CN106341413A - 一种portal认证方法及装置 - Google Patents
一种portal认证方法及装置 Download PDFInfo
- Publication number
- CN106341413A CN106341413A CN201610865239.4A CN201610865239A CN106341413A CN 106341413 A CN106341413 A CN 106341413A CN 201610865239 A CN201610865239 A CN 201610865239A CN 106341413 A CN106341413 A CN 106341413A
- Authority
- CN
- China
- Prior art keywords
- terminal
- mac address
- authentication
- described terminal
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种portal认证方法,包括步骤:获取终端上网请求报文,从上网请求报文中解析出终端的MAC地址;响应终端上网请求报文,返回重定向报文,重定向报文携带重定向地址及从上网请求报文中解析出来的终端的MAC地址,以便终端根据重定向报文,打开portal认证界面,发送认证请求报文;获取终端的认证请求报文,从认证请求报文中解析出终端的MAC地址;判断认证请求报文中的MAC地址是否与上网请求报文中的MAC地址一致,若是,则认证成功,开通终端的上网权限,否则认证失败,丢弃终端的认证请求报文。此外,本发明还提供一种portal认证装置。通过本发明的认证方法和装置,大大降低了无线网络的安全风险,增强了认证的安全性。
Description
技术领域
本发明涉及网络认证安全领域,尤其涉及一种portal认证方法及装置。
背景技术
portal认证是无线网络接入认证的流行技术之一,当用户接入某一无线网络时,会自动弹出Portal页面,提示用户输入账户信息,完成接入认证。无线网络运营者有时为了方便用户接入网络,会临时记住用户STA的MAC(Media/Medium Access Control)地址,即其物理地址、硬件地址,下次再次认证时不需要用户输入账户,直接免认证通过。也有的无线网络运营者的为了提高用户的使用体验和广告投发效率,用户接入无线时,强制推送广告,用户点击或看完广告页面就可直接上网,这些优化的认证方式确实提高了接入效率和用户的实际体验,但也产生了安全风险。
由于运营者不需要账户认证进行无线认证,必然使用STA的物理MAC地址作为STA的唯一标识,如果“黑客”用户通过伪装另一个物理MAC地址就能轻松获得接入权限。当“黑客”用户使用完自己2小时上网额度后,伪装另一个物理MAC地址,又能获得2小时额度的上网权限。这一安全漏洞严重的威胁了无线网络的正常运营,占用了有限的无线资源,是当前必须解决的问题。
现有的portal认证过程先由STA接入AP的某一个SSID,AP要求STA进行portal认证,并劫持用户的第一个HTTP Request上网请求。AP响应用户的HTTP Request报文,通过HTTP 302重定向到Portal服务器URL地址,并带上STA原有报文中STA的MAC,然后STA获得AP重定向的URL地址和STA的MAC,以此URL和MAC再次向Portal服务器发起HTTP Request请求。这一认证过程安全性基于对STA的HTTP Request报文的信任,如果用户通过特定软件构造伪造的再次HTTP Request请求报文,任意修改STA的MAC地址,就能欺骗Portal服务器,从而非法获得上网额度资源。
发明内容
本发明提供一种portal认证方法及装置,用以解决现有技术中篡改认证请求报文,伪装MAC地址以获得上网权限的问题。
本发明方法包括如下步骤:
S100获取终端上网请求报文,从所述上网请求报文中解析出所述终端的MAC地址;
S200响应所述终端上网请求报文,返回重定向报文,所述重定向报文携带重定向地址及从所述上网请求报文中解析出来的所述终端的MAC地址,以便所述终端根据所述重定向报文,打开portal认证界面,发送认证请求报文;
S300获取所述终端的认证请求报文,从所述认证请求报文中解析出所述终端的MAC地址;
S400判断所述认证请求报文中的MAC地址是否与所述上网请求报文中的MAC地址一致,若是,则执行步骤S500,否则执行步骤S600;
S500认证成功,开通所述终端的上网权限;
S600认证失败,丢弃所述终端的认证请求报文。
终端设备打开网页或其它应用程序时,会触发发送上网请求报文,这个上网请求报文中携带了这个终端的MAC地址,由于触发的上网请求报文一般较难篡改,所以此报文中携带的MAC地址可以看成是该终端设备的实际MAC地址。认证装置获取到该终端的上网请求后,便从所述请求报文中解析出该终端的MAC地址(视为实际MAC地址),然后响应终端的上网请求,返回给终端重定向报文,报文携带了重定向的地址和解析出的该终端的MAC地址,终端根据此重定向报文,打开portal认证界面,根据重定向的地址发送认证请求报文,认证请求报文较为容易篡改,如果终端发送的认证请求报文中携带的该终端的MAC地址为伪装的MAC地址,则认证装置可根据认证请求报文中解析出来的这个MAC地址和上网请求中解析出来的MAC地址不一致而判断出来认证请求中的MAC地址是伪装MAC地址,从而导致终端认证结果失败,上网终端无法通过认证,从而无法获得上网权限。
本发明通过终端认证消息中的认证MAC地址与请求消息中的MAC地址的比对,鉴别认证消息中的MAC地址是否伪装,从而剔除非法MAC地址的接入认证,大大降低了无线网络的安全风险。
进一步优选的,还包括步骤:
S050当所述终端建立与无线网络的通讯连接时,获取终端的MAC地址。
终端在触发上网请求前需要先与无线网络建立通讯连接,此处虽然建立了连接,但此时是无法上网的。需要后续的上网请求和认证请求通过后方可获得上网权限。这个通讯连接一般指物理层的通讯连接,建立连接时也可记录该终端的MAC地址,后续也可以通过比较建立连接的MAC地址、上网请求报文中的MAC地址及认证请求中的MAC地址是否一致来判断终端有没有伪装MAC地址而获得上网权限。
进一步优选的,还包括步骤:
S150判断解析出的所述上网请求报文中的MAC地址是否与当所述终端连接无线网络时获取到的MAC地址一致,若是则继续执行后续操作,否则拒绝所述终端的上网请求。
由于独权是基于上网请求中MAC地址视为实际的MAC地址进行判断的,虽然上网请求报文不易篡改,但也不排除有用户可以对上网请求和认证请求都能进行篡改,而获得认证通过。而增加将上网请求报文中解析出的MAC地址与当终端建立无线网络通讯连接时获取到的终端的MAC地址进行比较这一步骤后,则可及时发现上网请求报文中的MAC地址是否伪装。
进一步优选的,还包括步骤:
S350判断解析出的所述认证请求报文中的MAC地址是否与当所述终端连接无线网络时获取到的MAC地址一致,若是则执行步骤S500,否则执行步骤S600。
此方案是直接将认证请求报文中的MAC地址与当终端建立无线网络通讯连接时获取到的终端的MAC地址进行比较,如果两者地址一致,则认证通过,否则认证失败。
进一步优选的,还还包括步骤:
S180当获取到所述终端的上网请求时,记录下获取时间,并判断所述获取时间距离上次认证请求报文成功时间的间隔是否达到预设时长,若是则执行步骤S200,否则执行步骤S500;
设置认证有效期,避免用户频繁认证,导致用户体验感下降,另一方面,预设时长达到后,再次认证,推送认证广告页面,也可提升商业价值。
进一步优选的,还包括步骤:
S700当所述终端认证失败时,记录所述终端认证失败的次数,当所述终端认证失败的次数达到预设次数时,将所述终端列入黑名单,并解除所述终端与无线网络的通讯连接。
为了避免不良用户使用软件频繁发生请求,增加认证装置的负担,影响认证装置的服务性能,本方案增加了一个黑名单,终端认证失败的次数达到一定数量,则将该终端拉入黑名单,解除该终端与无线网络的通讯连接。后续认证装置也可在该终端连接无线网络后、或者接收到该终端的上网请求后、或者认证请求后,通过判断该终端是否已列入黑名单而采取不同的阻止其获得上网权限的措施。
进一步优选的,所述步骤S050之后还包括步骤:
S080判断所述终端是否在黑名单内;若是则解除所述终端与无线网络的通讯连接,否则执行步骤S100。
本发明还提供一种portal认证装置,包括获取模块、解析模块、及判断操作模块;所述获取模块与所述解析模块相连,所述判断操作模块与所述解析模块相连,其中:
所述获取模块获取终端的上网请求报文,所述解析模块从所述上网请求报文中解析出所述终端的MAC地址;
所述判断操作模块响应所述终端的第一次上网请求报文,返回重定向报文,所述重定向报文携带重定向地址及所述终端的MAC地址,以便所述终端根据所述重定向报文,打开portal认证界面,发送认证请求报文;
所述获取模块获取所述终端的认证请求报文,且所述解析模块从所述认证请求报文中解析出所述终端的MAC地址;
所述操作处理模块判断所述认证请求报文的MAC地址是否与所述上网请求报文的MAC地址相同,若是,则认证成功,开通所述终端的上网权限;否则,认证失败,丢弃所述终端的认证请求报文。
本发明的认证装置通过比较上网请求报文中解析出来的MAC地址与认证请求报文中解析出来的MAC地址是否一致,判断所述终端是否有伪装MAC地址以获取上网权限。通过加入了检测机制,大大增强了认证的安全性,提高了安全性能。
进一步优选的,还包括与所述获取模块和判断操作模块相连的存储模块,其中:
当所述终端建立与无线网络的通讯连接时,所述获取模块获取所述终端的MAC地址并存储在所述存储模块中;
当所述获取模块获取到所述终端的上网请求报文,所述解析模块解析出所述终端的MAC地址后,所述操作判断模块判断所述上网请求报文中的所述终端的MAC地址是否与当所述终端连接无线网络时获取到的MAC地址一致,若是则继续执行后续操作,否则拒绝所述终端的上网请求。或者,当所述获取模块获取到所述终端的认证请求报文,所述解析模块解析出所述认证请求报文中的所述终端的MAC地址后,所述判断操作模块判断所述认证请求报文中的MAC地址是否与所述上网请求报文中的MAC地址、及当所述终端连接无线网络时获取到的MAC地址三者一致,若是则认证成功,所述终端获得上网权限,否则认证失败,所述操作判断模块丢弃所述终端的认证请求报文。
相比前面的方案,本方案更加增强了一层保护机制,增加了终端与无线网络物理层建立通讯连接时,获取到终端的MAC地址,然后将该地址与后续报文中的地址进行比较,可及时发现上网请求报文被篡改和/或认证请求被篡改的情况。安全性大大增强。
进一步优选的,还包括计时模块、计数模块,所述计时模块与所述判断操作模块及获取模块相连,所述计数模块与所述判断操作模块和所述存储模块相连,其中:
所述计时模块记录所述终端上次认证请求报文成功的时间,所述判断操作模块判断所述上网请求报文距离上次认证请求报文成功的间隔时间是否达到预设时长,若是则执行后续认证操作,否则,开通所述终端的上网权限。
当所述终端认证失败时,所述计数模块记录所述终端认证失败的次数,并存储在所述存储模块中,当所述终端认证失败的次数达到预设次数时,所判断操作模块将所述终端列入黑名单,所述黑名单存储在所述存储模块中;
当所述终端建立起无线网络通讯连接后,所述操作判断模块判断所述终端是否在黑名单内,若是,则解除所述终端与无线网络的通讯连接,若否,则继续进行后续操作。
本发明有益效果如下:
本发明通过引入MAC地址检测机制,识别认证消息中的MAC地址是否伪装,从而剔除非法MAC地址的接入认证。大大降低了无线网络的安全风险。
此外,本发明也引入了认证有效期及黑名单设置方案,认证成功的有效期可避免频繁认证,增强用户体验感,黑名单的设置则可减少认证装置的工作量,及时发现和屏蔽掉恶意认证。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种portal认证方法实施例流程图;
图2为本发明一种portal认证方法另一实施例流程图;
图3为本发明一种portal认证方法另一实施例流程图;
图4为本发明一种portal认证方法另一实施例流程图;
图5为本发明一种portal认证装置实施例框图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
一方面,本发明提供了一种portal认证方法,第一实施例如图1所示,包括步骤:
S100获取终端上网请求报文,从上网请求报文中解析出终端的MAC地址;
S200响应终端上网请求报文,返回重定向报文,重定向报文携带重定向地址及从上网请求报文中解析出来的终端的MAC地址,以便终端根据重定向报文,打开portal认证界面,发送认证请求报文;
S300获取终端的认证请求报文,从认证请求报文中解析出终端的MAC地址;
S400判断认证请求报文中的MAC地址是否与上网请求报文中的MAC地址一致,若是,则执行步骤S500,否则执行步骤S600;
S500认证成功,开通终端的上网权限;
S600认证失败,丢弃终端的认证请求报文。
终端在发送认证请求报文前会触发上网请求报文,一般情况下,上网请求报文不易篡改,所以其携带的MAC地址可作为评判的标准,而认证请求报文较为容易被篡改,因而我们可通过解析出认证请求报文中的MAC地址,然后将其与上网请求的MAC地址进行比较判断,看二者地址是否一致,一致,则判定该终端认证成功,该终端获得上网权限。若不一致,则其认证请求报文中的MAC地址被篡改,为伪装的MAC地址,故而判定该终端认证失败,丢弃该终端的认证报文,该终端无法获得上网权限。
在上述实施例基础上,还包括步骤:
S050当终端建立与无线网络的通讯连接时,获取所述终端的MAC地址。
终端与无线网络建立物理层的通讯连接,此时,也可获取终端的物理MAC地址,由于是基于物理层协议上的通讯连接,故此时获得的终端MAC地址同样较难篡改,也可视为该终端的实际MAC地址,然后后续我们可再将其上网请求报文中解析出的MAC地址、认证请求报文中解析出来的MAC地址三者是否一致来判断该终端是否有篡改MAC地址,从而判断该终端是否可获得上网权限。具体的,本发明的第二个实施例如图2所示,包括步骤:
S050终端建立与无线网络的通讯连接,获取终端的MAC地址;
S100获取终端上网请求报文,从上网请求报文中解析出终端的MAC地址;
S150判断解析出的上网请求报文中的MAC地址是否与终端连接无线网络时的MAC地址一致,是则执行步骤S200,否则拒绝终端的上网请求;
S200响应终端上网请求报文,返回重定向报文,重定向报文携带重定向地址及从上网请求报文中解析出来的终端的MAC地址,以便终端根据重定向报文,打开portal认证界面,发送认证请求报文;
S300获取终端的认证请求报文,从认证请求报文中解析出终端的MAC地址;
S380判断认证请求报文中的MAC地址、上网请求报文中的MAC地址、及该终端与无线网络建立通讯连接时获取的MAC地址三者是否一致,若是,则执行步骤S500,否则执行步骤S600;
S500认证成功,开通终端的上网权限;
S600认证失败,丢弃终端的认证请求报文。
本实施例在实施例1的基础上更增加了一层保障。如果终端未进行MAC地址的伪装,则三个阶段获得的MAC地址应该是一致的。
当然,我们也可以在实施例1的基础上,再增加获取终端建立与无线网络连接时的MAC地址,然后再将此MAC地址与终端的上网请求报文中解析出的MAC地址进行比较,从而判断出上网请求报文中的地址是否伪装,不一致则说明上网请求地址是伪装的,则可拒绝终端的上网请求,如果一致,则继续进行后续的认证,后面也只需将认证请求报文中的MAC地址与上网请求报文中的MAC地址进行比较即可(此时,上网请求报文的MAC地址与终端连接时的MAC地址相同)。
本发明方法的第三个实施例,如图3所示,包括步骤:
S100获取终端上网请求报文,从上网请求报文中解析出终端的MAC地址;
S180判断上网请求报文距离上次认证请求报文成功的间隔时间是否达到预设时长,若是则执行步骤S200,否则执行步骤S500;
S200响应终端上网请求报文,返回重定向报文,重定向报文携带重定向地址及从上网请求报文中解析出来的终端的MAC地址,以便终端根据重定向报文,打开portal认证界面,发送认证请求报文;
S300获取终端的认证请求报文,从认证请求报文中解析出终端的MAC地址;
S400判断认证请求报文中的MAC地址是否与上网请求报文中的MAC地址一致,若是,则执行步骤S500,否则执行步骤S600;
S500认证成功,开通终端的上网权限;
S600认证失败,丢弃终端的认证请求报文。
本实施例在实施例1的基础上相当于增加了一个认证成功后上网的有效期,即认证成功后,预设的时间段内,不会频繁收到portal认证界面(广告页面等),可以提升用户体验。比如我们可设置认证成功后24小时内均可获得上网权限,当我们离开该网络后,再次进入到该网络时,只要在有认证效期内,我们就不会再次收到推送的广告页面,只要当有预设时间到了即有效期过了后,才会需要重新完成认证。当然,本实施例的方法同样适用于第二个实施例。
本发明的第四个实施例,如图4所示,包括步骤:
S050终端建立与无线网络的通讯连接。
S080判断终端是否在黑名单内;若是则解除终端与无线网络的通讯连接,否则执行步骤S100;
S100获取终端上网请求报文,从上网请求报文中解析出终端的MAC地址;
S130判断存储的用户信息中是否存在与上网请求报文中解析出的MAC地址相同的MAC地址;若有则继续执行后续操作,若无则将MAC地址作为新用户信息进行存储,进入步骤S200。
S180判断上网请求报文距离上次认证请求报文成功的间隔时间是否达到预设时长,若是则执行步骤S200,否则执行步骤S500;
S200响应终端上网请求报文,返回重定向报文,重定向报文携带重定向地址及从上网请求报文中解析出来的终端的MAC地址,以便终端根据重定向报文,打开portal认证界面,发送认证请求报文;
S300获取终端的认证请求报文,从认证请求报文中解析出终端的MAC地址;
S400判断认证请求报文中的MAC地址是否与上网请求报文中的MAC地址一致,若是,则执行步骤S500,否则执行步骤S600;
S500认证成功,开通终端的上网权限;
S600认证失败,丢弃终端的认证请求报文。
S700当终端认证失败时,记录终端认证失败的次数,当终端认证失败的次数达到预设次数时,将终端列入黑名单。
本实施例在结合了前面的实施例的基础上,还增加了步骤S130、S700和步骤S080;增加的S130主要用于是否新用户的判断,是新用户的话登记用户信息,然后再进行后续认证。步骤S700和S080结合起来,认证失败后会相应记录下失败次数,当达到预设的次数后,便将其列入到了黑名单,并解除其与无线网络的通讯连接。下次,终端再次进入该无线网络区域,并与无线网络建立通讯连接后,认证装置则会判断该终端是否进入了黑名单,如果进入了则解除其与无线网络的通讯连接,终端反复在建立连接后解除连接的状态中循环。
当然,我们也可以将黑名单的判断步骤设置在步骤S100之后,即当获得终端的上网请求报文后,判断该终端是否在黑名单内,若是,则丢弃该终端的上网请求报文,不予响应,若否则继续执行后续步骤。
同样的,黑名单的判断步骤还可设置在步骤S300之后,即当获得终端的认证请求报文后,判断该终端是否在黑名单内,若是,则丢弃该终端的认证请求报文,认证失败,否则,继续执行后续步骤。
本发明方法的第五个实施例,具体包括如下步骤:
a.AP要求STA进行portal认证,并劫持用户的第一个HTTP Request上网请求;
b.AP通过无线驱动模块查询STA关联SSID时对应的物理MAC地址;
c.AP解析STA的HTTP Request报文中的认证MAC地址,并判断认证MAC地址与物理MAC地址是否相同;
d.若认证MAC地址与物理MAC地址相同,则响应用户的HTTP Request报文,通过HTTP 302重定向Portal服务器URL地址,并带上STA的MAC;
e.若认证MAC地址与物理MAC地址不同,则拒绝STA的认证请求;
f.STA获得AP重定向的URL地址和STA的MAC,以此URL和MAC(或篡改过的MAC)再次向Portal服务器发起HTTP Request请求。
g.AP劫持用户带STAMAC和Portal URL的HTTP Request请求,解析此HTTP Request报文中的认证MAC地址,并判断认证MAC地址与物理MAC地址是否相同;
h.若认证MAC地址与物理MAC地址相同,则将此HTTP Request报文转发给Portal服务器;
i.若认证MAC地址与物理MAC地址不同,则丢弃此HTTP Request报文;
本发明方法的第六个实施例,具体包括如下步骤:
(1)用户先使用STA关联AP的某一个SSID;
(2)AP要求STA进行portal认证,并劫持用户的第一个HTTP Request上网请求;
(3)AP通过无线驱动模块查询STA关联SSID时对应的物理MAC地址;
(4)AP判断此STA的失配次数是否N>n(N默认初始值等于,n默认值等于10次),若成立,则解除此STA的关联,并将此MAC加入24小时黑名单,否则执行步骤(5);
(5)AP解析STA的HTTP Request报文中的认证MAC1地址,并判断认证MAC1地址与物理MAC地址是否相同;
(6)若认证MAC1地址与物理MAC地址相同,则响应用户的HTTP Request报文,通过HTTP 302重定向Portal服务器URL地址,并带上STA的MAC1,执行步骤(7);
(7)若认证MAC1地址与物理MAC地址不同,则拒绝STA的认证请求,统计此STA的失配次数N=N+1,继续监听STA的HHTTP Request报文,执行步骤(2);
(8)STA获得AP重定向的URL地址和STA的MAC1,以此URL和MAC1(或篡改过的MAC)再次向Portal服务器发起HTTP Request请求;
(9)AP劫持用户带STAMAC1和Portal URL的HTTP Request请求,解析此HTTPRequest报文中的认证MAC2地址;
(10)AP判断认证MAC1地址和MAC2地址与物理MAC地址是否相同;
(11)若认证MAC1和MAC2地址与物理MAC地址三者完全相同,则将此HTTP Request报文转发给Portal服务器,执行步骤(12);
(12)若认证MAC1和MAC2地址与物理MAC地址三者中任意两个之间有一个或多个不相同,则判断STA认证消息被篡改,丢弃此HTTP Request报文,并使得此STA的失配次数N=N+1,继续监听STA的HHTTP Request报文,执行步骤(2);
(13)Portal服务器收带STA MAC和Portal URL的HTTP Request请求后,记录此MAC地址,将Portal广告认证页响应STA的HTTP请求。
上述实施例中Portal服务器可以是一台单独的设备,可以集成到云AC/AC等设备上,但不影响本专利的发明内容。
本实施例的各种方案同样可适用于其它实施例,此处不再一一举例说明。
基于相同的技术构思,本发明还提供一种portal认证装置实施例,该认证装置可执行上述方法实施例。如图5所示,本发明装置第一实施例提供的认证装置,包括获取模块10、解析模块20、及判断操作模块30;获取模块10与解析模块20相连,判断操作模块30与解析模块20相连,其中:
获取模块10获取终端的上网请求报文,解析模块20从上网请求报文中解析出终端的MAC地址;
判断操作模块30响应终端的第一次上网请求报文,返回重定向报文,重定向报文携带重定向地址及终端的MAC地址,以便终端根据重定向报文,打开portal认证界面,发送认证请求报文;
获取模块10获取终端的认证请求报文,且解析模块20从认证请求报文中解析出终端的MAC地址;
操作处理模块判断认证请求报文的MAC地址是否与上网请求报文的MAC地址相同,若是,则认证成功,开通终端的上网权限;否则,认证失败,丢弃终端的认证请求报文。
本发明认证装置的第二个实施例在上述认证装置的第一实施例的基础上,还包括与获取模块10和判断操作模块30相连的存储模块40;较佳的,还包括计时模块60,计时模块60与判断操作模块30及获取模块10相连;较佳的,还包括计数模块50,计数模块50与判断操作模块30和存储模块40相连,其中:
当终端建立与无线网络的通讯连接时,获取模块10获取终端的MAC地址并存储在存储模块40中;
当获取模块10获取到终端的上网请求报文,解析模块20解析出终端的MAC地址后,操作判断模块判断上网请求报文中的终端的MAC地址是否与当终端连接无线网络时获取到的MAC地址一致,若是则继续执行后续操作,否则拒绝终端的上网请求。或者,当获取模块10获取到终端的认证请求报文,解析模块20解析出认证请求报文中的终端的MAC地址后,判断操作模块30判断解析出的认证请求报文中的MAC地址是否与当终端连接无线网络时获取到的MAC地址一致,若是则认证成功,终端获得上网权限,否则认证失败,操作判断模块丢弃终端的认证请求报文。
计时模块60记录终端上次认证请求报文成功的时间,判断操作模块30判断上网请求报文距离上次认证请求报文成功的间隔时间是否达到预设时长,若是则执行后续认证操作,否则,开通终端的上网权限。
当终端认证失败时,计数模块50记录终端认证失败的次数,并存储在存储模块40中,当终端认证失败的次数达到预设次数时,所判断操作模块30将终端列入黑名单,黑名单存储在存储模块40中;
当终端建立起无线网络通讯连接后,操作判断模块30判断终端是否在黑名单内,若是,则解除终端与无线网络的通讯连接,若否,则继续进行后续操作。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种portal认证方法,其特征在于,包括步骤:
S100获取终端上网请求报文,从所述上网请求报文中解析出所述终端的MAC地址;
S200响应所述终端上网请求报文,返回重定向报文,所述重定向报文携带重定向地址及从所述上网请求报文中解析出来的所述终端的MAC地址,以便所述终端根据所述重定向报文,打开portal认证界面,发送认证请求报文;
S300获取所述终端的认证请求报文,从所述认证请求报文中解析出所述终端的MAC地址;
S400判断所述认证请求报文中的MAC地址是否与所述上网请求报文中的MAC地址一致,若是,则执行步骤S500,否则执行步骤S600;
S500认证成功,开通所述终端的上网权限;
S600认证失败,丢弃所述终端的认证请求报文。
2.根据权利要求1所述的一种portal认证方法,其特征在于,还包括步骤:
S050当所述终端建立与无线网络的通讯连接时,获取所述终端的MAC地址。
3.根据权利要求2所述的一种portal认证方法,其特征在于,还包括步骤:
S150判断解析出的所述上网请求报文中的所述终端的MAC地址是否与当所述终端连接无线网络时获取到的所述终端的MAC地址一致,若是则继续执行后续操作,否则拒绝所述终端的上网请求。
4.根据权利要求2所述的一种portal认证方法,其特征在于,还包括步骤:
S350判断解析出的所述认证请求报文中的所述终端的MAC地址是否与当所述终端连接无线网络时获取到的所述终端的MAC地址一致,若是则执行步骤S500,否则执行步骤S600。
5.根据权利要求1-4任一项所述的一种portal认证方法,其特征在于,还包括步骤:
S180当获取到所述终端的上网请求时,记录下获取时间,并判断所述获取时间距离上次认证请求报文成功时间的间隔是否达到预设时长,若是则执行步骤S200,否则执行步骤S500;
6.根据权利要求1-4任一项所述的一种portal认证方法,其特征在于,还包括步骤:
S700当所述终端认证失败时,记录所述终端认证失败的次数,当所述终端认证失败的次数达到预设次数时,将所述终端列入黑名单,并解除所述终端与无线网络的通讯连接。
7.根据权利要求6所述的一种portal认证方法,其特征在于,所述步骤S050之后还包括步骤:
S080判断所述终端是否在黑名单内;若是则解除所述终端与无线网络的通讯连接,否则执行步骤S100。
8.一种portal认证装置,其特征在于,包括获取模块、解析模块、及判断操作模块;所述获取模块与所述解析模块相连,所述判断操作模块与所述解析模块相连,其中:
所述获取模块获取终端的上网请求报文,所述解析模块从所述上网请求报文中解析出所述终端的MAC地址;
所述判断操作模块响应所述终端的第一次上网请求报文,返回重定向报文,所述重定向报文携带重定向地址及所述终端的MAC地址,以便所述终端根据所述重定向报文,打开portal认证界面,发送认证请求报文;
所述获取模块获取所述终端的认证请求报文,且所述解析模块从所述认证请求报文中解析出所述终端的MAC地址;
所述操作处理模块判断所述认证请求报文的MAC地址是否与所述上网请求报文的MAC地址相同,若是,则认证成功,开通所述终端的上网权限;否则,认证失败,丢弃所述终端的认证请求报文。
9.根据权利要求8所述的一种portal认证装置,其特征在于,还包括与所述获取模块和判断操作模块相连的存储模块,其中:
当所述终端建立与无线网络的通讯连接时,所述获取模块获取所述终端的MAC地址并存储在所述存储模块中;
当所述获取模块获取到所述终端的上网请求报文,所述解析模块解析出所述终端的MAC地址后,所述操作判断模块判断所述上网请求报文中的所述终端的MAC地址是否与当所述终端连接无线网络时获取到的MAC地址一致,若是则继续执行后续操作,否则拒绝所述终端的上网请求。或者,当所述获取模块获取到所述终端的认证请求报文,所述解析模块解析出所述认证请求报文中的所述终端的MAC地址后,所述判断操作模块判断解析出的所述认证请求报文中的MAC地址是否与当所述终端连接无线网络时获取到的MAC地址一致,若是则认证成功,所述终端获得上网权限,否则认证失败,所述操作判断模块丢弃所述终端的认证请求报文。
10.根据权利要求9所述的一种portal认证装置,其特征在于,还包括计时模块,计数模块,所述计数模块分别与所述判断操作模块和所述存储模块相连,所述计时模块与所述判断操作模块及获取模块相连,其中:
所述计时模块记录所述终端上次认证请求报文成功的时间,所述判断操作模块判断所述上网请求报文距离上次认证请求报文成功的间隔时间是否达到预设时长,若是则执行后续认证操作,否则,开通所述终端的上网权限。
当所述终端认证失败时,所述计数模块记录所述终端认证失败的次数,并存储在所述存储模块中,当所述终端认证失败的次数达到预设次数时,所判断操作模块将所述终端列入黑名单,并解除所述终端与无线网络的通讯连接,所述黑名单存储在所述存储模块中;
当所述终端建立起无线网络通讯连接后,所述操作判断模块判断所述终端是否在黑名单内,若是,则解除所述终端与无线网络的通讯连接,若否,则继续进行后续操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610865239.4A CN106341413A (zh) | 2016-09-29 | 2016-09-29 | 一种portal认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610865239.4A CN106341413A (zh) | 2016-09-29 | 2016-09-29 | 一种portal认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106341413A true CN106341413A (zh) | 2017-01-18 |
Family
ID=57840539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610865239.4A Pending CN106341413A (zh) | 2016-09-29 | 2016-09-29 | 一种portal认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106341413A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106982430A (zh) * | 2017-03-22 | 2017-07-25 | 上海斐讯数据通信技术有限公司 | 一种基于用户使用习惯的Portal认证方法及*** |
| CN107231632A (zh) * | 2017-06-21 | 2017-10-03 | 上海斐讯数据通信技术有限公司 | 基于Portal认证的WDS连接方法、无线接入点及终端设备 |
| CN113709086A (zh) * | 2020-05-22 | 2021-11-26 | 深圳市万普拉斯科技有限公司 | 网络侦测方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070044143A1 (en) * | 2005-08-22 | 2007-02-22 | Microsoft Corporation | Distributed single sign-on service |
| CN103874069A (zh) * | 2014-03-24 | 2014-06-18 | 杭州华三通信技术有限公司 | 一种无线终端mac认证装置和方法 |
| CN105007579A (zh) * | 2014-04-24 | 2015-10-28 | ***通信集团广东有限公司 | 一种无线局域网接入认证方法及终端 |
| CN105656854A (zh) * | 2014-11-12 | 2016-06-08 | ***通信集团公司 | 一种验证无线局域网络用户来源的方法、设备及*** |
-
2016
- 2016-09-29 CN CN201610865239.4A patent/CN106341413A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070044143A1 (en) * | 2005-08-22 | 2007-02-22 | Microsoft Corporation | Distributed single sign-on service |
| CN103874069A (zh) * | 2014-03-24 | 2014-06-18 | 杭州华三通信技术有限公司 | 一种无线终端mac认证装置和方法 |
| CN105007579A (zh) * | 2014-04-24 | 2015-10-28 | ***通信集团广东有限公司 | 一种无线局域网接入认证方法及终端 |
| CN105656854A (zh) * | 2014-11-12 | 2016-06-08 | ***通信集团公司 | 一种验证无线局域网络用户来源的方法、设备及*** |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106982430A (zh) * | 2017-03-22 | 2017-07-25 | 上海斐讯数据通信技术有限公司 | 一种基于用户使用习惯的Portal认证方法及*** |
| CN107231632A (zh) * | 2017-06-21 | 2017-10-03 | 上海斐讯数据通信技术有限公司 | 基于Portal认证的WDS连接方法、无线接入点及终端设备 |
| CN113709086A (zh) * | 2020-05-22 | 2021-11-26 | 深圳市万普拉斯科技有限公司 | 网络侦测方法、装置、电子设备和存储介质 |
| CN113709086B (zh) * | 2020-05-22 | 2023-07-18 | 深圳市万普拉斯科技有限公司 | 网络侦测方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104158808B (zh) | 基于APP应用的Portal认证方法及其装置 | |
| CN103313429B (zh) | 一种识别伪造wifi热点的处理方法 | |
| CN106789851A (zh) | 身份验证方法、***、业务服务器和验证服务器 | |
| CN105119901B (zh) | 一种钓鱼热点的检测方法及*** | |
| CN103874069B (zh) | 一种无线终端mac认证装置和方法 | |
| CN105554009B (zh) | 一种通过网络数据获取设备操作***信息的方法 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN109862043A (zh) | 一种终端认证的方法及装置 | |
| CN103905194B (zh) | 身份溯源认证方法及*** | |
| CN103888418B (zh) | 策略认证方法及*** | |
| CN107809438A (zh) | 一种网络身份认证方法、***及其使用的用户代理设备 | |
| CN105530638B (zh) | 一种基于朋友圈分享的免费wifi认证*** | |
| CN105681258B (zh) | 基于第三方服务器的会话方法和会话装置 | |
| CN107659934A (zh) | 一种无线网络连接的控制方法及无线网络接入设备 | |
| CN105847277A (zh) | 用于第三方应用的服务账号共享管理方法及*** | |
| CN109936847A (zh) | 共享网络接入方法、***及其设备 | |
| CN106330828A (zh) | 网络安全接入的方法、终端设备及认证服务器 | |
| CN106341413A (zh) | 一种portal认证方法及装置 | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| CN106559785A (zh) | 认证方法、设备和***以及接入设备和终端 | |
| CN107135506B (zh) | 一种portal认证方法、装置及*** | |
| CN110138714A (zh) | 访问处理的方法、装置、电子设备和存储介质 | |
| CN105792265B (zh) | 恶意流量检测方法和***、监控平台 | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| CN105991619A (zh) | 一种安全认证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170118 |
|
| WD01 | Invention patent application deemed withdrawn after publication |