一种接入认证方法、装置和系统 |
|||||||
申请号 | CN201511006151.9 | 申请日 | 2015-12-28 | 公开(公告)号 | CN106921970A | 公开(公告)日 | 2017-07-04 |
申请人 | 华为技术有限公司; | 发明人 | 吴德红; | ||||
摘要 | 本 发明 公开了一种接入认证方法、装置和系统,以解决现有的存在NAT穿越场景下接入WLAN时设备成本较高的问题。该方法为,位于私有网络中的AP向Portal 服务器 发送注册 请求 消息;所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述AP在公网上的IP地址和端口;所述AP将所述终端的公网 访问 请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,这样Portal服务器基于重定向URL或强制转发消息获取到所述AP的IP地址和端口,能够穿过私有网络的网关设备向私有网络中的AP发起认证,从而完成终端的接入认证。 | ||||||
权利要求 | 1.一种接入认证方法,应用于接入点AP通过私有网络接入到公网的网络中,其特征在于,包括: |
||||||
说明书全文 | 一种接入认证方法、装置和系统技术领域[0001] 本发明涉及无线技术领域,尤其涉及一种接入认证方法、装置和系统。 背景技术[0002] 无线局域网(Wireless Local Area Network,WLAN)接入方式作为移动宏网接入方式的补充接入方式,因其移动性、便利性、占用带宽少等特性,越来越得到运营商的重视,且得到了较大的发展。为了避免用户接入WLAN需要通过复杂的配置过程,WLAN接入产品都提供了基于页面(WEB)的一种认知机制。目前普遍使用的物理组网图1所示,包括接入点(Access Point,AP)、接入网、接入控制器(Access Controller,AC)设备、门户(Portal)服务器以及远端用户拨入鉴权服务器(Remote Authentication Dial In User Service,RADIUS),图1的虚线框中都是第一运营商的自营网络,用户接入后,全部接入服务都只由对应的运营商提供,Portal服务器通过在本地配置的AC设备的信息与Portal服务器接收到的信息进行信息交互获取AC设备的IP地址和端口,向AC设备发起认证请求。 [0003] 在上述图1中,AP也可以集成AC的接入控制能力,业界通称为“胖AP”。使用胖AP时的物理组网如图2所示。 [0004] 实际应用时,为了扩展WLAN服务的区域范围,第一运营商也需要通过如图3中的网络叠加的方式开展WLAN服务,以实现跨自营网络场景下为自有WLAN用户提供WLAN接入服务,图3中,第二运营商的私有网络取代了标准WLAN组网中的接入网络,并且只使用胖AP方式接入。这里的私有网络,是第一运营商提供的已经接入公网(即互联网)的网络,第一运营商的用户接入时不再需要第一运营商提供的接入网络,直接使用上述私有网络接入互联网。进一步的,私有网络中一般都会设置网络地址转换(Network Address Translation,NAT)功能的网关(或者防火墙设备),网关内的私网用户从网关获取私网地址,并通过网关访问公网,私网内的设备或者终端访问外部公网时,由网关动态分配公网的IP地址和端口。 [0005] 在图3中的网络叠加模式下,如果第一运营商网络需要为其服务用户在非自营的私有网络中提供相应的网络服务时,由于胖AP设备部署在上述私有网络中,第一运营商的用户在接入认证处理时,作为客户端的Portal服务器必须能够需要穿过NAT网关向胖AP设备发送认证请求;但是由于NAT网关给AP设备分配公网IP地址和端口的动态性,使胖AP在公网中对应的IP地址和端口可能是固定的也可能是变化的,这样,胖AP设备的信息很难在Portal服务器中准确配置。这种情景下对于需要实现NAT穿越的WLAN接入认证机制,根据当前的技术要求,必须新增相对应的NAT服务器对位于私有网络中的胖AP在公网侧的IP、端口信息和胖AP在私网侧的IP、端口的对应关系进行管理。此时,用户接入私有网络时,Portal服务器根据NAT服务器中配置的胖AP在公网侧的IP、端口信息,向胖AP发送认证请求,在这个场景下,对私有网络的使用客户提出了很大的设备维护要求,而且增加了运营商成本。 [0006] 因此,亟需一种能够实现NAT穿越功能的WLAN接入认证新机制,以降低运营商成本,减少设备维护难度和维护成本。 发明内容[0007] 本发明实施例提供一种接入认证方法、装置和系统,以解决现有的存在NAT穿越场景下接入WLAN时设备维护难度较高的问题。 [0008] 本发明实施例提供的具体技术方案如下: [0009] 第一方面,本发明实施例提供一种接入认证方法,应用于AP通过私有网络接入到公网的网络中,包括: [0010] 位于私有网络中的AP向Portal服务器发送注册请求消息,所述注册请求消息用于获取所述AP在公网上的IP地址和端口; [0011] 所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述AP在公网上的IP地址和端口; [0012] 所述AP将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口。 [0013] 结合第一方面,在第一方面的第一种可能的实现方式中,所述AP向所述Portal服务器发送注册请求消息之前,还包括: [0014] 所述AP接收到所述终端发送的公网访问请求后,才执行所述向Portal服务器发送注册请求消息。 [0015] 结合第一方面,在第一方面的第二种可能的实现方式中,所述AP将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,包括: [0016] 所述AP接到所述终端发送的公网访问请求,将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器;以及[0017] 接收所述Portal服务器返回的Portal登陆页面,将所述Portal服务器反馈的Portal登录页面发送至所述终端。 [0018] 结合第一方面,在第一方面的第三种可能的实现方式中,所述AP向所述Portal服务器发送注册请求消息,包括: [0019] 所述AP周期性向所述Portal服务器发送注册请求消息。 [0020] 结合第一方面或以上任何一种可能的实现方式,在第一方面的第四种可能实现方式中,所述AP将所述终端的公网访问请求通过强制转发消息转发到所述Portal服务器之前,还包括: [0021] 所述AP确定所述终端未授权接入所述公网时,才执行所述将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器。 [0022] 第二方面,提供一种接入认证方法,包括: [0023] Portal服务器接收到位于私有网络中的接入点AP发送的注册请求消息时,所述Portal服务器基于所述请求消息解析所述AP在公网上的IP地址和端口; [0024] 所述Portal服务器将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP; [0025] 所述Portal服务器接收到所述AP通过强制转发消息发送的强制转发请求时,基于所述强制转发消息获取所述AP在公网上的IP地址和端口; [0026] 所述Portal服务器接收到终端发送的登录请求时,基于所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求,以执行对所述终端的接入认证。 [0027] 结合第二方面,在第二方面的第一种可能的实现方式中,所述Portal服务器接收到所述AP通过强制转发消息发送的强制转发请求之后,还包括: [0028] 所述Portal服务器通过所述AP向所述终端反馈Portal登录页面之后,才执行接收所述终端发送的登录请求。 [0029] 第三方面,提供一种接入认证系统,包括: [0030] AP,用于向Portal服务器发送注册请求消息,所述注册请求消息用于获取所述AP在公网上的IP地址和端口;接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述AP在公网上的IP地址和端口;将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口,所述AP位于私有网络; [0031] Portal服务器,用于接收到位于私有网络中的AP发送的注册请求消息时,所述Portal服务器基于所述请求消息解析所述AP在公网上的IP地址和端口;将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP;接收到所述AP通过强制转发消息发送的强制转发请求时,基于所述强制转发消息获取所述AP在公网上的IP地址和端口;接收到终端发送的登录请求时,基于所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求,以执行对所述终端的接入认证。 [0032] 第四方面,提供一种接入认证装置,应用于通过私有网络接入到公网的网络中,包括: [0033] 发送单元,用于向Portal服务器发送注册请求消息,所述注册请求消息用于获取所述装置在公网上的IP地址和端口,所述装置位于私有网络; [0034] 接收单元,用于接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述装置在公网上的IP地址和端口; [0035] 所述发送单元,还用于将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口。 [0036] 结合第四方面,在第四方面的第一种可能的实现方式中,所述接收单元还用于: [0037] 在所述发送单元向所述Portal服务器发送注册请求消息之前,接收所述终端发送的公网访问请求。 [0038] 结合第四方面,在第四方面的第二种可能的实现方式中,所述发送单元在将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器时,具体用于: [0039] 在所述接收单元接到所述终端发送的公网访问请求,将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器;以及 [0040] 接收所述Portal服务器返回的Portal登陆页面,将所述Portal服务器反馈的Portal登录页面发送至所述终端。 [0041] 结合第四方面,在第四方面的第三种可能的实现方式中,所述发送单元在向所述Portal服务器发送注册请求消息时,具体用于: [0042] 周期性向所述Portal服务器发送注册请求消息。 [0043] 结合第四方面或以上任何一种可能的实现方式,在第四方面的第四种可能实现方式中,所述发送单元在将所述终端的公网访问请求通过强制转发消息转发到所述Portal服务器之前,还用于: [0044] 确定所述终端未授权接入所述公网时,才执行所述将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器。 [0045] 第五方面,提供一种接入认证装置,包括: [0046] 接收单元,用于接收位于私有网络中的AP发送的注册请求消息; [0047] 发送单元,用于基于所述请求消息解析所述AP在公网上的IP地址和端口,将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP; [0048] 所述接收单元,还用于接收到所述AP通过重定向URL重定向发送的重定向请求或通过强制转发消息发送的强制转发请求时,基于所述重定向URL或所述强制转发消息获取所述AP在公网上的IP地址和端口; [0049] 所述发送单元,还用于在所述接收单元接收到终端发送的登录请求时,基于所述接收单元获取的所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求,以执行对所述终端的接入认证。 [0050] 结合第五方面,在第五方面的第一种可能的实现方式中,所述发送单元在所述接收单元在接收到所述AP通过强制转发消息发送的强制转发请求之后,还用于: [0051] 通过所述AP向所述终端反馈Portal登录页面。 [0052] 本发明有益效果如下: [0053] 本发明实施例中提供一种接入认证方案,该方案应用在AP通过私有网络进行WLAN接入的认证场景下,该方法为,位于私有网络中的AP向Portal服务器发送注册请求消息;所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述AP在公网上的IP地址和端口;所述AP将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口,所述Portal服务器基于所述重定向URL或所述强制转发消息向所述AP发送对终端的接入认证请求,这样Portal服务器能够穿过私有网络的网关设备向私有网络中的AP发起认证,从而完成终端的接入认证,这种认证方案无需在私有网络中设置NAT网关服务器,既能降低运营商成本,对私有网络的使用客户来说还能减少设备维护难度,增加易用性。附图说明 [0054] 图1为现有的WLAN接入的物理组网示意图; [0055] 图2为现有的使用胖AP时WLAN接入的物理组网示意图; [0056] 图3为网络叠加模式下的WLAN接入的物理组网示意图; [0057] 图4为本发明实施例中接入认证系统示意图; [0058] 图5为本发明一实施例中接入认证方法流程图; [0059] 图6为本发明另一实施例中接入认证方法流程图; [0060] 图7为本发明一实施例中接入认证装置结构图; [0061] 图8为本发明一实施例中接入认证设备结构图; [0062] 图9为本发明另一实施例中接入认证装置结构图; [0063] 图10为本发明另一实施例中接入认证设备结构图。 具体实施方式[0064] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。 [0065] 基于图3所示的网络架构,本发明实施例中提供一种接入认证系统,参阅图4所示,包括:AP和Portal服务器,其中,AP位于私有网络,并通过私有与Portal服务器进行通信,具体的: [0066] AP,用于向Portal服务器发送注册请求消息,所述注册请求消息用于获取所述AP在公网上的IP地址和端口;接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述AP在公网上的IP地址和端口;将终端的公网访问请求通过重定向统一资源定位符(Uniform Resoure Locator,URL)重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口,所述AP位于私有网络; [0067] Portal服务器,用于接收到位于私有网络中的AP发送的注册请求消息时,所述Portal服务器基于所述请求消息解析所述AP在公网上的IP地址和端口;将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP;接收到所述AP通过强制转发消息发送的强制转发请求时,基于所述强制转发消息获取所述AP在公网上的IP地址和端口;接收到终端发送的登录请求时,基于所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求,以执行对所述终端的接入认证。 [0068] 基于图3所示的网络架构,本发明实施例针提供一种能够实现NAT穿越功能的WLAN接入认证方法,应用于AP通过私有网络接入到公网的网络中,具体流程参阅图5所示。 [0069] 步骤500:位于私有网络中的AP向Portal服务器发送注册请求消息,所述注册请求消息用于获取所述AP在公网上的IP地址和端口。 [0070] 在这里AP设备周期性向Portal服务器发送注册请求消息,这里的注册消息也可以理解为心跳消息。在注册请求消息中,消息体不携带具体的参数,AP主动发起的注册请求消息的目的是为了主动获取自身在公网上的地址信息即在公网上的IP地址和端口,并维持AP自身的公私网地址的映射会话激活。 [0071] 步骤501:Portal服务器接收到位于私有网络中的AP发送的注册请求消息时,所述Portal服务器基于所述请求消息解析所述AP在公网上的IP地址和端口。 [0072] 步骤502:所述Portal服务器将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP。 [0073] 步骤503:所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息。 [0074] 这里AP在接收到注册响应消息时,对注册响应消息中携带的所述AP在公网上的IP地址和端口这两个参数在AP本地进行保存,如果AP本地已经存在则更新本地保存的这两个参数信息。 [0075] 步骤504:所述AP将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口。 [0076] 这里AP在接收到AP终端的公网访问请求,识别当前终端未接入公网时,则强制重定向终端的公网访问请求到Portal服务器或强制转发终端的公网访问请求到Portal服务器,并在重定向的URL或强制转发消息中中携带和用户相关的一些参数信息,同时,这些信息中包含AP接收到的注册响应消息中Portal服务器返回的所述AP在公网上的IP地址和端口。 [0077] 步骤505:所述Portal服务器接收到所述AP通过重定向URL发送的重定向请求或通过强制转发消息发送的强制转发请求时,基于所述重定向URL或所述强制转发消息获取所述AP在公网上的IP地址和端口。 [0078] 步骤506:所述Portal服务器接收到终端发送的登录请求时,基于所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求,以执行对所述终端的接入认证。 [0079] 需要说明的是,上述步骤500中AP向Portal服务器发送注册请求消息时,可以由所述AP主动发起,也可以通过终端的公网访问请求触发AP向Portal服务器发送注册请求消息,下面通过实施例一详细说明AP利用公网访问请求触发AP向Portal服务器发送注册请求消息时的用户接入流程,具体可参阅图6所示。 [0080] 0、用户打开终端的WLAN功能,并且接入网络热点,由AP设备给终端分配IP地址; [0081] 1、用户在连接WLAN热点成功后,打开浏览器访问任意网址,终端的公网访问请求即HTTP请求被发送到AP。 [0082] 2、用户访问公网请求事件触发AP设备向Portal服务器发送注册请求消息。在注册请求消息中,消息体不携带具体的参数。 [0083] 3、Portal服务器处理AP注册请求消息时,解析AP设备在公网上发送消息的源IP(WAN IP)、源Port(WLAN Port),并且在设备注册响应中返回给AP设备 [0084] 4、AP识别当前用户未接入网络,则将用户的HTTP请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到Portal服务器,并在重定向URL或强制转发消息中携带和用户相关的一些参数信息,所述重定向URL或所述强制转发消息中的携带的参数信息包含AP注册响应中Portal服务器返回的WAN IP和WAN Port。 [0085] 5、Portal服务器根据AP的重定向请求或强制转发请求,通过AP向终端返回Portal的WLAN登录首页; [0086] 6、用户在Portal登录页面中输入账号和密码信息后提交接入请求到Portal服务器; [0087] 7、Portal服务器根据用户的账号和密码信息向AP发起UDP协议的认证请求。这里AP提供认证服务的IP地址和端口为强制转发消息中携带的WAN IP和WAN Port参数。 [0088] 8、AP设备根据用户的账号和密码信息,根据Radius协议生成Access-Request请求,向RADIUS服务器请求对用户进行认证和授权。 [0089] 9、RADIUS服务器验证用户账号和密码信息成功后,给AP设备返回Radius协议的Access-Accept响应消息。 [0090] 10、AP设备得到RADIUS服务器的成功响应后,给Portal服务器返回认证成功响应。 [0091] 11、Portal通过WEB页面提示用户认证成功。 [0092] 12、用户可以访问网络,使用互联网业务。 [0093] 需要说明的是,上述图6中是AP利用公网访问请求触发AP向Portal服务器发送注册请求消息时的用户接入流程,可选的,图6中的步骤2和步骤3可以在步骤1之前,即不限定AP向Portal服务器发送注册请求消息的触发条件,AP可以主动向Portal服务器发送注册请求消息,其他流程与图6完全相同,在此,不再赘述。 [0094] 基于上述实施例,参阅图7所示,本发明实施例提供一种接入认证装置70,该接入认证装置70可以是AP设备,或其他具备网络接入功能的相关设备,该装置70应用于通过私有网络接入到公网的网络中,装置70包括:发送单元701和接收单元702,其中: [0095] 发送单元701,用于向Portal服务器发送注册请求消息,所述注册请求消息用于获取所述装置在公网上的IP地址和端口,所述装置位于私有网络; [0096] 接收单元702,用于接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述装置在公网上的IP地址和端口; [0097] 所述发送单元701,还用于将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口。 [0098] 可选的,所述接收单元702还用于: [0099] 在所述发送单元701向所述Portal服务器发送注册请求消息之前,接收所述终端发送的公网访问请求。 [0100] 可选的,所述发送单元701在将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器时,具体用于: [0101] 在所述接收单元702接到所述终端发送的公网访问请求,将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器;以及 [0102] 接收所述Portal服务器返回的Portal登陆页面,将所述Portal服务器反馈的Portal登录页面发送至所述终端。 [0103] 可选的,所述发送单元701在向所述Portal服务器发送注册请求消息时,具体用于: [0104] 周期性向所述Portal服务器发送注册请求消息。 [0105] 可选的,所述发送单元701在将所述终端的公网访问请求通过强制转发消息转发到所述Portal服务器之前,还用于: [0106] 确定所述终端未授权接入所述公网时,才执行所述将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器。 [0107] 如图8所示,本发明实施例还提供一种接入认证设备,该接入认证设备包括处理器801和存储器802。处理器801和存储器802相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图8中以存储器处理器801和存储器802之间通过总线803连接,总线在图8中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。 [0108] 本发明实施例中存储器802,用于存储处理器801执行的程序代码,可以是易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器802也可以是非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD)、或者存储器802是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器802可以是上述存储器的组合。 [0109] 本发明实施例中处理器801,可以是一个中央处理单元(英文:central processing unit,简称CPU)。 [0110] 处理器801用于调动所述存储器802中存储的程序代码或指令,以执行: [0111] 向Portal服务器发送注册请求消息,所述注册请求消息用于获取所述设备在公网上的IP地址和端口,接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述设备在公网上的IP地址和端口;将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述重定向URL或强制转发消息中携带所述设备在公网上的IP地址和端口。 [0112] 基于上述实施例,参阅图9所示,本发明实施例提供一种接入认证装置90,该接入认证装置90可以是Portal服务器,或其他具备Poral认证功能的相关设备,装置90包括:发送单元901和接收单元902,其中: [0113] 接收单元902,用于接收位于私有网络中的AP发送的注册请求消息; [0114] 发送单元901,用于基于所述请求消息解析所述AP在公网上的IP地址和端口,将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP; [0115] 所述接收单元902,还用于接收到所述AP通过重定向URL重定向发送的重定向请求或通过强制转发消息发送的强制转发请求时,基于所述重定向URL或所述强制转发消息获取所述AP在公网上的IP地址和端口; [0116] 所述发送单元901,还用于在所述接收单元902接收到终端发送的登录请求时,基于所述接收单元902获取的所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求,以执行对所述终端的接入认证。 [0117] 可选的,所述发送单元901在所述接收单元902在接收到所述AP通过强制转发消息发送的强制转发请求之后,还用于: [0118] 通过所述AP向所述终端反馈Portal登录页面。 [0119] 如图10所示,本发明实施例还提供一种接入认证设备,该接入认证设备包括处理器1001和存储器1002。处理器1001和存储器1002相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图10中以存储器处理器1001和存储器1002之间通过总线1003连接,总线在图10中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。 [0120] 本发明实施例中存储器1002,用于存储处理器1001执行的程序代码,可以是易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器1002也可以是非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD)、或者存储器1002是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1002可以是上述存储器的组合。 [0121] 本发明实施例中处理器1001,可以是一个中央处理单元(英文:central processing unit,简称CPU)。 [0122] 处理器1001用于调动所述存储器1002中存储的程序代码或指令,以执行: [0123] 接收到位于私有网络中的AP发送的注册请求消息时,基于所述请求消息解析所述AP在公网上的IP地址和端口;将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP;接收到所述AP通过重定向URL重定向发送的重定向请求或通过强制转发消息发送的强制转发请求时,基于所述重定向URL或所述强制转发消息获取所述AP在公网上的IP地址和端口;接收到终端发送的登录请求时,基于所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求,以执行对所述终端的接入认证。 [0124] 综上所述,本发明实施例中,位于私有网络中的AP向Portal服务器发送注册请求消息;所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息,所述注册响应消息中携带有所述AP在公网上的IP地址和端口;所述AP将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器,所述Portal服务器基于所述重定向URL或所述强制转发消息向所述AP发送对终端的接入认证请求,这样Portal服务器能够穿过私有网络的网关设备向私有网络中的AP发起认证,从而完成终端的接入认证,这种认证方案无需在私有网络中设置NAT网关服务器,既能降低运营商成本,对私有网络的使用客户来说还能减少设备维护难度,增加易用性。 [0125] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。 [0126] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。 [0127] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。 [0128] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。 [0129] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。 [0130] 显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。 |