一种离线用户认证状态维护方法及系统与流程

本申请涉及wlan认证技术领域，尤其涉及一种离线用户认证状态维护方法及系统。

背景技术：

无线终端在通过wlan(wirelesslocalareanetworks，无线局域网)使用互联网时，wlan中的认证服务器可为无线终端提供认证服务。用户的无线终端在ac设备上具有pre-auth(认证前)和post-auth(认证后)两种认证状态。一般，在用户首次接入wlan网络时，无线终端处于pre-auth状态，待认证通过后变更为post-auth。在变更为post-auth后用户才可以访问互联网。实际应用中，在无线终端认证成功后，ac设备中通常要创建表项，用以存储认证状态。但在用户离线并且对应的表项也删除以后，用户对应的认证状态则丢失。如果用户再次接入wlan，需要再次进行认证。因此，频繁的认证过程会给用户带来不便，影响用户体验。

为了使得用户再次接入wlan时，不需要再次进行认证以便提升用户体验，现有技术中，可以在无线终端首次认证通过后，将无线终端的信息记录在radius服务器中(remoteauthenticationdialinuserservice，远程用户拨号认证系统)。在无线终端再次接入时，直接用对应的信息作为账号密码，到radius服务器进行认证，并在认证通过后用户状态直接变为post-auth。因此，在用户再次接入时，整个认证过程，不会弹出portal认证页面给无线终端，让用户输入账号密码，认证过程用户不会感知，从而提升用户使用体验。

但上述离线用户的认证方式在实际应用中，用户在首次接入wlan网络时，需要等待无感知认证失败后才会进行正常的portal认证。导致portal页面比正常的portal认证流程具有延迟。并且上述认证方式需要radius服务器支持将无线终端的信息写入数据库，并从数据库从查找。并且，由于对于radius服务器，mac地址作为账号密码的认证请求和普通账号密码的认证请求是没有区别的，因此radius服务器每收到一个认证请求报文都需要去查询对应数据库，增加radius服务器的负担。此外，如果当前wlan环境中部署了多个radius服务器，如果同一个无线终端的首次认证，在radius服务器1完成，而再次上线在radius服务器2完成，则需要重复认证或者单独部署一台数据库服务器供所有radius服务器读写。因此，传统的维护方法会增加radius服务器的负担，造成认证和维护的效率低下的问题。

技术实现要素：

本申请提供了一种离线用户认证状态维护方法及系统，以解决传统认证状态维护方法认证效率低的问题。

第一方面，本申请提供一种离线用户认证状态维护方法，包括：

ac设备获取待认证无线终端的统一标识信息；

根据所述统一标识信息，在所述ac设备中查找免认证表项；

如果在所述免认证表项中，查找到所述无线终端对应的统一识别信息，提取所述无线终端对应的认证信息；

根据所述认证信息，设置所述无线终端的认证状态为post-auth。

可选的，根据所述统一标识信息在所述ac设备中查找免认证表项的步骤后，所述方法还包括：

如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息，向认证服务器发起认证；

接收所述认证服务器返回的认证结果报文；

如果接收到的认证结果报文为成功，使用所述无线终端对应的统一标识信息为索引，在ac设备中创建免认证表项。

可选的，所述免认证表项中包括所述认证服务器下发的配置属性信息，所述方法还包括：

从所述认证服务器获取所述无线终端对应的配置属性信息；

以所述统一标识信息为索引，将所述配置属性信息存储在所述免认证表项中。

可选的，根据所述统一标识信息在所述ac设备中查找免认证表项的步骤后，所述方法还包括：

如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息，认证服务器向所述无线终端发送认证页面；

在所述无线终端从认证页面提交认证信息后，验证提交的认证信息；

在提交的认证信息验证通过后，向所述ac设备返回内容为成功的认证结果报文。

可选的，在提交的认证信息验证通过后，所述方法还包括：

所述认证服务器下发配置属性信息至所述ac设备；以使所述ac设备，根据所述统一识别信息为索引，将所述配置属性信息保存在所述免认证表项中。

可选的，所述统一标识信息为所述无线终端的mac地址。

可选的，设置所述无线终端的状态为post-auth的步骤，还包括：

通过终端表项保存所述无线终端的认证状态；

将所述免认证表项中保存的认证信息拷贝至所述所述终端表项。

可选的，所述方法还包括：

由ac设备实时监控所述无线终端的在线状态；

在所述无线终端离线时，记录离线持续时间；

在记录的所述离线持续时间到达预设老化时间后，删除所述终端表项。

另一方面，本申请还提供一种离线用户认证状态维护系统，包括：无线终端、ac设备、ap设备以及认证服务器，其中，所述ac设备、ap设备以及认证服务器之间通过组网形成连接互联网的wlan网络，所述无线终端通过所述ap设备连接所述ac设备；

所述无线终端包含有或被标记有统一标识信息，所述无线终端用于展示认证页面，以及提供用户交互，所述无线终端在连接所述wlan网络后，触发所述认证服务器对所述无线终端进行认证；

所述ac设备被进一步配置为执行以下程序步骤：

获取待认证无线终端的统一标识信息；

根据所述统一标识信息，在所述ac设备中查找免认证表项；

如果在所述免认证表项中，查找到所述无线终端对应的统一识别信息，提取所述无线终端对应的认证信息；

根据所述认证信息，设置所述无线终端的认证状态为post-auth。

可选的，所述ac设备被进一步配置为执行以下程序步骤：

如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息，向认证服务器发起认证；

接收所述认证服务器返回的认证结果报文；

如果接收到的认证结果报文为成功，使用所述无线终端对应的统一标识信息为索引，在ac设备中创建免认证表项；

所述认证服务器被进一步配置为执行以下程序步骤：

如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息，认证服务器向所述无线终端发送认证页面；

在所述无线终端从认证页面提交认证信息后，验证提交的认证信息；

在提交的认证信息验证通过后，向所述ac设备返回内容为成功的认证结果报文。

由以上技术方案可知，本申请提供一种离线用户认证状态维护方法及系统，所述方法在实际应用中，先通过ac设备获取待认证无线终端的统一标识信息，以及在ac设备中查找免认证表项；如果在免认证表项中，查找到统一识别信息，提取对应的认证信息；以及将无线终端的认证状态设置为post-auth，使无线终端连接互联网。

本申请提供的方法在用户短暂离线再次接入wlan网络时，无需radius服务器去读写数据库，减轻radius服务器的负担。并且免认证功能只在ac设备上实施，无需ac设备和radius服务器都进行支持配置，也无需额外增加数据库服务器，此外，认证状态维护过程没有增加网络中报文交互，可以减轻网络负载，提高维护方法的认证效率。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一种离线用户认证状态维护方法的流程示意图；

图2为本申请在无线终端首次接入wlan网络时的维护流程示意图；

图3为本申请在免认证表项中存储配置属性信息的流程示意图；

图4为本申请认证服务器对首次接入wlan无线终端进行认证的流程示意图；

图5为本申请删除终端表项的流程示意图；

图6本申请一种离线用户认证状态维护系统的结构示意图。

具体实施方式

下面将详细地对实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下实施例中描述的实施方式并不代表与本申请相一致的所有实施方式。仅是与权利要求书中所详述的、本申请的一些方面相一致的系统和方法的示例。

在本申请提供的技术方案中，所述无线终端(station，sta)是指用户使用的上网设备，无线终端支持通过wlan方式连接互联网，并且具有相应的运算功能和数据处理能力，例如手机、个人计算机、无线网卡、平板电脑等。本申请提供的技术方案中，除另有说明外，所提到的用户也是指所述无线终端。对于无线终端，在认证过程中，包括认证前(pre-auth)和认证后(post-auth)两种状态。通常，无线终端在刚刚接入wlan网络时，处于pre-auth状态，而通过认证服务器的认证后，处于post-auth状态。显然，当无线终端处于post-auth状态时，才能够正常使用wlan网络进行上网。

所述ap设备(accesspoint，无线接入点)，可以与ac设备一起，组成wlan网络，其中，ac设备作为无线控制器，可以同时连接入多个ap设备，并作为ap设备的上层网络对接入的ap设备进行控制管理。在实际应用中，ap设备设置在具体的应用场景内，可以覆盖不同的空间区域，以使覆盖范围内的无线终端能够检测到ap设备的无线网络信号，并通过ap设备上线到wlan网络。根据不同的网络规模，在实际应用中，可以包含多个ap设备和多个ac设备。

所述认证服务器，包括portal服务器和radius服务器。其中，portal服务器(portalserver)是一种web服务器，因此可以无线终端进行http协议交互，推送认证页面，从认证页面中获取用户名密码等认证所需信息等。所述radius服务器(radiusserver)用于接收ac设备发来的认证报文；验证认证信息以及返回认证结果给ac设备。实际应用中，对于大规模的wlan网络，其中可以包含多个认证服务器，多个认证服务器分别为其下属的网路提供认证服务。

