專(zhuān)利名稱(chēng):Nat網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域,更具體地��,涉及一種在網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation,簡(jiǎn)稱(chēng)NAT)網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法和設(shè)備���。
背景技術(shù):
隨著互聯(lián)網(wǎng)的迅速發(fā)展,IP地址短缺已成為一個(gè)十分突出的問(wèn)題�����。為了解決這個(gè)問(wèn)題�,出現(xiàn)了多種解決方案�����,作為其中一種在目前網(wǎng)絡(luò)環(huán)境中比較有效的方法���,提出了 NAT 功能���。NAT功能指在一個(gè)網(wǎng)絡(luò)內(nèi)部,可以根據(jù)需要自定義內(nèi)部私有IP地址����,而不需要經(jīng)過(guò)申請(qǐng)����。在網(wǎng)絡(luò)內(nèi)部,各計(jì)算機(jī)間通過(guò)私有IP地址進(jìn)行通訊。而當(dāng)內(nèi)部計(jì)算機(jī)要與外部互聯(lián)網(wǎng)進(jìn)行通訊時(shí)����,具有NAT功能的設(shè)備(比如路由器)負(fù)責(zé)將其私有IP地址轉(zhuǎn)換為合法的IP地址(即經(jīng)過(guò)申請(qǐng)的IP地址)進(jìn)行通信���。目前在校園網(wǎng)或企業(yè)網(wǎng)中普遍部署利用NAT功能的網(wǎng)絡(luò)����,這類(lèi)網(wǎng)絡(luò)也稱(chēng)為NAT網(wǎng)絡(luò)。NAT網(wǎng)絡(luò)中通常有眾多的內(nèi)部用戶�����,而與外部聯(lián)網(wǎng)的網(wǎng)絡(luò)資源則是有限的,例如合法的 IP地址是有限的,與外網(wǎng)連接的帶寬等也是有限的�����。于是需要有效地管理網(wǎng)絡(luò)資源���。網(wǎng)絡(luò)運(yùn)營(yíng)商需要對(duì)用戶的網(wǎng)上行為進(jìn)行監(jiān)控管理���,對(duì)用戶訪問(wèn)外網(wǎng)進(jìn)行控制,防止非法用戶盜用網(wǎng)絡(luò)資源訪問(wèn)外網(wǎng)。因此,需要一種NAT網(wǎng)絡(luò)環(huán)境下的控制用戶訪問(wèn)外部網(wǎng)絡(luò)的方法和實(shí)現(xiàn)該控制的設(shè)備�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種有效地防止網(wǎng)絡(luò)資源被盜用的方案�。本發(fā)明提出在 NAT網(wǎng)絡(luò)的客戶端設(shè)備上的瀏覽器中安裝接入認(rèn)證插件,用于在客戶端進(jìn)行HTTP訪問(wèn)時(shí)在 HTTP訪問(wèn)請(qǐng)求報(bào)文中添加獨(dú)有的認(rèn)證標(biāo)識(shí)�。接入控制網(wǎng)關(guān)在接收到HTTP訪問(wèn)請(qǐng)求報(bào)文時(shí), 通過(guò)驗(yàn)證其中是否包含與客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)一致的認(rèn)證標(biāo)識(shí),來(lái)過(guò)濾該HTTP訪問(wèn)請(qǐng)求��。通過(guò)這種方式�,可以有效地防止沒(méi)有登錄的用戶盜用網(wǎng)絡(luò)資源��。根據(jù)本發(fā)明的一個(gè)方面���,提供了一種在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法,包括以下步驟接收來(lái)自內(nèi)部客戶端設(shè)備的HTTP訪問(wèn)請(qǐng)求�����;解析所述HTTP訪問(wèn)請(qǐng)求中的認(rèn)證標(biāo)識(shí)�;驗(yàn)證解析出的認(rèn)證標(biāo)識(shí)是否與所述客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)相一致�;以及如果通過(guò)驗(yàn)證�,則允許所述HTTP訪問(wèn)請(qǐng)求��,否則拒絕所述HTTP訪問(wèn)請(qǐng)求�。在一個(gè)實(shí)施例中��,所述認(rèn)證標(biāo)識(shí)包括下述中的至少一個(gè)由NAT設(shè)備分配給客戶端設(shè)備的私有IP地址、客戶端設(shè)備的MAC地址、驗(yàn)證碼�����。根據(jù)本發(fā)明的另一方面����,提供了一種用于網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)絡(luò)環(huán)境下的接入控制網(wǎng)關(guān)�����,包括接收裝置�����,用于接收來(lái)自內(nèi)部客戶端設(shè)備的HTTP訪問(wèn)請(qǐng)求�����;解析裝置�,用于解析所述HTTP訪問(wèn)請(qǐng)求中的認(rèn)證標(biāo)識(shí)����;驗(yàn)證裝置���,用于驗(yàn)證解析出的認(rèn)證標(biāo)識(shí)是否與所述客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)相一致��;以及過(guò)濾裝置�����,用于在HTTP訪問(wèn)請(qǐng)求通過(guò)驗(yàn)證時(shí),允許所述HTTP訪問(wèn)請(qǐng)求�,以及在其他情況下拒絕所述HTTP訪問(wèn)請(qǐng)求��。
通過(guò)下面結(jié)合
本發(fā)明的優(yōu)選實(shí)施例��,將使本發(fā)明的上述及其它目的、特征和優(yōu)點(diǎn)更加清楚��,其中圖1示出了本發(fā)明所應(yīng)用的NAT網(wǎng)絡(luò)的組成示意圖��;圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的在NAT網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法的流程圖;圖3示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的在接入控制網(wǎng)關(guān)處執(zhí)行的在NAT網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法的流程圖�����;圖4示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)絡(luò)環(huán)境下的接入控制網(wǎng)關(guān)400的框圖�。
具體實(shí)施例方式為了清楚詳細(xì)地闡述本發(fā)明,下面給出了一些本發(fā)明的具體實(shí)施例����。根據(jù)本發(fā)明的實(shí)施例��,能夠支持NAT網(wǎng)絡(luò)中的通過(guò)登錄認(rèn)證的用戶訪問(wèn)外網(wǎng)�,防止非法用戶盜用網(wǎng)絡(luò)資源���。下面參照附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)說(shuō)明���。對(duì)于NAT網(wǎng)絡(luò)的內(nèi)部客戶端設(shè)備之間的訪問(wèn),其與現(xiàn)有技術(shù)類(lèi)似��,在此不進(jìn)行詳細(xì)描述�����。本發(fā)明將主要考慮NAT網(wǎng)絡(luò)中的客戶端設(shè)備訪問(wèn)外部網(wǎng)絡(luò)的情形�。圖1示出了本發(fā)明所應(yīng)用的NAT網(wǎng)絡(luò)的組成示意圖。如圖1所示,該NAT網(wǎng)絡(luò)包括客戶端設(shè)備100��、NAT設(shè)備200、Portal服務(wù)器300和接入控制網(wǎng)關(guān)400。應(yīng)該理解���,盡管未在圖中示出���,但是該NAT網(wǎng)絡(luò)還可以包括其他客戶端和服務(wù)器�,等等���。客戶端設(shè)備100可以是用戶使用的任何支持聯(lián)網(wǎng)的計(jì)算設(shè)備����,例如臺(tái)式計(jì)算機(jī)���、 筆記本計(jì)算機(jī)����、膝上型計(jì)算機(jī)等等。當(dāng)客戶端100接入NAT網(wǎng)絡(luò)時(shí)����,其通過(guò)NAT設(shè)備200自動(dòng)配置IP地址,例如IPv4地址��,該地址也稱(chēng)為私有IP地址��。在NAT網(wǎng)絡(luò)內(nèi)部,不同的客戶端設(shè)備之間通過(guò)該私有IP地址進(jìn)行通信��。NAT設(shè)備200可以是任何現(xiàn)有的或以后開(kāi)發(fā)的具有NAT功能的設(shè)備���。NAT設(shè)備200 與客戶端設(shè)備100相耦合,用于為接入NAT網(wǎng)絡(luò)的設(shè)備提供所屬網(wǎng)段的私有地址��,例如給接入NAT網(wǎng)絡(luò)的客戶端設(shè)備100提供私有IP地址���。此外,NAT設(shè)備200還用于在接收到客戶端100訪問(wèn)外網(wǎng)的HTTP請(qǐng)求時(shí)��,將報(bào)頭中的源地址轉(zhuǎn)換成合法的IP地址(即經(jīng)過(guò)申請(qǐng)的 IP地址)。Portal服務(wù)器300提供根據(jù)本發(fā)明的瀏覽器接入認(rèn)證插件的下載和用戶認(rèn)證����。當(dāng) Portal服務(wù)器接收到客戶端設(shè)備的HTTP請(qǐng)求時(shí)���,先檢查客戶端設(shè)備所用的瀏覽器是否安裝了該接入認(rèn)證插件���,若未安裝則向客戶端推出插件下載提示����。客戶端設(shè)備100的瀏覽器安裝了該接入認(rèn)證插件之后,該插件將在客戶端生成的HTTP請(qǐng)求中添加認(rèn)證標(biāo)識(shí)�����。該認(rèn)證標(biāo)識(shí)可以唯一地標(biāo)識(shí)該客戶端設(shè)備,例如其可以是該設(shè)備的私有IP地址(例如����,IPv4地址)���、MAC地址和校驗(yàn)碼����、其他唯一標(biāo)識(shí),或者其任意組合�。所述接入認(rèn)證插件例如可以利用微軟推出的BHO (瀏覽器輔助對(duì)象)來(lái)實(shí)現(xiàn),于是該插件可以稱(chēng)為BHO插件��。BHO是瀏覽器對(duì)第三方程序員開(kāi)放交互接口的業(yè)界標(biāo)準(zhǔn)���,通過(guò)簡(jiǎn)單的代碼就可以進(jìn)入瀏覽器領(lǐng)域的“交互接口”(INTERACTION Interface),通過(guò)這個(gè)接口����, 可以容易地獲取客戶端設(shè)備的地址信息,如IP地址�����、和/或MAC地址等��?����?蛇x地�,接入認(rèn)證插件還可以按預(yù)定的算法計(jì)算出校驗(yàn)碼���。在確認(rèn)接入認(rèn)證插件安裝完畢并正常啟用后��,Portal服務(wù)器向客戶端設(shè)備100推出用戶登錄認(rèn)證頁(yè)面。用戶可以根據(jù)該登錄認(rèn)證頁(yè)面的提示填寫(xiě)用戶名��、密碼等。接入認(rèn)證插件將解析登錄認(rèn)證頁(yè)面的頁(yè)面腳本,在其中填充客戶端設(shè)備的認(rèn)證標(biāo)識(shí)�,例如IP地址���、 MAC地址�、和/或校驗(yàn)碼����。于是,在用戶填充用戶名�����、密碼等登錄認(rèn)證項(xiàng)目后����,點(diǎn)擊聯(lián)網(wǎng)按鈕����, 將登錄認(rèn)證項(xiàng)目和客戶端設(shè)備的認(rèn)證標(biāo)識(shí)發(fā)送給Portal服務(wù)器����。Portal服務(wù)器將根據(jù)接收的認(rèn)證項(xiàng)目來(lái)認(rèn)證用戶�����,允許合法用戶登錄��,或者拒絕非法用戶登錄�����?����?蛇x地�,Portal服務(wù)器可以與單獨(dú)的認(rèn)證服務(wù)器進(jìn)行通信���,來(lái)執(zhí)行對(duì)用戶的認(rèn)證����。當(dāng)通過(guò)登錄認(rèn)證后���,Portal 服務(wù)器將獲取的客戶端設(shè)備的認(rèn)證標(biāo)識(shí)發(fā)送給接入控制網(wǎng)關(guān)進(jìn)行存儲(chǔ)����。優(yōu)選地,與客戶端設(shè)備的認(rèn)證標(biāo)識(shí)一起�����,Portal服務(wù)器還向接入控制網(wǎng)關(guān)發(fā)送用戶名、密碼等登錄認(rèn)證信息�����, 已供接入控制網(wǎng)關(guān)將客戶端設(shè)備的認(rèn)證標(biāo)識(shí)和用戶的登錄認(rèn)證信息關(guān)聯(lián)地存儲(chǔ)�。接入控制網(wǎng)關(guān)400是NAT網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口。其接收到的客戶端設(shè)備100訪問(wèn)外網(wǎng)的HTTP請(qǐng)求進(jìn)行過(guò)濾�,判斷該客戶端設(shè)備是否經(jīng)過(guò)登錄認(rèn)證。具體地����,接入控制網(wǎng)關(guān)400查看該HTTP訪問(wèn)請(qǐng)求中是否包含客戶端設(shè)備的認(rèn)證標(biāo)識(shí)。并且查看客戶端設(shè)備的認(rèn)證標(biāo)識(shí)與其保存的客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)是否一致。如果一致����,則認(rèn)為通過(guò)了登錄認(rèn)證,放行該次HTTP訪問(wèn)請(qǐng)求���。在其他情況下����,都拒絕該次訪問(wèn)����。通過(guò)這種方式����,可以有效地防止沒(méi)有登錄的用戶盜用網(wǎng)絡(luò)資源。優(yōu)選地����,在拒絕訪問(wèn)的同時(shí)將該HTTP 請(qǐng)求重定向到Portal服務(wù)器,以便進(jìn)行瀏覽器接入認(rèn)證插件的安裝以及登錄認(rèn)證操作�����。在一個(gè)優(yōu)選實(shí)施例中����,接入控制網(wǎng)關(guān)400對(duì)于訪問(wèn)免費(fèi)外部地址的HTTP請(qǐng)求不進(jìn)行上述過(guò)濾操作。而僅對(duì)訪問(wèn)其他外部地址的HTTP請(qǐng)求執(zhí)行上述過(guò)濾操作��。在一個(gè)優(yōu)選實(shí)施例中���,認(rèn)證標(biāo)識(shí)包括客戶端設(shè)備的地址(IP地址����,和/或MAC地址)以及校驗(yàn)碼��。接入控制網(wǎng)關(guān)400接收客戶端100發(fā)來(lái)的HTTP訪問(wèn)請(qǐng)求���,解析出由插件添加的認(rèn)證標(biāo)識(shí)��,與該用戶在登錄時(shí)保存的信息進(jìn)行比較�����,根據(jù)結(jié)果�,采取下述訪問(wèn)控制策略,具體如下(1)無(wú)法從訪問(wèn)請(qǐng)求中解析出認(rèn)證標(biāo)識(shí)����。判定為非法訪問(wèn)用戶的HTTP訪問(wèn),接入控制網(wǎng)關(guān)400將阻止此次HTTP訪問(wèn)��,并重定向至由Portal服務(wù)器300提供的登錄認(rèn)證頁(yè)(2)能從訪問(wèn)請(qǐng)求中解析出客戶端地址信息�����,但是校驗(yàn)碼錯(cuò)誤��。接入控制網(wǎng)關(guān)400 將判定此次訪問(wèn)為非法訪問(wèn)用戶偽造指定的BHO插件進(jìn)行HTTP訪問(wèn)�����。根據(jù)此判定結(jié)果���,接入控制網(wǎng)關(guān)400會(huì)阻止此次HTTP訪問(wèn),并重定向至由Portal服務(wù)器300提供的登錄認(rèn)證頁(yè)面����;(3)能從訪問(wèn)請(qǐng)求中解析出客戶端地址信息,校驗(yàn)碼也正常,但是與接入控制網(wǎng)關(guān) 400中預(yù)存的在線綁定關(guān)系不一致�����,判定為用戶本次為異地登錄訪問(wèn)����。根據(jù)此判定結(jié)果,接入控制網(wǎng)關(guān)400將阻止此次HTTP訪問(wèn)����,并重定向至由Portal服務(wù)器300提供的登錄認(rèn)證頁(yè)面;(4)能從訪問(wèn)請(qǐng)求中解析出客戶端地址信息��,校驗(yàn)碼和在線綁定關(guān)系都正常無(wú)誤����。判定為用戶正常的HTTP訪問(wèn),接入控制網(wǎng)關(guān)400將開(kāi)放本次HTTP的訪問(wèn)請(qǐng)求�。圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的在NAT網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法的流程圖。(1)客戶端設(shè)備100接入網(wǎng)絡(luò)���,接受NAT設(shè)備200分配的固定網(wǎng)段的私有地址��。(2)客戶端設(shè)備100希望訪問(wèn)外網(wǎng)��,發(fā)送HTTP訪問(wèn)請(qǐng)求����。(3)該HTTP請(qǐng)求經(jīng)由NAT設(shè)備200到達(dá)接入控制網(wǎng)關(guān)400。接入控制網(wǎng)關(guān)400對(duì)該HTTP訪問(wèn)請(qǐng)求進(jìn)行檢查����,并且根據(jù)下述預(yù)定的訪問(wèn)控制策略進(jìn)行操作。如果該HTTP訪問(wèn)請(qǐng)求是對(duì)訪問(wèn)Portal服務(wù)器300或設(shè)定的免費(fèi)外部訪問(wèn)地址的HTTP報(bào)文�����,接入控制網(wǎng)關(guān)400允許其通過(guò)�。對(duì)于訪問(wèn)其它外部地址的HTTP報(bào)文,接入網(wǎng)關(guān)判斷客戶端設(shè)備100是否通過(guò)登錄認(rèn)證�����。在本例中����,該客戶端設(shè)備100是新接入的設(shè)備��,沒(méi)有通過(guò)登錄認(rèn)證�����,于是接入控制網(wǎng)關(guān)400將該HTTP請(qǐng)求重定向到Portal服務(wù)器300。(4)Portal服務(wù)器300接收到該HTTP請(qǐng)求后��,檢查客戶端設(shè)備所用的瀏覽器是否安裝了接入認(rèn)證插件���,例如BHO插件�。若未安裝則向客戶端推出插件下載提示�����。在客戶端設(shè)備100的瀏覽器安裝了該插件之后�����,該插件將在客戶端以后生成的HTTP請(qǐng)求中添加認(rèn)證標(biāo)識(shí)��,如該設(shè)備的私有IP地址(例如����,IPv4地址)、MAC地址和校驗(yàn)碼等����。Portal服務(wù)器300 繼而將接收到的HTTP請(qǐng)求重定向到登錄認(rèn)證頁(yè)面���,提示用戶進(jìn)行登錄操作。瀏覽器上安裝的接入認(rèn)證插件將解析登錄認(rèn)證頁(yè)面的頁(yè)面腳本�,在其中填充客戶端設(shè)備的認(rèn)證標(biāo)識(shí)。于是����,該認(rèn)證標(biāo)識(shí)和用戶填寫(xiě)的登錄認(rèn)證信用一起發(fā)送給Portal服務(wù)器。(5)在登錄成功后����,Portal服務(wù)器300將接收到的客戶端100的認(rèn)證標(biāo)識(shí)發(fā)送給接入控制網(wǎng)關(guān)400進(jìn)行保存。優(yōu)選地���,Portal服務(wù)器300也可以將用戶登錄信息(例如�, 用戶名以及密碼等等)發(fā)送給接入控制網(wǎng)關(guān)400����,與客戶端100的認(rèn)證標(biāo)識(shí)關(guān)聯(lián)地保存。(6)此后��,當(dāng)客戶端設(shè)備100發(fā)送訪問(wèn)外部網(wǎng)絡(luò)的HTTP請(qǐng)求時(shí)���,安裝好的接入認(rèn)證插件在客戶端設(shè)備100的HTTP訪問(wèn)請(qǐng)求當(dāng)中填充認(rèn)證標(biāo)識(shí)���。將填充了認(rèn)證標(biāo)識(shí)的HTTP訪問(wèn)請(qǐng)求發(fā)送給接入控制網(wǎng)關(guān)400。(7)接入控制網(wǎng)關(guān)400對(duì)客戶端100的HTTP訪問(wèn)請(qǐng)求進(jìn)行解析�����,獲取由客戶端設(shè)備100的瀏覽器上安裝的接入認(rèn)證插件填充的認(rèn)證標(biāo)識(shí)����,并與客戶端設(shè)備100進(jìn)行登錄操作時(shí)由Portal服務(wù)器300發(fā)送給接入控制網(wǎng)關(guān)400的對(duì)應(yīng)信息進(jìn)行比較驗(yàn)證。(8)若信息匹配驗(yàn)證通過(guò)���,接入控制網(wǎng)關(guān)400將開(kāi)放客戶端設(shè)備100當(dāng)次的HTTP 訪問(wèn)請(qǐng)求�。如果驗(yàn)證沒(méi)有通過(guò)�,則接入控制網(wǎng)關(guān)400將該將該HTTP請(qǐng)求重定向到Portal 服務(wù)器300。重復(fù)(4)的操作�����。圖3示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的在接入控制網(wǎng)關(guān)處執(zhí)行的在NAT網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法的流程圖�����。如圖所示��,步驟S310,接入控制網(wǎng)關(guān)接收到來(lái)自內(nèi)部客戶端設(shè)備的HTTP訪問(wèn)請(qǐng)求�。在步驟S320,解析所述HTTP訪問(wèn)請(qǐng)求中的認(rèn)證標(biāo)識(shí)�。如果客戶端設(shè)備上沒(méi)有安裝接入認(rèn)證插件,則HTTP請(qǐng)求中不包含這樣的認(rèn)證標(biāo)識(shí)����。于是,解析不出該認(rèn)證標(biāo)識(shí)����。于是接入控制網(wǎng)關(guān)將該HTTP請(qǐng)求重定向到Portal服務(wù)器,以便安裝接入控制插件和進(jìn)行登錄認(rèn)證操作���。如果在客戶端設(shè)備安裝了瀏覽器接入認(rèn)證插件�,該插件在生成的HTTP訪問(wèn)請(qǐng)求中填充該認(rèn)證標(biāo)識(shí)��。于是在步驟S320中將解析出認(rèn)證標(biāo)識(shí)����,則前進(jìn)到步驟S330。
在步驟S330�,驗(yàn)證解析出的認(rèn)證標(biāo)識(shí)是否與所述客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)相一致。如果一致,則通過(guò)驗(yàn)證����,前進(jìn)到步驟S340�。否則,前進(jìn)到步驟S350��。在步驟S340中��,允許所述HTTP訪問(wèn)請(qǐng)求����。在步驟S350中,拒絕所述HTTP訪問(wèn)請(qǐng)求�。優(yōu)選地,所述認(rèn)證標(biāo)識(shí)包括下述中的至少一個(gè)由NAT設(shè)備分配給客戶端設(shè)備的私有IP地址�����、客戶端設(shè)備的MAC地址����、驗(yàn)證碼。優(yōu)選地��,當(dāng)接入控制網(wǎng)關(guān)拒絕HTTP訪問(wèn)請(qǐng)求時(shí),還將所述HTTP請(qǐng)求重定向到 Portal服務(wù)器���,以便安裝瀏覽器接入認(rèn)證插件和執(zhí)行登錄認(rèn)證�����。優(yōu)選地�,在客戶端設(shè)備登錄認(rèn)證時(shí)�,接入控制網(wǎng)關(guān)還接收Portal服務(wù)器發(fā)送的客戶端設(shè)備提供的認(rèn)證標(biāo)識(shí)。應(yīng)該理解�����,上面示出的方法僅是示例性的���,本發(fā)明的方法并不局限于上面示出的步驟和順序�����。在不同的實(shí)施例中���,可以進(jìn)行修改和變化。例如���,上面方法300中的步驟S340 和S350不是順序進(jìn)行的�����,而是根據(jù)具體實(shí)施例擇一進(jìn)行的�。圖4示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)絡(luò)環(huán)境下的接入控制網(wǎng)關(guān)400的框圖。如圖所示���,接入控制網(wǎng)關(guān)400包括接收裝置410、解析裝置420��、驗(yàn)證裝置430�����、過(guò)濾裝置440���。接收裝置410用于接收來(lái)自內(nèi)部客戶端設(shè)備的HTTP訪問(wèn)請(qǐng)求��。解析裝置420用于解析所述HTTP訪問(wèn)請(qǐng)求中的認(rèn)證標(biāo)識(shí)�。驗(yàn)證裝置430用于驗(yàn)證解析出的認(rèn)證標(biāo)識(shí)是否與所述客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)相一致����。過(guò)濾裝置440用于在HTTP訪問(wèn)請(qǐng)求通過(guò)驗(yàn)證時(shí),允許所述HTTP訪問(wèn)請(qǐng)求,以及在其他情況下拒絕所述HTTP 訪問(wèn)請(qǐng)求�����。接收裝置410���、解析裝置420�����、驗(yàn)證裝置430以及過(guò)濾裝置440分別用于執(zhí)行圖3 中的步驟S310�����、S320����、S330���、以及S340和S350��。在此不再贅述����。優(yōu)選地,接入控制網(wǎng)關(guān)400進(jìn)一步包括保存裝置��,用于保存來(lái)自Portal服務(wù)器的客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)�����。根據(jù)本發(fā)明的實(shí)施例�,能夠利用在客戶端設(shè)備上的瀏覽器中安裝接入認(rèn)證插件, 在HTTP訪問(wèn)請(qǐng)求報(bào)文中添加認(rèn)證標(biāo)識(shí)��。通過(guò)接入控制網(wǎng)關(guān)來(lái)驗(yàn)證該認(rèn)證標(biāo)識(shí)識(shí)別該HTTP 訪問(wèn)請(qǐng)求是否是合法登錄用戶的請(qǐng)求�����,從而可以有效地防止沒(méi)有登錄的用戶盜用網(wǎng)絡(luò)資源�����。應(yīng)當(dāng)注意��,為了使本發(fā)明更容易理解����,上面的描述省略了對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)是公知的�、并且對(duì)于本發(fā)明的實(shí)現(xiàn)可能是必需的更具體的一些技術(shù)細(xì)節(jié)��。提供本發(fā)明的說(shuō)明書(shū)的目的是為了說(shuō)明和描述�,而不是用來(lái)窮舉或?qū)⒈景l(fā)明限制為所公開(kāi)的形式����。對(duì)本領(lǐng)域的普通技術(shù)人員而言,許多修改和變更都是顯而易見(jiàn)的��。本領(lǐng)域技術(shù)人員還應(yīng)該理解�,可以通過(guò)軟件、硬件�、固件或者它們的結(jié)合的方式,來(lái)實(shí)現(xiàn)本發(fā)明實(shí)施例中的方法和裝置��。因此����,應(yīng)該理解,選擇并描述實(shí)施例是為了更好地解釋本發(fā)明的原理及其實(shí)際應(yīng)用��,并使本領(lǐng)域普通技術(shù)人員明白�,在不脫離本發(fā)明實(shí)質(zhì)的前提下,所有修改和變更均落入由權(quán)利要求所限定的本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1.一種在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法,包括以下步驟 接收來(lái)自客戶端設(shè)備的HTTP訪問(wèn)請(qǐng)求��,解析所述HTTP訪問(wèn)請(qǐng)求中的認(rèn)證標(biāo)識(shí),驗(yàn)證解析出的認(rèn)證標(biāo)識(shí)是否與所述客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)相一致��,以及如果通過(guò)驗(yàn)證�,則允許所述HTTP訪問(wèn)請(qǐng)求,否則拒絕所述HTTP訪問(wèn)請(qǐng)求��。
2.根據(jù)權(quán)利要求1所述的訪問(wèn)控制方法��,其中所述認(rèn)證標(biāo)識(shí)包括下述中的至少一個(gè) 驗(yàn)證碼��、由NAT設(shè)備分配給客戶端設(shè)備的私有IP地址�����、客戶端設(shè)備的MAC地址�����。
3.根據(jù)權(quán)利要求1所述的訪問(wèn)控制方法�,其中所述認(rèn)證標(biāo)識(shí)是由安裝在所述客戶端設(shè)備中的瀏覽器接入認(rèn)證插件填充在HTTP訪問(wèn)請(qǐng)求中的��。
4.根據(jù)權(quán)利要求1所述的訪問(wèn)控制方法�����,其中拒絕所述HTTP訪問(wèn)請(qǐng)求包括將所述 HTTP請(qǐng)求重定向到Portal服務(wù)器,以便安裝瀏覽器接入認(rèn)證插件和執(zhí)行登錄認(rèn)證�。
5.一種用于網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)絡(luò)環(huán)境下的接入控制網(wǎng)關(guān),包括 接收裝置����,用于接收來(lái)自客戶端設(shè)備的HTTP訪問(wèn)請(qǐng)求,解析裝置�����,用于解析所述HTTP訪問(wèn)請(qǐng)求中的認(rèn)證標(biāo)識(shí)���,驗(yàn)證裝置����,用于驗(yàn)證解析出的認(rèn)證標(biāo)識(shí)是否與所述客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)相一致���,以及過(guò)濾裝置��,用于在HTTP訪問(wèn)請(qǐng)求通過(guò)驗(yàn)證時(shí)����,允許所述HTTP訪問(wèn)請(qǐng)求���,以及在HTTP訪問(wèn)請(qǐng)求未能通過(guò)驗(yàn)證時(shí)�,拒絕所述HTTP訪問(wèn)請(qǐng)求。
全文摘要
本發(fā)明提出了一種在NAT網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制方法和設(shè)備�����。該方法包括以下步驟接收來(lái)自內(nèi)部客戶端設(shè)備的HTTP訪問(wèn)請(qǐng)求�;解析所述HTTP訪問(wèn)請(qǐng)求中的認(rèn)證標(biāo)識(shí);驗(yàn)證解析出的認(rèn)證標(biāo)識(shí)是否與所述客戶端設(shè)備在登錄認(rèn)證時(shí)提供的認(rèn)證標(biāo)識(shí)相一致���;以及如果通過(guò)驗(yàn)證�,則允許所述HTTP訪問(wèn)請(qǐng)求����,否則拒絕所述HTTP訪問(wèn)請(qǐng)求。通過(guò)本發(fā)明的方案��,可以有效地防止網(wǎng)絡(luò)資源盜用�����。
文檔編號(hào)H04L29/06GK102271136SQ201110234878
公開(kāi)日2011年12月7日 申請(qǐng)日期2011年8月16日 優(yōu)先權(quán)日2011年8月16日
發(fā)明者吳建平, 李威, 李星, 黃友俊, 黎運(yùn)盛 申請(qǐng)人:賽爾網(wǎng)絡(luò)有限公司