访问控制方法及家庭网关与流程

本发明涉及通信领域，尤其涉及一种访问控制方法及家庭网关。

背景技术：

各种类型的家庭网络终端，即家庭网关，通过dhcp(dynamichostconfigurationprotocol，动态主机配置协议)/pppoe(pppoverethernet，以太网上的点对点协议)拨号方式获得运营商分配的公网ipv4地址。家庭各类网络设备，例如手机、pc、ipad等，通过有线lan或者无线wlan与家庭网络终端连接获得私网地址后，经由nat方式访问公网，完成各类网络业务。作为普通终端用户，运营商提供的帐号分配了较少的权限，用户通过私网登录终端web页面或者telnet端口进行业务功能查看等基本操作；作为运营商操作维护人员，则拥有较多权限的帐号，可以通过私网或者公网登录终端web页面或者telnet端口进行业务功能配置、诊断等复杂操作。特别是在公网维护时，家庭网关本身需要提供访问控制功能，避免非法用户的攻击、登录操作，增强安全性。

目前家庭网关访问控制功能，一种做法是关闭所有的公网访问，但这种做法使得维护人员也不能通过公网对其进行访问。因此目前使用的比较多的是另一种方式，即使用ip地址白名单的方式控制。通过在家庭网关中配置允许在公网侧访问自身的ip地址，提供安全性。这中做法会存在以下问题：ip地址与物理位置组网相关，例如对于深圳，则有对应深圳的地址段，对于这一地址段的ip地址只能在深圳使用，在其他地方就不行。因此，在配置ip地址白名单时，就需要尽可能全的包含所有允许进行访问维护的ip地址。也就是在配置之前要尽可能预见所有有权项的ip地址。而ip地址本身就难以穷尽，且现在组网规模的扩大以及组网方式的灵活变化，需要灵活的在不同的地方通过ip地址对家庭网关进行维护的需求就越来越多。例如假设ip地址白名单中仅针对深圳、上海、北京三个地方进行了ip白名单配置。但根据组网需求或其他因素，可能需要临 时在重庆、成都等地方通过ip地址访问家庭网关。由于当前ip白名单中没有对应这些地方区域设置ip地址，在这些地方所发起的访问都会被禁止。

因此，现有家庭网关通过ip地址白名单进行访问控制时，访问设备仅能在该ip地址白名单中各ip地址对应的地方区域才能正常访问，对访问设备的物理位置区域限制大，不能满足灵活的对家庭网关进行维护的需求。

技术实现要素：

本发明实施例为解决：家庭网关通过ip地址白名单进行访问控制时，对访问家庭网关之访问设备的物理位置区域限制大的问题，提供了一种访问控制方法及家庭网关。

本发明一实施例提供的访问控制方法包括：

接受域名白名单配置，所述域名白名单包括被允许对所述家庭网关进行访问的目标域名，所述目标域名被分配给合法访问设备；

通过域名服务器获取所述目标域名当前对应的目标ip地址，所述域名服务器保存有所述合法访问设备当前上传的目标域名及对应的目标ip地址；

根据当前获取的目标ip地址对访问所述家庭网关的各ip地址进行访问控制。

本发明一实施例提供的家庭网关包括：

名单配置单元，用于接受域名白名单配置，所述域名白名单包含被允许对所述家庭网关进行访问的各目标域名，所述目标域名被分配给合法访问设备；

地址获取单元，用于通过域名服务器获取所述目标域名当前对应的目标ip地址，所述域名服务器保存有所述合法访问设备当前上传的目标域名及对应的目标ip地址；

访问控制单元，用于根据当前获取的目标ip地址对访问家庭网关的各ip地址进行访问控制。

本发明一实施例还提供了家庭网关，包括处理器和存储器；所述处理器用于控制存储器中的模块执行以下动作：

接受域名白名单配置，所述域名白名单包含被允许对所述家庭网关进行访 问的目标域名，所述目标域名被分配给合法访问设备；

通过域名服务器获取所述目标域名当前对应的目标ip地址，所述域名服务器保存有所述合法访问设备当前上传的目标域名及对应的目标ip地址；

根据当前获取的目标ip地址对访问家庭网关的各ip地址进行访问控制。

上述技术方案中的一个技术方案具有如下有益效果：

由家庭网关接受域名白名单配置，所配置的域名白名单中包含被允许对家庭网关进行访问的目标域名，这些目标域名会被分配给各合法访问设备；各合法访问设备需要对家庭网关进行访问时，不管其当前在什么地方，例如重庆或成都，其只需获取当前地方ip地址段中的ip地址作为目标域名的目标ip地址，并上传给域名服务器进行保存即可。家庭网关通过域名服务器就可以获取到各目标域名当前对应的目标ip地址，并以此对访问自身的方位设备进行访问控制。这样对访问设备的物理位置区域就没有限制，访问设备可以根据自身当前地方设置目标ip地址通过域名服务器传递给家庭网关。这样当本发明实施例应用到操作维护领域时，可以提升对家庭网关操作维护的便利性，灵活性以及及时性。

附图说明

图1为本发明第一实施例提供的访问控制方法流程示意图；

图2为本发明第一实施例提供的获取目标ip地址的流程示意图；

图3为本发明第二实施例提供的家庭网关结构示意图；

图4为本发明第三实施例提供的家庭网关结构示意图；

图5为本发明第四实施例提供的通信系统结构示意图；

图6为本发明第四实施例提供的访问控制方法流程示意图。

具体实施方式

下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本发明中一部分实施例，而不是 全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现通过具体实施方式结合附图的方式对本发明做出进一步的诠释说明。

实施例一：

请参见图1所示，本实施例提供的访问控制方法包括：

s101：接受域名白名单配置。

本实施例中家庭网关可以根据用户或维护人员的输入进行域名白名单设置，也可以在出厂时直接由厂家完成域名白名单设置，且本实施例中所设置的域名报名单支持对里面的目标域名进行删除、修改、增加等更新操作。本实施例中的域名白名单包含被允许对家庭网关进行访问的目标域名，也即合法域名。所配置的各目标域名被分配给各合法访问设备。本实施例中的合法访问设备可以是操作人员的维护设备，例如维护pc等，也可以是其他访问人员的设备，包括但不限于手机、pc、ipad通信设备。当然，本实施例中域名白名单可以包含一个目标域名，也可以根据实际需求包含多个目标域名。

s102：通过域名服务器获取各目标域名当前对应的目标ip地址。

本实施例中，分配了目标域名的各合法访问设备需要对家庭网关进行访问时，需获取自身当前地方对应ip地址段中的ip地址作为目标域名的目标ip地址，然后上传给域名服务器进行保存。这样域名服务器就保存有各合法访问设备当前所上传的目标域名及对应的目标ip地址。本实施例中的各合法访问设备具体可以利用动态dns功能进行ip地址的上报。具体的，合法访问设备将自己分配到的目标域名发给服务商动态域名服务器进行保存，然后其在获取到当前的ip地址后，则将该ip地址发给该服务商动态域名服务器，这样服务商动态域名服务器就保存了该合法访问设备的目标域名以及该目标域名当前对应的ip地址(也即目标ip地址)。家庭网关向域名服务器(该域名服务器为家庭网关基于当前接入的公网对应的运营商域名服务器)发送目标域名进行解析。该域名服务器接收到目标域名后，针对每一个域名从对应的服务商动态域名服务器获取到对应的目标ip地址完成解析，然后反馈给家庭网关。

本实施例中域名服务器可以等所有目标域名解析完之后，向家庭网关一并反馈所匹配到的所有目标ip地址。也可以在没完成一个目标域名的解析之后， 就实时的将解析得到的目标ip地址反馈给家庭网关。

另外，应当理解的是，本实施例中的域名服务器对某一个目标域名进行解析时，其得到的目标ip地址可能时有效的ip地址，也可能为空。

s103：根据当前获取的目标ip地址对访问家庭网关的方位设备进行访问控制。

通过本实施例图1所示的方案进行访问控制，对访问设备的物理位置区域就没有限制，访问设备可以根据自身当前地方设置目标ip地址与为其分配的目标域名进行绑定后上报给域名服务器，域名服务器进行域名解析得到对应的目标ip地址反馈给家庭网关，这样家庭网关就可以将该目标ip地址设置为合法的ip地址并进而完成访问规则的配置实现访问控制。本实施例的方案尤其用于操作维护领域时，可以提升对家庭网关操作维护的便利性，灵活性以及及时性。

本实施例中，家庭网关通过域名服务器获取各目标域名当前对应的目标ip地址的过程参见图2所示，包括：

s201：家庭网关接入公网ip地址(例如ipv4地址或ipv6地址)，并获取到对应的域名服务器，该域名服务器为运营商域名服务器。

s202：家庭网关将域名白名单中的各目标域名发给域名服务器进行域名解析。

家庭网关可以按照一定的规则逐个或分批将各目标域名发给域名服务器进行解析，也可以一次性将域名白名单直接发给域名服务器进行解析。

s203：家庭网关接收域名服务器当前对各目标域名进行解析后反馈的目标ip地址。

域名服务器接收到家庭网关发送的目标域名后，按照上述解析过程进行域名解析并向家庭网关反馈解析结果。

另外，在本实施例中，家庭网关所接入的公网ip地址可能发生变化。家庭网关检测到当前接入的公网ip地址变化时，则获取到对应的新的域名服务器，并将域名白名单中的各目标域名发给该新的域名服务器进行域名解析。

本实施例中，各合法访问设备所处的物理位置可能是动态变化的。例如上午可能在重庆，同一天下午或者第二天上午就到了成都或深圳等。当物理位置发生变化后，该合法访问设备所采用的ip地址则会进行相应的变化。此时合法 访问设备获取当前地方的ip地址段中的ip地址作为目标ip地址与分配给自己的目标域名绑定上报给对应的服务商动态域名服务器。此时该访问设备的目标域名所对应的目标ip就发生了变化。针对该情况，本实施例中的家庭网关将域名白名单中的各目标域名发给域名服务器(运营商域名服务器)进行域名解析时，采用轮询发送解析的方式，也即按预设时间间隔将各目标域名发给域名服务器进行解析。域名服务器没接收到一次就重新解析一次。这样可以及时的对应访问设备的位置变化就行对应的调整，可以进一步提升访问控制的准确性、可靠性以及及时性。

应当理解的是，本实施例中预设时间间隔的具体取值可以根据跨区域所需的最小时间或者其他因素灵活设置。例如进行为了追求实现最为精准的控制时，该时间间隔值可以取秒或者分钟为单位，例如10秒、1分钟等。为了平衡资源利用率以及控制精准度，该时间间隔可以小时、天为单位，例如1小时、1天等。

本实施例中，家庭网关根据当前获取的目标ip地址对访问自身的各ip地址进行访问控制过程包括：

家庭网关对获取的各目标ip地址进行访问规则配置得到ip访问控制列表。根据得到的ip访问控制列表对访问自身的各ip地址进行访问控制。

本实施例中的访问规则包含单不限于各目标ip地址与对应端口的访问权限设置。例如目标ip地址a，其配置的访问控制规则下表1所示：

表1

由于本实施例中的家庭网关可以采用向域名服务器轮询的方式获取目标ip地址，家庭网关针对各目标域名可能会接收到多次反馈结果。因此，本实施例中，当家庭网关第一次获取到各目标域名对应的目标ip地址时，按上述方式对各目标ip地址进行访问规则配置。当家庭网关再次(指第一次获取后面的各次获取)收到各目标域名对应的目标ip地址时，判断各目标域名当前对应的目标ip地址与上一次获取的目标ip地址相比是否有不同，如是，则对该目标域名当 前对应的各目标ip地址的访问规则进行更新配置。否则，保持不变。

应当理解的是，本实施例中，当某一合法访问设备的物理位置发生变化时，则通过上述轮询机制及时发现并获取到该设备最新的目标ip地址，并进行对应的更新。例如，假设该设备分配的目标域名为上述表1中的目标域名a，在t1时刻其对应的目标ip地址为目标ip地址b。通过轮询发现在t2时刻该设备的目标ip地址变为了目标ip地址b，则对其进行更新的访问控制表如下表2所示。

表2

家庭网关配置好访问规则控制表之后，当有wan侧访问时，则判定该访问的ip地址是否是目标ip地址中的一个，如否，则禁止其访问。如是，则可进一步判定该访问所要求的访问的内容(例如端口)是否有权限，如有，则允许其访问，否则，同样禁止其访问。

可见，本实施例通过在家庭网关上配置与物理区域没有强关联性的域名白名单，允许合法访问设备根据当前所处物理区域改变分配给自己的目标域名对应的目标ip地址以传递给家庭网关进行及时的更新。既保证了访问安全的控制，又不受物理区域限制。

