基于万维网的无线局域网接入认证方法与系统的制作方法
【专利摘要】本发明实施例公开了一种基于万维网的无线局域网接入认证方法与系统,其中,方法包括:AC截获到所述WLAN终端发送的DNS解析请求,判断所述WLAN终端是否已通过用户认证;若未通过用户认证,AC将所述DNS解析请求重定向至与公网隔离的本地DNS;本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC;响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时,接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器;门户服务器向WLAN终端发送WEB认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码,根据用户名及密码对WLAN终端进行用户认证。本发明实施例可以解决现有技术未认证WLAN终端绕过Portal认证流程进行非法上网的技术问题。
【专利说明】基于万维网的无线局域网接入认证方法与系统
【技术领域】
[0001]本发明涉及通信技术,尤其是一种基于万维网(WEB)的无线局域网(WirelessLocal Area Network, WLAN)接入认证方法与系统。
【背景技术】
[0002]用户通过WLAN接入网络时,首先需要通过WLAN运营商的认证。WLAN运营商通常采用基于WEB的WLAN接入认证方法对用户进行认证,具体流程如下:
[0003]支持WLAN接入的用户终端(以下简称为:WLAN终端)与运营商接入点(AccessPoint, AP)建立物理连接,通过接入控制器(Access Control, AC)获取互联网协议(IP)地址后发起超文本传输协议(Hyper Text Transport Protocol,HTTP)请求;用户在浏览器地址栏输入任意网址均跳转到门户(Portal)认证入口,运营商根据终端在WEB页面输入的用户名密码对WLAN终端进行用户认证。
[0004]上述基于WEB的WLAN接入认证方法中,为了实现用户在浏览器地址栏输入任意网址均跳转到Portal认证(也称为WEB认证)入口的功能,运营商必须开放域名服务器(Domain Name Server,DNS)端口与WEB端口。其中,DNS端口目前通过用户数据报协议(UserDatagram Protocol, UDP) 53端口实现,用户通过UDP53端口访问DNS服务器,向DNS服务器发送欲访问WEB网站的域名,DNS服务器将该域名对应的IP地址通过UDP53端口返回用户,以便用户通过该IP地址访问欲访问WEB网站。WEB端口包括传输控制协议(Transfer Control Protocol,TCP)80 端口与 TCP443 端口。其中,用户通过不加密的 HTTP与加密的HTTPS访问WEB网站时,分别对应TCP80和TCP443端口。
[0005]在实现本发明的过程中,发明人发现,上述现有技术的WLAN接入认证方法存在WLAN客户端绕过Portal认证流程实现非法上网的风险:
[0006]由于域名解析的需要,运营商允许未认证的WLAN终端也可以使用UDP53端口访问公网的代理服务器,例如,由虚拟专用网代理软件(LoopcVPN)实现的代理服务器,未经认证的WLAN终端利用UDP53端口访问代理服务器时,可以通过代理服务器代理非法上网。例如,代理服务器LoopcVPN包括客户端和服务器端,LoopcVPN客户端可以将IP数据包通过一条秘密隧道发送到LoopcVPN服务器端,从而实现网络加速、隐藏真实IP、突破IP端口限制等功能。因此,当LoopcVPN服务器端开放了 UDP53端口作为代理时,未经认证的WLAN终端就可以通过代理免费上网;
[0007]未经认证的WLAN终端可以将上网数据包封装在DNS解析请求包中,由于DNS不对用户的DNS解析请求包内容进行检查,当用户请求解析的域名解析属于二级域名时,DNS会将上网数据包递归到LoopcVPN等代理服务器所在的DNS设备。由此,可以以DNS服务器作为中转,实现与LoopcVPN等代理服务器的数据交互,通过运营商DNS访问LoopcVPN服务器代理实现非法上网。
【发明内容】
[0008]本发明实施例所要解决的其中一个技术问题是:提供一种基于万维网的无线局域网接入认证方法与系统,以解决现有技术基于WEB的WLAN接入认证方法中,未经认证WLAN终端通过UDP53端口访问公网服务器或者将上网数据包封装在DNS解析请求包中,导致未认证WLAN终端绕过Portal认证流程进行非法上网的技术问题。
[0009]本发明实施例提供的一种基于万维网的无线局域网接入认证方法,包括:
[0010]接入控制器在无线局域网WLAN终端与接入点建立物理连接后,向所述WLAN终端分配互联网协议IP地址;
[0011 ] 接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS解析请求,判断所述WLAN终端是否已通过用户认证;
[0012]响应于所述WLAN终端未通过用户认证,接入控制器将所述DNS解析请求重定向至与公网隔离的本地DNS ;
[0013]本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器;
[0014]响应于接收到未认证的所述WLAN终端发送的超文本传输协议HTTP请求或安全超文本传输协议HTTPS请求时,接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器;
[0015]门户服务器向WLAN终端发送万维网(WEB)认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码,根据用户名及密码对WLAN终端进行用户认证。
[0016]在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中,根据用户名及密码对WLAN终端进行用户认证包括:
[0017]门户服务器将WLAN终端用户输入的用户名及密码发送给接入控制器;
[0018]接入控制器将WLAN终端用户输入的用户名及密码发送给认证服务器;
[0019]认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证,并向接入控制器反馈对WLAN终端的用户认证结果。
[0020]在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中,向接入控制器反馈对WLAN终端的用户认证结果之后,还包括:
[0021]响应于所述WLAN终端通过用户认证,接入控制器在允许访问公网列表中存储所述WLAN终端的IP地址。
[0022]在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中,判断所述WLAN终端是否已通过用户认证包括:
[0023]查询允许访问公网列表中是否包括所述WLAN终端的IP地址;
[0024]若允许访问公网列表中包括所述WLAN终端的IP地址,则所述WLAN终端已通过用户认证;否则,所述WLAN终端未通过用户认证。
[0025]在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中,还包括:
[0026]响应于所述WLAN终端通过用户认证,接入控制器对所述DNS解析请求进行正常转发;以及
[0027]响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时,接入控制器根据该HTTP请求或HTTPS请求中的目的地址转发所述HTTP请求或HTTPS请求。
[0028]本发明实施例提供的一种基于万维网的无线局域网接入认证系统,包括接入点,还包括门户服务器、接入控制器和与公网隔离的本地DNS ;
[0029]所述接入控制器,用于在WLAN终端与接入点建立物理连接后,向所述WLAN终端分配IP地址;响应于截获到所述WLAN终端发送的DNS解析请求,判断所述WLAN终端是否已通过用户认证;响应于所述WLAN终端未通过用户认证,将所述DNS解析请求重定向至与公网隔离的本地DNS ;以及根据本地DNS返回的DNS回应数据包,响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时,将该HTTP请求或HTTPS请求重定向到门户服务器;
[0030]所述本地DNS,用于在接收到所述DNS解析请求时,构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器;
[0031]所述门户服务器,用于在接收到HTTP请求或HTTPS请求时,向所述WLAN终端发送WEB认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码,根据用户名及密码对WLAN终端进行用户认证。
[0032]在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中,还包括认证服务器;
[0033]所述门户服务器根据用户名及密码对WLAN终端进行用户认证时,具体将WLAN终端用户输入的用户名及密码发送给接入控制器;
[0034]所述接入控制器,还用于将WLAN终端用户输入的用户名及密码发送给认证服务器;
[0035]所述认证服务器,用于根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证,并向接入控制器反馈对WLAN终端的用户认证结果。
[0036]在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中,所述接入控制器还用于存储允许访问公网列表,响应于所述WLAN终端通过用户认证,在允许访问公网列表中存储所述WLAN终端的IP地址,所述允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。
[0037]在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中,所述接入控制器判断所述WLAN终端是否已通过用户认证时,具体查询允许访问公网列表中是否包括所述WLAN终端的IP地址;若允许访问公网列表中包括所述WLAN终端的IP地址,则所述WLAN终端已通过用户认证;否则,所述WLAN终端未通过用户认证。
[0038]在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中,所述接入控制器,还用于响应于所述WLAN终端通过用户认证,对所述DNS解析请求进行正常转发;以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时,根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发所述HTTP请求或HTTPS请求。
[0039]基于本发明上述实施例提供的基于万维网的无线局域网接入认证方法与系统,接入控制器截获到WLAN终端发送的DNS解析请求,判断该WLAN终端是否已通过用户认证;若未通过用户认证,将该DNS解析请求重定向至与公网隔离的本地DNS,本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回接入控制器;接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时,接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器;由门户服务器向WLAN终端发送WEB认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码,根据用户名及密码对WLAN终端进行用户认证。与现有技术相比,本发明实施例可以将未经认证的WLAN终端通过UDP53端口访问LoopcVPN等公网服务器的流量拦截,解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题;未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时,其DNS解析请求包被重定向到与公网隔离的本地DNS地址,解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中,通过运营商公网DNS访问代理服务器实现非法访问公网的问题。本发明实施例有效防范了现有技术中未经认证WLAN终端绕过用户认证实现非法上网的安全隐患,解决了现有技术基于WEB的WLAN接入认证方法中,未经认证WLAN终端通过UDP53端口访问公网的代理服务器或者将上网数据包封装在DNS解析请求包中,导致未认证WLAN终端绕过用户认证流程进行非法上网的技术问题。
[0040]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
【专利附图】
【附图说明】
[0041]构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
[0042]参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
[0043]图1为本发明基于WEB的无线局域网接入认证方法一个实施例的流程图。
[0044]图2为本发明基于WEB的无线局域网接入认证方法另一个实施例的流程图。
[0045]图3为本发明基于WEB的无线局域网接入认证系统一个实施例的结构示意图。
【具体实施方式】
[0046]现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0047]同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0048]以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
[0049]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
[0050]在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
[0051]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0052]图1为本发明基于WEB的WLAN接入认证方法一个实施例的流程图。如图1所示,该实施例基于万维网的WLAN接入认证方法包括:
[0053]110,AC在WLAN终端与AP建立物理连接后,向WLAN终端分配IP地址。
[0054]120,AC响应于截获到WLAN终端发送的DNS解析请求,判断WLAN终端是否已通过用户认证。
[0055]若WLAN终端未通过用户认证,执行130的操作。否则,若WLAN终端已通过用户认证,允许WLAN终端进行正常的互联网访问,不执行本实施例的后续流程。
[0056]130,AC将DNS解析请求重定向至与公网(即:互联网)隔离的本地DNS。
[0057]140,本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC。
[0058]150,响应于接收到未认证的WLAN终端发送的HTTP请求或安全超文本传输协议(Hypertext Transfer Protocol Secure, HTTPS)请求时,AC 将该 HTTP 请求或 HTTPS 请求重定向到门户(Portal)服务器,即:将WLAN终端通过TCP80或TCP443端口访问互联网浏览WEB服务器的流量重定向到门户服务器。
[0059]160,门户服务器向WLAN终端发送万维网(WEB)认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码,根据该用户名及密码对WLAN终端进行用户认证。
[0060]本发明实施例中,WLAN终端为用户使用的WLAN终端,用户与WLAN终端对应,对WLAN终端进行用户认证即对WLAN终端用户进行认证,WLAN终端的IP地址即为WLAN终端用户的IP地址。
[0061 ] 示例性地,若WLAN终端通过用户认证,则AC允许用户访问互联网,并由验证、授权和记账(Authenticat1n、Authorizat1n、Accounting, AAA)服务器进行计费。若 WLAN 终端通过用户认证,则AC只允许该WLAN终端访问互联网上的DNS服务器和门户服务器,不允许访问其他公网资源。
[0062]本发明上述实施例提供的基于万维网的无线局域网接入认证方法解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题;未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时,其DNS解析请求包被重定向到与公网隔离的本地DNS地址,解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中,通过运营商公网DNS访问代理服务器实现非法访问公网的问题,有效防范了现有技术中未经认证WLAN终端绕过用户认证实现非法上网的安全隐患,解决了现有技术基于WEB的WLAN接入认证方法中,未经认证WLAN终端通过UDP53端口访问公网的代理服务器或者将上网数据包封装在DNS解析请求包中,导致未认证WLAN终端绕过用户认证流程进行非法上网的技术问题。
[0063]图2为本发明基于WEB的WLAN接入认证方法另一个实施例的流程图。如图2所示,该实施例基于WEB的WLAN接入认证方法包括:
[0064]210,AC在WLAN终端与AP建立物理连接后,向WLAN终端分配IP地址。
[0065]220,AC响应于截获到WLAN终端发送的域名服务器DNS解析请求,查询允许访问公网列表中是否包括WLAN终端的IP地址。
[0066]其中,允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。
[0067]若允许访问公网列表中包括WLAN终端的IP地址,则WLAN终端已通过用户认证,则执行300的操作,允许该WLAN终端访问互联网。否则,若允许访问公网列表中不包括WLAN终端的IP地址,则WLAN终端未通过用户认证,执行230的操作。
[0068]230,AC将DNS解析请求重定向至与公网隔离的本地DNS。
[0069]240,本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC。
[0070]250,响应于接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时,AC将该HTTP请求或HTTPS请求重定向到门户服务器,即:未认证用户的访问互联网请求都会重定向到Portal Server的WEB认证页面上。
[0071]260,门户服务器(Portal Server)向WLAN终端发送WEB认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码(即:用户在WEB认证页面中输入用户名和密码认证信息后提交),并将WLAN终端用户输入的用户名及密码发送给AC。
[0072]270,AC将WLAN终端用户输入的用户名及密码发送给认证服务器(RadiusServer)。
[0073]280,认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证,比对WLAN终端用户输入的用户名及密码与预先存储的用户认证信息是否一致,并向AC反馈对WLAN终端的用户认证结果。
[0074]若比对一致,WLAN终端通过用户认证,执行290的操作,并允许该WLAN终端访问互联网。否则,若WLAN终端未通过用户认证,不执行本实施例的后续流程,可以进一步返回执行230的操作,或者通过门户服务器向用户返回未通过认证的错误信息,告知用户认证失败,不允许用户访问公网。
[0075]示例性地,认证服务器具体通过门户服务器向AC反馈对WLAN终端的用户认证结果,门户服务器可以将用户认证结果显示在用户的浏览器中。
[0076]290,AC在允许访问公网列表中存储WLAN终端的IP地址。
[0077]300, AC对DNS解析请求进行正常转发。
[0078]其中,操作300与290之间不存在执行时间顺序限制,操作300可以先于290执行,也可以与290同时执行或者晚于290执行。
[0079]310,接收到WLAN终端发送的HTTP请求或HTTPS请求时,AC根据该HTTP请求或HTTPS请求中的目的地址转发HTTP请求或HTTPS请求。
[0080]图3为本发明基于WEB的WLAN接入认证系统一个实施例的结构示意图。该实施例基于WEB的WLAN接入认证系统可用于实现本发明上述各基于WEB的WLAN接入认证方法实施例。如图3所示,其包括还包括门户服务器、AC和与公网隔离的本地DNS。其中,
[0081 ] AC,用于在WLAN终端与AP建立物理连接后,向WLAN终端分配IP地址;响应于截获到WLAN终端发送的DNS解析请求,判断WLAN终端是否已通过用户认证;响应于WLAN终端未通过用户认证,将DNS解析请求重定向至与公网隔离的本地DNS ;以及根据本地DNS返回的DNS回应数据包,响应于接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时,将该HTTP请求或HTTPS请求重定向到门户服务器。
[0082]本地DNS,也可以称为本地UDP53端口服务器,用于在接收到DNS解析请求时,构造指向门户服务器IP地址的DNS回应数据包并返回AC。
[0083]门户服务器,用于在接收到HTTP请求或HTTPS请求时,向WLAN终端发送WEB认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码,根据该用户名及密码对WLAN终端进行用户认证。
[0084]本发明实施例的WLAN终端安装有无线网卡及WEB浏览器,AP用于WLAN终端的无线接入。
[0085]本发明上述实施例提供的基于万维网的无线局域网接入认证系统解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题;未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时,其DNS解析请求包被重定向到与公网隔离的本地DNS地址,解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中,通过运营商公网DNS访问代理服务器实现非法访问公网的问题,有效防范了现有技术中未经认证WLAN终端绕过用户认证实现非法上网的安全隐患,解决了现有技术基于WEB的WLAN接入认证方法中,未经认证WLAN终端通过UDP53端口访问公网的代理服务器或者将上网数据包封装在DNS解析请求包中,导致未认证WLAN终端绕过用户认证流程进行非法上网的技术问题。
[0086]再参见图3,在本发明基于WEB的WLAN接入认证系统的另一个实施例中,还包括认证服务器。该实施例中,门户服务器根据用户名及密码对WLAN终端进行用户认证时,具体可以将WLAN终端用户输入的用户名及密码发送给AC。相应地,AC还可以用于将WLAN终端用户输入的用户名及密码发送给认证服务器。认证服务器用于根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证,并向AC反馈对WLAN终端的用户认证结果O
[0087]在本发明基于WEB的WLAN接入认证系统的又一个实施例中,AC还可以用于存储允许访问公网列表,响应于WLAN终端通过用户认证,在允许访问公网列表中存储WLAN终端的IP地址,该允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。
[0088]在本发明基于WEB的WLAN接入认证系统的再一个实施例中,AC判断WLAN终端是否已通过用户认证时,具体查询允许访问公网列表中是否包括WLAN终端的IP地址;若允许访问公网列表中包括WLAN终端的IP地址,则WLAN终端已通过用户认证;否则,WLAN终端未通过用户认证。
[0089]在本发明基于WEB的WLAN接入认证系统的又一个实施例中,AC还可以用于响应于WLAN终端通过用户认证,对DNS解析请求进行正常转发;以及响应于接收到WLAN终端发送的HTTP请求或HTTPS请求时,根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发HTTP请求或HTTPS请求。
[0090]本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0091]可能以许多方式来实现本发明的方法、系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
[0092]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0093]本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
【权利要求】
1.一种基于万维网的无线局域网接入认证方法,其特征在于,包括: 接入控制器在无线局域网WLAN终端与接入点建立物理连接后,向所述WLAN终端分配互联网协议IP地址; 接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS解析请求,判断所述WLAN终端是否已通过用户认证; 响应于所述WLAN终端未通过用户认证,接入控制器将所述DNS解析请求重定向至与公网隔离的本地DNS ; 本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器; 响应于接收到未认证的所述WLAN终端发送的超文本传输协议HTTP请求或安全超文本传输协议HTTPS请求时,接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器; 门户服务器向WLAN终端发送万维网(WEB)认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码,根据用户名及密码对WLAN终端进行用户认证。
2.根据权利要求1所述的方法,其特征在于,根据用户名及密码对WLAN终端进行用户认证包括: 门户服务器将WLAN终端用户输入的用户名及密码发送给接入控制器; 接入控制器将WLAN终端用户输入的用户名及密码发送给认证服务器; 认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证,并向接入控制器反馈对WLAN终纟而的用户认证结果。
3.根据权利要求2所述的方法,其特征在于,向接入控制器反馈对WLAN终端的用户认证结果之后,还包括: 响应于所述WLAN终端通过用户认证,接入控制器在允许访问公网列表中存储所述WLAN终端的IP地址。
4.根据权利要求3所述的方法,其特征在于,判断所述WLAN终端是否已通过用户认证包括: 查询允许访问公网列表中是否包括所述WLAN终端的IP地址; 若允许访问公网列表中包括所述WLAN终端的IP地址,则所述WLAN终端已通过用户认证;否则,所述WLAN终端未通过用户认证。
5.根据权利要求1至4任意一项所述的方法,其特征在于,还包括: 响应于所述WLAN终端通过用户认证,接入控制器对所述DNS解析请求进行正常转发;以及 响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时,接入控制器根据该HTTP请求或HTTPS请求中的目的地址转发所述HTTP请求或HTTPS请求。
6.一种基于万维网的无线局域网接入认证系统,包括接入点,其特征在于,还包括门户服务器、接入控制器和与公网隔离的本地DNS ; 所述接入控制器,用于在WLAN终端与接入点建立物理连接后,向所述WLAN终端分配IP地址;响应于截获到所述WLAN终端发送的DNS解析请求,判断所述WLAN终端是否已通过用户认证;响应于所述WLAN终端未通过用户认证,将所述DNS解析请求重定向至与公网隔离的本地DNS ;以及根据本地DNS返回的DNS回应数据包,响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时,将该HTTP请求或HTTPS请求重定向到门户服务器; 所述本地DNS,用于在接收到所述DNS解析请求时,构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器; 所述门户服务器,用于在接收到HTTP请求或HTTPS请求时,向所述WLAN终端发送WEB认证页面,通过WEB认证页面获取WLAN终端用户输入的用户名及密码,根据用户名及密码对WLAN终端进行用户认证。
7.根据权利要求6所述的系统,其特征在于,还包括认证服务器; 所述门户服务器根据用户名及密码对WLAN终端进行用户认证时,具体将WLAN终端用户输入的用户名及密码发送给接入控制器; 所述接入控制器,还用于将WLAN终端用户输入的用户名及密码发送给认证服务器; 所述认证服务器,用于根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证,并向接入控制器反馈对WLAN终端的用户认证结果。
8.根据权利要求7所述的系统,其特征在于,所述接入控制器还用于存储允许访问公网列表,响应于所述WLAN终端通过用户认证,在允许访问公网列表中存储所述WLAN终端的IP地址,所述允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。
9.根据权利要求8所述的系统,其特征在于,所述接入控制器判断所述WLAN终端是否已通过用户认证时,具体查询允许访问公网列表中是否包括所述WLAN终端的IP地址;若允许访问公网列表中包括所述WLAN终端的IP地址,则所述WLAN终端已通过用户认证;否则,所述WLAN终端未通过用户认证。
10.根据权利要求6至9任意一项所述的系统,其特征在于,所述接入控制器,还用于响应于所述WLAN终端通过用户认证,对所述DNS解析请求进行正常转发;以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时,根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发所述HTTP请求或HTTPS请求。
【文档编号】H04W84/12GK104427499SQ201310411084
【公开日】2015年3月18日 申请日期:2013年9月11日 优先权日:2013年9月11日
【发明者】罗志强, 沈军, 史国水, 王帅, 苏志胜, 罗钢, 金华敏 申请人:中国电信股份有限公司