本发明为一种通过控管连线时间及连线流量以防范验证漏洞的方法,特别指在一终端装置欲透过一网络设备连上因特网时,使该网络设备记录终端装置的连线时间及连线流量,以在连线时间及连线流量超过上限值时,切断联机,确保该终端装置的用户必须先完成验证,始能取得完整网络服务的技术。
背景技术:
近年来网络的蓬勃发展促使了商业性的因特网服务业者的快速成长,使得该因特网服务业者除了提供全球信息网(worldwideweb简称www)的服务外,亦开始提供民众其它类型的网络服务,如:网络检索(search)、线上游戏(onlinegame)、网络银行(networkbank)、电子邮件(e-mail)、文件传输(ftp)、电子布告栏(bbs)、远程终端模拟(telnet)等,时至今日,人们已习惯通过前述网络服务的无远弗届的特性,获得更多的网络信息,以因应生活或工作上的各项需求。
有鉴于网络已成为人们生活中不可缺少的工具,许多公众场所会以付费或免费的方式,提供无线网络供民众使用。而对于餐馆、咖啡厅、旅馆、商店等服务业的店家业者而言,「免费无线网络」更是影响消费者是否光顾的重要因素之一,然而,在提供免费无线网络的同时,业者亦期望能从中获取回馈,以吸引钱潮。例如:许多店家业者在提供免费无线网络的同时,会推出「打卡优惠」,以优惠(如:送餐点、打折等)来鼓励消费者在社群网站(如:脸书(facebook)、推特(twitter)或噗浪(plurk)等)上公开自己的当下位置,达到广告宣传的效果。
除此之外,随着大数据(bigdata)概念的兴起,越来越多店家业者懂得利用消费者在社群网站上的「网络身份」,提升广告宣传的成功率,例如:透过社群网站的个人数据,即可得知其兴趣与需求,进而更精确地将商品推销给消费者。因此,许多店家业者在提供免费无线网络同时,会要求消费者先进行验证(如:登入脸书账号),如此一来,即能记录来店消费的消费者类型,以便随时调整营售策略,或传递宣传消息。
为了让消费者验证其网络身份,店家业者会在网络设备中先行设定一围墙清单(walledgarden),该围墙清单内储存有社群网站(如:脸书)的地址,当消费者的终端装置连上该网络设备,并要求网络服务时,网络设备会先根据围墙清单内储存的地址,仅开放终端装置存取该社群网站,进而要求其进行验证,并在社群网站回报「验证完成」的确认信息后,始开放完整的网络功能。
然而,前述验证程序其实存在有漏洞,若是消费者仅需使用该社群网站的功能(如:浏览公开的脸书页面),而无须使用其他外部网络的功能(如:收发电子邮件、浏览影音网站等),则消费者即便未曾进行验证,亦可直接在该社群网站上浏览。因此,如何针对前述验证程序的漏洞,提供一易于实施且有效的防范方法,即成为本发明在此亟欲解决的重要课题。
技术实现要素:
有鉴于时下店家业者在提供自由网的服务时,即便要求消费者先完成验证,消费者仍可能透过验证程序中的漏洞,在未验证完成的情况下,即直接浏览社群网站的问题,申请人凭借多年来的研发经验,经过多方的研究、评估与测试后,终于设计出本发明的一种通过控管连线时间及连线流量以防范验证漏洞的方法,期能借此提供一种有效的解决方案。
本发明的目的在于提供一种通过控管连线时间及连线流量以防范验证漏洞的方法,该方法系应用于一网络设备上,该网络设备内储存有一已认证清单、一临时通行清单、一围墙清单、一时间上限值及一流量上限值,其中,该围墙清单内储存有至少一社群服务器的社群地址,该方法系在该网络设备接收到一终端装置传来的一要求指令,且判断出该终端装置的媒体信息并未记录在该已认证清单内的情况下,启动一验证程序,以使该网络设备执行下列步骤:首先,将该媒体信息新增至该临时通行清单中,且开始记录一连线时间及一连线流量,其中,该连线时间系指该终端装置连上该网络设备后的持续时间,该连线流量则系指该网络设备传输至该终端装置的数据量;接收该终端装置传来的一讯框(subframe)数据,且根据回复该讯框数据的数据量,更新该连线流量;在判断出该连线时间并未超出该时间上限值、该连线流量亦未超出该流量上限值,且该讯框数据的目的地址能对应至该围墙清单内的各该社群地址的情况下,始将该讯框数据传送至该目的地址;最后,接收该社群服务器传来的一确认信息,将该媒体信息记录至该已认证清单中,以完成该验证程序。如此,由于该终端装置在进行验证程序的过程中,该网络设备会持续地判断该终端装置的连线时间及连线流量,故,即能以简单且有效的方式,防止该终端装置的用户在透过该网络设备连上该社群服务器后,并未进行验证,而单纯使用社群功能的漏洞问题。
附图说明
图1为本发明的应用背景的系统架构图;
图2为本发明应用网络设备示意图;及
图3为本发明的方法的第一较佳实施例示意图。
【附图标记说明】
网络系统………1
因特网………10
网络设备………11
处理单元………110
入口流向模块………111
出口流向模块………112
网关认证模块………113
储存模块………114
终端装置………12
社裙服务器………13
网络服务器………14
已认证清单………t1
临时通行清单………t2
围墙清单………t3
时间上限值………v1
流量上限值………v2
步骤………301~307
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明作进一步的详细说明。
本发明系一种通过控管连线时间及连线流量以防范验证漏洞的方法,图1为本发明的应用背景的系统架构图;图2为本发明应用网络设备示意图;如图1和图2所示,系该方法应用的网络系统1的示意图,该网络系统1包括一网络设备11、多个终端装置12、一社群服务器13及一网络服务器14,该网络设备11可为店家(如:餐厅、咖啡厅、旅馆)的网关路由器,该社群服务器13则可为脸书(facebook)、推特(twitter)或噗浪(plurk)等社群网站的服务器。
该网络设备11至少包括一处理单元110、一入口流向(ingressdirection)模块111、一出口流向(egressdirection)模块112及一储存模块114,且该处理单元110内设有一网关认证(captiveportal)模块,在该终端装置12连上该网络设备11时,该网络设备11能透过该入口流向模块111,传递数据数据给该终端装置12,且能透过该出口流向模块112,接收该终端装置12传来的数据数据。
该网络设备11的储存模块114内储存有一已认证清单t1、一临时通行清单t2(temporarypermitlist)、一围墙清单t3(walledgarden,如脸书)、一时间上限值v1(如:5分钟)及一流量上限值v2(如:10mb),该围墙清单t3内储存有至少一社群服务器13的社群地址(如:192.168.10.10)。
在该终端装置12连上该网络设备11时,该终端装置12会发送一要求指令至该网络设备11,以要求取得网络服务,此时,该网络设备11会先判断该终端装置12的媒体信息(如:mac地址)是否已被记录于该已认证清单t1中。如图1和图2所示,若该终端装置12的媒体信息已被记录于该已认证清单t1内(如:「00-90-27-10-60-53」),代表该终端装置12已有验证记录,可直接开通完整的网络服务。
反之,若该网络设备11判断该终端装置12的媒体信息(如:「00-90-27-10-30-25」)并未记录在该已认证清单t1内,则网络设备11将会启动一验证程序,将处理流程导引至该网关认证模块113。图3为本发明的方法的第一较佳实施例示意图,如图1~3所示,兹说明该方法使该网络设备11执行的步骤如下:
(301)首先,将该媒体信息新增至该临时通行清单t2中,并开始记录一连线时间(session)及一连线流量(quota),其中,该连线时间系指该终端装置12连上该网络设备11后的持续时间,该连线流量则系指该网络设备11传输至该终端装置12的数据量;
(302)其次,接收该终端装置12传来的一讯框数据(frame),且根据回复该讯框数据的数据量(系指该网络设备11针对该讯框数据,回复给该终端装置12的数据的数据量大小,如:2mb),更新当前的该连线流量;
(303)判断出该终端装置12的连线时间是否超出该时间上限值v1;若是,则中断处理程序,切断该网络设备11与该终端装置12间的联机状态,且将该终端装置12的媒体信息由该临时通行清单t2中移除;若否,则继续进行步骤(304);
(304)判断出该终端装置12的连线流量是否超出该流量上限值v2;若是,则中断处理程序,切断该网络设备11与该终端装置12间的联机状态,且将该终端装置12的媒体信息由该临时通行清单t2中移除;若否,则继续进行步骤(305);
(305)判断该讯框数据的目的地址是否能对应至该围墙清单t3内的各该社群地址;若无法对应,则中断该讯框数据的处理程序;若目的地址与社群地址相符,则继续进行步骤(306);
(306)透过因特网10,将该讯框数据传送至该目的地址,在步骤(303)~(305)中,若过程中该网络设备11传递数据予该终端装置12,则该网络设备11亦会实时更新该连线流量;及
(307)接收该社群服务器13传来的一确认信息,将该媒体信息记录至该已认证清单t1中,以完成该验证程序,后续该终端装置12再发送其他讯框数据至该网络设备11时,该网络设备11即会无须在经过前述判断步骤,而会直接传递该讯框数据,使该终端装置12能透过该网络设备11及因特网10,自由地连上各该网络服务器14(如:电子邮件服务器、影音网站服务器…等)。
如此,由于该终端装置12在进行验证程序的过程中,该网络设备11会持续地判断该终端装置12的连线时间及连线流量,故,即能防范该终端装置12的用户在透过该网络设备11连上该社群服务器13后,并未进行验证,而单纯使用社群功能,令该网络设备11的业者无法搜集到使用者的个人数据的漏洞问题。由于,本发明并无需去判断「讯框数据的目的究竟是否为验证?」,而是以「连线时间」与「连线流量」来进行网络功能的限制,因此,不仅十分容易实施,且能有效控制「尚未通过验证的终端装置12」的网络功能,以避免网络设备11的负荷过重。
在此要特别一提者,在前述实施例中,该网络设备11系先判断出该连线时间并未超出该时间上限值v1,且该连线流量亦未超出该流量上限值v2后,始进一步判断该讯框数据的目的地址是否对应于该围墙清单t3内的各该社群地址,但实际上,前述三个判断步骤(303)~(305)的执行顺序可任意调整,意即,网络设备11可先判断讯框数据的目的地址,再判断连线时间与连线流量,只有在三个判断都完成后,该网络设备11始会将该讯框数据传送至该目的地址。
另,如图1和图2所示,在本实施例中,该围墙清单t3内尚可储存多笔社群服务器13(如:脸书及推特)的社群网址,且在该网络设备11执行该验证程序前,该网络设备11能先根据这些社群网址,产生一选择页面(如:「选择使用脸书或推特进行验证?」),其次,将该选择页面传送给该终端装置12,使该终端装置12接收到该选择页面后,能据以产生并回传要求指令(如:使用脸书进行验证),且该要求指令能对应于其中一个社群网址。
承上,该网络设备11内尚能储存有多个相对应的时间上限值v1及流量上限值v2,各该时间上限值v1及流量上限值v2能分别对应于各该社群服务器13的社群网址,例如:脸书验证所分配的时间上限值v1及流量上限值v2为「5分钟、15mb」、噗浪验证的时间上限值v1及流量上限值v2为「2分钟、12mb」,以在该网络设备11接收该终端装置12传来的该要求指令后,该网络设备11能根据该要求指令内对应的社群网址,找出对应的时间上限值v1及流量上限值v2,以进行验证程序中的各项判断,据此,即能更精确地控制分配给该终端装置12的网络功能。
此外,为更周全地防止验证程序中的漏洞,在前述步骤(305)中,若该网络设备11判断该讯框数据的目的地址无法对应至该围墙清单t3内的各该社群地址,则该网络设备11将直接舍弃该讯框数据。又,该网络设备11亦可在舍弃该讯框数据后,根据该终端装置12最初选择的验证方式(如:脸书验证),找出该围墙清单t3内对应的该社群服务器13的社群网址,由该社群服务器13处取得一验证页面,并将该验证页面传送予该终端装置12。据此,若该终端装置12的用户在完成验证程序前,欲使用验证功能外的网络功能(如:欲联机至影音网站),此时,该网络设备11会忽视其要求,改以连接至社群服务器13提供的验证页面(如:显示出脸书的登入页面)。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。