终端设备的认证方法、通信系统和相关设备与流程

本技术实施例涉及通信领域，尤其涉及终端设备的认证方法、通信系统和相关设备。

背景技术：

1、随着企业网络的应用和发展，维护网络信息安全变得越来越重要。网络接入控制(network admission control，nac)安全解决方案从对接入网络的终端进行安全控制入手，将终端安全状况和网络准入控制结合在一起，通过各种手段，以加强网络用户终端的主动防御能力，进而保护企业整网的安全性。

2、在传统方法中，终端设备通过接入设备进行门户网站portal认证，以获取转发权限。在终端设备的移动过程中，与终端设备连接的接入设备也会改变。假设终端设备与接入设备a连接到时候发起了网络接入请求，之后在与接入设备b连接的过程中发起portal认证请求。由于网络接入请求携带的重定向消息指示的是接入设备a，导致接入设备a收到认证结果。然而此时终端设备已经移动到与接入设备b建立连接，接入设备b并没有收到认证结果，无法对终端设备开启转发权限，导致网络不通。

技术实现思路

1、本技术实施例提供了终端设备的认证方法、通信系统和相关设备。在终端设备的认证方法中，门户网站认证系统在接收第一接入设备转发的连接请求的前提下，会向转发门户网站认证请求的第二接入设备(也即终端设备最新对应的接入设备)发送认证信息，确保终端设备能够顺利认证并获取转发权限，保证了网络的畅通。

2、本技术第一方面提供了一种终端设备的认证方法，该方法应用于门户网站认证系统，包括：

3、门户网站认证系统通过接入设备与终端设备建立通信连接，在终端设备进行门户网站认证的过程中，终端设备需要先与门户网站认证系统建立连接，以接入网络，再进行认证，使得终端设备能够访问网络。由于接入设备在终端设备移动的过程中，与该终端设备连接的接入设备可能会发生变化，使得转发终端设备的连接请求和门户网站认证请求的接入设备不同。也就是说，门户网站认证系统会接收第一接入设备转发的终端设备的连接请求，以及第二接入设备转发的终端设备的门户网站认证请求，并向第二接入设备发送认证信息，以对终端设备进行认证。其中，认证信息包括但不限于用户名、密码、终端设备的标识等，具体此处不做限定。终端设备的标识也有多种可能，包括互联网协议(internetprotocol，ip)地址、媒体访问控制(media access control，mac)地址，除此之外还包括其他类型的设备标识，例如设备序列号等，具体此处不做限定。

4、从以上技术方案可以看出，本技术实施例具有以下优点：

5、在终端设备移动，转发终端设备的连接请求和门户网站认证请求的接入设备不一样的情况下，门户网站认证系统能够向终端设备最新接入的接入设备发送认证信息，确保终端设备能够顺利认证并获取转发权限，保证了网络的畅通。

6、在第一方面的一种可能的实现方式中，门户网站认证系统包括门户网站服务器，门户网站服务器接收到的连接请求或者门户网站认证请求中携带终端设备的第一标识，第一标识用来确定第二接入设备。门户网站服务器在向第二接入设备发送认证信息之前，会查询门户网站服务器存储的第一拓扑，从而确定第一标识对应的第二标识，第二标识对应的是此时与终端设备连接的第二接入设备。第一拓扑实际上反映的是第一标识和第二标识的对应的关系。根据第二标识，门户网站服务器能够确定第二接入设备。

7、本技术实施例中，门户网站服务器获取到终端设备对应的门户网站认证请求之后，会查询指示终端设备标识与接入设备标识的对应关系的拓扑，从而确定此时与终端设备实际接入的接入设备，进一步保证了终端设备的认证能够顺利进行。

8、在第一方面的一种可能的实现方式中，门户网站服务器除了能够存储指示终端设备标识与接入设备标识的对应关系的拓扑之外，还会对拓扑进行更新。在终端设备接入第一接入设备的情况下，门户网站服务器会建立指示终端设备与第一接入设备的对应关系的第二拓扑。然后门户网站服务器获取到标识信息，该标识信息指示终端设备的第一标识和第二接入设备的第二标识，也就是说，标识信息指示了终端设备和第二接入设备之间的对应关系。因此，门户网站服务器根据标识信息，将第二拓扑更新为第一拓扑，也即意味着终端设备所接入的接入设备由第一接入设备变为了第二接入设备。

9、本技术实施例中，门户网站服务器会更新指示终端设备标识与接入设备标识的对应关系的拓扑，从而准确地确定出此时与终端设备实际接入的接入设备，提升了本技术实施例的准确度和可靠性。

10、在第一方面的一种可能的实现方式中，门户网站服务器可以获取来自于第二接入设备的标识信息。具体来说，终端设备接入第二接入设备所对应的接入点，该接入点获取到终端设备的第一标识，并将第一标识上报给第二接入设备。第二接入设备将自身的第二标识和第一标识上报给门户网站服务器。

11、在第一方面的一种可能的实现方式中，门户网站服务器还可以通过其他方式获取到标识信息。具体来说，门户网站服务器获取接入点的第一报文，该第一报文中携带终端设备的第一标识和接入点的第三标识，第一报文指示终端设备和接入点之间的对应关系。这一接入点接连接第二接入设备。门户网站服务器还会获取第二接入设备上报的第二报文，第二报文中携带第二标识和第三标识，以指示第二接入设备与接入点之间的对应关系。总的来说，门户网站服务器获取到第一报文和第二报文，也就获取到了第一标识和第二标识，并确定第一标识与第二标识之间的对应关系。

12、本技术实施例中，门户网站服务器获取标识信息的方式有多种可能，可以根据实际应用的需要选择，丰富了本技术技术方案的实现方式，提升了本技术技术方案的灵活性。

13、在第一方面的一种可能的实现方式中，门户网站认证系统处理包括门户网站服务器之外，还可以包括网管设备。门户网站服务器接收连接请求和门户网站认证请求，连接请求或者门户网站认证请求中携带终端设备的第一标识。网管设备中存储有指示终端设备和终端设备所接入的接入设备之间的对应关系的拓扑，门户网站服务器在向第二接入设备发送认证信息之前，会查询存储在网管设备的第一拓扑，以确定终端设备所对应的接入设备，也即确定第一标识对应的接入设备标识。由于第一拓扑包括第一标识和第二标识的对应关系，第二标识指示第二接入设备，因此门户网站服务器能够确定此时终端设备接入的是第二接入设备。

14、本技术实施例中，指示了终端设备与接入设备的对应关系的拓扑，除了能存储在门户网站服务器中，还可以存储在独立于门户网站服务器的网管设备中，从而降低了门户网站服务器的内存占用。同时，也丰富了本技术技术方案的应用场景，提升了本技术技术方案的灵活性。

15、在第一方面的一些可选的实现方式中，网管设备也可以存储并更新指示终端设备与接入设备之间对应关系的拓扑。具体来说，在终端设备接入第一接入设备的情况下，网管设备会建立指示终端设备与第一接入设备之间的对应关系的第一拓扑。在终端设备的位置移动所接入的设备变为第二接入设备的情况下，网管设备会获取标识信息，该标识信息指示终端设备的第一标识和第二接入设备的第二标识，也就是说，标识信息指示了终端设备和第二接入设备之间的对应关系。因此，网管设备根据标识信息，将第二拓扑更新为第一拓扑，也即意味着终端设备所接入的接入设备由第一接入设备变为了第二接入设备。

16、本技术实施例中，网管设备会更新指示终端设备标识与接入设备标识的对应关系的拓扑，从而准确地确定出此时与终端设备实际接入的接入设备，提升了本技术实施例的准确度和可靠性。

17、在第一方面的一些可选的实现方式中，网管设备可以获取来自于第二接入设备的标识信息。具体来说，终端设备接入第二接入设备所对应的接入点，该接入点获取到终端设备的第一标识，并将第一标识上报给第二接入设备。第二接入设备将自身的第二标识和第一标识上报给网管设备。

18、在第一方面的一种可能的实现方式中，网管设备还可以通过其他方式获取到标识信息。具体来说，网管设备获取接入点的第一报文，该第一报文中携带终端设备的第一标识和接入点的第三标识，第一报文指示终端设备和接入点之间的对应关系。这一接入点接连接第二接入设备。网管设备还会获取第二接入设备上报的第二报文，第二报文中携带第二标识和第三标识，以指示第二接入设备与接入点之间的对应关系。总的来说，网管设备获取到第一报文和第二报文，也就获取到了第一标识和第二标识，并确定第一标识与第二标识之间的对应关系。

19、本技术实施例中，网管设备获取标识信息的方式有多种可能，可以根据实际应用的需要选择，丰富了本技术技术方案的实现方式，提升了本技术技术方案的灵活性。

20、在第一方面的一种可能的实现方式中，第一标识用于唯一指示终端设备，包括终端设备的mac地址、ip地址、或设备标识中的至少一项。第二标识用于唯一指示第二接入设备，包括第二接入设备的mac地址、ip地址、或设备标识中的至少一项。

21、本技术实施例中，第一标识和第二标识的类型有多种可能，可以根据实际应用的需要选择，进一步提升了本技术技术方案的灵活性。

22、在第一方面的一种可能的实现方式中，门户网站服务系统包括门户网站服务器，门户网站服务器在接收第一接入设备转发的门户网站认证请求之后，会向第一接入设备发送认证信息。在终端设备从接入第一接入设备移动到接入第二接入设备的情况下，第一接入设备会向门户网站服务器发送响应信息，该响应信息携带了指示终端设备与第一接入设备连接状态发生改变的状态信息。具体来说，状态信息所指示的连接状态改变是指，终端设备由接入第一接入设备变为不与第一接入设备接入。因此，门户网站服务器获取响应信息，并根据响应信息所携带的状态信息，确定终端设备此时所接入的接入设备并不是第一接入设备。那么门户网站服务器会向与门户网站服务器连接的其他接入设备发送认证信息，以对终端设备进行认证。其中，其他接入设备不包括第一接入设备，且其他接入设备包括第二接入设备。

23、本技术实施例中，在终端设备断开与第一接入设备接入的情况下，第一接入设备对门户网站服务器发送的认证信息所回复的响应信息会指示终端设备不与第一接入设备连接，使得门户网站服务器能够确定终端设备位置改变，并向其他接入设备发送认证信息。这种基于轮询的方式解决终端设备的移动认证问题，不需要门户网站认证系统存储指示终端设备与接入设备对应关系的拓扑，丰富了本技术技术方案的应用场景。

24、在第一方面的一种可能的实现方式中，门户网站服务器在向第二接入设备发送认证信息之后，会获取来自于第二接入设备的认证结果，并将认证结果发送给终端设备。其中，认证结果指示认证成功或者认证失败。

25、本技术实施例第二方面提供了一种通信系统，该通信系统包括门户网站认证系统、第一接入设备、第二接入设备和终端设备。

26、门户网站认证系统，用于：接收第一接入设备转发的终端设备的连接请求；接收第二接入设备转发的终端设备的门户网站认证请求；向第二接入设备发送认证信息，以对终端设备进行认证。

27、在第二方面的一种可能的实现方式中，门户网站认证系统，还用于：查询第一拓扑，确定第一标识对应的第二标识，第二标识指示第二接入设备，第一拓扑包括第一标识和第二标识的对应关系；门户网站服务器根据第二标识，确定第二接入设备。

28、在第二方面的一种可能的实现方式中，门户网站认证系统，具体用于：建立指示终端设备与第一接入设备的对应关系的第二拓扑；获取标识信息，标识信息包括指示终端设备的第一标识和指示第二接入设备的第二标识，标识信息指示终端设备与第二接入设备的对应关系；根据标识信息，更新第二拓扑，得到第一拓扑。

29、在第二方面的一种可能的实现方式中，门户网站认证系统，具体用于：获取来自于第二接入设备的标识信息。

30、在第二方面的一种可能的实现方式中，门户网站认证系统，具体用于：获取来自于接入点的第一报文，第一报文携带第一标识和接入点的第三标识，第一报文指示终端设备与接入点的对应关系，接入点连接第二接入设备；获取来自于第二接入设备的第二报文，第二报文携带第二标识和第三标识，第二报文指示第二接入设备与接入点的对应关系。

31、在第二方面的一种可能的实现方式中，门户网站认证系统，还用于：向第一接入设备发送认证信息；获取来自于第一接入设备的响应信息，响应信息携带状态信息，状态信息指示终端设备与第一接入设备的连接状态发生改变；基于响应信息，向门户网站服务器连接的其他接入设备发送认证信息，其他接入设备不包括第一接入设备，且其他接入设备包括第二接入设备。

32、在第二方面的一种可能的实现方式中，门户网站认证系统，还用于：获取来自于第二接入设备的认证结果；向终端设备发送认证结果。

33、在第二方面的一种可能的实现方式中，第一标识，包括终端设备的互联网协议(internet protocol，ip)地址、媒体访问控制(media access control，mac)地址、或设备标识中的至少一项。第二标识，包括第二接入设备的ip地址、mac地址、或设备标识中的至少一项。

34、本技术实施例第二方面所提供的通信系统中的门户网站认证系统用于实现前述第一方面以及第一方面任一种实现方式所示的方法，有益效果与第一方面以及第一方面任一种实现方式类似，此处不再赘述。

35、本技术实施例第三方面提供了一种门户网站认证系统，其特征在于，门户网站认证系统，用于：接收第一接入设备转发的终端设备的连接请求；接收第二接入设备转发的终端设备的门户网站认证请求；向第二接入设备发送认证信息，以对终端设备进行认证。

36、在第三方面的一种可能的实现方式中，门户网站认证系统包括门户网站服务器；连接请求或者门户网站认证请求携带终端设备的第一标识。

37、门户网站服务器，还用于：查询存储于门户网站服务器的第一拓扑，确定第一标识对应的第二标识，第二标识指示第二接入设备，第一拓扑包括第一标识和第二标识的对应关系；根据第二标识，确定第二接入设备。

38、在第三方面的一种可能的实现方式中，门户网站服务器，还用于：建立指示终端设备与第一接入设备的对应关系的第二拓扑；获取标识信息，标识信息包括指示终端设备的第一标识和指示第二接入设备的第二标识，标识信息指示终端设备与第二接入设备的对应关系；根据标识信息，更新第二拓扑，得到第一拓扑。

39、在第三方面的一种可能的实现方式中，门户网站服务器，具体用于获取来自于第二接入设备的标识信息。

40、在第三方面的一种可能的实现方式中，门户网站服务器，具体用于：获取来自于接入点的第一报文，第一报文携带第一标识和接入点的第三标识，第一报文指示终端设备与接入点的对应关系，接入点连接第二接入设备；获取来自于第二接入设备的第二报文，第二报文携带第二标识和第三标识，第二报文指示第二接入设备与接入点的对应关系。

41、在第三方面的一种可能的实现方式中，门户网站认证系统包括门户网站服务器和网管设备；连接请求或者门户网站认证请求携带终端设备的第一标识。

42、门户网站服务器，还用于：门户网站服务器查询存储于网管设备的第一拓扑，确定第一标识对应的第二标识，第二标识指示第二接入设备，第一拓扑包括第一标识和第二标识的对应关系；根据第二标识，确定第二接入设备。

43、在第三方面的一种可能的实现方式中，网管设备，还用于：建立指示终端设备与第一接入设备的对应关系的第二拓扑；获取标识信息，标识信息包括指示终端设备的第一标识和指示第二接入设备的第二标识，标识信息指示终端设备与第二接入设备的对应关系；根据标识信息，更新第二拓扑，得到第一拓扑。

44、在第三方面的一种可能的实现方式中，网管设备，具体用于获取来自于第二接入设备的标识信息。

45、在第三方面的一种可能的实现方式中，网管设备，具体用于：获取来自于接入点的第一报文，第一报文携带第一标识和接入点的第三标识，第一报文指示终端设备与接入点的对应关系，接入点连接第二接入设备；获取来自于第二接入设备的第二报文，第二报文携带第二标识和第三标识，第二报文指示第二接入设备与接入点的对应关系。

46、在第三方面的一种可能的实现方式中，门户网站认证系统，包括门户网站服务器，用于：向第一接入设备发送认证信息；获取来自于第一接入设备的响应信息，响应信息携带状态信息，状态信息指示终端设备与第一接入设备的连接状态发生改变；基于响应信息，向门户网站服务器连接的其他接入设备发送认证信息，其他接入设备不包括第一接入设备，且其他接入设备包括第二接入设备。

47、在第三方面的一种可能的实现方式中，门户网站服务器，还用于：获取来自于第二接入设备的认证结果；向终端设备发送认证结果。

48、在第三方面的一种可能的实现方式中，第一标识，包括终端设备的ip地址、mac地址、或设备标识中的至少一项。第二标识，包括第二接入设备的ip地址、mac地址、或设备标识中的至少一项。

49、本技术实施例第三方面所提供的门户网站认证系统用于实现前述第一方面以及第一方面任一种实现方式所示的方法，有益效果与第一方面以及第一方面任一种实现方式类似，此处不再赘述。

50、本技术实施例第四方面提供了一种门户网站服务器，包括：处理器和存储器；

51、存储器用于存储计算机指令，处理器被配置为调用计算机指令以使得门户网站服务器执行如前述第一方面任一种实现方式中门户网站服务器所执行的操作。

52、本技术实施例第五方面提供了一种网管设备，其特征在于，包括：处理器和存储器；

53、存储器用于存储计算机指令，处理器被配置为调用计算机指令以使得网管设备执行如前述第一方面任一种实现方式中网管设备所执行的操作。

54、本技术实施例第六方面提供了一种计算机可读存储介质，计算机可读存储介质中保存有程序，当计算机执行该程序时，执行第一方面以及第一方面任一种实现方式的方法。

55、本技术实施例第七方面提供了一种计算机程序产品，其特征在于，当计算机程序产品在计算机上执行时，该计算机执行第一方面以及第一方面任一种实现方式的方法。

56、本技术第四方面至第六方面中任一方面所示的有益效果与与第一方面以及第一方面任一种实现方式类似，此处不再赘述。