本申請涉及通信領(lǐng)域，尤其涉及身份認(rèn)證方法及裝置。

背景技術(shù)：

為加強對網(wǎng)絡(luò)的安全控制和運營管理，網(wǎng)絡(luò)的提供者通常會使用入口(英文：portal)認(rèn)證系統(tǒng)對網(wǎng)絡(luò)的使用權(quán)限進行管理。在使用portal認(rèn)證系統(tǒng)對網(wǎng)絡(luò)的使用權(quán)限進行管理時，用戶終端可以通過無需進行驗證即可接入該網(wǎng)絡(luò)，但是在接入該網(wǎng)絡(luò)后，用戶終端如果想要使用網(wǎng)絡(luò)，則必須要通過portal認(rèn)證系統(tǒng)的身份認(rèn)證。

用戶終端在進行身份認(rèn)證時，需要向portal認(rèn)證系統(tǒng)提供所述用戶終端的用戶身份信息。所述portal認(rèn)證系統(tǒng)則可以通過所述用戶身份信息來對用戶終端進行身份認(rèn)證，從而確定所述用戶終端是否有權(quán)限使用所述網(wǎng)絡(luò)資源。例如，用戶終端在進行身份驗證時，通常需要portal認(rèn)證系統(tǒng)提供用戶名和密碼，而portal認(rèn)證系統(tǒng)則可以使用該用戶名及密碼對用戶終端進行身份認(rèn)證。如果所述用戶終端能夠通過身份認(rèn)證，那么所述portal認(rèn)證系統(tǒng)可以允許所述用戶終端使用所述portal認(rèn)證系統(tǒng)所管理的網(wǎng)絡(luò)；如果所述用戶終端未通過身份認(rèn)證，那么所述portal認(rèn)證系統(tǒng)則可以拒絕所述用戶終端使用portal認(rèn)證系統(tǒng)所管理的網(wǎng)絡(luò)。

在實際使用中，所述用戶身份信息通常需要由所述用戶終端預(yù)先向portal認(rèn)證系統(tǒng)注冊才能夠獲取。因此當(dāng)用戶終端需要使用某網(wǎng)絡(luò)時，就需要預(yù)先向控制該網(wǎng)絡(luò)使用權(quán)限的portal認(rèn)證系統(tǒng)進行注冊。由于有不同的網(wǎng)絡(luò)的提供者則會使用不同的portal認(rèn)證系統(tǒng)對網(wǎng)絡(luò)的使用權(quán)限進行管理，因此當(dāng)所述用戶需要使用不同的無線資源時，就需要向不同的portal認(rèn)證系統(tǒng)注冊，不方便用戶終端使用。

技術(shù)實現(xiàn)要素：

本申請實施例提供了身份認(rèn)證方法及裝置，以解決現(xiàn)有portal認(rèn)證系統(tǒng)不方便用戶使用的問題。

第一方面，本申請實施例提供了一種身份認(rèn)證方法的方法，該方法包括：門戶portal服務(wù)器接收來自用戶終端的網(wǎng)絡(luò)訪問請求，所述網(wǎng)絡(luò)訪問請求中包括所述用戶終端的終端標(biāo)識；所述portal服務(wù)器向所述用戶終端返回portal認(rèn)證頁面，所述portal認(rèn)證頁面中包括指示信息，所述指示信息用于指示所述用戶終端登陸社交開放平臺；所述portal服務(wù)器接收所述社交開放平臺生成的用于獲取用戶身份信息的訪問令牌；所述 portal服務(wù)器生成包含所述用戶終端的終端標(biāo)識及所述訪問令牌的portal認(rèn)證請求；所述portal服務(wù)器將所述portal認(rèn)證請求發(fā)送至認(rèn)證服務(wù)器，以使所述認(rèn)證服務(wù)器根據(jù)所述終端標(biāo)識及所述訪問令牌從所述社交開放平臺獲取所述用戶身份信息，并使用所述用戶身份信息進行用戶認(rèn)證；所述portal服務(wù)器接收所述認(rèn)證服務(wù)器返回的portal認(rèn)證響應(yīng)，所述portal認(rèn)證響應(yīng)中包括所述終端標(biāo)識和認(rèn)證結(jié)果。采用本方面所提供的方法進行用戶身份認(rèn)證，可以直接使用所述用戶終端保存在所述社交開放平臺上的用戶身份信息對所述用戶終端進行身份認(rèn)證，從而無需用戶再預(yù)先向portal認(rèn)證系統(tǒng)進行注冊，方便用戶使用。

結(jié)合第一方面，在第一方面第一種可能的實現(xiàn)方式中，所述portal認(rèn)證請求為遠程用戶撥號認(rèn)證radius報文，其中，所述radius報文的戶名屬性為所述終端標(biāo)識，所述radius報文的密碼屬性為所述訪問令牌。采用本實現(xiàn)方式，以radius報文形式傳輸portal認(rèn)證請求，可以增加portal認(rèn)證請求傳輸過程的安全性。

結(jié)合第一方面或第一方面第一種可能的實現(xiàn)方式，在第一方面第二種可能的實現(xiàn)方式中，在所述portal服務(wù)器接收來自用戶終端的網(wǎng)絡(luò)訪問請求之前，所述方法還包括：所述portal服務(wù)器從所述社交開放平臺獲取授權(quán)通信密鑰，所述授權(quán)通信密鑰用于授權(quán)所述認(rèn)證服務(wù)器從所述社交開放平臺獲取信息；所述portal服務(wù)器將所述授權(quán)通信密鑰發(fā)送給所述認(rèn)證服務(wù)器。采用本實現(xiàn)方式，可以為所述portal服務(wù)器可以提前為認(rèn)證服務(wù)器獲取授權(quán)通信密鑰，從而為認(rèn)證服務(wù)器從所述社交開放平臺獲取用戶身份信息提供前提條件。

結(jié)合第一方面第一種可能的實現(xiàn)方式，在第一方面第三種可能的實現(xiàn)方式中，所述portal服務(wù)器將所述portal認(rèn)證請求發(fā)送至認(rèn)證服務(wù)器包括：所述portal服務(wù)器將所述radius報文發(fā)送至nad，所述radius報文由所述nad透明傳輸至所述認(rèn)證服務(wù)器。采用本實現(xiàn)方式，可以以透明傳輸方式傳輸所述radius報文，從而可以增加認(rèn)證請求傳輸?shù)陌踩浴?/p>

第二方面，本申請實施例還提供了另一種身份認(rèn)證方法，該方法包括：認(rèn)證服務(wù)器接收門戶portal服務(wù)器發(fā)送的portal認(rèn)證請求，其中，所述portal認(rèn)證請求包括用戶終端的終端標(biāo)識及訪問令牌，所述訪問令牌用于從所述社交開放平臺獲取與所述終端標(biāo)識對應(yīng)的用戶身份信息；所述認(rèn)證服務(wù)器根據(jù)所述終端標(biāo)識、授權(quán)通信密鑰及所述訪問令牌從社交開放平臺獲取所述用戶終端的用戶身份信息，所述授權(quán)通信密鑰用于指示所述認(rèn)證服務(wù)器被授權(quán)從所述社交開放平臺獲取信息；所述認(rèn)證服務(wù)器使用所述用戶身份信息對用戶終端進行身份認(rèn)證得到認(rèn)證結(jié)果；所述認(rèn)證服務(wù)器向所述portal服務(wù)器返回portal認(rèn)證響應(yīng)，所述portal認(rèn)證響應(yīng)中包括所述終端標(biāo)識和所述認(rèn)證結(jié)果。采用本 方面所提供的方法進行用戶身份認(rèn)證時，可以直接使用所述用戶終端保存在所述社交開放平臺上的用戶身份信息對所述用戶終端進行身份認(rèn)證，從而無需用戶再預(yù)先向portal認(rèn)證系統(tǒng)進行注冊，方便用戶使用。

結(jié)合第二方面，在第二方面第一種可能的實現(xiàn)方式中，所述portal認(rèn)證請求為遠程用戶撥號認(rèn)證radius報文，其中，所述radius報文的戶名屬性為所述終端標(biāo)識，所述radius報文的密碼屬性為所述訪問令牌。

結(jié)合第二方面或第二方面第一種可能的實現(xiàn)方式，在第二方面第二種可能的實現(xiàn)方式中，在所述認(rèn)證服務(wù)器接收portal服務(wù)器發(fā)送的portal認(rèn)證請求之前還包括：所述認(rèn)證服務(wù)器接收所述portal服務(wù)器發(fā)送的所述授權(quán)通信密鑰。

第三方面，本申請實施例還提供了一種身份認(rèn)證裝置，該裝置包括用于執(zhí)行前述第一方面及第一方面各個實施方式中各個步驟的模塊。

第四方面，本申請實施例還提供了另一種身份認(rèn)證裝置，該裝置包括用于執(zhí)行前述第二方面及第二方面各個實施方式中各個步驟的模塊。

第五方面，本申請實施例還提供了一種portal服務(wù)器。所述portal服務(wù)器可以包括處理器、存儲器及收發(fā)器。所述處理器通過所述收發(fā)器與用戶終端、認(rèn)證服務(wù)器等進行通信，所述處理器還用于執(zhí)行第一方面及第一方面各個實施方式中各個步驟。

第六方面，本申請實施例還提供了一種認(rèn)證服務(wù)器。所述認(rèn)證服務(wù)器可以包括處理器、存儲器及收發(fā)器。所述處理器通過所述收發(fā)器與用戶終端、認(rèn)證服務(wù)器等進行通信，所述處理器還用于執(zhí)行第二方面及第二方面各個實施方式中各個步驟。

第七方面，本申請實施例還提供了一種認(rèn)證系統(tǒng)，所述認(rèn)證系統(tǒng)可以包括前述portal服務(wù)器、認(rèn)證服務(wù)器及網(wǎng)絡(luò)準(zhǔn)入設(shè)備(英文：networkaccessdevice，縮寫：nad)。所述portal服務(wù)器包括如第三方面提供的身份認(rèn)證裝置，或者如第五方面所述；所述認(rèn)證服務(wù)器包括如第四方面提供的身份認(rèn)證裝置，或者如第六方面所述；所述nad用于轉(zhuǎn)發(fā)所述portal服務(wù)器和所述認(rèn)證服務(wù)器之間的消息。

第八方面，本申請實施例還提供了一種計算機存儲介質(zhì)，該計算機存儲介質(zhì)中存儲有程序代碼，該程序代碼中包括實現(xiàn)上述第一方面方法的指令。

第九方面，本申請實施例還提供了另一種計算機存儲介質(zhì)，該計算機存儲介質(zhì)中存儲有程序代碼，該程序代碼中包括實現(xiàn)上述第二方面方法的指令。

附圖說明

為了更清楚地說明本申請實施例的技術(shù)方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，對于本領(lǐng)域普通技術(shù)人員而言，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本申請認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖；

圖2為本申請身份認(rèn)證方法一個實施例的流程示意圖；

圖3為本申請身份認(rèn)證裝置一個實施例的結(jié)構(gòu)示意圖；

圖4為本申請身份認(rèn)證裝置另一個實施例的結(jié)構(gòu)示意圖；

圖5為本申請portal服務(wù)器一個實施例的結(jié)構(gòu)示意圖；

圖6為本申請認(rèn)證服務(wù)器一個實施例的結(jié)構(gòu)示意圖。

具體實施方式

參見圖1，為本申請portal認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖。

如圖1所示，所述認(rèn)證系統(tǒng)可以包括網(wǎng)絡(luò)準(zhǔn)入設(shè)備(英文：networkaccessdevice，縮寫：nad)、portal服務(wù)器及認(rèn)證服務(wù)器等。

其中，所述nad用于實現(xiàn)用戶終端的接入，用戶終端可以通過nad接入網(wǎng)絡(luò)。所述nad可以是交換機、路由器等普通網(wǎng)絡(luò)設(shè)備，也可以是專用于接入認(rèn)證的網(wǎng)絡(luò)設(shè)備，如寬帶接入服務(wù)器(英文：broadbandaccessserver，縮寫：bas)等。所述認(rèn)證服務(wù)器可以是驗證-授權(quán)-記賬(英文：authentication-authorization-accounting，縮寫：aaa)服務(wù)器。

所述用戶終端可以是用戶使用的手機、平板電腦等移動終端。所述社交開放平臺可以是微信、qq、facebook、google、twitter等社交網(wǎng)絡(luò)所提供的開放平臺。通過社交開放平臺所述提供的應(yīng)用程序編程接口(英文：applicationprogramminginterface，縮寫：api)或函數(shù)(英文：function)來使外部程序或設(shè)備可以使用該軟件系統(tǒng)的資源。在本申請實施例中，portal認(rèn)證系統(tǒng)可以根據(jù)開放授權(quán)(英文：openauthorization，縮寫：oauth)協(xié)議，在獲得用戶授權(quán)的前提下，訪問在用戶存儲在社交開放平臺的各種信息。

參見圖2，為本申請身份認(rèn)證方法一個實施例的流程示意圖。下面結(jié)合圖2對本申請身份認(rèn)證方法做進一步說明。在此需要說明是的，本申請各實施例中所說的用戶身份 信息是指可以用于驗證用戶終端是否有權(quán)限使用portal認(rèn)證系統(tǒng)所管理無線資源的相關(guān)信息。

步驟201，用戶終端在通過網(wǎng)絡(luò)準(zhǔn)入設(shè)備nad接入網(wǎng)絡(luò)后，發(fā)送網(wǎng)絡(luò)訪問請求。

用戶終端可以通過有線接入或無線接入方式接入nad，從而接入網(wǎng)絡(luò)。在接入到網(wǎng)絡(luò)之后，用戶終端可以發(fā)起網(wǎng)絡(luò)訪問請求。其中，所述網(wǎng)絡(luò)訪問請求可以是超文本傳輸協(xié)議(英文：hypertexttransferprotocol，縮寫：http)請求或安全超文本傳輸協(xié)議(英文：hypertexttransferprotocoloversecuresocketlay，縮寫：https)，所述http請求或https請求可以用于請求訪問互聯(lián)網(wǎng)任意服務(wù)器中的內(nèi)容。通常情況下，所述http請求或https請求可以由用戶終端根據(jù)用戶操作生成。

步驟202，nad攔截所網(wǎng)絡(luò)訪問請求，并將所網(wǎng)絡(luò)訪問請求轉(zhuǎn)發(fā)至portal服務(wù)器。

由于用戶終端通過nad接入到網(wǎng)絡(luò)，因此nad可以攔截所述用戶終端所發(fā)的網(wǎng)絡(luò)訪問請求，在攔截到所網(wǎng)絡(luò)訪問請求后，無論該網(wǎng)絡(luò)訪問請求原本請求訪問互聯(lián)網(wǎng)中的哪一個服務(wù)器中內(nèi)容，nad都將該網(wǎng)絡(luò)訪問請求重定位至portal服務(wù)器。

步驟203，portal服務(wù)器在接收到所網(wǎng)絡(luò)訪問請求后，指示所述用戶終端登陸社交開放平臺。

當(dāng)所述訪問請求為http請求或https請求時，portal服務(wù)器在接收到所網(wǎng)絡(luò)訪問請求后，首先建立與所述用戶終端之間的通信連接；然后通過該通信連接向所述用戶終端返回portal認(rèn)證頁面。其中，所述portal登錄頁面包含用于指示用戶終端登陸社交開放平臺的指示信息，所述指示信息可以是社交開放平臺的認(rèn)證登陸頁面鏈接或按鈕等。在此需要說明的是，無論所網(wǎng)絡(luò)訪問請求用于請求何種內(nèi)容，所述portal服務(wù)器均向所述用戶終端返回所述portal認(rèn)證頁面。

步驟204，所述用戶終端根據(jù)所述portal服務(wù)器的指示登陸社交開放平臺。

用戶終端在接收到所述portal認(rèn)證頁面后，可以向社交開放平臺請求獲取社交開放平臺的登錄頁面。例如，當(dāng)用戶點擊所述portal登錄頁面所包含的所述認(rèn)證登陸頁面的鏈接時，用戶終端可以根據(jù)所述鏈接發(fā)送網(wǎng)絡(luò)訪問請求，請求獲取社交開放平臺的登錄頁面。而所述nad服務(wù)則可以不對該網(wǎng)絡(luò)訪問請求進行攔截和重定位，從而是該網(wǎng)絡(luò)訪問請求可以被發(fā)送至社交開放平臺。社交開放平臺在接收到該用戶終端發(fā)送的網(wǎng)絡(luò)訪問請求后，首先建立與用戶終端之間的通信連接；然后通過該通信連接將社交開放平臺的登錄頁面返回用戶終端。用戶終端接收到所述登陸頁面之后，可以顯示所述登陸頁面，以提醒用戶終端的使用者輸入登陸信息以登陸所述社交開放平臺。其中，所述登陸信息 可以包括登陸所述社交開放平臺所需的用戶名及密碼等信息，所述操作可以是輸入在所述社交開放平臺注冊的用戶名及密碼等信息的操作。

步驟205，社交開放平臺使用所述登陸信息對所述用戶終端進行身份驗證。

社交開放平臺在接收到所述登陸信息后，使用所述登陸信息進行身份認(rèn)證，從而判斷所述用戶終端的使用者是否為所述社交開放平臺的注冊用戶，進而確定是否生成訪問令牌(英文：accesstoken)。

步驟206，所述portal服務(wù)器接收由所述社交開放平臺在所述用戶終端登陸所述社交開放平臺后發(fā)送的訪問令牌。

社交開放平臺在通過身份驗證確定所述用戶終端的使用者為所述社交開放平臺的注冊用戶后，可以生成與所述portal系統(tǒng)相對應(yīng)的訪問令牌，并將所述訪問令牌發(fā)送給所述portal服務(wù)器。所述訪問令牌用于授權(quán)portal控制系統(tǒng)中的設(shè)備，例如認(rèn)證服務(wù)器或portal服務(wù)器，訪問社交開放平臺中保存的信息，并且限制所述portal控制系統(tǒng)可訪問的信息的范圍為所述用戶終端的用戶身份信息。訪問令牌所包含內(nèi)容及所述訪問令牌的生成方式可以參見oauth協(xié)議的相關(guān)規(guī)定，在此就不再贅述。

步驟207，所述portal服務(wù)器生成并向認(rèn)證服務(wù)器發(fā)送包含所述用戶終端的終端標(biāo)識及所述訪問令牌的portal認(rèn)證請求。

portal服務(wù)器在接收到所述訪問令牌后，可以生成portal認(rèn)證請求并將所述portal認(rèn)證請求發(fā)送給nad設(shè)備。

為保證portal服務(wù)器與aaa服務(wù)器之間進行信息傳輸時的安全性。當(dāng)所述portal服務(wù)器支持可擴展認(rèn)證協(xié)議(英文：extensibleauthenticationprotocol，縮寫：eap)、隧道傳輸層安全協(xié)議(英文：tunneledtransportlayersecurity，縮寫ttls)及密碼認(rèn)證協(xié)議(英文：passwordauthenticationprotocol，縮寫：pap)時，所述portal服務(wù)器可以與aaa服務(wù)器之間的tls通道向認(rèn)證服務(wù)器發(fā)送所述portal認(rèn)證請求。其中，所述portal認(rèn)證請求所包含的內(nèi)容可以由遠程用戶撥號認(rèn)證(英文：remoteauthenticationdialinuserservice，縮寫：radius)報文承載，所述radius報文的戶名屬性可以為所述終端標(biāo)識，而所述radius報文的密碼屬性則可以為所述訪問令牌，所述終端標(biāo)識可以為所述用戶終端登陸所述社交開放平臺時的用戶名。

在所述radius報文生成之后，所述portal服務(wù)器將所述radius報文發(fā)送至nad。所述nad設(shè)備在接收到所述portal認(rèn)證請求后，可以根據(jù)radius協(xié)議的規(guī)定將所述portal認(rèn)證請求透傳至認(rèn)證服務(wù)器。

步驟208，所述認(rèn)證服務(wù)器根據(jù)終端標(biāo)識及所述訪問令牌從所述社交開放平臺獲取所述用戶終端的用戶身份信息。

所述認(rèn)證服務(wù)器首先確定與社交開放平臺進行通信時所需的授權(quán)通信密鑰，然后根據(jù)終端標(biāo)識、授權(quán)通信密鑰和訪問令牌向社交開放平臺獲取用于驗證所述用戶終端身份的用戶身份信息。其中，所述授權(quán)通信密鑰及所述訪問令牌均由所述社交開發(fā)平臺發(fā)放，所述授權(quán)通信密鑰用于指示所述portal服務(wù)器有權(quán)從所述社交開放平臺獲取信息，所述訪問令牌用于指示所述認(rèn)證服務(wù)器有權(quán)從所述社交開放平臺與所述用戶終端的終端標(biāo)識對應(yīng)的用戶身份信息。所述授權(quán)通信密鑰可以有認(rèn)證服務(wù)器從社交開放平臺獲取，也可以由portal服務(wù)器從社交開放平臺獲取后發(fā)送給所述認(rèn)證服務(wù)器。所述portal服務(wù)器可以將用過所述portal認(rèn)證請求將所述授權(quán)通信密鑰發(fā)送給所述認(rèn)證服務(wù)器，也可以在發(fā)送所述portal認(rèn)證請求之前將所述授權(quán)通信密鑰發(fā)送給所述認(rèn)證服務(wù)器。

步驟209，所述認(rèn)證服務(wù)器使用所述用戶身份信息對用戶終端進行身份認(rèn)證得到認(rèn)證結(jié)果。

認(rèn)證服務(wù)器可以根據(jù)所述用戶身份信息對所述用戶終端進行身份認(rèn)證得到對應(yīng)的認(rèn)證結(jié)果。

步驟210，所述認(rèn)證服務(wù)器將向所述portal服務(wù)器返回portal認(rèn)證響應(yīng)，所述portal認(rèn)證響應(yīng)中包括所述終端標(biāo)識和認(rèn)證結(jié)果。

在所述認(rèn)證結(jié)果生成之后，認(rèn)證服務(wù)器可以將所述終端標(biāo)識及所述認(rèn)證結(jié)果通過所述nad透傳給portal服務(wù)器。用戶終端、nad及portal服務(wù)器等可以根據(jù)所述認(rèn)證結(jié)果確定所述用戶終端是否可以進行網(wǎng)絡(luò)訪問。

認(rèn)證服務(wù)器向portal服務(wù)器返回的portal認(rèn)證響應(yīng)中包括所述終端標(biāo)識和認(rèn)證結(jié)果，以便于在多個用戶終端同時認(rèn)證的情況下，使portal服務(wù)器能夠區(qū)分認(rèn)證結(jié)果與哪一個用戶終端相對應(yīng)。

由于在所述認(rèn)證服務(wù)器向所述portal服務(wù)器發(fā)送所述認(rèn)證結(jié)果時，所述nad也會受到所述認(rèn)證結(jié)果。如果根據(jù)認(rèn)證結(jié)果確定所述用戶終端有權(quán)使用所述網(wǎng)絡(luò)，那么nad就可以不再攔截用戶終端的網(wǎng)絡(luò)訪問請求，從而使用戶終端可以自由使用所述portal認(rèn)證系統(tǒng)所管理的無線資源進行網(wǎng)絡(luò)訪問。

步驟211，portal服務(wù)器將認(rèn)證結(jié)果返回給所述用戶終端。

portal服務(wù)器在接收到所述認(rèn)證結(jié)果后，可以將所述認(rèn)證結(jié)果返回給所述用戶終 端，使得所述用戶終端可以獲認(rèn)證結(jié)果，從而完成整個認(rèn)證過程。所述portal服務(wù)器可以經(jīng)將所述認(rèn)證結(jié)果及所述終端標(biāo)識發(fā)送到所述nad，再由所述nad將所述認(rèn)證結(jié)果發(fā)送到所述終端標(biāo)識對應(yīng)的用戶終端。

從上述實施例可以看出，portal認(rèn)證系統(tǒng)可以使用保存在社交開放平臺上的用戶身份信息來完成用戶終端的身份認(rèn)證，無需用戶終端再預(yù)先向portal認(rèn)證系統(tǒng)注冊，從而可以提升用戶使用的方便性。

參見圖3，為本申請身份認(rèn)證裝置一個實施例的結(jié)果示意圖，該裝置可以設(shè)置在portal服務(wù)器上，也可以是portal服務(wù)器本身。

如圖3所示，所述裝置可以包括：請求接受單元301，用于接收來自用戶終端的網(wǎng)絡(luò)訪問請求，所述網(wǎng)絡(luò)訪問請求中包括所述用戶終端的終端標(biāo)識；登陸指示單元302，用于向用戶終端返回portal認(rèn)證頁面，所述portal認(rèn)證頁面中包括指示信息，所述指示信息用于指示所述用戶終端登陸社交開放平臺；令牌接收單元303，用于接收所述社交開放平臺生成的用于獲取用戶身份信息的訪問令牌；請求生成單元304，用于生成包含所述用戶終端的終端標(biāo)識及所述訪問令牌的portal認(rèn)證請求；請求發(fā)送單元305，用于將所述portal認(rèn)證請求發(fā)送至認(rèn)證服務(wù)器，以使所述認(rèn)證服務(wù)器根據(jù)所述portal認(rèn)證請求中的所述終端標(biāo)識及所述訪問令牌從所述社交開放平臺獲取所述用戶身份信息，并使用所述用戶身份信息進行用戶認(rèn)證；結(jié)果接收單元306，用于接收所述認(rèn)證服務(wù)器返回的portal認(rèn)證響應(yīng)，所述portal認(rèn)證響應(yīng)中包括所述終端標(biāo)識和認(rèn)證結(jié)果。

其中，所述portal認(rèn)證請求為遠程用戶撥號認(rèn)證radius報文，其中，所述radius報文的戶名屬性為所述終端標(biāo)識，所述radius報文的密碼屬性為所述訪問令牌。

可選的，所述裝置還可以包括：密鑰獲取單元，用于所述社交開放平臺獲取授權(quán)通信密鑰；密鑰發(fā)送單元，用于將所述授權(quán)通信密鑰發(fā)送給所述認(rèn)證服務(wù)器。其中，所述授權(quán)通信密鑰可以由所述密鑰獲取單元在所述請求接收單元接收到所述網(wǎng)絡(luò)訪問請求之前或之后從社交開放平臺獲取。

可選的，所述裝置還可以包括：結(jié)果發(fā)送單元，用于將所述認(rèn)證結(jié)果發(fā)送至所述用戶終端。

可選的，所述結(jié)果接收單元，具體用于收認(rèn)所述nad轉(zhuǎn)發(fā)的認(rèn)證結(jié)果，所述認(rèn)證結(jié)果由認(rèn)證服務(wù)器使用所述用戶身份信息進行認(rèn)證生成并發(fā)送至所述nad。

參見圖4，為本申請身份認(rèn)證裝置一個實施例的結(jié)果示意圖，該裝置可以設(shè)置在認(rèn)證服務(wù)器上，也可以是認(rèn)證服務(wù)器本身。

如圖4所示，所述裝置可以包括：接收單元401，用于接收門戶portal服務(wù)器發(fā)送的portal認(rèn)證請求，其中，所述portal認(rèn)證請求包括用戶終端的終端標(biāo)識及訪問令牌，所述訪問令牌用于指示所述認(rèn)證服務(wù)器有權(quán)從所述社交開放平臺與所述用戶終端的終端標(biāo)識對應(yīng)的用戶身份信息；獲取單元402，用于根據(jù)所述終端標(biāo)識、授權(quán)通信密鑰及所述訪問令牌從社交開放平臺獲取所述用戶終端的用戶身份信息，所述授權(quán)通信密鑰用于指示所述認(rèn)證服務(wù)器有權(quán)從所述社交開放平臺獲取信息；認(rèn)證單元403，用于使用所述用戶身份信息對用戶終端進行身份認(rèn)證得到認(rèn)證結(jié)果；發(fā)送單元404，用于向所述portal服務(wù)器返回portal認(rèn)證響應(yīng)，所述portal認(rèn)證響應(yīng)中包括所述終端標(biāo)識和認(rèn)證結(jié)果。

其中，所述portal認(rèn)證請求為遠程用戶撥號認(rèn)證radius報文，其中，所述radius報文的戶名屬性為所述終端標(biāo)識，所述radius報文的密碼屬性為所述訪問令牌。

可選的，所述接收單元401，還用于接收所述portal服務(wù)器發(fā)送的所述授權(quán)通信密鑰。

參加圖5，為本申請portal服務(wù)器一個實施例的結(jié)構(gòu)示意圖。

如圖5所示，所述portal服務(wù)器可以包括：處理器501、存儲器502及通信接口503等組件。

所述處理器501、所述存儲器502和所述通信接口503通過總線504相互連接；總線504可以是外設(shè)部件互連標(biāo)準(zhǔn)(英文：peripheralcomponentinterconnect，縮寫：pci)總線或擴展工業(yè)標(biāo)準(zhǔn)結(jié)構(gòu)(英文：extendedindustrystandardarchitecture，縮寫：eisa)總線等。所述總線可以分為地址總線、數(shù)據(jù)總線、控制總線等。為便于表示，圖5中僅用一條粗線表示，但并不表示僅有一根總線或一種類型的總線。

處理器501可以是中央處理器(英文：centralprocessingunit，縮寫：cpu)，網(wǎng)絡(luò)處理器(英文：networkprocessor，縮寫：np)或者cpu和np的組合。處理器501還可以進一步包括硬件芯片。上述硬件芯片可以是專用集成電路(英文：application-specificintegratedcircuit，縮寫：asic)，可編程邏輯器件(英文：programmablelogicdevice，縮寫：pld)或其組合。上述pld可以是復(fù)雜可編程邏輯器件(英文：complexprogrammablelogicdevice，縮寫：cpld)，現(xiàn)場可編程邏輯門陣列(英文：field-programmablegatearray，縮寫：fpga)，通用陣列邏輯(英文：genericarraylogic,縮寫：gal)或其任意組合。

在本申請具體實施方式中，存儲器502可以包括易失性存儲器(英文：volatilememory)，例如隨機存取內(nèi)存(英文：randomaccessmemory，縮寫：ram)；還可以包括 非易失性存儲器(英文：non-volatilememory)，例如快閃存儲器(英文：flashmemory)，硬盤(英文：harddiskdrive，縮寫：hdd)或固態(tài)硬盤(英文：solid-statedrive，縮寫：ssd)；存儲器502還可以包括上述種類的存儲器的組合。在本發(fā)明實施例中，所述存儲器502用于保存portal認(rèn)證頁面。

所述通信接口503用于與其他設(shè)備進行通信。所述通信接口503可以為有線通信接入口，無線通信接口或其組合，其中，有線通信接口例如可以為以太網(wǎng)接口。以太網(wǎng)接口可以是光接口，電接口或其組合。無線通信接口可以為無線局域網(wǎng)(英文：:wirelesslocalareanetworks，縮寫wlan)接口，蜂窩網(wǎng)絡(luò)通信接口或其組合等。

在本發(fā)明實施例中，所述處理器501，用于通過所述通信接口503接收來自用戶終端的網(wǎng)絡(luò)訪問請求，所述網(wǎng)絡(luò)訪問請求中包括所述用戶終端的終端標(biāo)識；通過所述通信接口503向用戶終端返回portal認(rèn)證頁面，所述portal認(rèn)證頁面中包括指示信息，所述指示信息用于指示所述用戶終端登陸社交開放平臺；通過所述通信接口503接收所述社交開放平臺生成的用于獲取用戶身份信息的訪問令牌；生成包含所述用戶終端的終端標(biāo)識及所述訪問令牌的portal認(rèn)證請求；通過所述通信接口503將所述portal認(rèn)證請求發(fā)送至認(rèn)證服務(wù)器，以使所述認(rèn)證服務(wù)器根據(jù)所述終端標(biāo)識及所述訪問令牌從所述社交開放平臺獲取所述用戶身份信息，并使用所述用戶身份信息進行用戶認(rèn)證；通過所述通信接口503接收所述認(rèn)證服務(wù)器返回的portal認(rèn)證響應(yīng)，所述portal認(rèn)證響應(yīng)中包括所述終端標(biāo)識和認(rèn)證結(jié)果。

可選的，所述處理器501還用于通過所述通信接口503從所述社交開放平臺獲取所述授權(quán)通信密鑰，所述授權(quán)通信密鑰用于允許所述認(rèn)證服務(wù)器訪問所述社交開放平臺所保存的信息；通過所述通信接口503將所述授權(quán)通信密鑰發(fā)送給所述認(rèn)證服務(wù)器。

可選地，所述存儲器502還用于存儲軟件程序，處理器501通過運行存儲在存儲器502的軟件程序，從而執(zhí)行圖2所示實施例中的一個或多個步驟，或其中可選的實施方式，使得所述portal服務(wù)器實現(xiàn)上述方法中portal服務(wù)器行為的功能。

參加圖6，為本申請認(rèn)證服務(wù)器一個實施例的結(jié)構(gòu)示意圖。

如圖6所示，所述portal服務(wù)器可以包括：處理器601、存儲器602及通信接口603等組件。

所述處理器601、所述存儲器602和所述通信接口603通過總線相互連接；總線604可以是pci總線或eisa總線等。所述總線可以分為地址總線、數(shù)據(jù)總線、控制總線等。為便于表示，圖6中僅用一條粗線表示，但并不表示僅有一根總線或一種類型的總線。

處理器601可以是cpu、np或者cpu和np的組合。處理器601還可以進一步包括硬件芯片。上述硬件芯片可以是asic、pld或其組合。上述pld可以是cpld、fpga、gal或其任意組合。

在本申請具體實施方式中，存儲器602可以包括易失性存儲器，例如ram；還可以包括非易失性存儲器例如快閃存儲器、hdd、ssd等；存儲器602還可以包括上述種類的存儲器的組合。在本發(fā)明實施例中，所述存儲器602用于保存授權(quán)通信密鑰等。

所述通信接口603用于與其他設(shè)備進行通信。所述通信接口603可以為有線通信接入口，無線通信接口或其組合，其中，有線通信接口例如可以為以太網(wǎng)接口。以太網(wǎng)接口可以是光接口，電接口或其組合。無線通信接口可以為wlan接口，蜂窩網(wǎng)絡(luò)通信接口或其組合等。

在本發(fā)明實施例中，所述處理器601，用于通過所述通信接口603接收門戶portal服務(wù)器發(fā)送的portal認(rèn)證請求，其中，所述portal認(rèn)證請求包括用戶終端的終端標(biāo)識及訪問令牌，所述訪問令牌用于指示所述認(rèn)證服務(wù)器有權(quán)從所述社交開放平臺與所述終端的終端標(biāo)識對應(yīng)的用戶身份信息；通過所述通信接口603根據(jù)所述終端標(biāo)識、授權(quán)通信密鑰及所述訪問令牌從社交開放平臺獲取所述用戶終端的用戶身份信息，所述授權(quán)通信密鑰用于指示所述認(rèn)證服務(wù)器有權(quán)從所述社交開放平臺獲取信息；使用所述用戶身份信息對用戶終端進行身份認(rèn)證得到認(rèn)證結(jié)果；通過所述通信接口603向所述portal服務(wù)器返回portal認(rèn)證響應(yīng)，所述portal認(rèn)證響應(yīng)中包括所述終端標(biāo)識和認(rèn)證結(jié)果。

可選地，所述存儲器602還用于存儲軟件程序，處理器601通過運行存儲在存儲器602的軟件程序，從而執(zhí)行圖2所示實施例中的一個或多個步驟，或其中可選的實施方式，使得所述認(rèn)證服務(wù)器實現(xiàn)上述方法中認(rèn)證服務(wù)器行為的功能。

本領(lǐng)域的技術(shù)人員可以清楚地了解到本申請實施例中的技術(shù)可借助軟件加必需的通用硬件社交開放平臺的方式來實現(xiàn)?；谶@樣的理解，本申請實施例中的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中，如只讀存儲器(readonlymemoryrom)、隨機存取存儲器(random-accessmemory，ram)、磁碟、光盤等，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請各個實施例或者實施例的某些部分所述的方法。

本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可。尤其，對于系統(tǒng)實施例而言，由于其基本相似于方法實施例及裝置實施例，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。以上所述的本申 請實施方式，并不構(gòu)成對本申請保護范圍的限定。