CN111010400A - 一种portal认证方法及装置 - Google Patents
一种portal认证方法及装置 Download PDFInfo
- Publication number
- CN111010400A CN111010400A CN201911336957.2A CN201911336957A CN111010400A CN 111010400 A CN111010400 A CN 111010400A CN 201911336957 A CN201911336957 A CN 201911336957A CN 111010400 A CN111010400 A CN 111010400A
- Authority
- CN
- China
- Prior art keywords
- mac address
- http message
- authentication
- user
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书公开了一种portal认证方法及装置,所述方法应用于认证***中的认证服务器,所述认证***还包括接入设备与用户的终端设备,所述方法包括:接收所述接入设备转发的HTTP报文;根据所述HTTP报文,向所述终端设备发送账号登录界面,以便所述用户向所述账号登录界面输入账号并完成登录;在所述用户登录账号后,建立所述用户输入的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系;并且,将所述终端设备的MAC地址下发给所述接入设备进行存储。通过上述方法,用户一旦使用某一终端设备通过portal认证,则可以直接使用该终端设备重连网络,无需重新进行portal认证,使得用户的登录网络的操作更加方便。
Description
技术领域
本说明书实施例涉及网络通信领域,尤其涉及一种portal认证方法及装置。
背景技术
在现有的portal认证***中,至少包括终端设备、接入设备和认证服务器,认证服务器负责对使用终端设备的用户进行portal认证,通过身份认证的用户方可使用终端设备,经由接入设备接入网络。
用户利用终端设备连接网络时,终端设备向接入设备发送报文,接入设备如果没有在本地查找到与该报文的源IP地址相同的IP地址,则将该报文转发到认证服务器,以便认证服务器对发起该报文的用户进行portal认证。认证服务器向终端设备发送用于登录账号的界面。在用户登录账号后,认证服务器确定发起该报文的用户通过身份认证,建立所述用户输入的账号和终端设备的当前IP地址之间的绑定关系,并且,将终端设备的当前IP地址下发给接入设备进行存储,以便接入设备可以直接将源IP地址是终端设备的当前IP地址的所有报文转发到网络。
实际应用中,终端设备会经常性地断开和重连网络,造成IP地址经常变化,即使是同一已通过portal认证的用户使用同一终端设备连接网络,接入设备也无法在本地查找到与新源IP地址相同的IP地址,因此用户需要在IP地址变化时重新进行Portal认证,操作十分不便。
发明内容
为了方便用户操作,本申请公开了一种portal认证方法及装置。技术方案如下:
一种portal认证方法,应用于认证***中的认证服务器,所述认证***还包括接入设备与用户的终端设备,所述方法包括:
接收所述接入设备转发的HTTP报文;所述HTTP报文是所述用户首次使用所述终端设备请求接入网络时发送给所述接入设备的;
根据所述HTTP报文,向所述终端设备发送账号登录界面,以便所述用户向所述账号登录界面输入账号并完成登录;
在所述用户登录账号后,建立所述用户输入的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系;并且,将所述终端设备的MAC地址下发给所述接入设备进行存储。
一种portal认证装置,配置在认证***中的认证服务器,所述认证***还包括接入设备与用户的终端设备,所述装置包括:
第一接收单元,用于接收所述接入设备转发的HTTP报文;所述HTTP报文是所述用户首次使用所述终端设备请求接入网络时发送给所述接入设备的;
认证单元,用于根据所述HTTP报文,向所述终端设备发送账号登录界面,以便所述用户向所述账号登录界面输入账号并完成登录;
确定单元,用于在所述用户登录账号后,建立所述用户输入的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系;并且,将所述终端设备的MAC地址下发给所述接入设备进行存储。
由于终端设备的MAC地址和UA字符串是固定的,并不会因为重连网络而变化,因此已通过portal认证的用户可以直接使用进行portal认证时使用的终端设备连接网络,方便用户操作。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书实施例提供的一种portal认证***的结构示意图;
图2是本说明书实施例提供的一种portal认证方法的流程示意图;
图3是本说明书实施例提供的一种portal认证方法的原理示意图;
图4是本说明书实施例提供的另一种portal认证方法的原理示意图;
图5是本说明书实施例提供的另一种portal认证方法的原理示意图;
图6是本说明书实施例提供的一种基于HTTP报文的认证检测方法;
