CN106603491A - 基于https协议的Portal认证方法及路由器 - Google Patents
基于https协议的Portal认证方法及路由器 Download PDFInfo
- Publication number
- CN106603491A CN106603491A CN201610991174.8A CN201610991174A CN106603491A CN 106603491 A CN106603491 A CN 106603491A CN 201610991174 A CN201610991174 A CN 201610991174A CN 106603491 A CN106603491 A CN 106603491A
- Authority
- CN
- China
- Prior art keywords
- address
- request message
- router
- message
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于https协议的Portal认证方法及路由器,其中,在该Portal认证方法中包括:S10接收终端发送的请求报文;S20判断接收到的请求报文是否为基于https协议的加密请求报文;S30若判断请求报文为加密请求报文,进一步判断发送请求报文的用户是否被Portal认证过;S40若该用户未被Portal认证过,将请求报文转发至网站服务器,以此网站服务器对请求报文进行解密并将基于http协议的重定向报文发送至终端,有效解决了现有技术中对基于https协议的加密请求报文不能进行Portal认证的问题,为用户提供便利,提高用户体验。
Description
技术领域
本发明涉及门户认证技术领域,尤其涉及一种基于https协议的Portal认证方法及一种路由器。
背景技术
在免费的公用WIFI(Wireless-Fidelity,无线保真)网络中,为了能够有效的掌握接入用户的信息以及在免费WIFI网络中进行广告业务,通常使用Portal(门户)认证的方式让用户接入WIFI网络。Portal是一种web应用,通常用来提供个性化、单次登录、聚集各个信息源的内容,并作为信息系统表现层的宿主,是一种为用户提供便捷、实用、灵活的WLAN上网web认证方法。连接到WIFI热点的用户通过在Portal页面提交账户名和密码等信息,认证通过后,可以免费上网一定的时间。
目前市场上的方案基本上都是只支持http(Hyper Text Transfer Protocol,超文本传输协议)包协议的portal弹出方案(通过侦测http报文的80端口来实现目的),而不支持对https(Hyper Text Transfer Protocol over Secure Socket Layer,安全套接字层超文本传输协议)加密协议的portal弹出方案,一定程度上影响了用户体验。如,目前各种智能手机浏览器的首页导航栏中,百度连接的是https://www.baidu.com,但是其首页链接都是基于https协议。在这种情况下,常规的portal方案是无法正常弹出portal的,原因在于:基于https协议的数据包都采用了秘钥进行加密,而这个秘钥是只有手机和服务器知道,以此路由器是不能把https协议的数据包解析出来,即无法区别出包来,也就无法去伪装包,自然无法正常弹出Portal页面。
发明内容
针对上述问题,本发明提供了一种基于https协议的Portal认证方法及一种路由器,有效解决了现有技术中对基于https协议的加密请求报文不能进行Portal认证的问题。
本发明提供的技术方案如下:
一种基于https协议的Portal认证方法,应用于路由器,所述路由器中包括一支持https协议的网站服务器,且所述路由器和所述网站服务器分别与终端通信连接,所述Portal认证方法中包括:
S10接收终端发送的请求报文;
S20判断接收到的请求报文是否为基于https协议的加密请求报文;
S30若判断请求报文为加密请求报文,进一步判断发送请求报文的用户是否被Portal认证过;
S40若该用户未被Portal认证过,将请求报文转发至网站服务器,以此网站服务器对请求报文进行解密并将基于http协议的重定向报文发送至终端,实现用户的Portal认证。
在本技术方案中,若路由器中接收到的报文为https协议的加密请求报文,则将其转发至支持https协议的网站服务器,以此网站服务器对该加密请求报文进行解密并将重定向报文反馈回终端,终端就能根据正常http协议的Portal认证方法进行身份认证,有效解决了现有技术中对基于https协议的加密请求报文不能进行Portal认证的问题,为用户提供便利,提高用户体验。
进一步优选地,在步骤S10之前包括配置路由器的步骤,具体包括:
S01创建路由器网关接口名称;
S02配置相应的IP地址,以供网络服务器监测。
在本技术方案中,通过给路由器网关接口创建一个新的名称并配置一个新的IP地址以请求报文能够顺利的转发至网站服务器。
进一步优选地,在步骤S20中,根据请求报文传送的端口判断其是否为加密请求报文;
和/或,在步骤S30中,根据终端MAC(Media Access Control,媒体访问控制)地址判断其是否被Portal认证过。
进一步优选地,在步骤S40中将请求报文转发至网站服务器之前包括:
S41获取请求报文中的源IP地址、目的IP地址、终端MAC地址、源端口以及目的端口;
S42查找表项,若步骤S41中各项参数未在表项中,则将其添加入表项;
S43根据终端MAC地址和路由器中网关接口的IP地址得到伪装源IP地址,同时将网关接口的IP地址设定为伪装目的IP地址;
S44将伪装源IP地址和伪装目的IP地址添加入表项中。
进一步优选地,在步骤S40中将请求报文转发至网站服务器具体为:将请求报文转发至路由器中网关接口的MAC地址,网站服务器通过监听路由器中网关接口的IP地址得到请求报文。
在本技术方案中,通过对请求报文中的源IP地址和目的IP地址进行伪装,以将请求报文转发至路由器中网关接口的MAC地址,成功的将请求报文转发至网站服务器中,实现本发明的目的。
进一步优选地,在步骤S40中将基于http协议的重定向报文发送至终端具体包括:
S45根据重定向报文中的目的IP地址在表项中查找到相应的终端MAC地址,并将其作为重定向报文发送的目的MAC地址;
S46在表项中查找到发送重定向报文的源端口和目的端口;
S47在表项中查找到请求报文中的源IP地址和目的IP地址;
S48将重定向报文中的源IP地址和目的IP地址替换为请求报文中的目的IP地址和源IP地址;
S49基于步骤S46中查找到的目的端口和步骤S48中替换后得到的目的地址将重定向报文转发至终端。
在本技术方案中,与接收请求报文将其转发至网站服务器类似,在返回重定向报文的过程中,将重定向报文中的源IP地址和目的IP地址替换为请求报文中的目的IP地址和源IP地址,以便顺利的将重定向报文转发至终端中,实现发明目的。
进一步优选地,在步骤S40中将基于http协议的重定向报文发送至终端之后还包括:
S50终端基于接收到的重定向报文向Portal服务器发送上网请求;
S51Portal服务器将Portal页面响应至终端;
S52用户在终端中输入用户信息,实现用户的Portal认证。
本发明还提供了一种路由器,所述路由器中包括一支持https协议的网站服务器,且所述路由器和所述网站服务器分别与终端通信连接,所述路由器中包括:
报文收发模块,用于接收终端发送的请求报文,及用于将请求报文转发至网站服务器;
判断模块,用于判断报文接收模块接收到的请求报文是否为基于https协议的加密请求报文,及用于断发送请求报文的用户是否被Portal认证过。
进一步优选地,所述路由器中还包括配置模块,用于创建路由器网关接口名称及配置相应的IP地址。
进一步优选地,所述路由器中还包括:
参数提取模块,用于从报文收发模块中接收到的请求报文中提取源IP地址、目的IP地址、终端MAC地址、源端口以及目的端口;
表项查找模块,用于根据参数提取模块中提取出的参数在表项中查找;用于根据重定向报文中的目的IP地址在表项中查找到相应的终端MAC地址,并将其作为重定向报文发送的目的MAC地址;用于在表项中查找到发送重定向报文的源端口和目的端口;以及在表项中查找到请求报文中的源IP地址和目的IP地址;
表项修正模块,用于根据表项查找模块中的查找结果将参数提取模块中提取的参数添加入表项,及用于将伪装源IP地址和伪装目的IP地址添加入表项中;
转发IP地址获取模块,用于根据终端MAC地址和路由器中网关接口的IP地址得到伪装源IP地址;用于根据网关接口的IP地址得到伪装目的IP地址;以及用于将重定向报文中的源IP地址和目的IP地址替换为请求报文中的目的IP地址和源IP地址。
在本技术方案中,若路由器中接收到的报文为https协议的加密请求报文,则将其转发至支持https协议的网站服务器,以此网站服务器对该加密请求报文进行解密并将重定向报文反馈回终端,终端就能根据正常http协议的Portal认证方法进行身份认证,有效解决了现有技术中对基于https协议的加密请求报文不能进行Portal认证的问题,为用户提供便利,提高用户体验。
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对上述特性、技术特征、优点及其实现方式予以进一步说明。
图1为本发明中基于https协议的Portal认证方法流程示意图;
图2为本发明中基于https协议的Portal认证方法一实例中将请求报文转发至网站服务器的流程示意图;
图3为本发明中基于https协议的Portal认证方法一实例中将重定向报文转发送至终端的流程示意图;
图4为本发明中路由器一种实施方式示意图;
图5为本发明中路由器另一种实施方式示意图;
图6为本发明中路由器另一种实施方式示意图。
附图标号说明:
100-路由器,110-报文收发模块,120-判断模块,130-网站服务器,140-配置模块,150-参数提取模块,160-表项查找模块,170-表项修正模块,180-转发IP地址获取模块。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
如图1所示为本发明提供的基于https协议的Portal认证方法流程示意图,应用于路由器,具体该路由器中包括一支持https协议的网站服务器,且该路由器和网站服务器分别与终端通信连接。从图中可以看出,在该Portal认证方法中包括:S10接收终端发送的请求报文;S20判断接收到的请求报文是否为基于https协议的加密请求报文;S30若判断请求报文为加密请求报文,进一步判断发送请求报文的用户是否被Portal认证过;S40若该用户未被Portal认证过,将请求报文转发至网站服务器,以此网站服务器对请求报文进行解密并将基于http协议的重定向报文发送至终端,实现用户的Portal认证。
具体,在该Portal认证方法中,若路由器中接收到的报文为https协议的加密请求报文,则将其转发至支持https协议的网站服务器,以此网站服务器对该加密请求报文进行解密并将重定向报文反馈回终端,终端就能根据正常http协议的Portal认证方法进行身份认证。在步骤S20中,根据请求报文传送的端口判断其是否为加密请求报文(基于https协议的加密请求报文由443端口传输,基于http协议的请求报文由80端口传输),即判断请求报文中的目的端口是否为端口443,若是,则判断该请求报文为加密请求报文;若不是,则判断该请求报文不是加密请求报文,不做后续转发处理。若该请求报文为基于http协议的上网请求,则路由器将302重定向得到的Portal URL地址发送至终端,终端根据接收到的PortalURL(Uniform Resource Locator,统一资源定位符)地址重新发送上网请求至Portal服务器,以此Portal服务器将Portal页面推送至终端的浏览器中进行显示,以此实现用的Portal认证。在步骤S30中,根据终端MAC地址判断其是否被Portal认证过,若判断出该终端已经被Portal认证过了,则放行该终端,不再需要Portal认证。
为了能够实现发明目的,在步骤S10之前包括配置路由器的步骤,具体包括:S01创建路由器网关接口名称;S02配置相应的IP地址,以供网络服务器监测,将加密请求报文转发至网站服务器。在一个实例中,上述网站服务器为支持https协议的nginx服务器,在配置过程中,首先给路由器网关接口br0取个别名br0:0,且在br0:0上配置相应的IP地址6.0.0.1、子网掩码255.0.0.0,这样,nginx服务器在路由器上运行时,时刻监听IP地址为6.0.0.1,端口为443的数据包即可。
基于此,在步骤S40中将请求报文转发至网站服务器之前包括:S41获取请求报文中的源IP地址、目的IP地址、终端MAC地址、源端口以及目的端口;S42查找表项,若步骤S41中各项参数未在表项中,则将其添加入表项;S43根据终端MAC地址和路由器中网关接口的IP地址得到伪装源IP地址,同时将网关接口的IP地址设定为伪装目的IP地址;S44将伪装源IP地址和伪装目的IP地址添加入表项中。以此,在步骤S40中将请求报文转发至网站服务器具体为:将请求报文转发至路由器中网关接口的MAC地址,网站服务器通过监听路由器中网关接口的IP地址得到请求报文。
在一实例中,路由器中网关接口配置好后,在路由器的桥接入口转发逻辑前面,也就是函数br_handle_frame_finish中定义一个hook函数https_in_hook来处理443端口的数据包。
当访问百度时,百度的服务器的IP地址假设为123.3.4.56(即上述目的IP地址),终端IP(即上述源IP地址)假设为10.4.5.6,终端MAC地址假设为00:22:33:01:02:03,且请求报文中目的MAC地址为终端网关的MAC地址。为了实现目的,https_in_hook函数截获该请求报文通过目的端口判断出其为加密请求报文之后,进一步通过该请求报文中的目的IP和源IP地址,判断该请求报文是否在freeip(不受控制的IP地址)中/是否是已认证用户,具体根据源MAC地址(即终端MAC地址)进行判断,若判断出该用户已被Portal认证,则路由器不做后续处理。
相反,若判断出该用户未被Portal认证,则取出该请求报文中的源MAC地址、源IP地址、目的IP地址、源端口以及目的端口,并源MAC地址在表项中查找,若查找到该源MAC地址在表项中存在,进一步根据源MAC地址和源端口查询该条流是否在表项中存在,若该条流不在表项中,则将这条流的信息加入表项中,另外将伪装源IP地址、伪装目的IP地址以及包进入的时间(即请求报文进入的时间)也添加入该流。其中,伪装目的IP地址为nginx服务器在路由器上监听的IP地址,即为6.0.0.1,由路由器中网关接口br0:0的IP地址为6.0.0.1、子网掩码为255.0.0.0,可知IP地址为6.*.*.*的网段都能够和IP地址6.0.0.1通信;另外,伪装源IP地址的后三位为源MAC地址的后三位,若源MAC地址(终端MAC地址)假设为00:22:33:01:02:03,则伪装源IP地址为6.1.2.3。由不同终端对应不同的源端口,在本实例中,假定该源端口为1234,目的端口固定为443,则这条流在表项中的记录如表1所示。
表1:表项记录
| 源IP地址 | 10.4.5.6 |
| 目的IP地址 | 123.3.4.56 |
| 源MAC地址 | 00:22:33:01:02:03 |
| 源端口 | 1234 |
| 目的端口 | 443 |
| 伪装源IP地址 | 6.1.2.3 |
| 伪装目的IP地址 | 6.0.0.1 |
| 包进入的时间 | time |
另外,在上述过程中,若请求报文中的源MAC地址在表项中未查找到,则创建ARP(Address Resolution Protocol,地址解析协议)表项,并将伪装IP地址加入到ARP表项中,则在该ARP表项中记录有源MAC地址与伪装源IP地址之间的对应关系,如表2所示,之后,进一步根据源MAC地址和源端口查询该条流是否在表项中存在,若该条流在表项中,则直接将请求报文中的源IP地址和目的IP地址都改为伪装源IP地址和伪装目的IP地址,把目的MAC地址改为路由器网关接口br0的MAC地址,重新计算IP头的检验和,和TCP(TransmissionControl Protocol,传输控制协议)头的校验和,同时把请求报文的pkt_type类型改为PACKET_HOST。
表2:源MAC地址与伪装源IP地址之间对应关系
| MAC地址00:22:33:01:02:03 | IP地址6.1.2.3 |
这样,在桥转发的时候,该请求报文的目的MAC地址已经变为网关接口br0的MAC地址,从而将请求报文转发到路由器的网关接口br0上。又因为目的IP地址已经改为伪装目的IP地址6.0.0.1,而nginx服务器监听的IP地址即为6.0.0.1,这样,所有发向百度服务器的基于https协议的请求报文都转发到nginx服务器中进行处理,具体该过程如图2所示。
nginx服务器将请求报文处理完成之后,将重定向报文返回终端。具体,将基于http协议的重定向报文发送至终端具体包括:S45根据重定向报文中的目的IP地址在表项中查找到相应的终端MAC地址,并将其作为重定向报文发送的目的MAC地址;S46在表项中查找到发送重定向报文的源端口和目的端口;S47在表项中查找到请求报文中的源IP地址和目的IP地址;S48将重定向报文中的源IP地址和目的IP地址替换为请求报文中的目的IP地址和源IP地址;S49基于步骤S46中查找到的目的端口和步骤S48中替换后得到的目的地址将重定向报文转发至终端。
在实例中,https_out_bridge函数的处理逻辑为:终端发送的请求报文上行到nginx服务器后,将nginx服务器处理后的生成的重定向报文回传至终端。在回传的过程中,首先路由器协议栈检查该重定向报文的目的IP地址,即为请求报文中的伪装源IP地址6.1.2.3;并通过查询ARP表项(如表2)得到该目的IP地址对应的MAC地址00:22:33:01:02:03,并将其设定为目的MAC地址,之后进入重定向报文桥转发出去的逻辑处理。在逻辑处理的过程中,首先判断该重定向报文的源端口是否为443,若不是,则不做处理;若是,则根据回包的目的MAC地址和目的端口查询表项,查询到伪装前的源IP地址和目的IP地址,即如表1所示的上行流;之后,将回包的目的MAC地址和表项中查询到的终端MAC地址进行比较,将回包的目的端口和表项中的源端口进行比较,如果这两项参数都匹配成功了,说明与表项中该条流匹配成功。随后,取出该条流发送请求报文过程中的目的IP地址和源IP地址(如表1),并将重定向报文中的目的IP地址替换为10.4.5.6(即表1中的源IP地址),将重定向报文中的源IP地址替换为123.3.4.56(即表1中的目的IP地址),同时重新计算IP头的检验和和TCP头的校验和。以此能够成功的将重定向报文发送至终端,且终端在接收到重定向报文认为该过程中是与百度服务器在交互。
基于以上描述可知,终端在访问支持https协议的网站时,路由器将请求报文转发到nginx服务器中,nginx服务器在解析了该请求报文之后,将基于http协议的302重定向报文返回终端,以此终端能够根据现有的http方案进入后续的portal流程,正常弹出portal页面。具体,在步骤S40中将基于http协议的重定向报文发送至终端之后还包括:S50终端基于接收到的重定向报文向Portal服务器发送上网请求;S51Portal服务器将Portal页面响应至终端;S52用户在终端中输入用户信息,实现用户的Portal认证。
最后,要说明的是,在终端断开无线网络或者用户已认证成功的情况下,路由器根据该用户的终端MAC地址,删除关于该终端MAC地址的所有表项记录,删除关于该终端MAC地址的ARP表项记录;另外,并遍历转发表项,根据表项中的包进入的时间time记录,将其与当前时间比对,若时间间隔大于30s,则将表项中所有记录全部删除,以此限制表项中数据增长。
如图4所示为本发明提供的路由器,应用于上述基于https协议的Portal认证方法。具体,在该路由器100中包括一支持https协议的网站服务器130,且路由器100和网站服务器130分别与终端通信连接,从图中可以看出,在该路由器100中包括相互连接的报文收发模块110和判断模块120。
在工作过程中,首先报文收发模块110接收终端发送的请求报文;之后,判断模块120判断报文接收模块接收到的请求报文是否为基于https协议的加密请求报文,若判断模块120判断出其为加密请求报文,则判断模块120进一步断发送请求报文的用户是否被Portal认证过;若判断模块120判断该用户未被Portal认证过,则报文收发模块110将请求报文转发至网站服务器130。
具体,在该路由器100中,若报文收发模块110接收到的报文为https协议的加密请求报文,则将其转发至支持https协议的网站服务器130,以此网站服务器130对该加密请求报文进行解密并将重定向报文反馈回终端,终端就能根据正常http协议的Portal认证方法进行身份认证。具体,在判断模块120中,根据请求报文传送的端口判断其是否为加密请求报文,即判断请求报文中的目的端口是否为端口443,若是,则判断该请求报文为加密请求报文;若不是,则判断该请求报文不是加密请求报文,不做后续转发处理;之后,判断模块120进一步根据终端MAC地址判断其是否被Portal认证过,若判断出该终端已经被Portal认证过了,则放行该终端,不再需要Portal认证;若判断出该终端未被Portal认证,则报文收发模块110将请求报文转发至网站服务器130中进行处理。
对上述实施方式进行改进得到本实施方式,如图5所示,在本实施方式中,路由器100中除了包括上述报文收发模块110和判断模块120之外,还包括配置模块140,用于创建路由器100网关接口名称及配置相应的IP地址。在一个实例中,上述网站服务器130为支持https协议的nginx服务器,在配置过程中,首先通过配置模块140给路由器100网关接口br0取个别名br0:0,且在br0:0上配置相应的IP地址6.0.0.1、子网掩码255.0.0.0,这样,nginx服务器在路由器100上运行时,时刻监听IP地址为6.0.0.1,端口为443的数据包即可。
对上述实施方式进行改进得到本实施方式,如图6所示,在本实施方式中,在该路由器100中包括上述报文收发模块110、判断模块120以及配置模块140之外,还包括参数提取模块150、表项查找模块160、表项修正模块170以及转发IP地址获取模块180。
在将请求报文转发至网站服务器130的过程中:首先通过参数提取模块150提取请求报文中的源IP地址、目的IP地址、终端MAC地址、源端口以及目的端口;之后,表项查找模块160根据参数提取模块150中提取出的参数在表项中查找,若参数提取模块150提取的各项参数未在表项中,则通过表项修正模块170将其添加入表项;之后,转发IP地址获取模块180根据终端MAC地址和路由器中网关接口的IP地址得到伪装源IP地址、同时将网关接口的IP地址设定为伪装目的IP地址;之后,表项修正模块170将伪装源IP地址和伪装目的IP地址添加入表项中。以此,报文收发模块110将请求报文转发至路由器100中网关接口的MAC地址,网站服务器130通过监听路由器中网关接口的IP地址得到请求报文。
网站服务器130对请求报文进行解析处理,将302重定向报文发送至终端的过程中:首先,表项查找模块160根据重定向报文中的目的IP地址在表项中查找到相应的终端MAC地址,并将其作为重定向报文发送的目的MAC地址;之后,表项查找模块160在表项中查找到发送重定向报文的源端口和目的端口,以及在表项中查找到请求报文中的源IP地址和目的IP地址;接着,转发IP地址获取模块180将重定向报文中的源IP地址和目的IP地址替换为请求报文中的目的IP地址和源IP地址;最后,报文收发模块110将重定向报文转发至终端。
最后,要说明的是,在终端断开无线网络或者用户已认证成功的情况下,路由器100根据该用户的终端MAC地址,删除关于该终端MAC地址的所有表项记录,删除关于该终端MAC地址的ARP表项记录;另外,并遍历转发表项,根据表项中的包进入的时间time记录,将其与当前时间比对,若时间间隔大于30s,则将表项中所有记录全部删除,以此限制表项中数据增长。
应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于https协议的Portal认证方法,其特征在于,应用于路由器,所述路由器中包括一支持https协议的网站服务器,且所述路由器和所述网站服务器分别与终端通信连接,所述Portal认证方法中包括:
S10接收终端发送的请求报文;
S20判断接收到的请求报文是否为基于https协议的加密请求报文;
S30若判断请求报文为加密请求报文,进一步判断发送请求报文的用户是否被Portal认证过;
S40若该用户未被Portal认证过,将请求报文转发至网站服务器,以此网站服务器对请求报文进行解密并将基于http协议的重定向报文发送至终端,实现用户的Portal认证。
2.如权利要求1所述的Portal认证方法,其特征在于,在步骤S10之前包括配置路由器的步骤,具体包括:
S01创建路由器网关接口名称;
S02配置相应的IP地址,以供网络服务器监测。
3.如权利要求1所述的Portal认证方法,其特征在于,
在步骤S20中,根据请求报文传送的端口判断其是否为加密请求报文;
和/或,在步骤S30中,根据终端MAC地址判断其是否被Portal认证过。
4.如权利要求1或2或3所述的Portal认证方法,其特征在于,在步骤S40中将请求报文转发至网站服务器之前包括:
S41获取请求报文中的源IP地址、目的IP地址、终端MAC地址、源端口以及目的端口;
S42查找表项,若步骤S41中各项参数未在表项中,则将其添加入表项;
S43根据终端MAC地址和路由器中网关接口的IP地址得到伪装源IP地址,同时将网关接口的IP地址设定为伪装目的IP地址;
S44将伪装源IP地址和伪装目的IP地址添加入表项中。
5.如权利要求4所述的Portal认证方法,其特征在于,在步骤S40中将请求报文转发至网站服务器具体为:将请求报文转发至路由器中网关接口的MAC地址,网站服务器通过监听路由器中网关接口的IP地址得到请求报文。
6.如权利要求4所述的Portal认证方法,其特征在于,在步骤S40中将基于http协议的重定向报文发送至终端具体包括:
S45根据重定向报文中的目的IP地址在表项中查找到相应的终端MAC地址,并将其作为重定向报文发送的目的MAC地址;
S46在表项中查找到发送重定向报文的源端口和目的端口;
S47在表项中查找到请求报文中的源IP地址和目的IP地址;
S48将重定向报文中的源IP地址和目的IP地址替换为请求报文中的目的IP地址和源IP地址;
S49基于步骤S46中查找到的目的端口和步骤S48中替换后得到的目的地址将重定向报文转发至终端。
7.如权利要求1或2或3或5或6所述的Portal认证方法,其特征在于,在步骤S40中将基于http协议的重定向报文发送至终端之后还包括:
S50终端基于接收到的重定向报文向Portal服务器发送上网请求;
S51Portal服务器将Portal页面响应至终端;
S52用户在终端中输入用户信息,实现用户的Portal认证。
8.一种路由器,其特征在于,所述路由器中包括一支持https协议的网站服务器,且所述路由器和所述网站服务器分别与终端通信连接,所述路由器中还包括:
报文收发模块,用于接收终端发送的请求报文,及用于将请求报文转发至网站服务器;
判断模块,用于判断报文接收模块接收到的请求报文是否为基于https协议的加密请求报文,及用于断发送请求报文的用户是否被Portal认证过。
9.如权利要求8所述的路由器,其特征在于,所述路由器中还包括配置模块,用于创建路由器网关接口名称及配置相应的IP地址。
10.如权利要求8或9所述的路由器,其特征在于,所述路由器中还包括:
参数提取模块,用于从报文收发模块中接收到的请求报文中提取源IP地址、目的IP地址、终端MAC地址、源端口以及目的端口;
表项查找模块,用于根据参数提取模块中提取出的参数在表项中查找;用于根据重定向报文中的目的IP地址在表项中查找到相应的终端MAC地址,并将其作为重定向报文发送的目的MAC地址;用于在表项中查找到发送重定向报文的源端口和目的端口;以及在表项中查找到请求报文中的源IP地址和目的IP地址;
表项修正模块,用于根据表项查找模块中的查找结果将参数提取模块中提取的参数添加入表项,及用于将伪装源IP地址和伪装目的IP地址添加入表项中;
转发IP地址获取模块,用于根据终端MAC地址和路由器中网关接口的IP地址得到伪装源IP地址;用于根据网关接口的IP地址得到伪装目的IP地址;以及用于将重定向报文中的源IP地址和目的IP地址替换为请求报文中的目的IP地址和源IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610991174.8A CN106603491B (zh) | 2016-11-10 | 2016-11-10 | 基于https协议的Portal认证方法及路由器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610991174.8A CN106603491B (zh) | 2016-11-10 | 2016-11-10 | 基于https协议的Portal认证方法及路由器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106603491A true CN106603491A (zh) | 2017-04-26 |
| CN106603491B CN106603491B (zh) | 2020-09-25 |
Family
ID=58591284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610991174.8A Active CN106603491B (zh) | 2016-11-10 | 2016-11-10 | 基于https协议的Portal认证方法及路由器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603491B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181798A (zh) * | 2017-05-15 | 2017-09-19 | 上海斐讯数据通信技术有限公司 | 一种网络访问的实现方法及系统 |
| CN107395582A (zh) * | 2017-07-14 | 2017-11-24 | 上海斐讯数据通信技术有限公司 | Portal认证装置及系统 |
| CN107483475A (zh) * | 2017-09-06 | 2017-12-15 | 上海尚渝网络科技有限公司 | 大并发量下的网络认证系统及其方法 |
| CN108282783A (zh) * | 2017-09-15 | 2018-07-13 | 广州市动景计算机科技有限公司 | 公共wifi认证方法、装置、用户终端及存储介质 |
| CN109005154A (zh) * | 2018-07-01 | 2018-12-14 | 甘肃万维信息技术有限责任公司 | 一种基于3des算法电信宽带aaa上网认证解密方法 |
| CN109165511A (zh) * | 2018-08-08 | 2019-01-08 | 深圳前海微众银行股份有限公司 | Web安全漏洞处理方法、系统及计算机可读存储介质 |
| CN109474588A (zh) * | 2018-11-02 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种终端认证方法及装置 |
| CN109688127A (zh) * | 2018-12-20 | 2019-04-26 | 深圳市吉祥腾达科技有限公司 | 一种支持HTTPS页面跳转的web认证方法 |
| CN110061967A (zh) * | 2019-03-15 | 2019-07-26 | 平安科技(深圳)有限公司 | 业务数据提供方法、装置、设备及计算机可读存储介质 |
| CN110120960A (zh) * | 2018-02-05 | 2019-08-13 | 上海佰贝科技发展股份有限公司 | 一种网页重定向跳转方法及其系统 |
| CN111064775A (zh) * | 2019-12-05 | 2020-04-24 | 深圳市任子行科技开发有限公司 | 旁路部署模式下针对HTTPS协议进行portal认证的方法及系统 |
| CN111787025A (zh) * | 2020-07-23 | 2020-10-16 | 迈普通信技术股份有限公司 | 加解密处理方法、装置、系统以及数据保护网关 |
| CN113179268A (zh) * | 2021-04-27 | 2021-07-27 | 青岛海信宽带多媒体技术有限公司 | 一种路由器和路由器网络异常重定向的方法 |
| CN114124547A (zh) * | 2021-11-26 | 2022-03-01 | 中国电信股份有限公司 | 认证控制方法、装置、存储介质及电子设备 |
| CN114143379A (zh) * | 2021-11-29 | 2022-03-04 | 杭州迪普科技股份有限公司 | 基于Portal认证的HTTPS重定向装置及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015048811A2 (en) * | 2013-09-30 | 2015-04-02 | Schneider Electric Industries Sas | Cloud-authenticated site resource management devices, apparatuses, methods and systems |
| CN104821940A (zh) * | 2015-04-16 | 2015-08-05 | 京信通信技术(广州)有限公司 | 一种发送portal重定向地址的方法及设备 |
| CN105050081A (zh) * | 2015-08-19 | 2015-11-11 | 腾讯科技(深圳)有限公司 | 网络接入设备接入无线网络接入点的方法、装置和系统 |
| CN105141618A (zh) * | 2015-09-15 | 2015-12-09 | 华为技术有限公司 | 一种网络连接的认证方法及网络接入设备 |
-
2016
- 2016-11-10 CN CN201610991174.8A patent/CN106603491B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015048811A2 (en) * | 2013-09-30 | 2015-04-02 | Schneider Electric Industries Sas | Cloud-authenticated site resource management devices, apparatuses, methods and systems |
| CN104821940A (zh) * | 2015-04-16 | 2015-08-05 | 京信通信技术(广州)有限公司 | 一种发送portal重定向地址的方法及设备 |
| CN105050081A (zh) * | 2015-08-19 | 2015-11-11 | 腾讯科技(深圳)有限公司 | 网络接入设备接入无线网络接入点的方法、装置和系统 |
| CN105141618A (zh) * | 2015-09-15 | 2015-12-09 | 华为技术有限公司 | 一种网络连接的认证方法及网络接入设备 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181798A (zh) * | 2017-05-15 | 2017-09-19 | 上海斐讯数据通信技术有限公司 | 一种网络访问的实现方法及系统 |
| CN107395582A (zh) * | 2017-07-14 | 2017-11-24 | 上海斐讯数据通信技术有限公司 | Portal认证装置及系统 |
| CN107483475A (zh) * | 2017-09-06 | 2017-12-15 | 上海尚渝网络科技有限公司 | 大并发量下的网络认证系统及其方法 |
| CN108282783A (zh) * | 2017-09-15 | 2018-07-13 | 广州市动景计算机科技有限公司 | 公共wifi认证方法、装置、用户终端及存储介质 |
| CN108282783B (zh) * | 2017-09-15 | 2021-03-09 | 阿里巴巴(中国)有限公司 | 公共wifi认证方法、装置、用户终端及存储介质 |
| CN110120960A (zh) * | 2018-02-05 | 2019-08-13 | 上海佰贝科技发展股份有限公司 | 一种网页重定向跳转方法及其系统 |
| CN109005154A (zh) * | 2018-07-01 | 2018-12-14 | 甘肃万维信息技术有限责任公司 | 一种基于3des算法电信宽带aaa上网认证解密方法 |
| CN109165511A (zh) * | 2018-08-08 | 2019-01-08 | 深圳前海微众银行股份有限公司 | Web安全漏洞处理方法、系统及计算机可读存储介质 |
| CN109474588A (zh) * | 2018-11-02 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种终端认证方法及装置 |
| CN109688127A (zh) * | 2018-12-20 | 2019-04-26 | 深圳市吉祥腾达科技有限公司 | 一种支持HTTPS页面跳转的web认证方法 |
| CN110061967A (zh) * | 2019-03-15 | 2019-07-26 | 平安科技(深圳)有限公司 | 业务数据提供方法、装置、设备及计算机可读存储介质 |
| CN110061967B (zh) * | 2019-03-15 | 2022-02-22 | 平安科技(深圳)有限公司 | 业务数据提供方法、装置、设备及计算机可读存储介质 |
| CN111064775A (zh) * | 2019-12-05 | 2020-04-24 | 深圳市任子行科技开发有限公司 | 旁路部署模式下针对HTTPS协议进行portal认证的方法及系统 |
| CN111787025A (zh) * | 2020-07-23 | 2020-10-16 | 迈普通信技术股份有限公司 | 加解密处理方法、装置、系统以及数据保护网关 |
| CN111787025B (zh) * | 2020-07-23 | 2022-02-22 | 迈普通信技术股份有限公司 | 加解密处理方法、装置、系统以及数据保护网关 |
| CN113179268A (zh) * | 2021-04-27 | 2021-07-27 | 青岛海信宽带多媒体技术有限公司 | 一种路由器和路由器网络异常重定向的方法 |
| CN114124547A (zh) * | 2021-11-26 | 2022-03-01 | 中国电信股份有限公司 | 认证控制方法、装置、存储介质及电子设备 |
| CN114124547B (zh) * | 2021-11-26 | 2023-11-28 | 中国电信股份有限公司 | 认证控制方法、装置、存储介质及电子设备 |
| CN114143379A (zh) * | 2021-11-29 | 2022-03-04 | 杭州迪普科技股份有限公司 | 基于Portal认证的HTTPS重定向装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106603491B (zh) | 2020-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603491A (zh) | 基于https协议的Portal认证方法及路由器 | |
| US20220407948A1 (en) | Load Balancing and Session Persistence in Packet Networks | |
| JP4741193B2 (ja) | インターネット接続時のネットワークアクセスにおけるユーザ認証方法およびシステム | |
| US7734791B2 (en) | Asynchronous hypertext messaging | |
| CA2419853A1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| WO2022151867A1 (zh) | 一种http转https双向透明代理的方法和装置 | |
| US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
| US10277586B1 (en) | Mobile authentication with URL-redirect | |
| CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| CA2527550A1 (en) | Method for securely associating data with https sessions | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| US20060143440A1 (en) | Using authentication server accounting to create a common security database | |
| CN103188351A (zh) | IPv6 环境下IPSec VPN 通信业务处理方法与系统 | |
| EP3334115A1 (en) | User authentication based on token | |
| CN110611893B (zh) | 为漫游无线用户设备扩展订户服务 | |
| CN102710667A (zh) | 实现Portal认证服务器防攻击的方法及宽带接入服务器 | |
| CN101217512A (zh) | 客户端状态维护方法、系统、客户端及应用服务器 | |
| CN104811439A (zh) | 一种Portal认证的方法和设备 | |
| JP4598308B2 (ja) | データ通信システム及びデータ通信方法 | |
| CN104735050B (zh) | 一种融合mac认证和web认证的认证方法 | |
| WO2017181800A1 (zh) | 一种基于操作系统的门户认证页面自适应系统及其方法 | |
| CN104936177A (zh) | 一种接入认证方法及接入认证系统 | |
| CN107786502A (zh) | 一种认证代理方法、装置和设备 | |
| EP3984178B1 (en) | Secure traffic optimization in an edge network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200831 Address after: 518109 A505, 5F, kaimei Plaza, 101 huanguan South Road, Guancheng community, Guanhu street, Longhua District, Shenzhen City, Guangdong Province Applicant after: SHENZHEN WAYOS TECHNOLOGY Co.,Ltd. Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Applicant before: Phicomm (Shanghai) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |