CN105991589B - 一种用于重定向的方法、装置及系统 - Google Patents

一种用于重定向的方法、装置及系统 Download PDF

Info

Publication number
CN105991589B
CN105991589B CN201510080975.4A CN201510080975A CN105991589B CN 105991589 B CN105991589 B CN 105991589B CN 201510080975 A CN201510080975 A CN 201510080975A CN 105991589 B CN105991589 B CN 105991589B
Authority
CN
China
Prior art keywords
server
terminal
url
certificate
destination server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510080975.4A
Other languages
English (en)
Other versions
CN105991589A (zh
Inventor
王淑香
高红亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201510080975.4A priority Critical patent/CN105991589B/zh
Priority to PCT/CN2016/073507 priority patent/WO2016127914A1/zh
Priority to EP16748715.6A priority patent/EP3249877B1/en
Publication of CN105991589A publication Critical patent/CN105991589A/zh
Priority to US15/675,661 priority patent/US10721320B2/en
Application granted granted Critical
Publication of CN105991589B publication Critical patent/CN105991589B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请提供了一种用于重定向的方法、装置及系统,用以提高重定向的成功率。该方法中,宽带远程接入服务器BRAS接收终端的第一传输层安全TLS握手报文,第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据统一资源定位符URL进行重定向的能力;所述BRAS在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。所述终端在确定所述目的服务器的URL以及所述目的服务器的证书匹配后,可输出用于提示访问将被重定向的信息。

Description

一种用于重定向的方法、装置及系统
技术领域
本发明涉及通信技术领域,尤其涉及一种用于重定向的方法、装置及系统。
背景技术
宽带远程接入服务器(Broadband Remote Access Server,BRAS)中,存在多种需要将终端的万维网(英文名称为Web)页面访问重定向到运营商服务器的场景。
例如,终端访问任意的网站时,所述任意的网站目的地址不是运营商的Web服务器(英文名称为Web Server),所述终端的访问被BRAS重定向到运营商的Web认证页面,即所述营商的Web Server对所述终端进行Web认证。而目前,所述终端的访问被所述BRAS重定向到运营商的Web认证页面之前,所述终端会因为从所述BRAS获得的证书与所述终端所访问的网站不匹配,而输出用于提示证书有问题的告警信息,使得采用所述终端的用户关闭包括所述告警信息的页面。这样,所述终端的访问无法被BRAS成功地重定向到运营商的Web认证页面,使得所述终端无法实现重定向对应的业务。
发明内容
本发明实施例提供一种用于重定向的方法、装置及系统,有助于提高重定向的成功率。
本发明实施例提供的具体技术方案如下:
第一方面,提供了一种用于重定向的方法,包括:
BRAS接收终端发送的第一传输层安全(Transport Layer Security,TLS)握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据统一资源定位符(Uniform Resource Locator,URL)进行重定向的能力;
所述BRAS在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。
在上述第一方面的第一种可能的实现方式中,所述BRAS根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书包括:
所述BRAS根据所述终端的标识,获得预先配置的表项,所述表项包括所述终端的标识、所述目的服务器的URL和所述目的服务器的证书;
所述BRAS从所述表项中,获得所述目的服务器的URL和所述目的服务器的证书。
结合上述第一方面或第一方面的第一种可能的实现方式,还提供了第一方面的第二种可能的实现方式,所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书包括:
所述BRAS向所述终端发送第二TLS握手报文,所述第二TLS握手报文携带所述目的服务器的URL和所述目的服务器的证书。
结合上述第一方面或第一方面的第一种可能的实现方式,还提供了第一方面的第三种可能的实现方式,所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书包括:
所述BRAS向所述终端发送服务器重定向Server Redirect报文,所述ServerRedirect报文携带所述目的服务器的URL;
所述BRAS向所述终端发送服务器认证Server Certificate报文,所述ServerCertificate报文携带所述目的服务器的证书。
结合上述第一方面、第一方面的第一种可能的实现方式、第一方面的第二种可能的实现方式或第一方面的第三种可能的实现方式,还提供了第一方面的第四种可能的实现方式,还包括:
所述BRAS接收所述终端发送第一HTTPS报文,所述第一HTTPS报文用于向所述BRAS请求重定向的信息,所述第一HTTPS报文包括所述终端的标识;
所述BRAS根据所述终端的标识,获得所述第二服务器的URL;
所述BRAS向终端发送第二HTTPS报文,所述第二HTTPS报文包括所述第二服务器的URL。
第二方面,提供了一种用于重定向的方法,包括:
终端向BRAS发送第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力;
所述终端接收所述BRAS发送的目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
所述终端判断所述目的服务器的URL与所述目的服务器的证书是否匹配;
若所述目的服务器的URL与所述目的服务器的证书匹配,则所述终端输出第一提示信息,所述第一提示信息用于提示访问将被重定向,所述访问为所述终端对所请求的服务器的访问。
在上述第二方面的第一种可能的实现方式中,还包括:
若所述目的服务器的URL与所述目的服务器的证书不匹配,则所述终端输出第二提示信息,所述第二提示信息用于提示所述目的服务器的证书错误。
结合上述第二方面或第二方面的第一种可能的实现方式,还提供了第二方面的第二种可能的实现方式,所述终端接收所述BRAS发送的目的服务器的URL和所述目的服务器的证书包括:
所述终端接收所述BRAS发送的第二TLS握手报文,所述第二TLS握手报文中携带所述目的服务器的URL和所述目的服务器的证书;
所述终端从所述第二TLS握手报文中获得所述目的服务器的URL和所述目的服务器的证书。
结合上述第二方面或第二方面的第一种可能的实现方式中,还提供了第二方面的第三种可能的实现方式,所述终端接收所述BRAS发送的目的服务器的URL和所述目的服务器的证书包括:
所述终端接收所述BRAS发送的服务器重定向Server Redirect报文,所述ServerRedirect报文携带所述目的服务器的URL;
所述终端从所述Server Redirect报文获得所述目的服务器的URL;
所述终端接收所述BRAS发送服务器认证Server Certificate报文,所述ServerCertificate报文携带所述目的服务器的证书;
所述终端从所述Server Certificate报文获得所述目的服务器的证书。
结合上述第二方面、第二方面的第一种可能的实现方式、第二方面的第二种可能的实现方式或第二方面的第三种可能的实现方式,还提供了第二方面的第四种可能的实现方式,还包括:
所述终端向所述BRAS发送第一HTTPS报文,所述第一HTTPS报文用于向所述BRAS请求重定向的信息,所述第一HTTPS报文包括所述终端的标识;
所述终端接收所述BRAS发送的第二HTTPS报文,所述第二HTTPS报文包括所述第二服务器的URL;
所述终端在获得用于指示进行重定向的指令后,根据所述第二服务器的URL访问所述第二服务器。
第三方面,提供了一种BRAS,所述BRAS包括:
接收模块,用于接收终端发送的第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力,所述目的服务器为重定向所达的服务器;
获得模块,用于在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
发送模块,用于向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。
在上述第三方面的第一种可能的实现方式中,所述获得模块具体用于根据所述终端的标识,获得预先配置的表项,所述表项包括所述终端的标识、所述目的服务器的URL和所述目的服务器的证书;
所述获得模块具体用于从所述表项中,获得所述目的服务器的URL和所述目的服务器的证书。
结合上述第三方面或第三方面的第一种可能的实现方式,还提供了第三方面的第二种可能的实现方式,所述发送模块具体用于向所述终端发送第二TLS握手报文,所述第二TLS握手报文中携带所述目的服务器的URL和所述目的服务器的证书。
结合上述第三方面或第三方面的第一种可能的实现方式,还提供了第三方面的第三种可能的实现方式,所述发送模块具体用于向所述终端发送服务器重定向ServerRedirect报文,所述Server Redirect报文携带所述目的服务器的URL;
所述发送模块具体用于向所述终端发送服务器认证Server Certificate报文,所述Server Certificate报文携带所述目的服务器的证书。
结合上述第三方面、第三方面的第一种可能的实现方式、第三方面的第二种可能的实现方式或第三方面的第三种可能的实现方式,还提供了第三方面的第四种可能的实现方式,
所述接收模块还用于接收所述终端发送第一HTTPS报文,所述第一HTTPS报文用于向所述BRAS请求重定向的信息,所述第一HTTPS报文包括所述终端的标识;
所述获得模块还用于根据所述终端的标识,获得所述第二服务器的URL;
所述发送模块还用于向终端发送第二HTTPS报文,所述第二HTTPS报文包括所述第二服务器的URL。
第四方面,提供了一种终端,包括:
发送模块,用于向BRAS发送第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力;
接收模块,用于接收所述BRAS发送的目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
判断模块,用于判断所述目的服务器的URL与所述目的服务器的证书是否匹配;
输出模块,用于在所述判断模块确定所述目的服务器的URL与所述目的服务器的证书匹配,输出第一提示信息,所述第一提示信息用于提示访问将被重定向,所述访问为所述终端对所请求的服务器的访问。
在上述第四方面的第一种可能的实现方式中,所述输出模块还用于在所述判断模块确定所述目的服务器的URL与所述目的服务器的证书不匹配,输出第二提示信息,所述第二提示信息用于提示所述目的服务器的证书有问题。
结合上述第四方面或第四方面的第一种可能的实现方式,还提供了第四方面的第二种可能的实现方式,所述接收模块具体用于接收所述BRAS发送的第二TLS握手报文,所述第二TLS握手报文中携带所述目的服务器的URL和所述目的服务器的证书。
结合上述第四方面或第四方面的第一种可能的实现方式,还提供了的第四方面的第三种可能的实现方式,所述接收模块具体用于接收所述BRAS发送的服务器重定向ServerRedirect报文,所述Server Redirect报文携带所述目的服务器的URL;
所述接收模块具体用于接收所述BRAS发送服务器认证Server Certificate报文,所述Server Certificate报文携带所述目的服务器的证书。
结合上述第四方面、第四方面的第一种可能的实现方式、第四方面的第二种可能的实现方式或第四方面的第三种可能的实现方式,还提供了第四方面的第四种可能的实现方式,还包括:重定向模块;
所述发送模块还用于向所述BRAS发送第一HTTPS报文,所述第一HTTPS报文用于向所述BRAS请求重定向的信息,所述第一HTTPS报文包括所述终端的标识;
所述接收模块还用于接收所述BRAS发送的第二HTTPS报文,所述第二HTTPS报文包括所述第二服务器的URL;
所述重定向模块还用于在获得用于指示进行重定向的指令后,根据所述第二服务器的URL访问所述第二服务器。
第五方面,提供了一种用于重定向的系统,包括:上述第三方面或第三方面的任意一种可能的实现方式所提供的BRAS和上述第四方面或第四方面的任意一种可能的实现方式所提供的终端。
基于上述技术方案,本发明实施例中,BRAS通过判断终端的第一TLS握手报文中是否携带标志;所述BRAS在确定所述第一TLS握手报文携带所述标志后,确定所述标志对应的所述终端支持URL的重定向功能;所述BRAS可在确定所述标志对应的所述终端支持URL的重定向功能后,向所述终端发送与所述终端对应的目的服务器的URL以及所述目的服务器的证书。所述终端在确定所述目的服务器的URL以及所述目的服务器的证书匹配后,获取并输出第一提示信息,从而避免了终端将该重定向所达的服务器的证书与所请求访问的服务器的URL进行匹配,所述终端输出安全告警页面而误导用户关闭页面,提高了重定向的成功率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其它的附图。
图1为本发明实施例中用于重定向的方法流程图;
图2为本发明实施例中用于重定向的方法流程图;
图3为本发明实施例中HTTPS重定向过程示意图;
图4为本发明实施例中另一HTTPS重定向过程示意图;
图5为本发明实施例中BRAS结构示意图;
图6为本发明实施例中另一BRAS结构示意图;
图7为本发明实施例中终端结构示意图;
图8为本发明实施例中另一终端结构示意图;
图9为本发明实施例中用于重定向的系统的示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
以超文本传输协议(Hypertext Transfer Protocol,HTTP)实现重定向的过程为例进行说明。
终端,如个人电脑(Personal Computer,PC),向BRAS发送访问请求,所述访问请求的目的地址是所述终端请求访问的服务器的地址。所述终端请求访问的服务器可以不是运营商的Web Server。所述BRAS可代替所述终端所请求访问的服务器,与所述终端建立传输控制协议(Transmission Control Protocol,TCP)连接。所述BRAS在收到所述终端的GETHTTP报文或POST HTTP报文后,向所述终端发送重定向报文(英文名称为RedirectPacket)。所述GET HTTP报文用于从指定的资源请求数据。所述POST HTTP报文用于向指定的资源提交数据。所述Redirect Packet中携带的目的服务器的URL为Web Server的URL。所述目的服务器为重定向所达的服务器。
若所述Web Server和所述终端之间采用基于安全套接层(Secure Socket Layer,SSL)的超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS),则所述BRAS可接收所述终端发送的传输层安全(Transport Layer Security,TLS)报文。所述BRAS可与所述终端完成TLS握手,并在完成所述TCP握手和TLS握手后,接收所述终端发送的加密的Get HTTPs报文或Post HTTPs报文。所述BRAS可向所述终端发送加密后的RedirectPacket。所述BRAS与所述终端进行TLS握手的过程中,发送给所述终端的证书是所述WebServer的证书,即所述目的服务器为所述Web Server。这样,所述终端在TLS握手阶段检查证书合法性时,会因为所述Web Server的证书与请求访问的网站域名不匹配而输出告警提示信息,使得终端无法显示正确的认证业务或欠费重定向等相关业务页面。
针对上述问题,提出了有助于提高重定向的成功率的解决方法。该解决方法是BRAS接收终端发送的第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力;所述BRAS在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。所述终端可在所述目的服务器的URL以及所述目的服务器的证书匹配后,输出用于提示重定向的提示信息。
本发明的实施例中,所述终端请求访问的服务器为第一服务器,第二服务器为重定向所达的服务器,所述第一服务器和所述第二服务器是不同的服务器。在所述终端满足重定向的条件时,所述终端对所述第一服务器的访问请求可被重定向为访问所述第二服务器,所述重定向的条件可以是Web认证或欠费提醒等运营商提供的与Web有关的业务。BRAS可预配置有与所述终端对应的第二服务器的URL以及与所述终端对应的所述第二服务器的证书,比如BRAS可存储有与重定向相关的表项,所述与重定向相关的表项包括所述终端的标识、所述第二服务器的URL和所述第二服务器的证书。所述BRAS可以从认证、授权和计费(Authentication,Authorization and Accounting,AAA)服务器获得所述第二服务器的URL以及所述终端的标识。所述BRAS可从AAA服务器或其它网络设备获得所述第二服务器的证书,或所述BRAS可以根据AAA服务器或其它网络设备提供的用于生成证书的信息,生成所述第二服务器的证书,所述第二服务器的证书可包括所述第二服务器的URL。所述BRAS可在获得所述第二服务器的URL、所述第二服务器的证书和所述终端的标识后,生成或更新所述与重定向相关的表项。
本发明的实施例中,BRAS中可以按照终端所属的认证域,为用户所采用的终端配置相应的第二服务器的URL以及所述第二服务器的证书。例如:Web认证可包括认证前域和认证域。需要进行Web认证的终端可在所述认证前域中被配置Web认证服务器的URL。所述需要进行Web认证的终端先通过所述认证前域上线,BRAS会将所述终端的HTTP访问重定向到所述Web认证服务器的URL对应的Web认证服务器。若用户在终端显示的由Web认证服务器提供的网页上输入用户名和密码,则所述终端就会通过所述认证域上线,所述终端的HTTP访问不会被重定向。或者,AAA服务器检测到该终端需要进行URL重定向的业务,例如需要欠费提醒,所述AAA服务器将该终端对应的第二服务器的URL以及所述第二服务器的证书发送给所述BRAS,由BRAS进行与所述终端相关的重定向处理。
本发明实施例中所涉及的重定向可以为:所述终端通过所述BRAS访问所述第一服务器时,所述BRAS在确定所述终端满足重定向的条件后,向所述终端发送所述第二服务器的URL和所述第二服务器的证书,以便所述终端访问所述第二服务器,完成与所述重定向的条件对应的业务。
本发明实施例中的终端可以是装设于手机、PC或移动终端等设备上的浏览器或客户端,在此不再对终端进行逐一举例说明。
图1对应的实施例是从BRAS侧对用于重定向的方法进行说明。如图1所示,本发明实施例中用于重定向的方法如下:
101:BRAS接收终端的第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力。
举例说明,所述终端具有根据URL进行重定向的能力可以为所述终端具有解析携带URL的报文的能力以及具有采用所述报文中的URL进行重定向的能力。比如,所述终端发送给所述BRAS的所述第一TLS握手报文中携带有所述标志,这就表示所述终端支持HTTPS重定向功能。
举例说明,所述终端发送给所述BRAS的第一TLS握手报文为Client Hello,该Client Hello中可包括扩展项,所述扩展项可用于携带所述标志。具体地,所述终端获得的Client Hello的净荷部分可携带所述标志,例如,在Client Hello净荷部分中用于扩展的部分增加扩展项,该扩展项携带所述标志。
举例说明,所述终端的标识可以是所述终端的媒体接入控制(Media AccessControl,MAC)地址、互联网协议(Internet Protocol,IP)地址等用于标识所述终端的信息。
102:所述BRAS在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器。
举例说明,所述目的服务器可以为第二服务器。所述BRAS上可预先配置有与重定向相关的表项。所述与重定向相关的表项包括所述终端的标识、所述第二服务器的URL和所述第二服务器的证书。所述第二服务器的证书可包括所述第二服务器的URL。
举例说明,所述BRAS在确定所述第一TLS握手报文携带所述标志后,确定所述终端支持重定向。所述BRAS可根据所述终端的标识进行本地查找,比如所述BRAS可查询是否存在包括所述终端的标识的与重定向相关的表项,若存在,则所述BRAS可从所述与重定向相关的表项中获得所述第二服务器URL和所述第二服务器的证书。所述第二服务器的证书可以是第二服务器向证书颁发中心(英文名称为certificate authority,英文缩写为CA)申请的证书。所述第二服务器的证书的生成方法可采用通常的证书生成方法,在此不再赘述。
举例说明,所述BRAS配置有所述终端的标识和所述第二服务器的URL之间的对应关系。所述BRAS可根据所述终端的标识和与所述终端的标识对应的所述第二服务器的URL,生成或从其它网络设备获得所述第二服务器的证书。所述BRAS可根据所述第一TLS握手报文中携带的所述终端的标识,获得所述第二服务器URL。所述BRAS生成所述第二服务器的证书的方式可采用通常的证书生成方式,在此不再赘述。
举例说明,所述BRAS根据所述终端的标识查找获得与重定向对应的表项的过程可以为所述BRAS确定所述终端满足重定向的条件,所述重定向的条件对应的业务为所述第二服务器提供的业务,比如Web认证业务或欠费提醒业务。
103:所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。
举例说明,所述BRAS可以是在向所述终端发送所述第二服务器的URL的同时,发送所述第二服务器的证书,比如:所述BRAS向所述终端发送第二TLS握手报文,该第二TLS握手报文可以为Server Hello报文,所述Server Hello中携带所述第二服务器的URL以及所述第二服务器的证书。或者,所述BRAS也可以向所述终端发送所述第二服务器的URL之后,向所述终端发送所述第二服务器的证书,比如:所述BRAS向所述终端发送携带所述第二服务器的URL的服务器重定向(英文名称为Server Redirect)报文,然后向所述终端发送携带所述第二服务器的证书的服务器认证(英文名称为Server Certificate)报文。
为了能够兼容通常的重定向过程,103之后,本发明实施例提供的方法还可包括:所述BRAS接收所述终端发送的第一HTTPS报文,所述第一HTTPS报文用于向所述BRAS请求重定向的信息,所述第一HTTPS报文可为Get HTTPS报文或Post HTTPS报文,所述第一HTTPS报文包括所述终端的标识;所述BRAS向终端发送第二HTTPS报文,所述第二HTTPS报文可携带重定向的信息,所述重定向的信息可包括所述第二服务器的URL,所述第二HTTPS报文可以为Redirect HTTPS报文。所述BRAS在与所述终端的TLS握手结束后,可通过所述第二HTTPS报文,向所述终端发送所述重定向的信息,有助于所述终端根据该重定向的信息访问所述第二服务器。
举例说明,所述终端也可在与所述BRAS的TLS握手后,根据TLS握手过程中从所述BRAS获得的所述第二服务器URL访问所述第二服务器,省略向所述BRAS发送所述第一HTTPS报文的过程。
举例说明,如果所述第二服务器提供的业务为Web认证业务,则所述第二HTTPS报文中的重定向的信息还可包括用于完成Web认证的信息,所述用于完成Web认证的信息可以包括用户的MAC地址、用户物理位置信息等。所述终端可根据所述重定向的信息访问所述第二服务器,将所述用于完成Web认证的信息发送给所述第二服务器,有助于所述第二服务器根据所述用于完成Web认证的信息对所述终端进行Web认证。
该实施例中,BRAS通过判断终端发送的第一TLS握手报文中是否携带标识,所述标识用于标识所述终端具有根据URL进行重定向的能力,所述BRAS在确定所述第一TLS握手报文携带所述标志后,向所述终端发送与所述终端对应的目的服务器的URL以及与所述终端对应的目的服务器的证书,有助于终端根据该目的服务器的URL以及目的服务器的证书进行匹配的成功率,有助于提高重定向的成功率。
图2对应的实施例是从终端侧对用于重定向的方法进行说明。如图2所示,本发明实施例中用于重定向的方法如下:
201:终端向BRAS发送第一TLS握手报文,该第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力。
举例说明,所述终端具有根据URL进行重定向的能力可以为所述终端具有解析携带URL的报文的能力以及具有采用所述报文中的URL进行重定向的能力。比如,所述终端发送给所述BRAS的所述第一TLS握手报文中携带有所述标志,可表明所述终端支持HTTPS重定向功能。本发明实施例中的终端的标识可以与图1对应的实施例中的终端的标识相同,在此不再赘述。本发明实施例中的第一TLS握手报文可以与图1对应的实施例中的第一TLS握手报文相同,在此不再赘述。
举例说明,所述终端向所述BRAS发送所述第一TLS握手报文的目的是请求访问第一服务器。
202:所述终端接收BRAS发送的目的服务器的URL以及所述目的服务器的证书,所述目的服务器为重定向所达的服务器。
举例说明,所述目的服务器可以为第二服务器。所述第二服务器的URL以及所述第二服务器的证书可以为图1对应的实施例中的相应内容,在此不再赘述。
举例说明,所述终端接收BRAS发送的目的服务器的URL以及所述目的服务器的证书包括:所述终端接收所述BRAS发送的Server Redirect报文,所述Server Redirect报文携带所述第二服务器的URL;所述终端从所述Server Redirect报文获得所述第二服务器的URL;所述终端接收所述BRAS发送的Server Certificate报文,所述Server Certificate报文携带所述第二服务器的证书;所述终端从所述Server Certificate报文获得所述第二服务器的证书。
举例说明,所述终端接收BRAS发送的目的服务器的URL以及所述目的服务器的证书包括:所述终端接收所述BRAS发送的第二TLS握手报文,所述第二TLS握手报文为ServerHello报文,所述Server Hello报文中携带所述第二服务器的URL以及所述第二服务器的证书;所述终端从所述Server Hello报文中获得所述第二服务器的URL以及所述第二服务器的证书。
203:所述终端判断所述目的服务器的URL与所述目的服务器的证书是否匹配,若所述目的服务器的URL与所述目的服务器的证书匹配,则执行204。
举例说明,所述第二服务器的证书至少携带所述第二服务器的URL,若所述第二服务器的证书中所携带的所述第二服务器的URL与所述终端接收到的所述第二服务器的URL相同,则所述终端确定所述第二服务器的证书与所述第二服务器的URL匹配。若所述第二服务器的证书中所携带的所述第二服务器的URL与所述终端接收到的所述第二服务器的URL不相同,则所述终端确定所述第二服务器的证书与所述第二服务器的URL不匹配。
204:所述终端输出第一提示信息,所述第一提示信息用于提示访问将被重定向,所述访问为所述终端对所请求的服务器的访问。
举例说明,所述终端所请求访问的服务器为第一服务器。所述访问为对所述第一服务器的访问。
举例说明,所述终端若确定所述第二服务器的URL与所述第二服务器的证书匹配,则所述终端可生成所述第一提示信息。所述终端可向用户输出所述第一提示信息。其中,所述终端向用户输出所述第一提示信息的方式包括:所述终端生成包含所述第一提示信息的页面,所述终端显示所述包含所述第一提示信息的页面。
203之后,本发明实施例提供的方法还包括:若所述目的服务器的URL与所述目的服务器的证书不匹配,则所述终端输出第二提示信息,所述第二提示信息用于提示所述目的服务器的证书错误。
举例说明,所述终端若确定所述第二服务器的URL与所述第二服务器的证书不匹配,则所述终端可生成所述第二提示信息。所述终端可向用户输出所述第二提示信息。其中,所述终端向用户输出所述第二提示信息的方式包括:所述终端生成包含所述第二提示信息的页面,所述终端显示所述包含所述第二提示信息的页面。
204之后,本发明实施例提供的方法还包括:所述终端在获取用户根据所述第一提示信息输入的指示后,完成与所述BRAS的TLS握手过程,所述用户输入的指示用于确认继续访问所述第二服务器的URL;所述终端在TLS握手过程后,向所述BRAS发送第一HTTPS报文,所述第一HTTPS报文用于向所述BRAS请求重定向的信息,所述第一HTTPS报文包括所述终端的标识;所述终端接收所述BRAS发送的第二HTTPS报文,所述第二HTTPS报文包括所述重定向的信息,所述重定向的信息包括第二服务器的URL;所述终端根据所述重定向的信息,访问所述第二服务器的URL对应的服务器。
204之后,本发明实施例提供的方法还包括:所述终端在获取用户根据所述第一提示信息输入的指示后,所述指示用于确认继续访问所述第二服务器的URL,所述终端结束与所述BRAS的TLS握手过程;所述终端向所述BRAS发送所述第一HTTPS报文;所述终端接收到所述BRAS发送的所述第二HTTPS报文;所述终端根据所述重定向信息,访问所述第二服务器的URL对应的服务器。
举例说明,本发明实施例提供的方法还包括:所述终端未接收到所述BRAS发送的所述第二HTTPS报文,结束重定向。
该实施例中,终端在向BRAS发送的第一TLS握手报文中携带标志,使得BRAS根据该标志确定该终端具有根据URL进行重定向的能力,终端接收BRAS发送的目的服务器的证书以及目的服务器的URL,根据该目的服务器的证书和该目的服务器的URL进行匹配,从而避免了终端检查所述目的服务器的证书合法性时,由于所述目的服务器的证书与所述终端请求访问的服务器的URL不匹配而导致重定向失败,有助于提高重定向的成功率。
以下通过两个实施例对本发明实施例中HTTPS重定向的过程进行详细说明如下:
第一实施例提供的进行HTTPS重定向的过程如图3所示:
终端,比如装设于终端的浏览器,在生成的Client Hello报文中携带名称为redirect_url_enable的扩展项和所述终端的标识,该扩展项的内容用于表示所述终端具有解析携带URL的报文的能力以及具有采用所述报文中的URL进行重定向的能力。
BRAS接收到所述终端的Client Hello报文后,若确定所述Client Hello报文中携带名称为redirect_url_enable的扩展项,向所述终端发送Server Hello报文,所述ServerHello用于所述BRAS与所述终端协商确定加密方式等信息。所述BRAS根据所述ClientHello报文中携带的所述终端的标识,获得所述终端对应的第二服务器的URL和所述第二服务器的证书。所述BRAS向所述终端发送Server Redirect报文,所述Server Redirect报文携带所述第二服务器的URL;所述BRAS向所述终端发送Server Certificate报文,所述Server Certificate报文包括所述第二服务器的证书。
所述终端收到所述BRAS发送的所述Server Redirect报文,从所述ServerRedirect报文获得所述第二服务器的URL。所述终端收到所述BRAS发送的所述ServerCertificate报文,从所述Server Certificate报文获得所述第二服务器的URL。所述终端判断所述第二服务器的证书与所述第二服务器的URL是否匹配,若所述第二服务器的证书与所述第二服务器的URL匹配,则所述终端生成并输出第一提示页面,所述第一提示页面用于提示访问将被重定向至所述第二服务器。若所述第二服务器的证书与所述第二服务器的URL不匹配,则所述终端生成并输出第二提示页面,所述第二提示页面用于提示证书错误的告警页面。
若所述终端获取所述用户访问所述第二服务器的指示后,与所述BRAS完成TLS握手交互后,向BRAS发送Get HTTPS报文或Post HTTPS报文。所述Get HTTPS报文或所述PostHTTPS报文可携带所述终端的标识。
所述BRAS与所述终端完成TLS握手交互后,在收到所述Get HTTPS报文或所述PostHTTPS报文后,根据获得的所述终端的标识,向所述终端发送Redirect HTTPS报文,所述Redirect HTTPS报文中至少携带所述第二服务器的URL。
若终端收到所述Redirect HTTPS报文,则所述终端启动访问所述第二服务器的流程,即根据所述Redirect HTTPS报文中的所述第二服务器的URL,访问所述第二服务器。若所述终端未收到所述Redirect HTTPS报文或者所述Redirect HTTPS报文所携带的URL与Server Redirect报文所携带的URL不相同,则所述终端不会访问所述第二服务器。
第二具体实施例中进行HTTPS重定向的过程如图4所示,与第一具体实施例的不同之处在于:
所述终端获取所述用户访问所述第二服务器的指示后,终止与所述BRAS的TLS握手过程,并且所述终端不再向所述BRAS发送Get HTTPS报文或Post HTTPS报文。所述终端可采用TLS握手过程中从所述BRAS获得的所述第二服务器的URL,访问所述第二服务器。
以上两个具体实施例中,Client Hello报文中名称为redirect_url_enable的扩展项可表示为:
enum{
redirect_url_enable
}Extension Type;
其中,redirect_url_enable可作为标识使用,不携带数据。
以上两个具体实施例中,所述第二服务器的URL可携带在Server Redirect报文的净荷中。所述Server Redirect报文结构体可表示为:
其中,unit8urllength可携带所述第二服务器的URL的长度;opaque string可携带所述第二服务器的URL。
本发明实施例还提供了一种BRAS,该BRAS可采用上述方法实施例部分中BRAS所采用的方法,重复之处不再赘述,如图5所示,该BRAS包括:
接收模块501用于接收终端的第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力。所述终端具有根据URL进行重定向的能力可以为所述终端具有解析携带URL的报文的能力以及具有采用所述报文中的URL进行重定向的能力。
获得模块502用于在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器。所述目的服务器可以为图1、图2、图3或图4对应的实施例中的第二服务器。
发送模块503用于向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。
举例说明,所述发送模块503具体用于向所述终端发送携带所述目的服务器的URL的Server Redirect报文;所述发送模块具体用于向所述终端发送携带所述目的服务器的证书的Server Certificate报文。
举例说明,所述发送模块503具体用于向所述终端发送第二TLS握手报文,该第二TLS握手报文为Server Hello报文,所述Server Hello报文携带所述目的服务器的URL以及所述目的服务器的证书。
该实施例中,BRAS通过判断终端发送的第一TLS握手报文中是否携带标识,所述标识用于标识所述终端具有根据URL进行重定向的能力,所述BRAS在确定所述第一TLS握手报文携带所述标志后,向所述终端发送与所述终端对应的目的服务器的URL以及与所述终端对应的目的服务器的证书,有助于终端根据该目的服务器的URL以及目的服务器的证书进行匹配的成功率,有助于提高重定向的成功率。
本发明实施例还提供了一种BRAS,该BRAS可采用上述方法实施例部分中BRAS所采用的方法,重复之处不再赘述,如图6所示,该BRAS包括处理器601、存储器602和通信接口603,处理器601、存储器602、通信接口603通过总线604相互连接;总线604可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器602,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器602可能包含随机存取存储器(random access memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
通信接口603用于与其他设备进行通信。
其中,处理器601获取存储器602中程序,按照该程序执行以下过程:
通过通信接口603接收终端的第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力;
在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
通过通信接口603向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。
举例说明,所述终端具有根据URL进行重定向的能力可以为所述终端具有解析携带URL的报文的能力以及具有采用所述报文中的URL进行重定向的能力。
举例说明,处理器601通过通信接口603向所述终端发送携带所述目的服务器的URL的Server Redirect报文,向所述终端发送携带所述目的服务器的证书的ServerCertificate报文。
举例说明,所述处理器601通过所述通信接口603向所述终端发送第二TLS握手报文,该第二TLS握手报文为Server Hello报文,所述Server Hello报文中携带所述目的服务器的URL以及所述目的服务器的证书。
该实施例中,BRAS通过判断终端发送的第一TLS握手报文中是否携带标识,所述标识用于标识所述终端具有根据URL进行重定向的能力,所述BRAS在确定所述第一TLS握手报文携带所述标志后,向所述终端发送与所述终端对应的目的服务器的URL以及与所述终端对应的目的服务器的证书,有助于终端根据该目的服务器的URL以及目的服务器的证书进行匹配的成功率,有助于提高重定向的成功率。
本发明实施例还提供了一种终端,该终端可采用上述方法实施例部分中终端所采用的方法,重复之处不再赘述,如图7所示,该终端包括:
发送模块701用于向BRAS发送第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力。所述终端具有根据URL进行重定向的能力可以为所述终端具有解析携带URL的报文的能力以及具有采用所述报文中的URL进行重定向的能力。
接收模块702用于接收所述BRAS返回的目的服务器的URL以及所述目的服务器的证书,所述目的服务器为重定向所达的服务器。
判断模块703,用于判断所述目的服务器的URL与所述目的服务器的证书是否匹配。
输出模块704,用于在所述判断模块703确定所述目的服务器的URL与所述目的服务器的证书匹配,输出第一提示信息,所述第一提示信息用于提示对所请求的服务器的访问将被重定向。
可选地,所述输出模块704还用于在所述判断模块703确定所述目的服务器的URL与所述目的服务器的证书不匹配,输出第二提示信息,所述第二提示信息用于提示所述目的服务器的证书有问题。
举例说明,所述接收模块702具体用于接收所述BRAS发送的第二TLS握手报文,所述第二TLS握手报文中携带所述目的服务器的URL和所述目的服务器的证书。所述接收模块702可从所述第二TLS握手报文中获得所述目的服务器的URL和所述目的服务器的证书,或者所述判断模块703可从所述接收模块702接收到的所述第二TLS握手报文,获得所述目的服务器的URL和所述目的服务器的证书。
举例说明,所述接收模块702具体用于接收所述BRAS发送的Server Redirect报文,所述Server Redirect报文携带所述目的服务器的URL,并接收所述BRAS发送ServerCertificate报文,所述Server Certificate报文携带所述目的服务器的证书。所述接收模块702或所述判断模块703可从所述Server Redirect报文获得所述目的服务器的URL,所述接收模块702或所述判断模块703可从所述Server Certificate报文获得所述目的服务器的证书。
该实施例中,终端在向BRAS发送的第一TLS握手报文中携带标志,使得BRAS根据该标志确定该终端具有根据URL进行重定向的能力,终端接收BRAS发送的目的服务器的证书以及目的服务器的URL,根据该目的服务器的证书和该目的服务器的URL进行匹配,从而避免了终端检查所述目的服务器的证书合法性时,由于所述目的服务器的证书与所述终端请求访问的服务器的URL不匹配而导致重定向失败,有助于提高重定向的成功率。
本发明实施例还提供了一种终端,该终端的可采用上述方法实施例部分中终端所采用方法,重复之处不再赘述,如图8所示,该终端包括处理器801、存储器802和通信接口803,处理器801、存储器802、通信接口803通过总线804相互连接;总线804可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器802,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器802可能包含随机存取存储器(random access memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
通信接口803用于与其他设备进行通信。
其中,处理器801用于获取存储器802中程序,按照该程序执行以下过程:
通过通信接口803向BRAS发送第一TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据URL进行重定向的能力;
通过通信接口803接收所述BRAS发送的目的服务器的URL以及所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
判断所述目的服务器的URL与所述目的服务器的证书是否匹配,在确定所述目的服务器的URL与所述目的服务器的证书匹配后,输出第一提示信息,所述第一提示信息用于提示对所请求的服务器的访问将被重定向。
可选地,处理器801若确定所述目的服务器的URL与所述目的服务器的证书不匹配,输出第二提示信息,所述第二提示信息用于提示所述目的服务器的证书有问题。
举例说明,处理器801在获取用户根据第一提示信息输入的指示后,通过通信接口803向所述BRAS发送第一HTTPS报文,所述指示用于确认继续访问所述目的服务器的URL,所述第一HTTPS报文携带所述终端的标识,所述第一HTTPS用于向所述BRAS请求重定向的信息;所述处理器801通过通信接口803接收所述BRAS发送的第二HTTPS报文,所述第二HTTPS报文携带所述重定向的信息;若所述处理器801通过通信接口803接收到所述BRAS发送的所述第二HTTPS报文,则所述处理器801根据所述重定向的信息访问所述目的服务器URL对应的服务器;若所述处理器801通过通信接口803未接收到所述BRAS发送的所述第二HTTPS报文,所述终端不再对所述目的服务器进行访问。
可选地,所述处理器801可在通过通信接口803向所述BRAS发送所述第一HTTPS报文前,终止与所述BRAS的TLS握手过程。
举例说明,所述处理器801通过通信接口803接收所述BRAS发送的第二TLS握手报文,所述第二TLS握手报文中携带所述目的服务器的URL和所述目的服务器的证书。
举例说明,所述处理器801通过通信接口803接收所述BRAS发送的服务器重定向Server Redirect报文,所述Server Redirect报文携带所述目的服务器的URL,并接收所述BRAS发送服务器认证Server Certificate报文,所述Server Certificate报文携带所述目的服务器的证书。
该实施例中,终端在向BRAS发送的第一TLS握手报文中携带标志,使得BRAS根据该标志确定该终端具有根据URL进行重定向的能力,终端接收BRAS发送的目的服务器的证书以及目的服务器的URL,根据该目的服务器的证书和该目的服务器的URL进行匹配,从而避免了终端检查所述目的服务器的证书合法性时,由于所述目的服务器的证书与所述终端请求访问的服务器的URL不匹配而导致重定向失败,有助于提高重定向的成功率。
图9为本发明实施例中用于重定向的系统的示意图。图9所示的系统可包括BRAS901和终端902。所述BRAS可以为图5或图6对应的实施例提供的BRAS,在此不再赘述。所述可以为图7或图8对应的实施例提供的终端,在此不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (17)

1.一种用于重定向的方法,其特征在于,所述方法包括:
宽带远程接入服务器BRAS接收终端发送的第一传输层安全TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据统一资源定位符URL进行重定向的能力;
所述BRAS在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。
2.如权利要求1所述的方法,其特征在于,所述BRAS根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书包括:
所述BRAS根据所述终端的标识,获得预先配置的表项,所述表项包括所述终端的标识、所述目的服务器的URL和所述目的服务器的证书;
所述BRAS从所述表项中,获得所述目的服务器的URL和所述目的服务器的证书。
3.如权利要求1或2所述的方法,其特征在于,所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书包括:
所述BRAS向所述终端发送第二TLS握手报文,所述第二TLS握手报文携带所述目的服务器的URL和所述目的服务器的证书。
4.如权利要求1或2所述的方法,其特征在于,所述BRAS向所述终端发送所述目的服务器的URL以及所述目的服务器的证书包括:
所述BRAS向所述终端发送服务器重定向Server Redirect报文,所述Server Redirect报文携带所述目的服务器的URL;
所述BRAS向所述终端发送服务器认证Server Certificate报文,所述ServerCertificate报文携带所述目的服务器的证书。
5.一种用于重定向的方法,其特征在于,所述方法包括:
终端向宽带远程接入服务器BRAS发送第一传输层安全TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据统一资源定位符URL进行重定向的能力;
所述终端接收所述BRAS发送的目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
所述终端判断所述目的服务器的URL与所述目的服务器的证书是否匹配;
若所述目的服务器的URL与所述目的服务器的证书匹配,则所述终端输出第一提示信息,所述第一提示信息用于提示访问将被重定向,所述访问为所述终端对所请求的服务器的访问。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
若所述目的服务器的URL与所述目的服务器的证书不匹配,则所述终端输出第二提示信息,所述第二提示信息用于提示所述目的服务器的证书错误。
7.如权利要求5或6所述的方法,其特征在于,所述终端接收所述BRAS发送的目的服务器的URL和所述目的服务器的证书包括:
所述终端接收所述BRAS发送的第二TLS握手报文,所述第二TLS握手报文中携带所述目的服务器的URL和所述目的服务器的证书;
所述终端从所述第二TLS握手报文中获得所述目的服务器的URL和所述目的服务器的证书。
8.如权利要求5或6所述的方法,其特征在于,所述终端接收所述BRAS发送的目的服务器的URL和所述目的服务器的证书包括:
所述终端接收所述BRAS发送的服务器重定向Server Redirect报文,所述ServerRedirect报文携带所述目的服务器的URL;
所述终端从所述Server Redirect报文获得所述目的服务器的URL;
所述终端接收所述BRAS发送服务器认证Server Certificate报文,所述ServerCertificate报文携带所述目的服务器的证书;
所述终端从所述Server Certificate报文获得所述目的服务器的证书。
9.一种宽带远程接入服务器BRAS,其特征在于,所述BRAS包括:
接收模块,用于接收终端发送的第一传输层安全TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据统一资源定位符URL进行重定向的能力;
获得模块,用于在确定所述第一TLS握手报文携带所述标志后,根据所述终端的标识获得目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
发送模块,用于向所述终端发送所述目的服务器的URL以及所述目的服务器的证书。
10.如权利要求9所述的BRAS,其特征在于,所述获得模块具体用于根据所述终端的标识,获得预先配置的表项,所述表项包括所述终端的标识、所述目的服务器的URL和所述目的服务器的证书;
所述获得模块具体用于从所述表项中,获得所述目的服务器的URL和所述目的服务器的证书。
11.如权利要求9或10所述的BRAS,其特征在于,
所述发送模块具体用于向所述终端发送第二TLS握手报文,所述第二TLS握手报文中携带所述目的服务器的URL和所述目的服务器的证书。
12.如权利要求9或10所述的BRAS,其特征在于,
所述发送模块具体用于向所述终端发送服务器重定向Server Redirect报文,所述Server Redirect报文携带所述目的服务器的URL;
所述发送模块具体用于向所述终端发送服务器认证Server Certificate报文,所述Server Certificate报文携带所述目的服务器的证书。
13.一种终端,其特征在于,所述终端包括:
发送模块,用于向宽带远程接入服务器BRAS发送第一传输层安全TLS握手报文,所述第一TLS握手报文中携带有标志和所述终端的标识,所述标志用于标识所述终端具有根据统一资源定位符URL进行重定向的能力;
接收模块,用于接收所述BRAS发送的目的服务器的URL和所述目的服务器的证书,所述目的服务器为重定向所达的服务器;
判断模块,用于判断所述接收模块接收的所述目的服务器的URL与所述目的服务器的证书是否匹配;
输出模块,用于在所述判断模块确定所述目的服务器的URL与所述目的服务器的证书匹配,输出第一提示信息,所述第一提示信息用于提示访问将被重定向,所述访问为所述终端对所请求的服务器的访问。
14.如权利要求13所述的终端,其特征在于,
所述输出模块还用于在所述判断模块确定所述目的服务器的URL与所述目的服务器的证书不匹配,输出第二提示信息,所述第二提示信息用于提示所述目的服务器的证书有问题。
15.如权利要求13或14所述的终端,其特征在于,
所述接收模块具体用于接收所述BRAS发送的第二TLS握手报文,所述第二TLS握手报文中携带所述目的服务器的URL和所述目的服务器的证书。
16.如权利要求13或14所述的终端,其特征在于,
所述接收模块具体用于接收所述BRAS发送的服务器重定向Server Redirect报文,所述Server Redirect报文携带所述目的服务器的URL;
所述接收模块具体用于接收所述BRAS发送服务器认证Server Certificate报文,所述Server Certificate报文携带所述目的服务器的证书。
17.一种用于重定向的系统,其特征在于,所述系统包括:
权利要求9至12任意一项所述的宽带远程接入服务器BRAS和权利要求13至16任意一项所述的终端。
CN201510080975.4A 2015-02-13 2015-02-13 一种用于重定向的方法、装置及系统 Active CN105991589B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201510080975.4A CN105991589B (zh) 2015-02-13 2015-02-13 一种用于重定向的方法、装置及系统
PCT/CN2016/073507 WO2016127914A1 (zh) 2015-02-13 2016-02-04 一种用于重定向的方法、装置及系统
EP16748715.6A EP3249877B1 (en) 2015-02-13 2016-02-04 Redirection method, apparatus, and system
US15/675,661 US10721320B2 (en) 2015-02-13 2017-08-11 Redirection method, apparatus, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510080975.4A CN105991589B (zh) 2015-02-13 2015-02-13 一种用于重定向的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN105991589A CN105991589A (zh) 2016-10-05
CN105991589B true CN105991589B (zh) 2019-04-26

Family

ID=56614125

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510080975.4A Active CN105991589B (zh) 2015-02-13 2015-02-13 一种用于重定向的方法、装置及系统

Country Status (4)

Country Link
US (1) US10721320B2 (zh)
EP (1) EP3249877B1 (zh)
CN (1) CN105991589B (zh)
WO (1) WO2016127914A1 (zh)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10430894B2 (en) 2013-03-21 2019-10-01 Khoros, Llc Gamification for online social communities
US20210234832A1 (en) * 2014-05-12 2021-07-29 Tocmail Inc Computer Security System and Method Based on User-Intended Final Destination
US20170262279A1 (en) * 2016-03-12 2017-09-14 Wipro Limited Methods and systems for developing user customizable web application frameworks
CN111756815B (zh) 2016-09-19 2023-04-07 网宿科技股份有限公司 302跳转方法、跳转域名生成方法、域名解析方法及系统
US11184318B2 (en) 2016-09-19 2021-11-23 Wangsu Science & Technology Co., Ltd. 302 redirecting method, URL generating method and system, and domain-name resolving method and system
CN106572123A (zh) * 2016-12-30 2017-04-19 哈尔滨安天科技股份有限公司 基于数据重定向的勒索软件防御系统及方法
US10902462B2 (en) 2017-04-28 2021-01-26 Khoros, Llc System and method of providing a platform for managing data content campaign on social networks
US11570128B2 (en) 2017-10-12 2023-01-31 Spredfast, Inc. Optimizing effectiveness of content in electronic messages among a system of networked computing device
US11470161B2 (en) 2018-10-11 2022-10-11 Spredfast, Inc. Native activity tracking using credential and authentication management in scalable data networks
US10785222B2 (en) 2018-10-11 2020-09-22 Spredfast, Inc. Credential and authentication management in scalable data networks
US10999278B2 (en) 2018-10-11 2021-05-04 Spredfast, Inc. Proxied multi-factor authentication using credential and authentication management in scalable data networks
US11050704B2 (en) 2017-10-12 2021-06-29 Spredfast, Inc. Computerized tools to enhance speed and propagation of content in electronic messages among a system of networked computing devices
US10346449B2 (en) 2017-10-12 2019-07-09 Spredfast, Inc. Predicting performance of content and electronic messages among a system of networked computing devices
US10601937B2 (en) 2017-11-22 2020-03-24 Spredfast, Inc. Responsive action prediction based on electronic messages among a system of networked computing devices
US10594773B2 (en) 2018-01-22 2020-03-17 Spredfast, Inc. Temporal optimization of data operations using distributed search and server management
US11061900B2 (en) 2018-01-22 2021-07-13 Spredfast, Inc. Temporal optimization of data operations using distributed search and server management
US10855657B2 (en) 2018-10-11 2020-12-01 Spredfast, Inc. Multiplexed data exchange portal interface in scalable data networks
US10931540B2 (en) 2019-05-15 2021-02-23 Khoros, Llc Continuous data sensing of functional states of networked computing devices to determine efficiency metrics for servicing electronic messages asynchronously
US11438289B2 (en) 2020-09-18 2022-09-06 Khoros, Llc Gesture-based community moderation
US11128589B1 (en) 2020-09-18 2021-09-21 Khoros, Llc Gesture-based community moderation
US12120078B2 (en) 2020-09-18 2024-10-15 Khoros, Llc Automated disposition of a community of electronic messages under moderation using a gesture-based computerized tool
US11924375B2 (en) 2021-10-27 2024-03-05 Khoros, Llc Automated response engine and flow configured to exchange responsive communication data via an omnichannel electronic communication channel independent of data source
US11627100B1 (en) 2021-10-27 2023-04-11 Khoros, Llc Automated response engine implementing a universal data space based on communication interactions via an omnichannel electronic data channel
US11438282B2 (en) 2020-11-06 2022-09-06 Khoros, Llc Synchronicity of electronic messages via a transferred secure messaging channel among a system of various networked computing devices
US11714629B2 (en) 2020-11-19 2023-08-01 Khoros, Llc Software dependency management
US11936511B2 (en) * 2022-05-18 2024-03-19 Dell Products L.P. Payload template generator for an information handling system

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10255445B1 (en) * 2006-11-03 2019-04-09 Jeffrey E. Brinskelle Identifying destinations of sensitive data
US8549157B2 (en) * 2007-04-23 2013-10-01 Mcafee, Inc. Transparent secure socket layer
US8429734B2 (en) 2007-07-31 2013-04-23 Symantec Corporation Method for detecting DNS redirects or fraudulent local certificates for SSL sites in pharming/phishing schemes by remote validation and using a credential manager and recorded certificate attributes
US8645696B2 (en) * 2008-11-26 2014-02-04 Red Hat, Inc. Notifying users of server changes via SSL
US8613072B2 (en) * 2009-02-26 2013-12-17 Microsoft Corporation Redirection of secure data connection requests
US20120174196A1 (en) * 2010-12-30 2012-07-05 Suresh Bhogavilli Active validation for ddos and ssl ddos attacks
US9015469B2 (en) * 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
US20130061281A1 (en) * 2011-09-02 2013-03-07 Barracuda Networks, Inc. System and Web Security Agent Method for Certificate Authority Reputation Enforcement
US9380028B2 (en) * 2011-12-16 2016-06-28 British Telecommunications Plc Proxy server operation
US8738902B2 (en) * 2012-01-27 2014-05-27 Microsoft Corporation Implicit SSL certificate management without server name indication (SNI)
CN102710667B (zh) * 2012-06-25 2015-04-01 杭州华三通信技术有限公司 实现Portal认证服务器防攻击的方法及宽带接入服务器
CN103701760A (zh) * 2012-09-28 2014-04-02 中国电信股份有限公司 无线局域网Portal认证方法、系统及Portal服务器
CN102868758B (zh) * 2012-09-29 2016-12-21 华为技术有限公司 门户推送的方法和网络设备
CN103384993B (zh) * 2012-12-14 2016-10-12 华为技术有限公司 用户设备访问网页的重定向方法、网关以及服务器
CN103051626B (zh) * 2012-12-21 2016-09-28 华为技术有限公司 一种认证方法及网络设备
EP2979420B1 (en) * 2013-03-28 2019-07-03 InterDigital CE Patent Holdings Network system comprising a security management server and a home network, and method for including a device in the network system
US9160718B2 (en) * 2013-05-23 2015-10-13 Iboss, Inc. Selectively performing man in the middle decryption
US9419942B1 (en) * 2013-06-05 2016-08-16 Palo Alto Networks, Inc. Destination domain extraction for secure protocols
EP3105902B1 (en) * 2014-02-14 2018-09-19 British Telecommunications public limited company Methods, apparatus and systems for processing service requests
CN104270405A (zh) * 2014-08-29 2015-01-07 小米科技有限责任公司 基于路由器的联网控制方法及装置
US9930067B1 (en) * 2014-12-18 2018-03-27 Amazon Technologies, Inc. Techniques for secure session reestablishment

Also Published As

Publication number Publication date
WO2016127914A1 (zh) 2016-08-18
US20170366636A1 (en) 2017-12-21
EP3249877A4 (en) 2018-01-17
EP3249877B1 (en) 2018-09-19
CN105991589A (zh) 2016-10-05
EP3249877A1 (en) 2017-11-29
US10721320B2 (en) 2020-07-21

Similar Documents

Publication Publication Date Title
CN105991589B (zh) 一种用于重定向的方法、装置及系统
CN106790194B (zh) 一种基于ssl协议的访问控制方法及装置
CN106211152B (zh) 一种无线接入认证方法及装置
CN104580189B (zh) 一种安全通信系统
KR101708587B1 (ko) 양방향 권한 부여 시스템, 클라이언트 및 방법
CN108235319A (zh) 使得能够进行设备之间的通信
CN105450582B (zh) 业务处理方法、终端、服务器及系统
CN109936547A (zh) 身份认证方法、系统及计算设备
US10693854B2 (en) Method for authenticating a user, corresponding server, communications terminal and programs
CN104580190B (zh) 安全浏览器的实现方法和安全浏览器装置
TWI735429B (zh) 用戶端登錄伺服器端的鑑別方法、裝置、系統及電子設備
US20150149766A1 (en) System and methods for facilitating authentication of an electronic device accessing plurality of mobile applications
CN109150874A (zh) 访问认证方法、装置及认证设备
CN106921636A (zh) 身份认证方法及装置
US9401916B2 (en) Method for providing a user with an authenticated remote access to a remote secure device
US20160241536A1 (en) System and methods for user authentication across multiple domains
CN105991518B (zh) 网络接入认证方法及装置
WO2013080166A1 (en) Mutually authenticated communication
CN110401641A (zh) 用户认证方法、装置、电子设备
CN105516066B (zh) 一种对中间人的存在进行辨识的方法及装置
CN110024347A (zh) 安全构建网络结构
CN109905474A (zh) 基于区块链的数据安全共享方法和装置
CN108259457A (zh) 一种web认证方法及装置
JP2018097867A (ja) 多重アカウント統合管理システム及び方法
US20240056483A1 (en) Server-initiated secure sessions

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant