HTTPS加密网址的过滤方法、装置及其计算机设备与流程

本发明涉及通信安全技术领域，特别是涉及https加密网址的过滤方法、装置及其计算机设备。

背景技术：

在通信技术、特别是防火墙安全领域中，对url(统一资源定位符)网址进行过滤是一个应用范围很广且十分重要的功能。

传统的电缆调制解调器cablemodem主要是通过抓包工具对url网址进行过滤，该过滤功能主要是通过在硬件抽像接口、数据转发模块之前插入断点，获取数据包进行分析，判断该数据包是否需要被过滤。

但是传统的这种断点插入截取数据包的方法只能适用于http超文本传输协议中没有进行加密的数据包进行分析，却不适用于与https类网址产生交互的加密数据包的解析以及分析。

目前还没有比较好的方法对https类以加密形式进行传输数据的网址进行过滤。

技术实现要素：

基于此，有必要针对https类以加密形式进行传输数据的网址无法过滤的问题，提供https加密网址的过滤方法、装置及其计算机设备。

一种https加密网址的过滤方法，该方法包括：

获取发送给https加密网站的加密数据包；

解析该加密数据包中的ip地址；

将解析的该ip地址与预存的带有黑名单标识的ip地址和/或带有白名单标识的ip地址进行匹配；

当与带有黑名单标识的ip地址匹配成功时，将对应的加密数据包阻断，当与带有白名单标识的ip地址匹配成功时，将对应的加密数据包放行。

在其中一个实施例中，该方法还包括：

接收到域名解析的数据包时，解析该域名解析的数据包中的网址；

将解析的该网址与预设的带有黑名单标识的网址和/或带有白名单标识的网址进行匹配；

当与黑名单标识的网址或与带有白名单标识的网址匹配成功时，解析该域名解析的数据包中该网址的ip地址；

将与带有黑名单标识的网址匹配成功的域名解析的数据包的ip地址添加黑名单标识，将与带有白名单标识的网址匹配成功的域名解析的数据包的ip地址添加白名单标识；

存储添加了黑名单标识的ip地址及添加了白名单标识的ip地址。

在其中一个实施例中，该将解析的该网址与预设的带有黑名单标识的网址和/或带有白名单标识的网址进行匹配的步骤包括：

解析该数据包中的网址的域名；

判断解析的该域名与预设的带有黑名单标识或白名单标识的网址的域名是否相同，若是，则判断匹配成功，否则判断匹配不成功。

在其中一个实施例中，该方法还包括：

当解析的该ip地址与预存的带有黑名单标识的ip地址或带有白名单标识的ip地址均匹配不成功时，将对应的数据包放行或者阻断或者丢弃。

在其中的一个实施例中，该方法还包括：

根据接收的选择指令，确定预存的带有黑名单标识或白名单标识的ip地址；

根据接收的操作指令，对确定的ip地址执行对应的操作。

本发明另提供一种https加密网址的过滤装置，该装置包括：

数据包获取模块，用于获取发送给https加密网站的加密数据包；

ip地址解析模块，用于解析该加密数据包中的ip地址；

ip地址匹配模块，用于将解析的该ip地址与预存的带有黑名单标识的ip地址和/或带有白名单标识的ip地址进行匹配；

过滤模块，用于当与含有黑名单标识的ip地址匹配成功时，将对应的加密数据包阻断，当与带有白名单标识的ip地址匹配成功时，将对应的加密数据包放行。

在其中一个实施例中，该装置还包括：

网址解析模块，用于接收到域名解析的数据包时，解析该域名解析的数据包中的网址；

网址匹配模块，用于将解析的该网址与预设的带有黑名单标识的网址和/或带有白名单标识的网址进行匹配；

ip地址解析模块，用于当与黑名单标识的网址或与带有白名单标识的网址匹配成功时，解析该域名解析的数据包中该网址的ip地址；

标识添加模块，用于将与带有黑名单标识的网址匹配成功的域名解析的数据包的ip地址添加黑名单标识，将与带有白名单标识的网址匹配成功的域名解析的数据包的ip地址添加白名单标识；

ip地址存储模块，用于存储添加了黑名单标识的ip地址及添加了白名单标识的ip地址。

在其中的一个实施例中：

所述网址解析模块还用于解析所述数据包中的网址的域名；

所述网址匹配模块还用于判断解析的所述域名与预设的带有黑名单标识或白名单标识的网址的域名是否相同，若是，则判断匹配成功，否则判断匹配不成功。

在其中一个实施例中，该装置还包括：

ip地址确定模块，用于根据接收的选择指令，确定预存的带有黑名单标识或白名单标识的ip地址；

指令执行模块，用于根据接收的操作指令，对确定的ip地址执行对应的操作。

本发明另提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行该程序时实现上述的https加密网址的过滤方法。

本发明利用https加密网站只对数据包中部分数据进行加密的原理，将加密数据包中不加密的ip地址解析出来，将该ip地址与预存的黑白名单中的ip地址进行匹配，若匹配成功则可按照匹配的黑名单或者白名单对对应的数据包进行过滤，从而实现对加密的url网址的访问实现过滤，解决了传统技术无法对https类以加密形式进行传输数据的网址进行过滤的问题。

附图说明

图1为一个实施例中https加密网址的过滤方法的流程图；

图2为一个实施例中https加密网址的过滤方法的使用场景的流程图；

图3为另一实施例中https加密网址的过滤方法的流程图；

图4为另一实施例中https加密网址的过滤方法的使用场景的流程图；

图5为一个实施例中https加密网址的过滤装置的结构框图；

图6为另一实施例中https加密网址的过滤装置的结构框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1为根据本发明的一个实施例中https加密网址的过滤方法的流程图，如图1所示，该方法包括以下步骤s110、s120、s130以及s140。

s110、获取发送给https加密网站的加密数据包。

https(hypertexttransferprotocoloversecuresocketlayer)即以安全为目标的http(hypertexttransferprotocol：超文本传输协议)的通道，普通的http协议是建立在tcp协议之上的，https实际上是建立在ssl(securesocketslayer：安全套接层)之上的http协议，其最上层的http协议是保持不变的，https与http的区别只在http和传输层的tcp协议之间加入了ssl协议层。

ssl是为网络通信提供安全及数据完整性的一种安全协议，其目的在于在传输层对网络连接数据包进行加密，用以保障在网络上数据传输的安全，确保数据在网络上的传输过程中不会被截取及窃听。

根据本实施例的一个示例，该步骤主要是获取访问https加密网站时发送的数据包，以对https加密网站的访问实现过滤。

s120、解析该加密数据包中的ip地址。

网络协议可以分为五层：物理层、数据链路层、网络层、传输层、应用层，https是处于应用层的协议，ssl也是处于应用层协议，但ssl实际工作(或者说处理的数据)是位于应用层和传输层之间的数据，也就是说，ssl实际上是位于传输层和应用层之间的，由于ssl加密的内容只能对本层和上层的数据进行加密，管不了下层的数据。由于http位于ssl的上层，且url是http协议数据报头的一部分，所以经过ssl处理后的数据中，https访问的网址(即请求的网址url)以及http协议所负责传输的数据是加密的，因为处理ip地址的协议(ip协议)位于比ssl更低的网络层，所以ip地址是不加密的。根据这一原理，本实施例的步骤s120中可以解析出加密数据包的ip地址。

s130、将解析的该ip地址与预存的带有黑名单标识的ip地址和/或带有白名单标识的ip地址进行匹配。

在该步骤中，根据本实施例的一个示例，该预存的带有黑名单标识的ip地址和/或带有白名单标识的ip可以是根据用户的操作手动输入的ip地址及人工输入的该ip地址所带的黑名单标识或者白名单标识，也可以是根据设置的一定规则，计算机系统自动识别的ip地址，并自动对其添加黑名单或者白名单的标识。根据本实施例的一个示例，该黑名单标识例如在该ip地址后添加字符“1”，其中该添加的字符与ip地址以“#”号隔开，根据本实施例的另一示例，该白名单标识例如在该ip地址后添加字符“0”，其中该添加的字符与ip地址以“#”号隔开。当然，添加的标识符不限于“1”和“0”，只要计算机设备可以识别即可。

其匹配方式例如精确匹配，即判断两个ip地址是否相同，具体地方法例如：

判断解析的该ip地址与预存的带有黑名单标识的ip地址或白名单标识的ip地址是否相同，若是，则判断匹配成功，否则判断匹配不成功。

为了便于对预存的带有黑名单标识的ip地址以及带有白名单标识的ip地址进行管理和维护，作为可选地，该https加密网址的过滤方法还包括：

根据接收的选择指令，确定预存的带有黑名单标识或白名单标识的ip地址；

根据接收的操作指令，对确定的ip地址执行对应的操作。

其中，对ip地址执行的操作包括但不限于ip地址的删除，变更该ip地址所带的标识(例如将该ip地址所带的黑名单标识变更为白名单标识，将该ip地址所带的白名单标识变更为黑名单标识)，对确定的ip地址添加黑名单或者白名单的标识等等。

根据本实施例的一个示例，当解析出来的ip地址与预存的带有黑名单标识的ip地址匹配成功时，不需要再将该ip地址与预存的带有白名单标识的ip地址进行匹配，对应的，当解析出来的ip地址与预存的带有白名单标识的ip地址匹配成功时，也不需要再将该ip地址与预存的带有白名单标识的ip地址进行匹配；当解析出来的ip地址与预存的带有黑名单标识的ip地址匹配失败时，再将该ip地址与预存的带有白名单标识的ip进行地址匹配，若还是匹配不成功，则判断该ip地址不可匹配，并将该ip地址对应的加密数据包按照不可匹配处理，相应的，当解析出来的ip地址与预存的带有白名单标识的ip地址匹配失败时，再将该ip地址与预存的带有黑名单标识的ip进行地址匹配，若还是匹配不成功，则判断该ip地址不可匹配，将该ip地址对应的加密数据包按照不可匹配处理。

s140、当与带有黑名单标识的ip地址匹配成功时，将对应的加密数据包阻断，当与带有白名单标识的ip地址匹配成功时，将对应的加密数据包放行。

根据本实施例的一个示例，作为可选地，该方法还包括：

当解析的该ip地址与预存的带有黑名单标识的ip地址或带有白名单标识的ip地址均匹配不成功时，按照不可匹配的方式进行处理。

根据本实施例的一个示例，上述按照不可匹配的方式进行处理包括但不限于将该ip地址对应的数据包放行(即按照白名单的处理方式进行处理)，将该ip地址对应的数据包阻断(即按照黑名单的处理方式进行处理)、丢弃与该ip地址对应的数据包等等。

本实施例利用https加密网站只对数据包中部分数据进行加密的原理，将加密数据包中不加密的ip地址解析出来，将该ip地址与预存的黑白名单中的ip地址进行匹配，若匹配成功则可按照匹配的黑名单或者白名单对对应的数据包进行过滤，从而实现对加密的url网址的访问实现过滤，解决了传统技术无法对https类以加密形式进行传输数据的网址进行过滤的问题。

图2为一个实施例中https加密网址的过滤方法的使用场景的流程图，如图2所示，下面以利用snoopoutbound(输出数据包的抓取工具)为例进行说明，该https加密网址的过滤方法的使用场景包括以下步骤(1)、(2)、(3)和(4)。

(1)、通过snoopoutbound抓取接收到的数据包。

(2)、判断抓取的数据包是否为https的数据包，若是则跳转到步骤(3)，否则，按照传统的过滤方式对抓取到的数据包进行过滤。

(3)、判断抓取的数据包的ip地址是否在预存的url网址列表中，若是，则跳转到步骤(4)，否则，对抓取到的数据包将对应的数据包放行或者阻断或者丢弃。其中，该url网址列表用于存放带有黑名单标识的ip地址以及带有白名单标识的ip地址。

(4)、按照匹配的黑名单或者白名单的规则进行处理。其中，黑名单的规则即将与黑名单ip匹配成功的数据包阻断，白名单规则即将与白名单ip匹配成功的数据包放行。

本实施例提供了一种以snoopoutbound(输出数据包的抓取工具)为例的实现方法，通过抓取发送给https类以加密形式进行传输的数据包，并对其进行分析和匹配，以实现https类以加密形式进行传输数据的网址的过滤。

图3为根据本发明另一实施例的https加密网址的过滤方法的流程图，如图3所示，该步骤在包括上述步骤s110、s120、s130以及s140的基础上还包括以下步骤s310、s320、s330、s340以及s350。

s310、接收到域名解析的数据包时，解析该域名解析的数据包中的网址。其中，该域名解析的数据包即dns(domainnamesystem：域名系统)数据包，解析的网址例如：https://www.baidu.com/。

s320、将解析的该网址与预设的带有黑名单标识的网址和/或带有白名单标识的网址进行匹配。

根据本实施例的一个示例，其匹配的方式至少可以有两种显示方法，其一是可以判断两个网址是否完全相同，若相同则判断匹配成功，另一种方式是判断两个网址中的部分数据是否相同，例如判断两个网址中所包含的域名是否相同。作为可选地，该步骤s020还包括以下步骤(1)和(2)。

(1)、解析该数据包中的网址的域名。根据本实施例的一个示例，该域名例如百度“baidu”、再例如谷歌翻译“translate.google”等等。

(2)、判断解析的该域名与预设的带有黑名单标识或白名单标识的网址的域名是否相同，若是，则判断匹配成功，否则判断匹配不成功。

该步骤中匹配的过程有四种：与带有黑名单标识的网址直接匹配成功；与带有白名单标识的网址直接匹配成功；先与带有黑名单标识的网址匹配不成功后，再与带有白名单标识的网址匹配成功；先与带有白名单标识的网址匹配不成功后，再与带有黑名单标识的网址匹配成功。

匹配成功的结果有两种：与带有黑名单标识的网址匹配成功；与带有白名单标识的网址匹配成功。

s330、当与黑名单标识的网址或与带有白名单标识的网址匹配成功时，解析该域名解析的数据包中该网址的ip地址。在上述步骤s020中，只要与带有黑名单标识的网址或者带有白名单标识的网址其中之一匹配成功即判断上一个步骤匹配成功。

s340、将与带有黑名单标识的网址匹配成功的域名解析的数据包的ip地址添加黑名单标识，将与带有白名单标识的网址匹配成功的域名解析的数据包的ip地址添加白名单标识。

s350、存储添加了黑名单标识的ip地址及添加了白名单标识的ip地址。根据本实施例的一个示例，该步骤中的黑名单标识的ip地址及添加了白名单标识的ip地址可以存储在配置表中，当有新的匹配成功的ip地址需要存储时，将该ip地址以及其所对应的黑名单或白名单的标识一并存储在该配置表中。

本实施例通过对dns数据包进行分析，并对该dns数据包所包含的网址进行黑白名单匹配，将匹配成功网址所对应的ip地址添加对应的黑名单标识或白名单标识后存储，使得加密数据包中的ip地址的黑白名单匹配具有可靠的数据来源。

图4为另一实施例中https加密网址的过滤方法的使用场景的流程图。如图4所示，下面以利用snoopinbound(输入数据包的抓取工具)为例进行说明，该https加密网址的过滤方法的使用场景包括以下步骤(1)、(2)、(3)和(4)。

(1)、通过snoopinbound抓取数据包；

(2)、判断抓取的数据包是否为dns数据包，若是，则跳转至步骤(3)，否则，结束；

(3)、将抓取的数据包中的网址与配置表中的网址url进行匹配，当匹配成功时，跳转到步骤(4)，否则，结束。

(4)、解析抓取的数据包的ip地址并保存。在该步骤中还包括保存该ip地址的黑名单或者白名单标识，当该数据包中的网址与配置表中标识有黑名单的网址url匹配成功时，对该ip地址添加黑名单标识，当该数据包中的网址与配置表中标识有白名单的网址url匹配成功时，对该ip地址添加白名单标识。

本实施例提供了一种以snoopinbound(输入数据包的抓取工具)为例的本发明的实现方法，通过抓取接收的dns数据包，并对其进行分析和黑白名单网址匹配，将匹配成功网址所对应的ip地址添加对应的黑名单标识或白名单标识后存储，以为加密数据包中的ip地址的黑白名单匹配提供数据来源。

根据本发明的一个实施例，在https数据包开始之前先对其对应的dns包进行解析，获得对应的ip地址，当数据包过来时再对其ip地址进行规则匹配，在此基础上进行如下步骤a和步骤b：

a、对进入snoop的dns进行解析，dns中的url能与url规则表匹配的，则保存dns中解析出来的ip地址列表；

b、当数据包进来后，进行判断，如果是http是按原有解析方法操作，如果是https则查找url规则表，看看是否能匹配到对应的ip地址，如果匹配成功，则按照对应的规则进行处理。

根据本发明的另一个使用场景流程，具体包括以下步骤1～5：

1.所有进入到cablemodem网关的数据包都将进入到snoop中；

2.判断url过滤功能是否开启，如果没有开启则直接选择返回接收；

3.在snoopoutbound中判断数据包的协议，如果是dns数据包则允许通过；

4.在snoopinbound如果是dns数据包，则需要对它时行解析并将dns数据包中的url信息解析出来与url配置表中的url进行匹配，如果匹配成功则保存对应的ip地址列表。dns包则允许通过；

5.在snoopoutbound中判断数据包的协议,如果是http数据包则按原有规则进行匹配。如果是https数据包则解析对应的ip地址并与url规则中的ip进行匹配，匹配成功则按相应规则处理匹配，不成功则按不可匹配处理。

本实施例在snoop抓包工具中对dns进行判断，将已配置的url与dns数据包中的url进行比较，如果匹配成功，则将dns数据包中解析出来的ip地址列表保存到url表(或配置表)中。当https数据包通过snoop时，则对其ip地址进行匹配。从而达到对https控制的目的。

图5为根据本发明的一个实施例中https加密网址的过滤装置的结构框图，如图5所示，该https加密网址的过滤装置10包括：

数据包获取模块11，用于获取发送给https加密网站的加密数据包；

ip地址解析模块12，用于解析该加密数据包中的ip地址；

ip地址匹配模块13，用于将解析的该ip地址与预存的带有黑名单标识的ip地址和/或带有白名单标识的ip地址进行匹配；

过滤模块14，用于当与含有黑名单标识的ip地址匹配成功时，将对应的加密数据包阻断，当与带有白名单标识的ip地址匹配成功时，将对应的加密数据包放行。

图6为根据本实施例的另一实施例中https加密网址的过滤装置的结构框图，如图6所示，还https加密网址的过滤装置10在包括上述数据包获取模块11、ip地址解析模块12、ip地址匹配模块13以及过滤模块14的基础上，还包括：

网址解析模块01，用于接收到域名解析的数据包时，解析该域名解析的数据包中的网址；

网址匹配模块02，用于将解析的该网址与预设的带有黑名单标识的网址和/或带有白名单标识的网址进行匹配；

ip地址解析模块03，用于当与黑名单标识的网址或与带有白名单标识的网址匹配成功时，解析该域名解析的数据包中该网址的ip地址；

标识添加模块04，用于将与带有黑名单标识的网址匹配成功的域名解析的数据包的ip地址添加黑名单标识，将与带有白名单标识的网址匹配成功的域名解析的数据包的ip地址添加白名单标识；

ip地址存储模块05，用于存储添加了黑名单标识的ip地址及添加了白名单标识的ip地址。

根据本实施例的一个示例：

该网址解析模块还用于解析所述数据包中的网址的域名；

该网址匹配模块还用于判断解析的所述域名与预设的带有黑名单标识或白名单标识的网址的域名是否相同，若是，则判断匹配成功，否则判断匹配不成功。

作为可选地，该https加密网址的过滤装置10还包括：

ip地址确定模块，用于根据接收的选择指令，确定预存的带有黑名单标识或白名单标识的ip地址；

指令执行模块，用于根据接收的操作指令，对确定的ip地址执行对应的操作。

进一步作为可选地，该装置还包括：

网址匹配模块02具体包括：

域名解析单元，用于解析该数据包中的网址的域名；

第一判断单元，用于判断解析的该域名与预设的带有黑名单标识或白名单标识的网址的域名是否相同，若是，则判断匹配成功，否则判断匹配不成功。

作为可选地，上述ip地址匹配模块13包括：

第二判断单元，用于判断解析的该ip地址与预存的带有黑名单标识的ip地址或白名单标识的ip地址是否相同，若是，则判断匹配成功，否则判断匹配不成功。

作为可选地，该装置还包括：

处理模块，用于当解析的该ip地址与预存的带有黑名单标识的ip地址或带有白名单标识的ip地址均匹配不成功时，将对应的数据包放行或者阻断或者丢弃。

根据本发明另一实施例提供的一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行该程序时实现如上述的https加密网址的过滤方法。

根据本实施例提供的一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行所述程序时实现如上述的https加密网址的过滤方法。

本发明利用https加密网站只对数据包中部分数据进行加密的原理，将加密数据包中不加密的ip地址解析出来，将该ip地址与预存的黑白名单中的ip地址进行匹配，若匹配成功则可按照匹配的黑名单或者白名单对对应的数据包进行过滤，从而实现对加密的url网址的访问实现过滤，解决了传统技术无法对https类以加密形式进行传输数据的网址进行过滤的问题。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述程序可存储于一计算机可读取存储介质中，如本发明实施例中，该程序可存储于计算机系统的存储介质中，并被该计算机系统中的至少一个处理器执行，以实现包括如上述各方法的实施例的流程。其中，所述存储介质包括但不限于磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。