[发明专利]一种Portal Web服务器及其防止伪造下线请求的方法

说明书

技术领域

本发明涉及门户认证，尤其涉及Portal认证及防止伪造下线请求的技术。

背景技术

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要访问互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以访问互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。

在强制认证中，用户可以使用客户端和浏览器两种方式发起认证。用户使用浏览器发起Portal认证时，经过BAS设备时用户的访问请求被重定向到Portal系统的Portal Web认证主页上，用户在认证主页中输入认证信息提交后，经由Portal Web和Portal Server服务器将用户的认证信息传递给BAS设备，然后BAS再与AAA服务器(也称为Radius服务器)通信进行认证和计费，如果认证通过，BAS会打开用户与互联网的通路，用户可以访问互联网。

Portal Web服务器一侧为了维护在线用户的信息，在用户通过认证请求以后，生成用户IP地址与加密串的一一对应关系，回应给请求上线的用户，同时保存在服务器中一份。如果有用户请求下线，需在请求下线的报文中携带的自身的IP地址与对应的加密串。Portal Web服务器收到请求报文后，根据请求报文中解析出的用户的IP地址与对应的加密串，与自身所存的用户IP地址与加密串做比较，如果一致，同意其下线请求；否则，不予下线。

在实际的应用中，Portal Web服务器往往存在内存空间和性能不足的问题，特别在存在大量用户量认证环境中，Portal Web服务器需要足够多的内存空间来存放大量的用户IP地址与加密串的对应关系，并且用户上线下线也使得Portal Web服务器的内存空间面临内存释放和刷新等问题的考验。

发明内容

有鉴于此，本申请提供一种Portal Web服务器，用于对网络中的接入客户端进行门户接入认证，所述服务器包括认证模块、加密模块和比较模块，其中，

认证模块，所述认证模块用于接收用户的认证登录请求，在用户通过认证以后，通知加密模块根据用户的源IP地址及预设的加密规则计算对应的加密串。

所述加密模块用于存储固定密钥，并针对每一认证用户产生随机密钥，根据用户的源IP地址结合随机密钥生成原始加密串后，根据预设的规则合成字符串，再根据固定密钥生成最终的加密串，并将所述加密串携带在响应报文中发送给认证用户；

所述比较模块用于在接收到用户发送的下线请求报文后，根据加密模块保存的固定密钥以及反推加密过程对所述下线请求报文中携带的加密串进行解码，解析出该加密串所对应的源IP地址，并与用户在请求报文中携带的用户IP地址做比较，如果一致，则允许用户下线，如果不一致，则认为是伪造报文，不予响应。

所述比较模块一步用于，如果所述请求报文中未携带所述加密串信息，则直接认为其为伪造请求报文，不予响应。

基于同样的思想，本申请还提供一种防止伪造下线请求的方法，用于Portal认证中，所述方法包括：

步骤A：Portal Web服务器保存固定密钥，针对每个通过认证的用户生成一个随机密钥，并根据所述随机密钥对所述用户的IP地址进行加密，得到一个原始加密串；针对所述原始加密串，按照预设的规则合成字符串，再通过所述固定密钥针对所述合成字符串进行加密，生成最终的加密串，并将所述加密串携带在响应报文中发送给用户；

步骤B：Portal Web服务器收到来自用户的下线请求，查看用户的报文中是否携带有加密串信息，如果有加密串信息，则对所述加密串进行反推解密，解析出其对应的源IP地址，将其与报文中用户的源IP地址做比较，如果一致，则允许用户下线，如果不一致，则认为是伪造的请求报文，不予响应。

步骤C：Portal Web服务器接收到来自用户浏览器的http登录请求，经过验证，在用户被允许接入后，根据用户的IP地址及预设的加密规则进行加密串计算。

其中，所述合成字符串的预设的规则为：加密串+随机密钥+密钥长度。

根据Portal Web服务器自身保存的固定密钥对加密串进行解密，得到的合成字符串；