接入认证方法及装置

技术领域

本发明涉及网络通信技术领域，具体而言，涉及一种接入认证方法及装置。

背景技术

随着WLAN(Wireless Local Area Networks，无线局域网)业务在各行各业的快速应用，对于像酒店、商超等公共场所提供的公共网络，需要免客户端并能够使用短信验证码认证、应用程序授权认证和动态口令认证等便捷认证方式。

目前通用的认证方式是采用《中国移动WLAN业务PORTAL(门户)协议规范》对接入局域网的用户进行认证，请参考图1，为现有的接入认证方法的流程示意图，如图1所示，该接入认证方式需要由Portal server(门户服务器)访问Radius(Remote authenticationdial in user service，远程用户拨号认证系统)查询用户信息，这种认证方式针对内置账号、AD(Active Directory，活动目录)域、LADP(Lightweight Directory AccessProtocol，轻量目录访问协议)对接认证等场景是最优认证方式。

但是，上述认证方式对于短信验证码认证、应用程序授权认证和动态口令认证等便捷认证方式而言，在门户服务器侧认证成功后，还需要在Radius服务器中在进行依次Radius认证流程，导致认证方式变得臃肿冗余，严重影响认证处理的并发性能。

发明内容

本发明的目的在于，针对上述现有技术中的不足，提供一种接入认证方法及装置，以便简化接入认证流程，提升认证并发能力。

为实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本申请实施例提供了一种接入认证方法，应用于接入控制器，所述方法包括：

接收终端设备发送的上网请求，所述上网请求包括：所述终端设备的地址信息；

根据所述地址信息，确定所述终端设备是否已认证；

若所述终端设备未认证，向所述终端设备发送重定向请求以及门户服务器的标识，以使得所述终端设备将所述重定向请求转发至所述门户服务器，使得所述门户服务器对所述终端设备进行接入认证；

接收所述门户服务器发送的准入通知，所述准入通知为所述门户服务器对所述终端设备进行接入认证通过后发送的消息；

控制所述终端设备接入网络。

可选的，所述重定向请求包括：请求参数、第一数字签名；所述向所述终端设备发送重定向请求之前，所述方法还包括：

对所述请求参数进行签名，生成所述第一数字签名；

其中，所述重定向请求用于所述门户服务器基于所述第一数字签名对所述请求参数进行校验，并在所述请求参数校验通过后对所述终端设备进行接入认证。

可选的，所述准入通知包括：终端设备信息和第二数字签名，所述接收所述门户服务器发送的准入通知之后，所述方法还包括：

根据所述第二数字签名，对所述终端设备信息进行校验；

所述控制所述终端设备接入网络，包括：

若所述终端设备信息校验通过，则控制所述终端设备接入网络。

可选的，所述重定向请求还包括：待访问地址；所述控制所述终端设备接入网络之后，所述方法还包括：

向所述门户服务器发送准入响应，所述准入响应用于使得所述门户服务器向所述终端设备推送所述待访问地址对应的网页。

第二方面，本申请实施例还提供一种接入认证方法，应用于门户服务器，所述方法包括：

接收终端设备转发的重定向请求，所述重定向请求为接入控制器根据所述终端设备发送的上网请求中所述终端设备的地址信息确定所述终端设备未认证的情况下向所述终端设备发送的；

对所述终端设备进行接入认证；

所述接入认证成功后，向所述接入控制器发送准入通知，以使得所述接入控制器控制所述终端设备接入网络。

可选的，所述重定向请求包括：请求参数、第一数字签名，所述第一数字签名为所述接入控制器对所述请求参数进行签名生成的，所述接收终端设备转发的重定向请求之后，所述方法还包括：

基于所述第一数字签名对所述请求参数进行校验；

所述对所述终端设备进行接入认证，包括：

若所述请求参数校验通过，对所述终端设备进行接入认证。

可选的，所述准入通知包括：终端设备信息和第二数字签名，所述向所述接入控制器发送准入通知之前，所述方法还包括：

对所述终端设备信息进行签名，生成所述第二数字签名；

其中，所述准入通知用于所述接入控制器基于所述第二数字签名对所述终端设备信息进行校验，并在所述终端设备信息校验通过后，控制所述终端设备接入网络。

可选的，所述重定向请求还包括：待访问地址；所述向所述接入控制器发送准入通知之后，所述方法还包括：

接收所述接入控制器发送的准入响应；

向所述终端设备推送所述待访问地址对应的网页。

第三方面，本申请实施例还提供一种接入认证装置，应用于接入控制器，所述装置包括：

上网请求接收模块，用于接收终端设备发送的上网请求，所述上网请求包括：所述终端设备的地址信息；

设备认证判断模块，用于根据所述地址信息，确定所述终端设备是否已认证；

重定向请求发送模块，用于若所述终端设备未认证，向所述终端设备发送重定向请求以及门户服务器的标识，以使得所述终端设备将所述重定向请求转发至所述门户服务器，使得所述门户服务器对所述终端设备进行接入认证；

准入通知接收模块，用于接收所述门户服务器发送的准入通知，所述准入通知为所述门户服务器对所述终端设备进行接入认证通过后发送的消息；

接入控制模块，用于控制所述终端设备接入网络。

可选的，所述重定向请求包括：请求参数、第一数字签名；在所述重定向请求发送模块之前，所述装置还包括：

第一签名模块，用于对所述请求参数进行签名，生成所述第一数字签名；

其中，所述重定向请求用于所述门户服务器基于所述第一数字签名对所述请求参数进行校验，并在所述请求参数校验通过后对所述终端设备进行接入认证。

可选的，所述准入通知包括：终端设备信息和第二数字签名，在所述准入通知接收模块之后，所述装置还包括：

第一签名校验模块，用于根据所述第二数字签名，对所述终端设备信息进行校验；

所述接入控制模块，具体用于若所述终端设备信息校验通过，则控制所述终端设备接入网络。

可选的，所述重定向请求还包括：待访问地址；在所述接入控制模块之后，所述装置还包括：

准入响应发送模块，用于向所述门户服务器发送准入响应，所述准入响应用于使得所述门户服务器向所述终端设备推送所述待访问地址对应的网页。

第四方面，本申请实施例还提供一种接入认证装置，应用于门户服务器，所述装置包括：

重定向请求接收模块，用于接收终端设备转发的重定向请求，所述重定向请求为接入控制器根据所述终端设备发送的上网请求中所述终端设备的地址信息确定所述终端设备未认证的情况下向所述终端设备发送的；

接入认证模块，用于对所述终端设备进行接入认证；

准入通知发送模块，用于所述接入认证成功后，向所述接入控制器发送准入通知，以使得所述接入控制器控制所述终端设备接入网络。

可选的，所述重定向请求包括：请求参数、第一数字签名，所述第一数字签名为所述接入控制器对所述请求参数进行签名生成的，在所述重定向请求接收模块之后，所述装置还包括：

第二签名校验模块，用于基于所述第一数字签名对所述请求参数进行校验；

所述接入认证模块，具体用于若所述请求参数校验通过，对所述终端设备进行接入认证。

可选的，所述准入通知包括：终端设备信息和第二数字签名，在所述准入通知发送模块之前，所述装置还包括：

第二签名模块，用于对所述终端设备信息进行签名，生成所述第二数字签名；

其中，所述准入通知用于所述接入控制器基于所述第二数字签名对所述终端设备信息进行校验，并在所述终端设备信息校验通过后，控制所述终端设备接入网络。

可选的，所述重定向请求还包括：待访问地址；所述准入通知发送模块之后，所述装置还包括：

准入响应接收模块，用于接收所述接入控制器发送的准入响应；

网页推送模块，用于向所述终端设备推送所述待访问地址对应的网页。

第五方面，本申请实施例还提供一种电子设备，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的程序指令，当电子设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述程序指令，以执行如第一方面任一所述的上网认证方法的步骤或者执行如第二方面任一所述的上网认证方法的步骤。

第六方面，本申请实施例还提供一种计算机可读存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如第一方面任一所述的上网认证方法的步骤或者执行如第二方面任一所述的上网认证方法的步骤。

本申请的有益效果是：

本申请提供一种接入认证方法及装置，针对未经过接入认证的终端设备，直接通过门户服务器提供接入认证服务，在通过门户服务器对终端设备完成接入认证后，由接入控制器为终端设备开通上网权限，无需再通过Radius服务器对终端设备进行二次认证，简化了接入认证流程，使得针对公共网络的入网流程更加合理；由于入网流程更加合理简单，可以提升门户服务器的并发认证能力，从而提高接入认证效率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为现有的接入认证方法的流程示意图；

图2为本申请实施例提供的接入认证系统的示意图；

图3为本申请实施例提供的接入认证方法的流程示意图一；

图4为本申请实施例提供的接入认证方法的流程示意图二；

图5为本申请实施例提供的接入认证方法的流程示意图三；

图6为本申请实施例提供的接入认证方法的交互示意图；

图7为本申请实施例提供的接入认证装置的结构示意图一；

图8为本申请实施例提供的接入认证装置的结构示意图二；

图9为本申请实施例提供的电子设备的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

此外，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，在不冲突的情况下，本申请的实施例中的特征可以相互结合。

在对本申请实施例提供的接入认证方法进行介绍之前，先对本申请所涉及的应用场景进行说明。本申请实施例提供的接入认证方法，主要是终端设备在访问公共场所的局域网时，需要对终端设备进行接入认证，在接入认证成功后使终端设备接入公共场所的局域网。

请参考图2，为本申请实施例提供的接入认证系统的示意图，如图2所示，该接入认证系统包括：终端设备10、接入控制器20和门户服务器30，终端设备10、接入控制器20和门户服务器30之间均可以通信连接，其中，终端设备10与接入控制器20采用有线连接或无线连接。

接入控制器20为AC(Access Point Controller，接入控制)设备，也即为NAS(Network Access Server，网络接入服务器)设备具有用户接入控制功能、未认证用户请求拦截重定向推送功能和Portal协议服务端功能，其中，用户接入控制功能是在确定终端设备10已认证的情况下，控制终端设备10接入网络；未认证用户请求拦截重定向推送功能是在确定终端设备10未认证的情况下，对终端设备10的上网请求进行拦截，并向终端设备10推送重定向请求，以将终端设备10的上网请求重定向到门户服务器30进行接入认证；Portal协议服务端功能是在接收到门户服务器30发送的接入通知后为终端设备10开通上网权限。其中，接入控制器20设置在公共场所中，用于提供公共局域网络，示例的，接入控制器20即NAS设备可以为网关设备、三层交换机或者路由器等。

门户服务器30为Portal Server，用于为终端设备10提供Portal认证网站，即门户网站，用户通过门户网站输入认证信息，由于本申请实施例的接入控制器20提供的公共网络，因此，认证信息一般为短信验证码、应用程序授权信息和动态口令，门户服务器30接收到认证信息后，对认证信息进行校验，在校验通过后，通知接入控制器20为终端设备10开通上网权限，门户服务器30无需再访问Radius服务器对用户的认证信息进行认证，简化了接入认证流程，使得针对公共网络的入网流程更加合理。

采用图2所示的接入认证系统，终端设备10向接入控制器20发送上网请求，接入控制器20确定终端设备10未认证后，向终端设备10发送重定向请求和门户服务器30的标识，以使得终端设备10根据门户服务器30的标识向门户服务器30发送重定向请求，门户服务器30根据重定向请求向终端设备10推送接入认证界面，以对终端设备10通过接入认证界面输入的接入认证信息进行验证通过后，通知接入控制器20为终端设备10提供网络服务。

基于上述接入认证系统，本申请实施例提供一种接入认证方法，应用于上述接入认证系统的接入控制器20，即接入控制器。

请参考图3，为本申请实施例提供的接入认证方法的流程示意图一，如图3所示，该方法可以包括：

S11：接收终端设备发送的上网请求，上网请求包括：终端设备的地址信息。

本实施例中，终端设备与接入控制器采用有线或无线通信连接，其中，若采用无线通信连接，终端设备需要处于接入控制器的局域网覆盖区域内，终端设备与接入控制器通信连接后，向终端设备发送上网请求，上网请求实际上是通过接入控制器提供的局域网络访问网站或者使用应用程序的请求。其中，上网请求包括：终端设备的地址信息，用于保证接入控制器可以根据地址信息为终端设备提供网络，其中，地址信息可以包括：终端设备的MAC(Media Access Control，媒体访问控制)地址和IP(Internet Protocol，互联网协议)地址。

S12：根据地址信息，确定终端设备是否已认证。

本实施例中，接入控制器存储于预设认证登记表，预设认证登记表中登记有已经通过认证的终端设备的地址信息，接入控制器接收到终端设备发送的上网请求后，根据上网请求中携带的终端设备的地址信息，在预设认证登记表的多个终端设备的地址信息中查找确认是否包含该终端设备的地址信息，若预设认证登记表中包含该终端设备的地址信息，则确定终端设备已认证，若预设认证登记表中不包含该终端设备的地址信息，则确定终端设备未认证。

在一种可能的实现方式中，若终端设备已认证，则接入控制器根据上网请求使终端设备访问网站或者使用应用程序。

S13：若终端设备未认证，向终端设备发送重定向请求以及门户服务器的标识，以使得终端设备将重定向请求转发至门户服务器，使得门户服务器对终端设备进行接入认证。

本实施例中，若确定终端设备未认证，则需要先对终端设备进行认证，之后才可以为终端设备提供上网服务。

具体的，接入控制器根据终端设备的上网请求生成重定向请求，并将重定向请求和门户服务器的标识发送给终端设备，终端设备根据门户服务器的标识访问门户服务器，将重定向请求发送给门户服务器，门户服务器根据重定向请求为终端设备推送接入认证界面，用户通过接入认证界面提供的多种认证方式与门户服务器进行交互认证。其中，门户服务器的标识可以为门户服务器的URL(Uniform Resource Locator，统一资源定位符)地址。

S14：接收门户服务器发送的准入通知，准入通知为门户服务器对终端设备进行接入认证通过后发送的消息。

本实施例中，门户服务器对终端设备的接入认证通过后，向接入控制器发送准入通知，准入通知中包括与入网协议相关的信息，使接入控制器和门户服务器可以根据入网协议进行交互。

示例的，接入控制器和门户服务器之间的交互主要包括门户服务器请求接入控制器为终端设备提供入网权限、向接入控制器通知终端设备下线，请求终端设备取消终端设备的入网权限等。

S15：控制终端设备接入网络。

本实施例中，接入控制器接收到准入通知后，确定终端设备与门户服务器交互认证成功，接入控制器根据终端设备的地址信息，为终端设备开通上网权限。

在一种可能的实现方式中，接入认证成功并为终端设备开通上网权限后，在终端设备与接入控制器保持通信连接期间，终端设备可以直接通过接入控制器提供的局域网访问网页或使用应用程序；当终端设备与接入控制器断开通信连接后，若终端设备需要在此使用接入控制器提供的局域网，则需要重新执行上述S11-S15的步骤进行接入认证及上网权限的开通。

上述实施例提供的接入认证方法，针对未经过接入认证的终端设备，直接通过门户服务器提供接入认证服务，在通过门户服务器对终端设备完成接入认证后，由接入控制器为终端设备开通上网权限，无需再通过Radius服务器对终端设备进行二次认证，简化了接入认证流程，使得针对公共网络的入网流程更加合理；由于入网流程更加合理简单，可以提升门户服务器的并发认证能力，从而提高接入认证效率。

在一种可能的实现方式中，重定向请求包括：请求参数、第一数字签名，在上述S13向终端设备发送重定向请求之前，该方法还可以包括：

对请求参数进行签名，生成第一数字签名。

其中，重定向请求用于门户服务器基于第一数字签名对请求参数进行校验，并在请求参数校验通过后对终端设备进行接入认证。

本实施例中，为了避免请求参数被篡改，接入控制器对预设的请求参数进行签名，生成第一数字签名，终端设备在将重定向请求发送给门户服务器后，门户服务器也对请求参数进行签名，并将生成的数字签名和第一数字签名进行一致性比较，若门户服务器生成的数字签名和第一数字签名一致，则确定请求参数未被篡改，保证接入认证过程的安全性。

在一种可能的实现方式中，接入控制器和门户服务器采用相同的预设密钥对请求参数分别进行加密，分别生成数字签名。其中，预设密钥可以是管理员分别在接入控制器和门户服务器上配置的密钥，预设密钥不通过网络交互传输，保证预设密钥不被泄露。

