一种访问控制方法、系统及DNS服务器

1.一种访问控制方法，其特征在于，包括：
域名系统DNS服务器接收到接入用户发起的携带网站域名的域名解析请求时，查询获取到的用户禁止访问的网站域名信息，其中，用户禁止访问的网站域名信息由网站过滤服务器定期、或者在用户禁止访问的网站域名信息更新之后、或者根据DNS服务器发起的禁止访问域名信息同步请求同步给DNS服务器，并且，所述用户禁止访问的网站域名信息为每一个用户的标识信息及其绑定的需要屏蔽的、由网站过滤服务器基于用户的个性化定制生成的各网站域名；以及
根据查询结果确认所述网站域名为该接入用户禁止访问的网站域名时，拒绝针对所述网站域名的域名解析服务；
其中，所述网站过滤服务器包括不良网站域名数据库，所述不良网站域名数据库中每一个网站域名配置有内容类型和不良级别；以及，
当所述用户禁止访问的网站域名信息为每一个用户的标识信息及其绑定的需要屏蔽的、由网站过滤服务器基于用户的个性化定制生成的各网站域名时，网站过滤服务器生成用户禁止访问的网站域名信息的方法，具体包括：
网站过滤服务器根据每一个用户定制的包括内容类型和不良级别的网站过滤范围查询不良网站域名数据库，确定每一个用户需要屏蔽的各网站域名；并
将每一个用户的标识信息与其需要屏蔽的各网站域名进行绑定。
2.如权利要求1所述的方法，其特征在于，拒绝针对所述网站域名的域名解析服务，具体包括：直接丢弃所述域名解析请求，或者向该接入用户返回拒绝响应，或者向该接入用户返回指定的用户允许访问的网站IP地址。
3.如权利要求1所述的方法，其特征在于，所述用户禁止访问的网站域名信息为每一个用户的标识信息及其绑定的需要屏蔽的各网站域名；以及
DNS服务器如果根据从所述域名解析请求中提取的该接入用户的标识信息，查询到所述网站域名包括在该接入用户的标识信息所绑定的需要屏蔽的各网站域名之内，则确认所述网站域名为该接入用户禁止访问的网站域名。
4.如权利要求1所述的方法，其特征在于，还包括：
接入控制设备接收到接入用户基于互联网协议IP地址的访问请求时，查询获取到的用户禁止访问的IP地址信息；以及
根据查询结果确认请求访问的IP地址为该接入用户禁止访问的IP地址时，拒绝针对所述IP地址的访问连接。
5.如权利要求4所述的方法，其特征在于，还包括：
所述网站过滤服务器定期、或者在用户禁止访问的IP地址信息更新之后、或者根据接入控制设备发起的禁止访问IP地址信息同步请求将用户禁止访问的IP地址信息同步给接入控制设备。
6.如权利要求4所述的方法，其特征在于，所述接入控制设备为该接入用户接入侧的流控设备，或者该接入用户所接入的路由器。
7.一种访问控制系统，其特征在于，包括：
网站过滤服务器，用于定期、或者在用户禁止访问的网站域名信息更新之后、或者根据DNS服务器发起的禁止访问域名信息同步请求将用户禁止访问的网站域名信息同步给DNS服务器；
域名系统DNS服务器，用于接收到接入用户发起的携带网站域名的域名解析请求时，查询从网站过滤服务器中获取到的用户禁止访问的网站域名信息，所述用户禁止访问的网站域名信息为每一个用户的标识信息及其绑定的需要屏蔽的、由网站过滤服务器基于用户的个性化定制生成的各网站域名；以及根据查询结果确认所述网站域名为该接入用户禁止访问的网站域名时，拒绝针对所述网站域名的域名解析服务；
其中，当所述用户禁止访问的网站域名信息为每一个用户的标识信息及其绑定的需要屏蔽的、由网站过滤服务器基于用户的个性化定制生成的各网站域名时，所述网站过滤服务器，具体包括：
不良网站域名数据库，其中每一个网站域名配置有内容类型和不良级别；
确定单元，用于根据每一个用户定制的包括内容类型和不良级别的网站过滤范围查询不良网站域名数据库，确定每一个用户需要屏蔽的各网站域名；
绑定单元，用于将每一个用户的标识信息与其需要屏蔽的各网站域名进行绑定。
8.如权利要求7所述的系统，其特征在于，还包括接入控制设备，其中：
所述网站过滤服务器，还用于提供用户禁止访问的互联网协议IP地址信息；
所述接入控制设备，用于接收到接入用户基于IP地址的访问请求时，查询获取到的用户禁止访问的IP地址信息；以及根据查询结果确认请求访问的IP地址为该接入用户禁止访问的IP地址时，拒绝针对所述IP地址的访问连接。
9.如权利要求8所述的系统，其特征在于，
所述网站过滤服务器，还具体用于定期、或者在用户禁止访问的IP地址信息更新之后、或者根据接入控制设备发起的禁止访问IP地址信息同步请求将用户禁止访问的IP地址信息同步给接入控制设备。
10.一种域名系统DNS服务器，其特征在于，包括：
获取单元，用于获取用户禁止访问的网站域名信息；
查询单元，用于接收到接入用户发起的携带网站域名的域名解析请求时，查询获取到的用户禁止访问的网站域名信息，其中，网站域名信息由网站过滤服务器定期、或者在用户禁止访问的网站域名信息更新之后、或者根据DNS服务器发起的禁止访问域名信息同步请求同步给DNS服务器，并且，所述用户禁止访问的网站域名信息为每一个用户的标识信息及其绑定的需要屏蔽的、由网站过滤服务器基于用户的个性化定制生成的各网站域名；其中，当所述用户禁止访问的网站域名信息为每一个用户的标识信息及其绑定的需要屏蔽的、由网站过滤服务器基于用户的个性化定制生成的各网站域名时，所述用户禁止访问的网站域名信息是由网站过滤服务器根据每一个用户定制的包括内容类型和不良级别的网站过滤范围查询不良网站域名数据库、以确定每一个用户需要屏蔽的各网站域名并将每一个用户的标识信息与其需要屏蔽的各网站域名进行绑定后所得到的；
控制单元，用于根据查询结果确认所述网站域名为该接入用户禁止访问的网站域名时，拒绝针对所述网站域名的域名解析服务。
11.如权利要求10所述的DNS服务器，其特征在于，
所述控制单元，具体用于根据查询结果确认所述网站域名为该接入用户禁止访问的网站域名时，直接丢弃所述域名解析请求，或者向该接入用户返回拒绝响应，或者向该接入用户返回指定的用户允许访问的网站IP地址。
12.如权利要求10所述的DNS服务器，其特征在于，用户禁止访问的网站域名信息为每一个用户的标识信息及其预先定制的需要屏蔽的各网站域名；以及
所述查询单元，具体用于根据从所述域名解析请求中提取的该接入用户的标识信息，查询所述网站域名是否包括在该接入用户的标识信息所绑定的需要屏蔽的各网站域名之内；
所述控制单元，具体用于如果查询结果为是，则确认所述网站域名为该接入用户禁止访问的网站域名。

一种访问控制方法、系统及DNS服务器\n技术领域\n[0001] 本发明涉及IP(Internet Protocol，互联网协议)网络领域，尤其涉及一种访问控制方法、系统及DNS(Domain Name System，域名系统)服务器。\n背景技术\n[0002] 目前，互联网上存在着大量的提供反动、迷信、色情等不良信息的不良网站，使得广大用户经常受到各种不良信息的侵害，严重污染了网络环境。\n[0003] 现有技术中提供了一种不良网站的过滤方案，通过大量抓取互联网中的网络流量并基于智能分析，检测出网站中的不良信息；对于检测出的不良信息，根据相关策略进行屏蔽、替换等内容过滤操作；同时，向网络管理人员提供报警信息和统计信息。\n[0004] 现有技术中提供的不良网站的过滤方案，通过对互联网中正在运行的网络流量进行抓取之后，再执行智能分析和内容过滤，是一种被动的解决方案，无法从根本上控制不良信息流入互联网；同时，需要在互联网中部署规模庞大的网络流量抓取、智能分析以及内容过滤的系统，对系统的软硬件要求较高，需要巨额的网络投资，并且随着网络流量的增加，系统需要不断扩容。\n发明内容\n[0005] 本发明实施例提供一种访问控制方法、系统及DNS服务器，用以及时、有效地控制不良信息流入互联网，净化网络环境。\n[0006] 本发明实施例提供的访问控制方法，包括：\n[0007] 域名系统DNS服务器接收到接入用户发起的携带网站域名的域名解析请求时，查询获取到的用户禁止访问的网站域名信息；以及\n[0008] 根据查询结果确认所述网站域名为该接入用户禁止访问的网站域名时，拒绝针对所述网站域名的域名解析服务。\n[0009] 本发明实施例提供的访问控制系统，包括：\n[0010] 网站过滤服务器，用于提供用户禁止访问的网站域名信息；\n[0011] 域名系统DNS服务器，用于接收到接入用户发起的携带网站域名的域名解析请求时，查询从网站过滤服务器中获取到的用户禁止访问的网站域名信息；以及根据查询结果确认所述网站域名为该接入用户禁止访问的网站域名时，拒绝针对所述网站域名的域名解析服务。\n[0012] 本发明实施例提供的一种域名系统DNS服务器，包括：\n[0013] 获取单元，用于获取用户禁止访问的网站域名信息；\n[0014] 查询单元，用于接收到接入用户发起的携带网站域名的域名解析请求时，查询获取到的用户禁止访问的网站域名信息；\n[0015] 控制单元，用于根据查询结果确认所述网站域名为该接入用户禁止访问的网站域名时，拒绝针对所述网站域名的域名解析服务。\n[0016] 本发明实施例提供的访问控制方法、系统及DNS服务器，当接入用户发起针对某网站的域名解析时，DNS服务器不直接执行域名解析流程，而是在提供域名解析服务之前，查询获取到的用户禁止访问的网站域名信息，如果网站域名为该接入用户禁止访问的网站域名，则DNS服务器将不再提供域名解析服务，从而禁止接入用户访问该网站。通过在域名解析过程中拒绝针对不良网站域名的域名解析服务，从根源上禁止接入用户对不良网站的访问，从而及时、有效地控制不良信息流入互联网，提升网络环境的安全性。\n[0017] 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。\n附图说明\n[0018] 图1为本发明实施例提供的访问控制方法流程图；\n[0019] 图2为本发明实施例提供的第一种基于域名解析的访问控制流程图；\n[0020] 图3为本发明实施例提供的第二种基于域名解析的访问控制流程图；\n[0021] 图4为本发明实施例提供的访问控制系统示意图；\n[0022] 图5为本发明实施例提供的DNS服务器的结构框图。\n具体实施方式\n[0023] 本发明实施例提供一种访问控制方法、系统及DNS(Domain Name System，域名系统)服务器，通过在域名解析过程中拒绝针对不良网站域名的域名解析服务，从根源上禁止接入用户对不良网站的访问，从而及时、有效地控制不良信息流入互联网，提升网络环境的安全性。\n[0024] 以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。\n[0025] 首先对DNS进行简单说明。在IP(Internet Protocol，互联网协议)网络中，DNS的主要功能是将易于人们记忆的域名(Domain Name)与网络可识别的IP地址作转换。域名和IP地址之间的转换称为域名解析，执行域名解析的网络主机可以称为DNS服务器。现有技术中，DNS提供三种域名解析方式：本地查询、缓存查询和迭代查询。如果某ISP(Internet Service Provider，互联网服务提供商)的接入用户在浏览器中输入某网站域名，则接入用户发起域名解析请求，其中携带该网站域名；该ISP的DNS服务器，一般称为本地DNS服务器接收到该域名解析请求，首先执行本地查询，在本地域名数据库中查询该网站域名对应的IP地址，本地域名数据库中存储了归属本DNS服务器解析的本地域名和IP地址的对应关系，如果该网站域名是本地域名，则本地DNS服务器直接将查询到的IP地址返回给接入用户；如果该网站域名不是本地域名，本地DNS服务器接着执行缓存查询，在本DNS服务器的缓存中查询解析记录(缓存中一般以解析记录的形式保存最近一段时间内通过迭代查询方式解析过的非本地域名及其对应的IP地址)，如果在缓存中有该网站域名相关的解析记录，则本地DNS服务器直接将查询到的IP地址返回给接入用户；如果在缓存中没有该网站域名相关的解析记录，本地DNS服务器最后执行迭代查询，通过迭代查询获取该网站域名对应的IP地址。\n[0026] 本发明实施例提供的访问控制方法，如图1所示，包括如下步骤：\n[0027] S101、DNS服务器接收到接入用户发起的携带网站域名的域名解析请求时，查询获取到的用户禁止访问的网站域名信息；\n[0028] S102、DNS服务器根据查询结果确认域名解析请求中的网站域名为该接入用户禁止访问的网站域名时，拒绝针对该网站域名的域名解析服务，从而禁止接入用户访问该网站。\n[0029] 本发明实施例中，可以将提供用户禁止访问的网站域名信息的网络设备称为网站过滤服务器。在S101的具体实施中，DNS服务器从网站过滤服务器获取用户禁止访问的网站域名信息，网站过滤服务器提供的用户禁止访问的网站域名信息一般是随时更新的，为了进一步提升控制不良信息流入互联网的准确性，网站过滤服务器可以定期将用户禁止访问的网站域名信息同步给DNS服务器，同步周期可以根据实际情况灵活设定，例如一小时、一天等；或者，网站过滤服务器在用户禁止访问的网站域名信息更新之后将用户禁止访问的网站域名信息同步给DNS服务器；或者，网站过滤服务器根据DNS服务器发起的禁止访问域名信息同步请求将用户禁止访问的网站域名信息同步给DNS服务器。\n[0030] 在S102的具体实施中，具体可以采用如下形式之一拒绝针对该网站域名的域名解析服务，例如：\n[0031] DNS服务器直接丢弃该域名解析请求；\n[0032] DNS服务器向该接入用户返回拒绝响应；\n[0033] DNS服务器向该接入用户返回指定的用户允许访问的网站IP地址，其中，指定的用户允许访问的网站IP地址，可以为本ISP的门户网站IP地址、不良网站监管机构的门户网站IP地址，甚至可以为某一合法网站的IP地址。\n[0034] 其中，用户禁止访问的网站域名信息采用的较佳形式可以为禁止所有用户访问的各网站域名，也可以为每一个用户的标识信息及其绑定的需要屏蔽的各网站域名。\n[0035] 第二种较佳形式可以由网站过滤服务器基于用户的个性化定制生成，需要网站过滤服务器包括不良网站域名数据库，网站过滤服务器中的网站域名可以按照内容进行分类，例如分为反动、迷信、色情等类型；在每一个类型中，进一步可以按照根据网站信息的不良程度进行分级，例如分为一级、二级、三级等不良级别。基于此，不良网站域名数据库中每一个网站域名配置有内容类型和不良级别，网站过滤服务器根据每一个用户定制的包括内容类型和不良级别的网站过滤范围查询不良网站域名数据库，确定每一个用户需要屏蔽的各网站域名；并将每一个用户的标识信息与其需要屏蔽的各网站域名进行绑定。具体实施中，用户可以通过WEB或网站过滤客户端等方式登录到网站过滤服务器，根据自身需求定制网站过滤范围。\n[0036] 针对上述两种较佳形式，详细介绍基于域名解析的访问控制流程。\n[0037] 如果用户禁止访问的网站域名信息为禁止所有用户访问的各网站域名，相应的基于域名解析的访问控制流程，如图2所示，包括：\n[0038] S201、假设接入用户在浏览器中输入某网站域名，则接入用户发起携带网站域名的域名解析请求；\n[0039] S202、DNS服务器接收到接入用户发起的携带网站域名的域名解析请求；\n[0040] S203、DNS服务器查询域名解析请求中的网站域名是否包括在禁止所有用户访问的各网站域名之内，如果查询结果为是，则执行S204，如果查询结果为否，则执行S205；\n[0041] 具体实施中，网站过滤服务器可以定期、或者在禁止所有用户访问的各网站域名更新之后、或者根据DNS服务器发起的禁止访问域名信息同步请求将禁止所有用户访问的各网站域名同步给DNS服务器；\n[0042] S204、DNS服务器确认域名解析请求中的网站域名为该接入用户禁止访问的网站域名，拒绝针对该网站域名的域名解析服务，从而禁止接入用户访问该网站；\n[0043] S205、DNS服务器正常执行域名解析流程，具体执行流程与现有技术基本一致。\n[0044] 如果用户禁止访问的网站域名信息为每一个用户的标识信息及其绑定的需要屏蔽的各网站域名，相应的基于域名解析的访问控制流程，如图3所示，包括：\n[0045] S301、假设接入用户在浏览器中输入某网站域名，则接入用户发起携带网站域名的域名解析请求；\n[0046] 用户的标识信息一般为用户的IP地址，或者用户的其它身份信息；\n[0047] S302、DNS服务器接收到接入用户发起的携带网站域名的域名解析请求；\n[0048] S303、DNS服务器从域名解析请求中提取的该接入用户的标识信息，并确定该接入用户的标识信息所绑定的需要屏蔽的各网站域名；\n[0049] 具体实施中，网站过滤服务器可以定期、或者在任一用户的标识信息及其绑定的需要屏蔽的各网站域名更新(例如增加或者删除)之后、或者根据DNS服务器发起的禁止访问域名信息同步请求将每一个用户的标识信息及其绑定的需要屏蔽的各网站域名同步给DNS服务器；当然，网站过滤服务器也可以仅将当前时间段内发生更新的用户的标识信息及其绑定的需要屏蔽的各网站域名同步给DNS服务器；\n[0050] S304、DNS服务器查询域名解析请求中的网站域名是否包括在该接入用户的标识信息所绑定的需要屏蔽的各网站域名之内，如果查询结果为是，则执行S305、如果查询结果为否，则执行S306；\n[0051] S305、DNS服务器确认域名解析请求中的网站域名为该接入用户禁止访问的网站域名，拒绝针对该网站域名的域名解析服务，从而禁止接入用户访问该网站；\n[0052] S306、DNS服务器正常执行域名解析流程，具体执行流程与现有技术基本一致。\n[0053] 具体实施中，某些接入用户可能采用TCP(Transmission Control Protocol，传输控制协议)/UDP(User Datagram Protocol，用户数据报协议)方式，直接基于IP地址请求访问网站或者其它非HTTP(Hyper Text Transport Protocol，超级文本传送协议)类的应用连接，而无需通过DNS服务器进行域名解析，针对该情况，为了进一步提升控制不良信息流入互联网的有效性，作为对上述基于域名解析的访问控制方案的完善和补充，本发明实施例提供的访问控制方法，还包括相应的基于访问连接的访问控制流程，包括如下步骤：\n[0054] 步骤a、接入控制设备接收到接入用户基于IP地址的访问请求时，查询获取到的用户禁止访问的IP地址信息；\n[0055] 所述接入控制设备可以为该接入用户接入侧的流控设备，或者该接入用户所接入的路由器；\n[0056] 步骤b、接入控制设备根据查询结果确认访问请求中的IP地址为该接入用户禁止访问的IP地址时，拒绝针对该IP地址的访问连接；具体实施中，接入控制设备通过丢弃与该IP地址相关的所有数据包拒绝针对该IP地址的访问连接，则应用层业务无法实现。\n[0057] 本发明实施例中，网站过滤服务器还可以提供用户禁止访问的IP地址信息。在步骤a的具体实施中，接入控制设备同样从网站过滤服务器获取用户禁止访问的IP地址信息。与用户禁止访问的网站域名信息相类似，网站过滤服务器提供的用户禁止访问的IP地址信息一般是随时更新的，为了进一步提升控制不良信息流入互联网的准确性，网站过滤服务器可以定期将用户禁止访问的IP地址信息同步给接入控制设备，或者在用户禁止访问的IP地址信息更新之后将用户禁止访问的IP地址信息同步给接入控制设备，或者根据接入控制设备发起的禁止访问IP地址信息同步请求，网站过滤服务器将用户禁止访问的IP地址信息同步给接入控制设备。\n[0058] 与用户禁止访问的网站域名信息相类似，用户禁止访问的IP地址信息采用的较佳形式可以为禁止所有用户访问的IP地址，也可以为每一个用户的标识信息及其绑定的需要屏蔽的各IP地址。\n[0059] 第二种较佳形式可以由网站过滤服务器基于用户的个性化定制生成，需要网站过滤服务器包括不良IP地址数据库，网站过滤服务器中的IP地址可以按照内容进行分类，例如分为反动、迷信、色情等类型；在每一个类型中，进一步可以按照根据网站信息的不良程度进行分级，例如分为一级、二级、三级等不良级别。基于此，不良IP地址数据库中每一个IP地址配置有内容类型和不良级别，网站过滤服务器根据每一个用户定制的包括内容类型和不良级别的网站过滤范围，确定每一个用户需要屏蔽的各IP地址；并将每一个用户的标识信息与其需要屏蔽的各IP地址进行绑定。具体实施中，用户可以通过WEB或网站过滤客户端等方式登录到网站过滤服务器，根据自身需求定制网站过滤范围。\n[0060] 针对上述两种较佳形式，基于访问连接的访问控制流程请参照基于域名解析的访问控制流程，具体实施不再赘述。\n[0061] 基于同一技术构思，本发明实施例提供了一种访问控制系统，如图4所示，包括：\n[0062] 网站过滤服务器401，用于提供用户禁止访问的网站域名信息；\n[0063] DNS服务器402，用于接收到接入用户发起的携带网站域名的域名解析请求时，查询从网站过滤服务器中获取到的用户禁止访问的网站域名信息；以及根据查询结果确认域名解析请求中的网站域名为该接入用户禁止访问的网站域名时，拒绝针对域名解析请求中的网站域名的域名解析服务。\n[0064] 其中，网站过滤服务器401，具体用于定期、或者在用户禁止访问的网站域名信息更新之后、或者根据DNS服务器发起的禁止访问域名信息同步请求将用户禁止访问的网站域名信息同步给DNS服务器402。\n[0065] 网站过滤服务器401提供的用户禁止访问的网站域名信息可以为每一个用户的标识信息及其绑定的需要屏蔽的各网站域名，在这种情况下，网站过滤服务器401的一种可能结构，具体包括：\n[0066] 不良网站域名数据库，其中每一个网站域名配置有内容类型和不良级别；\n[0067] 确定单元，用于根据每一个用户定制的包括内容类型和不良级别的网站过滤范围查询不良网站域名数据库，确定每一个用户需要屏蔽的各网站域名；\n[0068] 绑定单元，用于将每一个用户的标识信息与其需要屏蔽的各网站域名进行绑定。\n[0069] 具体实施中，为了进一步提升控制不良信息流入互联网的有效性，访问控制系统还可以包括接入控制设备403，其中：\n[0070] 网站过滤服务器401，还用于提供用户禁止访问的IP地址信息；\n[0071] 接入控制设备403，用于接收到接入用户基于IP地址的访问请求时，查询获取到的用户禁止访问的IP地址信息；以及根据查询结果确认访问请求中的IP地址为该接入用户禁止访问的IP地址时，拒绝针对所述IP地址的访问连接。\n[0072] 其中，网站过滤服务器401，还具体用于定期、或者在用户禁止访问的IP地址信息更新之后、或者根据接入控制设备发起的禁止访问IP地址信息同步请求将用户禁止访问的IP地址信息同步给接入控制设备403。\n[0073] 本发明实施例同时提供了一种DNS服务器的可能结构，如图5所示，包括：\n[0074] 获取单元501，用于获取用户禁止访问的网站域名信息；\n[0075] 查询单元502，用于接收到接入用户发起的携带网站域名的域名解析请求时，查询获取到的用户禁止访问的网站域名信息；\n[0076] 控制单元503，用于根据查询结果确认域名解析请求中携带的网站域名为该接入用户禁止访问的网站域名时，拒绝针对域名解析请求中携带的网站域名的域名解析服务。\n[0077] 其中，控制单元503，具体用于根据查询结果确认域名解析请求中的网站域名为该接入用户禁止访问的网站域名时，直接丢弃该域名解析请求，或者向该接入用户返回拒绝响应，或者向该接入用户返回指定的用户允许访问的网站IP地址。\n[0078] 具体实施中，用户禁止访问的网站域名信息可以为禁止所有用户访问的各网站域名，也可以为每一个用户的标识信息及其预先定制的需要屏蔽的各网站域名：\n[0079] 如果采用第一种较佳形式，查询单元502，具体用于查询域名解析请求中携带的网站域名是否包括在该接入用户的标识信息所绑定的需要屏蔽的各网站域名之内；控制单元\n503，具体用于如果查询结果为是，则确认域名解析请求中的网站域名为该接入用户禁止访问的网站域名。\n[0080] 如果采用第二种较佳形式，查询单元502，具体用于根据从域名解析请求中提取的该接入用户的标识信息，查询域名解析请求中的网站域名是否包括在该接入用户的标识信息所绑定的需要屏蔽的各网站域名之内；控制单元503，具体用于如果查询结果为是，则确认域名解析请求中的网站域名为该接入用户禁止访问的网站域名。\n[0081] 本发明实施例提供的访问控制方法、系统及DNS服务器，当接入用户发起针对某网站的域名解析时，DNS服务器不直接执行域名解析流程，而是在提供域名解析服务之前，查询获取到的用户禁止访问的网站域名信息，如果网站域名为该接入用户禁止访问的网站域名，则DNS服务器将不再提供域名解析服务，从而禁止接入用户访问该网站。通过在域名解析过程中拒绝针对不良网站域名的域名解析服务，从根源上禁止接入用户对不良网站的访问，从而及时、有效地控制不良信息流入互联网，提升网络环境的安全性。\n[0082] 本发明实施例中，当接入用户发起基于IP地址的访问请求时，接入控制设备首先查询获取到的用户禁止访问的IP地址信息，如果访问请求中的IP地址为该接入用户禁止访问的IP地址，则接入控制设备拒绝针对该IP地址的访问连接，从而禁止接入用户访问该资源。通过基于访问连接的访问控制流程，能够进一步提升控制不良信息流入互联网的有效性。\n[0083] 本发明实施例中，网站过滤服务器提供的不良网站域名数据库和不良IP地址数据库可以划分类型和级别，用户通过登录网站过滤服务器可以个性化定制需要屏蔽的各种类型和各种级别网站，从而提升控制不良信息流入互联网的灵活性。\n[0084] 本领域的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。\n[0085] 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。