接入服务器及连接限制方法

文档序号：7916509阅读：330来源：国知局

专利名称：接入服务器及连接限制方法
技术领域：
本发明涉及一种接入服务器及连接限制方法，特别涉及到具备下述功能的接入服务器及连接限制方法，该功能为，关于由终端和通信系统做出的过滤，即使在用户终端认证后也能够由接入服务器控制该用户终端可通信的时间段的限制。
背景技术：
在移动电话、个人计算机和便携式游戏机不断普及到日常生活的过程中，已经达到可以利用因特网的环境。包括儿童在内的任何人都在通过因特网利用站点接入、音乐下载或游戏下载等服务。一方面任何人都可以利用，另一方面存在儿童因前往约会类站点等不良站点的接入而受到伤害等的课题。另外，从个人信息外露的观点来看，为了不让信息不经意外露，对不良站点的接入限制也是重要的功能。
对不良站点的接入限制要利用过滤技术，例如有一种将因特网浏览器
或因特网服务提供商(以下，称isp)提供的专用工具安装于客户终端中来
实施过滤的技术。另外，例如还有通过室内路由器等的室内外部装置实施
过滤的技术、在公司等的公司内LAN网络上利用代理(Proxy)服务器的技术(例如，参见专利文献l)以及利用由签约的ISP提供的网页(Web) 网关服务器实施过滤的技术。
作为过滤的功能，例如有利用关键字的功能(例如，暴力等)、不显示所指定Web地址的功能或者只显示所指定Web地址的功能以及按照时间段
不进行显示的功能等。
利用关键字的限制要预先将不适宜的关键字制成表，在所指定的URL 内未包含关键字时，可以不显示Web的页面。但是，有可能发生即便可以让别人观看的URL在关键字已加入时仍无法显示等错误识别。
在利用Web地址的限制的情况时，在不显示所指定Web地址页面的方式下，对未登记的IJTRL没有效果。另一方面，在显示所指定Web地址页面的方式下，自由查看的Web页面等变少。在儿童把查看站点的事情放在心上时，有因为好奇心不管使用任何方法都想查看儿童不能查看的页面的
倾向，例如若是直接写入不良站点的URL地址进行接入等，则利用关键字或web地址的限制在作为过滤的实用性上留下课题。
在时间段的限制的情况下，可以通过设定限制时间来防止因特网的过度使用，限制父母不在的时间段的儿童利用。众所周知，关键字和Web地址的指定等不需要细致的设定，也不用很注重儿童的好奇心，在儿童没有察觉到的状况下就可以实施过滤。
时间段的限制例如有上面所述的在客户终端中安装专用工具通过软件实施的限制，以及在公司等的公司内LAN网络上使用Proxy服务器(参见专利文献1)或由ISP提供的Web网关服务器等、由使用数据库的管理者实施的限制。
另外，在日本特开2006-60862 (专利文献2)中，例如公示出一种根据时间段来控制信息发送的通信方法。在该方法中，例如比较利用者为获得信息预先登录在数据库中的内容、具备计时电路的通信装置通过计时器登记在数据库中的信息提供开始时间和结束时间，若到了该开始时刻，则在利用者对通信网络连接后，发送所请求的信息，若到了该结束时刻，则中止利用者对通信网络的发送。
再者，作为在容纳加入者的通信装置中在认证后控制该每个用户终端的网络连接的通信方法，例如有特开2003-174482 (专利文献3)。采用该方法，例如通信装置在用户终端发出对因特网的连接请求时在认证后预先通过桥式连接或者路由器连接来构成闭合网络。在构建闭合网络后，通信装置通过从该终端开始按照过滤信息的设定请求，变更通信装置的管理表，就可以自由变更该终端的过滤条件。
专利文献1 日本专利3605343号
专利文献2 日本特开2006-60862号公报
专利文献3 日本特开2003-174482号公报
但是，有关利用用户终端的软件工具或室内路由器的用户单独设定接入时间的方式，例如其条件为要安装专用工具，相反在未安装时或因在终端中没有正确设定时间等用户的操作错误而使对不良站点的时间段接入成为可能。另外，为了通过终端设定，有时使用的用户要解除限制才接入站点。
就利用公司内LAN等Proxy服务器的专利文献1所述的技术而言，因为由专用的Proxy服务器来实施过滤，所以适合于公司内LAN等的小型网络，但是不管有线形式或者无线形式在成为用户终端的种类，形式发生变化
的大规模网络时，需要在各网络上设置相同的Proxy服务器。另外，由于在一个Proxy服务器中具有多个数据库，因而负载增加，在冗余性方面留下课题。
由ISP方的Web网关服务器实施过滤的方式，其利用条件为和ISP签约，并且每个ISP服务的内容都不同。
另外，作为可以按照时间段进行信息发送控制的通信方法，就专利文献2所述的技术而言，虽然可以通过该通信装置中利用计时器的管理和数据库，向预先登记的利用者的网络按期望的时间在时间上发送期望的信息，但是在数据库中只登记期望的信息，并不是可以限制利用者通信条件的信息。例如，对于不想让别人观看的信息或不想得到的信息并不是进行基于时间段的控制，任何人都可以取得不想让别人观看的信息和不想得到的信
息o
再者，作为在容纳加入者的通信装置中在认证后控制该每个用户终端的网络连接的通信方法，就专利文献3所述的技术而言，虽然在认证后构成闭合网络，通信装置通过从该终端开始按照过滤信息的设定请求，变更通信装置的管理表，就可以自由变更该终端的过滤条件，但是在因该终端的申报导致的过滤设定变更而例如想要实施时间段上的过滤条件时(例如，白天无过滤条件，夜间严格设定过滤条件)，由于1天需要2次申报，因而需要复杂的操作。存在因为忘记申报导致例如夜间的过滤条件可能被使用于白天，难以实现利用时间设定的过滤服务管理。
不局限于有线或无线等用户终端的形式或ISP方的服务功能，人们要求在可以容纳加入者和ISP的接入服务器中具有能按照时间段限制通信的功能及分配为限制通信，web浏览的装置的功能。

发明内容
鉴于上面的问题所在，本发明的目的为，在接入服务器内具有将限制时间段上的通信的功能，且通过和认证服务器之间的协作，来实现不需要复杂设定的认证。
本发明的目的之一为，即便在用户终端的认证后，也通过按照时间段转换当前和接入服务器连接的Proxy服务器端口，来分散Proxy服务器时间段上的负载，以及由HTTP的利用条件不同的Proxy服务器，按照时间段限制该用户终端的Web浏览。
另外，本发明的目的之一为，即便不知道Proxy服务器的IP地址，也
和上面相同通过转换当前和接入服务器连接的路由器端口，由具有过滤功
能的路由器按照时间段限制该用户终端的Web浏览。
本发明的目的之一为，借助于可以按照时间段过滤当前和接入服务器连接的该用户终端端口，按照时间段限制该用户终端的通信。
为了完成上述课题，接入服务器具备多个端口 21-n，可以容纳图2 所述的多个用户终端或通信网；数据包处理部22;端口转换部22-1;过滤部22-2;控制部23;以及计时电路24。
若从用户终端有了 PPP会话连接，则在图4所述接入服务器的用户管理表224-1中，存储该终端的发送源IP地址2240-12和当前连接用户终端的用户终端端口号码2240-13，并存储图5所述的接入服务器时间段管理表 224-2的用户终端接入时间2240-22。
在存储后，建立PPPoE (PPPoverEther/以太网上的PPP)会话，之后将该用户终端的认证所需要的信息发送给通信系统内的认证服务器14，认证服务器比照图8所述的认证服务器认证管理表的内容，将其结果存储于图7所述的认证服务器的认证数据包300中，发送给接入服务器6，接入服务器6取出该认证数据包300的内容，在图4所述的接入服务器6的用户管理表224-1中存储该终端的用户ID2240-11、 PPP会话ID224(M4、端口转换2240-15和端口过滤设定信息2240-16，存储图5所述接入服务器的时间段管理表224-2的认证服务器认证完成时间2240-23、端口转换开始时间 2240-24、端口转换结束时间2240-25、端口过滤开始时间2240-26和端口过滤结束时间2240-27。
在存储后，在图4所述的接入服务器的用户管理表224-1中按照该用户终端的端口转换2240-15和端口过滤设定信息2240-16的内容，启动图2 所述的计时电路24。
在启动后，根据图4所述的接入服务器的用户管理表224-1和图5所述的时间段管理表224-2的内容，由图3所述的数据包处理部22判断该终端是时间段上转换端口的用户还是断开(过滤)会话的用户。
如果判断的结果为是对象用户，且图2所述的计时电路24所示的时刻在图5所述的接入服务器的时间段管理表224-2的设定时间内，则在是转换端口的用户并且该用户终端知道Proxy服务器的IP地址时，将当前和接入服务器连接的第一 Proxy服务器的端口，通过图2所述的端口转换部22-1 转换为第二 Proxy服务器的端口。若图2所述计时电路24中的计时器满期，则通过图2所述的转换部22-1转换当前和接入服务器连接的Proxy服务器
的端口，返回原来的端口。
另一方面，在该用户终端不知道Proxy服务器的IP地址时，接入服务器将当前连接的路由器A (10)的端口，通过图2所述的端口转换部22-l 转换为路由器B (15)的端口。若图2所述计时电路24中的计时器满期，则接入服务器通过图2所述的转换部22-1转换当前连接的路由器B (15) 的端口，返回原来路由器A (10)的端口。
另外，如果是过滤用户终端端口的用户的情形，则通过图2所述的过滤部22-2对该用户终端的端口进行端口过滤。对于进行端口过滤的数据包的种类(例如，可以使用ICMP: Internet Control Message Protocol/因特网控制消息协议或FTP: File Transfer Protocol/文件传输协议)，并不用来限制本专利。在图2所述计时电路24中的计时器满期之前，过滤该用户终端的端口。
本发明的接入服务器例如用来容纳多个用户终端，与该多个终端进行 PPP会话连接，其特征之一为，具备多个端口，收发上述多个用户终端或认证服务器间的数据包；处理部，根据由上述多个端口的某一个所接收到的数据包内容进行必要的处理，向上述多个端口的某一个进行输出；上述处理部若从上述多个用户终端的某一个终端接收到根据认证服务器认证数据包的Access Ack，则将该终端的信息按照认证数据包的属性对把必要的信息存储于存储部中，识别该终端是在时间段上分配给多台Proxy服务器的用户还是在时间段上过滤该用户终端端口的用户。
其特征之一为，上述接入服务器可以在按照认证数据包的属性对在接入服务器的存储部中是按时间段分配给Proxy服务器的用户时，存储分配的开始时刻/结束时刻的信息，在是按时间段过滤该用户终端端口的用户时，存储过滤的开始时刻/结束时刻，由计时电路管理那些时刻。
其特征之一为，上述接入服务器在是分配给Proxy服务器的用户时，根据分配的开始时刻/结束时刻的信息，按照接入服务器内的用户管理表、时间段管理表和计时电路，转换该Proxy服务器的端口。
其特征之一为，上述接入服务器在是过滤该用户终端端口的用户时，根据过滤端口的开始时刻/结束时刻的信息，按照接入服务器内的用户管理表、时间段管理表和计时电路，过滤该用户终端的端口。
其特征之一为，上述接入服务器可以实施两个方式，包括该终端能够按时间段分配给多台Proxy服务器的方式以及过滤该用户终端端口的方式。
其特征之一为，上述接入服务器由于不管用户终端的方式，容纳有线
形式或者无线形式，因而可以实施分配给Proxy服务器的功能以及过滤该用户终端端口的功能。
其特征之一为，上述接入服务器可以通过按时间段分配给HTTP的利用条件不同的每个Proxy服务器，按照时间段限制该用户终端的Web浏览。
其特征之一为，上述接入服务器可以在该用户终端中的认证实施后限制该终端可通信的时间段。
其特征之一为，上述接入服务器可以通过按每个时间段转换接入服务器的端口，分散当前和接入服务器连接的Proxy服务器时间段上的负载。
其特征之一为，上述接入服务器通过按每个时间段转换接入服务器的端口，即便在该终端不知道Proxy服务器的地址时，也可以在和DNS服务器协作的符合L7切换单元的路由器中，进行时间段上的过滤。
根据本发明的第一解决手段，提供一种网络系统中的接入服务器，
该网络系统具备认证服务器；第一服务器或第一通信装置，对从用户终端对站点的接入进行第一接入限制或者不进行接入限制；第二服务器或第二通信装置，对从该用户终端前往站点的接入进行第二接入限制；以及接入服务器；该接入服务器的特征为，
具备
多个端口，用来和上述用户终端、上述认证服务器、上述第一服务器及/或第一通信装置以及上述第二服务器及/或第二通信装置的每一个进行连接；
端口转换部，将来自上述用户终端的数据包的输出目标端口，根据时间段转换为连接上述第一服务器或者第一通信装置的上述端口以及连接第二服务器或者第二通信装置的上述端口中的某一个；
过滤部，对连接上述用户终端的上述端口进行过滤；
认证处理部，和上述认证服务器进行通信，执行上述用户终端的认证所需的处理；以及
存储器，与用户识别符相对应，存储表示是否是进行端口转换的用户终端的端口转换设定信息、一个或多个端口转换时刻、表示是否是进行过滤的用户终端的过滤设定信息和过滤开始时刻及结束时刻；
上述认证处理部，
若存在来自上述用户终端的接入，则向上述认证服务器发送认证请求，从该认证服务器接收包含认证结果、端口转换设定信息及端口转换时刻和
过滤设定信息及过滤时刻在内的认证数据包，
将该认证数据包中包含的端口转换设定信息及端口转换时刻和过滤设定信息及过滤开始时刻及结束时刻与用户识别符对应地存储在上述存储器中，
上述端口转换部参照上述存储器，在对任意的用户识别符将端口转换设定信息设定成进行端口转换时，若达到了对应的端口转换时刻，则转换来自该用户识别符的用户终端的数据包的输出目标，
上述过滤部参照上述存储器，在对任意的用户识别符将过滤设定信息设定成进行过滤时，若达到了对应的过滤开始时刻，则对连接该用户识别符的端口进行过滤。
根据本发明的第二解决手段，提供一种网络系统中的连接限制方法，
该网络系统具备认证服务器；第一服务器或第一通信装置，对从用户终端向站点的接入进行第一接入限制或者不进行接入限制；第二服务器或第二通信装置，对从该用户终端向站点的接入进行第二接入限制；以及接入服务器；该方法的特征为，
上述接入服务器，
若存在来自上述用户终端的接入，则向上述认证服务器发送认证请求，从该认证服务器，接收包含认证结果、表示是否是进行端口转换的用户终端的端口转换设定信息及一个或多个端口转换时刻、表示是否是进行过滤的用户终端的过滤设定信息及过滤开始时刻及结束时刻在内的认证数据包，
将该认证数据包中包含的端口转换设定信息及端口转换时刻和过滤设定信息及过滤开始时刻及结束时刻与用户识别符对应地存储于存储器中，
参照存储器，在对任意的用户识别符将端口转换设定信息设定成进行端口转换时，若达到了对应的端口转换时刻，则将来自该用户识别符的用户终端的数据包的输出目标转换为连接上述第一服务器或第一通信装置的端口以及连接第二服务器或第二通信装置的端口中的某一个，
