认证方法技术

本发明专利技术提供了一种认证方法

【技术实现步骤摘要】
认证方法、装置、Portal服务器、系统及存储介质


[0001]本专利技术涉及通信领域，具体而言，涉及一种认证方法
、
装置
、Portal
服务器
、
系统及存储介质
。

技术介绍

[0002]随着网络的发展，网络安全方面也愈加受到重视，为避免黑客攻击
、
信息泄露
、
以及安全审计和提升网络管理效率，在用户接入网络时需要采用认证手段来验证用户身份合法性进而对网络资源授权访问
。
[0003]在众多的网络接入认证技术中，
Portal
认证
(
也称
Web
认证
)
只需网页浏览器的支持即可为用户提供认证服务，并且
Portal
认证网站
(
即门户网站
)
还可以支持信息投放
(
小区广播
、
广告
、
信息查询
、
网上购物等
)
功能，由于以上两种特点，
Portal
认证被广泛应用于运营商
、
连锁快餐
、
酒店
、
学校等网络
。
[0004]按照网络中实施
Portal
认证的网络层次来分，
Portal
认证方式分为两种：二层认证方式和三层认证方式，二者的认证原理分别如下：
[0005]1、
当终端与接入设备之间为二层网络时，即终端与接入设备直连
(
或之间只有二层设备存在
)
，接入设备可以学习到终端的
MAC
地址，则接入设备可以利用
IP
地址和
MAC
地址来识别用户，此时可配置
Portal
认证为二层认证方式，即可以通过学习到的
MAC
地址对终端进行身份认证，从而可实现
Portal
无感知认证
。
二层认证流程简单，安全性高，但由于二层网络场景限制了终端只能与接入设备处于同一网段，所以组网灵活性不高
。
[0006]2、
当终端与接入设备之间包含三层网络时，即终端与接入设备之间存在三层转发设备，接入设备不能获取到认证终端的
MAC
地址，只能以
IP
地址作为用户的唯一标识，此时需要将
Portal
认证配置为三层认证方式
。
三层认证组网灵活，容易实现远程控制，但由于只能以
IP
地址作为用户的唯一标识，所以安全性不高
。
并且，三层网络场景下，当用户需要携带终端进行移动办公
(
跨网络或跨楼宇
)
时，虽然用户在移动之前接入的网络进行过一次认证，但用户在移动后接入另一个网络后分配的
IP
地址会变化，此时基于
IP
地址无法实现
Portal
无感知认证
。

技术实现思路

[0007]本专利技术的目的在于提供一种认证方法
、
装置
、Portal
服务器
、
系统及存储介质，以改善现有技术存在的问题
。
[0008]本专利技术的实施例可以这样实现：
[0009]第一方面，本专利技术提供一种认证方法，应用于认证系统的
Portal
服务器，所述认证系统还包括与所述
Portal
服务器通信连接的接入设备以及与所述接入设备通信连接的多个网关设备，每个所述网关设备连接有至少一个终端；所述方法包括：
[0010]接收所述接入设备拦截任一所述终端的
HTTP
请求后发送的无感知查询请求；
[0011]基于所述无感知查询请求携带的终端
IP
地址，从预先存储的各个所述网关设备的
网络划分信息确定所述终端接入的网关设备；
[0012]通过所述接入设备向所述终端接入的网关设备发送地址获取请求；所述地址获取请求包括所述终端
IP
地址；
[0013]接收所述终端接入的网关设备通过所述接入设备返回的所述终端的
MAC
地址；
[0014]当确定维护的认证记录集合中存在与所述终端的
MAC
地址匹配的目标认证记录时，基于所述目标认证记录对所述终端进行无感知认证
。
[0015]第二方面，本专利技术提供一种认证装置，应用于认证系统的
Portal
服务器，所述认证系统还包括与所述
Portal
服务器通信连接的接入设备以及与所述接入设备通信连接的多个网关设备，每个所述网关设备下连接有至少一个终端；所述装置包括：
[0016]Portal
无感知模块，用于：
[0017]接收所述接入设备拦截任一所述终端的
HTTP
请求后发送的无感知查询请求；
[0018]基于所述无感知查询请求携带的终端
IP
地址，从预先存储的各个所述网关设备的网络划分信息确定所述终端接入的网关设备；
[0019]通过所述接入设备向所述终端接入的网关设备发送地址获取请求；所述地址获取请求包括所述终端
IP
地址；
[0020]接收所述终端接入的网关设备通过所述接入设备返回的所述终端的
MAC
地址；
[0021]Portal
协议模块，用于当确定维护的认证记录集合中存在与所述终端的
MAC
地址匹配的目标认证记录时，基于所述目标认证记录对所述终端进行无感知认证
。
[0022]第三方面，本专利技术提供一种
Portal
服务器，包括：存储器和处理器，所述存储器存储有软件程序，当所述
Portal
服务器运行时所述处理器执行所述软件程序以实现上述第一方面所述的认证方法
。
[0023]第四方面，本专利技术提供一种认证系统，所述认证系统包括接入设备
、
如上述第三专利技术的
Portal
服务器以及多个网关设备，所述
Portal
服务器以及多个网关设备均与所述接入设备通信连接，每个所述网关设备连接有至少一个终端
。
[0024]第五方面，本专利技术提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面所述的认证方法
。
[0025]与现有技术相比，本专利技术实施例提了一种认证方法
、
装置
、Portal
服务器
、
系统及存储介质，在认证系统中，
Portal本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种认证方法，其特征在于，应用于认证系统的
Portal
服务器，所述认证系统还包括与所述
Portal
服务器通信连接的接入设备以及与所述接入设备通信连接的多个网关设备，每个所述网关设备连接有至少一个终端；所述方法包括：接收所述接入设备拦截任一所述终端的
HTTP
请求后发送的无感知查询请求；基于所述无感知查询请求携带的终端
IP
地址，从预先存储的各个所述网关设备的网络划分信息确定所述终端接入的网关设备；通过所述接入设备向所述终端接入的网关设备发送地址获取请求；所述地址获取请求包括所述终端
IP
地址；接收所述终端接入的网关设备通过所述接入设备返回的所述终端的
MAC
地址；当确定维护的认证记录集合中存在与所述终端的
MAC
地址匹配的目标认证记录时，基于所述目标认证记录对所述终端进行无感知认证
。2.
根据权利要求1所述的方法，其特征在于，各个所述网关设备的网络划分信息通过以下方式得到：获取各个所述网关设备的访问
IP
地址；针对每个所述网关设备，基于所述网关设备的访问
IP
地址，通过所述接入设备向所述网关设备发送网络信息查询请求；接收每个所述网关设备返回的网络划分信息并进行保存；其中，所述网络划分信息包括所述网关设备的访问
IP
地址
、
所述网关设备的至少一个三层接口在所部署网络中的接口标识
、
掩码长度以及接口
IP
地址
。3.
根据权利要求2所述的方法，其特征在于，所述基于所述无感知查询请求携带的终端
IP
地址，从预先存储的各个所述网关设备的网络划分信息确定所述终端接入的网关设备的步骤，包括：基于所述无感知查询请求携带的终端
IP
地址，从各个所述网关设备的网络划分信息中查找与所述终端
IP
地址的地址前缀匹配的接口
IP
地址；基于所述终端
IP
地址对应的接口
IP
地址确定对应的访问地址，得到所述终端接入的网关设备的访问地址
。4.
根据权利要求1所述的方法，其特征在于，所述认证记录集合包括多条认证记录，所述认证记录包括参与认证终端的终端
IP
地址和
MAC
地址
、
用户账号信息以及所述接入设备的访问
IP
地址；所述目标认证记录的
MAC
地址与所述接入设备返回的
MAC
地址相同；所述方法还包括：当所述认证记录集合中不存在所述目标认证记录时，对所述终端进行有感知认证
。5.
根据权利要求1所述的方法，其特征在于，所述认证系统还包括与所述接入设备通信连接的
AAA
服务器；所述目标认证记录包括所述终端在上一次参与认证时的终端
IP
地址和
MAC
地址
、
接入设备的访问
IP
地址
、
用户账户信息以及认证时间；所述基于所述目标认证记录对所述终端进行无感知认证的步骤，包括：发送无感知查询结果至所述接入设备；基于所述目标认证记录生成
Portal
认证报文并将所述
Portal
认证报文发送至所述接入设备，以使所述接入设备在确定所述无感知查询结果中的无感知认证参数为真时基于所述
Portal
认证报文向所述
AAA
服务器发送
AAA
认证报文；所述
AAA
认证报文用于请求所述
AAA
服务器对所述用户账户信息进行认证并在认证完成之后向所述接入设备返回
AAA
认证结果报文；接收所述接入设备发送的

【专利技术属性】
技术研发人员：黄山，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：