一种接入认证方法、装置和系统制造方法及图纸

本发明专利技术公开了一种接入认证方法、装置和系统，以解决现有的存在NAT穿越场景下接入WLAN时设备成本较高的问题。该方法为，位于私有网络中的AP向Portal服务器发送注册请求消息；所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息，所述注册响应消息中携带有所述AP在公网上的IP地址和端口；所述AP将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器，这样Portal服务器基于重定向URL或强制转发消息获取到所述AP的IP地址和端口，能够穿过私有网络的网关设备向私有网络中的AP发起认证，从而完成终端的接入认证。

Access authentication method, device and system

The invention discloses an access authentication method, a device and a system, so as to solve the problem that the equipment cost is high when accessing WLAN under the existing NAT traversing scene. The method is located in a private network AP registration request message to the Portal server sends a response message registered; and the AP receives a Portal server based on the registration request message feedback, the registration response message carries the AP in the public network IP address and port; the AP uses the the terminal network access request by forcing the forwarded message forwarded to the server via Portal redirect URL redirect to the Portal server or Portal server, this redirect URL or forced forwarding messages to the AP to get the IP address and port based on the gateway device can pass through the private network to initiate authentication in private network AP. In order to complete the access authentication terminal.

【技术实现步骤摘要】
一种接入认证方法、装置和系统
本专利技术涉及无线
，尤其涉及一种接入认证方法、装置和系统。
技术介绍
无线局域网(WirelessLocalAreaNetwork，WLAN)接入方式作为移动宏网接入方式的补充接入方式，因其移动性、便利性、占用带宽少等特性，越来越得到运营商的重视，且得到了较大的发展。为了避免用户接入WLAN需要通过复杂的配置过程，WLAN接入产品都提供了基于页面(WEB)的一种认知机制。目前普遍使用的物理组网图1所示，包括接入点(AccessPoint，AP)、接入网、接入控制器(AccessController，AC)设备、门户(Portal)服务器以及远端用户拨入鉴权服务器(RemoteAuthenticationDialInUserService，RADIUS)，图1的虚线框中都是第一运营商的自营网络，用户接入后，全部接入服务都只由对应的运营商提供，Portal服务器通过在本地配置的AC设备的信息与Portal服务器接收到的信息进行信息交互获取AC设备的IP地址和端口，向AC设备发起认证请求。在上述图1中，AP也可以集成AC的接入控制能力，业界通称为“胖AP”。使用胖AP时的物理组网如图2所示。实际应用时，为了扩展WLAN服务的区域范围，第一运营商也需要通过如图3中的网络叠加的方式开展WLAN服务，以实现跨自营网络场景下为自有WLAN用户提供WLAN接入服务，图3中，第二运营商的私有网络取代了标准WLAN组网中的接入网络，并且只使用胖AP方式接入。这里的私有网络，是第一运营商提供的已经接入公网(即互联网)的网络，第一运营商的用户接入时不再需要第一运营商提供的接入网络，直接使用上述私有网络接入互联网。进一步的，私有网络中一般都会设置网络地址转换(NetworkAddressTranslation，NAT)功能的网关(或者防火墙设备)，网关内的私网用户从网关获取私网地址，并通过网关访问公网，私网内的设备或者终端访问外部公网时，由网关动态分配公网的IP地址和端口。在图3中的网络叠加模式下，如果第一运营商网络需要为其服务用户在非自营的私有网络中提供相应的网络服务时，由于胖AP设备部署在上述私有网络中，第一运营商的用户在接入认证处理时，作为客户端的Portal服务器必须能够需要穿过NAT网关向胖AP设备发送认证请求；但是由于NAT网关给AP设备分配公网IP地址和端口的动态性，使胖AP在公网中对应的IP地址和端口可能是固定的也可能是变化的，这样，胖AP设备的信息很难在Portal服务器中准确配置。这种情景下对于需要实现NAT穿越的WLAN接入认证机制，根据当前的技术要求，必须新增相对应的NAT服务器对位于私有网络中的胖AP在公网侧的IP、端口信息和胖AP在私网侧的IP、端口的对应关系进行管理。此时，用户接入私有网络时，Portal服务器根据NAT服务器中配置的胖AP在公网侧的IP、端口信息，向胖AP发送认证请求，在这个场景下，对私有网络的使用客户提出了很大的设备维护要求，而且增加了运营商成本。因此，亟需一种能够实现NAT穿越功能的WLAN接入认证新机制，以降低运营商成本，减少设备维护难度和维护成本。
技术实现思路
本专利技术实施例提供一种接入认证方法、装置和系统，以解决现有的存在NAT穿越场景下接入WLAN时设备维护难度较高的问题。本专利技术实施例提供的具体技术方案如下：第一方面，本专利技术实施例提供一种接入认证方法，应用于AP通过私有网络接入到公网的网络中，包括：位于私有网络中的AP向Portal服务器发送注册请求消息，所述注册请求消息用于获取所述AP在公网上的IP地址和端口；所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息，所述注册响应消息中携带有所述AP在公网上的IP地址和端口；所述AP将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器，所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口。结合第一方面，在第一方面的第一种可能的实现方式中，所述AP向所述Portal服务器发送注册请求消息之前，还包括：所述AP接收到所述终端发送的公网访问请求后，才执行所述向Portal服务器发送注册请求消息。结合第一方面，在第一方面的第二种可能的实现方式中，所述AP将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器，包括：所述AP接到所述终端发送的公网访问请求，将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器；以及接收所述Portal服务器返回的Portal登陆页面，将所述Portal服务器反馈的Portal登录页面发送至所述终端。结合第一方面，在第一方面的第三种可能的实现方式中，所述AP向所述Portal服务器发送注册请求消息，包括：所述AP周期性向所述Portal服务器发送注册请求消息。结合第一方面或以上任何一种可能的实现方式，在第一方面的第四种可能实现方式中，所述AP将所述终端的公网访问请求通过强制转发消息转发到所述Portal服务器之前，还包括：所述AP确定所述终端未授权接入所述公网时，才执行所述将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器。第二方面，提供一种接入认证方法，包括：Portal服务器接收到位于私有网络中的接入点AP发送的注册请求消息时，所述Portal服务器基于所述请求消息解析所述AP在公网上的IP地址和端口；所述Portal服务器将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP；所述Portal服务器接收到所述AP通过强制转发消息发送的强制转发请求时，基于所述强制转发消息获取所述AP在公网上的IP地址和端口；所述Portal服务器接收到终端发送的登录请求时，基于所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求，以执行对所述终端的接入认证。结合第二方面，在第二方面的第一种可能的实现方式中，所述Portal服务器接收到所述AP通过强制转发消息发送的强制转发请求之后，还包括：所述Portal服务器通过所述AP向所述终端反馈Portal登录页面之后，才执行接收所述终端发送的登录请求。第三方面，提供一种接入认证系统，包括：AP，用于向Portal服务器发送注册请求消息，所述注册请求消息用于获取所述AP在公网上的IP地址和端口；接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息，所述注册响应消息中携带有所述AP在公网上的IP地址和端口；将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器，所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口，所述AP位于私有网络；Portal服务器，用于接收到位于私有网络中的AP发送的注册请求消息时，所述Portal服务器基于所述请求消息解析所述AP在公网上的IP地址和端口；将所述AP在公网上的IP地址和端口携带在注册本文档来自技高网...

【技术保护点】
一种接入认证方法，应用于接入点AP通过私有网络接入到公网的网络中，其特征在于，包括：位于所述私有网络中的AP向Portal服务器发送注册请求消息，所述注册请求消息用于获取所述AP在公网上的IP地址和端口；所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息，所述注册响应消息中携带有所述AP在公网上的IP地址和端口；所述AP将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器，所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口。

【技术特征摘要】
1.一种接入认证方法，应用于接入点AP通过私有网络接入到公网的网络中，其特征在于，包括：位于所述私有网络中的AP向Portal服务器发送注册请求消息，所述注册请求消息用于获取所述AP在公网上的IP地址和端口；所述AP接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息，所述注册响应消息中携带有所述AP在公网上的IP地址和端口；所述AP将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器，所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口。2.如权利要求1所述的方法，其特征在于，所述AP向所述Portal服务器发送注册请求消息之前，还包括：所述AP接收到所述终端发送的公网访问请求后，才执行所述向Portal服务器发送注册请求消息。3.如权利要求1所述的方法，其特征在于，所述AP将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器，包括：所述AP接到所述终端发送的公网访问请求，将所述终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器；以及接收所述Portal服务器返回的Portal登陆页面，将所述Portal服务器反馈的Portal登录页面发送至所述终端。4.如权利要求1所述的方法，其特征在于，所述AP向所述Portal服务器发送注册请求消息，包括：所述AP周期性向所述Portal服务器发送注册请求消息。5.一种接入认证方法，其特征在于，包括：Portal服务器接收到位于私有网络中的接入点AP发送的注册请求消息时，所述Portal服务器基于所述请求消息解析所述AP在公网上的IP地址和端口；所述Portal服务器将所述AP在公网上的IP地址和端口携带在注册响应消息中反馈至所述AP；所述Portal服务器接收到所述AP通过强制转发消息发送的强制转发请求时，基于所述强制转发消息获取所述AP在公网上的IP地址和端口；所述Portal服务器接收到终端发送的登录请求时，基于所述AP在公网上的IP地址和端口向所述AP发送对所述终端的接入认证请求，以执行对所述终端的接入认证。6.如权利要求5所述的方法，其特征在于，所述Portal服务器接收到所述AP通过强制转发消息发送的强制转发请求之后，还包括：所述Portal服务器通过所述AP向所述终端反馈Portal登录页面之后，才执行接收所述终端发送的登录请求。7.一种接入认证系统，其特征在于，包括：接入点AP，用于向Portal服务器发送注册请求消息，所述注册请求消息用于获取所述AP在公网上的IP地址和端口；接收所述Portal服务器基于所述注册请求消息反馈的注册响应消息，所述注册响应消息中携带有所述AP在公网上的IP地址和端口；将终端的公网访问请求通过重定向URL重定向到所述Portal服务器或通过强制转发消息转发到所述Portal服务器，所述重定向URL或强制转发消息中携带所述AP在公网上的IP地址和端口，所述AP位于私有...

【专利技术属性】
技术研发人员：吴德红，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44