CN111263364B - WiFi认证方法、系统、DNS服务器和计算机可存储介质 - Google Patents
WiFi认证方法、系统、DNS服务器和计算机可存储介质 Download PDFInfo
- Publication number
- CN111263364B CN111263364B CN201811464290.XA CN201811464290A CN111263364B CN 111263364 B CN111263364 B CN 111263364B CN 201811464290 A CN201811464290 A CN 201811464290A CN 111263364 B CN111263364 B CN 111263364B
- Authority
- CN
- China
- Prior art keywords
- authentication
- dns
- server
- terminal
- wifi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开涉及一种WiFi认证方法、系统、DNS服务器和计算机可存储介质,涉及通信网络技术领域。WiFi认证方法,由DNS服务器执行,所述WiFi认证方法包括:接收来自接入控制设备的DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端,其中,所述认证处理包括:判断网络流量的大小;在网络流量小于阈值的情况下,执行免认证处理;在网络流量大于等于阈值的情况下,启动中继认证处理。本公开能够根据不同的网络流量进行不同的认证处理,兼顾了认证效率和安全性。
Description
技术领域
本公开涉及通信网络技术领域,特别涉及一种WiFi认证方法、系统、DNS服务器和计算机可读存储介质。
背景技术
随着WiFi热点网络的广泛部署,物联网终端通过WiFi热点连接物联网平台成为快速部署物联网终端组网的常见方式之一。
目前,Portal认证和基于MAC地址免认证是物联网终端通过WiFi热点网络访问物联网平台场景中较为广泛运用的WiFi认证方法。
Portal认证需要接入控制设备访问Portal认证服务器,portal认证服务器通过向物联网终端用户返回一个Portal认证页面,用户在Portal认证页面上输入匹配的验证信息并提交认证请求,才能接入WiFi热点网络。
基于MAC地址免认证将免认证地址范围登记在接入控制设备的后台数据库系统中,通过判断物联网终端的MAC地址是否存在于已登记的免认证地址范围内,进而判断是否允许物联网终端通过WiFi连接到物联网平台。
发明内容
发明人认为:Portal认证需要人工手动操作以输入匹配的验证信息,才能够完成认证过程,操作过程复杂,认证效率低。另外,物联网终端数量巨大,一般不需要人为干预,无法简单使用Portal认证接入WiFi热点网络。基于MAC地址免认证的WiFi认证方法则会产生大量的MAC地址,难于管理。
针对上述技术问题,本公开提出了一种WiFi认证方法、系统、DNS服务器和计算机可读存储介质,能够根据不同的网络流量进行不同的认证处理,兼顾了认证效率和安全性。
根据本公开的第一方面,提供了一种WiFi认证方法,由DNS服务器执行,所述WiFi认证方法包括:接收来自接入控制设备的DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端。所述认证处理包括:判断网络流量的大小;在网络流量小于阈值的情况下,执行免认证处理;在网络流量大于等于阈值的情况下,启动中继认证处理。
在一些实施例中,所述免认证处理包括:拆除所述DNS隧道,得到所述IP报文;将所述IP报文发送至所述服务端。
在一些实施例中,所述中继认证处理包括:向AAA服务器发送认证请求和所述IP报文包括的所述终端的身份信息,以便所述AAA服务器根据所述身份信息进行认证;从所述AAA服务器接收认证的结果;根据认证的结果通知所述接入控制设备是否授权所述终端访问所述服务端。
在一些实施例中,所述身份信息包括所述终端的ID和MAC地址中的至少一种。
在一些实施例中,所述网络流量为所述终端向所述服务端请求的数据包字节数;所述DNS隧道中包括TC字段,所述TC字段为第一值表示所述数据包字节数小于所述阈值,所述TC字段为第二值表示所述数据包字节数大于等于所述阈值。
在一些实施例中,WiFi认证方法还包括:监听通过TCP端口的数据包字节数,所述数据包字节数反映所述网络流量。在通过所述TCP端口的数据包字节数小于所述阈值的情况下,判断所述网络流量小于所述阈值;在通过所述TCP端口的数据包字节数大于等于所述阈值的情况下,判断所述网络流量大于等于所述阈值。
在一些实施例中,所述IP报文包括所述接入控制设备为所述终端分配的IP地址。
在一些实施例中,所述接入控制设备包括BRAS设备和AC设备中的至少一种。
在一些实施例中,所述DNS隧道由所述终端生成。
根据本公开的第二方面,提供了一种DNS服务器,包括:接收模块,被配置为接收来自接入控制设备的DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;认证模块,被配置为根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端。所述认证处理包括:判断网络流量的大小;在网络流量小于阈值的情况下,执行免认证处理;在网络流量大于等于阈值的情况下,启动中继认证处理。
根据本公开的第三方面,提供了一种DNS服务器,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令,执行上述任一实施例所述的WiFi认证方法。
根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述任一实施例所述的WiFi认证方法。
根据本公开的第五方面,提供了一种WiFi认证方法,包括:接入控制设备发送DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;DNS服务器接收所述DNS隧道,并根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端,。所述认证处理包括:所述DNS服务器判断网络流量的大小;在网络流量小于阈值的情况下,所述DNS服务器执行免认证处理;在网络流量为大于等于阈值的情况下,所述DNS服务器启动中继认证处理。
在一些实施例中,所述免认证处理包括:拆除所述DNS隧道,得到所述IP报文;将所述IP报文发送至所述服务端。
在一些实施例中,所述中继认证处理包括:所述DNS服务器发送认证请求和所述IP报文包括的所述终端的身份信息;AAA服务器接收所述认证请求和所述身份信息,根据所述身份信息进行认证,并将认证的结果发送给所述DNS服务器;所述DNS服务器根据认证的结果通知所述接入控制设备是否授权所述终端访问所述服务端。
根据本公开的第六方面,提供了一种WiFi认证系统,包括:接入控制设备,被配置为发送DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;DNS服务器,被配置为接收所述DNS隧道,并根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端。所述认证处理包括:判断网络流量的大小;在网络流量小于阈值的情况下,执行免认证处理;在网络流量大于等于阈值的情况下,启动中继认证处理。
在一些实施例中,所述免认证处理包括:拆除所述DNS隧道,得到所述IP报文,并将所述IP报文发送至所述服务端。
在一些实施例中,WiFi认证系统还包括AAA服务器。所述中继认证处理包括:所述DNS服务器发送认证请求和所述IP报文包括的所述终端的身份信息;所述AAA服务器接收所述认证请求和所述身份信息,根据所述身份信息进行认证,并将认证的结果发送至所述DNS服务器;所述DNS服务器根据认证的结果通知所述接入控制设备是否授权所述终端访问所述服务端。
在上述实施例中,通过根据不同的网络流量进行不同的认证处理,兼顾了认证效率和安全性。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1示出根据本公开一些实施例的WiFi认证方法的流程图;
图2示出根据本公开一些实施例的DNS隧道的示意图;
图3示出根据本公开另一些实施例的WiFi认证方法的流程图;
图4示出根据本公开一些实施例的免认证处理的流程图;
图5示出根据本公开一些实施例的中继认证处理的流程图;
图6示出根据本公开再一些实施例的WiFi认证方法的信令图;
图7示出根据本公开一些实施例的DNS服务器的框图;
图8示出根据本公开另一些实施例的DNS服务器的框图;
图9示出用于实现本公开一些实施例的计算机系统的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出根据本公开一些实施例的WiFi认证方法的流程图。
如图1所示,WiFi认证方法包括:步骤110~步骤120。WiFi认证方法由DNS(DomainName System,域名系统)服务器执行。DNS服务器例如属于WiFi运营商。
在步骤110中,DNS服务器接收来自接入控制设备的DNS隧道。DNS隧道通过将终端的IP报文封装在DNS报文中形成。例如,DNS隧道由终端生成。在一些实施例中,IP报文包括接入控制设备为终端分配的IP地址。接入控制设备可以包括BRAS设备和AC设备中的至少一种。
图2示出根据本公开一些实施例的DNS隧道的示意图。
如图2所示,DNS隧道包括DNS报头和内层IP净荷。DNS报头包括T-ID、Flag以及查询参数。内层IP净荷中封装有IP报文。T-ID为标识字段,在T-ID的值为同一值的情况下,终端发送的请求和返回终端的应答表示同一个会话。Flag为标志字段,包括QR、opcode、AA、TC、RD、RA、(zero)以及rcode等属性。
DNS报文中Flag的各属性的一般定义如表1所示。在本公开设计的DNS隧道中,重新定义了Flag标志的属性或属性值。在本公开设计的DNS隧道中,QR=1表示DNS隧道为响应报文,opcode=15表示DNS隧道用于认证,TC的值表示网络流量的大小。本公开在QR=1且不存在与DNS隧道的T-ID值相同的查询报文的情况下,触发DNS服务器检查opcode字段,在opcode字段为15的情况下进行认证处理。在认证处理中,可以根据TC的值来判断网络流量的大小。例如,TC等于0表示网络流量小于预设阈值,TC=1表示网络流量大于等于预设阈值。
表1 Flag的各属性的一般定义
| 属性 | 定义 |
| QR(1比特) | 查询/相应标志,0为查询,1为响应 |
| opcode(4比特) | 0表示标准查询,1表示反向查询,2表示服务器状态请求 |
| AA(1比特) | 表示授权回答 |
| TC(1比特) | 表示可截断的 |
| RD(1比特) | 表示期望递归 |
| RA(1比特) | 表示可用递归 |
| (zero)(3比特) | 保留值(暂未使用) |
| rcode(4比特) | 表示返回码,0表示没有差错,3表示名字差错,2表示服务器错误(Sever Failure) |
在步骤120中,DNS服务器根据DNS隧道进行认证处理,以便确定是否授权终端访问服务端。
图3示出根据本公开另一些实施例的WiFi认证方法的流程图。
如图3所示,认证处理包括:步骤121~步骤123。图3与图1的不同之处在于,示出了图1的认证处理步骤120的具体实现方式。下面将仅描述图3与图1的不同之处,相同之处不再赘述。
在步骤121中,DNS服务器判断网络流量的大小。
在一些实施例中,网络流量的大小为终端向服务端请求的数据包字节数。终端向服务端请求的数据包字节数与终端发送给服务端的DNS隧道的长度正相关。DNS隧道中包括的TC字段可用于衡量终端向服务端请求的数据包字节数,即,通过TC字段的值可判断网络流量的大小。TC字段为第一值表示数据包字节数小于预设阈值,即网络流量小于预设阈值。此种情况下,执行步骤122,即DNS服务器执行免认证处理。
TC字段为第二值表示数据包字节数大于等于预设阈值,即网络流量大于等于预设阈值。此种情况下,执行步骤123,即DNS服务器启动中继认证处理。第一值、第二值取值例如可以是0、1或者1、0。应当理解,此处的预设阈值可根据需要自行设定。
在另一些实施例中,DNS服务器监听通过DNS服务器的TCP(Transmission ControlProtocol传输控制协议)端口的数据包字节数,并以通过TCP端口的数据包字节数反映网络流量的大小。通过TCP端口的数据包字节数与终端发送给服务端的DNS隧道的长度正相关。在通过TCP端口的数据包字节数小于预设阈值的情况下,DNS服务器判断网络流量小于预设阈值。此种情况下,执行步骤122。
在通过TCP端口的数据包字节数大于等于预设阈值的情况下,DNS服务器判断网络流量大于等于预设阈值。此种情况下,执行步骤123。应当理解,此处的预设阈值可根据需要自行设定,例如可以是256字节。
在上述实施例中,本公开根据不同的网络流量进行不同的认证处理,兼顾了认证效率和安全性。
图4示出根据本公开一些实施例的免认证处理的流程图。
如图4所示,免认证处理包括步骤1221~步骤1222。
在步骤1221中,DNS服务器拆除DNS隧道,得到封装在DNS隧道中的IP报文。
在步骤1222中,DNS服务器将拆除DNS隧道得到的IP报文发送至服务端。
在上述实施例中,免认证处理无需管理大量的MAC地址,解决了现有的基于MAC地址免认证方法中的MAC地址量大,难于管理的技术问题。
图5示出根据本公开一些实施例的中继认证处理的流程图。
如图5所示,中继认证处理包括步骤1231~步骤1233。
在步骤1231中,DNS服务器向AAA(Authentication、Authorization、Accounting,验证、授权、记账)服务器发送认证请求和从IP报文中提取的终端的身份信息,以便AAA服务器根据终端的身份信息进行认证。认证请求可以是Radius认证请求。AAA服务器例如可以将用户侧的终端的身份信息提前录入到数据库中,用于中继认证处理。在一些实施例中,终端的身份信息包含在IP报文。身份信息例如包括终端的ID和MAC地址中的至少一种。
在步骤1232中,DNS服务器从AAA服务器接收认证的结果。
在步骤1233中,DNS服务器根据认证的结果通知接入控制设备是否授权终端访问服务端。在认证的结果为通过的情况下,DNS服务器通知接入控制设备授权终端访问服务端。在认证的结果为不通过的情况下,DNS服务器通知接入控制设备不予授权终端访问服务端。
在一些实施例中,DNS服务器还可以将认证的结果转发给接入控制设备,由接入控制设备根据认证的结果来确定是否授权终端访问服务端。在认证的结果为通过的情况下,接入控制设备授权终端访问服务端。在认证的结果为不通过的情况下,接入控制设备不予授权终端访问服务端。
图6示出根据本公开再一些实施例的WiFi认证方法的信令图。
如图6所示,WiFi认证方法包括步骤S600~步骤S666。
在步骤S600中,接入控制设备610在认证前为终端600分配IP地址。
在步骤S610中,终端600根据接入控制设备610分配的IP地址,生成IP报文,并将IP报文封装在终端600的DNS报文形成DNS隧道。
在步骤S620中,终端600发送DNS隧道至接入控制设备610。
在步骤S630中,接入控制设备610转发DNS隧道至DNS服务器620。
在步骤S640中,DNS服务器620根据该DNS隧道判断网络流量的大小。
在网络流量小于预设阈值的情况下,执行步骤S650~步骤S656。
在步骤S650中,DNS服务器620拆除DNS隧道,得到封装在DNS隧道中的IP报文。
在步骤S651中,DNS服务器620将IP报文发送至服务端640。
在步骤S652中,服务端640根据IP报文生成IP应答报文,并将IP应答报文发送至DNS服务器620,由DNS服务器620进行网络地址转换或者地址代理。
在步骤S653中,DNS服务器620将IP应答报文封装在DNS隧道中。
在步骤S654中,DNS服务器620发送DNS隧道至接入控制设备610。
在步骤S655中,接入控制设备610转发DNS隧道至终端600。
在步骤S656中,终端600从DNS隧道获取IP应答报文,实现终端600通过WiFi访问服务端640的目的。
在网络流量小于预设阈值的情况下,终端每次访问服务端都要执行上述处理流程。在上述处理流程中,DNS服务器执行免认证处理,即,无需对终端进行认证,就可实现终端访问服务端的目的。
在网络流量大于等于预设阈值的情况下,执行步骤S660~步骤S666。
在步骤S660中,DNS服务器620向AAA服务器630发送认证请求和终端600的身份信息。
在步骤S661中,AAA服务器630根据身份信息进行认证。
在步骤S662中,AAA服务器630发送认证的结果至DNS服务器620。
在步骤S663中,DNS服务器620根据认证的结果通知接入控制设备610是否授权终端600访问服务端640。在认证的结果为通过的情况下,DNS服务器通知接入控制设备授权终端访问服务端。在认证的结果为不通过的情况下,DNS服务器通知接入控制设备不予授权终端访问服务端。
在步骤S664中,接入控制设备610根据通知的结果确定是否授权终端600访问服务端640。在通知的结果为授权的情况下,接入控制设备610授权终端600访问服务端640,终端600可执行步骤S665。在通知的结果为不予授权的情况下,接入控制设备610不予授权终端600访问服务端640。
在步骤S665中,接入控制设备610授权终端600访问服务端640。
在步骤S666中,被授权后,终端600通过WiFi访问服务端640。
在网络流量大于等于预设阈值的情况下,需要执行上述认证处理流程。认证通过后,终端可直接访问服务端而无需再次认证。在上述认证处理流程中,DNS服务器启动中继认证处理,AAA服务器进行认证并将认证的结果发送给DNS服务器。在接入控制设备监测到长时间没有网络流量的情况下,则将该终端标志为下线。此种情况下,当终端再次请求访问服务端时,需要重新执行上述认证处理流程。
如图6所示,接入控制设备610、DNS服务器620以及AAA服务器630可以构成一个WiFi认证系统,用于执行上述实施例中的认证处理,实现终端通过WiFi访问服务端的目的。
图7示出根据本公开的一些实施例的DNS服务器的框图。
如图7所示,DNS服务器7包括:接收模块71,被配置为接收来自接入控制设备的DNS隧道,DNS隧道通过将终端的IP报文封装在DNS报文中形成;认证模块72,被配置为根据DNS隧道进行认证处理,以便确定是否授权终端访问服务端。
图8示出根据本公开的另一些实施例的DNS服务器的框图。
如图8所示,DNS服务器8包括:存储器81;以及耦接至该存储器81的处理器82,存储器81用于存储执行WiFi认证方法对应实施例的指令。处理器82被配置为基于存储在存储器81中的指令,执行本公开中任意一些实施例中的WiFi认证方法。
除了WiFi认证方法、装置之外,本公开实施例还可采用在一个或多个包含有计算机程序指令的非易失性存储介质上实施的计算机程序产品的形式。因此,本公开实施例还包括一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现前述任意实施例中的WiFi认证方法。
图9是示出用于实现本公开一些实施例的计算机系统的框图。
如图9所示,计算机系统90可以通用计算设备的形式表现。计算机系统90包括存储器910、处理器920和连接不同系统组件的总线900。
存储器910例如可以包括系统存储器、非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。系统存储器可以包括易失性存储介质,例如随机存取存储器(RAM)和/或高速缓存存储器。非易失性存储介质例如存储有执行WiFi认证方法的对应实施例的指令。非易失性存储介质包括但不限于磁盘存储器、光学存储器、闪存等。
处理器920可以用通用处理器、数字信号处理器(DSP)、应用专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。相应地,诸如判断模块和确定模块的每个模块,可以通过中央处理器(CPU)运行存储器中执行相应步骤的指令来实现,也可以通过执行相应步骤的专用电路来实现。
总线900可以使用多种总线结构中的任意总线结构。例如,总线结构包括但不限于工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、外围组件互连(PCI)总线。
计算机系统90还可以包括输入输出接口930、网络接口940、存储接口950等。这些接口930、940、950以及存储器910和处理器920之间可以通过总线900连接。输入输出接口930可以为显示器、鼠标、键盘等输入输出设备提供连接接口。网络接口940为各种联网设备提供连接接口。存储接口940为软盘、U盘、SD卡等外部存储设备提供连接接口。
这里,参照根据本公开实施例的方法、装置和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个框以及各框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可提供到通用计算机、专用计算机或其他可编程装置的处理器,以产生一个机器,使得通过处理器执行指令产生实现在流程图和/或框图中一个或多个框中指定的功能的装置。
这些计算机可读程序指令也可存储在计算机可读存储器中,这些指令使得计算机以特定方式工作,从而产生一个制造品,包括实现在流程图和/或框图中一个或多个框中指定的功能的指令。
本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
通过上述实施例中的WiFi认证系统以及DNS服务器,结合如上所述的WiFi认证方法,能实现终端自动认证接入WiFi热点访问服务端的目的。这种WiFi认证方法能够根据不同的网络流量进行不同的认证处理,兼顾了认证效率和安全性。
进一步地,本公开在网络流量小于预设阈值的情况下,DNS服务器进行免认证处理,无需基于MAC地址进行认证,解决了MAC地址量大,难于管理的问题。在免认证处理的情况下,DNS服务器能够控制DNS隧道方向,使得终端只能访问所请求的服务端应用,采用应用限制的方式防止安全问题。本公开的WiFi认证方法,无需人工手动操作,在一定程度上提高了WiFi认证效率。另外,本公开提出的WiFi认证方法中,接入控制设备不再承担认证功能,而是由DNS服务器进行认证处理。这种方法无需对接入控制设备进行改造,只需要对DNS服务器进行软件升级,同时,可升级终端以支持此功能,具有兼容性。
至此,已经详细描述了根据本公开的WiFi认证方法、系统、DNS服务器和计算机可存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
Claims (18)
1.一种WiFi认证方法,由DNS服务器执行,所述WiFi认证方法包括:
接收来自接入控制设备的DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;
根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端,其中,所述认证处理包括:
判断网络流量的大小;
在网络流量小于阈值的情况下,执行免认证处理;
在网络流量大于等于阈值的情况下,启动中继认证处理。
2.根据权利要求1所述的WiFi认证方法,其中,所述免认证处理包括:
拆除所述DNS隧道,得到所述IP报文;
将所述IP报文发送至所述服务端。
3.根据权利要求1所述的WiFi认证方法,其中,所述中继认证处理包括:
向AAA服务器发送认证请求和所述IP报文包括的所述终端的身份信息,以便所述AAA服务器根据所述身份信息进行认证;
从所述AAA服务器接收认证的结果;
根据认证的结果通知所述接入控制设备是否授权所述终端访问所述服务端。
4.根据权利要求3所述的WiFi认证方法,其中,所述身份信息包括所述终端的ID和MAC地址中的至少一种。
5.根据权利要求1所述的WiFi认证方法,其中:
所述网络流量为所述终端向所述服务端请求的数据包字节数;所述DNS隧道中包括TC字段,所述TC字段为第一值表示所述数据包字节数小于所述阈值,所述TC字段为第二值表示所述数据包字节数大于等于所述阈值。
6.根据权利要求1所述的WiFi认证方法,还包括:监听通过TCP端口的数据包字节数,所述数据包字节数反映所述网络流量,其中,
在通过所述TCP端口的数据包字节数小于所述阈值的情况下,判断所述网络流量小于所述阈值;
在通过所述TCP端口的数据包字节数大于等于所述阈值的情况下,判断所述网络流量大于等于所述阈值。
7.根据权利要求1所述的WiFi认证方法,其中,所述IP报文包括所述接入控制设备为所述终端分配的IP地址。
8.根据权利要求1所述的WiFi认证方法,其中,所述接入控制设备包括BRAS设备和AC设备中的至少一种。
9.根据权利要求1所述的WiFi认证方法,其中,所述DNS隧道由所述终端生成。
10.一种DNS服务器,包括:
接收模块,被配置为接收来自接入控制设备的DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;
认证模块,被配置为根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端,其中,所述认证处理包括:
判断网络流量的大小;
在网络流量小于阈值的情况下,执行免认证处理;
在网络流量大于等于阈值的情况下,启动中继认证处理。
11.一种DNS服务器,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令,执行如权利要求1至9任一项所述的WiFi认证方法。
12.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至9任一项所述的WiFi认证方法。
13.一种WiFi认证方法,包括:
接入控制设备发送DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;
DNS服务器接收所述DNS隧道,并根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端,其中,所述认证处理包括:
所述DNS服务器判断网络流量的大小;
在网络流量小于阈值的情况下,所述DNS服务器执行免认证处理;
在网络流量为大于等于阈值的情况下,所述DNS服务器启动中继认证处理。
14.根据权利要求13所述的WiFi认证方法,其中,所述免认证处理包括:
拆除所述DNS隧道,得到所述IP报文;
将所述IP报文发送至所述服务端。
15.根据权利要求13所述的WiFi认证方法,所述中继认证处理包括:
所述DNS服务器发送认证请求和所述IP报文包括的所述终端的身份信息;
AAA服务器接收所述认证请求和所述身份信息,根据所述身份信息进行认证,并将认证的结果发送给所述DNS服务器;
所述DNS服务器根据认证的结果通知所述接入控制设备是否授权所述终端访问所述服务端。
16.一种WiFi认证系统,包括:
接入控制设备,被配置为发送DNS隧道,所述DNS隧道通过将终端的IP报文封装在DNS报文中形成;
DNS服务器,被配置为接收所述DNS隧道,并根据所述DNS隧道进行认证处理,以便确定是否授权所述终端访问服务端,其中,所述认证处理包括:
判断网络流量的大小;
在网络流量小于阈值的情况下,执行免认证处理;
在网络流量大于等于阈值的情况下,启动中继认证处理。
17.根据权利要求16所述的WiFi认证系统,其中,所述免认证处理包括:
拆除所述DNS隧道,得到所述IP报文,并将所述IP报文发送至所述服务端。
18.根据权利要求17所述的WiFi认证系统,还包括AAA服务器,其中,所述中继认证处理包括:
所述DNS服务器发送认证请求和所述IP报文包括的所述终端的身份信息;
所述AAA服务器接收所述认证请求和所述身份信息,根据所述身份信息进行认证,并将认证的结果发送至所述DNS服务器;
所述DNS服务器根据认证的结果通知所述接入控制设备是否授权所述终端访问所述服务端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811464290.XA CN111263364B (zh) | 2018-12-03 | 2018-12-03 | WiFi认证方法、系统、DNS服务器和计算机可存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811464290.XA CN111263364B (zh) | 2018-12-03 | 2018-12-03 | WiFi认证方法、系统、DNS服务器和计算机可存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111263364A CN111263364A (zh) | 2020-06-09 |
| CN111263364B true CN111263364B (zh) | 2022-08-02 |
Family
ID=70953635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811464290.XA Active CN111263364B (zh) | 2018-12-03 | 2018-12-03 | WiFi认证方法、系统、DNS服务器和计算机可存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111263364B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
| CN105592046A (zh) * | 2015-08-25 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种免认证访问方法和装置 |
| CN107295006A (zh) * | 2017-07-28 | 2017-10-24 | 上海斐讯数据通信技术有限公司 | 免认证访问url的方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| WO2007000179A1 (en) * | 2005-06-29 | 2007-01-04 | Telecom Italia S.P.A. | Short authentication procedure in wireless data communications networks |
| US10270755B2 (en) * | 2011-10-03 | 2019-04-23 | Verisign, Inc. | Authenticated name resolution |
-
2018
- 2018-12-03 CN CN201811464290.XA patent/CN111263364B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
| CN105592046A (zh) * | 2015-08-25 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种免认证访问方法和装置 |
| CN107295006A (zh) * | 2017-07-28 | 2017-10-24 | 上海斐讯数据通信技术有限公司 | 免认证访问url的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| S2-090795 "Identification of Emergency NAS Requests in EPS";Nokia Siemens Networks;《3GPP tsg_sa\WG2_Arch》;20090117;全文 * |
| 公共图书馆WiFi网络应用Portal认证技术的研究;陆飞杰等;《农业图书情报学刊》;20170531(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111263364A (zh) | 2020-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113596184B (zh) | 混合云系统、网闸、网络访问方法及存储介质 | |
| WO2021057889A1 (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| EP3800934A1 (en) | Method for routing internet of things service | |
| US10574673B2 (en) | Network attack determination method, secure network data transmission method, and corresponding apparatus | |
| CN108881228B (zh) | 云端注册激活方法、装置、设备和存储介质 | |
| CN112217771B (zh) | 基于租户信息的数据转发方法及数据转发装置 | |
| CN109067930A (zh) | 域名接入方法、域名解析方法、服务器、终端及存储介质 | |
| WO2018228069A1 (zh) | 基于bras系统的报文封装方法及装置 | |
| CN112995163B (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
| CN112272164B (zh) | 报文处理方法及装置 | |
| CN111917900A (zh) | 一种域名代理的请求处理方法及装置 | |
| CN112995166A (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
| CN104168140A (zh) | Vtep异常情况处理方法及装置 | |
| CN113242331A (zh) | 不同类型的地址转换方法、装置、计算机设备及存储介质 | |
| CN110474922B (zh) | 一种通信方法、pc系统及接入控制路由器 | |
| CN112995164B (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
| CN111263364B (zh) | WiFi认证方法、系统、DNS服务器和计算机可存储介质 | |
| CN101945053A (zh) | 一种报文的发送方法和装置 | |
| WO2023134557A1 (zh) | 一种基于工业互联网标识的处理方法及装置 | |
| CN109672756B (zh) | 一种数据传输方法及相关装置、服务器和存储介质 | |
| WO2017000669A1 (zh) | 域名资源记录缓存的集中管控方法、装置和相关设备 | |
| WO2022257763A1 (zh) | 路由方法、装置、设备及存储介质 | |
| CN109462609B (zh) | 一种arp抑制表项生成方法和装置 | |
| CN114338809A (zh) | 访问控制方法、装置、电子设备和存储介质 | |
| CN114679370A (zh) | 一种服务器托管方法、装置、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |