一种免认证接入控制方法、装置、设备和系统的制作方法
一种免认证接入控制方法、装置、设备和系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种免认证接入控制方法、装置、设备和系统。
【背景技术】
[0002]互联网时代,各种新兴业务不断涌现,如微信、支付宝及各种APP应用应运而生,同时也伴随快捷、安全新运营模式诞生,但消费者在安全消费前提下还希望得到快捷服务。
[0003]众所周知,网络安全是精细化管理的前提条件。目前使用最多的认证技术有802.1x技术、Web认证技术。
[0004]图1是一个典型的Web认证组网图,在核心设备的接口上开启Web认证,将全网用户的管理集中到核心设备上,方便整网部署,降低后续监控维护的代价。核心设备作为全网用户的网关,下联用户只有通过身份认证之后才能正常的访问网络。其中,开启认证的设备被我们称为NAS(Network Access Security)设备。
[0005]用户认证上线的基本流程,主要包括TCP报文的拦截,TCP伪连接的建立,HTTP报文的重定向及用户的认证上线。未认证用户发出的任何TCP请求报文都会被设备拦截,并充当目的网址与用户建立伪连接,将用户重定向到认证服务器,完成认证过程。
[0006]但终端用户微信或支付宝等APP消费应用过程中,微信或支付宝都是先扫描,会发送对应服务器的URL地址(HTTP报文),但NAS设备由于没有对应的认证表项,终端用户无法通过认证上线消费。
【发明内容】
[0007]本发明提供一种免认证接入控制方法、装置、设备和系统,用以解决现有技术中特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
[0008]本发明提供了一种免认证接入控制方法,所述方法包括:
[0009]接收终端用户设备发送的DNSQuery消息并发送给DNS服务器;
[0010]接收DNS服务器返回的DNS Response消息并解析所述DNS Response消息,当DNSResponse消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中;
[0011]接收终端用户设备发出的访问报文,当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。
[0012 ]本发明还提供了一种免认证接入控制装置,所述装置包括:
[0013]报文收发模块,用于接收终端用户设备发送的DNS Query消息并发送给DNS服务器,以及用于接收DNS服务器返回的DNS Response消息;
[0014I报文解析模块,用于解析所述DNS Response消息;
[0015]报文处理模块,用于当DNS Response消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中;
[0016]报文收发模块还用于接收终端用户设备发出的访问报文;
[0017]报文处理模块还用于当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。
[0018]本发明又提供了一种免认证接入控制设备,所述设备包括上述免认证接入控制装置。
[0019]本发明再提供了一种免认证接入控制系统,所述系统包括上述免认证接入控制设备,还包括DNS服务器;
[0020]所述DNS服务器用于接收免认证接入控制设备发来的DNS Query消息并向免认证接入控制设备返回DNS Response消息。
[0021]本发明的免认证接入控制方法、装置、设备和系统,通过根据预先设置的域名地址白名单,以及DNS Response消息中携带的域名地址和对应的IP地址的关系,设置新的免认证地址白名单,实现了受控用户的免认证接入控制,解决了特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
【附图说明】
[0022]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0023]图1为Web认证组网图;
[0024]图2为本发明实施例一提供的免认证接入控制方法流程图;
[0025]图3为本发明实施例二提供的免认证接入控制方法流程图;
[0026]图4为本发明实施例三提供的免认证接入控制方法流程图;
[0027]图5为域名地址白名单;
[0028]图6为DNS Query消息格式;
[0029]图7为DNSResponse消息格式;
[0030]图8为免认证地址白名单;
[0031]图9为本发明实施例四提供的免认证接入控制装置结构示意图;
[0032]图10为本发明实施例五提供的免认证接入控制装置结构示意图;
[0033]图11为本发明实施例六提供的免认证接入控制系统示意图;
[0034]图12为本发明实施例七提供的免认证接入控制系统示意图。
【具体实施方式】
[0035]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0036]为了解决现有技术中特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题,本发明提出了一种免认证接入控制方案。
[0037]图2为本发明实施例一提供的免认证接入控制方法流程图,具体包括以下步骤:
[0038]101,接收终端用户设备发送的DNS Query消息并发送给DNS服务器;
[0039]本发明方案的执行主体是与方法对应的免认证接入控制装置,该装置可以为免认证接入控制设备的一部分,例如该设备可以是NAS设备,NAS设备一端连接DNS服务器,另一端连接终端用户设备,或者通过另一接入设备连接终端用户设备。下面实施例以执行主体为NAS设备为例进行说明,需要说明的是这并不对本发明的方案形成限制。
[0040]NAS设备在与终端用户设备相连的端口 I (Port I)接收到终端用户设备发送的DNSQuery消息,Query消息中携带域名地址,用于向DNS服务器请求该域名地址对应的IP地址,由于收到的是DNS消息,则对该消息进行放行并发送给DNS服务器。
[0041 ] 201,接收DNS服务器返回的DNS Response消息并解析所述DNS Response消息;
[0042]301,当DNS Response消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中;
[0043]域名地址白名单可以根据指定APP或指定URL生成。
[0044]DNS服务器在收到DNS Query消息后对该消息进行处理并返回DNS Response消息,DNS Responses消息中会携带域名地址和对应的IP地址,其中域名地址与DNS Query消息中请求的域名地址相同,对应的IP地址即DNS服务器根据在服务器中查询该域名地址得到的IP地址,将该IP地址携带在DNS Responses消息中返回给终端用户设备。
[0045]NAS设备在收到该DNS Response消息时,解析出该消息中携带的域名地址和对应的IP地址,当该域名地址在预先设置的域名地址白名单中时,表示访问该域名地址和对应IP地址的报文可以被直接放行,因此可以将对应的IP地址设置到另一个免认证地址白名单中。
[0046]401,接收终端用户设备发出的访问报文,当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。
[0047]后续终端用户设备发出访问报文给NAS设备,对访问URL在免认证地址白名单中的访问报文直接放行。
[0048]本实施例的免认证接入控制方法通过根据预先设置的域名地址白名单,以及DNSResponse消息中携带的域名地址和对应的IP地址的关系,设置新的免认证地址白名单,实现了受控用户的免认证接入控制,解决了特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
[0049]图3给出了本发明实施例二提供的免认证接入控制方法流程图,实施例二在实施例一的基础上,还包括以下步骤:
[0050]501,当DNS Response消息中携带的域名地址在预先设置的域名地址白名单时,将所述携带的域名地址设置到免认证地址白名单中。
[°°511由于DNS Response消息中携带的域名地址本来就是在域名地址白名单中的,因此也可以将该域名地址设置到免认证地址白名单中,当终端用户设备访问的URL无论是域名地址还是IP地址在该免认证地址白名单中,均可以直接放行。
[0052]图4给出了本发明实施例三提供的免认证接入控制方法流程图,实施例三在实施例一的基础上,
[0053]步骤201具体可以为:
[0054]接收DNS服务器返回的DNS Response消息,对DNS Response消息进行解析,从消息格式Queries字段的值中得到DNS Response消息中携带的域名地址,从消息格式Answers字段的值中得到DNS Response消息中与所述携带的域名地址对应的IP地址。
[0055]上述操作可以通过在与服务器相连的端口上设置DNS嗅探(DNS-Sniffer)功能来实现,DNS嗅探可以对DNS数 据包进行解析和分析。
[0056]需要说明的是,实施例三也可以在实施例二的基础上进一步包括以上步骤。
[0057]下面以一个详细的例子来说明本发明方案的执行过程:
[0058]假设终端用户A,通过微信扫描,访问dns.weixin.qq.com,在NAS设备配置weixinAPP或指定URL: dns.weixin.qq.com,触发设备生成域名地址白名单,如图5所示,同时在与DNS服务器相连的端口 2(Port2)端口设置DNS嗅探功能。
[0059]终端用户A微信扫描需要访问的地址dns.weixin.qq.com,终端用户设备发送DNSQuery消息(报文目的IP地址192.168.58.110,报文内容带有dns.weixin.qq.com字段)给DNS服务器要求域名解析,如图6所示给出了DNS Query消息的格式。
[0060]NAS设备与终端用户设备相连的端口 I (Portl)收到DNS Query消息,由于是DNS消息,则直接放行,转发给DNS服务器进行域名解析,DNS服务器处理后回应DNS Response消息,消息格式如图7所示,根据消息内容可知域名地址dns.weixin.qq.com对应了4个IP地址。
[0061 ] NAS设备的Port2端口收到DNS Response消息后,通过其DNS嗅探(DNS-Sniffer)功能对DNS Response消息格式中Queries和Answers字段消息解析,当Queries字段中Name字段域名内容落在与图5中域名地址白名单中,再结合Answers字段消息生成免认证地址白名单,如图8所示给出了免认证地址白名单。
[0062]当终端用户访问的URL:域名地址或IP地址符合上述免认证地址白名单中Host和Address字段值时,无需认证直接放行。
[0063]图9为本发明实施例四提供的免认证接入控制装置结构示意图,所述装置包括:
[0064]报文收发模块10,用于接收终端用户设备发送的DNSQuery消息并发送给DNS服务器,以及用于接收DNS服务器返回的DNS Response消息;
[0065]报文解析模块20,用于解析所述DNS Response消息;
[0066]报文处理模块30,用于当DNSResponse消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中;
[0067]报文收发模块10还用于接收终端用户设备发出的访问报文;
[0068]报文处理模块30还用于当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。
[0069]进一步可选的,所述报文处理模块30还用于当DNS Response消息中携带的域名地址在预先设置的域名地址白名单时,将所述携带的域名地址设置到免认证地址白名单中。
[0070]图10为本发明实施例五提供的网络免配置装置结构示意图,进一步可选的,所述装置还包括:
[0071 ]配置模块40,用于根据指定APP或指定URL生成域名地址白名单。
[0072]进一步可选的,所述报文解析模块20具体用于:对DNSResponse消息进行解析,从消息格式Q u e r i e s字段的值中得到D N S R e s p o n s e消息中携带的域名地址,从消息格式Answers字段的值中得到DNS Response消息中与所述携带的域名地址对应的IP地址。
[0073]本实施例的免认证接入控制装置通过根据预先设置的域名地址白名单,以及DNSResponse消息中携带的域名地址和对应的IP地址的关系,设置新的免认证地址白名单,实现了受控用户的免认证接入控制,解决了特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
[0074]此外,本发明还提供了一种免认证接入控制设备,所述设备包括上述免认证接入控制装置。
[0075]进一步的,如图11所示,本发明又提供了一种免认证接入控制系统,所述系统包括上述免认证接入控制设备OI,还包括DNS服务器02;
[0076]其中免认证接入控制设备01与DNS服务器02相连,DNS服务器02用于接收免认证接入控制设备发来的DNS Query消息并向免认证接入控制设备返回DNS Response消息。
[0077]进一步的,如图12所示,本发明再提供了一种免认证接入控制系统,所述系统包括上述免认证接入控制设备01、DNS服务器02,还包括终端用户设备03;
[0078]其中免认证接入控制设备01分别与DNS服务器02和终端用户设备03相连,终端用户设备03用于向免认证接入控制设备发出DNS Query消息,以及向免认证接入控制设备发出访问报文。
[0079]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0080]以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的模块或单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到至少两个网络单元上。可以根据实际的需要选择其中的部分或者全部模块或单元来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0081]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种免认证接入控制方法,其特征在于,所述方法包括: 接收终端用户设备发送的DNS Query消息并发送给DNS服务器; 接收DNS服务器返回的DNS Response消息并解析所述DNS Response消息,当DNSResponse消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中; 接收终端用户设备发出的访问报文,当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。2.根据权利要求1所述的方法,其特征在于,所述方法还包括: 当DNS Response消息中携带的域名地址在预先设置的域名地址白名单时,将所述携带的域名地址设置到免认证地址白名单中。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括: 根据指定APP或指定URL生成域名地址白名单。4.根据权利要求1或2所述的方法,其特征在于, 所述解析所述DNS Response消息具体包括: 对DNS Response消息进行解析,从消息格式Queries字段的值中得到DNS Response消息中携带的域名地址,从消息格式Answers字段的值中得到DNS Response消息中与所述携带的域名地址对应的IP地址。5.一种免认证接入控制装置,其特征在于,所述装置包括: 报文收发模块,用于接收终端用户设备发送的DNS Query消息并发送给DNS服务器,以及用于接收DNS服务器返回的DNS Response消息; 报文解析模块,用于解析所述DNS Response消息; 报文处理模块,用于当DNS Response消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中; 报文收发模块还用于接收终端用户设备发出的访问报文; 报文处理模块还用于当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。6.根据权利要求5所述的装置,其特征在于, 所述报文处理模块还用于当DNS Response消息中携带的域名地址在预先设置的域名地址白名单时,将所述携带的域名地址设置到免认证地址白名单中。7.根据权利要求5或6所述的装置,其特征在于,所述装置还包括: 配置模块,用于根据指定APP或指定URL生成域名地址白名单。8.根据权利要求5或6所述的装置,其特征在于, 所述报文解析模块具体用于:对DNS Response消息进行解析,从消息格式Queries字段的值中得到DNS Response消息中携带的域名地址,从消息格式Answers字段的值中得到DNSResponse消息中与所述携带的域名地址对应的IP地址。9.一种免认证接入控制设备,其特征在于,所述设备包括如权利要求5-8任一项所述的目.ο10.—种免认证接入控制系统,其特征在于,所述系统包括权利要求9所述的设备,还包括DNS服务器; 所述DNS服务器用于接收免认证接入控制设备发来的DNS Query消息并向免认证接入控制设备返回DNS Response消息。
【专利摘要】本发明提供一种免认证接入控制方法、装置、设备和系统。本发明的免认证接入控制方法、装置、设备和系统,通过根据预先设置的域名地址白名单,以及DNS?Response消息中携带的域名地址和对应的IP地址的关系,设置新的免认证地址白名单,实现了受控用户的免认证接入控制,解决了特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
【IPC分类】H04L29/12, H04L29/06
【公开号】CN105491045
【申请号】CN201510906111
【发明人】吴世奇
【申请人】福建星网锐捷网络有限公司
【公开日】2016年4月13日
【申请日】2015年12月9日
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种免认证接入控制方法、装置、设备和系统。
【背景技术】
[0002]互联网时代,各种新兴业务不断涌现,如微信、支付宝及各种APP应用应运而生,同时也伴随快捷、安全新运营模式诞生,但消费者在安全消费前提下还希望得到快捷服务。
[0003]众所周知,网络安全是精细化管理的前提条件。目前使用最多的认证技术有802.1x技术、Web认证技术。
[0004]图1是一个典型的Web认证组网图,在核心设备的接口上开启Web认证,将全网用户的管理集中到核心设备上,方便整网部署,降低后续监控维护的代价。核心设备作为全网用户的网关,下联用户只有通过身份认证之后才能正常的访问网络。其中,开启认证的设备被我们称为NAS(Network Access Security)设备。
[0005]用户认证上线的基本流程,主要包括TCP报文的拦截,TCP伪连接的建立,HTTP报文的重定向及用户的认证上线。未认证用户发出的任何TCP请求报文都会被设备拦截,并充当目的网址与用户建立伪连接,将用户重定向到认证服务器,完成认证过程。
[0006]但终端用户微信或支付宝等APP消费应用过程中,微信或支付宝都是先扫描,会发送对应服务器的URL地址(HTTP报文),但NAS设备由于没有对应的认证表项,终端用户无法通过认证上线消费。
【发明内容】
[0007]本发明提供一种免认证接入控制方法、装置、设备和系统,用以解决现有技术中特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
[0008]本发明提供了一种免认证接入控制方法,所述方法包括:
[0009]接收终端用户设备发送的DNSQuery消息并发送给DNS服务器;
[0010]接收DNS服务器返回的DNS Response消息并解析所述DNS Response消息,当DNSResponse消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中;
[0011]接收终端用户设备发出的访问报文,当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。
[0012 ]本发明还提供了一种免认证接入控制装置,所述装置包括:
[0013]报文收发模块,用于接收终端用户设备发送的DNS Query消息并发送给DNS服务器,以及用于接收DNS服务器返回的DNS Response消息;
[0014I报文解析模块,用于解析所述DNS Response消息;
[0015]报文处理模块,用于当DNS Response消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中;
[0016]报文收发模块还用于接收终端用户设备发出的访问报文;
[0017]报文处理模块还用于当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。
[0018]本发明又提供了一种免认证接入控制设备,所述设备包括上述免认证接入控制装置。
[0019]本发明再提供了一种免认证接入控制系统,所述系统包括上述免认证接入控制设备,还包括DNS服务器;
[0020]所述DNS服务器用于接收免认证接入控制设备发来的DNS Query消息并向免认证接入控制设备返回DNS Response消息。
[0021]本发明的免认证接入控制方法、装置、设备和系统,通过根据预先设置的域名地址白名单,以及DNS Response消息中携带的域名地址和对应的IP地址的关系,设置新的免认证地址白名单,实现了受控用户的免认证接入控制,解决了特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
【附图说明】
[0022]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0023]图1为Web认证组网图;
[0024]图2为本发明实施例一提供的免认证接入控制方法流程图;
[0025]图3为本发明实施例二提供的免认证接入控制方法流程图;
[0026]图4为本发明实施例三提供的免认证接入控制方法流程图;
[0027]图5为域名地址白名单;
[0028]图6为DNS Query消息格式;
[0029]图7为DNSResponse消息格式;
[0030]图8为免认证地址白名单;
[0031]图9为本发明实施例四提供的免认证接入控制装置结构示意图;
[0032]图10为本发明实施例五提供的免认证接入控制装置结构示意图;
[0033]图11为本发明实施例六提供的免认证接入控制系统示意图;
[0034]图12为本发明实施例七提供的免认证接入控制系统示意图。
【具体实施方式】
[0035]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0036]为了解决现有技术中特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题,本发明提出了一种免认证接入控制方案。
[0037]图2为本发明实施例一提供的免认证接入控制方法流程图,具体包括以下步骤:
[0038]101,接收终端用户设备发送的DNS Query消息并发送给DNS服务器;
[0039]本发明方案的执行主体是与方法对应的免认证接入控制装置,该装置可以为免认证接入控制设备的一部分,例如该设备可以是NAS设备,NAS设备一端连接DNS服务器,另一端连接终端用户设备,或者通过另一接入设备连接终端用户设备。下面实施例以执行主体为NAS设备为例进行说明,需要说明的是这并不对本发明的方案形成限制。
[0040]NAS设备在与终端用户设备相连的端口 I (Port I)接收到终端用户设备发送的DNSQuery消息,Query消息中携带域名地址,用于向DNS服务器请求该域名地址对应的IP地址,由于收到的是DNS消息,则对该消息进行放行并发送给DNS服务器。
[0041 ] 201,接收DNS服务器返回的DNS Response消息并解析所述DNS Response消息;
[0042]301,当DNS Response消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中;
[0043]域名地址白名单可以根据指定APP或指定URL生成。
[0044]DNS服务器在收到DNS Query消息后对该消息进行处理并返回DNS Response消息,DNS Responses消息中会携带域名地址和对应的IP地址,其中域名地址与DNS Query消息中请求的域名地址相同,对应的IP地址即DNS服务器根据在服务器中查询该域名地址得到的IP地址,将该IP地址携带在DNS Responses消息中返回给终端用户设备。
[0045]NAS设备在收到该DNS Response消息时,解析出该消息中携带的域名地址和对应的IP地址,当该域名地址在预先设置的域名地址白名单中时,表示访问该域名地址和对应IP地址的报文可以被直接放行,因此可以将对应的IP地址设置到另一个免认证地址白名单中。
[0046]401,接收终端用户设备发出的访问报文,当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。
[0047]后续终端用户设备发出访问报文给NAS设备,对访问URL在免认证地址白名单中的访问报文直接放行。
[0048]本实施例的免认证接入控制方法通过根据预先设置的域名地址白名单,以及DNSResponse消息中携带的域名地址和对应的IP地址的关系,设置新的免认证地址白名单,实现了受控用户的免认证接入控制,解决了特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
[0049]图3给出了本发明实施例二提供的免认证接入控制方法流程图,实施例二在实施例一的基础上,还包括以下步骤:
[0050]501,当DNS Response消息中携带的域名地址在预先设置的域名地址白名单时,将所述携带的域名地址设置到免认证地址白名单中。
[°°511由于DNS Response消息中携带的域名地址本来就是在域名地址白名单中的,因此也可以将该域名地址设置到免认证地址白名单中,当终端用户设备访问的URL无论是域名地址还是IP地址在该免认证地址白名单中,均可以直接放行。
[0052]图4给出了本发明实施例三提供的免认证接入控制方法流程图,实施例三在实施例一的基础上,
[0053]步骤201具体可以为:
[0054]接收DNS服务器返回的DNS Response消息,对DNS Response消息进行解析,从消息格式Queries字段的值中得到DNS Response消息中携带的域名地址,从消息格式Answers字段的值中得到DNS Response消息中与所述携带的域名地址对应的IP地址。
[0055]上述操作可以通过在与服务器相连的端口上设置DNS嗅探(DNS-Sniffer)功能来实现,DNS嗅探可以对DNS数 据包进行解析和分析。
[0056]需要说明的是,实施例三也可以在实施例二的基础上进一步包括以上步骤。
[0057]下面以一个详细的例子来说明本发明方案的执行过程:
[0058]假设终端用户A,通过微信扫描,访问dns.weixin.qq.com,在NAS设备配置weixinAPP或指定URL: dns.weixin.qq.com,触发设备生成域名地址白名单,如图5所示,同时在与DNS服务器相连的端口 2(Port2)端口设置DNS嗅探功能。
[0059]终端用户A微信扫描需要访问的地址dns.weixin.qq.com,终端用户设备发送DNSQuery消息(报文目的IP地址192.168.58.110,报文内容带有dns.weixin.qq.com字段)给DNS服务器要求域名解析,如图6所示给出了DNS Query消息的格式。
[0060]NAS设备与终端用户设备相连的端口 I (Portl)收到DNS Query消息,由于是DNS消息,则直接放行,转发给DNS服务器进行域名解析,DNS服务器处理后回应DNS Response消息,消息格式如图7所示,根据消息内容可知域名地址dns.weixin.qq.com对应了4个IP地址。
[0061 ] NAS设备的Port2端口收到DNS Response消息后,通过其DNS嗅探(DNS-Sniffer)功能对DNS Response消息格式中Queries和Answers字段消息解析,当Queries字段中Name字段域名内容落在与图5中域名地址白名单中,再结合Answers字段消息生成免认证地址白名单,如图8所示给出了免认证地址白名单。
[0062]当终端用户访问的URL:域名地址或IP地址符合上述免认证地址白名单中Host和Address字段值时,无需认证直接放行。
[0063]图9为本发明实施例四提供的免认证接入控制装置结构示意图,所述装置包括:
[0064]报文收发模块10,用于接收终端用户设备发送的DNSQuery消息并发送给DNS服务器,以及用于接收DNS服务器返回的DNS Response消息;
[0065]报文解析模块20,用于解析所述DNS Response消息;
[0066]报文处理模块30,用于当DNSResponse消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中;
[0067]报文收发模块10还用于接收终端用户设备发出的访问报文;
[0068]报文处理模块30还用于当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。
[0069]进一步可选的,所述报文处理模块30还用于当DNS Response消息中携带的域名地址在预先设置的域名地址白名单时,将所述携带的域名地址设置到免认证地址白名单中。
[0070]图10为本发明实施例五提供的网络免配置装置结构示意图,进一步可选的,所述装置还包括:
[0071 ]配置模块40,用于根据指定APP或指定URL生成域名地址白名单。
[0072]进一步可选的,所述报文解析模块20具体用于:对DNSResponse消息进行解析,从消息格式Q u e r i e s字段的值中得到D N S R e s p o n s e消息中携带的域名地址,从消息格式Answers字段的值中得到DNS Response消息中与所述携带的域名地址对应的IP地址。
[0073]本实施例的免认证接入控制装置通过根据预先设置的域名地址白名单,以及DNSResponse消息中携带的域名地址和对应的IP地址的关系,设置新的免认证地址白名单,实现了受控用户的免认证接入控制,解决了特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
[0074]此外,本发明还提供了一种免认证接入控制设备,所述设备包括上述免认证接入控制装置。
[0075]进一步的,如图11所示,本发明又提供了一种免认证接入控制系统,所述系统包括上述免认证接入控制设备OI,还包括DNS服务器02;
[0076]其中免认证接入控制设备01与DNS服务器02相连,DNS服务器02用于接收免认证接入控制设备发来的DNS Query消息并向免认证接入控制设备返回DNS Response消息。
[0077]进一步的,如图12所示,本发明再提供了一种免认证接入控制系统,所述系统包括上述免认证接入控制设备01、DNS服务器02,还包括终端用户设备03;
[0078]其中免认证接入控制设备01分别与DNS服务器02和终端用户设备03相连,终端用户设备03用于向免认证接入控制设备发出DNS Query消息,以及向免认证接入控制设备发出访问报文。
[0079]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0080]以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的模块或单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到至少两个网络单元上。可以根据实际的需要选择其中的部分或者全部模块或单元来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0081]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种免认证接入控制方法,其特征在于,所述方法包括: 接收终端用户设备发送的DNS Query消息并发送给DNS服务器; 接收DNS服务器返回的DNS Response消息并解析所述DNS Response消息,当DNSResponse消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中; 接收终端用户设备发出的访问报文,当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。2.根据权利要求1所述的方法,其特征在于,所述方法还包括: 当DNS Response消息中携带的域名地址在预先设置的域名地址白名单时,将所述携带的域名地址设置到免认证地址白名单中。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括: 根据指定APP或指定URL生成域名地址白名单。4.根据权利要求1或2所述的方法,其特征在于, 所述解析所述DNS Response消息具体包括: 对DNS Response消息进行解析,从消息格式Queries字段的值中得到DNS Response消息中携带的域名地址,从消息格式Answers字段的值中得到DNS Response消息中与所述携带的域名地址对应的IP地址。5.一种免认证接入控制装置,其特征在于,所述装置包括: 报文收发模块,用于接收终端用户设备发送的DNS Query消息并发送给DNS服务器,以及用于接收DNS服务器返回的DNS Response消息; 报文解析模块,用于解析所述DNS Response消息; 报文处理模块,用于当DNS Response消息中携带的域名地址在预先设置的域名地址白名单中时,将DNS Response消息中与所述携带的域名地址对应的IP地址设置到免认证地址白名单中; 报文收发模块还用于接收终端用户设备发出的访问报文; 报文处理模块还用于当所述访问报文访问的URL符合免认证地址白名单时,直接放行所述访问报文。6.根据权利要求5所述的装置,其特征在于, 所述报文处理模块还用于当DNS Response消息中携带的域名地址在预先设置的域名地址白名单时,将所述携带的域名地址设置到免认证地址白名单中。7.根据权利要求5或6所述的装置,其特征在于,所述装置还包括: 配置模块,用于根据指定APP或指定URL生成域名地址白名单。8.根据权利要求5或6所述的装置,其特征在于, 所述报文解析模块具体用于:对DNS Response消息进行解析,从消息格式Queries字段的值中得到DNS Response消息中携带的域名地址,从消息格式Answers字段的值中得到DNSResponse消息中与所述携带的域名地址对应的IP地址。9.一种免认证接入控制设备,其特征在于,所述设备包括如权利要求5-8任一项所述的目.ο10.—种免认证接入控制系统,其特征在于,所述系统包括权利要求9所述的设备,还包括DNS服务器; 所述DNS服务器用于接收免认证接入控制设备发来的DNS Query消息并向免认证接入控制设备返回DNS Response消息。
【专利摘要】本发明提供一种免认证接入控制方法、装置、设备和系统。本发明的免认证接入控制方法、装置、设备和系统,通过根据预先设置的域名地址白名单,以及DNS?Response消息中携带的域名地址和对应的IP地址的关系,设置新的免认证地址白名单,实现了受控用户的免认证接入控制,解决了特定APP在消费应用过程中无法做到既有受控保证安全又能免认证的问题。
【IPC分类】H04L29/12, H04L29/06
【公开号】CN105491045
【申请号】CN201510906111
【发明人】吴世奇
【申请人】福建星网锐捷网络有限公司
【公开日】2016年4月13日
【申请日】2015年12月9日
最新回复(0)