一种网络访问的实现方法及系统
技术领域
本发明涉及通信技术领域,尤其涉及一种网络访问的实现方法及系统。
背景技术
HTTPS(全称:HyperTextTransferProtocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI scheme(抽象标识符体系),句法类同http体系。用于安全的HTTP数据传输。
WLAN产品在互联网环境连通的情况下,WLAN面向的是非固定的接入用户很多,出于安全考虑,WLAN产品都要实现认证功能。当前互联网的服务器以HTTPS形式的越来越多,在WLAN产品中实现截取HTTPS页面进行认证是大势所趋,在目前的WLAN产品中,实现的HTTPS认证方式,经常出现认证成功后,不能访问或暂时性不能访问HTTPS服务的现象。
现有技术中,当终端在认证通过后发现仍然不能上网,则断开终端当前的会话连接,重新发起与访问网站服务器的握手,建立会话连接后即可成功访问该网站。但由于终端从发现不能上网需要一个等待时间,等待网站服务器一段时间没有回应后才能判定断开终端当前会话连接,这个等待时间会让用户体验感差,不能实现用户无感知上网。
发明内容
本发明提供一种网络访问的实现方法及系统,克服了现有技术中存在终端通过认证后暂时性不能访问互联网络的缺点。
本发明提供一种网络访问的实现方法,包括:
S100获取所述终端发送的握手报文,判断所述终端是否通过了portal认证,若是,则进入步骤S500,否则进入步骤S200;
S200建立与终端基于HTTPS协议的会话连接;
S300重定向portal认证页面给所述终端,以便所述终端进行portal认证;
S400当所述终端portal认证成功,断开与所述终端的会话连接;
S500转发所述终端发送的握手报文至网络服务器,以便所述终端与所述网络服务器建立会话连接,实现网络访问。
进一步地,所述步骤S200包括:
S210通过三次握手与所述终端建立会话连接;
S220接收所述终端发送的HTTPS请求报文,确立与所述终端加密传输数据的密码信息。
三次握手(three times handshake;three-wayhandshake)所谓的“三次握手”即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系,并建立虚连接。
进一步地,所述步骤S300包括:
S310向所述终端发送重定向报文,以便所述终端根据重定向报文,打开portal认证界面,发送portal认证请求报文;
S320将所述终端发送portal认证请求报文转发给portal认证服务器,便于所述portal认证服务器进行认证。
进一步地,所述步骤S400包括:
S410当接收到所述portal认证服务器下发的终端认证成功的报文时,断开与所述终端的会话连接。
进一步地,所述步骤S210包括:
S211截获所述终端发起的握手报文;
S212向所述终端回应确认报文;
S213接收所述终端反馈的确认报文,建立与所述终端的会话连接。
进一步地,所述步骤S500包括步骤:
S510当终端接收到portal认证服务器下发的认证成功的报文后,转发所述终端重新发起的握手报文至网络服务器,便于所述终端与所述网络服务器建立基于HTTPS协议的会话连接,实现网络访问。
另一方面,本发明还提供一种网络访问的实现系统,包括:终端、网络设备、portal认证服务器及网络服务器;其中:所述网络设备获取所述终端发送的握手报文,判断所述终端是否通过了portal认证,若否,则所述网络设备建立与所述终端基于HTTPS协议的会话连接,并通过所述portal认证服务器认证所述终端成功后断开与所述终端的会话连接;当所述终端通过了portal认证,则转发所述终端发送的握手报文至网络服务器,以便所述终端与所述网络服务器建立会话连接,实现网络访问。
进一步地,所述网络设备包括:转发模块、HTTPS认证处理模块;其中,所述转发模块用于转发所述终端发送的报文;当所述转发模块判断发送报文的终端未通过portal认证时,所述转发模块将所述终端发送的报文上报给所述HTTPS认证处理模块进行处理,并通过所述portal认证服务器对所述终端进行portal认证;当所述转发模块判断发送报文的终端通过了portal认证时,所述转发模块将所述终端发送的报文转发给所述网络服务器。
进一步地,所述网络设备与所述终端建立基于HTTPS的会话连接包括:所述终端向所述网络服务器发起握手报文;所述转发模块截获所述握手报文,并将所述握手报文转发给所述HTTPS认证处理模块;所述HTTPS认证处理模块与所述终端通过三次握手建立会话连接;所述终端发起HTTPS请求报文,所述转发模块将所述终端发送的HTTPS请求报文转发给所述HTTPS认证处理模块;所述认证处理模块接收所述终端发送的HTTPS请求报文,确立双方加密传输数据的密码信息。
进一步地,所述网络设备通过所述portal认证服务器认证所述终端成功后断开与所述终端的会话连接包括:所述HTTPS认证处理模块向所述终端发送重定向报文;所述终端根据所述重定向报文,打开portal认证页面,发送portal认证请求报文;所述转发模块将所述portal认证请求报文发送给所述portal认证服务器;所述portal认证服务器根据所述portal认证请求报文中的用户信息对所述终端进行认证;当所述终端通过了portal认证,所述portal认证服务器下发所述认证成功的报文给所述转发模块;所述转发模块通知所述HTTPS认证处理模块结束与所述终端的会话;所述HTTPS认证处理模块断开与所述终端的会话连接;所述portal认证服务器下发所述认证成功的报文给所述终端;所述终端接收到认证成功的报文后,重新发起握手报文。
本发明中,当终端portal认证成功后,WLAN设备对当前建立的HTTPS会话连接进行主动断开,这样当终端向网络服务器访问HTTPS业务时,终端会和网络服务器建立新的会话。由于WLAN设备的及时主动断开,因此用户在认证通过后即可实现无感知上网,增强了用户体验。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一的网络访问的实现方法流程图;
图2为本发明实施例二的网络访问的实现方法流程图;
图3为本发明实施例三的网络访问的实现系统框图;
图4为本发明实施例四的网络访问的实现系统示意图;
图5为本发明实施例五中的现有技术中网络访问认证流程示意图;
图6为本发明实施例五中本发明网络访问的实现系统认证流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明公开了一种网络访问的实现方法,实施例一如图1所示,包括:
S100获取所述终端发送的握手报文,判断所述终端是否通过了portal认证,若是,则进入步骤S500,否则进入步骤S200;
S200建立与终端基于HTTPS协议的会话连接;
S300重定向portal认证页面给所述终端,以便所述终端进行portal认证;
S400当所述终端portal认证成功,断开与所述终端的会话连接;
S500转发所述终端发送的握手报文至网络服务器,以便所述终端与所述网络服务器建立会话连接,实现网络访问。
WLAN设备在互联网环境连通的情况下,可能接入的终端用户很多,出于安全考虑,WLAN设备都会要求接入的终端进行认证,目前基本都是portal认证。因此,接入WLAN设备的终端用户如果想访问A网站,它会先发送一个握手报文,试图与该A网站的服务器建立会话连接,该握手报文经过WLAN设备转发时,会先对发送该报文的终端用户进行判断,看发送该握手报文的终端用户是否通过了portal认证,如果通过了portal认证的话,则直接中转给A网站的服务器,让A网站的服务器与终端建立会话连接,便于终端访问网络。而如果该终端用户没有通过portal认证,那么该WLAN设备就会拦截下该终端的握手报文,以A网站服务器的名义建立与该终端的会话连接,然后向该终端推送重定向报文,终端用户打开认证页面,填写用户信息后发送认证请求;WLAN设备接收到该认证请求后,转发给portal认证服务器进行认证,如果认证成功的话,portal认证服务器会下发一个认证成功的报文给WLAN设备,WLAN设备在收到该认证成功的报文后,主动断开与该终端的会话连接,对于该终端后面再发起的报文只进行相应的转发,不再拦截处理。
现有技术中,由于终端与WLAN设备建立了会话连接(WLAN设备拦截了终端的握手报文,以该网站服务器的名义进行回应与终端建立会话连接),通过认证后没有断开的话,终端就无法再与网站服务器建立会话,因此访问该网站也不会有回应,无法访问网络。只有等一段时间没有回应后,终端判定断开当前会话连接,重新发起与该网站的握手,与该网站握手成功后才能访问该网站。由于终端在判定之前需要一个等待时间,这会降低用户的体验,无法实现用户无感知上网。相对于现有技术,本实施例中的WLAN设备在终端通过认证后主动结束与终端的会话连接,让终端可以与相要访问的网站的服务器建立会话连接,因此不会出现无法访问的问题,真正实现了用户无感知上网的良好体验。
上述实施例一中,所述步骤S200包括:
S210通过三次握手与所述终端建立会话连接;
S220接收所述终端发送的HTTPS请求报文,确立与所述终端加密传输数据的密码信息。
三次握手的过程,以A端和B端通过三次握手建立会话连接为例:
第一次握手:建立连接时,A端发送syn包(syn=j)到B端,并进入SYN_SENT状态,等待B端确认;SYN:同步序列编号(Synchronize Sequence Numbers)。
第二次握手:B端收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时B端进入SYN_RECV状态;
第三次握手:A端收到服务器的SYN+ACK包,向B端发送确认包ACK(ack=k+1),此包发送完毕,A端和B端进入ESTABLISHED(TCP连接成功)状态,完成三次握手。
完成三次握手,A端与B端开始传送数据。因此,较佳的,所述步骤S210包括:
S211截获所述终端发起的握手报文;
S212向所述终端回应确认报文;
S213接收所述终端反馈的确认报文,建立与所述终端的会话连接。
完成三次握手后,由于使用HTTPS协议传输数据更为安全,HTTPS在传输数据之前双方之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。这样的话,传输的数据都是加密后的密文,保证了数据传输的安全性。
上述实施例一中,所述步骤S300包括:
S310向所述终端发送重定向报文,以便所述终端根据重定向报文,打开portal认证界面,发送portal认证请求报文;
S320将所述终端发送portal认证请求报文转发给portal认证服务器,便于所述portal认证服务器进行认证。
由于终端还没有通过portal认证,因此,终端与WLAN设备建立会话连接并确认了传输数据采用的密码信息后,则会给终端发送一个重定向报文,重定向至portal认证页面,终端用户在认证页面上填写用户信息提交认证请求,portal认证服务器根据WLAN设备转发的认证信息进行认证,并将认证结果进行下发。
具体的,上述实施例一中,所述步骤S400包括:
S410当接收到所述portal认证服务器下发的终端认证成功的报文时,断开与所述终端的会话连接。
Portal认证服务器认证终端后,会下发认证结果给WLAN设备,如果认证通过,那么WLAN设备就会主动结束与终端的会话连接。
上述实施例一中,所述步骤S500包括:
S510当终端接收到portal认证服务器下发的认证成功的报文后,转发所述终端重新发起的握手报文至网络服务器,便于所述终端与所述网络服务器建立基于HTTPS协议的会话连接,实现网络访问。
Portal认证服务器下发给认证成功的报文给WLAN设备后,便于WLAN设备及时断开与终端的会话连接;然后Portal认证服务器也会下发认证成功的报文给终端,终端接收到认证成功的报文后,便可以重新发起访问请求,该终端由于已经断开了与WLAN设备的会话连接且通过了认证,因此WLAN设备不会再拦截该访问请求,而是直接中转给相应的网络服务器。
本发明的实施例二,如图2所示,包括步骤:
S100获取所述终端发送的握手报文,判断所述终端是否通过了portal认证,若是,则进入步骤S510,否则进入步骤S210;
S210通过三次握手与所述终端建立会话连接;
S220接收所述终端发送的HTTPS请求报文,确立与所述终端加密传输数据的密码信息。
S310向所述终端发送重定向报文,以便所述终端根据重定向报文,打开portal认证界面,发送portal认证请求报文;
S320将所述终端发送portal认证请求报文转发给portal认证服务器,便于所述portal认证服务器进行认证。
S410当接收到所述portal认证服务器下发的终端认证成功的报文时,断开与所述终端的会话连接。
S510当终端接收到portal认证服务器下发的认证成功的报文后,转发所述终端重新发起的握手报文至网络服务器,便于所述终端与所述网络服务器建立基于HTTPS协议的会话连接,实现网络访问。
基于相同的技术构思,本发明实施例还提供一种网络访问的实现系统,该系统可执行上述方法实施例。本发明实施例三网络访问的实现系统如图3所示,包括:终端10、网络设备20、portal认证服务器30及网络服务器40;其中:
所述网络设备20获取所述终端10发送的握手报文,判断所述终端10是否通过了portal认证,若否,则所述网络设备20建立与所述终端10基于HTTPS协议的会话连接,并通过所述portal认证服务器30认证所述终端10成功后断开与所述终端10的会话连接;
当所述终端10通过了portal认证,则转发所述终端10发送的握手报文至网络服务器40,以便所述终端10与所述网络服务器40建立会话连接,实现网络访问。
本发明实施例四的系统示意图如图4所示,在上述实施例三的基础上,所述网络设备包括:转发模块、HTTPS认证处理模块;其中,所述转发模块用于转发所述终端发送的报文;当所述转发模块判断发送报文的终端未通过portal认证时,所述转发模块将所述终端发送的报文上报给所述HTTPS认证处理模块进行处理,并通过所述portal认证服务器对所述终端进行portal认证;当所述转发模块判断发送报文的终端通过了portal认证时,所述转发模块将所述终端发送的报文转发给所述网络服务器。
本发明的实施例五,通过对比现有认证流程与本发明系统的认证流程来进一步说明,具体的,现有认证流程如图5所示,终端与HTTPS认证处理模块通过三次握手建立了会话连接,但认证成功后,终端如果没有及时断开与HTTPS认证处理模块的会话连接就去访问互联网,由于网络服务器没有与该终端建立会话连接,因此不会回应该终端的访问请求,终端也就会出现暂时上不了网的情况,只有当终端断开了当前会话连接,重新与网络服务器握手后才能上网。比如,比如用户用手机访问新浪网,原本要与新浪网服务器的三次握手报文被HTTPS认证处理模块拦截,HTTPS认证处理模块以新浪网服务器的名义回应了手机的握手报文,从而建立了与手机的会话连接,后面即使手机用户认证通过了,用手机访问新浪网也不会得到回应。现有技术中是一段时间没有回应后,终端会判定为断开与新浪网(实际为与HTTPS认证处理模块)的连接,这样就会重新三次握手,由于手机用户已通过了认证,因此,转发模块转发握手报文给新浪网服务器,手机与新浪网服务器握手成功即可以访问新浪网。虽然,现有技术最终也实现了访问网络,但是由于等待判定时间的存在,使得用户体验差,且在这个等待判定时间内用户也无法上网,无法解决用户暂时无法上网的问题。
同样的以用户通过手机访问新浪网为例,本发明中原本要与新浪网服务器的三次握手报文同样通过转发模块被HTTPS认证处理模块拦截,HTTPS认证处理模块以新浪网服务器的名义回应了手机的握手报文,从而建立了与手机的会话连接,portal服务器认证手机用户通过后,会将认证成功的报文首先会到达转发模块,转发模块收到认证成功的报文后,立即通知HTTPS认证处理模块断开与手机的会话连接,于是HTTPS认证处理模块主动断开与手机的会话连接,因此,手机在获得认证通过的报文后,可以重新发起握手,与新浪网服务器建立会话连接,实现网络访问。
而本发明的认证流程如图6所示,当认证成功,需要切换HTTPS报文处理方式时,WLAN设备对当前建立的HTTPS会话连接进行主动断开,这样当终端访问新的HTTPS业务时,终端会和网络服务器通过握手建立新的会话。
从图上可以看出本发明的系统执行认证流程实现网络访问的步骤如下:
所述终端向所述网络服务器发起握手报文;
所述转发模块截获所述握手报文,并将所述握手报文转发给所述HTTPS认证处理模块;
所述HTTPS认证处理模块与所述终端通过三次握手建立会话连接;
所述终端发起HTTPS请求报文,所述转发模块将所述终端发送的HTTPS请求报文转发给所述HTTPS认证处理模块;所述认证处理模块接收所述终端发送的HTTPS请求报文,确立双方加密传输数据的密码信息;
所述HTTPS认证处理模块向所述终端发送重定向报文;
所述终端根据所述重定向报文,打开portal认证页面,发送portal认证请求报文;
所述转发模块将所述portal认证请求报文发送给所述portal认证服务器;
所述portal认证服务器根据所述portal认证请求报文中的用户信息对所述终端进行认证;
当所述终端通过了portal认证,所述portal认证服务器下发所述认证成功的报文给所述转发模块;
所述转发模块通知所述HTTPS认证处理模块结束与所述终端的会话;
所述HTTPS认证处理模块断开与所述终端的会话连接;
所述portal认证服务器下发所述认证成功的报文给所述终端;
所述终端接收到认证成功的报文后,重新发起握手报文,与网络服务器建立会话后访问网络。
在当前的WLAN产品中,实现对HTTPS页面进行截取认证方式时,因为HTTPS业务基于TCP层,是有连接的,在目前的HTTPS认证方案中,当用户发起三次握手时,WLAN产品会对三次握手的报文进行截获,WLAN产品本地会与用户实现交互,以便用户后续的HTTPS请求报文能正常发出,WLAN产品截获到会通过认证处理模块,来对用户进行弹出页面认证,当用户认证通过后,转发层面会对后续报文不再进行截获,而是上行转发到互联网进行正常访问,但HTTPS认证处理模块和终端是有会话连接的,如果在认证成功后没有及时断开连接,由于终端没有和互联网的服务器建立连接,当终端真正去访问服务器时,服务器因为没有建立和终端的会话,不会对终端的请求进行回应,终端会出现不能访问服务器的问题。且由于中转模块在接收到portal认证服务器下发的认证成功的报文后,会即刻通知HTTPS认证处理模块断开与终端的会话连接,因此,等portal认证服务器再下发认证成功的报文给终端后,终端与HTTPS认证处理模块的会话连接已经断开了,因此不会影响终端重新与网络服务器握手,建立会话连接实现网络访问。
HTTPS报文流程如下:
认证成功前,WLAN产品内部会截获HTTPS报文,上送HTTPS认证处理模块进行处理。
认证成功后,WLAN产品只对HTTPS报文进行转发,不处理。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。