一种认证方法及装置制造方法及图纸

本发明专利技术提供一种认证方法及装置，该方法包括：当接收到目标用户终端发送的携带登录信息的第一HTTP访问请求报文时，向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文；当接收到所述目标Portal/AAA服务器返回的第一HTTP认证响应报文时，将所述第一HTTP认证响应报文中携带的认证结果通过第二HTTP认证响应报文发送给所述目标用户终端。应用本发明专利技术实施例可以在提高组网安全性的前提下，保证认证方案的兼容性。

【技术实现步骤摘要】
一种认证方法及装置
本专利技术涉及网络通信
，尤其涉及一种认证方法及装置。
技术介绍
Portal(门户)认证是目前的主流的认证方式，用户终端通过认证后才能访问网络资源。用户终端使用Portal认证进行认证时，可以直接使用浏览器进行认证，而不需要安装专门的认证客户端，减少了客户端的维护工作量，便于运营。目前，如图1所示，常见的Portal认证组网中，Portal/AAA(Authentication,Authorization,Accounting，认证、授权、计费)服务器与用户终端分布在不同的子网，不同子网之间需要通过NAT(NetworkAddressTranslation，网络地址转换)设备映射到公网实现通信。其中，Portal/AAA服务器与PortalWeb(门户网站)服务器可以部署在同一台物理设备上，也可以部署在不同的物理设备(图中以部署在不同物理设备上为例)。在一些场景中，Portal/AAA服务器与用户终端侧的接入设备之间需要通过UDP(UserDatagramProtocol，用户数据报协议)报文进行通信，然而，各子网的防火墙需要对应开放UDP端口(即在防火墙的公网侧开放专门的端口用于UDP报文的交互)，在安全性要求较高环境中，开放新的端口(如前述UDP端口)安全隐患较大。
技术实现思路
本专利技术提供一种认证方法及装置，以解决现有Portal认证方案中存在较大安全隐患的问题。根据本专利技术实施例的第一方面，提供一种认证方法，应用于Portal认证组网中的PortalWeb服务器，所述Portal认证组网中的Portal/AAA服务器部署在用户终端所在子网，所述方法包括：当接收到目标用户终端发送的携带登录信息的第一HTTP访问请求报文时，向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文，以使所述目标Portal/AAA服务器在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证；当接收到所述目标Portal/AAA服务器返回的第一HTTP认证响应报文时，将所述第一HTTP认证响应报文中携带的认证结果通过第二HTTP认证响应报文发送给所述目标用户终端。根据本专利技术实施例的第二方面，提供一种认证装置，应用于Portal认证组网中的PortalWeb服务器，所述Portal认证组网中的Portal/AAA服务器部署在用户终端所在子网，所述装置包括：接收单元，用于接收报文；发送单元，用于当所述接收单元接收到目标用户终端发送的携带登录信息的第一HTTP访问请求报文时，向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文，以使所述目标Portal/AAA服务器在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证；所述发送单元，还用于当所述接收单元接收到所述目标Portal/AAA服务器返回的第一HTTP认证响应报文时，将所述第一HTTP认证响应报文中携带的认证结果通过第二HTTP认证响应报文发送给所述目标用户终端。根据本专利技术实施例的第三方面，提供一种认证系统，包括：Portal/认证授权计费AAA服务器和门户网站服务器，其特征在于，Portal/认证授权计费AAA服务器部署在用户终端所在子网，其中:所述门户网站服务器用于执行上述认证方法；所述Portal/AAA服务器用于当接收到所述门户网站服务器发送的第二HTTP访问请求报文时，在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证，并向所述PortalWeb服务器返回携带认证结果的第一HTTP认证响应报文。应用本专利技术实施例，通过将Portal/AAA服务器分布式部署在用户终端所在子网，当PortalWeb服务器接收到目标用户终端发送的携带登录信息的第一HTTP访问请求报文时，向目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文，以使目标Portal/AAA服务器在确定登录信息校验通过时，与目标子网中的目标接入设备进行针对目标用户终端的认证；当PortalWeb服务器接收到目标Portal/AAA服务器返回的第一HTTP认证响应报文时，将第一HTTP认证响应报文中携带的认证结果通过第二HTTP认证响应报文发送给目标用户终端，在防火墙在公网上不开放对应的UDP端口的情况下，Portal/AAA服务器与接入设备仍然可以使用UDP报文进行认证交互，在提高了组网安全性的前提下，保证了认证方案的兼容性。附图说明图1是一种典型的Portal认证组网的架构示意图；图2是本专利技术实施例提供的一种Portal认证组网的架构示意图；图3是本专利技术实施例提供的一种认证方法的流程示意图；图4A是本专利技术实施例提供的一种具体应用场景的架构示意图；图4B是本专利技术实施例提供的图4A所示应用场景下的认证方法的流程示意图；图5是本专利技术实施例提供的一种认证装置的结构示意图；图6是本专利技术实施例提供的另一种认证装置的结构示意图；图7是本专利技术实施例提供的另一种认证装置的结构示意图；图8是本专利技术实施例提供的一种认证系统的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，下面先对本专利技术实施例适用的网络架构进行简单说明。请参见图2，为本专利技术实施例提供的一种Portal认证组网的架构示意图，如图2所示，该Portal认证组网可以包括用户终端、接入设备、NAT设备、PortalWeb服务器以及Portal/AAA服务器。在图2所示Portal认证组网中，将Portal/AAA服务器与PortalWeb服务器分布式部署，并将Portal/AAA服务器部署至用户终端所在子网，即Portal/AAA服务器与用户终端所在子网的接入设备处于同一子网。在图2所示Portal认证组网中，由于Portal/AAA服务器与接入设备处于同一子网，Portal/AAA服务器与接入设备进行认证交互时，报文不需要通过公网传输，因此，当PortalWeb服务器与Portal/AAA服务器采用HTTP报文进行交互时，各子网的防火墙在公网上不开放对应的UDP端口的情况下，Portal/AAA服务器与接入设备仍然可以使用UDP报文进行认证交互，在提高了组网安全性的前提下，保证了认证方案的兼容性。需要说明的是，在本专利技术实施例中，其中，当用户终端部署在多个不同的子网时，各子网中均需部署Portal/AAA服务器(图2中仅示出一个用户终端所在子网)。此外，在本专利技术实施例中，若未特殊说明，所提及的HTTP报文可以包括HTTP报文或HTTPS(HyperTextTransferProtocoloverSecureSocketLayer，基于安全套接字层的超文本传输协议)报文。例如，下文中提及的第一HTTP访问请求报文可以为第一HTTP访问请求报文或第一HTTPS访问请求报文。为了使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术实施例中技术方案作进一步详细本文档来自技高网...

【技术保护点】
1.一种认证方法，应用于门户Portal认证组网中的门户网站服务器，其特征在于，所述Portal认证组网中的Portal/认证授权计费AAA服务器部署在用户终端所在子网，所述方法包括：当接收到目标用户终端发送的携带登录信息的第一超文本传输协议HTTP访问请求报文时，向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文，以使所述目标Portal/AAA服务器在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证；当接收到所述目标Portal/AAA服务器返回的第一HTTP认证响应报文时，将所述第一HTTP认证响应报文中携带的认证结果通过第二HTTP认证响应报文发送给所述目标用户终端。

【技术特征摘要】
1.一种认证方法，应用于门户Portal认证组网中的门户网站服务器，其特征在于，所述Portal认证组网中的Portal/认证授权计费AAA服务器部署在用户终端所在子网，所述方法包括：当接收到目标用户终端发送的携带登录信息的第一超文本传输协议HTTP访问请求报文时，向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文，以使所述目标Portal/AAA服务器在确定所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证；当接收到所述目标Portal/AAA服务器返回的第一HTTP认证响应报文时，将所述第一HTTP认证响应报文中携带的认证结果通过第二HTTP认证响应报文发送给所述目标用户终端。2.根据权利要求1所述的方法，其特征在于，所述向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文，包括：根据所述第一HTTP访问请求报文的源IP地址确定所述目标用户终端所在目标子网对应的目标网段；根据所述目标网段确定所述目标子网中部署的目标Portal/AAA服务器的IP地址；根据所述目标Portal/AAA服务器的IP地址，向所述目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文。3.根据权利要求2所述的方法，其特征在于，所述根据所述目标网段确定所述目标子网中部署的目标Portal/AAA服务器的IP地址，包括：根据所述目标网段查询预先配置的各Portal/AAA服务器的IP地址，将归属于所述目标网段的Portal/AAA服务器的IP地址确定为所述目标Portal/AAA服务器的IP地址。4.根据权利要求1所述的方法，其特征在于，所述向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文之前，还包括：对所述登录信息进行校验；当校验通过时，确定执行所述向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文的步骤。5.根据权利要求1所述方法，其特征在于，所述向所述目标用户终端所在目标子网中部署的目标Portal/AAA服务器发送携带所述目标用户终端的IP地址的第二HTTP访问请求报文，包括：向所述目标Portal/AAA服务器发送携带所述目标用户终端的IP地址和所述登录信息的第二HTTP访问请求报文，以使所述目标Portal/AAA服务器对所述登录信息校验通过时，与所述目标子网中的目标接入设备进行针对所述目标用户终端的认证。6.一种认证装置，应用于门户Portal认证组网中的门户网站PortalWeb服务器，其特征在于，所述Portal认证组网中的Portal/认证授权计费AAA服务器部署在用户终端所在子网，所述装置包括：...

【专利技术属性】
技术研发人员：孟庆伟，许文雨，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33