一种用户证书的获取方法及装置、终端设备

本说明书涉及终端设备的接入领域，尤其涉及一种用户证书的获取方法及装置、终端设备。

随着移动终端的发展，接入网络的终端越来越多样化。使用用户证书来保护用户接入是最安全的无线认证方法之一。

现有的认证方式中，需要用户管理员或者通过访问指定的网页、邮箱等其他方式下载安装证书，然后手动配置行动热点WIFI(Wireless Fidelity)，然后利用证书进行认证。

现有流程操作步骤主要为：

首次认证时用户通过U盘、访问指定网页等方式获取到证书文件；或者管理员通过邮箱把证书文件发送给用户；

拿到证书后，点击证书文件，安装到终端上；

手动配置网络连接属性，例如，选择认证类型、选择证书等。

上面的过程比较复杂，易用性差。

为克服相关技术中存在的问题，本说明书提供了一种用户证书的获取方法及装置、终端设备。

根据本说明书实施例的第一方面，提供一种用户证书的获取方法，所述方法包括：

接入设备接收终端发送的MAC认证请求；

接入设备向认证服务器查询所述终端是否已经申请了用户证书；

若接入设备接收到认证服务器返回的所述终端未申请证书的结果，则在接收到终端通过Web浏览器发送的访问请求时，将终端的访问请求重定向至客户端下载页面，以使终端下载客户端，并通过客户端发起申请证书请求。

根据本说明书实施例的第二方面，提供一种用户证书的获取装置，所述装置包括：

接收模块、发送模块、判断模块、重定向模块；

接收模块，用于接收终端发送的MAC认证请求；

发送模块，用于向认证服务器查询所述终端是否已经申请了用户证书；

若判断模块确定接收模块接收到认证服务器返回的所述终端未申请证书的结果，则在接收模块接收到终端通过Web浏览器发送的访问请求时，重定向模块将终端的访问请求重定向至客户端下载页面，以使终端下载客户端，并通过客户端发起申请证书请求。

根据本说明书实施例的第三方面，提供一种用户证书的获取方法，所述方法包括：

接收认证设备发送的来源于终端设备的MAC认证请求；

查询认证请求中携带的MAC是否已经申请了用户证书；

若未申请用户证书，则向所述认证设备发送未申请证书的结果；

接收终端设备通过客户端发送的申请证书请求；

向所述证书服务器申请证书；

将申请到的证书发送至终端设备。

根据本说明书实施例的第四方面，提供一种用户证书的获取装置，所述装置包括：第二接收模块、第二发送模块、第二判断模块；

第二接收模块，用于接收认证设备发送的来源于终端设备的MAC认证请求；

第二发送模块用于查询认证请求中携带的MAC是否已经申请了用户证书；

第二判断模块用于在判断出终端未申请用户证书，则使得第二发送模块向所述认证设备发送未申请证书的结果；

所述第二接收模块还用于接收终端设备通过客户端发送的申请证书请求；

所述第二发送模块还用于向所述证书服务器申请证书；

所述第二发送模块还用于将申请到的证书发送至终端设备。

本公开的第五方面，还提供一种终端设备，该终端设备在连接网络之后，向认证服务器发送MAC认证请求；通过终端上的web浏览器向接入设备发送访问请求，该访问请求可以为针对外网的访问请求；

响应于接入设备重定向之后的客户端下载界面；

在下载客户端之后，通过客户端向认证服务器发起申请证书请求；

接收并安装所述证书，并通过客户端向认证服务器发送802.1x的证书认证请求。

本说明书的实施例提供的技术方案可以包括以下有益效果：终端在未安装证书或者证书过期时触发MAC认证，在终端访问任意网址后接入设备将页面重定向到客户端下载页面，下载客户端后，通过客户端和认证服务器的交互完成证书的申请和安装。从而无需繁琐的配置以及无需手动获取，简化了证书的获取流程。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本说明书的原理。

图1是本公开提供的用户证书获取方法的流程示意图；

图2是本公开提供的用户证书获取方法的信令交互图；

图3是本公开提供的非首次认证时用户证书获取方法的信令交互图；

图4是本公开又一实施例提供的用户证书的获取方法的流程示意图；

图5是本公开提供的一种用户证书的获取装置的结构示意图；

图6是本公开又一实施例提供的用户证书的获取装置的结构示意图。

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。

本公开公开了一种用户证书的获取方法，在终端未安装证书时，将页面重定向到客户端的下载界面，从而使得用户可以通过客户端进行后续的证书申请、证书安装等都经过客户端完成，从而可以快速的完成后续的认证。

本公开所提供的用户证书的获取方法，可以应用于接入设备，具体的，接入设备执行的用户证书的获取方法可以参照图1所示，图1为本公开提供的用户证书的获取方法的流程示意图。

步骤201，接入设备接收终端发送的MAC认证请求。

终端设备在接入网络之后，首先会触发MAC认证。MAC认证又称为MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。

步骤203，接入设备向认证服务器查询所述终端是否已经申请了用户证书。

接入设备向认证服务器发送查询请求，判断该MAC地址对应的用户终端是否已经申请了用户证书。

步骤205，若接入设备接收到认证服务器返回的所述终端未申请证书的结果，则在接收到终端通过Web浏览器发送的访问请求时，将终端的访问请求重定向至客户端下载页面，以使终端下载客户端，并通过客户端发起申请证书请求。

这里未申请证书的结果中也包括证书过期的情况。

针对终端的首次认证，认证服务器会向接入设备发送该终端未申请用户证书的结果。

后续当用户终端通过web浏览器向接入设备发送访问请求时，接入设备会将该访问请求重定向至客户端的下载页面。从而可以使用户通过该下载页面下载客户端。

由此，在终端未安装证书时，将页面重定向到客户端的下载界面，从而使得用户可以通过客户端进行后续的证书申请、证书安装等都经过客户端完成，从而可以快速的完成后续的认证。

在用户在终端上下载安装完客户端之后，用户使用客户端基于HTTP(HyperTextTransfer Protocol,超文本传输协议)完成证书的申请。在完成证书的申请之后，客户端基于安全传输层协议的可扩展的身份验证协议EAP-TLS(Extensible AuthenticationProtocol-Transport Layer Security)与认证服务器之间交互，最终利用证书完成与认证服务器之间相互的身份认证，最终实现用户终端接入网络实现上网的目的。

具体的，用户通过打开客户端，输入账号名和密码，向认证服务器发起申请证书的请求，申请证书的请求中还携带终端的MAC地址。认证服务器首先会校验账号名和密码，校验通过后，使用账号名和MAC地址作为证书主题，向证书颁发机构CA(CertificateAuthority)发起申请证书请求。之后认证服务器将申请到的证书返回给终端。终端在安全证书之后进行后续的认证流程。即终端在安装客户端以及证书之后，用户可以通过客户端进行802.1x证书认证。

图2给出了一种具体的终端、接入设备、认证服务器之间的交互信令图。对于各个具体步骤可以参照图2，在此不再详细赘述。

本公开实施例中提供了一种MAC认证和802.1X认证结合的认证方式，在传统的802.1X认证组网中，用户只能手动添加统一资源定位其URL(Uniform Resource Locator)进行客户端的下载，而本申请中结合MAC认证，使得接入设备在用户终端访问任意的网址时，均可以重定向到客户端下载界面。此外，传统的仅采用802.1x认证，在认证通过前，网络是不通的，因此终端是无法通过网络获取并安装证书的。

以上的实施例中介绍了在终端首次认证的情况。图3示出了终端在非首次认证时终端、接入设备、认证服务器之间的交互信令图。

根据图3可以看出，当认证设备再次接收到终端发送的MAC认证请求时，接入设备会向认证服务器发送查询请求，该查询请求用于查询该MAC地址是否已经申请用户证书；对于终端非首次认证的情况下。认证服务器会返回该终端已经申请过证书的结果。接入设备在接收到认证服务器发送的该结果之后，会向终端返回MAC认证失败的响应。从而促使用户打开客户端，再次通过客户端向认证服务器发起802.1x的证书认证请求。

此外，在一种可选的实施方式中，在终端正式接入网络之前，可以通过访问控制列表ACL(Access Control Lists)对终端进行网络访问的限制。具体的，接入设备接收所述认证服务器下发的隔离ACL，该隔离ACL用于在所述终端认证通过前对所述终端发送的报文进行隔离。这里对报文进行隔离的意思就是当接入设备接收到该终端发送的各种报文时，不将该报文转发出去。

此外，该隔离ACL还用于判断接收到的报文是否属于指定的终端发送的。例如，当接入设备接收到终端通过web页面发送的访问请求时，接入设备根据隔离ACL判断该访问请求属于隔离ACL指定的终端发送的，因此可以将页面重定向至客户端下载界面。

与上述接入设备相配合的，本公开实施例中对于认证服务器一侧对应执行的用户证书的获取方法进行介绍。

具体的，图4为本实施例提供的用户证书的获取方法的流程示意图，如图4所示，该方法包括：

步骤401，认证服务器接收认证设备发送的来源于终端设备的MAC认证请求。

步骤402，认证服务器查询认证请求中携带的MAC地址是否已经申请了用户证书。

步骤403，若确定所述终端未申请用户证书，则向所述认证设备发送未申请证书的结果。

步骤404，认证服务器接收终端设备通过客户端发送的申请证书请求。

其中，申请证书请求中包括账户名、密码以及终端的MAC地址。

认证服务器首先验证账户名和密码，校验通过之后，使用账号名和MAC地址作为证书主题，向证书服务器发起申请证书请求。这里的证书服务器又称为CA服务器，即证书颁发机构。

步骤405，向证书服务器申请证书。

在满足证书的颁发条件时，证书服务器会向终端设备下发证书。

步骤406，将申请到的证书发送至终端设备。

若认证请求中携带的证书信息与所述证书服务器下发的证书信息相匹配，则向所述终端设备发送认证通过的响应。

可选的，在上述实施例的基础上，本公开中的认证服务器在终端获取到证书之后，还会接收该终端设备通过客户端发起的802.1x认证请求；

本公开的实施例中，认证服务器接收接入设备发送的MAC认证请求，后续在终端接收到证书之后，认证服务器还会接收终端设备通过客户端发送的802.1X的认证请求，实现两种认证的方式的结合。

本公开还提供一种终端设备，该终端设备在连接网络之后，向认证服务器发送MAC认证请求；通过终端上的web浏览器向接入设备发送访问请求，该访问请求可以为针对外网的访问请求；响应于接入设备重定向之后的客户端下载界面；在下载客户端之后，该终端通过客户端向认证服务器发起申请证书请求；终端接收并安装所述证书，并通过客户端向认证服务器发送802.1x的证书认证请求。

实施例二

在上述实施例的基础上，本公开还提供一种用户证书的获取装置，该装置可以用于执行上述实施例一中接入设备所执行的方法，图5为本公开提供用户证书的获取装置的结构示意图的，如图5所示，该装置包括：接收模块501、发送模块502、判断模块503、重定向模块504；

接收模块501，用于接收终端发送的MAC认证请求；

发送模块502，用于向认证服务器查询所述终端是否已经申请了用户证书；

若判断模块503确定接收模块501接收到认证服务器返回的所述终端未申请证书的结果，则在接收模块501接收到终端通过Web浏览器发送的访问请求时，重定向模块504将终端的访问请求重定向至客户端下载页面，以使终端下载客户端，并通过客户端发起申请证书请求。

可选的，当接收模块501再次接收到终端设备发送的MAC认证请求时，发送模块502向认证服务器查询所述终端是否已经申请了用户证书；

接收模块501还用于接收认证服务器发送的所述终端申请过的证书；

发送模块502还用于向所述终端返回MAC认证失败的响应；

接收模块501还用于接收客户端发送的802.1x证书认证请求。

可选的，所述接收模块501还用于接收所述认证服务器下发的隔离ACL，所述隔离ACL用于在所述终端认证通过前对所述终端发送的报文进行隔离。

本公开提供的装置，由此，在终端未安装证书时，将页面重定向到客户端的下载界面，从而使得用户可以通过客户端进行后续的证书申请、证书安装等都经过客户端完成，从而可以快速的完成后续的认证。

本公开的另一实施例中，还提供一种用户证书的获取装置，该装置可以用于执行上述实施例一中认证服务器所执行的方法。图6为本公开中的装置的结构示意图，如图6所示，该装置包括：第二接收模块601、第二发送模块602、第二判断模块603；

第二接收模块601，用于接收认证设备发送的来源于终端设备的MAC认证请求；

第二发送模块602用于查询认证请求中携带的MAC是否已经申请了用户证书；

第二判断模块603用于在判断出终端未申请用户证书，则使得第二发送模块602向所述认证设备发送未申请证书的结果；

所述第二接收模块601还用于接收终端设备通过客户端发送的申请证书请求；

所述第二发送模块602还用于向所述证书服务器申请证书；

所述第二发送模块602还用于将申请到的证书发送至终端设备。

可选的，所述第二接收模块601还用于接收所述终端设备通过客户端发起的802.1x认证请求；所述第二判断模块603还用于在判断出认证请求中携带的证书信息与所述证书服务器下发的证书信息相匹配时，使得第二发送模块向603所述终端设备发送认证通过的响应。

应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。