一种portal认证的方法及系统与流程

本发明属于无线网络的portal认证技术领域，尤其涉及一种portal认证的方法及系统。

背景技术：

随着互联网和无线网络的发展，越来越多的人使用无线WIFI接入网络。在一些公共场所都能看到免费商业wifi接入的身影。这些公共的商业wifi基本上都是采用页面portal认证的方式进行无线开放式接入。用户接入无线网络并不需要密码，可以直接接入，接入之后访问页面会弹出portal的认证页面，只要用户按要求认证即可访问网络。当通过认证的用户，在不同的商业WIFI设备之间发生漫游的时候，并不需要进行重新认证。系统会根据用户的MAC或IP地址查询用户是否已认证，如果为已认证用户，则不需要再次认证。由于无线接入采用的都是非加密的方式，用户的MAC和IP地址是很容易泄露的。非法用户得到合法用户的MAC或IP地址之后，可以通过伪造MAC或IP的方式，通过portal认证无感知漫游认证的漏洞，以伪造的身份接入并访问网络，从而造成巨大的安全隐患。

已有的方案是通过截获用户的MAC、IP和DHCP指纹信息上报认证服务器，并进行绑定使用。启动DHCP指纹包括生产厂商、设备类型、操作系统信息。当一个已认证的MAC和IP的用户重新接入系统时，需要同时查询DHCP指纹信息是否匹配，否则将禁止新接入用户使用网络。但是该方案存在两个明显的缺陷：第一，DHCP指纹需要在WIFI设备上截获之后上报服务器，流程相对复杂，增加了WIFI设备的负担；第二，生产厂商、设备类型、操作系统并不是以直观的方式携带在DHCP报文中，往往需要去查询数据库的经验数据才能得出。比如：通过查询option 55的经验数据来判断终端的类型、生产厂家等信息。并且由于是经验数据，查询出来的结果也不是百分百准确。

如公开号为CN103209411A的中国发明专利所公开的一种无线网络防假冒接入的方法，包括如下步骤：接收无线终端发送的无线帧；判断所述无线帧是数据帧还是管理帧；所述数据帧包含数据内容，所述管理帧用于建立无线连接；若所述无线帧是数据帧，则根据通信记录判断所述数据帧的合法性；若所述无线帧是管理帧，则根据管理帧中包含的与管理事件对应的内容是否合法来判断管理帧的合法性；当所述数据帧或管理帧均不合法时，则将所接收到的无线帧丢弃，否则对所述无线帧进行相应的处理。该发明的技术方案建立在帧的管理上，其方法复杂，同时相对漏洞也较多，不适用于商业WIFI。

技术实现要素：

针对现有技术的不足之处，本发明提供了一种portal认证的方法及系统，本发明通过portal认证服务器将该终端的MAC、IP、设备类型、型号、操作系统类型、操作系统版本和制造商信息进行认证绑定以防止他人使用黑客设备伪造身份接入并访问网络。

本发明的技术方案如下：

一种portal认证的方法，包括以下步骤：

步骤一，当终端向接入设备发送页面访问请求时，所述接入设备向所述终端发送重定向报文；

步骤二，所述终端向Portal服务器发送带有所述终端的设备固件信息的页面访问请求，所述Portal服务器解析并保存所述终端的MAC、IP以及所述设备固件信息；

步骤三，所述Portal服务器向所述终端推送portal认证页面，当所述终端认证通过后，所述Portal服务器将所述终端的MAC、IP与所述设备固件信息进行绑定形成确认信息。

作为本发明的优选，所述的设备固件信息为设备类型信息、设备型号信息、操作系统信息、操作系统版本信息和制造商信息的一种或多种。

作为本发明的优选，所述的认证信息为登录账户或社交软件账户。

作为本发明的优选，所述的设备固件信息包含于所述页面访问请求的User-Agent字段中。

作为本发明的优选，当所述终端重新接入网络时，所述Portal服务器将所述终端发出的页面访问请求中的设备固件信息与所述确认信息进行匹配。

作为本发明的优选，当匹配一致时所述终端与所述接入设备连接成功；当匹配不一致时进行所述步骤二至所述步骤三重新认证。

作为本发明的优选，当匹配一致时所述终端与所述接入设备连接成功；当匹配不一致时限制使用该所述认证信息的终端与所述接入设备连接。

本发明的技术方案还提供一种portal认证防假冒用户认证的系统，至少包括Portal服务器和接入设备；

所述的Portal服务器用于接收来自终端发送的带有所述终端的设备固件信息的页面访问请求以及认证信息，并将从所述页面访问请求中获取的所述终端的MAC、IP与所述设备固件信息进行绑定形成确认信息；

所述的接入设备，用于在接收到来自所述终端的HTTP请求后，向所述终端发送重定向报文，将所述终端重定向至所述Portal服务器。

作为本发明的优选，所述Portal服务器包括页面导入模块、文件导入模块、认证绑定模块；

所述的接入设备包括网址重定向模块、请求接收模块、报文生成模块；

所述的终端包括请求发送模块、认证发送模块。

作为本发明的优选，所述的认证发送模块向所述文件导入模块发送页面访问请求，所述文件导入模块导入信息包括所述终端的MAC、IP以及所述终端的类型、型号、操作系统类型、操作系统版本和制造商信息。

本发明具有以下优点：

1、本发明的绑定方式的认证步骤可以保证了用户上网权限的安全性。

2、本发明系统整体架构简单，这样保证了已认证合法用户漫游认证的快速便捷。

附图说明

图1为本发明Portal认证的流程示意图；

图2为本发明Portal认证方法的第一种流程示意图；

图3为本发明Portal认证方法的第二种流程示意图；

图4为本发明的系统框图。

图中，1-Portal服务器；2-接入设备；3-终端；101-页面导入模块；102-文件导入模块；103-认证绑定模块；104-认证页面推送模块；201-网址重定向模块；202-请求接收模块；203-报文生成模块；301-请求发送模块；302-认证发送模块。

具体实施方式

以下结合附图对本发明优选实施例作进一步详细说明。

如图1、图2所示，本发明的第一种方法实施例包括以下步骤：

步骤一，当终端3向无线接入设备发送页面访问请求时，所述接入设备向所述终端3发送重定向报文；

步骤二，终端3向Portal服务器1发送带有终端3的设备固件信息的页面访问请求，Portal服务器1解析并保存终端3的MAC、IP以及设备固件信息；

步骤三，所述Portal服务器1向所述终端3推送portal认证页面，当所述终端3认证通过后，所述Portal服务器1将所述终端3的MAC、IP与所述设备固件信息进行绑定形成确认信息。

本实施例中接入设备2主要为商业wifi，终端3主要为移动智能设备，本实施主要运用在公共的商业wifi接入时的portal认证过程。

本实施例中设备固件信息为页面访问请求的http头中User-Agent字段中提供的设备类型信息、设备型号信息、操作系统信息、操作系统版本信息和制造商信息，列如User-Agent字段显示Mozilla/5.0(Linux；Android 4.0.3；U9200Build/HuaweiU9200)，其中Huawe表示制造商信息，iU9200表示设备信号，Android 4.0.3表示操作系统版本信息，Linux表示操作系统信息，所以在本实施例中使用User-Agent字段信息足可以确认终端3的详细固件信息，而一般冒名者虽然能使用各种方式截获或者破解认证信息的内容，但是很难得知正常使用者在第一认证绑定时所使用的的设备的具体固件信息，同时由于冒名者在认证过程中必须要发送其自身的User-Agent字段信息，所以冒名者很难通过简单的软件方式替换设备固件信息中的内容，除非冒名者使用相同的终端3进行认证，这样无疑将安全性提升至了很高的高度。同时在具体实施时设备固件信息通常包括User-Agent字段的全部内容，由Portal服务器1对设备类型信息、设备型号信息、操作系统信息、操作系统版本信息和制造商信息进行选取一种、多种或者全部也可以优选为两种以上信息的随机抽选方式确认设备固件信息配合MAC、IP与认证信息进行绑定。优选为两种以上信息的随机抽选方式确认设备固件信息时，系统会随机从设备类型信息、设备型号信息、操作系统信息、操作系统版本信息和制造商信息中抽选两个或两个以上的信息作为设备固件信息进行绑定，当这样无疑进一步提升冒名者冒名的难度，冒名者很难确定抽选的规律，这样就无法使用软件手段替换设备固件信息中的内容，提升了本方法的安全性。

本实施例中认证信息为登录账户或社交软件账户，登录账户由运用方设置的账户以及密码构成，社交软件账户为微信公共号、QQ号、微博号等社交软件账户，其中列举内容并非全部或者特选，社交软件账户还可以是与列举内容相同类型的其他软件账户，例如mixi账户、fb账户、line账户等。这样的多认证方式的实施是为了配合当代社会社交软件对人社会生活的大规模渗透的现状，这样用户在使用过程中无需复杂的操作即可完成认证。

本实施例Portal认证后再次接入的认证方法的第一种实施例中当终端3已经通过一次认证并且Portal服务器1已经绑定了相关信息后，当终端3重新接入网络时，Portal服务器1将终端3发出的页面访问请求中的设备固件信息与确认信息进行匹配。即Portal服务器1会将其MAC、IP与绑定的设备类型、型号、操作系统类型、操作系统版本和制造商信息进行匹配，确认是否一致。当匹配一致时终端3与接入设备2连接成功；当匹配不一致时进行步骤二至步骤三重新认证。

本实施例Portal认证后再次接入的认证方法的第二种实施例中当终端3已经通过一次认证并且Portal服务器1已经绑定了相关信息后当终端3重新接入网络时，Portal服务器1将终端3发出的页面访问请求中的设备固件信息与确认信息进行匹配。即Portal服务器1会将其MAC、IP与绑定的设备类型、型号、操作系统类型、操作系统版本和制造商信息进行匹配，确认是否一致。当匹配一致时终端3与接入设备2连接成功；当匹配不一致时限制使用该认证信息的终端3与接入设备2连接。限制连接后解除方式拥有多种实施方式，主要为以下几种：第一，对于该认证信息所对应的当前设备进行限制，运营方进行重新定义解除限制；第二，仅限制连接一段时间，时间到后自动解除限制。

如图3所示，本发明实施例的第二实施方式为第一种实施方式的具体扩展，使得第一种实施方式中的一些细节实施步骤得以明确，具体包括以下步骤：

步骤一：终端3接入接入设备2，此时由于终端3没有通过认证，故终端3的上网权限受限，此时终端3访问HTTP网页时，商业接入设备2监听其http80端口的报文；

步骤二：接入设备2向终端3发送重定向报文，并携带终端3的MAC和IP地址，让用户去访问portal服务器1的页面；

步骤三：终端3向portal服务器1发送页面访问请求，其中携带终端3的MAC和IP地址信息。portal服务器1收到终端3的页面访问请求之后，解析出终端3的MAC、IP和http报文中携带的设备类型、型号、操作系统类型、操作系统版本和制造商信息，并做保存。

步骤四：portal服务器1向终端3推送portal认证页面；

步骤五：终端3输入认证信息完成portal认证。终端3认证成功之后，portal服务器1将终端3的MAC、IP、设备类型、型号、操作系统类型、操作系统版本和制造商信息进行认证绑定。

步骤六：portal认证完成之后，终端3就可以通过接入设备2正常访问网络了。

在本实施例中认证信息同样为登录账户或社交软件账户，具体包含内容也均相同。

在本实施例中终端3的页面访问请求与第一种实施例中页面访问请求中关于设备类型、型号、操作系统类型、操作系统版本和制造商信息的来源相同，均来自User-Agent字段。同时进一步本实施例中终端3的页面访问请求与第一种实施例中页面访问请求可以是完全相同的信息构成。

在本实施例Portal认证后再次接入的认证方法同样具有两种实施例，既是当终端3已经通过一次认证并且Portal服务器1已经绑定了相关信息后，终端3重新与接入设备2进行连接时，Portal服务器1将终端3的MAC、IP以及设备固件信息与具有相同认证信息的确认信息进行匹配。当匹配一致时终端3与接入设备2连接成功；当匹配不一致时可以进行步骤二至步骤五重新认证或者限制使用该认证信息的终端3与接入设备2连接。

如图4所示，本发明的系统实施例包括Portal服务器、接入设备2、终端3；

Portal服务器1用于接收来自终端3发送的带有终端3的设备固件信息的页面访问请求以及认证信息，并将从页面访问请求中获取的终端3的MAC、IP以及设备固件信息与认证信息进行绑定形成确认信息；

接入设备2，用于在接收到来自终端3的HTTP请求后，向终端3发送重定向报文，将终端3重定向至Portal服务器1；

终端3用于发起连接请求以及发送页面访问请求或者页面访问请求。

Portal服务器1包括用于接收页面访问请求或者页面访问请求的页面导入模块101、用于将User-Agent字段中提供的设备类型信息、设备型号信息、操作系统信息、操作系统版本信息和制造商信息导入的文件导入模块102、用于将认证信息与终端3的MAC、IP、设备类型、型号、操作系统类型、操作系统版本和制造商信息进行认证绑定的认证绑定模块103以及用于推送认证页面给终端3的认证页面推送模块104，页面导入模块101与文件导入模块102连接，文件导入模块102与认证绑定模块103连接；

接入设备2既是方法实施例中的接入设备2的具体实施方式，其包括用于让用户去访问portal服务器1的页面的网址重定向模块201、用于接收终端3的连接请求的请求接收模块202、用于生成重定向报文的报文生成模块203，请求接收模块202与重定向模块201连接，重定向模块201与报文生成模块203连接；

终端3包括请求发送模块301、认证发送模块302。认证发送模块302向文件导入模块102发送页面访问请求，文件导入模块102导入信息包括终端3的MAC、IP以及终端3的类型、型号、操作系统类型、操作系统版本和制造商信息。

本实施例中请求发送模块301向请求接收模块202发送接入请求，网址重定向模块201决定终端3需要访问的Portal服务器1并由报文生成模块203生成重定向报文使用户去访问portal服务器1的页面，页面导入模块101将页面访问请求或者页面访问请求的页面导入，并且由文件导入模块102将User-Agent字段中提供的设备类型信息、设备型号信息、操作系统信息、操作系统版本信息和制造商信息导入，认证页面推送模块104将认证页面推送给终端3，认证发送模块302将认证信息返回给portal服务器1，由认证绑定模块103将终端3的MAC、IP、设备类型、型号、操作系统类型、操作系统版本和制造商信息进行认证绑定，完成认证。

上面所述的实施例仅是对本发明的优选实施方式进行描述，并非对本发明的构思和范围进行限定。在不脱离本发明设计构思的前提下，本领域普通人员对本发明的技术方案做出的各种变型和改进，均应落入到本发明的保护范围，本发明请求保护的技术内容，已经全部记载在权利要求书中。