專利名稱：一種Portal Web服務(wù)器及其防止偽造下線請求的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及門戶認證，尤其涉及Portal認證及防止偽造下線請求的技術(shù)。
背景技術(shù)：
Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時，設(shè)備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務(wù)。當用戶需要訪問互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以訪問互聯(lián)網(wǎng)資源。用戶可以主動訪問已知的Portal認證網(wǎng)站，輸入用戶名和密 碼進行認證，這種開始Portal認證的方式稱作主動認證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強制訪問Portal認證網(wǎng)站,從而開始Portal認證過程,這種方式稱作強制認證。在強制認證中，用戶可以使用客戶端和瀏覽器兩種方式發(fā)起認證。用戶使用瀏覽器發(fā)起Portal認證時,經(jīng)過BAS設(shè)備時用戶的訪問請求被重定向到Portal系統(tǒng)的PortalWeb認證主頁上，用戶在認證主頁中輸入認證信息提交后，經(jīng)由Portal Web和PortalServer服務(wù)器將用戶的認證信息傳遞給BAS設(shè)備，然后BAS再與AAA服務(wù)器(也稱為Radius服務(wù)器)通信進行認證和計費，如果認證通過，BAS會打開用戶與互聯(lián)網(wǎng)的通路，用戶可以訪問互聯(lián)網(wǎng)。Portal Web服務(wù)器一側(cè)為了維護在線用戶的信息，在用戶通過認證請求以后，生成用戶IP地址與加密串的一一對應關(guān)系，回應給請求上線的用戶，同時保存在服務(wù)器中一份。如果有用戶請求下線，需在請求下線的報文中攜帶的自身的IP地址與對應的加密串。Portal Web服務(wù)器收到請求報文后，根據(jù)請求報文中解析出的用戶的IP地址與對應的加密串，與自身所存的用戶IP地址與加密串做比較，如果一致，同意其下線請求；否則，不予下線。在實際的應用中，Portal Web服務(wù)器往往存在內(nèi)存空間和性能不足的問題，特別在存在大量用戶量認證環(huán)境中，Portal Web服務(wù)器需要足夠多的內(nèi)存空間來存放大量的用戶IP地址與加密串的對應關(guān)系，并且用戶上線下線也使得Portal Web服務(wù)器的內(nèi)存空間面臨內(nèi)存釋放和刷新等問題的考驗。

發(fā)明內(nèi)容
有鑒于此，本申請?zhí)峁┮环NPortal Web服務(wù)器，用于對網(wǎng)絡(luò)中的接入客戶端進行門戶接入認證，所述服務(wù)器包括認證模塊、加密模塊和比較模塊，其中，認證模塊，所述認證模塊用于接收用戶的認證登錄請求，在用戶通過認證以后，通知加密模塊根據(jù)用戶的源IP地址及預設(shè)的加密規(guī)則計算對應的加密串。所述加密模塊用于存儲固定密鑰，并針對每一認證用戶產(chǎn)生隨機密鑰，根據(jù)用戶的源IP地址結(jié)合隨機密鑰生成原始加密串后，根據(jù)預設(shè)的規(guī)則合成字符串，再根據(jù)固定密鑰生成最終的加密串，并將所述加密串攜帶在響應報文中發(fā)送給認證用戶；
所述比較模塊用于在接收到用戶發(fā)送的下線請求報文后，根據(jù)加密模塊保存的固定密鑰以及反推加密過程對所述下線請求報文中攜帶的加密串進行解碼，解析出該加密串所對應的源IP地址，并與用戶在請求報文中攜帶的用戶IP地址做比較，如果一致，則允許用戶下線，如果不一致，則認為是偽造報文，不予響應。所述比較模塊一步用于，如果所述請求報文中未攜帶所述加密串信息，則直接認為其為偽造請求報文，不予響應?；谕瑯拥乃枷耄旧暾堖€提供一種防止偽造下線請求的方法，用于Portal認證中，所述方法包括步驟A :Portal Web服務(wù)器保存固定密鑰，針對每個通過認證的用戶生成一個隨機密鑰，并根據(jù)所述隨機密鑰對所述用戶的IP地址進行加密，得到一個原始加密串；針對所述原始加密串，按照預設(shè)的規(guī)則合成字符串，再通過所述固定密鑰針對所述合成字符串 進行加密，生成最終的加密串，并將所述加密串攜帶在響應報文中發(fā)送給用戶；步驟B :Portal Web服務(wù)器收到來自用戶的下線請求，查看用戶的報文中是否攜帶有加密串信息，如果有加密串信息，則對所述加密串進行反推解密，解析出其對應的源IP地址，將其與報文中用戶的源IP地址做比較，如果一致，則允許用戶下線，如果不一致，則認為是偽造的請求報文，不予響應。步驟C =Portal Web服務(wù)器接收到來自用戶瀏覽器的http登錄請求，經(jīng)過驗證，在用戶被允許接入后，根據(jù)用戶的IP地址及預設(shè)的加密規(guī)則進行加密串計算。其中，所述合成字符串的預設(shè)的規(guī)則為加密串+隨機密鑰+密鑰長度。根據(jù)Portal Web服務(wù)器自身保存的固定密鑰對加密串進行解密，得到的合成字符串;根據(jù)所述合成字符串的末尾兩位表示的長度，從所述合成字符串從后往前截取隨機密鑰部分的字符，所述合成字符串剩下的字符部分則為原始加密串；以所述隨機密鑰對所述原始加密串進行解密，得到所述用戶的IP地址。本申請通過上述方案，使得Portal Web服務(wù)器除了一個固定密鑰，不需要緩存用戶的IP地址與對應的加密串的信息。也就避免了其潛在的內(nèi)存不足以及釋放刷新等并發(fā)問題，極大的提升了 Portal Web服務(wù)器的性能和效率。


圖I是本申請?zhí)峁┑囊环NPortal Web服務(wù)器組成模塊示意圖。圖2是本申請?zhí)峁┑囊环N實施例的方法流程圖。圖3是本申請?zhí)峁┑囊环N實施例的應用場景圖。
具體實施例方式在本申請的一種實施方式中，提供了一種Portal Web服務(wù)器，如圖I所示，所述Portal Web服務(wù)器包括認證模塊、加密模塊以及比較模塊，其中，所述認證模塊用于接收用戶的認證登錄請求，在用戶通過認證以后，通知加密模塊根據(jù)用戶的源IP地址計算加密串；所述加密模塊用于存儲固定密鑰，并針對每一認證用戶產(chǎn)生隨機密鑰，根據(jù)認證用戶的源IP地址結(jié)合隨機密鑰生成原始加密串后，根據(jù)預設(shè)的加密規(guī)則合成字符串，再根據(jù)固定密鑰對所述合成字符串加密生成最終的加密串，并將所述加密串攜帶在響應報文的cookie中發(fā)送給認證用戶；所述比較模塊用于在接收到用戶發(fā)送的下線請求報文后，如果所述請求報文中未攜帶所述加密串信息，則直接認為其為偽造請求報文，不予響應，如果攜帶所述加密串信息，則根據(jù)加密模塊保存的固定密鑰以及預設(shè)的加密規(guī)則反推加密過程進行解碼，解析出該加密串所對應的源IP地址，并與用戶在請求報文中攜帶的用戶IP地址做比較，如果一致，則允許用戶下線，如果不一致，則認為是偽造報文，不予響應。在本申請?zhí)峁┑囊环N實施例中，Portal Web服務(wù)器的各個模塊的工作流程如圖2所示，具體包括步驟11，Portal Web服務(wù)器接收到來自用戶瀏覽器的http登錄請求，先經(jīng)過認證模塊驗證，如果驗證通過，則用戶被允許接入，同時記錄認證用戶的IP地址。步驟12，Portal Web服務(wù)器的加密模塊中保存固定密鑰，針對每個通過認證的用戶生成一個隨機密鑰，并根據(jù)所述隨機密鑰結(jié)合所述用戶的源IP地址進行加密，得到一個原始加密串；針對所述原始加密串，進一步按照預設(shè)的加密規(guī)則合成字符串，例如用“加密串+隨機密鑰+密鑰長度”的方式合成一個字符串，再通過一固定密鑰針對所述合成字符串進行加密，生成最終的加密串，并將所述加密串攜帶在具有每種瀏覽器都支持的、進程內(nèi)存級別的Cookie特性的響應報文中發(fā)送給用戶。這里字符串的合成規(guī)則可以是根據(jù)用戶定義來設(shè)置的，只要能夠攜帶用戶的隨機密鑰并在解碼時能夠識別出相應的數(shù)據(jù)即可，這對于所屬領(lǐng)域的技術(shù)人員而言，在實際使用中有多種規(guī)則可以靈活設(shè)置，本申請不再對此一一贅述，在此提供的合成規(guī)則并不構(gòu)成本申請的限定。步驟13, Portal Web服務(wù)器收到來自用戶的http下線請求,通過比較模塊查看用戶的報文中是否攜帶有加密串信息，如果沒有，則認為是偽造的報文，不予響應；如果有加密串信息，則對所述加密串進行反推解密，解析出其對應的源IP地址，將其與報文中用戶的源IP地址做比較，如果一致，則允許用戶下線，如果不一致，則認為是偽造的請求報文，不予響應。其中，針對所述加密串的解密是通過反推加密過程進行解析的，首先根據(jù)PortalWeb服務(wù)器自身保存的固定密鑰對加密串進行解密，可以得到的合成字符串，而在上述生成加密串的過程中，合成字符串的長度是根據(jù)預設(shè)規(guī)則以固定格式進行合成的，所以根據(jù)預設(shè)的規(guī)則可以對合成字符串進行解析，得到合成前的加密信息隨機密鑰和經(jīng)隨機密鑰加密后的原始加密串，再根據(jù)隨機密鑰對原始加密串進行解密，則能夠得到最初的數(shù)據(jù)用戶的源IP地址。以上述加密過程的“加密串+隨機密鑰+密鑰長度”合成方式為例，所述合成字符串的最后兩位，標識的是隨機密鑰的長度，解密的時候，按照上述的合成規(guī)則，可以從所述合成字符串的末尾兩位表示的長度中，從所述合成字符串從后往前中截取隨機密鑰部分的字符，那所述合成字符串剩下的字符部分則是原始加密串，以所述隨機密鑰對所述原始加密串進行解密，從而得到原始加密的數(shù)據(jù)用戶的源IP地址。在本發(fā)明提供的如圖3所示的應用場景中，具體包括以下步驟 步驟21，Portal Web服務(wù)器收到了用戶終端瀏覽器發(fā)送的登錄請求，Portal web服務(wù)器在用戶通過認證以后，計算該用戶對應的code值，并在響應報文中添加攜帶所述code 的 cookie 信息，例如Set_Cookie:Code=ERTWERTDGDFG==;其中，code 的值是基于接收到的通過認證用戶所發(fā)送的請求報文源IP地址加密串。
其中，code值的生成方式Portal Web服務(wù)器隨機生成一個隨機密鑰(如ABCD )，對上線用戶的IP (如I. 2. 3. 4)進行加密，首先得到一個原始加密串(如asdfsfsfs)，然后，根據(jù)預設(shè)的“加密串+隨機密鑰+密鑰長度”的合成規(guī)則合成一個字符串(如AB⑶asdfsfsfs04)，再使用Portal Web服務(wù)器上固定密鑰對合成字符串進行加密，得到最終的code加密串(如ERTWERTD⑶FG==)。步驟22，用戶終端收到Portal web服務(wù)器的響應報文，根據(jù)HTTP協(xié)議的規(guī)范，用戶瀏覽器會獲取響應報文中cookie的code信息并保存到瀏覽器進程內(nèi)存中，這意味著，此進程若再次向Portal web發(fā)起任何請求都會攜帶該信息。例如Code=ERTWERTD⑶FG==;步驟23,Portal web服務(wù)器收到用戶的http下線請求,若沒有code信息,可以認為是偽造的下線請求，直接拒掉；若存在code信息，則進行解碼，解碼后的內(nèi)容與報文源地址一致，則進行下線操作，否則，認為是偽造的http下線請求，拒掉。 本申請通過上述方案，使得最終生成的認證用戶的加密信息被分布式地分散存儲到各用戶終端的瀏覽器內(nèi)存中，而在Portal Web服務(wù)器端除了一個固定密鑰，不需要緩存用戶的IP地址與對應的加密串的信息。也就避免了其潛在的內(nèi)存不足以及釋放刷新等并發(fā)問題，極大的提升了 Portal Web服務(wù)器的性能和效率。以上所述僅僅為本發(fā)明較佳的實現(xiàn)方式，任何基于本發(fā)明精神所做出的等同的修改皆應涵蓋于本發(fā)明的權(quán)利要求范圍中。
權(quán)利要求
1.ー種Portal Web服務(wù)器，用于對網(wǎng)絡(luò)中的客戶端進行門戶接入認證，其特征在干，所述服務(wù)器包括加密模塊和比較模塊，其中， 所述加密模塊用于存儲固定密鑰，并針對每ー認證用戶產(chǎn)生與該認證用戶源IP地址對應的加密串，并將所述加密串攜帯在響應報文中發(fā)送給認證用戶； 所述比較模塊用于在接收到用戶發(fā)送的下線請求報文后，根據(jù)加密模塊保存的固定密鑰以及反推加密過程對所述下線請求報文中攜帯的加密串進行解碼，解析出該加密串所對應的源IP地址，并與用戶在請求報文中攜帯的用戶IP地址做比較，如果一致，則允許用戶下線，如果不一致，則認為是偽造報文，不予響應。
2.根據(jù)權(quán)利要求I所述的服務(wù)器，其特征在于，所述攜帶在響應報文中發(fā)送給認證用戶的加密串具體是通過如下方式實現(xiàn)的，所述加密模塊根據(jù)其存儲的固定密鑰產(chǎn)生隨機密鑰，在每一用戶認證通過后，根據(jù)用戶的源IP地址結(jié)合隨機密鑰生成原始加密串后，根據(jù)預設(shè)的規(guī)則合成字符串，再根據(jù)所述固定密鑰加密生成最終的加密串。
3.根據(jù)權(quán)利要求I所述的服務(wù)器，其特征在于，所述服務(wù)器進ー步包括認證模塊，所述認證模塊用于接收用戶的認證登錄請求，在用戶通過認證以后，通知加密模塊根據(jù)用戶的源IP地址及預設(shè)的加密規(guī)則計算對應的加密串。
4.根據(jù)權(quán)利要求I所述的服務(wù)器，其特征在于，所述比較模塊ー步用于，如果所述請求報文中未攜帯所述加密串信息，則直接認為其為偽造請求報文，不予響應。
5.ー種防止偽造下線請求的方法，用于Portal認證中，其特征在于，所述方法包括 步驟A =Portal Web服務(wù)器保存固定密鑰，并針對每ー認證用戶產(chǎn)生與該認證用戶源IP地址對應的加密串，并將所述加密串攜帯在響應報文中發(fā)送給認證用戶； 步驟B :Portal Web服務(wù)器收到來自用戶的下線請求，查看用戶的報文中是否攜帯有加密串信息，如果有加密串信息，則對所述加密串進行反推解密，解析出其對應的源IP地址，將其與報文中用戶的源IP地址做比較，如果一致，則允許用戶下線，如果不一致，則認為是偽造的請求報文，不予響應。
6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述步驟A發(fā)送給認證用戶的加密串具體是攜帶在所述響應報文的cookie中。
7.根據(jù)權(quán)利要求6所述的方法，其特征在于，所述步驟A中發(fā)送給認證用戶的加密串具體是通過如下方式實現(xiàn)的，所述Portal服務(wù)器根據(jù)其存儲的固定密鑰產(chǎn)生隨機密鑰，在每一用戶認證通過后，根據(jù)用戶的源IP地址結(jié)合隨機密鑰生成原始加密串后，根據(jù)預設(shè)的規(guī)則合成字符串，再根據(jù)所述固定密鑰加密生成最終的加密串。
8.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述合成字符串的預設(shè)的規(guī)則為加密串+隨機密鑰+密鑰長度。
9.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述步驟B中對用戶下線請求報文中攜帯的加密串進行反推的解密過程具體為 根據(jù)Portal Web服務(wù)器自身保存的固定密鑰對加密串進行解密，得到的合成字符串； 根據(jù)所述合成字符串的末尾兩位表示的長度，從所述合成字符串從后往前截取隨機密鑰部分的字符，所述合成字符串剩下的字符部分則為原始加密串； 以所述隨機密鑰對所述原始加密串進行解密，得到所述用戶的源IP地址。
10.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述步驟B中，當Portal Web服務(wù)器收到來自用戶的下線請求，查看用戶的報文中是否攜帶有加密串信息，如果沒有加密串信息，則認為是偽造的請求報文，不予響應。
11.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述方法在步驟A前進一步包括 步驟C =Portal Web服務(wù)器接收到來自用戶瀏覽器的http登錄請求，經(jīng)過驗證，在用戶被允許接入后，根據(jù)用戶的源IP地址及預設(shè)的加密規(guī)則進行加密串計算。
全文摘要
所述Portal Web服務(wù)器保存一固定密鑰，針對每個通過認證的用戶生成一個隨機密鑰，并根據(jù)所述隨機密鑰以及固定密鑰進行兩次加密生成最終的加密串，并將所述加密串攜帶在響應報文中發(fā)送給用戶，如果用戶的請求下線攜帶加密串信息，則對所述加密串進行反推解密，解析出其對應的源IP地址，將其與報文中用戶的源IP地址做比較，如果一致，則允許用戶下線，如果不一致，則認為是偽造的請求報文，不予響應。本申請?zhí)峁┑募夹g(shù)方案極大的解放了Portal服務(wù)器的內(nèi)存，提升了其性能和工作效率。
文檔編號H04L9/32GK102684884SQ201210165280
公開日2012年9月19日 申請日期2012年5月24日 優(yōu)先權(quán)日2012年5月24日
發(fā)明者王佳良 申請人:杭州華三通信技術(shù)有限公司