专利名称:实现Portal认证服务器防攻击的方法及宽带接入服务器的制作方法
技术领域:
本申请涉及服务器防攻击技术领域,尤其涉及实现Portal认证服务器防攻击的方法及宽带接入服务器。
背景技术:
目前,基于Web进行Portal接入认证的方案,因为不涉及客户端,方便部署,在校园网、运营商宽带接入中得到广泛应用。基于Web进行Portal接入认证的典型组网如图I所示,其基本原理是未通过Portal认证时,用户访问外网的Http请求均会被BAS设备重 定向,通过Portal服务器将认证页面推给用户,用户输入正确的账户、密码信息后,继续后续的认证计费流程,认证通过后,用户可以正常访问外网资源。如图I所示,例如,用户去往www. sina. com. cn的Http请求,到达宽带接入服务器BAS端后,BAS仿冒用户想去往的目的端,向用户回应Http重定向报文,重定向报文中包含有BAS设备本地预先配置的Portal Server地址,告知用户访问Portal服务器,用户端接收到重定向报文,向Portal服务器发出请求,Portal服务器将认证页面推给用户。在现网中应用时发现,由于用户终端(PC主机、移动设备等)的多样性、及应用软件的丰富性,用户终端上的很多软件、或基于互联网的应用程序(统称为非浏览器应用程序),会不断主动发出Http探测或更新报文,发送频率有的甚至达到10几毫秒一次。对BAS设备而言,无法区分其接收到的Http请求是用户浏览器的上网请求,还是来自非浏览器应用程序的业务流量,只要是Http请求报文,都会进行重定向处理,即向Http请求报文的发送方回应重定向报文,告知发送方访问Portal服务器,这样就会导致大量来自非浏览器应用程序的Http报文也发往Portal认证服务器,严重影响了 Portal Server的性能,造成一种事实上的攻击。如图2所示,大量的Http请求被BAS重定向后发往Portal认证服务器,Portal
Server会--回应;对于非浏览器应用程序发出的Http请求,Portal Server也会--回
应,但由于非浏览器应用程序不具备浏览器的页面解析、并以交互方式提供用户身份信息的能力,收到来自Portal Server的回应报文后无法进行响应,这些回应报文最终被客户端的非浏览器应用程序丢弃,白白浪费了 Portal认证服务器的资源。由于BAS设备无法有效区分,真正来自客户端浏览器的上网请求和非浏览器应用程序产生的业务流量,最终导致Portal服务器受到攻击。
发明内容
有鉴于此,本申请提出一种实现Portal认证服务器防攻击的方法,可有效避免Portal服务器受到攻击。本申请还提出一种宽带接入服务器,可有效避免Portal服务器受到攻击。为达到上述目的,本申请实施例的技术方案是这样实现的一种实现Portal认证服务器防攻击的方法,包括以下步骤
宽带接入服务器BAS获取来自客户端的未通过Portal认证的Http请求报文,建立TCP连接,向客户端发送质询认证请求报文;BAS接收到所述客户端的浏览器返回的质询认证应答报文后,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,向所述客户端的浏览器发送包含有Portal服务器URL地址的重定向报文。一种宽带接入服务器BAS,包括Http请求报文获取模块、质询认证模块、重定向模块,其中Http请求报文获取模块,用于获取来自客户端的未通过Portal认证的Http请求报文,建立TCP连接,并将所述Http请求报文发送至质询认证模块;质询认证模块,用于接收来自Http请求报文获取模块的所述Http请求报文,向客户端发送质询认证请求报文,接收到所述客户端的浏览器返回的质询认证应答报文后,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,将认证成功的信息发送至重定向模块;·重定向模块,用于接收质询认证模块发送的认证成功的信息,向所述客户端的浏览器发送含有Portal服务器URL地址的重定向报文。本申请的有益效果为,BAS在重定向报文发送之前,通过对去往外网的Http请求报文引入Http质询认证,达到对客户端浏览器的上网请求和非浏览器应用程序产生的业务流量的有效区分,非浏览器应用程序不具备http质询认证头www-authenticate的解析识别能力,无法响应质询认证请求,因此也无法获取到真正的Portal服务器地址,从而可有效屏蔽来自客户端非浏览器应用程序的业务流量,避免了 Portal服务器受到攻击。同时,通过了上述质询认证的客户端,才能在重定向报文中获取到Portal服务器的URL地址,并向Portal Server发起认证页面请求,Portal服务器便会将认证页面推给客户端,如此,所述客户端实际需通过二次认证,更严格地保证了接入用户的安全性。
图I为现有技术的Portal Web认证组网示意图;图2为现有技术的Portal Web认证报文流程示意图; 图3为本申请实施例的方法流程图;图4为本申请实施例的实现Portal服务器防攻击的流程示意图;图5为本申请实施例的宽带接入服务器结构图。
具体实施例方式为了使本申请的目的、技术方案及优点更加清楚明白,以下通过具体实施例并参见附图,对本申请进行详细说明。本申请采用各浏览器均支持的Http认证机制,对用户访问外网的Http请求进行认证保护;只有认证通过,才向客户端回应包含Portal服务器URL地址的重定向报文;否贝U,客户端无法获取到Portal服务器的真实地址。同时,获取到Portal服务器URL地址的客户端,访问Portal服务器时,Portal服务器会将认证页面推给客户端,如此,所述客户端实际需通过二次认证,更严格地保证了接入用户的安全性。该方案具有良好的通用性,BAS在发送重定向报文前先对客户端进行一次Http质询认证,对认证无法通过的客户端,屏蔽了 Portal服务器URL地址,从而避免了冗余的访问攻击;对认证成功的客户端,通过重定向报文告知Portal服务器真实地址,后续认证流程与原有方案完全一致,有很好的兼容性。本申请实施例的方法流程如图3所示,一种实现Portal认证服务器防攻击的方法,包括以下步骤步骤301 :宽带接入服务器BAS获取来自客户端的未通过Portal认证的Http请求报文,建立TCP连接。客户端发送Http请求报文的可能是浏览器,也可能是非浏览器的应用程序,因此,BAS接收到的Http请求报文既包括客户端浏览器发送的Http请求报文,也包括客户端的非浏览器应用程序发送的Http请求报文(实际上是非浏览器应用程序产生的业务流量)。
若来自客户端的Http请求已是Portal服务器认证过的,贝U所述Http请求通过五元组能够匹配BAS设备上维护的动态访问控制列表ACL,直接访问外网。即BAS获取来自客户端的已通过Portal认证的Http请求报文时,设定该客户端直接访问外网。若来自客户端的Http请求未通过Portal服务器认证时,BAS截获Http请求报文后上送CPU,建立TCP连接,然后进行后续的Http质询认证及Http重定向处理,即依次执行步骤302、步骤303,而不是如现有技术中向客户端直接返回包含有Portal服务器URL地址的重定向报文,造成Portal服务器地址提前泄露,从而对Portal服务器形成事实上的访问攻击。因此,客户端浏览器或非浏览器应用程序,向外网发出Http访问请求,BAS截获Http请求报文后,发现该Http请求未通过Portal服务器认证,即向客户端进行质询认证,参见步骤302和步骤303。步骤302 BAS向客户端发送质询认证请求报文。无论是客户端的浏览器还是非浏览器应用程序,只要BAS接收到了来自于它们的Http请求报文,BAS都向其发送质询认证请求报文。所述质询认证请求报文符合Http状态码401的规定。Http状态码401 (Unauthorized)规定,Http质询认证请求报文必须包含消息头Wffff-Authenticate,客户端收到这个质询认证请求报文后,就知道访问的外部URL地址需要认证。所述WffW-Authenticate 消息头格式为 WffW-Authenticate :challenge,其中challenge为质询信息,质询信息格式的具体定义参见RFC2617,支持基本认证和摘要认证,同时也可以进一步扩展,目前主要的认证方式有基本认证、摘要认证和证书认证,具体采用哪种认证方式,在此不作具体限定,只要客户端与BAS端提前约定好就可以。步骤303 =BAS接收到所述客户端的浏览器返回的质询认证应答报文后,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,向所述客户端的浏览器发送包含有Portal服务器URL地址的重定向报文。客户端浏览器收到质询请求报文后,能正确解析质询认证报文头,并弹出质询窗口,供用户输入账号和密码;之后,向BAS返回质询认证应答报文。也就是说,只有客户端的浏览器才可以返回质询认证应答报文。
与质询认证请求报文不同的是,质询认证应答报文会携带一个Authorization消息头。所述Authorization 消息头格式为 Authorization !credentials,其中credentials为认证信息,通常携带客户端上传的账号/密码信息。所述认证信息格式对应于所述质询认证请求报文中的质询信息格式。对于返回质询认证应答报文的客户端,BAS接收到客户端浏览器返回的质询认证应答报文后,解析所述质询认证应答报文得到账号和密码,并对其进行身份认证,既可以选择本地认证,也可以选择去远端AAA服务器进行认证,认证方式例如挑战握手认证协议CHAP或密码认证协议PAP等。当认证成功时,向所述客户端发送符合Http状态码302的重定向报文,所述重定向报文中包含有Portal服务器URL地址。客户端浏览器收到包含Portal服务器URL地址的重定向报文后,向Portal服务器发起认证页面请求;后续流程与现有技术完全一致,用户进行接入网络的第二次身份认证,同时配合AAA下发计费、访问控制及流量限速等策略,认证通过后用户可以按策略访问网络资源。当认证失败时,执行步骤A、宽带接入服务器BAS向所述客户端发送符合Http状态码401的质询认证请求报文,用户修改账户/密码信息后,继续返回质询认证应答报文,BAS接收该客户端返回的质询认证应答报文,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,向所述客户端发送包含有Portal服务器URL地址的重定向报文,否则,重复执行步骤A,直至认证通过。客户端的非浏览器应用程序无法解析步骤302中的质询认证请求报文,只有客户端的浏览器才可以解析所述质询认证请求报文。因此,对于没有返回质询认证应答报文的客户端非浏览器应用程序,BAS不进行进一步处理。也就是说,客户端的非浏览器应用程序收到来自BAS的质询认证请求报文后,由于无法解析质询认证请求报文中的WffW-Authenticate消息头,使得质询认证请求报文丢失,客户端的非浏览器应用程序与BAS的交互结束,因没有获取到Portal服务器的URL地址,攻击也无从发生。本申请中,如图4所示,对比图2可知,BAS获取到用户去往外网的Http请求时,在重定向报文发送之前,通过对客户端身份进行一次质询认证,可有效区分上述Http请求是来自客户端浏览器的请求还是非浏览器应用程序的业务流量。若是来自客户端浏览器的Http请求,客户端浏览器必能通过质询认证,即能正确解析质询认证请求报文,返回质询认证应答报文给BAS,BAS解析所述质询认证应答报文得到账号和密码,并对其进行身份认证,身份认证通过后,BAS才向客户端浏览器发送包含有Portal服务器URL地址的重定向报文。若是来自非浏览器应用程序的业务流量,则非浏览器应用程序无法通过质询认证,即不能正确解析质询认证请求报文,无法返回质询认证应答报文给BAS,BAS将不会向非浏览器应用程序发送包含有Portal服务器URL地址的重定向报文,最终实现PortalServer免受攻击。 本申请实施例的宽带接入服务器结构如图5所示,一种宽带接入服务器BAS,包括Http请求报文获取模块、质询认证模块、重定向模块,其中Http请求报文获取模块,用于获取来自客户端的未通过Portal认证的Http请求报文,建立TCP连接,并将所述Http请求报文发送至质询认证模块;获取到来自客户端的已通过Portal认证的Http请求报文时,设定所述客户端直接访问外网。质询认证模块,用于接收来自Http请求报文获取模块的所述Http请求报文,向客户端发送质询认证请求报文,接收到所述客户端的浏览器返回的质询认证应答报文后,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,将认证成功的信息发送至重定向模块;当认证不成功时,执行步骤B、向所述客户端发送质询认证请求报文,接收该客户端返回的质询认证应答 报文,解析所述质询认证应答报文并对其进行身份认证,若认证成功,将认证成功的信息发送至重定向模块,否则,重复执行步骤B。所述质询认证请求报文符合Http状态码401的规定。所述质询认证请求报文包含WffW-Authenticate消息头,所述WffW-Authenticate消息头格式为WWW-Authenticate :challenge,其中challenge为RFC2617定义的质询信
肩、O所述质询认证应答报文包含Authorization消息头,所述Authorization消息头格式为Authorization :credentials,其中credentials为认证信息,所述认证信息格式对应于所述质询认证请求报文中的质询信息格式。重定向模块,用于接收质询认证模块发送的认证成功的信息,向所述客户端的浏览器发送包含有Portal服务器URL地址的重定向报文。以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
权利要求
1.一种实现Portal认证服务器防攻击的方法,其特征在于,包括以下步骤 宽带接入服务器BAS获取来自客户端的未通过Portal认证的Http请求报文,建立TCP连接,向客户端发送质询认证请求报文; BAS接收到所述客户端的浏览器返回的质询认证应答报文后,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,向所述客户端的浏览器发送包含有Portal服务器URL地址的重定向报文。
2.根据权利要求I所述的方法,其特征在于,所述质询认证请求报文符合Http状态码.401的规定。
3.根据权利要求2所述的方法,其特征在于,所述质询认证请求报文包含Wffff-Authenticate 消息头,所述 WffW-Authenticate 消息头格式为 WffW-Authenticate challenge,其中challenge为RFC2617定义的质询信息。
4.根据权利要求3所述的方法,其特征在于,所述质询认证应答报文包含Authorization 消息头,所述 Authorization 消息头格式为 Authorization !credentials,其中credentials为认证信息,所述认证信息格式对应于所述质询认证请求报文中的质询信息格式。
5.根据权利要求I所述的方法,其特征在于,所述BAS解析所述质询认证应答报文并对其进行身份认证之后进一步包括,当认证不成功时,执行 步骤A、宽带接入服务器BAS向所述客户端发送符合Http状态码401的质询认证请求报文,接收该客户端返回的质询认证应答报文,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,向所述客户端发送包含有Portal服务器URL地址的重定向报文,否贝U,重复执行步骤A。
6.一种宽带接入服务器BAS,其特征在于,包括=Http请求报文获取模块、质询认证模块、重定向模块,其中 Http请求报文获取模块,用于获取来自客户端的未通过Portal认证的Http请求报文,建立TCP连接,并将所述Http请求报文发送至质询认证模块; 质询认证模块,用于接收来自Http请求报文获取模块的所述Http请求报文,向客户端发送质询认证请求报文,接收到所述客户端的浏览器返回的质询认证应答报文后,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,将认证成功的信息发送至重定向模块; 重定向模块,用于接收质询认证模块发送的认证成功的信息,向所述客户端的浏览器发送含有Portal服务器URL地址的重定向报文。
7.根据权利要求6所述的宽带接入服务器BAS,其特征在于,所述质询认证请求报文符合Http状态码401的规定。
8.根据权利要求7所述的宽带接入服务器BAS,其特征在于,所述质询认证请求报文包含 WffW-Authenticate 消息头,所述 WffW-Authenticate 消息头格式为 WffW-Authenticate challenge,其中challenge为RFC2617定义的质询信息。
9.根据权利要求8所述的宽带接入服务器BAS,其特征在于,所述质询认证应答报文包含Authorization消息头,所述Authorization消息头格式为Authorization credentials,其中credentials为认证信息,所述认证信息格式对应于所述质询认证请求报文中的质询信息格式。
10.根据权利要求6所述的宽带接入服务器BAS,其特征在于,所述质询认证模块,进一步用于在解析所述质询认证应答报文并对其进行身份认证时,若认证不成功,执行 步骤B、向所述客户端发送质询认证请求报文,接收所述客户端返回的质询认证应答报文,解析所述质询认证应答报文并对其进行身份认证,若认证成功,将认证成功的信息发送至重定向模块,否则,重复执行步骤B。
全文摘要
本申请公开了一种实现Portal认证服务器防攻击的方法,包括以下步骤宽带接入服务器BAS获取来自客户端的未通过Portal认证的Http请求报文,建立TCP连接,向客户端发送质询认证请求报文;BAS接收到所述客户端的浏览器返回的质询认证应答报文后,解析所述质询认证应答报文并对其进行身份认证,当认证成功时,向所述客户端的浏览器发送包含有Portal服务器URL地址的重定向报文。本申请还公开一种宽带接入服务器BAS。本申请中,BAS在重定向报文发送前,对获取的Http请求引入质询认证,可屏蔽客户端非浏览器应用程序产生的业务流量,避免Portal服务器受到攻击;同时,引入上述质询认证后,客户端实际需通过二次认证,更严格地保证了接入用户的安全性。
文档编号H04L29/08GK102710667SQ20121021710
公开日2012年10月3日 申请日期2012年6月25日 优先权日2012年6月25日
发明者高平利 申请人:杭州华三通信技术有限公司