专利名称:接入因特网控制装置及其方法、网关的制作方法
技术领域:
本发明涉及接入因特网控制技术,尤其涉及一种基于网关的接入因特网 控制装置及其方法。
背景技术:
目前在办公室或者是家庭中 一般会有多台可以接入因特网的终端,比如 电脑。比如在一个家庭中父母、小孩、爷爷奶奶都拥有自己单独的电脑上网, 家庭中的多台电脑此时一般是通过网关接入因特网。
图1所示的是多台终端1010通过代理端2020接入因特网3030的示意图。 代理端2020可以是网关、具有代理^/能的电脑、以及路由器等设备,终端1010 在接入因特网3030之前需要通过域名服务器4040将域名解析为因特网30协 议地址。在现有的代理端2020中并没有终端1010接入因特网3030的控制功 能。比如控制终端10访问某一网站的权限以及接入因特网30的时间段,因 此随之带来的问题就是办公室的职员不顾公司规定上网浏览与工作无关的网 页,或者是小孩沉迷于网络等。
因此如何设计出一种接入因特网控制装置201及方法以有效的控制终端 10接入因特网30,为目前所需要解决的问题。
发明内容
本发明的目的在于提供一种接入因特网控制装置及其接入方法,以及网 关,用于解决现有代理端无法控制终端接入因特网的问题。
本发明提供了一种接入因特网控制装置,包括代理模块,用于拦截并 解析终端向因特网发出的请求;策略管理模块,用于判断请求包含的用户信 息是否与控制策略匹配;其中,代理模块还用于根据匹配结果决定是否允许
终端接入因特网。
优选的,上述终端设置于局域网内,该请求为向域名服务器发出的域名 解析请求。
优选的,上迷代理模块包括报文处理子模块,用于丟弃域名解析请求, 或者用于将域名解析请求发往域名服务器,或者用于将域名服务器解析域名 解析请求的解析结果发给终端。优选的,上述代理模块还包括报文解析子模块,用于解析请求,以获取
请求包含的用户信息,用户信息包括终端的标识以及请求发出的时间;终端 的标识是因特网协议地址、々某体访问控制地址或者是终端在局域网中的名称。
优选的,上述策略管理模块设置有控制策略表,控制策略表中包括终端 的标识以及允许终端接入因特网的时间。
优选的,上述策略管理模块通过查询终端的标识以及允许终端接入因特 网的时间进行判断请求包含的用户信息是否与控制策略匹配。
本发明提供了一种网关,该网关包括接入因特网控制装置,该接入因特 网控制装置包括代理模块,用于拦截并解析终端向因特网发出的请求;策 略管理模块,用于判断请求包含的用户信息是否与控制策略匹配;其中,代 理模块还用于根据匹配结果决定是否允许终端接入因特网。
本发明提供了一种接入因特网控制方法,包括终端向因特网发出请求, 以请求接入因特网;代理端拦截并解析该请求;代理端判断该请求包含的用 户信息是否与控制策略匹配;代理端根据匹配结果决定是否允许终端接入因特网。
优选的,上述终端设置于局域网内,所述请求为向域名服务器发出的域 名解析请求。
优选的,上述代理端不允许所述终端接入因特网时,则代理端直接丢弃 域名解析请求;代理端允许终端接入因特网时,则代理端将域名解析请求发 往域名服务器,域名服务器解析域名解析请求并通过代理端将解析结果发给 终端。
优选的,上述请求包含的用户信息包括终端的标识以及请求发出的时间。 优选的,上述代理端设置有控制策略表,控制策略表中包括终端的标识
以及允许终端接入因特网的时间。
优选的,上述4、理端通过查询终端的标识以及允许终端接入因特网的时
间进行判断请求包含的用户信息是否与控制策略匹配。
本发明中的接入因特网控制装置及其接入方法,以及网关通过代理端对 域名解析请求中携带的可区分用户的信息以及时间段进行策略控制,可以便 捷有效地控制终端接入因特网。
图l所示的是多台终端通过代理端接入因特网的示意图;图2所示为本发明的一种接入因特网控制装置实施例的结构示意图; 图3所示为本发明的 一 种接入因特网控制方法实施例的流程图; 图4所示为本发明的另一种接入因特网控制方法实施例的流程图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步 说明。
具体实施例方式
下面结合附图和具体实施例对本发明所述技术方案作进一步的详细描 述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实 施例不作为对本发明的限定。
图2所示为本发明的 一种接入因特网控制装置201实施例的结构示意图。
接入因特网控制装置201设置于代理端20中,用于控制设置于局域网内 的终端10访问因特网30。代理端2020可以是网关、具有代理功能的电脑、 以及路由器等设备,终端IO可以是个人电脑或者其它可以上网的设备。接入 因特网控制装置201包括代理模块2010以及策略管理模块2011。
代理模块2010,用于拦截并解析终端10向因特网30发出的请求;策略 管理模块2011,用于判断请求包含的用户信息是否与控制策略匹配;代理模 块2010还用于根据匹配结杲决定是否允许终端IO接入因特网30。在本实施 例中,控制策略是指根据终端10的标识以及终端IO请求接入因特网的时间 控制终端10接入因特网。终端10的标识可以是因特网协议(Internet Protocol, IP)地址、々某体访问控制(Media Access Control, MAC)地址或者是终端10 在局域网中的名称等。
在本实施例中,终端10向因特网30发出的请求为域名解析请求,该域 名解析请求是向因特网30中的域名服务器40发出。
代理模块2010还包括报文处理子模块2012以及报文解析子模块2013。 报文处理子模块2012用于丢弃域名解析请求,或者用于将域名解析请求发往 域名服务器40,或者用于将域名服务器40解析域名解析请求的解析结果发给 终端IO。报文解析子模块2013用于解析请求,以获取请求包含的用户信息, 用户信息包括终端10的标识以及请求发出的时间;终端10的标识是因特网 协议地址、媒体访问控制地址或者是终端IO在局域网中的名称。
策略管理模块2011设置有控制策略表2014,控制策略表2014设置有控 制策略,具体为控制策略表2014包终端IO的标识以及允许终端IO接入因 特网的时间,策略管理模块2011通过查询终端IO的标识以及允许终端10接 入因特网30的时间进行判断终端IO发出的请求包含的用户信息是否与控制策略匹配,实现对终端l(U娄入因特网的控制。
以下将以实际的例子,对策略管理模块2011的功能作进行进一 步的说明。
例1、策略管理模块2011根据控制策略表2014的控制策略不允许终端 IO接入因特网30的情况:
假设控制策略表2014中针对局域网中IP地址为192.168.1.3的终端IO设 置的控制策略为该IP地址在每天的22:00到次日的8:00不允许4妄入因特网 30 。此时若该终端10在夜间23:00 ,欲访问因特网30中i或名为 www.wowchina.com的月l务器,以访问魔兽世界网站。
针对上述终端IO的上述目的,本发明的接入因特网控制方法根据控制策 略对其控制的方式如下
1、 终端10发起域名解析请求,该域名解析请求携带的域名为 www.wowchina.com欲请求域名服务器40解析,该域名解析请求被代理模块 2010拦截。
2、 报文解析子模块2013解析该域名解析请求后,获得发出该请求的终 端10的源IP地址为192.168.1.3,同时查询后得知该请求的发出当时间为 23:00。
3、 策略管理模块2011查询预配置的控制策略表2014中的控制策略信息, 发现与控制策略匹配。
4、 报文处理子模块2012直接丟弃该请求。
5、 终端10由于该请求得不到回应,而无法接入因特网30。
例2、策略管理模块2011根据控制策略表2014的控制策略允许终端10 接入因特网30的情况
假设控制策略表2014中针对局域网中IP地址为192.168丄2的终端10设 置的控制策略为该IP地址在每天的任何时候都允许接入因特网30。此时若 该终端IO在夜间23:00,欲访问因特网30中域名为www.baidu.com的服务器, 以访问百度网站。
针对上述终端IO的上述目的,本发明的接入因特网控制方法对其控制的 方式如下
1、 终端10发起域名解析请求,该域名解析请求携带的域名为 www.baidu.com欲请求域名服务器40解析,该域名解析请求被代理冲莫块2010 拦截。
2、 报文解析子模块2013解析该域名解析请求后,获得发出该请求的终 端10的源IP地址为192.168.1.2,同时查询后得知该请求的发出当时间为23:00。
3、 策略管理模块2011查询预配置的控制策略表2014中的控制策略信息, 发现与控制策略不匹配。
4、 报文处理子模块2012将该请求发往域名服务器40。
5、 域名服务器40将该请求中的域名解析为对应的IP地址后发给终端10。
6、 终端IO获取到域名对应的IP地址后开始接入因特网30。
本发明还提供一种网关,在本实施例中,网关除了包括图l所示的接入因 特网控制装置201之外,其它模块及其功能均与现有的网关相同,具体为
接入因特网控制装置201设置于代理端20中,用于控制设置于局域网内 的终端10访问因特网30。代理端2020可以是网关、具有代理功能的电脑、 以及路由器等设备,终端IO可以是个人电脑或者其它可以上网的设备。接入 因特网控制装置201包括代理模块2010以及策略管理模块2011。
代理模块2010,用于拦截并解析终端IO向因特网30发出的请求;策略 管理模块2011,用于判断请求包含的用户信息是否与控制策略匹配;代理模 块2010还用于根据匹配结果决定是否允许终端IO接入因特网30。在本实施 例中,控制策略是指才艮据终端10的标识以及终端IO请求接入因特网的时间 控制终端10接入因特网。终端10的标识可以是因特网协议(Internet Protocol, IP)地址、i某体访问控制(Media Access Control, MAC)地址或者是终端10 在局域网中的名称等。
在本实施例中,终端IO向因特网30发出的请求为域名解析请求,该域 名解析请求是向因特网30中的域名服务器40发出。
代理模块2010还包括报文处理子模块2012以及报文解析子模块2013。 报文处理子模块2012用于丢弃域名解析请求,或者用于将域名解析请求发往 域名服务器40,或者用于将域名服务器40解析域名解析请求的解析结果发给 终端IO。报文解析子模块2013用于解析请求,以获取请求包含的用户信息, 用户信息包括终端10的标识以及请求发出的时间;终端10的标识是因特网 协议地址、媒体访问控制地址或者是终端IO在局域网中的名称。
策略管理模块2011设置有控制策略表2014,控制策略表2014设置有控 制策略,具体为控制策略表2014包终端IO的标识以及允许终端IO接入因 特网的时间,策略管理模块2011通过查询终端10的标识以及允许终端10接 入因特网30的时间进行判断终端10发出的请求包含的用户信息是否与控制 策略匹配,实现对终端IO接入因特网的控制。
图3所示为本发明的 一种接入因特网控制方法实施例的流程图。
8步骤S301,终端IO向因特网30发出请求,以请求4妄入因特网30。在本 实施例中,终端10设置于局域网内,终端IO向因特网30发出的请求为域名 解析请求,并且该请求是向因特网30的域名服务器40发出。
步骤S302,代理端20拦截并解析终端10向因特网30发出的:清求。代理 端20解析该请求,是为了获取该请求包含的用户信息,用户信息包括终端10 的标识以及该请求发出的时间,终端10的标识可以是因特网协议(Internet Protocol, IP)地址、々某体访问控制(Media Access Control, MAC) i也址或者 是终端IO在局域网中的名称等。
步骤S303,代理端20判断所述请求包含的用户信息是否与控制策略匹 配。在本实施例中,代理端20设置有控制策略表2014,控制策略表2014包 括终端10的标识以及允i午终端10 4妄入因特网的时间,^理端20通过查询终 端10的标识以及允许终端10接入因特网30的时间进4亍判断终端10发出的 请求包含的用户是否与控制策略匹配,实现对终端10接入因特网的控制。
步骤S304,代理端20根据匹配结果决定是否允许终端20接入因特网30。
图4所示为本发明的另 一 种接入因特网控制方法实施例的流程图。 步骤S401,终端IO向因特网30发出请求,以请求接入因特网30。在本 实施例中,终端10设置于局域网内,终端IO向因特网30发出的请求为域名 解析请求,并且该请求是向因特网30的域名服务器40发出。
步骤S402,代理端20拦截终端IO向因特网30发出的请求。 步骤S403,代理端20解析该请求。在本实施例中,代理端20解析该请 求,是为了获取请求包含的用户信息,用户信息包括终端IO的标识以及请求 发出的时间;终端IO的标识是因特网协议地址、々某体访问控制地址或者是终 端IO在局域网中的名称。
步骤S404,代理端20判断该请求包含的用户信息是否与控制策略匹配, 若匹配则进入步骤S405,代理端20直接丢弃该请求;若不匹配,则进入步骤 S406。在本实施例中,代理端20设置有控制策略表2014,控制策略表2014 包括终端10的标识以及允许终端IO接入因特网的时间,代理端20通过查询 终端10的标识以及允许终端IO接入因特网30的时间进行判断终端10发出 请求包含的用户信息是否与控制策略匹配,实现对终端10接入因特网的控制。 步骤S407,域名服务器40解析该请求并通过代理端20将解析结果发给 终端10。
通过以上实施例可说明,本发明中的接入因特网控制装置201及其接入 方法,以及网关通过代理端20对域名解析请求中携带的可区分用户的信息以及时间段进行策略控制,可以便捷有效地控制终端IO接入因特网30。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围, 凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接 或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1、一种接入因特网控制装置,其特征在于,该装置包括代理模块,用于拦截并解析终端向因特网发出的请求;策略管理模块,用于判断所述请求包含的用户信息是否与控制策略匹配;其中,所述代理模块还用于根据匹配结果决定是否允许所述终端接入因特网。
2、 如权利要求1所述的接入因特网控制装置,其特征在于,所述终端设 置于局域网内,所述请求为向域名服务器发出的域名解析请求。
3、 如权利要求2所述的接入因特网控制装置,其特征在于,所述代理模 块包括报文处理子模块,用于丢弃所述域名解析请求,或者用于将所述域名 解析请求发往域名服务器,或者用于将所述域名服务器解析所述域名解析请 求的解析结果发给所述终端。
4、 如权利要求3所述的接入因特网控制装置,其特征在于,所述代理模 块还包括报文解析子模块,用于解析所述请求,以获取所述请求包含的用户 信息,所述用户信息包括所述终端的标识以及所述请求发出的时间;所述终 端的标识是因特网协议地址、媒体访问控制地址或者是所述终端在局域网中 的名称。
5、 如权利要求4所述的接入因特网控制装置,其特征在于,所述策略管 理模块设置有控制策略表,所述控'制策略表中包括所述终端的标识以及允许 所述终端接入因特网的时间。
6、 如权利要求4或者5所述的接入因特网控制装置,其特征在于,所述 策略管理模块通过查询所述终端的标识以及允许所述终端接入因特网的时间 进行判断所述请求包含的用户信息是否与控制策略匹配。
7、 一种网关,其特征在于,所迷网关包括如权利要求1至5任一项所述 的接入因特网控制装置。
8、 一种接入因特网控制方法,其特征在于,该方法包括 代理端拦截并解析终端向因特网发出的请求;所述代理端判断所述请求包含的用户信息是否与控制策略匹配;,刮
9、 如权利要求8所述的接入因特网控制方法,其特征在于,所述终端设 置于局域网内,所述请求为向域名跟务器发出的域名解析请求。
10、 如权利要求9所述的接入因特网控制方法,其特征在于,所述代理 端不允许所述终端接入因特网时,则所述代理端直接丢弃所述域名解析请求; 所述代理端允许所述终端接入因特网时,则所述代理端将所述域名解析请求 发往域名服务器,所述域名服务器解析所述域名解析请求并通过所述代理端 将解析结果发给所述终端。
11、 如权利要求IO所述的接入因特网控制方法,其特征在于,所述请求 包含的用户信息包括所述终端的标识以及所述请求发出的时间。
12、 如权利要求11所述的接入因特网控制方法,其特征在于,所述代理 端设置有控制策略表,所述控制策略表中包括所述终端的标识以及允许所述 终端接入因特网的时间。
13、 如权利要求11或者12所述的接入因特网控制方法,其特征在于, 所述代理端通过查询所述终端的标识以及允许所迷终端接入因特网的时间进 行判断所述请求包含的用户信息是否与控制策略匹配。
全文摘要
本发明涉及一种接入因特网控制装置,包括代理模块,用于拦截并解析终端向因特网发出的请求;策略管理模块,用于判断请求包含的用户信息是否与控制策略匹配;其中,代理模块还用于根据匹配结果决定是否允许终端接入因特网。本发明还提供一种接入因特网控制方法,以及网关。本发明通过对域名解析请求中携带的可区分用户的信息以及时间段进行策略控制,可以便捷有效地控制终端接入因特网。
文档编号H04L29/12GK101674268SQ200910190609
公开日2010年3月17日 申请日期2009年9月25日 优先权日2009年9月25日
发明者凯 彭 申请人:中兴通讯股份有限公司