一種Portal認證方法和設(shè)備的制作方法
【專利摘要】本發(fā)明提供一種Portal認證方法和設(shè)備,其中方法包括:接入設(shè)備接收終端發(fā)送的網(wǎng)絡(luò)訪問請求�;接入設(shè)備向所述終端返回重定向報文,所述重定向報文攜帶Portal服務(wù)器地址��、以及所述終端對應(yīng)的終端標識信息���,以使得所述終端根據(jù)所述Portal服務(wù)器地址將所述終端標識信息發(fā)送至Portal服務(wù)器����。本發(fā)明解決了Portal認證時的IP地址沖突的問題��。
【專利說明】一種Portal認證方法和設(shè)備
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及入口認證技術(shù)�����,特別涉及一種Portal認證方法和設(shè)備����。
【背景技術(shù)】
[0002] Portal認證通常也稱為Web認證,一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站����,當(dāng)用戶 需要訪問互聯(lián)網(wǎng)時,需要在門戶網(wǎng)站進行認證�����,只有認證通過后才可以使用互聯(lián)網(wǎng)資源。隨 著網(wǎng)絡(luò)技術(shù)的發(fā)展���,運營商開始采用"LTE-Fi+AC"的組網(wǎng)方式���,以提高網(wǎng)絡(luò)利用率和WLAN 的部署和覆蓋率,這種方式的組網(wǎng)中�,作為接入設(shè)備的LTE-Fi采用分布式部署,由無線控 制器(Access Controller�����,AC)來管理這些分布式部署的多個LTE-Fi。每個LTE-Fi下可 以接入多個需要使用網(wǎng)絡(luò)資源的終端,這些終端要使用互聯(lián)網(wǎng)資源時也是需要進行Portal 認證的�����,但是Portal認證集中在AC上進行管理��。例如��,LTE-Fi在接收到終端發(fā)送的Portal 認證請求時���,會重定向至Portal服務(wù)器����,由Portal服務(wù)器將終端的認證請求轉(zhuǎn)發(fā)至AC, AC去向認證服務(wù)器認證����;如果認證通過,AC會向LTE-Fi下發(fā)數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則����,用于終端在 LTE-Fi上的數(shù)據(jù)轉(zhuǎn)發(fā)。
[0003] 上述方式可能存在的問題是�����,終端上網(wǎng)所需要的IP地址是由其關(guān)聯(lián)的LTE-Fi分 配的���,如果每個LTE-Fi各自分配自己負責(zé)的IP地址段�����,有可能出現(xiàn)不同LTE-Fi下的兩個 終端具有相同的IP地址�����;而在集中管理認證的AC側(cè)�����,AC是根據(jù)IP地址來區(qū)分不同終端的���, 比如AC會記錄IP地址為***的終端已經(jīng)認證通過�����,并查找該IP地址對應(yīng)的終端關(guān)聯(lián)在哪 個LTE-Fi����,并向該LTE-Fi發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則�,但是如果AC側(cè)發(fā)現(xiàn)兩個IP地址相同的終端 將導(dǎo)致AC將無法區(qū)分,因此��,在AC不能出現(xiàn)IP地址沖突的情況��。為了避免IP地址沖突�����, 相關(guān)技術(shù)中有考慮為各個不同的LTE-Fi之間做IP地址規(guī)劃�����,各LTE-Fi之間用于分配的IP 地址段不能重疊��,但是這樣當(dāng)LTE-Fi數(shù)量很多有時會有上千臺時����,進行IP地址規(guī)劃將是一 個很大的工作量,不能適應(yīng)LTE-Fi的大規(guī)模部署�����。
【發(fā)明內(nèi)容】
[0004] 有鑒于此�,本發(fā)明提供一種Portal認證方法和設(shè)備,以解決Portal認證時的IP 地址沖突的問題���。
[0005] 具體地����,本發(fā)明是通過如下技術(shù)方案實現(xiàn)的:
[0006] 第一方面����,提供一種Portal認證方法,包括:
[0007] 接入設(shè)備接收終端發(fā)送的網(wǎng)絡(luò)訪問請求;
[0008] 所述接入設(shè)備向所述終端返回重定向報文����,所述重定向報文攜帶Portal服務(wù)器 地址、以及所述終端對應(yīng)的終端標識信息�����,以使得所述終端根據(jù)所述Portal服務(wù)器地址將 所述終端標識信息發(fā)送至Portal服務(wù)器�。
[0009] 可選的,所述終端標識信息��,包括:所述終端的MAC地址��。
[0010] 可選的�,所述終端標識信息還包括如下的至少一項:所述終端的IP地址;或者��,所 述接入設(shè)備的MAC地址和所述終端接入的VLAN ;或者���,時間戳信息�,所述時間戳信息用于表 示所述重定向報文的發(fā)送時間���。
[0011] 可選的��,所述接入設(shè)備在接收終端發(fā)送的網(wǎng)絡(luò)訪問請求之前��,還包括:所述接入設(shè) 備接收所述終端發(fā)送的地址分配請求�����;所述接入設(shè)備根據(jù)所述地址分配請求���,確定用于分 配給所述終端的待分配IP地址,并檢查所述接入設(shè)備的已關(guān)聯(lián)終端的IP地址是否與所述 待分配IP地址相同���,若存在IP地址與所述待分配IP地址相同的已關(guān)聯(lián)終端���,則將所述待 分配IP地址更改為另一個IP地址。
[0012] 可選的���,還包括:所述接入設(shè)備與新終端建立關(guān)聯(lián)�,所述新終端是從另一個接入設(shè) 備移至所述接入設(shè)備���;在確定所述新終端的IP地址與所述接入設(shè)備的已關(guān)聯(lián)終端的IP地 址相同時�,向所述新終端發(fā)送用于指示重新請求地址的地址重配請求�;所述接入設(shè)備接收 所述新終端發(fā)送的地址分配請求�����,并根據(jù)所述地址分配請求向所述新終端分配與所述IP 地址不同的另一個IP地址�。
[0013] 第二方面�,提供一種Portal認證方法,包括:
[0014] Portal服務(wù)器接收終端發(fā)送的重定向報文�����,所述重定向報文攜帶所述終端的IP 地址���、以及終端標識信息����;
[0015] 所述Portal服務(wù)器獲取所述終端的認證信息�����,并向無線控制器AC發(fā)送認證請求�����, 所述認證請求攜帶所述認證信息����、所述終端的IP地址和所述終端標識信息�����,以使得所述AC 根據(jù)所述IP地址和所述終端標識信息識別所述終端���。
[0016] 第三方面���,提供一種Portal認證方法�,包括:
[0017] 無線控制器接收Portal服務(wù)器發(fā)送的認證請求�����,所述認證請求中攜帶請求認證 的所述終端的第一 IP地址���、認證信息�、以及所述終端對應(yīng)的終端標識信息�;
[0018] 所述無線控制器將所述MAC地址和第一 IP地址對應(yīng)的所述認證信息發(fā)送至認證 服務(wù)器進行認證,并在認證通過時��,向所述終端關(guān)聯(lián)的接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則�����,所述數(shù) 據(jù)轉(zhuǎn)發(fā)規(guī)則用于所述接入設(shè)備轉(zhuǎn)發(fā)所述終端的數(shù)據(jù)。
[0019] 可選的�,所述終端標識信息,包括:所述終端的MAC地址��。
[0020] 可選的���,所述終端標識信息中還包括:加密的所述終端對應(yīng)的第二IP地址�;在所 述無線控制器接收Portal服務(wù)器發(fā)送的認證請求之后���,還包括:
[0021] 所述無線控制器解密所述終端標識信息�,得到所述第二IP地址����;所述無線控制器 將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較,若所述第一 IP地址與第二 IP地址不同����,則向所述Portal服務(wù)器返回認證失敗。
[0022] 可選的���,所述終端標識信息中還包括:時間戳信息����,所述時間戳信息用于表示所述 重定向報文的發(fā)送時間;在所述無線控制器接收Portal服務(wù)器發(fā)送的認證請求之后��,還包 括:所述無線控制器解密所述終端標識信息�����,得到所述時間戳信息�����;所述無線控制器將所 述時間戳信息與當(dāng)前時間比較�,若所述時間戳信息與所述當(dāng)前時間之間的間隔超過預(yù)定時 長���,則向Portal服務(wù)器返回認證失敗��。
[0023] 可選的�����,所述終端標識信息中還包括:所述接入設(shè)備的MAC地址和所述終端接入 的VLAN ;所述無線控制器向所述終端關(guān)聯(lián)的接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則�����,包括:所述無線 控制器根據(jù)所述接入設(shè)備的MAC地址和所述終端接入的VLAN��,向所述接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn) 發(fā)規(guī)則����。
[0024] 第四方面,提供一種接入設(shè)備���,包括:
[0025] 接收單元���,用于接收終端發(fā)送的網(wǎng)絡(luò)訪問請求;
[0026] 處理單元����,用于將Portal服務(wù)器地址、以及所述終端對應(yīng)的終端標識信息攜帶在 重定向報文中����;
[0027] 發(fā)送單元,用于向所述終端返回所述重定向報文�,以使得所述終端根據(jù)所述 Portal服務(wù)器地址將所述終端標識信息發(fā)送至Portal服務(wù)器。
[0028] 可選的�,所述終端標識信息還包括如下的至少一項:所述終端的MAC地址;或者, 所述終端的IP地址���;或者����,所述接入設(shè)備的MAC地址和所述終端接入的VLAN ;或者���,時間戳 信息���,所述時間戳信息用于表示所述重定向報文的發(fā)送時間。
[0029] 可選的�,所述接收單元,還用于接收所述終端發(fā)送的地址分配請求���;
[0030] 所述處理單元��,還用于根據(jù)所述地址分配請求,確定用于分配給所述終端的待分 配IP地址���,并檢查所述接入設(shè)備的已關(guān)聯(lián)終端的IP地址是否與所述待分配IP地址相同����, 若存在IP地址與所述待分配IP地址相同的已關(guān)聯(lián)終端,則將所述待分配IP地址更改為另 一個IP地址�。
[0031] 可選的,所述處理單元��,還用于與新終端建立關(guān)聯(lián)��,所述新終端是從另一個接入設(shè) 備移至所述接入設(shè)備��;并確定所述新終端的IP地址與所述接入設(shè)備的已關(guān)聯(lián)終端的IP地 址相同��;所述發(fā)送單元�,還用于向所述新終端發(fā)送用于指示重新請求地址的地址重配請求; 所述接收單元���,還用于接收所述新終端發(fā)送的地址分配請求���,并指示所述處理單元根據(jù)所 述地址分配請求向所述新終端分配與所述IP地址不同的另一個IP地址。
[0032] 第五方面����,提供一種Portal服務(wù)器,包括:
[0033] 信息接收單元���,用于接收終端發(fā)送的重定向報文�,所述重定向報文攜帶所述終端 的IP地址、以及終端標識信息��;
[0034] 認證請求單元���,用于獲取所述終端的認證信息���,并向無線控制器AC發(fā)送認證請 求,所述認證請求攜帶所述認證信息���、所述終端的IP地址和所述終端標識信息�,以使得所 述AC根據(jù)所述IP地址和終端標識信息識別所述終端�。
[0035] 第六方面,提供一種無線控制器����,包括:
[0036] 請求接收單元,用于接收Portal服務(wù)器發(fā)送的認證請求����,所述認證請求中攜帶請 求認證的所述終端的第一 IP地址�����、認證信息、以及所述終端對應(yīng)的終端標識信息�����;認證處 理單元����,用于將所述MAC地址和第一 IP地址對應(yīng)的所述認證信息發(fā)送至認證服務(wù)器進行認 證;結(jié)果發(fā)送單元��,用于在認證通過時����,向所述終端關(guān)聯(lián)的接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則,所 述數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則用于所述接入設(shè)備轉(zhuǎn)發(fā)所述終端的數(shù)據(jù)���。
[0037] 可選的��,所述認證處理單元���,還用于解密所述終端標識信息,得到終端標識信息中 包括的第二IP地址���;將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較��;所述 第一 IP地址與第二IP地址不同���,則指示所述結(jié)果發(fā)送單元向所述Portal服務(wù)器返回認證 失敗���。
[0038] 可選的,所述認證處理單元�����,還用于解密所述終端標識信息�,得到終端標識信息中 包括的時間戳信息,所述時間戳信息用于表示所述重定向報文的發(fā)送時間��;將所述時間戳 信息與當(dāng)前時間比較�,若所述時間戳信息與所述當(dāng)前時間之間的間隔超過預(yù)定時長,則指 示所述結(jié)果發(fā)送單元向所述Portal服務(wù)器返回認證失敗�����。
[0039] 可選的�����,所述請求接收單元接收的所述終端標識信息中還包括:所述接入設(shè)備的 MAC地址和所述終端接入的VLAN ;所述結(jié)果發(fā)送單元��,在發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則時���,具體是用于 根據(jù)所述接入設(shè)備的MAC地址和所述終端接入的VLAN�����,向所述接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī) 則����。
[0040] 本發(fā)明的Portal認證方法和設(shè)備���,AP在向終端發(fā)送重定向報文時�,會將終端的終 端標識信息也一起發(fā)送給終端�����,這樣終端在重定向至Portal服務(wù)器時會將該終端標識信 息也發(fā)送給Portal服務(wù)器���,使得Portal服務(wù)器在向AC發(fā)送認證請求時也會同樣將該終端 的終端標識信息發(fā)送至AC�����,AC就可以結(jié)合該終端標識信息識別IP地址相同的終端����。
【專利附圖】
【附圖說明】
[0041] 圖1是本發(fā)明實施例提供的Portal認證方法的應(yīng)用場景圖;
[0042] 圖2是本發(fā)明實施例提供的一種Portal認證方法的流程示意圖��;
[0043] 圖3是本發(fā)明實施例提供的另一種Portal認證方法的流程示意圖���;
[0044] 圖4是本發(fā)明實施例提供的又一種Portal認證方法的流程示意圖����;
[0045] 圖5是本發(fā)明實施例提供的又一種Portal認證方法的信令示意圖�����;
[0046] 圖6是本發(fā)明實施例提供的又一種Portal認證方法的信令示意圖����;
[0047] 圖7是本發(fā)明實施例提供的又一種Portal認證方法的信令示意圖;
[0048] 圖8是本發(fā)明實施例提供的又一種Portal認證方法的信令示意圖���;
[0049] 圖9是本發(fā)明實施例提供的接入設(shè)備AP的結(jié)構(gòu)示意圖���;
[0050] 圖10是本發(fā)明實施例提供的Portal服務(wù)器的結(jié)構(gòu)示意圖;
[0051] 圖11是本發(fā)明實施例提供的無線控制器的結(jié)構(gòu)示意圖���。
【具體實施方式】
[0052] Portal認證在網(wǎng)絡(luò)訪問中是一種常用的門戶認證方式����,當(dāng)前運營商將Portal認 證應(yīng)用在"LTE-Fi+AC"的組網(wǎng)中(LTE-FI是4G與WIFI融合的產(chǎn)品���,通過把4G-LTE技術(shù)和 WiFi技術(shù)有機地結(jié)合在一起����,將4G網(wǎng)絡(luò)作為透明通道回傳 WiFi業(yè)務(wù))���,參見圖1�����,圖1是本 發(fā)明實施例提供的Portal認證方法的應(yīng)用場景圖�����。LTE-Fi是將4G網(wǎng)絡(luò)和WiFi技術(shù)的結(jié) 合���,將4G網(wǎng)絡(luò)作為透明通道回傳 WiFi業(yè)務(wù),LTE-Fi集成了 FitAP和4G的功能(Fit AP是 與Fat AP相對來講的��,F(xiàn)at AP將WLAN的實體層、加密����、用戶認證、網(wǎng)絡(luò)管理等功能集于一 身��;而FitAP是一個只有射頻和通信功能的AP�,功能單一,不能獨立工作)���。在大型的運營 商網(wǎng)絡(luò)中�����,由于用戶量較大�,LTE-Fi采用分布式部署�����,參見圖1���,本發(fā)明實施例將LTE-Fi簡 稱為AP���,圖1示出了三個AP����,分別是API���、AP2和AP3,各個AP分別對關(guān)聯(lián)到自己的用戶設(shè) 備(User Equipment�,UE)分配IP地址���,但是這三個AP的UE均在AC側(cè)進行集中用戶管理。
[0053] 以圖1的場景為例�,在進行Portal認證時,UE向AP發(fā)送的網(wǎng)絡(luò)訪問請求�,會被AP 重定向至Portal服務(wù)器,UE需要輸入認證信息(例如����,用戶名和密碼)給Portal服務(wù)器; 再由Portal服務(wù)器向AC發(fā)送認證請求���,攜帶UE的標識和認證信息�����。并且����,圖1中所示的三 個AP下的各個UE (例如,UE1����、UE2和UE3),在進行Portal認證時�,認證請求都會由Portal 集中發(fā)給AC,再由AC將認證信息發(fā)送至認證服務(wù)器(例如�����,AAA服務(wù)器)進行認證�。
[0054] 本實施例的Portal認證方法,將針對上述的Portal認證流程�����,使得AC在集中管 理各個AP下的UE時����,能夠?qū)Σ煌腢E進行區(qū)分,并且即使不同AP下的UE出現(xiàn)了 IP地址 相同的情況����,在AC也能夠區(qū)分�。詳見如下各實施例:
[0055] 實施例一
[0056] 圖2是本發(fā)明實施例提供的一種Portal認證方法的流程示意圖�����,本實施例的方法 是由接入設(shè)備AP (即LTE-Fi)執(zhí)行的�,以AP2為例;可以包括:
[0057] 201����、AP接收UE發(fā)送的網(wǎng)絡(luò)訪問請求;
[0058] 例如��,該網(wǎng)絡(luò)訪問請求是向某個URL發(fā)起的HTTP訪問請求��,比如AP2下關(guān)聯(lián)的 UE2,要訪問某個.com域名的網(wǎng)站�����,那么UE2就會向AP2發(fā)送要訪問該域名的訪問請求����。需 要說明的是�����,此時當(dāng)UE向AP發(fā)起訪問請求時,UE已經(jīng)關(guān)聯(lián)在AP上����,包括AP已經(jīng)與UE建 立了無線連接并且為UE分配了 IP地址。
[0059] 202����、AP向終端返回重定向報文,該重定向報文攜帶Portal服務(wù)器地址����、以及終端 對應(yīng)的終端標識信息;
[0060] 本實施例中����,當(dāng)AP接收到UE發(fā)送的訪問請求,但是發(fā)現(xiàn)UE尚未進行Portal認證 時(只有Portal認證通過才可以訪問網(wǎng)絡(luò)資源)�,AP會將UE重定向至Portal服務(wù)器進行 認證。
[0061] 具體的�,以AP2為例,AP2會向UE2發(fā)送重定向報文�,該重定向報文攜帶Portal服 務(wù)器地址,以使得UE2根據(jù)該Portal服務(wù)器地址連接Portal服務(wù)器��;并且重定向報文中還 攜帶終端對應(yīng)的終端標識信息。AP2將終端標識信息發(fā)送至UE2, UE2在根據(jù)Portal服務(wù) 器地址向Portal服務(wù)器訪問時���,會將該終端標識信息一起發(fā)送給Portal服務(wù)器�。
[0062] 可選的�����,上述的終端標識信息中可以包括:UE2的MAC地址��,使得Portal服務(wù)器將 MAC地址發(fā)送至AC后����,AC根據(jù)該MAC地址實現(xiàn)對IP地址相同的終端的區(qū)分。具體實施中�����, 也可以采用MAC地址之外的其他信息來識別終端���,只要能夠起到對相同IP地址的終端進行 區(qū)分的功能即可。
[0063] 本實施例的Portal認證方法����,AP在向終端發(fā)送重定向報文時���,會將終端的MAC 地址也一起發(fā)送給終端,這樣終端在重定向至Portal服務(wù)器時會將該MAC地址也發(fā)送給 Portal服務(wù)器�����,使得Portal服務(wù)器在向AC發(fā)送認證請求時也會同樣將該終端的MAC地址 發(fā)送至AC�,AC就可以結(jié)合該MAC地址識別終端。
[0064] 實施例二
[0065] 圖3是本發(fā)明實施例提供的另一種Portal認證方法的流程示意圖�,本實施例的方 法是由Portal服務(wù)器執(zhí)行;如圖3所示��,可以包括:
[0066] 301��、Portal服務(wù)器接收終端發(fā)送的重定向報文���,該報文攜帶終端的IP地址���、以及 終端標識信息;
[0067] 例如���,該終端標識信息包括:終端的MAC地址�;
[0068] 本實施例中���,終端向Portal服務(wù)器發(fā)送的終端標識信息�,是由終端所關(guān)聯(lián)的AP發(fā) 送至終端的;需要說明的是���,本實施例將AP發(fā)送給終端的攜帶Portal服務(wù)器地址的報文稱 為重定向報文�,將終端根據(jù)該Portal服務(wù)器地址向Portal服務(wù)器發(fā)送的訪問請求(攜帶 終端標識信息)也稱為了重定向報文��,具體實施中當(dāng)然也可以采用其他名稱��。
[0069] 302��、Portal服務(wù)器獲取所述終端的認證信息����,并向無線控制器AC發(fā)送認證請求, 該認證請求攜帶認證信息�����、終端的IP地址和上述終端標識信息�����;
[0070] 本實施例中�����,Portal服務(wù)器在接收到UE發(fā)送的重定向報文后�����,會將登錄界面推送 給UE�����,UE側(cè)的用戶在該界面輸入用戶名和密碼后返回給Portal服務(wù)器����,該用戶名和密碼可 以稱為認證信息。
[0071] Portal服務(wù)器將向AC發(fā)送認證請求���,攜帶上述的認證信息�、終端的IP地址和上述 終端標識信息中的UE的MAC地址�����;這樣����,AC側(cè)就能夠根據(jù)IP地址和MAC地址識別終端���,t匕 如AC可以記錄為"IP+MAC"對應(yīng)的終端的認證信息。
[0072] 本實施例的Portal認證方法���,Portal服務(wù)器在向AC發(fā)送認證請求時會將UE的 IP地址和終端標識信息一起發(fā)送�;這樣在AC就能夠根據(jù)"IP+MAC"來識別不同的UE���,即使 兩個UE的IP地址相同�����,但是兩者的MAC地址是不同的�,因此AC仍然能夠識別這兩個UE�����,從 而解決了 IP地址沖突問題��。
[0073] 實施例三
[0074] 圖4是本發(fā)明實施例提供的又一種Portal認證方法的流程示意圖��,本實施例的方 法是由無線控制器AC執(zhí)行���;如圖4所示�,可以包括:
[0075] 401��、AC接收Portal服務(wù)器發(fā)送的認證請求��;
[0076] 其中���,Portal服務(wù)器在接收到UE的認證信息(包括用戶名和密碼)后�,會將該認 證信息攜帶在認證請求中發(fā)送至AC�����,認證請求中還攜帶UE的IP地址��、UE對應(yīng)的終端標識 信息(UE的MAC地址)��。本實施例中��,為了與后續(xù)實施例中出現(xiàn)的IP地址區(qū)分��,本實施例將 這里的認證請求中攜帶的UE的IP地址稱為第一 IP地址�。
[0077] 402、AC將MAC地址和第一 IP地址對應(yīng)的終端的認證信息發(fā)送至認證服務(wù)器進行 認證���,并在認證通過時��,向終端關(guān)聯(lián)的AP發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則����。
[0078] 本實施例中,AC是根據(jù)"IP+MAC"來區(qū)分不同的終端的�����,AC會將終端的認證信息 (例如包括用戶名和密碼)發(fā)送至認證服務(wù)器��,例如AAA服務(wù)器���。在AAA服務(wù)器認證通過 后�����,AC會將數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則發(fā)送至終端所關(guān)聯(lián)的AP��。該數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則是用于AP轉(zhuǎn)發(fā)終端的 數(shù)據(jù)�����。
[0079] 本實施例的Portal認證方法��,AC可以獲取到終端的IP地址和MAC地址����,并且根 據(jù)" IP+MAC"來區(qū)分不同的終端,這樣即使在AC集中管理的用戶中�,有兩個UE的IP地址相 同,但是由于兩者的MAC地址是不同的���,因此AC也能夠區(qū)分該兩個UE,從而解決了 IP地址 沖突的問題����。
[0080] 通過本發(fā)明實施例的方法,可以有效解決IP地址沖突的問題�����,即使存在IP地址相 同的UE�����,AC也能夠結(jié)合MAC加以區(qū)分����,這樣就使得不用在分布式部署的AP側(cè)統(tǒng)一規(guī)劃IP 地址段的分配���,不需要給每個AP劃分單獨的IP地址段,減少了工作量��,有利于LTE-Fi設(shè)備 的大規(guī)模部署���。
[0081] 實施例四
[0082] 圖5是本發(fā)明實施例提供的又一種Portal認證方法的信令示意圖����,本實施例的方 法描述了由AP��、Portal和AC等設(shè)備配合執(zhí)行的Portal認證的完整流程���;如圖5所示�,本實 施例的方法可以包括:
[0083] 501�、UE向AP發(fā)送網(wǎng)絡(luò)訪問請求;
[0084] 其中�����,當(dāng)UE與AP建立無線連接�����,并且AP為UE分配了 IP地址后,UE向AP發(fā)送網(wǎng) 絡(luò)訪問請求���。
[0085] 502�、AP向UE返回第一重定向報文���;
[0086] 其中���,當(dāng)AP確定UE尚未進行Portal認證(如果已經(jīng)通過認證,AP側(cè)會有記錄) 時�����,AP將向UE發(fā)送重定向報文����,本實施例稱為第一重定向報文��。
[0087] 具體的���,該第一重定向報文中攜帶Portal服務(wù)器地址�����、以及UE對應(yīng)的終端標識信 息���,該終端標識信息中可以包括:UE的MAC地址�����。本實施例中��,為了保證安全����,終端標識信息 采用加密處理�����;例如����,可以采用數(shù)據(jù)加密算法(Data Encryption Standard,簡稱:DES)或 高級加密標準(Advanced Encryption Standard,AES)等加密算法��。AP采用的加密算法和 相關(guān)參數(shù)可以預(yù)先在AP配置�����。加密的終端標識信息可以是在第一重定向報文中的某個私 有字段中設(shè)置。
[0088] 503��、UE向Portal服務(wù)器發(fā)送第二重定向報文�����;
[0089] 本步驟中���,UE將根據(jù)Portal服務(wù)器地址����,向Portal服務(wù)器發(fā)送第二重定向報文��, 其中攜帶UE的IP地址���、以及加密的終端標識信息。也就是說�����,UE在從AP接收到加密的終 端標識信息之后��,會在重定向時����,將該加密的終端標識信息發(fā)送至Portal服務(wù)器��。
[0090] 需要說明是�����,在502中AP在向UE發(fā)送第一重定向報文時��,在Portal服務(wù)器地址 以及終端標識信息之外��,還可以攜帶其他的參數(shù)�,例如AP的IP地址等�����,這是常規(guī)技術(shù)�,本實 施例不再詳述;并且��,同樣的����,UE在向Portal服務(wù)器發(fā)送第二重定向報文時,在UE的IP地 址以及終端標識信息之外,也可以攜帶其他參數(shù)���,例如UE加入的服務(wù)集標識(Service Set Identifier���,SSID)等。
[0091] 504����、Portal服務(wù)器發(fā)送登錄界面至UE ;
[0092] 其中,Portal服務(wù)器會將接收到的第二重定向報文中的UE的IP地址����、加密的終 端標識信息等提取出來,并進行保存��。
[0093] 505���、UE向Portal服務(wù)器發(fā)送認證信息����;
[0094] 例如�����,UE側(cè)的用戶可以通過登錄界面��,輸入用戶名���、密碼等信息�����,發(fā)送至Portal服 務(wù)器���,請求對認證信息進行認證。
[0095] 506�、Portal服務(wù)器向AC發(fā)送認證請求,該認證請求中攜帶:UE的IP地址和終端 標識信息�;
[0096] 本實施例中,Portal服務(wù)器將在504中接收到的加密的終端標識信息�,和UE的IP 地址一起發(fā)送至AC ;當(dāng)然,認證請求中還攜帶用于請求認證的認證信息���,比如用戶的用戶 名和密碼��。
[0097] 507���、AC將MAC和IP對應(yīng)的認證信息發(fā)送至AAA服務(wù)器請求認證;
[0098] 本實施例中,AC作為集中管理不同AP下的各個UE的設(shè)備��,以"IP+MAC"的組合 來區(qū)分不同的UE ;例如��,AC可以記錄"IP1+MAC1"對應(yīng)的UE1��,其認證信息是*#*����,記錄 " IP2+MAC2"對應(yīng)的UE2,其認證信息是AC將UE對應(yīng)的認證信息,例如用戶名和密碼��, 發(fā)送至AAA請求認證���。
[0099] 508���、AC接收到AAA服務(wù)器返回的認證成功的通知;
[0100] 509����、AC向Portal服務(wù)器通知認證成功;
[0101] 此外��,Portal服務(wù)器在接收到認證成功的通知后��,可以通知UE認證成功�,這些可 以按照常規(guī)技術(shù)進行,本實施例不再詳述�����。
[0102] 510���、AC向MAC和IP對應(yīng)的UE所關(guān)聯(lián)的AP發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則���;
[0103] 本實施例中,AC在確定" IP+MAC"對應(yīng)的UE認證成功后�,將下發(fā)該UE對應(yīng)的數(shù)據(jù) 轉(zhuǎn)發(fā)規(guī)則,該規(guī)則將下發(fā)至UE所關(guān)聯(lián)的AP上����;例如,參見圖1中的UE1����,AC會將數(shù)據(jù)轉(zhuǎn)發(fā)規(guī) 則發(fā)送至API,API將根據(jù)該規(guī)則轉(zhuǎn)發(fā)UE的數(shù)據(jù)��。
[0104] 本實施例的Portal認證方法�����,Portal服務(wù)器會將UE對應(yīng)的IP地址和MAC地址 均發(fā)送至AC,AC可以根據(jù)IP+MAC"識別不同的UE��,從而使得即使AC發(fā)現(xiàn)兩個IP地址相同 的UE����,也可以結(jié)合MAC進行區(qū)分。
[0105] 實施例五
[0106] 本實施例與實施例四的區(qū)別在于�,終端標識信息中還包括UE的MAC地址之外的其 他一些信息,這些信息是用于提高Portal認證的安全性��,詳見下述的圖6流程�����,圖6僅示出 了一些主要的與實施例四相區(qū)別的流程����,對于相同的流程例如將認證信息發(fā)送至AAA服務(wù) 器等,本實施例也會執(zhí)行���,但是這些在本實施例中將不再重復(fù)描述��,圖6中也不再顯示��。
[0107] 圖6是本發(fā)明實施例提供的又一種Portal認證方法的信令示意圖���,如圖6所示, 本實施例的方法可以包括:
[0108] 601����、UE向AP發(fā)送網(wǎng)絡(luò)訪問請求;
[0109] 602��、AP向UE返回第一重定向報文���;
[0110] 本實施例中�,第一重定向報文中攜帶Portal服務(wù)器地址���、以及加密的終端標識信 息�����,該終端標識信息不僅包括UE的MAC地址���,還包括如下至少一項:UE的IP地址、以及時 間戳信息�����,該時間戳信息用于表示第一重定向報文的發(fā)送時間。這里所述的至少一項的意 思是����,在UE的MAC地址之外,終端標識信息中可以只包括UE的IP地址��、或者只包括時間戳 信息��、或者時間戳信息和IP地址兩者都包括在終端標識信息中�����。
[0111] 603����、UE向Portal服務(wù)器發(fā)送第二重定向報文,將加密的終端標識信息也攜帶在 報文中發(fā)送至Portal服務(wù)器�;
[0112] 604、Portal服務(wù)器發(fā)送登錄界面至UE ;
[0113] 605�、UE向Portal服務(wù)器發(fā)送認證信息;
[0114] 606�、Portal服務(wù)器向AC發(fā)送認證請求,該認證請求中攜帶:UE的IP地址和加密 的終端標識信息���;
[0115] 在本步驟中�����,Portal服務(wù)器向AC發(fā)送的UE的IP地址有兩個�����,其中一個IP地址 是在603中UE發(fā)送至Portal服務(wù)器的��,這也是常規(guī)技術(shù)中Portal服務(wù)器需要將UE的IP 地址發(fā)送至AC ;另一個IP地址是攜帶在加密的終端標識信息中的��,這個加密的終端標識信 息是在AP側(cè)加密后�����,由UE轉(zhuǎn)發(fā)給Portal服務(wù)器���,Portal服務(wù)器也不會解密該信息,而是 將該加密的終端標識信息發(fā)送給AC��,終端標識信息中包括了 UE的IP地址��。
[0116] 為了在后續(xù)描述時能夠清楚的區(qū)分這兩個IP地址����,可以將加密的終端標識信息 中包括的IP地址稱為第二IP地址�,將另一個稱為第一 IP地址�。
[0117] 607、AC解密終端標識信息���,得到IP地址和時間戳信息�����;
[0118] 本實施例中�����,AC解密終端標識信息可以得到其中包括的第二IP地址�����,還可以得到 時間戳信息��。如前面說明過的�,終端標識信息包括第二IP地址��、和時間戳信息中的至少一 項即可,這里是以兩者均攜帶為例�����。
[0119] 此外�,AC和AP可以是預(yù)先配置的相同的加密算法和相關(guān)參數(shù),這樣終端標識信息 在AP側(cè)加密后����,AC可以采用相同的算法進行解密。
[0120] 608��、AC根據(jù)解密的終端標識信息進行初始認證判斷��;
[0121] 例如�,AC可以進行IP地址的比較�,將認證請求中攜帶的第一 IP地址與解密得到 的第二IP地址比較,如果第一 IP地址與第二IP地址不同�,則表明認證失敗,執(zhí)行609 ;否 貝lj���,AC初始認證通過后�,可以接著由AC向AAA服務(wù)器請求認證���,可以結(jié)合參見實施例四����。
[0122] IP地址比較來判斷是否認證通過是這樣的,舉例如下:假設(shè)UE1在進行Portal認 證流程�����,請求訪問網(wǎng)絡(luò)資源���;某個用戶UE4想要仿冒UE1�,其截獲了 UE1向Portal發(fā)送第一 重定向報文時攜帶的加密的終端標識信息��,因為按照本實施例的流程�����,UE1在重定向時是需 要將該加密的終端標識信息發(fā)送給Portal的�����,因此仿冒用戶在截獲后會將加密的終端標 識信息發(fā)送至Portal服務(wù)器��。但是����,終端標識信息中攜帶的是UE1的IP地址���,而UE4向 Portal服務(wù)器發(fā)送的認證請求中還攜帶的另一個IP地址是UE4自身的IP地址,這兩個地 址是不同的���,AC可以據(jù)此判斷加密的終端標識信息可能是被仿冒用戶截獲的�����。
[0123] 又例如�����,AC還可以根據(jù)時間戳信息進行比較�,將時間戳信息與當(dāng)前時間比較����,該當(dāng) 前時間可以是AC解密獲得該時間戳的時間����,或者也可以是AC接收到該認證請求的時間,也 可以說是AC本次處理認證請求的時間�;若時間戳信息與當(dāng)前時間之間的間隔超過預(yù)定時 長(例如該預(yù)定時長是5分鐘),則向Portal服務(wù)器返回認證失敗。
[0124] 通過時間戳的比較來判斷是否認證通過是這樣的���,舉例如下:假設(shè)UE1在進行 Portal認證流程�,AP在接收到UE1的網(wǎng)絡(luò)訪問請求后�����,向UE1返回了時間戳信息���;正常情況 下���,如果UE1繼續(xù)執(zhí)行后續(xù)的登錄Portal、向AC請求認證等����,在AC接收到Portal服務(wù)器發(fā) 送的認證請求時應(yīng)該不會太久。但是有些特殊情況����,比如Portal服務(wù)器向UE1推送登錄界 面后,UE1的用戶并未輸入用戶名和密碼進行認證���,而是停止輸入轉(zhuǎn)而去做其他的事情�,那 么這個認證流程在登錄界面這里就中斷了。
[0125] UE1的用戶有可能將該登錄界面保存下來比如放在收藏夾�����,等第二天上網(wǎng)時直接 打開昨天收藏夾的登錄界面進行輸入��,但是此時可能UE1的IP地址已經(jīng)與昨天不同了(用 戶上網(wǎng)時要重新分配IP地址)�,那么也就是說Portal服務(wù)器在昨天接收并存儲的加密的終 端標識信息中的IP地址是昨天的UE1的,這就不符合實際情況����,需要UE1重新向AP發(fā)送一 次網(wǎng)絡(luò)訪問請求,由AP重新向UE下發(fā)一次攜帶有本次IP地址的加密的終端標識信息���,因 此��,本次AC要反饋認證失敗�����,觸發(fā)Portal服務(wù)器通知UE重新啟動訪問�。
[0126] 609���、AC向Portal服務(wù)器返回認證失敗�����。
[0127] 本實施例的Portal認證方法�����,通過在終端標識信息中添加 UE的IP地址和時間戳 信息���,使得AC可以根據(jù)這些信息在向AAA請求認證之前,就判斷出用戶的認證信息存在問 題�,直接向Portal返回認證失敗�����;這樣加快了認證流程的速度��,并且提高了認證的安全性���。
[0128] 實施例六
[0129] 本實施例在實施例四的流程基礎(chǔ)上�����,在終端標識信息中增加了 :AP的MAC地址和 UE接入的VLAN信息����;當(dāng)然,終端標識信息中也可以包括實施例五中所述的時間戳等���。AP的 MAC地址和UE接入的VLAN信息�,主要是為了在認證通過時�,提高數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則的下發(fā)速度。
[0130] 例如��,AC在接收到AAA服務(wù)器返回的認證通過的通知后�,AC將向AP下發(fā)數(shù)據(jù)轉(zhuǎn)發(fā) 規(guī)則;此時���,AC可以根據(jù)解密終端標識信息得到的AP的MAC地址和UE接入的VLAN信息�, 快速準確的將數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則下發(fā)到AP��,并且UE接入的VLAN信息對應(yīng)了 AP上的某個端口���, 向該端口下發(fā)了用于UE的數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則��。
[0131] 實施例七
[0132] 本實施例針對的主要是UE在不同AP間漫游的情況��,例如�,假設(shè)UE1從API漫游至 AP2,此時AP2可以執(zhí)行本實施例的方法��,來解決IP地址沖突的問題���。圖7是本發(fā)明實施例 提供的又一種Portal認證方法的信令示意圖����,如圖7所示����,可以包括:
[0133] 701、AP接收UE發(fā)送的地址分配請求���;
[0134] 例如�����,位于AP2下關(guān)聯(lián)的UE2,向AP2發(fā)送地址分配請求��。
[0135] 702����、AP根據(jù)地址分配請求��,確定用于分配給UE的待分配IP地址;
[0136] 例如�����,AP2確定待分配IP地址是IP1�����,準備將IP1分配給UE2�����。
[0137] 703�、AP檢查已關(guān)聯(lián)終端的IP地址是否與待分配IP地址相同;
[0138] 例如��,前述的UE1已經(jīng)從API漫游至AP2, AP2可以比較已關(guān)聯(lián)終端UE1的IP地 址�,是否與待分配地址IP1相同。如果相同�,則執(zhí)行704。
[0139] 704���、AP將待分配IP地址更改為另一個IP地址�����;
[0140] 例如���,AP2將待分配IP地址IP1,更改為IP2,當(dāng)然IP1和IP2是AP2從自己負責(zé) 的IP段中選擇分配的����。
[0141] 705、AP將IP地址發(fā)送至UE���。
[0142] 例如���,AP2將IP2發(fā)送至UE2,作為分配至UE2的IP地址。如果703中的判斷結(jié)果 是兩個IP地址不同�,AP2可以直接將最初的待分配地址IP1發(fā)送至UE。
[0143] 在圖7所示的流程中�,AP在為關(guān)聯(lián)到自己的UE分配IP地址時,會先檢查在已關(guān) 聯(lián)自己的終端中是否存在與待分配IP相同的終端���,如果有則更換IP分配���。
[0144] 圖8是本發(fā)明實施例提供的又一種Portal認證方法的信令示意圖,如圖8所示, 可以包括:
[0145] 801����、AP與新終端建立關(guān)聯(lián);
[0146] 例如����,UE1從API漫游至AP2,那么對于AP2來說,UE1是新終端���。
[0147] 802���、AP確定新終端的IP地址與AP的已關(guān)聯(lián)終端的IP地址相同;
[0148] 例如����,AP2的已關(guān)聯(lián)終端是UE2, UE2的IP地址與UE1的IP地址相同,這里的UE1 的IP地址是UE1漫游之前在API分配的����。當(dāng)AP2發(fā)現(xiàn)兩者的IP地址相同時,可以繼續(xù)執(zhí) 行 803 ;
[0149] 803�����、AP向新終端發(fā)送重關(guān)聯(lián)指示;
[0150] 例如����,AP2向UE1發(fā)送重關(guān)聯(lián)指示,通知UE1重新進行關(guān)聯(lián)���。
[0151] 804�����、新終端根據(jù)重關(guān)聯(lián)指示,與AP之間執(zhí)行重關(guān)聯(lián)流程����,并請求AP分配IP地址;
[0152] UE1會根據(jù)AP發(fā)送的重關(guān)聯(lián)指示���,與AP之間執(zhí)行重關(guān)聯(lián)流程�����;例如UE1向AP發(fā)送 關(guān)聯(lián)請求幀開始關(guān)聯(lián)��,攜帶SSID和協(xié)商速率等信息�,重關(guān)聯(lián)流程可以按照常規(guī)流程執(zhí)行, 不再詳述�。建立關(guān)聯(lián)后,UE1將向AP請求分配IP地址��。
[0153] 805����、AP向新終端分配另一個IP地址;
[0154] 此時AP2會向UE1分配一個與UE2不同的IP地址��。
[0155] 通過本實施例的Portal認證方法�����,AP側(cè)可以在關(guān)聯(lián)漫游的UE時���,避免同一個AP 下的IP地址沖突情況的發(fā)生�。
[0156] 如下的實施例八至實施例十�,提供了設(shè)備的結(jié)構(gòu),在這些實施例中僅對設(shè)備結(jié)構(gòu) 進行簡單描述�,其具體的工作原理可以結(jié)合參見方法實施例。
[0157] 實施例八
[0158] 圖9是本發(fā)明實施例提供的接入設(shè)備AP的結(jié)構(gòu)示意圖�����,如圖9所示,該AP可以包 括:接收單元91�、處理單元92和發(fā)送單元93 ;其中,
[0159] 接收單元91�,用于接收終端發(fā)送的網(wǎng)絡(luò)訪問請求;
[0160] 處理單元92,用于將Portal服務(wù)器地址����、以及所述終端對應(yīng)的終端標識信息攜帶 在重定向報文中;例如��,該終端標識彳目息包括:終端的MAC地址���;
[0161] 發(fā)送單元93,用于向所述終端返回所述重定向報文�,以使得所述終端根據(jù)所述 Portal服務(wù)器地址將所述終端標識信息發(fā)送至Portal服務(wù)器�。
[0162] 進一步的�,所述終端標識信息還包括如下的至少一項:所述終端的IP地址;或者�, 所述接入設(shè)備的MAC地址和所述終端接入的VLAN ;或者,時間戳信息��,所述時間戳信息用于 表示所述重定向報文的發(fā)送時間�。
[0163] 進一步的,所述接收單元91�����,還用于接收所述終端發(fā)送的地址分配請求;所述處 理單元92,還用于根據(jù)所述地址分配請求��,確定用于分配給所述終端的待分配IP地址����,并 檢查所述接入設(shè)備的已關(guān)聯(lián)終端的IP地址是否與所述待分配IP地址相同,若存在IP地址 與所述待分配IP地址相同的已關(guān)聯(lián)終端���,則將所述待分配IP地址更改為另一個IP地址����。
[0164] 進一步的�,所述處理單元92,還用于與新終端建立關(guān)聯(lián),所述新終端是從另一個接 入設(shè)備移至所述接入設(shè)備�����;并確定所述新終端的IP地址與所述接入設(shè)備的已關(guān)聯(lián)終端的 IP地址相同����;所述發(fā)送單元93,還用于向所述新終端發(fā)送用于指示重新請求地址的地址重 配請求。接收單元91�����,還用于接收所述新終端發(fā)送的地址分配請求,并指示所述處理單元 92根據(jù)所述地址分配請求向所述新終端分配與所述IP地址不同的另一個IP地址��。
[0165] 實施例九
[0166] 圖10是本發(fā)明實施例提供的Portal服務(wù)器的結(jié)構(gòu)示意圖���,如圖10所示�,該 Portal服務(wù)器可以包括:信息接收單元1001和認證請求單元1002 ;其中���,
[0167] 信息接收單元1001�����,用于接收終端發(fā)送的重定向報文�����,所述重定向報文攜帶所述 終端的IP地址、以及終端標識信息�;例如,該終端標識信息包括:終端的MAC地址�����;
[0168] 認證請求單元1002,用于獲取所述終端的認證信息,并向無線控制器AC發(fā)送認證 請求���,所述認證請求攜帶所述認證信息��、所述終端的IP地址和所述終端標識信息����,以使得 所述AC根據(jù)所述IP地址和MAC地址識別所述終端�����。
[0169] 實施例十
[0170] 圖11是本發(fā)明實施例提供的無線控制器的結(jié)構(gòu)示意圖�����,如圖11所示��,該無線控制 器可以包括:請求接收單元1101�、認證處理單元1102和結(jié)果發(fā)送單元1103 ;其中,
[0171] 請求接收單元1101�����,用于接收Portal服務(wù)器發(fā)送的認證請求,所述認證請求中攜 帶請求認證的所述終端的第一 IP地址��、認證信息����、以及所述終端對應(yīng)的終端標識信息;例 如���,該終端標識信息包括:終端的MAC地址�;
[0172] 認證處理單元1102,用于將所述MAC地址和第一 IP地址對應(yīng)的所述認證信息發(fā)送 至認證服務(wù)器進行認證��;
[0173] 結(jié)果發(fā)送單元1103,用于在認證通過時�,向所述終端關(guān)聯(lián)的接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn) 發(fā)規(guī)則,所述數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則用于所述接入設(shè)備轉(zhuǎn)發(fā)所述終端的數(shù)據(jù)�。
[0174] 進一步的,認證處理單元1102����,還用于解密所述終端標識信息,得到終端標識信息 中包括的第二IP地址����;將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較;所 述第一 IP地址與第二IP地址不同�,則指示所述結(jié)果發(fā)送單元向所述Portal服務(wù)器返回認 證失敗���。
[0175] 進一步的�����,認證處理單元1102�����,還用于解密所述終端標識信息����,得到終端標識信息 中包括的時間戳信息,所述時間戳信息用于表示所述重定向報文的發(fā)送時間�;將所述時間 戳信息與當(dāng)前時間比較,若所述時間戳信息與所述當(dāng)前時間之間的間隔超過預(yù)定時長��,則 指示所述結(jié)果發(fā)送單元向所述Portal服務(wù)器返回認證失敗��。
[0176] 進一步的����,請求接收單元1101接收的所述終端標識信息中還包括:所述接入設(shè)備 的MAC地址和所述終端接入的VLAN ;結(jié)果發(fā)送單元1103,在發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則時,具體是用 于根據(jù)所述接入設(shè)備的MAC地址和所述終端接入的VLAN���,向所述接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī) 則��。
[0177] 以上所述僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明�����,凡在本發(fā)明的精 神和原則之內(nèi)��,所做的任何修改�、等同替換、改進等��,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)�。
【權(quán)利要求】
1. 一種Portal認證方法,其特征在于��,包括: 接入設(shè)備接收終端發(fā)送的網(wǎng)絡(luò)訪問請求�; 所述接入設(shè)備向所述終端返回重定向報文,所述重定向報文攜帶Portal服務(wù)器地址��、 以及所述終端對應(yīng)的終端標識信息����,以使得所述終端根據(jù)所述Portal服務(wù)器地址將所述 終端標識信息發(fā)送至Portal服務(wù)器�����。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述終端標識信息�����,包括:所述終端的MAC 地址��。
3. 根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于���,所述終端標識信息還包括如下的至少 一項: 所述終端的IP地址�����; 或者�����,所述接入設(shè)備的MAC地址和所述終端接入的VLAN ; 或者��,時間戳信息��,所述時間戳信息用于表示所述重定向報文的發(fā)送時間����。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述接入設(shè)備在接收終端發(fā)送的網(wǎng)絡(luò)訪 問請求之前�,還包括: 所述接入設(shè)備接收所述終端發(fā)送的地址分配請求; 所述接入設(shè)備根據(jù)所述地址分配請求���,確定用于分配給所述終端的待分配IP地址����,并 檢查所述接入設(shè)備的已關(guān)聯(lián)終端的IP地址是否與所述待分配IP地址相同���,若存在IP地址 與所述待分配IP地址相同的已關(guān)聯(lián)終端��,則將所述待分配IP地址更改為另一個IP地址��。
5. 根據(jù)權(quán)利要求1所述的方法���,其特征在于��,還包括: 所述接入設(shè)備與新終端建立關(guān)聯(lián),所述新終端是從另一個接入設(shè)備移至所述接入設(shè) 備��; 在確定所述新終端的IP地址與所述接入設(shè)備的已關(guān)聯(lián)終端的IP地址相同時����,向所述 新終端發(fā)送用于指示重新請求地址的地址重配請求; 所述接入設(shè)備接收所述新終端發(fā)送的地址分配請求���,并根據(jù)所述地址分配請求向所述 新終端分配與所述IP地址不同的另一個IP地址�。
6. -種Portal認證方法��,其特征在于�,包括: Portal服務(wù)器接收終端發(fā)送的重定向報文,所述重定向報文攜帶所述終端的IP地址�����、 以及終端標識信息; 所述Portal服務(wù)器獲取所述終端的認證信息����,并向無線控制器AC發(fā)送認證請求,所述 認證請求攜帶所述認證信息���、所述終端的IP地址和所述終端標識信息��,以使得所述AC根據(jù) 所述IP地址和所述終端標識信息識別所述終端���。
7. -種Portal認證方法,其特征在于���,包括: 無線控制器接收Portal服務(wù)器發(fā)送的認證請求����,所述認證請求中攜帶請求認證的所 述終端的第一 IP地址�、認證信息、以及所述終端對應(yīng)的終端標識信息�����; 所述無線控制器將所述MAC地址和第一 IP地址對應(yīng)的所述認證信息發(fā)送至認證服務(wù) 器進行認證�,并在認證通過時�,向所述終端關(guān)聯(lián)的接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則���,所述數(shù)據(jù)轉(zhuǎn) 發(fā)規(guī)則用于所述接入設(shè)備轉(zhuǎn)發(fā)所述終端的數(shù)據(jù)�����。
8. 根據(jù)權(quán)利要求7所述的方法����,其特征在于�,所述終端標識信息�,包括:所述終端的MAC 地址。
9. 根據(jù)權(quán)利要求7或8所述的方法����,其特征在于,所述終端標識信息中還包括:加密的 所述終端對應(yīng)的第二IP地址��; 在所述無線控制器接收Portal服務(wù)器發(fā)送的認證請求之后�����,還包括: 所述無線控制器解密所述終端標識信息����,得到所述第二IP地址����; 所述無線控制器將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較�����,若所 述第一 IP地址與第二IP地址不同���,則向所述Portal服務(wù)器返回認證失敗�。
10. 根據(jù)權(quán)利要求7所述的方法��,其特征在于��,所述終端標識信息中還包括:時間戳信 息�����,所述時間戳信息用于表示所述重定向報文的發(fā)送時間���; 在所述無線控制器接收Portal服務(wù)器發(fā)送的認證請求之后�,還包括: 所述無線控制器解密所述終端標識信息,得到所述時間戳信息����; 所述無線控制器將所述時間戳信息與當(dāng)前時間比較,若所述時間戳信息與所述當(dāng)前時 間之間的間隔超過預(yù)定時長��,則向所述Portal服務(wù)器返回認證失敗���。
11. 根據(jù)權(quán)利要求7所述的方法�����,其特征在于�,所述終端標識信息中還包括:所述接入 設(shè)備的MAC地址和所述終端接入的VLAN ; 所述無線控制器向所述終端關(guān)聯(lián)的接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則����,包括:所述無線控制 器根據(jù)所述接入設(shè)備的MAC地址和所述終端接入的VLAN���,向所述接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī) 則�����。
12. -種接入設(shè)備���,其特征在于����,包括: 接收單元����,用于接收終端發(fā)送的網(wǎng)絡(luò)訪問請求; 處理單元���,用于將Portal服務(wù)器地址�、以及所述終端對應(yīng)的終端標識信息攜帶在重定 向報文中����; 發(fā)送單元,用于向所述終端返回所述重定向報文���,以使得所述終端根據(jù)所述Portal服 務(wù)器地址將所述終端標識信息發(fā)送至Portal服務(wù)器����。
13. 根據(jù)權(quán)利要求12所述的接入設(shè)備��,其特征在于�,所述終端標識信息還包括如下的 至少一項:所述終端的MAC地址;或者,所述終端的IP地址���;或者����,所述接入設(shè)備的MAC地 址和所述終端接入的VLAN ;或者�,時間戳信息,所述時間戳信息用于表示所述重定向報文 的發(fā)送時間��。
14. 根據(jù)權(quán)利要求12所述的接入設(shè)備���,其特征在于��, 所述接收單元���,還用于接收所述終端發(fā)送的地址分配請求���; 所述處理單元,還用于根據(jù)所述地址分配請求���,確定用于分配給所述終端的待分配IP 地址���,并檢查所述接入設(shè)備的已關(guān)聯(lián)終端的IP地址是否與所述待分配IP地址相同,若存在 IP地址與所述待分配IP地址相同的已關(guān)聯(lián)終端��,則將所述待分配IP地址更改為另一個IP 地址���。
15. 根據(jù)權(quán)利要求12所述的接入設(shè)備�����,其特征在于���, 所述處理單元,還用于與新終端建立關(guān)聯(lián),所述新終端是從另一個接入設(shè)備移至所述 接入設(shè)備���;并確定所述新終端的IP地址與所述接入設(shè)備的已關(guān)聯(lián)終端的IP地址相同����; 所述發(fā)送單元,還用于向所述新終端發(fā)送用于指示重新請求地址的地址重配請求�����; 所述接收單元���,還用于接收所述新終端發(fā)送的地址分配請求����,并指示所述處理單元根 據(jù)所述地址分配請求向所述新終端分配與所述IP地址不同的另一個IP地址。
16. -種Portal服務(wù)器����,其特征在于,包括: 信息接收單元�����,用于接收終端發(fā)送的重定向報文��,所述重定向報文攜帶所述終端的IP 地址����、以及終端標識信息�����; 認證請求單元�,用于獲取所述終端的認證信息�,并向無線控制器AC發(fā)送認證請求���,所 述認證請求攜帶所述認證信息��、所述終端的IP地址和所述終端標識信息�����,以使得所述AC根 據(jù)所述IP地址和終端標識信息識別所述終端。
17. -種無線控制器�����,其特征在于���,包括: 請求接收單元,用于接收Portal服務(wù)器發(fā)送的認證請求��,所述認證請求中攜帶請求認 證的所述終端的第一 IP地址�、認證信息、以及所述終端對應(yīng)的終端標識信息�; 認證處理單元,用于將所述MAC地址和第一 IP地址對應(yīng)的所述認證信息發(fā)送至認證服 務(wù)器進行認證���; 結(jié)果發(fā)送單元��,用于在認證通過時���,向所述終端關(guān)聯(lián)的接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則��,所 述數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則用于所述接入設(shè)備轉(zhuǎn)發(fā)所述終端的數(shù)據(jù)�����。
18. 根據(jù)權(quán)利要求17所述的無線控制器,其特征在于���, 所述認證處理單元���,還用于解密所述終端標識信息,得到終端標識信息中包括的第二 IP地址��;將所述第二IP地址與所述認證請求中攜帶的第一 IP地址比較����;所述第一 IP地址 與第二IP地址不同,則指示所述結(jié)果發(fā)送單元向所述Portal服務(wù)器返回認證失敗�����。
19. 根據(jù)權(quán)利要求17所述的無線控制器��,其特征在于�, 所述認證處理單元��,還用于解密所述終端標識信息����,得到終端標識信息中包括的時間 戳信息����,所述時間戳信息用于表示所述重定向報文的發(fā)送時間�;將所述時間戳信息與當(dāng)前 時間比較,若所述時間戳信息與所述當(dāng)前時間之間的間隔超過預(yù)定時長���,則指示所述結(jié)果 發(fā)送單元向所述Portal服務(wù)器返回認證失敗���。
20. 根據(jù)權(quán)利要求17所述的無線控制器,其特征在于�����, 所述請求接收單元接收的所述終端標識信息中還包括:所述接入設(shè)備的MAC地址和所 述終端接入的VLAN ; 所述結(jié)果發(fā)送單元�,在發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則時�,具體是用于根據(jù)所述接入設(shè)備的MAC地 址和所述終端接入的VLAN,向所述接入設(shè)備發(fā)送數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則���。
【文檔編號】H04L29/12GK104104516SQ201410369824
【公開日】2014年10月15日 申請日期:2014年7月30日 優(yōu)先權(quán)日:2014年7月30日
【發(fā)明者】徐勇剛 申請人:杭州華三通信技術(shù)有限公司