一种接入认证方法及装置与流程
本申请涉及通信技术领域,特别是涉及一种接入认证方法及装置。
背景技术:
portal认证能够基于网页的形式向用户提供身份认证和个性化的信息服务。在未经认证的终端请求接入网络时,需要进行portal认证。portal服务器接收到终端发送的认证请求后,可根据终端的互联网协议(internetprotocoladdress,ip)地址确定用于为该终端提供接入服务的接入设备,进而向该接入设备发送portal协议请求报文。
然而,属于不同虚拟专用网络(virtualprivatenetwork,vpn)的终端可能会使用相同的ip地址,例如vpn1中的终端1与vpn2中的终端2具有相同的ip地址。在终端1已认证成功的情况下,接入设备会建立终端1的ip地址对应的认证信息。后续接入设备还可能接收到携带终端2的ip地址的portal协议请求报文,由于终端2的ip地址与终端1的ip地址相同,接入设备会认为终端2是已存在的用户,从而拒绝portal协议请求,导致终端2认证失败。
技术实现要素:
有鉴于此,本申请提供一种接入认证方法及装置,以解决现有技术中同一接入设备不能供不同vpn中具有相同ip地址的终端接入的问题。具体技术方案如下:
第一方面,本申请提供一种接入认证方法,包括:
接入设备向终端发送包括终端所属的虚拟专用网络vpn标识的统一资源定位符url,以使得所述终端向portal服务器发送第一访问请求消息,所述第一访问请求消息包括所述vpn标识;
所述接入设备接收所述portal服务器发送的认证请求消息,所述认证请求消息携带所述终端的互联网协议ip地址和所述vpn标识;
所述接入设备若确定已认证的终端中,不存在与所述ip地址和所述vpn标识匹配的终端,则请求认证服务器对所述终端进行认证。
在一种可能的实现方式中,所述方法还包括:
若所述接入设备接收到所述认证服务器发送的认证成功消息,则以所述ip地址和所述vpn标识为索引,存储所述终端的认证信息。
在一种可能的实现方式中,在所述接入设备向终端发送包括所述终端所属的vpn标识的url之前,所述方法还包括:
所述接入设备接收所述终端发送的第二访问请求消息,所述第二访问请求中携带所述终端的vpn标识;
所述接入设备将所述vpn标识封装至所述url。
第二方面,本申请提供一种接入认证方法,包括:
portal服务器接收终端发送的第一访问请求消息,所述第一访问请求消息包括所述终端所属的虚拟专用网络vpn标识;
所述portal服务器向接入设备发送认证请求消息,所述认证请求消息携带所述终端的互联网协议ip地址和所述vpn标识,以使得所述接入设备在确定已认证的终端中,不存在与所述ip地址和所述vpn标识匹配的终端时,请求认证服务器对所述终端进行认证。
在一种可能的实现方式中,所述认证请求消息的属性字段中包括所述vpn标识。
第三方面,本申请提供一种接入认证装置,所述装置应用于接入设备,所述装置包括:
发送模块,用于向终端发送包括所述终端所属的虚拟专用网络vpn标识的统一资源定位符url,以使得所述终端向portal服务器发送第一访问请求消息,所述第一访问请求消息包括所述vpn标识;
接收模块,用于接收所述portal服务器发送的认证请求消息,所述认证请求消息携带所述终端的互联网协议ip地址和所述vpn标识;
请求模块,还用于若确定已认证的终端中,不存在与所述ip地址和所述vpn标识匹配的终端,则请求认证服务器对所述终端进行认证。
在一种可能的实现方式中,所述装置还包括:
存储模块,用于若所述接收模块接收到所述认证服务器发送的认证成功消息,则以所述ip地址和所述vpn标识为索引,存储所述终端的认证信息。
在一种可能的实现方式中,所述装置还包括:封装模块;
所述接收模块,还用于接收所述终端发送的第二访问请求消息,所述第二访问请求中携带所述终端的vpn标识;
所述封装模块,用于将所述vpn标识封装至所述url。
第四方面,本申请提供一种接入认证装置,所述装置应用于portal服务器,所述装置包括:
接收模块,用于接收终端发送的第一访问请求消息,所述第一访问请求消息包括所述终端所属的虚拟专用网络vpn标识;
发送模块,用于向接入设备发送认证请求消息,所述认证请求消息携带所述终端的互联网协议ip地址和所述vpn标识,以使得所述接入设备在确定已认证的终端中,不存在与所述ip地址和所述vpn标识匹配的终端时,请求认证服务器对所述终端进行认证。
在一种可能的实现方式中,所述认证请求消息的属性字段中包括所述vpn标识。
第五方面,本申请提供一种接入设备,该接入设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面中所述的接入认证方法。
第六方面,本申请提供一种portal服务器,该portal服务器包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面中所述的接入认证方法。
第七方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面或第二方面中所述的接入认证方法。
第八方面,本申请还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面或第二方面中所述的接入认证方法。
因此,采用本申请提供的接入认证方法,接入设备向终端发送的url中包括终端所属的vpn标识,后续接入设备可接收到portal服务器发送的认证请求消息,该认证请求消息携带终端的ip地址和vpn标识,进而接入设备在确定已认证的终端中,不存在与该ip地址和vpn标识匹配的终端,则请求认证服务器对终端进行认证。可见,由于本申请中,接入设备不仅要判断ip地址是否与已认证的终端的ip地址相同,还要对终端所属的vpn进行匹配,若不存在与该ip地址和vpn均匹配的终端,则认为该终端为之前未认证过的终端,进而请求认证服务器对该终端进行认证,避免了接入设备将具有相同ip地址的终端视为同一个终端,而导致的同一接入设备不能供不同vpn中具有相同ip地址的终端接入的问题。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种认证系统的结构示意图;
图2为本申请实施例提供的一种接入认证方法的流程图;
图3为本申请实施例提供的另一种接入认证方法的流程图;
图4为本申请实施例提供的另一种接入认证方法的流程图;
图5为本申请实施例提供的一种接入认证装置的结构示意图;
图6为本申请实施例提供的另一种接入认证装置的结构示意图;
图7为本申请实施例提供的一种接入设备的结构示意图;
图8为本申请实施例提供的一种portal服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种接入认证方法及装置,可以应用于如图1所示的认证系统中,该系统中包括终端、接入设备、portal服务器及认证服务器。
其中,终端为待认证的终端,在终端访问网络之前,需要进行身份认证,身份认证成功后才可以访问网络。本申请实施例中的终端可以为手机、平板电脑、台式电脑、具有网络通信功能的可穿戴设备等。
接入设备为用于为终端提供网络接入服务的设备,可以为交换机、路由器、接入控制器(accesscontroller,ac)等。
在本申请实施例中,将portal服务器作为网页服务器(webserver)和portal服务器的统称,网页服务器和portal服务器可以为两个独立的设备,也可以部署在同一台服务器中,本申请实施例中以网页服务器和portal服务器部署在同一台服务器中为例,统称为portal服务器。
认证服务器具体可以为是验证、授权和记账(authentication、authorization、accounting,aaa)服务器,用于认证用户是否可以获得网络访问权限。
为了解决现有技术中同一接入设备不能供不同vpn中具有相同ip地址的终端接入的问题,本申请实施例中接入设备可在向终端发送的统一资源定位符(uniformresourcelocator,url)中封装vpn标识,进而终端可向portal服务器发送用于访问该url的第一访问请求消息。portal服务器可从url中获取到终端的vpn标识,进而在向接入设备发送的认证请求消息中携带终端的ip地址和vpn标识。接入设备若确定已认证的终端中,不存在与该ip地址和vpn标识匹配的终端,则可请求认证服务器对终端进行认证。
可见,接入设备在进行认证时,不仅要对终端的ip地址进行匹配,还要对终端的vpn进行匹配,从而属于不同vpn的具有相同ip地址的终端不会被视为同一终端,使得同一接入设备能够供不同vpn中具有相同ip地址的终端接入。
结合图1所示的系统,本申请实施例提供一种接入认证方法,该方法由接入设备执行,如图2所示,该方法包括:
s201、接入设备向终端发送包括终端所属的虚拟专用网络vpn标识的url,以使得终端向portal服务器发送第一访问请求消息,第一访问请求消息包括vpn标识。
其中,当终端通过浏览器访问网络时,接入设备可检查终端是否认证过,若确定终端未认证过,则接入设备会替代终端要访问的服务器对终端进行回应。
然后终端可向接入设备发送第二访问请求消息,第二请求消息可以为httpget请求,接入设备接收到第二访问请求消息后,会组装potral服务器的url(具体为portal服务器中的网页服务器的地址链接,例如,可以为网页服务器的url),并将该url强制推送给终端。
在本申请实施例中,接入设备接收到终端发送的第二访问请求消息后,可从第二访问请求消息中获取终端的vpn标识,并将vpn标识封装至url。
另外,第二访问请求消息的源地址为终端的ip地址,接入设备可从第二访问请求消息中获取终端的ip地址,并将终端的ip地址封装至url。
示例性地,终端的vpn标识和ip地址均可被封装在url的查询参数中。
终端接收到url后,可通过该url访问portal服务器,即根据该url向portal服务器发送第一访问请求消息,第一访问请求消息包括vpn标识和终端的ip地址。
s202、接入设备接收portal服务器发送的认证请求消息,认证请求消息携带终端的ip地址和vpn标识。
portal服务器接收到第一访问请求消息后,可解析url,从而获取url中封装的vpn标识。之后portal服务器在封装作为认证请求消息的portal协议报文时,可在portal协议报文的属性(attributes)字段增加终端的vpn标识。
s203、接入设备若确定已认证的终端中,不存在与ip地址和vpn标识匹配的终端,则请求认证服务器对终端进行认证。
接入设备收到认证请求消息(portal协议报文)后,可从认证请求消息中获取终端的ip地址和vpn标识。进而判断已认证的终端中,是否存在与该ip地址和vpn标识匹配的终端,若不存在,说明该终端未认证过,则接入设备可以请求认证服务器对终端进行认证。
可选地,在认证服务器对终端进行认证后,若接入设备接收到认证服务器发送的认证成功消息,则以ip地址和vpn标识为索引,存储终端的认证信息。
可以理解的,若接入设备确定已认证的终端中,存在与该ip地址和vpn标识均匹配的终端,说明终端已通过认证,无需重复认证,则接入设备不会请求认证服务器对终端进行认证。
采用本申请实施例提供的接入认证方法,接入设备向终端发送的url中包括终端所属的vpn标识,后续终端可接收到portal服务器发送的认证请求消息,该认证请求消息携带终端的ip地址和vpn标识,进而接入设备在确定已认证的终端中,不存在与该ip地址和vpn标识匹配的终端,则请求认证服务器对终端进行认证。可见,由于本申请实施例中,接入设备不仅要判断ip地址是否与已认证的终端的ip地址相同,还要对终端所属的vpn进行匹配,若不存在与该ip地址和vpn均匹配的终端,则认为该终端为之前未认证过的终端,进而请求认证服务器对该终端进行认证,避免了接入设备将具有相同ip地址的终端视为同一个终端,而导致的同一接入设备不能供不同vpn中具有相同ip地址的终端接入的问题。
对应于图2所示的实施例,本申请实施例还提供另一种接入认证方法,该方法由portal服务器执行,如图3所示,该方法包括:
s301、portal服务器接收终端发送的第一访问请求消息,第一访问请求消息包括终端所属的vpn标识。
其中,该url为终端向接入设备发送httpget消息后,接入设备向终端返回的url,终端可通过该url访问portal服务器。
第一访问请求消息还包括终端的ip地址。
s302、portal服务器向接入设备发送认证请求消息,认证请求消息携带终端的ip地址和vpn标识。
可以理解的是,portal服务器可从第一访问请求消息中获取终端的ip地址,根据终端的ip地址确定为终端服务的接入设备,且portal服务器可通过解析url获取终端的vpn标识,将vpn标识封装在认证请求消息的属性字段中,并向接入设备发送认证请求消息。
可以理解的是,由于认证请求消息携带终端的ip地址和vpn标识,可以使得接入设备在确定已认证的终端中,不存在与ip地址和vpn标识匹配的终端时,请求服务器对终端进行认证。
采用本申请实施例提供的接入认证方法,portal服务器接收终端发送的第一访问请求消息,第一访问请求消息中携带终端的vpn标识,从而portal服务器可在向接入设备发送的认证请求消息中携带终端的vpn标识和ip地址,使得接入设备可根据vpn标识和ip地址综合判断该终端是否已认证过。从而避免了接入设备将具有相同ip地址的终端视为同一个终端,而导致的同一接入设备不能供不同vpn中具有相同ip地址的终端接入的问题。
