CN106131090B - 一种web认证下的用户访问网络的方法和系统 - Google Patents

一种web认证下的用户访问网络的方法和系统 Download PDF

Info

Publication number
CN106131090B
CN106131090B CN201610796439.9A CN201610796439A CN106131090B CN 106131090 B CN106131090 B CN 106131090B CN 201610796439 A CN201610796439 A CN 201610796439A CN 106131090 B CN106131090 B CN 106131090B
Authority
CN
China
Prior art keywords
user
web authentication
white list
driver
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201610796439.9A
Other languages
English (en)
Other versions
CN106131090A (zh
Inventor
刘培
万民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xingyun Micro Technology Co ltd
Beijing Leading Soft Technology Co ltd
Original Assignee
Beijing Xingyun Micro Technology Co ltd
Beijing Leading Soft Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Xingyun Micro Technology Co ltd, Beijing Leading Soft Technology Co ltd filed Critical Beijing Xingyun Micro Technology Co ltd
Priority to CN201610796439.9A priority Critical patent/CN106131090B/zh
Publication of CN106131090A publication Critical patent/CN106131090A/zh
Application granted granted Critical
Publication of CN106131090B publication Critical patent/CN106131090B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种web认证下的用户访问网络的方法和系统,基于网络驱动程序接口规范NDIS写入驱动程序,所述驱动程序用于:捕获用户请求web认证的网络数据包;解析所述网络数据包,获取所述用户的源IP地址;判断所述用户的源IP地址是否在放行的白名单中;若在,则在web认证有效时间到期后仍然放行所述用户访问,若不在,则在web认证有效时间到期后拒绝所述用户访问。能够拦截较为底层的数据包,数据包的拦截率比较高,能够拦截几乎所有的数据包,因此具有较高的安全系数。

Description

一种web认证下的用户访问网络的方法和系统
技术领域
本发明涉及通信技术领域,尤其涉及一种web认证下的用户访问网络的方法和系统。
背景技术
在现有技术中对于用户访问网络时,访问数据包的截获以及解析主要基于传输驱动程序接口TDI(Trandport Driver Interface)建立过滤驱动程序。TDI是指Windows系统中所使用的各种运输层协议与应用层的接发数据包软件之间的接口层。工作在传输层的过滤驱动程序可以通过创建新的设备对象,直接关联到已有的网络层驱动程序之上,这时应用程序或者其它驱动程序可以通过使用这个设备对象,首先映射到传输层中自定义的过滤驱动中,继而由该驱动传递给原本来的设备对象。
在开发TDI过滤驱动时,可以用IoAttachDeviceToDeviceStack或IoAttachDevice函数将自己所开发的驱动直接挂载在TCP/IP协议驱动程序的上面。当Windows系统中的应用程序要同底层驱动进行通信,需要调用通信相关的API函数,系统会根据所调用的不同的API函数产生各自的IRP请求,因此TDI过滤驱动程序可以通过截获IRP请求,继而通过对IRP的处理从而实现数据包的拦截与分析过滤的功能。这种方法优点是可以得到到与驱动程序进行通信的应用程序进程的具体信息。缺点是传输层过滤驱动位于TCP/IP协议之上,所以无法截获那些能够通过TCP/IP直接进行处理的网络封包,而且必须重新启动Windows操作性,自定义的传输层过滤驱动才能生效。
发明内容
本发明的实施例提供了一种web认证下的用户访问网络的方法和系统,本发明提供了如下方案:
基于网络驱动程序接口规范NDIS写入驱动程序,所述驱动程序用于:
捕获用户请求web认证的网络数据包;
解析所述网络数据包,获取所述用户的源IP地址;
判断所述用户的源IP地址是否在放行的白名单中;
若在,则在web认证有效时间到期后仍然放行所述用户访问,
若不在,则在web认证有效时间到期后拒绝所述用户访问。
根据本发明的上述方法,所述驱动程序用于:
对通过web认证的用户,在web认证有效时间内允许所述用户访问网络。
根据本发明的上述方法,所述驱动程序在用于捕获用户请求web认证的网络数据包之前,还用于:
下载并加载最新版本的放行白名单数据包,并解析生成IP地址集合的放行白名单。
根据本发明的上述方法,所述驱动程序在下载并加载最新版本的放行白名单数据包之前,还用于:
将更新的最新版本的放行白名单上传至服务器。
根据本发明的上述方法,所述驱动程序还用于:
对于不在所述放行白名单中的IP地址,生成审计信息并上传至服务器。
根据本发明的另一方面,还提供一种web认证下的用户访问网络的系统,包括:驱动模块,其运行基于网络驱动程序接口规范NDIS写入的驱动程序,所述驱动模块包括:
捕获组件:其用于捕获用户请求web认证的网络数据包;
解析组件:其用于解析所述网络数据包,获取所述用户的源IP地址;
判断组件:其用于判断所述用户的源IP地址是否在放行的白名单中;
执行组件:其用于当所述数据包中的源IP地址在放行的白名单中,则在web认证有效时间到期后仍然放行所述用户访问,
当所述数据包中的源IP地址不在放行的白名单中,则在web认证有效时间到期后拒绝所述用户访问。
根据本发明的另一方面,所述驱动模块,还包括认证组件,其用于:
对通过web认证的用户,在web认证有效时间内允许所述用户访问网络。
根据本发明的另一方面,所述驱动模块,还包括下载组件,其用于:在用于捕获用户请求web认证的网络数据包之前,下载并加载最新版本的放行白名单数据包,并解析生成IP地址集合的放行白名单。
根据本发明的另一方面,所述驱动模块,还包括上传组件,其用于在下载并加载最新版本的放行白名单数据包之前,将更新的最新版本的放行白名单上传至服务器。
根据本发明的另一方面,所述上传组件还用于:对于不在所述放行白名单中的IP地址,生成审计信息并上传至服务器。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例基于网络驱动程序接口规范NDIS写入驱动程序,所述驱动程序用于:捕获用户请求web认证的网络数据包;解析所述网络数据包,获取所述用户的源IP地址;判断所述用户的源IP地址是否在放行的白名单中;若在,则在web认证有效时间到期后仍然放行所述用户访问,若不在,则在web认证有效时间到期后拒绝所述用户访问。能够拦截较为底层的数据包,数据包的拦截率比较高,能够拦截几乎所有的数据包,因此具有较高的安全系数。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种web认证下的用户访问网络的方法的处理流程图;
图2为发明实施例二提供的一种web认证下的用户访问网络的系统的系统模块图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
该实施例提供了一种web认证下的用户访问网络的方法的处理流程如图1所示,其基于网络驱动程序接口规范NDIS写入驱动程序,具体包括如下步骤:
步骤11、捕获用户请求web认证的网络数据包;
本实施例中采用如下语句实现网络数据包捕获,具体地,
string strUrl=NCSI_TEXT_URL,strResponse="";
httpclient->Get(strUrl,strResponse);
步骤12、解析所述网络数据包,获取所述用户的源IP地址;
CURLcode res;
CURL*curl=curl_easy_init();
if(NULL==curl)
{
return CURLE_FAILED_INIT;
}
curl_easy_setopt(curl,CURLOPT_URL,strUrl.c_str());
curl_easy_setopt(curl,CURLOPT_CONNECTTIMEOUT,3);
curl_easy_setopt(curl,CURLOPT_TIMEOUT,3);
res=curl_easy_perform(curl);
char*redirect_url={0};
curl_easy_setopt(curl,CURLOPT_FOLLOWLOCATION,1);//设置获取用户的源IP地址;
其中,CURLOPT_FOLLOWLOCATION,设置WEB认证的重定位URL;1设置这个选项为一个非零值(象“Location:“)的头,把它当做HTTP头的一部分发送
res=curl_easy_getinfo(curl,CURLINFO_REDIRECT_URL,&redirect_url);
//获取用户的源IP地址
strLocation=redirect_url;
curl_easy_cleanup(curl);
return res;
步骤13、判断所述用户的源IP地址是否在放行的白名单中;
Figure BDA0001106659280000051
步骤14、若在,则在web认证有效时间到期后仍然放行所述用户访问,
若不在,则在web认证有效时间到期后拒绝所述用户访问。
Figure BDA0001106659280000061
所述驱动程序用于:
对通过web认证的用户,在web认证有效时间内允许所述用户访问网络。
所述驱动程序在用于捕获用户请求web认证的网络数据包之前,还用于:
下载并加载最新版本的放行白名单数据包,并解析生成IP地址集合的放行白名单。
所述驱动程序在下载并加载最新版本的放行白名单数据包之前,还用于:
将更新的最新版本的放行白名单上传至服务器。
所述驱动程序还用于:
对于不在所述放行白名单中的IP地址,生成审计信息并上传至服务器。
实施例二
该实施例提供了一种web认证下的用户访问网络的系统,其具体实现结构如图2所示,包括:驱动模块20,其运行基于网络驱动程序接口规范NDIS写入的驱动程序,所述驱动模块包括:
捕获组件23:其用于捕获用户请求web认证的网络数据包;
解析组件24:其用于解析所述网络数据包,获取所述用户的源IP地址;
判断组件25:其用于判断所述用户的源IP地址是否在放行的白名单中;
执行组件26:其用于当所述数据包中的源IP地址在放行的白名单中,则在web认证有效时间到期后仍然放行所述用户访问,
当所述数据包中的源IP地址不在放行的白名单中,则在web认证有效时间到期后拒绝所述用户访问。
本实施例的一种web认证下的用户访问网络的系统,所述驱动模块20,还包括认证组件21,其用于:
对通过web认证的用户,在web认证有效时间内允许所述用户访问网络。
本实施例的一种web认证下的用户访问网络的系统,所述驱动模块20,还包括下载组件22,其用于:在用于捕获用户请求web认证的网络数据包之前,下载并加载最新版本的放行白名单数据包,并解析生成IP地址集合的放行白名单。
本实施例的一种web认证下的用户访问网络的系统,所述驱动模块20,还包括上传组件27,其用于在下载并加载最新版本的放行白名单数据包之前,将更新的最新版本的放行白名单上传至服务器。
本实施例的一种web认证下的用户访问网络的系统,所述上传组件27还用于:对于不在所述放行白名单中的IP地址,生成审计信息并上传至服务器。
用本发明实施例的系统进行web认证下的用户访问网络的具体过程与前述方法实施例类似,此处不再赘述。
综上所述,本发明实施例通过基于网络驱动程序接口规范NDIS写入驱动程序,所述驱动程序用于:捕获用户请求web认证的网络数据包;解析所述网络数据包,获取所述用户的源IP地址;判断所述用户的源IP地址是否在放行的白名单中;若在,则在web认证有效时间到期后仍然放行所述用户访问,若不在,则在web认证有效时间到期后拒绝所述用户访问。能够拦截较为底层的数据包,数据包的拦截率比较高,能够拦截几乎所有的数据包,因此具有较高的安全系数。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种web认证下的用户访问网络的方法,其特征在于,基于网络驱动程序接口规范NDIS写入驱动程序,所述驱动程序用于:
捕获用户请求web认证的网络数据包;
解析所述网络数据包,获取所述用户的源IP地址;
判断所述用户的源IP地址是否在放行的白名单中;
若在,则在web认证有效时间到期后仍然放行所述用户访问,
若不在,则在web认证有效时间到期后拒绝所述用户访问。
2.根据权利要求1所述的一种web认证下的用户访问网络的方法,其特征在于,所述驱动程序用于:
对通过web认证的用户,在web认证有效时间内允许所述用户访问网络。
3.根据权利要求1所述的一种web认证下的用户访问网络的方法,其特征在于,所述驱动程序在用于捕获用户请求web认证的网络数据包之前,还用于:
下载并加载最新版本的放行白名单数据包,并解析生成IP地址集合的放行白名单。
4.根据权利要求3所述的一种web认证下的用户访问网络的方法,其特征在于,所述驱动程序在下载并加载最新版本的放行白名单数据包之前,还用于:
将更新的最新版本的放行白名单上传至服务器。
5.根据权利要求4所述的一种web认证下的用户访问网络的方法,其特征在于,所述驱动程序还用于:
对于不在所述放行白名单中的IP地址,生成审计信息并上传至服务器。
6.一种web认证下的用户访问网络的系统,其特征在于,包括:驱动模块,其运行基于网络驱动程序接口规范NDIS写入的驱动程序,所述驱动模块包括:
捕获组件:其用于捕获用户请求web认证的网络数据包;
解析组件:其用于解析所述网络数据包,获取所述用户的源IP地址;
判断组件:其用于判断所述用户的源IP地址是否在放行的白名单中;
执行组件:其用于当所述数据包中的源IP地址在放行的白名单中,则在web认证有效时间到期后仍然放行所述用户访问,
当所述数据包中的源IP地址不在放行的白名单中,则在web认证有效时间到期后拒绝所述用户访问。
7.根据权利要求6所述的一种web认证下的用户访问网络的系统,其特征在于,所述驱动模块,还包括认证组件,其用于:
对通过web认证的用户,在web认证有效时间内允许所述用户访问网络。
8.根据权利要求6所述的一种web认证下的用户访问网络的系统,其特征在于,所述驱动模块,还包括下载组件,其用于:在用于捕获用户请求web认证的网络数据包之前,下载并加载最新版本的放行白名单数据包,并解析生成IP地址集合的放行白名单。
9.根据权利要求8所述的一种web认证下的用户访问网络的系统,其特征在于,所述驱动模块,还包括上传组件,其用于在下载并加载最新版本的放行白名单数据包之前,将更新的最新版本的放行白名单上传至服务器。
10.根据权利要求9所述的一种web认证下的用户访问网络的系统,其特征在于,所述上传组件还用于:对于不在所述放行白名单中的IP地址,生成审计信息并上传至服务器。
CN201610796439.9A 2016-08-31 2016-08-31 一种web认证下的用户访问网络的方法和系统 Expired - Fee Related CN106131090B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610796439.9A CN106131090B (zh) 2016-08-31 2016-08-31 一种web认证下的用户访问网络的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610796439.9A CN106131090B (zh) 2016-08-31 2016-08-31 一种web认证下的用户访问网络的方法和系统

Publications (2)

Publication Number Publication Date
CN106131090A CN106131090A (zh) 2016-11-16
CN106131090B true CN106131090B (zh) 2021-11-09

Family

ID=57271453

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610796439.9A Expired - Fee Related CN106131090B (zh) 2016-08-31 2016-08-31 一种web认证下的用户访问网络的方法和系统

Country Status (1)

Country Link
CN (1) CN106131090B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109246704A (zh) 2018-08-27 2019-01-18 北京智芯微电子科技有限公司 用于远程连接的安全审计系统及方法
CN110098975B (zh) * 2019-04-03 2021-03-30 新浪网技术(中国)有限公司 用户通过虚拟专用网络访问互联网的检测方法及系统
CN110351259A (zh) * 2019-06-28 2019-10-18 深圳数位传媒科技有限公司 一种基于网络抓包获取app认证信息的方法及装置
CN111245858A (zh) * 2020-01-19 2020-06-05 世纪龙信息网络有限责任公司 网络流量拦截方法、系统、装置、计算机设备和存储介质
CN111770097B (zh) * 2020-06-29 2021-04-23 中国科学院计算技术研究所 一种基于白名单的内容锁防火墙方法及系统
CN115065397A (zh) * 2022-05-18 2022-09-16 亚太卫星宽带通信(深圳)有限公司 无移动网络下的使用半开放卫星网络支付的系统及方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8996603B2 (en) * 2004-09-16 2015-03-31 Cisco Technology, Inc. Method and apparatus for user domain based white lists
US9674145B2 (en) * 2005-09-06 2017-06-06 Daniel Chien Evaluating a questionable network communication
CN101631026A (zh) * 2008-07-18 2010-01-20 北京启明星辰信息技术股份有限公司 一种防御拒绝服务攻击的方法及装置
CN101616076B (zh) * 2009-07-28 2013-01-23 武汉理工大学 一种基于用户连接信息的细粒度网络访问控制方法
CN102469075A (zh) * 2010-11-09 2012-05-23 中科正阳信息安全技术有限公司 一种基于web单点登录的集成认证方法
CN102088462A (zh) * 2011-01-09 2011-06-08 浙江大学 一种保护用户隐私的传感器网络分布式访问控制方法
WO2012140308A1 (en) * 2011-04-13 2012-10-18 Nokia Corporation Method and apparatus for identity based ticketing
CN102916983B (zh) * 2012-11-22 2015-08-05 北京奇虎科技有限公司 网络访问行为的防护系统
CN102932375B (zh) * 2012-11-22 2015-10-07 北京奇虎科技有限公司 网络访问行为的防护方法和装置
US10108788B2 (en) * 2013-09-10 2018-10-23 Netflix, Inc. Fast-expiring licenses used to speculatively authorize access to streaming media content

Also Published As

Publication number Publication date
CN106131090A (zh) 2016-11-16

Similar Documents

Publication Publication Date Title
CN106131090B (zh) 一种web认证下的用户访问网络的方法和系统
US9787700B1 (en) System and method for offloading packet processing and static analysis operations
CN109218368B (zh) 实现Http反向代理的方法、装置、电子设备和可读介质
JP2004507908A5 (zh)
CN109413219B (zh) 一种域名解析方法和装置、服务器及存储介质
CN105635073B (zh) 访问控制方法、装置和网络接入设备
CN101488965B (zh) 一种域名过滤系统及方法
CN101977224A (zh) 一种基于SSL VPN设备的Web资源认证信息管理方法
US10154007B1 (en) Enterprise cloud access control and network access control policy using risk based blocking
EP2820582B1 (en) Network service interface analysis
US9357394B1 (en) System and method for selecting means for intercepting network transmissions
US11516279B2 (en) Systems and methods for accessing multiple resources via one identifier
CN111818034A (zh) 网络访问控制方法、装置、电子设备和介质
US20200228498A1 (en) Message Processing Method, Electronic Device, and Readable Storage Medium
CN104811507A (zh) 一种ip地址获取方法及装置
CN109698832B (zh) 快速提供Portal认证、快速弹出Portal认证页面的方法及相关设备
WO2020224108A1 (zh) Url拦截转换方法、装置以及计算机设备
CN109361712B (zh) 一种信息处理方法及信息处理装置
US9191392B2 (en) Security configuration
US9413553B2 (en) Network access control based on risk factor
US20190068684A1 (en) Bidirectional data exchange
KR101511474B1 (ko) 에이전트 프로그램을 이용한 인터넷 접속 차단 방법
EP2226988A1 (en) Method for accessing to local resources of a client terminal in a client/server architecture
JP2003316743A (ja) ネットワークアクセス方法およびクライアント
CN104253797A (zh) 蠕虫病毒的识别方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20211109

CF01 Termination of patent right due to non-payment of annual fee