本發(fā)明屬于無線網(wǎng)絡的portal認證技術領域，尤其涉及一種portal認證的方法及系統(tǒng)。

背景技術：

隨著互聯(lián)網(wǎng)和無線網(wǎng)絡的發(fā)展，越來越多的人使用無線WIFI接入網(wǎng)絡。在一些公共場所都能看到免費商業(yè)wifi接入的身影。這些公共的商業(yè)wifi基本上都是采用頁面portal認證的方式進行無線開放式接入。用戶接入無線網(wǎng)絡并不需要密碼，可以直接接入，接入之后訪問頁面會彈出portal的認證頁面，只要用戶按要求認證即可訪問網(wǎng)絡。當通過認證的用戶，在不同的商業(yè)WIFI設備之間發(fā)生漫游的時候，并不需要進行重新認證。系統(tǒng)會根據(jù)用戶的MAC或IP地址查詢用戶是否已認證，如果為已認證用戶，則不需要再次認證。由于無線接入采用的都是非加密的方式，用戶的MAC和IP地址是很容易泄露的。非法用戶得到合法用戶的MAC或IP地址之后，可以通過偽造MAC或IP的方式，通過portal認證無感知漫游認證的漏洞，以偽造的身份接入并訪問網(wǎng)絡，從而造成巨大的安全隱患。

已有的方案是通過截獲用戶的MAC、IP和DHCP指紋信息上報認證服務器，并進行綁定使用。啟動DHCP指紋包括生產(chǎn)廠商、設備類型、操作系統(tǒng)信息。當一個已認證的MAC和IP的用戶重新接入系統(tǒng)時，需要同時查詢DHCP指紋信息是否匹配，否則將禁止新接入用戶使用網(wǎng)絡。但是該方案存在兩個明顯的缺陷：第一，DHCP指紋需要在WIFI設備上截獲之后上報服務器，流程相對復雜，增加了WIFI設備的負擔；第二，生產(chǎn)廠商、設備類型、操作系統(tǒng)并不是以直觀的方式攜帶在DHCP報文中，往往需要去查詢數(shù)據(jù)庫的經(jīng)驗數(shù)據(jù)才能得出。比如：通過查詢option 55的經(jīng)驗數(shù)據(jù)來判斷終端的類型、生產(chǎn)廠家等信息。并且由于是經(jīng)驗數(shù)據(jù)，查詢出來的結(jié)果也不是百分百準確。

如公開號為CN103209411A的中國發(fā)明專利所公開的一種無線網(wǎng)絡防假冒接入的方法，包括如下步驟：接收無線終端發(fā)送的無線幀；判斷所述無線幀是數(shù)據(jù)幀還是管理幀；所述數(shù)據(jù)幀包含數(shù)據(jù)內(nèi)容，所述管理幀用于建立無線連接；若所述無線幀是數(shù)據(jù)幀，則根據(jù)通信記錄判斷所述數(shù)據(jù)幀的合法性；若所述無線幀是管理幀，則根據(jù)管理幀中包含的與管理事件對應的內(nèi)容是否合法來判斷管理幀的合法性；當所述數(shù)據(jù)幀或管理幀均不合法時，則將所接收到的無線幀丟棄，否則對所述無線幀進行相應的處理。該發(fā)明的技術方案建立在幀的管理上，其方法復雜，同時相對漏洞也較多，不適用于商業(yè)WIFI。

技術實現(xiàn)要素：

針對現(xiàn)有技術的不足之處，本發(fā)明提供了一種portal認證的方法及系統(tǒng)，本發(fā)明通過portal認證服務器將該終端的MAC、IP、設備類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息進行認證綁定以防止他人使用黑客設備偽造身份接入并訪問網(wǎng)絡。

本發(fā)明的技術方案如下：

一種portal認證的方法，包括以下步驟：

步驟一，當終端向接入設備發(fā)送頁面訪問請求時，所述接入設備向所述終端發(fā)送重定向報文；

步驟二，所述終端向Portal服務器發(fā)送帶有所述終端的設備固件信息的頁面訪問請求，所述Portal服務器解析并保存所述終端的MAC、IP以及所述設備固件信息；

步驟三，所述Portal服務器向所述終端推送portal認證頁面，當所述終端認證通過后，所述Portal服務器將所述終端的MAC、IP與所述設備固件信息進行綁定形成確認信息。

作為本發(fā)明的優(yōu)選，所述的設備固件信息為設備類型信息、設備型號信息、操作系統(tǒng)信息、操作系統(tǒng)版本信息和制造商信息的一種或多種。

作為本發(fā)明的優(yōu)選，所述的認證信息為登錄賬戶或社交軟件賬戶。

作為本發(fā)明的優(yōu)選，所述的設備固件信息包含于所述頁面訪問請求的User-Agent字段中。

作為本發(fā)明的優(yōu)選，當所述終端重新接入網(wǎng)絡時，所述Portal服務器將所述終端發(fā)出的頁面訪問請求中的設備固件信息與所述確認信息進行匹配。

作為本發(fā)明的優(yōu)選，當匹配一致時所述終端與所述接入設備連接成功；當匹配不一致時進行所述步驟二至所述步驟三重新認證。

作為本發(fā)明的優(yōu)選，當匹配一致時所述終端與所述接入設備連接成功；當匹配不一致時限制使用該所述認證信息的終端與所述接入設備連接。

本發(fā)明的技術方案還提供一種portal認證防假冒用戶認證的系統(tǒng)，至少包括Portal服務器和接入設備；

所述的Portal服務器用于接收來自終端發(fā)送的帶有所述終端的設備固件信息的頁面訪問請求以及認證信息，并將從所述頁面訪問請求中獲取的所述終端的MAC、IP與所述設備固件信息進行綁定形成確認信息；

所述的接入設備，用于在接收到來自所述終端的HTTP請求后，向所述終端發(fā)送重定向報文，將所述終端重定向至所述Portal服務器。

作為本發(fā)明的優(yōu)選，所述Portal服務器包括頁面導入模塊、文件導入模塊、認證綁定模塊；

所述的接入設備包括網(wǎng)址重定向模塊、請求接收模塊、報文生成模塊；

所述的終端包括請求發(fā)送模塊、認證發(fā)送模塊。

作為本發(fā)明的優(yōu)選，所述的認證發(fā)送模塊向所述文件導入模塊發(fā)送頁面訪問請求，所述文件導入模塊導入信息包括所述終端的MAC、IP以及所述終端的類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息。

本發(fā)明具有以下優(yōu)點：

1、本發(fā)明的綁定方式的認證步驟可以保證了用戶上網(wǎng)權限的安全性。

2、本發(fā)明系統(tǒng)整體架構簡單，這樣保證了已認證合法用戶漫游認證的快速便捷。

附圖說明

圖1為本發(fā)明Portal認證的流程示意圖；

圖2為本發(fā)明Portal認證方法的第一種流程示意圖；

圖3為本發(fā)明Portal認證方法的第二種流程示意圖；

圖4為本發(fā)明的系統(tǒng)框圖。

圖中，1-Portal服務器；2-接入設備；3-終端；101-頁面導入模塊；102-文件導入模塊；103-認證綁定模塊；104-認證頁面推送模塊；201-網(wǎng)址重定向模塊；202-請求接收模塊；203-報文生成模塊；301-請求發(fā)送模塊；302-認證發(fā)送模塊。

具體實施方式

以下結(jié)合附圖對本發(fā)明優(yōu)選實施例作進一步詳細說明。

如圖1、圖2所示，本發(fā)明的第一種方法實施例包括以下步驟：

步驟一，當終端3向無線接入設備發(fā)送頁面訪問請求時，所述接入設備向所述終端3發(fā)送重定向報文；

步驟二，終端3向Portal服務器1發(fā)送帶有終端3的設備固件信息的頁面訪問請求，Portal服務器1解析并保存終端3的MAC、IP以及設備固件信息；

步驟三，所述Portal服務器1向所述終端3推送portal認證頁面，當所述終端3認證通過后，所述Portal服務器1將所述終端3的MAC、IP與所述設備固件信息進行綁定形成確認信息。

本實施例中接入設備2主要為商業(yè)wifi，終端3主要為移動智能設備，本實施主要運用在公共的商業(yè)wifi接入時的portal認證過程。

本實施例中設備固件信息為頁面訪問請求的http頭中User-Agent字段中提供的設備類型信息、設備型號信息、操作系統(tǒng)信息、操作系統(tǒng)版本信息和制造商信息，列如User-Agent字段顯示Mozilla/5.0(Linux；Android 4.0.3；U9200Build/HuaweiU9200)，其中Huawe表示制造商信息，iU9200表示設備信號，Android 4.0.3表示操作系統(tǒng)版本信息，Linux表示操作系統(tǒng)信息，所以在本實施例中使用User-Agent字段信息足可以確認終端3的詳細固件信息，而一般冒名者雖然能使用各種方式截獲或者破解認證信息的內(nèi)容，但是很難得知正常使用者在第一認證綁定時所使用的的設備的具體固件信息，同時由于冒名者在認證過程中必須要發(fā)送其自身的User-Agent字段信息，所以冒名者很難通過簡單的軟件方式替換設備固件信息中的內(nèi)容，除非冒名者使用相同的終端3進行認證，這樣無疑將安全性提升至了很高的高度。同時在具體實施時設備固件信息通常包括User-Agent字段的全部內(nèi)容，由Portal服務器1對設備類型信息、設備型號信息、操作系統(tǒng)信息、操作系統(tǒng)版本信息和制造商信息進行選取一種、多種或者全部也可以優(yōu)選為兩種以上信息的隨機抽選方式確認設備固件信息配合MAC、IP與認證信息進行綁定。優(yōu)選為兩種以上信息的隨機抽選方式確認設備固件信息時，系統(tǒng)會隨機從設備類型信息、設備型號信息、操作系統(tǒng)信息、操作系統(tǒng)版本信息和制造商信息中抽選兩個或兩個以上的信息作為設備固件信息進行綁定，當這樣無疑進一步提升冒名者冒名的難度，冒名者很難確定抽選的規(guī)律，這樣就無法使用軟件手段替換設備固件信息中的內(nèi)容，提升了本方法的安全性。

本實施例中認證信息為登錄賬戶或社交軟件賬戶，登錄賬戶由運用方設置的賬戶以及密碼構成，社交軟件賬戶為微信公共號、QQ號、微博號等社交軟件賬戶，其中列舉內(nèi)容并非全部或者特選，社交軟件賬戶還可以是與列舉內(nèi)容相同類型的其他軟件賬戶，例如mixi賬戶、fb賬戶、line賬戶等。這樣的多認證方式的實施是為了配合當代社會社交軟件對人社會生活的大規(guī)模滲透的現(xiàn)狀，這樣用戶在使用過程中無需復雜的操作即可完成認證。

本實施例Portal認證后再次接入的認證方法的第一種實施例中當終端3已經(jīng)通過一次認證并且Portal服務器1已經(jīng)綁定了相關信息后，當終端3重新接入網(wǎng)絡時，Portal服務器1將終端3發(fā)出的頁面訪問請求中的設備固件信息與確認信息進行匹配。即Portal服務器1會將其MAC、IP與綁定的設備類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息進行匹配，確認是否一致。當匹配一致時終端3與接入設備2連接成功；當匹配不一致時進行步驟二至步驟三重新認證。

本實施例Portal認證后再次接入的認證方法的第二種實施例中當終端3已經(jīng)通過一次認證并且Portal服務器1已經(jīng)綁定了相關信息后當終端3重新接入網(wǎng)絡時，Portal服務器1將終端3發(fā)出的頁面訪問請求中的設備固件信息與確認信息進行匹配。即Portal服務器1會將其MAC、IP與綁定的設備類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息進行匹配，確認是否一致。當匹配一致時終端3與接入設備2連接成功；當匹配不一致時限制使用該認證信息的終端3與接入設備2連接。限制連接后解除方式擁有多種實施方式，主要為以下幾種：第一，對于該認證信息所對應的當前設備進行限制，運營方進行重新定義解除限制；第二，僅限制連接一段時間，時間到后自動解除限制。

如圖3所示，本發(fā)明實施例的第二實施方式為第一種實施方式的具體擴展，使得第一種實施方式中的一些細節(jié)實施步驟得以明確，具體包括以下步驟：

步驟一：終端3接入接入設備2，此時由于終端3沒有通過認證，故終端3的上網(wǎng)權限受限，此時終端3訪問HTTP網(wǎng)頁時，商業(yè)接入設備2監(jiān)聽其http80端口的報文；

步驟二：接入設備2向終端3發(fā)送重定向報文，并攜帶終端3的MAC和IP地址，讓用戶去訪問portal服務器1的頁面；

步驟三：終端3向portal服務器1發(fā)送頁面訪問請求，其中攜帶終端3的MAC和IP地址信息。portal服務器1收到終端3的頁面訪問請求之后，解析出終端3的MAC、IP和http報文中攜帶的設備類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息，并做保存。

步驟四：portal服務器1向終端3推送portal認證頁面；

步驟五：終端3輸入認證信息完成portal認證。終端3認證成功之后，portal服務器1將終端3的MAC、IP、設備類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息進行認證綁定。

步驟六：portal認證完成之后，終端3就可以通過接入設備2正常訪問網(wǎng)絡了。

在本實施例中認證信息同樣為登錄賬戶或社交軟件賬戶，具體包含內(nèi)容也均相同。

在本實施例中終端3的頁面訪問請求與第一種實施例中頁面訪問請求中關于設備類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息的來源相同，均來自User-Agent字段。同時進一步本實施例中終端3的頁面訪問請求與第一種實施例中頁面訪問請求可以是完全相同的信息構成。

在本實施例Portal認證后再次接入的認證方法同樣具有兩種實施例，既是當終端3已經(jīng)通過一次認證并且Portal服務器1已經(jīng)綁定了相關信息后，終端3重新與接入設備2進行連接時，Portal服務器1將終端3的MAC、IP以及設備固件信息與具有相同認證信息的確認信息進行匹配。當匹配一致時終端3與接入設備2連接成功；當匹配不一致時可以進行步驟二至步驟五重新認證或者限制使用該認證信息的終端3與接入設備2連接。

如圖4所示，本發(fā)明的系統(tǒng)實施例包括Portal服務器、接入設備2、終端3；

Portal服務器1用于接收來自終端3發(fā)送的帶有終端3的設備固件信息的頁面訪問請求以及認證信息，并將從頁面訪問請求中獲取的終端3的MAC、IP以及設備固件信息與認證信息進行綁定形成確認信息；

接入設備2，用于在接收到來自終端3的HTTP請求后，向終端3發(fā)送重定向報文，將終端3重定向至Portal服務器1；

終端3用于發(fā)起連接請求以及發(fā)送頁面訪問請求或者頁面訪問請求。

Portal服務器1包括用于接收頁面訪問請求或者頁面訪問請求的頁面導入模塊101、用于將User-Agent字段中提供的設備類型信息、設備型號信息、操作系統(tǒng)信息、操作系統(tǒng)版本信息和制造商信息導入的文件導入模塊102、用于將認證信息與終端3的MAC、IP、設備類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息進行認證綁定的認證綁定模塊103以及用于推送認證頁面給終端3的認證頁面推送模塊104，頁面導入模塊101與文件導入模塊102連接，文件導入模塊102與認證綁定模塊103連接；

接入設備2既是方法實施例中的接入設備2的具體實施方式，其包括用于讓用戶去訪問portal服務器1的頁面的網(wǎng)址重定向模塊201、用于接收終端3的連接請求的請求接收模塊202、用于生成重定向報文的報文生成模塊203，請求接收模塊202與重定向模塊201連接，重定向模塊201與報文生成模塊203連接；

終端3包括請求發(fā)送模塊301、認證發(fā)送模塊302。認證發(fā)送模塊302向文件導入模塊102發(fā)送頁面訪問請求，文件導入模塊102導入信息包括終端3的MAC、IP以及終端3的類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息。

本實施例中請求發(fā)送模塊301向請求接收模塊202發(fā)送接入請求，網(wǎng)址重定向模塊201決定終端3需要訪問的Portal服務器1并由報文生成模塊203生成重定向報文使用戶去訪問portal服務器1的頁面，頁面導入模塊101將頁面訪問請求或者頁面訪問請求的頁面導入，并且由文件導入模塊102將User-Agent字段中提供的設備類型信息、設備型號信息、操作系統(tǒng)信息、操作系統(tǒng)版本信息和制造商信息導入，認證頁面推送模塊104將認證頁面推送給終端3，認證發(fā)送模塊302將認證信息返回給portal服務器1，由認證綁定模塊103將終端3的MAC、IP、設備類型、型號、操作系統(tǒng)類型、操作系統(tǒng)版本和制造商信息進行認證綁定，完成認證。

上面所述的實施例僅是對本發(fā)明的優(yōu)選實施方式進行描述，并非對本發(fā)明的構思和范圍進行限定。在不脫離本發(fā)明設計構思的前提下，本領域普通人員對本發(fā)明的技術方案做出的各種變型和改進，均應落入到本發(fā)明的保護范圍，本發(fā)明請求保護的技術內(nèi)容，已經(jīng)全部記載在權利要求書中。