WO2020035046A1

WO2020035046A1 - 访问认证方法、装置及认证设备

Info

Publication number: WO2020035046A1
Application number: PCT/CN2019/100959
Authority: WO
Inventors: 徐勇刚
Original assignee: 新华三技术有限公司
Priority date: 2018-08-16
Filing date: 2019-08-16
Publication date: 2020-02-20
Also published as: CN109150874B; CN109150874A

Abstract

本公开提供一种访问认证方法、装置及认证设备，涉及通信技术领域。访问认证方法应用于认证设备，所述方法包括接收用户终端发送的域名系统DNS请求，将所述DNS请求转发至DNS服务器；接收所述DNS服务器根据所述DNS请求发送的请求响应信息，并将所述请求响应信息转发至所述用户终端，所述请求响应信息中携带有所述DNS请求所请求的域名所对应的目标IP地址；检测是否存储有所述目标IP地址对应的域名信息，若未存储有所述目标IP地址对应的域名信息，将所述目标IP地址对应的域名信息进行存储，并根据存储的信息与所述用户终端进行认证协商，以避免弹出非法证书告警信息。从而提高访问认证的便捷性。

Description

访问认证方法、装置及认证设备

相关申请的交叉引用

本公开要求于2018年08月16日提交中国专利局的申请号为CN2018109379011，名称为“访问认证方法、装置及认证设备”的中国专利申请的优先权，其全部内容通过引用结合在本公开中。

背景技术

随着互联网技术的快速发展，在很多应用场景中需要在用户通过用户终端访问网站时进行访问认证，例如，在未认证用户通过用户终端上网时，强制用户登录到设定站点，用户可以通过用户终端免费访问设定站点中的服务。若用户需要使用互联网中的其它信息，则必须进行认证，只有认证通过后才可以使用互联网资源。

附图说明

为了更清楚地说明本公开的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本公开提供的一种应用场景示意图。

图2为本公开提供的一种认证设备的方框示意图。

图3为本公开提供的一种访问认证方法的流程示意图。

图4为本公开提供的一种实现访问认证的交互示意图。

图5为本公开提供的另一种实现访问认证的交互示意图。

图6为本公开提供的一种访问认证装置的方框示意图。

图标：10-DNS服务器；20-认证设备；21-存储器；22-处理器；23-网络模块；24-访问认证装置；241-请求信息传输模块；242-响应信息传输模块；243-信息处理模块；30-用户终端；40-认证服务器。

具体实施方式

在用户通过用户终端访问网站时需要进行访问认证的场景中，需要用户在设定的认证网站，如门户网站进行访问认证，认证通过后方可以使用互联网资源。为了实现访问认证，用户可以主动访问已知的认证网站，输入认证信息，如用户名和密码进行认证，从而实现主动认证。反之，若用户在未主动认证的情况下，试图直接访问其他外网，如通过超文本传输协议(HTTP，Hyper Text Transfer Protocol)访问其他外网，将被强制访问认证网站，从而开始访问认证过程，实现强制认证。

如图1所示，本公开提供一种实现访问认证的应用场景，该应用场景中包括域名系统(Domain Name System)DNS服务器10、认证设备20、用户终端30和认证服务器40。其中，DNS服务器10与认证设备20通信连接，用户终端30与认证设备20和认证服务器40分别通信连接。DNS服务器10是进行域名(Domain Name)和与域名相对应的网络协议(Internet Protocol，IP)地址转换的服务器。认证设备20为路由器、交换机、无线控制器等具有通信及处理功能的网络设备。认证设备20中预存有认证信息，如认证证书，该认证证书可以由认证服务器40颁发。认证设备20在用户通过用户终端30访问其他外网时与用户终端30进行认证协商，从而使得用户终端30与认证服务器40进行认证交互，进而实现强制认证。

经研究发现，目前的很多网站均为HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，超文本传输安全协议)网站，为了在用户访问其他外网时实现强制认证，当用户访问外网如HTTPS网站时，认证设备20需要进行HTTPS仿冒，并与用户的用户终端30进行认证协商。在认证协商过程中，由于认证设备20预存的认证信息，如认证证书与用户所要访问的网站的认证信息不匹配，从而导致用户终端30的界面弹出非法证书告警信息，需用户手动选择忽略证书的合法性方能进行后续交互，访问认证的便捷性有待提高，访问方式不够友好，对用户体验产生不利影响。

有鉴于此，本公开提供一种访问认证方法、装置及认证设备20，在进行DNS请求交互过程中，认证设备20接收DNS服务器10针对用户终端30发送的DNS请求所发送的请求响应信息，请求响应信息中携带有DNS请求所请求的域名所对应的目标IP地址。认证设备20在本地未存储有目标IP地址对应的域名信息时，将目标IP地址对应的域名信息进行存储，并根据存储的域名信息与用户终端30进行认证协商，鉴于所存储的目标IP地址对应的域名信息与用户所要访问的网站的域名信息匹配，从而避免弹出非法证书告警信息，提高访问认证的便捷性，进而提高用户体验。

针对以上方案所存在的缺陷，均是发明人在经过实践并仔细研究后得出的结果，因此，上述问题的发现过程以及下文中本公开针对上述问题所提出的解决方案，都应该是发明人在本公开过程中对本公开做出的贡献。

下面将结合本公开中附图，对本公开中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本公开的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围，而是仅仅表示本公开的选定实施例。基于本公开的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

如图2所示，是本公开提供的认证设备20的一种方框示意图。本公开中的认证设备20可以为路由器、交换机、无线控制器等具有通信及处理功能的网络设备。该认证设备20位于图1所示应用场景中，能够与DNS服务器10和用户终端30通信。如图2所示，认证设备20包括：存储器21、处理器22、网络模块23及访问认证装置24。

所述存储器21、处理器22以及网络模块23相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器21中存储有访问认证装置24，所述访问认证装置24包括至少一个可以软件或固件(firmware)的形式存储于所述存储器21中的软件功能模块，所述处理器22通过运行存储在存储器21内的软件程序以及模块，如本公开中的访问认证装置24，从而执行各种功能应用以及数据处理，即实现本公开中的访问认证方法。

其中，所述存储器21可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。其中，存储器21用于存储程序，所述处理器22在接收到执行指令后，执行所述程序。

所述处理器22可能是一种集成电路芯片，具有数据的处理能力。上述的处理器22可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等。可以实现或者执行本公开中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

网络模块23用于通过网络建立认证设备20与外部通信终端之间的通信连接，实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。

可以理解，图2所示的结构仅为示意，认证设备20还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。

在上述基础上，本公开还提供一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，所述计算机程序运行时控制所述计算机可读存储介质所在认证设备20执行下述访问认证方法。

请结合参阅图3，本公开提供一种访问认证方法，适用于图1所示应用场景，该方法可以由图1中的认证设备20执行。

所述方法包括以下步骤。

步骤S11，接收用户终端30发送的域名系统DNS(Domain Name System)请求，将所述DNS请求转发至DNS服务器10。

DNS请求可以为请求某一域名对应的IP(Internet Protocol，网络协议)地址。认证设备20对于DNS信息，如DNS请求报文可以进行白名单处理，从而在接收到DNS请求后，直接将该DNS请求转发至DNS服务器10。

DNS服务器10接收到DNS请求后，获取与DNS请求对应的请求响应信息，并发送至认证设备20。其中，请求响应信息可以为一请求响应报文，如dns reponse报文，请求响应报文中携带有DNS请求所请求的域名所对应的目标IP地址。

步骤S12，接收所述DNS服务器10根据所述DNS请求发送的请求响应信息，并将所述请求响应信息转发至所述用户终端30。

其中，所述请求响应信息中携带有DNS请求所请求的域名所对应的目标IP地址。例如，若DNS请求为请求域名WWW.XXXXX.com对应的IP地址，那么，请求响应信息中携带有域名WWW.XXXXX.com对应的IP地址。认证设备20接收到DNS服务器10发送的请求响应信息后，将该请求响应信息转发至用户终端30。

步骤S13，检测是否存储有所述目标IP地址对应的域名信息，若未存储有所述目标IP地址对应的域名信息，执行步骤S14。

步骤S14，将所述目标IP地址对应的域名信息进行存储，并根据存储的信息与所述用户终端30进行认证协商，以避免弹出非法证书告警信息。

请求响应信息经过认证设备20时，认证设备20检测是否存储有目标IP地址对应的域名信息，若未存储有目标IP地址对应的域名信息，则将目标IP地址对应的域名信息进行存储。以便于根据存储的信息与用户终端30进行认证协商。

其中，认证设备20将目标IP地址对应的域名信息进行存储的方式有多种，例如，认证设备20可以将目标IP地址对应的域名信息一直存储在本地，从而确保存储信息的全面性。又例如，认证设备20可以将目标IP地址对应的域名信息缓存设定时长，达到设定时长后，删除该目标IP地址对应的域名信息，从而释放缓存空间，确保缓存空间满足需求。在根据缓存时长判断是否删除域名信息的情况下，为了确保对于目标IP地址对应的域名信息存储的可靠性，若步骤S13中判定认证设备20已经存储有目标IP地址对应的域名信息，那么重新统计目标IP地址对应的域名信息的缓存时长。又例如，认证设备20可以将目标IP地址对应的域名信息存储在本地，根据目标IP地址对应的域名信息被使用情况判断是否删除该目标IP地址对应的域名信息，如在某一目标IP地址对应的域名信息被用于进行认证协商的使用率低于设定值时，删除该目标IP地址对应的域名信息；反之，在某一目标IP地址对应的域名信息被用于进行认证协商的使用率高于设定值时，继续存储该目标IP地址对应的域名信息。

鉴于用户终端30主要通过验证接收到的认证信息是否与所要访问的域名匹配来判定认证合法性，因而，在进行DNS请求交互过程中，对目标IP地址对应的域名信息进行存储，使得在认证协商中，接收到用户终端30发送的目的IP地址为目标IP地址的信息发送请求后，基于该目标IP地址即可从存储的信息中查找出与目标IP地址对应的域名信息，从而使用该域名信息与用户终端30进行认证协商。由于认证设备20采用的为与用户终端30所要访问的域名匹配的域名信息与用户终端30进行协商，因而，用户终端30会判定认证设备20所进行的认证为合法认证，从而不会弹出非法认证信息。

作为一种可选实现方式，认证设备20可以使用认证证书与用户终端30进行协商。例如，认证设备20中可以预存一认证证书，该认证证书可以由认证服务器40颁发，如认证设备20与认证服务器40进行交互，从而从认证服务器40获得认证证书。认证证书中对应一预先配置的域名信息，如与认证服务器40对应的域名信息，又如待访问地址的域名信息等。该种情况下，由于认证证书中原有的域名信息与用户终端30所要访问的域名的域名信息不匹配，因而，若直接使用预存的认证证书与用户终端30进行认证协商会弹出非法认证信息。为了避免弹出非法认证信息，可以通过以下方式与用户终端30进行认证协商。

接收所述用户终端30发送的目的IP地址为所述目标IP地址的信息发送请求，判断所述信息发送请求是否满足预设仿冒认证条件。

其中，预设仿冒认证条件可以灵活设定，例如，预设仿冒认证条件可以为信息发送请求对应的目的端口号为设定端口。相应地，认证设备20通过判断信息发送请求对应的目的端口号是否为设定端口号来判定信息发送请求是否满足预设仿冒认证条件。若信息发送请求的目的端口号为设定端口号，判定信息发送请求满足预设仿冒认证条件；若信息发送请求对应的目的端口号非设定端口号，判定信息发送请求不满足预设仿冒认证条件。其中，设定端口号可以灵活设定，例如，设定端口号可以为80端口和443端口。又例如，设定端口号可以为8080端口和8443端口等。

又例如，预设仿冒认证条件可以为信息发送请求的目的IP地址为设定IP地址。相应地，认证设备20通过判断信息发送请求的目的IP地址是否为设定IP地址来判定信息发送请求是否满足预设仿冒认证条件。若信息发送请求对应的目的IP地址为设定IP地址，判定信息发送请求满足预设仿冒认证条件；若信息发送请求对应的目的IP地址非设定IP地址，判定信息发送请求不满足预设仿冒认证条件。

若信息发送请求满足预设仿冒认证条件，认证设备20对信息发送请求进行拦截，仿冒目标IP地址与用户终端30进行连接交互，并使用目标IP地址对应的域名信息与用户终端30进行证书协商。

在认证设备20中预存有认证证书的情况下，认证设备20可以通过以下方式仿冒目标IP地址与用户终端30进行连接交互，并使用目标IP地址对应的域名信息与用户终端30进行证书协商。

认证设备20仿冒所述目标IP地址与所述用户终端30进行传输控制协议(Transmission Control Protocol，TCP)的三次握手，从而与用户终端30建立连接。认证设备20与用户终端30建立连接后，用户终端30发送安全传输层协议(Transport Layer Security，TLS)交互请求，如发送TLS的client hello报文。认证设备20接收到用户终端30发送的TLS交互请求后，与用户终端30进行TLS交互。在TLS交互过程中，认证设备20将预存的认证证书中的域名信息替换为目标IP地址对应的域名信息，并将进行域名信息替换后的认证证书发送至用户终端30，从而与用户终端30实现证书协商。例如，信息发送请求的目的IP地址对应的域名为WWW.XXXXX.com，认证设备20预存的认证证书中的域名为WWW.YYY.cn，由于认证证书中原有的域名信息与用户终端30所要访问的域名的域名信息不匹配，因而，若直接使用预存的认证证书与用户终端30进行认证协商会弹出非法证书告警信息，需用户手动选择忽略证书合法性，从而降低了用户体验。为了避免弹出非法认证信息，本公开中，认证设备20将认证证书中的域名信息WWW.YYY.cn替换为WWW.XXXXX.com，并将域名信息替换为WWW.XXXXX.com后的认证证书发送至用户终端30，从而与用户终端30实现证书协商。用户终端30检查该认证证书中的域名信息为WWW.XXXXX.com，与所请求的域名信息匹配，认定证书合法，从而不会弹出非法证书告警信息，进而无需用户手动选择忽略证书合法性，从而提高访问认证的便捷性，提高用户体验。

考虑到各域名之间主要通过根域名部分区分，例如，WWW.YYY.cn与WWW.XXXXX.com主要通过根域名*.YYY.cn和根域名*.XXXXX.com区分，因而，域名信息可以为根域名。相应地，认证证书中的域名信息为根域名信息，用户终端30可以将认证证书中的根域名与所请求的域名的根域名匹配，从而实现认证协商。

认证设备20与用户终端30完成认证协商后，用户终端30发送报文，如HTTPS的请求报文，该报文的头部的统一资源定位符(Uniform Resource Locator，URL)为用户终端30所要访问的网站地址，如https://WWW.XXXXX.com。认证设备20接收用户终端30发送的报文，解析该报文，得到用户终端30所要访问的网站地址为https://WWW.XXXXX.com。认证设备20构建重定向报文，以使重定向报文中携带认证服务器40的location地址，该认证服务器40的location地址可以预存在认证设备20中。认证设备20将重定向报文发送至用户终端30，以使用户终端30根据所述location地址与所述认证服务器40进行认证交互。例如，若认证服务器40的location地址为WWW.YYY.cn，那么WWW.YYY.cn可以预存在认证设备20的认证证书中。认证设备20将重定向报文发送至用户终端30后，用户终端30解析该重定向报文，得到WWW.YYY.cn，通过访问WWW.YYY.cn从而与认证服务器40进行认证交互。

为了更为清楚地阐述本公开的实现原理和优越性，现以认证设备20开启了Portal(入口)认证的场景为例，对未采用本公开中访问认证方法的实现流程与采用本公开中访问认证方法的实现流程进行对比性的举例说明。Portal(入口)认证通常也称为Web(World Wide Web，全球广域网，也称为万维网)认证，一般将Portal认证网站称为门户网站。

其中，访问认证方法适用于图1所示场景。在该场景中，认证设备20预存有认证证书，认证证书中包括预先配置的location地址：WWW.YYY.cn的根域名：*.YYY.cn。预设仿冒认证条件为目的端口号为80端口和443端口。假设用户终端30发起的DNS请求为请求WWW.XXXXX.com对应的IP地址，请结合参阅图4，未采用本公开中访问认证方法的情况下，访问认证实现原理如下。

用户终端30发起DNS请求，请求WWW.XXXXX.com域名对应的IP地址。

认证设备20接收用户终端30发送的DNS请求，对DNS请求进行白名单处理，从而将DNS请求直接转发给DNS服务器10。

DNS服务器10接收到DNS请求后，回应dns reponse报文，在dns reponse报文中携带WWW.XXXXX.com域名对应的IP地址，如115.239.210.27。

认证设备20接收DNS服务器10回应的dns reponse报文，并将该dns reponse报文转发至用户终端30。

用户终端30接收到dns reponse报文，解析出WWW.XXXXX.com对应的IP地址为115.239.210.27。

用户终端30向认证设备20发送报文发送请求，该报文发送请求的目的IP地址为 115.239.210.27，目的端口号为443。

由于认证设备20开启了Portal认证，且预设仿冒认证条件为目的端口号为80端口和443端口，因此认证设备20会对所有目的端口号为80端口和443端口的报文进行拦截。

认证设备20拦截下目的IP地址为115.239.210.27，目的端口号为443的报文发送请求后，仿冒IP地址115.239.210.27与用户终端30进行TCP的三次握手，与用户终端30建立连接。

认证设备20与用户终端30建立连接后，用户终端30发送安全套接层(Secure Sockets Layer，SSL)协商，认证设备20将内置的认证证书发送给用户终端30，其中，认证证书包括预先配置的location地址的根域名：*.YYY.cn。

用户终端30接收认证设备20发送的认证证书，检测认证证书中的*.YYY.cn与IP地址115.239.210.27对应的域名的根域名*.XXXXX.com不匹配，从而弹出非法证书告警，用户在用户终端30上手动选择忽略认证证书合法性，用户终端30则不再检查该合法性，从而进行后续操作。

SSL协商完成后，用户终端30开始发送HTTPS的请求报文，该请求报文的头部的URL为用户终端30所要访问的网站地址：https://WWW.XXXXX.com。

认证设备20接收用户终端30发送的HTTPS的请求报文，解析该请求报文，得到用户终端30所要访问的网站地址为https://WWW.XXXXX.com。认证设备20根据认证服务器40的location地址http://WWW.YYY.cn，向用户终端30回应302号重定向报文，在重定向报文中携带http://WWW.YYY.cn。

用户终端30解析重定向报文，得到WWW.YYY.cn，往地址WWW.YYY.cn发送请求，WWW.YYY.cn地址在认证设备20的白名单中，认证设备20直接放行该报文。后续用户终端30通过TCP三次握手，与认证服务器40建立连接，并通过访问WWW.YYY.cn从而与认证服务器40进行认证交互。

分析可知，采用上述访问认证方案，认证设备20未事先得知用户终端30所要访问的域名信息为*.XXXXX.com，认证设备20的认证证书中的域名信息为*.YYY.cn，采用认证证书与用户终端30进行认证协商过程中，由于认证证书中的域名信息*.YYY.cn与用户终端30所要访问的域名信息*.XXXXX.com不匹配，导致用户终端30判定认证设备20发送的为非法认证证书，从而弹出非法证书告警信息，需用户手动选择忽略证书合法性，实现较为不便，且导致用户体验不佳。

请结合参阅图5，采用本公开中的方案，实现原理如下。

用户终端30发起DNS请求，请求WWW.XXXXX.com域名对应的IP地址。

dns reponse报文经过认证设备20时，认证设备20检测是否存储有IP地址115.239.210.27对应的域名信息WWW.XXXXX.com，若未存储有IP地址115.239.210.27对应的域名信息WWW.XXXXX.com，则将IP地址115.239.210.27对应的域名信息WWW.XXXXX.com进行缓存，如缓存十分钟。若已存储有IP地址115.239.210.27对应的域名信息WWW.XXXXX.com，则重新统计域名信息WWW.XXXXX.com的缓存时长。

用户终端30向认证设备20发送报文发送请求，该报文发送请求的目的IP地址为115.239.210.27，目的端口号为443。

认证设备20基于报文发送请求的目的IP地址115.239.210.27从存储的信息中查找出IP地址115.239.210.27对应的域名的根域名为*.XXXXX.com。

认证设备20与用户终端30建立连接后，用户终端30发送TLS的client hello报文，认证设备20接收用户终端30发送的client hello报文后，与用户终端30进行TLS交互。在TLS交互过程中，认证设备20分析得出认证证书中原本配置的location地址的根域名：*.YYY.cn，认证证书中的根域名*.YYY.cn与报文发送请求的目的IP地址115.239.210.27对应的根域名*.XXXXX.com不匹配，从而将认证证书中的根域名*.YYY.cn替换为根域名*.XXXXX.com。

认证设备20将根域名替换为*.XXXXX.com的认证证书发送至用户终端30。

用户终端30接收认证设备20发送的认证证书，检测认证证书中的*.XXXXX.com与IP地址115.239.210.27对应的域名的根域名*.XXXXX.com匹配，认定证书合法，不弹出非法证书告警信息，进而无需用户手动选择忽略证书合法性，从而提高访问认证的便捷性，提高用户体验。

TLS协商完成后，用户终端30开始发送HTTPS的请求报文，该请求报文的头部的URL为用户终端30所要访问的网站地址：https://WWW.XXXXX.com。

认证设备20接收用户终端30发送的HTTPS的请求报文，解析该请求报文，得到用户终端30所要访问的网站地址为https://WWW.XXXXX.com，认证设备20根据配置的认证服务器40的location地址http://WWW.YYY.cn的根域名*.YYY.cn向用户终端30回应302号重定向报文，在重定向报文中携带location地址http://WWW.YYY.cn。

用户终端30解析重定向报文，得到WWW.YYY.cn，往地址WWW.YYY.cn发送请求。WWW.YYY.cn地址在认证设备20的白名单中，认证设备20直接放行该报文，后续用户终端30通过TCP三次握手与认证服务器40建立连接，通过访问WWW.YYY.cn从而与认证服务器40进行认证交互。

将图4中的交互流程和图5中的交互流程进行对比分析可知，采用本公开中的方案，通过对认证设备20的巧妙设计，使得认证设备20与用户终端30进行认证协商过程中不会弹出非法证书告警信息，无需用户手动选择忽略证书合法性，从而有效提高访问认证的便捷性和用户体验。

应当理解，本公开中，WWW.XXXXX.com中的“XXXXX”可以泛指由任意数量的、相同或者不同的字符所构成的域名，例如，可以为baidu、google、taobao等。WWW.YYY.cn中的“YYY”可以泛指由任意数量的、相同或者不同的字符所构成的域名，例如，可以为h3c、chaofan等，本公开对此不作限制。

请参阅图6，本公开还提供一种访问认证装置24，应用于图2所示认证设备20，访问认证装置24包括请求信息传输模块241、响应信息传输模块242和信息处理模块243。

其中，请求信息传输模块241用于接收用户终端30发送的域名系统DNS请求，将所述DNS请求转发至DNS服务器10。

关于请求信息传输模块241的实现方式可以参阅图3中步骤S11的相关描述，在此不作赘述。

响应信息传输模块242用于接收所述DNS服务器10根据所述DNS请求发送的请求响应信息，并将所述请求响应信息转发至所述用户终端30，所述请求响应信息中携带有所述DNS请求所请求的域名所对应的目标IP地址。

关于响应信息传输模块242的实现方式可以参阅图3中步骤S12的相关描述，在此不作赘述。

信息处理模块243用于检测是否存储有所述目标IP地址对应的域名信息，若未存储有所述目标IP地址对应的域名信息，将所述目标IP地址对应的域名信息进行存储，并根据存储的信息与所述用户终端30进行认证协商，以避免弹出非法证书告警信息。

关于信息处理模块243的实现方式可以参阅图3中步骤S13和步骤S14的相关描述，在此不作赘述。

在一种实现方式中，所述信息处理模块243通过以下方式根据存储的信息与所述用户终端30进行认证协商：接收所述用户终端30发送的目的IP地址为所述目标IP地址的信息发送请求，判断所述信息发送请求是否满足预设仿冒认证条件；若所述信息发送请求满足所述预设仿冒认证条件，则仿冒所述目标IP地址与所述用户终端30进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端30进行认证协商。

在一种实现方式中，所述信息处理模块243通过以下方式仿冒所述目标IP地址与所述用户终端30进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端30进行认证协商：仿冒所述目标IP地址与所述用户终端30进行传输控制协议TCP的三次握手，从而与所述用户终端30建立连接；接收所述用户终端30发送的安全传输层协议TLS交互请求；将预存的认证证书中的域名信息替换为所述目标IP地址对应的域名信息并发送至所述用户终端30，从而与所述用户终端30实现证书协商。

在一种实现方式中，所述信息处理模块243通过以下方式判断所述信息发送请求是否满足预设仿冒认证条件：判断所述信息发送请求对应的目的端口号是否为设定端口号，若为所述设定端口号，判定所述信息发送请求满足预设仿冒认证条件。

在一种实现方式中，所述信息处理模块243通过以下方式将所述目标IP地址对应的域名信息进行存储：将所述目标IP地址对应的域名信息缓存设定时长，达到所述设定时长后，删除该目标IP地址对应的域名信息。所述信息处理模块243还用于若存储有所述目标IP地址对应的域名信息，则重新统计所述目标IP地址对应的域名信息的缓存时长。

在一种实现方式中，所述信息处理模块243还用于，在与所述用户终端完成认证协商后，接收所述用户终端发送的报文；解析所述报文，并构建重定向报文，以使所述重定向报文中携带预存的认证服务器的location地址；将所述重定向报文发送至所述用户终端，以使所述用户终端根据所述location地址与所述认证服务器进行认证交互。

在上述基础上，本公开提供的一种认证设备20包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以下步骤：接收用户终端发送的域名系统DNS请求，将所述DNS请求转发至DNS服务器；接收所述DNS服务器根据所述DNS请求发送的请求响应信息，并将所述请求响应信息转发至所述用户终端，所述请求响应信息中携带有所述DNS请求所请求的域名所对应的目标IP地址；检测是否存储有所述目标IP地址对应的域名信息，若未存储有所述目标IP地址对应的域名信息，将所述目标IP地址对应的域名信息进行存储，并根据存储的信息与所述用户终端进行认证协商，以避免弹出非法证书告警信息。

在一种实现方式中，所述处理器执行所述程序时通过以下步骤根据存储的信息与所述用户终端进行认证协商：接收所述用户终端发送的目的IP地址为所述目标IP地址的信息发送请求，判断所述信息发送请求是否满足预设仿冒认证条件；若所述信息发送请求满足所述预设仿冒认证条件，则仿冒所述目标IP地址与所述用户终端进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端进行认证协商。

在一种实现方式中，所述处理器执行所述程序时通过以下步骤仿冒所述目标IP地址与所述用户终端进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端进行认证协商：仿冒所述目标IP地址与所述用户终端进行传输控制协议TCP的三次握手，从而与所述用户终端建立连接；接收所述用户终端发送的安全传输层协议TLS交互请求；将预存的认证证书中的域名信息替换为所述目标IP地址对应的域名信息并发送至所述用户终端，从而与所述用户终端实现证书协商。

在一种实现方式中，所述处理器执行所述程序时通过以下步骤判断所述信息发送请求是否满足预设仿冒认证条件：判断所述信息发送请求对应的目的端口号是否为设定端口号，若为所述设定端口号，判定所述信息发送请求满足预设仿冒认证条件。

在一种实现方式中，所述处理器执行所述程序时通过以下步骤将所述目标IP地址对应的域名信息进行存储：将所述目标IP地址对应的域名信息缓存设定时长，达到所述设定时长后，删除该目标IP地址对应的域名信息；所述处理器执行所述程序还实现以下步骤：若存储有所述目标IP地址对应的域名信息，则重新统计所述目标IP地址对应的域名信息的缓存时长。

在一种实现方式中，在与所述用户终端完成认证协商后，所述处理器执行所述程序还实现以下步骤：接收所述用户终端发送的报文；解析所述报文，并构建重定向报文，以使所述重定向报文中携带预存的认证服务器的location地址；将所述重定向报文发送至所述用户终端，以使所述用户终端根据所述location地址与所述认证服务器进行认证交互。

本公开中的访问认证方法、装置及认证设备，在进行DNS请求交互过程中，存储目标IP地址对应的域名信息，并使用目标IP地址对应的域名信息与用户终端进行认证协商，从而避免弹出非法认证告警信息，提高访问认证的便捷性，进而提高用户体验。

在本公开所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，认证设备，或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本公开的可选实施例而已，并不用于限制本公开，对于本领域的技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

工业实用性

本公开提供的访问认证方法、装置及认证设备，避免了弹出非法认证告警信息，从而提高了访问认证的便捷性，进而提高了用户体验。

Claims

一种访问认证方法，其特征在于，应用于认证设备，所述方法包括：

接收用户终端发送的域名系统DNS请求，将所述DNS请求转发至DNS服务器；

接收所述DNS服务器根据所述DNS请求发送的请求响应信息，并将所述请求响应信息转发至所述用户终端，所述请求响应信息中携带有所述DNS请求所请求的域名所对应的目标IP地址；

检测是否存储有所述目标IP地址对应的域名信息，若未存储有所述目标IP地址对应的域名信息，将所述目标IP地址对应的域名信息进行存储，并根据存储的信息与所述用户终端进行认证协商，以避免弹出非法证书告警信息。
根据权利要求1所述的访问认证方法，其特征在于，根据存储的信息与所述用户终端进行认证协商的步骤，包括：

接收所述用户终端发送的目的IP地址为所述目标IP地址的信息发送请求，判断所述信息发送请求是否满足预设仿冒认证条件；

若所述信息发送请求满足所述预设仿冒认证条件，则仿冒所述目标IP地址与所述用户终端进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端进行认证协商。
根据权利要求2所述的访问认证方法，其特征在于，仿冒所述目标IP地址与所述用户终端进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端进行认证协商的步骤，包括：

仿冒所述目标IP地址与所述用户终端进行传输控制协议TCP的三次握手，从而与所述用户终端建立连接；

接收所述用户终端发送的安全传输层协议TLS交互请求；

将预存的认证证书中的域名信息替换为所述目标IP地址对应的域名信息并发送至所述用户终端，从而与所述用户终端实现证书协商。
根据权利要求2所述的访问认证方法，其特征在于，判断所述信息发送请求是否满足预设仿冒认证条件的步骤，包括：

判断所述信息发送请求对应的目的端口号是否为设定端口号，若为所述设定端口号，判定所述信息发送请求满足预设仿冒认证条件。
根据权利要求1所述的访问认证方法，其特征在于，将所述目标IP地址对应的域名信息进行存储的步骤，包括：将所述目标IP地址对应的域名信息缓存设定时长，达到所述设定时长后，删除该目标IP地址对应的域名信息；

所述方法还包括：

若存储有所述目标IP地址对应的域名信息，则重新统计所述目标IP地址对应的域名信息的缓存时长。
根据权利要求1所述的访问认证方法，其特征在于，在与所述用户终端完成认证协商后，所述方法还包括：

接收所述用户终端发送的报文；

解析所述报文，并构建重定向报文，以使所述重定向报文中携带预存的认证服务器的location地址；

将所述重定向报文发送至所述用户终端，以使所述用户终端根据所述location地址与所述认证服务器进行认证交互。
一种访问认证装置，其特征在于，应用于认证设备，所述访问认证装置包括：

请求信息传输模块，配置成接收用户终端发送的域名系统DNS请求，将所述DNS请求转发至DNS服务器；

响应信息传输模块，配置成接收所述DNS服务器根据所述DNS请求发送的请求响应信息，并将所述请求响应信息转发至所述用户终端，所述请求响应信息中携带有所述DNS请求所请求的域名所对应的目标IP地址；

信息处理模块，配置成检测是否存储有所述目标IP地址对应的域名信息，若未存储有所述目标IP地址对应的域名信息，将所述目标IP地址对应的域名信息进行存储，并根据存储的信息与所述用户终端进行认证协商，以避免弹出非法证书告警信息。
根据权利要求7所述的访问认证装置，其特征在于，所述信息处理模块通过以下方式根据存储的信息与所述用户终端进行认证协商：

接收所述用户终端发送的目的IP地址为所述目标IP地址的信息发送请求，判断所述信息发送请求是否满足预设仿冒认证条件；

若所述信息发送请求满足所述预设仿冒认证条件，则仿冒所述目标IP地址与所述用户终端进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端进行认证协商。
根据权利要求8所述的访问认证装置，其特征在于，所述信息处理模块通过以下方式仿冒所述目标IP地址与所述用户终端进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端进行认证协商：

仿冒所述目标IP地址与所述用户终端进行传输控制协议TCP的三次握手，从而与所述用户终端建立连接；

接收所述用户终端发送的安全传输层协议TLS交互请求；

将预存的认证证书中的域名信息替换为所述目标IP地址对应的域名信息并发送至所述用户终端，从而与所述用户终端实现证书协商。
一种认证设备，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以下步骤：

接收用户终端发送的域名系统DNS请求，将所述DNS请求转发至DNS服务器；

接收所述DNS服务器根据所述DNS请求发送的请求响应信息，并将所述请求响应信息转发至所述用户终端，所述请求响应信息中携带有所述DNS请求所请求的域名所对应的目标IP地址；

检测是否存储有所述目标IP地址对应的域名信息，若未存储有所述目标IP地址对应的域名信息，将所述目标IP地址对应的域名信息进行存储，并根据存储的信息与所述用户终端进行认证协商，以避免弹出非法证书告警信息。
根据权利要求10所述的认证设备，其特征在于，所述处理器执行所述程序时通过以下步骤根据存储的信息与所述用户终端进行认证协商：

接收所述用户终端发送的目的IP地址为所述目标IP地址的信息发送请求，判断所述信息发送请求是否满足预设仿冒认证条件；

若所述信息发送请求满足所述预设仿冒认证条件，则仿冒所述目标IP地址与所述用户终端进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端进行认证协商。
根据权利要求11所述的认证设备，其特征在于，所述处理器执行所述程序时通过以下步骤仿冒所述目标IP地址与所述用户终端进行连接交互，并使用所述目标IP地址对应的域名信息与所述用户终端进行认证协商：

仿冒所述目标IP地址与所述用户终端进行传输控制协议TCP的三次握手，从而与所述用户终端建立连接；

接收所述用户终端发送的安全传输层协议TLS交互请求；

将预存的认证证书中的域名信息替换为所述目标IP地址对应的域名信息并发送至所述用户终端，从而与所述用户终端实现证书协商。
根据权利要求11所述的认证设备，其特征在于，所述处理器执行所述程序时通过以下步骤判断所述信息发送请求是否满足预设仿冒认证条件：

判断所述信息发送请求对应的目的端口号是否为设定端口号，若为所述设定端口号，判定所述信息发送请求满足预设仿冒认证条件。
根据权利要求10所述的认证设备，其特征在于，所述处理器执行所述程序时通过以下步骤将所述目标IP地址对应的域名信息进行存储：将所述目标IP地址对应的域名信息缓存设定时长，达到所述设定时长后，删除该目标IP地址对应的域名信息；

所述处理器执行所述程序还实现以下步骤：

若存储有所述目标IP地址对应的域名信息，则重新统计所述目标IP地址对应的域名信息的缓存时长。
根据权利要求10所述的认证设备，其特征在于，在与所述用户终端完成认证协商后，所述处理器执行所述程序还实现以下步骤：

接收所述用户终端发送的报文；

解析所述报文，并构建重定向报文，以使所述重定向报文中携带预存的认证服务器的location地址；

将所述重定向报文发送至所述用户终端，以使所述用户终端根据所述location地址与所述认证服务器进行认证交互。