网络访问控制的方法、装置和系统的制作方法

网络访问控制的方法、装置和系统的制作方法
【专利摘要】本发明公开了一种网络访问控制的方法、装置和系统。该方法包括：建立域名访问控制列表，该域名访问控制列表中包括目标网络的域名、该域名对应的一个以上目标IP地址以及对目标IP地址的访问控制操作之间的对应关系，目标域名与一个以上目标IP地址之间的对应关系根据域名服务器DNS的解析结果进行更新；响应于接收到访问请求，根据域名访问控制列表，对访问请求进行访问控制。本发明所提供的方法实现了基于域名的访问控制，从而能够及时对访问控制的条件进行更新，简化了管理维护访问控制的操作。
【专利说明】网络访问控制的方法、装置和系统
【技术领域】
[0001]本发明涉及网络通信领域，特别涉及一种网络访问控制的方法、装置和系统。
【背景技术】
[0002]对于网络通信来说，在一定的网络应用场景中，常需要根据不同的安全需要对互联网的访问实施不同的访问控制，例如，基于被访问的目标对象，实施访问控制策略。被访问的目标可能是网络银行、门户网站、公司等机构提供的网站，这些网站通常都使用固定的域名。然而，网站时常需要进行IP地址的调整，这将导致固定域名对应的IP地址经常发生变化，此时需要对网络的访问控制策略进行更新。若网络管理人员未能及时获悉这些IP地址的变化，没有对访问控制策略进行及时更新，不仅可能导致网络安全的隐患，还可能影响用户正常的网络访问。
[0003]例如，在某特定的网络中，访问控制策略不允许对域名为www.abcde.com的网站进行访问，该网站的域名www.abcde.com对应的IP地址为10.10.10.11，10.10.10.13，10.10.10.15，10.10.10.17，10.10.10.19。网络管理人员根据域名 www.abcde.com 对应的 5 个IP地址，添加5条访问控制列表，以禁止对以上5个IP地址的访问，并执行至少5条对访问控制列表的配置命令。然而，一段时间之后，当该域名对应的IP被更换为20.10.10.11，20.10.10.13，20.10.10.15，20.10.10.17，20.10.10.19，网络管理人员不能及时获悉网站IP地址已经更换的信息，一方面，导致未禁止对新IP地址的访问，使得对该网站的访问控制策略便失去作用，甚至导致网络的安全隐患，另一方面，若之前使用的旧IP地址被作为其他允许访问的网站域名使用的IP地址，滞后的访问控制更新还将影响用户不能访问允许访问的网站。
[0004]由此可见，现有技术使用的访问控制方法需要网络管理人员时刻关注IP地址的变化信息，在发生变化时，对涉及IP地址的网络设备进行访问控制的更新，而不能自动及时地获知IP地址的变化进行更新。这种方法不仅需要投入网络管理人员大量的维护工作，还导致了对访问控制策略更新速度慢，进而还可能影响网络安全，或影响用户正常的网络访问。

【发明内容】

[0005]本发明针对上述现有技术中的问题，所要解决的一个技术问题是:提供一种网络访问控制的方法、装置和系统，通过基于域名的访问控制实现对访问控制的及时更新。
[0006]根据本发明的第一个方面，本发明实施例提供了一种网络访问控制的方法，所述方法包括:
[0007]建立域名访问控制列表，所述域名访问控制列表中包括目标网络的域名、所述域名相对应的一个以上目标IP地址以及对所述目标IP地址的访问控制操作之间的对应关系，所述目标域名与所述一个以上目标IP地址之间的对应关系根据域名服务器DNS的解析结果进行更新；[0008]响应于接收到访问请求，根据所述域名访问控制列表，对所述访问请求进行访问控制。
[0009]根据本发明的第二个方面，本发明实施例还提供了一种网络访问控制的装置，所述装置包括:
[0010]域名管理单元，用于建立域名访问控制列表，所述域名访问控制列表中包括目标网络的域名、所述域名相对应的一个以上目标IP地址以及对所述目标IP地址的访问控制操作之间的对应关系，所述目标域名与所述一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新；
[0011]访问控制执行单元，用于响应于接收到访问请求，根据所述域名访问控制列表，对所述访问请求进行访问控制。
