CN102158492B - Web认证方法、装置及网络设备 - Google Patents
Web认证方法、装置及网络设备 Download PDFInfo
- Publication number
- CN102158492B CN102158492B CN201110094285.6A CN201110094285A CN102158492B CN 102158492 B CN102158492 B CN 102158492B CN 201110094285 A CN201110094285 A CN 201110094285A CN 102158492 B CN102158492 B CN 102158492B
- Authority
- CN
- China
- Prior art keywords
- threshold value
- user
- session connection
- web authentication
- unauthenticated user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种Web认证方法、装置及网络设备。其中方法包括:根据拦截的未认证用户的HTTP请求报文,判断未认证用户的当前会话连接数是否达到会话连接数阈值;若判断结果为当前会话连接数达到会话连接数阈值,判断未认证用户的会话连接数阈值增加次数是否已经达到增加次数阈值;若判断结果为会话连接数阈值增加次数未达到增加次数阈值,将会话连接数阈值增加预设次数步长,将会话连接数阈值增加次数加1,并根据HTTP请求报文对未认证用户进行Web认证。采用本发明技术方案,在一定程度上解决了由于会话连接数被消耗完导致未认证用户无法进行Web认证的问题,提高了未认证用户进行Web认证的效率和访问外网的效率。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种Web认证方法、装置及网络设备。
背景技术
基于超文本传输协议(HyperText Transfer Protocol;简称为:HTTP)的用户访问Web服务器的过程包括:步骤1、用户通过其客户端与Web服务器建立传输控制协议(Transmission Control Protocol;简称为:TCP)套接字连接;具体的,客户端打开浏览器输入要访问的域名,然后向域名系统(Domain Name System;简称为:DNS)服务器发送DNS请求,以请求该域名对应的网际协议(Internet Protocol;简称为:IP)地址;在获取到域名对应的IP地址后,通过该IP地址与Web服务器建立TCP连接。步骤2、客户端向Web服务器发送HTTP请求报文。步骤3、客户端接收Web服务器返回的HTTP响应报文。步骤4、在访问结束时,客户端向Web服务器发送关闭请求,以关闭与Web服务器之间的TCP套接字连接。
Web认证是一种对客户端访问Web服务器的权限进行控制的认证方法,该认证方法不需要客户端安装专用的认证软件,使用普通的浏览器软件就可以进行接入认证。目前Web认证主要是通过HTTP拦截和HTTP重定向实现的,具体包括以下步骤:步骤a、客户端打开浏览器输入域名。步骤b、客户端根据域名向DNS服务器发送DNS请求报文,以请求获取该域名对应的IP地址。此时,Web认证设备放行该DNS请求报文,使用户可以请求到域名对应的IP地址。步骤c、客户端的浏览器通过获取的IP地址向Web服务器建立TCP连接。步骤d、认证设备伪装成Web服务器与客户端建立TCP连接。步骤e、客户端向Web服务器发送HTTP请求报文。步骤f、Web认证设备拦截该HTTP请求报文,并利用重定向功能向客户端返回重定向报文,在该重定向报文中包含一个新的站点路径,即Web认证设备对应的认证页面。步骤g、客户端收到Web认证设备伪装成Web服务器返回的重定向报文后,向重定向报文中的新站点路径发起TCP连接,并发送HTTP请求报文。步骤h、客户端登录到重定向到的认证页面完成Web认证,之后客户端就可以正常访问Web服务器(即外网)了。
当Web认证设备采用内置结构(即重定向的认证页面的地址就是Web认证设备本身)时,由于认证页面内置于Web认证设备上,所以当客户端重定向到认证页面后会与Web认证设备建立更多的会话连接,而Web认证设备所支持的HTTP会话数资源是有限的,因此,为了防止同一个未认证用户发起过多的HTTP请求连接导致Web认证设备的会话数资源被消耗殆尽,Web认证设备为每个未认证用户设置了最大HTTP会话数,当未认证用户的HTTP会话数达到最大值后,Web认证设备就不再处理未认证用户的认证请求,除非未认证用户的其他HTTP会话连接被释放。
通常,未认证用户的客户端会发起多个HTTP连接请求,这些HTTP连接请求都会被Web认证设备拦截,并占用Web认证设备的HTTP会话数资源,但是这些HTTP连接请求不一定是由客户端的浏览器软件发起的,可能是其他软件,例如聊天、下载或视频软件等,如果这些其他软件发起的HTTP连接请求占用了Web认证设备分配给该未认证用户的所有会话数资源,则该未认证用户将无法进行Web认证进而无法与Web服务器建立连接,无法访问外网。对于这种现象,未认证用户可以通过关闭其他一些软件的方式来减少所占用的会话数,但这将增加用户的额外操作,将会降低未认证用户的认证效率,进而降低用户访问外网的效率。
发明内容
