CN110138714A - 访问处理的方法、装置、电子设备和存储介质 - Google Patents

访问处理的方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN110138714A
CN110138714A CN201810135702.9A CN201810135702A CN110138714A CN 110138714 A CN110138714 A CN 110138714A CN 201810135702 A CN201810135702 A CN 201810135702A CN 110138714 A CN110138714 A CN 110138714A
Authority
CN
China
Prior art keywords
access
terminal
controlled terminal
website
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810135702.9A
Other languages
English (en)
Inventor
付为民
郝建忠
郑浩彬
陈涛
孙际勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Guangdong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201810135702.9A priority Critical patent/CN110138714A/zh
Publication of CN110138714A publication Critical patent/CN110138714A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种访问处理的方法、装置、电子设备和存储介质。所述方法包括根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据,所述访问数据包括受控终端的访问位置、访问时间以及网站的地址;若所述访问数据满足主控终端预先设置的受控终端的限制访问条件,拒绝所述上网访问请求,所述限制访问条件包括以下至少一种:访问时间在预设时间段内,访问位置在预设区域内,网站的地址属于限制访问的网站。所述方法由主控终端自主设置多维度的限制访问条件,在受控终端的访问数据满足限制访问条件时,判决禁止受控终端继续上网,可有效管控受控终端的上网行为。

Description

访问处理的方法、装置、电子设备和存储介质
技术领域
本发明实施例涉及通信技术领域,特别是一种访问处理的方法、装置、电子设备和存储介质。
背景技术
经过二十几年的高速发展,互联网以其内容丰富、资源共享和沟通便利等特点渗透到人们生活的方方面面,不仅成为学习工作中不可或缺的工具,更成为了企业运营及信息交互的高效能平台,在信息时代占据了无可取代的重要位置。
然而,任何事物都存在两面性,人们享受着互联网带来的便捷和乐趣的同时,无可不免的遭遇到种种困扰。诈骗信息不断、色情泛滥、信息泄密、非法言论的滋生等不断对社会稳定、企业运营、青少年成长构成威胁。
例如,自制力弱的未成年人在课堂上通过手机玩游戏,可能影响学业,或者缺乏判断力的青少年、老人等被诱惑诈骗后通过网银或支付app等造成财产损失等等。
由此,有必要对未成年人持有的终端的上网行为进行管理控制,现有技术中对终端的上网行为进行管理控制的方案主要有两种:
方案1、运营商在网络侧通过黑白名单的方式对客户端请求的url或访问的目的ip进行管控。运营商在其网络中的相关设备中配置黑白名单列表,用户终端的上网请求到达相关网络设备后,识别用户请求的url或访问的目的ip,并依次检索匹配,如果此url或访问的目的ip在黑名单中命中,则不再继续处理该上网请求,拒绝用户访问,如果命中白名单中的url或目的ip则直接放通。
该方案的优点:简单直接,凡是命中黑名单中的url或目的ip都不再进行下一步上网请求,命中白名单的url或目的ip则直接放通。
方案2、通过主控与受控APP(Application,应用程序)的方式实现。一台终端安装主控app,另一台终端安装被控app,主控app可以通过黑白名单的方式控制被控端可以访问或者不可访问的url或目的ip,也可控制被控端上网的时间段。
该方案的优点:方案简单,不需要运营商中网络设备功能的开发支持,对组网没有影响。只需要主控和被控端分别安装对应的app,并且绑定主控、被控关系即可实现。
方案1的缺点:
目前的方案只能对用户的上网时间、访问内容进行设置,不支持其他个性化管控。
方案2的缺点:
1、该方案需要app获取用户终端的高级权限,并且受终端操作系统的限制,如目前安卓终端安装app并授权root权限后可以实现管控,但是苹果产品的iOS系统中无法实现。
2、当未成年人通过特殊途径卸载受控终端上的受控APP后,限制访问条件就失效了,主控APP无法再控制受控终端的上网行为。
发明内容
针对现有技术的缺陷,本发明实施例提供一种访问处理的方法、装置、电子设备和存储介质。
一方面,本发明实施例提供一种访问处理的方法,所述方法包括:
根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据,所述访问数据包括受控终端的访问位置、访问时间以及网站的地址;
若所述访问数据满足主控终端预先设置的受控终端的限制访问条件,拒绝所述上网访问请求,所述限制访问条件包括以下至少一种:访问时间在预设时间段内,访问位置在预设区域内,网站的地址属于限制访问的网站。
另一方面,本发明实施例提供一种访问处理的装置,所述访问处理的装置包括:
识别模块,用于根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据,所述访问数据包括受控终端的访问位置、访问时间以及网站的地址;
拒绝模块,用于若所述访问数据满足主控终端预先设置的受控终端的限制访问条件,拒绝所述上网访问请求,所述限制访问条件包括以下至少一种:访问时间在预设时间段内,访问位置在预设区域内,网站的地址属于限制访问的网站。
另一方面,本发明实施例还提供一种电子设备,包括存储器、处理器、总线以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上方法的步骤。
另一方面,本发明实施例还提供一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上方法的步骤。
由上述技术方案可知,本发明实施例提供的访问处理的方法、装置、电子设备和存储介质,所述方法由主控终端自主设置多维度的限制访问条件,在受控终端的访问数据满足限制访问条件时,判决禁止受控终端继续上网,可有效管控受控终端的上网行为。
附图说明
图1为本发明实施例提供的一种访问处理的方法的流程示意图;
图2为本发明又一实施例提供的网络拓扑示意图;
图3为本发明又一实施例提供的核心业务流程示意图;
图4为本发明又一实施例提供的一种访问处理的装置的结构示意图;
图5为本发明又一实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明实施例一部分实施例,而不是全部的实施例。
术语解释
主控方:可自主在主控终端上设置限制访问条件的人,例如为家长或老师。
主控终端:主控方持有的终端,用于设置限制访问条件,管理受控终端的上网行为。
受控方:上网行为受限制访问条件控制的人,例如为未成年人或老人。
受控终端:受控方持有的终端,受控终端的上网行为由主控终端管理。
图1示出了本发明实施例提供的一种访问处理的方法的流程示意图。
如图1所示,本发明实施例提供的方法具体包括以下步骤:
步骤11、根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据,所述访问数据包括受控终端的访问位置、访问时间以及网站的地址;
可选地,本发明实施例提供的方法在访问处理的装置上实现,访问处理的装置根据组网结构不同,可以是核心网内的一个网元,也可以是骨干网内的一个网元。
可选地,受控终端在上网时,将发起上网访问请求,包括受控终端的标识和访问数据。
可选地,上网访问请求可为一个数据包,所述数据包的包头携带受控终端的标识和访问数据。
可选地,受控终端将上网访问请求发送至基站,基站转发至访问处理的装置。
可选地,访问处理的装置接收并解析上网访问请求,经过识别后得到受控终端的访问数据。
可选地,访问位置是受控终端请求访问网站时所处的位置信息,访问时间是受控终端请求访问网站时的时间,网站的地址是受控终端请求访问的网站的URL(Uniform/Universal Resource Locator,统一资源定位符)或目的IP(Internet Protocol,网络之间互连的协议)地址。
步骤12、若所述访问数据满足主控终端预先设置的受控终端的限制访问条件,拒绝所述上网访问请求,所述限制访问条件包括以下至少一种:访问时间在预设时间段内,访问位置在预设区域内,网站的地址属于限制访问的网站。
可选地,根据所述受控终端的标识,查找数据库,数据库包括每一受控终端以及对应的限制访问条件,限制访问条件预先由主控终端自主设置,用于限制主控终端对应的受控终端的上网行为。
可选地,查找得到当前上网访问请求的受控终端的限制访问条件后,根据所述访问数据,结合限制访问条件,进行访问判决。
可选地,主控方根据实际情况,可设置不同的限制访问条件。
可选地,所述限制访问条件可存在7种情况:
1、访问时间在预设时间段内;
2、访问位置在预设区域内;
3、网站的地址属于限制访问的网站;
4、访问时间在预设时间段内和访问位置在预设区域内;
5、访问时间在预设时间段内和网站的地址属于限制访问的网站;
6、访问位置在预设区域内和网站的地址属于限制访问的网站;
7、访问时间在预设时间段内、访问位置在预设区域内和网站的地址属于限制访问的网站。
针对第1种情况,若主控方设置的限制访问条件是访问时间在预设时间段内,表示主控方预先设置至少一个时间段,若受控终端的访问时间在预设时间段内,禁止受控终端上网。
可选地,访问处理的装置根据访问数据中的访问时间,与预设时间段进行比较。
若访问时间在预设时间段之内,则访问处理的装置向受控终端返回拒绝消息,用于拒绝受控终端本次发起的上网访问请求。
若访问时间不在预设时间段之内,则通过所述上网访问请求。
举例来说,受控方为未成年人,预设时间段为学校的上课时间,从而限制未成年人在上课时间不能通过受控终端上网。
针对第2种情况,若主控方设置的限制访问条件是访问位置在预设区域内,表示主控方预先设置至少一个区域,若受控终端的访问位置在预设区域内,禁止受控终端上网。
可选地,访问处理的装置根据访问数据中的访问位置与预设区域进行比较。
若访问位置在预设区域内,则拒绝该上网访问请求。
若访问位置不在预设区域内,则通过该上网访问请求。
举例来说,受控方为未成年人,预设区域为校园,从而限制未成年人在校园内不能通过受控终端上网。
针对第3种情况,若主控方设置的限制访问条件是网站的地址属于限制访问的网站,表示主控方预先设置黑名单或白名单。
若设置黑名单,黑名单中包括至少一个禁止访问的网站的地址,则限制访问的网站是黑名单中的网站。
若设置白名单,白名单中包括至少一个允许访问的网站的地址,则限制访问的网站是除白名单中的网站之外的网站。
也就是说,限制访问的网站可为黑名单中的网站,或者除白名单中的网站之外的网站。
若受控终端请求的网站的地址与黑名单中的地址匹配,禁止受控终端访问这一网站,或者受控终端请求的网站的地址不与白名单中的任一地址匹配,也禁止受控终端访问这一网站。
举例来说,受控方为未成年人,设置黑名单为游戏网站,从而禁止受控方不能通过受控终端玩游戏。或设置白名单为教育学习网站,从而禁止受控方访问除了教育学习网站以外的网站。
针对第4种情况,若主控方设置的限制访问条件是访问时间在预设时间段内和访问位置在预设区域内,则访问处理的装置根据访问数据中的访问时间与预设时间段进行比较,并根据访问数据中的访问位置与预设区域进行比较。
若访问时间在预设时间段内或者访问位置在预设区域内,拒绝该上网访问请求。
若访问时间不在预设时间段内且访问位置不在预设区域内,则通过该上网访问请求。
针对第5种情况,若主控方设置的限制访问条件是访问时间在预设时间段内和网站的地址属于限制访问的网站,则访问处理的装置根据访问数据中的访问时间与预设时间段进行比较,并根据访问数据中的网站的地址与限制访问的网站进行比较。
若访问时间在预设时间段内或者网站的地址属于限制访问的网站,则拒绝该上网访问请求。
若访问时间不在预设时间段内且网站的地址不属于限制访问的网站,则通过该上网访问请求。
举例来说,受控方为未成年人,根据实际情况,可以不禁止在上课时间的全部上网行为,而是不能访问影响学习的网站。
针对第6种情况,若主控方设置的限制访问条件是访问位置在预设区域内和网站的地址属于限制访问的网站。
若访问位置在预设区域内或者网站的地址属于限制访问的网站,则拒绝该上网访问请求。
若访问位置在预设区域内且网站的地址不属于限制访问的网站,则通过该上网访问请求。
举例来说,受控方为未成年人,根据实际情况,可以不禁止在校园的全部上网行为,而是不能访问影响学习的网站。
针对第7种情况,若主控方设置的限制访问条件是访问时间在预设时间段内、访问位置在预设区域内和网站的地址属于限制访问的网站。
访问时间在预设时间段内、访问位置在预设区域内和网站的地址属于限制访问的网站中满足任一个条件,都拒绝该上网访问请求。
在访问时间不在预设时间段内、访问位置不在预设区域内且网站的地址不属于限制访问的网站时,通过该上网访问请求。
可选地,若所述访问数据不满足预先获取的受控终端的限制访问条件,将所述上网访问请求转发至后续网元。
可选地,访问处理的装置判决通过时,可不进行干预,将所述上网访问请求转发至后续网元。
可选地,访问处理的装置判决拒绝时,可发送拒绝消息至所述受控终端,使得受控终端无法继续访问网站。
在本步骤中,访问处理的装置充分利用运营商的网络侧优势,由于全网的上网访问请求都经过访问处理的装置,在访问处理的装置上部署管控功能,可以实现对受控终端的管控。
相较于现有技术在受控终端上安装受控APP来实现对受控终端的控制,本发明实施例由主控方配置相关限制访问条件,运营商的网络中访问处理的装置执行管控,在此过程中,受控终端无需安装受控APP,避免受控APP被卸载后控制失效的问题。
应当说明的是,本发明实施例由主控终端自主设置的限制访问条件,从而实现主控终端针对单个受控终端的时间、位置和上网内容多维度灵活控制。
本发明实施例提供的访问处理的方法,由主控终端自主设置多维度的限制访问条件,访问处理的装置在受控终端的访问数据满足限制访问条件时,判决禁止受控终端继续上网,可有效管控受控终端的上网行为。
在上述实施例的基础上,本发明又一实施例提供的访问处理的方法,若所述访问数据不满足所述限制访问条件且网站的地址属于待授权网站,向受控终端绑定的主控终端发送授权请求;
接收主控终端发送的不予授权消息,拒绝所述上网访问请求。
由于网络诈骗事件频发,部分缺乏判断力的未成年人或老人轻信网络中的诈骗信息,通过网银或支付APP给犯罪分子汇款,由此造成财产损失。有必要对未成年人或老人持有的受控终端的上网行为进行授权管理。
可选地,访问处理的装置不仅判断所述访问数据是否满足预先获取的受控终端的限制访问条件,还判断网站的地址是否属于待授权网站。
可选地,待授权网站为敏感网站,例如为网络银行的网站地址和支付APP的支付页面地址等。
可选地,如果网站的地址属于待授权网站,则缓存所述上网访问请求。
可选地,访问处理的装置向受控终端绑定的主控终端发起授权请求,以供主控方根据实际情况端判断是否授权所述上网访问请求。
举例来说,针对网络诈骗频发的现状,家庭成员之间需要管控家里老人和未成年人对网银的访问。
可选地,在受控终端进行网银转账时,不能直接转账,访问处理的装置收到网银网站的上网访问请求时,向主控终端发起授权申请,使得主控方获知发生转账的行为。
可选地,受控方和主控方可进行语音通话,使得主控方判断本次转账的接收方是否是犯罪嫌疑人,从而判断是否授权本次转账。
若主控方判断本次转账是安全的,可通过授权,使得受控终端继续转账。
若主控方判断本次转账不安全,不能授权,则通过主控终端发送不予授权消息至访问处理的装置,使得受控终端不能继续访问网站,从而无法完成转账。
应当说明的是,日常生活有网络转账的需求,若将网银类转账网站设置为限制访问的网站,直接禁止会对日常生活造成不便,通过授权可兼顾方便和安全。
本发明实施例其他步骤与前述实施例步骤相似,本发明实施例不再赘述。
本发明实施例提供的访问处理的方法,若判断网站的地址属于待授权网站的地址,使主控终端针对本次上网访问请求进行授权判决,从而兼顾方便和安全。
在上述实施例的基础上,本发明又一实施例提供的访问处理的方法,接收主控终端发送的不予授权消息,拒绝所述上网访问请求的步骤之后,所述方法还包括:
接收主控终端发送的第一授权消息,所述第一授权消息表示主控终端授权所述上网访问请求;
或者,
接收主控终端发送的第二授权消息,所述第二授权消息表示主控终端授权所述上网访问请求以及后续单位时间内的上网访问请求。
若主控方判断本次转账安全,确定可授权当前的上网访问请求,则发送第一授权消息至访问处理的装置。
可以理解的是,受控终端的转账行为是可持续的,例如银行单日限额不同,受控终端的大额转账需通过不同银行的网站进行转账,也就是说,在本次转账之后,还会发生多次转账。
若每一次网站的地址都属于待授权网站的地址,需分别进行授权,给双方带来不便。
在本步骤中,主控方在确定单位时间内(例如5分钟)内,受控方还将访问待授权网站,可一次性授权接下来5分钟内的上网访问请求,通过主控终端发送第二授权消息,无需多次授权,可快速实现授权管理。
本发明实施例其他步骤与前述实施例步骤相似,本发明实施例不再赘述。
本发明实施例提供的访问处理的方法,主控终端发送第二授权消息,授权所述上网访问请求以及后续单位时间内的上网访问请求,可快速实现授权管理。
在上述实施例的基础上,本发明又一实施例提供的访问处理的方法,所述上网访问请求中包括终端的标识,相应地,根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据的步骤之前,所述方法包括:
根据所述终端的标识,判断是否与预先存储的受控终端的标识匹配;
若匹配,则确定该终端是受控终端。
可选地,访问处理的装置接收终端的上网访问请求,识别得到终端的标识。
可选地,根据终端的标识,判断该终端是否为受控终端。
如果该终端的标识与任一个受控终端的标识不相同,则访问处理的装置判断该终端不是受控终端,则直接放通该上网访问请求,也就是说,无需做任何处理,将该上网访问请求发送至后续网元,以供终端与访问的网站服务器建立网络连接。
如果该终端的标识与一个受控终端的标识相同,确定该终端是受控终端,根据该受控终端的上网访问请求,识别受控终端的访问数据,获取受控终端的限制访问条件,进行访问判决。
本发明实施例其他步骤与前述实施例步骤相似,本发明实施例不再赘述。
本发明实施例提供的访问处理的方法,先确定该终端是否是受控终端,若是,则获取受控终端的限制访问条件,进行访问判决,可快速准确的实现访问管控。
在上述实施例的基础上,本发明又一实施例提供的访问处理的方法,根据所述终端的标识,判断是否与预先存储的受控终端的标识匹配的步骤之前,所述方法包括:
接收主控终端发送的绑定请求,所述绑定请求包括主控终端的标识和受控终端的标识;
向受控终端发送绑定消息;
接收受控终端返回的通过消息,将受控终端的标识存储在数据库。
可选地,主控终端获取受控终端的标识,向主控终端的后台服务器发送绑定请求,用于请求将主控终端和受控终端进行绑定,以供后续主控终端对受控终端进行控制。
可选地,通过鉴权绑定主控终端和受控终端,例如向受控终端发送绑定消息:“是否授权主控终端进行管理?”。
可选地,在受控终端返回通过消息后,完成主控终端和受控终端的绑定,访问处理的装置将受控终端的标识存储至数据库。
可选地,主控终端通过网页界面或者app配置相关限制访问条件,限制访问条件自动同步到后台服务器,后台服务器自动根据相关限制访问条件调度运营商网络内的访问处理的装置执行管控,即使主控用户配置完毕策略后卸载app,管控策略依然生效。
本发明实施例其他步骤与前述实施例步骤相似,本发明实施例不再赘述。
本发明实施例提供的访问处理的方法,预先实现主控终端和受控终端的绑定,并将受控终端的标识存储在数据库,可实现对受控终端的上网行为的管控。
在上述实施例的基础上,本发明又一实施例提供的访问处理的方法,拒绝所述上网访问请求的步骤具体为:
向受控终端发送拒绝消息、向基站发送释放链接消息或丢弃所述上网访问请求。
拒绝所述上网访问请求的方式可有多种,本发明实施例以其中一种为例进行说明。
可选地,访问处理的装置可有三种处理方式:可直接向受控终端发送拒绝消息,受控终端无法继续访问。
可选地,可向基站发送释放链接消息,用于释放受控终端与接入网的RRC(RadioResource Control,无线资源控制)链接,使得受控终端无法连接网络。
可选地,访问处理的装置丢弃所述上网访问请求,不向后续网元转发所述上网访问请求,从而受控终端无法与网站服务器建立连接。
本发明实施例其他步骤与前述实施例步骤相似,本发明实施例不再赘述。
本发明实施例提供的访问处理的方法,访问处理的装置向受控终端发送拒绝消息、向基站发送释放链接消息或丢弃所述上网访问请求,使得受控终端无法继续上网行为。
为了更充分理解本发明的技术内容,在上述实施例的基础上,详细说明本发明实施例提供的访问处理的方法。
本发明实施例中访问处理的装置充分利用运营商的网络侧优势,在全流量都经过的网络设备上部署识别与执行模块、定位模块、以及策略控制模块,从而实施针对单个号码的时间、位置、黑名单、白名单、待授权名单等多维度灵活管控功能。
如:为避免孩子沉迷游戏或者课堂上玩手机,家长和孩子通过鉴权绑定主控受控关系后,家长可以设置孩子可以访问教育网站,不能访问游戏网站;或者设置在某些时间段(如上课时间)不能通过终端上网,或仅可以访问特定网站;或者设置孩子进入学校区域后就无法上网,或仅可以访问特定网站。
面对网络诈骗频发的现状,家庭成员之间可以鉴权绑定主备控关系,将家里的老人孩子设置为受控终端,当老人孩子在访问网银、支付应用时启用授权模式,系统自动向主控终端发起授权申请,只有通过授权受控终端才可以继续访问。
图2为本发明又一实施例提供的网络拓扑示意图。
如图2所示,各个模块主要功能如下表1:
表1
本发明实施例主要有两部分:
一、主控终端通过系统提供的界面或者app鉴权绑定主备控关系、配置受控端的管控策略、设置url/目的ip黑名单、白名单、待授权名单等,系统自动将相关鉴权数据、主受控关系、管控策略数据保存到后台数据库中。
二、在受控终端上网过程中,识别与执行模块识别用户的身份信息、访问的url/目的ip、访问位置等,首先通过用户信息在数据库中匹配该用户是否是受控终端,如果不是受控终端,网络设备则直接放通该上网访问请求,如果是受控终端则匹配受控时间段、受控位置区域、url/目的ip黑名单、url/目的ip白名单、url/目的ip待授权名单,结合受控终端的实时访问位置及当前时间点,由策略控制模块综合判断该用户的本次请求该拒绝、该放通还是该向主控终端请求授权。如果需要放通,网络设备则不需要进行任何干预;如果需要拒绝,则由网络设备直接拒绝本次请求、直接释放链接或者直接将数据包丢弃等等;如果需要申请鉴权,则由网络设备暂时保持该请求,策略控制模块向主控终端发起鉴权请求,主控终端可以选择只允许本次请求、接下来5分钟(时间可以自定义)对于该请求都直接放通或者选择不同意通过鉴权。
图3为本发明又一实施例提供的核心业务流程示意图。
如图3所示,本发明实施例对多维度管控策略为:
a、黑/白名单:根据7层域名封堵/放通指定用户;
b、分时管制:在设定时间内启用黑名单或者白名单;
c、位置管制:用户进入或者离开设定位置区域后启用黑名单或者白名单。
d、全阻断/全放通:在设定的时间或者设定位置区域内/外,关闭指定用户的全部上网功能或者放通用户的全部上网功能;
e、授权模式:当受控终端访问待授权名单内的url/目的ip时,系统会自动向主控终端发起授权申请,只有主控终端回复同意授权后,受控终端才能继续访问。
本发明实施例提供的访问处理的方法,具备如下几方面的优点:
1、本发明实施例不依赖app获取终端root权限后对终端的控制,用户通过界面配置相关管控策略后卸载app,管控策略依然生效。而现有方案是依赖app获取root权限,然后对终端进行管控,用户卸载app后管控策略立即失效。
2、实现了基于时间、空间、url/目的ip黑名单、url/目的ip白名单、url/目的ip待授权名单多维度灵活组合的管控。
3、针对敏感网站,如网银、支付app等应用等,本方案支持授权模式,即当受控终端访问待授权名单内的url/目的ip时,系统会自动向主控终端发起授权申请,只有主控终端回复同意授权后,受控终端才能继续访问。
图4为本发明又一实施例提供的一种访问处理的装置的结构示意图。
参照图4,在上述实施例的基础上,本发明实施例提供的访问处理的装置,所述装置包括识别模块41和拒绝模块42,其中:
识别模块41用于根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据,所述访问数据包括受控终端的访问位置、访问时间以及网站的地址;拒绝模块42用于若所述访问数据满足主控终端预先设置的受控终端的限制访问条件,拒绝所述上网访问请求,所述限制访问条件包括以下至少一种:访问时间在预设时间段内,访问位置在预设区域内,网站的地址属于限制访问的网站。
可选地,受控终端在上网时,将发起上网访问请求,包括受控终端的标识和访问数据。
可选地,上网访问请求可为一个数据包,所述数据包的包头携带受控终端的标识和访问数据。
可选地,受控终端将上网访问请求发送至识别模块41。
可选地,识别模块41接收并解析上网访问请求,经过识别后得到受控终端的访问数据。
可选地,访问位置是受控终端请求访问网站时所处的位置信息,访问时间是受控终端请求访问网站时的时间,网站的地址是受控终端请求访问的网站的URL(Uniform/Universal Resource Locator,统一资源定位符)或目的IP(Internet Protocol,网络之间互连的协议)地址。
可选地,拒绝模块42根据所述受控终端的标识,查找数据库,数据库包括每一受控终端以及对应的限制访问条件,限制访问条件预先由主控终端自主设置,用于限制主控终端对应的受控终端的上网行为。
可选地,查找得到当前上网访问请求的受控终端的限制访问条件后,根据所述访问数据,结合限制访问条件,进行访问判决。
可选地,主控方根据实际情况,可设置不同的限制访问条件。
可选地,所述限制访问条件可存在7种情况:
1、访问时间在预设时间段内;
2、访问位置在预设区域内;
3、网站的地址属于限制访问的网站;
4、访问时间在预设时间段内和访问位置在预设区域内;
5、访问时间在预设时间段内和网站的地址属于限制访问的网站;
6、访问位置在预设区域内和网站的地址属于限制访问的网站;
7、访问时间在预设时间段内、访问位置在预设区域内和网站的地址属于限制访问的网站。
可选地,若所述访问数据不满足预先获取的受控终端的限制访问条件,将所述上网访问请求转发至后续网元。
可选地,拒绝模块42判决通过时,可不进行干预,将所述上网访问请求转发至后续网元。
可选地,拒绝模块42判决拒绝时,可发送拒绝消息至所述受控终端,使得受控终端无法继续访问网站。
在本步骤中,拒绝模块42充分利用运营商的网络侧优势,由于全网的上网访问请求都经过访问处理的装置,在访问处理的装置上部署管控功能,可以实现对受控终端的管控。
相较于现有技术在受控终端上安装受控APP来实现对受控终端的控制,本发明实施例由主控方配置相关限制访问条件,运营商的访问处理的装置执行管控,在此过程中,受控终端无需安装受控APP,避免受控APP被卸载后控制失效的问题。
应当说明的是,本发明实施例由主控终端自主设置的限制访问条件,从而实现主控终端针对单个受控终端的时间、位置和上网内容多维度灵活控制。
本发明实施例提供的访问处理的装置,可用于执行上述方法实施例的方法,本实施不再赘述。
本发明实施例提供的访问处理的装置,由主控终端自主设置多维度的限制访问条件,访问处理的装置在受控终端的访问数据满足限制访问条件时,判决禁止受控终端继续上网,可有效管控受控终端的上网行为。
图5示出了本发明又一实施例提供的一种电子设备的结构示意图。
参阅图5,本发明实施例提供的电子设备,所述电子设备包括存储器(memory)51、处理器(processor)52、总线53以及存储在存储器51上并可在处理器上运行的计算机程序。其中,所述存储器51、处理器52通过所述总线53完成相互间的通信。
所述处理器52用于调用所述存储器51中的程序指令,以执行所述程序时实现如图1的方法。
在另一种实施方式中,所述处理器执行所述程序时实现如下方法:
若所述访问数据不满足所述限制访问条件且网站的地址属于待授权网站,向受控终端绑定的主控终端发送授权请求;
接收主控终端发送的不予授权消息,拒绝所述上网访问请求。
在另一种实施方式中,所述处理器执行所述程序时实现如下方法:
接收主控终端发送的不予授权消息,拒绝所述上网访问请求的步骤之后,所述方法还包括:
接收主控终端发送的第一授权消息,所述第一授权消息表示主控终端授权所述上网访问请求;
或者,
接收主控终端发送的第二授权消息,所述第二授权消息表示主控终端授权所述上网访问请求以及后续单位时间内的上网访问请求。
在另一种实施方式中,所述处理器执行所述程序时实现如下方法:
所述上网访问请求中包括终端的标识,相应地,根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据的步骤之前,所述方法包括:
根据所述终端的标识,判断是否与预先存储的受控终端的标识匹配;
若匹配,则确定该终端是受控终端。
在另一种实施方式中,所述处理器执行所述程序时实现如下方法:
根据所述终端的标识,判断是否与预先存储的受控终端的标识匹配的步骤之前,所述方法包括:
接收主控终端发送的绑定请求,所述绑定请求包括主控终端的标识和受控终端的标识;
向受控终端发送绑定消息;
接收受控终端返回的通过消息,将受控终端的标识存储在数据库。
在另一种实施方式中,所述处理器执行所述程序时实现如下方法:
拒绝所述上网访问请求的步骤具体为:
向受控终端发送拒绝消息、向基站发送释放链接消息或丢弃所述上网访问请求。
在另一种实施方式中,所述处理器执行所述程序时实现如下方法:
若所述访问数据不满足预先获取的受控终端的限制访问条件,将所述上网访问请求转发至后续网元。
本发明实施例提供的电子设备,可用于执行上述方法实施例的方法对应的程序,本实施不再赘述。
本发明实施例提供的电子设备,通过所述处理器执行所述程序时实现由主控终端自主设置多维度的限制访问条件,访问处理的装置在受控终端的访问数据满足限制访问条件时,判决禁止受控终端继续上网,可有效管控受控终端的上网行为。
本发明又一实施例提供的一种存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现如图1的步骤。
在另一种实施方式中,所述程序被处理器执行时实现如下方法:
若所述访问数据不满足所述限制访问条件且网站的地址属于待授权网站,向受控终端绑定的主控终端发送授权请求;
接收主控终端发送的不予授权消息,拒绝所述上网访问请求。
在另一种实施方式中,所述程序被处理器执行时实现如下方法:接收主控终端发送的不予授权消息,拒绝所述上网访问请求的步骤之后,所述方法还包括:
接收主控终端发送的第一授权消息,所述第一授权消息表示主控终端授权所述上网访问请求;
或者,
接收主控终端发送的第二授权消息,所述第二授权消息表示主控终端授权所述上网访问请求以及后续单位时间内的上网访问请求。
在另一种实施方式中,所述程序被处理器执行时实现如下方法:所述上网访问请求中包括终端的标识,相应地,根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据的步骤之前,所述方法包括:
根据所述终端的标识,判断是否与预先存储的受控终端的标识匹配;
若匹配,则确定该终端是受控终端。
在另一种实施方式中,所述程序被处理器执行时实现如下方法:根据所述终端的标识,判断是否与预先存储的受控终端的标识匹配的步骤之前,所述方法包括:
接收主控终端发送的绑定请求,所述绑定请求包括主控终端的标识和受控终端的标识;
向受控终端发送绑定消息;
接收受控终端返回的通过消息,将受控终端的标识存储在数据库。
在另一种实施方式中,所述程序被处理器执行时实现如下方法:拒绝所述上网访问请求的步骤具体为:
向受控终端发送拒绝消息、向基站发送释放链接消息或丢弃所述上网访问请求。
在另一种实施方式中,所述程序被处理器执行时实现如下方法:若所述访问数据不满足预先获取的受控终端的限制访问条件,将所述上网访问请求转发至后续网元。
本发明实施例提供的存储介质,所述程序被处理器执行时实现上述方法实施例的方法,本实施不再赘述。
本发明实施例提供的存储介质,由主控终端自主设置多维度的限制访问条件,访问处理的装置在受控终端的访问数据满足限制访问条件时,判决禁止受控终端继续上网,可有效管控受控终端的上网行为。
本发明又一实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:
根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据,所述访问数据包括受控终端的访问位置、访问时间以及网站的地址;
若所述访问数据满足主控终端预先设置的受控终端的限制访问条件,拒绝所述上网访问请求,所述限制访问条件包括以下至少一种:访问时间在预设时间段内,访问位置在预设区域内,网站的地址属于限制访问的网站。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。
本领域技术人员可以理解,实施例中的各步骤可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者访问处理的装置程序(例如,计算机程序和计算机程序产品)。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (10)

1.一种访问处理的方法,其特征在于,所述方法包括:
根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据,所述访问数据包括受控终端的访问位置、访问时间以及网站的地址;
若所述访问数据满足主控终端预先设置的受控终端的限制访问条件,拒绝所述上网访问请求,所述限制访问条件包括以下至少一种:访问时间在预设时间段内,访问位置在预设区域内,网站的地址属于限制访问的网站。
2.根据权利要求1所述的方法,其特征在于:若所述访问数据不满足所述限制访问条件且网站的地址属于待授权网站,向受控终端绑定的主控终端发送授权请求;
接收主控终端发送的不予授权消息,拒绝所述上网访问请求。
3.根据权利要求2所述的方法,其特征在于:接收主控终端发送的不予授权消息,拒绝所述上网访问请求的步骤之后,所述方法还包括:
接收主控终端发送的第一授权消息,所述第一授权消息表示主控终端授权所述上网访问请求;
或者,
接收主控终端发送的第二授权消息,所述第二授权消息表示主控终端授权所述上网访问请求以及后续单位时间内的上网访问请求。
4.根据权利要求1所述的方法,其特征在于:所述上网访问请求中包括终端的标识,相应地,根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据的步骤之前,所述方法包括:
根据所述终端的标识,判断是否与预先存储的受控终端的标识匹配;
若匹配,则确定该终端是受控终端。
5.根据权利要求4所述的方法,其特征在于:根据所述终端的标识,判断是否与预先存储的受控终端的标识匹配的步骤之前,所述方法包括:
接收主控终端发送的绑定请求,所述绑定请求包括主控终端的标识和受控终端的标识;
向受控终端发送绑定消息;
接收受控终端返回的通过消息,将受控终端的标识存储在数据库。
6.根据权利要求1所述的方法,其特征在于:拒绝所述上网访问请求的步骤具体为:
向受控终端发送拒绝消息、向基站发送释放链接消息或丢弃所述上网访问请求。
7.根据权利要求1所述的方法,其特征在于:若所述访问数据不满足预先获取的受控终端的限制访问条件,将所述上网访问请求转发至后续网元。
8.一种访问处理的装置,其特征在于,所述装置包括:
识别模块,用于根据预先接收的受控终端的上网访问请求,识别受控终端的访问数据,所述访问数据包括受控终端的访问位置、访问时间以及网站的地址;
拒绝模块,用于若所述访问数据满足主控终端预先设置的受控终端的限制访问条件,拒绝所述上网访问请求,所述限制访问条件包括以下至少一种:访问时间在预设时间段内,访问位置在预设区域内,网站的地址属于限制访问的网站。
9.一种电子设备,其特征在于,包括存储器、处理器、总线以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1-7任意一项的步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于:所述程序被处理器执行时实现如权利要求1-7任意一项的步骤。
CN201810135702.9A 2018-02-09 2018-02-09 访问处理的方法、装置、电子设备和存储介质 Pending CN110138714A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810135702.9A CN110138714A (zh) 2018-02-09 2018-02-09 访问处理的方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810135702.9A CN110138714A (zh) 2018-02-09 2018-02-09 访问处理的方法、装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN110138714A true CN110138714A (zh) 2019-08-16

Family

ID=67567990

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810135702.9A Pending CN110138714A (zh) 2018-02-09 2018-02-09 访问处理的方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN110138714A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110830495A (zh) * 2019-11-14 2020-02-21 Oppo广东移动通信有限公司 网络访问管理方法及相关设备
CN111541744A (zh) * 2020-04-08 2020-08-14 四川华能涪江水电有限有限责任公司 基于byod的通信系统
CN112491876A (zh) * 2020-11-26 2021-03-12 杭州迪普科技股份有限公司 地理位置的访问控制方法及装置
CN116488944A (zh) * 2023-06-20 2023-07-25 深圳市华曦达科技股份有限公司 上网管控方法、装置、设备和计算机可读存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050144297A1 (en) * 2003-12-30 2005-06-30 Kidsnet, Inc. Method and apparatus for providing content access controls to access the internet
CN102088468A (zh) * 2009-12-08 2011-06-08 徐克林 一种手机上网限制的方法
CN102118749A (zh) * 2009-12-30 2011-07-06 比亚迪股份有限公司 用于移动终端的网络访问控制装置、以及移动终端设备
CN102340493A (zh) * 2010-07-21 2012-02-01 中兴通讯股份有限公司 访问控制方法及网关
CN103516681A (zh) * 2012-06-26 2014-01-15 华为技术有限公司 网络访问控制方法以及装置
CN105376322A (zh) * 2015-11-30 2016-03-02 上海方正信息安全技术有限公司 一种面向儿童网络行为的大数据远程监控系统和方法
CN105871795A (zh) * 2015-11-16 2016-08-17 乐视致新电子科技(天津)有限公司 一种上网控制方法及相关设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050144297A1 (en) * 2003-12-30 2005-06-30 Kidsnet, Inc. Method and apparatus for providing content access controls to access the internet
CN102088468A (zh) * 2009-12-08 2011-06-08 徐克林 一种手机上网限制的方法
CN102118749A (zh) * 2009-12-30 2011-07-06 比亚迪股份有限公司 用于移动终端的网络访问控制装置、以及移动终端设备
CN102340493A (zh) * 2010-07-21 2012-02-01 中兴通讯股份有限公司 访问控制方法及网关
CN103516681A (zh) * 2012-06-26 2014-01-15 华为技术有限公司 网络访问控制方法以及装置
CN105871795A (zh) * 2015-11-16 2016-08-17 乐视致新电子科技(天津)有限公司 一种上网控制方法及相关设备
CN105376322A (zh) * 2015-11-30 2016-03-02 上海方正信息安全技术有限公司 一种面向儿童网络行为的大数据远程监控系统和方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110830495A (zh) * 2019-11-14 2020-02-21 Oppo广东移动通信有限公司 网络访问管理方法及相关设备
CN111541744A (zh) * 2020-04-08 2020-08-14 四川华能涪江水电有限有限责任公司 基于byod的通信系统
CN112491876A (zh) * 2020-11-26 2021-03-12 杭州迪普科技股份有限公司 地理位置的访问控制方法及装置
CN116488944A (zh) * 2023-06-20 2023-07-25 深圳市华曦达科技股份有限公司 上网管控方法、装置、设备和计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN108989263B (zh) 短信验证码攻击防护方法、服务器和计算机可读存储介质
CN110138714A (zh) 访问处理的方法、装置、电子设备和存储介质
CN101340444B (zh) 防火墙和服务器策略同步方法、系统和设备
CN101515868A (zh) 一种网络权限管理方法、装置和系统
CN107707435B (zh) 一种报文处理方法和装置
CN112492602B (zh) 5g终端安全接入装置、系统及设备
CN105635084A (zh) 终端认证装置及方法
CN108881309A (zh) 大数据平台的访问方法、装置、电子设备及可读存储介质
US12022296B2 (en) Network cyber-security platform
CN109302397B (zh) 一种网络安全管理方法、平台和计算机可读存储介质
CN105847277A (zh) 用于第三方应用的服务账号共享管理方法及系统
CN105392137A (zh) 家庭wifi防盗用的方法、无线路由器及终端设备
WO2018126616A1 (zh) 一种共享方法、装置及系统
CN108009439B (zh) 资源请求的方法、装置及系统
CN106714171A (zh) 一种防蹭网方法、装置、终端及路由器
CN110730446A (zh) 一种登录方法、终端及计算机存储介质
CN106411852A (zh) 一种分布式终端准入控制方法和装置
CN109660535A (zh) Linux系统中数据的处理方法和装置
CN108076500A (zh) 局域网管理的方法、装置及计算机可读存储介质
CN111416815B (zh) 报文处理方法、电子设备和存储介质
CN108664805A (zh) 一种应用程序安全校验方法及系统
CN102264070A (zh) 一种提供业务数据及执行访问业务的方法及设备
CN108076009B (zh) 一种资源共享方法、装置及系统
CN105915565B (zh) 一种认证方法、装置和系统
CN107995587B (zh) 认证方法、认证平台以及认证系统和服务商平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190816

RJ01 Rejection of invention patent application after publication