本發(fā)明涉及通信安全技術(shù)領(lǐng)域，特別是涉及https加密網(wǎng)址的過濾方法、裝置及其計算機設(shè)備。

背景技術(shù)：

在通信技術(shù)、特別是防火墻安全領(lǐng)域中，對url(統(tǒng)一資源定位符)網(wǎng)址進(jìn)行過濾是一個應(yīng)用范圍很廣且十分重要的功能。

傳統(tǒng)的電纜調(diào)制解調(diào)器cablemodem主要是通過抓包工具對url網(wǎng)址進(jìn)行過濾，該過濾功能主要是通過在硬件抽像接口、數(shù)據(jù)轉(zhuǎn)發(fā)模塊之前插入斷點，獲取數(shù)據(jù)包進(jìn)行分析，判斷該數(shù)據(jù)包是否需要被過濾。

但是傳統(tǒng)的這種斷點插入截取數(shù)據(jù)包的方法只能適用于http超文本傳輸協(xié)議中沒有進(jìn)行加密的數(shù)據(jù)包進(jìn)行分析，卻不適用于與https類網(wǎng)址產(chǎn)生交互的加密數(shù)據(jù)包的解析以及分析。

目前還沒有比較好的方法對https類以加密形式進(jìn)行傳輸數(shù)據(jù)的網(wǎng)址進(jìn)行過濾。

技術(shù)實現(xiàn)要素：

基于此，有必要針對https類以加密形式進(jìn)行傳輸數(shù)據(jù)的網(wǎng)址無法過濾的問題，提供https加密網(wǎng)址的過濾方法、裝置及其計算機設(shè)備。

一種https加密網(wǎng)址的過濾方法，該方法包括：

獲取發(fā)送給https加密網(wǎng)站的加密數(shù)據(jù)包；

解析該加密數(shù)據(jù)包中的ip地址；

將解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址和/或帶有白名單標(biāo)識的ip地址進(jìn)行匹配；

當(dāng)與帶有黑名單標(biāo)識的ip地址匹配成功時，將對應(yīng)的加密數(shù)據(jù)包阻斷，當(dāng)與帶有白名單標(biāo)識的ip地址匹配成功時，將對應(yīng)的加密數(shù)據(jù)包放行。

在其中一個實施例中，該方法還包括：

接收到域名解析的數(shù)據(jù)包時，解析該域名解析的數(shù)據(jù)包中的網(wǎng)址；

將解析的該網(wǎng)址與預(yù)設(shè)的帶有黑名單標(biāo)識的網(wǎng)址和/或帶有白名單標(biāo)識的網(wǎng)址進(jìn)行匹配；

當(dāng)與黑名單標(biāo)識的網(wǎng)址或與帶有白名單標(biāo)識的網(wǎng)址匹配成功時，解析該域名解析的數(shù)據(jù)包中該網(wǎng)址的ip地址；

將與帶有黑名單標(biāo)識的網(wǎng)址匹配成功的域名解析的數(shù)據(jù)包的ip地址添加黑名單標(biāo)識，將與帶有白名單標(biāo)識的網(wǎng)址匹配成功的域名解析的數(shù)據(jù)包的ip地址添加白名單標(biāo)識；

存儲添加了黑名單標(biāo)識的ip地址及添加了白名單標(biāo)識的ip地址。

在其中一個實施例中，該將解析的該網(wǎng)址與預(yù)設(shè)的帶有黑名單標(biāo)識的網(wǎng)址和/或帶有白名單標(biāo)識的網(wǎng)址進(jìn)行匹配的步驟包括：

解析該數(shù)據(jù)包中的網(wǎng)址的域名；

判斷解析的該域名與預(yù)設(shè)的帶有黑名單標(biāo)識或白名單標(biāo)識的網(wǎng)址的域名是否相同，若是，則判斷匹配成功，否則判斷匹配不成功。

在其中一個實施例中，該方法還包括：

當(dāng)解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址或帶有白名單標(biāo)識的ip地址均匹配不成功時，將對應(yīng)的數(shù)據(jù)包放行或者阻斷或者丟棄。

在其中的一個實施例中，該方法還包括：

根據(jù)接收的選擇指令，確定預(yù)存的帶有黑名單標(biāo)識或白名單標(biāo)識的ip地址；

根據(jù)接收的操作指令，對確定的ip地址執(zhí)行對應(yīng)的操作。

本發(fā)明另提供一種https加密網(wǎng)址的過濾裝置，該裝置包括：

數(shù)據(jù)包獲取模塊，用于獲取發(fā)送給https加密網(wǎng)站的加密數(shù)據(jù)包；

ip地址解析模塊，用于解析該加密數(shù)據(jù)包中的ip地址；

ip地址匹配模塊，用于將解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址和/或帶有白名單標(biāo)識的ip地址進(jìn)行匹配；

過濾模塊，用于當(dāng)與含有黑名單標(biāo)識的ip地址匹配成功時，將對應(yīng)的加密數(shù)據(jù)包阻斷，當(dāng)與帶有白名單標(biāo)識的ip地址匹配成功時，將對應(yīng)的加密數(shù)據(jù)包放行。

在其中一個實施例中，該裝置還包括：

網(wǎng)址解析模塊，用于接收到域名解析的數(shù)據(jù)包時，解析該域名解析的數(shù)據(jù)包中的網(wǎng)址；

網(wǎng)址匹配模塊，用于將解析的該網(wǎng)址與預(yù)設(shè)的帶有黑名單標(biāo)識的網(wǎng)址和/或帶有白名單標(biāo)識的網(wǎng)址進(jìn)行匹配；

ip地址解析模塊，用于當(dāng)與黑名單標(biāo)識的網(wǎng)址或與帶有白名單標(biāo)識的網(wǎng)址匹配成功時，解析該域名解析的數(shù)據(jù)包中該網(wǎng)址的ip地址；

標(biāo)識添加模塊，用于將與帶有黑名單標(biāo)識的網(wǎng)址匹配成功的域名解析的數(shù)據(jù)包的ip地址添加黑名單標(biāo)識，將與帶有白名單標(biāo)識的網(wǎng)址匹配成功的域名解析的數(shù)據(jù)包的ip地址添加白名單標(biāo)識；

ip地址存儲模塊，用于存儲添加了黑名單標(biāo)識的ip地址及添加了白名單標(biāo)識的ip地址。

在其中的一個實施例中：

所述網(wǎng)址解析模塊還用于解析所述數(shù)據(jù)包中的網(wǎng)址的域名；

所述網(wǎng)址匹配模塊還用于判斷解析的所述域名與預(yù)設(shè)的帶有黑名單標(biāo)識或白名單標(biāo)識的網(wǎng)址的域名是否相同，若是，則判斷匹配成功，否則判斷匹配不成功。

在其中一個實施例中，該裝置還包括：

ip地址確定模塊，用于根據(jù)接收的選擇指令，確定預(yù)存的帶有黑名單標(biāo)識或白名單標(biāo)識的ip地址；

指令執(zhí)行模塊，用于根據(jù)接收的操作指令，對確定的ip地址執(zhí)行對應(yīng)的操作。

本發(fā)明另提供一種計算機設(shè)備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，該處理器執(zhí)行該程序時實現(xiàn)上述的https加密網(wǎng)址的過濾方法。

本發(fā)明利用https加密網(wǎng)站只對數(shù)據(jù)包中部分?jǐn)?shù)據(jù)進(jìn)行加密的原理，將加密數(shù)據(jù)包中不加密的ip地址解析出來，將該ip地址與預(yù)存的黑白名單中的ip地址進(jìn)行匹配，若匹配成功則可按照匹配的黑名單或者白名單對對應(yīng)的數(shù)據(jù)包進(jìn)行過濾，從而實現(xiàn)對加密的url網(wǎng)址的訪問實現(xiàn)過濾，解決了傳統(tǒng)技術(shù)無法對https類以加密形式進(jìn)行傳輸數(shù)據(jù)的網(wǎng)址進(jìn)行過濾的問題。

附圖說明

圖1為一個實施例中https加密網(wǎng)址的過濾方法的流程圖；

圖2為一個實施例中https加密網(wǎng)址的過濾方法的使用場景的流程圖；

圖3為另一實施例中https加密網(wǎng)址的過濾方法的流程圖；

圖4為另一實施例中https加密網(wǎng)址的過濾方法的使用場景的流程圖；

圖5為一個實施例中https加密網(wǎng)址的過濾裝置的結(jié)構(gòu)框圖；

圖6為另一實施例中https加密網(wǎng)址的過濾裝置的結(jié)構(gòu)框圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

圖1為根據(jù)本發(fā)明的一個實施例中https加密網(wǎng)址的過濾方法的流程圖，如圖1所示，該方法包括以下步驟s110、s120、s130以及s140。

s110、獲取發(fā)送給https加密網(wǎng)站的加密數(shù)據(jù)包。

https(hypertexttransferprotocoloversecuresocketlayer)即以安全為目標(biāo)的http(hypertexttransferprotocol：超文本傳輸協(xié)議)的通道，普通的http協(xié)議是建立在tcp協(xié)議之上的，https實際上是建立在ssl(securesocketslayer：安全套接層)之上的http協(xié)議，其最上層的http協(xié)議是保持不變的，https與http的區(qū)別只在http和傳輸層的tcp協(xié)議之間加入了ssl協(xié)議層。

ssl是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，其目的在于在傳輸層對網(wǎng)絡(luò)連接數(shù)據(jù)包進(jìn)行加密，用以保障在網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩?，確保數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸過程中不會被截取及竊聽。

根據(jù)本實施例的一個示例，該步驟主要是獲取訪問https加密網(wǎng)站時發(fā)送的數(shù)據(jù)包，以對https加密網(wǎng)站的訪問實現(xiàn)過濾。

s120、解析該加密數(shù)據(jù)包中的ip地址。

網(wǎng)絡(luò)協(xié)議可以分為五層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層，https是處于應(yīng)用層的協(xié)議，ssl也是處于應(yīng)用層協(xié)議，但ssl實際工作(或者說處理的數(shù)據(jù))是位于應(yīng)用層和傳輸層之間的數(shù)據(jù)，也就是說，ssl實際上是位于傳輸層和應(yīng)用層之間的，由于ssl加密的內(nèi)容只能對本層和上層的數(shù)據(jù)進(jìn)行加密，管不了下層的數(shù)據(jù)。由于http位于ssl的上層，且url是http協(xié)議數(shù)據(jù)報頭的一部分，所以經(jīng)過ssl處理后的數(shù)據(jù)中，https訪問的網(wǎng)址(即請求的網(wǎng)址url)以及http協(xié)議所負(fù)責(zé)傳輸?shù)臄?shù)據(jù)是加密的，因為處理ip地址的協(xié)議(ip協(xié)議)位于比ssl更低的網(wǎng)絡(luò)層，所以ip地址是不加密的。根據(jù)這一原理，本實施例的步驟s120中可以解析出加密數(shù)據(jù)包的ip地址。

s130、將解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址和/或帶有白名單標(biāo)識的ip地址進(jìn)行匹配。

在該步驟中，根據(jù)本實施例的一個示例，該預(yù)存的帶有黑名單標(biāo)識的ip地址和/或帶有白名單標(biāo)識的ip可以是根據(jù)用戶的操作手動輸入的ip地址及人工輸入的該ip地址所帶的黑名單標(biāo)識或者白名單標(biāo)識，也可以是根據(jù)設(shè)置的一定規(guī)則，計算機系統(tǒng)自動識別的ip地址，并自動對其添加黑名單或者白名單的標(biāo)識。根據(jù)本實施例的一個示例，該黑名單標(biāo)識例如在該ip地址后添加字符“1”，其中該添加的字符與ip地址以“#”號隔開，根據(jù)本實施例的另一示例，該白名單標(biāo)識例如在該ip地址后添加字符“0”，其中該添加的字符與ip地址以“#”號隔開。當(dāng)然，添加的標(biāo)識符不限于“1”和“0”，只要計算機設(shè)備可以識別即可。

其匹配方式例如精確匹配，即判斷兩個ip地址是否相同，具體地方法例如：

判斷解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址或白名單標(biāo)識的ip地址是否相同，若是，則判斷匹配成功，否則判斷匹配不成功。

為了便于對預(yù)存的帶有黑名單標(biāo)識的ip地址以及帶有白名單標(biāo)識的ip地址進(jìn)行管理和維護(hù)，作為可選地，該https加密網(wǎng)址的過濾方法還包括：

根據(jù)接收的選擇指令，確定預(yù)存的帶有黑名單標(biāo)識或白名單標(biāo)識的ip地址；

根據(jù)接收的操作指令，對確定的ip地址執(zhí)行對應(yīng)的操作。

其中，對ip地址執(zhí)行的操作包括但不限于ip地址的刪除，變更該ip地址所帶的標(biāo)識(例如將該ip地址所帶的黑名單標(biāo)識變更為白名單標(biāo)識，將該ip地址所帶的白名單標(biāo)識變更為黑名單標(biāo)識)，對確定的ip地址添加黑名單或者白名單的標(biāo)識等等。

根據(jù)本實施例的一個示例，當(dāng)解析出來的ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址匹配成功時，不需要再將該ip地址與預(yù)存的帶有白名單標(biāo)識的ip地址進(jìn)行匹配，對應(yīng)的，當(dāng)解析出來的ip地址與預(yù)存的帶有白名單標(biāo)識的ip地址匹配成功時，也不需要再將該ip地址與預(yù)存的帶有白名單標(biāo)識的ip地址進(jìn)行匹配；當(dāng)解析出來的ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址匹配失敗時，再將該ip地址與預(yù)存的帶有白名單標(biāo)識的ip進(jìn)行地址匹配，若還是匹配不成功，則判斷該ip地址不可匹配，并將該ip地址對應(yīng)的加密數(shù)據(jù)包按照不可匹配處理，相應(yīng)的，當(dāng)解析出來的ip地址與預(yù)存的帶有白名單標(biāo)識的ip地址匹配失敗時，再將該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip進(jìn)行地址匹配，若還是匹配不成功，則判斷該ip地址不可匹配，將該ip地址對應(yīng)的加密數(shù)據(jù)包按照不可匹配處理。

s140、當(dāng)與帶有黑名單標(biāo)識的ip地址匹配成功時，將對應(yīng)的加密數(shù)據(jù)包阻斷，當(dāng)與帶有白名單標(biāo)識的ip地址匹配成功時，將對應(yīng)的加密數(shù)據(jù)包放行。

根據(jù)本實施例的一個示例，作為可選地，該方法還包括：

當(dāng)解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址或帶有白名單標(biāo)識的ip地址均匹配不成功時，按照不可匹配的方式進(jìn)行處理。

根據(jù)本實施例的一個示例，上述按照不可匹配的方式進(jìn)行處理包括但不限于將該ip地址對應(yīng)的數(shù)據(jù)包放行(即按照白名單的處理方式進(jìn)行處理)，將該ip地址對應(yīng)的數(shù)據(jù)包阻斷(即按照黑名單的處理方式進(jìn)行處理)、丟棄與該ip地址對應(yīng)的數(shù)據(jù)包等等。

本實施例利用https加密網(wǎng)站只對數(shù)據(jù)包中部分?jǐn)?shù)據(jù)進(jìn)行加密的原理，將加密數(shù)據(jù)包中不加密的ip地址解析出來，將該ip地址與預(yù)存的黑白名單中的ip地址進(jìn)行匹配，若匹配成功則可按照匹配的黑名單或者白名單對對應(yīng)的數(shù)據(jù)包進(jìn)行過濾，從而實現(xiàn)對加密的url網(wǎng)址的訪問實現(xiàn)過濾，解決了傳統(tǒng)技術(shù)無法對https類以加密形式進(jìn)行傳輸數(shù)據(jù)的網(wǎng)址進(jìn)行過濾的問題。

圖2為一個實施例中https加密網(wǎng)址的過濾方法的使用場景的流程圖，如圖2所示，下面以利用snoopoutbound(輸出數(shù)據(jù)包的抓取工具)為例進(jìn)行說明，該https加密網(wǎng)址的過濾方法的使用場景包括以下步驟(1)、(2)、(3)和(4)。

(1)、通過snoopoutbound抓取接收到的數(shù)據(jù)包。

(2)、判斷抓取的數(shù)據(jù)包是否為https的數(shù)據(jù)包，若是則跳轉(zhuǎn)到步驟(3)，否則，按照傳統(tǒng)的過濾方式對抓取到的數(shù)據(jù)包進(jìn)行過濾。

(3)、判斷抓取的數(shù)據(jù)包的ip地址是否在預(yù)存的url網(wǎng)址列表中，若是，則跳轉(zhuǎn)到步驟(4)，否則，對抓取到的數(shù)據(jù)包將對應(yīng)的數(shù)據(jù)包放行或者阻斷或者丟棄。其中，該url網(wǎng)址列表用于存放帶有黑名單標(biāo)識的ip地址以及帶有白名單標(biāo)識的ip地址。

(4)、按照匹配的黑名單或者白名單的規(guī)則進(jìn)行處理。其中，黑名單的規(guī)則即將與黑名單ip匹配成功的數(shù)據(jù)包阻斷，白名單規(guī)則即將與白名單ip匹配成功的數(shù)據(jù)包放行。

本實施例提供了一種以snoopoutbound(輸出數(shù)據(jù)包的抓取工具)為例的實現(xiàn)方法，通過抓取發(fā)送給https類以加密形式進(jìn)行傳輸?shù)臄?shù)據(jù)包，并對其進(jìn)行分析和匹配，以實現(xiàn)https類以加密形式進(jìn)行傳輸數(shù)據(jù)的網(wǎng)址的過濾。

圖3為根據(jù)本發(fā)明另一實施例的https加密網(wǎng)址的過濾方法的流程圖，如圖3所示，該步驟在包括上述步驟s110、s120、s130以及s140的基礎(chǔ)上還包括以下步驟s310、s320、s330、s340以及s350。

s310、接收到域名解析的數(shù)據(jù)包時，解析該域名解析的數(shù)據(jù)包中的網(wǎng)址。其中，該域名解析的數(shù)據(jù)包即dns(domainnamesystem：域名系統(tǒng))數(shù)據(jù)包，解析的網(wǎng)址例如：https://www.baidu.com/。

s320、將解析的該網(wǎng)址與預(yù)設(shè)的帶有黑名單標(biāo)識的網(wǎng)址和/或帶有白名單標(biāo)識的網(wǎng)址進(jìn)行匹配。

根據(jù)本實施例的一個示例，其匹配的方式至少可以有兩種顯示方法，其一是可以判斷兩個網(wǎng)址是否完全相同，若相同則判斷匹配成功，另一種方式是判斷兩個網(wǎng)址中的部分?jǐn)?shù)據(jù)是否相同，例如判斷兩個網(wǎng)址中所包含的域名是否相同。作為可選地，該步驟s020還包括以下步驟(1)和(2)。

(1)、解析該數(shù)據(jù)包中的網(wǎng)址的域名。根據(jù)本實施例的一個示例，該域名例如百度“baidu”、再例如谷歌翻譯“translate.google”等等。

(2)、判斷解析的該域名與預(yù)設(shè)的帶有黑名單標(biāo)識或白名單標(biāo)識的網(wǎng)址的域名是否相同，若是，則判斷匹配成功，否則判斷匹配不成功。

該步驟中匹配的過程有四種：與帶有黑名單標(biāo)識的網(wǎng)址直接匹配成功；與帶有白名單標(biāo)識的網(wǎng)址直接匹配成功；先與帶有黑名單標(biāo)識的網(wǎng)址匹配不成功后，再與帶有白名單標(biāo)識的網(wǎng)址匹配成功；先與帶有白名單標(biāo)識的網(wǎng)址匹配不成功后，再與帶有黑名單標(biāo)識的網(wǎng)址匹配成功。

匹配成功的結(jié)果有兩種：與帶有黑名單標(biāo)識的網(wǎng)址匹配成功；與帶有白名單標(biāo)識的網(wǎng)址匹配成功。

s330、當(dāng)與黑名單標(biāo)識的網(wǎng)址或與帶有白名單標(biāo)識的網(wǎng)址匹配成功時，解析該域名解析的數(shù)據(jù)包中該網(wǎng)址的ip地址。在上述步驟s020中，只要與帶有黑名單標(biāo)識的網(wǎng)址或者帶有白名單標(biāo)識的網(wǎng)址其中之一匹配成功即判斷上一個步驟匹配成功。

s340、將與帶有黑名單標(biāo)識的網(wǎng)址匹配成功的域名解析的數(shù)據(jù)包的ip地址添加黑名單標(biāo)識，將與帶有白名單標(biāo)識的網(wǎng)址匹配成功的域名解析的數(shù)據(jù)包的ip地址添加白名單標(biāo)識。

s350、存儲添加了黑名單標(biāo)識的ip地址及添加了白名單標(biāo)識的ip地址。根據(jù)本實施例的一個示例，該步驟中的黑名單標(biāo)識的ip地址及添加了白名單標(biāo)識的ip地址可以存儲在配置表中，當(dāng)有新的匹配成功的ip地址需要存儲時，將該ip地址以及其所對應(yīng)的黑名單或白名單的標(biāo)識一并存儲在該配置表中。

本實施例通過對dns數(shù)據(jù)包進(jìn)行分析，并對該dns數(shù)據(jù)包所包含的網(wǎng)址進(jìn)行黑白名單匹配，將匹配成功網(wǎng)址所對應(yīng)的ip地址添加對應(yīng)的黑名單標(biāo)識或白名單標(biāo)識后存儲，使得加密數(shù)據(jù)包中的ip地址的黑白名單匹配具有可靠的數(shù)據(jù)來源。

圖4為另一實施例中https加密網(wǎng)址的過濾方法的使用場景的流程圖。如圖4所示，下面以利用snoopinbound(輸入數(shù)據(jù)包的抓取工具)為例進(jìn)行說明，該https加密網(wǎng)址的過濾方法的使用場景包括以下步驟(1)、(2)、(3)和(4)。

(1)、通過snoopinbound抓取數(shù)據(jù)包；

(2)、判斷抓取的數(shù)據(jù)包是否為dns數(shù)據(jù)包，若是，則跳轉(zhuǎn)至步驟(3)，否則，結(jié)束；

(3)、將抓取的數(shù)據(jù)包中的網(wǎng)址與配置表中的網(wǎng)址url進(jìn)行匹配，當(dāng)匹配成功時，跳轉(zhuǎn)到步驟(4)，否則，結(jié)束。

(4)、解析抓取的數(shù)據(jù)包的ip地址并保存。在該步驟中還包括保存該ip地址的黑名單或者白名單標(biāo)識，當(dāng)該數(shù)據(jù)包中的網(wǎng)址與配置表中標(biāo)識有黑名單的網(wǎng)址url匹配成功時，對該ip地址添加黑名單標(biāo)識，當(dāng)該數(shù)據(jù)包中的網(wǎng)址與配置表中標(biāo)識有白名單的網(wǎng)址url匹配成功時，對該ip地址添加白名單標(biāo)識。

本實施例提供了一種以snoopinbound(輸入數(shù)據(jù)包的抓取工具)為例的本發(fā)明的實現(xiàn)方法，通過抓取接收的dns數(shù)據(jù)包，并對其進(jìn)行分析和黑白名單網(wǎng)址匹配，將匹配成功網(wǎng)址所對應(yīng)的ip地址添加對應(yīng)的黑名單標(biāo)識或白名單標(biāo)識后存儲，以為加密數(shù)據(jù)包中的ip地址的黑白名單匹配提供數(shù)據(jù)來源。

根據(jù)本發(fā)明的一個實施例，在https數(shù)據(jù)包開始之前先對其對應(yīng)的dns包進(jìn)行解析，獲得對應(yīng)的ip地址，當(dāng)數(shù)據(jù)包過來時再對其ip地址進(jìn)行規(guī)則匹配，在此基礎(chǔ)上進(jìn)行如下步驟a和步驟b：

a、對進(jìn)入snoop的dns進(jìn)行解析，dns中的url能與url規(guī)則表匹配的，則保存dns中解析出來的ip地址列表；

b、當(dāng)數(shù)據(jù)包進(jìn)來后，進(jìn)行判斷，如果是http是按原有解析方法操作，如果是https則查找url規(guī)則表，看看是否能匹配到對應(yīng)的ip地址，如果匹配成功，則按照對應(yīng)的規(guī)則進(jìn)行處理。

根據(jù)本發(fā)明的另一個使用場景流程，具體包括以下步驟1～5：

1.所有進(jìn)入到cablemodem網(wǎng)關(guān)的數(shù)據(jù)包都將進(jìn)入到snoop中；

2.判斷url過濾功能是否開啟，如果沒有開啟則直接選擇返回接收；

3.在snoopoutbound中判斷數(shù)據(jù)包的協(xié)議，如果是dns數(shù)據(jù)包則允許通過；

4.在snoopinbound如果是dns數(shù)據(jù)包，則需要對它時行解析并將dns數(shù)據(jù)包中的url信息解析出來與url配置表中的url進(jìn)行匹配，如果匹配成功則保存對應(yīng)的ip地址列表。dns包則允許通過；

5.在snoopoutbound中判斷數(shù)據(jù)包的協(xié)議,如果是http數(shù)據(jù)包則按原有規(guī)則進(jìn)行匹配。如果是https數(shù)據(jù)包則解析對應(yīng)的ip地址并與url規(guī)則中的ip進(jìn)行匹配，匹配成功則按相應(yīng)規(guī)則處理匹配，不成功則按不可匹配處理。

本實施例在snoop抓包工具中對dns進(jìn)行判斷，將已配置的url與dns數(shù)據(jù)包中的url進(jìn)行比較，如果匹配成功，則將dns數(shù)據(jù)包中解析出來的ip地址列表保存到url表(或配置表)中。當(dāng)https數(shù)據(jù)包通過snoop時，則對其ip地址進(jìn)行匹配。從而達(dá)到對https控制的目的。

圖5為根據(jù)本發(fā)明的一個實施例中https加密網(wǎng)址的過濾裝置的結(jié)構(gòu)框圖，如圖5所示，該https加密網(wǎng)址的過濾裝置10包括：

數(shù)據(jù)包獲取模塊11，用于獲取發(fā)送給https加密網(wǎng)站的加密數(shù)據(jù)包；

ip地址解析模塊12，用于解析該加密數(shù)據(jù)包中的ip地址；

ip地址匹配模塊13，用于將解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址和/或帶有白名單標(biāo)識的ip地址進(jìn)行匹配；

過濾模塊14，用于當(dāng)與含有黑名單標(biāo)識的ip地址匹配成功時，將對應(yīng)的加密數(shù)據(jù)包阻斷，當(dāng)與帶有白名單標(biāo)識的ip地址匹配成功時，將對應(yīng)的加密數(shù)據(jù)包放行。

圖6為根據(jù)本實施例的另一實施例中https加密網(wǎng)址的過濾裝置的結(jié)構(gòu)框圖，如圖6所示，還https加密網(wǎng)址的過濾裝置10在包括上述數(shù)據(jù)包獲取模塊11、ip地址解析模塊12、ip地址匹配模塊13以及過濾模塊14的基礎(chǔ)上，還包括：

網(wǎng)址解析模塊01，用于接收到域名解析的數(shù)據(jù)包時，解析該域名解析的數(shù)據(jù)包中的網(wǎng)址；

網(wǎng)址匹配模塊02，用于將解析的該網(wǎng)址與預(yù)設(shè)的帶有黑名單標(biāo)識的網(wǎng)址和/或帶有白名單標(biāo)識的網(wǎng)址進(jìn)行匹配；

ip地址解析模塊03，用于當(dāng)與黑名單標(biāo)識的網(wǎng)址或與帶有白名單標(biāo)識的網(wǎng)址匹配成功時，解析該域名解析的數(shù)據(jù)包中該網(wǎng)址的ip地址；

標(biāo)識添加模塊04，用于將與帶有黑名單標(biāo)識的網(wǎng)址匹配成功的域名解析的數(shù)據(jù)包的ip地址添加黑名單標(biāo)識，將與帶有白名單標(biāo)識的網(wǎng)址匹配成功的域名解析的數(shù)據(jù)包的ip地址添加白名單標(biāo)識；

ip地址存儲模塊05，用于存儲添加了黑名單標(biāo)識的ip地址及添加了白名單標(biāo)識的ip地址。

根據(jù)本實施例的一個示例：

該網(wǎng)址解析模塊還用于解析所述數(shù)據(jù)包中的網(wǎng)址的域名；

該網(wǎng)址匹配模塊還用于判斷解析的所述域名與預(yù)設(shè)的帶有黑名單標(biāo)識或白名單標(biāo)識的網(wǎng)址的域名是否相同，若是，則判斷匹配成功，否則判斷匹配不成功。

作為可選地，該https加密網(wǎng)址的過濾裝置10還包括：

ip地址確定模塊，用于根據(jù)接收的選擇指令，確定預(yù)存的帶有黑名單標(biāo)識或白名單標(biāo)識的ip地址；

指令執(zhí)行模塊，用于根據(jù)接收的操作指令，對確定的ip地址執(zhí)行對應(yīng)的操作。

進(jìn)一步作為可選地，該裝置還包括：

網(wǎng)址匹配模塊02具體包括：

域名解析單元，用于解析該數(shù)據(jù)包中的網(wǎng)址的域名；

第一判斷單元，用于判斷解析的該域名與預(yù)設(shè)的帶有黑名單標(biāo)識或白名單標(biāo)識的網(wǎng)址的域名是否相同，若是，則判斷匹配成功，否則判斷匹配不成功。

作為可選地，上述ip地址匹配模塊13包括：

第二判斷單元，用于判斷解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址或白名單標(biāo)識的ip地址是否相同，若是，則判斷匹配成功，否則判斷匹配不成功。

作為可選地，該裝置還包括：

處理模塊，用于當(dāng)解析的該ip地址與預(yù)存的帶有黑名單標(biāo)識的ip地址或帶有白名單標(biāo)識的ip地址均匹配不成功時，將對應(yīng)的數(shù)據(jù)包放行或者阻斷或者丟棄。

根據(jù)本發(fā)明另一實施例提供的一種計算機設(shè)備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，該處理器執(zhí)行該程序時實現(xiàn)如上述的https加密網(wǎng)址的過濾方法。

根據(jù)本實施例提供的一種計算機設(shè)備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，該處理器執(zhí)行所述程序時實現(xiàn)如上述的https加密網(wǎng)址的過濾方法。

本發(fā)明利用https加密網(wǎng)站只對數(shù)據(jù)包中部分?jǐn)?shù)據(jù)進(jìn)行加密的原理，將加密數(shù)據(jù)包中不加密的ip地址解析出來，將該ip地址與預(yù)存的黑白名單中的ip地址進(jìn)行匹配，若匹配成功則可按照匹配的黑名單或者白名單對對應(yīng)的數(shù)據(jù)包進(jìn)行過濾，從而實現(xiàn)對加密的url網(wǎng)址的訪問實現(xiàn)過濾，解決了傳統(tǒng)技術(shù)無法對https類以加密形式進(jìn)行傳輸數(shù)據(jù)的網(wǎng)址進(jìn)行過濾的問題。

本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程，是可以通過計算機程序來指令相關(guān)的硬件來完成，所述程序可存儲于一計算機可讀取存儲介質(zhì)中，如本發(fā)明實施例中，該程序可存儲于計算機系統(tǒng)的存儲介質(zhì)中，并被該計算機系統(tǒng)中的至少一個處理器執(zhí)行，以實現(xiàn)包括如上述各方法的實施例的流程。其中，所述存儲介質(zhì)包括但不限于磁碟、光盤、只讀存儲記憶體(read-onlymemory，rom)或隨機存儲記憶體(randomaccessmemory，ram)等。

以上所述實施例的各技術(shù)特征可以進(jìn)行任意的組合，為使描述簡潔，未對上述實施例中的各個技術(shù)特征所有可能的組合都進(jìn)行描述，然而，只要這些技術(shù)特征的組合不存在矛盾，都應(yīng)當(dāng)認(rèn)為是本說明書記載的范圍。

以上所述實施例僅表達(dá)了本發(fā)明的幾種實施方式，其描述較為具體和詳細(xì)，但并不能因此而理解為對發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是，對于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進(jìn)，這些都屬于本發(fā)明的保護(hù)范圍。因此，本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。