一種免認(rèn)證接入控制方法���、裝置、設(shè)備和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種免認(rèn)證接入控制方法�����、裝置��、設(shè)備和系統(tǒng)���。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)時(shí)代�,各種新興業(yè)務(wù)不斷涌現(xiàn)���,如微信、支付寶及各種APP應(yīng)用應(yīng)運(yùn)而生�����,同時(shí)也伴隨快捷���、安全新運(yùn)營(yíng)模式誕生�,但消費(fèi)者在安全消費(fèi)前提下還希望得到快捷服務(wù)���。
[0003]眾所周知���,網(wǎng)絡(luò)安全是精細(xì)化管理的前提條件。目前使用最多的認(rèn)證技術(shù)有802.1x技術(shù)����、Web認(rèn)證技術(shù)��。
[0004]圖1是一個(gè)典型的Web認(rèn)證組網(wǎng)圖�����,在核心設(shè)備的接口上開(kāi)啟Web認(rèn)證�����,將全網(wǎng)用戶的管理集中到核心設(shè)備上�����,方便整網(wǎng)部署��,降低后續(xù)監(jiān)控維護(hù)的代價(jià)�。核心設(shè)備作為全網(wǎng)用戶的網(wǎng)關(guān)���,下聯(lián)用戶只有通過(guò)身份認(rèn)證之后才能正常的訪問(wèn)網(wǎng)絡(luò)�。其中���,開(kāi)啟認(rèn)證的設(shè)備被我們稱為NAS(Network Access Security)設(shè)備�����。
[0005]用戶認(rèn)證上線的基本流程��,主要包括TCP報(bào)文的攔截�����,TCP偽連接的建立�����,HTTP報(bào)文的重定向及用戶的認(rèn)證上線�����。未認(rèn)證用戶發(fā)出的任何TCP請(qǐng)求報(bào)文都會(huì)被設(shè)備攔截���,并充當(dāng)目的網(wǎng)址與用戶建立偽連接,將用戶重定向到認(rèn)證服務(wù)器���,完成認(rèn)證過(guò)程�。
[0006]但終端用戶微信或支付寶等APP消費(fèi)應(yīng)用過(guò)程中��,微信或支付寶都是先掃描,會(huì)發(fā)送對(duì)應(yīng)服務(wù)器的URL地址(HTTP報(bào)文)��,但NAS設(shè)備由于沒(méi)有對(duì)應(yīng)的認(rèn)證表項(xiàng)���,終端用戶無(wú)法通過(guò)認(rèn)證上線消費(fèi)��。
【發(fā)明內(nèi)容】
[0007]本發(fā)明提供一種免認(rèn)證接入控制方法��、裝置���、設(shè)備和系統(tǒng),用以解決現(xiàn)有技術(shù)中特定APP在消費(fèi)應(yīng)用過(guò)程中無(wú)法做到既有受控保證安全又能免認(rèn)證的問(wèn)題�����。
[0008]本發(fā)明提供了一種免認(rèn)證接入控制方法���,所述方法包括:
[0009]接收終端用戶設(shè)備發(fā)送的DNSQuery消息并發(fā)送給DNS服務(wù)器����;
[0010]接收DNS服務(wù)器返回的DNS Response消息并解析所述DNS Response消息���,當(dāng)DNSResponse消息中攜帶的域名地址在預(yù)先設(shè)置的域名地址白名單中時(shí)��,將DNS Response消息中與所述攜帶的域名地址對(duì)應(yīng)的IP地址設(shè)置到免認(rèn)證地址白名單中���;
[0011]接收終端用戶設(shè)備發(fā)出的訪問(wèn)報(bào)文����,當(dāng)所述訪問(wèn)報(bào)文訪問(wèn)的URL符合免認(rèn)證地址白名單時(shí)�,直接放行所述訪問(wèn)報(bào)文。
[0012 ]本發(fā)明還提供了一種免認(rèn)證接入控制裝置����,所述裝置包括:
[0013]報(bào)文收發(fā)模塊,用于接收終端用戶設(shè)備發(fā)送的DNS Query消息并發(fā)送給DNS服務(wù)器���,以及用于接收DNS服務(wù)器返回的DNS Response消息;
[0014I報(bào)文解析模塊�,用于解析所述DNS Response消息;
[0015]報(bào)文處理模塊�,用于當(dāng)DNS Response消息中攜帶的域名地址在預(yù)先設(shè)置的域名地址白名單中時(shí),將DNS Response消息中與所述攜帶的域名地址對(duì)應(yīng)的IP地址設(shè)置到免認(rèn)證地址白名單中�����;
[0016]報(bào)文收發(fā)模塊還用于接收終端用戶設(shè)備發(fā)出的訪問(wèn)報(bào)文�����;
[0017]報(bào)文處理模塊還用于當(dāng)所述訪問(wèn)報(bào)文訪問(wèn)的URL符合免認(rèn)證地址白名單時(shí),直接放行所述訪問(wèn)報(bào)文�。
[0018]本發(fā)明又提供了一種免認(rèn)證接入控制設(shè)備,所述設(shè)備包括上述免認(rèn)證接入控制裝置���。
[0019]本發(fā)明再提供了一種免認(rèn)證接入控制系統(tǒng)����,所述系統(tǒng)包括上述免認(rèn)證接入控制設(shè)備��,還包括DNS服務(wù)器����;
[0020]所述DNS服務(wù)器用于接收免認(rèn)證接入控制設(shè)備發(fā)來(lái)的DNS Query消息并向免認(rèn)證接入控制設(shè)備返回DNS Response消息。
[0021]本發(fā)明的免認(rèn)證接入控制方法���、裝置����、設(shè)備和系統(tǒng)���,通過(guò)根據(jù)預(yù)先設(shè)置的域名地址白名單�,以及DNS Response消息中攜帶的域名地址和對(duì)應(yīng)的IP地址的關(guān)系,設(shè)置新的免認(rèn)證地址白名單�,實(shí)現(xiàn)了受控用戶的免認(rèn)證接入控制,解決了特定APP在消費(fèi)應(yīng)用過(guò)程中無(wú)法做到既有受控保證安全又能免認(rèn)證的問(wèn)題�。
【附圖說(shuō)明】
[0022]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹�����,顯而易見(jiàn)地��,下面描述中的附圖是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖����。
[0023]圖1為Web認(rèn)證組網(wǎng)圖�����;
[0024]圖2為本發(fā)明實(shí)施例一提供的免認(rèn)證接入控制方法流程圖����;
[0025]圖3為本發(fā)明實(shí)施例二提供的免認(rèn)證接入控制方法流程圖����;
[0026]圖4為本發(fā)明實(shí)施例三提供的免認(rèn)證接入控制方法流程圖�;
[0027]圖5為域名地址白名單;
[0028]圖6為DNS Query消息格式�;
[0029]圖7為DNSResponse消息格式;
[0030]圖8為免認(rèn)證地址白名單����;
[0031]圖9為本發(fā)明實(shí)施例四提供的免認(rèn)證接入控制裝置結(jié)構(gòu)示意圖;
[0032]圖10為本發(fā)明實(shí)施例五提供的免認(rèn)證接入控制裝置結(jié)構(gòu)示意圖����;
[0033]圖11為本發(fā)明實(shí)施例六提供的免認(rèn)證接入控制系統(tǒng)示意圖;
[0034]圖12為本發(fā)明實(shí)施例七提供的免認(rèn)證接入控制系統(tǒng)示意圖��。
【具體實(shí)施方式】
[0035]為使本發(fā)明實(shí)施例的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述���,顯然�,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例?�;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。
[0036]為了解決現(xiàn)有技術(shù)中特定APP在消費(fèi)應(yīng)用過(guò)程中無(wú)法做到既有受控保證安全又能免認(rèn)證的問(wèn)題,本發(fā)明提出了一種免認(rèn)證接入控制方案����。
[0037]圖2為本發(fā)明實(shí)施例一提供的免認(rèn)證接入控制方法流程圖,具體包括以下步驟:
[0038]101�,接收終端用戶設(shè)備發(fā)送的DNS Query消息并發(fā)送給DNS服務(wù)器;
[0039]本發(fā)明方案的執(zhí)行主體是與方法對(duì)應(yīng)的免認(rèn)證接入控制裝置��,該裝置可以為免認(rèn)證接入控制設(shè)備的一部分��,例如該設(shè)備可以是NAS設(shè)備���,NAS設(shè)備一端連接DNS服務(wù)器����,另一端連接終端用戶設(shè)備����,或者通過(guò)另一接入設(shè)備連接終端用戶設(shè)備。下面實(shí)施例以執(zhí)行主體為NAS設(shè)備為例進(jìn)行說(shuō)明���,需要說(shuō)明的是這并不對(duì)本發(fā)明的方案形成限制���。
[0040]NAS設(shè)備在與終端用戶設(shè)備相連的端口 I (Port I)接收到終端用戶設(shè)備發(fā)送的DNSQuery消息,Query消息中攜帶域名地址�����,用于向DNS服務(wù)器請(qǐng)求該域名地址對(duì)應(yīng)的IP地址�,由于收到的是DNS消息,則對(duì)該消息進(jìn)行放行并發(fā)送給DNS服務(wù)器�。
[0041 ] 201,接收DNS服務(wù)器返回的DNS Response消息并解析所述DNS Response消息��;
[0042]301�����,當(dāng)DNS Response消息中攜帶的域名地址在預(yù)先設(shè)置的域名地址白名單中時(shí),將DNS Response消息中與所述攜帶的域名地址對(duì)應(yīng)的IP地址設(shè)置到免認(rèn)證地址白名單中�����;
[0043]域名地址白名單可以根據(jù)指定APP或指定URL生成��。
[0044]DNS服務(wù)器在收到DNS Query消息后對(duì)該消息進(jìn)行處理并返回DNS Response消息���,DNS Responses消息中會(huì)攜帶域名地址和對(duì)應(yīng)的IP地址�,其中域名地址與DNS Query消息中請(qǐng)求的域名地址相同��,對(duì)應(yīng)的IP地址即DNS服務(wù)器根據(jù)在服務(wù)器中查詢?cè)撚蛎刂返玫降腎P地址��,將該IP地址攜帶在DNS Responses消息中返回給終端用戶設(shè)備���。
[0045]NAS設(shè)備在收到該DNS Response消息時(shí)��,解析出該消息中攜帶的域名地址和對(duì)應(yīng)的IP地址���,當(dāng)該域名地址在預(yù)先設(shè)置的域名地址白名單中時(shí),表示訪問(wèn)該域名地址和對(duì)應(yīng)IP地址的報(bào)文可以被直接放行,因此可以將對(duì)應(yīng)的IP地址設(shè)置到另一個(gè)免認(rèn)證地址白名單中����。
[0046]401���,接收終端用戶設(shè)備發(fā)出的訪問(wèn)報(bào)文����,當(dāng)所述訪問(wèn)報(bào)文訪問(wèn)的URL符合免認(rèn)證地址白名單時(shí)��,直接放行所述訪問(wèn)報(bào)文����。
[0047]后續(xù)終端用戶設(shè)備發(fā)出訪問(wèn)報(bào)文給NAS設(shè)備,對(duì)訪問(wèn)URL在免認(rèn)證地址白名單中的訪問(wèn)報(bào)文直接放行�。
[0048]本實(shí)施例的免認(rèn)證接入控制方法通過(guò)根據(jù)預(yù)先設(shè)置的域名地址白名單,以及DNSResponse消息中攜帶的域名地址和對(duì)應(yīng)的IP地址的關(guān)系���,設(shè)置新的免認(rèn)證地址白名單�����,實(shí)現(xiàn)了受控用戶的免認(rèn)證接入控制�,解決了特定APP在消費(fèi)應(yīng)用過(guò)程中無(wú)法做到既有受控保證安全又能免認(rèn)證的問(wèn)題。
[0049]圖3給出了本發(fā)明實(shí)施例二提供的免認(rèn)證接入控制方法流程圖��,實(shí)施例二在實(shí)施例一的基礎(chǔ)上�����,還包括以下步驟:
[0050]501����,當(dāng)DNS Response消息中攜帶的域名地址在預(yù)先設(shè)置的域名地址白名單時(shí),將所述攜帶的域名地址設(shè)置到免認(rèn)證地址白名單中�。
[°°511由于DNS Response消息中攜帶的域名地址本來(lái)就是在域名地址白名單中的,因此也可以將該域名地址設(shè)置到免認(rèn)證地址白名單中�����,當(dāng)終端用戶設(shè)備訪問(wèn)的URL無(wú)論是域名地址還是IP地址在該免認(rèn)證地址白名單中�,均可以直接放行。
[0052]圖4給出了本發(fā)明實(shí)施例三提供的免認(rèn)證接入控制方法流程圖��,實(shí)施例三在實(shí)施例一的基礎(chǔ)上�����,
[0053]步驟201具體可以為:
[0054]接收DNS服務(wù)器返回的DNS Response消息��,對(duì)DNS Response消息進(jìn)行解析,從消息格式Queries字段的值中得到DNS Response消息中攜帶的域名地址����,從消息格式Answers字段的值中得到DNS Response消息中與所述攜帶的域名地址對(duì)應(yīng)的IP地址。
[0055]上述操作可以通過(guò)在與服務(wù)器相連的端口上設(shè)置DNS嗅探(DNS-Sniffer)功能來(lái)實(shí)現(xiàn)���,DNS嗅探可以對(duì)DNS數(shù)