基于APP应用的Portal认证方法及其装置制造方法

基于APP应用的Portal认证方法及其装置制造方法
【专利摘要】本发明公开了一种基于APP应用的Portal认证方法及其装置，应用于接入设备上，该方法包括：接收用户终端向APP应用服务器发起的TCP三次握手连接请求，判断连接请求是否已通过Portal认证或者在白名单内，若是，则转发用户终端的TCP连接请求报文，使用户终端与APP应用服务器建立TCP连接；否则仿冒APP应用服务器与用户终端建立TCP连接；接收用户终端发送的Http的Get请求报文，解析该报文中的URL，将APP应用服务器的IP地址加入到白名单内，向用户终端返回RST报文，通知用户终端向APP应用服务器重新发起TCP三次握手连接请求。本发明利用在APP应用中推广公众号的形式，提高企业竞争力，推广企业形象。
【专利说明】基于APP应用的Porta I认证方法及其装置

【技术领域】
[0001] 本发明涉及通信【技术领域】，尤其涉及一种基于APP应用的Portal认证方法及其装 置。

【背景技术】
[0002] Portal认证技术是一种简单易用的身份认证技术，其主要目的是为了验证接入网 络客户端的身份。未认证用户上网时，设备强制用户登录到特定门户网站站点，用户可以免 费访问其中的服务。当用户需要使用互联网中的其他信息时，必须在门户网站进行认证，只 有认证通过后才可以使用互联网资源。
[0003] 具体地，用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认 证，这种开始Portal认证的方式称作为主动认证；反之，如果用户试图通过HTTP访问其他 外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。 Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化 的业务等，使宽带运营商、设备提供商和内容服务商形成一个产业生态系统。
[0004] 随着宽带无线接入和智能移动终端技术的飞速发展，人们迫切希望能够随时随地 乃至在移动过程中都能方便地从互联网获取信息和服务，移动互联网应运而生并迅猛发 展，随着智能移动终端类型的不断发展，各种APP应用发展越来越快，典型的例如微信已经 发展到6亿用户，围绕微信而发展的各种APP应用也开始层出不穷。Portal认证本身为网 页认证，在移动互联网时代，很多用户访问各种应用已经不经过浏览器，而是直接通过各种 APP，因此APP中内嵌Portal认证是非常重要的一个功能。
[0005] 现有技术中，通过AC(Access Controller,接入控制器）将所有微信服务器对应 的IP地址在接入设备上都配置为白名单；然后用户终端打开微信客户端后发起DNS请求， DNS服务器返回该域名对应的IP地址；进而用户终端和微信服务器地址的80端口建立连 接，此时由于微信服务器地址为白名单规则，因此直接建立连接；用户终端直接与微信服务 器通过通信交互，用户登录成功；用户终端在微信中打开Portal served门户网站服务 器）的公众号，内嵌的Portal server推出认证页面，用户输入用户名和密码进行认证；用 户在微信中认证成功并可以访问微信中的其他公众号资源。然而该认证方式中，由于用户 必须先能够登陆微信成功，因此微信服务器必须先放行，必须事先知道微信服务器对应的 IP地址，并将这些地址添加到白名单中。但是，对于微信这种用户量大的应用，随着用户规 模不断增加，部署的服务器会越来越多，每次需要网管人员手动增加，维护工作会越来越繁 琐、越来越复杂。


【发明内容】

[0006] 有鉴于此，本发明提出一种简化portal认证方式的基于APP应用的Portal认证 方法及其装置。
[0007] 为了到达上述目的，本发明所采用的技术方案为：
[0008] -种基于APP应用的Portal认证方法，应用于接入设备上，其中，所述方法包括：
