访问控制系统的制作方法

文档序号:7611146阅读:123来源:国知局
专利名称:访问控制系统的制作方法
技术领域
本发明涉及限制通过网络进行的对特定Web服务器的访问的访问控制系统及访问控制程序。
背景技术
以往,通过从终端装置经由因特网来访问服务器,可得到各种信息。然而因特网上虽然有提供对利用者有益的信息的Web网站,但也存在暴力图像、色情图像等儿童不宜阅读的Web网站。对这一问题,用于在少儿使用因特网时限制访问有害的Web网站的控制系统已久为人知。
对这种控制系统而言,有一种在因特网提供商与终端计算机(用户)之间,以ISP(因特网服务提供商)作为中介的控制系统。比如如图2所示,通过由该ISP进行过滤,可阻断在提供商与用户之间进行的访问信息中的有害信息。对这种过滤技术,在比如以下所示的在先技术文献1、2、3等中有记载。这里,有时也由提供商承担这种过滤的任务。
还有如图3所示,在企业及团体、学校等中,该企业等设置独自的过滤用网关服务器,当从该企业内的终端访问因特网时,在访问过滤用网关服务器后与因特网连接。并且,在该过滤用网关服务器中,来自企业内的终端的访问受到限制。
专利文献1特开2002-236631号公报专利文献2特开2002-073548号公报专利文献3特开2000-341362号公报发明内容然而,虽然比如小学生在利用学校内的终端来阅览内容的场合下,只能阅览适当的内容,但在回家后从家庭终端访问因特网的场合下,不适当内容的阅览也能受到限制,这是人们所希望。
这里,传统技术中存在着以下问题即,对于在从各家庭的终端访问因特网的场合下,如何限制对有害网站的访问,这在目前还没有实施相应的措施。这里,在采取措施的场合下,保护者等必须根据其利用者(儿童)来进行内容的阅览限制,但对于应限制何种内容,却有必要进行充分的探讨,因而加重了保护者的负担。该问题不仅在学校,在企业及各种团体(地区、宗教)中也同样有发生的可能性。
本发明鉴于该现状,其目的在于提供一种在组织的构成成员将该组织所提供的服务器作为网关来访问因特网的场合下,可有效进行对特定Web网站的访问限制的访问控制系统及访问控制程序。
此外本发明的目的在于,提供一种在运用这种访问控制系统时,可对各构成成员有效地进行计费的访问控制系统。
为解决上述课题,本发明是一种访问控制系统,其在多个终端与Web之间设有网关服务器,进行从上述终端对上述Web的访问的控制,其特征在于上述网关服务器包括访问控制部,其许可访问与规定团体的策略对应的Web,上述终端是由上述团体的构成成员利用的终端,包括访问部,其从设有上述网关服务器的场所之外,经由上述网关服务器来访问上述Web。
本发明是一种访问控制系统,其在多个终端与Web之间设有网关服务器,进行从上述终端对上述Web的访问的控制,其特征在于包括访问控制装置,其设置于上述网关服务器与Web之间,许可访问与规定团体的策略对应的Web,上述终端是由上述团体的构成成员利用的终端,包括访问部,其从设有上述网关服务器的场所之外,经由上述网关服务器及上述访问控制装置来访问上述Web。
本发明是一种访问控制系统,其在多个终端与Web之间设有网关服务器,进行从上述终端对上述Web的访问的控制,其特征在于上述网关服务器包括存储单元,其存储用于按规定团体的策略来限制对Web的访问的信息;以及访问控制部,其接收来自上述终端的访问请求,并参照上述存储单元来检测是否许可访问所接收的访问对象,上述终端是由上述团体的构成成员利用的终端,包括连接部,其在从设有上述网关服务器的场所之外访问上述Web时,将上述网关服务器作为连接对象来连接。
本发明的特征在于上述访问控制系统具有认证部,其根据有关上述连接部的连接对象的变更请求来进行用户认证;连接对象设定部,其在由上述认证部而认证不成立的情况下,不许可变更上述连接对象。