以下结合具体的portal认证流程对本申请实施例提供的接入认证方法进行详细说明,如图4所示,具体包括以下步骤:
s401、终端向接入设备发送同步序列编号(synchronizesequencenumbers,syn)报文。
其中,终端如果需要访问网络,可以向接入设备发送http报文请求访问网络,而http报文的传输层使用传输控制协议(transmissioncontrolprotocol,tcp),所以终端在发送http报文前,需通过三次握手与接入设备建立tcp连接。
s402、接入设备确定终端未认证过,则替代接收到的syn报文的目的地址,向终端回复sny确认(acknowledgement,ack)报文。
s403、终端向接入设备发送ack报文。
其中,终端向接入设备发送ack报文后,代表终端与接入设备之间已经建立了tcp连接,进而可执行s404。
s404、终端向接入设备发送用于请求访问网络的httpget请求报文。
其中,httpget请求报文携带终端的ip地址和终端所属的vpn标识。
s405、接入设备向终端发送http响应报文,http响应报文携带portal服务器的url。
其中,接入设备接收到终端发送的httpget请求报文后,将拦截该httpget请求报文,并封装http响应报文,http响应报文中封装了portal服务器的url,url可以以地址链接的形式被封装在http响应报文中。
url的格式为:协议://主机名:端口号/按键路径/文件名?查询参数。查询参数可以以关键字=取值的形式。
其中,查询参数部分携带终端的ip地址和vpn标识。
例如,url可以为:http://portalserver.com:8080?vpn=vpn1&userip=2.2.2.2.
示例性地,用于表示vpn标识的参数名称可以为vpn,或者为uservpn(用户vpn),或者为url-parameteruservpnsource(用户vpn资源参数)-vpn。
例如,可在url中封装参数uservpn,该参数的值为vpn标识。
s406、终端向portal服务器发送第一访问请求报文。
其中,终端接收到http响应报文后,可以将从http响应报文中获取到的url以地址链接的形式封装在第一访问请求报文中。第一访问请求报文携带终端所属的vpn标识和终端的ip地址。
可以理解的是,portal服务器接收到访问请求报文后,可通过解析url确定终端的ip地址,以及终端所属的vpn标识。
s407、portal服务器根据url中的参数向终端推送指定页面。
其中,终端显示指定页面后,用户可在该指定页面中输入用户名和密码。
s408、终端向portal服务器发送用户输入的用户名和密码。
示例性地,用户输入用户名和密码后,可点击“确认”选项,当终端识别到用户点击“确认”选项后,则向portal服务器发送用户输入的用户名和密码。
s409、portal服务器向接入设备发送portal协议报文,portal协议报文中携带终端的ip地址和vpn标识。
具体的,portal服务器可确定终端的ip地址对应的接入设备,进而向该接入设备发送portal协议报文。
portal协议报文中还包括用户输入的用户名和密码,vpn标识可以被携带在portal协议报文的类型-长度-值(typelenghtvalue,tlv)属性中。
s410、接入设备若确定已认证的终端中,不存在与ip地址和vpn标识匹配的终端,则向aaa服务器发送远程访问拨号用户服务(remoteauthenticationdialinuserservice,radius)协议报文。
其中,radius协议报文用于请求认证服务器对终端进行认证,该radius协议报文中携带终端的ip地址以及用户输入的用户名和密码。
可选地,接入设备若确定已认证的终端中,存在与ip地址和vpn标识匹配的终端,则不会请求aaa服务器对终端进行认证,具体可参考现有技术中接入设备对已认证过的终端的处理流程。
s411、aaa服务器向接入设备发送认证结果。
其中,aaa服务器可通过radius协议报文携带的终端的ip地址,以及用户输入的用户名和密码对终端进行认证,具体认证方法可参考相关技术,此处不再赘述。
s412、接入设备向portal服务器发送portal协议回应报文。
可选地,若认证结果为认证成功,则portal协议回应报文携带认证成功消息。
若认证结果为认证失败,则portal协议回应报文携带认证失败消息。
s413、portal服务器向终端发送认证结果。
可以理解的,若认证结果为认证成功,则终端可以访问网络;若认证结果为认证失败,则终端无法访问网络。
对应于上述方法实施例,本申请实施例提供一种接入认证装置,该装置应用于接入设备,如图5所示,该装置包括发送模块501、接收模块502、存储模块503和封装模块504。
发送模块501,用于向终端发送包括终端所属的vpn标识的url,以使得终端向portal服务器发送第一访问请求消息,第一访问请求消息包括vpn标识。
接收模块502,用于接收portal服务器发送的认证请求消息,认证请求消息携带终端的互联网协议ip地址和vpn标识。
发送模块501,还用于若确定已认证的终端中,不存在与ip地址和vpn标识匹配的终端,则请求认证服务器对终端进行认证。
可选地,存储模块503,用于若接收模块502接收到认证服务器发送的认证成功消息,则以ip地址和vpn标识为索引,存储终端的认证信息。
可选地,接收模块501,还用于接收终端发送的第二访问请求消息,第二访问请求中携带终端的vpn标识;
封装模块504,用于将vpn标识封装至url。
对应于上述方法实施例,本申请实施例提供一种接入认证装置,该装置应用于portal服务器,如图6所示,该装置包括:接收模块601和发送模块602。
接收模块601,用于接收终端发送的第一访问请求消息,第一访问请求消息包括终端所属的虚拟专用网络vpn标识;
发送模块602,用于向接入设备发送认证请求消息,认证请求消息携带终端的互联网协议ip地址和vpn标识;
其中,认证请求消息的属性字段中包括vpn标识。
本申请实施例还提供了一种接入设备,如图7所示,包括处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信,
存储器703,用于存放计算机程序;
处理器701,用于执行存储器703上所存放的程序时,实现上述方法实施例中由接入设备执行的步骤。
上述接入设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述接入设备与其他设备之间的通信。
存储器可以包括随机存取存储器(randomaccessmemory,ram),也可以包括非易失性存储器(non-volatilememory,nvm),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(centralprocessingunit,cpu)、网络处理器(networkprocessor,np)等;还可以是数字信号处理器(digitalsignalprocessing,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例还提供了一种portal服务器,如图8所示,包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,
存储器803,用于存放计算机程序;
处理器801,用于执行存储器803上所存放的程序时,实现上述方法实施例中由portal服务器执行的步骤。
上述portal服务器提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述portal服务器与其他设备之间的通信。
存储器可以包括随机存取存储器(randomaccessmemory,ram),也可以包括非易失性存储器(non-volatilememory,nvm),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(centralprocessingunit,cpu)、网络处理器(networkprocessor,np)等;还可以是数字信号处理器(digitalsignalprocessing,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一接入认证方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一接入认证方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!