基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法與系統(tǒng)的制作方法
【專利摘要】本發(fā)明實施例公開了一種基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法與系統(tǒng),其中,方法包括:AC截獲到所述WLAN終端發(fā)送的DNS解析請求,判斷所述WLAN終端是否已通過用戶認證;若未通過用戶認證,AC將所述DNS解析請求重定向至與公網(wǎng)隔離的本地DNS;本地DNS構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回AC;響應(yīng)于接收到未認證的所述WLAN終端發(fā)送的HTTP請求或HTTPS請求時,接入控制器將該HTTP請求或HTTPS請求重定向到門戶服務(wù)器;門戶服務(wù)器向WLAN終端發(fā)送WEB認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼,根據(jù)用戶名及密碼對WLAN終端進行用戶認證。本發(fā)明實施例可以解決現(xiàn)有技術(shù)未認證WLAN終端繞過Portal認證流程進行非法上網(wǎng)的技術(shù)問題。
【專利說明】基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法與系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù),尤其是一種基于萬維網(wǎng)(WEB)的無線局域網(wǎng)(WirelessLocal Area Network, WLAN)接入認證方法與系統(tǒng)。
【背景技術(shù)】
[0002]用戶通過WLAN接入網(wǎng)絡(luò)時,首先需要通過WLAN運營商的認證。WLAN運營商通常采用基于WEB的WLAN接入認證方法對用戶進行認證,具體流程如下:
[0003]支持WLAN接入的用戶終端(以下簡稱為:WLAN終端)與運營商接入點(AccessPoint, AP)建立物理連接,通過接入控制器(Access Control, AC)獲取互聯(lián)網(wǎng)協(xié)議(IP)地址后發(fā)起超文本傳輸協(xié)議(Hyper Text Transport Protocol,HTTP)請求;用戶在瀏覽器地址欄輸入任意網(wǎng)址均跳轉(zhuǎn)到門戶(Portal)認證入口,運營商根據(jù)終端在WEB頁面輸入的用戶名密碼對WLAN終端進行用戶認證。
[0004]上述基于WEB的WLAN接入認證方法中,為了實現(xiàn)用戶在瀏覽器地址欄輸入任意網(wǎng)址均跳轉(zhuǎn)到Portal認證(也稱為WEB認證)入口的功能,運營商必須開放域名服務(wù)器(Domain Name Server,DNS)端口與WEB端口。其中,DNS端口目前通過用戶數(shù)據(jù)報協(xié)議(UserDatagram Protocol, UDP) 53端口實現(xiàn),用戶通過UDP53端口訪問DNS服務(wù)器,向DNS服務(wù)器發(fā)送欲訪問WEB網(wǎng)站的域名,DNS服務(wù)器將該域名對應(yīng)的IP地址通過UDP53端口返回用戶,以便用戶通過該IP地址訪問欲訪問WEB網(wǎng)站。WEB端口包括傳輸控制協(xié)議(Transfer Control Protocol,TCP)80 端口與 TCP443 端口。其中,用戶通過不加密的 HTTP與加密的HTTPS訪問WEB網(wǎng)站時,分別對應(yīng)TCP80和TCP443端口。
[0005]在實現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn),上述現(xiàn)有技術(shù)的WLAN接入認證方法存在WLAN客戶端繞過Portal認證流程實現(xiàn)非法上網(wǎng)的風(fēng)險:
[0006]由于域名解析的需要,運營商允許未認證的WLAN終端也可以使用UDP53端口訪問公網(wǎng)的代理服務(wù)器,例如,由虛擬專用網(wǎng)代理軟件(LoopcVPN)實現(xiàn)的代理服務(wù)器,未經(jīng)認證的WLAN終端利用UDP53端口訪問代理服務(wù)器時,可以通過代理服務(wù)器代理非法上網(wǎng)。例如,代理服務(wù)器LoopcVPN包括客戶端和服務(wù)器端,LoopcVPN客戶端可以將IP數(shù)據(jù)包通過一條秘密隧道發(fā)送到LoopcVPN服務(wù)器端,從而實現(xiàn)網(wǎng)絡(luò)加速、隱藏真實IP、突破IP端口限制等功能。因此,當(dāng)LoopcVPN服務(wù)器端開放了 UDP53端口作為代理時,未經(jīng)認證的WLAN終端就可以通過代理免費上網(wǎng);
[0007]未經(jīng)認證的WLAN終端可以將上網(wǎng)數(shù)據(jù)包封裝在DNS解析請求包中,由于DNS不對用戶的DNS解析請求包內(nèi)容進行檢查,當(dāng)用戶請求解析的域名解析屬于二級域名時,DNS會將上網(wǎng)數(shù)據(jù)包遞歸到LoopcVPN等代理服務(wù)器所在的DNS設(shè)備。由此,可以以DNS服務(wù)器作為中轉(zhuǎn),實現(xiàn)與LoopcVPN等代理服務(wù)器的數(shù)據(jù)交互,通過運營商DNS訪問LoopcVPN服務(wù)器代理實現(xiàn)非法上網(wǎng)。
【發(fā)明內(nèi)容】
[0008]本發(fā)明實施例所要解決的其中一個技術(shù)問題是:提供一種基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法與系統(tǒng),以解決現(xiàn)有技術(shù)基于WEB的WLAN接入認證方法中,未經(jīng)認證WLAN終端通過UDP53端口訪問公網(wǎng)服務(wù)器或者將上網(wǎng)數(shù)據(jù)包封裝在DNS解析請求包中,導(dǎo)致未認證WLAN終端繞過Portal認證流程進行非法上網(wǎng)的技術(shù)問題。
[0009]本發(fā)明實施例提供的一種基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法,包括:
[0010]接入控制器在無線局域網(wǎng)WLAN終端與接入點建立物理連接后,向所述WLAN終端分配互聯(lián)網(wǎng)協(xié)議IP地址;
[0011 ] 接入控制器響應(yīng)于截獲到所述WLAN終端發(fā)送的域名服務(wù)器DNS解析請求,判斷所述WLAN終端是否已通過用戶認證;
[0012]響應(yīng)于所述WLAN終端未通過用戶認證,接入控制器將所述DNS解析請求重定向至與公網(wǎng)隔離的本地DNS ;
[0013]本地DNS構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回所述接入控制器;
[0014]響應(yīng)于接收到未認證的所述WLAN終端發(fā)送的超文本傳輸協(xié)議HTTP請求或安全超文本傳輸協(xié)議HTTPS請求時,接入控制器將該HTTP請求或HTTPS請求重定向到門戶服務(wù)器;
[0015]門戶服務(wù)器向WLAN終端發(fā)送萬維網(wǎng)(WEB)認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼,根據(jù)用戶名及密碼對WLAN終端進行用戶認證。
[0016]在本發(fā)明基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法的另一個具體實施例中,根據(jù)用戶名及密碼對WLAN終端進行用戶認證包括:
[0017]門戶服務(wù)器將WLAN終端用戶輸入的用戶名及密碼發(fā)送給接入控制器;
[0018]接入控制器將WLAN終端用戶輸入的用戶名及密碼發(fā)送給認證服務(wù)器;
[0019]認證服務(wù)器根據(jù)預(yù)先存儲的用戶認證信息對WLAN終端用戶輸入的用戶名及密碼進行認證,并向接入控制器反饋對WLAN終端的用戶認證結(jié)果。
[0020]在本發(fā)明基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法的另一個具體實施例中,向接入控制器反饋對WLAN終端的用戶認證結(jié)果之后,還包括:
[0021]響應(yīng)于所述WLAN終端通過用戶認證,接入控制器在允許訪問公網(wǎng)列表中存儲所述WLAN終端的IP地址。
[0022]在本發(fā)明基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法的另一個具體實施例中,判斷所述WLAN終端是否已通過用戶認證包括:
[0023]查詢允許訪問公網(wǎng)列表中是否包括所述WLAN終端的IP地址;
[0024]若允許訪問公網(wǎng)列表中包括所述WLAN終端的IP地址,則所述WLAN終端已通過用戶認證;否則,所述WLAN終端未通過用戶認證。
[0025]在本發(fā)明基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法的另一個具體實施例中,還包括:
[0026]響應(yīng)于所述WLAN終端通過用戶認證,接入控制器對所述DNS解析請求進行正常轉(zhuǎn)發(fā);以及
[0027]響應(yīng)于接收到所述WLAN終端發(fā)送的HTTP請求或HTTPS請求時,接入控制器根據(jù)該HTTP請求或HTTPS請求中的目的地址轉(zhuǎn)發(fā)所述HTTP請求或HTTPS請求。
[0028]本發(fā)明實施例提供的一種基于萬維網(wǎng)的無線局域網(wǎng)接入認證系統(tǒng),包括接入點,還包括門戶服務(wù)器、接入控制器和與公網(wǎng)隔離的本地DNS ;
[0029]所述接入控制器,用于在WLAN終端與接入點建立物理連接后,向所述WLAN終端分配IP地址;響應(yīng)于截獲到所述WLAN終端發(fā)送的DNS解析請求,判斷所述WLAN終端是否已通過用戶認證;響應(yīng)于所述WLAN終端未通過用戶認證,將所述DNS解析請求重定向至與公網(wǎng)隔離的本地DNS ;以及根據(jù)本地DNS返回的DNS回應(yīng)數(shù)據(jù)包,響應(yīng)于接收到未認證的所述WLAN終端發(fā)送的HTTP請求或HTTPS請求時,將該HTTP請求或HTTPS請求重定向到門戶服務(wù)器;
[0030]所述本地DNS,用于在接收到所述DNS解析請求時,構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回所述接入控制器;
[0031]所述門戶服務(wù)器,用于在接收到HTTP請求或HTTPS請求時,向所述WLAN終端發(fā)送WEB認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼,根據(jù)用戶名及密碼對WLAN終端進行用戶認證。
[0032]在本發(fā)明基于萬維網(wǎng)的無線局域網(wǎng)接入認證系統(tǒng)的另一個具體實施例中,還包括認證服務(wù)器;
[0033]所述門戶服務(wù)器根據(jù)用戶名及密碼對WLAN終端進行用戶認證時,具體將WLAN終端用戶輸入的用戶名及密碼發(fā)送給接入控制器;
[0034]所述接入控制器,還用于將WLAN終端用戶輸入的用戶名及密碼發(fā)送給認證服務(wù)器;
[0035]所述認證服務(wù)器,用于根據(jù)預(yù)先存儲的用戶認證信息對WLAN終端用戶輸入的用戶名及密碼進行認證,并向接入控制器反饋對WLAN終端的用戶認證結(jié)果。
[0036]在本發(fā)明基于萬維網(wǎng)的無線局域網(wǎng)接入認證系統(tǒng)的另一個具體實施例中,所述接入控制器還用于存儲允許訪問公網(wǎng)列表,響應(yīng)于所述WLAN終端通過用戶認證,在允許訪問公網(wǎng)列表中存儲所述WLAN終端的IP地址,所述允許訪問公網(wǎng)列表中包括通過用戶認證的WLAN終端的IP地址。
[0037]在本發(fā)明基于萬維網(wǎng)的無線局域網(wǎng)接入認證系統(tǒng)的另一個具體實施例中,所述接入控制器判斷所述WLAN終端是否已通過用戶認證時,具體查詢允許訪問公網(wǎng)列表中是否包括所述WLAN終端的IP地址;若允許訪問公網(wǎng)列表中包括所述WLAN終端的IP地址,則所述WLAN終端已通過用戶認證;否則,所述WLAN終端未通過用戶認證。
[0038]在本發(fā)明基于萬維網(wǎng)的無線局域網(wǎng)接入認證系統(tǒng)的另一個具體實施例中,所述接入控制器,還用于響應(yīng)于所述WLAN終端通過用戶認證,對所述DNS解析請求進行正常轉(zhuǎn)發(fā);以及響應(yīng)于接收到所述WLAN終端發(fā)送的HTTP請求或HTTPS請求時,根據(jù)該HTTP請求或HTTPS請求中的目的地址通過互聯(lián)網(wǎng)轉(zhuǎn)發(fā)所述HTTP請求或HTTPS請求。
[0039]基于本發(fā)明上述實施例提供的基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法與系統(tǒng),接入控制器截獲到WLAN終端發(fā)送的DNS解析請求,判斷該WLAN終端是否已通過用戶認證;若未通過用戶認證,將該DNS解析請求重定向至與公網(wǎng)隔離的本地DNS,本地DNS構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回接入控制器;接收到未認證的WLAN終端發(fā)送的HTTP請求或HTTPS請求時,接入控制器將該HTTP請求或HTTPS請求重定向到門戶服務(wù)器;由門戶服務(wù)器向WLAN終端發(fā)送WEB認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼,根據(jù)用戶名及密碼對WLAN終端進行用戶認證。與現(xiàn)有技術(shù)相比,本發(fā)明實施例可以將未經(jīng)認證的WLAN終端通過UDP53端口訪問LoopcVPN等公網(wǎng)服務(wù)器的流量攔截,解決了未經(jīng)認證的WLAN終端直接通過服務(wù)器代理非法訪問公網(wǎng)的問題;未經(jīng)認證的WLAN終端在通過用戶認證前訪問運營商DNS地址時,其DNS解析請求包被重定向到與公網(wǎng)隔離的本地DNS地址,解決了未經(jīng)認證的WLAN終端將上網(wǎng)數(shù)據(jù)包封裝在DNS解析請求包中,通過運營商公網(wǎng)DNS訪問代理服務(wù)器實現(xiàn)非法訪問公網(wǎng)的問題。本發(fā)明實施例有效防范了現(xiàn)有技術(shù)中未經(jīng)認證WLAN終端繞過用戶認證實現(xiàn)非法上網(wǎng)的安全隱患,解決了現(xiàn)有技術(shù)基于WEB的WLAN接入認證方法中,未經(jīng)認證WLAN終端通過UDP53端口訪問公網(wǎng)的代理服務(wù)器或者將上網(wǎng)數(shù)據(jù)包封裝在DNS解析請求包中,導(dǎo)致未認證WLAN終端繞過用戶認證流程進行非法上網(wǎng)的技術(shù)問題。
[0040]下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述。
【專利附圖】
【附圖說明】
[0041]構(gòu)成說明書的一部分的附圖描述了本發(fā)明的實施例,并且連同描述一起用于解釋本發(fā)明的原理。
[0042]參照附圖,根據(jù)下面的詳細描述,可以更加清楚地理解本發(fā)明,其中:
[0043]圖1為本發(fā)明基于WEB的無線局域網(wǎng)接入認證方法一個實施例的流程圖。
[0044]圖2為本發(fā)明基于WEB的無線局域網(wǎng)接入認證方法另一個實施例的流程圖。
[0045]圖3為本發(fā)明基于WEB的無線局域網(wǎng)接入認證系統(tǒng)一個實施例的結(jié)構(gòu)示意圖。
【具體實施方式】
[0046]現(xiàn)在將參照附圖來詳細描述本發(fā)明的各種示例性實施例。應(yīng)注意到:除非另外具體說明,否則在這些實施例中闡述的部件和步驟的相對布置、數(shù)字表達式和數(shù)值不限制本發(fā)明的范圍。
[0047]同時,應(yīng)當(dāng)明白,為了便于描述,附圖中所示出的各個部分的尺寸并不是按照實際的比例關(guān)系繪制的。
[0048]以下對至少一個示例性實施例的描述實際上僅僅是說明性的,決不作為對本發(fā)明及其應(yīng)用或使用的任何限制。
[0049]對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設(shè)備可能不作詳細討論,但在適當(dāng)情況下,所述技術(shù)、方法和設(shè)備應(yīng)當(dāng)被視為說明書的一部分。
[0050]在這里示出和討論的所有示例中,任何具體值應(yīng)被解釋為僅僅是示例性的,而不是作為限制。因此,示例性實施例的其它示例可以具有不同的值。
[0051]應(yīng)注意到:相似的標號和字母在下面的附圖中表示類似項,因此,一旦某一項在一個附圖中被定義,則在隨后的附圖中不需要對其進行進一步討論。
[0052]圖1為本發(fā)明基于WEB的WLAN接入認證方法一個實施例的流程圖。如圖1所示,該實施例基于萬維網(wǎng)的WLAN接入認證方法包括:
[0053]110,AC在WLAN終端與AP建立物理連接后,向WLAN終端分配IP地址。
[0054]120,AC響應(yīng)于截獲到WLAN終端發(fā)送的DNS解析請求,判斷WLAN終端是否已通過用戶認證。
[0055]若WLAN終端未通過用戶認證,執(zhí)行130的操作。否則,若WLAN終端已通過用戶認證,允許WLAN終端進行正常的互聯(lián)網(wǎng)訪問,不執(zhí)行本實施例的后續(xù)流程。
[0056]130,AC將DNS解析請求重定向至與公網(wǎng)(即:互聯(lián)網(wǎng))隔離的本地DNS。
[0057]140,本地DNS構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回AC。
[0058]150,響應(yīng)于接收到未認證的WLAN終端發(fā)送的HTTP請求或安全超文本傳輸協(xié)議(Hypertext Transfer Protocol Secure, HTTPS)請求時,AC 將該 HTTP 請求或 HTTPS 請求重定向到門戶(Portal)服務(wù)器,即:將WLAN終端通過TCP80或TCP443端口訪問互聯(lián)網(wǎng)瀏覽WEB服務(wù)器的流量重定向到門戶服務(wù)器。
[0059]160,門戶服務(wù)器向WLAN終端發(fā)送萬維網(wǎng)(WEB)認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼,根據(jù)該用戶名及密碼對WLAN終端進行用戶認證。
[0060]本發(fā)明實施例中,WLAN終端為用戶使用的WLAN終端,用戶與WLAN終端對應(yīng),對WLAN終端進行用戶認證即對WLAN終端用戶進行認證,WLAN終端的IP地址即為WLAN終端用戶的IP地址。
[0061 ] 示例性地,若WLAN終端通過用戶認證,則AC允許用戶訪問互聯(lián)網(wǎng),并由驗證、授權(quán)和記賬(Authenticat1n、Authorizat1n、Accounting, AAA)服務(wù)器進行計費。若 WLAN 終端通過用戶認證,則AC只允許該WLAN終端訪問互聯(lián)網(wǎng)上的DNS服務(wù)器和門戶服務(wù)器,不允許訪問其他公網(wǎng)資源。
[0062]本發(fā)明上述實施例提供的基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法解決了未經(jīng)認證的WLAN終端直接通過服務(wù)器代理非法訪問公網(wǎng)的問題;未經(jīng)認證的WLAN終端在通過用戶認證前訪問運營商DNS地址時,其DNS解析請求包被重定向到與公網(wǎng)隔離的本地DNS地址,解決了未經(jīng)認證的WLAN終端將上網(wǎng)數(shù)據(jù)包封裝在DNS解析請求包中,通過運營商公網(wǎng)DNS訪問代理服務(wù)器實現(xiàn)非法訪問公網(wǎng)的問題,有效防范了現(xiàn)有技術(shù)中未經(jīng)認證WLAN終端繞過用戶認證實現(xiàn)非法上網(wǎng)的安全隱患,解決了現(xiàn)有技術(shù)基于WEB的WLAN接入認證方法中,未經(jīng)認證WLAN終端通過UDP53端口訪問公網(wǎng)的代理服務(wù)器或者將上網(wǎng)數(shù)據(jù)包封裝在DNS解析請求包中,導(dǎo)致未認證WLAN終端繞過用戶認證流程進行非法上網(wǎng)的技術(shù)問題。
[0063]圖2為本發(fā)明基于WEB的WLAN接入認證方法另一個實施例的流程圖。如圖2所示,該實施例基于WEB的WLAN接入認證方法包括:
[0064]210,AC在WLAN終端與AP建立物理連接后,向WLAN終端分配IP地址。
[0065]220,AC響應(yīng)于截獲到WLAN終端發(fā)送的域名服務(wù)器DNS解析請求,查詢允許訪問公網(wǎng)列表中是否包括WLAN終端的IP地址。
[0066]其中,允許訪問公網(wǎng)列表中包括通過用戶認證的WLAN終端的IP地址。
[0067]若允許訪問公網(wǎng)列表中包括WLAN終端的IP地址,則WLAN終端已通過用戶認證,則執(zhí)行300的操作,允許該WLAN終端訪問互聯(lián)網(wǎng)。否則,若允許訪問公網(wǎng)列表中不包括WLAN終端的IP地址,則WLAN終端未通過用戶認證,執(zhí)行230的操作。
[0068]230,AC將DNS解析請求重定向至與公網(wǎng)隔離的本地DNS。
[0069]240,本地DNS構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回AC。
[0070]250,響應(yīng)于接收到未認證的WLAN終端發(fā)送的HTTP請求或HTTPS請求時,AC將該HTTP請求或HTTPS請求重定向到門戶服務(wù)器,即:未認證用戶的訪問互聯(lián)網(wǎng)請求都會重定向到Portal Server的WEB認證頁面上。
[0071]260,門戶服務(wù)器(Portal Server)向WLAN終端發(fā)送WEB認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼(即:用戶在WEB認證頁面中輸入用戶名和密碼認證信息后提交),并將WLAN終端用戶輸入的用戶名及密碼發(fā)送給AC。
[0072]270,AC將WLAN終端用戶輸入的用戶名及密碼發(fā)送給認證服務(wù)器(RadiusServer)。
[0073]280,認證服務(wù)器根據(jù)預(yù)先存儲的用戶認證信息對WLAN終端用戶輸入的用戶名及密碼進行認證,比對WLAN終端用戶輸入的用戶名及密碼與預(yù)先存儲的用戶認證信息是否一致,并向AC反饋對WLAN終端的用戶認證結(jié)果。
[0074]若比對一致,WLAN終端通過用戶認證,執(zhí)行290的操作,并允許該WLAN終端訪問互聯(lián)網(wǎng)。否則,若WLAN終端未通過用戶認證,不執(zhí)行本實施例的后續(xù)流程,可以進一步返回執(zhí)行230的操作,或者通過門戶服務(wù)器向用戶返回未通過認證的錯誤信息,告知用戶認證失敗,不允許用戶訪問公網(wǎng)。
[0075]示例性地,認證服務(wù)器具體通過門戶服務(wù)器向AC反饋對WLAN終端的用戶認證結(jié)果,門戶服務(wù)器可以將用戶認證結(jié)果顯示在用戶的瀏覽器中。
[0076]290,AC在允許訪問公網(wǎng)列表中存儲WLAN終端的IP地址。
[0077]300, AC對DNS解析請求進行正常轉(zhuǎn)發(fā)。
[0078]其中,操作300與290之間不存在執(zhí)行時間順序限制,操作300可以先于290執(zhí)行,也可以與290同時執(zhí)行或者晚于290執(zhí)行。
[0079]310,接收到WLAN終端發(fā)送的HTTP請求或HTTPS請求時,AC根據(jù)該HTTP請求或HTTPS請求中的目的地址轉(zhuǎn)發(fā)HTTP請求或HTTPS請求。
[0080]圖3為本發(fā)明基于WEB的WLAN接入認證系統(tǒng)一個實施例的結(jié)構(gòu)示意圖。該實施例基于WEB的WLAN接入認證系統(tǒng)可用于實現(xiàn)本發(fā)明上述各基于WEB的WLAN接入認證方法實施例。如圖3所示,其包括還包括門戶服務(wù)器、AC和與公網(wǎng)隔離的本地DNS。其中,
[0081 ] AC,用于在WLAN終端與AP建立物理連接后,向WLAN終端分配IP地址;響應(yīng)于截獲到WLAN終端發(fā)送的DNS解析請求,判斷WLAN終端是否已通過用戶認證;響應(yīng)于WLAN終端未通過用戶認證,將DNS解析請求重定向至與公網(wǎng)隔離的本地DNS ;以及根據(jù)本地DNS返回的DNS回應(yīng)數(shù)據(jù)包,響應(yīng)于接收到未認證的WLAN終端發(fā)送的HTTP請求或HTTPS請求時,將該HTTP請求或HTTPS請求重定向到門戶服務(wù)器。
[0082]本地DNS,也可以稱為本地UDP53端口服務(wù)器,用于在接收到DNS解析請求時,構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回AC。
[0083]門戶服務(wù)器,用于在接收到HTTP請求或HTTPS請求時,向WLAN終端發(fā)送WEB認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼,根據(jù)該用戶名及密碼對WLAN終端進行用戶認證。
[0084]本發(fā)明實施例的WLAN終端安裝有無線網(wǎng)卡及WEB瀏覽器,AP用于WLAN終端的無線接入。
[0085]本發(fā)明上述實施例提供的基于萬維網(wǎng)的無線局域網(wǎng)接入認證系統(tǒng)解決了未經(jīng)認證的WLAN終端直接通過服務(wù)器代理非法訪問公網(wǎng)的問題;未經(jīng)認證的WLAN終端在通過用戶認證前訪問運營商DNS地址時,其DNS解析請求包被重定向到與公網(wǎng)隔離的本地DNS地址,解決了未經(jīng)認證的WLAN終端將上網(wǎng)數(shù)據(jù)包封裝在DNS解析請求包中,通過運營商公網(wǎng)DNS訪問代理服務(wù)器實現(xiàn)非法訪問公網(wǎng)的問題,有效防范了現(xiàn)有技術(shù)中未經(jīng)認證WLAN終端繞過用戶認證實現(xiàn)非法上網(wǎng)的安全隱患,解決了現(xiàn)有技術(shù)基于WEB的WLAN接入認證方法中,未經(jīng)認證WLAN終端通過UDP53端口訪問公網(wǎng)的代理服務(wù)器或者將上網(wǎng)數(shù)據(jù)包封裝在DNS解析請求包中,導(dǎo)致未認證WLAN終端繞過用戶認證流程進行非法上網(wǎng)的技術(shù)問題。
[0086]再參見圖3,在本發(fā)明基于WEB的WLAN接入認證系統(tǒng)的另一個實施例中,還包括認證服務(wù)器。該實施例中,門戶服務(wù)器根據(jù)用戶名及密碼對WLAN終端進行用戶認證時,具體可以將WLAN終端用戶輸入的用戶名及密碼發(fā)送給AC。相應(yīng)地,AC還可以用于將WLAN終端用戶輸入的用戶名及密碼發(fā)送給認證服務(wù)器。認證服務(wù)器用于根據(jù)預(yù)先存儲的用戶認證信息對WLAN終端用戶輸入的用戶名及密碼進行認證,并向AC反饋對WLAN終端的用戶認證結(jié)果O
[0087]在本發(fā)明基于WEB的WLAN接入認證系統(tǒng)的又一個實施例中,AC還可以用于存儲允許訪問公網(wǎng)列表,響應(yīng)于WLAN終端通過用戶認證,在允許訪問公網(wǎng)列表中存儲WLAN終端的IP地址,該允許訪問公網(wǎng)列表中包括通過用戶認證的WLAN終端的IP地址。
[0088]在本發(fā)明基于WEB的WLAN接入認證系統(tǒng)的再一個實施例中,AC判斷WLAN終端是否已通過用戶認證時,具體查詢允許訪問公網(wǎng)列表中是否包括WLAN終端的IP地址;若允許訪問公網(wǎng)列表中包括WLAN終端的IP地址,則WLAN終端已通過用戶認證;否則,WLAN終端未通過用戶認證。
[0089]在本發(fā)明基于WEB的WLAN接入認證系統(tǒng)的又一個實施例中,AC還可以用于響應(yīng)于WLAN終端通過用戶認證,對DNS解析請求進行正常轉(zhuǎn)發(fā);以及響應(yīng)于接收到WLAN終端發(fā)送的HTTP請求或HTTPS請求時,根據(jù)該HTTP請求或HTTPS請求中的目的地址通過互聯(lián)網(wǎng)轉(zhuǎn)發(fā)HTTP請求或HTTPS請求。
[0090]本說明書中各個實施例均采用遞進的方式描述,每個實施例重點說明的都是與其它實施例的不同之處,各個實施例之間相同或相似的部分相互參見即可。對于系統(tǒng)實施例而言,由于其與方法實施例基本對應(yīng),所以描述的比較簡單,相關(guān)之處參見方法實施例的部分說明即可。
[0091]可能以許多方式來實現(xiàn)本發(fā)明的方法、系統(tǒng)。例如,可通過軟件、硬件、固件或者軟件、硬件、固件的任何組合來實現(xiàn)本發(fā)明的方法和系統(tǒng)。用于所述方法的步驟的上述順序僅是為了進行說明,本發(fā)明的方法的步驟不限于以上具體描述的順序,除非以其它方式特別說明。此外,在一些實施例中,還可將本發(fā)明實施為記錄在記錄介質(zhì)中的程序,這些程序包括用于實現(xiàn)根據(jù)本發(fā)明的方法的機器可讀指令。因而,本發(fā)明還覆蓋存儲用于執(zhí)行根據(jù)本發(fā)明的方法的程序的記錄介質(zhì)。
[0092]本領(lǐng)域普通技術(shù)人員可以理解:實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟;而前述的存儲介質(zhì)包括:R0M、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
[0093]本發(fā)明的描述是為了示例和描述起見而給出的,而并不是無遺漏的或者將本發(fā)明限于所公開的形式。很多修改和變化對于本領(lǐng)域的普通技術(shù)人員而言是顯然的。選擇和描述實施例是為了更好說明本發(fā)明的原理和實際應(yīng)用,并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設(shè)計適于特定用途的帶有各種修改的各種實施例。
【權(quán)利要求】
1.一種基于萬維網(wǎng)的無線局域網(wǎng)接入認證方法,其特征在于,包括: 接入控制器在無線局域網(wǎng)WLAN終端與接入點建立物理連接后,向所述WLAN終端分配互聯(lián)網(wǎng)協(xié)議IP地址; 接入控制器響應(yīng)于截獲到所述WLAN終端發(fā)送的域名服務(wù)器DNS解析請求,判斷所述WLAN終端是否已通過用戶認證; 響應(yīng)于所述WLAN終端未通過用戶認證,接入控制器將所述DNS解析請求重定向至與公網(wǎng)隔離的本地DNS ; 本地DNS構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回所述接入控制器; 響應(yīng)于接收到未認證的所述WLAN終端發(fā)送的超文本傳輸協(xié)議HTTP請求或安全超文本傳輸協(xié)議HTTPS請求時,接入控制器將該HTTP請求或HTTPS請求重定向到門戶服務(wù)器; 門戶服務(wù)器向WLAN終端發(fā)送萬維網(wǎng)(WEB)認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼,根據(jù)用戶名及密碼對WLAN終端進行用戶認證。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,根據(jù)用戶名及密碼對WLAN終端進行用戶認證包括: 門戶服務(wù)器將WLAN終端用戶輸入的用戶名及密碼發(fā)送給接入控制器; 接入控制器將WLAN終端用戶輸入的用戶名及密碼發(fā)送給認證服務(wù)器; 認證服務(wù)器根據(jù)預(yù)先存儲的用戶認證信息對WLAN終端用戶輸入的用戶名及密碼進行認證,并向接入控制器反饋對WLAN終纟而的用戶認證結(jié)果。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,向接入控制器反饋對WLAN終端的用戶認證結(jié)果之后,還包括: 響應(yīng)于所述WLAN終端通過用戶認證,接入控制器在允許訪問公網(wǎng)列表中存儲所述WLAN終端的IP地址。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,判斷所述WLAN終端是否已通過用戶認證包括: 查詢允許訪問公網(wǎng)列表中是否包括所述WLAN終端的IP地址; 若允許訪問公網(wǎng)列表中包括所述WLAN終端的IP地址,則所述WLAN終端已通過用戶認證;否則,所述WLAN終端未通過用戶認證。
5.根據(jù)權(quán)利要求1至4任意一項所述的方法,其特征在于,還包括: 響應(yīng)于所述WLAN終端通過用戶認證,接入控制器對所述DNS解析請求進行正常轉(zhuǎn)發(fā);以及 響應(yīng)于接收到所述WLAN終端發(fā)送的HTTP請求或HTTPS請求時,接入控制器根據(jù)該HTTP請求或HTTPS請求中的目的地址轉(zhuǎn)發(fā)所述HTTP請求或HTTPS請求。
6.一種基于萬維網(wǎng)的無線局域網(wǎng)接入認證系統(tǒng),包括接入點,其特征在于,還包括門戶服務(wù)器、接入控制器和與公網(wǎng)隔離的本地DNS ; 所述接入控制器,用于在WLAN終端與接入點建立物理連接后,向所述WLAN終端分配IP地址;響應(yīng)于截獲到所述WLAN終端發(fā)送的DNS解析請求,判斷所述WLAN終端是否已通過用戶認證;響應(yīng)于所述WLAN終端未通過用戶認證,將所述DNS解析請求重定向至與公網(wǎng)隔離的本地DNS ;以及根據(jù)本地DNS返回的DNS回應(yīng)數(shù)據(jù)包,響應(yīng)于接收到未認證的所述WLAN終端發(fā)送的HTTP請求或HTTPS請求時,將該HTTP請求或HTTPS請求重定向到門戶服務(wù)器; 所述本地DNS,用于在接收到所述DNS解析請求時,構(gòu)造指向門戶服務(wù)器IP地址的DNS回應(yīng)數(shù)據(jù)包并返回所述接入控制器; 所述門戶服務(wù)器,用于在接收到HTTP請求或HTTPS請求時,向所述WLAN終端發(fā)送WEB認證頁面,通過WEB認證頁面獲取WLAN終端用戶輸入的用戶名及密碼,根據(jù)用戶名及密碼對WLAN終端進行用戶認證。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,還包括認證服務(wù)器; 所述門戶服務(wù)器根據(jù)用戶名及密碼對WLAN終端進行用戶認證時,具體將WLAN終端用戶輸入的用戶名及密碼發(fā)送給接入控制器; 所述接入控制器,還用于將WLAN終端用戶輸入的用戶名及密碼發(fā)送給認證服務(wù)器; 所述認證服務(wù)器,用于根據(jù)預(yù)先存儲的用戶認證信息對WLAN終端用戶輸入的用戶名及密碼進行認證,并向接入控制器反饋對WLAN終端的用戶認證結(jié)果。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述接入控制器還用于存儲允許訪問公網(wǎng)列表,響應(yīng)于所述WLAN終端通過用戶認證,在允許訪問公網(wǎng)列表中存儲所述WLAN終端的IP地址,所述允許訪問公網(wǎng)列表中包括通過用戶認證的WLAN終端的IP地址。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述接入控制器判斷所述WLAN終端是否已通過用戶認證時,具體查詢允許訪問公網(wǎng)列表中是否包括所述WLAN終端的IP地址;若允許訪問公網(wǎng)列表中包括所述WLAN終端的IP地址,則所述WLAN終端已通過用戶認證;否則,所述WLAN終端未通過用戶認證。
10.根據(jù)權(quán)利要求6至9任意一項所述的系統(tǒng),其特征在于,所述接入控制器,還用于響應(yīng)于所述WLAN終端通過用戶認證,對所述DNS解析請求進行正常轉(zhuǎn)發(fā);以及響應(yīng)于接收到所述WLAN終端發(fā)送的HTTP請求或HTTPS請求時,根據(jù)該HTTP請求或HTTPS請求中的目的地址通過互聯(lián)網(wǎng)轉(zhuǎn)發(fā)所述HTTP請求或HTTPS請求。
【文檔編號】H04W84/12GK104427499SQ201310411084
【公開日】2015年3月18日 申請日期:2013年9月11日 優(yōu)先權(quán)日:2013年9月11日
【發(fā)明者】羅志強, 沈軍, 史國水, 王帥, 蘇志勝, 羅鋼, 金華敏 申請人:中國電信股份有限公司