专利名称:通信控制装置的制作方法
技术领域:
本发明涉及通信控制技术,特别涉及对非法或者不适当的网页的访 问进行制止的通信控制装置及通信控制系统。
背景技术:
io 在互联网的基础设施得以完善,便携式电话终端、个人电脑、VoIP
(Voice over internet Protocal:基于internet协i义的i吾音)电i舌终端等通4言 终端得到广泛普及的今天,互联网的用户正在暴增。在这种状况下,计 算机病毒、黑客(八:y年乂y)、垃圾邮件等与安全有关的问题变得明显 化,需要有对通信进行适当控制的技术。 15 虽然使用因特网易于对大量的信息进行访问,但是有害信息泛滥也
是事实,处于一种来不及对有害信息的出处进行限制的状态。为了对谁 都可以安心且有效地使用因特网的环境进行整顿,需要有对有害的内容 的访问进行适当控制的技术。
例如,准备好允许访问的网站名单、禁止访问的网站名单、禁止语 20关键词、有用语关键词等的数据库,当通过因特网对外部信息进行访问 时,参照这些数据库来控制访问,这样的技术已经被提出了 (例如,参 照专利文献1 )。
专利文献l:特开2001-28797号公才艮
25
发明内容
发明所要解决的课题
除了对有害内容进行访问控制以外,近年来又有了对网络钓鱼 (phishing)诈骗进行应对的需求。网络钓鱼诈骗,是将粘贴有向伪装成 真实的银行、信用卡公司、购物网站等陷阱网站的链接的电子邮件发送 30 给用户,通过该链接将用户引向陷阱网站,在该陷阱网站中使用户输入
其信用卡号或者口令等,试图非法获取信息。尽管近年来网络钓鱼诈骗 的损失在激增,但是还处于不能说是采取了足够的对策的状态。
将装入有病毒或者间谍软件(々工7 )等的文件作为附件, 或者将含有对脆弱性进行攻击的编码的HTML电子邮件发送给用户的场 5 合,如果用户的终端装有抗病毒软件,则该抗病毒软件可以检测并排除 病毒。但是,网络钓鱼诈骗中使用的是表面看起来完全正常的电子邮件, 抗病毒软件不能对其进行;险测和排除。而且,网络钓鱼诈骗的电子邮件, 在大多数情况下,诈称送信人栏(From),特别是没有经验的使用者很容 易相信送信人栏中记载的实在的银行名等而落入陷阱。 10 从链接跳转到的网站也是单纯的网页,没有抗病毒软件能够检测的
"恶意攻击编码"。利用URL所使用的特歹未格式,呈现出宛如链接到了 真正的域(K7,y),或将弹出窗口的网址栏进行隐藏等,利用非常巧 妙的手法的事例正在增加,"上钩,,的受害者接连出现。而且,通过 JavaScript (注册商标)对网址栏进行伪装等更巧妙的手法也开发出来了 , 15 仅仅向用户通告、警告无法制止损失的增加。
当务之急是开发出一种不依赖用户自身的注意、可以可靠地制止对 网络钓鱼诈骗的网站进行访问的技术。
本发明是鉴于这样的状况而提出的,其目的在于提供一种可以提高 对内容进行访问的安全性的技术。
20
用于解决课题的方法
技术领域:
本发明的一个方面涉及通信控制装置。该通信控制装置包括保 持部,保持应该限制访问的网页地址的名单;4妄收部,通过网络接收 用于请求对内容进行访问的通信数据;比较部,对所述通信数据中包 25 含的所述内容的地址与所述名单中包含的所述应该限制访问的网页的 地址进行比较;访问控制部,当所述内容的地址与所述应该限制访问 的网页的地址一致时禁止对该内容进行访问,所述接收部接收的通信 数据由所述比较部和所述访问控制部处理而无需判定是否要进行访问 控制。
30 所述应该限制访问的网页可以是假装成正规的网站并具有使用户
输入信息的界面的网络钓鱼诈骗网站的网页。
所述接收部可以进一步接收向所述访问请求源发送的通信数据, 所述比较部可以对所述通信数据中包含的内容的地址与所述名单中包 含的应该限制访问的网页的地址进4亍比较,所述访问控制部当所述内 5 容的地址与所述应该限制访问的网页的地址一致时可以禁止向所述请 求源发送该通信数据。
所述接收部可以是在与手机终端之间通过无线通信发送接收信号 的天线。
另外,作为本发明的实施方式,以上构成要素的任意组合、以及 10 将本发明的描述在方法、装置、系统、记录介质、计算机程序等之间 进行变换的方式也是有效的。
发明的效果
根据本发明,提供一种可以提高对内容进行访问的安全性的技术。
1
图l是表示前提技术涉及的通信控制系统的构成的图。
图2是表示现有的通信控制装置的构成的图。
图3是表示前提技术涉及的通信控制装置的构成的图。
20 图4是表示数据包处理电路的内部构成的图。
图5是表示位置检测电路的内部构成的图。 图6是表示第一数据库的内部数据的例子的图。 图7是表示第一数据库的内部数据的另一个例子的图。 图8是表示第一数据库的内部数据的又一个例子的图。
25 图9是表示对分检索电路所含的比较电路的构成的图。
图IO是表示第二数据库的内部数据的例子的图。 图ll是表示第二数据库的内部数据的另一个例子的图。 图12是表示前提技术涉及的通信控制装置的另 一个构成例子的图。 图13是表示用于URL过滤的数据包处理电路的内部构成的图。
30 图14 (a)是表示病毒/网络钓鱼网站名单的内部数据的例子的图,
图14 (b)是表示白名单的内部数据的例子的图,图14 (c)是表示黑名
单的内部数据的例子的图。
图15是表示公共类别名单的内部数据的例子的图。
图16(a)、 (b)、 (c)、 (d)是表示第二数据库的内部数据的例子的5图。
图17是表示病毒/网络钓鱼网站名单、白名单、黑名单以及7>共类别 名单的优先顺序的图。
图18是表示实施方式涉及的通信控制系统的配置例子的图。 图19是表示实施方式涉及的通信控制系统的配置例子的图。 io 图20是表示实施方式涉及的通信控制系统的配置例子的图。
图21是表示实施方式涉及的通信控制系统的配置例子的图。 图22是表示实施方式涉及的通信控制系统的配置例子的图。 图23是表示实施方式涉及的通信控制系统的配置例子的图。 符号说明
15 10通信控制装置、12通信控制单元、14切换控制部、20数据包
处理电路、30检索电路、32位置检测电路、33比较电路、34索引电、 35比较电路、36对分^r索电路、40处理执行电路、50第一数据库、 60第二数据库、100通信控制系统、110运行监视服务器、120连接管 理服务器、130信息输出服务器、140日志管理服务器、150数据库服
20务器、160URL数据库,161病毒/网络钓鱼网站名单、162白名单、163 黑名单、164公共类别名单、220病毒/网络钓鱼网站名单提供服务器、 260便携式电话终端、262基站装置、264控制站装置、272接入点、 274、 282、 284路由器装置。
2具体实施方式
(前提技术)
首先,作为前提技术,对数据处理装置的一个例子的通信控制装置 及其外围装置的构成和动作概要进行说明,而且,对使用通信控制装置 的URL过滤技术进行说明,然后,作为实施方式,对运用多个通信控制 30 装置的技术进行说明。
图1示出了前提^t术涉及的通信控制系统的构成。通信控制系统100 包括通信控制装置10和为支援通信控制装置10的动作而设置的各种外 围装置。前提技术的通信控制装置10实现由因特网服务提供商等提供的 URL过滤功能。设置在网络路径上的通信控制装置10,取得对内容的访 5 问请求,对其内容进行分析,判断对该内容的访问是否许可。当对内容 的访问被许可时,通信控制装置IO将该访问请求发送给保持有该内容的 服务器。当对内容的访问被禁止时,通信控制装置IO将废弃该访问请求, 并对请求源返回警告信息等。在前提技术中,通信控制装置10接收HTTP (HyperText Transfer Protocol:超级文本传输协i义)的"GET"请求信息
基准数据的名单相一致进行检索,判断对内容的访问是否许可。
外围装置包括运行监视服务器110、连接管理服务器120、信息输 出服务器130、日志管理服务器140和数据库服务器150。连接管理服务 器120管理对通信控制装置10的连接。连接管理服务器120例如当通信
15 控制装置IO对由便携式电话终端送出的数椐包进行处理时,使用唯一识 别数据包中所含的便携式电话终端的信息来对通信控制装置10的用户进 行认证。 一旦被认证,则从暂时交付给该便携式电话终端的IP地址送出 的数据包,在一定的期间内无需通过连接管理服务器120认证而发送到 通信控制装置10进行处理。信息输出服务器130按照由通信控制装置10
20 判定的访问是否许可的结果,对访问的请求目标或者请求源输出信息。 曰志管理力良务器140管理通信控制装置10的运行履历。数据库服务器150 从URL数据库获取最新的数据库,并将其输入到通信控制装置10。为了 在不停止通信控制装置10的情况下更新数据库,通信控制装置10可以 有备份用的数据库。运行监视服务器UO对通信控制装置10、连接管理
25 服务器120、信息输出服务器130、日志管理服务器140和数据库服务器 150等外围装置的运行状况进行监视。运行监视服务器110在通信控制系 统100中优先级最高,并对通信控制装置IO及全部的外围装置进行监视 控制。通信控制装置IO如下面所述由专用的硬件电路构成,而运行监视 服务器110使用本申请人的专利第3041340号等技术,通过利用边界扫
30 描电路在与通信控制装置10等之间对用于监视的数据进行输入输出,从
而即使在通信控制装置IO的运行中,也可以对运行状况进行监牙见。
前提技术的通信控制系统100,如以下所述,由在外围连接的具有各
种功能的服务器群对为实现高速化而以专用硬件电路构成的通信控制装
置10进行控制,由此,通过适当替换服务器群的软件,可以由同样的构
5 成实现各种功能。根据前提技术,可以提供这种柔性高的通信控制系统。
图2示出了现有的通信控制装置1的构成。现有的通信控制装置1 包括接收侧的通信控制部2、数据包处理部3、和发送侧的通信控制部 4。通信控制部2及4分别包括PHY处理部5a及5b,进行数据包的物 理层的处理;MAC处理部6a及6b,进行数据包的MAC层的处理。数 io 据包处理部3包括IP处理部7,进行IP (Internet Protocal: IP协议)的 协议处理;TCP处理部8等,进行TCP (Transport Control Protocal:传 送控制协议)的协议处理;协议处理部,进行与协议对应的处理;AP处 理部9,进行应用层的处理。AP处理部9根据数据包中包含的数据,执 行过滤等处理。
15 在现有的通信控制装置1中,数据包处理部3是利用作为通用处理器的CPU和在CPU上运行的OS,通过软件来实现的。但是,在这种构 成中,通信控制装置1的性能将依赖于CPU的性能,想要实现能够高速 地对大容量的数据包进行处理的通信控制装置,自然存在限制。例如, 如果是64位的CPU, 一次同时能够处理的数据量最大是64位,具有在
20 此以上性能的通信装置不存在。而且,由于将具有通用功能的OS的存在 作为前提,因此存在安全漏洞等的可能性不是绝对没有的,OS的升级等 的维护作业是必要的。
图3示出了前提技术的通信控制装置的构成。通信控制装置10包括 由布线逻辑电路的专用硬件构成的数据包处理电路20,以取代图2所示
25 的现有通信控制装置1中由包含CPU及OS的软件实现的数据包处理部 3。不是通过在作为通用处理电路的CPU中运行的OS和软件来处理通信 数据,而是设置对通信数据进行处理的专用硬件电路,由此能够克服由 CPU和OS等造成的性能限制,实现高处理能力的通信控制装置。
例如,在为了执4亍数据包过滤等而检索数据包所含的数据中是否含
30 有作为过滤判断基准的基准数据的情况下,使用CPU对通信数据和基准
8
数据进行比较时, 一次最多只能比较64位,所以存在的问题是,即使想 提高处理速度也将受到CPU性能的限制。由于在CPU中必须无数次重 复进行以下处理,即,从通信数据将64位读入到存储器,将其与基准数 据进行比较,接着再把下一64位读入到存储器,因此读入到存储器的时 5间将制约速度,处理速度存在界限。
相反,在前提技术中,设置了由布线逻辑电路构成的专用硬件电路, 以对通信数据和基准数据进行比较。该电路包括并列设置的多个比较器, 以能够对比64位长的数据长定度,例如1024位的数据长定度进行比较。 这样,通过设置有专用的硬件可以同时并行执行许多的位匹配。可以从
io 现有的使用CPU的通信控制装置1 一次只能处理64位提高到一次可以 处理1024位,可以飞跃地提高处理速度。虽然增多比较器的数量也能够 提高处理能力,但是成本和尺寸也会增大,因此可以在考虑预期的处理 性能和成本、尺寸等条件下,设计最适当的硬件电路。专用的硬件电路 可以使用FPGA (Field Programmable Gate Array:现场可编程门阵列)等
15 实现。
此外,由于前提技术的通信控制装置IO是由布线逻辑电路形成的专 用硬件构成的,因此不需要OS (Operating System:操作系统)。为此, 不需要OS的安装、故障应对、升级等作业,从而可以减少用于管理和维 护的费用和工时。此外,与要求具有通用功能的CPU不同,由于不包含
20 不必要的功能,因此没有使用多余的资源,低成本化、电路面积的减少、 处理速度的提高是可以期待的。而且,与使用OS的现有通信控制装置不 同,由于没有多余的功能,因此降^f氐了安全漏洞等发生的可能性,对于 通过网络来自恶意第三者的攻击具有优秀的抵抗性。
现有的通信控制装置1通过以CPU和OS为前提的软件对数据包进
25 行处理,在接收了数据包的所有数据后再进行协议处理,将数据交给应 用程序。相反,在本前提技术的通信控制装置10中,由于使用专用的硬 件电路进行处理,没有必要在接收了数据包的所有数据后开始处理,如 果接收到处理所需的数据,则不用等待接收后续的数据就可以在任何时 候开始处理。例如,在后述的位置检测电路中进行的位置检测处理,可
30以在接收到用于确定比较对象数据位置的位置确定数据时开始。这样,
此能够缩短处理数据包的数据所需的时间。
图4示出了数据包处理电路的内部构成。数据包处理电路20包括 第一数据库50,存储基准数据,所述基准数据作为用于决定对通信数 5 据执行的处理内容的基准;检索电路30,通过比较通信数据和基准数 据对接收的通信数据中是否含有基准数据进行检索;第二数据库60, 将检索电路30的检索结果和对通信数据执行处理的内容进行关联对 应存储;处理执行电路40,基于检索电路30的检索结果和第二数据 库60所存储的条件对通信数据进行处理。
io 检索电路30包括位置检测电路32,从通信数据中检测应与基准数
据进行比较的比较对象数据的位置;作为判定电路一个例子的索引电路 34,当把所述第一数据库50所存储的基准数据分成3个以上的范围时, 判定比较对象数据属于这些范围中的哪一个;对分检索电路36,在判定 的范围中,检索与比较对象数据一致的基准数据。作为从基准数据中检
15索比较对象数据的方法,可以使用任意的检索技术,但在前提技术中使 用的是对分检索法。
图5示出了位置检测电路的内部构成。位置检测电路32包括多个 比较电路33a 33f,用于对确定比较对象数据位置的位置确定数据和通信 数据进行比较。在此,设置有6个比较电路33a 33f,但如后所述,比较
20电路的个数可以是任意的。通信数据以每错开(f b LT )预定的数据 长定例如1字节输入到各比较电路33a 33f中。然后,在这些多个比较电 路33a 33f中,同时并列进行应检测的位置确定数据和通信数据的比较。 在前提技术中,将进行以下处理时的情况作为用于说明通信控制装 置10动作的例子进行说明,即,检测通信数据中包含的"No.# # #"
25的字符串,将该字符串中包含的数字"###"与基准数据进行比较, 与基准数据一致时允许数据包通过,不一致时将数据包废弃。
在图5的例子中,为了从通信数据中检测用于确定数字"###" 位置的位置确定数据"No.",将通信数据"OlNo. 361..."每错开l个字 符输入到比较电路33a 33f中。即,比较电路33a中输入"01N",比较
30电路33b中输入"lNo",比较电路33c中输入"No.",比较电路33d中
输入"o.,,,比较电路中33e输入".3",比较电路33f中输入"36"。 在此,比较电路33a 33f同时执行与位置确定数据"No."的比较。由此, 比较电路33c匹配,从而检测出在通信数据的最前头开始第3个字符处 存在"No."的字符串。这样,在由位置检测电路32检测出的位置确定 数据"No."之后,将检测出存在作为比较对象数据的数字数据。
如果由CPU进行同样的处理,则首先将字符串"01N"与"No."进 行比较,然后将字符串"lNo"与"No."进行比较,由于必须从最前头 开始依次逐一执行比较处理,因此无法期待提高检测速度。相反,在前 提技术的通信控制装置10中,通过并列设置多个比较电路33a 33f,使
得CPU中无法实现的同时并列的比较处理成为可能,可以极大地提高处 理速度。虽然比较电路越多能够同时比较的位置就越多,检测速度也将 提高,但是在考虑到成本和尺寸等条件下,设置获得所需检测速度的足 够数量的比较电路就可以了 。
位置检测电路32不只用于检测位置确定数据,也可以用作检测通用的字符串的电路。此外,不4又可以检测字符串,而且还可以检测以位为 单位的置确定数据。
图6示出了第一数据库的内部数据的例子。作为用于决定数据包的 过滤、路径选择、交换、置换等处理内容基准的基准数据,按照某种分 类条件进行分类并贮存在第一数据库50中。在6的例子中,存储有1000
个基准数据。
在第 一数据库50的最前面的纪录中,贮存有表示通信数据中的比较 对象数据位置的偏移51。例如,在TCP数据包中,由于数据包内的数据 结构以位为单位确定,因此如果将用于决定数据包的处理内容的标记信 息等位置作为偏移51设定,则可以只比较必要的位来决定处理内容,从
而可以提高处理效率。此外,即使在数据包的数据结构变更的情况下, 也可以通过变更偏移51来进行对应。在第一数据库50中,也可以贮存 比较对象数据的数据长定。由此,可以只使必要的比较器动作来进行比 较,从而可以提高检索效率。
索引电路34,在将第一数据库50贮存的基准数据分成3个以上的范
围52a 52d时,判定比较对象数据属于这些范围中的哪一个。在图6的
例子中,1000个基准数据被以每250个分成4个范围52a 52d。索引电 路34包括对范围的边界的基准数据与对象数据进行比较的多个比较电路 35a 35c。通过比较电路35a 35c对比较对象数据与边界的基准数据同时 并列进行比较,从而用一次比较处理就可以判定比较对象数据属于哪个 5 范围。
输入到索引电路34的比较电路35a 35c中的边界基准数据,可以通 过通信控制装置IO外部所设置的装置来设定,也可以事先自动地输入第 一数据库50预定位置的基准数据。在后一种情况下,即使更新第一数据 库50,也可以自动地将第一数据库50预定位置的基准数据输入到比较电
io 路35a 35c中,因此无需进行初始设定就能立即执行通信控制处理。
如上所述,在由CPU执行对分检索的场合,不能同时执行多个比较, 而在前提技术的通信控制装置10中,通过并列设置有多个比较电路 35a 35c,可以同时并列进行比较处理,从而极大地提高了检索速度。 当由索引电路34判定了范围时,对分检索电路36以对分检索法执
15 行检索。对分检索电路36将由索引电路34判定的范围进一步分成2个, 通过对位于该边界位置的基准数据和比较对象数据进行比较,来判定属 于哪个范围。对分检索电路36包括以位为单位对基准数据和比较对象数 据进行比较的多个比较电路,例如在前提技术中包括1024个,同时执行 1024位的位匹配。当判定了属于被分成2个的范围中的哪一个时,进一
20 步将该范围分成2个并读出位于边界位置的基准数据,将其与对象数据 进行比较。之后,通过重复该处理来进一步限定范围,最后检索出与比 较对象数据一致的基准数据。
使用上述的例子进一步对动作进行详细说明。在图5所示的通信数 据中,位置确定数据"No."之后的比较对象数据是数字"361"。由于
25 在确定数据"No."与比较对象数据"361"之间存在一个字符的空格, 因此为了从比较对象数据中除去该空格,偏移51被设定为"8"位。对 分检索电路36从位置确定数据"No.,,之后的通信数据中跳过"8"位, 即1个字节,将之后的"361"作为比较对象数据读入。
在索引电路34的比较电路35a 35c中,输入"361"作为比较对象
30 数据,作为基准数据,在比较电路35a中输入位于范围52a和52b边界
的基准数据"378",在比较电路35b中输入位于范围52b和52c边界的 基准数据"704",在比较电路35c中输入位于范围52c和52d边界的基 准数据"937"。由比较电路35a 35c同时进行比较,判定出比较对象数 据"361"属于范围52a。之后,对分检索电路36将检索基准数据中是否 5 存在比较对象数据"361"。
图7示出了第一数据库内部数据的另一个例子。在图7的例子中, 基准数据的数据个数少于第一数据库50所能够保持的数据数1000个。 此时,在第一数据库50中,从最后数据位置开始降序贮存基准数据。然 后,将剩余的数据中贮存O。作为数据库的加载方法,不是从最前面配置
io 数据而是从加载区域的后方配置,当加载区域的开头产生空位时,对所 有的空位进行清零,由此使数据库一直处于满的状态,从而可以使对分 检索时的最大时间恒定。此外,当对分检索电路36在检索中读入"0" 作为基准数据时,由于比较结果是明显的,因此可以不进行比较而确定 范围,并转到下一比较。由此,可以提高检索速度。
15 在基于CPU的软件处理中,在将基准数据贮存到第 一数据库50时,
从最初的数据位置升序贮存基准数据。在剩余的数据中例如贮存最大值, 在这种情况下,在对分检索中不可能省略上述的比较处理。上述的比较 技术通过由专用的硬件电路构成检索电路30来实现。
图8示出了第一数据库内部数据的又一个例子。在图8的例子中,
20 不是把基准数据均等地分成3个以上的范围,而是范围所属的基准数据 的个数是不均等的,例如范围52a为500个,范围52b为100个。这些 范围可以根据通信数据中的基准数据的出现频度的分布来进行设定。也 就是说,可以对范围进行设定以使各范围所属的基准数据的出现频度的 和大致相同。由此,可以提高检索效率。输入到索引电路34的比较电路
25 35a 35c中的基准凝:据,也可以从外部进行变更。由此,能够动态地设定 范围,从而可以使检索效率最佳化。
图9示出了对分检索电路中包含的比较电路的构成。如上所述,对 分检索电路36包括1024个比较电路36a、 36b、…、。在各个比较电路 36a、 36b.....中,基准数据54和比较对象数据56被每1位地输入,
30 并比较其大小。索引电路34的各比较电路35a 35c的内部构成也是同样
的。这样,通过以专用的硬件电路执行比较处理,可以使多个比较电路 并行动作,同时对多位进行比较,从而可以使比较处理高速化。
图10示出了第二数据库内部数据的例子。第二数据库60包括贮存 检索电路30的检索结果的检索结果栏62、以及贮存对通信数据执行的处 5 理内容的处理内容栏64,并对检索结果和处理内容进行关联对应保持。 在图IO的例子中设定如下条件当通信数据中包含基准数据时,允许该 数据包通过;当不包含基准数据时,将该数据包废弃。处理执4亍电路40 根据检索结果从第二数据库60检索处理内容,对通信数据执行处理。处 理执行电路40也可以由布线逻辑电路来实现。
io 图11示出了第二邀:据库内部婆:据的另一个例子。在图ll的例子中,
对每个基准数据设定处理内容。当进行数据包的置换时,可以将待置换 的数据贮存到第二数据库60中。在进行数据包的路径选择或者交换时, 可以将与路经有关的信息贮存到第二数据库60中。处理执行电路40根 据检索电路30的检索结果,执行第二数据库60中J3^存的过滤、路径选
15 择、交换、置换等处理。如图11所示,当对每个基准数据设定处理内容 时,可以对第一数据库50和第二数据库60进行综合。
第一数据库及第二数据库被设置为可以从外部进行重写。通过对这 些数据库进行替换,可以使用相同的通信控制装置10实现各种各样的数 据处理或者通信控制。此外,也可以设置2个以上l&存作为检索对象的
20 基准数据的数据库,来进行多阶段的检索处理。此时,也可以设置2个 以上关联对应贮存了检索结果和处理内容的数据库,来实现更复杂的条 件分支。这样,当设置多个数据库进行多阶段的检索时,也可以设置多 个位置检测电路32、索引电路34、对分检索电路36等。
上述用于比较的数据,可以用同样的压缩逻辑进行压缩。在进行比
25 较时,如果比较源数据与比较目标数据用同样的方式压缩,则可以与通 常一样进行比较。由此,比较时可以减少载入的数据量。如果载入的数 据量变少,则从存储器读出数据所需的时间就会缩短,全部的处理时间 也可以缩短。此外,由于可以削减比较器的数量,从而有助于装置的小 型化、轻型化、低成本化。用于比较的数据可以用压缩的形式贮存,也
30 可以从存储器读出后,在比较之前进行压缩。
图12示出了前提技术的通信控制装置的另外的构成例子。本图所示 的通信控制装置10包括2个具有与图3所示的通信控制装置10同样构 成的通信控制单元12。此外,设有对各通信控制单元12的动作进4亍控制 的切换控制部14。各通信控制单元12包括2个输入输出接口 16,通过 5 各输入输出接口 16连接到上游侧和下游侧2个网络上。通信控制单元12 从任一个网络输入通信数据,将处理后的数据输出到另一个网络。切换 控制部14通过切换各通信控制单元12设置的输入输出接口 16的输入输 出,对通信控制单元12中的通信数据的流向进行切换。由此,不仅可以 进^f亍单向的通信控制,而且还可以进^f亍双向的通信控制。 10 切换控制部14也可以进行控制以4吏通信控制单元12的一方处理入
站的数据包、另一方处理出站的数据包,也可以进行控制以使双方都处 理出站的数据包。由此,例如根据业务量的状况或者目的等,可以使进 4亍控制的通j言方向变4匕。
切换控制部14也可以通过获取各通信控制单元12的动作状况,根 15 据其动作状况对通信控制的方向进行切换。例如,在使一方的通信控制 单元12处于待机状态,而使另一方的通信控制单元12动作的情况下, 当检测到该通信控制单元12由于故障等原因停止时,可以使待机中的通 信控制单元12动作以作为替代。由此,可以提高通信控制装置10的容 错度。此外,当对一方的通信控制单元12进行数据库的更新等维护时, 20 也可以使另一方通信控制单元12动作以作为替代。由此,在不停止通信 控制装置IO运行的情况下,能够适当地进^f亍维护。
在通信控制装置10中也可以设置3个以上的通信控制单元12。切换 控制部14例如可以获取业务量的状况,并对各通信控制单元12的通信 方向进行控制,以便将更多的通信控制单元12分配给通信量多的方向的 25通信控制处理。由此,即使某个方向的通信量增加,也可以将通信速度 的降低限制到最小。
另外,在多个通信控制单元12之间可以共用通信控制部2或者4的 一部分。此外,数据包处理电路20的一部分也可以共用。 可以考虑以下的方式作为上述的数据处理装置。
30 [方式1]
一种数据处理装置,其特征在于,包括
第一存储部,存储基准数据,以作为决定对获取的数据执行的处 理的内容的基准;
检索部,通过对所述数据和所述基准数据进行比较,检索所述数 5 据中是否包含所述基准数据;
第二存储部,将所述检索部的检索结果与所述处理的内容进行关 联对应并存储;
处理部,根据所述检索结果,对所述数据执行与所述检索结果关 联对应的处理, io 所述检索部由布线逻辑电路构成。 [方式2]
在上述方式1的数据处理装置中,所述布线逻辑电路包括多个第 一比较电路,以位为单位对所述数据和所述基准数据进行比较。 [方式3]
15 在上述方式1的数据处理装置中,所述检索部包括位置检测电路,
从所述数据中检测应与所述基准数据进行比较的比较对象数据的位置。 [方式4]
在上述方式3的数据处理装置中,所述位置检测电路包括对所述 数据和用于确定所述比较对象数据位置的位置确定数据进行比较的多个 20 第二比较电路,所述数据每错开预定数据长度的位输入到所述多个第二 比较电路,并与所述位置确定数据同时并列进行比较。 [方式5]
在上述方式1至方式2任一项的数据处理装置中,所述检索部包 括对分检索电路,通过对分检索对所述数据中是否包含所述基准数据 25 进行检索。
在上述方式5的数据处理装置中,所述基准数据的数据数比所述第 一存储部所能保持的数据数少时,从所述第 一存储部的最后数据位置开 始降序贮存所述基准数据,并将0贮存到剩余的数据中。
30 [方式7]
在上述方式1至方式6任一项的数据处理装置中,所述检索部包 括判定电路,当所述第一存储部所存储的多个基准数据分成3个以上
的范围时,判定所述基准数据和应进行比较的对象数据属于这些范围中 的哪一个。
5 [方式8]
在上述方式7的数据处理装置中,所述判定电路包括对所述范 围的边界的基准数据和所述比较对象数据进行比较的多个第三比较电 路,由所述多个第三比较电路同时并列对所述比较对象数据属于所述 3个以上范围中的哪 一 个进行判定。 io [方式9]
在上述方式8的数据处理装置中,所述第一存储部的预定位置存 储的所述基准数据输入到所述第三比较电路,以作为所述边界的基准 数据。
在上述方式1至方式IO任一项的数据处理装置中,所述第一存储 部还存储有表示所述数据中的比较对象数据位置的信息,所述检索部
20 基于表示所述位置的信息提取所述比较对象数据。
在上述方式1至方式11任一项的数据处理装置中,所述第一存储 部或者所述第二存储部被设置为能够从外部进行重写。 [方式13]
25 在上述方式1至方式12任一项的数据处理装置中,所述检索部不
待获取通信数据包的所有数据,而是在获取了应与所述基准数据进行 比较的数据时,开始对该数据和所述基准数据进行比较。
一种数据处理装置,其特征在于,包括多个上述方式1至13 30 任一项的数据处理装置,各所述数据处理装置包括2个在与通信线路
之间输入输出数据的接口,通过切换各所述接口的输入和输出,对处 理所述数据的方向进行可变控制。 (实施方式)
接下来,对使用上述通信控制装置10的URL过滤技术进行i兌明。 5 在实施方式中,提出了一种有效地禁止访问网络钓鱼网站、病毒网站 等劣质网站的技术。另外,提出了一种利用这种访问控制技术来构建 用户安心并享受网络服务的通信系统的技术。
图13示出了用于URL过滤的数据包处理电路20的内部构成。数 据包处理电路20,作为第一数据库50,包括病毒/网络钓鱼网站名单
io 161、白名单162、黑名单163以及公共类别名单164。当通信控制装置 IO获取了对内容进行访问的请求时,将内容的URL与病毒/网络钓鱼 网站名单161、白名单162、黑名单163、以及共通分类名单164进行 对照,以判断是否允许对内容进行访问。
病毒/网络钓鱼网站名单161贮存包含计算机病毒的内容的URL名
15 单、和网络钓鱼诈骗中使用的"陷阱"网站的URL名单。对ji&存在病毒 /网络钓鱼网站名单161中的URL的内容的访问请求将被拒绝。这样,即 使在用户不注意或者被骗时想要访问病毒网站或者网络钓鱼网站的情况 下,也可以适当地禁止访问,保护用户免受病毒网站或者网络钓鱼诈骗 所害。此外,由于不是在用户终端中贮存病毒或网络钓鱼网站名单由终
20 端侧进行访问限制,而是由设置在通信路径上的通信控制装置IO集中进 行访问限制,从而能够可靠且高效地进行访问限制。通信控制装置10可 以获取并保持由认证机关证明为不是病毒或者网络钓鱼网站而是正当网 站的认证后的网站名单,从而许可对该名单中5&存的URL进行访问。此 夕卜,当正当的网站被黑客等攻陷、被嵌入病毒、被用于网络钓鱼诈骗等
25 事态发生时,正当网站的运营者等可以将^C攻陷的网站的URL登记到病 毒/网络钓鱼网站名单161中,在网站恢复到正常的状态前,暂时禁止访 问。此外,可以将IP号、TCP号、MAC地址等信息与URL的名单组合 并进行检查。由此,可以设定更高精度的检索条件,从而能够更可靠地 对病毒或者网络钓鱼网站进行过滤。
30 白名单162贮存许可访问的内容的URL名单。黑名单163 j^存禁止
访问的内容的URL名单。图14 (a)示出了病毒/网络钓鱼网站名单161 的内部数据的例子,图14(b)示出了白名单162的内部数据的例子,图 14 (c)示出了黑名单163的内部数据的例子。在病毒/网络钓鱼网站名单 161、白名单162、黑名单163中分别设置有类别号栏165、 URL栏166、 5 以及标题栏167。在URL栏166中贮存有访问被许可或;故禁止的内容的 URL。在类别号栏165中贮存有内容的类别号。在标题栏167中贮存有 内容的标题。
公共类别名单164贮存有用于将以URL表示的内容分为多个类别的 名单。图15示出了公共类别名单164的内部数据的例子。在公共类别名
io 单164中也设置有类别号栏165、 URL栏166、以及标题栏167。
通信控制装置10提取"GET"请求信息等中包含的URL,由检索电 路30对该URL是否包含在病毒/网络钓鱼网站名单161、白名单162、黑 名单163或者公共类别名单164之中进行检索。此时,例如,也可以由 位置检测电路32检测"http:〃"的字符串,提取该字符串之后的数据串
15 作为对象数据。提取的URL通过索引电路34及对分检索电路36与病毒 /网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164 的基准数据进行匹配。
图16 (a)、 (b)、 (c)及(d)示出了用于URL过滤的第二数据库 60的内部数据的例子。图16 (a)示出了对病毒/网络钓鱼网站名单161
20 的检索结果和处理内容。当"GET"请求等中包含的URL与病毒/网络钓 鱼网站名单161中包含的URL—致时,禁止对该URL的访问。图16(b) 示出了对白名单162的检索结果和处理内容。当"GET"请求等中包含 的URL与白名单162中包含的URL—致时,许可对该URL的访问。图 16 (c)示出了对黑名单163的检索结果和处理内容。当"GET"请求等
25 中包含的URL与黑名单163中包含的URL —致时,禁止对该URL的访 问。
图16(d)示出了对公共类别名单164的检索结果和处理内容。如图 16(d)所示,对于对公共类别名单164的检索结果,可以对该类别所属 的内容的访问是许可还是禁止分别进行设定。在与公共类别名单164有 30 关的第二数据库60中i殳置有类别栏169。在类别栏169中,对于4皮分为
57种的各个类别,贮存有表示用户对类别所属内容的访问是许可还是禁 止的信息。当"GET"请求等中包含的URL与公共类别名单164中包含 的URL—致时,根据该URL的类别,判断对该URL的访问是否许可。 此外,在图16 (d)中,公共类别的数量是57,但也可以是其他数量。 5 图17示出了病毒/网络钓鱼网站名单161、白名单162、黑名单163
以及公共类别名单164的优先级。在实施方式中,按照病毒/网络钓鱼网 站名单161、白名单162、黑名单163、公共类别名单164的顺序优先级 变高,例如,即使是白名单162中贮存的访问被许可的内容的URL,如 果该URL贮存在病毒/网络钓鱼网站名单161中,则也将作为含有计算机 io病毒的内容或者用于网络钓鱼诈骗的内容而被禁止访问。
以往,当使用软件来进^f亍考虑了这样的优先级的匹配时,例如,可 以采用以下方法之一从优先级高的名单开始依次进行匹配并采用最初
覆盖。但是,在前提技术中,通过使用由专用的硬件电路构成的通信控 15 制装置10,并设置有进行病毒/网络钓鱼网站名单161匹配的检索电路 30a、进行白名单162匹配的检索电路30b、进行黑名单163匹配的检索 电路30c、进行公共类别名单164匹配的检索电路30d,在各检索电路30 中同时并行进行匹配。其次,在多个名单中命中时,采用优先级最高的。 由此,即使在设有多个数据库,对其设定了优先级的情况下,也可以大 20 幅度缩短检索时间。
对病毒/网络钓鱼网站名单161、白名单162、黑名单163以及/〉共类 别名单164的哪个优先进行访问是否许可的判断,例如也可以在第二数 据库60中设定。才艮据哪个名单设定为优先,可以对第二数据库60的条 件进行修改。
25 这样,当使用多个数据库进行基于URL的过滤时,可以对数据库设
定优先级并进行与优先级对应的过滤处理,而且,通过将病毒/网络钓鱼 网站名单161的过滤设定为最优先,不管用户对白名单162等的设定状 况如何,能够可靠地禁止对病毒网站或者网络钓鱼网站的访问。由此, 可以适当地保护用户免受病毒或者网络钓鱼诈骗所害。
30 当对内容的访问被许可时,处理执行电路40向信息输出服务器130
输出用于通知该旨意的信号。信息输出服务器130向保持有该内容的服 务器发送"GET"请求信息。当对内容的访问被禁止时,处理执行电路 40向信息输出服务器130输出用于通知该旨意的信号,信息输出服务器 130不向访问目标的服务器发送"GET"请求信息而是将其废弃。此时, 5 也可以将访问被禁止的响应信息发送给请求源。此外,也可以强制地转 送到其他网页。这时,处理执行电路40将目的地址和URL更换为转送 目的地的目的地址和URL发送。响应信息和转送目的地的URL等信息 也可以贮存在第二数据库60或者信息输出服务器130等中。
信息输出服务器130也可以使用ping命令等来确认实际存在请求源,
io 并且当存在时对其状态进行确认,然后对请求源输出信息。从信息输出 服务器130向请求源发送的信息也可以按每个访问目标的内容、按每个 类别、或者按每个白名单162或黑名单163等的数据库进行设定。例如, 在访问^皮禁止时,可以对显示的画面按每个类别进行定制并登记到信息 输出服务器130。此外,如上所述,正当的网站被黑客攻击并且暂时限制
15 访问时,可以输出告知用户正规网站暂时不能阅览的信息、或向正当网 站的镇Z象网站引导的信息。
信息输出服务器130可以管理信息的送出履历,并可以将该信息送 出履历信息用于各种控制。例如,当从相同的请求源在短时间内发出多 次访问请求时,由于有可能是服务妨碍攻击(Denial of Service attack:
20 Dos攻击)等,因而可以将该请求源登记到访问拒绝名单中,截断来 自该请求源的数据包而不将其向请求目的地发送。另外,可以对信息 送出履历进行统计处理,并将其提供给WEB网站的管理者等。由此, 用户的访问履历可以用于市场营销或者或用于通信状况的控制等。此 夕卜,可以才艮据状况减少信息送出的次数、相反,也可以增加。例如,
25 从特定的IP号码发出访问请求时,对其一条请求信息,可以发送多倍 的信息。
通过以上的构成及动作,可以禁止对不适当的内容进行访问。此外, 由于检索电路30是由FPGA等构成的专用硬件电路,因此,如上所述, 可以实现高速的检索处理,将对通信量的影响抑制到最小限度,而且可 30 以执行过滤处理。因特网服务提供商等通过提供这样的过滤服务,可以提高附加价值,获取更多的用户。
本实施方式的通信控制系统100设置在发出访问请求的用户终端和 访问目的地装置之间的通信路径上。以下,将列举通信控制系统100的
配置例子。
5 图18示出了通信控制系统的配置例子。本图示出了将便携式电话
终端260作为用户终端使用的一个例子。从便携式电话终端260发出 的访问请求通过通信公司设置的基站装置262、在局住所设置的控制 站装置264发送给因特网200,通过因特网200到达WEB服务器250。 在本图的例子中,通信控制系统IOO设置在基站装置262中。在此情
io 况下,可以按每个基站装置262改变第一数据库50,以使基站装置262 按每个管辖领域进行不同的过滤。当在基站装置262中设置通信控制 系统100时,通过只搭载必要的最低限度的功能来实现通信控制系统 IOO的小型化。例如,可以省略连接管理服务器120、日志管理服务器 140等结构。通过在基站装置262中设置通信控制系统100来分散通
15信控制处理,设置小规模的通信控制系统100即可,从而可以使装置 小型化、轻型化,同时可以降低成本。另外,由于在将从便携式电话 终端260发出的访问请求向控制站装置264送出之前可以进行过滤, 因而可以减少通信量。此外,由于在与便携式电话终端260直接通信 的基站装置262中过滤数据包,因此可以更可靠地执行过滤。基站装
20 置中设置的通信控制系统100的病毒/网络钓鱼网站名单161也可以通过 因特网200及控制站装置264由病毒/网络钓鱼网站名单提供服务器220 提供。
图19示出了通信控制系统另外的配置例子。本图也是表示使用便 携式电话终端260的例子,但是与图19所示的例子不同,通信控制系 25统IOO设置在控制站装置264中。由于在局住所设置的控制站装置264 中集中地执行过滤,因此,系统的维护容易。
图20示出了通信控制系统的又 一个配置例子。本图也是使用便携 式电话终端260作为用户终端的一个例子。从便携式电话终端260发 出的访问请求,通过无线LAN的接入点272、路由器装置274向因特 30网200送出,通过因特网200到达WEB服务器250。在本图的例子中,
通信控制系统100设置在接入点272。与图19所示的例子同样,由便 携式电话终端260附近的装置对数据包进行过滤,因此可以减少无用 的通信。此外,例如在企业内的无线LAN的场合,例如可以使雇员在 工作时间中不能访问不适当的网站等。 5 图21示出了通信控制系统的又一个配置例子。本图也是表示无线
LAN的例子,但是与图21不同,通信控制系统100设置在路由器装 置274中。由于在路由器装置274中设置通信控制系统100,因此可 以减少通信控制系统100的设置个数,维护也变得容易。
图22及图23示出了通信控制系统另外的配置例子。在图中,示
io 出了使用个人电脑(PC) 280作为用户终端的例子。从PC280发出的 访问请求,通过LAN的路由器装置282及284向因特网200送出,通 过因特网200到达WEB服务器250。图22所示的是在路由器装置282 中设置通信控制系统100的例子,图23所示的是在路由器装置284 中设置通信控制系统IOO的例子。
15 在上述的例子中,示出了在构成网络的装置中嵌入通信控制系统
100的例子,但是,除这些装置以外,通信控制系统100也可以设置 在网络的任意位置。
在这些配置例子中,对于基站装置262或者接入点272的天线、 控制站装置264或者路由器装置274、282或284的网络接口等的接收
20 部接收的通信数据,无需判定是否要访问控制,就可以由数据包处理 电路20进行处理。即,不管是否要对所接收的通信数据进行访问控制, 通信控制系统100可以捕捉通过的所有数据包并进行过滤。另外,通 信控制系统100当判断为访问^L禁止时可以废弃数据包,也可以只记 录日志,再发送给网络。
25 在上述中,说明了对从用户终端发出的访问请求进行过滤的情况,
但如图12所示,通信控制装置10由于能够双向过滤,从而也可以过滤 发送给用户终端的数据包。在此情况下,可以将数据包的送信源地址与 第一数据库50中贮存的URL进行比较来判断是否允许通过,并进行过 滤以不将从病毒网站/网络钓鱼网站发送的数据包发送给用户终端。由此,
30可以对从危险的网站发送的数据包进行适当过滤,从而提高用户终端的
安全性。
在本实施方式中,是获取病毒网站或者网络钓鱼网站的名单,并禁 止对与其一致的网页进行访问,相反,也可以获取由认证局等认证过的 网站名单,将其作为白名单使用以禁止对其他的网站进行访问。 5 以上,通过实施方式对本发明进行了说明。本领域的技术人员应该
理解,实施方式4义为示例,本发明还存在对各构成元素或各处理过程 进行组合的各种各样的变形实施例,这些变形实施例也包含在本发明 的范围内。
10 产业上的可利用性
本发明可以用作对网络钓鱼网站等非法网站的访问进行控制的通 信控制系统。
权利要求
1.通信控制装置,其特征在于,包括保持部,保持应该限制访问的网页地址的名单;接收部,通过网络接收用于请求对内容进行访问的通信数据;比较部,对所述通信数据中包含的所述内容的地址与所述名单中包含的所述应该限制访问的网页的地址进行比较;访问控制部,当所述内容的地址与所述应该限制访问的网页的地址一致时禁止对该内容进行访问,所述接收部接收的通信数据由所述比较部和所述访问控制部处理而无需判定是否要进行访问控制。
2. 根据权利要求1所述的通信控制装置,其特征在于,所述应该 限制访问的网页为,假装成正规的网站并具有使用户输入信息的界面15 的网络钓鱼诈骗网站的网页。
3. 根据权利要求1或2所述的通信控制装置,其特征在于, 所述接收部,进一步接收向所述访问请求源发送的通信数据, 所述比较部,对所述通信数据中包含的内容的地址与所述名单中20包含的应该限制访问的网页的地址进^f亍比丰支,所述访问控制部当所述内容的地址与所述应该限制访问的网页的 地址一致时禁止向所述请求源发送该通信数据。
4. 根据权利要求1至3任一项所述的通信控制装置,其特征在于, 25 所述接收部为在与手机终端之间通过无线通信发送接收信号的天线。
全文摘要
本发明提供一种提高对内容进行访问的安全性的技术。事先把伪装成正规网站、试图非法从用户获取卡号码、密码和口令等个人信息的网络钓鱼网站的URL名单保持在病毒/网络钓鱼网站名单(161)中。当通信控制部(2)通过网络接收含有用于请求对内容进行访问的通信数据的数据包时,检索电路(30)对通信数据中包含的访问目的地内容的URL与病毒/网络钓鱼网站名单(161)中包含的网络钓鱼网站的URL进行比较。当访问目的地的内容的地址与网络钓鱼网站的URL一致时,处理执行电路(40)可以禁止对该内容进行访问。
文档编号G06F13/00GK101176080SQ20068001071
公开日2008年5月7日 申请日期2006年1月31日 优先权日2005年2月18日
发明者名古屋贡, 铃木淳 申请人:Duaxes株式会社