在一种可能的实现方式中，请求参数可以包括：终端设备的MAC地址、终端设备的IP地址、接入控制器的唯一KEY信息、待访问地址和时间戳；其中，待访问地址为终端设备发送的上网请求中终端设备需要访问的地址；在对请求参数进行加密时，可以在请求参数中写入预设密钥，以采用预设密钥对包含预设密钥的请求参数进行加密，生成第一数字签名，实现不可逆加密，避免根据签名和请求参数推算出预设密钥，保证预设密钥不被泄露。示例的，可以采MD(Message-Digest，信息-摘要)5加密算法对请求参数进行加密。

需要说明的是，在对请求参数进行加密时，需要包含预设密钥，但是在向门户服务器发送重定向请求时，请求参数中不能携带预设密钥，由于接入控制器和门户服务器采用的是相同的预设密钥，门户服务器在对请求参数进行校验时，将自己的预设密钥加入请求参数中，采用预设密钥对包括预设密钥的请求参数进行加密，将生成的数字签名和第一数字签名进行一致性比较。

上述实施例提供的接入认证方法，通过对请求参数进行加密生成第一数字签名，以使得门户服务器可以根据第一数字签名对请求参数进行校验，避免请求参数在交互过程中被篡改，保证接入认证过程的安全性。

在一种可能的实现方式中，准入通知包括：终端设备信息和第二数字签名，上述S14接收所述门户服务器发送的准入通知之后，该方法还可以包括：

根据第二数字签名，对终端设备信息进行校验。

上述S15控制所述终端设备接入网络，可以包括：

若终端设备信息校验通过，则控制终端设备接入网络。

本实施例中，门户服务器在向接入控制器发送终端设备信息时，为了避免终端设备信息被篡改，门户服务器需要对终端设备信息进行加密，生成第二数字签名，接入控制器接收到门户服务器发送的终端设备信息后，接入控制器也对终端设备信息进行签名，并将生成的数字签名和第二数字签名进行一致性比较，若接入控制器生成的数字签名和第二数字签名一致，则确定终端设备信息未被篡改，保证接入控制器和门户服务器的通信安全性。

示例的，终端设备信息可以为门户服务器授权准入的终端设备的地址信息，门户服务器为每个终端设备提供的访问带宽限制、访问流量限制等信息。

在一种可能的实现方式中，接入控制器和门户服务器采用相同的预设密钥对终端设备信息分别进行签名。

上述实施例提供的接入认证方法，接入控制器根据第二数字签名对终端设备信息进行校验，避免终端设备信息在交互过程中被篡改，保证接入控制器和门户服务器的通信安全性。

在一种可能的实现方式中，重定向请求还包括：待访问地址；在上述S15控制终端设备接入网络之后，该方法还可以包括：

向门户服务器发送准入响应，准入响应用于使得门户服务器向终端设备推送待访问地址对应的网页。

本实施例中，接入控制器根据准入通知向终端设备开通上网权限后，向门户服务器发送准入响应，门户服务器接收到准入响应后，确定终端设备可以使用接入控制器提供的局域网；由于用户通过终端设备发送上网请求时已经输入了待访问地址，再对终端设备完成接入认证和上网权限开通后，为了避免需要用户重新输入待访问地址造成的不良用户体验，可以直接将用户在上网请求中输入的待访问地址通过重定向请求发送给门户服务器，使得门户服务器在确定接入控制器为终端设备开通上网权限后，访问待访问地址，将待访问地址对应的网页推送给终端设备。

在一种可能的实现方式中，接入控制器在发送准入响应时，采用预设密钥对准入响应也进行加密，生成数字签名，以使得门户服务器对准入响应进行签名验证。

上述实施例提供的接入认证方法，通过向门户服务器发送准入响应，使门户服务器可以直接向终端设备推送待访问地址对应的网页，无需用户重新输入待访问地址，提高用户体验。

基于上述接入认证系统，本申请实施例还提供一种接入认证方法，应用于上述接入认证系统的门户服务器30，即Portal服务器。

请参考图4，为本申请实施例提供的接入认证方法的流程示意图二，如图4所示，该方法可以包括：

S21：接收终端设备转发的重定向请求，重定向请求为接入控制器根据终端设备发送的上网请求中终端设备的地址信息确定终端设备未认证的情况下向终端设备发送的。

S22：对终端设备进行接入认证。

S23：接入认证成功后，向接入控制器发送准入通知，以使得接入控制器控制终端设备接入网络。

本实施例中，门户服务器接收终端设备发送的重定向请求，重定向请求中包括终端设备的地址信息，门户服务器根据终端设备的地址信息为终端设备推送接入认证界面，用户通过接入认证界面提供的多种认证方式与门户服务器进行交互认证，认证成功后，门户服务器向接入控制器发送准入通知，以向接入控制器通知对终端设备的接入认证已经成功，使得接入控制器可以为终端设备开通上网权限。

其中，生成重定向请求的方式可以参考前述S11-S13，在此不做赘述。

示例的，接入认证界面提供的多种认证方式可以包括：短信验证码认证、应用程序认证、动态口令认证、图形认证等。

其中，短信验证码认证是用户通过接入认证界面输入用户手机号码，并请求获取短信验证码，接入控制器接收到短信验证码的获取请求后，通过用户手机号码所属的运营商向用户发送短信验证码，用户接收到短信验证码后在接入认证界面输入短信验证码并提交，接入控制器对用户输入的短信验证码和向用户发送的短信验证码进行验证，若短信验证码一致，则通过认证。

应用程序认证是用户从接入认证界面提供的多种应用程序认证方式中选择目标应用程序，对获取目标应用程序的身份信息进行授权后，将目标应用程序的身份信息发送给接入控制器，接入控制器接收到目标应用程序的身份信息后通过认证。

动态口令认证是接入控制器采用预设算法生成随机动态口令，并将动态口令发送给终端设备，终端设备通过接入认证界面输入动态口令并提交，接入控制器对用户输入的动态口令和向用户发送的动态口令进行验证，若动态口令一致，则通过认证。

图形认证是用户通过接入认证界面提供的图形，对图形进行预设操作，如从图形中选择指定的字、对图形进行拼接、旋转等，将用户的操作结果提交至接入控制器，接入控制器对用户的操作结果进行验证，若操作结果满足预设要求，则通过认证。

在一些实施例中，终端设备与门户服务器的交互过程可以采用https(hypertexttransfer protocol secure，超文本传输安全协议)接口确保交互过程的安全性。

上述实施例提供的接入认证方法，门户服务器对未经过接入认证的终端设备提供接入认证服务，对终端设备完成接入认证后，向接入控制器发送准入通知，由接入控制器为终端设备开通上网权限，无需再通过Radius服务器对终端设备进行二次认证，简化了接入认证流程，使得针对公共网络的入网流程更加合理；由于入网流程更加合理简单，可以提升门户服务器的并发认证能力，从而提高接入认证效率。

在一种可能的实现方式中，重定向请求包括：请求参数、第一数字签名，第一数字签名为接入控制器对请求参数进行签名生成的，上述S21接收终端设备转发的重定向请求之后，该方法还可以包括：

基于第一数字签名对请求参数进行校验。

上述S22对终端设备进行接入认证，可以包括：

若请求参数校验通过，对终端设备进行接入认证。

本实施例中，门户服务器接收到请求参数和第一数字签名后，对请求参数进行加密，并将生成的数字签名和第一数字签名进行一致性比较，若门户服务器生成的数字签名和第一数字签名一致，则确定请求参数未被篡改。

在一种可能的实现方式中，接入控制器和门户服务器采用相同的预设密钥对请求参数分别进行加密，分别生成数字签名。

示例的，若接入控制器对包括预设密钥的请求参数进行加密生成第一数字签名，虽然重定向请求中的请求参数不包括预设密钥，但是门户服务器在接收到请求参数后，需要采用预设密钥对预设密钥和请求参数一起进行加密，再将生成的数字签名和第一数字签名进行一致性比较。

在一种可能的实现方式中，终端设备和门户服务器进行交互的过程中，为了对交互过程进行标记，可以根据请求参数生成token临时指令，并在向终端设备推送接入认证界面时携带token临时令牌，终端设备和门户服务器的过程过程全程携带token临时令牌，以通过token临时令牌对交互过程进行标记，指示是针对终端设备的本次接入认证。

上述实施例提供的接入认证方法，门户服务器根据第一数字签名对请求参数进行校验，可以避免请求参数在交互过程中被篡改，保证接入认证过程的安全性。

在一种可能的实现方式中，准入通知包括：终端设备信息和第二数字签名，上述S23向接入控制器发送准入通知之前，该方法还可以包括：

对终端设备信息进行签名，生成第二数字签名。

其中，准入通知用于接入控制器基于第二数字签名对终端设备信息进行校验，并在终端设备信息校验通过后，控制终端设备接入网络。

本实施例中，为了避免终端设备信息被篡改，导致接入控制器可能存在风险，门户服务器需要对终端设备信息进行加密，生成第二数字签名，门户服务器将准入通知发送给接入控制器后，接入控制器对终端设备信息进行签名，并将生成的数字签名和第二数字签名进行一致性比较，若接入控制器生成的数字签名和第二数字签名一致，则确定终端设备信息未被篡改，接入控制器可以为终端设备开通上网权限。

示例的，请参考表1，为本申请实施例提供的准入通知的格式和内容，如表1所示，准入通知包括：

Ver为协议版本号，其长度为1字节；Type为准入通知的报文类型，长度为1字节，Pap/Chap为终端设备的接入认证方式，长度为1字节，Rsv为保留字段，长度为1字节，SerialNo为准入通知的报文序列号，长度为2字节，由门户服务器随机生成，SerialNo在预设时间段内的不同认证流程中不重复；ReqID是接入控制器随机生成的，长度为2字节；UserIP为终端设备的IP地址，长度为4字节；UserPort保留字段，长度为2字节；ErrCode和Type组合使用，长度为1字节；AttrNum标识可变长度的属性字段属性的个数，长度为1字节；Attractive字段为报文属性字段，由多个属性依次连接而成；Authenticator为第二数字签名。

表1准入通知的格式和内容

可选的，准入通知报文中包括的终端设备信息还可以携带终端设备授权的ACL(Access Control List，访问控制列表)、QOS(Quality of Service，服务质量)等信息。

上述实施例提供的接入认证方法，通过对终端设备信息进行加密生成第二数字签名，以使得接入控制器可以根据第二数字签名对终端设备信息进行校验，避免终端设备信息在交互过程中被篡改，保证接入控制器和门户服务器的通信安全性。

在一种可能的实现方式中，请参考图5，为本申请实施例提供的接入认证方法的流程示意图三，如图5所示，上述S23向接入控制器发送准入通知之后，该方法还可以包括：

S31：接收接入控制器发送的准入响应。

S32：向终端设备推送待访问地址对应的网页。

本实施中，门户服务器根据准入响应确定接入控制器为终端设备开通了上网权限，确定终端设备可以使用接入控制器提供的局域网，由于用户通过终端设备发送上网请求时已经输入了待访问地址，再对终端设备完成接入认证和上网权限开通后，门户服务器可以直接访问用户在上网请求中输入的待访问地址，将待访问地址对应的网页推送给终端设备。

在一种可能的实现方式中，若终端设备的入网请求中不包括待访问地址，则门户服务器可以向终端设备推送运营商的推荐界面。

上述实施例提供的接入认证方法，接入控制器根据准入响应，直接向终端设备推送待访问地址对应的网页，无需用户重新输入待访问地址，提高用户体验。

以下结合图6对本申请实施例的接入认证方法的交互过程进行说明。

请参考图6，为本申请实施例提供的接入认证方法的交互示意图，如图6所示，该过程可以包括：

S101：终端设备向接入控制器发送上网请求。

S102：接入控制器确定终端设备未认证，向终端设备发送重定向请求和门户服务器的标识，重定向请求中包括：请求参数和第一数字签名。

S103：终端设备向门户服务器发送重定向请求。

S104：门户服务器采用预设密钥对请求参数进行签名校验。

S105：门户服务器向终端设备推送接入认证界面。

S106：终端设备和门户服务器进行接入认证交互。

S107：认证成功，门户服务器向接入控制器发送带签名的接入认证通知。

S108：接入控制器采用预设密钥对准入通知进行签名校验。

S109：接入控制器向门户服务器发送待签名的准入响应。

S110：门户服务器向终端设备推送预设网页界面。

在上述实施例的基础上，本申请实施例还提供一种接入认证装置，应用于接入控制器。请参考图7，为本申请实施例提供的接入认证装置的结构示意图一，如图7所示，该装置包括：

上网请求接收模块11，用于接收终端设备发送的上网请求，上网请求包括：终端设备的地址信息；

设备认证判断模块12，用于根据地址信息，确定终端设备是否已认证；

重定向请求发送模块13，用于若终端设备未认证，向终端设备发送重定向请求以及门户服务器的标识，以使得终端设备将重定向请求转发至门户服务器，使得门户服务器对终端设备进行接入认证；

准入通知接收模块14，用于接收门户服务器发送的准入通知，准入通知为门户服务器对终端设备进行接入认证通过后发送的消息；

接入控制模块15，用于控制终端设备接入网络。

可选的，重定向请求包括：请求参数、第一数字签名；在重定向请求发送模块13之前，该装置还包括：

第一签名模块，用于对请求参数进行签名，生成第一数字签名；

其中，重定向请求用于门户服务器基于第一数字签名对请求参数进行校验，并在请求参数校验通过后对终端设备进行接入认证。

可选的，准入通知包括：终端设备信息和第二数字签名，在准入通知接收模块14之后，该装置还包括：

第一签名校验模块，用于根据第二数字签名，对终端设备信息进行校验；

接入控制模块，具体用于若终端设备信息校验通过，则控制终端设备接入网络。

可选的，重定向请求还包括：待访问地址；在接入控制模块15之后，该装置还包括：

准入响应发送模块，用于向门户服务器发送准入响应，准入响应用于使得门户服务器向终端设备推送待访问地址对应的网页。

在上述实施例的基础上，本申请实施例还提供一种接入认证装置，应用于应用于门户服务器。请参考图8，为本申请实施例提供的接入认证装置的结构示意图二，如图8所示，该装置包括：

重定向请求接收模块21，用于接收终端设备转发的重定向请求，重定向请求为接入控制器根据终端设备发送的上网请求中终端设备的地址信息确定终端设备未认证的情况下向终端设备发送的；

接入认证模块22，用于对终端设备进行接入认证；

准入通知发送模块23，用于接入认证成功后，向接入控制器发送准入通知，以使得接入控制器控制终端设备接入网络。

可选的，重定向请求包括：请求参数、第一数字签名，第一数字签名为接入控制器对请求参数进行签名生成的，在重定向请求接收模块21之后，该装置还包括：

第二签名校验模块，用于基于第一数字签名对请求参数进行校验；

接入认证模块，具体用于若请求参数校验通过，对终端设备进行接入认证。

可选的，准入通知包括：终端设备信息和第二数字签名，在准入通知发送模块23之前，该装置还包括：

第二签名模块，用于对终端设备信息进行签名，生成第二数字签名；

其中，准入通知用于接入控制器基于第二数字签名对终端设备信息进行校验，并在终端设备信息校验通过后，控制终端设备接入网络。

可选的，重定向请求还包括：待访问地址；准入通知发送模块23之后，该装置还包括：

准入响应接收模块，用于接收接入控制器发送的准入响应；

网页推送模块，用于向终端设备推送待访问地址对应的网页。

上述装置用于执行前述实施例提供的方法，其实现原理和技术效果类似，在此不再赘述。

以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(Central Processing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

请参考图9，为本申请实施例提供的电子设备的示意图，如图9所示，该电子设备100，包括：处理器101、存储介质102和总线，存储介质102存储有处理器101可执行的程序指令，当电子设备100运行时，处理器101与存储介质102之间通过总线通信，处理器101执行程序指令，以执行应用于接入控制器的上网认证方法的步骤或者执行应用于门户服务器的上网认证方法的步骤。具体实现方式和技术效果类似，这里不再赘述。

可选地，本发明还提供一种计算机可读存储介质，存储介质上存储有计算机程序，计算机程序被处理器运行时执行应用于接入控制器的上网认证方法的步骤或者执行应用于门户服务器的上网认证方法的步骤。具体实现方式和技术效果类似，这里不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(英文：processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文：Read-Only Memory，简称：ROM)、随机存取存储器(英文：Random Access Memory，简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

上仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。