CN110784447B

CN110784447B - 跨协议实现无感知认证的方法

Info

Publication number: CN110784447B
Application number: CN201910882284.4A
Authority: CN
Inventors: 邱海奇; 吴玲艺
Original assignee: Shenzhen Cloudwinner Network Technology Co ltd
Current assignee: Shenzhen Cloudwinner Network Technology Co ltd
Priority date: 2019-09-18
Filing date: 2019-09-18
Publication date: 2022-11-22
Anticipated expiration: 2039-09-18
Also published as: CN110784447A

Abstract

本发明公开了一种跨协议实现无感知认证的方法，包括如下：用户连接WiFi，发出上网请求；网关或AC拦截上网请求；重定向到认证平台；判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议，如是Portal Radius认证协议，执行Portal&Radius认证流程；如是WiFidog认证协议，则执行WiFidog认证流程；查询数据库中保存的认证状态；将认证状态返回给网关或AC，判断认证状态是否在有效期内，如是，放行用户上网；否则，要求认证。实施本发明的跨协议实现无感知认证的方法，具有以下有益效果：使用户在连接不同厂家的WiFi网络时可以跨协议漫游、实现跨协议认证。

Description

跨协议实现无感知认证的方法

技术领域

本发明涉及网络安全领域，特别涉及一种跨协议实现无感知认证的方法。

背景技术

随着笔记本电脑、智能手机、平板电脑等移动终端的日益普及和国内运营商以及各类提供WiFi服务公共场所的大规模建设，中国互联网产业迎来了移动互联网时代。提供无线上网服务的场所也越来越多，比如火车站、飞机场等大型公共场所，购物商场、咖啡厅、KTV等休闲娱乐场所,甚至连小型宾馆酒店、招待所也都普遍提供无线接入互联网服务。

这随之带来的就是WLAN上网场所的安全监管问题日益突出，因为在非经营性上网服务场所如宾馆、休闲会所、中西餐厅等，通过WiFi上网都是不需要出示身份证明的，这部分的监管存在很大的漏洞。很多网民在这些场所随意上网，发布一些有害信息，影响社会治安、公共秩序；更有甚者，通过不记名接入互联网，做些违法犯罪的勾当，给公共安全、公民财产等带来巨大安全隐患。

按照互联网管理条例，将WLAN安全监管纳入管理范畴，并严格检查和执行。各非经营上网服务的场所，只要是面向公众提供WiFi服务的，必须支持实名认证。为了满足公安监管要求带来的市场刚需，各大WLAN设备和解决方案厂商基于客户需求开发出各种认证方式，有短信认证、微信连WiFi认证、账号认证、扫码认证等。但无论多少种认证方式，其底层的认证协议基本都分为两种：802.lx和WiFidog,其中802.lx又可细分为Portal、Radius、LDAP域等等协议。不同WLAN厂商在自身的发展过程中按照当时的环境选取了不同的技术方向，采用不同的协议，导致用户在连接不同厂商提供的WiFi网络时，需要分别认证。在有些情况下，由于协议版本的差异，即便是同一个WLAN厂商建设的不同网络间，用户也需分别认证才可访问互联网。

当前国内经济技术飞速发展，各省市均提出“智慧城市”、“无线城市”的基础设施发展理念，各大WLAN厂商纷纷投身其中参与网络建设。出于有序竞争的考虑，“智慧城市”、“无线城市”的承建单位在招投标时，在一个城市中通常会选取多家厂商同时参与网络的建设。由于厂商之间的独立和封闭性，在厂商之间并没有形成良好的解决方案可以使用户在连接不同厂家的WiFi网络时可以跨协议漫游，实现跨协议无感知认证。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种使用户在连接不同厂家的WiFi网络时可以跨协议漫游、实现跨协议认证的跨协议实现无感知认证的方法。

本发明解决其技术问题所采用的技术方案是:构造一种跨协议实现无感知认证的方法，包括如下步骤：

A)用户连接WiFi,发出上网请求；

B)网关或AC拦截所述上网请求；

c)重定向到认证平台；

D)判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议，如是Portal Radius认证协议，则执行步骤E)；如是WiFidog认证协议，则执行步骤E')；

E)执行Portal&Radius认证流程，执行步骤F)；

E')执行WiFidog认证流程，执行步骤F)；

J)查询数据库中保存的认证状态；

K)将所述认证状态返回给所述网关或AC,判断所述认证状态是否在有效期内，如是，执行步骤H)；否则，执行步骤I)；

L)放行用户上网；

M)要求认证。

在本发明所述的跨协议实现无感知认证的方法中，所述步骤E)进一步包括：

E1)用户通过标准的DHCP协议，通过AC获取到规划的IP地址；

E2)用户打开IE,访问某个网站，发起HTTP请求；

E3)所述AC截获所述HTTP请求，到Portal服务器中对Portal URL加入相关参数；

E4)所述Portal服务器向WLAN用户终端推送WEB认证页面；

E5)用户在所述WEB认证页面上填入用户信息，提交到所述Portal服务器；

E6)所述Portal服务器接收到所述用户信息，向中央Radius认证服务器发出用户信息查询请求；

E7)所述中央Radius认证服务器验证用户密码、查询用户信息，并向所述Portal服务器返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息；

E8)判断所述查询结果是否为查询成功，如是，执行步骤E10)；否则，执行步骤E9)；

E9)所述Portal服务器直接返回提示信息给用户，流程至此结束；

E10)所述Portal服务器按照CHAP流程向所述AC请求Challenge,执行步骤Ell)；

Ell)所述AC返回Challenge ID和Challenge；

E12)所述Portal服务器将用户密码‘Challenge ID和Challenge做MD5算法后的Cha 11enge-Pas sword以及帐号一起提交到所述AC,发起认证；

E13)所述AC将所述Challenge IDChallenge>Cha 11enge-Password>Called-Station-ID和帐号送到所述中央Radius认证服务器，由所述中央Radius认证服务器进行认证；

E14)所述中央Radius认证服务器根据所述用户信息判断用户是否合法，如是，所述中央Radius认证服务器向所述AC返回认证成功报文,并携带协议参数以及用户的相关业务属性给用户授权，执行步骤E15)；否则，所述中央Radius认证服务器向所述AC返回认证失败报文；

E15)所述AC返回认证结果给所述Portal服务器；

E16)所述Portal服务器根据所述认证结果,推送认证结果页面；

E17)所述Portal服务器回应所述AC收到认证结果报文,判断是否认证成功,如是，执行步骤E18)；否则，认证失败,则流程到此结束；

E18)认证成功，所述AC发起计费开始请求给所述中央Radius认证服务器；

E19)所述中央Radius认证服务器回应计费开始响应报文，并将响应信息返回给所述AC,用户上线完毕，开始上网；

E20)在用户上网过程中，每隔设定时间所述AC向所述中央Radius认证服务器上报实时计费信息；

E21)所述中央Radius认证服务器回应实时计费确认报文给所述AC；

E22)当所述AC收到下线请求时，向所述中央Radius认证服务器发计费结束报文；

E23)所述中央Radius认证服务器回应所述AC的计费结束报文。

在本发明所述的跨协议实现无感知认证的方法中，所述步骤E14)进一步包括：

E141)所述中央Radius认证服务器对所述用户密码进行静态密码认证，判断是否认证成功，如是，执行步骤E15)；否则，执行步骤E142)；

E142)所述中央Radius认证服务器对所述用户密码进行动态密码认证，判断是否认证成功，如是，执行步骤E15)；否则，执行步骤E143)；

E143)所述中央Radius认证服务器向所述AC返回认证失败报文。

在本发明所述的跨协议实现无感知认证的方法中，在所述步骤E16)中，当所述认证结果为成功时，根据编码规则判断帐户的归属地，推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面和门户网站一起推送给用，同时启动正计时提醒；当所述认证结果为失败时,所述认证结果页面提示用户失败原因。

在本发明所述的跨协议实现无感知认证的方法中，所述实时计费信息包括当前用户上网总时长和用户总流量信息。

在本发明所述的跨协议实现无感知认证的方法中，所述步骤E')进一步包括如下步骤：

E1')用户终端连接WiFi,然后发起访问网站的请求；

E2')网关将用户MAC信息上报到认证平台执行preauth预鉴权步骤；

E3')所述认证平台校验用户合法性；

E4')所述认证平台将预鉴权查询结果返回给所述网关，执行步骤E5')或步骤E6')；

E5')当所述预鉴权查询结果为用户在认证有效期内时，则所述网关允许用户上网，放行用户访问网站的请求，执行步骤E7')；

E6')当所述预鉴权査询结果为用户未认证或已超出认证有效期时，则所述网关将用户的上网请求重定向到所述认证平台，执行步骤E7')；

E7')所述用户终端访问所述认证平台；

E8')所述认证平台根据所述用户终端上报关联网关MAC査询绑定的Portal页面；

E9')所述认证平台将查询到的Portal页面链接重定向到设备Portal访问请求上；

E10')用户访问所述认证平台重定向的设备Portal页面；

E11')所述认证平台返回用户访问的Portal页面元素，所述用户终端加载页面；

E12')用户在认证所述Portal页面上按照要求提交认证资料；

E13')所述认证平台根据用户提交的所述认证资料校验合法性；

E14')所述认证平台将合法性校验结果携带token返回给所述用户终端，并重定向到所述网关；

E15')所述用户终端访问所述网关；

E16')所述网关向所述认证平台确认该用户认证状态；

E17')所述认证平台根据所述网关提交的认证资料校验合法性；

E18')所述认证平台将校验结果响应给所述网关；

E19')所述网关将所述校验结果重定向到认证成功页面；

E20')所述网关向所述认证平台发起心跳；

E21')所述认证平台响应心跳结果并返回给所述网关；

E22')所述网关上报用户流量给所述认证平台；

E23')所述认证平台返回流量接收结果给所述网关。

实施本发明的跨协议实现无感知认证的方法，具有以下有益效果：由于用户终端作为认证请求的发起方，启动和终结流程；网关或AC作为流程的中间环节，在用户终端和认证平台间传递、重定向请求；认证平台作为认证请求的应答方,对用户请求进行过程查询、结果校验、状态保存；如果能将不同认证协议的相同用户的认证状态保存在同一数据库，当用户跨协议进行WiFi认证时，就可以将数据库中保存的同一份认证状态返回给不同厂商的设备，实现无感知认证的目的；本发明使用户在连接不同厂家的WiFi网络时可以跨协议漫游、实现跨协议认证。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为本发明跨协议实现无感知认证的方法一个实施例中的流程图；

图2为所述实施例中执行Portal&Radius认证流程的具体流程图；

图3为所述实施例中Portal&Radius认证流程的流程示意图；

图4为所述实施例中中央Radius认证服务器根据所述用户信息判断用户是否合法的具体流程图；

图5为所述实施例中执行WiFidog认证流程的具体流程图；

图6为所述实施例中WiFidog认证流程的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明跨协议实现无感知认证的方法实施例中，该跨协议实现无感知认证的方法的流程图如图1所示。图1中，该跨协议实现无感知认证的方法包括如下步骤：

步骤S01用户连接WiFi,发出上网请求:本步骤中，用户连接WiFi,发出上网请求。

步骤S02网关或AC拦截上网请求:本步骤中，网关或AC拦截上网请求。

步骤S03重定向到认证平台：本步骤中，重定向到认证平台。

步骤S04判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议：本发明基于可以与Portal&Radius认证系统>WiFidog认证系统两者同时对接的认证平台来实现跨协议无感知认证。

Portal&Radius认证系统是一个结合Portal协议和Radius协议的综合认证系统。

Portal基于浏览器，采用的是B/S构架，对不同权限的用户下发不同的VLAN访问不同的服务器资源，当通过认证后才能访问Internet资源,Portal认证方式不需要安装认证客户端，减少了客户端的维护工作量，便于运营，可以在Portal页面上开展业务拓展，如展示商家广告,联系方式等基本信息oPortal广泛应用于运营商、学校等网络。

Radius采用C/S构架用户数据存储在Radius服务器上，由服务器对客户端进行统一管理、认证、授权、计费。常使用远程访问拨号用户服务(Remote Authentication DialIn User Service,Radius)来实现AAA认证。3A认证，即AAA认证，分别为Authentication、Author izat ion>Account ingo认证(Authentication):验证用户的身份与可使用的网络服务；授权(Authorization):依据认证结果开放网络服务给用户；计帐(Accounting):记录用户对各种网络服务的用量，并提供给计费系统。上述Portal和Radius认证协议均基于IEEE提出的802.lx标准，是一种基于端口的标准，用于对无线网络的接入认证。

WiFidog是用来做无线WiFi热点认证管理的一套开源工具。官方的名称是acaptive portal suite,翻译过来就是捕获式的门户套件，这个门户套件可以用以实现用户认证。

本步骤中，判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议，如是Portal Radius认证协议，则执行步骤S05；如是WiFidog认证协议，则执行步骤S05'。

步骤S05执行Portal&Radius认证流程：本步骤中，执行Portal&Radius认证流程。执行完本步骤，执行步骤S06。

步骤S05'执行WiFidog认证流程：本步骤中，执行WiFidog认证流程。执行完本步骤，执行步骤S06。

步骤S06查询数据库中保存的认证状态：本步骤中，查询数据库中保存的认证状。

步骤S07将认证状态返回给网关或AC,判断认证状态是否在有效期内：本步骤中，将认证状态返回给网关或AC,判断认证状态是否在有效期内，如果判断的结果为是,则执行步骤S08；否则，执行步骤S09。

步骤S08放行用户上网：本步骤中，放行用户上网，实现无感知认证。

步骤S09要求认证:本步骤中，要求认证。

从上述两种认证协议可以看出，无论采取何种协议，交互的过程都有三方参与：用户终端、网关(或AC)、认证平台(Portal&Radius或WiFidog协议)。用户终端作为认证请求的发起方，启动和终结流程；网关或AC作为流程的中间环节，在用户终端和认证平台间传递、重定向请求；认证平台作为认证请求的应答方，对用户请求进行过程查询、结果校验、状态保存。通过将不同认证协议的相同用户的认证状态保存在同一数据库，当用户跨协议进行WiFi认证时，就可以将数据库中保存的同一份认证状态返回给不同厂商的设备，实现无感知认证的目的。本发明使用户在连接不同厂家的WiFi网络时可以跨协议漫游、实现跨协议认证。

为了说明认证平台可以同时对接上述两种认证协议，实现跨协议无感知认证。下面将分别对Portal&Radius协议＞WiFidog协议的详细流程进行说明。

图2为本实施例中执行Portal&Radius认证流程的具体流程图；图3为本实施例中Portal&Radius认证流程的流程示意图。图2中，上述步骤S05进一步包括如下步骤：

步骤S501用户通过标准的DHCP协议，通过AC获取到规划的IP地址:本步骤中，用户通过标准的DHCP协议,通过AC获取到规划的IP地址。

步骤S502用户打开IE,访问某个网站，发起HTTP请求:本步骤中，用户打开IE,访问某个网站，发起HTTP请求。

步骤S503 AC截获HTTP请求，到Portal服务器中对Portal URL加入相关参数:本步骤中，AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器，并强制在Portal URL中加入相关参数。

步骤S504 Portal服务器向WLAN用户终端推送WEB认证页面：本步骤中，Portal服务器向WLAN用户终端推送WEB认证页面。

步骤S505用户在WEB认证页面上填入用户信息，提交到Portal服务器:本步骤中，用户在WEB认证页面上填入用户信息，提交到Portal服务器，该用户信息可以是用户账号、用户密码等。

步骤S506 Portal服务器接收到用户信息，向中央Radius认证服务器发出用户信息查询请求:本步骤中，Portal服务器接收到用户信息，向中央Radius认证服务器发出用户信息查询请求。

步骤S507中央Radius认证服务器验证用户密码、查询用户信息，并向Portal服务器返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息：本步骤中，中央Radius认证服务器验证用户密码、查询用户信息，并向Portal服务器返回查询结果及系统配置的单次连接最大时长(Session Timeout)、手机用户及卡用户的套餐剩余时长信息(Available Time)。

步骤S508判断查询结果是否为查询成功：本步骤中，判断查询结果是否为查询成功,如果判断的结果为是，则执行步骤S510；否则，执行步骤S509。

步骤S509 Portal服务器直接返回提示信息给用户，流程至此结束：本步骤中，Portal服务器直接返回提示信息给用户，流程至此结束。

步骤S510 Portal服务器按照CHAP流程向AC请求Challenge:本步骤中，Portal服务器按照CHAP流程向AC请求Challenge。执行完本步骤，执行步骤S511。

步骤S511 AC返回Challenge ID和Challenge：本步骤中，AC返回Challenge ID和Challenge。

步骤S512 Portal服务器将用户密码＞Challenge ID和Challenge做MD5算法后的Challenge-Password以及帐号一起提交到AC,发起认证:本步骤中，Portal服务器将用户密码＞Challenge ID和Challenge做MD5算法后的Challenge-Password以及帐号一起提交到AC,发起认证。

步骤S513 AC将Challenge ID、Challenge、Challenge-Password、Called-Station-ID和帐号送到中央Radius认证服务器，由中央Radius认证服务器进行认证:本步骤中，AC将Challenge ID、Chai 1enge、Chai 1enge-Password、Called-StationTD和帐号送到中央Radius认证服务器，由中央Radius认证服务器进行认证。

步骤S514中央Radius认证服务器根据用户信息判断用户是否合法:本步骤中，中央Radius认证服务器根据用户信息判断用户是否合法(对于省内预付费卡用户，还需要判断用户接入地和归属地是否一致)，如果判断的结果为是，则执行步骤S516；否则，执行步骤S515_O

步骤S515中央Radius认证服务器向AC返回认证失败报文：本步骤中，中央Radius认证服务器向AC返回认证失败报文。

步骤S516中央Radius认证服务器向AC返回认证成功报文，并携带协议参数以及用户的相关业务属性给用户授权:本步骤中，中央Radius认证服务器向AC返回认证成功报文,并携带协议参数以及用户的相关业务属性给用户授权。执行完本步骤,执行步骤步骤S517。

步骤S517 AC返回认证结果给Portal服务器:本步骤中，AC返回认证结果给Portal服务器，同时也会返回相关业务属性。

步骤S518 Portal服务器根据认证结果，推送认证结果页面:本步骤中，服务器根据认证结果，推送认证结果页面。当认证结果为成功时，根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面和门户网站一起推送给用，同时启动正计时提醒；当认证结果为失败时,认证结果页面提示用户失败原因。

步骤S519 Portal服务器回应AC收到认证结果报文，判断是否认证成功：本步骤中，Portal服务器回应AC收到认证结果报文，判断是否认证成功，如果判断的结果为是，则执行步骤S521；否则，执行步骤S520。

步骤S520认证失败,则流程到此结束:本步骤中，认证失败,则流程到此结束。

步骤S521认证成功,AC发起计费开始请求给中央Radius认证服务器:本步骤中，认证成功,AC发起计费开始请求给中央Radius认证服务器。

步骤S522中央Radius认证服务器回应计费开始响应报文，并将响应信息返回给AC,用户上线完毕，开始上网：本步骤中，中央Radius认证服务器回应计费开始响应报文，并将响应信息返回给AC,用户上线完毕，开始上网。

步骤S523在用户上网过程中，每隔设定时间AC向中央Radius认证服务器上报实时计费信息:本步骤中，在用户上网过程中，每隔设定时间AC向中央Radius认证服务器上报实时计费信息。该实时计费信息包括当前用户上网总时长和用户总流量信息。

步骤S524中央Radius认证服务器回应实时计费确认报文给AC：本步骤中，中央Radius认证服务器回应实时计费确认报文给AC。

步骤S525当AC收到下线请求时，向中央Radius认证服务器发计费结束报文:本步骤中，当AC收到下线请求时，向中央Radius认证服务器发计费结束报文。

步骤S526中央Radius认证服务器回应AC的计费结束报文：本步骤中，中央Radius认证服务器回应AC的计费结束报文。通过步骤S501至步骤S526实现Portal&Radius认证流程。

对于本实施例而言，上述步骤S514还可进一步细化，其细化后的流程图如图4所示。图4中，上述步骤S514进一步包括如下步骤：

步骤S541中央Radius认证服务器对用户密码进行静态密码认证，判断是否认证成功：本步骤中，中央Radius认证服务器对用户密码进行静态密码认证，判断是否认证成功，如果判断的结果为是，则执行步骤S516；否则，执行步骤S542。

步骤S542中央Radius认证服务器对用户密码进行动态密码认证，判断是否认证成功：本步骤中，中央Radius认证服务器对用户密码进行动态密码认证，判断是否认证成功，如果判断的结果为是，则执行步骤S516；否则，执行步骤S543。

步骤S543中央Radius认证服务器向AC返回认证失败报文：本步骤中，中央Radius认证服务器向AC返回认证失败报文。

由此可见，中央Radius认证服务器对用户密码分别进行静态密码和动态密码两次密码认证。如果其中一次成功，中央Radius认证服务器向AC返回认证成功报文，并携带协议参数，以及用户的相关业务属性给用户授权。如果两次都失败，中央Radius认证服务器向AC返回认证失败报文。

图5为本实施例中执行WiFidog认证流程的具体流程图；图6为本实施例中WiFidog认证流程的流程示意图。图5中，上述步骤S05'进一步包括如下步骤：

步骤S501'用户终端连接WiFi,然后发起访问网站的请求:本步骤中，用户终端连接WiFi,然后发起访问网站的请求，如www.qq.com。

步骤S502'网关将用户MAC信息上报到认证平台执行preauth预鉴权步骤:本步骤中，网关将用户MAC信息上报到认证平台执行preauth预鉴权步骤，即检查用户的认证状态。

步骤S503'认证平台校验用户合法性:本步骤中，认证平台校验用户合法性，即在系统平台的数据库内查询该MAC的状态，确认是未认证还是已认证，已认证的剩余认证有效时长是多久。

步骤S504'认证平台将预鉴权查询结果返回给网关:本步骤中，认证平台将预鉴权査询结果返回给网关。执行完本步骤，执行步骤S505'或步骤S506'。

步骤S505'当预鉴权查询结果为用户在认证有效期内时，则网关允许用户上网，放行用户访问网站的请求:本步骤中，当预鉴权查询结果为用户在认证有效期内时，则网关允许用户上网，放行用户访问网站WWW.qq.com的请求。执行完本步骤，执行步骤S507'。

步骤S506'当预鉴权查询结果为用户未认证或已超出认证有效期时，则网关将用户的上网请求重定向到认证平台：当预鉴权查询结果为用户未认证或已超出认证有效期时，则网关将用户的上网请求重定向到认证平台。执行完本步骤，执行步骤S507'。

步骤S507'用户终端访问认证平台：本步骤中，用户终端访问认证平台，路径是WiFidog内置的/smartwif i/login。

步骤S508'认证平台根据用户终端上报关联网关MAC查询绑定的Portal页面:本步骤中，认证平台根据用户终端上报关联网关MAC査询绑定的Portal页面。

步骤S509'认证平台将查询到的Portal页面链接重定向到设备Portal访问请求上:本步骤中，认证平台将查询到的Portal页面链接重定向到设备Portal访问请求上。

步骤S510'用户访问认证平台重定向的设备Portal页面:本步骤中，用户访问认证平台重定向的设备Portal页面。

步骤S511'认证平台返回用户访问的Portal页面元素，用户终端加载页面:本步骤中，认证平台返回用户访问的Portal页面元素,用户终端加载页面。

步骤S512'用户在认证Portal页面上按照要求提交认证资料:本步骤中，用户在认证Portal页面上按照要求提交认证资料。

步骤S513'认证平台根据用户提交的认证资料校验合法性:本步骤中，认证平台根据用户提交的认证资料校验合法性。

步骤S514'认证平台将合法性校验结果携带token返回给用户终端,并重定向到网关:本步骤中，认证平台将合法性校验结果携带token返回给用户终端，并重定向到网关。

步骤S515'用户终端访问网关：本步骤中，用户终端访问网关，路径是/wifidog/auth？token＝。

步骤S516'网关向认证平台确认该用户认证状态:本步骤中，网关向认证平台确认该用户认证状态。

步骤S517'认证平台根据网关提交的认证资料校验合法性:本步骤中，认证平台根据网关提交的认证资料校验合法性。

步骤S518'认证平台将校验结果响应给网关:本步骤中，认证平台将校验结果响应给网关。

步骤S519'网关将校验结果重定向到认证成功页面:本步骤中，网关将校验结果重定向到认证成功页面，路径是/smartwif i/portal。

步骤S520'网关向认证平台发起心跳:本步骤中，网关向认证平台发起心跳。

步骤S521'认证平台响应心跳结果并返回给网关:本步骤中，认证平台响应心跳结果并返回给网关。

步骤S522'网关上报用户流量给认证平台：本步骤中，网关上报用户流量给认证平台。

步骤S523'认证平台返回流量接收结果给网关:本步骤中，认证平台返回流量接收结果给网关。通过步骤S501'至步骤S523',实现WiFidog认证流程。

本发明通过系统平台实现用户认证状态信息存储，与第三方认证系统进行对接，当用户连接WiFi提交认证请求时,第三方认证系统将用户信息提交到认证状态信息存储库査询，并根据查询结果返回值确定是否放行认证请求，如放行则用户终端不弹出Portal认证页，实现跨厂商、跨协议无感知认证。

在实际应用中，在要求不高的情况下，还可以采用如下替代方案:要求第三方厂商废除自有认证平台、协议，或将第三方厂商前端设备中的固件移植成我司标准固件,亦可实现无感知认证的目的。但这两种修改在商务和技术上都存在极大难度,第三方厂商对自有设备一般不会放弃自身组件，或轻易开放其他的植入,相对来说非常麻烦。

总之，本发明对用户终端的认证流程无改变，用户无须执行额外的操作步骤。不用对采用不同认证协议的第三方厂商的流程、私有化协议进行修改，仅需第三方厂商按照标准接口对接认证平台，能够通过预鉴权步骤在数据库中查询用户认证状态。所有具备认证开发能力的厂商，都具备对接能力，不存在开发难度，容易落地实施。本发明能够和PortalRadius认证协议、WiFidog认证协议同时对接，兼容两者。本发明能跨互联网响应用户认证状态返回，并及时响应给网关或AC设备，无须特定的局域网或其他网络环境。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种跨协议实现无感知认证的方法,其特征在于，包括如下步骤：

A）用户连接WiFi,发出上网请求；

B）网关或AC拦截所述上网请求；

C）重定向到认证平台；

D）判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议,如是PortalRadius认证协议，则执行步骤E）；如是WiFidog认证协议，则执行步骤E'）；

E）执行Portal&Radius认证流程，执行步骤F）；

E'）执行WiFidog认证流程，执行步骤F）；

F）查询数据库中保存的认证状态；

G）将所述认证状态返回给所述网关或AC,判断所述认证状态是否在有效期内，如是，执行步骤H）；否则，执行步骤I）；

H）放行用户上网；

I）要求认证。

2.根据权利要求1所述的跨协议实现无感知认证的方法，其特征在于，所述步骤E）进一步包括：

E1）用户通过标准的DHCP协议，通过AC获取到规划的IP地址；

E2）用户打开IE,访问某个网站，发起HTTP请求；

E3）所述AC截获所述HTTP请求，到Portal服务器中对Portal URL加入相关参数；

E4）所述Portal服务器向WLAN用户终端推送WEB认证页面；

E5）用户在所述WEB认证页面上填入用户信息，提交到所述Portal服务器；

E6）所述Portal服务器接收到所述用户信息，向中央Radius认证服务器发出用户信息查询请求；

E7）所述中央Radius认证服务器验证用户密码、查询用户信息，并向所述Portal服务器返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息；

E8）判断所述查询结果是否为查询成功，如是，执行步骤E10）；否则，执行步骤E9）；

E9）所述Portal服务器直接返回提示信息给用户，流程至此结束；

E10）所述Portal服务器按照CHAP流程向所述AC请求Challenge,执行步骤Ell）；

Ell）所述AC返回Challenge ID和Challenge；

E12）所述Portal服务器将用户密码、Challenge ID和Challenge做MD5算法后的Challenge-Password以及帐号一起提交到所述AC，发起认证；

E13）所述 AC 将 Challenge ID、Challenge、Challenge-Password、Called-Station-ID和帐号送到所述中央Radius认证服务器，由所述中央Radius认证服务器进行认证；

E14）所述中央Radius认证服务器根据所述用户信息判断用户是否合法，如是，所述中央Radius认证服务器向所述AC返回认证成功报文，并携带协议参数以及用户的相关业务属性给用户授权，执行步骤E15）；否则，所述中央Radius认证服务器向所述AC返回认证失败报文；

E15）所述AC返回认证结果给所述Portal服务器；

E16）所述Portal服务器根据所述认证结果,推送认证结果页面；

E17）所述Portal服务器回应所述AC收到认证结果报文，判断是否认证成功，如是，执行步骤E18）；否则，认证失败，则流程到此结束；

E18）认证成功，所述AC发起计费开始请求给所述中央Radius认证服务器；

E19）所述中央Radius认证服务器回应计费开始响应报文，并将响应信息返回给所述AC,用户上线完毕，开始上网；

E20）在用户上网过程中，每隔设定时间所述AC向所述中央Radius认证服务器上报实时计费信息；

E21）所述中央Radius认证服务器回应实时计费确认报文给所述AC；

E22）当所述AC收到下线请求时，向所述中央Radius认证服务器发计费结束报文；

E23）所述中央Radius认证服务器回应所述AC的计费结束报文。

3.根据权利要求2所述的跨协议实现无感知认证的方法，其特征在于，所述步骤E14）进一步包括：

E141）所述中央Radius认证服务器对所述用户密码进行静态密码认证，判断是否认证成功，如是，执行步骤E15）；否则，执行步骤E142）；

E142）所述中央Radius认证服务器对所述用户密码进行动态密码认证，判断是否认证成功，如是，执行步骤E15）；否则，执行步骤E143）；

E143）所述中央Radius认证服务器向所述AC返回认证失败报文。

4.根据权利要求2所述的跨协议实现无感知认证的方法，其特征在于，在所述步骤E16）中，当所述认证结果为成功时，根据编码规则判断帐户的归属地，推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面和门户网站一起推送给用，同时启动正计时提醒；当所述认证结果为失败时,所述认证结果页面提示用户失败原因。

5.根据权利要求2所述的跨协议实现无感知认证的方法,其特征在于，所述实时计费信息包括当前用户上网总时长和用户总流量信息。

6.根据权利要求1至5任意一项所述的跨协议实现无感知认证的方法，其特征在于，所述步骤E'）进一步包括如下步骤：

E1'）用户终端连接WiFi,然后发起访问网站的请求；

E2'）网关将用户MAC信息上报到认证平台执行preauth预鉴权步骤；

E3'）所述认证平台校验用户合法性；

E4'）所述认证平台将预鉴权查询结果返回给所述网关，执行步骤E5'）或步骤E6'）；

E5'）当所述预鉴权查询结果为用户在认证有效期内时，则所述网关允许用户上网，放行用户访问网站的请求，执行步骤E7'）；

E6'）当所述预鉴权查询结果为用户未认证或已超出认证有效期时，则所述网关将用户的上网请求重定向到所述认证平台，执行步骤E7'）；

E7'）所述用户终端访问所述认证平台；

E8'）所述认证平台根据所述用户终端上报关联网关MAC查询绑定的Portal页面；

E9'）所述认证平台将查询到的Portal页面链接重定向到设备Portal访问请求上；

E10'）用户访问所述认证平台重定向的设备Portal页面；

E11'）所述认证平台返回用户访问的Portal页面元素，所述用户终端加载页面；

E12'）用户在认证所述Portal页面上按照要求提交认证资料；

E13'）所述认证平台根据用户提交的所述认证资料校验合法性；

E14'）所述认证平台将合法性校验结果携带token返回给所述用户终端，并重定向到所述网关；

E15'）所述用户终端访问所述网关；

E16'）所述网关向所述认证平台确认该用户认证状态；

E17'）所述认证平台根据所述网关提交的认证资料校验合法性；

E18'）所述认证平台将校验结果响应给所述网关；

E19'）所述网关将所述校验结果重定向到认证成功页面；

E20'）所述网关向所述认证平台发起心跳；

E21'）所述认证平台响应心跳结果并返回给所述网关；

E22'）所述网关上报用户流量给所述认证平台；

E23'）所述认证平台返回流量接收结果给所述网关。