专利名称:上网方法、客户端、安全网关及上网系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种上网方法、客户端、安全网关及上网系统。
背景技术:
安全上网,即绿色上网是一项基于互联网用户的增值业务,能够为家庭用户提供 互联网内容的过滤服务,以屏蔽互联网上的不良信息。通过对互联网访问的控制,安全上网 能实现控制家庭成员访问互联网的内容,禁止或限制未成年人访问暴力、反动、黄色等有害 或敏感的可疑网站。 —般家庭用户使用具有拨号和网络地址转换(Network Addres sTranslation ;以 下简称NAT)功能的路由器接入互联网。NAT设备实现网络地址转换功能,其拥有一个或多 个公网互联网协议(Internet Protocol ;以下简称IP)地址( 一般一个家庭的用户使用 同一个账号拨号,获取一个公网IP地址),家庭用户使用的客户端则拥有独立的私网地址。 当客户端需要与公网上的设备进行通信时,NAT设备将私网地址映射为公网地址和端口号, 客户端对于公网设备是透明的。 普通的安全上网业务,基于拨号账号/IP地址实现身份验证。对于NAT方式上网 的家庭用户,由于一个家庭的用户使用同一个账号上网,客户端对于公网设备室透明的,即 公网设备无法设别客户端,因此无法准确的识别上网用户的身份,不能准确地对未成年人 实施可疑网站内容的禁止或限制。 现有技术中,针对未成年人的安全上网方法主要有两种一种是基于父子账号实 现身份识别的安全上网技术,家长和未成年人分别使用父、子账号上网,安全网关根据账号 或IP地址识别上网用户的身份,并对未成年人的上网内容进行过滤;另一种是具有权限提 升功能的安全上网技术,家长和未成年人使用同一账号上网,安全网关默认对该账号的上 网内容进行过滤,当家长访问网站受阻时可以进行权限提升操作,即输入口令,使得安全网 关不再过滤上网内容。对于基于父子账号实现身份识别的安全上网技术,要求家庭用户使 用支持同时多个账号拨号的路由器接入互联网,成本较高,不易推广;对于具有权限提升功 能的安全上网技术,当家长提升权限后,若未成年人使用NAT方式共享接入同时上网,将不 再过滤上网内容,未成年人和家长具有相同的访问权限。
发明内容
本发明实施例提供一种上网方法、客户端、安全网关及上网系统,用以解决现有技
术中要求家庭用户使用支持同时多个账号拨号的路由器接入互联网的问题,以及使用NAT
方式共享上网的家庭用户中未成年人与家长同时上网时在过滤上网内容上的矛盾,在无需
家庭用户增加成本的情况下,实现未成年人受保护的同时,家长能够正常上网。 本发明实施例提供一种上网方法,包括 接收安全网关发送的控制框架;
根据所述控制框架判断是否保存有具有访问可疑网站权限的缓存信息,若是,则显示所述可疑网站的页面。
本发明实施例还提供一种上网方法,包括 将客户端请求访问网站的访问请求消息转发至所述网站的服务器;
接收所述网站的服务器返回的响应报文; 根据所述响应报文,验证所述网站是否为可疑网站,若是,则生成控制框架,并发
送至所述客户端,所述控制框架用于指示当所述客户端保存有具有访问可疑网站权限的缓
存信息时,显示所述可疑网站的页面。 本发明实施例提供一种客户端,包括 第一接收模块,用于接收安全网关发送的控制框架; 处理模块,用于根据所述第一接收模块接收到的所述控制框架判断是否保存有具有访问可疑网站权限的缓存信息; 显示模块,用于当保存有具有访问可疑网站权限的缓存信息时,显示所述可疑网站的页面。 本发明实施例还提供一种安全网关,包括 转发模块,用于将客户端请求访问网站的访问请求消息转发至所述网站的服务器; 第二接收模块,用于接收所述网站的服务器返回的响应报文; 生成模块,用于根据所述第二接收模块接收到的所述响应报文,验证所述网站是
否为可疑网站,若是,则生成控制框架,并发送至所述客户端,所述控制框架用于指示当所
述客户端保存有具有访问可疑网站权限的缓存信息时,显示所述可疑网站的页面。 本发明实施例提供一种上网系统,包括如上所述的客户端和安全网关。 本发明实施例的上网方法、客户端、安全网关及上网系统,通过在安全网关生成的
