本申请涉及物联网技术领域,提供基于域名白名单的用户安全管控方法、系统及电子设备,方法包括:响应于管理平台发送的白名单规则更新消息,接收新的白名单规则;新的白名单规则包括白名单域名;根据设备Mac地址确定防火墙规则、ipset集合以及防火墙规则和ipset集合之间一对多的匹配关系;请求公共DNS服务器对白名单域名进行预解析,将解析得到的IPv4和IPv6地址写入对应设备Mac地址的ipset集合;更新白名单配置文件,通知智能DNS读取和解析更新后的白名单配置文件。本申请能够在不重启智能DNS的前提下实施更新白名单配置文件,并且能够满足在不同家庭设备下设置相同白名单网站/APP应用域名的需求。APP应用域名的需求。APP应用域名的需求。
【技术实现步骤摘要】
基于域名白名单的用户安全管控方法、系统及电子设备
[0001]本申请涉及物联网
,具体涉及基于域名白名单的用户安全管控方法、系统及电子设备。
技术介绍
[0002]随着家庭网络带宽不断提速,家庭网络环境大大提升,不良网站以及不良网络信息也随之泛滥,网络安全的重要性愈加凸显;人们希望能够借助网络技术,对指定的网站和APP应用进行有效管理,打造健康、清朗的上网环境。
[0003]人们关注如何实现在网关(即光猫)或路由器的特定下挂设备(通过WiFi或有线连接到网关或路由器上的家庭设备)上,对用户指定的APP应用/网站设置白名单规则,以达到对家庭用户上网行为和时间进行有效管理的目的。
[0004]然而现有技术方案中都是在用户访问白名单APP应用/网站时才会被动触发对APP应用/网站域名DNS报文捕获和解析,但是因浏览器可能会存在秒级或分钟级的缓存时间(浏览器类型不同缓存时间不同),即不一定每次请求都会进行DNS请求,如若在管控下发之前用户已访问指定域名,则需要手动清除浏览器缓存,才能重新触发DNS请求。所以此方案存在管控失效或者管控实时性不高的问题,从而导致用户体验差。
[0005]并且,现有技术中还存在无法在不同家庭设备上对相同的APP应用/网站设置白名单规则,无法满足当前业务需求。
技术实现思路
[0006]本申请实施例提供基于域名白名单的用户安全管控方法、系统及电子设备,用以解决现有技术中公共DNS无法动态获取最新配置文件、无法在不同家庭设备上对相同的APP应用/网站设置白名单规则的技术问题。
[0007]第一方面,本申请实施例提供一种基于域名白名单的用户安全管控方法,应用于端侧组件,基于域名白名单的用户安全管控方法包括:响应于管理平台发送的白名单规则更新消息,发送获取新的白名单规则请求;接收管理平台返回的新的白名单规则;其中新的白名单规则包括白名单域名;根据设备Mac地址确定防火墙规则、ipset集合以及防火墙规则和ipset集合之间一对多的匹配关系;请求公共DNS服务器对白名单域名进行预解析,将解析得到的IPv4和IPv6地址写入对应设备Mac地址的ipset集合;更新白名单配置文件,并通知智能DNS读取和解析更新后的白名单配置文件。
[0008]在一个实施例中,根据设备Mac地址确定防火墙规则、ipset集合以及防火墙规则和ipset集合之间一对多的匹配关系,包括:根据设备Mac地址的唯一性和防火墙规则,确定一对多存储的“白名单域名
‑
IPv4和IPv6地址
‑
多Ipset集合”的对应关系。
[0009]在一个实施例中,通知智能DNS读取和解析更新后的白名单配置文件,包括:与智能DNS在同一个系统环境下建立通信通道;通过通信通道向智能DNS发送更新白名单消息,以使智能DNS读取和解析更新后的白名单配置文件。
[0010]在一个实施例中,响应于管理平台发送的白名单规则更新消息之前,包括:向管理平台发送注册消息;接收管理平台发送的注册成功消息;其中管理平台的数据库中收录有设备Mac地址、SN信息、应用软件/网站对应的域名;将家庭设备信息上报至管理平台。
[0011]第二方面,本申请实施例提供一种基于域名白名单的用户安全管控方法,应用于智能DNS,基于域名白名单的用户安全管控方法包括:当用户访问白名单应用软件/网站时,接收DNS请求报文;对DNS请求报文中的域名和白名单配置文件中的域名进行匹配;将对应域名解析后的所有服务器中的IPv4和IPv6地址更新写入白名单配置文件中指定的ipset集合中;通过ping检测与本地网络访问速度最快的服务器IP,并将访问速度最快的服务器IP返回给本地客户端;根据防火墙规则,将ipset集合中的IPv4和IPv6地址访问的报文流量放行处理。
[0012]在一个实施例中,当用户访问白名单应用软件或网站时,接收DNS请求报文之前,还包括:与端侧组件在同一个系统环境下建立通信通道;通过通信通道接收端侧组件发送的更新白名单消息;响应于更新白名单消息,读取和解析更新后的白名单配置文件。
[0013]在一个实施例中,IPv4和IPv6地址和ipset集合之间是根据设备Mac地址的唯一性和防火墙规则确定的一对多的“白名单域名
‑
IPv4和IPv6地址
‑
多Ipset集合”的对应关系。
[0014]第三方面,本申请实施例提供一种基于域名白名单的用户安全管控系统,包括端侧组件、智能DNS、用户终端和管理平台;用户终端用于接收用户指令触发指定应用程序或网站的白名单管控,管理平台用于下发白名单域名;端侧组件用于执行上述的基于域名白名单的用户安全管控方法的步骤,智能DNS用于执行上述的基于域名白名单的用户安全管控方法的步骤。
[0015]第四方面,本申请实施例提供一种电子设备,包括处理器和存储有计算机程序的存储器,处理器执行程序时实现第一方面的基于域名白名单的用户安全管控方法的步骤。
[0016]第五方面,本申请实施例一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种基于域名白名单的用户安全管控方法的步骤。
[0017]本申请实施例提供的基于域名白名单的用户安全管控方法、系统及电子设备,方法包括:响应于管理平台发送的白名单规则更新消息,接收新的白名单规则;新的白名单规则包括白名单域名;根据设备Mac地址确定防火墙规则、ipset集合以及防火墙规则和ipset集合之间一对多的匹配关系;请求公共DNS服务器对白名单域名进行预解析,将解析得到的IPv4和IPv6地址写入对应设备Mac地址的ipset集合;更新白名单配置文件,通知智能DNS读取和解析更新后的白名单配置文件。本申请能够在不重启智能DNS的前提下实施更新白名单配置文件,并且能够满足在不同家庭设备下设置相同白名单网站/APP应用域名的需求;并且本申请不涉及系统内核改造,所有模块都运行在用户空间,便于厂商集成和产品推广。
附图说明
[0018]为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1是本申请实施例提供的基于域名白名单的用户安全管控方法的流程示意图之一;
[0020]图2是现有技术中ipset集合写入功能相关的数据结构示意图;
[0021]图3是本专利技术实施例中ipset集合写入功能相关的数据结构示意图;
[0022]图4是本申请实施例提供的将白名单域名对应的IP地址写入的示意图;
[0023]图5是相关技术中调用第三方libPcap库捕获白名单APP应用/网站的域名的流程示意图;
[0024]图6是本申请实施例提供的原生智能DNS的基本框架示意图;
[00本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于域名白名单的用户安全管控方法,其特征在于,应用于端侧组件,所述基于域名白名单的用户安全管控方法包括:响应于管理平台发送的白名单规则更新消息,发送获取新的白名单规则请求;接收所述管理平台返回的新的白名单规则;其中所述新的白名单规则包括白名单域名;根据设备Mac地址确定防火墙规则、ipset集合以及所述防火墙规则和所述ipset集合之间一对多的匹配关系;请求公共DNS服务器对所述白名单域名进行预解析,将解析得到的IPv4和IPv6地址写入对应设备Mac地址的ipset集合;更新白名单配置文件,并通知智能DNS读取和解析更新后的白名单配置文件。2.根据权利要求1所述的基于域名白名单的用户安全管控方法,其特征在于,所述根据设备Mac地址确定防火墙规则、ipset集合以及所述防火墙规则和所述ipset集合之间一对多的匹配关系,包括:根据设备Mac地址的唯一性和防火墙规则,确定一对多存储的“白名单域名
‑
IPv4和IPv6地址
‑
多Ipset集合”的对应关系。3.根据权利要求1所述的基于域名白名单的用户安全管控方法,其特征在于,所述通知智能DNS读取和解析更新后的白名单配置文件,包括:与所述智能DNS在同一个系统环境下建立通信通道;通过所述通信通道向所述智能DNS发送更新白名单消息,以使所述智能DNS读取和解析更新后的白名单配置文件。4.根据权利要求1所述的基于域名白名单的用户安全管控方法,其特征在于,所述响应于管理平台发送的白名单规则更新消息之前,包括:向所述管理平台发送注册消息;接收所述管理平台发送的注册成功消息;其中所述管理平台的数据库中收录有设备Mac地址、SN信息、应用软件/网站对应的域名;将家庭设备信息上报至所述管理平台。5.一种基于域名白名单的用户安全管控方法,其特征在于,应用于智能DNS,所述基于域名白名单的用户安全管控方法包括:当用户访问白名单应用软件/网站时,接收DNS请求报文;对所述DNS请求报文中的域名...
【专利技术属性】
技术研发人员:徐志辉,吴君轶,张彬彬,章继虎,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。