WO2018076712A1

WO2018076712A1 - 一种终端认证的方法及设备

Info

Publication number: WO2018076712A1
Application number: PCT/CN2017/088231
Authority: WO
Inventors: 袁先虎
Original assignee: 华为技术有限公司
Priority date: 2016-10-25
Filing date: 2017-06-14
Publication date: 2018-05-03
Also published as: US20190253418A1; CN107979577A; CN107979577B; EP3525411A1; EP3525411B1; EP3525411A4; US10701073B2

Abstract

本发明实施例提供一种终端认证的方法及设备，涉及通信技术领域，可以解决终端认证过程中，Portal服务器负载过高的问题。具体方案为：终端采用第一应用向接入设备发送HTTP流量请求；接收接入设备发送的包含JavaScript标签的HTTP流量响应；采用第一应用从该JavaScript标签中获取门户服务器的地址；根据该门户服务器的地址，进行该终端的授权认证。本发明实施例应用于终端进行授权认证的过程中。

Description

一种终端认证的方法及设备

技术领域

本发明涉及通信技术领域，尤其涉及一种终端认证的方法及设备。

背景技术

随着网络技术的发展，网络安全问题变得尤为突出。门户(英文：Portal)认证是一种可以有效保障网络安全的方法。其中，Portal认证是指终端需要获得Portal服务器的授权认证才可以访问网络数据。

具体的，Portal认证过程可以包括：接入设备在接收到未授权终端第一次发起的超文本传送协议(英文：Hypertext transfer protocol，简称：HTTP)流量请求时，向该终端返回携带有Portal服务器的统一资源定位符(英文：Uniform Resource Locator，简称：URL)地址的HTTP响应；终端根据该URL地址向Portal服务器发起HTTP认证页面请求，Portal服务器可以在与终端完成传输控制协议(英文：Transmission Control Protocol，简称：TCP)握手和安全套接层(英文：Secure Sockets Layer，简称：SSL)握手后，向终端返回包含待加载的HTTP认证页面的响应；终端根据该响应加载并显示HTTP认证页面，接收用户在HTTP认证页面输入的认证信息，并向Portal服务器发送该认证信息，进行授权认证。

上述HTTP流量请求可以为用户触发终端浏览器发起的有效流量请求，也可以为终端中除浏览器之外的其他应用程序自动发起的无效流量请求。其中，接入设备不能够识别上述有效流量请求和无效流量请求。那么，即使终端向接入设备发起的是无效流量请求，该终端还是可以获取到Portal服务器的URL地址，并执行“向Portal服务器发起HTTP认证页面请求，并完成上述TCP握手和SSL握手”操作。

但是，存在的问题是：针对上述无效流量请求而言，由于终端不能够通过应用程序加载并显示HTTP认证页面，因此无法完成上述授权认证；也就是说，终端在获取到Portal服务器的URL地址后执行的上述授权认证操作是没有结果的无效操作，这些没有结果的无效操作无疑会占用网络资源，增大Portal服务器的负载。

发明内容

本申请提供一种终端认证的方法及设备，可以减少终端认证过程中，无效流量请求对应的无效操作对网络资源的占用，降低Portal服务器的负载。

第一方面，提供了一种终端认证的方法。该终端认证的方法包括：终端向接入设备发送HTTP流量请求，该HTTP流量请求为通过该终端中的第一应用发起的流量请求；该终端接收该接入设备发送的HTTP流量响应，该HTTP流量响应为该接入设备确定该终端为未授权终端后发送的，该HTTP流量响应中包含JavaScript标签；若该终端采用上述第一应用，根据上述JavaScript标签获得门户服务器的地址，该终端根据该门户服务器的地址，进行该终端的授权认证。

由于终端中有的应用程序(如浏览器)是可以解析JavaScript标签的，而有的应用程序是不能解析JavaScript标签的；因此，只有当该终端的第一应用能够解析上述JavaScript标签时，该终端才可能根据上述JavaScript标签获得门户服务器的地址，而当该终端的第一应用不能解析上述JavaScript标签时，该终端便不能根据上述JavaScript标签获得门户服务器的地址。由此可见，通过本方案，即使终端采用第一应用自发的向接入设备发起HTTP流量请求，并接收到包含JavaScript标签的HTTP流量响应；但是，如果终端采用该第一应用不能根据该JavaScript标签获得用于进行该终端授权认证的门户服务器的地址，该终端也不能执行“向门户服务器发起HTTP认证页面请求，并完成上述TCP握手和SSL握手”等没有结果的无效操作，如此便可以避免上述没有结果的无效操作对网络资源的占用，可以降低门户服务器的负载。

在第一方面的一种可能的实现方式中，上述JavaScript标签中可以包含管理服务器的地址。相应的，上述“终端采用第一应用，根据该JavaScript标签获得门户服务器的地址”的方法可以包括：该终端采用该第一应用，从该JavaScript标签中获得该管理服务器的地址，根据该管理服务器的地址，采用该第一应用执行异步直译式脚本语言及可扩展标记语言(英文：Asynchronous JavaScript And XML，简称：Ajax)脚本，从该管理服务器获取该管理服务器所管理的门户服务器中负载最低的门户服务器的地址。

终端采用第一应用获取上述JavaScript标签中包含的管理服务器的地址后，从该管理服务器的地址获得门户服务器的地址的方法可以包括：终端可以采用上述第一应用执行Ajax脚本，向上述管理服务器发送认证地址请求，该认证地址请求用于指示管理服务器获取其所管理的门户服务器中负载最低的门户服务器的地址；终端接收该管理服务器发送的认证地址响应，该认证地址响应中包含负载最低的门户服务器的地址。

由于管理服务器可以管理至少两个门户服务器，即有至少两个门户服务器可以为该终端提供认证服务，而上述至少两个门户服务器中的每一个门户服务器的负载可能并不相同，如有的门户服务器的负载较高，有的门户服务器的负载则比较低；因此，执行上述“根据该负载最低的门户服务器的地址，进行该终端的授权认证”，可以实现上述管理服务器所管理的门户服务器负载均衡。

在第一方面的一种可能的实现方式中，终端根据一个门户服务器的地址，进行该终端的授权认证，包括：该终端采用上述第一应用执行JavaScript脚本，根据该门户服务器的地址，重定向到该门户服务器的终端认证页面，进行该终端的授权认证。

终端获得上述一个门户服务器的地址后，“终端采用第一应用执行JavaScript脚本，根据该门户服务器的地址，重定向到该门户服务器的终端认证页面”的具体过程可以包括：终端采用第一应用向该门户服务器发起HTTP认证页面请求；执行JavaScript脚本，与该门户服务器完成TCP握手和SSL握手，并在接收到HTTP认证页面响应后，解析该HTTP认证页面响应中包含的HTTP认证页面的URL，根据该HTTP认证页面的URL，加载并显示该HTTP认证页面，并接收用户在HTTP认证页面输入的认证信息，再向门户服务器发送该认证信息，进行该终端的授权认证。需要说明的是，上述“通过执行JavaScript脚本，根据该门户服务器的地址，重定向到该门户服务器的终端认证页面”的过程是在终端采用第一应用在终端的后台进行的，在上述第一应用的显示页面上进行一次页面跳转，就可以为用户显示上述HTTP认证页面，并接收用户输入的认证信息，完成授权认证。

可以想到的是，“通过执行JavaScript脚本，根据该门户服务器的地址，重定向到该门户服务器的终端认证页面”执行的过程中，不需要重新加载整个网页，而是对整个页面中为用户提供认证信息输入的部分页面进行更新。也就是说，执行JavaScript脚本，可以只加载部分页面，而非整个页面，如此可以减少向门户服务器请求的信息量，从而可以进一步降低门户服务器的负载。

在第一方面的一种可能的实现方式中，终端中的第一应用即使可以解析JavaScript标签获得管理服务器的地址，如浏览器可以解析JavaScript标签获得管理服务器的地址；但是，该浏览器也不一定支持Ajax，即可能会存在部分浏览器支持Ajax，部分浏览器不支持Ajax的情况。基于这种情况，本申请保护的终端认证的方法中，上述JavaScript标签中不仅可以包含管理服务器的地址，还可以包含默认门户服务器的地址。相应的，上述终端认证的方法还可以包括：若第一应用不支持Ajax，则采用该第一应用根据该默认门户服务器的地址，进行该终端的授权认证。

示例性的，以上述第一应用为浏览器为例，由于浏览器的版本和权限等因素，并非所有浏览器都支持Ajax。当第一应用(如浏览器)不支持Ajax时，即使该终端采用上述第一应用得到管理服务器的地址，也不能执行Ajax脚本，从上述管理服务器获得门户服务器的地址，也就不能进行“执行JavaScript脚本，根据该门户服务器的地址，重定向到该门户服务器的终端认证页面，进行该终端的授权认证”。在这种情况下，终端采用该第一应用虽然不能执行Ajax脚本，却可以执行JavaScript脚本，从而可以根据上述默认门户服务器的地址，执行JavaScript脚本，重定向到该默认门户服务器的终端认证页面，进行该终端的授权认证。因此，即使上述第一应用不支持Ajax，终端采用该第一应用发起HTTP流量请求后，也可以完成该终端的授权认证。

在第一方面的一种可能的实现方式中，上述HTTP流量响应中包含JavaScript标签，具体可以为：上述HTTP流量响应中包含超文本标记语言(英文：Hyper Text Markup Language，简称：HTML)信息，上述HTML信息中内嵌有JavaScript标签。其中，上述HTML信息可以携带需要加载的页面的相关信息。

在第一方面的一种可能的实现方式中，JavaScript标签中包含门户服务器列表，该门户服务器列表中包含至少一个门户服务器的地址。终端采用第一应用，根据该JavaScript标签获得门户服务器的地址的方法可以包括：终端采用上述第一应用，从该JavaScript标签中获得该门户服务器列表中包含的任意一个门户服务器的地址。

在第一方面的一种可能的实现方式中，上述至少一个门户服务器中每个门户服务器的负载可以是不同的，例如，上述至少一个门户服务器中有的门户服务器的负载较高，而有的门户服务器的负载则较低。可以想到的是，终端获得上述JavaScript标签中包含门户服务器列表之后，可以查询上述至少一个门户服务器中每个门户服务器的负载，并确定出上述至少一个门户服务器中负载最低的门户服务器。如此，终端便可以采用该第一应用，根据上述门户服务器列表中包含的负载最低的门户服务器的地址，进行该终端的授权认证，可以实现上述至少一个门户服务器的负载均衡。

第二方面，提供了一种终端认证的方法，包括：接入设备接收终端发送的HTTP 流量请求，该HTTP流量请求为该终端通过该终端中的第一应用发起的流量请求；若确定该终端为未授权终端，该接入设备向该终端发送HTTP流量响应，该HTTP流量响应中包含JavaScript标签，该JavaScript标签用于该终端获得门户服务器的地址，并根据该门户服务器的地址进行该终端的授权认证。

若第一应用不能解析JavaScript标签，即使接入设备在接收到终端发送的HTTP流量请求后，向终端发送包含JavaScript标签HTTP流量响应，该终端也不能采用第一应用根据该JavaScript标签获得门户服务器的地址，更不能进行终端的授权认证。也就是说，终端不会执行“向Portal服务器发起HTTP认证页面请求，并完成TCP握手和SSL握手”等没有结果的无效操作，如此便可以避免上述没有结果的无效操作对网络资源的占用，可以降低Portal服务器的负载。

在第二方面的一种可能的实现方式中，上述JavaScript标签中包含管理服务器的地址；或者，上述JavaScript标签中包含管理服务器的地址和默认门户服务器的地址；或者，上述JavaScript标签中包含门户服务器列表，该门户服务器列表中包含至少一个门户服务器的地址。

在第二方面的一种可能的实现方式中，上述HTTP流量响应中包含JavaScript标签，具体为：上述HTTP流量响应中包含HTML信息，该HTML信息中内嵌有上述JavaScript标签。在接入设备向终端发送的上述HTTP流量响应中包含上述HTML信息时，上述HTML信息中包含上述JavaScript标签，可以作为上述HTTP流量响应中包含上述JavaScript标签的一种方式。

在第二方面的一种可能的实现方式中，在接入设备向终端发送HTTP流量响应之前，该终端认证的方法还可以包括：接入设备接收管理服务器发送的JavaScript标签。其中，接入设备可以接收管理服务器发送的HTML信息，该HTML信息中包含JavaScript标签。示例性的，接入设备可以在接收到终端发送的HTTP流量请求后，向管理服务器发送HTML信息请求，接收管理服务器下发的包含JavaScript标签的HTML信息；或者，接入设备可以在开机启时便向管理服务器发送HTML信息请求，然后接收管理服务器下发的包含JavaScript标签的HTML信息。当然，接入设备还可以接收管理服务器主动下发的包含JavaScript标签的HTML信息。可以想到的是，接入设备在向终端发送HTTP流量响应之前接收到管理服务器下发的包含JavaScript标签的HTML信息，便可以向终端发送包含HTML信息的HTTP流量响应，即向终端发送包含JavaScript标签的HTTP流量响应。

第三方面，提供了一种终端认证的方法，包括：管理服务器向接入设备发送JavaScript标签。其中，该JavaScript标签用于终端获得门户服务器的地址，并根据该门户服务器的地址进行该终端的授权认证。

管理服务器可以向接入设备发送上述JavaScript标签，再由接入设备在接收到终端发送的HTTP流量请求后，向终端发送包含上述JavaScript标签的HTTP流量响应。此时，若第一应用不能解析JavaScript标签，即使终端接收到包含JavaScript标签HTTP流量响应，该终端也不能采用第一应用根据该JavaScript标签获得门户服务器的地址，更不能进行终端的授权认证。也就是说，终端不会执行“向Portal服务器发起HTTP认证页面请求，并完成TCP握手和SSL握手”等没有结果的无效操作，如此便可以避免上述没有结果的无效操作对网络资源的占用，可以降低Portal服务器的负载。

在第三方面的一种可能的实现方式中，上述JavaScript标签中包含管理服务器的地址。在管理服务器向接入设备发送JavaScript标签之后，该终端认证的方法还可以包括：管理服务器接收终端发送的认证地址请求，获取该管理服务器所管理的门户服务器中负载最低的门户服务器的地址；该管理服务器向该终端发送认证地址响应，该认证地址响应中包含该负载最低的门户服务器的地址。由于管理服务器获取并发送给终端的是负载最低的门户服务器的地址，因此终端便可以与该负载最低的门户服务器交互进行终端的授权认证，可以实现上述至少两个门户服务器的负载均衡。

在第三方面的一种可能的实现方式中，终端中的第一应用即使可以解析JavaScript标签获得管理服务器的地址，如浏览器可以解析JavaScript标签获得管理服务器的地址；但是，该浏览器也不一定支持Ajax，即可能会存在部分浏览器支持Ajax，部分浏览器不支持Ajax的情况。基于这种情况，本申请保护的终端认证的方法中，上述JavaScript标签中不仅可以包含管理服务器的地址，还可以包含默认门户服务器的地址。

在第三方面的一种可能的实现方式中，上述JavaScript标签中包含门户服务器列表，该门户服务器列表中包含至少一个门户服务器的地址。

第四方面，提供了一种终端，该终端包括：发送模块、接收模块、获取模块和认证模块。其中，发送模块用于向接入设备发送HTTP流量请求，该HTTP流量请求为通过终端中的第一应用发起的流量请求；接收模块用于接收上述接入设备发送的HTTP流量响应，该HTTP流量响应为该接入设备确定终端为未授权终端后发送的，该HTTP流量响应中包含JavaScript标签；获取模块，用于采用上述第一应用，根据所述JavaScript标签获得门户服务器的地址；认证模块用于若上述获取模块采用上述第一应用根据该JavaScript标签获得该门户服务器的地址，则根据上述获取模块获取的该门户服务器的地址，进行该终端的授权认证。

在第四方面的一种可能的实现方式中，上述认证模块具体用于采用上述第一应用执行JavaScript脚本，以根据该门户服务器的地址，重定向到该门户服务器的终端认证页面，进行该终端的授权认证。

在第四方面的一种可能的实现方式中，上述JavaScript标签中包含管理服务器的地址；上述获取模块具体用于：采用上述第一应用，从该JavaScript标签中获得管理服务器的地址，根据该管理服务器的地址，采用该第一应用执行Ajax脚本，从该管理服务器获取该管理服务器所管理的门户服务器中负载最低的门户服务器的地址。

在第四方面的一种可能的实现方式中，上述认证模块还用于若上述第一应用不支持Ajax，则采用该第一应用根据默认门户服务器的地址，进行终端的授权认证。

在第四方面的一种可能的实现方式中，上述JavaScript标签中包含门户服务器列表，该门户服务器列表中包含至少一个门户服务器的地址；上述获取模块具体用于：采用上述第一应用，从该JavaScript标签中获得上述门户服务器列表中包含的任意一个门户服务器的地址。

在第四方面的一种可能的实现方式中，上述接收模块接收的上述HTTP流量响应中包含JavaScript标签，具体为上述接收模块接收的上述HTTP流量响应中包含HTML信息，该HTML信息中内嵌有该JavaScript标签。

第五方面，提供一种终端，包括：处理器、存储器、总线和通信接口，处理器、存储器和通信接口通过总线相连。上述存储器用于存储计算机程序代码，该计算机程序代码包括指令，当终端的处理器执行指令时，终端执行如第一方面及其各种可能的实现方式的终端认证的方法。

第六方面，提供一种计算机存储介质，计算机存储介质中存储有计算机程序代码，计算机程序代码包括指令，当终端的处理器执行指令时，终端执行如第一方面及其各种可能的实现方式的终端认证的方法。

需要说明的是，上述第四方面和第五方面中终端中各个模块的详细描述和相应技术效果分析可参见上述第一方面及其各种可能的实现方式中的详细描述，本申请这里不再赘述。

第七方面,本申请提供了一种接入设备，该接入设备包括：接收模块、判断模块和发送模块；其中，接收模块用于接收终端发送的HTTP流量请求，该HTTP流量请求为该终端通过该终端中的第一应用发起的流量请求；确定模块用于确定该终端是否为未授权终端；发送模块用于向该终端发送HTTP流量请求，该HTTP流量响应中包含JavaScript标签，该JavaScript标签用于该终端获得门户服务器的地址，并根据该门户服务器的地址进行该终端的授权认证。

在第七方面的一种可能的实现方式中，上述发送模块发送的HTTP流量响应中包含JavaScript标签，具体为：上述发送模块发送的该HTTP流量响应中包含HTML信息，该HTML信息中内嵌有该JavaScript标签。

在第七方面的一种可能的实现方式中，上述接收模块，还用于在该发送模块向该终端发送该HTTP响应之前，接收该管理服务器下发的JavaScript标签。

第八方面，提供一种接入设备，包括：处理器、存储器、总线和通信接口，处理器、存储器和通信接口通过总线相连。上述存储器用于存储计算机程序代码，该计算机程序代码包括指令，当接入设备的处理器执行指令时，接入设备执行如第二方面及其各种可能的实现方式的终端认证的方法。

第九方面，提供一种计算机存储介质，计算机存储介质中存储有计算机程序代码，计算机程序代码包括指令，当接入设备的处理器执行指令时，接入设备执行如第二方面及其各种可能的实现方式的终端认证的方法。

需要说明的是，上述第八方面和第九方面中接入设备中各个模块的详细描述和相应技术效果分析可参见上述第二方面及其各种可能的实现方式中的详细描述，本申请这里不再赘述。

第十方面，本申请提供了一种管理服务器，该管理服务器包括：发送模块。具体用于向接入设备发送JavaScript标签；其中，该JavaScript标签用于终端获得门户服务器的地址，并根据该门户服务器的地址进行该终端的授权认证。

在第十方面的一种可能的实现方式中，上述JavaScript标签中包含管理服务器的地址，或者，上述JavaScript标签中包含管理服务器的地址和默认门户服务器的地址；上述管理服务器，还包括：接收模块和获取模块。接收模块用于在上述发送模块向接入设备发送JavaScript标签之后，接收终端发送的认证地址请求；获取模块用于上述接收模块接收到终端发送的认证地址请求后，获取该管理服务器所管理的门户服务器中负载最低的门户服务器的地址；上述发送模块，还用于向该终端发送认证地址响应，该认证地址响应中包含该负载最低的门户服务器的地址。

在第十方面的一种可能的实现方式中，上述发送模块向接入设备发送的JavaScript标签中包含门户服务器列表，该门户服务器列表中包含至少一个门户服务器的地址。

第十一方面，提供一种管理服务器，包括：处理器、存储器、总线和通信接口，处理器、存储器和通信接口通过总线相连。上述存储器用于存储计算机程序代码，该计算机程序代码包括指令，当管理服务器的处理器执行指令时，管理服务器执行如第三方面及其各种可能的实现方式的终端认证的方法。

第十二方面，提供一种计算机存储介质，该计算机存储介质中存储有计算机程序代码，计算机程序代码包括指令，当管理服务器的处理器执行指令时，管理服务器执行如第三方面及其各种可能的实现方式的终端认证的方法。

需要说明的是，上述第十方面和第十一方面中管理服务器中各个模块的详细描述和相应技术效果分析可参见上述第三方面及其各种可能的实现方式中的详细描述，本申请这里不再赘述。

附图说明

为了更清楚地说明本申请中的技术方案，下面将对实施例所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。

图1为本发明实施例提供的一种授权认证网络架构示意图；

图2为本发明实施例提供的另一种授权认证网络架构示意图；

图3为本发明实施例提供的一种终端认证的方法流程图；

图4为本发明实施例提供的另一种终端认证的方法流程图；

图5为本发明实施例提供的另一种终端认证的方法流程图；

图6为本发明实施例提供的另一种终端认证的方法流程图；

图7为本发明实施例提供的另一种终端认证的方法流程图；

图8为本发明实施例提供的终端的一种结构示意图；

图9为本发明实施例提供的终端的另一种结构示意图；

图10为本发明实施例提供的接入设备的一种结构示意图；

图11为本发明实施例提供的接入设备的另一种结构示意图；

图12为本发明实施例提供的管理服务器的另一种结构示意图；

图13为本发明实施例提供的管理服务器的另一种结构示意图。

具体实施方式

在本发明的描述中，除非另有说明，“至少两个”或“多个”的含义是指两个或两个以上。例如，至少两个终端是指两个或两个以上终端，多个门户服务器是指两个或两个以上门户服务器。

此外，本发明的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行详细地描述，显然，所描述的具体实施例仅仅是本发明实施例的一部分实施例，而不是全部实施例。

本发明实施例提供的一种终端认证的方法及设备可以应用于未授权终端进行授权认证，获取网络权限的过程中。

请参考图1，其示出了本发明实施例提供的一种授权认证网络架构示意图。如图1所示，该授权认证网络中包含至少两个门户服务器11、至少一个接入设备12、至少一个终端13和管理服务器14，该管理服务器14用于管理上述至少两个门户服务器11。

本发明实施例这里，以门户服务器11与一个接入设备12，以及一个终端13和一个管理服务器14之间交互实现终端的授权认证为例，对终端进行授权认证的方法进行举例说明：

其中，终端13，用于向接入设备12发起HTTP流量请求。接入设备12，用于在接收到终端13发起的HTTP流量请求后，如果确定该终端13为未授权终端，则向该终端13发送包含管理服务器14的地址的HTTP流量响应。终端13，用于根据管理服务器14的地址，从管理服务器14获取管理服务器14所管理的门户服务器11中一个门户服务器11的地址；并根据该门户服务器11的地址，进行该终端11的授权认证。

请参考图2，如图2所示，其示出了本发明实施例提供的另一种授权认证网络架构示意图。该授权认证网络中包含门户服务器11、至少一个接入设备12和至少一个终端13。

本发明实施例这里，以门户服务器11与一个接入设备12，以及一个终端13之间交互实现终端的授权认证为例，对终端进行授权认证的方法进行举例说明：

其中，终端13，用于向接入设备12发起HTTP流量请求。接入设备12，用于在接收到终端13发起的HTTP流量请求后，如果确定该终端13为未授权终端，则向该终端13发送包含门户服务器11的地址的HTTP流量响应；根据该门户服务器11的地址，进行该终端11的授权认证。

示例性的，上述接入设备12可以为交换机或防火墙等能够为终端提供网络接入服务的设备，本发明实施例图1和图3中仅以交换机为例对接入设备12与授权认证网络中的其他设备之间的交互流程进行说明。本发明实施例中的终端13可以为个人计算机(英文：Personal Computer，简称：PC)、手机、平板电脑、便携式计算机等终端设备。

本发明实施例中，如图1或图2所示的授权认证网络中的接入设备12向终端13发送的HTTP流量响应中包含JavaScript标签，未授权终端可以采用第一应用根据该JavaScript标签，获得门户服务器的地址，并根据该门户服务器的地址，进行终端的授权认证。

本发明实施例提供的终端认证的方法中，可以基于“终端采用有的应用程序(如浏览器)是能够解析JavaScript标签的，而采用有的应用程序不能解析JavaScript标签”的原理，当第一应用不能解析JavaScript标签时，可以避免终端采用上述第一应用发起HTTP流量请求并接收到HTTP流量响应后，继续执行“向Portal服务器发起HTTP认证页面请求，并完成上述TCP握手和SSL握手”等没有结果的无效操作，如此便可以避免上述没有结果的无效操作对网络资源的占用，可以降低Portal服务器的负载。

下面结合附图，通过具体的实施例及其应用场景对本发明实施例提供的一种终端认证的方法及设备进行详细地说明：

本发明实施例提供一种终端认证的方法，如图3所示，该终端认证的方法包括S301-S307：

S301、终端向接入设备发送HTTP流量请求，该HTTP流量请求为通过终端中的第一应用发起的流量请求。

本发明实施例中的第一应用可以为能够解析JavaScript标签的应用程序，或者第一应用可以为不能解析JavaScript标签的应用程序。

例如，假设只有浏览器具备解析JavaScript标签的功能。当上述第一应用为浏览器时，终端采用该第一应用便可以解析JavaScript标签；当上述第一应用为终端上除浏览器之外的其他应用程序时，终端采用该第一应用不能解析JavaScript标签。上述浏览器可以为安装在终端中的微软浏览器(英文：Internet Explorer，简称：IE)或者非IE浏览器。

S302、接入设备接收终端发送的HTTP流量请求。

S303、接入设备判断该终端是否为未授权终端。

可以想到的是，本发明实施例中的HTTP流量请求可以为终端向业务服务器发起的业务请求。其中，上述业务服务器可以为基站，对应的业务请求可以为终端通过基站向另一终端发起的语音或者视频通信请求；或者，该业务服务器还可以为能够为终端提供其他网页资源的服务器，对应的业务请求可以为终端向该服务器发起的网页资源请求消息。

其中，向接入设备发起HTTP流量请求的终端可以为授权终端，也可以为未授权终端。接入设备在接收到一授权终端发起的HTTP流量请求后，则可以直接向对应的业务服务器转发该HTTP流量请求，使得上述业务服务器可以根据该HTTP流量请求为该终端提供相应的业务数据；接入设备在接收到一未授权终端发起的HTTP流量请求后，则需要向该未授权终端提供门户服务器的地址，使得该未授权终端与门户服务器交互进行终端的授权认证。

示例性的，接入设备可判断该终端是否为未授权终端的方法可以包括：接入设备在接收到一个终端发起的HTTP流量请求后，查询该接入设备中保存的授权终端的标识中是否包含该终端的标识；若该接入设备中保存的授权终端的标识中包含该终端的标识，接入设备则确定该终端为授权终端；若该接入设备中保存的授权终端的标识中不包含该终端的标识，接入设备则确定该终端为未授权终端。其中，上述终端的标识可以为终端的网际协议(英文：Internet Protocol，简称：IP)地址，接入设备可以从接收到的HTTP流量请求中解析得到发送该HTTP流量请求的终端的IP地址。

接入设备判断该终端是否为未授权终端的方法包括但不限于上述的方法。例如，接入设备还可以在接收到一个终端发起的HTTP流量请求后，向认证服务器(如本发明实施例中的门户服务器)发起权限查询请求，该权限查询请求中包含该终端的标识，该权限查询请求用于指示该认证服务器查询该终端是否为授权终端；接入设备接收该认证服务器发送的权限查询响应，权限查询响应中包含该终端为授权终端或者未授权终端的指示信息。

具体的，若该终端为未授权终端，则继续执行S304；若该终端为授权终端，则接入设备向网络侧转发该HTTP流量请求。

S304、接入设备向终端发送HTTP流量响应，该HTTP流量响应中包含JavaScript标签。

其中，上述HTTP流量响应中包含JavaScript标签，具体可以为：上述HTTP流量响应中包含HTML信息，该HTML信息中内嵌有上述JavaScript标签。该JavaScript标签用于终端获得门户服务器的地址，并根据该门户服务器的地址进行该终端的授权认证。

示例性的，本发明实施例中，接入设备向终端发送的HTTP流量响应可以为HTTP200响应报文。上述HTTP流量响应中携带内嵌JavaScript标签的HTML信息的具体方式可以为HTTP 200响应报文的报文体为管理服务器下发的包含JavaScript标签的HTTP页面。

S305、终端接收接入设备发送的HTTP流量响应。

S306、终端采用第一应用根据JavaScript标签获得门户服务器的地址。

其中，上述第一应用可能是能够解析JavaScript标签的应用程序，也可能是不能解析JavaScript标签的应用程序。当上述第一应用能够解析JavaScript标签时，终端采用上述第一应用，可以根据该JavaScript标签获得门户服务器的地址；而当上述第一应用不能解析JavaScript标签时，终端采用上述第一应用，不能根据该JavaScript标签获得门户服务器的地址。即当终端采用第一应用根据该JavaScript标签获取门户服务器的地址会有两种结果：获取成功和获取失败。

可以想到的是，在终端根据上述JavaScript标签成功获得门户服务器的地址之后，便可以根据该门户服务器的地址，进行该终端的授权认证。具体的，该终端认证的方法还包括S307：

S307、终端根据门户服务器地址，进行终端的授权认证。

示例性的，上述终端根据门户服务器的地址，进行终端的授权认证的方法可以包括：终端采用第一应用执行JavaScript脚本，根据该门户服务器的地址向门户服务器发起HTTP认证页面请求；门户服务器与终端完成TCP握手和SSL握手后，向终端返回HTTP认证页面；终端加载并显示HTTP认证页面，接收用户在HTTP认证页面输入的认证信息，并向门户服务器发送该认证信息，进行授权认证。

本发明实施例这里，仅以第一应用为终端中的浏览器为例进行说明：目前大多数浏览器都是支持JavaScript的，即可以解析JavaScript并执行JavaScript脚本的。本发明实施例保护的方案中，终端采用浏览器执行JavaScript脚本，不需要重新加载整个页面便可以与门户服务器交换数据，即在不刷新整个页面的情况下，可以产生局部刷新的效果。其中，终端重新加载部分页面相比于重新加载整个页面所需要的加载的数据较少，相对而言可以减少网络负载，缓解网络拥塞。也就是说，终端采用浏览器执行JavaScript脚本，可以降低进行授权认证的过程中出现网络拥塞问题的可能性。类似的，当第一应用能够解析JavaScript标签时，终端采用上述第一应用(可以是除浏览器之外，能够解析JavaScript标签的应用程序)执行JavaScript脚本，可以降低该终端进行授权认证的过程中出现网络拥塞问题的可能性。

本发明实施例提供的终端认证的方法中，由于终端中有的应用程序(如浏览器)是可以解析JavaScript标签的，而有的应用程序是不能解析JavaScript标签的；因此，只有当该终端的第一应用能够解析上述JavaScript标签时，该终端才可能根据上述JavaScript标签获得门户服务器的地址，而当该终端的第一应用不能解析上述JavaScript标签时，该终端便不能根据上述JavaScript标签获得门户服务器的地址。由此可见，通过本方案，即使终端采用第一应用自发的向接入设备发起HTTP流量请求，并接收到包含JavaScript标签的HTTP流量响应；但是，如果终端采用该第一应用不能根据该JavaScript标签获得用于进行该终端授权认证的门户服务器的地址，该终端也不能执行“向门户服务器发起HTTP认证页面请求，并完成上述TCP握手和SSL握手”等没有结果的无效操作，如此便可以避免上述没有结果的无效操作对网络资源的占用，可以降低门户服务器的负载。

在本发明实施例的第一种应用场景中，上述JavaScript标签中包含管理服务器的地址。在这种应用场景中，假设第一应用可以解析上述JavaScript标签，那么终端采用第一应用便可以得到上述管理服务器的地址。如图4所示，图3中的S306可以包括S401-S402，图3中的S307可以替换为S403：

S401、终端采用第一应用根据JavaScript标签获得管理服务器的地址。

S402、终端根据管理服务器的地址，采用第一应用执行Ajax脚本，从管理服务器获取一个门户服务器的地址。

其中，本发明实施例中，终端从管理服务器获取的一个门户服务器的地址可以为上述管理服务器所管理的至少两个门户服务器中的任一门户服务器。

可选的，终端根据管理服务器的地址，采用第一应用执行Ajax脚本，从管理服务器获取的门户服务器的地址可以为管理服务器所管理的至少两个门户服务器中负载最低的门户服务器。可以想到的是，管理服务器可以管理至少两个门户服务器，即有至少两个门户服务器可以为该终端提供认证服务，而每一个门户服务器的负载可能并不相同，如有的门户服务器的负载较高，有的门户服务器的负载则比较低。为了实现上述管理服务器管理的至少两个门户服务器的负载均衡，终端可以根据管理服务器的地址，从管理服务器获取其管理的门户服务器中负载最低的门户服务器的地址。

示例性的，管理服务器可以周期性的从该管理服务器管理的至少两个门户服务器获取该管理服务器管理的至少两个门户服务器的负载信息；或者，上述至少两个门户服务器中的每个门户服务器可以周期性的主动向管理服务器上报其负载信息。其中，上述负载信息用于指示门户服务器的负载的高低。

S403、终端根据从管理服务器获取的门户服务器的地址，进行终端的授权认证。

终端中的第一应用即使可以解析JavaScript标签获得管理服务器的地址，如浏览器可以解析JavaScript标签获得管理服务器的地址；但是，该浏览器也不一定支持Ajax，即可能会存在部分浏览器支持Ajax，部分浏览器不支持Ajax的情况。基于这种情况，本申请保护的终端认证的方法中，上述JavaScript标签中不仅可以包含管理服务器的地址，还可以包含默认门户服务器的地址。相应的，终端在采用第一应用根据JavaScript标签获得管理服务器的地址和默认门户服务器的地址之后，还可以先判断上述第一应用是否支持Ajax。如图5所示，图4中的S401可以替换为S401′，图4中的S402之前还可以包括S402′，在S402′之后还可以包括S404：

S401′、终端采用第一应用根据JavaScript标签获得管理服务器的地址和默认门户服务器的地址。

S402′、终端判断第一应用是否支持Ajax。

具体的，当终端判断上述第一应用支持Ajax时，可以根据从管理服务器获取的门户服务器的地址，进行终端的授权认证，即执行图5中的S402-S403；当终端判断上述第一应用不支持Ajax时，可以根据默认门户服务器的地址，进行终端的授权认证，即执行图5中的S404：

S404、终端根据默认门户服务器的地址，进行终端的授权认证。

本发明实施例中，若第一应用能够解析JavaScript标签，即使上述第一应用不支持Ajax，终端采用该第一应用不能执行Ajax脚本，不能根据管理服务器获得门户服务器地址；本发明实施例中终端也可以在根据该JavaScript标签获得的默认门户服务器的地址，重定向到默认门户服务器的终端认证页面，进行终端的授权认证。也就是说，无论发起HTTP流量请求的终端的上述第一应用是否支持Ajax，只要是终端采用上述第一应用发起HTTP流量请求的，该终端都能够完成上述授权认证。

在第二种应用场景中，上述JavaScript标签中包含门户服务器列表，该门户服务器列表中包含至少一个门户服务器的地址。在这种应用场景中，如果终端采用第一应用可以解析JavaScript标签，便可以根据上述JavaScript标签获得至少一个门户服务器的地址。如图6所示，图3的S306可以替换为S601，图3的S307可以替换为S602：

S601、终端采用第一应用根据JavaScript标签获得门户服务器列表中包含的任意一个门户服务器的地址。

S602、终端根据门户服务器列表中包含的任意一个门户服务器的地址，进行终端的授权认证。

示例性的，本发明实施例中终端进行授权认证的门户服务器可以为上述门户服务器列表中包含的至少一个门户服务器中的任意一个门户服务器，或者可以为上述门户服务器列表中包含的至少一个门户服务器中负载最低的门户服务器。

可选的，上述JavaScript标签可以为预先配置在接入设备中的；当然，上述JavaScript标签也可以为接入设备从管理服务器侧获取的。即在图3-图6中的任一附图中的S304之前，本发明实施例的方法还可以包括S701。如图7所示，本发明实施例这里以图5中的S304之前，本发明实施例的方法还可以包括S701为例，对本发明实施例提供的终端认证的方法进行举例说明：

S701、接入设备从管理服务器获取JavaScript标签。

示例性的，接入设备从管理服务器获取JavaScript标签的方法可以包括：接入设备接收管理服务器发送的HTML信息，该HTML信息中内嵌有JavaScript标签。具体的，接入设备可以在接收到终端发送的HTTP流量请求后，向管理服务器发送HTML信息请求，然后接收管理服务器下发的HTML信息；或者，接入设备可以在开机时便向管理服务器发送HTML信息请求，然后接收管理服务器下发的HTML信息。当然，接入设备还可以接收管理服务器主动下发的HTML信息。其中，接入设备在向终端发送HTTP流量响应之前接收到管理服务器下发的HTML信息，便可以向终端发送包含内嵌JavaScript标签的HTML信息的HTTP流量响应，即向终端发送包含JavaScript标签的HTTP流量响应。

为了避免接入设备在每接收到终端发送的一个HTTP流量请求后，便向管理服务器发送HTML信息请求；该接入设备可以在接收到HTTP流量请求后，先判断该接入设备中是否保存有HTML信息，如果该接入设备中没有保存HTML信息，则向管理服务器发送HTML信息请求，从管理服务器获取并保存HTML信息，如果该接入设备中保存有HTML信息，则直接向终端返回包含该接入设备中保存的HTML信息的HTTP流量响应。

接入设备从管理服务器获取HTML信息的方法以及时机包括但不限于上述实现方式中所列举的方法及时机，如接入设备还可以接收管理服务器主动下发的HTML信息。

接入设备可以在接收到终端发送的HTTP流量请求之前，从管理服务器获取JavaScript标签，也可以在接收到终端发送的HTTP流量请求之后从管理服务器获取JavaScript标签。即本发明实施例中可以先执行S301-S303，再执行S701；也可以先执行S701，再执行S301-S303。本发明实施例对S301-S303和S701执行的先后顺序不做限制。

示例性的，本发明实施例这里，以JavaScript标签中包含管理服务器的地址和默认门户服务器的地址，该JavaScript标签包含于HTML信息中为例，给出用于实现本发明实施例提供的终端认证的方法的代码实例：

上述代码段中两个“//”中间的文字为对其所在代码段的解析。

本发明实施例提供的终端认证的方法，由于终端中有的应用程序(如浏览器)是可以解析JavaScript标签的，而有的应用程序是不能解析JavaScript标签的；因此，只有当该终端的第一应用能够解析上述JavaScript标签时，该终端才可能根据上述JavaScript标签获得门户服务器的地址，而当该终端的第一应用不能解析上述JavaScript标签时，该终端便不能根据上述JavaScript标签获得门户服务器的地址。由此可见，通过本方案，即使终端采用第一应用自发的向接入设备发起HTTP流量请求，并接收到包含JavaScript标签的HTTP流量响应；但是，如果终端采用该第一应用不能根据该JavaScript标签获得用于进行该终端授权认证的门户服务器的地址，该终端也不能执行“向门户服务器发起HTTP认证页面请求，并完成上述TCP握手和SSL握手”等没有结果的无效操作，如此便可以避免上述没有结果的无效操作对网络资源的占用，可以降低门户服务器的负载。

进一步的，终端可以根据负载最低的门户服务器的地址，进行该终端的授权认证，可以实现各个门户服务器负载均衡。

上述主要从各个网元之间交互的角度对本发明实施例提供的方案进行了介绍。可以理解的是，各个网元，例如终端、接入设备和管理服务器等为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对终端、接入设备等进行模块的划分，例如，可以对应各个功能划分各个模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件模块的形式实现。需要说明的是，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图8示出了上述实施例中所涉及的终端的一种可能的结构示意图。如图8所示，终端800包括：发送模块801、接收模块802、获取模块803和认证模块804。

其中，上述发送模块801，用于向接入设备、管理服务器、门户服务器发送请求消息或者数据，如发送模块801可以向接入设备发送HTTP流量请求。例如，发送模块801用于支持终端执行图3-图7中任一附图中的S301，以及图3中的S307、图4、图5和图7中的S403、图5中的S404、图6中的S602中进行终端授权认证时，向接入设备发送请求消息或者数据，图4、图5和图7中的S402中终端从管理服务器获取门户服务器的地址时向管理服务器发送请求消息或者数据，和/或用于本文所描述的技术的其它过程。

上述接收模块802，用于接收接入设备、管理服务器、门户服务器发送的响应消息或者数据，例如，接收模块802可以用于接收接入设备发送的HTTP流量响应。例如，该接收模块802用于支持终端执行图3、图4、图5、图6、图7中的S305，以及图3中的S307、图4、图5和图7中的S403、图5中的S404、图6中的S602中进行终端授权认证时，接收接入设备发送的响应消息或者数据，图4、图5和图7中的S402中终端从管理服务器获取门户服务器的地址时，接收管理服务器发送的响应消息或者数据，和/或用于本文所描述的技术的其它过程。

上述获取模块803，用于采用第一应用根据JavaScript标签获得门户服务器的地址。例如，该获取模块803用于支持终端执行图3中的S306，图4、图5中的S401、S402，图5中的S401′、S402′，图6中的S601，和/或用于本文所描述的技术的其它过程。

上述认证模块804，用于根据上述获取模块803获取的门户服务器的地址，进行终端的授权认证。例如，该认证模块804用于支持终端执行图3中的S307，图4中的S403，图5中的S404，图6中的S602，和/或用于本文所描述的技术的其它过程。

进一步的，终端800还可以包括存储模块，用于存储终端800的程序代码和数据。

在采用集成的模块的情况下，发送模块801和接收模块802可以集成在一个通信模块中实现，该通信模块可以是通信接口、收发电路或收发器等。获取模块803和认证模块804可以集成在一个处理模块中实现，该处理模块可以是处理器或控制器，例如可以是CPU，通用处理器，数字信号处理器(英文：Digital Signal Processor，简称：DSP)，专用集成电路(英文：Application-Specific Integrated Circuit，简称：ASIC)，现场可编程门阵列(英文：Field Programmable Gate Array，简称：FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种举例说明逻辑方框，模块和电路。处理模块也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。存储模块可以是存储器。

当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，本发明实施例所涉及的终端可以为图9所示的终端900。

参阅图9，终端900包括：处理器901、通信接口902、存储器903以及总线904。其中，处理器901、通信接口902、存储器903通过总线904相互连接。其中，总线904可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供一种计算机存储介质，该计算机存储介质中存储有计算机程序代码，该计算机程序代码包括指令，当终端900的处理器901执行该指令时，终端900执行如图3、图4、图5、图6或图7中任一附图中的相关方法步骤，与接入设备和管理服务器交互实现终端的授权认证。

本发明实施例提供的终端中各个模块或者模块的详细描述以及各个功能单元或者模块执行如图3、图4、图5、图6或图7任一附图中的相关方法步骤后所带来的技术效果可以参考本发明方法实施例中的相关描述，此处不再赘述。

图10示出了上述实施例中所涉及的接入设备的一种可能的结构示意图。如图10所示，接入设备1000包括：接收模块1001、确定模块1002、发送模块1003。

其中，上述接收模块1001，用于接收终端和管理服务器等设备发送的消息或者数据，如接收模块1001可以用于接收终端发送的HTTP流量请求。例如，该接收模块1001用于支持接入设备执行图3、图4、图5、图6、图7中的S302，图7中的S701，和/或用于本文所描述的技术的其它过程。

上述确定模块1002，用于确定终端为未授权终端。例如，该确定模块1002用于支持接入设备执行图3、图4、图5、图6、图7中的S303，和/或用于本文所描述的技术的其它过程。

上述发送模块1003，用于向终端和管理服务器等设备发送消息或者数据，如发送模块1003可以用于向终端发送HTTP流量响应。例如，该发送模块1003用于支持接入设备执行图3、图4、图5、图6和图7中的S304，和/或用于本文所描述的技术的其它过程。

进一步的，接入设备1000还可以包括存储模块，用于存储接入设备1000的程序代码和数据。

在采用集成的模块的情况下，接收模块1001和发送模块1003可以集成在一个通信模块中实现，该通信模块可以是通信接口、收发电路或收发器等。确定模块1002可以集成在一个处理模块中实现，该处理模块可以是处理器或控制器，例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种举例说明逻辑方框，模块和电路。处理模块也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。存储模块可以是存储器。

当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，本发明实施例所涉及的接入设备可以为图11所示的接入设备1100。

参阅图11，接入设备1100包括：处理器1101、通信接口1102、存储器1103以及总线1104。其中，处理器1101、通信接口1102、存储器1103通过总线1104相互连接。其中，总线1104可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供一种计算机存储介质，该计算机存储介质中存储有计算机程序代码，该计算机程序代码包括指令，当接入设备1100的处理器1101执行该指令时，接入设备1100执行如图3、图4、图5、图6或图7中任一附图中的相关方法步骤，与终端和管理服务器交互实现终端的授权认证。

需要说明的是，本发明实施例提供的接入设备中各个功能单元或者模块的详细描述以及各个功能单元或者模块执行如图3、图4、图5、图6或图7任一附图中的相关方法步骤后所带来的技术效果可以参考本发明方法实施例中的相关描述，此处不再赘述。

图12示出了上述实施例中所涉及的管理服务器的一种可能的结构示意图。如图12所示，管理服务器1200包括：发送模块1201、接收模块1202和获取模块1203。

其中，上述发送模块1201，用于向接入设备或者终端发送消息或者数据，如发送模块1201可以用于向接入设备发送JavaScript标签。例如，该发送模块1201用于支持管理服务器执行图4中、图5、图7中的S402，图7中的S701，和/或用于本文所描述的技术的其它过程。

上述接收模块1202，用于上述发送模块1201向接入设备发送JavaScript标签之后，接收未授权终端发送的认证地址请求。例如，接收模块1202用于支持管理服务器执行图4中的S309、图5、图7中的S309b，和/或用于本文所描述的技术的其它过程。

上述获取模块1203，用于上述接收模块1202接收到未授权终端发送的认证地址请求后，根据JavaScript标签中包含的管理服务器的地址，获取管理服务器管理的至少两个门户服务器中负载最低的门户服务器的地址。例如，该获取模块1203用于支持管理服务器执行图4、图5、图7中的S402，和/或用于本文所描述的技术的其它过程。

进一步的，管理服务器1200还可以包括存储模块，用于存储管理服务器1200的程序代码和数据。

在采用集成的模块的情况下，发送模块1201和接收模块1202可以集成在一个通信模块中实现，该通信模块可以是通信接口、收发电路或收发器等。获取模块1203可以集成在一个处理模块中实现，该处理模块可以是处理器或控制器，例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种举例说明逻辑方框，模块和电路。处理模块也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。存储模块可以是存储器。

当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，本发明实施例所涉及的管理服务器可以为图13所示的管理服务器1300。

参阅图13，管理服务器1300包括：处理器1301、通信接口1302、存储器1303以及总线1304。其中，处理器1301、通信接口1302、存储器1303通过总线1304相互连接。其中，总线1304可以分为地址总线、数据总线、控制总线等。为便于表示，图13中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供一种计算机存储介质，该计算机存储介质中存储有计算机程序代码，该计算机程序代码包括指令，当管理服务器1300的处理器1301执行该指令时，管理服务器1300执行如图3、图4、图5、图6或图7中任一附图中的相关方法步骤，与终端和接入设备交互实现终端的授权认证。

本发明实施例提供的管理服务器中各个功能单元或者模块的详细描述以及各个功能单元或者模块执行如图3、图4、图5、图6或图7任一附图中的相关方法步骤后所带来的技术效果可以参考本发明方法实施例中的相关描述，此处不再赘述。

结合本发明公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。当然，处理器和存储介质也可以作为分立组件存在于核心网接口设备中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims

一种终端认证的方法，其特征在于，包括：

终端向接入设备发送超文本传送协议HTTP流量请求，所述HTTP流量请求为通过所述终端中的第一应用发起的流量请求；

所述终端接收所述接入设备发送的HTTP流量响应，所述HTTP流量响应为所述接入设备确定所述终端为未授权终端后发送的，所述HTTP流量响应中包含JavaScript标签；

若所述终端采用所述第一应用，根据所述JavaScript标签获得门户服务器的地址，所述终端根据所述门户服务器的地址，进行所述终端的授权认证。
根据权利要求1所述的方法，其特征在于，所述JavaScript标签中包含管理服务器的地址；

所述终端采用所述第一应用，根据所述JavaScript标签获得门户服务器的地址，包括：

所述终端采用所述第一应用，从所述JavaScript标签中获得所述管理服务器的地址，根据所述管理服务器的地址，采用所述第一应用执行Ajax脚本，从所述管理服务器获取所述管理服务器所管理的门户服务器中负载最低的门户服务器的地址。
根据权利要求2所述的方法，其特征在于，所述JavaScript标签中还包含默认门户服务器的地址；

所述方法还包括：

若所述第一应用不支持Ajax，则采用所述第一应用根据所述默认门户服务器的地址，进行所述终端的授权认证。
根据权利要求1所述的方法，其特征在于，所述JavaScript标签中包含门户服务器列表，所述门户服务器列表中包含至少一个门户服务器的地址；

所述终端采用所述第一应用，根据所述JavaScript标签获得门户服务器的地址，包括：

所述终端采用所述第一应用，从所述JavaScript标签中获得所述门户服务器列表中包含的任意一个门户服务器的地址。
根据权利要求1至4任一项所述的方法，其特征在于，所述终端根据所述门户服务器的地址，进行该终端的授权认证，包括：

所述终端采用所述第一应用执行JavaScript脚本，根据所述门户服务器的地址，重定向到所述门户服务器的终端认证页面，进行所述终端的授权认证。
根据权利要求5所述的方法，其特征在于，所述终端采用所述第一应用执行JavaScript脚本，根据所述门户服务器的地址，重定向到所述门户服务器的终端认证页面，进行所述终端的授权认证，包括：

所述终端采用所述第一应用向所述门户服务器发起HTTP认证页面请求；执行所述JavaScript脚本，与所述门户服务器完成传输控制协议TCP握手和安全套接层SSL握手，并在接收到HTTP认证页面响应后，解析所述HTTP认证页面响应中包含的HTTP认证页面的统一资源定位符URL，根据所述URL，加载并显示所述HTTP认证页面，并接收用户在所述HTTP认证页面输入的认证信息，再向所述门户服务器发送所述认证信息，进行所述终端的授权认证。
一种终端认证的方法，其特征在于，包括：

接入设备接收终端发送的超文本传送协议HTTP流量请求，所述HTTP流量请求为所述终端通过所述终端中的第一应用发起的流量请求；

若确定所述终端为未授权终端，所述接入设备向所述终端发送HTTP流量响应，所述HTTP流量响应中包含JavaScript标签，所述JavaScript标签用于所述终端获得门户服务器的地址，并根据所述门户服务器的地址进行所述终端的授权认证。
根据权利要求7所述的方法，其特征在于，所述JavaScript标签中包含管理服务器的地址；或者，所述JavaScript标签中包含管理服务器的地址和默认门户服务器的地址；或者，所述JavaScript标签中包含门户服务器列表，所述门户服务器列表中包含至少一个门户服务器的地址。
一种终端，其特征在于，包括：

发送模块，用于向接入设备发送超文本传送协议HTTP流量请求，所述HTTP流量请求为通过所述终端中的第一应用发起的流量请求；

接收模块，用于接收所述接入设备发送的HTTP流量响应，所述HTTP流量响应为所述接入设备确定所述终端为未授权终端后发送的，所述HTTP流量响应中包含JavaScript标签；

获取模块，用于采用所述第一应用，根据所述JavaScript标签获得门户服务器的地址；

认证模块，用于若所述获取模块采用所述第一应用根据所述JavaScript标签获得所述门户服务器的地址，则根据所述获取模块获取的所述门户服务器的地址，进行所述终端的授权认证。
根据权利要求9所述的终端，其特征在于，所述JavaScript标签中包含管理服务器的地址；

所述获取模块，具体用于：

采用所述第一应用，从所述JavaScript标签中获得所述管理服务器的地址，根据所述管理服务器的地址，采用所述第一应用执行Ajax脚本，从所述管理服务器获取所述管理服务器所管理的门户服务器中负载最低的门户服务器的地址。
根据权利要求10所述的终端，其特征在于，所述认证模块，还用于若所述第一应用不支持Ajax，则采用所述第一应用根据所述默认门户服务器的地址，进行所述终端的授权认证。
根据权利要求9所述的终端，其特征在于，所述JavaScript标签中包含门户服务器列表，所述门户服务器列表中包含至少一个门户服务器的地址；

所述获取模块，具体用于：

采用所述第一应用，从所述JavaScript标签中获得所述门户服务器列表中包含的任意一个门户服务器的地址。
一种接入设备，其特征在于，包括：

接收模块，用于接收终端发送的HTTP流量请求，所述HTTP流量请求为所述终端通过所述终端中的第一应用发起的流量请求；

确定模块，用于确定所述终端为未授权终端；

发送模块，用于向所述终端发送HTTP流量响应，所述HTTP流量响应中包含JavaScript标签，所述JavaScript标签用于所述终端获得门户服务器的地址，并根据所述门户服务器的地址进行所述终端的授权认证。
根据权利要求13所述的接入设备，其特征在于，

所述JavaScript标签中包含管理服务器的地址；

或者，所述JavaScript标签中包含管理服务器的地址和默认门户服务器的地址；

或者，所述JavaScript标签中包含门户服务器列表，所述门户服务器列表中包含至少一个门户服务器的地址。