本發明屬于無線網絡的portal認證技術領域，尤其涉及一種portal認證的方法及系統。

背景技術：

隨著互聯網和無線網絡的發展，越來越多的人使用無線WIFI接入網絡。在一些公共場所都能看到免費商業wifi接入的身影。這些公共的商業wifi基本上都是采用頁面portal認證的方式進行無線開放式接入。用戶接入無線網絡并不需要密碼，可以直接接入，接入之后訪問頁面會彈出portal的認證頁面，只要用戶按要求認證即可訪問網絡。當通過認證的用戶，在不同的商業WIFI設備之間發生漫游的時候，并不需要進行重新認證。系統會根據用戶的MAC或IP地址查詢用戶是否已認證，如果為已認證用戶，則不需要再次認證。由于無線接入采用的都是非加密的方式，用戶的MAC和IP地址是很容易泄露的。非法用戶得到合法用戶的MAC或IP地址之后，可以通過偽造MAC或IP的方式，通過portal認證無感知漫游認證的漏洞，以偽造的身份接入并訪問網絡，從而造成巨大的安全隱患。

已有的方案是通過截獲用戶的MAC、IP和DHCP指紋信息上報認證服務器，并進行綁定使用。啟動DHCP指紋包括生產廠商、設備類型、操作系統信息。當一個已認證的MAC和IP的用戶重新接入系統時，需要同時查詢DHCP指紋信息是否匹配，否則將禁止新接入用戶使用網絡。但是該方案存在兩個明顯的缺陷：第一，DHCP指紋需要在WIFI設備上截獲之后上報服務器，流程相對復雜，增加了WIFI設備的負擔；第二，生產廠商、設備類型、操作系統并不是以直觀的方式攜帶在DHCP報文中，往往需要去查詢數據庫的經驗數據才能得出。比如：通過查詢option 55的經驗數據來判斷終端的類型、生產廠家等信息。并且由于是經驗數據，查詢出來的結果也不是百分百準確。

如公開號為CN103209411A的中國發明專利所公開的一種無線網絡防假冒接入的方法，包括如下步驟：接收無線終端發送的無線幀；判斷所述無線幀是數據幀還是管理幀；所述數據幀包含數據內容，所述管理幀用于建立無線連接；若所述無線幀是數據幀，則根據通信記錄判斷所述數據幀的合法性；若所述無線幀是管理幀，則根據管理幀中包含的與管理事件對應的內容是否合法來判斷管理幀的合法性；當所述數據幀或管理幀均不合法時，則將所接收到的無線幀丟棄，否則對所述無線幀進行相應的處理。該發明的技術方案建立在幀的管理上，其方法復雜，同時相對漏洞也較多，不適用于商業WIFI。

技術實現要素：

針對現有技術的不足之處，本發明提供了一種portal認證的方法及系統，本發明通過portal認證服務器將該終端的MAC、IP、設備類型、型號、操作系統類型、操作系統版本和制造商信息進行認證綁定以防止他人使用黑客設備偽造身份接入并訪問網絡。

本發明的技術方案如下：

一種portal認證的方法，包括以下步驟：

步驟一，當終端向接入設備發送頁面訪問請求時，所述接入設備向所述終端發送重定向報文；

步驟二，所述終端向Portal服務器發送帶有所述終端的設備固件信息的頁面訪問請求，所述Portal服務器解析并保存所述終端的MAC、IP以及所述設備固件信息；

步驟三，所述Portal服務器向所述終端推送portal認證頁面，當所述終端認證通過后，所述Portal服務器將所述終端的MAC、IP與所述設備固件信息進行綁定形成確認信息。

作為本發明的優選，所述的設備固件信息為設備類型信息、設備型號信息、操作系統信息、操作系統版本信息和制造商信息的一種或多種。

作為本發明的優選，所述的認證信息為登錄賬戶或社交軟件賬戶。

作為本發明的優選，所述的設備固件信息包含于所述頁面訪問請求的User-Agent字段中。

作為本發明的優選，當所述終端重新接入網絡時，所述Portal服務器將所述終端發出的頁面訪問請求中的設備固件信息與所述確認信息進行匹配。

作為本發明的優選，當匹配一致時所述終端與所述接入設備連接成功；當匹配不一致時進行所述步驟二至所述步驟三重新認證。

作為本發明的優選，當匹配一致時所述終端與所述接入設備連接成功；當匹配不一致時限制使用該所述認證信息的終端與所述接入設備連接。

本發明的技術方案還提供一種portal認證防假冒用戶認證的系統，至少包括Portal服務器和接入設備；

所述的Portal服務器用于接收來自終端發送的帶有所述終端的設備固件信息的頁面訪問請求以及認證信息，并將從所述頁面訪問請求中獲取的所述終端的MAC、IP與所述設備固件信息進行綁定形成確認信息；

所述的接入設備，用于在接收到來自所述終端的HTTP請求后，向所述終端發送重定向報文，將所述終端重定向至所述Portal服務器。

作為本發明的優選，所述Portal服務器包括頁面導入模塊、文件導入模塊、認證綁定模塊；

所述的接入設備包括網址重定向模塊、請求接收模塊、報文生成模塊；

所述的終端包括請求發送模塊、認證發送模塊。

作為本發明的優選，所述的認證發送模塊向所述文件導入模塊發送頁面訪問請求，所述文件導入模塊導入信息包括所述終端的MAC、IP以及所述終端的類型、型號、操作系統類型、操作系統版本和制造商信息。

本發明具有以下優點：

1、本發明的綁定方式的認證步驟可以保證了用戶上網權限的安全性。

2、本發明系統整體架構簡單，這樣保證了已認證合法用戶漫游認證的快速便捷。

附圖說明

圖1為本發明Portal認證的流程示意圖；

圖2為本發明Portal認證方法的第一種流程示意圖；

圖3為本發明Portal認證方法的第二種流程示意圖；

圖4為本發明的系統框圖。

圖中，1-Portal服務器；2-接入設備；3-終端；101-頁面導入模塊；102-文件導入模塊；103-認證綁定模塊；104-認證頁面推送模塊；201-網址重定向模塊；202-請求接收模塊；203-報文生成模塊；301-請求發送模塊；302-認證發送模塊。

具體實施方式

以下結合附圖對本發明優選實施例作進一步詳細說明。

如圖1、圖2所示，本發明的第一種方法實施例包括以下步驟：

步驟一，當終端3向無線接入設備發送頁面訪問請求時，所述接入設備向所述終端3發送重定向報文；

步驟二，終端3向Portal服務器1發送帶有終端3的設備固件信息的頁面訪問請求，Portal服務器1解析并保存終端3的MAC、IP以及設備固件信息；

步驟三，所述Portal服務器1向所述終端3推送portal認證頁面，當所述終端3認證通過后，所述Portal服務器1將所述終端3的MAC、IP與所述設備固件信息進行綁定形成確認信息。

本實施例中接入設備2主要為商業wifi，終端3主要為移動智能設備，本實施主要運用在公共的商業wifi接入時的portal認證過程。

本實施例中設備固件信息為頁面訪問請求的http頭中User-Agent字段中提供的設備類型信息、設備型號信息、操作系統信息、操作系統版本信息和制造商信息，列如User-Agent字段顯示Mozilla/5.0(Linux；Android 4.0.3；U9200Build/HuaweiU9200)，其中Huawe表示制造商信息，iU9200表示設備信號，Android 4.0.3表示操作系統版本信息，Linux表示操作系統信息，所以在本實施例中使用User-Agent字段信息足可以確認終端3的詳細固件信息，而一般冒名者雖然能使用各種方式截獲或者破解認證信息的內容，但是很難得知正常使用者在第一認證綁定時所使用的的設備的具體固件信息，同時由于冒名者在認證過程中必須要發送其自身的User-Agent字段信息，所以冒名者很難通過簡單的軟件方式替換設備固件信息中的內容，除非冒名者使用相同的終端3進行認證，這樣無疑將安全性提升至了很高的高度。同時在具體實施時設備固件信息通常包括User-Agent字段的全部內容，由Portal服務器1對設備類型信息、設備型號信息、操作系統信息、操作系統版本信息和制造商信息進行選取一種、多種或者全部也可以優選為兩種以上信息的隨機抽選方式確認設備固件信息配合MAC、IP與認證信息進行綁定。優選為兩種以上信息的隨機抽選方式確認設備固件信息時，系統會隨機從設備類型信息、設備型號信息、操作系統信息、操作系統版本信息和制造商信息中抽選兩個或兩個以上的信息作為設備固件信息進行綁定，當這樣無疑進一步提升冒名者冒名的難度，冒名者很難確定抽選的規律，這樣就無法使用軟件手段替換設備固件信息中的內容，提升了本方法的安全性。

本實施例中認證信息為登錄賬戶或社交軟件賬戶，登錄賬戶由運用方設置的賬戶以及密碼構成，社交軟件賬戶為微信公共號、QQ號、微博號等社交軟件賬戶，其中列舉內容并非全部或者特選，社交軟件賬戶還可以是與列舉內容相同類型的其他軟件賬戶，例如mixi賬戶、fb賬戶、line賬戶等。這樣的多認證方式的實施是為了配合當代社會社交軟件對人社會生活的大規模滲透的現狀，這樣用戶在使用過程中無需復雜的操作即可完成認證。

本實施例Portal認證后再次接入的認證方法的第一種實施例中當終端3已經通過一次認證并且Portal服務器1已經綁定了相關信息后，當終端3重新接入網絡時，Portal服務器1將終端3發出的頁面訪問請求中的設備固件信息與確認信息進行匹配。即Portal服務器1會將其MAC、IP與綁定的設備類型、型號、操作系統類型、操作系統版本和制造商信息進行匹配，確認是否一致。當匹配一致時終端3與接入設備2連接成功；當匹配不一致時進行步驟二至步驟三重新認證。

本實施例Portal認證后再次接入的認證方法的第二種實施例中當終端3已經通過一次認證并且Portal服務器1已經綁定了相關信息后當終端3重新接入網絡時，Portal服務器1將終端3發出的頁面訪問請求中的設備固件信息與確認信息進行匹配。即Portal服務器1會將其MAC、IP與綁定的設備類型、型號、操作系統類型、操作系統版本和制造商信息進行匹配，確認是否一致。當匹配一致時終端3與接入設備2連接成功；當匹配不一致時限制使用該認證信息的終端3與接入設備2連接。限制連接后解除方式擁有多種實施方式，主要為以下幾種：第一，對于該認證信息所對應的當前設備進行限制，運營方進行重新定義解除限制；第二，僅限制連接一段時間，時間到后自動解除限制。

如圖3所示，本發明實施例的第二實施方式為第一種實施方式的具體擴展，使得第一種實施方式中的一些細節實施步驟得以明確，具體包括以下步驟：

步驟一：終端3接入接入設備2，此時由于終端3沒有通過認證，故終端3的上網權限受限，此時終端3訪問HTTP網頁時，商業接入設備2監聽其http80端口的報文；

步驟二：接入設備2向終端3發送重定向報文，并攜帶終端3的MAC和IP地址，讓用戶去訪問portal服務器1的頁面；

步驟三：終端3向portal服務器1發送頁面訪問請求，其中攜帶終端3的MAC和IP地址信息。portal服務器1收到終端3的頁面訪問請求之后，解析出終端3的MAC、IP和http報文中攜帶的設備類型、型號、操作系統類型、操作系統版本和制造商信息，并做保存。

步驟四：portal服務器1向終端3推送portal認證頁面；

步驟五：終端3輸入認證信息完成portal認證。終端3認證成功之后，portal服務器1將終端3的MAC、IP、設備類型、型號、操作系統類型、操作系統版本和制造商信息進行認證綁定。

步驟六：portal認證完成之后，終端3就可以通過接入設備2正常訪問網絡了。

在本實施例中認證信息同樣為登錄賬戶或社交軟件賬戶，具體包含內容也均相同。

在本實施例中終端3的頁面訪問請求與第一種實施例中頁面訪問請求中關于設備類型、型號、操作系統類型、操作系統版本和制造商信息的來源相同，均來自User-Agent字段。同時進一步本實施例中終端3的頁面訪問請求與第一種實施例中頁面訪問請求可以是完全相同的信息構成。

在本實施例Portal認證后再次接入的認證方法同樣具有兩種實施例，既是當終端3已經通過一次認證并且Portal服務器1已經綁定了相關信息后，終端3重新與接入設備2進行連接時，Portal服務器1將終端3的MAC、IP以及設備固件信息與具有相同認證信息的確認信息進行匹配。當匹配一致時終端3與接入設備2連接成功；當匹配不一致時可以進行步驟二至步驟五重新認證或者限制使用該認證信息的終端3與接入設備2連接。

如圖4所示，本發明的系統實施例包括Portal服務器、接入設備2、終端3；

Portal服務器1用于接收來自終端3發送的帶有終端3的設備固件信息的頁面訪問請求以及認證信息，并將從頁面訪問請求中獲取的終端3的MAC、IP以及設備固件信息與認證信息進行綁定形成確認信息；

接入設備2，用于在接收到來自終端3的HTTP請求后，向終端3發送重定向報文，將終端3重定向至Portal服務器1；

終端3用于發起連接請求以及發送頁面訪問請求或者頁面訪問請求。

Portal服務器1包括用于接收頁面訪問請求或者頁面訪問請求的頁面導入模塊101、用于將User-Agent字段中提供的設備類型信息、設備型號信息、操作系統信息、操作系統版本信息和制造商信息導入的文件導入模塊102、用于將認證信息與終端3的MAC、IP、設備類型、型號、操作系統類型、操作系統版本和制造商信息進行認證綁定的認證綁定模塊103以及用于推送認證頁面給終端3的認證頁面推送模塊104，頁面導入模塊101與文件導入模塊102連接，文件導入模塊102與認證綁定模塊103連接；

接入設備2既是方法實施例中的接入設備2的具體實施方式，其包括用于讓用戶去訪問portal服務器1的頁面的網址重定向模塊201、用于接收終端3的連接請求的請求接收模塊202、用于生成重定向報文的報文生成模塊203，請求接收模塊202與重定向模塊201連接，重定向模塊201與報文生成模塊203連接；

終端3包括請求發送模塊301、認證發送模塊302。認證發送模塊302向文件導入模塊102發送頁面訪問請求，文件導入模塊102導入信息包括終端3的MAC、IP以及終端3的類型、型號、操作系統類型、操作系統版本和制造商信息。

本實施例中請求發送模塊301向請求接收模塊202發送接入請求，網址重定向模塊201決定終端3需要訪問的Portal服務器1并由報文生成模塊203生成重定向報文使用戶去訪問portal服務器1的頁面，頁面導入模塊101將頁面訪問請求或者頁面訪問請求的頁面導入，并且由文件導入模塊102將User-Agent字段中提供的設備類型信息、設備型號信息、操作系統信息、操作系統版本信息和制造商信息導入，認證頁面推送模塊104將認證頁面推送給終端3，認證發送模塊302將認證信息返回給portal服務器1，由認證綁定模塊103將終端3的MAC、IP、設備類型、型號、操作系統類型、操作系統版本和制造商信息進行認證綁定，完成認證。

上面所述的實施例僅是對本發明的優選實施方式進行描述，并非對本發明的構思和范圍進行限定。在不脫離本發明設計構思的前提下，本領域普通人員對本發明的技術方案做出的各種變型和改進，均應落入到本發明的保護范圍，本發明請求保護的技術內容，已經全部記載在權利要求書中。