CN110505188B - 一种终端认证方法、相关设备和认证系统 - Google Patents
一种终端认证方法、相关设备和认证系统 Download PDFInfo
- Publication number
- CN110505188B CN110505188B CN201810487280.1A CN201810487280A CN110505188B CN 110505188 B CN110505188 B CN 110505188B CN 201810487280 A CN201810487280 A CN 201810487280A CN 110505188 B CN110505188 B CN 110505188B
- Authority
- CN
- China
- Prior art keywords
- management controller
- cloud management
- information
- terminal
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供了一种终端认证方法及相关设备。其中,该方法主要包括:云管理控制器接收处于未认证状态的终端发送的第一网页访问请求,并将其重定向到portal服务器,在其重定向过程中,向终端发送该云管理控制器的地址信息;该云管理控制器接收终端发送的待认证信息并将其转换为标准认证协议的认证参数;该云管理控制器向认证服务器发送认证参数,并接收认证服务器根据认证参数发送的授权信息。实施本申请实施例,portal服务器无需与云管理控制器通过API交互终端用户的授权信息,减少API适配开发,降低了技术复杂度。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种终端认证方法、相关设备和认证系统。
背景技术
门户(portal)技术作为一种接入方式,以其新业务支撑能力强大、无需安装客户软件等特点,受到越来越多运营商的欢迎。Portal业务可以为运营商提供方便的管理功能,比如希望所有的用户都到预先设定的门户网站去认证,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备供应商、内容服务提供商形成一个产业生态系统。
Portal技术的基本原理为:未认证用户上网时,接入设备强制用户到门户网站,并提供门户网站的主页,用户可以免费访问其中的服务;当要使用互联网中的其它信息时,则用户必须在门户网站进行认证,只有认证通过后才可以使用这些服务。
云管理控制器平台是通信设备厂商为云化设备,比如接入点(access point,AP)、接入路由器(access router,AR)、防火墙(firewall,FW)和交换机(switch,SW),提供业务配置和运维监控,并可以作为portal服务器,给终端用户接入网络提供准入控制。但当前的很多业务,如公共无线网(wireless fidelity,wifi)、付费wifi等,使用的都是第三方的portal服务器,该portal服务器可以提供计费、支付、广告推送、用户行为数据分析等运营增值功能,可以为租户提供更多增值服务。而云管理控制平台更关注的是设备配置、管理和运维,不支持上述功能。当云管理控制器不作为portal服务器时,因为第三方portal服务器一般是将终端的认证授权信息通过与云管理控制器之间的非标准的应用程序编程接口(Application Program Interface,API)接口与云管理控制器交互,这样就需要各种云管理控制器和各种第三方portal服务器适配开发相应的API接口,增加了技术复杂度。
发明内容
本申请提供了一种终端认证方法、相关设备和认证系统,使得云管理控制器可以以标准的认证协议对接第三方portal服务器来完成对终端用户准入授权控制,降低技术复杂度。
第一方面,提供了一种终端认证方法,包括:云管理控制器接收处于未认证状态的终端发送的第一网页访问请求,并根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带portal服务器的地址和所述云管理控制器的地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的地址;
所述云管理控制器接收所述终端发送的待认证信息,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息,所述portal服务器提供的登录页面与所述云管理控制器的地址关联;
所述云管理控制器将所述待认证信息转换为标准认证协议的认证参数;
所述云管理控制器向认证服务器发送所述认证参数,并接收所述认证服务器根据所述认证参数发送的授权信息。
实施本发明实施例,通过在云管理控制器向终端发送的重定向指示信息中携带云管理控制器的地址,以使该云管理控制器接收终端发送的待认证信息,并将待认证信息转换为标准认证协议下的认证参数,从而与认证服务器进行标准认证协议下的认证,portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制,portal服务器不需要大量的适配开发,有效降低技术复杂度。
在一种可选的实现方式中,所述云管理控制器接收所述认证服务器根据所述认证参数发送的授权信息,包括:
所述云管理控制器接收所述认证服务器发送的认证授权报文,所述认证授权报文为所述认证服务器根据终端用户对应的服务,向所述云管理控制器发送的报文,所述终端用户对应的服务所包含的服务信息存储在所述认证服务器中。
实施本发明实施例,可以在认证通过后,认证服务器根据当前终端用户购买的服务,向云管理控制器发送认证授权报文以使云管理控制器获取得到授权信息。
在一种可选的实现方式中,在所述云管理控制器接收所述认证服务器根据所述认证参数发送的授权信息之后,所述方法还包括:
所述云管理控制器将所述授权信息转换成所述终端的接入设备与所述云管理控制器之间的授权协议信息,并将所述授权协议信息发送给所述接入设备。
可以理解,云管理控制器与认证服务器之间进行的是标准协议下的认证,交互的是标准报文,而接入设备与云管理控制器之间进行的信息交互不是标准协议下的交互。因此,云管理控制器需要将接收到的授权信息进行转换再发送给接入设备,以完成对终端用户的授权控制。
在一种可选的实现方式中,在所述云管理控制器将所述授权信息发送给所述接入设备之后,所述方法还包括:
所述云管理控制器向所述终端发送重定向到登录成功页面的地址信息,以通知所述终端通过认证。
实施本发明实施例,终端不需要感知portal服务器,在认证授权通过之后,云管理控制器直接将终端重定向到portal服务器的登录成功页面,终端可以直接得到网络访问请求结果,直观高效。
在一种可选的实现方式中,所述云管理控制器将所述授权协议信息发送给所述接入设备包括:所述云管理控制器通过HTTP2.0协议向所述接入设备发送所述授权协议信息。
实施本发明实施例,云管理控制器可以利用预先建立的HTTP2.0通道,通过HTTP2.0协议向接入设备发送转换后的授权协议信息,实现简单,高效可靠。
在一种可选的实现方式中,所述云管理控制器根据所述第一网页访问请求向所述终端发送重定向指示信息包括:
所述云管理控制器从所述第一网页访问请求中获取终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号;
根据所述终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号中的至少一个和所述portal服务器的URL地址生成重定向URL地址;
在所述重定向URL地址中加入所述云管理控制器的URL地址以生成重定向指示信息。
实施本发明实施例,云管理控制器通过将获取到的属性参数值与portal服务器的地址和云管理控制器的地址生成重定向指示信息,可以使得终端获取到云管理控制器的地址,并将其发送到portal服务器。
在一种可选的实现方式中,所述第一网页访问请求为HTTP请求,所述重定向指示信息为HTTP重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location属性中。
实施本发明实施例,可以通过发送HTTP请求报文,并在location属性中添加云管理控制器的地址,可以使得portal服务器获取到云管理控制器的地址并指示终端将待验证信息发送至云管理控制器,实现简单。
在一种可选的实现方式中,所述第一网页访问请求为HTTPs请求,所述重定向指示信息为HTTPs重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location属性中。
实施本发明实施例,可以通过发送HTTPs请求报文,并在location属性中添加云管理控制器的地址,可以使得portal服务器获取到云管理控制器的地址并指示终端将待验证信息发送至云管理控制器,实现简单。
第二方面,提供了一种终端认证方法,所述方法包括:
portal服务器接收处于未认证状态的终端发送的重定向网页访问请求,所述重定向网页访问请求包括云管理控制器的地址;
所述portal服务器根据所述重定向网页访问请求生成登录页面,所述登录页面中含有所述云管理控制器的地址以指示所述终端将待认证信息发送至所述云管理控制器;
所述portal服务器向所述终端发送登录页面,所述登录页面包括待认证信息接收区域,所述待认证信息接收区域用于接收所述待认证信息。
实施本发明实施例,可以在终端发送的重定向网络访问请求中包含云管理控制器的地址,以指示所述终端将待认证信息发送至所述云管理控制器,可以使得云管理控制器将待认证信息通过标准认证协议将所述待认证信息发送给认证服务器,portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制,不需要大量的适配开发,可以有效降低技术复杂度。
在一种可选的实现方式中,所述portal服务器根据所述重定向网页访问请求生成登录页面包括:所述portal服务器将所述登录页面中跳转触发事件所对应的地址信息修改为所述云管理控制器的地址。
实施本发明实施例,通过修改登录页面中登录触发操作所对应的跳转地址信息,可以使得终端将接收到的待认证信息发送至云管理控制器,从而可以使得云管理控制器将待认证信息通过标准认证协议将所述待认证信息发送给认证服务器,这样portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制。
第三方面,提供了一种云管理控制器,所述云管理控制器包括:
接收单元,用于接收处于未认证状态的终端发送的第一网页访问请求;
发送单元,用于根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带portal服务器的地址和所述云管理控制器的地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的地址;
其中,所述接收单元,还用于接收所述终端发送的待认证信息,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息;
处理单元,用于将所述待认证信息转换为标准认证协议的认证参数;
其中,所述发送单元,还用于向认证服务器发送所述认证参数,所述接收单元,还用于接收所述认证服务器根据所述认证参数发送的授权信息。
在一种可选的实现方式中,所述接收单元,还用于接收所述认证服务器发送的认证授权报文,所述认证授权报文为所述认证服务器根据终端用户对应的服务,向所述云管理控制器发送的报文,所述终端用户对应的服务所包含的服务信息存储在所述认证服务器中。
在一种可选的实现方式中,所述处理单元,还用于将所述授权信息转换成所述终端的接入设备与所述云管理控制器之间的授权协议信息,并通过发送单元将所述授权协议信息发送给所述接入设备。
在一种可选的实现方式中,在所述云管理控制器将所述授权协议信息发送给所述接入设备之后,所述发送单元,还用于向所述终端发送重定向到认证成功页面的地址信息,以通知所述终端通过认证。
在一种可选的实现方式中,所述处理单元,还用于和所述接入设备建立HTTP2.0通道;所述发送单元,还用于通过HTTP2.0协议向所述接入设备发送所述授权协议信息。
在一种可选的实现方式中,所述处理单元,还用于从所述第一网页访问请求中获取终端媒体访问控制(Media Access Control,MAC)地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号;根据所述终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号中的至少一个和所述portal服务器的URL地址生成重定向URL地址;在所述重定向URL地址中加入所述云管理控制器的URL地址以生成重定向指示信息。
在一种可选的实现方式中,所述第一网页访问请求为HTTP请求,所述重定向指示信息为HTTP重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location属性中。
在一种可选的实现方式中,所述第一网页访问请求为HTTPs请求,所述重定向指示信息为HTTPs重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location属性中。
第四方面,提供了一种portal服务器,所述portal服务器包括:
接收单元,用于接收处于未认证状态的终端发送的重定向网页访问请求,所述重定向网页访问请求包括云管理控制器的地址;
页面生成单元,用于根据所述重定向网页访问请求生成登录页面,所述登录页面中含有所述云管理控制器的地址以指示所述终端将待认证信息发送至所述云管理控制器;
发送单元,用于向所述终端发送登录页面,所述登录页面包括待认证信息接收区域,所述待认证信息接收区域用于接收所述待认证信息。
在一种可选的实现方式中,所述portal服务器还包括修改单元,用于将所述登录页面中跳转触发事件所对应的地址信息修改为所述云管理控制器的地址。
第五方面,提供了一种云管理控制器,所述云管理控制器包括:处理器、存储器和收发器,其中:
所述处理器、所述存储器和所述收发器相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行以下步骤:
接收处于未认证状态的终端发送的第一网页访问请求,并根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带portal服务器的地址和所述云管理控制器的地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的地址;
接收所述终端发送的待认证信息,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息,所述portal服务器提供的登录页面与所述云管理控制器的地址关联;
将所述待认证信息转换为标准认证协议的认证参数;
向认证服务器发送所述认证参数,并接收所述认证服务器根据所述认证参数发送的授权信息。
第六方面,提供了一种portal服务器,所述portal服务器包括:处理器、存储器和收发器,其中:
所述处理器、所述存储器和所述收发器相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行以下步骤:
接收处于未认证状态的终端发送的重定向网页访问请求,所述重定向网页访问请求包括云管理控制器的地址;
根据所述重定向网页访问请求生成登录界面,所述登录界面中含有所述云管理控制器的地址以指示所述终端将待认证信息发送至所述云管理控制器;
向所述终端发送登录页面,所述登录页面包括待认证信息接收区域,所述待认证信息接收区域用于接收所述待认证信息。
第七方面,提供了一种认证系统,包括云管理控制器及portal服务器;所述云管理控制器为第三方面,或者第三方面的任意一个可选的实现方式所描述的云管理控制器,所述portal服务器为第四方面,或者第四方面的任意一个可选的实现方式所描述的portal服务器。
第八方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被第一设备的处理器执行时,使所述第一设备的处理器执行上述第一方面或者第一方面的任意一个可选的实现方式所描述的方法;或者所述程序指令当被第二设备的处理器执行时,使所述第二设备的处理器执行上述第二方面或者第二方面的任意一个可选的实现方式所描述的方法。
附图说明
图1为本发明实施例提供的一种终端认证方法的流程示意图;
图2为本发明实施例提供的另一种终端认证方法的流程示意图;
图3为本发明实施例提供的另一种终端认证方法的流程示意图;
图4为本发明实施例提供的一种云管理控制器的结构示意图;
图5为本发明实施例提供的一种portal服务器的结构示意图;
图6为本发明实施例提供的另一种云管理控制器的结构示意图;
图7为本发明实施例提供的另一种portal服务器的结构示意图。
具体实施方式
下面将结合附图对本发明实施例中的技术方案进行清楚、完整地描述。
请参见图1,图1是本发明实施例提供的一种终端认证方法的流程示意图,该方法包括但不限于以下步骤:
S101:云管理控制器接收处于未认证状态的终端发送的第一网页访问请求,并根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带portal服务器的地址和所述云管理控制器的地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的地址。
具体地,云管理控制器可以是思科的云管理控制器、安移通的云管理控制器、华三通信的云管理控制器或者华为的云管理控制器等,终端设备可以包括各种具有无线功能的手持设备、车载设备、可穿戴设备(wearable device)、计算设备等。例如,本申请所涉及到的云管理控制器可以是华为的敏捷控制服务器(Agile Controller-Campus),终端设备可以是手机。
值得说明的是,终端在访问云管理控制器之前,终端首先要访问接入设备。接入设备可以是AP、AR、FW或SW,接入设备内存储有一个已认证终端设备列表,若终端需要通过接入设备访问网络资源,接入设备会对该终端进行识别,若已认证终端设备列表中不存在该终端,接入设备会对终端的访问请求进行拦截,并将其重定向到云管理控制器,终端再向云管理控制器发送网页访问请求。
在一种可能的实现方式中,云管理控制器根据所述第一网页访问请求向所述终端发送重定向指示信息包括:云管理控制器从所述第一网页访问请求中获取终端媒体访问控制(Media Access Control,MAC)地址、子网络标识符、访问目标资源的统一资源定位符(Uniform Resource Locator,URL)地址或所述接入设备的设备序列号;根据所述终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号中的至少一个和所述portal服务器的URL地址生成重定向URL地址;在所述重定向URL地址中加入所述云管理控制器的URL地址以生成重定向指示信息。
需要说明的是,本申请所涉及到的portal服务器的地址可以是指portal服务器的URL地址,云管理控制器的地址可以是指云管理控制器的URL地址,URL地址与URL可以互换,后续不再进行区分。
具体地,云管理控制器在接收到终端发送的网络访问请求后,会从中获取到终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号等一系列属性值,由于终端需要访问网络资源,获得portal服务器提供的服务,所以终端需要通过portal服务器的认证。而云管理控制器与portal服务器通信,云管理控制器需要将终端的访问请求重定向至portal服务器,所以云管理控制器将获取到的一系列属性值连同portal服务器的URL地址生成一个新的URL地址,该地址指向portal服务器,云管理控制器再将其自身的URL地址添加进所述新的URL地址以生成重定向指示信息,并将该重定向指示信息发送给终端,终端再根据接收到的重定向指示信息,向portal服务器发送网页访问请求。
可以理解,云管理控制器从终端发送的访问请求中获取到必要属性参数值,并将其与portal服务器的URL地址和该云管理控制器本身的URL地址一起生成重定向指示信息发送给终端,终端可以从该指示信息中获取到云管理控制器的URL地址,并将其发送给portal服务器。
在一种可能的实现方式中,所述第一网页访问请求为HTTP请求,所述重定向指示信息为HTTP重定向消息,所述portal服务器的地址和所述云管理控制器的URL地址携带在所述重定向消息中的location属性中。
具体地,终端通过HTTP报文向云管理控制器发送网页访问请求,由于终端发送的是HTTP请求,所以云管理控制器可以对其进行拦截,并对该请求进行重定向到portal服务器,所以云管理控制器向终端发送HTTP重定向指示消息,由于云管理向终端发送的HTTP回应报文中有location这个属性,云管理控制器将该属性对应的参数值设为包括portal服务器的URL地址,终端可以根据接收到的回应报文中的location属性对应的值向portal服务器发送访问请求。此外,location属性中还包括一些其它的属性参数值,比如用户接入的MAC地址、用户访问的原始目标URL或终端IP地址等,需要说明的是,location属性为HTTP标准协议的一个属性,是不可更改的,而location属性中包含的其它属性是可以根据需要进行配置的,具体的配置是按照portal服务器的需要进行配置相应的属性参数值,值得说明的是,在location属性中包含一个属性为loginUrl,其对应的参数值是该云管理控制器的URL地址,由于终端要获取云管理控制器的URL地址,所以这个参数值是必须配置的,可以理解,loginUrl只是一个具体的属性名称,当然也可以是其它的名称,这里不对该属性的具体名称进行限定。
比如,对于终端发送的请求报文,portal服务器接收到该请求报文后会向终端发送一个回应报文,该回应报文包含一系列固定的参数属性以及所述参数属性对应的参数值,其中有一个参数属性为Location:https://192.166.4.21:19008/custompage/template/auth Default.html?&
loginUrl=https://SERVICE_IP:PORT/thirdauth/login/sessionID=123,可以看出,云管理控制器已经将portal服务器的URL地址设为了location属性所对应的参数值,即portal服务器的U RL地址为https://192.166.4.21:19008/custompage/template/authDefault.html。在location属性中还包括一些其他的属性,这些属性通过&符号相连接,例如apMAC、originalUrl、vendo、version、uaddress、Umac或ssid等,由上述可知,这些通过&符号连接的属性可以根据需要进行配置,其中有一个参数属性为&loginUrl=https://SERVICE_IP:PORT/thirdauth/login/sess ionnID=123,可以看出,云管理控制器已经将自身的URL地址设为了loginUrl属性所对应的参数值,即云管理控制器的终端认证URL地址为https://SERVICE_IP:PORT/thirdauth/login/sessionID=123。
可以看出,基于HTTP协议,终端和云管理控制器通过发送HTTP请求报文和HTTP重定向报文进行信息交互,终端能够获取到包括云管理控制器的URL地址和portal服务器的URL地址的URL,并将该URL发送给portal服务器,整个过程实现简单,复杂度低。
在一种可能的实现方式中,所述第一网页访问请求为HTTPs请求,所述重定向指示信息为HTTPs重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location属性中。
具体地,终端和云管理控制器之间是基于HTTPs协议,发送HTTPs请求报文和HTTPs重定向报文进行信息交互的,与HTTP协议相比,终端和云管理控制器之间发送的报文信息不再是明文传输,而是加密传输,所以安全性更高,但是不管是基于HTTP协议的报文还是基于HTTPs协议的报文,它们所包含的具体属性类似,整个重定向过程类似,参见上述过程,在此不再赘述。
S102:所述云管理控制器接收所述终端发送的待认证信息,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息,所述portal服务器提供的登录页面与所述云管理控制器的地址关联。
具体地,在portal服务器接收到终端发送的HTTP或HTTPs访问请求后,portal服务器会根据该请求向终端推送登录页面,该登录页面可以含有待认证信息填写区域,用户根据提示在相应的区域填写待认证信息,待认证信息可以是用户名和密码,用户在填写完待认证信息后确认登录,用户可以通过点击登录页面中的确认登录按钮进行登录,由于portal服务器推送的登录页面中的登录按钮所对应跳转的URL地址信息被portal服务器修改为了云管理控制器的URL地址,所以终端在接收到用户点击确认登录按钮时,就会触发跳转到云管理控制器,并将接收到的用户名和密码等待认证信息发送至云管理控制器。
S103:所述云管理控制器将所述待认证信息转换为标准认证协议的认证参数。
具体地,云管理控制器在接收到终端发送的待认证信息后,由于云管理控制器本身并没有存储用户的信息,所以云管理并不能对该待认证信息进行直接认证,而是需要将其发送给认证服务器以进行后续的认证授权过程。云管理控制器为了使得认证服务器能够对该待认证信息进行准确的认证,需要将该待认证信息转换为云管理控制器和认证服务器都能够解读的标准认证协议的认证参数,这里的标准认证协议可以是拨号用户远程认证服务(remote authentication dial in user service,Radius)协议或者认证授权计费(Authentication Authorization Accounting,AAA)协议等,云管理控制器和认证服务器可以具体通过询问握手认证协议(Challenge Handshake Authentication Protocol,CHAP)或密码认证协议(Password Authentication Protocol,PAP)完成具体的认证过程。
可以理解,云管理控制器需要事先完成对应的标准认证协议的开发来实现和认证服务器之间的信息交互,在接收到待认证信息时才能将其装换为标准认证协议的认证参数,并将其发送给认证服务器。
S104:所述云管理控制器向认证服务器发送所述认证参数,并接收所述认证服务器根据所述认证参数发送的授权信息。
具体地,认证服务器可以是Radius服务器或者AAA服务器或者其它的认证服务器,认证服务器存储有用户的信息,此外还可以存有用户所购买的服务所对应的服务信息。云管理控制器将待认证信息装换为标准认证协议的认证参数后,通过CHAP协议或PAP协议等向认证服务器发送标准协议报文,认证服务器接收云管理控制器发送的标准协议报文后,解读该报文,获取到报文中的认证参数信息,然后再向云管理控制器发送授权信息。
其中,Protal服务器和认证服务器可以位于同一个设备中,也可以分别位于两个不同的设备中。
容易理解,protal服务器和认证服务器在物理是否分开并不会影响它们的功能。
在一种可能的实现方式中,所述云管理控制器接收所述认证服务器根据所述认证参数发送的授权信息,包括:所述云管理控制器接收所述认证服务器发送的认证授权报文,所述认证授权报文为所述认证服务器根据终端用户对应的服务,向所述云管理控制器发送的报文,所述终端用户对应的服务所包含的服务信息存储在所述认证服务器中。
具体地,认证服务器与云管理控制器进行标准协议的交互,对标准协议报文中包含的待认证信息进行认证,在认证通过之后,即确认用户是合法用户之后,认证服务器会查询该用户已购买的服务以及详细的服务信息,在查询到用户购买的服务信息后,认证服务器将该服务信息通过标准认证协议的认证授权报文发送给云管理控制器。参见表1,表1是本发明实施例提供的一种Radius授权报文。
表1 Radius授权报文
如表1所示,报文内容主要包括参数、参数类型以及相关说明,参数主要有用户名、密码、设备MAC地址、用户MAC地址、重认证时长以及回复消息等,值得说明的是回复消息这个属性参数可以用于认证接收报文中,表示成功消息,也可以用于认证拒绝报文中,表示拒绝消息。目前只对万维网(World Wide Web,Web)认证用户,会把此消息传给用户,对于Web认证,必须得到Web服务器的版本支持。
在一种可能的实现方式中,在所述云管理控制器接收所述认证服务器根据所述认证参数发送的授权信息之后,所述方法还包括:所述云管理控制器将所述授权信息转换成所述终端的接入设备与所述云管理控制器之间的授权协议信息,并将所述授权协议信息发送给所述接入设备。
具体地,由于各接入设备和云管理控制器的厂商可能不同,所以接入设备与云管理控制器之间交互的并不是标准协议,不同厂商生产的接入设备通过各设备厂商自己定义的协议与云管理控制器进行交互。所以云管理控制器在接收到认证服务器通过标准认证协议发送的授权信息之后,不能直接的将该授权信息转发给接入设备,而是需要将接收到的授权报文先转换为接入设备所对应的私有的授权协议信息,比如华为的华为敏捷云认证协议(Huawei Agile Cloud Authentication,HACA),然后再将转换后的授权协议信息发送给接入设备,完成对当前用户的授权控制,比如对流量、在线时长、上网速率等的控制。
可以理解,云管理控制器与认证服务器之间进行的是标准协议下的认证,交互的是标准报文,而接入设备与云管理控制器之间进行的信息交互不是标准协议下的交互。因此,云管理控制器需要将接收到的授权信息进行转换再发送给接入设备,以完成对终端用户的授权控制。通过此种方式,云管理控制器能够对接各种接入设备,增强了云管理控制器的接纳能力,扩大了其使用范围,并能够对终端用户实现有效控制。
需要说明的是,云管理控制器将授权信息转换成接入设备与该云管理控制器之间的私有的授权协议信息,并将该私有授权协议信息发送给接入设备完成对终端用户的授权控制之后,终端用户可以使用portal服务器提供的服务,接入设备则会记录终端用户的计费信息,比如在线时长、流量使用情况等,并通过该接入设备所对应的私有的授权协议向云管理控制器发送终端用户的计费信息,云管理控制器在接收到计费信息之后,会将该计费信息转换为标准协议的计费报文,比如Radius计费报文,然后再将该计费报文发送给计费服务器,由计费服务器完成计费计算。参见表2,表2是本发明实施例提供的一种Radius计费报文。
表2 Radius计费报文
| 参数 | 类型 | 说明 |
| Acct-Delay-Time | integer | 延迟时间 |
| Acct-Session-ID | string | sessionID |
| Acct-Status-Type | integer | 报文类型 |
| Calling-Station-ID | string | 用户mac地址 |
| Called-Station-Id | string | 设备mac地址 |
| Event-Timestamp | integer | 报文生成时间 |
| Framed-IP-Address | integer | 用户IP地址 |
| NAS-Identifier | string | Huawei Agile Controller-Campus |
| NAS-IP-Address | ipaddr | 控制器的认证IP地址 |
| NAS-Port | integer | 用户接入的物理口 |
| User-Name | string | 用户名 |
如表2所示,报文内容主要包括各种参数、参数类型以及相关说明,参数主要有延迟时间、用户名、设备MAC地址、用户MAC地址、控制器的认证IP地址、用户接入的物理口等,值得说明的是计费状态类型这个属性参数的值为start时,表示报文类型为计费开始请求报文,Radius服务器开始计费,当其值为stop时,表示报文类型为计费停止请求报文,计费服务器停止计费。
在一种可能的实现方式中,所述云管理控制器将所述授权协议信息发送给所述接入设备包括:所述云管理控制器通过HTTP2.0协议向所述接入设备发送所述授权协议信息。
具体地,云管理控制器与接入设备预先建立HTTP2.0连接通道,在接收到认证服务器发送的授权报文后,云管理控制器将其转换为HTTP2.0协议下的授权信息,并通过预先建立的HTTP2.0通道给接入设备下发授权信息。
可以理解,通过现有的HTTP2.0协议给接入设备下发授权信息,实现简单,高效可靠。
在一种可能的实现方式中,在所述云管理控制器将所述授权信息发送给所述接入设备之后,所述方法还包括:所述云管理控制器向所述终端发送重定向到登录成功页面的地址信息,以通知所述终端通过认证。
具体地,云管理控制器将获取到的一系列属性值连同portal服务器的地址生成一个新的URL地址,该URL地址指向portal服务器,云管理控制器根据该新的URL地址生成重定向指示信息,并将该重定向指示信息发送给终端,终端再根据接收到的重定向指示信息,依照新的URL地址向portal服务器发送登录结果请求,portal服务器再向终端返回登录成功页面,以提示终端通过认证,可以使用该portal服务器提供的服务。
请参见图2,图2是本发明实施例提供的另一种终端认证方法的流程示意图,该方法包括但不限于以下步骤:
S201:portal服务器接收处于未认证状态的终端发送的重定向网页访问请求,所述重定向网页访问请求包括云管理控制器的地址。
需要说明的是,终端在向portal服务器发送访问请求之前,终端首先要访问接入设备。接入设备可以是AP、AR、FW或SW,接入设备内存储有一个已认证终端设备列表,若终端需要通过接入设备访问网络资源,接入设备会对该终端进行识别,若已认证终端设备列表中不存在该终端,接入设备会对终端的访问请求进行拦截,并将其重定向到云管理控制器,终端再向云管理控制器发送网页访问请求。
具体地,云管理控制器在接收到终端发送的网络访问请求后,会从中获取到终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号等一系列属性值,由于终端需要访问网络资源,获得portal服务器提供的服务,所以终端需要通过portal服务器的认证。而云管理控制器与portal服务器直接通信,云管理控制器需要将终端的访问请求重定向至portal服务器,所以云管理控制器将获取到的一系列属性值连同portal服务器的URL地址生成一个新的URL地址,该地址指向portal服务器,云管理控制器再将其自身的URL地址添加进新的URL地址以生成重定向指示信息,并将该重定向指示信息发送给终端,终端再根据该重定向指示信息,向portal服务器发送重定向网页请求。
可以理解,云管理控制器从终端发送的访问请求中获取到必要属性参数值,并将其与portal服务器的URL地址和该云管理控制器本身的URL地址一起生成重定向指示信息发送给终端,终端可以从该指示信息中获取到云管理控制器的URL地址,并将其发送给portal服务器。
在一种可能的实现方式中,所述重定向网页访问请求为HTTP请求,所述重定向指示信息为HTTP重定向消息,所述portal服务器的URL地址和所述云管理控制器的URL地址携带在所述重定向消息中的location属性中。
在一种可能的实现方式中,所述重定向网页访问请求为HTTPs请求,所述重定向指示信息为HTTPs重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location属性中。
具体地,终端和云管理控制器之间是基于HTTPs协议,发送HTTPs请求报文和HTTPs重定向报文进行信息交互的,与HTTP协议相比,终端和云管理控制器之间发送的报文信息不再是明文传输,而是加密传输,所以安全性更高,但是不管是基于HTTP协议的报文还是基于HTTPs协议的报文,它们所包含的具体属性类似,整个重定向过程类似,参见上述过程,在此不再赘述。
S202:所述portal服务器根据所述重定向网页访问请求生成登录界面,所述登录界面中含有所述云管理控制器的地址以指示所述终端将待认证信息发送至所述云管理控制器。
具体地,portal服务器在接收到终端发送的重定向网页访问请求后,可以从该请求中获取到云管理控制器的URL地址,在获取到云管理控制器的URL地址后,portal服务器需要指示终端将接收到的待认证信息发送给云管理控制器,因此portal服务器在生成登录页面时,需要在登录页面中包含云管理控制器的URL地址,以指示终端将待认证信息发送至云管理控制器。
在一种可能的实现方式中,所述portal服务器根据所述重定向网页访问请求生成登录页面包括:所述portal服务器将所述登录页面中跳转触发事件所对应的地址信息修改为所述云管理控制器的URL地址。
具体的,在现有的技术中,portal服务器接收到终端发送的重定向网页请求,由于该请求未包含云管理控制器的URL地址,portal服务器不能获取到云管理控制器的URL地址,所以portal服务器在向终端推送的登录页面中,其对应的确认登录按钮跳转的地址信息仍是portal服务器的URL地址,即终端会将接收到的待认证信息发送给portal服务器,但是终端发送的请求包含了云管理控制器的URL地址,所以portal服务器能够获取到云管理控制器的URL地址,在向终端推送登录页面时,将该登录页面中的跳转触发事件所对应的地址信息修改为云管理控制器的URL地址,以使终端在接收到待认证信息时将其发送给云管理控制器。比如,登录页面包含用户名和密码输入区域以及确认登录按钮,终端接收用户输入的用户名和密码信息,在用户输入完成点击确认登录按钮后,终端将接收到的用户名和密码信息发送到云管理控制器。
可以看出,通过修改登录页面中登录触发操作所对应的跳转地址信息,可以使得终端将接收到的待认证信息发送至云管理控制器,从而可以使得云管理控制器将待认证信息通过标准认证协议将所述待认证信息发送给认证服务器,这样portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制。
S203:所述portal服务器向所述终端发送登录页面,所述登录页面包括待认证信息接收区域,所述待认证信息接收区域用于接收所述待认证信息。
具体地,登录页面包含用户名和密码输入区域以及确认登录按钮,终端显示该登录页面并接收用户输入的用户名和密码信息。可以理解,待认证信息可以不仅是用户名和密码信息,也可以是其它的信息,跳转触发事件不一定是用户点击登录页面的登录按钮,也可以是其它的操作,本申请并不对此作出限制。
需要说明的是,S201~S203的具体实现可以参考上述图1中的S101~S104,这里不再赘述。
请参见图3,图3是本发明实施例提供的另一种终端认证方法的流程示意图,该方法包括但不限于以下步骤:
S301:终端向接入设备发送第一网页访问请求。
具体地,第一网页请求为HTTP或HTTPs请求。
S302:接入设备将其重定向到云管理控制器。
S303:终端向云管理控制器发送第二网页请求。
具体地,第二网页请求为HTTP或HTTPs请求。
S304:云管理控制器将其重定向到portal服务器。
具体地,云管理控制器向终端发送重定向指示信息,该重定向指示信息携带portal服务器的URL地址和云管理控制器的URL地址,以指示终端向portal服务器发送重定向网页请求。该重定向指示信息为HTTP或HTTPs重定向消息。
S305:终端向portal服务器发送重定向网页请求。
S306:portal服务器向终端发送登录页面,并让终端将待认证信息发送到云管理控制器。
S307:终端将待认证信息发送到云管理控制器。
S308:云管理控制器通过向认证服务器发送标准认证协议报文进行认证。
S309:认证服务器向云管理控制器发送标准认证协议授权报文。
S310:云管理控制器将标准认证授权报文转换为与接入设备之间私有的授权协议,并将该授权协议信息发送给接入设备。
S311:云管理控制器将接入设备通过私有协议发送的计费信息转换为标准认证协议的计费报文,并将该报文发送给认证服务器。
S312:云管理控制器向终端发送重定向到登录成功页面的地址信息。
S313:终端向portal服务器发送登录结果请求。
S314:portal服务器向终端发送登录成功页面。
其中,S305~S314的实现方式可以参考上述图1的S101~S104以及图4中的S201~S203,这里不作赘述。
实施本发明实施例,通过在云管理控制器向终端发送的重定向指示信息中携带云管理控制器的URL地址,以使该云管理控制器接收终端发送的待认证信息,并将待认证信息转换为标准认证协议下的认证参数,从而与认证服务器进行标准认证协议下的认证,portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制,portal服务器不需要大量的适配开发,有效降低技术复杂度。
上述详细阐述了本发明实施例的方法,为了便于更好地实施本发明实施例的上述方案,相应地,下面还提供用于配合实施上述方案的相关装置。
参见图4,图4为本发明实施例提供的一种云管理控制器的结构示意图,云管理控制器100至少包括:接收单元110、发送单元120和处理单元130;其中:
接收单元110,用于接收处于未认证状态的终端发送的第一网页访问请求。
发送单元120,用于根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带portal服务器的URL地址和所述云管理控制器的URL地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的URL地址。
其中,所述接收单元110,还用于接收所述终端发送的待认证信息,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息。
处理单元130,用于将所述待认证信息转换为标准认证协议的认证参数。
其中,所述发送单元120,还用于向认证服务器发送所述认证参数,所述接收单元110,还用于接收所述认证服务器根据所述认证参数发送的授权信息
在一个可能的实施例中,处理单元130,还用于将所述授权信息转换成所述终端的接入设备与所述云管理控制器之间的授权协议信息,并通过发送单元120将所述授权协议信息发送给所述接入设备。
在一个可能的实施例中,在所述发送单元120将所述授权协议信息发送给所述接入设备之后,所述发送单元120,还用于向所述终端发送重定向到认证成功页面的地址信息,以通知所述终端通过认证。
在一个可能的实施例中,所述处理单元130,还用于和所述接入设备建立HTTP2.0通道;所述发送单元120,还用于通过HTTP2.0协议向所述接入设备发送所述授权协议信息。
在一个可能的实施例中,所述处理单元130,还用于从所述第一网页访问请求中获取终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号;根据所述终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号中的至少一个和所述portal服务器的URL地址生成重定向URL地址;在所述重定向URL地址中加入所述云管理控制器的URL地址以生成重定向指示信息。
在一个可能的实施例中,所述第一网页访问请求为HTTP请求,所述重定向指示信息为HTTP重定向消息,所述portal服务器的URL地址和所述云管理控制器的URL地址携带在所述重定向消息中的location属性中。
在一个可能的实施例中,所述第一网页访问请求为HTTPs请求,所述重定向指示信息为HTTPs重定向消息,所述portal服务器的URL地址和所述云管理控制器的URL地址携带在所述重定向消息中的location属性中。
可理解的是,本实施例的云管理控制器100的各功能模块的功能可根据上述方法实施例中的方法具体实现,此处不再赘述。
实施本发明实施例,通过在云管理控制器向终端发送的重定向指示信息中携带云管理控制器的URL地址,以使该云管理控制器接收终端发送的待认证信息,并将待认证信息转换为标准认证协议下的认证参数,从而与认证服务器进行标准认证协议下的认证,portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制,portal服务器不需要大量的适配开发,有效降低技术复杂度。
参见图5,图5为本发明实施例提供的一种portal服务器的结构示意图,portal服务器200至少包括:接收单元210、页面生成单元220和发送单元230;其中:
接收单元210,用于接收处于未认证状态的终端发送的重定向网页访问请求,所述重定向网页访问请求包括云管理控制器的URL地址。
页面生成单元220,用于根据所述重定向网页访问请求生成登录页面,所述登录页面中含有所述云管理控制器的URL地址以指示所述终端将待认证信息发送至所述云管理控制器。
发送单元230,用于向所述终端发送登录页面,所述登录页面包括待认证信息接收区域,所述待认证信息接收区域用于接收所述待认证信息。
在一个可能的实施例中,所述portal服务器还包括修改单元240,用于将所述登录页面中跳转触发事件所对应的地址信息修改为所述云管理控制器的地址。
可理解的是,本实施例的portal服务器的各功能模块的功能可根据上述方法实施例中的方法具体实现,此处不再赘述。
实施本发明实施例,通过在云管理控制器向终端发送的重定向指示信息中携带云管理控制器的URL地址,以使该云管理控制器接收终端发送的待认证信息,并将待认证信息转换为标准认证协议下的认证参数,从而与认证服务器进行标准认证协议下的认证,portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制,portal服务器不需要大量的适配开发,有效降低技术复杂度。
请参见图6,图6是本发明实施例提供的一种云管理控制器300。该云管理控制器300至少包括:处理器310、存储器320和收发器330,该处理器310、存储器320和收发器330通过总线340相互连接。
存储器320包括但不限于是随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)或可擦除可编程只读存储器(Erasable ProgrammableRead-Only Mmory,EPROM或者快闪存储器),该存储器320用于存储相关指令及数据。
该收发器330可以包括一个接收器和一个发送器,例如,网络接口,以下描述的处理器310接收或者发送某个消息,具体可以理解为该处理器310通过该收发器来接收或者发送。
处理器310可以是一个或多个中央处理器(Central Processing Unit,CPU),在处理器310是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该云管理控制器300中的处理器310用于读取该存储器320中存储的程序代码,执行以下操作:
处理器310通过收发器330接收处于未认证状态的终端发送的第一网页访问请求,可以理解为收发器330在接收了终端发送的报文,所述报文用于指示所述终端发起第一网页访问请求,收发器330将该第一网页访问请求发送给处理器310,处理器310接收到该第一网页访问请求,并根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带portal服务器的URL地址和所述云管理控制器的URL地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的URL地址。
处理器310通过收发器330接收终端发送的待认证信息,可以理解为收发器330接收终端发送的待认证信息,收发器330再将该待认证信息的内容发送给处理器310,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息,所述portal服务器提供的登录页面与所述云管理控制器的URL地址关联。
处理器310将所述待认证信息转换为标准认证协议的认证参数。
处理器310通过收发器330向认证服务器发送所述认证参数,并接收所述认证服务器根据所述认证参数发送的授权信息。
需要说明的是,各个操作的具体实现还可根据上述方法实施例中的方法具体实现,此处不再赘述。
实施本发明实施例,通过在云管理控制器向终端发送的重定向指示信息中携带云管理控制器的URL地址,以使该云管理控制器接收终端发送的待认证信息,并将待认证信息转换为标准认证协议下的认证参数,从而与认证服务器进行标准认证协议下的认证,portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制,portal服务器不需要大量的适配开发,有效降低技术复杂度。
请参见图7,图7是本发明实施例提供的一种portal服务器400。该portal服务器400至少包括:处理器410、存储器420和收发器430,该处理器410、存储器420和收发器430通过总线440相互连接。
存储器420包括但不限于是随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)或可擦除可编程只读存储器(Erasable ProgrammableRead-Only Mmory,EPROM或者快闪存储器),该存储器420用于存储相关指令及数据。
该收发器430可以包括一个接收器和一个发送器,例如,网络接口,以下描述的处理器410接收或者发送某个消息,具体可以理解为该处理器410通过该收发器来接收或者发送。
处理器410可以是一个或多个中央处理器(Central Processing Unit,CPU),在处理器410是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该portal服务器400中的处理器410用于读取该存储器420中存储的程序代码,执行以下操作:
处理器410通过收发器430接收处于未认证状态的终端发送的重定向网页访问请求,可以理解为收发器430在接收了终端发送的重定向报文,所述重定向报文用于指示所述终端发起重定向网页访问请求,收发器330将该重定向网页访问请求发送给处理器310,处理器310接收到该重定向网页访问请求,所述重定向网页访问请求包括云管理控制器的URL地址。
处理器410根据所述重定向网页访问请求生成登录界面,所述登录界面中含有所述云管理控制器的URL地址以指示所述终端将待认证信息发送至所述云管理控制器。
处理器310通过收发器330向终端发送登录页面,所述登录页面包括待认证信息接收区域,所述待认证信息接收区域用于接收所述待认证信息。
在一个可选的实施例中,处理器410还用于将所述登录页面中跳转触发事件所对应的URL地址信息修改为所述云管理控制器的URL地址。
需要说明的是,各个操作的具体实现还可根据上述方法实施例中的方法具体实现,此处不再赘述。
实施本发明实施例,通过在云管理控制器向终端发送的重定向指示信息中携带云管理控制器的URL地址,以使该云管理控制器接收终端发送的待认证信息,并将待认证信息转换为标准认证协议下的认证参数,从而与认证服务器进行标准认证协议下的认证,portal服务器无需与云管理控制器通过API交互终端用户的授权信息,就可以完成对终端用户准入授权控制,portal服务器不需要大量的适配开发,有效降低技术复杂度。
在本发明的另一实施例中提供一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序包括程序指令,上述程序指令被处理器执行时实现:云管理控制器接收处于未认证状态的终端发送的第一网页访问请求,并根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带portal服务器的URL地址和所述云管理控制器的URL地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的URL地址;所述云管理控制器接收所述终端发送的待认证信息,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息,所述portal服务器提供的登录页面与所述云管理控制器的URL地址关联;所述云管理控制器将所述待认证信息转换为标准认证协议的认证参数;所述云管理控制器向认证服务器发送所述认证参数,并接收所述认证服务器根据所述认证参数发送的授权信息。
上述计算机可读存储介质可以是前述任一实施例所述的云管理控制器或portal服务器的内部存储单元,例如云管理控制器或portal服务器的硬盘或内存。上述计算机可读存储介质也可以是上述云管理控制器或portal服务器的外部存储设备,例如上述云管理控制或portal服务器上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,上述计算机可读存储介质还可以既包括上述云管理控制器或portal服务器的内部存储单元也包括外部存储设备。上述计算机可读存储介质用于存储上述计算机程序以及上述云管理控制器或portal服务器所需的其他程序和数据。上述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可通过计算机程序来指令相关的硬件来完成,该的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可存储程序代码的介质。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例装置中的模块可以根据实际需要进行合并、划分和删减。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (24)
1.一种终端认证方法,其特征在于,包括:
云管理控制器接收处于未认证状态的终端发送的第一网页访问请求,并根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带门户portal服务器的地址和所述云管理控制器的地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的地址;
所述云管理控制器接收所述终端发送的待认证信息,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息,所述portal服务器提供的登录页面与所述云管理控制器的地址关联;
所述云管理控制器将所述待认证信息转换为标准认证协议的认证参数;
所述云管理控制器向认证服务器发送所述认证参数,并接收所述认证服务器根据所述认证参数发送的授权信息。
2.如权利要求1所述的方法,其特征在于,所述接收所述认证服务器根据所述认证参数发送的授权信息,包括:
所述云管理控制器接收所述认证服务器发送的认证授权报文,所述认证授权报文为所述认证服务器根据终端用户对应的服务,向所述云管理控制器发送的报文,所述终端用户对应的服务所包含的服务信息存储在所述认证服务器中。
3.如权利要求1或2所述的方法,其特征在于,所述云管理控制器接收所述认证服务器根据所述认证参数发送的授权信息之后,还包括:
所述云管理控制器将所述授权信息转换成所述终端的接入设备与所述云管理控制器之间的授权协议信息,并将所述授权协议信息发送给所述接入设备。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
所述云管理控制器将所述授权协议信息发送给所述接入设备之后,向所述终端发送重定向到登录成功页面的地址信息,以通知所述终端通过认证。
5.如权利要求4所述的方法,其特征在于,所述云管理控制器将所述授权协议信息发送给所述接入设备包括:所述云管理控制器通过超文本传输协议HTTP2.0向所述接入设备发送所述授权协议信息。
6.如权利要求5所述的方法,其特征在于,所述云管理控制器根据所述第一网页访问请求向所述终端发送重定向指示信息包括:
所述云管理控制器从所述第一网页访问请求中获取终端媒体访问控制MAC地址、子网络标识符、访问目标资源的统一资源定位符URL地址或所述接入设备的设备序列号;
根据所述终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号中的至少一个和所述portal服务器的URL地址生成重定向URL地址;
在所述重定向URL地址中加入所述云管理控制器的URL地址以生成重定向指示信息。
7.如权利要求1或2所述的方法,所述第一网页访问请求为HTTP请求,所述重定向指示信息为HTTP重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的位置属性location中。
8.如权利要求1或2所述的方法,所述第一网页访问请求为HTTPs请求,所述重定向指示信息为HTTPs重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location中。
9.一种终端认证方法,其特征在于,包括:
portal服务器接收处于未认证状态的终端发送的重定向网页访问请求,所述重定向网页访问请求包括云管理控制器的地址;
所述portal服务器根据所述重定向网页访问请求生成登录页面,所述登录页面中含有所述云管理控制器的地址以指示所述终端将待认证信息发送至所述云管理控制器;
所述portal服务器向所述终端发送登录页面,所述登录页面包括待认证信息接收区域,所述待认证信息接收区域用于接收所述待认证信息。
10.如权利要求9所述的方法,其特征在于,所述portal服务器根据所述重定向网页访问请求生成登录页面包括:
所述portal服务器将所述登录页面中跳转触发事件所对应的地址信息修改为所述云管理控制器的地址。
11.一种云管理控制器,其特征在于,包括:
接收单元,用于接收处于未认证状态的终端发送的第一网页访问请求;
发送单元,用于根据所述第一网页访问请求向所述终端发送重定向指示信息,所述重定向指示信息携带portal服务器的地址和所述云管理控制器的地址,所述重定向指示信息指示所述终端向所述portal服务器发送重定向网页访问请求,并在所述重定向网页访问请求中携带所述云管理控制器的地址;
其中,所述接收单元,还用于接收所述终端发送的待认证信息,所述待认证信息携带用于认证的用户标识,所述待认证信息是所述终端基于所述portal服务器提供的登录页面获取到的待认证信息;
处理单元,用于将所述待认证信息转换为标准认证协议的认证参数;
其中,所述发送单元,还用于向认证服务器发送所述认证参数,所述接收单元,还用于接收所述认证服务器根据所述认证参数发送的授权信息。
12.如权利要求11所述的云管理控制器,其特征在于,
所述接收单元,还用于接收所述认证服务器发送的认证授权报文,所述认证授权报文为所述认证服务器根据终端用户对应的服务,向所述云管理控制器发送的报文,所述终端用户对应的服务所包含的服务信息存储在所述认证服务器中。
13.如权利要求11或12所述的云管理控制器,其特征在于,
所述处理单元,还用于将所述授权信息转换成所述终端的接入设备与所述云管理控制器之间的授权协议信息,并通过发送单元将所述授权协议信息发送给所述接入设备。
14.如权利要求13所述的云管理控制器,其特征在于,在所述云管理控制器将所述授权协议信息发送给所述接入设备之后,所述发送单元,还用于向所述终端发送重定向到登录成功页面的地址信息,以通知所述终端通过认证。
15.如权利要求14所述的云管理控制器,其特征在于,所述处理单元,还用于和所述接入设备建立HTTP2.0通道;所述发送单元,还用于通过HTTP2.0协议向所述接入设备发送所述授权协议信息。
16.如权利要求15所述的云管理控制器,其特征在于,所述处理单元,还用于从所述第一网页访问请求中获取终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号;根据所述终端MAC地址、子网络标识符、访问目标资源的URL地址或所述接入设备的设备序列号中的至少一个和所述portal服务器的URL地址生成重定向URL地址;在所述重定向URL地址中加入所述云管理控制器的URL地址以生成重定向指示信息。
17.如权利要求11或12所述的云管理控制器,其特征在于,所述第一网页访问请求为HTTP请求,所述重定向指示信息为HTTP重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location属性中。
18.如权利要求11或12所述的云管理控制器,其特征在于,所述第一网页访问请求为HTTPs请求,所述重定向指示信息为HTTPs重定向消息,所述portal服务器的地址和所述云管理控制器的地址携带在所述重定向消息中的location属性中。
19.一种portal服务器,其特征在于,包括:
接收单元,用于接收处于未认证状态的终端发送的重定向网页访问请求,所述重定向网页访问请求包括云管理控制器的地址;
界面生成单元,用于根据所述重定向网页访问请求生成登录界面,所述登录界面中含有所述云管理控制器的地址以指示所述终端将待认证信息发送至所述云管理控制器;
发送单元,用于向所述终端发送登录页面,所述登录页面包括待认证信息接收区域,所述待认证信息接收区域用于接收所述待认证信息。
20.如权利要求19所述的portal服务器,其特征在于,
所述portal服务器还包括修改单元,用于将所述登录页面中跳转触发事件所对应的地址信息修改为所述云管理控制器的地址。
21.一种云管理控制器,其特征在于,所述云管理控制器包括:处理器、存储器和收发器,其中:
所述处理器、所述存储器和所述收发器相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1至8任意一项所述的方法。
22.一种portal服务器,其特征在于,所述portal服务器包括:处理器、存储器和收发器,其中:
所述处理器、所述存储器和所述收发器相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求9或10所述的方法。
23.一种认证系统,其特征在于,包括云管理控制器及portal服务器;所述云管理控制器为权利要求11至18任意一项所述的云管理控制器,所述portal服务器为权利要求19或20所述的portal服务器。
24.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时,使所述处理器执行如权利要求1至10任意一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810487280.1A CN110505188B (zh) | 2018-05-18 | 2018-05-18 | 一种终端认证方法、相关设备和认证系统 |
| CN202111220062.XA CN114124452B (zh) | 2018-05-18 | 2018-05-18 | 一种终端认证方法、相关设备和认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810487280.1A CN110505188B (zh) | 2018-05-18 | 2018-05-18 | 一种终端认证方法、相关设备和认证系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111220062.XA Division CN114124452B (zh) | 2018-05-18 | 2018-05-18 | 一种终端认证方法、相关设备和认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110505188A CN110505188A (zh) | 2019-11-26 |
| CN110505188B true CN110505188B (zh) | 2021-10-22 |
Family
ID=68584197
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810487280.1A Active CN110505188B (zh) | 2018-05-18 | 2018-05-18 | 一种终端认证方法、相关设备和认证系统 |
| CN202111220062.XA Active CN114124452B (zh) | 2018-05-18 | 2018-05-18 | 一种终端认证方法、相关设备和认证系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111220062.XA Active CN114124452B (zh) | 2018-05-18 | 2018-05-18 | 一种终端认证方法、相关设备和认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN110505188B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111125567B (zh) * | 2019-12-23 | 2024-02-27 | 五八有限公司 | 设备标记方法、装置、电子设备及存储介质 |
| CN112711455B (zh) * | 2020-12-31 | 2024-04-16 | 京东科技控股股份有限公司 | 一种页面交互方法、装置、电子设备及存储介质 |
| CN114050901B (zh) * | 2021-09-28 | 2023-10-27 | 新华三大数据技术有限公司 | 终端的认证方法、装置、电子设备及可读存储介质 |
| CN114189365B (zh) * | 2021-11-26 | 2024-05-28 | 特赞(上海)信息科技有限公司 | 基于字段映射的通用多租户业务授权方法和装置 |
| CN114500617B (zh) * | 2021-12-24 | 2023-11-28 | 青岛海尔科技有限公司 | 互联网设备控制方法和装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710659A (zh) * | 2012-06-18 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种无线接入设备及自动认证的方法 |
| CN103200159A (zh) * | 2012-01-04 | 2013-07-10 | 中国移动通信集团公司 | 一种网络访问方法和设备 |
| CN105657710A (zh) * | 2016-03-22 | 2016-06-08 | 上海斐讯数据通信技术有限公司 | 一种无线网络认证方法及系统 |
| CN106230788A (zh) * | 2016-07-22 | 2016-12-14 | 上海斐讯数据通信技术有限公司 | 一种portal认证的重定向方法、无线接入设备、portal服务器 |
| CN106656911A (zh) * | 2015-10-29 | 2017-05-10 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103024040B (zh) * | 2012-12-13 | 2015-11-25 | 福建星网锐捷网络有限公司 | 处理网页认证用户重复登录的方法和系统 |
| CA2851709A1 (en) * | 2013-05-16 | 2014-11-16 | Peter S. Warrick | Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address |
| CN105592458B (zh) * | 2014-10-22 | 2018-10-09 | 中国电信股份有限公司 | 无线局域网业务的认证方法和系统、服务器 |
| CN106131079B (zh) * | 2016-08-29 | 2020-08-11 | 腾讯科技(北京)有限公司 | 一种认证方法、系统及代理服务器 |
| CN107819728B (zh) * | 2016-09-12 | 2021-02-12 | 华为技术有限公司 | 网络认证方法、相关装置 |
-
2018
- 2018-05-18 CN CN201810487280.1A patent/CN110505188B/zh active Active
- 2018-05-18 CN CN202111220062.XA patent/CN114124452B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200159A (zh) * | 2012-01-04 | 2013-07-10 | 中国移动通信集团公司 | 一种网络访问方法和设备 |
| CN102710659A (zh) * | 2012-06-18 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种无线接入设备及自动认证的方法 |
| CN106656911A (zh) * | 2015-10-29 | 2017-05-10 | 华为技术有限公司 | 一种Portal认证方法、接入设备和管理服务器 |
| CN105657710A (zh) * | 2016-03-22 | 2016-06-08 | 上海斐讯数据通信技术有限公司 | 一种无线网络认证方法及系统 |
| CN106230788A (zh) * | 2016-07-22 | 2016-12-14 | 上海斐讯数据通信技术有限公司 | 一种portal认证的重定向方法、无线接入设备、portal服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124452A (zh) | 2022-03-01 |
| CN114124452B (zh) | 2023-03-10 |
| CN110505188A (zh) | 2019-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110505188B (zh) | 一种终端认证方法、相关设备和认证系统 | |
| US10531297B2 (en) | Authentication method and server, and computer storage medium | |
| US11140162B2 (en) | Response method and system in virtual network computing authentication, and proxy server | |
| US9179314B2 (en) | Secure and automatic connection to wireless network | |
| RU2564251C2 (ru) | Динамическое создание аккаунта в защищенной сети с беспроводной точкой доступа | |
| CN108496380B (zh) | 服务器和存储介质 | |
| WO2017024842A1 (zh) | 一种上网认证方法及客户端、计算机存储介质 | |
| CN112399130B (zh) | 云视频会议信息的处理方法、装置、存储介质和通信设备 | |
| CN103825881A (zh) | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 | |
| CN105141621A (zh) | 网络访问的监控方法及装置 | |
| CN104144163A (zh) | 身份验证方法、装置及系统 | |
| WO2011097706A1 (en) | Seamless mobile subscriber identification | |
| CN111194035B (zh) | 一种网络连接方法、装置和存储介质 | |
| CN103595560A (zh) | 一种用于无线路由器自动配置的方法 | |
| EP3043509A1 (en) | Portal authentication method, broadband network gateway (bng), portal server and system | |
| CN102215486B (zh) | 接入网络的方法及系统、网络认证方法及设备、终端 | |
| CN104683296B (zh) | 安全认证方法和系统 | |
| CN104837134A (zh) | 一种Web认证用户登录方法、设备和系统 | |
| CN114143251B (zh) | 智能选路方法、装置、电子设备及计算机可读存储介质 | |
| CN109495362B (zh) | 一种接入认证方法及装置 | |
| CN107211265A (zh) | 一种终端间的安全交互方法及装置 | |
| JP2019016070A (ja) | 機器をリモートで管理するための装置、方法及びそのためのプログラム | |
| CN104936177A (zh) | 一种接入认证方法及接入认证系统 | |
| CN107534859B (zh) | 一种网络认证方法、客户端、终端设备及平台 | |
| CN110856145A (zh) | 基于近场认证的iot设备与用户绑定方法、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |