CN101873332A - 一种基于代理服务器的web认证方法和设备 - Google Patents
一种基于代理服务器的web认证方法和设备 Download PDFInfo
- Publication number
- CN101873332A CN101873332A CN201010227368A CN201010227368A CN101873332A CN 101873332 A CN101873332 A CN 101873332A CN 201010227368 A CN201010227368 A CN 201010227368A CN 201010227368 A CN201010227368 A CN 201010227368A CN 101873332 A CN101873332 A CN 101873332A
- Authority
- CN
- China
- Prior art keywords
- client
- data message
- message
- server
- authenticating device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种基于代理服务器的WEB认证方法和设备,该方法包括以下步骤:认证设备获取数据报文中的URI信息;当所述URI信息中携带认证服务器的地址时,所述认证设备将所述数据报文转发给代理服务器,并由所述代理服务器将所述数据报文转发给所述认证服务器。本发明中,能够对客户端进行WEB认证,提高了用户的使用感受,降低了设备的性能消耗。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种基于代理服务器的WEB认证方法和设备。
背景技术
随着科学技术的快速发展,对网络技术提出了更多的要求,多种接入认证技术应运而生。
由于WEB较强的表达性,在认证过程中可以提供额外的内容(例如,广告性质的内容),从而使得快速方便的WEB认证方式正被广泛采用。其中,WEB认证时只需要客户端使用浏览器即可以完成认证,WEB认证作为一种免客户端(不需要客户端安装第三方软件)的认证方式,能有效的应用于机场、酒店、快餐厅、中小型企业内部的接入认证。
具体的,WEB认证过程中通常包括:客户端(即认证客户端)、认证设备和认证服务器(即WEB服务器),其中:
客户端:通常为PC(Personal Computer,个人计算机),客户端通过使用浏览器发起认证过程。
认证设备:通常为使能了WEB认证的交换机等通信设备,通过有线或者无线方式接入客户端,认证设备在网络层和链路层对用户的各种报文特征(IP、介质访问控制MAC、端口等)进行检查、过滤,并和认证服务器一起完成客户端的认证过程。
认证服务器:通过向客户端推出认证页面,并接收客户端的认证请求,和认证设备一起处理认证请求,最终向客户端的浏览器输入认证结果。
如图1所示,为现有技术中WEB认证体系结构示意图,其中,当认证设备使能了WEB认证功能后,需要对除了认证服务器地址之外的HTTP(Hypertext Transfer Protocol,超文本传输协议)请求进行逐一检查,如果客户端使用浏览器访问Internet或内部网站时,该认证设备需要判断该客户端是否已经认证成功,如果客户端认证成功,则将HTTP请求放行;如果客户端没有通过认证,则将客户端重定向到认证服务器的认证页面上,显式的提示客户端进行认证,客户端通过认证设备访问认证服务器地址时不会被阻拦。
如图2所示,为现有技术中认证过程的流程示意图,其中,步骤(1)-步骤(3)为客户端与认证设备仿冒TCP(Transmission Control Protocol,传输控制协议)连接的过程;步骤(4)-步骤(9)为认证设备将客户端重定向到认证服务器,认证服务器对客户端进行认证,并且认证成功的过程;步骤(10)-步骤(13)为认证成功的客户端通过认证设备访问Internet的过程。
上述认证过程简捷高效,是优选的WEB认证流程,但是当客户端(例如,客户端的浏览器)上配置了代理服务器(即WEB代理服务器)之后,将会出现以下问题:
认证设备需要根据客户端发出报文的目的IP地址判断客户端的目的地址,当客户端配置了代理服务器时,如果客户端需要访问Internet,则客户端发出的报文,目的IP地址为代理服务器的IP地址,认证设备对客户端进行重定向后,客户端访问认证服务器(认证页面)时还是使用代理服务器,目的IP地址仍是代理服务器的IP地址,此时,认证设备无法根据目的IP地址区分客户端的认证请求,仍会对该对客户端进行重定向,以此类推,将造成客户端被重复重定向,无法打开认证页面。
为了解决上述问题,现有技术中,提出了一种将认证服务器的IP地址配置为例外IP的方式,即在配置代理服务器时,将认证服务器的IP地址配置为例外IP,当客户端被重定向后打开WEB认证页面时,不使用该代理服务器,从而使得客户端能够向认证设备发送目的IP地址不是代理服务器IP地址的报文。
但是,在配置例外IP的过程中,需要在客户端上进行配置,影响了用户的使用感受,而且有客户端并不支持配置例外IP的情况。
发明内容
本发明提供一种基于代理服务器的WEB认证方法和设备,以在配置代理服务器的情况下对客户端进行WEB认证。
为了达到上述目的,本发明提出了一种基于代理服务器的WEB认证方法,应用于包括客户端、认证设备、代理服务器和认证服务器的系统中,所述客户端通过所述代理服务器接入网络,所述方法包括以下步骤:
当接收到来自所述客户端的数据报文时,所述认证设备获取所述数据报文中的URI信息;
当所述URI信息中没有携带所述认证服务器的地址时,所述认证设备向所述客户端返回重定向报文,以供所述客户端根据所述重定向报文向所述认证服务器发起认证过程;
当所述URI信息中携带所述认证服务器的地址时,所述认证设备将所述数据报文转发给所述代理服务器,经由所述代理服务器将所述数据报文转发至所述认证服务器进行客户端认证。
接收到来自所述客户端的数据报文,之前还包括:
当接收到来自所述客户端的TCP连接报文时,所述认证设备将所述TCP连接报文转发给所述代理服务器,以供所述代理服务器和所述客户端根据所述TCP连接报文建立TCP连接。
所述认证设备向所述客户端返回重定向报文,之后还包括:
所述认证设备伪装为所述客户端向所述代理服务器发送RST报文,由所述代理服务器根据所述RST报文释放与所述客户端的所述TCP连接。
其中所述客户端根据所述重定向报文向所述认证服务器发起认证过程的数据报文中携带所述认证服务器地址;所述认证设备拦截携带所述认证服务器地址的数据报文,并执行获取携带所述认证服务器地址的数据报文中的URI信息的步骤及后续步骤。
在所述认证设备将所述数据报文转发给所述代理服务器之后还包括:
所述认证设备将所述数据报文的源IP地址和源TCP端口记录到信任表项中;
当接收到来自所述客户端的数据报文时,所述认证设备判断所述数据报文中是否携带URI信息,如果所述数据报文携带URI信息,则执行获取携带URI信息的数据报文中的URI信息的步骤及后续步骤;
如果所述数据报文没有携带URI信息,则所述认证设备获取没有携带URI信息的数据报文的源IP地址和源TCP端口;
如果所述源IP地址和源TCP端口在所述信任表项中有对应的记录时,则所述认证设备将没有携带URI信息的数据报文转发给所述代理服务器。
一种认证设备,应用于包括客户端、认证设备、代理服务器和认证服务器的系统中,所述客户端通过所述代理服务器接入网络,所述认证设备包括:
获取模块,用于当接收到来自所述客户端的数据报文时,获取所述数据报文中的URI信息;
发送模块,与所述获取模块连接,用于当所述URI信息中没有携带所述认证服务器的地址时,向所述客户端返回重定向报文,以供所述客户端根据所述重定向报文向所述认证服务器发起认证过程;
当所述URI信息中携带所述认证服务器的地址时,将所述数据报文转发给所述代理服务器,经由所述代理服务器将所述数据报文转发至所述认证服务器进行客户端认证。
所述发送模块,还用于当接收到来自所述客户端的TCP连接报文时,将所述TCP连接报文转发给所述代理服务器,以供所述代理服务器和所述客户端根据所述TCP连接报文建立TCP连接。
所述发送模块,还用于伪装为所述客户端向所述代理服务器发送RST报文,由所述代理服务器根据所述RST报文释放与所述客户端的所述TCP连接。
其中所述客户端根据所述重定向报文向所述认证服务器发起认证过程的数据报文中携带所述认证服务器地址;所述认证设备还包括:
处理模块,用于拦截所述客户端根据所述重定向报文向所述认证服务器发送的携带所述认证服务器地址的数据报文。
还包括:
记录模块,用于将所述数据报文的源IP地址和源TCP端口记录到信任表项中;
判断模块,用于当接收到来自所述客户端的数据报文时,判断所述数据报文中是否携带URI信息;
所述获取模块,还用于当所述判断模块的判断结果为所述数据报文没有携带URI信息时,获取没有携带URI信息的数据报文的源IP地址和源TCP端口;
所述发送模块,还用于如果所述源IP地址和源TCP端口在所述信任表项中有对应的记录时,则将没有携带URI信息的数据报文转发给所述代理服务器。
与现有技术相比,本发明至少具有以下优点:
在客户端配置了代理服务器的情况下,也能够对客户端进行WEB认证,而且不需要配置例外IP,提高了用户的使用感受,而且去掉了复杂的TCP仿冒过程,降低了设备的性能消耗。
附图说明
图1为现有技术中WEB认证体系结构示意图;
图2为现有技术中认证过程的流程示意图;
图3为本发明提出的一种基于代理服务器的WEB认证方法流程图;
图4为本发明提出的一种应用场景示意图;
图5为本发明应用场景下所提出的一种基于代理服务器的WEB认证方法流程图;
图6为本发明提出的一种认证设备的结构图。
具体实施方式
本发明中,当接收到来自客户端的数据报文时,通过获取该数据报文中的URI(Uniform Resource Identifier,通用资源标志符)信息来判断数据报文的目的地址是否为认证服务器的地址,继而根据判断结果转发该数据报文或者向客户端返回重定向报文,从而实现了在客户端配置了代理服务器的情况下,也能够对客户端进行WEB认证,而且不需要配置例外IP,提高了用户的使用感受,而且去掉了复杂的TCP仿冒过程,降低了设备的性能消耗。
本发明提供一种基于代理服务器的WEB认证方法,应用于包括客户端、认证设备、代理服务器和认证服务器的系统中,客户端通过代理服务器接入网络,如图3所示,该方法包括以下步骤:
步骤301,当接收到来自客户端的数据报文时,认证设备获取数据报文中的URI信息。
步骤302,认证设备根据该URI信息判断数据报文的目的地址是否为认证服务器的地址;当判断结果为URI信息中没有携带认证服务器的地址时(即目的地址不是认证服务器的地址),转到步骤303;当判断结果为URI信息中携带认证服务器的地址时(即目的地址是认证服务器的地址),转到步骤304。
步骤303,认证设备向客户端返回重定向报文,以供客户端根据重定向报文向认证服务器发起认证过程。
步骤304,认证设备将数据报文转发给代理服务器,经由代理服务器将数据报文转发至认证服务器进行客户端认证。
为了更加清楚的阐述本发明提供的技术方案,以下结合图4所示的应用场景示意图对本发明进行详细描述。在图4中,至少包括客户端、认证设备、代理服务器和认证服务器。其中,客户端需要通过代理服务器接入网络,而且客户端需要在认证服务器上进行认证。
本应用场景下,以客户端访问Internet站点(例如,http://www.sohu.com)、认证服务器的URL(Universal Resource Locator,统一资源定位符)为http://10.1.1.1/portal/logon.htm、客户端的IP地址为192.168.0.2为例进行说明。
当客户端未使用代理服务器时,数据报文(例如,HTTP-GET报文、HTTP-POST报文等)的HTTP头为“GET/HTTP/1.1”,其中,URI为“/”开头的路径。
当客户端使用代理服务器时,数据报文的HTTP头中需要增加原始访问站点,例如,“GET HTTP://www.sohu.com/HTTP/1.1”,进一步的,当客户端需要打开认证页面时,则HTTP头中的原始访问站点为认证服务器的地址(即认证服务器的URL),例如,“GET HTTP://10.1.1.1/portal/logon.htm”。
基于上述应用场景,如图5所示,该基于代理服务器的WEB认证方法包括以下步骤:
步骤501,认证设备接收来自客户端的TCP连接报文,并将该TCP连接报文转发给代理服务器。
其中,该TCP连接报文可以为SYN(synchronize,同步)报文,即TCP/IP建立连接时使用的握手信号。
具体的,当未进行认证的客户端需要访问Internet站点(例如,http://www.sohu.com)时,该客户端需要首先发出SYN报文,并试图与代理服务器建立TCP连接,当认证设备接收到该SYN报文后,直接将该SYN报文转发给代理服务器。
步骤502,客户端与代理服务器建立TCP连接。
当认证设备将SYN报文转发给代理服务器之后,客户端与代理服务器之间即可以建立TCP连接,该建立过程与现有建立TCP连接的方式类似,本应用场景下不再详加赘述。
步骤503,客户端向认证设备发送数据报文。为了方便描述,本步骤中的数据报文以第一数据报文为例进行说明。
具体的,当客户端与代理服务器建立TCP连接之后,该客户端确定需要访问Internet站点时,该客户端需要向认证设备发送HTTP-GET报文,此时该第一数据报文为HTTP-GET报文。其中,当客户端确定使用代理服务器访问Internet站点时,该HTTP-GET报文的HTTP头中需要增加原始访问站点,即HTTP-GET报文的HTTP头中需要携带:GET HTTP://www.sohu.com/HTTP/1.1的信息。
步骤504,认证设备获取第一数据报文中的URI信息,并根据该URI信息确定第一数据报文的目的地址不是认证服务器的地址。
具体的,当接收到HTTP-GET报文后,该认证设备需要获取该HTTP-GET报文中的URI信息,并判断该URI信息中是否含有认证服务器的地址(本应用场景下为10.0.0.1),由于本步骤中该HTTP-GET报文中不含有10.0.0.1,则认证设备确定该HTTP-GET报文的目的地址不是认证服务器的地址,转到步骤505中进行处理。
步骤505,认证设备向客户端发送重定向报文。
其中,该重定向报文为HTTP 302重定向报文,该HTTP 302重定向报文为:HTTP://10.1.1.1/portal/logon.htm?userip=192.168.0.2。本应用场景下,当HTTP-GET报文的目的地址不是认证服务器的地址时,该认证设备还可以丢弃该HTTP-GET报文。
另外,需要注意的是,为了充分利用代理服务器上的TCP连接资源,本步骤中还可以释放该客户端与代理服务器之间的TCP连接。具体的,认证设备需要向代理服务器发送RST(Reset the connection,复位连接)报文,由代理服务器根据RST报文释放与客户端的TCP连接。
具体的,本发明中,认证设备需要伪装为客户端向代理服务器发送RST报文,其中,该伪装过程具体为:认证设备根据HTTP-GET报文获取该客户端的五元组(源IP地址,源端口,目的IP地址,目的端口、协议类型),并根据该客户端的五元组生成该客户端对应的RST报文。
步骤506,客户端向认证设备发送TCP连接报文,并最终与代理服务器建立TCP连接。
具体的,当客户端接收到HTTP 302重定向报文时,则确定需要根据重定向报文向认证服务器发起认证过程,而在发起认证过程之前,该客户端需要向认证服务器重新发起TCP连接过程,即客户端向认证设备发送TCP连接报文,认证设备将该TCP连接报文转发给代理服务器,并最终实现客户端与代理服务器建立TCP连接。该TCP连接过程与步骤501和502中的处理过程类似,只是SYN报文由针对Internet站点变为针对认证服务器,在此不再详加赘述。
步骤507,客户端向认证设备发送第二数据报文。
当客户端与代理服务器建立了TCP连接之后,则客户端需要向认证服务器发起认证过程,此时,客户端需要向认证设备发送数据报文(HTTP-GET报文),为了与上述第一数据报文进行区别,本步骤中以第二数据报文为例。
本步骤中,该HTTP-GET报文的HTTP头中需要增加认证服务器的地址和该客户端的地址,即HTTP-GET报文的HTTP头中需要携带:GET HTTP://10.1.1.1/portal/logon.htm?userip=192.168.0.2/HTTP/1.1。
需要注意的是,本应用场景下,该HTTP-GET报文中需要携带该客户端的IP地址,以在后续步骤中供认证服务器根据该客户端的IP地址获取到该客户端的身份,继而实现对客户端的认证过程,本发明中不再详加赘述。
步骤508,认证设备获取第二数据报文中的URI信息,并根据该URI信息确定第二数据报文的目的地址是认证服务器的地址。
具体的,认证设备需要获取第二数据报文中的URI信息,并根据该URI信息判断该第二数据报文的目的地址是否为认证服务器的地址,由于第二数据报文(HTTP-GET报文)的URI信息中含有认证服务器的地址10.0.0.1,则认证设备确定该HTTP-GET报文的目的地址是认证服务器的地址。
步骤509,认证设备将第二数据报文转发给代理服务器。
本应用场景下,由于第二数据报文的URI信息中携带认证服务器的地址,则认证设备需要将第二数据报文转发给代理服务器。
需要注意的是,在实际应用中,当对数据报文进行分片时(例如,将数据报文分片为数据报文1和数据报文2),则会出现没有携带URI信息的分片数据报文,以数据报文1中携带URI信息、数据报文2中没有携带URI信息为例。
因此,本发明中,还需要存储信任表项,并在该信任表项中记录数据报文的源IP地址和源TCP端口;如果后续过程中接收到没有携带URI信息的数据报文,则需要获取该没有携带URI信息的数据报文中的源IP地址和源TCP端口,并与信任表项中记录的源IP地址和源TCP端口进行比较,如果有匹配的记录,则将该没有携带URI信息的数据报文转发给代理服务器,否则,丢弃该没有携带URI信息的数据报文。
例如,认证设备将数据报文1转发给代理服务器之后,需要在信任表项中记录数据报文1对应的源IP地址和源TCP端口,当接收到没有携带URI信息的数据报文2之后,通过比较源IP地址和源TCP端口,可以将数据报文2转发给代理服务器。
另外,实际应用中,还需要为信任表项中的每条记录设置老化时间,该老化时间可以根据实际需要任意选择,例如,老化时间可以选择10s。
步骤510,代理服务器将第二数据报文转发给认证服务器。
步骤511,认证服务器通过代理服务器向客户端推出认证页面。
步骤512,客户端向认证设备发送第三数据报文。其中,该第三数据报文为HTTP-POST报文。
具体的,当客户端接收到来自认证服务器向客户端推出的认证页面时,该客户端需要提交认证信息,即该客户端需要将认证信息携带在HTTP-POST报文中通过认证设备发送给认证服务器,该第三数据报文为HTTP-POST报文。
本应用场景下,在该HTTP-POST报文中,HTTP头中需要携带HTTP://10.1.1.1/portal/logon.cgi。
步骤513,认证设备获取第三数据报文中的URI信息,并根据该URI信息确定第三数据报文的目的地址是认证服务器的地址。
具体的,认证设备检测到HTTP-POST报文中的URI信息中含有10.0.0.1时,则认证设备确定该HTTP-POST报文的目的地址是认证服务器的地址。
步骤514,认证设备将第三数据报文转发给代理服务器,并更新信任表项的老化时间。
步骤515,代理服务器将第三数据报文转发给认证服务器,由认证服务器根据该第三数据报文完成对客户端的认证。
具体的,客户端的认证信息(携带于第三数据报文中)通过代理服务器转发到认证服务器,认证服务器进行相应处理后,返回响应结果给客户端,认证过程完成。
基于与上述方法同样的发明构思,本发明还提出了一种认证设备,应用于包括客户端、认证设备、代理服务器和认证服务器的系统中,所述客户端通过所述代理服务器接入网络,如图6所示,所述认证设备包括:
获取模块11,用于当接收到来自所述客户端的数据报文时,获取所述数据报文中的URI信息;
发送模块12,与所述获取模块11连接,用于当所述URI信息中没有携带所述认证服务器的地址时,向所述客户端返回重定向报文,以供所述客户端根据所述重定向报文向所述认证服务器发起认证过程;
当所述URI信息中携带所述认证服务器的地址时,将所述数据报文转发给所述代理服务器,经由所述代理服务器将所述数据报文转发至所述认证服务器进行客户端认证。
本发明中,所述发送模块12,还用于当接收到来自所述客户端的TCP连接报文时,将所述TCP连接报文转发给所述代理服务器,以供所述代理服务器和所述客户端根据所述TCP连接报文建立TCP连接。
另外,所述发送模块12,还用于伪装为所述客户端向所述代理服务器发送RST报文,由所述代理服务器根据所述RST报文释放与所述客户端的所述TCP连接。
本发明中,其中所述客户端根据所述重定向报文向所述认证服务器发起认证过程的数据报文中携带所述认证服务器地址;该认证设备还包括:
处理模块13,用于拦截所述客户端根据所述重定向报文向所述认证服务器发送的携带所述认证服务器地址的数据报文。
另外,该认证设备还包括:
记录模块14,与所述获取模块11和发送模块12连接,用于将所述数据报文的源IP地址和源TCP端口记录到信任表项中;
判断模块15,与所述获取模块11连接,用于当接收到来自所述客户端的数据报文时,判断所述数据报文中是否携带URI信息;
所述获取模块11,还用于当所述判断模块11的判断结果为所述数据报文没有携带URI信息时,获取没有携带URI信息的数据报文的源IP地址和源TCP端口;
所述发送模块12,还用于如果所述源IP地址和源TCP端口在所述信任表项中有对应的记录时,则将没有携带URI信息的数据报文转发给所述代理服务器。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种基于代理服务器的WEB认证方法,应用于包括客户端、认证设备、代理服务器和认证服务器的系统中,所述客户端通过所述代理服务器接入网络,其特征在于,所述方法包括以下步骤:
当接收到来自所述客户端的数据报文时,所述认证设备获取所述数据报文中的URI信息;
当所述URI信息中没有携带所述认证服务器的地址时,所述认证设备向所述客户端返回重定向报文,以供所述客户端根据所述重定向报文向所述认证服务器发起认证过程;
当所述URI信息中携带所述认证服务器的地址时,所述认证设备将所述数据报文转发给所述代理服务器,经由所述代理服务器将所述数据报文转发至所述认证服务器进行客户端认证。
2.如权利要求1所述的方法,其特征在于,接收到来自所述客户端的数据报文,之前还包括:
当接收到来自所述客户端的TCP连接报文时,所述认证设备将所述TCP连接报文转发给所述代理服务器,以供所述代理服务器和所述客户端根据所述TCP连接报文建立TCP连接。
3.如权利要求2所述的方法,其特征在于,所述认证设备向所述客户端返回重定向报文,之后还包括:
所述认证设备伪装为所述客户端向所述代理服务器发送RST报文,由所述代理服务器根据所述RST报文释放与所述客户端的所述TCP连接。
4.如权利要求1所述的方法,其特征在于,其中所述客户端根据所述重定向报文向所述认证服务器发起认证过程的数据报文中携带所述认证服务器地址;所述认证设备拦截携带所述认证服务器地址的数据报文,并执行获取携带所述认证服务器地址的数据报文中的URI信息的步骤及后续步骤。
5.如权利要求1-4任一项所述的方法,其特征在于,在所述认证设备将所述数据报文转发给所述代理服务器之后还包括:
所述认证设备将所述数据报文的源IP地址和源TCP端口记录到信任表项中;
当接收到来自所述客户端的数据报文时,所述认证设备判断所述数据报文中是否携带URI信息,如果所述数据报文携带URI信息,则执行获取携带URI信息的数据报文中的URI信息的步骤及后续步骤;
如果所述数据报文没有携带URI信息,则所述认证设备获取没有携带URI信息的数据报文的源IP地址和源TCP端口;
如果所述源IP地址和源TCP端口在所述信任表项中有对应的记录时,则所述认证设备将没有携带URI信息的数据报文转发给所述代理服务器。
6.一种认证设备,应用于包括客户端、认证设备、代理服务器和认证服务器的系统中,所述客户端通过所述代理服务器接入网络,其特征在于,所述认证设备包括:
获取模块,用于当接收到来自所述客户端的数据报文时,获取所述数据报文中的URI信息;
发送模块,与所述获取模块连接,用于当所述URI信息中没有携带所述认证服务器的地址时,向所述客户端返回重定向报文,以供所述客户端根据所述重定向报文向所述认证服务器发起认证过程;
当所述URI信息中携带所述认证服务器的地址时,将所述数据报文转发给所述代理服务器,经由所述代理服务器将所述数据报文转发至所述认证服务器进行客户端认证。
7.如权利要求6所述的认证设备,其特征在于,
所述发送模块,还用于当接收到来自所述客户端的TCP连接报文时,将所述TCP连接报文转发给所述代理服务器,以供所述代理服务器和所述客户端根据所述TCP连接报文建立TCP连接。
8.如权利要求7所述的认证设备,其特征在于,
所述发送模块,还用于伪装为所述客户端向所述代理服务器发送RST报文,由所述代理服务器根据所述RST报文释放与所述客户端的所述TCP连接。
9.如权利要求6所述的认证设备,其特征在于,其中所述客户端根据所述重定向报文向所述认证服务器发起认证过程的数据报文中携带所述认证服务器地址;所述认证设备还包括:
处理模块,用于拦截所述客户端根据所述重定向报文向所述认证服务器发送的携带所述认证服务器地址的数据报文。
10.如权利要求6-9任一项所述的认证设备,其特征在于,还包括:
记录模块,用于将所述数据报文的源IP地址和源TCP端口记录到信任表项中;
判断模块,用于当接收到来自所述客户端的数据报文时,判断所述数据报文中是否携带URI信息;
所述获取模块,还用于当所述判断模块的判断结果为所述数据报文没有携带URI信息时,获取没有携带URI信息的数据报文的源IP地址和源TCP端口;
所述发送模块,还用于如果所述源IP地址和源TCP端口在所述信任表项中有对应的记录时,则将没有携带URI信息的数据报文转发给所述代理服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010227368 CN101873332B (zh) | 2010-07-15 | 2010-07-15 | 一种基于代理服务器的web认证方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010227368 CN101873332B (zh) | 2010-07-15 | 2010-07-15 | 一种基于代理服务器的web认证方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101873332A true CN101873332A (zh) | 2010-10-27 |
| CN101873332B CN101873332B (zh) | 2013-04-17 |
Family
ID=42997992
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010227368 Active CN101873332B (zh) | 2010-07-15 | 2010-07-15 | 一种基于代理服务器的web认证方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101873332B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075583A (zh) * | 2011-01-30 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种http请求报文处理方法及其设备 |
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| CN102801794A (zh) * | 2012-08-03 | 2012-11-28 | 苏州迈科网络安全技术股份有限公司 | 非标准的http请求的识别处理方法及系统 |
| WO2015090035A1 (zh) * | 2013-12-19 | 2015-06-25 | 中兴通讯股份有限公司 | 网络资源的共享处理、共享方法及装置、系统 |
| CN104767742A (zh) * | 2015-03-25 | 2015-07-08 | 中兴通讯股份有限公司 | 一种安全通信方法、网关、网络侧服务器及系统 |
| CN105791290A (zh) * | 2016-03-02 | 2016-07-20 | 上海斐讯数据通信技术有限公司 | 网络连接的认证方法和设备 |
| CN105991641A (zh) * | 2015-08-06 | 2016-10-05 | 杭州迪普科技有限公司 | 一种Portal认证方法及装置 |
| CN109040046A (zh) * | 2018-07-25 | 2018-12-18 | 新华三技术有限公司 | 网络访问方法和装置 |
| CN113242229A (zh) * | 2021-05-07 | 2021-08-10 | 上海英方软件股份有限公司 | 一种跨过物理地址认证和密码加密登录的行情数据分发方法及装置 |
| CN115801469A (zh) * | 2023-02-09 | 2023-03-14 | 北京易智时代数字科技有限公司 | 一种数据传输方法、代理服务器及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030889A (zh) * | 2007-04-18 | 2007-09-05 | 杭州华为三康技术有限公司 | 防范cc攻击的方法和设备 |
| CN101075992A (zh) * | 2006-05-17 | 2007-11-21 | 卓望数码技术(深圳)有限公司 | Ip多业务交换方法及ip多业务交换系统 |
| US20080228938A1 (en) * | 2007-03-12 | 2008-09-18 | Robert Plamondon | Systems and methods for prefetching objects for caching using qos |
| CN101753606A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现web反向代理的方法 |
-
2010
- 2010-07-15 CN CN 201010227368 patent/CN101873332B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075992A (zh) * | 2006-05-17 | 2007-11-21 | 卓望数码技术(深圳)有限公司 | Ip多业务交换方法及ip多业务交换系统 |
| US20080228938A1 (en) * | 2007-03-12 | 2008-09-18 | Robert Plamondon | Systems and methods for prefetching objects for caching using qos |
| CN101030889A (zh) * | 2007-04-18 | 2007-09-05 | 杭州华为三康技术有限公司 | 防范cc攻击的方法和设备 |
| CN101753606A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现web反向代理的方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075583A (zh) * | 2011-01-30 | 2011-05-25 | 杭州华三通信技术有限公司 | 一种http请求报文处理方法及其设备 |
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| CN102624729B (zh) * | 2012-03-12 | 2015-07-22 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| CN102801794A (zh) * | 2012-08-03 | 2012-11-28 | 苏州迈科网络安全技术股份有限公司 | 非标准的http请求的识别处理方法及系统 |
| CN102801794B (zh) * | 2012-08-03 | 2015-09-02 | 苏州迈科网络安全技术股份有限公司 | 非标准的http请求的识别处理方法及系统 |
| WO2015090035A1 (zh) * | 2013-12-19 | 2015-06-25 | 中兴通讯股份有限公司 | 网络资源的共享处理、共享方法及装置、系统 |
| US9900804B2 (en) | 2013-12-19 | 2018-02-20 | Zte Corporation | Method and device for processing to share network resources, and method, device and system for sharing network resources |
| CN104767742A (zh) * | 2015-03-25 | 2015-07-08 | 中兴通讯股份有限公司 | 一种安全通信方法、网关、网络侧服务器及系统 |
| CN105991641A (zh) * | 2015-08-06 | 2016-10-05 | 杭州迪普科技有限公司 | 一种Portal认证方法及装置 |
| CN105791290A (zh) * | 2016-03-02 | 2016-07-20 | 上海斐讯数据通信技术有限公司 | 网络连接的认证方法和设备 |
| CN109040046A (zh) * | 2018-07-25 | 2018-12-18 | 新华三技术有限公司 | 网络访问方法和装置 |
| CN109040046B (zh) * | 2018-07-25 | 2021-01-26 | 新华三技术有限公司 | 网络访问方法和装置 |
| CN113242229A (zh) * | 2021-05-07 | 2021-08-10 | 上海英方软件股份有限公司 | 一种跨过物理地址认证和密码加密登录的行情数据分发方法及装置 |
| CN113242229B (zh) * | 2021-05-07 | 2023-07-04 | 上海英方软件股份有限公司 | 一种跨过物理地址认证和密码加密登录的行情数据分发方法及装置 |
| CN115801469A (zh) * | 2023-02-09 | 2023-03-14 | 北京易智时代数字科技有限公司 | 一种数据传输方法、代理服务器及设备 |
| CN115801469B (zh) * | 2023-02-09 | 2023-04-28 | 北京易智时代数字科技有限公司 | 一种数据传输方法、代理服务器及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101873332B (zh) | 2013-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101873332B (zh) | 一种基于代理服务器的web认证方法和设备 | |
| US8832782B2 (en) | Single sign-on system and method | |
| WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| US8930554B2 (en) | Transferring session data between network applications accessible via different DNS domains | |
| US20100100927A1 (en) | Systems and methods for protecting web based applications from cross site request forgery attacks | |
| CN101702717A (zh) | 一种Portal认证的方法、系统及设备 | |
| US8015598B2 (en) | Two-factor anti-phishing authentication systems and methods | |
| JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
| EP1442580A2 (en) | Method and system for providing secure access to resources on private networks | |
| CN101656609A (zh) | 一种单点登录方法、系统及装置 | |
| CN105592180B (zh) | 一种Portal认证的方法和装置 | |
| CN108259457B (zh) | 一种web认证方法及装置 | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| CN107196909A (zh) | 邀请注册方法及装置 | |
| CN105991640B (zh) | 处理http请求的方法及装置 | |
| CN105871853A (zh) | 一种入口认证方法和系统 | |
| CN113994330A (zh) | 应用程序单点登录的系统和方法 | |
| Jammalamadaka et al. | Delegate: A proxy based architecture for secure website access from an untrusted machine | |
| CN104811439A (zh) | 一种Portal认证的方法和设备 | |
| CN102638472B (zh) | 一种Portal认证方法和设备 | |
| CN107819639B (zh) | 一种测试方法和装置 | |
| CN107707560B (zh) | 认证方法、系统、网络接入设备及Portal服务器 | |
| JP2018055582A (ja) | 通信管理プログラム、通信管理方法および通信管理装置 | |
| CN102624724B (zh) | 安全网关及利用网关安全登录服务器的方法 | |
| CN104009999A (zh) | 防止arp欺骗的方法、装置及网络接入服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |