CN101945053B - 一种报文的发送方法和装置 - Google Patents
一种报文的发送方法和装置 Download PDFInfo
- Publication number
- CN101945053B CN101945053B CN2010105029351A CN201010502935A CN101945053B CN 101945053 B CN101945053 B CN 101945053B CN 2010105029351 A CN2010105029351 A CN 2010105029351A CN 201010502935 A CN201010502935 A CN 201010502935A CN 101945053 B CN101945053 B CN 101945053B
- Authority
- CN
- China
- Prior art keywords
- address
- subscriber equipment
- server
- message
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种报文的发送方法和装置,该方法包括:NAS设备侦听用户设备获取DNS服务器地址的过程,根据所述DNS服务器地址为所述用户设备设置DNS访问规则;并根据所述DNS访问规则允许所述用户设备发送给所述DNS服务器的报文。本发明中,避免了DNS服务器地址变化需要重新配置的问题,简化了网络配置。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种报文的发送方法和装置。
背景技术
随着科学技术的快速发展,对网络技术提出了更多的要求,多种接入认证技术应运而生。由于web较强的表达性,在认证过程中可以提供额外的内容(例如,广告性质的内容),从而使得快速方便的web认证方式正被广泛采用。其中,web认证是指基于万维网的一种认证方法,且web认证的另一种称呼为Portal(门户、入口)。
在目前的web认证(portal)过程中,一般都采用了强制portal的认证方式。首先通过DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)方式让用户获取IP地址,然后用户在浏览器中任意输入一个网址(例如,www.aaa.com),之后NAS(Network Access Server,网络接入服务器)设备会强制将该访问重定向到指定的portal认证页面(例如www.portal.com)上,让用户在指定的portal认证页面输入用户名和密码进行认证,认证通过后才可以真正的访问网络。
需要注意的是,在强制portal重定向认证过程中,在认证过程之前,需要进行DNS(Domain Name System,域名系统)域名解析过程。其中,域名解析过程需要将用户设备输入的域名,通过域名解析报文(可以为端口号为53的UDP报文或者TCP报文)发送到DNS服务器上,由DNS服务器将域名解析为IP地址返回给用户设备,用户设备根据该解析后的IP地址访问对应的网站,并被强制将该访问重定向到指定的portal认证页面。
但是,在将域名解析报文发送给DNS服务器时,由于portal认证功能的存在,在认证通过之前是不允许数据报文(例如,域名解析报文)通过NAS设备的,即不允许NAS设备将域名解析报文发送给DNS服务器。
为了解决上述问题,使得在认证通过之前可以将域名解析报文发送给DNS服务器,现有技术中可以采用以下方法:
(1)管理员预先获取到DNS服务器的IP地址,将该IP地址配置为freeIP、或者free IP加DNS知名端口53,则通过该配置结果,在认证通过前,也可以允许目的地址为DNS服务器IP地址的访问,从而完成认证前的域名解析功能。
(2)由于一般情况下与DNS服务器交互的报文都是UDP(User DatagramProtocol,用户数据包协议)或者TCP(Transmission Control Protocol,传输控制协议)的知名端口为53的报文,则NAS设备通过允许目的端口为知名端口53的报文,从而完成认证前的域名解析功能。
在实现本发明的过程中,发明人发现现有技术中至少存在以下问题:
方法(1)中,由于DNS服务器的IP地址需要管理员预先获取,并通过手工配置的方式完成,不利于NAS设备的维护,而且如果DNS服务器的IP地址发生变化时,需要管理员重新配置free IP,维护很复杂。
方法(2)中,允许知名端口号报文的方式会导致出现安全问题,甚至导致portal认证功能无法生效。例如,用户可以将实际访问的数据报文封装在DNS知名端口的报文中,由于NAS设备会放过该报文,如果在外部网络中做一个代理软件,负责接收并将这类数据报文从DNS知名端口的报文中解析出来进行转发,则用户就可以绕开portal认证直接访问网络了。
另外,在方法(1)和(2)中,无论是否有用户通过认证访问网络,则都会允许对DNS服务器的访问,从而可能导致非法用户恶意访问DNS服务器的问题。
发明内容
本发明提供一种报文的发送方法和装置,以动态发现DNS服务器地址,并根据DNS服务器地址将域名解析报文发送给DNS服务器,防止对DNS服务器的攻击。
为了达到上述目的,本发明提出了一种报文的发送方法,应用于包括NAS设备、用户设备、认证服务器、地址分配服务器和DNS服务器的认证系统中,在所述用户设备通过所述认证服务器的认证之前,所述NAS设备允许所述用户设备发送给所述认证服务器的报文以及所述用户设备发送给所述地址分配服务器的报文,并拒绝所述用户设备的其他报文,该方法包括以下步骤:
所述NAS设备侦听所述用户设备通过所述地址分配服务器获取所述DNS服务器地址的过程,并当侦听到所述地址分配服务器向所述用户设备发送的携带了所述DNS服务器地址的报文时,所述NAS设备根据所述DNS服务器地址为所述用户设备设置DNS访问规则;并根据所述DNS访问规则确定是否允许发送所述用户设备发送给所述DNS服务器的报文;如果是,允许发送所述用户设备发送给所述DNS服务器的报文;否则,丢弃所述用户设备发送给所述DNS服务器的报文。
所述DNS访问规则中包括:所述用户设备的IP地址和所述DNS服务器地址;
根据所述DNS访问规则确定允许发送所述用户设备发送给所述DNS服务器的报文,具体为:允许源IP地址为DNS访问规则中所述用户设备的IP地址、目的IP地址为DNS访问规则中所述DNS服务器地址的报文;
允许所述用户设备发送给所述认证服务器的报文,具体为:允许目的IP地址为所述认证服务器地址的报文;
允许所述用户设备发送给所述地址分配服务器的报文,具体为:允许目的IP地址为所述地址分配服务器地址的报文。
所述NAS设备根据所述DNS服务器地址为所述用户设备设置DNS访问规则,之后还包括:
当获知所述DNS服务器地址发生变化时,所述用户设备重新获取所述DNS服务器地址;
所述NAS设备侦听所述用户设备重新获取所述DNS服务器地址的过程,并根据发生变化后的DNS服务器地址更新所述DNS访问规则。
所述NAS设备根据所述DNS服务器地址为所述用户设备设置DNS访问规则,之后还包括:
如果在预设时间内所述用户设备没有通过所述认证服务器的认证时,所述NAS设备删除所述DNS访问规则。
所述NAS设备允许所述用户设备发送给所述认证服务器的报文,具体包括:
当接收到来自所述用户设备的网络访问报文时,所述NAS设备根据所述认证服务器的地址将所述网络访问报文重定向到所述认证服务器上,并由所述认证服务器对所述用户设备进行portal认证。
所述认证服务器对所述用户设备进行portal认证,之后还包括:
当所述用户设备通过portal认证时,所述NAS设备允许所述用户设备的网络访问报文。
所述携带了所述DNS服务器地址的报文包括:
在IPv4网络中,所述用户设备从DHCP服务器获取所述DNS服务器地址的过程中,所述DHCP服务器通过所述NAS设备向所述用户设备发送的ACK报文;或者,
在IPv6网络中,所述用户设备从DHCPv6服务器获取所述DNS服务器地址的过程中,所述DHCPv6服务器通过所述NAS设备向所述用户设备发送的Reply报文;或者,
在IPv6网络中,所述用户设备从路由器获取所述DNS服务器地址的过程中,所述路由器通过所述NAS设备向所述用户设备发送的RA报文。
本发明提供一种NAS设备,应用于包括所述NAS设备、用户设备、认证服务器、地址分配服务器和DNS服务器的认证系统中,在所述用户设备通过所述认证服务器的认证之前,所述NAS设备允许所述用户设备发送给所述认证服务器的报文以及所述用户设备发送给所述地址分配服务器的报文,并拒绝所述用户设备的其他报文,该NAS设备包括:
设置模块,用于侦听所述用户设备通过所述地址分配服务器获取所述DNS服务器地址的过程,并当侦听到所述地址分配服务器向所述用户设备发送的携带了所述DNS服务器地址的报文时,根据所述DNS服务器地址为所述用户设备设置DNS访问规则;
处理模块,用于根据所述DNS访问规则确定是否允许发送所述用户设备发送给所述DNS服务器的报文;如果是,允许发送所述用户设备发送给所述DNS服务器的报文;否则,丢弃所述用户设备发送给所述DNS服务器的报文。
所述DNS访问规则中包括:所述用户设备的IP地址和所述DNS服务器地址;
所述处理模块,还用于允许源IP地址为DNS访问规则中所述用户设备的IP地址、目的IP地址为DNS访问规则中所述DNS服务器地址的报文;
允许目的IP地址为所述认证服务器地址的报文;
允许目的IP地址为所述地址分配服务器地址的报文。
所述设置模块,还用于当所述DNS服务器地址发生变化,所述用户设备重新获取所述DNS服务器地址时,侦听所述用户设备重新获取所述DNS服务器地址的过程,并根据发生变化后的DNS服务器地址更新所述DNS访问规则。
所述处理模块,还用于在预设时间内所述用户设备没有通过所述认证服务器的认证时,删除所述DNS访问规则。
所述处理模块,还用于当接收到来自所述用户设备的网络访问报文时,根据所述认证服务器的地址将所述网络访问报文重定向到所述认证服务器上,并由所述认证服务器对所述用户设备进行portal认证。
所述处理模块,还用于当所述用户设备通过portal认证时,允许所述用户设备的网络访问报文。
所述携带了所述DNS服务器地址的报文包括:
在IPv4网络中,所述用户设备从DHCP服务器获取所述DNS服务器地址的过程中,所述DHCP服务器通过所述NAS设备向所述用户设备发送的ACK报文;或者,
在IPv6网络中,所述用户设备从DHCPv6服务器获取所述DNS服务器地址的过程中,所述DHCPv6服务器通过所述NAS设备向所述用户设备发送的Reply报文;或者,
在IPv6网络中,所述用户设备从路由器获取所述DNS服务器地址的过程中,所述路由器通过所述NAS设备向所述用户设备发送的RA报文。
与现有技术相比,本发明至少具有以下优点:
在用户设备获取DNS服务器地址的过程中,NAS设备动态发现DNS服务器地址,不需要通过手工配置free IP地址来实现允许用户设备访问DNS服务器,并避免了DNS服务器地址变化需要重新配置的问题,简化了网络配置,并方便了NAS设备的维护和使用。
附图说明
图1是本发明提供的一种报文的发送方法流程图;
图2是本发明中IPv4应用场景下DNS访问规则的处理过程示意图;
图3是本发明中IPv6应用场景下DNS访问规则的处理过程示意图;
图4是本发明中提出的NAS设备的结构图。
具体实施方式
现有技术中,存在以下问题:用户需要手工获取DNS服务器的IP地址,然后配置Free IP地址,并需要在DNS服务器的IP地址更新的情况下重新配置;直接允许DNS知名端口的报文带来的安全性问题;非法用户恶意访问DNS服务器的攻击行为问题。
针对上述问题,本发明中提供一种报文的发送方法和装置,NAS设备通过侦听用户设备获取DNS服务器地址的过程,以动态发现DNS服务器地址,并根据该DNS服务器地址设置DNS访问规则,以及根据DNS访问规则确定是否将来自用户设备的域名解析报文发送给DNS服务器。
本发明中,通过动态发现DNS服务器地址,不需要通过手工配置free IP地址的方式来实现允许用户设备访问DNS服务器。通过设置DNS访问规则,可以只将目的地址为DNS服务器地址的域名解析报文发送给DNS服务器,避免了直接允许DNS知名端口的报文带来的安全性问题。通过DNS访问规则确定是否将来自用户设备的域名解析报文发送给DNS服务器,使得只有满足DNS访问规则的用户设备才可以访问DNS服务器,避免非法用户恶意访问DNS服务器的攻击行为问题。
下面结合附图对本发明进行详细描述。
如图1所示,为本发明提出的一种报文的发送方法,该方法应用于包括NAS设备、用户设备、认证服务器、地址分配服务器和DNS服务器的认证系统中。其中,该认证服务器用于对各用户设备进行portal认证,该地址分配服务器用于为各用户设备分配IP地址以及DNS服务器地址,实际应用中,该地址分配服务器可以包括但不限于DHCP服务器和路由器。
本发明中,在用户设备通过认证服务器的认证之前,NAS设备可允许用户设备发送给认证服务器的报文(用于在认证服务器指定的portal认证页面上进行portal认证,即允许目的IP地址为认证服务器地址的报文)、以及用户设备发送给地址分配服务器的报文(用于从地址分配服务器获取对应的IP地址和DNS服务器地址,即允许目的IP地址为地址分配服务器地址的报文);并拒绝用户设备的其他报文,例如,网络访问报文(用于访问网络,如访问网站www.aaa.com的报文)等。
基于上述情况,该方法包括以下步骤:
步骤101,NAS设备侦听用户设备通过地址分配服务器获取DNS服务器地址的过程,并当侦听到地址分配服务器通过NAS设备向用户设备发送的携带了DNS服务器地址的报文时,NAS设备根据DNS服务器地址为用户设备设置DNS访问规则。
在实际应用中,为了访问网络,用户设备需要获取到DNS服务器地址,此时,NAS设备需要侦听用户设备获取DNS服务器地址的过程。
在IPv4网络中,当用户设备从DHCP服务器(地址分配服务器)获取自身的IP地址时,DHCP服务器需要将为用户设备分配的IP地址(IPv4地址)、DNS服务器地址、网关、以及其他网络配置参数等信息通过NAS设备发送给用户设备。
具体的,用户设备通过NAS设备向DHCP服务器发送DHCP REQUEST(请求)报文,当接收到DHCP REQUEST报文后,DHCP服务器为该用户设备分配IP地址,并通过DHCP ACK报文将该IP地址、DNS服务器地址等信息通过NAS设备发送给用户设备。
NAS设备通过侦听上述过程,当侦听到ACK报文时,则说明NAS设备接收到通过NAS设备向用户设备发送的携带了DNS服务器地址的报文(即ACK报文)。
在IPv6网络中,当用户设备从DHCPv6服务器(地址分配服务器)获取自身的IP地址时,DHCPv6服务器需要将为用户设备分配的IP地址(IPv6地址)、DNS服务器地址、网关、以及其他网络配置参数等信息通过NAS设备发送给用户设备。
具体的,用户设备通过NAS设备向DHCPv6服务器发送REQUEST报文,当接收到REQUEST报文后,DHCPv6服务器为该用户设备分配IP地址,并通过Reply报文将该IP地址、DNS服务器地址等信息通过NAS设备发送给用户设备。
NAS设备通过侦听上述过程,当侦听到Reply报文时,则说明NAS设备接收到通过NAS设备向用户设备发送的携带了DNS服务器地址的报文(即Reply报文)。
在IPv6网络中,当用户设备从路由器(地址分配服务器)上获取路由前缀信息时,路由器需要通过RA(Router Advertisement,路由器公告)报文将本地链路的配置信息(例如,网络前缀,DNS服务器地址等)通过NAS设备通知给用户设备。
NAS设备通过侦听上述过程,当侦听到RA报文时,则说明NAS设备接收到通过NAS设备向用户设备发送的携带了DNS服务器地址的报文(即RA报文)。
当然,在实际应用中,用户设备获取DNS服务器地址的过程并不局限于上述处理过程,例如,DHCPv6的有状态获取过程、DHCPv6的无状态获取过程等,不同的过程中只是侦听到的报文不同,本发明中不再详加赘述。
本发明中,根据DNS服务器地址为用户设备设置的DNS访问规则,用于在用户设备通过认证服务器的认证前,将用户设备根据DNS服务器地址发送的域名解析报文发送给DNS服务器。
步骤102,当接收到来自用户设备的域名解析报文时,NAS设备根据DNS访问规则确定是否将域名解析报文发送给DNS服务器。如果是,转到步骤103,否则,转到步骤104。
其中,当用户设备获知DNS服务器地址后,可以通过NAS设备向DNS服务器发送域名解析报文,该域名解析报文中携带了域名的相关信息,且该域名解析报文的源IP地址为该用户设备的IP地址、目的IP地址为DNS服务器地址。
具体的,当接收到用户设备的域名解析报文后,NAS设备根据DNS访问规则确定是否将域名解析报文发送给DNS服务器的方式包括:
(1)该DNS访问规则中包括用户设备的IP地址和DNS服务器地址时,NAS设备需要根据DNS访问规则中的用户设备的IP地址和DNS服务器地址匹配域名解析报文的源IP地址和目的IP地址,如果有匹配的记录时,则根据匹配结果确定将域名解析报文发送给DNS服务器,如果没有匹配的记录时,则根据匹配结果确定不需要将域名解析报文发送给DNS服务器。
(2)该DNS访问规则中包括用户设备的IP地址、DNS服务器地址、DNS服务器端口号时,NAS设备需要根据DNS访问规则匹配域名解析报文的源IP地址、目的IP地址、目的端口号。
(3)该DNS访问规则中包括用户设备的IP地址、DNS服务器地址、用户设备的接入端口时,NAS设备需要DNS访问规则匹配域名解析报文的源IP地址、目的IP地址、以及用户设备的接入端口。
(4)该DNS访问规则中包括用户设备的IP地址、DNS服务器地址、DNS服务器端口号、用户设备的接入端口时,NAS设备需要根据DNS访问规则匹配域名解析报文的源IP地址、目的IP地址、目的端口号、以及用户设备的接入端口。
综上可以看出,根据DNS访问规则的不同,需要匹配域名解析报文的内容各不相同,而DNS访问规则可以根据实际情况进行选择,只要包含DNS服务器地址即可。例如,在上述的DNS访问规则中,还可以不包括用户设备的IP地址,DNS访问规则中可以包括DNS服务器地址、DNS服务器地址和DNS服务器端口号等。
具体的,在基于用户设备的IP地址设置DNS访问规则时,需要为每个用户设备设置一个DNS访问规则,DNS访问规则的个数比较多,此时,对NAS设备的要求较高。实际应用中,如果NAS设备无法满足该条件,则可以简化DNS访问规则,即设置基于DNS服务器地址(或DNS服务器地址和DNS服务器端口号、或接入端口)的DNS访问规则,从而大量减少DNS访问规则的设置数量。
步骤103,NAS设备将域名解析报文发送给DNS服务器。
步骤104,NAS设备丢弃域名解析报文。
综上所述,本发明中,通过侦听用户设备DNS服务器地址的获取过程,实现了对DNS服务器地址的动态侦听获取,不需要通过手工配置free IP地址的方式来实现允许用户设备访问DNS服务器;通过设置允许目的地址为DNS服务器地址的报文通过的DNS访问规则,防止了直接允许所有DNS端口报文带来的安全性问题,而且使得只有满足DNS访问规则的用户设备才可以访问DNS服务器,避免非法用户恶意访问DNS服务器的攻击行为问题。
需要注意的是,本发明中,当获知DNS服务器地址发生变化时,该用户设备还需要重新获取DNS服务器地址;此时,NAS设备可以侦听到用户设备重新获取DNS服务器地址的过程,并根据发生变化后的DNS服务器地址更新DNS访问规则。例如,用户设备之前获取到DNS服务器地址1,当通过地址1进行域名解析失败时,则用户设备获知DNS服务器地址发生变化,可重新获取DNS服务器地址(例如,地址2),侦听到上述情况后,NAS设备需要使用地址2更新DNS访问规则中的地址1。
当然,实际应用中,由于多个用户设备均会通过NAS设备来获取DNS服务器地址,则用户设备获取DNS服务器地址时,如果DNS服务器地址发生变化,NAS设备能够及时感知到该变化情况,并将DNS服务器地址变化的信息及时通知给变化前DNS服务器地址对应的用户设备,该过程本发明中不再赘述。
另外,本发明中,还可以为DNS访问规则设置老化时间,即如果在预设时间内用户设备没有通过认证服务器的认证(例如,未进行portal认证或portal认证不通过)时,则NAS设备还需要删除该用户设备对应的DNS访问规则。针对多个用户设备对应同一个DNS访问规则的情况,如果预设时间内多个用户设备均没有通过认证时,则NAS设备删除该多个用户设备对应的DNS访问规则。
进一步的,当用户设备的IP地址发生变化(例如,用户设备触发releaseIP地址的操作导致用户设备释放IP地址、用户设备IP地址租期到没有续约等情况)时,则NAS设备也需要删除该用户设备对应的DNS访问规则。
综上可以看出,通过删除用户设备对应的DNS访问规则,使得该用户设备对应的域名解析报文会被拒绝,进一步防止非法用户恶意攻击DNS服务器的行为。
需要注意的是,本发明中,为了实现portal认证过程,步骤103之后还可以包括以下步骤:
步骤105,DNS服务器根据域名解析报文对域名进行解析,并将解析结果通过NAS设备返回给用户设备。
其中,在将域名解析报文发送给DNS服务器之后,则DNS服务器根据域名解析报文对域名进行解析,并将解析结果通过NAS设备返回给用户设备。
步骤106,用户设备根据该解析结果访问网络。
具体的,当用户设备获知解析结果后,可以根据该解析结果访问网络,即根据该解析结果向NAS设备发送网络访问报文(携带了解析后的IP地址,例如,域名解析时域名为www.sina.com.cn时,该IP地址为www.sina.com.cn的IP地址)。
步骤107,NAS设备判断该网络访问报文是否符合认证访问规则,如果是,转到步骤108,否则,转到步骤109。
其中,在NAS设备上需要根据用户设备的IP地址设置认证访问规则,该认证访问规则中记录了通过portal认证的用户设备的IP地址。如果在认证访问规则中记录了网络访问报文的源IP地址,则说明该用户设备已经通过portal认证,执行步骤108;否则,说明该用户设备没有通过portal认证,执行步骤109。
步骤108,NAS设备允许该用户设备的网络访问报文访问网络。
其中,由于该用户设备已经通过portal认证,则NAS设备可以放行该用户设备的网络访问报文,即可以根据www.sina.com.cn的IP地址转发该网络访问报文。
步骤109,NAS设备根据认证服务器的地址将网络访问报文重定向到认证服务器上,由认证服务器对用户设备进行portal认证。
其中,由于该用户设备没有通过portal认证,则需要对该用户设备进行portal认证,此时,NAS设备需要将网络访问报文重定向到指定的portal认证页面进行portal认证。
步骤110,当用户设备通过portal认证时,NAS设备更新认证访问规则,并将用户设备的IP地址设置为允许访问网络的源IP地址。
其中,当用户设备通过portal认证时,通过在认证访问规则中将用户设备的IP地址设置为允许访问网络的源IP地址,则对该用户设备的后续网络访问报文来说,均可以直接通过认证访问规则,并访问网络,不再需要进行portal认证。
进一步的,当用户设备没有通过portal认证时,则不会更新认证访问规则,对该用户设备的后续网络访问报文来说,仍然需要进行portal认证,从而保证未通过portal认证的用户设备不能够访问网络。
为了更加清楚的阐述本发明提供的技术方案,下面分别对IPv4和IPv6两种场景下的DNS访问规则的处理过程进行详细说明。
如图2所示,在IPv4应该场景下,包括以下步骤:
DHCP client(客户端,即用户设备)通过NAS设备向DHCP server(服务器)发送DHCP-DISCOVER(发现)报文;DHCP server通过NAS设备向DHCP client发送DHCP-OFFER(提供)报文;DHCP client通过NAS设备向DHCP server发送DHCP-REQUEST报文;DHCP server通过NAS设备向DHCPclient发送DHCP-ACK报文。
NAS设备通过侦听上述过程从ACK报文中获取DNS服务器地址,并根据DNS服务器地址为该DHCP client设置DNS访问规则,并启动老化定时器。之后,DHCP client进行正常的认证流程,该过程在此不再详加赘述。
DHCP client通过NAS设备向DHCP server发送DHCP-RELEASE报文,NAS设备通过侦听上述过程,根据RELEASE报文删除该DHCP client对应的DNS访问规则。
另外,当老化定时器到,且该DHCP client没有认证通过时,删除该DHCPclient对应的DNS访问规则。
如图3所示,在IPv6应该场景下,包括以下步骤:
DHCP client(即用户设备)通过NAS设备向DHCPv6 server发送Solicit报文;DHCPv6 server通过NAS设备向DHCP client发送Advertise报文;DHCPclient通过NAS设备向DHCPv6 server发送REQUEST报文;DHCPv6 server通过NAS设备向DHCP client发送Reply报文。
NAS设备通过侦听上述过程,从Reply报文中获取DNS服务器地址,并根据DNS服务器地址为该DHCP client设置DNS访问规则,并启动老化定时器。之后,DHCP client进行正常的认证流程,该过程在此不再详加赘述。
DHCP client通过NAS设备向DHCPv6 server发送DHCP-RELEASE报文,NAS设备通过侦听上述过程,根据RELEASE报文删除该DHCP client对应的DNS访问规则。
另外,当老化定时器到,且该DHCP client没有认证通过时,删除该DHCPclient对应的DNS访问规则。
基于与上述方法同样的发明构思,本发明还提出了一种NAS设备,应用于包括所述NAS设备、用户设备、认证服务器、地址分配服务器和DNS服务器的认证系统中,在所述用户设备通过所述认证服务器的认证之前,所述NAS设备允许所述用户设备发送给所述认证服务器的报文以及所述用户设备发送给所述地址分配服务器的报文,并拒绝所述用户设备的其他报文,如图4所示,该NAS设备包括:
设置模块11,用于侦听所述用户设备通过所述地址分配服务器获取所述DNS服务器地址的过程,并当侦听到所述地址分配服务器向所述用户设备发送的携带了所述DNS服务器地址的报文时,根据所述DNS服务器地址为所述用户设备设置DNS访问规则;
