CN107454046B - 跨设备的认证方法及装置 - Google Patents

Abstract

本发明公开了一种跨设备的认证方法，包括以下步骤：访问控制端在接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；在判断出存在所述标识信息后，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据。本发明还公开了一种跨设备的认证装置。本发明减少了访问的认证操作，提高了终端访问的效率。

Description

跨设备的认证方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及跨设备的认证方法及装置。

背景技术

随着移动互联网的高速发展，智能手机、平板电脑等智能终端愈来愈普及，人们更喜欢通过无线来使用移动式终端办公，例如笔记本电脑连接WiFi上网，完成办公。公司、酒店、商超等场所都提供了WiFi热点上网，且基于安全、管控、持续营销等角度考虑，在访问网络时都需要进行用户认证。目前，对于访问网络的用户认证，在同一WiFi热点访问网络时，只需一次认证，后续再次访问该WiFi热点时会自动访问。但在例如，商场、超市、餐饮等存在连锁机构的不同店面时或者总部人员去分支结构或办事处办公时，需要重新认证，每到一家不同的分支结构均需要重新进行用户认证。导致网络访问的认证过程繁琐，效率差。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种跨设备的认证方法及装置，旨在解决目前网络认证需要反复重新认证，导致网络访问的认证过程繁琐，效率差的问题。

为实现上述目的，本发明提供的一种跨设备的认证方法，包括以下步骤：

访问控制端在接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

在判断出存在所述标识信息后，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据。

优选地，所述在判断出存在所述标识信息的步骤包括：

所述访问控制端判断本地是否存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

所述访问控制端在本地存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，判断存在所述标识信息。

优选地，所述访问控制端判断本地是否存储有所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息的步骤之后，还包括：

所述访问控制端在本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，从与所述访问控制端连接的中央控制端获取所述标识信息；

所述访问控制端在从与所述访问控制端连接的中央控制端获取所述标识信息时，判断存在所述标识信息。

优选地，所述控制所述访问者通过所述终端访问所述访问请求对应的数据的步骤包括：

访问控制端在判断出存在所述标识信息后，判断所述标识信息对应的认证信息是否为有效的认证信息；

在所述认证信息为有效认证信息时，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据。

优选地，所述方法还包括：

所述访问控制端在有新的访问者在本地通过访问认证时，为所述访问者设置通过认证的标识信息并记录；

所述访问控制端将所记录的通过认证的标识信息同步至与其连接的中央控制端，以供其他访问控制端从所述中央控制端获取所记录通过认证的标识信息。

此外，为实现上述目的，本发明还提供一种跨设备的认证装置，包括：

判断模块，用于在接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

控制模块，用于在所述判断模块判断出存在所述标识信息后，控制所述访问者通过所述终端访问所述访问请求对应的数据。

优选地，所述判断模块包括：

判断单元，用于判断本地是否存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；所述判断单元还用于

在本地存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，判断存在所述标识信息。

优选地，所述判断模块还包括：

获取单元，用于在本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，从与所述访问控制端连接的中央控制端获取所述标识信息；

所述判断单元，还用于在从与所述访问控制端连接的中央控制端获取所述标识信息时，判断存在所述标识信息。

优选地，所述判断单元，还用于在判断出存在所述标识信息后，判断所述标识信息对应的认证信息是否为有效的认证信息；

所述控制模块，还用于在所述认证信息为有效认证信息时，控制所述访问者通过所述终端访问所述访问请求对应的数据。

优选地，还包括：

记录模块，用于在有新的访问者在本地通过访问认证时，为所述访问者设置通过认证的标识信息并记录；

同步模块，用于将所记录的通过认证的标识信息同步至与其连接的中央控制端，以供其他访问控制端从所述中央控制端获取所记录通过认证的标识信息。

本发明通过在接收到终端的访问请求时，访问控制端判断是否存在所述访问请求对应访问者访问与该访问控制端关联的其他访问控制端时通过认证的标识；在所述访问者通过其他访问控制端的访问认证时，允许所述访问者通过所述终端当前的访问。通过上述方案在终端请求访问时，在关联的访问控制端通过访问认证后，所述访问者在当前的访问控制端无需认证，直接允许所述访问者的访问。减少了终端访问的认证操作，提高了终端访问的效率。

附图说明

图1为本发明跨设备的认证方法的第一实施例的流程示意图；

图2为本发明一实施例的网络示意图；

图3为本发明跨设备的认证方法的第二实施例的流程示意图；

图4为本发明跨设备的认证方法的第三实施例的流程示意图；

图5为本发明跨设备的认证方法的第四实施例的流程示意图；

图6为本发明跨设备的认证方法的第五实施例的流程示意图；

图7为本发明一实施例访问控制端从中央控制端下载认证信息的流程示意图；

图8为本发明一实施例访问控制端向中央控制端发送认证信息的流程示意图；

图9为本发明一实施例中访问请求认证的流程示意图；

图10为本发明跨设备的认证装置的第一实施例的功能模块示意图；

图11为图10中判断模块一实施例的细化功能模块示意图；

图12为本发明跨设备的认证装置的第二实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：通过在接收到终端的访问请求时，访问控制端判断是否存在所述访问请求对应访问者访问与该访问控制端关联的其他访问控制端时通过认证的标识；在所述访问者通过其他访问控制端的访问认证时，允许所述访问者通过所述终端当前的访问。通过上述方案在终端请求访问时，在关联的访问控制端通过访问认证后，所述访问者在当前的访问控制端无需认证，直接允许所述访问者的访问。减少了终端访问的认证操作，提高了终端访问的效率。

目前网络认证需要反复重新认证导致网络访问的认证过程繁琐，效率差的问题

基于上述问题，本发明提供一种跨设备的认证方法。

为了更好的描述本发明实施例，先对本发明实施例所需要用到的名词进行解释，具体如下所述：

WLAN：一种可以将个人电脑、手持设备(如手机、平板电脑等)等终端以无线方式互相连接的技术。

无线AP：无线接入点的简称，英文全称Access Point，其功能是在有线网络与无线网络建立连接。形像点说，无线AP是无线网和有线网之间沟通的桥梁。

无线控制器：全称Wireless Access Point Controller，用来集中化控制无线AP，是一个无线网络的核心，负责管理无线网络中的所有无线AP，对AP管理包括：下发配置、修改相关配置参数、射频智能管理、访问安全控制等。

集中管理：全称集中安全管理中心，英文全称Secure Center，用来集中化管理控制器。由一台控制器充当中心端，其他的控制器充当网点。由中心端控制器对网点控制器进行管理。

参照图1，图1为本发明跨设备的认证方法的第一实施例的流程示意图。

在一实施例中，所述跨设备的认证方法包括：

步骤S10，访问控制端在接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

在本实施例中，用户在需要网络访问或者作为访客(例如，微信，短信等)时，通过终端发起访问请求。在用户通过终端发起访问请求时，所述访问请求经过访问控制端，访问控制端需要对访问请求的访问者进行认证。所述访问控制端在接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息。所述与所述访问控制端关联的其他访问控制端包括但不限于：分支访问控制端或中央访问控制端。即，为同一访问控制端的分支访问控制端或中央访问控制端。例如，一个商场存在多个分支机构，每个分支机构均具有WiFi热点，每个WiFi热点存在一个访问控制端，用户通过终端在分支机构A的WiFi热点发起访问请求时，判断所述访问请求对应访问者是否在分支机构B通过了WiFi热点的认证。所述判断过程包括：是否能获取到所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息，在获取到所述标识信息时，判断存在所述标识信息；在未获取到所述标识信息时，判断不存在所述标识信息。所述标识信息对应认证信息，所述认证信息为用户名、终端信息通过认证，并与通过认证标识关联。所述标识信息为终端信息、Mac地址、用户登录信息等身份信息。

步骤S20，在判断出存在所述标识信息后，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据。

在判断出存在所述标识信息后，控制所述访问者通过所述终端访问所述访问请求对应的数据。即，在所述访问者访问与所述访问控制端关联的其他访问控制端时通过访问认证时，允许所述访问请求对应的访问。例如，所述访问者在通过分支机构A的WiFi热点请求访问时，判断所述访问者在分支机构B的WiFi热点已经通过认证，允许所述终端通过分支机构A的WiFi热点进行网络访问，即，允许所述访问者使用终端通过分支机构A的WiFi热点访问互联网，进行互联网数据的访问和网络数据交互。在不存在所述标识信息后，所述访问控制端对访问者进行访问认证。所述认证过程包括：所述访问控制端接收通过终端输入的认证信息，在认证信息通过后，允许所述访问者的访问。在认证通过后，缓存所述访问者的认证信息。缓存在终端访问者的认证信息按照一定的策略进行删除，例如时间、使用频率或使用间隔等来删除终端缓存的认证数据。所应用的场景，例如，1、用户使用笔记本A通过了总部的认证，用户使用该笔记本A直接在分支机构可以请求数据访问，无需再次进行认证；2、用户a使用笔记本A通过了总部的认证，用户a可以使用笔记本B直接在分支机构可以请求数据访问，无需再次进行认证，即，在用户认证过，同一用户可以使用不同的终端直接访问。上述场景中的笔记本A和用户a均为访问者，访问者在请求访问时，均有在其他关联的访问控制端通过认证，无需重新认证，直接通过相应的终端进行数据的访问即可，减少认证过程。

为了更好的描述本发明实施例，参考图2，包括：中央控制器1、网点控制器1、网点控制器2、中心区AP、AP1和AP2，其中，所述中央控制器控制中心区AP，网点控制器1控制AP1，网点控制器2控制AP2。在用户通过终端请求访问AP1时，判断所述终端是否在AP2或中心区AP通过认证。在所述终端在AP2或中心区AP通过认证时，允许所述终端接入AP1，通过AP1访问互联网。在本发明一实施例中，在接收到终端的访问请求时，判断所述终端是否在本端通过认证，在所述终端在本端通过认证时，允许访问；在未在本端通过认证时，再通过上述的方式完成终端访问的认证过程。在本发明其他实施例中，为了提高访问的安全性，在接收到终端的访问时，判断是否获得自动认证授权，在获得自动认证授权时，按照上述过程完成终端访问的认证；在未获得自动认证授权时，提示进行认证操作，提供认证操作界面供用户通过所述认证操作界面完成访问认证。

本实施例通过在接收到终端的访问请求时，访问控制端判断是否存在所述访问请求对应访问者访问与该访问控制端关联的其他访问控制端时通过认证的标识；在所述访问者通过其他访问控制端的访问认证时，允许所述访问者当前的访问。通过上述方案在终端请求访问时，在关联的访问控制端通过访问认证后，所述访问者在当前的访问控制端无需认证，直接允许所述访问者的访问。减少了终端访问的认证操作，提高了终端访问的效率。

参照图3，图3为本发明跨设备的认证方法的第二实施例的流程示意图。基于上述跨设备的认证方法的第一实施例，所述步骤S10包括：

步骤S11，所述访问控制端判断本地是否存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

步骤S12，所述访问控制端在本地存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，判断存在所述标识信息。

在本实施例中，在进行标识信息的判断时，所述访问控制端先在所述其本地判断，即，所述访问控制端判断本地是否存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息。所述判断的过程包括：所述访问控制端获取所述访问者的标识信息。从本地存储的认证信息的索引表中查找是否存在所述访问者信息对应的标识信息，在所述索引表中查找到所述标识信息时，判断本地存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息，进而判断所述访问者无需重新认证。若否，则判断本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息，进而判断不存在所述标识信息。

进一步地，为了提高访问认证的准确性，参考图4，在所述步骤S11之后，还包括：

步骤S13，所述访问控制端在本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，从与所述访问控制端连接的中央控制端获取所述标识信息；

步骤S14，所述访问控制端在未从与所述访问控制端连接的中央控制端获取所述标识信息时，判断不存在所述标识信息；

步骤S15，所述访问控制端在从与所述访问控制端连接的中央控制端获取所述标识信息时，判断存在所述标识信息。

所述访问控制端在本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，从与所述访问控制端连接的中央控制端获取所述标识信息。即，从中央控制端获取是否在关联的其他访问控制端通过认证的标识信息的索引信息。判断过程与上述在本地的过程类似，在此不再一一赘述。在本发明一实施例中，在所述中央控制端也未存储所述标识信息时，所述中央控制端向关联的其他访问控制端发送标识信息的获取指令，从各个关联的访问控制端获取最新的通过认证的标识信息的索引信息。在成功获取到最新的标识信息的索引信息后，去对应的访问控制端查询标识信息即可，通过查询到的标识信息重新执行上述判断过程。

本实施例通过访问控制端本地以及中央控制端进行所述终端访问认证的操作，提高了访问认证的准确性。

参照图5，图5为本发明跨设备的认证方法的第四实施例的流程示意图。基于上述跨设备的认证方法的第二实施例，所述步骤S20包括：

步骤S21，访问控制端在判断出存在所述标识信息后，判断所述标识信息对应的认证信息是否为有效认证信息；

步骤S22，在所述认证信息为有效认证信息时，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据。

在本实施例中，在判断出存在所述标识信息后，判断所述标识信息对应的认证信息是否为有效认证信息。所述判断是否为有效的认证信息的过程包括但不限于：1)判断所述认证信息是否在有效期限内，即，判断所述认证信息的存储时间是否大于预设时间(例如，预设时间为1个月或2月等)，在大于预设时间时，判断为无效的认证信息，在小于或等于预设时间时，判断为有效的认证信息；2)判断所述认证信息是否为授权的认证信息，即，判断所述认证信息是否得到用户的授权可以用于自动验证，在未得到授权时，判断为无效的认证信息，在得到授权时，判断为有效的认证信息；3)认证信息的格式是否与最新的格式匹配，在不匹配时，判断为无效的认证信息，在匹配时，判断为有效的认证信息；4)判断所述认证信息是否为该网点可用的认证信息，在所述认证信息不为该网点可用的认证信息时，判断为无效的认证信息，在可用时，判断为有效的认证信息，即，对于不同的网点，对应开放权限给某些认证信息，在未开放权限时，即使存在在其他分支结构认证过的认证信息，在本网点也无法使用，需要重新认证。在为有效的认证信息时，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据，直接访问，无需再次认证。

本实施例通过对认证信息的有效性进行判断，保证了访问认证的安全性，进而提高了用户信息的安全性。

参照图6，图6为本发明跨设备的认证方法的第五实施例的流程示意图。基于上述第一至第三实施例，所述方法还包括：

步骤S30，所述访问控制端在有新的访问者在本地通过访问认证时，为所述访问者设置通过认证的标识信息并记录；

步骤S40，所述访问控制端将所记录的通过认证的标识信息同步至与其连接的中央控制端，以供其他访问控制端从所述中央控制端获取所记录的通过认证的标识。

在本实施例中，在访问者通过终端第一次进行访问认证或重新执行认证操作，且认证通过后，为所述访问者设置通过认证的标识信息并记录，并与访问者关联。所述访问控制端除了将所述通过访问认证的标识信息在本地保存外，还将所述标识信息同步至中央控制端，以供其他访问控制端从所述中央控制端获取所记录的通过认证的标识信息。在本发明一实施例中，为了保证访问控制端存储的认证信息为最新的标识信息，所述访问控制端间隔一定时间(例如，30分钟或1个小时等)，向中央控制端同步最新的标识信息。所述访问控制端从中央控制端下载认证信息的过程参考图7，具体的包括：S1、分支安全网关向中心设备定期增量下载认证信息索引总表；S2、分支端设备接收中心端设备认证信息索引总表；S3、分支端去重处理后，更新分支端认证数据库。在本发明其他实施例中，所述访问控制端定期(1天或2天等)将本地的认证信息发送至中央控制端，或者在本地认证信息发生改变时，将本地的认证信息发送至中央控制端。参考图8，具体包括：S4、分支安全网关向中心端定期增量上传认证信息索引子表；S5、中心端接收分支端发送的索引子表；S6、中心端去重处理后，更新至中心端认证信息索引子表。在本发明其他实施例中，也还可以是中央控制端主动要求访问控制端上报最新的认证信息，具体过程与上述访问控制端向中央控制端上传认证信息的过程类似，在此不再一一赘述。

为了更好的描述本发明实施例，参考图9，所述跨设备的认证过程包括：S101、安全网关接收到访问网络请求；S102、该用户在安全网关中已上线？若是，执行S103，若否，执行S104；S103、放通任意请求；S104，获取MAC地址等信息(三层环境需要通过snmp获取)；S105，在本地认证数据库中是否能查询到对应认证信息，若是，执行过程S106-S109；若否，执行过程S110-S112；S106，到本机的认证地址界面弹出认证及提示窗口；S107，认证成功？若是，执行S108，若否，执行S109；S108，认证成功上线，保存MAC信息与用户名、组织结构对应关系到本地认证数据库；S109，提示认证失败；S110，在中心端认证信息索引总表中是否找到该用户？若是，执行S112，若否，执行S111；S111，根据认证策略，展现认证界面供用户认证；S112，到对应的分支网点获取该用户的认证信息，并直接认证上线。具体的：用户在分支端访问到网络时，分支安全网关通过查看该用户是否是已认证用户，若是已认证上线用户，则直接放通；若是未认证用户，分支安全网关获取其该用户的标签(例如MAC地址，或者用户名等)然后从总部的索引总表中进行查找，确认该用户是曾在其他连锁分支认证过，若能根据用户的标签从其他连锁分支获取与其匹配的用户认证信息，则查看其是否符合有效期等规则，符合则上线；若是在认证信息库中无法获取到用户标签对应的认证信息或认证信息已失效，则代表该用户需要经过认证才能访问网络，则该用户被视为第一次认证用户，根据无线网络既定的认证策略进行认证，认证成功后用户方可使用无线网络。

本发明进一步提供一种跨设备认证装置。

参照图10，图10为本发明跨设备认证装置的第一实施例的功能模块示意图。

在一实施例中，所述跨设备认证装置包括：判断模块10及控制模块20。

所述判断模块10，用于在接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

在本实施例中，用户在需要网络访问或者作为访客(例如，微信，短信等)时，通过终端发起访问请求。在用户通过终端发起访问请求时，所述访问请求经过访问控制端，访问控制端需要对访问请求的访问者进行认证。所述访问控制端在接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息。所述与所述访问控制端关联的其他访问控制端包括但不限于：分支访问控制端或中央访问控制端。即，为同一访问控制端的分支访问控制端或中央访问控制端。例如，一个商场存在多个分支机构，每个分支机构均具有WiFi热点，每个WiFi热点存在一个访问控制端，用户通过终端在分支机构A的WiFi热点发起访问请求时，判断所述访问请求对应访问者是否在分支机构B通过了WiFi热点的认证。所述判断过程包括：是否能获取到所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息，在获取到所述标识信息时，判断存在所述标识信息；在未获取到所述标识信息时，判断不存在所述标识信息。所述标识信息对应认证信息，所述认证信息为用户名、终端信息通过认证，并与通过认证标识关联。所述标识信息为终端信息、Mac地址、用户登录信息等身份信息。

所述控制模块20，用于在判断模块10判断出存在所述标识信息后，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据。

在判断出存在所述标识信息后，控制模块20控制所述访问者通过所述终端访问所述访问请求对应的数据。即，在所述访问者访问与所述访问控制端关联的其他访问控制端时通过访问认证时，允许所述访问请求对应的访问。例如，所述访问者在通过分支机构A的WiFi热点请求访问时，判断所述访问者在分支机构B的WiFi热点已经通过认证，允许所述终端通过分支机构A的WiFi热点进行网络访问，即，允许所述访问者使用终端通过分支机构A的WiFi热点访问互联网，进行互联网数据的访问和网络数据交互。在不存在所述标识信息后，所述访问控制端对访问者进行访问认证。所述认证过程包括：所述访问控制端接收通过终端输入的认证信息，在认证信息通过后，允许所述访问者的访问。在认证通过后，缓存所述访问者的认证信息。缓存在终端访问者的认证信息按照一定的策略进行删除，例如时间、使用频率或使用间隔等来删除终端缓存的认证数据。所应用的场景，例如，1、用户使用笔记本A通过了总部的认证，用户使用该笔记本A直接在分支机构可以请求数据访问，无需再次进行认证；2、用户a使用笔记本A通过了总部的认证，用户a可以使用笔记本B直接在分支机构可以请求数据访问，无需再次进行认证，即，在用户认证过，同一用户可以使用不同的终端直接访问。上述场景中的笔记本A和用户a均为访问者，访问者在请求访问时，均有在其他关联的访问控制端通过认证，无需重新认证，直接通过相应的终端进行数据的访问即可，减少认证过程。

为了更好的描述本发明实施例，参考图2，包括：中央控制器1、网点控制器1、网点控制器2、中心区AP、AP1和AP2，其中，所述中央控制器控制中心区AP，网点控制器1控制AP1，网点控制器2控制AP2。在用户通过终端请求访问AP1时，判断所述终端是否在AP2或中心区AP通过认证。在所述终端在AP2或中心区AP通过认证时，允许所述终端接入AP1，通过AP1访问互联网。在本发明一实施例中，在接收到终端的访问请求时，判断所述终端是否在本端通过认证，在所述终端在本端通过认证时，允许访问；在未在本端通过认证时，再通过上述的方式完成终端访问的认证过程。在本发明其他实施例中，为了提高访问的安全性，在接收到终端的访问时，判断是否获得自动认证授权，在获得自动认证授权时，按照上述过程完成终端访问的认证；在未获得自动认证授权时，提示进行认证操作，提供认证操作界面供用户通过所述认证操作界面完成访问认证。

本实施例通过在接收到终端的访问请求时，访问控制端判断是否存在所述访问请求对应访问者访问与该访问控制端关联的其他访问控制端时通过认证的标识；在所述访问者通过其他访问控制端的访问认证时，允许所述访问者当前的访问。通过上述方案在终端请求访问时，在关联的访问控制端通过访问认证后，所述访问者在当前的访问控制端无需认证，直接允许所述访问者的访问。减少了终端访问的认证操作，提高了终端访问的效率。

参照图11，所述判断模块10包括判断单元11和获取单元12，

所述判断单元11，用于判断本地是否存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；判断单元11还用于

在本地存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，判断存在所述标识信息。

在本实施例中，在进行标识信息的判断时，判断单元11先在所述其本地判断，即，判断单元11判断本地是否存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息。所述判断单元11判断的过程包括：获取所述访问者的标识信息。从本地存储的认证信息的索引表中查找是否存在所述访问者信息对应的标识信息，在所述索引表中查找到所述标识信息时，判断本地存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息，进而判断所述访问者无需重新认证。若否，则判断本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息，进而判断不存在所述标识信息。

所述获取单元12，用于在本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，从与所述访问控制端连接的中央控制端获取所述标识信息；

所述判断单元11，还用于在未从与所述访问控制端连接的中央控制端获取所述标识信息时，判断不存在所述标识信息；判断单元11还用于

在从与所述访问控制端连接的中央控制端获取所述标识信息时，判断存在所述标识信息。

获取单元12在本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，从与所述访问控制端连接的中央控制端获取所述标识信息。即，从中央控制端获取是否在关联的其他访问控制端通过认证的标识信息的索引信息。判断过程与上述在本地的过程类似，在此不再一一赘述。在本发明一实施例中，在所述中央控制端也未存储所述标识信息时，所述中央控制端向关联的其他访问控制端发送标识信息的获取指令，从各个关联的访问控制端获取最新的通过认证的标识信息的索引信息。在成功获取到最新的标识信息的索引信息后，去对应的访问控制端查询标识信息即可，通过查询到的标识信息重新执行上述判断过程。

本实施例通过访问控制端本地以及中央控制端进行所述终端访问认证的操作，提高了访问认证的准确性。

本实施例通过访问控制端本地以及中央控制端进行所述终端访问认证的操作，提高了访问认证的准确性。

进一步地，所述判断单元11，还用于在判断出存在所述认证信息后，判断所述认证信息是否为有效认证信息；

所述控制模块20，还用于在所述认证信息为有效认证信息时，控制所述访问者通过所述终端访问所述访问请求对应的数据。

在本实施例中，在判断出存在所述标识信息后，判断单元11判断所述标识信息对应的认证信息是否为有效认证信息。所述判断是否为有效的认证信息的过程包括但不限于：1)判断所述认证信息是否在有效期限内，即，判断所述认证信息的存储时间是否大于预设时间(例如，预设时间为1个月或2月等)，在大于预设时间时，判断为无效的认证信息，在小于或等于预设时间时，判断为有效的认证信息；2)判断所述认证信息是否为授权的认证信息，即，判断所述认证信息是否得到用户的授权可以用于自动验证，在未得到授权时，判断为无效的认证信息，在得到授权时，判断为有效的认证信息；3)认证信息的格式是否与最新的格式匹配，在不匹配时，判断为无效的认证信息，在匹配时，判断为有效的认证信息；4)判断所述认证信息是否为该网点可用的认证信息，在所述认证信息不为该网点可用的认证信息时，判断为无效的认证信息，在可用时，判断为有效的认证信息，即，对于不同的网点，对应开放权限给某些认证信息，在未开放权限时，即使存在在其他分支结构认证过的认证信息，在本网点也无法使用，需要重新认证。在为有效的认证信息时，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据，直接访问，无需再次认证。

本实施例通过对认证信息的有效性进行判断，保证了访问认证的安全性，进而提高了用户信息的安全性。

参照图12，图12为本发明跨设备的认证装置的第二实施例的功能模块示意图。所述跨设备的认证装置还包括：记录模块30和同步模块40，

所述记录模块30，用于在有新的访问者在本地通过访问认证时，为所述访问者设置通过认证的标识信息并记录；

所述同步模块40，用于将所记录的通过认证的标识信息同步至与其连接的中央控制端，以供其他访问控制端从所述中央控制端获取所记录的通过认证的标识。

在本实施例中，在访问者通过终端第一次进行访问认证或重新执行认证操作，且认证通过后，为所述访问者设置通过认证的标识信息并记录，并与访问者关联。所述访问控制端除了将所述通过访问认证的标识信息在本地保存外，还将所述标识信息同步至中央控制端，以供其他访问控制端从所述中央控制端获取所记录的通过认证的标识信息。在本发明一实施例中，为了保证访问控制端存储的认证信息为最新的标识信息，所述访问控制端间隔一定时间(例如，30分钟或1个小时等)，向中央控制端同步最新的标识信息。所述访问控制端从中央控制端下载认证信息的过程参考图7，具体的包括：S1、分支安全网关向中心设备定期增量下载认证信息索引总表；S2、分支端设备接收中心端设备认证信息索引总表；S3、分支端去重处理后，更新分支端认证数据库。在本发明其他实施例中，所述访问控制端定期(1天或2天等)将本地的认证信息发送至中央控制端，或者在本地认证信息发生改变时，将本地的认证信息发送至中央控制端。参考图8，具体包括：S4、分支安全网关向中心端定期增量上传认证信息索引子表；S5、中心端接收分支端发送的索引子表；S6、中心端去重处理后，更新至中心端认证信息索引子表。在本发明其他实施例中，也还可以是中央控制端主动要求访问控制端上报最新的认证信息，具体过程与上述访问控制端向中央控制端上传认证信息的过程类似，在此不再一一赘述。

为了更好的描述本发明实施例，参考图9，所述跨设备的认证过程包括：S101、安全网关接收到访问网络请求；S102、该用户在安全网关中已上线？若是，执行S103，若否，执行S104；S103、放通任意请求；S104，获取MAC地址等信息(三层环境需要通过snmp获取)；S105，在本地认证数据库中是否能查询到对应认证信息，若是，执行过程S106-S109；若否，执行过程S110-S112；S106，到本机的认证地址界面弹出认证及提示窗口；S107，认证成功？若是，执行S108，若否，执行S109；S108，认证成功上线，保存MAC信息与用户名、组织结构对应关系到本地认证数据库；S109，提示认证失败；S110，在中心端认证信息索引总表中是否找到该用户？若是，执行S112，若否，执行S111；S111，根据认证策略，展现认证界面供用户认证；S112，到对应的分支网点获取该用户的认证信息，并直接认证上线。具体的：用户在分支端访问到网络时，分支安全网关通过查看该用户是否是已认证用户，若是已认证上线用户，则直接放通；若是未认证用户，分支安全网关获取其该用户的标签(例如MAC地址，或者用户名等)然后从总部的索引总表中进行查找，确认该用户是曾在其他连锁分支认证过，若能根据用户的标签从其他连锁分支获取与其匹配的用户认证信息，则查看其是否符合有效期等规则，符合则上线；若是在认证信息库中无法获取到用户标签对应的认证信息或认证信息已失效，则代表该用户需要经过认证才能访问网络，则该用户被视为第一次认证用户，根据无线网络既定的认证策略进行认证，认证成功后用户方可使用无线网络。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种跨设备的认证方法，其特征在于，包括以下步骤：

访问控制端在接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

在判断出存在所述标识信息后，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据；

所述控制所述访问者通过所述终端访问所述访问请求对应的数据的步骤包括：

访问控制端在判断出存在所述标识信息后，判断所述标识信息对应的认证信息是否为有效的认证信息；

在所述认证信息为有效认证信息时，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据；

判断有效认证信息包括：判断认证信息是否为所述访问控制端可用的认证信息，在所述认证信息为不可用的认证信息时，判定为无效的认证信息；在可用认证信息时，判定为有效认证信息；其中，对于不同的网点，对应开放不同权限通过认证信息来访问请求对应的数据，在未开放权限时，存在所述其他访问控制端认证过的认证信息，在所述访问控制端无法使用，需要重新认证。

2.如权利要求1所述的跨设备的认证方法，其特征在于，所述在判断出存在所述标识信息的步骤包括：

所述访问控制端判断本地是否存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

所述访问控制端在本地存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，判断存在所述标识信息。

3.如权利要求2所述的跨设备的认证方法，其特征在于，所述访问控制端判断本地是否存储有所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息的步骤之后，还包括：

所述访问控制端在本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，从与所述访问控制端连接的中央控制端获取所述标识信息；

所述访问控制端在从与所述访问控制端连接的中央控制端获取所述标识信息时，判断存在所述标识信息。

4.如权利要求1至3任一项所述的跨设备的认证方法，其特征在于，所述方法还包括：

所述访问控制端在有新的访问者在本地通过访问认证时，为所述访问者设置通过认证的标识信息并记录；

所述访问控制端将所记录的通过认证的标识信息同步至与其连接的中央控制端，以供其他访问控制端从所述中央控制端获取所记录通过认证的标识信息。

5.一种跨设备的认证装置，其特征在于，包括：

判断模块，用于在访问控制端接收到终端的访问请求时，判断是否存在所述访问请求对应访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；

控制模块，用于在所述判断模块判断出存在所述标识信息后，控制所述访问者通过所述终端访问所述访问请求对应的数据；

所述判断模块，还用于访问控制端在判断出存在所述标识信息后，判断所述标识信息对应的认证信息是否为有效的认证信息；

控制模块，还用于在所述认证信息为有效认证信息时，所述访问控制端控制所述访问者通过所述终端访问所述访问请求对应的数据；

所述判断模块判断有效认证信息包括：判断认证信息是否为所述访问控制端可用的认证信息，在所述认证信息为不可用的认证信息时，判定为无效的认证信息；在可用认证信息时，判定为有效认证信息；其中，对于不同的网点，对应开放不同权限通过认证信息来访问请求对应的数据，在未开放权限时，存在所述其他访问控制端认证过的认证信息，在所述访问控制端无法使用，需要重新认证。

6.如权利要求5所述的跨设备的认证装置，其特征在于，所述判断模块包括：

判断单元，用于判断本地是否存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息；所述判断单元还用于

在本地存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，判断存在所述标识信息。

7.如权利要求6所述的跨设备的认证装置，其特征在于，所述判断模块还包括：

获取单元，用于在本地未存储所述访问者访问与所述访问控制端关联的其他访问控制端时通过认证的标识信息时，从与所述访问控制端连接的中央控制端获取所述标识信息；

所述判断单元，还用于在从与所述访问控制端连接的中央控制端获取所述标识信息时，判断存在所述标识信息。

8.如权利要求5至7任一项所述的跨设备的认证装置，其特征在于，还包括：

记录模块，用于在有新的访问者在本地通过访问认证时，为所述访问者设置通过认证的标识信息并记录；

同步模块，用于将所记录的通过认证的标识信息同步至与其连接的中央控制端，以供其他访问控制端从所述中央控制端获取所记录通过认证的标识信息。

Images