CN109391601B - 一种授予终端网络权限的方法、装置及设备 - Google Patents
一种授予终端网络权限的方法、装置及设备 Download PDFInfo
- Publication number
- CN109391601B CN109391601B CN201710681839.XA CN201710681839A CN109391601B CN 109391601 B CN109391601 B CN 109391601B CN 201710681839 A CN201710681839 A CN 201710681839A CN 109391601 B CN109391601 B CN 109391601B
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- message
- network
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Information Transfer Between Computers (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种授予终端网络权限的方法、装置及设备,用以解决WAN不稳定引起的终端等待时间长的问题。该方法,包括:认证设备接收终端发送的网络权限请求报文,认证设备授予终端第一网络权限,在授予终端第一网络权限之后,认证设备接收服务器发送的第一认证失败消息,认证设备根据第一认证失败消息撤销终端的第一网络权限。因此,认证设备可以在收到服务器发送的认证结果之前授予终端网络权限,并在收到服务器发送的第一认证失败消息时及时撤销网络权限。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种授予终端网络权限的方法、装置及设备。
背景技术
在认证方案中,服务器根据终端发送的认证请求消息对终端进行认证,当服务器确定终端认证成功时,向认证设备发送认证成功消息。认证设备根据认证成功消息授予终端网络权限。
如图1所示,如果认证设备和服务器被跨广域网(英文:wide area network,WAN)部署,由于WAN不稳定,认证设备和服务器之间可能发生丢包。如果服务器发送的认证成功消息丢失,或认证设备发送的响应消息丢失,服务器重传认证成功消息。认证成功消息的延迟会导致终端等待时间延长。
发明内容
本申请提供一种授予终端网络权限的方法、装置及设备,用以解决WAN不稳定引起的终端等待的时间长的问题。
第一方面,本申请提供一种授予终端网络权限的方法,包括:认证设备接收终端发送的网络权限请求报文,认证设备授予终端第一网络权限。在授予终端第一网络权限之后,认证设备接收服务器发送的第一认证失败消息,认证设备根据第一认证失败消息撤销终端的第一网络权限。其中,第一认证失败消息是服务器根据终端发送的第一认证请求消息确定终端认证失败时发送的。
因此,认证设备可以在收到服务器发送的认证结果之前授予终端网络权限,避免由于WAN不稳定引起的终端等待时间长,并在收到服务器发送的第一认证失败消息时及时撤销网络权限。
在一种可能的设计中,在授予终端第一网络权限之后,认证设备接收服务器发送的第一认证成功消息,第一认证成功消息指示认证设备授予终端第二网络权限,认证设备根据第一认证成功消息授予终端第二网络权限。第一认证成功消息是服务器根据终端发送的第一认证请求消息确定终端认证成功时发送的,第二网络权限大于第一网络权限。
因此,服务器在确定终端认证成功时,可以通知认证设备授予终端更大的网络权限。
此外,当第一认证成功消息不包括授予终端第二网络权限的指示时,或者当第一认证成功消息指示认证设备授予终端第二网络权限且第二网络权限等于第一网络权限时,认证设备可以不做任何动作,也就是维持终端当前的网络权限。认证设备也可以确认终端当前的网络权限。例如,第一网络权限是有时间限制的临时网络权限,认证设备根据第一认证成功消息永久化终端当前的网络权限。
在一种可能的设计中,网络权限请求报文为网络访问报文,网络访问报文中的源介质访问控制(MAC)地址为终端的MAC地址,在认证设备授予终端第一网络权限之前,认证设备向服务器发送终端的MAC地址。认证设备接收服务器发送的第二认证成功消息,第二认证成功消息是服务器基于终端的MAC地址和终端的信誉数据确定的,第二认证成功消息指示认证设备授予终端第一网络权限。
认证设备向服务器发送终端的MAC地址可以为以下两种情况:认证设备可以将终端的MAC地址加入到终端发送给服务器的网络权限请求报文,再将该报文发送给服务器。或者,认证服务直接转发终端发送给服务器的网络权限请求报文至服务器,然后单独发送一个包括终端的MAC地址的报文至服务器。
因此,由于终端不感知基于终端信誉数据的认证流程,因此不会延长终端的等待时间,上述方法可以辅助认证设备确定是否授予终端第一网络权限。
第二方面,本申请提供一种授予终端网络权限的方法,包括:服务器接收第一认证请求,第一认证请求用于请求认证终端;服务器向认证设备发送第一认证成功消息;在接收到认证设备发送的对第一认证成功消息的响应消息之前,服务器向终端发送认证成功指示消息。
在强制入门(英文:captive portal)认证场景中,认证设备在授予终端网络权限后,向服务器发送对认证成功消息的响应消息。服务器在收到该响应消息后,向终端发送认证成功指示消息。用户根据终端收到的认证成功指示消息,获知终端已开通网络权限,可以访问网络。而在本申请中,由于认证设备在收到第一认证成功消息之前,已经授予终端第一网络权限,因此,当终端认证成功时,服务器无需等待认证设备发送的对第一认证成功消息的响应消息,直接向终端发送认证成功指示,可以避免由于丢失对认证成功消息的响应消息导致的终端等待时间过长,用户体验较差的问题,缩短终端等待时间。
在一种可能的设计中,服务器接收认证设备发送的终端的MAC地址,服务器向认证设备发送第二认证成功消息,第二认证成功消息是服务器基于终端的MAC地址和终端的信誉数据确定的,第二认证成功消息指示认证设备授予终端第一网络权限。
因此,基于终端的信誉数据对终端进行认证过程,终端并不感知。强制入门认证向终端推送认证页面,并要求用户输入认证凭证,强制入门认证过程的时间长。上述基于终端的信誉数据对终端进行认证过程独立于强制入门认证自动进行,因此不会延长终端的等待时间和整个强制入门认证过程的时间。上述认证过程适用于强制入门认证场景,可以辅助认证设备确定是否授予终端第一网络权限。
第三方面,本申请提供一种授予终端网络权限的装置,包括:接收单元和处理单元;其中,接收单元,用于接收终端发送的网络权限请求报文;处理单元,用于授予终端第一网络权限;接收单元,还用于在授予终端第一网络权限之后,接收服务器发送的第一认证失败消息,其中,第一认证失败消息是服务器根据终端发送的第一认证请求消息确定终端认证失败时发送的;处理单元,还用于根据第一认证失败消息撤销终端的第一网络权限。
在一种可能的设计中,在授予终端第一网络权限之后,接收单元,还用于:接收服务器发送的第一认证成功消息,第一认证成功消息是服务器根据终端发送的第一认证请求消息确定终端认证成功时发送的,第一认证成功消息指示认证设备授予终端第二网络权限,第二网络权限大于第一网络权限;处理单元,还用于根据第一认证成功消息授予终端第二网络权限。
在一种可能的设计中,网络权限请求报文为网络访问报文,网络访问报文中的源MAC地址为终端的MAC地址,在认证设备授予终端第一网络权限之前,装置还包括:发送单元,用于向服务器发送终端的MAC地址;接收单元,还用于接收服务器发送的第二认证成功消息,第二认证成功消息是服务器基于终端的MAC地址和终端的信誉数据确定的,第二认证成功消息指示认证设备授予终端第一网络权限。
第四方面,本申请提供一种授予终端网络权限的装置,包括:接收单元和发送单元;其中,接收单元,用于接收第一认证请求,第一认证请求用于请求认证终端;发送单元,用于向认证设备发送第一认证成功消息;发送单元,还用于在接收到认证设备发送的对第一认证成功消息的响应消息之前,向终端发送认证成功指示消息。
在一种可能的设计中,装置还包括:接收单元,用于接收认证设备发送的终端的MAC地址;发送单元,用于向认证设备发送第二认证成功消息,第二认证成功消息是服务器基于终端的MAC地址和终端的信誉数据确定的,第二认证成功消息指示认证设备授予终端第一网络权限。
第五方面,本申请还提供了一种认证设备,包括:处理器和通信接口。其中,通信接口用于与其他设备通信,认证设备还包括存储器,存储器用于存放程序,指令等,处理器用于实现上述第一方面的方法。
第六方面,本申请还提供了一种服务器,包括:处理器和通信接口。其中,通信接口用于与其他设备通信,服务器还包括存储器,存储器用于存放程序,指令等,所述处理器用于实现上述第二方面的方法。
第七方面,本申请还提供了第一种计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行本申请上述第一方面的方法。
第八方面,本申请还提供了第二种计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行本申请上述第二方面的方法。
第九方面,本申请还提供了第一种计算机程序产品,所述计算机程序产品包括存储在上述第一种计算机存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行本申请上述第一方面的方法。
第十方面,本申请还提供了第二种计算机程序产品,所述计算机程序产品包括存储在上述第二种计算机存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行本申请上述第二方面的方法。
附图说明
图1为认证设备和认证服务器被跨WAN部署的示意图;
图2为本申请实施例中授予终端网络权限的流程图之一;
图3为本申请实施例中基于终端的信誉数据对终端进行认证的流程图;
图4为本申请实施例中授予终端网络权限的流程图之二;
图5为本申请实施例中基于强制入门认证场景授予终端网络权限的流程图之一;
图6为本申请实施例中基于强制入门l认证场景授予终端网络权限的流程图之二;
图7为本申请实施例中授予终端网络权限的装置示意图之一;
图8为本申请实施例中授予终端网络权限的装置示意图之二;
图9为本申请实施例中认证设备的结构示意图;
图10为本申请实施例中认证服务器的结构示意图。
具体实施方式
下面结合附图,对本申请的实施例进行描述。
本申请适用于强制入门(英文:captive portal)认证场景、可扩展认证协议(英文:extensible authentication protocol,EAP)认证场景、远程用户拨号认证服务(英文:remote authentication dial in user service,RADIUS)协议认证场景、直径(英文:Diameter)协议、三头狗(英文:Kerberos)协议认证场景等。
参阅图2所示,本申请提供一种授予终端网络权限的方法,以强制入门认证场景为例,该方法包括:
在强制入门认证场景中,服务器可以为一个物理服务器,该服务器包括入门服务器的功能和认证服务器的功能,或者,服务器可以包括两个独立物理服务器,分别为入门服务器和认证服务器。
S201:终端向认证设备发送网络权限请求报文。
该网络权限请求报文为网络访问报文,该网络访问报文中的源介质访问控制(英文:media access control,MAC)地址为终端的MAC地址。
例如,该网络访问报文可以为超文本传输协议(英文Hyper Text TransferProtocol,HTTP)/超文本传输协议安全版(英文:Hyper Text Transfer Protocol overSecure Socket Layer,HTTPS)报文、或IP报文等。
S202:认证设备授予终端第一网络权限。
可选的,第一网络权限可以是有时间限制的临时网络权限。
可选的,在认证设备收到终端发送的网络权限请求报文后,认证设备向终端发送对网络权限请求报文的响应报文。例如,当服务器为一个物理服务器,该服务器包括入门服务器的功能和认证服务器的功能时,对HTTP/HTTPS报文的响应报文中包括服务器的统一资源定位器(英文:Uniform Resource Locator,URL),当服务器可以包括两个独立物理服务器,分别为入门服务器和认证服务器时,对HTTP/HTTPS报文的响应报文中包括入门服务器的URL。
S203:终端向服务器发送网络权限请求报文。
S201中HTTP/HTTPS报文的目的地址为终端请求访问网站的地址。
当服务器为一个物理服务器,该服务器包括入门服务器的功能和认证服务器的功能时,终端可以根据接收到的对HTTP/HTTPS报文的响应报文中包括的服务器的URL向服务器发送网络权限请求报文。因此,S203中HTTP/HTTPS的目的地址为服务器的地址。
当服务器包括两个独立物理服务器,分别为入门服务器和认证服务器时,终端可以根据接收到的对HTTP/HTTPS报文的响应报文中包括的入门服务器的URL向入门服务器发送网络权限请求报文。因此,S203中HTTP/HTTPS的目的地址为入门服务器的地址。
可选的,S203可以在S202之前。
S204:服务器发送对网络权限请求报文的响应报文。
认证服务器发送对网络权限请求报文的响应报文是指认证服务器将认证登陆页面推送给终端。
S205:终端向服务器发送第一认证请求消息。
用户根据服务器推送的认证页面,填入认证凭证(例如用户名、密码等)。
终端将作为包括认证凭证的第一认证请求消息由终端发送至认证服务器。
S206:服务器根据终端发送的第一认证请求消息完成终端认证。若服务器根据终端发送的第一认证请求消息确定终端认证失败,执行S207。若服务器根据终端发送的第一认证请求消息确定终端认证成功,执行S211。当服务器包括两个独立物理服务器,分别为入门服务器和认证服务器时,认证相关的步骤由认证服务器执行。
S207:服务器向认证设备发送第一认证失败消息。
S208:认证设备根据第一认证失败消息撤销终端的第一网络权限。
因此,当终端认证失败时,认证设备可以及时根据第一认证失败消息撤销终端的第一网络权限。
S209:认证设备向服务器发送对第一认证失败消息的响应消息。
S210:服务器向终端发送认证失败指示消息。
可选的,S209可以在S208之前。
流程结束。
S211:服务器向认证设备发送第一认证成功消息。
此外,可选的,第一认证成功消息指示认证设备授予终端第二网络权限,第二网络权限大于或等于第一网络权限。
当第二网络权限大于第一网络权限时,认证设备根据第一认证成功消息授予终端第二网络权限,此时终端获得了更大的网络权限。
当第一认证成功消息不包括授予终端第二网络权限的指示时,或者当第一认证成功消息指示认证设备授予终端第二网络权限且第二网络权限等于第一网络权限时,认证设备可以不做任何动作,也就是维持终端当前的网络权限。认证设备也可以确认终端当前的网络权限。例如,第一网络权限是有时间限制的临时网络权限,认证设备根据第一认证成功消息永久化终端当前的网络权限。
S212:服务器向终端发送认证成功指示消息。
可选的,服务器可以在接收到认证设备发送的对第一认证成功消息的响应消息之前(例如与发送第一认证成功消息同时)就发送该认证成功指示。由于认证设备在收到第一认证成功消息之前,已经授予终端第一网络权限,因此,当终端认证成功时,服务器无需等待认证设备发送的对第一认证成功消息的响应消息,直接向终端发送认证成功指示,可以避免由于认证设备和服务器跨WAN部署发生丢包导致的终端等待时间过长,用户体验较差的问题,缩短终端等待时间。本申请实施例的基本思路是先放行终端的报文,即先授予终端网络权限,后面如果认证失败再及时撤销终端的网络权限。
S213:认证设备向服务器发送对第一认证成功消息的响应消息。
流程结束。
由于在强制入门认证场景中,用户需要根据服务器推送的认证页面,填入用户名、密码等信息,整个强制入门认证过程较长。因此,在一种可能的设计中,本申请还提出一种基于终端的信誉数据对终端进行认证的方法,认证设备可以在获得服务器对终端的认证结果前,由服务器基于终端的信誉数据对终端进行认证,确定是否授予终端第一网络权限。该方法应用于强制入门认证场景,可以在上述实施例的S202之前执行,作为图2中认证过程的补充和辅助。
如图3所示,该认证过程的基本流程为:
S301:认证设备向服务器发送终端的MAC地址。
在终端向服务器发送网络权限请求报文时,该网络权限请求报文需要由认证设备转发。认证设备可以将终端的MAC地址加入到该网络权限请求报文后,再发送给服务器。或者,认证服务直接转发该网络权限请求报文至服务器,然后单独发送一个包括终端的MAC地址的报文至服务器。
S302:服务器在收到认证设备发送的终端的MAC地址后,基于终端的MAC地址查找出终端的MAC地址对应的终端的信誉数据,判断终端的信誉数据是否满足预设条件,若终端的信誉数据满足预设条件,执行S303;若终端的信誉数据不满足预设条件,执行S305。
可选的,终端的信誉数据包括但不限于以下至少一种:终端的历史认证成功次数,终端的历史认证成功次数与终端的历史认证总数的比值,使用终端的用户的信用评级。
多个终端的信誉数据可以提前保存在服务器中,或者由服务器从存储有多个终端的信誉数据的其他设备中获取。
例如,服务器根据终端的MAC地址确定终端的信誉数据,假设终端的信誉数据为终端的历史认证成功次数,预设条件为历史认证成功次数大于第一阈值,当终端的历史认证成功次数大于第一阈值时,服务器确定终端的信誉数据满足预设条件。
又例如,服务器根据终端的MAC地址确定终端的信誉数据,例如,终端的信誉数据为使用终端的用户的信用评级,假设预设条件为征信数据的信用等级高于预设等级,当使用终端的用户的信用评级的信用等级高于预设等级时,服务器确定终端的信誉数据满足预设条件。
上述信誉数据的类型和对应的预设条件均为举例,不作为本申请的限定。
S303:服务器向认证设备发送第二认证成功消息。
第二认证成功消息用于指示认证设备授予终端第一网络权限。
可选的,第二认证成功消息中包括第一网络权限的标识,或者,第二认证成功消息并不具体包括第一网络权限的标识,而是由服务器和认证设备双方约定,当认证设备接收到第二认证成功消息时,认证设备可以授予终端第一网络权限。
S304:认证设备根据第二认证成功消息授予终端第一网络权限。
流程结束。
S305:服务器向认证设备发送第二认证失败消息。
第二认证失败消息用于指示认证设备暂不授予终端第一网络权限。
流程结束。
上述基于终端的信誉数据对终端进行认证过程,终端并不感知。强制入门认证向终端推送认证页面,并要求用户输入认证凭证,强制入门认证过程的时间长。上述基于终端的信誉数据对终端进行认证过程独立于强制入门认证自动进行,因此不会延长终端的等待时间和整个强制入门认证过程的时间。上述认证过程适用于强制入门认证场景,可以辅助认证设备确定是否授予终端第一网络权限。
参阅图4所示,本申请提供一种授予终端网络权限的方法,以EAP认证场景为例,该方法包括:
在EAP认证场景认证场景中,服务器可以为一个认证服务器。
S401:终端向认证设备发送网络权限请求报文。
例如,该网络权限请求报文可以为EAP开始(英文:EAP start)报文、EAP响应(英文:EAP response)报文等。网络权限请求报文可以包括终端的认证凭证(例如数字证书)。
S402:认证设备授予终端第一网络权限。
可选的,第一网络权限可以是有时间限制的临时网络权限。
S403:认证设备向认证服务器发送另一网络权限请求报文。
例如,该网络权限请求报文为RADIUS接入请求报文(英文:Access-Request)。该网络权限请求报文可以包括终端的认证凭证。
S404:认证服务器根据认证设备发送的网络权限请求报文完成终端认证。若确定终端认证失败,执行S405;若确定终端认证成功,执行S408。
S405:认证服务器向认证设备发送第一认证失败消息。
例如,第一认证失败消息为RADIUS接入拒绝报文(英文:Access-Reject)。
S406:认证设备根据第一认证失败消息撤销终端的第一网络权限。
S407:认证设备向终端发送认证失败指示消息。例如,认证失败指示消息为EAP失败报文。
流程结束。
S408:认证服务器向认证设备发送第一认证成功消息。
例如,第一认证成功消息为RADIUS接入接受报文(英文:Access-Accept)。
若第一网络权限是有时间限制的临时网络权限,认证设备还可根据第一认证成功消息永久化终端当前的网络权限。
S409:认证设备向终端发送认证成功指示消息。例如,认证成功指示消息为EAP成功报文。
流程结束。
因此,认证设备可以在收到认证服务器发送的认证结果之前授予终端网络权限,避免由于WAN不稳定引起的终端等待时间长,并在收到认证服务器发送的第一认证失败消息时及时撤销网络权限。
如图5和图6所示,下面结合强制入门认证场景对本申请实施例进行详细描述。
参阅图5所示,为基于强制入门认证场景授予终端网络权限的流程图之一。
S501:服务器建立信誉数据库。
该信誉数据库包括多个终应的信誉数据,每个终端的信誉数据与对应终端的MAC地址绑定。
S502:终端向设备发起第一重定向过程。
终端向认证设备发送HTTP/HTTPS报文,认证设备发送对HTTP/HTTPS报文的响应消息。该HTTP/HTTPS报文中的源MAC地址为终端的MAC地址。对该HTTP/HTTPS报文的响应消息中包括服务器的URL。
终端向认证设备发送的HTTP/HTTPS报文相当于如图2所示实施例中的S201。
S503:终端向服务器发送HTTP/HTTPS报文。
终端向服务器发送的HTTP/HTTPS报文需要通过认证设备转发,认证设备在HTTP/HTTPS报文中加入终端的MAC地址。
终端向服务器发送的HTTP/HTTPS报文相当于如图2所示实施例中的S203。
S504:服务器根据终端的MAC地址查询终端的信誉数据,确定终端的信誉数据满足预设条件,服务器向认证设备发送第二认证成功消息。
S505:认证设备根据第二认证成功消息授予终端第一网络权限。
此外,认证设备还需向服务器发送对第二认证成功消息的响应消息,图4中未画出,若服务器没有收到认证设备针对第二认证成功消息的响应消息需要重传第二认证成功消息。但是,即使需要重传也不会影响服务器执行S506,因为,服务器根据终端的信誉数据对终端进行认证的过程,终端并不感知,不影响服务器对终端进行如图2所示的认证过程。
S506:服务器给终端发送认证页面。
S507:终端将用户名、密码发送至服务器。
S508:服务器根据用户名和密码确定终端认证成功,发送第一认证成功消息到认证设备。
S509:服务器向终端发送认证成功指示消息。
S510:认证设备向服务器发送对第一认证成功消息的响应消息。
因此,由于认证设备在收到第一认证成功消息之前,已经授予终端第一网络权限,因此,当终端认证成功时,服务器无需等待认证设备发送的对第一认证成功消息的响应消息,直接向终端发送认证成功指示,可以缩短终端等待时间,可以避免由于丢失对认证成功消息的响应消息导致终端等待时间过长的问题。
参阅图6所示,为基于强制入门认证场景授予终端网络权限的流程图之二。
S601:服务器建立信誉数据库。
该信誉数据库包括多个终端的信誉数据,每个终端的信誉数据与对应终端的MAC地址绑定。
S602:终端向认证设备发起第一重定向过程。
终端向认证设备发送HTTP/HTTPS报文,认证设备发送对HTTP/HTTPS报文的响应消息。该HTTP/HTTPS报文中的源MAC地址为终端的MAC地址。对该HTTP/HTTPS报文的响应消息中包括服务器的URL。
终端向认证设备发送的HTTP/HTTPS报文相当于如图2所示实施例中的S201。
S603:认证设备向服务器发送终端的MAC地址。
认证设备根据HTTP/HTTPS报文中的源MAC地址获得终端的MAC地址。
S604:服务器根据终端的MAC地址查询终端的信誉数据,确定终端的信誉数据满足预设条件,向认证设备发送第二认证成功消息。
S605:认证设备根据第二认证成功消息授予终端第一网络权限。
S606:终端向服务器发送HTTP/HTTPS报文。
终端向服务器发送的HTTP/HTTPS报文相当于如图2所示实施例中的S203。
S607:服务器给终端发送认证页面。
S608:终端将用户名、密码发送至服务器。
S609:服务器根据用户名和密码确定终端认证失败,发送第一认证失败消息到认证设备。
S610:认证设备向服务器发送对第一认证失败消息的响应消息。
认证设备根据第一认证失败消息撤销终端的第一网络权限,然后向服务器发送对第一认证失败消息的响应消息。
S611:服务器向终端发送认证失败指示消息。
因此,认证设备可以先基于终端信誉数据的认证结果授予终端网络权限,如果后面服务器通知认证设备终端认证失败时,认证设备再及时撤销终端的网络权限。
基于以上实施例,本申请还提供一种授予终端网络权限的装置,用于实现如图2和图4中的认证设备的功能,该装置700包括:接收单元701,处理单元702。
接收单元701,用于接收终端发送的网络权限请求报文;
处理单元702,用于授予终端第一网络权限;
接收单元701,还用于在授予终端第一网络权限之后,接收认证服务器发送的第一认证失败消息,其中,第一认证失败消息是认证服务器根据终端发送的第一认证请求消息确定终端认证失败时发送的;
处理单元702,还用于根据第一认证失败消息撤销终端的第一网络权限。
具体参见如图2和图4所示的方法实施例,本申请在此不再赘述。
基于以上实施例,本申请还提供了一种授予终端网络权限的装置,用于实现如图2中的服务器的功能,该装置800包括:接收单元801,发送单元802。
接收单元801,用于接收第一认证请求,第一认证请求用于请求认证终端;
发送单元802,用于向认证设备发送第一认证成功消息;
发送单元802,还用于在接收到认证设备发送的对第一认证成功消息的响应消息之前,向终端发送认证成功指示消息。
具体参见如图2所示的方法实施例,本申请在此不再赘述。
应理解以上终端和网络设备的各个单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些单元可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分单元以软件通过处理元件调用的形式实现,部分单元以硬件的形式实现。例如处理单元可以为单独设立的处理元件,也可以集成在某一个芯片中实现,此外,也可以以程序的形式存储于存储器中,由某一个处理元件调用并执行该单元的功能。其它单元的实现与之类似。此外这些单元全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。例如,以上这些单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(英文:ASIC),或,一个或多个数字信号处理器(英文:digital signal processor,DSP),或,一个或者多个现场可编程门阵列(英文:FPGA)等。再如,当以上某个单元通过处理元件调度程序的形式实现时,该处理元件可以是通用处理器,例如中央处理器(英文:centralprocessing unit,CPU)或其它可以调用程序的处理器。再如,这些单元可以集成在一起,以片上系统(英文:SOC)的形式实现。
基于以上实施例,本申请还提供了一种认证设备,具有如图2和图4所示的认证设备的功能,参阅图9所示,所述认证设备900包括:通信接口901和处理器902。其中,通信接口901用于与其他设备通信。可选的,认证设备还包括存储器。
通信接口901可以包括有用于与其他设备通信的接口。例如,可包括与终端通信的接口,与服务器通信的接口以及其它接口。接口可以是有线接口,无线接口或其组合。有线接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线接口例如可以为无线局域网(英文:wireless local area network,WLAN)接口,蜂窝网络接口或其组合。
处理器902可以为CPU,或者是CPU和转发芯片的组合。
所述存储器,用于存放程序、指令等。具体地,程序可以包括程序代码,该程序代码包括计算机操作指令。所述存储器可能包含随机存取存储器(英文:random-accessmemory,RAM),也可能还包括非易失性存储器,例如至少一个磁盘存储器。处理器902执行所述存储器所存放的程序、指令等,从而实现如图2和图4所示的方法实施例中认证设备的功能。
其中,上述图7中接收单元702的功能通过通信接口901实现,处理单元702的功能通过处理器902实现。
处理器902,用于:
用通信接口901接收终端发送的网络权限请求报文;授予终端第一网络权限;在授予终端第一网络权限之后,用通信接口901接收认证服务器发送的第一认证失败消息,其中,第一认证失败消息是认证服务器根据终端发送的第一认证请求消息确定终端认证失败时发送的;根据第一认证失败消息撤销终端的第一网络权限。
具体参见如图2和图4所示的方法实施例,本申请在此不再赘述。
基于以上实施例,本申请还提供了一种认证服务器,具有如图2所示的服务器的功能,参阅图10所示,所述服务器包括:通信接口1001,处理器1002。通信接口1001用于与其他设备表通信,所述服务器还包括存储器。其中,上述图8中发送单元802和接收单元801的功能通过通信接口1001实现。
通信接口1001可以包括有用于与其他设备通信的接口。例如,可包括与认证设备通信的接口。接口可以是有线接口,无线接口或其组合。有线接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线接口例如可以为WLAN接口,蜂窝网络接口或其组合。
处理器1002可以为CPU。
存储器,用于存放程序、指令等。具体地,程序可以包括程序代码,该程序代码包括计算机操作指令。存储器可能包含RAM,也可能还包括非易失性存储器,例如至少一个磁盘存储器。处理器1002执行存储器所存放的程序、指令等,从而实现如图2所示的方法实施例中服务器的功能。
处理器1002,用于:
用通信接口1001接收第一认证请求,第一认证请求用于请求认证终端;用通信接口1001发送第一认证成功消息;在接收到认证设备发送的对第一认证成功消息的响应消息之前,用通信接口1001向终端发送认证成功指示消息。
具体参见如图2所示的方法实施例,本申请在此不再赘述。
采用本申请实施例提供的方法,认证设备接收终端发送的网络权限请求报文,认证设备授予终端第一网络权限。在授予终端第一网络权限之后,认证设备接收服务器发送的第一认证失败消息,认证设备根据第一认证失败消息撤销终端的第一网络权限。其中,第一认证失败消息是服务器根据终端发送的第一认证请求消息确定终端认证失败时发送的。因此,认证设备可以在收到服务器发送的认证结果之前授予终端网络权限,避免由于WAN不稳定引起的终端等待时间长,并在收到服务器发送的第一认证失败消息时及时撤销网络权限。
采用本申请实施例提供的方法,服务器接收第一认证请求,第一认证请求用于请求认证终端;服务器向认证设备发送第一认证成功消息;在接收到认证设备发送的对第一认证成功消息的响应消息之前,服务器向终端发送认证成功指示消息。在强制入门认证场景中,认证设备在授予终端网络权限后,向服务器发送对认证成功消息的响应消息。服务器在收到该响应消息后,向终端发送认证成功指示消息。用户根据终端收到的认证成功指示消息,获知终端已开通网络权限,可以访问网络。而在本申请中,由于认证设备在收到第一认证成功消息之前,已经授予终端第一网络权限,因此,当终端认证成功时,服务器无需等待认证设备发送的对第一认证成功消息的响应消息,直接向终端发送认证成功指示,可以避免由于丢失对认证成功消息的响应消息导致的终端等待时间过长,用户体验较差的问题,缩短终端等待时间。
本领域内的技术人员应明白,本申请实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (15)
1.一种授予终端网络权限的方法,其特征在于,包括:
认证设备接收终端发送的网络权限请求报文;
所述认证设备授予所述终端第一网络权限;
在授予所述终端所述第一网络权限之后,所述认证设备接收服务器发送的第一认证失败消息,其中,所述第一认证失败消息是所述服务器根据所述终端发送的第一认证请求消息确定所述终端认证失败时发送的,所述第一认证请求消息包括认证凭证;
所述认证设备根据所述第一认证失败消息撤销所述终端的所述第一网络权限。
2.如权利要求1所述的方法,其特征在于,在授予所述终端所述第一网络权限之后,所述方法还包括:
所述认证设备接收所述服务器发送的第一认证成功消息,所述第一认证成功消息是所述服务器根据所述终端发送的第一认证请求消息确定所述终端认证成功时发送的,所述第一认证成功消息指示所述认证设备授予所述终端第二网络权限,所述第二网络权限大于所述第一网络权限;
所述认证设备根据所述第一认证成功消息授予所述终端所述第二网络权限。
3.如权利要求1或2所述的方法,其特征在于,所述网络权限请求报文为网络访问报文,所述网络访问报文中的源介质访问控制MAC地址为所述终端的MAC地址,在所述认证设备授予所述终端第一网络权限之前,所述方法还包括:
所述认证设备向所述服务器发送所述终端的MAC地址;
所述认证设备接收所述服务器发送的第二认证成功消息,所述第二认证成功消息是所述服务器基于所述终端的MAC地址和所述终端的信誉数据确定的,所述第二认证成功消息指示所述认证设备授予所述终端所述第一网络权限。
4.一种授予终端网络权限的方法,其特征在于,包括:
服务器接收来自于终端的第一认证请求消息,所述第一认证请求消息用于请求认证所述终端,所述第一认证请求消息包括认证凭证;
所述服务器根据所述第一认证请求消息完成所述终端认证;
所述服务器向认证设备发送第一认证成功消息;
在接收到所述认证设备发送的对所述第一认证成功消息的响应消息之前,所述服务器向所述终端发送认证成功指示消息。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
所述服务器接收所述认证设备发送的所述终端的MAC地址;
所述服务器向所述认证设备发送第二认证成功消息,所述第二认证成功消息是所述服务器基于所述终端的MAC地址和所述终端的信誉数据确定的,所述第二认证成功消息指示所述认证设备授予所述终端第一网络权限。
6.一种授予终端网络权限的装置,其特征在于,包括:
接收单元,用于接收终端发送的网络权限请求报文;
处理单元,用于授予所述终端第一网络权限;
所述接收单元,用于在授予所述终端所述第一网络权限之后,接收服务器发送的第一认证失败消息,其中,所述第一认证失败消息是所述服务器根据所述终端发送的第一认证请求消息确定所述终端认证失败时发送的,所述第一认证请求消息包括认证凭证;
所述处理单元,还用于根据所述第一认证失败消息撤销所述终端的所述第一网络权限。
7.如权利要求6所述的装置,其特征在于,所述接收单元,还用于:在授予所述终端所述第一网络权限之后,接收所述服务器发送的第一认证成功消息,所述第一认证成功消息是所述服务器根据所述终端发送的第一认证请求消息确定所述终端认证成功时发送的,所述第一认证成功消息指示所述装置授予所述终端第二网络权限,所述第二网络权限大于所述第一网络权限;
所述处理单元,还用于根据所述第一认证成功消息授予所述终端所述第二网络权限。
8.如权利要求6或7所述的装置,其特征在于,所述网络权限请求报文为网络访问报文,所述网络访问报文中的源介质访问控制MAC地址为所述终端的MAC地址,在所述装置授予所述终端第一网络权限之前,所述装置还包括:
发送单元,用于向所述服务器发送所述终端的MAC地址;
所述接收单元,还用于接收所述服务器发送的第二认证成功消息,所述第二认证成功消息是所述服务器基于所述终端的MAC地址和所述终端的信誉数据确定的,所述第二认证成功消息指示所述装置授予所述终端所述第一网络权限。
9.一种授予终端网络权限的装置,其特征在于,包括:
接收单元,用于接收来自于终端的第一认证请求消息,所述第一认证请求消息用于请求认证所述终端,所述第一认证请求消息包括认证凭证;
处理单元,用于根据所述第一认证请求消息完成所述终端认证;
发送单元,用于向认证设备发送第一认证成功消息;
所述发送单元,还用于在接收到所述认证设备发送的对所述第一认证成功消息的响应消息之前,向所述终端发送认证成功指示消息。
10.如权利要求9所述的装置,其特征在于,所述接收单元,用于接收所述认证设备发送的所述终端的MAC地址;
所述发送单元,还用于向所述认证设备发送第二认证成功消息,所述第二认证成功消息是基于所述终端的MAC地址和所述终端的信誉数据确定的,所述第二认证成功消息指示所述认证设备授予所述终端第一网络权限。
11.一种认证设备,其特征在于,包括:通信接口和处理器;
所述处理器,用于:
用所述通信接口接收终端发送的网络权限请求报文;
授予所述终端第一网络权限;
在授予所述终端所述第一网络权限之后,用所述通信接口接收服务器发送的第一认证失败消息,其中,所述第一认证失败消息是所述服务器根据所述终端发送的第一认证请求消息确定所述终端认证失败时发送的,所述第一认证请求消息包括认证凭证;
根据所述第一认证失败消息撤销所述终端的所述第一网络权限。
12.如权利要求11所述的认证设备,其特征在于,所述处理器,还用于:
在授予所述终端所述第一网络权限之后,用所述通信接口接收所述服务器发送的第一认证成功消息,所述第一认证成功消息是所述服务器根据所述终端发送的第一认证请求消息确定所述终端认证成功时发送的,所述第一认证成功消息指示所述认证设备授予所述终端第二网络权限,所述第二网络权限大于所述第一网络权限;
用所述通信接口接收的所述第一认证成功消息授予所述终端所述第二网络权限。
13.如权利要求11或12所述的认证设备,其特征在于,所述网络权限请求报文为网络访问报文,所述网络访问报文中的源介质访问控制MAC地址为所述终端的MAC地址,所述处理器,还用于:
在授予所述终端第一网络权限之前,用所述通信接口向所述服务器发送所述终端的MAC地址;
用所述通信接口接收所述服务器发送的第二认证成功消息,所述第二认证成功消息是所述服务器基于所述终端的MAC地址和所述终端的信誉数据确定的,所述第二认证成功消息指示所述处理器授予所述终端所述第一网络权限。
14.一种服务器,其特征在于,包括:通信接口和处理器;
所述处理器,用于:
用所述通信接口接收来自于终端的第一认证请求消息,所述第一认证请求消息用于请求认证所述终端,所述第一认证请求消息包括认证凭证;
根据所述第一认证请求消息完成所述终端认证;
用所述通信接口向认证设备发送第一认证成功消息;
在用所述通信接口接收到所述认证设备发送的对所述第一认证成功消息的响应消息之前,用所述通信接口向所述终端发送认证成功指示消息。
15.如权利要求14所述的服务器,其特征在于,所述处理器,还用于:
用所述通信接口接收所述认证设备发送的所述终端的MAC地址;
用所述通信接口向所述认证设备发送第二认证成功消息,所述第二认证成功消息是所述处理器基于所述终端的MAC地址和所述终端的信誉数据确定的,所述第二认证成功消息指示所述认证设备授予所述终端第一网络权限。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710681839.XA CN109391601B (zh) | 2017-08-10 | 2017-08-10 | 一种授予终端网络权限的方法、装置及设备 |
| PCT/CN2018/098909 WO2019029468A1 (zh) | 2017-08-10 | 2018-08-06 | 一种授予终端网络权限的方法、装置及设备 |
| EP18844082.0A EP3654608B1 (en) | 2017-08-10 | 2018-08-06 | Method, apparatus and device for granting network permission to terminal |
| US16/786,568 US20200177600A1 (en) | 2017-08-10 | 2020-02-10 | Method and Apparatus for Granting Network Permission to Terminal, and Device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710681839.XA CN109391601B (zh) | 2017-08-10 | 2017-08-10 | 一种授予终端网络权限的方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109391601A CN109391601A (zh) | 2019-02-26 |
| CN109391601B true CN109391601B (zh) | 2021-02-12 |
Family
ID=65270890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710681839.XA Active CN109391601B (zh) | 2017-08-10 | 2017-08-10 | 一种授予终端网络权限的方法、装置及设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20200177600A1 (zh) |
| EP (1) | EP3654608B1 (zh) |
| CN (1) | CN109391601B (zh) |
| WO (1) | WO2019029468A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10505925B1 (en) * | 2017-09-06 | 2019-12-10 | Amazon Technologies, Inc. | Multi-layer authentication |
| CN115098889B (zh) * | 2022-08-24 | 2023-01-06 | 广州市千钧网络科技有限公司 | 一种权限管理的方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179554A (zh) * | 2011-12-22 | 2013-06-26 | 中国移动通信集团广东有限公司 | 无线宽带网络接入控制方法、装置与网络设备 |
| CN105141618A (zh) * | 2015-09-15 | 2015-12-09 | 华为技术有限公司 | 一种网络连接的认证方法及网络接入设备 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030233312A1 (en) * | 2002-06-05 | 2003-12-18 | Moore Daniel F. | Order entry and quote entry in a securities market |
| US8090640B2 (en) * | 2002-06-05 | 2012-01-03 | The Nasdaq Omx Group, Inc. | Order delivery in a securities market |
| US20060259760A1 (en) * | 2005-05-10 | 2006-11-16 | Utstarcom, Inc. | Method and apparatus to support communication services using delayed authentication |
| CN101277185B (zh) * | 2007-03-28 | 2011-04-27 | 联想(北京)有限公司 | 一种基于无线标识的认证方法、系统和无线标识、服务器 |
| CN101931533B (zh) * | 2010-08-23 | 2014-09-10 | 中兴通讯股份有限公司 | 认证方法、装置和系统 |
| US9112905B2 (en) * | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| US8745266B2 (en) * | 2011-06-30 | 2014-06-03 | Citrix Systems, Inc. | Transparent layer 2 redirection of request to single sign in service based on applying policy to content of request |
| CN104660405B (zh) * | 2013-11-21 | 2018-06-12 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| CN103746812B (zh) * | 2013-12-30 | 2017-06-16 | 迈普通信技术股份有限公司 | 一种接入认证方法及系统 |
| CN111654464A (zh) * | 2015-12-31 | 2020-09-11 | 华为技术有限公司 | 访问控制方法、认证设备及系统 |
| CN106059802B (zh) * | 2016-05-25 | 2020-11-27 | 新华三技术有限公司 | 一种终端接入认证方法及装置 |
| CN106686592B (zh) * | 2016-07-12 | 2020-05-19 | 飞天诚信科技股份有限公司 | 一种带有认证的网络接入方法及系统 |
| CN106357672B (zh) * | 2016-10-18 | 2019-10-22 | 深圳市金立通信设备有限公司 | 一种登录方法和终端 |
-
2017
- 2017-08-10 CN CN201710681839.XA patent/CN109391601B/zh active Active
-
2018
- 2018-08-06 WO PCT/CN2018/098909 patent/WO2019029468A1/zh unknown
- 2018-08-06 EP EP18844082.0A patent/EP3654608B1/en active Active
-
2020
- 2020-02-10 US US16/786,568 patent/US20200177600A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179554A (zh) * | 2011-12-22 | 2013-06-26 | 中国移动通信集团广东有限公司 | 无线宽带网络接入控制方法、装置与网络设备 |
| CN105141618A (zh) * | 2015-09-15 | 2015-12-09 | 华为技术有限公司 | 一种网络连接的认证方法及网络接入设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3654608A4 (en) | 2021-03-03 |
| US20200177600A1 (en) | 2020-06-04 |
| EP3654608B1 (en) | 2023-10-11 |
| WO2019029468A1 (zh) | 2019-02-14 |
| CN109391601A (zh) | 2019-02-26 |
| EP3654608A1 (en) | 2020-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111031571B (zh) | 一种网络切片接入控制的方法及装置 | |
| CN108183803B (zh) | 热点网络中受限证书注册相关的设备 | |
| CN110474875B (zh) | 基于服务化架构的发现方法及装置 | |
| CN112566050B (zh) | 附件无线设备的蜂窝服务账户转移 | |
| WO2019017835A1 (zh) | 网络验证方法、相关设备及系统 | |
| CN111654862B (zh) | 终端设备的注册方法及装置 | |
| TW201644236A (zh) | 使用用於服務c平面方法的網路符記的高效策略實施 | |
| US10284562B2 (en) | Device authentication to capillary gateway | |
| CN107534664B (zh) | 针对使能ieee 802.1x的网络的多因素授权 | |
| CN111818516B (zh) | 认证方法、装置及设备 | |
| US10218514B2 (en) | Remote verification of attributes in a communication network | |
| EP3466012B1 (en) | Network application function registration | |
| KR102119586B1 (ko) | 통신 네트워크를 통해 데이터를 릴레이하는 시스템 및 방법 | |
| JP5888715B2 (ja) | モバイル端末のハンドオーバを実行する方法及びシステム、並びに無線セルラ通信ネットワークにおいて用いるように意図されたモバイル端末 | |
| JP2021522757A (ja) | コアネットワ−クへの非3gpp装置アクセス | |
| US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
| CN109391601B (zh) | 一种授予终端网络权限的方法、装置及设备 | |
| US20150074782A1 (en) | Secure method for sso subscriber accessing service from outside of home network | |
| WO2019071472A1 (zh) | 一种业务策略创建方法及装置 | |
| RU2568922C2 (ru) | Удаленная проверка атрибутов в сети связи | |
| EP3714616B1 (en) | Communication device authentication for multiple communication devices | |
| CN106535176B (zh) | 一种网络接入方法及装置 | |
| CN115942314A (zh) | 一种证书管理方法和装置 | |
| CN115484583A (zh) | 一种漫游接入方法及装置 | |
| KR20180065862A (ko) | 자원 제약적 환경에서 기기들 간 인증 지원 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |