基于万维网的无线局域网接入认证方法与系统技术方案

本发明专利技术实施例公开了一种基于万维网的无线局域网接入认证方法与系统，其中，方法包括：AC截获到所述WLAN终端发送的DNS解析请求，判断所述WLAN终端是否已通过用户认证；若未通过用户认证，AC将所述DNS解析请求重定向至与公网隔离的本地DNS；本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回AC；响应于接收到未认证的所述WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；门户服务器向WLAN终端发送WEB认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。本发明专利技术实施例可以解决现有技术未认证WLAN终端绕过Portal认证流程进行非法上网的技术问题。

【技术实现步骤摘要】

本专利技术涉及通信技术，尤其是一种基于万维网（WEB）的无线局域网（Wireless Local Area Network，WLAN）接入认证方法与系统。
技术介绍
用户通过WLAN接入网络时，首先需要通过WLAN运营商的认证。WLAN运营商通常采用基于WEB的WLAN接入认证方法对用户进行认证，具体流程如下：支持WLAN接入的用户终端（以下简称为：WLAN终端）与运营商接入点（Access Point，AP）建立物理连接，通过接入控制器（Access Control，AC）获取互联网协议（IP）地址后发起超文本传输协议（Hyper Text Transport Protocol，HTTP）请求；用户在浏览器地址栏输入任意网址均跳转到门户（Portal）认证入口，运营商根据终端在WEB页面输入的用户名密码对WLAN终端进行用户认证。上述基于WEB的WLAN接入认证方法中，为了实现用户在浏览器地址栏输入任意网址均跳转到Portal认证（也称为WEB认证）入口的功能，运营商必须开放域名服务器（Domain Name Server，DNS）端口与WEB端口。其中，DNS端口目前通过用户数据报协议（UserDatagram Protocol，UDP）53端口实现，用户通过UDP53端口访问DNS服务器，向DNS服务器发送欲访问WEB网站的域名，DNS服务器将该域名对应的IP地址通过UDP53端口返回用户，以便用户通过该IP地址访问欲访问WEB网站。WEB端口包括传输控制协议（Transfer Control Protocol，TCP）80端口与TCP443端口。其中，用户通过不加密的HTTP与加密的HTTPS访问WEB网站时，分别对应TCP80和TCP443端口。在实现本专利技术的过程中，专利技术人发现，上述现有技术的WLAN接入认证方法存在WLAN客户端绕过Portal认证流程实现非法上网的风险：由于域名解析的需要，运营商允许未认证的WLAN终端也可以使用UDP53端口访问公网的代理服务器，例如，由虚拟专用网代理软件（LoopcVPN）实现的代理服务器，未经认证的WLAN终端利用UDP53端口访问代理服务器时，可以通过代理服务器代理非法上网。例如，代理服务器LoopcVPN包括客户端和服务器端，LoopcVPN客户端可以将IP数据包通过一条秘密隧道发送到LoopcVPN服务器端，从而实现网络加速、隐藏真实IP、突破IP端口限制等功能。因此，当LoopcVPN服务器端开放了UDP53端口作为代理时，未经认证的WLAN终端就可以通过代理免费上网；未经认证的WLAN终端可以将上网数据包封装在DNS解析请求包中，由于DNS不对用户的DNS解析请求包内容进行检查，当用户请求解析的域名解析属于二级域名时，DNS会将上网数据包递归到LoopcVPN等代理服务器所在的DNS设备。由此，可以以DNS服务器作为中转，实现与LoopcVPN等代理服务器的数据交互，通过运营商DNS访问LoopcVPN服务器代理实现非法上网。
技术实现思路
本专利技术实施例所要解决的其中一个技术问题是：提供一种基于万维网的无线局域网接入认证方法与系统，以解决现有技术基于WEB的WLAN接入认证方法中，未经认证WLAN终端通过UDP53端口访问公网服务器或者将上网数据包封装在DNS解析请求包中，导致未认证WLAN终端绕过Portal认证流程进行非法上网的技术问题。本专利技术实施例提供的一种基于万维网的无线局域网接入认证方法，包括：接入控制器在无线局域网WLAN终端与接入点建立物理连接后，向所述WLAN终端分配互联网协议IP地址；接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS解析请求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，接入控制器将所述DNS解析请求重定向至与公网隔离的本地DNS；本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；响应于接收到未认证的所述WLAN终端发送的超文本传输协议HTTP请求或安全超文本传输协议HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；门户服务器向WLAN终端发送万维网（WEB）认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。在本专利技术基于万维网的无线局域网接入认证方法的另一个具体实施例中，根据用户名及密码对WLAN终端进行用户认证包括：门户服务器将WLAN终端用户输入的用户名及密码发送给接入控制器；接入控制器将WLAN终端用户输入的用户名及密码发送给认证服务器；认证服务器根据预先存储的用户认证信息对WLAN终端用户输入的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户认证结果。在本专利技术基于万维网的无线局域网接入认证方法的另一个具体实施例中，向接入控制器反馈对WLAN终端的用户认证结果之后，还包括：响应于所述WLAN终端通过用户认证，接入控制器在允许访问公网列表中存储所述WLAN终端的IP地址。在本专利技术基于万维网的无线局域网接入认证方法的另一个具体实施例中，判断所述WLAN终端是否已通过用户认证包括：查询允许访问公网列表中是否包括所述WLAN终端的IP地址；若允许访问公网列表中包括所述WLAN终端的IP地址，则所述WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认证。在本专利技术基于万维网的无线局域网接入认证方法的另一个具体实施例中，还包括：响应于所述WLAN终端通过用户认证，接入控制器对所述DNS解析请求进行正常转发；以及响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求时，接入控制器根据该HTTP请求或HTTPS请求中的目的地址转发所述HTTP请求或HTTPS请求。本专利技术实施例提供的一种基于万维网的无线局域网接入认证系统，包括接入点，还包括门户服务器、接入控制器和与公网隔离的本地DNS；所述接入控制器，用于在WLAN终端与接入点建立物理连接后，向所述WLAN终端分配IP地址；响应于截获到所述WLAN终端发送的DNS解析请求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，将所述DNS解析请求重定向至与公网隔离的本地DNS；以及本文档来自技高网...

【技术保护点】
一种基于万维网的无线局域网接入认证方法，其特征在于，包括：接入控制器在无线局域网WLAN终端与接入点建立物理连接后，向所述WLAN终端分配互联网协议IP地址；接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS解析请求，判断所述WLAN终端是否已通过用户认证；响应于所述WLAN终端未通过用户认证，接入控制器将所述DNS解析请求重定向至与公网隔离的本地DNS；本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回所述接入控制器；响应于接收到未认证的所述WLAN终端发送的超文本传输协议HTTP请求或安全超文本传输协议HTTPS请求时，接入控制器将该HTTP请求或HTTPS请求重定向到门户服务器；门户服务器向WLAN终端发送万维网（WEB）认证页面，通过WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。

【技术特征摘要】
1.一种基于万维网的无线局域网接入认证方法，其特征在于，包
括：
接入控制器在无线局域网WLAN终端与接入点建立物理连接后，
向所述WLAN终端分配互联网协议IP地址；
接入控制器响应于截获到所述WLAN终端发送的域名服务器DNS
解析请求，判断所述WLAN终端是否已通过用户认证；
响应于所述WLAN终端未通过用户认证，接入控制器将所述DNS
解析请求重定向至与公网隔离的本地DNS；
本地DNS构造指向门户服务器IP地址的DNS回应数据包并返回
所述接入控制器；
响应于接收到未认证的所述WLAN终端发送的超文本传输协议
HTTP请求或安全超文本传输协议HTTPS请求时，接入控制器将该
HTTP请求或HTTPS请求重定向到门户服务器；
门户服务器向WLAN终端发送万维网（WEB）认证页面，通过
WEB认证页面获取WLAN终端用户输入的用户名及密码，根据用户名
及密码对WLAN终端进行用户认证。
2.根据权利要求1所述的方法，其特征在于，根据用户名及密码
对WLAN终端进行用户认证包括：
门户服务器将WLAN终端用户输入的用户名及密码发送给接入控
制器；
接入控制器将WLAN终端用户输入的用户名及密码发送给认证服
务器；
认证服务器根据预先存储的用户认证信息对WLAN终端用户输入
的用户名及密码进行认证，并向接入控制器反馈对WLAN终端的用户
认证结果。
3.根据权利要求2所述的方法，其特征在于，向接入控制器反馈
对WLAN终端的用户认证结果之后，还包括：
响应于所述WLAN终端通过用户认证，接入控制器在允许访问公

\t网列表中存储所述WLAN终端的IP地址。
4.根据权利要求3所述的方法，其特征在于，判断所述WLAN终
端是否已通过用户认证包括：
查询允许访问公网列表中是否包括所述WLAN终端的IP地址；
若允许访问公网列表中包括所述WLAN终端的IP地址，则所述
WLAN终端已通过用户认证；否则，所述WLAN终端未通过用户认
证。
5.根据权利要求1至4任意一项所述的方法，其特征在于，还包
括：
响应于所述WLAN终端通过用户认证，接入控制器对所述DNS解
析请求进行正常转发；以及
响应于接收到所述WLAN终端发送的HTTP请求或HTTPS请求
时，接入控制器根据该HTTP请求或HTTPS请求中的目的地址转发所
述HTTP请求或HTTPS请求。
6.一种基于万维网的无线局域网接入认证系统，包括接入点，其
特征在于，还包括...

【专利技术属性】
技术研发人员：罗志强，沈军，史国水，王帅，苏志胜，罗钢，金华敏，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京;11