[go: up one dir, main page]

JP2004120574A - Apparatus and method of filtering uniform resource locator - Google Patents

Apparatus and method of filtering uniform resource locator Download PDF

Info

Publication number
JP2004120574A
JP2004120574A JP2002283475A JP2002283475A JP2004120574A JP 2004120574 A JP2004120574 A JP 2004120574A JP 2002283475 A JP2002283475 A JP 2002283475A JP 2002283475 A JP2002283475 A JP 2002283475A JP 2004120574 A JP2004120574 A JP 2004120574A
Authority
JP
Japan
Prior art keywords
client device
user name
server
address
url
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002283475A
Other languages
Japanese (ja)
Inventor
Masaya Hamada
濱田 真哉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
JAVANET KK
Original Assignee
JAVANET KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by JAVANET KK filed Critical JAVANET KK
Priority to JP2002283475A priority Critical patent/JP2004120574A/en
Publication of JP2004120574A publication Critical patent/JP2004120574A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an apparatus and a method of filtering uniform resource locators (URL) which realizes a filtering function as to whether a URL to connect by request from a client device is to be relayed or denied by effecting a filtering operation by a user name in a remote access without giving a trouble to a user for the client device using the Internet at an institution without a system manager in an enterprise or the like or in general homes. <P>SOLUTION: A user name U and an IP address P of the client device 1 are acquired by an authentication server 4 from a start event log and a stop event log included in an authentication log of a response record issued from the client device 1 in response to a user authentication request from the server 4, and transmitted to a data base server 5. The server 5 collates the received user name U against a user name U in a table prepared in advance according to a policy for authorizing connection or not defined for each of the user names U. Then it is determined whether the connection to the URL requested from the client device 1 is permitted. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
この発明は、URLのデータベースに対し、クライアント装置からのアクセスを中継するか拒否するかを判断するURLフィルタリング装置とその方法に関する。
【0002】
【従来の技術】
この種の従来のURLフィルタリングシステムは、事前に調査されたURLのデータベースをクライアント装置と送受信可能なプロキシサーバの内部或いは外部に設置し、クライアント装置のアクセスを中継するか拒否するかを判断している。
【0003】
つまり、個々のURLに対して接続を禁止するか否かに関するデータを登録したデータベースを備えたプロキシサーバが、クライアント装置から接続を要求されたURLをそのデータベースと照合し、接続が禁止されていない場合にのみ、クライアント装置が希望したURLに接続するという機能を有するものである。
【0004】
また、この際のクライアント装置毎にフィルタリングのルールを変更して管理するための手法としては、プロキシサーバのユーザ認証機能等を用いてグループ単位のルールを設定する方法か又はクライアント装置のホストコンピュータのIPアドレス単位でグループを構成する方法が取られている。そして、これらの場合にあっては、クライアント側のプロキシの設定が必要となっていた(例えば、非特許文献1を参照のこと。)。
【0005】
【非特許文献1】
富士通株式会社発行、「ファイアウォール専用装置、GeoStreamNetShelter/FW、プロダクトレポート」、2001年4月、第5頁。
【0006】
【発明が解決しようとする課題】
しかしながら、上記従来のURLフィルタリングシステムにおいて、電話回線又はADSL等のブロードバンド接続したクライアント装置に対してフィルタリングを有効にするためには、クライアント装置はプロキシサーバの設定が必要となり、一般家庭のユーザがプロキシサーバの設定を行うことの煩雑さがあった。そして、その煩雑さを回避してプロキシサーバの設定を解除するとフィルタリング動作が機能しなくなるという問題があった。
【0007】
また、ユーザ認証したデータを利用する手法もあるが、通常使用されているリモート認証(Radius:Remote Authentication Dial User Service)サーバとの連携をするシステムが存在しないため、実際には不可能であった。
【0008】
そこで、この発明は上記従来のURLフィルタリングシステムの問題点を解消すべく考えられたものであり、企業等においてシステム管理者のいない法人又は一般家庭でのインターネットを利用しているクライアント装置に対して、ユーザに手間を取らせずに、リモートアクセスする際のユーザ名でフィルタリング動作を有効にすることにより、クライアント装置から接続要求されたURLに対して中継するか拒否するかのフィルタリング機能を実現できるURLフィルタリング装置及び方法を提供することを課題としている。
【0009】
【課題を解決しようとするための手段】
かかる課題を達成するため、請求項1に記載の発明は、少なくともクライアント装置と送受信可能なゲートウェイサーバと、該ゲートウェイサーバと送受信可能なデータベースサーバと、前記クライアント装置と送受信可能な認証サーバと、からなるURLフィルタリング装置であって、前記認証サーバは、前記ゲートウェイサーバの依頼に基づいて、前記認証サーバからのユーザ認証要求に対して前記クライアント装置から発せられるの応答記録のauthログ中に含まれる開始イベントログ及び終了イベントログから前記クライアント装置のユーザ名とIPアドレスとを取得して前記データベースサーバに送信し、前記データベースサーバは、前記認証サーバから受信したユーザ名と、予めユーザ名毎に定められた接続承認可否の方針に従って作られたテーブル中のユーザ名とを照合して、前記クライアント装置から接続要求のあったURLへの接続の可否結果を前記ゲートウェイサーバに送信し、前記ゲートウェイサーバは、前記ゲートウェイサーバから受信した接続の可否結果に基づいた処理を実行することを特徴としている。
【0010】
ここで、クライアント装置とは、URLのサービスを利用する端末のコンピュータである。また、URL(Uniform Resource Locator)とは、インターネットに接続されているコンピュータ上のサービスを利用するために指定する表記を意味し、これには、サービスを提供するコンピュータへのアクセス方式やドメインネーム、ディスクのパス、ファイル名等が記録されている。
【0011】
請求項2に記載の発明は、前記データベースサーバには、ユーザ名と該ユーザ名に対応するIPアドレスとからなる一次テーブルと、ユーザ名と該ユーザ名に対応する接続認証可否の方針を示すポリシー名とからなるユーザリストテーブルと、前記ポリシー名と該ポリシー名に対応する複数の禁止カテゴリーとからなるポリシーテーブルと、前記禁止カテゴリに対応する要求拒否URLを集めた要求拒否URLデータベースリストと、を有することを特徴としている。
【0012】
請求項3に記載の発明は、少なくともクライアント装置と送受信可能なゲートウェイサーバと、該ゲートウェイサーバと送受信可能なデータベースサーバと、前記クライアント装置と送受信可能な認証サーバと、からなるURLフィルタリング方法であって、前記データベースサーバは、前記認証サーバから受信したユーザ名と該ユーザ名に対応するIPアドレスとの組を格納することのできる一次テーブルに、新たにURLへの接続要求をしてきたクライアント装置のIPアドレスと同一のIPアドレスが既に存在する場合には、前記一次テーブルから既に存在するIPアドレスとユーザ名との組を削除して、前記クライアント装置のIPアドレスとユーザ名との組を前記1次テーブルに追加し、前記一次テーブルに前記同一のIPアドレスが存在しない場合には、そのまま前記クライアント装置のIPアドレスとユーザ名との組を追加することを特徴としている。
【0013】
【発明の実施の形態】
以下、この発明の実施の形態に係るフィルタリング装置の構成と動作について、図面に従って詳細に説明する。
【0014】
図1は、この発明の実施の形態に係るフィルタリング装置の構成と動作を示した概念図である。図2は、この発明の実施の形態に係るフィルタリング装置の構成の1つであるデータベースサーバの機能ブロック図である。
