CN114710302A - 互联网访问的控制方法及其控制装置 - Google Patents
互联网访问的控制方法及其控制装置 Download PDFInfo
- Publication number
- CN114710302A CN114710302A CN202011496569.3A CN202011496569A CN114710302A CN 114710302 A CN114710302 A CN 114710302A CN 202011496569 A CN202011496569 A CN 202011496569A CN 114710302 A CN114710302 A CN 114710302A
- Authority
- CN
- China
- Prior art keywords
- user
- address
- target website
- access
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000013475 authorization Methods 0.000 claims description 36
- 238000013507 mapping Methods 0.000 claims description 23
- 230000007547 defect Effects 0.000 abstract description 8
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种互联网访问的控制方法及其控制装置。该控制方法包括接收用户的第一请求消息,第一请求消息用于查询目标网站的第一网络协议IP地址,第一请求消息包括目标网站的域名地址和用户接入网络后分配的第二IP地址;根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限;当判断结果为用户的账号具有访问目标网站的权限时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络后使用的第一用户终端以使用户能访问目标网站。本申请实施例能够避免用户接入网络时因分配的IP地址不同造成的无法直接针对用户进行访问控制的缺陷,进而方便实现对用户接入网络后访问特定互联网网站的控制。
Description
技术领域
本申请涉及通信技术领域,具体涉及一种互联网访问的控制方法及其控制装置。
背景技术
随着信息化水平的提高,人们对网络进行安全管控有着迫切的需求。目前,通常采用互联网出口防火墙配置规则以控制特定网络协议(Internet Protocol,IP)地址访问特定互联网网站。
然而,由于用户接入到无线网络中时,认证授权计费(Authentication、Authorization、Accounting,AAA)服务器可能会分配不同的IP地址,例如,用户配置的固定IP地址变更、IP地址采用动态分配机制、或IP地址基于终端介质访问控制(Media AccessControl,MAC)地址分配等,互联网出口防火墙无法得知接入该特定IP地址是哪个用户在用,因而使得互联网出口防火墙无法直接针对用户进行访问控制。
发明内容
本申请实施例提供一种互联网访问的控制方法及其控制装置,从而避免用户接入网络时因分配的IP地址不同造成的无法直接针对用户进行访问控制的缺陷。
在本申请实施例的第一方面,本申请实施例提供了一种互联网访问的控制方法。该互联网访问的控制方法包括接收用户的第一请求消息,第一请求消息用于查询目标网站的第一网络协议IP地址,第一请求消息包括目标网站的域名地址和用户的账号对应的第二IP地址,第二IP地址为用户接入网络后分配的IP地址;根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限;当判断结果为用户的账号具有访问目标网站的权限时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站。
在本申请一实施例中,上述根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限,包括:利用根据第二IP地址和映射关系查找到的用户的账号获取用户的账号对应的授权访问的网站列表,其中,映射关系包括第二IP地址和用户的账号之间的对应关系;判断目标网站的域名地址是否在用户的账号对应的授权访问的网站列表中;其中,上述当判断结果为用户的账号具有访问目标网站的权限时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站,包括:当判断结果为目标网站的域名地址在用户的账号对应的授权访问的网站列表中时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站。
在本申请一实施例中,上述利用根据第二IP地址和映射关系查找到的用户的账号获取用户的账号对应的授权访问的网站列表,包括:向认证授权计费AAA服务器发送查询用户的账号对应的授权访问的网站列表的第二请求消息,其中,第二请求消息包括第二IP地址,AAA服务器中保存映射关系和总授权访问的网站列表;接收AAA服务器发送的用户的账号对应的授权访问的网站列表,其中,用户的账号对应的授权访问的网站列表是AAA服务器根据映射关系查询到用户的账户,并根据用户的账号从总授权访问的网站列表中查询到的。
在本申请一实施例中,上述将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站,包括:根据目标网站的域名地址查询第一IP地址;将第一IP地址发送给第一用户终端以使用户能访问目标网站。
在本申请一实施例中,上述将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站,包括:向互联网域名服务器DNS发送查询第一IP地址的第三请求消息,第三请求消息包括目标网站的域名地址;接收互联网DNS发送的根据第三请求消息查询到的第一IP地址;将第一IP地址发送给第一用户终端以使用户能访问目标网站。
在本申请一实施例中,互联网访问的控制方法还包括:当判断结果为用户的账号不具有访问目标网站的权限时,则向第一用户终端发送第三IP地址以使用户无法访问目标网站。
在本申请实施例的第二方面,本申请实施例提供了一种互联网访问的控制方法。互联网访问的控制方法包括接收用户的认证请求消息,认证请求消息包括用户接入网络时的账号;当认证成功后,给用户接入网络时所使用的第二用户终端分配第二网络协议IP地址和域名服务器地址,其中,第二用户终端将互联网访问的控制装置的IP地址配置为域名服务器地址以使控制装置能接收到用户的第一请求消息,第一请求消息用于查询目标网站的第一IP地址;保存第二IP地址与用户的账号之间的对应关系以便利用对应关系和第二IP地址能查找到用户的账号。
在本申请实施例的第三方面,本申请实施例提供了一种互联网访问的控制装置。该控制装置包括接收模块,用于接收用户的第一请求消息,第一请求消息用于查询目标网站的第一网络协议IP地址,第一请求消息包括目标网站的域名地址和用户的账号对应的第二IP地址,第二IP地址为用户接入网络后分配的IP地址;判断模块,用于根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限;发送模块,用于当判断结果为用户的账号具有访问目标网站的权限时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站。
在本申请实施例的第四方面,本申请实施例提供了一种认证授权计费***。该认证授权计费***包括:认证授权计费AAA服务器,用于执行如本申请实施例的第二方面提供的一种互联网访问的控制方法;如本申请实施例的第三方面提供的互联网访问的控制装置,与AAA服务器通信连接,用于控制用户进行互联网访问。
在本申请实施例的第五方面,本申请实施例提供了一种计算机可读存储介质。该计算机可读存储介质上存储有计算机可执行指令,可执行指令被处理器执行时实现如本申请实施例的第一方面提供的任一项互联网访问的控制方法。
根据本申请实施例提供的技术方案,通过接收用户的第一请求消息,第一请求消息用于查询目标网站的第一网络协议IP地址,第一请求消息包括目标网站的域名地址和用户的账号对应的第二IP地址,第二IP地址为用户接入网络后分配的IP地址;根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限;当判断结果为用户的账号具有访问目标网站的权限时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站,从而避免用户接入网络时因分配的IP地址不同造成的无法直接针对用户进行访问控制的缺陷,进而方便实现对用户接入网络后访问特定互联网网站的控制。
附图说明
图1所示为本申请一实施例提供的一种互联网访问的控制方法的流程示意图。
图2所示为本申请另一实施例提供的一种互联网访问的控制方法的流程示意图。
图3所示为本申请又一实施例提供的一种互联网访问的控制方法的流程示意图。
图4所示为本申请再一实施例提供的一种互联网访问的控制方法的流程示意图。
图5所示为本申请一实施例提供的一种互联网访问的控制装置的结构示意图。
图6所示为本申请一实施例提供的一种认证授权计费***的结构示意图。
图7所示为本申请一实施例提供的一种互联网访问的控制***的框图。
具体实施方式
下面将结合本申请实施例中所需要使用的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显而易见地,下面描述的附图仅是本申请一部分实施例,而不是全部的实施例。
需要说明的是,基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有相关实施例,都属于本申请保护的范围。
还需要说明的是,本申请实施例中的“第一”、“第二”等仅仅是为了彼此之间相互区分,并不用于限定具有固定的顺序,也不用于限定具有固定的数量。
本申请实施例中提供了一种互联网访问的控制方法及其控制装置,以下分别进行详细说明。
图1所示为本申请一实施例提供的一种互联网访问的控制方法的流程示意图。该互联网访问的控制方法可以由互联网访问的控制装置执行。该互联网访问的控制方法包括如下步骤。
S110:接收用户的第一请求消息,第一请求消息用于查询目标网站的第一IP地址,第一请求消息包括目标网站的域名地址和用户的账号对应的第二IP地址,第二IP地址为用户接入网络后分配的IP地址。
举例来说,用户在第一用户终端上登录用户的账号并经无线网络对应的认证授权计费(Authentication、Authorization、Accounting,AAA)***认证授权后成功接入无线网络(如Wireless Fidelity,WiFi)中,用户在第一用户终端上输入要访问的目标网站的域名地址,从而会触发生成查询目标网站的第一IP地址的第一请求消息,进而第一用户终端将第一请求消息转发给互联网访问的控制装置,互联网访问的控制装置接收用户的第一请求消息,第一请求消息中携带有目标网站的域名地址和用户的账号对应的第二IP地址。
应当理解,第二IP地址可以为用户的账号首次接入无线网络时,AAA***分配给用户接入网络时使用的用户终端的IP地址,该用户接入网络时使用的用户终端可以为第一用户终端,也可以为其他终端,本申请对此不做具体限定。该AAA***可以维护用户的账号与第二IP地址之间的对应关系,该对应关系可以存储在互联网访问的控制装置中,也可以存储在该AAA***中,本申请对此不做具体限定。用户的账号可以是用户登录无线网络使用的邮箱、手机号或名称等,本申请对用户的账号的类型不做具体限定。
