CN101151602A - 通信控制装置 - Google Patents
通信控制装置 Download PDFInfo
- Publication number
- CN101151602A CN101151602A CNA2006800107182A CN200680010718A CN101151602A CN 101151602 A CN101151602 A CN 101151602A CN A2006800107182 A CNA2006800107182 A CN A2006800107182A CN 200680010718 A CN200680010718 A CN 200680010718A CN 101151602 A CN101151602 A CN 101151602A
- Authority
- CN
- China
- Prior art keywords
- information
- communication control
- data
- control unit
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/12—Protocol engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Communication Control (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种根据对内容或者服务的访问请求,输出适当信息的技术。通信控制装置(10)接收对内容或者服务的访问请求的数据包,判定是否可以进行该访问,当访问被禁止时,指示信息输出服务器(130)输出错误信息等信息。信息保持部(132)按每个访问请求源的用户、或每个访问请求目的地的URL和类别保持对访问请求源输出的信息。登记受理部(135),受理信息的登记,指示收费部(136)收取登记费。收费部(136)进行从登记者的账户减去登记费的处理。信息输出部(131)从通信控制装置(10)获取访问请求源的用户ID,参照信息保持部(132),输出为该用户设定的信息。
Description
技术领域
本发明涉及通信控制技术,特别是涉及对访问请求的发信源输出信息的通信控制装置。
背景技术
在互联网的基础设施得以完善,便携式电话终端、个人电脑、VoIP(Voice over internet Protocal:基于internet协议的语音)电话终端等通信终端得到广泛普及的今天,互联网的用户正在暴增。在这种状况下,计算机病毒、黑客(ハツキング)、垃圾邮件等与安全有关的问题变得明显化,需要有对通信进行适当控制的技术。
虽然使用因特网易于对大量的信息进行访问,但是有害信息泛滥也是事实,处于一种来不及对有害信息的出处进行限制的状态。为了对谁都可以安心且有效地使用因特网的环境进行整顿,需要有对有害的内容的访问进行适当控制的技术。
例如,准备好允许访问的网站名单、禁止访问的网站名单、禁止语关键词、有用语关键词等的数据库,当通过因特网对外部信息进行访问时,参照这些数据库来控制访问,这样的技术已经被提出了(例如,参照专利文献1)。
专利文献1:特开2001-28797号公报
发明内容
发明所要解决的课题
本发明的发明人想到了以下的技术,即,在这样的访问控制中,当访问被禁止或者访问被许可等时,向访问请求源的用户输出适当的信息。此外,也想到了可以柔性设定该信息的技术、和使用该技术的有益商务模式。
本发明是鉴于这样的状况而提出的,其目的在于提供一种根据对内容的访问请求,输出适当信息的技术。
用于解决课题的方法
本发明的一个方面涉及通信控制装置。该通信控制装置包括:信息保持部,将通过网络能够访问的位置所保持的内容或服务的地址与应该向请求对该内容或服务进行访问的请求源输出的信息进行关联对应保持;检索部,获取用于请求对上述内容或服务进行访问的通信数据,检索上述通信数据中是否含有上述地址;信息输出部,当上述通信数据中含有上述地址时,从上述信息保持部读出与该地址关联对应的信息并输出。
上述信息保持部可以将访问被禁止的内容或服务或者访问被许可的内容或服务的地址与向请求对该内容或服务进行访问的请求源输出的信息进行关联对应保持。例如,可以向请求对访问被禁止的内容进行访问的用户,输出以访问被禁止为旨意的信息或者替代内容等。此外,也可以向请求对访问被许可的内容进行访问的用户,输出与该内容有关的广告等。
上述信息保持部将上述内容或服务分为多个类别,按每个类别保持应该向请求访问该类别所属的内容或服务的请求源输出的信息。
通信控制装置还可以包括保持用于确定用户的信息的用户数据库,上述检索部可以通过对上述通信数据所含的表示上述通信数据的发信源的信息与上述用户数据库中登记的用于确定上述用户的信息进行比较,从上述用户数据库中检索上述发信源,上述信息输出部可以在上述发信源为上述用户数据库中登记的用户时输出上述信息。上述信息保持部可以按每个上述用户保持当该用户请求访问上述内容或服务时应输出的信息。也可以单独输出与用户有关的内容,也可以与访问控制有关的信息组合并输出。向用户输出的信息,用户可以事先设定,也可以由广告企业主等第三者提供。
通信控制装置还可以包括:登记受理部,受理上述信息的登记,并将该信息登记到上述信息保持部;收费部,对上述信息的登记进行等价收费。上述收费部可以在上述信息输出部输出信息时对上述访问的请求源或请求目的地进行等价收费。
通信控制装置还可以包括:履历保持部,保持上述信息的输送履历;评价部,对履历保持部所保持的信息的输送履历进行评价。上述评价部可以当来自同一访问请求源的访问请求超过预定数量时,确定该访问请求源,指示上述信息输出部向该访问请求源输出信息。
通信控制装置还可以包括在与便携式通信终端之间通过无线通信发送接收信号的天线,上述通信数据可以通过上述天线由上述便携式通信终端接收,上述信息可以通过上述天线向上述移动通信终端发送。
另外,作为本发明的实施方式,以上构成要素的任意组合、以及将本发明的描述在方法、装置、系统、记录介质、计算机程序等之间进行变换的方式也是有效的。
发明的效果
根据本发明,可以提供一种根据对内容的访问请求,输出适当的信息的技术。
附图说明
图1是表示前提技术涉及的通信控制系统的构成的图。
图2是表示现有的通信控制装置的构成的图。
图3是表示前提技术涉及的通信控制装置的构成的图。
图4是表示数据包处理电路的内部构成的图。
图5是表示位置检测电路的内部构成的图。
图6是表示第一数据库的内部数据的例子的图。
图7是表示第一数据库的内部数据的另一个例子的图。
图8是表示第一数据库的内部数据的又一个例子的图。
图9是表示对分检索电路所含的比较电路的构成的图。
图10是表示第二数据库的内部数据的例子的图。
图11是表示第二数据库的内部数据的另一个例子的图。
图12是表示前提技术涉及的通信控制装置的另一个构成例子的图。
图13是表示用于URL过滤的数据包处理电路的内部构成的图。
图14(a)是表示病毒/网络钓鱼网站名单的内部数据的例子的图,图14(b)是表示白名单的内部数据的例子的图,图14(c)是表示黑名单的内部数据的例子的图。
图15是表示公共类别名单的内部数据的例子的图。
图16(a)、(b)、(c)、(d)是表示第二数据库的内部数据的例子的图。
图17是表示病毒/网络钓鱼网站名单、白名单、黑名单以及公共类别名单的优先顺序的图。
图18是表示实施方式涉及的信息输出服务器的构成的图。
图19是表示实施方式涉及的通信控制系统的配置例子的图。
图20是表示实施方式涉及的通信控制系统的配置例子的图。
图21是表示实施方式涉及的通信控制系统的配置例子的图。
图22是表示实施方式涉及的通信控制系统的配置例子的图。
图23是表示实施方式涉及的通信控制系统的配置例子的图。
图24是表示实施方式涉及的通信控制系统的配置例子的图。
符号说明
10通信控制装置、12通信控制单元、14切换控制部、20数据包处理电路、30检索电路、32位置检测电路、33比较电路、34索引电路、35比较电路、36对分检索电路、40处理执行电路、50第一数据库、57用户数据库、60第二数据库、100通信控制系统、110运行监视服务器、111管理表、120连接管理服务器、130信息输出服务器、131信息输出部、132信息保持部、133履历保持部、134评价部、135登记受理部、136收费部、140日志管理服务器、150数据库服务器、160URL数据库、161病毒/网络钓鱼网站名单、162白名单、163黑名单、164公共类别名单、250 WEB服务器、260便携式电话终端、262基站装置、264控制站装置、272接入点、274、282、284路由器装置。
具体实施方式
(前提技术)
首先,作为前提技术,对通信控制装置及其外围装置的构成和动作概要进行说明,而且,对使用通信控制装置的URL过滤技术进行说明,然后,作为实施方式,对于对访问请求的发信源输出信息的技术进行说明。
图1示出了前提技术涉及的通信控制系统的构成。通信控制系统100包括通信控制装置10和为支援通信控制装置10的动作而设置的各种外围装置。前提技术的通信控制装置10实现由因特网服务提供商等提供的URL过滤功能。设置在网络路径上的通信控制装置10,取得对内容的访问请求,对其内容进行分析,判断对该内容的访问是否许可。当对内容的访问被许可时,通信控制装置10将该访问请求发送给保持有该内容的服务器。当对内容的访问被禁止时,通信控制装置10将废弃该访问请求,并对请求源返回警告信息等。在前提技术中,通信控制装置10接收HTTP(HyperText Transfer Protocol:超级文本传输协议)的“GET”请求信息等访问请求,对将要访问的内容的URL是否与用于判断访问是否许可的基准数据的名单相一致进行检索,判断对内容的访问是否许可。
外围装置包括:运行监视服务器110、连接管理服务器120、信息输出服务器130、日志管理服务器140和数据库服务器150。连接管理服务器120管理对通信控制装置10的连接。连接管理服务器120例如当通信控制装置10对由便携式电话终端送出的数据包进行处理时,使用唯一识别数据包中所含的便携式电话终端的信息来对通信控制装置10的用户进行认证。一旦被认证,则从暂时交付给该便携式电话终端的IP地址送出的数据包,在一定的期间内无需通过连接管理服务器120认证而发送到通信控制装置10进行处理。信息输出服务器130按照由通信控制装置10判定的访问是否许可的结果,对访问的请求目标或者请求源输出信息。日志管理服务器140管理通信控制装置10的运行履历。数据库服务器150从URL数据库获取最新的数据库,并将其输入到通信控制装置10。为了在不停止通信控制装置10的情况下更新数据库,通信控制装置10可以有备份用的数据库。运行监视服务器110对通信控制装置10、连接管理服务器120、信息输出服务器130、日志管理服务器140和数据库服务器150等外围装置的运行状况进行监视。运行监视服务器110在通信控制系统100中优先级最高,并对通信控制装置10及全部的外围装置进行监视控制。通信控制装置10如下面所述由专用的硬件电路构成,而运行监视服务器110使用本申请人的专利第3041340号等技术,通过利用边界扫描电路在与通信控制装置10等之间对用于监视的数据进行输入输出,从而即使在通信控制装置10的运行中,也可以对运行状况进行监视。
前提技术的通信控制系统100,如以下所述,由在外围连接的具有各种功能的服务器群对为实现高速化而以专用硬件电路构成的通信控制装置10进行控制,由此,通过适当替换服务器群的软件,可以由同样的构成实现各种功能。根据前提技术,可以提供这种柔性高的通信控制系统。
图2示出了现有的通信控制装置1的构成。现有的通信控制装置1包括:接收侧的通信控制部2、数据包处理部3、和发送侧的通信控制部4。通信控制部2及4分别包括:PHY处理部5a及5b,进行数据包的物理层的处理;MAC处理部6a及6b,进行数据包的MAC层的处理。数据包处理部3包括:IP处理部7,进行IP(Internet Protocal:IP协议)的协议处理;TCP处理部8等,进行TCP(Transport Control Protocal:传送控制协议)的协议处理;协议处理部,进行与协议对应的处理;AP处理部9,进行应用层的处理。AP处理部9根据数据包中包含的数据,执行过滤等处理。
在现有的通信控制装置1中,数据包处理部3是利用作为通用处理器的CPU和在CPU上运行的OS,通过软件来实现的。但是,在这种构成中,通信控制装置1的性能将依赖于CPU的性能,想要实现能够高速地对大容量的数据包进行处理的通信控制装置,自然存在限制。例如,如果是64位的CPU,一次同时能够处理的数据量最大是64位,具有在此以上性能的通信装置不存在。而且,由于将具有通用功能的OS的存在作为前提,因此存在安全漏洞等的可能性不是绝对没有的,OS的升级等的维护作业是必要的。
图3示出了前提技术的通信控制装置的构成。通信控制装置10包括由布线逻辑电路的专用硬件构成的数据包处理电路20,以取代图2所示的现有通信控制装置1中由包含CPU及OS的软件实现的数据包处理部3。不是通过在作为通用处理电路的CPU中运行的OS和软件来处理通信数据,而是设置对通信数据进行处理的专用硬件电路,由此能够克服由CPU和OS等造成的性能限制,实现高处理能力的通信控制装置。
例如,在为了执行数据包过滤等而检索数据包所含的数据中是否含有作为过滤判断基准的基准数据的情况下,使用CPU对通信数据和基准数据进行比较时,一次最多只能比较64位,所以存在的问题是,即使想提高处理速度也将受到CPU性能的限制。由于在CPU中必须无数次重复进行以下处理,即,从通信数据将64位读入到存储器,将其与基准数据进行比较,接着再把下一64位读入到存储器,因此读入到存储器的时间将制约速度,处理速度存在界限。
相反,在前提技术中,设置了由布线逻辑电路构成的专用硬件电路,以对通信数据和基准数据进行比较。该电路包括并列设置的多个比较器,以能够对比64位长的数据长定度,例如1024位的数据长定度进行比较。这样,通过设置有专用的硬件可以同时并行执行许多的位匹配。可以从现有的使用CPU的通信控制装置1一次只能处理64位提高到一次可以处理1024位,可以飞跃地提高处理速度。虽然增多比较器的数量也能够提高处理能力,但是成本和尺寸也会增大,因此可以在考虑预期的处理性能和成本、尺寸等条件下,设计最适当的硬件电路。专用的硬件电路可以使用FPGA(Field Programmable Gate Array:现场可编程门阵列)等实现。
此外,由于前提技术的通信控制装置10是由布线逻辑电路形成的专用硬件构成的,因此不需要OS(Operating System:操作系统)。为此,不需要OS的安装、故障应对、升级等作业,从而可以减少用于管理和维护的费用和工时。此外,与要求具有通用功能的CPU不同,由于不包含不必要的功能,因此没有使用多余的资源,低成本化、电路面积的减少、处理速度的提高是可以期待的。而且,与使用OS的现有通信控制装置不同,由于没有多余的功能,因此降低了安全漏洞等发生的可能性,对于通过网络来自恶意第三者的攻击具有优秀的抵抗性。
现有的通信控制装置1通过以CPU和OS为前提的软件对数据包进行处理,在接收了数据包的所有数据后再进行协议处理,将数据交给应用程序。相反,在本前提技术的通信控制装置10中,由于使用专用的硬件电路进行处理,没有必要在接收了数据包的所有数据后开始处理,如果接收到处理所需的数据,则不用等待接收后续的数据就可以在任何时候开始处理。例如,在后述的位置检测电路中进行的位置检测处理,可以在接收到用于确定比较对象数据位置的位置确定数据时开始。这样,由于不用等待接收了所有的数据就可以动态地执行各种各样的处理,因此能够缩短处理数据包的数据所需的时间。
图4示出了数据包处理电路的内部构成。数据包处理电路20包括:第一数据库50,存储基准数据,所述基准数据作为用于决定对通信数据执行的处理内容的基准;检索电路30,通过比较通信数据和基准数据对接收的通信数据中是否含有基准数据进行检索;第二数据库60,将检索电路30的检索结果和对通信数据执行处理的内容进行关联对应存储;处理执行电路40,基于检索电路30的检索结果和第二数据库60所存储的条件对通信数据进行处理。
检索电路30包括:位置检测电路32,从通信数据中检测应与基准数据进行比较的比较对象数据的位置;作为判定电路一个例子的索引电路34,当把所述第一数据库50所存储的基准数据分成3个以上的范围时,判定比较对象数据属于这些范围中的哪一个;对分检索电路36,在判定的范围中,检索与比较对象数据一致的基准数据。作为从基准数据中检索比较对象数据的方法,可以使用任意的检索技术,但在前提技术中使用的是对分检索法。
图5示出了位置检测电路的内部构成。位置检测电路32包括:多个比较电路33a~33f,用于对确定比较对象数据位置的位置确定数据和通信数据进行比较。在此,设置有6个比较电路33a~33f,但如后所述,比较电路的个数可以是任意的。通信数据以每错开(ずらレて)预定的数据长定例如1字节输入到各比较电路33a~33f中。然后,在这些多个比较电路33a~33f中,同时并列进行应检测的位置确定数据和通信数据的比较。
在前提技术中,将进行以下处理时的情况作为用于说明通信控制装置10动作的例子进行说明,即,检测通信数据中包含的“No.###”的字符串,将该字符串中包含的数字“###”与基准数据进行比较,与基准数据一致时允许数据包通过,不一致时将数据包废弃。
在图5的例子中,为了从通信数据中检测用于确定数字“###”位置的位置确定数据“No.”,将通信数据“01No.361...”每错开1个字符输入到比较电路33a~33f中。即,比较电路33a中输入“01N”,比较电路33b中输入“1No”,比较电路33c中输入“No.”,比较电路33d中输入“o.”,比较电路中33e输入“.3”,比较电路33f中输入“36”。在此,比较电路33a~33f同时执行与位置确定数据“No.”的比较。由此,比较电路33c匹配,从而检测出在通信数据的最前头开始第3个字符处存在“No.”的字符串。这样,在由位置检测电路32检测出的位置确定数据“No.”之后,将检测出存在作为比较对象数据的数字数据。
如果由CPU进行同样的处理,则首先将字符串“01N”与“No.”进行比较,然后将字符串“1No”与“No.”进行比较,由于必须从最前头开始依次逐一执行比较处理,因此无法期待提高检测速度。相反,在前提技术的通信控制装置10中,通过并列设置多个比较电路33a~33f,使得CPU中无法实现的同时并列的比较处理成为可能,可以极大地提高处理速度。虽然比较电路越多能够同时比较的位置就越多,检测速度也将提高,但是在考虑到成本和尺寸等条件下,设置获得所需检测速度的足够数量的比较电路就可以了。
位置检测电路32不只用于检测位置确定数据,也可以用作检测通用的字符串的电路。此外,不仅可以检测字符串,而且还可以检测以位为单位的置确定数据。
图6示出了第一数据库的内部数据的例子。作为用于决定数据包的过滤、路径选择、交换、置换等处理内容基准的基准数据,按照某种分类条件进行分类并贮存在第一数据库50中。在6的例子中,存储有1000个基准数据。
在第一数据库50的最前面的纪录中,贮存有表示通信数据中的比较对象数据位置的偏移51。例如,在TCP数据包中,由于数据包内的数据结构以位为单位确定,因此如果将用于决定数据包的处理内容的标记信息等位置作为偏移51设定,则可以只比较必要的位来决定处理内容,从而可以提高处理效率。此外,即使在数据包的数据结构变更的情况下,也可以通过变更偏移51来进行对应。在第一数据库50中,也可以贮存比较对象数据的数据长定。由此,可以只使必要的比较器动作来进行比较,从而可以提高检索效率。
索引电路34,在将第一数据库50贮存的基准数据分成3个以上的范围52a~52d时,判定比较对象数据属于这些范围中的哪一个。在图6的例子中,1000个基准数据被以每250个分成4个范围52a~52d。索引电路34包括对范围的边界的基准数据与对象数据进行比较的多个比较电路35a~35c。通过比较电路35a~35c对比较对象数据与边界的基准数据同时并列进行比较,从而用一次比较处理就可以判定比较对象数据属于哪个范围。
输入到索引电路34的比较电路35a~35c中的边界基准数据,可以通过通信控制装置10外部所设置的装置来设定,也可以事先自动地输入第一数据库50预定位置的基准数据。在后一种情况下,即使更新第一数据库50,也可以自动地将第一数据库50预定位置的基准数据输入到比较电路35a~35c中,因此无需进行初始设定就能立即执行通信控制处理。
如上所述,在由CPU执行对分检索的场合,不能同时执行多个比较,而在前提技术的通信控制装置10中,通过并列设置有多个比较电路35a~35c,可以同时并列进行比较处理,从而极大地提高了检索速度。
当由索引电路34判定了范围时,对分检索电路36以对分检索法执行检索。对分检索电路36将由索引电路34判定的范围进一步分成2个,通过对位于该边界位置的基准数据和比较对象数据进行比较,来判定属于哪个范围。对分检索电路36包括以位为单位对基准数据和比较对象数据进行比较的多个比较电路,例如在前提技术中包括1024个,同时执行1024位的位匹配。当判定了属于被分成2个的范围中的哪一个时,进一步将该范围分成2个并读出位于边界位置的基准数据,将其与对象数据进行比较。之后,通过重复该处理来进一步限定范围,最后检索出与比较对象数据一致的基准数据。
使用上述的例子进一步对动作进行详细说明。在图5所示的通信数据中,位置确定数据“No.”之后的比较对象数据是数字“361”。由于在确定数据“No.”与比较对象数据“361”之间存在一个字符的空格,因此为了从比较对象数据中除去该空格,偏移51被设定为“8”位。对分检索电路36从位置确定数据“No.”之后的通信数据中跳过“8”位,即1个字节,将之后的“361”作为比较对象数据读入。
在索引电路34的比较电路35a~35c中,输入“361”作为比较对象数据,作为基准数据,在比较电路35a中输入位于范围52a和52b边界的基准数据“378”,在比较电路35b中输入位于范围52b和52c边界的基准数据“704”,在比较电路35c中输入位于范围52c和52d边界的基准数据“937”。由比较电路35a~35c同时进行比较,判定出比较对象数据“361”属于范围52a。之后,对分检索电路36将检索基准数据中是否存在比较对象数据“361”。
图7示出了第一数据库内部数据的另一个例子。在图7的例子中,基准数据的数据个数少于第一数据库50所能够保持的数据数1000个。此时,在第一数据库50中,从最后数据位置开始降序贮存基准数据。然后,将剩余的数据中贮存0。作为数据库的加载方法,不是从最前面配置数据而是从加载区域的后方配置,当加载区域的开头产生空位时,对所有的空位进行清零,由此使数据库一直处于满的状态,从而可以使对分检索时的最大时间恒定。此外,当对分检索电路36在检索中读入“0”作为基准数据时,由于比较结果是明显的,因此可以不进行比较而确定范围,并转到下一比较。由此,可以提高检索速度。
在基于CPU的软件处理中,在将基准数据贮存到第一数据库50时,从最初的数据位置升序贮存基准数据。在剩余的数据中例如贮存最大值,在这种情况下,在对分检索中不可能省略上述的比较处理。上述的比较技术通过由专用的硬件电路构成检索电路30来实现。
图8示出了第一数据库内部数据的又一个例子。在图8的例子中,不是把基准数据均等地分成3个以上的范围,而是范围所属的基准数据的个数是不均等的,例如范围52a为500个,范围52b为100个。这些范围可以根据通信数据中的基准数据的出现频度的分布来进行设定。也就是说,可以对范围进行设定以使各范围所属的基准数据的出现频度的和大致相同。由此,可以提高检索效率。输入到索引电路34的比较电路35a~35c中的基准数据,也可以从外部进行变更。由此,能够动态地设定范围,从而可以使检索效率最佳化。
图9示出了对分检索电路中包含的比较电路的构成。如上所述,对分检索电路36包括1024个比较电路36a、36b、...、。在各个比较电路36a、36b、...、中,基准数据54和比较对象数据56被每1位地输入,并比较其大小。索引电路34的各比较电路35a~35c的内部构成也是同样的。这样,通过以专用的硬件电路执行比较处理,可以使多个比较电路并行动作,同时对多位进行比较,从而可以使比较处理高速化。
图10示出了第二数据库内部数据的例子。第二数据库60包括贮存检索电路30的检索结果的检索结果栏62、以及贮存对通信数据执行的处理内容的处理内容栏64,并对检索结果和处理内容进行关联对应保持。在图10的例子中设定如下条件:当通信数据中包含基准数据时,允许该数据包通过;当不包含基准数据时,将该数据包废弃。处理执行电路40根据检索结果从第二数据库60检索处理内容,对通信数据执行处理。处理执行电路40也可以由布线逻辑电路来实现。
图11示出了第二数据库内部数据的另一个例子。在图11的例子中,对每个基准数据设定处理内容。当进行数据包的置换时,可以将待置换的数据贮存到第二数据库60中。在进行数据包的路径选择或者交换时,可以将与路经有关的信息贮存到第二数据库60中。处理执行电路40根据检索电路30的检索结果,执行第二数据库60中贮存的过滤、路径选择、交换、置换等处理。如图11所示,当对每个基准数据设定处理内容时,可以对第一数据库50和第二数据库60进行综合。
第一数据库及第二数据库被设置为可以从外部进行重写。通过对这些数据库进行替换,可以使用相同的通信控制装置10实现各种各样的数据处理或者通信控制。此外,也可以设置2个以上贮存作为检索对象的基准数据的数据库,来进行多阶段的检索处理。此时,也可以设置2个以上关联对应贮存了检索结果和处理内容的数据库,来实现更复杂的条件分支。这样,当设置多个数据库进行多阶段的检索时,也可以设置多个位置检测电路32、索引电路34、对分检索电路36等。
上述用于比较的数据,可以用同样的压缩逻辑进行压缩。在进行比较时,如果比较源数据与比较目标数据用同样的方式压缩,则可以与通常一样进行比较。由此,比较时可以减少载入的数据量。如果载入的数据量变少,则从存储器读出数据所需的时间就会缩短,全部的处理时间也可以缩短。此外,由于可以削减比较器的数量,从而有助于装置的小型化、轻型化、低成本化。用于比较的数据可以用压缩的形式贮存,也可以从存储器读出后,在比较之前进行压缩。
图12示出了前提技术的通信控制装置的另外的构成例子。本图所示的通信控制装置10包括2个具有与图3所示的通信控制装置10同样构成的通信控制单元12。此外,设有对各通信控制单元12的动作进行控制的切换控制部14。各通信控制单元12包括2个输入输出接口16,通过各输入输出接口16连接到上游侧和下游侧2个网络上。通信控制单元12从任一个网络输入通信数据,将处理后的数据输出到另一个网络。切换控制部14通过切换各通信控制单元12设置的输入输出接口16的输入输出,对通信控制单元12中的通信数据的流向进行切换。由此,不仅可以进行单向的通信控制,而且还可以进行双向的通信控制。
切换控制部14也可以进行控制以使通信控制单元12的一方处理入站的数据包、另一方处理出站的数据包,也可以进行控制以使双方都处理出站的数据包。由此,例如根据业务量的状况或者目的等,可以使进行控制的通信方向变化。
切换控制部14也可以通过获取各通信控制单元12的动作状况,根据其动作状况对通信控制的方向进行切换。例如,在使一方的通信控制单元12处于待机状态,而使另一方的通信控制单元12动作的情况下,当检测到该通信控制单元12由于故障等原因停止时,可以使待机中的通信控制单元12动作以作为替代。由此,可以提高通信控制装置10的容错度。此外,当对一方的通信控制单元12进行数据库的更新等维护时,也可以使另一方通信控制单元12动作以作为替代。由此,在不停止通信控制装置10运行的情况下,能够适当地进行维护。
在通信控制装置10中也可以设置3个以上的通信控制单元12。切换控制部14例如可以获取业务量的状况,并对各通信控制单元12的通信方向进行控制,以便将更多的通信控制单元12分配给通信量多的方向的通信控制处理。由此,即使某个方向的通信量增加,也可以将通信速度的降低限制到最小。
另外,在多个通信控制单元12之间可以共用通信控制部2或者4的一部分。此外,数据包处理电路20的一部分也可以共用。
可以考虑以下的方式作为上述的数据处理装置。
[方式1]
一种数据处理装置,其特征在于,包括:
第一存储部,存储基准数据,以作为决定对获取的数据执行的处理的内容的基准;
检索部,通过对所述数据和所述基准数据进行比较,检索所述数据中是否包含所述基准数据;
第二存储部,将所述检索部的检索结果与所述处理的内容进行关联对应并存储;
处理部,根据所述检索结果,对所述数据执行与所述检索结果关联对应的处理,
所述检索部由布线逻辑电路构成。
[方式2]
在上述方式1的数据处理装置中,所述布线逻辑电路包括:多个第一比较电路,以位为单位对所述数据和所述基准数据进行比较。
[方式3]
在上述方式1的数据处理装置中,所述检索部包括:位置检测电路,从所述数据中检测应与所述基准数据进行比较的比较对象数据的位置。
[方式4]
在上述方式3的数据处理装置中,所述位置检测电路包括:对所述数据和用于确定所述比较对象数据位置的位置确定数据进行比较的多个第二比较电路,所述数据每错开预定数据长度的位输入到所述多个第二比较电路,并与所述位置确定数据同时并列进行比较。
[方式5]
在上述方式1至方式2任一项的数据处理装置中,所述检索部包括:对分检索电路,通过对分检索对所述数据中是否包含所述基准数据进行检索。
[方式6]
在上述方式5的数据处理装置中,所述基准数据的数据数比所述第一存储部所能保持的数据数少时,从所述第一存储部的最后数据位置开始降序贮存所述基准数据,并将0贮存到剩余的数据中。
[方式7]
在上述方式1至方式6任一项的数据处理装置中,所述检索部包括:判定电路,当所述第一存储部所存储的多个基准数据分成3个以上的范围时,判定所述基准数据和应进行比较的对象数据属于这些范围中的哪一个。
[方式8]
在上述方式7的数据处理装置中,所述判定电路包括:对所述范围的边界的基准数据和所述比较对象数据进行比较的多个第三比较电路,由所述多个第三比较电路同时并列对所述比较对象数据属于所述3个以上范围中的哪一个进行判定。
[方式9]
在上述方式8的数据处理装置中,所述第一存储部的预定位置存储的所述基准数据输入到所述第三比较电路,以作为所述边界的基准数据。
[方式10]
在上述方式7或方式8的数据处理装置中,根据所述数据中的所述基准数据的出现频度的分布来设定所述范围。
[方式11]
在上述方式1至方式10任一项的数据处理装置中,所述第一存储部还存储有表示所述数据中的比较对象数据位置的信息,所述检索部基于表示所述位置的信息提取所述比较对象数据。
[方式12]
在上述方式1至方式11任一项的数据处理装置中,所述第一存储部或者所述第二存储部被设置为能够从外部进行重写。
[方式13]
在上述方式1至方式12任一项的数据处理装置中,所述检索部不待获取通信数据包的所有数据,而是在获取了应与所述基准数据进行比较的数据时,开始对该数据和所述基准数据进行比较。
[方式14]
一种数据处理装置,其特征在于,包括:多个上述方式1至13任一项的数据处理装置,各所述数据处理装置包括2个在与通信线路之间输入输出数据的接口,通过切换各所述接口的输入和输出,对处理所述数据的方向进行可变控制。
接下来,对使用上述通信控制装置10的URL过滤技术进行说明。
图13示出了用于URL过滤的数据包处理电路20的内部结构。数据包处理电路20,作为第一数据库50,包括:用户数据库57、病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164。用户数据库57贮存使用通信控制装置10的用户的信息。通信控制装置10从用户接收识别用户的信息,将检索电路30接收的信息与用户数据库57进行匹配来对用户进行认证。作为识别用户的信息,可以使用TCP/IP数据包的IP标题中贮存的源地址,也可以从用户接收用户ID和口令。在前者的情况下,由于数据包中的源地址的贮存位置已经确定了,因此在检索电路30中与用户数据库57进行匹配时,没有必要通过位置检索电路32检测位置,作为偏移51,指定源地址的贮存位置就可以了。当认证了是登记在用户数据库57的用户时,接着,为了判断对内容的访问是否许可,将内容的URL与病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164进行核对。由于白名单162和黑名单163按每个用户设置,因此当用户被认证并唯一地确定了用户ID时,将该用户的白名单162和黑名单163提供给检索电路30。
病毒/网络钓鱼网站名单161贮存包含计算机病毒的内容的URL名单、和网络钓鱼诈骗中使用的“陷阱”网站的URL名单。对贮存在病毒/网络钓鱼网站名单161中的URL的内容的访问请求将被拒绝。这样,即使在用户不注意或者被骗时想要访问病毒网站或者网络钓鱼网站的情况下,也可以适当地禁止访问,保护用户免受病毒网站或者网络钓鱼诈骗所害。此外,由于不是在用户终端中贮存病毒或网络钓鱼网站名单由终端侧进行访问限制,而是由设置在通信路径上的通信控制装置10集中进行访问限制,从而能够可靠且高效地进行访问限制。通信控制装置10可以获取并保持由认证机关证明为不是病毒或者网络钓鱼网站而是正当网站的认证后的网站名单,从而许可对该名单中贮存的URL进行访问。此外,当正当的网站被黑客等攻陷、被嵌入病毒、被用于网络钓鱼诈骗等事态发生时,正当网站的运营者等可以将被攻陷的网站的URL登记到病毒/网络钓鱼网站名单161中,在网站恢复到正常的状态前,暂时禁止访问。此外,可以将IP号、TCP号、MAC地址等信息与URL的名单组合并进行检查。由此,可以设定更高精度的检索条件,从而能够更可靠地对病毒或者网络钓鱼网站进行过滤。
白名单162按每个用户设置,并贮存许可访问的内容的URL名单。黑名单163按每个用户设置,并贮存禁止访问的内容的URL名单。图14(a)示出了病毒/网络钓鱼网站名单161的内部数据的例子,图14(b)示出了白名单162的内部数据的例子,图14(c)示出了黑名单163的内部数据的例子。在病毒/网络钓鱼网站名单161、白名单162、黑名单163中分别设置有类别号栏165、URL栏166、以及标题栏167。在URL栏166中贮存有访问被许可或被禁止的内容的URL。在类别号栏165中贮存有内容的类别号。在标题栏167中贮存有内容的标题。
公共类别名单164贮存有用于将以URL表示的内容分为多个类别的名单。图15示出了公共类别名单164的内部数据的例子。在公共类别名单164中也设置有类别号栏165、URL栏166、以及标题栏167。
通信控制装置10提取“GET”请求信息等中包含的URL,由检索电路30对该URL是否包含在病毒/网络钓鱼网站名单161、白名单162、黑名单163或者公共类别名单164之中进行检索。此时,例如,也可以由位置检测电路32检测“http://”的字符串,提取该字符串之后的数据串作为对象数据。提取的URL通过索引电路34及对分检索电路36与病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164的基准数据进行匹配。
图16(a)、(b)、(c)及(d)示出了用于URL过滤的第二数据库60的内部数据的例子。图16(a)示出了对病毒/网络钓鱼网站名单161的检索结果和处理内容。当“GET”请求等中包含的URL与病毒/网络钓鱼网站名单161中包含的URL一致时,禁止对该URL的访问。图16(b)示出了对白名单162的检索结果和处理内容。当“GET”请求等中包含的URL与白名单162中包含的URL一致时,许可对该URL的访问。图16(c)示出了对黑名单163的检索结果和处理内容。当“GET”请求等中包含的URL与黑名单163中包含的URL一致时,禁止对该URL的访问。
图16(d)示出了对公共类别名单164的检索结果和处理内容。如图16(d)所示,对于对公共类别名单164的检索结果,用户可以按照每个类别对该类别所属的内容的访问是许可还是禁止分别进行设定。在与公共类别名单164有关的第二数据库60中设置有用户ID栏168及类别栏169。在用户ID栏168中贮存有用于识别用户的ID。在类别栏169中,对于被分为57种的各个类别,贮存有表示用户对类别所属内容的访问是许可还是禁止的信息。当“GET”请求等中包含的URL与公共类别名单164中包含的URL一致时,根据该URL的类别和用户ID,判断对该URL的访问是否许可。此外,在图16(d)中,公共类别的数量是57,但也可以是其他数量。
图17示出了病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164的优先级。在前提技术中,按照病毒/网络钓鱼网站名单161、白名单162、黑名单163、公共类别名单164的顺序优先级变高,例如,即使是白名单162中贮存的访问被许可的内容的URL,如果该URL贮存在病毒/网络钓鱼网站名单161中,则也将作为含有计算机病毒的内容或者用于网络钓鱼诈骗的内容而被禁止访问。
以往,当使用软件来进行考虑了这样的优先级的匹配时,例如,可以采用以下方法之一:从优先级高的名单开始依次进行匹配并采用最初命中的,或者从优先级低的名单开始依次进行匹配并用随后命中的进行覆盖。但是,在前提技术中,通过使用由专用的硬件电路构成的通信控制装置10,并设置有进行病毒/网络钓鱼网站名单161匹配的检索电路30a、进行白名单162匹配的检索电路30b、进行黑名单163匹配的检索电路30c、进行公共类别名单164匹配的检索电路30d,在各检索电路30中同时并行进行匹配。其次,在多个名单中命中时,采用优先级最高的。由此,即使在设有多个数据库,对其设定了优先级的情况下,也可以大幅度缩短检索时间。
对病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164的哪个优先进行访问是否许可的判断,例如也可以在第二数据库60中设定。根据哪个名单设定为优先,可以对第二数据库60的条件进行修改。
这样,当使用多个数据库进行基于URL的过滤时,可以对数据库设定优先级并进行与优先级对应的过滤处理,而且,通过将病毒/网络钓鱼网站名单161的过滤设定为最优先,不管用户对白名单162等的设定状况如何,能够可靠地禁止对病毒网站或者网络钓鱼网站的访问。由此,可以适当地保护用户免受病毒或者网络钓鱼诈骗所害。
当对内容的访问被许可时,处理执行电路40向信息输出服务器130输出用于通知该旨意的信号。信息输出服务器130向保持有该内容的服务器发送“GET”请求信息。当对内容的访问被禁止时,处理执行电路40向信息输出服务器130输出用于通知该旨意的信号,信息输出服务器130不向访问目标的服务器发送“GET”请求信息而是将其废弃。此时,也可以将访问被禁止的响应信息发送给请求源。此外,也可以强制地转送到其他网页。这时,处理执行电路40将目的地址和URL更换为转送目的地的目的地址和URL发送。响应信息和转送目的地的URL等信息也可以贮存在第二数据库60或者信息输出服务器130等中。
信息输出服务器130也可以使用ping命令等来确认实际存在请求源,并且当存在时对其状态进行确认,然后对请求源输出信息。从信息输出服务器130向请求源发送的信息也可以按每个用户进行设定,也可以按每个访问目标的内容、按每个类别、或者按每个白名单162或黑名单163等的数据库进行设定。例如,在访问被禁止时,用户可以对显示的画面进行定制并登记到信息输出服务器130。此外,如上所述,正当的网站被黑客攻击并且暂时限制访问时,可以输出向正当网站的镜像网站引导的信息。
信息输出服务器130可以管理信息的输送履历,并可以将该信息输送履历信息用于各种控制。例如,当从相同的请求源在短时间内发出多次访问请求时,由于有可能是服务妨碍攻击(Denial of Service attack:Dos攻击)等,因而可以将该请求源登记到访问拒绝名单中,截断来自该请求源的数据包而不将其向请求目的地发送。另外,可以对信息输送履历进行统计处理,并将其提供给WEB网站的管理者等。由此,用户的访问履历可以用于市场营销或者或用于通信状况的控制等。此外,可以根据状况减少信息送出的次数、相反,也可以增加。例如,从特定的IP号码发出访问请求时,对其一条请求信息,可以发送多倍的信息。
通过以上的构成及动作,可以禁止对不适当的内容进行访问。此外,由于检索电路30是由FPGA等构成的专用硬件电路,因此,如上所述,可以实现高速的检索处理,将对通信量的影响抑制到最小限度,而且可以执行过滤处理。因特网服务提供商等通过提供这样的过滤服务,可以提高附加价值,获取更多的用户。
白名单162或者黑名单163也可以设为对所有的用户共享。
(实施方式)
在实施方式中,提出了一种对访问请求源输出信息的技术。此外,提出了一种使用该信息的商务模式。而且,提出了一种使用该信息对恶意的攻击采取适当防御对策的技术。
如前提技术中所述,通信控制装置10接收对内容的访问请求的数据包,判断是否可以进行该访问,当访问被禁止时,指示信息输出服务器130输出错误信息等信息。在本实施方式中,可以按每个访问请求源的用户、每个访问目的地的URL、每个类别和每个数据库等柔性设定由该信息输出服务器130向访问请求源输出的信息,从而可以根据状况输出适当的信息。不限于访问被禁止的场合,还可以将内容与信息进行关联对应保持,对发出了对内容进行访问请求的用户,输出与该内容关联对应的信息。
图18示出了实施方式涉及的信息输出服务器130的构成。本实施方式的信息输出服务器130包括信息输出部131、信息保持部132、履历保持部133、评价部134、登记受理部135以及收费部136。
信息保持部132保持对访问请求源输出的信息。信息可以按每个用户设定。在这种情况下,信息保持部132将识别用户的信息与向该用户输出的信息或者贮存该信息的文件的文件名等进行关联对应贮存。信息也可以按类别名单中的每个类别进行设定,也可以按每个访问目的地的URL进行设定。例如,网站的运营者可以按每个URL将广告信息等设定为信息。信息保持部132在能够设定与例如每个用户、每个URL等多个条件对应的信息情况下,还可以贮存表示哪个信息优先的信息。
登记受理部135受理信息的登记。当信息能够按每个用户设定时,登记受理部135受理来自用户的信息登记,并将其登记到信息保持部132。另外,也可以受理来自内容的提供者、广告提供企业等的信息登记。当对信息的登记者收取登记费时,一旦登记受理部135受理信息的登记,则指示收费部136收取登记费。收费部136进行从登记者的账户减去登记费的处理。
当信息是按每个访问请求源的用户设定时,信息输出部131从对访问请求的数据包进行处理的连接管理服务器120或者通信控制装置10获取访问请求源用户的用户ID等,参照信息保持部132,输出为该用户设定的信息。当信息是按每个访问目的地的URL、每个类别设定时,信息输出部131从通信控制装置10获取访问目的地的URL或者类别的识别信息等,参照信息保持部132,输出为该URL或者类别设定的信息。信息输出部131将输出信息的履历登记到履历保持部133。此外,当向信息的登记者或者信息的接收者收取与信息的输出等价费用时,指示收费部136收取。
当按第一数据库50的每个名单设定信息时,例如,对于向病毒/网络钓鱼网站名单161中登记的URL请求访问的用户,可以将“由于是病毒感染网站,因而访问被限制。”、“由于是网络钓鱼网站,因而访问被限制。”等禁止访问的理由作为信息输出。此外,当按公共类别名单164的每个类别设定信息时,例如,可以将“由于是禁止阅览的类别,因而访问被限制。”等禁止访问的理由作为信息输出。按各名单中登记的每个URL设定信息的场合也是同样的。
当按访问请求源的每个用户设定信息时,例如,当设定与在企业等中的职位对应的访问权限时,可以输出“没有访问该网站的权限。”等信息。此外,父母给孩子便携式电话时,当孩子想要访问不合适的网站时,可以输出包含有向其他健康或优良网站链接的信息,以将其引向该链接。
可以按访问目的地的每个类别或URL设定含有广告等的信息。例如,可以在信息中包含与网站的内容关联的广告。由此,由于能够提供与用户想要阅览的网站关联的广告,因而可以提高广告效果。此外,也可以按每个用户设定含有广告等的信息。例如,用户可以事先设定关心的领域,以在信息中包含属于该领域的广告等信息。
信息也可以包含向其他网站的链接。作为向其他网站的链接的例子,例如可以包含向提供广告的网站的链接、向与访问目的地的内容有关的网站的链接、向人气排行高的网站的链接、向认证局认定的安全网站的链接等。例如,当正规的网站受到黑客攻击而关闭时,也可以对想要向该网站访问的用户,输出包含向镜像站链接的信息。此外,当网站的URL转移时,可以对想要向转移前的URL访问的用户,输出包含向转移后的URL的链接的信息。另外,信息输出部131也可以在与访问目的地的内容关联的网站中,提取关联度高的网站、人气网站、优良度高的网站、被认证局认定的网站等并创建名单,使其包含在信息中。
评价部134参照履历保持部133中保持的信息输送履历,对通信状况和访问请求源的状况等进行评价。评价部134可以对信息的输送履历进行统计处理,并提供给WEB网站管理者等。由此,可以将用户的访问履历用于市场营销,或者用于通信状况的控制等。另外,也可以事先将用户的终端设定为定期发送访问请求,参照对其的信息传输履历,掌握并利用用户的行动履历等。
当从相同的请求源短时间内发出了多个访问请求时,评价部134可以将其评价为存在服务妨碍攻击(Denial of Service attack:Dos攻击)等的可能性,并将该请求源登记到访问拒绝名单中,以阻断来自该请求源的数据包而不向请求目的地发送。此时,评价部134可以使用ping命令等来确认请求源实际存在,此外,当存在时,可以确认其状态。当确定了发出服务妨碍攻击等非法访问请求的请求源时,信息输出部131也可以对该请求源输出信息。由于本实施方式的通信控制系统10,如上所述,是一种不具有OS及CPU的完全透过型的通信装置,也没有IP地址,因而不会受到攻击。相反,通过由信息输出服务器130对攻击者把信息“顶回去”,可以增加攻击者的装置的负担。在此情况下,由于通信控制系统100不让非法的访问请求通过而顶回去,从而起到了如镜子(ミラ一)那样的作用。对于一个访问请求,也可以送出多个信息。
本实施方式的通信控制系统100设置在发出访问请求的用户终端与访问目的地的装置之间的通信路径上。以下,列举通信控制系统100的配置例子。
图19示出了通信控制系统的配置例子。本图示出了将便携式电话终端260作为用户终端使用的一个例子。从便携式电话终端260发出的访问请求通过通信公司设置的基站装置262、在局住所设置的控制站装置264发送给因特网200,通过因特网200到达WEB服务器250。在本图的例子中,通信控制系统100设置在基站装置262中。在此情况下,可以按每个基站装置262改变信息保持部132的内容,以使基站装置262按每个管辖领域输出不同的信息。当在基站装置262中设置通信控制系统100时,通过只搭载必要的最低限度的功能来实现通信控制系统100的小型化。例如,可以省略连接管理服务器120、日志管理服务器140等结构。通过在基站装置262中设置通信控制系统100来分散通信控制处理,设置小规模的通信控制系统100即可,从而可以使装置小型化、轻型化,同时可以降低成本。另外,由于在将从便携式电话终端260发出的访问请求向控制站装置264送出之前可以向请求源送出信息,因而可以减少通信量。此外,由于在与便携式电话终端260直接通信的基站装置262中送出信息,因此可以更可靠且迅速地将信息送到便携式电话终端260。
图20示出了通信控制系统另外的配置例子。本图也是表示使用便携式电话终端260的例子,但是与图19所示的例子不同,通信控制系统100设置在控制站装置264中。由于在局住所设置的控制站装置264中集中地执行信息处理,因此,系统的维护容易。
图21示出了通信控制系统的又一个配置例子。本图也是使用便携式电话终端260作为用户终端的一个例子。从便携式电话终端260发出的访问请求,通过无线LAN的接入点272、路由器装置274向因特网200送出,通过因特网200到达WEB服务器250。在本图的例子中,通信控制系统100设置在接入点272。与图19所示的例子同样,由便携式电话终端260附近的装置执行信息处理,因此可以减少无用的通信。此外,例如在企业内的无线LAN的场合,可以进行与接入点272对应的通信控制,例如使雇员在工作时间中不能访问不适当的网站等。
图22示出了通信控制系统的又一个配置例子。本图也是表示无线LAN的例子,但是与图21不同,通信控制系统100设置在路由器装置274中。由于在路由器装置274中设置通信控制系统100,因此可以减少通信控制系统100的设置个数,维护也变得容易。
图23及图24示出了通信控制系统另外的配置例子。在图中,示出了使用个人电脑(PC)280作为用户终端的例子。从PC 280发出的访问请求,通过LAN的路由器装置282及284向因特网200送出,通过因特网200到达WEB服务器250。图23所示的是在路由器装置282中设置通信控制系统100的例子,图24所示的是在路由器装置284中设置通信控制系统100的例子。
在上述的例子中,示出了在构成网络的装置中嵌入通信控制系统100的例子,但是,除这些装置以外,通信控制系统100也可以设置在网络的任意位置。
在这些配置例子中,对于基站装置262或者接入点272的天线、控制站装置264或者路由器装置274、282或284的网络接口等的接收部接收的通信数据,无需判定是否要访问控制,就可以输出信息。此外,无需认证请求源的用户是否为用户数据库57中登记的用户,就可以输出信息。即,通信控制系统100可以捕捉通过的所有数据包,对该数据包的发信源输出信息。另外,如前提技术说明的那样,可以只对连接管理服务器120中认证的用户输出信息,也可以只对用户数据库57中登记的用户输出信息。
以上,通过实施方式对本发明进行了说明。本领域的技术人员应该理解,实施方式仅为示例,本发明还存在对各构成元素或各处理过程进行组合的各种各样的变形实施例,这些变形实施例也包含在本发明的范围内。
产业上的可利用性
本发明可以适用于对内容的访问可否进行控制的通信控制系统。
Claims (10)
1.通信控制装置,其特征在于,包括:
信息保持部,将通过网络能够访问的位置所保持的内容或服务的地址与应该向请求对该内容或者服务进行访问的请求源输出的信息进行关联对应保持;
检索部,获取用于请求对所述内容或者服务进行访问的通信数据,检索所述通信数据中是否含有所述地址;
信息输出部,当所述通信数据中含有所述地址时,从所述信息保持部读出与该地址关联对应的信息并输出。
2.根据权利要求1所述的通信控制装置,其特征在于,所述信息保持部将访问被禁止的内容或服务或者访问被许可的内容或服务的地址与应该向请求对该内容或者服务进行访问的请求源输出的信息进行关联对应保持。
3.根据权利要求1或2所述的通信控制装置,其特征在于,所述信息保持部将所述内容或服务分为多个类别,并按每个类别保持应该向请求访问该类别所属的内容或服务的请求源输出的信息。
4.根据权利要求1至3任一项所述的通信控制装置,其特征在于,还包括用户数据库,保持用于确定用户的信息,
所述检索部通过对所述通信数据中包含的表示所述通信数据的发信源的信息与所述用户数据库中登记的用于确定所述用户的信息进行比较,从所述用户数据库中检索所述发信源,
所述信息输出部在所述发信源为所述用户数据库中登记的用户时输出所述信息。
5.根据权利要求4所述的通信控制装置,其特征在于,所述信息保持部按每个所述用户保持该用户请求对所述内容或服务进行访问时应该输出的信息。
6.根据权利要求1至5任一项所述的通信控制装置,其特征在于,还包括:
登记受理部,受理所述信息的登记,并将所述信息登记到所述信息保持部;
收费部,对所述信息的登记进行等价收费。
7.根据权利要求6所述的通信控制装置,其特征在于,所述收费部在所述信息输出部输出信息时对所述访问的请求源或请求目的地进行等价收费。
8.根据权利要求1至7任一项所述的通信控制装置,其特征在于,还包括:
履历保持部,保持所述信息的输送履历;
评价部,对所述履历保持部所保持的信息的输送履历进行评价。
9.根据权利要求8所述的通信控制装置,其特征在于,所述评价部当来自同一访问请求源的访问请求超过预定的数量时,确定该访问请求源,并指示所述信息输出部向该访问请求源输出信息。
10.根据权利要求1至9任一项所述的通信控制装置,其特征在于,还包括在与便携式通信终端之间通过无线通信发送接收信号的天线,
所述通信数据通过所述天线由所述便携式通信终端接收,所述信息通过所述天线向所述便携式通信终端发送。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP042755/2005 | 2005-02-18 | ||
| JP2005042755 | 2005-02-18 | ||
| JP248482/2005 | 2005-08-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101151602A true CN101151602A (zh) | 2008-03-26 |
| CN100476771C CN100476771C (zh) | 2009-04-08 |
Family
ID=36916246
Family Applications (4)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800493262A Expired - Fee Related CN101147381B (zh) | 2005-02-18 | 2005-07-07 | 数据处理装置 |
| CN2005800493258A Expired - Fee Related CN101147138B (zh) | 2005-02-18 | 2005-08-25 | 通信控制系统 |
| CNB2006800107182A Expired - Fee Related CN100476771C (zh) | 2005-02-18 | 2006-01-31 | 通信控制装置 |
| CNA2006800107178A Pending CN101176080A (zh) | 2005-02-18 | 2006-01-31 | 通信控制装置 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800493262A Expired - Fee Related CN101147381B (zh) | 2005-02-18 | 2005-07-07 | 数据处理装置 |
| CN2005800493258A Expired - Fee Related CN101147138B (zh) | 2005-02-18 | 2005-08-25 | 通信控制系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800107178A Pending CN101176080A (zh) | 2005-02-18 | 2006-01-31 | 通信控制装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20080270360A1 (zh) |
| EP (1) | EP1850558A1 (zh) |
| JP (1) | JP4027416B2 (zh) |
| KR (2) | KR20070068377A (zh) |
| CN (4) | CN101147381B (zh) |
| CA (1) | CA2577283A1 (zh) |
| WO (1) | WO2006087832A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123163A (zh) * | 2009-12-25 | 2011-07-13 | 佳能It解决方案股份有限公司 | 信息处理装置、信息处理方法以及计算机程序 |
| US8826379B2 (en) | 2008-09-30 | 2014-09-02 | Nec Corporation | Access control system, access control method, and communication terminal |
| CN106533989A (zh) * | 2016-12-01 | 2017-03-22 | 携程旅游网络技术(上海)有限公司 | 用于企业跨地域访问网络的优化方法及优化系统 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101589603B (zh) * | 2006-11-29 | 2012-04-04 | Duaxes株式会社 | 测试装置 |
| JPWO2008075426A1 (ja) * | 2006-12-20 | 2010-04-02 | デュアキシズ株式会社 | 通信制御装置及び通信制御方法 |
| WO2009066339A1 (ja) * | 2007-11-19 | 2009-05-28 | Duaxes Corporation | 通信制御装置 |
| JP4146505B1 (ja) | 2007-11-19 | 2008-09-10 | デュアキシズ株式会社 | 判定装置及び判定方法 |
| CN101325495B (zh) * | 2008-07-10 | 2012-02-01 | 成都市华为赛门铁克科技有限公司 | 一种应用于检测黑客服务器的检测方法、装置及系统 |
| US20100082357A1 (en) * | 2008-09-30 | 2010-04-01 | Nokia Corporation | Methods, apparatuses, and computer program products for providing activity coordination services |
| CN101510887B (zh) * | 2009-03-27 | 2012-01-25 | 腾讯科技(深圳)有限公司 | 鉴别网站的方法及装置 |
| CN101552674B (zh) * | 2009-05-19 | 2011-09-07 | 中国民生银行股份有限公司 | 伪网站的识别方法和系统 |
| CN102025492B (zh) * | 2009-09-10 | 2013-01-16 | 联想(北京)有限公司 | 一种web服务器及其数据保护方法 |
| CN103577449B (zh) * | 2012-07-30 | 2017-05-10 | 珠海市君天电子科技有限公司 | 钓鱼网站特性自学习挖掘方法及系统 |
| CN103780659A (zh) * | 2012-10-25 | 2014-05-07 | 中国电信股份有限公司 | 处理移动用户所输入网页地址的方法与无线应用协议网关 |
| CN103929407B (zh) * | 2013-01-15 | 2015-03-11 | 腾讯科技(深圳)有限公司 | 一种木马拦截方法、装置和系统 |
| WO2014181428A1 (ja) | 2013-05-09 | 2014-11-13 | 三菱電機株式会社 | Faネットワーク用lsiおよび通信装置 |
| KR102072133B1 (ko) * | 2013-07-03 | 2020-01-31 | 주식회사 카카오 | 광고 시스템 및 광고 방법 |
| US9600183B2 (en) * | 2014-09-22 | 2017-03-21 | Intel Corporation | Apparatus, system and method for determining comparison information based on memory data |
| CN110875754B (zh) * | 2018-08-29 | 2021-08-27 | 瑞昱新加坡有限公司 | 可提升数据传输效能的无线通信电路 |
| CN111629038B (zh) * | 2020-05-19 | 2023-08-08 | 北京达佳互联信息技术有限公司 | 虚拟资源分享处理方法、装置、服务器及存储介质 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4475237A (en) * | 1981-11-27 | 1984-10-02 | Tektronix, Inc. | Programmable range recognizer for a logic analyzer |
| US5341479A (en) * | 1989-01-31 | 1994-08-23 | Storage Technology Corporation | Address mark triggered read/write head buffer |
| KR0140506B1 (ko) * | 1993-12-29 | 1998-06-15 | 김주용 | 완전 디지탈 방식의 고화질 텔레비젼에서의 분배기 설계 |
| JP3234573B2 (ja) * | 1998-08-31 | 2001-12-04 | 松下電器産業株式会社 | パケットフィルタリング装置 |
| US6236678B1 (en) * | 1998-10-30 | 2001-05-22 | Broadcom Corporation | Method and apparatus for converting between byte lengths and burdened burst lengths in a high speed cable modem |
| JP2001168911A (ja) * | 1999-12-09 | 2001-06-22 | Hitachi Cable Ltd | パケットフィルタ装置 |
| JP3605343B2 (ja) * | 2000-03-31 | 2004-12-22 | デジタルア−ツ株式会社 | インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置 |
| JP3873027B2 (ja) * | 2001-04-02 | 2007-01-24 | 株式会社インフォーエス | ビットストリングの検索装置および方法 |
| KR100418445B1 (ko) * | 2001-04-11 | 2004-02-14 | (주) 세이프아이 | 인터넷 망을 통한 접근 통제 방법 및 장치 |
| JP2004140618A (ja) * | 2002-10-18 | 2004-05-13 | Yokogawa Electric Corp | パケットフィルタ装置および不正アクセス検知装置 |
| JP2004172917A (ja) * | 2002-11-20 | 2004-06-17 | Nec Corp | パケット検索装置及びそれに用いるパケット処理検索方法並びにそのプログラム |
| JP2004187201A (ja) * | 2002-12-06 | 2004-07-02 | Nippon Telegr & Teleph Corp <Ntt> | データ列検索用ノード,これを用いるデータ列検索方法並びにデータ列検索処理装置 |
-
2005
- 2005-07-07 WO PCT/JP2005/012605 patent/WO2006087832A1/ja active Application Filing
- 2005-07-07 CN CN2005800493262A patent/CN101147381B/zh not_active Expired - Fee Related
- 2005-07-07 EP EP20050765488 patent/EP1850558A1/en not_active Withdrawn
- 2005-07-07 KR KR20077008755A patent/KR20070068377A/ko not_active Application Discontinuation
- 2005-07-07 JP JP2007503569A patent/JP4027416B2/ja not_active Expired - Fee Related
- 2005-07-07 CA CA 2577283 patent/CA2577283A1/en not_active Abandoned
- 2005-07-07 US US11/793,565 patent/US20080270360A1/en not_active Abandoned
- 2005-08-25 CN CN2005800493258A patent/CN101147138B/zh not_active Expired - Fee Related
- 2005-08-25 KR KR20077021091A patent/KR20070103774A/ko not_active Application Discontinuation
-
2006
- 2006-01-31 CN CNB2006800107182A patent/CN100476771C/zh not_active Expired - Fee Related
- 2006-01-31 CN CNA2006800107178A patent/CN101176080A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8826379B2 (en) | 2008-09-30 | 2014-09-02 | Nec Corporation | Access control system, access control method, and communication terminal |
| CN102172063B (zh) * | 2008-09-30 | 2014-09-17 | 日本电气株式会社 | 访问控制系统、访问控制方法和通信终端 |
| CN102123163A (zh) * | 2009-12-25 | 2011-07-13 | 佳能It解决方案股份有限公司 | 信息处理装置、信息处理方法以及计算机程序 |
| CN102123163B (zh) * | 2009-12-25 | 2014-10-08 | 佳能It解决方案株式会社 | 信息处理装置、信息处理方法以及计算机程序 |
| CN106533989A (zh) * | 2016-12-01 | 2017-03-22 | 携程旅游网络技术(上海)有限公司 | 用于企业跨地域访问网络的优化方法及优化系统 |
| CN106533989B (zh) * | 2016-12-01 | 2019-08-20 | 携程旅游网络技术(上海)有限公司 | 用于企业跨地域访问网络的优化方法及优化系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101176080A (zh) | 2008-05-07 |
| KR20070103774A (ko) | 2007-10-24 |
| CN101147138B (zh) | 2010-05-12 |
| CN101147381B (zh) | 2011-07-27 |
| CN101147138A (zh) | 2008-03-19 |
| CN101147381A (zh) | 2008-03-19 |
| US20080270360A1 (en) | 2008-10-30 |
| EP1850558A1 (en) | 2007-10-31 |
| KR20070068377A (ko) | 2007-06-29 |
| CA2577283A1 (en) | 2006-08-24 |
| JP4027416B2 (ja) | 2007-12-26 |
| WO2006087832A1 (ja) | 2006-08-24 |
| CN100476771C (zh) | 2009-04-08 |
| JPWO2006087832A1 (ja) | 2008-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100476771C (zh) | 通信控制装置 | |
| CN100580644C (zh) | 通信控制装置及通信控制系统 | |
| JP4554671B2 (ja) | 通信制御装置 | |
| US7865474B2 (en) | Data processing system | |
| CN101674307B (zh) | 计算机网络内的安全服务的分级应用程序 | |
| US20100138382A1 (en) | Communication management system, communication management method and communication control device | |
| US6715083B1 (en) | Method and system of alerting internet service providers that a hacker may be using their system to gain access to a target system | |
| US8336092B2 (en) | Communication control device and communication control system | |
| CN101589376A (zh) | 通信控制装置 | |
| EP1850234A1 (en) | Communication control device and communication control system | |
| KR20070114501A (ko) | 비업무사이트 차단 시스템 및 방법 | |
| JP5156892B2 (ja) | ログ出力制御装置及びログ出力制御方法 | |
| JPWO2009066347A1 (ja) | 負荷分散装置 | |
| JPWO2009066344A1 (ja) | 通信制御装置、通信制御システム及び通信制御方法 | |
| JPWO2009069178A1 (ja) | 通信制御装置及び通信制御方法 | |
| JPWO2009066348A1 (ja) | 通信制御装置及び通信制御方法 | |
| JPWO2009066349A1 (ja) | 通信制御装置及び通信制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090408 Termination date: 20170131 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |