一種免認(rèn)證訪問(wèn)方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域，特別涉及一種免認(rèn)證訪問(wèn)的方法和裝置。
【背景技術(shù)】
[0002]在用戶(hù)接入網(wǎng)絡(luò)中，網(wǎng)關(guān)設(shè)備能夠控制用戶(hù)訪問(wèn)網(wǎng)絡(luò)的權(quán)限。配合認(rèn)證服務(wù)器，網(wǎng)關(guān)可以將用戶(hù)訪問(wèn)外網(wǎng)的行為重定向成認(rèn)證流程，對(duì)認(rèn)證通過(guò)的用戶(hù)授予外網(wǎng)訪問(wèn)權(quán)限。
[0003]隨著電子商務(wù)，在線支付等互聯(lián)網(wǎng)新業(yè)務(wù)的廣泛應(yīng)用，傳統(tǒng)網(wǎng)絡(luò)服務(wù)提供商，如電信，移動(dòng)，或者具體到某個(gè)局域網(wǎng)的管理者，對(duì)用戶(hù)接入網(wǎng)絡(luò)方式有更新的需求。
[0004]將特定的服務(wù)器地址加入白名單存儲(chǔ)在網(wǎng)關(guān)設(shè)備中，能夠允許用戶(hù)未經(jīng)認(rèn)證即可訪問(wèn)這些特定的服務(wù)器。如果白名單中的服務(wù)器屬于微信，淘寶，或者網(wǎng)上銀行，那么用戶(hù)可以在得到因特網(wǎng)協(xié)議(IP)地址后就能直接訪問(wèn)這些服務(wù)器獲取服務(wù)，非常便利。對(duì)于白名單之外的訪問(wèn)依然嚴(yán)格受控，需要認(rèn)證之后才能授權(quán)訪問(wèn)。
[0005]綜合以上，白名單能夠靈活控制用戶(hù)可以直接訪問(wèn)的內(nèi)容，同時(shí)不會(huì)失去對(duì)其他內(nèi)容訪問(wèn)的權(quán)限控制。
[0006]現(xiàn)有實(shí)現(xiàn)中將用戶(hù)希望免費(fèi)訪問(wèn)的服務(wù)器IP地址作為白名單，在網(wǎng)關(guān)上配置免認(rèn)證規(guī)則，用戶(hù)訪問(wèn)此IP的報(bào)文匹配規(guī)則直接放行。
[0007]考慮到訪問(wèn)量較大，為了負(fù)載分擔(dān)，熱門(mén)網(wǎng)絡(luò)內(nèi)容提供商可能有多臺(tái)服務(wù)器，對(duì)應(yīng)多個(gè)IP地址；網(wǎng)關(guān)設(shè)備管理員需要完整收集這些IP地址做出配置，當(dāng)服務(wù)器地址發(fā)生變化時(shí)，網(wǎng)管需要及時(shí)響應(yīng)更改配置，較為繁瑣。

【發(fā)明內(nèi)容】

[0008]有鑒于此，本申請(qǐng)?zhí)峁┮环N免認(rèn)證訪問(wèn)方法和裝置，能夠針對(duì)服務(wù)器的IP地址自動(dòng)配置免認(rèn)證規(guī)則，使得用戶(hù)未經(jīng)認(rèn)證即可訪問(wèn)特定內(nèi)容，同時(shí)其它內(nèi)容需認(rèn)證后才能訪問(wèn)。
[0009]為解決上述技術(shù)問(wèn)題，本申請(qǐng)的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0010]一種免認(rèn)證訪問(wèn)方法，該方法包括:
[0011]網(wǎng)關(guān)設(shè)備針對(duì)在認(rèn)證前訪問(wèn)的服務(wù)器的域名配置免認(rèn)證規(guī)則；
[0012]接收到DNS服務(wù)器響應(yīng)給客戶(hù)端的DNS應(yīng)答報(bào)文時(shí)，將所述DNS應(yīng)答報(bào)文轉(zhuǎn)發(fā)給所述客戶(hù)端使所述客戶(hù)端使用響應(yīng)的IP地址發(fā)送報(bào)文；
[0013]當(dāng)針對(duì)所述DNS應(yīng)答報(bào)文中的域名配置了免認(rèn)證規(guī)則時(shí)，針對(duì)所述DNS應(yīng)答報(bào)文中所述域名對(duì)應(yīng)的IP地址配置免認(rèn)證規(guī)則。
[0014]—種免認(rèn)證訪問(wèn)裝置，該裝置包括:接收單元、發(fā)送單元和配置單元；
[0015]所述接收單元，用于接收DNS應(yīng)答報(bào)文；
[0016]所述發(fā)送單元，用于當(dāng)所述接收單元接收到DNS服務(wù)器響應(yīng)給客戶(hù)端的DNS應(yīng)答報(bào)文時(shí)，將所述DNS應(yīng)答報(bào)文轉(zhuǎn)發(fā)給所述客戶(hù)端使所述客戶(hù)端使用響應(yīng)的IP地址發(fā)送報(bào)文；
[0017]所述配置單元，用于針對(duì)在認(rèn)證前訪問(wèn)的服務(wù)器的域名配置免認(rèn)證規(guī)則；當(dāng)針對(duì)所述接收單元接收到的DNS應(yīng)答報(bào)文中的域名配置了免認(rèn)證規(guī)則，針對(duì)所述DNS應(yīng)答報(bào)文中所述域名對(duì)應(yīng)的IP地址配置免認(rèn)證規(guī)則。
[0018]由上面的技術(shù)方案可知，本申請(qǐng)中通過(guò)針對(duì)域名配置免認(rèn)證規(guī)則，實(shí)現(xiàn)針對(duì)域名對(duì)應(yīng)的IP地址自動(dòng)配置免認(rèn)證規(guī)則，能夠使目的IP地址為配置免認(rèn)證規(guī)則的IP地址的報(bào)文進(jìn)行免認(rèn)證傳輸。該方案能夠針對(duì)服務(wù)器的IP地址自動(dòng)配置免認(rèn)證規(guī)則，使得用戶(hù)未經(jīng)認(rèn)證即可訪問(wèn)特定內(nèi)容，同時(shí)其它內(nèi)容需認(rèn)證后才能訪問(wèn)。
【附圖說(shuō)明】
[0019]圖1為本申請(qǐng)實(shí)施例中接入用戶(hù)組網(wǎng)示意圖；
[0020]圖2為本申請(qǐng)實(shí)施例中免認(rèn)證訪問(wèn)流程示意圖；
[0021]圖3為本申請(qǐng)實(shí)施例中應(yīng)用于上述技術(shù)的裝置結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0022]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，下面結(jié)合附圖并舉實(shí)施例，對(duì)本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。
[0023]本申請(qǐng)實(shí)施例中提供一種免認(rèn)證訪問(wèn)方法，應(yīng)用于網(wǎng)關(guān)設(shè)備上，為實(shí)現(xiàn)本申請(qǐng)?zhí)峁┑募夹g(shù)方案，需在網(wǎng)關(guān)設(shè)備上進(jìn)行如下配置:
[0024]首先，針對(duì)在認(rèn)證前訪問(wèn)的服務(wù)器的域名配置免認(rèn)證規(guī)則。
[0025]參見(jiàn)圖1，圖1為本申請(qǐng)實(shí)施例中接入用戶(hù)組網(wǎng)示意圖。圖1中假設(shè)在認(rèn)證前訪問(wèn)的白名單服務(wù)器的域名為www.sample, com，則針對(duì)該域名配置的免認(rèn)證規(guī)則如下:
[0026]portal free-rule I host http://www.sample.com。
[0027]本申請(qǐng)實(shí)施例對(duì)配置的免認(rèn)證規(guī)則的具體格式?jīng)]有限制，使用者可以根據(jù)經(jīng)驗(yàn)、習(xí)慣進(jìn)行配置實(shí)現(xiàn)針對(duì)該域名的免認(rèn)證即可。
[0028]在具體實(shí)現(xiàn)時(shí)，為了增加接入設(shè)備的安全性，使設(shè)備能夠校驗(yàn)對(duì)應(yīng)于域名的IP的真實(shí)性，在配置免認(rèn)證規(guī)則時(shí)，配置校驗(yàn)選項(xiàng)。
[0029]如針對(duì)域名www.sample, com配置的免認(rèn)證規(guī)則，且增加校驗(yàn)選項(xiàng)時(shí)，具體如下:
[0030]portal free-rule I host http://www.sample, com check。
[0031]上述配置，使用校驗(yàn)(check)字段來(lái)標(biāo)識(shí)增加了校驗(yàn)選項(xiàng)。
[0032]其次，配置對(duì)源端口和目的端口為53的用戶(hù)數(shù)據(jù)包協(xié)議(User DatagramProtocol, UDP)報(bào)文或傳輸控制協(xié)議(Transmiss1n Control Protocol, TCP)報(bào)文進(jìn)行放行，即接收到客戶(hù)端發(fā)送給DNS服務(wù)器的DNS查詢(xún)報(bào)文，轉(zhuǎn)發(fā)給域名系統(tǒng)(Domain NameSystem, DNS)服務(wù)器；接收到DNS服務(wù)器發(fā)送給客戶(hù)端的DNS應(yīng)答報(bào)文時(shí)，轉(zhuǎn)發(fā)給所述客戶(hù)端；并對(duì)DNS應(yīng)答報(bào)文進(jìn)行分析，具體分析過(guò)程在下文再詳細(xì)描述。
[0033]對(duì)源端口為53的UDP報(bào)文或TCP報(bào)文進(jìn)行放行的配置的具體實(shí)現(xiàn)形式不做限制，可以實(shí)現(xiàn)如下:
[0034]portal free-rule 2 destinat1n ip any udp 53 ；
[0035]portal free-rule 3 destinat1n ip any tcp 53。
[0036]對(duì)目的端口為53的UDP報(bào)文或TCP報(bào)文進(jìn)行放行的配置的具體實(shí)現(xiàn)形式不做限制，可以實(shí)現(xiàn)如下:
[0037]portal free-rule 2 source ip any udp 53 ；
[0038]portal free-rule 3 source ip any tcp 530
[0039]下面結(jié)合附圖，詳細(xì)說(shuō)明本申請(qǐng)實(shí)施例中實(shí)現(xiàn)免認(rèn)證訪問(wèn)過(guò)程。
[0040]參見(jiàn)圖2，圖2為本申請(qǐng)實(shí)施例中免認(rèn)證訪問(wèn)流程示意圖。具體步驟為:
[0041]步驟201，網(wǎng)關(guān)設(shè)備接收到DNS服務(wù)器響應(yīng)給客戶(hù)端的DNS應(yīng)答報(bào)文時(shí)，將所述DNS應(yīng)答報(bào)文轉(zhuǎn)發(fā)給所述客戶(hù)端使所述客戶(hù)端使用響應(yīng)的IP地址發(fā)送報(bào)文。
[0042]以圖1為例，客戶(hù)端通過(guò)動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configurat1nProtocol, DHCP)獲取到自己的IP地址后，在瀏覽器中輸入url:http://www.sample, com進(jìn)行超文本傳輸協(xié)議(Hypertext Transfer Protocol，HTTP)訪問(wèn)，此時(shí)客戶(hù)端的操作系統(tǒng)會(huì)發(fā)起DNS查詢(xún)報(bào)文來(lái)查詢(xún)www.sample, com的IP地址。
[0043]網(wǎng)關(guān)設(shè)備接收到DNS查詢(xún)報(bào)文時(shí)，由于本地針對(duì)該報(bào)文配置了放行規(guī)則，則將該DNS查詢(xún)報(bào)文轉(zhuǎn)發(fā)給DNS服務(wù)器。
[0044]DNS服務(wù)器會(huì)通過(guò)DNS應(yīng)答報(bào)文進(jìn)行響應(yīng)，在該DNS應(yīng)答報(bào)文中攜帶對(duì)應(yīng)域名www.sample, com的IP地址，實(shí)際應(yīng)用中，對(duì)應(yīng)的IP地址有多個(gè)，也可能只有一個(gè)。
[0045]網(wǎng)關(guān)設(shè)備接收到DNS服務(wù)器發(fā)送給客戶(hù)端的DNS應(yīng)答報(bào)文，由于對(duì)該DNS應(yīng)答報(bào)文放行規(guī)則，則將該DNS應(yīng)答報(bào)文轉(zhuǎn)發(fā)給DNS服務(wù)器，以使所述客戶(hù)端使用該DNS應(yīng)答報(bào)文中應(yīng)答的IP地址發(fā)送報(bào)文。
[0046]步驟202，該網(wǎng)關(guān)設(shè)備當(dāng)針對(duì)所述DNS應(yīng)答報(bào)文中的域名配置了免認(rèn)證規(guī)則時(shí)，針對(duì)所述DNS應(yīng)答報(bào)文中所述域名對(duì)應(yīng)的IP地址配置免認(rèn)證規(guī)則。
[0047]本申請(qǐng)實(shí)施例中，將DNS應(yīng)答報(bào)文放行，即轉(zhuǎn)發(fā)給客戶(hù)端后，還需對(duì)該DNS應(yīng)答報(bào)文進(jìn)行分析，此處實(shí)現(xiàn)時(shí)，可以是復(fù)制一份DNS應(yīng)答報(bào)文，也可以是記錄該DNS應(yīng)答報(bào)文中的域名，以及域名對(duì)應(yīng)的IP地址。
[0048]針對(duì)該DNS應(yīng)答報(bào)文的具體分析如下:
[0049]該網(wǎng)關(guān)設(shè)備確定針對(duì)所述DNS應(yīng)答報(bào)文中的域名是否配置了免認(rèn)證規(guī)則；
[0050]當(dāng)該網(wǎng)關(guān)設(shè)備確定針對(duì)所述DNS應(yīng)答報(bào)文中的域名配置了免認(rèn)證規(guī)則，針對(duì)所述DNS應(yīng)答報(bào)文中所述域名對(duì)應(yīng)的IP地址配置免認(rèn)證規(guī)則。
[0051]當(dāng)所述DNS應(yīng)答報(bào)文中所述域名對(duì)應(yīng)的IP地址為兩個(gè)以上時(shí)，針對(duì)每個(gè)IP地址配置免認(rèn)證規(guī)則。
[0052]當(dāng)該網(wǎng)關(guān)設(shè)備確定針對(duì)所述DNS應(yīng)答報(bào)文中的域名未配置免認(rèn)證規(guī)則，則不會(huì)針對(duì)所述DNS應(yīng)答報(bào)文中所述域名對(duì)應(yīng)的IP地址配置免認(rèn)證規(guī)則。
[0053]如果在針對(duì)需認(rèn)證前訪問(wèn)的服務(wù)器的域名配置免認(rèn)證規(guī)則時(shí)，配置校驗(yàn)選項(xiàng)。
[0054]本步驟中針對(duì)所述DNS應(yīng)答報(bào)文中所述域名對(duì)應(yīng)的IP地址配置免認(rèn)證規(guī)則之后，所述方法進(jìn)一步包括:
[0055]該網(wǎng)關(guān)設(shè)備針對(duì)所述DNS應(yīng)答報(bào)文中的域名向DNS服務(wù)器請(qǐng)求對(duì)應(yīng)的IP地址，若請(qǐng)求到的IP地址與所述DNS應(yīng)答報(bào)文中所述域名對(duì)應(yīng)的IP地址存在不同，則將針對(duì)所述域名已配置免認(rèn)證規(guī)則，且不在請(qǐng)求到的IP地址中的IP地址對(duì)應(yīng)的免認(rèn)證規(guī)則刪除。
[0056]在向同一個(gè)DNS服務(wù)器發(fā)起針對(duì)相同域名的查詢(xún)時(shí)，DNS服務(wù)器會(huì)告知此域名對(duì)應(yīng)的所有IP地址，所謂負(fù)載分擔(dān)只是應(yīng)答報(bào)文的首個(gè)IP地址根據(jù)查詢(xún)報(bào)文源IP地址不同而互異，因?yàn)榭蛻?hù)端得到應(yīng)答后，一般向首IP地址發(fā)起連接。
[0057]因此，客戶(hù)端查詢(xún)和網(wǎng)關(guān)設(shè)備查詢(xún)同一域名對(duì)應(yīng)的IP地址時(shí)，能查詢(xún)得到與客戶(hù)端之前查詢(xún)內(nèi)容一致，數(shù)量一致，順序不同的IP序列，因此，本申請(qǐng)?jiān)趧h除配置的面認(rèn)證規(guī)則時(shí)，不會(huì)刪除真實(shí)有效的IP地址對(duì)應(yīng)的免認(rèn)證規(guī)則。
[0058]當(dāng)外網(wǎng)有仿冒DNS應(yīng)答報(bào)文流經(jīng)網(wǎng)關(guān)設(shè)備時(shí)，網(wǎng)關(guān)設(shè)備會(huì)短暫配置免認(rèn)證規(guī)則，然后自己再發(fā)起一次查詢(xún)，收到真實(shí)應(yīng)答后會(huì)刪除之前下發(fā)的虛假I(mǎi)P地址對(duì)應(yīng)的免認(rèn)證規(guī)則。
[0059]在實(shí)際應(yīng)用中，為了防止攻擊，網(wǎng)關(guān)設(shè)備自身的DNS協(xié)議模塊會(huì)檢查應(yīng)答報(bào)文的Transact1n ID,如果和查詢(xún)不符則丟棄，在一定程度上降低了受攻擊的可能性。
[0060]本申請(qǐng)實(shí)施例中，針對(duì)所述DNS應(yīng)答報(bào)文中的域名向DNS服務(wù)器請(qǐng)求