CN105592038A - Portal认证方法及装置 - Google Patents

Portal认证方法及装置 Download PDF

Info

Publication number
CN105592038A
CN105592038A CN201510408963.XA CN201510408963A CN105592038A CN 105592038 A CN105592038 A CN 105592038A CN 201510408963 A CN201510408963 A CN 201510408963A CN 105592038 A CN105592038 A CN 105592038A
Authority
CN
China
Prior art keywords
message
portal
tcpsyn
address
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510408963.XA
Other languages
English (en)
Other versions
CN105592038B (zh
Inventor
吴文
肖梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201510408963.XA priority Critical patent/CN105592038B/zh
Publication of CN105592038A publication Critical patent/CN105592038A/zh
Application granted granted Critical
Publication of CN105592038B publication Critical patent/CN105592038B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching

Abstract

本申请公开了一种Portal认证方法及装置,其中,该方法包括:在接收到Portal客户端发来的TCP?SYN报文之后,判断本设备上是否存在与接收到的TCP?SYN报文中携带的Portal客户端的地址信息相同的地址信息;若不存在,则保存Portal客户端的地址信息并设置对应的保存时间,向Portal客户端返回TCP?SYN+ACK报文;若存在,则不向Portal客户端回应TCPSYN+ACK报文,模拟Portal客户端向Portal服务器发送TCP?SYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文。

Description

Portal认证方法及装置
技术领域
本申请涉及网络通信技术领域,特别涉及一种Portal认证方法及装置。
背景技术
Portal(入口)认证通常也称为Web(网页)认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。如图1所示,Portal网络中主要包括:Portal客户端、接入设备和Portal服务器。其中,接入设备可以是BRAS(BroadbandRemoteAccessServer,宽带接入服务器)。
在Portal网络中,连接外网(如互联网)的接入设备与Portal客户端、Portal服务器相连。接入设备的主要作用是对Portal客户端发起的访问外网的流量进行控制;Portal服务器的作用是接收Portal客户端的认证请求,并向Portal客户端提供Web认证页面以便用户在该Web认证页面中输入认证信息(用户名、密码等),对Portal客户端的认证信息进行认证。
在如图2所示的Portal网络中,采用直接认证方式的Portal认证过程如下:
步骤S102,当用户通过Web页面访问外网时,Portal客户端向接入设备发送TCP(TransferControlProtocol,传输控制协议)SYN(SynchronizeSequenceNumbers,同步序列编号)报文,其中,该TCPSYN报文的DPORT(目的端口)为80(HTTP(HyperTextTransferProtocol,超文本传输协议)端口),SMAC(源MAC(MediaAccessControl,媒体访问控制))地址是Portal客户端的MAC地址,SIP(源IP(InternetProtocol,因特网协议))地址是Portal客户端的IP地址,DIP(目的IP)地址是要访问的外网IP地址;
步骤S104,接入设备接收到该TCPSYN报文后,以要访问的外网IP地址作为SIP,向Portal客户端回应TCPSYN+ACK(Acknowledgement,确认)报文;
步骤S106,Portal客户端收到该TCPSYN+ACK报文后,回应TCPACK报文给接入设备,自此,Portal客户端与接入设备完成了TCP三次握手;
步骤S108,Portal客户端向接入设备发送HTTPGET(获取)请求报文,以获取Portal服务器的IP地址。
步骤S110,接入设备向Portal客户端回应携带有Portal服务器的IP地址的HTTP回应报文,随后Portal客户端和接入设备终止TCP连接;
步骤S112,Portal客户端收到该HTTP回应报文后,发送TCPSYN报文给Portal服务器,其中,该TCPSYN报文的DPORT为8080(服务器HTTP的处理端口),DIP为Portal服务器的IP地址;
步骤S114,Portal服务器收到该TCPSYN报文后,回应TCPSYN+ACK报文给Portal客户端;
步骤S116,Portal客户端收到该TCPSYN+ACK后,回应ACK报文给Portal服务器,自此,Portal客户端与Portal服务器也完成了TCP三次握手;
步骤S118,Portal客户端向Portal服务器发送HTTPGET请求报文,以请求Web认证页面;
步骤S120,Portal服务器收到该HTTPGET请求报文后,发送HTTP回应报文给Portal客户端,然后,提供Web认证页面供用户输入用户名和密码,Portal客户端将输入的用户名和密码传递给Portal服务器进行认证,若认证通过,则Portal客户端上线。
现有技术中,在Portal客户端下线后,接入设备就会删除本设备上的用户相关信息,例如,Portal客户端的MAC地址和IP地址,用户名和密码等,当用户再次上线时,会重新执行上述认证流程。但是,在实际应用中,Portal客户端在一段时间内是相对稳定的,这样,用户每次上线都要执行相同的认证流程,会增加网络设备的负担,降低用户访问外网的速度。
发明内容
有鉴于此,本申请提供了一种Portal认证方法及装置。
本申请的技术方案如下:
一方面,提供了一种Portal认证方法,应用于接入设备,该方法包括:
在接收到Portal客户端发来的用于请求访问外网的TCPSYN报文之后,判断本设备上是否存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息;
若不存在,则保存Portal客户端的地址信息并设置对应的保存时间,向Portal客户端返回TCPSYN+ACK报文;
若存在,则不向Portal客户端回应TCPSYN+ACK报文,模拟Portal客户端向Portal服务器发送TCPSYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;其中,发送的TCPSYN报文与接收到的TCPSYN报文的序列号相同;处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCPSYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文。
另一方面,还提供了一种Portal认证方法,应用于Portal客户端,该方法包括:
向接入设备发送用于请求访问外网的TCPSYN报文,其中,发送的TCPSYN报文中携带有Portal客户端的地址信息;
接收到接入设备发来的携带有处理标记的HTTP回应报文;
根据处理标记,不向Portal服务器发送TCPSYN报文,判断是否在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文;
若是,则向Portal服务器发送TCPACK报文。
又一方面,还提供了一种Portal认证装置,应用于接入设备中,该装置包括:
接收模块,用于接收Portal客户端发来的用于请求访问外网的TCPSYN报文;
判断模块,用于在接收模块接收到Portal客户端发来的TCPSYN报文之后,判断本设备上是否存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息;
保存模块,用于若判断模块判断出本设备上不存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则保存Portal客户端的地址信息并设置对应的保存时间;
发送模块,用于若判断模块判断出本设备上不存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则向Portal客户端返回TCPSYN+ACK报文;还用于若判断模块判断出本设备上存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则不向Portal客户端回应TCPSYN+ACK报文,模拟Portal客户端向Portal服务器发送TCPSYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;其中,发送的TCPSYN报文与接收到的TCPSYN报文的序列号相同;处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCPSYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文。
又一方面,还提供了一种Portal认证装置,应用于Portal客户端中,该装置包括:发送模块、接收模块和判断模块,
接收模块,用于接收接入设备发来的携带有处理标记的HTTP回应报文;还用于接收TCPSYN+ACK报文;
判断模块,用于根据接收模块接收到的HTTP回应报文中携带的处理标记,判断接收模块是否在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文;
发送模块,用于向接入设备发送用于请求访问外网的TCPSYN报文,其中,发送的TCPSYN报文中携带有Portal客户端的地址信息;还用于根据接收模块接收到的HTTP回应报文中携带的处理标记,不向Portal服务器发送TCPSYN报文;还用于若判断模块判断出接收模块在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文。
本申请的以上技术方案中,接入设备会将Portal客户端的地址信息保存一段时间,而不是Portal客户端下线后就删除,这样,当Portal客户端再次上线时,接入设备接收到Portal客户端发送的TCPSYN报文后,若判断出本设备上已经存在与该Portal客户端的地址信息相同的地址信息,则不再向Portal客户端回应TCPSYN+ACK报文,而是模拟Portal客户端向Portal服务器发送序列号与接收到的TCPSYN报文相同的TCPSYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;Portal服务器收到该TCPSYN报文后会以为是Portal客户端发来的,从而回应TCPSYN+ACK报文;Portal客户端接收到该携带有处理标记的HTTP回应报文后,不再向Portal服务器发送TCPSYN报文,并且,若在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文,从而完成了与Portal服务器的TCP三次握手,后续即可获取到Portal服务器的Web认证页面完成Portal认证过程。对于Portal客户端的地址信息在一段时间内相对稳定的情况,通过接入设备进行的一次TCPSYN报文欺骗,可以跳过PORTAL客户端与接入设备的TCP三次握手过程,节省了报文交互,缩短了认证过程所需时间,减轻了网络设备的负担,提升了用户访问外网的速度。
附图说明
图1是Portal网络的架构示意图;
图2是现有技术的采用直接认证方式的Portal认证过程的报文交互示意图;
图3是本申请实施例的Portal认证方法的报文交互示意图;
图4是本申请实施例的应用于接入设备的Portal认证装置的一种结构示意图;
图5是本申请实施例的应用于接入设备的Portal认证装置的另一种结构示意图;
图6是本申请实施例的应用于Portal客户端的Portal认证装置的结构示意图。
具体实施方式
为了解决现有技术中存在的网络设备的负担较重,用户访问外网的速度较低的问题,本申请以下实施例中提供了一种Portal认证方法以及一种可以应用该方法的装置。
如图3所示,本申请实施例的采用直接认证方式的Portal认证方法包括如下步骤:
步骤S202,Portal客户端向接入设备发送用于请求访问外网的TCPSYN报文,其中,该TCPSYN报文的DIP是要访问的外网IP地址,SMAC是Portal客户端的MAC地址,SIP是本设备的IP地址,DPORT是80(HTTP端口);
步骤S204,接入设备接收到该TCPSYN报文之后,判断本设备上是否存在与该TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息;若存在相同的地址信息,则不会向Portal客户端回应TCPSYN+ACK报文,而是模拟Portal客户端向Portal服务器发送TCPSYN报文,并且执行步骤S206;其中,发送的TCPSYN报文与所述接收到的TCPSYN报文的序列号相同;
若不存在相同的地址信息,则保存Portal客户端的地址信息并设置对应的保存时间,并按照现有技术向Portal客户端返回TCPSYN+ACK报文;此时,后续的认证过程可以参见步骤S104~步骤S120。其中,保存Portal客户端的地址信息并设置对应的保存时间的方式可以是将Portal客户端的地址信息保存到对应表项中,并计时,当对应的保存时间到达时,删除该地址信息。保存时间例如可以设置为24小时。另外,在接入设备上还可以设置表项数量上限,在保存一个地址信息时,可以先判断当前表项总数是否已经超过了表项数量上限,若没有超过,则保存该地址到对应表项中,若超过了,则不再保存地址信息。
其中,上述的地址信息包括:IP地址和MAC地址。
具体的,模拟Portal客户端向Portal服务器发送TCPSYN报文可以采用以下方式中的任一种:
方式一、对接收到的TCPSYN报文进行重封装后,发送给Portal服务器,其中,重封装包括:将目的IP地址修改为Portal服务器的IP地址,将目的端口号修改为Portal服务器处理HTTP报文的端口号,将源MAC地址修改为本设备的三层MAC地址,将目的MAC地址修改为Portal服务器处理HTTP报文的三层MAC地址;
方式二、构造一TCPSYN报文并发送给Portal服务器,其中,该TCPSYN报文的目的IP地址为Portal服务器的IP地址,目的端口号为Portal服务器处理HTTP报文的端口号,源MAC地址为本设备的三层MAC地址,目的MAC地址为Portal服务器处理HTTP报文的三层MAC地址,序列号与接收到的TCPSYN报文的序列号相同。
步骤S206,接入设备向Portal客户端发送携带有处理标记的HTTP回应报文,显然,该HTTP回应报文中还携带有Portal服务器的IP地址;
步骤S208,Portal服务器接收到该TCPSYN报文之后,回应TCPSYN+ACK报文,其中,该TCPSYN+ACK报文的DIP是Portal客户端的IP地址,SIP是Portal服务器的IP地址;此时,Portal服务器认为接收到的TCPSYN报文是Portal客户端发送的;
步骤S210,Portal客户端接收到该携带有处理标记的HTTP回应报文之后,根据该处理标记,不会向Portal服务器发送TCPSYN报文,而是启动定时器等待Portal服务器回应的TCPSYN+ACK报文,具体的,若在预定时间段内没有接收到TCPSYN+ACK报文,则返回步骤S202,若在预定时间段内接收到了TCPSYN+ACK报文,则判断接收到的TCPSYN+ACK报文的源IP地址与该HTTP回应报文中携带的Portal服务器的IP地址是否相同,若不相同,则丢弃接收到的TCPSYN+ACK报文并返回步骤S202,若相同,则判断接收到的TCPSYN+ACK报文与步骤S202中发送的TCPSYN报文的序列号是否相匹配,若不匹配,则丢弃接收到的TCPSYN+ACK报文并返回步骤S202,若匹配,则执行步骤S210;
步骤S210,Portal客户端向Portal服务器发送TCPACK报文;
通过步骤S202、步骤S204、步骤S208和步骤S210,Portal客户端与Portal服务器完成了TCP三次握手。
步骤S212,Portal客户端向Portal服务器发送HTTPGET请求报文,以请求Web认证页面;
步骤S214,Portal服务器收到该HTTPGET请求报文后,发送HTTP回应报文给Portal客户端,然后,提供Web认证页面供用户输入用户名和密码,Portal客户端将输入的用户名和密码传递给Portal服务器进行认证,若认证通过,则Portal客户端上线。
上述的步骤S212和步骤S214与现有技术中的步骤S118和步骤S120相同。
本申请上述实施例的方法中,接入设备会将Portal客户端的地址信息保存一段时间,而不是Portal客户端下线后就删除,这样,当Portal客户端再次上线时,接入设备接收到Portal客户端发送的TCPSYN报文后,若判断出本设备上已经存在与该Portal客户端的地址信息相同的地址信息,则不再向Portal客户端回应TCPSYN+ACK报文,而是模拟Portal客户端向Portal服务器发送序列号与接收到的TCPSYN报文相同的TCPSYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;Portal服务器收到该TCPSYN报文后会以为是Portal客户端发来的,从而回应TCPSYN+ACK报文;Portal客户端接收到该携带有处理标记的HTTP回应报文后,不再向Portal服务器发送TCPSYN报文,并且,若在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文,从而完成了与Portal服务器的TCP三次握手,后续即可获取到Portal服务器的Web认证页面完成Portal认证过程。对于Portal客户端的地址信息在一段时间内相对稳定的情况,通过接入设备进行的一次TCPSYN报文欺骗,可以跳过PORTAL客户端与接入设备的TCP三次握手过程,节省了报文交互,缩短了认证过程所需时间,减轻了网络设备的负担,提升了用户访问外网的速度。
针对上述实施例的方法,本申请实施例中还提供了一种可以应用该方法的装置。
如图4所示,应用于接入设备中的Portal认证装置中包括以下模块:接收模块301、判断模块302、保存模块303和发送模块304,其中:
接收模块301,用于接收Portal客户端发来的用于请求访问外网的TCPSYN报文;
判断模块302,用于在接收模块301接收到Portal客户端发来的TCPSYN报文之后,判断本设备上是否存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息;
保存模块303,用于若判断模块302判断出本设备上不存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则保存Portal客户端的地址信息并设置对应的保存时间;
发送模块304,用于若判断模块302判断出本设备上不存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则向Portal客户端返回TCPSYN+ACK报文;还用于若判断模块302判断出本设备上存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则不向Portal客户端回应TCPSYN+ACK报文,模拟Portal客户端向Portal服务器发送TCPSYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;其中,发送的TCPSYN报文与接收到的TCPSYN报文的序列号相同;处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCPSYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文。
其中,发送模块304中包括以下单元:处理单元和报文发送单元,其中:
处理单元,用于对接收到的TCPSYN报文进行重封装后发给报文发送单元,其中,重封装包括:将目的IP地址修改为Portal服务器的IP地址,将目的端口号修改为Portal服务器处理HTTP报文的端口号,将源MAC地址修改为本设备的三层MAC地址,将目的MAC地址修改为Portal服务器处理HTTP报文的三层MAC地址;或者,用于构造一TCPSYN报文并发给报文发送单元,其中,该TCPSYN报文的目的IP地址为Portal服务器的IP地址,目的端口号为Portal服务器处理HTTP报文的端口号,源MAC地址为本设备的三层MAC地址,目的MAC地址为Portal服务器处理HTTP报文的三层MAC地址,序列号与接收到的TCPSYN报文的序列号相同;
报文发送单元,用于将处理单元发来的TCPSYN报文发送给Portal服务器。
另外,如图5所示,该装置中还可以包括:删除模块305,用于当保存时间到达时,删除对应的地址信息。
如图6所示,应用于Portal客户端中的Portal认证装置中包括以下模块:发送模块401、接收模块402和判断模块403,其中:
接收模块402,用于接收接入设备发来的携带有处理标记的HTTP回应报文;还用于接收TCPSYN+ACK报文;
判断模块403,用于根据接收模块402接收到的HTTP回应报文中携带的处理标记,判断接收模块402是否在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文;
发送模块401,用于向接入设备发送用于请求访问外网的TCPSYN报文,其中,发送的TCPSYN报文中携带有Portal客户端的地址信息;还用于根据接收模块402接收到的HTTP回应报文中携带的处理标记,不向Portal服务器发送TCPSYN报文;还用于若判断模块403判断出接收模块402在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文。
其中,判断模块403中包括以下单元:第一判断单元、第二判断单元和确定单元,其中:
第一判断单元,用于若接收模块在预定时间段内接收到了TCPSYN+ACK报文,则判断接收到的TCPSYN+ACK报文的源IP地址与HTTP回应报文中携带的Portal服务器的IP地址是否相同;
第二判断单元,用于若第一判断单元的判断结果是相同,则判断接收到的TCPSYN+ACK报文的序列号与TCPSYN报文的序列号是否相匹配;
确定单元,用于若第二判断单元的判断结果是匹配,则确定在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文。
另外,发送模块401,还用于若判断模块403判断出接收模块402在预定时间段内没有接收到Portal服务器回应的TCPSYN+ACK报文,则重新向接入设备发送TCPSYN报文。
综上,本申请以上实施例可以达到以下技术效果:
接入设备会将Portal客户端的地址信息保存一段时间,而不是Portal客户端下线后就删除,这样,当Portal客户端再次上线时,接入设备接收到Portal客户端发送的TCPSYN报文后,若判断出本设备上已经存在与该Portal客户端的地址信息相同的地址信息,则不再向Portal客户端回应TCPSYN+ACK报文,而是模拟Portal客户端向Portal服务器发送序列号与接收到的TCPSYN报文相同的TCPSYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;Portal服务器收到该TCPSYN报文后会以为是Portal客户端发来的,从而回应TCPSYN+ACK报文;Portal客户端接收到该携带有处理标记的HTTP回应报文后,不再向Portal服务器发送TCPSYN报文,并且,若在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文,从而完成了与Portal服务器的TCP三次握手,后续即可获取到Portal服务器的Web认证页面完成Portal认证过程。对于Portal客户端的地址信息在一段时间内相对稳定的情况,通过接入设备进行的一次TCPSYN报文欺骗,可以跳过PORTAL客户端与接入设备的TCP三次握手过程,节省了报文交互,缩短了认证过程所需时间,减轻了网络设备的负担,提升了用户访问外网的速度。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (13)

1.一种入口Portal认证方法,应用于接入设备,其特征在于,所述方法包括:
在接收到Portal客户端发来的用于请求访问外网的传输控制协议同步序列编号TCPSYN报文之后,判断本设备上是否存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息;
若不存在,则保存所述Portal客户端的地址信息并设置对应的保存时间,向Portal客户端返回TCPSYN+确认ACK报文;
若存在,则不向Portal客户端回应TCPSYN+ACK报文,模拟Portal客户端向Portal服务器发送TCPSYN报文,并向Portal客户端发送携带有处理标记的超文本传输协议HTTP回应报文;其中,发送的TCPSYN报文与所述接收到的TCPSYN报文的序列号相同;所述处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCPSYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文。
2.根据权利要求1所述的方法,其特征在于,模拟Portal客户端向Portal服务器发送TCPSYN报文的方法包括:
对所述接收到的TCPSYN报文进行重封装后,发送给Portal服务器,其中,所述重封装包括:将目的IP地址修改为Portal服务器的IP地址,将目的端口号修改为Portal服务器处理HTTP报文的端口号,将源MAC地址修改为本设备的三层MAC地址,将目的MAC地址修改为Portal服务器处理HTTP报文的三层MAC地址;
或者,构造一TCPSYN报文并发送给Portal服务器,其中,该TCPSYN报文的目的IP地址为Portal服务器的IP地址,目的端口号为Portal服务器处理HTTP报文的端口号,源MAC地址为本设备的三层MAC地址,目的MAC地址为Portal服务器处理HTTP报文的三层MAC地址,序列号与所述接收到的TCPSYN报文的序列号相同。
3.根据权利要求1所述的方法,其特征在于,还包括:
当保存时间到达时,删除对应的地址信息。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述地址信息包括:媒体访问控制MAC地址和因特网协议IP地址。
5.一种入口Portal认证方法,应用于Portal客户端,其特征在于,所述方法包括:
向接入设备发送用于请求访问外网的传输控制协议同步序列编号TCPSYN报文,其中,发送的TCPSYN报文中携带有Portal客户端的地址信息;
接收到接入设备发来的携带有处理标记的超文本传输协议HTTP回应报文;
根据所述处理标记,不向Portal服务器发送TCPSYN报文,判断是否在预定时间段内接收到了Portal服务器回应的TCPSYN+确认ACK报文;
若是,则向Portal服务器发送TCPACK报文。
6.根据权利要求5所述的方法,其特征在于,判断在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文的方法包括:
若在预定时间段内接收到了TCPSYN+ACK报文,则判断接收到的TCPSYN+ACK报文的源因特网协议IP地址与所述HTTP回应报文中携带的Portal服务器的IP地址是否相同;
若相同,则判断所述接收到的TCPSYN+ACK报文的序列号与所述TCPSYN报文的序列号是否相匹配,若匹配,则确定在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文。
7.根据权利要求5所述的方法,其特征在于,还包括:
若在预定时间段内没有接收到Portal服务器回应的TCPSYN+ACK报文,则重新向接入设备发送所述TCPSYN报文。
8.一种入口Portal认证装置,应用于接入设备中,其特征在于,所述装置包括:
接收模块,用于接收Portal客户端发来的用于请求访问外网的传输控制协议同步序列编号TCPSYN报文;
判断模块,用于在所述接收模块接收到Portal客户端发来的TCPSYN报文之后,判断本设备上是否存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息;
保存模块,用于若所述判断模块判断出本设备上不存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则保存所述Portal客户端的地址信息并设置对应的保存时间;
发送模块,用于若所述判断模块判断出本设备上不存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则向Portal客户端返回TCPSYN+确认ACK报文;还用于若所述判断模块判断出本设备上存在与接收到的TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息,则不向Portal客户端回应TCPSYN+ACK报文,模拟Portal客户端向Portal服务器发送TCPSYN报文,并向Portal客户端发送携带有处理标记的超文本传输协议HTTP回应报文;其中,发送的TCPSYN报文与所述接收到的TCPSYN报文的序列号相同;所述处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCPSYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文。
9.根据权利要求8所述的装置,其特征在于,所述发送模块包括:
处理单元,用于对所述接收到的TCPSYN报文进行重封装后发给报文发送单元,其中,所述重封装包括:将目的IP地址修改为Portal服务器的IP地址,将目的端口号修改为Portal服务器处理HTTP报文的端口号,将源MAC地址修改为本设备的三层MAC地址,将目的MAC地址修改为Portal服务器处理HTTP报文的三层MAC地址;或者,用于构造一TCPSYN报文并发给所述报文发送单元,其中,该TCPSYN报文的目的IP地址为Portal服务器的IP地址,目的端口号为Portal服务器处理HTTP报文的端口号,源MAC地址为本设备的三层MAC地址,目的MAC地址为Portal服务器处理HTTP报文的三层MAC地址,序列号与所述接收到的TCPSYN报文的序列号相同;
所述报文发送单元,用于将所述处理单元发来的TCPSYN报文发送给Portal服务器。
10.根据权利要求8所述的装置,其特征在于,还包括:
删除模块,用于当保存时间到达时,删除对应的地址信息。
11.一种入口Portal认证装置,应用于Portal客户端中,其特征在于,所述装置包括:发送模块、接收模块和判断模块,其中:
接收模块,用于接收接入设备发来的携带有处理标记的超文本传输协议HTTP回应报文;还用于接收传输控制协议同步序列编号TCPSYN+确认ACK报文;
判断模块,用于根据所述接收模块接收到的HTTP回应报文中携带的处理标记,判断所述接收模块是否在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文;
发送模块,用于向接入设备发送用于请求访问外网的TCPSYN报文,其中,发送的TCPSYN报文中携带有Portal客户端的地址信息;还用于根据所述接收模块接收到的HTTP回应报文中携带的处理标记,不向Portal服务器发送TCPSYN报文;还用于若所述判断模块判断出所述接收模块在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文,则向Portal服务器发送TCPACK报文。
12.根据权利要求11所述的装置,其特征在于,所述判断模块包括:
第一判断单元,用于若所述接收模块在预定时间段内接收到了TCPSYN+ACK报文,则判断接收到的TCPSYN+ACK报文的源因特网协议IP地址与所述HTTP回应报文中携带的Portal服务器的IP地址是否相同;
第二判断单元,用于若所述第一判断单元的判断结果是相同,则判断所述接收到的TCPSYN+ACK报文的序列号与所述TCPSYN报文的序列号是否相匹配;
确定单元,用于若所述第二判断单元的判断结果是匹配,则确定在预定时间段内接收到了Portal服务器回应的TCPSYN+ACK报文。
13.根据权利要求11所述的装置,其特征在于,
所述发送模块,还用于若所述判断模块判断出所述接收模块在预定时间段内没有接收到Portal服务器回应的TCPSYN+ACK报文,则重新向接入设备发送所述TCPSYN报文。
CN201510408963.XA 2015-07-13 2015-07-13 Portal认证方法及装置 Active CN105592038B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510408963.XA CN105592038B (zh) 2015-07-13 2015-07-13 Portal认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510408963.XA CN105592038B (zh) 2015-07-13 2015-07-13 Portal认证方法及装置

Publications (2)

Publication Number Publication Date
CN105592038A true CN105592038A (zh) 2016-05-18
CN105592038B CN105592038B (zh) 2018-10-09

Family

ID=55931256

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510408963.XA Active CN105592038B (zh) 2015-07-13 2015-07-13 Portal认证方法及装置

Country Status (1)

Country Link
CN (1) CN105592038B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107342903A (zh) * 2017-07-18 2017-11-10 杭州敦崇科技股份有限公司 一种旁路认证和审计方法
CN107733931A (zh) * 2017-11-30 2018-02-23 新华三技术有限公司 入口认证方法、装置及入口服务器
CN109618004A (zh) * 2019-01-16 2019-04-12 新华三技术有限公司 一种报文转发方法及装置
CN111431871A (zh) * 2020-03-10 2020-07-17 杭州迪普科技股份有限公司 Tcp半透明代理的处理方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571356A (zh) * 2003-07-19 2005-01-26 华为技术有限公司 一种强制门户的实现方法
CN102573111A (zh) * 2012-01-10 2012-07-11 中兴通讯股份有限公司 传输控制协议资源的释放方法及装置
CN102594800A (zh) * 2012-01-11 2012-07-18 中兴通讯股份有限公司 Web认证服务器处理方法及装置
CN103533080A (zh) * 2013-10-25 2014-01-22 北京奇虎科技有限公司 用于lvs的服务器调度方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571356A (zh) * 2003-07-19 2005-01-26 华为技术有限公司 一种强制门户的实现方法
CN102573111A (zh) * 2012-01-10 2012-07-11 中兴通讯股份有限公司 传输控制协议资源的释放方法及装置
CN102594800A (zh) * 2012-01-11 2012-07-18 中兴通讯股份有限公司 Web认证服务器处理方法及装置
CN103533080A (zh) * 2013-10-25 2014-01-22 北京奇虎科技有限公司 用于lvs的服务器调度方法及装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107342903A (zh) * 2017-07-18 2017-11-10 杭州敦崇科技股份有限公司 一种旁路认证和审计方法
CN107733931A (zh) * 2017-11-30 2018-02-23 新华三技术有限公司 入口认证方法、装置及入口服务器
CN107733931B (zh) * 2017-11-30 2021-03-09 新华三技术有限公司 入口认证方法、装置及入口服务器
CN109618004A (zh) * 2019-01-16 2019-04-12 新华三技术有限公司 一种报文转发方法及装置
CN111431871A (zh) * 2020-03-10 2020-07-17 杭州迪普科技股份有限公司 Tcp半透明代理的处理方法和装置
CN111431871B (zh) * 2020-03-10 2022-11-25 杭州迪普科技股份有限公司 Tcp半透明代理的处理方法和装置

Also Published As

Publication number Publication date
CN105592038B (zh) 2018-10-09

Similar Documents

Publication Publication Date Title
CN104158808B (zh) 基于APP应用的Portal认证方法及其装置
CN102624729B (zh) 一种web认证的方法、装置及系统
EP3286893A1 (en) Secure transmission of a session identifier during service authentication
FI125972B (fi) Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi
KR101697320B1 (ko) 인터넷 기반 센서 데이터 전송 지원을 위한 장치 및 방법
CN101873329A (zh) 一种Portal强制认证方法以及接入设备
CN105592038A (zh) Portal认证方法及装置
CN102761534B (zh) 实现媒体接入控制层透明代理的方法和装置
CN101217512B (zh) 客户端状态维护方法、系统及应用服务器
CN103491172A (zh) 云文件分享方法及系统
CN103795632A (zh) 一种数据报文传输方法及相关设备、系统
CN106899500B (zh) 一种跨虚拟可扩展局域网的报文处理方法及装置
WO2016039576A3 (ko) 무선 통신 시스템에서 다중 망 접속을 위한 장치 및 방법
CN103108037B (zh) 一种通信方法,Web服务器及Web通信系统
CN104767742A (zh) 一种安全通信方法、网关、网络侧服务器及系统
CN103544752B (zh) 一种基于闪联协议的无线视频门禁系统及其控制方法
WO2016192608A3 (zh) 身份认证方法、身份认证系统和相关设备
CN105391690B (zh) 一种基于pof的网络窃听防御方法和系统
US9363194B2 (en) Device arrangement for implementing remote control of properties
ATE388571T1 (de) Fernverwaltung von ipsec-sicherheitsassoziationen
CN109379339A (zh) 一种Portal认证方法及装置
JP6393475B2 (ja) 通信アダプタ装置、通信システム、トンネル通信方法、及びプログラム
Li et al. Supporting efficient machine-to-machine communications in the future mobile internet
CN106656813B (zh) 数据传输方法
JP6537019B2 (ja) 中継装置及び中継通信システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant