一种认证方法及装置与流程

本技术涉及网络安全，特别涉及一种认证方法及装置。

背景技术：

1、portal认证通常也称为web认证，一般将portal认证网站称为门户网站。portal认证本身为网页认证。

2、随着宽带无线接入技术和移动终端技术的飞速发展，人们迫切希望能够随时随地，乃至在移动过程中都能方便地从互联网获取信息和服务，移动互联网应运而生并迅猛发展，随着智能终端类型的不断发展，各种app发展越来越快，在移动互联网时代，很多用户访问各种应用已经不经过浏览器，而是直接通过各种app，因此，在app中内嵌portal认证是非常重要的一个功能。通过app认证方式来实现用户接入方式已经变得越来越普遍，解决这类app认证方式的体验尤其重要。

3、目前，终端通过某一app认证过程如下：

4、1、ac将所有知道的该app服务器对应的ip地址配置为白名单；

5、2、pc打开该app；

6、3、pc发起dns请求，dns服务器返回该域名对应的ip地址(例如为201.1.1.1)；

7、4、pc和该app服务器地址201.1.1.1的80端口建立连接；

8、5、由于该服务器地址为白名单，因此，ac直接放行；

9、6、pc直接可直接和该服务器交互，输入账号信息；

10、7、账号认证成功，该app服务器返回给pc认证票据，pc重定向到portal server；

11、8、portal server通过认证票据去该app服务器校验；

12、9、校验成功，则用户认证成功。

13、由于用户事先必须先登陆该app的服务器，因此，必须事先知道该app服务器对应的ip地址，并在ac中将这些地址增加到白名单中，那么，对于用户量大的应用，随着用户规模不断增加，部署的服务器会越来越多，如果每次需要网管人员手动增加，维护工作会越来越繁杂。

技术实现思路

1、本技术提供了一种认证方法及装置。

2、第一方面，本技术提供了一种认证方法，应用于接入控制器ac，所述方法包括：

3、接收目标终端发送的syn报文，其中，一个终端在接入所述ac，并接收到打开目标应用程序的指令后，发起目的地址为预设的tcp临时放行地址的tcp连接建立请求；

4、若确定所述syn报文的目的地址与所述tcp临时放行地址相匹配，则将所述目标终端加入临时放行列表；

5、仿造syn-ack报文，并向所述目标终端反馈所述syn-ack报文，以使得所述目标终端与所述目标应用程序的服务器进行用户认证交互，所述服务器在确定用户认证通过后，向所述目标终端发送票据，所述目标终端重定向至portal服务器，所述portal服务器从所述目标终端获取所述票据，并基于所述票据与所述服务器进行认证，在确定认证通过后，向所述ac发送所述目标终端认证成功的通知；

6、接收所述portal服务器发送的目标终端认证成功的通知，将所述目标终端加入放行列表。

7、可选地，将所述目标终端加入临时放行列表的步骤包括：

8、将所述目标终端的mac地址和/或ip地址加入临时放行列表，其中，对源地址为所述临时放行列表包括的mac地址和/或ip地址的报文执行临时放行操作；

9、将所述目标终端加入放行列表的步骤包括：

10、将所述目标终端的mac地址和/或ip地址加入放行列表，其中，对源地址为所述放行列表包括的mac地址和/或ip地址的报文执行放行操作。

11、可选地，所述方法还包括：

12、配置所述临时放行列表中所述目标终端的mac地址和/或ip地址的老化时间，其中，在所述老化时间内，对源地址为所述目标终端的mac地址和/或ip地址的报文执行临时放行操作。

13、第二方面，本技术提供了一种认证方法，应用于终端，所述方法包括：

14、在确定接入ac后，展示portal服务器认证页面，所述portal服务器认证页面包括目标应用程序打开按钮；

15、接收打开所述目标应用程序的指令，发起目的地址为预设的tcp临时放行地址的syn报文，所述ac在接收到所述syn报文后，若确定所述syn报文的目的地址与所述tcp临时放行地址相匹配，则将所述目标终端加入临时放行列表，并仿造syn-ack报文，向所述目标终端反馈所述syn-ack报文；

16、若接收到所述ac发送的syn-ack报文，则与所述目标应用程序的目标服务器进行用户认证交互，其中，所述服务器在确定用户认证通过后，向所述目标终端发送票据；

17、接收所述服务器发送的所述票据，并重定向至portal服务器，其中，所述portal服务器从所述目标终端获取所述票据，并基于所述票据与所述服务器进行认证，所述portal服务器在确定认证通过后，向所述ac发送所述目标终端认证成功的通知，以使得所述ac将所述目标终端加入放行列表。

18、第三方面，本技术提供了一种认证装置，应用于接入控制器ac，所述装置包括：

19、接收单元，用于接收目标终端发送的syn报文，其中，一个终端在接入所述ac，并接收到打开目标应用程序的指令后，发起目的地址为预设的tcp临时放行地址的tcp连接建立请求；

20、确定单元，用于在确定所述syn报文的目的地址与所述tcp临时放行地址相匹配时，将所述目标终端加入临时放行列表；

21、反馈单元，用于仿造syn-ack报文，并向所述目标终端反馈所述syn-ack报文，以使得所述目标终端与所述目标应用程序的服务器进行用户认证交互，所述服务器在确定用户认证通过后，向所述目标终端发送票据，所述目标终端重定向至portal服务器，所述portal服务器从所述目标终端获取所述票据，并基于所述票据与所述服务器进行认证，在确定认证通过后，向所述ac发送所述目标终端认证成功的通知；

22、所述接收单元还用于，接收所述portal服务器发送的目标终端认证成功的通知；所述确定单元还用于，将所述目标终端加入放行列表。

23、可选地，将所述目标终端加入临时放行列表时，所述确定单元具体用于：

24、将所述目标终端的mac地址和/或ip地址加入临时放行列表，其中，对源地址为所述临时放行列表包括的mac地址和/或ip地址的报文执行临时放行操作；

25、将所述目标终端加入放行列表时，所述确定单元具体用于：

26、将所述目标终端的mac地址和/或ip地址加入放行列表，其中，对源地址为所述放行列表包括的mac地址和/或ip地址的报文执行放行操作。

27、可选地，所述装置还包括：

28、配置单元，用于配置所述临时放行列表中所述目标终端的mac地址和/或ip地址的老化时间，其中，在所述老化时间内，对源地址为所述目标终端的mac地址和/或ip地址的报文执行临时放行操作。

29、第四方面，本技术提供了一种认证装置，应用于终端，所述装置包括：

30、展示单元，用于在确定接入ac后，展示portal服务器认证页面，所述portal服务器认证页面包括目标应用程序打开按钮；

31、接收单元，用于接收打开所述目标应用程序的指令；

32、发送单元，用于发送目的地址为预设的tcp临时放行地址的syn报文，所述ac在接收到所述syn报文后，若确定所述syn报文的目的地址与所述tcp临时放行地址相匹配，则将所述目标终端加入临时放行列表，并仿造syn-ack报文，向所述目标终端反馈所述syn-ack报文；

33、所述接收单元还用于，接收所述ac发送的syn-ack报文；

34、认证单元，用于与所述目标应用程序的目标服务器进行用户认证交互，其中，所述服务器在确定用户认证通过后，向所述目标终端发送票据；

35、所述接收单元还用于，接收所述服务器发送的所述票据；

36、所述认证单元还用于，重定向至portal服务器，与所述portal服务器进行认证交互，其中，所述portal服务器从所述目标终端获取所述票据，并基于所述票据与所述服务器进行认证，所述portal服务器在确定认证通过后，向所述ac发送所述目标终端认证成功的通知，以使得所述ac将所述目标终端加入放行列表。

37、第五方面，本技术实施例提供一种认证装置，该认证装置包括：

38、存储器，用于存储程序指令；

39、处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面或第二方面中任一项所述的方法的步骤。

40、第六方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第一方面或第二方面中任一项所述方法的步骤。

41、综上可知，本技术实施例提供的认证方法，应用于接入控制器ac，所述方法包括：接收目标终端发送的syn报文，其中，一个终端在接入所述ac，并接收到打开目标应用程序的指令后，发起目的地址为预设的tcp临时放行地址的tcp连接建立请求；若确定所述syn报文的目的地址与所述tcp临时放行地址相匹配，则将所述目标终端加入临时放行列表；仿造syn-ack报文，并向所述目标终端反馈所述syn-ack报文，以使得所述目标终端与所述目标应用程序的服务器进行用户认证交互，所述服务器在确定用户认证通过后，向所述目标终端发送票据，所述目标终端重定向至portal服务器，所述portal服务器从所述目标终端获取所述票据，并基于所述票据与所述服务器进行认证，在确定认证通过后，向所述ac发送所述目标终端认证成功的通知；接收所述portal服务器发送的目标终端认证成功的通知，将所述目标终端加入放行列表。

42、采用本技术实施例提供的认证方法，通过在ac上设置临时放行匹配规则，当匹配到符合要求的终端发送的syn报文后，仿冒目的端向该终端反馈syn-ack报文，并将该终端加入临时放行列表，终端能够通过ac与应用程序服务器认证交互，从而实现后续的portal认证功能。无需手工维护各服务器的地址白名单，提升了认证效率。