控制框架判断用户是否具有访问可疑网站的权限,解决了家庭用户使用具有NAT功能的路
由器上网时的用户身份识别问题,实现了家庭上网过程中,在保护未成年人的同时,家长不
受影响,并且对硬件要求较低,易于推广。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明上网方法一实施例的流程 图2为本发明上网方法另一实施例的流程 图3为本发明上网方法又一实施例的流程 图4为本发明上网方法一具体实施例的流程 图5为本发明客户端一实施例的结构示意 图6为本发明客户端另一实施例的结构示意 图7为本发明安全网关一实施例的结构示意5
图8为本发明上网系统实施例的结构框图。
具体实施例方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明上网方法一实施例的流程图。如图1所示,本发明实施例提供了一 种上网方法,包括 步骤101、接收安全网关发送的控制框架; 步骤102、根据该控制框架判断是否保存有具有访问可疑网站权限的缓存信息,若 是,则显示该可疑网站的页面。 在本实施例中,上述步骤的执行主体可以为客户端,若家庭用户通过客户端访 问包含禁止未成年用户访问内容的可疑网站,则将接收到安全网关发送的控制框架,客 户端执行该控制框架,以判断该客户端是否保存有具有访问可疑网站权限的缓存信息 (Cookie)。若是,则显示该可疑网站的页面。 本发明实施例的上网方法,通过在安全网关生成的控制框架判断用户是否具有访 问可疑网站的权限,解决了家庭用户使用具有NAT功能的路由器上网时的用户身份识别问 题,实现了家庭上网过程中,在保护未成年人的同时,家长不受影响,并且对硬件要求较低, 易于推广。 图2为本发明上网方法另一实施例的流程图。如图2所示,本发明实施例还提供 了一种上网方法,可以包括 步骤201、接收安全网关发送的控制框架; 步骤202、根据该控制框架判断是否保存有具有访问可疑网站权限的缓存信息,若 是,则执行步骤203,否则,执行步骤204 ;
步骤203、显示该可疑网站的页面。
步骤204、要求用户输入用户口令; 步骤205、在接收到用户输入的用户口令时,验证该用户口令,若验证通过,则执行 步骤203,否则,执行步骤206 ;
步骤206、拒绝访问。 在本实施例中,若家庭用户通过客户端访问可疑网站,将接收到安全网关发送 的控制框架,客户端执行该控制框架,以判断客户端是否保存有具有访问可疑网站权限 的Cookie,若是,则证明该用户的客户端具有访问可疑网站的权限,即该用户具有访问可 疑网站的权限,因此显示该可疑网站的页面;若客户端未存有具有访问可疑网站权限的 Cookie,则证明该用户为未成年人或该用户首次访问可疑网站,因此要求用户输入用户口 令,若用户输入用户口令,则验证该用户口令,只有当验证通过时,才显示该可疑网站的页 面,否则,显示警告页面,拒绝访问该可疑网站。 具体地,上述步骤202可以包括将用户口令发送至第三方服务器进行验证;并接 收第三方服务器发送的验证结果,即通过第三方服务器,如Cookie服务器,来验证用户口令,进行用户身份认证。 进一步地,在接收到第三方服务器发送的验证结果之后,还可以存储验证结果,以
避免在同一次上网的过程中多次访问不同的可疑网站而出现多次认证的情况。 更进一步地,在接收到第三方服务器发送的验证结果之后,还可以向安全网关发
送跨域操作请求消息;并接收安全网关发送的跨域操作响应消息。当用户欲访问的网站的
服务器与第三方服务器位于不同的域时,安全网关截获客户端发出的跨域操作请求消息,
并向客户端返回跨域操作响应消息,以使客户端进行跨域访问。 本发明实施例的上网方法,在安全网关生成控制框架,通过客户端中存储的 Cookie或用户输入的口令来判断用户身份,解决了家庭用户使用具有NAT功能的路由器 上网时的用户身份识别问题,实现了家庭上网过程中,在保护未成年人的同时,家长不受影 响,并且对硬件要求较低,易于推广。 图3为本发明上网方法又一实施例的流程图。如图3所示,本发明还提供了一种 上网方法,包括 步骤301、将客户端请求访问网站的访问请求消息转发至该网站的服务器;
步骤302、接收该网站的服务器返回的响应报文; 步骤303、根据响应报文,验证该网站是否为可疑网站,若是,则生成控制框架,并 发送至客户端,该控制框架用于指示当客户端保存有具有访问可疑网站权限的缓存信息 时,显示该可疑网站的页面。 在本实施例中,上述步骤的执行主体可以为安全网关。安全网关首先将客户端请 求访问网站的访问请求消息转发至该网站的服务器,接收并根据该网站的服务器返回的响 应报文,验证该网站是否为可疑网站,若是,则生成控制框架并发送至客户端,使得客户端 执行该控制框架,当保存有具有访问可疑网站权限的缓存信息时,显示该可疑网站的页面。
本发明实施例的上网方法,通过在安全网关生成的控制框架判断用户是否具有访 问可疑网站的权限,解决了家庭用户使用具有NAT功能的路由器上网时的用户身份识别问 题,实现了家庭上网过程中,在保护未成年人的同时,家长不受影响,并且对硬件要求较低, 易于推广。 在上述图3所示的技术方案的基础上,步骤303生成的控制框架还可以用于指示 客户端保存上述判断结果,以避免在同一次上网的过程中多次访问不同的可疑网站而出现 多次认证的情况。 图4为本发明上网方法一具体实施例的流程图。如图4所示,本发明实施例提供 了一种具体的上网方法,包括 步骤401 402、客户端通过互联网接入设备向安全网关发送请求接入网络的接 入请求消息; 步骤403、安全网关获取客户端的接入账号; 步骤404 405、安全网关将客户端请求访问网站的访问请求消息转发至该网站 的服务器; 步骤406、该网站的服务器向安全网关返回响应报文; 步骤407、安全网关验证该网站,当识别出可疑网站时,生成控制框架; 步骤408、安全网关在向客户端发送的页面内容中携带该控制框架;
7
步骤409、客户端执行该控制框架; 步骤410、客户端未保存有具有访问可疑网站权限的缓存信息,显示警告页面;
步骤411、客户端将用户输入的用户口令发送至第三方服务器进行验证;
步骤412、第三方服务器返回验证通过的验证结果;
步骤413、客户端显示该可疑网站的页面内容。 本发明实施例的上网方法,通过在安全网关生成的控制框架判断用户是否具有访 问可疑网站的权限,解决了家庭用户使用具有NAT功能的路由器上网时的用户身份识别问 题,实现了家庭上网过程中,在保护未成年人的同时,家长不受影响,并且对硬件要求较低, 易于推广。 图5为本发明客户端一实施例的结构示意图。如图5所示,本发明实施例提供了 一种客户端,包括第一接收模块51、处理模块52和显示模块53。其中,第一接收模块51 用于接收安全网关发送的控制框架;处理模块52用于根据第一接收模块51接收到的控制 框架判断客户端是否保存有具有访问可疑网站权限的缓存信息;显示模块53用于当客户
端保存有具有访问可疑网站权限的缓存信息时,显示该可疑网站的页面。 在本实施例中,若家庭用户通过客户端访问包含禁止未成年用户访问内容的可疑
网站,则第一接收模块51将接收到安全网关发送的控制框架,处理模块52执行该控制框
架,以判断该客户端是否保存有具有访问可疑网站权限的Cookie。若是,则显示模块53显
示该可疑网站的页面。 本发明实施例的客户端,通过在安全网关生成的控制框架判断用户是否具有访问 可疑网站的权限,解决了家庭用户使用具有NAT功能的路由器上网时的用户身份识别问 题,实现了家庭上网过程中,在保护未成年人的同时,家长不受影响,并且对硬件要求较低, 易于推广。 图6为本发明客户端另一实施例的结构示意图。如图6所示,本发明实施例还提 供了一种客户端,在上述图5所示的技术方案的基础上,还可以包括输入模块61和验证 模块62。其中,输入模块61用于当客户端未保存有具有访问可疑网站权限的缓存信息时, 要求用户输入用户口令;验证模块62用于在接收到用户输入的用户口令时,验证该用户口 令;若验证通过,则显示模块53显示该可疑网站的页面,若验证未通过,则拒绝访问该可疑 网站。 在本实施例中,若家庭用户通过客户端访问可疑网站,则第一接收模块51将接收 到安全网关发送的控制框架,处理模块52执行该控制框架,以判断客户端是否保存有具有 访问可疑网站权限的Cookie,若是,则证明该用户的客户端具有访问过可疑网站的权限,即 该用户具有访问可疑网站的权限,因此显示模块53显示该可疑网站的页面;若客户端未存 有具有访问可疑网站权限的Cookie,则证明该用户为未成年人或该用户首次访问可疑网 站,因此输入模块61要求用户输入用户口令,若用户输入用户口令,则验证模块62验证该 用户口令,只有当验证通过时,才显示该可疑网站的页面,否则,仍显示警告页面。
具体地,验证模块62可以包括用于将用户口令发送至第三方服务器进行验证的 发送单元,以及用于接收第三方服务器发送的验证结果的接收单元,即通过第三方服务器, 如Cookie服务器,来验证用户口令,进行用户身份认证。 进一步地,本发送实施例提供的客户端还可以包括存储模块63,该存储模块63用于在接收单元接收第三方服务器发送的验证结果之后,存储该验证结果,以避免在同一 次上网的过程中多次访问不同的可疑网站而出现多次认证的情况。 更进一步地,该客户端还可以包括跨域操作模块,该跨域操作模块用于在接收单 元接收第三方服务器发送的验证结果之后,向安全网关发送跨域操作请求消息,并接收安 全网关发送的跨域操作响应消息。当用户欲访问的网站的服务器与第三方服务器位于不同 的域时,安全网关截获客户端发出的跨域操作请求消息,并向客户端返回跨域操作响应消 息,以使客户端进行跨域访问。 本发明实施例的客户端,在安全网关生成的控制框架判断用户是否具有访问可疑 网站的权限,通过客户端中存储的Cookie或用户输入的口令来判断用户身份,解决了家庭 用户使用具有NAT功能的路由器上网时的用户身份识别问题,实现了家庭上网过程中,在 保护未成年人的同时,家长不受影响,并且对硬件要求较低,易于推广。 图7为本发明安全网关一实施例的结构示意图。如图7所示,本发明实施例提供 了一种安全网关,包括转发模块71、第二接收模块72和生成模块73。其中,转发模块71 用于将客户端请求访问网站的访问请求消息转发至该网站的服务器;第二接收模块72用 于接收该网站的服务器返回的响应报文;生成模块73用于根据第二接收模块72接收到的 响应报文,验证该网站是否为可疑网站,若是,则生成控制框架,并发送至客户端,该控制框 架用于指示当客户端保存有具有访问可疑网站权限的缓存信息时,则显示该可疑网站的页 面。 在本实施例中,转发模块71首先将客户端请求访问网站的访问请求消息转发至 该网站的服务器,第二接收模块72接收该网站的服务器返回的响应报文,然后生成模块73 根据该响应报文,验证该网站是否为可疑网站,若是,则生成控制框架并发送至客户端,使 得客户端执行该控制框架,以判断是否保存有具有访问可疑网站权限的缓存信息,若保存 有该具有访问可疑网站权限的缓存信息,则显示该可疑网站的页面。 进一步地,若判断出该客户端未保存有具有访问可疑网站权限的缓存信息,则拒 绝访问该可疑网站。 本发明实施例的安全网关,通过生成的控制框架判断用户是否具有访问可疑网站
的权限,解决了家庭用户使用具有NAT功能的路由器上网时的用户身份识别问题,实现了
家庭上网过程中,在保护未成年人的同时,家长不受影响,并且对硬件要求较低,易于推广。 在上述图7所示的技术方案的基础上,生成模块73生成的控制框架还可以用于指
示客户端保存上述判断结果,以避免在同一次上网的过程中多次访问不同的可疑网站而出
现多次认证的情况。 图8为本发明上网系统实施例的结构框图。如图8所示,本发明实施例提供了一 种上网系统,包括客户端81和安全网关82。客户端81用于发送请求访问网站的访问请求 消息,接收控制框架,并根据该控制框架判是否保存有具有访问可疑网站权限的缓存信息, 若是,则显示该可疑网站的页面;安全网关82用于将客户端81请求访问网站的访问请求消 息转发至该网站的服务器,接收该网站的服务器返回的响应报文,根据该响应报文,验证该 网站是否为可疑网站,若是,则生成控制框架,并发送至客户端81。 本系统实施例中各模块的功能如上述图5、图6和图7所示实施例中的具体描述, 在此不再赘述。
本发明实施例的上网系统,通过在安全网关生成的控制框架判断用户是否具有访 问可疑网站的权限,解决了家庭用户使用具有NAT功能的路由器上网时的用户身份识别问 题,实现了家庭上网过程中,在保护未成年人的同时,家长不受影响,并且对硬件要求较低, 易于推广。 本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、 RAM、磁碟或者 光盘等各种可以存储程序代码的介质。 最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
10
权利要求
一种上网方法,其特征在于,包括接收安全网关发送的控制框架;根据所述控制框架判断是否保存有具有访问可疑网站权限的缓存信息,若是,则显示所述可疑网站的页面。
2. 根据权利要求1所述的上网方法,其特征在于,若未保存有具有访问可疑网站权限 的缓存信息,所述方法还包括要求用户输入用户口令;验证接收到的所述用户口令,若验证通过,则显示所述可疑网站的页面,否则,拒绝访问。
3. 根据权利要求2所述的上网方法,其特征在于,所述验证接收到的所述用户口令包括将所述用户口令发送至第三方服务器进行验证; 接收所述第三方服务器发送的验证结果。
4. 根据权利要求3所述的上网方法,其特征在于,在所述接收所述第三方服务器发送 的验证结果之后,还包括存储所述验证结果。
5. —种上网方法,其特征在于,包括将客户端请求访问网站的访问请求消息转发至所述网站的服务器; 接收所述网站的服务器返回的响应报文;根据所述响应报文,验证所述网站是否为可疑网站,若是,则生成控制框架,并发送至 所述客户端,所述控制框架用于指示当所述客户端保存有具有访问可疑网站权限的缓存信 息时,显示所述可疑网站的页面。
6. —种客户端,其特征在于,包括 第一接收模块,用于接收安全网关发送的控制框架;处理模块,用于根据所述第一接收模块接收到的所述控制框架判断是否保存有具有访 问可疑网站权限的缓存信息;显示模块,用于当保存有具有访问可疑网站权限的缓存信息时,显示所述可疑网站的 页面。
7. 根据权利要求6所述的客户端,其特征在于,还包括输入模块,用于当未保存有具有访问可疑网站权限的缓存信息时,要求用户输入用户 口令;验证模块,用于在接收到用户输入的用户口令时,验证接收到的所述用户口令; 若验证通过,则所述显示模块显示所述可疑网站的页面,若验证未通过,则拒绝访问。
8. 根据权利要求7所述的客户端,其特征在于,所述验证模块包括 发送单元,用于将所述用户口令发送至第三方服务器进行验证; 接收单元,用于接收所述第三方服务器发送的验证结果。
9. 根据权利要求8所述的客户端,其特征在于,还包括存储模块,用于在所述接收单元接收所述第三方服务器发送的验证结果之后,存储所 述验证结果。
10. —种安全网关,其特征在于,包括转发模块,用于将客户端请求访问网站的访问请求消息转发至所述网站的服务器; 第二接收模块,用于接收所述网站的服务器返回的响应报文;生成模块,用于根据所述第二接收模块接收到的所述响应报文,验证所述网站是否为 可疑网站,若是,则生成控制框架,并发送至所述客户端,所述控制框架用于指示当所述客 户端保存有具有访问可疑网站权限的缓存信息时,显示所述可疑网站的页面。
11. 一种上网系统,其特征在于,包括如权利要求6至9中任一所述的客户端以及如权利要求io所述的安全网关。
全文摘要
本发明实施例提供一种上网方法、客户端、安全网关及上网系统。该方法包括接收安全网关发送的控制框架;根据所述控制框架判断是否保存有具有访问可疑网站权限的缓存信息,若是,则显示所述可疑网站的页面。该客户端包括第一接收模块、处理模块和显示模块。该安全网关包括转发模块、第二接收模块和生成模块。该系统包括客户端和安全网关。本发明实施例通过在安全网关生成的控制框架判断用户是否具有访问可以网站的权限,解决了家庭用户使用具有NAT功能的路由器上网时的用户身份识别问题,实现了家庭上网过程中,在保护未成年人的同时,家长不受影响,并且对硬件要求较低,易于推广。
文档编号H04L12/66GK101741568SQ200910260630
公开日2010年6月16日 申请日期2009年12月18日 优先权日2009年12月18日
发明者刘萌 申请人:成都市华为赛门铁克科技有限公司