CN112311722A

CN112311722A - 一种访问控制方法、装置、设备及计算机可读存储介质

Info

Publication number: CN112311722A
Application number: CN201910682149.5A
Authority: CN
Inventors: 安宁宇; 胡入祯; 邵妍; 戴晶; 刘阳
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Communications Ltd Research Institute
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Communications Ltd Research Institute
Priority date: 2019-07-26
Filing date: 2019-07-26
Publication date: 2021-02-02
Anticipated expiration: 2039-07-26
Also published as: CN112311722B

Abstract

本发明公开了一种访问控制方法、装置、设备及计算机可读存储介质，涉及通信技术领域，以解决已有方案无法对采用HTTPS协议进行加密传输的网站进行监控的问题。该方法包括：获取第二DNS服务器发向第一DNS服务器的第二响应消息，其中，在第二响应消息中包括第二DNS服务器根据第一DNS服务器发送的访问请求解析获得的第一域名地址；在确定第一域名地址不合法的情况下，根据第二响应消息，向第一DNS服务器或者客户端发送第一响应消息，其中，在第一响应消息中包括第二域名地址，第二域名地址是虚假的域名地址。本发明实施例可实现对采用HTTPS协议进行加密传输的网站进行监控，从而可提高数据访问的安全性。

Description

一种访问控制方法、装置、设备及计算机可读存储介质

技术领域

本发明涉及通信技术领域，尤其涉及一种访问控制方法、装置、设备及计算机可读存储介质。

背景技术

目前域名管控***(流控***)对于违规域名的封堵通常采用的方案是：对网络链路数据进行旁路分光/还原，还原链路中客户端访问的HTTP(HyperText TransferProtocol，超文本传输协议)数据包，然后流控***对于HTTP数据包中命中黑名单的域名进行封堵。之后，流控***分别向普通客户端与目标网站发送TCP(Transmission ControlProtocol，传输控制协议)的Reset(重置)报文，以中断客户端与目标网站之间的TCP连接。

由于HTTP包中可以获得包括客户端访问域名、端口(HOST)、跳转URL(UniformResource Locator，统一资源定位符)(Referer)字段等非加密信息，因此，在上述方案中，流控***可以将HOST信息与已有黑名单进行匹配，进而切断客户端访问。

随着互联网公司、金融公司的大力推广，采用HTTPS(Hypertext TransferProtocol Secure，超文本传输安全协议)加密的网站与日俱增。HTTPS协议具有加密、防篡改、身份认证等能力，非常有利于保护客户端隐私。但是，由于所有内容传输信息全部被加密，所以无法获取包括客户端访问URL、Get、POST等请求的内容，因此，无法将客户端访问的域名与流控***的黑名单进行匹配，也就无法发送TCP的Reset报文对客户端的违规访问进行阻断。

因此，需要提出一种对采用HTTPS协议进行加密传输的网站进行监控的方案。

发明内容

本发明实施例提供一种访问控制方法、装置、设备及计算机可读存储介质，以解决已有方案无法对采用HTTPS协议进行加密传输的网站进行监控的问题。

第一方面，本发明实施例提供了一种访问控制方法，应用于第一DNS服务器，包括：

接收客户端的访问请求；

在无法对所述访问请求进行域名解析或者未存储有所述访问请求对应的第一域名地址的情况下，向第二DNS服务器发送所述访问请求；

接收流控***发送的第一响应消息；

向所述客户端发送所述第一响应消息；

其中，所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

其中，所述第二DNS服务器包括至少两个域名***服务器，且各域名***服务器具有不同的优先级；

所述向第二DNS服务器发送所述访问请求，包括：

按照优先级从高到低的顺序，依次向所述至少两个域名***服务器发送所述访问请求。

其中，在所述接收客户端的访问请求之后，所述方法还包括：

在能够对所述访问请求进行域名解析且存储有所述访问请求对应的第一域名的情况下，对所述域名访问请求进行解析，获得所述第一域名地址；

确定所述第一域名地址是否合法；

在确定所述第一域名地址不合法的情况下，丢弃域名查询结果，所述域名查询结果中包括所述第一域名地址。

其中，在确定所述第一域名地址合法的情况下，所述方法还包括：

向所述客户端发送所述域名查询结果。

第二方面，本发明实施例提供了一种访问控制方法，应用于流控***，包括：

获取第二DNS服务器发向第一DNS服务器的第二响应消息，其中，在所述第二响应消息中包括所述第二DNS服务器根据所述第一DNS服务器发送的访问请求解析获得的第一域名地址；

在确定所述第一域名地址不合法的情况下，根据所述第二响应消息，向所述第一DNS服务器或者客户端发送第一响应消息，其中，在所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

其中，所述根据所述第二响应消息，向所述第一DNS服务器或者客户端发送第一响应消息，包括：

解析所述第二响应消息，得到所述第一域名地址；

将第二域名地址填入所述第二响应消息的应答字段，得到所述第一响应消息；

向所述第一DNS服务器或者所述客户端发送第一响应消息。

第三方面，本发明实施例提供了一种访问控制方法，应用于客户端，包括：

向第一DNS服务器发送访问请求；

接收所述第一DNS服务器或者流控***发送的第一响应消息；

所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

第四方面，本发明实施例提供了一种访问控制装置，应用于第一DNS服务器，包括：处理器和收发器；其中，所述收发器，用于：

接收客户端的访问请求；

接收流控***发送的第一响应消息；

向所述客户端发送所述第一响应消息；

第五方面，本发明实施例提供了一种访问控制装置，应用于流控***，包括：处理器和收发器；其中，所述收发器，用于：

第六方面，本发明实施例提供了一种访问控制装置，应用于客户端，包括：处理器和收发器；其中，所述收发器，用于：

向第一DNS服务器发送访问请求；

接收所述第一DNS服务器或者流控***发送的第一响应消息；

第七方面，本发明实施例提供了一种通信设备，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；

所述处理器，用于读取存储器中的程序实现如第一方面所述的方法中的步骤；或者实现如第二方面所述的方法中的步骤；或者实现如第三方面所述的方法中的步骤。

第八方面，本发明实施例提供了一种计算机可读存储介质，用于存储计算机程序，所述计算机程序被处理器执行时实现如第一方面所述的方法中的步骤；或者实现如第二方面所述的方法中的步骤；或者实现如第三方面所述的方法中的步骤。

在本发明实施例中，在第一DNS服务器无法对所述访问请求进行域名解析或者未存储有所述访问请求对应的域名地址的情况下，向第二DNS服务器发送所述访问请求。其中，流控***截获第一DNS服务器和第二DNS服务器之间的消息，并生成第一响应消息，所述第一响应消息中包括第二DNS服务器根据所述访问请求解析获得的域名地址对应的虚假域名地址。本发明实施例通过对DNS流量进行监听，对用户访问外部域名服务器的访问流量进行还原，筛选出命中违规域名的DNS数据包，向本地域名服务器或客户端发送携带虚假域名的DNS数据包，将用户所访问的虚假域名解析到用户无法访问/不存在的IP地址，用户无法完成虚假域名的正确解析，也就无法访问目标网站，实现了对采用HTTPS协议进行加密传输的网站进行监控，有效提高数据访问的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的访问控制方法的流程图之一；

图2是本发明实施例提供的访问控制方法的流程图之二；

图3是本发明实施例提供的访问控制方法的流程图之三；

图4是本发明实施例提供的访问控制方法的流程图之四；

图5是本发明实施例提供的域名解析过程示意图；

图6是本发明实施例提供的封堵流程示意图；

图7是本发明实施例提供的访问控制装置的结构图之一；

图8是本发明实施例提供的访问控制装置的结构图之二；

图9是本发明实施例提供的访问控制装置的结构图之三；

图10是本发明实施例提供的通信设备的结构图之一；

图11是本发明实施例提供的通信设备的结构图之二；

图12是本发明实施例提供的通信设备的结构图之三。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如前所述，采用对于HTTP报文进行还原的方式，只能监控用户访问采用HTTP协议的网站，而对采用HTTPS协议进行加密传输的网站无法进行监控。而在用户访问网站之前，需要DNS解析服务，将域名***服务器解析为IP地址，因此，本发明实施例提出了一种基于DNS数据包还原监听的方案，从而实现对加密HTTPS流量进行监控。以下，结合不同的实施例详细描述一下具体的实现方案。

参见图1，图1是本发明实施例提供的访问控制方法的流程图，应用于第一(DomainName System，域名***)服务器，如图1所示，包括以下步骤：

步骤101、接收客户端的访问请求。

当客户端需要访问网站时，发起对目标网站的访问请求。相应的，第一DNS服务器接收客户端的访问请求。

步骤102、在无法对所述访问请求进行域名解析或者未存储有所述访问请求对应的第一域名地址的情况下，向第二DNS服务器发送所述访问请求。

在接收到访问请求后，第一DNS服务器确定是否配置为本地解析。如果配置为本地解析，也即在能够对所述访问请求进行域名解析且存储有所述访问请求对应的第一域名的情况下，对所述访问请求进行解析，获得第一域名地址。之后，可通过查询本地配置的黑名单的方式，确定所述第一域名地址是否合法。在确定所述第一域名地址不合法的情况下，丢弃域名查询结果，所述域名查询结果中包括所述第一域名地址。若确定第一域名地址合法，则向所述客户端发送所述域名查询结果，允许用户访问目标网站。

若配置不是本地解析，或者未存储有所述第一域名地址，则第一DNS服务器向第二DNS服务器发送所述访问请求。

在本发明实施例中，所述第二DNS服务器包括至少两个域名***服务器，且各域名***服务器具有不同的优先级。那么，具体的，所述向第二DNS服务器发送所述访问请求，包括：按照优先级从高到低的顺序，依次向所述至少两个域名***服务器发送所述访问请求。

例如，所述第二DNS服务器可包括根域名服务器、权威域名服务器、顶级域名服务器等，且优先级从高到低。

因此，第一DNS服务器可按照优先级从高到低的顺序，依次向根域名服务器、权威域名服务器、顶级域名服务器发送访问请求。通常情况下，根域名服务器会向第一DNS服务器发送响应消息，以表示是否成功解析该访问请求。若解析成功，在响应消息中会包括解析活动的域名地址。但是，在本发明实施例中，流控***会对第一DNS服务器和第二DNS服务器之间的DNS报文进行监听。当第二DNS服务器的响应消息表示成功解析了该访问请求时，流控***会截取该响应消息，并判断第二DNS服务器的解析结果是否合法。若不合法，则流控***会阻止第二DNS服务器的响应消息发送给第一DNS服务器。若合法或者响应消息表示未解析成功，则流控***不会阻止第二DNS服务器的响应消息。

因此，在本发明实施例中，第一DNS服务器在未接收到任何一个第二DNS服务器的响应消息，或者接收到了某个第二DNS服务器的响应消息(此时，该响应消息表示未解析成功)的情况下，则无需再向其他的第二DNS服务器发送访问请求。

步骤103、接收流控***发送的第一响应消息。其中，所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

其中，第二域名地址可以认为是一个虚假域名地址。虚假域名地址的含义指的是，该虚假域名地址不是对访问请求进行域名解析之后的真正的域名地址。通过这种方式，可阻止客户端访问目标网站。

步骤104、向所述客户端发送所述第一响应消息。

在本发明实施例中，在第一DNS服务器无法对所述访问请求进行域名解析或者未存储有所述访问请求对应的域名地址的情况下，向第二DNS服务器发送所述访问请求。其中，流控***截获第一DNS服务器和第二DNS服务器之间的消息，并生成第一响应消息，所述第一响应消息中包括第二DNS服务器根据所述访问请求解析获得的域名地址对应的虚假域名地址。由于流控***返回的第二域名地址是个虚假的域名地址，因此，用户无法访问真实的域名地址，从而利用本发明实施例通过对DNS流量进行监听，还原，可以实现对采用HTTPS协议进行加密传输的网站进行监控，从而可提高数据访问的安全性。

参见图2，图2是本发明实施例提供的访问控制方法的流程图，应用于流控***，如图2所示，包括以下步骤：

步骤201、获取第二DNS服务器发向第一DNS服务器的第二响应消息。

其中，在所述第二响应消息中包括所述第二DNS服务器根据所述第一DNS服务器发送的访问请求解析获得的第一域名地址。

在本发明实施例中，流控***会对第一DNS服务器和第二DNS服务器之间的DNS报文进行监听。当第二DNS服务器的响应消息表示成功解析了该访问请求时，流控***会截取该响应消息，并判断第二DNS服务器的解析结果是否合法。若不合法，则会阻止第二DNS服务器的响应消息发送给第一DNS服务器。若合法或者响应消息表示未解析成功，则流控***不会阻止第二DNS服务器的响应消息。

步骤202、在确定所述第一域名地址不合法的情况下，根据所述第二响应消息，向所述第一DNS服务器或者客户端发送第一响应消息，其中，在所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

具体的，在此步骤中，流控***解析所述第二响应消息，得到所述第一域名地址。之后，将第二域名地址填入所述第二响应消息的应答字段，得到所述第一响应消息，并向所述第一DNS服务器或者所述客户端发送第一响应消息。

参见图3，图3是本发明实施例提供的访问控制方法的流程图，应用于客户端，如图3所示，包括以下步骤：

步骤301、向第一DNS服务器发送访问请求。

步骤302、接收所述第一DNS服务器或者流控***发送的第一响应消息。所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

根据该第一响应消息，客户端将无法访问期望访问的目标网站。

参见图4，图4是本发明实施例提供的访问控制方法的流程图，包括以下步骤：

步骤401、客户端发起网站访问请求。

步骤402、本地DNS服务器查看DNS服务器是否配置为本地。如果是，跳转到步骤步骤403，否则跳转到步骤步骤406。

步骤403、本地DNS服务器进行域名解析，获得待访问的域名地址。

步骤404、本地DNS服务器判断是否缓存有待访问的域名地址。如果有，则跳转到步骤步骤405；如果没有，则本地DNS服务器向网外DNS服务器(包括根域名服务器、权威域名服务器、顶级域名服务器等)发送查询请求，跳转到步骤步骤406。

步骤405、本地DNS服务器判断待访问的域名地址是否命中域名黑名单，如果命中则丢弃用户DNS查询结果，进入流程步骤409；如果未命中，则进入流程步骤410。

步骤406、本地DNS服务器访问网外DNS服务器递归查询，进行域名解析。

步骤407、DPI(Deep Packet Inspection，深度报文检测)***对用户访问查询流量进行分光，对DNS数据包进行还原。

步骤408、流控***比对DNS解析域名是否命中黑名单。如果命中，则向用户返回伪造的DNS数据报文，进入步骤步骤409；如果未命中，正常进行域名解析，然后进入步骤步骤410。

步骤409、用户无法访问目的网站，流程结束。

步骤410、返回用户域名查询结果，用户正常访问目的网站，流程结束。

用户在访问目标网站时，首先需要通过域名解析***(DNS)解析获得需要访问网站的IP地址、端口，然后向该IP、端口发送数据请求访问。其中域名解析流程如图5所示。

通常情况下，首先在本地DNS服务器501进行查询，是否有待访问域名的IP地址，如果有则本地DNS服务器直接给用户响应；否则本地DNS服务器依次向权威域名服务器502、根域名服务器503、顶级域名服务器504做递归查询，直到查到为止，将查询结果返回给用户。

其中本地DNS服务器一般为运营商内部域名服务器，其他权威域名服务器、根域名服务器、顶级域名服务器则为外部/境外的域名服务器，普通用户需要跨运营商进行访问。

但是，在本发明实施例中，对于权威域名服务器502、根域名服务器503、顶级域名服务器504返回给本地DNS服务器501的报文进行监控。当检测得出解析得出的域名不合法时，需要对报文进行封堵。

如图6所示，为本发明实施例中封堵流程的示意图。对于用户访问本地DNS服务器，可以采用DNS黑名单匹配的方式，阻断违规域名的DNS解析请求。对于用户访问外部域名服务器，只能在链路上进行监控。在本发明实施例中，流控***的监控步骤如下：

(1)对于用户访问本地DNS服务器的解析，可以采用黑名单匹配的方式进行阻断，阻止用户获取该域名的IP地址。

(2)对于用户访问非本地的DNS服务器，可对于用户的该部分(网间)访问流量进行还原，并过滤出DNS访问数据包。

流控***505筛选出命中违规域名的DNS数据包。流控***向本地DNS服务器或普通用户发送伪造的DNS数据包，将用户所访问的违规域名解析到用户无法访问/不存在的IP地址。

用户无法完成违规域名的正确解析，因为就无法访问目标网站，阻断完成。

如前所述，流控***需要向客户端或者本地DNS服务器发送一个虚假DNS响应。由于DNS数据包采用UDP(User Datagram Protocol，用户数据报协议)协议，因此，只要流控***的响应到达时间在外部域名服务器的响应之前，则客户端或本地DNS服务器接收流控***的DNS响应之后，就不再接收其他DNS响应。

在本发明实施例中，DNS数据报文，无论是请求报文，还是DNS服务器返回的应答报文，都可使用统一的格式。其中，请求报文包括Header(报文头)、Question(查询字段)。其中报文头包括请求ID(标识)、请求类型、是否递归等等字段；查询字段包括查询域名、协议类型、查询类等字段。应答报文除Header、Question的字段外，还包括Answer(应答字段)/Authority(授权字段)/Additional(附加字段)这三个格式相同的部分，其中Answer(应答字段)包括域名、协议类型码、生存时间、资源数据长度、资源数据(IP地址)等字段。

如果要对DNS响应数据包进行伪造，例如原查询数据包为[ID＝0x6123 A？www.ict.ac.cn]，即查询“www.ict.ac.cn”网址所对应的IP地址；正确响应数据包为[ID＝0x6123in A www.ict.ac.cn 159.226.97.70]，即响应“www.ict.ac.cn”所对应的IP地址为“159.226.97.70”。如果对数据包进行伪造，可篡改响应数据包为[ID＝0x6123in Awww.ict.ac.cn 1.1.1.1]，即用户对“www.ict.ac.cn”的查询，都返回地址“1.1.1.1”，则用户无法获得真实IP地址，无法对“www.ict.ac.cn”进行访问。

通过以上的描述可以看出，利用本发明实施例的方案，可利用DNS流量还原、监听，针对HTTPS协议的用户访问流量进行封堵，改进了原有流量监控方法只能监控HTTP协议流量而无法对加密HTTPS流量进行监控的缺陷，从而提高了数据访问的安全性。

如图7所示，本发明实施例的访问控制装置，应用于第一DNS服务器，包括：处理器701和收发器702。

其中，所述收发器702，用于：接收客户端的访问请求；在无法对所述访问请求进行域名解析或者未存储有所述访问请求对应的第一域名地址的情况下，向第二DNS服务器发送所述访问请求；接收流控***发送的第一响应消息；向所述客户端发送所述第一响应消息；其中，所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

可选的，所述第二DNS服务器包括至少两个域名***服务器，且各域名***服务器具有不同的优先级；所述收发器702，用于：按照优先级从高到低的顺序，依次向所述至少两个域名***服务器发送所述访问请求。

可选的，所述处理器701用于，在能够对所述访问请求进行域名解析且存储有所述访问请求对应的第一域名的情况下，对所述域名访问请求进行解析，获得所述第一域名地址；确定所述第一域名地址是否合法；在确定所述第一域名地址不合法的情况下，丢弃域名查询结果，所述域名查询结果中包括所述第一域名地址。

可选的，所述收发器702用于，向所述客户端发送所述域名查询结果。

本发明实施例装置的工作原理可参照前述方法实施例的描述。

如图8所示，本发明实施例的访问控制装置，应用于流控***，包括：处理器801和收发器802。

其中，所述收发器802，用于：获取第二DNS服务器发向第一DNS服务器的第二响应消息，其中，在所述第二响应消息中包括所述第二DNS服务器根据所述第一DNS服务器发送的访问请求解析获得的第一域名地址；在确定所述第一域名地址不合法的情况下，根据所述第二响应消息，向所述第一DNS服务器或者客户端发送第一响应消息，其中，在所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

可选的，所述收发器802还用于，解析所述第二响应消息，得到所述第一域名地址；将第二域名地址填入所述第二响应消息的应答字段，得到所述第一响应消息；向所述第一DNS服务器或者所述客户端发送第一响应消息。

如图9所示，本发明实施例的访问控制装置，应用于客户端，包括：处理器901和收发器902。

其中，所述收发器902，用于：获取第二DNS服务器发向第一DNS服务器的第二响应消息，其中，在所述第二响应消息中包括所述第二DNS服务器根据所述第一DNS服务器发送的访问请求解析获得的第一域名地址；在确定所述第一域名地址不合法的情况下，根据所述第二响应消息，向所述第一DNS服务器或者客户端发送第一响应消息，其中，在所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

如图10所示，本发明实施例的通信设备，应用于第一DNS服务器，包括：处理器1000，用于读取存储器1020中的程序，执行下列过程：

处理器1000，用于读取存储器1020中的程序，执行下列过程：通过收发机1010接收客户端的访问请求；在无法对所述访问请求进行域名解析或者未存储有所述访问请求对应的第一域名地址的情况下，向第二DNS服务器发送所述访问请求；接收流控***发送的第一响应消息；向所述客户端发送所述第一响应消息；其中，所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

收发机1010，用于在处理器1000的控制下接收和发送数据。

其中，在图10中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1000代表的一个或多个处理器和存储器1020代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1010可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器1000负责管理总线架构和通常的处理，存储器1020可以存储处理器1000在执行操作时所使用的数据。

处理器1000负责管理总线架构和通常的处理，存储器1020可以存储处理器1000在执行操作时所使用的数据。

所述第二DNS服务器包括至少两个域名***服务器，且各域名***服务器具有不同的优先级；处理器1000还用于读取所述计算机程序，执行如下步骤:

通过收发机1010按照优先级从高到低的顺序，依次向所述至少两个域名***服务器发送所述访问请求。

处理器1000还用于读取所述计算机程序，执行如下步骤:

确定所述第一域名地址是否合法；

处理器1000还用于读取所述计算机程序，执行如下步骤:

通过收发机1010向所述客户端发送所述域名查询结果。

本发明实施例提供的通信设备，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。

如图11所示，本发明实施例的通信设备，应用于流控***，包括：处理器1100，用于读取存储器1120中的程序，执行下列过程：

处理器1100，用于读取存储器1120中的程序，执行下列过程：通过收发机1111获取第二DNS服务器发向第一DNS服务器的第二响应消息，其中，在所述第二响应消息中包括所述第二DNS服务器根据所述第一DNS服务器发送的访问请求解析获得的第一域名地址；在确定所述第一域名地址不合法的情况下，根据所述第二响应消息，向所述第一DNS服务器或者客户端发送第一响应消息，其中，在所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

收发机1111，用于在处理器1100的控制下接收和发送数据。

其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1100代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1111可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器1100负责管理总线架构和通常的处理，存储器1120可以存储处理器1100在执行操作时所使用的数据。

处理器1100负责管理总线架构和通常的处理，存储器1120可以存储处理器1100在执行操作时所使用的数据。

处理器1000还用于读取所述计算机程序，执行如下步骤:

解析所述第二响应消息，得到所述第一域名地址；

向所述第一DNS服务器或者所述客户端发送第一响应消息。

如图12所示，本发明实施例的通信设备，应用于客户端，包括：处理器1200，用于读取存储器1220中的程序，执行下列过程：

处理器1200，用于读取存储器1220中的程序，执行下列过程：

通过收发机1210向第一DNS服务器发送访问请求；接收所述第一DNS服务器或者流控***发送的第一响应消息；所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

收发机1210，用于在处理器1200的控制下接收和发送数据。

其中，在图12中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1200代表的一个或多个处理器和存储器1220代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1210可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的客户端设备，客户端接口1230还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。

处理器1200负责管理总线架构和通常的处理，存储器1220可以存储处理器1200在执行操作时所使用的数据。

此外，本发明实施例的计算机可读存储介质，用于存储计算机程序，所述计算机程序可被处理器执行实现以下步骤：

接收客户端的访问请求；

接收流控***发送的第一响应消息；

向所述客户端发送所述第一响应消息；

所述向第二DNS服务器发送所述访问请求，包括：

确定所述第一域名地址是否合法；

向所述客户端发送所述域名查询结果。

所述根据所述第二响应消息，向所述第一DNS服务器或者客户端发送第一响应消息，包括：

解析所述第二响应消息，得到所述第一域名地址；

向所述第一DNS服务器或者所述客户端发送第一响应消息。

向第一DNS服务器发送访问请求；

接收所述第一DNS服务器或者流控***发送的第一响应消息；

在本申请所提供的几个实施例中，应该理解到，所揭露方法和装置，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种访问控制方法，应用于流控***，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述根据所述第二响应消息，向所述第一DNS服务器或者客户端发送第一响应消息，包括：

解析所述第二响应消息，得到所述第一域名地址；

向所述第一DNS服务器或者所述客户端发送第一响应消息。

3.一种访问控制方法，应用于第一域名***DNS服务器，其特征在于，包括：

接收客户端的访问请求；

接收流控***发送的第一响应消息；

向所述客户端发送所述第一响应消息；

其中，所述第一响应消息是在所述流控***确定所述访问请求对应的第一域名地址不合法的情况下发送的，所述第一响应消息中包括第二域名地址，所述第二域名地址是虚假的域名地址。

4.根据权利要求3所述的方法，其特征在于，所述第二DNS服务器包括至少两个域名***服务器，且各域名***服务器具有不同的优先级；

所述向第二DNS服务器发送所述访问请求，包括：

5.根据权利要求3所述的方法，其特征在于，在所述接收客户端的访问请求之后，所述方法还包括：

6.根据权利要求4所述的方法，其特征在于，在确定所述第一域名地址合法的情况下，所述方法还包括：

向所述客户端发送所述域名查询结果。

7.一种访问控制方法，应用于客户端，其特征在于，包括：

向第一DNS服务器发送访问请求；

接收所述第一DNS服务器或者流控***发送的第一响应消息；

8.一种访问控制装置，应用于第一DNS服务器，其特征在于，包括：处理器和收发器；其中，所述收发器，用于：

接收客户端的访问请求；

接收流控***发送的第一响应消息；

向所述客户端发送所述第一响应消息；

9.一种访问控制装置，应用于流控***，其特征在于，包括：处理器和收发器；其中，所述收发器，用于：

10.一种访问控制装置，应用于客户端，其特征在于，包括：处理器和收发器；其中，所述收发器，用于：

向第一DNS服务器发送访问请求；

接收所述第一DNS服务器或者流控***发送的第一响应消息；

11.一种通信设备，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；其特征在于，

所述处理器，用于读取存储器中的程序实现如权利要求1至2中任一项所述的方法中的步骤；或者实现如权利要求3至6中任一项所述的方法中的步骤；或者实现如权利要求7所述的方法中的步骤。

12.一种计算机可读存储介质，用于存储计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至2中任一项所述的方法中的步骤；或者实现如权利要求3至6中任一项所述的方法中的步骤；或者实现如权利要求7所述的方法中的步骤。