[发明专利]基于信号强度的Portal认证方法、装置和系统

说明书

技术领域

本发明涉及无线通信领域，特别是指一种基于信号强度的Portal认证 方法、装置和系统。

背景技术

随着移动互联网的飞速发展，目前在公共场合出现了越来越多的WiFi 热点。WiFi本身并不加密，但是当用户访问网络的时候，会要求用户输入 用户名和密码。认证成功后就可以上网了。这种Web认证的特点显而易 见，就是不需要特殊的客户端，有浏览器就可以了，极大的方便了移动终 端(比如手机、Pad等)的快捷访问。这种用户认证后上网的方式被称为 WebPortal认证。

Portal认证是一种用户身份认证的方法。当用户终端通过接入设备接 入到网络中后，一般通过Web页面的形式，由用户输入身份信息或其它 认证鉴权信息而完成身份认证，从而授权访问网络。用户可以直接访问 WebPortal的网页地址来完成身份认证；也可以是在浏览器中访问任意 URL地址，由接入设备将WebPortal的页面替换用户要访问的URL页面， 由用户完成身份认证。

WebPortal的基本认证过程为：

1.用户连接到网络后，终端通过DHCP请求，向DHCP服务器要IP 地址(私网或公网)。接入设备如果工作在路由模式，则接入设备本身就 是DHCP服务器，由其直接给终端分配IP地址；接入设备如果工作在桥 模式，则将DHCP请求转给网络内的专用DHCP服务器，由DHCP服务 器分配IP地址。

2.用户获取到地址后，通过客户端的浏览器访问网页，接入设备和 Portal服务器为该用户构造对应表项信息(基于端口号、IP)，添加用户 ACL服务策略(让用户只能访问Portal服务器和一些内部服务器，个别外 部服务器如DNS等)，并将用户访问其它URL的请求强制重定向到Web Portal认证服务器的页面。表现的结果就是用户连接上但不认证的情况下， 只能访问指定的页面，浏览指定页面上的广告、新闻等免费信息。

3.Portal服务器向用户提供认证页面，在该页面中，用户输入并提交 相关鉴权信息，无需身份认证的情况下，鉴权信息可以为空。

4.信息提交到Portal服务器上后，Portal服务器将该用户的鉴权信息 提供给认证服务器，由认证服务器确认身份的合法性。如果身份认证通过， 则Portal服务器将用户终端的基本信息，如MAC地址、IP地址等，发送 给网关设备。如果身份认证未通过，则通过Web页面通知用户相关的错 误信息。

5.网关设备获得Portal服务器发送来的用户终端信息后，修改ACL 列表，将该用户终端加入放行列表中。这样，用户就可以访问外部因特网 或特定的网络服务。

6.一般针对用户的放行都会设置一个授权时间，如10小时。用户鉴 权通过后，在这个时间段内可以自由使用网络；即使断开相关的网络连接 一段时间，之后再接入后仍可以直接以认证过的身份访问网络。超过授权 时间后，用户认证过的身份即会失效，如果用户要继续时间网络，则需要 再做一次身份认证。

现有技术方案：

目前在已有的WebPortal认证方式上，使用的比较多的几种方式有： 账户集中管控方式，如用户名/密码认证；用户自有身份方式，比如手机短 信认证，微信认证等；以及无需认证方式，比如点击认证。

账户集中管控方式，比如用户名/密码认证方式，主要是由网络管理员 提前分配好相关的账号和密码，由用户向网络管理员申请上网的账号和密 码，在WebPortal的认证页面上通过授权使用的账号和密码来完成认证。 这种方式主要是在内部网络中使用，本身用户的真实身份是可知的，比如 在企业网内部或者宾馆和酒店的场景中。

用户自有身份方式，比如手机短信认证、QQ或微信认证等，主要是 用于开放的公共环境中，用户使用自己已有的身份信息，比如手机号或 QQ/微信号，来做鉴权认证。WebPortal验证用户的手机号或者微信身份 无误后，对用户进行上网授权。

无需认证方式，比如点击认证，则比较简单，它不要求用户提供任何 身份信息，只是在Web页面中展示一些广告或商业推广信息，用户直接 通过点击Web页面中的上网按钮，即可通过认证实现上网。在这种模式 下，WebPortal不获取用户身份相关的信息。这个主要应用与安全性要求 不高并且对网络用户管控不严的场景中。