CN107786502A - 一种认证代理方法、装置和设备 - Google Patents
一种认证代理方法、装置和设备 Download PDFInfo
- Publication number
- CN107786502A CN107786502A CN201610729155.8A CN201610729155A CN107786502A CN 107786502 A CN107786502 A CN 107786502A CN 201610729155 A CN201610729155 A CN 201610729155A CN 107786502 A CN107786502 A CN 107786502A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- sent
- authentication
- message
- authenticating device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种认证代理方法、装置和设备。该方法包括:截获第一认证设备向用户终端发送的重定向消息;修改重定向消息并发送给用户终端;其中,将重定向消息中用于重定向的地址修改为代理设备的地址;接收用户终端根据修改后的重定向消息发送的认证信息;根据认证信息代理所述用户终端进行认证。本发明将重定向消息修改为重定向到代理设备,由代理设备作为用户终端的代理,负责代理用户终端进行认证,减少了用户终端和第一认证设备以及第二认证设备之间的交互,有效降低了认证时延,缩短了认证时长,提高了认证效率,提升用户体验效果。
Description
技术领域
本发明涉及认证技术领域,特别是涉及一种认证代理方法、装置和设备。
背景技术
AAA认证用于提供安全服务,AAA认证包括:认证(Authentication)、授权(Authorization)和计费(Accounting)。认证是对用户的身份进行验证,判断用户是否为合法用户;授权是授权通过认证的用户可以使用哪些网络服务;计费是记录用户使用网络服务的资源情况,这些信息将作为计费的依据。
目前,如果用户处于偏远地区,如:用户处于大海、沙漠、森林等偏远地区,用户的用户终端和远距离的认证服务器进行认证交互会出现认证时延较大的问题,如果用户处于没有基站信号的偏远地区,那么用户终端通过卫星通信系统和远距离的认证服务器进行认证交互,认证时延会更大。进一步地,用户终端在接入网络之前如果需要通过卫星通信系统完成AAA认证,则将卫星作为中继站转发认证交互消息,用户终端与AAA认证服务器的认证交互消息需要经过卫星链路传输,在整个认证过程中,认证交互消息多次经由卫星端站透传,但是由于卫星链路传输的固有延时较大,会造成认证时延大,认证时间长,用户体验效果差的问题的发生。
发明内容
本发明提供一种认证代理方法、装置和设备,用以解决现有技术进行远距离认证时,认证时延大的问题。
为了解决上述技术问题,本发明是通过以下技术方案来解决的:
本发明提供了一种认证代理方法,包括:截获第一认证设备向用户终端发送的重定向消息;修改所述重定向消息并发送给所述用户终端;其中,将所述重定向消息中用于重定向的地址修改为代理设备的地址;接收所述用户终端根据修改后的所述重定向消息发送的认证信息;根据所述认证信息代理所述用户终端进行认证。
其中,所述截获第一认证设备向用户终端发送的重定向消息,还包括:接收所述用户终端发送的域名;在预设的域名缓存列表中,获取与所述域名对应的互联网协议IP地址并返回给所述用户终端;将接收到的所述用户终端根据所述IP地址发起的IP访问请求转发给第一认证设备;其中,所述第一认证设备在根据所述IP访问请求确定所述用户终端未通过认证时,通过所述代理设备向所述用户终端发送重定向消息。
其中,所述接收所述用户终端根据修改后的所述重定向消息发送的认证信息,包括:接收所述用户终端根据修改后的所述重定向消息发送的认证页面获取请求;根据所述认证页面获取请求,将预先存储的认证页面返回给所述用户终端;接收所述用户终端基于所述认证页面发送的认证信息。
其中,在所述根据所述认证信息代理所述用户终端进行认证之前,还包括:在所述代理设备和第二认证设备之间建立通信连接。
其中,所述根据所述认证信息代理所述用户终端进行认证,包括:将所述认证信息发送给第二认证设备,以便所述第二认证设备根据所述认证信息发起对用户终端的认证;接收所述第二认证设备返回的认证结果,并将所述认证结果发送给所述用户终端。
本发明还提供了一种认证代理装置,包括:截获模块,用于截获第一认证设备向用户终端发送的重定向消息;修改模块,用于修改所述重定向消息;其中,将所述重定向消息中用于重定向的地址修改为代理设备的地址;收发模块,用于将修改后的所述重定向消息发送给所述用户终端,并接收所述用户终端根据修改后的所述重定向消息发送的认证信息;代理模块,用于根据所述认证信息代理所述用户终端进行认证。
其中,所述收发模块还用于:,接收所述用户终端发送的域名;在预设的域名缓存列表中,获取与所述域名对应的互联网协议IP地址并返回给所述用户终端;将接收到的所述用户终端根据所述IP地址发起的IP访问请求转发给第一认证设备;其中,所述第一认证设备在根据所述IP访问请求确定所述用户终端未通过认证时,通过所述代理设备向所述用户终端发送重定向消息。
其中,所述收发模块具体用于:接收所述用户终端根据修改后的所述重定向消息发送的认证页面获取请求;根据所述认证页面获取请求,将预先存储的认证页面返回给所述用户终端;接收所述用户终端基于所述认证页面发送的认证信息。
其中,所述装置还包括连接模块;所述连接模块,用于在所述根据所述认证信息代理所述用户终端进行认证之前,在所述代理设备和第二认证设备之间建立通信连接。
其中,所述代理模块具体用于:将所述认证信息发送给第二认证设备,以便所述第二认证设备根据所述认证信息发起对用户终端的认证;接收所述第二认证设备返回的认证结果,并将所述认证结果发送给所述用户终端。
本发明还提供了一种认证代理设备,其特征在于,在所述认证代理设备中设置有上述认证代理装置。
本发明有益效果如下:
本发明将重定向消息修改为重定向到代理设备,由代理设备作为用户终端的代理,负责代理用户终端进行认证,减少了用户终端和第一认证设备以及第二认证设备之间的交互,有效降低了认证时延,缩短了认证时长,提高了认证效率,提升用户体验效果。
附图说明
图1是根据本发明一实施例的认证代理方法的流程图;
图2是根据本发明一实施例的基于卫星通信系统的认证代理方法的流程图;
图3是根据本发明一实施例的基于卫星通信系统的认证代理方法的时序图;
图4是根据本发明一实施例的认证代理装置的结构图。
具体实施方式
本发明的主要思想在于,截获第一认证设备向用户终端发送的重定向消息;修改所述重定向消息并发送给所述用户终端;其中,将所述重定向消息中用于重定向的地址修改为代理设备的地址;接收所述用户终端根据修改后的所述重定向消息发送的认证信息;根据所述认证信息代理所述用户终端进行认证。本发明通过将重定向到第二认证设备的消息改为重定向到本端,减少了用户终端和第一认证设备以及第二认证设备之间的交互,有效缩短认证时长,提高了认证效率,提升用户体验效果。
在所述截获第一认证设备向用户终端发送的重定向消息,还包括:接收所述用户终端发送的域名;在预设的域名缓存列表中,获取与所述域名对应的互联网协议IP地址并返回给所述用户终端;将接收到的所述用户终端根据所述IP地址发起的IP访问请求转发给第一认证设备;其中,所述第一认证设备在根据所述IP访问请求确定所述用户终端未通过认证时,通过所述代理设备向所述用户终端发送重定向消息。本发明通过预先设置域名缓存列表的方式避免了将域名发送给第一认证设备进行域名解析的步骤,降低了认证时延,提高了认证效率。
接收所述用户终端根据修改后的所述重定向消息发送的认证信息,包括:接收所述用户终端根据修改后的所述重定向消息发送的认证页面获取请求;根据所述认证页面获取请求,将预先存储的认证页面返回给所述用户终端;接收所述用户终端基于所述认证页面发送的认证信息。通过预先存储认证页面避免了用户终端从第二认证设备获取认证页面,从而提升了认证效率,缩短了认证时间。
在所述根据所述认证信息代理所述用户终端进行认证之前,还包括:在所述代理设备和第二认证设备之间建立通信连接。通过提前建立通信连接,缩短了认证交互信息发送的时延,进一步缩短了认证时间。
所述根据所述认证信息代理所述用户终端进行认证,包括:将所述认证信息发送给第二认证设备,以便所述第二认证设备根据所述认证信息发起对用户终端的认证;接收所述第二认证设备返回的认证结果,并将所述认证结果发送给所述用户终端。
在发明由代理设备负责代理用户终端进行认证,代理设备将重定向到第二认证设备的消息改为重定向到本端并且采用预先缓存DNS和认证页面方式,减少了用户终端和第一认证设备以及第二认证设备之间的交互,代理设备还采用提前建立通信链路的方式,有效缩短了认证延时。因此,通过本实施例可以有效缩短认证时长,提高了认证效率,提升用户体验效果。
以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
实施例一
本实施例提供一种认证代理方法,如图1所示,为根据本发明第一实施例的认证代理方法的流程图。本实施例的执行主体为代理设备。
步骤S110,截获第一认证设备向用户终端发送的重定向消息。
重定向消息是第一认证设备在根据用户终端的IP访问请求确定该用户终端没有通过认证之后,对IP访问请求的应答消息。重定向消息用于将IP访问请求重定向到第二认证设备,使第二认证设备发起对用户终端的认证请求。
第一认证设备主要提供域名解析、宽带接入等服务,第一认证设备可以是宽带远程接入服务器(Broadband Remote Access Server,简称Bras)。
第二认证设备主要提供用户认证服务。第二认证设备可以是门户Portal服务器。第一认证设备和第二认证设备可以作为两个独立的设备,也可以合并为一个设备。
具体的,接收用户终端发送的域名;在预设的域名缓存列表中,获取与域名(Domain Name)对应的互联网协议地址(Internet Protocol Address,简称IP)并返回给用户终端;将接收到的用户终端根据该IP地址发起的IP访问请求转发给第一认证设备;其中,第一认证设备在根据该IP访问请求确定用户终端未通过认证时,通过代理设备向用户终端发送重定向消息。
域名缓存列表记录了域名和IP地址的对应关系。在代理设备中预先存储域名缓存列表并进行实时或定期更新。
预先设置域名缓存列表可以在代理设备侧实现域名代理,避免用户终端远距离访问第一认证设备,以在第一认证设备进行域名解析,本实施例降低了认证时延,提高了认证效率。
步骤S120,修改重定向消息并发送给用户终端;其中,将重定向消息中用于重定向的地址修改为代理设备的地址。
修改重定向消息中用于重定向的地址。在接收到的重定向消息中,用于重定向的地址为第二认证设备的地址,将该第二认证设备的地址修改为代理设备的地址,进而将重定向到第二认证设备的重定向消息修改为重定向到代理设备。
将重定向消息中第二认证设备的地址修改为代理设备的地址,可以使代理设备成为用户终端的代理,用户终端向第一认证设备和第二认证设备发送的消息,改为发送给代理设备处理,可以减少用户终端和第一认证设备以及第二认证设备之间的交互。
步骤S130,接收用户终端根据修改后的重定向消息发送的认证信息。
修改后的重定向消息中的第二认证设备的地址已经被修改为代理设备的地址,用户终端根据该修改后的重定向消息将原本应该发送给第二认证设备的认证信息改为发送给代理设备,由代理设备接收用户终端发送的认证信息。
具体的,接收所述用户终端根据修改后的所述重定向消息发送的认证页面获取请求;根据所述认证页面获取请求,将预先存储的认证页面返回给所述用户终端;接收所述用户终端基于所述认证页面发送的认证信息。
认证页面获取请求用于获取认证页面,以便基于认证页面提交认证信息。由于在修改后的重定向消息中用于重定向的地址为代理设备的地址,因此用户终端将认证页面获取请求向代理设备发送。
认证信息包括:用户名、密码以及用户终端的IP地址。
用户终端可以显示认证页面,在认证页面中可以输入用户名和密码,在向代理设备发送用户名和密码时携带用户终端的IP地址,代理设备将用户名、密码以及用户终端的IP地址作为认证信息。
在代理设备中预先存储认证页面并实时或定期更新,避免用户终端从第二认证设备获取认证页面,从而提升了认证效率,缩短了认证时间。
步骤S140,根据认证信息代理用户终端进行认证。
根据认证信息代理用户终端进行AAA认证。将认证信息发送给第二认证设备,以便第二认证设备根据认证信息发起对用户终端的认证;接收第二认证设备返回的认证结果,并将认证结果发送给用户终端。
在本实施例中,在根据认证信息代理用户终端进行认证之前,还可以在代理设备和第二认证设备之间建立通信连接;基于该通信连接,将认证信息发送给第二认证设备,以便第二认证设备根据认证信息发起对用户终端的认证;接收第二认证设备返回的认证结果,并将认证结果发送给用户终端。通过提前建立通信连接,缩短了认证交互信息发送的时延,进一步缩短了认证时间,提升了用户体验效果。
在本实施例中由代理设备负责代理用户终端进行认证,代理设备将重定向到第二认证设备的消息改为重定向到本端并且采用预先缓存DNS和认证页面方式,减少了用户终端和第一认证设备以及第二认证设备之间的交互,代理设备还采用提前建立通信链路的方式,有效缩短了认证延时。因此,通过本实施例可以有效缩短认证时长,提高了认证效率,提升用户体验效果。
实施例二
在卫星通信系统中,卫星端站作为通信卫星的地面站,用于透传用户终端和Bras服务器以及Portal服务器之间的认证交互消息。用户终端经由卫星端站访问网络,Bras服务器截获用户终端的上网请求并判断用户终端是否通过AAA认证,如果是,则放行该上网请求,否则向用户终端发送重定向到Portal服务器的消息,使用户终端从Portal服务器获取认证页面,用户终端基于认证页面发送认证信息到Portal服务器,由Portal服务器、Bras服务器和AAA认证服务器配合完成对用户终端的AAA认证,并由Portal服务器将认证结果返回给用户终端。
在此过程中,上网请求、重定向消息、认证页面获取和返回、认证信息和认证结果都需要由卫星端站透传,由于卫星链路传输的固有延时较大,会造成认证时延大,认证时间长,如果将卫星端站设置为代理设备,则将会有效降低认证时延,缩短认证时间,提高认证效率,提升用户体验效果。
本实施例提供一种基于卫星通信系统的认证代理方法。
在本实施例中,代理设备为卫星端站,因此本实施例的执行主体为卫星端站。第一认证设备为Bras服务器,第二认证设备为Portal服务器。
卫星链路包括通信卫星、第一地面站和第二地面站,本实施例所述的卫星端站为距离用户终端最近的第一地面站,通信卫星和第二地面站起到转发/透传信息的作用,卫星端站和Bras服务器以及Portal服务器之间的交互信息,都要经过通信卫星和第二地面站的转发/透传,为了使本发明的描述更加清楚,在本实施例中,对只起到转发/透传作用的通信卫星和第二地面站不做体现。
图2为根据本发明一实施例的基于卫星通信的认证代理方法的流程图。
步骤S210,截获Bras服务器向用户终端发送的重定向消息。
在向Bras服务器转发用户终端发出的IP访问请求之后,截获该Bras服务器向用户终端发送的重定向消息。
重定向消息是Bras服务器在根据IP访问请求确定用户终端没有通过认证之后,对IP访问请求的应答消息。
重定向消息用于将IP访问请求重定向到Portal服务器,使Portal服务器发起对用户终端的认证请求。Bras服务器向用户终端发送的重定向消息,需要经过卫星端站才能被转发到用户终端,因而卫星端站可以截获到该重定向消息。
具体的,接收用户终端发送的域名;在预设的域名缓存列表中,获取与该域名对应(映射)的IP地址并返回给用户终端;接收用户终端根据该IP地址发起的IP访问请求;将接收到的用户终端根据该IP地址发起的IP访问请求转发给Bras服务器。其中,Bras服务器在根据该IP访问请求确定用户终端未通过认证时,通过卫星端站向用户终端发送重定向消息,该重定向消息用于重定向到Portal服务器。
域名缓存列表记录了域名和IP地址的对应关系。在卫星端站中预先存储域名缓存列表并进行实时或定期更新。
在卫星端站中预先设置域名缓存列表可以避免将域名通过卫星链路发送给Bras服务器进行域名解析的步骤,降低了认证时延,提高了认证效率。当然本领域技术人员应当知道,用户终端可以直接进行IP访问,那么卫星端站可以直接接收到用户终端发送的IP访问请求。
步骤S220,修改重定向消息并发送给用户终端;其中,将重定向消息修改为重定向到卫星端站。
在接收到的重定向消息中,用于重定向的地址为Portal服务器的地址,将该Portal服务器的地址修改为卫星端站的地址,进而将重定向到Portal服务器的重定向消息修改为重定向到卫星端站。
修改重定向消息可以使卫星端站成为用户终端的代理,用户终端向Bras服务器和Portal服务器发送的消息,改为发送给卫星端站处理,可以减少用户终端和Bras服务器以及Portal服务器之间的交互。
步骤S230,接收用户终端根据修改后的重定向消息发送的认证信息。
由于重定向消息被修改,所以用户终端将原本应该发送给Portal服务器的认证信息改为发送给卫星端站,由卫星端站接收用户终端发送的认证信息。
具体的,接收用户终端根据修改后的重定向消息发送的认证页面获取请求;根据该认证页面获取请求,将预先存储的认证页面返回给用户终端;接收用户终端基于该认证页面发送的认证信息。认证页面例如是Portal登录页面。在该Portal登录页面中可以采集用户输入用户名和密码。
在卫星端站中预先存储认证页面并实时或定期更新,避免用户终端通过卫星链路从Portal服务器获取认证页面,从而提升了认证效率,缩短了认证时间。
步骤S240,根据认证信息代理用户终端进行认证。
卫星端站在具备用户终端的认证信息之后,就可以利用该认证信息代理用户终端进行AAA认证。进一步地,卫星端站代理用户终端向Portal服务器发送认证信息,代理用户终端接收Portal返回的认证结果。
在本实施例中,在根据认证信息代理用户终端进行认证之前,还包括:在卫星端站和Portal服务器之间建立通信连接,以形成用于认证的通信链路;基于该通信连接,将接收到的认证信息发送给Portal服务器,以便Portal服务器根据该认证信息发起对用户终端的认证。
可以在修改重定向消息之后,在接收认证信息之前,卫星端站和Portal服务器建立通信连接。进一步地,可以在接收到认证页面获取请求的同时或者在向用户终端返回认证页面的同时,卫星端站和Portal服务器建立通信连接。通过提前建立通信连接,缩短了交互信息发送的时延,进一步缩短了认证时间,提升了用户体验效果。
在卫星端站和Portal服务器建立通信连接时,卫星端站(第一地面站)请求和Portal服务器建立连接,在形成的物理通信链路中,第一地面站、通信卫星、第二地面站和Portal服务器顺次连接。
在Portal服务器发起对用户终端的认证请求之后,由Portal服务器、Bras服务器和AAA服务器执行对用户终端的AAA认证,由Portal服务器负责向卫星端站反馈认证结果。卫星端站接收Portal服务器返回的认证结果,并将该认证结果发送给用户终端。
在本实施例中由卫星端站负责代理用户终端的AAA认证,卫星端站将重定向到Portal服务器的消息改为重定向到本端并且采用预先缓存DNS和认证页面方式,减少了用户终端和Bras服务器以及Portal服务器之间的交互,卫星端站还采用提前建立通信链路的方式,有效缩短了认证延时。因此,通过本实施例可以有效缩短认证时长,提高了认证效率,提升用户体验效果。
实施例三
为了使本发明更加清楚,下面基于图3对本发明进行进一步地描述。由于距离用户终端较远的地面站(第二地面站)和通信卫星在卫星链路中只起到转发信息的作用,故在图3中不作体现。
图3是根据本发明一实施例的基于卫星通信的认证代理方法的时序图。
步骤1,卫星端站接收用户终端发送的域名访问请求。
卫星端站是指卫星链路中距离用户终端最近的地面站。
在域名访问请求中携带有用户终端请求访问的域名。具体的,用户可以利用用户终端的浏览器访问某个网站,比如在浏览器中输入www.sina.com,从而发起对域名www.sina.com的访问。
步骤2,卫星端站将域名对应的IP地址返回给用户终端。
卫星端站将用户终端请求访问的域名所对应的IP地址返回给用户终端。
用户终端发出的域名访问请求先要到卫星端站,通过卫星链路发送到Bras服务器。在本实施例中,卫星端站拦截域名访问请求,对用户终端请求访问的域名进行过滤,如果卫星端站已经预先存储了该域名对应的IP地址,则直接将该IP地址返回给用户终端,否则将该域名访问请求转发给Bras服务器并将Bras服务器返回的IP地址转发给用户终端。具体步骤如下:
步骤A,卫星端站在预设的域名缓存列表中查询域名访问请求中的域名。
在域名缓存列表中记录有域名和IP地址的对应(映射)关系。
域名缓存列表可以预先设置并定时更新,也可以在用户终端访问网络的过程中进行记录并实时更新。例如:可以将常用网站的域名和IP地址的对应关系存储在域名缓存列表中,后续根据用户的访问情况实时更新该域名缓存列表。
步骤B,卫星端站判断域名缓存列表中是否存在该域名对应的IP地址;若是,则执行步骤C,若否,则执行步骤D。
步骤C,卫星端站将该域名对应的IP地址返回给用户终端。
步骤D,卫星端站将该域名访问请求转发给Bras服务器,由Bras服务器执行域名解析并确定该域名对应的IP地址;之后,卫星端站将Bras服务器返回的与该域名对应的IP地址返回给用户终端,并且将该域名和该IP地址的对应关系更新到域名缓存列表中以供下次使用。
在此过程中,如果在域名缓存列表中存在域名和IP地址的映射关系,则可以省去用户终端通过空口与Bras服务器进行交互的过程,Bras服务器也不需要对域名进行解析,从而缩短了认证延迟时间。
步骤3,用户终端根据该IP地址发送IP访问请求,并由卫星端站将该IP访问请求转发给Bras服务器。
步骤4,Bras服务器如果根据该IP访问请求确定该用户终端未通过认证,则拦截该IP访问请求,并通过卫星端站向用户终端返回重定向消息。
Bras服务器预先对认证通过的用户终端的IP地址进行记录;Bras服务器在接收到卫星端站转发的IP访问请求之后,提取该IP访问请求中的源IP地址,即用户终端的IP地址,判断该源IP地址是否已经通过认证,如果是,则确定用户终端已经通过认证,可以放行该IP访问请求,实现用户终端对网络的访问,获取用户终端所需的网络资源,如果否,则确定用户终端未通过认证,拦截该IP访问请求,并通过卫星端站向用户终端返回重定向消息。
重定向消息是对用户终端发送的IP访问请求的应答消息,重定向消息用于将IP访问请求中的目的地址重新定向到其他地址。在本实施例中,Bras服务器向用户终端发送的重定向消息用于重定向到Portal服务器。
步骤5,卫星端站截获Bras服务器向用户终端发送的重定向消息,在卫星端站存储有认证页面的情况下,将该重定向消息修改为重定向到卫星端站,并将修改后的重定向消息返回给用户终端。
卫星端站可以预先缓存认证页面并定时更新。该认证页面可以是Portal登录页面。这样可以省去用户终端从Portal服务器获取认证页面的步骤。
卫星端站截获重定向到Portal服务器的应答消息,在存储有认证页面的情况下,将该重定向到Portal服务器的应答消息修改为重定向到卫星端站的应答消息,以便用户终端根据重定向的地址发送消息。
具体的,Bras服务器向用户终端发送的重定向消息用于重定向到Portal服务器,卫星端站在截获到该重定向消息之后,查看是否缓存有认证页面,如果是,则修改重定向消息中用于重定向的地址,使该重定向消息重定向到卫星端站;如果否,则直接将截获的重定向消息转发给用户终端,用户终端根据该重定向消息通过卫星端站重定向到Portal服务器,从Portal服务器获取认证页面,卫星端站将Portal服务器返回的认证页面转发给用户终端,并存储该认证页面以供下次使用。
进一步地,卫星端站根据重定向消息中用于重定向的统一资源定位符(UniformResource Locator,简称URL)是否指向Portal服务器,来确定重定向消息是否为重定向到Portal服务器,如果该URL指向Portal服务器,则可以确定该重定向消息用于重定向到Portal。Bras服务器向用户终端发送的重定向消息中,该URL为Portal服务器的URL,将Portal服务器的URL替换为卫星端站的URL即可完成对重定向消息的修改。
步骤6,卫星端站接收用户终端根据修改后的重定向消息发送的认证页面获取请求。
修改后的重定向消息用于重定向到卫星端站。
用户终端根据修改后的重定向消息中用于重定向的URL,向该URL发出用于获取认证页面获取请求,而该URL已经被修改为卫星端站的URL,因此认证页面获取请求被发送到卫星端站。
步骤7,卫星端站和Portal服务器建立连接。
卫星端站和Portal服务器建立的连接为超文本传输协议(HyperText TransferProtocol,简称HTTP)连接。该连接可以保持预定时间长度。例如:该连接可以保持60s。如果在预定时间长度内卫星端站没有接收到认证请求,则卫星端站重新和Portal服务器建立HTTP连接。进一步地,为了节省空口带宽,针对每个用户终端建立一条链接即可。
提前建立好卫星端站和Portal服务器之间的链路,可以提前为后续的认证提供通道,缩短了认证延迟时间。
步骤8,卫星端站根据该认证请求向用户终端返回认证页面。
当卫星端站接收到认证页面获取请求时,将缓存的认证页面返回给用户终端。在该认证页面中,可以输入用户名和密码。
卫星端站预先存储认证页面,省去了用户终端通过空口从Portal服务器获取认证页面的时间,
步骤9,用户终端将认证信息发送给卫星端站。
用户终端显示认证页面,用户在认证页面中输入用户名和密码,用户终端采集用户输入的用户名和密码,并将采集到的认证页面发送到卫星终端。
步骤10,卫星端站将用户终端发送的认证信息发送给Portal服务器。
卫星端站在接收到用户终端发送的认证信息(用户名、密码和用户终端的IP地址)之后,可以代理用户终端进行认证。
步骤11,Portal服务器将接收到该认证信息发送给Bras服务器。
Portal服务器将该认证信息发送给Bras服务器,是为了通知Bras服务器该认证信息对应的用户终端要接入网络,需要对该用户终端进行认证。
Portal服务器在接收到认证信息之后,记录发送该认证信息的源IP地址,以便在获得认证结果之后将认证结果返回给该源IP地址。由于卫星端站不是透传给认证信息,而是作为用户终端的代理向Portal服务器发送认证信息,所以该源IP地址为卫星端站的IP地址。
步骤12,Bras服务器基于该认证信息向AAA服务器发起认证请求。
在给认证请求中携带用户终端的认证信息。
步骤13,AAA服务器根据该认证请求对该用户终端进行认证,并将认证结果返回Bras服务器。
AAA服务器预先记录合法用户的认证信息(用户名和密码)。AAA服务器在接收到Bras服务器发送的认证信息,确定该认证信息是否合法,如果合法,则用户终端认证通过,如果不合法,则用户终端认证不通过。进一步地,该认证结果可以包括用户终端的IP地址以及该用户终端认证是否通过的结果。
步骤14,Bras服务器将认证结果通知Portal服务器。
如果认证结果为用户终端认证通过,则Bras服务器将用户终端的IP地址和认证结果对应存储,以便下次接收到IP访问请求时,可以根据IP地址判断用户终端是否已经通过认证;并且,Bras服务器放行之前截获的IP访问请求,实现用户终端对网络的访问,获取用户终端所需的网络资源。
如果认证结果为用户终端认证不通过,则Bras服务器可以舍弃之前截获的IP访问请求。
步骤15,Portal服务器将认证结果发送给卫星端站。
因为上述重定向请求中的目的地址被修改为卫星端站,所以Portal服务器将认证结果发送给卫星端站,卫星端站将认证结果转发给用户终端之后断开和Portal服务器的连接。
步骤16,由卫星端站负责将认证结果转发给用户终端。
如果认证结果为用户终端认证不通过,卫星端站可以将预先存储的认证页面再次发送给用户终端,以再次获取用户终端的认证信息,重新代理用户终端进行认证。
本实施例将重定向到Portal服务器的消息改为重定向到卫星端站,并且采用预先缓存DNS和认证页面,以及提前建立通信链路的方式,除了用户终端首次进行认证外,可以有效缩短了认证延时和认证时间,提高了认证效率,提升了用户体验效果。
实施例四
本发明实施例还提供了一种认证代理装置。该装置被设置在代理设备侧,该代理设备例如是卫星端站。如图4所示,为根据本发明一实施例的认证代理装置的结构图。
该装置包括:
截获模块410,用于截获第一认证设备向用户终端发送的重定向消息。
修改模块420,用于修改所述重定向消息;其中,将所述重定向消息中用于重定向的地址修改为卫星端站的地址。
收发模块430,用于将修改后的所述重定向消息发送给所述用户终端,并接收所述用户终端根据修改后的所述重定向消息发送的认证信息。
代理模块440,用于根据所述认证信息代理所述用户终端进行认证。其中,该认证为AAA认证。
在一个实施例中,收发模块430还用于:接收所述用户终端发送的域名;在预设的域名缓存列表中,获取与所述域名对应的互联网协议IP地址并返回给所述用户终端;将接收到的所述用户终端根据所述IP地址发起的IP访问请求转发给第一认证设备;其中,所述第一认证设备在根据所述IP访问请求确定所述用户终端未通过认证时,通过所述卫星端站向所述用户终端发送重定向消息。
在另一实施例中,收发模块430具体用于:接收所述用户终端根据修改后的所述重定向消息发送的认证页面获取请求;根据所述认证页面获取请求,将预先存储的认证页面返回给所述用户终端;接收所述用户终端基于所述认证页面发送的认证信息。
在又一实施例中,所述装置还包括连接模块(图中未示出);所述连接模块,用于在所述根据所述认证信息代理所述用户终端进行认证之前,在所述卫星端站和第二认证设备之间建立通信连接。
在再一实施例中,代理模块440具体用于:将所述认证信息发送给所述第二认证设备,以便所述第二认证设备根据所述认证信息发起对用户终端的认证;接收所述第二认证设备返回的认证结果,并将所述认证结果发送给所述用户终端。
本实施例所述的装置的功能已经在图1~图3所示的方法实施例中进行了描述,故本实施例的描述中未详尽之处,可以参见前述实施例中的相关说明,在此不做赘述。
实施例五
本发明还提供了一种认证代理设备,该认证代理设备设置有上述任一实施例的认证代理装置,以代理用户终端的业务。进一步地,该认证代理设备可以是卫星端站或者其他物理实体。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S11,截获第一认证设备向用户终端发送的重定向消息;
S12,修改所述重定向消息并发送给所述用户终端;其中,将所述重定向消息中用于重定向的地址修改为代理设备的地址;
S13,接收所述用户终端根据修改后的所述重定向消息发送的认证信息;
S14,根据所述认证信息代理所述用户终端进行认证。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行上述实施例记载的方法步骤。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (11)
1.一种认证代理方法,其特征在于,包括:
截获第一认证设备向用户终端发送的重定向消息;
修改所述重定向消息并发送给所述用户终端;其中,将所述重定向消息中用于重定向的地址修改为代理设备的地址;
接收所述用户终端根据修改后的所述重定向消息发送的认证信息;
根据所述认证信息代理所述用户终端进行认证。
2.如权利要求1所述的方法,其特征在于,所述截获第一认证设备向用户终端发送的重定向消息,还包括:
接收所述用户终端发送的域名;
在预设的域名缓存列表中,获取与所述域名对应的互联网协议IP地址并返回给所述用户终端;
将接收到的所述用户终端根据所述IP地址发起的IP访问请求转发给第一认证设备;其中,所述第一认证设备在根据所述IP访问请求确定所述用户终端未通过认证时,通过所述代理设备向所述用户终端发送重定向消息。
3.如权利要求1所述的方法,其特征在于,所述接收所述用户终端根据修改后的所述重定向消息发送的认证信息,包括:
接收所述用户终端根据修改后的所述重定向消息发送的认证页面获取请求;
根据所述认证页面获取请求,将预先存储的认证页面返回给所述用户终端;
接收所述用户终端基于所述认证页面发送的认证信息。
4.如权利要求1所述的方法,其特征在于,在所述根据所述认证信息代理所述用户终端进行认证之前,还包括:
在所述代理设备和第二认证设备之间建立通信连接。
5.如权利要求1-4中任一项所述的方法,其特征在于,所述根据所述认证信息代理所述用户终端进行认证,包括:
将所述认证信息发送给第二认证设备,以便所述第二认证设备根据所述认证信息发起对用户终端的认证;
接收所述第二认证设备返回的认证结果,并将所述认证结果发送给所述用户终端。
6.一种认证代理装置,其特征在于,包括:
截获模块,用于截获第一认证设备向用户终端发送的重定向消息;
修改模块,用于修改所述重定向消息;其中,将所述重定向消息中用于重定向的地址修改为代理设备的地址;
收发模块,用于将修改后的所述重定向消息发送给所述用户终端,并接收所述用户终端根据修改后的所述重定向消息发送的认证信息;
代理模块,用于根据所述认证信息代理所述用户终端进行认证。
7.如权利要求6所述的装置,其特征在于,所述收发模块还用于:
接收所述用户终端发送的域名;
在预设的域名缓存列表中,获取与所述域名对应的互联网协议IP地址并返回给所述用户终端;
将接收到的所述用户终端根据所述IP地址发起的IP访问请求转发给第一认证设备;其中,所述第一认证设备在根据所述IP访问请求确定所述用户终端未通过认证时,通过所述代理设备向所述用户终端发送重定向消息。
8.如权利要求6所述的装置,其特征在于,所述收发模块具体用于:
接收所述用户终端根据修改后的所述重定向消息发送的认证页面获取请求;
根据所述认证页面获取请求,将预先存储的认证页面返回给所述用户终端;
接收所述用户终端基于所述认证页面发送的认证信息。
9.如权利要求6所述的装置,其特征在于,所述装置还包括连接模块;
所述连接模块,用于在所述根据所述认证信息代理所述用户终端进行认证之前,在所述代理设备和第二认证设备之间建立通信连接。
10.如权利要求6-9中任一项所述的装置,其特征在于,所述代理模块具体用于:
将所述认证信息发送给第二认证设备,以便所述第二认证设备根据所述认证信息发起对用户终端的认证;
接收所述第二认证设备返回的认证结果,并将所述认证结果发送给所述用户终端。
11.一种认证代理设备,其特征在于,在所述认证代理设备中设置有权利要求6-10中任一项所述的装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610729155.8A CN107786502B (zh) | 2016-08-26 | 2016-08-26 | 一种认证代理方法、装置和设备 |
| PCT/CN2017/097703 WO2018036415A1 (zh) | 2016-08-26 | 2017-08-16 | 一种认证代理方法、装置和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610729155.8A CN107786502B (zh) | 2016-08-26 | 2016-08-26 | 一种认证代理方法、装置和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107786502A true CN107786502A (zh) | 2018-03-09 |
| CN107786502B CN107786502B (zh) | 2022-03-22 |
Family
ID=61246338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610729155.8A Active CN107786502B (zh) | 2016-08-26 | 2016-08-26 | 一种认证代理方法、装置和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107786502B (zh) |
| WO (1) | WO2018036415A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107846380A (zh) * | 2016-09-18 | 2018-03-27 | 中兴通讯股份有限公司 | 一种上网认证方法、装置和系统 |
| CN114710548A (zh) * | 2022-03-22 | 2022-07-05 | 阿里巴巴(中国)有限公司 | 报文转发方法及装置 |
| WO2024061059A1 (zh) * | 2022-09-20 | 2024-03-28 | 华为技术有限公司 | 无线网络接入方法、装置、电子设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499965B (zh) * | 2021-12-27 | 2023-07-07 | 北京安博通科技股份有限公司 | 一种基于pop3协议的上网认证方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| US20130019295A1 (en) * | 2011-07-11 | 2013-01-17 | Samsung Electronics Co., Ltd. | Method and system for open authentication |
| CN103327008A (zh) * | 2013-05-22 | 2013-09-25 | 杭州华三通信技术有限公司 | 一种http重定向方法及装置 |
| CN103701760A (zh) * | 2012-09-28 | 2014-04-02 | 中国电信股份有限公司 | 无线局域网Portal认证方法、系统及Portal服务器 |
| US9137131B1 (en) * | 2013-03-12 | 2015-09-15 | Skyhigh Networks, Inc. | Network traffic monitoring system and method to redirect network traffic through a network intermediary |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651682B (zh) * | 2009-09-15 | 2012-08-29 | 杭州华三通信技术有限公司 | 一种安全认证的方法、系统和装置 |
| CN102571344B (zh) * | 2010-12-08 | 2014-12-03 | 中国电信股份有限公司 | 一种单点认证方法和系统 |
-
2016
- 2016-08-26 CN CN201610729155.8A patent/CN107786502B/zh active Active
-
2017
- 2017-08-16 WO PCT/CN2017/097703 patent/WO2018036415A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
| US20130019295A1 (en) * | 2011-07-11 | 2013-01-17 | Samsung Electronics Co., Ltd. | Method and system for open authentication |
| CN102624729A (zh) * | 2012-03-12 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 一种web认证的方法、装置及系统 |
| CN103701760A (zh) * | 2012-09-28 | 2014-04-02 | 中国电信股份有限公司 | 无线局域网Portal认证方法、系统及Portal服务器 |
| US9137131B1 (en) * | 2013-03-12 | 2015-09-15 | Skyhigh Networks, Inc. | Network traffic monitoring system and method to redirect network traffic through a network intermediary |
| CN103327008A (zh) * | 2013-05-22 | 2013-09-25 | 杭州华三通信技术有限公司 | 一种http重定向方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107846380A (zh) * | 2016-09-18 | 2018-03-27 | 中兴通讯股份有限公司 | 一种上网认证方法、装置和系统 |
| CN107846380B (zh) * | 2016-09-18 | 2021-12-14 | 中兴通讯股份有限公司 | 一种上网认证方法、装置和系统 |
| CN114710548A (zh) * | 2022-03-22 | 2022-07-05 | 阿里巴巴(中国)有限公司 | 报文转发方法及装置 |
| CN114710548B (zh) * | 2022-03-22 | 2024-04-05 | 阿里巴巴(中国)有限公司 | 报文转发方法及装置 |
| WO2024061059A1 (zh) * | 2022-09-20 | 2024-03-28 | 华为技术有限公司 | 无线网络接入方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018036415A1 (zh) | 2018-03-01 |
| CN107786502B (zh) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110120946B (zh) | 一种Web与微服务的统一认证系统及方法 | |
| CN104506510B (zh) | 用于设备认证的方法、装置及认证服务系统 | |
| CN102984173B (zh) | 网络接入控制方法及系统 | |
| WO2021049355A1 (en) | Single sign-on (sso) authentication via multiple authentication options | |
| CN107483609B (zh) | 一种网络访问方法、相关设备和系统 | |
| US8423650B2 (en) | Transferring session data between network applications | |
| CN103825881B (zh) | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 | |
| CN101702717B (zh) | 一种Portal认证的方法、系统及设备 | |
| CN104539615B (zh) | 基于cas的级联认证方法 | |
| CN108270882A (zh) | 域名的解析方法和装置、存储介质、电子装置 | |
| CN108259457B (zh) | 一种web认证方法及装置 | |
| MX2011003223A (es) | Acceso al proveedor de servicio. | |
| KR101556619B1 (ko) | 어플리케이션 플랫폼과 어플리케이션 사이의 로그인 상태를 공유하기 위한 시스템 및 방법 | |
| CN107786502A (zh) | 一种认证代理方法、装置和设备 | |
| CN105873055B (zh) | 一种无线网络接入认证方法及装置 | |
| CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
| CN108418847A (zh) | 一种网络流量缓存系统、方法及装置 | |
| CN103634111B (zh) | 单点登录方法和系统及单点登录客户端 | |
| CN105991518A (zh) | 网络接入认证方法及装置 | |
| CN106550056A (zh) | 一种域名解析方法及装置 | |
| CN105991640A (zh) | 处理http请求的方法及装置 | |
| CN106411978B (zh) | 一种资源缓存方法及装置 | |
| CN110366844A (zh) | 网络通信中的改进及与网络通信相关的改进 | |
| CN101969426B (zh) | 分布式用户认证系统及其方法 | |
| US9565210B2 (en) | Appliance for processing a session in network communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |