CN108259509A - 网络接入认证方法、***、计算机设备和存储介质 - Google Patents
网络接入认证方法、***、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN108259509A CN108259509A CN201810161590.4A CN201810161590A CN108259509A CN 108259509 A CN108259509 A CN 108259509A CN 201810161590 A CN201810161590 A CN 201810161590A CN 108259509 A CN108259509 A CN 108259509A
- Authority
- CN
- China
- Prior art keywords
- data packet
- network access
- information
- user terminal
- mirror image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请涉及一种网络接入认证方法、***、计算机设备和存储介质。所述方法包括:获取网络接入设备的镜像数据包,镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的,解析镜像数据包,得到用户端的五元组信息,将五元组信息发送至旁路服务器以验证用户端是否存在历史接入信息,若接收到服务器返回的不存在历史接入信息的验证结果,根据五元组信息,构建重定向数据包,将重定向数据包通过网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。采用本方法在进行网络接入认证时,无需经过iptables处理,从而整体上提高网络接入认证的效率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络接入认证方法、***、计算机设备和存储介质。
背景技术
随着网络技术的发展,出现了网络接入认证技术,网络接入认证指的是用户在访
问服务器提供的网络之前,服务器需要对用户的身份进行认证,认证通过之后,用户才能正
常的上网。通常来说,网络接入认证的请求是由网络接入设备转发,然后通过集成在网络接
入设备中的WiFidog等认证工具,与服务器之间形成数据的交互,WiFidog实现用户端认证
的跳转和控制,服务器用于实现用户身份的认证和管理流程,然而,现有的网络接入认证均
需要通过iptables(IP信息包过滤***)方式实现,其性能较差,整体降低了网络接入设备
的数据包处理速度,从而使整个网络接入认证的效率低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够解决上网认证效率低的上网认证方法、***、计算机设备和存储介质。
一种网络接入认证方法,所述方法包括:
获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的;
解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息;
若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
上述网络接入认证方法,通过从网络接入设备中获取镜像数据包,从而得到用户
端发送的网络接入请求的信息,然后通过对镜像数据包的五元组解析,可以得到网络接入
请求的五元组信息,然后通过五元组信息,在旁路服务器中验证该用户端是否存在历史接
入信息,如果没有,则需要进行网络接入的身份认证,具体的,根据五元组信息,可以构建重
定向数据包,将重定向数据包发送至用户端,触发用户端界面生成网络接入认证界面。用户
可以通过在网络接入认证界面输入账户信息,实现网络接入的认证,本发明实施例,无需经
过iptables处理,从而整体上提高网络接入认证的效率。
在其中一个实施例中,根据所述五元组信息,构建重定向数据包可以是:根据预先设置的用于构建重定向数据包的接口函数库,对所述五元组信息进行重组,得到所述重定向数据包;其中,所述接口函数库中包含用于构建重定向数据包构造接口。
在其中一个实施例中,对所述五元组信息进行重组可以是:设置所述重定向数据包的源IP为所述五元组信息的目的IP,设置所述重定向数据包的目的IP为所述五元组信息的源IP;
设置所述重定向数据包的源端口为所述五元组信息的目的端口,设置所述重定向数据包的目的端口为所述五元组信息的源端口;
设置所述重定向数据包的seq值为所述五元组信息的ack值,设置所述重定向数据包的ack的值为所述五元组信息的seq的值加上所述镜像数据包除去协议首部之外实际传输的数据的长度。
在其中一个实施例中,所述网络接入请求包括URL信息;还可以解析所述镜像数据包,得到所述五元组信息和所述URL信息;
根据所述五元组信息构建重定向数据包的步骤可以是:根据所述URL信息以及所述五元组信息,构建重定向数据包。
在其中一个实施例中,可以通过以下方式解析所述镜像数据包,得到所述URL信息:根据所述镜像数据包中包含的应用层信息,通过字符串匹配,在TCP处理层获取所述URL信息。
在其中一个实施例中,可以通过以下方式获取网络接入设备的镜像数据包:预先配置所述网络接入设备的端口镜像功能;其中,所述端口镜像功能是将所述镜像数据包通过源端口进行转发至指定端口;接收源端口发送的镜像数据包。
还提供了一种网络接入认证***,所述***包括:
接收模块,用于获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的;
解析模块,用于解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息;
认证模块,用于若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
上述网络接入认证***,接收模块通过从网络接入设备中获取镜像数据包,从而
得到用户端发送的网络接入请求的信息,然后通过解析模块对镜像数据包的五元组解析,
可以得到网络接入请求的五元组信息,通过五元组信息,在旁路服务器中验证该用户端是
否存在历史接入信息,如果没有,则需要认证模块进行网络接入的身份认证,具体的,根据
五元组信息,可以构建重定向数据包,将重定向数据包发送至用户端,触发用户端界面生成
网络接入认证界面。用户可以通过在网络接入认证界面输入账户信息,实现网络接入的认
证,本发明实施例,无需经过iptables处理,从而整体上提高网络接入认证的效率。
还提供一种基于网络接入认证的上网行为监控方法,该方法包括:
获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的;
解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息;
若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面;
接收用户端在所述网络接入认证界面输入的账户信息,验证所述账户信息通过后,对通过网络接入认证的用户端的上网行为进行监控。
上述基于网络接入认证的上网行为监控方法,由于可以从网络接入设备中获取镜像数据包,因此在用户端实现网络接入进行上网行为时,可以通过镜像数据包对用户端的上网行为进行监控,该方法在网络接入认证***的基础上,无需增加额外设备,既可以实现对用户端上网行为额监控。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的;
解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息;
若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
上述计算机设备,通过所述处理器上运行的计算机程序,在进行网络接入认证时,
无需经过iptables处理,从而整体上提高网络接入认证的效率。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的;
解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息;
若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
上述计算机可读存储介质,通过其上存储的计算机程序,在进行网络接入认证时,
无需经过iptables处理,从而整体上提高网络接入认证的效率。
附图说明
图1为一个实施例中网络接入认证方法的应用环境图;
图2为一个实施例中网络接入认证方法的流程示意图;
图3为另一个实施例中网络接入认证方法的流程示意图;
图4为一具体实施例中网络接入认证方法的流程示意图;
图5为一个实施例中网络接入认证***的结构框图;
图6为一实施例中基于网络接入认证的上网行为监控方法的流程示意图
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网络接入认证方法,可以应用于如图1所示的应用环境中。其中,终端102需要接入网络时,服务器106通过网络接入设备104接收终端102的网络接入请求,对终端102的网络接入请求进行解析,服务器106对解析结果进行验证,判断该终端102是否有接入记录,如果没有,网络接入设备104反馈重定向数据包至终端102,在终端102界面生成网络接入认证界面,终端102在网络接入认证界面中输入账户信息,服务器106对终端102的账户信息进行认证,认证通过后,终端102可以接入网络。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,网络接入设备104可以是路由器、交换机等,服务器106可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种网络接入认证方法,以该方法以旁路模式应用于图1中为例进行说明,包括以下步骤:
步骤202,获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的。
其中,该方法工作在旁路模式下,旁路模式也称之为By Pass mode(略过模式),泛指在一个***的正常流程中,有一堆检核机制,而旁路模式就是当检核机制发生异常,无法在短期间内排除时,使***作业能绕过这些检核机制,使***能够继续执行的作业模式。在本步骤中,核检机制可以是图1应用环境中的网络接入设备。
具体地,用户端请求接入网络时,生成一个网络接入请求,网络接入请求发送至网络接入设备后,旁路模式下的监控引擎从网络接入设备中获得镜像数据包,在本步骤中,网络接入设备实质上只是起到转发的作用,那么部署在网络接入设备中认证工具也将失去其作用,如果长期工作在旁路模式下,那么网络接入设备中也可以不需要部署额外的认证工具,因此本实施例的方法通过简单的处理,可以应用于存在网络接入设备的网络中,提高本实施例的适用程度。
步骤204,解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息。
其中,步骤204中的五元组指的是源IP地址,源端口,目的IP地址,目的端口和传输层协议,用户端发送的网络认证请求中包含了五元组的上述信息。历史接入信息指的是用户端在此之前已成功接入过该旁路服务器网络。
具体的,用户端发送的网络接入请求中包含了五元组的信息,通过步骤202中得到的镜像数据包,可以解析得到用户端的五元组信息。从而通过监控引擎实现对镜像数据包的五元组解析。
步骤206,若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
其中,重定向是指通过各种方法将各种网络请求重新定个方向转到其它位置,在步骤206中,重定向数据包,是响应用户端发出的网络接入请求的,根据重定向数据包可以在用户端界面弹出网络接入认证界面。
具体的,在解析得到五元组信息后,可以根据用户端的五元组信息,构建重定向数据包,相比于网络接入设备反馈的重定向数据包,本发明实施例的重定向数据包是通过监控引擎伪造的,但是根据所述重定向数据包在用户端也可以弹出网络接入认证界面。
上述网络接入认证方法中,通过从网络接入设备中获取镜像数据包,从而得到用
户端发送的网络接入请求的信息,然后通过对镜像数据包的五元组解析,可以得到网络接
入请求的五元组信息,然后通过五元组信息,在旁路服务器中验证该用户端是否存在历史
接入信息,如果没有,则需要进行网络接入的身份认证,具体的,根据五元组信息,可以构建
重定向数据包,将重定向数据包发送至用户端,触发用户端界面生成网络接入认证界面。用
户可以通过在网络接入认证界面输入账户信息,实现网络接入的认证,本发明实施例,无需
经过iptables处理,从而整体上提高网络接入认证的效率。
在一个实施例中,在步骤206中,可以通过以下方式根据所述五元组信息,构建重定向数据包构建重定向数据包的步骤包括:根据预先设置的用于构建重定向数据包的接口函数库,对所述五元组信息进行重组,得到所述重定向数据包;其中,所述接口函数库中包含用于构建重定向数据包构造接口。
本实施例中,可以预先获取网络接入设备构建的重定向数据包的结构,然后根据重定向包的结构,设置相应的接口函数库,其中,接口函数库中包含了数据构造接口,在上述准备工作完成后,在得到用户端五元组信息后,可以根据五元组信息进行重定向数据包的伪造,其过程就是根据重定向数据包的结构,进行数据的填充,然后得到由监控引擎生成的重定向数据包。
在一实施例中,接口函数库可以是libnet小型接口函数库,libnet是用C语言写成,提供了低层网络数据包的构造、处理和发送功能,使本实施例的技术更加容易实现。
在一实施例中,可以通过以下方式对所述五元组信息进行重组:设置所述重定向数据包的源IP为所述五元组信息的目的IP,设置所述重定向数据包的目的IP为所述五元组信息的源IP;设置所述重定向数据包的源端口为所述五元组信息的目的端口,设置所述重定向数据包的目的端口为所述五元组信息的源端口;设置所述重定向数据包的seq值为所述五元组信息的ack值,设置所述重定向数据包的ack的值为所述五元组信息的seq的值加上所述镜像数据包除去协议首部之外实际传输的数据的长度。
另外,在进行上述设置之后,在用户端为安卓***或者IOS(苹果设备的操作***)***时,还需要设置所述重定向数据包的传输协议内容;其中,所述传输协议内容包括:http/1.0。例如,在重定向数据包中写入如下代码“HTTP/1.0302Found”。
上述实施例中,重定向数据包为302重定向数据包,在完成重定向数据包的构建后,在用户端的界面生成网络接入认证界面,在该网络认证界面输入账户信息,然后通过CGI(Common Gateway Interface,公共网关接口)解析账户信息,并认证用户端输入的账户信息是否正确,身份验证通过之后,旁路服务器向用户端发送200数据包,在用户端界面显示身份验证通过的页面。
在一实施例中,在步骤204之后,还可以通过解析出来的五元组信息,在服务器中确认该用户是否登录过,若确认该用户端登录过,则直接向用户端发送200数据包,在用户端界面显示身份验证通过的信息。
在一实施例中,监控引擎可以通过pcap(过程特性分析软件包)接口进行镜像数据包的抓取。
在一实施例中,还提供一种具体的网络接入认证方法,如图3所示,包括以下步骤:
步骤302,获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的。
步骤304,解析所述镜像数据包,得到所述用户端的五元组信息和URL(UniformResource Locator,统一资源定位符)信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息。
步骤306,若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息和所述URL信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
在本实施例中,可以通过打开网页的方式以触发生成网络接入请求,那么网络接入请求中就包含URL信息,那么在网络接入验证通过之后,可以自动转到该URL信息所指向的网页。
在一实施例中,对于URL信息的解析,可以根据所述镜像数据包中包含的应用层信息,通过字符串匹配,在TCP(Transmission Control Protocol传输控制协议)处理层获取所述网页的地址。
在本实施例中,旁路模式下,302重定向数据包比服务器返回的200数据包更快的发送到用户端,因此,在TCP处理层获取网页的URL信息,可以减少HTTP协议解析所耗费的时间。至于在TCP层获得网页的URL,可以通过镜像数据包中的应用层信息,应用层信息中存储了该URL信息,然后通过字符串匹配,就可以得到网页的URL信息。从而减少硬件的损耗,提高URL信息解析的效率。
在一实施例中,对于步骤202,可以通过以下方式获取网络接入设备的镜像数据包:预先配置所述网络接入设备的端口镜像功能;其中,所述端口镜像功能是将所述镜像数据包通过源端口进行转发至指定端口;接收源端口发送的镜像数据包。
在本实施例中,端口镜像(port Mirroring)功能通过在网络接入设备上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。端口镜像的配置可以在网络接入设备上通过命令配置。在配置好网络接入设备的端口镜像功能之后,可以指定将网络接入设备的镜像数据包发送给监控引擎,从而实现对网络接入设备数据包的获取。
以下通过一具体实施例进行清楚的说明,图4为另一实施例中网络接入认证方法的示意性流程图,如图4所示,本实施例的网络接入认证流程如下:
用户端和服务器建立连接之后,用户打开网页触发网络接入流程,在用户端生成网络接入请求,监控引擎通过pcap端口收取网络接入设备的镜像数据包,解析数据包得到五元组信息和URL信息,该URL信息是指向网页的地址。旁路服务器验证该用户是否验证过,若是,旁路服务器向用户端发送200数据包,在用户端界面显示登陆成功的消息,用户可以上网;若接收到服务器返回的不存在历史接入信息的验证结果,监控引擎根据五元组信息和URL信息构建302重定向数据包,用户端解析302重定向数据包在界面生成网络接入认证界面,用户在网络接入认证界面输入账户信息进行认证,用户端获取用户输入的账户信息,监控引擎解析得到账户信息信息,通过CGI程序进行账户信息正确性的认证,若账户信息正确,则要进行两个步骤的操作,第一是将用户端的MAC地址、账户信息和IP地址均保存,以便下次的认证,第二是监控引擎返回携带URL信息的200数据包,此时,用户端可以接入网络,并自动跳转到URL信息所指的网页。
以上实施例中,监控引擎可以使用Suricata,Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是一款开源的***。因此技术实现较为方便,可以快速搭建起用于实现本发明实施例方法的***。另外不限于使用其他的监控引擎,例如:snort检测引擎。
应该理解的是,虽然图2-4流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供了一种网络接入认证***,包括:接收模块402、解析模块404和认证模块406,其中:
接收模块402,用于获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的。
解析模块404,用于解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息。
认证模块406,用于若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
上述网络接入认证***,接收模块通过从网络接入设备中获取镜像数据包,从而
得到用户端发送的网络接入请求的信息,然后通过解析模块对镜像数据包的五元组解析,
可以得到网络接入请求的五元组信息,通过五元组信息,在旁路服务器中验证该用户端是
否存在历史接入信息,如果没有,则需要认证模块进行网络接入的身份认证,具体的,根据
五元组信息,可以构建重定向数据包,将重定向数据包发送至用户端,触发用户端界面生成
网络接入认证界面。用户可以通过在网络接入认证界面输入账户信息,实现网络接入的认
证,本发明实施例,无需经过iptables处理,从而整体上提高网络接入认证的效率。
在一实施例中,所述认证模块406还用于根据预先设置的用于构建重定向数据包的接口函数库,对所述五元组信息进行重组,得到所述重定向数据包;其中,所述接口函数库中包含用于构建重定向数据包构造接口。
在一实施例中,所述认证模块406还用于设置所述重定向数据包的源IP为所述五元组信息的目的IP,设置所述重定向数据包的目的IP为所述五元组信息的源IP;设置所述重定向数据包的源端口为所述五元组信息的目的端口,设置所述重定向数据包的目的端口为所述五元组信息的源端口;设置所述重定向数据包的seq值为所述五元组信息的ack值,设置所述重定向数据包的ack的值为所述五元组信息的seq的值加上所述镜像数据包除去协议首部之外实际传输的数据的长度。
在一实施例中,所述认证模块406还用于设置所述重定向数据包的传输协议内容;其中,所述传输协议内容包括:http/1.0。
在一实施例中,所述网络接入请求包括URL信息;所述解析模块404还用于解析所述镜像数据包,得到所述五元组信息和所述URL信息,所述认证模块406还用于根据所述URL信息以及所述五元组信息,构建重定向数据包。
在一实施例中,所述认证模块406还用于根据所述镜像数据包中包含的应用层信息,通过字符串匹配,在TCP处理层获取所述URL信息。
在一实施例中,所述接收模块402还用于预先配置所述网络接入设备的端口镜像功能;其中,所述端口镜像功能是将所述镜像数据包通过源端口进行转发至指定端口;接收源端口发送的镜像数据包。
另外,如图6所示,还提供一种基于网络接入认证的上网行为监控方法,该方法根据上文对于网络接入认证方法中用户端接入网络后,可以实现的上网行为监控方法,具体步骤如下:
步骤502,获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的。
步骤504,解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息。
步骤506,若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
步骤508,接收用户端在所述网络接入认证界面输入的账户信息,验证所述账户信息通过后,对通过网络接入认证的用户端的上网行为进行监控。
上述基于网络接入认证的上网行为监控方法,由于可以从网络接入设备中获取镜像数据包,因此在用户端实现网络接入进行上网行为时,可以通过镜像数据包对用户端的上网行为进行监控,该方法在网络接入认证***的基础上,无需增加额外设备,既可以实现对用户端上网行为额监控。
关于网络接入认证***的具体限定可以参见上文中对于网络接入认证方法的限定,在此不再赘述。上述网络接入认证***中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储用户身份数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络接入认证方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
步骤602,获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的。
步骤604,解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息。
步骤606,若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
上述计算机设备,通过所述处理器上运行的计算机程序,在进行网络接入认证时,
无需经过iptables处理,从而整体上提高网络接入认证的效率。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据预先设置的用于构建重定向数据包的接口函数库,对所述五元组信息进行重组,得到所述重定向数据包;其中,所述接口函数库中包含用于构建重定向数据包构造接口。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
设置所述重定向数据包的源IP为所述五元组信息的目的IP,设置所述重定向数据包的目的IP为所述五元组信息的源IP;
设置所述重定向数据包的源端口为所述五元组信息的目的端口,设置所述重定向数据包的目的端口为所述五元组信息的源端口;
设置所述重定向数据包的seq值为所述五元组信息的ack值,设置所述重定向数据包的ack的值为所述五元组信息的seq的值加上所述镜像数据包除去协议首部之外实际传输的数据的长度。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
设置所述重定向数据包的传输协议内容;其中,所述传输协议内容包括:http/1.0。
在一个实施例中,所述网络接入请求包括URL信息,处理器执行计算机程序时还实现以下步骤:
解析所述镜像数据包,得到所述五元组信息和所述URL信息;根据所述URL信息以及所述五元组信息,构建重定向数据包。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据所述镜像数据包中包含的应用层信息,通过字符串匹配,在TCP处理层获取所述URL信息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
预先配置所述网络接入设备的端口镜像功能;其中,所述端口镜像功能是将所述镜像数据包通过源端口进行转发至指定端口;
接收源端口发送的镜像数据包。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
步骤702,获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的。
步骤704,解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至服务器以验证所述用户端是否存在历史接入信息。
步骤706,若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
上述计算机可读存储介质,通过其上存储的计算机程序,在进行网络接入认证时,
无需经过iptables处理,从而整体上提高网络接入认证的效率。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据预先设置的用于构建重定向数据包的接口函数库,对所述五元组信息进行重组,得到所述重定向数据包;其中,所述接口函数库中包含用于构建重定向数据包构造接口。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
设置所述重定向数据包的源IP为所述五元组信息的目的IP,设置所述重定向数据包的目的IP为所述五元组信息的源IP;
设置所述重定向数据包的源端口为所述五元组信息的目的端口,设置所述重定向数据包的目的端口为所述五元组信息的源端口;
设置所述重定向数据包的seq值为所述五元组信息的ack值,设置所述重定向数据包的ack的值为所述五元组信息的seq的值加上所述镜像数据包除去协议首部之外实际传输的数据的长度。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
设置所述重定向数据包的传输协议内容;其中,所述传输协议内容包括:http/1.0。
在一个实施例中,所述网络接入请求包括URL信息,计算机程序被处理器执行时还实现以下步骤:
解析所述镜像数据包,得到所述五元组信息和所述URL信息;根据所述URL信息以及所述五元组信息,构建重定向数据包。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据所述镜像数据包中包含的应用层信息,通过字符串匹配,在TCP处理层获取所述URL信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
预先配置所述网络接入设备的端口镜像功能;其中,所述端口镜像功能是将所述镜像数据包通过源端口进行转发至指定端口;
接收源端口发送的镜像数据包。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络接入认证方法,所述方法包括:
获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的;
解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至服务器以验证所述用户端是否存在历史接入信息;
若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
2.根据权利要求1所述的网络接入认证方法,其特征在于,所述根据所述五元组信息,构建重定向数据包的步骤包括:
根据预先设置的用于构建重定向数据包的接口函数库,对所述五元组信息进行重组,得到所述重定向数据包;其中,所述接口函数库中包含用于构建重定向数据包构造接口。
3.根据权利要求2所述的网络接入认证方法,其特征在于,所述对所述五元组信息进行重组的步骤包括:
设置所述重定向数据包的源IP为所述五元组信息的目的IP,设置所述重定向数据包的目的IP为所述五元组信息的源IP;
设置所述重定向数据包的源端口为所述五元组信息的目的端口,设置所述重定向数据包的目的端口为所述五元组信息的源端口;
设置所述重定向数据包的seq值为所述五元组信息的ack值,设置所述重定向数据包的ack的值为所述五元组信息的seq的值加上所述镜像数据包除去协议首部之外实际传输的数据的长度。
4.根据权利要求1至3任意一项所述的网络接入认证方法,其特征在于,所述网络接入请求中包括URL信息;
所述的网络接入认证方法还包括:
解析所述镜像数据包,得到所述五元组信息和所述URL信息;
所述根据所述五元组信息,构建重定向数据包的步骤,还包括:
根据所述URL信息以及所述五元组信息,构建重定向数据包。
5.根据权利要求4所述的网络接入认证方法,其特征在于,解析所述镜像数据包,得到所述URL信息的步骤,包括:
根据所述镜像数据包中包含的应用层信息,通过字符串匹配,在TCP处理层获取所述URL信息。
6.根据权利要求1至3任意一项所述的网络接入认证方法,其特征在于,所述获取网络接入设备的镜像数据包的步骤,包括:
预先配置所述网络接入设备的端口镜像功能;其中,所述端口镜像功能是将镜像数据包通过源端口转发至指定端口;
接收源端口发送的镜像数据包。
7.一种网络接入认证***,其特征在于,所述***包括:
接收模块,用于获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的;
解析模块,用于解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息;
认证模块,用于若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面。
8.一种基于网络接入认证的上网行为监控方法,其特征在于,包括:
获取网络接入设备的镜像数据包;其中,所述镜像数据包是网络接入设备接收用户端发送的网络接入请求生成的;
解析所述镜像数据包,得到所述用户端的五元组信息;将所述五元组信息发送至旁路服务器以验证所述用户端是否存在历史接入信息;
若接收到服务器返回的不存在历史接入信息的验证结果,根据所述五元组信息,构建重定向数据包,将所述重定向数据包通过所述网络接入设备发送至用户端,以触发在用户端界面生成网络接入认证界面;
接收用户端在所述网络接入认证界面输入的账户信息,验证所述账户信息通过后,对通过网络接入认证的用户端的上网行为进行监控。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的网络接入认证方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的网络接入认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810161590.4A CN108259509A (zh) | 2018-02-27 | 2018-02-27 | 网络接入认证方法、***、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810161590.4A CN108259509A (zh) | 2018-02-27 | 2018-02-27 | 网络接入认证方法、***、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108259509A true CN108259509A (zh) | 2018-07-06 |
Family
ID=62745382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810161590.4A Pending CN108259509A (zh) | 2018-02-27 | 2018-02-27 | 网络接入认证方法、***、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108259509A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113055385A (zh) * | 2021-03-12 | 2021-06-29 | 绍兴文理学院元培学院 | 一种WiFi网络管理方法、*** |
| CN114257390A (zh) * | 2020-09-22 | 2022-03-29 | 华为技术有限公司 | 认证方法、网络设备、认证服务器、用户设备及存储介质 |
| CN115348334A (zh) * | 2021-05-13 | 2022-11-15 | 中移(上海)信息通信科技有限公司 | 一种数据的解析方法、装置及相关设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110239285A1 (en) * | 2010-03-29 | 2011-09-29 | Denso International America, Inc. | Authentication bypass method |
| CN105516197A (zh) * | 2016-01-19 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 一种网络接入认证*** |
| CN106658499A (zh) * | 2016-12-07 | 2017-05-10 | 安徽尚果信息科技有限公司 | 一种无线认证服务管理方式 |
| CN107342903A (zh) * | 2017-07-18 | 2017-11-10 | 杭州敦崇科技股份有限公司 | 一种旁路认证和审计方法 |
| CN107623661A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 阻断访问请求的***、方法及装置,服务器 |
-
2018
- 2018-02-27 CN CN201810161590.4A patent/CN108259509A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110239285A1 (en) * | 2010-03-29 | 2011-09-29 | Denso International America, Inc. | Authentication bypass method |
| CN105516197A (zh) * | 2016-01-19 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 一种网络接入认证*** |
| CN107623661A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 阻断访问请求的***、方法及装置,服务器 |
| CN106658499A (zh) * | 2016-12-07 | 2017-05-10 | 安徽尚果信息科技有限公司 | 一种无线认证服务管理方式 |
| CN107342903A (zh) * | 2017-07-18 | 2017-11-10 | 杭州敦崇科技股份有限公司 | 一种旁路认证和审计方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257390A (zh) * | 2020-09-22 | 2022-03-29 | 华为技术有限公司 | 认证方法、网络设备、认证服务器、用户设备及存储介质 |
| CN113055385A (zh) * | 2021-03-12 | 2021-06-29 | 绍兴文理学院元培学院 | 一种WiFi网络管理方法、*** |
| CN115348334A (zh) * | 2021-05-13 | 2022-11-15 | 中移(上海)信息通信科技有限公司 | 一种数据的解析方法、装置及相关设备 |
| CN115348334B (zh) * | 2021-05-13 | 2023-10-27 | 中移(上海)信息通信科技有限公司 | 一种数据的解析方法、装置及相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109815013A (zh) | 业务数据处理方法、装置、计算机设备和存储介质 | |
| US8874736B2 (en) | Event extractor | |
| CN109788032A (zh) | 镜像文件的获取方法、装置、计算机设备和存储介质 | |
| CN112039824B (zh) | 通信方法、***、设备及计算机可读存储介质 | |
| CN108259509A (zh) | 网络接入认证方法、***、计算机设备和存储介质 | |
| CN108833521A (zh) | 消息推送方法、装置、***、计算机设备和存储介质 | |
| CN108776923A (zh) | 订单支付方法、***、计算机设备和存储介质 | |
| CN109842617A (zh) | 广告拦截方法、装置和存储介质 | |
| CN108418764A (zh) | 限流方法、装置、计算机设备和存储介质 | |
| CN103401836A (zh) | 一种用于判断网页是否被isp劫持的方法与设备 | |
| CN105260318A (zh) | 一种基于网页的自动化测试方法及装置 | |
| CN110995956B (zh) | 基于LoRa的图片传输方法、装置、计算机设备及存储介质 | |
| CN110474959A (zh) | 数据交互方法、装置、计算机设备和存储介质 | |
| CN112491659B (zh) | 一种流量回放测试方法、装置、计算机设备和存储介质 | |
| CN107436873A (zh) | 一种网址跳转方法、装置及中转装置 | |
| CN109753418A (zh) | 性能测试方法、装置、计算机设备和存储介质 | |
| CN107547213A (zh) | 一种业务规则的识别方法及装置 | |
| CN110109656A (zh) | 接口模拟方法、装置、计算机设备和存储介质 | |
| CN110166450A (zh) | 基于工业以太网的数据传输方法、装置以及通信设备 | |
| CN112686568A (zh) | 运维策略生成处理方法、装置、***、设备和存储介质 | |
| CN107888449A (zh) | 业务类型的识别方法及网络设备 | |
| CN110493064A (zh) | 防火墙管理方法、装置、计算机设备和存储介质 | |
| CN109816502A (zh) | 批量代付方法、装置、计算机设备和存储介质 | |
| CN109446093A (zh) | 一种扩展平台接口测试方法与装置 | |
| CN110474814A (zh) | 电力局域网故障诊断方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180706 |