本发明涉及互联网上网认证安审领域,特别涉及一种对wifi接入上网实现安全审查的方法。
背景技术:
::众所周知,互联网是信息通信技术高速发展的结晶,它给我们的生活带来了质的飞跃,给我们的生活带来了不可磨灭的影响。互联网一个知识的宝库,给我们带来了崭新的学习方式、海量的科技信息;还让我们开拓视野,发展智力,增长知识,广交朋友,了解最新科学技术,在我们的学习和生活中发挥了特殊的作用。不过,许多事物都是一把"双刃剑",有利也有弊,网络当然亦不例外,若使用不当也可能给我们带来不良的影响。目前互联网存在电子讹诈、网上走私、网上非法交易、电子色情服务、虚假广告、网上洗钱、网上诈骗、电子盗窃、网上毁损商誉、在线侮辱、毁谤、网上侵犯商业秘密、网上组织邪教组织、在线间谍、网上刺探、提供国家机密等犯罪行为。网络犯罪具有智能性、隐蔽性、复杂性、匿名性,使得辨认、取证难度非常大。为了改善网络环境,近期,我国立法推行网络实名制,要求网络服务提供者为用户办理固定电话、移动终端等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议时,要求用户提供真实身份信息。目前所有对网民的实名制,仅仅局限在身份验证上,无法对用户的访问内容进行安全审查。技术实现要素:本发明的主要目的是提供一种对wifi接入上网实现安全审查的方法,对终端用户的上下线及上网日志信息进行审计。本发明提出一种对wifi接入上网实现安全审查的方法,包括步骤:1)对网络服务提供者进行PORTAL页面认证系统、安审插件的安装;2)认证前终端用户打开浏览器访问互联网,设备将终端用户http请求定向到合作商平台商客版Portal页面,进行实名认证;终端用户在合作商平台Portal页面输入账号密码点击登录,合作商WiF平台商客版调用iWiFi平台的接口与设备对接,完成认证;3)终端用户在完成验证或者离开上网场所时,设备往安审插件发送消息,通知安审插件开始对终端用户上网行为进行审计,审计的内容包括用户上下线、上网日志信息。优选地,当上网终端认证通过设备上网,在用户认证通过之后,通过UDPSOCKET往设备的特定端口发送一条上线信息给审计插件的审计程序,审计程序将获取的上线信息上报给后台,并且开始审计;当上网终端离线时,通过UDP往设备的特定端口发送一条下线信息给审计程序,审计程序将获取的下线记录上报给后台。比如:该特定端口为8000端口。优选地,所述的上线信息和下线信息的数据格式为:数据类型#上网设备mac#源外网起始端口#源外网终止端口,通过数据类型字段标识是上线还是下线,比如:上线为100,下线为101。优选地,所述的上线信息需包含有源外网起始端口和源外网终止端口。优选地,所述安审插件具有用于采集周边全信道(1~13)WIFI设备的MAC地址,采集后将数据按如下格式通过UDPSOCKET往设备的特定端口发送给审计程序的探针功能;格式如下:102#MAC地址数量#MAC地址\t终端品牌\t终端历史SSID列表\t采集时间\t被采集终端场强\tX坐标\tY坐标\t是否AP。本发明的有益效果为:本发明在不改变原有WIFI网络架构的情况下,即可实现对上网用户进行实名认证,认证前终端用户打开浏览器访问互联网,设备将终端用户http请求定向到合作商平台商客版Portal页面;终端用户在合作商平台Portal页面输入账号密码点击登录,合作商WiF平台商客版调用iWiFi平台的接口与设备对接,完成认证;终端用户在完成验证或者离开上网场所时设备需要往安审插件发送消息,通知安审插件开始对终端用户上网行为进行审计,审计的内容包括用户上下线、上网日志等信息,符合公安监管部门的政策要求。附图说明图1为本发明的对wifi接入上网实现安全审查的方法的结构示意图;图2为本发明的采集到的周边全信道(1~13)WIFI设备的MAC地址的数据格式中各数据项的含义说明图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。参照图1,提出本发明的一实施例:一种对wifi接入上网实现安全审查的方法,包括步骤:1)对网络服务提供者进行PORTAL页面认证系统、安审插件的安装;2)认证前终端用户打开浏览器访问互联网,设备将终端用户http请求定向到合作商平台商客版Portal页面,进行实名认证;终端用户在合作商平台Portal页面输入账号密码点击登录,合作商WiF平台商客版调用iWiFi平台的接口与设备对接,完成认证;3)终端用户在完成验证或者离开上网场所时,设备往安审插件发送消息,通知安审插件开始对终端用户上网行为进行审计,审计的内容包括用户上下线、上网日志信息。当上网终端认证通过设备上网,在用户认证通过之后,通过UDPSOCKET往设备的8000端口发送一条上线信息给审计插件的审计程序,审计程序将获取的上线信息上报给后台,并且开始审计。当上网终端离线时,通过UDP往设备的8000端口发送一条下线信息给审计程序,审计程序将获取的下线记录上报给后台。所述的上线信息和下线信息的数据格式为:数据类型#上网设备mac#源外网起始端口#源外网终止端口。通过数据类型字段标识是上线还是下线,上线为100,下线为101。所述的上线信息需包含有源外网起始端口和源外网终止端口,下线信息不需要此类信息。例如:起始端口和终止端口的端口范围为2000(在此以2000为例,依据预测的上网者数量可调整范围,多时缩小范围,少时增大范围)。假设第一个上网终端的源外网端口范围10000到12000,第二个上网终端12001到14000,第三个为14001到16000,之后的上网终端以此类推。示例:上线信息为100#11-22-33-44-55-66#10000#12000说明:需要在上网终端认证通过之后才发送此类信息。100:为数据标识,代表此信息是上线信息。11-22-33-44-55-66:为上网终端的mac。10000:为设备给这个上网终端分配的源外网起始端口号。12000:为设备给这个上网终端分配的源外网起始端口号。下线信息为101#11-22-33-44-55-66说明:需要在上网终端离线之后才发送此类信息。100:为数据标识,代表此信息是上线信息。11-22-33-44-55-66:为上网终端的mac。源外网端口说明:每个上网终端的分配若干个源外网端口,下面以将某个终端分配2000个源外网端口为例。设置源外网端口的iptables命令:命令格式:iptables-tnat-IPOSTROUTING-s(上网终端的Ip)-p(tcp/udp)-o(wan口网卡名称)-jSNAT--to(wan口的Ip):(起始端口)-(终止端口)示例,TCP1800个,UDP200个:tcp:iptables-tnat-IPOSTROUTING-s192.168.189.100-ptcp-oeth0.2-jSNAT--to192.168.1.4:10000-11800udp:iptables-tnat-IPOSTROUTING-s192.168.189.100-pudp-oeth0.2-jSNAT--to192.168.1.4:11801-12000当终端下线时需要执行如下命令将分配的端口号删除,用于之后分配。iptables-tnat-DPOSTROUTING-s192.168.189.100-ptcp-oeth0.2-jSNAT--to192.168.1.4:10000-11800iptables-tnat-DPOSTROUTING-s192.168.189.100-pudp-oeth0.2-jSNAT--to192.168.1.4:11801-12000所述安审插件具有用于采集周边全信道(1~13)WIFI设备的MAC地址,采集后将数据按如下格式通过UDPSOCKET往设备的8000端口发送给审计程序的探针功能。该格式如下:102#MAC地址数量#MAC地址\t终端品牌\t终端历史SSID列表\t采集时间\t被采集终端场强\tX坐标\tY坐标\t是否AP。说明:102为命令字,”MAC地址数量”表示本次传输的MAC数据总量,”#”后面的内容为MAC数据,每个数据项使用\t隔开,多条MAC地址数据使用\n隔开。例如:102#2#00-30-4C-3B-8D-1F\tHUAWEI\tTPLINK-8189,WIRSSID\t1480498069\t56\t10\t8\tN\n01-30-4C-3B-8D-1F\tAPPLE\tTPLINK-8189\t1480498069\t76\t\t\tY发送频率:每秒钟发送一次,如果一秒钟内收到多条相同的MAC地址数据,发送最先收到的那条数据。数据格式中各数据项的含义如图2所示。本发明在不改变原有WIFI网络架构的情况下,即可实现对上网用户进行实名认证,认证前终端用户打开浏览器访问互联网,设备将终端用户http请求定向到合作商平台商客版Portal页面;终端用户在合作商平台Portal页面输入账号密码点击登录,合作商WiF平台商客版调用iWiFi平台的接口与设备对接,完成认证;终端用户在完成验证或者离开上网场所时设备需要往安审插件发送消息,通知安审插件开始对终端用户上网行为进行审计,审计的内容包括用户上下线、上网日志等信息,符合公安监管部门的政策要求。以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构变换,或直接或间接运用在其他相关的
技术领域:
:,均同理包括在本发明的专利保护范围内。当前第1页1 2 3 当前第1页1 2 3