一種家庭網絡內容訪問控制方法及裝置與流程
2023-12-09 14:35:06 1
本發明涉及通信技術領域,更具體的涉及一種家庭網絡內容訪問控制方法及裝置。
背景技術:
現有的家庭網絡內容訪問控制通常是基於路由器自帶的防火牆中的域名過濾功能,通過網絡管理員逐條手動輸入域名,來實現家庭網絡對該域名的訪問限制,因此,該方法只針對較少域名的情況比較適用,若有大量域名需要限制時,則給網絡管理者增加了極大的負擔。比如,屏蔽某一類型的網站時,家庭路由器則無法實現。
基於netfilter框架的內容過濾算法是目前網絡內容訪問限制的常用方案之一。其中,內容過濾算法主要通過關鍵詞匹配、潛在語義索引、神經網絡等方式,建立修正字詞特徵庫,利用netfilter防火牆自帶的安全功能包過濾功能,過濾網絡數據包中的內容數據。netfilter架構就是在整個網絡流程的若干位置放置檢查點,檢查點上登記處理函數對數據包進行處理。圖1為現有技術中netfilter結構框架圖,在該框架中,對於收到的每個數據包,都需要從a點進來,經過路由判決,若是發送給本機的就經過b點,然後往協議棧的上層繼續傳遞;否則,若該數據包的目的地不是本機,那麼就經過c點,然後順著e點將該包發送出去。基於netfilter框架的內容過濾算法雖然有較高的過濾查準率和查全率,但是在過濾過程中需要消耗較多的計算和存儲資源;該方法在過濾網絡數據時,需要訪問所有ip數據包中的數據。如果是明文數據可以直接掃描過濾,但是若遇到非明文數據(經過編碼或壓縮),還需要經過ip分片重組和協議還原才能進行掃描過濾。圖2為現有技術對非明文數據的過濾方法流程圖,對非明文數據的過濾方法不僅會消耗大量資源,還會增加網絡時延。
綜上所述,現有的家庭網絡內容訪問控制方法存在消耗大量資源,增加網絡時延的問題。
技術實現要素:
本發明實施例提供一種家庭網絡內容訪問控制方法及裝置,用以解決現有的家庭網絡內容訪問控制方法存在消耗大量資源,增加網絡時延的問題。
本發明實施例提供一種家庭網絡內容訪問控制方法,包括:
獲取待檢測的設備對應的dns請求包,從所述dns請求包內解析出與所述dns請求包對應的域名地址;
在緩存區域內獲取所述域名地址的標籤,將所述域名地址的標籤和所述設備的地址與限制列表進行匹配,若匹配成功,則確定所述域名地址為所述設備的限制訪問內容。
優選地,所述將所述域名地址的標籤和所述設備的地址與限制列表進行匹配之前,還包括:
若從所述緩存區域內沒有獲取所述域名地址的標籤,則從網頁http://domain.opendns.com/$內獲取所述域名地址的標籤,並將獲取到的所述域名地址的標籤存儲到所述緩存區域內。
優選地,所述從所述dns請求包內解析出與所述dns請求包對應的域名地址,包括:
解析所述dns請求包,從所述dns請求包中提取請求的url並從所述url中解析出與所述dns請求包對應的域名地址。
優選地,所述將所述域名地址的標籤和所述設備的地址與限制列表進行匹配之後,還包括:
若匹配不成功,將所述dns請求包返回至路由器。
優選地,所述獲取待檢測的設備發出的dns請求包之前,還包括:
與路由器之間建立連接,接收所述路由器設置的待監控的設備對應的所述dsn請求包。
本發明實施例還提供一種家庭網絡內容訪問控制裝置,包括:
解析單元,用於獲取待檢測的設備發出的dns請求包,從所述dns請求包內解析出與所述dns請求包對應的域名地址;
匹配單元,用於在緩存區域內獲取所述域名地址的標籤,將所述域名地址的標籤和所述設備的地址與限制列表進行匹配,若匹配成功,則確定所述域名地址為所述設備的限制訪問內容。
優選地,所述匹配單元還用於:
若從所述緩存區域內沒有獲取所述域名地址的標籤,則從網頁http://domain.opendns.com/$內獲取所述域名地址的標籤,並將獲取到的所述域名地址的標籤存儲到所述緩存區域內。
優選地,所述匹配單元具體用於:解析所述dns請求包,從所述dns請求包中提取請求的url並從所述url中解析出與所述dns請求包對應的域名地址。
優選地,所述匹配單元還用於:
若匹配不成功,將所述dns請求包返回至路由器。
優選地,所述解析單元還用於:
與路由器之間建立連接,接收所述路由器設置的待監控的設備對應的所述dsn請求包。
本發明實施例中,提供了一種家庭網絡內容訪問控制方法,包括:獲取待檢測的設備對應的dns請求包,從所述dns請求包內解析出與所述dns請求包對應的域名地址;在緩存區域內獲取所述域名地址的標籤,將所述域名地址的標籤和所述設備的地址與限制列表進行匹配,若匹配成功,則確定所述域名地址為所述設備的限制訪問內容。現有技術中,由於取得域名地址的標籤的過程需要遠程訪問,會在網絡中增加額外的時延,而在本方法中,將獲得的域名地址的標籤存儲在存儲庫內,在將域名地址的標籤和設備的地址與限制列表進行匹配時,可以先在本地緩存區域內的緩存數據進行匹配,從而減少了系統對網絡時延的影響;進一步地,上述方法採用域名地址的標籤的匹配方法來限制相關標籤的網絡訪問,對資源消耗較少,反應速度快,對於網絡管理者而言操作簡單,只需要選擇相應的標籤即可,從而解決了現有的家庭網絡內容訪問控制方法存在消耗大量資源,增加網絡時延的問題。
附圖說明
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為現有技術中netfilter結構框架圖;
圖2為現有技術對非明文數據的過濾方法流程圖;
圖3為本發明實施例提供的一種家庭網絡內容訪問控制方法流程示意圖;
圖4為本發明實施例一提供的一種家庭網絡內容訪問控制方法流程示意圖;
圖5為本發明實施例提供的一種家庭網絡內容訪問控制裝置結構示意圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
圖3為本發明實施例提供的一種家庭網絡內容訪問控制方法流程示意圖,如圖3所示,該方法包括以下步驟:
步驟301,獲取待檢測的設備對應的dns請求包,從所述dns請求包內解析出與所述dns請求包對應的域名地址;
步驟302,在緩存區域內獲取所述域名地址的標籤,將所述域名地址的標籤和所述設備的地址與限制列表進行匹配,若匹配成功,則確定所述域名地址為所述設備的限制訪問內容。
在步驟301之前,需要先將sdn(英文為:softwaredefinednetwork,中文為:軟體定義網絡)控制與路由器之間建立連接關係,在路由器和sdn控制器之間建立連接關係之後,sdn控制器可以對路由器的流表進行設備,以使路由器將需要監控的設備發出的dns請求包轉發至sdn控制器。
在步驟301中,sdn控制器收到dns(英文為:domainnamesystem,中文為:域名系統)請求包,對收到的dns請求包進行解析,從dns請求包提取出url,然後從url(英文為:uniformresourcelocator,中文為:統一資源定位符)中解析出與請求包對應的域名地址。
在步驟302中,在緩存區域內獲取域名地址的標籤,將域名地址的標籤和設備的地址與限制列表進行匹配。需要說明的是,存儲區域一般都存儲在本地,即不需要網絡訪問,即可以從緩存區域內獲取域名地址的標籤,該方法相對於現有技術中從網頁內獲取域名地址的標籤,減少網絡時延對系統的影響。
在本發明實施例中,若在緩存區域內獲取域名地址的標籤失敗,則需要進入到特定的網址:http://domain.opendns.com/$,從上述網址內獲取域名地址的標籤。其中,特定的網址http://domain.opendns.com/$提供了上千萬的域名的標籤,比如,baidu.com的標籤為searchengine(搜尋引擎);taobao.com的標籤為classifieds、ecommerce/shopping(分類信息,電子商務/購物)。從上述網址中獲取域名地址的標籤後,標籤會自動存入本地緩存區域內。
在本發明實施例中,當從緩存區域內或相應的網址獲取到域名地址的標籤之後,需要將域名地址的標籤和設備的地址與限制列表進行匹配,若匹配成功後,則可以確定該標籤的域名地址在此設備上被限制訪問,sdn控制器需要丟棄該dns請求包,從而可以實現此設備訪問內容的功能。
進一步地,若匹配失敗,則表明該標籤的內容可以在此設備上訪問,sdn不對該dns請求包做任何修改,直接將dns請求包回傳至路由器。
將所述域名地址的標籤和所述設備的地址與限制列表進行匹配,若匹配成功,則確定所述域名地址為所述設備的限制訪問內容。
圖4為本發明實施例一提供的一種家庭網絡內容訪問控制方法流程示意圖,以下結合圖4來具體介紹家庭網絡內容訪問控制方法的具體實現過程:
步驟401,將sdn控制器與路由器建立連接;其中,路由器與家庭終端連接。對路由器流表進行設置,將需要監控的設備發出的dns請求包轉發到sdn控制器。
步驟402,控制器解析dns請求包。
步驟403,從數據包中提取出請求的url,然後從url中解析出域名地址。
步驟404,查詢本地庫,若查詢到域名地址的標籤,執行步驟406;若查詢不到域名地址的標籤,執行步驟405。
步驟405,訪問http://domain.opendns.com/${域名地址},從頁面上取得該域名的標籤。http://domain.opendns.com提供了上千萬的域名的標籤(tags),比如:baidu.com(百度)的標籤為searchengine(搜尋引擎);taobao.com(淘寶)的標籤為classifieds,ecommerce/shopping(分類信息,電子商務/購物)。網絡管理員需要在限制列表中填入相應設備內容限制訪問的標籤。
步驟406,將取得的標籤和設備地址與限制列表做匹配。如果匹配成功,則表明該標籤的域名在此設備上被限制訪問,執行步驟407;如果匹配失敗則表明該標籤的內容可以在此設備上訪問,執行步驟408。
步驟407;sdn控制器丟棄該dns請求包,以實現限制此設備訪問內容的功能。
步驟408:sdn不對該dns請求包做修改,直接回傳給路由器。
基於同一發明構思,本發明實施例提供了一種家庭網絡內容訪問控制裝置,由於該裝置解決技術問題的原理與一種家庭網絡內容訪問控制方法相似,因此該裝置的實施可以參見方法的實施,重複之處不再贅述。
圖5為本發明實施例提供的一種家庭網絡內容訪問控制裝置,如圖5所述,該裝置包括:解析單元501和匹配單元502。
解析單元501,用於獲取待檢測的設備發出的dns請求包,從所述dns請求包內解析出與所述dns請求包對應的域名地址;
匹配單元502,用於在緩存區域內獲取所述域名地址的標籤,將所述域名地址的標籤和所述設備的地址與限制列表進行匹配,若匹配成功,則確定所述域名地址為所述設備的限制訪問內容。
優選地,所述匹配單元502還用於:
若從所述緩存區域內沒有獲取所述域名地址的標籤,則從網頁http://domain.opendns.com/$內獲取所述域名地址的標籤,並將獲取到的所述域名地址的標籤存儲到所述緩存區域內。
優選地,所述匹配單元502具體用於:解析所述dns請求包,從所述dns請求包中提取請求的url並從所述url中解析出與所述dns請求包對應的域名地址。
優選地,所述匹配單元502還用於:
若匹配不成功,將所述dns請求包返回至路由器。
優選地,所述解析單元501還用於:
與路由器之間建立連接,接收所述路由器設置的待監控的設備對應的所述dsn請求包。
應當理解,以上一種家庭網絡內容訪問控制裝置包括的單元僅為根據該設備裝置實現的功能進行的邏輯劃分,實際應用中,可以進行上述單元的疊加或拆分。並且該實施例提供的一種家庭網絡內容訪問控制裝置所實現的功能與上述實施例提供的一種家庭網絡內容訪問控制法一一對應,對於該裝置所實現的更為詳細的處理流程,在上述方法實施例一中已做詳細描述,此處不再詳細描述。
本領域內的技術人員應明白,本發明的實施例可提供為方法、系統、或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限於磁碟存儲器、cd-rom、光學存儲器等)上實施的電腦程式產品的形式。
本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方框圖來描述的。應理解可由電腦程式指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些電腦程式指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器,使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些電腦程式指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些電腦程式指令也可裝載到計算機或其他可編程數據處理設備上,使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理,從而在計算機或其他可編程設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
儘管已描述了本發明的優選實施例,但本領域內的技術人員一旦得知了基本創造性概念,則可對這些實施例作出另外的變更和修改。所以,所附權利要求意欲解釋為包括優選實施例以及落入本發明範圍的所有變更和修改。
顯然,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣,倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內,則本發明也意圖包含這些改動和變型在內。