[0012]根据本发明的第三个方面，本发明实施例还提供了一种网络访问控制的系统，所述系统包括根据本发明第二个方面所提供的网络访问控制的装置；
[0013]域名服务器DNS，用于解析所述目标网络的域名，向所述网络访问控制的装置返回所述目标网络的域名对应的目标IP地址。
[0014]基于本发明上述实施例提供的网络访问控制的方法、装置和系统，通过建立域名访问控制列表，该域名访问控制列表中包括目标网络的域名与目标网络的域名相对应的一个以上目标IP地址以及对目标IP地址的访问控制操作之间的对应关系，目标域名与目标IP地址之间的对应关系根据域名服务器DNS的解析结果进行更新，使得在对访问请求进行访问控制时，对特定网站的访问控制针对被访问目标网络的域名进行。根据DNS的解析结果对被访问的目标IP地址进行更新，通过自动获知目标网站的域名所对应IP地址的更新信息，可以实现基于域名的访问控制，而不需是通过管理具体的目标IP地址进行访问控制，从而在目标IP地址发生变化时，可以及时对访问控制的条件进行及时准确地更新，有效防止更新的滞后。不仅简化了管理访问控制的操作，减少了网络管理人员的维护工作，更进一步地，访问控制的准确实施还有助于网络安全的实现，也为向用户提供正常的网络访问提供了保障。
[0015]通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。
【专利附图】

【附图说明】
[0016]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0017]同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
[0018]构成说明书的一部分的附图描述了本发明的实施例，并且连同说明书一起用于解释本发明的原理。
[0019]参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中:[0020]图1示出本发明所提供的网络访问控制方法一种实施例的流程示意图；
[0021]图2示出本发明所提供的网络访问控制方法另一种实施例的流程示意图；
[0022]图3示出本发明所提供的网络访问控制装置一种实施例的结构示意图；
[0023]图4示出本发明所提供的网络访问控制装置另一种实施例的结构示意图；
[0024]图5示出本发明所提供的网络访问控制系统一种实施例的组成示意图。
【具体实施方式】
[0025]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。应注意到:除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置不限制本发明的范围。
[0026]以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0027]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
[0028]在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
[0029]网络访问控制的方法
[0030]参见图1所示，图1示出本发明所提供的网络访问控制方法一种实施例的流程示意图。该实施例的操作具体可以由网络中需要配置对访问请求进行访问控制的设备，例如接入层的宽带远程接入服务器(Broadband Remote Access Server, BRAS)、全业务路由器(Service Route, SR)等业务控制设备，或者是汇聚层、核心层的路由器、交换机等网络实体执行。该实施例的网络访问控制方法包括:
[0031]在步骤101中，建立域名访问控制列表，域名访问控制列表中包括目标网络的域名、目标网络的域名相对应的一个以上目标IP地址以及对目标IP地址的访问控制操作之间的对应关系，目标域名与一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新。
[0032]通过在步骤101中建立域名访问控制列表。目标网络的域名标识了目标网站的计算机或计算机组的名称，与该域名相对应的IP地址是被访问目标计算机的使用的IP地址。域名访问控制列表中包括目标网络的域名与目标网络的域名相对应的一个以上目标IP地址，同时还包括对目标IP地址的访问控制操作之间的对应关系。目标域名与目标IP地址之间的对应关系根据(Domain Name System, DNS)的解析结果进行更新。将字符形式的目标网络的域名转换为目标IP地址，当目标网络的域名对应的IP地址发生更变时，DNS对目标网络的域名的解析结果也会相应地发生改变，因此，根据DNS的解析结果能够对目标域名与一个以上目标IP地址之间的对应关系进行更新。
[0033]步骤101中，建立域名访问控制列表的操作具体可以是通过向DNS发送对目标网络的域名解析请求，获得与目标网络的域名相对应的一个以上目标IP地址，从而建立域名访问控制列表。或者，也可以是根据预先获知或之前的目标网络的域名与其相对应的一个以上目标IP地址，设置目标网络的域名相对应的一个以上目标IP地址，并建立域名访问控制列表。
[0034]步骤101中，目标域名与一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新，具体可以有不同的实施方式，以下示例性地描述其中的两种。
[0035]在一种具体实现方式中，可以向DNS发送域名访问控制列表中包含的目标网络的域名的解析请求；响应于DNS返回的与目标网络的域名相对应的一个以上目标IP地址发生变更的信息，更新域名访问控制列表中发生变更的目标IP地址。
[0036]具体地，向DNS发送目标网络域名的请求解析，可以采用周期性地发送，也可以非周期性地请求，或两种请求相结合。对于周期性地向DNS发送域名解析请求的方式，周期的时间间隔可以根据目标网络的域名对应的目标IP地址变化的频率进行调整，当目标IP地址经常变化时，缩短发送目标网络域名的解析请求时间间隔。
[0037]在另一种具体实现方式中，DNS在接收到基于目标网络的域名首次发送的解析请求时，记录发送解析请求的请求方标识，以及记录目标网络的域名与对应的目标IP地址之间的对应关系；并在目标网络的域名相对应的目标IP地址相对于对应关系中的目标IP地址发生变化时更新该对应关系，基于请求方标识向请求方推送目标网络的域名对应的目标IP地址；请求方根据DNS最新推送的目标网络的域名对应的目标IP地址更新域名访问控制列表。请求方标识可以是请求方用户标识或者请求方终端的IP地址。
[0038]根据DNS的解析结果对被访问的目标IP地址进行更新，从而能够自动获知目标网站的域名所对应IP地址的更新信息，实现基于域名的访问控制，而不是由网络管理人员对每一个目标IP地址是否发生更新进行逐一查询，来获知更新信息。因此，在目标IP地址发生变化时，可以及时对访问控制的条件进行及时准确地更新，有效防止更新的滞后，简化了管理访问控制的操作。
[0039]在本发明网络访问控制方法的任意一个实施例中，域名访问控制列表还包括对目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息，对访问请求进行访问控制可以包括允许或者拒绝以来自源IP地址的源端口号对目标IP地址的目标端口号的访问请求。将目标IP地址、源IP地址、目标端口号、源端口号以及访问控制操作这五个信息看作五元组，通过对五元组的访问控制条件，实现对访问请求更全面的访问控制。本领域技术人员应该知道，对访问请求的访问控制条件，可以根据具体的访问控制策略进行设置。
[0040]根据本发明网络访问控制方法实施例的一个具体示例，域名访问控制列表具体可以有不同的实现方式。以下示例性地示出了其中的一种。
[0041]域名访问控制列表包括两个访问控制子表:
[0042]第一访问控制子表的列表项中包含目标网络的域名以及与目标网络的域名相对应的一个以上目标IP地址之间的对应关系；
[0043]第二访问控制子表的列表项中包含一个以上目标IP地址与对一个以上目标IP地址的访问控制操作之间的对应关系。
[0044]以下举例对这种实施例的实现方式进行详细说明。
[0045]第一访问控制子表如表I所示，包含目标网络的域名以及与目标网络的域名相对应的一个以上目标IP地址之间的对应关系。目标网络的域名分别为WWW.abc.com以及WWW.efg.com，它们使用的目标IP地址具体分别为10.10.1.3,10.10.1.5,10.10.1.7以及20.10.1.8,20.10.1.10。第二访问控制子表如表2所示，第二访问控制子表的列表项中包含目标IP地址与对目标IP地址的访问控制操作之间的对应关系，如表2中所示的对目标IP地址访问请求的允许或拒绝操作，可以将第二访问控制子表的每一个列表项视为一个访问控制列表，以执行对访问请求的访问控制。
[0046]以周期性地向DNS请求解析的方式为例，根据第一访问控制子表中的目标网络的域名，周期性地向DNS请求解析www.abc.com以及www.efg.com。响应于DNS返回的与目标网络的域名相对应的目标IP地址发生变更的信息，更新第二访问控制子表中发生变更的目标IP地址对应的列表项。例如，www.abc.com对应的10.10.1.3变更为10.10.1.22，则对第一访问控制子表与第二访问控制子表分别进行更新。可以理解的是，根据目标IP地址的变化情况，更新操作包括增加、删除或更改第一访问控制子表与第二访问控制子表中对应的列表项。
[0047]表1第一访问控制子表
[0048]
【权利要求】
1.一种网络访问控制的方法，其特征在于，所述方法包括: 建立域名访问控制列表，所述域名访问控制列表中包括目标网络的域名、所述域名对应的一个以上目标IP地址以及对所述目标IP地址的访问控制操作之间的对应关系，所述目标域名与所述一个以上目标IP地址之间的对应关系根据域名服务器DNS的解析结果进行更新； 响应于接收到访问请求，根据所述域名访问控制列表，对所述访问请求进行访问控制。
2.根据权利要求1所述的方法，其特征在于，所述方法还包括: 向DNS发送所述目标网络的域名的解析请求，获得与所述目标网络的域名相对应的一个以上目标IP地址，建立所述域名访问控制列表；或者 设置所述目标网络的域名相对应的一个以上目标IP地址，并建立所述域名访问控制列表。
3.根据权利要求2所述的方法，其特征在于，所述目标域名与所述一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新包括: 向所述DNS发送所述域名访问控制列表中包含的目标网络的域名的解析请求； 响应于所述DNS返回的与所述目标网络的域名相对应的所述一个以上目标IP地址发生变更的信息，更新所述域名访问控制列表中发生变更的目标IP地址。
4.根据权利要求3所述的方法，其特征在于，向所述DNS请求解析所述域名访问控制列表中包含的目标网络的域名包括: 周期性地向所述DNS发送所述域名访问控制列表中包含的目标网络的域名的解析请求。
5.根据权利要求2所述的方法，其特征在于，所述目标网络的域名与所述一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新包括: DNS在接收到基于所述目标网络的域名首次发送的解析请求时，记录发送所述解析请求的请求方标识，以及记录所述目标网络的域名与对应的目标IP地址之间的对应关系； 并在所述目标网络的域名相对应的目标IP地址相对于所述对应关系中的目标IP地址发生变化时更新所述对应关系，基于所述请求方标识向所述请求方推送所述目标网络的域名对应的目标IP地址； 所述请求方根据DNS最新推送的所述目标网络的域名对应的目标IP地址更新所述域名访问控制列表。
6.根据权利要求1至5任意一项所述的方法，其特征在于，所述域名访问控制列表包括两个访问控制子表: 第一访问控制子表的列表项中包含目标网络的域名以及与所述目标网络的域名相对应的一个以上目标IP地址之间的对应关系； 第二访问控制子表的列表项中包含所述一个以上目标IP地址与对所述一个以上目标IP地址的访问控制操作之间的对应关系。
7.根据权利要求6所述的方法，其特征在于，所述方法还包括: 接收用户输入的所述目标网络的域名、源IP地址、目标端口号、源端口号，以及对所述目标网络的域名的访问控制操作信息，所述域名访问控制列表还包括对所述目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息；或者进一步根据用户输入的信息对所述域名访问控制列表中的目标网络的域名、源IP地址、目标端口号、源端口号、访问控制操作信息进行更新。
8.根据权利要求7所述的方法，其特征在于，所述对所述访问请求进行的访问控制包括允许访问或拒绝访问。
9.一种网络访问控制的装置，其特征在于，所述装置包括: 域名管理单元，用于建立域名访问控制列表，所述域名访问控制列表中包括目标网络的域名、所述域名对应的一个以上目标IP地址以及对所述目标IP地址的访问控制操作之间的对应关系，所述目标域名与所述一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新； 访问控制执行单元，用于响应于接收到访问请求，根据所述域名访问控制列表，对所述访问请求进行访问控制。
10.根据权利要求9所述的装置，其特征在于，所述域名管理单元，还用于向DNS发送所述目标网络的域名的解析请求，获得与所述目标网络的域名相对应的一个以上目标IP地址，建立所述域名访问控制列表；或者 还用于设置所述目标网络的域名相对应的一个以上目标IP地址，并建立所述域名访问控制列表。
11.根据权利要求10所述的装置，其特征在于，所述域名管理单元向所述DNS发送所述域名访问控制列表中包含的目标网络的域名的解析请求；响应于所述DNS返回的与所述目标网络的域名相对应的所述一个以上目标IP地址发生变更的信息，更新所述域名访问控制列表中发生变更的目标IP地址。
12.根据权利要求11所述的装置，其特征在于，所述域名管理单元周期性地向所述DNS发送所述域名访问控制列表中包含的目标网络的域名的解析请求。
13.根据权利要求12所述的装置，其特征在于，所述域名管理单元根据DNS最新推送的所述目标网络的域名对应的目标IP地址更新所述域名访问控制列表，所述DNS在接收到基于所述目标网络的域名首次发送的解析请求时，记录发送所述解析请求的请求方标识，以及记录所述目标网络的域名与对应的目标IP地址之间的对应关系；并在所述目标网络的域名相对应的目标IP地址相对于所述对应关系中的目标IP地址发生变化时更新所述对应关系，基于所述请求方标识向所述请求方推送所述目标网络的域名对应的目标IP地址。
14.根据权利要求9至13任意一项所述的装置，其特征在于，所述域名访问控制列表包括两个访问控制子表: 第一访问控制子表的列表项中包含目标网络的域名以及与所述目标网络的域名相对应的一个以上目标IP地址之间的对应关系； 第二访问控制子表的列表项中包含所述一个以上目标IP地址与对所述一个以上目标IP地址的访问控制操作之间的对应关系。
15.根据权利要求14所述的装置，其特征在于，所述装置还包括: 接收输入单元，用于接收用户输入的所述目标网络的域名、源IP地址、目标端口号、源端口号，以及对所述目标网络的域名的访问控制操作信息，所述域名访问控制列表还包括对所述目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息； 所述域名管理单元进一步根据接收用户输入的信息对所述域名访问控制列表中的目标网络的域名、源IP地址、目标端口号、源端口号、访问控制操作信息进行更新。
16. 根据权利要求15所述的装置，其特征在于，所述对所述访问请求进行的访问控制包括允许访问或拒绝访问。
17.—种网络访问控制的系统，其特征在于，所述系统包括根据权利要9至16任意一项所述的网络访问控制的装置； DNS，用于解析所述目标网络的域名，向所述网络访问控制的装置返回所述目标网络的域名对应的目标IP地址。
18.根据权利要求17所述的系统，其特征在于，所述DNS在接收到基于所述目标网络的域名首次发送的解析请求时，记录发送所述解析请求的请求方标识，以及记录所述目标网络的域名与对应的目标IP地址之间的对应关系；并在所述目标网络的域名相对应的目标IP地址相对于所述对应关系中的目标IP地址发生变化时更新所述对应关系,基于所述请求方标识向所述请求方推送所述目标网络的域名对应的目标IP地址； 所述网络访问控制的装置根据所述DNS最新推送的所述目标网络的域名对应的目标IP地址更新所述域名访问控制列表。
【文档编号】H04L29/12GK103546434SQ201210242621
【公开日】2014年1月29日 申请日期:2012年7月13日 优先权日:2012年7月13日
【发明者】贺晓东, 曹维华, 陈乙群, 陈博, 姜松, 杨胜, 李文云, 刘式颖, 韩念龙, 郑忠民 申请人:中国电信股份有限公司