此外本发明的特征在于在上述访问控制系统中,上述网关服务器包括计费处理部,其进行针对成为接受上述访问控制服务的对象的用户的计费处理。
本发明是一种访问控制程序,其用于在多个终端与Web之间设有网关服务器,进行从上述终端对上述Web的访问的控制的访问控制系统中的网关服务器,其特征在于包括接收上述团体的构成成员所用终端的、从设有上述网关服务器的场所之外经由上述网关服务器来访问上述Web的访问请求的步骤;以及检测根据上述团体的策略是否许可上述访问请求,以进行访问控制的步骤。
如上所述,根据本发明,由于接收团体的构成成员所用终端的、从设有网关服务器的场所之外经由网关服务器来访问Web的访问请求,并检测根据团体的策略是否许可访问请求,以进行访问控制,因而即使从设置于场所之外的位置的终端来访问,也可进行基于团体的策略的访问控制,这样,即使在住宅等中,也可统一成与团体相同的策略。
此外根据本发明,由于进行针对成为接受访问控制服务的对象的用户的计费处理,因而与向不特定多数号召加入的场合相比,可有效地划定用户(构成成员),可提高对应费用的回收效率。


图1是表示基于本发明一实施方式的访问控制系统的构成的概略构成图。
图2是用于说明传统的过滤的附图。
图3是用于说明传统的过滤的附图。
图4是用于说明终端与过滤用网关服务器的功能的概略框图。
图5是用于说明终端的初始设定的流程图。
图6是表示连接对象信息与密码的用户输入画面一例的附图。
图7是用于说明变更连接对象信息的动作的流程图。
图8是用于说明根据策略来控制访问对象的动作的流程图。
符号说明1终端 4过滤用网关服务器11连接对象信息设定部 12认证部13连接对象信息存储部 14访问输入部15连接部 16内容显示部17用户登录部 41访问请求接收部42策略数据库 43检索部44应答部 45内容发送请求部46不可阅览通知部 47用户信息数据库48计费处理部具体实施方式
以下参照附图,对基于本发明的一种实施方式的访问控制系统作以说明。图1是表示基于本发明一种实施方式的访问控制系统的构成的概略构成图。
该图中,对访问控制系统而言,终端1经由ISP(因特网服务提供商)2及因特网3,与过滤用网关服务器4连接,过滤用网关服务器4经由ISP5与因特网6连接。因特网6与可分发各种内容的Web服务器连接。
过滤用网关服务器4由企业或地区的团体、学校等规定团体拥有,只许可访问与该规定团体的策略对应的Web上的网站,由此来进行访问对象的控制。
终端1由管理过滤用网关服务器4的规定团体的构成成员来利用,其设置于设有过滤用网关服务器4的场所之外,具有从该场所之外的位置来访问过滤用网关服务器4,从而访问Web上的网站的功能。这里,所谓构成成员,在团体是企业的情况下,系指该企业的从业人员,或者与该企业相关联的集团企业的从业人员。该集团企业也可以是比如企业的交易对象的企业。此外团体与构成成员的关系,可以是比如地区商业工会与该商业工会下属的会员、学校与其学生等。
这里,在团体是学校的场合下,过滤用网关服务器4受理来自设置于该学校的场所内的终端的访问,并进行访问对象的控制,但在本发明中,则受理来自设置于场所之外的终端的访问。所谓该场所之外的终端,是比如设置于学生的住宅的终端等,用于从住宅访问学校的过滤用网关服务器4。这样,即使利用住宅的终端,也可以按与学校相同的策略来受到访问对象的控制,在学校与住宅可基于统一的策略来阅览网站。
这样,在团体内设置过滤用网关服务器4,从场所之外的位置,该构成成员从终端进行访问,从而实现访问控制,由此可得到比如以下效果。
(1)某企业拥有服务器,向交易对象的企业等同一集团企业出借终端,并使其访问自身的服务器,由此,企业便可使同一企业集团以同一策略在因特网上进行阅览。由此,便可限制对公开与企业无关的信息的网站的阅览,从而可从企业一侧向企业集团的构成成员提供一种只能阅览必要信息的终端。
(2)宗教人士可按自己所属的宗教团体的限制策略来阅览因特网。
(3)保护者可按与学校同样的内容限制策略,来使儿童阅览因特网,可使家庭与学校之间的教育方针相一致。这样,可减轻针对亲属的策略管理的负担。
这里,对以往所提供的访问控制系统而言,由于策略随其服务提供者而异,因而利用者必须适宜选择其服务,在欲按与自身(或者自己的孩子等)所属的团体相同的策略来阅览内容的场合下,难以选择应进入哪种服务。此外还存在着该服务内容与目的策略不一定一致的问题。另外,尽管也有利用者自身可设定策略的这种服务,但如果不充分具备计算机知识,则难以进行该设定。但是通过采用本发明的访问控制系统,即使在家庭内也可以按自身所希望的策略来接受。
此外通过对该访问控制系统的利用者进行计费,拥有服务器的团体可提供月·半年·1年·数年长期合同优惠等,企业·团体·学校在设备投资·成本及事业经营的平衡中给出价格来提供,这样,与向不特定多数号召加入的场合相比,可有效地划定用户(构成成员),可提高对应费用的回收效率。此外团体可以将所回收的对应费用充抵服务器的设备投资。另外,对计费处理在后文中记述。
接下来,对上述的访问控制系统作进一步说明。图4是用于说明终端与过滤用网关服务器的功能的概略框图。该图只图示了终端1与过滤用网关服务器4。
在终端1中,连接对象设定部11,将用于把过滤用网关服务器4指定为连接对象的连接对象信息设定(存储)到连接对象信息存储部13。该连接对象信息包含比如IP地址及端口号。
认证部12根据变更连接对象信息存储部13中存储的连接对象信息的变更请求,受理从键盘或鼠标等输入装置输入的来自用户的密码输入,并与所登录的密码比较,以进行用户认证,在认证成立的场合下,许可变更连接对象信息,在认证不成立的场合下,进行不许可变更连接对象信息的处理。在该连接对象信息的变更中,包含连接对象信息的改写、连接对象信息的删除、基于连接对象信息来访问过滤用网关服务器4的应用程序本身的删除等。
访问输入部14特定成为访问对象的信息的URL,并进行访问请求。
当从设有过滤用网关服务器4的场所之外访问Web时,连接部15将由连接对象信息存储部13中存储的连接对象信息所特定的过滤用网关服务器4作为连接对象来连接,并发送从访问输入部14输入的访问请求。
内容显示部16接收并显示从Web上的服务器发送的内容。
用户登录部17具有将加入到由过滤用网关服务器4提供的服务的用户登录到过滤用网关服务器4的功能。这里,登录中所用的信息是特定用户用的信息,包含比如姓名、住址、出生年月日、联系地址、结算方法、登录用ID及密码。
接下来,对过滤用网关服务器4作以说明。
过滤用网关服务器4中,访问请求接收部41接收从终端1的连接部15发送的访问请求。
策略数据库42根据管理过滤用网关服务器4的团体的策略,来存储用于限制访问的信息。这里,既可以存储成为许可访问的对象的网站的URL列表,也可以存储成为不许可访问的对象的网站的URL列表。
检索部43通过访问请求接收部41来接收来自终端的访问请求,并参照策略数据库42来检测是否许可访问所接收的访问请求中包含的访问对象。该检索部43许可访问的场合有针对被作为许可访问的网站登录到列表内的URL的访问请求、或者针对被作为不许可访问的而登录的列表之外的URL的访问请求。不许可访问的场合有针对被作为不许可访问的而登录的URL的访问请求、或者针对被作为许可访问的网站登录的URL之外的访问请求。
应答部44进行针对内容阅览请求的应答。具体地说,设有内容发送请求部45,其在检索部43许可访问的场合下,访问由URL指定来自终端1的访问请求的服务器,并请求向终端1发送内容;不可阅览通知部46,其在检索部43未许可访问的场合下,发送向终端1通知不能阅览内容这一事实的不可阅览通知。
用户信息数据库47,将从终端1发送的用户信息作为有关服务的提供对象用户的信息来存储。
计费处理部48,基于用户信息数据库47中所登录的用户信息,进行针对成为接受访问控制服务的对象的用户的计费处理。这里,基于所登录的用户信息的结算方法,来进行信用证结算处理、银行核扣处理等结算处理。
接下来,利用附图对上述访问控制系统的动作作以说明。首先,对在终端1中进行连接对象信息等的初始设定的动作作以说明。在此进行初始设定,最好由成为欲进行访问控制的对象的用户之外的用户来进行,比如在团体是学校而构成成员是学生的场合下,由该学生的父母来进行。
图5是用于说明初始设定的流程图。首先,当本发明中进行访问控制的应用程序被安装到终端1内,并启动该应用程序后,在显示画面上显示出连接对象信息与密码的用户输入画面。图6表示该画面的一例。然后,当由用户作为连接对象信息来输入过滤用网关服务器4的IP地址,并输入密码,而且点击OK钮后,连接对象信息设定部11将所输入的IP地址写入到连接对象信息存储部13(步骤S11),并将密码写入到认证部12的规定存储区(步骤S12)。
接下来,利用图7的流程图,对变更连接对象信息的动作作以说明。
从用户输入了连接对象信息的变更指示后(步骤S21),认证部12使请求输入密码的画面显示出来,以请求来自用户的密码输入(步骤S22)。然后,从用户输入了密码后,检测所输入的密码与所登录的密码是否一致(步骤S23),如果不一致,则不许可变更连接对象信息,如果一致,则受理连接对象信息的变更,并进行设定变更(步骤S24)。
根据该实施方式,在密码一致的场合下可进行连接对象的变更,比如只有知道密码的父母才能变更连接对象信息,这样,可防止学生经由过滤用网关服务器4之外的服务器来与因特网连接。
接下来,利用图8的流程图,对根据策略来控制访问对象的动作作以说明。
首先,在终端1启动后,受理用户的登录输入(步骤S31),当登录正常结束后,指定希望阅览的URL,并输入网站访问请求(步骤S32),此后连接部15基于连接对象信息存储部13中存储的连接对象信息,将所指定的URL与访问请求一起发送给过滤用网关服务器4(步骤S33)。
过滤用网关服务器4的检索部43在由访问请求接收部41接收到从终端1发送的访问请求后(步骤S41),从策略数据库42的列表来检索被请求访问的URL,以检测是否许可访问(步骤S42)。这里,如果从不许可访问的URL列表中检测出被请求访问的URL,则作为不许可的访问检测出来(步骤S43),并向终端1通知不可阅览这一事实(步骤S44)。
而如果从不许可访问的URL列表中未检测出被请求访问的URL,则作为许可的访问检测出来(步骤S43),并将请求向终端1发送被请求访问的URL所对应的内容的访问请求发送给由URL特定的Web服务器(步骤S45)。
Web服务器从过滤用网关服务器4接受访问请求后(步骤S51),将由URL指定的内容发送给终端1(步骤S52)。终端1接收从Web服务器发送的内容,并由内容显示部16显示出内容(步骤S34)。
在上述实施方式中,也可以将过滤用网关服务器4中所设置的检索部43及应答部44的功能设置到终端1中,从而在终端1侧进行过滤。这里,对于策略数据库42,既可以经由网络来连接,也可以设置到终端1内,以规定的定时从服务器下载最新的策略数据来更新。
此外也可以将用于实现图4中的连接对象信息设定部11、认证部12、访问输入部14、连接部15、内容显示部16、用户登录部17的处理以及图4中的访问请求接收部41、检索部43、应答部44、内容发送请求部45、不可阅览通知部46、计费处理部48的功能的程序记录到计算机可读取的记录媒体,将该记录媒体中记录的程序读入到计算机系统中,并使之执行,由此来进行访问控制。这里的所谓「计算机系统」,包含OS及外围设备等硬件。
在利用WWW系统的场合下,「计算机系统」还包含主页提供环境(或者显示环境)。
另外,所谓「计算机可读取的记录媒体」,系指软盘、光磁盘、ROM、CD-ROM等可移动媒体以及内置于计算机系统的硬盘等存储装置。此外所谓「计算机可读取的记录媒体」,还包含经由因特网等网络或电话线路等通信线路来发送程序场合下通信线之类的在短时间内动态地保持程序的媒体、以及该场合下成为服务器及客户机的计算机系统内部的易失性存储器之类的保持一定时间程序的媒体。而且,上述程序可以是实现上述功能一部分用的程序,还可以是可通过与计算机系统中已记录的程序的组合来实现上述功能的程序。
以上,参照附图对本发明的实施方式作了详述,但具体的构成不限于本实施方式,还包含不脱离本发明要旨范围内的设计等。
权利要求
1.一种访问控制系统,其在多个终端与Web之间设有网关服务器,进行从上述终端对上述Web的访问控制,其特征在于上述网关服务器包括访问控制部,其许可访问与规定团体的策略对应的Web,上述终端是由上述团体的构成成员利用的终端,包括访问部,其从设有上述网关服务器的场所之外,经由上述网关服务器来访问上述Web。
2.一种访问控制系统,其在多个终端与Web之间设有网关服务器,进行从上述终端对上述Web的访问控制,其特征在于包括访问控制装置,其设置于上述网关服务器与Web之间,许可访问与规定团体的策略对应的Web,上述终端是由上述团体的构成成员利用的终端,包括访问部,其从设有上述网关服务器的场所之外,经由上述网关服务器及上述访问控制装置来访问上述Web。
3.一种访问控制系统,其在多个终端与Web之间设有网关服务器,进行从上述终端对上述Web的访问控制,其特征在于上述网关服务器包括存储单元,其存储用于按规定团体的策略来限制对Web的访问的信息;以及访问控制部,其接收来自上述终端的访问请求,并参照上述存储单元来检测是否许可访问所接收的访问对象,上述终端是由上述团体的构成成员利用的终端,包括连接部,其在从设有上述网关服务器的场所之外访问上述Web时,将上述网关服务器作为连接对象来连接。
4.一种访问控制系统,其特征在于具有认证部,其根据有关上述连接部的连接对象的变更请求来进行用户认证;连接对象设定部,其在由上述认证部而认证不成立的情况下,不许可变更上述连接对象。
5.权利要求1至4任一中记载的访问控制系统,其特征在于上述网关服务器包括计费处理部,其针对成为接受上述访问控制服务的对象的用户进行计费处理。
6.一种访问控制程序,其用于在多个终端与Web之间设有网关服务器,进行从上述终端对上述Web的访问控制的访问控制系统中的网关服务器,其特征在于包括接收上述团体的构成成员所用终端的、从设有上述网关服务器的场所之外经由上述网关服务器来访问上述Web的访问请求的步骤;以及检测根据上述团体的策略是否许可上述访问请求,以进行访问控制的步骤。
全文摘要
一种访问控制程序,其用于在多个终端与Web之间设有网关服务器,进行从终端对Web的访问控制的访问控制系统中的网关服务器,其接收团体的构成成员所用终端的、从设有网关服务器的场所之外经由网关服务器来访问Web的访问请求,并检测根据团体的策略是否许可访问请求,以进行访问控制。由此来提供一种在组织的构成成员将该组织所提供的服务器作为网关来访问因特网的场合下,可有效进行对特定Web网站的访问限制的访问控制系统。
文档编号H04L12/66GK1794643SQ20051000281
公开日2006年6月28日 申请日期2005年1月25日 优先权日2004年12月24日
发明者菅野泰彦 申请人:阿尔卑斯系统集成株式会社
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1