【0015】
まず、ユーザがクライアント装置1からフィルタリングモジュール2を実装しているゲートウェイサーバ3を経由して希望するURLにアクセスした場合には、認証サーバ4からユーザ名U、パスワード等を要求されるユーザ認証要求がなされる。ここで、ゲートウェイサーバ3と認証サーバ4では、クライアント装置1からのURLへの接続要求をインターネットを通じて回線受け側のモデムMを介して受信している。
【0016】
認証サーバ4からのユーザ認証要求にクライアント装置1が応答した場合には、認証サーバ4のauthログには開始イベントログと終了イベントログが記録される。次に、開始イベントログと終了イベントログよりユーザ名UとIPアドレスAとを組で取得し、データベースサーバ5の一次テーブル6に登録する。
【0017】
データベースサーバ5には、一次テーブル6、要求拒否URLデータベーステーブル7、ポリシーテーブル8及びユーザリストテーブル9が存在する。
【0018】
ユーザリストテーブル9のユーザ名Uは、認証サーバ4に登録されているユーザ名Uと1対1に対応している。ここで、ユーザリストテーブル9には、フィルタリングを有効にするユーザ名Uのみが存在する。
【0019】
ポリシーテーブル8は1つのポリシー名Pに対応する複数の禁止カテゴリーC,C,C,・・・を持たせており、それぞれの禁止カデゴリーC毎に接続承認可否の方針が設定できるようになっている。これにより、複数ユーザで接続承認可否の方針が同じ場合には1種類の設定をすればよいので、ユーザ毎に接続承認可否の方針を設定する手間が省ける。
【0020】
同じユーザ名に基づいて、一次テーブル6のIPアドレスAとユーザリストテーブル9のポリシー名Pを関連付けることにより、認証サーバ4の認証をパスしたクライアント装置1がIPアドレスAを取得し、ゲートウェイサーバ3を経由して目的とするURLにアクセスした場合に、データベースサーバ5はクライアント装置1のIPアドレスAにより要求されたURLがフィルタリング対象か否かを判別して、その結果をゲートウェイサーバ3が受信し、ゲートウェイサーバ3が接続の禁止又は許可に関するコメントをクライアント装置1に返す。
【0021】
この場合、接続承認可否の方針を意味するポリシー名Pは、ユーザ名U毎に設定変更が可能となっている。
【0022】
なお、認証サーバ4のユーザ認証が完了すると開始イベントが発生し、この開始イベントログからユーザ名UとIPアドレスAを一次テーブルに追加する。また、終了イベントは、ユーザがクライアント装置1にて回線切断処理を行わないと発生しない。
【0023】
したがって、クライアント装置1の接続に利用している回線不調等の事故が発生すると、終了イベントが存在しない場合が生じることがあり、この場合には終了イベントログに基づいたユーザ名UとIPアドレスAとの削除が行えないこととなる。
【0024】
また、接続してきたクライアント装置1に認証サーバ4が付与するIPアドレスは、その都度ランダムに行われるため、同一ユーザに同一のIPアドレスが付与される可能性はほとんどないといえる。
【0025】
そこで、開始イベントが発生したときと同一のIPアドレスAを取得しているユーザ名Uが一次テーブル6に存在するか否かをチェックして、存在する場合はそのユーザ名UとIPアドレスAとを削除して、新たに取得したユーザ名UとIPアドレスAを一次テーブル6に追加するようにしている。
【0026】
これにより、回線の不調等により認証サーバ4において終了イベントが存在しない場合であっても、正常に回線切断された場合と同様に、一次テーブル6から前回使用されていたユーザ名UとIPアドレスAとの組は削除されることになるから、同一のIPアドレスと別のユーザ名との組からなるクライアント装置1(別のユーザ)がアクセスしてきた場合でも、以後のフィルタリング動作が実行される。
【0027】
以下、この発明の実施の形態に係るフィルタリング装置のより具体的な動作について、図面に従って詳細に説明する。
【0028】
図3は、リモートユーザの認証後の認証サーバとデータベースサーバとの処理を表した流れ図である。
【0029】
認証サーバ4によってクライアント装置1の認証処理が行われた場合には、認証サーバ4はデータベースサーバ5にユーザ名UとIPアドレスAとを送信し、データベースサーバ5はユーザ名UとIPアドレスAとを取得すると(ステップS1)、取得したIPアドレスAが一次テーブル6にあるか否かを判定する(ステップS2)。判定の結果、一次テーブル6にそのIPアドレスAが存在する場合には、一次テーブル6からIPアドレスAと組になっているユーザ名Uを削除する(ステップS3)。判定の結果、一次テーブル6に取得したIPアドレスAが存在しない場合には、そのまま一次テーブル6にユーザ名UとIPアドレスAとを追加する(ステップS4)。
【0030】
回線異常切断の時、認証サーバ4は切断ログを記録しないため、切断ログから一次テーブル6上のユーザ名Uを削除できない。そこで、ステップS3とステップS4の処理によって、新規のユーザがゲートウェイサーバ3を経由してデータベースサーバ5に接続した時に、同じIPアドレスAに対応したユーザ名U(別のユーザ)が存在するか否かを確認して、存在した場合にそのユーザ名U(別のユーザ)を削除することとしている。
【0031】
次に、データベースサーバ5は、新たに追加したユーザ名Uと接続承認可否の方針を意味するポリシー名Pとの関連付けをする(ステップS5)。
【0032】
そこで、リモートユーザであるクライアント装置1が実際に希望するURLに対する接続要求があった場合について、以下に説明する。
【0033】
図4は、クライアント装置からURLへアクセスする場合のゲートウェイサーバとデータベースサーバとの処理を表した流れ図である。
【0034】
リモートユーザであるクライアント装置1からの要求を受けてゲートウェイサーバ3が接続要求のあったURLをデータベースサーバ5に送信すると、データベースサーバ5はIPアドレスAで特定されるクライアント装置1が接続を要求している要求URLを取得する(ステップS11)。次に、データベースサーバ5は、一次テーブル6を照合して、そのIPアドレスAに対応しているユーザ名Uを取得し(ステップS12)、そのユーザ名Uがデータベースサーバ5のユーザリストテーブル9に存在するか否かを判定する(ステップS13)。判定の結果、そのユーザ名Uがユーザリストテーブル9に存在する場合には、要求URLが接続承認可否の方針により制限対象か否かを識別処理する(ステップS14)。判定の結果、そのユーザ名Uがユーザリストテーブル9に存在しない場合には、ゲートウェイサーバ3は要求を承認し要求URLへ中継しクライアント装置1のブラウザ等へ要求URLを送信する(ステップS15)。
【0035】
また、ステップS14の識別処理に続き、要求URLが制限対象に含まれるか否かを判定する(ステップS16)。判定の結果、要求URLが制限対象に含まれる場合には、ゲートウェイサーバ3はクライアント装置1に要求URLが制限対象であることを通知し要求URLへのアクセスを拒否する(ステップS17)。判定の結果、その要求URLが制限対象に含まれていない場合には、ゲートウェイサーバ3は要求を承認し要求URLへ中継しクライアント装置1のブラウザ等へ要求URLを送信する(ステップS15)。
【0036】
そして、クライアント装置1が要求URLとの送受信作業を終了し、クライアント装置1が要求URLとの送受信を終了して回線の切断処理を実行した場合は、データベースサーバ5はそのクライアント装置1のユーザ名UとIPアドレスAとを取得し(ステップS6)、一次テーブル6から取得したユーザ名UとIPアドレスAとを削除する(ステップS7)。
【0037】
【発明の効果】
以上説明したように、請求項1に記載の発明によれば、認証サーバは、ゲートウェイサーバの依頼に基づいて、認証サーバからのユーザ認証要求に対して前記クライアント装置から発せられるの応答記録のauthログ中に含まれる開始イベントログ及び終了イベントログからクライアント装置のユーザ名とIPアドレスとを取得してデータベースサーバに送信し、データベースサーバは、認証サーバから受信したユーザ名と、予めユーザ名毎に定められた接続承認可否の方針に従って作られたテーブル中のユーザ名とを照合して、クライアント装置から接続要求のあったURLへの接続の可否結果をゲートウェイサーバに送信し、ゲートウェイサーバは、ゲートウェイサーバから受信した接続の可否結果に基づいた処理を実行するので、従来のようにプロキシサーバのユーザ認証機能を利用していないため、クライアント装置側でのプロキシサーバの設定を必要としない。したがって、企業等においてシステム管理者のいない法人又は一般家庭でのインターネットを利用しているクライアント装置に対してユーザに手間を取らせずに、リモートアクセスする際のユーザ名でフィルタリング動作を有効にすることにより、クライアント装置から接続を要求されたURLに対して中継するか拒否するかのフィルタリング機能を実現できる。
【0038】
請求項2に記載の発明によれば、データベースサーバには、ユーザ名と該ユーザ名に対応するIPアドレスとからなる一次テーブルと、ユーザ名と該ユーザ名に対応する接続認証可否の方針を示すポリシー名とからなるユーザリストテーブルと、ポリシー名と該ポリシー名に対応する複数の禁止カテゴリーとからなるポリシーテーブルと、禁止カテゴリに対応する要求拒否URLを集めた要求拒否URLデータベースリストとを有するので、一次テーブルのユーザ名とIPアドレスとの関係とユーザリストテーブルのユーザ名とポリシー名との関係と、ポリシーテーブルのポリシー名と禁止カテゴリとの関係から、ポリシー名に関係付けられた要求拒否URLが接続要求のあったクライアント装置との対応関係が特定されるため、確実なフィルタリング機能が実行されることになる。
【0039】
請求項3に記載の発明によれば、データベースサーバは、認証サーバから受信したユーザ名と該ユーザ名に対応するIPアドレスとの組を格納することのできる一次テーブルに、新たにURLへの接続要求をしてきたクライアント装置のIPアドレスと同一のIPアドレスが既に存在する場合には、一次テーブルから既に存在するIPアドレスとユーザ名との組を削除して、クライアント装置のIPアドレスとユーザ名との組を1次テーブルに追加し、一次テーブルに同一のIPアドレスが存在しない場合には、そのままクライアント装置のIPアドレスとユーザ名との組を追加するので、回線の不調等により認証サーバにおいて終了イベントが存在しない場合であっても、正常に回線切断された場合と同様に、一次テーブルから前回使用されていたユーザ名UとIPアドレスAとの組は削除されることになるから、同一のIPアドレスと別のユーザ名との組からなるクライアント装置(別のユーザ)がアクセスしてきた場合でも、以後のフィルタリング動作が実行される。
【図面の簡単な説明】
【図1】この発明の実施の形態に係るフィルタリングシステムの構成と動作を示した概念図である。
【図2】同実施の形態に係るフィルタリング装置の構成の1つであるデータベースサーバの機能ブロック図である。
【図3】同実施の形態に係る認証サーバとデータベースサーバとの処理を表した流れ図である。
【図4】同実施の形態に係るクライアント装置からURLへアクセスする場合のゲートウェイサーバとデータベースサーバとの処理を表した流れ図である。
【符号の説明】
1 クライアント装置
2 フィルタリングモジュール
3 ゲートウェイサーバ
4 認証サーバ
5 データベースサーバ
6 一次テーブル(テーブル)
7 要求拒否URLデータベーステーブル(テーブル)
8 ポリシーテーブル(テーブル)
9 ユーザリストテーブル(テーブル)
A IPアドレス
C 禁止カテゴリ
P ポリシー名
U ユーザ名[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a URL filtering device and a method for determining whether to relay or reject access from a client device to a URL database.
[0002]
[Prior art]
This type of conventional URL filtering system installs a database of URLs examined in advance inside or outside a proxy server capable of transmitting and receiving to and from a client device, and determines whether to relay or deny access of the client device. I have.
[0003]
In other words, the proxy server having a database in which data on whether or not to prohibit the connection for each URL is checked against the URL requested to be connected by the client device with the database, and the connection is not prohibited. Only in this case, the client device has a function of connecting to a desired URL.
[0004]
As a method for changing and managing filtering rules for each client device at this time, a method of setting a rule for each group using a user authentication function of a proxy server or the like, or a method of setting a host computer of the client device. A method of forming a group for each IP address has been adopted. In these cases, it is necessary to set a proxy on the client side (for example, see Non-Patent Document 1).
[0005]
[Non-patent document 1]
Published by Fujitsu Limited, "Firewall Dedicated Device, GeoStreamNetSheller / FW, Product Report," April 2001, page 5.
[0006]
[Problems to be solved by the invention]
However, in the above-described conventional URL filtering system, in order to enable filtering for a client device connected to a broadband such as a telephone line or ADSL, the client device needs to have a proxy server setting. Setting up the server was complicated. Then, if the setting of the proxy server is canceled while avoiding the complexity, the filtering operation does not function.
[0007]
There is also a method of using user-authenticated data, but this is actually impossible because there is no system that cooperates with a commonly used remote authentication (Remote Authentication Dial User Service) server. .
[0008]
Therefore, the present invention has been conceived in order to solve the problems of the above-mentioned conventional URL filtering system, and has been applied to a client device using the Internet in a corporation or a general home without a system administrator in a company or the like. By enabling a filtering operation with a user name at the time of remote access without making a user troublesome, a filtering function of relaying or rejecting a URL requested to be connected by a client device can be realized. It is an object to provide a URL filtering device and method.
[0009]
[Means for solving the problem]
In order to achieve this object, the invention according to claim 1 includes at least a gateway server capable of transmitting and receiving to and from a client device, a database server capable of transmitting and receiving to and from the gateway server, and an authentication server capable of transmitting and receiving to and from the client device. The URL filtering device, wherein the authentication server, based on the request of the gateway server, includes a start record included in an auth log of a response record issued from the client device in response to a user authentication request from the authentication server. A user name and an IP address of the client device are obtained from an event log and an end event log, and transmitted to the database server. The database server determines the user name received from the authentication server and a predetermined user name for each user name. Connection approval policy The client device checks the user name in the table created as described above and transmits a result of the connection to the URL requested to be connected by the client device to the gateway server, and the gateway server receives the result from the gateway server. It is characterized by executing a process based on the result of the connection being made.
[0010]
Here, the client device is a computer of a terminal that uses a URL service. The URL (Uniform Resource Locator) means a notation specified to use a service on a computer connected to the Internet, such as an access method to a computer that provides the service, a domain name, and the like. The disk path, file name, and the like are recorded.
[0011]
In the invention according to claim 2, in the database server, a primary table including a user name and an IP address corresponding to the user name, and a policy indicating a user name and a connection authentication permission / prohibition policy corresponding to the user name are provided. A user list table consisting of a policy name, a policy table consisting of the policy name and a plurality of prohibition categories corresponding to the policy name, and a request rejection URL database list that collects request rejection URLs corresponding to the prohibition category. It is characterized by having.
[0012]
According to a third aspect of the present invention, there is provided a URL filtering method including at least a gateway server capable of transmitting / receiving to / from a client device, a database server capable of transmitting / receiving to / from the gateway server, and an authentication server capable of transmitting / receiving to / from the client device. The database server stores, in a primary table capable of storing a set of a user name received from the authentication server and an IP address corresponding to the user name, an IP address of a client device newly requesting connection to a URL. If the same IP address already exists, the set of the existing IP address and the user name is deleted from the primary table, and the set of the IP address and the user name of the client device is changed to the primary address. The same IP address in the primary table. There If not, is characterized by directly adding a set of the IP address and the user name of the client device.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, the configuration and operation of a filtering device according to an embodiment of the present invention will be described in detail with reference to the drawings.
[0014]
FIG. 1 is a conceptual diagram showing the configuration and operation of a filtering device according to an embodiment of the present invention. FIG. 2 is a functional block diagram of a database server which is one of the configurations of the filtering device according to the embodiment of the present invention.
[0015]
First, when a user accesses a desired URL from the client device 1 via the gateway server 3 on which the filtering module 2 is mounted, a user authentication request for requesting a user name U and a password from the authentication server 4 is made. Is made. Here, the gateway server 3 and the authentication server 4 receive the connection request to the URL from the client device 1 via the Internet via the modem M on the line receiving side.
[0016]
When the client device 1 responds to the user authentication request from the authentication server 4, a start event log and an end event log are recorded in the auth log of the authentication server 4. Next, a user name U and an IP address A are acquired as a set from the start event log and the end event log, and registered in the primary table 6 of the database server 5.
[0017]
The database server 5 has a primary table 6, a request rejection URL database table 7, a policy table 8, and a user list table 9.
[0018]
The user name U in the user list table 9 has a one-to-one correspondence with the user name U registered in the authentication server 4. Here, in the user list table 9, only a user name U for which filtering is to be effective exists.
[0019]
The policy table 8 has a plurality of prohibition categories C, C, C,... Corresponding to one policy name P, so that a policy of connection approval / disapproval can be set for each prohibition category C. I have. With this, when a plurality of users have the same connection approval / disapproval policy, only one type of setting may be performed, so that it is not necessary to set a connection approval / disapproval policy for each user.
[0020]
By associating the IP address A of the primary table 6 with the policy name P of the user list table 9 based on the same user name, the client device 1 that has passed the authentication of the authentication server 4 acquires the IP address A, and , The database server 5 determines whether or not the URL requested by the IP address A of the client device 1 is to be filtered, and the gateway server 3 receives the result. Then, the gateway server 3 returns a comment regarding the prohibition or permission of the connection to the client device 1.
[0021]
In this case, the setting of the policy name P, which means the connection approval / disapproval policy, can be changed for each user name U.
[0022]
When the user authentication of the authentication server 4 is completed, a start event occurs, and the user name U and the IP address A are added to the primary table from the start event log. Further, the end event does not occur unless the user performs a line disconnection process on the client device 1.
[0023]
Accordingly, when an accident such as a line failure used for connection of the client device 1 occurs, there may be a case where the end event does not exist. In this case, the user name U and the IP address A based on the end event log are generated. Cannot be deleted.
[0024]
Further, since the IP address assigned by the authentication server 4 to the connected client device 1 is randomly set each time, it can be said that there is almost no possibility that the same user is assigned the same IP address.
[0025]
Therefore, it is checked whether or not the user name U acquiring the same IP address A as when the start event occurred exists in the primary table 6, and if so, the user name U and the IP address A Is deleted, and the newly acquired user name U and IP address A are added to the primary table 6.
[0026]
As a result, even if an end event does not exist in the authentication server 4 due to a line failure or the like, the user name U and the IP address A used last time are used from the primary table 6 as in the case where the line is normally disconnected. Is deleted, so that even if the client device 1 (another user) having the same IP address and a different user name accesses the client device 1, the subsequent filtering operation is executed.
[0027]
Hereinafter, a more specific operation of the filtering device according to the embodiment of the present invention will be described in detail with reference to the drawings.
[0028]
FIG. 3 is a flowchart showing the processing between the authentication server and the database server after the remote user is authenticated.
[0029]
When the authentication processing of the client device 1 is performed by the authentication server 4, the authentication server 4 transmits the user name U and the IP address A to the database server 5, and the database server 5 transmits the user name U and the IP address A to the database server 5. Is acquired (step S1), it is determined whether or not the acquired IP address A is in the primary table 6 (step S2). If the result of the determination is that the IP address A exists in the primary table 6, the user name U paired with the IP address A is deleted from the primary table 6 (step S3). As a result of the determination, when the acquired IP address A does not exist in the primary table 6, the user name U and the IP address A are added to the primary table 6 as they are (step S4).
[0030]
When the line is disconnected abnormally, the authentication server 4 does not record the disconnection log, so that the user name U on the primary table 6 cannot be deleted from the disconnection log. Therefore, by the processing of steps S3 and S4, when a new user connects to the database server 5 via the gateway server 3, whether or not a user name U (another user) corresponding to the same IP address A exists. The user name U (another user) is deleted if it exists.
[0031]
Next, the database server 5 associates the newly added user name U with the policy name P meaning a policy of connection approval / disapproval (step S5).
[0032]
Therefore, a case where the client device 1 as a remote user has actually made a connection request to a desired URL will be described below.
[0033]
FIG. 4 is a flowchart showing the processing of the gateway server and the database server when accessing the URL from the client device.
[0034]
When the gateway server 3 receives the request from the client device 1 as a remote user and transmits the URL for which the connection was requested to the database server 5, the database server 5 requests the client device 1 specified by the IP address A to connect. The requested URL is obtained (step S11). Next, the database server 5 collates the primary table 6 to obtain a user name U corresponding to the IP address A (step S12), and stores the user name U in the user list table 9 of the database server 5. It is determined whether or not it exists (step S13). If the user name U is found in the user list table 9 as a result of the determination, whether or not the request URL is subject to the restriction based on the connection approval / disapproval policy is identified (step S14). As a result of the determination, if the user name U does not exist in the user list table 9, the gateway server 3 approves the request, relays the request to the request URL, and transmits the request URL to the browser of the client device 1 (step S15).
[0035]
Further, following the identification processing in step S14, it is determined whether the request URL is included in the restriction target (step S16). As a result of the determination, when the requested URL is included in the restriction target, the gateway server 3 notifies the client device 1 that the request URL is the restriction target, and denies access to the request URL (step S17). As a result of the determination, when the request URL is not included in the restriction target, the gateway server 3 approves the request, relays the request to the request URL, and transmits the request URL to the browser of the client device 1 (step S15).
[0036]
When the client device 1 completes the transmission / reception work with the request URL and the client device 1 terminates the transmission / reception with the request URL and executes the line disconnection processing, the database server 5 stores the user name of the client device 1 U and IP address A are acquired (step S6), and the acquired user name U and IP address A are deleted from primary table 6 (step S7).
[0037]
【The invention's effect】
As described above, according to the first aspect of the present invention, the authentication server, based on the request of the gateway server, stores the auth of the response record issued from the client device in response to the user authentication request from the authentication server. The user name and the IP address of the client device are acquired from the start event log and the end event log included in the log, and transmitted to the database server. The database server receives the user name received from the authentication server, The user name is collated with the user name in the table created in accordance with the determined connection approval / disapproval policy, and the result of whether or not the client device can connect to the requested URL is transmitted to the gateway server. Since processing is performed based on the connection availability result received from the server, Because of not using the user authentication function of the proxy server to not require the setting of the proxy server on the client device side. Therefore, the filtering operation is enabled by the user name at the time of remote access without making the user troublesome for a client device using the Internet in a corporation or a general home without a system administrator in a company or the like. Accordingly, a filtering function of relaying or rejecting a URL requested to be connected by the client device can be realized.
[0038]
According to the second aspect of the present invention, the database server indicates a primary table including a user name and an IP address corresponding to the user name, and a policy on whether the user name and the connection authentication corresponding to the user name are permitted. Since it has a user list table including a policy name, a policy table including a policy name and a plurality of prohibition categories corresponding to the policy name, and a request rejection URL database list collecting request rejection URLs corresponding to the prohibition category. From the relationship between the user name and the IP address in the primary table, the relationship between the user name in the user list table and the policy name, and the relationship between the policy name in the policy table and the prohibition category, a request rejection URL associated with the policy name Since the relationship between the client device and the client device that requested the connection is specified, So that Taringu function is performed.
[0039]
According to the invention described in claim 3, the database server newly connects to the URL in the primary table capable of storing a set of the user name received from the authentication server and the IP address corresponding to the user name. If the same IP address as the IP address of the client device that has made the request already exists, the set of the existing IP address and user name is deleted from the primary table, and the IP address and the user name of the client device are deleted. Is added to the primary table, and if the same IP address does not exist in the primary table, the set of the IP address and the user name of the client device is added as it is. Even if there is no event, the same as when the line was disconnected normally, Since the set of the user name U and the IP address A is deleted, even if a client device (another user) having the same set of the IP address and a different user name accesses the client device, Is performed.
[Brief description of the drawings]
FIG. 1 is a conceptual diagram showing the configuration and operation of a filtering system according to an embodiment of the present invention.
FIG. 2 is a functional block diagram of a database server which is one of the configurations of the filtering device according to the embodiment.
FIG. 3 is a flowchart showing processing of an authentication server and a database server according to the embodiment.
FIG. 4 is a flowchart showing processing of a gateway server and a database server when a URL is accessed from a client device according to the embodiment.
[Explanation of symbols]
Reference Signs List 1 client device 2 filtering module 3 gateway server 4 authentication server 5 database server 6 primary table (table)
7 Request rejection URL database table (table)
8 Policy table (table)
9 User list table (table)
A IP address C Prohibited category P Policy name U User name

Claims (3)

少なくともクライアント装置と送受信可能なゲートウェイサーバと、該ゲートウェイサーバと送受信可能なデータベースサーバと、前記クライアント装置と送受信可能な認証サーバと、からなるURLフィルタリング装置であって、
前記認証サーバは、前記ゲートウェイサーバの依頼に基づいて、前記認証サーバからのユーザ認証要求に対して前記クライアント装置から発せられるの応答記録のauthログ中に含まれる開始イベントログ及び終了イベントログから前記クライアント装置のユーザ名とIPアドレスとを取得して前記データベースサーバに送信し、
前記データベースサーバは、前記認証サーバから受信したユーザ名と、予めユーザ名毎に定められた接続承認可否の方針に従って作られたテーブル中のユーザ名とを照合して、前記クライアント装置から接続要求のあったURLへの接続の可否結果を前記ゲートウェイサーバに送信し、
前記ゲートウェイサーバは、前記ゲートウェイサーバから受信した接続の可否結果に基づいた処理を実行することを特徴とするURLフィルタリング装置。A URL filtering device comprising at least a gateway server capable of transmitting / receiving to / from a client device, a database server capable of transmitting / receiving to / from the gateway server, and an authentication server capable of transmitting / receiving to / from the client device,
The authentication server, based on a request of the gateway server, from a start event log and an end event log included in an auth log of a response record issued from the client device in response to a user authentication request from the authentication server. Obtain the user name and IP address of the client device and send them to the database server,
The database server compares the user name received from the authentication server with a user name in a table created in accordance with a connection approval / disapproval policy determined in advance for each user name, and issues a connection request from the client device. Transmitting the result of the connection to the existing URL to the gateway server,
The URL filtering device, wherein the gateway server executes a process based on a connection propriety result received from the gateway server. 前記データベースサーバには、ユーザ名と該ユーザ名に対応するIPアドレスとからなる一次テーブルと、ユーザ名と該ユーザ名に対応する接続認証可否の方針を示すポリシー名とからなるユーザリストテーブルと、前記ポリシー名と該ポリシー名に対応する複数の禁止カテゴリーとからなるポリシーテーブルと、前記禁止カテゴリに対応する要求拒否URLを集めた要求拒否URLデータベースリストと、を有することを特徴とする請求項1に記載のURLフィルタリング装置。The database server includes: a primary table including a user name and an IP address corresponding to the user name; a user list table including a user name and a policy name indicating a connection authentication permission / prohibition policy corresponding to the user name; 2. A policy table comprising the policy name and a plurality of prohibition categories corresponding to the policy name, and a request rejection URL database list collecting request rejection URLs corresponding to the prohibition category. 2. The URL filtering device according to 1. 少なくともクライアント装置と送受信可能なゲートウェイサーバと、該ゲートウェイサーバと送受信可能なデータベースサーバと、前記クライアント装置と送受信可能な認証サーバと、からなるURLフィルタリング方法であって、
前記データベースサーバは、前記認証サーバから受信したユーザ名と該ユーザ名に対応するIPアドレスとの組を格納することのできる一次テーブルに、新たにURLへの接続要求をしてきたクライアント装置のIPアドレスと同一のIPアドレスが既に存在する場合には、前記一次テーブルから既に存在するIPアドレスとユーザ名との組を削除して、前記クライアント装置のIPアドレスとユーザ名との組を前記1次テーブルに追加し、前記一次テーブルに前記同一のIPアドレスが存在しない場合には、そのまま前記クライアント装置のIPアドレスとユーザ名との組を追加することを特徴とするURLフィルタリング方法。A URL filtering method comprising at least a gateway server capable of transmitting / receiving to / from a client device, a database server capable of transmitting / receiving to / from the gateway server, and an authentication server capable of transmitting / receiving to / from the client device,
The database server stores, in a primary table capable of storing a set of a user name received from the authentication server and an IP address corresponding to the user name, an IP address of a client device newly requesting connection to a URL. If the same IP address already exists, the existing set of the IP address and the user name is deleted from the primary table, and the set of the IP address and the user name of the client device is replaced with the primary table. And when the same IP address does not exist in the primary table, a set of the IP address and the user name of the client device is added as it is.
JP2002283475A 2002-09-27 2002-09-27 Apparatus and method of filtering uniform resource locator Pending JP2004120574A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002283475A JP2004120574A (en) 2002-09-27 2002-09-27 Apparatus and method of filtering uniform resource locator

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002283475A JP2004120574A (en) 2002-09-27 2002-09-27 Apparatus and method of filtering uniform resource locator

Publications (1)

Publication Number Publication Date
JP2004120574A true JP2004120574A (en) 2004-04-15

Family

ID=32277328

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002283475A Pending JP2004120574A (en) 2002-09-27 2002-09-27 Apparatus and method of filtering uniform resource locator

Country Status (1)

Country Link
JP (1) JP2004120574A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007159013A (en) * 2005-12-08 2007-06-21 Fujitsu Ltd Firewall device
JP2017146670A (en) * 2016-02-15 2017-08-24 Necプラットフォームズ株式会社 Router device and filtering method for router device

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007159013A (en) * 2005-12-08 2007-06-21 Fujitsu Ltd Firewall device
JP4545085B2 (en) * 2005-12-08 2010-09-15 富士通株式会社 Firewall device
JP2017146670A (en) * 2016-02-15 2017-08-24 Necプラットフォームズ株式会社 Router device and filtering method for router device

Similar Documents

Publication Publication Date Title
JP3526435B2 (en) Network system
US8904549B2 (en) Server system, control method, and storage medium for securely executing access to data of a tenant
US10320787B2 (en) System and method of facilitating the identification of a computer on a network
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
JP5789390B2 (en) Business information protection device, business information protection method, and program
JP2010176685A (en) System and method for secure network connectivity
US20140380426A1 (en) Method, device and system for logging in through a browser application at a client terminal
US20120005729A1 (en) System and method of network authorization by scoring
CN108009439B (en) Resource request method, device and system
JP4718216B2 (en) Program, client authentication request method, server authentication request processing method, client, and server
JP5952466B2 (en) Business information protection device, business information protection method, and program
CN108076500A (en) The method, apparatus and computer readable storage medium of local area network management
JP2004120574A (en) Apparatus and method of filtering uniform resource locator
JP2003258795A (en) Computer aggregate operation method, its execution system, and its processing program
US20050238033A1 (en) Connection system, information supply apparatus, connection method and program
JP3984887B2 (en) Reference authority management system, management server, reference authority management method, and system program
JP6570090B2 (en) Router device and router device filtering method
JP4559648B2 (en) Authentication system and authentication server
JP2016173851A (en) Business information protection device, business information protection method, and program
JP2018152091A (en) Business information protection device, business information protection method, and program
JP4308549B2 (en) Authentication information management method and authentication information management apparatus
JP7396205B2 (en) Medical information storage program and medical information storage management device
JP6395227B2 (en) Router device and router device filtering method
WO2019106938A1 (en) Illegal access prevention function device, illegal access prevention function system, network security monitoring method, and illegal access prevention program
JP2003108518A (en) User access control method and device