(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111622064.1 (22)申请日 2021.12.28 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融街31号 (72)发明人 杨钢　易欣　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 周秀珍 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种域名拦截方法、 装置及电子设备 (57)摘要 本申请实施例提供了一种域名拦截方法、 装 置及电子设备， 涉及信息安全技术领域， 用以对 违规域名进行有效地拦截。 该方法中， 首先接收 拦截指令， 所述拦截指令包括违规域名； 接收来 自用户的服务器名称标识SNI信息， 所述SNI信息 包括所述用户的域名； 在所述用户的域名与所述 违规域名匹配时， 获取所述域名对应的网络互联 协议IP地址； 封锁所述IP地址。 基于 上述方案， 可 以通过抓取SNI信息， 获取SNI信息中包含的用户 请求访问的域名， 并将封堵指令的违规域名与该 域名进行匹配， 进而获取该域名的IP地址， 从而 实现对违规网站的拦截。 在很大程度上遏制了违 规网站的传播， 可以使用户拥有较为良好的网络 生态环境。 权利要求书1页 说明书8页 附图4页 CN 114422200 A 2022.04.29 CN 114422200 A 1.一种域名拦截方法， 其特 征在于， 包括： 接收拦截指令， 所述 拦截指令包括违规 域名； 接收来自用户的服务器名称标识SNI信息， 所述SNI信息包括所述用户 请求访问的域 名； 在所述用户请求访问的域名与所述违规域名匹配时， 获取所述域名对应的网络互联协 议IP地址； 封锁所述 IP地址。 2.根据权利要求1所述的方法， 其特 征在于， 所述接收来自用户的SN I信息， 包括： 接收来自所述用户的用户握 手数据包， 所述用户握 手数据包中包括所述SN I信息。 3.根据权利要求1所述的方法， 其特 征在于， 所述SN I信息未加密。 4.根据权利要求1所述的方法， 其特 征在于， 还 包括： 在预存的IP地址与住址的对应关系， 获取 所述IP地址所对应的住址； 将所述住址发送至终端设备， 以使所述终端设备显示所述住址 。 5.根据权利要求1～4任一所述的方法， 其特征在于， 所述违规域名是根据网络爬虫技 术和/或拨测得到的。 6.一种域名拦截 装置， 其特 征在于， 包括： 通信单元， 用于接收拦截指令， 所述拦截指令包括违规域名； 接收来自用户的服务器名 称标识SN I信息， 所述SN I信息包括所述用户请求访问的域名； 处理单元， 用于在所述用户请求访 问的域名与所述违规域名匹配时， 获取所述域名对 应的网络互联协议 IP地址； 封锁所述 IP地址。 7.根据权利要求6所述的装置， 其特征在于， 所述通信单元接收来自用户的SNI信息时， 具体用于： 接收来自所述用户的用户握 手数据包， 所述用户握 手数据包中包括所述SN I信息。 8.根据权利要求6所述的装置， 其特 征在于， 所述SN I信息未加密。 9.根据权利要求6所述的装置， 其特 征在于， 所述处 理单元还用于执 行下属操作： 根据预存的IP地址与住址的对应关系， 获取 所述IP地址所对应的住址； 将所述住址发送至终端设备， 以使所述终端设备显示所述住址 。 10.根据权利要求6～9任一所述的装置， 其特征在于， 所述违规域名是根据网络爬虫技 术和/或拨测得到的。 11.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储计算机指令； 处理器， 与所述存储器连接， 用于执行所述存储器 中的计算机指令， 且在执行所述计算 机指令时实现如权利要求1至 5中任一项所述的方法。 12.一种计算机可读存 储介质， 其特 征在于， 包括： 所述计算机可读存储介质存储有计算机指令， 当所述计算机指令在计算机上运行时， 使得计算机执 行如权利要求1至 5中任一项所述的方法。权　利　要　求　书 1/1 页 2 CN 114422200 A 2一种域名拦截方 法、 装置及电子 设备 技术领域 [0001]本申请涉及通信技 术领域， 特别涉及一种域名拦截方法、 装置及电子设备。 背景技术 [0002]用户使用的大部分全球广域网(Web)服务都是以超文本传输协议(Hyper  Text  Transfer Protocol， Http)和基于安全套接字层的超文本传输协议(Hyper  Text Transfer  Protocol  over Secure Socket Layer， Https)提供的， 区别在于Https使用加密来保持通 信的完整性。 Http是使用超文本标记语言(Hyper  Text Markup Language， HTML)的通信协 议， 而Https对Http进行了加密用以确保端到端通信的安全性和完整性。 由于目前Web服务 大多由Https提供， 针对Https类型的非法Web的阻止会受到限制， 无法进行有效地阻断。 如 何对于使用Https服务进行违规信息传播的行为进行及时封堵， 成为了信息安全领域重点 需要解决的问题。 [0003]目前， 使用的对于使用Https服务进行违规信息传播的行为的封堵方法大多是通 过域名系 统(Domain  Name System， DNS)拦截技术进行的。 用户加入的互联网服务提供商 (Internet  Service Provider， ISP)会提供DNS服务器， DNS拦截技术就是在用户向DNS服务 器请求目的地址的统一资源定位器(Uniform  Resource  Locator， URL)查询时， DNS服务器 判断该目的地址是否是违规站 点。 如果确定该目的地址为违规站 点， 则下发封堵请求， 信息 安全系统则根据DNS服务器中对应的IP地址进行封堵。 从而实现对传播违规信息的站点的 拦截。 但DNS拦截技术是在用户使用的DNS服务器和信息安全系统位于同一行政区域时才能 使用。 一旦用户使用的DNS服务器为其他行政 区域的DNS服务器， 这种方法就不能对违规站 点进行有效地 拦截。 [0004]因此， 目前存在对于使用Https服务进行违规信息的传播行为无法及时封堵的问 题。 发明内容 [0005]本申请实施例提供了一种域名拦截方法、 装置和电子设备， 用以对违规域名进行 有效地拦截。 [0006]第一方面， 本申请实施例提供了一种域名拦截方法， 包括： 接收拦截指令， 所述拦 截指令包括违规域名； 接收来自用户的服务器名称标识(Server  Name Indication， SNI)信 息， 所述SNI信息包括所述用户请求访问的域名； 在所述用户请求访问的域名与所述违规域 名匹配时， 获取所述域名对应的网际互连协议(Internet  Protocol， IP)地址； 封锁所述IP 地址。 [0007]目前针对HTTPS类型的违规域名的拦截会受到限制， 无法违规域名进行有效地封 堵的问题。 基于上述方案， 可以通过抓取SNI信息， 获取SNI信息中包含的用户请求访问的域 名， 并将封堵指 令的违规域名与该域名进 行匹配， 进而获取该域名的IP地址， 从而实现对违 规网站的拦截。 在很大程度上遏制 了违规网站的传播， 可以使用户拥有较为良好的网络生说　明　书 1/8 页 3 CN 114422200 A 3