[發(fā)明專利]一種網(wǎng)絡(luò)訪問控制方法、設(shè)備及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202010744392.8 | 申請日: | 2020-07-29 |
| 公開(公告)號: | CN111787028A | 公開(公告)日: | 2020-10-16 |
| 發(fā)明(設(shè)計(jì))人: | 周龍;唐軻 | 申請(專利權(quán))人: | 成都飛魚星科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 成都行之專利代理事務(wù)所(普通合伙) 51220 | 代理人: | 李朝虎 |
| 地址: | 610000 四川省成都市中國(四川)自由貿(mào)易試*** | 國省代碼: | 四川;51 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 網(wǎng)絡(luò) 訪問 控制 方法 設(shè)備 存儲 介質(zhì) | ||
本發(fā)明公開了一種網(wǎng)絡(luò)訪問控制方法、設(shè)備及存儲介質(zhì),方法包括:確定用戶發(fā)起的DNS訪問請求;訪問控制模塊響應(yīng)DNS訪問請求;確定DNS訪問請求的響應(yīng)報(bào)文;依據(jù)DNS訪問請求的響應(yīng)報(bào)文,在響應(yīng)報(bào)文中包含預(yù)設(shè)的域名關(guān)鍵字信息時,確定用戶的DNS請求所解析的IP地址,并添加到IP地址列表中;訪問控制模塊放行DNS訪問請求。本方法配置簡單,只需配置域名的關(guān)鍵字即可對所有包含該關(guān)鍵字的域名實(shí)現(xiàn)靈活的訪問控制;并且對所有DNS訪問請求放行,從而提升訪問的速度。并且訪問控制的全部功能由一個內(nèi)核模塊實(shí)現(xiàn),不需要內(nèi)核和用戶進(jìn)程的通信,不影響數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)效率。
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,特別涉及一種網(wǎng)絡(luò)訪問控制方法、設(shè)備及存儲介質(zhì)。
背景技術(shù)
目前隨著國內(nèi)互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)安全的重要性日趨突出,特別是在諸如教育、公共場所之類的實(shí)際場景中,訪問控制已成為網(wǎng)絡(luò)服務(wù)提供者和網(wǎng)絡(luò)監(jiān)管部門所需的必要手段,其目的是通過軟件手段限制終端用戶訪問和獲取非法的網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)安全。目前訪問控制的實(shí)現(xiàn)方式主要使用防火墻技術(shù)。
防火墻通過預(yù)先配置的安全策略,可以控制用戶訪問特定的網(wǎng)絡(luò)服務(wù),其優(yōu)點(diǎn)是在網(wǎng)絡(luò)接入設(shè)備中已經(jīng)普遍集成,便于集中管理,識別和過濾功能強(qiáng)大。但是其缺點(diǎn)在于安全策略的配置復(fù)雜,且安全策略一旦配置以后就將固化,不能靈活的隨著網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)流量的變化而動態(tài)調(diào)整。
從現(xiàn)實(shí)場景的需求來看,傳統(tǒng)防火墻對多域名或分布式部署的服務(wù)器實(shí)現(xiàn)精準(zhǔn)的訪問控制也是比較難的,對網(wǎng)絡(luò)維護(hù)的成本和運(yùn)維人員的個人素質(zhì)要求都是很高的。
為了解決上述問題,提供了一種基于Linux的動態(tài)域名解析模塊及其黑白名單實(shí)現(xiàn)方法,包括路由器、交換機(jī)、胖AP、瘦AP以及域名解析模塊,所述域名解析模塊包括域名配置模塊、域名攔截模塊、域名判定模塊和數(shù)據(jù)放行模塊。所述域名配置模塊工作于用戶空間,主要是接收用戶從云端發(fā)來的指令配置具體哪些域名要加入黑白名單;所述域名攔截模塊,工作于內(nèi)核空間,其功能是攔截DNS響應(yīng)報(bào)文,并將其通過IP組播的形式發(fā)放到用戶空間的域名判定模塊;所述域名判定模塊,工作于用戶空間,接收從域名攔截模塊發(fā)來的攔截下來的DNS響應(yīng)包,查詢配置下來的黑白名單列表,如果發(fā)現(xiàn)該域名在列表中,就從DNS響應(yīng)包中提取其對應(yīng)的一個或多個IP地址并通知數(shù)據(jù)放行模塊;所述數(shù)據(jù)放行模塊,數(shù)據(jù)放行模塊分為兩個部分,一是當(dāng)上述截獲的DNS響應(yīng)包通過了域名判定模塊的分析后,便將其放行,可利用iptables nf-queue內(nèi)核模塊來實(shí)現(xiàn)。另一個是符合黑白名單的IP地址加入對應(yīng)的IPset后,將前往上述IP地址的數(shù)據(jù)包放行或者阻攔,可利用iptables filter表加ipset模塊來實(shí)現(xiàn)。
上述方案存在以下問題:
(1)域名攔截模塊工作在內(nèi)核空間,域名判定模塊工作在用戶空間,必然需要內(nèi)核態(tài)與用戶態(tài)的數(shù)據(jù)通信,不可避免的降低了數(shù)據(jù)的轉(zhuǎn)發(fā)效率。
(2)數(shù)據(jù)放行模塊使用了iptables和Ipset工具,匹配符合黑白名單的IP地址時,隨著IP地址的數(shù)量遞增,匹配效率會遞降,直接影響數(shù)據(jù)轉(zhuǎn)發(fā)效率。
(3)“放行DNS響應(yīng)的時機(jī)非常重要,一定要在ipset更新以后才可以放行dns響應(yīng),否則瀏覽器先于ipset更新完成訪問目標(biāo)地址,黑白名單就會失效”,說明放行DNS響應(yīng)需要等待ipset更新,這從專利實(shí)現(xiàn)的原理上就限制了數(shù)據(jù)轉(zhuǎn)發(fā)性能,在網(wǎng)絡(luò)流量大的情況下會極大破環(huán)網(wǎng)絡(luò)用戶的使用體驗(yàn)。
發(fā)明內(nèi)容
本發(fā)明提供的一種網(wǎng)絡(luò)訪問控制方法、設(shè)備及存儲介質(zhì),解決現(xiàn)有技術(shù)中在對網(wǎng)絡(luò)進(jìn)行控制的轉(zhuǎn)發(fā)效率過低的問題。
本發(fā)明通過下述技術(shù)方案實(shí)現(xiàn):
第一方面,本發(fā)明提供了一種網(wǎng)絡(luò)訪問控制方法,所述方法包括:
確定用戶發(fā)起的DNS訪問請求;
訪問控制模塊響應(yīng)所述DNS訪問請求;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于成都飛魚星科技股份有限公司,未經(jīng)成都飛魚星科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010744392.8/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 網(wǎng)絡(luò)和網(wǎng)絡(luò)終端
- 網(wǎng)絡(luò)DNA
- 網(wǎng)絡(luò)地址自適應(yīng)系統(tǒng)和方法及應(yīng)用系統(tǒng)和方法
- 網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)至網(wǎng)絡(luò)橋接器
- 一種電力線網(wǎng)絡(luò)中根節(jié)點(diǎn)網(wǎng)絡(luò)協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡(luò)定位方法、存儲介質(zhì)及移動終端
- 網(wǎng)絡(luò)裝置、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)方法以及網(wǎng)絡(luò)程序
- 從重復(fù)網(wǎng)絡(luò)地址自動恢復(fù)的方法、網(wǎng)絡(luò)設(shè)備及其存儲介質(zhì)
- 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練方法、裝置及存儲介質(zhì)
- 網(wǎng)絡(luò)管理方法和裝置
- 存儲器訪問調(diào)度裝置、調(diào)度方法與存儲器訪問控制系統(tǒng)
- 一種限制用戶訪問的方法和裝置
- 一種訪問信息提供方法及系統(tǒng)
- 數(shù)據(jù)訪問權(quán)限的控制方法及裝置
- 基于智能家居系統(tǒng)的訪問授權(quán)方法、裝置及設(shè)備
- 網(wǎng)站訪問請求的動態(tài)調(diào)度方法及裝置
- 基于訪問頻率的監(jiān)測方法、裝置、設(shè)備和計(jì)算機(jī)存儲介質(zhì)
- 訪問憑證驗(yàn)證方法、裝置、計(jì)算機(jī)設(shè)備及存儲介質(zhì)
- 一種應(yīng)用訪問控制方法、系統(tǒng)和介質(zhì)
- 異常訪問行為的檢測方法、裝置、電子設(shè)備及存儲介質(zhì)





