專利名稱:用于攔截網(wǎng)絡(luò)訪問(wèn)的系統(tǒng)及其方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)訪問(wèn)攔截系統(tǒng)和方法��。更明確地�����,本發(fā)明涉及一種用于有選擇地?cái)r截訪問(wèn)包括互聯(lián)網(wǎng)在內(nèi)的網(wǎng)絡(luò)中預(yù)定站點(diǎn)的系統(tǒng)和方法�����。
背景技術(shù):
隨著近來(lái)網(wǎng)絡(luò)技術(shù)的發(fā)展���,在全球范圍內(nèi)激增的各類(lèi)信息正在通過(guò)互聯(lián)網(wǎng)——這一巨大的網(wǎng)絡(luò)被分享�����,因此通過(guò)互聯(lián)網(wǎng)提供各種服務(wù)的站點(diǎn)也在增加��。
在這一過(guò)程中�����,提供不良信息的有害站點(diǎn)也很活躍�。對(duì)此�,一部分人提出了他們關(guān)于保護(hù)青少年的意見(jiàn),并且由此�,防止青少年訪問(wèn)有害站點(diǎn)的解決方案正在發(fā)展。
攔截訪問(wèn)諸如有害站點(diǎn)之類(lèi)的預(yù)定站點(diǎn)的方法可劃分為以客戶端為中心和以服務(wù)器為中心的兩類(lèi)�����。
以客戶端為中心的方法是在每臺(tái)個(gè)人電腦(PC)中都安裝用于攔截色情內(nèi)容的軟件�,并且當(dāng)提出針對(duì)預(yù)先登記到數(shù)據(jù)庫(kù)中的預(yù)定站點(diǎn)的訪問(wèn)請(qǐng)求時(shí),該訪問(wèn)請(qǐng)求將被攔截�,這種方法在很早的時(shí)候就已經(jīng)被使用。
然而�,上述這種方法沒(méi)有通暢地分配程序(distribute program)�����,并且每次安裝操作系統(tǒng)(O/S)�,都需要重新安裝相應(yīng)的軟件�����,也令人感到麻煩���。
以服務(wù)器為中心的方法也被稱為代理服務(wù)器方法�,當(dāng)提出針對(duì)預(yù)先登記的預(yù)定站點(diǎn)的訪問(wèn)請(qǐng)求時(shí)���,代理服務(wù)器將攔截對(duì)該預(yù)定站點(diǎn)的訪問(wèn)�。在該方法中��,不需要在每個(gè)客戶計(jì)算機(jī)中安裝任何程序����,但是需要重新配置網(wǎng)絡(luò)以使網(wǎng)絡(luò)上的所有用戶必須使用相應(yīng)的代理服務(wù)器,并且還需要為每個(gè)用戶群配置不同的網(wǎng)絡(luò)���,來(lái)為不同的用戶群提供不同的等級(jí)����。
發(fā)明內(nèi)容
本發(fā)明的好處在于能夠給有訪問(wèn)攔截需求的用戶提供對(duì)預(yù)定站點(diǎn)的訪問(wèn)攔截服務(wù)。
特別地�,本發(fā)明的好處是不用為了站點(diǎn)訪問(wèn)攔截而安裝額外的程序,而且也不需要網(wǎng)絡(luò)重新配置�。
在本發(fā)明的一方面,通過(guò)網(wǎng)絡(luò)被連接到多個(gè)第一主機(jī)和第二主機(jī)的訪問(wèn)攔截系統(tǒng)包括攔截信息數(shù)據(jù)庫(kù)�,用于存儲(chǔ)有關(guān)訪問(wèn)攔截目標(biāo),即第二主機(jī)的信息�,及攔截設(shè)置信息;網(wǎng)絡(luò)監(jiān)控器���,用于在網(wǎng)絡(luò)上監(jiān)控來(lái)自第一主機(jī)的發(fā)射分組的產(chǎn)生狀態(tài)���,并接收第一主機(jī)所產(chǎn)生的發(fā)射分組;訪問(wèn)處理器���,用于確定包含在所接收的發(fā)射分組中的目的地是否為基于攔截信息數(shù)據(jù)庫(kù)中存儲(chǔ)信息的訪問(wèn)攔截目標(biāo);以及分組產(chǎn)生器���,用于產(chǎn)生訪問(wèn)攔截分組�,并且當(dāng)根據(jù)確定結(jié)果���,發(fā)射分組的目的地是訪問(wèn)攔截目標(biāo)時(shí)��,將訪問(wèn)攔截分組發(fā)射到第一主機(jī)��,以使第一主機(jī)停止網(wǎng)絡(luò)訪問(wèn)嘗試���。
所述訪問(wèn)攔截分組包括具有“網(wǎng)絡(luò)不可達(dá)”代碼的互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)消息形式����,當(dāng)接收到訪問(wèn)攔截分組時(shí)����,第一主機(jī)將確定網(wǎng)絡(luò)不可達(dá),并停止對(duì)第二主機(jī)的訪問(wèn)嘗試����。
所述訪問(wèn)攔截系統(tǒng)接收已向互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)請(qǐng)求訪問(wèn)攔截的第一主機(jī)的IP地址,并且當(dāng)已產(chǎn)生發(fā)射分組的第一主機(jī)的IP地址對(duì)應(yīng)于ISP所提供的IP地址時(shí)�����,訪問(wèn)處理器確定發(fā)射分組的目的地是否為訪問(wèn)攔截目標(biāo)��,然后有選擇地執(zhí)行訪問(wèn)攔截處理。
存儲(chǔ)在所述攔截信息數(shù)據(jù)庫(kù)中的攔截設(shè)置信息包括對(duì)作為訪問(wèn)攔截目標(biāo)的第二主機(jī)進(jìn)行攔截的日期和時(shí)間���,在當(dāng)前發(fā)射分組的目的地是訪問(wèn)攔截目標(biāo)的情況下����,當(dāng)設(shè)定訪問(wèn)攔截目標(biāo)將于當(dāng)前日期或時(shí)間被攔截時(shí)�,訪問(wèn)處理器將控制分組產(chǎn)生器來(lái)執(zhí)行訪問(wèn)攔截處理。
所述攔截設(shè)置信息包括已請(qǐng)求訪問(wèn)攔截的用戶的認(rèn)證信息���,訪問(wèn)處理器根據(jù)認(rèn)證用戶的請(qǐng)求執(zhí)行日期或時(shí)間的修改��,及攔截的取消��。
所述第一主機(jī)被連接到交換式集線器���,訪問(wèn)攔截系統(tǒng)監(jiān)控由第一主機(jī)產(chǎn)生的分組,并且通過(guò)連接到交換式集線器的偽集線器來(lái)發(fā)送/接收該分組�����。
在本發(fā)明的另一方面�����,用于通過(guò)網(wǎng)絡(luò)控制多個(gè)第一主機(jī)和第二主機(jī)之間的訪問(wèn)攔截的方法包括(a)在網(wǎng)絡(luò)中監(jiān)控來(lái)自第一主機(jī)的發(fā)射分組的產(chǎn)生狀態(tài)��;(b)在網(wǎng)絡(luò)中接收由第一主機(jī)產(chǎn)生的發(fā)射分組�;(c)確定作為包含在所接收的發(fā)射分組中的目的地的第二主機(jī)是否為訪問(wèn)攔截目標(biāo);以及(d)當(dāng)根據(jù)確定結(jié)果���,該作為發(fā)射分組目的地的第二主機(jī)是訪問(wèn)攔截目標(biāo)時(shí)�,產(chǎn)生訪問(wèn)攔截分組�����,并發(fā)送該訪問(wèn)攔截分組到第一主機(jī)以使第一主機(jī)停止網(wǎng)絡(luò)訪問(wèn)嘗試��。
所述(a)包括接收向ISP請(qǐng)求訪問(wèn)攔截的第一主機(jī)的IP地址�;確定已產(chǎn)生發(fā)射分組的第一主機(jī)的IP地址是否與ISP提供的IP地址符合;當(dāng)根據(jù)確定結(jié)果���,已產(chǎn)生發(fā)射分組的第一主機(jī)的IP地址與ISP提供的IP地址符合時(shí)�,確定作為該發(fā)射分組目的地的第二主機(jī)是否為訪問(wèn)攔截目標(biāo)���。
本方法還包括從第一主機(jī)用戶接收對(duì)作為訪問(wèn)攔截目標(biāo)的第二主機(jī)所希望的取消攔截的日期或時(shí)間��,并且設(shè)置該日期和時(shí)間�;為認(rèn)證用戶修改該日期或時(shí)間,及執(zhí)行訪問(wèn)取消�,所述(d)還包括當(dāng)作為發(fā)射分組目的地的第二主機(jī)是訪問(wèn)攔截目標(biāo)并且該第二主機(jī)被設(shè)置為在當(dāng)前日期或時(shí)間被訪問(wèn)攔截時(shí),產(chǎn)生訪問(wèn)攔截分組�,并將該訪問(wèn)攔截分組發(fā)送到第一主機(jī)。
被結(jié)合構(gòu)成本說(shuō)明書(shū)一部分的
了本發(fā)明的一個(gè)實(shí)施例�����,并且與描述文字一起用于解釋本發(fā)明的原理圖1示出了總體的TCP/IP結(jié)構(gòu)層����;圖2示出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)訪問(wèn)攔截系統(tǒng)的配置;圖3示出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的訪問(wèn)攔截分組的配置框圖��;以及圖4示出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)訪問(wèn)攔截過(guò)程的流程圖�。
具體實(shí)施例方式
在以下詳細(xì)說(shuō)明中,僅僅以完成本發(fā)明的發(fā)明者所預(yù)期的最佳模式���,示出和描述本發(fā)明的優(yōu)選實(shí)施例����。應(yīng)該認(rèn)識(shí)到��,本發(fā)明在各個(gè)顯而易見(jiàn)的方面所做出的修改�,都應(yīng)認(rèn)為沒(méi)有背離本發(fā)明����。因此��,附圖和說(shuō)明文字應(yīng)被認(rèn)為實(shí)際上是說(shuō)明性的��,而非限制性的��。
一些用戶早些時(shí)候提供了獨(dú)立的網(wǎng)絡(luò)��,并且因此����,這些用戶不得不根據(jù)他們的網(wǎng)絡(luò)規(guī)范來(lái)設(shè)置通信硬件環(huán)境�����。但是由于不存在可支持各種網(wǎng)絡(luò)規(guī)范的單一網(wǎng)絡(luò)�,因此不可能建立使用單一硬件規(guī)范的廣域網(wǎng)絡(luò)。
為了解決這個(gè)問(wèn)題�,用于在不同的設(shè)備之間通信的傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)已被發(fā)展起來(lái),并且已成為分組交換網(wǎng)絡(luò)的基礎(chǔ)����,高級(jí)研究規(guī)劃署網(wǎng)絡(luò)(ARPANET)��。TCP/IP技術(shù)已經(jīng)成為建立全球范圍互聯(lián)網(wǎng)的基礎(chǔ)�����,在這種互聯(lián)網(wǎng)絡(luò)中����,家庭�����、大學(xué)校園����、學(xué)校、商業(yè)企業(yè)����、及政府研究中心都被連接在一起。
圖1示出總體的TCP/IP結(jié)構(gòu)層�。
如圖所示,TCP/IP包括應(yīng)用層����、主機(jī)到主機(jī)的傳輸層�����、網(wǎng)間網(wǎng)層和網(wǎng)絡(luò)接口層��。
網(wǎng)間網(wǎng)層被用來(lái)設(shè)置從發(fā)射主機(jī)到目的接收主機(jī)的數(shù)據(jù)路徑,并包括網(wǎng)際協(xié)議(IP)����、互聯(lián)網(wǎng)控制報(bào)文協(xié)議(ICMP)、互聯(lián)網(wǎng)組管理協(xié)議(IGMP)和地址解析協(xié)議(ARP)�。
IP是用于控制數(shù)據(jù)分組(數(shù)據(jù)報(bào))在網(wǎng)絡(luò)中和網(wǎng)絡(luò)間發(fā)射和接收的協(xié)議,并且它與開(kāi)發(fā)系統(tǒng)互聯(lián)(OSI)模型中的網(wǎng)絡(luò)層匹配�。ICMP是用于控制主機(jī)服務(wù)器和互聯(lián)網(wǎng)網(wǎng)關(guān)之間的消息,以及通告錯(cuò)誤的協(xié)議�。ICMP的控制消息被載入IP數(shù)據(jù)報(bào)的數(shù)據(jù)單元中,然后被發(fā)射�,并且它們具有以下功能控制傳輸誤差,測(cè)試是否達(dá)到最終目的地���,向原始主機(jī)報(bào)告��,在傳輸率不能由主機(jī)或網(wǎng)關(guān)處理時(shí)�,控制傳輸率����,以及向網(wǎng)關(guān)請(qǐng)求修改傳輸路徑����。
在本發(fā)明優(yōu)選實(shí)施例中�,具有上述功能的ICMP被用來(lái)檢測(cè)網(wǎng)絡(luò)連接狀態(tài)是否有物理錯(cuò)誤,并且被用來(lái)拒絕接收來(lái)自預(yù)定主機(jī)的分組�。
圖2示出根據(jù)本發(fā)明優(yōu)選實(shí)施例的訪問(wèn)攔截系統(tǒng)。
訪問(wèn)攔截系統(tǒng)10通過(guò)互聯(lián)網(wǎng)20被連接到第一主機(jī)31到3n和第二主機(jī)41到4n����。具體是,訪問(wèn)攔截系統(tǒng)10被連接到偽集線器(dummy hub)60����,偽集線器60連接到用于連接第一主機(jī)31到3n的交換式集線器50;同時(shí)偽集線器60通過(guò)路由器70連接到互聯(lián)網(wǎng)20���,并且第二主機(jī)41到4n也被連接到互聯(lián)網(wǎng)20����。因此�,訪問(wèn)攔截系統(tǒng)10通過(guò)偽集線器60和交換式集線器50從/向第一主機(jī)31到3n接收和發(fā)射分組,并且同樣���,它還通過(guò)偽集線器60�����、路由器70和互聯(lián)網(wǎng)20從/向第二主機(jī)41到4n接收和發(fā)射分組����。
在這種情況下,為了便于說(shuō)明����,嘗試訪問(wèn)的主機(jī)��,即允許通過(guò)互聯(lián)網(wǎng)與其它計(jì)算機(jī)雙向通信的計(jì)算機(jī)被稱為“第一主機(jī)”�,而諸如網(wǎng)站之類(lèi)的被訪問(wèn)主機(jī)被稱為“第二主機(jī)”。
因?yàn)榈谝恢鳈C(jī)31到3n被連接到交換式集線器50的多個(gè)端口����,所以從連接到各自端口的第一主機(jī)31到3n產(chǎn)生的數(shù)據(jù)被輸入到交換式集線器50后再被發(fā)射。并且交換式集線器50分析數(shù)據(jù)��,選擇目的地��,然后將數(shù)據(jù)發(fā)送到目的地���,或者當(dāng)沒(méi)有設(shè)置端口鏡像時(shí)��,交換式集線器50廣播這些數(shù)據(jù)���。在此�,交換式集線器被用于改進(jìn)網(wǎng)絡(luò)速率�,另外也可以使用普通集線器。
因?yàn)閭渭€器60只能在廣播方法中操作�����,所以當(dāng)交換式集線器50不支持端口鏡像時(shí)�����,偽集線器60通過(guò)交換式集線器50與訪問(wèn)攔截系統(tǒng)連接�。
路由器70是用于連接采用相同傳輸協(xié)議的分離網(wǎng)絡(luò)的設(shè)備,并且其連接網(wǎng)絡(luò)層來(lái)發(fā)射數(shù)據(jù)��。也就是說(shuō)��,路由器70根據(jù)路徑分配表來(lái)確定另一個(gè)網(wǎng)絡(luò)的節(jié)點(diǎn)或者該路由器70的網(wǎng)絡(luò)的節(jié)點(diǎn)���,并且它從眾多路徑中選擇出最有效的路徑發(fā)射數(shù)據(jù)�����。
被連接到偽集線器60的訪問(wèn)攔截系統(tǒng)10用于攔截對(duì)預(yù)定站點(diǎn)的訪問(wèn)����,該系統(tǒng)包括攔截信息數(shù)據(jù)庫(kù)11、網(wǎng)絡(luò)監(jiān)控器12��、訪問(wèn)處理器13和分組產(chǎn)生器14��。
攔截信息數(shù)據(jù)庫(kù)11存儲(chǔ)作為訪問(wèn)攔截目標(biāo)的第二主機(jī)的信息�,以及攔截設(shè)置信息(即攔截的日期、時(shí)段�、時(shí)間��,以及攔截請(qǐng)求者的驗(yàn)證信息)����,例如包括對(duì)應(yīng)色情站點(diǎn)的第二主機(jī)IP地址,以及統(tǒng)一資源定位器(URL)����。另外,它還可以進(jìn)一步存儲(chǔ)互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)提供的有關(guān)訪問(wèn)攔截請(qǐng)求者的信息(例如IP地址),以便攔截這些已經(jīng)請(qǐng)求訪問(wèn)攔截的第一主機(jī)的訪問(wèn)�����。
網(wǎng)絡(luò)監(jiān)控器12通過(guò)偽集線器60接收廣播分組��,在網(wǎng)絡(luò)中監(jiān)控分組發(fā)射狀態(tài)�。
訪問(wèn)處理器13根據(jù)攔截信息數(shù)據(jù)庫(kù)11中是否存儲(chǔ)有網(wǎng)絡(luò)監(jiān)控器12所接收的分組將被發(fā)往目的地址,來(lái)確定是否可以訪問(wèn)相應(yīng)的目的地��。
當(dāng)發(fā)射分組將要被發(fā)往的目的地根據(jù)訪問(wèn)處理器13得出的結(jié)果對(duì)應(yīng)于訪問(wèn)攔截目標(biāo)時(shí)���,分組產(chǎn)生器14產(chǎn)生訪問(wèn)攔截分組�,并將其發(fā)射到已發(fā)射相應(yīng)分組(在下文中被稱為發(fā)射分組)的第一主機(jī)��,以使第一主機(jī)可以檢測(cè)到當(dāng)前的網(wǎng)絡(luò)不可達(dá)���。
訪問(wèn)攔截分組以ICMP消息格式被生成���。圖3示出了ICMP消息的簡(jiǎn)要結(jié)構(gòu)。
訪問(wèn)攔截分組是具有64bit頭(header)的ICMP消息����,并且如圖3中所示,它可以是眾多種類(lèi)型之中的一種,每種類(lèi)型都有多種代碼��。它還包括代表傳輸單元中比特?cái)?shù)的校驗(yàn)和��,以使接收者一方可以檢查是否已有相同的比特?cái)?shù)到達(dá)����,從而檢測(cè)接收誤差。
在這種情況下��,“網(wǎng)絡(luò)不可達(dá)”代碼被記錄在所述代碼上并被發(fā)射���,以便使第一主機(jī)檢測(cè)到該網(wǎng)絡(luò)不可達(dá)�����。因此��,第一主機(jī)根據(jù)該網(wǎng)絡(luò)的不可達(dá)狀態(tài)停止訪問(wèn)嘗試,并且當(dāng)作為目的地的第二主機(jī)發(fā)出響應(yīng)分組時(shí)�,第一主機(jī)不會(huì)接收該響應(yīng)分組。
接下來(lái)��,將說(shuō)明一種基于上述配置訪問(wèn)攔截系統(tǒng)的用于攔截對(duì)預(yù)定主機(jī)的訪問(wèn)的方法�。
圖4示出了一個(gè)根據(jù)本發(fā)明優(yōu)選實(shí)施例的訪問(wèn)攔截處理的流程圖。
訪問(wèn)攔截系統(tǒng)10運(yùn)行在用于在網(wǎng)絡(luò)中監(jiān)控分組產(chǎn)生狀態(tài)的模式中,比如混雜(promiscuous)模式�。
在這個(gè)狀態(tài)中,如圖4(a)中所示���,在步驟S100中�,試圖訪問(wèn)作為連至互聯(lián)網(wǎng)20預(yù)定站點(diǎn)的第二主機(jī)的第一主機(jī)31產(chǎn)生包括作為訪問(wèn)的目的地的該第二主機(jī)地址的發(fā)射分組�。
在步驟S110中,所說(shuō)明的是由相應(yīng)第一主機(jī)產(chǎn)生的發(fā)射分組通過(guò)相應(yīng)的端口被發(fā)射到交換式集線器50����,然后交換式集線器50廣播該發(fā)射分組。因此�,發(fā)射分組被發(fā)射到被連接到局域網(wǎng)80的另一個(gè)第一主機(jī),而且也被發(fā)射到與偽集線器60連接的訪問(wèn)攔截系統(tǒng)10���。它們還通過(guò)路由器70被發(fā)射到作為相應(yīng)的目的地的第二主機(jī)41����。
在步驟S120中�,訪問(wèn)攔截系統(tǒng)10的網(wǎng)絡(luò)監(jiān)控器12以混雜模式運(yùn)行,并且使用端口鏡像功能來(lái)監(jiān)控網(wǎng)絡(luò)��;然后在步驟S130中���,當(dāng)發(fā)射分組從第一主機(jī)被發(fā)射時(shí)�,網(wǎng)絡(luò)監(jiān)控器12接收被廣播的發(fā)射分組,并且把它們提供給訪問(wèn)處理器13�。
在步驟S140和步驟S150中,首先�,訪問(wèn)處理器13確定已發(fā)射所述發(fā)射分組的第一主機(jī)是否為已請(qǐng)求訪問(wèn)攔截服務(wù)的用戶。
在本發(fā)明優(yōu)選實(shí)施例中�����,為了攔截已向ISP請(qǐng)求互聯(lián)網(wǎng)攔截服務(wù)的用戶而不是攔截所有的ISP簽約用戶�����,當(dāng)ISP簽約用戶請(qǐng)求訪問(wèn)預(yù)定站點(diǎn)(第二主機(jī))時(shí)���,ISP把該相應(yīng)的簽約用戶登記為訪問(wèn)攔截請(qǐng)求者�����,并且向訪問(wèn)攔截系統(tǒng)提供相應(yīng)的信息����。
在這種情況下��,攔截信息數(shù)據(jù)庫(kù)11存儲(chǔ)訪問(wèn)攔截請(qǐng)求者的信息(例如IP地址)��;基于存儲(chǔ)在攔截信息數(shù)據(jù)庫(kù)11中的信息����,訪問(wèn)處理器13確定已產(chǎn)生發(fā)射分組的第一主機(jī)31的IP地址是否對(duì)應(yīng)于ISP提供的訪問(wèn)攔截請(qǐng)求者,并且當(dāng)該IP地址對(duì)應(yīng)于訪問(wèn)攔截請(qǐng)求者時(shí)���,攔截信息數(shù)據(jù)庫(kù)11中的信息被用來(lái)確定相應(yīng)發(fā)射分組的目的地是否為攔截目標(biāo)����。
也就是說(shuō)�,訪問(wèn)處理器13分析網(wǎng)絡(luò)監(jiān)控器12提供的發(fā)射分組以找出發(fā)射分組將要發(fā)往的目的地址,并且在步驟S160中確定目的地址是否被存儲(chǔ)在攔截信息數(shù)據(jù)庫(kù)11中���。
在步驟170和步驟S180中���,當(dāng)發(fā)射分組的目的地址被存儲(chǔ)在攔截信息數(shù)據(jù)庫(kù)11中時(shí),訪問(wèn)處理器13確定該發(fā)射分組目的地是諸如色情站點(diǎn)之類(lèi)的訪問(wèn)攔截目標(biāo)���,于是它控制分組產(chǎn)生器14來(lái)產(chǎn)生訪問(wèn)攔截分組��,該訪問(wèn)攔截分組用具有“網(wǎng)絡(luò)不可達(dá)”代碼的ICMP消息格式將請(qǐng)求訪問(wèn)的第一主機(jī)作為目的地�����,以使得在請(qǐng)求訪問(wèn)的第一主機(jī)和作為訪問(wèn)目標(biāo)的第二主機(jī)之間沒(méi)有分組的發(fā)射和接收�����。
在步驟S190中���,由分組產(chǎn)生器14產(chǎn)生的訪問(wèn)攔截分組通過(guò)偽集線器60被發(fā)射到交換式集線器50��,并且根據(jù)被發(fā)射的訪問(wèn)攔截分組的目的地址����,交換式集線器50把訪問(wèn)攔截分組發(fā)射到相應(yīng)的第一主機(jī)31�。
在步驟S200和步驟S210中,當(dāng)訪問(wèn)攔截分組在訪問(wèn)請(qǐng)求后被發(fā)射��,而且訪問(wèn)攔截分組的代碼是“網(wǎng)絡(luò)不可達(dá)”代碼時(shí)���,第一主機(jī)31確定不可能訪問(wèn)第二主機(jī)��,并且停止訪問(wèn)嘗試�。這與由于局域網(wǎng)纜線被斷開(kāi)或者由于路由器運(yùn)轉(zhuǎn)問(wèn)題而不可以訪問(wèn)相應(yīng)站點(diǎn)時(shí)的情形是一樣的�。
因此��,當(dāng)通過(guò)路由器70接收到發(fā)射分組的第二主機(jī)產(chǎn)生響應(yīng)分組(例如色情站點(diǎn))時(shí),在該響應(yīng)分組中�,所述已將發(fā)射分組發(fā)射到目的地的第一主機(jī)被記錄在其中;當(dāng)?shù)诙鳈C(jī)發(fā)射響應(yīng)分組到第一主機(jī)時(shí)����,由于第一主機(jī)已經(jīng)根據(jù)網(wǎng)絡(luò)不可達(dá)狀態(tài)而停止訪問(wèn)嘗試,所以該響應(yīng)分組不會(huì)被第一主機(jī)接收到��。
從而��,當(dāng)訪問(wèn)攔截程序沒(méi)有在每個(gè)第一主機(jī)中被安裝�����,并且當(dāng)網(wǎng)絡(luò)沒(méi)有被配置以至于所有的第一主機(jī)都必須使用指定的代理服務(wù)器時(shí)����,對(duì)預(yù)定站點(diǎn)的訪問(wèn)攔截也能夠容易地實(shí)現(xiàn)。
當(dāng)發(fā)射分組的目的地址沒(méi)有被存儲(chǔ)在攔截信息數(shù)據(jù)庫(kù)11中時(shí)��,則確定發(fā)射分組的目的地不是訪問(wèn)攔截目標(biāo)����,并且不執(zhí)行訪問(wèn)攔截�。因此���,在這種情況下����,當(dāng)在網(wǎng)絡(luò)上被廣播的發(fā)射分組通過(guò)路由器70被發(fā)射到作為相應(yīng)的目的地的第二主機(jī)41時(shí)���,第二主機(jī)41產(chǎn)生與發(fā)射分組匹配的響應(yīng)分組��,并且將其發(fā)射到第一主機(jī)31�。從而���,在步驟S220中����,分組在第一主機(jī)31和第二主機(jī)41之間被發(fā)射和接收�,并且第一主機(jī)31從第二主機(jī)41中獲得所需的信息。
上述的訪問(wèn)攔截可以被應(yīng)用于ISP規(guī)模的網(wǎng)絡(luò)和諸如局域網(wǎng)之類(lèi)的小型網(wǎng)絡(luò)中���。
用于確定是否第一主機(jī)是請(qǐng)求訪問(wèn)攔截用戶的步驟S140和S150可以被省去��。也就是說(shuō)�,通過(guò)只檢查發(fā)射分組的目的地是否對(duì)應(yīng)于訪問(wèn)攔截目標(biāo),而不檢查已產(chǎn)生發(fā)射分組的第一主機(jī)是否為已請(qǐng)求訪問(wèn)攔截的用戶�,這樣,對(duì)預(yù)定主機(jī)的訪問(wèn)同樣可以如前所述地被攔截���。
此外,通過(guò)為每個(gè)第一主機(jī)設(shè)置需要執(zhí)行攔截的第二主機(jī)��,可以為每個(gè)第一主機(jī)攔截其對(duì)預(yù)定主機(jī)的訪問(wèn)��。
進(jìn)一步��,通過(guò)分離年���、月�����、日�����,訪問(wèn)攔截可以只為訪問(wèn)攔截請(qǐng)求者執(zhí)行�����。也就是說(shuō)����,訪問(wèn)攔截請(qǐng)求者可以請(qǐng)求在具體日期或者時(shí)間中對(duì)預(yù)定地址的訪問(wèn)攔截,因此��,當(dāng)被發(fā)射的發(fā)射分組的目的地址是訪問(wèn)攔截目標(biāo)且該訪問(wèn)攔截被設(shè)置在當(dāng)前的日期和時(shí)間時(shí)�����,如前所述的訪問(wèn)攔截則可以被執(zhí)行�。在這種情況下,需要在攔截信息數(shù)據(jù)庫(kù)中存儲(chǔ)請(qǐng)求者的認(rèn)證信息���,以使只有相應(yīng)的請(qǐng)求者可以建立或者取消訪問(wèn)攔截����,訪問(wèn)攔截系統(tǒng)根據(jù)認(rèn)證信息證實(shí)該請(qǐng)求者�����,然后執(zhí)行或者取消訪問(wèn)攔截���。在這種情況下���,存儲(chǔ)在攔截信息數(shù)據(jù)庫(kù)中的攔截建立信息包括每個(gè)第一主機(jī)對(duì)特定第二主機(jī)攔截的日期�����、時(shí)段���、時(shí)間和攔截請(qǐng)求者的認(rèn)證信息。
如上所述��,當(dāng)訪問(wèn)攔截程序未被安裝在所有客戶端���,并且網(wǎng)絡(luò)沒(méi)有被配置以使所有的客戶端必須使用特定的代理服務(wù)器時(shí),對(duì)特定站點(diǎn)的訪問(wèn)攔截也可被容易地實(shí)現(xiàn)��。
不需要修改傳統(tǒng)的網(wǎng)絡(luò)配置����,對(duì)預(yù)定站點(diǎn)的訪問(wèn)也可以被容易地?cái)r截。
并且���,訪問(wèn)攔截還可以針對(duì)特定的IP地址執(zhí)行��。
因此�����,通過(guò)在網(wǎng)絡(luò)中攔截不需要的訪問(wèn)請(qǐng)求���,帶寬過(guò)載也可被減輕���。
雖然本發(fā)明已經(jīng)結(jié)合目前被認(rèn)為是最實(shí)際和最佳的實(shí)施例被描述,但是應(yīng)當(dāng)理解����,本發(fā)明不受限于這些被公開(kāi)的實(shí)施例,相反�����,包含在附加權(quán)利要求的精神和范圍內(nèi)的不同修改和等效方案都應(yīng)被覆蓋�����。
權(quán)利要求
1.一種訪問(wèn)攔截系統(tǒng)�,通過(guò)網(wǎng)絡(luò)被連接到多個(gè)第一主機(jī)和第二主機(jī),其特征在于��,包括攔截信息數(shù)據(jù)庫(kù),用于存儲(chǔ)作為訪問(wèn)攔截目標(biāo)的第二主機(jī)的信息和攔截設(shè)置信息����;網(wǎng)絡(luò)監(jiān)控器,用于在網(wǎng)絡(luò)中監(jiān)控來(lái)自第一主機(jī)的發(fā)射分組的產(chǎn)生狀態(tài)���,并接收產(chǎn)生的發(fā)射分組�����;訪問(wèn)處理器�����,用于確定包含在所接收的發(fā)射分組中的目的地是否為基于存儲(chǔ)在攔截信息數(shù)據(jù)庫(kù)中信息的訪問(wèn)攔截目標(biāo);以及分組產(chǎn)生器�,用于產(chǎn)生訪問(wèn)攔截分組,并且當(dāng)所述發(fā)射分組的目的地根據(jù)確定結(jié)果是訪問(wèn)攔截目標(biāo)時(shí)�����,將該訪問(wèn)攔截分組發(fā)射到第一主機(jī)以使得第一主機(jī)停止網(wǎng)絡(luò)訪問(wèn)嘗試��。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其特征在于,所述訪問(wèn)攔截分組包括具有“網(wǎng)絡(luò)不可達(dá)”代碼的互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)消息格式���,且當(dāng)接收到該訪問(wèn)攔截分組時(shí)����,第一主機(jī)確定網(wǎng)絡(luò)為不可達(dá)的�,并停止對(duì)第二主機(jī)的訪問(wèn)嘗試。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述訪問(wèn)攔截系統(tǒng)接收已向互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)請(qǐng)求訪問(wèn)攔截的第一主機(jī)的IP地址���,并且當(dāng)產(chǎn)生發(fā)射分組的第一主機(jī)的IP地址對(duì)應(yīng)于ISP提供的IP地址時(shí)�,訪問(wèn)處理器確定該發(fā)射分組的目的地是否為訪問(wèn)攔截目標(biāo)��,并有選擇地執(zhí)行訪問(wèn)攔截處理��。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述存儲(chǔ)在攔截信息數(shù)據(jù)庫(kù)中的攔截設(shè)置信息包括作為訪問(wèn)攔截目標(biāo)的第二主機(jī)的攔截日期和時(shí)間����,并且在發(fā)射分組的目的地是訪問(wèn)攔截目標(biāo)的情況下����,當(dāng)確定訪問(wèn)攔截目標(biāo)將于當(dāng)前的日期或時(shí)間被攔截時(shí)���,訪問(wèn)處理器控制所述分組產(chǎn)生器來(lái)執(zhí)行訪問(wèn)攔截處理����。
5.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述攔截設(shè)置信息包括已請(qǐng)求訪問(wèn)攔截的用戶認(rèn)證信息����,并且訪問(wèn)處理器根據(jù)已通過(guò)認(rèn)證用戶的請(qǐng)求來(lái)執(zhí)行對(duì)日期或者時(shí)間的修改,及攔截取消���。
6.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于�,所述第一主機(jī)被連接到交換式集線器,訪問(wèn)攔截系統(tǒng)監(jiān)控由第一主機(jī)產(chǎn)生的分組���,并通過(guò)連接到交換式集線器的偽集線器來(lái)發(fā)射/接收該分組���。
7.一種用于在多個(gè)第一主機(jī)和第二主機(jī)之間通過(guò)網(wǎng)絡(luò)控制訪問(wèn)攔截的方法���,其特征在于,包括(a)在網(wǎng)絡(luò)中監(jiān)控來(lái)自第一主機(jī)的發(fā)射分組的產(chǎn)生狀態(tài)����;(b)在網(wǎng)絡(luò)中接收由第一主機(jī)產(chǎn)生的發(fā)射分組;(c)確定作為包含在所接收的發(fā)射分組中的目的地的第二主機(jī)是否為訪問(wèn)攔截目標(biāo)�����;以及(d)當(dāng)根據(jù)確定結(jié)果�,作為發(fā)射分組目的地的第二主機(jī)是訪問(wèn)攔截目標(biāo)時(shí),產(chǎn)生訪問(wèn)攔截分組��,并發(fā)射訪問(wèn)攔截分組到第一主機(jī)以使第一主機(jī)停止網(wǎng)絡(luò)訪問(wèn)嘗試�����。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于����,步驟(a)包括接收已經(jīng)向互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)請(qǐng)求訪問(wèn)攔截的第一主機(jī)的IP地址;確定已產(chǎn)生發(fā)射分組的第一主機(jī)的IP地址是否對(duì)應(yīng)于ISP提供的IP地址�����;以及當(dāng)根據(jù)確定結(jié)果�����,所述已產(chǎn)生發(fā)射分組的第一主機(jī)的IP地址對(duì)應(yīng)于ISP提供的IP地址時(shí)����,確定作為該發(fā)射分組目的地的第二主機(jī)是否為訪問(wèn)攔截目標(biāo)。
9.根據(jù)權(quán)利要求7所述的方法��,其特征在于��,進(jìn)一步包括從第一主機(jī)用戶接收對(duì)作為訪問(wèn)攔截目標(biāo)的第二主機(jī)的期望的攔截日期或時(shí)間���,并且設(shè)置該日期與時(shí)間�����;以及為已認(rèn)證用戶修改該日期或時(shí)間��,及執(zhí)行訪問(wèn)取消�����,并且步驟(d)進(jìn)一步包括當(dāng)作為發(fā)射分組目的地的第二主機(jī)是訪問(wèn)攔截目標(biāo)�,并且該第二主機(jī)被設(shè)置為在當(dāng)前日期或時(shí)間內(nèi)被訪問(wèn)攔截時(shí)��,產(chǎn)生訪問(wèn)攔截分組并發(fā)射訪問(wèn)攔截分組到第一主機(jī)����。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)訪問(wèn)的攔截系統(tǒng)和方法。為了通過(guò)網(wǎng)絡(luò)控制多個(gè)第一和第二主機(jī)之間的訪問(wèn)攔截���,第一主機(jī)發(fā)射分組的產(chǎn)生在網(wǎng)絡(luò)中被監(jiān)控�,并且所產(chǎn)生的發(fā)射分組被接收��。然后確定包括在發(fā)射分組中的目的地是否為訪問(wèn)攔截目標(biāo)���,當(dāng)根據(jù)確定結(jié)果發(fā)現(xiàn)發(fā)射分組的目的地是訪問(wèn)攔截目標(biāo)時(shí)�����,產(chǎn)生訪問(wèn)攔截分組并且將其發(fā)送到第一主機(jī)�,以使第一主機(jī)停止網(wǎng)絡(luò)訪問(wèn)嘗試。
文檔編號(hào)H04L29/06GK1608363SQ02826048
公開(kāi)日2005年4月20日 申請(qǐng)日期2002年5月21日 優(yōu)先權(quán)日2002年2月26日
發(fā)明者李判貞, 裴晉賢, 曹秉哲 申請(qǐng)人:網(wǎng)派網(wǎng)絡(luò)公司