本发明涉及通信
技术领域:
:,尤其涉及一种portal认证装置及系统。
背景技术:
::wlan产品在互联网环境连通的情况下,通常面向的是非固定的接入用户,且数量较多,出于安全考虑,一般都需要进行认证才能通过wlan产品接入互联网。目前,大部分wlan产品通过向终端用户弹出portal认证页面的方式进行身份认证。portal是一种web应用,通常用来提供个性化、单次登录、聚集各个信息源的内容,并作为信息系统表现层的宿主,是一种为用户提供便捷、实用、灵活的wlan上网web认证装置。当前,市场上的方案一般都支持http(hypertexttransferprotocol,超文本传输协议)协议的portal弹出方案,而不支持https(hypertexttransferprotocoloversecuresocketlayer,安全套接字层超文本传输协议)加密协议的portal弹出方案,原因在于:基于https协议的数据包都采用了秘钥进行加密,而这个秘钥只有终端设备和服务器知道,以此wlan产品拦截到了https报文时无法解析出来。此外,即便在wlan产品中实现了https认证方式,也有可能出现有些浏览器不能正常访问https服务的现象,出现访问https服务中断的问题。技术实现要素:本发明的目的是提供一种portal认证装置及系统,有效解决现有技术中不能完成基于https协议的请求报文的portal认证的技术问题。本发明提供的技术方案如下:一种portal认证装置,应用于无线接入设备,所述portal认证装置中包括报文转发平台、支持https协议的第一认证处理模块以及支持http协议的第二认证处理模块,所述portal认证装置在进行portal认证中包括:报文转发平台截获终端发送的报文请求;报文转发平台判断所述报文请求是否为基于https协议的报文;若是,报文转发平台将所述报文请求转发至第一认证处理模块;第一认证处理模块根据所述报文请求重定向得到基于http协议的请求页面并将其反馈至终端;报文转发平台截获终端根据所述的基于http协议的请求页面发送的报文请求,并将其转发至第二认证处理模块;第二认证处理模块根据所述报文请求重定向得到portal认证页面并将其下发至终端,进入portal认证步骤。在本技术方案中,当portal认证装置判断接收到基于https协议的请求报文,则将其转发至第一认证处理模块中进行处理,重定向得到基于http协议的请求页面,此后,用户通过所述http页面重新发送请求报文,进而终端就能采用正常的基于http协议的portal认证方法完成对用户的身份认证,为用户提供便利的同时提升用户体验。进一步优选地,在所述报文转发平台判断所述报文请求是否为基于https协议的加密请求报文中,若判断请求报文不是基于https协议的加密请求报文,则,报文转发平台进一步判断所述请求报文是否为基于http协议的报文;若是,将所述请求报文转发至第二认证处理模块,并跳转至所述步骤第二认证处理模块根据所述报文请求重定向得到portal认证页面并将其下发至终端。在本技术方案中,若判断出接收到的请求报文为基于http协议的报文,直接进入正常的基于http协议的portal认证方法完成对用户的身份认证。进一步优选地,在所述报文转发平台判断所述报文请求是否为基于https协议的报文中,具体为:所述报文转发平台根据请求报文发送的端口判断是否为基于https协议的报文。进一步优选地,在所述报文转发平台进一步判断所述请求报文是否为基于https协议的报文中,具体为:报文转发平台进一步根据请求报文发送的端口判断所述请求报文是否为基于https协议的报文。在本技术方案中,根据报文发送的端口判断是基于http协议的报文还是基于https协议的报文,简单方便。进一步优选地,在所述报文转发平台截获终端发送的报文请求之后,还包括:报文转发平台判断所述终端是否被portal认证过;若没有,跳转至所述步骤报文转发平台判断所述报文请求是否为基于https协议的报文。在本技术方案中,根据发送请求报文的终端判断其是否被portal认证过,若没有,发送至第一认证处理模块中进行处理。进一步优选地,在所述报文转发平台判断所述终端是否被portal认证过中,若判断所述终端被portal认证过;则,所述报文转发平台将所述报文请求转发至请求对应的网络服务器。进一步优选地,在所述报文转发平台将所述报文请求转发至第一认证处理模块中,包括:获取请求报文中的目的ip地址和目的mac地址;将所述目的ip地址和mac地址修改为本地ip地址和本地mac地址,并将其添加入流表中;根据所述流表将所述请求报文转发至第一认证处理模块。在本技术方案中,为了将请求报文转发进入第一认证处理模块,在报文转发平台中,将请求报文中的目的ip地址和目的mac地址伪装成本地ip地址和本地mac地址,以此在无线接入设备中实现对基于https协议的请求报文的回应,重定向到http协议。进一步优选地,在所述将所述目的ip地址和mac地址修改为本地ip地址和本地mac地址,并将其添加入流表中之后,还包括:将针对所述请求报文的流表设定为最高优先级。在本技术方案中,为了不改变无线接入设备中其他业务的处理,将针对https协议的请求报文的流表优先级设定为最高。在所述第一认证处理模块根据所述报文请求重定向得到基于http协议的请求页面并将其反馈至终端中,包括:根据所述报文请求重定向得到基于http协议的请求页面;获取所述请求页面的源ip地址和源mac地址;将所述源ip地址和源mac地址修改为请求报文中的目的ip地址和目的mac地址,并将其添加入流表中;根据所述流表将所述请求页面反馈至终端。在本技术方案中,由于请求报文在转发的过程中将目的ip地址和目的mac地址进行伪装,以此在反馈报文的过程中将其替换回去。本发明还提供了一种portal认证系统,包括相互通信连接的无线接入设备和portal认证服务器,其中,所述无线接入设备中包括上述portal认证装置;所述portal认证服务器,用于接收用户通过无线接入设备下发的portal认证页面输入的用户信息对其进行认证,并将认证结果反馈至终端,完成对用户的portal认证。在本技术方案中,当无线接入设备判断接收到基于https协议的请求报文,则将其转发至第一认证处理模块中进行处理,重定向得到基于http协议的请求页面,此后,用户通过所述http页面重新发送请求报文,进而终端就能采用正常的基于http协议的portal认证方法完成对用户的身份认证,为用户提供便利的同时提升用户体验。附图说明下面将以明确易懂的方式,结合附图说明优选实施方式,对倒置定量气雾剂阀门的上述特性、技术特征、优点及其实现方式予以进一步说明。图1是本发明中portal认证装置示意图;图2是本发明中使用该portal认证装置进行portal认证一种实施方式流程示意图;图3是本发明中使用该portal认证装置进行portal认证另一种实施方式流程示意图;图4是本发明中使用该portal认证装置进行portal认证另一种实施方式流程示意图;图5是本发明中portal认证系统示意图。附图标号说明:100-portal认证装置,110-报文转发平台,120-第一认证处理模块,130-第二认证处理模块,10-portal认证系统,11-无线接入设备,12-portal认证服务器。具体实施方式为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。为使图面简洁,各图中的只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。如图1所示为本发明提供portal认证装置示意图,具体该portal认证装置100应用于无线接入设备,包括报文转发平台110、支持https协议的第一认证处理模块120以及支持http协议的第二认证处理模块130。具体,在一种实施方式中,使用该portal认证装置进行portal认证中包括:s10报文转发平台截获终端发送的报文请求;s20报文转发平台判断报文请求是否为基于https协议的报文;若是,转发至步骤s30;s30报文转发平台将报文请求转发至第一认证处理模块;s40第一认证处理模块根据报文请求重定向得到基于http协议的请求页面并将其反馈至终端;s50报文转发平台截获终端根据的基于http协议的请求页面发送的报文请求,并将其转发至第二认证处理模块;s60第二认证处理模块根据报文请求重定向得到portal认证页面并将其下发至终端,进入portal认证步骤。在本实施方式中,在使用该portal认证装置进行portal认证之前,完成终端与报文转发平台、报文转发平台与第一认证处理模块以及第一认证处理模块与终端之间的三次握手,建立通信连接。之后,若需要进行portal认证,用户通过终端向无线接入设备发送报文请求;无线接入设备接收到该报文请求之后,随即通过报文的传输端口(基于https协议的请求报文通过443端口传输)判断其是否为基于https协议的报文,若是,则将其转发至支持https协议的第一认证处理模块中进行处理。第一认证处理模块接收到该请求报文之后,对其进行解析处理,重定向得到基于http协议的请求页面的url(uniformresourcelocator,统一资源定位符)地址反馈至终端。以此,用户在基于http协议的请求页面中重新发送请求报文至无线接入设备。无线接入设备在接收该请求报文之间,首先完成终端与报文转发平台、报文转发平台与第二认证处理模块以及第二认证处理模块与终端之间的三次握手,建立通信连接。之后,无线接入设备中报文转发平台接收到终端发送的基于http的请求报文,判断出其是基于http的报文请求(基于https协议的请求报文通过80端口传输),将其转发至第二认证处理模块中进行处理。第二认证处理模块接收到该请求报文之后,将重定向得到的portal页面的url地址反馈至终端,进入正常的portal认证步骤。对上述实施方式进行改进得到本实施方式,如图3所示,在本实施方式中,使用该portal认证装置进行portal认证中包括:s10报文转发平台截获终端发送的报文请求;s20报文转发平台判断报文请求是否为基于https协议的报文;若是,转发至步骤s30;否则跳转至步骤s70;s30报文转发平台将报文请求转发至第一认证处理模块;s40第一认证处理模块根据报文请求重定向得到基于http协议的请求页面并将其反馈至终端;s50报文转发平台截获终端根据的基于http协议的请求页面发送的报文请求,并将其转发至第二认证处理模块;s60第二认证处理模块根据报文请求重定向得到portal认证页面并将其下发至终端,进入portal认证步骤。s70报文转发平台进一步判断请求报文是否为基于http协议的报文;若是,s80将请求报文转发至第二认证处理模块,并跳转至步骤s60。在本实施方式中,在使用该portal认证装置进行portal认证之前,完成终端与报文转发平台、报文转发平台与第一认证处理模块以及第一认证处理模块与终端之间的三次握手,建立通信连接。之后,若需要进行portal认证,用户通过终端向无线接入设备发送报文请求;无线接入设备接收到该报文请求之后,随即通过报文的传输端口(基于https协议的请求报文通过443端口传输)判断其是否为基于https协议的报文,若是,则将其转发至支持https协议的第一认证处理模块中进行处理。若不是,则进一步判断其是否为基于http协议的报文,若是,则转发至支持http协议的第二认证处理模块中进行处理。第一认证处理模块接收到该请求报文之后,对其进行解析处理,重定向得到基于http协议的请求页面的url(uniformresourcelocator,统一资源定位符)地址反馈至终端。以此,用户在基于http协议的请求页面中重新发送请求报文至无线接入设备。无线接入设备在接收该请求报文之间,首先完成终端与报文转发平台、报文转发平台与第二认证处理模块以及第二认证处理模块与终端之间的三次握手,建立通信连接。之后,无线接入设备中报文转发平台接收到终端发送的基于http的请求报文,判断出其是基于http的报文请求(基于https协议的请求报文通过80端口传输),将其转发至第二认证处理模块中进行处理。第二认证处理模块接收到该请求报文之后,将重定向得到的portal页面的url地址反馈至终端,进入正常的portal认证步骤。对上述实施方式进行改进得到本实施方式,如图4所示,在本实施方式中,使用该portal认证装置进行portal认证中包括:s10报文转发平台截获终端发送的报文请求;s11报文转发平台判断终端是否被portal认证过;若没有,跳转至步骤s20;s20报文转发平台判断报文请求是否为基于https协议的报文;若是,转发至步骤s30;否则跳转至步骤s70;s30报文转发平台将报文请求转发至第一认证处理模块;s40第一认证处理模块根据报文请求重定向得到基于http协议的请求页面并将其反馈至终端;s50报文转发平台截获终端根据的基于http协议的请求页面发送的报文请求,并将其转发至第二认证处理模块;s60第二认证处理模块根据报文请求重定向得到portal认证页面并将其下发至终端,进入portal认证步骤。s70报文转发平台进一步判断请求报文是否为基于http协议的报文;若是,s80将请求报文转发至第二认证处理模块,并跳转至步骤s60。在本实施方式中,在使用该portal认证装置进行portal认证之前,完成终端与报文转发平台、报文转发平台与第一认证处理模块以及第一认证处理模块与终端之间的三次握手,建立通信连接。之后,若需要进行portal认证,用户通过终端向无线接入设备发送报文请求;无线接入设备接收到该报文请求之后,首先判断发送该请求报文的终端是否已经被portal认证过(根据终端的mac地址进行判断),若有,则将接受到的请求报文转发出去,具体转发至请求报文对应的网络服务器中;若没有,则随即通过报文的传输端口(基于https协议的请求报文通过443端口传输)判断其是否为基于https协议的报文,若是,则将其转发至支持https协议的第一认证处理模块中进行处理。若不是,则进一步判断其是否为基于http协议的报文,若是,则转发至支持http协议的第二认证处理模块中进行处理。第一认证处理模块接收到该请求报文之后,对其进行解析处理,重定向得到基于http协议的请求页面的url(uniformresourcelocator,统一资源定位符)地址反馈至终端。以此,用户在基于http协议的请求页面中重新发送请求报文至无线接入设备。无线接入设备在接收该请求报文之间,首先完成终端与报文转发平台、报文转发平台与第二认证处理模块以及第二认证处理模块与终端之间的三次握手,建立通信连接。之后,无线接入设备中报文转发平台接收到终端发送的基于http的请求报文,判断出其是基于http的报文请求(基于https协议的请求报文通过80端口传输),将其转发至第二认证处理模块中进行处理。第二认证处理模块接收到该请求报文之后,将重定向得到的portal页面的url地址反馈至终端,进入正常的portal认证步骤。在上述实施方式中,在报文转发平台将报文请求转发至第一认证处理模块的过程中:由请求报文的目的ip地址为互联网中的ip地址,以此报文转发平台首先从请求报文中提取目的ip地址和目的mac地址,并将其修改为本地ip地址和本地mac地址(即无线接入设备的ip地址和mac地址),并将其添加入流表中,以此根据流表将请求报文转发至第一认证处理模块。第一认证处理模块在重定向得到基于http协议的请求页面并将其转发至终端之前,获取请求页面的源ip地址和源mac地址,将该源ip地址和源mac地址替换回请求报文中的目的ip地址和目的mac地址,并将其添加入流表中,最后根据流表将请求页面反馈至终端。此外,由基于https协议的请求报文在进行portal认证之前,只在无线接入设备内部进行处理,以此为了不改变其他业务的现有处理,将针对https协议的请求报文的流表优先级放在最高处理。如图5所示,本发明还提供了一种portal认证系统,包括相互通信连接的无线接入设备和portal认证服务器,其中,无线接入设备中包括上述portal认证装置;portal认证服务器,用于接收用户通过无线接入设备下发的portal认证页面输入的用户信息对其进行认证,并将认证结果反馈至终端,完成对用户的portal认证。在本实施方式中,当无线接入设备判断接收到基于https协议的请求报文,则将其转发至第一认证处理模块中进行处理,重定向得到基于http协议的请求页面,此后,用户通过http页面重新发送请求报文,进而终端就能采用正常的基于http协议的portal认证方法完成对用户的身份认证,为用户提供便利的同时提升用户体验。具体,这里的无线接入设备可以为无线路由器、无线ap等,终端可以为手机、平板电脑等。在一实例中,将openvswitch平台作为报文转发平台,nginx协议模块作为第一认证处理模块。具体,在portal认证成功前,openvswitch平台截获基于https协议的请求报文,上送nginx协议模块进行处理。portal认证成功后,openvswitch平台只对基于https协议的请求报文进行业务转发。更具体来说,在终端将基于https协议的请求报文上送至nginx协议模块的过程中:当终端有请求报文上报时,随即配置对应该终端的流表,并将针对该https协议的请求报文的流表优先级设定为最高。openvswitch平台接收到该请求报文之后,对其属性进行判断,若判断出其为基于https协议的请求报文,将该请求报文的目的ip和目的mac改为本地协议栈的ip地址和mac地址,以此将请求报文转发至nginx协议模块中进行处理。假若流表为:cookie=0x0,duration=256057.225s,table=0,n_packets=246,n_bytes=20025,idle_age=65534,hard_age=65534,priority=1000,tcp,in_port=100,dl_src=c8:f2:30:32:d8:c1,tp_dst=443,actions=mod_nw_dst:10.6.61.178,mod_dl_dst:de:09:57:2c:2f:44,output:6。openvswtich平台收到基于https协议的请求报文,通过netlink,将报文上送nginx协议模块进行处理,并下发nginx协议模块回应报文(基于http协议的请求页面)的转发流表,同样将该流表的优先级设定为最高。由于请求报文在上送的过程中,将请求报文的目的ip地址和目的mac地址都进行了替换,以此,在回应报文处理的过程中将报文的源ip地址和源mac地址替换回去。对应的流表为:cookie=0x0,duration=255589.319s,table=0,n_packets=128,n_bytes=18211,idle_age=65534,hard_age=65534,priority=1000,tcp,in_port=6,dl_src=de:09:57:2c:2f:44,tp_src=443,actions=mod_nw_src:12.13.14.15,mod_dl_dst:c8:f2:30:32:d8:c1,mod_dl_src:00:99:f8:33:e1:21,output:100。应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本
技术领域:
:的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。当前第1页12当前第1页12