CN107682372A - 用于Portal逃生的用户信息获取及认证方法、装置和接入设备 - Google Patents
用于Portal逃生的用户信息获取及认证方法、装置和接入设备 Download PDFInfo
- Publication number
- CN107682372A CN107682372A CN201711163148.7A CN201711163148A CN107682372A CN 107682372 A CN107682372 A CN 107682372A CN 201711163148 A CN201711163148 A CN 201711163148A CN 107682372 A CN107682372 A CN 107682372A
- Authority
- CN
- China
- Prior art keywords
- user
- access terminal
- identifiable
- mac address
- portal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开一种用于Portal逃生的用户信息获取及认证方法、装置和接入设备,当Portal系统正常时,接入设备可直接获取接入终端的介质访问控制MAC地址等重定向到Portal服务器的数据流信息,无需其他附加设备;而由于介质访问控制MAC地址是接入终端的唯一确定的硬件地址,因此基于认证成功的终端的MAC地址的可认证用户列表,也具有唯一确定性,因此,与现有技术相比,采用本申请方法获取到的用户信息更加准确。当Portal系统异常,开始逃生时,接入设备通过在本地可认证用户列表中查找接入终端的MAC地址,即可准确判断出是否应允许该用户接入,完成Portal逃生,而无需其他功能设备。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种用于Portal逃生的用户信息获取方法及装置,一种用于Portal逃生的的用户认证方法,以及一种接入设备。
背景技术
Portal认证通常也称为web认证。用户可以主动访问已知的Portal认证网站,输入用户名和密码进行主动认证。或者在未认证用户试图通过http访问外网网址时,被强制弹出Portal认证网站从而开始Portal认证过程。
Portal系统的典型组网方式由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证计费服务器、安全策略服务器。基于该五要素的Portal认证过程包括,当用户访问网络时,在web网页浏览器输入一个互联网地址,此http请求经过接入设备时被重定向到Portal服务器,浏览器上将显示出Portal服务器的web认证主页;用户在web认证主页上输入用户名和密码后提交,Portal服务器将用户的认证信息传给接入设备;接入设备与认证计费服务器通信,完成用户认证开始计费;认证通过后,接入设备允许用户访问互联网,并根据安全策略服务器的配置来控制用户访问不同的网络资源。
在Portal实际组网应用中,如果Portal系统异常,或者与接入设备的通信中断,就会导致未认证用户无法接入,在线用户无法正常下线引起收费异常等问题。此时,便产生了Portal逃生的需求。Portal逃生的实施需依赖于两大功能:其一是接入设备能够周期性检测Portal系统是否正常,其二是接入设备能够确定可认证用户,只有确定可认证用户,才能尽可能地识别不同用户的流量,确保Portal逃生后能够按照Portal系统正常时的方式来完成用户认证,降低Portal系统异常产生的影响。
对于可认证用户信息的获取,现有技术的方式为:在Portal服务器上记录认证用户的用户名称及对应的IP地址等信息,然后通过协议报文定时向接入设备发送这些用户信息,接入设备收到协议报文后,解析出用户信息并存储到本地,作为可认证用户。当接入设备探测到Portal系统异常开始逃生时,接入设备根据未认证用户的请求数据中携带的IP地址从本地存储的可认证用户信息中查找,从而控制此用户的接入。
然而,采用现有技术方案时,需要Portal服务器和接入设备均支持处理用户信息同步的协议报文,而实际上该协议报文并没有固定标准,多数是各厂商的私有定义。为了实现Portal逃生功能,客户不得不同时升级Portal服务器和接入设备,造成不必要的资源浪费。同时,在很多组网环境下,IP地址是采用DHCP动态获取的方式,同一个用户每次Portal认证时使用的IP地址并不固定,如果通过IP地址来识别用户,准确性较差。
发明内容
本申请提供用于Portal逃生的用户信息获取及认证方法、装置和接入设备,以解决当Portal系统异常,开始逃生时,接入设备无法准确获知可认证用户的技术问题。
第一方面,本申请提供一种用于Portal逃生的用户信息获取方法,该方法包括:
当Portal系统正常时,获取被接入设备重定向到Portal服务器的数据流信息;所述数据流信息包括接入终端的介质访问控制MAC地址;
如果所述接入终端Portal认证成功,则将所述接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对;
如果比对结果为不匹配,则将所述接入终端设置为可认证用户,并根据所述接入终端的介质访问控制MAC地址,更新所述可认证用户列表。
采用本实现方式,当Portal系统正常时,接入设备可直接获取接入终端的介质访问控制MAC地址等重定向到Portal服务器的数据流信息,无需其他附加设备;而由于介质访问控制MAC地址是接入终端的唯一确定的硬件地址,因此基于认证成功的终端的MAC地址的可认证用户列表,也具有唯一确定性,因此,与现有技术相比,采用本实现方式获取到的用户信息更加准确。
当Portal系统异常,开始逃生时,接入设备通过在本地可认证用户列表中查找接入终端的MAC地址,即可准确判断出是否应允许该用户接入,完成Portal逃生,而无需其他功能设备。
结合第一方面,在第一方面第一种可能的实现方式中,所述将接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对之前,所述方法还包括:
判断预设的可认证用户列表是否为空,如果所述预设的可认证用户列表为空,则根据所述接入终端的介质访问控制MAC地址,生成存储条目,并添加至所述可认证用户列表中。
结合第一方面第一种可能的实现方式,在第一方面第二种可能的实现方式种,所述将接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对,包括:
遍历所述可认证用户列表的存储条目,将所述接入终端的介质访问控制MAC地址与所述存储条目中的可认证终端介质访问控制MAC地址进行比对;
如果存在一行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址匹配,则比对结果为匹配;
如果每行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址均不匹配,则比对结果为不匹配。
由于同一用户每次认证的IP地址、用户名称及密码均有可能发生变动,采用本实现方式,只对接入终端的介质访问控制MAC地址与存储条目中可认证终端介质访问控制MAC地址单独对比,一方面简化数据处理步骤,另一方面,避免了当用户名称等其他信息发生变化时,造成的匹配不准确的情况。
结合第一方面第二种可能的实现方式,在第一方面第三种可能的实现方式中,所述根据接入终端的介质访问控制MAC地址,更新所述可认证用户列表,包括:
将所述接入终端的介质访问控制MAC地址、本次认证的用户名称以及本次认证时间生成存储条目;
将生成的存储条目添加至所述可认证用户列表中。
采用本实现方式,逐渐将首次接入的用户的用户信息生成存储条目,添加到可认证用户列表中,所述用户信息包括接入终端的介质访问控制MAC地址、本次认证的用户名称以及本次认证时间。接入终端的介质访问控制MAC地址,用于Portal逃生时作为判断用户是否允许接入;本次认证的用户名称,用于建立接入终端与用户名称的对应关系,以便在Portal逃生时直接根据终端MAC即可正确获取终端流量的所属用户;本次认证时间,用于保证可认证用户列表的有效性。
结合第一方面第三种可能的实现方式,在第一方面第四种可能的实现方式中,所述方法还包括:
如果比对结果为匹配,则对所述接入终端本次认证的用户名称与匹配的存储条目中的用户名称进行比对;
如果所述接入终端本次认证的用户名称与所述匹配的存储条目中的用户名称不同,则将所述匹配的存储条目中的用户名称修改为所述接入终端本次认证的用户名称;
以及,将所述匹配的存储条目中的认证时间修改为所述接入终端的本次认证时间。
采用本实现方式,可以更新存储条目中接入终端与用户名称的对应关系,更新认证时间有利于保证可认证用户列表的有效性。
结合第一方面第四种可能的实现方式,在第一方面第五种可能的实现方式中,所述方法还包括:
根据所述可认证用户列表的存储条目中的认证时间,确定可认证用户的不活跃时长;
如果所述不活跃时长超过预设时长,则将该可认证用户对应的存储条目删除。
采用本实现方式,保证可认证用户列表的有效性,将失效用户对应的存储条目删除,还能节省本地存储空间,提高查找效率。
第二方面,本申请提供一种用于Portal逃生的用户信息获取装置,该装置包括:
信息获取单元,用于当Portal系统正常时,获取被接入设备重定向到Portal服务器的数据流信息;所述数据流信息包括接入终端的介质访问控制MAC地址;
信息比对单元,用于如果所述接入终端Portal认证成功,则将所述接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对;
列表更新单元,用于如果比对结果为不匹配,则将所述接入终端设置为可认证用户,并根据所述接入终端的介质访问控制MAC地址,更新所述可认证用户列表。
结合第二方面,在第二方面第一种可能的实现方式中,所述信息比对单元还用于,判断预设的可认证用户列表是否为空,如果所述预设的可认证用户列表为空,则根据所述接入终端的介质访问控制MAC地址,生成存储条目,并添加至所述可认证用户列表中。
结合第二方面第二种可能的实现方式,在第二方面第三种可能的实现方式中,所述信息比对单元,包括:
MAC地址比对子单元,用于遍历所述可认证用户列表的存储条目,将所述接入终端的介质访问控制MAC地址与所述存储条目中的可认证终端介质访问控制MAC地址进行比对;
判断子单元,用于如果存在一行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址匹配,则比对结果为匹配;
如果每行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址均不匹配,则比对结果为不匹配。
结合第二方面第三种可能的实现方式,在第二方面第四种可能的实现方式中,所述列表更新单元,包括:
条目生成子单元,用于将所述接入终端的介质访问控制MAC地址、本次认证的用户名称以及本次认证时间生成存储条目;
添加子单元,用于将生成的存储条目添加至所述可认证用户列表中。
结合第二方面第四种可能的实现方式,在第二方面第五种可能的实现方式中,所述列表更新单元,还包括:
名称比对子单元,用于如果比对结果为匹配,则对所述接入终端本次认证的用户名称与匹配的存储条目中的用户名称进行比对;
修改子单元,用于如果所述接入终端本次认证的用户名称与所述匹配的存储条目中的用户名称不同,则将所述匹配的存储条目中的用户名称修改为所述接入终端本次认证的用户名称;
以及,将所述匹配的存储条目中的认证时间修改为所述接入终端的本次认证时间。
结合第二方面第五种可能的实现方式,在第二方面第六种可能的实现方式中,所述装置还包括:
不活跃时长确定单元,用于根据所述可认证用户列表的存储条目中的认证时间,确定可认证用户的不活跃时长;
删除单元,用于如果所述不活跃时长超过预设时长,则将该可认证用户对应的存储条目删除。
第三方面,本申请提供一种用于Portal逃生的用户认证方法,该方法包括:
当Portal系统异常,接入终端开始Portal逃生时,接入设备根据所述接入终端的数据流信息中的介质访问控制MAC地址,从本申请第一方面所述的可认证用户列表中,查询所述接入终端是否为可认证用户;如果所述接入终端是可认证用户,则使所述接入终端认证成功;如果所述接入终端非可认证用户,则使所述接入终端认证失败。
采用本实现方式,利用接入设备上存储的可认证用户列表,只需要接入设备即可实现Portal逃生功能,无需与Portal系统中其它设备再进行特殊交互,将使Portal逃生功能对Portal系统中的设备要求降低。
第四方面,本申请提供一种接入设备,包括接收器、发送器、存储器以及处理器,所述处理器被配置为,当Portal系统正常,应用本申请第一方面所述的方法,获取用户信息,得到可认证用户列表;当Portal系统异常,接入终端开始Portal逃生时,根据所述接入终端的数据流信息中的介质访问控制MAC地址,从所述可认证用户列表中,查询所述接入终端是否为可认证用户;如果所述接入终端是可认证用户,则使所述接入终端认证成功;如果所述接入终端非可认证用户,则使所述接入终端认证失败。
采用本实现方式,直接在接入设备上记录可认证用户的信息,无需与Portal系统中其它设备再进行特殊交互,只需要接入设备即可实现Portal逃生功能,将使Portal逃生功能对Portal系统中的设备要求降低。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一种可选的应用场景示意图;
图2为Portal系统组成示意图;
图3为本申请用于Portal逃生的用户信息获取方法一个实施例流程图;
图4为本申请用于Portal逃生的用户信息获取方法另一个实施例流程图;
图5为本申请用于Portal逃生的用户信息获取方法又一个实施例流程图;
图6为本申请用于Portal逃生的用户信息获取方法又一个实施例流程图;
图7为本申请用于Portal逃生的用户信息获取方法又一个实施例流程图;
图8为本申请用于Portal逃生的用户信息获取装置一个实施例示意图;
图9为本申请用于Portal逃生的用户信息获取装置另一个实施例示意图。
具体实施方式
本申请中,接入终端可以理解为安装有网页浏览器或者Portal客户端软件的终端设备,例如PC机或手机,用户通过接入终端访问网络;接入设备可以理解为路由器等宽带接入设备,主要作用是在认证前将用户所有HTTP请求都重定向到Portal服务器;认证过程中与Portal服务器、认证计费服务器、安全策略服务器交互,完成认证计费、安全策略的功能;认证成功后,允许用户访问授权的互联网资源。Portal服务器用于接入终端的认证请求,提供web认证的界面的服务器。
参见图1,为本申请一种可选的应用场景示意图,终端例如图1中的手机通过无线网络与接入设备连接,通过接入设备连接到Internet网络,在终端成功通过接入设备连接到Internet网络之前,需完成Portal系统的认证过程,如果认证成功,则允许接入,如果认证失败,则不允许接入。
参见图2,为Portal系统组成示意图,Portal系统对终端的认证过程包括当用户访问网络时,在web网页浏览器输入一个互联网地址,此http请求经过接入设备时被重定向到Portal服务器,浏览器上将显示出Portal服务器的web认证主页;用户在web认证主页上输入用户名和密码后提交,Portal服务器将用户的认证信息传给接入设备;接入设备与认证计费服务器通信,完成用户认证开始计费;认证通过后,接入设备允许用户访问互联网,并根据安全策略服务器的配置来控制用户访问不同的网络资源。
由上述认证过程可知,Portal认证过程中的所有设备都需要与接入设备进行交互,接入设备可以获取用户的全部信息,若把每个用户的信息在接入设备上进行存储,那么在Portal系统运行一段时间达到稳态后,接入设备上的用户信息将与Portal服务器和认证计费服务器上的用户信息达到一致。并且,每个终端(如PC机或手机)的介质访问控制MAC地址是固定不变的,具有唯一性,因此,可以通过MAC地址来准确识别出每个终端。在接入设备上记录终端的介质访问控制MAC地址与用户的对应关系,即可在Portal逃生时,直接根据数据流信息中的介质访问控制MAC地址,精确得到流量的所属用户。
基于此,为了在Portal认证场景下,只由接入设备即可实现Portal逃生功能,并且在portal逃生时能够更精准的识别出流量的所属认证用户,本申请提供一种用于Portal逃生的用户信息获取方法,参阅图3,该方法包括:
步骤301,当Portal系统正常时,获取被接入设备重定向到Portal服务器的数据流信息;所述数据流信息包括接入终端的介质访问控制MAC地址;
本申请实施例中,接入终端的介质访问控制MAC地址从接入终端发送给接入设备的数据流信息中获取,该数据流信息可以是HTTP、DHCP等协议报文,在Portal认证过程中,该数据流信息同时被接入设备重定向到Portal服务器。
本申请实施例应用于网络侧,并不对终端进行改变。网络侧设备包括接入设备和/或获取、比对以及处理等功能实体。其中,接入设备可以是BRAS(Broadband Remote AccessServer,宽带远程接入服务器)或AC(Access Controller,接入控制器)或AP(AccessPoint,无线接入点),本实施例不对此做出限定。
本申请实施例中的接入设备可以具有获取、比对以及处理等功能来执行本申请提供的方法,也可通过其他获取、比对以及处理等功能实体完成。
步骤302,如果所述接入终端Portal认证成功,则将所述接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对;
在一些实施例中,在将所述接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对之前,还包括:判断预设的可认证用户列表是否为空,如果所述预设的可认证用户列表为空,则根据所述接入终端的介质访问控制MAC地址,生成存储条目,并添加至所述可认证用户列表中。
本申请实施例中,预设可认证用户列表,该预设的可认证用户列表中的存储条目可能为空,此时,说明接入设备或其他功能实体还未获取到可认证用户信息。预设可认证用户列表时,应定义列表中存储条目对用户信息的存储规则,然后根据定义的存储规则将相应的用户信息生成存储条目。
例如,当在Portal服务器系统正常时,终端A的数据流信息(http请求流量)http请求流量到接入设备后,接入设备判断此流量未经认证,就根据MAC1创建临时用户a,并向终端A推送Portal服务器的web认证页面。
终端A的用户在认证页面输入用户名a和密码提交后,认证信息由Portal服务器与Portal系统中其他设备进行交互,并将认证成功的结果发送给接入设备。这时接入设备就将MAC1、用户名a、和认证时间生成存储条目,记录添加到到本地的可认证用户表中,此时,原本为空的可认证用户表中,就包括一行存储条目。
Portal系统运行一段时间后,接入设备上存储的可认证用户列表中可能将包含三行存储条目:
条目1-MAC1、用户a、认证时间2017-10-14 12:23;
条目2-MAC2、用户b、认证时间2017-10-17 12:25;
条目3-MAC3、用户c、认证时间2017-10-18 1:30。
可以看出,在认证用户列表中,每一条存储条目均体现出MAC地址与用户的对应关系。
参阅图4,在一些实施例中,所述将接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对,包括:
步骤401,遍历所述可认证用户列表的存储条目,将所述接入终端的介质访问控制MAC地址与所述存储条目中的可认证终端介质访问控制MAC地址进行比对;
步骤402,如果存在一行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址匹配,则比对结果为匹配;
步骤403,如果每行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址均不匹配,则比对结果为不匹配。
例如,假设当前可认证用户列表中包含三行存储条目:
条目1-MAC1、用户a、认证时间2017-10-14 12:23;
条目2-MAC2、用户b、认证时间2017-10-17 12:25;
条目3-MAC3、用户c、认证时间2017-10-18 1:30。
若接入终端的介质访问控制MAC地址为MAC4,则比对结果为不匹配。
若接入终端的介质访问控制MAC地址为MAC1,则比对结果为匹配,且存储条目1为匹配的存储条目;
若接入终端的介质访问控制MAC地址为MAC2,则比对结果为匹配,且存储条目2为匹配的存储条目。
由于同一用户每次认证的IP地址、用户名称及密码均有可能发生变动,采用本实现方式,只对接入终端的介质访问控制MAC地址与存储条目中可认证终端介质访问控制MAC地址单独对比,一方面简化数据处理步骤,另一方面,避免了当用户名称等其他信息发生变化时,造成的匹配不准确的情况。
步骤303,如果比对结果为不匹配,则将所述接入终端设置为可认证用户,并根据所述接入终端的介质访问控制MAC地址,更新所述可认证用户列表。
参阅图5,在一些实施例中,所述根据接入终端的介质访问控制MAC地址,更新所述可认证用户列表,包括:
步骤501,将所述接入终端的介质访问控制MAC地址、本次认证的用户名称以及本次认证时间生成存储条目;
步骤502,将生成的存储条目添加至所述可认证用户列表中。
采用本实现方式,逐渐将首次接入的用户的用户信息生成存储条目,添加到可认证用户列表中,所述用户信息包括接入终端的介质访问控制MAC地址、本次认证的用户名称以及本次认证时间。接入终端的介质访问控制MAC地址,用于Portal逃生时作为判断用户是否允许接入;本次认证的用户名称,用于建立接入终端与用户名称的对应关系,以便在Portal逃生时直接根据终端MAC即可正确获取终端流量的所属用户;本次认证时间,用于保证可认证用户列表的有效性。
根据上述实施例可知,当Portal系统正常时,接入设备可直接获取接入终端的介质访问控制MAC地址等重定向到Portal服务器的数据流信息,无需其他附加设备;而由于介质访问控制MAC地址是接入终端的唯一确定的硬件地址,因此基于认证成功的终端的MAC地址的可认证用户列表,也具有唯一确定性,因此,与现有技术相比,采用本实现方式获取到的用户信息更加准确。
当Portal系统异常,开始逃生时,接入设备通过在本地可认证用户列表中查找接入终端的MAC地址,即可准确判断出是否应允许该用户接入,完成Portal逃生,而无需其他功能设备。
参阅图6,在本申请的另一些实施例中,一种用于Portal逃生的用户信息获取方法还包括:
步骤601,如果比对结果为匹配,则对所述接入终端本次认证的用户名称与匹配的存储条目中的用户名称进行比对;
步骤602,如果所述接入终端本次认证的用户名称与所述匹配的存储条目中的用户名称不同,则将所述匹配的存储条目中的用户名称修改为所述接入终端本次认证的用户名称;
以及,步骤603,将所述匹配的存储条目中的认证时间修改为所述接入终端的本次认证时间。
采用本实现方式,可以更新存储条目中接入终端与用户名称的对应关系,以便在Portal逃生时直接根据终端MAC即可正确获取终端流量的所属用户;本次认证时间,用于保证可认证用户列表的有效性。
参阅图7,在本申请的另一些实施例中,一种用于Portal逃生的用户信息获取方法还包括:
步骤701,根据所述可认证用户列表的存储条目中的认证时间,确定可认证用户的不活跃时长;
步骤702,如果所述不活跃时长超过预设时长,则将该可认证用户对应的存储条目删除。
采用本实现方式,保证可认证用户列表的有效性,将失效用户对应的存储条目删除,还能节省本地存储空间,提高查找效率。
根据上述图1至图7所示实施例提供的用于Portal逃生的用户信息获取方法,本申请还提供一种用于Portal逃生的用户信息获取装置,参阅图8,该装置包括:
信息获取单元U801,用于当Portal系统正常时,获取被接入设备重定向到Portal服务器的数据流信息;所述数据流信息包括接入终端的介质访问控制MAC地址;
信息比对单元U802,用于如果所述接入终端Portal认证成功,则将所述接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对;
列表更新单元U803,用于如果比对结果为不匹配,则将所述接入终端设置为可认证用户,并根据所述接入终端的介质访问控制MAC地址,更新所述可认证用户列表。
其中,所述信息比对单元U802还用于,判断预设的可认证用户列表是否为空,如果所述预设的可认证用户列表为空,则根据所述接入终端的介质访问控制MAC地址,生成存储条目,并添加至所述可认证用户列表中。
在一些实施例中,所述信息比对单元U802,包括:
MAC地址比对子单元,用于遍历所述可认证用户列表的存储条目,将所述接入终端的介质访问控制MAC地址与所述存储条目中的可认证终端介质访问控制MAC地址进行比对;
判断子单元,用于如果存在一行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址匹配,则比对结果为匹配;
如果每行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址均不匹配,则比对结果为不匹配。
在一些实施例中,所述列表更新单元U803,包括:
条目生成子单元,用于将所述接入终端的介质访问控制MAC地址、本次认证的用户名称以及本次认证时间生成存储条目;
添加子单元,用于将生成的存储条目添加至所述可认证用户列表中。
所述列表更新单元U803,还包括:
名称比对子单元,用于如果比对结果为匹配,则对所述接入终端本次认证的用户名称与匹配的存储条目中的用户名称进行比对;
修改子单元,用于如果所述接入终端本次认证的用户名称与所述匹配的存储条目中的用户名称不同,则将所述匹配的存储条目中的用户名称修改为所述接入终端本次认证的用户名称;
以及,将所述匹配的存储条目中的认证时间修改为所述接入终端的本次认证时间。
参阅图9,在一些实施例中,所述装置还包括:
不活跃时长确定单元U901,用于根据所述可认证用户列表的存储条目中的认证时间,确定可认证用户的不活跃时长;
删除单元U902,用于如果所述不活跃时长超过预设时长,则将该可认证用户对应的存储条目删除。
根据上述实施例,本申请还提供一种用于Portal逃生的用户认证方法,当Portal系统异常,接入终端开始Portal逃生时,接入设备根据所述接入终端的数据流信息中的介质访问控制MAC地址,从上述实施例提供的可认证用户列表中,查询所述接入终端是否为可认证用户;如果所述接入终端是可认证用户,则使所述接入终端认证成功;如果所述接入终端非可认证用户,则使所述接入终端认证失败。
例如,接入设备发现Portal服务器出现异常,开始Portal逃生。
且可认证用户列表包括两行存储条目:
条目2-MAC2、用户b、认证时间2017-10-17 12:25;
条目3-MAC3、用户c、认证时间2017-10-18 1:30。
终端C的http请求到达接入设备,接入设备判断此流量还未认证,但是Portal服务器已经异常无法推送认证页面。接入设备就直接根据流量上携带的MAC3查询本地的可认证用户列表,查询成功确定该用户为可认证用户,允许终端C接入网络。
终端A的http请求到底接入设备,接入设备判断此流量还未认证,但是Portal服务器已经异常无法推送认证页面。接入设备根据流量上携带的MAC1查询本地的可认证用户列表,查询失败确定该用户不是可认证用户,不允许终端A接入网络。
采用本实现方式,利用接入设备上存储的可认证用户列表,只需要接入设备即可实现Portal逃生功能,无需与Portal系统中其它设备再进行特殊交互,将使Portal逃生功能对Portal系统中的设备要求降低。
根据上述实施例,本申请还提供一种接入设备,包括接收器、发送器、存储器以及处理器,所述处理器被配置为,当Portal系统正常,应用上述实施例提供的方法,获取用户信息,得到可认证用户列表;当Portal系统异常,接入终端开始Portal逃生时,根据所述接入终端的数据流信息中的介质访问控制MAC地址,从所述可认证用户列表中,查询所述接入终端是否为可认证用户;如果所述接入终端是可认证用户,则使所述接入终端认证成功;如果所述接入终端非可认证用户,则使所述接入终端认证失败。
采用本实现方式,直接在接入设备上记录可认证用户的信息,无需与Portal系统中其它设备再进行特殊交互,只需要接入设备即可实现Portal逃生功能,将使Portal逃生功能对Portal系统中的设备要求降低。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的用于Portal逃生的用户信息获取方法、认证方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (14)
1.一种用于Portal逃生的用户信息获取方法,其特征在于,所述方法包括:
当Portal系统正常时,获取被接入设备重定向到Portal服务器的数据流信息;所述数据流信息包括接入终端的介质访问控制MAC地址;
如果所述接入终端Portal认证成功,则将所述接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对;
如果比对结果为不匹配,则将所述接入终端设置为可认证用户,并根据所述接入终端的介质访问控制MAC地址,更新所述可认证用户列表。
2.根据权利要求1所述的方法,其特征在于,所述将接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对之前,所述方法还包括:
判断预设的可认证用户列表是否为空,如果所述预设的可认证用户列表为空,则根据所述接入终端的介质访问控制MAC地址,生成存储条目,并添加至所述可认证用户列表中。
3.根据权利要求2所述的方法,其特征在于,所述将接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对,包括:
遍历所述可认证用户列表的存储条目,将所述接入终端的介质访问控制MAC地址与所述存储条目中的可认证终端介质访问控制MAC地址进行比对;
如果存在一行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址匹配,则比对结果为匹配;
如果每行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址均不匹配,则比对结果为不匹配。
4.根据权利要求2所述的方法,其特征在于,所述根据接入终端的介质访问控制MAC地址,更新所述可认证用户列表,包括:
将所述接入终端的介质访问控制MAC地址、本次认证的用户名称以及本次认证时间生成存储条目;
将生成的存储条目添加至所述可认证用户列表中。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
如果比对结果为匹配,则对所述接入终端本次认证的用户名称与匹配的存储条目中的用户名称进行比对;
如果所述接入终端本次认证的用户名称与所述匹配的存储条目中的用户名称不同,则将所述匹配的存储条目中的用户名称修改为所述接入终端本次认证的用户名称;
以及,将所述匹配的存储条目中的认证时间修改为所述接入终端的本次认证时间。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
根据所述可认证用户列表的存储条目中的认证时间,确定可认证用户的不活跃时长;
如果所述不活跃时长超过预设时长,则将该可认证用户对应的存储条目删除。
7.一种用于Portal逃生的用户信息获取装置,其特征在于,包括:
信息获取单元,用于当Portal系统正常时,获取被接入设备重定向到Portal服务器的数据流信息;所述数据流信息包括接入终端的介质访问控制MAC地址;
信息比对单元,用于如果所述接入终端Portal认证成功,则将所述接入终端的介质访问控制MAC地址与预设的可认证用户列表进行比对;
列表更新单元,用于如果比对结果为不匹配,则将所述接入终端设置为可认证用户,并根据所述接入终端的介质访问控制MAC地址,更新所述可认证用户列表。
8.根据权利要求7所述的装置,其特征在于,所述信息比对单元还用于,判断预设的可认证用户列表是否为空,如果所述预设的可认证用户列表为空,则根据所述接入终端的介质访问控制MAC地址,生成存储条目,并添加至所述可认证用户列表中。
9.根据权利要求8所述的装置,其特征在于,所述信息比对单元,包括:
MAC地址比对子单元,用于遍历所述可认证用户列表的存储条目,将所述接入终端的介质访问控制MAC地址与所述存储条目中的可认证终端介质访问控制MAC地址进行比对;
判断子单元,用于如果存在一行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址匹配,则比对结果为匹配;
如果每行存储条目的可认证终端介质访问控制MAC地址与所述接入终端的介质访问控制MAC地址均不匹配,则比对结果为不匹配。
10.根据权利要求9所述的装置,其特征在于,所述列表更新单元,包括:
条目生成子单元,用于将所述接入终端的介质访问控制MAC地址、本次认证的用户名称以及本次认证时间生成存储条目;
添加子单元,用于将生成的存储条目添加至所述可认证用户列表中。
11.根据权利要求10所述的装置,其特征在于,所述列表更新单元,还包括:
名称比对子单元,用于如果比对结果为匹配,则对所述接入终端本次认证的用户名称与匹配的存储条目中的用户名称进行比对;
修改子单元,用于如果所述接入终端本次认证的用户名称与所述匹配的存储条目中的用户名称不同,则将所述匹配的存储条目中的用户名称修改为所述接入终端本次认证的用户名称;
以及,将所述匹配的存储条目中的认证时间修改为所述接入终端的本次认证时间。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
不活跃时长确定单元,用于根据所述可认证用户列表的存储条目中的认证时间,确定可认证用户的不活跃时长;
删除单元,用于如果所述不活跃时长超过预设时长,则将该可认证用户对应的存储条目删除。
13.一种用于Portal逃生的用户认证方法,其特征在于,当Portal系统异常,接入终端开始Portal逃生时,接入设备根据所述接入终端的数据流信息中的介质访问控制MAC地址,从权利要求1-6任一项所述的可认证用户列表中,查询所述接入终端是否为可认证用户;如果所述接入终端是可认证用户,则使所述接入终端认证成功;如果所述接入终端非可认证用户,则使所述接入终端认证失败。
14.一种接入设备,包括接收器、发送器、存储器以及处理器,其特征在于,所述处理器被配置为,当Portal系统正常,应用权利要求1-6任一项所述的方法,获取用户信息,得到可认证用户列表;当Portal系统异常,接入终端开始Portal逃生时,根据所述接入终端的数据流信息中的介质访问控制MAC地址,从所述可认证用户列表中,查询所述接入终端是否为可认证用户;如果所述接入终端是可认证用户,则使所述接入终端认证成功;如果所述接入终端非可认证用户,则使所述接入终端认证失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711163148.7A CN107682372A (zh) | 2017-11-21 | 2017-11-21 | 用于Portal逃生的用户信息获取及认证方法、装置和接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711163148.7A CN107682372A (zh) | 2017-11-21 | 2017-11-21 | 用于Portal逃生的用户信息获取及认证方法、装置和接入设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107682372A true CN107682372A (zh) | 2018-02-09 |
Family
ID=61148978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711163148.7A Pending CN107682372A (zh) | 2017-11-21 | 2017-11-21 | 用于Portal逃生的用户信息获取及认证方法、装置和接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107682372A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202813A (zh) * | 2020-10-29 | 2021-01-08 | 杭州迪普科技股份有限公司 | 网络访问方法及装置 |
| CN112839331A (zh) * | 2019-11-22 | 2021-05-25 | 武汉神州数码云科网络技术有限公司 | 一种用于无线局域网Portal认证逃生的用户信息认证方法 |
| CN113572773A (zh) * | 2021-07-27 | 2021-10-29 | 迈普通信技术股份有限公司 | 一种接入设备及终端接入控制方法 |
| CN113765917A (zh) * | 2021-09-07 | 2021-12-07 | 北京鼎普科技股份有限公司 | 一种认证方法、windows客户端、服务端及系统 |
| CN114338777A (zh) * | 2021-12-22 | 2022-04-12 | 迈普通信技术股份有限公司 | 一种逃生控制方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011083965A2 (ko) * | 2010-01-05 | 2011-07-14 | 주식회사 유섹 | 동적 그리드 시스템을 활용한 비정상 접속 차단 시스템 |
| CN105141618A (zh) * | 2015-09-15 | 2015-12-09 | 华为技术有限公司 | 一种网络连接的认证方法及网络接入设备 |
| CN105898786A (zh) * | 2016-04-12 | 2016-08-24 | 上海斐讯数据通信技术有限公司 | 一种接入点逃生方法和系统 |
| CN105959295A (zh) * | 2016-06-21 | 2016-09-21 | 福建富士通信息软件有限公司 | 一种Portal逃生方法及装置 |
| CN106162640A (zh) * | 2016-06-30 | 2016-11-23 | 上海斐讯数据通信技术有限公司 | 一种portal认证方法及系统 |
-
2017
- 2017-11-21 CN CN201711163148.7A patent/CN107682372A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011083965A2 (ko) * | 2010-01-05 | 2011-07-14 | 주식회사 유섹 | 동적 그리드 시스템을 활용한 비정상 접속 차단 시스템 |
| CN105141618A (zh) * | 2015-09-15 | 2015-12-09 | 华为技术有限公司 | 一种网络连接的认证方法及网络接入设备 |
| CN105898786A (zh) * | 2016-04-12 | 2016-08-24 | 上海斐讯数据通信技术有限公司 | 一种接入点逃生方法和系统 |
| CN105959295A (zh) * | 2016-06-21 | 2016-09-21 | 福建富士通信息软件有限公司 | 一种Portal逃生方法及装置 |
| CN106162640A (zh) * | 2016-06-30 | 2016-11-23 | 上海斐讯数据通信技术有限公司 | 一种portal认证方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 刘旭: ""基于Portal协议的安全认证接入的设计与实现"", 《中国优秀硕士学位论文全文数据库-信息科技辑》 * |
| 钟灿雄: ""PORTAL认证系统的应用研究"", 《湖南工业职业技术学院学报》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112839331A (zh) * | 2019-11-22 | 2021-05-25 | 武汉神州数码云科网络技术有限公司 | 一种用于无线局域网Portal认证逃生的用户信息认证方法 |
| CN112202813A (zh) * | 2020-10-29 | 2021-01-08 | 杭州迪普科技股份有限公司 | 网络访问方法及装置 |
| CN113572773A (zh) * | 2021-07-27 | 2021-10-29 | 迈普通信技术股份有限公司 | 一种接入设备及终端接入控制方法 |
| CN113765917A (zh) * | 2021-09-07 | 2021-12-07 | 北京鼎普科技股份有限公司 | 一种认证方法、windows客户端、服务端及系统 |
| CN114338777A (zh) * | 2021-12-22 | 2022-04-12 | 迈普通信技术股份有限公司 | 一种逃生控制方法及装置 |
| CN114338777B (zh) * | 2021-12-22 | 2024-04-09 | 迈普通信技术股份有限公司 | 一种逃生控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107682372A (zh) | 用于Portal逃生的用户信息获取及认证方法、装置和接入设备 | |
| US10541992B2 (en) | Two-token based authenticated session management | |
| CN104767715B (zh) | 网络接入控制方法和设备 | |
| US11128625B2 (en) | Identity management connecting principal identities to alias identities having authorization scopes | |
| CN108337677B (zh) | 网络鉴权方法及装置 | |
| CN105450643B (zh) | 网络接入的认证方法、装置及系统 | |
| CN109862043B (zh) | 一种终端认证的方法及装置 | |
| CN105024975B (zh) | 账号登录的方法、装置及系统 | |
| KR101635244B1 (ko) | 실시간 통신을 위한 사용자-기반 인증 | |
| CN101764808B (zh) | 自动登录的认证处理方法、服务器和系统 | |
| US9787678B2 (en) | Multifactor authentication for mail server access | |
| WO2007094369A1 (ja) | 分散認証システム及び分散認証方法 | |
| CN103368913A (zh) | 帐号登录方法、装置和系统以及网络服务器 | |
| CN104104654A (zh) | 一种设置Wifi访问权限、Wifi认证的方法和设备 | |
| CN108259457B (zh) | 一种web认证方法及装置 | |
| JP2003046533A (ja) | ネットワークシステム、その認証方法及びそのプログラム | |
| CN106060072B (zh) | 认证方法以及装置 | |
| US10116449B2 (en) | Generation device, terminal device, generation method, non-transitory computer readable storage medium, and authentication processing system | |
| US10951616B2 (en) | Proximity-based device authentication | |
| CN112839331A (zh) | 一种用于无线局域网Portal认证逃生的用户信息认证方法 | |
| CN102710621B (zh) | 一种用户认证方法和系统 | |
| CN106254328B (zh) | 一种访问控制方法及装置 | |
| CN106911681A (zh) | 上网认证方法及装置 | |
| CN109769249B (zh) | 一种认证方法、系统及其装置 | |
| CN109379339B (zh) | 一种Portal认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180209 |
|
| RJ01 | Rejection of invention patent application after publication |