S120:根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限。
具体而言,由于第二IP地址与用户的账号相对应,因而互联网访问的控制装置可以直接或间接根据第二IP地址查找到用户的账号,再根据用户的账号和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限。在一些实施例中,互联网访问的控制装置可以通过设置过滤符合访问目标网站的条件来判断用户的账号是否具有访问目标网站的权限;在另一些实施例中,互联网访问的控制装置可以通过在预先设定的用户的账号对应的授权访问的网站列表查找是否具有目标网站的域名地址来判断用户的账号是否具有访问目标网站的权限;在又一些实施例中,互联网访问的控制装置可以通过在预先设定的目标网站对应的授权访问的所有用户的账号列表查找是否具有用户的账号来判断用户的账号是否具有访问目标网站的权限,本申请对此不做具体限定。
S130:当判断结果为用户的账号具有访问目标网站的权限时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站。
在一些实施例中,互联网访问的控制装置可以直接或间接根据目标网站的域名地址查询到第一IP地址,再将第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站,本申请对此不做具体限定。
应当理解,互联网访问的控制装置可以是将允许访问消息发送给第一用户终端,允许访问消息中携带第一IP地址,互联网访问的控制装置也可以是将允许访问消息发送给认证授权计费***中的接入服务器,接入服务器根据允许访问消息直接授权用户访问目标网站,本申请对此不做具体限定。第一用户终端可以是用户首次登录无线网络的用户终端,也可以是其他用户终端,第一用户终端的类型可以是手机、电脑、平板等,本申请对此不做具体限定。
根据本申请实施例提供的技术方案,由于用户的账号与第二IP地址相互对应,因而能够根据第二IP地址查找到用户的账号,实现根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限,进而有效避免用户接入网络时因分配的IP地址不同造成的无法直接针对用户进行访问控制的缺陷,进而方便实现对用户接入网络后访问特定互联网网站的控制。同时,本申请实施例也能够使用户不受特定用户终端的限制,即使用户使用不同的用户终端接入无线网络,只要用户采用的用户的账号相同,则能够实现控制用户访问相同的网站。
图2所示为本申请另一实施例提供的一种互联网访问的控制方法的流程示意图。图2所示实施例为图1所示实施例的一变型例。如图2所示,与图1所示实施例的不同之处在于,步骤S121-S122对应于图1所示实施例中的步骤S120,步骤S131对应于图1所示实施例中的步骤S130。
S110:接收用户的第一请求消息,第一请求消息用于查询目标网站的第一网络协议IP地址,第一请求消息包括目标网站的域名地址和用户的账号对应的第二IP地址,第二IP地址为用户接入网络后分配的IP地址。
S121:利用根据第二IP地址和映射关系查找到的用户的账号获取用户的账号对应的授权访问的网站列表,其中,映射关系包括第二IP地址和用户的账号之间的对应关系。
举例来说,互联网访问的控制装置可以直接或间接根据第二IP地址和映射关系查找到第二IP地址对应的用户的账号,再直接或间接根据用户的账号查找到用户的账号对应的授权访问的网站列表,从而获取到用户的账号对应的授权访问的网站列表,本申请对此不做具体限定。
应当理解,用户的账号对应的授权访问的网站列表可以存储在互联网访问的控制装置中,也可以存储在无线网络对应的AAA***中的任一设备中,本申请对此不做具体限定。用户的账号对应的授权访问的网站列表中可以包括一个或多个网站,本申请对此不做具体限定。用户的账号对应的授权访问的网站列表可以由无线网络的管理者进行设定和修改,从而实现灵活的管理用户的账号对应的授权访问的网站列表,本申请对此不做具体限定。
S122:判断目标网站的域名地址是否在用户的账号对应的授权访问的网站列表中。
具体而言,互联网访问的控制装置可以在用户的账号对应的授权访问的网站列表中搜索或查找目标网站的域名地址来判断目标网站的域名地址是否在用户的账号对应的授权访问的网站列表中。
应当理解,用户的账号对应的授权访问的网站列表可以是由无线网络的管理者进行设定并存储在互联网访问的控制装置或认证授权计费***的任一设备中,本申请对此不做具体限定。
S131:当判断结果为目标网站的域名地址在用户的账号对应的授权访问的网站列表中时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站。
根据本发明实施例提供的技术方案,通过利用映射关系将第二IP地址与用户的账号关联,进而实现根据第二IP地址和映射关系能够查找到用户的账号,另外,通过利用用户的账号对应的授权访问的网站列表将用户的账号与用户的账号对应的授权访问的网站列表关联,从而实现利用用户的账号能够查找到用户的账号对应的授权访问的网站列表,进而有利于互联网访问的控制装置判断用户的账号是否具有访问目标网站的权限,有效避免用户接入网络时因分配的IP地址不同造成的无法直接针对用户进行访问控制的缺陷,进而实现对用户接入网络后访问特定互联网网站的控制。
在本申请一实施例中,S131包括:根据目标网站的域名地址查询第一IP地址;将第一IP地址发送给第一用户终端以使用户能访问目标网站。
具体而言,互联网访问的控制装置中存储有目标网站的域名地址和第一IP地址的对应关系,互联网访问的控制装置可以直接根据目标网站的域名地址查询到第一IP地址,并直接或间接将第一IP地址发送给第一用户终端,当第一用户终端接收到第一IP地址时,用户则能够访问目标网站。
本申请实施例中,通过根据目标网站的域名地址查询第一IP地址;将第一IP地址发送给第一用户终端以使用户能访问目标网站,从而实现直接在互联网访问的控制装置中查询到第一IP地址,从而避免跨到其他设备如域名服务器查询第一IP地址,降低了查询效率,提高了互联网访问的控制装置的响应速度。
在本申请一实施例中,互联网访问的控制方法还可以包括步骤S140。
S140:当判断结果为用户的账号不具有访问目标网站的权限时,则向第一用户终端发送第三IP地址以使用户无法访问目标网站。
具体而言,当判断结果为用户的账号不具有访问目标网站的权限时,互联网访问的控制装置可以直接或间接向第一用户终端发送第三IP地址以使用户无法访问目标网站。在一些实施例中,当互联网访问的控制装置无法查找到用户的账号时,则无需根据目标网站的域名地址即可直接获知用户的账号不具有访问目标网站的权限,本申请对此不做具体限定。
应当理解,互联网访问的控制装置可以是将拒绝访问消息发送给第一用户终端,允许访问消息中携带第三IP地址,互联网访问的控制装置也可以是将拒绝访问消息发送给认证授权计费***中的网络接入服务器,网络接入服务器根据允许访问消息直接拒绝用户访问目标网站,本申请对此不做具体限定。第三IP地址可以是无线网络的管理员或者提供无线网络的厂商等设置的不同于第一IP地址的任何用于提示用户不能访问网站的错误IP地址,本申请实施例对此不做具体限定。
本申请实施例中,通过当判断结果为用户的账号不具有访问目标网站的权限时,则向第一用户终端发送第三IP地址以使用户无法访问目标网站,从而实现当用户的账号不具有访问目标网站的权限时,精确控制用户无法访问目标网站。
图3所示为本申请又一实施例提供的一种互联网访问的控制方法的流程示意图。图3所示实施例为图2所示实施例的一变型例。如图3所示,与图2所示实施例的不同之处在于,步骤S1211-S1212对应于图2所示实施例中的步骤S121,步骤S1311-S1313对应于图2所示实施例中的步骤S131。应当理解,步骤S1311-S1313也可以对应于图1所示实施例中的步骤S130。
S110:接收用户的第一请求消息,第一请求消息用于查询目标网站的第一网络协议IP地址,第一请求消息包括目标网站的域名地址和用户的账号对应的第二IP地址,第二IP地址为用户接入网络后分配的IP地址。
S1211:向认证授权计费AAA服务器发送查询用户的账号对应的授权访问的网站列表的第二请求消息,其中,第二请求消息包括第二IP地址,AAA服务器中保存映射关系和总授权访问的网站列表。
具体而言,AAA服务器中保存映射关系和总授权访问的网站列表,互联网访问的控制装置向认证授权计费AAA服务器发送查询用户的账号对应的授权访问的网站列表的第二请求消息,AAA服务器接收第二请求消息。应当理解,总授权访问的网站列表中可以包括一个或多个用户的账号及其对应的授权访问的网站列表,本申请对此不做具体限定。总授权访问的网站列表可以是由无线网络的管理者进行设定并存储在AAA服务器中,本申请对此不做具体限定。
S1212:接收AAA服务器发送的用户的账号对应的授权访问的网站列表,其中,用户的账号对应的授权访问的网站列表是AAA服务器根据映射关系查询到用户的账户,并根据用户的账号从总授权访问的网站列表中查询到的。
具体而言,AAA服务器根据第二IP地址从映射关系中查找到用户的账号,再根据用户的账号从总授权访问的网站列表中查找到用户的账号对应的授权访问的网站列表,AAA服务器将查找到的用户的账号对应的授权访问的网站列表发送给互联网访问的控制装置,互联网访问的控制装置接收该用户的账号对应的授权访问的网站列表。
S122:判断目标网站的域名地址是否在用户的账号对应的授权访问的网站列表中。
S1311:当判断结果为目标网站的域名地址在用户的账号对应的授权访问的网站列表中时,向互联网域名服务器DNS发送查询第一IP地址的第三请求消息,第三请求消息包括目标网站的域名地址。
具体而言,当判断结果为目标网站的域名地址在用户的账号对应的授权访问的网站列表中时,互联网访问控制装置将第三请求消息发送给互联网域名服务器DNS,第三请求消息用于查询第一IP地址,第三请求消息包括目标网站的域名地址。
应当理解,当判断结果为用户的账号具有访问目标网站的权限时,互联网访问控制装置也可以向互联网域名服务器DNS发送查询第一IP地址的第三请求消息,第三请求消息包括目标网站的域名地址,本申请对此不做具体限定。第三请求消息可以是在判断结果为目标网站的域名地址在用户的账号对应的授权访问的网站列表中之后生成的,也可以是直接转发的第一请求消息,本申请对此不做具体限定。
S1312:接收互联网DNS发送的根据第三请求消息查询到的第一IP地址。
具体而言,互联网DNS中可以根据第三请求消息将目标网站的域名地址转换成第一IP地址,互联网DNS将转换的第一IP地址发送给互联网访问的控制装置,互联网访问的控制装置接收第一IP地址。
S1313:将第一IP地址发送给第一用户终端以使用户能访问目标网站。
根据本申请实施例提供的技术方案,通过向认证授权计费AAA服务器发送查询用户的账号对应的授权访问的网站列表的第二请求消息,接收AAA服务器发送的用户的账号对应的授权访问的网站列表,从而利用AAA服务器使互联网访问的控制装置获取到用户的账号对应的授权访问的网站列表。另外,通过向互联网域名服务器DNS发送查询第一IP地址的第三请求消息,接收互联网DNS发送的根据第三请求消息查询到的第一IP地址,从而利用互联网DNS查询到第一IP地址,进而对AAA***进行较小的改动即可有效避免用户接入网络时因分配的IP地址不同造成的无法直接针对用户进行访问控制的缺陷,进而实现对用户接入网络后访问特定互联网网站的控制。
图4所示为本申请再一实施例提供的一种互联网访问的控制方法的流程示意图。该互联网访问的控制方法可以由AAA服务器执行。如图4所示,该互联网访问的控制方法包括如下步骤。
S410:接收用户的认证请求消息,认证请求消息包括用户接入网络时的账号。
举例来说,用户使用第二用户终端输入用户的账号和密码,并通过WiFi网络安全接入(Wi-Fi Protected Access,WPA)如WPA-Enterprise、WPA2-Enterprise、WPA3-Enterprise或802.1x无线认证方式申请接入WiFi网络,AAA***中的WiFi接入服务器接收到该请求后向AAA***中的AAA服务器发送认证请求消息以申请认证和授权,AAA服务器接收该认证请求消息。认证请求消息中可以包括用户的账号,还可以包括其他的信息,本申请对此不做具体限定。
S420:当认证成功后,给用户所使用的第二用户终端发分配第二用户终端的第二IP地址和域名服务器地址,其中,第二用户终端将互联网访问的控制装置的IP地址配置为域名服务器地址以使控制装置能接收到用户的第一请求消息,第一请求消息用于查询目标网站的第一IP地址。
举例来说,AAA服务器根据认证请求消息中携带的用户的账号和密码等信息进行合法性认证和授权,当AAA服务器认证成功后,AAA服务器给第一用户终端分配第二IP地址和域名服务器地址。
应当理解,第二用户终端可以与第一用户终端相同或不同,本申请对此不做具体限定。AAA服务器完成认证授权后,保存用户的账号、第二IP地址和域名服务器地址等,还可以保存其他信息,另外,AAA服务器也可以在用户接入网络前保存已配置的授权使用的互联网网站列表等信息,本申请对此不做具体限定。由于不同用户终端接入同一网络后所分配的域名服务器地址相同,因而当用户采用第一用户终端或第二用户终端接入网络时,控制装置均可以接收到用户的第一请求消息。
S430:保存第二IP地址与用户的账号之间的对应关系以便利用对应关系和第二IP地址能查找到用户的账号。
具体而言,AAA服务器或者无线网络的管理者建立第二IP地址与用户的账号之间的对应关系,AAA服务器保存该对应关系,控制装置中可以缓存该对应关系以从该对应关系中查找到第二IP地址对应的用户的账号,也可以通过与AAA服务器通信连接,利用AAA服务器从该对应关系中查找到第二IP地址对应的用户的账号,进而根据用户的账号控制该用户访问目标网站。
应当理解,当用户的账号不再使用无线网络时,无线网络的管理者可以解除第二IP地址与用户的账号之间的对应关系,并将第一IP地址分配给其他用户的账号,本申请对此不做具体限定。AAA服务器中还可以保存用户的账号对应的授权访问的网站列表,本申请对此不做具体限定。
根据本申请实施例提供的技术方案,通过将互联网访问的控制装置的IP地址配置为域名服务器地址,从而使控制装置能接收到用户的第一请求消息,进而使得控制装置基于第一请求消息判断用户是否具有访问目标网站的权限。另外,通过保存第二IP地址与用户的账号之间的对应关系,从而使控制装置利用对应关系能够利用第二IP地址查找到用户的账号,有效避免用户接入网络时因分配的IP地址不同造成的无法直接针对用户进行访问控制的缺陷,进而实现对用户接入网络后访问特定互联网网站的控制。
图5所示为本申请一实施例提供的一种互联网访问的控制装置的结构示意图。如图5所示,该互联网访问的控制装置500包括接收模块510,用于接收用户的第一请求消息,第一请求消息用于查询目标网站的第一网络协议IP地址,第一请求消息包括目标网站的域名地址和用户的账号对应的第二IP地址,第二IP地址为用户接入网络后分配的IP地址;判断模块520,用于根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限;发送模块530,用于当判断结果为用户的账号具有访问目标网站的权限时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站。
应当理解,互联网访问的控制装置可以为一个独立的设备,与该无线网络对应的认证授权计费***通信连接以实现直接控制用户访问特定的网站,也可以为嵌入到该认证授权计费***中的任一设备(如认证授权计费AAA服务器)中的一个模块,与该认证授权计费***中的其他设备如接入服务器、域名服务器等通信连接以实现直接控制用户访问特定的网站,本申请对此不做具体限定。
根据本申请实施例提供的技术方案,通过利用互联网访问的控制装置中的接收模块、判断模块和发送模块,从而根据第二IP地址查找到用户的账号,实现根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限,进而有效避免用户接入网络时因分配的IP地址不同造成的无法直接针对用户进行访问控制的缺陷,进而实现对用户接入网络后访问特定互联网网站的控制。同时,本申请实施例能够使用户不受特定用户终端的限制,即使用户使用不同的用户终端接入无线网络,只要用户采用的用户的账号相同,则能够实现控制用户访问相同的网站。
在本申请一实施例中,判断模块520包括:获取模块521,用于利用根据第二IP地址和映射关系查找到的用户的账号获取用户的账号对应的授权访问的网站列表,其中,映射关系包括第二IP地址和用户的账号之间一一对应的关系;第一子判断模块522,用于判断目标网站的域名地址是否在用户的账号对应的授权访问的网站列表中;发送模块530还用于当判断结果为目标网站的域名地址在用户的账号对应的授权访问的网站列表中时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站。
在本申请一实施例中,获取模块521包括:第一子发送模块5211,用于向认证授权计费AAA服务器发送查询用户的账号对应的授权访问的网站列表的第二请求消息,其中,第二请求消息包括第二IP地址,AAA服务器中保存映射关系和总授权访问的网站列表;第一接收模块5212,用于接收AAA服务器发送的用户的账号对应的授权访问的网站列表,其中,用户的账号对应的授权访问的网站列表是AAA服务器根据映射关系查询到用户的账户,并根据用户的账号从总授权访问的网站列表中查询到的。
