一种终端的认证方法、受信判定网关、认证服务器和系统

摘要

本发明公开了一种终端的认证方法、受信判定网关、认证服务器和系统，包括：受信判定网关接收到使用无线网络服务的请求；受信判定网关判断终端是否为已认证状态，如果是，则向无线接入设备发送允许使用消息，如果否，则对终端进行认证，并根据认证结果向无线接入设备发送允许使用或不允许使用消息。本发明的认证方法、受信判定网关、认证服务器和系统，实现了终端在多个受信AP间的身份认证信息的共享，解决了终端在多个受信的AP间连接时重复认证的问题，具有更好的适配性和可扩展性，可用于公共服务场所无线AP的运营，通过在多个受信AP间的无障碍连接，有助于增强终端用户服务一致性感知及用户体验等。

说明书

技术领域

本发明涉及通信网络技术领域，尤其涉及一种终端的认证方法、受信判定网关、认证服务器和系统。

背景技术

无线WIFI接入因其良好的接入便利性和服务灵活性获得了越来越广泛地应用，尤其在公共服务场所如快餐店、咖啡馆、酒店、商场、步行街、高校、景区等区域应用越来越多。在这些区域，用户移动终端可以方便地通过WIFI接入而获得网络访问能力，而WIFI服务提供者也可以通过提供WIFI接入服务达到推广企业形象和产品、提升品牌知名度、提高服务水平和增强客户粘性等目的。为实现网络接入安全、网络留痕、企业推介等目的，用户接入WIFI需要对身份进行认证。认证的过程就是使用无线接入服务的用户身份的验证和对用户身份信息留存的过程。

目前，实现WiFi接入身份认证方式主要有三种：第一种是采用WEP或WPA等口令式的认证方式，这种方式已被证明缺乏安全性且服务的使用者与提供者都需要管理繁琐的密码。第二种基于802.1x框架实现的认证方式，这种方式较好地解决了身份认证的安全性问题，但需要有专门的802.1x的客户端且实施较复杂，动态更新的密钥也给服务的使用者与提供者带来较大的管理负担，因此，此方式多为一些安全性要求很高的大型机构所采用。第三种是基于WebPortal/Web认证的方式，相比方式一更加安全有效、用户交互性更好，相比方式二部署实施和维护管理都更简便(无需专门的客户端等软件，用户侧只需要安装浏览器即可)，同时还可灵活地实现广告推送、用户管理等多种附加功能。因此，目前基于WEBPortal的WIFI身份认证方式获得广泛地应用，尤其在餐饮、美容美发等公共服务场所等。

目前，基于WEBPortal的WIFI身份认证主要实现单个AP下用户的接入许可服务。随着用户增多或商家服务场所规模扩大(如连锁)，一个商家部署多个AP的情况逐渐增多，而用户在该商家一个AP上通过认证后，如该用户移动到商家的另一场所(如另一楼层或连锁)需要接入到该商家部署的其它AP时，即使在用户身份认证有效期内，还需要对用户身份重新进行认证，这样用户就需要再次输入帐号和验证码等身份验证信息，给用户的服务感知较差，品牌一致性也不好。

发明内容

有鉴于此，本发明要解决的一个技术问题是提供一种终端的认证方法，通过受信判定网关对终端进行认证，能够避免终端在多个AP间切换时的重复认证。

一种终端的认证方法，包括：受信判定网关接收到无线接入设备转发的、由终端发送的使用无线网络服务的请求；所述受信判定网关判断所述终端是否为已认证状态，如果是，则向所述无线接入设备发送允许使用消息，如果否，则对所述终端进行认证，并根据认证结果向所述无线接入设备发送允许使用或不允许使用消息。

根据本发明的一个实施例，进一步的，当判断受信设备列表中有所述终端时，所述受信判定网关确定所述终端为已认证状态；所述受信判定网关接收到所述认证服务器返回的认证结果，当所述认证结果为所述终端是已注册或已认证用户时，则所述受信判定网关将所述终端加入到所述受信设备列表中，并向所述无线接入设备发送允许使用消息。

根据本发明的一个实施例，进一步的，所述终端向所述无线接入设备发送使用无线网络的请求；当所述无线接入设备判断所述终端不在网络服务许可使用队列时，将所述请求发送到所述受信判定网关；当所述受信判定网关判断所述终端不在所述受信设备列表时，将所述请求发送到认证服务器，并将所述认证服务器返回的所述请求和随机TOKEN码发送到所述无线接入服务器；所述无线接入设备延缓所述请求，并向所述受信网关发送所述随机TOKEN码请求验证；所述受信判定网关将所述随机TOKEN码发送到所述认证服务器请求验证，当接收到所述认证服务器发送的验证成功消息，将所述终端加入到所述受信设备列表中，并向所述无线接入设备发送允许使用消息；所述无线接入设备根据此允许使用消息将所述终端插入所述网络服务许可使用队列中。

根据本发明的一个实施例，进一步的，所述终端向另一无线接入设备发送使用无线网络服务的请求；当所述另一无线接入设备判断所述终端不在网络服务许可使用队列时，将所述请求发送到所述受信判定网关；所述受信判定网关查询所述受信设备列表，当判断所述终端处于已认证状态时，则向所述另一无线接入设备发出允许使用消息；所述另一无线接入设备根据此允许使用消息将所述终端插入网络服务许可使用队列中。

根据本发明的一个实施例，进一步的，所述认证服务器接收到所述受信判定网关发送的所述请求；所述认证服务器向所述终端发送用户注册页，并从所述终端提交的所述用户注册页中获取用户注册信息，所述用户注册信息包括：帐号或手机号、验证码或随时短信验证码；所述认证服务器生成与所述用户注册信息绑定的唯一所述随机TOKEN码，并将所述请求与所述随机TOKEN码发送到所述受信判定网关；所述认证服务器根据接收到所述随机TOKEN码和所述用户注册信息，判定该用户是否为已注册或已认证用户，并将验证结果返回到所述受信判定网关。

本发明要解决的一个技术问题是提供一种受信判定网关，能够避免终端在多个AP间切换时的重复认证。

一种受信判定网关，包括：请求接收单元，用于接收无线接入设备转发的、由终端发送的使用无线网络服务的请求；认证判定单元，用于判断所述终端是否为已认证状态，如果是，则向所述无线接入设备发送允许使用消息，如果否，则对所述终端进行认证，并根据认证结果向所述无线接入设备发送允许使用或不允许使用消息。

根据本发明的一个实施例，进一步的，所述认证判定单元，还用于当判断受信设备列表中有所述终端时，则确定所述终端为已认证状态；接收到所述认证服务器返回的认证结果，当所述认证结果为所述终端是已注册或已认证用户时，则所述受信判定网关将所述终端加入到所述受信设备列表中，并向所述无线接入设备发送允许使用消息。

根据本发明的一个实施例，进一步的，所述认证判定单元，还用于当判断所述终端不在所述受信设备列表时，将所述请求发送到认证服务器，并将所述认证服务器返回的所述请求和随机TOKEN码发送到所述无线接入服务器；将从所述无线接入设备接收的所述随机TOKEN码发送到所述认证服务器请求验证，当接收到所述认证服务器发送的验证成功消息时，将所述终端加入到所述受信设备列表中，并向所述无线接入设备发送允许使用消息；其中，所述无线接入设备根据此允许使用消息将所述终端插入所述网络服务许可使用队列中。

根据本发明的一个实施例，进一步的，所述请求接收单元，还用于接收另一无线接入设备发送的、所述终端发送的使用无线网络服务的请求；所述认证判定单元，还用于查询所述受信设备列表，当判断所述终端处于已认证状态时，则向所述另一无线接入设备发出允许使用消息；其中，所述另一无线接入设备根据此允许使用消息将所述终端插入网络服务许可使用队列中。

本发明要解决的一个技术问题是提供一种认证服务器，对受信判定网关发送的终端访问请求进行认证。

一种认证服务器，包括：接收认证请求单元，用于接收受信判定网关发送的请求；其中，所述请求为无线接入设备转发的、由终端发送的使用无线网络服务的请求；注册信息获取单元，用于向所述终端发送用户注册页，并从所述终端提交的所述用户注册页中获取用户注册信息，所述用户注册信息包括：帐号或手机号、验证码或随时短信验证码；验证单元，用于生成与所述用户注册信息绑定的唯一所述随机TOKEN码，并将所述请求与所述随机TOKEN码发送到所述受信判定网关；根据接收到的所述随机TOKEN码和所述用户注册信息，判定该用户是否为已注册或已认证用户，并将验证结果返回到所述受信判定网关。

一种无线网络系统，包括：多个无线接入设备、如上所述的受信判定网关和如上所述的认证服务器。

本发明的终端的认证方法、受信判定网关、认证服务器和系统，实现终端在多个受信AP间的身份认证信息的共享，解决终端在多个受信的AP间连接时重复认证的问题，不仅支持单个AP还可支持多个AP下的移动终端的身份认证。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明的终端的认证方法的一个实施例的流程图；

图2为根据本发明的终端的认证方法的一个实施例的终端首次认证的流程图；

图3为根据本发明的终端的认证方法的一个实施例的终端再次认证的流程图；

图4为根据本发明的受信判定网关的一个实施例的结构示意图；

图5为根据本发明的认证服务器的一个实施例的结构示意图；

图6为根据本发明的无线网络系统的一个实施例的结构示意图。

具体实施方式

下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。下面结合各个图和实施例对本发明的技术方案进行多方面的描述。

图1为根据本发明的终端的认证方法的一个实施例的流程图，如图1所示：

步骤101，受信判定网关接收到无线接入设备转发的、由终端发送的使用无线网络服务的请求。

步骤102，受信判定网关判断终端是否为已认证状态。

步骤103，如果是，则向无线接入设备发送允许使用消息，如果否，则对终端进行认证，并根据认证结果向无线接入设备发送允许使用或不允许使用消息。

无线接入设备可以为无线路由器等，作为无线接入点AP对终端提供接入服务。终端可以为移动终端、笔记本电脑、IPad等等，无线接入设备和终端可以采用WIFI、蓝牙等方式进行通信。

当判断受信设备列表中有此终端时，受信判定网关确定此终端为已认证状态。受信判定网关接收到认证服务器返回的认证结果，当认证结果为终端是已注册或已认证用户时，则受信判定网关将终端加入到受信设备列表中，并向无线接入设备发送允许使用消息。受信设备列表可以保存、维护在受信判定网关中。

本发明的终端的认证方法，可以实现移动终端在多个无线接入点间切换并免去二次认证，基于原有WebPortal认证系统中增加受信判定网关及其内建的受信设备列表，实现对认证有效期内的便携式设备在切换到其它受信AP时无需再次认证即可直接使用WIFI服务，解决了移动终端在多个受信AP间切换时重复认证的问题，避免了不必要的用户交互操作，提升了用户服务体验感知。

在一个实施例中，终端向无线接入设备发送使用无线网络的请求，当无线接入设备判断终端不在网络服务许可使用队列时，将请求发送到受信判定网关。当受信判定网关判断终端不在受信设备列表时，将请求发送到认证服务器，并将认证服务器返回的请求和随机TOKEN码发送到无线接入服务器。可以在各个无线接入设备中维护各自的网络服务许可使用队列。

无线接入设备延缓请求，并向受信网关发送随机TOKEN码请求验证。受信判定网关将随机TOKEN码发送到认证服务器请求验证，当接收到认证服务器发送的验证成功消息，将终端加入到受信设备列表中，并向无线接入设备发送允许使用消息。无线接入设备根据此允许使用消息将终端插入到网络服务许可使用队列中。

认证服务器接收到受信判定网关发送的请求，认证服务器向终端发送用户注册页，并从终端提交的用户注册页中获取用户注册信息，用户注册信息包括：帐号或手机号、验证码或随时短信验证码等等。

认证服务器生成与用户注册信息绑定的唯一随机TOKEN码，并将请求与随机TOKEN码发送到受信判定网关。认证服务器根据接收到随机TOKEN码和用户注册信息，根据随机TOKEN码查到与之对应的用户注册信息，根据用户注册信息判定该用户是否为已注册或已认证用户，并将验证结果返回到受信判定网关。

图2为根据本发明的终端的认证方法的一个实施例的终端首次认证的流程图，如图2所示：

步骤201：移动终端MD通过无线接入设备AP请求使用无线网络服务。

步骤202：当AP查询MD不在本AP网络服务许可使用队列时，将用户请求重定向到受信判定网关CAG。

步骤203：当CAG查询MD不在已认证状态队列及受信设备列表中时，则将该请求重定向到认证服务器AS。

步骤204：AS以用户注册页响应MD的请求，用户在此注册页录入用户身份注册信息，如帐号/手机号+验证码/随时短信验证码等,并提交给AS，AS生成AS内唯一的随机TOKEN码并将其与用户注册信息相绑定。

步骤205：AS将用户请求连带生成的TOKEN码重定向到CAG，CAG将用户请求+TOKEN码重定向到AP。

步骤206：AP延缓MD网络使用请求，并带着用户请求TOKEN信息向CAG请求验证。

步骤207：CAG带着TOKEN信息向AS请求验证MD身份合法性。

步骤208：AS将其内保存的TOKEN信息以及收到的TOKEN信息进行比对并进行用户验证，当确认有此用户存在时，告知CAGMD身份验证通过。

步骤209：CAG告知AP允许MD使用网络服务，并更新其内保存的受信AP表中的已认证MD列表。

步骤210：AP将MD设备列入其网络服务许可使用队列。

步骤211：MD通过AP使用网络服务。

在一个实施例中，终端向另一无线接入设备发送使用无线网络服务的请求。当另一无线接入设备判断终端不在网络服务许可使用队列时，将请求发送到受信判定网关，受信判定网关查询受信设备列表，当判断终端处于已认证状态时，则向另一无线接入设备发出允许使用消息；另一无线接入设备根据此允许使用消息将终端插入网络服务许可使用队列中。

图3为根据本发明的终端的认证方法的一个实施例的终端再次认证的流程图，如图3所示：

步骤301：移动终端MD向受信组中的另一无线接入点AP请求使用无线网络服务。

步骤302：受信组中的另一AP查询MD不在本AP网络服务许可使用队列，将用户请求重定向到受信判定网关CAG。

步骤303：CAG查询受信AP设备列表及受信设备列表中MD设备已处于已认证状态，则向AP发出允许MD使用无线网络服务请求。

步骤304：AP将MD设备列入其网络服务许可使用队列。

步骤305：MD通过受信组的另一AP直接接入网络服务。

实现了终端在多个受信AP间的身份认证信息的共享，在多个受信的AP间连接时不需重复认证。

如图4所示，本发明提供一种受信判定网关4，包括：请求接收单元41和认证判定单元42。请求接收单元41接收无线接入设备转发的、由终端发送的使用无线网络服务的请求。认证判定单元42判断终端是否为已认证状态，如果是，则向无线接入设备发送允许使用消息，如果否，则对终端进行认证，并根据认证结果向无线接入设备发送允许使用或不允许使用消息。

在一个实施例中，当判断受信设备列表中有终端时，则认证判定单元42确定终端为已认证状态；接收到认证服务器返回的认证结果，当认证结果为终端是已注册或已认证用户时，则认证判定单元42将终端加入到受信设备列表中，并向无线接入设备发送允许使用消息。

受信判定网关通过预先配置受信设备列表，可以灵活地调整受信的范围，方便系统按需扩展，不改变原有系统功能和初始认证流程，易于部署实施。

在一个实施例中，当判断终端不在受信设备列表时，认证判定单元42将请求发送到认证服务器，并将认证服务器返回的请求和随机TOKEN码发送到无线接入服务器。认证判定单元42将从无线接入设备接收的随机TOKEN码发送到认证服务器请求验证，当接收到认证服务器发送的验证成功消息时，将终端加入到受信设备列表中，并向无线接入设备发送允许使用消息。无线接入设备根据此允许使用消息将终端插入网络服务许可使用队列中。

请求接收单元41接收另一无线接入设备发送的、终端发送的使用无线网络服务的请求。认证判定单元42查询受信设备列表，当判断终端处于已认证状态时，则向另一无线接入设备发出允许使用消息。另一无线接入设备根据此允许使用消息将终端插入网络服务许可使用队列中。

如图5所示，本发明提供一种认证服务器5，包括接收认证请求单元51、注册信息获取单元52和验证单元53。接收认证请求单元51接收受信判定网关发送的请求；其中，请求为无线接入设备转发的、由终端发送的使用无线网络服务的请求。

注册信息获取单元52向终端发送用户注册页，并从终端提交的用户注册页中获取用户注册信息，用户注册信息包括：帐号或手机号、验证码或随时短信验证码。验证单元53生成与用户注册信息绑定的唯一随机TOKEN码，并将请求与随机TOKEN码发送到受信判定网关。根据接收到的随机TOKEN码和用户注册信息，判定该用户是否为已注册或已认证用户，并将验证结果返回到受信判定网关。

如图6所示，本发明提供一种无线网络系统，包括：如上的受信判定网关和如上的认证服务器。具体包括：多个无线接入设备AP62、63、64，受信判定网关CAG65和认证服务器AS66。移动终端61为用户无线网络接入终端。无线接入设备62、63、64用于用户网络服务请求接入控制及请求转发设备，依据业务策略设置需要，可设定按区域或按商家所属的若干个无线接入设备为一组受信无线接入设备。

受信判定网关65按业务策略定义一组或多组受信AP表或受信设备列表，保存并更新移动终端在多个受信AP上的认证状态，判定移动终端在多个受信AP上的认证状态，转发无线接入点认证请求等。

认证服务器66接受受信判定网关用户注册和验证请求，并将结果返回。如用户注册成功时则返回一组随机TOKEN串等，该串由用户再次登录时携带至无线接入点，由无线接入点带着此TOKEN向受信判定网关请求用户身份验证，受信判定网关再向认证服务器请求验证，验证通过后则返回“validated”状态码等信息。

本发明的终端的认证方法、受信判定网关、认证服务器和系统，基于Web认证、受信判定网关及受信AP表，实现终端在多个受信AP间的身份认证信息的共享，解决的是便携式设备在多个受信的AP间连接时重复认证的问题。不仅支持单个AP还可支持多个AP下的移动终端的身份认证，因此具有更好的适配性和可扩展性。

本发明的终端的认证方法、受信判定网关、认证服务器和系统的主要优势在于：

1、不仅可以实现单个AP下移动终端的身份认证，还可以实现多个受信AP下移动终端的身份认证；

2、基于预先配置的受信AP表，可以灵活扩展系统能力；

3、原有基于WebPortal认证的系统功能和流程不变，易于部署实施。

本发明的终端的认证方法、受信判定网关、认证服务器和系统主要用于公共服务场所无线AP的运营，通过在多个受信AP间的无障碍连接，有助于增强终端用户服务一致性感知及用户体验等。

可能以许多方式来实现本发明的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。