专利名称:一种实现绿色上网的方法和装置的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及一种实现绿色上网的方法和装置。
背景技术:
绿色上网是一项基于互连网用户的增值业务,能够为用户提供互联网内容 的过滤服务,以屏蔽互联网上的不良信息。通过对互联网访问的控制,绿色上 网能实现控制用户访问互^:网的内容、时间、端口,禁止或限制特定用户访问 黄色、暴力、有害、反动的互联网内容。在实际应用中,绿色上网可实现父子 账号功能,父子账号可具有两级不同的访问权限。父账号上网时可以与普通宽 带用户一样没有任何访问权限限制,也可以设置访问权限限制,而子账号访问 的互连网内容则受到控制,达到对互连网访问内容的过滤,从而实现绿色上网。
在绿色上网技术中,LNS (Layer Two Tunneling Protocol Network Server, 第二层隧道协议网络服务器)的出口处可设置有分流系统,由分流系统把绿色 上网用户的流量分流到绿色上网监控系统。绿色上网监控系统对绿色上网用户 的流量进行检测,根据用户类型进行绿色上网屏蔽服务。使用父账号的用户可 以通过父账号登陆绿色上网监控系统中的自服务系统,配置子账号用户的上网 时间、上网时长和上网内容;绿色上网监控系统根据父账号用户制定的策略对 子账号用户的上网行为进行控制。
现有的绿色上网技术至少存在以下缺陷现有绿色上网监控系统虽然能通 过标准端口识别HTTP (Hypertext Transfer Protocol ,超文本传输协议)协议,却 不能识别非标准端口的HTTP协议,更不能对HTTP协议中的视频、FLASH等 内容进行分类。此外,现有绿色上网监控系统虽然能通过端口号来识别很少的应用类型,如QQ、 MSN、少量游戏等;其对某些在线游戏、聊天工具、视频、 PPP (Point to Point Protocol,点对点)下载、VOIP ( Voice over Internet Protocol, 网络通话)等应用的识别能力有限,不能实现对互联网访问业务的有效控制。
发明内容
本发明实施例的目的在于提供一种实现绿色上网的方法和装置,以实现对
互联网访问业务的有效控制。
根据本发明的一实施例,提供一种实现绿色上网的方法,包括如下步骤
当一项业务需要访问网络时,获取所述业务访问网络的数据流;
利用深度包4企测技术对所述数据流的业务类型进行识别,得到数据流的业
务类型;
采用与所述数据流的业务类型相对应的控制策略对所述业务进行上网控制。
根据本发明的又一实施例,提供一种实现绿色上网的装置,包括 数据流获取才莫块,用于当一项业务需要访问网络时,获取所述业务访问网 络的数据流;
识别模块,用于利用深度包检测技术对所述数据流的业务类型进行识别, 得到数据流的业务类型;
上网控制模块,用于采用与所述数据流的业务类型相对应的控制策略对所 述业务进行上网控制。
根据对上述技术方案的描述,本发明实施例有如下优点当一项业务需要 访问网络时,获取所述业务访问网络的数据流,利用深度包检测技术对所述数 据流的业务类型进行识别,并采用与所述it据流的业务类型相对应的控制策略 对所述业务进行上网控制。上述技术方案能够对标准端口的HTTP协议上网业 务、非标准端口的HTTP协议上网业务以及非HTTP协议上网业务进行有效的 网络访问控制,实现安全绿色上网。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的实施例一提供的一种实现绿色上网的方法的示意图; 图2为本发明的实施例二提供的一种绿色上网的方法的详细实现流程示 意图3为本发明的实施例三4是供一种实现绿色上网的装置的结构示意图4为本发明的实施例三提供的识别模块的结构示意图5为本发明的实施例三提供的上网控制模块的结构示意图6为本发明的实施例三提供的上网控制模块的另一种结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要注意的是,以下实施例只是本发明的优选实施例,这些实施例只用于 描述本发明而不用于限定本发明。
实施例一
图1为本发明的实施例一提供的一种实现绿色上网的方法的示意图,所述 方法包括如下步骤
Sll:当一项业务需要访问网络时,获取所述业务访问网络的数据流。S12:利用深度包检测技术对所述数据流的业务类型进行识别,得到数据流 的业务类型。
S13:采用与所述数据流的业务类型相对应的控制策略对所述业务进行上 网控制。
本发明实施例中所述业务可以为基于标准端口的HTTP协议,也可以基于 非标准端口的HTTP协议,还可以是各种能够访问互联网的应用业务,如QQ、 MSN、在线游戏、聊天工具、视频、PPP下载、VOIP等。获取上述各种业务 访问网络的数据流,以便处理相应数据流并对该业务访问网络进行控制。
上述实施例中的步骤S12可具体包括对所述数据流进行报文预处理,判 断所述凄t据流是否已经经过业务类型识别;当所述凄t据流已经过业务类型识别 时,获取所述数据流对应的业务类型;当所述数据流未经过业务类型识别时, 利用深度包检测技术对所述数据流的业务类型进行识别,得到所述数据流对应 的业务类型。
所述深度包检测技术可包括端口检测、特征分析、关联识别、行为识别 和深度解析等技术。利用上述技术中的一种或多种对所述数据流进行深度包检 测,实现对所述数据流业务类型的识别。所述对数据流进行深度检测包括对 所述数据流进行应用层^r测,分析所述数据流在应用层中的各种应用。
本实施例中深度检测以数据流为对象。与普通绿色上网控制仅对数据流进 行低于4层数据包解析不同,深度检测技术需进行应用层解析,通过深入分析 在IP和UDP/TCP层以上的各种应用,对该业务对各种应用有所感知。网络中 TCP/UDP等各种端口转发的PPP流量、IM (Instant Messaging,即时通讯)流 量、VOIP流量、HTTP中的视频流量、通过HTTP端口转发的PPP流量等都 可以通过深度4企测和分析以达到对相关业务的控制
上述实施例中的步骤S13可具体包括
当所述数据流的业务类型是超文本传输协议类型时,根据所述业务的统一 资源定位符类别查找与数据流的业务类型对应的控制策略,并采用所述控制策略对所述业务进行上网控制。
当所述数据流的业务类型是非超文本传输协议类型时,获取与所述数据流 的业务类型相关联的控制策略,并采用所述控制策略对所述业务进行上网控 制。
所述控制策略可存储于一数据库中,以便于进行查找或修改所述策略。
对所述业务进行上网控制可包括对所述业务的网络访问权限、访问内容、 访问端口、上网时刻、上网时长中的一项或多项进行控制。所述网络访问权限 可以包括允许访问网络和不允许访问网络。例如,当需要控制一项业务的访问 时间时,可以记录该业务数据流访问网络的时间。根据控制策略制定的允许上 网的时长进行控制,当所述业务的上网时长超过允许上网的时长,禁止该业务 的数据流进入网络。
对应各种不同的业务类型,本实施例还可以有其它各种不同的控制策略, 所述策略可针对业务的网络访问权限、访问内容、访问端口、上网时刻、上网 时长等内容制定。例如,如果不希望绿色上网用户利用QQ上网,可以针对 QQ软件制定一个限制网络访问权限的策略。当绿色上网用户试图利用QQ软 件登陆互连网时,本实施例描述的方法会根据该软件访问网络的数据流业务类 型查找相应的控制策略,当发现所述控制策略对网络访问权限进行了限制,将 限制该程序访问网络,^v而实现对QQ软件访问网络的有效控制。
本实施例通过利用深度包检测技术对所述数据流的业务类型进行识别,并 根据该业务类型相对应的控制策略对所述业务进行上网控制,可实现安全绿色 上网。
实施例二
图2为本发明的实施例二提供的一种绿色上网的方法的详细实现流程示 意图,所述具体实现流程包括
S21:当一项业务需要访问网络时,获取所述业务访问网络的数据流。 S22:对所述数据流进行报文预处理,进行低于4层的数据包解析,建立
9并查找会话表。
S23:判断所述数据流是否已经经过业务类型识别,如果是,执行步骤S25; 如果否,执行步骤S24。
S24:利用深度包检测技术对所述数据流的业务类型进行识别,得到所述 数据流对应的业务类型。
S25:获取所述数据流对应的业务类型。
S26:判断所述数据流的业务类型是否为超文本传输协议。
S27:如果所述数据流的业务类型是超文本传输协议,即所说业务是浏览 器对网站的访问,则才艮据所述业务的统一资源定位符类别查找与数据流的业务 类型对应的控制策略,并采用所述控制策略对所述业务进行上网控制。
S28:如果所述数据流的业务类型不是超文本传输协议而是其它业务,如 视频、上网聊天等,则获取与所述数据流的业务类型相关联的控制策略,并釆 用所述控制策略对所述业务进行上网控制。
本实施例的流程对业务数据流进行低于4层的解析,之后再进行深度包4企 测,可以有效检测各种业务的应用类型,便于根据相关控制策略对所述业务进 行控制,有效实现绿色上网。
以通过计算机程序来指令相关硬件完成的,所述的程序可存储于一计算机可读 取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中, 所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory, ROM) 或随机存储记忆体(Random Access Memory, RAM)等。 实施例三
图3为本发明的实施例三才是供一种实现绿色上网的装置的结构示意图,该 装置包括
数据流获取模块31,用于当一项业务需要访问网络时,获取所述业务访 问网络的数据流;识别模块32,用于利用深度包检测技术对所述数据流的业务类型进行识
别;
上网控制模块33,用于采用与所述数据流的业务类型相对应的控制策略 对所述业务进^f亍上网控制。
该装置可位于网络接入点中,也可以是一个独立的装置。无论该装置是集 成在家庭网关或路由器等接入点内,还是作为一个独立的控制装置,其均需对 用户访问网络的数据流进行监控。PC、个人电脑或服务器等访问网络的数据 流需要经过此装置再进入网络。所述装置通过对数据流进行深度包检测,识别 出业务类型,能有效实现对各种业务访问网络的控制。例如,该实现绿色上网 的装置获取一项业务访问网络的数据流,当检测到该业务是不被允许访问网络 的,则不将该业务的数据流转发到网络中,达到禁止访问网络的目的。依此类 推,该装置可对各种业务的网络访问权限、访问内容、访问端口、上网时刻、 上网时长等进行控制。例如,当需要控制一项业务的访问端口时,可在所述装 置内设置不允许访问端口的相关信息。如果一项业务的凝:据流显示该业务试图 访问不允许访问的端口 ,则禁止该业务数据流发送到相应端口 。
进一步地,图4为本发明的实施例三提供的识别模块32的结构示意图, 所述识别模块32可以包括
预处理单元321,用于对所述数据流进行报文预处理,判断所述数据流是 否已经经过业务类型识别;
业务类型获取单元322,用于当所述数据流已经过业务类型识别时,获取 所述数据流对应的业务类型;
识别单元323,用于当所述数据流未经过业务类型识别时,利用深度包检 测技术对所述lt据流的业务类型进行识别,得到所述数据流对应的业务类型。
所述识别^f莫块可判断数据流是否已经经过业务类型识别,避免重复识别。
进一步地,图5为本发明的实施例三提供的上网控制模块33的结构示意 图,在该具体实现方式中,所述上网控制模块33可包括策略查找单元331,用于当所述数据流的业务类型是超文本传输协议类型 时,根据所述业务的统一资源定位符类别查找与lt据流的业务类型对应的控制
策略;
第一策略执行单元332,用于并采用所述控制策略对所述业务进行上网控制。
该上网控制模块能对浏览器业务的网络访问进行有效控制。
图6为本发明的实施例三提供的上网控制模块33的另一种结构示意图, 在该具体实现方式中,所述上网控制模块33可包括
策略获取单元333,用于当所述数据流的业务类型是非超文本传输协议类 型时,获取与所述数据流的业务类型相关联的控制策略;
第二策略执行单元334,用于并采用所述控制策略对所述业务进行上网控制。
该上网控制模块能对非浏览器业务的网络访问进行有效控制。 本领域技术人员可以理解,上述装置实施例中的模块或单元既可以是硬件 也可以是软件;既可以是互相独立的模块,也可以通过互相拆分或合并实现与 各独立模块相同的功能。例如,所述上网控制模块33既可包括策略查找单元 331和第一策略执行单元332,又可包括策略获取单元333和第二策略执行单 元334,这样的上网控制模块33可同时实现对浏览器业务和非浏览器业务的 上网控制。
本发明实施例能够对标准端口的HTTP协议上网业务、非标准端口的 HTTP协议上网业务以及非HTTP协议上网业务进行有效而灵活的上网控制, 实现安全绿色上网。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开 的内容可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。
权利要求
1、一种实现绿色上网的方法,其特征在于,包括如下步骤当一项业务需要访问网络时,获取所述业务访问网络的数据流;利用深度包检测技术对所述数据流的业务类型进行识别,得到数据流的业务类型;采用与所述数据流的业务类型相对应的控制策略对所述业务进行上网控制。
2、 如权利要求1所述的方法,其特征在于,所述利用深度包检测技术对 所述数据流的业务类型进行识别,得到数据流的业务类型包括对所述数据流进行报文预处理,判断所述数据流是否已经经过业务类型识别;当所述数据流未经过业务类型识别时,利用深度包检测技术对所述数据流 的业务类型进行识别,得到所述数据流对应的业务类型;当所述数据流已经过业务类型识别时,获取所述数据流对应的业务类型。
3、 如权利要求1所述的方法,其特征在于,所述深度包检测技术包括端 口检测、特征分析、关联识别、行为识别和深度解析。
4、 、如权利要求3所述的方法,其特征在于,所述对所述数据流进行深度 检测包括对所述数据流进行应用层检测,分析所述数据流在应用层中的各种 应用。
5、 如权利要求1所述的方法,其特征在于,所述采用与所述数据流的业 务类型相对应的控制策略对所述业务进行上网控制包括当所述数据流的业务类型是超文本传输协议类型时,根据所述业务的统一 资源定位符类别查找与数据流的业务类型对应的控制策略,并采用所述控制策 略对所述业务进行上网控制。
6、 如权利要求1所述的方法,其特征在于,所述采用与所述数据流的业 务类型相对应的控制策略对所述业务进^f于上网控制包括当所述数据流的业务类型是非超文本传输协议类型时,获取与所述数据流 的业务类型相关联的控制策略,并采用所述控制策略对所述业务进行上网控 制。
7、 如权利要求1至6中任一项所述的方法,其特征在于,所述对所述业 务进行上网控制包括对所述业务的网络访问权限、访问内容、访问端口、上网时刻、上网时长 中的一项或多项进行控制。
8、 一种实现绿色上网的装置,其特征在于,包括 数据流获取模块,用于当一项业务需要访问网络时,获取所述业务访问网络的数据流;识别模块,用于利用深度包检测技术对所述数据流的业务类型进行识别, 得到数据流的业务类型;上网控制模块,用于釆用与所述数据流的业务类型相对应的控制策略对所 述业务进行上网控制。
9、 如权利要求8所述的装置,其特征在于,所述识别模块包括 预处理单元,用于对所述数据流进行报文预处理,判断所述数据流是否已经经过业务类型识别;业务类型获取单元,用于当所述数据流已经过业务类型识别时,获取所述 数据流对应的业务类型;识别单元,用于当所述数据流未经过业务类型识别时,利用深度包检测技 术对所述数据流的业务类型进行识別,得到所述数据流对应的业务类型。
10、 如权利要求8所述的装置,其特征在于,所述上网控制模块包括 策略查找单元,用于当所述数据流的业务类型是超文本传输协议类型时,根据所述业务的统一资源定位符类别查找与数据流的业务类型对应的控制策 略;第 一策略执行单元,用于采用所述控制策略对所述业务进行上网控制。
11、 如权利要求8所述的装置,其特征在于,所述上网控制模块包括 策略获取单元,用于当所述数据流的业务类型是非超文本传输协议类型时,获取与所述数据流的业务类型相关联的控制策略;第二策略执行单元,用于采用所述控制策略对所述业务进行上网控制。
12、 如权利要求8至11中任一项所述的装置,其特征在于,所述装置位 于网络接入点中。
全文摘要
本发明实施例公开了一种实现绿色上网的方法和装置,涉及网络技术领域。所述实现绿色上网的方法包括如下步骤当一项业务需要访问网络时,获取所述业务访问网络的数据流;利用深度包检测技术对所述数据流的业务类型进行识别,得到数据流的业务类型;采用与所述数据流的业务类型相对应的控制策略对所述业务进行上网控制。上述技术方案能够对标准端口的HTTP协议上网业务、非标准端口的HTTP协议上网业务以及非HTTP协议上网业务进行有效的网络访问控制,实现安全绿色上网。
文档编号H04L12/56GK101505236SQ20091010599
公开日2009年8月12日 申请日期2009年3月12日 优先权日2009年3月12日
发明者锋 于, 刘国清, 杨建平 申请人:成都市华为赛门铁克科技有限公司