在本申请一实施例中,发送模块530包括:第一查询模块531,用于根据目标网站的域名地址查询第一IP地址;第二子发送模块532,用于将第一IP地址发送给第一用户终端以使用户能访问目标网站。
在本申请一实施例中,发送模块530还包括:第三子发送模块533,用于向互联网域名服务器DNS发送查询第一IP地址的第三请求消息,第三请求消息包括目标网站的域名地址;第二接收模块534,用于接收互联网DNS发送的根据第三请求消息查询到的第一IP地址;第三子发送模块535,用于将第一IP地址发送给第一用户终端以使用户能访问目标网站。
在本申请一实施例中,发送模块530还用于当判断结果为用户的账号不具有访问目标网站的权限时,则向第一用户终端发送第三IP地址以使用户无法访问目标网站。
图6所示为本申请一实施例提供的一种认证授权计费***的结构示意图。该认证授权计费***600包括:认证授权计费AAA服务器610,用于执行如图4所示实施例提供的一种互联网访问的控制方法;如图5所示实施例提供的互联网访问的控制装置620,与认证授权计费服务器通信连接,用于控制用户进行互联网访问。
应当理解,认证授权计费***600还可以包括域名服务器,互联网访问的控制装置620与域名服务器通信连接,互联网访问的控制装置可以通过域名服务器获取到目标网站的域名地址对应的第一IP地址,认证授权计费***600还可以包括接入服务器,互联网访问的控制装置620与接入服务器通信连接以接收各种消息等,本申请对此不做具体限定。互联网访问的控制装置620可以是图5所示实施例中的互联网访问的控制装置,也可以是基于图5所示实施例中的互联网访问的控制装置等同替换或明显变型后的控制装置,本申请对此不做具体限制。互联网访问的控制装置620可以是独立于AAA服务器610的设备,也可以与AAA服务器610合为一体,本申请对此不做具体限定。
根据本申请实施例提供的技术方案,通过在认证授权计费***中增设互联网访问的控制装置,另外,通过设置互联网访问的控制装置与AAA服务器通信连接,从而仅需要对AAA服务器进行较小的改动,即可实现控制用户访问特定互联网网站,因而本申请实施例中认证授权计费***对认证授权计费***的原架构改动较小,且不影响认证授权计费***现有的业务流程,具备较高的可用性和可实施性,有利于提高企业使用无线网络的安全性。
图7所示为本申请一实施例提供的一种互联网访问的控制***的框图。
参照图7,控制***700包括处理组件710,其进一步包括一个或多个处理器,以及由存储器720所代表的存储器资源,用于存储可由处理组件710的执行的指令,例如应用程序。存储器720中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件710被配置为执行指令,以执行上述互联网访问的控制方法。
控制***700还可以包括一个电源组件被配置为执行***700的电源管理,一个有线或无线网络接口被配置为将控制***700连接到网络,和一个输入输出(I/O)接口。控制***700可以操作基于存储在存储器720的操作***,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
一种非临时性计算机可读存储介质,当存储介质中的指令由上述控制***700的处理器执行时,使得上述控制***700能够执行一种互联网访问的控制方法,该控制方法由代理程序执行,该控制方法包括:接收用户的第一请求消息,第一请求消息用于查询目标网站的第一网络协议IP地址,第一请求消息包括目标网站的域名地址和用户的账号对应的第二IP地址,第二IP地址为用户接入网络后分配的IP地址;根据第二IP地址和目标网站的域名地址判断用户的账号是否具有访问目标网站的权限;当判断结果为用户的账号具有访问目标网站的权限时,则将根据目标网站的域名地址查询到的第一IP地址发送给用户接入网络时使用的第一用户终端以使用户能访问目标网站。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法、装置和***,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序校验码的介质。
本领域的技术人员可以清楚的了解到,为了描述的方便和简洁,上述描述的装置、***的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
还需要说明的是,本申请实施例中各技术特征的组合方式并不限本申请实施例中所记载的组合方式或是具体实施例所记载的组合方式,本案所记载的所有技术特征可以以任何方式进行自由组合或结合,除非相互之间产生矛盾。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种互联网访问的控制方法,其特征在于,包括:
接收用户的第一请求消息,所述第一请求消息用于查询目标网站的第一网络协议IP地址,所述第一请求消息包括所述目标网站的域名地址和所述用户的账号对应的第二IP地址,所述第二IP地址为所述用户接入网络后分配的IP地址;
根据所述第二IP地址和所述目标网站的域名地址判断所述用户的账号是否具有访问所述目标网站的权限;
当判断结果为所述用户的账号具有访问所述目标网站的权限时,则将根据所述目标网站的域名地址查询到的所述第一IP地址发送给所述用户接入网络时使用的第一用户终端以使所述用户能访问所述目标网站。
2.如权利要求1所述的控制方法,其特征在于,所述根据所述第二IP地址和所述目标网站的域名地址判断所述用户的账号是否具有访问所述目标网站的权限,包括:
利用根据所述第二IP地址和映射关系查找到的所述用户的账号获取所述用户的账号对应的授权访问的网站列表,其中,所述映射关系包括所述第二IP地址和所述用户的账号之间的对应关系;
判断所述目标网站的域名地址是否在所述用户的账号对应的授权访问的网站列表中;
其中,所述当判断结果为所述用户的账号具有访问所述目标网站的权限时,则将根据所述目标网站的域名地址查询到的所述第一IP地址发送给所述用户接入网络时使用的第一用户终端以使所述用户能访问所述目标网站,包括:
当判断结果为所述目标网站的域名地址在所述用户的账号对应的授权访问的网站列表中时,则将根据所述目标网站的域名地址查询到的所述第一IP地址发送给所述用户接入网络时使用的第一用户终端以使所述用户能访问所述目标网站。
3.如权利要求2所述的控制方法,其特征在于,所述利用根据所述第二IP地址和所述映射关系查找到的所述用户的账号获取所述用户的账号对应的授权访问的网站列表,包括:
向认证授权计费AAA服务器发送查询所述用户的账号对应的授权访问的网站列表的第二请求消息,其中,所述第二请求消息包括所述第二IP地址,所述AAA服务器中保存所述映射关系和总授权访问的网站列表;
接收所述AAA服务器发送的所述用户的账号对应的授权访问的网站列表,其中,所述用户的账号对应的授权访问的网站列表是所述AAA服务器根据所述映射关系查询到所述用户的账户,并根据所述用户的账号从所述总授权访问的网站列表中查询到的。
4.如权利要求1所述的控制方法,其特征在于,所述将根据所述目标网站的域名地址查询到的所述第一IP地址发送给所述用户接入网络时使用的第一用户终端以使所述用户能访问所述目标网站,包括:
根据所述目标网站的域名地址查询所述第一IP地址;
将所述第一IP地址发送给所述第一用户终端以使所述用户能访问所述目标网站。
5.如权利要求1所述的控制方法,其特征在于,所述将根据所述目标网站的域名地址查询到的所述第一IP地址发送给所述用户接入网络时使用的第一用户终端以使所述用户能访问所述目标网站,包括:
向互联网域名服务器DNS发送查询所述第一IP地址的第三请求消息,所述第三请求消息包括所述目标网站的域名地址;
接收所述互联网DNS发送的根据所述第三请求消息查询到的所述第一IP地址;
将所述第一IP地址发送给所述第一用户终端以使所述用户能访问所述目标网站。
6.如权利要求1-5中任一项所述的控制方法,其特征在于,还包括:
当判断结果为所述用户的账号不具有访问所述目标网站的权限时,则向所述第一用户终端发送第三IP地址以使所述用户无法访问所述目标网站。
7.一种互联网访问的控制方法,其特征在于,包括:
接收用户的认证请求消息,所述认证请求消息包括用户接入网络时的账号;
当认证成功后,给所述用户接入网络时所使用的第二用户终端分配第二网络协议IP地址和域名服务器地址,其中,所述第二用户终端将互联网访问的控制装置的IP地址配置为所述域名服务器地址以使所述控制装置接收到所述用户的第一请求消息,所述第一请求消息用于查询目标网站的第一IP地址;
保存所述第二IP地址与所述用户的账号之间的对应关系以便利用所述对应关系和所述第二IP地址能查找到所述用户的账号。
8.一种互联网访问的控制装置,其特征在于,包括:
接收模块,用于接收用户的第一请求消息,所述第一请求消息用于查询目标网站的第一网络协议IP地址,所述第一请求消息包括所述目标网站的域名地址和所述用户的账号对应的第二IP地址,所述第二IP地址为所述用户接入网络后分配的IP地址;
判断模块,用于根据所述第二IP地址和所述目标网站的域名地址判断所述用户的账号是否具有访问所述目标网站的权限;
发送模块,用于当判断结果为所述用户的账号具有访问所述目标网站的权限时,则将根据所述目标网站的域名地址查询到的所述第一IP地址发送给所述用户接入网络时使用的第一用户终端以使所述用户能访问所述目标网站。
9.一种认证授权计费***,其特征在于,包括:
认证授权计费AAA服务器,用于执行如权利要求7所述的一种互联网访问的控制方法;
如权利要求8所述的互联网访问的控制装置,与所述AAA服务器通信连接,用于控制用户进行互联网访问。
10.一种计算机可读存储介质,其上存储有计算机可执行指令,其特征在于,所述可执行指令被处理器执行时实现如权利要求1至6中任一项的互联网访问的控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011496569.3A CN114710302A (zh) | 2020-12-17 | 2020-12-17 | 互联网访问的控制方法及其控制装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011496569.3A CN114710302A (zh) | 2020-12-17 | 2020-12-17 | 互联网访问的控制方法及其控制装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114710302A true CN114710302A (zh) | 2022-07-05 |
Family
ID=82166789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011496569.3A Pending CN114710302A (zh) | 2020-12-17 | 2020-12-17 | 互联网访问的控制方法及其控制装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114710302A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115550059A (zh) * | 2022-11-17 | 2022-12-30 | 北京首信科技股份有限公司 | 一种web访问控制及重定向***、方法及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105049404A (zh) * | 2015-05-26 | 2015-11-11 | 江苏省公用信息有限公司 | 一种家庭网关设备动态ip寻址方法和寻址*** |
| CN105553987A (zh) * | 2015-12-21 | 2016-05-04 | 北京首信科技股份有限公司 | 无线vpdn网络用户访问特定公网站点的控制装置和方法 |
| KR101622876B1 (ko) * | 2015-04-06 | 2016-05-31 | 닉스테크 주식회사 | 사이트 접속 차단 방법 및 장치 |
| CN106535189A (zh) * | 2016-11-16 | 2017-03-22 | 迈普通信技术股份有限公司 | 网络访问控制信息配置方法、装置及出口网关 |
| CN108418824A (zh) * | 2018-03-07 | 2018-08-17 | 北京元心科技有限公司 | 访问互联网的方法、装置及终端设备 |
-
2020
- 2020-12-17 CN CN202011496569.3A patent/CN114710302A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101622876B1 (ko) * | 2015-04-06 | 2016-05-31 | 닉스테크 주식회사 | 사이트 접속 차단 방법 및 장치 |
| CN105049404A (zh) * | 2015-05-26 | 2015-11-11 | 江苏省公用信息有限公司 | 一种家庭网关设备动态ip寻址方法和寻址*** |
| CN105553987A (zh) * | 2015-12-21 | 2016-05-04 | 北京首信科技股份有限公司 | 无线vpdn网络用户访问特定公网站点的控制装置和方法 |
| CN106535189A (zh) * | 2016-11-16 | 2017-03-22 | 迈普通信技术股份有限公司 | 网络访问控制信息配置方法、装置及出口网关 |
| CN108418824A (zh) * | 2018-03-07 | 2018-08-17 | 北京元心科技有限公司 | 访问互联网的方法、装置及终端设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115550059A (zh) * | 2022-11-17 | 2022-12-30 | 北京首信科技股份有限公司 | 一种web访问控制及重定向***、方法及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110800331B (zh) | 网络验证方法、相关设备及*** | |
| CN108337677B (zh) | 网络鉴权方法及装置 | |
| JP6007458B2 (ja) | パケット受信方法、ディープ・パケット・インスペクション装置及びシステム | |
| KR101910605B1 (ko) | 무선 단말의 네트워크 접속 제어 시스템 및 방법 | |
| CN101286948B (zh) | 一种访问权限控制的方法和无线接入设备 | |
| CN110602216B (zh) | 多终端使用单账号的方法、装置、云服务器及存储介质 | |
| CN107026813B (zh) | WiFi网络的接入认证方法、***以及门户服务器 | |
| JP4879643B2 (ja) | ネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラム | |
| US20080184354A1 (en) | Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal | |
| CN104104654A (zh) | 一种设置Wifi访问权限、Wifi认证的方法和设备 | |
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、***、装置、设备及存储介质 | |
| US9973590B2 (en) | User identity differentiated DNS resolution | |
| WO2017219748A1 (zh) | 访问权限的确定、页面的访问方法及装置 | |
| CN114363067B (zh) | 一种网络准入控制方法、装置、计算机设备及存储介质 | |
| CN114710302A (zh) | 互联网访问的控制方法及其控制装置 | |
| KR101993860B1 (ko) | 네트워크 접속 제어 시스템 및 방법 | |
| CN113812125B (zh) | 登录行为的校验方法及装置、***、存储介质、电子装置 | |
| KR20090014625A (ko) | 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법 | |
| CN110120932B (zh) | 多路径建立方法及装置 | |
| CN112395586A (zh) | 文件访问的控制方法及装置、***、存储介质、电子装置 | |
| CN116489123A (zh) | 一种基于工业互联网标识的处理方法及装置 | |
| CN113094719B (zh) | 访问控制方法、装置、设备 | |
| CN113992387A (zh) | 资源管理方法、装置、***、电子设备和可读存储介质 | |
| CN113556337A (zh) | 终端地址识别方法、网络***、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |