一种网络安全访问方法、移动终端及计算机可读存储介质与流程

本发明涉及通信技术领域，特别是涉及一种网络安全访问方法、移动终端及计算机可读存储介质。

背景技术：

网络的攻与防一直以来是互联网行业长谈的一个问题，也是促进互联网安全蓬勃发展的动力。伴随着o2o、智慧云、大数据、云终端、网联网+等新型产业链的崛起，信息安全又被提到了一个新的高度。近年来，不乏有不法分子通过个人隐私信息截取、网络病毒植入、网络欺诈等手段恶意的倒卖用户信息或者骗取财物，因此如何有效的通过网络安全访问，来保护个人隐私信息是目前普遍关心的一个问题。

目前主要依赖于对待传输的数据进行加密后传输来保护个人隐私信息。该种方式中，虽然数据加密后在网络中传输，但无法保证加密的数据在传输的过程中不会被第三方截取解密出来。具体地，网络黑客可以通过一些途径与用户连接到同一个wifi，在局域网内通过嗅探器抓包获取用户的多个传输报文，比对常用的加密算法并快速迭代进而解出报文内容，更甚之在解除报文内容后伪造目的地信息让用户访问一些非法网站。可见，现有技术无法有效地通过对网络安全访问进行控制，对用户个人隐私信息进行保护。

技术实现要素：

本发明实施例提供一种网络安全访问方法、移动终端及计算机可读存储介质，以解决现有技术中存在的无法有效对用户个人隐私信息进行保护的问题。

依据本发明的一个方面，提供了一种网络安全访问方法，应用于移动终端，所述方法包括：接收用户发送的服务器连接请求，并确定待连接服务器对应的域名；请求域名服务器对所述域名进行解析，得到所述域名对应的至少一个ip地址，每个ip地址对应一条链路；基于所述移动终端的位置信息，选择最优链路对应的ip地址作为目标ip地址；当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址匹配时，基于所述目标ip地址与待连接服务器建立数据连接通道；在通过所述数据连接通道发送访问请求时，对所述访问请求的真实性进行判定，并拦截虚假访问请求。

根据本发明的另一方面，提供了一种移动终端，包括：接收模块，用于接收用户发送的服务器连接请求，并确定待连接服务器对应的域名；请求模块，用于请求域名服务器对所述域名进行解析，得到所述域名对应的至少一个ip地址，每个ip地址对应一条链路；选择模块，用于基于所述移动终端的位置信息，选择最优链路对应的ip地址作为目标ip地址；通道建立模块，用于当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址匹配时，基于所述目标ip地址与待连接服务器建立数据连接通道；判定模块，用于在通过所述数据连接通道发送访问请求时，对所述访问请求的真实性进行判定，并拦截虚假访问请求。

根据本发明的又一方面，提供了一种移动终端，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全访问程序，所述网络安全访问程序被所述处理器执行时实现本发明实施例中所述的任意一种网络安全访问方法的步骤。

根据本发明的再一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有网络安全访问程序，所述网络安全访问程序被处理器执行时实现本发明实施例中所述的任意一种网络安全访问方法的步骤。

与现有技术相比，本发明具有以下优点：

本发明提供的网络安全访问方法及移动终端，一方面，在接收到服务器连接请求时，将域名服务器解析出的目标ip地址与历史存储的当前位置信息对应的ip地址进行匹配，若二者匹配，则确定目标ip地址为已知地址并非伪造的恶意ip地址，与目标ip地址对应的服务器建立数据连接通道能够保证请求接收方的可靠性。另一方面，移动终端与目的服务器之间通过数据连接通道发送访问请求时，对访问请求的真实性进行判定，并拦截虚假访问请求，能够避免访问请求对应的报文在传输过程中被非法篡改后迫使用户访问恶意网址。可见，本发明实施例中提供的网络安全访问方案，既能保证请求接收方的可靠性、又能保证所发送访问请求的真实性，故能够保证为用户网络访问的安全性提升用户的使用体验。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是根据本发明实施例一的一种网络安全访问方法的步骤流程图；

图2是根据本发明实施例二的一种网络安全访问方法的步骤流程图；

图3是根据本发明实施例三的一种移动终端的结构框图；

图4是根据本发明实施例四的一种移动终端的结构框图；

图5是根据本发明实施例五的一种移动终端的结构框图；

图6是根据本发明实施例六的一种移动终端的结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

实施例一

参照图1，示出了本发明实施例一的一种网络安全访问方法的步骤流程图。

本发明实施例的网络安全访问方法包括以下步骤：

步骤101：接收用户发送的服务器连接请求，并确定待连接服务器对应的域名。

当用户请求一个页面展示、一个访问或者一个认证登录这样的短连接或者请求一段语音、尝试一个语音通话、或者一个视频聊天等长连接时候，均需要向相应服务器发送连接请求，当与服务器建立数据连接通道后，才可以发送访问请求、接收服务器返回的访问结果。

连接请求一般为网址链接如“http://www.163.com/”通过网址链接即可确定所需连接的服务器的域名。

步骤102：请求域名服务器对域名进行解析，得到域名对应的至少一个ip地址。

域名服务器测存储有该移动终端在不同地理区域中、历史访问该域名所连接的服务器的ip地址。

例如：移动终端曾在a、b以及c三个城市访问过163网站的服务器，由于163网站的维护不仅依赖于一台服务器，因此在每个城市访问163网站时最终所连接的目标服务器不同，故在移动终端中可能存储有163网站域名对应的三个ip地址。

步骤103：基于移动终端的位置信息，选择最优链路对应的ip地址作为目标ip地址。

移动终端的位置信息可以为移动终端的定位信息，也可以为移动终端当前所连接路由器的位置信息。

每个ip地址对应一条链路。在链路选择时，可以仅通过移动终端位置信息确定最优链路；也可以基于移动终端的位置信息、各链路的带宽、吞吐量等确定最优链路。

基于移动终端的位置信息选择链路，所选择出链路对应的服务器距离移动终端最近，因此后续在数据传输时能够提升传输效率。

步骤104：当目标ip地址与历史存储的位置信息在域名下对应的ip地址匹配时，基于目标ip地址与待连接服务器建立数据连接通道。

目标ip地址为服务器ip地址，当二者匹配时，则可确定目标ip地址为已知ip地址，因此可确定该目标ip地址对应的服务器为可靠的请求接收方。

若二者不匹配，则确定历史曾连接的服务器可能发生了地址变迁，或者因受到第三方篡改ldns缓存内容、篡改授权域内容、arp欺骗劫持授权域、分光劫持等导致请求的域名地址变的非法。

步骤105：在通过数据连接通道发送访问请求时，对访问请求的真实性进行判定，并拦截虚假访问请求。

在对访问的真实性进行判定时，可以通过轮询请求报文的方式、或通过模糊匹配请求报文的形式，筛选出虚假请求报文。虚假请求报文可以为广告请求报文、钓鱼网站登录报文、ip地址攻击报文等，从而达到自动过滤广告、钓鱼网站、恶意跳转、ip地址攻击的目的。

本发明实施例提供的网络安全访问方法，一方面，在接收到服务器连接请求时，将域名服务器解析出的目标ip地址与历史存储的当前位置信息对应的ip地址进行匹配，若二者匹配，则确定目标ip地址为已知地址并非伪造的恶意ip地址，与目标ip地址对应的服务器建立数据连接通道能够保证请求接收方的可靠性。另一方面，移动终端与目的服务器之间通过数据连接通道发送访问请求时，对访问请求的真实性进行判定，并拦截虚假访问请求，能够避免访问请求对应的报文在传输过程中被非法篡改后迫使用户访问恶意网址。可见，本发明实施例中提供的网络安全访问方案，既能保证请求接收方的可靠性、又能保证所发送访问请求的真实性，故能够保证为用户网络访问的安全性提升用户的使用体验。

实施例二

参照图2，示出了本发明实施例二的一种网络安全访问方法的步骤流程图。

本发明实施例中以移动终端首次访问某域名对应的服务器为例进行说明，本发明实施例的网络安全访问方法具体包括以下步骤：

步骤201：接收用户发送的服务器连接请求，并确定待连接服务器对应的域名。

每个连接请求对应一个域名，而一个域名可能对应多个服务器，因此通过连接请求可确定所需连接的服务器的域名。其中连接请求可以为长连接请求也可以为短连接请求，在具体实现过程中用户通常是在开启某应用程序后，在该应用程序内发起服务器连接请求。

一种优选的方式为在接收到连接请求后，判断发起该连接请求的应用程序是否为受限应用程序，若是则直接拦截本次连接请求。移动终端中的操作系统在linux底层设置有一道防火墙，通过该防火墙可以拦截受限应用程序的连接请求。当前连接请求并非受限应用程序所发送的连接请求时，才可放放行该连接请求执行后续操作。

需要说明的是，使用需求不同则受限应用程序的选择也不同，因此受限应用程序可以由本领域技术人员根据实际需求进行设置，本发明实施例中对此不做具体限制。例如：设置防火墙目的是避免流量耗费过多，因此受限应用程序可以设置为视频播放相关的应用程序。

步骤202：请求域名服务器对域名进行解析，得到域名对应的至少一个ip地址。

域名服务器通过该域名查找域名服务器，并确定各域名服务器的ip地址。每个ip地址对应一条链路，由于ip地址不同因此各链路的终点不同。

步骤203：基于移动终端的位置信息，选择最优链路对应的ip地址作为目标ip地址。

在选择最优链路时，可以仅依据移动终端的位置信息，也可以基于移动终端的位置信息、各链路的带宽以及吞吐量来确定最优链路。

步骤204：判断目标ip地址与历史存储的该位置信息在该域名下对应的ip地址是否匹配；若不匹配，则执行步骤205；若匹配，则直接执行步骤208。

若移动终端为首次访问该域名，由于历史操作过程中未存储该位置信息在该域名下对应的ip地址，因此目标ip地址无匹配对象，故匹配结果为不匹配。

若移动终端并非首次在该位置访问该域名，因此历史操作过程中存在该位置信息在该域名下对应的ip地址，故需要将二者进行比对，若二者相同则确定匹配，反之则确定二者不匹配。

无论是移动终端首次访问该域名、还是历史存储的ip地址与本次解析到的目标ip地址不相同，则均需要执行ip地址探测机制，保证域名服务器请求返回的域名对应的ip地址的合法性。ip地址探测的具体流程如步骤205至步骤207中所示。

这是由于移动终端向域名服务器请求域名解析时，可能会受到第三方篡改ldns缓存内容、篡改授权域内容、arp欺骗劫持授权域、分光劫持等导致请求的域名变的非法，因此为了解决该问题进行ip地址探测。

步骤205：分别通过不同路由器向域名服务器发送查询域名的请求，得到域名服务器返回的各ip地址。

由于域名的ip一般是固定不变的，基于这个原理当进行ip地址探测时，通过多次路由切换的方式，查询域名得到域名服务器返回的ip地址。

步骤206：判断各ip地址是否均相同；若是，执行步骤207；若否，则返回执行步骤205。

如果得到的各ip地址均相同，就将域名和所得到的ip地址对应存储在数据库中；如果得到的各ip地址存在不同，说明经过某个路由器切换时候可能存在域名劫持现象，需要再次进行ip地址探测，直至最终探测到的各ip地址均相同。

步骤207：将相同的该ip地址确定为目标ip地址，并存储目标ip地址、域名以及移动终端的位置信息之间的对应关系；然后执行步骤208。

本次存储的三者之间的对应关系，当下次移动终端在该位置访问该域名时，即可通过该对应关系确定历史访问的ip地址，将历史访问的该ip地址作为判定下次确定的目标ip地址是否可靠的判定依据。

步骤208：基于目标ip地址与待连接服务器建立数据连接通道。

当移动中的与服务器建立数据连接通道后，可以向服务器发送访问请求、接收服务器返回的访问结果。

步骤209：在通过数据连接通道发送访问请求时，对访问请求的真实性进行判定，并拦截虚假访问请求。

本发明实施例中，为了避免访问请求对应的报文在传输过程中被非法篡改后迫使用户访问恶意网址，对访问请求的真实行进行判定，并拦截虚假访问请求。其中，真实的访问请求即为用户真实需要的请求，虚假的访问请求为被非法添加篡改的请求，例如：访问钓鱼网站的请求、获取广告信息的请求、ip地址攻击的请求等。

在对访问请求的真实性进行判定时，可以在发送访问请求时通过轮询的方式或者模糊匹配的方式辨别所发送的访问请求是否真实。

一种优选的通过轮询的方式辨别所发送的访问请求是否真实的方式如下：

首先，轮询截取向目标ip发送的请求报文；

访问请求以请求报文的形式传输，因此需要截取向目标ip发送的请求报文并对请求报文的属性进行判断。

其次，针对每个请求报文，确定请求报文的属性，并判断属性是否处于预设属性黑名单中；

其中，属性黑名单中预先存储有各种恶意请求报文的属性，钓鱼网站请求报文的属性、广告请求报文的属性、ip地址攻击请求报文的属性等。

最后，若是则确定请求报文为虚假请求报文，并拦截虚假请求报文。

一种优选的通过模糊匹配的方式辨别所发送的访问请求是否真实的方式如下：

首先，截取向目标ip发送的全部请求报文；

其次，比对各请求报文之间的差异性；

最后，基于差异性模糊匹配出虚假请求报文，并拦截虚假请求报文。

步骤210：当本次连接终止后，记录本次连接对应的域名、目标ip地址以及用户访问习惯参数。

其中，用户访问习惯参数包括：连接时长、连接所属的时间段以及移动终端的位置信息。

步骤211：基于历史所记录的用户访问习惯参数、域名以及目标ip地址的对应关系，在不同时段为用户推荐不同的访问链接。

通过历史所记录的用户访问习惯参数，可以确定用户在各地点、各时间段内、所访问的各域名的频率，从而进一步确定用户的访问习惯。

例如：通过历史所记录的用户访问习惯参数可以分析出，用户早上八点至九点经常访问淘宝网站，当到早上八点则向用户推荐淘宝网站的访问链接，用户可以根据实际需求选择是否访问该链接。

需要说明的是，步骤210以及步骤211为可选步骤，在具体实现过程中也可以不执行这两个步骤，向用户推荐访问链接。

本发明实施例提供的网络安全访问方法，除具有实施例一中所示的网络安全访问方法所具有的有益效果外，还在每次连接终止后记录用户访问习惯，基于用户历史访问习惯为用户推荐访问链接，便于用户访问能够提升用户的使用体验。

实施例三

参照图3，示出了本发明实施例三的一种移动终端的结构框图。

本发明实施例的移动终端包括：接收模块301，用于接收用户发送的服务器连接请求，并确定待连接服务器对应的域名；请求模块302，用于请求域名服务器对所述域名进行解析，得到所述域名对应的至少一个ip地址，每个ip地址对应一条链路；选择模块303，用于基于所述移动终端的位置信息，选择最优链路对应的ip地址作为目标ip地址；通道建立模块304，用于当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址匹配时，基于所述目标ip地址与待连接服务器建立数据连接通道；判定模块305，用于在通过所述数据连接通道发送访问请求时，对所述访问请求的真实性进行判定，并拦截虚假访问请求。

本发明实施例提供的移动终端，一方面，在接收到服务器连接请求时，将域名服务器解析出的目标ip地址与历史存储的当前位置信息对应的ip地址进行匹配，若二者匹配，则确定目标ip地址为已知地址并非伪造的恶意ip地址，与目标ip地址对应的服务器建立数据连接通道能够保证请求接收方的可靠性。另一方面，移动终端与目的服务器之间通过数据连接通道发送访问请求时，对访问请求的真实性进行判定，并拦截虚假访问请求，能够避免访问请求对应的报文在传输过程中被非法篡改后迫使用户访问恶意网址。可见，本发明实施例中提供的移动终端在向服务器发送连接请求时，既能保证请求接收方的可靠性、又能保证所发送访问请求的真实性，故能够保证为用户网络访问的安全性提升用户的使用体验。

实施例四

参照图4，示出了本发明实施例四的一种移动终端的结构框图。

本发明实施例的移动终端是对实施例三中的移动终端的进一步优化，优化后的移动终端包括：接收模块401，用于接收用户发送的服务器连接请求，并确定待连接服务器对应的域名；请求模块402，用于请求域名服务器对所述域名进行解析，得到所述域名对应的至少一个ip地址，每个ip地址对应一条链路；选择模块403，用于基于所述移动终端的位置信息，选择最优链路对应的ip地址作为目标ip地址；通道建立模块404，用于当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址匹配时，基于所述目标ip地址与待连接服务器建立数据连接通道；判定模块405，用于在通过所述数据连接通道发送访问请求时，对所述访问请求的真实性进行判定，并拦截虚假访问请求。

优选地，所述移动终端还包括：路由器切换模块406，用于当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址不匹配时，分别通过不同路由器向所述域名服务器发送查询所述域名的请求，得到域名服务器返回的各ip地址；地址判断模块407，用于判断所述各ip地址是否均相同；执行模块408，用于若所述地址判断模块的判断结果为是，则将相同的所述ip地址确定为目标ip地址，并存储所述目标ip地址、所述域名以及所述移动终端的位置信息之间的对应关系，并调用执行所述通道建立模块；若所述地址判断模块的判断结果为否，则返回执行所述路由器切换模块。

优选地，所述判定模块405包括：第一截取子模块，用于轮询截取向所述目标ip发送的请求报文；属性判定子模块，用于针对每个请求报文，确定所述请求报文的属性，并判断所述属性是否处于预设属性黑名单中；若是，则确定所述请求报文为虚假请求报文，并拦截所述虚假请求报文。

优选地，所述判定模块405包括：第二截取子模块，用于截取向所述目标ip发送的全部请求报文；比对子模块，用于比对各请求报文之间的差异性；基于所述差异性模糊匹配出虚假请求报文，并拦截所述虚假请求报文。

优选地，所述移动终端还包括：记录模块409，用于在所述判定模块405拦截虚假访问请之后，当本次连接终止后，记录本次连接对应的域名、目标ip地址以及用户访问习惯参数，其中用户访问习惯参数包括：连接时长、连接所属的时间段以及所述移动终端的位置信息。

优选地，所述移动终端还包括：推荐模块410，用于基于历史所记录的用户访问习惯参数、域名以及目标ip地址的对应关系，在不同时段为用户推荐不同的访问链接。

本发明实施例的移动终端用于实现前述实施例一、实施例二中相应的网络安全访问方法，并具有与方法实施例相应的有益效果，在此不再赘述。

实施例五

参照图5，示出了本发明实施例五的一种移动终端的结构框图。

本发明实施例的移动终端700包括：至少一个处理器701、存储器702、至少一个网络接口704和其他用户接口703。移动终端700中的各个组件通过总线系统705耦合在一起。可理解，总线系统705用于实现这些组件之间的连接通信。总线系统705除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图5中将各种总线都标为总线系统705。

其中，用户接口703可以包括显示器、键盘或者点击设备(例如，鼠标，轨迹球(trackball)、触感板或者触摸屏等。

可以理解，本发明实施例中的存储器702可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-onlymemory，rom)、可编程只读存储器(programmablerom，prom)、可擦除可编程只读存储器(erasableprom，eprom)、电可擦除可编程只读存储器(electricallyeprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(randomaccessmemory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，sram)、动态随机存取存储器(dynamicram，dram)、同步动态随机存取存储器(synchronousdram，sdram)、双倍数据速率同步动态随机存取存储器(doubledataratesdram，ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，esdram)、同步连接动态随机存取存储器(synchlinkdram，sldram)和直接内存总线随机存取存储器(directrambusram，drram)。本发明实施例描述的系统和方法的存储器702旨在包括但不限于这些和任意其它适合类型的存储器。

在一些实施方式中，存储器702存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：操作系统7021和应用程序7022。

其中，操作系统7021，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序7022，包含各种应用程序，例如媒体播放器(mediaplayer)、浏览器(browser)等，用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序7022中。

在本发明实施例中，通过调用存储器702存储的程序或指令，具体的，可以是应用程序7022中存储的程序或指令，处理器701用于接收用户发送的服务器连接请求，并确定待连接服务器对应的域名；请求域名服务器对所述域名进行解析，得到所述域名对应的至少一个ip地址，每个ip地址对应一条链路；基于所述移动终端的位置信息，选择最优链路对应的ip地址作为目标ip地址；当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址匹配时，基于所述目标ip地址与待连接服务器建立数据连接通道；在通过所述数据连接通道发送访问请求时，对所述访问请求的真实性进行判定，并拦截虚假访问请求。

上述本发明实施例揭示的方法可以应用于处理器701中，或者由处理器701实现。处理器701可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器701中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器701可以是通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器702，处理器701读取存储器702中的信息，结合其硬件完成上述方法的步骤。

可以理解的是，本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(applicationspecificintegratedcircuits，asic)、数字信号处理器(digitalsignalprocessing，dsp)、数字信号处理设备(dspdevice，dspd)、可编程逻辑设备(programmablelogicdevice，pld)、现场可编程门阵列(field-programmablegatearray，fpga)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。

对于软件实现，可通过执行本发明实施例中所述功能的模块(例如过程、函数等)来实现本发明实施例中所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。

可选地，处理器701还用于：当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址不匹配时，分别通过不同路由器向所述域名服务器发送查询所述域名的请求，得到域名服务器返回的各ip地址；判断所述各ip地址是否均相同；若是，则将相同的所述ip地址确定为目标ip地址，并存储所述目标ip地址、所述域名以及所述移动终端的位置信息之间的对应关系，执行所述基于所述目标ip地址与待连接服务器建立数据连接通道的步骤；若否，则返回执行所述分别通过不同路由器向所述域名服务器发送查询所述域名的请求的步骤。

可选地，处理器701对所述访问请求的真实性进行判定，并拦截虚假访问请求时，具体用于：轮询截取向所述目标ip发送的请求报文；针对每个请求报文，确定所述请求报文的属性，并判断所述属性是否处于预设属性黑名单中；若是，则确定所述请求报文为虚假请求报文，并拦截所述虚假请求报文。

可选地，处理器701对所述访问请求的真实性进行判定，并拦截虚假访问请求时，具体用于：截取向所述目标ip发送的全部请求报文；比对各请求报文之间的差异性；基于所述差异性模糊匹配出虚假请求报文，并拦截所述虚假请求报文。

可选地，处理器701在拦截虚假访问请之后，还用于：当本次连接终止后，记录本次连接对应的域名、目标ip地址以及用户访问习惯参数，其中用户访问习惯参数包括：连接时长、连接所属的时间段以及所述移动终端的位置信息。

可选地，处理器701还用于：基于历史所记录的用户访问习惯参数、域名以及目标ip地址的对应关系，在不同时段为用户推荐不同的访问链接。

移动终端700能够实现前述实施例中移动终端实现的各个过程，为避免重复，这里不再赘述。

本发明实施例提供的移动终端，一方面，在接收到服务器连接请求时，将域名服务器解析出的目标ip地址与历史存储的当前位置信息对应的ip地址进行匹配，若二者匹配，则确定目标ip地址为已知地址并非伪造的恶意ip地址，与目标ip地址对应的服务器建立数据连接通道能够保证请求接收方的可靠性。另一方面，移动终端与目的服务器之间通过数据连接通道发送访问请求时，对访问请求的真实性进行判定，并拦截虚假访问请求，能够避免访问请求对应的报文在传输过程中被非法篡改后迫使用户访问恶意网址。可见，本发明实施例中提供的移动终端在向服务器发送连接请求时，既能保证请求接收方的可靠性、又能保证所发送访问请求的真实性，故能够保证为用户网络访问的安全性提升用户的使用体验。

实施例六

参照图6，示出了本发明实施例六的一种移动终端的结构框图。

本发明实施例中的移动终端可以为手机、平板电脑、个人数字助理(personaldigitalassistant，pda)、或车载电脑等。

图6中的移动终端包括射频(radiofrequency，rf)电路810、存储器820、输入单元830、显示单元840、处理器860、音频电路870、wifi(wirelessfidelity)模块880和电源890。

其中，输入单元830可用于接收用户输入的数字或字符信息，以及产生与移动终端的用户设置以及功能控制有关的信号输入。具体地，本发明实施例中，该输入单元830可以包括触控面板831。触控面板831，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板831上的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板831可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给该处理器860，并能接收处理器860发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板831。除了触控面板831，输入单元830还可以包括其他输入设备832，其他输入设备832可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

其中，显示单元840可用于显示由用户输入的信息或提供给用户的信息以及移动终端的各种菜单界面。显示单元840可包括显示面板841，可选的，可以采用lcd或有机发光二极管(organiclight-emittingdiode，oled)等形式来配置显示面板841。

应注意，触控面板831可以覆盖显示面板841，形成触摸显示屏，当该触摸显示屏检测到在其上或附近的触摸操作后，传送给处理器860以确定触摸事件的类型，随后处理器860根据触摸事件的类型在触摸显示屏上提供相应的视觉输出。

触摸显示屏包括应用程序界面显示区及常用控件显示区。该应用程序界面显示区及该常用控件显示区的排列方式并不限定，可以为上下排列、左右排列等可以区分两个显示区的排列方式。该应用程序界面显示区可以用于显示应用程序的界面。每一个界面可以包含至少一个应用程序的图标和/或widget桌面控件等界面元素。该应用程序界面显示区也可以为不包含任何内容的空界面。该常用控件显示区用于显示使用率较高的控件，例如，设置按钮、界面编号、滚动条、电话本图标等应用程序图标等。

其中处理器860是移动终端的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在第一存储器821内的软件程序和/或模块，以及调用存储在第二存储器822内的数据，执行移动终端的各种功能和处理数据，从而对移动终端进行整体监控。可选的，处理器860可包括一个或多个处理单元。

在本发明实施例中，通过调用存储该第一存储器821内的软件程序和/或模块和/或该第二存储器822内的数据，处理器860用于接收用户发送的服务器连接请求，并确定待连接服务器对应的域名；请求域名服务器对所述域名进行解析，得到所述域名对应的至少一个ip地址，每个ip地址对应一条链路；基于所述移动终端的位置信息，选择最优链路对应的ip地址作为目标ip地址；当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址匹配时，基于所述目标ip地址与待连接服务器建立数据连接通道；在通过所述数据连接通道发送访问请求时，对所述访问请求的真实性进行判定，并拦截虚假访问请求。

可选地，处理器860还用于：当所述目标ip地址与历史存储的所述位置信息在所述域名下对应的ip地址不匹配时，分别通过不同路由器向所述域名服务器发送查询所述域名的请求，得到域名服务器返回的各ip地址；判断所述各ip地址是否均相同；若是，则将相同的所述ip地址确定为目标ip地址，并存储所述目标ip地址、所述域名以及所述移动终端的位置信息之间的对应关系，执行所述基于所述目标ip地址与待连接服务器建立数据连接通道的步骤；若否，则返回执行所述分别通过不同路由器向所述域名服务器发送查询所述域名的请求的步骤。

可选地，处理器860对所述访问请求的真实性进行判定，并拦截虚假访问请求时，具体用于：轮询截取向所述目标ip发送的请求报文；针对每个请求报文，确定所述请求报文的属性，并判断所述属性是否处于预设属性黑名单中；若是，则确定所述请求报文为虚假请求报文，并拦截所述虚假请求报文。

可选地，处理器860对所述访问请求的真实性进行判定，并拦截虚假访问请求时，具体用于：截取向所述目标ip发送的全部请求报文；比对各请求报文之间的差异性；基于所述差异性模糊匹配出虚假请求报文，并拦截所述虚假请求报文。

可选地，处理器860在拦截虚假访问请之后，还用于：当本次连接终止后，记录本次连接对应的域名、目标ip地址以及用户访问习惯参数，其中用户访问习惯参数包括：连接时长、连接所属的时间段以及所述移动终端的位置信息。

可选地，处理器860还用于：基于历史所记录的用户访问习惯参数、域名以及目标ip地址的对应关系，在不同时段为用户推荐不同的访问链接。

本发明实施例提供的移动终端，一方面，在接收到服务器连接请求时，将域名服务器解析出的目标ip地址与历史存储的当前位置信息对应的ip地址进行匹配，若二者匹配，则确定目标ip地址为已知地址并非伪造的恶意ip地址，与目标ip地址对应的服务器建立数据连接通道能够保证请求接收方的可靠性。另一方面，移动终端与目的服务器之间通过数据连接通道发送访问请求时，对访问请求的真实性进行判定，并拦截虚假访问请求，能够避免访问请求对应的报文在传输过程中被非法篡改后迫使用户访问恶意网址。可见，本发明实施例中提供的移动终端在向服务器发送连接请求时，既能保证请求接收方的可靠性、又能保证所发送访问请求的真实性，故能够保证为用户网络访问的安全性提升用户的使用体验。

本发明实施例还提供了一种移动终端，包括：存储器、处理器及存储在所述存储器上并可在处理器上运行的网络安全访问程序，所述网络安全访问程序被所述处理器执行时实现所述的网络安全访问方法的步骤。

本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有网络安全访问程序，所述网络安全访问程序被处理器执行时实现所述的网络安全访问方法的步骤。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

在此提供的网络安全访问方案不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造具有本发明方案的系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的网络安全访问方案中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。