一种portal认证方法、装置及系统与流程

本发明涉及数据通信领域，具体而言，涉及一种portal认证方法、系统、接入设备及认证服务器。

背景技术：

由于无线wifi的普及，portal认证也越来越广泛，并且基于ssid来区分不同的用户权限的应用场景也越来越多。特别是在办公大楼场所，大楼员工使用一个ssid(servicesetidentifier，服务集标识)接入，在访问外网的同时可以访问大楼的内部网络。而外来访客接入不同的ssid进行外网的访问。由于在portal认证的场景下，重定向推出的页面是基于http协议的，则用户可以通过篡改相关ssid参数欺骗portal服务器，从而接入不允许接入的网络，引起安全风险。

技术实现要素：

有鉴于此，本发明实施例的目的在于提供一种portal认证方法、系统、接入设备及认证服务器，以实现访问接入隔离，并提升网络的安全性。

第一方面，本发明实施例提供了一种portal认证方法，所述方法包括：接入设备将其获取的用户终端的第一访问信息发送给认证服务器，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息；所述接入设备接收所述用户终端发送的网络访问请求，并将所述网络访问请求进行重定向，以向所述用户终端发送携带所述第一访问信息的认证页面链接信息；所述接入设备将所述用户终端基于所述页面链接信息上传的认证信息发送给所述认证服务器，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息；

所述认证服务器判断所述第一访问信息与所述第二访问信息是否一致，当判断所述第一访问信息与所述第二访问信息一致时，对所述认证账号信息进行验证，当所述认证账号验证成功时，通知所述接入设备，准许所述用户终端访问所连接的无线接入点的标识对应的网络。

第二方面，本发明实施例提供了一种portal认证方法，应用于接入设备，所述方法包括：所述接入设备将其获取的用户终端的第一访问信息发送给认证服务器，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息；所述接入设备接收所述用户终端发送的网络访问请求，并将所述网络访问请求进行重定向，以向所述用户终端发送携带所述第一访问信息的认证页面链接信息；所述接入设备将所述用户终端基于所述页面链接信息上传的认证信息发送给所述认证服务器，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息；所述接入设备，接收所述认证服务器判断所述第一访问信息与所述第二访问信息一致，且成功验证所述认证账号信息后返回的认证成功提示信息，基于所述认证成功提示信息准许所述用户终端访问所连接的无线接入点的标识对应的网络。

第三方面，本发明实施例提供了一种portal认证方法，应用于认证服务器，所述方法包括：所述认证服务器，接收接入设备获取的用户终端的第一访问信息，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息；接收所述接入设备对所述用户终端的网络访问请求进行重定向后，所述用户终端基于接收到的携带所述第一访问信息的认证页面链接信息上传的认证信息，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息；判断所述第一访问信息与所述第二访问信息是否一致，当判断所述第一访问信息与所述第二访问信息一致时，对所述认证账号信息进行验证，当所述认证账号验证成功时，通知所述接入设备，准许所述用户终端访问所连接的无线接入点的标识对应的网络

第四方面，本发明实施例提供了一种接入设备，所述接入设备，包括：终端信息获取单元，用于采集用户终端的第一访问信息，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息；通信单元，用于将其获取的用户终端的第一访问信息发送给认证服务器；重定向单元，用于接收所述用户终端发送的网络访问请求，并将所述网络访问请求进行重定向，以向所述用户终端发送携带所述第一访问信息的认证页面链接信息；所述通信单元，还用于将所述用户终端基于所述页面链接信息上传的认证信息发送给所述认证服务器，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息；访问控制单元，用于接收所述认证服务器判断所述第一访问信息与所述第二访问信息一致，且成功验证所述认证账号信息后返回的认证成功提示信息，基于所述认证成功提示信息准许所述用户终端访问所连接的无线接入点的标识对应的网络。

第五方面，本发明实施例提供了一种认证服务器，包括：第一访问信息获取单元，用于接收接入设备获取的用户终端的第一访问信息，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息；认证信息接收单元，用于接收所述接入设备对所述用户终端的网络访问请求进行重定向后，所述用户终端基于接收到的携带所述第一访问信息的认证页面链接信息上传的认证信息，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息；访问控制单元，用于判断所述第一访问信息与所述第二访问信息是否一致，当判断所述第一访问信息与所述第二访问信息一致时，对所述认证账号信息进行验证，当所述认证账号验证成功时，通知所述接入设备，准许所述用户终端访问所连接的无线接入点的标识对应的网络。

第六方面，本发明实施例提供的一种portal认证系统，包括上述实施例第四方面的接入设备和上述实施例第五方面的认证服务器。

本发明实施例提供的一种portal认证方法、装置及系统，通过将接入设备采集的包括所述用户终端所连接的无线接入点的标识以及用户终端信息的第一访问信息，与包括用户终端上传认证信息时携带的无线接入点的标识以及用户终端信息的第二访问信息进行比对验证的方式，使得当第一访问信息与第二访问信息一致时，才允许用户终端访问所连接无线接入点的标识对应的网络，从而实现了基于无线接入点的标识的访问接入隔离，提升了网络的安全性。

本发明的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的一种portal认证系统的结构示意图；

图2为本发明实施例提供的一种portal认证方法的时序图；

图3为本发明实施例提供的另一种portal认证方法的的流程图；

图4为本发明实施例提供的再一种portal认证方法的的流程图；

图5为本发明实施例提供的一种接入设备的结构框图；

图6为本发明实施例提供的一种认证服务器的结构框图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

如图1所示，为本发明实施例提供的一种portal认证系统的结构示意图。

该portal认证系统包括接入设备110、认证服务器120、无线接入点(accesspoint,ap)130以及无线接入点140。

其中，无线接入点130以及无线接入点140均用于将用户终端接入到portal认证系统中。无线接入点130以及无线接入点140各自对应有唯一确定身份的标识。例如，该表示可以为无线接入点130以及无线接入点140的ssid。需要说明的是，上述无线接入点的标识除了为ssid外，还可以为其他的信息，例如区域代码、bssid、mac地址等中的任何一种或者组合，只要该标识可以起到唯一性标识即可。而不同的无线接入点对应有不同的可访问网络。例如，无线接入点130对应有可以访问网络a，而无线接入点140对应有可访问网络b。

接入设备110，用于对接入portal认证系统的用户终端的信息进行识别，例如识别用户终端是连接的无线接入点130，还是无线接入点140，识别用户终端信息，在本发明实施例中，用户终端信息包括用户终端的mac地址，当然还可以包括ip地址,只要唯一标识一个用户终端即可。还用于在用户终端没有经过portal认证的情况下，重定向用户终端的网络访问请求，以及在用户终端在认证成功的情况下，控制用户终端访问所连接的无线接入点的标识对应的网络。例如，用户终端在连接无线接入点130并认证成功后，可以被允许访问无线接入点130对应的网络a，但是依然不允许访问网络b。

认证服务器120，用于对用户终端提交的认证信息进行验证。

以上只是本发明实施例的一种优选实现方式，在领域技术人员很清楚地知道，无线接入点与接入设备可以集成在一台设备上，如在接入设备上部署射频卡，即可同时作为无线接入点使用，部署多张射频卡，即可作为多个无线接入点使用。

请参阅图2，本发明实施例提供的一种portal认证方法，应用于图1中所示的portal认证系统，该方法包括：

步骤s210：接入设备获取用户终端的第一访问信息，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息。

当用户终端与无线接入点连接后，接入设备会采集用户终端所连接的无线接入点的标识以及网络信息。例如，当用户终端所连接的无线接入点为图1中的无线接入点130，而无线接入点130的标识为ssid1。则接入设备获取的第一访问信息中无线接入点的标识则为ssid1。而其中，作为一种方式，用户终端的网络信息包括用户终端的ip地址以及mac地址。

步骤s220：接入设备将其获取的用户终端的第一访问信息发送给认证服务器。

步骤s230：所述用户终端向所述接入设备发送网络访问请求。

当用户终端接入网络后，可以响应用户的操作发起网络请求。例如，当用户在用户终端当前界面的地址栏中键入了http：//mp.com时，用户终端可以发起目标地址为http：//mp.com的网络访问请求。

步骤s240：所述接入设备将所述网络访问请求进行重定向，以向所述用户终端发送携带所述第一访问信息的认证页面链接信息。

而当接入设备在检测到该用户终端还未经过portal认证时，则会重定向该网络请求，而向用户终端返回指向认证服务器的重定向指令，从而向所述用户终端发送携带所述第一访问信息的认证页面链接信息。其中，认证页面链接信息为url地址信息。当接入设备之前采集到的用户终端的网络信息为包括无线接入点130的标识为ssid1，用户终端的ip地址为192.168.1.1、用户终端的mac地址为16-c6-42-bb-8e-26时，上述url地址也会携带ssid1、192.168.1.1以及16-c6-42-bb-8e-26等信息。

步骤s250：用户终端向所述接入设备发送基于所述页面链接信息生成的认证信息，所述认证信息包括认证账号信息同时携带第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息。

步骤s260：所述接入设备将所述认证信息发送给所述认证服务器。

步骤s270：所述认证服务器将所述第二访问信息中携带的所述用户终端连接的无线接入点的标识与预先存储的所述用户终端对应的可接入无线接入点的标识进行比对，如果一致，则执行步骤s280；如果不一致，则向用户终端返回认证失败提示信息。

通常在认证服务器中预先存储有用户终端对应可接入无线接入点的标识。则认证服务器在接收到接入设备发送的第二访问信息时，会验证第二访问信息中携带的所述用户终端连接的无线接入点的标识，与所述预先配置的用户终端可接入无线接入点的标识是否一致，如果一致，则进行下一步验证，即执行步骤s280。如果不一致，则说明用户终端连接了不可用的无线接入点，则认证服务器向用户终端返回认证失败提示信息。

需要说明的是，此过程可依据用户终端账户信息或者用户终端mac地址等，验证第二访问信息中携带的所述用户终端连接的无线接入点的标识，与所述预先配置的用户终端可接入无线接入点的标识是否一致。在配置用户终端可以连接的无线接入点时，可以基于用户终端的mac地址来配置，例如，将用户终端的mac地址与第一无线接入点130的标识为ssid1对应存储，则表示该用户终端只能通过第一无线接入点130接入网络。

步骤s280：所述认证服务器判断所述第一访问信息与所述第二访问信息是否一致，当判断所述第一访问信息与所述第二访问信息一致时，对所述认证账号信息进行验证。

步骤s290：当所述认证账号验证成功时，通知所述接入设备，准许所述用户终端访问所连接的无线接入点的标识对应的网络。

其中，作为一种判断第一访问信息与第二访问信息是否一致的标准，为判断所述第一访问信息包括的用户终端所连接的无线接入点的标识与所述第二访问信息中携带的所述用户终端连接的无线接入点的标识一致，且所述第一访问信息包括的用户终端信息与所述第二访问信息包括的用户终端信息一致。

例如，当第一访问信息中包括的信息为第一无线接入点130的标识为ssid1，用户终端的ip地址为192.168.1.1、用户终端的mac地址为16-c6-42-bb-8e-26，且第二访问信息中携带的信息为第一无线接入点130的标识为ssid1，用户终端的ip地址为192.168.1.1、用户终端的mac地址为16-c6-42-bb-8e-26。则表征第一访问信息与第二访问信息一致。而如果第二访问信息包括的信息为第而无线接入点140的标识为ssid2，用户终端的ip地址为192.168.1.1、用户终端的mac地址为16-c6-42-bb-8e-26，则说明信息遭到了篡改。

本发明实施例提供的一种portal认证方法，通过将接入设备采集的包括所述用户终端所连接的无线接入点的标识以及用户终端信息的第一访问信息，与包括用户终端连接的无线接入点的标识以及用户终端信息的第二访问信息进行比对验证的方式，使得当第一访问信息与第二访问信息一致时，才允许用户终端访问所连接无线接入点的标识对应的网络，从而实现了基于无线接入点的标识的访问接入隔离，提升了网络的安全性。

请参阅图3，本发明实施例提供的一种portal认证方法，应用于接入设备，所述方法包括：

步骤s310：所述接入设备将其获取的用户终端的第一访问信息发送给认证服务器，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息。

步骤s320：所述接入设备接收所述用户终端发送的网络访问请求，并将所述网络访问请求进行重定向，以向所述用户终端发送携带所述第一访问信息的认证页面链接信息。

步骤s330：所述接入设备将所述用户终端基于所述页面链接信息上传的认证信息发送给所述认证服务器，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息。

步骤s340：所述接入设备，接收所述认证服务器判断所述第一访问信息与所述第二访问信息一致，且成功验证所述认证账号信息后返回的认证成功提示信息，基于所述认证成功提示信息准许所述用户终端访问所连接的无线接入点的标识对应的网络。

本发明实施例提供的一种portal认证方法，通过接入设备主动采集的包括所述用户终端所连接的无线接入点的标识以及用户终端信息的第一访问信息，并将该第一访问信息发送给认证服务器，同时将包括用户终端连接的无线接入点的标识以及用户终端信息的第二访问信息也发送给认证服务器进行比对验证的方式，使得当第一访问信息与第二访问信息一致时，才允许用户终端访问所连接无线接入点的标识对应的网络，从而实现了基于无线接入点的标识的访问接入隔离，提升了网络的安全性。在本实施例中，无线接入点的标识除了为ssid外，还可以为其他的信息，例如区域代码、bssid、mac地址等中的任何一种或者组合，只要该标识可以起到唯一性标识即可。而不同的无线接入点对应有不同的可访问网络。用户终端信息包括用户终端的mac地址，当然还可以包括ip地址,只要唯一标识一个用户终端即可。

请参阅图4，本发明实施例提供的一种portal认证方法，应用于认证服务器，所述方法包括：

步骤s410：所述认证服务器，接收接入设备获取的用户终端的第一访问信息，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息。

步骤s420：接收所述接入设备对所述用户终端的网络访问请求进行重定向后，所述用户终端基于接收到的携带所述第一访问信息的认证页面链接信息上传的认证信息，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息携带所述用户终端连接的无线接入点的标识以及用户终端信息。

步骤s430：判断所述第一访问信息与所述第二访问信息是否一致，当判断所述第一访问信息与所述第二访问信息一致时，对所述认证账号信息进行验证，当所述认证账号验证成功时，通知所述接入设备，准许所述用户终端访问所连接的无线接入点的标识对应的网络。

本发明实施例提供的一种portal认证方法，通过将接入设备采集的包括所述用户终端所连接的无线接入点的标识以及用户终端信息的第一访问信息，与包括用户终端连接的无线接入点的标识以及用户终端信息的第二访问信息进行比对验证的方式，使得当第一访问信息与第二访问信息一致时，才允许用户终端访问所连接无线接入点的标识对应的网络，从而实现了基于无线接入点的标识的访问接入隔离，提升了网络的安全性。在本实施例中，无线接入点的标识除了为ssid外，还可以为其他的信息，例如区域代码、bssid、mac地址等中的任何一种或者组合，只要该标识可以起到唯一性标识即可。而不同的无线接入点对应有不同的可访问网络。用户终端信息包括用户终端的mac地址，当然还可以包括ip地址,只要唯一标识一个用户终端即可。

请参阅图5，本发明实施例提供的一种接入设备500，所述接入设备500，包括：终端信息获取单元510、通信单元520、重定向单元530以及访问控制单元540。

其中，终端信息获取单元510，用于采集用户终端的第一访问信息，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息；

通信单元520，用于将其获取的用户终端的第一访问信息发送给认证服务器；

重定向单元530，用于接收所述用户终端发送的网络访问请求，并将所述网络访问请求进行重定向，以向所述用户终端发送携带所述第一访问信息的认证页面链接信息；

所述通信单元520，还用于将所述用户终端基于所述页面链接信息上传的认证信息发送给所述认证服务器，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息；

访问控制单元540，用于接收所述认证服务器判断所述第一访问信息与所述第二访问信息一致，且成功验证所述认证账号信息后返回的认证成功提示信息，基于所述认证成功提示信息准许所述用户终端访问所连接的无线接入点的标识对应的网络。

在本实施例中，无线接入点的标识除了为ssid外，还可以为其他的信息，例如区域代码、bssid、mac地址等中的任何一种或者组合，只要该标识可以起到唯一性标识即可。而不同的无线接入点对应有不同的可访问网络。用户终端信息包括用户终端的mac地址，当然还可以包括ip地址,只要唯一标识一个用户终端即可。

请参阅图6，本发明实施例提供的一种认证服务器600，包括：第一访问信息获取单元610、认证信息接收单元620以及访问控制单元630。

第一访问信息获取单元610，用于接收接入设备获取的用户终端的第一访问信息，所述第一访问信息包括所述用户终端所连接的无线接入点的标识以及用户终端信息；

认证信息接收单元620，用于接收所述接入设备对所述用户终端的网络访问请求进行重定向后，所述用户终端基于接收到的携带所述第一访问信息的认证页面链接信息上传的认证信息，所述认证信息包括认证账号信息以及第二访问信息，所述第二访问信息包括所述用户终端连接的无线接入点的标识以及用户终端信息；

访问控制单元630，用于判断所述第一访问信息与所述第二访问信息是否一致，当判断所述第一访问信息与所述第二访问信息一致时，对所述认证账号信息进行验证，当所述认证账号验证成功时，通知所述接入设备，准许所述用户终端访问所连接的无线接入点的标识对应的网络。

访问控制单元630还用于在判断所述第一访问信息与所述第二访问信息是否一致之前，将所述第二访问信息中的所述用户终端连接的无线接入点的标识与预先存储的所述用户终端对应的可接入无线接入点的标识进行比对，如果一致，执行判断所述第一访问信息与所述第二访问信息是否一致，否则，向所述用户终端返回认证失败提示信息。

在本实施例中，无线接入点的标识除了为ssid外，还可以为其他的信息，例如区域代码、bssid、mac地址等中的任何一种或者组合，只要该标识可以起到唯一性标识即可。而不同的无线接入点对应有不同的可访问网络。用户终端信息包括用户终端的mac地址，当然还可以包括ip地址,只要唯一标识一个用户终端即可。

综上所述，本发明实施例提供的一种portal认证方法、系统、接入设备及认证服务器，通过将接入设备采集的包括所述用户终端所连接的无线接入点的标识以及用户终端信息的第一访问信息，与包括用户终端连接的无线接入点的标识以及用户终端信息的第二访问信息进行比对验证的方式，使得当第一访问信息与第二访问信息一致时，才允许用户终端访问所连接无线接入点的标识对应的网络，从而实现了基于无线接入点的标识的访问接入隔离，提升了网络的安全性以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。