图7是本说明书实施例提供的一种portal认证装置的结构示意图;
图8是本说明书实施例提供的一种基于HTTP报文的认证检测***的结构示意图;
图9是本说明书实施例提供的一种基于HTTP报文的认证检测装置的结构示意图;
图10是本说明书实施例提供的另一种基于HTTP报文的认证检测装置的结构示意图;
图11是用于配置本说明书实施例方法的一种设备的结构示意图。
具体实施方式
Portal认证是一种连接网络的认证方法。未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当未认证用户需要使用互联网中的其它信息时,会被重定向到portal认证页面,必须在portal认证页面进行用户身份认证,只有认证通过后才可以使用互联网资源。
在现有的portal认证***中,如图1所示,为本说明书提供的一种portal认证***的结构示意图,至少包括终端设备、接入设备和认证服务器,认证服务器负责对使用终端设备的未认证用户进行portal认证,通过身份认证的用户方可使用终端设备,经由接入设备接入网络。
其中,认证服务器存储有全部能够连接网络的账号和账号对应的登录验证信息,用于进行用户身份认证。其中,登录验证信息可以是密码、指纹信息或人脸信息。
接入设备存储有认证服务器下发的IP地址,用于将源IP与下发的IP地址相同的报文直接接入网络。
以下是portal认证***的认证过程,更为具体地,登录验证信息可以是密码。
用户利用终端设备连接网络时,接入设备接收到终端设备发送的报文,接入设备如果没有在本地查找到与该报文的源IP地址相同的IP地址,则将该报文转发到认证服务器,以便认证服务器对发起该报文的用户进行portal认证。
接入设备如果在本地查找到与该报文的源IP地址相同的IP地址,则将该报文转发到网络。
认证服务器存储有所有能够登陆网络的账号以及账号对应的密码,在进行portal认证时,认证服务器向终端设备发送用于登录账号的界面。用户在界面输入账号和密码后,认证服务器接收到终端设备发送的账号和密码,若确定该密码与本地中该账号对应的密码相同,用户登录该账号,认证服务器确定发起该报文的用户通过身份认证,同时建立所述用户输入的账号和终端设备的当前IP地址之间的绑定关系,并且,将终端设备的当前IP地址下发给接入设备进行存储,以便接入设备后续可以直接将源IP地址是终端设备的当前IP地址的所有报文转发到网络。
除此之外,登录验证信息也可以是指纹信息。因此认证服务器存储有所有能够登陆网络的账号和指纹信息,在进行portal认证时,认证服务器向终端设备发送用于登录账号的界面,用户可以在界面输入账号和指纹信息用于身份认证。
利用上述方法,可以使用终端设备方便地连接网络。用户在使用某个终端设备完成portal认证后,只要该终端设备的IP地址不变,接入设备在接收到该终端设备发送的报文后,可以直接对比本地存储的IP地址和该报文的源IP地址,若本地存在与该报文源IP地址相同的IP地址,则确定使用该终端设备发送该报文的用户已通过portal认证,可以直接将该报文转发到网络中,无需再次进行用户身份认证。
但对于终端设备而言,例如手机和便携式电脑,通常是可移动的设备,用户在使用网络的时候可能会经常性地断开和重连。例如,用户带着手机暂时离开无线局域网络覆盖范围,经过一段时间后又回到无线局域网络覆盖范围,由于终端设备重新连入无线局域网络,此时终端设备的IP地址会发生变化。
上述方法中,接入设备通过接收到的报文的源IP地址,即终端设备的IP地址判断使用终端设备的用户是否通过了portal认证,由于用户的终端设备重新连接网络时终端设备的IP地址发生了变化,接入设备本地并未存储变化后的新IP地址,因此,接入设备会认定该用户未通过portal认证,需要认证服务器对使用该终端设备的用户进行portal认证。即哪怕用户A已经使用终端设备B完成了portal认证,而如果终端设备B的IP地址发生了变化,则用户A使用终端设备B下次发送HTTP报文时,接入设备由于发现本地并未存储变化后的新IP地址,因此会将该HTTP报文认定为由未认证过的用户的发出的,会触发认证服务器对用户A再次进行potal认证,以便认证服务器将变化后的新IP地址与用户A的账号绑定后下发给接入设备。显然,这对于用户的操作十分不便。
为此,在本方案中,可以使用终端设备的MAC地址与账号绑定。认证服务器可以将通过portal认证的用户所使用的终端设备的MAC地址,与该用户的账号绑定,并将该MAC地址下发到接入设备存储,以便接入设备后续可以直接将源MAC地址与下发的MAC地址相同的所有报文转发到网络。
接入设备可以利用接收到的报文的源MAC地址,即终端设备的MAC地址判断发起该报文的用户是否通过portal认证。若能在本地查找到与该报文的源MAC地址相同的MAC地址,则使用该终端设备发起该报文的用户通过了portal认证,将该报文转发到网络;若未查找到,则将该报文转发到认证服务器,以使认证服务器针对使用该终端设备的用户进行portal认证。
由于对于同一终端设备,即使在重连网络时,终端设备的IP地址发生变化,其MAC地址也不会发生变化,因此用户使用某一终端设备通过portal认证后,无论是否重连网络,使用该终端设备发送的报文源MAC地址不会变化,接入设备都可以在本地查找到与该报文源MAC地址相同的MAC地址,从而能够使该用户使用该终端设备时直接连接网络,无需再次进行portal认证,降低了用户操作的复杂度。
但利用上述方法,对于未通过portal认证的攻击者,可以直接将其发送的报文的源MAC地址修改为已通过portal认证的用户使用的终端设备的MAC地址,以使接入设备将未通过portal认证的攻击者发送的报文转发到网络。
即,由于接入设备仅通过接收到报文的MAC地址判断发送该报文的用户是否通过了portal认证,未认证的攻击者可以通过伪造MAC地址接入网络。
为了解决上述技术问题,本申请中,使用终端设备的MAC地址和设备相关信息与用户账号绑定。认证服务器可以将通过portal认证的用户使用的终端设备的MAC地址和设备相关信息,与该用户的账号绑定,并将该MAC地址下发到接入设备存储,以便接入设备后续可以直接将源MAC地址是下发的MAC地址的所有报文转发到网络。认证服务器可以对接入设备即将转发到网络的HTTP报文进行检验,如果该HTTP报文中的UA字符串,与该HTTP报文源MAC地址对应的账号所绑定的设备相关信息不同,则不将该HTTP报文转发到网络。其中,UA字符串包含了终端设备的设备相关信息。利用上述方法,可以在降低用户操作的复杂度的同时,防止攻击者通过伪造MAC地址连接网络,提高portal认证的安全性。
为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。
如图2所示,为本说明书实施例提供的一种portal认证方法的流程示意图,所述方法应用于认证***中的认证服务器,所述认证***还包括接入设备与用户的终端设备,其中认证服务器存储有全部能够登陆网络的账号和每个账号对应的登录验证信息,接入设备存储有认证服务器下发的MAC地址。
所述方法可以包括以下步骤:
S101:接收接入设备转发的HTTP报文。
其中,由于HTTP报文是用户首次使用终端设备请求接入网络时发送给接入设备的,认证服务器还并未针对使用该终端设备的用户进行身份认证,因此接入设备并未存储该终端设备的MAC地址,因此接入设备将该HTTP报文转发给认证服务器进行portal认证。
S102:根据HTTP报文,向终端设备发送账号登录界面。
认证服务器可以根据接收到的HTTP报文的源IP地址,向源IP地址对应的终端设备发送账号登录界面,用于对使用该终端设备的用户进行身份认证。
其中,终端设备接收到该账号登录界面后,用户向所述账号登录界面输入账号和登录验证信息,例如密码、或者指纹信息、或者人脸信息,将输入的信息返回到认证服务器。认证服务器根据接收到的账号和登录验证信息,与本地存储的能够登陆网络的账号和对应的登录验证信息进行对比,如果存在相同的,则该用户身份认证成功,完成登录。例如,认证服务器确定接收到的账号和密码都正确,该用户身份认证成功;或者认证服务器确定接收到的人脸信息与接收到的账号对应的人脸信息相符合,该用户身份认证成功。
S103:在用户登录账号后,建立用户输入的账号、终端设备的MAC地址、HTTP报文中的UA字符串之间的绑定关系;并且,将终端设备的MAC地址下发给接入设备进行存储。
认证服务器确定用户登录成功后,可以建立用户输入的账号、HTTP报文中的源MAC地址、HTTP报文中的UA字符串之间的绑定关系,即账号、终端设备的MAC地址和终端设备的设备相关信息之间的绑定关系。认证服务器还可以将终端设备的MAC地址下发到接入设备,以使接入设备后续针对源MAC地址是该终端设备的MAC地址的报文可以直接转发到网络。
值得注意的是,终端设备发送的HTTP报文中的UA字符串包含了终端设备的设备相关信息,可以包括终端设备的设备类型、操作***或设备品牌名称。例如,Xiaomi、Andriod9.0、iPhone 11等等。绑定关系可以用于认证检测,具体的认证检测方法在后文叙述。
由于未认证的攻击者可能盗取用户账号和对应的登录验证信息,从而可以通过认证服务器的认证,使得认证服务器将未认证的攻击者确定为已通过portal认证的用户。因此,在建立用户输入的账号、HTTP报文中的源MAC地址、HTTP报文中的UA字符串之间的绑定关系之前,还可以增加一个验证码的认证步骤。
认证服务器可以通过向用户输入的账号所绑定的通信途径发送第一验证码;并且,向终端设备发送验证码输入界面。用户在终端设备上输入第二验证码,认证服务器通过验证码输入界面获取用户输入的第二验证码。认证服务器若判断第二验证码与第一验证码一致,则建立所述用户输入的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系。
若第一验证码与第二验证码不一致或者预设时间内未接收到第二验证码,则不将该HTTP报文转发到网络,可以将使用该终端设备的用户退出登录状态,拒绝绑定用户输入的账号、HTTP报文中的源MAC地址和UA字符串。使用该终端设备的用户可能是误操作的正常用户,也可能是盗取账号的登录验证信息的攻击者。误操作的正常用户可以再次登录,直到通过验证码认证,而攻击者无法获取验证码,根本无法通过验证码认证。
通过上述验证码的认证,可以防止盗取了账号和登录验证信息的攻击者使用网络。
例如,攻击者盗取了用户的账号密码,利用攻击者的终端设备和盗取的账号密码通过了认证服务器的第一次认证,然后认证服务器通过验证码对用户身份进行进一步的验证,此时攻击者无法获取到发送给账号绑定的电话号码的验证码,也就无法通过验证码的验证,从而无法登陆网络。
其中,账号所绑定的通信途径可以是在账号在注册时需要写入的信息,例如邮箱地址或电话号码。
在建立用户输入的账号、HTTP报文中的源MAC地址、HTTP报文中的UA字符串之间的绑定关系之前,还可以判断该账号是否存在其他绑定关系。如果存在,则进行验证码的认证步骤;如果不存在,可以直接建立绑定关系。
其中如果验证码认证通过后,可以将其他绑定关系删除,建立新的绑定关系,也可以并不删除其他绑定关系,将新的绑定关系添加到该账号的绑定关系集合中。
为了方便理解,如图3所示,为本说明书实施例提供的一种portal认证方法的原理示意图。
其中,接入设备接收到终端设备发送的报文,在本地查找到了与该报文的源MAC地址相同的MAC地址,确定发送该报文的用户已通过portal认证,将该报文转发到网络中。通过这种方法,可以使已通过portal认证的用户使用终端设备快速登录网络,同时避免了因重连网络需要重新进行portal认证的情况,使得用户的登录网络的操作更加方便。
如图4所示,为本说明书实施例提供的另一种portal认证方法的原理示意图。
其中,接入设备接收到终端设备发送的HTTP报文,在本地未查找到与该报文的源MAC地址相同的MAC地址,因此将该报文转发到认证服务器。认证服务器向终端设备返回账号登录页面,用户在终端设备的账号登录页面上填写账号和密码返回给认证服务器,认证通过后,认证服务器确定该账号并未存在其他绑定关系,因此直接向终端设备返回认证成功的信息,将HTTP报文转发到网络,将该账号与该终端设备的MAC地址和该HTTP报文的UA字符串进行绑定,同时将MAC地址下发到接入设备存储起来。
通过上述方法,可以利用绑定关系对HTTP报文进行检测,具体的检测方法在后文叙述,从而使伪造MAC地址的攻击者无法登陆网络。
如图5所示,为本说明书实施例提供的另一种portal认证方法的原理示意图。
与图4所示的portal认证方法不同的是,该账号绑定有其他绑定关系,认证服务器向该账号对应的电话号码发送包含验证码的信息,同时向终端设备发送验证码输入页面,用户在验证码输入页面填写验证码返回给认证服务器。认证服务器若确定接收到的验证码正确,则建立该账号、报文的UA字符串和终端设备的额MAC地址的绑定关系,向终端设备返回认证通过的信息,将MAC地址下发到接入设备存储起来,并将HTTP报文转发到网络。
通过上述方法,可以利用验证码对用户身份进行进一步的确定,从而使得盗取登录验证信息的攻击者无法登陆网络。
如图6所示,为本说明书实施例提供的一种基于HTTP报文的认证检测方法,所述方法基于HTTP报文对发起该HTTP报文的用户进行身份认证。所述方法应用于包括终端设备、接入设备与认证服务器的认证***中,可以包括以下步骤:
S201:接入设备接收用户操作终端设备发送的目标HTTP报文,并从所述目标HTTP报文中提取终端设备的MAC地址,判断存储的MAC地址中是否包括终端设备的MAC地址,若否,则执行S202,若是,则执行S203。
其中,接入设备在判断存储的MAC地址中包括终端设备的MAC地址时,可以定时执行S203,提高接入设备的转发效率,也可以始终执行S203,以保证每个转发的HTTP报文都经过检测,更加安全。
S202:接入设备将目标HTTP报文转发给认证服务器,以触发认证服务器执行S101至S103的步骤。
S203:从目标HTTP报文中提取UA字符串与源MAC地址,并将提取的UA字符串与MAC地址发送给认证服务器,执行S204。
S204:认证服务器判断是否存在满足指定条件的账户,若存在则执行S205。
其中,指定条件可以为,绑定有S203中提取的UA字符串,且绑定有S203中提取的MAC地址。
S205:认证服务器指令接入设备将所述目标HTTP报文发送到网络。
上述方法通过对HTTP报文进行检测,一方面对发起该HTTP报文的未认证用户进行了portal认证,防止盗取账号和对应的登录验证信息的攻击者登陆网络,另一方面通过检测HTTP报文的UA字符串和源MAC地址,防止伪造MAC地址的攻击者登陆网络。
例如,未认证的攻击者将攻击者发起的HTTP报文的源MAC地址修改成已认证的用户使用的终端设备的MAC地址,接入设备仅针对MAC地址确定攻击者已通过portal认证。此时接入设备针对攻击者发起的HTTP报文进行进一步的验证,即针对攻击者的身份进行进一步的验证,将通过了接入设备认证的HTTP报文转发到认证服务器,查询是否存在绑定了该报文的源MAC地址和UA字符串的账户。由于攻击者并未伪造UA字符串,因此攻击者发起的HTTP报文中的UA字符串与该账号绑定的UA字符串并不相同,也就不存在绑定了该报文的源MAC地址和UA字符串的账户,从而使得该攻击者无法登陆网络。
其中,当S204中,认证服务器若判断不存在满足指定条件的账户,则可以直接指令接入设备不将所述目标HTTP报文转发到网络,也可以指令接入设备直接丢弃所述目标HTTP报文。
也可以针对发起所述目标HTTP报文的终端设备进行验证码的验证,步骤如下:
认证服务器可以通过向用户输入的账号所绑定的通信途径发送第一验证码;并且,向终端设备发送验证码输入界面。用户在终端设备上输入第二验证码,认证服务器通过验证码输入界面获取用户输入的第二验证码。认证服务器若判断第二验证码与第一验证码一致,则建立所述用户输入的账号、所述终端设备的MAC地址、所述目标HTTP报文中的UA字符串之间的绑定关系,将所述目标HTTP报文转发到网络。
若第一验证码与第二验证码不一致或者预设时间内未接收到第二验证码,则不将该HTTP报文转发到网络,可以将使用该终端设备的用户退出登录状态,不绑定用户输入的账号、HTTP报文中的源MAC地址和UA字符串。
除了上述的方法实施例,本说明书还提供了装置实施例。
如图7所示,为本说明书实施例提供的一种portal认证装置的结构示意图,该装置配置在认证***中的认证服务器,所述认证***还包括接入设备与用户的终端设备,所述装置包括:
第一接收单元301,用于接收所述接入设备转发的HTTP报文;所述HTTP报文是所述用户首次使用所述终端设备请求接入网络时发送给所述接入设备的。
认证单元302,用于根据所述HTTP报文,向所述终端设备发送账号登录界面,以便所述用户向所述账号登录界面输入账号并完成登录。
确定单元303,用于在所述用户登录账号后,建立所述用户输入的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系;并且,将所述终端设备的MAC地址下发给所述接入设备进行存储。
如图8所示,为本说明书实施例提供的一种基于HTTP报文的认证检测***的结构示意图,所述***基于HTTP报文对发起该HTTP报文的用户进行身份认证。所述***包括终端设备401、接入设备402和认证服务器403,其中,
接入设备402用于接收用户操作终端设备发送的目标HTTP报文,并从所述目标HTTP报文中提取所述终端设备401的MAC地址;若确定存储的MAC地址中不包括所述终端设备401的MAC地址,则将所述目标HTTP报文转发给所述认证服务器403,以触发所述认证服务器403执行权利要求1或2所述的方法;若确定存储的MAC地址中包括所述终端设备401的MAC地址,则从所述目标HTTP报文中提取UA字符串与所述终端设备401的MAC地址,并将提取的UA字符串与MAC地址发送给所述认证服务器403。
认证服务器403用于若确定存在满足指定条件的账户,则指令所述接入设备402将所述目标HTTP报文发送到网络。
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
如图9所示,为本说明书实施例提供的一种基于HTTP报文的认证检测装置的结构示意图,所述装置基于HTTP报文对发起该HTTP报文的用户进行身份认证。所述装置配置在认证***中的接入设备,所述认证***还包括终端设备进和认证服务器,所述装置包括:
第二接收单元501,用于接收用户操作终端设备发送的目标HTTP报文,并从所述目标HTTP报文中提取所述终端设备的MAC地址。
判断单元502,用于若确定存储的MAC地址中不包括所述终端设备的MAC地址,则将所述目标HTTP报文转发给所述认证服务器,以触发所述认证服务器执行权利要求1或2所述的方法;还用于若确定存储的MAC地址中包括所述终端设备的MAC地址,则从所述目标HTTP报文中提取UA字符串与所述终端设备的MAC地址,并将提取的UA字符串与MAC地址发送给所述认证服务器,以便所述认证服务器若确定存在满足指定条件的账户,则指令所述接入设备将所述目标HTTP报文发送到网络。
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
如图10所示,为本说明书实施例提供的另一种基于HTTP报文的认证检测装置的结构示意图,所述装置基于HTTP报文对发起该HTTP报文的用户进行身份认证。所述装置配置在认证***中的认证服务器,所述认证***还包括终端设备和接入设备,所述装置包括:
触发单元601,用于若所述接入设备确定存储的MAC地址中不包括从用户操作终端设备发送的所述目标HTTP报文中提取的所述终端设备的MAC地址,则接收所述接入设备发送的目标HTTP报文,被触发执行权利要求1或2所述的方法。
发送单元602,用于若所述接入设备确定存储的MAC地址中包括所述终端设备的MAC地址,则接收所述接入设备从所述目标HTTP报文中提取UA字符串与所述终端设备的MAC地址;若确定存在满足指定条件的账户,则指令所述接入设备将所述目标HTTP报文发送到网络。
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
本说明书实施例还提供一种计算机设备,其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现一种portal认证方法或一种基于HTTP报文的认证检测方法。
其中,一种portal认证方法和一种基于HTTP报文的认证检测方法可以在同一个计算机设备上实现,也可以在不同的计算机设备上实现。
图11示出了本说明书实施例所提供的一种更为具体的实现一种portal认证方法或一种基于HTTP报文的认证检测方法,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作***和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现一种portal认证方法或一种基于HTTP报文的认证检测方法。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
上述实施例阐明的***、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本说明书实施例的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本说明书实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本说明书实施例的保护。
Claims (10)
1.一种portal认证方法,应用于认证***中的认证服务器,所述认证***还包括接入设备与用户的终端设备,所述方法包括:
接收所述接入设备转发的HTTP报文;所述HTTP报文是所述用户首次使用所述终端设备请求接入网络时发送给所述接入设备的;
根据所述HTTP报文,向所述终端设备发送账号登录界面,以便所述用户向所述账号登录界面输入账号并完成登录;
在所述用户登录账号后,建立所述用户输入的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系;并且,将所述终端设备的MAC地址下发给所述接入设备进行存储。
2.根据权利要求1所述的方法,建立所述用户的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系,具体包括:
通过所述用户输入的账号所绑定的通信途径发送第一验证码;并且,向所述终端设备发送验证码输入界面;
通过所述验证码输入界面获取所述用户输入的第二验证码;
若第二验证码与第一验证码一致,则建立所述用户输入的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系。
3.一种基于HTTP报文的认证检测方法,应用于包括终端设备、接入设备与认证服务器的认证***中,所述方法包括:
所述接入设备接收用户操作终端设备发送的目标HTTP报文,并从所述目标HTTP报文中提取所述终端设备的MAC地址;
所述接入设备若确定存储的MAC地址中不包括所述终端设备的MAC地址,则将所述目标HTTP报文转发给所述认证服务器,以触发所述认证服务器执行权利要求1或2所述的方法;
所述接入设备若确定存储的MAC地址中包括所述终端设备的MAC地址,则从所述目标HTTP报文中提取UA字符串与所述终端设备的MAC地址,并将提取的UA字符串与MAC地址发送给所述认证服务器;
所述认证服务器若确定存在满足指定条件的账户,则指令所述接入设备将所述目标HTTP报文发送到网络;
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
4.根据权利要求3所述的方法,还包括:
所述认证服务器若确定不存在满足指定条件的账户,则指令所述接入设备丢弃所述目标HTTP报文。
5.一种基于HTTP报文的认证检测方法,应用于认证***中的接入设备,所述认证***还包括终端设备进和认证服务器,所述方法包括:
接收用户操作终端设备发送的目标HTTP报文,并从所述目标HTTP报文中提取所述终端设备的MAC地址;
若确定存储的MAC地址中不包括所述终端设备的MAC地址,则将所述目标HTTP报文转发给所述认证服务器,以触发所述认证服务器执行权利要求1或2所述的方法;
若确定存储的MAC地址中包括所述终端设备的MAC地址,则从所述目标HTTP报文中提取UA字符串与所述终端设备的MAC地址,并将提取的UA字符串与MAC地址发送给所述认证服务器,以便所述认证服务器若确定存在满足指定条件的账户,则指令所述接入设备将所述目标HTTP报文发送到网络;
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
6.一种基于HTTP报文的认证检测方法,应用于认证***中的认证服务器,所述认证***还包括终端设备和接入设备,所述方法包括:
若所述接入设备确定存储的MAC地址中不包括从用户操作终端设备发送的所述目标HTTP报文中提取的所述终端设备的MAC地址,则接收所述接入设备发送的目标HTTP报文,被触发执行权利要求1或2所述的方法;
若所述接入设备确定存储的MAC地址中包括所述终端设备的MAC地址,则接收所述接入设备从所述目标HTTP报文中提取UA字符串与所述终端设备的MAC地址;若确定存在满足指定条件的账户,则指令所述接入设备将所述目标HTTP报文发送到网络;
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
7.一种portal认证装置,配置在认证***中的认证服务器,所述认证***还包括接入设备与用户的终端设备,所述装置包括:
第一接收单元,用于接收所述接入设备转发的HTTP报文;所述HTTP报文是所述用户首次使用所述终端设备请求接入网络时发送给所述接入设备的;
认证单元,用于根据所述HTTP报文,向所述终端设备发送账号登录界面,以便所述用户向所述账号登录界面输入账号并完成登录;
确定单元,用于在所述用户登录账号后,建立所述用户输入的账号、所述终端设备的MAC地址、所述HTTP报文中的UA字符串之间的绑定关系;并且,将所述终端设备的MAC地址下发给所述接入设备进行存储。
8.一种基于HTTP报文的认证检测***,所述***包括终端设备、接入设备与认证服务器,其中,
接入设备用于接收用户操作终端设备发送的目标HTTP报文,并从所述目标HTTP报文中提取所述终端设备的MAC地址;若确定存储的MAC地址中不包括所述终端设备的MAC地址,则将所述目标HTTP报文转发给所述认证服务器,以触发所述认证服务器执行权利要求1或2所述的方法;=若确定存储的MAC地址中包括所述终端设备的MAC地址,则从所述目标HTTP报文中提取UA字符串与所述终端设备的MAC地址,并将提取的UA字符串与MAC地址发送给所述认证服务器;
认证服务器用于若确定存在满足指定条件的账户,则指令所述接入设备将所述目标HTTP报文发送到网络;
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
9.一种基于HTTP报文的认证检测装置,配置在认证***中的接入设备,所述认证***还包括终端设备进和认证服务器,所述装置包括:
第二接收单元,用于接收用户操作终端设备发送的目标HTTP报文,并从所述目标HTTP报文中提取所述终端设备的MAC地址;
判断单元,用于若确定存储的MAC地址中不包括所述终端设备的MAC地址,则将所述目标HTTP报文转发给所述认证服务器,以触发所述认证服务器执行权利要求1或2所述的方法;还用于若确定存储的MAC地址中包括所述终端设备的MAC地址,则从所述目标HTTP报文中提取UA字符串与所述终端设备的MAC地址,并将提取的UA字符串与MAC地址发送给所述认证服务器,以便所述认证服务器若确定存在满足指定条件的账户,则指令所述接入设备将所述目标HTTP报文发送到网络;
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
10.一种基于HTTP报文的认证检测装置,配置在认证***中的认证服务器,所述认证***还包括终端设备和接入设备,所述装置包括:
触发单元,用于若所述接入设备确定存储的MAC地址中不包括从用户操作终端设备发送的所述目标HTTP报文中提取的所述终端设备的MAC地址,则接收所述接入设备发送的目标HTTP报文,被触发执行权利要求1或2所述的方法;
发送单元,用于若所述接入设备确定存储的MAC地址中包括所述终端设备的MAC地址,则接收所述接入设备从所述目标HTTP报文中提取UA字符串与所述终端设备的MAC地址;若确定存在满足指定条件的账户,则指令所述接入设备将所述目标HTTP报文发送到网络;
其中,所述指定条件为,绑定有提取的UA字符串,且绑定有提取的MAC地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911336957.2A CN111010400A (zh) | 2019-12-23 | 2019-12-23 | 一种portal认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911336957.2A CN111010400A (zh) | 2019-12-23 | 2019-12-23 | 一种portal认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111010400A true CN111010400A (zh) | 2020-04-14 |
Family
ID=70116867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911336957.2A Pending CN111010400A (zh) | 2019-12-23 | 2019-12-23 | 一种portal认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111010400A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113742697A (zh) * | 2021-08-09 | 2021-12-03 | 杭州华橙软件技术有限公司 | 一种设备所有权变更方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984173A (zh) * | 2012-12-13 | 2013-03-20 | 迈普通信技术股份有限公司 | 网络接入控制方法及*** |
| CN103079201A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 无线局域网的快速认证方法、ac及*** |
| CN105592458A (zh) * | 2014-10-22 | 2016-05-18 | 中国电信股份有限公司 | 无线局域网业务的认证方法和***、服务器 |
| CN107026813A (zh) * | 2016-01-29 | 2017-08-08 | 中国电信股份有限公司 | WiFi网络的接入认证方法、***以及门户服务器 |
| US20170346853A1 (en) * | 2016-05-31 | 2017-11-30 | Lookout, Inc. | Methods and systems for detecting and preventing network connection compromise |
-
2019
- 2019-12-23 CN CN201911336957.2A patent/CN111010400A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103079201A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 无线局域网的快速认证方法、ac及*** |
| CN102984173A (zh) * | 2012-12-13 | 2013-03-20 | 迈普通信技术股份有限公司 | 网络接入控制方法及*** |
| CN105592458A (zh) * | 2014-10-22 | 2016-05-18 | 中国电信股份有限公司 | 无线局域网业务的认证方法和***、服务器 |
| CN107026813A (zh) * | 2016-01-29 | 2017-08-08 | 中国电信股份有限公司 | WiFi网络的接入认证方法、***以及门户服务器 |
| US20170346853A1 (en) * | 2016-05-31 | 2017-11-30 | Lookout, Inc. | Methods and systems for detecting and preventing network connection compromise |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113742697A (zh) * | 2021-08-09 | 2021-12-03 | 杭州华橙软件技术有限公司 | 一种设备所有权变更方法、装置、设备及介质 |
| CN113742697B (zh) * | 2021-08-09 | 2024-05-28 | 杭州华橙软件技术有限公司 | 一种设备所有权变更方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11669872B2 (en) | Smart broadcasting device | |
| JP6726426B2 (ja) | 端末間のログイン不要方法及び装置 | |
| JP6472513B2 (ja) | 検証情報を送信するための方法および端末 | |
| US8826398B2 (en) | Password changing | |
| CN104636924B (zh) | 一种安全支付方法、服务器以及*** | |
| EP2838309B1 (en) | Method, device and system for establishing data connection | |
| US20160086158A1 (en) | Payment verification method, apparatus and system | |
| WO2019218747A1 (zh) | 一种第三方授权登录方法及*** | |
| US10491607B2 (en) | Method and system for implementing verification within data transfer | |
| US9569607B2 (en) | Security verification method and apparatus | |
| US20160127369A1 (en) | Method, device and system for user authentication | |
| CN112291271B (zh) | 一种移动设备自动登录服务器的方法、***、介质 | |
| KR20160077071A (ko) | 애플리케이션의 인증 | |
| CN105049319A (zh) | 好友添加方法及***、客户端及服务器 | |
| US10069872B2 (en) | Architecture to establish serverless WebRTC connections | |
| CN106254319B (zh) | 一种轻应用登录控制方法和装置 | |
| CN103747013A (zh) | 一种云端登录验证方法及装置 | |
| CN108809969B (zh) | 一种认证方法、***及其装置 | |
| CN111010400A (zh) | 一种portal认证方法及装置 | |
| CN105577621B (zh) | 一种业务操作验证方法、装置以及*** | |
| KR20130123149A (ko) | 데이터 망 접속 인증 방법 및 그 전자 장치 | |
| CN110248326B (zh) | 一种数据处理方法及其装置 | |
| CN108965255B (zh) | 多终端账号管理方法、平台、设备及计算机可读存储介质 | |
| CN111506895A (zh) | 一种应用登录图的构建方法及装置 | |
| US20200008021A1 (en) | System and method for dual notifications and responses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200414 |