一种WEB认证方法及装置与流程

本申请涉及计算机通信领域，尤其涉及一种web认证方法及装置。

背景技术：

web(万维网)认证可以是指通过web认证页面接收用户输入的用户名和密码，对终端设备进行认证，以达到对终端设备的访问进行控制的目的。

在采用了web认证的组网环境中，未认证终端设备访问网络资源时，接入设备可强制终端设备访问portal(门户)服务器，portal服务器可向终端设备返回web认证页面，由用户通过该web认证页面输入待认证的用户名和密码。接入设备可将该待认证的用户名和密码转发给认证服务器，由该认证服务器完成对该终端设备的认证。

然而，一旦终端设备下线，不论终端设备下线多长时间，当用户再次访问之前已认证授权的网络资源时，仍需重新输入用户名和密码。如此，对于短时间内需要频繁访问已认证授权的网络资源的终端设备来说，大大降低了终端设备访问网络资源的效率，对终端设备重新访问网络资源造成了极大的不便。

技术实现要素：

有鉴于此，本申请提供一种web认证方法及装置，用以提高认证通过后下线又上线的终端设备的认证效率，同时提升web用户的上网体验。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种web认证方法，所述方法应用于接入设备，所述方法包括：

接收终端设备发送的第一网络访问报文；所述第一网络访问报文携带所述终端设备的特征信息；

检查本地记录的已下线终端设备信息中是否包含所述特征信息；

如果确定本地记录的已下线终端设备信息中包含所述特征信息，则获取所述终端设备通过认证时已记录的与所述特征信息对应的认证信息，将所述认证信息发送给所述认证服务器，以使所述认证服务器对所述认证信息进行认证。

可选的，所述获取所述终端设备通过认证时已记录的与所述特征信息对应的认证信息之前，还包括：

在确定所述终端设备首次通过认证服务器认证时，记录所述终端设备的特征信息和该终端设备对应的认证信息之间的对应关系；

所述获取所述终端设备通过认证时已记录的与所述特征信息对应的认证信息，包括：

在所述对应关系中，查找与所述终端设备的特征信息对应的认证信息。

可选的，所述检查本地记录的已下线终端设备信息中是否包含所述特征信息，包括：

在确定本地记录的在线终端设备信息中未包含所述特征信息后，检查本地记录的已下线终端设备信息中是否包含所述特征信息。

可选的，所述方法还包括：

如果确定本地记录的在线终端设备信息和已下线终端设备信息中未包含所述特征信息，则

在接收到该终端发送的第二网络访问报文后，向所述终端设备返回门户portal服务器的统一资源定位符url，以使所述终端设备在访问portal服务器后，portal服务器向所述终端设备返回供用户输入认证信息的认证页面；

在接收到所述portal服务器返回的来自于终端设备的认证信息后，将所述认证信息发送给认证服务器，以使认证服务器对所述认证信息进行认证。

可选的，所述方法进一步包括：

在接收到所述认证服务器针对所述认证信息的认证接受报文时，将所述认证接受报文中携带的所述终端设备的特征信息添加至所述在线终端设备信息中，以及在所述下线设备信息中删除所述终端设备的特征信息。

根据本申请的第二方面，提供一种web认证装置，所述装置应用于接入设备，所述装置包括：

接收单元，用于接收终端设备发送的第一网络访问报文；所述第一网络访问报文携带所述终端设备的特征信息；

检查单元，用于检查本地记录的已下线终端设备信息中是否包含所述特征信息；

发送单元，用于如果确定本地记录的已下线终端设备信息中包含所述特征信息，则获取所述终端设备通过认证时已记录的与所述特征信息对应的认证信息，将所述认证信息发送给所述认证服务器，以使所述认证服务器对所述认证信息进行认证。

可选的，所述装置还包括记录单元，用于在确定所述终端设备首次通过认证服务器认证时，记录所述终端设备的特征信息和该终端设备对应的认证信息之间的对应关系；

所述发送单元，具体用于在所述对应关系中，查找与所述终端设备的特征信息对应的认证信息。

可选的，所述检查单元，具体用于在确定本地记录的在线终端设备信息中未包含所述特征信息后，检查本地记录的已下线终端设备信息中是否包含所述特征信息。

可选的，所述装置还包括重定向单元，用于如果确定本地记录的在线终端设备信息和已下线终端设备信息中未包含所述特征信息，则在接收到该终端发送的第二网络访问报文后，向所述终端设备返回门户portal服务器的统一资源定位符url，以使所述终端设备在访问portal服务器后，portal服务器向所述终端设备返回供用户输入认证信息的认证页面；在接收到所述portal服务器返回的来自于终端设备的认证信息后，将所述认证信息发送给认证服务器，以使认证服务器对所述认证信息进行认证。

可选的，所述装置还包括信息处理单元，用于在接收到所述认证服务器针对所述认证信息的认证接受报文时，将所述认证接受报文中携带的所述终端设备的特征信息添加至所述在线终端设备信息中，以及在所述下线设备信息中删除所述终端设备的特征信息。

本申请提供了一种web认证方法，接入设备在接收到终端设备发送的网络访问报文后，可检查本地记录的已下线终端设备信息是否包含该终端设备的特征信息，如果包含，则确定该终端设备为已通过认证并下线又上线的终端设备，此时，接入设备不再将该终端设备的访问重定向至portal服务器，由portal服务器向终端设备返回供用户输入认证信息的认证页面，而是接入设备将该终端设备通过认证时已记录的与该终端设备的特征信息对应的认证信息发送给认证服务器进行认证。

由于减少了通过认证的终端设备下线又上线，尤其是在短时间内频繁下线又上线这种情况下用户输入认证信息频率，因此提高了终端设备频繁访问网络资源的时的认证效率。同时，由于用户不会再收到认证页面，输入认证信息，使得用户在无感知的情况下进行了认证，提升了web认证用户的上网体验。

附图说明

图1是本申请一示例性实施例示出的一种web认证系统的组网架构图；

图2是本申请一示例性实施例示出的一种web认证的交互图；

图3是本申请一示例性实施例示出的一种web认证方法的流程图；

图4是本申请一示例性实施例示出的另一种web认证方法的流程图；

图5是本申请一示例性实施例示出的一种web认证装置所在接入设备的硬件结构图；

图6是本申请一示例性实施例示出的一种web认证装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本申请旨在提出一种web认证方法，接入设备在接收到终端设备发送的网络访问报文后，可检查本地记录的已下下线设备信息是否包含该终端设备的特征信息，如果包含，则确定该终端设备为已通过认证并下线又上线的终端设备，此时，接入设备不再将该终端设备的访问重定向至portal服务器，由portal服务器向终端设备返回供用户输入认证信息的认证页面，而是接入设备将该终端设备通过认证时已记录的与该终端设备的特征信息对应的认证信息发送给认证服务器进行认证。

由于减少了通过认证的终端设备下线又上线，尤其是在短时间内频繁下线又上线这种情况下用户输入认证信息频率，因此提高了终端设备频繁访问网络资源的时的认证效率。同时，由于用户不会再收到认证页面，输入认证信息，使得用户在无感知的情况下进行了认证，提升了web认证用户的上网体验。

在对本申请提供的定位方法进行介绍之前，首先对web认证的组网架构和web认证的一般流程进行介绍。

参见图1，图1是本申请一示例性实施例示出的一种web认证系统的组网架构图。该组网可至少包括：终端设备、接入设备、portal服务器以及认证服务器。

其中，上述终端设备，可搭载认证客户端系统，该认证客户端系统可为运行http(hypertexttransferprotocol，超文本传输协议)/https(hypertexttransferprotocoloversecuresocketlayer，超文本传输安全协议)协议的浏览器或者portal客户端等。

上述接入设备，可以包括提供bras(broadbandremoteaccessserver，宽带远程接入服务器)接入服务的设备，至少包括以下三方面的功能：

在认证之前，将用户的所有http/https请求都重定向到portal服务器。

在认证过程中，与portal认证服务器、认证服务器交互，完成身份认证/授权/计费的功能。

在认证通过后，允许用户访问被授权的互联网资源。

上述portal服务器，通常至少包含portalweb服务功能模块和portal认证功能模块。portalweb服务功能模块负责向客户端提供web认证页面，并将客户端的认证信息(用户名、密码等)提交给portal认证服务功能模块。portal认证服务功能模块用于接收认证客户端认证请求，与接入设备交互认证客户端的认证信息。portalweb服务功能模块通常可与portal认证服务功能模块的部署在同一台服务器上，也可以分别部署在不同的服务器上。

上述认证服务器，可包括aaa(authentication,authorizationandaccounting，验证、授权和账户)服务器，radius(remoteauthenticationdialinuserservice，远程认证拨号用户服务)服务器等。该认证服务器可与接入设备进行交互，完成对用户的认证、授权和计费。上述认证服务器还可包括radius服务器等，这里只是对认证服务器。

下面以接入设备为bras设备为例，对web认证的一般流程和本申请提供的web认证方法进行详细地说明，其他的接入设备的web认证方法与bras设备相同，这里不再赘述。

参见图2，图2是本申请一示例性实施例示出的一种web认证的交互图，一般web认证可包括如下流程。

步骤201：终端设备发送http/https请求；

步骤202：bras设备根据该http/https请求携带的目的地址判断是否需要重定向操作。如果是，执行步骤204至步骤213；如果否，执行步骤203、以及步骤206至步骤213。

在实现时，bras设备可判断该http/https请求中携带的目的地址与portal服务器的地址是否相同，如果地址相同，则确定不需要执行重定向操作，执行步骤203、以及步骤206至步骤213。如果否，执行重定向操作，如执行步骤204-步骤213。

步骤203：bras设备将所述http/https请求发送给portal服务器，以访问portal服务器。

步骤204：bras设备可向所述终端设备推送portal服务器的url地址；

步骤205：终端设备向portal服务器发送访问报文。

在终端设备接收到portal服务器url(uniformresourcelocator，统一资源定位符)地址后，可向该portal服务器发送访问报文，来访问portal服务器。

步骤206：portal服务器可将供用户输入认证信息的认证页面返回给终端设备。

步骤207：终端设备可向portal服务器发送认证信息。

在实现时，当终端设备接收到portal服务器返回的可供用户输入的认证信息认证页面后，可展示该认证页面。用户可在该认证页面上输入认证信息，如用户的用户名和密码。然后终端设备可将用户输入的认证信息发送给portal服务器。

步骤208：portal服务器将该认证信息发送给bras设备。

步骤209：bras设备可向认证服务器发送接入认证请求，该接入认证请求中携带有上述认证信息。

步骤210：认证服务器对该认证信息进行认证。

步骤211：认证服务器返回认证结果。

若认证通过，认证服务器可返回认证接受报文，该认证接受报文中携带授权信息。若认证未通过，则发送认证拒绝报文。

步骤212：bras设备根据从认证服务器获取到的认证和授权结果，更新记录的在线用户信息。在认证通过后，下发用户权限。

步骤213：如果认证授权成功，bras设备可向认证服务器发送计费开始报文，开始对该用户计费。

参见图3，图3是本申请一示例性实施例示出的一种web认证方法的流程图。该方法可应用于bras设备，可包括步骤301至步骤303。

步骤301：接收终端设备发送的第一网络访问报文；所述第一网络访问报文携带所述终端设备的特征信息；

其中，下文所述已下终端线设备信息，可以包括通过认证但已下线的设备的信息，该已下线终端设备信息包括已下线的终端设备的特征信息等。该已下线终端设备信息可以以表的形式进行组织等。

下文所述的在线终端设备信息，可以包括通过认证并且在线的设备的相关信息，例如该在线终端设备信息可包括在线的终端设备的特征信息，权限信息等。

上述认证信息可包括用户账号、密码等。

上述终端设备的特征信息，可包括终端设备的mac地址，终端设备的ip地址，终端设备所属的vlan的标识等。

上述第一网络访问报文可以是ip报文，进一步来说，该第一网络访问报文可以包括终端设备访问网页的http报文，也可以是终端设备发送的非http报文，如进行文件下载，数据传输的ip报文。

在本申请实施例中，当bras设备接收到上述ip报文后，如果检查到本地记录的已下线终端设备信息中包含该ip报文携带的终端的特征信息，则不向终端设备推送认证页面，也不需要用户输入用户名和密码，而是在用户无感知的情况下，完成了对用户的认证。

例如，假设用户通过认证，访问某网站下线后，用户再次访问该网站时，用户可发送访问该网站的http报文，此时，终端设备不会再收到认证页面来供用户输入认证信息，而是用户在无感知的情况下对用户进行了认证。对于用户而言，其所体验到的是直接访问了该网站。

又例如，假设用户通过认证后，下载某个文件，在下载一半时，用户下线。在预设时间段后，用户又上线，用户的终端设备可发送下载该文件的ip报文(非http报文)。此时，终端设备不会再收到认证页面来输入认证信息，而是用户在无感知的情况下对用户进行了认证。对于用户而言，其所体验到的是用户接着进行该文件的下载。

在介绍完上述基本概念，下面对本申请提供的web认证方法进行详细地介绍。

在本申请实施例中，当bras设备接收认证服务器返回的终端设备的认证接受报文后，bras设备可记录该终端该用户终端的特征信息和该终端设备对应的认证信息的对应关系。该对应关系可以以表的形式进行组织，还可以以其他形式进行组织，这里不对其进行具体地限定。

当bras设备接收到终端设备发送的断开链接请求后，bras设备可从该断开链接请求中获取该终端设备的特征信息，作为已下线终端设备信息。

在本申请实施例中，当bras设备接收到终端设备发送的第一网络访问报文后，bras设备可获取该第一网络访问报文中携带的终端设备的特征信息。

步骤302：检查本地记录的已下线终端设备信息中是否包含所述特征信息；

步骤303：如果是，则获取所述终端设备通过认证时已记录的与所述特征信息对应的认证信息，将所述认证信息发送给所述认证服务器，以使所述认证服务器对所述认证信息进行认证。

在本申请实施例中，在获取该终端设备的特征信息后，bras设备可检查本地记录的已下线终端设备信息中是否包含该终端设备的特征信息。

在一种可选的实现方式中，由于bras设备接收到的报文大多为在线终端设备发送的网络访问报文，为了避免bras设备频繁检测已下线用户信息中是否包含来自于在线设备的网络访问报文中携带的特征信息，减少bras设备的负荷。bras设备可为其所执行的检测设置优先级。

例如，bras设备在接收到第一网络访问报文后，可优先检查本地记录的在线终端设备信息中是否记录该终端设备的特征信息。如果在线终端设备信息中记录有该特征信息，则表明该终端设备为通过认证且在线的终端设备，bras设备可基于访问权限对该第一网络访问报文进行接入控制。如果在线终端设备信息中没有记录该特征信息，则bras设备可进一步检测上述已下线终端设备信息中是否包含该终端设备的特征信息。

在本申请实施例中，当bras设备确定已下线终端设备信息中包含该终端设备的特征信息后，bras设备可确定该终端设备为通过认证下线又上线的设备。bras设备可执行如图4所示的流程。

步骤401：bras设备获取与该终端设备的特征信息对应的认证信息；

当已下线终端设备信息中包含该终端设备的特征信息，终端设备可在上述终端设备的特征信息和该特征信息对应的认证信息的对应关系中，查找该终端设备的特征信息对应的认证信息。

在一种可选的实现方式中，当已下线终端设备信息中包含该终端设备的特征信息时，终端设备可将该第一网络访问报文上送至该bras设备的cpu。bras设备的cpu可在上述终端设备的特征信息和该特征信息对应的认证信息的对应关系中，查找该终端设备的特征信息对应的认证信息。

步骤402：bras设备向认证服务器发送接入认证请求。

在查找到该终端设备对应的认证信息后，终端设备可向认证服务器发送携带有该认证信息的接入认证请求。

步骤403：认证服务器对该认证信息进行认证。

步骤404：认证服务器返回认证结果。

当认证通过时，认证服务器可向bras设备返回认证接受报文，当认证未通过时，则向bras设备返回认证拒绝报文。

步骤405：更新在线终端设备信息和已下线终端设备信息，下发权限。

当bras设备接收到认证服务器返回的认证通过报文后，终端设备可将该终端设备的特征信息从上述下线设备信息中删除，同时将该终端设备的特征信息添加至上述在线终端设备信息中。

步骤406：如果认证授权成功，bras设备向认证服务器发送计费开始报文，开始对该用户计费。

在本申请实施例中，当bras设备确定已下线终端设备信息中未包含该终端设备的特征信息，且上述在线终端设备信息中也未包含该终端设备的特征信息后，bras设备可等待该终端设备发送第二网络访问报文。其中，第二网络访问报文可以包括采用http、https、xml等协议的页面请求报文。当bras设备接收到终端设备发送的第二网络访问报文后，此时可按照图2所示的步骤201至步骤213对该终端设备进行认证。

本申请旨在提出一种web认证方法，接入设备在接收到终端设备发送的网络访问报文后，可检查本地记录的已下下线设备信息是否包含该终端设备的特征信息，如果包含，则确定该终端设备为已通过认证并下线又上线的终端设备，此时，接入设备不再将该终端设备的访问重定向至portal服务器，由portal服务器向终端设备返回供用户输入认证信息的认证页面，而是接入设备将该终端设备通过认证时已记录的与该终端设备的特征信息对应的认证信息发送给认证服务器进行认证。

由于减少了通过认证的终端设备下线又上线，尤其是在短时间内频繁下线又上线这种情况下用户输入认证信息频率，因此提高了终端设备频繁访问网络资源的时的认证效率。同时，由于用户不会再收到认证页面，输入认证信息，使得用户在无感知的情况下进行了认证，提升了web认证用户的上网体验。

与前述web认证方法的实施例相对应，本申请还提供了web认证装置的实施例。

本申请web认证装置的实施例可以应用在接入设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在接入设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图5所示，为本申请web认证装置所在接入设备的一种硬件结构图，除了图5所示的处理器、内存、网络出接口、以及非易失性存储器之外，实施例中装置所在的接入设备通常根据该接入设备的实际功能，还可以包括其他硬件，对此不再赘述。

请参考图6，图6是本申请一示例性实施例示出的一种web认证装置的框图，所述装置应用于接入设备，所述装置包括：

接收单元601，用于接收终端设备发送的第一网络访问报文；所述第一网络访问报文携带所述终端设备的特征信息；

检查单元602，用于检查本地记录的已下线终端设备信息中是否包含所述特征信息；

发送单元603，用于如果确定本地记录的已下线终端设备信息中包含所述特征信息，则获取所述终端设备通过认证时已记录的与所述特征信息对应的认证信息，将所述认证信息发送给所述认证服务器，以使所述认证服务器对所述认证信息进行认证。

可选的，所述装置还包括记录单元604，用于在确定所述终端设备首次通过认证服务器认证时，记录所述终端设备的特征信息和该终端设备对应的认证信息之间的对应关系；

所述发送单元603，具体用于在所述对应关系中，查找与所述终端设备的特征信息对应的认证信息。

可选的，所述检查单元602，具体用于在确定本地记录的在线终端设备信息中未包含所述特征信息后，检查本地记录的已下线终端设备信息中是否包含所述特征信息。

可选的，所述装置还包括重定向单元605，用于如果确定本地记录的在线终端设备信息和已下线终端设备信息中未包含所述特征信息，则在接收到该终端发送的第二网络访问报文后向所述终端设备返回门户portal服务器的统一资源定位符url，以使所述终端设备在访问portal服务器后，portal服务器向所述终端设备返回供用户输入认证信息的认证页面；在接收到所述portal服务器返回的来自于终端设备的认证信息后，将所述认证信息发送给认证服务器，以使认证服务器对所述认证信息进行认证。

可选的，所述装置还包括信息处理单元606，用于在接收到所述认证服务器针对所述认证信息的认证接受报文时，将所述认证接受报文中携带的所述终端设备的特征信息添加至所述在线终端设备信息中，以及在所述下线设备信息中删除所述终端设备的特征信息。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。