基于万维网的无线局域网接入认证方法与系统.pdf

摘要
申请专利号：	CN201310411084.3	申请日：	2013.09.11
公开号：	CN104427499A	公开日：	2015.03.18
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04W12/06申请日:20130911\|\|\|公开
IPC分类号：	H04W12/06(2009.01)I; H04W84/12(2009.01)I; H04L29/12	主分类号：	H04W12/06
申请人：	中国电信股份有限公司
发明人：	罗志强; 沈军; 史国水; 王帅; 苏志胜; 罗钢; 金华敏
地址：	100033北京市西城区金融大街31号
优先权：
专利代理机构：	中国国际贸易促进委员会专利商标事务所11038	代理人：	毛丽琴
PDF下载：	PDF下载

内容摘要

本发明实施例公开了一种基于万维网的无线局域网接入认证方法与系统，其中，方法包括：AC截获到所述WLAN终端发送的DNS解析请求，判断所述WLAN终端是否已通过用户认证；若未通过用户认证，AC将所述DNS解析请求重定向至与公网隔离的本地DNS；本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC；响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；门户服务器向WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。本发明实施例可以解决现有技术未认证WLAN终端绕过Portal认证流程进行非法上网的技术问题。

权利要求书

权利要求书1. 一种基于万维网的无线局域网接入认证方法，其特征在于，包括：接入控制器在无线局域网WLAN终端与接入点建立物理连接后，向所述WLAN终端分配互联网协议IP地址；接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS解析请求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，接入控制器将所述DNS解析请求重定向至与公网隔离的本地DNS；本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；响应于接收到未认证的所述WLAN终端发送的超文本传输协议HTTP请求或安全超文本传输协议HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；门户服务器向WLAN终端发送万维网（WEB）认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。2. 根据权利要求1所述的方法，其特征在于，根据用户名及密码对WLAN终端进行用户认证包括：门户服务器将WLAN终端用户输入的用户名及密码发送给接入控制器；接入控制器将WLAN终端用户输入的用户名及密码发送给认证服务器；认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。3. 根据权利要求2所述的方法，其特征在于，向接入控制器反馈对WLAN终端的用户认证结果之后，还包括：响应于所述WLAN终端通过用户认证，接入控制器在允许访问公网列表中存储所述WLAN终端的IP地址。4. 根据权利要求3所述的方法，其特征在于，判断所述WLAN终端是否已通过用户认证包括：查询允许访问公网列表中是否包括所述WLAN终端的IP地址；若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认证。5. 根据权利要求1至4任意一项所述的方法，其特征在于，还包括：响应于所述WLAN终端通过用户认证，接入控制器对所述DNS解析请求进行正常转发；以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器根据该HTTP请求或HTTPS请求中的目的地址转发所述HTTP请求或HTTPS请求。6. 一种基于万维网的无线局域网接入认证系统，包括接入点，其特征在于，还包括门户服务器、接入控制器和与公网隔离的本地DNS；所述接入控制器，用于在WLAN终端与接入点建立物理连接后，向所述WLAN终端分配IP地址；响应于截获到所述WLAN终端发送的DNS解析请求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，将所述DNS解析请求重定向至与公网隔离的本地DNS；以及根据本地DNS返回的DNS回应数据包，响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时，将该HTTP请求或HTTPS请求重定向到门户服务器；所述本地DNS，用于在接收到所述DNS解析请求时，构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；所述门户服务器，用于在接收到HTTP请求或HTTPS请求时，向所述WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。7. 根据权利要求6所述的系统，其特征在于，还包括认证服务器；所述门户服务器根据用户名及密码对WLAN终端进行用户认证时，具体将WLAN终端用户输入的用户名及密码发送给接入控制器；所述接入控制器，还用于将WLAN终端用户输入的用户名及密码发送给认证服务器；所述认证服务器，用于根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。8. 根据权利要求7所述的系统，其特征在于，所述接入控制器还用于存储允许访问公网列表，响应于所述WLAN终端通过用户认证，在允许访问公网列表中存储所述WLAN终端的IP地址，所述允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。9. 根据权利要求8所述的系统，其特征在于，所述接入控制器判断所述WLAN终端是否已通过用户认证时，具体查询允许访问公网列表中是否包括所述WLAN终端的IP地址；若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认证。10. 根据权利要求6至9任意一项所述的系统，其特征在于，所述接入控制器，还用于响应于所述WLAN终端通过用户认证，对所述DNS解析请求进行正常转发；以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时，根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发所述HTTP请求或HTTPS请求。

说明书

说明书基于万维网的无线局域网接入认证方法与系统
技术领域
本发明涉及通信技术，尤其是一种基于万维网（WEB）的无线局域网（Wireless Local Area Network，WLAN）接入认证方法与系统。
背景技术
用户通过WLAN接入网络时，首先需要通过WLAN运营商的认证。WLAN运营商通常采用基于WEB的WLAN接入认证方法对用户进行认证，具体流程如下：
支持WLAN接入的用户终端（以下简称为：WLAN终端）与运营商接入点（Access Point，AP）建立物理连接，通过接入控制器（Access Control，AC）获取互联网协议（IP）地址后发起超文本传输协议（Hyper Text Transport Protocol，HTTP）请求；用户在浏览器地址栏输入任意网址均跳转到门户（Portal）认证入口，运营商根据终端在WEB页面输入的用户名密码对WLAN终端进行用户认证。
上述基于WEB的WLAN接入认证方法中，为了实现用户在浏览器地址栏输入任意网址均跳转到Portal认证（也称为WEB认证）入口的功能，运营商必须开放域名服务器（Domain Name Server，DNS）端口与WEB端口。其中，DNS端口目前通过用户数据报协议（UserDatagram Protocol，UDP）53端口实现，用户通过UDP53端口访问DNS服务器，向DNS服务器发送欲访问WEB网站的域名，DNS服务器将该域名对应的IP地址通过UDP53端口返回用户，以便用户通过该IP地址访问欲访问WEB网站。WEB端口包括传输控制协议（Transfer Control Protocol，TCP）80端口与TCP443端口。其中，用户通过不加密的HTTP与加密的HTTPS访问WEB网站时，分别对应TCP80和TCP443端口。
在实现本发明的过程中，发明人发现，上述现有技术的WLAN接入认证方法存在WLAN客户端绕过Portal认证流程实现非法上网的风险：
由于域名解析的需要，运营商允许未认证的WLAN终端也可以使用UDP53端口访问公网的代理服务器，例如，由虚拟专用网代理软件（LoopcVPN）实现的代理服务器，未经认证的WLAN终端利用UDP53端口访问代理服务器时，可以通过代理服务器代理非法上网。例如，代理服务器LoopcVPN包括客户端和服务器端，LoopcVPN客户端可以将IP数据包通过一条秘密隧道发送到LoopcVPN服务器端，从而实现网络加速、隐藏真实IP、突破IP端口限制等功能。因此，当LoopcVPN服务器端开放了UDP53端口作为代理时，未经认证的WLAN终端就可以通过代理免费上网；
未经认证的WLAN终端可以将上网数据包封装在DNS解析请求包中，由于DNS不对用户的DNS解析请求包内容进行检查，当用户请求解析的域名解析属于二级域名时，DNS会将上网数据包递归到LoopcVPN等代理服务器所在的DNS设备。由此，可以以DNS服务器作为中转，实现与LoopcVPN等代理服务器的数据交互，通过运营商DNS访问LoopcVPN服务器代理实现非法上网。
发明内容
本发明实施例所要解决的其中一个技术问题是：提供一种基于万维网的无线局域网接入认证方法与系统，以解决现有技术基于WEB的WLAN接入认证方法中，未经认证WLAN终端通过UDP53端口访问公网服务器或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过Portal认证流程进行非法上网的技术问题。
本发明实施例提供的一种基于万维网的无线局域网接入认证方法，包括：
接入控制器在无线局域网WLAN终端与接入点建立物理连接后，向所述WLAN终端分配互联网协议IP地址；
接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS解析请求，判断所述WLAN终端是否已通过用户认证；
响应于所述WLAN终端未通过用户认证，接入控制器将所述DNS解析请求重定向至与公网隔离的本地DNS；
本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；
响应于接收到未认证的所述WLAN终端发送的超文本传输协议HTTP请求或安全超文本传输协议HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；
门户服务器向WLAN终端发送万维网（WEB）认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。
在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中，根据用户名及密码对WLAN终端进行用户认证包括：
门户服务器将WLAN终端用户输入的用户名及密码发送给接入控制器；
接入控制器将WLAN终端用户输入的用户名及密码发送给认证服务器；
认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。
在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中，向接入控制器反馈对WLAN终端的用户认证结果之后，还包括：
响应于所述WLAN终端通过用户认证，接入控制器在允许访问公网列表中存储所述WLAN终端的IP地址。
在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中，判断所述WLAN终端是否已通过用户认证包括：
查询允许访问公网列表中是否包括所述WLAN终端的IP地址；
若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认证。
在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中，还包括：
响应于所述WLAN终端通过用户认证，接入控制器对所述DNS解析请求进行正常转发；以及
响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器根据该HTTP请求或HTTPS请求中的目的地址转发所述HTTP请求或HTTPS请求。
本发明实施例提供的一种基于万维网的无线局域网接入认证系统，包括接入点，还包括门户服务器、接入控制器和与公网隔离的本地DNS；
所述接入控制器，用于在WLAN终端与接入点建立物理连接后，向所述WLAN终端分配IP地址；响应于截获到所述WLAN终端发送的DNS解析请求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，将所述DNS解析请求重定向至与公网隔离的本地DNS；以及根据本地DNS返回的DNS回应数据包，响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时，将该HTTP请求或HTTPS请求重定向到门户服务器；
所述本地DNS，用于在接收到所述DNS解析请求时，构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；
所述门户服务器，用于在接收到HTTP请求或HTTPS请求时，向所述WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。
在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中，还包括认证服务器；
所述门户服务器根据用户名及密码对WLAN终端进行用户认证时，具体将WLAN终端用户输入的用户名及密码发送给接入控制器；
所述接入控制器，还用于将WLAN终端用户输入的用户名及密码发送给认证服务器；
所述认证服务器，用于根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。
在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中，所述接入控制器还用于存储允许访问公网列表，响应于所述WLAN终端通过用户认证，在允许访问公网列表中存储所述WLAN终端的IP地址，所述允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。
在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中，所述接入控制器判断所述WLAN终端是否已通过用户认证时，具体查询允许访问公网列表中是否包括所述WLAN终端的IP地址；若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认证。
在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中，所述接入控制器，还用于响应于所述WLAN终端通过用户认证，对所述DNS解析请求进行正常转发；以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时，根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发所述HTTP请求或HTTPS请求。
基于本发明上述实施例提供的基于万维网的无线局域网接入认证方法与系统，接入控制器截获到WLAN终端发送的DNS解析请求，判断该WLAN终端是否已通过用户认证；若未通过用户认证，将该DNS解析请求重定向至与公网隔离的本地DNS，本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回接入控制器；接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；由门户服务器向 WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。与现有技术相比，本发明实施例可以将未经认证的WLAN终端通过UDP53端口访问LoopcVPN等公网服务器的流量拦截，解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题；未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时，其DNS解析请求包被重定向到与公网隔离的本地DNS地址，解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中，通过运营商公网DNS访问代理服务器实现非法访问公网的问题。本发明实施例有效防范了现有技术中未经认证WLAN终端绕过用户认证实现非法上网的安全隐患，解决了现有技术基于WEB的WLAN接入认证方法中，未经认证WLAN终端通过UDP53端口访问公网的代理服务器或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过用户认证流程进行非法上网的技术问题。
下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例，并且连同描述一起用于解释本发明的原理。
参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：
图1为本发明基于WEB的无线局域网接入认证方法一个实施例的流程图。
图2为本发明基于WEB的无线局域网接入认证方法另一个实施例的流程图。
图3为本发明基于WEB的无线局域网接入认证系统一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
图1为本发明基于WEB的WLAN接入认证方法一个实施例的流程图。如图1所示，该实施例基于万维网的WLAN接入认证方法包括：
110，AC在WLAN终端与AP建立物理连接后，向WLAN终端分配IP地址。
120，AC响应于截获到WLAN终端发送的DNS解析请求，判断WLAN终端是否已通过用户认证。
若WLAN终端未通过用户认证，执行130的操作。否则，若WLAN终端已通过用户认证，允许WLAN终端进行正常的互联网访问，不执行本实施例的后续流程。
130，AC将DNS解析请求重定向至与公网（即：互联网）隔离的本地DNS。
140，本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC。
150，响应于接收到未认证的WLAN终端发送的HTTP请求或安全超文本传输协议（Hypertext Transfer Protocol Secure，HTTPS）请求时，AC将该HTTP请求或HTTPS请求重定向到门户（Portal）服务器，即：将WLAN终端通过TCP80或TCP443端口访问互联网浏览WEB服务器的流量重定向到门户服务器。
160，门户服务器向WLAN终端发送万维网（WEB）认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据该用户名及密码对WLAN终端进行用户认证。
本发明实施例中，WLAN终端为用户使用的WLAN终端，用户与WLAN终端对应，对WLAN终端进行用户认证即对WLAN终端用户进行认证，WLAN终端的IP地址即为WLAN终端用户的IP地址。
示例性地，若WLAN终端通过用户认证，则AC允许用户访问互联网，并由验证、授权和记账（Authentication、Authorization、Accounting，AAA）服务器进行计费。若WLAN终端通过用户认证，则AC只允许该WLAN终端访问互联网上的DNS服务器和门户服务器，不允许访问其他公网资源。
本发明上述实施例提供的基于万维网的无线局域网接入认证方法解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题；未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时，其DNS解析请求包被重定向到与公网隔离的本地DNS地址，解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中，通过运营商公网DNS访问代理服务器实现非法访问公网的问题，有效防范了现有技术中未经认证WLAN终端绕过用户认证实现非法上网的安全隐患，解决了现有技术基于WEB的WLAN接入认证方法中，未经认证WLAN终端通过UDP53端口访问公网的代理服务器或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过用户认证流程进行非法上网的技术问题。
图2为本发明基于WEB的WLAN接入认证方法另一个实施例的流程图。如图2所示，该实施例基于WEB的WLAN接入认证方法包括：
210，AC在WLAN终端与AP建立物理连接后，向WLAN终端分配IP地址。
220，AC响应于截获到WLAN终端发送的域名服务器DNS解析请求，查询允许访问公网列表中是否包括WLAN终端的IP地址。
其中，允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。
若允许访问公网列表中包括WLAN终端的IP地址，则WLAN终端已通过用户认证，则执行300的操作，允许该WLAN终端访问互联网。否则，若允许访问公网列表中不包括WLAN终端的IP地址，则WLAN终端未通过用户认证，执行230的操作。
230，AC将DNS解析请求重定向至与公网隔离的本地DNS。
240，本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC。
250，响应于接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时，AC将该HTTP请求或HTTPS请求重定向到门户服务器，即：未认证用户的访问互联网请求都会重定向到Portal Server的WEB认证页面上。
260，门户服务器（Portal Server）向WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码（即：用户在WEB认证页面中输入用户名和密码认证信息后提交），并将WLAN终端用户输入的用户名及密码发送给AC。
270，AC将WLAN终端用户输入的用户名及密码发送给认证服务器（Radius Server）。
280，认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，比对WLAN终端用户输入的用户名及密码与预先存储的用户认证信息是否一致，并向AC反馈对WLAN终端的用户认证结果。
若比对一致，WLAN终端通过用户认证，执行290的操作，并允许该WLAN终端访问互联网。否则，若WLAN终端未通过用户认证，不执行本实施例的后续流程，可以进一步返回执行230的操作，或者通过门户服务器向用户返回未通过认证的错误信息，告知用户认证失败，不允许用户访问公网。
示例性地，认证服务器具体通过门户服务器向AC反馈对WLAN终端的用户认证结果，门户服务器可以将用户认证结果显示在用户的浏览器中。
290，AC在允许访问公网列表中存储WLAN终端的IP地址。
300，AC对DNS解析请求进行正常转发。
其中，操作300与290之间不存在执行时间顺序限制，操作300可以先于290执行，也可以与290同时执行或者晚于290执行。
310，接收到WLAN终端发送的HTTP请求或HTTPS请求时，AC根据该HTTP请求或HTTPS请求中的目的地址转发HTTP请求或HTTPS请求。
图3为本发明基于WEB的WLAN接入认证系统一个实施例的结构示意图。该实施例基于WEB的WLAN接入认证系统可用于实现本发明上述各基于WEB的WLAN接入认证方法实施例。如图3所示，其包括还包括门户服务器、AC和与公网隔离的本地DNS。其中，
AC，用于在WLAN终端与AP建立物理连接后，向WLAN终端分配IP地址；响应于截获到WLAN终端发送的DNS解析请求，判断WLAN终端是否已通过用户认证；响应于WLAN终端未通过用户认证，将DNS解析请求重定向至与公网隔离的本地DNS；以及根据本地DNS返回的DNS回应数据包，响应于接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时，将该HTTP请求或HTTPS请求重定向到门户服务器。
本地DNS，也可以称为本地UDP53端口服务器，用于在接收到DNS解析请求时，构造指向门户服务器IP地址的DNS回应数据包并返回AC。
门户服务器，用于在接收到HTTP请求或HTTPS请求时，向WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据该用户名及密码对WLAN终端进行用户认证。
本发明实施例的WLAN终端安装有无线网卡及WEB浏览器，AP用于WLAN终端的无线接入。
本发明上述实施例提供的基于万维网的无线局域网接入认证系统解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题；未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时，其DNS解析请求包被重定向到与公网隔离的本地DNS地址，解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中，通过运营商公网DNS访问代理服务器实现非法访问公网的问题，有效防范了现有技术中未经认证WLAN终端绕过用户认证实现非法上网的安全隐患，解决了现有技术基于WEB的WLAN接入认证方法中，未经认证WLAN终端通过UDP53端口访问公网的代理服务器或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过用户认证流程进行非法上网的技术问题。
再参见图3，在本发明基于WEB的WLAN接入认证系统的另一个实施例中，还包括认证服务器。该实施例中，门户服务器根据用户名及密码对WLAN终端进行用户认证时，具体可以将WLAN终端用户输入的用户名及密码发送给AC。相应地，AC还可以用于将WLAN终端用户输入的用户名及密码发送给认证服务器。认证服务器用于根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向AC反馈对WLAN终端的用户认证结果。
在本发明基于WEB的WLAN接入认证系统的又一个实施例中，AC还可以用于存储允许访问公网列表，响应于WLAN终端通过用户认证，在允许访问公网列表中存储WLAN终端的IP地址，该允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。
在本发明基于WEB的WLAN接入认证系统的再一个实施例中，AC判断WLAN终端是否已通过用户认证时，具体查询允许访问公网列表中是否包括WLAN终端的IP地址；若允许访问公网列表中包括WLAN终端的IP地址，则WLAN终端已通过用户认证；否则，WLAN终端未通过用户认证。
在本发明基于WEB的WLAN接入认证系统的又一个实施例中，AC还可以用于响应于WLAN终端通过用户认证，对DNS解析请求进行正常转发；以及响应于接收到WLAN终端发送的HTTP请求或HTTPS请求时，根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发HTTP请求或HTTPS请求。
本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言，由于其与方法实施例基本对应，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本发明的方法、系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

资源描述

《基于万维网的无线局域网接入认证方法与系统.pdf》由会员分享，可在线阅读，更多相关《基于万维网的无线局域网接入认证方法与系统.pdf（13页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 (43)申请公布日 (21)申请号 201310411084.3(22)申请日 2013.09.11H04W 12/06(2009.01)H04W 84/12(2009.01)H04L 29/12(2006.01)(71)申请人中国电信股份有限公司地址 100033 北京市西城区金融大街31号(72)发明人罗志强沈军史国水王帅苏志胜罗钢金华敏(74)专利代理机构中国国际贸易促进委员会专利商标事务所 11038代理人毛丽琴(54) 发明名称基于万维网的无线局域网接入认证方法与系统(57) 摘要本发明实施例公开了一种基于万维网的无线局域网接入认证方法与系统，其中，方法。

2、包括：AC截获到所述WLAN终端发送的DNS解析请求，判断所述WLAN终端是否已通过用户认证；若未通过用户认证，AC将所述DNS解析请求重定向至与公网隔离的本地DNS；本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC；响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；门户服务器向WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。本发明实施例可以解决现有技术未认证WLAN终端绕过Portal认证流程进行非法上网的。

3、技术问题。(51)Int.Cl.(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书2页说明书7页附图3页(10)申请公布号 CN 104427499 A(43)申请公布日 2015.03.18CN 104427499 A1/2页21.一种基于万维网的无线局域网接入认证方法，其特征在于，包括：接入控制器在无线局域网WLAN终端与接入点建立物理连接后，向所述WLAN终端分配互联网协议IP地址；接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS解析请求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，接入控制器将所述DNS解析请求重定向至与。

4、公网隔离的本地DNS；本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；响应于接收到未认证的所述WLAN终端发送的超文本传输协议HTTP请求或安全超文本传输协议HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；门户服务器向WLAN终端发送万维网（WEB）认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。2.根据权利要求1所述的方法，其特征在于，根据用户名及密码对WLAN终端进行用户认证包括：门户服务器将WLAN终端用户输入的用户名及密码发送给接入控制器；接入控制器将WLAN终端。

5、用户输入的用户名及密码发送给认证服务器；认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。3.根据权利要求2所述的方法，其特征在于，向接入控制器反馈对WLAN终端的用户认证结果之后，还包括：响应于所述WLAN终端通过用户认证，接入控制器在允许访问公网列表中存储所述WLAN终端的IP地址。4.根据权利要求3所述的方法，其特征在于，判断所述WLAN终端是否已通过用户认证包括：查询允许访问公网列表中是否包括所述WLAN终端的IP地址；若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否。

6、则，所述WLAN终端未通过用户认证。5.根据权利要求1至4任意一项所述的方法，其特征在于，还包括：响应于所述WLAN终端通过用户认证，接入控制器对所述DNS解析请求进行正常转发；以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器根据该HTTP请求或HTTPS请求中的目的地址转发所述HTTP请求或HTTPS请求。6.一种基于万维网的无线局域网接入认证系统，包括接入点，其特征在于，还包括门户服务器、接入控制器和与公网隔离的本地DNS；所述接入控制器，用于在WLAN终端与接入点建立物理连接后，向所述WLAN终端分配IP地址；响应于截获到所述WLAN终端发送的DNS解析请。

7、求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，将所述DNS解析请求重定向至与公网隔离的本地DNS；以及根据本地DNS返回的DNS回应数据包，响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时，将该HTTP请求或HTTPS请求重定向到门户服务器；权利要求书CN 104427499 A2/2页3所述本地DNS，用于在接收到所述DNS解析请求时，构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；所述门户服务器，用于在接收到HTTP请求或HTTPS请求时，向所述WLAN终端发送WEB认证页面，通过WEB认证页面获取WLA。

8、N终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。7.根据权利要求6所述的系统，其特征在于，还包括认证服务器；所述门户服务器根据用户名及密码对WLAN终端进行用户认证时，具体将WLAN终端用户输入的用户名及密码发送给接入控制器；所述接入控制器，还用于将WLAN终端用户输入的用户名及密码发送给认证服务器；所述认证服务器，用于根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。8.根据权利要求7所述的系统，其特征在于，所述接入控制器还用于存储允许访问公网列表，响应于所述WLAN终端通过用户认证，在允许访问公。

9、网列表中存储所述WLAN终端的IP地址，所述允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。9.根据权利要求8所述的系统，其特征在于，所述接入控制器判断所述WLAN终端是否已通过用户认证时，具体查询允许访问公网列表中是否包括所述WLAN终端的IP地址；若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认证。10.根据权利要求6至9任意一项所述的系统，其特征在于，所述接入控制器，还用于响应于所述WLAN终端通过用户认证，对所述DNS解析请求进行正常转发；以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请。

10、求时，根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发所述HTTP请求或HTTPS请求。权利要求书CN 104427499 A1/7页4基于万维网的无线局域网接入认证方法与系统技术领域0001 本发明涉及通信技术，尤其是一种基于万维网（WEB）的无线局域网（Wireless Local Area Network，WLAN）接入认证方法与系统。背景技术0002 用户通过WLAN接入网络时，首先需要通过WLAN运营商的认证。WLAN运营商通常采用基于WEB的WLAN接入认证方法对用户进行认证，具体流程如下：0003 支持WLAN接入的用户终端（以下简称为：WLAN终端）与运营商。

11、接入点（Access Point，AP）建立物理连接，通过接入控制器（Access Control，AC）获取互联网协议（IP）地址后发起超文本传输协议（Hyper Text Transport Protocol，HTTP）请求；用户在浏览器地址栏输入任意网址均跳转到门户（Portal）认证入口，运营商根据终端在WEB页面输入的用户名密码对WLAN终端进行用户认证。0004 上述基于WEB的WLAN接入认证方法中，为了实现用户在浏览器地址栏输入任意网址均跳转到Portal认证（也称为WEB认证）入口的功能，运营商必须开放域名服务器（Domain Name Server，DNS）端口与WEB端口。

12、。其中，DNS端口目前通过用户数据报协议（UserDatagram Protocol，UDP）53端口实现，用户通过UDP53端口访问DNS服务器，向DNS服务器发送欲访问WEB网站的域名，DNS服务器将该域名对应的IP地址通过UDP53端口返回用户，以便用户通过该IP地址访问欲访问WEB网站。WEB端口包括传输控制协议（Transfer Control Protocol，TCP）80端口与TCP443端口。其中，用户通过不加密的HTTP与加密的HTTPS访问WEB网站时，分别对应TCP80和TCP443端口。0005 在实现本发明的过程中，发明人发现，上述现有技术的WLAN接入认证方法存在W。

13、LAN客户端绕过Portal认证流程实现非法上网的风险：0006 由于域名解析的需要，运营商允许未认证的WLAN终端也可以使用UDP53端口访问公网的代理服务器，例如，由虚拟专用网代理软件（LoopcVPN）实现的代理服务器，未经认证的WLAN终端利用UDP53端口访问代理服务器时，可以通过代理服务器代理非法上网。例如，代理服务器LoopcVPN包括客户端和服务器端，LoopcVPN客户端可以将IP数据包通过一条秘密隧道发送到LoopcVPN服务器端，从而实现网络加速、隐藏真实IP、突破IP端口限制等功能。因此，当LoopcVPN服务器端开放了UDP53端口作为代理时，未经认证的WLAN终端就。

14、可以通过代理免费上网；0007 未经认证的WLAN终端可以将上网数据包封装在DNS解析请求包中，由于DNS不对用户的DNS解析请求包内容进行检查，当用户请求解析的域名解析属于二级域名时，DNS会将上网数据包递归到LoopcVPN等代理服务器所在的DNS设备。由此，可以以DNS服务器作为中转，实现与LoopcVPN等代理服务器的数据交互，通过运营商DNS访问LoopcVPN服务器代理实现非法上网。发明内容说明书CN 104427499 A2/7页50008 本发明实施例所要解决的其中一个技术问题是：提供一种基于万维网的无线局域网接入认证方法与系统，以解决现有技术基于WEB的WLAN接入认证方。

15、法中，未经认证WLAN终端通过UDP53端口访问公网服务器或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过Portal认证流程进行非法上网的技术问题。0009 本发明实施例提供的一种基于万维网的无线局域网接入认证方法，包括：0010 接入控制器在无线局域网WLAN终端与接入点建立物理连接后，向所述WLAN终端分配互联网协议IP地址；0011 接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS解析请求，判断所述WLAN终端是否已通过用户认证；0012 响应于所述WLAN终端未通过用户认证，接入控制器将所述DNS解析请求重定向至与公网隔离的本地DNS；0013 本地D。

16、NS构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；0014 响应于接收到未认证的所述WLAN终端发送的超文本传输协议HTTP请求或安全超文本传输协议HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；0015 门户服务器向WLAN终端发送万维网（WEB）认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。0016 在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中，根据用户名及密码对WLAN终端进行用户认证包括：0017 门户服务器将WLAN终端用户输入的用户名及密码发送给接。

17、入控制器；0018 接入控制器将WLAN终端用户输入的用户名及密码发送给认证服务器；0019 认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。0020 在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中，向接入控制器反馈对WLAN终端的用户认证结果之后，还包括：0021 响应于所述WLAN终端通过用户认证，接入控制器在允许访问公网列表中存储所述WLAN终端的IP地址。0022 在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中，判断所述WLAN终端是否已通过用户认证包括：0023 查询允许。

18、访问公网列表中是否包括所述WLAN终端的IP地址；0024 若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认证。0025 在本发明基于万维网的无线局域网接入认证方法的另一个具体实施例中，还包括：0026 响应于所述WLAN终端通过用户认证，接入控制器对所述DNS解析请求进行正常转发；以及0027 响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器根据该HTTP请求或HTTPS请求中的目的地址转发所述HTTP请求或HTTPS请求。0028 本发明实施例提供的一种基于万维网的无线局域网接入认证系统，包。

19、括接入点，说明书CN 104427499 A3/7页6还包括门户服务器、接入控制器和与公网隔离的本地DNS；0029 所述接入控制器，用于在WLAN终端与接入点建立物理连接后，向所述WLAN终端分配IP地址；响应于截获到所述WLAN终端发送的DNS解析请求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，将所述DNS解析请求重定向至与公网隔离的本地DNS；以及根据本地DNS返回的DNS回应数据包，响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时，将该HTTP请求或HTTPS请求重定向到门户服务器；0030 所述本地DNS，用于在接收到所。

20、述DNS解析请求时，构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；0031 所述门户服务器，用于在接收到HTTP请求或HTTPS请求时，向所述WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。0032 在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中，还包括认证服务器；0033 所述门户服务器根据用户名及密码对WLAN终端进行用户认证时，具体将WLAN终端用户输入的用户名及密码发送给接入控制器；0034 所述接入控制器，还用于将WLAN终端用户输入的用户名及密码发送给认证服务器。

21、；0035 所述认证服务器，用于根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。0036 在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中，所述接入控制器还用于存储允许访问公网列表，响应于所述WLAN终端通过用户认证，在允许访问公网列表中存储所述WLAN终端的IP地址，所述允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。0037 在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中，所述接入控制器判断所述WLAN终端是否已通过用户认证时，具体查询允许访问公网列表中是否包括所述WLAN终端。

22、的IP地址；若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认证。0038 在本发明基于万维网的无线局域网接入认证系统的另一个具体实施例中，所述接入控制器，还用于响应于所述WLAN终端通过用户认证，对所述DNS解析请求进行正常转发；以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时，根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发所述HTTP请求或HTTPS请求。0039 基于本发明上述实施例提供的基于万维网的无线局域网接入认证方法与系统，接入控制器截获到WLAN终端发送的DNS解析请求，判断该。

23、WLAN终端是否已通过用户认证；若未通过用户认证，将该DNS解析请求重定向至与公网隔离的本地DNS，本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回接入控制器；接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；由门户服务器向WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。与现有技术相比，本说明书CN 104427499 A4/7页7发明实施例可以将未经认证的WLAN终端通过UDP53端口访问LoopcVPN等公网服务器。

24、的流量拦截，解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题；未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时，其DNS解析请求包被重定向到与公网隔离的本地DNS地址，解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中，通过运营商公网DNS访问代理服务器实现非法访问公网的问题。本发明实施例有效防范了现有技术中未经认证WLAN终端绕过用户认证实现非法上网的安全隐患，解决了现有技术基于WEB的WLAN接入认证方法中，未经认证WLAN终端通过UDP53端口访问公网的代理服务器或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过用户认证流程进行。

25、非法上网的技术问题。0040 下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。附图说明0041 构成说明书的一部分的附图描述了本发明的实施例，并且连同描述一起用于解释本发明的原理。0042 参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：0043 图1为本发明基于WEB的无线局域网接入认证方法一个实施例的流程图。0044 图2为本发明基于WEB的无线局域网接入认证方法另一个实施例的流程图。0045 图3为本发明基于WEB的无线局域网接入认证系统一个实施例的结构示意图。具体实施方式0046 现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否。

26、则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。0047 同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。0048 以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。0049 对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。0050 在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。0051 应注意到：相似的标号和字母在下。

27、面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。0052 图1为本发明基于WEB的WLAN接入认证方法一个实施例的流程图。如图1所示，该实施例基于万维网的WLAN接入认证方法包括：0053 110，AC在WLAN终端与AP建立物理连接后，向WLAN终端分配IP地址。0054 120，AC响应于截获到WLAN终端发送的DNS解析请求，判断WLAN终端是否已通过用户认证。0055 若WLAN终端未通过用户认证，执行130的操作。否则，若WLAN终端已通过用户认说明书CN 104427499 A5/7页8证，允许WLAN终端进行正常的互联网访问。

28、，不执行本实施例的后续流程。0056 130，AC将DNS解析请求重定向至与公网（即：互联网）隔离的本地DNS。0057 140，本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC。0058 150，响应于接收到未认证的WLAN终端发送的HTTP请求或安全超文本传输协议（Hypertext Transfer Protocol Secure，HTTPS）请求时，AC将该HTTP请求或HTTPS请求重定向到门户（Portal）服务器，即：将WLAN终端通过TCP80或TCP443端口访问互联网浏览WEB服务器的流量重定向到门户服务器。0059 160，门户服务器向WLAN终端发送万维。

29、网（WEB）认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据该用户名及密码对WLAN终端进行用户认证。0060 本发明实施例中，WLAN终端为用户使用的WLAN终端，用户与WLAN终端对应，对WLAN终端进行用户认证即对WLAN终端用户进行认证，WLAN终端的IP地址即为WLAN终端用户的IP地址。0061 示例性地，若WLAN终端通过用户认证，则AC允许用户访问互联网，并由验证、授权和记账（Authentication、Authorization、Accounting，AAA）服务器进行计费。若WLAN终端通过用户认证，则AC只允许该WLAN终端访问互联网上的DNS服。

30、务器和门户服务器，不允许访问其他公网资源。0062 本发明上述实施例提供的基于万维网的无线局域网接入认证方法解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题；未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时，其DNS解析请求包被重定向到与公网隔离的本地DNS地址，解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中，通过运营商公网DNS访问代理服务器实现非法访问公网的问题，有效防范了现有技术中未经认证WLAN终端绕过用户认证实现非法上网的安全隐患，解决了现有技术基于WEB的WLAN接入认证方法中，未经认证WLAN终端通过UDP53端口访问公网的代理服务器。

31、或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过用户认证流程进行非法上网的技术问题。0063 图2为本发明基于WEB的WLAN接入认证方法另一个实施例的流程图。如图2所示，该实施例基于WEB的WLAN接入认证方法包括：0064 210，AC在WLAN终端与AP建立物理连接后，向WLAN终端分配IP地址。0065 220，AC响应于截获到WLAN终端发送的域名服务器DNS解析请求，查询允许访问公网列表中是否包括WLAN终端的IP地址。0066 其中，允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。0067 若允许访问公网列表中包括WLAN终端的IP地址，则WLAN。

32、终端已通过用户认证，则执行300的操作，允许该WLAN终端访问互联网。否则，若允许访问公网列表中不包括WLAN终端的IP地址，则WLAN终端未通过用户认证，执行230的操作。0068 230，AC将DNS解析请求重定向至与公网隔离的本地DNS。0069 240，本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC。0070 250，响应于接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时，AC将该HTTP请求或HTTPS请求重定向到门户服务器，即：未认证用户的访问互联网请求都会重定向到Portal Server的WEB认证页面上。0071 260，门户服务器（Porta。

33、l Server）向WLAN终端发送WEB认证页面，通过WEB认证说明书CN 104427499 A6/7页9页面获取WLAN终端用户输入的用户名及密码（即：用户在WEB认证页面中输入用户名和密码认证信息后提交），并将WLAN终端用户输入的用户名及密码发送给AC。0072 270，AC将WLAN终端用户输入的用户名及密码发送给认证服务器（Radius Server）。0073 280，认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，比对WLAN终端用户输入的用户名及密码与预先存储的用户认证信息是否一致，并向AC反馈对WLAN终端的用户认证结果。0074 若。

34、比对一致，WLAN终端通过用户认证，执行290的操作，并允许该WLAN终端访问互联网。否则，若WLAN终端未通过用户认证，不执行本实施例的后续流程，可以进一步返回执行230的操作，或者通过门户服务器向用户返回未通过认证的错误信息，告知用户认证失败，不允许用户访问公网。0075 示例性地，认证服务器具体通过门户服务器向AC反馈对WLAN终端的用户认证结果，门户服务器可以将用户认证结果显示在用户的浏览器中。0076 290，AC在允许访问公网列表中存储WLAN终端的IP地址。0077 300，AC对DNS解析请求进行正常转发。0078 其中，操作300与290之间不存在执行时间顺序限制，操作300。

35、可以先于290执行，也可以与290同时执行或者晚于290执行。0079 310，接收到WLAN终端发送的HTTP请求或HTTPS请求时，AC根据该HTTP请求或HTTPS请求中的目的地址转发HTTP请求或HTTPS请求。0080 图3为本发明基于WEB的WLAN接入认证系统一个实施例的结构示意图。该实施例基于WEB的WLAN接入认证系统可用于实现本发明上述各基于WEB的WLAN接入认证方法实施例。如图3所示，其包括还包括门户服务器、AC和与公网隔离的本地DNS。其中，0081 AC，用于在WLAN终端与AP建立物理连接后，向WLAN终端分配IP地址；响应于截获到WLAN终端发送的DNS解析请求。

36、，判断WLAN终端是否已通过用户认证；响应于WLAN终端未通过用户认证，将DNS解析请求重定向至与公网隔离的本地DNS；以及根据本地DNS返回的DNS回应数据包，响应于接收到未认证的WLAN终端发送的HTTP请求或HTTPS请求时，将该HTTP请求或HTTPS请求重定向到门户服务器。0082 本地DNS，也可以称为本地UDP53端口服务器，用于在接收到DNS解析请求时，构造指向门户服务器IP地址的DNS回应数据包并返回AC。0083 门户服务器，用于在接收到HTTP请求或HTTPS请求时，向WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据该用户名及。

37、密码对WLAN终端进行用户认证。0084 本发明实施例的WLAN终端安装有无线网卡及WEB浏览器，AP用于WLAN终端的无线接入。0085 本发明上述实施例提供的基于万维网的无线局域网接入认证系统解决了未经认证的WLAN终端直接通过服务器代理非法访问公网的问题；未经认证的WLAN终端在通过用户认证前访问运营商DNS地址时，其DNS解析请求包被重定向到与公网隔离的本地DNS地址，解决了未经认证的WLAN终端将上网数据包封装在DNS解析请求包中，通过运营商公网DNS访问代理服务器实现非法访问公网的问题，有效防范了现有技术中未经认证WLAN终端说明书CN 104427499 A7/7页10绕过用。

38、户认证实现非法上网的安全隐患，解决了现有技术基于WEB的WLAN接入认证方法中，未经认证WLAN终端通过UDP53端口访问公网的代理服务器或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过用户认证流程进行非法上网的技术问题。0086 再参见图3，在本发明基于WEB的WLAN接入认证系统的另一个实施例中，还包括认证服务器。该实施例中，门户服务器根据用户名及密码对WLAN终端进行用户认证时，具体可以将WLAN终端用户输入的用户名及密码发送给AC。相应地，AC还可以用于将WLAN终端用户输入的用户名及密码发送给认证服务器。认证服务器用于根据预先存储的用户认证信息对WLAN终端用户输。

39、入的用户名及密码进行认证，并向AC反馈对WLAN终端的用户认证结果。0087 在本发明基于WEB的WLAN接入认证系统的又一个实施例中，AC还可以用于存储允许访问公网列表，响应于WLAN终端通过用户认证，在允许访问公网列表中存储WLAN终端的IP地址，该允许访问公网列表中包括通过用户认证的WLAN终端的IP地址。0088 在本发明基于WEB的WLAN接入认证系统的再一个实施例中，AC判断WLAN终端是否已通过用户认证时，具体查询允许访问公网列表中是否包括WLAN终端的IP地址；若允许访问公网列表中包括WLAN终端的IP地址，则WLAN终端已通过用户认证；否则，WLAN终端未通过用户认证。008。

40、9 在本发明基于WEB的WLAN接入认证系统的又一个实施例中，AC还可以用于响应于WLAN终端通过用户认证，对DNS解析请求进行正常转发；以及响应于接收到WLAN终端发送的HTTP请求或HTTPS请求时，根据该HTTP请求或HTTPS请求中的目的地址通过互联网转发HTTP请求或HTTPS请求。0090 本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言，由于其与方法实施例基本对应，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。0091 可能以许多方式来实现本发明的方法、系统。例如，。

41、可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。0092 本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。0093 本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。说明书CN 104427499 A10。

展开阅读全文