专利名称:一种域名封堵方法、系统及设备的制作方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种域名封堵方法、系统及设备。
背景技术:
当前,全球有300万以上的违规(如涉黄、涉暴、政治及挂马等)网站,各大通信运营商、服务提供商、搜索引擎提供商和安全防护软件厂商需要按照相关法律法规规定以及用户自身的安全保障要求,实现对违规网站的封堵。现有技术中,主要的封堵过程包括监测过程和流控过程,在监测过程中,抓取并审核确认违规域名,将确认的违规域名列入黑名单;在流控过程中,存储包含违规域名的黑名单,针对黑名单中的违规域名进行精确域名的一一匹配,以精确域名的封堵方式,封堵黑名单中的违规域名。
现有的封堵违规域名的方式存在如下问题
一方面,现有的针对违规域名的封堵方式仅以精确域名列入黑名单,封堵黑名单中的违规域名,如果被封堵的违规域名的所有下级域名没有列入黑名单,则该违规域名的所有下级的违规域名仍可被正常访问,从而逃避封堵,致使封堵效率十分低下;且由于通信网络中的所有违规域名很难被全部抓取,因此,实际的封堵效果有限。
另一方面,现有的域名封堵方式需将所有确认的违规域名列入黑名单中,使得黑名单在流控过程中需要占用大量的存储资源,并且在流控过程对黑名单中的违规域名进行一一封堵时,由于违规域名数量众多,对违规域名进行一一精确匹配并封堵的过程也会占用大量的系统资源。发明内容
本发明实施例提供一种域名封堵方法、系统及设备,以解决现有技术中域名封堵效率低、封堵效果差以及封堵过程占用大量的系统资源的问题。
一种域名封堵方法,所述方法包括
将已确定的违规域名按照域名的级别由低至高的顺序,针对同一级别中具有相同域名后缀的违规域名,执行以下递归操作
判断同一级别中具有相同域名后缀的违规域名数量是否达到设定阈值;
若达到,则确定所述同一级别中具有相同域名后缀的违规域名的父域名是违规域名,在已确定的违规域名中没有确定的所述父域名时,将所述父域名作为上一级别中的违规域名;
若没有达到,则对同一级别中具有相同域名后缀的违规域名以及以该违规域名作为域名后缀结尾的域名进行封堵。
一种域名封堵系统,所述系统包括监测子系统和流控子系统,其中
监测子系统,用于将已确定的违规域名按照域名的级别由低至高的顺序,针对同一级别中具有相同域名后缀的违规域名,执行以下递归操作判断同一级别中具有相同域名后缀的违规域名数量是否达到设定阈值;若达到,则确定所述同一级别中具有相同域名后缀的违规域名的父域名是违规域名,在已确定的违规域名中没有确定的所述父域名时, 将所述父域名作为上一级别中的违规域名;若没有达到,则触发所述流控子系统;
所述流控子系统,用于根据监测子系统的触发,对同一级别中具有相同域名后缀的违规域名以及以该违规域名作为域名后缀结尾的域名进行封堵。
一种监测设备,所述监测设备包括采集模块和数据处理模块,其中
采集模块,用于确定违规域名;
数据处理模块,用于将已确定的违规域名按照域名的级别由低至高的顺序,针对同一级别中具有相同域名后缀的违规域名,执行以下递归操作判断同一级别中具有相同域名后缀的违规域名数量是否达到设定阈值;若达到,则确定所述同一级别中具有相同域名后缀的违规域名的父域名是违规域名,在已确定的违规域名中没有确定的所述父域名时,将所述父域名作为上一级别中的违规域名;若没有达到,则确定该违规域名以及以该违规域名作为域名后缀结尾的域名需要进行封堵。
一种流控设备,所述流控设备包括接收模块、匹配模块和封堵模块,其中
接收模块,用于接收封堵请求,所述封堵请求中携带违规域名;
匹配模块,用于确定所述封堵请求中携带的违规域名以及以该违规域名作为域名后缀结尾的域名;
封堵模块,用于封堵所述匹配模块确定的域名。
本发明实施例的方案中,针对同一级别且具有相同域名后缀的违规域名,若同一级别且具有相同域名后缀的违规域名的数量较多,则确定这些违规域名的父域名为违规域名,以此类推进行递归操作,直至找到包含这些违规域名的最高级别的父域名,并将找到的父域名以及其下的各级子域名进行模糊封堵;通过本发明实施例的方案,由于根据最高级别的父域名进行模糊封堵,相对于现有的精确匹配的封堵方式,可提高封堵效率,取得较好的封堵效果;另外,模糊封堵的方式不需要对数量众多的违规域名进行精确匹配,很大程度上减少了系统的资源占用量。
图1为本发明实施例一中的一种域名封堵方法的示意图2为本发明实施例二中建立的4级域名树结构示意图3为本发明实施例二中图2中的第四级域名执行递归操作后的域名树结构示意图4为本发明实施例二中图3中的第三级域名执行递归操作后的域名树结构示意图5为本发明实施例二中图4中的域名树进行除重操作后的域名树结构示意图6为本发明实施例二中添加一个新增4级违规域名k. f. e. d. com至图5中的域名树后得到的域名树结构示意图7为本发明实施例二中图6中的第四级域名执行递归操作后的域名树结构示意图8为本发明实施例二中的图7中的域名树进行除重操作后的域名树结构示意
图9为本发明实施例四中的一种监测设备结构示意图10为本发明实施例四中的人工初审交互界面示意图11为本发明实施例四中的人工复审交互界面示意图12为本发明实施例五中的一种流控设备结构示意图13为本发明实施例六中的一种域名封堵系统结构示意图。
具体实施方式
针对现有域名精确匹配方式封堵违规域名产生的封堵效率低、效果差及封堵过程占用系统资源量大的问题,本发明实施例提供了一种域名封堵方法,将已确定的违规域名按照域名的级别由低至高的顺序,针对同一级别且具有相同域名后缀的违规域名,如果同一级别且具有相同域名后缀的违规域名的数量较多,则确定这些违规域名的父域名为违规域名,以此类推进行递归操作,直至找到包含这些违规域名的最高级别的父域名,并将找到的父域名以及其下的各级子域名进行模糊封堵;通过本发明实施例的方案,由于根据最高级别的父域名进行模糊封堵,相对于现有的精确匹配的封堵方式,可提高封堵效率,取得较好的封堵效果;另外,模糊封堵的方式不需要对数量众多的违规域名进行精确匹配,很大程度上减少了系统的资源占用量。
下面结合具体实施例详细描述本发明的方案。
实施例一
如图1所示,为本发明实施例一中的一种域名封堵方法的示意图,所述方法具体包括以下步骤
步骤101 :确定违规域名以及各违规域名的级别。
在本实施例的方案中,域名的级别可以根据域名中的点分号(.)来划分,域名中的点分号(.)越少,则该域名的级别越高。
例如确定的12个违规域名为 a. com、b. com、aL a. com、bL b. com、a2. al. a. com、 b2. bl. b. com、dl. cl. bl. a. com、d2. cl. bl. a. com、dl. c2. bl. a. com、d2. c2. bl. a. com、 c3. bl. a. com、b2. a. com,则根据点分号(.)可将所述12个违规域名划分为4级,分别如下
最低级别(如第一级)dl.cl. bl. a. com、d2. cl. bl. a. com、dl. c2. bl. a. com、 d2. c2. bl. a. com ;
次低级别(如第二级)c3.bl. a. com、a2. al. a. com、b2. bl. b. com ;
次高级别(如第三级)al.a. com、bl. b. com、b2. a. com ;
最高级别(如第四级)a. com、b. com。
需要说明的是,在本实施例一的方案中,级别的数值并不是体现级别高低的参数, 可以按照上述方式,将级别的数值由小到大作为级别由低至高的顺序,也可以将级别的数值由大到小作为级别由低至高的顺序。
较优的,所述违规域名可能为统一资源定位(Union Resource Location,URL)(即在域名中存在“/”符号)的形式,釆用URL可以用一种统一的格式来描述各种信息资源,包括文件、服务器的地址和目录等。所述URL由下列三部分组成第一部分是协议(或称为服务方式);第二部分是存有该资源的主机IP地址(有时也包括端口号);第三部分是主机资源的具体地址。其中第一部分和第二部分之间用符号隔开,第二部分和第三部分用“/”符号隔开。
对于URL形式的违规域名,对其进行分级之前,还包括对其进行预处理的方案,具体为去除该违规域名中“/”符号后的内容,保留“/”符号前的内容。例如假设违规域名为WWW.b2. a. com/123/ty8077. asp,则需要去除“/”符号之后的内容,预处理后的违规域名为 www. b2. a. com。
步骤102 :针对域名的级别分别为各级别设定对应的阈值。
本步骤是实现本发明目的的优选步骤,不同的级别可以设定不同的阈值,也可以设定为相同的阈值,且设定的阈值可根据实际需要进行调整。
步骤103 :按照域名的级别由低至高的顺序,判断是否还存在没有执行递归操作的违规域名,若是,则执行步骤104 ;若否,则结束。
在本实施例一的方案中,步骤104至步骤108为所述递归操作。
步骤104 :确定同一级别中具有相同域名后缀的违规域名。
本步骤104中确定的违规域名是当前还没有执行过递归操作的级别最低的违规域名。
在同一级别中,判定任意两个违规域名是否具有相同域名后缀的方法为若任意两个违规域名中,第一个点分号后的内容相同,则确定这两个违规域名具有相同域名后缀; 否则,确定这两个违规域名不具有相同域名后缀。
例如针对dl. cl. bl. a. com和d2. cl. bl. a. com这两个违规域名,第一个点分号后的内容都为cl. bl. a. com,则确定dl. cl. bl. a. com和d2. cl. bl. a. com具有相同域名后缀。
特殊地,若同一级别中具有某一域名后缀的违规域名数量为1,则本步骤中确定的违规数量为I。
步骤105 :判断步骤104中确定的违规域名的数量是否达到设定阈值,若达到,则执行步骤106 ;否则,执行步骤108。
较优地,若本实施例的步骤102中按照级别分别设定对应的阈值,则在本步骤105 中,根据步骤104确定的违规域名的级别对应的阈值来进行判断。
步骤106 :确定所述同一级别中具有相同域名后缀的违规域名的父域名是违规域名。
在本步骤106的方案中,若同一级别中具有相同域名后缀的违规域名数量较多, 则表示这些违规域名共同的父域名也是违规域名,则将这些违规域名共同的父域名定义为违规域名。
在本实施例的方案中,父域名与子域名的关系为父域名的级别比子域名的级别高一级,且父域名的内容是子域名的域名后缀。
例如违规域名dl. cl. bl. a. com 和 d2. cl. bl. a. com 的父域名为 cl. bl. a. com, 需要说明的是,针对el. dl. cl. bl. a. com和e2. dl. cl. bl. a. com,其父域名为dl. cl. bl. a. com,而不是 cl. bl. a. com。
步骤107 :判断已确定的违规域名中是否存在所述父域名,若是,则跳转至步骤 103 ;若否,将所述父域名添加至本次步骤104中确定的违规域名级别的上一级别中,并跳转至步骤103。
较优的,在步骤107中将父域名添加至上一级别后,可以直接去除本次执行步骤104至步骤107的违规域名,也可以在所有的违规域名都执行完成步骤104至步骤107的方案后,再统一去除违规域名。这样做的目的是由于本次执行步骤104至步骤107的违规域名数量达到阈值,将其父域名添加至上一级别,因此,即使去除本次操作的违规域名,由于其父域名仍将在后续执行步骤104至步骤107的操作,直至找到包含本次操作的违规域名的最高级别的违规域名进行模糊封堵,因此,本次去除的违规域名最终也将被封堵,为了减少数据的存储量,则此处可以去除操作过的违规域名。
步骤108 :对步骤104中确定的违规域名进行模·糊封堵,并跳转至步骤103。
所述模糊封堵是指对步骤104中确定的违规域名以及以该违规域名作为域名后缀结尾的域名进行封堵。
例如假设在本步骤104中确定的违规域名为b. a. com,则在本步骤108的方案中,需要将所有满足氺· b. a. com 的域名都封堵,如b. a. com、www. b. a. com、ml. b. a. com、 nl. ml. b. a. com 等,但不含 b. a. com. cn、b. a. com. c j 等。
通过本发明实施例一的方案,由于根据最高级别的父域名进行模糊封堵,相对于现有的精确匹配的封堵方式,可提高封堵效率,取得较好的封堵效果;另外,模糊封堵的方式不需要对数量众多的违规域名进行精确匹配,很大程度上减少了系统的资源占用量。
较优的,若属于同一级别的违规域名中,具有多组分别具有相同域名后缀的违规域名的情况,则各组内具有相同域名后缀的违规域名可以并行执行所述步骤104至步骤 108的递归操作,也可以串行执行。
较优地,在执行本实施例一的方案时,步骤108确定的数量没有达到阈值的违规域名可以看作是进行模糊封堵的最上级违规域名,因此,可以将这些违规域名列入黑名单中并存储该黑名单,进而根据黑名单中的违规域名进行模糊封堵。由于本发明实施例一中只存储用于模糊封堵的高级别的违规域名,相当于现有的精确存储方案,可有效减少黑名单的所占用的存储资源。
较优地,本发明实施例一的方案可以针对于存量的违规域名,还可以针对新增的违规域名。在新增违规域名时,可首先对新增的违规域名进行预处理,对于URL形式的新增违规域名,去除“/”符号后的内容;然后,判断新增的违规域名是否是黑名单中的违规域名,或新增的违规域名是否以黑名单中的任一违规域名作为域名后缀结尾;若是,则封堵该新增违规域名;若否,根据该新增违规域名的级别,从所述新增违规域名的级别开始,重复执行步骤103至步骤108。
在封堵违规域名后,可以解封该违规域名,并对解封后的违规域名进行拨测,如果访问失败,则表示封堵成功。
需要说明的是,步骤106所确定的作为违规域名的父域名,可进一步判断是否是白名单中的域名,若是,则确定该父域名不是违规域名,这样做的目的是,确保某些知名网站或重要的网站不会被误封堵。
在本实施例一中,根据域名级别对确定的违规域名进行分级,分级后违规域名数据的逻辑结构形式可以为域名树形式,也可以为域名分级列表形式。下面通过实施例二和实施例三,分别以域名树形式的域名封堵方法和域名分级列表形式的域名封堵方法来对实施例一的方案进行详细说明。
实施例二
域名树是指由多个不同级别的且具有从属关系的域名组成的树状示意图。本发明实施例二中以域名树形式为例的一种域名封堵方法,所述方法包括以下步骤
第一步确定违规域名,并建立如图2所示的4级域名树。
本步骤的具体实现方式为
首先,确定违规域名为c3. bl. a. com、d2. cl. bl. a. com、dl. c2. bl. a. com、d2. c2. bl. a. com、g. f. e. d. com、dl. cl. b2. a. com 和 j.1. h. com。
然后,为了得到完整的域名树,可确定同一级别的具有相同域名后缀的违规域名的父域名,如果当前确定的违规域名中包含该父域名,则可以直接将该父域名作为上一级域名树中的内容;如果当前确定的违规域名中不包含该父域名,则可以设定一个虚拟父域名作为上一级域名树中的内容,以得到完整结构的域名树。
例如,确定违规域名dl. c2. bl. a. com和d2. c2. bl. a. com的父域名为c2. bl. a. com,但当前确定的违规域名中不包含该父域名,则可将c2. bl. a. com看作是dl. c2. bl. a. com和d2. c2. bl. a. com的虚拟父域名。图2中实线框为确定的违规域名,虚线框为虚拟域名。
在本实施例二的方案中,域名树中叶子域名的级别最低,根域名的级别最高。
第二步设定每级阈值均为2。
第三步按照域名树中级别由低至高的顺序,针对同一级别中一组具有相同域名后缀的违规域名,循环执行递归操作。
例如针对图2中第四级的两个具有相同域名后缀的违规域名dl. c2. bl. a. com和 d2. c2. bl. a. c om,由于数量已达到设定阈值,则确定第三级中的父域名c2. bl. a. com也为违规域名,此时,图2中的c2. bl. a. com域名由虚线框变为实线框,如图3所示。
假设,此时第四级的违规域名都已执行过递归操作,则针对图3中第三级的两个具有相同域名后缀的违规域名c3. bl. a. com(第一步中已确定的违规域名)和c2. bl. a. com(根据第四级的违规域名数量新确定的违规域名)继续执行递归操作,同样由于数量已达到设定阈值,则确定第二级中的父域名bl. a. com也为违规域名,此时,图3中的 bl. a. com域名由虚线框变为实线框,如图4所示。
假设,此时第三级的违规域名都已执行过递归操作,则针对图4而言,虽然 bl. a. com是违规域名,但与bl. a. com同级且具有相同域名后缀的违规域名数量为1,没有达到阈值,不能再继续向上一级归并,因此,bl.a. com是作为模糊封堵的最高级的违规域名。
第四步将作为模糊封堵的最高级的违规域名列入黑名单中,同时,可去除图4所示的域名树中的不在黑名单中的违规域名,也就是说对域名树中的域名进行除重操作,得到图5所示的域名树。
第五步当新增一个违规域名dl. cl. bl. a. com时,确定图5所示的域名树中 bl. a. com是违规域名,且bl. a. com是新增域名的dl. cl. bl. a. com上级域名,即新增的违规域名dl. cl. bl. a. com以违规域名bl. a. com作为域名后缀结尾,因此,直接封堵新增的违规域名 dl. cl. bl. a. com。
第六步当新增一个4级违规域名k. f. e. d. com时,由于新增违规域名不以黑名单中的任一违规域名作为域名后缀结尾,则确定新增违规域名k. f. e. d. com所属的域名树为第二棵域名树,图5所示的域名树变为图6所示的结构。
在图6所示的域名树中,两个具有相同域名后缀的违规域名k. f. e. d. com(新增的违规域名)和g. f. e. d. com(第一步中已确定的违规域名),由于数量已达到设定阈值,则确定第三级中的父域名f. e. d. com也为违规域名,此时,图6中的f. e. d. com域名由虚线框变为实线框,如图7所示。
此时,由于第二棵域名树中第三级中的违规域名数量为1,没有达到阈值,不能再继续向上一级归并,因此,f. e. d. com是作为模糊封堵的最高级的违规域名,列入黑名单中, 通过对图7所示的域名树中的域名进行除重操作后,得到图8所示的域名树。
实施例三
本发明实施例三域名分级列表形式以域名分级列表的形式进行域名封堵,假设实施例三中采用与实施例二相同的举例的数据,则实施例二中图2至图8所示的域名树,可以依次转换为以下表I至表7所示的域名分级列表,与实施例二中域名树结构不同的是,表I 至表7所示的域名分级列表中不需要展示虚拟域名,只展示已确定的或是新增加的违规域名。
权利要求
1.一种域名封堵方法,其特征在于,所述方法包括 将已确定的违规域名按照域名的级别由低至高的顺序,针对同一级别中具有相同域名后缀的违规域名,执行以下递归操作 判断同一级别中具有相同域名后缀的违规域名数量是否达到设定阈值; 若达到,则确定所述同一级别中具有相同域名后缀的违规域名的父域名是违规域名,在已确定的违规域名中没有确定的所述父域名时,将所述父域名作为上一级别中的违规域名; 若没有达到,则对同一级别中具有相同域名后缀的违规域名以及以该违规域名作为域名后缀结尾的域名进行封堵。
2.如权利要求1所述的方法,其特征在于,在判断结果为没有达到,且对域名进行封堵之前,所述方法还包括 将同一级别中具有相同域名后缀的违规域名列入黑名单中; 对违规域名以及以该违规域名作为域名后缀结尾的域名进行封堵,具体包括 对黑名单中的违规域名以及以该违规域名作为域名后缀结尾的域名进行封堵。
3.如权利要求2所述的方法,其特征在于,所述方法还包括 在新增违规域名时,判断新增的违规域名是否是黑名单中的违规域名,或新增的违规域名是否以黑名单中的任一违规域名作为域名后缀结尾; 若是,则封堵该新增违规域名; 若否,则从所述新增违规域名的级别开始,按照级别由低至高的顺序,针对同一级别中具有相同域名后缀的违规域名,执行所述递归操作。
4.如权利要求3所述的方法,其特征在于,针对已确定的任一违规域名在执行递归操作之前,以及当新增违规域名时,所述方法还包括 在违规域名中存在“/”符号时,去除该违规域名中“/”符号后的内容。
5.如权利要求1所述的方法,其特征在于,在执行所述递归操作之前,所述方法还包括 针对域名的级别分别为各级别设定对应的阈值; 判断同一级别中具有相同域名后缀的违规域名数量是否达到设定阈值,具体包括 判断同一级别中具有相同域名后缀的违规域名数量是否达到该级别对应的阈值。
6.如权利要求1所述的方法,其特征在于,在判断结果为达到,且将父域名作为上一级别中的违规域名之后,所述方法还包括 去除所述同一级别中具有相同域名后缀的违规域名。
7.—种域名封堵系统,其特征在于,所述系统包括监测子系统和流控子系统,其中 监测子系统,用于将已确定的违规域名按照域名的级别由低至高的顺序,针对同一级别中具有相同域名后缀的违规域名,执行以下递归操作判断同一级别中具有相同域名后缀的违规域名数量是否达到设定阈值;若达到,则确定所述同一级别中具有相同域名后缀的违规域名的父域名是违规域名,在已确定的违规域名中没有确定的所述父域名时,将所述父域名作为上一级别中的违规域名;若没有达到,则触发所述流控子系统; 所述流控子系统,用于根据监测子系统的触发,对同一级别中具有相同域名后缀的违规域名以及以该违规域名作为域名后缀结尾的域名进行封堵。
8.—种监测设备,其特征在于,所述监测设备包括 采集模块,用于确定违规域名; 数据处理模块,用于将已确定的违规域名按照域名的级别由低至高的顺序,针对同一级别中具有相同域名后缀的违规域名,执行以下递归操作判断同一级别中具有相同域名后缀的违规域名数量是否达到设定阈值;若达到,则确定所述同一级别中具有相同域名后缀的违规域名的父域名是违规域名,在已确定的违规域名中没有确定的所述父域名时,将所述父域名作为上一级别中的违规域名;若没有达到,则确定该违规域名以及以该违规域名作为域名后缀结尾的域名需要进行封堵。
9.如权利要求8所述的监测设备,其特征在于,还包括 记录模块,用于在判断结果为没有达到时,将同一级别中具有相同域名后缀的违规域名列入黑名单中。
10.如权利要求9所述的监测设备,其特征在于, 采集模块,还用于确定新增的违规域名; 数据处理模块,还用于判断新增的违规域名是否是黑名单中的违规域名,或新增的违规域名是否以黑名单中的任一违规域名作为域名后缀结尾;若是,则确定该新增违规域名需要进行封堵;若否,则从所述新增违规域名的级别开始,按照级别由低至高的顺序,针对同一级别中具有相同域名后缀的违规域名,执行所述递归操作。
11.如权利要求10所述的监测设备,其特征在于, 数据处理模块,还用于针对采集模块确定的任一违规域名,在该违规域名中存在“/”符号时,去除该违规域名中“ / ”符号后的内容。
12.如权利要求8所述的监测设备,其特征在于, 数据处理模块,具体用于针对域名的级别分别为各级别设定对应的阈值,并在递归操作时,判断同一级别中具有相同域名后缀的违规域名数量是否达到该级别对应的阈值。
13.如权利要求8所述的监测设备,其特征在于, 数据处理模块,还用于在判断结果为达到时,去除所述同一级别中具有相同域名后缀的违规域名。
14.一种流控设备,其特征在于,所述流控设备包括 接收模块,用于接收封堵请求,所述封堵请求中携带违规域名; 匹配模块,用于确定所述封堵请求中携带的违规域名以及以该违规域名作为域名后缀结尾的域名; 封堵模块,用于封堵所述匹配模块确定的域名。
全文摘要
一种域名封堵方法、系统及设备,主要内容包括将已确定的违规域名按照域名的级别由低至高的顺序,针对同一级别且具有相同域名后缀的违规域名,如果同一级别且具有相同域名后缀的违规域名的数量达到设定阈值,则确定这些违规域名的父域名为违规域名,以此类推进行递归操作,直至找到包含这些违规域名的最高级别的父域名,并将找到的父域名以及其下的各级子域名进行模糊封堵。通过本发明实施例的方案,由于根据最高级别的父域名进行模糊封堵,相对于现有的精确匹配的封堵方式,可提高封堵效率,取得较好的封堵效果;另外,模糊封堵的方式不需要对数量众多的违规域名进行精确匹配,很大程度上减少了系统的资源占用量。
文档编号H04L29/12GK103024092SQ20111030116
公开日2013年4月3日 申请日期2011年9月28日 优先权日2011年9月28日
发明者江为强, 刘利军, 魏来, 周智 申请人:中国移动通信集团公司