一种网页认证方法、装置及网络设备的制作方法
【专利摘要】本发明公开了一种网页认证方法、装置及网络设备,该方法包括:所述NAS网络设备接收到至少两个超文本传输协议HTTP身份认证请求报文;根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,每个线程与所述NAS网络设备的多核中央处理器CPU中的一个核绑定;指示所述多核CPU中的每个核处理所绑定的线程上的HTTP身份认证请求报文及其对应的认证客户端后续的重定向过程和身份认证过程。该方案可以缩短每个用户等待进行Web认证的时间,同时提升用户体验。
【专利说明】一种网页认证方法、装置及网络设备
【技术领域】
[0001]本发明涉及通信【技术领域】,尤指一种网页(Web)认证方法、装置及网络设备。
【背景技术】
[0002]互联网安全已成为一个全球性问题,对访问网络的用户进行身份认证成为解决该问题的一个重要方法。由于用户使用Web认证方式时,仅通过普通的浏览器即可进行认证,无需安装专用的认证软件,因此,这种认证方式在校园网、企业网、政务网等网络中得到了广泛的应用。
[0003]下面以校园网为例说明用户的Web认证过程。
[0004]图1所示为校园网的网络拓扑图,主要包括:认证客户端,通常为用户个人计算机(Personal Computer,PC)的浏览器,用于发起Web认证;接入设备和汇聚设备,可以统称为非接入层(Non Access Stratum, NAS)网络设备,具有Web认证功能的设备,用于开启web认证功能、控制用户访问网络的权限;认证服务器,用于对用户的身份进行认证。在NAS网络设备上开启Web认证功能后,下联的认证客户端只能访问一些免费的服务,若需要访问互联网中的其它资源,必须在认证服务器上进行认证,只有认证通过后才能访问。
[0005]单个用户的Web认证过程,主要包括伪连接建立过程、重定向过程和身份认证过程。
[0006]伪连接建立过程包括:当用户想要访问互联网上的资源时,认证客户端发出超文本传输协议(Hyper Text Transport Protocol, HTTP)连接请求报文,NAS网络设备拦截该HTTP连接请求报文,并与该认证客户端建立传输控制协议(Transfer Control Protocol,TCP)伪连接或者用户数据报协议(User Datagram Protocol, UDP)伪连接。
[0007]重定向过程:伪连接建立后,认证客户端主动向NAS网络设备发出HTTP身份认证请求报文,NAS网络设备收到HTTP身份认证请求报文后,向认证客户端返回HTTP重定向报文,在HTTP重定向报文中携带重定向的统一资源定位符(Universal Resource Locator,URL)和用于进行身份认证的加密参数,重定向的URL为认证服务器的URL。
[0008]身份认证过程:认证客户端根据HTTP重定向报文,向重定向的URL重新发起HTTP身份认证请求报文,认证服务器接收到认证客户端重新发起的HTTP身份认证请求报文后,向认证客户端返回认证页面,接收到来自认证客户端的用户名、密码以及加密参数后,与NAS网络设备一起进行身份认证,并向认证客户端返回认证结果。
[0009]在上述web认证过程中,NAS网络设备连接认证客户端和认证服务器端,起着十分关键的作用。目前,NAS网络设备只包括单核中央处理器(Central Processing Unit,CPU),在实际的校园网中,用户规模一般为2?3万人,在中午、晚上或周末等高峰时段,认证用户的数量可能成百上千甚至上万,由于单核CPU只能逐一针对每个用户执行Web认证过程,这就会延长用户等待Web认证时间,降低用户体验。
【发明内容】
[0010]本发明实施例提供一种网页认证方法、装置及网络设备,用以解决现有技术中存在的延长用户等待Web认证时间、降低用户体验的问题。
[0011]因此,本发明实施例提供一种网页认证方法,应用于包括至少两个认证客户端、非接入层NAS网络设备和认证服务器的网络拓扑中,所述方法包括:
[0012]所述NAS网络设备接收到至少两个超文本传输协议HTTP身份认证请求报文;
[0013]根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,每个线程与所述NAS网络设备的多核中央处理器CPU中的一个核绑定;
[0014]指示所述多核CPU中的每个核处理所绑定的线程上的HTTP身份认证请求报文及其对应的认证客户端后续的重定向过程和身份认证过程。
[0015]具体的,根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,具体包括:
[0016]针对每个HTTP身份认证请求报文,执行:
[0017]获取当前HTTP身份认证请求报文中携带的特征信息;
[0018]使用哈希算法对获取的特征信息进行计算,得到计算结果;
[0019]将所述当前HTTP身份认证请求报文分配给得到的计算结果对应的线程。
[0020]可选的,还包括:
[0021]在后续的重定向过程中,针对每个接收到的HTTP身份认证请求报文对应的认证客户端构造HTTP重定向报文;
[0022]获取预先根据所述NAS网络设备和所述认证服务器的特征信息得到的加密字段添加到每个HTTP重定向报文中;以及
[0023]采用加密算法对每个接收到的HTTP身份认证请求报文中携带的特征信息进行加密运算,并将运算结果添加到对应的HTTP重定向报文中,所述运算结果用于认证客户端在后续的身份认证过程中进行身份认证。
[0024]具体的,根据所述NAS网络设备和所述认证服务器的特征信息得到加密字段,具体包括:
[0025]获取所述NAS网络设备和所述认证服务器的互联网协议IP地址、媒质接入控制MAC地址、标识ID信息、统一资源定位符URL ;
[0026]采用加密算法对获取到的IP地址、MAC地址、标识ID信息和URL进行加密运算,并将运算结果保存在加密字段中。
[0027]还提供一种网页认证装置,包括:
[0028]接收单元,用于接收到至少两个超文本传输协议HTTP身份认证请求报文;
[0029]均衡单元,用于根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,每个线程与自身所在的非接入层NAS网络设备的多核中央处理器CPU中的一个核绑定;
[0030]指示单元,用于指示所述多核CPU中的每个核处理所绑定的线程上的HTTP身份认证请求报文及其对应的认证客户端后续的重定向过程和身份认证过程。
[0031]具体的,所述均衡单元,具体用于:
[0032]针对每个HTTP身份认证请求报文,执行:[0033]获取当前HTTP身份认证请求报文中携带的特征信息;
[0034]使用哈希算法对获取的特征信息进行计算,得到计算结果;
[0035]将所述当前HTTP身份认证请求报文分配给得到的计算结果对应的线程。
[0036]可选的,所述指示单元,还用于:
[0037]在后续的重定向过程中,针对每个接收到的HTTP身份认证请求报文对应的认证客户端构造HTTP重定向报文;
[0038]获取预先根据所述NAS网络设备和所述认证服务器的特征信息得到的加密字段添加到每个HTTP重定向报文中;以及
[0039]采用加密算法对每个接收到的HTTP身份认证请求报文中携带的特征信息进行加密运算,并将运算结果添加到对应的HTTP重定向报文中,所述运算结果用于认证客户端在后续的身份认证过程中进行身份认证。
[0040]具体的,所述指示单元,用于根据所述NAS网络设备和所述认证服务器的特征信息得到加密字段,具体用于:
[0041]获取所述NAS网络设备和所述认证服务器的互联网协议IP地址、媒质接入控制MAC地址、标识ID信息、统一资源定位符URL ;
[0042]采用加密算法对获取到的IP地址、MAC地址、标识ID信息和URL进行加密运算,并将运算结果保存在加密字段中。
[0043]还提供一种网络设备,包括上述网页认证装置。
[0044]本发明实施例提供的网页认证方法、装置及网络设备,使用具有多线程多核CPU的NAS网络设备将接收到的HTTP认证请求报文负载均衡到线程上,然后指示多核CPU中的每个核处理所绑定的线程上的HTTP认证请求报文及其后续的身份认证过程,由于多核CPU能够同时处理HTTP认证请求报文及其后续的身份认证过程,就可以缩短每个用户等待进行Web认证的时间,同时提升用户体验。
【专利附图】
【附图说明】
[0045]图1为现有技术中校园网的网络拓扑图;
[0046]图2为本发明实施例中网页认证方法的流程图;
[0047]图3为本发明实施例中网页认证装置的结构示意图。
【具体实施方式】
[0048]针对现有技术中存在的延长用户等待Web认证时间、降低用户体验的问题,本发明实施例提供一种网页认证方法,应用于包括至少两个认证客户端、NAS网络设备和认证服务器的网络拓扑中,该方法的执行主体为多线程多CPU的NAS网络设备,该方法的流程如图2所示,执行步骤如下:
[0049]S20:接收到至少两个HTTP身份认证请求报文。
[0050]对于NAS网络设备来说,在某一时刻通常不会只接收到一个HTTP身份认证请求报文,往往会同时接收到多个,特别是在上网高峰时段,接收到的数量会非常大。
[0051]在接收到HTTP身份认证请求报文后,可以首先判断该NAS网络设备中的线程数是否大于等于2,若否,所有的HTTP身份认证请求报文只能分配给唯一一个线程;若是,可以继续判断接收到的HTTP身份认证请求报文的数量是否大于等于2,若否,直接分配给默认线程,否则,再执行S20。
[0052]S21:根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,每个线程与NAS网络设备的多核CPU中的一个核绑定。
[0053]在接收到的HTTP身份认证请求报文中会携带特征信息,例如源互联网协议(Internet Protocol, IP)地址、源媒质接入控制(Medium Access Control, MAC)地址、源端口、目的IP地址等等,可以根据这些信息中的一个或几个接收到的HTTP身份认证请求报文进行负载均衡。
[0054]S22:指示多核CPU中的每个核处理所绑定的线程上的HTTP身份认证请求报文及其对应的认证客户端后续的重定向过程和身份认证过程。
[0055]HTTP身份认证请求报文是整个Web认证过程中包括的重定向过程的开始,因此需要指示多核CPU中的每个核不仅处理所绑定的线程上的HTTP身份认证请求报文,还要处理该HTTP身份认证请求报文对应的认证客户端后续的重定向过程和身份认证过程,也就是说对于一个认证客户端发起的Web认证过程由多核CPU中的一个核来处理。
[0056]该方案中,使用具有多线程多核CPU的NAS网络设备将接收到的HTTP认证请求报文负载均衡到线程上,然后指示多核CPU中的每个核处理所绑定的线程上的HTTP认证请求报文及其后续的身份认证过程,由于多核CPU能够同时处理HTTP认证请求报文及其后续的身份认证过程,就可以缩短每个用户等待进行Web认证的时间,同时提升用户体验。
[0057]具体的,上述S21中的根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,具体包括:
[0058]针对每个HTTP身份认证请求报文,执行:
[0059]获取当前HTTP身份认证请求报文中携带的特征信息;
[0060]使用哈希算法对获取的特征信息进行计算,得到计算结果;
[0061]将当前HTTP身份认证请求报文分配给得到的计算结果对应的线程。
[0062]下面举例来说明接收到的HTTP身份认证请求报文均衡负载到已有线程上的过程,假设接收到5个HTTP身份认证请求报文,分别记为A、B、C、D、E,根据这5个报文中携带的源IP地址和源MAC地址分别进行哈希运算后,得到的结果为5、4、4、5、3,假设共有5个线程,分别记为a、b、c、d、e,且分别对应运算结果5、4、3、2、1,就可以将报文A和D分配给线程a,将报文B和C分配给线程b,将报文E分配给线程C。
[0063]可选的,上述Web认证方法,还包括:
[0064]在后续的重定向过程中,针对每个接收到的HTTP身份认证请求报文对应的认证客户端构造HTTP重定向报文;
[0065]获取预先根据NAS网络设备和认证服务器的特征信息得到的加密字段添加到每个HTTP重定向报文中;以及
[0066]采用加密算法对每个接收到的HTTP身份认证请求报文中携带的特征信息进行加密运算,并将运算结果添加到对应的HTTP重定向报文中,运算结果用于认证客户端在后续的身份认证过程中进行身份认证。
[0067]如上所述,接收到HTTP身份认证请求报文是重定向过程的开始,还需要向HTTP身份认证请求报文对应的认证客户端发送HTTP重定向报文。[0068]在现有技术中,CPU在构造完HTTP重定向报文后,再根据源IP地址、源MAC地址、NAS网络设备和认证服务器的特征信息进行加密运算后填充到HTTP重定向报文中,再推送给认证客户端。由于是在用户进行Web认证过程中进行加密运算,这样不仅会消耗CPU资源,还会延长每个用户进行Web认证的时间,也就延长了其他用户等待Web认证的时间。
[0069]发明人经研究发现,CPU在构造HTTP重定向报文时,每次都需要对NAS网路设备和认证服务器的特征信息进行加密运算,也就是说存在重复计算,因此可以采用加密算法对NAS网路设备和认证服务器的特征信息进行加密预处理,并保存运算结果,这样每次在构造HTTP重定向报文时,就可以直接使用保存的运算结果,仅仅针对认证客户端的IP地址和MAC地址进行加密运算即可,从而可以避免重复加密计算对CPU消耗,也就可以缩短每个用户进行Web认证的时间,缩短了其他用户等待Web认证时间。
[0070]具体的,上述根据NAS网络设备和认证服务器的特征信息得到加密字段,具体包括:
[0071]获取NAS网络设备和认证服务器的IP地址、MAC地址、标识(Identification,ID)信息、统一资源定位符(Universal Resource Locator, URL);
[0072]采用加密算法对获取到的IP地址、MAC地址、ID信息、URL进行加密运算,并将运算结果保存在加密字段中。
[0073]上述加密算法可以为MD5算法等等。
[0074]基于同一发明构思,本发明实施例提供一种网页认证装置,该装置可以设置在网络设备中,网络设备可以为NAS网络设备,该装置的结构如图3所示,包括:
[0075]接收单元30,用于接收到至少两个HTTP身份认证请求报文。
[0076]均衡单元31,用于根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,每个线程与自身所在的非接入层NAS网络设备的多核CPU中的一个核绑定。
[0077]指示单元32,用于指示多核CPU中的每个核处理所绑定的线程上的HTTP身份认证请求报文及其对应的认证客户端后续的重定向过程和身份认证过程。
[0078]具体的,上述均衡单元31,具体用于:
[0079]针对每个HTTP身份认证请求报文,执行:
[0080]获取当前HTTP身份认证请求报文中携带的特征信息;
[0081]使用哈希算法对获取的特征信息进行计算,得到计算结果;
[0082]将当前HTTP身份认证请求报文分配给得到的计算结果对应的线程。
[0083]可选的,上述指示单元32,还用于:
[0084]在后续的重定向过程中,针对每个接收到的HTTP身份认证请求报文对应的认证客户端构造HTTP重定向报文;
[0085]获取预先根据NAS网络设备和认证服务器的特征信息得到的加密字段添加到每个HTTP重定向报文中;以及
[0086]采用加密算法对每个接收到的HTTP身份认证请求报文中携带的特征信息进行加密运算,并将运算结果添加到对应的HTTP重定向报文中,运算结果用于认证客户端在后续的身份认证过程中进行身份认证。
[0087]具体的,上述指示单元32,用于根据NAS网络设备和认证服务器的特征信息得到加密字段,具体用于:
[0088]获取NAS网络设备和认证服务器的IP地址、MAC地址、ID信息、URL ;
[0089]采用加密算法对获取到的IP地址、MAC地址、标识ID信息和URL进行加密运算,并将运算结果保存在加密字段中。
[0090]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0091]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0092]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0093]尽管已描述了本发明的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
[0094]显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种网页认证方法,应用于包括至少两个认证客户端、非接入层NAS网络设备和认证服务器的网络拓扑中,其特征在于,所述方法包括: 所述NAS网络设备接收到至少两个超文本传输协议HTTP身份认证请求报文; 根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,每个线程与所述NAS网络设备的多核中央处理器CPU中的一个核绑定; 指示所述多核CPU中的每个核处理所绑定的线程上的HTTP身份认证请求报文及其对应的认证客户端后续的重定向过程和身份认证过程。
2.如权利要求1所述的方法,其特征在于,根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,具体包括: 针对每个HTTP身份认证请求报文,执行: 获取当前HTTP身份认证请求报文中携带的特征信息; 使用哈希算法对获取的特征信息进行计算,得到计算结果; 将所述当前HTTP身份认证请求报文分配给得到的计算结果对应的线程。
3.如权利要求1所述的方法, 其特征在于,还包括: 在后续的重定向过程中,针对每个接收到的HTTP身份认证请求报文对应的认证客户端构造HTTP重定向报文; 获取预先根据所述NAS网络设备和所述认证服务器的特征信息得到的加密字段添加到每个HTTP重定向报文中;以及 采用加密算法对每个接收到的HTTP身份认证请求报文中携带的特征信息进行加密运算,并将运算结果添加到对应的HTTP重定向报文中,所述运算结果用于认证客户端在后续的身份认证过程中进行身份认证。
4.如权利要求3所述的方法,其特征在于,根据所述NAS网络设备和所述认证服务器的特征信息得到加密字段,具体包括: 获取所述NAS网络设备和所述认证服务器的互联网协议IP地址、媒质接入控制MAC地址、标识ID信息、统一资源定位符URL ; 采用加密算法对获取到的IP地址、MAC地址、标识ID信息和URL进行加密运算,并将运算结果保存在加密字段中。
5.一种网页认证装置,其特征在于,包括: 接收单元,用于接收到至少两个超文本传输协议HTTP身份认证请求报文; 均衡单元,用于根据接收到的HTTP身份认证请求报文中携带的特征信息将对应的HTTP身份认证报文均衡负载到线程上,每个线程与自身所在的非接入层NAS网络设备的多核中央处理器CPU中的一个核绑定; 指示单元,用于指示所述多核CPU中的每个核处理所绑定的线程上的HTTP身份认证请求报文及其对应的认证客户端后续的重定向过程和身份认证过程。
6.如权利要求5所述的装置,其特征在于,所述均衡单元,具体用于: 针对每个HTTP身份认证请求报文,执行: 获取当前HTTP身份认证请求报文中携带的特征信息; 使用哈希算法对获取的特征信息进行计算,得到计算结果;将所述当前HTTP身份认证请求报文分配给得到的计算结果对应的线程。
7.如权利要求5所述的装置,其特征在于,所述指示单元,还用于: 在后续的重定向过程中,针对每个接收到的HTTP身份认证请求报文对应的认证客户端构造HTTP重定向报文; 获取预先根据所述NAS网络设备和所述认证服务器的特征信息得到的加密字段添加到每个HTTP重定向报文中;以及 采用加密算法对每个接收到的HTTP身份认证请求报文中携带的特征信息进行加密运算,并将运算结果添加到对应的HTTP重定向报文中,所述运算结果用于认证客户端在后续的身份认证过程中进行身份认证。
8.如权利要求7所述的装置,其特征在于,所述指示单元,用于根据所述NAS网络设备和所述认证服务器的特征信息得到加密字段,具体用于: 获取所述NAS网络设备和所述认证服务器的互联网协议IP地址、媒质接入控制MAC地址、标识ID信息、统一资源定位符URL ; 采用加密算法对获取到的IP地址、MAC地址、标识ID信息和URL进行加密运算,并将运算结果保存在加密字段中。
9.一种网络设备,其特征在于,包括如权利要求5-8任一所述的网页认证装置。
【文档编号】H04L9/32GK103746806SQ201310684939
【公开日】2014年4月23日 申请日期:2013年12月13日 优先权日:2013年12月13日
【发明者】吴世奇, 陈艳红 申请人:福建星网锐捷网络有限公司