在对任意的用户识别符将过滤设定信息设定成进行过滤时，若达到了对应的过滤开始时刻，则对连接该用户识别符的端口进行过滤。
根据本发明，可以在接入服务器内具有将限制时间段上的通信的功能，且通过和认证服务器之间的协作，来实现不需要复杂设定的认证。
根据本发明，即便在用户终端的认证后，也可以通过按照时间段转换
当前和接入服务器连接的Proxy服务器的端口，分散Proxy服务器时间段上的负载，以及由HTTP的利用条件不同的Proxy服务器，按照时间段限制该用户终端的Web浏览。
另外，根据本发明，即便不知道Proxy服务器的IP地址，也和上面相同可以通过转换当前和接入服务器连接的路由器端口，由具有过滤功能的路由器按照时间段限制该用户终端的Web浏览。
根据本发明，通过可以按照时间段过滤当前和接入服务器连接的该用户终端端口，能够按照时间段限制该用户终端的通信。

图1是本实施方式通信系统的结构图。
图2是接入服务器的装置结构图。
图3是接入服务器数据包处理部的结构图。
图4是接入服务器的用户管理表结构例。
图5是接入服务器的时间段管理表结构例。
图6是接入服务器的路由选择表结构例。
图7是认证服务器的认证数据包结构例。
图8是认证服务器的认证服务器管理表结构例。
图9是动作例1中接入服务器的动作时序图。
图10是计时电路的流程图。
图11是动作例2中接入服务器的动作时序图(1)。图12是动作例2中接入服务器的动作时序图(2)。图13是动作例2中计时电路的流程图。
图14是动作例2中端口转换后(端口号码弁6)的用户管理表说明图。图15是动作例2中端口转换后(端口号码#5)的用户管理表说明图。图16是动作例3中接入服务器的动作时序图(1)。图17是动作例3中接入服务器的动作时序图(2)。图18是动作例3中计时电路的流程图。图19是动作例3中用户管理表的说明图。图20是动作例4中接入服务器的动作时序图(1)。图21是动作例4中接入服务器的动作时序图(2)。图22是动作例4中端口转换后(端口号码井8)的用户管理表说明图。
图23是动作例4中端口转换后(端口号码#7)的用户管理表说明图。图24是属性值对的说明图。
符号说明
1:用户终端A (用户ID: abc) 2:用户终端B (用户ID: efg)
3:用户终端C (用户ID: hij) 4:用户终端D (用户ID: opq) 5:接入网 6:接入服务器
7: Proxy服务器l 8: Proxy服务器2
9: ISP网 10:路由器A 11:因特网 12: Web服务器 13: DNS服务器
14:认证服务器 15:路由器B 21-1:端口 1 21-2:端口 2
21- n:端口n
22:数据包处理部
22- 1:端口转换部
22-2:过滤部 22-3:认证处理部 23:控制部 24:计时器 221:接收缓存器 222:数据包处理器 223:发送缓存器 224:存储器 224-1:用户管理表
224-2:时间段管理表 224-3:路由选择表 225:处理器间接口 300:认证数据包
400-1:认证服务器管理表
2240-11:用户ID
2240-12:发送源IP地址
2240-13:用户终端端口号码
2240-14: PPP会话ID
2240-15:端口转换
2240-16:端口过滤
2240-17:对象端口号码
2240-21:用户ID
2240-22:用户终端接入时间
2240-23:认证服务器认证完成时间
2240-24:端口转换开始时间
2240-25:端口转换结束时间
2240-26:端口过滤开始时间
2240-27:端口过滤结束时间
2240-31:目标IP地址
2240-32:下一跳
2240-33:端口号码
3000-11:端口号码
3000-12:识别号码
3000-13:识别符
3000-14:长度
3000-15:认证码
3000-16:属性对
4000-1:用户ID
4000-2: Password
4000-3:端口转换
4000-4:端口转换开始时间
4000-5:端口转换结束时间
4000-6:端口过滤 4000-7:端口过滤开始时间 4000-8:端口过滤结束时间
具体实施例方式
下面，对于本实施方式，参照附图进行详细说明。 (系统结构)
图1是表示根据本实施方式的正在使用接入服务器的通信系统(网络系统、接入限制系统)整体的附图。
本通信系统例如具备接入服务器6、 Proxy服务器A (第一服务器)7、 Proxy服务器B (第二服务器)8、路由器A (第一通信装置)10、路由器 B (第二通信装置)15、 web服务器12、 DNS服务器13和认证服务器14。
接入服务器6连接着接入网5 (接入服务器端口号码弁1 4)、 ISP网9 (接入服务器端口号码弁7、弁8)、认证服务器14 (接入服务器端口号码# 9)、 Proxy服务器A (7)(接入服务器端口号码井5)以及Proxy服务器B (8)(接入服务器端口号码#6)。
Proxy服务器A (7)例如是白天用的Proxy服务器，在8: 00-20: 00 可以利用，并且HTTP的限制没有特别设置。还有，也可以设置和Proxy 服务器B (8)不同的HTTP限制(第一接入限制)。Proxy服务器B (8) 例如是夜间用的Proxy服务器，作为22: 00-8: 00的利用，设置了 HTTP (Hyper Text Transfer Protocol/超文本传输协议)的限制(第二接入限制)。作为HTTP的限制，例如可以通过HTTP过滤的功能，自由设定利用关键字的限制或者使所指定Web地址不显示等的过滤功能。任一个Proxy服务器，都分配了IP地址(200.10,10.10)。
在接入网5所属之下，接入服务器6容纳用户终端A (1)(接入服务器端口号码弁1)、用户终端B (2)(接入服务器端口号码井2)、用户终端C (3)(接入服务器端口号码弁3)及用户终端D (4)(接入服务器端口号码弁4)。接入网5所属的终端通过接入服务器6，由认证服务器14进行认证。
用户终端A(1)预先分配了 IP地址(192.168.0.10/32)和用户ID(abc)。下面相同，用户终端B (2)、用户终端C (3)及用户终端D (4)分别分配了 IP地址(192.168.0.20/32)和用户ID (efg)、 IP地址(192.168.0.30/32) 和用户ID (hij)及IP地址(192,168.0.40/32)和用户ID (opq)。还有，既可以用户终端是以有线的形式进行通信的终端，并且用户终端和接入服务
器6间以有线的形式进行连接，也可以用户终端是以无线的形式进行通信的终端，并且用户终端和接入服务器6间的至少一部分以无线的形式进行连接。
ISP网9通过路由器A10或路由器B15，连接因特网ll。据此，其构成为，接入网5所属的用户终端可以接入Web服务器(IP地址是 203.10.10.10)。
在本实施方式的通信系统内，若从接入网5所属的用户终端发出了PPP (Point to Point Protocol/点对点协议)会话连接请求，则在用户终端和接入服务器6间建立PPPoE会话。随后，为了建立PPP会话，接入服务器6对认证服务器14实施认证的询问。认证服务器14具有预先存储了用户终端信息(下述的图8)的认证服务器管理表(400-3)。接入服务器6为了进行认证的询问，将下述图7的认证数据包300发送给认证服务器14。认证服务器14比照图8的认证服务器管理表(400-3)的信息，将询问结果(认证结果)和规定的信息写入认证数据包300，发送给接入服务器6。接入服务器6从来自该认证服务器14的认证数据包300中取出信息，将其存储于下述图4的用户管理表224-1和下述图5的时间段管理表224-2中。
存储的结果为，根据下述图7的认证数据包300的属性值对3000-16 由接入服务器6从下述图4的用户管理表224-1对用户终端识别是端口转换2240-15还是端口过滤2240-16。在是某一个对象时，启动下述图2计时电路24的计时器。接着，在是端口转换用户并且该用户终端知道Proxy服务器的地址时，比较下述图5的时间段管理表224-2和接入服务器6当前的时间，如果在下述图5的时间段管理表224-2中所存储的时间内，则由下述图2的端口转换部22-1实施当前连接在接入服务器上的Proxy服务器的端口转换。其结果为，Proxy服务器A (7)和Proxy服务器B (8)被转换。如果在下述图5的时间段管理表224-2中所存储的时间外，则不实施 Proxy服务器的端口转换。
Proxy服务器A (7)和Proxy服务器B (8)进行过HTTP限制的差别化，通过选择Proxy服务器B ( 8 )就可以实施HTTP的限制。
另一方面，在是端口转换用户并且该用户终端不知道Proxy服务器的地址时，比较下述图5的时间段管理表224-2和接入服务器6当前的时间，如果在下述图5的时间段管理表224-2中所存储的时间内，则由下述图2 的端口转换部22-l实施当前连接在接入服务器上的路由器端口转换。其结果为，路由器A (10)和路由器B (15)被转换。如果在下述图5的时间
段管理224-2中所存储的时间外，则不实施端口的转换。
路由器A(10)和路由器B (15)进行过过滤的差别化，路由器B (15) 可以和DNS服务器进行协作，来实施HTTP的限制。通过利用端口的转换选择路由器B (15)，就可以实施HTTP的限制。
另外，在是进行端口过滤的用户时，比较下述图5的时间段管理表224-2 和接入服务器当前的时间，如果在下述图5的时间段管理表224-2中所存储的时间内，则由图2所述的过滤部22-2实施用户终端方端口的端口过滤。端口过滤实施后根据图5的时间段管理表224-2，在图2所述计时电路24 中的计时器满期之前实施端口过滤。如果在时间段管理表224-2中所存储的时间设定外，则不实施端口过滤。
通过使用根据本实施方式的下述图2计时电路24的计时器，在认证后也可以控制用户终端的接入时间限制。
图2是表示根据本实施方式的接入服务器6结构的框图。接入服务器6例如具备多个输入输出端口 21-l n;数据包处理部 22;控制部23，控制端口 21-n;计时电路24，按时间管理数据包处理部 22。另外，数据包处理部22具有端口转换部22-l、过滤部22-2和认证处理部22-3 。
端口 21是和用户终端及ISP网9等之间的接口，进行和多个用户终端或通信网之间的数据包(例如，PPP会话连接实施时的数据包)收发。数据包处理部22根据由端口 21接收到的数据包内容，进行数据包处理等，向端口 21的某一个进行输出。端口转换部22-1实施端口的转换，过滤部 22-2实施端口的过滤。认证处理部22-3和认证服务器14进行通信，执行用户终端的认证所需的处理。还有，数据包处理部22还执行路由选择等除上述端口转换之外的适当处理。
控制部23和数据包处理部22协作实施计时电路24的控制。计时电路 24启动.结束数据包处理部22内的计时器。计时电路24例如管理当前时刻。或者，计时电路24按每个用户终端，管理到端口转换时刻之前的时间或到过滤开始时刻之前的时间或者到过滤结束时刻之前的时间。
图3是数据包处理部22的详细结构图。
数据包处理部22例如具有多个接收缓存器221，暂时存储来自端口 21-l n的数据包；数据包处理器223，从接收缓存器221中读出数据包，进行数据包处理等；表存储器224，存储数据包处理器223执行时读出的表 (包括用户管理表224-1、时间段管理表224-2及路由选择表224-3);发送
缓存器222，暂时存储对端口21-l n发送的数据包；处理器间接口 225, 是和控制部23之间的接口。还有，数据包处理部22也可以具有存储HTTP 数据的HTTP数据存储器。这里，处理器223在读出接收缓存器中所储存的数据包，并根据用户管理表224-1、时间段管理表224-2和路由选择表 224-3进行数据包处理之后，按照数据包的包头信息向发送缓存器222进行输出。还有，图2的端口转换部22-l、过滤部22-2及认证处理部22-3的功能例如由数据包处理器223执行。
另外，还和下述图5的时间段管理表224-2与计时电路24进行协作，数据包处理器223比较下述图4的用户管理表224-1中所存储的时间和接入服务器当前的时间。如果在设定时间内，则数据包处理器223通过图2 的控制部，如果是端口转换用户，则通过端口转换部22-1转换对应的Proxy 服务器端口。如果是端口过滤用户，则在对应用户终端的端口上通过过滤部22-2实施通信屏蔽。 (数据结构例)
图4是表示接入服务器6的用户管理表224-l结构例的附图。用户管理表224-1例如使用户终端的用户ID (用户识别符)2240-11、作为用户终端地址的发送源IP地址2240-12、当前连接用户终端和接入服务器的端口号码2240-13、PPP会话ID2240-14、端口转换设定信息2240-15、端口过滤设定信息2240-16及对象端口号码(输出端口号码信息)2240-17 相对应存储。
接入服务器6的用户管理表224-1每次建立包含PPPoE会话和认证完成的PPP会话，都更新PPP会话ID2240-14和发送源IP地址2240-12。另外，从下述图7认证服务器的认证数据包300的属性值对3000-16取出必要的信息，针对用户终端存储端口转换2240-15或是端口过滤2240-16。其结果为，接入服务器6根据发送源IP地址，输出要实施端口转换及端口过滤的对象输出端口 2240-17。
图5是表示接入服务器6的时间段管理表224-2结构例的附图。接入服务器6的时间段管理表224-2例如使用户终端的用户 ID2240-21、作为从用户终端向接入服务器6接入过的用户终端接入时间 2240-22、存储从认证服务器14接收到Access Ack (Accept)的时刻的认证完成时间2240-23、从下述图7的认证服务器的认证数据包300的属性值对 3000-16取出并存储的端口转换开始时间(端口转换时刻)2240-24、端口转换结束时间(端口转换时刻)2240-25、端口过滤开始时间2240-26及端
口过滤结束时间2240-27相对应存储。接入服务器6的时间段管理表224-2
从下述图7认证服务器的认证数据包300的属性值对3000-16取出必要的
信息，并且每次认证用户终端都进行更新。
图6是表示接入服务器6的路由选择表224-3结构例的附图。路由选择表224-3例如使目标IP地址2240-31 、下一跳2240-32和输出
数据包的端口号码2240-33相对应存储。
图7是表示在认证服务器和接入服务器间收发的认证数据包300结构
的附图。
认证数据包300包含端口号码3000-11、识别号码3000-12、识别符 3000-13、长度3000-14、认证码3000-15和属性对3000-16。
端口号码3000-11表示认证服务器的端口号码(例如，#9)。识别号码(类别号码)3000-12表示认证数据包是Access-R叫uest (认证请求)、 Access-Accept (允许接入)或Access-Reject (拒绝接入)的某一个。识别符3000-13是为了区分多个请求所使用的。长度3000-14表示该数据包的长度。认证码3000-15是为了防止数据伪造所使用的。
属性值对(属性对)包含存储于图4的用户管理表224-1中所需的信息。例如，属性值对包含用户ID2240-11、对用户终端的端口转换设定信息 2240-15、端口过滤设定信息2240-16、端口转换开始时间2240-24、端口转换结束时间2240-25、端口过滤开始时间2240-26和端口过滤结束时间 2240-27的信息，在接入服务器6和认证服务器14中进行信息的交接。
图24表示属性值对的说明图。
属性值对例如包含Type (类别)30000-1、 Length (长度)30000-2和 Value (值、信息)30000-3。
Type30000-1表示是否在Value30000-3中已经加入IP地址或口令等的某个信息。Length30000-2表示属性对的长度。Value30000-3加入IP地址或口令等的信息。还有，图7所示的认证数据包300可以包含多个图21的属性对。
根据属性对的Type，数据包的内容进行变化。例如，在Type表示口令时，在Value中加入口令(也可以是加密后的口令)。在本实施方式中，下述图11-1处理1108和1110中的认证数据包300就相当于此。端口转换和端口过滤的有无也在Type中有"过滤"这样的项目，并且在Value中加入与有无对应的值(例如，1， 0)。在图21的例子中，type: x表示端口转换， type: y表示端口过滤。还有，Radius数据包的属性对结构可以使用众所周知的结构，位宽度的指定、Length的指定等的说明予以省略。另外，例如在口令的情况下，由于type决定为2，可以使用该值，并且如果是厂商使用的口令，则可以唯一设定，因而在本实施方式中作为一例将x分配为端口转换，将y分配为端口过滤。
图8是表示认证服务器的认证服务器管理表400-1结构的附图。
认证服务器管理表400-1例如按每个用户包含用户ID4000-1、password (口令)4000-2、端口转换设定信息4000-3、端口转换开始时间4000-4、端口转换结束时间4000-5、端口过滤设定信息4000-6、端口过滤开始时间 4000-7和端口过滤结束时间4000-8。认证服务器的认证管理表400-1预先具有用户ID和口令等的用户信息。
另外，存储于认证服务器管理表中的各信息可以预先设定。例如，可以由用户向认证服务器14或ISP的管理者进行申报，在ISP方预先设定。在图8的例子中，虽然端口转换的时间、过滤的时间为相同的时间，但是也可以按每个用户而不同。 (动作例1)
下面，对于本实施例的动作进行详细说明。
动作例1是终端A (1)接入时的动作例，该终端A (1)既不是端口转换用户也不是端口过滤用户。
图9是表示本动作例动作的时序图。图IO是表示本动作例的计时电路 24动作的流程图。
在图9的处理中如图1所示，在接入服务器6上经由接入网5，连接着客户终端A (1)(接入服务器端口号码井1)、认证服务器14 (接入服务器端口号码#4)、 Proxy服务器A (7)(接入服务器端口号码#5)、 Proxy服务器B (8)(接入服务器端口号码弁6)和ISP网9 (接入服务器端口号码 #7)，并且经由路由器A10及因特网11，和Web服务器12进行连接。在图9中，由于接入网5、 ISP网9、路由器A (10)和因特网ll在哪个例子中都经由，因而予以省略。这里，设为用户终端A (1)已经赋予IP地址 (192: 168: 0: 10/32)，进行说明。
首先，在用户终端A (1)和接入服务器6间建立PPPoE会话。例如，为了开始PPP的时序，从用户终端A (1)使用PPPoE协议给接入服务器6 发送PADI (PPP Active Discovery Initiation/有效发现初始包)(步骤1001)。接入服务器6发送PADO (PPP Active Discovery Offer/有效发现确认)(步
骤1002)。收到该信息，用户终端A (1)给接入服务器6发送PADR (PPP Active DiscoveiyR叫uest/有效发现请求)(步骤1003)。接入服务器6发送 PADS (PPP Active Discovery Session/有效发现会话)(步骤1004)。若建立了PPPoE，则决定PPP会话ID。在本例子中，终端A (1)和接入服务器5 间的PPP会话ID是100。接入服务器6在动作例1中，在用户管理表224-1 的PPP会话ID2240-14内存储所决定的PPP会话ID。另外，接入服务器6 按适合的定时，将发送源IP地址(终端的IP地址192.168.0.10)和当前连接终端的端口号码(弁l)存储于用户管理表224-l中。
在建立PPPoE之后，使用LCP (Link Control Protocol/链路控制协议) 来建立串联链路。例如，用户终端A (1)给接入服务器6发送LCP Req (LCP Request)(步骤1005)。接入服务器6发送LCP Ack (步骤1006)。
在建立LCP之后，使用认证协议来建立用户终端A (1)、接入服务器 6和认证服务器14间的连接。用户终端A (1)给接入服务器6发送 Authenticate Req (Autenticate Request/认证i青求)(步骤1007)。 Authenticate Req例如包含用户ID和口令。还有，接入服务器6也可以按适合的定时，将用户ID存储于用户管理表224-1中。另外，接入服务器6将用户ID和用户终端接入时间存储于时间段管理表224-2中。
接入服务器6给认证服务器14发送认证数据包300 (步骤1008)。例如，在认证数据包300的属性对3000-16中包含从终端Al接收到的用户ID 和口令，发送给认证服务器16。
收到该数据包，认证服务器14根据认证数据包300的3000-16属性对来进行用户ID (abc)和Password的认证(步骤1009)。例如，分别比较认证数据包300内的用户ID及口令和认证服务器管理表400-1内的用户 ID4000-1及口令4000-2。认证服务器14如果用户ID和Password (口令) 正确(如果双方全都一致)，则将数据包300的识别号码3000-12变为与 Access-Accept (允许接入)对应的值，给接入服务器6发送该数据包 (Access-Accept)(步骤1010)。在此，认证服务器14将认证服务器管理表 400-1的端口转换设定信息4000-3、端口转换开始时间4000-4、端口转换结束时间4000-5、端口过滤设定信息4000-6、端口过滤开始时间4000-7及端口过滤结束时间4000-8的各信息包含于认证数据包300的属性对3000-16 中，发送给接入服务器6。还有，如图8所示对于没有数据的项目，也可以不包含于属性对3000-16中。另一方面，如果用户ID和口令不正确，则将认证数据包300的识别号码3000-12变为表示拒绝接入的值，发送给接入
服务器6。
接入服务器6若接收到表示Access-Accept的认证数据包300，则按照属性对3000-16，在接入服务器6内的用户管理表224-1中存储端口转换 2240-15或者端口过滤2240-16。更为具体而言，接入服务器6将属性对 3000-16内的端口转换设定信息及/或端口过滤设定信息存储于用户管理表 224-1中。在本例子中，双方全都是无数据(或是OFF)。在时间段管理表 224-2中，存储接收到Access-Accept的认证服务器认证完成时间2240-23
(在本例子中是23: 23: 05)、从属性对3000-16所取出的端口转换开始时间2240-24 (动作例1为无)、端口转换结束时间2240-25 (动作例1为无)、端口过滤开始时间2240-26 (动作例1为无)和端口过滤结束时间2240-27
(动作例l为无)。另外，如果是端口转换用户或者端口过滤用户，则启动计时电路24的计时器。还有，在动作例1中，由于既不是端口转换用户也不是端口过滤用户，因而计时电路24不启动(步骤1011和图10的歩骤 1500 1502)。
接入服务器6承接1011的步骤，给用户终端A (1)发送Authenticate Ack (Authenticate Ack)(步骤1012)。
接着，使用IPCP (Internet Protocol Control Protocol/因特网协议控制协议)设定并建立网络层。用户终端A (1)给接入服务器6发送IPCP Req (IPCPRequest)(步骤1013)。接入服务器6发送IPCP Ack (步骤1014)。以此，用户终端A (1)和接入服务器6间完成PPP会话连接，建立用户终端A (192.168.0.10/32)的IP地址(步骤1015)。
接入服务器6由于根据用户管理表224-1的信息，终端既不是端口转换用户也不是端口过滤用户，因而按照路由选择表224-3 (192.168.0.10到 201.10.10.10)，和ISP网9进行连接。例如，按照路由选择表224-3通过端口号码7，输出从用户终端A (1)对web服务器12的数据包。其结果为，使接入服务器6和Web服务器12间的IP通信(1016)成为可能，上面的结果为，用户终端A (1)能够和Web服务器12进行IP通信。 (动作例2)
下面，对于本实施方式的动作例2进行说明。动作例2是终端B (2) 接入时的动作例，该终端B (2)是端口转换用户但不是端口过滤用户。
图ll、图12是动作例2的时序图(1)、 (2)。另外，图13是表示动作例2动作的计时电路24的流程图。图14、 15是动作例2中用户管理表的说明图。
在图11中，表示由用户终端B (2)、接入服务器6、认证服务器14、 Proxy服务器A (7) Troxy服务器B (8)及Web服务器12做出的动作。还有，预先设为，终端B (2)知道Proxy服务器A(7) ，Proxy服务器B (8) 的IP地址(200.10.10.10)，并且己经适当存储。
图11的步骤1101 1110由于和图9的步骤1001 1010相同，因而 1101 1110的说明予以省略。还有，在步骤1110中，在认证数据包300的属性对3000-16内，包含与用户ID (efg)对应的端口转换设定信息(在本例子中是ON) 4000-3、端口转换开始时间(在本例子中是22: 00) 4000-4 及端口转换结束时间(在本例子中是8: 00) 4000-5。再者，虽然也可以包含端口过滤设定信息4000-6、端口过滤开始时间4000-7及端口过滤结束时间4000-8，但是由于在本例子中没有数据因而也可以省略。
接入服务器6若接收到认证数据包300，则和上述的动作例1相同，按照属性对3000-16，在接入服务器6内的用户管理表224-1中存储各信息。例如，存储端口转换设定信息及/或过滤设定信息。由于和动作例l不同，用户终端B (2)是端口转换用户，因而在端口转换设定信息2240-15中存储ON。
由于是端口的转换用户(由于端口转换设定信息是ON)，因而将当前和ISP网9连接的接入服务器的端口号码(#7)存储于用户管理表224-1 的对象端口号码2240-17中。
另夕卜，在时间段管理表224-2中，存储接收到Access-Accept的认证服务器认证管理时间2240-23 (在本例子中是20: 00: 05)、端口转换开始时间2240-24 (22: 00)及端口转换结束时间2240-25 (8: 00)。这里，由于是端口转换用户，因而要启动计时电路24的计时器(图ll的步骤llll、图10的步骤1503 1504:"否"和图13的步骤1550)。
接入服务器6承接步骤1111，给用户终端B (2)发送Authenticate Ack (步骤1112)。
使用IPCP设定并建立网络层。用户终端B (2)给接入服务器6发送 IPCPReq (步骤1113)。接入服务器6发送IPCPAck (步骤1114)。以此，用户终端B (2)和接入服务器6间完成PPP会话连接，建立用户终端B (192.168.0.20/32)的IP地址(步骤1115)。
用户终端B2在预先知道proxy服务器7、 8的IP地址而接入web时，经由接入服务器6，例如接入proxy服务器A7。接入服务器6按照路由选择表224-3，向连接proxy服务器A7的端口 5输出数据包。另外，接入服
务器6在用户管理表224-l的对象端口号码2240-17中与用户识别符(efg) 对应，存储其端口号码(#5)。此后，接入服务器6也可以不管路由选择表224-1，来自用户终端B2的数据包都参照用户管理表224-1的对象端口号码2240-17，决定输出目标端口。
随着用户终端B (2)和接入服务器6之间的PPP会话被建立，接入服务器6比较接入服务器当前的时间、时间段管理表224-2的端口转换开始时间2240-24 (22: 00)和端口转换结束时间2240-25 (8: 00)。
例如，在本例子中是限制时间前，按照用户管理表224-1的对象端口号码(#5) 2240-17，与当前和接入服务器6的端口号码弁5连接的 IP200.0.0.10地址的Proxy服务器A (7)开始通信(步骤1116)。接入服务器6和Web服务器12间的IP通信期间通过从步骤1116开始，经由Proxy 服务器A (7)(步骤1117)， Proxy服务器A (7)和Web服务器12进行IP 通信(步骤1118)，使用户终端B (2)和Web服务器12间的IP通信成为可能。还有，Proxy服务器A (7)和Web服务器12的通信例如也可以经由接入服务器6。由于白天用的Proxy服务器A (7)未特别设定HTTP的限制，因而在22: OO之前能够自由进行Web的接入。
在计时电路24的计时器启动后，若到了时间段管理表224-2的端口转换开始时间2240-24 (22: 00)，则按照时间段管理表224-2，将用户管理表 224-1的对象端口号码2240-17从接入服务器的端口号码弁5转换为预定设定的端口号码#6 (图12的步骤1119、图13的步骤1551和图14)。在转换后，因为由端口转换部22-l转换到当前和接入服务器6连接的Proxy服务器B (8)的端口弁6，所以用户终端B (2)和Web服务器12间不能进行IP通信(步骤1120和步骤1121)。
另一方面，经由Proxy服务器B (8)的用户终端B (2)和Web服务器12能够进行IP通信。
虽然通过替换为Proxy服务器B (8)，能够确保用户终端B (2)和 Web服务器12之间的IP通信，但是对于在HTTP中附带限制并且与HTTP
的限制条件相符的接入则无法显示。
若按照图8时间段管理表224-2的端口转换结束时间2240-25(8: 00)，计时器满期(图13的步骤1552)，则将用户管理表224-1的对象端口号码 2240-17从接入服务器的端口号码# 6转换为弁5(步骤1124、 13的步骤1553 和图15)。在转换后，因为由端口转换部22-1转换到当前和接入服务器6 连接的ProxyA的端口号码弁5，所以经由Proxy服务器B (8)的用户终端
B (2)和Web服务器12间不能进行IP通信(步骤1125和步骤1126)。取而代之，经由Proxy服务器A (7)的用户终端B (2)和Web服务器12间能够进行IP通信(步骤1127和1128)。因为从Proxy服务器B (8)变为 Proxy服务器A (7)，所以HTTP的限制可以解除。
根据上面的处理，可以提供一种在由认证服务器做出的认证实施后按照时间段限制用户终端的HTTP浏览时间的控制功能。 (动作例3)
对于本实施方式的动作例3，进行说明。动作例3是终端C (3)接入时的动作例，该终端C (3)不是端口转换用户而是端口过滤用户。
图16、图17是动作例2的时序图(1)、 (2)。图18是表示动作例3 动作的计时电路24的流程图。图19是动作例3中用户管理表的说明图。在图16、 17中，表示由用户终端C (3)、接入服务器6、认证服务器14 及Web服务器12做出的动作。
图15的步骤1201 1215由于和图11的步骤1101 1115相同，因而 1201 1215的说明予以省略。
但是，在本例子中，根据认证服务器14的认证服务器管理表400-1发送给接入服务器6的数据包300的3000-16属性对和动作例2不同，表示端口过滤用户(步骤1211和图10的步骤1505)。例如，在步骤1210中，在认证数据包300的属性对3000-16中，包含与用户ID (hij)对应的端口过滤设定信息(在本例子中是ON) 4000-6、端口过滤开始时间(在本例子中是22: 00) 4000-7及端口过滤结束时间(在本例子中是8: 00) 4000-8。再者，虽然也可以包含端口转换设定信息4000-3、端口转换开始时间4000-4 及端口转换结束时间4000-5，但是由于在本例子中没有数据，因而也可以省略。由于和动作例2不同，用户终端C (3)是过滤用户，因而在用户管理表224-1的端口过滤设定信息2240-16中存储ON。
随着用户终端C (3)和接入服务器6之间的PPP会话被建立，接入服务器6比较接入服务器当前的时间、时间段管理表224-2的端口过滤开始时间2240-26 (22: 00)和端口过滤结束时间2240-27 (8: 00)(步骤1216 和图18的步骤1600)。
例如，由于在本例子中是限制时间前，因而按照图6路由选择表224-3 的路由选择信息(192.168.0.30/32到201.10.10.10)，和ISP网9进行连接，其结果为，用户终端C(3)能够和Web服务器12进行IP通信(步骤1217)。和上述动作例1相同，能够自由进行Web服务器的接入。
在计时电路24的计时器启动后，若到了时间段管理表224-2的端口过滤开始时间2240-26 (22: 00)，则将用户管理表224-1的用户终端端口号码2240-13变更为deny (拒绝)(参见图17)。还有，除deny之外还可以存储适合的信息。接入服务器6由于用户管理表224-1的用户终端端口号码 2240-13是deny，因而针对当前和用户终端C (3)连接的接入服务器6的端口号码#3，由过滤部22-2实施端口过滤(步骤1218和图18的步骤1601)，用户终端C (3)和Web服务器12间(步骤1220)的IP通信不能进行。还有，过滤部22-2也可以过滤至少有关web浏览的数据包，对于邮件及/ 或音乐文件则不进行过滤。
端口过滤实施后，在从时间段管理表224-2的端口过滤结束时间 2240-27 (8: 00)到计时电路24中的计时器满期之前，实施端口过滤(步骤1221)。
若到了计时器满期(图18的步骤1602)的8: 00，则将用户管理表224-1 的用户终端端口号码2240-13恢复为原来的端口号码弁3。据此，从用户管理表224-1解除当前和用户终端C (3)连接的端口号码弁3 (2240-13)的端口过滤(步骤1222)，此后，建立接入服务器6和Web服务器12间的IP 通信(步骤1223)，使用户终端C (3)和Web服务器12间的IP通信成为可能。
(动作例4)
下面，对于本实施方式的动作例4进行说明。动作例4是用户终端D (4)接入时的动作例，该用户终端D (4)是端口转换用户而不是端口过滤用户。还有，终端D和动作例2的不同之处为，不知道proxy服务器的地址。
图20、 21是动作例4的时序图。图22是动作例4中端口转换前(端口弁8)的用户管理表。图23是动作例4中端口转换后(端口#7)的用户管理表。
在图20、 21中，表示由用户终端D (4)、接入服务器6、认证服务器 14、路由器B (15)及Web服务器12做出的动作。这里，其前提为用户终端D (4)预先不知道Proxy服务器的地址。
另外，图20的步骤1301 1315是为了建立PPP会话，由于和上述图 11的步骤1101 1115 (或者说，图9、图16对应的处理)等相同，因而说明予以省略。再者，路由器A (10)的说明也予以省略。
由于用户终端D (4)是端口转换用户，因而已经启动计时电路24的
计时器，并且随着用户终端D (4)和接入服务器6之间的PPP会话被建立，接入服务器6比较接入服务器当前的时间、时间段管理表224-2的端口转换开始时间2240-24 (22: 00)和端口转换结束时间2240-25 (8: 00)(步骤1316)。
例如，由于在本例子中假定为设定时间前，因而按照图6路由选择表 224-3的路由选择信息，经由当前和接入服务器6的端口号码弁7连接的路由器A (10)，和Web服务器12开始IP通信(步骤1317)。
在计时电路24的计时器启动后，若到了时间段管理表224-2的端口转换开始时间2240-24 (22: 00)，则将时间段管理表224-2的对象端口号码 2240-17从接入服务器的端口号码#7转换为预先设定的端口号码弁8 (参见图22)。在转换后，由端口转换部22-1转换到接入服务器6的端口弁8 (步骤1318)。在转换后，虽然成为接入服务器6和路由器B (15)间(步骤1319)以及DNS服务器(13)和Web服务器12间的通信路由，但是因为在路由器B (15)中没有应实施对Web服务器12目标的过滤(这里，假设对HTTP进行限制)的IP地址信息，所以要向DNS服务器(13)询问 Web服务器12的IP地址(步骤1320)。在询问后，DNS服务器给路由器B (15)回发Web服务器12的IP地址(203.10.10.10)(步骤1321)。路由器 B (15)针对IP地址(203.10.10.10)，设定过滤。有关路由器B (15)中过滤的实施，虽然可以使用众所周知的技术，但是并不用来限制本实施方式。其结果为，用户终端D (4)和Web服务器12之间的IP通信(步骤1323) 被保持，但是对于由路由器B (15)对HTTP附加限制(步骤1322)并且符合HTTP限制条件的接入则无法显示(步骤1324)。
若按照时间段管理表224-2的端口转换结束时间2240-25 (8: 00)，计时器满期，则将用户管理表224-l的对象端口号码2240-17的端口号码从接入服务器的端口号码#8转换为原来的端口号码#7 (图20)。
在转换后，因为由端口转换部22-l转换到当前和接入服务器6连接的路由器A的端口弁7 (步骤1325)，所以能够经由接入服务器6和路由器A (10)在Web服务器12间进行IP通信(步骤1326)。因为从路由器B (15) 变为路由器A(IO)，所以HTTP的限制可以解除。
通过上面的处理，可以提供一种在由认证服务器做出的认证实施后按照时间段限制用户终端的HTTP浏览时间的控制功能。
本发明例如可以在接受来自用户终端的接入的网络内利用。
权利要求
1、一种网络系统中的接入服务器，该网络系统具备认证服务器；第一服务器或第一通信装置，对从用户终端向站点的接入进行第一接入限制或者不进行接入限制；第二服务器或第二通信装置，对从该用户终端向站点的接入进行第二接入限制；以及上述接入服务器；该接入服务器的特征为，具备多个端口，用来和上述用户终端、上述认证服务器、上述第一服务器及/或第一通信装置以及上述第二服务器及/或第二通信装置的每一个进行连接；端口转换部，将来自上述用户终端的数据包的输出目标端口，根据时间段转换为连接上述第一服务器或者第一通信装置的上述端口以及连接第二服务器或者第二通信装置的上述端口中的某一个；过滤部，对连接上述用户终端的上述端口进行过滤；认证处理部，和上述认证服务器进行通信，执行上述用户终端的认证所需的处理；以及存储器，与用户识别符相对应，存储表示是否是进行端口转换的用户终端的端口转换设定信息、一个或多个端口转换时刻、表示是否是进行过滤的用户终端的过滤设定信息和过滤开始时刻及结束时刻；上述认证处理部，若存在来自上述用户终端的接入，则向上述认证服务器发送认证请求，从该认证服务器接收包含认证结果、端口转换设定信息及端口转换时刻和过滤设定信息及过滤时刻在内的认证数据包，将该认证数据包中包含的端口转换设定信息及端口转换时刻和过滤设定信息及过滤开始时刻及结束时刻与用户识别符对应地存储在上述存储器中，上述端口转换部参照上述存储器，在对任意的用户识别符将端口转换设定信息设定成进行端口转换时，若达到了对应的端口转换时刻，则转换来自该用户识别符的用户终端的数据包的输出目标，上述过滤部参照上述存储器，在对任意的用户识别符将过滤设定信息设定成进行过滤时，若达到了对应的过滤开始时刻，则对连接该用户识别符的端口进行过滤。
2、如权利要求1所述的接入服务器，其特征为上述第一及第二服务器分别是HTTP的利用条件不同的代理服务器，上述接入服务器通过参照上述存储器并根据时间段转换从用户终端向该多个代理服务器的数据包的输出端口，能够根据时间段限制该用户终端的Web浏览。
3、如权利要求1所述的接入服务器，其特征为上述过滤部参照上述存储器，若达到了对应的过滤开始时刻，则开始对连接用户识别符的端口的过滤，若达到了过滤结束时刻，则结束该过滤。
4、如权利要求1所述的接入服务器，其特征为上述过滤部，至少过滤有关网页浏览的数据包，对于邮件及/或音乐文件则不进行过滤。
5、如权利要求1所述的接入服务器，其特征为上述第一及第二通信装置是第一及第二路由器，上述接入服务器通过参照上述存储器并根据时间段转换从用户终端向该路由器的数据包的输出端口，在每一时间段，对不进行过滤的第一路由器和与DNS服务器协作进行过滤的第二路由器分配数据包。
6、如权利要求1所述的接入服务器，其特征为上述存储器，具有用户管理区域，该用户管理区域与用户识别符相对应地存储端口转换设定信息和过滤设定信息；以及时间段管理区域，该时间段管理区域与用户识别符相对应地存储一个或多个端口转换时刻和过滤开始时刻及结束时刻。
7、如权利要求1所述的接入服务器，其特征为上述存储器还存储输出端口号码信息，该输出端口号码信息与用户识别符相对应，表示输出来自该用户识别符所示的上述用户终端的数据包的端口，若达到了端口转换时刻，则上述端口转换部变更上述存储器的输出端口号码信息，按照上述存储器的输出端口号码信息，来决定从用户终端所接收到的数据包的输出目标。
8、如权利要求1所述的接入服务器，其特征为容纳以有线方式进行通信的上述用户终端及/或至少一部分以无线方式进行通信的上述用户终端。
9、如权利要求1所述的接入服务器，其特征为还具备计时电路，该计时电路管理当前时刻，或管理直到端口转换时刻为止的时间或者直到过滤开始时刻为止的时间或者直到过滤结束时刻为止的时间。
10、一种网络系统中的连接限制方法，该网络系统具备认证服务器；第一服务器或第一通信装置，对从用户终端向站点的接入进行第一接入限制或者不进行接入限制；第二服务器或第二通信装置，对从该用户终端向站点的接入进行第二接入限制；以及接入服务器；该方法的特征为，上述接入服务器，若存在来自上述用户终端的接入，则向上述认证服务器发送认证请求，从该认证服务器，接收包含认证结果、表示是否是进行端口转换的用户终端的端口转换设定信息及一个或多个端口转换时刻、表示是否是进行过滤的用户终端的过滤设定信息及过滤开始时刻及结束时刻在内的认证数据包，将该认证数据包中包含的端口转换设定信息及端口转换时刻和过滤设定信息及过滤开始时刻及结束时刻与用户识别符对应地存储于存储器中，参照存储器，在对任意的用户识别符将端口转换设定信息设定成进行端口转换时，若达到了对应的端口转换时刻，则将来自该用户识别符的用户终端的数据包的输出目标转换为连接上述第一服务器或第一通信装置的端口以及连接第二服务器或第二通信装置的端口中的某一个，在对任意的用户识别符将过滤设定信息设定成进行过滤时，若达到了对应的过滤开始时刻，则对连接该用户识别符的端口进行过滤。
全文摘要
本发明是一种接入服务器及连接限制方法，限制时间段上的通信，且通过和认证服务器之间的协作来实现不需要复杂设定的认证。接入服务器(6)从认证服务器(14)，接收包含认证结果、端口转换设定信息、端口转换时刻、过滤设定信息及过滤时刻在内的数据包。接入服务器(6)将认证数据包内的各信息存储于存储器中。接入服务器(6)参照存储器，在针对任意的用户识别符设定了端口转换设定信息使之进行端口转换时，若到了端口转换时刻，则将来自用户终端的数据包的输出目标例如从proxy服务器A转换为proxy服务器B。另外，接入服务器(6)在针对任意的用户识别符设定了过滤设定信息使之进行过滤时，若到了过滤开始时刻，则针对连接用户终端的端口进行过滤。
文档编号H04L12/56GK101388884SQ20081012953
公开日2009年3月18日申请日期2008年6月30日优先权日2007年9月12日
发明者宫田裕章, 清水真辅, 野末大树申请人:日立通讯技术株式会社

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：清水真辅;宫田裕章;野末大树
技术所有人：日立通讯技术株式会社
我是此专利的发明人

上一篇：包传送装置的制作方法
上一篇：上行授权信令的发送定时方法和装置的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。