处理模块12,用于根据所述DNS访问规则允许所述用户设备发送给所述DNS服务器的报文。
所述携带了所述DNS服务器地址的报文包括:
在IPv4网络中,所述用户设备从DHCP服务器获取所述DNS服务器地址的过程中,所述DHCP服务器通过所述NAS设备向所述用户设备发送的ACK报文;或者,
在IPv6网络中,所述用户设备从DHCPv6服务器获取所述DNS服务器地址的过程中,所述DHCPv6服务器通过所述NAS设备向所述用户设备发送的Reply报文;或者,
在IPv6网络中,所述用户设备从路由器获取所述DNS服务器地址的过程中,所述路由器通过所述NAS设备向所述用户设备发送的RA报文。
所述DNS访问规则中包括:所述用户设备的IP地址和所述DNS服务器地址;
来自用户设备的域名解析报文符合所述DNS访问规则,具体为:DNS访问规则中的用户设备的IP地址与所述域名解析报文的源IP地址匹配,且所述DNS访问规则中的DNS服务器地址与所述域名解析报文的目的IP地址匹配。
本发明中,所述DNS访问规则中包括:所述用户设备的IP地址和所述DNS服务器地址;
所述处理模块12,还用于允许源IP地址为DNS访问规则中所述用户设备的IP地址、目的IP地址为DNS访问规则中所述DNS服务器地址的报文;
允许目的IP地址为所述认证服务器地址的报文;
允许目的IP地址为所述地址分配服务器地址的报文。
所述设置模块11,还用于当所述DNS服务器地址发生变化,所述用户设备重新获取所述DNS服务器地址时,侦听所述用户设备重新获取所述DNS服务器地址的过程,并根据发生变化后的DNS服务器地址更新所述DNS访问规则。
所述处理模块12,还用于在预设时间内所述用户设备没有通过所述认证服务器的认证时,删除所述DNS访问规则。
所述处理模块12,还用于当接收到来自所述用户设备的网络访问报文时,根据所述认证服务器的地址将所述网络访问报文重定向到所述认证服务器上,并由所述认证服务器对所述用户设备进行portal认证。
所述处理模块12,还用于当所述用户设备通过portal认证时,允许所述用户设备的网络访问报文。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (14)
1.一种报文的发送方法,应用于包括NAS设备、用户设备、认证服务器、地址分配服务器和DNS服务器的认证系统中,在所述用户设备通过所述认证服务器的认证之前,所述NAS设备允许所述用户设备发送给所述认证服务器的报文以及所述用户设备发送给所述地址分配服务器的报文,并拒绝所述用户设备的其他报文,其特征在于,该方法包括以下步骤:
所述NAS设备侦听所述用户设备通过所述地址分配服务器获取所述DNS服务器地址的过程,并当侦听到所述地址分配服务器向所述用户设备发送的携带了所述DNS服务器地址的报文时,所述NAS设备根据所述DNS服务器地址为所述用户设备设置DNS访问规则;并根据所述DNS访问规则确定是否允许发送所述用户设备发送给所述DNS服务器的报文;如果是,允许发送所述用户设备发送给所述DNS服务器的报文;否则,丢弃所述用户设备发送给所述DNS服务器的报文。
2.如权利要求1所述的方法,其特征在于,所述DNS访问规则中包括:所述用户设备的IP地址和所述DNS服务器地址;
根据所述DNS访问规则确定允许发送所述用户设备发送给所述DNS服务器的报文,具体为:允许源IP地址为DNS访问规则中所述用户设备的IP地址、目的IP地址为DNS访问规则中所述DNS服务器地址的报文;
允许所述用户设备发送给所述认证服务器的报文,具体为:允许目的IP地址为所述认证服务器地址的报文;
允许所述用户设备发送给所述地址分配服务器的报文,具体为:允许目的IP地址为所述地址分配服务器地址的报文。
3.如权利要求1所述的方法,其特征在于,所述NAS设备根据所述DNS服务器地址为所述用户设备设置DNS访问规则,之后还包括:
当获知所述DNS服务器地址发生变化时,所述用户设备重新获取所述DNS服务器地址;
所述NAS设备侦听所述用户设备重新获取所述DNS服务器地址的过程,并根据发生变化后的DNS服务器地址更新所述DNS访问规则。
4.如权利要求1所述的方法,其特征在于,所述NAS设备根据所述DNS服务器地址为所述用户设备设置DNS访问规则,之后还包括:
如果在预设时间内所述用户设备没有通过所述认证服务器的认证时,所述NAS设备删除所述DNS访问规则。
5.如权利要求1所述的方法,其特征在于,所述NAS设备允许所述用户设备发送给所述认证服务器的报文,具体包括:
当接收到来自所述用户设备的网络访问报文时,所述NAS设备根据所述认证服务器的地址将所述网络访问报文重定向到所述认证服务器上,并由所述认证服务器对所述用户设备进行portal认证。
6.如权利要求5所述的方法,其特征在于,所述认证服务器对所述用户设备进行portal认证,之后还包括:
当所述用户设备通过portal认证时,所述NAS设备允许所述用户设备的网络访问报文。
7.如权利要求1所述的方法,其特征在于,所述携带了所述DNS服务器地址的报文包括:
在IPv4网络中,所述用户设备从DHCP服务器获取所述DNS服务器地址的过程中,所述DHCP服务器通过所述NAS设备向所述用户设备发送的ACK报文;或者,
在IPv6网络中,所述用户设备从DHCPv6服务器获取所述DNS服务器地址的过程中,所述DHCPv6服务器通过所述NAS设备向所述用户设备发送的Reply报文;或者,
在IPv6网络中,所述用户设备从路由器获取所述DNS服务器地址的过程中,所述路由器通过所述NAS设备向所述用户设备发送的RA报文。
8.一种NAS设备,应用于包括所述NAS设备、用户设备、认证服务器、地址分配服务器和DNS服务器的认证系统中,在所述用户设备通过所述认证服务器的认证之前,所述NAS设备允许所述用户设备发送给所述认证服务器的报文以及所述用户设备发送给所述地址分配服务器的报文,并拒绝所述用户设备的其他报文,其特征在于,该NAS设备包括:
设置模块,用于侦听所述用户设备通过所述地址分配服务器获取所述DNS服务器地址的过程,并当侦听到所述地址分配服务器向所述用户设备发送的携带了所述DNS服务器地址的报文时,根据所述DNS服务器地址为所述用户设备设置DNS访问规则;
处理模块,用于根据所述DNS访问规则确定是否允许发送所述用户设备发送给所述DNS服务器的报文;如果是,允许发送所述用户设备发送给所述DNS服务器的报文;否则,丢弃所述用户设备发送给所述DNS服务器的报文。
9.如权利要求8所述的NAS设备,其特征在于,所述DNS访问规则中包括:所述用户设备的IP地址和所述DNS服务器地址;
所述处理模块,还用于允许源IP地址为DNS访问规则中所述用户设备的IP地址、目的IP地址为DNS访问规则中所述DNS服务器地址的报文;
允许目的IP地址为所述认证服务器地址的报文;
允许目的IP地址为所述地址分配服务器地址的报文。
10.如权利要求8所述的NAS设备,其特征在于,
所述设置模块,还用于当所述DNS服务器地址发生变化,所述用户设备重新获取所述DNS服务器地址时,侦听所述用户设备重新获取所述DNS服务器地址的过程,并根据发生变化后的DNS服务器地址更新所述DNS访问规则。
11.如权利要求8所述的NAS设备,其特征在于,
所述处理模块,还用于在预设时间内所述用户设备没有通过所述认证服务器的认证时,删除所述DNS访问规则。
12.如权利要求8所述的NAS设备,其特征在于,
所述处理模块,还用于当接收到来自所述用户设备的网络访问报文时,根据所述认证服务器的地址将所述网络访问报文重定向到所述认证服务器上,并由所述认证服务器对所述用户设备进行portal认证。
13.如权利要求12所述的NAS设备,其特征在于,
所述处理模块,还用于当所述用户设备通过portal认证时,允许所述用户设备的网络访问报文。
14.如权利要求8所述的NAS设备,其特征在于,所述携带了所述DNS服务器地址的报文包括:
在IPv4网络中,所述用户设备从DHCP服务器获取所述DNS服务器地址的过程中,所述DHCP服务器通过所述NAS设备向所述用户设备发送的ACK报文;或者,
在IPv6网络中,所述用户设备从DHCPv6服务器获取所述DNS服务器地址的过程中,所述DHCPv6服务器通过所述NAS设备向所述用户设备发送的Reply报文;或者,
在IPv6网络中,所述用户设备从路由器获取所述DNS服务器地址的过程中,所述路由器通过所述NAS设备向所述用户设备发送的RA报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105029351A CN101945053B (zh) | 2010-10-12 | 2010-10-12 | 一种报文的发送方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105029351A CN101945053B (zh) | 2010-10-12 | 2010-10-12 | 一种报文的发送方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101945053A CN101945053A (zh) | 2011-01-12 |
| CN101945053B true CN101945053B (zh) | 2012-11-28 |
Family
ID=43436834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105029351A Active CN101945053B (zh) | 2010-10-12 | 2010-10-12 | 一种报文的发送方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101945053B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179100B (zh) * | 2011-12-26 | 2016-09-07 | 中国移动通信集团广西有限公司 | 一种防止域名系统隧道攻击的方法及设备 |
| CN102884764B (zh) | 2012-06-30 | 2015-05-27 | 华为技术有限公司 | 一种报文接收方法、深度包检测设备及系统 |
| CN104102462A (zh) * | 2014-08-08 | 2014-10-15 | 林任任 | 一种自助远程智能打印系统 |
| CN105554170B (zh) * | 2015-12-09 | 2019-06-14 | 福建星网锐捷网络有限公司 | 一种dns报文的处理方法、装置及系统 |
| WO2021108993A1 (en) * | 2019-12-03 | 2021-06-10 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for load control of domain name system server |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1403952A (zh) * | 2002-09-24 | 2003-03-19 | 武汉邮电科学研究院 | 一种以太网认证接入的方法 |
| CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| EP1965540A1 (en) * | 2005-12-15 | 2008-09-03 | Alcatel Lucent | A method and network device for configuring the domain name in ipv6 access network |
-
2010
- 2010-10-12 CN CN2010105029351A patent/CN101945053B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1403952A (zh) * | 2002-09-24 | 2003-03-19 | 武汉邮电科学研究院 | 一种以太网认证接入的方法 |
| EP1965540A1 (en) * | 2005-12-15 | 2008-09-03 | Alcatel Lucent | A method and network device for configuring the domain name in ipv6 access network |
| CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101945053A (zh) | 2011-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US9515988B2 (en) | Device and method for split DNS communications | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
| CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| WO2011065708A2 (ko) | IPv6 주소 및 접속정책 관리 시스템 및 방법 | |
| CN101729500B (zh) | 一种ip会话标识方法、装置和系统 | |
| CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
| CN102884764A (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| CN109862130B (zh) | 一种访问IPv4外链方法、装置、设备及计算机介质 | |
| CN101945053B (zh) | 一种报文的发送方法和装置 | |
| KR101682513B1 (ko) | 다중-코어 플랫폼들을 위한 dns 프록시 서비스 | |
| CN112910863A (zh) | 一种网络溯源方法及系统 | |
| US7987255B2 (en) | Distributed denial of service congestion recovery using split horizon DNS | |
| US7916733B2 (en) | Data communication apparatus, data communication method, program, and storage medium | |
| CN103795581A (zh) | 地址处理方法和设备 | |
| CN105049546A (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
| CN109067729B (zh) | 一种认证方法及装置 | |
| CN109167758A (zh) | 一种报文处理方法及装置 | |
| JP6484166B2 (ja) | 名前解決装置、名前解決方法及び名前解決プログラム | |
| WO2016177185A1 (zh) | 媒体访问控制mac地址的处理方法及装置 | |
| Naaz et al. | Investigating DHCP and DNS Protocols Using Wireshark | |
| CN102299860B (zh) | 一种Pathmtu的获取方法和设备 | |
| CN108307683B (zh) | 通讯方法、微基站、微基站控制器、终端和系统 | |
| CN116489123A (zh) | 一种基于工业互联网标识的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |