CN105357209A - 一种web认证方法及装置 - Google Patents
一种web认证方法及装置 Download PDFInfo
- Publication number
- CN105357209A CN105357209A CN201510812180.8A CN201510812180A CN105357209A CN 105357209 A CN105357209 A CN 105357209A CN 201510812180 A CN201510812180 A CN 201510812180A CN 105357209 A CN105357209 A CN 105357209A
- Authority
- CN
- China
- Prior art keywords
- application program
- clear text
- address
- message
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种WEB认证方法及装置。本发明提供的方法包括:网关设备获取终端设备的应用程序发送的待处理报文;所述待处理报文中包括目的IP地址、以及所述终端设备的终端标识;若确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址,且,确定所述终端标识不在已认证终端设备的终端标识集合中,则识别所述应用程序;若识别出所述应用程序,且确定所述应用程序是浏览器,则向所述应用程序发送重定向至所述认证服务器的重定向报文;若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文。通过本发明的方案能够过滤WEB认证噪声,节约网关设备的处理资源。
Description
技术领域
本发明涉及网络接入认证技术领域,尤其涉及一种WEB(网络)认证方法及装置。
背景技术
终端设备接入网络时需要进行身份认证。WEB认证方法以其无需安装认证客户端的优势,成为一种广受欢迎的网络接入认证方式。
相关技术中,对新接入网络的终端设备进行WEB认证的一般方法,例如如图1所示:
对于新接入网络的终端设备,网关设备获取该终端设备的应用程序发送给Server(服务器)的报文;网关设备根据该报文的目的IP(InternetProtocol,网络之间互连的协议)地址确定该报文不是发送给用于进行WEB认证的认证服务器的IP地址;并确定该终端设备未通过WEB认证时,此时,终端设备和网关设备会通过用于建立连接的TCP(TransmissionControlProtocol传输控制协议)报文,进行三次握手建立连接(如图1中的步骤101-步骤103所示)。之后,终端设备误以为是和Server建立的连接,则会向Server发送HTTP(HyperTextTransferProtocol,超文本传输协议)请求报文(如图1中步骤104);此时,网关设备在此拦截该HTTP请求报文,并会向终端设备发送重定向至所述认证服务器的重定向报文(如图1中步骤105),以便于终端设备进入认证服务器的WEB认证界面完成认证。
然而,上述WEB认证方法中,由于WEB认证只能通过浏览器完成。然而,现有的终端设备中一般还安装有其他应用程序,例如即时通信工具等。如果上述TCP报文和HTTP请求报文并非浏览器发出的,那么终端设备的应用程序接收到网关设备发送的重定向报文之后,将不做任何处理。那么对于网关设备来说,其对终端设备发送的TCP报文和HTTP请求报文的处理做的都是无用功,这种情况下终端设备发送的TCP报文和HTTP请求报文其实是WEB认证噪声。由此,可见,相关技术的web认证方法由于WEB认证噪声的存在而浪费网关设备的处理资源。
发明内容
本发明实施例提供了一种WEB认证方法及装置,用以解决目前存在的由于WEB认证噪声的存在而浪费网关设备的处理资源等的问题。
本发明实施例提供了一种WEB认证方法,包括:
网关设备获取终端设备的应用程序发送的待处理报文;所述待处理报文中包括目的IP地址、以及所述终端设备的终端标识;
若确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址,且,确定所述终端标识不在已认证终端设备的终端标识集合中,则识别所述应用程序;
若识别出所述应用程序,且确定所述应用程序是浏览器,则向所述应用程序发送重定向至所述认证服务器的重定向报文;
若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文。
进一步地,本发明实施例还提供了一种WEB认证装置,包括:
报文获取模块,用于获取终端设备的应用程序发送的待处理报文;所述待处理报文中包括目的IP地址、以及所述终端设备的终端标识;
识别模块,用于若确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址,且,确定所述终端标识不在已认证终端设备的终端标识集合中,则识别所述应用程序;
重定向模块,用于若识别出所述应用程序,且确定所述应用程序是浏览器,则向所述应用程序发送重定向至所述认证服务器的重定向报文;
丢弃模块,用于若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文。
本发明有益效果如下:本发明实施例提供了一种WEB认证方法,由于获取终端设备的应用程序发送的待处理报文之后,通过对该待处理报文进行分析,以识别所述应用程序是何种应用程序,从而可以判断出发送待处理报文的应用程序是否是浏览器,若不是,则将该待处理报文丢弃。例如,网关设备在对刚接入网络的网络设备在进行WEB认证的过程中,获取该网络设备发送的HTTP请求报文,并根据该HTTP请求报文识别出发送该HTTP请求报文的应用程序不是浏览器,则将该HTTP请求报文丢弃,不会再向终端设备发送重定向报文,这样,网关设备由于不发送重定向报文而能节约处理资源。故此,相对于现有技术,本发明实施例提供的技术方案由于能够过滤非浏览器发送的报文,而实现节约网关设备的处理资源。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为相关技术中所述WEB认证方法的流程示意图;
图2所示为本发明实施例一中所述WEB认证方法的流程示意图;
图3所示为本发明实施例一中所述WEB认证方法的另一流程示意图;
图4所示为本发明实施例一中所述WEB认证方法的又一流程示意图;
图5所示为本发明实施例四中所述WEB认证装置的结构示意图。
具体实施方式
本发明实施例提供了一种WEB认证方法,在本发明实施例所述技术方案中,由于网关设备获取终端设备的应用程序发送的待处理报文之后,对该待处理报文进行分析,以识别所述应用程序是何种应用程序,从而可以判断出发送待处理报文的应用程序是否是浏览器,若不是,则将该待处理报文丢弃。例如,网关设备在对刚接入网络的网络设备在进行WEB认证的过程中,获取该网络设备发送的HTTP请求报文,并根据该HTTP请求报文识别出发送该HTTP请求报文的应用程序不是浏览器,则将该HTTP请求报文丢弃,不会再向终端设备发送重定向报文,这样,网关设备由于不发送重定向报文而能节约处理资源。故此,相对于现有技术,本发明实施例提供的技术方案由于能够过滤非浏览器发送的报文,而实现节约网关设备的处理资源。
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一:
如图2所示,其为本发明实施例一中所述WEB认证方法的流程示意图,所述WEB认证方法可包括以下步骤:
步骤201:网关设备获取终端设备的应用程序发送的待处理报文;所述待处理报文中包括目的IP地址、以及所述终端设备的终端标识。
其中,在一个实施例中,上述待处理报文包括TCP报文和HTTP报文。
步骤202:若确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址,且,确定所述终端标识不在已认证终端设备的终端标识集合中,则识别所述应用程序。
其中,在一个实施例中,网关设备可以维护一保存有已认证终端设备的终端标识的缓存列表,该缓存列表即可视为终端标识集合。
其中,在一个实施例中可以通过深度包检测(DeepPacketInspection,DPI)技术识别应用程序。DPI技术是一种基于应用层的流量检测和控制技术,其能够分析出发送报文的应用程序是何种应用程序,例如该应用程序是浏览器还是即时通信工具等。但是,由于DPI技术需要依赖携带有载荷信息的报文才能识别出应用程序,故并不是对所有的报文,DPI技术均能够识别应用程序。
当然,需要说明的是,也可以用其它现有的识别发送报文的应用程序的方法,本发明实施例对此不做限定。
步骤203:若识别出所述应用程序,且确定所述应用程序是浏览器,则向所述应用程序发送重定向至所述认证服务器的重定向报文。
步骤204:若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文。
为便于进一步理解本发明实施例提供的技术方案,下面将对本发明的技术方案进行进一步的说明,包括以下几方面的内容:
1)、其中,在一个实施例中,如前所述对于用于进行三次握手建立连接的TCP报文,DPI技术识别不出所述应用程序,此时,待处理报文可能是用于进行三次握手建立连接的TCP报文,那么网关设备可以根据图1中的步骤102伪装成Sever与终端设备建立连接,以便于进一步获取终端设备发送的HTTP请求报文,进而根据该HTTP请求报文识别出应用程序,然后根据识别结果确定是丢弃该HTTP请求报文还是发送重定向报文给终端设备。
其中,在一个实施例中,对于用于进行三次握手建立连接的TCP报文,网关设备通过DPI技术识别不出所述应用程序,则将所述待处理报文转发给所述目的IP地址所在的网络设备。此时,该待处理报文将由所述目的IP地址所在的网络设备进行处理,而网关设备近进行转发。例如,若产生的WEB认证噪声是TCP报文时,网关设备由于仅转发而不处理TCP报文可以进一步节约处理资源。
若进行三次握手建立连接的TCP报文由目的IP地址所在的网络设备进行处理时,目的IP地址所在的网络设备将会和终端设备建立连接。此时,为了满足用户的个性化需求(例如,当报文是某些特别的应用程序发送时,网关可以允许终端设备不进行WEB认证即可通过该应用程序与其访问的Sever建立连接并通信);本发明实施例中,网关设备将会继续获取所述应用程序发送的待处理报文,直至能够识别出所述应用程序为止,故此,本发明实施例中在确定所述应用程序是否是浏览器之前,还可包括以下步骤:
步骤A1:断所述应用程序是否是除浏览器之外的预设免认证应用程序。
步骤A2:若是,则将所述待处理报文转发给所述目的IP地址所在的网络设备。
这样,在目的IP地址所在的网络设备和终端设备建立连接后,如果该应用程序是预设免认证应用程序,则该应用程序可以继续和IP地址所在的网络设备进行通信,这样,用户便无需通过WEB认证便可以通过预设免认证应用程序访问网络设备。
步骤A3:若否,则判断所述应用程序是否是浏览器。
其中,步骤A3中若确定所述应用程序是浏览器,则执行向所述应用程序发送重定向至所述认证服务器的重定向报文的步骤。
为便于理解上述终端设备未进行WEB认证即可通过预设免认证应用程序与IP地址所在的网络设备通信的过程,这里以图3终端设备通过预设免认证应用程序A与Sever通信为例,对此进行说明,包括以下步骤:
步骤B1:未通过WEB认证的终端设备刚接入网络后,通过预设免认证应用程序A发送SynN报文给Sever,网关设备截获该SynN报文后,根据该报文中的目的IP地址确定该SynN报文不是发送给认证服务器,也确定该报文的终端设备未通过认证,通过深度包检测技术也识别不出预设免认证应用程序A,将该SynN报文发送给Sever。
步骤B2:Sever针对终端设备发送的SynN报文,通过网关设备发送SynM,AckN+1报文给终端设备。
步骤B3:终端设备接收到Ack报文后,发送SynN,ACKM+1报文给Sever,网关设备截获该SynN,ACKM+1报文后,依然确定该报文不是发给认证服务器,该终端设备未通过WEB认证,也识别不出预设免认证应用程序A,则将该报文继续转发给Sever,由此,终端设备和Sever通过三次握手建立连接。
步骤B4:终端设备发送HTTPGET报文给Sever,网关设备截获该报文,在根据该报文确定该报文不是发给认证服务器,该终端设备未通过WEB认证,并识别出该报文是预设免认证应用程序A,则将该报文转发给Sever,网关设备在以后接收到该终端设备的报文后,均将其转发给Sever。
由上述步骤B1-步骤B4可知,终端设备无需通过WEB认证,即使发送报文的应用程序并不是浏览器,也可以和目的IP地址所在的网络设备通信。
其中,在一个实施例中,本发明实施例中为了便于节约流量,可以在允许预设免认证应用程序访问特定的网络时才可以免认证,具体的,待处理报文中还包括访问的URL(UniformResourceLocator,统一资源定位符)地址,本发明实施例中,确定所述应用程序是预设免认证应用程序之后,执行步骤A2之前,还可以包括以下步骤:
步骤C1:获取所待处理报文中的URL地址。
步骤C2:判断获取的所述URL地址是否是预设免认证URL地址。
步骤C3:若是,则将所述待处理报文转发给所述目的IP地址所在的网络设备。
步骤C4:若否,则丢弃所述待处理报文。
其中,在一个实施例中,如前所述,当目的IP地址所在的网络设备和终端设备建立连接之后,在网关设备对随后获取的待处理报文执行步骤204后,为了节约目的IP地址所在的网络设备的连接资源,则网关设备向目的IP地址所在的网络设备的资源发送TCP复位报文,以使目的IP地址所在的网络设备和终端设备断开连接。
2)、其中,在一个实施例中,若网关设备对获取到的每个待处理报文都要通过DPI技术进行识别,必然浪费网关设备的处理资源,这样,为了进一步节约网关设备的处理资源,加快对待处理报文的处理效率,本发明实施例中还可以执行以下方法:
所述待处理报文中还包括源IP地址、源端口、传输协议类型以及目的端口。这样,本发明实施例中,对任一报文,可以由该报文中的源IP地址、源端口、目的IP地址、目的端口以及传输协议类型构成数据流通路。这样,便可以根据数据流通路建立报文处理策略,以便于根据报文处理策略处理报文,具体的,在步骤202中确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址之后,还可执行以下步骤:
步骤D1:生成并判断所述待处理报文的数据流通路是否包含在预存的报文处理策略中;所述报文处理策略中包括数据流通路与报文处理方式的对应关系。
其中,在一个实施例中,报文处理方式可以包括对报文进行转发(即将报文发送给报文的目的IP地址所在的网络设备),或者丢弃报文等。当然,任何现有的对报文的处理方法均可以包含在报文处理策略中,本发明实施例对此不做限定。
步骤D2:若是,则根据所述待处理报文的数据流通路对应的处理方式处理所述待处理报文。
步骤D3:若否,则判断所述终端标识是否包含在已认证终端设备的终端标识集合中。
其中,若步骤D3的执行结果为确定所述终端标识不在已认证终端设备的终端标识集合中,则执行识别所述应用程序的操作。
其中,在一个实施例中,为了不断完善报文处理策略,网关设备通过步骤A1确定所述应用程序是预设免认证应用程序,或者,若网关设备通过D3确定所述终端标识包含在所述终端标识集合中,本发明实施例中还可以包括以下步骤:
步骤E1:生成所述待处理报文的数据流通路,并确定所述待处理报文的第一处理方式为将所述待处理报文转发给所述目的IP地址所在的网络设备。
步骤E2:将所述待处理报文的数据流通路以及所述第一处理方式对应存储至所述报文处理策略中。
这样,通过步骤E1和步骤E2,完善了报文处理策略,当网关设备下次接收到相同数据流通路的待处理报文时,便可以根据报文处理策略处理该报文,达到加快报文处理效率,节约网关设备处理资源的目的。
其中,在一个实施例中,为了进一步不断完善报文处理策略,执行步骤204之后,本发明实施例中还可以包括以下步骤:
步骤F1:生成所述待处理报文的数据流通路,并确定所述待处理报文的第二处理方式为丢弃。
步骤F2:将所述待处理报文的数据流通路以及所述第二处理方式对应存储至所述报文处理策略中。
综上,本发明实施例中,通过识别应用程序是否是浏览器可以有效过滤WEB认证噪声,节约网关设备的处理资源。
此外,终端设备无需通过WEB认证,即可以通过预设免认证应用程序与待处理报文中的目的IP地址所在的网络设备通信,可以满足用户的个性化需求,避免对预设免认证应用程序的认证过程,而节约认证服务器的处理资源。
此外,通过报文处理策略无需对每个待处理报文通过识别应用程序,能够提高待处理报文的处理效率,并进一步节约网关设备的处理资源。
实施例二
如图4所示,对本发明实施例中的WEB认证方法进行说明,该方法包括以下步骤:
步骤401:网关设备获取终端设备的应用程序发送的待处理报文。
步骤402:判断所述目的IP地址是否为用于进行WEB认证的认证服务器的IP地址,若是,执行步骤403,若否,执行步骤404。
步骤403:将所述待处理报文转发给认证服务器。
步骤404:生成并判断所述待处理报文的数据流通路是否包含在预存的报文处理策略中,若是,执行步骤405,若否,执行步骤406。
步骤405:根据所述待处理报文的数据流通路对应的处理方式处理所述待处理报文。
步骤406:判断所述终端标识是否包含在已认证终端设备的终端标识集合中,若是,则执行步骤412和步骤413,若否,则执行步骤407。
步骤407:通过深度包检测技术识别所述应用程序,若识别出所述应用程序,则执行步骤408,若识别不出所述应用程序,则执行步骤412。
步骤408:若识别出所述应用程序,判断所述应用程序是否是除浏览器之外的预设免认证应用程序,若是,则执行步骤412和步骤413,若否,则执行步骤409。
其中,步骤412和步骤413的执行顺序不受限。
步骤409:判断所述应用程序是否是浏览器,若是,执行步骤410,若否,执行步骤411和步骤414。
其中,步骤411和步骤414的执行顺序不受限。
步骤410:向所述应用程序发送重定向至所述认证服务器的重定向报文。
步骤411:丢弃所述待处理报文。
步骤412:将所述待处理报文转发给所述目的IP地址所在的网络设备。
步骤413:生成所述待处理报文的数据流通路,并确定所述待处理报文的第一处理方式为将所述待处理报文转发给所述目的IP地址所在的网络设备;将所述待处理报文的数据流通路以及所述第一处理方式对应存储至所述报文处理策略中。
步骤414:生成所述待处理报文的数据流通路,并确定所述待处理报文的第二处理方式为丢弃;并将所述待处理报文的数据流通路以及所述第二处理方式对应存储至所述报文处理策略中。
实施例三