[0009] 接收用户终端向APP应用服务器发起的TCP三次握手连接请求，判断该连接请求 是否已通过Portal认证或者在白名单内，若是，则转发所述用户终端的TCP三次握手连接 请求报文，使所述用户终端与所述APP应用服务器建立TCP三次握手连接，以便所述用户终 端在该APP应用中通过内嵌的Portal页面进行认证；否则，仿冒所述APP应用服务器与所 述用户终端建立TCP三次握手连接；
[0010] 接收所述用户终端发送的Http的Get请求报文，解析该报文中的URL，将所述APP 应用服务器的IP地址并将其加入到白名单内，向用户终端返回RST报文，通知用户终端向 所述APP应用服务器重新发起TCP三次握手连接请求。
[0011] 进一步地，在用户终端向APP应用服务器发起TCP三次握手连接请求之前还包 括：
[0012] 所述用户终端向DNS服务器发起所述APP应用的DNS请求，获取该APP应用服务 器的IP地址。
[0013] 进一步地，用户终端向APP应用服务器发起的TCP三次握手连接请求认证通过后， 所述用户终端在APP应用中通过内嵌的Portal页面进行认证的具体步骤包括：
[0014] 所述用户终端在APP应用中打开Portal服务器的公众号，内嵌的Portal服务器 推出认证页面，所述APP用户终端通过认证后可正常访问互联网资源。
[0015] 进一步地，所述APP应用中的Portal服务器公众号通过所述用户终端在第一次网 页认证时，通过扫描网页中内嵌广告推广公众号以加入到公众号中。
[0016] 进一步地，所述接入设备在仿冒所述APP应用服务器的同时，存储用户终端的识 别信息以及APP应用服务器的IP地址信息。
[0017] 进一步地，将所述APP应用服务器的IP地址加入到白名单内，具体包括：
[0018] 当所述用户终端发起Http的Get请求时，所述接入设备通过解析URL获取所述 APP应用的域名信息，并根据该域名判断是否需要将APP应用加入白名单内，如果是，则根 据保存的用户终端识别信息将所述域名与APP应用服务器的IP地址关联，进而将该APP应 用服务器的IP地址加入白名单，而后发送RST报文给所述用户终端。
[0019] 本发明同时提供一种基于APP应用的Portal认证装置，其中，所述认证装置包 括：
[0020] 判断单元，用于当接收用户终端向APP应用服务器发起的TCP三次握手连接请求 后，判断该连接请求是否已通过Portal认证或者在白名单内，若是，则通知转发单元进行 处理，否则通知处理单元进行处理；
[0021] 转发单元，用于接收到判断单元的通知后，转发用户终端的TCP三次握手连接请 求报文，使用户终端与APP应用服务器建立TCP连接，以便用户终端在该APP应用中通过内 嵌的Portal页面进行认证；
[0022] 处理单元，用于接收到判断单元的通知后，仿冒APP应用服务器与用户终端建立 TCP连接；
[0023] 解析单元，用于接收用户终端发送的Http的Get请求报文，解析该报文中的URL， 将APP应用服务器的IP地址加入到白名单内，并向用户终端返回RST报文，通知用户终端 重新进行TCP三次握手连接。
[0024] 进一步地，所述处理单元在仿冒APP应用服务器的同时，进一步存储用户终端的 识别信息以及APP应用服务器的IP地址信息。
[0025] 进一步地，所述解析单元解析URL获取所述APP应用的域名信息后，通知判断单元 判断是否需要将APP应用加入白名单内，如果是，则根据处理单元保存的用户终端识别信 息将所述域名与APP应用服务器的IP地址关联，并将该APP应用服务器的IP地址加入白 名单，而后发送RST报文给所述用户终端。
[0026] 与现有的技术相比，本发明接入设备通过在用户终端发起APP应用的TCP三次握 手连接请求时仿冒APP应用服务器，并在与用户终端TCP三次握手连接建立成功后，进一步 截获用户终端发起的Http Get报文的URL或者主机名称自动将所述APP应用服务器的IP 地址添加到白名单内，因而大幅减化运维人员的工作量，并利用在APP应用中推广公众号 的形式，提高企业竞争力，推广企业形象。

【专利附图】

【附图说明】
[0027] 图1为本发明基于APP应用的Portal认证方法的流程示意图；
[0028] 图2为某应用场景下，本发明基于APP应用的Portal认证方法的详细实现流程 图；
[0029] 图3为本发明基于APP应用的Portal认证装置所在设备的一种硬件结构图；以及
[0030] 图4为本发明基于APP应用的Portal认证装置的实施例框图。

【具体实施方式】
[0031] 以下将结合附图所示的【具体实施方式】对本发明进行详细描述。但这些实施方式并 不限制本发明，本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的 变换均包含在本发明的保护范围内。
[0032] 本发明中，在用户终端安装热门APP应用，通过在该APP应用中内嵌Portal认证 的站点，当用户通过内嵌的Portal认证后，便可直接通过APP应用访问各种其他应用，从而 不需要经过浏览器，简化了用户访问其他应用的访问步骤，提高了用户上网体验的乐趣，同 时，商家可以通过APP应用推广公众号的形式，推广企业形象，提高企业竞争力。
[0033] 请参图1所示，为本发明基于APP应用的Portal认证方法的流程示意图，该方法 应用在接入设备上，具体地包括：
[0034] S1、接入设备接收用户终端向APP应用服务器发起的TCP三次握手连接请求，判断 该连接请求是否已通过Portal认证或者在白名单内，若是，进入步骤S2,否则转步骤S3 ;
[0035] S2、接入设备转发用户终端的TCP三次握手连接请求报文，使用户终端与APP应用 服务器建立TCP连接，以便用户终端在该APP应用中通过内嵌的Portal页面进行认证；
[0036] S3、接入设备仿冒APP应用服务器与用户终端建立TCP连接；
[0037] S4、接入设备接收用户终端发送的Http的Get请求报文，解析该报文中的 URL (Uniform Resource Locator :统一资源定位器），将APP应用服务器的IP地址加入到 白名单内，向用户终端返回RST(Reset the connection,重置连接）报文，并转步骤S1。
[0038] 进一步地，在步骤S1之前，还包括用户终端向DNS服务器发起APP应用的DNS请 求，获取该APP应用服务器的IP地址。
[0039] 在步骤S2中，APP应用中通过内嵌的Portal页面进行认证的具体步骤包括：
[0040] 用户终端在APP应用中打开Portal服务器的公众号，内嵌的Portal服务器推出 认证页面，APP用户终端通过输入用户名和密码进行认证通过后可正常访问互联网资源；
[0041] 其中，若用户终端未添加 Portal服务器的公众号，所述用户终端用户在第一次网 页认证时，通过扫描网页中内嵌广告推广公众号以加入到公众号中。
[0042] 在步骤S3中，接入设备在仿冒APP应用服务器的同时，进一步存储用户终端的识 别信息以及APP应用服务器的IP地址信息；
[0043] 在步骤S4中，当所述用户终端发起Http的Get请求时，接入设备通过解析URL获 取APP应用的域名信息，并根据该域名判断是否需要将APP应用加入白名单内，如果是，则 根据S3步骤中保存的用户终端识别信息将域名与APP应用服务器的IP地址关联，进而将 该APP应用服务器的IP地址加入白名单，而后发送RST报文给所述用户终端。
[0044] 与现有的技术相比，本发明接入设备通过在用户终端发起APP应用的TCP三次握 手连接请求时仿冒APP应用服务器，并在与用户终端TCP三次握手连接建立成功后，进一步 根据截获用户终端发起的Http Get报文的URL或者主机名称自动将所述APP应用服务器 的IP地址添加到白名单内，因而大幅减化运维人员的工作量。
[0045] 如图2所示，图2为某应用场景下，本发明基于APP应用的Portal认证方法 的详细实现流程图，在该认证方法所应用的场景中，包括APP客户端、接入设备、Portal Server (提供 web 门户认证页面的专用服务器）、Radius (Remote Authentication Dial-In User Service,远程认证拨号用户服务）Server、APP Server (第三方应用服务器）、DNS Server(域名解析服务器）等。在该应用场景下，该方法包括以下步骤：
[0046] 步骤201、APP用户终端发送APP Server域名的DNS请求；
[0047] 其中，在实际应用中，用户终端可以为安装有APP客户端的电脑、笔记本、手机或 其他移动终端。当需要进行APP应用时，用户终端首先需要发起该APP应用的DNS请求，以 便获取APP应用服务器的IP地址。
[0048] 步骤202、DNS Server返回提供APP服务的Server对应的IP地址；
[0049] 对于APP热门应用，APP服务提供商有可能会根据业务需要，同时布署多台APP Server，在本步骤中，APP用户终端通过DNS Server，获取到为其提供APP应用服务的对应 服务器的IP地址。
[0050] 步骤203、用户终端向APP Server发起TCP三次握手请求，接入设备判断该请 求是否通过Portal认证或者在白名单内，若否，接入设备仿冒APP Server地址和APP Client (APP客户端）建立三次握手连接，若是，则直接转发该TCP三次握手连接请求报文 后，转入步骤206处理；
[0051] 用户终端在获取到DNS Server返回的为其提供服务的APP Server的IP地址后， 将发起向APP Server的TCP三次握手连接请求，接入设备接收到该APP应用的TCP三次握 手连接请求后，判断是否通过Portal认证或者在预先配置的白名单内，如果否，则接入设 备将该TCP三次握手连接请求上送至CPU，仿冒APP Server的IP地址和APP Client (APP 客户端）建立三次握手连接；如果是，则直接转发该TCP三次握手连接请求报文后，转步骤 206处理。
[0052] 另外，为了能够将APP Server的IP地址在后续的步骤中能够加入到预先配置的 白名单内，在本步骤中，还需要进一步保存该用户终端的识别信息以及APP Server的IP地 址信息。另外，本发明接入设备根据应用场景的不同，有可能是AP(无线接入点）设备，也 有可能是传统的接入交换机等，在此不作特别限定。
[0053] 步骤204、A PP用户终端发送HTTP的GET报文，接入设备解析GET报文URL部分 获取该APP应用的域名，并根据该域名判断是否将APP Server的IP地址添加到白名单内；
[0054] 在接入设备仿冒APP应用服务器与用户终端TCP握手成功后，用户终端发起Http 的Get请求，接入设备接收到该请求后，通过解析该Get请求报文的URL部分，从而获取Get 报文里面携带APP应用对应的域名，并上送CPU判断是否需要将该域名对应的APP应用服 务器的IP地址加入到预先设置的白名单内，如果是，则进一步根据前述步骤203保存的用 户终端信息查找到该APP应用服务器的IP地址，然后将该IP地址加入白名单，并发送RST 报文给用户终端。
[0055] 步骤205、APP用户终端发起和APP Server重新建立连接；
[0056] 用户终端接收到接入设备发送的RST报文后，将重新发起和APP Server之间的 TCP三次握手连接。
[0057] 步骤206、APP用户登录成功；
[0058] 由于此时所述APP Server对应的IP地址已经在所述白名单内，因此，接入设备接 收到用户终端发起的TCP三次握手连接请求后，直接放行将该报文转发出去，因此，APP用 户登录成功，APP应用终端与APP Server建立起通信连接。
[0059] 步骤 2〇7、APP Client 访问 Portal Server 公众号；
[0060] 用户APP应用登录成功后，当需要在APP应用中打开Portal服务器的公众号， 则内嵌的Portal Server推出认证页面，如果用户终端没有添加 Portal Server的公众 号，则在第一次网页认证时，可以通过扫描网页中内嵌广告推广公众号的方式加入Portal Server的公众号。
[0061] 步骤208、Portal Server发送登录页面；
[0062] 步骤209、用户输入用户名和密码；
[0063] 步骤210、用户认证信息发送到接入设备；
[0064] 步骤211、接入设备发送认证信息给Radius Server ;
[0065] 步骤212、Radius Server返回认证结果给接入设备；
[0066] 步骤213、接入设备将认证结果通过HTTP报文发送给Portal Server。
[0067] 步骤208-213为Portal认证的过程，当APP客户端访问Portal Server公众号时， Portal Server发送登录页面，用户终端通过输入用户名和密码，当认证通过后用户终端即 可正常访问在该APP应用上注册的其他公众号资源了，由于上述步骤与现有技术相同，在 此不再展开详细描述。
[0068] 与前述基于APP应用的Portal认证方法的实施例相对应，本公开还提供了基于 APP应用的Portal认证装置的实施例。
[0069] 本发明基于APP应用的Portal认证装置的实施例应用在图3所示的接入设备上。 装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现 为例，作为一个逻辑意义上的装置，是通过其所在接入设备的CPU将非易失性存储器中对 应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图3所示，为本发明基 于APP应用的Portal认证装置所在设备的一种硬件结构图，除了图3所示的CPU、内存以及 非易失性存储器之外，实施例中装置所在的设备通常还可以包括其他硬件。
[0070] 参见图4,为本发明基于APP应用的Portal认证装置的实施例框图，该实施例可以 应用在接入设备上。
[0071] 请参图4所示，本发明同时提供一种基于APP应用的Portal认证装置，该方法应 用在接入设备上，该装置包括：
[0072] 判断单元510,用于当接收用户终端向APP应用服务器发起的TCP三次握手连接请 求后，判断该连接请求是否已通过Portal认证或者在白名单内，若是，则通知转发单元530 进行后续处理，否则通知处理单元520进行后续处理；
[0073] 转发单元530,用于转发用户终端的TCP三次握手连接请求报文，使用户终端与 APP应用服务器建立TCP连接，以便用户终端在该APP应用中通过内嵌的Portal页面进行 认证；
[0074] 处理单元520，用于仿冒APP应用服务器与用户终端建立TCP连接；
[0075] 解析单元540,用于接收用户终端发送的Http的Get请求报文，解析该报文中的 URL，将APP应用服务器的IP地址加入到白名单内，并向用户终端返回RST报文，通知用户 终端重新进行TCP三次握手连接。
[0076] 进一步地，处理单元520在仿冒APP应用服务器的同时，进一步存储用户终端的识 别信息以及APP应用服务器的IP地址信息；
[0077] 解析单元540解析URL获取APP应用的域名信息后，通知判断单元510判断是否 需要将APP应用加入白名单内，如果是，则根据处理单元520保存的用户终端识别信息将所 述域名与APP应用服务器的IP地址关联，并将该APP应用服务器的IP地址加入白名单，而 后发送RST报文给用户终端。
[0078] 随后，用户终端收到RST报文后重新往对应IP地址的APP服务器发起三次握手， 由于该APP服务器的IP地址为白名单规则，因此接入设备直接放行，用户登录成功。进一 步地，用户登录成功后，在APP应用中打开Portal服务器的公众号，内嵌的Portal服务器 推出认证页面，用户终端通过输入用户名和密码认证后可正常访问互联网资源，即表示用 户终端可以正常上网了。
[0079] 本发明提出一种基于APP应用的Portal认证方法及其装置，通过安装在用户终端 的热门APP应用中内嵌Portal认证，从而利用在APP应用中推广公众号的形式，提高企业 竞争力，推广企业形象。
[0080] 以上结合附图实施例对本发明进行了详细说明，本领域中普通技术人员可根据上 述说明对本发明做出种种变化例。因而，实施例中的某些细节不应构成对本发明的限定，本 发明将以所附权利要求书界定的范围作为本发明的保护范围。
【权利要求】
1. 一种基于APP应用的Portal认证方法，应用于接入设备上，其特征在于，所述方法包 括： 接收用户终端向APP应用服务器发起的TCP三次握手连接请求，判断该连接请求是否 已通过Portal认证或者在白名单内，若是，则转发所述用户终端的TCP三次握手连接请求 报文，使所述用户终端与所述APP应用服务器建立TCP三次握手连接，以便所述用户终端在 该APP应用中通过内嵌的Portal页面进行认证；否则，仿冒所述APP应用服务器与所述用 户终端建立TCP三次握手连接； 接收所述用户终端发送的Http的Get请求报文，解析该报文中的URL，将所述APP应用 服务器的IP地址并将其加入到白名单内，向用户终端返回RST报文，通知用户终端向所述 APP应用服务器重新发起TCP三次握手连接请求。
2. 根据权利要求1所述的认证方法，其特征在于，在用户终端向APP应用服务器发起 TCP三次握手连接请求之前还包括： 所述用户终端向DNS服务器发起所述APP应用的DNS请求，获取该APP应用服务器的 IP地址。
3. 根据权利要求1所述的认证方法，其特征在于，用户终端向APP应用服务器发起的 TCP三次握手连接请求认证通过后，所述用户终端在APP应用中通过内嵌的Portal页面进 行认证的具体步骤包括： 所述用户终端在APP应用中打开Portal服务器的公众号，内嵌的Portal服务器推出 认证页面，所述APP用户终端通过认证后可正常访问互联网资源。
4. 根据权利要求3所述的认证方法，其特征在于，所述APP应用中的Portal服务器公 众号通过所述用户终端在第一次网页认证时，通过扫描网页中内嵌广告推广公众号以加入 到公众号中。
5. 根据权利要求1所述的认证方法，其特征在于，所述接入设备在仿冒所述APP应用服 务器的同时，存储用户终端的识别信息以及APP应用服务器的IP地址信息。
6. 根据权利要求5所述的认证方法，其特征在于，将所述APP应用服务器的IP地址加 入到白名单内，具体包括： 当所述用户终端发起Http的Get请求时，所述接入设备通过解析URL获取所述APP应 用的域名信息，并根据该域名判断是否需要将APP应用加入白名单内，如果是，则根据保存 的用户终端识别信息将所述域名与APP应用服务器的IP地址关联，进而将该APP应用服务 器的IP地址加入白名单，而后发送RST报文给所述用户终端。
7. -种基于APP应用的Portal认证装置，其特征在于，所述认证装置包括： 判断单元，用于当接收用户终端向APP应用服务器发起的TCP三次握手连接请求后，判 断该连接请求是否已通过Portal认证或者在白名单内，若是，则通知转发单元进行处理， 否则通知处理单元进行处理； 转发单元，用于接收到判断单元的通知后，转发用户终端的TCP三次握手连接请求报 文，使用户终端与APP应用服务器建立TCP连接，以便用户终端在该APP应用中通过内嵌的 Portal页面进行认证； 处理单元，用于接收到判断单元的通知后，仿冒APP应用服务器与用户终端建立TCP连 接； 解析单元，用于接收用户终端发送的Http的Get请求报文，解析该报文中的URL，将 APP应用服务器的IP地址加入到白名单内，并向用户终端返回RST报文，通知用户终端重新 进行TCP三次握手连接。
8. 根据权利要求7所述的认证装置，其特征在于，所述处理单元在仿冒APP应用服务器 的同时，进一步存储用户终端的识别信息以及APP应用服务器的IP地址信息。
9. 根据权利要求7所述的认证装置，其特征在于，所述解析单元解析URL获取所述APP 应用的域名信息后，通知判断单元判断是否需要将APP应用加入白名单内，如果是，则根据 处理单元保存的用户终端识别信息将所述域名与APP应用服务器的IP地址关联，并将该 APP应用服务器的IP地址加入白名单，而后发送RST报文给所述用户终端。
【文档编号】H04L29/06GK104158808SQ201410409718
【公开日】2014年11月19日 申请日期:2014年8月19日 优先权日:2014年8月19日
【发明者】徐勇刚 申请人:杭州华三通信技术有限公司