发明内容
本发明提供一种wlan认证方法及系统、AP设备,客户端的上下线通过AP设备向wlan平台发起请求,从而可以仅将wlan平台部署在公网,而AP设备可以设置在任何网络,并且通过设置本发明的AP设备,能够将认证管理以及计费等功能在wlan平台中完成,简化了数据处理流程,减少数据传输率,节省了带宽。
根据本发明的一个方面,提供一种wlan认证方法,其特征在于,包括:
接收到来自客户端的上线请求后,向无线局域网wlan平台发送身份验证请求;所述身份验证请求包含所述客户端请求的上线地址;
接收到来自所述wlan平台的重定向门户地址后,向所述客户端发送所述wlan的门户地址的登录界面;所述重定向门户地址是所述wlan平台接收到所述身份验证请求后,验证所述客户端未登录后发出的;所述登录界面用于使所述客户端输入登录信息;
接收到所述客户端发送的包含登录信息的登陆请求后,将所述登陆请求转发到所述wlan平台,并接收所述wlan平台的应答所述登陆请求的第一重定向报文,将所述第一重定向报文转发到所述客户端;所述第一重定向报文包含所述客户端请求的上线地址;
接收到所述客户端根据所述第一重定向报文重新发送的所述上线请求后,向所述wlan平台发送所述客户端授权状态查询请求;
接收到所述wlan平台发送的客户端已授权的第一应答后,开放所述客户端的上网权限,并向所述客户端发送应答所述上线请求的第二重定向报文,所述第一应答是所述wlan平台根据接收的所述客户端状态查询请求后查询所述客户端已登录后发出的。
其中,所述接收到所述wlan平台发送的客户端已授权的第一应答后,开放所述客户端的上网权限,并向所述客户端发送应答所述上线请求的第二重定向报文之后,还包括:
接收到所述客户端发送的下线请求后,将所述下线请求转发到所述wlan平台,并接收所述wlan平台的应答所述下线请求的第三重定向报文,将所述第三重定向报文转发到所述客户端;所述第三重定向报文中包含下线专用地址;
接收到所述客户端发送的下线专用地址请求后,向所述wlan平台发送下线状态查询请求;
接收到所述wlan平台发送的客户端已下线的第二应答后,关闭所述客户端的上网权限,并向所述客户端发送应答所述下线请求的第四重定向报文,所述第四重定向报文中包含所述wlan平台的门户地址。
其中,所述接收到来自客户端的上线请求后,向所述wlan平台发送身份验证请求后,还包括:
接收到来自所述wlan平台发送的所述客户端已授权的第三应答后,开放所述客户端的上网权限,所述第三应答是所述wlan平台接收到所述身份验证请求后验证所述客户端已登录后发出的。
其中,所述方法还包括:
根据在上一周期接收的第四应答向所述wlan平台发送当前周期操作请求,并接收所述wlan平台对所述当前周期操作请求发送的第四应答;所述第四应答用于指示需要发送的操作请求。
其中,所述根据在上一周期接收的第四应答向所述wlan平台发送当前周期操作请求,包括:
当上一周期接收的第四应答用于指示需要发送的操作请求为下线请求时,向所述wlan平台发送下线请求;
向所述wlan平台发送下线请求之后,所述方法还包括:
接收到所述wlan平台发送的指定下线的客户端后,关闭对应的客户端的上网权限。
其中,所述AP、所述客户端以及所述wlan平台之间收发的报文为HTTP报文,所述HTTP报文中含有json字符串。
根据本发明的另一个方面,提供一种AP设备,其特征在于,包括:
上线请求单元,用于接收到来自客户端的上线请求后,向无线局域网wlan平台发送身份验证请求;所述身份验证请求包含所述客户端请求的上线地址;
门户地址重定向单元,用于接收到来自所述wlan平台的重定向门户地址后,向所述客户端发送所述wlan的门户地址的登录界面;所述重定向门户地址是所述wlan平台接收到所述身份验证请求后,验证所述客户端未登录后发出的;所述登录界面用于使所述客户端输入登录信息;
登录信息转发单元,用于接收到所述客户端发送的包含登录信息的登陆请求后,将所述登陆请求转发到所述wlan平台,并接收所述wlan平台的应答所述登陆请求的第一重定向报文,将所述第一重定向报文转发到所述客户端;所述第一重定向报文包含所述客户端请求的上线地址;
登录状态查询单元,用于接收到所述客户端根据所述第一重定向报文重新发送的所述上线请求后,向所述wlan平台发送所述客户端授权状态查询请求;
权限开放单元,用于接收到所述wlan平台发送的客户端已授权的第一应答后,开放所述客户端的上网权限,并向所述客户端发送应答所述上线请求的第二重定向报文,所述第一应答是所述wlan平台根据接收的所述客户端状态查询请求后查询所述客户端已登录后发出的。
其中,所述设备还包括:
下线请求单元,用于接收到所述客户端发送的下线请求后,将所述下线请求转发到所述wlan平台,并接收所述wlan平台的应答所述下线请求的第三重定向报文,将所述第三重定向报文转发到所述客户端;所述第三重定向报文中包含下线专用地址;
下线状态查询单元,用于接收到所述客户端发送的下线专用地址请求后,向所述wlan平台发送下线状态查询请求;
权限关闭单元,用于接收到所述wlan平台发送的客户端已下线的第二应答后,关闭所述客户端的上网权限,并向所述客户端发送应答所述下线请求的第四重定向报文,所述第四重定向报文中包含所述wlan平台的门户地址。
其中,所述设备还包括:
状态管理单元,用于根据在上一周期接收的第四应答向所述wlan平台发送当前周期操作请求,并接收所述wlan平台对所述当前周期操作请求发送的第四应答;所述第四应答用于指示需要发送的操作请求。
根据本发明的另一个方面,提供一种wlan认证系统,其特征在于,所述系统包括上述的AP设备。
本发明提供一种wlan认证方法及系统、AP设备,客户端的上下线通过AP设备向wlan平台发起请求,从而可以仅将wlan平台部署在公网,而AP设备可以设置在任何网络,并且本发明仅需要AP设备和wlan平台,即可实现wlan认证,简化了设备类型,降低投入和维护的成本,同时降低了网络公共资源的使用量,降低复杂度。另外,AP设备之间可以实现多样性的组网方式,满足不同的业务需求,并且利用http报文和json数据格式的优点,简化数据处理流程,减少数据传输量,节省带宽。此外,利用http报文使用的普遍性,可以自由的传过各种防火墙和ACL的规则策略,并且无论AP设备如何部署,常用的配置是允许用户上网浏览网页的,并确保无论AP部署在哪个横向或者纵向的网络中,保证AP设备能够和wlan平台进行交互。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图2示出了本发明wlan认证方法的流程图。
本发明提供了一种wlan认证方法,其具体步骤包括:
S1、接收到来自客户端的上线请求后,向无线局域网wlan平台发送身份验证请求;所述身份验证请求包含所述客户端请求的上线地址;
S2、接收到来自所述wlan平台的重定向门户地址后,向所述客户端发送所述wlan的门户地址的登录界面;所述重定向门户地址是所述wlan平台接收到所述身份验证请求后,验证所述客户端未登录后发出的;所述登录界面用于使所述客户端输入登录信息;
S3、接收到所述客户端发送的包含登录信息的登陆请求后,将所述登陆请求转发到所述wlan平台,并接收所述wlan平台的应答所述登陆请求的第一重定向报文,将所述第一重定向报文转发到所述客户端;所述第一重定向报文包含所述客户端请求的上线地址;
S4、接收到所述客户端根据所述第一重定向报文重新发送的所述上线请求后,向所述wlan平台发送所述客户端授权状态查询请求;
S5、接收到所述wlan平台发送的客户端已授权的第一应答后,开放所述客户端的上网权限,并向所述客户端发送应答所述上线请求的第二重定向报文,所述第一应答是所述wlan平台根据接收的所述客户端状态查询请求后查询所述客户端已登录后发出的。
在另一个实施例中,当接收到来自客户端的上线请求后,向wlan平台发送身份验证请求后,还包括:
接收到来自所述wlan平台发送的所述客户端已授权的第三应答后,开放所述客户端的上网权限,所述第三应答是所述wlan平台接收到身份验证请求后验证该客户端已登录后发出的。
上述实施例中,是客户端上线的wlan认证,在进一步的实施例中,当上线的客户端需要下线时,接收到客户端发送的下线请求后,将所述下线请求转发到所述wlan平台,并接收所述wlan平台的应答所述下线请求的第三重定向报文,将所述第三重定向报文转发到所述客户端;所述第三重定向报文中包含下线专用地址;
接收到所述客户端发送的下线专用地址请求后,向所述wlan平台发送下线状态查询请求;
接收到所述wlan平台发送的客户端已下线的第二应答后,关闭所述客户端的上网权限,并向所述客户端发送应答所述下线请求的第四重定向报文,所述第四重定向报文中包含所述wlan平台的门户地址。
上述方法中,在客户端上线和下线过程中,其对wlan的请求主要由AP设备发起,并且对客户端与wlan平台之间的数据交互进行判断拦截,从而可以实现对客户端上线的管理,并且可以只将wlan平台设置在公网,降低了网络公共资源的使用量,降低了复杂度。
另外,在另一个实施例中,本发明的wlan认证方法还包括:
根据在上一周期接收的第四应答向所述wlan平台发送当前周期操作请求,并接收所述wlan平台对所述当前周期操作请求发送的第四应答;所述第四应答用于指示需要发送的操作请求。
上述实施例中的过程,实际上是wlan平台对AP设备进行管理的过程,具体包括:
图4示出了本发明的wlan认证方法中的对AP进行管理的方法流程图。
如图4所示,AP设备向wlan平台发送当前周期操作请求,该当前周期操作请求时AP设备根据在上一个周期接收到的wlan平台的应答中包含的指定需要发送的操作请求而生成的,wlan平台对该操作请求进行同步应答后,对AP设备发送应答信息,在该应答中不仅包含了对当前周期操作请求的应答,还包含了wlan平台指定AP设备在下一个周期需要发送的操作请求的内容。
上述实施例中,AP设备周期性地向wlan平台发送所述操作请求,该操作请求可以是状态同步请求,也可以是上线或下线请求,在此不做具体限定,并且该操作请求时根据AP设备接收到的上一次的应答信息后根据应答信息发送的操作请求。通过上述AP设备与wlan平台的交互,可以实现AP设备对wlan平台的管理,同时也可以实现AP设备对其下连接的客户端的管理。
基于上述,当接收到包含所述wlan平台指定客户端强制下线操作请求的应答后,向所述wlan平台发送下线请求,接收到所述wlan平台发送的指定下线的客户端后,关闭对应的客户端的上网权限,此处的客户端是指连接到该AP设备的客户端。
本发明的实施例中,AP、客户端以及wlan平台之间收发的报文为HTTP报文,并且所述HTTP报文中含有json字符串。
本发明的http+json字符串的报文格式,封装如下,请求和应答报文中均含有json字符串,利用HTTP报文使用的普遍性,方便和各种WEB服务器进行对接,并且针对终端的子网穿透性比较好。同时,json串又有结构简单,占用带宽少,方便处理的优点。
本实施例的HTTP请求报文格式如图3所示,并且请求数据中封装的是json字符串。以GET方式为例,请求数据中包含的数据可以为:
http://ip:port/wlanserver.do?reqParameter={"equipmentid":"1","ftpinfo":{"
ftpip":"192.168.1.112","ftppath":"/user/ftp","ftpport":"1521","ftppwd":"1
11111","ftpuser":"test"},"opcode":"200043","orgid":"1","outletsid":"1","r
eqid":"CAD7376E642389B4EA51445F39010B11055F017E29A71FC1","reqtime":"20141
231071704"}
另外,HTTP响应也由三个部分组成,分别是:状态行、消息报头、响应正文。
HTTP响应正文中包含应答数据。如下所示:
{"resultcode":"0000","resultdesc":"参数读取成功","data":{"opcode":"200043","nextopcode":"200044"}}
HTTP响应的格式与请求的格式十分类似,也包括:状态行对应请求行;消息报头对应请求头部;响应正文对应请求数据等。
下面将结合附图对本发明的实施例进行详细描述。
图5示出了本发明wlan认证方法的一个实施例的上线请求流程示意图。
本发明的一个实施例中,wlan认证方法的上线流程都是AP主动发起,这种设置方式可以将wlan平台部署在互联网(公网)端,AP只要能ping通wlan平台的地址,即可方便AP部署在任何网络(公网和私网)。因此,本实施例的wlan认证方法的原理和用户浏览查看网页的道理是相同的。不同之处是对于用户浏览器响应的是超文本html格式的数据,而本申请响应的是json格式的字符串,方便AP后台程序解析处理,控制用户网络行为和设备相关信息状态。
参照图5,本实施例中,以每个用户对应一个客户端,并且只有该客户端连接到AP设备为例进行描述,但是,本实施例的方法也适用于多个客户端同时工作,并且每个客户端的工作流程都相同。
当用户需要接入到wlan时,客户端发送上线请求到AP设备,AP设备接收到该上线请求后重定向该请求,向wlan平台发送身份验证请求;此时,身份验证请求包含客户端请求的上线地址。
wlan平台判断该上线请求的客户端是否已经登录,在本发明中,已经登录包括在本次上线请求之前的已经登录并接入到该网络,和/或wlan平台记录的已有的登录记录并授权可以直接登录的情况。具体情况如,当用户在此客户端上登陆过其他的网站,并在之前的登录中已经经过了wlan认证,则在登录其他网站时,wlan平台判断该客户端已经登录该wlan平台的门户。
当wlan平台验证该客户端没有登录时,向AP设备发送重定向门户地址,通知AP设备向客户端推送wlan平台的门户地址的登录界面,该登录界面用于使客户端输入登录信息。
用户从客户端进入登录界面输入登录信息后将登录请求发送到AP设备,AP设备对该登录请求不进行拦截,将登陆请求转发到wlan平台,wlan平台对该登录请求的登录信息进行有效性验证,并将验证结果通过AP设备的转发返回到客户端。此处的验证结果即是向客户端发送应答登录请求的第一重定向报文,该第一重定向报文中包含了客户端请求的上线地址。
此后,客户端根据第一重定向报文重新发送上线请求到AP设备,AP接收到后向wlan平台发送客户端授权状态查询请求,wlan平台接收到授权状态查询的请求后发送该客户端已授权的第一应答到AP设备,AP设备根据第一应答开放对该客户端的网络接入权限,并向该客户端发送应答该上线请求的第二重定向报文,此第二重定向报文通知该客户端重新定向到客户端请求的上线地址。
上述过程中,当AP发送身份验证请求到wlan平台后,如果wlan平台验证到该客户端已经登录,则wlan平台发送该客户端已授权的应答到AP设备,AP设备接收到后直接开放该客户端的上网权限。
图6示出了本发明的wlan认证方法的另一个实施例的下线请求流程示意图。
在本发明的另一个实施例中,其wlan认证方法的下线请求的过程如图7所示,当客户端发送的请求为下线请求(即主动下线请求)时,AP设备接收到该下线请求后不进行拦截,将该下线请求转发到wlan平台,wlan平台接收到该下线请求后,对该客户端的账户信息进行下线操作,并发送应答下线请求的第三重定向报文,并通过AP设备转发到客户端,该第三重定向报文中包括下线的专用地址,如可以发送wlan平台预设的下线专用界面的地址,通过该地址客户端可以进入下线专用界面进行操作。另外,如果wlan平台对该客户端下线操作失败时,wlan平台向客户端发送下线失败的应答,客户端重新发送下线请求,直至wlan平台发送应答该下线请求的第三重定向报文。
然后客户端根据接收的下线地址进行下线专用地址的请求到AP设备,AP设备向wlan平台发送下线状态查询请求。
然后AP设备接收到wlan平台发送的客户端已下线的第二应答后,关闭该客户端的上网权限,并向客户端发送应答下线请求的第四重定向报文,该第四重定向报文中包含外wlan平台的门户地址,即客户端根据该地址进入门户登录的界面上。
本发明的另一个实施例中,提供一种可以进行上述wlan认证的AP设备。
图7示出了本发明的AP设备的结构框图。
参照图7,本实施例的AP设备具体包括:
上线请求单元10,用于接收到来自客户端的上线请求后,向无线局域网wlan平台发送身份验证请求;所述身份验证请求包含所述客户端请求的上线地址;
门户地址重定向单元20,用于接收到来自所述wlan平台的重定向门户地址后,向所述客户端发送所述wlan的门户地址的登录界面;所述重定向门户地址是所述wlan平台接收到所述身份验证请求后,验证所述客户端未登录后发出的;所述登录界面用于使所述客户端输入登录信息;
登录信息转发单元30,用于接收到所述客户端发送的包含登录信息的登陆请求后,将所述登陆请求转发到所述wlan平台,并接收所述wlan平台的应答所述登陆请求的第一重定向报文,将所述第一重定向报文转发到所述客户端;所述第一重定向报文包含所述客户端请求的上线地址;
登录状态查询单元40,用于接收到所述客户端根据所述第一重定向报文重新发送的所述上线请求后,向所述wlan平台发送所述客户端授权状态查询请求;
权限开放单元50,用于接收到所述wlan平台发送的客户端已授权的第一应答后,开放所述客户端的上网权限,并向所述客户端发送应答所述上线请求的第二重定向报文,所述第一应答是所述wlan平台根据接收的所述客户端状态查询请求后查询所述客户端已登录后发出的。
在进一步的实施例中,所述设备还包括:
下线请求单元,用于接收到所述客户端发送的下线请求后,将所述下线请求转发到所述wlan平台,并接收所述wlan平台的应答所述下线请求的第三重定向报文,将所述第三重定向报文转发到所述客户端;所述第三重定向报文中包含下线专用地址;
用于接收到所述客户端发送的下线专用地址请求后,向所述wlan平台发送下线状态查询请求;
权限关闭单元,用于接收到所述wlan平台发送的客户端已下线的第二应答后,关闭所述客户端的上网权限,并向所述客户端发送应答所述下线请求的第四重定向报文,所述第四重定向报文中包含所述wlan平台的门户地址。
另外,在进一步的实施例中,上述设备还包括:
状态管理单元,用于根据在上一周期接收的第四应答向所述wlan平台发送当前周期操作请求,并接收所述wlan平台对所述当前周期操作请求发送的第四应答;所述第四应答用于指示需要发送的操作请求。
在本发明的又一个实施例中,提供一种wlan认证系统。
图8示出了本发明的wlan认证系统的网络拓扑图。
参照图8,本实施例的wlan认证系统具体包括:
AP设备,连接到AP设备的多个客户端,与AP设备有线连接的交换机;与交换机有线连接的汇聚交换机;以及与汇聚交换机连接的wlan平台;其中,AP是上述实施例所描述的AP设备。
在本实施例中,该网络拓扑结构中,wlan平台设置在公网,即Internet网,然后多个AP设备接入到交换机,并通过交换机接入到汇聚交换机,通过这种网络拓扑结构,可以简化wlan认证系统的拓扑结构,降低投入和维护的成本。
另外,上述拓扑结构中,AP设备之间可以实现多样性的组网方式,可以满足不同的业务需求,使得AP设备不管是部署在哪个横向或纵向网络中,都可以保证AP设备与wlan平台的交互。
另外,本实施例通过使用上述AP设备,可以将radius服务器和aaa计费器变为wlan平台的一个子模块,可以有效地减少网络结构设备的使用情况,从而可以降低网络公共资源的使用量,降低复杂度。
另外,在本系统中,所有的AP采用HTTP协议实现集中管理,终端通过AP与wlan平台进行交互,认证通过后进入Internet,为了将信号干扰减少到最低,相邻的AP之间的信道错开,这样不仅能扩展无线覆盖范围,还能在信号重叠区域提供冗余性保障。另外,AP支持无线中继模式,可扩大覆盖范围,AP还可支持无线桥接模式,来连接两个不同的有线局域网,实现数据通信
本发明提供一种wlan认证方法及系统、AP设备,客户端的上下线通过AP设备向wlan平台发起请求,从而可以仅将wlan平台部署在公网,而AP设备可以设置在任何网络,并且本发明仅需要AP设备和wlan平台,即可实现wlan认证,简化了设备类型,降低投入和维护的成本,同时降低了网络公共资源的使用量,降低复杂度。另外,AP设备之间可以实现多样性的组网方式,满足不同的业务需求,并且利用http报文和json数据格式的优点,简化数据处理流程,减少数据传输量,节省带宽。此外,利用http报文使用的普遍性,可以自由的传过各种防火墙和ACL的规则策略,并且无论AP设备如何部署,常用的配置是允许用户上网浏览网页的,并确保无论AP部署在哪个横向或者纵向的网络中,保证AP设备能够和wlan平台进行交互。
本实施例为本发明的系统的实施例,由于与方法的实施例基本相似,所以描述的比较简单,相关之处请参见方法实施例部分的说明。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。