参见图1，为本申请一种离线用户认证状态维护方法的流程示意图。由图1可知，本申请提供的离线用户认证状态维护方法，包括：

s11：ac设备获取待认证无线终端的统一标识信息。

本申请提供的技术方案中，所述统一标识信息是指能够唯一识别该无线终端的标识信息，例如所述无线终端的mac地址(mediaaccesscontroladdress，媒体访问控制地址)。实际应用中，由于无线终端的mac地址能够唯一标识该无线终端，因此可以在无线终端首次认证通过后，将无线终端的mac地址记录在radius服务器。然后在无线终端再次接入时，直接用无线终端的mac地址作为账号密码，在radius服务器进行radius认证，认证通过后用户状态直接变为post-auth。这样用户再次接入时，整个认证过程用户不感知，不会再弹portal认证页面给sta让用户输入账号密码，从而提升用户使用体验。

但由于仅在radius服务器记录无线终端的mac地址存在占用radius服务器写入和控制运算资源的问题，因此在本申请提供的技术方案中，所述ac设备也对无线终端的mac地址进行提取，并且在ac设备中额外创建一个记载无线终端mac地址和认证信息的免认证表项，以便从ac设备上实施对应的查找。因此，对于步骤s11，用户的无线终端在接入wlan网络后，需要触发对应的认证功能，而为了便于ac设备确定待认证的无线终端是否为首次接入wlan网络，在本申请提供的技术方案中，同样使用无线终端的mac地址作为索引。通过mac地址，一方面可以直接唯一确定无线终端，避免出现判断错误；另一方面可以直接兼容现有的认证状态维护方法以便表项信息能够直接进行拷贝、交换和存储。

s12：根据所述统一标识信息，在所述ac设备中查找免认证表项。

实际应用中，在ac设备提取到无线终端的mac地址后，可以根据mac地址在ac设备存储的免认证表项中进行查找。对于ac设备中存储的免认证表项，其包含在一定时间段内所有已通过认证的无线终端mac地址，以及对应无线终端在进行认证过程时输入和输出的认证信息。例如，认证账号、密码以及认证后的配置属性等。

在本申请提供的技术方案中，ac设备都通过获取无线终端的mac地址，以及在免认证表项中查找对应的mac地址，以确定当前无线终端是否可以进行免认证。当从ac设备保存的免认证表项中查找到当前无线终端对应的mac地址，则确定当前无线终端在当前时间段内，认证成功过，即可以进行免认证。而当在免认证表项中没有查询到当前无线终端对应的mac地址时，则可以确定当前无线终端是首次接入wlan网络。对于可以进行免认证的无线终端，本申请可以通过执行步骤s13，完成无线终端的免认证，即：

s13：如果在所述免认证表项中，查找到所述无线终端对应的统一识别信息，提取所述无线终端对应的认证信息。

例如，无线终端1在接入wlan网络时，需要发送与认证相关的报文进行认证，此时，无线终端1的认证状态为pre-auth。ac设备在接收到报文后，可以在接收到的报文中或直接从无线终端1的连接配置文件中，提取无线终端1的mac地址为：00：01：6c：06：a6：29，在获取mac地址后，根据该mac地址查找免认证表项。如果查找成功，则确定无线终端1在当前时间段内，认证成功过，因此，可以通过ac设备直接将无线终端的认证状态设置为post-auth。

s14：根据所述认证信息，设置所述无线终端的认证状态为post-auth。

本申请提供的技术方案中，ac设备上的无线终端认证状态变为post-auth后，即可正常连接互联网，实施上网操作。由于在认证过程中，无需再进行portal认证流程也无需radius服务器参与，因此在用户体验角度，可以觉得再次接入wlan并没有进行认证就可以直接访问互联网，达到免认证的效果。

上述步骤展示如何实现无线终端的免认证效果。由于在传统维护方法中，当无线终端再次接入wlan网络时，由radius服务器从数据库中查找无线终端对应表项内容。而实际应用中，如果radius服务器对应的网络中连接或曾经连接的无线终端数量很多时，数据库中保存的数据量也非常大，因此会造成radius服务器需要分配较大的运算资源去完成mac的查找。可见，与传统方法相比，本申请可以利用ac设备保存的免认证表项对无线终端的mac地址进行查找，相对于认证服务器，ac设备所连接的无线终端数量要少的多，因此ac设备实施查找时的效率要明显高于认证服务器。同时，ac设备进行查找，也能节省认证服务器的运算能力，从而大大减轻认证服务器的负担。

进一步地，如图2所示，根据所述统一标识信息在所述ac设备中查找免认证表项的步骤后，所述方法还包括：

s121：如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息，向认证服务器发起认证；

s122：接收所述认证服务器返回的认证结果报文；

s123：如果接收到的认证结果报文为成功，使用所述无线终端对应的统一标识信息为索引，在ac设备中创建免认证表项。

实际应用中，当无线终端首次接入wlan网络，或者在当前时间段内首次接入wlan网络，则在ac设备保存的免认证表项中，无法查询到无线终端对应的统一识别信息。因此，在本申请中，如果无线终端首次接入wlan网络，无线终端的状态为pre-auth。同样，可以通过提取无线终端的mac地址。并且，在ac设备中查找对应的免认证表项，显然，无法从免认证表项中查找到对应的信息，即首次查找失败。

在首次查找失败后，则需要对无线终端实行认证，即portal认证，具体的认证流程可以与常规portal认证流程相同，本申请不再赘述。直至认证服务器回复accessaccept报文，表示认证成功。实际应用中ac设备在收到accessaccept报文后，将无线终端的认证状态设置为post-auth。同时，ac设备通过无线终端的mac地址为索引，创建免认证表项。

进一步地，如图3所示，所述免认证表项中包括所述认证服务器下发的配置属性信息，所述方法还包括：

s124：从所述认证服务器获取所述无线终端对应的配置属性信息；

s125：以所述统一标识信息为索引，将所述配置属性信息存储在所述免认证表项中。

可见，在本实施例中，认证服务器，在无线终端首次上线认证时，会针对认证无线终端下发配置属性，例如：上下行带宽等。由于在无线终端再次上线时，如果在ac设备查找到对应mac的免认证表项，因此，无需再去认证服务器进行认证。进而，在ac设备存储的免认证表项中，应该将这些认证服务器下发的属性保存在免认证表项中，以使无线终端能够通过应用这些配置属性，快速实现上网。进一步地，免认证表项中还可以保存其他用于信息维护无线终端认证状态的信息，例如：终端类型等。具体其它需要保存的信息可以根据实现情况具体选择。

进一步地，所述方法中，还可以通过终端表项保存所述无线终端的认证状态；将所述免认证表项中保存的认证信息拷贝至所述所述终端表项。本申请中，终端表项保存维护无线终端认证状态所有需要的相关信息。

需要说明的是，上述步骤适用于ac设备，即在实际应用中，可以将ac设备配置为执行以上程序步骤。而在上述步骤中，对于认证未通过认证的无线终端，则无需维护其认证状态，因此也就不需要创建对应的免认证表项和终端表项。

对应与以上提供的技术方案，在本申请中，需要对认证服务器进行如下配置，即如图4所示，所述认证服务器在无线终端首次接入wlan网络时，需要执行以下步骤：

s21：如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息，认证服务器向所述无线终端发送认证页面；

s22：在所述无线终端从认证页面提交认证信息后，验证提交的认证信息；

s23：在提交的认证信息验证通过后，向所述ac设备返回内容为成功的认证结果报文。

本申请中，如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息则代表当前无线终端首次(或者在一定时间段内首次)接入wlan网络，则需要认证服务器进行认证，即认证服务器向所述无线终端发送认证页面，无线终端在接收到认证页面，输入认证账号和密码，完成提交认证信息。实际应用中，是通过ac设备推送认证页面的url，然后在无线终端访问url后，portal服务器返回认证页面。认证服务器再对认证信息进行验证，并且在认证通过后，ac设备返回内容为成功的认证结果报文。

进一步地，在提交的认证信息验证通过后，所述方法还包括：所述认证服务器下发配置属性信息至所述ac设备；以使所述ac设备，根据所述统一识别信息为索引，将所述配置属性信息保存在所述免认证表项中。

在本申请的部分实施例中，如图5所示，在所述认证服务器中完成认证后，所述方法还包括：

s151：由ac设备实时监控所述无线终端的在线状态；

s152：在所述无线终端离线时，记录离线持续时间；

s153：在记录的所述离线持续时间到达预设老化时间后，删除所述终端表项。

本实施例中，无线终端在完成认证后，进入post-auth状态，即可以进行正常的上网操作。而ac设备在对首次认证通过的无线终端创建免认证表项，保存相关的认证信息。待无线终端离线后，可以对终端的离线持续时间进行判断，如果用户在预设的老化时间内再次上线，则可通过无线终端的mac地址，查找ac设备上保存的免认证表项。进而，如果查找到对应的表项，则无线终端直接使用保存的认证信息进行认证，并将无线终端的认证状态变为post-auth，无需sta再次去进行认证。如果未查找到就需要重新进行认证。

