用于评估对于访问来自计算机网络中的服务器的内容的请求的方法和服务器的制造方法

用于评估对于访问来自计算机网络中的服务器的内容的请求的方法和服务器的制造方法
【专利摘要】本发明涉及一种方法，该方法用于具体在服务器(101)上评估对于访问来自计算机网络(100)中的另一服务器(130)的内容的请求，其中在接收到包括关于另一服务器(130)的信息的对于访问另一服务器(130)的请求时，执行测试以确定是否允许或者拒绝该访问，该测试包括以下步骤：在不能在关于另一服务器(130)的信息与关于服务器的预定信息之间建立关联的情况下向预定设备(120)发送包括关于另一服务器(130)的信息的对于用户输入的另一请求，该用户输入用以确认对于访问的请求；在接收到对所述另一请求的响应时评估请求。
【专利说明】用于评估对于访问来自计算机网络中的服务器的内容的请求的方法和服务器

【技术领域】
[0001]本发明涉及一种用于评估对于访问来自计算机网络中的服务器的内容的请求的方法、服务器、计算机程序和计算机程序产品。

【背景技术】
[0002]在能够评估对于访问来自计算机网络中的服务器的内容的请求的实现方式中，使用在客户端与服务器之间安装的防火墙以便过滤对于访问来自服务器的内容的不希望的请求。这样的防火墙通常被实施在客户端上或者在客户端与服务器之间的网络节点上。能够评估这样的对于访问来自服务器的内容的请求的另一实现方式包括代理服务器，该代理服务器适于例如基于白名单或者黑名单评估对于访问来自服务器的内容的请求。黑名单和白名单在这一上下文中例如是包括列表地址、统一资源定位符、关键词或者用于标识将被阻止(黑名单)或者允许(白名单)的服务器或者内容的任何其它手段的数据文件。在能够评估对于访问来自服务器的内容的请求的又一实现方式中，内容过滤软件用来基于请求的内容阻止内容。
[0003]这些实现方式自动地工作并且处理来自客户端的对于访问例如因特网中的服务器的请求。
[0004]然而需要频繁地配置和更新防火墙、代理服务器和内容过滤软件以便恰当地阻止不希望的请求。通常，这一配置和更新在常规基础上、例如一天一次由管理员触发。黑名单和白名单例如由权力机构或者私营公司提供并且通常被一天一次更新。
[0005]需要大量工作以个性化防火墙、代理服务器和内容过滤软件的设置以便使设置与某个客户的需要相配。管理员或者在服务器上的更新过程触发的改变、使用防火墙、代理服务器和内容过滤软件的解决方案在更新周期内是静态的。它们不允许实时控制对细节的设置的配置。


【发明内容】

[0006]本发明的目的因此是提供一种更动态的访问控制。
[0007]本发明的主要思想是具体在服务器上评估对于访问来自计算机网络中的另一服务器的内容的请求，其中在接收到包括关于另一服务器的信息的对于访问另一服务器的请求时，执行测试以确定是否允许或者拒绝访问，该测试包括以下步骤:
[0008]-在不能在关于另一服务器的信息与关于服务器的预定信息之间建立关联的情况下向预定设备发送包括关于另一服务器的信息的对于用户输入的另一请求，该用户输入用以确认对于访问的请求，
[0009]-在接收到对所述另一请求的响应时评估请求。这一方式，基于请求执行评估并且在自动评估失败的情况下向预定设备转发评估以求批准。这允许静态设置的实时动态配置。
[0010]有利地，该另一请求包括关于请求的来自另一服务器的内容的至少一部分的信息、具体为内容的预览。这一方式，预定设备可以用来查看请求的内容以促进批准判决。
[0011]有利地，与关于请求者的信息、具体为用户名一起发送该另一请求。这允许在预定设备上标识请求者以例如在一个预定设备用来控制若干不同请求者的访问的情况下促进批准判决。
[0012]有利地，根据关于请求者的信息、具体为从请求确定的客户端设备的标识从多个预定设备选择该预定设备。这一方式，可以使用若干不同预定设备、例如针对每个请求者一个预定设备，而应用方法。
[0013]有利地，具体在短消息服务消息中具体从服务器向客户端设备发送包括关于评估的结果的信息的消息。
[0014]有利地，存储、具体在客户端设备上的白名单或者黑名单中存储评估的结果。
[0015]有利地，仅在允许访问之后经由另一数据链路建立客户端设备与另一服务器之间的直接链路。
[0016]有利地，一种服务器、计算机程序或者计算机程序产品适于或者可操作用于实施该方法。
[0017]可以从从属权利要求和以下描述中收集本发明的进一步发展。

【专利附图】

【附图说明】
[0018]在下文中，将参照附图进一步说明本发明。
[0019]图1示意地示出计算机网络的一部分。
[0020]图2示意地示出序列图，该序列图示出根据第一方法的一些典型序列，该第一方法用于评估对于访问来自计算机网络中的服务器的内容的请求。
[0021]图3示意地示出计算机网络的一部分。
[0022]图4示意地示出序列图，该序列图示出根据第二方法的一些典型序列，该第二方法用于评估对于访问来自计算机网络中的服务器的内容的请求。

【具体实施方式】
[0023]图1示出包括服务器101、客户端设备110、预定设备120和另一服务器130的计算机网络100的一部分。服务器和设备经由图1中描绘为实线的数据链路可相互连接。数据链路例如根据称为MS的因特网协议多媒体子系统。
[0024]例如在服务器101与另一服务器130之间使用熟知为TCP/IP链路的传输控制协议/互联网协议链路。例如根据IEEE 811.2或者长期演进标准(熟知为LTE)的无线数据链路被用来将客户端设备110或者预定设备120连接到计算机网络100。数据链路可以直接或者经由多个网络节点连接服务器和设备。
[0025]客户端设备110和预定设备120例如是移动电话、智能电话或者个人计算机。
[0026]服务器101包括接收器102和发送器102，例如适于或者可操作用于发送和接收数据、具体为消息的收发器。服务器101还包括适于或者可操作用于执行计算机程序的处理器103和用于存储用于实施以下描述的方法的计算机程序的存储装置104。
[0027]根据本发明的第一实施例的服务器101是专门发送和接收熟知为SMS的短消息服务消息的短消息服务网关。根据第一实施例，服务器101作为计算机网络100中的代理服务器操作。在这一实施例中，客户端设备110是配置为仅经由代理服务器101访问计算机网络100的智能电话。在二者之间的数据链路适于或者可操作用于也允许发送短消息服务消息和其它数据。用于配置智能电话以仅经由预定代理服务器连接到计算机网络100的方法为本领域技术人员所熟知并且这里未被具体说明。
[0028]以下参照图2的序列图描述用于评估对于访问来自另一服务器130的内容的请求的第一方法。在这一方法中，另一服务器130是经由熟知为HTTP的超文本传送协议提供对内容的访问的因特网web服务器。使用根据本发明的第一实施例的服务器101来描述该方法。如果根据本发明的第二实施例的服务器101被实施为智能电话的因特网web浏览器的附件，则该方法类似地适用。仅有的不同是在本发明的第二实施例中，在服务器101与客户端设备110之间发送的消息是内部消息。
[0029]可以使用统一资源定位符、互联网协议地址或者任何其它类型的对内容或者另一服务器130的寻址，而不是超文本传送协议。
[0030]该方法例如在客户端设备110上接收到用户输入时开始。用户输入例如是用户经由客户端设备110的图形用户接口向智能电话的内部web浏览器的地址字段中键入的超文本传送协议地址。
[0031]在该开始之后，从客户端设备110向服务器101发送消息201、即请求。消息201例如是对于访问来自另一服务器130的内容的请求。消息201例如包括关于另一服务器130的信息。例如消息201中的请求包括另一服务器130的互联网协议地址。备选地，消息201可以包括允许标识内容或者计算机网络100中的另一服务器130的任何其它类型的信息。在接收到消息201、即对于访问另一服务器130的请求时，在步骤202中执行测试以确定是否允许或者拒绝访问另一服务器130。
[0032]在步骤202中，确定是否可以建立关于另一服务器130的信息与关于计算机网络100的服务器的预定信息之间的关联。该关联例如由过滤规则、如黑名单或者白名单中的匹配构成，这些过滤规则用来标识允许或者拒绝的互联网协议地址。例如关于另一服务器130的信息是在消息201中接收的另一服务器130的互联网协议地址。在这一情况下，例如在互联网协议地址被存储在计算机网络100的可以访问的服务器的白名单中的情况下允许访问。类似地，在另一服务器的互联网协议地址不在白名单上或者被列举在黑名单上的情况下拒绝访问。
[0033]此后，从服务器101向另一服务器130发送消息203、即请求来自另一服务器130的内容。
[0034]当在消息203中接收到对于内容的请求时，另一服务器130向服务器101发送包括请求的内容的消息204、即响应。请求和响应消息203和204例如是超文本传送协议请求和响应。
[0035]在步骤202中可以做出允许或者拒绝访问的判决的情况下，该方法通过提供请求的访问来继续。这意味着在服务器101在步骤202中允许访问的情况下，向客户端设备110转发消息204中的响应。在服务器101在步骤202中拒绝访问的情况下，不向客户端设备110转发消息204中的响应。
[0036]取代在步骤202之后发送消息203、204，在服务器101在步骤202中拒绝访问的情况下不发送请求203和响应204这些消息。
[0037]可选地，在步骤202中拒绝访问的情况下，从服务器101向客户端设备110发送未在图2中显示的响应消息。响应消息例如是错误消息。
[0038]在不能在步骤202中在关于另一服务器130的信息与关于服务器的预定信息之间建立关联的情况下，根据代理服务器的静态配置可能不清楚是否应当许可或者拒绝访问。根据该方法，向预定设备120发送另一请求205。另一请求205是对于用户输入的请求，该用户输入用于确认消息请求201。另一请求205包括关于另一服务器130或者请求的内容的信息。在该例中，在另一服务器130的互联网协议地址不在黑名单中、也不在白名单中的情况下向预定设备120发送请求205。
[0039]根据该例，预定设备120是适于或者可操作用于接收另一请求205并且根据另一请求205显示对于用户输入的提示的移动电话。例如另一请求205是如下消息，该消息包括关于请求的内容的至少一部分的信息，具体为请求的来自另一服务器130的内容的预览。在这一情况下，在已经在服务器101接收到包括另一服务器130的内容的响应消息204之后发送另一请求205。
[0040]附加地或者备选地，与关于请求者的信息、具体为请求者的用户名一起发送另一请求205。为此，例如，客户端设备110由它的互联网协议地址标识，并且满足在存储装置104上存储在将用户映射到客户端设备110的列表中的特定用户名。
[0041]在多个预定设备120由服务器101管理的情况下，根据关于请求者的信息、具体为从请求消息201确定的客户端设备110的标识，从多个预定设备选择预定设备120。例如从消息201确定客户端设备110的互联网协议地址，并且将该互联网协议地址映射到将从多个预定设备选择的预定设备120。为此，例如，存储装置104包括预定设备120的列表和到客户端设备110的相应互联网协议地址的映射。
[0042]在接收到另一请求205时，预定设备120适于或者可操作用于在步骤206中提示用户输入。用户提示可以包括如在另一请求205中接收的关于请求者或者内容的信息。在任何情况下，预定设备120适于或者可操作用于在接收到用户输入时发送响应207。用户输入例如由预定设备120的图形用户接口检测。
[0043]对另一请求205的响应207是允许或者拒绝访问所请求的另一服务130。根据用户输入来确定这一响应207以例如在预定设备120确定用户输入指示应当许可访问的情况下允许访问另一服务器。这样的用户接口为本领域技术人员所熟知并且这里未被进一步说明。例如预定设备120上的触屏显示器被用来在对于访问的请求旁边显示允许或者拒绝按钮，该按钮示出另一服务器120的超文本协议地址、请求者和/或请求的内容的预览。
[0044]从预定设备120向服务器101在消息207中发送响应。
[0045]当在消息207中接收到对另一请求205的响应时，在步骤208中评估请求201。例如在消息207中接收的对另一请求205的响应指示允许访问的情况下允许访问另一服务器130。类似地，在响应207指示拒绝访问另一服务器130的情况下拒绝该访问。
[0046]在允许或者拒绝访问的情况下，从服务器101向客户端设备110发送消息209。消息209包括关于评估的结果的信息、例如是否允许或者拒绝访问的指示。备选地或者附加地，消息209可以包括客户端设备110请求的来自另一服务器130的内容。在这一情况下，响应消息209可以不包括允许访问的专用指示。另外，消息209是可选的并且可以在拒绝访问的情况下被省略。
[0047]备选地，在另一请求205中未发送预览的情况下，可以不在步骤202之后、但是在已经在对另一请求205的响应207中接收到批准之后的稍后时间发送请求203和响应204。在这一情况下，可以在响应207中拒绝访问的情况下不发送请求203和响应204。
[0048]根据本发明的第二实施例，服务器101是专门发送和接收熟知为SMS的短消息服务消息的短消息服务网关。根据第二实施例，基于SMS的授权在客户端设备110中被实施为例如智能电话的因特网web浏览器中集成的web浏览器附件。图3示出根据第二实施例的包括服务器101、客户端设备110、预定设备120和另一服务器130的计算机网络100的另一部分。在这一情况下，客户端设备110、例如智能电话被配置为经由另一数据链路接入计算机网络100。另一数据链路在图3中被描绘为客户端设备110与另一服务器130之间的虚线。客户端设备110与另一服务器130之间的连接可以如图3中描绘的那样是直接的或者经由在二者之间的一个或者多个网络节点。另外，在客户端设备110与服务器101之间的数据链路适于或者可操作用于在二者之间传送短消息服务消息。根据这一第二实施例，客户端设备110适于或者可操作用于执行基于SMS的授权、即发送作为短消息服务消息的对于访问另一服务器130的请求和在短消息服务消息中接收许可或者拒绝访问的响应。另夕卜，基于SMS的授权包括根据接收的短消息服务消息的内容允许或者拒绝访问。例如客户端设备110适于或者可操作用于允许仅经由浏览器附件访问计算机网络100，该浏览器附件实施基于SMS的授权的功能。在这一情况下，接收器102和发送器102以及处理器103和存储装置104也是服务器101的一部分。备选地，它们可以是客户端设备110、例如智能电话的一部分。
[0049]以下参照图4的序列图描述用于评估对于访问来自另一服务器130的内容的请求的第二方法。在这一方法中，另一服务器130是经由熟知为HTTP的超文本传送协议提供访问内容的因特网web服务器。根据本发明的第二实施例使用服务器101、客户端设备110和预定设备120来描述该方法。根据第一方法的步骤201至208在第二方法中类似地适用并且在图4中被相同地标注。
[0050]另外，在允许或者拒绝访问的情况下，根据第二方法，从服务器101向客户端设备110发送消息209。消息209包括关于评估的结果的信息、例如是否允许或者拒绝访问的指
/j、Ο
[0051]在接收到消息209时，客户端设备101在步骤210中确定是否允许或者拒绝访问。另外，客户端设备101适于或者可操作用于在允许访问时直接经由另一数据链路建立与另一服务器130的连接211，否则通过不建立连接211来拒绝访问。在后一种情况下，可以显示错误消息。直接连接211因此是仅在成功授权之后的与另一服务器130的直接链路、即未经由服务器101。
[0052]消息209是可选的并且可以在拒绝访问的情况下被省略。在这一情况下，客户端设备110被配置为在未接收到响应的情况下不允许访问。
[0053]例如，浏览器附件适于或者可操作用于执行以上描述的步骤。
[0054]描述的方法允许在客户端设备110能够访问另一服务器130的内容或者关于另一服务器130的信息之前提示预定设备120的用户批准或者拒绝访问另一服务器130和另一服务器130的内容。由于自动过滤规则、如黑名单和白名单不是是否应当允许或者拒绝访问的仅有指示，所以以上描述的方法改进对于访问的请求的评估并且允许访问控制的实时配置。
[0055]在对以上描述的两个实施例中的任一实施例的修改中，可以例如存储关于访问或者拒绝的评估的结果，作为新过滤规则或者新黑名单或者白名单条目。这样，基于从预定设备120接收的批准的判决自动地更新过滤规则、如黑名单和白名单。
[0056]根据第二实施例，黑名单/白名单条目也可以在步骤210中存储于客户端设备110上。
[0057]在以上描述的本发明的具体实施例中，在第一实施例中的请求205和响应207以及在第二实施例中的消息201、205、207和209是根据熟知为SMS的短消息服务的消息。在这一情况下，服务器101包括适于或者可操作用于发送请求和接收消息的响应分别作为短消息服务消息的短消息服务网关。在第一实施例的情况下，服务器101适于或者可操作用于根据请求消息201和可选地根据在响应消息204中接收的内容创建短消息服务消息以便向预定设备120提供另一请求205。类似地，服务器101适于或者可操作用于在步骤208中从预定设备120接收作为短消息服务消息的响应207并且通过处理短消息服务消息的内容来确定是否允许或者拒绝访问。在第二实施例的情况下，将消息201、205、207和209作为SMS处理。
[0058]在这一情况下，预定设备120适于或者可操作用于在短消息服务消息中发送响应并且确定这一消息的内容。预定设备120例如适于或者可操作用于可选地与请求的内容的预览一起显示在短消息服务消息中接收的请求的内容。例如在用户提示旁边显示字符串“允许”或者字符串“拒绝”，并且在短消息服务消息中发送响应，该消息例如根据预定设备102检测到的用户输入是“允许”还是“拒绝”而包含字符串“允许”或者字符串“拒绝”。
[0059]取代使用短消息服务消息，可以使用用于发送相应数据的任何其它协议或者方法。
[0060]另外，服务器101或者客户端设备110可以包括接口，该接口允许访问存储装置104和配置服务器101的过滤规则、例如黑名单或者白名单。
[0061]另外，可以经由这一接口配置预定设备120的地址或者预定设备120到客户端设备110的映射。
[0062]可选地，也可以这一方式配置多个预定设备120和到客户端设备120的各个映射。
[0063]说明书和附图仅举例说明本发明的原理。因此将认识本领域技术人员将能够设计虽然这里未明确地描述或者示出、但是体现本发明的原理并且在它的精神实质和范围内包括的各种布置。另外，这里记载的所有示例主要明确地旨在于仅用于示范目的以辅助读者理解本发明的原理和发明人贡献的用于发展本领域的概念并且将被解释为不限于这样具体地记载的示例和条件。另外，这里所有记载本发明的原理、方面和实施例的陈述及其具体示例旨在于涵盖其等效方式。
[0064]可以通过使用专用硬件以及能够与适当软件关联地执行软件的硬件来提供图中所示各种单元——包括标注为“处理器”的任何功能块——的功能。在由处理器提供时，功能可以由单个专用处理器、由单个共享处理器或者由多个个别处理器——这些处理器中的一些处理器可以被共享——提供。另外，术语“处理器”或者“控制器”的明确使用不应被解释为仅指代能够执行软件的硬件而可以隐含地包括而不限于数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)和非易失性存储装置。也可以包括其它常规和/或定制硬件。
[0065]本领域技术人员应当认识这里的任何框图代表体现本发明的原理的示例电路装置的概念视图。相似地，将认识序列图代表可以在计算机可读介质中实质上代表的、因此由计算机或者处理器执行的各种过程，无论是否明示这样的计算机或者处理器。
[0066]本领域技术人员将容易认识各种以上描述的方法的步骤可以由编程的计算机执行。这里，一些实施例也旨在于覆盖程序存储设备、例如数字数据存储介质，这些程序存储设备是机器或者计算机可读的并且对机器可执行或者计算机可执行指令程序进行编码，其中所述指令执行所述以上描述的方法的步骤中的一些或者所有步骤。程序存储设备可以例如是数字存储器、磁存储介质、比如磁盘和磁带、硬盘或者光可读数字数据存储介质。实施例也旨在于覆盖编程为执行以上描述的方法的所述步骤的计算机。
【权利要求】
1.一种用于具体在服务器(101)上评估对于访问来自计算机网络(100)中的另一服务器(130)的内容的请求(201)的方法，其中在具体在短消息服务消息中接收到包括关于所述另一服务器(130)的信息的、对于访问所述另一服务器(130)的所述请求(201)时，执行测试以确定所述访问是被允许还是被拒绝，所述测试包括步骤: -在不能在关于所述另一服务器(130)的信息与关于服务器的预定信息之间建立(202)关联的情况下，具体在短消息服务消息中，向预定设备(120)发送对于用以确认对于访问的所述请求(201)的用户输入的另一请求(205)，所述另一请求(205)包括关于所述另一服务器(130)的所述信息， -在具体在短消息服务消息中接收到对所述另一请求(205)的响应(207)时评估(208)所述请求(201)。
2.根据权利要求1所述的方法，其中所述另一请求(205)包括关于请求的来自所述另一服务器(130)的所述内容的至少一部分的信息，具体为所述内容的预览。
3.根据权利要求1或者2所述的方法，其中所述另一请求(205)与关于请求者的信息、具体为用户名一起被发送。
4.根据权利要求1至3所述的方法，其中所述预定设备(120)根据关于所述请求者的信息、具体为从所述请求(201)确定的客户端设备(110)的标识，从多个预定设备(120)中被选择。
5.根据权利要求1至4所述的方法，其中包括关于所述评估的结果的信息的消息(209)具体在短消息服务消息中，具体从所述服务器(101)向所述客户端设备(110)被发送。
6.根据权利要求1至5所述的方法，其中所述评估的结果被存储、具体被存储(210)在所述客户端设备(110)上的白名单或者黑名单中。
7.根据权利要求1至6所述的方法，其中所述客户端设备(110)与所述另一服务器(130)之间的直接链路(211)仅在所述访问被允许之后才能经由另一数据链路被建立。
8.一种用于评估对于访问来自另一服务器(130)的内容的请求的服务器(101)，可操作用于在具体在短消息服务消息中接收到包括关于所述另一服务器(130)的信息的、对于访问所述另一服务器(130)的所述请求(201)时，执行测试以确定所述访问是被允许还是被拒绝，所述测试包括步骤: -在不能由所述服务器(101)在关于所述另一服务器(130)的信息与关于服务器的预定信息之间建立(202)关联的情况下，具体在短消息服务消息中，向预定设备(120)发送对于用以确认对于访问的所述请求(201)的用户输入的另一请求(205)，所述另一请求(205)包括关于所述另一服务器(130)的所述信息， -在具体在短消息服务消息中接收到对所述另一请求(205)的响应(207)时评估(208)所述请求(201)。
9.根据权利要求8所述的服务器(101)，包括: 接收器(102)，可操作用于具体在短消息服务消息中接收所述请求(201)并且具体在短消息服务消息中接收对所述另一请求(205)的所述响应(207)； 发送器(102)，可操作用于具体在短消息服务消息中向所述预定设备(120)发送所述另一请求(205);以及 处理器(103)，可操作用于在接收到所述请求(201)时从接收的所述请求(201)确定关于所述另一服务器(130)的所述信息，可操作用于执行所述测试，并且可操作用于确定(202)关于所述另一服务器(130)的所述信息与具体在存储装置(104)中存储的关于服务器的预定信息之间的所述关联是否能够被建立，并且用于在接收到对所述另一请求(205)的所述响应(207)时评估(208)所述请求(201)。
10.根据权利要求8至9所述的服务器(101)，包括存储关于多个预定设备的信息的存储装置(104)，其中所述处理器(103)可操作用于从所述多个预定设备选择所述预定设备(120)。
11.根据权利要求8至10所述的服务器(101)，其中所述另一请求(205)包括关于请求的来自所述另一服务器(130)的所述内容的至少一部分的信息、具体为所述内容的预览。
12.根据权利要求8至11所述的服务器(101)，其中所述另一请求(205)与关于请求者的信息一起被发送。
13.根据权利要求8至12所述的服务器(101)，可操作用于具体在短消息服务消息中，具体向所述客户端设备(110)发送包括关于所述评估的结果的信息的消息(209)。
14.一种用于在服务器(101)上评估对于访问另一服务器(130)的请求的计算机程序，其中所述计算机程序在计算机上被执行时使所述计算机执行根据权利要求1所述的方法。
15.一种用于在服务器(101)上评估对于访问另一服务器(130)的请求的计算机程序产品，包括具有计算机可读程序的计算机可用介质，其中所述计算机可读程序在计算机上被执行时使所述计算机执行根据权利要求1所述的方法。
【文档编号】H04L29/06GK104396211SQ201380032555
【公开日】2015年3月4日 申请日期:2013年5月16日 优先权日:2012年6月22日
【发明者】B·弗吉希达帕 申请人:阿尔卡特朗讯