实施例二：

本实施例提供了一种家庭网关，参见图3所示，包括：

名单配置单元31，用于进行域名白名单配置。名单配置单元31可以根据用户或维护人员的输入进行域名报名单设置，也可以在出厂时直接由厂家完成域名白名单设置，且本实施例中所设置的域名报名单支持对里面的目标域名进行删除、修改、增加等更新操作。本实施例中的域名白名单包含被允许对家庭网关进行访问的目标域名，也即合法域名。所配置的各目标域名被分配给各合法访问设备。应当理解，本实施例中的名单配置单元31具体可通过家庭网关相应的人机交互接口/界面和存储器实现。

地址获取单元32，用于通过域名服务器获取各目标域名当前对应的目标ip地址。

合法访问设备需要对家庭网关进行访问时，需获取自身当前地方对应ip地址段中的ip地址作为目标域名的目标ip地址，然后传递给域名服务器。本实施例中的合法方位设备具体可采用动态dns功能进行ip地址的上报。具体的，合法访问设备将自己分配到的目标域名发给服务商动态域名服务器进行保存，然后其在获取到当前的ip地址后，则将该ip地址发给该服务商动态域名服务器，这样服务商动态域名服务器就保存了该合法访问设备的目标域名以及该目标域名当前对应的ip地址(也即目标ip地址)。在进行域名解析时接收到域名服务器(该域名服务器为家庭网关基于当前接入的公网对应的运营商域名服务器)的解析请求时，即可将对应的目标ip地址反馈给该域名服务器完成对目标域名的完解析。这样域名服务器就可通过域名解析获取到各合法访问设备当前所上传的目标域名及对应的目标ip地址。本实施例中的地址获取单元32可以通过家庭网关中的通信模块结合处理器实现。本实施例中的处理器可以是各种硬件结构的处理芯片。

地址获取单元32具体用于在家庭网关当前接入的公网ip地址候，获取到相应运营商的域名服务器，将域名白名单中的各目标域名发给域名服务器进行域名解析，并接收域名服务器当前对各目标域名进行解析后反馈的目标ip地址。以及还用于检测到家庭网关当前接入的公网ip地址变化时，获取到新的域名服务器，并将各目标域名发给该新的域名服务器进行如上所示的域名解析。

由于各合法访问设备所处的物理位置可能是动态变化的。例如上午可能在广州，同一天下午就到了深圳等。当物理位置发生变化后，该合法访问设备所采用的ip地址则会进行相应的变化。此时合法访问设备获取当前地方的ip地址段中的ip地址作为目标ip地址与分配给自己的目标域名绑定上报给域名服务器。此时该访问设备的目标域名所对应的目标ip就发生了变化。针对该情况，本实施例中的地址获取单元32将域名白名单中的各目标域名发给域名服务器进行域名解析时，采用轮询发送解析的方式，也即按预设时间间隔将各目标域名发给域名服务器进行解析。域名服务器没接收到一次就重新解析一次。这样可以及时的对应访问设备的位置变化就行对应的调整，可以进一步提升访问控制的准确性、可靠性以及及时性。

访问控制单元33，用于根据当前获取的目标ip地址对访问自身的访问设备(各访问设备可能采用不同的ip地址进行访问)进行访问控制。本实施例中的访问控制单元33也可以通过家庭网关的处理器实现。

访问控制单元33用于对获取的各目标ip地址进行访问规则配置得到ip访问控制列表。根据得到的ip访问控制列表对访问自身的各ip地址进行访问控制。

本实施例中的访问规则包含单不限于各目标ip地址与对应端口的访问权限设置。

由于本实施例中的地址获取单元32可以采用向域名服务器轮询的方式获取目标ip地址，访问控制单元33针对各目标域名可能会接收到多次的反馈结果。因此，本实施例中，访问控制单元33用于在家庭网关第一次获取到各目标域名对应的目标ip地址时，按上述方式对各目标ip地址进行访问规则配置。当访问控制单元33后面又(指第一次获取后面的各次获取)收到各目标域名对应的目标ip地址时，判断各目标域名当前对应的目标ip地址与上一次获取的目标ip地址相比是否有不同，如是，则对该目标域名当前对应的各目标ip地址的访问规则进行更新配置。否则，保持不变。

访问控制单元33配置好访问规则控制表之后，当有wan侧访问时，则判定该访问的ip地址是否是目标ip地址中的一个，如否，则禁止其访问。如是，则可进一步判定该访问所要求的访问的内容(例如端口)是否有权限，如有，则允许其访问，否则，同样禁止其访问。

可见，本实施例家庭网关配置与物理区域没有强关联性的域名白名单，允许合法访问设备根据当前所处物理区域改变分配给自己的目标域名对应的目标ip地址以传递给家庭网关进行及时的更新。既能保证访问安全的控制，又使得访问设备不受物理区域限制。

应当理解的是，上述本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储介质(rom/ram、磁碟、光盘)中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以，本发明实施例不限制于任何特定的硬件和软 件结合。

实施例三：

请参见图4所示，本实施例提供了一种家庭网关，包括处理器41和存储器42；存储器用于存储各种模块，包括各种软件模块。处理器41用于控制存储器42中的至少一个模块执行以下过程：

进行域名白名单配置，域名白名单包含被允许对家庭网关进行访问的目标域名，目标域名被分配给合法访问设备；

通过域名服务器获取各目标域名当前对应的目标ip地址，域名服务器保存有各合法访问设备当前上传的目标域名及对应的目标ip地址；

根据当前获取的目标ip地址对访问家庭网关的各访问设备进行访问控制。

处理器41控制存储器42实现上述各步骤的具体方式请参见实施例一所示，在此不再赘述。

实施例四：

本实施例提供了一种通信系统，参见图5所示，包括家庭网关51、域名服务器52及合法访问设备53和用户设备54；其中合法访问设备53可以是各种维护设备。

家庭网关51用于进行域名白名单配置，配置的域名白名单包含被允许对所述家庭网关进行访问的目标域名，且这些目标域名被分配给合法访问设备53，将各目标域名发给域名服务器52获取各目标域名当前对应的目标ip地址；

域名服务器52用于接收家庭网关51发送的各目标域名，对各目标域名进行解析获取到对应的目标ip地址，并向家庭网关反馈。

用户设备54在可通过lan、wlan等方式与家庭网关51实现通信连接，通过家庭网关51与公网完成数据交互。

为了更好的理解本发明实施例的方案，下面以合法访问设备为维护pc为例，对本发明实施例做进一步示例说明。具体参见图6所示，包括：

s601：家庭网关正常启动，先设置禁止wan侧的所有访问，完成域名白名单配置，例如配置域名白名单中包含目标域名forexample.dtdns.com。将该目标域名分配给维护pc；并设置好轮询的预设时间间隔。

s602：家庭网关接入公网ip地址，并获取到对应运营商的域名服务器；例如假设获取到公网ip地址111.111.111.111以及域名服务器(8.8.8.8)。

s603：家庭网关将域名白名单中的各目标域名按照预设时间间隔发给域名服务器进行解析得到目标ip地址；例如将目标域名forexample.dtdns.com发给域名服务器(8.8.8.8)进行解析，此时域名服务器从对应的服务商动态域名服务器上查询该目标域名forexample.dtdns.com对应的目标ip地址，查询结果可能为空，也可能存在有效额ip地址。

s604：对于解析获取的目标ip地址表明是允许进行访问的ip地址，也即可以将其加入白名单ip列表，并对各目标ip地址的访问规则进行配置得到访问控制规则表。

s605：当wan侧有访问时，如是访问设备用户的ip地址是白名单ip列表中的目标ip地址，允许访问，对其访问采用对用的访问规则进行控制。

s606:家庭网关与互联网连接的公网ip地址变化，则获取对应的新的运营商的域名服务器，转至s603。

s607：维护pc更换物理位置区域后，获取当前区域ip地址段中的ip地址作为新的目标ip地址与目标域名(例如forexample.dtdns.com)进行绑定通过服务商动态域名服务器传递给域名服务器；

s608：家庭网关按照设定的时间间隔定时向域名服务器发送目标域名，域名服务器每收到一次目标域名就完成一次解析，在解析过程中发现维护pc的目标域名对应的目标ip地址有变化时，反馈给家庭网关。

s609:家庭网关将该目标域名对应的目标ip地址更新为新的目标ip地址，并对应完成访问规则的配置更新。这样维护pc因为地方变化导致ip地址(也即维护pc的公网ip地址)发生变化时，也能正常对该家庭网关进行访问。因此本发明实施例提供的访问控制方案可以解决现有通过ip地址白名单进行控制时存在的对访问设备所在物理位置有所限制的问题。尤其是用在维护领域时，可以提升维护的及时性、便捷性和灵活性，提升用户体验的满意度。

以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普 通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。