对网络资源的访问控制方法及装置制造方法
对网络资源的访问控制方法及装置制造方法
【专利摘要】本发明提供了一种基于域名服务器解析及白名单的网络资源访问控制机制。根据本发明实施例的方法可以包括:检测对网络资源的访问请求;获取所述访问请求的目标网际协议“IP”地址;以及,通过匹配获取的目标IP地址与网络资源白名单,决定是否允许所述访问请求,其中,所述网络资源白名单存储可信网络资源的IP地址。根据本发明的方案可以减少由于URL信息不全或更新不及时而造成的漏判情况,消除或者至少降低访问互联网上的不适内容的可能性。
【专利说明】对网络资源的访问控制方法及装置
【技术领域】
[0001] 本发明涉及移动通信领域,更具体地,涉及一种用于移动终端的对网络资源的访 问控制方法和对应的装置。
【背景技术】
[0002] 近些年,移动终端的使用越来越普及。如本文所使用的,术语"移动终端"可以指 代诸如智能手机、无线PDA、膝上型计算机、平板计算机等各种具有无线通信功能的设备。
[0003] 当前,随着移动终端的普及和发展,适龄儿童使用如手机之类的移动终端的现状 也越来越普遍。因为移动终端使用的便捷性和承载内容的丰富性,家长和孩子通过手机获 取教育相关资源和知识程度也越来越高。目前利用移动应用和浏览器通过在线方式获取教 育资源变得越来越普及。
[0004] 针对这种通过在线方法获取教育资源的方式,因为其互联和开放特性,孩子在访 问正常教育资源的时候,无意中或由于孩子的好奇心很可能访问本不应该访问的网站,如 一些不健康的网络。为了防止发生这种情况,目前往往采用网址分类的方式对访问的资 源进行控制。这种现有方式一般情况下可以有效地对用户访问的网络资源进行控制,但 是这种控制往往基于Web内容进行控制,覆盖面存在局限,也会因为出现统一资源定位符 (Uniform Resource Locator,简称URL)信息不全或更新不及时使得漏判情况出现,从而导 致还是可以访问不适内容。
[0005] 因此,需要一种改进的用于移动终端的对网络资源的访问控制机制,其能够消除 或者至少降低访问互联网上的不适内容的可能性。
【发明内容】
[0006] 为了实现上述目的,本发明提出了一种基于域名服务器(domain name server,简 称DNS)解析及白名单的网络资源访问控制机制,其可以减少由于URL信息不全或更新不及 时而造成的漏判情况,消除或者至少降低访问互联网上的不适内容的可能性。
[0007] 根据本发明的一个方面,提供了一种用于移动终端的对网络资源的访问控制方 法。该访问控制方法可以包括:检测对网络资源的访问请求;获取所述访问请求的目标网 际协议(Internet Protocol,简称IP)地址;通过匹配获取的目标IP地址与网络资源白名 单,决定是否允许所述访问请求,其中,所述网络资源白名单存储可信网络资源的IP地址。
[0008] 在本发明的一些实施例中,该访问控制方法还可以包括:维护DNS服务器白名单, 所述DNS服务器白名单存储可信DNS服务器的信息。
[0009] 在本发明的一些实施例中,该访问控制方法还可以包括:维护所述网络资源白名 单。所述网络资源白名单的维护可以包括:添加和/或删除可信网络资源的信息。例如,对 于添加操作,用户可以直接输入要添加的可信网络资源的IP地址。在该情况下,可以直接 将要添加的可信网络资源的IP地址添加到所述网络资源白名单。可选地,用户可以输入要 添加的可信网络资源的URL信息。在该情况下,所述网络资源白名单的添加可以包括:接收 要添加的可信网络资源的URL信息;通过DNS服务器白名单中的可信DNS服务器对所述URL 信息进行解析,以获得要添加的可信网络资源的IP地址;以及将所述要添加的可信网络资 源的IP地址添加到所述网络资源白名单。
[0010] 在本发明的一些实施例中,检测到的访问请求中包含目标IP地址。在这种情况 下,获取所述访问请求的目标IP地址可以是直接从访问请求中获取目标IP地址。在另一些 实施例中,检测到的访问请求中包含的是目标URL信息而不是目标IP地址。在该情况下, 获取所述访问请求的目标IP地址可以包括:提取所述访问请求中的目标URL信息;以及通 过DNS服务器白名单中的可信DNS服务器对提取的目标URL信息进行解析,以获得所述目 标IP地址。
[0011] 根据本发明的另一方面,提供了一种用于移动终端的对网络资源的访问控制装 置。该访问控制装置可以包括:检测模块,用于检测对网络资源的访问请求;IP获取模块, 用于获取访问请求的目标IP地址;控制模块,通过匹配获取的目标IP地址与网络资源白名 单,决定是否允许所述访问请求,其中,所述网络资源白名单存储可信网络资源的IP地址。
[0012] 在本发明的一些实施例中,该访问控制装置还可以包括:DNS服务器白名单管理 模块,其配置用于维护DNS服务器白名单。所述DNS服务器白名单存储可信DNS服务器的 信息。
[0013] 在本发明的一些实施例中,该访问控制装置还可以包括:网络资源白名单管理模 块,其配置用于维护网络资源白名单。所述网络资源白名单的维护可以包括:添加和/或删 除可信网络资源的信息。例如,对于添加操作,用户可以直接输入要添加的可信网络资源的 IP地址。在该情况下,网络资源白名单管理模块可以直接将要添加的可信网络资源的IP地 址添加到所述网络资源白名单。可选地,用户可以输入要添加的可信网络资源的URL信息。 在该情况下,网络资源白名单管理模块可以进一步配置为:接收要添加的可信网络资源的 URL信息;通过DNS服务器白名单中的可信DNS服务器对所述URL信息进行解析,以获得要 添加的可信网络资源的IP地址;以及将所述要添加的可信网络资源的IP地址添加到所述 网络资源白名单。
[0014] 在本发明的一些实施例中,所述访问控制装置还包括:网络资源DNS解析模块,其 配置用于通过DNS服务器白名单中的可信DNS服务器解析出网络资源的URL信息对应的IP 地址。
[0015] 本发明提出的方案可以解决面向移动终端对在线内容访问控制的现有方案的不 足和不完善。根据本发明提出的基于DNS解析及白名单的访问控制方法,通过终端用户主 动进行可信DNS服务器设置、DNS解析功能和网络资源白名单管理及控制功能,可以保证在 孩子通过移动终端的浏览器或移动应用进行网络资源访问的时候,将孩子可以访问的内容 通过整个网络资源白名单限制在有意和合理范围内,从而防止孩子因为无意或有意行为而 访问不应该访问的内容。
【专利附图】
【附图说明】
[0016] 通过下面结合【专利附图】
【附图说明】本发明的优选实施例,将使本发明的上述及其它目的、特 征和优点更加清楚,其中:
[0017] 图1示意性地示出了可以实现根据本发明的实施例的移动终端的示意框图。
[0018] 图2示意性地示出了根据本发明实施例的用于移动终端的对网络资源的访问控 制方法的流程图;
[0019] 图3示意性示出了根据本发明实施例的用于移动终端的对网络资源的访问控制 装置的框图;以及
[0020] 图4示意性地示出了根据本发明实施例的用于移动终端的对网络资源的访问控 制方法的一个具体实现400的流程图。
[0021] 在本发明的所有附图中,相同或相似的结构均以相同或相似的附图标记进行标 识。
【具体实施方式】
[0022] 现在将参考附图来详细描述本发明,附图中示出了本发明的说明性实施例,以使 得本领域技术人员能够实现本发明。应该注意:以下附图和示例不意味着将本发明的范围 限制为单一实施例,相反通过互换和组合不同实施例的一些或全部所述或所示元素形成其 他实施例也是可能的。此外,在可以使用已知组件来部分或完全实现本发明的特定元素的 情况下,将仅描述这些已知组件中为了理解本发明所必需的那部分组件,且将省略对这些 已知组件中其他部分的详细描述,以使得本发明更突出。除非本文中另行指出,否则本领域 技术人员应该理解:尽管本发明的一些实施例描述为用软件实形式现,但是本发明不受限 于此,而是也可以用硬件、软件和硬件的组合来实现,且反之亦然。除非本文中另行明确声 明,否则在本说明书中,不应将示出了单一组件的实施例视为是限制性的,而是本发明意在 包含包括多个相同组件在内的其他实施例,且反之亦然。此外,本发明包含本文中作为示意 所引用的已知组件的当前和将来开发的等价物。
[0023] 图1示意性地示出了可以实现根据本发明的实施例的移动终端100的示意框图。 如图1所示,移动终端可以包括:CPU(中央处理单元)101、RAM(随机存取存储器)102、 ROM(只读存储器)103、系统总线104、SM/RUM105、扬声器106、麦克风107、辅助1/0(输 入/输出)子系统108、数据端口 109、通信子系统110、显示控制器112、显示器113以及其 他子系统114。在这些设备中,CPU101、RAM102、R0M103、SM/RUIM105、扬声器106、麦克风 107、辅助1/0(输入/输出)子系统108、数据端口 109、通信子系统110、显示控制器112以 及其他子系统114通过系统总线104进行耦合。显示器113与显示器控制器112耦合。具 体地,CPU101可以控制移动终端100的总体操作。通信子系统110可以用于连接网络,以 执行各种通信功能,包括数据和语音通信。应当理解,图1所述的结构框图仅仅为了示例的 目的而示出的,而不是对本发明范围的限制。在某些情况下,可以根据具体情况而增加或者 减少某些设备。
[0024] 图2示意性地示出了根据本发明实施例的用于移动终端的对网络资源的访问控 制方法200的流程图。方法200可以由移动终端100上安装的根据本发明实施例的网络资 源访问控制客户端来执行。该客户端可以在移动终端100开启时自动启动,或者可以由用 户主动启动。当客户端运行时,其将持续监控移动终端100上的对网络资源的访问请求。
[0025] 当用户使用移动终端上的移动应用和浏览器发起对远程网络资源的访问请求 (Internet Request,简称IR),客户端将监测到该访问请求,于是开始执行方法200,对该访 问请求进行控制。
[0026] 在步骤S210中,检测移动终端100中发起的对网络资源的访问请求。该访问请求 例如可以是通过浏览器发起的对浏览网页的请求,或者下载云端的视频、音乐或其他资源 的请求,等等。该访问请求通常包含要访问的网络资源对应的目的地址信息,例如URL信息 或者IP地址等。
[0027] 在步骤S220中,获取该访问请求的目标网际协议(IP)地址。在用户直接提供要 访问的网络资源对应的目的IP地址的情况下,可以通过解析该访问请求获取其目标IP地 址。然而,通常情况下,用户在请求访问在线资源时提供的目的地址信息是URL信息,而不 知道或者不关心其IP地址。在该情况下,客户端将首先通过解析访问请求获取目标URL信 息;然后通过DNS服务器解析所获取的目标URL信息,获得其关联的目标IP地址信息。
[0028] 在步骤S230中,通过将步骤S220获取的目标IP地址与网络资源白名单进行匹 配,决定是否允许该访问请求。该网络资源白名单中存储了可信网络资源的IP地址,其可 以以链表或者其他合适的数据结构来实现。网络资源白名单可以存储在移动终端100上的 存储器中,并且在本发明的客户端启动时加载到内存中。如果在步骤S230中发现目标IP地 址存在于内存中的网络资源白名单内,则该次访问请求将被允许。否则,如果该目标IP地 址不存在于内存中的网络资源白名单内,则该次访问请求将直接被禁止,同时相关的信息 可以存储到日志中。此外,如果获取的目标信息是无效信息或者不可识别信息,则拒绝该访 问请求,直接终止该次访问过程。
[0029] 在一些实施例中,方法200还可以包括维护DNS服务器白名单的操作。DNS服务器 白名单存储可信DNS服务器的信息。用户可以主动对该DNS服务器白名单进行添加或者删 除。只有通过DNS服务器白名单中的这些DNS服务器解析的IP地址才是移动终端100 (具 体地,其网络资源访问控制客户端)认可的可信信息。在这些实施例中,步骤S220中可能存 在的对URL信息的DNS服务器解析优选地利用DNS服务器白名单中的DNS服务器来完成。
[0030] 在一些优选实施例中,方法200还可以包括维护网络资源白名单的操作。客户端 可以具有默认的网络资源白名单,并且允许用户主动对网络资源白名单进行更新,例如添 加新的可信网络资源的IP地址和/或删除该网络资源中包含的现有IP地址。下面以添加 新的可信网络资源为例进行详细说明。用户可以直接输入要添加的可信网络资源的IP地 址。在该情况下,客户端可以直接将要用户输入的可信网络资源的IP地址添加到网络资源 白名单中。可选地,用户可以输入要添加的可信网络资源的URL信息。在该情况下,客户端 可以接收用户输入的要添加的可信网络资源的URL信息。然后,通过DNS服务器白名单中 的可信DNS服务器对该URL信息进行解析,以获得要添加的可信网络资源的IP地址。最后 将要添加的可信网络资源的IP地址添加到网络资源白名单中。本发明的实施例通过在网 络资源白名单存储网络资源IP地址而不是网络资源URL信息这种方式,可以避免当访问的 网络资源URL信息发生变化时由于没有相应更新机制及时反应该变化而造成的漏检情况。
[0031] 图3示意性示出了根据本发明实施例的用于移动终端100的对网络资源的访问 控制装置300的框图。如图所示,访问控制装置300可以包括:检测模块310、IP获取模块 320、控制模块330、以及存储单元340。
[0032] 检测模块310可以配置为检测移动终端100中发起的对网络资源的访问请求。
[0033] IP获取模块320可以配置为获取所检测到的访问请求的目标IP地址。
[0034] 控制模块330可以配置为:通过将获取的访问请求的目标IP地址与网络资源白名 单进行匹配,决定是否允许所检测到的访问请求。
[0035] 存储单元340可以存储网络资源白名单。该网络资源白名单存储可信(即允许访 问的)网络资源的IP地址,其可以以链表或者其他合适的数据结构来实现。优选地,存储 单元340还存储DNS服务器白名单。DNS服务器白名单存储可信DNS服务器的信息。只有 通过DNS服务器白名单中的这些DNS服务器解析的IP地址才是可信信息。
[0036] 可选地,存储单元340还可以存储其他数据,例如日志等等。存储单元340可以由 一个或多个存储器来实现,其可以位于单个物理设备上或者分布在不同的物理设备上。可 以用本领域技术人员已知的各种存储技术来实现存储单元。本发明在这点上不受限制。存 储单元340例如可以包括SD卡、磁盘、磁光盘、光盘、或者半导体存储技术等等。
[0037] 在本发明的一些实施例中,该访问控制装置300还可以包括:DNS服务器白名单管 理模块,其配置用于维护DNS服务器白名单。该DNS服务器白名单存储可信DNS服务器的 信息。
[0038] 在本发明的一些实施例中,该访问控制装置300还可以包括:网络资源白名单管 理模块,其配置用于维护网络资源白名单。对网络资源白名单的维护可以包括:添加和/或 删除可信网络资源的信息。例如,对于添加操作,用户可以直接输入要添加的可信网络资源 的IP地址。在该情况下,网络资源白名单管理模块可以直接将要添加的可信网络资源的IP 地址添加到所述网络资源白名单。可选地,用户可以输入要添加的可信网络资源的URL信 息。在该情况下,网络资源白名单管理模块可以进一步配置为:接收要添加的可信网络资源 的URL信息;通过DNS服务器白名单中的可信DNS服务器对所述URL信息进行解析,以获得 要添加的可信网络资源的IP地址;以及将所述要添加的可信网络资源的IP地址添加到所 述网络资源白名单。
[0039] 根据本发明的优选实施例,访问控制装置300还可以包括:网络资源DNS解析模 块,其配置用于通过DNS服务器白名单中的可信DNS服务器解析出网络资源的URL信息对 应的IP地址。
[0040] 根据本发明的优选实施例,IP获取模块320在执行对URL信息的解析时,可以通 过调用网络资源DNS解析模块来执行,也即通过DNS服务器白名单中的DNS服务器执行对 URL信息的解析以获取其关联的IP地址。
[0041] 如前文已经提到的,装置300可以作为客户端或该客户端的组件安装在终端100 上。该客户端可以软件的形式自行安装在移动终端100中,或者可以由终端生产厂商以硬 件或固件的形式安装在终端100中。该客户端可以在终端100开启时自动启动,或者可以 由用户主动启动。当客户端运行时,其可以执行方法200。对装置300的各个模块的操作可 以参见对方法200的描述,在此不再赘述。
[0042] 下文参考图4以本发明应用于使用安卓操作系统的移动电话为例介绍本发明的 一个具体实现示例。但是应该理解本发明并不局限于此。
[0043] 图4示出了根据本发明实施例的一个示例的在安卓移动电话上的对网络资源的 访问控制过程400的示意图。
[0044] 在该实施例中,网络资源访问控制客户端将包括通过Java和Andorid SDK实现的 白名单配置应用(WhiteList Configuration,简称WLC)和通过C++和Android NDK实现的 网络资源访问控制应用(Internet Resource Control,简称IRC)。
[0045] 该WLC可以包括DNS服务器白名单管理模块(DNS Server Whitelist,简称DSWL)、 网络资源DNS解析模块(Internet DNS Resolve,简称IDR)和网络资源白名单管理模块 (DNS WhiteList Management,简称DWC)。该DSWL根据用户提供的DNS服务器信息,生成可 信赖的DNS服务器白名单,S卩,只有通过这些DNS服务器解析的IP地址才是可信信息。IDR 实现对指定的URL进行解析操作,并给出与其关联的IP地址信息。DWC根据IDR解析结果, 提供是否产生网络资源白名单功能,并且对已有的网络资源白名单进行管理。
[0046] IRC依据IDR的配置信息对用户的网络访问行为进行安全监控。
[0047] 过程400开始于移动终端的系统启动后。
[0048] 在步骤S402中,加载IRC模块。
[0049] 在步骤S404中,IRC从指定位置读取DNS服务器白名单和网络资源白名单。如果 DNS服务器白名单存在(步骤S406的"是"分支),则在步骤S408中使用已存在的DNS服务 器白名单的配置信息。如果无法读取DNS服务器白名单的内容(步骤S406的"否"分支), 则在步骤S410中IRC将采用自带的默认DNS服务器白名单的信息。如果网络资源白名单 存在,那么在步骤S414中使用已存在的网络资源白名单的配置信息。如果无法读取网络资 源白名单的内容(步骤S412的"否"分支),则在步骤S416中IRC将采用自带的默认网络 资源白名单的信息。于是,IRC将DSWL和DWC信息读取到内存中,分别以例如单链表方式 进行存放,然后IRC将以服务(Service)形式运行在后台。
[0050] 在IRC启动后,在步骤S418中系统启用WLC应用。
[0051] 在步骤S420中,通过WLC模块的DSWL产生DNS服务器白名单。具体地,允许用户 添力口、更新和删除DNS服务器地址,从而形成DNS服务器白名单。DSWL还在DNS服务器白名 单发生更新后,通知IDR进行更新。
[0052] 在步骤422中,IDR依据DNS服务器白名单,将URL解析成其关联的IP地址。WLC 模块的IDR对需要添加到网络资源白名单的URL信息进行解析以获取对应IP地址。这种 方式可以避免当访问的网络资源URL信息发生变化时,在没有相应更新机制跟上时发生的 漏检情况。其从网络资源的源IP进行控制,该IP地址用作后续网络资源白名单的添加依 据。IDR首先需要DNS服务器白名单的信息,通过DNS服务器白名单中的DNS服务器对URL 进行解析。
[0053] 上述URL信息到对应IP地址的解析,可以依据URL信息和IP地址的对应关系来 执行。这种对应关系信息可以在Sqlite数据中在指定表中存储,并以URL为关键字进行索 弓丨。在应用启动时,读取该表中存放的所有信息,并通过平衡二叉树算法,在内存中形成便 于查找的以URL信息为关键信息的平衡二叉树结构(U_IP_TREE),其中,每个结点信息格式 可以为NODE = <URL、IP>。IDR以获取到的URL信息作为关键信息,在U_IP_TREE中查找是 否有匹配结点存在。如果存在,将该结点(NODE)的对应信息取出,获得其中IP信息,完成 解析过程。
[0054] 在步骤S424中,由DWC依据通过IDR获取或产生的IP地址,提供网络资源白名单 的记录生成机制,将需要加入的IP地址作为新记录加入网络资源白名单。其中,只有在网 络资源白名单的范围内的IP地址,移动终端的用户才可以进行正常访问。
[0055] 在步骤426中,IRC在后台监听所有对远端网络资源的访问请求(IR)。一旦发现 存在网络资源访问请求,IRC将接管此次IR。
[0056] 如果在步骤S428中检测到IR,则前进到步骤S430。在步骤S430中,IRC解析IR 的访问目标信息。如果在步骤S428中没有检测到IR,则返回步骤S426继续监听对网络资 源的访问请求。
[0057] 如果步骤S430中解析出的IR访问目标信息是IP地址(步骤S432的"是"分支), 则前进到步骤S434。在步骤S434中,IRC将该IP地址直接与内存中存放的网络资源白名 单的信息进行比较。如果该IP地址存在于网络资源白名单的链表中(步骤S434的"是"分 支),则前进到步骤S442允许该次访问请求,并且在步骤S446中将相关信息存在日志中,如 /sdcard/dwc. log。如果该IP地址不存在于网络资源白名单的链表中(步骤S434的"否" 分支),则前进到步骤S444。于是,在步骤S444中禁止此次访问过程,并且在步骤S446中 将相关信息存在日志中,如,/sdcard/dwc. log。
[0058] 如果步骤S430中解析出的IR访问目标信息不是IP地址(步骤S432的"否"分 支),则前进到步骤S436。在步骤S430中判断获取的目标信息是否是URL地址。如果步骤 S436的判断结果为"是",则前进到步骤S438。在步骤S438中,IRC将向WLC调用IDR功 能,以将该URL信息解析成为IP地址信息。IDR将依据DNS服务器白名单限定的DNS服务 器的信息,将URL地址解析成相应的IP地址信息,以返回给IRC。然后,在步骤S440中,IRC 将该IP地址信息与内存中存放的网络资源白名单的信息进行比较。如果存在于网络资源 白名单的链表中(步骤S440的"是"分支),则前进到步骤S442,允许此次访问,并且在步 骤S446中将相关信息存在日志中,如/sdcard/dwc. log。如果不存在于DWC链表中(步骤 S440的"否"分支),则前进到步骤S444,禁止此次访问,并在步骤S446中将相关信息存在 日志文件中,如/sdcard/dwc. log。
[0059] 如果步骤S436的判断结果为"否",也即步骤S430中获取的目标信息为无效或不 可识别信息,则直接前进到步骤S444,禁止此次访问过程,并在步骤S446中将相关信息存 在日志文件中,如/sdcard/dwc. log。
[0060] 在步骤S446之后,过程400可以返回步骤S426, IRC将继续监听对网络资源的访 问请求。
[0061] 上面已经参考附图4介绍了在安卓移动电话上的对网络资源的访问控制过程 400。在该示例中,IRC可以由上述访问控制装置300的检测模块310、IP获取模块320以 及控制模块330来实现。WLC的DSWL功能、IDR功能和DWC功能可以分别由上述访问控制 装置300的网络资源白名单管理模块、网络资源DNS解析模块和DNS服务器白名单管理模 块来实现。在此不再赘述。
[0062] 应该理解,过程400示出了在移动终端上对网络资源的访问请求的检测和后续的 安全性措施的众多细节,但是可以在没有这些细节的情况下实现本发明实施例。
[0063] 上文已经结合优选实施例对本发明进行了描述。本领域技术人员可以理解,上面 示出的方法和装置仅是示例性的。本发明的方法并不局限于上面示出的步骤和顺序。本发 明的装置可以包括比示出的部件更多或更少的部件。本领域技术人员根据所示实施例的教 导可以进行许多变化和修改。
[0064] 本发明的装置及其部件可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、 晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的 硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和 软件的结合实现。
[0065] 本发明可以实现诸多优点。本发明提供的方案基于DNS解析及白名单来进行对网 络资源的访问控制,可以保证用户在通过移动终端的浏览器或移动应用进行网络资源访问 的时候,将其可以访问的内容限制在有意和合理范围内,从而防止因为无意或有意行为而 访问不应访问的内容,以解决现有面向移动终端对在线内容访问控制的不足和不完善。 [〇〇66] 本领域技术人员应该理解,尽管通过具体实施例描述了本发明,但是本发明的范 围不限于这些具体实施例。本发明的范围由所附权利要求及其任何等同含义限定。
【权利要求】
1. 一种用于移动终端的对网络资源的访问控制方法,包括: 检测对网络资源的访问请求; 获取所述访问请求的目标网际协议"IP"地址; 通过匹配获取的目标IP地址与网络资源白名单,决定是否允许所述访问请求, 其中,所述网络资源白名单存储可信网络资源的IP地址。
2. 根据权利要求1所述的方法,还包括:维护域名服务器"DNS"服务器白名单,所述 DNS服务器白名单存储可信DNS服务器的信息。
3. 根据权利要求1所述的方法,还包括:维护网络资源白名单。
4. 根据权利要求3所述的方法,还包括;所述维护网络资源白名单进一步包括: 接收要添加的可信网络资源的统一资源定位符"URL"信息; 通过DNS服务器白名单中的可信DNS服务器对所述URL信息进行解析,以获得要添加 的可信网络资源的IP地址;以及 将所述要添加的可信网络资源的IP地址添加到所述网络资源白名单。
5. 根据权利要求1-3中任一项所述的方法,其中获取所述访问请求的目标IP地址包 括: 提取所述访问请求中的目标URL信息;以及 通过DNS服务器白名单中的可信DNS服务器对提取的目标URL信息进行解析,以获得 所述目标IP地址。
6. -种用于移动终端的对网络资源的访问控制装置,包括: 检测模块,配置为:检测对网络资源的访问请求; IP获取模块,配置为:获取访问请求的目标网际协议" IP"地址; 控制模块,配置为:通过匹配获取的目标IP地址与网络资源白名单,决定是否允许所 述访问请求, 其中,所述网络资源白名单存储可信网络资源的IP地址。
7. 根据权利要求6所述的访问控制装置,还包括: 域名服务器"DNS"服务器白名单管理模块,配置为:维护DNS服务器白名单,所述DNS 服务器白名单存储可信DNS服务器的信息。
8. 根据权利要求6所述的访问控制装置,还包括: 网络资源白名单管理模块,配置为:用于维护网络资源白名单。
9. 根据权利要求8所述的访问控制模块,所述网络资源白名单管理模块进一步配置 为: 接收要添加的可信网络资源的统一资源定位符"URL"信息; 通过DNS服务器白名单中的可信DNS服务器对所述URL信息进行解析,以获得要添加 的可信网络资源的IP地址;以及 将所述要添加的可信网络资源的IP地址添加到所述网络资源白名单。
10. 根据权利要求6-8中任一项所述的访问控制装置,还包括: 网络资源DNS解析模块,用于通过DNS服务器白名单中的可信DNS服务器解析出网络 资源的URL信息对应的IP地址。
【文档编号】H04L29/06GK104092698SQ201410347303
【公开日】2014年10月8日 申请日期:2014年7月21日 优先权日:2014年7月21日
【发明者】陈继 申请人:北京网秦天下科技有限公司
【专利摘要】本发明提供了一种基于域名服务器解析及白名单的网络资源访问控制机制。根据本发明实施例的方法可以包括:检测对网络资源的访问请求;获取所述访问请求的目标网际协议“IP”地址;以及,通过匹配获取的目标IP地址与网络资源白名单,决定是否允许所述访问请求,其中,所述网络资源白名单存储可信网络资源的IP地址。根据本发明的方案可以减少由于URL信息不全或更新不及时而造成的漏判情况,消除或者至少降低访问互联网上的不适内容的可能性。
【专利说明】对网络资源的访问控制方法及装置
【技术领域】
[0001] 本发明涉及移动通信领域,更具体地,涉及一种用于移动终端的对网络资源的访 问控制方法和对应的装置。
【背景技术】
[0002] 近些年,移动终端的使用越来越普及。如本文所使用的,术语"移动终端"可以指 代诸如智能手机、无线PDA、膝上型计算机、平板计算机等各种具有无线通信功能的设备。
[0003] 当前,随着移动终端的普及和发展,适龄儿童使用如手机之类的移动终端的现状 也越来越普遍。因为移动终端使用的便捷性和承载内容的丰富性,家长和孩子通过手机获 取教育相关资源和知识程度也越来越高。目前利用移动应用和浏览器通过在线方式获取教 育资源变得越来越普及。
[0004] 针对这种通过在线方法获取教育资源的方式,因为其互联和开放特性,孩子在访 问正常教育资源的时候,无意中或由于孩子的好奇心很可能访问本不应该访问的网站,如 一些不健康的网络。为了防止发生这种情况,目前往往采用网址分类的方式对访问的资 源进行控制。这种现有方式一般情况下可以有效地对用户访问的网络资源进行控制,但 是这种控制往往基于Web内容进行控制,覆盖面存在局限,也会因为出现统一资源定位符 (Uniform Resource Locator,简称URL)信息不全或更新不及时使得漏判情况出现,从而导 致还是可以访问不适内容。
[0005] 因此,需要一种改进的用于移动终端的对网络资源的访问控制机制,其能够消除 或者至少降低访问互联网上的不适内容的可能性。
【发明内容】
[0006] 为了实现上述目的,本发明提出了一种基于域名服务器(domain name server,简 称DNS)解析及白名单的网络资源访问控制机制,其可以减少由于URL信息不全或更新不及 时而造成的漏判情况,消除或者至少降低访问互联网上的不适内容的可能性。
[0007] 根据本发明的一个方面,提供了一种用于移动终端的对网络资源的访问控制方 法。该访问控制方法可以包括:检测对网络资源的访问请求;获取所述访问请求的目标网 际协议(Internet Protocol,简称IP)地址;通过匹配获取的目标IP地址与网络资源白名 单,决定是否允许所述访问请求,其中,所述网络资源白名单存储可信网络资源的IP地址。
[0008] 在本发明的一些实施例中,该访问控制方法还可以包括:维护DNS服务器白名单, 所述DNS服务器白名单存储可信DNS服务器的信息。
[0009] 在本发明的一些实施例中,该访问控制方法还可以包括:维护所述网络资源白名 单。所述网络资源白名单的维护可以包括:添加和/或删除可信网络资源的信息。例如,对 于添加操作,用户可以直接输入要添加的可信网络资源的IP地址。在该情况下,可以直接 将要添加的可信网络资源的IP地址添加到所述网络资源白名单。可选地,用户可以输入要 添加的可信网络资源的URL信息。在该情况下,所述网络资源白名单的添加可以包括:接收 要添加的可信网络资源的URL信息;通过DNS服务器白名单中的可信DNS服务器对所述URL 信息进行解析,以获得要添加的可信网络资源的IP地址;以及将所述要添加的可信网络资 源的IP地址添加到所述网络资源白名单。
[0010] 在本发明的一些实施例中,检测到的访问请求中包含目标IP地址。在这种情况 下,获取所述访问请求的目标IP地址可以是直接从访问请求中获取目标IP地址。在另一些 实施例中,检测到的访问请求中包含的是目标URL信息而不是目标IP地址。在该情况下, 获取所述访问请求的目标IP地址可以包括:提取所述访问请求中的目标URL信息;以及通 过DNS服务器白名单中的可信DNS服务器对提取的目标URL信息进行解析,以获得所述目 标IP地址。
[0011] 根据本发明的另一方面,提供了一种用于移动终端的对网络资源的访问控制装 置。该访问控制装置可以包括:检测模块,用于检测对网络资源的访问请求;IP获取模块, 用于获取访问请求的目标IP地址;控制模块,通过匹配获取的目标IP地址与网络资源白名 单,决定是否允许所述访问请求,其中,所述网络资源白名单存储可信网络资源的IP地址。
[0012] 在本发明的一些实施例中,该访问控制装置还可以包括:DNS服务器白名单管理 模块,其配置用于维护DNS服务器白名单。所述DNS服务器白名单存储可信DNS服务器的 信息。
[0013] 在本发明的一些实施例中,该访问控制装置还可以包括:网络资源白名单管理模 块,其配置用于维护网络资源白名单。所述网络资源白名单的维护可以包括:添加和/或删 除可信网络资源的信息。例如,对于添加操作,用户可以直接输入要添加的可信网络资源的 IP地址。在该情况下,网络资源白名单管理模块可以直接将要添加的可信网络资源的IP地 址添加到所述网络资源白名单。可选地,用户可以输入要添加的可信网络资源的URL信息。 在该情况下,网络资源白名单管理模块可以进一步配置为:接收要添加的可信网络资源的 URL信息;通过DNS服务器白名单中的可信DNS服务器对所述URL信息进行解析,以获得要 添加的可信网络资源的IP地址;以及将所述要添加的可信网络资源的IP地址添加到所述 网络资源白名单。
[0014] 在本发明的一些实施例中,所述访问控制装置还包括:网络资源DNS解析模块,其 配置用于通过DNS服务器白名单中的可信DNS服务器解析出网络资源的URL信息对应的IP 地址。
[0015] 本发明提出的方案可以解决面向移动终端对在线内容访问控制的现有方案的不 足和不完善。根据本发明提出的基于DNS解析及白名单的访问控制方法,通过终端用户主 动进行可信DNS服务器设置、DNS解析功能和网络资源白名单管理及控制功能,可以保证在 孩子通过移动终端的浏览器或移动应用进行网络资源访问的时候,将孩子可以访问的内容 通过整个网络资源白名单限制在有意和合理范围内,从而防止孩子因为无意或有意行为而 访问不应该访问的内容。
【专利附图】
【附图说明】
[0016] 通过下面结合【专利附图】
【附图说明】本发明的优选实施例,将使本发明的上述及其它目的、特 征和优点更加清楚,其中:
[0017] 图1示意性地示出了可以实现根据本发明的实施例的移动终端的示意框图。
[0018] 图2示意性地示出了根据本发明实施例的用于移动终端的对网络资源的访问控 制方法的流程图;
[0019] 图3示意性示出了根据本发明实施例的用于移动终端的对网络资源的访问控制 装置的框图;以及
[0020] 图4示意性地示出了根据本发明实施例的用于移动终端的对网络资源的访问控 制方法的一个具体实现400的流程图。
[0021] 在本发明的所有附图中,相同或相似的结构均以相同或相似的附图标记进行标 识。
【具体实施方式】
[0022] 现在将参考附图来详细描述本发明,附图中示出了本发明的说明性实施例,以使 得本领域技术人员能够实现本发明。应该注意:以下附图和示例不意味着将本发明的范围 限制为单一实施例,相反通过互换和组合不同实施例的一些或全部所述或所示元素形成其 他实施例也是可能的。此外,在可以使用已知组件来部分或完全实现本发明的特定元素的 情况下,将仅描述这些已知组件中为了理解本发明所必需的那部分组件,且将省略对这些 已知组件中其他部分的详细描述,以使得本发明更突出。除非本文中另行指出,否则本领域 技术人员应该理解:尽管本发明的一些实施例描述为用软件实形式现,但是本发明不受限 于此,而是也可以用硬件、软件和硬件的组合来实现,且反之亦然。除非本文中另行明确声 明,否则在本说明书中,不应将示出了单一组件的实施例视为是限制性的,而是本发明意在 包含包括多个相同组件在内的其他实施例,且反之亦然。此外,本发明包含本文中作为示意 所引用的已知组件的当前和将来开发的等价物。
[0023] 图1示意性地示出了可以实现根据本发明的实施例的移动终端100的示意框图。 如图1所示,移动终端可以包括:CPU(中央处理单元)101、RAM(随机存取存储器)102、 ROM(只读存储器)103、系统总线104、SM/RUM105、扬声器106、麦克风107、辅助1/0(输 入/输出)子系统108、数据端口 109、通信子系统110、显示控制器112、显示器113以及其 他子系统114。在这些设备中,CPU101、RAM102、R0M103、SM/RUIM105、扬声器106、麦克风 107、辅助1/0(输入/输出)子系统108、数据端口 109、通信子系统110、显示控制器112以 及其他子系统114通过系统总线104进行耦合。显示器113与显示器控制器112耦合。具 体地,CPU101可以控制移动终端100的总体操作。通信子系统110可以用于连接网络,以 执行各种通信功能,包括数据和语音通信。应当理解,图1所述的结构框图仅仅为了示例的 目的而示出的,而不是对本发明范围的限制。在某些情况下,可以根据具体情况而增加或者 减少某些设备。
[0024] 图2示意性地示出了根据本发明实施例的用于移动终端的对网络资源的访问控 制方法200的流程图。方法200可以由移动终端100上安装的根据本发明实施例的网络资 源访问控制客户端来执行。该客户端可以在移动终端100开启时自动启动,或者可以由用 户主动启动。当客户端运行时,其将持续监控移动终端100上的对网络资源的访问请求。
[0025] 当用户使用移动终端上的移动应用和浏览器发起对远程网络资源的访问请求 (Internet Request,简称IR),客户端将监测到该访问请求,于是开始执行方法200,对该访 问请求进行控制。
[0026] 在步骤S210中,检测移动终端100中发起的对网络资源的访问请求。该访问请求 例如可以是通过浏览器发起的对浏览网页的请求,或者下载云端的视频、音乐或其他资源 的请求,等等。该访问请求通常包含要访问的网络资源对应的目的地址信息,例如URL信息 或者IP地址等。
[0027] 在步骤S220中,获取该访问请求的目标网际协议(IP)地址。在用户直接提供要 访问的网络资源对应的目的IP地址的情况下,可以通过解析该访问请求获取其目标IP地 址。然而,通常情况下,用户在请求访问在线资源时提供的目的地址信息是URL信息,而不 知道或者不关心其IP地址。在该情况下,客户端将首先通过解析访问请求获取目标URL信 息;然后通过DNS服务器解析所获取的目标URL信息,获得其关联的目标IP地址信息。
[0028] 在步骤S230中,通过将步骤S220获取的目标IP地址与网络资源白名单进行匹 配,决定是否允许该访问请求。该网络资源白名单中存储了可信网络资源的IP地址,其可 以以链表或者其他合适的数据结构来实现。网络资源白名单可以存储在移动终端100上的 存储器中,并且在本发明的客户端启动时加载到内存中。如果在步骤S230中发现目标IP地 址存在于内存中的网络资源白名单内,则该次访问请求将被允许。否则,如果该目标IP地 址不存在于内存中的网络资源白名单内,则该次访问请求将直接被禁止,同时相关的信息 可以存储到日志中。此外,如果获取的目标信息是无效信息或者不可识别信息,则拒绝该访 问请求,直接终止该次访问过程。
[0029] 在一些实施例中,方法200还可以包括维护DNS服务器白名单的操作。DNS服务器 白名单存储可信DNS服务器的信息。用户可以主动对该DNS服务器白名单进行添加或者删 除。只有通过DNS服务器白名单中的这些DNS服务器解析的IP地址才是移动终端100 (具 体地,其网络资源访问控制客户端)认可的可信信息。在这些实施例中,步骤S220中可能存 在的对URL信息的DNS服务器解析优选地利用DNS服务器白名单中的DNS服务器来完成。
[0030] 在一些优选实施例中,方法200还可以包括维护网络资源白名单的操作。客户端 可以具有默认的网络资源白名单,并且允许用户主动对网络资源白名单进行更新,例如添 加新的可信网络资源的IP地址和/或删除该网络资源中包含的现有IP地址。下面以添加 新的可信网络资源为例进行详细说明。用户可以直接输入要添加的可信网络资源的IP地 址。在该情况下,客户端可以直接将要用户输入的可信网络资源的IP地址添加到网络资源 白名单中。可选地,用户可以输入要添加的可信网络资源的URL信息。在该情况下,客户端 可以接收用户输入的要添加的可信网络资源的URL信息。然后,通过DNS服务器白名单中 的可信DNS服务器对该URL信息进行解析,以获得要添加的可信网络资源的IP地址。最后 将要添加的可信网络资源的IP地址添加到网络资源白名单中。本发明的实施例通过在网 络资源白名单存储网络资源IP地址而不是网络资源URL信息这种方式,可以避免当访问的 网络资源URL信息发生变化时由于没有相应更新机制及时反应该变化而造成的漏检情况。
[0031] 图3示意性示出了根据本发明实施例的用于移动终端100的对网络资源的访问 控制装置300的框图。如图所示,访问控制装置300可以包括:检测模块310、IP获取模块 320、控制模块330、以及存储单元340。
[0032] 检测模块310可以配置为检测移动终端100中发起的对网络资源的访问请求。
[0033] IP获取模块320可以配置为获取所检测到的访问请求的目标IP地址。
[0034] 控制模块330可以配置为:通过将获取的访问请求的目标IP地址与网络资源白名 单进行匹配,决定是否允许所检测到的访问请求。
[0035] 存储单元340可以存储网络资源白名单。该网络资源白名单存储可信(即允许访 问的)网络资源的IP地址,其可以以链表或者其他合适的数据结构来实现。优选地,存储 单元340还存储DNS服务器白名单。DNS服务器白名单存储可信DNS服务器的信息。只有 通过DNS服务器白名单中的这些DNS服务器解析的IP地址才是可信信息。
[0036] 可选地,存储单元340还可以存储其他数据,例如日志等等。存储单元340可以由 一个或多个存储器来实现,其可以位于单个物理设备上或者分布在不同的物理设备上。可 以用本领域技术人员已知的各种存储技术来实现存储单元。本发明在这点上不受限制。存 储单元340例如可以包括SD卡、磁盘、磁光盘、光盘、或者半导体存储技术等等。
[0037] 在本发明的一些实施例中,该访问控制装置300还可以包括:DNS服务器白名单管 理模块,其配置用于维护DNS服务器白名单。该DNS服务器白名单存储可信DNS服务器的 信息。
[0038] 在本发明的一些实施例中,该访问控制装置300还可以包括:网络资源白名单管 理模块,其配置用于维护网络资源白名单。对网络资源白名单的维护可以包括:添加和/或 删除可信网络资源的信息。例如,对于添加操作,用户可以直接输入要添加的可信网络资源 的IP地址。在该情况下,网络资源白名单管理模块可以直接将要添加的可信网络资源的IP 地址添加到所述网络资源白名单。可选地,用户可以输入要添加的可信网络资源的URL信 息。在该情况下,网络资源白名单管理模块可以进一步配置为:接收要添加的可信网络资源 的URL信息;通过DNS服务器白名单中的可信DNS服务器对所述URL信息进行解析,以获得 要添加的可信网络资源的IP地址;以及将所述要添加的可信网络资源的IP地址添加到所 述网络资源白名单。
[0039] 根据本发明的优选实施例,访问控制装置300还可以包括:网络资源DNS解析模 块,其配置用于通过DNS服务器白名单中的可信DNS服务器解析出网络资源的URL信息对 应的IP地址。
[0040] 根据本发明的优选实施例,IP获取模块320在执行对URL信息的解析时,可以通 过调用网络资源DNS解析模块来执行,也即通过DNS服务器白名单中的DNS服务器执行对 URL信息的解析以获取其关联的IP地址。
[0041] 如前文已经提到的,装置300可以作为客户端或该客户端的组件安装在终端100 上。该客户端可以软件的形式自行安装在移动终端100中,或者可以由终端生产厂商以硬 件或固件的形式安装在终端100中。该客户端可以在终端100开启时自动启动,或者可以 由用户主动启动。当客户端运行时,其可以执行方法200。对装置300的各个模块的操作可 以参见对方法200的描述,在此不再赘述。
[0042] 下文参考图4以本发明应用于使用安卓操作系统的移动电话为例介绍本发明的 一个具体实现示例。但是应该理解本发明并不局限于此。
[0043] 图4示出了根据本发明实施例的一个示例的在安卓移动电话上的对网络资源的 访问控制过程400的示意图。
[0044] 在该实施例中,网络资源访问控制客户端将包括通过Java和Andorid SDK实现的 白名单配置应用(WhiteList Configuration,简称WLC)和通过C++和Android NDK实现的 网络资源访问控制应用(Internet Resource Control,简称IRC)。
[0045] 该WLC可以包括DNS服务器白名单管理模块(DNS Server Whitelist,简称DSWL)、 网络资源DNS解析模块(Internet DNS Resolve,简称IDR)和网络资源白名单管理模块 (DNS WhiteList Management,简称DWC)。该DSWL根据用户提供的DNS服务器信息,生成可 信赖的DNS服务器白名单,S卩,只有通过这些DNS服务器解析的IP地址才是可信信息。IDR 实现对指定的URL进行解析操作,并给出与其关联的IP地址信息。DWC根据IDR解析结果, 提供是否产生网络资源白名单功能,并且对已有的网络资源白名单进行管理。
[0046] IRC依据IDR的配置信息对用户的网络访问行为进行安全监控。
[0047] 过程400开始于移动终端的系统启动后。
[0048] 在步骤S402中,加载IRC模块。
[0049] 在步骤S404中,IRC从指定位置读取DNS服务器白名单和网络资源白名单。如果 DNS服务器白名单存在(步骤S406的"是"分支),则在步骤S408中使用已存在的DNS服务 器白名单的配置信息。如果无法读取DNS服务器白名单的内容(步骤S406的"否"分支), 则在步骤S410中IRC将采用自带的默认DNS服务器白名单的信息。如果网络资源白名单 存在,那么在步骤S414中使用已存在的网络资源白名单的配置信息。如果无法读取网络资 源白名单的内容(步骤S412的"否"分支),则在步骤S416中IRC将采用自带的默认网络 资源白名单的信息。于是,IRC将DSWL和DWC信息读取到内存中,分别以例如单链表方式 进行存放,然后IRC将以服务(Service)形式运行在后台。
[0050] 在IRC启动后,在步骤S418中系统启用WLC应用。
[0051] 在步骤S420中,通过WLC模块的DSWL产生DNS服务器白名单。具体地,允许用户 添力口、更新和删除DNS服务器地址,从而形成DNS服务器白名单。DSWL还在DNS服务器白名 单发生更新后,通知IDR进行更新。
[0052] 在步骤422中,IDR依据DNS服务器白名单,将URL解析成其关联的IP地址。WLC 模块的IDR对需要添加到网络资源白名单的URL信息进行解析以获取对应IP地址。这种 方式可以避免当访问的网络资源URL信息发生变化时,在没有相应更新机制跟上时发生的 漏检情况。其从网络资源的源IP进行控制,该IP地址用作后续网络资源白名单的添加依 据。IDR首先需要DNS服务器白名单的信息,通过DNS服务器白名单中的DNS服务器对URL 进行解析。
[0053] 上述URL信息到对应IP地址的解析,可以依据URL信息和IP地址的对应关系来 执行。这种对应关系信息可以在Sqlite数据中在指定表中存储,并以URL为关键字进行索 弓丨。在应用启动时,读取该表中存放的所有信息,并通过平衡二叉树算法,在内存中形成便 于查找的以URL信息为关键信息的平衡二叉树结构(U_IP_TREE),其中,每个结点信息格式 可以为NODE = <URL、IP>。IDR以获取到的URL信息作为关键信息,在U_IP_TREE中查找是 否有匹配结点存在。如果存在,将该结点(NODE)的对应信息取出,获得其中IP信息,完成 解析过程。
[0054] 在步骤S424中,由DWC依据通过IDR获取或产生的IP地址,提供网络资源白名单 的记录生成机制,将需要加入的IP地址作为新记录加入网络资源白名单。其中,只有在网 络资源白名单的范围内的IP地址,移动终端的用户才可以进行正常访问。
[0055] 在步骤426中,IRC在后台监听所有对远端网络资源的访问请求(IR)。一旦发现 存在网络资源访问请求,IRC将接管此次IR。
[0056] 如果在步骤S428中检测到IR,则前进到步骤S430。在步骤S430中,IRC解析IR 的访问目标信息。如果在步骤S428中没有检测到IR,则返回步骤S426继续监听对网络资 源的访问请求。
[0057] 如果步骤S430中解析出的IR访问目标信息是IP地址(步骤S432的"是"分支), 则前进到步骤S434。在步骤S434中,IRC将该IP地址直接与内存中存放的网络资源白名 单的信息进行比较。如果该IP地址存在于网络资源白名单的链表中(步骤S434的"是"分 支),则前进到步骤S442允许该次访问请求,并且在步骤S446中将相关信息存在日志中,如 /sdcard/dwc. log。如果该IP地址不存在于网络资源白名单的链表中(步骤S434的"否" 分支),则前进到步骤S444。于是,在步骤S444中禁止此次访问过程,并且在步骤S446中 将相关信息存在日志中,如,/sdcard/dwc. log。
[0058] 如果步骤S430中解析出的IR访问目标信息不是IP地址(步骤S432的"否"分 支),则前进到步骤S436。在步骤S430中判断获取的目标信息是否是URL地址。如果步骤 S436的判断结果为"是",则前进到步骤S438。在步骤S438中,IRC将向WLC调用IDR功 能,以将该URL信息解析成为IP地址信息。IDR将依据DNS服务器白名单限定的DNS服务 器的信息,将URL地址解析成相应的IP地址信息,以返回给IRC。然后,在步骤S440中,IRC 将该IP地址信息与内存中存放的网络资源白名单的信息进行比较。如果存在于网络资源 白名单的链表中(步骤S440的"是"分支),则前进到步骤S442,允许此次访问,并且在步 骤S446中将相关信息存在日志中,如/sdcard/dwc. log。如果不存在于DWC链表中(步骤 S440的"否"分支),则前进到步骤S444,禁止此次访问,并在步骤S446中将相关信息存在 日志文件中,如/sdcard/dwc. log。
[0059] 如果步骤S436的判断结果为"否",也即步骤S430中获取的目标信息为无效或不 可识别信息,则直接前进到步骤S444,禁止此次访问过程,并在步骤S446中将相关信息存 在日志文件中,如/sdcard/dwc. log。
[0060] 在步骤S446之后,过程400可以返回步骤S426, IRC将继续监听对网络资源的访 问请求。
[0061] 上面已经参考附图4介绍了在安卓移动电话上的对网络资源的访问控制过程 400。在该示例中,IRC可以由上述访问控制装置300的检测模块310、IP获取模块320以 及控制模块330来实现。WLC的DSWL功能、IDR功能和DWC功能可以分别由上述访问控制 装置300的网络资源白名单管理模块、网络资源DNS解析模块和DNS服务器白名单管理模 块来实现。在此不再赘述。
[0062] 应该理解,过程400示出了在移动终端上对网络资源的访问请求的检测和后续的 安全性措施的众多细节,但是可以在没有这些细节的情况下实现本发明实施例。
[0063] 上文已经结合优选实施例对本发明进行了描述。本领域技术人员可以理解,上面 示出的方法和装置仅是示例性的。本发明的方法并不局限于上面示出的步骤和顺序。本发 明的装置可以包括比示出的部件更多或更少的部件。本领域技术人员根据所示实施例的教 导可以进行许多变化和修改。
[0064] 本发明的装置及其部件可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、 晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的 硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和 软件的结合实现。
[0065] 本发明可以实现诸多优点。本发明提供的方案基于DNS解析及白名单来进行对网 络资源的访问控制,可以保证用户在通过移动终端的浏览器或移动应用进行网络资源访问 的时候,将其可以访问的内容限制在有意和合理范围内,从而防止因为无意或有意行为而 访问不应访问的内容,以解决现有面向移动终端对在线内容访问控制的不足和不完善。 [〇〇66] 本领域技术人员应该理解,尽管通过具体实施例描述了本发明,但是本发明的范 围不限于这些具体实施例。本发明的范围由所附权利要求及其任何等同含义限定。
【权利要求】
1. 一种用于移动终端的对网络资源的访问控制方法,包括: 检测对网络资源的访问请求; 获取所述访问请求的目标网际协议"IP"地址; 通过匹配获取的目标IP地址与网络资源白名单,决定是否允许所述访问请求, 其中,所述网络资源白名单存储可信网络资源的IP地址。
2. 根据权利要求1所述的方法,还包括:维护域名服务器"DNS"服务器白名单,所述 DNS服务器白名单存储可信DNS服务器的信息。
3. 根据权利要求1所述的方法,还包括:维护网络资源白名单。
4. 根据权利要求3所述的方法,还包括;所述维护网络资源白名单进一步包括: 接收要添加的可信网络资源的统一资源定位符"URL"信息; 通过DNS服务器白名单中的可信DNS服务器对所述URL信息进行解析,以获得要添加 的可信网络资源的IP地址;以及 将所述要添加的可信网络资源的IP地址添加到所述网络资源白名单。
5. 根据权利要求1-3中任一项所述的方法,其中获取所述访问请求的目标IP地址包 括: 提取所述访问请求中的目标URL信息;以及 通过DNS服务器白名单中的可信DNS服务器对提取的目标URL信息进行解析,以获得 所述目标IP地址。
6. -种用于移动终端的对网络资源的访问控制装置,包括: 检测模块,配置为:检测对网络资源的访问请求; IP获取模块,配置为:获取访问请求的目标网际协议" IP"地址; 控制模块,配置为:通过匹配获取的目标IP地址与网络资源白名单,决定是否允许所 述访问请求, 其中,所述网络资源白名单存储可信网络资源的IP地址。
7. 根据权利要求6所述的访问控制装置,还包括: 域名服务器"DNS"服务器白名单管理模块,配置为:维护DNS服务器白名单,所述DNS 服务器白名单存储可信DNS服务器的信息。
8. 根据权利要求6所述的访问控制装置,还包括: 网络资源白名单管理模块,配置为:用于维护网络资源白名单。
9. 根据权利要求8所述的访问控制模块,所述网络资源白名单管理模块进一步配置 为: 接收要添加的可信网络资源的统一资源定位符"URL"信息; 通过DNS服务器白名单中的可信DNS服务器对所述URL信息进行解析,以获得要添加 的可信网络资源的IP地址;以及 将所述要添加的可信网络资源的IP地址添加到所述网络资源白名单。
10. 根据权利要求6-8中任一项所述的访问控制装置,还包括: 网络资源DNS解析模块,用于通过DNS服务器白名单中的可信DNS服务器解析出网络 资源的URL信息对应的IP地址。
【文档编号】H04L29/06GK104092698SQ201410347303
【公开日】2014年10月8日 申请日期:2014年7月21日 优先权日:2014年7月21日
【发明者】陈继 申请人:北京网秦天下科技有限公司
相关技术
网友询问留言
已有0条留言
- 还没有人留言评论。精彩留言会获得点赞!
1