一种Portal环境下管理设备在线状态的方法与流程

本发明属于设备接入管理技术领域，涉及一种Portal环境下管理设备在线状态的方法，本方法可以方便管理设备在线状态信息，快速识别设备是否在线，方便用户连网认证和下线。

背景技术：

公共Wifi环境下，目前一般使用Portal技术方案来认证接入设备，实现设备的访问控制功能。常规Portal方案只能基于设备的IP地址授权访问，以IP地址作为会话的核心数据，实现用户上下线功能。当用户加入网络时，设备会得到一个IP地址。用户上线认证时，接入端检查用户名和密码，确认用户信息后，放通设备的IP地址的访问权限，同时开始计费。当用户发起下线请求时，接入端关闭用户IP的访问权限。

当网络不稳定或用户短暂离开网络范围的时候，移动设备会自动切换网络、更新IP地址。考虑安全因素，接入系统不能根据客户端提供的、之前的IP地址来终结先前的会话，计费系统会继续计费、认证系统会拒绝新的认证请求。

技术实现要素：

本发明的目的是提供一种Portal环境下管理设备在线状态的方法，解决了现有技术中存在的问题，基于基础的Portal协议，在交互中扩展了部分认证数据，可以有效查询设备在线状态，方便控制设备上线下线。

一种Portal环境下管理设备在线状态的方法，包括以下步骤：

步骤一、设备发出上线认证请求后，设备的客户端将设备连接网络需要的数据信息打包成数据包后发送至服务端；

步骤二、所述服务端根据客户端发出去的数据包、接入的信息以及加密算法生成一个会话认证串，发送给设备的客户端后，以使所述设备与所述服务端建立数据连接通道；

步骤三、所述客户端发出数据时均携带所述会话认证串，所述服务端解密所述会话认证串后，提取所述设备发出数据。

在本发明的一个优选实施例中，所述步骤三中包括客户端持续在线和非正常下线两种状态：

当客户端持续在线时，服务端根据所述会话认证串解密后的信息，快速检索用户的会话信息，加快请求处理过程；

当所述客户端非正常下线时，所述服务端根据客户端提供的会话认证串，找回先前会话的信息，安全的执行下线、终结计费。

在本发明的一个优选实施例中，所述步骤一中的数据包中包括设备的IP和MAC地址信息。

在本发明的一个优选实施例中，所述步骤一中的设备在发出上线认证请求之前，设备处于接入Portal的环境下，且对应所述数据包还包括Portal服务端地址、网关地址。

在本发明的一个优选实施例中，所述客户端将所述步骤一的数据包嵌套于HTTP请求头中发送至所述服务端。

在本发明的一个优选实施例中，所述会话认证串中的加密算法由服务端确定，所述客户端只是保存、持有所述会话认证串，无法解密查看或修改所述会话认证串；所述服务端可以解密所述会话认证串，从而拿到设备当前会话的全部信息。

通过以上方案，本发明所采用的技术方案是：

本发明解决了移动网络环境变化时，客户端的安全下线问题。与现有的用户名+密码的登录认证方式相比，本发明的方法在登录之后，服务端的响应数据中增加了认证串数据，客户端在后续的会话中需要携带该认证串。服务端的后续会话操作，不再单纯依赖容易变动的IP地址，而是综合了IP、MAC、用户基础信息、接入网关信息的认证串；该认证串在认证成功后由服务端加密，也不存在假冒、伪造的问题，是一种安全可靠的在线状态管理方法。

附图说明

图1是本发明实施流程图。

图2是使用本发明后，服务端发回的认证响应数据包的部分示意图。

具体实施方式

本发明提供的技术方案是：

一种Portal环境下管理设备在线状态的方法，包括以下步骤：

步骤一、设备发出上线认证请求后，设备的客户端将设备连接网络需要的数据信息打包成数据包，该数据包嵌套于HTTP请求头中发送至所述服务端；步骤一中的数据包中包括设备的IP和MAC地址信息；

步骤二、所述服务端根据客户端发出去的数据包、接入的信息以及加密算法生成一个会话认证串，发送给设备的客户端后，以使所述设备与所述服务端建立数据连接通道；

步骤三、所述客户端发出数据时均携带所述会话认证串，所述服务端解密所述会话认证串后，提取所述设备发出数据。

上述步骤三中包括客户端持续在线和非正常下线两种状态：当客户端持续在线时，服务端根据所述会话认证串解密后的信息，快速检索用户的会话信息，加快请求处理过程；当所述客户端非正常下线时，所述服务端根据客户端提供的会话认证串，找回先前会话的信息，安全的执行下线、终结计费。

为了更好实现数据连接，步骤一中的设备在发出上线认证请求之前，设备处于接入Portal的环境下，且对应所述数据包还包括Portal服务端地址、网关地址。

上述会话认证串中的加密算法由服务端确定，所述客户端只是保存、持有所述会话认证串，无法解密查看或修改所述会话认证串；所述服务端可以解密所述会话认证串，从而拿到设备当前会话的全部信息。

具体地：在需接入网络的设备发起上线认证请求、接入端处理完成后，接入服务的Portal-Web端(以下称“服务端”)会给接入设备的客户端以HTTP认证响应数据(Response)的形式提供一个加密的会话认证串。

该会话认证串基于用户基础信息、接入设备Mac地址、认证状态、会话ID等文本信息连接、加密后生成，是一个长度在1KB以内的文本串。加密算法和密钥由服务端确定，根据对安全性的要求等级，一般使用AES或RSA作为加密算法。客户端只是保存、持有该串，无法解密查看或修改该串。在后续的所有会话请求过程中，客户端以该认证串作为核心数据，所有请求都携带该认证串。

服务端可以解密该会话认证串，从而拿到设备当前会话的全部信息。

当客户端持续在线时，服务端可以根据该认证串解密后的信息，快速检索用户的会话信息，加快请求处理过程。

当客户端非正常下线时，服务端可以根据客户端提供的该认证串，找回先前会话的信息，安全的执行下线、终结计费等操作。

设备发起上线请求时，附带设备的硬件唯一性标识，由服务端根据设备的信息、本次接入的信息生成一个会话认证串，发送给设备的客户端；在后续的会话管理过程中，以该信息串作为会话的信息索引，提供唯一标识连接、快速检索连接信息、管理上下线等功能。

下面结合附图和具体实施方式对本发明进行详细说明。

本方法的实施包含附图1所示的完整流程，其中步骤1-4属于信息的建立阶段，主要是建立会话对应的SKeyData，步骤5-9是SKeyData的具体应用场景和处理方法。

当设备预备上线时，首先必须已经接入了一个Portal的环境。在该环境下，设备访问外部网络，会拿到一个重定向地址的文本串(后续称之“重定向串”)。为了保证后续的认证、下线过程，重定向串需要具备Portal服务端地址、网关地址(NASIP)，以及客户端所在设备的MAC地址、IP地址。

步骤1中，客户端将所在设备的IP和MAC地址信息和重定向串，包含在HTTP请求头中，发送到服务端。

在步骤2中，服务端根据收到的客户端设备信息，加上重定向的参数串，对比这些信息，可以判断用户提供的信息是否正常。验证用户端IP、MAC地址信息与重定向串的数据数据一致后，服务端使用Portal认证协议发送用户名、密码到网关，认证接入的会话设备。如果认证通过，会话就建立起来，服务端创建一个会话标识SessionID，同时保存会话数据到内部存储，以SessionID作为会话的索引值。

之后，服务端以(用户设备的IP、MAC地址+重定向串+Session ID+服务端会话密钥)为参数，构造一个加密串SKeyData(会话认证串)。加密过程考虑服务端的承载能力和安全要求，一般使用AES作为基础加密算法。服务端的加密密钥以可靠方式保存在服务端。

步骤3、4，是服务端将认证处理结果发回客户端，在认证成功的情况下，返回了一个SKeyData，具体样式参考附图2(其中的token字段即为SKeyData)。客户端因为没有服务端的加密信息，无法解密SKeyData，只需要稳妥保存SKeyData，并在后续的所有会话交互中使用该数据。

步骤5-9是SKeyData的使用步骤。对客户端来讲，每次会话都携带SKeyData。服务端收到一个客户端请求后，根据SKeyData、服务端的密钥，根据加密使用的算法，执行对应的解密过程，还原出出会话信息，据此可以得到服务端保存的初始会话信息。根据这些信息，结合客户端本次请求的参数数据，就可以安全校验会话用户身份，从而恢复已有会话。

当客户端发出断开连接的请求时，服务端在处理成功后，删除会话的信息。后续再有请求到来时，该会话因为已经终结，不需要再做别的操作。

在大多的Portal实施环境中，网关、认证数据端(一般是基于Radius协议的AAA端)都是已有、在网运行的系统；Portal认证系统，作为对已有接入方式的一种补充而融入现有系统。

在这种情况下，本方法所阐述处理方式，可以避免对已有接入、认证系统做改动，能显著缩短上线周期，加快新系统的部署和上线。对比类似的Portal部署方案，如果做基于用户名、密码的下线管理，将需要认证端(一般为AAA平台)开放新的认证检查和下线接口，无疑需要额外的商务协商、开发、测试、试运行的工作，延后Portal系统的部署上线时间。