[发明专利]一种授予终端网络权限的方法、装置及设备

说明书

一种授予终端网络权限的方法、装置及设备，用以解决WAN不稳定引起的终端等待时间长的问题。该方法，包括：认证设备接收终端发送的网络权限请求报文，认证设备授予终端第一网络权限，在授予终端第一网络权限之后，认证设备接收服务器发送的第一认证失败消息，认证设备根据第一认证失败消息撤销终端的第一网络权限。因此，认证设备可以在收到服务器发送的认证结果之前授予终端网络权限，并在收到服务器发送的第一认证失败消息时及时撤销网络权限。

技术领域

本申请涉及通信技术领域，特别涉及一种授予终端网络权限的方法、装置及设备。

背景技术

在认证方案中，服务器根据终端发送的认证请求消息对终端进行认证，当服务器确定终端认证成功时，向认证设备发送认证成功消息。认证设备根据认证成功消息授予终端网络权限。

如图1所示，如果认证设备和服务器被跨广域网(英文：wide area network，WAN)部署，由于WAN不稳定，认证设备和服务器之间可能发生丢包。如果服务器发送的认证成功消息丢失，或认证设备发送的响应消息丢失，服务器重传认证成功消息。认证成功消息的延迟会导致终端等待时间延长。

发明内容

本申请提供一种授予终端网络权限的方法、装置及设备，用以解决WAN不稳定引起的终端等待的时间长的问题。

第一方面，本申请提供一种授予终端网络权限的方法，包括：认证设备接收终端发送的网络权限请求报文，认证设备授予终端第一网络权限。在授予终端第一网络权限之后，认证设备接收服务器发送的第一认证失败消息，认证设备根据第一认证失败消息撤销终端的第一网络权限。其中，第一认证失败消息是服务器根据终端发送的第一认证请求消息确定终端认证失败时发送的。

因此，认证设备可以在收到服务器发送的认证结果之前授予终端网络权限，避免由于WAN不稳定引起的终端等待时间长，并在收到服务器发送的第一认证失败消息时及时撤销网络权限。

在一种可能的设计中，在授予终端第一网络权限之后，认证设备接收服务器发送的第一认证成功消息，第一认证成功消息指示认证设备授予终端第二网络权限，认证设备根据第一认证成功消息授予终端第二网络权限。第一认证成功消息是服务器根据终端发送的第一认证请求消息确定终端认证成功时发送的，第二网络权限大于第一网络权限。

因此，服务器在确定终端认证成功时，可以通知认证设备授予终端更大的网络权限。

此外，当第一认证成功消息不包括授予终端第二网络权限的指示时，或者当第一认证成功消息指示认证设备授予终端第二网络权限且第二网络权限等于第一网络权限时，认证设备可以不做任何动作，也就是维持终端当前的网络权限。认证设备也可以确认终端当前的网络权限。例如，第一网络权限是有时间限制的临时网络权限，认证设备根据第一认证成功消息永久化终端当前的网络权限。

在一种可能的设计中，网络权限请求报文为网络访问报文，网络访问报文中的源介质访问控制(MAC)地址为终端的MAC地址，在认证设备授予终端第一网络权限之前，认证设备向服务器发送终端的MAC地址。认证设备接收服务器发送的第二认证成功消息，第二认证成功消息是服务器基于终端的MAC地址和终端的信誉数据确定的，第二认证成功消息指示认证设备授予终端第一网络权限。

认证设备向服务器发送终端的MAC地址可以为以下两种情况：认证设备可以将终端的MAC地址加入到终端发送给服务器的网络权限请求报文，再将该报文发送给服务器。或者，认证服务直接转发终端发送给服务器的网络权限请求报文至服务器，然后单独发送一个包括终端的MAC地址的报文至服务器。

因此，由于终端不感知基于终端信誉数据的认证流程，因此不会延长终端的等待时间，上述方法可以辅助认证设备确定是否授予终端第一网络权限。