專利名稱:一種報(bào)文的發(fā)送方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別是涉及一種報(bào)文的發(fā)送方法和裝置�����。
背景技術(shù):
隨著科學(xué)技術(shù)的快速發(fā)展,對(duì)網(wǎng)絡(luò)技術(shù)提出了更多的要求��,多種接入認(rèn)證技術(shù)應(yīng) 運(yùn)而生����。由于web較強(qiáng)的表達(dá)性,在認(rèn)證過(guò)程中可以提供額外的內(nèi)容(例如�����,廣告性質(zhì)的內(nèi) 容)���,從而使得快速方便的web認(rèn)證方式正被廣泛采用���。其中,web認(rèn)證是指基于萬(wàn)維網(wǎng)的 一種認(rèn)證方法����,且web認(rèn)證的另一種稱呼為Portal(門(mén)戶、入口)�����。在目前的web認(rèn)證(portal)過(guò)程中�,一般都采用了強(qiáng)制portal的認(rèn)證方式�����。首先 通過(guò)DHCP (Dynamic Host Configuration Protocol�����,動(dòng)態(tài)主機(jī)配置協(xié)議)方式讓用戶獲取 IP地址����,然后用戶在瀏覽器中任意輸入一個(gè)網(wǎng)址(例如�����,www. aaa. com)�����,之后NAS (Network Access Server,網(wǎng)絡(luò)接入服務(wù)器)設(shè)備會(huì)強(qiáng)制將該訪問(wèn)重定向到指定的portal認(rèn)證頁(yè)面 (例如www. portal, com)上���,讓用戶在指定的portal認(rèn)證頁(yè)面輸入用戶名和密碼進(jìn)行認(rèn)證, 認(rèn)證通過(guò)后才可以真正的訪問(wèn)網(wǎng)絡(luò)�。需要注意的是,在強(qiáng)制portal重定向認(rèn)證過(guò)程中���,在認(rèn)證過(guò)程之前�,需要進(jìn)行 DNS (Domain Name System,域名系統(tǒng))域名解析過(guò)程��。其中�����,域名解析過(guò)程需要將用戶設(shè)備 輸入的域名����,通過(guò)域名解析報(bào)文(可以為端口號(hào)為53的UDP報(bào)文或者TCP報(bào)文)發(fā)送到 DNS服務(wù)器上,由DNS服務(wù)器將域名解析為IP地址返回給用戶設(shè)備��,用戶設(shè)備根據(jù)該解析后 的IP地址訪問(wèn)對(duì)應(yīng)的網(wǎng)站�,并被強(qiáng)制將該訪問(wèn)重定向到指定的portal認(rèn)證頁(yè)面。但是�����,在將域名解析報(bào)文發(fā)送給DNS服務(wù)器時(shí)�����,由于portal認(rèn)證功能的存在���,在認(rèn) 證通過(guò)之前是不允許數(shù)據(jù)報(bào)文(例如���,域名解析報(bào)文)通過(guò)NAS設(shè)備的�����,即不允許NAS設(shè)備 將域名解析報(bào)文發(fā)送給DNS服務(wù)器��。為了解決上述問(wèn)題��,使得在認(rèn)證通過(guò)之前可以將域名解析報(bào)文發(fā)送給DNS服務(wù) 器����,現(xiàn)有技術(shù)中可以采用以下方法(1)管理員預(yù)先獲取到DNS服務(wù)器的IP地址�,將該IP地址配置為free IP���、或者 free IP加DNS知名端口 53�����,則通過(guò)該配置結(jié)果���,在認(rèn)證通過(guò)前�����,也可以允許目的地址為DNS 服務(wù)器IP地址的訪問(wèn)����,從而完成認(rèn)證前的域名解析功能�。(2)由于一般情況下與DNS服務(wù)器交互的報(bào)文都是UDP (User Datagram Protocol,用戶數(shù)據(jù)包協(xié)議)或者TCP (Transmission Control Protocol����,傳輸控制協(xié)議) 的知名端口為53的報(bào)文,則NAS設(shè)備通過(guò)允許目的端口為知名端口 53的報(bào)文�����,從而完成認(rèn) 證前的域名解析功能����。在實(shí)現(xiàn)本發(fā)明的過(guò)程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在以下問(wèn)題方法(1)中���,由于DNS服務(wù)器的IP地址需要管理員預(yù)先獲取�,并通過(guò)手工配置的 方式完成,不利于NAS設(shè)備的維護(hù)��,而且如果DNS服務(wù)器的IP地址發(fā)生變化時(shí)����,需要管理員 重新配置free IP,維護(hù)很復(fù)雜�����。方法(2)中����,允許知名端口號(hào)報(bào)文的方式會(huì)導(dǎo)致出現(xiàn)安全問(wèn)題,甚至導(dǎo)致portal認(rèn)證功能無(wú)法生效��。例如�����,用戶可以將實(shí)際訪問(wèn)的數(shù)據(jù)報(bào)文封裝在DNS知名端口的報(bào)文中��, 由于NAS設(shè)備會(huì)放過(guò)該報(bào)文��,如果在外部網(wǎng)絡(luò)中做一個(gè)代理軟件����,負(fù)責(zé)接收并將這類數(shù)據(jù) 報(bào)文從DNS知名端口的報(bào)文中解析出來(lái)進(jìn)行轉(zhuǎn)發(fā),則用戶就可以繞開(kāi)portal認(rèn)證直接訪問(wèn) 網(wǎng)絡(luò)了��。另外����,在方法(1)和(2)中,無(wú)論是否有用戶通過(guò)認(rèn)證訪問(wèn)網(wǎng)絡(luò)��,則都會(huì)允許對(duì)DNS 服務(wù)器的訪問(wèn)����,從而可能導(dǎo)致非法用戶惡意訪問(wèn)DNS服務(wù)器的問(wèn)題。
發(fā)明內(nèi)容
本發(fā)明提供一種報(bào)文的發(fā)送方法和裝置���,以動(dòng)態(tài)發(fā)現(xiàn)DNS服務(wù)器地址�,并根據(jù)DNS 服務(wù)器地址將域名解析報(bào)文發(fā)送給DNS服務(wù)器����,防止對(duì)DNS服務(wù)器的攻擊。為了達(dá)到上述目的�����,本發(fā)明提出了一種報(bào)文的發(fā)送方法,應(yīng)用于包括NAS設(shè)備����、用 戶設(shè)備、認(rèn)證服務(wù)器�、地址分配服務(wù)器和DNS服務(wù)器的認(rèn)證系統(tǒng)中,在所述用戶設(shè)備通過(guò)所 述認(rèn)證服務(wù)器的認(rèn)證之前�,所述NAS設(shè)備允許所述用戶設(shè)備發(fā)送給所述認(rèn)證服務(wù)器的報(bào)文 以及所述用戶設(shè)備發(fā)送給所述地址分配服務(wù)器的報(bào)文,并拒絕所述用戶設(shè)備的其他報(bào)文�, 該方法包括以下步驟所述NAS設(shè)備偵聽(tīng)所述用戶設(shè)備通過(guò)所述地址分配服務(wù)器獲取所述DNS服務(wù)器地 址的過(guò)程,并當(dāng)偵聽(tīng)到所述地址分配服務(wù)器向所述用戶設(shè)備發(fā)送的攜帶了所述DNS服務(wù)器 地址的報(bào)文時(shí)�����,所述NAS設(shè)備根據(jù)所述DNS服務(wù)器地址為所述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則�; 并根據(jù)所述DNS訪問(wèn)規(guī)則允許所述用戶設(shè)備發(fā)送給所述DNS服務(wù)器的報(bào)文。所述DNS訪問(wèn)規(guī)則中包括所述用戶設(shè)備的IP地址和所述DNS服務(wù)器地址��;根據(jù)所述DNS訪問(wèn)規(guī)則允許所述用戶設(shè)備發(fā)送給所述DNS服務(wù)器的報(bào)文��,具體為 允許源IP地址為DNS訪問(wèn)規(guī)則中所述用戶設(shè)備的IP地址�、目的IP地址為DNS訪問(wèn)規(guī)則中 所述DNS服務(wù)器地址的報(bào)文;允許所述用戶設(shè)備發(fā)送給所述認(rèn)證服務(wù)器的報(bào)文����,具體為允許目的IP地址為所 述認(rèn)證服務(wù)器地址的報(bào)文;允許所述用戶設(shè)備發(fā)送給所述地址分配服務(wù)器的報(bào)文���,具體為允許目的IP地址 為所述地址分配服務(wù)器地址的報(bào)文����。所述NAS設(shè)備根據(jù)所述DNS服務(wù)器地址為所述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則�����,之后 還包括當(dāng)獲知所述DNS服務(wù)器地址發(fā)生變化時(shí)�,所述用戶設(shè)備重新獲取所述DNS服務(wù)器 地址;所述NAS設(shè)備偵聽(tīng)所述用戶設(shè)備重新獲取所述DNS服務(wù)器地址的過(guò)程����,并根據(jù)發(fā) 生變化后的DNS服務(wù)器地址更新所述DNS訪問(wèn)規(guī)則。所述NAS設(shè)備根據(jù)所述DNS服務(wù)器地址為所述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則���,之后 還包括如果在預(yù)設(shè)時(shí)間內(nèi)所述用戶設(shè)備沒(méi)有通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證時(shí)���,所述NAS設(shè) 備刪除所述DNS訪問(wèn)規(guī)則。所述NAS設(shè)備允許所述用戶設(shè)備發(fā)送給所述認(rèn)證服務(wù)器的報(bào)文����,具體包括當(dāng)接收到來(lái)自所述用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)報(bào)文時(shí)����,所述NAS設(shè)備根據(jù)所述認(rèn)證服務(wù)
6器的地址將所述網(wǎng)絡(luò)訪問(wèn)報(bào)文重定向到所述認(rèn)證服務(wù)器上��,并由所述認(rèn)證服務(wù)器對(duì)所述用 戶設(shè)備進(jìn)行portal認(rèn)證��。所述認(rèn)證服務(wù)器對(duì)所述用戶設(shè)備進(jìn)行portal認(rèn)證��,之后還包括當(dāng)所述用戶設(shè)備通過(guò)portal認(rèn)證時(shí)����,所述NAS設(shè)備允許所述用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn) 報(bào)文。所述攜帶了所述DNS服務(wù)器地址的報(bào)文包括在IPv4網(wǎng)絡(luò)中���,所述用戶設(shè)備從DHCP服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程中���, 所述DHCP服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的ACK報(bào)文;或者����,在IPv6網(wǎng)絡(luò)中,所述用戶設(shè)備從DHCPv6服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程 中�����,所述DHCPv6服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的Reply報(bào)文;或者���,在IPv6網(wǎng)絡(luò)中,所述用戶設(shè)備從路由器獲取所述DNS服務(wù)器地址的過(guò)程中���,所述 路由器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的RA報(bào)文�。本發(fā)明提供一種NAS設(shè)備��,應(yīng)用于包括所述NAS設(shè)備��、用戶設(shè)備�、認(rèn)證服務(wù)器、地 址分配服務(wù)器和DNS服務(wù)器的認(rèn)證系統(tǒng)中���,在所述用戶設(shè)備通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證之 前�,所述NAS設(shè)備允許所述用戶設(shè)備發(fā)送給所述認(rèn)證服務(wù)器的報(bào)文以及所述用戶設(shè)備發(fā)送 給所述地址分配服務(wù)器的報(bào)文��,并拒絕所述用戶設(shè)備的其他報(bào)文�����,該NAS設(shè)備包括設(shè)置模塊�����,用于偵聽(tīng)所述用戶設(shè)備通過(guò)所述地址分配服務(wù)器獲取所述DNS服務(wù)器 地址的過(guò)程,并當(dāng)偵聽(tīng)到所述地址分配服務(wù)器向所述用戶設(shè)備發(fā)送的攜帶了所述DNS服務(wù) 器地址的報(bào)文時(shí)��,根據(jù)所述DNS服務(wù)器地址為所述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則����;處理模塊,用于根據(jù)所述DNS訪問(wèn)規(guī)則允許所述用戶設(shè)備發(fā)送給所述DNS服務(wù)器 的報(bào)文��。所述DNS訪問(wèn)規(guī)則中包括所述用戶設(shè)備的IP地址和所述DNS服務(wù)器地址�;所述處理模塊,還用于允許源IP地址為DNS訪問(wèn)規(guī)則中所述用戶設(shè)備的IP地址����、 目的IP地址為DNS訪問(wèn)規(guī)則中所述DNS服務(wù)器地址的報(bào)文;允許目的IP地址為所述認(rèn)證服務(wù)器地址的報(bào)文�;允許目的IP地址為所述地址分配服務(wù)器地址的報(bào)文。所述設(shè)置模塊����,還用于當(dāng)所述DNS服務(wù)器地址發(fā)生變化,所述用戶設(shè)備重新獲取 所述DNS服務(wù)器地址時(shí)����,偵聽(tīng)所述用戶設(shè)備重新獲取所述DNS服務(wù)器地址的過(guò)程����,并根據(jù)發(fā) 生變化后的DNS服務(wù)器地址更新所述DNS訪問(wèn)規(guī)則�。所述處理模塊,還用于在預(yù)設(shè)時(shí)間內(nèi)所述用戶設(shè)備沒(méi)有通過(guò)所述認(rèn)證服務(wù)器的認(rèn) 證時(shí)�,刪除所述DNS訪問(wèn)規(guī)則�����。所述處理模塊�,還用于當(dāng)接收到來(lái)自所述用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)報(bào)文時(shí),根據(jù)所述 認(rèn)證服務(wù)器的地址將所述網(wǎng)絡(luò)訪問(wèn)報(bào)文重定向到所述認(rèn)證服務(wù)器上���,并由所述認(rèn)證服務(wù)器 對(duì)所述用戶設(shè)備進(jìn)行portal認(rèn)證�。所述處理模塊����,還用于當(dāng)所述用戶設(shè)備通過(guò)portal認(rèn)證時(shí),允許所述用戶設(shè)備的 網(wǎng)絡(luò)訪問(wèn)報(bào)文���。所述攜帶了所述DNS服務(wù)器地址的報(bào)文包括在IPv4網(wǎng)絡(luò)中��,所述用戶設(shè)備從DHCP服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程中�����, 所述DHCP服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的ACK報(bào)文����;或者,
7
在IPv6網(wǎng)絡(luò)中����,所述用戶設(shè)備從DHCPv6服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程 中,所述DHCPv6服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的Reply報(bào)文���;或者�,在IPv6網(wǎng)絡(luò)中�,所述用戶設(shè)備從路由器獲取所述DNS服務(wù)器地址的過(guò)程中,所述 路由器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的RA報(bào)文��。與現(xiàn)有技術(shù)相比�����,本發(fā)明至少具有以下優(yōu)點(diǎn)在用戶設(shè)備獲取DNS服務(wù)器地址的過(guò)程中�,NAS設(shè)備動(dòng)態(tài)發(fā)現(xiàn)DNS服務(wù)器地址,不 需要通過(guò)手工配置free IP地址來(lái)實(shí)現(xiàn)允許用戶設(shè)備訪問(wèn)DNS服務(wù)器,并避免了 DNS服務(wù) 器地址變化需要重新配置的問(wèn)題�,簡(jiǎn)化了網(wǎng)絡(luò)配置,并方便了 NAS設(shè)備的維護(hù)和使用�。
圖1是本發(fā)明提供的一種報(bào)文的發(fā)送方法流程圖;圖2是本發(fā)明中IPv4應(yīng)用場(chǎng)景下DNS訪問(wèn)規(guī)則的處理過(guò)程示意圖�;圖3是本發(fā)明中IPv6應(yīng)用場(chǎng)景下DNS訪問(wèn)規(guī)則的處理過(guò)程示意圖;圖4是本發(fā)明中提出的NAS設(shè)備的結(jié)構(gòu)圖��。
具體實(shí)施例方式現(xiàn)有技術(shù)中�,存在以下問(wèn)題用戶需要手工獲取DNS服務(wù)器的IP地址,然后配置 Free IP地址�����,并需要在DNS服務(wù)器的IP地址更新的情況下重新配置����;直接允許DNS知名 端口的報(bào)文帶來(lái)的安全性問(wèn)題��;非法用戶惡意訪問(wèn)DNS服務(wù)器的攻擊行為問(wèn)題����。針對(duì)上述問(wèn)題,本發(fā)明中提供一種報(bào)文的發(fā)送方法和裝置�����,NAS設(shè)備通過(guò)偵聽(tīng)用戶 設(shè)備獲取DNS服務(wù)器地址的過(guò)程,以動(dòng)態(tài)發(fā)現(xiàn)DNS服務(wù)器地址��,并根據(jù)該DNS服務(wù)器地址設(shè) 置DNS訪問(wèn)規(guī)則��,以及根據(jù)DNS訪問(wèn)規(guī)則確定是否將來(lái)自用戶設(shè)備的域名解析報(bào)文發(fā)送給 DNS服務(wù)器�。本發(fā)明中,通過(guò)動(dòng)態(tài)發(fā)現(xiàn)DNS服務(wù)器地址�����,不需要通過(guò)手工配置free IP地址的方 式來(lái)實(shí)現(xiàn)允許用戶設(shè)備訪問(wèn)DNS服務(wù)器����。通過(guò)設(shè)置DNS訪問(wèn)規(guī)則,可以只將目的地址為DNS 服務(wù)器地址的域名解析報(bào)文發(fā)送給DNS服務(wù)器�����,避免了直接允許DNS知名端口的報(bào)文帶來(lái) 的安全性問(wèn)題�����。通過(guò)DNS訪問(wèn)規(guī)則確定是否將來(lái)自用戶設(shè)備的域名解析報(bào)文發(fā)送給DNS服 務(wù)器�,使得只有滿足DNS訪問(wèn)規(guī)則的用戶設(shè)備才可以訪問(wèn)DNS服務(wù)器��,避免非法用戶惡意訪 問(wèn)DNS服務(wù)器的攻擊行為問(wèn)題�。下面結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)描述���。如圖1所示���,為本發(fā)明提出的一種報(bào)文的發(fā)送方法,該方法應(yīng)用于包括NAS設(shè)備��、 用戶設(shè)備��、認(rèn)證服務(wù)器�����、地址分配服務(wù)器和DNS服務(wù)器的認(rèn)證系統(tǒng)中���。其中,該認(rèn)證服務(wù)器 用于對(duì)各用戶設(shè)備進(jìn)行portal認(rèn)證�,該地址分配服務(wù)器用于為各用戶設(shè)備分配IP地址以 及DNS服務(wù)器地址,實(shí)際應(yīng)用中���,該地址分配服務(wù)器可以包括但不限于DHCP服務(wù)器和路由
ο本發(fā)明中��,在用戶設(shè)備通過(guò)認(rèn)證服務(wù)器的認(rèn)證之前���,NAS設(shè)備可允許用戶設(shè)備發(fā)送 給認(rèn)證服務(wù)器的報(bào)文(用于在認(rèn)證服務(wù)器指定的portal認(rèn)證頁(yè)面上進(jìn)行portal認(rèn)證�,即 允許目的IP地址為認(rèn)證服務(wù)器地址的報(bào)文)��、以及用戶設(shè)備發(fā)送給地址分配服務(wù)器的報(bào)文 (用于從地址分配服務(wù)器獲取對(duì)應(yīng)的IP地址和DNS服務(wù)器地址�,即允許目的IP地址為地址分配服務(wù)器地址的報(bào)文);并拒絕用戶設(shè)備的其他報(bào)文�,例如,網(wǎng)絡(luò)訪問(wèn)報(bào)文(用于訪問(wèn)網(wǎng) 絡(luò)��,如訪問(wèn)網(wǎng)站W(wǎng)WW. aaa. com的報(bào)文)等��?���;谏鲜銮闆r,該方法包括以下步驟步驟101�����,NAS設(shè)備偵聽(tīng)用戶設(shè)備通過(guò)地址分配服務(wù)器獲取DNS服務(wù)器地址的過(guò) 程�����,并當(dāng)偵聽(tīng)到地址分配服務(wù)器通過(guò)NAS設(shè)備向用戶設(shè)備發(fā)送的攜帶了 DNS服務(wù)器地址的 報(bào)文時(shí),NAS設(shè)備根據(jù)DNS服務(wù)器地址為用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則�����。在實(shí)際應(yīng)用中���,為了訪問(wèn)網(wǎng)絡(luò)��,用戶設(shè)備需要獲取到DNS服務(wù)器地址�,此時(shí)����,NAS設(shè) 備需要偵聽(tīng)用戶設(shè)備獲取DNS服務(wù)器地址的過(guò)程。在IPv4網(wǎng)絡(luò)中�,當(dāng)用戶設(shè)備從DHCP服務(wù)器(地址分配服務(wù)器)獲取自身的IP地 址時(shí),DHCP服務(wù)器需要將為用戶設(shè)備分配的IP地址(IPv4地址)�����、DNS服務(wù)器地址�����、網(wǎng)關(guān)��、 以及其他網(wǎng)絡(luò)配置參數(shù)等信息通過(guò)NAS設(shè)備發(fā)送給用戶設(shè)備�。具體的,用戶設(shè)備通過(guò)NAS設(shè)備向DHCP服務(wù)器發(fā)送DHCP REQUEST (請(qǐng)求)報(bào)文��, 當(dāng)接收到DHCP REQUEST報(bào)文后��,DHCP服務(wù)器為該用戶設(shè)備分配IP地址�����,并通過(guò)DHCPACK報(bào) 文將該IP地址���、DNS服務(wù)器地址等信息通過(guò)NAS設(shè)備發(fā)送給用戶設(shè)備���。NAS設(shè)備通過(guò)偵聽(tīng)上述過(guò)程,當(dāng)偵聽(tīng)到ACK報(bào)文時(shí)��,則說(shuō)明NAS設(shè)備接收到通過(guò) NAS設(shè)備向用戶設(shè)備發(fā)送的攜帶了 DNS服務(wù)器地址的報(bào)文(即ACK報(bào)文)����。在IPv6網(wǎng)絡(luò)中,當(dāng)用戶設(shè)備從DHCPv6服務(wù)器(地址分配服務(wù)器)獲取自身的IP 地址時(shí)���,DHCPv6服務(wù)器需要將為用戶設(shè)備分配的IP地址(IPv6地址)�����、DNS服務(wù)器地址�、網(wǎng) 關(guān)、以及其他網(wǎng)絡(luò)配置參數(shù)等信息通過(guò)NAS設(shè)備發(fā)送給用戶設(shè)備���。具體的�,用戶設(shè)備通過(guò)NAS設(shè)備向DHCPv6服務(wù)器發(fā)送REQUEST報(bào)文����,當(dāng)接收到 REQUEST報(bào)文后,DHCPv6服務(wù)器為該用戶設(shè)備分配IP地址���,并通過(guò)R印Iy報(bào)文將該IP地 址��、DNS服務(wù)器地址等信息通過(guò)NAS設(shè)備發(fā)送給用戶設(shè)備�。NAS設(shè)備通過(guò)偵聽(tīng)上述過(guò)程�,當(dāng)偵聽(tīng)到R印Iy報(bào)文時(shí),則說(shuō)明NAS設(shè)備接收到通過(guò) NAS設(shè)備向用戶設(shè)備發(fā)送的攜帶了 DNS服務(wù)器地址的報(bào)文(即R印Iy報(bào)文)��。在IPv6網(wǎng)絡(luò)中��,當(dāng)用戶設(shè)備從路由器(地址分配服務(wù)器)上獲取路由前綴信息 時(shí)���,路由器需要通過(guò)RA(Router Advertisement�,路由器公告)報(bào)文將本地鏈路的配置信息 (例如����,網(wǎng)絡(luò)前綴,DNS服務(wù)器地址等)通過(guò)NAS設(shè)備通知給用戶設(shè)備�。NAS設(shè)備通過(guò)偵聽(tīng)上述過(guò)程,當(dāng)偵聽(tīng)到RA報(bào)文時(shí)���,則說(shuō)明NAS設(shè)備接收到通過(guò)NAS 設(shè)備向用戶設(shè)備發(fā)送的攜帶了 DNS服務(wù)器地址的報(bào)文(即RA報(bào)文)���。當(dāng)然,在實(shí)際應(yīng)用中�����,用戶設(shè)備獲取DNS服務(wù)器地址的過(guò)程并不局限于上述處理 過(guò)程��,例如��,DHCPv6的有狀態(tài)獲取過(guò)程�、DHCPv6的無(wú)狀態(tài)獲取過(guò)程等,不同的過(guò)程中只是偵 聽(tīng)到的報(bào)文不同����,本發(fā)明中不再詳加贅述�����。本發(fā)明中����,根據(jù)DNS服務(wù)器地址為用戶設(shè)備設(shè)置的DNS訪問(wèn)規(guī)則�����,用于在用戶設(shè) 備通過(guò)認(rèn)證服務(wù)器的認(rèn)證前��,將用戶設(shè)備根據(jù)DNS服務(wù)器地址發(fā)送的域名解析報(bào)文發(fā)送給 DNS服務(wù)器��。步驟102��,當(dāng)接收到來(lái)自用戶設(shè)備的域名解析報(bào)文時(shí)��,NAS設(shè)備根據(jù)DNS訪問(wèn)規(guī)則 確定是否將域名解析報(bào)文發(fā)送給DNS服務(wù)器��。如果是���,轉(zhuǎn)到步驟103�����,否則���,轉(zhuǎn)到步驟104。其中����,當(dāng)用戶設(shè)備獲知DNS服務(wù)器地址后,可以通過(guò)NAS設(shè)備向DNS服務(wù)器發(fā)送域 名解析報(bào)文�����,該域名解析報(bào)文中攜帶了域名的相關(guān)信息���,且該域名解析報(bào)文的源IP地址為
9該用戶設(shè)備的IP地址��、目的IP地址為DNS服務(wù)器地址�。具體的���,當(dāng)接收到用戶設(shè)備的域名解析報(bào)文后����,NAS設(shè)備根據(jù)DNS訪問(wèn)規(guī)則確定是 否將域名解析報(bào)文發(fā)送給DNS服務(wù)器的方式包括(1)該DNS訪問(wèn)規(guī)則中包括用戶設(shè)備的IP地址和DNS服務(wù)器地址時(shí),NAS設(shè)備需要 根據(jù)DNS訪問(wèn)規(guī)則中的用戶設(shè)備的IP地址和DNS服務(wù)器地址匹配域名解析報(bào)文的源IP地 址和目的IP地址�����,如果有匹配的記錄時(shí)�����,則根據(jù)匹配結(jié)果確定將域名解析報(bào)文發(fā)送給DNS 服務(wù)器�����,如果沒(méi)有匹配的記錄時(shí)����,則根據(jù)匹配結(jié)果確定不需要將域名解析報(bào)文發(fā)送給DNS 服務(wù)器。(2)該DNS訪問(wèn)規(guī)則中包括用戶設(shè)備的IP地址����、DNS服務(wù)器地址、DNS服務(wù)器端口 號(hào)時(shí)��,NAS設(shè)備需要根據(jù)DNS訪問(wèn)規(guī)則匹配域名解析報(bào)文的源IP地址��、目的IP地址、目的
端口號(hào)���。(3)該DNS訪問(wèn)規(guī)則中包括用戶設(shè)備的IP地址��、DNS服務(wù)器地址�、用戶設(shè)備的接入 端口時(shí)����,NAS設(shè)備需要DNS訪問(wèn)規(guī)則匹配域名解析報(bào)文的源IP地址�����、目的IP地址�、以及用 戶設(shè)備的接入端口。(4)該DNS訪問(wèn)規(guī)則中包括用戶設(shè)備的IP地址����、DNS服務(wù)器地址、DNS服務(wù)器端口 號(hào)�、用戶設(shè)備的接入端口時(shí),NAS設(shè)備需要根據(jù)DNS訪問(wèn)規(guī)則匹配域名解析報(bào)文的源IP地 址��、目的IP地址�、目的端口號(hào)��、以及用戶設(shè)備的接入端口��。綜上可以看出��,根據(jù)DNS訪問(wèn)規(guī)則的不同�����,需要匹配域名解析報(bào)文的內(nèi)容各不相 同���,而DNS訪問(wèn)規(guī)則可以根據(jù)實(shí)際情況進(jìn)行選擇,只要包含DNS服務(wù)器地址即可��。例如����,在 上述的DNS訪問(wèn)規(guī)則中,還可以不包括用戶設(shè)備的IP地址�����,DNS訪問(wèn)規(guī)則中可以包括DNS服 務(wù)器地址�����、DNS服務(wù)器地址和DNS服務(wù)器端口號(hào)等。具體的����,在基于用戶設(shè)備的IP地址設(shè)置DNS訪問(wèn)規(guī)則時(shí),需要為每個(gè)用戶設(shè)備設(shè) 置一個(gè)DNS訪問(wèn)規(guī)則�,DNS訪問(wèn)規(guī)則的個(gè)數(shù)比較多,此時(shí)�,對(duì)NAS設(shè)備的要求較高。實(shí)際應(yīng) 用中����,如果NAS設(shè)備無(wú)法滿足該條件���,則可以簡(jiǎn)化DNS訪問(wèn)規(guī)則�����,即設(shè)置基于DNS服務(wù)器地 址(或DNS服務(wù)器地址和DNS服務(wù)器端口號(hào)��、或接入端口)的DNS訪問(wèn)規(guī)則�����,從而大量減少 DNS訪問(wèn)規(guī)則的設(shè)置數(shù)量�����。步驟103���,NAS設(shè)備將域名解析報(bào)文發(fā)送給DNS服務(wù)器����。步驟104�����,NAS設(shè)備丟棄域名解析報(bào)文���。綜上所述�,本發(fā)明中��,通過(guò)偵聽(tīng)用戶設(shè)備DNS服務(wù)器地址的獲取過(guò)程����,實(shí)現(xiàn)了對(duì) DNS服務(wù)器地址的動(dòng)態(tài)偵聽(tīng)獲取,不需要通過(guò)手工配置free IP地址的方式來(lái)實(shí)現(xiàn)允許用 戶設(shè)備訪問(wèn)DNS服務(wù)器����;通過(guò)設(shè)置允許目的地址為DNS服務(wù)器地址的報(bào)文通過(guò)的DNS訪問(wèn) 規(guī)則�����,防止了直接允許所有DNS端口報(bào)文帶來(lái)的安全性問(wèn)題����,而且使得只有滿足DNS訪問(wèn)規(guī) 則的用戶設(shè)備才可以訪問(wèn)DNS服務(wù)器��,避免非法用戶惡意訪問(wèn)DNS服務(wù)器的攻擊行為問(wèn)題����。需要注意的是,本發(fā)明中�����,當(dāng)獲知DNS服務(wù)器地址發(fā)生變化時(shí)����,該用戶設(shè)備還需要 重新獲取DNS服務(wù)器地址�����;此時(shí)�����,NAS設(shè)備可以偵聽(tīng)到用戶設(shè)備重新獲取DNS服務(wù)器地址的 過(guò)程,并根據(jù)發(fā)生變化后的DNS服務(wù)器地址更新DNS訪問(wèn)規(guī)則���。例如�,用戶設(shè)備之前獲取到 DNS服務(wù)器地址1����,當(dāng)通過(guò)地址1進(jìn)行域名解析失敗時(shí),則用戶設(shè)備獲知DNS服務(wù)器地址發(fā) 生變化�����,可重新獲取DNS服務(wù)器地址(例如�����,地址2)�����,偵聽(tīng)到上述情況后��,NAS設(shè)備需要使用 地址2更新DNS訪問(wèn)規(guī)則中的地址1。
10
當(dāng)然����,實(shí)際應(yīng)用中,由于多個(gè)用戶設(shè)備均會(huì)通過(guò)NAS設(shè)備來(lái)獲取DNS服務(wù)器地址�����, 則用戶設(shè)備獲取DNS服務(wù)器地址時(shí)�,如果DNS服務(wù)器地址發(fā)生變化,NAS設(shè)備能夠及時(shí)感知 到該變化情況�,并將DNS服務(wù)器地址變化的信息及時(shí)通知給變化前DNS服務(wù)器地址對(duì)應(yīng)的 用戶設(shè)備,該過(guò)程本發(fā)明中不再贅述��。另外�����,本發(fā)明中�����,還可以為DNS訪問(wèn)規(guī)則設(shè)置老化時(shí)間����,S卩如果在預(yù)設(shè)時(shí)間內(nèi)用戶 設(shè)備沒(méi)有通過(guò)認(rèn)證服務(wù)器的認(rèn)證(例如�,未進(jìn)行portal認(rèn)證或portal認(rèn)證不通過(guò))時(shí)��,則 NAS設(shè)備還需要?jiǎng)h除該用戶設(shè)備對(duì)應(yīng)的DNS訪問(wèn)規(guī)則���。針對(duì)多個(gè)用戶設(shè)備對(duì)應(yīng)同一個(gè)DNS 訪問(wèn)規(guī)則的情況,如果預(yù)設(shè)時(shí)間內(nèi)多個(gè)用戶設(shè)備均沒(méi)有通過(guò)認(rèn)證時(shí)����,則NAS設(shè)備刪除該多 個(gè)用戶設(shè)備對(duì)應(yīng)的DNS訪問(wèn)規(guī)則。進(jìn)一步的�,當(dāng)用戶設(shè)備的IP地址發(fā)生變化(例如,用戶設(shè)備觸發(fā)release IP地址 的操作導(dǎo)致用戶設(shè)備釋放IP地址����、用戶設(shè)備IP地址租期到?jīng)]有續(xù)約等情況)時(shí),則NAS設(shè) 備也需要?jiǎng)h除該用戶設(shè)備對(duì)應(yīng)的DNS訪問(wèn)規(guī)則����。綜上可以看出,通過(guò)刪除用戶設(shè)備對(duì)應(yīng)的DNS訪問(wèn)規(guī)則�����,使得該用戶設(shè)備對(duì)應(yīng)的 域名解析報(bào)文會(huì)被拒絕���,進(jìn)一步防止非法用戶惡意攻擊DNS服務(wù)器的行為���。需要注意的是����,本發(fā)明中�����,為了實(shí)現(xiàn)portal認(rèn)證過(guò)程��,步驟103之后還可以包括以 下步驟步驟105�����,DNS服務(wù)器根據(jù)域名解析報(bào)文對(duì)域名進(jìn)行解析��,并將解析結(jié)果通過(guò)NAS 設(shè)備返回給用戶設(shè)備�。其中,在將域名解析報(bào)文發(fā)送給DNS服務(wù)器之后���,則DNS服務(wù)器根據(jù)域名解析報(bào)文 對(duì)域名進(jìn)行解析����,并將解析結(jié)果通過(guò)NAS設(shè)備返回給用戶設(shè)備��。步驟106����,用戶設(shè)備根據(jù)該解析結(jié)果訪問(wèn)網(wǎng)絡(luò)。具體的�,當(dāng)用戶設(shè)備獲知解析結(jié)果后,可以根據(jù)該解析結(jié)果訪問(wèn)網(wǎng)絡(luò)����,即根據(jù)該解 析結(jié)果向NAS設(shè)備發(fā)送網(wǎng)絡(luò)訪問(wèn)報(bào)文(攜帶了解析后的IP地址,例如����,域名解析時(shí)域名為 www. sina. com. cn 時(shí),該 IP 地址為 www. sina. com. cn 的 IP 地址)���。步驟107�,NAS設(shè)備判斷該網(wǎng)絡(luò)訪問(wèn)報(bào)文是否符合認(rèn)證訪問(wèn)規(guī)則��,如果是��,轉(zhuǎn)到步 驟108��,否則,轉(zhuǎn)到步驟109��。其中�����,在NAS設(shè)備上需要根據(jù)用戶設(shè)備的IP地址設(shè)置認(rèn)證訪問(wèn)規(guī)則���,該認(rèn)證訪問(wèn) 規(guī)則中記錄了通過(guò)portal認(rèn)證的用戶設(shè)備的IP地址�。如果在認(rèn)證訪問(wèn)規(guī)則中記錄了網(wǎng)絡(luò) 訪問(wèn)報(bào)文的源IP地址��,則說(shuō)明該用戶設(shè)備已經(jīng)通過(guò)portal認(rèn)證��,執(zhí)行步驟108 ���;否則�����,說(shuō)明 該用戶設(shè)備沒(méi)有通過(guò)portal認(rèn)證����,執(zhí)行步驟109����。步驟108�,NAS設(shè)備允許該用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)報(bào)文訪問(wèn)網(wǎng)絡(luò)�����。其中���,由于該用戶設(shè)備已經(jīng)通過(guò)portal認(rèn)證,則NAS設(shè)備可以放行該用戶設(shè)備的 網(wǎng)絡(luò)訪問(wèn)報(bào)文�,即可以根據(jù)www. sina. com. cn的IP地址轉(zhuǎn)發(fā)該網(wǎng)絡(luò)訪問(wèn)報(bào)文。步驟109�,NAS設(shè)備根據(jù)認(rèn)證服務(wù)器的地址將網(wǎng)絡(luò)訪問(wèn)報(bào)文重定向到認(rèn)證服務(wù)器 上,由認(rèn)證服務(wù)器對(duì)用戶設(shè)備進(jìn)行portal認(rèn)證�。其中,由于該用戶設(shè)備沒(méi)有通過(guò)portal認(rèn)證�����,則需要對(duì)該用戶設(shè)備進(jìn)行portal認(rèn) 證�����,此時(shí)�����,NAS設(shè)備需要將網(wǎng)絡(luò)訪問(wèn)報(bào)文重定向到指定的portal認(rèn)證頁(yè)面進(jìn)行portal認(rèn)證。步驟110���,當(dāng)用戶設(shè)備通過(guò)portal認(rèn)證時(shí)���,NAS設(shè)備更新認(rèn)證訪問(wèn)規(guī)則,并將用戶 設(shè)備的IP地址設(shè)置為允許訪問(wèn)網(wǎng)絡(luò)的源IP地址��。
其中�,當(dāng)用戶設(shè)備通過(guò)portal認(rèn)證時(shí),通過(guò)在認(rèn)證訪問(wèn)規(guī)則中將用戶設(shè)備的IP地 址設(shè)置為允許訪問(wèn)網(wǎng)絡(luò)的源IP地址��,則對(duì)該用戶設(shè)備的后續(xù)網(wǎng)絡(luò)訪問(wèn)報(bào)文來(lái)說(shuō)��,均可以直 接通過(guò)認(rèn)證訪問(wèn)規(guī)則�,并訪問(wèn)網(wǎng)絡(luò),不再需要進(jìn)行portal認(rèn)證�����。進(jìn)一步的�,當(dāng)用戶設(shè)備沒(méi)有通過(guò)portal認(rèn)證時(shí),則不會(huì)更新認(rèn)證訪問(wèn)規(guī)則����,對(duì)該 用戶設(shè)備的后續(xù)網(wǎng)絡(luò)訪問(wèn)報(bào)文來(lái)說(shuō)�����,仍然需要進(jìn)行portal認(rèn)證�,從而保證未通過(guò)portal認(rèn) 證的用戶設(shè)備不能夠訪問(wèn)網(wǎng)絡(luò)��。為了更加清楚的闡述本發(fā)明提供的技術(shù)方案�����,下面分別對(duì)IPv4和IPv6兩種場(chǎng)景 下的DNS訪問(wèn)規(guī)則的處理過(guò)程進(jìn)行詳細(xì)說(shuō)明���。如圖2所示,在IPv4應(yīng)該場(chǎng)景下�,包括以下步驟DHCP client (客戶端,即用戶設(shè)備)通過(guò)NAS設(shè)備向DHCP server (服務(wù)器) 發(fā)送DHCP-DISCOVER(發(fā)現(xiàn))報(bào)文�;DHCP server通過(guò)NAS設(shè)備向DHCP client發(fā)送 DHCP-0FFER(提供)報(bào)文;DHCP client 通過(guò) NAS 設(shè)備向 DHCP server 發(fā)送 DHCP-REQUEST 報(bào)文�;DHCP server通過(guò)NAS設(shè)備向DHCPclient發(fā)送DHCP-ACK報(bào)文。NAS設(shè)備通過(guò)偵聽(tīng)上述過(guò)程從ACK報(bào)文中獲取DNS服務(wù)器地址�,并根據(jù)DNS服務(wù)器 地址為該DHCP client設(shè)置DNS訪問(wèn)規(guī)則,并啟動(dòng)老化定時(shí)器�。之后�,DHCP client進(jìn)行正 常的認(rèn)證流程�,該過(guò)程在此不再詳加贅述。DHCP client 通過(guò) NAS 設(shè)備向 DHCP server 發(fā)送 DHCP-RELEASE 報(bào)文�,NAS 設(shè)備通 過(guò)偵聽(tīng)上述過(guò)程,根據(jù)RELEASE報(bào)文刪除該DHCP client對(duì)應(yīng)的DNS訪問(wèn)規(guī)則�����。另外�,當(dāng)老化定時(shí)器到,且該DHCP client沒(méi)有認(rèn)證通過(guò)時(shí)����,刪除該DHCPclient對(duì) 應(yīng)的DNS訪問(wèn)規(guī)則。如圖3所示���,在IPv6應(yīng)該場(chǎng)景下�,包括以下步驟DHCP client (即用戶設(shè)備)通過(guò)NAS設(shè)備向DHCPv6server發(fā)送Solicit報(bào)文����; DHCPv6server 通過(guò) NAS 設(shè)備向 DHCP client 發(fā)送 Advertise 報(bào)文;DHCPclient 通過(guò) NAS 設(shè) 備向 DHCPv6server 發(fā)送 REQUEST 報(bào)文�����;DHCPv6server 通過(guò) NAS 設(shè)備向 DHCP client 發(fā)送 R印Iy報(bào)文。NAS設(shè)備通過(guò)偵聽(tīng)上述過(guò)程���,從R印Iy報(bào)文中獲取DNS服務(wù)器地址���,并根據(jù)DNS服 務(wù)器地址為該DHCP client設(shè)置DNS訪問(wèn)規(guī)則,并啟動(dòng)老化定時(shí)器�����。之后�,DHCP client進(jìn) 行正常的認(rèn)證流程,該過(guò)程在此不再詳加贅述��。DHCP client 通過(guò) NAS 設(shè)備向 DHCPv6server 發(fā)送 DHCP-RELEASE 報(bào)文�����,NAS 設(shè)備通 過(guò)偵聽(tīng)上述過(guò)程���,根據(jù)RELEASE報(bào)文刪除該DHCP client對(duì)應(yīng)的DNS訪問(wèn)規(guī)則。另外�����,當(dāng)老化定時(shí)器到,且該DHCP client沒(méi)有認(rèn)證通過(guò)時(shí)���,刪除該DHCPclient對(duì) 應(yīng)的DNS訪問(wèn)規(guī)則��?�;谂c上述方法同樣的發(fā)明構(gòu)思�����,本發(fā)明還提出了一種NAS設(shè)備����,應(yīng)用于包括所 述NAS設(shè)備�����、用戶設(shè)備�、認(rèn)證服務(wù)器、地址分配服務(wù)器和DNS服務(wù)器的認(rèn)證系統(tǒng)中�����,在所述用 戶設(shè)備通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證之前,所述NAS設(shè)備允許所述用戶設(shè)備發(fā)送給所述認(rèn)證 服務(wù)器的報(bào)文以及所述用戶設(shè)備發(fā)送給所述地址分配服務(wù)器的報(bào)文�,并拒絕所述用戶設(shè)備 的其他報(bào)文,如圖4所示��,該NAS設(shè)備包括設(shè)置模塊11�����,用于偵聽(tīng)所述用戶設(shè)備通過(guò)所述地址分配服務(wù)器獲取所述DNS服務(wù) 器地址的過(guò)程���,并當(dāng)偵聽(tīng)到所述地址分配服務(wù)器向所述用戶設(shè)備發(fā)送的攜帶了所述DNS服
12務(wù)器地址的報(bào)文時(shí)����,根據(jù)所述DNS服務(wù)器地址為所述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則�;處理模塊12,用于根據(jù)所述DNS訪問(wèn)規(guī)則允許所述用戶設(shè)備發(fā)送給所述DNS服務(wù) 器的報(bào)文���。所述攜帶了所述DNS服務(wù)器地址的報(bào)文包括在IPv4網(wǎng)絡(luò)中,所述用戶設(shè)備從DHCP服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程中�, 所述DHCP服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的ACK報(bào)文;或者��,在IPv6網(wǎng)絡(luò)中�,所述用戶設(shè)備從DHCPv6服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程 中,所述DHCPv6服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的Reply報(bào)文;或者��,在IPv6網(wǎng)絡(luò)中�����,所述用戶設(shè)備從路由器獲取所述DNS服務(wù)器地址的過(guò)程中�,所述 路由器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的RA報(bào)文。所述DNS訪問(wèn)規(guī)則中包括所述用戶設(shè)備的IP地址和所述DNS服務(wù)器地址����;來(lái)自用戶設(shè)備的域名解析報(bào)文符合所述DNS訪問(wèn)規(guī)則,具體為DNS訪問(wèn)規(guī)則中的 用戶設(shè)備的IP地址與所述域名解析報(bào)文的源IP地址匹配�,且所述DNS訪問(wèn)規(guī)則中的DNS 服務(wù)器地址與所述域名解析報(bào)文的目的IP地址匹配。本發(fā)明中�,所述DNS訪問(wèn)規(guī)則中包括所述用戶設(shè)備的IP地址和所述DNS服務(wù)器 地址;所述處理模塊12���,還用于允許源IP地址為DNS訪問(wèn)規(guī)則中所述用戶設(shè)備的IP地 址�����、目的IP地址為DNS訪問(wèn)規(guī)則中所述DNS服務(wù)器地址的報(bào)文�����;允許目的IP地址為所述認(rèn)證服務(wù)器地址的報(bào)文��;允許目的IP地址為所述地址分配服務(wù)器地址的報(bào)文�����。所述設(shè)置模塊11�����,還用于當(dāng)所述DNS服務(wù)器地址發(fā)生變化����,所述用戶設(shè)備重新獲 取所述DNS服務(wù)器地址時(shí),偵聽(tīng)所述用戶設(shè)備重新獲取所述DNS服務(wù)器地址的過(guò)程����,并根據(jù) 發(fā)生變化后的DNS服務(wù)器地址更新所述DNS訪問(wèn)規(guī)則。所述處理模塊12�����,還用于在預(yù)設(shè)時(shí)間內(nèi)所述用戶設(shè)備沒(méi)有通過(guò)所述認(rèn)證服務(wù)器的 認(rèn)證時(shí)��,刪除所述DNS訪問(wèn)規(guī)則���。所述處理模塊12�����,還用于當(dāng)接收到來(lái)自所述用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)報(bào)文時(shí)�,根據(jù)所 述認(rèn)證服務(wù)器的地址將所述網(wǎng)絡(luò)訪問(wèn)報(bào)文重定向到所述認(rèn)證服務(wù)器上����,并由所述認(rèn)證服務(wù) 器對(duì)所述用戶設(shè)備進(jìn)行portal認(rèn)證。所述處理模塊12����,還用于當(dāng)所述用戶設(shè)備通過(guò)portal認(rèn)證時(shí),允許所述用戶設(shè)備 的網(wǎng)絡(luò)訪問(wèn)報(bào)文�。其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體���,也可以分離部署����。上述模塊可以合 并為一個(gè)模塊��,也可以進(jìn)一步拆分成多個(gè)子模塊��。通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過(guò)硬件實(shí)現(xiàn)��,也可以借助軟件加必要的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)�。基于這樣的理解����,本發(fā) 明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ) 介質(zhì)(可以是⑶-ROM���,U盤(pán)����,移動(dòng)硬盤(pán)等)中���,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可 以是個(gè)人計(jì)算機(jī)��,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖�����,附圖中的模塊或流 程并不一定是實(shí)施本發(fā)明所必須的。
本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中����,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中����。上 述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊�。上述本發(fā)明序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣�。以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是��,本發(fā)明并非局限于此�,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
權(quán)利要求
一種報(bào)文的發(fā)送方法����,應(yīng)用于包括NAS設(shè)備、用戶設(shè)備��、認(rèn)證服務(wù)器��、地址分配服務(wù)器和DNS服務(wù)器的認(rèn)證系統(tǒng)中�,在所述用戶設(shè)備通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證之前����,所述NAS設(shè)備允許所述用戶設(shè)備發(fā)送給所述認(rèn)證服務(wù)器的報(bào)文以及所述用戶設(shè)備發(fā)送給所述地址分配服務(wù)器的報(bào)文����,并拒絕所述用戶設(shè)備的其他報(bào)文,其特征在于�����,該方法包括以下步驟所述NAS設(shè)備偵聽(tīng)所述用戶設(shè)備通過(guò)所述地址分配服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程�����,并當(dāng)偵聽(tīng)到所述地址分配服務(wù)器向所述用戶設(shè)備發(fā)送的攜帶了所述DNS服務(wù)器地址的報(bào)文時(shí)���,所述NAS設(shè)備根據(jù)所述DNS服務(wù)器地址為所述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則�;并根據(jù)所述DNS訪問(wèn)規(guī)則允許所述用戶設(shè)備發(fā)送給所述DNS服務(wù)器的報(bào)文���。
2.如權(quán)利要求1所述的方法��,其特征在于�,所述DNS訪問(wèn)規(guī)則中包括所述用戶設(shè)備的 IP地址和所述DNS服務(wù)器地址;根據(jù)所述DNS訪問(wèn)規(guī)則允許所述用戶設(shè)備發(fā)送給所述DNS服務(wù)器的報(bào)文��,具體為允許 源IP地址為DNS訪問(wèn)規(guī)則中所述用戶設(shè)備的IP地址��、目的IP地址為DNS訪問(wèn)規(guī)則中所述 DNS服務(wù)器地址的報(bào)文�����;允許所述用戶設(shè)備發(fā)送給所述認(rèn)證服務(wù)器的報(bào)文����,具體為允許目的IP地址為所述認(rèn) 證服務(wù)器地址的報(bào)文�;允許所述用戶設(shè)備發(fā)送給所述地址分配服務(wù)器的報(bào)文,具體為允許目的IP地址為所 述地址分配服務(wù)器地址的報(bào)文�����。
3.如權(quán)利要求1所述的方法�,其特征在于,所述NAS設(shè)備根據(jù)所述DNS服務(wù)器地址為所 述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則��,之后還包括當(dāng)獲知所述DNS服務(wù)器地址發(fā)生變化時(shí)�,所述用戶設(shè)備重新獲取所述DNS服務(wù)器地址;所述NAS設(shè)備偵聽(tīng)所述用戶設(shè)備重新獲取所述DNS服務(wù)器地址的過(guò)程���,并根據(jù)發(fā)生變 化后的DNS服務(wù)器地址更新所述DNS訪問(wèn)規(guī)則����。
4.如權(quán)利要求1所述的方法,其特征在于��,所述NAS設(shè)備根據(jù)所述DNS服務(wù)器地址為所 述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則�,之后還包括如果在預(yù)設(shè)時(shí)間內(nèi)所述用戶設(shè)備沒(méi)有通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證時(shí),所述NAS設(shè)備刪 除所述DNS訪問(wèn)規(guī)則����。
5.如權(quán)利要求1所述的方法,其特征在于�,所述NAS設(shè)備允許所述用戶設(shè)備發(fā)送給所述 認(rèn)證服務(wù)器的報(bào)文,具體包括當(dāng)接收到來(lái)自所述用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)報(bào)文時(shí)�,所述NAS設(shè)備根據(jù)所述認(rèn)證服務(wù)器的 地址將所述網(wǎng)絡(luò)訪問(wèn)報(bào)文重定向到所述認(rèn)證服務(wù)器上,并由所述認(rèn)證服務(wù)器對(duì)所述用戶設(shè) 備進(jìn)行portal認(rèn)證����。
6.如權(quán)利要求5所述的方法,其特征在于�����,所述認(rèn)證服務(wù)器對(duì)所述用戶設(shè)備進(jìn)行 portal認(rèn)證,之后還包括當(dāng)所述用戶設(shè)備通過(guò)portal認(rèn)證時(shí)�,所述NAS設(shè)備允許所述用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)報(bào)文�。
7.如權(quán)利要求1所述的方法����,其特征在于,所述攜帶了所述DNS服務(wù)器地址的報(bào)文包括在IPv4網(wǎng)絡(luò)中�,所述用戶設(shè)備從DHCP服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程中,所述DHCP服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的ACK報(bào)文�;或者,在IPv6網(wǎng)絡(luò)中�����,所述用戶設(shè)備從DHCPv6服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程中�����,所 述DHCPv6服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的Iteply報(bào)文���;或者,在IPv6網(wǎng)絡(luò)中�����,所述用戶設(shè)備從路由器獲取所述DNS服務(wù)器地址的過(guò)程中����,所述路由 器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的RA報(bào)文����。
8.—種NAS設(shè)備��,應(yīng)用于包括所述NAS設(shè)備��、用戶設(shè)備���、認(rèn)證服務(wù)器����、地址分配服務(wù)器和 DNS服務(wù)器的認(rèn)證系統(tǒng)中��,在所述用戶設(shè)備通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證之前�,所述NAS設(shè)備 允許所述用戶設(shè)備發(fā)送給所述認(rèn)證服務(wù)器的報(bào)文以及所述用戶設(shè)備發(fā)送給所述地址分配 服務(wù)器的報(bào)文,并拒絕所述用戶設(shè)備的其他報(bào)文��,其特征在于�����,該NAS設(shè)備包括設(shè)置模塊�����,用于偵聽(tīng)所述用戶設(shè)備通過(guò)所述地址分配服務(wù)器獲取所述DNS服務(wù)器地址 的過(guò)程,并當(dāng)偵聽(tīng)到所述地址分配服務(wù)器向所述用戶設(shè)備發(fā)送的攜帶了所述DNS服務(wù)器地 址的報(bào)文時(shí)��,根據(jù)所述DNS服務(wù)器地址為所述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則���;處理模塊����,用于根據(jù)所述DNS訪問(wèn)規(guī)則允許所述用戶設(shè)備發(fā)送給所述DNS服務(wù)器的報(bào)文�。
9.如權(quán)利要求8所述的NAS設(shè)備,其特征在于����,所述DNS訪問(wèn)規(guī)則中包括所述用戶設(shè) 備的IP地址和所述DNS服務(wù)器地址����;所述處理模塊,還用于允許源IP地址為DNS訪問(wèn)規(guī)則中所述用戶設(shè)備的IP地址����、目的 IP地址為DNS訪問(wèn)規(guī)則中所述DNS服務(wù)器地址的報(bào)文;允許目的IP地址為所述認(rèn)證服務(wù)器地址的報(bào)文���;允許目的IP地址為所述地址分配服務(wù)器地址的報(bào)文�����。
10.如權(quán)利要求8所述的NAS設(shè)備�,其特征在于,所述設(shè)置模塊�,還用于當(dāng)所述DNS服務(wù)器地址發(fā)生變化,所述用戶設(shè)備重新獲取所述 DNS服務(wù)器地址時(shí)��,偵聽(tīng)所述用戶設(shè)備重新獲取所述DNS服務(wù)器地址的過(guò)程����,并根據(jù)發(fā)生變 化后的DNS服務(wù)器地址更新所述DNS訪問(wèn)規(guī)則。
11.如權(quán)利要求8所述的NAS設(shè)備����,其特征在于,所述處理模塊�,還用于在預(yù)設(shè)時(shí)間內(nèi)所述用戶設(shè)備沒(méi)有通過(guò)所述認(rèn)證服務(wù)器的認(rèn)證 時(shí),刪除所述DNS訪問(wèn)規(guī)則�。
12.如權(quán)利要求8所述的NAS設(shè)備,其特征在于��,所述處理模塊���,還用于當(dāng)接收到來(lái)自所述用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)報(bào)文時(shí)�����,根據(jù)所述認(rèn)證 服務(wù)器的地址將所述網(wǎng)絡(luò)訪問(wèn)報(bào)文重定向到所述認(rèn)證服務(wù)器上���,并由所述認(rèn)證服務(wù)器對(duì)所 述用戶設(shè)備進(jìn)行portal認(rèn)證����。
13.如權(quán)利要求12所述的NAS設(shè)備�����,其特征在于����,所述處理模塊,還用于當(dāng)所述用戶設(shè)備通過(guò)portal認(rèn)證時(shí)�����,允許所述用戶設(shè)備的網(wǎng)絡(luò) 訪問(wèn)報(bào)文�。
14.如權(quán)利要求8所述的NAS設(shè)備�����,其特征在于,所述攜帶了所述DNS服務(wù)器地址的報(bào) 文包括在IPv4網(wǎng)絡(luò)中��,所述用戶設(shè)備從DHCP服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程中���,所述 DHCP服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的ACK報(bào)文����;或者����,在IPv6網(wǎng)絡(luò)中,所述用戶設(shè)備從DHCPv6服務(wù)器獲取所述DNS服務(wù)器地址的過(guò)程中��,所述DHCPv6服務(wù)器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的Iteply報(bào)文�;或者,在IPv6網(wǎng)絡(luò)中��,所述用戶設(shè)備從路由器獲取所述DNS服務(wù)器地址的過(guò)程中��,所述路由 器通過(guò)所述NAS設(shè)備向所述用戶設(shè)備發(fā)送的RA報(bào)文�。
全文摘要
本發(fā)明公開(kāi)了一種報(bào)文的發(fā)送方法和裝置,該方法包括NAS設(shè)備偵聽(tīng)用戶設(shè)備獲取DNS服務(wù)器地址的過(guò)程��,根據(jù)所述DNS服務(wù)器地址為所述用戶設(shè)備設(shè)置DNS訪問(wèn)規(guī)則;并根據(jù)所述DNS訪問(wèn)規(guī)則允許所述用戶設(shè)備發(fā)送給所述DNS服務(wù)器的報(bào)文�����。本發(fā)明中��,避免了DNS服務(wù)器地址變化需要重新配置的問(wèn)題����,簡(jiǎn)化了網(wǎng)絡(luò)配置。
文檔編號(hào)H04L29/06GK101945053SQ20101050293
公開(kāi)日2011年1月12日 申請(qǐng)日期2010年10月12日 優(yōu)先權(quán)日2010年10月12日
發(fā)明者林濤, 王彬 申請(qǐng)人:杭州華三通信技術(shù)有限公司