网络接入认证方法及装置的制造方法

网络接入认证方法及装置的制造方法
【专利摘要】本发明提供一种网络接入认证方法及装置，接入设备通过基于网络层协议执行以下步骤来对用户接入网络的权限进行认证：当接收到客户端发送的第一资源请求报文时，将认证页面推送给客户端；接收客户端发送的用户向认证页面输入的认证信息；将认证信息发送给认证服务器，以使认证服务器判断该认证信息与用户信息列表中预设的认证信息是否相同，若相同，则确定客户端通过认证，该预设的认证信息为所述用户在注册时预先保存在所述接入设备中的信息。相比于接入设备基于应用层协议推送认证页面，本发明实施例中，接入设备基于网络层协议推送认证页面，可以提高认证页面推送速度，从而可以提高认证响应速度。
【专利说明】
网络接入认证方法及装置
技术领域
[0001]本发明涉及网络通信技术领域，特别涉及一种网络接入认证方法及装置。
【背景技术】
[0002]Portal接入认证是互联网接入的一种认证方式，当客户端用户访问网络资源时，接入设备会向客户端用户强制推送Portal认证页面，若客户端用户向该Portal认证页面中输入正确的认证信息，则客户端通过认证，此时，客户端用户便可通过认证该设备正常地访问网络资源。
[0003]现有技术中，接入设备通常基于应用层协议向客户端推送Portal认证页面。然而，随着互联网中客户端数量的增加，接入设备需要基于应用层协议对大量的客户端推送Portal认证页面，这样会导致接入设备的CPU (Central Processing Unit，中央处理器)占用率较高，Portal认证页面推送速度较慢，从而造成认证响应速度较慢。

【发明内容】

[0004]有鉴于此，本发明提供一种网络接入认证方法及装置，以解决认证响应速度较慢的问题。
[0005]根据本发明实施例的第一方面，本发明提供一种网络接入认证方法，所述方法应用在接入设备上，所述接入设备基于网络层协议执行所述方法，包括:当接收到客户端发送的第一资源请求报文时，将认证页面推送给所述客户端；
[0006]接收所述客户端发送的用户向所述认证页面输入的认证信息；
[0007]将所述认证信息发送给认证服务器，以使所述认证服务器判断所述认证信息与用户信息列表中预设的认证信息是否相同，若相同，则确定所述客户端通过认证，所述预设的认证信息为所述用户在注册时预先保存在所述接入设备中的信息。
[0008]根据本发明实施例的第二方面，本发明提供一种网络接入认证装置，所述装置应用在接入设备上，所述装置基于网络层协议进行网络接入认证，所述装置包括:
[0009]认证页面推送单元，用于当接收到客户端发送的第一资源请求报文时，将认证页面推送给所述客户端；
[0010]接收单元，用于接收所述客户端发送的用户向所述认证页面输入的认证信息；
[0011]判断单元，用于将所述认证信息发送给认证服务器，以使所述认证服务器判断所述认证信息与用户信息列表中预设的认证信息是否相同，若相同，则确定所述客户端通过认证，所述预设的认证信息为所述用户在注册时预先保存在所述接入设备中的信息。
[0012]综上所述，由于采用了上述技术方案，本发明的有益效果是:
[0013]本发明实施例中，相比于接入设备基于应用层协议向客户端推送认证页面，本发明实施例中，接入设备基于网络层协议向客户端推送认证页面，可以提高认证页面的推送速度，从而可以提高认证响应速度。
【附图说明】
[0014]图1是应用本发明实施例实现网络接入认证的应用场景示意图；
[0015]图2是本发明网络接入认证方法的一个实施例流程图；
[0016]图3是本发明网络接入认证方法的另一个实施例流程图；
[0017]图4是本发明网络接入认证装置所在设备的一种硬件结构图；
[0018]图5是本发明网络接入认证装置的一个实施例框图。
【具体实施方式】
[0019]为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。
[0020]参见图1，为应用本发明实施例实现网络接入认证的应用场景示意图。图1中，该客户端可以为手机、iPad、笔记本电脑等，该接入设备可以为路由器、交换机等。接入设备用于向客户端推送认证页面，认证服务器用于对用户接入网络的权限进行认证，网络服务器用于向客户端提供网络资源。
[0021]在本发明实施例中，接入设备基于网络层协议执行以下步骤:当客户端用户通过接入设备访问网络服务器上的网络资源时，接入设备接收到客户端发送的第一资源请求报文，此时接入设备可以将认证页面推送给客户端；当用户向认证页面输入的认证信息后，接入设备将客户端发送的认证信息发送给认证服务器，以使认证服务器判断该认证信息与用户信息列表中预设的认证信息是否相同，在两者相同时确定该客户端通过认证。由此，相比于接入设备基于应用层协议向客户端推送认证页面，本发明实施例中，接入设备基于网络层协议向客户端推送认证页面，可以提高认证页面的推送速度，从而可以提高认证响应速度。
[0022]参见图2，为本发明网络接入认证方法的一个实施例的流程图，该实施例从接入设备侧进行描述，该接入设备基于网络层协议执行以下步骤:
[0023]步骤201、当接收到客户端发送的第一资源请求报文时，将认证页面推送给客户端。
[0024]在本发明的优选实施例中，当客户端用户通过接入设备访问网络服务器上的网络资源时，客户端判断其与接入设备是否已经建立连接，若已经建立连接，则客户端可以向接入设备发送第一资源请求报文，否则，客户端可以在与接入设备建立连接后，向接入设备发送第一资源请求报文。其中，该第一资源请求报文中可以包括客户端用户请求访问的网络资源的地址信息，客户端和网络服务器的主机名、IP地址等。
[0025]当接入设备接收到客户端发送的第一资源请求报文时，为了避免对已经通过认证的客户端用户进行重复认证，接入设备可以首先通过对该第一资源请求报文进行解析，获得该客户端的身份信息以及客户端请求访问的网络资源的地址信息；然后判断该客户端的身份信息与客户端信息列表中客户端的身份信息是否相同。其中，该客户端信息列表中客户端的身份信息可以为用于识别已经通过认证的客户端的身份的信息，该客户端的身份信息可以为客户端的主机名或IP地址。
[0026]当该客户端的身份信息与该客户端信息列表中客户端的身份信息相同时，接入设备将该第一资源请求报文转发给网络服务器，以使网络服务器根据第一资源请求报文中客户端请求访问的网络资源的地址信息，确定客户端请求访问的网络资源，并在将该客户端请求访问的网络资源封装至资源响应报文中之后，将该资源响应报文通过接入设备发送给客户端。至此，客户端可以正常地访问网络服务器上的网络资源。
[0027]当该客户端的身份信息与该客户端信息列表中客户端的身份信息不相同时，接入设备向客户端返回认证页面的地址信息。
[0028]在客户端接收到接入设备返回的认证页面的地址信息后，为了实现认证页面的推送，客户端可以在将该认证页面的地址信息封装至认证请求报文之后，将该认证请求报文发送给接入设备。接入设备在接收到该认证请求报文后，可以根据该认证页面的地址信息确定认证页面的内容，并在将该认证页面的内容封装至认证响应报文之后，将该认证响应报文发送给客户端。至此，接入设备将认证页面成功推送给了客户端。
[0029]由上述描述可见，本发明实施例在接入设备向客户端推送认证页面之前，接入设备基于应用层协议判断客户端是否已经通过认证，可以避免向已经通过认证的客户端推送认证页面，从而可以提高认证响应速度。
[0030]步骤202、接收客户端发送的用户向认证页面输入的认证信息。
[0031 ] 在本发明的优选实施例中，在接入设备将认证服务器提供的认证页面推送给客户端后，用户可以通过客户端向认证页面输入认证信息，并由该客户端将该认证信息发送给接入设备。
[0032]步骤203、将认证信息发送给认证服务器，以使认证服务器判断该认证信息与用户信息列表中预设的认证信息是否相同，若相同，则确定客户端通过认证，否则，确定客户端未通过认证。
[0033]在本发明的优选实施例中，该预设的认证信息为用户在注册时预先保存在接入设备中的信息，且该预设的认证信息可以包括用户名和密码。
[0034]在确定客户端通过认证后，为了保证客户端可以正常地访问网络服务器上的网络资源，认证服务器可以通过向接入设备返回认证通过报文，使接入设备向客户端返回客户端请求访问的网络资源的地址信息。客户端在将客户端请求访问的网络资源的地址信息封装至第二资源请求报文后，将该第二资源请求报文通过接入设备发送给网络服务器。网络服务器在接收到该第二资源请求报文后，可以根据第二资源请求报文中客户端请求访问的网络资源的地址信息，确定客户端请求访问的网络资源；并在将客户端请求访问的网络资源封装至资源响应报文后，将该资源响应报文发送给客户端。
[0035]另外，在确定客户端通过认证后，为了避免该客户端用户在下一次访问网络资源时对该客户端进行重复认证，接入设备还可以将该客户端的身份信息保存至该客户端信息列表中，由此可以提高认证响应速度。
[0036]在确定客户端未通过认证后，认证服务器可以通过接入设备向客户端返回认证未通过报文。客户端在接收到认证未通过报文后，可以弹出认证失败的提示框，并在用户点击该提示框上的确定按钮后，重新刷新该认证页面，以要求用户重新输入正确的认证信息。
[0037]由上述实施例可见，相比于接入设备基于应用层协议向客户端推送认证页面，本发明实施例中，接入设备基于网络层协议向客户端推送认证页面，可以提高认证响应速度。
[0038]参见图3，为本发明网络接入认证方法的另一个实施例的流程图，该实施例通过客户端、接入设备、认证服务器和网络服务器之间的交互，来详细描述网络接入认证的过程。在本实施例中，接入设备基于网络层协议来实现网络接入的认证，当客户端打开浏览器访问网络服务器上的网页时，该方法可以包括以下步骤:
[0039]步骤301、客户端判断是否与接入设备建立TCP (Transmiss1n ControlProtocol，传输控制协议)连接，若已经建立TCP连接，则执行步骤305 ;否则，执行步骤302。
[0040]步骤302、客户端向接入设备发送SYN (Synchronous，同步字符)报文。
[0041]步骤303、接入设备向客户端返回SYN/ACK(Acknowledgement，确认字符)报文。
[0042]步骤304、客户端向接入设备发送ACK报文，由此客户端与接入设备完成三次握手，客户端与接入设备建立TCP连接。
[0043]步骤305、客户端向接入设备发送第一HTTP (Hypertext Transfer Protocol，超文本传输协议)资源请求报文，用以请求访问网络资源。该第一 HTTP资源请求报文中可以包括用户请求访问的网络资源的URL(Uniform Resource Locator，统一资源定位器)地址信息，客户端和网络服务器的主机名、IP地址等。
[0044]步骤306、接入设备根据HTTP协议规则，对第一 HTTP资源请求报文进行解析，从而获得客户端请求访问的网络资源的URL地址信息以及客户端的IP地址。
[0045]步骤307、接入设备判断该客户端的IP地址与客户端信息列表中客户端的IP地址是否相同，若相同，则表示该客户端已经通过认证，执行步骤319;否则，表示该客户端未通过认证，执行步骤308。其中，该客户端信息列表中客户端的IP地址为已经通过认证的客户端的IP地址。
[0046]步骤308、接入设备将认证页面的URL地址信息封装至第一 HTTP协议头的Locat1n标签中，并将该第一 HTTP协议头返回给客户端，由此接入设备将认证页面的URL地址信息发送给客户端。
[0047]步骤309、客户端通过接入设备将HTTP认证请求报文发送给接入设备，以求访问认证页面，该HTTP认证请求报文中包括认证页面的URL地址信息。
[0048]步骤310、接入设备根据该HTTP认证请求报文中认证页面的URL地址信息，确定认证页面的内容。
[0049]步骤311、接入设备将HTTP认证响应报文返回给客户端，该HTTP认证响应报文中包括认证页面的内容。
[0050]步骤312、客户端将HTTP认证响应报文中认证页面的内容显示在浏览器上。该认证页面上可以包括用于要求用户输入用户名和密码的输入栏。
[0051]步骤313、客户端用户向认证页面输入对应的用户名和密码，以该用户名和密码作为认证信息。
[0052]步骤314、客户端将用户名和密码信息存放至表单中，并基于HTTP协议的POST机制将表单发送给接入设备，以使接入设备将该用户名和密码转发给认证服务器。
[0053]步骤315、认证服务器判断用户名与用户信息列表中预设的有权访问该网络资源的用户名是否相同，在用户名与用户信息列表中预设的用户名相同时，进一步判断表单中的密码与用户信息列表中预设的与该用户名对应的密码是否相同，若相同，则确定该客户端通过认证，执行步骤316 ;在用户名与用户信息列表中预设的用户名不相同时，执行步骤322。
[0054]步骤316、认证服务器向接入设备发送认证通过报文。
[0055]步骤317、接入设备将第一 HTTP资源请求报文中客户端请求访问的网络资源的URL地址信息封装至第二 HTTP协议头的Locat1n标签中，并将该第二 HTTP协议头发送给客户端，由此接入设备将客户端请求访问的网络资源的URL地址信息发送给客户端。
[0056]步骤318、客户端通过接入设备将第二 HTTP资源请求报文发送给网络服务器，执行步骤320。其中，该第二 HTTP资源请求报文中包括步骤306中接入设备对第一 HTTP资源请求报文进行解析后获得的客户端请求访问的网络资源的URL地址信息。
[0057]步骤319、接入设备将第一 HTTP资源请求报文转发给网络服务器。
[0058]步骤320、网络服务器根据客户端请求访问的网络资源的URL地址信息，确定客户端请求访问的网络资源。
[0059]步骤321、网络服务器通过接入设备将资源响应报文发送给客户端，该资源响应报文中可以包括客户端请求访问的网络资源，至此，客户端可以通过接入设备正常地访问网络服务器上的网络资源。
[0060]步骤322、认证服务器通过接入设备向客户端发送认证未通过的报文。
[0061]步骤323、客户端通过浏览器弹出认证失败的提示框，在用户点击提示框中的确定按钮后，刷新认证页面，以使客户端用户重新输入用户名和密码。
[0062]由上述实施例可见，相比于接入设备基于应用层协议向客户端推送认证页面，本发明实施例中，接入设备基于网络层协议向客户端推送认证页面，可以提高认证页面的推送速度，从而可以提高认证响应速度。
[0063]与前述网络接入认证方法实施例相对应，本发明还提供了网络接入认证装置的实施例。
[0064]本发明网络接入认证装置实施例可以通过软件实现，也可以通过硬件或软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，为本发明网络接入认证装置所在设备的一种硬件结构图，除了图4所示的处理器、网络接口、内存以及非易失性存储器之外，实施例中装置所在的设备通常还可以包括其他硬件，如负责处理报文的转发芯片等；从硬件结构上来讲该设备还可能是分布式的设备，可能包括多个接口卡，以便在硬件层面进行报文处理的扩展。
[0065]参见图5，为本发明网络接入认证装置的一个实施例框图，该实施例从接入设备侧进行描述，该装置基于网络层协议对客户端进行网络接入认证，该装置可以包括:
[0066]认证页面推送单元510，用于当接收到客户端发送的第一资源请求报文时，将将认证服务器提供的认证页面推送给所述客户端；
[0067]接收单元520，用于接收所述客户端发送的用户向所述认证页面输入的认证信息;
[0068]发送单元530，用于将所述认证信息发送给认证服务器，以使所述认证服务器判断所述认证信息与用户信息列表中预设的认证信息是否相同，若相同，则确定所述客户端通过认证，所述预设的认证信息为所述用户在注册时预先保存在所述接入设备中的信息。
[0069]在一个可选的实现方式中，
[0070]所述认证页面推送单元510，具体用于当接收到客户端发送的第一资源请求报文时，向所述客户端返回认证页面的地址信息；接收所述客户端发送的认证请求报文；根据所述认证请求报文中所述认证页面的地址信息，确定所述认证页面的内容；向所述客户端返回所认证响应报文，所述认证响应报文中包括所述认证页面的内容。
[0071]在另一个可选的实现方式中，所述装置还可以包括:
[0072]判断单元540，用于在向所述客户端返回认证页面的地址信息之前，判断所述客户端的身份信息与所述客户端信息列表中客户端的身份信息是否相同，所述客户端的身份信息是所述接入设备在对所述第一资源请求报文进行解析后获得的，且所述客户端信息列表中客户端的身份信息为用于识别已经通过认证的客户端的信息；
[0073]所述认证页面推送单元510，具体用于若所述客户端的信息与所述客户端信息列表中客户端的身份信息不相同，则向所述客户端返回认证页面的地址信息。
[0074]在另一个可选的实现方式中，所述装置还可以包括:
[0075]网络资源推送单元550，用于在确定所述客户端通过认证之后，接收所述认证服务器发送的认证通过报文；向所述客户端返回所述客户端请求访问的网络资源的地址信息，所述客户端请求访问的网络资源的地址信息是所述接入设备在对所述第一资源请求报文进行解析后获得的；将所述客户端发送的第二资源请求报文转发给网络服务器，以使所述网络服务器根据所述第二资源请求报文中所述客户端请求访问的网络资源的地址信息，确定所述客户端请求访问的网络资源；向所述客户端返回所述网络服务器发送的资源响应报文，所述资源响应报文中包括所述客户端请求访问的网络资源。
[0076]在另一个可选的实现方式中，所述装置还可以包括:
[0077]保存单元560，用于在确定所述客户端通过认证之后，将所述客户端的身份信息保存至所述客户端信息列表中。
[0078]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0079]对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0080]由上述实施例可见，相比于接入设备基于应用层协议向客户端推送认证页面，本发明实施例中，接入设备基于网络层协议向客户端推送认证页面，可以提高认证页面的推送速度，从而可以提高认证响应速度。
[0081]本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。
[0082]应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
【主权项】
1.一种网络接入认证方法，所述方法应用在接入设备上，其特征在于，所述接入设备基于网络层协议执行所述方法，包括: 当接收到客户端发送的第一资源请求报文时，将认证页面推送给所述客户端； 接收所述客户端发送的用户向所述认证页面输入的认证信息； 将所述认证信息发送给认证服务器，以使所述认证服务器判断所述认证信息与用户信息列表中预设的认证信息是否相同，若相同，则确定所述客户端通过认证，所述预设的认证信息为所述用户在注册时预先保存在所述接入设备中的信息。2.根据权利要求1所述的方法，其特征在于，当接收到客户端发送的第一资源请求报文时，将认证页面推送给所述客户端，包括: 当接收到客户端发送的第一资源请求报文时，向所述客户端返回认证页面的地址信息; 接收所述客户端发送的认证请求报文； 根据所述认证请求报文中所述认证页面的地址信息，确定所述认证页面的内容； 向所述客户端返回认证响应报文，所述认证响应报文中包括所述认证页面的内容。3.根据权利要求2所述的方法，其特征在于，在向所述客户端返回认证页面的地址信息之前，所述方法包括: 判断所述客户端的身份信息与客户端信息列表中客户端的身份信息是否相同，所述客户端的身份信息是所述接入设备在对所述第一资源请求报文进行解析后获得的，且所述客户端信息列表中客户端的身份信息为用于识别已经通过认证的客户端的身份的信息； 所述向所述客户端返回认证页面的地址信息，包括:若所述客户端的信息与所述客户端信息列表中客户端的身份信息不相同，则向所述客户端返回认证页面的地址信息。4.根据权利要求3所述的方法，其特征在于，在确定所述客户端通过认证之后，所述方法还包括: 接收所述认证服务器发送的认证通过报文； 向所述客户端返回所述客户端请求访问的网络资源的地址信息，所述客户端请求访问的网络资源的地址信息是所述接入设备在对所述第一资源请求报文进行解析后获得的； 将所述客户端发送的第二资源请求报文转发给网络服务器，以使所述网络服务器根据所述第二资源请求报文中所述客户端请求访问的网络资源的地址信息，确定所述客户端请求访问的网络资源； 向所述客户端返回所述网络服务器发送的资源响应报文，所述资源响应报文中包括所述客户端请求访问的网络资源。5.根据权利要求3所述的方法，其特征在于，在确定所述客户端通过认证之后，所述方法还包括: 将所述客户端的身份信息保存至所述客户端信息列表中。6.一种网络接入认证装置，所述装置应用在接入设备上，其特征在于，所述装置基于网络层协议进行网络接入认证，所述装置包括: 认证页面推送单元，用于当接收到客户端发送的第一资源请求报文时，将认证页面推送给所述客户端； 接收单元，用于接收所述客户端发送的用户向所述认证页面输入的认证信息； 发送单元，用于将所述认证信息发送给认证服务器，以使所述认证服务器判断所述认证信息与用户信息列表中预设的认证信息是否相同，若相同，则确定所述客户端通过认证，所述预设的认证信息为所述用户在注册时预先保存在所述接入设备中的信息。7.根据权利要求6所述的装置，其特征在于，所述认证页面推送单元，具体用于当接收到客户端发送的第一资源请求报文时，向所述客户端返回认证页面的地址信息；接收所述客户端发送的认证请求报文；根据所述认证请求报文中所述认证页面的地址信息，确定所述认证页面的内容；向所述客户端返回认证响应报文，所述认证响应报文中包括所述认证页面的内容。8.根据权利要求7所述的装置，其特征在于，所述装置还包括: 判断单元，用于在向所述客户端返回认证页面的地址信息之前，判断所述客户端的身份信息与所述客户端信息列表中客户端的身份信息是否相同，所述客户端的身份信息是所述接入设备在对所述第一资源请求报文进行解析后获得的，且所述客户端信息列表中客户端的身份信息为用于识别已经通过认证的客户端的身份的信息； 所述认证页面推送单元，具体用于若所述客户端的信息与所述客户端信息列表中客户端的身份信息不相同，则向所述客户端返回认证页面的地址信息。9.根据权利要求8所述的装置，其特征在于，所述装置还包括: 网络资源推送单元，用于在确定所述客户端通过认证之后，接收所述认证服务器发送的认证通过报文；向所述客户端返回所述客户端请求访问的网络资源的地址信息，所述客户端请求访问的网络资源的地址信息是所述接入设备在对所述第一资源请求报文进行解析后获得的；将所述客户端发送的第二资源请求报文转发给网络服务器，以使所述网络服务器根据所述第二资源请求报文中所述客户端请求访问的网络资源的地址信息，确定所述客户端请求访问的网络资源；向所述客户端返回所述网络服务器发送的资源响应报文，所述资源响应报文中包括所述客户端请求访问的网络资源。10.根据权利要求8所述的装置，其特征在于，所述装置还包括: 保存单元，用于在确定所述客户端通过认证之后，将所述客户端的身份信息保存至所述客户端信息列表中。
【文档编号】H04L29/06GK105991518SQ201510047175
【公开日】2016年10月5日
【申请日】2015年1月29日
【发明人】仇俊杰, 魏绍乾
【申请人】杭州迪普科技有限公司