一种免认证访问方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,特别涉及一种免认证访问的方法和装置。
【背景技术】
[0002]在用户接入网络中,网关设备能够控制用户访问网络的权限。配合认证服务器,网关可以将用户访问外网的行为重定向成认证流程,对认证通过的用户授予外网访问权限。
[0003]随着电子商务,在线支付等互联网新业务的广泛应用,传统网络服务提供商,如电信,移动,或者具体到某个局域网的管理者,对用户接入网络方式有更新的需求。
[0004]将特定的服务器地址加入白名单存储在网关设备中,能够允许用户未经认证即可访问这些特定的服务器。如果白名单中的服务器属于微信,淘宝,或者网上银行,那么用户可以在得到因特网协议(IP)地址后就能直接访问这些服务器获取服务,非常便利。对于白名单之外的访问依然严格受控,需要认证之后才能授权访问。
[0005]综合以上,白名单能够灵活控制用户可以直接访问的内容,同时不会失去对其他内容访问的权限控制。
[0006]现有实现中将用户希望免费访问的服务器IP地址作为白名单,在网关上配置免认证规则,用户访问此IP的报文匹配规则直接放行。
[0007]考虑到访问量较大,为了负载分担,热门网络内容提供商可能有多台服务器,对应多个IP地址;网关设备管理员需要完整收集这些IP地址做出配置,当服务器地址发生变化时,网管需要及时响应更改配置,较为繁琐。
【发明内容】
[0008]有鉴于此,本申请提供一种免认证访问方法和装置,能够针对服务器的IP地址自动配置免认证规则,使得用户未经认证即可访问特定内容,同时其它内容需认证后才能访问。
[0009]为解决上述技术问题,本申请的技术方案是这样实现的:
[0010]一种免认证访问方法,该方法包括:
[0011]网关设备针对在认证前访问的服务器的域名配置免认证规则;
[0012]接收到DNS服务器响应给客户端的DNS应答报文时,将所述DNS应答报文转发给所述客户端使所述客户端使用响应的IP地址发送报文;
[0013]当针对所述DNS应答报文中的域名配置了免认证规则时,针对所述DNS应答报文中所述域名对应的IP地址配置免认证规则。
[0014]—种免认证访问装置,该装置包括:接收单元、发送单元和配置单元;
[0015]所述接收单元,用于接收DNS应答报文;
[0016]所述发送单元,用于当所述接收单元接收到DNS服务器响应给客户端的DNS应答报文时,将所述DNS应答报文转发给所述客户端使所述客户端使用响应的IP地址发送报文;
[0017]所述配置单元,用于针对在认证前访问的服务器的域名配置免认证规则;当针对所述接收单元接收到的DNS应答报文中的域名配置了免认证规则,针对所述DNS应答报文中所述域名对应的IP地址配置免认证规则。
[0018]由上面的技术方案可知,本申请中通过针对域名配置免认证规则,实现针对域名对应的IP地址自动配置免认证规则,能够使目的IP地址为配置免认证规则的IP地址的报文进行免认证传输。该方案能够针对服务器的IP地址自动配置免认证规则,使得用户未经认证即可访问特定内容,同时其它内容需认证后才能访问。
【附图说明】
[0019]图1为本申请实施例中接入用户组网示意图;
[0020]图2为本申请实施例中免认证访问流程示意图;
[0021]图3为本申请实施例中应用于上述技术的装置结构示意图。
【具体实施方式】
[0022]为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图并举实施例,对本发明的技术方案进行详细说明。
[0023]本申请实施例中提供一种免认证访问方法,应用于网关设备上,为实现本申请提供的技术方案,需在网关设备上进行如下配置:
[0024]首先,针对在认证前访问的服务器的域名配置免认证规则。
[0025]参见图1,图1为本申请实施例中接入用户组网示意图。图1中假设在认证前访问的白名单服务器的域名为www.sample, com,则针对该域名配置的免认证规则如下:
[0026]portal free-rule I host http://www.sample.com。
[0027]本申请实施例对配置的免认证规则的具体格式没有限制,使用者可以根据经验、习惯进行配置实现针对该域名的免认证即可。
[0028]在具体实现时,为了增加接入设备的安全性,使设备能够校验对应于域名的IP的真实性,在配置免认证规则时,配置校验选项。
[0029]如针对域名www.sample, com配置的免认证规则,且增加校验选项时,具体如下:
[0030]portal free-rule I host http://www.sample, com check。
[0031]上述配置,使用校验(check)字段来标识增加了校验选项。
[0032]其次,配置对源端口和目的端口为53的用户数据包协议(User DatagramProtocol, UDP)报文或传输控制协议(Transmiss1n Control Protocol, TCP)报文进行放行,即接收到客户端发送给DNS服务器的DNS查询报文,转发给域名系统(Domain NameSystem, DNS)服务器;接收到DNS服务器发送给客户端的DNS应答报文时,转发给所述客户端;并对DNS应答报文进行分析,具体分析过程在下文再详细描述。
[0033]对源端口为53的UDP报文或TCP报文进行放行的配置的具体实现形式不做限制,可以实现如下:
[0034]portal free-rule 2 destinat1n ip any udp 53 ;
[0035]portal free-rule 3 destinat1n ip any tcp 53。
[0036]对目的端口为53的UDP报文或TCP报文进行放行的配置的具体实现形式不做限制,可以实现如下:
[0037]portal free-rule 2 source ip any udp 53 ;
[0038]portal free-rule 3 source ip any tcp 530
[0039]下面结合附图,详细说明本申请实施例中实现免认证访问过程。
[0040]参见图2,图2为本申请实施例中免认证访问流程示意图。具体步骤为:
[0041]步骤201,网关设备接收到DNS服务器响应给客户端的DNS应答报文时,将所述DNS应答报文转发给所述客户端使所述客户端使用响应的IP地址发送报文。
[0042]以图1为例,客户端通过动态主机配置协议(Dynamic Host Configurat1nProtocol, DHCP)获取到自己的IP地址后,在浏览器中输入url:http://www.sample, com进行超文本传输协议(Hypertext Transfer Protocol,HTTP)访问,此时客户端的操作系统会发起DNS查询报文来查询www.sample, com的IP地址。
[0043]网关设备接收到DNS查询报文时,由于本地针对该报文配置了放行规则,则将该DNS查询报文转发给DNS服务器。
[0044]DNS服务器会通过DNS应答报文进行响应,在该DNS应答报文中携带对应域名www.sample, com的IP地址,实际应用中,对应的IP地址有多个,也可能只有一个。
[0045]网关设备接收到DNS服务器发送给客户端的DNS应答报文,由于对该DNS应答报文放行规则,则将该DNS应答报文转发给DNS服务器,以使所述客户端使用该DNS应答报文中应答的IP地址发送报文。
[0046]步骤202,该网关设备当针对所述DNS应答报文中的域名配置了免认证规则时,针对所述DNS应答报文中所述域名对应的IP地址配置免认证规则。
[0047]本申请实施例中,将DNS应答报文放行,即转发给客户端后,还需对该DNS应答报文进行分析,此处实现时,可以是复制一份DNS应答报文,也可以是记录该DNS应答报文中的域名,以及域名对应的IP地址。
[0048]针对该DNS应答报文的具体分析如下:
[0049]该网关设备确定针对所述DNS应答报文中的域名是否配置了免认证规则;
[0050]当该网关设备确定针对所述DNS应答报文中的域名配置了免认证规则,针对所述DNS应答报文中所述域名对应的IP地址配置免认证规则。
[0051]当所述DNS应答报文中所述域名对应的IP地址为两个以上时,针对每个IP地址配置免认证规则。
[0052]当该网关设备确定针对所述DNS应答报文中的域名未配置免认证规则,则不会针对所述DNS应答报文中所述域名对应的IP地址配置免认证规则。
[0053]如果在针对需认证前访问的服务器的域名配置免认证规则时,配置校验选项。
[0054]本步骤中针对所述DNS应答报文中所述域名对应的IP地址配置免认证规则之后,所述方法进一步包括:
[0055]该网关设备针对所述DNS应答报文中的域名向DNS服务器请求对应的IP地址,若请求到的IP地址与所述DNS应答报文中所述域名对应的IP地址存在不同,则将针对所述域名已配置免认证规则,且不在请求到的IP地址中的IP地址对应的免认证规则删除。
[0056]在向同一个DNS服务器发起针对相同域名的查询时,DNS服务器会告知此域名对应的所有IP地址,所谓负载分担只是应答报文的首个IP地址根据查询报文源IP地址不同而互异,因为客户端得到应答后,一般向首IP地址发起连接。
[0057]因此,客户端查询和网关设备查询同一域名对应的IP地址时,能查询得到与客户端之前查询内容一致,数量一致,顺序不同的IP序列,因此,本申请在删除配置的面认证规则时,不会删除真实有效的IP地址对应的免认证规则。
[0058]当外网有仿冒DNS应答报文流经网关设备时,网关设备会短暂配置免认证规则,然后自己再发起一次查询,收到真实应答后会删除之前下发的虚假IP地址对应的免认证规则。
[0059]在实际应用中,为了防止攻击,网关设备自身的DNS协议模块会检查应答报文的Transact1n ID,如果和查询不符则丢弃,在一定程度上降低了受攻击的可能性。
[0060]本申请实施例中,针对所述DNS应答报文中的域名向DNS服务器请求