如果无线终端的离线时间超过预设老化时间，即所述无线终端在预设的老化时间内，没有再次上线。为了避免ac设备上存储大量无用信息，可以将终端项老化删除。由于在本申请中，依赖ac设备上保存的免认证表项，因此该表项应当存活一个较长时间，并且，实际使用时可以通过在ac上配置来确定。

需要说明的是，ac设备中存储有两个表项，即终端表项和免认证表项。终端表项看用于维护无线终端的离线状态，但是终端表项的存活时间较短，比如1个小时。而免认证表项可以存活时间较长，比如1天。两个表项的存活时间都可以在ac上配置的。但终端表项存活时间太长会导致ac设备上存储大量无用表项，而浪费内存，而免认证表项所需要的内存可以比终端表项小的多，因此设置存活时间久一点。

由以上技术方案可知，本申请提供的离线用户认证状态维护方法与传统维护方法相比，可以实现在不使用认证服务器的情况下，通过在ac设备上的免认证表项，使得用户再次接入wlan无需认证。并且通过配置，灵活的定义免认证表项在ac设备上的存活时间。并且，使用无线终端的mac地址作为索引来维护表项，无需定义其他标识信息，可以避免对ac设备和radius服务器同时更改配置。

此外，本申请提供的离线用户认证状态维护方法，还不需要radius服务器去读写数据库，减轻radius服务器的负担。并且维护认证功能只在ac设备上实现，无需ac设备和radius服务器都要支持，也无需增加数据库服务器。并且，相对于正常的认证过程，本申请没有增加网络中报文交互，还可以减轻网络负载。

基于上述离线用户认证状态维护方法，如图6所示，本申请还提供一种离线用户认证状态维护系统，包括：无线终端、ac设备、ap设备以及radius服务器，其中，所述ac设备、ap设备以及radius服务器之间通过组网形成连接互联网的wlan网络，所述无线终端通过所述ap设备连接所述ac设备；

所述无线终端包含有或被标记有统一标识信息，所述无线终端用于展示认证页面，以及提供用户交互，所述无线终端在连接所述wlan网络后，触发所述radius服务器对所述无线终端进行认证；

所述ac设备被进一步配置为执行以下程序步骤：

获取待认证无线终端的统一标识信息；

根据所述统一标识信息，在所述ac设备中查找免认证表项；

如果在所述免认证表项中，查找到所述无线终端对应的统一识别信息，提取所述无线终端对应的认证信息；

根据所述认证信息，设置所述无线终端的认证状态为post-auth。

进一步地，所述ac设备被进一步配置为执行以下程序步骤：

如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息，向认证服务器发起认证；

接收所述认证服务器返回的认证结果报文；

如果接收到的认证结果报文为成功，使用所述无线终端对应的统一标识信息为索引，在ac设备中创建免认证表项；

所述认证服务器被进一步配置为执行以下程序步骤：

如果在所述免认证表项中，未查找到所述无线终端对应的统一识别信息，认证服务器向所述无线终端发送认证页面；

在所述无线终端从认证页面提交认证信息后，验证提交的认证信息；

在提交的认证信息验证通过后，向所述ac设备返回内容为成功的认证结果报文。

需要说明的是，在本申请提供的技术方案中，还可以使用无线终端的mac地址和其它信息作为索引来维护表项，以使对应的表项维护过程更加智能。而对于在ac设备上维护表项，也可以部署一台数据库服务器，即设置在ac设备本机或者其它ac设备可访问的设备上，以供ac设备进行信息读写，提高整个系统的存储能力。

由以上技术方案可知，本申请提供一种离线用户认证状态维护方法及系统，所述方法在实际应用中，先通过ac设备获取待认证无线终端的统一标识信息，以及在ac设备中查找免认证表项；如果在免认证表项中，查找到统一识别信息，提取对应的认证信息；以及将无线终端的认证状态设置为post-auth，使无线终端连接互联网。

本申请提供的方法在用户短暂离线再次接入wlan网络时，无需radius服务器去读写数据库，减轻radius服务器的负担。并且免认证功能只在ac设备上实施，无需ac设备和radius服务器都进行支持配置，也无需额外增加数据库服务器，此外，认证状态维护过程没有增加网络中报文交互，可以减轻网络负载，提高维护方法的认证效率。

本申请提供的实施例之间的相似部分相互参见即可，以上提供的具体实施方式只是本申请总的构思下的几个示例，并不构成本申请保护范围的限定。对于本领域的技术人员而言，在不付出创造性劳动的前提下依据本申请方案所扩展出的任何其他实施方式都属于本申请的保护范围。