CN111147625B - 获取本机外网ip地址的方法、装置及存储介质 - Google Patents

获取本机外网ip地址的方法、装置及存储介质 Download PDF

Info

Publication number
CN111147625B
CN111147625B CN201911422053.1A CN201911422053A CN111147625B CN 111147625 B CN111147625 B CN 111147625B CN 201911422053 A CN201911422053 A CN 201911422053A CN 111147625 B CN111147625 B CN 111147625B
Authority
CN
China
Prior art keywords
external network
address
website
inquiry
extranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911422053.1A
Other languages
English (en)
Other versions
CN111147625A (zh
Inventor
刘成伟
魏勇
张泽洲
简明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN201911422053.1A priority Critical patent/CN111147625B/zh
Publication of CN111147625A publication Critical patent/CN111147625A/zh
Application granted granted Critical
Publication of CN111147625B publication Critical patent/CN111147625B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4552Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种获取本机外网IP地址的方法、装置及存储介质,所述方法包括:获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站;分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求;接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果;对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址;本发明能够获取到安全、可靠的本机外网IP地址。

Description

获取本机外网IP地址的方法、装置及存储介质
技术领域
本发明涉及网络安全技术领域,特别涉及一种获取本机外网IP地址的方法、装置及存储介质。
背景技术
在SDP(Software Defined Perimeter,软件定义边界)框架中,当连接发起主机在进行SPA(Single Packet Authorization,单包授权)时需要先获取本机的外网IP地址,然后将外网IP地址与授权数据发送给连接接受主机;连接发起主机在查询本机的外网IP地址时通用的方法是向某一个互联网上的外网IP查询网站发起查询请求,并在响应消息中获取本机的外网IP地址;但是,在这一流程中会存在以下两个问题:1)互联网上的外网IP查询网站一般是通过域名进行访问的,连接发起主机需要对网站域名进行解析,因此会存在DNS劫持的风险,如果发生DNS劫持,连接发起主机解析到的IP地址可能就是恶意网站的IP地址;2)外网IP查询网站也会存在被劫持的风险,从而向连接发起主机返回假冒的外网IP地址;因此,如何避免上述问题成为本领域技术人员亟需解决的技术问题。
发明内容
本发明的目的在于提供一种获取本机外网IP地址的方法、装置及存储介质,能够获取到安全、可靠的本机外网IP地址。
根据本发明的一个方面,提供了一种获取本机外网IP地址的方法,所述方法包括:
获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站;
分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求;
接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果;
对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址。
可选的,所述获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址的步骤,具体包括:
获取域名解析服务列表,并分别向所述域名解析服务列表中包含的各个域名解析服务发送网站IP查询请求;其中,所述网站IP查询请求包括:所述查询网站列表中的各个外网IP查询网站的域名,所述域名解析服务用于解析网站域名;
接收由所述各个域名解析服务反馈的网站IP查询结果;其中,所述网站IP查询结果包括:所述各个外网IP查询网站的IP地址;
针对一个目标外网IP查询网站,根据所有网站IP查询结果,统计出与所述目标外网IP查询网站对应的各种IP地址的出现频率,根据统计出的出现频率,按照从大到小的顺序对与所述目标外网IP查询网站对应的各种IP地址进行排序,并将排序后的IP地址存储到与所述目标外网IP查询网站对应的网站地址列表中。
可选的,所述分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求的步骤,具体包括:
分别从每个外网IP查询网站的网站地址列表中获取排在第一位的IP地址,并根据获取到的各个IP地址分别向对应的外网IP查询网站发送外网IP查询请求。
可选的,所述对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址的步骤,具体包括:
统计所有外网IP查询结果中不同本机外网IP地址的出现频率;
将出现频率最大的本机外网IP地址作为所述最优的本机外网IP地址。
可选的,所述外网IP查询结果还包括:归属地信息和运营商信息;
所述对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址的步骤具体包括:
针对一种目标本机外网IP地址,统计出所述目标本机外网IP地址在所有外网IP查询结果中的出现频率、以及确定出包含所述目标本机外网IP地址的外网IP查询结果中的归属地信息和运营商信息,并根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值;
根据每种本机外网IP地址的优先值,按照从大到小的顺序对所有本机外网IP地址进行排序,并将排序后的本机外网IP地址存储到IP地址列表中;
将所述IP地址列表中排在第一位的外网IP地址确定为所述最优的本机外网IP地址。
可选的,所述根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值的步骤,具体包括:
按照如下公式计算出目标本机外网IP地址的优先值:
IPpriority=IPcount*X+IPlocation1*Y1+IPlocation2*Y2+…+IPlocationN*YN+ISP1*Z1+ISP2*Z2+…+ISPN*ZN
其中,IPcount为目标本机外网IP地址的出现频率;
X为出现频率的权重值;
IPlocation为各种归属地信息;
Y为对应归属地信息的权重值;
ISP为各种运营商信息;
Z为对应运营商的权重值。
为了实现上述目的,本发明还提供一种基于SDP框架获取本机外网IP地址的方法,其中,在SDP框架中包括:连接发起主机、控制器和连接接受主机,所述方法应用于SDP框架中的连接发起主机,包括:
向控制器发送身份验证请求,以供所述控制器对所述连接发起主机进行身份验证;
当接收到所述控制器发送的验证通过消息时,按照上述介绍的方法获取到最优的本机外网IP地址;其中,所述验证通过消息包括:安全策略信息和可访问的连接接受主机地址信息。
可选的,在所述获取到最优的本机外网IP地址的步骤之后,所述方法还包括:
根据所述安全策略信息生成授权数据;
将所述授权数据和所述最优的本机外网IP地址添加到SPA授权包中;
根据所述连接接受主机地址信息将所述SPA授权包发送至对应的连接接受主机,以供所述连接接受主机根据所述授权数据进行授权判断,并在授权通过的情况下根据所述最优的本机外网IP地址建立与所述连接发起主机之间的业务链接。
为了实现上述目的,本发明还提供一种获取本机外网IP地址的装置,所述装置包括:
获取模块,用于获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站;
发送模块,用于分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求;
接收模块,用于接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果;
确定模块,用于对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址。
为了实现上述目的,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述介绍的获取本机外网IP地址的方法的步骤。
本发明提供的获取本机外网IP地址的方法、装置及存储介质,通过多个外网IP查询网站获取本地外网IP地址,并对获取到的多个本地外网IP地址进行择优筛选,以将最优的本地外网IP地址用于SPA单包授权;由于在本发明中综合考虑多个外网IP查询网站的查询结果以确定出最优的本地外网IP地址,能够避免因外网IP查询网站被劫持而导致的获得到假的外网IP地址的可能性;因此,本发明能够获取到安全、可靠的本机外网IP地址。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为实施例一提供的获取本机外网IP地址的方法的一种可选的流程示意图;
图2为实施例二提供的SDP框架的组成结构示意图;
图3为实施例二提供的基于SDP框架获取本机外网IP地址的方法的一种可选的流程示意图;
图4为实施例三提供的获取本机外网IP地址的装置的一种可选的组成结构示意图;
图5为实施例四提供的计算机设备的一种可选的硬件架构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明提供的获取本机外网IP地址的方法、装置及存储介质进行说明。
实施例一
本发明实施例提供了一种获取本机外网IP地址的方法,图1为本发明实施例一提供的获取本机外网IP地址的方法的一种可选的流程示意图,如图1所示,该方法具体包括以下步骤:
步骤S101:获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站。
作为第一种可选的实施方式,所述获取所述查询网站列表中包含的外网IP查询网站的IP地址的步骤,具体包括:
步骤A1:向域名解析服务发送网站IP查询请求;其中,所述网站IP查询请求包括:所述查询网站列表中的各个外网IP查询网站的域名;
步骤A2:接收由所述域名解析服务反馈的网站IP查询结果;其中,所述网站IP查询结果包括:所述各个外网IP查询网站的IP地址;
步骤A3:将所有外网IP查询网站的IP地址存储到网站地址列表中。
作为第二种可选的实施方式,所述获取所述查询网站列表中包含的外网IP查询网站的IP地址的步骤,具体包括:
步骤B1:获取域名解析服务列表,并分别向所述域名解析服务列表中包含的各个域名解析服务发送网站IP查询请求;其中,所述网站IP查询请求包括:所述查询网站列表中的各个外网IP查询网站的域名,所述域名解析服务用于解析网站域名;
步骤B2:接收由所述各个域名解析服务反馈的网站IP查询结果;其中,所述网站IP查询结果包括:所述各个外网IP查询网站的IP地址;
步骤B3:针对一个目标外网IP查询网站,根据所有网站IP查询结果,统计出与所述目标外网IP查询网站对应的各种IP地址的出现频率,根据统计出的出现频率,按照从大到小的顺序对与所述目标外网IP查询网站对应的各种IP地址进行排序,并将排序后的IP地址存储到与所述目标外网IP查询网站对应的网站地址列表中。
需要说明的是,当域名解析服务被劫持时,域名解析服务反馈的IP地址并不是目标外网IP查询网站的真实IP地址,所以会出现通过不同的域名解析服务解析出不同的IP地址的情况。
优选的,所述域名解析服务为基于http(HyperText Transfer Protocol,超文本传输协议)的httpDNS(Domain Name System,域名***)服务。
需要说明的是,在使用传统的基于UDP(User Datagram Protocol,用户数据报协议)向运营商LocalDNS服务发起域名解析请求时,会出现解析异常、域名劫持的问题;在本实施例中使用httpDNS服务,可以将域名解析请求直接发送至httpDNS服务,从而绕过运营商的LocalDNS服务,能够避免LocalDNS服务造成的域名解析问题。此外,在本实施例中也可以同时使用httpDNS服务和LocalDNS服务以对获取到的IP地址进行对比或在httpDNS服务不可用时提供降级服务。
步骤S102:分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求。
针对上述第一种可选的实时方式,所述步骤S102,包括:
从所述网站地址列表中获取各个外网IP查询网站的IP地址,并根据获取到的IP地址,分别向所述各个外网IP查询网站发送外网IP查询请求。
针对上述第二种可选的实时方式,所述步骤S102,包括:
分别从每个外网IP查询网站的网站地址列表中获取排在第一位的IP地址,并根据获取到的各个IP地址分别向对应的外网IP查询网站发送外网IP查询请求。
步骤S103:接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果。
步骤S104:对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址。
作为第一种可选的实施方式,所述对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址的步骤,包括:
步骤C1:统计所有外网IP查询结果中不同本机外网IP地址的出现频率;
步骤C2:将出现频率最大的本机外网IP地址作为所述最优的本机外网IP地址。
需要说明的是,外网IP查询网站也会存在被劫持的情况,即外网IP查询网站反馈假的本机外网IP地址,因此通过不同的外网IP查询结果会获取到各种不同的本机外网IP地址。
作为第二种可选的实施方式,当所述外网IP查询结果还包括:归属地信息和运营商信息时,所述对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址的步骤,包括:
步骤D1:针对一种目标本机外网IP地址,统计出所述目标本机外网IP地址在所有外网IP查询结果中的出现频率、以及确定出包含所述目标本机外网IP地址的外网IP查询结果中的归属地信息和运营商信息,并根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值;
步骤D2:根据每种本机外网IP地址的优先值,按照从大到小的顺序对所有本机外网IP地址进行排序,并将排序后的本机外网IP地址存储到IP地址列表中;
步骤D3:将所述IP地址列表中排在第一位的外网IP地址确定为所述最优的本机外网IP地址。
具体的,所述根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值的步骤,具体包括:
按照如下公式计算出目标本机外网IP地址的优先值:
IPpriority=IPcount*X+IPlocation1*Y1+IPlocation2*Y2+…+IPlocationN*YN+ISP1*Z1+ISP2*Z2+…+ISPN*ZN
其中,IPcount为目标本机外网IP地址的出现频率;
X为出现频率的权重值;
IP1ocation为各种归属地信息;
Y为对应归属地信息的权重值;
ISP为各种运营商信息;
Z为对应运营商的权重值。
在本实施例中使用httpDNS进行域名解析,以防止DNS劫持的情况发生;此外,在本实施例中分别向多个外网IP查询网站发生外网IP查询请求,并根据外网IP查询结果,将最可靠、最可信的外网IP地址确定为本机外网IP地址,从而避免了因外网IP查询网站被攻击而获取到假冒的公网IP地址。
实施例二
本发明实施例提供了一种基于SDP框架获取本机外网IP地址的方法,所述方法应用于如图2所示的SDP框架中的连接发起主机,其中,在SDP框架中包括:连接发起主机、SDP控制器和连接接受主机,其中,SDP控制器用于对连接发起主机和连接接受主机进行安全性的身份验证,连接发起主机在通过SDP控制器的身份验证之后访问连接接受主机;图3为本发明实施例一提供的基于SDP框架获取本机外网IP地址的方法的一种可选的流程示意图,如图3所示,该方法具体包括以下步骤:
步骤S301:当需要进行SPA单包授权时,判断在IP地址列表中是否存储有本机外网IP地址;
若是,则将所述IP地址列表中位于第一位的本机外网IP地址确定为最优的本机外网IP地址;若否,则执行步骤S302。
步骤S302:获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站。
具体的,所述获取所述查询网站列表中包含的外网IP查询网站的IP地址的步骤,具体包括:
步骤A1:获取域名解析服务列表,并分别向所述域名解析服务列表中包含的各个域名解析服务发送网站IP查询请求;其中,所述网站IP查询请求包括:所述查询网站列表中的各个外网IP查询网站的域名,所述域名解析服务用于解析网站域名;
步骤A2:接收由所述各个域名解析服务反馈的网站IP查询结果;其中,所述网站IP查询结果包括:所述各个外网IP查询网站的IP地址;
步骤A3:针对一个目标外网IP查询网站,根据所有网站IP查询结果,统计出与所述目标外网IP查询网站对应的各种IP地址的出现频率,根据统计出的出现频率,按照从大到小的顺序对与所述目标外网IP查询网站对应的各种IP地址进行排序,并将排序后的IP地址存储到与所述目标外网IP查询网站对应的网站地址列表中。
优选的,所述域名解析服务列表中的域名解析服务为httpDNS服务和/或LocalDNS服务。
步骤S303:分别从每个外网IP查询网站的网站地址列表中获取排在第一位的IP地址,并根据获取到的各个IP地址分别向对应的外网IP查询网站发送外网IP查询请求。
步骤S304:接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果。
具体的,所述外网IP查询结果包括:外网IP地址、归属地信息和运营商信息。
步骤S305:对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址。
具体的,所述对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址的步骤,包括:
步骤B1:针对一种目标本机外网IP地址,统计出所述目标本机外网IP地址在所有外网IP查询结果中的出现频率、以及确定出包含所述目标本机外网IP地址的外网IP查询结果中的归属地信息和运营商信息,并根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值;
步骤B2:根据每种本机外网IP地址的优先值,按照从大到小的顺序对所有本机外网IP地址进行排序,并将排序后的本机外网IP地址存储到IP地址列表中;
步骤B3:将所述IP地址列表中排在第一位的外网IP地址确定为所述最优的本机外网IP地址。
更进一步的,所述根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值的步骤,具体包括:
按照如下公式计算出目标外网IP地址的优先值:
IPpriority=IPcount*X+IPlocation1*Y1+IPlocation2*Y2+…+IPlocationN*YN+ISP1*Z1+ISP2*Z2+…+ISPN*ZN
其中,IPcount为目标外网IP地址的出现频率;
X为出现频率的权重值;
IPcount为各种归属地信息;例如,上海、北京、广州、深圳;
Y为对应归属地信息的权重值;例如,上海的权重值为0.7,北京、广州、深圳的权重值均为0.1;
ISP为各种运营商信息;例如:***、***、中国电信;
Z为对应运营商的权重值;例如:***的权重值为0.7、***的权重值为0.2、中国电信的权重值为0.1。
步骤S306:将所述最优的本机外网IP地址添加到SPA数据包中,并将所述SPA数据包发送至对应的连接接受主机。
在本实施例中使用多个httpDNS进行域名解析,以防止DNS劫持的情况发生;此外,在本实施例中分别向多个外网IP查询网站发生外网IP查询请求,并根据外网IP查询结果,将最可靠、最可信的外网IP地址确定为本机外网IP地址,从而避免了因外网IP查询网站被攻击而获取到假冒的公网IP地址。
此外,所述方法还包括:
按照设定时间间隔定期删除所述IP地址列表,并重新执行步骤S303至步骤S305以确定出最优的本机外网IP地址;或者,
当检测到所述连接发起主机的归属地信息和/或运营商信息发送变化时,重新执行步骤S303至步骤S305以确定出最优的本机外网IP地址。
在本实施例中,当发现连接发起主机的环境信息处于危险状态时,重新确定出连接发起主机的本机外网IP地址,从而保证SDP框架的安全性、可靠性。
此外,在步骤S301之前,所述方法还包括:
步骤C1:向SDP控制器发送身份验证请求,以供所述SDP控制器对所述连接发起主机进行身份验证;
在SDP框架中,SDP控制器用于对连接发起主机和连接接受主机进行安全性的身份验证;当连接发起主机需要访问连接接受主机时,连接发起主机需要先向SDP控制器进行身份认证,并由SDP控制器确定出连接发起主机可以访问的连接接受主机;
步骤C2:当接收到所述SDP控制器发送的验证通过消息时,获取最优的本机外网IP地址;其中,所述验证通过消息包括:安全策略信息和可访问的连接接受主机地址信息。
其中,按照上述步骤S302至步骤S304的方法获取最优的本机外网IP地址;所述安全策略包括:用于生成授权数据的密钥和加密算法。
在步骤S304之后,所述方法还包括:
步骤D1:根据所述安全策略信息生成授权数据;
步骤D2:将所述授权数据和所述最优的本机外网IP地址添加到SPA数据包中;
步骤D3:根据所述连接接受主机地址信息将所述SPA数据包发送至对应的连接接受主机,以供所述连接接受主机根据所述授权数据进行授权判断,并在授权通过的情况下根据所述最优的本机外网IP地址建立与所述连接发起主机之间的业务链接。
还需要说明的是,当SDP控制器通过对连接发起主机的身份验证之后,SDP控制器通知连接接受主机接受来自连接发起主机的SPA单包授权以及所述安全策略信息;连接接受主机在接收到SPA数据包时,根据所述安全策略信息进行授权判断,并在授权通过的情况下建立与连接发起主机的链接。此外,在本实施例中,在授权通过的情况下,连接接受主机会对所述本机外网IP地址开放一个有限时长的连接时间窗口,在此连接时间窗口有效期内,连接接受主机可以接收所述外网IP地址的连接请求。
实施例三
本发明实施例提供了一种获取本机外网IP地址的装置,图4为本发明实施例三提供的获取本机外网IP地址的装置的一种可选的组成结构示意图,如图4所示,该装置具体包括以下组成部分:
获取模块401,用于获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站;
发送模块402,用于分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求;
接收模块403,用于接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果;
确定模块404,用于对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址。
具体的,域名解析服务为httpDNS服务。
进一步的,所述获取模块401,具体用于:
获取域名解析服务列表,并分别向所述域名解析服务列表中包含的各个域名解析服务发送网站IP查询请求;其中,所述网站IP查询请求包括:所述查询网站列表中的各个外网IP查询网站的域名,所述域名解析服务用于解析网站域名;
接收由所述各个域名解析服务反馈的网站IP查询结果;其中,所述网站IP查询结果包括:所述各个外网IP查询网站的IP地址;
针对一个目标外网IP查询网站,根据所有网站IP查询结果,统计出与所述目标外网IP查询网站对应的各种IP地址的出现频率,根据统计出的出现频率,按照从大到小的顺序对与所述目标外网IP查询网站对应的各种IP地址进行排序,并将排序后的IP地址存储到与所述目标外网IP查询网站对应的网站地址列表中。
进一步的,所述发送模块402,具体用于:
分别从每个外网IP查询网站的网站地址列表中获取排在第一位的IP地址,并根据获取到的各个IP地址分别向对应的外网IP查询网站发送外网IP查询请求。
进一步的,所述确定模块404,具体用于:
统计所有外网IP查询结果中不同本机外网IP地址的出现频率;
将出现频率最大的本机外网IP地址作为所述最优的本机外网IP地址。
进一步的,当所述外网IP查询结果还包括:归属地信息和运营商信息时,所述确定模块404,还具体用于:
针对一种目标本机外网IP地址,统计出所述目标本机外网IP地址在所有外网IP查询结果中的出现频率、以及确定出包含所述目标本机外网IP地址的外网IP查询结果中的归属地信息和运营商信息,并根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值;
根据每种本机外网IP地址的优先值,按照从大到小的顺序对所有本机外网IP地址进行排序,并将排序后的本机外网IP地址存储到IP地址列表中;
将所述IP地址列表中排在第一位的外网IP地址确定为所述最优的本机外网IP地址。
进一步的,所述装置还包括:
验证模块,用于向SDP控制器发送身份验证请求,以供所述SDP控制器对所述连接发起主机进行身份验证;当接收到所述SDP控制器发送的验证通过消息时,获取本机外网IP地址;其中,所述验证通过消息包括:安全策略信息和可访问的连接接受主机地址信息。
更进一步的,所述装置还包括:
授权模块,用于根据所述安全策略信息生成授权数据;将所述授权数据和所述本机外网IP地址添加到SPA数据包中;根据所述连接接受主机地址信息将所述SPA数据包发送至对应的连接接受主机,以供所述连接接受主机根据所述授权数据进行授权判断,并在授权通过的情况下根据所述本机外网IP地址建立与所述连接发起主机之间的业务链接。
实施例四
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图5所示,本实施例的计算机设备50至少包括但不限于:可通过***总线相互通信连接的存储器501、处理器502。需要指出的是,图5仅示出了具有组件501-502的计算机设备50,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器501(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器501可以是计算机设备50的内部存储单元,例如该计算机设备50的硬盘或内存。在另一些实施例中,存储器501也可以是计算机设备50的外部存储设备,例如该计算机设备50上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器501还可以既包括计算机设备50的内部存储单元也包括其外部存储设备。在本实施例中,存储器501通常用于存储安装于计算机设备50的操作***和各类应用软件。此外,存储器501还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器502在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器502通常用于控制计算机设备50的总体操作。
具体的,在本实施例中,处理器502用于执行处理器502中存储的获取本机外网IP地址的方法的程序,所述获取本机外网IP地址的方法的程序被执行时实现如下步骤:
获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站;
分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求;
接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果;
对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址。
上述方法步骤的具体实施例过程可参见第一实施例和第二实施例,本实施例在此不再重复赘述。
实施例五
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,所述计算机程序被处理器执行时实现如下方法步骤:
获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站;
分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求;
接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果;
对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址。
上述方法步骤的具体实施例过程可参见第一实施例和第二实施例,本实施例在此不再重复赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种获取本机外网IP地址的方法,其特征在于,所述方法包括:
获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站;
分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求;
接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果;
对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址;
其中,所述对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址的步骤,具体包括:
统计所有外网IP查询结果中不同本机外网IP地址的出现频率;
将出现频率最大的本机外网IP地址作为所述最优的本机外网IP地址。
2.根据权利要求1所述的获取本机外网IP地址的方法,其特征在于,所述获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址的步骤,具体包括:
获取域名解析服务列表,并分别向所述域名解析服务列表中包含的各个域名解析服务发送网站IP查询请求;其中,所述网站IP查询请求包括:所述查询网站列表中的各个外网IP查询网站的域名,所述域名解析服务用于解析网站域名;
接收由所述各个域名解析服务反馈的网站IP查询结果;其中,所述网站IP查询结果包括:所述各个外网IP查询网站的IP地址;
针对一个目标外网IP查询网站,根据所有网站IP查询结果,统计出与所述目标外网IP查询网站对应的各种IP地址的出现频率,根据统计出的出现频率,按照从大到小的顺序对与所述目标外网IP查询网站对应的各种IP地址进行排序,并将排序后的IP地址存储到与所述目标外网IP查询网站对应的网站地址列表中。
3.根据权利要求2所述的获取本机外网IP地址的方法,其特征在于,所述分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求的步骤,具体包括:
分别从每个外网IP查询网站的网站地址列表中获取排在第一位的IP地址,并根据获取到的各个IP地址分别向对应的外网IP查询网站发送外网IP查询请求。
4.根据权利要求1所述的获取本机外网IP地址的方法,其特征在于,所述外网IP查询结果还包括:归属地信息和运营商信息;
所述对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址的步骤具体包括:
针对一种目标本机外网IP地址,统计出所述目标本机外网IP地址在所有外网IP查询结果中的出现频率、以及确定出包含所述目标本机外网IP地址的外网IP查询结果中的归属地信息和运营商信息,并根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值;
根据每种本机外网IP地址的优先值,按照从大到小的顺序对所有本机外网IP地址进行排序,并将排序后的本机外网IP地址存储到IP地址列表中;
将所述IP地址列表中排在第一位的外网IP地址确定为所述最优的本机外网IP地址。
5.根据权利要求4所述的获取本机外网IP地址的方法,其特征在于,所述根据统计出的出现频率、以及确定出的所有归属地信息和运营商信息,计算出所述目标本机外网IP地址的优先值的步骤,具体包括:
按照如下公式计算出目标本机外网IP地址的优先值:
IPpriority=IPcount*X+IPlocation1*Y1+IPlocation2*Y2+…+IPlocationN*YN+ISP1*Z1+ISP2*Z2+…+ISPN*ZN
其中,IPcount为目标本机外网IP地址的出现频率;
X为出现频率的权重值;
IPlocation为各种归属地信息;
Y为对应归属地信息的权重值;
ISP为各种运营商信息;
Z为对应运营商的权重值。
6.一种基于SDP框架获取本机外网IP地址的方法,其特征在于,在SDP框架中包括:连接发起主机、控制器和连接接受主机,所述方法应用于SDP框架中的连接发起主机,包括:
向控制器发送身份验证请求,以供所述控制器对所述连接发起主机进行身份验证;
当接收到所述控制器发送的验证通过消息时,按照权利要求1至5中任一项所述的方法获取到最优的本机外网IP地址;其中,所述验证通过消息包括:安全策略信息和可访问的连接接受主机地址信息。
7.根据权利要求6所述的基于SDP框架获取本机外网IP地址的方法,其特征在于,在所述获取到最优的本机外网IP地址的步骤之后,所述方法还包括:
根据所述安全策略信息生成授权数据;
将所述授权数据和所述最优的本机外网IP地址添加到SPA授权包中;
根据所述连接接受主机地址信息将所述SPA授权包发送至对应的连接接受主机,以供所述连接接受主机根据所述授权数据进行授权判断,并在授权通过的情况下根据所述最优的本机外网IP地址建立与所述连接发起主机之间的业务链接。
8.一种获取本机外网IP地址的装置,其特征在于,所述装置包括:
获取模块,用于获取查询网站列表,并获取所述查询网站列表中包含的外网IP查询网站的IP地址;其中,所述查询网站列表中包含多个用于查询本机外网IP地址的外网IP查询网站;
发送模块,用于分别向获取的所述外网IP查询网站的IP地址发送外网IP查询请求;
接收模块,用于接收由所述外网IP查询网站反馈的包含本机外网IP地址的外网IP查询结果;其中,所述查询网站列表中包含的每个外网IP查询网站反馈其对应提供的外网IP查询结果;
确定模块,用于对接收的外网IP查询结果进行筛选,以确定出最优的本机外网IP地址;
其中,所述确定模块,具体用于:
统计所有外网IP查询结果中不同本机外网IP地址的出现频率;
将出现频率最大的本机外网IP地址作为所述最优的本机外网IP地址。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述方法的步骤。
CN201911422053.1A 2019-12-31 2019-12-31 获取本机外网ip地址的方法、装置及存储介质 Active CN111147625B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911422053.1A CN111147625B (zh) 2019-12-31 2019-12-31 获取本机外网ip地址的方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911422053.1A CN111147625B (zh) 2019-12-31 2019-12-31 获取本机外网ip地址的方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN111147625A CN111147625A (zh) 2020-05-12
CN111147625B true CN111147625B (zh) 2022-07-08

Family

ID=70522955

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911422053.1A Active CN111147625B (zh) 2019-12-31 2019-12-31 获取本机外网ip地址的方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN111147625B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111770090B (zh) * 2020-06-29 2022-07-12 深圳市联软科技股份有限公司 一种单包授权方法及***
CN112364233A (zh) * 2020-11-26 2021-02-12 杭州安恒信息安全技术有限公司 一种跨地域网站检测方法、装置、设备及可读存储介质
CN114679323B (zh) * 2022-03-30 2023-11-24 中国联合网络通信集团有限公司 网络连接方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7086061B1 (en) * 2002-08-01 2006-08-01 Foundry Networks, Inc. Statistical tracking of global server load balancing for selecting the best network address from ordered list of network addresses based on a set of performance metrics
CN102340554A (zh) * 2011-09-29 2012-02-01 奇智软件(北京)有限公司 一种域名***dns的最优应用服务器选取方法和装置
US8347394B1 (en) * 2009-07-15 2013-01-01 Trend Micro, Inc. Detection of downloaded malware using DNS information
CN103002069A (zh) * 2012-12-25 2013-03-27 北京小米科技有限责任公司 一种域名解析方法、装置及***
CN103746929A (zh) * 2014-01-13 2014-04-23 刘保太 基于dns的优化访问流量调度方法和设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9407701B2 (en) * 2012-12-14 2016-08-02 Apple Inc. Address family preference in multiple network interface environments
CN104301444B (zh) * 2013-07-17 2019-09-20 腾讯科技(深圳)有限公司 网络ip获取方法、装置、应用平台、客户端及***
CN103338279B (zh) * 2013-07-18 2016-03-16 上海数讯信息技术有限公司 基于域名解析的优化排序方法及***
EP3422675A1 (en) * 2017-06-26 2019-01-02 Koninklijke KPN N.V. A method of requesting a resource by simultaneously transmitting the same request message to a plurality of servers
CN108881509A (zh) * 2018-05-31 2018-11-23 网宿科技股份有限公司 一种基于httpdns的dns查询方法及装置
CN110225149A (zh) * 2019-06-25 2019-09-10 北京天融信网络安全技术有限公司 一种域名解析方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7086061B1 (en) * 2002-08-01 2006-08-01 Foundry Networks, Inc. Statistical tracking of global server load balancing for selecting the best network address from ordered list of network addresses based on a set of performance metrics
US8347394B1 (en) * 2009-07-15 2013-01-01 Trend Micro, Inc. Detection of downloaded malware using DNS information
CN102340554A (zh) * 2011-09-29 2012-02-01 奇智软件(北京)有限公司 一种域名***dns的最优应用服务器选取方法和装置
CN103002069A (zh) * 2012-12-25 2013-03-27 北京小米科技有限责任公司 一种域名解析方法、装置及***
CN103746929A (zh) * 2014-01-13 2014-04-23 刘保太 基于dns的优化访问流量调度方法和设备

Also Published As

Publication number Publication date
CN111147625A (zh) 2020-05-12

Similar Documents

Publication Publication Date Title
CN111147625B (zh) 获取本机外网ip地址的方法、装置及存储介质
EP3219068B1 (en) Method of identifying and counteracting internet attacks
EP3264720B1 (en) Using dns communications to filter domain names
CN105939326B (zh) 处理报文的方法及装置
CN111131310B (zh) 访问控制方法、装置、***、计算机设备和存储介质
CN109688105B (zh) 一种威胁报警信息生成方法及***
CN104935605B (zh) 钓鱼网站的检测方法、装置及***
CN111478910B (zh) 用户身份验证方法和装置、电子设备以及存储介质
US10419431B2 (en) Preventing cross-site request forgery using environment fingerprints of a client device
CN109067813B (zh) 网络漏洞检测方法、装置、存储介质和计算机设备
CN107046544B (zh) 一种识别对网站的非法访问请求的方法和装置
CN105991614B (zh) 一种开放授权、资源访问的方法及装置、服务器
CN104580553B (zh) 网络地址转换设备的识别方法和装置
CN111898124B (zh) 进程访问控制方法和装置、存储介质及电子设备
CN108259457B (zh) 一种web认证方法及装置
CN111431753A (zh) 一种资产信息更新方法、装置、设备及存储介质
US20210006592A1 (en) Phishing Detection based on Interaction with End User
CN112583607A (zh) 一种设备访问管理方法、装置、***及存储介质
CN111182537A (zh) 移动应用的网络接入方法、装置及***
CN107623693B (zh) 域名解析防护方法及装置、***、计算设备、存储介质
CN113364800A (zh) 资源访问控制方法、装置、电子设备和介质
CN114928452A (zh) 访问请求验证方法、装置、存储介质及服务器
CN112804222B (zh) 基于云部署的数据传输方法、装置、设备及存储介质
CN113872990A (zh) 基于ssl协议的vpn网络证书认证方法、装置和计算机设备
RU103643U1 (ru) Система противодействия фишинг атакам

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: QAX Technology Group Inc.

Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant before: QAX Technology Group Inc.

Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.

GR01 Patent grant
GR01 Patent grant