CN110943992B - 一种入口认证系统、方法、装置、计算机设备和存储介质 - Google Patents
一种入口认证系统、方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN110943992B CN110943992B CN201911208108.9A CN201911208108A CN110943992B CN 110943992 B CN110943992 B CN 110943992B CN 201911208108 A CN201911208108 A CN 201911208108A CN 110943992 B CN110943992 B CN 110943992B
- Authority
- CN
- China
- Prior art keywords
- authentication client
- portal authentication
- entrance
- portal
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000004044 response Effects 0.000 claims description 34
- 238000004891 communication Methods 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 15
- 238000013467 fragmentation Methods 0.000 claims description 9
- 238000006062 fragmentation reaction Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 8
- 239000012634 fragment Substances 0.000 claims description 5
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 238000012216 screening Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 19
- 238000012423 maintenance Methods 0.000 abstract description 10
- 238000010295 mobile communication Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 83
- 230000005540 biological transmission Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000003993 interaction Effects 0.000 description 6
- 230000000295 complement effect Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明适用于移动通信领域,提供了一种入口认证系统、方法、装置、计算机设备和存储介质,其中,所述入口认证系统包括:入口认证网络管理端、与至少一个入口认证客户端进行通讯的入口认证服务端和令牌同步服务端,以及与入口认证网络管理端进行通讯的3A认证服务端。本发明实施例提供的一种入口认证系统,在实现入口认证过程中通过将入口认证客户端的身份标识信息与随机动态口令关联来实现网络连接,通过查询请求来实现身份标识信息匹配,当令牌同步服务端再次接收到连接请求时可以直接建立连接,不需要在远端入口认证网络管理设备上部署HTTPS证书,解决了现有的入口认证系统存在系统经济成本和维护成本高的问题。
Description
技术领域
本发明属于移动通信领域,尤其涉及一种入口认证系统、方法、装置、计算机设备和存储介质。
背景技术
随着移动通信技术的发展,商用无线路由也得到了快速发展。在无线网络中,对于访客的网络控制通常是通过入口认证服务器和入口认证网络管理设备来完成的。当用户终端连接到目标无线网络时,入口网络管理设备限制用户的访问,只接受对入口认证网路管理设备白名单中的目标的访问请求,用户在入口认证服务器完成必要的认证流程之后。入口认证服务器将用户信息写入到AAA(Authentication Authorization Accounting,认证、授权与计费)服务器中,并通知入口认证网络管理设备使用相应的用户名密码信息到AAA服务器认证当前的用户终端设备,如果当前的用户终端设备成功通过AAA服务器的认证,那么入口认证网络管理设备就对该用户终端设备开放对应的受保护网络资源访问权限。
目前,通常在整个网络结构中,入口认证服务器需要依赖入口认证网络管理设备来改写HTTP(Hyper Text Transfer Protocol,超文本传输协议)请求从而让用户在浏览器中打开入口认证服务器页面来完成交互认证流程,即通过使用劫持HTTP流量并改写HTTP请求的方式使其发送到入口认证服务器。如果用户终端设备访问的是加密的HTTPS链接,入口网络管理设备将无法劫持并改写请求的目标地址到入口认证服务器。因此,需要入口网络管理设备采用合法的SSL/TLS(Transport Layer Security/Secure Sockets Layer,安全传输层协议/安全套接层)证书来改写请求地址到入口认证服务器,SSL/TLS到期之后还需要重新购买新的证书,而证书购买成本和证书更新维护成本都使在数量庞大的入口网络管理设备上配置合法的HTTPS接口变得及其困难。
但是,现有的入口认证系统通过使用劫持HTTP流量并改写HTTP请求的方式进行入口认证,需要在远端的入口认证网络管理设备上部署HTTPS证书,存在系统经济成本和维护成本高的问题。
发明内容
本发明实施例的目的在于提供一种入口认证系统、方法、装置、计算机设备和存储介质,旨在解决现有的入口认证系统通过使用劫持HTTP流量并改写HTTP请求的方式进行入口认证,存在系统经济成本和维护成本高的技术问题。
本发明实施例是这样实现的:一种入口认证系统,所述入口认证系统包括:入口认证网络管理端、与至少一个入口认证客户端进行通讯的入口认证服务端和令牌同步服务端,以及与所述入口认证网络管理端进行通讯的3A认证服务端;
所述入口认证服务端,用于获取入口认证客户端的第一身份标识信息;随机生成动态口令,并将所述入口认证客户端的第一身份标识信息与所述动态口令关联;将所述动态口令以及所述入口认证客户端的第一身份标识信息发送至所述令牌同步服务端,并将所述动态口令以及所述令牌同步服务端的地址信息发送至所述入口认证客户端,以使所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令;
所述令牌同步服务端,用于接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息;接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功;
所述入口认证网络管理端,还用于在所述令牌同步服务端与所述入口认证客户端建立连接时,被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息,并向所述令牌同步服务端发送查询请求,所述查询请求携带有所述入口认证客户端的第三身份标识信息;接收所述令牌同步服务端返回的匹配成功信息,并发送所述入口认证客户端的第三身份标识信息至所述3A认证服务端;
所述3A认证服务端,用于接收所述入口认证网络管理端发送的所述入口认证客户端的第三身份标识信息。
本发明实施例的另一目的在于提供一种入口认证方法,运用于所述的入口认证系统的令牌同步服务端上,所述入口认证方法包括:
接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息;
接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令;
在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功信息。
本发明实施例的另一目的在于提供一种入口认证装置,设置于所述的入口认证系统的令牌同步服务端上,所述入口认证装置包括:
获取单元,用于接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息;
判断单元,用于接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令;
查询单元,用于在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功信息。
本发明实施例的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行上述入口认证方法的步骤。
本发明实施例的另一目的在于提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行上述入口认证方法的步骤。
本发明实施例提供的入口认证系统包括:入口认证网络管理端、与至少一个入口认证客户端进行通讯的入口认证服务端和令牌同步服务端,以及与所述入口认证网络管理端进行通讯的3A认证服务端。本发明实施例提供的入口认证系统,在实现入口认证过程中,通过入口认证服务端将入口认证客户端的第一身份标识信息与随机生成的动态口令关联来实现入口认证客户端与令牌同步服务端的网络连接,通过入口认证网络管理端发送的携带有入口认证客户端第三身份标识信息的查询请求来实现入口认证客户端的身份标识信息匹配,进而发送入口认证客户端的第三身份标识信息至3A认证服务端来完成入口认证,当令牌同步服务端再次接收到连接请求时,可以直接建立连接,不需要在远端的入口认证网络管理设备上部署HTTPS证书,也不需要为入口认证网络管理设备配置域名,系统经济成本和维护成本更低,无需依赖进行劫持并重写HTTP请求来实现重定向用户访问到入口认证服务端,解决了现有的入口认证系统通过使用劫持HTTP流量并改写HTTP请求的方式进行入口认证,存在系统经济成本和维护成本高的技术问题。
附图说明
图1为本发明实施例提供的一种入口认证系统的应用环境图;
图2为本发明实施例提供的一种入口认证系统的架构图;
图3为本发明实施例提供的一种入口认证系统实现入口认证的时序图;
图4为本发明实施例提供的一种入口认证系统中令牌同步服务端执行的步骤流程图;
图5为本发明实施例提供的一种入口认证装置的结构示意图;
图6为一个实施例中计算机设备的内部结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一xx脚本称为第二xx脚本,且类似地,可将第二xx脚本称为第一xx脚本。
图1为本发明实施例提供的一种入口认证系统的应用环境图,如图1所示,在该应用环境中,包括终端110、第一服务器120、第二服务器130、第三服务器140以及第四服务器150。
所述第一服务器120、第二服务器130、第三服务器140以及第四服务器150均可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN(Content Deliver6 Network,内容分发网络)等基础云计算服务的云服务器,但并不局限于此,可用于数据的传输和数据的处理。
所述终端110可以是智能终端,如台式计算机、笔记本电脑等计算机设备,也可以是便于携带的智能终端,如平板电脑、智能手机、掌上电脑、智能眼镜、智能手表、智能手环、智能音箱等,但并不局限于此,所述终端110的数量可以是一个,也可以是多个,这里并不加限制。
所述终端110与所述第一服务器120和第二服务器130可以通过有线网络或者无线网络进行连接,本发明在此不做限制。所述第二服务器130与所述第三服务器140可以通过有线网络或者无线网络进行连接,本发明在此不做限制。所述第四服务器150与所述第三服务器140可以通过有线网络或者无线网络进行连接,本发明在此不做限制。
如图2所示,提出了一种入口认证系统的架构图,图3为该入口认证系统在实现入口认证时的时序图。在本发明实施例提供的入口认证系统中,包括入口认证网络管理端240、与至少一个入口认证客户端210进行通讯的入口认证服务端220和令牌同步服务端230,以及与所述入口认证网络管理端240进行通讯的3A认证服务端250。
作为本发明的一个优选实施例,所述入口认证服务端220,运行于所述第一服务器120上,用于获取入口认证客户端的第一身份标识信息;随机生成动态口令,并将所述入口认证客户端的第一身份标识信息与所述动态口令关联;将所述动态口令以及所述入口认证客户端的第一身份标识信息发送至所述令牌同步服务端,并将所述动态口令以及所述令牌同步服务端的地址信息发送至所述入口认证客户端,以使所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令。
在本发明实施例中,所述入口认证服务端220与图1示出的所述第一服务器120相关联,运行于所述第一服务器120上,可以是运行于所述第一服务器120上的一个程序,也可以所述第一服务器120的一个功能模块。
在本发明实施例中,所述入口认证服务端220负责对入口认证客户端210进行身份认证,以鉴别其是否有权限访问访问收保护的网络资源;入口认证服务端220安装有合法的商业HTTPS证书,全程使用HTTPS连接服务入口认证客户端210;入口认证服务端220除常规的用户鉴权之外,还负责管理AAA服务器中的用户信息和策略信息,所述第一服务器120可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器;所述入口认证服务端220和入口认证客户端210之间全程使用合法的HTTPS连接。
作为本发明一种实施例,所述入口认证服务端220获取入口认证客户端的第一身份标识信息;同时随机生成动态口令,并将所述入口认证客户端的第一身份标识信息与所述动态口令关联;将所述动态口令以及所述入口认证客户端的第一身份标识信息发送至所述令牌同步服务端,并将所述动态口令以及所述令牌同步服务端的地址信息发送至所述入口认证客户端。
作为本发明又一种实施例,所述入口认证服务端220所述动态口令以及所述令牌同步服务端的地址信息发送至所述入口认证客户端,以使所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令。
作为本发明又一种实施例,所述入口认证服务端220是运行于所述第一服务器120上的一个程序,具体是入口认证服务接口应用程序,包含Wi-Fi网络信息、入口认证服务端220或者Wi-Fi管理应用程序信息的二维码,所述入口认证服务端220完成入口认证客户端210的Web认证,确定对入口认证客户端210开放受保护网络设置访问权限时,入口认证服务端220生成随机的动态口令,所述动态口令可以是有一定长度的随机值,也可以是根据非公开的算法/私有参数计算出的值,动态口令需要具备不可猜测性,同时需要能应对重放攻击。
作为本发明又一种实施例,用户在入口认证客户端210上安装Wi-Fi认证管理应用程序,所述入口认证客户端210是智能手机,用户使用智能手机上的自带相机,或者其他支持二维码识别的程序,或者Wi-Fi认证管理应用程序扫描Wi-Fi网络信息二维码,相应的应用程序解析二维码的内容并和入口认证客户端210建立安全的HTTPS连接,通过该连接,所述入口认证客户端210和入口认证服务端220进行认证和鉴权,认证的方法包含短消息认证,微信Wi-Fi认证,无认证等各种认证方式,通过Wi-Fi网络附近张贴的二维码,二维码包含Wi-Fi网络SSID信息、入口认证服务器的地址,以及唤醒入口认证客户端上面的Wi-Fi管理应用程序的必要信息,用户通过入口认证客户端的摄像头扫描二维码来启动Wi-Fi管理应用程序,Wi-Fi管理应用程序将建立到入口认证服务端的连接,并开始显示认证界面,提示用户输入认证所需要的信息并开始认证流程。
本发明实施例通过所述入口认证服务端220将所述入口认证客户端的第一身份标识信息与随机生成的动态口令关联,将所述动态口令以及所述入口认证客户端的第一身份标识信息发送至所述令牌同步服务端,并将所述动态口令以及所述令牌同步服务端的地址信息发送至所述入口认证客户端,以使所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求,无需依赖在入口网络管理设备上进行劫持并重写HTTP请求来实现重定向用户访问到入口认证服务器,从而不会限制用户终端设备使其无法全程使用安全的TLS/SSL连接。
作为本发明的一个优选实施例,所述令牌同步服务端230,运行于所述第二服务器130上,用于接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息;接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功。
在本发明实施例中,所述令牌同步服务端230与图1示出的所述第二服务器130相关联,运行于所述第二服务器130上,可以是运行于所述第二服务器130上的一个程序,也可以所述第二服务器130的一个功能模块。
在本发明实施例中,所述令牌同步服务端230提供基于SSL/TLS的WebSocket网络传输协议,WebSocket设计为通过80和443端口工作,以及支持HTTP代理和中介,从而使其与HTTP协议兼容,为了实现兼容性,WebSocket握手使用HTTP头信息从HTTP协议更改为WebSocket协议;所述令牌同步服务端230安装有合法的商业HTTPS证书,全程使用SSL/TLS保护的WebSocket连接入口认证客户端210。所述第二服务器130可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
作为本发明一种实施例,所述令牌同步服务端230接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功。
作为本发明又一种实施例,所述令牌同步服务端接收所述入口认证客户端发送的连接请求,将所述连接请求中携带的动态口令存储到令牌同步服务端的有效令牌列表中,设置有效期60秒,所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;所述令牌同步服务端接收到连接请求之后,检查动态口令是否存在和有效,所述有效按照所述动态口令是否处于有效期60秒来进行判断,并且和当前的所述入口认证客户端的第一身份标识信息符合,则发送响应代码,指示服务器根据发送包括Upgrade请求头的消息的连接请求切换到,否则拒绝连接,直接关闭网络连接。
作为本发明又一种实施例,在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功。
本发明实施例通过所述令牌同步服务端接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功,通过所述令牌同步服务端采用WebSocket协议,支持Web浏览器以及其他客户端应用程序与Web服务器之间的交互,具有较低的开销,便于实现客户端与服务器的实时数据传输,服务器可以通过标准化的方式来实现,而无需客户端首先请求内容,并允许消息在保持连接打开的同时来回传递,通过这种方式,可以在客户端和服务器之间进行双向持续对话,以便入口认证网络管理设备被动分析特征数据流量并及时更新认证流程的相应状态,并最终完成开放或者禁止入口认证客户端对受保护的网络的访问的相关流程。
作为本发明的一个优选实施例,所述入口认证网络管理端240,运行于所述第三服务器140上,用于在所述令牌同步服务端与所述入口认证客户端建立连接时,被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息,并向所述令牌同步服务端发送查询请求,所述查询请求携带有所述入口认证客户端的第三身份标识信息;接收所述令牌同步服务端返回的匹配成功信息,并发送所述入口认证客户端的第三身份标识信息至所述3A认证服务端。
在本发明实施例中,所述入口认证网络管理端240与图1示出的所述第三服务器140相关联,运行于所述第三服务器140上,可以是运行于所述第三服务器140上的一个程序,也可以所述第三服务器140的一个功能模块。
在本发明实施例中,所述入口认证网络管理端管理Wi-Fi网络的访问权限,入口认证网络管理端可以设置对应的白名单,入口认证服务端的地址处于该白名单中,入口认证客户端只要连接到入口认证网络管理端所管理的Wi-Fi网络,即可不受限制的访问入口认证服务端,入口认证网络管理端通过远端用户接入验证服务RADIUS(RemoteAuthentication Dial In User Service)协议访问3A认证服务端检查,入口认证客户端提供的凭据是否合法。所述第三服务器140可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
作为本发明一种实施例,通过所述入口认证网络管理端240在所述令牌同步服务端与所述入口认证客户端建立连接时,被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息,并向所述令牌同步服务端发送查询请求,所述查询请求携带有所述入口认证客户端的第三身份标识信息;接收所述令牌同步服务端返回的匹配成功信息,并发送所述入口认证客户端的第三身份标识信息至所述3A认证服务端。
作为本发明又一种实施例,所述入口认证网络管理端240被动监听网络中的入口认证客户端到令牌同步服务端地址的网络数据包,解析并组装IP数据包,以及TCP数据包,到最终的SSL/TLS数据包;数据包的解析包括分片、去重、排序,保证TCP流的完整性;然后分析SSL/TLS消息,跟踪SSL/TLS连接的建立过程,提取双方协商的加密协议,分析应用数据消息的长度字段,提取符合条件的消息,其中包含的应用数据长度即为编码的数据分片,所有数据分片解析并组装之后,去前2个字节作为校验码,对余下字节计算校验码,如果校验值符合,则发送数据解码的动态口令以及入口认证客户端的本地信息,如局域网地址、内网IP地址等到令牌同步服务端。
本发明实施例通过在所述令牌同步服务端与所述入口认证客户端建立连接时,被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息,并向所述令牌同步服务端发送查询请求,通过查询所述入口认证客户端的第三身份标识信息是否匹配,并发送所述入口认证客户端的第三身份标识信息至所述3A认证服务端,从而完成入口认证,在认证完成之后,当令牌同步服务端再次接收到入口认证客户端发送的连接请求时,就可以直接建立连接,不需要在远端的入口认证网络管理设备上部署HTTPS证书,也不需要为入口认证网络管理设备配置域名,系统经济成本和维护成本更低,也不需要调用入口认证网络管理设备的北向接口,不受网络拓扑结构的制约。
作为本发明的一个优选实施例,所述3A认证服务端250,运行于所述第四服务器150上,用于接收所述入口认证网络管理端发送的所述入口认证客户端的第三身份标识信息。
在本发明实施例中,所述3A认证服务端250与图1示出的所述第四服务器150相关联,运行于所述第四服务器150上,可以是运行于所述第四服务器150上的一个程序,也可以所述第四服务器150的一个功能模块。
在本发明实施例中,所述第四服务器150即AAA服务器,所述AAA服务器可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器,所述3A认证服务端负责管理已通过入口认证服务端认证的用户凭据,以及用户对应的策略,入口认证网络管理端通过RADIUS协议访问3A认证服务端来查询凭据是否有效,以决定是否开放该终端用户对受保护的网络资源访问。
作为本发明一种实施例,所述3A认证服务端250用于接收所述入口认证网络管理端发送的所述入口认证客户端的第三身份标识信息;在所述令牌同步服务端再次接收到所述入口认证客户端发送的连接请求时,发送接收到的所述入口认证客户端的第三身份标识信息至所述令牌同步服务端,以判断所述令牌同步服务端是否与所述入口认证客户端直接建立连接。
作为本发明又一种实施例,当令牌同步服务端接收到入口认证网络管理端的动态口令查询消息时,检查动态口令是否合法,是否处于有效期,请求源地址是否和动态口令对应的入口认证客户端的源地址相同。如果符合,并且链接状态仍然为活动状态,未关闭,则认为动态口令检查成功,记录入口认证网络管理端提交的信息并执行相应操作,如加入入口认证客户端的MAC地址到3A认证服务端,以便可以通过MAC认证实现入口认证客户端的后续Wi-Fi网络快速连接请求,然后令牌同步服务端返回校验成功的响应消息到入口认证网路管理端,并携带相关的入口认证客户端的用户信息。
作为本发明又一种实施例,所述入口认证网络管理端在获得查询成功的结果之后,用从令牌同步服务端获取的凭据信息到3A认证服务端进行认证,如果认证通过,就开放对应的入口认证客户端对受限制的网络资源的访问权限,并根据3A认证服务端的返回属性设置入口认证客户端的网络访问权限、虚拟局域网、可用时长等,所述凭据消息大小被填充为超过最大的数据消息字节数目的大小,其区分控制消息和数据消息。
本发明实施例通过所述3A认证服务端接收所述入口认证网络管理端发送的所述入口认证客户端的第三身份标识信息;在所述令牌同步服务端再次接收到所述入口认证客户端发送的连接请求时,根据所述入口认证客户端的第三身份标识信息至所述令牌同步服务端,以判断所述令牌同步服务端是否与所述入口认证客户端直接建立连接,在认证完成之后,当同步服务端再次接收到客户端发送的连接,就可以直接建立连接,入口认证客户端可以完全使用安全的HTTPS连接访问网络,没有数据泄露风险,由于不使用HTTPS入口重定向,不会出现证书问题导致的重定向问题。
本发明实施例通过入口认证服务端将入口认证客户端的第一身份标识信息与随机生成的动态口令关联,通过令牌同步服务端接收所述入口认证客户端发送的连接请求,并根据所述连接请求、所述动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接,在建立连接后,通过接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;判断匹配后,发送所述入口认证客户端的第三身份标识信息至3A认证服务端,从而完成入口认证,在认证完成之后,当令牌同步服务端再次接收到入口认证客户端发送的连接请求时,就可以直接建立连接,不需要在远端的入口认证网络管理设备上部署HTTPS证书,也不需要为入口认证网络管理设备配置域名,系统经济成本和维护成本更低,也不需要调用入口认证网络管理设备的北向接口,不受网络拓扑结构的制约,入口认证客户端可以完全使用安全的HTTPS连接访问网络,没有数据泄露风险,由于不使用HTTPS入口重定向,不会出现证书问题导致的重定向问题,无需依赖在入口网络管理设备上进行劫持并重写HTTP请求来实现重定向用户访问到入口认证服务器,从而不会限制用户终端设备使其无法全程使用安全的TLS/SSL连接,解决了现有的入口认证系统通过使用劫持HTTP流量并改写HTTP请求的方式进行入口认证,存在系统经济成本和维护成本高的技术问题。
本发明实施例提供的一种入口认证系统,在所述获取入口认证客户端的第一身份标识信息的步骤前,还包括:
在接收所述入口认证客户端发送的连接请求后,向入口认证客户端发送认证指令,以使所述入口认证客户端响应所述认证指令;当所述入口认证客户端响应所述认证指令时,与所述入口认证客户端的建立连接。
在本发明实施例中,所述入口认证服务端负责对入口认证客户端进行身份认证,以鉴别其是否有权限访问受保护的网络资源,入口认证服务端安装有合法的商业HTTPS证书,全程使用HTTPS连接服务入口认证客户端,入口认证服务端除常规的用户鉴权之外,还负责管理3A认证服务端中的用户信息和策略信息。
作为本发明一种实施例,用户在入口认证客户端210上安装Wi-Fi认证管理应用程序,所述入口认证客户端210是智能手机,用户使用智能手机上的自带相机,或者其他支持二维码识别的程序,或者Wi-Fi认证管理应用程序扫描Wi-Fi网络信息二维码,相应的应用程序解析二维码的内容并和入口认证客户端210建立安全的HTTPS连接,通过该连接,所述入口认证客户端210和入口认证服务端220进行认证和鉴权,认证的方法包含短消息认证,微信Wi-Fi认证,无认证等各种认证方式,通过Wi-Fi网络附近张贴的二维码,二维码包含Wi-Fi网络SSID信息、入口认证服务器的地址,以及唤醒入口认证客户端上面的Wi-Fi管理应用程序的必要信息,用户通过入口认证客户端的摄像头扫描二维码来启动Wi-Fi管理应用程序,Wi-Fi管理应用程序将建立到入口认证服务端的连接,并开始显示认证界面,提示用户输入认证所需要的信息并开始认证流程。
本发明实施例通过入口认证服务端直接实现与入口认证客户端的网络连接,无需依赖在入口网络管理设备上进行劫持并重写HTTP请求来实现重定向用户访问到入口认证服务器,从而不会限制用户终端设备使其无法全程使用安全的TLS/SSL连接,降低了信息泄露的风险。
本发明实施例提供的一种入口认证系统,所述接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接的步骤,具体包括:
基于预设的令牌有效判断规则判断所述连接请求中携带的所述动态口令是否有效,并判断所述连接请求中携带的所述入口认证客户端的第二身份标识信息是否与所述入口认证服务端发送的所述入口认证客户端的第一身份标识信息匹配;
当所述连接请求中携带的所述动态口令有效,且所述连接请求中携带的所述入口认证客户端的第二身份标识信息与所述入口认证服务端发送的所述入口认证客户端的第一身份标识信息匹配时,发送第一数据至所述入口认证客户端,以与所述入口认证客户端建立连接。
在本发明实施例中,所述预设的令牌有效判断规则是设置所述动态口令的有效期是60秒,超过时间的动态口令判断为无效;所述入口认证服务端可以是服务器,所述服务器可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
作为本发明一种实施例,通过设置所述动态口令的有效期是60秒,判断所述连接请求中携带的所述动态口令是否有效,并判断所述连接请求中携带的所述入口认证客户端的第二身份标识信息是否与所述入口认证服务端发送的所述入口认证客户端的第一身份标识信息匹配;当所述连接请求中携带的所述动态口令有效,且所述连接请求中携带的所述入口认证客户端的第二身份标识信息与所述入口认证服务端发送的所述入口认证客户端的第一身份标识信息匹配时,发送第一数据至所述入口认证客户端,以与所述入口认证客户端建立连接。
作为本发明又一种实施例,所述令牌同步服务端等待15秒,如果在15秒没有收到入口认证网络管理端的查询请求,则重新执行基于预设的令牌有效判断规则判断所述连接请求中携带的所述动态口令是否有效,并判断所述连接请求中携带的所述入口认证客户端的第二身份标识信息是否与所述入口认证服务端发送的所述入口认证客户端的第一身份标识信息匹配的操作,直到接收到入口认证网路管理端的查询请求并验证通过,或者动态口令过期。
本发明实施例通过所述令牌同步服务端采用WebSocket协议,支持Web浏览器以及其他客户端应用程序与Web服务器之间的交互,具有较低的开销,便于实现客户端与服务器的实时数据传输,服务器可以通过标准化的方式来实现,而无需客户端首先请求内容,并允许消息在保持连接打开的同时来回传递,通过这种方式,可以在客户端和服务器之间进行双向持续对话,以便入口认证网络管理设备被动分析特征数据流量并及时更新认证流程的相应状态,并最终完成开放或者禁止入口认证客户端对受保护的网络的访问的相关流程。
本发明实施例提供的一种入口认证系统,所述发送第一数据至所述入口认证客户端的步骤,具体包括:
计算所述动态口令的校验码,以生成第二数据;
将所述第二数据与所述第一数据关联,并发送所述第二数据至所述入口认证客户端,以获取所述入口认证客户端返回的应答消息;
根据所述应答消息判断所述令牌同步服务端是否与所述入口认证客户端保持连接;当判断所述应答消息与所述第二数据匹配时,则发送所述第二数据关联的所述第一数据至所述入口认证客户端,并保持与所述入口认证客户端的连接。
在本发明实施例中,所述第一数据是所述令牌同步服务端与所述入口认证客户端建立连接时进行传输的数据,所述令牌同步服务端可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
作为本发明一种实施例,通过计算动态口令的16位循环冗余校验码,连接动态口令到16位循环冗余校验码结果之后,组成要发送的数据,对数据进行编码,根据TLS握手协商(Hand Shake Negotiation)完成的加密方式,令牌同步服务端发送的所有消息的消息头里面输入版本、同步消息的大小,应答消息的大小等数据。令牌同步服务端发送同步信息到终端设备,当终端设备接收到字后,回复应答消息到令牌同步服务端,根据发送的消息中的长度填充应答到指定长度,当收到上述应答消息之后,开始发送编码的数据内容,如果协商的加密协议使用GCM模式的补齐模式,则每次发送数据量定义为1个字节,即0-255,如果协商的加密协议使用其他按照最小加密块补齐的模式,则每次发送数据量定义为4个比特,即0-15。
作为本发明又一种实施例,当用户终端接收到数据消息的时候,回复第一应答消息,令牌同步服务端接收到上述第一应答消息之后,继续发送后续数据,令牌同步服务端接收到第一应答消息之后,而且数据都发送完毕之后,令牌同步服务端发送一个第一同步消息到用户终端,用户终端接收到这个第一同步消息的时候,回复第二应答消息,令牌同步服务端接收到第二应答消息之后,表示一个发送周期完成,令牌同步服务端保留当前的连接。
本发明实施例通过所述令牌同步服务端采用WebSocket协议,支持Web浏览器以及其他客户端应用程序与Web服务器之间的交互,具有较低的开销,便于实现客户端与服务器的实时数据传输,服务器可以通过标准化的方式来实现,而无需客户端首先请求内容,并允许消息在保持连接打开的同时来回传递,通过这种方式,可以在客户端和服务器之间进行双向持续对话,以便入口认证网络管理设备被动分析特征数据流量并及时更新认证流程的相应状态,并最终完成开放或者禁止入口认证客户端对受保护的网络的访问的相关流程。
本发明实施例提供的一种入口认证系统,在所述第一数据发送至所述入口认证客户端的步骤前,还包括:
在将所述第二数据与所述第一数据关联后,按照TLS握手协议对所述第二数据进行加密,以生成安全传输层协议数据,所述安全传输层协议数据至少包含协议版本信息、应答消息类型、应答消息长度、加密密文以及消息验证码。
在本发明实施例中,入口认证网络管理端通过对流经本地网卡的数据报文,或者是通过网络设备镜像到本地网卡的数据报文截取分析,依次解析物理层、链路层与传输层,需要对IP数据报文进行排序、重组,对TCP数据报文去重,跟踪SSL/TLS链路的建立过程,分析链路使用的加密方式,实时分析SSL/TLS应用数据长度,当其发现长度和时序符合协议的同步-应答消息对时,开始跟踪分析记录数据消息;当接收下一个同步-应答消息对时,表示数据发送完毕,然后提交数据到令牌同步服务端进行验证,成功完成验证之后,入口认证网络管理端开放入口认证客户端的网络访问权限。
作为本发明一种实施例,对于使用WebSocket作为SSL/TLS上层协议的场景,使用定义的最小SSL/TLS数据报文大小来区分系统默认的数据流量,例如WebSocket控制消息等。然后再以这个消息大小为基础定义协议消息,所述协议消息包含若干字节的消息头,用来表示消息类型,控制消息同步消息、应答消息对应的WebSocket数据长度,终端设备无需关系加密类型,只需要按照令牌同步服务端指定的控制消息(同步-应答消息)大小补齐WebSocket消息内容,对于协商的加密方式,如果为块加密补齐方式,即加密后的密文总是为整数个加密块大小,通过改变最终加密块数目的方式来传递数据值,对于能够反应出原始明文数目的加密补齐方式,通过明文字节数目来传递数据值。
作为本发明又一种实施例,加密方式使用GCM(Galois Counter Mode)模式,那么密文会包含固定长度的消息验证码(MAC,Message Authentication Code)、固定长度的计数器,以及和明文等长的加密后的密文。因此可以构造最终密文的长度。也可以根据密文推算原始明文的长度。由于WebSocket头会和消息一起发送,而且WebSocket协议栈也会自动发送PING(Packet Internet Groper)消息,因此需要区分数据和WebSocket协议栈发送的数据,另外,需要保留若干的控制消息,使用12个字节的WebSocket消息作为同步消息,使用16个字节的WebSocket消息作为应答消息。对于长度小于12个字节的WebSocket消息,都会在特征监听的时候忽略,在每个WebSocket消息中携带要发送的数据一个字节的内容,该字节转化为数字,然后加上17,作为要通过WebSocket发送的消息的字节数目,符合这个数目的随机字节,加上WebSocket头部,根据加密方式选择GCM计数器,然后加入加密的随机字节的密文,以及明文的消息验证码,作为TLS的应用数据发送。
作为本发明又一种实施例,当加密方式为ECDHE-RSA-AES128-GCM-SHA256的时候,WebSocket头部为2字节大小,但数据大于125的时候,WebSocket头部为4字节大小,入口认证客户端发送的数据,还包含4字节的键,加密方式使用8字节初始向量,16字节的消息验证码,最小密文长度为2字节,12字节的WebSocket消息表示应答消息,16字节的WebSocket消息表示同步消息,在WebSocket消息数据的前几个字节依次写入如下数据:协议版本、消息类型与应答消息长度,入口认证客户端根据应答消息长度构造应答消息。
作为本发明又一种实施例,加密方式使用CBC(Cipher Block Chaining)/ECB(Electronic Codebook Book)的补齐方式,即每段密文都必须补齐到最小的加密块的大小,在这种情况下,在每个WebSocket消息中仅仅传输相当于4个比特的数据,即0-15。由于WebSocket会发送PING等协议栈消息,通过保留最小的块大小作为保留消息,保留消息密文包含HMAC、初始向量以及密文,所述密文包含WebSocket头,加上若干字节数据,加密方式定义的补齐字节总共一个加密块大小。通过使用2个最小加密块大小的数据表示同步消息,3个最小加密块表示应答消息,使用4到19个块大小的WebSocket消息表示0到15的数值。
本发明实施例通过所述令牌同步服务端采用WebSocket协议,支持Web浏览器以及其他客户端应用程序与Web服务器之间的交互,具有较低的开销,便于实现客户端与服务器的实时数据传输,服务器可以通过标准化的方式来实现,而无需客户端首先请求内容,并允许消息在保持连接打开的同时来回传递,通过这种方式,可以在客户端和服务器之间进行双向持续对话,以便入口认证网络管理设备被动分析特征数据流量并及时更新认证流程的相应状态,并最终完成开放或者禁止入口认证客户端对受保护的网络的访问的相关流程。
本发明实施例提供的一种入口认证系统,所述被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息的步骤,具体包括:
被动监控网络中的所有数据,以获取所述入口认证客户端与所述令牌同步服务端的通讯数据;
按照预设的分片规则对所述通讯数据进行分片,以排序生成多个分片数据,所述预设的分片规则是按照所述动态口令的字段长度确定的;
基于所述入口认证客户端与所述令牌同步服务端的加密协议筛选所述多个分片数据,以获取与所述动态口令匹配的所述入口认证客户端的第三身份标识信息。
在本发明实施例中,所述预设的分片规则是按照所述动态口令的字段长度确定的,所述按照预设的分片规则对所述通讯数据进行分片,以排序生成多个分片数据可以通过服务器实现,所述服务器可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
作为本发明一种实施例,入口认证网络管理端被动监控网络中的所有数据,以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,通过对流经本地网卡的数据报文,或者是通过网络设备镜像到本地网卡的数据报文截取分析,依次解析物理层、链路层与传输层,需要对IP数据报文进行排序、重组,对TCP数据报文去重,跟踪SSL/TLS链路的建立过程,分析链路使用的加密方式,实时分析SSL/TLS应用数据长度,当其发现长度和时序符合协议的同步-应答消息对时,开始跟踪分析记录数据消息;当接收下一个同步-应答消息对时,表示数据发送完毕,然后提交数据到令牌同步服务端进行验证,成功完成验证之后,入口认证网络管理端开放入口认证客户端的网络访问权限。
本发明实施例通过在所述令牌同步服务端与所述入口认证客户端建立连接时,被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息,并向所述令牌同步服务端发送查询请求,通过查询所述入口认证客户端的第三身份标识信息是否匹配,并发送所述入口认证客户端的第三身份标识信息至所述3A认证服务端,从而完成入口认证,在认证完成之后,当令牌同步服务端再次接收到入口认证客户端发送的连接请求时,就可以直接建立连接,不需要在远端的入口认证网络管理设备上部署HTTPS证书,也不需要为入口认证网络管理设备配置域名,系统经济成本和维护成本更低,也不需要调用入口认证网络管理设备的北向接口,不受网络拓扑结构的制约。
如图3所示,提出了图2所示出的一种入口认证系统实现入口认证的时序图,该时序图主要描述了一种入口认证流程,详述如下。
在本发明实施例中,通过所述入口认证服务端220将所述入口认证客户端的第一身份标识信息与随机生成的动态口令关联,将所述动态口令以及所述入口认证客户端的第一身份标识信息发送至所述令牌同步服务端,并将所述动态口令以及所述令牌同步服务端的地址信息发送至所述入口认证客户端,以使所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求。
在本发明实施例中,通过所述令牌同步服务端接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功。
在本发明实施例中,通过在所述令牌同步服务端与所述入口认证客户端建立连接时,被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息,并向所述令牌同步服务端发送查询请求,通过查询所述入口认证客户端的第三身份标识信息是否匹配,并发送所述入口认证客户端的第三身份标识信息至所述3A认证服务端,从而完成入口认证,在认证完成之后,当令牌同步服务端再次接收到入口认证客户端发送的连接请求时,就可以直接建立连接。
在本发明实施例中,通过所述3A认证服务端接收所述入口认证网络管理端发送的所述入口认证客户端的第三身份标识信息;在所述令牌同步服务端再次接收到所述入口认证客户端发送的连接请求时,根据所述入口认证客户端的第三身份标识信息至所述令牌同步服务端,以判断所述令牌同步服务端是否与所述入口认证客户端直接建立连接,在认证完成之后,当同步服务端再次接收到客户端发送的连接,就可以直接建立连接,入口认证客户端可以完全使用安全的HTTPS连接访问网络,没有数据泄露风险,由于不使用HTTPS入口重定向,不会出现证书问题导致的重定向问题。
如图4所示,提出了一种入口认证系统中令牌同步服务端执行的入口认证方法的步骤流程图,具体包括以下步骤:
在步骤S402中,接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息。
在本发明实施例中,所述令牌同步服务端与图1示出的所述第二服务器130相关联,运行于所述第二服务器130上,可以是运行于所述第二服务器130上的一个程序,也可以所述第二服务器130的一个功能模块,所述服务器可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
在步骤S404中,接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令。
作为本发明一种实施例,所述令牌同步服务端接收所述入口认证客户端发送的连接请求,将所述连接请求中携带的动态口令存储到令牌同步服务端的有效令牌列表中,设置有效期60秒,所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;所述令牌同步服务端接收到连接请求之后,检查动态口令是否存在和有效,所述有效按照所述动态口令是否处于有效期60秒来进行判断,并且和当前的所述入口认证客户端的第一身份标识信息符合,则发送响应代码,指示服务器根据发送包括请求头的消息的连接请求切换到,否则拒绝连接,直接关闭网络连接。
在步骤S406中,在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功信息。
在本发明实施例中,通过所述令牌同步服务端接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功,通过所述令牌同步服务端采用WebSocket协议,支持Web浏览器以及其他客户端应用程序与Web服务器之间的交互,具有较低的开销,便于实现客户端与服务器的实时数据传输,服务器可以通过标准化的方式来实现,而无需客户端首先请求内容,并允许消息在保持连接打开的同时来回传递,通过这种方式,可以在客户端和服务器之间进行双向持续对话,以便入口认证网络管理设备被动分析特征数据流量并及时更新认证流程的相应状态,并最终完成开放或者禁止入口认证客户端对受保护的网络的访问的相关流程。
如图5所示,在一个实施例中,提供了一种入口认证装置,所述入口认证装置可以集成于上述的令牌同步服务端230中,具体可以包括:获取单元510、判断单元520与查询单元530。
获取单元510,用于接收所述入口认证服务端220发送的动态口令以及所述入口认证客户端210的第一身份标识信息。
判断单元520,用于接收所述入口认证客户端210发送的连接请求,并根据所述连接请求以及所述入口认证服务端220发送的动态口令以及所述入口认证客户端210的第一身份标识信息判断是否与所述入口认证客户端210建立连接,所述连接请求携带有所述入口认证客户端210的第二身份标识信息、动态口令。
查询单元530,用于在与所述入口认证客户端210建立连接后,接收所述入口认证网络管理端240发送的查询请求,并判断所述查询请求携带的入口认证客户端210的第三身份标识信息是否与所述入口认证客户端210的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端210的第三身份标识信息与所述入口认证客户端210的第一身份标识信息匹配时,向所述入口认证网络管理端240返回匹配成功信息。
在本发明实施例中,所述入口认证装置可以是数据电路端接设备,如调制解调器、集线器、桥接器或交换机;也可以是一个数据终端设备,如数字手机,打印机或主机,所述主机可以是路由器、工作站、服务器或无线传感器;还可以是智能终端,如笔记本电脑等计算机设备,也可以是便于携带的智能终端,如平板电脑、掌上电脑、智能眼镜、智能手表、智能手环、智能音箱等,但并不局限于此,可用于数据的转换、管理、处理和传输,所述获取单元510、判断单元520与查询单元530均存储有操作系统,用于处理各种基本方法服务和用于执行硬件相关任务的程序;还存储有应用软件,用于实现本发明实施例中的入口认证方法的步骤。
所述入口认证装置可执行如上述任一实施例中提供的入口认证方法的步骤,其中,本发明实施例提供了一种入口认证方法,所述方法包括如下步骤,如图4所示:
在步骤S402中,接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息。
在本发明实施例中,所述令牌同步服务端与图1示出的所述第二服务器130相关联,运行于所述第二服务器130上,可以是运行于所述第二服务器130上的一个程序,也可以所述第二服务器130的一个功能模块,所述服务器可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
在步骤S404中,接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令。
作为本发明一种实施例,所述令牌同步服务端接收所述入口认证客户端发送的连接请求,将所述连接请求中携带的动态口令存储到令牌同步服务端的有效令牌列表中,设置有效期60秒,所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;所述令牌同步服务端接收到连接请求之后,检查动态口令是否存在和有效,所述有效按照所述动态口令是否处于有效期60秒来进行判断,并且和当前的所述入口认证客户端的第一身份标识信息符合,则发送响应代码,指示服务器根据发送包括请求头的消息的连接请求切换到,否则拒绝连接,直接关闭网络连接。
在步骤S406中,在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功信息。
在本发明实施例中,通过所述令牌同步服务端接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功,通过所述令牌同步服务端采用WebSocket协议,支持Web浏览器以及其他客户端应用程序与Web服务器之间的交互,具有较低的开销,便于实现客户端与服务器的实时数据传输,服务器可以通过标准化的方式来实现,而无需客户端首先请求内容,并允许消息在保持连接打开的同时来回传递,通过这种方式,可以在客户端和服务器之间进行双向持续对话,以便入口认证网络管理设备被动分析特征数据流量并及时更新认证流程的相应状态,并最终完成开放或者禁止入口认证客户端对受保护的网络的访问的相关流程。
在一个实施例中,提出了一种计算机设备,所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例中的入口认证方法的步骤。
图6示出了一个实施例中计算机设备的内部结构图。如图6所示,该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和输入装置。其中,该计算机设备的存储器存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现所述入口认证方法。计算机设备的输入装置可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在本发明实施例中,存储器可以是高速随机存取存储器,诸如DRAM、SRAM、DDR、RAM、或者其他随机存取固态存储设备,或者非易失性存储器,诸如一个或多个硬盘存储设备、光盘存储设备、内存设备等。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的入口认证装置可以实现为一种计算机程序的形式,计算机程序可在如图6所示的计算机设备上运行。计算机设备的存储器中可存储组成该入口认证装置的各个程序模块,比如,图5所示的获取单元510、判断单元520与查询单元530。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的入口认证方法中的步骤。
例如,图6所示的计算机设备可以通过如图5所示的入口认证装置中的获取单元510执行步骤S402,接收所述入口认证服务端220发送的动态口令以及所述入口认证客户端210的第一身份标识信息。计算机设备可通过判断单元520执行步骤S404,接收所述入口认证客户端210发送的连接请求,并根据所述连接请求以及所述入口认证服务端220发送的动态口令以及所述入口认证客户端210的第一身份标识信息判断是否与所述入口认证客户端210建立连接,所述连接请求携带有所述入口认证客户端210的第二身份标识信息、动态口令。计算机设备可通过查询单元530执行步骤S406,在与所述入口认证客户端210建立连接后,接收所述入口认证网络管理端240发送的查询请求,并判断所述查询请求携带的入口认证客户端210的第三身份标识信息是否与所述入口认证客户端210的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端210的第三身份标识信息与所述入口认证客户端210的第一身份标识信息匹配时,向所述入口认证网络管理端240返回匹配成功信息。
另外,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述入口认证方法的步骤。
在本发明所提供的几个实施例中,应该理解到,所描述的实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到一起,或一些模块可以忽略,可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(S6nchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种入口认证系统,其特征在于,所述入口认证系统包括:入口认证网络管理端、与至少一个入口认证客户端进行通讯的入口认证服务端和令牌同步服务端,以及与所述入口认证网络管理端进行通讯的3A认证服务端;
所述入口认证服务端,用于获取入口认证客户端的第一身份标识信息;随机生成动态口令,并将所述入口认证客户端的第一身份标识信息与所述动态口令关联;将所述动态口令以及所述入口认证客户端的第一身份标识信息发送至所述令牌同步服务端,并将所述动态口令以及所述令牌同步服务端的地址信息发送至所述入口认证客户端,以使所述入口认证客户端根据所述令牌同步服务端的地址信息向所述令牌同步服务端发送连接请求,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令;
所述令牌同步服务端,用于接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息;接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接;在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功;
所述入口认证网络管理端,还用于在所述令牌同步服务端与所述入口认证客户端建立连接时,被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息,并向所述令牌同步服务端发送查询请求,所述查询请求携带有所述入口认证客户端的第三身份标识信息;接收所述令牌同步服务端返回的匹配成功信息,并发送所述入口认证客户端的第三身份标识信息至所述3A认证服务端;
所述3A认证服务端,用于接收所述入口认证网络管理端发送的所述入口认证客户端的第三身份标识信息。
2.根据权利要求1所述的入口认证系统,其特征在于,在所述获取入口认证客户端的第一身份标识信息的步骤前,还包括:
在接收所述入口认证客户端发送的连接请求后,向入口认证客户端发送认证指令,以使所述入口认证客户端响应所述认证指令;当所述入口认证客户端响应所述认证指令时,与所述入口认证客户端的建立连接。
3.根据权利要求1所述的入口认证系统,其特征在于,所述接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接的步骤,具体包括:
基于预设的令牌有效判断规则判断所述连接请求中携带的所述动态口令是否有效,并判断所述连接请求中携带的所述入口认证客户端的第二身份标识信息是否与所述入口认证服务端发送的所述入口认证客户端的第一身份标识信息匹配;
当所述连接请求中携带的所述动态口令有效,且所述连接请求中携带的所述入口认证客户端的第二身份标识信息与所述入口认证服务端发送的所述入口认证客户端的第一身份标识信息匹配时,发送第一数据至所述入口认证客户端,以与所述入口认证客户端建立连接。
4.根据权利要求3所述的入口认证系统,其特征在于,所述发送第一数据至所述入口认证客户端的步骤,具体包括:
计算所述动态口令的校验码,以生成第二数据;
将所述第二数据与所述第一数据关联,并发送所述第二数据至所述入口认证客户端,以获取所述入口认证客户端返回的应答消息;
根据所述应答消息判断所述令牌同步服务端是否与所述入口认证客户端保持连接;当判断所述应答消息与所述第二数据匹配时,则发送所述第二数据关联的所述第一数据至所述入口认证客户端,并保持与所述入口认证客户端的连接。
5.根据权利要求4所述的入口认证系统,其特征在于,在所述第一数据发送至所述入口认证客户端的步骤前,还包括:
在将所述第二数据与所述第一数据关联后,按照TLS握手协议对所述第二数据进行加密,以生成安全传输层协议数据,所述安全传输层协议数据至少包含协议版本信息、应答消息类型、应答消息长度、加密密文以及消息验证码。
6.根据权利要求1所述的入口认证系统,其特征在于,所述被动监控网络以获取所述入口认证客户端与所述令牌同步服务端的通讯数据,解析所述通讯数据以获取所述入口认证客户端的第三身份标识信息的步骤,具体包括:
被动监控网络中的所有数据,以获取所述入口认证客户端与所述令牌同步服务端的通讯数据;
按照预设的分片规则对所述通讯数据进行分片,以排序生成多个分片数据,所述预设的分片规则是按照所述动态口令的字段长度确定的;
基于所述入口认证客户端与所述令牌同步服务端的加密协议筛选所述多个分片数据,以获取与所述动态口令匹配的所述入口认证客户端的第三身份标识信息。
7.一种入口认证方法,其特征在于,运用于权利要求1-6任一所述的入口认证系统的令牌同步服务端上,所述入口认证方法包括:
接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息;
接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令;
在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功信息。
8.一种入口认证装置,其特征在于,设置于权利要求1-6任一所述的入口认证系统的令牌同步服务端上,所述入口认证装置包括:
获取单元,用于接收所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息;
判断单元,用于接收所述入口认证客户端发送的连接请求,并根据所述连接请求以及所述入口认证服务端发送的动态口令以及所述入口认证客户端的第一身份标识信息判断是否与所述入口认证客户端建立连接,所述连接请求携带有所述入口认证客户端的第二身份标识信息、动态口令;
查询单元,用于在与所述入口认证客户端建立连接后,接收所述入口认证网络管理端发送的查询请求,并判断所述查询请求携带的入口认证客户端的第三身份标识信息是否与所述入口认证客户端的第一身份标识信息匹配;当判断所述查询请求携带的入口认证客户端的第三身份标识信息与所述入口认证客户端的第一身份标识信息匹配时,向所述入口认证网络管理端返回匹配成功信息。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求7所述入口认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求7所述入口认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911208108.9A CN110943992B (zh) | 2019-11-30 | 2019-11-30 | 一种入口认证系统、方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911208108.9A CN110943992B (zh) | 2019-11-30 | 2019-11-30 | 一种入口认证系统、方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110943992A CN110943992A (zh) | 2020-03-31 |
| CN110943992B true CN110943992B (zh) | 2020-08-25 |
Family
ID=69909131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911208108.9A Active CN110943992B (zh) | 2019-11-30 | 2019-11-30 | 一种入口认证系统、方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110943992B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114339839A (zh) * | 2022-01-05 | 2022-04-12 | 深圳华芯信息技术股份有限公司 | 设备3g或4g网络配置方法、系统、设备端以及app端 |
| CN116055215B (zh) * | 2023-03-02 | 2024-03-15 | 上海弘积信息科技有限公司 | 一种基于网络安全传输协议的通信方法、系统及设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109726545A (zh) * | 2017-10-31 | 2019-05-07 | 中国移动通信集团公司 | 一种信息显示方法、设备、计算机可读存储介质和装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399726B (zh) * | 2007-09-29 | 2011-09-07 | 中国电信股份有限公司 | 一种对无线局域网终端认证的方法 |
| CN103874069B (zh) * | 2014-03-24 | 2017-09-01 | 新华三技术有限公司 | 一种无线终端mac认证装置和方法 |
| CN104009972B (zh) * | 2014-05-07 | 2018-03-13 | 华南理工大学 | 网络安全接入的认证系统及其认证方法 |
| CN104852919B (zh) * | 2015-05-14 | 2018-05-08 | 新华三技术有限公司 | 实现门户Portal认证的方法及装置 |
| CN105050081B (zh) * | 2015-08-19 | 2017-03-22 | 腾讯科技(深圳)有限公司 | 网络接入设备接入无线网络接入点的方法、装置和系统 |
| US10805291B2 (en) * | 2015-09-11 | 2020-10-13 | Comcast Cable Communications, Llc | Embedded authentication in a service provider network |
| CN107529164A (zh) * | 2017-09-07 | 2017-12-29 | 上海斐讯数据通信技术有限公司 | 一种portal认证、无线网络接入方法及系统 |
-
2019
- 2019-11-30 CN CN201911208108.9A patent/CN110943992B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109726545A (zh) * | 2017-10-31 | 2019-05-07 | 中国移动通信集团公司 | 一种信息显示方法、设备、计算机可读存储介质和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110943992A (zh) | 2020-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10972478B2 (en) | Data processing method and apparatus, terminal, and access point computer | |
| US9843575B2 (en) | Wireless network authentication method and wireless network authentication apparatus | |
| US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN111131416B (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN104144163B (zh) | 身份验证方法、装置及系统 | |
| CN104322001A (zh) | 使用服务名称识别的传输层安全流量控制 | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| CN111181912B (zh) | 浏览器标识的处理方法、装置、电子设备及存储介质 | |
| CN112468442B (zh) | 双因子认证方法、装置、计算机设备及存储介质 | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| CN114221822B (zh) | 配网方法、网关设备以及计算机可读存储介质 | |
| CN110943992B (zh) | 一种入口认证系统、方法、装置、计算机设备和存储介质 | |
| CN101986598A (zh) | 认证方法、服务器及系统 | |
| CN106169952A (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| CN108667761B (zh) | 一种利用安全套接字层会话保护单点登录的方法 | |
| CN116707961A (zh) | 用户认证方法、计算机设备及计算机存储介质 | |
| KR100901279B1 (ko) | 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템. | |
| CN106851634B (zh) | 一种Portal环境下管理设备在线状态的方法 | |
| CN105681364B (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 | |
| CN111163466B (zh) | 5g用户终端接入区块链的方法、用户终端设备及介质 | |
| CN111404901A (zh) | 信息验证方法及装置 | |
| JP2008199420A (ja) | ゲートウェイ装置および認証処理方法 | |
| WO2023236925A1 (zh) | 一种认证方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 201207 Pudong New Area, Shanghai, China (Shanghai) free trade trial area, No. 3, 1 1, Fang Chun road. Patentee after: Xingrong (Shanghai) Information Technology Co.,Ltd. Address before: 201207 Pudong New Area, Shanghai, China (Shanghai) free trade trial area, No. 3, 1 1, Fang Chun road. Patentee before: SHANGHAI XINGRONG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 10g27, No. 2299, Yan'an west road, Changning District, Shanghai 200336 Patentee after: Xingrong (Shanghai) Information Technology Co.,Ltd. Address before: 201207 Pudong New Area, Shanghai, China (Shanghai) free trade trial area, No. 3, 1 1, Fang Chun road. Patentee before: Xingrong (Shanghai) Information Technology Co.,Ltd. |