CN110784447A - 跨协议实现无感知认证的方法 - Google Patents

跨协议实现无感知认证的方法 Download PDF

Info

Publication number
CN110784447A
CN110784447A CN201910882284.4A CN201910882284A CN110784447A CN 110784447 A CN110784447 A CN 110784447A CN 201910882284 A CN201910882284 A CN 201910882284A CN 110784447 A CN110784447 A CN 110784447A
Authority
CN
China
Prior art keywords
authentication
user
portal
gateway
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910882284.4A
Other languages
English (en)
Other versions
CN110784447B (zh
Inventor
邱海奇
吴玲艺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Cloud Profit Network Technology Co Ltd
Original Assignee
Shenzhen Cloud Profit Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Cloud Profit Network Technology Co Ltd filed Critical Shenzhen Cloud Profit Network Technology Co Ltd
Priority to CN201910882284.4A priority Critical patent/CN110784447B/zh
Publication of CN110784447A publication Critical patent/CN110784447A/zh
Application granted granted Critical
Publication of CN110784447B publication Critical patent/CN110784447B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • H04L67/145Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种跨协议实现无感知认证的方法,包括如下:用户连接WiFi,发出上网请求;网关或AC拦截上网请求;重定向到认证平台;判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议,如是Portal Radius认证协议,执行Portal&Radius认证流程;如是WiFidog认证协议,则执行WiFidog认证流程;查询数据库中保存的认证状态;将认证状态返回给网关或AC,判断认证状态是否在有效期内,如是,放行用户上网;否则,要求认证。实施本发明的跨协议实现无感知认证的方法,具有以下有益效果:使用户在连接不同厂家的WiFi网络时可以跨协议漫游、实现跨协议认证。

Description

跨协议实现无感知认证的方法
技术领域
本发明涉及网络安全领域,特别涉及一种跨协议实现无感知认证的方法。
背景技术
随着笔记本电脑、智能手机、平板电脑等移动终端的日益普及和国内运营商以及各类提供WiFi服务公共场所的大规模建设,中国互联网产业迎来了移动互联网时代。提供无线上网服务的场所也越来越多,比如火车站、飞机场等大型公共场所,购物商场、咖啡厅、KTV等休闲娱乐场所,甚至连小型宾馆酒店、招待所也都普遍提供无线接入互联网服务。
这随之带来的就是WLAN上网场所的安全监管问题日益突出,因为在非经营性上网服务场所如宾馆、休闲会所、中西餐厅等,通过WiFi上网都是不需要出示身份证明的,这部分的监管存在很大的漏洞。很多网民在这些场所随意上网,发布一些有害信息,影响社会治安、公共秩序;更有甚者,通过不记名接入互联网,做些违法犯罪的勾当,给公共安全、公民财产等带来巨大安全隐患。
公安机关按照互联网管理条例,将WLAN安全监管纳入管理范畴,并严格检查和执行。各非经营上网服务的场所,只要是面向公众提供WiFi服务的,必须符合公安部82号令,支持实名认证。为了满足公安监管要求带来的市场刚需,各大WLAN设备和解决方案厂商基于客户需求开发出各种认证方式,有短信认证、微信连WiFi认证、账号认证、扫码认证等。但无论多少种认证方式,其底层的认证协议基本都分为两种:802.1x和WiFidog,其中802.1x又可细分为Portal、Radius、LDAP域等等协议。不同WLAN厂商在自身的发展过程中按照当时的环境选取了不同的技术方向,采用不同的协议,导致用户在连接不同厂商提供的WiFi网络时,需要分别认证。在有些情况下,由于协议版本的差异,即便是同一个WLAN厂商建设的不同网络间,用户也需分别认证才可访问互联网。
当前国内经济技术飞速发展,各省市均提出“智慧城市”、“无线城市”的基础设施发展理念,各大WLAN厂商纷纷投身其中参与网络建设。出于有序竞争的考虑,政府单位或“智慧城市”、“无线城市”的承建单位在招投标时,在一个城市中通常会选取多家厂商同时参与网络的建设。由于厂商之间的独立和封闭性,在厂商之间并没有形成良好的解决方案可以使用户在连接不同厂家的WiFi网络时可以跨协议漫游,实现跨协议无感知认证。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种使用户在连接不同厂家的WiFi网络时可以跨协议漫游、实现跨协议认证的跨协议实现无感知认证的方法。
本发明解决其技术问题所采用的技术方案是:构造一种跨协议实现无感知认证的方法,包括如下步骤:
A)用户连接WiFi,发出上网请求;
B)网关或AC拦截所述上网请求;
C)重定向到认证平台;
D)判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议,如是Portal Radius认证协议,则执行步骤E);如是WiFidog认证协议,则执行步骤E');
E)执行Portal&Radius认证流程,执行步骤F);
E')执行WiFidog认证流程,执行步骤F);
J)查询数据库中保存的认证状态;
K)将所述认证状态返回给所述网关或AC,判断所述认证状态是否在有效期内,如是,执行步骤H);否则,执行步骤I);
L)放行用户上网;
M)要求认证。
在本发明所述的跨协议实现无感知认证的方法中,所述步骤E)进一步包括:
E1)用户通过标准的DHCP协议,通过AC获取到规划的IP地址;
E2)用户打开IE,访问某个网站,发起HTTP请求;
E3)所述AC截获所述HTTP请求,到Portal服务器中对Portal URL加入相关参数;
E4)所述Portal服务器向WLAN用户终端推送WEB认证页面;
E5)用户在所述WEB认证页面上填入用户信息,提交到所述Portal服务器;
E6)所述Portal服务器接收到所述用户信息,向中央Radius认证服务器发出用户信息查询请求;
E7)所述中央Radius认证服务器验证用户密码、查询用户信息,并向所述Portal服务器返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息;
E8)判断所述查询结果是否为查询成功,如是,执行步骤E10);否则,执行步骤E9);
E9)所述Portal服务器直接返回提示信息给用户,流程至此结束;
E10)所述Portal服务器按照CHAP流程向所述AC请求Challenge,执行步骤E11);
E11)所述AC返回Challenge ID和Challenge;
E12)所述Portal服务器将用户密码、Challenge ID和Challenge做MD5算法后的Challenge-Password以及帐号一起提交到所述AC,发起认证;
E13)所述AC将所述Challenge ID、Challenge、Challenge-Password、Called-Station-ID和帐号送到所述中央Radius认证服务器,由所述中央Radius认证服务器进行认证;
E14)所述中央Radius认证服务器根据所述用户信息判断用户是否合法,如是,所述中央Radius认证服务器向所述AC返回认证成功报文,并携带协议参数以及用户的相关业务属性给用户授权,执行步骤E15);否则,所述中央Radius认证服务器向所述AC返回认证失败报文;
E15)所述AC返回认证结果给所述Portal服务器;
E16)所述Portal服务器根据所述认证结果,推送认证结果页面;
E17)所述Portal服务器回应所述AC收到认证结果报文,判断是否认证成功,如是,执行步骤E18);否则,认证失败,则流程到此结束;
E18)认证成功,所述AC发起计费开始请求给所述中央Radius认证服务器;
E19)所述中央Radius认证服务器回应计费开始响应报文,并将响应信息返回给所述AC,用户上线完毕,开始上网;
E20)在用户上网过程中,每隔设定时间所述AC向所述中央Radius认证服务器上报实时计费信息;
E21)所述中央Radius认证服务器回应实时计费确认报文给所述AC;
E22)当所述AC收到下线请求时,向所述中央Radius认证服务器发计费结束报文;
E23)所述中央Radius认证服务器回应所述AC的计费结束报文。
在本发明所述的跨协议实现无感知认证的方法中,所述步骤E14)进一步包括:
E141)所述中央Radius认证服务器对所述用户密码进行静态密码认证,判断是否认证成功,如是,执行步骤E15);否则,执行步骤E142);
E142)所述中央Radius认证服务器对所述用户密码进行动态密码认证,判断是否认证成功,如是,执行步骤E15);否则,执行步骤E143);
E143)所述中央Radius认证服务器向所述AC返回认证失败报文。
在本发明所述的跨协议实现无感知认证的方法中,在所述步骤E16)中,当所述认证结果为成功时,根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面和门户网站一起推送给用,同时启动正计时提醒;当所述认证结果为失败时,所述认证结果页面提示用户失败原因。
在本发明所述的跨协议实现无感知认证的方法中,所述实时计费信息包括当前用户上网总时长和用户总流量信息。
在本发明所述的跨协议实现无感知认证的方法中,所述步骤E')进一步包括如下步骤:
E1')用户终端连接WiFi,然后发起访问网站的请求;
E2')网关将用户MAC信息上报到认证平台执行preauth预鉴权步骤;
E3')所述认证平台校验用户合法性;
E4')所述认证平台将预鉴权查询结果返回给所述网关,执行步骤E5')或步骤E6');
E5')当所述预鉴权查询结果为用户在认证有效期内时,则所述网关允许用户上网,放行用户访问网站的请求,执行步骤E7');
E6')当所述预鉴权查询结果为用户未认证或已超出认证有效期时,则所述网关将用户的上网请求重定向到所述认证平台,执行步骤E7');
E7')所述用户终端访问所述认证平台;
E8')所述认证平台根据所述用户终端上报关联网关MAC查询绑定的Portal页面;
E9')所述认证平台将查询到的Portal页面链接重定向到设备Portal访问请求上;
E10')用户访问所述认证平台重定向的设备Portal页面;
E11')所述认证平台返回用户访问的Portal页面元素,所述用户终端加载页面;
E12')用户在认证所述Portal页面上按照要求提交认证资料;
E13')所述认证平台根据用户提交的所述认证资料校验合法性;
E14')所述认证平台将合法性校验结果携带token返回给所述用户终端,并重定向到所述网关;
E15')所述用户终端访问所述网关;
E16')所述网关向所述认证平台确认该用户认证状态;
E17')所述认证平台根据所述网关提交的认证资料校验合法性;
E18')所述认证平台将校验结果响应给所述网关;
E19')所述网关将所述校验结果重定向到认证成功页面;
E20')所述网关向所述认证平台发起心跳;
E21')所述认证平台响应心跳结果并返回给所述网关;
E22')所述网关上报用户流量给所述认证平台;
E23')所述认证平台返回流量接收结果给所述网关。
实施本发明的跨协议实现无感知认证的方法,具有以下有益效果:由于用户终端作为认证请求的发起方,启动和终结流程;网关或AC作为流程的中间环节,在用户终端和认证平台间传递、重定向请求;认证平台作为认证请求的应答方,对用户请求进行过程查询、结果校验、状态保存;如果能将不同认证协议的相同用户的认证状态保存在同一数据库,当用户跨协议进行WiFi认证时,就可以将数据库中保存的同一份认证状态返回给不同厂商的设备,实现无感知认证的目的;本发明使用户在连接不同厂家的WiFi网络时可以跨协议漫游、实现跨协议认证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明跨协议实现无感知认证的方法一个实施例中的流程图;
图2为所述实施例中执行Portal&Radius认证流程的具体流程图;
图3为所述实施例中Portal&Radius认证流程的流程示意图;
图4为所述实施例中中央Radius认证服务器根据所述用户信息判断用户是否合法的具体流程图;
图5为所述实施例中执行WiFidog认证流程的具体流程图;
图6为所述实施例中WiFidog认证流程的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明跨协议实现无感知认证的方法实施例中,该跨协议实现无感知认证的方法的流程图如图1所示。图1中,该跨协议实现无感知认证的方法包括如下步骤:
步骤S01用户连接WiFi,发出上网请求:本步骤中,用户连接WiFi,发出上网请求。
步骤S02网关或AC拦截上网请求:本步骤中,网关或AC拦截上网请求。
步骤S03重定向到认证平台:本步骤中,重定向到认证平台。
步骤S04判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议:本发明基于可以与Portal&Radius认证系统、WiFidog认证系统两者同时对接的认证平台来实现跨协议无感知认证。
Portal&Radius认证系统是一个结合Portal协议和Radius协议的综合认证系统。
Portal基于浏览器,采用的是B/S构架,对不同权限的用户下发不同的VLAN访问不同的服务器资源,当通过认证后才能访问Internet资源,Portal认证方式不需要安装认证客户端,减少了客户端的维护工作量,便于运营,可以在Portal页面上开展业务拓展,如展示商家广告,联系方式等基本信息。Portal广泛应用于运营商、学校等网络。
Radius采用C/S构架用户数据存储在Radius服务器上,由服务器对客户端进行统一管理、认证、授权、计费。常使用远程访问拨号用户服务(Remote Authentication DialIn User Service,Radius)来实现AAA认证。3A认证,即AAA认证,分别为Authentication、Authorization、Accounting。认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。上述Portal和Radius认证协议均基于IEEE提出的802.1x标准,是一种基于端口的标准,用于对无线网络的接入认证。
WiFidog是用来做无线WiFi热点认证管理的一套开源工具。官方的名称是acaptive portal suite,翻译过来就是捕获式的门户套件,这个门户套件可以用以实现用户认证。
本步骤中,判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议,如是Portal Radius认证协议,则执行步骤S05;如是WiFidog认证协议,则执行步骤S05'。
步骤S05执行Portal&Radius认证流程:本步骤中,执行Portal&Radius认证流程。执行完本步骤,执行步骤S06。
步骤S05'执行WiFidog认证流程:本步骤中,执行WiFidog认证流程。执行完本步骤,执行步骤S06。
步骤S06查询数据库中保存的认证状态:本步骤中,查询数据库中保存的认证状态。
步骤S07将认证状态返回给网关或AC,判断认证状态是否在有效期内:本步骤中,将认证状态返回给网关或AC,判断认证状态是否在有效期内,如果判断的结果为是,则执行步骤S08;否则,执行步骤S09。
步骤S08放行用户上网:本步骤中,放行用户上网,实现无感知认证。
步骤S09要求认证:本步骤中,要求认证。
从上述两种认证协议可以看出,无论采取何种协议,交互的过程都有三方参与:用户终端、网关(或AC)、认证平台(Portal&Radius或WiFidog协议)。用户终端作为认证请求的发起方,启动和终结流程;网关或AC作为流程的中间环节,在用户终端和认证平台间传递、重定向请求;认证平台作为认证请求的应答方,对用户请求进行过程查询、结果校验、状态保存。通过将不同认证协议的相同用户的认证状态保存在同一数据库,当用户跨协议进行WiFi认证时,就可以将数据库中保存的同一份认证状态返回给不同厂商的设备,实现无感知认证的目的。本发明使用户在连接不同厂家的WiFi网络时可以跨协议漫游、实现跨协议认证。
为了说明认证平台可以同时对接上述两种认证协议,实现跨协议无感知认证。下面将分别对Portal&Radius协议、WiFidog协议的详细流程进行说明。
图2为本实施例中执行Portal&Radius认证流程的具体流程图;图3为本实施例中Portal&Radius认证流程的流程示意图。图2中,上述步骤S05进一步包括如下步骤:
步骤S501用户通过标准的DHCP协议,通过AC获取到规划的IP地址:本步骤中,用户通过标准的DHCP协议,通过AC获取到规划的IP地址。
步骤S502用户打开IE,访问某个网站,发起HTTP请求:本步骤中,用户打开IE,访问某个网站,发起HTTP请求。
步骤S503 AC截获HTTP请求,到Portal服务器中对Portal URL加入相关参数:本步骤中,AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器,并强制在Portal URL中加入相关参数。
步骤S504 Portal服务器向WLAN用户终端推送WEB认证页面:本步骤中,Portal服务器向WLAN用户终端推送WEB认证页面。
步骤S505用户在WEB认证页面上填入用户信息,提交到Portal服务器:本步骤中,用户在WEB认证页面上填入用户信息,提交到Portal服务器,该用户信息可以是用户账号、用户密码等。
步骤S506 Portal服务器接收到用户信息,向中央Radius认证服务器发出用户信息查询请求:本步骤中,Portal服务器接收到用户信息,向中央Radius认证服务器发出用户信息查询请求。
步骤S507中央Radius认证服务器验证用户密码、查询用户信息,并向Portal服务器返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息:本步骤中,中央Radius认证服务器验证用户密码、查询用户信息,并向Portal服务器返回查询结果及系统配置的单次连接最大时长(Session Timeout)、手机用户及卡用户的套餐剩余时长信息(Available Time)。
步骤S508判断查询结果是否为查询成功:本步骤中,判断查询结果是否为查询成功,如果判断的结果为是,则执行步骤S510;否则,执行步骤S509。
步骤S509 Portal服务器直接返回提示信息给用户,流程至此结束:本步骤中,Portal服务器直接返回提示信息给用户,流程至此结束。
步骤S510 Portal服务器按照CHAP流程向AC请求Challenge:本步骤中,Portal服务器按照CHAP流程向AC请求Challenge。执行完本步骤,执行步骤S511。
步骤S511 AC返回Challenge ID和Challenge:本步骤中,AC返回Challenge ID和Challenge。
步骤S512 Portal服务器将用户密码、Challenge ID和Challenge做MD5算法后的Challenge-Password以及帐号一起提交到AC,发起认证:本步骤中,Portal服务器将用户密码、Challenge ID和Challenge做MD5算法后的Challenge-Password以及帐号一起提交到AC,发起认证。
步骤S513 AC将Challenge ID、Challenge、Challenge-Password、Called-Station-ID和帐号送到中央Radius认证服务器,由中央Radius认证服务器进行认证:本步骤中,AC将Challenge ID、Challenge、Challenge-Password、Called-Station-ID和帐号送到中央Radius认证服务器,由中央Radius认证服务器进行认证。
步骤S514中央Radius认证服务器根据用户信息判断用户是否合法:本步骤中,中央Radius认证服务器根据用户信息判断用户是否合法(对于省内预付费卡用户,还需要判断用户接入地和归属地是否一致),如果判断的结果为是,则执行步骤S516;否则,执行步骤S515。
步骤S515中央Radius认证服务器向AC返回认证失败报文:本步骤中,中央Radius认证服务器向AC返回认证失败报文。
步骤S516中央Radius认证服务器向AC返回认证成功报文,并携带协议参数以及用户的相关业务属性给用户授权:本步骤中,中央Radius认证服务器向AC返回认证成功报文,并携带协议参数以及用户的相关业务属性给用户授权。执行完本步骤,执行步骤步骤S517。
步骤S517 AC返回认证结果给Portal服务器:本步骤中,AC返回认证结果给Portal服务器,同时也会返回相关业务属性。
步骤S518 Portal服务器根据认证结果,推送认证结果页面:本步骤中,服务器根据认证结果,推送认证结果页面。当认证结果为成功时,根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面和门户网站一起推送给用,同时启动正计时提醒;当认证结果为失败时,认证结果页面提示用户失败原因。
步骤S519 Portal服务器回应AC收到认证结果报文,判断是否认证成功:本步骤中,Portal服务器回应AC收到认证结果报文,判断是否认证成功,如果判断的结果为是,则执行步骤S521;否则,执行步骤S520。
步骤S520认证失败,则流程到此结束:本步骤中,认证失败,则流程到此结束。
步骤S521认证成功,AC发起计费开始请求给中央Radius认证服务器:本步骤中,认证成功,AC发起计费开始请求给中央Radius认证服务器。
步骤S522中央Radius认证服务器回应计费开始响应报文,并将响应信息返回给AC,用户上线完毕,开始上网:本步骤中,中央Radius认证服务器回应计费开始响应报文,并将响应信息返回给AC,用户上线完毕,开始上网。
步骤S523在用户上网过程中,每隔设定时间AC向中央Radius认证服务器上报实时计费信息:本步骤中,在用户上网过程中,每隔设定时间AC向中央Radius认证服务器上报实时计费信息。该实时计费信息包括当前用户上网总时长和用户总流量信息。
步骤S524中央Radius认证服务器回应实时计费确认报文给AC:本步骤中,中央Radius认证服务器回应实时计费确认报文给AC。
步骤S525当AC收到下线请求时,向中央Radius认证服务器发计费结束报文:本步骤中,当AC收到下线请求时,向中央Radius认证服务器发计费结束报文。
步骤S526中央Radius认证服务器回应AC的计费结束报文:本步骤中,中央Radius认证服务器回应AC的计费结束报文。通过步骤S501至步骤S526实现Portal&Radius认证流程。
对于本实施例而言,上述步骤S514还可进一步细化,其细化后的流程图如图4所示。图4中,上述步骤S514进一步包括如下步骤:
步骤S541中央Radius认证服务器对用户密码进行静态密码认证,判断是否认证成功:本步骤中,中央Radius认证服务器对用户密码进行静态密码认证,判断是否认证成功,如果判断的结果为是,则执行步骤S516;否则,执行步骤S542。
步骤S542中央Radius认证服务器对用户密码进行动态密码认证,判断是否认证成功:本步骤中,中央Radius认证服务器对用户密码进行动态密码认证,判断是否认证成功,如果判断的结果为是,则执行步骤S516;否则,执行步骤S543。
步骤S543中央Radius认证服务器向AC返回认证失败报文:本步骤中,中央Radius认证服务器向AC返回认证失败报文。
由此可见,中央Radius认证服务器对用户密码分别进行静态密码和动态密码两次密码认证。如果其中一次成功,中央Radius认证服务器向AC返回认证成功报文,并携带协议参数,以及用户的相关业务属性给用户授权。如果两次都失败,中央Radius认证服务器向AC返回认证失败报文。
图5为本实施例中执行WiFidog认证流程的具体流程图;图6为本实施例中WiFidog认证流程的流程示意图。图5中,上述步骤S05'进一步包括如下步骤:
步骤S501'用户终端连接WiFi,然后发起访问网站的请求:本步骤中,用户终端连接WiFi,然后发起访问网站的请求,如www.qq.com。
步骤S502'网关将用户MAC信息上报到认证平台执行preauth预鉴权步骤:本步骤中,网关将用户MAC信息上报到认证平台执行preauth预鉴权步骤,即检查用户的认证状态。
步骤S503'认证平台校验用户合法性:本步骤中,认证平台校验用户合法性,即在系统平台的数据库内查询该MAC的状态,确认是未认证还是已认证,已认证的剩余认证有效时长是多久。
步骤S504'认证平台将预鉴权查询结果返回给网关:本步骤中,认证平台将预鉴权查询结果返回给网关。执行完本步骤,执行步骤S505'或步骤S506'。
步骤S505'当预鉴权查询结果为用户在认证有效期内时,则网关允许用户上网,放行用户访问网站的请求:本步骤中,当预鉴权查询结果为用户在认证有效期内时,则网关允许用户上网,放行用户访问网站www.qq.com的请求。执行完本步骤,执行步骤S507'。
步骤S506'当预鉴权查询结果为用户未认证或已超出认证有效期时,则网关将用户的上网请求重定向到认证平台:当预鉴权查询结果为用户未认证或已超出认证有效期时,则网关将用户的上网请求重定向到认证平台。执行完本步骤,执行步骤S507'。
步骤S507'用户终端访问认证平台:本步骤中,用户终端访问认证平台,路径是WiFidog内置的/smartwifi/login。
步骤S508'认证平台根据用户终端上报关联网关MAC查询绑定的Portal页面:本步骤中,认证平台根据用户终端上报关联网关MAC查询绑定的Portal页面。
步骤S509'认证平台将查询到的Portal页面链接重定向到设备Portal访问请求上:本步骤中,认证平台将查询到的Portal页面链接重定向到设备Portal访问请求上。
步骤S510'用户访问认证平台重定向的设备Portal页面:本步骤中,用户访问认证平台重定向的设备Portal页面。
步骤S511'认证平台返回用户访问的Portal页面元素,用户终端加载页面:本步骤中,认证平台返回用户访问的Portal页面元素,用户终端加载页面。
步骤S512'用户在认证Portal页面上按照要求提交认证资料:本步骤中,用户在认证Portal页面上按照要求提交认证资料。
步骤S513'认证平台根据用户提交的认证资料校验合法性:本步骤中,认证平台根据用户提交的认证资料校验合法性。
步骤S514'认证平台将合法性校验结果携带token返回给用户终端,并重定向到网关:本步骤中,认证平台将合法性校验结果携带token返回给用户终端,并重定向到网关。
步骤S515'用户终端访问网关:本步骤中,用户终端访问网关,路径是/wifidog/auth?token=。
步骤S516'网关向认证平台确认该用户认证状态:本步骤中,网关向认证平台确认该用户认证状态。
步骤S517'认证平台根据网关提交的认证资料校验合法性:本步骤中,认证平台根据网关提交的认证资料校验合法性。
步骤S518'认证平台将校验结果响应给网关:本步骤中,认证平台将校验结果响应给网关。
步骤S519'网关将校验结果重定向到认证成功页面:本步骤中,网关将校验结果重定向到认证成功页面,路径是/smartwifi/portal。
步骤S520'网关向认证平台发起心跳:本步骤中,网关向认证平台发起心跳。
步骤S521'认证平台响应心跳结果并返回给网关:本步骤中,认证平台响应心跳结果并返回给网关。
步骤S522'网关上报用户流量给认证平台:本步骤中,网关上报用户流量给认证平台。
步骤S523'认证平台返回流量接收结果给网关:本步骤中,认证平台返回流量接收结果给网关。通过步骤S501'至步骤S523',实现WiFidog认证流程。
本发明通过系统平台实现用户认证状态信息存储,与第三方认证系统进行对接,当用户连接WiFi提交认证请求时,第三方认证系统将用户信息提交到认证状态信息存储库查询,并根据查询结果返回值确定是否放行认证请求,如放行则用户终端不弹出Portal认证页,实现跨厂商、跨协议无感知认证。
在实际应用中,在要求不高的情况下,还可以采用如下替代方案:要求第三方厂商废除自有认证平台、协议,或将第三方厂商前端设备中的固件移植成我司标准固件,亦可实现无感知认证的目的。但这两种修改在商务和技术上都存在极大难度,第三方厂商对自有设备一般不会放弃自身组件,或轻易开放其他的植入,相对来说非常麻烦。
总之,本发明对用户终端的认证流程无改变,用户无须执行额外的操作步骤。不用对采用不同认证协议的第三方厂商的流程、私有化协议进行修改,仅需第三方厂商按照标准接口对接认证平台,能够通过预鉴权步骤在数据库中查询用户认证状态。所有具备认证开发能力的厂商,都具备对接能力,不存在开发难度,容易落地实施。本发明能够和PortalRadius认证协议、WiFidog认证协议同时对接,兼容两者。本发明能跨互联网响应用户认证状态返回,并及时响应给网关或AC设备,无须特定的局域网或其他网络环境。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种跨协议实现无感知认证的方法,其特征在于,包括如下步骤:
A)用户连接WiFi,发出上网请求;
B)网关或AC拦截所述上网请求;
C)重定向到认证平台;
D)判断认证请求协议是Portal&Radius认证协议还是WiFidog认证协议,如是PortalRadius认证协议,则执行步骤E);如是WiFidog认证协议,则执行步骤E');
E)执行Portal&Radius认证流程,执行步骤F);
E')执行WiFidog认证流程,执行步骤F);
F)查询数据库中保存的认证状态;
G)将所述认证状态返回给所述网关或AC,判断所述认证状态是否在有效期内,如是,执行步骤H);否则,执行步骤I);
H)放行用户上网;
I)要求认证。
2.根据权利要求1所述的跨协议实现无感知认证的方法,其特征在于,所述步骤E)进一步包括:
E1)用户通过标准的DHCP协议,通过AC获取到规划的IP地址;
E2)用户打开IE,访问某个网站,发起HTTP请求;
E3)所述AC截获所述HTTP请求,到Portal服务器中对Portal URL加入相关参数;
E4)所述Portal服务器向WLAN用户终端推送WEB认证页面;
E5)用户在所述WEB认证页面上填入用户信息,提交到所述Portal服务器;
E6)所述Portal服务器接收到所述用户信息,向中央Radius认证服务器发出用户信息查询请求;
E7)所述中央Radius认证服务器验证用户密码、查询用户信息,并向所述Portal服务器返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息;
E8)判断所述查询结果是否为查询成功,如是,执行步骤E10);否则,执行步骤E9);
E9)所述Portal服务器直接返回提示信息给用户,流程至此结束;
E10)所述Portal服务器按照CHAP流程向所述AC请求Challenge,执行步骤E11);
E11)所述AC返回Challenge ID和Challenge;
E12)所述Portal服务器将用户密码、Challenge ID和Challenge做MD5算法后的Challenge-Password以及帐号一起提交到所述AC,发起认证;
E13)所述AC将所述Challenge ID、Challenge、Challenge-Password、Called-Station-ID和帐号送到所述中央Radius认证服务器,由所述中央Radius认证服务器进行认证;
E14)所述中央Radius认证服务器根据所述用户信息判断用户是否合法,如是,所述中央Radius认证服务器向所述AC返回认证成功报文,并携带协议参数以及用户的相关业务属性给用户授权,执行步骤E15);否则,所述中央Radius认证服务器向所述AC返回认证失败报文;
E15)所述AC返回认证结果给所述Portal服务器;
E16)所述Portal服务器根据所述认证结果,推送认证结果页面;
E17)所述Portal服务器回应所述AC收到认证结果报文,判断是否认证成功,如是,执行步骤E18);否则,认证失败,则流程到此结束;
E18)认证成功,所述AC发起计费开始请求给所述中央Radius认证服务器;
E19)所述中央Radius认证服务器回应计费开始响应报文,并将响应信息返回给所述AC,用户上线完毕,开始上网;
E20)在用户上网过程中,每隔设定时间所述AC向所述中央Radius认证服务器上报实时计费信息;
E21)所述中央Radius认证服务器回应实时计费确认报文给所述AC;
E22)当所述AC收到下线请求时,向所述中央Radius认证服务器发计费结束报文;
E23)所述中央Radius认证服务器回应所述AC的计费结束报文。
3.根据权利要求2所述的跨协议实现无感知认证的方法,其特征在于,所述步骤E14)进一步包括:
E141)所述中央Radius认证服务器对所述用户密码进行静态密码认证,判断是否认证成功,如是,执行步骤E15);否则,执行步骤E142);
E142)所述中央Radius认证服务器对所述用户密码进行动态密码认证,判断是否认证成功,如是,执行步骤E15);否则,执行步骤E143);
E143)所述中央Radius认证服务器向所述AC返回认证失败报文。
4.根据权利要求2所述的跨协议实现无感知认证的方法,其特征在于,在所述步骤E16)中,当所述认证结果为成功时,根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面和门户网站一起推送给用,同时启动正计时提醒;当所述认证结果为失败时,所述认证结果页面提示用户失败原因。
5.根据权利要求1所述的跨协议实现无感知认证的方法,其特征在于,所述实时计费信息包括当前用户上网总时长和用户总流量信息。
6.根据权利要求1至5任意一项所述的跨协议实现无感知认证的方法,其特征在于,所述步骤E')进一步包括如下步骤:
E1')用户终端连接WiFi,然后发起访问网站的请求;
E2')网关将用户MAC信息上报到认证平台执行preauth预鉴权步骤;
E3')所述认证平台校验用户合法性;
E4')所述认证平台将预鉴权查询结果返回给所述网关,执行步骤E5')或步骤E6');
E5')当所述预鉴权查询结果为用户在认证有效期内时,则所述网关允许用户上网,放行用户访问网站的请求,执行步骤E7');
E6')当所述预鉴权查询结果为用户未认证或已超出认证有效期时,则所述网关将用户的上网请求重定向到所述认证平台,执行步骤E7');
E7')所述用户终端访问所述认证平台;
E8')所述认证平台根据所述用户终端上报关联网关MAC查询绑定的Portal页面;
E9')所述认证平台将查询到的Portal页面链接重定向到设备Portal访问请求上;
E10')用户访问所述认证平台重定向的设备Portal页面;
E11')所述认证平台返回用户访问的Portal页面元素,所述用户终端加载页面;
E12')用户在认证所述Portal页面上按照要求提交认证资料;
E13')所述认证平台根据用户提交的所述认证资料校验合法性;
E14')所述认证平台将合法性校验结果携带token返回给所述用户终端,并重定向到所述网关;
E15')所述用户终端访问所述网关;
E16')所述网关向所述认证平台确认该用户认证状态;
E17')所述认证平台根据所述网关提交的认证资料校验合法性;
E18')所述认证平台将校验结果响应给所述网关;
E19')所述网关将所述校验结果重定向到认证成功页面;
E20')所述网关向所述认证平台发起心跳;
E21')所述认证平台响应心跳结果并返回给所述网关;
E22')所述网关上报用户流量给所述认证平台;
E23')所述认证平台返回流量接收结果给所述网关。
CN201910882284.4A 2019-09-18 2019-09-18 跨协议实现无感知认证的方法 Active CN110784447B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910882284.4A CN110784447B (zh) 2019-09-18 2019-09-18 跨协议实现无感知认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910882284.4A CN110784447B (zh) 2019-09-18 2019-09-18 跨协议实现无感知认证的方法

Publications (2)

Publication Number Publication Date
CN110784447A true CN110784447A (zh) 2020-02-11
CN110784447B CN110784447B (zh) 2022-11-22

Family

ID=69383579

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910882284.4A Active CN110784447B (zh) 2019-09-18 2019-09-18 跨协议实现无感知认证的方法

Country Status (1)

Country Link
CN (1) CN110784447B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113727344A (zh) * 2020-05-25 2021-11-30 北京锐云通信息技术有限公司 不同场景安全上网中多因素认证的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103081521A (zh) * 2010-08-31 2013-05-01 英特尔公司 在采用不同的认证协议的网络之间的漫游
US20150103678A1 (en) * 2013-10-10 2015-04-16 Fon Wireless Limited Identification of user home system in a distributed environment
CN105516960A (zh) * 2015-12-09 2016-04-20 上海斐讯数据通信技术有限公司 无感知认证方法系统,基于该方法系统的管理方法、系统
CN105554758A (zh) * 2016-02-23 2016-05-04 苏州云融信息技术有限公司 一种基于云平台的多个WiFi网络统一认证系统和方法
CN106658498A (zh) * 2016-12-05 2017-05-10 上海斐讯数据通信技术有限公司 一种Portal认证的快速漫游方法及WiFi设备
CN107733707A (zh) * 2017-10-12 2018-02-23 江苏鸿信系统集成有限公司 标准wifi协议多平台接入方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103081521A (zh) * 2010-08-31 2013-05-01 英特尔公司 在采用不同的认证协议的网络之间的漫游
US20150103678A1 (en) * 2013-10-10 2015-04-16 Fon Wireless Limited Identification of user home system in a distributed environment
CN105516960A (zh) * 2015-12-09 2016-04-20 上海斐讯数据通信技术有限公司 无感知认证方法系统,基于该方法系统的管理方法、系统
CN105554758A (zh) * 2016-02-23 2016-05-04 苏州云融信息技术有限公司 一种基于云平台的多个WiFi网络统一认证系统和方法
CN106658498A (zh) * 2016-12-05 2017-05-10 上海斐讯数据通信技术有限公司 一种Portal认证的快速漫游方法及WiFi设备
CN107733707A (zh) * 2017-10-12 2018-02-23 江苏鸿信系统集成有限公司 标准wifi协议多平台接入方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113727344A (zh) * 2020-05-25 2021-11-30 北京锐云通信息技术有限公司 不同场景安全上网中多因素认证的方法

Also Published As

Publication number Publication date
CN110784447B (zh) 2022-11-22

Similar Documents

Publication Publication Date Title
CN110300117A (zh) Iot设备与用户绑定的认证方法、设备及介质
CN104767715B (zh) 网络接入控制方法和设备
CN104519020B (zh) 管理无线网络登录密码分享功能的方法、服务器及系统
CN103929748B (zh) 一种物联网无线终端及其配置方法和无线网络接入点
CN105162777B (zh) 一种无线网络登录方法及装置
CN104144163B (zh) 身份验证方法、装置及系统
CN103079201B (zh) 无线局域网的快速认证方法、ac及系统
CN104618315B (zh) 一种验证信息推送和信息验证的方法、装置及系统
CN104683980A (zh) 家用无线路由器防盗用安全管理系统及方法
CN103874065B (zh) 一种判断用户位置异常的方法及装置
CN102217280B (zh) 用户业务鉴权方法、系统及服务器
CN104735027B (zh) 一种安全认证方法及鉴权认证服务器
KR101260648B1 (ko) 무선인터넷 서비스의 온라인 개통 방법 및 그 시스템
CN106789924A (zh) 一种使用移动终端的数字证书保护web站点登录的方法及系统
US9680814B2 (en) Method, device, and system for registering terminal application
CN101840468A (zh) 一种用户验证方法及装置
CN108966218A (zh) 一种基于管理终端控制的无线网络接入方法及系统
CN102833074A (zh) 一种鉴权方法和相关设备
CN104837134B (zh) 一种Web认证用户登录方法、设备和系统
CN105357224B (zh) 一种智能家居网关注册、移除方法及系统
CN107135506B (zh) 一种portal认证方法、装置及系统
WO2018036220A1 (zh) 一种接入无线设备的权限认证方法及系统
CN109992940A (zh) 身份验证方法、装置、系统及身份校验服务器
CN110784447B (zh) 跨协议实现无感知认证的方法
CN103138935A (zh) 一种基于电信运营商的身份认证系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant