能够从重定向到自身的访问信息中获取用户的身份信息和接入位置信息,将两者进行绑定,再向AAA服务器进行认证,以便在通过验证后开放上网权限,从而实现了用户终端在任意认证点设备进行验证登录,摆脱了公众平台与网络合作协议对采用公众平台账号认证登录网络的限制,提高了采用互联网用户信息认证登录网络的利用率。
根据本发明的再一个方面,提出一种WLAN认证系统,包括:上文中提到的任意一种认证平台;和,上文中提到的任意一种门户服务器。
这样的WLAN认证系统能够根据用户上网请求中的用户互联网身份信息,基于AAA服务器中存储的用户互联网身份信息进行认证,将生成的上网验证链接发送到用户终端;从用户访问信息中获取用户的身份信息和接入位置信息,将两者进行绑定,再向AAA服务器进行认证,以便在通过验证后在认证点设备开放用户的上网权限,从而实现了基于网络运营商的认证平台进行用户身份认证,摆脱了第三方公众平台与网络合作协议对采用公众平台账号认证登录网络的限制,提高了采用互联网用户信息认证登录网络的可用性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明的WLAN认证方法的一个实施例的流程图。
图2为本发明的WLAN认证方法的另一个实施例的流程图。
图3为本发明的WLAN认证方法的又一个实施例的流程图。
图4为本发明的WLAN认证方法的再一个实施例的流程图。
图5为本发明的认证平台的一个实施例的示意图。
图6为本发明的认证平台的另一个实施例的示意图。
图7为本发明的认证平台的再一个实施例的示意图。
图8为本发明的门户服务器的一个实施例的示意图。
图9为本发明的WLAN认证系统的一个实施例的示意图。
图10为本发明的WLAN认证系统的一个实施例的信令流程图。
图11为本发明的WLAN认证系统的另一个实施例的信令流程图。
图12为本发明的WLAN认证系统的又一个实施例的信令流程图。
图13为本发明的WLAN认证系统的再一个实施例的信令流程图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
本发明的WLAN认证方法的一个实施例的流程图如图1所示。
在步骤101中,认证平台获取来自第三方公众平台的用户上网请求,用户上网请求中包括用户互联网身份信息。在一个实施例中,用户互联网身份信息包括第三方公众平台的公众平台标识、和用户在第三方公众平台的账号信息。
在步骤102中,将用户互联网身份信息发送到AAA服务器中进行身份验证。在一个实施例中,认证平台将公众平台标识和用户账号信息(如OpenID)发送给AAA服务器。AAA服务器查找自身存储的信息,若存在与从认证平台获取的用户互联网身份信息,则认证成功,否则认证失败。在认证成功的情况下,AAA服务器会根据自身存储的信息查找与该用户互联网身份信息绑定的用户手机号码,并发送给认证平台。
在步骤103中,根据用户互联网身份信息从门户服务器获取上网验证链接。在一个实施例中,认证平台将用户互联网身份信息发送给门户服务器,门户服务器会生成与用户互联网身份信息相关的上网验证链接,并返回给认证平台。在一个实施例中,门户服务器将用户互联网身份信息、公众平台标识、时间戳、随机数等信息生成用户临时身份信息,根据用户临时身份信息和访问的目标地址信息生成上网验证链接。在一个实施例中,门户服务器可以对用户临时身份信息加密。在一个实施例中,用户临时身份信息仅在预定时间内有效。
在步骤104中,根据用户手机号码将上网验证链接经短信平台发送至用户终端进行上网认证。在一个实施例中,认证平台将上网验证链接发送给短信平台,短信平台会将上网验证链接发送到用户终端,用户通过点击该上网验证链接登录认证点设备,由于上网验证链接中包括用户互联网身份信息,因此根据用户登录的认证点设备标识和用户互联网身份信息能够实现上网认证。
通过这样的方法,认证平台能够根据用户上网请求中的用户互联网身份信息,基于AAA服务器中存储的用户互联网身份信息进行身份验证;当认证通过时,将生成的上网验证链接发送到用户手机号码,以便用户通过该上网验证链接接入网络。
在一个实施例中,用户互联网身份信息还可以包括用户关注的商家信息,若用户并未关注想要接入的网络的所属商家则可以禁止用户接入该网络,从而提高商家的关注量。
在一个实施例中,当用户在第三方公众平台注册后,第三方公众平台会将用户账户信息发送给认证平台,认证平台将用户账户信息和该第三方公众平台的公众平台标识发送给AAA服务器存储作为用户开户信息,从而实现在AAA服务器存储用户互联网账户信息,解除用户采用互联网账户信息进行WLAN认证过程中对于互联网平台的依赖。在一个实施例中,认证平台可以一次性获取第三方公众平台的已注册用户信息,从而实现认证平台与第三方公众平台用户账户信息的同步。
在一个实施例中,可以通过第三方公众平台请求用户输入自身手机号码以进行首次登陆丰富AAA服务器中的信息。本发明的WLAN认证方法的另一个实施例的流程图如图2所示。
在步骤201中,认证平台获取来自第三方公众平台的用户上网请求,用户上网请求中包括用户互联网身份信息。
在步骤202中,认证平台将用户互联网身份信息发送给AAA服务器。若AAA服务器未验证成功,则不返回验证通过信息。若AAA服务器认证成功,则会返回验证通过信息。认证平台接收AAA服务器返回的验证通过信息。
在步骤203中,判断验证通过信息中是否包括用户手机号码。若包括用户手机号码,则执行步骤206;若不包括用户手机号码,则执行步骤204。
在步骤204中,通过第三方公众平台向用户发送号码请求。在一个实施例中,可以经第三方公众平台向用户显示欢迎页面,页面中包括用户手机号码请求。在一个实施例中,为了避免用户输入错误的手机号码,可以向用户手机号码发送验证码并要求用户输入验证码。
在步骤205中,当用户在第三方公众平台输入用户手机号码时,认证平台从第三方公众平台获取用户手机号码。在一个实施例中,认证平台将用户手机号码发送到AAA服务器存储与用户互联网身份信息绑定,以便在用户下一次请求认证时从AAA服务器获取用户手机号码。
在步骤206中,根据用户互联网身份信息从门户服务器获取上网验证链接。在一个实施例中,门户服务器将用户互联网身份信息、公众平台标识、时间戳、随机数等信息生成用户临时身份信息,对用户临时身份信息加密,将用户临时身份信息与访问的目标地址信息生成上网验证链接。在一个实施例中,用户临时身份信息仅在预定时间内有效。
在步骤207中,将上网验证链接经短信平台发送至用户终端进行上网认证。
通过这样的方法,认证平台能够判断用户是否是首次进行认证。若是首次认证,则通过第三方公众平台获取用户手机号码,从而能够将上网验证链接发送到用户终端以进行上网认证。
本发明的WLAN认证方法的又一个实施例的流程图如图3所示。
在步骤301中,门户服务器接收来自用户的访问信息。在一个实施例中,当用户点击短信中的上网验证链接时,访问认证点设备BRAS(Broadband Remote Access Server,宽带远程接入服务器)/AC,认证点设备将访问请求强制重定向到门户服务器。访问信息中包括用户互联网身份信息、接入位置信息和用户终端信息,接入位置信息包括用户接入的认证点设备的信息。用户终端信息可以包括终端IP(Internet Protocol Address,互联网协议地址)、MAC(Media Access Control媒体访问控制)地址等。在一个实施例中,访问信息中的用户互联网身份信息可以是在链接生成时经由门户服务器生成了用户临时身份信息,具有一定的有效期。
在步骤302中,门户服务器获取用户互联网身份信息与接入位置信息的对应关系,生成用户认证信息。在一个实施例中,若访问信息中包括用户临时身份信息,则门户服务器可以根据用户临时身份信息确定用户互联网身份信息,然后基于用户临时身份信息与接入位置信息的对应关系确定用户互联网身份信息与接入位置信息的对应关系,从而生成用户认证信息。
在步骤303中,门户服务器将用户认证信息发送给认证点设备,以便认证点设备在通过AAA服务器的验证后开放用户上网权限。
当前,与运营商合作覆盖WLAN的商家和企业纷纷要求将微信、QQ或支付宝等第三方互联网公众平台认证方式作为电信网络一种便捷的接入认证,以便用户直接进入这些商家和企业开设的微信/QQ之类的页面,观看相应的产品宣传和服务内容等,达到产品宣传的效果;用户也无须再进行其它接入方式的认证,提升用户使用网络的体验。
在现有的运营商WLAN网络中都有运营商自己的认证中心,但无法根据用户互联网信息获取用户的具体接入位置,无法通知BRAS(或AC)放开用户上网权限,因此现有技术中并不支持第三方公众平台账号进行。
通过上述实施例中的方法,门户服务器能够根据获取的包含用户互联网身份信息、接入位置信息和用户临时身份信息的访问信息进行用户身份和认证点设备的联系,以便认证点设备经AAA服务器的验证后开放上网权限。
在一个实施例中,当认证点设备经AAA服务器认证成功后,可以向门户服务器返回认证通过结果。门户服务器向用户终端推送认证结果页面。
通过这样的方法,门户服务器能够向用户展示认证结果页面,方便用户明确已经接入网络,以便用户应用网络,提高了用户体验。
本发明的WLAN认证方法的再一个实施例的流程图如图4所示。
在步骤401中,获取来自第三方公众平台的用户销户事件,用户销户事件中包括用户互联网身份信息。在一个实施例中,可以通过平台间协议,当用户销户时主动向认证平台推送用户销户事件。
在步骤402中,向AAA服务器发送用户销户请求,用户销户请求中包括用户互联网身份信息。
在步骤403中,接收来自AAA服务器的销户确认消息。
通过这样的方法,当用户在第三方公众平台销户时,认证平台也可以进行同步销户,以保证在用户销户后不会再利用之前的第三方公众平台账号通过验证,从而提高网络安全。
本发明的认证平台的一个实施例的示意图如图5所示。其中,上网请求获取模块501能够获取来自第三方公众平台的用户上网请求,用户上网请求中包括用户互联网身份信息。在一个实施例中,用户互联网身份信息包括第三方公众平台的公众平台标识和用户在第三方公众平台的账号信息。验证请求模块502能够将所述用户互联网身份信息通过认证授权计费AAA服务器进行验证,AAA服务器会查找自身存储的信息,若存在与从认证平台获取的用户互联网身份信息,则认证成功,否则认证失败。在认证成功的情况下,AAA服务器会根据自身存储的信息查找与该用户互联网身份信息绑定的用户手机号码,并发送给认证平台,验证请求模块502能够接收来自AAA服务器的验证通过信息,并解析信息得到用户手机号码。验证链接获取模块503能够根据用户互联网身份信息从门户服务器获取上网验证链接。在一个实施例中,认证平台将用户互联网身份信息发送给门户服务器,门户服务器会生成与用户互联网身份信息相关的上网验证链接,并返回给认证平台。在一个实施例中,门户服务器将用户互联网身份信息、公众平台标识、时间戳、随机数等信息生成用户临时身份信息,将用户临时身份信息与访问的目标地址信息生成上网验证链接。在一个实施例中,可以对用户临时身份信息加密。在一个实施例中,用户临时身份信息仅在预定时间内有效。验证短信发送模块504能够根据用户手机号码将上网验证链接经短信平台发送至用户终端进行上网认证。在一个实施例中,认证平台将上网验证链接发送给短信平台,短信平台会将上网验证链接发送到用户终端,用户通过点击该上网验证链接登录认证点设备,由于上网验证链接中包括用户互联网身份信息,因此根据用户登录的认证点设备标识和用户互联网身份信息能够实现上网认证。
这样的认证平台能够根据用户上网请求中的用户互联网身份信息,基于AAA服务器中存储的用户互联网身份信息进行身份验证;当验证通过时,将生成的上网验证链接发送到用户手机号码,以便用户通过该上网验证链接接入网络。
在一个实施例中,用户互联网身份信息还可以包括用户关注的商家信息,若用户并未关注想要接入的网络的所属商家则可以禁止用户接入该网络,从而提高商家的关注量。
在一个实施例中,认证平台还包括用户账号信息获取模块和用户账号信息获取模块。其中,用户在第三方公众平台注册后,第三方公众平台会将用户账户信息发送给认证平台,用户账号信息获取模块接收用户账户信息作为用户开户信息。用户账号信息发送模块将用户账户信息和该第三方公众平台的公众平台标识发送给AAA服务器存储,从而实现在AAA服务器存储用户互联网账户信息,解除用户采用互联网账户信息进行WLAN认证过程中对于互联网平台的依赖。
在一个实施例中,可以通过第三方公众平台请求用户输入自身手机号码。本发明的认证平台的另一个实施例的示意图如图6所示。其中,上网请求获取模块601、验证请求模块602、验证链接获取模块603和验证短信发送模块604的结构和功能与图5的实施例中相似。认证平台还包括号码请求发送模块605和号码接收模块606,其中,当验证请求模块602获取的验证通过信息中不包括用户手机号码时,号码请求发送模块605向通过第三方公众平台向用户发送号码请求。在一个实施例中,可以经第三方公众平台向用户显示欢迎页面,页面中包括用户手机号码请求。在一个实施例中,为了避免用户输入错误的手机号码,可以向用户手机号码发送验证码并要求用户输入验证码。号码接收模块606从第三方公众平台获取用户输入的手机号码。在一个实施例中,认证平台还包括号码发送模块,能够将用户手机号码发送到AAA服务器存储,以便在用户下一次请求认证时从AAA服务器获取用户手机号码。
这样的认证平台能够判断用户是否是首次进行认证。若是首次认证,则通过第三方公众平台获取用户手机号码,从而能够将上网验证链接发送到用户手机终端以进行上网认证。
在一个实施例中,认证平台还包括销户事件获取模块、销户请求发送模块和销户确认模块。其中,销户事件获取模块能够获取来自第三方公众平台的用户销户事件,用户销户事件中包括用户互联网身份信息。在一个实施例中,可以通过平台间协议,当用户销户时主动向认证平台推送用户销户事件。销户请求发送模块能够向AAA服务器发送用户销户请求,用户销户请求中包括用户互联网身份信息。销户确认模块接收来自AAA服务器的销户确认消息。
这样的认证平台当用户在第三方公众平台销户时也可以进行同步销户,以保证在用户销户后不会再利用之前的第三方公众平台账号通过验证,从而提高了网络安全。
本发明的认证平台的再一个实施例的示意图如图7所示。其中,公众平台一701、公众平台二702……公众平台n703分别通过HTTP(HyperText Transfer Protocol,超文本传输协议)协议或其它协议与认证平台的公众平台一接口711、公众平台二接口712……公众平台n接口713进行交互。在一个实施例中,各个接口与公众平台可以采用公众平台的预定协议进行数据传输,以保证数据的顺利交互。认证平台的业务处理设备720执行上文中提到的任意一个实施例中认证平台的数据处理功能。认证平台侧接口730包括管理接口731、开户/销户管理接口732、短信发送管理接口733,分别通过HTTP或WebServer(网页服务器)协议、Socket接口协议、SMS(Short Message Service,短信息服务)协议或其它协议与门户服务器741、AAA服务器742以及短信平台743进行交互。
这样的认证平台能够采用不同的接口实现与不同的公众平台、门户服务器、AAA服务器以及短信平台的交互,通过不同设备之间的配合将生成的上网验证链接发送到用户手机号码,以便用户通过该上网验证链接接入网络。
本发明的门户服务器的一个实施例的示意图如图8所示。其中,访问信息获取模块801能够接收来自用户的访问信息。在一个实施例中,当用户点击短信中的上网验证链接时访问认证点设备,认证点设备将访问请求强制重定向到门户服务器。访问信息中包括用户互联网身份信息、接入位置信息和用户终端信息,接入位置信息包括用户接入的认证点设备的信息。用户终端信息可以包括终端IP(Internet Protocol Address,互联网协议地址)、MAC(Media Access Control媒体访问控制)地址等。在一个实施例中,用户互联网身份信息可以是门户服务器之前生成的用户临时身份信息,经过加密且具有一定的有效期。认证信息生成模块802能够获取用户互联网身份信息与接入位置信息的对应关系,生成用户认证信息。在一个实施例中,若访问信息中包括用户临时身份信息,则认证信息生成模块802可以根据用户临时身份信息确定用户互联网身份信息,然后基于用户临时身份信息与接入位置信息的对应关系确定用户互联网身份信息与接入位置信息的对应关系,从而生成用户认证信息。认证信息发送模块803能够将用户认证信息发送给认证点设备,以便认证点设备在通过AAA服务器的验证后开放用户上网权限。
这样的门户服务器能够根据获取的包含用户互联网身份信息、接入位置信息和用户临时身份信息的访问信息进行用户身份和认证点设备的联系,以便认证点设备经AAA服务器的验证后开放上网权限。
在一个实施例中,门户服务器还可以包括认证结果接收模块和认证结果推送模块,其中,认证结果接收模块能够在认证点设备经AAA服务器认证成功后,获取来自认证点设备的认证通过结果。认证结果推送模块向用户终端推送认证结果页面。
这样的门户服务器能够向用户展示认证结果页面,方便用户明确已经接入网络,以便用户应用网络,提高了用户体验。
本发明的WLAN认证系统的一个实施例的示意图如图9所示。其中,WLAN认证系统包括上文中提到的任意一种认证平台904和上文中提到的任意一种门户服务器905。用户终端通过接入网络901连接认证点设备908,经城域网902与认证平台904、第三方公众平台903、认证平台904、门户服务器905和AAA服务器906通信。短信平台907通过城域网902与认证平台904连接,通过城域网902或无线通信网络向用户终端发送短信。
这样的WLAN认证系统能够根据用户上网请求中的用户互联网身份信息,基于AAA服务器中存储的用户互联网身份信息进行认证,将生成的上网验证链接发送到用户手机号码;从用户访问信息中获取用户的身份信息和接入位置信息,将两者进行绑定,再向AAA服务器进行认证,以便在通过验证后在接入位置开放用户的上网权限,从而实现了用户终端在任意认证点设备进行验证登录,摆脱了公众平台与网络合作协议对采用公众平台账号认证登录网络的限制,提高了采用互联网用户信息认证登录网络的利用率。
当用户在第三方公众平台发起注册时,本发明的WLAN认证系统的一个实施例的信令流程图如图10所示。
在1001中,用户向第三方公众平台发送开户请求。
在1002中,第三方公众平台在通过用户身份验证后,向认证平台发送用户开户信息。
在1003中,认证平台提取用户在第三方公众平台的账号信息,以及第三方公众平台的平台标识,生成用户互联网身份信息。在一个实施例中,用户互联网身份信息中还可以包括用户关注的商家信息。
在1004中,认证平台将用户互联网身份信息转发给AAA服务器。
在1005中,AAA服务器完成对用户的开户操作,向认证平台返回确认信息。
这样的认证系统能够获取第三方公众平台的用户注册信息,从而实现在AAA服务器存储用户互联网账户信息,解除用户采用互联网账户信息进行WLAN认证过程中对于互联网平台的依赖。
在一个实施例中,当用户首次采用本发明的WLAN认证系统进行WLAN认证时,信令流程图如图11所示。
在1101中,用户向第三方公众平台发起上网请求。
在1102中,第三方公众平台将用户上网请求转发给认证平台。用户上网请求中包括用户互联网身份信息。
在1103中,认证平台提取用户互联网身份信息,并发送给AAA服务器。
在1104中,AAA服务器进行用户身份验证,若验证通过则向认证平台返回验证通过信息,由于此时AAA服务器中不包括该用户的手机号码信息,因此验证通过信息中不含用户手机号码。
在1105中,认证平台向第三方公众平台发送请求用户手机号码的信息。
在1106中,第三方公众平台向用户终端显示请输入手机号码的页面。在一个实施例中,第三方公众平台可以显示欢迎页面,并请求用户输入手机号码以获取验证码。
在1107中,用户输入手机号码。
在1108中,第三方公众平台将用户手机号码发送给认证平台。
在1109中,认证平台将用户手机号码转发给AAA服务器。
在1110中,认证平台向门户服务器申请上网验证链接。认证平台可以将用户互联网身份信息发送给门户服务器,门户服务器将用户互联网身份信息、公众平台标识、时间戳、随机数等信息生成用户临时身份信息,根据加密后的用户临时身份信息和访问的目标地址信息生成上网验证链接。
在1111中,门户服务器将上网验证链接反馈给认证平台。
在1112中,认证平台将上网验证链接和用户手机号码发送给短信平台。
在1113中,短信平台向用户手机号码发送含有上网验证链接的短信。
在1114中,用户通过点击上网验证链接接入认证点设备。
在1115中,认证点设备将链接强制重定向到门户服务器。
在1116中,用户终端访问门户服务器。门户服务器获取上网验证链接和进行重定向操作的认证点设备信息等接入点信息。
在1117中,门户服务器根据用户临时身份信息确定用户互联网身份信息,并根据用户临时身份信息与接入点信息的关联关系确定用户互联网身份信息与接入点信息的关联关系,生成用户认证信息。
在1118中,门户服务器将用户认证信息发送给认证点设备。
在1119中,认证点设备通过与AAA服务器之间的交互进行用户认证。
在1120中,认证点设备向门户服务器转发认证结果。
在1121中,若认证结果为认证通过,则门户服务器向用户终端推送认证成功网页。
在1122中,认证点设备开放用户上网权限。
在1123中,若需要对用户进行计费,则认证点设备告知AAA服务器开始计费。
这样的认证系统能够判断用户是否是首次进行认证。若是首次认证,则通过第三方公众平台获取用户手机号码,从而能够将上网验证链接发送到用户手机终端以进行上网认证;能够根据获取的包含用户互联网身份信息、接入位置信息和用户临时身份信息的访问信息进行用户身份和认证点设备的联系,经AAA服务器的验证后开放上网权限。
本发明的WLAN认证系统的又一个实施例的信令流程图如图12所示。
在1201中,用户向第三方公众平台发起上网请求。
在1202中,第三方公众平台在通过用户身份验证后,将用户上网请求转发给认证平台。用户上网请求中包括用户互联网身份信息。
在1203中,认证平台提取用户互联网身份信息,并发送给AAA服务器。
在1204中,AAA服务器进行用户身份验证。若验证通过则向认证平台反馈验证通过信息,且验证通过信息中含用户手机号码。
在1205中,认证平台向门户服务器申请上网验证链接。认证平台可以将用户互联网身份信息发送给门户服务器,门户服务器将用户互联网身份信息、公众平台标识、时间戳、随机数等信息生成用户临时身份信息,根据用户临时身份信息和访问的目标地址信息生成上网验证链接。
在1206中,门户服务器将上网验证链接反馈给认证平台。
在1207中,认证平台将上网验证链接和用户手机号码发送给短信平台。
在1208中,短信平台向用户手机号码发送含有上网验证链接的短信。
在1209中,用户通过点击上网验证链接接入认证点设备。
在1210中,认证点设备将链接强制重定向到门户服务器。
在1211中,用户终端访问门户服务器。门户服务器获取上网验证链接和进行重定向操作的认证点设备信息等接入点信息。
在1212中,门户服务器根据用户临时身份信息确定用户互联网身份信息,并根据用户临时身份信息与接入点信息的关联关系确定用户互联网身份信息与接入点信息的关联关系,生成用户认证信息。
在1213中,门户服务器将用户认证信息发送给认证点设备。
在1214中,认证点设备通过与AAA服务器之间的交互进行用户认证。
在1215中,认证点设备向门户服务器转发认证结果。
在1216中,若认证结果为认证通过,则门户服务器向用户终端推送认证成功网页。
在1217中,认证点设备开放用户上网权限。
在1218中,若需要对用户进行计费,则认证点设备告知AAA服务器开始计费。
这样的认证系统能够在用户非首次认证时从AAA服务器获取用户手机号码,能够将上网验证链接发送到用户手机终端以进行上网认证;能够根据获取的包含用户互联网身份信息、接入位置信息和用户临时身份信息的访问信息进行用户身份和认证点设备的联系,经AAA服务器的验证后开放上网权限。
本发明的WLAN认证系统的再一个实施例的信令流程图如图13所示。
在1301中,用户向第三方公众平台发送销户请求。
在1302中,第三方公众平台向认证平台发送用户销户事件。用户销户事件中包括第三方公众平台的公众平台标识和用户在该平台的注销账号信息。
在1303中,认证平台提取用户注销的账号信息和公众平台标识。
在1304中,认证平台向AAA服务器发送用户销户请求,用户销户请求中包括用户注销的账号信息和公众平台标识。
在1305中,AAA服务器在销户后向认证平台回复销户确认信息。
这样的认证系统能够当用户在第三方公众平台销户时,认证平台也进行同步销户,以保证在用户销户后不会再利用之前的第三方公众平台账号通过验证,从而提高网络安全。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。