一种认证方法及装置与流程

本发明涉及网络通信
技术领域：
，尤其涉及一种认证方法及装置。
背景技术：
portal(门户)认证是目前的主流的认证方式，用户终端通过认证后才能访问网络资源。用户终端使用portal认证进行认证时，可以直接使用浏览器进行认证，而不需要安装专门的认证客户端，减少了客户端的维护工作量，便于运营。目前，如图1所示，常见的portal认证组网中，portal/aaa(authentication,authorization,accounting，认证、授权、计费)服务器与用户终端分布在不同的子网，不同子网之间需要通过nat(networkaddresstranslation，网络地址转换)设备映射到公网实现通信。其中，portal/aaa服务器与portalweb(门户网站)服务器可以部署在同一台物理设备上，也可以部署在不同的物理设备(图中以部署在不同物理设备上为例)。在一些场景中，portal/aaa服务器与用户终端侧的接入设备之间需要通过udp(userdatagramprotocol，用户数据报协议)报文进行通信，然而，各子网的防火墙需要对应开放udp端口(即在防火墙的公网侧开放专门的端口用于udp报文的交互)，在安全性要求较高环境中，开放新的端口(如前述udp端口)安全隐患较大。技术实现要素：本发明提供一种认证方法及装置，以解决现有portal认证方案中存在较大安全隐患的问题。根据本发明实施例的第一方面，提供一种认证方法，应用于portal认证组网中的portalweb服务器，所述portal认证组网中的portal/aaa服务器部署在用户终端所在子网，所述方法包括：当接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，向所述目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带所述目标用户终端的ip地址的第二http访问请求报文，以使所述目标portal/aaa服务器在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证；当接收到所述目标portal/aaa服务器返回的第一http认证响应报文时，将所述第一http认证响应报文中携带的认证结果通过第二http认证响应报文发送给所述目标用户终端。根据本发明实施例的第二方面，提供一种认证装置，应用于portal认证组网中的portalweb服务器，所述portal认证组网中的portal/aaa服务器部署在用户终端所在子网，所述装置包括：接收单元，用于接收报文；发送单元，用于当所述接收单元接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，向所述目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带所述目标用户终端的ip地址的第二http访问请求报文，以使所述目标portal/aaa服务器在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证；所述发送单元，还用于当所述接收单元接收到所述目标portal/aaa服务器返回的第一http认证响应报文时，将所述第一http认证响应报文中携带的认证结果通过第二http认证响应报文发送给所述目标用户终端。根据本发明实施例的第三方面，提供一种认证系统，包括：portal/认证授权计费aaa服务器和门户网站服务器，其特征在于，portal/认证授权计费aaa服务器部署在用户终端所在子网，其中:所述门户网站服务器用于执行上述认证方法；所述portal/aaa服务器用于当接收到所述门户网站服务器发送的第二http访问请求报文时，在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证，并向所述portalweb服务器返回携带认证结果的第一http认证响应报文。应用本发明实施例，通过将portal/aaa服务器分布式部署在用户终端所在子网，当portalweb服务器接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，向目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带所述目标用户终端的ip地址的第二http访问请求报文，以使目标portal/aaa服务器在确定登录信息校验通过时，与目标子网中的目标接入设备进行针对目标用户终端的认证；当portalweb服务器接收到目标portal/aaa服务器返回的第一http认证响应报文时，将第一http认证响应报文中携带的认证结果通过第二http认证响应报文发送给目标用户终端，在防火墙在公网上不开放对应的udp端口的情况下，portal/aaa服务器与接入设备仍然可以使用udp报文进行认证交互，在提高了组网安全性的前提下，保证了认证方案的兼容性。附图说明图1是一种典型的portal认证组网的架构示意图；图2是本发明实施例提供的一种portal认证组网的架构示意图；图3是本发明实施例提供的一种认证方法的流程示意图；图4a是本发明实施例提供的一种具体应用场景的架构示意图；图4b是本发明实施例提供的图4a所示应用场景下的认证方法的流程示意图；图5是本发明实施例提供的一种认证装置的结构示意图；图6是本发明实施例提供的另一种认证装置的结构示意图；图7是本发明实施例提供的另一种认证装置的结构示意图；图8是本发明实施例提供的一种认证系统的结构示意图。具体实施方式为了使本
技术领域：
的人员更好地理解本发明实施例中的技术方案，下面先对本发明实施例适用的网络架构进行简单说明。请参见图2，为本发明实施例提供的一种portal认证组网的架构示意图，如图2所示，该portal认证组网可以包括用户终端、接入设备、nat设备、portalweb服务器以及portal/aaa服务器。在图2所示portal认证组网中，将portal/aaa服务器与portalweb服务器分布式部署，并将portal/aaa服务器部署至用户终端所在子网，即portal/aaa服务器与用户终端所在子网的接入设备处于同一子网。在图2所示portal认证组网中，由于portal/aaa服务器与接入设备处于同一子网，portal/aaa服务器与接入设备进行认证交互时，报文不需要通过公网传输，因此，当portalweb服务器与portal/aaa服务器采用http报文进行交互时，各子网的防火墙在公网上不开放对应的udp端口的情况下，portal/aaa服务器与接入设备仍然可以使用udp报文进行认证交互，在提高了组网安全性的前提下，保证了认证方案的兼容性。需要说明的是，在本发明实施例中，其中，当用户终端部署在多个不同的子网时，各子网中均需部署portal/aaa服务器(图2中仅示出一个用户终端所在子网)。此外，在本发明实施例中，若未特殊说明，所提及的http报文可以包括http报文或https(hypertexttransferprotocoloversecuresocketlayer，基于安全套接字层的超文本传输协议)报文。例如，下文中提及的第一http访问请求报文可以为第一http访问请求报文或第一https访问请求报文。为了使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。请参见图3，为本发明实施例提供的一种认证方法的流程示意图，其中，该认证方法可以应用于portal认证组网中的portalweb服务器，该portal认证组网中的portal/aaa服务器部署在用户终端所在子网(其示意图可以如图2所示)，如图3所示，该认证方法可以包括以下步骤：步骤301、当接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，向目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带目标用户终端的ip地址的第二http访问请求，以使目标portal/aaa服务器在确定该登录信息校验通过时，与目标子网中的目标接入设备进行针对目标用户终端的认证。本发明实施例中，目标用户终端并不特指某一固定的用户终端，而是可以指代portal认证组网中任一子网中的任一用户终端，本发明实施例后续不再复述。本发明实施例中，目标用户终端向portalweb服务器发送携带登录信息的http访问请求报文(本文中称为第一http访问请求报文)的具体实现与现有portal认证实现流程中用户终端向portalweb服务器发送携带登录信息的http访问请求的实现相类似，本发明实施例将在下文中结合具体应用场景进行说明，在此不做赘述。本发明实施例中，由于portalweb服务器与portal/aaa服务器部署在不同的子网，因此，portalweb服务器与portal/aaa服务器之间交互的报文需要通过公网传输。为了避免防火墙在公网上开放udp端口带来的安全隐患，portalweb服务器与portal/aaa服务器之间可以通过http报文进行交互。相应地，portalweb服务器接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，可以确定目标用户终端所在子网(本文中称为目标子网)，并向目标子网中部署的portal/aaa服务器发送携带目标用户终端的ip地址的http访问请求(本文中称为第二http访问请求)。在本发明其中一个实施例中，上述向目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带目标用户终端的ip地址的第二http访问请求，可以包括：根据第一http访问请求的源ip地址确定目标用户终端所在目标子网对应的目标网段；根据目标网段确定目标子网中部署的目标portal/aaa服务器的ip地址；根据目标portal/aaa服务器的ip地址，向目标portal/aaa服务器发送携带目标用户终端的ip地址的第二http访问请求。在该实施例中，考虑到在实际应用中，为各子网分配公网地址时，通常是通过网段的形式分配，即一个子网分配一个公网网段。相应地，当portalweb服务器接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，可以获取该第一http访问请求的源ip地址(目标用户终端的公网ip地址)，并根据第一http访问请求的源ip地址确定目标用户终端所在目标子网对应的网段(本文中称为目标网段)。portalweb服务器确定了目标用户终端所在目标子网对应的目标网段时，可以进一步根据该目标网段确定该目标子网中部署的目标portal/aaa服务器的ip地址。在一个示例中，上述根据目标网段确定目标子网中部署的目标portal/aaa服务器的ip地址，可以包括：根据目标网段查询预先配置的各portal/aaa服务器的ip地址，将归属于目标网段的portal/aaa服务器的ip地址确定为目标portal/aaa服务器的ip地址。在该示例中，由于portal/aaa服务器不再与portalweb部署在同一子网，而是分布式部署在用户终端所在子网，针对用户终端分布在多个不同子网的情况，各子网中均会部署不同的portal/aaa服务器，因此，为了使portalweb服务器可以确定各子网的portal/aaa服务器的ip地址，可以预先在portalweb服务器中配置各portal/aaa服务器的ip地址。当portalweb服务器确定了目标用户终端所在目标子网对应的目标网段时，可以查询预先配置的各portal/aaa服务器的ip地址，将归属于该目标网段的portal/aaa服务器的ip地址确定为目标子网中部署的目标portal/aaa服务器的ip地址。应该认识到，上述确定目标portal/aaa服务器的ip地址仅仅是本发明实施例提供的技术方案中确定目标portal/aaa服务器的ip地址的一种具体示例，而并不是对本发明保护范围的限定，即在本发明实施例中，也可以通过其它方式实现确定目标portal/aaa服务器的ip地址。例如，可以预先配置各子网的标识与各子网中部署的poral/aaa服务器的ip地址的对应关系，进而，可以根据第一http访问请求报文的源ip地址确定目标用户终端所在目标子网，并根据目标子网的标识(如子网名称或子网编号)查询预先配置的子网的标识与子网中部署的poral/aaa服务器的ip地址的对应关系，进而，确定目标子网中部署的目标portal/aaa服务器的ip地址；或者，可以预先约定将各子网的公网网段中特定ip地址(如第一个ip地址或最后一个ip地址等)作为子网中portal/aaa服务器的ip地址，进而，可以在确定了目标子网的公网网段时，可以直接确定目标子网中部署的目标portal/aaa服务器的ip地址。在该实施例中，portalweb服务器确定了目标子网中部署的目标portal/aaa服务器的ip地址时，可以根据该目标portal/aaa服务器的ip地址，向目标portal/aaa服务器发送携带的目标用户终端的ip地址的第二http访问请求报文。本发明实施例中，目标portal/aaa服务器接收到portalweb服务器发送的携带目标用户终端的ip地址的第二http访问请求时，在确定登录信息(第一http访问请求报文中携带的登录信息)校验通过时，与目标子网中的接入设备(本文中称为目标接入设备)进行针对目标用户终端的认证。其中，第一http访问请求报文中携带的登录信息可以包括用户名和密码等信息。由于目标portal/aaa服务器与目标接入设备处于同一子网，因此，目标portal/aaa服务器与目标接入设备进行针对目标用户终端的认证时交互的报文不需要经过公网传输，因此，在防火墙在公网上不开放对应的udp端口的情况下，portal/aaa服务器与接入设备仍然可以按照现有标准协议中描述的方式使用udp报文进行认证交互，即portal/aaa服务器与接入设备之间的认证交互流程可以直接参照现有标准协议中描述的认证交互流程，不需要针对portal/aaa服务器与接入设备之间的交互认证而对portal/aaa服务器和接入设备进行修改，在提高了组网安全性的前提下，保证了认证方案的兼容性。应该认识到，在本发明实施例中，目标portal/aaa服务器与目标接入设备之间进行针对目标用户终端的认证时，并不限于使用udp报文进行认证交互，例如，也可以通过http报文进行认证交互，其具体实现在此不做赘述。步骤302、当接收到目标portal/aaa服务器返回的第一http认证响应报文时，将该第一http认证响应报文中携带的认证结果通过第二http认证报文发送给目标用户终端。本发明实施例中，目标portal/aaa服务器与目标接入设备完成了针对目标用户终端的认证之后，可以向portalweb服务器发送携带认证结果(如认证成功或认证失败)的http认证响应报文(本文中称为第一http认证响应报文)。portalweb服务器接收到该第一http认证响应报文时，可以将第一http认证响应报文中携带的认证结果通过http认证响应报文(本文中称为第二http认证响应报文)发送给目标用户终端，进而，当认证结果为认证成功时，目标用户终端可以正常访问网络资源。进一步地，在本发明其中一个实施例中，考虑到portal/aaa服务器分布式部署在各用户终端所在子网中，因此，为了实现用户信息的统一管理，可以由portalweb服务器对用户终端的登录信息进行校验。相应地，在本发明其中一个实施例中，上述向目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带目标用户终端的ip地址的第二http访问请求报文之前，还可以包括：对登录信息进行校验；当校验通过时，确定执行上述向目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带目标用户终端的ip地址的第二http访问请求报文的步骤。在该实施例中，当portalweb服务器接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，portalweb服务器可以对该第一http访问请求报文中携带的登录信息进行校验，并当校验通过时，向目标portal/aaa服务器发送携带目标用户终端的ip地址的第二http访问请求报文。在该实施例中，当目标portal/aaa服务器接收到第二http访问请求报文时，目标portal/aaa服务器可以确定目标用户终端的登录信息(即第一http访问请求报文中携带的登录信息)校验通过。其中，当portalweb服务器对第一http访问请求中携带的登录信息校验不通过时，可以直接向目标用户终端返回登录信息校验失败响应报文(http报文)。进一步地，在本发明另一个实施例中，为了降低portalweb服务器的工作负荷，可以由各子网中部署的portal/aaa服务器对本子网的用户终端的登录信息进行校验。相应地，上述向目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带目标用户终端的ip地址的第二http访问请求报文，可以包括：向目标portal/aaa服务器发送携带目标用户终端的ip地址和登录信息的第二http访问请求报文，以使目标portal/aaa服务器对登录信息校验通过时，与目标子网中的目标接入设备进行针对目标用户终端的认证。在该实施例中，当portalweb服务器接收到目标用户终端发送的携带登录信息的第一http访问请求时，portalweb服务器可以向目标portal/aaa服务器发送携带目标用户终端的ip地址和登录信息的第二http访问请求报文。当目标portal/aaa服务器接收到第二http访问请求报文时，可以先对该第二http请求报文中携带的登录信息进行校验，并当校验通过时，再进一步与目标接入设备进行针对目标用户终端的认证。其中，portal/aaa服务器与接入设备之间进行针对用户终端的认证的具体实现流程可以参见现有portal认证标准协议中的相关描述，本发明实施例在此不做赘述。为了使本领域技术人员更好地理解本发明实施例提供的技术方案，下面结合具体应用场景对本发明实施例提供的技术方案进行说明。请参见图4a，为本发明实施例提供的一种具体应用场景的架构示意图，如图4a所示，在该应用场景中，用户终端1与portal/aaa服务器1位于子网1，均通过接入设备1接入公网，子网1中的用户终端向公网发送的报文以及公网向子网1发送的报文通过nat设备1进行地址转换；portalweb服务器位于子网2，子网2中的设备向公网发送的报文以及公网向子网2发送的报文通过nat设备2进行地址转换。其中，假设用户终端1的私网ip地址为ip11，公网ip地址为ip12，portal/aaa服务器1的私网ip地址为ip21，公网ip地址为ip22，子网1对应的公网网段为网段1；portalweb服务器的私网ip地址为ip31，公网ip地址为ip32。基于图4a所示应用场景，本发明实施例提供的认证方案实现流程可以如图4b所示，其可以包括以下步骤：步骤401、用户终端1发起访问url1的http请求。步骤402、接入设备1将http访问请求报文重定向至portalweb服务器。在该实施例中，当用户终端1需要访问网络资源，如访问任意url(以url1为例)时，用户终端1可以发起访问url1的http请求。接入设备1接收到http访问请求报文时，可以将该http访问请求报文重定向至portalweb服务器，即将该http访问请求报文的目的ip地址修改为ip32。步骤403、用户终端1向portalweb服务器发送http访问请求报文，以获取登录页面。步骤404、nat设备1对该http访问请求报文的源ip地址替换为ip12后向portalweb服务器转发。步骤405、nat设备2对该http访问请求报文的目的ip地址替换为ip31后发送给portalweb服务器。在该实施例中，nat设备1接收到用户终端1发送的http访问请求报文时，将该http访问请求报文的源ip地址由用户终端1的私网ip地址(即ip11)替换为公网ip地址(即ip12)，并向portalweb服务器发送。该http访问请求报文进入子网2之前，nat设备2将其目的ip地址由portalweb服务器的公网ip地址(即ip32)替换为portalweb服务器的私网ip地址(即ip31)，并发送给portalweb服务器。步骤406、portalweb服务器向用户终端1返回携带登录页面的http响应报文。步骤407、nat设备2将该http响应报文的源ip地址修改为ip32后向用户终端1转发。步骤408、nat设备1将该http响应报文的目的ip地址修改为ip11后发送给用户终端1。在该实施例中，portalweb服务器接收到用户终端1发送的http访问请求报文时，可以向用户终端1返回http响应报文，该http响应报文中携带有登录页面。nat设备2接收到portalweb服务器发送的http响应报文时，将该http响应报文的源ip地址由portalweb服务器的私网ip地址(即ip31)替换为公网ip地址(即ip32)，并向用户终端1发送。该http响应报文进入子网1之前，nat设备1将其目的ip地址由用户终端1的公网ip地址(即ip12)替换为用户终端1的私网ip地址(即ip11)，并发送给用户终端1。步骤409、用户终端1访问登录页面，并将通过该登录页面输入的登录信息通过第一http访问请求报文发送给portalweb服务器。步骤410、nat设备1对该http访问请求的源ip地址替换为ip12后向portalweb服务器转发。步骤411、nat设备2对该http访问请求的目的ip地址替换为ip31后发送给portalweb服务器。在该实施例中，用户终端1接收到http响应报文时，可以根据该http响应报文中携带的登录页面进行登录页面展示，由用户在该登录页面中输入登录信息。用户终端1可以将该登录信息携带在http访问请求(即上述实施例中的第一http访问请求)中，并发送给portalweb服务器。nat设备1接收到该第一http访问请求报文时，将该第一http访问请求报文的源ip地址由用户终端1的私网ip地址(即ip11)替换为公网ip地址(即ip12)，并向portalweb服务器发送。该第一http访问请求报文进入子网2之前，nat设备2将其目的ip地址由portalweb服务器的公网ip地址(即ip32)替换为portalweb服务器的私网ip地址(即ip31)，并发送给portalweb服务器。步骤412、portalweb服务器对第一http访问请求中携带的登录信息进行校验，并当校验通过时，向portal/aaa服务器1发送携带ip12的第二http访问请求报文。在该实施例中，以portalweb服务器对登录进行校验为例。当portalweb服务器接收到第一http访问请求报文时，可以获取该第一http访问请求报文中携带的登录信息，并对该登录信息进行校验。当校验通过时，portalweb可以根据该第一http访问请求报文的源ip地址(即ip12)确定用户终端1所在子网(即子网1)，并根据该子网的标识(以子网编号为例，即子网1)查询预先配置的子网标识与portal/aaa服务器的ip地址的对应关系，确定子网1中的portal/aaa服务器的ip地址(公网ip地址)。其中，在该实施例中，预先配置的子网标识与portal/aaa服务器的ip地址的对应关系可以如表1所示：表1子网标识portal/aaa服务器的ip地址子网1ip22……在该实施例中，portalweb服务器可以确定子网1的portal/aaa服务器(即portal/aaa服务器1)的ip地址为ip22。由于portalweb服务器与portal/aaa服务器部署在不同子网，portalweb服务器与portal/aaa服务器之间的报文交互需要通过公网传输(需要穿过防火墙)，为了避免防火墙在公网上开放对应的udp端口带来的安全隐患，portalweb服务器可以通过http报文与portal/aaa服务器进行交互。相应地，在该实施例中，当portalweb服务器对用户终端1的登录信息校验通过时，portalweb服务器可以向portal/aaa服务器发送携带用户终端1的公网ip地址(即ip22)的第二http访问请求报文。步骤413、nat设备2将该第二http访问请求报文的源ip地址修改为ip32后向portal/aaa服务器1转发。步骤414、nat设备1将该第二http访问请求报文的目的ip地址修改为ip11后发送给portal/aaa服务器1。在该实施例中，nat设备2接收到portalweb服务器发送的第二http访问请求时，将该第二http访问请求报文的源ip地址由portalweb服务器的私网ip地址(即ip31)替换为公网ip地址(即ip32)，并向portal/aaa服务器1发送。该第二http访问请求报文进入子网1之前，nat设备1将其目的ip地址由portal/aaa服务器1的公网ip地址(即ip22)替换为portal/aaa服务器1的私网ip地址(即ip21)，并发送给portal/aaa服务器1。步骤415、portal/aaa服务器1与接入设备1进行针对用户终端1的认证。步骤416、接入设备1将认证结果通知给portal/aaa服务器1。在该实施例中，portal/aaa服务器1接收到第二http访问请求报文时，可以与接入设备1进行针对用户终端1的认证。其中，portal/aaa服务器1与接入设备1进行针对用户终端1的认证时的具体报文交互细节可以参见现有portal认证中的相关实现，本发明实施例在此不做赘述。在该实施例中，由于portal/aaa服务器1与接入设备1处于同一子网，因此，portal/aaa服务器1与接入设备1之间交互的报文不需要通过公网传输，不需要穿透防火墙，进而，在避免了子网1的防火墙在公网侧开放对应的udp端口的情况下，portal/aaa服务器1与接入设备1之间可以仍然沿用现有portal协议中的报文交互方式(即基于udp报文进行交互)，在保证认证安全性的同时，保证了认证方案的兼容性(接入设备不需要进行改动，以保持和多厂商已有的兼容性)。步骤417、portal/aaa服务器1向portalweb服务器发送携带认证结果的第一http认证响应报文。步骤418、nat设备1对该第一http认证响应报文的源ip地址替换为ip22后向portalweb服务器转发。步骤419、nat设备2对该第一http认证响应报文的目的ip地址替换为ip31后发送给portalweb服务器。在该实施例中，nat设备1接收到portal/aaa服务器1发送的第一http认证响应报文时，将该第一http认证响应报文的源ip地址由portal/aaa服务器1的私网ip地址(即ip21)替换为公网ip地址(即ip22)，并向portalweb服务器发送。该第一http认证响应报文进入子网2之前，nat设备2将其目的ip地址由portalweb服务器的公网ip地址(即ip32)替换为portalweb服务器的私网ip地址(即ip31)，并发送给portalweb服务器。步骤420、portalweb服务器向用户终端1发送携带认证结果的第二http认证响应报文。步骤421、nat设备2将该第二http认证响应报文的源ip地址修改为ip32后向用户终端1转发。步骤422、nat设备1将该第二http认证响应报文的目的ip地址修改为ip11后发送给用户终端1。在该实施例中，portalweb服务器接收到portal/aaa服务器1发送的第一http认证响应报文时，可以向用户终端1返回第二http认证响应报文，该第二http认证响应报文http认证响应报文中携带有登录页面。nat设备2接收到portalweb服务器发送的第二http认证响应报文时，将该第二http认证响应报文的源ip地址由portalweb服务器的私网ip地址(即ip31)替换为公网ip地址(即ip32)，并向用户终端1发送。该第二http认证响应报文进入子网1之前，nat设备1将其目的ip地址由用户终端1的公网ip地址(即ip12)替换为用户终端1的私网ip地址(即ip11)，并发送给用户终端1。用户终端1接收到第二http认证响应报文时，可以获取其中携带的认证结果，并当认证通过时，可以正常访问网络资源。通过以上描述可以看出，在本发明实施例提供的技术方案中，通过将portal/aaa服务器分布式部署在用户终端所在子网，当portalweb服务器接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，向目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带所述目标用户终端的ip地址的第二http访问请求报文，以使目标portal/aaa服务器在确定登录信息校验通过时，与目标子网中的目标接入设备进行针对目标用户终端的认证；当portalweb服务器接收到目标portal/aaa服务器返回的第一http认证响应报文时，将第一http认证响应报文中携带的认证结果通过第二http认证响应报文发送给目标用户终端，在防火墙在公网上不开放对应的udp端口的情况下，portal/aaa服务器与接入设备仍然可以使用udp报文进行认证交互，在提高了组网安全性的前提下，保证了认证方案的兼容性。请参见图5，为本发明实施例提供的一种认证装置的结构示意图，其中，该装置可以应用于上述方法实施例中的portalweb服务器，如图5所示，该认证装置可以包括：接收单元510，用于接收报文；发送单元520，用于当所述接收单元510接收到目标用户终端发送的携带登录信息的第一超文本传输协议http访问请求报文时，向所述目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带所述目标用户终端的ip地址的第二http访问请求报文，以使所述目标portal/aaa服务器在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证；所述发送单元520，还用于当所述接收单元510接收到所述目标portal/aaa服务器返回的第一http认证响应报文时，将所述第一http认证响应报文中携带的认证结果通过第二http认证响应报文发送给所述目标用户终端。请一并参见图6，为本发明实施例提供的另一种认证装置的结构示意图，如图6所示，在图5所示认证装置的基础上，图6所示认证装置还可以包括：确定单元530，用于根据所述第一http访问请求报文的源ip地址确定所述目标用户终端所在目标子网对应的目标网段；所述确定单元530，还用于根据所述目标网段确定所述目标子网中部署的目标portal/aaa服务器的ip地址；所述发送单元520，具体用于根据所述目标portal/aaa服务器的ip地址，向所述目标portal/aaa服务器发送携带所述目标用户终端的ip地址的第二http访问请求报文。在可选实施例中，所述确定单元530，具体用于根据所述目标网段查询预先配置的各portal/aaa服务器的ip地址，将归属于所述目标网段的portal/aaa服务器的ip地址确定为所述目标portal/aaa服务器的ip地址。请一并参见图7，为本发明实施例提供的另一种认证装置的结构示意图，如图7所示，在图5所示认证装置的基础上，图7所示认证装置还可以包括：校验单元540，用于对所述登录信息进行校验；所述发送单元520，具体用于当所述校验单元540校验通过时，向所述目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带所述目标用户终端的ip地址的第二http访问请求报文。在可选实施例中，所述发送单元520，具体用于向所述目标portal/aaa服务器发送携带所述目标用户终端的ip地址和所述登录信息的第二http访问请求报文，以使所述目标portal/aaa服务器对所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证。请参见图8，为本发明实施例提供的一种认证系统的结构示意图，如图8所示，该认证系统可以包括：portal/aaa服务器810和门户网站服务器820；其中：所述门户网站服务器820用于执行上述方法实施例中描述的方法；其中，门户网站服务器820的结构可以如图5-7任一所示；所述portal/aaa服务器810用于当接收到所述门户网站服务器802发送的第二http访问请求报文时，在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证，并向所述portalweb服务器返回携带认证结果的第一http认证响应报文。需要说明的是，认证系统中可以包括多个portal/aaa服务器(图中仅以一个portal/aaa服务器为例)。在可选实施例中，所述portal/aaa服务器810具体用于基于用户数据报协议udp协议与所述目标子网的目标接入设备进行针对所述目标用户终端的认证。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。由上述实施例可见，通过将portal/aaa服务器分布式部署在用户终端所在子网，当portalweb服务器接收到目标用户终端发送的携带登录信息的第一http访问请求报文时，向目标用户终端所在目标子网中部署的目标portal/aaa服务器发送携带所述目标用户终端的ip地址的第二http访问请求报文，以使目标portal/aaa服务器在确定登录信息校验通过时，与目标子网中的目标接入设备进行针对目标用户终端的认证；当portalweb服务器接收到目标portal/aaa服务器返回的第一http认证响应报文时，将第一http认证响应报文中携带的认证结果通过第二http认证响应报文发送给目标用户终端，在防火墙在公网上不开放对应的udp端口的情况下，portal/aaa服务器与接入设备仍然可以使用udp报文进行认证交互，在提高了组网安全性的前提下，保证了认证方案的兼容性。本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本
技术领域：
中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。当前第1页12