[发明专利]接入访问控制方法及设备

说明书

技术领域

本发明涉及通信技术，尤其涉及一种接入访问控制方法及设备。

背景技术

入口（Portal）认证通常也被称为Web认证。与802.1x认证方式相比，Web认证具有较强的易用性。用户不需要安装认证客户端，只需要在终端上使用浏览器，输入用户名和密码，即可完成认证，实现访问控制。Web认证的典型组网结构主要包括五个基本角色：站点（Station，简称为STA）、访问点（Access Point，简称为AP）、访问控制器（Access Controller，简称为AC）、Portal服务器和Radius服务器。通常Portal服务器会设置在AC中实现。

其中，STA支持运行超文本传输协议（Hypertext Transfer Protocol，简称为HTTP）的浏览器，上网时发出HTTP请求。AC实现用户强制Portal、业务控制，接收Portal服务器发起的认证请求，完成用户认证功能。Portal服务器是门户网站，主要负责推送认证页面，接收无线局域网（Wireless Local Area Networks，简称为WLAN）用户的认证信息，向AC发起用户认证请求以及用户下线通知，以及提供用户自服务选项，链接到Radius服务器提供的自服务页面完成相应功能。Radius服务器主要对用户接入进行认证、计费和授权。

在部署Web认证前，需要在Radius服务器上预先配置用户名、密码和对应的网络权限，然后才可以进行Web认证，这个过程被称为用户开户。目前有如下两种开户方式：一种是管理员手动开户，这种方式的问题是管理员管理工作量大，开户周期长；另一种是用户自助开户，即用户通过Web认证登录的时候，Portal服务器的认证页面提供了一个用户自开户的页面，用户通过该页面填写用户名、密码和申请需要的网络权限；然后由管理员统一在线处理，这种方式减轻了管理员的管理工作量，但由于仍需管理员参与操作所以仍然存在开户周期长的问题。

发明内容

本发明提供一种接入访问控制方法及设备，用以解决用户开户周期长的问题。

第一方面提供一种接入访问控制方法，包括：

访问控制器AC拦截到待认证第二终端的访问请求后，将所述第二终端重定向到Portal服务器，并向所述Portal服务器提供所述第二终端对应的信息，以使所述Portal服务器根据所述第二终端对应的信息生成所述第二终端对应的第一编码图像并返回给所述第二终端，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；

所述AC接收Radius认证授权服务器通过所述Portal服务器发送的所述第二终端对应的用户名、密码和上网权限；其中，所述上网权限是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，根据本地存储的所述第一终端的上网权限、所述SSID标识信息所标识的SSID上配置的上网权限和所述Radius认证授权服务器为所述第二终端分配的默认上网权限中的至少一个动态为所述第二终端生成的，所述用户名和密码是所述Radius认证授权服务器在接收到所述Portal服务器发送的所述第二终端对应的信息和已认证第一终端的标识信息，并根据所述第一终端的标识信息和本地存储的已认证终端的标识信息确定所述第一终端为已认证终端后，为所述第二终端分配的；所述第二终端对应的信息和所述第一终端的标识信息是所述Portal服务器在接收到所述第一终端通过扫描所述第二终端上的所述第一编码图像获取的所述第二终端对应的信息后，发送给所述Radius认证授权服务器的；

所述AC将所述第二终端的用户名和密码发送给所述Radius认证授权服务器，以对所述第二终端进行认证，并在接收到所述Radius认证授权服务器返回的认证通过结果后，将所述第二终端的上网权限设置于本地，向所述Portal服务器和所述第二终端发送所述认证通过结果。

第二方面提供一种接入访问控制方法，包括：

Portal服务器接收待认证第二终端发送的访问请求，并接收访问控制器AC发送的所述第二终端对应的信息，所述第二终端对应的信息包括所述第二终端的标识信息和用于标识所述AC上的服务集标识SSID的SSID标识信息；

所述Portal服务器根据所述第二终端对应的信息生成所述第二终端的第一编码图像，并将所述第一编码图像发送给所述第二终端；