本发明提供一种Web认证方法、装置及网络设备,用以解决现有技术存在的缺陷,提高未认证用户进行Web认证的及时性,提高用户访问外网的效率。
本发明提供一种Web认证方法,包括:
根据拦截的未认证用户的超文本传输协议HTTP请求报文,判断所述未认证用户的当前会话连接数是否达到会话连接数阈值;
若判断结果为所述当前会话连接数达到所述会话连接数阈值,判断所述未认证用户的会话连接数阈值增加次数是否已经达到增加次数阈值;
若判断结果为所述会话连接数阈值增加次数未达到所述增加次数阈值,将所述会话连接数阈值增加预设次数步长,将所述会话连接数阈值增加次数加1,并根据所述HTTP请求报文对所述未认证用户进行Web认证。
本发明供一种Web认证装置,包括:
第一判断模块,用于根据拦截的未认证用户的超文本传输协议HTTP请求报文,判断所述未认证用户的当前会话连接数是否达到会话连接数阈值;
第二判断模块,用于在所述第一判断模块的判断结果为所述当前会话连接数达到所述会话连接数阈值时,判断所述未认证用户的会话连接数阈值增加次数是否已经达到增加次数阈值;
第一认证处理模块,用于在所述第二判断模块的判断结果为所述会话连接数阈值增加次数未达到所述增加次数阈值时,将所述会话连接数阈值增加次预设次数步长,将所述会话连接数阈值增加次数加1,并根据所述HTTP请求报文对所述未认证用户进行Web认证。
本发明提供一种网络设备,包括本发明提供的任一Web认证装置。
本发明的Web认证方法、装置及网络设备,通过为用户设定会话连接数阈值和允许会话连接数阈值增加的增加次数阈值,在拦截到未认证用户的HTTP请求报文时,先判断未认证用户的当前会话连接数是否达到会话连接数阈值,当当前会话连接数达到会话连接数阈值时,进一步判断会话连接数阈值增加次数是否达到增加次数阈值,如果会话连接数阈值增加次数未达到增加次数阈值,根据拦截的HTTP请求报文对未认证用户进行Web认证,通过设置增加次数阈值允许用户对应的会话连接数阈值增加若干次,在一定程度上解决了由于非浏览器软件发起大量HTTP请求连接占用会话连接数导致未认证用户无正常进行Web认证的问题,使未认证用户能够及时进行Web认证,提高了未认证用户进行Web认证的效率,进而提高了用户访问外网的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的Web认证方法的流程图;
图2为本发明又一实施例提供的Web认证方法的流程图;
图3为本发明一实施例提供的Web认证装置的结构示意图;
图4为本发明又一实施例提供的Web认证装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例提供的Web认证方法的流程图。如图1所示,本实施例的web认证方法包括:
步骤101、根据拦截的未认证用户的HTTP请求报文,判断未认证用户的当前会话连接数是否达到会话连接数阈值;若判断结果为是,执行步骤102;反之,执行步骤104。
本实施例的Web认证装置基于HTTP拦截和HTTP重定向对未认证用户进行认证。具体的,在用户试图通过获取到的Web服务器的IP地址与Web服务器建立TCP套接字连接的过程中,Web认证装置伪装成Web服务器与用户建立TCP套接字连接,并拦截用户的HTTP请求报文;然后,根据HTTP请求报文中的用户信息,查找认证信息表。其中,认证信息表中存储有已通过认证的用户的用户信息。用户信息可以是HTTP请求报文中携带的任何一种可唯一标识用户的信息,例如:用户对应的IP地址、媒体访问控制(MediumAccess Control;简称为:MAC)地址或者用户ID等。
如果Web认证装置在认证信息表中查询到用户信息,表明该用户已经通过认证,对该用户的后续报文,Web认证装置将会放行。由于Web认证装置对上述情景的处理方式与现有技术相同,故本实施例及以下各实施例将不做说明。如果Web认证装置在认证信息表中未查询到用户信息,表明该用户为未认证用户,则Web认证装置将伪装成Web服务器向该未认证用户返回重定向报文,以使该未认证用户向认证页面发起连接,进行Web认证。
在本实施例中,Web认证装置为每个用户设置了会话连接数阈值,该会话连接数阈值的初始值是Web认证装置允许用户与其建立的HTTP连接数范围的下限值。另外,Web认证装置还为每个用户设置了增加次数阈值,允许用户的会话连接数阈值以预设次数步长增加若干次,其中会话连接数阈值增加次数达到增加次数阈值时对应的会话连接数阈值是Web认证装置允许用户与其建立的HTTP连接数范围的上限值,该上限值等于会话连接数阈值的初始值与会话连接数阈值增加到增加次数阈值过程中每次增加的次数步长之和。其中,每次增加的次数步长可以相同也可以不相同;当每次增加的次数步长相同时,该上限值等于增加次数阈值与次数步长的乘积与会话连接数阈值的初始值的和。在后续将“HTTP连接数”称之为“会话连接数”。
基于上述,本实施例的Web认证装置在判断出该用户为未认证用户之后,并在伪装成Web服务器向未认证用户返回重定向报文之前,还要执行以下操作:Web认证装置判断未认证用户的当前会话连接数是否达到会话连接数阈值,也就是说明,Web认证装置判断未认证用户与其已经建立的会话连接数(即到Web认证装置拦截到未认证用户的HTTP请求报文时为止,未认证用户与Web认证装置建立的会话连接数,亦即当前会话连接数)是否已经达到了此时的会话连接数阈值,该会话连接数阈值可能是设置的初始值,也可能是增加若干个次数步长后的值。当判断出当前会话连接数未达到此时的会话连接数阈值时,执行步骤104;当判断出当前会话数达到(即等于)此时的会话连接数阈值时,继续执行步骤102。
步骤102、判断未认证用户的会话连接数阈值增加次数是否达到增加次数阈值;若判断结果为否,执行步骤103;反之,执行步骤105。
由于Web认证装置允许用户的会话连接数阈值增加若干次,因此,当Web认证装置判断出当前会话连接数达到会话连接数阈值时,继续判断会话连接数阈值增加次数是否已经达到增加次数阈值;如果判断出会话连接数阈值增加次数还没有达到增加次数阈值,则执行步骤103;如果判断出会话连接数阈值增加次数达到了增加次数阈值,则执行步骤105。
其中,未认证用户的非浏览器软件(例如聊天、视频或下载软件等)也可能发起HTTP连接请求,这些非浏览器软件发出的HTTP请求报文也会被Web认证装置拦截并进行Web认证处理,由于这些软件不具备认证条件,例如无法根据Web认证装置返回的重定向报文将用户重定向到认证页面,因此,这些非浏览器软件发起的HTTP连接请求将会一直占用该未认证用户与Web认证装置之间的会话连接数。如果非浏览器软件发出的HTTP请求报文数量较多,可能导致由该未认证用户的浏览器发出的HTTP请求报文得不到Web认证装置的处理,进而导致未认证用户无法进行Web认证。对未认证用户而言,主动发起HTTP连接请求的非浏览器软件数量是一定的,因此,本实施例的Web认证装置通过为用户设置增加次数阈值,允许用户的会话连接数阈值按照一定的步长增加若干次,在一定程度上可以解决会话连接数被未认证用户的非浏览器软件发起的HTTP连接请求占用导致未认证用户无法完成Web认证的问题。
步骤103、将会话连接数阈值增加预设次数步长,将会话连接数阈值增加次数加1,并执行步骤104。
当会话连接数阈值增加次数还未达到增加次数阈值时,说明未认证用户与Web认证装置已建立的会话连接数还未达到Web认证装置允许用户与其建立的会话连接数范围的上限值,则Web认证装置将会话连接数阈值增加预设次数步长,同时将会话连接数阈值增加次数加1。由于会话连接数阈值的增加,使得当前会话连接数小于此时的会话连接数阈值,故执行步骤104,即Web认证装置允许未认证用户与其建立新的会话连接,以对未认证用户进行Web认证。
步骤104、根据HTTP请求报文对该未认证用户进行Web认证,并结束此次操作。
此时,Web认证装置伪装成Web服务器向未认证用户返回携带有认证页面的IP地址的重定向报文。未认证用户根据重定向报文中的IP地址与认证页面建立连接,Web认证装置通过认证页面完成对用户的Web认证。当未认证用户通过Web认证后,Web认证装置还将认证通过的用户的用户信息记录到认证信息表中。其中,Web认证装置通过认证页面对用户进行Web认证的过程包括:Web认证装置通过将用户重定向到认证页面,使未认证用户通过认证页面输入用户名和密码等信息,然后Web认证装置将用户名和密码提交给Radius服务器;Radius服务器主要用于存储用户的相关信息,例如用户名、密码、计费策略和访问权限等。当Radius服务器接收到Web认证装置提交的用户名和密码时,根据存储的用户的相关信息对用户名和密码进行认证,即判断用户名和密码是否合法,当判断出用户名和密码合法后向Web认证装置返回认证成功响应报文,以告知Web认证装置该用户认证成功。同时,Radius服务器还会在认证成功响应报文中携带该用户的计费策略和访问权限等信息,以提供给Web认证装置,使Web认证装置对该用户进行计费和授权等操作。
在此说明,本实施例以认证页面内置于Web认证装置中为例,但并不限于此。认证页面也可以由独立于Web认证装置的外置设备(例如E-portal服务器)来实现。
步骤105、将HTTP请求报文丢弃,以拒绝对该未认证用户进行Web认证,并结束此次操作。
当会话连接数阈值增加次数达到增加次数阈值时,此时的会话连接数阈值是Web认证装置允许用户与其建立的会话连接数范围的上限值,亦说明未认证用户与Web认证装置已建立的会话连接数已经达到Web认证装置允许用户与其建立的会话连接数范围的上限值,则Web认证装置将不允许未认证用户在与其建立连接,因此,将丢弃HTTP请求报文,且不对未认证用户进行Web认证。
其中,对Web服务器而言,本实施例的未认证用户可能是合法用户,即因正当理由需要访问Web服务器的用户;另外也有可能是非法用户,即试图通过发送大量HTTP连接请求攻击Web服务器的用户。
对于未认证用户是合法用户的情况,本实施例的Web认证方法,Web认证装置通过设置会话连接数阈值和增加次数阈值,允许会话连接数阈值增加若干次,在一定程度上解决了由于非浏览器软件发起大量HTTP请求连接占用会话连接数导致未认证用户无正常进行Web认证的问题,使未认证用户能够及时进行Web认证,提高了未认证用户进行Web认证的效率,进而提高了用户访问外网的效率。对于未认证用户是非法用户的情况,本实施例的Web认证方法,由于Web认证装置设置了增加次数阈值,而不是允许会话连接数阈值无限制的增加,在会话连接数阈值增加次数达到增加次数阈值时,不再对该未认证用户进行Web认证,可以防止非法用户连续发送HTTP请求报文造成Web认证装置的负担过重,进而防止了非法用户对Web服务器造成攻击,提高了Web服务器的安全性。
进一步,当步骤102的判断结果为会话连接数阈值增加次数达到增加次数阈值时,Web认证装置除了丢弃HTTP请求报文,拒绝对未认证用户进行Web认证之外,还可以释放未认证用户的当前会话连接数对应的各个会话连接,即Web认证装置将用户与其建立的会话连接全部释放掉,以释放该未认证用户占用的会话连接数资源。同时,Web认证装置将该未认证用户的用户信息(例如未认证用户的IP地址、MAC地址或用户ID等)添加到屏蔽信息表中,以将该未认证用户作为非法用户给屏蔽掉。其中,当被记录到屏蔽信息表中的用户再发起HTTP连接请求时,Web认证装置将直接丢弃其发出的HTTP请求报文,不对其进行Web认证,节约了Web认证装置对非法用户进行Web认证处理操作消耗的资源,防止非法用户对Web服务器造成攻击,保证Web服务器的安全性。
上述实施方式不仅有效解决了合法的未认证用户在进行Web认证时因允许的会话连接数被消耗完而无法正常完成Web认证的问题,还防止了非法的未认证用户发送大量HTTP请求对Web认证装置或Web服务器造成攻击。
更进一步,Web认证装置在将未认证用户的用户信息添加到屏蔽信息表中的同时,开始计时;当计时到预设的屏蔽时间时,将未认证用户的用户信息从屏蔽信息表中删除,并重新将该未认证用户的会话连接数阈值设置为初始值,将会话连接数阈值增加次数设置为0。具体的,Web认证装置为每个被屏蔽的用户设置屏蔽时间,以防止出现由于屏蔽错误导致合法的未认证用户无法访问Web服务器的情况。由于设置了屏蔽时间,即使出现将合法的未认证用户屏蔽掉的情况,在屏蔽时间结束后通过将被屏蔽用户的用户信息从屏蔽信息表中删除,会解除对该合法的未认证用户的屏蔽,使该合法的未认证用户重新获取进行Web认证的机会,解决了由于屏蔽错误使合法的未认证用户无法访问Web服务器的问题。
上述实施例方式在有效防止非法的未认证用户发送大量HTTP请求给Web认证装置或Web服务器造成攻击的同时,进一步提高了合法的未认证用户完成Web认证的成功率。
图2为本发明又一实施例提供的Web认证方法的流程图。本实施例可基于上述实施例实现,如图2所示,本实施例的方法包括:
步骤201、Web认证装置根据认证信息表,拦截未认证用户的HTTP请求报文。HTTP请求报文携带有未认证用户的用户信息,例如IP地址、MAC地址等。
步骤202、Web认证装置根据HTTP请求报文查询屏蔽信息表,以判断屏蔽信息表中是否存在未认证用户的用户信息;如果判断结果为否,则执行步骤203;如果判断结果为是,则执行步骤207。
步骤203、Web认证装置根据拦截的HTTP请求报文,判断未认证用户的当前会话连接数是否达到会话连接数阈值;若判断结果为是,执行步骤204;若判断结果为否,执行步骤206。
步骤204、Web认证装置判断未认证用户的会话连接数阈值增加次数是否达到增加次数阈值;若判断结果为否,执行步骤205;反之,执行步骤207。
步骤205、Web认证装置将会话连接数阈值增加预设次数步长,将会话连接数阈值增加次数加1,并执行步骤206。
步骤206、Web认证装置根据HTTP请求报文对该未认证用户进行Web认证,并结束此次操作。
步骤207、Web认证装置将HTTP请求报文丢弃,以拒绝对该未认证用户进行Web认证,并结束此次操作。
如果在步骤202中,Web认证装置判断出屏蔽信息表中不存在未认证用户的用户信息,说明该未认证用户不属于非法用户,或者说明该未认证用户为新的待认证用户,对于其是否为非法用户需要根据其认证过程做进一步判断,因此,继续执行后续的Web认证流程,即步骤203-步骤207。关于步骤203-步骤207的描述详见上述实施例步骤101-步骤105的描述,在此不再赘述。
当由步骤202转到步骤207时,即在步骤202中,Web认证装置判断出屏蔽信息表中存在未认证用户的用户信息,说明该未认证用户为非法用户,且其屏蔽时间还未结束,则Web认证装置将丢弃HTTP请求报文,以防止非法用户消耗其资源,防止非法用户的攻击。在此说明,在本实施例以及上述各实施例中的会话连接数阈值、增加次数阈值、次数步长、屏蔽时间等,可以根据Web认证装置的处理能力以及网络用户(包括已认证用户和未认证用户)的性质等进行适应性设置,对于其具体数值本实施例不做限制。
例如:假设针对某个用户,Web认证装置为其设置会话连接数阈值为20,增加次数为3,次数步长为10,屏蔽时间为10分钟,则对于该用户与Web认证装置之间的会话连接数范围为20-50。当当前会话连接数达到50,即会话连接数阈值增加次数达到3次时,Web认证装置再拦截到该用户的HTTP请求报文时,将视该用户为非法用户,释放掉与该用户的所有会话连接,并将该用户的用户信息添加到屏蔽信息表中,同时启动定时器开始计时。当定时器计时到10分钟时,Web认证装置将该用户的用户信息从屏蔽信息表中删除,并将其对应的会话连接数阈值重新设置为20,将会话连接数阈值增加次数重新设置为0,以重新允许该用户发起HTTP连接请求,进行Web认证。在该用户被屏蔽的10分钟内,如果Web认证装置接收到该用户的HTTP请求报文,则将直接丢弃,不与该用户建立会话连接,不对该用户进行Web认证处理,节约资源。
本实施例的Web认证方法,Web认证装置在拦截到未认证用户的HTTP请求报文后,首先根据屏蔽信息表判断该用户是否非法用户,在确定该用户不是非法用户后再执行后续Web认证流程,在确定该用户是非法用户时直接丢弃其发出的HTTP请求报文,以拒绝对其进行Web认证。本实施例的Web认证方法具有以下有益效果:通过设置增加次数阈值,允许会话连接数阈值增加若干次,既有效解决了合法的未认证用户在进行Web认证时因允许的会话连接数被消耗完而无法正常完成Web认证的问题,提高了用户访问Web服务器的效率,又防止了非法的未认证用户发送大量HTTP请求对Web认证装置或Web服务器造成攻击;通过设置屏蔽信息表,首先判断未认证用户是否为非法用户,在确定未认证用户属于非法用户时,不再执行后续判断操作,在保证合法用户能够正常完成Web认证的基础上还具有节约Web认证装置资源的优势;通过设置屏蔽时间,解决了将合法的未认证用户屏蔽掉导致合法的未认证用户无法完成Web认证的问题,提高了合法用户完成Web认证的成功率。
图3为本发明一实施例提供的Web认证装置的结构示意图。如图3所示,本实施例的装置包括:第一判断模块31、第二判断模块32和第一认证处理模块33。
其中,第一判断模块31,用于根据拦截的未认证用户的HTTP请求报文,判断未认证用户的当前会话连接数是否达到会话连接数阈值;第二判断模块32,与第一判断模块31连接,用于在第一判断模块31的判断结果为当前会话连接数达到会话连接数阈值时,判断未认证用户的会话连接数阈值增加次数是否达到增加次数阈值;第一认证处理模块33,与第二判断模块32连接,用于在第二判断模块32的判断结果为会话连接数阈值增加次数未达到增加次数阈值时,将会话连接数阈值增加预设次数步长,将会话连接数阈值增加次数加1,并根据HTTP请求报文对未认证用户进行Web认证。
其中,Web认证装置预先为每个用户设置了会话连接数阈值、允许会话连接数阈值增加的最大次数,即增加次数阈值、以及每次增加的量,即次数步长。对于会话连接数阈、增加次数阈值和次数步长的具体数值,本实施例不做限定。
本实施例Web认证装置的上述各功能模块可用于执行图1所示实施例的Web认证方法的流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例的Web认证装置,通过设置会话连接数阈值和增加次数阈值,允许会话连接数阈值增加若干次,在一定程度上解决了由于非浏览器软件发起大量HTTP请求连接占用会话连接数导致未认证用户无正常进行Web认证的问题,使未认证用户能够及时进行Web认证,提高了未认证用户进行Web认证的效率,进而提高了用户访问外网的效率。同时,由于设置了允许会话连接数阈值增加的最大次数,而不是允许会话连接数阈值无限制的增加,在会话连接数阈值增加次数达到增加次数阈值时,不再对该未认证用户进行Web认证,可以防止非法用户给Web认证装置造成负担过重,进而防止了非法用户对Web服务器造成攻击,提高了Web服务器的安全性。
图4为本发明又一实施例提供的Web认证装置的结构示意图。本实施例基于图3所示实施例实现,如图4所示,本实施例的装置还包括:第二认证处理模块41。
第二认证处理模块41,与第二判断模块32连接,用于在第二判断模块的判断结果为会话连接数阈值增加次数达到所述增加次数阈值时,将HTTP请求报文丢弃,以拒绝对未认证用户进行Web认证。
进一步,本实施例的Web认证装置还包括:屏蔽处理模块42。该屏蔽处理模块42,与第二判断模块32连接,在第二判断模块32的判断结果为会话连接数阈值增加次数达到增加次数阈值时,释放未认证用户的当前会话连接数对应的会话连接(即释放未认证用户与Web认证装置的所有会话连接),并将未认证用户的用户信息添加到屏蔽信息表中,以将该未认证用户作为非法用户屏蔽掉。
通过上述屏蔽处理模块,一方面释放未认证用户的会话连接,可以节约Web认证装置的会话数资源,另一方面将未认证用户进行屏蔽,可以防止非法用户对Web认证装置资源的消耗,防止非法用户对Web服务器造成攻击,保证Web服务器的安全性。
更进一步,本实施例的Web认证装置还包括:计时模块43和删除重置模块44。
具体的,计时模块43,与屏蔽处理模块42连接,用于在屏蔽处理模块42将未认证用户的用户信息添加到屏蔽信息表中时,开始计时;删除重置模块44,与计时模块43连接,用于在计时模块43计时到预设屏蔽时间时,将未认证用户的用户信息从屏蔽信息表中删除,并重新将未认证用户的会话连接数阈值设置为初始值,将会话连接数阈值增加次数设置为0,以解除对未认证用户的屏蔽。
通过上述功能模块,可以解决屏蔽错误掉导致合法的未认证用户无法正常完成Web认证的问题,提高了合法的未认证用户完成Web认证的成功率。
在上述各功能模块的基础上,本实施例的Web认证装置还可以包括:查询判断模块45、触发模块46和丢弃处理模块47。
具体的,查询判断模块45,用于在第一判断模块31执行判断操作之前,根据拦截到的HTTP请求报文查询屏蔽信息表,以判断屏蔽信息表中是否存在未认证用户的用户信息;触发模块46,与查询判断模块45和第一判断模块31连接,用于在查询判断模块45判断出屏蔽信息表中不存在未认证用户的用户信息时,触发第一判断模块31执行根据拦截的未认证用户的HTTP请求报文,判断未认证用户的当前会话连接数是否达到会话连接数阈值的操作。丢弃处理模块47,与查询判断模块45连接,用于在查询判断模块45判断出屏蔽信息表中存在未认证用户的用户信息时,直接丢弃HTTP请求报文,以拒绝对未认证用户进行Web认证。
Web认证装置通过上述功能模块,在保证合法用户能够正常完成Web认证的同时还具有节约Web认证装置资源的优势。
其中,上述第二认证处理模块41和丢弃处理模块47只是触发条件不同,所执行的操作相同,故在实际实现时可以由不同的模块实现,也可以由同一模块来实现。
另外,当第一判断模块31的判断结果为当前会话连接数未达到会话连接数阈值时,Web认证装置可以采用现有处理方式根据HTTP请求报文对未认证用户进行Web认证,该操作可由另外的处理模块来完成。
综上所述,采用本实施例的Web认证装置对未认证用户进行Web认证处理具有以下有益效果:通过设置增加次数阈值,允许会话连接数阈值增加若干次,既有效防止了合法的未认证用户在进行Web认证时因允许的会话连接数被消耗完而无法正常完成Web认证,提高了用户访问Web服务器的效率,又防止了非法的未认证用户发送大量HTTP请求给Web认证装置或Web服务器造成攻击;通过设置屏蔽信息表,首先判断未认证用户是否为非法用户,在确定未认证用户属于非法用户时,不再执行后续判断操作,在保证合法用户能够正常完成Web认证同时还具有节约Web认证装置资源的优势;通过设置屏蔽时间,解决了将合法的未认证用户屏蔽掉导致合法的未认证用户无法完成Web认证的问题,提高了合法用户完成Web认证的成功率。
本发明一实施例提供一种网络设备,包括Web认证装置,用于基于HTTP拦截和HTTP重定向对未认证用户进行Web认证。其中,Web认证装置的结构可以参见图3或图4所示,其工作原理详见图1或图2所示实施例的描述,在此不再赘述。
本实施例的网络设备可以是内置Web认证设备,即认证页面内置于Web认证装置的认证设备,也可以是外置Web认证设备,即认证页面由独立于Web认证装置的设备来实现的认证设备。
本实施例的网络设备包括Web认证装置,可用于执行本发明实施例提供的Web认证方法的流程,同样解决了合法的未认证用户在进行Web认证时因允许的会话连接数被消耗完而无法正常完成Web认证的问题,提高了用户访问Web服务器的效率,还可以防止非法的未认证用户发送大量HTTP请求给Web认证装置或Web服务器造成攻击。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (13)
1.一种Web认证方法,其特征在于,包括:
根据拦截的未认证用户的超文本传输协议HTTP请求报文,判断所述未认证用户的当前会话连接数是否达到会话连接数阈值;
若判断结果为所述当前会话连接数达到所述会话连接数阈值,判断所述未认证用户的会话连接数阈值增加次数是否达到增加次数阈值;
若判断结果为所述会话连接数阈值增加次数未达到所述增加次数阈值,将所述会话连接数阈值增加预设次数步长,将所述会话连接数阈值增加次数加1,并根据所述HTTP请求报文对所述未认证用户进行Web认证。
2.根据权利要求1所述的Web认证方法,其特征在于,还包括:
若判断结果为所述会话连接数阈值增加次数达到所述增加次数阈值,将所述HTTP请求报文丢弃,以拒绝对所述未认证用户进行Web认证。
3.根据权利要求2所述的Web认证方法,其特征在于,还包括:
当所述会话连接数阈值增加次数达到所述增加次数阈值时,释放所述未认证用户的当前会话连接数对应的会话连接,并将所述未认证用户的用户信息添加到屏蔽信息表中。
4.根据权利要求3所述的Web认证方法,其特征在于,所述根据拦截的未认证用户的超文本传输协议HTTP请求报文,判断所述未认证用户的当前会话连接数是否达到会话连接数阈值之前包括:
根据所述HTTP请求报文查询所述屏蔽信息表,以判断所述屏蔽信息表中是否存在所述未认证用户的用户信息;
当判断出所述屏蔽信息表中不存在所述未认证用户的用户信息时,执行根据拦截的未认证用户的HTTP请求报文,判断所述未认证用户的当前会话连接数是否达到会话连接数阈值的操作。
5.根据权利要求4所述的Web认证方法,其特征在于,还包括:
当判断出所述屏蔽信息表中存在所述未认证用户的用户信息时,直接丢弃所述HTTP请求报文,以拒绝对所述未认证用户进行Web认证。
6.根据权利要求3或4或5所述的Web认证方法,其特征在于,还包括:
在将所述未认证用户的用户信息添加到所述屏蔽信息表中时,开始计时;
当计时到预设屏蔽时间时,将所述未认证用户的用户信息从所述屏蔽信息表中删除,并重新将所述未认证用户的会话连接数阈值设置为初始值,将所述会话连接数阈值增加次数设置为0。
7.一种Web认证装置,其特征在于,包括:
第一判断模块,用于根据拦截的未认证用户的超文本传输协议HTTP请求报文,判断所述未认证用户的当前会话连接数是否达到会话连接数阈值;
第二判断模块,用于在所述第一判断模块的判断结果为所述当前会话连接数达到所述会话连接数阈值时,判断所述未认证用户的会话连接数阈值增加次数是否达到增加次数阈值;
第一认证处理模块,用于在所述第二判断模块的判断结果为所述会话连接数阈值增加次数未达到所述增加次数阈值时,将所述会话连接数阈值增加预设次数步长,将所述会话连接数阈值增加次数加1,并根据所述HTTP请求报文对所述未认证用户进行Web认证。
8.根据权利要求7所述的Web认证装置,其特征在于,还包括:
第二认证处理模块,用于在所述第二判断模块的判断结果为所述会话连接数阈值增加次数达到所述增加次数阈值时,将所述HTTP请求报文丢弃,以拒绝对所述未认证用户进行Web认证。
9.根据权利要求8所述的Web认证装置,其特征在于,还包括:
屏蔽处理模块,用于在所述第二判断模块的判断结果为所述会话连接数阈值增加次数达到所述增加次数阈值时,释放所述未认证用户的当前会话连接数对应的会话连接,并将所述未认证用户的用户信息添加到屏蔽信息表中。
10.根据权利要求9所述的Web认证装置,其特征在于,还包括:
查询判断模块,用于根据所述HTTP请求报文查询所述屏蔽信息表,以判断所述屏蔽信息表中是否存在所述未认证用户的用户信息;
触发模块,用于在所述查询判断模块判断出所述屏蔽信息表中不存在所述未认证用户的用户信息时,触发所述第一判断模块执行根据拦截的未认证用户的HTTP请求报文,判断所述未认证用户的当前会话连接数是否达到会话连接数阈值的操作。
11.根据权利要求10所述的Web认证装置,其特征在于,还包括:
丢弃处理模块,用于在所述查询判断模块判断出所述屏蔽信息表中存在所述未认证用户的用户信息时,直接丢弃所述HTTP请求报文,以拒绝对所述未认证用户进行Web认证。
12.根据权利要求9或10或11所述的Web认证装置,其特征在于,还包括:
计时模块,用于在将所述未认证用户的用户信息添加到所述屏蔽信息表中时,开始计时;
删除重置模块,用于在所述计时模块计时到预设屏蔽时间时,将所述未认证用户的用户信息从所述屏蔽信息表中删除,并重新将所述未认证用户的会话连接数阈值设置为初始值,将所述会话连接数阈值增加次数设置为0。
13.一种网络设备,其特征在于,包括权利要求7-12任一项所述的Web认证装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110094285.6A CN102158492B (zh) | 2011-04-14 | 2011-04-14 | Web认证方法、装置及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110094285.6A CN102158492B (zh) | 2011-04-14 | 2011-04-14 | Web认证方法、装置及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102158492A CN102158492A (zh) | 2011-08-17 |
| CN102158492B true CN102158492B (zh) | 2014-03-12 |
Family
ID=44439674
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110094285.6A Expired - Fee Related CN102158492B (zh) | 2011-04-14 | 2011-04-14 | Web认证方法、装置及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102158492B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230379275A1 (en) * | 2011-10-17 | 2023-11-23 | Disintermediation Services, Inc. | Two-way real time communication system that allows asymmetric participation in conversations across multiple electronic platforms |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594666B (zh) * | 2012-02-02 | 2014-07-09 | 成都飞鱼星科技股份有限公司 | 一种新建网络链接控制方法 |
| CN103546954B (zh) * | 2012-07-10 | 2017-03-08 | 联芯科技有限公司 | 外环功控中基于误块率统计的信干比调整方法及终端设备 |
| CN105306458B (zh) * | 2015-10-08 | 2018-07-03 | 北京星网锐捷网络技术有限公司 | 基于网络接入安全设备的认证方法及装置 |
| CN105791290A (zh) * | 2016-03-02 | 2016-07-20 | 上海斐讯数据通信技术有限公司 | 网络连接的认证方法和设备 |
| CN107294931B (zh) * | 2016-04-11 | 2020-06-05 | 北京京东尚科信息技术有限公司 | 调整限制访问频率的方法和装置 |
| CN107342974A (zh) * | 2016-09-30 | 2017-11-10 | 厦门市美亚柏科信息股份有限公司 | 手机无线取证的方法和装置 |
| CN108259454B (zh) * | 2017-06-22 | 2020-12-04 | 新华三技术有限公司 | 一种Portal认证方法和装置 |
| CN109274657A (zh) * | 2018-09-04 | 2019-01-25 | 深圳市吉祥腾达科技有限公司 | 一种基于web进行接入认证的方法与系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1942880A (zh) * | 2005-02-18 | 2007-04-04 | 株式会社东芝 | 内容再现装置和内容再现方法 |
| CN101764799A (zh) * | 2008-12-24 | 2010-06-30 | 丛林网络公司 | 利用服务器能力配置文件建立连接 |
| CN102014116A (zh) * | 2009-09-03 | 2011-04-13 | 丛林网络公司 | 防御分布式网络泛洪攻击 |
-
2011
- 2011-04-14 CN CN201110094285.6A patent/CN102158492B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1942880A (zh) * | 2005-02-18 | 2007-04-04 | 株式会社东芝 | 内容再现装置和内容再现方法 |
| CN101764799A (zh) * | 2008-12-24 | 2010-06-30 | 丛林网络公司 | 利用服务器能力配置文件建立连接 |
| CN102014116A (zh) * | 2009-09-03 | 2011-04-13 | 丛林网络公司 | 防御分布式网络泛洪攻击 |
Non-Patent Citations (2)
| Title |
|---|
| 沈海波 * |
| 洪帆.《基于Cookie的Web服务安全认证系统》.《计算机工程与设计》.2006,第27卷(第5期),1-4部分. * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230379275A1 (en) * | 2011-10-17 | 2023-11-23 | Disintermediation Services, Inc. | Two-way real time communication system that allows asymmetric participation in conversations across multiple electronic platforms |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102158492A (zh) | 2011-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102158492B (zh) | Web认证方法、装置及网络设备 | |
| US9860249B2 (en) | System and method for secure proxy-based authentication | |
| CN110381031B (zh) | 单点登录方法、装置、设备及计算机可读存储介质 | |
| US11418486B2 (en) | Method and system for controlling internet browsing user security | |
| CN106656911B (zh) | 一种Portal认证方法、接入设备和管理服务器 | |
| WO2012019410A1 (zh) | 智能家居内部网络防止非法入侵的方法及装置 | |
| CN112738047B (zh) | 一种业务系统的访问控制方法及零信任系统 | |
| CN108092988B (zh) | 基于动态创建临时密码的无感知认证授权网络系统和方法 | |
| US10893123B2 (en) | Apparatus and method for flexible access control and resource control in a decentralized system | |
| CN107872445B (zh) | 接入认证方法、设备和认证系统 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| WO2020083288A1 (zh) | Dns服务器的安全防御方法及装置、通信设备及存储介质 | |
| CN105847277A (zh) | 用于第三方应用的服务账号共享管理方法及系统 | |
| CN106027466B (zh) | 一种身份证云认证系统及读卡系统 | |
| CN109067937A (zh) | 终端准入控制方法、装置、设备、系统及存储介质 | |
| WO2016165505A1 (zh) | 连接控制方法及装置 | |
| CN110830516B (zh) | 一种网络访问方法、装置、网络控制设备及存储介质 | |
| CN113347072B (zh) | Vpn资源访问方法、装置、电子设备和介质 | |
| CN101764808A (zh) | 自动登录的认证处理方法、服务器和系统 | |
| CN102916949A (zh) | 一种Web认证方法及装置 | |
| CN109101811B (zh) | 一种基于SSH隧道的可控Oracle会话的运维与审计方法 | |
| US20110023088A1 (en) | Flow-based dynamic access control system and method | |
| CN108200039A (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
| CN105282107B (zh) | Xmpp系统访问外部数据的授权方法及通信网络 | |
| CN116488844A (zh) | 一种远程运维方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park building 19# Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park building 19# Patentee before: Fujian Xingwangruijie Network Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140312 Termination date: 20200414 |