CN107404485B - 一种自验证云连接方法及其系统 - Google Patents

Abstract

一种自验证云连接方法，所述方法包括以下步骤：客户端通过智能网关连接到互联网，通过互联网与第三方服务器建立通讯信道；客户端向第三方服务器发出访问请求；第三方服务器收到访问请求后发出验证请求；智能网关收到验证请求后，与该第三方服务器进行验证；第三方服务器通过验证，客户端访问成功。本发明针对现有技术中的不足和缺陷，提供一种方便、快捷、低成本一键登录使用云端资源的一体化装置，通过利用已有云AC及云网络，增加云端身份识别和认证服务,进一步提高用户上云的用户体验，并对云网络结构和认证服务的控制方式进行优化，保证云服务及无线网络的稳定运行，使自动连接云计算资源的装置在高速无线网络环境下得到推广应用。

Description

一种自验证云连接方法及其系统

技术领域

本发明属于网络平台连接验证技术设备领域，尤其是涉及一种自验证云连接方法及其系统。

背景技术

目前，用户在无线网络环境下办公越来越流行。无线网络通过无线接入点(AP)提供WiFi信号，用户通过笔记本、手机、台式机等设备接入网络需要登录，同时，使用云服务或应用软件也要登录。

本发明涉及的背景技术包括：WiFi、云网络、Portal认证、目录服务、单点登录、身份协议、SaaS/PaaS/IaaS、云网络和物联网

目前，几乎所有智能手机、笔记本电脑甚至物联网设备都支持WiFi上网，WiFi是当今使用最广的一种无线网络传输技术。WiFi是一种允许电子设备连接到一个无线局域网(WLAN)的技术，通常使用2.4G或5G射频频段。连接到无线局域网通常是有密码保护的；但也可以是开放的，允许任何在WLAN范围内的设备可以连接上。

WiFi实际上就是把有线网络信号转换成无线信号，传输速度可以达到54Mbps～500Mbps带宽，速度很快。WiFi最主要的优势在于不需要布线，可以不受布线条件的限制，因此非常适合移动办公用户的需要，并且由于发射信号功率低于100mw，功率低辐射小，因此WiFi上网相对也是最安全健康的。

AP为Access Point简称，一般翻译为″无线访问接入点″，或″桥接器″。它主要存取控制层中扮演无线设备与有线局域网络之间的桥梁。一般架设无线网络的基本配备就是无线网卡及一台AP，如此便能以无线的模式，配合既有的有线架构来分享网络资源，架设费用和复杂程度远远低于传统的有线网络。有了AP，就像一般有线网络的Hub一般，无线设备可以快速且轻易地与网络相连。特别是对于宽带的使用，WiFi更显优势，理论上，使用802.11ac能够提供最多1Gbps带宽进行多站式无线局域网通信，或是最少500Mbps的单一连接传输带宽。目前，无线接入点一般提供灵活的物联网扩展接口，可扩展多种标准的物联网模块，包括RFID、ZigBee、蓝牙4.0模块。

AP分两类：FAT AP(胖AP)和FIT AP(瘦AP)，目前大规模组网一般都用瘦AP组网。

胖AP本身承担了用户认证、漫游切换、用户数据加密、QoS、网络管理等复杂功能，AP的功能较重因此称为胖AP。它和当前无线路由器差不多，通常单台组网使用，不仅提供无线接入，还提供DHCP，路由，PPPoE等各种功能。缺点是网络规模大的情况下，较难集中管理。胖AP往往采用OPENWRT(或DDWRT)等开源操作系统，同时在云平台上开发各种不同的应用。

瘦AP，新增无线控制器(AC)作为中央集中控制管理设备，原先在FatAP自身上承载的用户认证、漫游切换、动态密钥等复杂功能转移到无线控制器，AP与AC之间通过隧道方式通信，可以跨越L2、L3网络甚至广域网进行连接，大大提高了整网的工作效率。但这种AP无法单独使用，它必须配合AC才能使用而且一般不需要配置，AP会自动寻找AC然后从AC上下载设备配置文件。当有网络中有成百上千台AP时，这种机制尤为重要，极大的降低了运维难度。这种瘦AP+AC的结构，缺点是往往AC和AP需要跨越广域网通信，需要消耗更大的链路带宽和保证低时延，同时也会出现诸如用户认证慢、漫游性能低下等问题。

AC，无线控制器，Access Controller。AC是用来管理、配置AP，并承担无线用户数据转发的设备。常见形态是盒式设备，也有极高端的插卡形态AC，插在机架式设备里。一台AC可以管理小到几台，多到几千台AP。

云AC技术

AC也可以做成软件形式，并部署在云端，只要保持AC和AP之间网络可达即可管理。云AC是一种网络功能虚拟化(NFV)方法。在传统的无线网络架构中，AP往往搭配AC使用。但实际上，AC并不是在802.11协议中必备的网络设备，而是对802.11协议的补充。使用云AC代替传统AC，除了节约成本以外，还能使设备可以集中管理，集中运维。由于AC″软化″，可以把AC的功能集中到一个非常强大的云端，这样云AC可以共享云计算的″弹性″，包括高可用性和扩展性。例如当其中某一个AC出现问题以后，基于PaaS的″其余AC″会进行接管，这样就可以保证整个系统的稳定、可靠；性能不足的时候可以进行横向扩展或者纵向扩展(Scaleup/Scale out)。AP也可以″移动″，它不依赖于具体部署位置，只要下载合适的配置文件，AP即可在网络可达的环境下接受云AC管理。传统的硬件AC对AP的管理采用紧耦合的方式，更适合局域网内的大量AP的管理；云AC采用和AP弱耦合，轻量级的交互方式来更好的适用跨互联网，广域网的AP集中管理。

在云AC的环境下，AP可视为网络化的天线，AP根据环境自动调节无线参数至最优状态，如信道扫描、逐包功率调整、本地数据转发等，并将配置更新至云AC。所有的云AP，自动汇聚成覆盖整个区域环境的无线网络。

WiFi网络中的AP认证、BRAS认证、AC认证、GW认证四类认证方式。

(1)AP认证

AP认证是面向中小商家的商业WiFi最常见的组网方式。此时，由于AP设备会被部署在商家的拨号路由器下方，有的虽然是AP直接拨号，但IP地址也是DHCP的，因此平台无法PING通AP，要实现Portal认证业务，必须在AP设备上加入平台的域名或IP地址，由AP主动基于约定的协议跟平台通讯。胖AP模式下，主流的协议是wifidog协议。本模式下，一个新用户认证成功后，信息会存储在AP设备和云端平台上，因此会出现当用户在一个AP下认证成功后，切换到同一商家的另一个AP下，就无法上网，需要进行重新认证的问题，这也是胖AP一般仅在小场景下使用、而无法进行无感知漫游的根本原因之一。

(2)BRAS认证

BRAS认证，是某些运营商的WLAN网络主流认证方式。这种认证方式下，Portal/Radius的信令交互是在BRAS设备与运营平台之间进行的，而对AP的识别则是基于BRAS上配置的PVLAN/CVLAN信息。目前BRAS认证方式在非电信运营商的商业WiFi中使用很少。本模式下，一个新用户认证成功后，信息会存储在BRAS设备和云端平台上，因此只要用户是在同一套BRAS下的AP之间切换，都是无感知漫游的。

(3)网关认证

网关认证用于胖AP组网时，并且能够解决胖AP组网跨AP的无感知切换问题，因此在一些对成本敏感、但连续覆盖面积又比较大的场所会有应用。同时，网关认证还能够在一些利旧环境下使用，通过在无线路由器的上联网络出口处增加一台网关，而不更换之前的设备，就可以实现整个场所的WiFi改造，使其支持Portal推送、Radius认证、短信/微信等认证、广告发布与运营、客户分析等商业WiFi的功能。本模式下，一个新用户认证成功后，信息会存储在GW设备和云端平台上，因此只要用户是在同一套GW下的AP之间切换，都是无感知漫游的。

(4)AC认证

AC认证，是另一种WLAN网络主流认证方式，是某些运营商使用的网络认证方式，同时也是所有使用AC+瘦AP方式组网的大规模商业WiFi网络的主流认证方式。相比较BRAS认证方式而言，AC认证方式组网比较简单，对于没有BRAS资源的运营商来说更容易实现。另一方面，AC与运营平台之间的Portal/Radius信令交互，也能够基于MAC、SSID进行传参，从而实现最小粒度到AP的个性化Portal推送。本模式下，一个新用户认证成功后，信息会存储在AC设备和后端平台上，因此只要用户是在同一套AC下的AP之间切换，都是无感知漫游的。对于云AC来说，管理AP的数量和范围都大大扩展了。

Portal认证

当用户访问网络的时候，会要求用户输入用户名和密码.认证成功后就可以上网了。认证过程中用户需要访问一个叫Portal的网站。Portal是英语入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

用户使用WiFi前认证的流程：

具体来讲，未认证用户上网时，设备强制用户登录到特定站点，在该网站完成认证，只有认证通过后才可以使用互联网资源。用户可以主动访问已知的Portal认证网址，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过浏览器访问外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。用户可以通过帐号密码、手机短信、专用认证设备或指纹等生物识别方式在Portal上完成认证。目前，依据国家有关规定，公共场所WiFi上网必须实名认证，这包括使用手机加短信验证码认证、微信认证等多种方式。

Portal认证完成后，一般Portal会显示一个导航页面作为欢迎页面方便用户上网。这个欢迎页面一般是可定制的，可以是导航页，也可以是广告页，使用提示页面等。

Portal认证其中安全策略服务器虽然在绝大多数Portal都存在，但它不是必选件。认证服务器是必选件，但计费服务不是必选。

1.认证客户端

安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的设备，它可以是智能手机、笔记本电脑、台式机甚至IoT物联网设备。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

2.接入设备

接入点、接入控制器、交换机、路由器等宽带接入设备的统称，主要有三方面的作用：

在认证之前将用户的所有HTTP请求都重定向到Portal服务器。

在认证过程中与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

在认证通过后，允许用户访问被管理员授权的互联网资源。如果仅仅控制用户接入互联网和认证，则计费服务不是必选。

3.Portal服务器

接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。

4.认证/计费服务器

与接入设备进行交互完成对用户的认证和计费。

5.安全策略服务器

与Portal客户端、接入设备进行交互完成对用户的安全认证和授权。以上五个基本要素的交互过程为：

(1)未认证用户访问网络时，在Web浏览器地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入设备时(WiFi中为AC无线控制器)会被重定向到Portal服务器的Web认证主页上。

(2)用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给接入设备；(3)然后接入设备再与认证/计费服务器通信进行认证和计费；(4)认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。一般地，用户登录被允许访问互联网之后，进入Web应用还需输入该应用的帐号、密码登录。如果用户使用一套帐号密码登录多个系统，就涉及单点登录技术。

SaaS/PaaS/IaaS

SaaS：基础设施即服务，运营商运行在云计算基础设施上的应用程序，用户可以在各种设备上通过浏览器界面访问。消费者不需要管理或控制任何云计算基础设施，包括网络、服务器、操作系统、存储等等；

PaaS：平台即服务，把客户采用提供的开发语言和工具(例如Java，PHP，Python，.Net等)开发的或收购的应用程序部署到供应商的云计算基础设施上去。客户不需要管理或控制底层的云基础设施，包括网络、服务器、操作系统、存储等，但客户能控制部署的应用程序，也可能控制运行应用程序的托管环境配置；

IaaS：基础设施即服务，是对所有计算基础设施的利用，包括处理CPU、内存、存储、网络和其它基本的计算资源，用户能够部署和运行任意软件，包括操作系统和应用程序。消费者不管理或控制任何云计算基础设施，但能控制操作系统的选择、存储空间、部署的应用，也有可能获得有限制的网络组件(例如路由器、防火墙、负载均衡器等)的控制。

同时，随着公司采用越来越多的采用云计算技术，基于SaaS的应用程序大量进入企业的办公环境，用户期望使用尽可能少的帐号，最好是单点登录SingleSignOn功能登录到这些应用程序中。这意味着一个用户可使用单一上网帐号登录网络，即可以访问云端企业应用程序、电子邮件。管理无数个帐号密码，还要记清楚哪个云环境、哪个系统使用哪个密码，对用户来讲难度实在太大，密码遗忘和密码共享经常带来未知的风险。如果用户只需实现一次即可在以后重用，这样认证和审计也得到了简化。这种方式叫单点登录。

单点登录(SingleSignOn缩写为SSO)是大部分大型企业向其用户(员工、合作伙伴、客户)提供的一项重要服务。在信息安全制度越来越严格的时代里，SSO技术的使用使得公司能够以一种一致的方式跨多个应用程序实施访问控制策略，这减少了实现的总体成本。管理员也不必为各种系统设置密码策略，这些策略可能包括但不限于密码长度、密码复杂度、密码使用时长、以前的密码的重用等，管理员的工作得以简化，用户体验提升的同时安全性也得到提高。

归纳现有技术缺点如下：

一、用户管理多个帐号和密码，使用多个账号登录第三方web应用，用户体验差；

二、用户帐号密码授权第三方应用，时间和范围难以控制，存在安全隐患；

三、网络设备与软件应用的认证不能集成，用户需要分别登录网络和多个应用；

四、AP接入认证与授权面向局域网，并且不能连通云端应用。因此目前本发明需要将单点登录从AP扩展到云端，实现用户真正面向互联网的一次登录，既可以访问网络，也可以使用各种云服务。

现有技术方案主要包括认证即服务、云AC认证方案和云网络三种。

一、AaaS，认证即服务

每个大型企业软件供应商可能都提供了这一领域的部分技术或产品。这一领域的顶级解决方案包括Security Access Manager for Enterprise Single Sign-On、CA SiteMinder和Oracle Access Management。开源方案主要包括CAS、OpenAM、Okta、DirectAxs和Ping Identity。

上面提及的每个产品都随带了自己的代理，这些代理必须安装在您尝试保护和为其启用SSO应用程序的Web服务器和应用服务器上。一般而言，您将拥有大部分主要操作系统、Web服务器软件和应用服务器软件的代理。代理的作用是拦截对一个应用程序的登录请求，然后将该请求传递给SSO服务器以制定决策。

CAS(Central Authentication Service)是Yale大学发起的一个开源项目，很多采用开源构建Web SSO的项目使用CAS。CAS是一种相对简单，且足够安全的SSO选择。

CAS Client负责部署在客户端(指Web应用)，原则上，CAS Client的部署意味着，当有对本地Web应用的受保护资源的访问请求，并且需要对请求方进行身份认证，Web应用不再接受任何的用户名密码等类似的Credentials，而是重定向到CAS Server进行认证。

目前，CAS Client支持非常多的客户端，包括Java、.Net、ISAPI、PHP、Perl、Ruby、VBScript等客户端，CAS协议几乎能够适合任何语言编写的客户端应用。

Okta、DirectAxs、Azure AD、AWS IAM等软件本质上是一种“云连接器”，能将一家公司及其员工使用的大量软件应用整合在一起。它面向的主要是云计算场景，基于标准协议，如OAuth 2.0、OpenID等实现跨应用实现单点登录。

Okta软件能让客户的员工很方便地使用单一、安全的账号，登录他们工作中需要使用的各种网络服务，或者供承包商、合作伙伴和客户所使用的网络服务。当一名员工入职或离职企业可以利用软件快速开通或者取消该员工访问应用和网络服务的权力。

AWS目录服务允许使用者提供一个用户目录，增加小组成员，将机器添加到域，实施Kerberos单点登录，应用Group Policy(组策略)。AWS目录服务也可以将一个既存的活动目录(AD)扩展到云中，与IAM集成。这种方法可以使与目录关联的用户直接或通过既存的AD服务器单点登录到AWS管理控制台。

国内涉及云单点登录的厂商是派拉软件，其产品ParaSecure Cloud SSO实现SaaS应用的单点登录。用户访问所有SaaS应用认证都在ParaSecure Cloud SSO上完成，SaaS应用不负责用户身份的认证。该方案支持两种场景：

1)用户先登录ParaSecure Cloud SSO，再点击SaaS应用的链接，自动实现单点登录进入应用；

2)用户先访问SaaS应用，被重定向到ParaSecure Cloud SSO，完成认证后再自动回到SaaS应用，并自动单点登录进入应用。

其产品功能包括集中身份管理、统一身份存储、统一认证、安全审计和集成接口，只要SaaS应用支持SAML、OpenID、OAuth等协议，即可方便的实现单点登录集成。系统支持高可用和集群部署，避免单点故障，具有灵活的横向和纵向扩容能力，适应不同规模的企业需求，基于B/S的管理界面，仅需简单配置即可完成应用的单点登录。

二、云AC认证方案

目前市场上华为、华三、锐捷、树熊等厂商都提供云AC和Portal的认证方案。用户使用瘦AP+云AC结构，可以快捷地将这些AP设备纳入云AC的管理之中，AP能自动发现设备下载配置文件，云端实时监测设备的当前状态，还有软件重启、版本升级、网页管理各类远程管理功能。

通过云AC控制设备端的配置，各厂商的方案都支持包括设备无线配置、设备认证配置、访问资源控制、用户管理控制、设备管理配置、设备日志配置以及设备系统配置等功能以及记录各个配置项操作的相关信息的配置操作日志记录功能。

同时，各厂商的云AC大多数通过Portal扩展功能，支持与第三方Web应用，如云营销平台、广告平台、大数据平台等对接，实现广告推送和精准营销服务等。

三、云网络

用户除了通过互联网连接云资源以外，云计算厂商如AWS、Azure和阿里云等还提供了虚拟网络和直连专线产品，帮助用户获得更好的体验。

云中的专用网络，云中预置一个逻辑隔离分区，可通过VPN或直连专线轻松扩展本地网络，它提供了独立且安全的环境让用户在自己定义的虚拟网络中使用云资源。例如：用户可将公有云视为自己的数据中心，定义通信流如选择自有的IP地址范围、创建子网，以及配置路由表和网关直连云网络，选择运行负载平衡器、应用程序防火墙等，从而在设计网络时拥有更高的控制力；同时，用户可轻松地将本地IT环境扩展到云，可构建安全连接到本地数据中心的混合云应用程序。如果将平台即服务(PaaS)和基础结构即服务(IaaS)整合在一个虚拟网络中，则在构建应用程序时将能获得更大的灵活性和可扩展性。相关技术方案在设备接入和云应用整合、面向互联网，用户体验及安全提升方面还不够完整。这是本装置与方法着力解决的问题。

发明内容

为了弥补上述登录形式的缺陷，本发明提出一种自验证云连接方法，

其技术方案为，一种自验证云连接方法，所述方法包括以下步骤：

客户端通过智能网关连接到互联网，通过互联网与第三方服务器建立通讯信道；

客户端向第三方服务器发出访问请求；

第三方服务器收到访问请求后发出验证请求；

智能网关收到验证请求后，与该第三方服务器进行验证；

第三方服务器通过验证，客户端访问成功。

进一步的，所述智能网关验证步骤包括：

智能网关通过内置的RADIUS认证服务器检测否储存该第三方服务器验证信息；

若智能网关检测到该第三方服务器的验证信息，则将验证信息发送给该第三方服务进行验证；

若智能网关未检测到该第三方服务器验证信息，则将验证请求发送给客户端，客户端收到该验证请求后，将与该第三方服务器的验证请求对应的验证信息发送给智能网关，智能网关收到客户端的验证信息后，将验证信息发送给第三方服务器同时将该第三方服务器及针对该第三方服务器的验证信息进行储存。

一种自验证云连接系统，包括云服务器，分别与云服务器信号连接的第三方服务器和客户端，其特征在于，还包括智能网关，所述智能网关分别与客户端和云服务器连接，该智能网关包括：

Wifi连接模块，用于与客户端进行连接，为客户端提供wifi服务；

通讯模块，与所述WIFI模块电连接，用于验证客户端与智能网关之间的登陆信息，实现连接器与客户端之间的加密通讯；

发送模块，与所述通讯模块连接，用于将客户端登陆请求发送到第三方服务器；

接收模块，用于接收第三方服务器的验证请求；

储存模块，用于储存客户端访问的第三方服务器ID信息；

RADIUS认证服务器，分别与所述通讯模块、接收模块和储存模块连接，用于核对第三方服务器的验证信息；

回馈模块，分别与所述RADIUS认证服务器和通讯模块连接，用于将验证信息发送给对应的第三方服务器；

记录模块，分别与所述回馈模块和储存模块连接，用于记录回馈模块发送的验证信息及对应的第三方服务器信息，并将记录结果发送给储存模块进行储存。

所述智能网关还包括外壳，固定在外壳内的电路板和与电路板电连接的数据接口，所述Wifi连接模块，通讯模块，发送模块，接收模块，储存模块，RADIUS认证服务器，回馈模块，记录模块分别固定到电路板上。

所述通讯模块，发送模块，接收模块，储存模块均为单片机。

所述外壳上还设有报警指示灯。

所述外壳包括底板和与所述底板连接到一起的壳体，所述底板四角分别设有导杆，所述壳体内设有供所述导轨进出的固定环，所述壳体与所述底板通过所述导杆与所述固定环对应穿装的方式固定到一起。

所述电路板固定在所述底板上，所述壳体一侧开有供与所述电路板连接的电线的通孔，所述通孔上设有防尘胶套，所述电线穿过所述防尘胶套连接到所述电路板上。

本发明所解决问题：针对现有技术中的不足和缺陷，本发明专利目的是提供一种方便、快捷、低成本一键登录使用云端资源的一体化装置，通过利用已有云AC及云网络，增加云端身份识别和认证服务，进一步提高用户上云的用户体验，在较低的成本条件下，实现云资源前后端使用的高效使用，通过合理的认证分配与组合方式，改善服务接入流程，并对云网络结构和认证服务的控制方式进行优化，使其处理高并发用户，负载均衡性好，保证云服务及无线网络的稳定运行，使自动连接云计算资源的装置在高速无线网络环境下得到推广应用。

具体地说，包括：

一、云端应用即插即用：连接互联网完成自动上线，用户无需安装软件包、也无需申请帐号，AP连接网络后直接提供云服务；

二、接入方便快捷的认证即服务：通过AP(接入点)直接接入，一般只需手机号码一次注册与认证同时完成，减少用户操作步骤，全网访问绑定的云端资源，上网即上云；

三、任意点访问：连接云端的AP在任意网络可达云端AC的条件下完成认证，并访问公有云SaaS、PaaS、IaaS等服务；

四、在线敏捷运维：管理员可以通过网络Web门户管理云服务的授权和限制，更改配置、安全策略设置及对应用进行监控。

所述通讯模块，发送模块，接收模块，储存模块均为单片机。

所述外壳上还设有报警指示灯。

附图说明

图1为本发明的一种实施方式的流程示意图；

图2为本发明的一种实施方式的结构示意图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语″中心″、″上″、″下″、″左″、″右″、″竖直″、″水平″、″内″、″外″等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语″第一″、″第二″、″第三″仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语″安装″、″相连″、″连接″应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

结合图1，本发明的一种实施方式。一种自验证云连接方法，所述方法包括以下步骤：

客户端通过智能网关连接到互联网，通过互联网与第三方服务器建立通讯信道；

客户端向第三方服务器发出访问请求；

第三方服务器收到访问请求后发出验证请求；

智能网关收到验证请求后，与该第三方服务器进行验证；

第三方服务器通过验证，客户端访问成功。

上述方法中，所述智能网关验证步骤包括：

智能网关通过内置的RADIUS认证服务器检测否储存该第三方服务器验证信息；

若智能网关检测到该第三方服务器的验证信息，则将验证信息发送给该第三方服务进行验证；

若智能网关未检测到该第三方服务器验证信息，则将验证请求发送给客户端，客户端收到该验证请求后，将与该第三方服务器的验证请求对应的验证信息发送给智能网关，智能网关收到客户端的验证信息后，将验证信息发送给第三方服务器同时将该第三方服务器及针对该第三方服务器的验证信息进行储存。

一种自验证云连接系统，包括云服务器，分别与云服务器信号连接的第三方服务器和客户端，其特征在于，还包括智能网关，所述智能网关分别与客户端和云服务器连接，该智能网关包括：

Wifi连接模块，用于与客户端进行连接，为客户端提供wifi服务；

通讯模块，与所述WIFI模块电连接，用于验证客户端与智能网关之间的登陆信息，实现连接器与客户端之间的加密通讯；

发送模块，与所述通讯模块连接，用于将客户端登陆请求发送到第三方服务器；

接收模块，用于接收第三方服务器的验证请求；

储存模块，用于储存客户端访问的第三方服务器ID信息；

RADIUS认证服务器，分别与所述通讯模块、接收模块和储存模块连接，用于核对第三方服务器的验证信息；

回馈模块，分别与所述RADIUS认证服务器和通讯模块连接，用于将验证信息发送给对应的第三方服务器；

记录模块，分别与所述回馈模块和储存模块连接，用于记录回馈模块发送的验证信息及对应的第三方服务器信息，并将记录结果发送给储存模块进行储存。

所述智能网关还包括外壳，固定在外壳内的电路板和与电路板电连接的数据接口，所述Wifi连接模块，通讯模块，发送模块，接收模块，储存模块，RADIUS认证服务器，回馈模块，记录模块分别固定到电路板上。

所述通讯模块，发送模块，接收模块，储存模块均为单片机。

所述外壳上还设有报警指示灯。

所述外壳包括底板和与所述底板连接到一起的壳体，所述底板四角分别设有导杆，所述壳体内设有供所述导轨进出的固定环，所述壳体与所述底板通过所述导杆与所述固定环对应穿装的方式固定到一起。

所述电路板固定在所述底板上，所述壳体一侧开有供与所述电路板连接的电线的通孔，所述通孔上设有防尘胶套，所述电线穿过所述防尘胶套连接到所述电路板上。

本发明整个过程中使用了中国移动Portal协议标准2.0，RADIUS协议，OpenIDConnect1.0/OAuth2.0或者SAML协议，智能网关的存储模块第三方服务器的域名，不存储验证信息，而智能网关内置的RADIUS认证服务器存储用户ID和第三方服务器的验证信息。除非在自己兼任一个身份服务商角色的时候，存储验证信息。

本发明的智能网关包括云端的AC无线控制器和若干AP，支持AC以软件形式部署在PaaS或者IaaS上。面向互联网的云AC是一键上云的基础条件。

本发明的包括Portal网站门户、认证服务、SSO单点登录、安全策略、身份代理，负责Portal与云AC、Portal与认证服务器之间的数据交互，单点登录、身份提供商管理、目录联盟互信等功能。

假设某应用场景角色：1服务提供者SP、2身份提供商IDP、3用户。具体流程如下：

A用户访问某个受到保护的资源(服务提供者)例如www.CloudNative.com，通过本系统AP接入网络；B用户通过Portal完成认证，认证过程中Portal使用身份提供商提供认证服务；C身份认证服务商生成断言，证明用户身份并用自己的私钥签名，同时返回认证是否成功的信息给Portal；D Portal服务器得到认证成功信息后发送信息给接入服务器BAS(通常是硬件)；E接入服务器通过与RADUS上网认证服务器交互，完成上网授权和放行；F在取得上网授权之后，Portal发送认证断言和它的私钥给服务提供者，服务提供者通过身份提供商的公钥验证了断言的签名，于是信任了该断言，判断用户合法，允许客户访问受保护资源。

在这个流程中，访问网络也可以视为一种受保护资源，只是用户按照Portal的安排逐步取得受保护资源的访问权限。采用公钥-私钥系统了，通过给断言加上签名和加密，或者结合数字证书系统确保安全，防止防止断言被假冒、篡改，身份提供商的可信，这些由安全策略服务管理。整个过程中使用了中国移动Portal协议标准2.0，RADIUS协议，OpenIDConnect1.0/OAuth2.0或者SAML协议。其中，B-C过程，即用户第一次访问身份提供商(如微信)需要在BAS网络接入设备预先配置，允许对此网址临时放行。C过程中，可能使用OpenIDConnect1.0/OAuth2.0或者SAML协议，这与使用哪个身份提供商有关。D过程使用中国移动Portal协议标准2.0。E过程使用RADIUS协议。F过程使用OpenID Connect1.0/OAuth2.0或者SAML协议。

具体来讲：身份代理部分要求我们自己编写与短信网关(电信运营商作为身份提供商)、Web IDP(微信、微博或任何其他OIDC/OpenID Connect兼容的IDP)交互的代码，然后调用认证服务以从这些IDP处获得的身份验证令牌交换系统临时安全凭证。

在某些条件下，该模块使用微软的Azure AD、AWS的Amazon Cognito或者阿里云的IAM等方案处理与IDP的交互，因为这些面向互联网的云端认证与目录服务可充当身份代理并为完成许多联合工作，不必自己处理与诸多IDP之间的交互。

本发明总，包括云端的AC无线控制器和若干AP，支持AC以软件形式部署在PaaS或者IaaS上。面向互联网的云AC是一键上云的基础条件。包括Portal网站门户、认证服务、SSO单点登录、安全策略、身份代理，负责Portal与云AC、Portal与认证服务器之间的数据交互，单点登录、身份提供商管理、目录联盟互信等功能。其中，Portal还负责用户一键登录后应用的导航与推荐。该模块完成一键上云的大部分核心功能。身份代理部分要求我们自己编写与短信网关、Web IDP(微信、微博或任何其他OIDC兼容的IDP)交互的代码，然后调用认证服务以从这些IDP处获得的身份验证令牌交换系统临时安全凭证。在某些条件下，该模块使用微软的Azure AD、AWS的Amazon Cognito或者阿里云的IAM等方案处理与IDP的交互，因为这些面向互联网的云端认证与目录服务可充当身份代理并为完成许多联合工作，不必自己处理与诸多IDP之间的交互。

本发明使用API完成与SaaS、PaaS、IaaS和云网络的实际连接。

本发明可以实现整个接入、认证授权和应用访问过程中的数据、日志收集，并完成面向安全的审计、攻击的识别与应对策略管理、数据分析等功能。

应用场景举例：

场景一：园区应用，混合云：定期试用portal新应用，推送某园区部署了WiFi网络连接至互联网，其中AP接入本系统的云AC。园区的企业可以作为租户，开通AP一键上云服务。例如，管理员在SSO/目录服务器上建立了该企业的员工帐号、开通的SaaS云服务等预先配置工作，企业只要将AP接通，配置为网络可达云AC，用户登录成功Portal显示SaaS应用网址导航，用户既可免二次登录使用预置的应用。许多情况下，云端的AC与AP是通过直连专线接入公有云将获得更好的用户体验，得到AP即得到了快速、稳定的专线连接的云端虚拟设备，如虚拟网络、IaaS虚拟机，PaaS服务。

场景二：自动考勤：分享帐号位置

员工在办公区/厂区登录WiFi，系统授权考勤应用访问用户所在AP位置信息，考勤系统在员工无感知情况下自动完成考勤″打卡″流程。当员工下班离开WiFi网络，考勤系统自动完成″打卡″下班。由于员工办公区位置信息与考勤系统共享，系统可以统计各位员工上下班、是否在工位、甚至在哪个办公区域的时长。以上所有功能是在员工″一键登录″网络的条件下实现，极大地改善了用户体验。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。

Claims (7)

1.一种自验证云连接方法，其特征在于，应用于自验证云连接系统，包括：云服务器，分别与云服务器信号连接的第三方服务器、客户端和智能网关，智能网关包括扩展接入第三方应用的云AC模块、Wifi连接模块、Portal认证模块和RADIUS认证服务器，所述方法包括以下步骤：

利用云AC扩展连接入预设应用程序；

客户端向第三方服务器发出第一访问请求；其中，第一访问请求用于获取网络通信连接；

第三方服务器收到访问请求后发出验证请求；

智能网关收到验证请求后，客户端通过Portal认证模块输入验证信息，通过RADIUS认证服务器与该第三方服务器进行验证；验证信息用于登录网络通信和登录预设应用程序；

第三方服务器通过验证，智能网关记录验证信息；

客户端向第三方服务器再次发出第二访问请求；第二访问请求用于登录预设应用程序；

智能网关验证利用验证信息，与云AC的预设应用程序进行验证；

客户端免输入登录预设应用程序。

2.一种自验证云连接系统，包括云服务器，分别与云服务器信号连接的第三方服务器和客户端，第三方服务器用于认证验证信息，其特征在于，包括智能网关，所述智能网关分别与客户端和云服务器连接，该智能网关包括：

Wifi连接模块，用于与客户端进行连接，为客户端提供wifi服务；

云AC模块，用于管理和认证无线接入点AP，且扩展接入第三方应用；

Portal认证模块；

通讯模块，与所述WIFI模块电连接，用于验证客户端与智能网关之间的登陆信息，实现连接器与客户端之间的加密通讯；

发送模块，与所述通讯模块连接，用于将客户端登陆请求发送到第三方服务器；

接收模块，用于接收第三方服务器的验证请求；

储存模块，用于储存客户端访问的第三方服务器ID信息；

RADIUS认证服务器，分别与所述通讯模块、接收模块和储存模块连接，用于核对第三方服务器的验证信息；

回馈模块，分别与所述RADIUS认证服务器和通讯模块连接，用于将验证信息发送给对应的第三方服务器；

记录模块，分别与所述回馈模块和储存模块连接，用于记录回馈模块发送的验证信息及对应的第三方服务器信息，并将记录结果发送给储存模块进行储存。

3.根据权利要求2所述的自验证云连接系统，其特征在于，所述智能网关还包括外壳，固定在外壳内的电路板和与电路板电连接的数据接口，所述Wifi连接模块，通讯模块，发送模块，接收模块，储存模块，RADIUS认证服务器，回馈模块，记录模块分别固定到电路板上。

4.根据权利要求3所述的自验证云连接系统，其特征在于，所述通讯模块，发送模块，接收模块，储存模块均为单片机。

5.根据权利要求4所述的自验证云连接系统，其特征在于，所述外壳上还设有报警指示灯。

6.根据权利要求3所述的自验证云连接系统，其特征在于，所述外壳包括底板和与所述底板连接到一起的壳体，所述底板四角分别设有导杆，所述壳体内设有供所述导轨进出的固定环，所述壳体与所述底板通过所述导杆与所述固定环对应穿装的方式固定到一起。

7.根据权利要求6所述的自验证云连接系统，其特征在于，所述电路板固定在所述底板上，所述壳体一侧开有供与所述电路板连接的电线的通孔，所述通孔上设有防尘胶套，所述电线穿过所述防尘胶套连接到所述电路板上。