一种PORTAL认证方法和设备.pdf

本发明提供一种Portal认证方法和设备，其中方法包括：接入设备接收终端发送的网络访问请求；接入设备向所述终端返回重定向报文，所述重定向报文携带Portal服务器地址、以及所述终端对应的终端标识信息，以使得所述终端根据所述Portal服务器地址将所述终端标识信息发送至Portal服务器。本发明解决了Portal认证时的IP地址冲突的问题。

1.  一种Portal认证方法，其特征在于，包括：
接入设备接收终端发送的网络访问请求；
所述接入设备向所述终端返回重定向报文，所述重定向报文携带Portal服务器地址、以及所述终端对应的终端标识信息，以使得所述终端根据所述Portal服务器地址将所述终端标识信息发送至Portal服务器。

2.  根据权利要求1所述的方法，其特征在于，所述终端标识信息，包括：所述终端的MAC地址。

3.  根据权利要求1或2所述的方法，其特征在于，所述终端标识信息还包括如下的至少一项：
所述终端的IP地址；
或者，所述接入设备的MAC地址和所述终端接入的VLAN；
或者，时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间。

4.  根据权利要求1所述的方法，其特征在于，所述接入设备在接收终端发送的网络访问请求之前，还包括：
所述接入设备接收所述终端发送的地址分配请求；
所述接入设备根据所述地址分配请求，确定用于分配给所述终端的待分配IP地址，并检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同，若存在IP地址与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另一个IP地址。

5.  根据权利要求1所述的方法，其特征在于，还包括：
所述接入设备与新终端建立关联，所述新终端是从另一个接入设备移至所述接入设备；
在确定所述新终端的IP地址与所述接入设备的已关联终端的IP地址相同时，向所述新终端发送用于指示重新请求地址的地址重配请求；
所述接入设备接收所述新终端发送的地址分配请求，并根据所述地址分配 请求向所述新终端分配与所述IP地址不同的另一个IP地址。

6.  一种Portal认证方法，其特征在于，包括：
Portal服务器接收终端发送的重定向报文，所述重定向报文携带所述终端的IP地址、以及终端标识信息；
所述Portal服务器获取所述终端的认证信息，并向无线控制器AC发送认证请求，所述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所述AC根据所述IP地址和所述终端标识信息识别所述终端。

7.  一种Portal认证方法，其特征在于，包括：
无线控制器接收Portal服务器发送的认证请求，所述认证请求中携带请求认证的所述终端的第一IP地址、认证信息、以及所述终端对应的终端标识信息；
所述无线控制器将所述MAC地址和第一IP地址对应的所述认证信息发送至认证服务器进行认证，并在认证通过时，向所述终端关联的接入设备发送数据转发规则，所述数据转发规则用于所述接入设备转发所述终端的数据。

8.  根据权利要求7所述的方法，其特征在于，所述终端标识信息，包括：所述终端的MAC地址。

9.  根据权利要求7或8所述的方法，其特征在于，所述终端标识信息中还包括：加密的所述终端对应的第二IP地址；
在所述无线控制器接收Portal服务器发送的认证请求之后，还包括：
所述无线控制器解密所述终端标识信息，得到所述第二IP地址；
所述无线控制器将所述第二IP地址与所述认证请求中携带的第一IP地址比较，若所述第一IP地址与第二IP地址不同，则向所述Portal服务器返回认证失败。

10.  根据权利要求7所述的方法，其特征在于，所述终端标识信息中还包括：时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间；
在所述无线控制器接收Portal服务器发送的认证请求之后，还包括：
所述无线控制器解密所述终端标识信息，得到所述时间戳信息；
所述无线控制器将所述时间戳信息与当前时间比较，若所述时间戳信息与 所述当前时间之间的间隔超过预定时长，则向所述Portal服务器返回认证失败。

11.  根据权利要求7所述的方法，其特征在于，所述终端标识信息中还包括：所述接入设备的MAC地址和所述终端接入的VLAN；
所述无线控制器向所述终端关联的接入设备发送数据转发规则，包括：所述无线控制器根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转发规则。

12.  一种接入设备，其特征在于，包括：
接收单元，用于接收终端发送的网络访问请求；
处理单元，用于将Portal服务器地址、以及所述终端对应的终端标识信息携带在重定向报文中；
发送单元，用于向所述终端返回所述重定向报文，以使得所述终端根据所述Portal服务器地址将所述终端标识信息发送至Portal服务器。

13.  根据权利要求12所述的接入设备，其特征在于，所述终端标识信息还包括如下的至少一项：所述终端的MAC地址；或者，所述终端的IP地址；或者，所述接入设备的MAC地址和所述终端接入的VLAN；或者，时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间。

14.  根据权利要求12所述的接入设备，其特征在于，
所述接收单元，还用于接收所述终端发送的地址分配请求；
所述处理单元，还用于根据所述地址分配请求，确定用于分配给所述终端的待分配IP地址，并检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同，若存在IP地址与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另一个IP地址。

15.  根据权利要求12所述的接入设备，其特征在于，
所述处理单元，还用于与新终端建立关联，所述新终端是从另一个接入设备移至所述接入设备；并确定所述新终端的IP地址与所述接入设备的已关联终端的IP地址相同；
所述发送单元，还用于向所述新终端发送用于指示重新请求地址的地址重 配请求；
所述接收单元，还用于接收所述新终端发送的地址分配请求，并指示所述处理单元根据所述地址分配请求向所述新终端分配与所述IP地址不同的另一个IP地址。

16.  一种Portal服务器，其特征在于，包括：
信息接收单元，用于接收终端发送的重定向报文，所述重定向报文携带所述终端的IP地址、以及终端标识信息；
认证请求单元，用于获取所述终端的认证信息，并向无线控制器AC发送认证请求，所述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所述AC根据所述IP地址和终端标识信息识别所述终端。

17.  一种无线控制器，其特征在于，包括：
请求接收单元，用于接收Portal服务器发送的认证请求，所述认证请求中携带请求认证的所述终端的第一IP地址、认证信息、以及所述终端对应的终端标识信息；
认证处理单元，用于将所述MAC地址和第一IP地址对应的所述认证信息发送至认证服务器进行认证；
结果发送单元，用于在认证通过时，向所述终端关联的接入设备发送数据转发规则，所述数据转发规则用于所述接入设备转发所述终端的数据。

18.  根据权利要求17所述的无线控制器，其特征在于，
所述认证处理单元，还用于解密所述终端标识信息，得到终端标识信息中包括的第二IP地址；将所述第二IP地址与所述认证请求中携带的第一IP地址比较；所述第一IP地址与第二IP地址不同，则指示所述结果发送单元向所述Portal服务器返回认证失败。

19.  根据权利要求17所述的无线控制器，其特征在于，
所述认证处理单元，还用于解密所述终端标识信息，得到终端标识信息中包括的时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间；将所述时间戳信息与当前时间比较，若所述时间戳信息与所述当前时间之间的间 隔超过预定时长，则指示所述结果发送单元向所述Portal服务器返回认证失败。

20.  根据权利要求17所述的无线控制器，其特征在于，
所述请求接收单元接收的所述终端标识信息中还包括：所述接入设备的MAC地址和所述终端接入的VLAN；
所述结果发送单元，在发送数据转发规则时，具体是用于根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转发规则。

一种Portal认证方法和设备
技术领域
本发明涉及入口认证技术，特别涉及一种Portal认证方法和设备。
背景技术
Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站，当用户需要访问互联网时，需要在门户网站进行认证，只有认证通过后才可以使用互联网资源。随着网络技术的发展，运营商开始采用“LTE-Fi+AC”的组网方式，以提高网络利用率和WLAN的部署和覆盖率，这种方式的组网中，作为接入设备的LTE-Fi采用分布式部署，由无线控制器(Access Controller，AC)来管理这些分布式部署的多个LTE-Fi。每个LTE-Fi下可以接入多个需要使用网络资源的终端，这些终端要使用互联网资源时也是需要进行Portal认证的，但是Portal认证集中在AC上进行管理。例如，LTE-Fi在接收到终端发送的Portal认证请求时，会重定向至Portal服务器，由Portal服务器将终端的认证请求转发至AC，AC去向认证服务器认证；如果认证通过，AC会向LTE-Fi下发数据转发规则，用于终端在LTE-Fi上的数据转发。
上述方式可能存在的问题是，终端上网所需要的IP地址是由其关联的LTE-Fi分配的，如果每个LTE-Fi各自分配自己负责的IP地址段，有可能出现不同LTE-Fi下的两个终端具有相同的IP地址；而在集中管理认证的AC侧，AC是根据IP地址来区分不同终端的，比如AC会记录IP地址为***的终端已经认证通过，并查找该IP地址对应的终端关联在哪个LTE-Fi，并向该LTE-Fi发送数据转发规则，但是如果AC侧发现两个IP地址相同的终端将导致AC将无法区分，因此，在AC不能出现IP地址冲突的情况。为了避免IP地址冲突，相 关技术中有考虑为各个不同的LTE-Fi之间做IP地址规划，各LTE-Fi之间用于分配的IP地址段不能重叠，但是这样当LTE-Fi数量很多有时会有上千台时，进行IP地址规划将是一个很大的工作量，不能适应LTE-Fi的大规模部署。
发明内容
有鉴于此，本发明提供一种Portal认证方法和设备，以解决Portal认证时的IP地址冲突的问题。
具体地，本发明是通过如下技术方案实现的：
第一方面，提供一种Portal认证方法，包括：
接入设备接收终端发送的网络访问请求；
所述接入设备向所述终端返回重定向报文，所述重定向报文携带Portal服务器地址、以及所述终端对应的终端标识信息，以使得所述终端根据所述Portal服务器地址将所述终端标识信息发送至Portal服务器。
可选的，所述终端标识信息，包括：所述终端的MAC地址。
可选的，所述终端标识信息还包括如下的至少一项：所述终端的IP地址；或者，所述接入设备的MAC地址和所述终端接入的VLAN；或者，时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间。
可选的，所述接入设备在接收终端发送的网络访问请求之前，还包括：所述接入设备接收所述终端发送的地址分配请求；所述接入设备根据所述地址分配请求，确定用于分配给所述终端的待分配IP地址，并检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同，若存在IP地址与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另一个IP地址。
可选的，还包括：所述接入设备与新终端建立关联，所述新终端是从另一个接入设备移至所述接入设备；在确定所述新终端的IP地址与所述接入设备的已关联终端的IP地址相同时，向所述新终端发送用于指示重新请求地址的地址重配请求；所述接入设备接收所述新终端发送的地址分配请求，并根据所述地址分配请求向所述新终端分配与所述IP地址不同的另一个IP地址。
第二方面，提供一种Portal认证方法，包括：
Portal服务器接收终端发送的重定向报文，所述重定向报文携带所述终端的IP地址、以及终端标识信息；
所述Portal服务器获取所述终端的认证信息，并向无线控制器AC发送认证请求，所述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所述AC根据所述IP地址和所述终端标识信息识别所述终端。
第三方面，提供一种Portal认证方法，包括：
无线控制器接收Portal服务器发送的认证请求，所述认证请求中携带请求认证的所述终端的第一IP地址、认证信息、以及所述终端对应的终端标识信息；
所述无线控制器将所述MAC地址和第一IP地址对应的所述认证信息发送至认证服务器进行认证，并在认证通过时，向所述终端关联的接入设备发送数据转发规则，所述数据转发规则用于所述接入设备转发所述终端的数据。
可选的，所述终端标识信息，包括：所述终端的MAC地址。
可选的，所述终端标识信息中还包括：加密的所述终端对应的第二IP地址；在所述无线控制器接收Portal服务器发送的认证请求之后，还包括：
所述无线控制器解密所述终端标识信息，得到所述第二IP地址；所述无线控制器将所述第二IP地址与所述认证请求中携带的第一IP地址比较，若所述第一IP地址与第二IP地址不同，则向所述Portal服务器返回认证失败。
可选的，所述终端标识信息中还包括：时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间；在所述无线控制器接收Portal服务器发送的认证请求之后，还包括：所述无线控制器解密所述终端标识信息，得到所述时间戳信息；所述无线控制器将所述时间戳信息与当前时间比较，若所述时间戳信息与所述当前时间之间的间隔超过预定时长，则向Portal服务器返回认证失败。
可选的，所述终端标识信息中还包括：所述接入设备的MAC地址和所述终端接入的VLAN；所述无线控制器向所述终端关联的接入设备发送数据转发规则，包括：所述无线控制器根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转发规则。
第四方面，提供一种接入设备，包括：
接收单元，用于接收终端发送的网络访问请求；
处理单元，用于将Portal服务器地址、以及所述终端对应的终端标识信息携带在重定向报文中；
发送单元，用于向所述终端返回所述重定向报文，以使得所述终端根据所述Portal服务器地址将所述终端标识信息发送至Portal服务器。
可选的，所述终端标识信息还包括如下的至少一项：所述终端的MAC地址；或者，所述终端的IP地址；或者，所述接入设备的MAC地址和所述终端接入的VLAN；或者，时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间。
可选的，所述接收单元，还用于接收所述终端发送的地址分配请求；
所述处理单元，还用于根据所述地址分配请求，确定用于分配给所述终端的待分配IP地址，并检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同，若存在IP地址与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另一个IP地址。
可选的，所述处理单元，还用于与新终端建立关联，所述新终端是从另一个接入设备移至所述接入设备；并确定所述新终端的IP地址与所述接入设备的已关联终端的IP地址相同；所述发送单元，还用于向所述新终端发送用于指示重新请求地址的地址重配请求；所述接收单元，还用于接收所述新终端发送的地址分配请求，并指示所述处理单元根据所述地址分配请求向所述新终端分配与所述IP地址不同的另一个IP地址。
第五方面，提供一种Portal服务器，包括：
信息接收单元，用于接收终端发送的重定向报文，所述重定向报文携带所述终端的IP地址、以及终端标识信息；
认证请求单元，用于获取所述终端的认证信息，并向无线控制器AC发送认证请求，所述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所述AC根据所述IP地址和终端标识信息识别所述终端。
第六方面，提供一种无线控制器，包括：
请求接收单元，用于接收Portal服务器发送的认证请求，所述认证请求中携带请求认证的所述终端的第一IP地址、认证信息、以及所述终端对应的终端标识信息；认证处理单元，用于将所述MAC地址和第一IP地址对应的所述认证信息发送至认证服务器进行认证；结果发送单元，用于在认证通过时，向所述终端关联的接入设备发送数据转发规则，所述数据转发规则用于所述接入设备转发所述终端的数据。
可选的，所述认证处理单元，还用于解密所述终端标识信息，得到终端标识信息中包括的第二IP地址；将所述第二IP地址与所述认证请求中携带的第一IP地址比较；所述第一IP地址与第二IP地址不同，则指示所述结果发送单元向所述Portal服务器返回认证失败。
可选的，所述认证处理单元，还用于解密所述终端标识信息，得到终端标识信息中包括的时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间；将所述时间戳信息与当前时间比较，若所述时间戳信息与所述当前时间之间的间隔超过预定时长，则指示所述结果发送单元向所述Portal服务器返回认证失败。
可选的，所述请求接收单元接收的所述终端标识信息中还包括：所述接入设备的MAC地址和所述终端接入的VLAN；所述结果发送单元，在发送数据转发规则时，具体是用于根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转发规则。
本发明的Portal认证方法和设备，AP在向终端发送重定向报文时，会将终端的终端标识信息也一起发送给终端，这样终端在重定向至Portal服务器时会将该终端标识信息也发送给Portal服务器，使得Portal服务器在向AC发送认证请求时也会同样将该终端的终端标识信息发送至AC，AC就可以结合该终端标识信息识别IP地址相同的终端。
附图说明
图1是本发明实施例提供的Portal认证方法的应用场景图；
图2是本发明实施例提供的一种Portal认证方法的流程示意图；
图3是本发明实施例提供的另一种Portal认证方法的流程示意图；
图4是本发明实施例提供的又一种Portal认证方法的流程示意图；
图5是本发明实施例提供的又一种Portal认证方法的信令示意图；
图6是本发明实施例提供的又一种Portal认证方法的信令示意图；
图7是本发明实施例提供的又一种Portal认证方法的信令示意图；
图8是本发明实施例提供的又一种Portal认证方法的信令示意图；
图9是本发明实施例提供的接入设备AP的结构示意图；
图10是本发明实施例提供的Portal服务器的结构示意图；
图11是本发明实施例提供的无线控制器的结构示意图。
具体实施方式
Portal认证在网络访问中是一种常用的门户认证方式，当前运营商将Portal认证应用在“LTE-Fi+AC”的组网中(LTE-FI是4G与WIFI融合的产品，通过把4G-LTE技术和WiFi技术有机地结合在一起，将4G网络作为透明通道回传WiFi业务)，参见图1，图1是本发明实施例提供的Portal认证方法的应用场景图。LTE-Fi是将4G网络和WiFi技术的结合，将4G网络作为透明通道回传WiFi业务，LTE-Fi集成了FitAP和4G的功能(Fit AP是与Fat AP相对来讲的，Fat AP将WLAN的实体层、加密、用户认证、网络管理等功能集于一身；而FitAP是一个只有射频和通信功能的AP，功能单一，不能独立工作)。在大型的运营商网络中，由于用户量较大，LTE-Fi采用分布式部署，参见图1，本发明实施例将LTE-Fi简称为AP，图1示出了三个AP，分别是AP1、AP2和AP3，各个AP分别对关联到自己的用户设备(User Equipment，UE)分配IP地址， 但是这三个AP的UE均在AC侧进行集中用户管理。
以图1的场景为例，在进行Portal认证时，UE向AP发送的网络访问请求，会被AP重定向至Portal服务器，UE需要输入认证信息(例如，用户名和密码)给Portal服务器；再由Portal服务器向AC发送认证请求，携带UE的标识和认证信息。并且，图1中所示的三个AP下的各个UE(例如，UE1、UE2和UE3)，在进行Portal认证时，认证请求都会由Portal集中发给AC，再由AC将认证信息发送至认证服务器(例如，AAA服务器)进行认证。
本实施例的Portal认证方法，将针对上述的Portal认证流程，使得AC在集中管理各个AP下的UE时，能够对不同的UE进行区分，并且即使不同AP下的UE出现了IP地址相同的情况，在AC也能够区分。详见如下各实施例：
实施例一
图2是本发明实施例提供的一种Portal认证方法的流程示意图，本实施例的方法是由接入设备AP(即LTE-Fi)执行的，以AP2为例；可以包括：
201、AP接收UE发送的网络访问请求；
例如，该网络访问请求是向某个URL发起的HTTP访问请求，比如AP2下关联的UE2，要访问某个.com域名的网站，那么UE2就会向AP2发送要访问该域名的访问请求。需要说明的是，此时当UE向AP发起访问请求时，UE已经关联在AP上，包括AP已经与UE建立了无线连接并且为UE分配了IP地址。
202、AP向终端返回重定向报文，该重定向报文携带Portal服务器地址、以及终端对应的终端标识信息；
本实施例中，当AP接收到UE发送的访问请求，但是发现UE尚未进行Portal认证时(只有Portal认证通过才可以访问网络资源)，AP会将UE重定向至Portal服务器进行认证。
具体的，以AP2为例，AP2会向UE2发送重定向报文，该重定向报文携带Portal服务器地址，以使得UE2根据该Portal服务器地址连接Portal服务器；并且重定向报文中还携带终端对应的终端标识信息。AP2将终端标识信息发送至UE2，UE2在根据Portal服务器地址向Portal服务器访问时，会将该终端标识信 息一起发送给Portal服务器。
可选的，上述的终端标识信息中可以包括：UE2的MAC地址，使得Portal服务器将MAC地址发送至AC后，AC根据该MAC地址实现对IP地址相同的终端的区分。具体实施中，也可以采用MAC地址之外的其他信息来识别终端，只要能够起到对相同IP地址的终端进行区分的功能即可。
本实施例的Portal认证方法，AP在向终端发送重定向报文时，会将终端的MAC地址也一起发送给终端，这样终端在重定向至Portal服务器时会将该MAC地址也发送给Portal服务器，使得Portal服务器在向AC发送认证请求时也会同样将该终端的MAC地址发送至AC，AC就可以结合该MAC地址识别终端。
实施例二
图3是本发明实施例提供的另一种Portal认证方法的流程示意图，本实施例的方法是由Portal服务器执行；如图3所示，可以包括：
301、Portal服务器接收终端发送的重定向报文，该报文携带终端的IP地址、以及终端标识信息；
例如，该终端标识信息包括：终端的MAC地址；
本实施例中，终端向Portal服务器发送的终端标识信息，是由终端所关联的AP发送至终端的；需要说明的是，本实施例将AP发送给终端的携带Portal服务器地址的报文称为重定向报文，将终端根据该Portal服务器地址向Portal服务器发送的访问请求(携带终端标识信息)也称为了重定向报文，具体实施中当然也可以采用其他名称。
302、Portal服务器获取所述终端的认证信息，并向无线控制器AC发送认证请求，该认证请求携带认证信息、终端的IP地址和上述终端标识信息；
本实施例中，Portal服务器在接收到UE发送的重定向报文后，会将登录界面推送给UE，UE侧的用户在该界面输入用户名和密码后返回给Portal服务器，该用户名和密码可以称为认证信息。
Portal服务器将向AC发送认证请求，携带上述的认证信息、终端的IP地址和上述终端标识信息中的UE的MAC地址；这样，AC侧就能够根据IP地址和 MAC地址识别终端，比如AC可以记录为“IP+MAC”对应的终端的认证信息。
本实施例的Portal认证方法，Portal服务器在向AC发送认证请求时会将UE的IP地址和终端标识信息一起发送；这样在AC就能够根据“IP+MAC”来识别不同的UE，即使两个UE的IP地址相同，但是两者的MAC地址是不同的，因此AC仍然能够识别这两个UE，从而解决了IP地址冲突问题。
实施例三
图4是本发明实施例提供的又一种Portal认证方法的流程示意图，本实施例的方法是由无线控制器AC执行；如图4所示，可以包括：
401、AC接收Portal服务器发送的认证请求；
其中，Portal服务器在接收到UE的认证信息(包括用户名和密码)后，会将该认证信息携带在认证请求中发送至AC，认证请求中还携带UE的IP地址、UE对应的终端标识信息(UE的MAC地址)。本实施例中，为了与后续实施例中出现的IP地址区分，本实施例将这里的认证请求中携带的UE的IP地址称为第一IP地址。
402、AC将MAC地址和第一IP地址对应的终端的认证信息发送至认证服务器进行认证，并在认证通过时，向终端关联的AP发送数据转发规则。
本实施例中，AC是根据“IP+MAC”来区分不同的终端的，AC会将终端的认证信息(例如包括用户名和密码)发送至认证服务器，例如AAA服务器。在AAA服务器认证通过后，AC会将数据转发规则发送至终端所关联的AP。该数据转发规则是用于AP转发终端的数据。
本实施例的Portal认证方法，AC可以获取到终端的IP地址和MAC地址，并且根据“IP+MAC”来区分不同的终端，这样即使在AC集中管理的用户中，有两个UE的IP地址相同，但是由于两者的MAC地址是不同的，因此AC也能够区分该两个UE，从而解决了IP地址冲突的问题。
通过本发明实施例的方法，可以有效解决IP地址冲突的问题，即使存在IP地址相同的UE，AC也能够结合MAC加以区分，这样就使得不用在分布式部署的AP侧统一规划IP地址段的分配，不需要给每个AP划分单独的IP地址段， 减少了工作量，有利于LTE-Fi设备的大规模部署。
实施例四
图5是本发明实施例提供的又一种Portal认证方法的信令示意图，本实施例的方法描述了由AP、Portal和AC等设备配合执行的Portal认证的完整流程；如图5所示，本实施例的方法可以包括：
501、UE向AP发送网络访问请求；
其中，当UE与AP建立无线连接，并且AP为UE分配了IP地址后，UE向AP发送网络访问请求。
502、AP向UE返回第一重定向报文；
其中，当AP确定UE尚未进行Portal认证(如果已经通过认证，AP侧会有记录)时，AP将向UE发送重定向报文，本实施例称为第一重定向报文。
具体的，该第一重定向报文中携带Portal服务器地址、以及UE对应的终端标识信息，该终端标识信息中可以包括：UE的MAC地址。本实施例中，为了保证安全，终端标识信息采用加密处理；例如，可以采用数据加密算法(Data Encryption Standard，简称：DES)或高级加密标准(Advanced Encryption Standard，AES)等加密算法。AP采用的加密算法和相关参数可以预先在AP配置。加密的终端标识信息可以是在第一重定向报文中的某个私有字段中设置。
503、UE向Portal服务器发送第二重定向报文；
本步骤中，UE将根据Portal服务器地址，向Portal服务器发送第二重定向报文，其中携带UE的IP地址、以及加密的终端标识信息。也就是说，UE在从AP接收到加密的终端标识信息之后，会在重定向时，将该加密的终端标识信息发送至Portal服务器。
需要说明是，在502中AP在向UE发送第一重定向报文时，在Portal服务器地址以及终端标识信息之外，还可以携带其他的参数，例如AP的IP地址等，这是常规技术，本实施例不再详述；并且，同样的，UE在向Portal服务器发送第二重定向报文时，在UE的IP地址以及终端标识信息之外，也可以携带其他参数，例如UE加入的服务集标识(Service Set Identifier，SSID)等。
504、Portal服务器发送登录界面至UE；
其中，Portal服务器会将接收到的第二重定向报文中的UE的IP地址、加密的终端标识信息等提取出来，并进行保存。
505、UE向Portal服务器发送认证信息；
例如，UE侧的用户可以通过登录界面，输入用户名、密码等信息，发送至Portal服务器，请求对认证信息进行认证。
506、Portal服务器向AC发送认证请求，该认证请求中携带：UE的IP地址和终端标识信息；
本实施例中，Portal服务器将在504中接收到的加密的终端标识信息，和UE的IP地址一起发送至AC；当然，认证请求中还携带用于请求认证的认证信息，比如用户的用户名和密码。
507、AC将MAC和IP对应的认证信息发送至AAA服务器请求认证；
本实施例中，AC作为集中管理不同AP下的各个UE的设备，以“IP+MAC”的组合来区分不同的UE；例如，AC可以记录“IP1+MAC1”对应的UE1，其认证信息是****，记录“IP2+MAC2”对应的UE2，其认证信息是****。AC将UE对应的认证信息，例如用户名和密码，发送至AAA请求认证。
508、AC接收到AAA服务器返回的认证成功的通知；
509、AC向Portal服务器通知认证成功；
此外，Portal服务器在接收到认证成功的通知后，可以通知UE认证成功，这些可以按照常规技术进行，本实施例不再详述。
510、AC向MAC和IP对应的UE所关联的AP发送数据转发规则；
本实施例中，AC在确定“IP+MAC”对应的UE认证成功后，将下发该UE对应的数据转发规则，该规则将下发至UE所关联的AP上；例如，参见图1中的UE1，AC会将数据转发规则发送至AP1，AP1将根据该规则转发UE的数据。
本实施例的Portal认证方法，Portal服务器会将UE对应的IP地址和MAC地址均发送至AC，AC可以根据IP+MAC”识别不同的UE，从而使得即使AC发现两个IP地址相同的UE，也可以结合MAC进行区分。
实施例五
本实施例与实施例四的区别在于，终端标识信息中还包括UE的MAC地址之外的其他一些信息，这些信息是用于提高Portal认证的安全性，详见下述的图6流程，图6仅示出了一些主要的与实施例四相区别的流程，对于相同的流程例如将认证信息发送至AAA服务器等，本实施例也会执行，但是这些在本实施例中将不再重复描述，图6中也不再显示。
图6是本发明实施例提供的又一种Portal认证方法的信令示意图，如图6所示，本实施例的方法可以包括：
601、UE向AP发送网络访问请求；
602、AP向UE返回第一重定向报文；
本实施例中，第一重定向报文中携带Portal服务器地址、以及加密的终端标识信息，该终端标识信息不仅包括UE的MAC地址，还包括如下至少一项：UE的IP地址、以及时间戳信息，该时间戳信息用于表示第一重定向报文的发送时间。这里所述的至少一项的意思是，在UE的MAC地址之外，终端标识信息中可以只包括UE的IP地址、或者只包括时间戳信息、或者时间戳信息和IP地址两者都包括在终端标识信息中。
603、UE向Portal服务器发送第二重定向报文，将加密的终端标识信息也携带在报文中发送至Portal服务器；
604、Portal服务器发送登录界面至UE；
605、UE向Portal服务器发送认证信息；
606、Portal服务器向AC发送认证请求，该认证请求中携带：UE的IP地址和加密的终端标识信息；
在本步骤中，Portal服务器向AC发送的UE的IP地址有两个，其中一个IP地址是在603中UE发送至Portal服务器的，这也是常规技术中Portal服务器需要将UE的IP地址发送至AC；另一个IP地址是携带在加密的终端标识信息中的，这个加密的终端标识信息是在AP侧加密后，由UE转发给Portal服务器，Portal服务器也不会解密该信息，而是将该加密的终端标识信息发送给AC，终 端标识信息中包括了UE的IP地址。
为了在后续描述时能够清楚的区分这两个IP地址，可以将加密的终端标识信息中包括的IP地址称为第二IP地址，将另一个称为第一IP地址。
607、AC解密终端标识信息，得到IP地址和时间戳信息；
本实施例中，AC解密终端标识信息可以得到其中包括的第二IP地址，还可以得到时间戳信息。如前面说明过的，终端标识信息包括第二IP地址、和时间戳信息中的至少一项即可，这里是以两者均携带为例。
此外，AC和AP可以是预先配置的相同的加密算法和相关参数，这样终端标识信息在AP侧加密后，AC可以采用相同的算法进行解密。
608、AC根据解密的终端标识信息进行初始认证判断；
例如，AC可以进行IP地址的比较，将认证请求中携带的第一IP地址与解密得到的第二IP地址比较，如果第一IP地址与第二IP地址不同，则表明认证失败，执行609；否则，AC初始认证通过后，可以接着由AC向AAA服务器请求认证，可以结合参见实施例四。
IP地址比较来判断是否认证通过是这样的，举例如下：假设UE1在进行Portal认证流程，请求访问网络资源；某个用户UE4想要仿冒UE1，其截获了UE1向Portal发送第一重定向报文时携带的加密的终端标识信息，因为按照本实施例的流程，UE1在重定向时是需要将该加密的终端标识信息发送给Portal的，因此仿冒用户在截获后会将加密的终端标识信息发送至Portal服务器。但是，终端标识信息中携带的是UE1的IP地址，而UE4向Portal服务器发送的认证请求中还携带的另一个IP地址是UE4自身的IP地址，这两个地址是不同的，AC可以据此判断加密的终端标识信息可能是被仿冒用户截获的。
又例如，AC还可以根据时间戳信息进行比较，将时间戳信息与当前时间比较，该当前时间可以是AC解密获得该时间戳的时间，或者也可以是AC接收到该认证请求的时间，也可以说是AC本次处理认证请求的时间；若时间戳信息与当前时间之间的间隔超过预定时长(例如该预定时长是5分钟)，则向Portal服务器返回认证失败。
通过时间戳的比较来判断是否认证通过是这样的，举例如下：假设UE1在进行Portal认证流程，AP在接收到UE1的网络访问请求后，向UE1返回了时间戳信息；正常情况下，如果UE1继续执行后续的登录Portal、向AC请求认证等，在AC接收到Portal服务器发送的认证请求时应该不会太久。但是有些特殊情况，比如Portal服务器向UE1推送登录界面后，UE1的用户并未输入用户名和密码进行认证，而是停止输入转而去做其他的事情，那么这个认证流程在登录界面这里就中断了。
UE1的用户有可能将该登录界面保存下来比如放在收藏夹，等第二天上网时直接打开昨天收藏夹的登录界面进行输入，但是此时可能UE1的IP地址已经与昨天不同了(用户上网时要重新分配IP地址)，那么也就是说Portal服务器在昨天接收并存储的加密的终端标识信息中的IP地址是昨天的UE1的，这就不符合实际情况，需要UE1重新向AP发送一次网络访问请求，由AP重新向UE下发一次携带有本次IP地址的加密的终端标识信息，因此，本次AC要反馈认证失败，触发Portal服务器通知UE重新启动访问。
609、AC向Portal服务器返回认证失败。
本实施例的Portal认证方法，通过在终端标识信息中添加UE的IP地址和时间戳信息，使得AC可以根据这些信息在向AAA请求认证之前，就判断出用户的认证信息存在问题，直接向Portal返回认证失败；这样加快了认证流程的速度，并且提高了认证的安全性。
实施例六
本实施例在实施例四的流程基础上，在终端标识信息中增加了：AP的MAC地址和UE接入的VLAN信息；当然，终端标识信息中也可以包括实施例五中所述的时间戳等。AP的MAC地址和UE接入的VLAN信息，主要是为了在认证通过时，提高数据转发规则的下发速度。
例如，AC在接收到AAA服务器返回的认证通过的通知后，AC将向AP下发数据转发规则；此时，AC可以根据解密终端标识信息得到的AP的MAC地址和UE接入的VLAN信息，快速准确的将数据转发规则下发到AP，并且UE 接入的VLAN信息对应了AP上的某个端口，向该端口下发了用于UE的数据转发规则。
实施例七
本实施例针对的主要是UE在不同AP间漫游的情况，例如，假设UE1从AP1漫游至AP2，此时AP2可以执行本实施例的方法，来解决IP地址冲突的问题。图7是本发明实施例提供的又一种Portal认证方法的信令示意图，如图7所示，可以包括：
701、AP接收UE发送的地址分配请求；
例如，位于AP2下关联的UE2，向AP2发送地址分配请求。
702、AP根据地址分配请求，确定用于分配给UE的待分配IP地址；
例如，AP2确定待分配IP地址是IP1，准备将IP1分配给UE2。
703、AP检查已关联终端的IP地址是否与待分配IP地址相同；
例如，前述的UE1已经从AP1漫游至AP2，AP2可以比较已关联终端UE1的IP地址，是否与待分配地址IP1相同。如果相同，则执行704。
704、AP将待分配IP地址更改为另一个IP地址；
例如，AP2将待分配IP地址IP1，更改为IP2，当然IP1和IP2是AP2从自己负责的IP段中选择分配的。
705、AP将IP地址发送至UE。
例如，AP2将IP2发送至UE2，作为分配至UE2的IP地址。如果703中的判断结果是两个IP地址不同，AP2可以直接将最初的待分配地址IP1发送至UE。
在图7所示的流程中，AP在为关联到自己的UE分配IP地址时，会先检查在已关联自己的终端中是否存在与待分配IP相同的终端，如果有则更换IP分配。
图8是本发明实施例提供的又一种Portal认证方法的信令示意图，如图8所示，可以包括：
801、AP与新终端建立关联；
例如，UE1从AP1漫游至AP2，那么对于AP2来说，UE1是新终端。
802、AP确定新终端的IP地址与AP的已关联终端的IP地址相同；
例如，AP2的已关联终端是UE2，UE2的IP地址与UE1的IP地址相同，这里的UE1的IP地址是UE1漫游之前在AP1分配的。当AP2发现两者的IP地址相同时，可以继续执行803；
803、AP向新终端发送重关联指示；
例如，AP2向UE1发送重关联指示，通知UE1重新进行关联。
804、新终端根据重关联指示，与AP之间执行重关联流程，并请求AP分配IP地址；
UE1会根据AP发送的重关联指示，与AP之间执行重关联流程；例如UE1向AP发送关联请求帧开始关联，携带SSID和协商速率等信息，重关联流程可以按照常规流程执行，不再详述。建立关联后，UE1将向AP请求分配IP地址。
805、AP向新终端分配另一个IP地址；
此时AP2会向UE1分配一个与UE2不同的IP地址。
通过本实施例的Portal认证方法，AP侧可以在关联漫游的UE时，避免同一个AP下的IP地址冲突情况的发生。
如下的实施例八至实施例十，提供了设备的结构，在这些实施例中仅对设备结构进行简单描述，其具体的工作原理可以结合参见方法实施例。
实施例八
图9是本发明实施例提供的接入设备AP的结构示意图，如图9所示，该AP可以包括：接收单元91、处理单元92和发送单元93；其中，
接收单元91，用于接收终端发送的网络访问请求；
处理单元92，用于将Portal服务器地址、以及所述终端对应的终端标识信息携带在重定向报文中；例如，该终端标识信息包括：终端的MAC地址；
发送单元93，用于向所述终端返回所述重定向报文，以使得所述终端根据所述Portal服务器地址将所述终端标识信息发送至Portal服务器。
进一步的，所述终端标识信息还包括如下的至少一项：所述终端的IP地址；或者，所述接入设备的MAC地址和所述终端接入的VLAN；或者，时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间。
进一步的，所述接收单元91，还用于接收所述终端发送的地址分配请求；所述处理单元92，还用于根据所述地址分配请求，确定用于分配给所述终端的待分配IP地址，并检查所述接入设备的已关联终端的IP地址是否与所述待分配IP地址相同，若存在IP地址与所述待分配IP地址相同的已关联终端，则将所述待分配IP地址更改为另一个IP地址。
进一步的，所述处理单元92，还用于与新终端建立关联，所述新终端是从另一个接入设备移至所述接入设备；并确定所述新终端的IP地址与所述接入设备的已关联终端的IP地址相同；所述发送单元93，还用于向所述新终端发送用于指示重新请求地址的地址重配请求。接收单元91，还用于接收所述新终端发送的地址分配请求，并指示所述处理单元92根据所述地址分配请求向所述新终端分配与所述IP地址不同的另一个IP地址。
实施例九
图10是本发明实施例提供的Portal服务器的结构示意图，如图10所示，该Portal服务器可以包括：信息接收单元1001和认证请求单元1002；其中，
信息接收单元1001，用于接收终端发送的重定向报文，所述重定向报文携带所述终端的IP地址、以及终端标识信息；例如，该终端标识信息包括：终端的MAC地址；
认证请求单元1002，用于获取所述终端的认证信息，并向无线控制器AC发送认证请求，所述认证请求携带所述认证信息、所述终端的IP地址和所述终端标识信息，以使得所述AC根据所述IP地址和MAC地址识别所述终端。
实施例十
图11是本发明实施例提供的无线控制器的结构示意图，如图11所示，该无线控制器可以包括：请求接收单元1101、认证处理单元1102和结果发送单元1103；其中，
请求接收单元1101，用于接收Portal服务器发送的认证请求，所述认证请求中携带请求认证的所述终端的第一IP地址、认证信息、以及所述终端对应的终端标识信息；例如，该终端标识信息包括：终端的MAC地址；
认证处理单元1102，用于将所述MAC地址和第一IP地址对应的所述认证信息发送至认证服务器进行认证；
结果发送单元1103，用于在认证通过时，向所述终端关联的接入设备发送数据转发规则，所述数据转发规则用于所述接入设备转发所述终端的数据。
进一步的，认证处理单元1102，还用于解密所述终端标识信息，得到终端标识信息中包括的第二IP地址；将所述第二IP地址与所述认证请求中携带的第一IP地址比较；所述第一IP地址与第二IP地址不同，则指示所述结果发送单元向所述Portal服务器返回认证失败。
进一步的，认证处理单元1102，还用于解密所述终端标识信息，得到终端标识信息中包括的时间戳信息，所述时间戳信息用于表示所述重定向报文的发送时间；将所述时间戳信息与当前时间比较，若所述时间戳信息与所述当前时间之间的间隔超过预定时长，则指示所述结果发送单元向所述Portal服务器返回认证失败。
进一步的，请求接收单元1101接收的所述终端标识信息中还包括：所述接入设备的MAC地址和所述终端接入的VLAN；结果发送单元1103，在发送数据转发规则时，具体是用于根据所述接入设备的MAC地址和所述终端接入的VLAN，向所述接入设备发送数据转发规则。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。