专利名称:用于阻止连接至因特网服务提供商网络中的有害信息的系统和方法
用于阻止连接至因特网服务提供商网络中的有害信息的系统和方法 駄领域本发明涉及一种用于Plih连接至因特剛艮^if共商(ISP)网络中的有害信息的 系统和方法,所述系统和方法ffiih用户计穀几根据用户的请求、利用HITP协议通 过有害站点的URL访问有害信息,或^i方问通过文件共享服务(例如P2P、网络硬 件等)或通过专用的应用禾聘(例如信使等)掛共的有害信息。更特别地,本发明 涉及一种用于阻止连接至ISP网络中的有害信息的系统和方法,所述系统和方法具 有以下构思禾U用从ISP的多个有害信息fflih系统PoP中选择性分配的有害信息阻 止系统接入点(PoP)来阻止有害信息阻止服务用户的业务中包括的、具有有害信 息的特定业务。背景駄当前,因特网上存在太多的有害信息。这些过多的有害信息不仅在特定的网站 例如色情网站,而且通过文fW享方式,例如P2P、网络硬盘,信使等广泛地传播, 从而形成了一种即使青少年也能够很容易地访问有害信息的环境。为了解决这一问题,截至目前,提出了多种用于防止特定用户的计算机访问因 特网上存在的各种有害信息的方法和装置。然而,大部分解决方法都具有局限性, 因为解决方法自身的功能具有许多局限,或者采用解决方法将导致不同的问题。当前使用的有害信息阻止方案可以粗略i被吩为以下三种方案第一种方案是客户端方案,其中能够执行有害信息fflih功能的软件被安装在用户的客户端PC中。 第二种方案是Plih服务器方案,其中用于ffiih有害信息的服务器被安装在学校、公 司或社团的局域网中。第三种方案是将第一种方案和第二种方案相结合的一种方案。 根据第三种方案,由软件在用户计算机中M代理功能,基于代理的ffiih服务器被 安装在用户局域网或者公共网络中,从而用户计算机不可以不通过具有有害信息阻 止功能的aiiJ艮务器而访问因特网,从而卩Iih了与有害信息的连接。第一种方案,通常用于家用PC,其导致的基本不便之处在于Plih软件必须被安 装在用户的PC中以限帝情少年通过因特网访问有害信息,例如有害网站、P2P、网 乡#^^:等。而且,第一种方案依赖于PC的操作系统(OS)以及网络浏览器环境, 并且具有缺陷,因为如果安装在用户PC中的aih软件被刪除,则期望的fflih操作 将不被执行,需要家长不断地管理家中的阻止软件。第二种方案需要服务器管理员管理通常位于学校或者社团中的有害信息阻止月艮 务器,由于浪费了大量的时间和成本并且需要一个专门管理员来负责阻止服务器, 因此其具有缺陷。第三种方案需要以下f,,改变用户PC的设置首先要执行用户PC上代理功能的设置,以便执行正常操作。根据第三种方案,随着用户数量的增加,ffiih服务器被施加更大的负载,从而延迟了包的处理,因此严重降低了因特网的数据速率。因 此,第三种方案不适于容纳大量的用户。此外,与第一种方案类似,第三种方案具 有的缺陷在于,如果相应的软件从用户PC中被删除或者如果代理设置被改变,它 将不能^f共有害信息阻止功能。同时,另外,作为ffljJb有害站点的解决方法,有一种ffiih高速缓存服务器中的有害站点的高速缓存方案,以及为因特网网关设备中待阻止的有害站点指定IP过滤器列表并ffljh有害站点的路由器过滤方案。然而,这些方案的问题在于其具有低成功率以及不稳定性,并且降低了因特网的数据速率。为了解决现有技术中的这些问题,提出了一种由因特剛艮#^共商(isp)通过集中控制为用户掛贿害站点iaih服务的网络阻止方案。根据该网络阻止方案,有害信息卩lih系统PoP被安装在ISP 网络中,当用户试图访问有害站点时,将用户的请求包与有害站点DB进行比较, 从而阻止到该有害站点的连接。这种网络阻止方案具有ffiih成功率高的优点,用户不可能通过随意删除软件的方^^规避有害信息阻止,其不需要客户(例如,学校 或者公司)雇用一个专门的管理员,不会降低因特网的速度,能够实时更新有害站点DB, aih的稳定性卓越,并且J^共了重新路由功能。因此,网络卩Ilh方案可被认为是一种相当有效的解决方法。然而,根据图1所示的网络Kih方案的第一模型,业务由被包括在ffljh^统中 的第四层(M)交换机30进行路由。然后,极高速的业务输入ffiih系统中的L4交 换机30,而不区分有害信息连接ffiiU艮务用户20禾口非用户10。随后,在对服务用户20的业务和服务非用户io的业务彼itkis行区分后,非用户io的业务Mi:樹专送至因特网,并且服务用户20的业务根据L4交换机30中建立的规则被施加给阻止 服务器40a和40b,进行过滤,然后被传i^合因特网。因此,由于顿业务ltt加 给L4交换机30,没有区分卩M:服务的服务用户20和服务非用户10,大量的负载 被施加给L4交换机,因此导致L4交换机30产生故障的问题。为了解决第一模型的问题并皿一步提高ISP网络的稳定性,提出了图2所示7的系统(参见由本发明人提交的登记号为10-0478899B1的韩国专利)。该系统被提 出以防lhX寸非用户10的业务在因特网访问服务时发挥作用而在ffiih系统80中发生 故障,该系统被构造成进入有害信息阻ihl艮务的用户10的业务被从访问网络中区分 出来,并由独立构造的有害信息处理系统80 (包括81和82)进行处理,由于其从 现有网络50, 60和70中独立出来,因此可被容易地操作和管理。为了这一目的, 除了上述结构之外,提出采用隧道协议技术(例如,禾U用图2中所示的L2TP隧道 的方案)和包镜像技术。详细地,根据图2所示的常规系统,ISPilii各种访问网络,例如xDSL、电缆、 无线因特网、ISDN、专用线等,向用户提供因特网服务。接收因特剛艮务的因特网服务用户可以只需M定购由isp附加提供的有害信息(aihl艮务而被劍共有害信息ffiltl艮务,无需改变W她自身PC的任何设置。当用户加入有害信息ffllh服务时, ISP将有害信息卩MJ艮务用户的信息(例如,MAC地址或ID/密码)输入至用户控 制装置。然后,当有害信息卩lih服务用户访问因特网或者传送包以使用因特网时, 用户控制装置进行区分并通过不同的路由分别传送用户20的业务以及非用户10的 业务。例如,隧道协议,如图2所示的第二层隧道协议(L2TP)可l細于区分有害 信息卩lih服务用户的业务与非有害信息fflih服务用户的业务,以及将有害信息阻止 服务用户的业釗专送至有害信息Eih系统PoP80。因此,根据ISP的结构,可以使 用策略路由(PBR)技术代替隧道协议分别传送有害信息ffiihl艮务用户的业务和非 有害信息阻lhl艮务用户的业务。接收到有害信息阻lfcl艮务用户20以包的形式的业务后,有害信息阻止系统80 执行包镜像操作,并且ffiJl将镜像包与由有害信息控制列表DB服务器实时更新的 有害信息DB比较来分析有害信息阻lhl艮务用户的镜像包。然后,如果相应的包请 求有害信息,有害信息卩lih系统PoP80传送阻止消息至有害信息阻lh)l务用户的终 端,荆专^i^接关闭消息至有害信息卩MJ艮务用户试图访问的掛將害信息的服务 器,从而防止包括有害信息的下载业务被传送至有害信息ffiihl艮务用户。因此,应 该清楚地理解,当确定所述W"应于正常的包时,镜像方案中接收的包被丢弃,因 此即使有害信息阻iU艮务用户也能够正常地访问因特网。然而,即使在图2所示的系统中,随着有害信息阻IU艮务用户数量的增长,集中于有害信息阻止系统PoP的业务增加而导致瓶颈效应,从而降低了有害信息l^ih服务用户的因特网速度。同样,这种常规系统具有结构难题,因为有害信息阻止系统PoP必须在整个区域中安装。此外,常规系统具有各种问题,例如,当单个fflih系统PoP中发生故障或者当ISP网络不稳定时,由于没有故障恢复方法即使基础的因特网服务也不能提供给有害信息阻止服务的用户。另一方面,掛共给因特剛艮务用户的有害信息fflihl艮务仅 仅是除由isp撤共的基础因特剛艮务之外被劍共给用户的一种补充S艮务,因此不考 虑该补充服务,最重要的是基础因特网服务被平稳地劍共给有害信息Sihl艮务的用 户。然而,在常规的系统中,如果发生了诸如有害信息^ifcl艮务的系统中与补充月艮 务相关的故障,因特网的速度将变慢或者不能够访问因特网,从而X寸基础的因特网 服务施加了不好的影响并且导致了严重的有害效果。发明内容技术问题因此,本发明被用于解决发生在现有技术中的上述问题,并且本发明掛共了一 种用于ffiit连接至有害信息的系统和方法,其包括多个有害信卽lih系统PoP,因 此即使当有害信息阻止系统PoP出现故障,用户也能够被正常地提供基础因特网服 务和有害信息aji:服务。同样,本发明提供了一种用于卩M:连接至有害信息的系统 和方法,其将业务适当地分配给多个有害信息阻止系统PoP,从而防ibl量的业务 被集中到一个特定的有害信息阻止系统PoP并降低了发生瓶郝见象的可能性,因此 即使有害信息ffiih服务用户的数量增加,月艮务也能够平稳地被J^共而不会降低因特 网速度。此外,本发明提供了一种用于阻止连接至有害信息的系统和方法,,测 到在有害信息阻止系统PoP中发生的故障并启用另一个有害信息PM:系统PoP直到 该故障被恢复,因此提高了整个系统的可靠性。技术方案根据本发明的一个方案,提供了一种包括提供阻止连接至因特网服务提供商 (ISP)网络中的有害信息的功能的系统,所述系统包括多个有害信息阻止系统PoP,其位于ISP的主干网中;有害信息控制列表DB服务器,其用于实时地传送阻止目标有害信息的控制列 表DB至多个有害信息阻止系统PoP;用户控制装置,其包括用户业务区分准難制器,用户业务区分准送控制器执行控制操作从而使有害信息阻ihl艮务用户的业务从其ftblk务中被区分出来,并被传送至从多个有害信息阻止系统pop中选择出的一个有害信息阻止系统pop;以及有害信息阻止系统PoP监控装置,其用于监控有害信息阻止系统PoP的当前状 态,检查針有害信息卩M:系统PoP是否正常运行,以及传送检查结果至用户控制装置,其中多个有害信息阻止系统PoP收集由用户控制装置M包衞,置区分的有害信 息fflih服务用户的业务,通过将该收集的业务与由有害信息控审咧表DB月艮务器实 时或者周斯性更新的有害信息DB比较以分析收集的业务,确定服务用户的请求包 中是否包括连接至有害信息,例如有害站点、P2P、网络硬盘等的请求,当确定服 务用户的请求包中包 ,接至有害信息的请求时阻止连接至有害信息;以及用户控帝U装置的用户业务区分准送控制器被构造为基于接收自有害信息阻止 系统PoP监控装置的多个有害信息阻止系统PoP的状劍言息确定一个有害信息阻止 系统PoP,并传送有害信息阻止服务用户的业务至所述确定的有害信息阻止系统 PoP。根据本发明的另一个方案,提供了一种用于阻止连接至因特网服务提供商(ISP)网络中的有害信息的方法,戶舰方 跑括用户信息注册步骤,其中,当用户请求ISP接受M31在线或者脱机加入有害信息PM:服务时,关于用户加入有害信息阻止服务的信息被注册到用户控制装置中;有害信息阻止系统PoP监控信息传送步骤,其中,监控多个有害信息阻止系统PoP的当前状态的有害信息ffljh系纟ffi控装置检查每个有害信息fflih系统PoP的位置信息和状态信息,然后传送检査结果至用户控制装置;有害信息ffiih系统PoP确定步骤,其中,在接收到有害信息Eih系统PoP的位置信息和关于有害信息阻止系统PoP的当前状态的状劍言息后,用户控制装置从多 个有害信息fflih系统PoP中选择和确定一个有害信息阻止系统PoP;有害信息阻止服务用户业务区分准送步骤,其中,当用户访问因特网或者传送包时,用户控制装置识别所述用户是否x寸应于有害信息aitl艮务用户,通过隧道协议或者由策略路由(PBR)技术等组成的路由技术组中选择出的一个路由技术,将有害信息卩M:服务用户的业务从非有害信息fflih服务用户的业务中区分出来,然后将用户业务传送至在有害信息阻止系统PoP确定步骤中确定的有害信息阻止系统 PoP;有害信息fflih服务用户包分析步骤,其中,由用户控制装置在有害信息PM:服 务用户业务区分/传送步骤中区分并集中至预定的有害信息阻止系统PoP的用户业务由包镜《蝶置镜像处理,镜像包被分析并与由有害信息控审咧表DB服务器实时 更新的有害信息DB比较,确定用户包是否请求有害信息;以及有害信息ffljh步骤,其中,当确定在有害信息卩M:服务用户包分析步骤中服务用户的包请求有害信息时,阻止消息被传送给服务用户终端,并且连接关闭消息被 传送至服务用户试图访问的服务器,相反,当确定服务用户的舰应于没有请求有 害信息的正常包时,镜像包被丢弃从而能够正常地使用因特网。此处,本发明可以进一步包括基础因特网连接维护步骤,其允许用户控制装置改^ 务路由,从而当没有在有害信息阻止系统PoP确定步骤中确定一个有害信息fflih系统PoP时,有害信息卩M:服务用户的业务经制師户的业务路由被传送至因特网。有益效果如上所述根据本发明,仅通过用户加入ISP就可以在网络阻止方案中有效地防 止有害信息阻ihl艮务用户访问有害信息,例如用户访问有害站点或者MP2P或网 全斜鹏访问有害文件,甚至不需^f壬何用户终端(例如,PC、 PDA等)的改变。同 样,根据本发明,多个有害信息Plih^统PoP被布置在ISP主干网中,其被监控和 有效地操作,从而即使有害信息PMJ艮务用户的数量增加,也能够稳定地Hf共有害 信息阻iiJ艮务。此外,根据本发明,即使在多个有害信息阻止系统PoP中发生了故 障,X寸有害信息卩lih服务用户的基础因特剛艮务根本不受这样的故障影响。同样, 根据本发明,M^又工的PM:装置自身,例如包过滤装置,會,更加稳定地掛贿 害信息阻止服务。此外,根据本发明,从ISP的角度来看,由于ISP通过集中控制 管理用户,能够显著地降低用于掛將害信息PMJ艮务的工作弓破、时间和飛肖。
图1是说明提供有害信息ffiihl艮务的常规系统的结构的框图,其中服务用户的 业务和服务非用户的业务都被ISP网络中的L4交换机处理;图2是说明舰区分服务用户的业务与服务非用户的业^lf贿害信息PM:服务的常规系统结构的框图;图3是说明根据本发明的实施例的ISP网络中的有害信息连接ffiih系统的整体 结构的框图;图4是说明根据本发明的实施例的ISP网络中的有害信息连接ffiih系统内的用 户控制装置的结构的详细框亂ii图5是说明根据本发明的实施例的ISP网络中的有害信息连接阻止系统内的有害信息阻止系统PoP的结构的详细框图;图6是说明根据本发明的另一实施例的ISP网络中的有害信息连接fflih系统的 整体结构的框图;图7是说明根据本发明的实施例的ISP网络中的有害信息连接卩lih方法的程序 的流程图;以及图8是说明根据本发明的另一实施例的ISP网络中的有害信息连接Sih方法的 禾,的流程图。
具体实施方式
此后,将参照附图描述本发明的示例性实施例。在以下描述和附图中,相同的 附图标记用于指示相同或者相似的组件,因ltm相同或者相似组件的重复描述将被 省略。此后,将参照附图详细描述根据本发明的示例性实施例的在因特剛艮^f共商 (ISP)网络中用于阻止连接至有害信息的系统和方法。现在参照图3至6描述根据本发明的示例性实施例的用于阻止连接ISP网络中 的有害信息的系统。如图3所示,根据本发明的实施例的有害信息连接卩Ml系统包括多个有害信息fflih系统PoP400 (即,有害信息fflih^统PoP弁1400a, #2 400b,…弁N400c); 有害信息控帝咧表DB服务器200,其用于将ffiih目标有害信息的控审咧表实时地 传送至多个有害信息阻止系统PoP;用户控制装置300; ISP网络中的有害信息阻止 系统PoP监控装置500,其fflil包括用户访问装置的用户访问网络将因特剛艮务用 户的业务传送至因特网。详细地,如图4所示,该用户控制,300包括用户业 务区分准斑空制器320,其执行控制操作从而使有害信息PMJ艮务用户的业务从全 部业务中区分出来并被传送至从有害信息阻止系统PoP中选择出的一个有害信息阻 止系统PoP。有害信息阻止系统PoP400 (包括400a, 400b和400c)位于ISP的主 干网中;通过包镜^^置收集由用户控制装置300区分出的有害信息阻iiJ艮务用户 的业务;M将该业务与由有害信息控制列表DB服务器200实时或者周期性更新 的有害信息DB比^分析被收集的业务,确定服务用户的请求包是否包 Si接至 有害信息的请求;并且当确定服务用户的请求包包 链接至有害信息的请求时,阻 止连接至该有害信息。此处,用户控制装置300可进一步包括单独的认证服务器310,其用于管理能够使isp确定用户是否加入了有害信息ffliU艮务的认证功能。同时,根据从isp提 供给用户的因特网连接方法(例如,ADSL、 VDSL、基于LAN、 HFC等),不同的 方法可被选择性地用于从全部业务中区分出有害信息fflih服务用户的业务。因此, 负责从全部业务中区分出有害信息阻止服务用户业务的用户业务区分/传送控制器 320可被合并至,户访问网络100,不同于图4所示的结构。在这种情况下,用户业 务区分准送控制器320可被构造为在用户访问网络100中与用户访问装置110相区 分,或者根据本发明的另一个实施例,如图6所示,被合并到用户访问装置110中。 同样,除了认证服务器310,用户控制装置300的其他部分,即包括有害信息ffilh 系统PoP确定单元320A的用户业务区分准送控制器320可以被合并至用户访问网 络IOO,如图6所示。此外,有害信息阻止系统PoP监控装置500监控有害信息阻止系统PoP的当前 状态从而检查状劍言息,例如,針有害信息aih系统PoP是否正常运行,并且传 送检查结果至用户控制装置300。如图4和图6所示,用户控制装置300的用户业务区分准送控制器320包括有 害信息阻止系统PoP确定单元320A,其用于基于接收自有害信息阻止系统PoP监 控装置500的多个有害信息阻止系统PoP 400 (包括400a, 400b, 400c)的状^f言 息确定一个有害信息阻止系统PoP。此外,^M地,有害信息fflih系统PoP确定单 元320A包括数据库,其用于基于接收自有害信息ffii^系统PoP监控装置500的 有害信息阻止系统PoP的状态信息保存^有害信息卩lih系统PoP的位置和状劍言 息;以及负载分配算法,其用于只要有害信息ffilhl艮务用户访问因特网或者传送包, 利用保存在数据库中的每个PoP的位置和状态信息选择一个有害信息阻止系统 PoP。然后,有害信息ffiih系统PoP确定单元320A基于接收自有害信息ffiih系统 PoP监控装置500的多个有害信息PM:系统PoP400 (包括400a, 400b, 400c)的状 态信息确定一个有害信息ffljh系统PoP,并且有害信息fflihl艮务用户20的业务从用 户访问装置110 (例如,用户访剛艮务器)传送给被确定的有害信息ffllh系统PoP。W^有害信息阻止系统PoP400包括用户连接装置410,其用于当用户访问装 置110 a31隧道效应、策略算法(PBR)等传 务时,接收和处理有害信息阻止 月艮务用户的业务;以及有害信息阻止装置420,其用于确定有害信息阻ihH艮务用户 的业务是否接近有害信息,其中如附图所示,用户连接隧道终端装置可被构造为一个PoP,或者多个用户连接装置可以组合构造一个PoP。在此,更 地,有害信息阻止装置420包括如图5所示,包镜像装置421, 其用于执行与有害信息阻止服务用户的业务相关的包镜像操作,当业务被传送至ISP 主干网时,包镜像操作被传送给用户连皿置410。包过滤^S422和423,其包括 至少两个包过滤交换机以便过滤由包镜像装置421镜像处理的包;以及包过滤交换 miM空装置425,其用于分另臓定包过滤交换机中的一个为激活交换机422而另一 个为备用交换机423。根据本发明的特征的包括在有害信息连接卩M:系统中的用户控制装置300,通 过利用接收自有害信息卩且止系统PoP监控装置500的有害信息阻止系统PoP 400的 状劍言息,保存关于針有害信息PM:系统PoP400a, 400b, ......400c的位置信息和当前系统状态的DB。有害信息阻止系统PoP 400a, 400b, ..., 400c的位置信息 可以用阻止系统PoP的代表IP地址表示,当前系统状态可包括关于PoP的详细信 息,例如,根据針PoP,用户的访问量(容量),會,处理的业务量(容量),包 处理延迟时间(包延迟),以及关于系统是否出现故障的信息。只要用户访问因特网 或者传送包,用户控制装置300基于在此利用PoP的状劍言息执行的负载分配算法 确定最佳的有害信息阻止系统PoP,并且通知包括被确定的有害信息阻止系统PoP 的用户访问装置110的用户访问网络100,从而将有害信息阻止服务用户20的业务 适当地分发并分配给有害信息卩M:系统PoP。负载分配算法可被实施为基于参 择一个有害信息阻止系统PoP,这些参数 包括网络中的距离(例如,路由段计数)和有害信息阻ihl艮务用户与^有害信息 PM:系统PoP之间的路由上的网络状态,以及当前用户和业务容量,然后通过管理 员人工设置一个有害信息阻止系统PoP。当由于^有害信息阻止系统PoP的用户容量超额或者由于系统故障而没有更 多可服务的PoP时,用户控制装置300不再区分用户和非用户的业务路由,微行 设定操作从而使有害信息fflih服务用户禾啡用户都能够4顿基础因特网路由,因此 对于用户的基础因特剛艮务没有影响。同时,根据本发明的一个实施例,用户控制装置300可以按以下方式构造如 图3所示,用户控制體300从用户访问网络100中区分出来并被包括在现有的ISP 用户认证系统中。根据本发明的另一个实施例,如图6所示,用户控制装置300可 以按用户业务区分准继制器320包括有害信息ffilh系统PoP确定单元320A的形式合并到用户访问网络100中。在这种方式下,根据情况用户控制装置300可被实 施为PBR等功能。同样,如下所述,多种方案可被用于确定最佳的有害信息Plih系 统PoP。包括循环法(Round Robin)方案,其从有害信息阻止系统PoP列表DB中 一个接一个地分配可服务的PoP;最小连接方案,其传送相应的业务至包括最少当 前访问用户数量或者最小业务量的特定PoP;以及加权方案,其根据有害信息阻止 系统PoP给出不同的加权从而使特定的有害信息阻止系统PoP能够容纳相对较多的 用户访问。 地,本发明被实施为依据管理员的设置选择和改变算法(例如,方 案)。同样,有害信息ffilt^统PoP监控體500 M各种参数实时地监控針有害 信息阻止系统PoP,从而检查是否^PoP正常运行。用于监控有害信息阻止系统 PoP的参数可以包括多个变量,例如,关于是否包括在有害信息PM:系统中的齡 装置都正常运行,齡相应的PoP的用户和业务容量(例如,当前容量与最大可容 纳容量的比例),用户包处理延迟时间(包延迟),以及由管理员人工设置的策略的 信息。有害信息阻止系统PoP监控设备500实时地传送这些测量到的信息至用户控 制装置300,从而4細户业务区分准i^g 320能够i顿所述信息选髓于容纳用 户业务的最佳有害信息aih系统PoP。同样,管理员可以通过修改这些参数来改变 最佳的有害信息卩M:系统PoP。在监控PoP时,当有害信息Klh系统PoP监控装置 500确定有害信息fflih系统PoP由于用户容量超额或者系统故障而不能再容纳用户 时,有害信息阻止系统PoP监控装置500实时传送关于PoP的故障信息至用户控制 装置300,从而防止有害信息ffilh服务用户的业务被传送至相应的PoP。因此,有 害信息阻止服务能够由不同的稳定的PoP持续地^f共,或者即使在所有PoP都发生 故障的最坏情况下,也能掛共基础因特剛艮务。在此,如图6所示,当用户控制^S300以用户业务区分/传^J空制器320包括 有害信息卩lih系统PoP确定单元320A的形式合并至l佣户访问网络廳时,有害信 息阻止系统PoP监控装置500也可与用户控制装置300 —起被合并至用户访问网络 亂图5是说明根据本发明的示例性实施例的用于当接收到用户业务时防止用户连 接至有害信息阻止系统PoP中的有害信息的有害信息阻止装置的结构的框图。根据 本发明的实施例,用于阻止有害信息的装置具有双工结构,从而能够Jif共更加稳定如上所述,有害信息阻止服务用户20的业务从用户访问网络100被传送给由用户控制装置300设定的有害信息阻止系统PoP400中的一个的用户连接装置410。传送给用户连接装置410的业务被传送至ISP主干网,然后M有害信息阻止 装置420的包衞蝶置421传送至包过滤装置422和423。这种情况下,包过滤装 置422和423具有由激活交换机422和备用交换机423构成的双工结构以稳定地阻 止有害信息,包衞t^a 421传送相同的用户业务至两个包过滤交换机422和423。 在包过滤交换机422和423中,当设置为激活状态的包过滤交换机422正常处理用 户的包以阻止有害信息时,设置为待机状态的包过滤装置423丢弃收到的用户包以 Jif共正常的服务。如果在激活交换机422中发生故障,备用交换机423作为激活交 换禾腿行以处理用户的包,从而即使当一个包过滤交换机发生故障时也能稳定地提 供有害信息阻lU艮务。激活交换机422和备用交换机423的这种操作由交换IK控 装置425控制。交换机监控装置425通过SNMP、 ICMP等周斯性地检査包过滤装 置,即前述激活交换机422和备用交换机423是否正常运行。在这种监控中,当确 定激活交换机422中发生了故障时,交换机监控装置425将备用交换机423的设置 改变为激活状态从而能够正常地劍共有害信息卩M:功能。包过滤交换机422和423只X寸接收自包镜像装置421的用户包中卩M:服务所必 需 行区分和过滤,并将被过滤的包分发并传送至多个阻ihl艮务器424a。在此瞎 况下,,地,包过滤交换机422和423通过TCP/UDP端口监控、SNMP、 ICMP、 与Plih服务器424 a相关的连接状态监J辣监控卩M:服务器424a的操作,从而检查 Plih服务器424a是否正常运行,以及当特定的aLtJ艮务器未正常运行时,包过滤交 换机422和423不再将用户包传送至戶;M特定的fflih服务器以适应性地处理PMJ艮 务器424a的故障。图7和8是基于本发明的另一个方案的说明本发明的用于胆止连接至有害信息 的方法实施例的流程图。如图7所示,根据本发明第一实施例的用于fflih连接至ISP 网络中的有害信息的方^^括用户信息注册步骤SIOO,有害信息PM^统PoP监控 信息传送步骤S200,有害信息阻止系统PoP确定步骤S300,有害信息阻止服务用 户业务区分/传送步骤S400,有害信息阻iU艮务用户包分析步骤S500,以及有害信 息Kih步骤S600。在用户信息注册步骤sioo中,当用户请求isp接^M:在线或者脱机加入有害 信息ffiiU艮务时,关于用户加入有害信息PMJ艮务的信息被注册至,户控制装置中。在有害信息阻止系统PoP监控信息传送步骤S200中,监控多个有害信息fflih^统 PoP的当前状态的有害信息Kih系统监控装置检査每个有害信息阻止系统PoP的位 置信息和状^i言息,然后传送检查结果至用户控制装置。在有害信息阻止系统PoP 确定步骤S300中,在接收到有害信息阻止系统PoP的位置信息和关于其当前状态 的状态信息后,用户控制装置从多个有害信息aih系统PoP中选择和确定一个有害 信息阻止系统PoP。 地,在有害信息阻止系统PoP确定步骤中,禾佣接收自有害信息阻止系统 PoP监控装置的有害信息阻止系统PoP的状^i言息,用户控制装置将^有害信息 阻止系统PoP的位置信息和状劍言息保存为数据库。只要害信息fflihl艮务的用户访 问因特网或者传送包,利用数据库中旨PoP的位置信息和状态信息以及负载分配 算法选择一个有害信息,系统PoP。此处,有害信息ffilhl统PoP的位置信息可对应于卩M:系统PoP的代表IP地 址,有害信息阻止系统PoP的状态信息可包括从状劍言息组中选择出的至少一个, 根据每个PoP,所述状劍言息组由用户访问量、會^够处理的业务量、包处理延迟时 间,以及关于是否出现了故障的信息组成。优选地,负载分配算法可被实施为基于 参数选择一个有害信息阻止系统PoP,这些参数包括网络中的距离,有害信息阻止 月艮务用户与^有害信息阻止系统PoP之间的路由上的网络状态,当前用户和业务 容量。此外,更,地,负载分配算法可以被实施为管理员能够人工设置一个有害 信息阻止系统PoP。在有害信息卩MJ艮务用户业务区分/传送步骤S400中,当用户访问因特网或者 传送包时,用户控制装置识别所述用户是否X寸应于有害信息ffiihl艮务的用户,通过 隧道协议或者由策略路由(PBR)技术等组成的路由技术组中选择出的一个路由技 术,将有害信息ffiltl艮务用户的业务从非用户的业务中区分出来,然后传送用户业 务至在有害信息阻止系统PoP确定步骤中确定的有害信息卩lih系统PoP。在有害信 息Plih服务用户包分析步骤S500中,由用户控制體在有害信息ffiih服务用户业务 区分准送步骤中区分出并集中至预定的有害信息阻止系统PoP的用户业务被包镜 〈t^S镜像处理,镜像包被分析并且与由有害信息控制列表DB服务器实时更新的 有害信息DB比较,并确定用户包是否请求有害信息。在有害信息阻止步骤S600 中,如果在服务用户包分析步骤中确定服务用户的包请求有害信息,PM:消息被传 送给服务用户终端并且连接关闭消息被传送给服务用户试图访问的服务器。相反,17如果确定服务用户的包对应于没有请求有害信息的正常包,镜像包被丢弃从而能够 正常地使用因特网。图8示出了根据本发明的第二实施例的用于阻止连接至有害信息的方法。根据 本发明的第二实施例,用于阻止连接至有害信息的方法进一步包括基础因特网连接维持步骤S700,其允许用户控制装置300改 务路由,从而当没有在有害信息阻 止系统PoP确定步骤S300中确定一个有害信息阻止系统PoP时,有害信息阻lU艮 务用户的业务经由非用户的业务路由被传送至因特网。尽管为出于解释目的对本发明的一些示例性实施例进行了描述,本领域技术人 员必须意识到在不背离随附的权利要求所公开的本发明的范围和lf神盼瞎况下,能 够进行各种改进、增加和等同替换。因此,应该理解的是上述实施例仅仅是出于解 释和说明的目的而并非以任何方式限制本发明。因此,本发明的保护范围并非由所述实施例确定,而是由权利要求及其法律意 义上的等同替换允许的范围确定。
权利要求
1.一种用于阻止连接至因特网服务提供商(ISP)网络中的有害信息的系统,其中因特网服务用户的业务通过包括用户访问装置的用户访问网络被传送至因特网,所述系统包括多个有害信息阻止系统PoP,其位于所述ISP的主干网中;有害信息控制列表DB服务器,其用于实时地传送阻止目标有害信息的控制列表至所述多个有害信息阻止系统PoP;用户控制装置,其包括用户业务区分/传送控制器,所述用户业务区分/传送控制器执行控制操作从而使有害信息阻止服务用户的业务从其他业务中被区分出来,并被传送至从所述多个有害信息阻止系统PoP中选择出的一个有害信息阻止系统PoP;以及有害信息阻止系统PoP监控装置,其用于监控所述有害信息阻止系统PoP的当前状态,检查状态信息,例如关于每个有害信息阻止系统PoP是否正常运行的信息,以及传送检查结果至所述用户控制装置,其中所述多个有害信息阻止系统PoP收集由所述用户控制装置通过包镜像装置区分的所述有害信息阻止服务用户的业务,通过将收集的业务与由所述有害信息控制列表DB服务器实时或者周期性更新的有害信息DB比较以分析所述收集到的业务,确定服务用户的请求包中是否包括连接至有害信息的请求,当确定所述服务用户的请求包中包括连接至有害信息的请求时阻止连接至所述有害信息;以及所述用户控制装置的用户业务区分/传送控制器被构造为基于接收自所述有害信息阻上系统PoP监控装置的所述多个有害信息阻止系统PoP的状态信息确定一个有害信息阻止系统PoP,并将所述有害信息阻止服务用户的业务从所述用户访问网络中的所述用户访问装置传送至所述确定的有害信息阻止系统PoP。
2. 如权利要求i戶;M的系统,其中用于确定用户是否加入了所述ISP网络中的有害信息阻ihi艮务的认证服务器被安装,以使戶;f^认证服务器连接至所述用户访问 网络。
3. 如权利要求l戶脱的系统,其中戶欣用户控制體进一步包括用于确定用户 是否加入了所述ISP网络中的有害信息阻itl艮务的认证服务器。
4. 如权利要求1所述的系统,其中所述用户控制装置被合并妾跟继用户访问网络。
5. 如权禾腰求4戶腿的系统,其中所述有害信息卩M:系统PoP监控装置与所述用户控制装置一起被合并到所述用户访问网络。
6. 如权利要求l所述的系统,其中^有害信息阻止系统PoP包括 用户连接装置,其用于当所述用户访问装置通过PM效应、策略算法(pbr)等传ia务时,接收和处理戶;M有害信息PM:服务用户的业务;以及有害信息阻止装置,其用于确定所述有害信息阻ihl艮务用户的业务是否接近所述有害信息。
7. 如权利要求6所述的系统,其中有害信息阻止,包括包镜#^置,其用于执行与所述有害信息阻止服务用户的业务相关的包镜像操作,当戶; 务正在被传送至isp主干网络时,戶腿包镜像操作被传送给所述用户连接装置;包过滤装置,其包括至少两个包过滤交换机,以过滤由戶;M包镜f蝶置镜像处理的包;以及包过滤交换mns控装置,其用于区分并确定所述包过滤交换机中的一个为激活 交换机而另一个为备用交换机。
8. 如权利要求7所述的系统,其中戶;f^包过滤交换mi^控装置iM: snmp、icmp等方式周期性地检查所述激活交换机和戶,备用交换机是否正常运行,并且当所述激活交换机发生故障时,所述备用交换机的设置被改变为作为激活交换t;i^行。
9. 如权利要求1至8中任一项所述的系统,其中戶;M用户控制装置的所述用户业务区分准斑空制器包括有害信息fflih系统PoP确定单元,其用于基于接收自所述有害信息阻止系统PoP监控装置的多个有害信息 Kih系统PoP的状劍言息确定一个有害信息阻止系统PoP,以及戶;M有害信息ffiih系统PoP确定单元包括 库,所述数据库用于基于接收自所述有害信息阻止系统PoP监控装置的所述有害信息阻止系统PoP的状态信息来保 存旨有害信息阻止系统PoP的位置和状劍言息;以及负载分配算法,其用于只要所述有害信息阻止服务用户访问因特网或者传送包,M:^ffl保存在戶;M数据库中的每个PoP的所述位置和状态信息 择一个有害信息阻止系统PoP。
10. 如权利要求9戶服的系统,其中每个有害信息阻止系统PoP的位置信息X寸应于所述^有害信息阻止系统PoP 的代表ip地址;以及每个有害信息阻止系统PoP的状态信息包括从状态信息组中选择出的至少一个,根据所述^有害信息PM:系统PoP,所述状^f言息组由用户访问量、能够处理的业务量、包处理延迟时间,以及关于是否出现故障的信息组成。
11. 如权利要求9戶脱的系统,其中所述负载分配算法按以下方式实施,基于参数选择一个有害信息阻止系统PoP, 所述参数包括网络中的距离,所述有害信息阻ihl艮务用户与旨有害信息阻止系统PoP之间的路由上的网络状态,以及当前用户和业务容量;并且通过管理员人工建 立一个有害信息阻止系统PoP。
12. 如权利要求1至8中任一项戶舰的系统,其中,当所述用户控制装置的用户业务区分/传送控制器不能基于接收自所述有害信息阻止系统PoP监控装置的多个有害信息阻止系统PoP的位置信息和状劍言息确定戶服一个有害信息ffiih系统PoP时,所述用户业务区分准齒空制器经由非有害信息 PM:服务用户的业务路由传送戶;M有害信息阻止服务用户的业务。
13. —种用于ffljh连接至因特剛艮^M共商(isp)网络中的有害信息的方法,所述方飽括用户信息注册步骤,其中,当用户请求isp接受M:在线或者脱机加入有害信息PMJ艮务时,关于戶;M用户加入所述有害信息ffiih服务的信息被注册到用户控制装置中;有害信息阻止系统PoP监控信息传送步骤,其中,监控多个有害信息阻止系统 PoP的当前状态的有害信息阻止系纟ffi控装置检査每个有害信息阻止系统PoP的位 置信息和状^f言息,然后传送检査结果至用户控制装置;有害信息阻止系统PoP确定步骤,其中,在接收到所述有害信息阻止系统PoP 的位置信息和关于戶;f^有害信息fflih系统PoP的当前状态的状态信息后,所述用户 控制装置从多个有害信息阻止系统PoP中选择和确定一个有害信息阻止系统PoP;有害信息阻止服务用户业务区分准送步骤,其中,当所述用户访问因特网或者 传送包时,所述用户控制装置识别戶脱用户是否对应于有害信息Pllh服务用户,通 过隧道协议或者由策略路由(pbr)技术等组成的路由技术组中选择出的一个路由 技术,将有害信息卩llhl艮务用户的业务从非用户的业务中区分出来,然后将所述用 户业务传送至在所述有害信息阻止系统PoP确定步骤中确定的有害信息阻止系统PoP;有害信息阻止服务用户包分析步骤,其中,由所述用户控制装置在所述有害信息阻止服务用户业务区分准送步骤中区分并集中至预定的有害信息阻止系统PoP 的用户业务由包镜f蝶置镜像处理,镜像包被分析并与由有害信息控制列表DB服务器实时更新的有害信息DB比较,确定所述用户包是否请求有害信息;以及有害信息阻止步骤,其中,当确定在所述有害信息阻止服务用户包分析步骤中 所述服务用户的包请求有害信息时,阻止消息被传送给服务用户终端,并且连接关 闭消息被传送给所述服务用户试图访问的服务器,相反,当确定所述服务用户的包x寸应于没有请求有害信息的正常包时,所述镜像包被丢弃从而能够正常地使用因特网。
14. 如权利要求13所述的方法,进一步包括基础因特网连接维护步骤,其允许 所述用户控制装置改7 务路由,从而当没有在戶;M有害信息阻止系统PoP确定步 骤中确定一个有害信息阻止系统PoP时,所述有害信息PM:服务用户的所M务经 由非用户的业务路由传送至因特网。
15. 如权利要求13或14所述的方法,其中在所述有害信息阻止系统PoP确 定步骤中,禾,接收自戶腿有害信息ffiih^统PoP监控體的所述有害信息Plih系 统PoP的状^f言息,关于針有害信息fflih系统PoP的位置信息和状劍言息被保存 为数据库;以及只要所述有害信息PM:服务用户访问因特网或者传送包,禾U用戶脱 数据库中針PoP的位置信息和状劍言息和负载分配算法选择一个有害信息PM:系 统PoP。
16. 如权利要求15所述的方法,其中所述有害信息阻止系统PoP的位置信息 对应于0Mfflih系统PoP的代表IP地址,并且所述有害信息卩lih系统PoP的所述 状态信息包括从状态信息组中选择出的至少一个,根据^ PoP,所述状^^言息组 由用户访问量、能够处理的业务量、包处理延迟时间,以及关于是否出现故障的信 息组成。
17. 如权利要求15所述的方法,其中所述负载分配算法按以下方式实施,基于 参魏择一个有害信息卩肚系统PoP,戶腿参数包括网络中的距离,戶微有害信息 fflihl艮务用户与^有害信息阻止系统PoP之间的路由上的网络状态,以及当前用 户和业务容量;并且可以M管理员人工设定一个有害信息卩M:系统PoP。
全文摘要
本发明公开了一种用于阻止连接至因特网服务提供商(ISP)网络中的有害信息的系统。在一个实施例中,所述系统包括多个有害信息阻止系统PoP;有害信息控制列表DB服务器,其用于实时地将阻止目标有害信息的控制列表DB传送至所述多个有害信息阻止系统PoP;用户控制装置,其基于有害信息阻止系统PoP监控装置中的状态信息从所述多个有害信息阻止系统PoP中选择一个有害信息阻止系统PoP,从而将所述有害信息阻止服务用户业务传送至此。根据所述一个实施例,即使所述有害信息阻止服务用户的数量增加,也能够稳定地提供有害信息阻止服务。
文档编号G06F13/00GK101611396SQ200780050122
公开日2009年12月23日 申请日期2007年2月7日 优先权日2007年1月19日
发明者吴采炯, 姜德镐 申请人:普兰蒂网络有限公司