基于相同的发明构思,本发明实施例还提供一种WEB认证装置,如图5所示,为该装置的结构示意图,包括:
报文获取模块501,用于获取终端设备的应用程序发送的待处理报文;所述待处理报文中包括目的IP地址、以及所述终端设备的终端标识;
识别模块502,用于若确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址,且,确定所述终端标识不在已认证终端设备的终端标识集合中,则识别所述应用程序;
重定向模块503,用于若识别出所述应用程序,且确定所述应用程序是浏览器,则向所述应用程序发送重定向至所述认证服务器的重定向报文;
丢弃模块504,用于若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文。
其中,在一个实施例中,所述装置还包括:
第一转发模块,用于若识别不出所述应用程序,则将所述待处理报文转发给所述目的IP地址所在的网络设备。
其中,在一个实施例中,所述装置还包括:
免认证程序判断模块,用于判断所述应用程序是否是除浏览器之外的预设免认证应用程序;
第二转发模块,用于若所述应用程序是预设免认证应用程序,则将所述待处理报文转发给所述目的IP地址所在的网络设备;
浏览器判断模块,用于若所述应用程序不是预设免认证应用程序,则判断所述应用程序是否是浏览器。
其中,在一个实施例中,所述待处理报文中还包括源IP地址、源端口、传输协议类型以及目的端口;由报文中的源IP地址、源端口、目的IP地址、目的端口以及传输协议类型构成数据流通路;
所述装置还包括:
处理策略查询模块,用于确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址之后,生成并判断所述待处理报文的数据流通路是否包含在预存的报文处理策略中;所述报文处理策略中包括数据流通路与报文处理方式的对应关系;
报文处理模块,用于若所述处理策略查询模块查询到结果,则根据所述待处理报文的数据流通路对应的处理方式处理所述待处理报文;
终端标识判断模块,用于若所述处理策略查询模块查询不到结果,则判断所述终端标识是否包含在已认证终端设备的终端标识集合中。
其中,在一个实施例中,所述装置还包括:
第一对应关系确定模块,用于若所述应用程序是预设免认证应用程序,或者,若所述终端标识包含在所述终端标识集合中,生成所述待处理报文的数据流通路,并确定所述待处理报文的第一处理方式为将所述待处理报文转发给所述目的IP地址所在的网络设备;
第一报文处理策略更新模块,用于将所述待处理报文的数据流通路以及所述第一处理方式对应存储至所述报文处理策略中。
其中,在一个实施例中,所述装置还包括:
第二对应关系确定模块,用于若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文之后,生成所述待处理报文的数据流通路,并确定所述待处理报文的第二处理方式为丢弃;
第二报文处理策略更新模块,将所述待处理报文的数据流通路以及所述第二处理方式对应存储至所述报文处理策略中。
本发明实施例提供了一种WEB认证装置,由于获取终端设备的应用程序发送的待处理报文之后,通过识别所述应用程序是何种应用程序,从而可以判断出发送待处理报文的应用程序是否是浏览器,若不是,则将该待处理报文丢弃。例如,网关设备在对刚接入网络的网络设备在进行WEB认证的过程中,获取该网络设备发送的HTTP请求报文,并根据该HTTP请求报文识别出发送该HTTP请求报文的应用程序不是浏览器,则将该HTTP请求报文丢弃,不会再向终端设备发送重定向报文,这样,网关设备由于不发送重定向报文而能节约处理资源。故此,相对于现有技术,本发明实施例提供的技术方案由于能够过滤非浏览器发送的报文,而实现节约网关设备的处理资源。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(装置)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理装置的处理器以产生一个机器,使得通过计算机或其他可编程数据处理装置的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理装置上,使得在计算机或其他可编程装置上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程装置上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种WEB认证方法,其特征在于,包括:
网关设备获取终端设备的应用程序发送的待处理报文;所述待处理报文中包括目的IP地址、以及所述终端设备的终端标识;
若确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址,且,确定所述终端标识不在已认证终端设备的终端标识集合中,则识别所述应用程序;
若识别出所述应用程序,且确定所述应用程序是浏览器,则向所述应用程序发送重定向至所述认证服务器的重定向报文;
若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若识别不出所述应用程序,则将所述待处理报文转发给所述目的IP地址所在的网络设备。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
判断所述应用程序是否是除浏览器之外的预设免认证应用程序;
若是,则将所述待处理报文转发给所述目的IP地址所在的网络设备;
若否,则判断所述应用程序是否是浏览器。
4.根据权利要求1-3中任一所述的方法,其特征在于,所述待处理报文中还包括源IP地址、源端口、传输协议类型以及目的端口;由报文中的源IP地址、源端口、目的IP地址、目的端口以及传输协议类型构成数据流通路;
所述确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址之后,所述方法还包括:
生成并判断所述待处理报文的数据流通路是否包含在预存的报文处理策略中;所述报文处理策略中包括数据流通路与报文处理方式的对应关系;
若是,则根据所述待处理报文的数据流通路对应的处理方式处理所述待处理报文;
若否,则判断所述终端标识是否包含在已认证终端设备的终端标识集合中。
5.根据权利要求4所述的方法,其特征在于,若所述应用程序是预设免认证应用程序,或者,若所述终端标识包含在所述终端标识集合中,所述方法还包括:
生成所述待处理报文的数据流通路,并确定所述待处理报文的第一处理方式为将所述待处理报文转发给所述目的IP地址所在的网络设备;并,
将所述待处理报文的数据流通路以及所述第一处理方式对应存储至所述报文处理策略中。
6.根据权利要求4所述的方法,其特征在于,若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文之后,所述方法还包括:
生成所述待处理报文的数据流通路,并确定所述待处理报文的第二处理方式为丢弃;并,
将所述待处理报文的数据流通路以及所述第二处理方式对应存储至所述报文处理策略中。
7.一种WEB认证装置,其特征在于,包括:
报文获取模块,用于获取终端设备的应用程序发送的待处理报文;所述待处理报文中包括目的IP地址、以及所述终端设备的终端标识;
识别模块,用于若确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址,且,确定所述终端标识不在已认证终端设备的终端标识集合中,则识别所述应用程序;
重定向模块,用于若识别出所述应用程序,且确定所述应用程序是浏览器,则向所述应用程序发送重定向至所述认证服务器的重定向报文;
丢弃模块,用于若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一转发模块,用于若识别不出所述应用程序,则将所述待处理报文转发给所述目的IP地址所在的网络设备。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
免认证程序判断模块,用于判断所述应用程序是否是除浏览器之外的预设免认证应用程序;
第二转发模块,用于若所述应用程序是预设免认证应用程序,则将所述待处理报文转发给所述目的IP地址所在的网络设备;
浏览器判断模块,用于若所述应用程序不是预设免认证应用程序,则判断所述应用程序是否是浏览器。
10.根据权利要求7-9中任一所述的装置,其特征在于,所述待处理报文中还包括源IP地址、源端口、传输协议类型以及目的端口;由报文中的源IP地址、源端口、目的IP地址、目的端口以及传输协议类型构成数据流通路;
所述装置还包括:
处理策略查询模块,用于确定所述目的IP地址不是用于进行WEB认证的认证服务器的IP地址之后,生成并判断所述待处理报文的数据流通路是否包含在预存的报文处理策略中;所述报文处理策略中包括数据流通路与报文处理方式的对应关系;
报文处理模块,用于若所述处理策略查询模块查询到结果,则根据所述待处理报文的数据流通路对应的处理方式处理所述待处理报文;
终端标识判断模块,用于若所述处理策略查询模块查询不到结果,则判断所述终端标识是否包含在已认证终端设备的终端标识集合中。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第一对应关系确定模块,用于若所述应用程序是预设免认证应用程序,或者,若所述终端标识包含在所述终端标识集合中,生成所述待处理报文的数据流通路,并确定所述待处理报文的第一处理方式为将所述待处理报文转发给所述目的IP地址所在的网络设备;
第一报文处理策略更新模块,用于将所述待处理报文的数据流通路以及所述第一处理方式对应存储至所述报文处理策略中。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第二对应关系确定模块,用于若识别出所述应用程序,且确定所述应用程序不是浏览器,则丢弃所述待处理报文之后,生成所述待处理报文的数据流通路,并确定所述待处理报文的第二处理方式为丢弃;
第二报文处理策略更新模块,将所述待处理报文的数据流通路以及所述第二处理方式对应存储至所述报文处理策略中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510812180.8A CN105357209A (zh) | 2015-11-20 | 2015-11-20 | 一种web认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510812180.8A CN105357209A (zh) | 2015-11-20 | 2015-11-20 | 一种web认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105357209A true CN105357209A (zh) | 2016-02-24 |
Family
ID=55333073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510812180.8A Pending CN105357209A (zh) | 2015-11-20 | 2015-11-20 | 一种web认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105357209A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657082A (zh) * | 2016-12-27 | 2017-05-10 | 杭州盈高科技有限公司 | 一种快速的http重定向方法 |
| CN109274657A (zh) * | 2018-09-04 | 2019-01-25 | 深圳市吉祥腾达科技有限公司 | 一种基于web进行接入认证的方法与系统 |
| CN109600379A (zh) * | 2018-12-19 | 2019-04-09 | 锐捷网络股份有限公司 | Https重定向的降噪方法及装置 |
| CN111416792A (zh) * | 2019-01-08 | 2020-07-14 | 杭州海康威视数字技术股份有限公司 | 嵌入式设备的内部免认证方法以及嵌入式设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469069A (zh) * | 2010-11-02 | 2012-05-23 | 杭州华三通信技术有限公司 | 防止入口认证攻击的方法及装置 |
| CN102710667A (zh) * | 2012-06-25 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN103825881A (zh) * | 2013-12-13 | 2014-05-28 | 福建三元达通讯股份有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
-
2015
- 2015-11-20 CN CN201510812180.8A patent/CN105357209A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469069A (zh) * | 2010-11-02 | 2012-05-23 | 杭州华三通信技术有限公司 | 防止入口认证攻击的方法及装置 |
| CN102710667A (zh) * | 2012-06-25 | 2012-10-03 | 杭州华三通信技术有限公司 | 实现Portal认证服务器防攻击的方法及宽带接入服务器 |
| CN103825881A (zh) * | 2013-12-13 | 2014-05-28 | 福建三元达通讯股份有限公司 | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657082A (zh) * | 2016-12-27 | 2017-05-10 | 杭州盈高科技有限公司 | 一种快速的http重定向方法 |
| CN106657082B (zh) * | 2016-12-27 | 2019-01-08 | 杭州盈高科技有限公司 | 一种快速的http重定向方法 |
| CN109274657A (zh) * | 2018-09-04 | 2019-01-25 | 深圳市吉祥腾达科技有限公司 | 一种基于web进行接入认证的方法与系统 |
| CN109600379A (zh) * | 2018-12-19 | 2019-04-09 | 锐捷网络股份有限公司 | Https重定向的降噪方法及装置 |
| CN109600379B (zh) * | 2018-12-19 | 2021-08-17 | 锐捷网络股份有限公司 | Https重定向的降噪方法及装置 |
| CN111416792A (zh) * | 2019-01-08 | 2020-07-14 | 杭州海康威视数字技术股份有限公司 | 嵌入式设备的内部免认证方法以及嵌入式设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438446B2 (en) | Load balancing and session persistence in packet networks | |
| CN108667730B (zh) | 基于负载均衡的报文转发方法、装置、存储介质和设备 | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| US7930365B2 (en) | Method and apparatus to modify network identifiers at data servers | |
| US8079076B2 (en) | Detecting stolen authentication cookie attacks | |
| US8448233B2 (en) | Dealing with web attacks using cryptographically signed HTTP cookies | |
| CA2860800C (en) | Single pass load balancing and session persistence in packet networks | |
| CN103825881A (zh) | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 | |
| CN104158808A (zh) | 基于APP应用的Portal认证方法及其装置 | |
| WO2017121063A1 (zh) | 一种无丢包零停机重启网络服务的方法和系统 | |
| CN108418847B (zh) | 一种网络流量缓存系统、方法及装置 | |
| CN102143177B (zh) | 一种Portal认证方法、装置、设备及系统 | |
| CN105357209A (zh) | 一种web认证方法及装置 | |
| CN105873055B (zh) | 一种无线网络接入认证方法及装置 | |
| EP3089435A1 (en) | Service processing method and network device | |
| CN107800723A (zh) | Cc攻击防护方法及设备 | |
| CN109561010B (zh) | 一种报文处理方法、电子设备及可读存储介质 | |
| CN108886533B (zh) | 加速与主机服务器的连接 | |
| WO2017181800A1 (zh) | 一种基于操作系统的门户认证页面自适应系统及其方法 | |
| CN106911732A (zh) | 一种网站访问加速方法及装置 | |
| CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
| CN104811507A (zh) | 一种ip地址获取方法及装置 | |
| CN107317810A (zh) | 一种数据拦截方法及装置 | |
| CN114500021A (zh) | 一种攻击检测方法、装置、电子设备及存储介质 | |
| US11818121B2 (en) | Low cost defense against denial-of-service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160224 |