CN105592038B - Portal认证方法及装置 - Google Patents
Portal认证方法及装置 Download PDFInfo
- Publication number
- CN105592038B CN105592038B CN201510408963.XA CN201510408963A CN105592038B CN 105592038 B CN105592038 B CN 105592038B CN 201510408963 A CN201510408963 A CN 201510408963A CN 105592038 B CN105592038 B CN 105592038B
- Authority
- CN
- China
- Prior art keywords
- portal
- messages
- tcp syn
- clients
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
Abstract
本申请公开了一种Portal认证方法及装置,其中,该方法包括:在接收到Portal客户端发来的TCP SYN报文之后,判断本设备上是否存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息;若不存在,则保存Portal客户端的地址信息并设置对应的保存时间,向Portal客户端返回TCP SYN+ACK报文;若存在,则不向Portal客户端回应TCP SYN+ACK报文,模拟Portal客户端向Portal服务器发送TCP SYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种Portal认证方法及装置。
背景技术
Portal(入口)认证通常也称为Web(网页)认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。如图1所示,Portal网络中主要包括:Portal客户端、接入设备和Portal服务器。其中,接入设备可以是BRAS(Broadband Remote Access Server,宽带接入服务器)。
在Portal网络中,连接外网(如互联网)的接入设备与Portal客户端、Portal服务器相连。接入设备的主要作用是对Portal客户端发起的访问外网的流量进行控制;Portal服务器的作用是接收Portal客户端的认证请求,并向Portal客户端提供Web认证页面以便用户在该Web认证页面中输入认证信息(用户名、密码等),对Portal客户端的认证信息进行认证。
在如图2所示的Portal网络中,采用直接认证方式的Portal认证过程如下:
步骤S102,当用户通过Web页面访问外网时,Portal客户端向接入设备发送TCP(Transfer Control Protocol,传输控制协议)SYN(Synchronize Sequence Numbers,同步序列编号)报文,其中,该TCP SYN报文的DPORT(目的端口)为80(HTTP(Hyper TextTransfer Protocol,超文本传输协议)端口),SMAC(源MAC(Media Access Control,媒体访问控制))地址是Portal客户端的MAC地址,SIP(源IP(Internet Protocol,因特网协议))地址是Portal客户端的IP地址,DIP(目的IP)地址是要访问的外网IP地址;
步骤S104,接入设备接收到该TCP SYN报文后,以要访问的外网IP地址作为SIP,向Portal客户端回应TCP SYN+ACK(Acknowledgement,确认)报文;
步骤S106,Portal客户端收到该TCP SYN+ACK报文后,回应TCP ACK报文给接入设备,自此,Portal客户端与接入设备完成了TCP三次握手;
步骤S108,Portal客户端向接入设备发送HTTP GET(获取)请求报文,以获取Portal服务器的IP地址。
步骤S110,接入设备向Portal客户端回应携带有Portal服务器的IP地址的HTTP回应报文,随后Portal客户端和接入设备终止TCP连接;
步骤S112,Portal客户端收到该HTTP回应报文后,发送TCP SYN报文给Portal服务器,其中,该TCP SYN报文的DPORT为8080(服务器HTTP的处理端口),DIP为Portal服务器的IP地址;
步骤S114,Portal服务器收到该TCP SYN报文后,回应TCP SYN+ACK报文给Portal客户端;
步骤S116,Portal客户端收到该TCP SYN+ACK后,回应ACK报文给Portal服务器,自此,Portal客户端与Portal服务器也完成了TCP三次握手;
步骤S118,Portal客户端向Portal服务器发送HTTP GET请求报文,以请求Web认证页面;
步骤S120,Portal服务器收到该HTTP GET请求报文后,发送HTTP回应报文给Portal客户端,然后,提供Web认证页面供用户输入用户名和密码,Portal客户端将输入的用户名和密码传递给Portal服务器进行认证,若认证通过,则Portal客户端上线。
现有技术中,在Portal客户端下线后,接入设备就会删除本设备上的用户相关信息,例如,Portal客户端的MAC地址和IP地址,用户名和密码等,当用户再次上线时,会重新执行上述认证流程。但是,在实际应用中,Portal客户端在一段时间内是相对稳定的,这样,用户每次上线都要执行相同的认证流程,会增加网络设备的负担,降低用户访问外网的速度。
发明内容
有鉴于此,本申请提供了一种Portal认证方法及装置。
本申请的技术方案如下:
一方面,提供了一种Portal认证方法,应用于接入设备,该方法包括:
在接收到Portal客户端发来的用于请求访问外网的TCP SYN报文之后,判断本设备上是否存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息;
若不存在,则保存Portal客户端的地址信息并设置对应的保存时间,向Portal客户端返回TCP SYN+ACK报文;
若存在,则不向Portal客户端回应TCP SYN+ACK报文,模拟Portal客户端向Portal服务器发送TCP SYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;其中,发送的TCP SYN报文与接收到的TCP SYN报文的序列号相同;处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCP SYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文。
另一方面,还提供了一种Portal认证方法,应用于Portal客户端,该方法包括:
向接入设备发送用于请求访问外网的TCP SYN报文,其中,发送的TCP SYN报文中携带有Portal客户端的地址信息;
接收到接入设备发来的携带有处理标记的HTTP回应报文;
根据处理标记,不向Portal服务器发送TCP SYN报文,判断是否在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文;
若是,则向Portal服务器发送TCP ACK报文。
又一方面,还提供了一种Portal认证装置,应用于接入设备中,该装置包括:
接收模块,用于接收Portal客户端发来的用于请求访问外网的TCP SYN报文;
判断模块,用于在接收模块接收到Portal客户端发来的TCP SYN报文之后,判断本设备上是否存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息;
保存模块,用于若判断模块判断出本设备上不存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则保存Portal客户端的地址信息并设置对应的保存时间;
发送模块,用于若判断模块判断出本设备上不存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则向Portal客户端返回TCP SYN+ACK报文;还用于若判断模块判断出本设备上存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则不向Portal客户端回应TCP SYN+ACK报文,模拟Portal客户端向Portal服务器发送TCP SYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;其中,发送的TCP SYN报文与接收到的TCP SYN报文的序列号相同;处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCP SYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCPACK报文。
又一方面,还提供了一种Portal认证装置,应用于Portal客户端中,该装置包括:发送模块、接收模块和判断模块,
接收模块,用于接收接入设备发来的携带有处理标记的HTTP回应报文;还用于接收TCP SYN+ACK报文;
判断模块,用于根据接收模块接收到的HTTP回应报文中携带的处理标记,判断接收模块是否在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文;
发送模块,用于向接入设备发送用于请求访问外网的TCP SYN报文,其中,发送的TCP SYN报文中携带有Portal客户端的地址信息;还用于根据接收模块接收到的HTTP回应报文中携带的处理标记,不向Portal服务器发送TCP SYN报文;还用于若判断模块判断出接收模块在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文。
本申请的以上技术方案中,接入设备会将Portal客户端的地址信息保存一段时间,而不是Portal客户端下线后就删除,这样,当Portal客户端再次上线时,接入设备接收到Portal客户端发送的TCP SYN报文后,若判断出本设备上已经存在与该Portal客户端的地址信息相同的地址信息,则不再向Portal客户端回应TCP SYN+ACK报文,而是模拟Portal客户端向Portal服务器发送序列号与接收到的TCP SYN报文相同的TCP SYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;Portal服务器收到该TCP SYN报文后会以为是Portal客户端发来的,从而回应TCP SYN+ACK报文;Portal客户端接收到该携带有处理标记的HTTP回应报文后,不再向Portal服务器发送TCP SYN报文,并且,若在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文,从而完成了与Portal服务器的TCP三次握手,后续即可获取到Portal服务器的Web认证页面完成Portal认证过程。对于Portal客户端的地址信息在一段时间内相对稳定的情况,通过接入设备进行的一次TCP SYN报文欺骗,可以跳过PORTAL客户端与接入设备的TCP三次握手过程,节省了报文交互,缩短了认证过程所需时间,减轻了网络设备的负担,提升了用户访问外网的速度。
附图说明
图1是Portal网络的架构示意图;
图2是现有技术的采用直接认证方式的Portal认证过程的报文交互示意图;
图3是本申请实施例的Portal认证方法的报文交互示意图;
图4是本申请实施例的应用于接入设备的Portal认证装置的一种结构示意图;
图5是本申请实施例的应用于接入设备的Portal认证装置的另一种结构示意图;
图6是本申请实施例的应用于Portal客户端的Portal认证装置的结构示意图。
具体实施方式
为了解决现有技术中存在的网络设备的负担较重,用户访问外网的速度较低的问题,本申请以下实施例中提供了一种Portal认证方法以及一种可以应用该方法的装置。
如图3所示,本申请实施例的采用直接认证方式的Portal认证方法包括如下步骤:
步骤S202,Portal客户端向接入设备发送用于请求访问外网的TCP SYN报文,其中,该TCP SYN报文的DIP是要访问的外网IP地址,SMAC是Portal客户端的MAC地址,SIP是本设备的IP地址,DPORT是80(HTTP端口);
步骤S204,接入设备接收到该TCP SYN报文之后,判断本设备上是否存在与该TCPSYN报文中携带的Portal客户端的地址信息相同的地址信息;若存在相同的地址信息,则不会向Portal客户端回应TCP SYN+ACK报文,而是模拟Portal客户端向Portal服务器发送TCPSYN报文,并且执行步骤S206;其中,发送的TCP SYN报文与所述接收到的TCP SYN报文的序列号相同;
若不存在相同的地址信息,则保存Portal客户端的地址信息并设置对应的保存时间,并按照现有技术向Portal客户端返回TCP SYN+ACK报文;此时,后续的认证过程可以参见步骤S104~步骤S120。其中,保存Portal客户端的地址信息并设置对应的保存时间的方式可以是将Portal客户端的地址信息保存到对应表项中,并计时,当对应的保存时间到达时,删除该地址信息。保存时间例如可以设置为24小时。另外,在接入设备上还可以设置表项数量上限,在保存一个地址信息时,可以先判断当前表项总数是否已经超过了表项数量上限,若没有超过,则保存该地址到对应表项中,若超过了,则不再保存地址信息。
其中,上述的地址信息包括:IP地址和MAC地址。
具体的,模拟Portal客户端向Portal服务器发送TCP SYN报文可以采用以下方式中的任一种:
方式一、对接收到的TCP SYN报文进行重封装后,发送给Portal服务器,其中,重封装包括:将目的IP地址修改为Portal服务器的IP地址,将目的端口号修改为Portal服务器处理HTTP报文的端口号,将源MAC地址修改为本设备的三层MAC地址,将目的MAC地址修改为Portal服务器处理HTTP报文的三层MAC地址;
方式二、构造一TCP SYN报文并发送给Portal服务器,其中,该TCP SYN报文的目的IP地址为Portal服务器的IP地址,目的端口号为Portal服务器处理HTTP报文的端口号,源MAC地址为本设备的三层MAC地址,目的MAC地址为Portal服务器处理HTTP报文的三层MAC地址,序列号与接收到的TCP SYN报文的序列号相同。
步骤S206,接入设备向Portal客户端发送携带有处理标记的HTTP回应报文,显然,该HTTP回应报文中还携带有Portal服务器的IP地址;
步骤S208,Portal服务器接收到该TCP SYN报文之后,回应TCP SYN+ACK报文,其中,该TCP SYN+ACK报文的DIP是Portal客户端的IP地址,SIP是Portal服务器的IP地址;此时,Portal服务器认为接收到的TCP SYN报文是Portal客户端发送的;
步骤S210,Portal客户端接收到该携带有处理标记的HTTP回应报文之后,根据该处理标记,不会向Portal服务器发送TCP SYN报文,而是启动定时器等待Portal服务器回应的TCP SYN+ACK报文,具体的,若在预定时间段内没有接收到TCP SYN+ACK报文,则返回步骤S202,若在预定时间段内接收到了TCP SYN+ACK报文,则判断接收到的TCP SYN+ACK报文的源IP地址与该HTTP回应报文中携带的Portal服务器的IP地址是否相同,若不相同,则丢弃接收到的TCP SYN+ACK报文并返回步骤S202,若相同,则判断接收到的TCP SYN+ACK报文与步骤S202中发送的TCP SYN报文的序列号是否相匹配,若不匹配,则丢弃接收到的TCP SYN+ACK报文并返回步骤S202,若匹配,则执行步骤S210;
步骤S210,Portal客户端向Portal服务器发送TCP ACK报文;
通过步骤S202、步骤S204、步骤S208和步骤S210,Portal客户端与Portal服务器完成了TCP三次握手。
步骤S212,Portal客户端向Portal服务器发送HTTP GET请求报文,以请求Web认证页面;
步骤S214,Portal服务器收到该HTTP GET请求报文后,发送HTTP回应报文给Portal客户端,然后,提供Web认证页面供用户输入用户名和密码,Portal客户端将输入的用户名和密码传递给Portal服务器进行认证,若认证通过,则Portal客户端上线。
上述的步骤S212和步骤S214与现有技术中的步骤S118和步骤S120相同。
本申请上述实施例的方法中,接入设备会将Portal客户端的地址信息保存一段时间,而不是Portal客户端下线后就删除,这样,当Portal客户端再次上线时,接入设备接收到Portal客户端发送的TCP SYN报文后,若判断出本设备上已经存在与该Portal客户端的地址信息相同的地址信息,则不再向Portal客户端回应TCP SYN+ACK报文,而是模拟Portal客户端向Portal服务器发送序列号与接收到的TCP SYN报文相同的TCP SYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;Portal服务器收到该TCP SYN报文后会以为是Portal客户端发来的,从而回应TCP SYN+ACK报文;Portal客户端接收到该携带有处理标记的HTTP回应报文后,不再向Portal服务器发送TCP SYN报文,并且,若在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文,从而完成了与Portal服务器的TCP三次握手,后续即可获取到Portal服务器的Web认证页面完成Portal认证过程。对于Portal客户端的地址信息在一段时间内相对稳定的情况,通过接入设备进行的一次TCP SYN报文欺骗,可以跳过PORTAL客户端与接入设备的TCP三次握手过程,节省了报文交互,缩短了认证过程所需时间,减轻了网络设备的负担,提升了用户访问外网的速度。
针对上述实施例的方法,本申请实施例中还提供了一种可以应用该方法的装置。
如图4所示,应用于接入设备中的Portal认证装置中包括以下模块:接收模块301、判断模块302、保存模块303和发送模块304,其中:
接收模块301,用于接收Portal客户端发来的用于请求访问外网的TCP SYN报文;
判断模块302,用于在接收模块301接收到Portal客户端发来的TCP SYN报文之后,判断本设备上是否存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息;
保存模块303,用于若判断模块302判断出本设备上不存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则保存Portal客户端的地址信息并设置对应的保存时间;
发送模块304,用于若判断模块302判断出本设备上不存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则向Portal客户端返回TCP SYN+ACK报文;还用于若判断模块302判断出本设备上存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则不向Portal客户端回应TCP SYN+ACK报文,模拟Portal客户端向Portal服务器发送TCP SYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;其中,发送的TCP SYN报文与接收到的TCP SYN报文的序列号相同;处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCP SYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文。
其中,发送模块304中包括以下单元:处理单元和报文发送单元,其中:
处理单元,用于对接收到的TCP SYN报文进行重封装后发给报文发送单元,其中,重封装包括:将目的IP地址修改为Portal服务器的IP地址,将目的端口号修改为Portal服务器处理HTTP报文的端口号,将源MAC地址修改为本设备的三层MAC地址,将目的MAC地址修改为Portal服务器处理HTTP报文的三层MAC地址;或者,用于构造一TCP SYN报文并发给报文发送单元,其中,该TCP SYN报文的目的IP地址为Portal服务器的IP地址,目的端口号为Portal服务器处理HTTP报文的端口号,源MAC地址为本设备的三层MAC地址,目的MAC地址为Portal服务器处理HTTP报文的三层MAC地址,序列号与接收到的TCP SYN报文的序列号相同;
报文发送单元,用于将处理单元发来的TCP SYN报文发送给Portal服务器。
另外,如图5所示,该装置中还可以包括:删除模块305,用于当保存时间到达时,删除对应的地址信息。
如图6所示,应用于Portal客户端中的Portal认证装置中包括以下模块:发送模块401、接收模块402和判断模块403,其中:
接收模块402,用于接收接入设备发来的携带有处理标记的HTTP回应报文;还用于接收TCP SYN+ACK报文;
判断模块403,用于根据接收模块402接收到的HTTP回应报文中携带的处理标记,判断接收模块402是否在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文;
发送模块401,用于向接入设备发送用于请求访问外网的TCP SYN报文,其中,发送的TCP SYN报文中携带有Portal客户端的地址信息;还用于根据接收模块402接收到的HTTP回应报文中携带的处理标记,不向Portal服务器发送TCP SYN报文;还用于若判断模块403判断出接收模块402在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文。
其中,判断模块403中包括以下单元:第一判断单元、第二判断单元和确定单元,其中:
第一判断单元,用于若接收模块在预定时间段内接收到了TCP SYN+ACK报文,则判断接收到的TCP SYN+ACK报文的源IP地址与HTTP回应报文中携带的Portal服务器的IP地址是否相同;
第二判断单元,用于若第一判断单元的判断结果是相同,则判断接收到的TCP SYN+ACK报文的序列号与TCP SYN报文的序列号是否相匹配;
确定单元,用于若第二判断单元的判断结果是匹配,则确定在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文。
另外,发送模块401,还用于若判断模块403判断出接收模块402在预定时间段内没有接收到Portal服务器回应的TCP SYN+ACK报文,则重新向接入设备发送TCP SYN报文。
综上,本申请以上实施例可以达到以下技术效果:
接入设备会将Portal客户端的地址信息保存一段时间,而不是Portal客户端下线后就删除,这样,当Portal客户端再次上线时,接入设备接收到Portal客户端发送的TCPSYN报文后,若判断出本设备上已经存在与该Portal客户端的地址信息相同的地址信息,则不再向Portal客户端回应TCP SYN+ACK报文,而是模拟Portal客户端向Portal服务器发送序列号与接收到的TCP SYN报文相同的TCP SYN报文,并向Portal客户端发送携带有处理标记的HTTP回应报文;Portal服务器收到该TCP SYN报文后会以为是Portal客户端发来的,从而回应TCP SYN+ACK报文;Portal客户端接收到该携带有处理标记的HTTP回应报文后,不再向Portal服务器发送TCP SYN报文,并且,若在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文,从而完成了与Portal服务器的TCP三次握手,后续即可获取到Portal服务器的Web认证页面完成Portal认证过程。对于Portal客户端的地址信息在一段时间内相对稳定的情况,通过接入设备进行的一次TCP SYN报文欺骗,可以跳过PORTAL客户端与接入设备的TCP三次握手过程,节省了报文交互,缩短了认证过程所需时间,减轻了网络设备的负担,提升了用户访问外网的速度。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (13)
1.一种入口Portal认证方法,应用于接入设备,其特征在于,所述方法包括:
在接收到Portal客户端发来的用于请求访问外网的传输控制协议同步序列编号TCPSYN报文之后,判断本设备上是否存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息;
若不存在,则保存所述Portal客户端的地址信息并设置对应的保存时间,向Portal客户端返回TCP SYN+ACK报文;
若存在,则不向Portal客户端回应TCP SYN+ACK报文,模拟Portal客户端向Portal服务器发送TCP SYN报文,并向Portal客户端发送携带有处理标记的超文本传输协议HTTP回应报文;其中,发送的TCP SYN报文与所述接收到的TCP SYN报文的序列号相同;所述处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCP SYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文。
2.根据权利要求1所述的方法,其特征在于,模拟Portal客户端向Portal服务器发送TCP SYN报文的方法包括:
对所述接收到的TCP SYN报文进行重封装后,发送给Portal服务器,其中,所述重封装包括:将目的IP地址修改为Portal服务器的IP地址,将目的端口号修改为Portal服务器处理HTTP报文的端口号,将源MAC地址修改为本设备的三层MAC地址,将目的MAC地址修改为Portal服务器处理HTTP报文的三层MAC地址;
或者,构造一TCP SYN报文并发送给Portal服务器,其中,该TCP SYN报文的目的IP地址为Portal服务器的IP地址,目的端口号为Portal服务器处理HTTP报文的端口号,源MAC地址为本设备的三层MAC地址,目的MAC地址为Portal服务器处理HTTP报文的三层MAC地址,序列号与所述接收到的TCP SYN报文的序列号相同。
3.根据权利要求1所述的方法,其特征在于,还包括:
当保存时间到达时,删除对应的地址信息。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述地址信息包括:媒体访问控制MAC地址和因特网协议IP地址。
5.一种入口Portal认证方法,应用于Portal客户端,其特征在于,所述方法包括:
向接入设备发送用于请求访问外网的传输控制协议同步序列编号TCP SYN报文,其中,发送的TCP SYN报文中携带有Portal客户端的地址信息;
接收到接入设备发来的携带有处理标记的超文本传输协议HTTP回应报文;
根据所述处理标记,不向Portal服务器发送TCP SYN报文,判断是否在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文;
若是,则向Portal服务器发送TCP ACK报文。
6.根据权利要求5所述的方法,其特征在于,判断在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文的方法包括:
若在预定时间段内接收到了TCP SYN+ACK报文,则判断接收到的TCP SYN+ACK报文的源因特网协议IP地址与所述HTTP回应报文中携带的Portal服务器的IP地址是否相同;
若相同,则判断所述接收到的TCP SYN+ACK报文的序列号与所述TCP SYN报文的序列号是否相匹配,若匹配,则确定在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文。
7.根据权利要求5所述的方法,其特征在于,还包括:
若在预定时间段内没有接收到Portal服务器回应的TCP SYN+ACK报文,则重新向接入设备发送所述TCP SYN报文。
8.一种入口Portal认证装置,应用于接入设备中,其特征在于,所述装置包括:
接收模块,用于接收Portal客户端发来的用于请求访问外网的传输控制协议同步序列编号TCP SYN报文;
判断模块,用于在所述接收模块接收到Portal客户端发来的TCP SYN报文之后,判断本设备上是否存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息;
保存模块,用于若所述判断模块判断出本设备上不存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则保存所述Portal客户端的地址信息并设置对应的保存时间;
发送模块,用于若所述判断模块判断出本设备上不存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则向Portal客户端返回TCP SYN+ACK报文;还用于若所述判断模块判断出本设备上存在与接收到的TCP SYN报文中携带的Portal客户端的地址信息相同的地址信息,则不向Portal客户端回应TCP SYN+ACK报文,模拟Portal客户端向Portal服务器发送TCP SYN报文,并向Portal客户端发送携带有处理标记的超文本传输协议HTTP回应报文;其中,发送的TCP SYN报文与所述接收到的TCP SYN报文的序列号相同;所述处理标记用于指示Portal客户端在接收到该HTTP回应报文后,不向Portal服务器发送TCP SYN报文,并且若在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文。
9.根据权利要求8所述的装置,其特征在于,所述发送模块包括:
处理单元,用于对所述接收到的TCP SYN报文进行重封装后发给报文发送单元,其中,所述重封装包括:将目的IP地址修改为Portal服务器的IP地址,将目的端口号修改为Portal服务器处理HTTP报文的端口号,将源MAC地址修改为本设备的三层MAC地址,将目的MAC地址修改为Portal服务器处理HTTP报文的三层MAC地址;或者,用于构造一TCP SYN报文并发给所述报文发送单元,其中,该TCP SYN报文的目的IP地址为Portal服务器的IP地址,目的端口号为Portal服务器处理HTTP报文的端口号,源MAC地址为本设备的三层MAC地址,目的MAC地址为Portal服务器处理HTTP报文的三层MAC地址,序列号与所述接收到的TCPSYN报文的序列号相同;
所述报文发送单元,用于将所述处理单元发来的TCP SYN报文发送给Portal服务器。
10.根据权利要求8所述的装置,其特征在于,还包括:
删除模块,用于当保存时间到达时,删除对应的地址信息。
11.一种入口Portal认证装置,应用于Portal客户端中,其特征在于,所述装置包括:发送模块、接收模块和判断模块,其中:
接收模块,用于接收接入设备发来的携带有处理标记的超文本传输协议HTTP回应报文;还用于接收传输控制协议同步序列编号TCP SYN+ACK报文;
判断模块,用于根据所述接收模块接收到的HTTP回应报文中携带的处理标记,判断所述接收模块是否在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文;
发送模块,用于向接入设备发送用于请求访问外网的TCP SYN报文,其中,发送的TCPSYN报文中携带有Portal客户端的地址信息;还用于根据所述接收模块接收到的HTTP回应报文中携带的处理标记,不向Portal服务器发送TCP SYN报文;还用于若所述判断模块判断出所述接收模块在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文,则向Portal服务器发送TCP ACK报文。
12.根据权利要求11所述的装置,其特征在于,所述判断模块包括:
第一判断单元,用于若所述接收模块在预定时间段内接收到了TCP SYN+ACK报文,则判断接收到的TCP SYN+ACK报文的源因特网协议IP地址与所述HTTP回应报文中携带的Portal服务器的IP地址是否相同;
第二判断单元,用于若所述第一判断单元的判断结果是相同,则判断所述接收到的TCPSYN+ACK报文的序列号与所述TCP SYN报文的序列号是否相匹配;
确定单元,用于若所述第二判断单元的判断结果是匹配,则确定在预定时间段内接收到了Portal服务器回应的TCP SYN+ACK报文。
13.根据权利要求11所述的装置,其特征在于,
所述发送模块,还用于若所述判断模块判断出所述接收模块在预定时间段内没有接收到Portal服务器回应的TCP SYN+ACK报文,则重新向接入设备发送所述TCP SYN报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510408963.XA CN105592038B (zh) | 2015-07-13 | 2015-07-13 | Portal认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510408963.XA CN105592038B (zh) | 2015-07-13 | 2015-07-13 | Portal认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592038A CN105592038A (zh) | 2016-05-18 |
| CN105592038B true CN105592038B (zh) | 2018-10-09 |
Family
ID=55931256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510408963.XA Active CN105592038B (zh) | 2015-07-13 | 2015-07-13 | Portal认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592038B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107342903A (zh) * | 2017-07-18 | 2017-11-10 | 杭州敦崇科技股份有限公司 | 一种旁路认证和审计方法 |
| CN107733931B (zh) * | 2017-11-30 | 2021-03-09 | 新华三技术有限公司 | 入口认证方法、装置及入口服务器 |
| CN109618004A (zh) * | 2019-01-16 | 2019-04-12 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN111431871B (zh) * | 2020-03-10 | 2022-11-25 | 杭州迪普科技股份有限公司 | Tcp半透明代理的处理方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571356A (zh) * | 2003-07-19 | 2005-01-26 | 华为技术有限公司 | 一种强制门户的实现方法 |
| CN102573111A (zh) * | 2012-01-10 | 2012-07-11 | 中兴通讯股份有限公司 | 传输控制协议资源的释放方法及装置 |
| CN102594800A (zh) * | 2012-01-11 | 2012-07-18 | 中兴通讯股份有限公司 | Web认证服务器处理方法及装置 |
| CN103533080A (zh) * | 2013-10-25 | 2014-01-22 | 北京奇虎科技有限公司 | 用于lvs的服务器调度方法及装置 |
-
2015
- 2015-07-13 CN CN201510408963.XA patent/CN105592038B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571356A (zh) * | 2003-07-19 | 2005-01-26 | 华为技术有限公司 | 一种强制门户的实现方法 |
| CN102573111A (zh) * | 2012-01-10 | 2012-07-11 | 中兴通讯股份有限公司 | 传输控制协议资源的释放方法及装置 |
| CN102594800A (zh) * | 2012-01-11 | 2012-07-18 | 中兴通讯股份有限公司 | Web认证服务器处理方法及装置 |
| CN103533080A (zh) * | 2013-10-25 | 2014-01-22 | 北京奇虎科技有限公司 | 用于lvs的服务器调度方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592038A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102316092B (zh) | 用于移动设备的具有快速重新连接的vpn网络客户端 | |
| CN102333110B (zh) | 用于移动设备的具有动态翻译用户主页的vpn网络客户端 | |
| CN102316153B (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
| CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
| CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
| CN105592038B (zh) | Portal认证方法及装置 | |
| CN103701805B (zh) | 检测网络中弱口令的方法及装置 | |
| CN103188207B (zh) | 一种跨域的单点登录实现方法及系统 | |
| CN102316094A (zh) | 用于移动设备的具有集成加速的多服务vpn网络客户端 | |
| CN101146051A (zh) | 一种企业级即时通信互联系统及其实现企业互联的方法 | |
| WO2010117587A3 (en) | Identity management services provided by network operator | |
| CN104320780A (zh) | 局域网内无线路由器认证共享方法及认证共享模块 | |
| CN103780641B (zh) | 接入云桌面的方法、家庭网关和系统 | |
| CN104408777B (zh) | 一种基于nat穿越实现p2p通信的互联网考勤管理系统和方法 | |
| CN105516981A (zh) | 智慧WiFi认证系统 | |
| CN107465666A (zh) | 一种客户端ip获取方法与装置 | |
| CN101582856A (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| CN105592046A (zh) | 一种免认证访问方法和装置 | |
| CN107864475A (zh) | 基于Portal+动态密码的WiFi快捷认证方法 | |
| CN105577618A (zh) | 认证方法及装置 | |
| CN105491169A (zh) | 一种数据代理方法与系统 | |
| CN106850502A (zh) | 基于长连接的业务请求转发方法、存储方法、装置及系统 | |
| CN107645570A (zh) | 客户端上线方法及装置 | |
| CN104936177B (zh) | 一种接入认证方法及接入认证系统 | |
| EP1826969A1 (en) | Network connection service providing device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |