CN1598807A - Web认证方法 - Google Patents
Web认证方法 Download PDFInfo
- Publication number
- CN1598807A CN1598807A CN 03146907 CN03146907A CN1598807A CN 1598807 A CN1598807 A CN 1598807A CN 03146907 CN03146907 CN 03146907 CN 03146907 A CN03146907 A CN 03146907A CN 1598807 A CN1598807 A CN 1598807A
- Authority
- CN
- China
- Prior art keywords
- web
- client
- request
- user
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开一种WEB认证方法,其以国际标准的HTTP协议的请求、响应的报文交互为通道,在其上建立一个私有协议,完成对WEB认证用户的认证和上线、定时心跳检测在线、完成下线的功能。由于本发明的协议建立在HTTP之上,从而避免了防火墙带来的非TCP 80报文不能穿透的问题;在线时可以进行心跳检测,所以可以及时发现用户下线,提高计费精度;另外认证、心跳检测、下线都有加密算法,从而保证了安全性。
Description
【技术领域】
本发明涉及一种网络接入控制方法,尤其涉及一种WEB认证方法。
【背景技术】
目前业界的一些宽带接入服务器设备支持WEB认证。WEB认证是指用户在获得IP地址后,只能访问有限的一个或者一些地址,通过浏览器从宽带接入服务器(BAS)内置的或者外置的WEB认证服务器中下载认证页面脚本,该脚本可能包含Java程序或者ActiveX程序等客户端程序。用户在下载的网页页面上输入用户名和密码进行认证,客户端程序会和WEB认证服务器进行交互,到宽带接入服务器进行认证,认证通过后,即允许用户上线,打开了用户更大的上网权限,可以访问更多的地址,例如上因特网。
但是目前业界的WEB认证方法具有如下缺点:
1)没有完整的认证客户端和服务器的协议,靠一些简单的报文进行交互,处理异常能力差,功能扩充难;
2)客户端程序使用UDP或者TCP等传输层进行通信,服务器的传输层端口采用自定义的非知名端口,但是有些认证服务器是在在防火墙后面的,防火墙可能只允许知名端口如TCP80(HTTP)和25/110(eMail)等,这样通信发生困难,就必须专门放开防火墙的非知名端口,带来配置上的麻烦和安全性的降低;
3)有的客户端程序采用ActiveX,需要安装证书,影响了用户的信任度,而且ActiveX可以传播病毒,让用户担心;
4)客户端程序没有和服务器的定时检测功能,用户断线不能及时发现,往往要靠释放IP地址、拔掉网线,或者等待很长时间,影响了计费精度,对普通用户的操作造成障碍,对于一个帐号只能允许一个用户在线的场合给用户短时间内再次上线造成了困难;
5)报文交互采用明文,容易被攻击,安全性低。
【发明内容】
为了克服现有的WEB认证方法的上述缺点,本发明提供一种基于HTTP或其它支持请求-响应方式的通信协议的WEB认证方法。
为实现本发明的目的,本发明所采用的技术方案是:提供一种WEB认证方法,其特征在于包括以下步骤:a.客户端向WEB认证服务器发送接入请求;b.WEB认证服务器为客户端分配一个密钥和上线ID,并通过接入响应通知客户端;c.客户端用密钥加密用户名和密码,向WEB认证服务器发送认证请求;d.WEB认证服务器处理认证请求,如果认证不通过,则用认证响应通知客户端失败;否则用认证响应通知客户端认证上线成功;e.客户端定时或不定时发出心跳请求,WEB认证服务器给予心跳响应,双方维持在线状态。
上述客户端采用JavaScript或Java Applet程序。
上述的请求和响应协议报文构成WEB认证协议,承载于支持请求/响应方式的通信协议之上。
该支持请求/响应方式的通信协议为HTTP协议。
该认证请求和认证响应报文、心跳请求和心跳响应报文是用密钥进行加密的,其采用MD5加密算法进行加密,并且靠用户的IP地址和上线ID进行判断。
该加密的报文需要验证,如果验证不成功,则表明是非法攻击,予以丢弃。
该WEB认证报文是字符串或者二进制格式。
本发明WEB认证方法的有益效果是:
1)建立了WEB认证协议、定义了字段格式和报文加密方式,使WEB认证协议完整、可以扩充,且报文加密增加了安全性;
2)将WEB认证协议承载于HTTP协议之上,从而避免了防火墙非TCP 80报文不能穿透的问题;
3)实现了定时在线心跳检测,及时发现用户断线,提高了计费精度,也使故障恢复可以不用释放IP和拔出网线等手段,重新上网的时间延迟缩短在可以接受的范围,例如半分钟;
4)由于客户端采用JavaScript或Java Applet程序,运行在浏览器提供的Java虚拟机沙箱中,具有天然的安全性,无需证书,不可能传播病毒,用户能够放心使用。
【附图说明】
图1是本发明WEB认证方法的流程图。
【具体实施方式】
请参阅图1,本发明的WEB认证方法,其基于HTTP协议,其包括以下步骤:
a.用户通过浏览器从WEB认证服务器下载网页,输入用户名和密码,点击上线按钮,客户端程序运行,向WEB认证服务器发送接入请求,其中客户端采用JavaScript或JavaApplet程序。
b.WEB认证服务器为客户端分配一个密钥和上线ID,并通过接入响应通知客户端。
c.客户端用密钥加密用户名和密码,向WEB认证服务器发送认证请求。
d.WEB认证服务器处理认证请求,如果认证不通过,则用认证响应通知客户端失败;否则用认证响应通知客户端认证上线成功。
e.客户端定时发出心跳请求,WEB认证服务器给予心跳响应,双方维持在线状态。
f.如果客户端连续几次不能得到心跳响应或者得到要求下线的响应,则客户端通知用户已经下线;如果WEB认证服务器在一段时间内没有收到客户端的正确的心跳请求报文,则认为用户已经断线,可以切断用户的连接,停止计费;当客户端正常在线时,用户可以通过点击或者定时等办法让客户端主动发出下线请求,WEB认证服务器收到后验证其是合法的报文后,就发给客户端一个下线响应,客户端就会通知用户下线成功,同时WEB认证服务器切断用户的连接,停止计费;如果WEB认证服务器由于心跳检测超时,或者因为用户帐户的计费余额已经用完,或者其它管理的原因,需要将用户连接切断,如果在WEB认证服务器切断用户连接的过程中收到了客户端的心跳请求,则会在心跳响应中通知客户端就要/已经下线了,从而客户端程序会通知用户已下线,如果收到下线请求,则WEB认证服务器收到后验证其是合法的报文后,就发给客户端一个下线响应,客户端就会通知用户下线成功,同时WEB认证服务器切断用户的连接,停止计费;如果该过程内没有收到心跳请求或者下线请求,则WEB认证服务器切断用户连接,停止计费,不再响应该客户端的除接入请求外的其它请求报文,客户端会通过几次得不到心跳响应的超时机制来发现自己已经断网并通知用户。
上述的请求和响应协议报文构成WEB认证协议,承载于HTTP协议之上。除接入请求和响应报文外,其余报文都是用密钥进行加密的,其采用MD5加密算法进行加密,并且靠用户的IP地址和上线ID进行判断。加密的报文需要验证,如果验证不成功,则表明是非法攻击,予以丢弃。WEB认证报文作为HTTP协议报文包装的内容,可以是字符串或者二进制格式。本发明的WEB认证协议也可以把其它类似的支持请求/响应方式的通信协议作为载体,例如直接使用TCP、UDP或RADIUS协议等。
Claims (10)
1、一种WEB认证方法,其特征在于至少包括以下步骤:
a.客户端向WEB认证服务器发送接入请求;
b.WEB认证服务器为客户端分配一个密钥和上线ID,并通过接入响应通知客户端;
c.客户端用密钥加密用户名和密码,向WEB认证服务器发送认证请求;
d.WEB认证服务器处理认证请求,如果认证不通过,则用认证响应通知客户端失败;否则用认证响应通知客户端认证上线成功;
e.客户端定时或不定时发出心跳请求,WEB认证服务器给予心跳响应,双方维持在线状态。
2、如权利要求1所述的WEB认证方法,其特征在于上述客户端向WEB认证服务器发送接入请求前,用户通过浏览器从WEB认证服务器下载网页,输入用户名和密码,并上线。
3.如权利要求1所述的WEB认证方法,其特征在于上述客户端采用JavaScript或Java Applet程序。
4.如权利要求1所述的WEB认证方法,其特征在于步骤e之后还包括步骤f:
如果客户端连续几次不能得到心跳响应或者得到要求下线的响应,则客户端通知用户已经下线,停止计费;
如果WEB认证服务器在一段时间内没有收到客户端的正确的心跳请求报文,则认为用户已经断线,可以切断用户的连接,停止计费;
当客户端正常在线时,用户可以让客户端主动发出下线请求,WEB认证服务器收到后验证其是合法的报文后,就发给客户端一个下线响应,客户端就会通知用户下线成功,同时WEB认证服务器切断用户的连接,停止计费;
如果WEB认证服务器由于心跳检测超时,或者因为用户帐户的计费余额已经用完,或者管理的原因,需要将用户连接切断,如果在WEB认证服务器切断用户连接的过程中收到了客户端的心跳请求,则会在心跳响应中通知客户端就要或已经下线了,从而客户端程序会通知用户已下线,如果收到下线请求,则WEB认证服务器收到后验证其是合法的报文后,就发给客户端一个下线响应,客户端就会通知用户下线成功,同时WEB认证服务器切断用户的连接,停止计费,如果在WEB认证服务器切断用户连接的过程中没有收到心跳请求或者下线请求,则WEB认证服务器切断用户连接,停止计费。
5.如权利要求1所述的WEB认证方法,其特征在于上述的请求和响应协议报文构成WEB认证协议,承载于支持请求/响应方式的通信协议之上。
6.如权利要求5所述的WEB认证方法,其特征在于该支持请求/响应方式的通信协议为HTTP协议。
7.如权利要求5所述的WEB认证方法,其特征在于该支持请求/响应方式的通信协议为TCP、UDP或RADIUS协议。
8.如权利要求1或4所述的WEB认证方法,其特征在于该认证请求和认证响应报文、心跳请求和心跳响应报文以及下线请求和下线响应报文是用密钥进行加密的,其采用MD5加密算法进行加密,并且靠用户的IP地址和上线ID进行判断。
9.如权利要求8所述的WEB认证方法,其特征在于该加密的报文需要验证,如果验证不成功,则表明是非法攻击,予以丢弃。
10.如权利要求1所述的WEB认证方法,其特征在于该WEB认证报文是字符串或者二进制格式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03146907 CN1598807A (zh) | 2003-09-17 | 2003-09-17 | Web认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03146907 CN1598807A (zh) | 2003-09-17 | 2003-09-17 | Web认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1598807A true CN1598807A (zh) | 2005-03-23 |
Family
ID=34659711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03146907 Pending CN1598807A (zh) | 2003-09-17 | 2003-09-17 | Web认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1598807A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100574325C (zh) * | 2006-12-26 | 2009-12-23 | 北京大学 | 一种Web通信加密方法 |
| CN101909056A (zh) * | 2010-07-21 | 2010-12-08 | 北京星网锐捷网络技术有限公司 | 客户端状态识别方法、装置及网络设备 |
| CN101262500B (zh) * | 2008-04-23 | 2011-02-09 | 杭州华三通信技术有限公司 | 推送登录页面的方法、接入控制器和web认证服务器 |
| CN101106535B (zh) * | 2007-08-14 | 2011-04-13 | 华为技术有限公司 | 一种实现心跳机制的方法、服务器和系统 |
| CN101557405B (zh) * | 2009-06-01 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种入口认证方法及其对应的网关设备、服务器 |
| CN103139138A (zh) * | 2011-11-22 | 2013-06-05 | 飞塔公司 | 一种基于客户端检测的应用层拒绝服务防护方法及系统 |
| CN105611520A (zh) * | 2015-12-25 | 2016-05-25 | 北京奇虎科技有限公司 | 实现用户上网控制的方法及装置 |
| CN107172490A (zh) * | 2017-03-29 | 2017-09-15 | 广东有线广播电视网络有限公司 | 一种机顶盒应用程序的安全运行控制方法及系统 |
-
2003
- 2003-09-17 CN CN 03146907 patent/CN1598807A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100574325C (zh) * | 2006-12-26 | 2009-12-23 | 北京大学 | 一种Web通信加密方法 |
| CN101106535B (zh) * | 2007-08-14 | 2011-04-13 | 华为技术有限公司 | 一种实现心跳机制的方法、服务器和系统 |
| CN101262500B (zh) * | 2008-04-23 | 2011-02-09 | 杭州华三通信技术有限公司 | 推送登录页面的方法、接入控制器和web认证服务器 |
| CN101557405B (zh) * | 2009-06-01 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种入口认证方法及其对应的网关设备、服务器 |
| CN101909056A (zh) * | 2010-07-21 | 2010-12-08 | 北京星网锐捷网络技术有限公司 | 客户端状态识别方法、装置及网络设备 |
| CN101909056B (zh) * | 2010-07-21 | 2013-03-13 | 北京星网锐捷网络技术有限公司 | 客户端状态识别方法、装置及网络设备 |
| CN103139138A (zh) * | 2011-11-22 | 2013-06-05 | 飞塔公司 | 一种基于客户端检测的应用层拒绝服务防护方法及系统 |
| CN105611520A (zh) * | 2015-12-25 | 2016-05-25 | 北京奇虎科技有限公司 | 实现用户上网控制的方法及装置 |
| CN105611520B (zh) * | 2015-12-25 | 2019-03-05 | 北京奇虎科技有限公司 | 实现用户上网控制的方法及装置 |
| CN107172490A (zh) * | 2017-03-29 | 2017-09-15 | 广东有线广播电视网络有限公司 | 一种机顶盒应用程序的安全运行控制方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673877B2 (en) | Method and apparatus for detecting port scans in a network | |
| Lee et al. | A data mining and CIDF based approach for detecting novel and distributed intrusions | |
| US8631499B2 (en) | Platform for analyzing the security of communication protocols and channels | |
| EP3044913B1 (fr) | Procede et systeme d'etablissement de reseaux prives virtuels entre reseaux locaux | |
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
| US11888882B2 (en) | Network traffic correlation engine | |
| CN107508847A (zh) | 一种连接建立方法、装置和设备 | |
| Riquet et al. | Large-scale coordinated attacks: Impact on the cloud security | |
| CN103546486A (zh) | 一种防DDOS攻击的SYN Cookie源认证方法及其装置 | |
| WO2006110378A2 (en) | Secure network sessions establishing and validating method | |
| CN110198297A (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| CN1598807A (zh) | Web认证方法 | |
| CN109474485A (zh) | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 | |
| JP2002007234A (ja) | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 | |
| CN1917427B (zh) | 一种快速恢复门户认证环境的方法和装置 | |
| US8972543B1 (en) | Managing clients utilizing reverse transactions | |
| CN109150914A (zh) | 物联网安全架构及其网关重定向方法、数据包握手方法 | |
| JP2004046742A (ja) | 攻撃分析装置、センサ、攻撃分析方法及びプログラム | |
| US6915431B1 (en) | System and method for providing security mechanisms for securing network communication | |
| US10079857B2 (en) | Method of slowing down a communication in a network | |
| Szmit et al. | Traffic anomaly detection with snort | |
| Thomas et al. | Improving security management through passive network observation | |
| CA2661053C (en) | Method for reactivation of a secure communication link | |
| EP2109284A1 (en) | Protection mechanism against denial-of-service attacks via traffic redirection | |
| Roy et al. | RESEARCH INVESTIGATIONS ON DDOS ATTACK |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: SHENZHEN CITY NEW GREEN KNIGHT ICT CO., LTD. Free format text: FORMER OWNER: SHENZHEN GELIN NAITONG COMMUNICATION TECHNOLOGY CO., LTD. Effective date: 20071221 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20071221 Address after: Second, fourth layer 10, Qiong Yu Road, Nanshan District Science Park, Guangdong, Shenzhen Province, China: 518057 Applicant after: Shenzhen New Greennet Technologies Co., Ltd. Address before: Postcode 10, Qiong Yu Road, Shenzhen science and Technology Park, Guangdong, China: 518057 Applicant before: Shenzhen GreenNet Communication Technologies Co., Ltd. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |