专利名称:通信控制装置的制作方法
技术领域:
本发明涉及通信控制技术,特别是涉及对访问请求的发信源输出信 息的通信控制装置。
背景技术:
在互联网的基础设施得以完善,便携式电话终端、个人电脑、VoIP (Voice over internet Protocal:基于internet十办"i义的i吾音)电"^纟冬端等通4言 终端得到广泛普及的今天,互联网的用户正在暴增。在这种状况下,计 算机病毒、黑客(八、乂年y夕、、)、垃圾邮件等与安全有关的问题变得明显 化,需要有对通信进行适当控制的技术。虽然使用因特网易于对大量的信息进行访问,但是有害信息泛滥也 是事实,处于一种来不及对有害信息的出处进行限制的状态。为了对谁 都可以安心且有效地使用因特网的环境进行整顿,需要有对有害的内容 的访问进行适当控制的技术。例如,准备好允许访问的网站名单、禁止访问的网站名单、禁止语 关键词、有用语关键词等的数据库,当通过因特网对外部信息进行访问 时,参照这些数据库来控制访问,这样的技术已经被提出了 (例如,参 照专利文献1 )。专利文献l:特开2001-28797号7>报发明内容发明所要解决的课题本发明的发明人想到了以下的技术,即,在这样的访问控制中, 当访问被禁止或者访问被许可等时,向访问请求源的用户输出适当的 信息。此外,也想到了可以柔性设定该信息的技术、和使用该技术的 有益商务模式。
本发明是鉴于这样的状况而提出的,其目的在于提供一种根据对内 容的访问请求,输出适当信息的技术。用于解决课题的方法本发明的一个方面涉及通信控制装置。该通信控制装置包括信息 保持部,将通过网络能够访问的位置所保持的内容或服务的地址与应 该向请求对该内容或服务进行访问的请求源输出的信息进行关联对应 保持;检索部,获取用于请求对上述内容或服务进行访问的通信数据, 检索上述通信数据中是否含有上述地址;信息输出部,当上述通信数 据中含有上述地址时,从上述信息保持部读出与该地址关联对应的信 息并l叙出。上述信息保持部可以将访问被禁止的内容或服务或者访问被许可 的内容或服务的地址与向请求对该内容或服务进行访问的请求源输出 的信息进行关联对应保持。例如,可以向请求对访问被禁止的内容进 行访问的用户,输出以访问被禁止为旨意的信息或者替代内容等。此 外,也可以向请求对访问^皮许可的内容进行访问的用户,输出与该内 容有关的广告等。上述信息保持部将上述内容或服务分为多个类別,按每个类别保 持应该向请求访问该类别所属的内容或服务的请求源输出的信息。通信控制装置还可以包括保持用于确定用户的信息的用户数据 库,上述检索部可以通过对上述通信数据所含的表示上述通信数据的 发信源的信息与上述用户数据库中登记的用于确定上述用户的信息进 行比较,从上述用户数据库中检索上述发信源,上述信息输出部可以 在上述发信源为上述用户数据库中登记的用户时输出上述信息。上述 信息保持部可以按每个上述用户保持当该用户请求访问上述内容或服 务时应输出的信息。也可以单独输出与用户有关的内容,也可以与访 问控制有关的信息组合并输出。向用户输出的信息,用户可以事先设 定,也可以由广告企业主等第三者提供。通信控制装置还可以包括登记受理部,受理上述信息的登记, 并将该信息登记到上述信息保持部;收费部,对上述信息的登记进行等价收费。上述收费部可以在上述信息输出部输出信息时对上述访问 的请求源或请求目的地进行等价收费。通信控制装置还可以包括履历保持部,保持上述信息的输送履 历;评价部,对履历保持部所保持的信息的输送履历进行评价。上迷评价部可以当来自同一访问请求源的访问请求超过预定数量时,确定 该访问请求源,指示上述信息输出部向该访问请求源输出信息。通信控制装置还可以包括在与便携式通信终端之间通过无线通信 发送接收信号的天线,上述通信数据可以通过上述天线由上述便携式 通信终端接收,上述信息可以通过上述天线向上述移动通信终端发送。另外,作为本发明的实施方式,以上构成要素的任意组合、以及 将本发明的描述在方法、装置、系统、记录介质、计算机程序等之间 进行变换的方式也是有效的。发明的效果根据本发明,可以提供一种根据对内容的访问请求,输出适当的 信息的技术。
图1是表示前提技术涉及的通信控制系统的构成的图。图2是表示现有的通信控制装置的构成的图。图3是表示前提技术涉及的通信控制装置的构成的图。图4是表示数据包处理电路的内部构成的图。图5是表示位置检测电路的内部构成的图。图6是表示第一数据库的内部数据的例子的图。图7是表示第一数据库的内部数据的另一个例子的图。图8是表示第一数据库的内部数据的又一个例子的图。图9是表示对分检索电路所含的比较电路的构成的图。图IO是表示第二数据库的内部数据的例子的图。图ll是表示第二数据库的内部数据的另一个例子的图。图12是表示前提技术涉及的通信控制装置的另一个构成例子的图。
图13是表示用于URL过滤的数据包处理电路的内部构成的图。 图14 (a)是表示病毒/网络钓鱼网站名单的内部数据的例子的图,图14 (b)是表示白名单的内部数据的例子的图,图14 (c)是表示黑名单的内部数据的例子的图。图15是表示公共类别名单的内部数据的例子的图。图16(a)、 (b)、 (c)、 (d)是表示第二数据库的内部数据的例子的图。图17是表示病毒/网络钓鱼网站名单、白名单、黑名单以及公共类别 名单的优先顺序的图。图18是表示实施方式涉及的信息输出服务器的构成的图。 图19是表示实施方式涉及的通信控制系统的配置例子的图。 图20是表示实施方式涉及的通信控制系统的配置例子的图。 图21是表示实施方式涉及的通信控制系统的配置例子的图。 图22是表示实施方式涉及的通信控制系统的配置例子的图。 图23是表示实施方式涉及的通信控制系统的配置例子的图。 图24是表示实施方式涉及的通信控制系统的配置例子的图。 符号说明10通信控制装置、12通信控制单元、14切换控制部、20数据包 处理电路、30检索电路、32位置检测电路、33比4交电路、34索引电 路、35比较电路、36对分检索电路、40处理执行电路、50第一数据 库、57用户数据库、60第二数据库、100通信控制系统、110运行监 视服务器、111管理表、120连接管理服务器、130信息输出服务器、 131信息输出部、132信息保持部、133履历保持部、134评价部、135 登记受理部、136收费部、140日志管理服务器、150数据库服务器、 160URL数据库、161病毒/网络钓鱼网站名单、162白名单、163黑名 单、164公共类别名单、250WEB服务器、260便携式电话终端、262基 站装置、264控制站装置、272接入点、274、 282、 284路由器装置。
具体实施方式
(前提技术)
首先,作为前提技术,对通信控制装置及其外围装置的构成和动作概要进行说明,而且,对使用通信控制装置的URL过滤技术进行说明, 然后,作为实施方式,对于对访问请求的发信源输出信息的技术进行说 明。图1示出了前提技术涉及的通信控制系统的构成。通信控制系统100 包括通信控制装置10和为支援通信控制装置10的动作而设置的各种外 围装置。前提技术的通信控制装置10实现由因特网服务提供商等提供的 URL过滤功能。设置在网络路径上的通信控制装置10,取得对内容的访 问请求,对其内容进行分析,判断对该内容的访问是否许可。当对内容 的访问被许可时,通信控制装置10将该访问请求发送《合j呆持有该内容的 服务器。当对内容的访问被禁止时,通信控制装置IO将废弃该访问请求, 并对请求源返回警告信息等。在前提技术中,通信控制装置10接收HTTP (HyperText Transfer Protocol:超级文本传输协议)的"GET"请求信息基准数据的名单相一致进行;f企索,判断对内容的访问是否许可。外围装置包括运行监视服务器110、连接管理服务器120、信息输 出服务器130、日志管理服务器140和数据库服务器150。连接管理服务 器120管理对通信控制装置10的连接。连接管理服务器120例如当通信 控制装置IO对由便携式电话终端送出的数据包进行处理时,使用唯一识 别数据包中所含的便携式电话终端的信息来对通信控制装置10的用户进 行认证。 一旦#^人证,则/人暂时交付给该便携式电话终端的IP地址送出 的数据包,在一定的期间内无需通过连接管理服务器120认证而发送到 通信控制装置10进行处理。信息输出服务器130按照由通信控制装置10 判定的访问是否许可的结果,对访问的请求目标或者请求源输出信息。 日志管理服务器140管理通信控制装置10的运行履历。数据库服务器150 从URL数据库获取最新的数据库,并将其输入到通信控制装置10。为了 在不停止通信控制装置10的情况下更新数据库,通信控制装置10可以 有备份用的数据库。运行监视服务器110对通信控制装置10、连接管理 服务器120、信息输出服务器130、日志管理服务器140和数据库服务器 150等外围装置的运行状况进行监视。运行监视服务器110在通信控制系
统100中优先级最高,并对通信控制装置IO及全部的外围装置进行监视 控制。通信控制装置IO如下面所述由专用的硬件电路构成,而运行监视 服务器110使用本申请人的专利第3041340号等技术,通过利用边界扫 描电路在与通信控制装置IO等之间对用于监视的数据进行输入输出,从 而即使在通信控制装置IO的运行中,也可以对运行状况进行监^L。前提技术的通信控制系统100,如以下所述,由在外围连接的具有各 种功能的服务器群对为实现高速化而以专用硬件电路构成的通信控制装 置10进行控制,由此,通过适当替换服务器群的软件,可以由同样的构 成实现各种功能。根据前提技术,可以提供这种柔性高的通信控制系统。图2示出了现有的通信控制装置1的构成。现有的通信控制装置1 包括接收侧的通信控制部2、数据包处理部3、和发送侧的通信控制部 4。通信控制部2及4分别包括PHY处理部5a及5b,进行数据包的物 理层的处理;MAC处理部6a及6b,进行数据包的MAC层的处理。数 据包处理部3包括IP处理部7,进行IP (Internet Protocal: IP协议)的 协议处理;TCP处理部8等,进行TCP (Transport Control Protocal:传 送控制协议)的协议处理;协议处理部,进行与协议对应的处理;AP处 理部9,进行应用层的处理。AP处理部9根据数据包中包含的数据,执 行过滤等处理。在现有的通信控制装置1中,数据包处理部3是利用作为通用处理 器的CPU和在CPU上运行的OS,通过软件来实现的。但是,在这种构 成中,通信控制装置1的性能将依赖于CPU的性能,想要实现能够高速 地对大容量的数据包进行处理的通信控制装置,自然存在限制。例如, 如果是64位的CPU, 一次同时能够处理的数据量最大是64位,具有在 此以上性能的通信装置不存在。而且,由于将具有通用功能的OS的存在 作为前提,因此存在安全漏洞等的可能性不是绝对没有的,OS的升级等 的维护作业是必要的。图3示出了前提技术的通信控制装置的构成。通信控制装置10包括 由布线逻辑电路的专用硬件构成的数据包处理电路20,以取代图2所示 的现有通信控制装置1中由包含CPU及OS的软件实现的数据包处理部 3。不是通过在作为通用处理电路的CPU中运行的OS和软件来处理通信 数据,而是设置对通信数据进行处理的专用硬件电路,由此能够克服由CPU和OS等造成的性能限制,实现高处理能力的通信控制装置。例如,在为了执行数据包过滤等而检索数据包所含的数据中是否含有作为过滤判断基准的基准数据的情况下,使用CPU对通信数据和基准 数据进行比较时, 一次最多只能比较64位,所以存在的问题是,即使想 提高处理速度也将受到CPU性能的限制。由于在CPU中必须无数次重 复进行以下处理,即,从通信数据将64位读入到存储器,将其与基准数 据进行比较,接着再把下一64位读入到存储器,因此读入到存储器的时 间将制约速度,处理速度存在界限。相反,在前提技术中,设置了由布线逻辑电路构成的专用硬件电路, 以对通信数据和基准数据进行比较。该电路包括并列设置的多个比较器, 以能够对比64位长的数据长定度,例如1024位的数据长定度进行比较。 这样,通过设置有专用的硬件可以同时并行执行许多的位匹配。可以从 现有的使用CPU的通信控制装置1 一次只能处理64位提高到一次可以 处理1024位,可以飞跃地提高处理速度。虽然增多比较器的数量也能够 提高处理能力,但是成本和尺寸也会增大,因此可以在考虑预期的处理 性能和成本、尺寸等条件下,设计最适当的硬件电路。专用的硬件电路 可以使用FPGA (Field Programmable Gate Array:现场可编程门阵列)等 实现。此外,由于前提技术的通信控制装置IO是由布线逻辑电路形成的专 用硬件构成的,因此不需要OS (Operating System:操作系统)。为此, 不需要OS的安装、故障应对、升级等作业,从而可以减少用于管理和维 护的费用和工时。此外,与要求具有通用功能的CPU不同,由于不包含 不必要的功能,因此没有使用多余的资源,低成本化、电路面积的减少、 处理速度的提高是可以期待的。而且,与使用OS的现有通信控制装置不 同,由于没有多余的功能,因此降低了安全漏洞等发生的可能性,对于 通过网络来自恶意第三者的攻击具有优秀的抵抗性。现有的通信控制装置1通过以CPU和OS为前提的软件对数据包进 行处理,在接收了数据包的所有数据后再进行协议处理,将数据交给应 用程序。相反,在本前提技术的通信控制装置10中,由于使用专用的硬
件电路进行处理,没有必要在接收了数据包的所有数据后开始处理,如 果接收到处理所需的数据,则不用等待接收后续的数据就可以在任何时 候开始处理。例如,在后述的位置检测电路中进行的位置检测处理,可 以在接收到用于确定比较对象数据位置的位置确定数据时开始。这样, 由于不用等待接收了所有的数据就可以动态地执行各种各样的处理,因 此能够缩短处理数据包的数据所需的时间。图4示出了数据包处理电路的内部构成。数据包处理电路20包括 第一数据库50,存储基准数据,所述基准数据作为用于决定对通信数 据执行的处理内容的基准;检索电路30,通过比较通信数据和基准数 据对接收的通信数据中是否含有基准数据进行检索;第二数据库60, 将检索电路30的检索结果和对通信数据执行处理的内容进行关联对 应存储;处理执行电路40,基于检索电路30的检索结果和第二数据 库60所存储的条件对通信数据进行处理。检索电路30包括位置检测电路32,从通信数据中检测应与基准数 据进行比较的比较对象数据的位置;作为判定电路一个例子的索引电路 34,当把所述第一数据库50所存储的基准数据分成3个以上的范围时, 判定比较对象数据属于这些范围中的哪一个;对分检索电路36,在判定 的范围中,检索与比较对象数据一致的基准数据。作为从基准数据中检 索比较对象数据的方法,可以使用任意的检索技术,但在前提技术中使 用的是对分检索法。图5示出了位置检测电路的内部构成。位置检测电路32包括多个 比较电路33a 33f,用于对确定比较对象数据位置的位置确定数据和通信 数据进行比较。在此,设置有6个比较电路33a 33f,但如后所述,比较 电路的个数可以是任意的。通信数据以每错开(fbLT)预定的数据 长定例如1字节输入到各比较电路33a 33f中。然后,在这些多个比较电 路33a 33f中,同时并列进行应检测的位置确定数据和通信数据的比较。在前提技术中,将进行以下处理时的情况作为用于说明通信控制装 置IO动作的例子进行说明,即,4企测通信数据中包含的"No.###" 的字符串,将该字符串中包含的数字"###"与基准数据进行比较, 与基准数据一致时允许数据包通过,不一致时将数据包废弃。在图5的例子中,为了从通信数据中检测用于确定数字"###,, 位置的位置确定数据"No.",将通信数据"OlNo. 361..."每错开l个字 符输入到比较电路33a 33f中。即,比较电路33a中输入"01N",比较 电路33b中输入"lNo",比较电路33c中输入"No.",比较电路33d中 输入"o.",比较电路中33e输入" 3",比较电路33f中输入"36"。 在此,比较电路33a 33f同时执行与位置确定数据"No."的比较。由此, 比较电路33c匹配,从而检测出在通信数据的最前头开始第3个字符处 存在"No."的字符串。这样,在由位置检测电路32检测出的位置确定 数据"No."之后,将检测出存在作为比较对象数据的数字数据。
如果由CPU进行同样的处理,则首先将字符串"01N"与"No."进 行比较,然后将字符串"lNo"与"No."进行比较,由于必须从最前头 开始依次逐一执行比较处理,因此无法期待提高检测速度。相反,在前 提技术的通信控制装置10中,通过并列设置多个比较电路33a 33f,使 得CPU中无法实现的同时并列的比较处理成为可能,可以极大地提高处 理速度。虽然比较电路越多能够同时比较的位置就越多,检测速度也将 提高,但是在考虑到成本和尺寸等条件下,设置获得所需检测速度的足 够数量的比较电路就可以了 。
位置检测电路32不只用于检测位置确定数据,也可以用作检测通用 的字符串的电路。此外,不仅可以检测字符串,而且还可以检测以位为 单位的置确定数据。
图6示出了第一数据库的内部数据的例子。作为用于决定数据包的 过滤、路径选择、交换、置换等处理内容基准的基准数据,按照某种分 类条件进行分类并贮存在第一数据库50中。在6的例子中,存储有1000 个基准lt据。
在第 一数据库50的最前面的纪录中,贮存有表示通信数据中的比较 对象数据位置的偏移51。例如,在TCP数据包中,由于数据包内的数据 结构以位为单位确定,因此如果将用于决定婆:据包的处理内容的标记信 息等位置作为偏移51设定,则可以只比较必要的位来决定处理内容,从 而可以提高处理效率。此外,即使在数据包的数据结构变更的情况下, 也可以通过变更偏移51来进行对应。在第一凄t据库50中,也可以贮存
比较对象数据的数据长定。由此,可以只使必要的比较器动作来进行比 较,从而可以提高检索效率。
索引电路34,在将第一数据库50贮存的基准数据分成3个以上的范 围52a ~52d时,判定比较对象数据属于这些范围中的哪一个。在图6的 例子中,1000个基准数据被以每250个分成4个范围52a 52d。索引电 路34包括对范围的边界的基准数据与对象数据进行比较的多个比较电路 35a 35c。通过比较电路35a 35c对比较对象数据与边界的基准数据同时 并列进行比较,从而用一次比较处理就可以判定比较对象数据属于哪个 范围。
输入到索引电路34的比较电路35a 35c中的边界基准数据,可以通 过通信控制装置IO外部所设置的装置来设定,也可以事先自动地输入第 一数据库50预定位置的基准数据。在后一种情况下,即使更新第一数据 库50,也可以自动地将第一数据库50预定位置的基准数据输入到比较电 路35a 35c中,因此无需进行初始设定就能立即执行通信控制处理。
如上所述,在由CPU执行对分检索的场合,不能同时执行多个比较, 而在前提技术的通信控制装置10中,通过并列设置有多个比较电路 35a 35c,可以同时并列进行比较处理,从而极大地提高了检索速度。
当由索引电路34判定了范围时,对分检索电路36以对分检索法执 行-险索。对分^r索电路36将由索引电路34判定的范围进一步分成2个, 通过对位于该边界位置的基准数据和比较对象数据进行比较,来判定属 于哪个范围。对分;^索电路36包括以位为单位对基准数据和比较对象数 据进行比较的多个比较电路,例如在前提技术中包括1024个,同时执行 1024位的位匹配。当判定了属于被分成2个的范围中的哪一个时,进一 步将该范围分成2个并读出位于边界位置的基准数据,将其与对象数据 进行比较。之后,通过重复该处理来进一步限定范围,最后检索出与比 较对象数据一致的基准数据。
使用上述的例子进一步对动作进行详细说明。在图5所示的通信数 据中,位置确定数据"No.,,之后的比较对象数据是数字"361"。由于 在确定数据"No."与比较对象数据"361"之间存在一个字符的空格, 因此为了从比较对象数据中除去该空格,偏移51被设定为"8"位。对
分检索电路36从位置确定数据"No.,,之后的通信数据中跳过"8"位, 即1个字节,将之后的"361"作为比较对象数据读入。
在索引电路34的比较电路35a 35c中,输入"361"作为比较对象 数据,作为基准数据,在比较电路35a中输入位于范围52a和52b边界 的基准数据"378",在比较电路35b中输入位于范围52b和52c边界的 基准数据"704",在比较电路35c中输入位于范围52c和52d边界的基 准数据"937"。由比较电路35a 35c同时进行比较,判定出比较对象数 据"361"属于范围52a。之后,对分检索电路36将检索基准数据中是否 存在比较对象数据"361"。
图7示出了第一数据库内部数据的另一个例子。在图7的例子中, 基准数据的数据个数少于第一数据库50所能够保持的数据数1000个。 此时,在第一数据库50中,从最后数据位置开始降序贮存基准数据。然 后,将剩余的数据中贮存O。作为数据库的加载方法,不是从最前面配置 数据而是从加载区域的后方配置,当加载区域的开头产生空位时,对所 有的空位进行清零,由此使数据库一直处于满的状态,从而可以使对分 检索时的最大时间恒定。此外,当对分检索电路36在检索中读入"0" 作为基准数据时,由于比较结果是明显的,因此可以不进行比较而确定 范围,并转到下一比较。由此,可以提高检索速度。
在基于CPU的软件处理中,在将基准数据贮存到第一数据库50时, 从最初的数据位置升序贮存基准数据。在剩余的数据中例如贮存最大值, 在这种情况下,在对分检索中不可能省略上述的比较处理。上述的比较 技术通过由专用的硬件电路构成检索电路30来实现。
图8示出了第一凄t据库内部数据的又一个例子。在图8的例子中, 不是把基准数据均等地分成3个以上的范围,而是范围所属的基准凝:据 的个数是不均等的,例如范围52a为500个,范围52b为100个。这些 范围可以根据通信数据中的基准数据的出现频度的分布来进行设定。也 就是说,可以对范围进行设定以使各范围所属的基准数据的出现频度的 和大致相同。由此,可以提高检索效率。输入到索引电路34的比较电路 35a 35c中的基准数据,也可以从外部进行变更。由此,能够动态地设定 范围,从而可以使检索效率最佳化。
图9示出了对分检索电路中包含的比较电路的构成。如上所述,对
分检索电路36包括1024个比较电路36a、 36b.....。在各个比较电路
36a、 36b.....中,基准数据54和比较对象数据56被每1位地输入,
并比较其大小。索引电路34的各比较电路35a 35c的内部构成也是同样 的。这样,通过以专用的硬件电路执行比较处理,可以使多个比较电路 并行动作,同时对多位进行比较,从而可以使比较处理高速化。
图10示出了第二数据库内部数据的例子。第二数据库60包括贮存 检索电路30的4企索结果的检索结果栏62、以及贮存对通信数据执行的处 理内容的处理内容栏64,并对检索结果和处理内容进行关联对应保持。 在图IO的例子中设定如下条件当通信数据中包含基准数据时,允许该 数据包通过;当不包含基准数据时,将该数据包废弃。处理执行电路40 根据检索结果从第二数据库60检索处理内容,对通信数据执行处理。处 理执行电^各40也可以由布线逻辑电路来实现。
图11示出了第二数据库内部数据的另一个例子。在图ll的例子中, 对每个基准数据设定处理内容。当进行数据包的置换时,可以将待置换 的数据贮存到第二数据库60中。在进行数据包的路径选择或者交换时, 可以将与路经有关的信息贮存到第二数据库60中。处理执行电路40根 据片企索电路30的4企索结果,执行第二数据库60中!&存的过滤、路径选 择、交换、置换等处理。如图11所示,当对每个基准数据设定处理内容 时,可以对第一数据库50和第二数据库60进行综合。
第 一数据库及第二数据库被设置为可以从外部进行重写。通过对这 些数据库进行替换,可以使用相同的通信控制装置IO实现各种各样的数 据处理或者通信控制。此外,也可以设置2个以上贮存作为检索对象的 基准数据的数据库,来进行多阶段的检索处理。此时,也可以设置2个 以上关联对应贮存了检索结果和处理内容的数据库,来实现更复杂的条 件分支。这样,当设置多个数据库进行多阶段的检索时,也可以设置多 个位置检测电路32、索引电路34、对分4企索电路36等。
上述用于比较的数据,可以用同样的压缩逻辑进行压缩。在进行比 较时,如果比较源数据与比较目标数据用同样的方式压缩,则可以与通 常一样进行比较。由此,比较时可以减少载入的数据量。如果载入的数
据量变少,则从存储器读出数据所需的时间就会缩短,全部的处理时间 也可以缩短。此外,由于可以削减比较器的数量,从而有助于装置的小 型化、轻型化、低成本化。用于比较的数据可以用压缩的形式贮存,也 可以从存储器读出后,在比较之前进行压缩。
图12示出了前提技术的通信控制装置的另外的构成例子。本图所示 的通信控制装置10包括2个具有与图3所示的通信控制装置10同样构 成的通信控制单元12。此外,i殳有对各通信控制单元12的动作进行控制 的切换控制部14。各通信控制单元12包括2个输入输出接口 16,通过 各输入输出接口 16连接到上游侧和下游侧2个网络上。通信控制单元12 从任一个网络输入通信数据,将处理后的数据输出到另一个网络。切换 控制部14通过切换各通信控制单元12设置的输入输出接口 16的输入输 出,对通信控制单元12中的通信数据的流向进行切换。由此,不仅可以 进行单向的通信控制,而且还可以进行双向的通信控制。
切换控制部14也可以进行控制以使通信控制单元12的一方处理入 站的数据包、另一方处理出站的数据包,也可以进行控制以使双方都处 理出站的数据包。由此,例如根据业务量的状况或者目的等,可以使进 行控制的通信方向变化。
切换控制部14也可以通过获取各通信控制单元12的动作状况,根 据其动作状况对通信控制的方向进行切换。例如,在使一方的通信控制
单元12处于待机状态,而使另一方的通信控制单元12动作的情况下, 当检测到该通信控制单元12由于故障等原因停止时,可以使待机中的通 信控制单元12动作以作为替代。由此,可以提高通信控制装置10的容 错度。此外,当对一方的通信控制单元12进行数据库的更新等维护时, 也可以使另一方通信控制单元12动作以作为替代。由此,在不停止通信 控制装置IO运行的情况下,能够适当地进行维护。
在通信控制装置10中也可以设置3个以上的通信控制单元12。切换 控制部14例如可以获取业务量的状况,并对各通信控制单元12的通信 方向进行控制,以便将更多的通信控制单元12分配给通信量多的方向的 通信控制处理。由此,即使某个方向的通信量增加,也可以将通信速度 的降低限制到最小。
另外,在多个通信控制单元12之间可以共用通信控制部2或者4的 一部分。此外,数据包处理电路20的一部分也可以共用。 可以考虑以下的方式作为上述的数据处理装置。 [方式1]一种数据处理装置,其特征在于,包括第一存储部,存储基准数据,以作为决定对获取的数据执行的处 理的内容的基准;检索部,通过对所述数据和所述基准数据进行比较,检索所述数 据中是否包含所述基准数据;第二存储部,将所述检索部的检索结果与所述处理的内容进行关 联对应并存储;处理部,根据所述检索结果,对所述数据执行与所述检索结果关 联对应的处理,所述检索部由布线逻辑电路构成。 [方式2]在上述方式1的数据处理装置中,所述布线逻辑电路包括多个第 一比较电路,以位为单位对所述数据和所述基准数据进行比较。 [方式3]在上述方式1的数据处理装置中,所述检索部包括位置检测电路, 从所述数据中检测应与所述基准数据进行比较的比较对象数据的位置。 [方式4]在上述方式3的数据处理装置中,所述位置检测电路包括对所述 数据和用于确定所述比丰支对象数据位置的位置确定数据进行比较的多个 第二比较电路,所述数据每错开预定数据长度的位输入到所述多个第二 比较电路,并与所述位置确定数据同时并列进行比较。[方式5]在上述方式1至方式2任一项的数据处理装置中,所述检索部包 括对分检索电路,通过对分检索对所述数据中是否包含所述基准数据 进行检索。[方式6] 在上述方式5的数据处理装置中,所述基准数据的数据数比所述第 一存储部所能保持的数据数少时,从所述第 一存储部的最后数据位置开 始降序贮存所述基准数据,并将0贮存到剩余的数据中。[方式7]在上述方式1至方式6任一项的数据处理装置中,所述检索部包 括判定电路,当所迷第一存储部所存储的多个基准数据分成3个以上 的范围时,判定所述基准数据和应进行比较的对象数据属于这些范围中 的哪一个。[方式8]在上述方式7的数据处理装置中,所述判定电路包括对所述范 围的边界的基准数据和所述比较对象数据进行比较的多个第三比较电 路,由所述多个第三比较电路同时并列对所述比较对象数据属于所述 3个以上范围中的哪一个进行判定。[方式9]在上述方式8的数据处理装置中,所述第一存储部的预定位置存 储的所述基准数据输入到所述第三比较电路,以作为所述边界的基准 数据。[方式10]在上述方式7或方式8的数据处理装置中,根据所述数据中的所 述基准数据的出现频度的分布来设定所述范围。 [方式11]在上述方式1至方式IO任一项的数据处理装置中,所述第一存储 部还存储有表示所述数据中的比较对象数据位置的信息,所述检索部 基于表示所述位置的信息提取所述比较对象数据。[方式12]在上述方式1至方式11任一项的数据处理装置中,所述第一存储 部或者所述第二存储部被设置为能够从外部进行重写。 [方式13〗在上述方式1至方式12任一项的数据处理装置中,所述检索部不 待获取通信数据包的所有数据,而是在获取了应与所述基准数据进行
比较的数据时,开始对该数据和所述基准数据进行比较。[方式14]一种数据处理装置,其特征在于,包括多个上述方式1至13 任一项的数据处理装置,各所述数据处理装置包括2个在与通信线路 之间输入输出数据的接口,通过切换各所述接口的输入和输出,对处 理所述数据的方向进行可变控制。接下来,对使用上述通信控制装置10的URL过滤技术进行说明。图13示出了用于URL过滤的数据包处理电路20的内部结构。数据 包处理电路20,作为第一数据库50,包括用户数据库57、病毒/网络 钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164。用 户数据库57贮存使用通信控制装置10的用户的信息。通信控制装置10 从用户接收识別用户的信息,将检索电路30接收的信息与用户数据库57 进行匹配来对用户进行认证。作为识别用户的信息,可以使用TCP/IP数 据包的IP标题中贮存的源地址,也可以/人用户4妻收用户ID和口令。在 前者的情况下,由于数据包中的源地址的贮存位置已经确定了,因此在 检索电路30中与用户数据库57进行匹配时,没有必要通过位置检索电 路32检测位置,作为偏移51,指定源地址的贮存位置就可以了。当认证 了是登记在用户数据库57的用户时,接着,为了判断对内容的访问是否 许可,将内容的URL与病毒/网络钓鱼网站名单161、白名单162、黑名 单163以及公共类别名单164进行核对。由于白名单162和黑名单163 按每个用户设置,因此当用户被认证并唯一地确定了用户ID时,将该用 户的白名单162和黑名单163提供给检索电路30。病毒/网络钓鱼网站名单161贮存包含计算机病毒的内容的URL名 单、和网络钓鱼诈骗中使用的"陷阱"网站的URL名单。对贮存在病毒 /网络钓鱼网站名单161中的URL的内容的访问请求将^皮拒绝。这样,即 使在用户不注意或者被骗时想要访问病毒网站或者网络钓鱼网站的情况 下,也可以适当地禁止访问,保护用户免受病毒网站或者网络钓鱼诈骗 所害。此外,由于不是在用户终端中贮存病毒或网络钓鱼网站名单由终 端侧进行访问限制,而是由设置在通信路径上的通信控制装置IO集中进 行访问限制,从而能够可靠且高效地进行访问限制。通信控制装置10可
以获取并保持由认证机关证明为不是病毒或者网络钓鱼网站而是正当网站的认证后的网站名单,从而许可对该名单中贝i存的URL进行访问。此 外,当正当的网站被黑客等攻陷、被嵌入病毒、被用于网络钓鱼诈骗等 事态发生时,正当网站的运营者等可以将被.攻陷的网站的URL登记到病 毒/网络钓鱼网站名单161中,在网站恢复到正常的状态前,暂时禁止访 问。此外,可以将IP号、TCP号、MAC地址等信息与URL的名单组合 并进行检查。由此,可以设定更高精度的检索条件,从而能够更可靠地 对病毒或者网络钓鱼网站进行过滤。白名单162按每个用户设置,并贮存许可访问的内容的URL名单。 黑名单163按每个用户设置,并贮存禁止访问的内容的URL名单。图14 (a)示出了病毒/网络钓鱼网站名单161的内部数据的例子,图14 (b) 示出了白名单162的内部数据的例子,图14 (c)示出了黑名单163的内 部数据的例子。在病毒/网络钓鱼网站名单161、白名单162、黑名单163 中分别设置有类别号栏165、 URL栏166、以及标题栏167。在URL栏 166中贮存有访问被许可或被禁止的内容的URL。在类别号栏165中贮 存有内容的类别号。在标题栏167中贮存有内容的标题。公共类别名单164贮存有用于将以URL表示的内容分为多个类别的 名单。图15示出了公共类别名单164的内部数据的例子。在公共类别名 单164中也设置有类别号栏165、 URL栏166、以及标题栏167。通信控制装置10提取"GET"请求信息等中包含的URL,由检索电 路30对该URL是否包含在病毒/网络钓鱼网站名单161、白名单162、黑 名单163或者公共类别名单164之中进行;险索。此时,例如,也可以由 位置检测电路32检测"http:〃"的字符串,提取该字符串之后的数据串 作为对象数据。提取的URL通过索引电路34及对分检索电路36与病毒 /网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164 的基准数据进行匹配。图16(a)、 (b)、 (c)及(d)示出了用于URL过滤的第二数据库 60的内部数据的例子。图16 (a)示出了对病毒/网络钓鱼网站名单161 的检索结果和处理内容。当"GET"请求等中包含的URL与病毒/网络钓 鱼网站名单161中包含的URL—致时,禁止对该URL的访问。图16(b)
示出了对白名单162的检索结果和处理内容。当"GET"请求等中包含 的URL与白名单162中包含的URL —致时,许可对该URL的访问。图 16 (c)示出了对黑名单163的检索结果和处理内容。当"GET"请求等 中包含的URL与黑名单163中包含的URL —致时,禁止对该URL的访 问。图16(d)示出了对公共类别名单164的检索结果和处理内容。如图 16(d)所示,对于对公共类别名单164的检索结果,用户可以按照每个 类别对该类别所属的内容的访问是许可还是禁止分别进行设定。在与公 共类别名单164有关的第二数据库60中设置有用户ID栏168及类别栏 169。在用户ID栏168中贮存有用于识别用户的ID。在类别栏169中, 对于被分为57种的各个类别,贮存有表示用户对类别所属内容的访问是 许可还是禁止的信息。当"GET"请求等中包含的URL与公共类别名单 164中包含的URL —致时,根据该URL的类别和用户ID,判断对该URL 的访问是否许可。此外,在图16 (d)中,公共类别的数量是57,但也 可以是其他数量。图17示出了病毒/网络钓鱼网站名单161、白名单162、黑名单163 以及公共类别名单164的优先级。在前提技术中,按照病毒/网络钓鱼网 站名单161、白名单162、黑名单163、公共类别名单164的顺序优先级 变高,例如,即使是白名单162中贮存的访问被许可的内容的URL,如 果该URL贮存在病毒/网络钓鱼网站名单161中,则也将作为含有计算机 病毒的内容或者用于网络钓鱼诈骗的内容而^f皮禁止访问。以往,当使用软件来进行考虑了这样的优先级的匹配时,例如,可 以采用以下方法之一从优先级高的名单开始依次进4亍匹配并采用最初 命中的,或者从优先级低的名单开始依次进行匹配并用随后命中的进行 覆盖。但是,在前提技术中,通过使用由专用的硬件电路构成的通信控 制装置10,并设置有进行病毒/网络钓鱼网站名单161匹配的检索电路 30a、进行白名单162匹配的才全索电路30b、进行黑名单163匹配的检索 电路30c、进行公共类別名单164匹配的检索电路30d,在各片企索电路30 中同时并行进行匹配。其次,在多个名单中命中时,采用优先级最高的。 由此,即使在设有多个数据库,对其设定了优先级的情况下,也可以大
幅度缩短4企索时间。对病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类 别名单164的哪个优先进4亍访问是否许可的判断,例如也可以在第二数 据库60中设定。根据哪个名单设定为优先,可以对第二数据库60的条 件进行修改。这样,当使用多个数据库进行基于URL的过滤时,可以对数据库设 定优先级并进行与优先级对应的过滤处理,而且,通过将病毒/网络钓鱼 网站名单161的过滤:没定为最优先,不管用户对白名单162等的设定状 况如何,能够可靠地禁止对病毒网站或者网络钓鱼网站的访问。由此, 可以适当地保护用户免受病毒或者网络钓鱼诈骗所害。当对内容的访问被许可时,处理执行电路40向信息输出服务器130 输出用于通知该旨意的信号。信息输出服务器130向保持有该内容的服 务器发送"GET"请求信息。当对内容的访问被禁止时,处理执行电路 40向信息输出服务器130输出用于通知该旨意的信号,信息输出服务器 130不向访问目标的服务器发送"GET"请求信息而是将其废弃。此时, 也可以将访问被禁止的响应信息发送给请求源。此外,也可以强制地转 送到其他网页。这时,处理执行电路40将目的地址和URL更换为转送 目的地的目的地址和URL发送。响应信息和转送目的地的URL等信息 也可以贮存在第二数据库60或者信息输出服务器130等中。信息输出服务器130也可以使用ping命令等来确认实际存在请求源, 并且当存在时对其状态进行确认,然后对请求源输出信息。从信息输出 服务器130向请求源发送的信息也可以按每个用户进行设定,也可以按 每个访问目标的内容、按每个类别、或者4姿每个白名单162或黑名单163 等的数据库进行设定。例如,在访问被禁止时,用户可以对显示的画面 进行定制并登记到信息输出服务器130。此外,如上所述,正当的网站被 黑客攻击并且暂时限制访问时,可以输出向正当网站的镜像网站引导的4§息。信息输出服务器130可以管理信息的输送履历,并可以将该信息输 送履历信息用于各种控制。例如,当从相同的请求源在短时间内发出多 次访问请求时,由于有可能是服务妨碍攻击(Denial of Service attack:Dos攻击)等,因而可以将该请求源登记到访问拒绝名单中,截断来 自该请求源的数据包而不将其向请求目的地发送。另外,可以对信息输送履历进行统计处理,并将其提供给WEB网站的管理者等。由此, 用户的访问履历可以用于市场营销或者或用于通信状况的控制等。此 外,可以根据状况减少信息送出的次数、相反,也可以增加。例如, 从特定的IP号码发出访问请求时,对其一条请求信息,可以发送多倍 的信息。通过以上的构成及动作,可以禁止对不适当的内容进行访问。此外, 由于检索电路30是由FPGA等构成的专用硬件电路,因此,如上所述, 可以实现高速的检索处理,将对通信量的影响抑制到最小限度,而且可 以执行过滤处理。因特网服务提供商等通过提供这样的过滤服务,可以 提高附加价值,获取更多的用户。白名单162或者黑名单163也可以设为对所有的用户共享。 (实施方式)在实施方式中,提出了一种对访问请求源输出信息的技术。此外, 提出了一种使用该信息的商务模式。而且,提出了一种使用该信息对恶 意的攻击采取适当防御对策的技术。如前提技术中所述,通信控制装置10接收对内容的访问请求的数 据包,判断是否可以进行该访问,当访问被禁止时,指示信息输出服 务器130输出错误信息等信息。在本实施方式中,可以按每个访问请 求源的用户、每个访问目的地的URL、每个类别和每个数据库等柔性 设定由该信息输出服务器130向访问请求源输出的信息,从而可以根 据状况输出适当的信息。不限于访问被禁止的场合,还可以将内容与 信息进行关联对应保持,对发出了对内容进行访问请求的用户,输出 与该内容关联对应的信息。图18示出了实施方式涉及的信息输出服务器130的构成。本实施方 式的信息输出服务器130包括信息输出部131、信息保持部132、履历保 持部133、评价部134、登记受理部135以及收费部136。信息保持部132保持对访问请求源输出的信息。信息可以按每个用 户设定。在这种情况下,信息保持部132将识别用户的信息与向该用户
输出的信息或者贮存该信息的文件的文件名等进行关联对应贮存。信息 也可以按类别名单中的每个类别进行设定,也可以按每个访问目的地的URL进行设定。例如,网站的运营者可以^^个URL将广告信息等i殳定 为信息。信息保持部132在能够设定与例如每个用户、每个URL等多个 条件对应的信息情况下,还可以贮存表示哪个信息优先的信息。登记受理部135受理信息的登记。当信息能够按每个用户设定时, 登记受理部135受理来自用户的信息登记,并将其登记到信息保持部 132。另外,也可以受理来自内容的提供者、广告提供企业等的信息登 记。当对信息的登记者收取登记费时, 一旦登记受理部135受理信息 的登记,则指示收费部136收取登记费。收费部136进行从登记者的 账户减去登记费的处理。当信息是按每个访问请求源的用户设定时,信息输出部131从对 访问请求的数据包进行处理的连接管理服务器120或者通信控制装置 IO获取访问请求源用户的用户ID等,参照信息保持部132,输出为该 用户设定的信息。当信息是按每个访问目的地的URL、每个类别设定 时,信息输出部131从通信控制装置10获取访问目的地的URL或者 类别的识别信息等,参照信息保持部132,输出为该URL或者类别设 定的信息。信息输出部131将输出信息的履历登记到履历保持部133。 此外,当向信息的登记者或者信息的接收者收取与信息的输出等价费 用时,指示收费部136收取。当按第一数据库50的每个名单设定信息时,例如,对于向病毒/ 网络钓鱼网站名单161中登记的URL请求访问的用户,可以将"由于 是病毒感染.网站,因而访问被限制。"、"由于是网络钓鱼网站,因而访 问被限制。"等禁止访问的理由作为信息输出。此外,当按公共类别名 单164的每个类别设定信息时,例如,可以将"由于是禁止阅览的类 别,因而访问被限制。"等禁止访问的理由作为信息输出。按各名单中 登记的每个URL设定信息的场合也是同样的。当按访问请求源的每个用户设定信息时,例如,当设定与在企业 等中的职位对应的访问权限时,可以输出"没有访问该网站的权限。" 等信息。此外,父母给孩子便携式电话时,当孩子想要访问不合适的 网站时,可以输出包含有向其他健康或优良网站链接的信息,以将其 引向该链接。可以按访问目的地的每个类别或URL设定含有广告等的信息。例 如,可以在信息中包含与网站的内容关联的广告。由此,由于能够提 供与用户想要阅览的网站关联的广告,因而可以提高广告效果。此外, 也可以按每个用户设定含有广告等的信息。例如,用户可以事先设定 关心的领域,以在信息中包含属于该领域的广告等信息。信息也可以包含向其他网站的链接。作为向其他网站的链接的例 子,例如可以包含向提供广告的网站的链接、向与访问目的地的内容 有关的网站的链接、向人气排行高的网站的链接、向认证局认定的安 全网站的链接等。例如,当正规的网站受到黑客攻击而关闭时,也可 以对想要向该网站访问的用户,输出包含向镜像站链接的信息。此夕卜, 当网站的URL转移时,可以对想要向转移前的URL访问的用户,输 出包含向转移后的URL的链接的信息。另外,信息输出部131也可以 在与访问目的地的内容关联的网站中,提取关联度高的网站、人气网 站、优良度高的网站、被认证局认定的网站等并创建名单,使其包含 在信息中。评价部134参照履历保持部133中保持的信息输送履历,对通信 状况和访问请求源的状况等进行评价。评价部134可以对信息的输送 履历进行统计处理,并才是供给WEB网站管理者等。由此,可以将用 户的访问履历用于市场营销,或者用于通信状况的控制等。另外,也 可以事先将用户的终端设定为定期发送访问请求,参照对其的信息传 输履历,掌握并利用用户的行动履历等。当从相同的请求源短时间内发出了多个访问请求时,评价部134 可以将其评价为存在服务妨碍攻击(Denial of Service attack: Dos攻击) 等的可能性,并将该请求源登记到访问拒绝名单中,以阻断来自该请 求源的数据包而不向请求目的地发送。此时,评Y介部134可以-使用ping 命令等来确认请求源实际存在,此外,当存在时,可以确认其状态。 当确定了发出服务妨碍攻击等非法访问请求的请求源时,信息输出部 131也可以对该请求源丰叙出信息。由于本实施方式的通信控制系统10, 如上所述,是一种不具有OS及CPU的完全透过型的通信装置,也没 有IP地址,因而不会受到攻击。相反,通过由信息输出服务器130对 攻击者把信息"顶回去",可以增加攻击者的装置的负担。在此情况下, 由于通信控制系统100不让非法的访问请求通过而顶回去,/人而起到 了如镜子(、;,一)那样的作用。对于一个访问请求,也可以送出多 个信息。本实施方式的通信控制系统100设置在发出访问请求的用户终端 与访问目的地的装置之间的通信路径上。以下,列举通信控制系统100的配置例子。图19示出了通信控制系统的配置例子。本图示出了将便携式电话 终端260作为用户终端使用的一个例子。从便携式电话终端260发出 的访问请求通过通信公司设置的基站装置262、在局住所设置的控制 站装置264发送给因特网200,通过因特网200到达WEB服务器250。 在本图的例子中,通信控制系统IOO设置在基站装置262中。在此情 况下,可以按每个基站装置262改变信息保持部132的内容,以使基 站装置262按每个管辖领域输出不同的信息。当在基站装置262中设 置通信控制系统100时,通过只搭载必要的最低限度的功能来实现通 信控制系统100的小型化。例如,可以省略连接管理服务器120、日 志管理服务器140等结构。通过在基站装置262中设置通信控制系统 100来分散通信控制处理,设置小规模的通信控制系统100即可,从 而可以使装置小型化、轻型化,同时可以降低成本。另外,由于在将 从便携式电话终端260发出的访问请求向控制站装置264送出之前可 以向请求源送出信息,因而可以减少通信量。此外,由于在与^f更携式 电话终端260直接通信的基站装置262中送出信息,因此可以更可靠 且迅速地将信息送到便携式电话终端260。图20示出了通信控制系统另外的配置例子。本图也是表示使用便 携式电话终端260的例子,但是与图19所示的例子不同,通信控制系 统IOO设置在控制站装置264中。由于在局住所设置的控制站装置264 中集中地执行信息处理,因此,系统的维护容易。图21示出了通信控制系统的又一个配置例子。本图也是使用便携
式电话终端260作为用户终端的一个例子。从便携式电话终端260发 出的访问请求,通过无线LAN的接入点272、路由器装置274向因特 网200送出,通过因特网200到达WEB服务器250。在本图的例子中, 通信控制系统IOO设置在接入点272。与图19所示的例子同样,由便 携式电话终端260附近的装置执行信息处理,因此可以减少无用的通 信。此外,例如在企业内的无线LAN的场合,可以进4亍与接入点272 对应的通信控制,例如使雇员在工作时间中不能访问不适当的网站等。图22示出了通信控制系统的又一个配置例子。本图也是表示无线 LAN的例子,但是与图21不同,通信控制系统IOO设置在路由器装 置274中。由于在路由器装置274中设置通信控制系统100,因此可 以减少通信控制系统IOO的设置个数,维护也变得容易。图23及图24示出了通信控制系统另外的配置例子。在图中,示 出了使用个人电脑(PC) 280作为用户终端的例子。从PC280发出的 访问请求,通过LAN的路由器装置282及284向因特网200送出,通 过因特网200到达WEB服务器250。图23所示的是在路由器装置282 中设置通信控制系统100的例子,图24所示的是在路由器装置284 中设置通信控制系统100的例子。在上述的例子中,示出了在构成网络的装置中嵌入通信控制系统 100的例子,但是,除这些装置以外,通信控制系统100也可以设置 在网络的任意位置。在这些配置例子中,对于基站装置262或者接入点272的天线、 控制站装置264或者路由器装置274、 282或284的网络接口等的接收 部接收的通信数据,无需判定是否要访问控制,就可以输出信息。此 外,无需认证请求源的用户是否为用户数据库57中登记的用户,就可 以输出信息。即,通信控制系统100可以捕捉通过的所有数据包,对 该数据包的发信源输出信息。另外,如前提技术说明的那样,可以只 对连接管理服务器120中认证的用户输出信息,也可以只对用户数据 库57中登记的用户输出信息。以上,通过实施方式对本发明进行了说明。本领域的技术人员应该 理解,实施方式仅为示例,本发明还存在对各构成元素或各处理过程
进行组合的各种各样的变形实施例,这些变形实施例也包含在本发明 的范围内。产业上的可利用性本发明可以适用于对内容的访问可否进行控制的通信控制系统。
权利要求
1.通信控制装置,其特征在于,包括信息保持部,将通过网络能够访问的位置所保持的内容或服务的地址与应该向请求对该内容或者服务进行访问的请求源输出的信息进行关联对应保持;检索部,获取用于请求对所述内容或者服务进行访问的通信数据,检索所述通信数据中是否含有所述地址;信息输出部,当所述通信数据中含有所述地址时,从所述信息保持部读出与该地址关联对应的信息并输出。
2.根据权利要求1所述的通信控制装置,其特征在于,所述信息址与应该向请求对该内容或者服务进行访问的请求源输出的信息进行 关联对应保持。
3.根据权利要求1或2所述的通信控制装置,其特征在于,所述 信息保持部将所述内容或服务分为多个类别,并按每个类别保持应该 向请求访问该类别所属的内容或服务的请求源输出的信息。
4.根据权利要求1至3任一项所述的通信控制装置,其特征在于, 还包括用户数据库,保持用于确定用户的信息,所述检索部通过对所述通信数据中包含的表示所述通信数据的发 信源的信息与所述用户数据库中登记的用于确定所述用户的信息进行 比较,从所述用户数据库中检索所述发信源,所述信息输出部在所述发信源为所述用户数据库中登记的用户时 输出所述信息。
5.根据权利要求4所述的通信控制装置,其特征在于,所述信息 保持部按每个所述用户保持该用户请求对所述内容或服务进行访问时 应该ilr出的4言息。
6. 根据权利要求1至5任一项所述的通信控制装置,其特征在于, 还包括登记受理部,受理所述信息的登记,并将所述信息登记到所述信 息保持部;收费部,对所述信息的登记进行等价收费。
7. 根据权利要求6所述的通信控制装置,其特征在于,所述收费 部在所述信息输出部输出信息时对所述访问的请求源或请求目的地进 行等价收费。
8. 根据权利要求1至7任一项所述的通信控制装置,其特征在于, 还包括履历保持部,保持所述信息的输送履历;评价部,对所述履历保持部所保持的信息的输送履历进行评价。
9. 根据权利要求8所述的通信控制装置,其特征在于,所述评价 部当来自同一访问请求源的访问请求超过预定的数量时,确定该访问 请求源,并指示所述信息输出部向该访问请求源输出信息。
10. 根据权利要求1至9任一项所述的通信控制装置,其特征在 于,还包括在与便携式通信终端之间通过无线通信发送接收信号的天 线,所述通信数据通过所述天线由所述便携式通信终端接收,所述信 息通过所述天线向所述便携式通信终端发送。
全文摘要
本发明提供一种根据对内容或者服务的访问请求,输出适当信息的技术。通信控制装置(10)接收对内容或者服务的访问请求的数据包,判定是否可以进行该访问,当访问被禁止时,指示信息输出服务器(130)输出错误信息等信息。信息保持部(132)按每个访问请求源的用户、或每个访问请求目的地的URL和类别保持对访问请求源输出的信息。登记受理部(135),受理信息的登记,指示收费部(136)收取登记费。收费部(136)进行从登记者的账户减去登记费的处理。信息输出部(131)从通信控制装置(10)获取访问请求源的用户ID,参照信息保持部(132),输出为该用户设定的信息。
文档编号G06F13/00GK101151602SQ200680010718
公开日2008年3月26日 申请日期2006年1月31日 优先权日2005年2月18日
发明者名古屋贡, 铃木淳 申请人:Duaxes株式会社