身份认证方法及装置制造方法及图纸

本申请实施例公开了身份认证方法及装置。方法包括：接收来自用户终端的网络访问请求；向用户终端返回Portal认证页面，Portal认证页面中包括指示信息；接收社交开放平台生成的用于获取用户身份信息的访问令牌；生成包含用户终端的终端标识及访问令牌的Portal认证请求；将Portal认证请求发送至认证服务器；接收认证服务器返回的Portal认证响应，Portal认证响应中包括终端标识和认证结果。采用本申请所提供的方法及装置进行用户身份认证，可以直接使用保存在社交开放平台上的用户身份信息对用户终端进行身份认证，从而无需用户再预先向Portal认证系统进行注册，方便用户使用。

Authentication method and device

The embodiment of the present invention discloses an authentication method and an authentication device. The method comprises: receiving from a user terminal network access request; return Portal authentication page to the user terminal, including information indicating the Portal authentication page; receiving social open platform for the generation of the access token to obtain user identity information; terminal identification and access token generation includes user terminal Portal authentication request authentication request is sent to the Portal; the authentication server; receiving the authentication server returned Portal authentication response, Portal authentication response includes terminal identification and authentication result. By using the method and the device for providing the user identity authentication, can be directly used to authenticate the user terminal stores the user identity information in the open social platform, thus eliminating the need for users to register in advance to the Portal authentication system, convenient for users to use.

【技术实现步骤摘要】
身份认证方法及装置
本申请涉及通信领域，尤其涉及身份认证方法及装置。
技术介绍
为加强对网络的安全控制和运营管理，网络的提供者通常会使用入口(英文：Portal)认证系统对网络的使用权限进行管理。在使用Portal认证系统对网络的使用权限进行管理时，用户终端可以通过无需进行验证即可接入该网络，但是在接入该网络后，用户终端如果想要使用网络，则必须要通过Portal认证系统的身份认证。用户终端在进行身份认证时，需要向Portal认证系统提供所述用户终端的用户身份信息。所述Portal认证系统则可以通过所述用户身份信息来对用户终端进行身份认证，从而确定所述用户终端是否有权限使用所述网络资源。例如，用户终端在进行身份验证时，通常需要Portal认证系统提供用户名和密码，而Portal认证系统则可以使用该用户名及密码对用户终端进行身份认证。如果所述用户终端能够通过身份认证，那么所述Portal认证系统可以允许所述用户终端使用所述Portal认证系统所管理的网络；如果所述用户终端未通过身份认证，那么所述Portal认证系统则可以拒绝所述用户终端使用Portal认证系统所管理的网络。在实际使用中，所述用户身份信息通常需要由所述用户终端预先向Portal认证系统注册才能够获取。因此当用户终端需要使用某网络时，就需要预先向控制该网络使用权限的Portal认证系统进行注册。由于有不同的网络的提供者则会使用不同的Portal认证系统对网络的使用权限进行管理，因此当所述用户需要使用不同的无线资源时，就需要向不同的Portal认证系统注册，不方便用户终端使用。
技术实现思路
本申请实施例提供了身份认证方法及装置，以解决现有Portal认证系统不方便用户使用的问题。第一方面，本申请实施例提供了一种身份认证方法的方法，该方法包括：门户Portal服务器接收来自用户终端的网络访问请求，所述网络访问请求中包括所述用户终端的终端标识；所述Portal服务器向所述用户终端返回Portal认证页面，所述Portal认证页面中包括指示信息，所述指示信息用于指示所述用户终端登陆社交开放平台；所述Portal服务器接收所述社交开放平台生成的用于获取用户身份信息的访问令牌；所述Portal服务器生成包含所述用户终端的终端标识及所述访问令牌的Portal认证请求；所述Portal服务器将所述Portal认证请求发送至认证服务器，以使所述认证服务器根据所述终端标识及所述访问令牌从所述社交开放平台获取所述用户身份信息，并使用所述用户身份信息进行用户认证；所述Portal服务器接收所述认证服务器返回的Portal认证响应，所述Portal认证响应中包括所述终端标识和认证结果。采用本方面所提供的方法进行用户身份认证，可以直接使用所述用户终端保存在所述社交开放平台上的用户身份信息对所述用户终端进行身份认证，从而无需用户再预先向Portal认证系统进行注册，方便用户使用。结合第一方面，在第一方面第一种可能的实现方式中，所述Portal认证请求为远程用户拨号认证RADIUS报文，其中，所述RADIUS报文的户名属性为所述终端标识，所述RADIUS报文的密码属性为所述访问令牌。采用本实现方式，以RADIUS报文形式传输Portal认证请求，可以增加Portal认证请求传输过程的安全性。结合第一方面或第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，在所述Portal服务器接收来自用户终端的网络访问请求之前，所述方法还包括：所述Portal服务器从所述社交开放平台获取授权通信密钥，所述授权通信密钥用于授权所述认证服务器从所述社交开放平台获取信息；所述Portal服务器将所述授权通信密钥发送给所述认证服务器。采用本实现方式，可以为所述Portal服务器可以提前为认证服务器获取授权通信密钥，从而为认证服务器从所述社交开放平台获取用户身份信息提供前提条件。结合第一方面第一种可能的实现方式，在第一方面第三种可能的实现方式中，所述Portal服务器将所述Portal认证请求发送至认证服务器包括：所述Portal服务器将所述RADIUS报文发送至NAD，所述RADIUS报文由所述NAD透明传输至所述认证服务器。采用本实现方式，可以以透明传输方式传输所述RADIUS报文，从而可以增加认证请求传输的安全性。第二方面，本申请实施例还提供了另一种身份认证方法，该方法包括：认证服务器接收门户Portal服务器发送的Portal认证请求，其中，所述Portal认证请求包括用户终端的终端标识及访问令牌，所述访问令牌用于从所述社交开放平台获取与所述终端标识对应的用户身份信息；所述认证服务器根据所述终端标识、授权通信密钥及所述访问令牌从社交开放平台获取所述用户终端的用户身份信息，所述授权通信密钥用于指示所述认证服务器被授权从所述社交开放平台获取信息；所述认证服务器使用所述用户身份信息对用户终端进行身份认证得到认证结果；所述认证服务器向所述Portal服务器返回Portal认证响应，所述Portal认证响应中包括所述终端标识和所述认证结果。采用本方面所提供的方法进行用户身份认证时，可以直接使用所述用户终端保存在所述社交开放平台上的用户身份信息对所述用户终端进行身份认证，从而无需用户再预先向Portal认证系统进行注册，方便用户使用。结合第二方面，在第二方面第一种可能的实现方式中，所述Portal认证请求为远程用户拨号认证RADIUS报文，其中，所述RADIUS报文的户名属性为所述终端标识，所述RADIUS报文的密码属性为所述访问令牌。结合第二方面或第二方面第一种可能的实现方式，在第二方面第二种可能的实现方式中，在所述认证服务器接收Portal服务器发送的Portal认证请求之前还包括：所述认证服务器接收所述Portal服务器发送的所述授权通信密钥。第三方面，本申请实施例还提供了一种身份认证装置，该装置包括用于执行前述第一方面及第一方面各个实施方式中各个步骤的模块。第四方面，本申请实施例还提供了另一种身份认证装置，该装置包括用于执行前述第二方面及第二方面各个实施方式中各个步骤的模块。第五方面，本申请实施例还提供了一种Portal服务器。所述Portal服务器可以包括处理器、存储器及收发器。所述处理器通过所述收发器与用户终端、认证服务器等进行通信，所述处理器还用于执行第一方面及第一方面各个实施方式中各个步骤。第六方面，本申请实施例还提供了一种认证服务器。所述认证服务器可以包括处理器、存储器及收发器。所述处理器通过所述收发器与用户终端、认证服务器等进行通信，所述处理器还用于执行第二方面及第二方面各个实施方式中各个步骤。第七方面，本申请实施例还提供了一种认证系统，所述认证系统可以包括前述Portal服务器、认证服务器及网络准入设备(英文：networkaccessdevice，缩写：NAD)。所述Portal服务器包括如第三方面提供的身份认证装置，或者如第五方面所述；所述认证服务器包括如第四方面提供的身份认证装置，或者如第六方面所述；所述NAD用于转发所述Portal服务器和所述认证服务器之间的消息。第八方面，本申请实施例还提供了一种计算机存储介质，该计算机存储介质中本文档来自技高网...

【技术保护点】
一种身份认证方法，其特征在于，包括：门户Portal服务器接收来自用户终端的网络访问请求，所述网络访问请求中包括所述用户终端的终端标识；所述Portal服务器向所述用户终端返回Portal认证页面，所述Portal认证页面中包括指示信息，所述指示信息用于指示所述用户终端登陆社交开放平台；所述Portal服务器接收所述社交开放平台生成的用于获取用户身份信息的访问令牌；所述Portal服务器生成包含所述用户终端的终端标识及所述访问令牌的Portal认证请求；所述Portal服务器将所述Portal认证请求发送至认证服务器，以使所述认证服务器根据所述终端标识及所述访问令牌从所述社交开放平台获取所述用户身份信息，并使用所述用户身份信息进行用户认证；所述Portal服务器接收所述认证服务器返回的Portal认证响应，所述Portal认证响应中包括所述终端标识和认证结果。

【技术特征摘要】
1.一种身份认证方法，其特征在于，包括：门户Portal服务器接收来自用户终端的网络访问请求，所述网络访问请求中包括所述用户终端的终端标识；所述Portal服务器向所述用户终端返回Portal认证页面，所述Portal认证页面中包括指示信息，所述指示信息用于指示所述用户终端登陆社交开放平台；所述Portal服务器接收所述社交开放平台生成的用于获取用户身份信息的访问令牌；所述Portal服务器生成包含所述用户终端的终端标识及所述访问令牌的Portal认证请求；所述Portal服务器将所述Portal认证请求发送至认证服务器，以使所述认证服务器根据所述终端标识及所述访问令牌从所述社交开放平台获取所述用户身份信息，并使用所述用户身份信息进行用户认证；所述Portal服务器接收所述认证服务器返回的Portal认证响应，所述Portal认证响应中包括所述终端标识和认证结果。2.如权利要求1所述的方法，其特征在于，所述Portal认证请求为远程用户拨号认证RADIUS报文，其中，所述RADIUS报文的户名属性为所述终端标识，所述RADIUS报文的密码属性为所述访问令牌。3.如权利要求1或2所述的方法，其特征在于，在所述Portal服务器接收来自用户终端的网络访问请求之前，所述方法还包括：所述Portal服务器从所述社交开放平台获取授权通信密钥，所述授权通信密钥用于授权所述认证服务器从所述社交开放平台获取信息；所述Portal服务器将所述授权通信密钥发送给所述认证服务器。4.一种身份认证方法，其特征在于，包括：认证服务器接收门户Portal服务器发送的Portal认证请求，其中，所述Portal认证请求包括用户终端的终端标识及访问令牌，所述访问令牌用于从所述社交开放平台获取与所述终端标识对应的用户身份信息；所述认证服务器根据所述终端标识、授权通信密钥及所述访问令牌从社交开放平台获取所述用户终端的用户身份信息，所述授权通信密钥用于指示所述认证服务器被授权从所述社交开放平台获取信息；所述认证服务器使用所述用户身份信息对用户终端进行身份认证得到认证结果；所述认证服务器向所述Portal服务器返回Portal认证响应，所述Portal认证响应中包括所述终端标识和所述认证结果。5.如权利要求4所述的方法，其特征在于，所述Portal认证请求为远程用户拨号认证RADIUS报文，其中，所述RADIUS报文的户名属性为所述终端...

【专利技术属性】
技术研发人员：陈国忠，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44