技術領域

本發明涉及計算機通信技術領域，尤其涉及一種Web認證方法及裝置。

背景技術

網絡信息安全越來越受到人們重視，為了能夠控制局域網內用戶對外部資源的訪問，在局域網內用戶訪問外部網絡資源時，首先需要通過認證才能對其授權，以訪問外部資源。

超文本傳輸協議（HTTP，Hyper?Text?Transfer?Protocol）是客戶端瀏覽器或其他程序與Web服務器之間的應用層通信協議，包含命令和傳輸信息，不僅可用于Web訪問，也可以用于其他因特網/內聯網應用系統之間的通信，因此能夠實現各類應用資源超媒體訪問的集成。

在因特網（Internet）上，Web服務器存放的都是超文本信息，客戶端要通過HTTP傳輸所要訪問的超文本信息，首先需要客戶端的終端用戶在接入層設備通過Web認證。

具備Web認證功能的交換機或路由器等接入層設備支持Web認證功能的方式主要為外置方式，目前，外置Web認證的過程為：用戶準備接入網絡時，啟動任意的瀏覽器軟件，比如IE等；輸入任意的URL地址，均會被接入層設備重定向到Web認證服務器。這樣，Web認證服務器向用戶推送認證頁面，同時接入層設備通過URL地址中的參數，將用戶的一些認證信息（如IP、MAC等）傳送給Web認證服務器。用戶在Web認證服務器推送的認證頁面上輸入合法的用戶名/密碼，進行接入認證。Web認證服務器把用戶輸入的用戶密碼以及URL中傳遞的相關認證信息發給Radius服務器進行認證。認證成功后，Web認證服務器打開接入層設備上該IP的上網通道，用戶就可以上網了。

接入層設備在進行URL重定向時產生臨時記錄，臨時記錄包括IP、MAC等信息，用來表明這些信息所代表的網絡節點曾經被重定向過，并在Web認證通過后，根據臨時記錄打開該IP的上網通道。

綜上所述，傳統Web認證系統由接入層設備、Web認證服務器和Radius服務器組成，認證流程繁瑣，且認證消息在三者之間進行傳輸時，需要占用網絡傳輸資源，造成了網絡傳輸資源的浪費。

發明內容

本發明實施例提供了一種Web認證方法及裝置，用以簡化Web認證流程，節約網絡傳輸資源。

本發明實施例提供一種Web認證方法，包括：端口開啟Web認證時，下發Web認證前的ACL規則，所述Web認證前的ACL規則為HTTP協議報文的目的IP地址非本地IP地址的HTTP報文轉發到CPU；允許DNS協議報文的轉發；允許廣播報文的轉發；允許本端口連接的設備與交換機進行直接通信；

除上述報文外，不允許其他報文的轉發；

接收內網用戶發送的超文本傳輸協議HTTP報文，所述HTTP報文中攜帶有報文傳輸信息，所述報文傳輸信息包括所述HTTP報文傳輸的目的互聯網協議IP地址、所使用的傳輸協議信息和目的端口；

判斷所述目的IP地址是否為為非本地IP地址、且所使用的傳輸協議是否為傳輸控制協議TCP以及目的端口是否為80；

若判斷結果均為是，對所述內網用戶進行Web認證。

本發明實施例提供一種Web認證裝置，包括：

認證功能開啟模塊，用于當端口開啟Web認證時下發Web認證前的ACL規則，所述Web認證前的ACL規則為HTTP協議報文的目的IP地址非本地IP地址的IP報文trap到CPU；允許DNS協議報文的轉發；允許廣播報文的轉發；允許本端口連接的設備與交換機進行直接通信；

除上述報文外，不允許其他報文的轉發；

接收模塊，用于接收內網用戶發送的HTTP報文，所述HTTP報文中攜帶有報文傳輸信息，所述報文傳輸信息包括所述HTTP報文傳輸的目的互聯網協議IP地址、所使用的傳輸協議信息和目的端口；

判斷模塊，用于判斷所述目的IP地址是否為為非本地IP地址、且所使用的傳輸協議是否為傳輸控制協議TCP以及目的端口是否為80；

認證模塊，用于在所述判斷模塊的判斷結果均為是時，對所述內網用戶進行Web認證。

本發明實施例提供的Web認證方法及裝置，當接入層設備在接收到內網用戶發送的HTTP報文之后，首先判斷該發送該HTTP報文的端口是否開啟了Web認證，如果是，則判斷HTTP報文中攜帶的報文傳輸信息是否滿足預設條件，如果是，則由接入層設備對內網用戶進行Web認證，由于在對內網用戶進行Web認證時，無需將認證相關信息轉發給Web認證服務器以及Radius服務器進行處理，從而簡化了Web認證流程，節約了網絡傳輸資源。