CN102469069A - 防止入口认证攻击的方法及装置 - Google Patents
防止入口认证攻击的方法及装置 Download PDFInfo
- Publication number
- CN102469069A CN102469069A CN2010105340124A CN201010534012A CN102469069A CN 102469069 A CN102469069 A CN 102469069A CN 2010105340124 A CN2010105340124 A CN 2010105340124A CN 201010534012 A CN201010534012 A CN 201010534012A CN 102469069 A CN102469069 A CN 102469069A
- Authority
- CN
- China
- Prior art keywords
- authentication
- initiator
- response message
- http response
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了防止入口认证攻击的方法及装置。方法包括:预先在BAS上配置浏览器支持而应用软件不支持的脚本格式;BAS接收发起方发来的HTTP请求报文,发现该发起方未通过认证,则构造HTTP响应报文,将入口服务器的认证主页URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中,将HTTP响应报文发送给发起方,以使得:若发起方为浏览器,则接收到HTTP响应报文后,会从报文中解析出入口服务器的认证主页URL从而发起认证请求,若发起方为应用软件,则接收到HTTP响应报文后,无法解析该报文,从而不会发起认证请求。本发明减少了无用的认证请求对入口服务器的攻击。
Description
技术领域
本发明涉及认证技术领域,具体涉及防止入口认证攻击的方法及装置。
背景技术
入口(Portal)认证也称为WEB认证,Portal认证网站称为门户网站。强制WEB认证以其新业务支撑能力强大、无需安装客户软件等特点,受到越来越多运营商的欢迎。Portal业务可以为运营商提供方便的管理功能,比如希望所有的用户都到公司的门户网站去认证,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商、内容服务提供商形成一个产业生态系统。
图1是一个标准的Portal认证组网图,如图1所示,用户挂接在交换机下,交换机再接入到宽带接入服务器(BAS,Broadband Access Server)上,BAS是支持Portal认证的设备。所有的BAS通过一个核心路由器(也可以是高端交换机)连接到互联网上,服务器如:Portal服务器、认证授权计费(AAA,Authentication Authorization Accounting)服务器等放在机房中,通过一台交换机连到核心路由器上。
对于一个未认证终端用户,如果在浏览器地址栏中输入了一个互联网地址,则浏览器会发出一个超文本传输协议(HTTP,Hypertext Transfer Protocol)请求,该HTTP请求在经过BAS时会被重定向到Portal服务器的认证主页上,用户在认证主页中输入认证信息后提交,Portal服务器会将用户的认证信息传递给BAS,然后BAS再与AAA服务器通信进行认证和计费,如果认证通过,BAS会打开用户与互联网间的通路,用户可以访问互联网。
在终端用户通过认证前,任何HTTP请求在经过BAS时都会被重定向到Portal的认证主页。
现有技术的缺点如下:
终端安装的大多数应用软件都提供自动更新服务,而这些服务一般都是通过定时发送HTTP请求实现的,其中,部分应用软件的重试间隔达到毫秒级。且,无论终端是否上线,终端上的应用软件都会定时发送HTTP请求以请求自动更新。当终端上线后,应用软件发出的用于自动更新的HTTP请求会直接到达更新服务器上;但是,当终端未上线时,由于终端未通过认证,这些HTTP请求经过BAS时都会被重定向到Portal服务器的认证主页。这样,当网络中未上线的终端数量较多、应用软件的数量又较多时,这些应用软件会发出大量的HTTP请求,从而会给Portal服务器造成Portal认证攻击,使得Portal服务器的性能迅速降低,进而导致其它终端的正常的认证请求难以及时响应,甚至无法上线。
发明内容
本发明提供防止Portal认证攻击的方法及装置,以减少无用的认证请求对Portal服务器的攻击。
本发明的技术方案是这样实现的:
一种防止入口认证攻击的方法,预先在宽带接入服务器BAS上配置浏览器支持而应用软件不支持的脚本格式,该方法包括:
BAS接收发起方发来的超文本传输协议HTTP请求报文,发现该发起方未通过认证,则构造HTTP响应报文,将入口服务器的认证主页统一资源标识符URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中,将HTTP响应报文发送给发起方,以使得:若发起方为浏览器,则接收到HTTP响应报文后,会从报文中解析出入口服务器的认证主页URL从而发起认证请求,若发起方为应用软件,则接收到HTTP响应报文后,无法解析该报文,从而不会发起认证请求。
所述脚本为:java脚本或者vb脚本。
一种防止入口认证攻击的装置,该装置位于BAS上,该装置包括:
第一模块:接收发起方发来的HTTP请求报文,若发现该发起方未通过认证,则向第二模块转发该HTTP请求报文;
第二模块:接收HTTP请求报文,构造HTTP响应报文,将入口服务器的认证主页URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中,将HTTP响应报文发送给发起方,以使得:若发起方为浏览器,则接收到HTTP响应报文后,会从报文中解析出入口服务器的认证主页URL从而发起认证请求,若发起方为应用软件,则接收到HTTP响应报文后,无法解析该报文,从而不会发起认证请求。
与现有技术相比,本发明中,当BAS接收发起方发来的HTTP请求报文后,若发现该发起方未通过认证,则将Portal服务器的认证主页URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中,从而使得:若发起方为浏览器,则接收到HTTP响应报文后,会从报文中解析出入口服务器的认证主页URL从而发起认证请求,若发起方为应用软件,则接收到HTTP响应报文后,无法解析该报文,从而不会发起认证请求。本发明避免了无用的认证请求对Portal服务器的攻击,从而使得Portal服务器能够及时响应正常的认证请求。
附图说明
图1为一个标准的Portal认证组网图;
图2为本发明实施例一提供的防止Portal认证攻击的方法流程图;
图3为本发明实施例二提供的防止Portal认证攻击的方法流程图;
图4为本发明实施例提供的防止Portal认证攻击的装置组成图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图2为本发明实施例一提供的防止Portal认证攻击的方法流程图,如图2所示,其具体步骤如下:
步骤201:预先在BAS上配置浏览器支持而应用软件不支持的脚本格式。
步骤202:BAS接收发起方发来的HTTP请求报文,发现该发起方未通过认证,则构造HTTP响应报文,将Portal服务器的认证主页URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中,将HTTP响应报文发送给发起方。
步骤203:当发起方为浏览器时,则接收到HTTP响应报文后,会从报文中解析出Portal服务器的认证主页URL从而发起认证请求;当发起方为应用软件时,则接收到HTTP响应报文后,无法解析该报文,从而不会发起认证请求。
图3为本发明实施例二提供的防止Portal认证攻击的方法流程图,如图3所示,其具体步骤如下:
步骤301:预先在BAS上配置浏览器支持而应用软件不支持的脚本格式。
脚本格式通常如下:
″<script language=″xxx″>location.href=′URL′</script>″
其中,xxx代表具体的脚本语言类型,比如javascript、vbscript等,URL为Portal服务器的认证主页统一资源标识符(URL,Universal ResourceLocator),比如http://192.168.1.1/portal/index.jsp。
步骤302:BAS接收发起方发来的HTTP请求报文,从该报文中得到发起方的IP地址。
步骤303:BAS根据发起方的IP地址,判断该发起方是否已通过认证,若是,执行步骤304;否则,执行步骤305。
BAS会维护一个上线用户表,该表中包含上线用户的IP地址等。本步骤中,若发起方的IP地址存在于上线用户表中,则说明该发起方已通过认证;否则,说明该发起方未通过认证。
步骤304:BAS将该HTTP请求报文转发出去,本流程结束。
步骤305:BAS构造HTTP响应报文,将Portal服务器的认证主页URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中。
步骤306:发起方接收HTTP响应报文,解析该报文。
步骤307:发起方判断是否解析成功,若是,执行步骤308;否则,执行步骤309。
步骤308:发起方按照解析出的Portal服务器的认证主页URL,向Portal服务器发起认证请求,本流程结束。
对于浏览器来说,由于其支持脚本格式,因此,其可以从HTTP响应报文中解析出Portal服务器的认证主页URL,这样,其就可以向Portal服务器发起认证请求,从而可以正常上线。
步骤309:发起方丢弃该HTTP响应报文。
对于应用软件来说,由于其不支持脚本格式,因此,其是无法从HTTP响应报文中解析出Portal服务器的认证主页URL的,这样,其就不会向Portal服务器发起认证请求了。
图4为本发明实施例提供的防止入口认证攻击的装置组成图,该装置位于BAS上,如图4所示,该装置包括:第一模块41和第二模块42,其中:
第一模块41:接收发起方发来的HTTP请求报文,若发现该发起方未通过认证,则向第二模块42转发该HTTP请求报文。
第二模块42:接收第一模块41发来的HTTP请求报文,构造HTTP响应报文,将Portal服务器的认证主页URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中,将HTTP响应报文发送给发起方,以使得:若发起方为浏览器,则接收到HTTP响应报文后,会从报文中解析出Portal服务器的认证主页URL从而发起认证请求,若发起方为应用软件,则接收到HTTP响应报文后,无法解析该报文,从而不会发起认证请求。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (3)
1.一种防止入口认证攻击的方法,其特征在于,预先在宽带接入服务器BAS上配置浏览器支持而应用软件不支持的脚本格式,该方法包括:
BAS接收发起方发来的超文本传输协议HTTP请求报文,发现该发起方未通过认证,则构造HTTP响应报文,将入口服务器的认证主页统一资源标识符URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中,将HTTP响应报文发送给发起方,以使得:若发起方为浏览器,则接收到HTTP响应报文后,会从报文中解析出入口服务器的认证主页URL从而发起认证请求,若发起方为应用软件,则接收到HTTP响应报文后,无法解析该报文,从而不会发起认证请求。
2.根据权利要求1所述的方法,其特征在于,所述脚本为:java脚本或者vb脚本。
3.一种防止入口认证攻击的装置,该装置位于BAS上,其特征在于,该装置利用了如权利要求1所述的方法,该装置包括:
第一模块:接收发起方发来的HTTP请求报文,若发现该发起方未通过认证,则向第二模块转发该HTTP请求报文;
第二模块:接收HTTP请求报文,构造HTTP响应报文,将入口服务器的认证主页URL以浏览器支持而应用软件不支持的脚本格式写入HTTP响应报文中,将HTTP响应报文发送给发起方,以使得:若发起方为浏览器,则接收到HTTP响应报文后,会从报文中解析出入口服务器的认证主页URL从而发起认证请求,若发起方为应用软件,则接收到HTTP响应报文后,无法解析该报文,从而不会发起认证请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010534012.4A CN102469069B (zh) | 2010-11-02 | 2010-11-02 | 防止入口认证攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010534012.4A CN102469069B (zh) | 2010-11-02 | 2010-11-02 | 防止入口认证攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102469069A true CN102469069A (zh) | 2012-05-23 |
| CN102469069B CN102469069B (zh) | 2014-10-29 |
Family
ID=46072248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010534012.4A Expired - Fee Related CN102469069B (zh) | 2010-11-02 | 2010-11-02 | 防止入口认证攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102469069B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710667A (zh) * | 2012-06-25 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN103825881A (zh) * | 2013-12-13 | 2014-05-28 | 福建三元达通讯股份有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
| CN105357209A (zh) * | 2015-11-20 | 2016-02-24 | 福建星网锐捷网络有限公司 | 一种web认证方法及装置 |
| CN105871853A (zh) * | 2016-04-11 | 2016-08-17 | 上海斐讯数据通信技术有限公司 | 一种入口认证方法和系统 |
| CN106209789A (zh) * | 2016-06-29 | 2016-12-07 | 迈普通信技术股份有限公司 | Wifi防伪推方法、装置和系统 |
| CN109698832A (zh) * | 2018-12-28 | 2019-04-30 | 杭州迪普科技股份有限公司 | 快速提供Portal认证、快速弹出Portal认证页面的方法及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101557405A (zh) * | 2009-06-01 | 2009-10-14 | 杭州华三通信技术有限公司 | 一种入口认证方法及其对应的网关设备、服务器 |
| CN101572700A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 一种HTTP Flood分布式拒绝服务攻击防御方法 |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其系统 |
-
2010
- 2010-11-02 CN CN201010534012.4A patent/CN102469069B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572700A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 一种HTTP Flood分布式拒绝服务攻击防御方法 |
| CN101557405A (zh) * | 2009-06-01 | 2009-10-14 | 杭州华三通信技术有限公司 | 一种入口认证方法及其对应的网关设备、服务器 |
| CN101834866A (zh) * | 2010-05-05 | 2010-09-15 | 北京来安科技有限公司 | 一种cc攻击防护方法及其系统 |
Non-Patent Citations (1)
| Title |
|---|
| 侯建岑: "基于HTTP-FLOOD 攻击的网络入侵检测防御技术研究与实现", 《万方数据库》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710667A (zh) * | 2012-06-25 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN102710667B (zh) * | 2012-06-25 | 2015-04-01 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN103825881A (zh) * | 2013-12-13 | 2014-05-28 | 福建三元达通讯股份有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
| CN103825881B (zh) * | 2013-12-13 | 2017-05-31 | 福建三元达网络技术有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
| CN105357209A (zh) * | 2015-11-20 | 2016-02-24 | 福建星网锐捷网络有限公司 | 一种web认证方法及装置 |
| CN105871853A (zh) * | 2016-04-11 | 2016-08-17 | 上海斐讯数据通信技术有限公司 | 一种入口认证方法和系统 |
| WO2017177691A1 (zh) * | 2016-04-11 | 2017-10-19 | 上海斐讯数据通信技术有限公司 | 一种入口认证方法和系统 |
| CN106209789A (zh) * | 2016-06-29 | 2016-12-07 | 迈普通信技术股份有限公司 | Wifi防伪推方法、装置和系统 |
| CN106209789B (zh) * | 2016-06-29 | 2019-06-18 | 迈普通信技术股份有限公司 | Wifi防伪推方法、装置和系统 |
| CN109698832A (zh) * | 2018-12-28 | 2019-04-30 | 杭州迪普科技股份有限公司 | 快速提供Portal认证、快速弹出Portal认证页面的方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102469069B (zh) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3526435B2 (ja) | ネットワークシステム | |
| US20160294575A1 (en) | System, Apparatus, and Method for Automatically Configuring Application Terminals in Home Network | |
| CN101702717B (zh) | 一种Portal认证的方法、系统及设备 | |
| CN102469069B (zh) | 防止入口认证攻击的方法及装置 | |
| US9065526B2 (en) | Relay device, relay method, and relay device control program | |
| JP2012511268A (ja) | 端末機器、端末機器を設定する方法および装置 | |
| CN103825881A (zh) | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 | |
| CN102884764A (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| CN114124452B (zh) | 一种终端认证方法、相关设备和认证系统 | |
| US8516136B2 (en) | Web-based over-the-air provisioning and activation of mobile terminals | |
| US20140164543A1 (en) | Communication System, Application Server and Communication Method for Server Cooperation | |
| KR100405054B1 (ko) | 통신 품질 정보 수집 방법과 이를 내장한 컴퓨터가 판독가능한 기록 매체와 이를 이용한 통신 품질 분석 시스템및 그 방법 | |
| CN104010001A (zh) | 移动终端中同类联网请求进行连接通信的方法和系统 | |
| JP2008518538A (ja) | Httpリダイレクトリクエストをインターセプトする方法並びに前記方法を実行するためのシステム及びサーバー機器 | |
| CN109561010B (zh) | 一种报文处理方法、电子设备及可读存储介质 | |
| WO2017181800A1 (zh) | 一种基于操作系统的门户认证页面自适应系统及其方法 | |
| CN106909826B (zh) | 口令代填装置及系统 | |
| JP4598308B2 (ja) | データ通信システム及びデータ通信方法 | |
| WO2013189398A2 (zh) | 应用数据推送方法、装置及系统 | |
| CN105429880A (zh) | 网络设备及其进行路由转发的方法 | |
| CN104917742A (zh) | 一种信息传送方法及装置 | |
| RU2654140C2 (ru) | Способ и устройство передачи информации | |
| CN106452998A (zh) | 一种提供服务的方法和装置 | |
| CN102739646A (zh) | 网站强制访问方法 | |
| JP2015204090A (ja) | 電話番号を用いてサーバと端末との間でセキュアリンクを確立する方法、装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141029 Termination date: 20191102 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |