CN114257390B - 认证方法、网络设备、认证服务器、用户设备及存储介质 - Google Patents

Abstract

本申请提供了一种认证方法、网络设备、认证服务器、用户设备及存储介质，属于计算机技术领域。网络设备通过将用户设备的网络请求重定向至认证界面，使得用户设备在发起网络请求后能够自动显示认证界面。由于认证界面同时提示输入两种信息，一种信息是用户设备的标识，另一种信息是使用者的用户信息，从而引导用户在认证界面上输入这两种信息，因此有助于提升用户输入这两种信息的概率，降低收集这两种信息的难度，提高收集这两种信息的效率。进一步地，便于利用这两种信息对用户设备进行登记和定位，从而提高登记和定位的效率。同时，避免由于这两种信息收集不全导致资产定位失败的情况，提高资产定位的成功率。

Description

认证方法、网络设备、认证服务器、用户设备及存储介质

技术领域

本申请涉及计算机技术领域，特别涉及一种认证方法、网络设备、认证服务器、用户设备及存储介质。

背景技术

大型网络环境经常存在大量无登记的用户设备，导致难以寻找用户设备归属的用户。有鉴于此，相关技术通常通过人工方式对每个用户设备进行一一登记。具体地，管理人员会通过工作层级一级一级地向下收集设备信息以及用户信息。管理人员收集到用户信息以及设备信息后，管理人员会统一上报用户信息以及设备信息并进行登记。当需要定位一个用户设备时，管理人员根据人工登记的用户信息以及设备信息，确定某个用户设备属于哪个用户。

然而上述方法依赖于大量人工操作，费时费力，导致对用户设备登记的效率低下。

发明内容

本申请实施例提供了一种认证方法、网络设备、认证服务器、用户设备及存储介质，有助于提高对用户设备登记的效率。所述技术方案如下。

第一方面，提供了一种认证方法，该方法由网络设备执行。网络设备拦截来自于用户设备的第一网络请求，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间；所述网络设备根据所述第一网络请求中预定字段内容，确定所述第一网络请求是否满足重定向条件；如果所述第一网络请求满足重定向条件，所述网络设备生成目标应答，所述目标应答携带认证界面的标识，所述认证界面用于提示输入所述用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户；所述网络设备向所述用户设备发送所述目标应答。

以上提供的方法中，网络设备通过将用户设备的网络请求重定向至认证界面，使得用户设备在发起网络请求后能够自动显示认证界面。由于认证界面同时提示输入两种信息，一种信息是用户设备的标识，另一种信息是使用者的用户信息，从而引导用户在认证界面上输入这两种信息，因此有助于提升用户输入这两种信息的概率，降低收集这两种信息的难度，提高收集这两种信息的效率。进一步地，便于利用这两种信息对用户设备进行登记和定位，从而提高登记和定位的效率。同时，避免由于这两种信息收集不全导致资产定位失败的情况，提高资产定位的成功率。

可选地，在第一方面的一种可能的实现方式中，所述重定向条件包括：所述第一网络请求的预定字段中未携带身份标识，所述身份标识是根据用户设备的标识以及用户信息生成的；或者，所述第一网络请求的预定字段中携带第一身份标识、且所述第一身份标识是认证失败的。

通过在网络请求中指定位置(预定字段)没有携带身份标识，或者在网络请求中指定位置携带认证失败的身份标识的情况下，将网络请求重定向至认证界面，有助于更准确地判别网络请求中是否携带正确的身份标识。

可选地，在第一方面的一种可能的实现方式中，所述第一网络请求包括第一域名系统(domain name system，DNS)请求，所述业务服务器为DNS服务器，所述预定字段为所述第一DNS请求中的查询(query)字段。

可选地，在第一方面的一种可能的实现方式中，所述网络设备生成目标应答包括：所述网络设备对第一DNS应答中的应答字段进行修改，得到所述目标应答，所述第一DNS应答来自于所述DNS服务器、且用于对所述第一DNS请求应答，所述第一DNS应答中的应答字段包括所述第一DNS请求查询的IP地址，所述目标应答中的应答字段包括所述认证界面对应的互联网协议(Internet Protocol，IP)地址。

可选地，在第一方面的一种可能的实现方式中，所述网络设备对第一DNS应答中的应答字段进行修改之前，所述方法还包括：所述网络设备向所述DNS服务器发送所述第一DNS请求；所述网络设备接收来自于所述DNS服务器的所述第一DNS应答。

以上提供的实现方式中，通过借助DNS协议的处理流程实现网络请求的重定向，复用DNS请求与DNS应答来传递身份标识，使得本实施例的认证流程与DNS协议的处理流程平滑地融合起来，便于沿用DNS协议的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

可选地，在第一方面的一种可能的实现方式中，所述第一网络请求为第一超文本传输协议(hyper text transfer protocol，HTTP)请求，所述业务服务器为网页服务器，所述预定字段为所述第一HTTP请求中的HTTP主机(host)字段。

可选地，在第一方面的一种可能的实现方式中，所述网络设备生成目标应答包括：所述网络设备将第一HTTP应答的消息体替换为目标超级文本标记语言(hyper textmarkup language，HTML)代码，得到所述目标应答，所述第一HTTP应答来自于所述网页服务器、且用于对所述第一HTTP请求应答，所述目标HTML代码用于跳转至所述认证界面，所述目标应答的消息体包括所述目标HTML代码。

可选地，在第一方面的一种可能的实现方式中，所述网络设备将第一HTTP应答的消息体替换为目标HTML代码之前，所述方法还包括：所述网络设备向所述网页服务器发送所述第一HTTP请求；所述网络设备接收来自于所述网页服务器的所述第一HTTP应答。

以上提供的实现方式中，通过借助HTTP协议的处理流程实现网络请求的重定向，复用HTTP请求与HTTP应答来传递身份标识，使得本实施例的认证流程与HTTP协议的处理流程平滑地融合起来，便于沿用HTTP协议的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

可选地，在第一方面的一种可能的实现方式中，所述网络设备向所述用户设备发送所述目标应答之后，所述方法还包括：所述网络设备保存所述第一网络请求与第二身份标识之间的对应关系，所述第二身份标识是根据所述认证界面上输入的所述用户设备的标识、所述认证界面上输入的所述用户信息生成的；所述网络设备拦截来自于所述用户设备的第二网络请求；如果所述第二网络请求中携带所述第二身份标识，且所述第二网络请求的目的方与所述第一网络请求的目的方相同，则所述网络设备向作为所述第二网络请求的目的方的业务服务器发送保存的所述第一网络请求；所述网络设备接收来自于所述业务服务器的应答内容，将所述应答内容发送至所述用户设备。

通过以上方式，由于网络设备将第一网络请求保存起来，当网络请求中携带了根据用户信息以及用户设备的标识生成的身份标识时，网络设备将保存的第一网络请求发送给业务服务器，将业务服务器返回的应答内容发给用户设备，从而摆脱用户需要手动输入身份标识的限制，有助于实现用户完全无感知的流程，提高认证的效率。

可选地，在第一方面的一种可能的实现方式中，所述方法还包括：所述网络设备拦截来自于所述用户设备的第三网络请求；所述网络设备根据所述第三网络请求中预定字段内容，确定所述第三网络请求是否满足重定向条件；如果所述第三网络请求不满足所述重定向条件，所述网络设备从所述第三网络请求的预定字段中删除第三身份标识，得到第四网络请求；所述网络设备转发所述第四网络请求。

以上提供的实现方式中，通过在网络请求中携带的身份标识正确的情况下，在网络请求中去除身份标识，然后继续转发网络请求，从而降低携带身份标识对网络请求的正常业务处理过程的影响，保证网络请求得到正常转发。

可选地，在第一方面的一种可能的实现方式中，所述网络设备根据所述第三网络请求中预定字段内容，确定所述第三网络请求是否满足重定向条件，包括：所述网络设备确定所述第三网络请求的预定字段中携带第三身份标识，并从所述第三网络请求的预定字段中获取所述第三身份标识；所述网络设备对所述第三身份标识进行认证，并确定所述第三身份标识认证成功，则所述网络设备确定所述第三网络请求不满足所述重定向条件；其中，所述网络设备对所述第三身份标识进行认证，并确定所述第三身份标识认证成功，包括：所述网络设备向认证服务器发送认证请求，所述认证请求中包括所述第三身份标识以及所述第三网络请求的源IP地址，并接收来自于所述认证服务器返回的认证成功消息，所述网络设备根据所述认证成功消息确定所述第三网络请求不满足所述重定向条件，所述认证成功消息用于指示身份标识认证成功；或者，所述网络设备根据所述第三网络请求的源IP地址查询本地保存的IP地址与身份标识的对应关系以获取所述源IP地址对应的身份标识，并确定所述源IP地址对应的身份标识与所述第三身份标识相同，则所述网络设备确定所述第三网络请求不满足所述重定向条件。

以上为如何认证身份标识提供了多种实现方式，提高了方案实施的灵活性。

第二方面，提供了一种认证方法，在该方法中，认证服务器接收用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户，所述用户设备的标识以及所述用户信息是在所述认证服务器提供的认证界面上输入的；所述认证服务器根据所述用户设备的标识以及所述用户信息生成身份标识；所述认证服务器保存所述用户设备的IP地址与所述身份标识之间的对应关系；所述认证服务器根据所述身份标识、所述IP地址与所述身份标识之间的对应关系对来自于所述用户设备的网络请求进行认证。

以上提供的方法中，认证服务器通过提供认证界面来提示输入用户设备的标识以及所述用户信息，并根据认证界面上输入的用户设备的标识以及所述用户信息生成身份标识，利用身份标识以及IP地址对来自于所述用户设备的网络请求进行认证，有助于没有携带正确的身份标识的网络请求被重定向至认证界面，从而引导用户在认证界面上输入用户设备的标识以及所述用户信息这两种信息，因此有助于提升用户输入这两种信息的概率，降低收集这两种信息的难度，提高收集这两种信息的效率。

可选地，在第二方面的一种可能的实现方式中，所述认证服务器根据所述用户设备的标识以及所述用户信息生成身份标识，包括：所述认证服务器对所述用户设备的标识以及所述用户信息进行编码，得到所述身份标识。

以上提供的实现方式中，由于编码能在小范围内保证唯一性，并且编码在实现时较为简单，编码性能高，因此提高了方案的实用性。

可选地，在第二方面的一种可能的实现方式中，所述认证服务器根据所述用户设备的标识以及所述用户信息生成身份标识，包括：所述认证服务器使用密钥，对所述用户设备的标识以及所述用户信息进行加密，得到所述身份标识。

以上提供的实现方式中，通过加密的方式产生身份标识，有助于保障安全性。

可选地，在第二方面的一种可能的实现方式中，所述认证服务器根据所述身份标识、所述IP地址与所述身份标识之间的对应关系对来自于所述用户设备的网络请求进行认证，包括：所述认证服务器根据所述网络请求的源IP地址，查询所述IP地址与身份标识之间的对应关系，得到所述源IP地址对应的身份标识；如果所述网络请求携带的身份标识与所述源IP地址对应的身份标识相同，所述认证服务器确定认证成功；或者，如果所述网络请求携带的身份标识与所述源IP地址对应的身份标识不同，所述认证服务器确定认证失败。

可选地，在第二方面的一种可能的实现方式中，所述认证服务器接收用户设备的标识以及用户信息之后，所述方法还包括：所述认证服务器记录所述用户设备的标识与所述用户信息之间的对应关系；所述认证服务器接收定位请求，所述定位请求用于请求查询使用所述用户设备的用户，所述定位请求包括所述用户设备的标识；所述认证服务器根据所述定位请求中的用户设备的标识，查询记录的所述用户设备的标识与所述用户信息之间的对应关系以获取所述定位请求中的用户设备的标识对应的用户信息；所述认证服务器输出定位结果，所述定位结果中包括获取的用户信息。

以上提供的实现方式中，认证服务器通过记录所述用户设备的标识与所述用户信息之间的对应关系，从而将用户设备与使用用户设备的用户关联起来，在进行资产定位时，能够利用记录的对应关系明确每个用户设备分别属于哪个用户，从而提高资产定位的准确性。

第三方面，提供了一种认证方法，在该方法中，所述用户设备发送第一网络请求；所述用户设备接收网络设备针对所述第一网络请求返回的目标应答，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间，所述目标应答携带认证界面的标识；所述用户设备根据所述目标应答，显示所述认证界面，所述认证界面用于提示输入所述用户设备的标识以及用户信息；所述用户设备获取通过所述认证界面输入的所述用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户；所述用户设备向所述认证服务器发送获取的所述用户设备的标识以及所述用户信息；所述用户设备接收来自于认证服务器的身份标识，所述身份标识是根据所述用户设备的标识以及所述用户信息生成的；所述用户设备将所述身份标识添加至所述第一网络请求的预定字段中从而生成第二网络请求，向所述网络设备发送所述第二网络请求。

以上提供的方法中，由于用户设备发起网络请求后自动显示认证界面，通过认证界面来提示用户输入用户设备的标识以及用户信息这两种信息，从而引导用户在认证界面上输入这两种信息，降低收集这两种信息的难度，提高收集这两种信息的效率。并且，用户设备通过自动在网络请求的预定字段中添加身份标识，使得添加身份标识的步骤对于用户全程无感知，从而避免用户手动添加身份标识，降低了用户操作的复杂度，提高认证效率。

可选地，在第三方面的一种可能的实现方式中，所述第一网络请求包括第一DNS请求，所述业务服务器为DNS服务器，所述用户设备将所述身份标识添加至所述第一网络请求的预定字段中从而生成第二网络请求，包括：所述用户设备将所述身份标识添加至所述第一DNS请求中的query字段，从而生成query字段携带所述身份标识的第二DNS请求。

可选地，在第三方面的一种可能的实现方式中，所述第一网络请求包括第一HTTP请求，所述业务服务器为网页服务器，所述用户设备将所述身份标识添加至所述第一网络请求的预定字段中从而生成第二网络请求，包括：所述用户设备将所述身份标识添加至所述第一HTTP请求中的HTTP host字段，从而生成HTTP host字段携带所述身份标识的第二HTTP请求。

第四方面，提供了一种网络设备，该网络设备具有实现上述第一方面或第一方面任一种可选方式中的功能。该网络设备包括至少一个单元，至少一个单元用于实现上述第一方面或第一方面任一种可选方式所提供的认证方法。

在一些实施例中，网络设备中的单元通过软件实现，网络设备中的单元是程序模块。在另一些实施例中，网络设备中的单元通过硬件或固件实现。第三方面提供的网络设备的具体细节可参见上述第一方面或第一方面任一种可选方式，此处不再赘述。

第五方面，提供了一种认证服务器，该认证服务器具有实现上述第二方面或第二方面任一种可选方式中的功能。该认证服务器包括至少一个单元，至少一个单元用于实现上述第二方面或第二方面任一种可选方式所提供的认证方法。

在一些实施例中，认证服务器中的单元通过软件实现，认证服务器中的单元是程序模块。在另一些实施例中，认证服务器中的单元通过硬件或固件实现。第四方面提供的认证服务器的具体细节可参见上述第二方面或第二方面任一种可选方式，此处不再赘述。

第六方面，提供了一种用户设备，该用户设备具有实现上述第三方面或第三方面任一种可选方式中的功能。该用户设备包括至少一个单元，至少一个单元用于实现上述第三方面或第三方面任一种可选方式所提供的认证方法。

在一些实施例中，用户设备中的单元通过软件实现，用户设备中的单元是程序模块。在另一些实施例中，用户设备中的单元通过硬件或固件实现。第四方面提供的用户设备的具体细节可参见上述第三方面或第三方面任一种可选方式，此处不再赘述。

第七方面，提供了一种网络设备，该网络设备包括通信接口、存储器和与所述存储器连接的处理器；

所述存储器用于存储程序代码；

所述处理器用于读取所述存储器中存储的程序代码后，执行以下操作：

拦截所述通信接口接收的来自于用户设备的第一网络请求；

根据所述第一网络请求中预定字段内容，确定所述第一网络请求是否满足重定向条件；

如果所述第一网络请求满足重定向条件，生成目标应答，所述目标应答携带认证界面的标识，所述认证界面用于提示输入所述用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户；

通过所述通信接口向所述用户设备发送所述目标应答。

可选地，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：

对第一DNS应答中的应答字段进行修改，得到所述目标应答，所述第一DNS应答来自于所述DNS服务器、且用于对所述第一DNS请求应答，所述第一DNS应答中的应答字段包括所述第一DNS请求查询的IP地址，所述目标应答中的应答字段包括所述认证界面对应的IP地址。

可选地，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：

通过所述通信接口向所述DNS服务器发送所述第一DNS请求；

通过所述通信接口接收来自于所述DNS服务器的所述第一DNS应答。

可选地，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：

将第一HTTP应答的消息体替换为目标HTML代码，得到所述目标应答，所述第一HTTP应答来自于所述网页服务器、且用于对所述第一HTTP请求应答，所述目标HTML代码用于跳转至所述认证界面，所述目标应答的消息体包括所述目标HTML代码。

可选地，所述处理器读取所述存储器中存储的程序代码后，还执行以下操作：

通过所述通信接口向所述网页服务器发送所述第一HTTP请求；

通过所述通信接口接收来自于所述网页服务器的所述第一HTTP应答。

可选地，所述处理器读取所述存储器中存储的程序代码后，还执行以下操作：

通过所述存储器保存所述第一网络请求与第二身份标识之间的对应关系，所述第二身份标识是根据所述认证界面上输入的所述用户设备的标识、所述认证界面上输入的所述用户信息生成的；

拦截所述通信接口接收的来自于所述用户设备的第二网络请求；

如果所述第二网络请求中携带所述第二身份标识，且所述第二网络请求的目的方与所述第一网络请求的目的方相同，则通过所述通信接口向作为所述第二网络请求的目的方的业务服务器发送保存的所述第一网络请求；

通过所述通信接口接收来自于所述业务服务器的应答内容，通过所述通信接口将所述应答内容发送至所述用户设备。

可选地，所述处理器读取所述存储器中存储的程序代码后，还执行以下操作：

拦截所述通信接口接收的来自于所述用户设备的第三网络请求；

根据所述第三网络请求中预定字段内容，确定所述第三网络请求是否满足重定向条件；

如果所述第三网络请求不满足所述重定向条件，从所述第三网络请求的预定字段中删除第三身份标识，得到第四网络请求；

通过所述通信接口转发所述第四网络请求。

可选地，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：

确定所述第三网络请求的预定字段中携带第三身份标识，并从所述第三网络请求的预定字段中获取所述第三身份标识；

对所述第三身份标识进行认证，并确定所述第三身份标识认证成功，则确定所述第三网络请求不满足所述重定向条件；

其中，对所述第三身份标识进行认证，并确定所述第三身份标识认证成功，包括：

通过所述通信接口向认证服务器发送认证请求，所述认证请求中包括所述第三身份标识以及所述第三网络请求的源IP地址，并通过所述通信接口接收来自于所述认证服务器返回的认证成功消息，根据所述认证成功消息确定所述第三网络请求不满足所述重定向条件，所述认证成功消息用于指示身份标识认证成功；或者，

根据所述第三网络请求的源IP地址查询本地保存的IP地址与身份标识的对应关系以获取所述源IP地址对应的身份标识，并确定所述源IP地址对应的身份标识与所述第三身份标识相同，则确定所述第三网络请求不满足所述重定向条件。

第八方面，提供了一种认证服务器，该认证服务器包括通信接口、存储器和与所述存储器连接的处理器；

所述存储器用于存储程序代码；

所述处理器用于读取所述存储器中存储的程序代码后，执行以下操作：

通过所述通信接口接收用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户，所述用户设备的标识以及所述用户信息是在所述认证服务器提供的认证界面上输入的；

根据所述用户设备的标识以及所述用户信息生成身份标识；

保存所述用户设备的IP地址与所述身份标识之间的对应关系；

根据所述身份标识、所述IP地址与所述身份标识之间的对应关系对所述通信接口接收的来自于所述用户设备的网络请求进行认证。

可选地，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：对所述用户设备的标识以及所述用户信息进行编码，得到所述身份标识。

可选地，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：使用密钥，对所述用户设备的标识以及所述用户信息进行加密，得到所述身份标识。

可选地，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：

根据所述网络请求的源IP地址，查询所述IP地址与身份标识之间的对应关系，得到所述源IP地址对应的身份标识；

如果所述网络请求携带的身份标识与所述源IP地址对应的身份标识相同，确定认证成功；或者，如果所述网络请求携带的身份标识与所述源IP地址对应的身份标识不同，确定认证失败。

可选地，所述处理器读取所述存储器中存储的程序代码后，还执行以下操作：

记录所述用户设备的标识与所述用户信息之间的对应关系；

通过所述通信接口接收定位请求，所述定位请求用于请求查询使用所述用户设备的用户，所述定位请求包括所述用户设备的标识；

根据所述定位请求中的用户设备的标识，查询记录的所述用户设备的标识与所述用户信息之间的对应关系以获取所述定位请求中的用户设备的标识对应的用户信息；

所述通信接口用于输出定位结果，所述定位结果中包括获取的用户信息。

第九方面，提供了一种用户设备，该用户设备包括通信接口、存储器和与所述存储器连接的处理器和显示器；

所述存储器用于存储程序代码；

所述处理器用于读取所述存储器中存储的程序代码后，执行以下操作：

通过所述通信接口发送第一网络请求；

通过所述通信接口接收网络设备针对所述第一网络请求返回的目标应答，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间，所述目标应答携带认证界面的标识；

根据所述目标应答，通过所述显示器显示所述认证界面，所述认证界面用于提示输入所述用户设备的标识以及用户信息；

获取通过所述认证界面输入的所述用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户；

通过所述通信接口向所述认证服务器发送获取的所述用户设备的标识以及所述用户信息；

接收来自于认证服务器的身份标识，所述身份标识是根据所述用户设备的标识以及所述用户信息生成的；

将所述身份标识添加至所述第一网络请求的预定字段中从而生成第二网络请求，向所述网络设备发送所述第二网络请求。

可选地，所述第一网络请求包括第一DNS请求，所述业务服务器为DNS服务器，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：

将所述身份标识添加至所述第一DNS请求中的query字段，从而生成query字段携带所述身份标识的第二DNS请求。

可选地，所述第一网络请求包括第一HTTP请求，所述业务服务器为网页服务器，所述处理器读取所述存储器中存储的程序代码后，执行以下操作：

将所述身份标识添加至所述第一HTTP请求中的HTTP host字段，从而生成HTTPhost字段携带所述身份标识的第二HTTP请求。

第十方面，提供了一种计算机可读存储介质，该存储介质中存储有至少一条指令，该指令由处理器读取以使网络设备执行上述第一方面或第一方面任一种可选方式所提供的认证方法。

第十一方面，提供了一种计算机可读存储介质，该存储介质中存储有至少一条指令，该指令由处理器读取以使认证服务器执行上述第二方面或第二方面任一种可选方式所提供的认证方法。

第十二方面，提供了一种计算机可读存储介质，该存储介质中存储有至少一条指令，该指令由处理器读取以使用户设备执行上述第三方面或第三方面任一种可选方式所提供的认证方法。

第十三方面，提供了一种计算机程序产品，该计算机程序产品包括计算机指令，该计算机指令存储在计算机可读存储介质中。网络设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该网络设备执行上述第一方面或第一方面任一种可选方式所提供的认证方法。

第十四方面，提供了一种计算机程序产品，该计算机程序产品包括计算机指令，该计算机指令存储在计算机可读存储介质中。认证服务器的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该认证服务器执行上述第二方面或第二方面任一种可选方式所提供的认证方法。

第十五方面，提供了一种计算机程序产品，该计算机程序产品包括计算机指令，该计算机指令存储在计算机可读存储介质中。用户设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该用户设备执行上述第三方面或第三方面任一种可选方式所提供的认证方法。

第十六方面，提供了一种芯片，当该芯片在网络设备上运行时，使得网络设备执行上述第一方面或第一方面任一种可选方式所提供的认证方法。

第十七方面，提供了一种芯片，当该芯片在认证服务器上运行时，使得认证服务器执行上述第二方面或第二方面任一种可选方式所提供的认证方法。

第十八方面，提供了一种芯片，当该芯片在用户设备上运行时，使得用户设备执行上述第三方面或第三方面任一种可选方式所提供的认证方法。

第十九方面，提供了一种认证系统，认证系统包括网络设备、认证服务器以及用户设备，该网络设备用于执行上述第一方面或第一方面任一种可选方式所述的方法，该认证服务器用于执行上述第二方面或第二方面任一种可选方式所述的方法，该用户设备用于执行上述第三方面或第三方面任一种可选方式所述的方法。

附图说明

图1是本申请实施例提供的一种系统架构100的示意图；

图2是本申请实施例提供的一种网络设备的示意图；

图3是本申请实施例提供的一种认证服务器的示意图；

图4是本申请实施例提供的一种用户设备的示意图；

图5是本申请实施例提供的一种认证方法的流程图；

图6是本申请实施例提供的一种认证方法的流程图；

图7是本申请实施例提供的一种认证方法的流程图；

图8是本申请实施例提供的一种认证方法的流程图；

图9是本申请实施例提供的一种网络设备的示意图；

图10是本申请实施例提供的一种认证服务器的示意图；

图11是本申请实施例提供的一种用户设备的示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

本申请实施例提供的方法能够应用在无归属资产(assets)追踪定位(positioning)的场景。下面先对资产追踪定位场景进行简单的介绍。

资产定位是指预先登记资产与自然人之间的对应关系，并利用资产与自然人之间的对应关系定位每个资产分别归属于哪个自然人。应用在互联网技术(internettechnology，IT)领域，资产是指用户设备，比如主机、个人计算机、移动终端或者其他类型的物理设备。自然人为使用用户设备的用户。资产定位例如是记录用户设备的标识与用户信息之间的对应关系，并利用记录的信息定位每个用户设备对应的用户，方便对用户设备进行管理。

时下，大型网络环境中存在大量的主机或者其他用户设备。然而，无法定位用户设备对应的用户的情况比较常见。主动发起寻找用户设备对应的用户费时费力，效果一般，无法快速确定用户设备对应的用户。尤其是，对于大型网络或复杂型网络而言，如果网络存在大量未登记的用户设备，一旦用户设备出现故障，尤其在用户设备中毒或用户设备宕机情况下，无法联系用户进行处理，考虑时效性，损失会进一步增大。

在一种可能的实现中，通过人工方式一一登记用户设备对应的用户。具体地，由于网络设备众多，当前最常见方式为人工收集。也就是说，由人员通过工作层级，一级一级向下收集用户信息以及设备的标识。例如，由人员收集用户姓名及主机的互联网协议(internet protocol，IP)地址等。人员收集到用户姓名及主机的IP地址，会统一上报。然而，采用这种方式的成本非常高，需要人工一级一级向下传递，收集到信息再回传回来，效率低，且存在部分收集不全的问题。

在另一种可能的实现中，在用户设备上安装虚拟专用网络(virtual privatenetwork，VPN)客户端等各种客户端并通过口令认证方式实现主动登记。例如，用户通过在客户端上填写账户名和密码实现网络操作。然而，采用这种方式时对原有历史网络改动较大，需要增加单独认证服务，同时需要用户学习客户端的安装操作以及注册操作，实施难度较大。

有鉴于此，本申请实施例实现了以被动方式高效率为未登记资产进行登记，有助于为无归属资产登记认证提供完整支持。相比以上介绍的两种可能实现方式而言，本申请实施例提供的方法在使用效率及使用效果均会有大幅度提升。在实际数据中测试，本申请实施例提供的方法可在较短时间实现网络内无归属资产完整登记，登记率接近100％。

以下介绍本申请实施例提供的系统架构。

参见附图1，本申请实施例提供了一种系统架构100。系统架构100是对基于网络设备实现被动式资产发现的系统架构的举例说明。系统架构100包括网络设备110、用户设备130、业务服务器150以及认证服务器120。网络设备110、用户设备130、业务服务器150、认证服务器120之间通过网络相连。网络设备110位于用户设备130与业务服务器150之间。

网络设备110用于转发网络中的报文以及进行策略控制。可选地，网络设备110是网络安全设备。例如，网络设备110为防火墙、入侵检测系统(intrusion detectionsystem，IDS)类设备、入侵防御系统(intrusion prevention system，IPS)类设备。可选地，网络设备110是网络转发设备。例如，网络设备110为交换机或路由器。网络设备110的硬件结构可参考下述附图2相关的描述。

网络设备110例如部署在企业网与互联网之间。企业网包括交换机以及至少一个用户设备。至少一个用户设备分别与交换机相连。交换机用于转发至少一个用户设备与网络设备110之间传输的数据。

业务服务器150例如部署在互联网。业务服务器150用于根据用户设备130的网络请求为用户设备130处理业务。例如，业务服务器150为DNS服务器，DNS服务器根据用户设备130的DNS请求为用户设备130解析域名。又如，业务服务器150为网页服务器，网页服务器根据用户设备130的HTTP请求为用户设备130提供访问网页所需的资源。

认证服务器120用于与网络设备110进行交互以实现对网络请求的认证。认证服务器120还用于提供认证界面。认证服务器120的硬件结构可参考下述附图3相关的描述。

用户设备130例如是服务器、主机、个人计算机、手机或者工作站等。可选地，用户设备130安装和运行有浏览器。用户设备130能够通过浏览器发起网络请求。网络请求用于请求业务服务器150为用户设备130处理业务。网络请求的目的方为业务服务器150。例如，用户设备130发送的网络请求包括IP报文头，IP报文头包括目的IP地址字段，目的IP地址字段携带业务服务器150的IP地址。

用户设备130还能够通过浏览器显示认证服务器提供的认证界面。用户设备130的硬件结构可参考下述附图4相关的描述。

值得说明的一点是，附图1所示的系统100是对网络设备110与认证服务器120分离设置的举例说明。在另一些实施例中，网络设备110与认证服务器120物理上集成在一起。

例如，认证服务器120为网络设备110内部的认证模块。比如说，网络设备110是防火墙，认证服务器120的物理实体是一个业务板，通过在防火墙中设置该业务板，使得防火墙集成了认证的功能。通过将网络设备110与认证服务器120集成为同一个物理设备，从而不需要单独认证物理设备，完整认证逻辑在防火墙内部模块实现，效率更高。

参见附图2，附图2示出了本申请一个示例性实施例提供的网络设备的结构示意图，附图2所示网络设备200例如为附图1所示的系统架构中的网络设备110。网络设备200包括至少一个处理器201、通信总线202、存储器203以及至少一个通信接口204。

处理器201例如是通用中央处理器(central processing unit，CPU)、网络处理器(network processer，NP)、图形处理器(Graphics Processing Unit，GPU)、神经网络处理器(neural-network processing units，NPU)、数据处理单元(Data Processing Unit，DPU)、微处理器或者一个或多个用于实现本申请方案的集成电路。例如，处理器201包括专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。PLD例如是复杂可编程逻辑器件(complexprogrammable logic device，CPLD)、现场可编程逻辑门阵列(field-programmable gatearray，FPGA)、通用阵列逻辑(generic array logic，GAL)或其任意组合。

通信总线202用于在上述组件之间传送信息。通信总线202可以分为地址总线、数据总线、控制总线等。为便于表示，附图2中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器203例如是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其它类型的静态存储设备，又如是随机存取存储器(random access memory，RAM)或者可存储信息和指令的其它类型的动态存储设备，又如是电可擦可编程只读存储器(electrically erasable programmable read-only Memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备，或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器203例如是独立存在，并通过通信总线202与处理器201相连接。存储器203也可以和处理器201集成在一起。

通信接口204使用任何收发器一类的装置，用于与其它设备或通信网络通信。通信接口204包括有线通信接口，还可以包括无线通信接口。其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为无线局域网(wireless local area networks，WLAN)接口，蜂窝网络通信接口或其组合等。

在具体实现中，作为一种实施例，处理器201可以包括一个或多个CPU，如附图2中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，网络设备200可以包括多个处理器，如附图2中所示的处理器201和处理器205。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，网络设备200还可以包括输出设备和输入设备。输出设备和处理器201通信，可以以多种方式来显示信息。例如，输出设备可以是液晶显示器(liquid crystal display，LCD)、发光二级管(light emitting diode，LED)显示设备、阴极射线管(cathode ray tube，CRT)显示设备或投影仪(projector)等。输入设备和处理器201通信，可以以多种方式接收用户的输入。例如，输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。

在一些实施例中，存储器203用于存储执行本申请方案的程序代码210，处理器201可以执行存储器203中存储的程序代码210。也即是，网络设备200可以通过处理器201以及存储器203中的程序代码210，来实现下述方法实施例提供的方法。

本申请实施例的网络设备200可对应于下述各个方法实施例中的网络设备，并且，该网络设备200中的处理器201、通信接口204等可以实现上述各个方法实施例中的网络设备所具有的功能和/或所实施的各种步骤和方法。为了简洁，在此不再赘述。

参见附图3，附图3示出本申请一个示例性实施例提供的认证服务器的结构示意图，附图3所示认证服务器300例如为附图1所示的系统架构中的认证服务器120。认证服务器300包括至少一个处理器301、通信总线302、存储器303以及至少一个通信接口304。

处理器301例如是通用中央处理器(central processing unit，CPU)、网络处理器(network processer，NP)、图形处理器(Graphics Processing Unit，GPU)、神经网络处理器(neural-network processing units，NPU)、数据处理单元(Data Processing Unit，DPU)、微处理器或者一个或多个用于实现本申请方案的集成电路。例如，处理器301包括专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。PLD例如是复杂可编程逻辑器件(complexprogrammable logic device，CPLD)、现场可编程逻辑门阵列(field-programmable gatearray，FPGA)、通用阵列逻辑(generic array logic，GAL)或其任意组合。

通信总线302用于在上述组件之间传送信息。通信总线302可以分为地址总线、数据总线、控制总线等。为便于表示，附图3中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器303例如是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其它类型的静态存储设备，又如是随机存取存储器(random access memory，RAM)或者可存储信息和指令的其它类型的动态存储设备，又如是电可擦可编程只读存储器(electrically erasable programmable read-only Memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备，或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器303例如是独立存在，并通过通信总线302与处理器301相连接。存储器303也可以和处理器301集成在一起。

通信接口304使用任何收发器一类的装置，用于与其它设备或通信网络通信。通信接口304包括有线通信接口，还可以包括无线通信接口。其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为无线局域网(wireless local area networks，WLAN)接口，蜂窝网络通信接口或其组合等。

在具体实现中，作为一种实施例，处理器301可以包括一个或多个CPU，如附图3中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，认证服务器300可以包括多个处理器，如附图3中所示的处理器301和处理器305。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，认证服务器300还可以包括输出设备和输入设备。输出设备和处理器301通信，可以以多种方式来显示信息。例如，输出设备可以是液晶显示器(liquid crystal display，LCD)、发光二级管(light emitting diode，LED)显示设备、阴极射线管(cathode ray tube，CRT)显示设备或投影仪(projector)等。输入设备和处理器301通信，可以以多种方式接收用户的输入。例如，输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。

在一些实施例中，存储器303用于存储执行本申请方案的程序代码310，处理器301可以执行存储器303中存储的程序代码310。也即是，认证服务器300可以通过处理器301以及存储器303中的程序代码310，来实现下述方法实施例提供的方法。

本申请实施例的认证服务器300可对应于下述各个方法实施例中的认证服务器，并且，该认证服务器300中的处理器301、通信接口304等可以实现上述各个方法实施例中的认证服务器所具有的功能和/或所实施的各种步骤和方法。为了简洁，在此不再赘述。

参见附图4，附图4示出了本申请一个示例性实施例提供的用户设备的结构示意图，附图4所示用户设备400例如为附图1所示的系统架构中的用户设备130。用户设备400包括至少一个处理器401、通信总线402、存储器403、至少一个通信接口404和显示器408。

处理器401例如是通用中央处理器(central processing unit，CPU)、网络处理器(network processer，NP)、图形处理器(Graphics Processing Unit，GPU)、神经网络处理器(neural-network processing units，NPU)、数据处理单元(Data Processing Unit，DPU)、微处理器或者一个或多个用于实现本申请方案的集成电路。例如，处理器401包括专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。PLD例如是复杂可编程逻辑器件(complexprogrammable logic device，CPLD)、现场可编程逻辑门阵列(field-programmable gatearray，FPGA)、通用阵列逻辑(generic array logic，GAL)或其任意组合。

通信总线402用于在上述组件之间传送信息。通信总线402可以分为地址总线、数据总线、控制总线等。为便于表示，附图4中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器403例如是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其它类型的静态存储设备，又如是随机存取存储器(random access memory，RAM)或者可存储信息和指令的其它类型的动态存储设备，又如是电可擦可编程只读存储器(electrically erasable programmable read-only Memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备，或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器403例如是独立存在，并通过通信总线402与处理器401相连接。存储器403也可以和处理器401集成在一起。

通信接口404使用任何收发器一类的装置，用于与其它设备或通信网络通信。通信接口404包括有线通信接口，还可以包括无线通信接口。其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为无线局域网(wireless local area networks，WLAN)接口，蜂窝网络通信接口或其组合等。

显示器408用于显示所述认证界面。显示器408包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emittingdiode，OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的，AMOLED)，柔性发光二极管(flex light-emittingdiode，FLED)，Miniled，MicroLed，Micro-oLed，量子点发光二极管(quantum dot lightemitting diodes，QLED)等。在一些实施例中，用户设备400可以包括1个或N个显示器408，N为大于1的正整数。

在具体实现中，作为一种实施例，处理器401可以包括一个或多个CPU，如附图4中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，用户设备400可以包括多个处理器，如附图4中所示的处理器401和处理器405。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，用户设备400还可以包括输出设备和输入设备。输出设备和处理器401通信，可以以多种方式来显示信息。例如，输出设备可以是液晶显示器(liquid crystal display，LCD)、发光二级管(light emitting diode，LED)显示设备、阴极射线管(cathode ray tube，CRT)显示设备或投影仪(projector)等。输入设备和处理器401通信，可以以多种方式接收用户的输入。例如，输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。

在一些实施例中，存储器403用于存储执行本申请方案的程序代码410，处理器401可以执行存储器403中存储的程序代码410。也即是，用户设备400可以通过处理器401以及存储器403中的程序代码410，来实现下述方法实施例提供的方法。

本申请实施例的用户设备400可对应于上述各个方法实施例中的用户设备，并且，该用户设备400中的处理器401、通信接口404等可以实现上述各个方法实施例中的用户设备所具有的功能和/或所实施的各种步骤和方法。为了简洁，在此不再赘述。

参见附图5，附图5是本申请实施例提供的一种认证方法500的流程图。

示例性地，方法500由附图1所示系统架构中的网络设备110执行。

示例性地，方法500包括步骤S501至步骤S504。

步骤S501、网络设备拦截来自于用户设备的第一网络请求。

其中，第一网络请求的目的方为业务服务器。

步骤S502、网络设备根据第一网络请求中预定字段内容，确定第一网络请求是否满足重定向条件。

预定字段内容是指预定字段携带的信息，或者说预定字段的值。预定字段是指预先设定的、用于在网络请求中携带身份标识的字段。例如当第一网络请求是DNS查询请求时，预定字段为域名系统(domain name system，DNS)请求中的查询(query)字段。又如，当第一网络请求是HTTP请求时，预定字段为超文本传输协议(hyper text transferprotocol，HTTP)请求中的HTTP主机(host)字段。因此，网络设备收到网络请求之后，查找网络请求中指定位置的内容(即预定字段内容)，即可判断是否携带身份标识。

身份标识也称认证标识。身份标识的形式例如是一个字符串。身份标识用于标识用户的身份。在一些实施例中，身份标识和用户是一一对应的关系。一个身份标识唯一对应于一个用户。身份标识是根据用户设备的标识以及用户信息生成的。身份标识的具体生成过程请参考下文步骤S602中的描述。

重定向条件用于指示将网络请求重定向至认证界面的条件。重定向条件的实现方式包括很多种，下面通过重定向条件A和重定向条件B对重定向条件举例说明。可选地，重定向条件A与重定向条件B之间以或者的关系结合，当网络设备收到的网络请求满足重定向条件A与重定向条件B中的一者时，网络设备会将网络请求重定向至认证界面。

重定向条件A、网络请求没有携带身份标识。

例如，网络设备查找第一网络请求的预定字段，判断第一网络请求的预定字段中是否携带身份标识，如果第一网络请求的预定字段中未携带身份标识，网络设备确定第一网络请求满足重定向条件A。

重定向条件B、网络请求携带认证失败的身份标识。

例如，网络设备查找第一网络请求的预定字段，如果第一网络请求的预定字段中携带第一身份标识，且第一身份标识是认证失败的，比如第一身份标识是认证服务器上不存在的身份标识，则网络设备确定第一网络请求满足重定向条件B。通过重定向条件B，在伪造错误的身份标识(如用户自己随便编一个身份标识)以发起网络请求的情况下，也能准确地识别出网络请求需要重定向至认证界面，从而提高认证机制的可靠性。

网络设备如何确定第一身份标识认证失败包括多种方式，下面通过方式1至方式2举例说明。

方式1、网络设备通过与认证服务器进行交互从而确定第一身份标识认证失败。

具体地，网络设备向认证服务器发送第一身份标识，网络设备接收来自于认证服务器的认证失败消息，网络设备根据认证失败消息确定第一身份标识认证失败。可选地，网络设备不仅将第一身份标识发给认证服务器，还将第一网络请求的源IP地址发给认证服务器，以便认证服务器根据第一网络请求的源IP地址查询源IP地址对应的身份标识。

方式2、网络设备本地对第一身份标识进行认证从而确定第一身份标识认证失败。

例如，网络设备保存根据用户设备的标识以及用户信息生成的身份标识，网络设备根据第一身份标识与本地保存的身份标识不同确定第一身份标识认证失败。在一些实施例中，网络设备根据第一网络请求的源IP地址，查询IP地址与身份标识之间的对应关系，得到源IP地址对应的身份标识。网络设备对第一网络请求携带的身份标识与源IP地址对应的身份标识进行比对。如果第一网络请求携带的身份标识与源IP地址对应的身份标识不同，网络设备确定认证失败。在另一些实施例中，网络设备对第一网络请求携带的身份标识与本地保存的每个身份标识进行比对。如果第一网络请求携带的身份标识与本地保存的每个身份标识均不同，网络设备确定认证失败。

步骤S503、如果第一网络请求满足重定向条件，网络设备生成目标应答。

目标应答用于对第一网络请求应答。目标应答携带认证界面的标识。例如，目标应答携带认证界面对应的IP地址。又如，目标应答携带认证界面的统一资源定位器(UniformResource Locator，URL)地址。可选地，目标应答与第一网络请求对应的原始应答具有相同或相似的报文格式。例如，当第一网络请求为DNS请求时，目标应答具有与DNS应答相同或相似的报文格式。又如，当第一网络请求为HTTP请求时，目标应答具有与HTTP应答相同或相似的报文格式。

认证界面用于提示输入用户设备的标识以及用户信息。在一些实施例中，认证界面为认证服务器提供的门户(protal)页面。用户设备的标识用于标识用户设备。例如，用户设备的标识为用户设备的IP地址、媒体访问控制(media access control，MAC)地址或者其他唯一标识符。

用户信息用于标识使用用户设备的用户。例如，用户信息为用户的姓名、电话等。

步骤S504、网络设备向用户设备发送目标应答。

由于目标应答携带认证界面的标识，网络设备通过将目标应答发给用户设备，使得认证界面的标识随着目标应答传递到了用户设备。因此，用户设备能够根据认证界面的标识访问认证界面，从而实现将用户设备的网络请求重定向至认证界面的功能。

本实施例提供的方法，网络设备通过将用户设备的网络请求重定向至认证界面，使得用户设备在发起网络请求后能够自动显示认证界面。由于认证界面同时提示输入两种信息，一种信息是用户设备的标识，另一种信息是使用者的用户信息，从而引导用户在认证界面上输入这两种信息，因此有助于提升用户输入这两种信息的概率，降低收集这两种信息的难度，提高收集这两种信息的效率。进一步地，便于利用这两种信息对用户设备进行登记和定位，从而提高登记和定位的效率。同时，避免由于这两种信息收集不全导致资产定位失败的情况，提高资产定位的成功率。

上述方法500中如何将网络请求重定向至认证界面包括多种实现方式。下面分别对如何基于DNS协议实现重定向流程以及如何基于HTTP协议实现重定向流程举例说明。

可选地，上述方法500中的重定向流程借助DNS协议的处理流程实现，上述方法500中的网络请求为DNS请求，上述方法500中的业务服务器为DNS服务器，上述方法500中的预定字段为DNS请求中的query字段。认证界面的标识为认证界面对应的IP地址。为了便于理解，下面先对借助DNS协议的处理流程实现重定向的技术原理进行解释说明。

DNS协议处理流程包括用户设备发起DNS请求以及向用户设备返回DNS应答。DNS请求携带域名，DNS请求用于请求将域名解析成对应的IP地址。DNS服务器接收到DNS请求之后，DNS服务器会根据DNS请求携带的域名，查询域名与IP地址之间的对应关系，得到域名对应的IP地址。DNS服务器会根据域名对应的IP地址生成DNS应答。DNS应答用于对DNS请求应答。DNS应答携带域名对应的IP地址。用户设备收到DNS应答之后，能够向DNS应答携带的IP地址发起访问。

其中，DNS请求包括query字段，query字段的内容包括请求解析的域名。DNS应答包括应答字段(answer字段)，answer字段的内容包括域名对应的IP地址。例如，DNS请求中query字段的内容包括“www.baidu.com”，DNS应答中answer字段的内容包括“www.baidu.com”对应的IP地址。DNS协议处理流程的具体细节可参考请求评论(requestfor comments，RFC，一系列以编号排定的文件)中的RFC 1035。

而下面的流程中，借助DNS协议处理流程来传递认证界面对应的IP地址。具体地，用户设备发起DNS请求后，网络设备将认证界面对应的IP地址携带在DNS应答中并将DNS应答返回给用户设备，以便用户设备根据DNS应答携带的IP地址访问认证界面，从而实现将用户设备的DNS请求重定向至认证界面的功能。以下通过步骤S511至步骤S514，对具体如何基于DNS协议实现重定向流程举例说明。

步骤S511、网络设备拦截来自于用户设备的第一DNS请求。

步骤S512、网络设备根据第一DNS请求中query字段的内容，确定第一DNS请求是否满足重定向条件。

例如，如果重定向条件采用以上介绍的重定向条件A，网络设备查找第一DNS请求中query字段，判断第一DNS请求中query字段中是否携带身份标识，如果第一DNS请求中query字段中未携带身份标识，网络设备确定第一DNS请求满足重定向条件A。

例如，如果重定向条件采用以上介绍的重定向条件B，如果第一DNS请求中query字段中携带第一身份标识，且第一身份标识是认证失败的，网络设备确定第一DNS请求满足重定向条件B。例如，网络设备将第一DNS请求中query字段携带的第一身份标识发送给认证服务器，当网络设备接收到认证服务器返回的认证失败消息时，网络设备确定第一身份标识认证失败。

步骤S513、如果第一DNS请求满足重定向条件，网络设备生成目标应答。

目标应答包括应答字段。目标应答中的应答字段包括认证界面对应的IP地址。

在一些实施例中，网络设备对第一DNS应答中的应答字段进行修改，得到目标应答。其中，第一DNS应答用于对第一DNS请求应答。第一DNS应答包括应答字段。第一DNS应答中的应答字段包括第一DNS请求查询的IP地址。

例如，网络设备使用认证界面对应的IP地址替换第一DNS应答中应答字段原本包含的内容，将应答字段内容替换后的DNS应答作为目标应答。例如，DNS服务器返回的DNS应答中answer字段内容包含IP地址A，认证界面对应的IP地址为IP地址B。网络设备将DNS应答中应答字段内容从IP地址A替换为IP地址B，将应答字段内容为IP地址B的DNS应答作为目标应答。通过这种方式，网络设备对answer字段进行地址替换即可生成目标应答，实现复杂度较低，实用性强。

可选地，第一DNS应答是由DNS服务器发给网络设备的。具体地，网络设备收到第一DNS请求之后，网络设备向DNS服务器发送第一DNS请求。DNS服务器接收第一DNS请求，响应于第一DNS请求，DNS服务器查询域名对应的IP地址。DNS服务器根据查询的IP地址生成第一DNS应答，DNS服务器向网络设备发送第一DNS应答。网络设备接收来自于DNS服务器的第一DNS应答。

步骤S514、网络设备向用户设备发送目标应答。

以上提供的方法中，通过借助DNS协议的处理流程实现网络请求的重定向，复用DNS请求与DNS应答来传递身份标识，使得本实施例的认证流程与DNS协议的处理流程平滑地融合起来，便于沿用DNS协议的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

可选地，上述方法500中的重定向流程借助HTTP协议的处理流程实现，上述方法500中的网络请求为HTTP请求，上述方法500中的业务服务器为网页服务器，上述方法500中的预定字段为HTTP请求中的HTTP host字段。其中，HTTP host字段用于携带用户设备请求访问的HTTP服务器的域名或者IP地址。

具体地，用户设备发起HTTP请求后，网络设备将具有跳转至认证界面功能的超级文本标记语言(hyper text markup language，HTML)代码携带在HTTP应答中并将HTTP应答返回给用户设备，以便用户设备根据HTTP应答携带的HTML代码跳转至认证界面，从而实现将用户设备的HTTP请求重定向至认证界面的功能。

以下通过步骤S521至步骤S524，对具体如何基于HTTP协议实现重定向流程举例说明。

步骤S521、网络设备拦截来自于用户设备的第一HTTP请求。

步骤S522、网络设备根据第一HTTP请求中HTTP host字段的内容，确定第一HTTP请求是否满足重定向条件。

例如，如果重定向条件采用以上介绍的重定向条件A，网络设备查找第一HTTP请求中HTTP host字段，判断第一HTTP请求中HTTP host字段中是否携带身份标识，如果第一HTTP请求中HTTP host字段中未携带身份标识，网络设备确定第一HTTP请求满足重定向条件A。

例如，如果重定向条件采用以上介绍的重定向条件B，如果第一HTTP请求中HTTPhost字段中携带第一身份标识，且第一身份标识是认证失败的，网络设备确定第一HTTP请求满足重定向条件B。例如，网络设备将第一HTTP请求中HTTP host字段携带的第一身份标识发送给认证服务器，当网络设备接收到认证服务器返回的认证失败消息时，网络设备确定第一身份标识认证失败。

步骤S523、如果第一HTTP请求满足重定向条件，网络设备生成目标应答。

目标应答包括消息体(message-body)。目标应答中的消息体包括目标HTML代码。目标HTML代码用于跳转至认证界面。例如，目标HTML代码包含认证界面的URL地址或者认证界面对应的IP地址。在一些实施例中，网络设备将第一HTTP应答的消息体替换为目标HTML代码，得到目标应答。网络设备通过替换HTTP应答的消息体，从而对网页服务器返回的应答内容完整控制，使得用户设备根据消息体替换后的HTTP应答跳转至认证界面，实现将用户设备的HTTP请求重定向至认证界面的功能。

其中，第一HTTP应答用于对第一HTTP请求应答。第一HTTP应答包括消息体。第一HTTP应答中的消息体包括HTML页面的HTML代码。HTTP协议处理流程的具体细节可参考RFC2616。

可选地，第一HTTP应答是由第一HTTP请求对应的HTTP服务器发给网络设备的。具体地，网络设备向网页服务器发送第一HTTP请求。网页服务器接收第一HTTP请求，网页服务器生成第一HTTP应答，网页服务器向网络设备发送第一HTTP应答。网络设备接收来自于网页服务器的第一HTTP应答。

其中，网页服务器为第一HTTP请求的目的设备。例如，网页服务器的IP地址为第一HTTP请求中目的IP地址字段携带的IP地址。

步骤S524、网络设备向用户设备发送目标应答。

以上提供的方法中，通过借助HTTP协议的处理流程实现网络请求的重定向，复用HTTP请求与HTTP应答来传递身份标识，使得本实施例的认证流程与HTTP协议的处理流程平滑地融合起来，便于沿用HTTP协议的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

以上通过第一网络请求相关的步骤，对网络请求没有携带正确的身份标识(满足重定向条件)的情况下网络设备如何处理网络请求进行了说明。以下通过第三网络请求相关的步骤，对网络请求携带正确的身份标识(不满足重定向条件)的情况下网络设备如何处理网络请求进行说明。

示例性地，当网络请求携带正确的身份标识时网络设备执行的步骤包括以下步骤S531至步骤S534。

步骤S531、网络设备拦截来自于用户设备的第三网络请求。

步骤S532、网络设备根据第三网络请求中预定字段内容，确定第三网络请求是否满足重定向条件。

具体地，网络设备查找第三网络请求的预定字段，网络设备从第三网络请求的预定字段中获取第三身份标识。例如，第三网络请求为第三DNS请求，第三网络请求的预定字段为第三DNS请求的query字段。网络设备从第三DNS请求的query字段中获取第三身份标识。又如，第三网络请求为第三HTTP请求，第三网络请求的预定字段为第三HTTP请求的HTTPhost字段。网络设备从第三HTTP请求的HTTP host字段中获取第三身份标识。

如果网络设备通过以下方式I或者方式II，确定第三身份标识认证成功，网络设备确定第三网络请求不满足重定向条件。

方式I、网络设备通过与认证服务器进行交互，从而确定第三身份标识认证成功。

例如，网络设备向认证服务器发送认证请求，所述认证请求中包括所述第三身份标识以及所述第三网络请求的源IP地址。认证服务器接收认证请求。认证服务器从认证请求获取第三身份标识以及所述第三网络请求的源IP地址。认证服务器根据第三网络请求的源IP地址查询本地保存的IP地址与身份标识的对应关系以获取所述源IP地址对应的身份标识。认证服务器确定所述源IP地址对应的身份标识与所述第三身份标识相同，则认证服务器生成并向网络设备返回认证成功消息。网络设备接收来自于认证服务器的认证成功消息，网络设备根据认证成功消息确定第三网络请求不满足重定向条件，认证成功消息用于指示身份标识认证成功。

方式II、网络设备本地对第三身份标识进行认证，从而确定第三身份标识认证成功。

例如，网络设备保存IP地址与根据用户设备的标识以及用户信息生成的身份标识的对应关系。网络设备根据第三网络请求的源IP地址查询本地保存的IP地址与身份标识的对应关系以获取所述源IP地址对应的身份标识。网络设备确定第三身份标识与源IP地址对应的身份标识相同，则所述网络设备确定第三网络请求不满足所述重定向条件。

步骤S533、如果第三网络请求不满足重定向条件，网络设备从第三网络请求的预定字段中删除身份标识，得到第四网络请求，第四网络请求的预定字段不包含身份标识。

例如，第三网络请求为第三DNS请求，第三网络请求的预定字段为第三DNS请求的query字段。网络设备从第三DNS请求的query字段中删除第三身份标识，得到第四DNS请求。第四DNS请求的query字段不包含第三身份标识。例如，第三DNS请求的query字段的内容包含域名和第三身份标识，第三身份标识位于域名之后。如果网络设备确定第三DNS请求不满足重定向条件，网络设备删除第三DNS请求的query字段中域名之后的第三身份标识，并保留第三DNS请求的query字段中的域名，那么得到的第四DNS请求的query字段包含域名而不包含第三身份标识。

例如，第三网络请求为第三HTTP请求，第三网络请求的预定字段为第三HTTP请求的HTTP host字段。网络设备从第三HTTP请求的HTTP host字段中删除第三身份标识，得到第四HTTP请求。第四HTTP请求的HTTP host字段不包含第三身份标识。例如，第三HTTP请求的HTTP host字段的内容包含IP地址和第三身份标识，第三身份标识位于IP地址之后。如果网络设备确定第三HTTP请求不满足重定向条件，网络设备删除第三HTTP请求的HTTP host字段中IP地址之后的第三身份标识，并保留第三HTTP请求的HTTP host字段中的IP地址，那么得到的第四HTTP请求的HTTP host字段包含IP地址而不包含第三身份标识。

步骤S534、网络设备转发第四网络请求。

以上提供的方法中，通过在网络请求中携带的身份标识正确的情况下，在网络请求中去除身份标识，然后继续转发网络请求，从而避免携带身份标识对网络请求的正常业务处理过程造成影响，保证网络请求得到正常转发。

可选地，以上介绍的第三网络请求是认证标识生成后用户设备重新发送的网络请求。例如，用户设备原本发送了第一网络请求，由于第一网络请求预定字段没有携带身份标识，网络设备将第一网络请求重定向至认证界面，使得用户在认证界面输入用户设备的标识以及用户信息。认证服务器根据用户设备的标识以及用户信息生成身份标识，认证服务器将身份标识发送给用户设备。用户设备根据接收的身份标识，重新执行生成和发送网络请求的步骤，从而发送预定字段携带身份标识的第三网络请求。

可选地，网络设备通过缓存认证失败的网络请求，从而免去身份标识生成后用户手动输入身份标识的过程，以下通过步骤S541至步骤S544举例说明。

步骤S541、网络设备保存第一网络请求与第二身份标识之间的对应关系。

其中，第二身份标识是根据认证界面上输入的用户设备的标识、认证界面上输入的用户信息生成的。换句话说，第二身份标识是正确的身份标识。

步骤S542、所述网络设备拦截来自于所述用户设备的第二网络请求。

步骤S543、如果所述第二网络请求中携带所述第二身份标识，且所述第二网络请求的目的方与所述第一网络请求的目的方相同，则所述网络设备向作为所述第二网络请求的目的方的业务服务器发送保存的所述第一网络请求。

例如，网络设备根据第二身份标识，查询第一网络请求与身份标识之间的对应关系，得到与第二身份标识对应的第一网络请求。

步骤S544、网络设备接收来自于业务服务器的应答内容，将应答内容发送至用户设备。

例如，第一网络请求为第一DNS请求。网络设备向DNS服务器发送第一DNS请求；网络设备接收来自于DNS服务器的第一DNS应答，网络设备将第一DNS应答发送至用户设备。

又如，第一网络请求为第一HTTP请求。网络设备向网页服务器发送第一HTTP请求，网页服务器为第一HTTP请求的目的服务器；网络设备接收来自于网页服务器的第一HTTP应答，网络设备将第一HTTP应答发送至用户设备。

通过以上方式，由于网络设备将第一网络请求保存起来，当网络请求中携带了根据用户信息以及用户设备的标识生成的身份标识时，网络设备将保存的第一网络请求发送给业务服务器，将业务服务器返回的应答内容发给用户设备，从而摆脱用户需要手动输入身份标识的限制，有助于实现用户完全无感知的流程，提高认证的效率。

以上通过方法500从网关设备一侧对技术方案举例说明。以下通过方法600从认证服务器一侧对技术方案举例说明。方法600侧重描述如何根据用户设备的标识以及用户信息生成身份标识，方法600与上述方法500同理的内容请参考上述方法500。需要说明的一点是，在认证服务器和网络设备集成在同一个硬件设备的情况下，执行方法600的认证服务器和执行方法500的网络设备可选地是同一个硬件设备，换句话说，同一个设备既执行上述方法500，又执行下述方法600，从而减少认证服务器和网络设备之间交互产生的时延，提高认证方案整体的效率。

参见附图6，附图6是本申请实施例提供的一种认证方法600的流程图。

示例性地，方法600由如附图1所示系统架构中的认证服务器120执行。

示例性地，方法600包括步骤S601至步骤S604。

步骤S601、认证服务器接收用户设备的标识以及用户信息，用户信息用于标识使用用户设备的用户，用户设备的标识以及用户信息是在认证服务器提供的认证界面上输入的。

步骤S602、认证服务器根据用户设备的标识以及用户信息生成身份标识。

可选地，身份标识的生成过程采用以下方式(1)或方式(2)实现。

方式(1)认证服务器对用户设备的标识以及用户信息进行编码，得到身份标识。

例如，认证服务器对用户设备的标识以及用户信息进行base64编码，得到base64编码，得到的base64编码即为身份标识。其中，base64编码是一种基于64个可打印字符来表示二进制数据的方法，能够用于在网络中传输8比特字节码，尤其适用于在HTTP环境下传递较长的标识信息。由于base64编码能在小范围内保证唯一性，并且base64编码在实现时较为简单，编码性能高，因此提高了方案的实用性。

方式(2)认证服务器使用密钥，对用户设备的标识以及用户信息进行加密，得到身份标识。

例如，认证服务器采用高级加密标准(advanced encryption standard，AES)加密方式生成身份标识。具体地，认证服务器将用户设备的标识以及用户信息作为明文，通过AES加密函数对用户设备的标识以及用户信息运算得到密文，得到的密文即为身份标识。通过采用方式(2)，由于通过加密的方式产生身份标识，有助于保障安全性。

值得说明的一点是，上述base64编码或AES加密仅是对身份标识的生成方式的举例说明，网络设备可选地使用base64编码之外的其他编码方式，或者AES加密之外的其他加密方式来生成身份标识。

步骤S603、认证服务器保存用户设备的IP地址与身份标识之间的对应关系。

在一些实施例中，认证服务器生成身份标识之后，认证服务器还保存身份标识，可选地，认证服务器将身份标识与用户设备的IP地址一一对应存储，认证服务器对身份标识排序后形成哈希表。

可选地，认证服务器生成身份标识之后，将身份标识输出至认证界面，使得认证界面上能够显示身份标识。

步骤S604、认证服务器根据身份标识对来自于用户设备的网络请求进行认证。

在一些实施例中，认证服务器接收网络设备发送的身份标识并查询预先生成的身份标识。认证服务器判断网络设备发送的身份标识与查到的身份标识是否相同。如果网络设备发送的身份标识与查到的身份标识相同，认证服务器确定认证成功；如果网络设备发送的身份标识与查到的身份标识不同，认证服务器确定认证失败。

可选地，认证服务器认证时根据IP地址查询身份标识。具体地，网络设备不仅向认证服务器发送身份标识，还向认证服务器发送网络请求的源IP地址。认证服务器根据网络请求的源IP地址，查询IP地址与身份标识之间的对应关系，得到源IP地址对应的身份标识。认证服务器对网络请求携带的身份标识与源IP地址对应的身份标识进行比对。如果网络请求携带的身份标识与源IP地址对应的身份标识相同，认证服务器确定认证成功；如果网络请求携带的身份标识与源IP地址对应的身份标识不同，认证服务器确定认证失败。例如，认证服务器首先判断哈希表中是否存在源IP地址。如果哈希表中存在源IP地址，认证服务器根据源IP地址查询对应的身份标识。如果哈希表中不存在源IP地址，认证服务器根据身份标识进行全表比对，即判断请求中携带的身份标识与哈希表中每个身份标识是否相同。

通过根据请求中携带的IP地址来查询身份标识，相对于查询表中存储的全部身份标识的方式而言，有助于减少查找的运算量，从而提高查询和比对的效率。并且，在认证服务器存储大量身份标识的情况下，避免使用用户设备A对应的身份标识对用户设备B的网络请求进行认证而导致错误，提高认证的精确性。

可选地，认证服务器确定认证成功之后，认证服务器生成认证成功消息。认证服务器向网络设备发送认证成功消息。认证成功消息用于指示身份标识认证成功。认证服务器确定认证失败之后，认证服务器生成认证失败消息。认证服务器向网络设备发送认证失败消息。认证失败消息用于指示身份标识认证失败。

可选地，认证服务器接收用户设备的标识以及用户信息之后，认证服务器记录用户设备的标识与用户信息之间的对应关系。认证服务器通过记录用户设备的标识与用户信息之间的对应关系，有助于确定每个用户设备分别属于哪个用户，从而实现资产定位。例如，在进行资产定位时，认证服务器接收定位请求，定位请求用于请求查询使用所述用户设备的用户，定位请求包括用户设备的标识。认证服务器响应于定位请求，根据定位请求携带的用户设备的标识查询用户设备的标识与用户信息之间的对应关系，得到定位请求中的用户设备的标识对应的用户信息。认证服务器输出定位结果，定位结果中包括获取的用户信息。

以上通过方法600从认证服务器一侧对技术方案举例说明。以下通过方法700从用户设备一侧对技术方案举例说明。方法700与上述方法500和方法600同理的内容请参考上述方法500和方法600。

参见附图7，附图7是本申请实施例提供的一种认证方法700的流程图。

示例性地，方法700由附图1所示系统架构中的用户设备130执行。示例性地，方法700包括步骤S701至步骤S708。

步骤S701、用户设备向网络设备发送第一网络请求。

例如，用户设备为主机，主机通过浏览器发起第一网络请求。

步骤S702、用户设备接收网络设备针对第一网络请求返回的目标应答，目标应答携带认证界面的标识。

步骤S703、用户设备根据目标应答，显示认证界面。

由于用户设备接收的应答不是第一网络请求对应的原始应答，而是网络设备生成的目标应答，而目标应答携带认证界面的标识，因此，用户设备收到目标应答之后，用户设备根据目标应答携带的认证界面的标识，用户设备会访问认证界面，显示认证界面。因此，用户在浏览器上看到的界面不再是最初访问的界面，而是认证界面，从而实现将网络请求重定向至认证界面。例如，在借助HTTP协议的处理流程实现重定向流程时，目标应答的消息体包括目标HTML代码，用户设备执行目标应答携带的目标HTML代码，用户设备的浏览器界面跳转至认证界面。

步骤S704、用户设备获取通过认证界面输入的用户设备的标识以及用户信息，用户信息用于标识使用用户设备的用户。

步骤S705、用户设备向认证服务器发送获取的用户设备的标识以及用户信息。

在一些实施例中，认证界面包括第一输入控件、第二输入控件以及确认控件。第一输入控件用于提示输入用户设备的标识。第二输入控件用于提示输入用户信息。用户对第一输入控件触发输入操作，输入用户设备的标识；用户对第二输入控件触发输入操作，输入用户信息。用户输入用户设备的标识以及用户信息之后，点击确认控件。用户设备响应于对确认控件的点击操作，用户设备根据对第一输入控件的输入操作，获得用户设备的标识；用户设备根据对第二输入控件的输入操作，获得用户信息。

步骤S706、用户设备接收来自于认证服务器的身份标识，身份标识是根据用户设备的标识以及用户信息生成的。

步骤S707、用户设备将身份标识添加至第一网络请求的预定字段中从而生成第二网络请求。

步骤S708、用户设备向网络设备发送第二网络请求。

用户设备通过自动在网络请求的预定字段中添加身份标识，使得添加身份标识的步骤对于用户全程无感知，从而避免用户手动添加身份标识，降低了用户操作的复杂度，提高认证效率。

可选地，用户设备添加身份标识的过程包括以下方式a和方式b。

方式a、用户设备将身份标识添加至第一DNS请求中的query字段，从而生成query字段携带身份标识的第二DNS请求。

方式a是对网络请求为DNS请求的情况下如何自动添加身份标识的举例说明。

可选地，用户设备将身份标识添加至query字段中域名之后的位置。例如，用户通过浏览器访问http://baidu.com时，DNS请求query字段的内容初始包含域名baidu.com，身份标识为xxxxxxxxxxx，用户设备将xxxxxxxxxxx添加至query字段中域名baidu.com之后的位置，使得DNS请求query字段的内容包含baidu.com.xxxxxxxxxxx。

方式b、用户设备将身份标识添加至第一HTTP请求中的HTTP host字段，从而生成HTTP host字段携带身份标识的第二HTTP请求。

方式b是对网络请求为HTTP请求的情况下如何自动添加身份标识的举例说明。可选地，

用户设备将身份标识添加至HTTP host字段中域名或者IP地址之后的位置。例如，用户通过浏览器访问IP地址192.168.11.2时，HTTP请求中HTTP host字段中初始包含IP地址192.168.11.2，身份标识为xxxxxxxxxxx，用户设备将xxxxxxxxxxx添加至HTTP host字段中IP地址192.168.11.2之后的位置，使得HTTP请求query字段的内容包含192.168.11.2/xxxxxxxxxxxx。

可选地，用户设备添加身份标识的过程是通过用户设备中运行的客户端插件实现的。例如，认证界面提供客户端插件下载，用户从认证界面下载客户端插件，用户将客户端插件安装至用户设备。用户启用用户设备中的客户端插件，将身份标识配置在配置文件中。配置完成后，用户设备即可开始联网操作。其中，客户端插件的主要功能为在正常访问过程中，客户端插件自动将身份标识加至访问域名后或其他位置。

可选地，由用户执行输入操作，在浏览器填写域名处填写身份标识，用户设备根据用户输入的身份标识，生成并发送携带身份标识的网络请求。

下面将结合具体的例子，从网络设备、用户设备、认证服务器之间交互的角度详细描述本申请实施例提供的方法。

参见附图8，附图8是本申请实施例提供的一种认证方法800的流程图。方法800是对以上方法实施例的举例说明。在以下方法800中，网络设备为防火墙，用户设备请求访问域名为“www.baidu.com”的服务器，身份标识为唯一字符串xxxxxxxxxxx。示例性地，方法800由如附图1所示系统架构中的网络设备110、用户设备130、认证服务器120、DNS服务器(或HTTP服务器)交互执行。

方法800包括步骤S801至步骤S808。

步骤S801、用户设备通过浏览器访问www.baidu.com，发送网络请求。

步骤S802、防火墙解析用户设备的网络请求，并将网络请求重定向至认证服务器。

步骤S803、由于防火墙将网络请求重定向至认证服务器，此时用户设备浏览器展示界面为认证服务器提供的认证界面。用户在认证界面输入用户信息及设备信息进行注册，输出唯一字符串xxxxxxxxxxx。

步骤S804、用户设备获取唯一字符串。

步骤S805、用户设备通过浏览器访问www.baidu.com时，在网络请求中域名之后的位置携带唯一字符串，如网络请求携带www.baidu.com xxxxxxxxxxx。

步骤S806、防火墙接到网络请求后，防火墙解析网络请求获取唯一字符串。

步骤S807、防火墙将唯一字符串发送给认证服务器。认证服务器对唯一字符串进行认证，确认网络请求对应的用户设备已合法注册。

步骤S808、防火墙确认网络请求合法，防火墙去除网络请求中的唯一字符串，正常放行网络请求通过。

以上介绍了本申请实施例的方法实施例，以下从逻辑功能的角度介绍本申请实施例的网络设备、认证服务器和用户设备。

附图9示出了上述实施例中所涉及的网络设备的一种可能的结构示意图。附图9所示的网络设备900例如实现方法各个方法实施例中网络设备的相应功能，网络设备900例如为附图1所示的系统架构中的网络设备110。

请参考附图9，网络设备900包括接收单元901、处理单元902和发送单元903。网络设备900中的各个单元全部或部分地通过软件、硬件、固件或者其任意组合来实现。网络设备900中的各个单元用于执行上述方法实施例中网络设备的相应功能。具体地，接收单元901用于支持网络设备900执行S501。处理单元902用于支持网络设备900执行S502至S503。发送单元903用于支持网络设备900执行S504。

在一些实施例中，接收单元901、处理单元902或发送单元903还用于支持网络设备900执行本文所描述的技术中网络设备执行的其它过程。例如，接收单元901用于支持网络设备900执行方法实施例中网络设备执行的各种接收操作，如S511、S521、S531、S542。处理单元902用于支持网络设备900执行方法实施例中网络设备执行的各种处理操作，如S512、S513、S522、S523、S532、S533、S541。发送单元903用于支持网络设备900执行方法实施例中网络设备执行的各种发送操作，如S514、S524、S534、S702、S543。具体执行过程请参考方法实施例中相应步骤的详细描述，这里不再一一赘述。

本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可选地有另外的划分方式。

在一些实施例中，网络设备900中各个单元集成在一个处理单元中。例如，网络设备900中各个单元集成在同一个芯片上。该芯片包括处理电路和与该处理电路内部连接通信的输入接口以及输出接口。处理单元902通过芯片中的处理电路实现。接收单元901通过芯片中的输入接口实现。发送单元903通过芯片中的输出接口实现。例如，该芯片通过一个或多个现场可编程门阵列(英文全称：field－programmable gate array，英文简称：FPGA)、可编程逻辑器件(英文全称：programmable logic device，英文简称：PLD)、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本申请通篇所描述的各种功能的电路的任意组合实现。

在另一些实施例中，网络设备900各个单元单独物理存在。在另一些实施例中，网络设备900一部分单元单独物理存在，另一部分单元集成在一个单元中。例如，在一些实施例中，处理单元902和发送单元903是同一个单元。在另一些实施例中，处理单元902和发送单元903是不同的单元。在一些实施例中，不同单元的集成采用硬件的形式实现，即，不同单元对应于同一个硬件。又如，不同单元的集成采用软件单元的形式实现。

在网络设备900中通过硬件实现的情况下，网络设备900中处理单元902例如通过网络设备200中的处理器201实现。网络设备900中接收单元901、发送单元903例如通过网络设备200中的通信接口204实现。

在网络设备900中通过软件实现的情况下，网络设备900中各个单元例如为网络设备200中的处理器201读取存储器中存储的程序代码后生成的软件。例如，网络设备900为虚拟化设备。虚拟化设备包括而不限于虚拟机、容器、Pod中的至少一种。在一些实施例中，网络设备900以虚拟机的形式，部署在硬件设备(如物理服务器)上。例如，基于通用的物理服务器结合网络功能虚拟化(Network Functions Virtualization，NFV)技术来实现网络设备900。采用虚拟机的方式实现时，网络设备900例如为虚拟主机、虚拟路由器或虚拟交换机。本领域技术人员通过阅读本申请即可结合NFV技术在通用物理服务器上虚拟出网络设备900。在另一些实施例中，网络设备900以容器(例如docker容器)的形式，部署在硬件设备上。例如，网络设备900执行上述方法实施例的流程被封装在镜像文件中，硬件设备通过运行镜像文件来创建网络设备900。在另一些实施例中，网络设备900以Pod的形式，部署在硬件设备上。Pod包括多个容器，每个容器用于实现网络设备900中的一个或多个单元。

附图10示出了上述实施例中所涉及的认证服务器的一种可能的结构示意图。附图10所示的认证服务器1000例如实现方法实施例中认证服务器的功能。附图10所示的认证服务器1000例如为附图1所示系统中认证服务器120。

请参考附图10，认证服务器1000包括接收单元1001和处理单元1002。认证服务器1000中的各个单元全部或部分地通过软件、硬件、固件或者其任意组合来实现。认证服务器1000中的各个单元用于执行上述方法实施例中认证服务器120的相应功能。具体地，接收单元1001用于支持认证服务器1000执行S601。处理单元1002用于支持认证服务器1000执行S602、S603、S604。

在一些实施例中，接收单元1001和处理单元1002还用于支持认证服务器1000执行本文所描述的技术中认证服务器执行的其它过程。例如，接收单元1001用于支持认证服务器1000执行方法实施例中认证服务器执行的各种接收操作。处理单元1002用于支持认证服务器1000执行方法实施例中认证服务器执行的各种处理操作。具体执行过程请参考方法实施例中相应步骤的详细描述，这里不再一一赘述。

本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可选地有另外的划分方式。

在一些实施例中，认证服务器1000中各个单元集成在一个处理单元中。例如，认证服务器1000中各个单元集成在同一个芯片上。该芯片包括处理电路和与该处理电路内部连接通信的输入接口以及输出接口。处理单元1002通过芯片中的处理电路实现。接收单元1001通过芯片中的输入接口实现。例如，该芯片通过一个或多个FPGA、PLD、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本申请通篇所描述的各种功能的电路的任意组合实现。

在另一些实施例中，认证服务器1000各个单元单独物理存在。在另一些实施例中，认证服务器1000一部分单元单独物理存在，另一部分单元集成在一个单元中。

在认证服务器1000中通过硬件实现的情况下，认证服务器1000中处理单元1002例如通过认证服务器300中的处理器301实现。认证服务器1000中接收单元1001例如通过认证服务器300中的通信接口304实现。

在认证服务器1000中通过软件实现的情况下，认证服务器1000中各个单元例如为认证服务器300中的处理器301读取存储器中存储的程序代码后生成的软件。例如，认证服务器1000为虚拟化设备。虚拟化设备包括而不限于虚拟机、容器、Pod中的至少一种。在一些实施例中，认证服务器1000以虚拟机的形式，部署在硬件设备(如物理服务器)上。例如，基于通用的物理服务器结合NFV技术来实现认证服务器1000。采用虚拟机的方式实现时，认证服务器1000例如为虚拟主机、虚拟路由器或虚拟交换机。本领域技术人员通过阅读本申请即可结合NFV技术在通用物理服务器上虚拟出认证服务器1000。在另一些实施例中，认证服务器1000以容器(例如docker容器)的形式，部署在硬件设备上。例如，认证服务器1000执行上述方法实施例的流程被封装在镜像文件中，硬件设备通过运行镜像文件来创建认证服务器1000。在另一些实施例中，认证服务器1000以Pod的形式，部署在硬件设备上。Pod包括多个容器，每个容器用于实现认证服务器1000中的一个或多个单元。

附图11示出了上述实施例中所涉及的用户设备的一种可能的结构示意图。附图11所示的用户设备1100例如实现方法实施例中用户设备的功能。用户设备1100例如为附图1所示系统中用户设备130。

请参考附图11，用户设备1100包括发送单元1101、接收单元1102、显示单元1103和处理单元1104。用户设备1100中的各个单元全部或部分地通过软件、硬件、固件或者其任意组合来实现。用户设备1100中的各个单元用于执行上述方法实施例中用户设备的相应功能。具体地，发送单元1101用于支持用户设备1100执行S701、S705、S708。接收单元1102用于支持用户设备1100执行S702、S706、S704。显示单元1103用于支持用户设备1100执行S703。处理单元1104用于支持用户设备1100执行S707。

在一些实施例中，接收单元1102、处理单元1104或发送单元1101还用于支持用户设备1100执行本文所描述的技术中用户设备执行的其它过程。例如，接收单元1102用于支持用户设备1100执行方法实施例中用户设备执行的各种接收操作。处理单元1104用于支持用户设备1100执行方法实施例中用户设备执行的各种处理操作；发送单元1101用于支持用户设备1100执行方法实施例中用户设备执行的各种发送操作。具体执行过程请参考方法实施例中相应步骤的详细描述，这里不再一一赘述。

本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可选地有另外的划分方式。

在一些实施例中，用户设备1100中各个单元集成在一个处理单元中。例如，用户设备1100中各个单元集成在同一个芯片上。该芯片包括处理电路和与该处理电路内部连接通信的输入接口以及输出接口。处理单元1104通过芯片中的处理电路实现。接收单元1102通过芯片中的输入接口实现。发送单元1101通过芯片中的输出接口实现。例如，该芯片通过一个或多个FPGA、PLD、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本申请通篇所描述的各种功能的电路的任意组合实现。

在另一些实施例中，用户设备1100各个单元单独物理存在。在另一些实施例中，用户设备1100一部分单元单独物理存在，另一部分单元集成在一个单元中。例如，在一些实施例中，处理单元1104和发送单元1101是同一个单元。在另一些实施例中，处理单元1104和发送单元1101是不同的单元。在一些实施例中，不同单元的集成采用硬件的形式实现，即，不同单元对应于同一个硬件。又如，不同单元的集成采用软件单元的形式实现。

在用户设备1100中通过硬件实现的情况下，用户设备1100中处理单元1104例如通过用户设备400中的处理器401实现。用户设备1100中接收单元1102、发送单元1101例如通过用户设备400中的通信接口404实现。

在用户设备1100中通过软件实现的情况下，用户设备1100中各个单元例如为用户设备400中的处理器401读取存储器中存储的程序代码后生成的软件。例如，用户设备1100为虚拟化设备。虚拟化设备包括而不限于虚拟机、容器、Pod中的至少一种。在一些实施例中，用户设备1100以虚拟机的形式，部署在硬件设备(如物理服务器)上。例如，基于通用的物理服务器结合NFV技术来实现用户设备1100。采用虚拟机的方式实现时，用户设备1100例如为虚拟主机、虚拟路由器或虚拟交换机。本领域技术人员通过阅读本申请即可结合NFV技术在通用物理服务器上虚拟出用户设备1100。在另一些实施例中，用户设备1100以容器(例如docker容器)的形式，部署在硬件设备上。例如，用户设备1100执行上述方法实施例的流程被封装在镜像文件中，硬件设备通过运行镜像文件来创建用户设备1100。在另一些实施例中，用户设备1100以Pod的形式，部署在硬件设备上。Pod包括多个容器，每个容器用于实现用户设备1100中的一个或多个单元。

本领域普通技术人员可以意识到，结合本文中所公开的实施例中描述的各方法步骤和单元，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各实施例的步骤及组成。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参见前述方法实施例中的对应过程，在此不再赘述。

本申请中术语“第一”“第二”等字样用于对作用和功能基本相同的相同项或相似项进行区分，应理解，“第一”、“第二”、“第n”之间不具有逻辑或时序上的依赖关系，也不对数量和执行顺序进行限定。例如，在不脱离各种所述示例的范围的情况下，第一网络请求可以被称为第二网络请求，并且类似地，第二网络请求可以被称为第一网络请求。第一网络请求和第二网络请求都可以是网络请求，并且在某些情况下，可以是单独且不同的网络请求。

本申请中术语“至少一个”的含义是指一个或多个。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机程序指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例中的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。

该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机程序指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，DVD)、或者半导体介质(例如固态硬盘)等。前述的存储介质包括：U盘、移动硬盘、只读存储器(read-onlymemory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (26)

1.一种认证方法，其特征在于，所述方法包括：

网络设备拦截来自于用户设备的第一网络请求，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间；

所述网络设备根据所述第一网络请求中预定字段内容，确定所述第一网络请求是否满足重定向条件；所述重定向条件包括：所述第一网络请求的预定字段中未携带身份标识，所述身份标识是根据用户设备的标识以及用户信息生成的；或者，所述第一网络请求的预定字段中携带第一身份标识、且所述第一身份标识是认证失败的；

如果所述第一网络请求满足重定向条件，所述网络设备生成目标应答，所述目标应答携带认证界面的标识，所述认证界面用于提示输入所述用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户；

所述网络设备向所述用户设备发送所述目标应答；

所述网络设备拦截来自于所述用户设备的第三网络请求；

所述网络设备根据所述第三网络请求中预定字段内容，确定所述第三网络请求是否满足重定向条件；

如果所述第三网络请求不满足所述重定向条件，所述网络设备从所述第三网络请求的预定字段中删除第三身份标识，得到第四网络请求；

所述网络设备转发所述第四网络请求至所述第三网络请求目的方的业务服务器。

2.根据权利要求1所述的方法，其特征在于，所述第一网络请求包括第一域名系统DNS请求，所述业务服务器为DNS服务器，所述预定字段为所述第一DNS请求中的查询query字段。

3.根据权利要求2所述的方法，其特征在于，所述网络设备生成目标应答包括：

所述网络设备对第一DNS应答中的应答字段进行修改，得到所述目标应答，所述第一DNS应答来自于所述DNS服务器、且用于对所述第一DNS请求应答，所述第一DNS应答中的应答字段包括所述第一DNS请求查询的IP地址，所述目标应答中的应答字段包括所述认证界面对应的互联网协议IP地址。

4.根据权利要求3所述的方法，其特征在于，所述网络设备对第一DNS应答中的应答字段进行修改之前，所述方法还包括：

所述网络设备向所述DNS服务器发送所述第一DNS请求；

所述网络设备接收来自于所述DNS服务器的所述第一DNS应答。

5.根据权利要求1所述的方法，其特征在于，所述第一网络请求为第一超文本传输协议HTTP请求，所述业务服务器为网页服务器，所述预定字段为所述第一HTTP请求中的HTTP主机host字段。

6.根据权利要求5所述的方法，其特征在于，所述网络设备生成目标应答包括：

所述网络设备将第一HTTP应答的消息体替换为目标超级文本标记语言HTML代码，得到所述目标应答，所述第一HTTP应答来自于所述网页服务器、且用于对所述第一HTTP请求应答，所述目标HTML代码用于跳转至所述认证界面，所述目标应答的消息体包括所述目标HTML代码。

7.根据权利要求6所述的方法，其特征在于，所述网络设备将第一HTTP应答的消息体替换为目标超级文本标记语言HTML代码之前，所述方法还包括：

所述网络设备向所述网页服务器发送所述第一HTTP请求；

所述网络设备接收来自于所述网页服务器的所述第一HTTP应答。

8.根据权利要求1所述的方法，其特征在于，所述网络设备向所述用户设备发送所述目标应答之后，所述方法还包括：

所述网络设备保存所述第一网络请求与第二身份标识之间的对应关系，所述第二身份标识是根据所述认证界面上输入的所述用户设备的标识、所述认证界面上输入的所述用户信息生成的；

所述网络设备拦截来自于所述用户设备的第二网络请求；

如果所述第二网络请求中携带所述第二身份标识，且所述第二网络请求的目的方与所述第一网络请求的目的方相同，则所述网络设备向作为所述第二网络请求的目的方的业务服务器发送保存的所述第一网络请求；

所述网络设备接收来自于所述业务服务器的应答内容，将所述应答内容发送至所述用户设备。

9.根据权利要求1所述的方法，其特征在于，所述网络设备根据所述第三网络请求中预定字段内容，确定所述第三网络请求是否满足重定向条件，包括：

所述网络设备确定所述第三网络请求的预定字段中携带第三身份标识，并从所述第三网络请求的预定字段中获取所述第三身份标识；

所述网络设备对所述第三身份标识进行认证，并确定所述第三身份标识认证成功，则所述网络设备确定所述第三网络请求不满足所述重定向条件；

其中，所述网络设备对所述第三身份标识进行认证，并确定所述第三身份标识认证成功，包括：

所述网络设备向认证服务器发送认证请求，所述认证请求中包括所述第三身份标识以及所述第三网络请求的源IP地址，并接收来自于所述认证服务器返回的认证成功消息，所述网络设备根据所述认证成功消息确定所述第三网络请求不满足所述重定向条件，所述认证成功消息用于指示身份标识认证成功；或者，

所述网络设备根据所述第三网络请求的源IP地址查询本地保存的IP地址与身份标识的对应关系以获取所述源IP地址对应的身份标识，并确定所述源IP地址对应的身份标识与所述第三身份标识相同，则所述网络设备确定所述第三网络请求不满足所述重定向条件。

10.一种认证方法，其特征在于，所述方法包括：

在网络设备拦截用户设备的第一网络请求，根据所述第一网络请求中预定字段内容，确定所述第一网络请求满足重定向条件的情况下，认证服务器接收用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户，所述用户设备的标识以及所述用户信息是在所述认证服务器提供的认证界面上输入的；所述重定向条件包括：所述第一网络请求的预定字段中未携带身份标识，所述身份标识是根据用户设备的标识以及用户信息生成的；或者，所述第一网络请求的预定字段中携带第一身份标识、且所述第一身份标识是认证失败的，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间；

所述认证服务器根据所述用户设备的标识以及所述用户信息生成身份标识；

所述认证服务器保存所述用户设备的互联网协议IP地址与所述身份标识之间的对应关系；

所述认证服务器根据所述身份标识、所述IP地址与所述身份标识之间的对应关系对来自于所述用户设备的网络请求进行认证，在认证成功的情况下，由所述网络设备从来自于所述用户设备的网络请求的预定字段中删除所述身份标识，得到删除后的网络请求，转发删除后的网络请求至来自于所述用户设备的网络请求目的方的业务服务器。

11.根据权利要求10所述的方法，其特征在于，所述认证服务器根据所述用户设备的标识以及所述用户信息生成身份标识，包括：

所述认证服务器对所述用户设备的标识以及所述用户信息进行编码，得到所述身份标识。

12.根据权利要求10所述的方法，其特征在于，所述认证服务器根据所述用户设备的标识以及所述用户信息生成身份标识，包括：

所述认证服务器使用密钥，对所述用户设备的标识以及所述用户信息进行加密，得到所述身份标识。

13.根据权利要求10所述的方法，其特征在于，所述认证服务器根据所述身份标识、所述IP地址与所述身份标识之间的对应关系对来自于所述用户设备的网络请求进行认证，包括：

所述认证服务器根据所述网络请求的源IP地址，查询所述IP地址与身份标识之间的对应关系，得到所述源IP地址对应的身份标识；

如果所述网络请求携带的身份标识与所述源IP地址对应的身份标识相同，所述认证服务器确定认证成功；或者，

如果所述网络请求携带的身份标识与所述源IP地址对应的身份标识不同，所述认证服务器确定认证失败。

14.根据权利要求10至13中任一项所述的方法，其特征在于，所述认证服务器接收用户设备的标识以及用户信息之后，所述方法还包括：

所述认证服务器记录所述用户设备的标识与所述用户信息之间的对应关系；

所述认证服务器接收定位请求，所述定位请求用于请求查询使用所述用户设备的用户，所述定位请求包括所述用户设备的标识；

所述认证服务器根据所述定位请求中的用户设备的标识，查询记录的所述用户设备的标识与所述用户信息之间的对应关系以获取所述定位请求中的用户设备的标识对应的用户信息；

所述认证服务器输出定位结果，所述定位结果中包括获取的用户信息。

15.一种认证方法，其特征在于，所述方法包括：

用户设备发送第一网络请求；

所述用户设备接收网络设备针对所述第一网络请求返回的目标应答，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间，所述目标应答携带认证界面的标识；其中，所述网络设备在根据所述第一网络请求中预定字段内容，确定所述第一网络请求满足重定向条件的情况下，向所述用户设备发送所述目标应答；所述重定向条件包括：所述第一网络请求的预定字段中未携带身份标识，所述身份标识是根据用户设备的标识以及用户信息生成的；或者，所述第一网络请求的预定字段中携带第一身份标识、且所述第一身份标识是认证失败的；

所述用户设备根据所述目标应答，显示所述认证界面，所述认证界面用于提示输入所述用户设备的标识以及用户信息；

所述用户设备获取通过所述认证界面输入的所述用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户；

所述用户设备向所述认证服务器发送获取的所述用户设备的标识以及所述用户信息；

所述用户设备接收来自于认证服务器的身份标识，所述身份标识是根据所述用户设备的标识以及所述用户信息生成的；

所述用户设备将所述身份标识添加至所述第一网络请求的预定字段中从而生成第二网络请求，向所述网络设备发送所述第二网络请求，以使所述网络设备根据所述第二网络请求中预定字段内容，在确定所述第二网络请求不满足重定向条件的情况下，从所述第二网络请求的预定字段中删除所述身份标识，得到删除后的网络请求，转发删除后的网络请求至所述第二网络请求目的方的业务服务器。

16.根据权利要求15所述的方法，其特征在于，所述第一网络请求包括第一域名系统DNS请求，所述业务服务器为DNS服务器，所述用户设备将所述身份标识添加至所述第一网络请求的预定字段中从而生成第二网络请求，包括：

所述用户设备将所述身份标识添加至所述第一DNS请求中的查询query字段，从而生成query字段携带所述身份标识的第二DNS请求。

17.根据权利要求15所述的方法，其特征在于，所述第一网络请求包括第一超文本传输协议HTTP请求，所述业务服务器为网页服务器，所述用户设备将所述身份标识添加至所述第一网络请求的预定字段中从而生成第二网络请求，包括：

所述用户设备将所述身份标识添加至所述第一HTTP请求中的HTTP主机host字段，从而生成HTTP host字段携带所述身份标识的第二HTTP请求。

18.一种网络设备，其特征在于，所述网络设备包括：

接收单元，用于拦截来自于用户设备的第一网络请求，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间；

处理单元，用于根据所述第一网络请求中预定字段内容，确定所述第一网络请求是否满足重定向条件；所述重定向条件包括：所述第一网络请求的预定字段中未携带身份标识，所述身份标识是根据用户设备的标识以及用户信息生成的；或者，所述第一网络请求的预定字段中携带第一身份标识、且所述第一身份标识是认证失败的；

所述处理单元，还用于如果所述第一网络请求满足重定向条件，生成目标应答，所述目标应答携带认证界面的标识，所述认证界面用于提示输入所述用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户；

发送单元，用于向所述用户设备发送所述目标应答；

所述接收单元，还用于拦截来自于所述用户设备的第三网络请求；

所述处理单元，还用于根据所述第三网络请求中预定字段内容，确定所述第三网络请求是否满足重定向条件；

所述处理单元，还用于如果所述第三网络请求不满足所述重定向条件，从所述第三网络请求的预定字段中删除第三身份标识，得到第四网络请求；

所述发送单元，还用转发所述第四网络请求至所述第三网络请求目的方的业务服务器。

19.根据权利要求18所述的网络设备，其特征在于，

所述处理单元，还用于保存所述第一网络请求与第二身份标识之间的对应关系，所述第二身份标识是根据所述认证界面上输入的所述用户设备的标识、所述认证界面上输入的所述用户信息生成的；

所述接收单元，还用于拦截来自于所述用户设备的第二网络请求；

所述发送单元，还用于如果所述第二网络请求中携带所述第二身份标识，且所述第二网络请求的目的方与所述第一网络请求的目的方相同，则向作为所述第二网络请求的目的方的业务服务器发送保存的所述第一网络请求；

所述接收单元，还用于接收来自于所述业务服务器的应答内容；

所述发送单元，还用于将所述应答内容发送至所述用户设备。

20.一种认证服务器，其特征在于，所述认证服务器包括：

接收单元，用于在网络设备拦截用户设备的第一网络请求，根据所述第一网络请求中预定字段内容，确定所述第一网络请求满足重定向条件的情况下，接收用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户，所述用户设备的标识以及所述用户信息是在所述认证服务器提供的认证界面上输入的；所述重定向条件包括：所述第一网络请求的预定字段中未携带身份标识，所述身份标识是根据用户设备的标识以及用户信息生成的；或者，所述第一网络请求的预定字段中携带第一身份标识、且所述第一身份标识是认证失败的，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间；

处理单元，用于根据所述用户设备的标识以及所述用户信息生成身份标识；

所述处理单元，还用于保存所述用户设备的互联网协议IP地址与所述身份标识之间的对应关系；

所述处理单元，还用于在所述网络设备拦截用户的第三网络请求，根据所述第三网络请求中预定字段内容，确定所述第三网络请求不满足重定向条件的情况下，根据所述身份标识、所述IP地址与所述身份标识之间的对应关系对来自于所述用户设备的网络请求进行认证，在认证成功的情况下，由所述网络设备从所述第三网络请求的预定字段中删除第三身份标识，得到第四网络请求，转发所述第四网络请求至所述第三网络请求目的方的业务服务器。

21.一种用户设备，其特征在于，所述用户设备包括：

发送单元，用于发送第一网络请求；

接收单元，用于接收网络设备针对所述第一网络请求返回的目标应答，所述网络设备位于所述用户设备与作为所述第一网络请求目的方的业务服务器之间，所述目标应答携带认证界面的标识；其中，所述网络设备在根据所述第一网络请求中预定字段内容，确定所述第一网络请求满足重定向条件的情况下，向所述用户设备发送所述目标应答；所述重定向条件包括：所述第一网络请求的预定字段中未携带身份标识，所述身份标识是根据用户设备的标识以及用户信息生成的；或者，所述第一网络请求的预定字段中携带第一身份标识、且所述第一身份标识是认证失败的；

显示单元，用于根据所述目标应答，显示所述认证界面，所述认证界面用于提示输入所述用户设备的标识以及用户信息；

所述接收单元，还用于获取通过所述认证界面输入的所述用户设备的标识以及用户信息，所述用户信息用于标识使用所述用户设备的用户；

所述发送单元，还用于向所述认证服务器发送获取的所述用户设备的标识以及所述用户信息；

所述接收单元，还用于接收来自于认证服务器的身份标识，所述身份标识是根据所述用户设备的标识以及所述用户信息生成的；

处理单元，用于将所述身份标识添加至所述第一网络请求的预定字段中从而生成第二网络请求，向所述网络设备发送所述第二网络请求，以使所述网络设备根据所述第二网络请求中预定字段内容，在确定所述第二网络请求不满足重定向条件的情况下，从所述第二网络请求的预定字段中删除所述身份标识，得到删除后的网络请求，转发删除后的网络请求至所述第二网络请求目的方的业务服务器。

22.根据权利要求21所述的用户设备，其特征在于，所述第一网络请求包括第一域名系统DNS请求，所述业务服务器为DNS服务器，所述处理单元，用于将所述身份标识添加至所述第一DNS请求中的查询query字段，从而生成query字段携带所述身份标识的第二DNS请求。

23.根据权利要求21所述的用户设备，其特征在于，所述第一网络请求包括第一超文本传输协议HTTP请求，所述业务服务器为网页服务器，所述处理单元，用于将所述身份标识添加至所述第一HTTP请求中的HTTP主机HTTP host字段，从而生成HTTP host字段携带所述身份标识的第二HTTP请求。

24.一种网络设备，其特征在于，所述网络设备包括处理器和通信接口，所述处理器用于执行程序代码，使得所述网络设备执行如权利要求1至权利要求9中任一项所述的方法，所述通信接口用于传输网络请求以及目标应答。

25.一种认证服务器，其特征在于，所述认证服务器包括处理器和通信接口，所述处理器用于执行程序代码，使得所述认证服务器执行如权利要求10至权利要求14中任一项所述的方法，所述通信接口用于接收用户设备的标识、用户信息以及网络请求。

26.一种用户设备，其特征在于，所述用户设备包括处理器、通信接口和显示器，所述处理器用于执行程序代码，使得所述用户设备执行如权利要求15至权利要求17中任一项所述的方法，所述通信接口用于传输网络请求、目标应答、用户设备的标识以及用户信息，所述显示器用于显示认证界面。

Images