CN101589376A - 通信控制装置 - Google Patents
通信控制装置 Download PDFInfo
- Publication number
- CN101589376A CN101589376A CN200680056885.0A CN200680056885A CN101589376A CN 101589376 A CN101589376 A CN 101589376A CN 200680056885 A CN200680056885 A CN 200680056885A CN 101589376 A CN101589376 A CN 101589376A
- Authority
- CN
- China
- Prior art keywords
- message
- data
- communication control
- control unit
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/12—Protocol engines
Abstract
提供一种对终端输出适当消息的技术。通信控制装置(10)包括:消息保持部(132),保持要对用户终端发送的消息;检索部,获取用户终端发送/接收的通信数据,检索在该通信数据中是否含有消息要发往的用户终端的识别信息;消息输出部(131),当通信数据中含有消息要发往的用户终端的识别信息时,从消息保持部(132)读出消息并对该用户终端进行发送。
Description
技术领域
本发明涉及通信控制技术,特别涉及对终端输出消息的通信控制装置。
背景技术
在互联网的基础设施得以完善,便携式电话终端、个人电脑、VoIP(Voice over internet Protocol:基于internet协议的语音)电话终端等通信终端得到广泛普及的今天,互联网的用户正在暴增。在这种情况下,计算机病毒、黑客、垃圾邮件等与安全有关的问题变得更加明显,需要有对通信进行适当控制的技术。
虽然使用因特网易于对大量的信息进行访问,但是有害信息泛滥也是事实,处于一种来不及对有害信息的出处进行限制的状态。为了对谁都可以安心且有效地使用因特网的环境进行整顿,需要有对有害内容的访问进行适当控制的技术。
例如,准备好允许访问的网站名单、禁止访问的网站名单、禁止语关键词、有用语关键词等的数据库,当通过因特网对外部信息进行访问时,参照这些数据库来控制访问,这样的技术已经被提出了(例如,参照专利文献1)。
专利文献1:特开2001-282797号公报
发明内容
发明所要解决的课题
本发明的发明人想到了以下的技术,即,在这样的访问控制中,当访问被禁止或者访问被许可等时,向访问请求源的用户输出适当的消息。此外,也想到了可以灵活设定该消息的技术、和使用该技术的有益商务模式。
本发明是鉴于这样的状况而提出的,其目的在于提供一种对终端输出适当消息的技术。
用于解决课题的方法
本发明的一个方面涉及通信控制装置。该通信控制装置包括:消息保持部,保持要发往用户终端的消息;检索部,获取用户终端发送/接收的通信数据,检索上述通信数据中是否含有要发往消息的用户终端的识别信息;消息输出部,当上述通信数据中含有要发往消息的用户终端的识别信息时,从上述消息保持部读出消息并对用户终端进行发送。上述检索部由布线逻辑电路构成。
上述消息输出部可以在预定的时机到来时发送上述消息。可以对每条消息指定应发送的日期和时间,消息输出部也可以在消息中所指定的发送日期和时间到来时发送消息。
上述消息输出部可以根据发送消息的时间,确定对用户终端发送的消息,从上述消息保持部读出被确定的消息并进行发送。
通信控制装置还可以包括储存与用户有关的信息的用户数据库,上述消息输出部基于上述与用户有关的信息,确定对该用户终端发送的消息,从上述消息保持部读出被确定的消息并进行发送。
通信控制装置还可以包括保持应添加到上述消息中的内容的内容保持部,上述消息输出部从上述内容保持部读出应添加到上述消息中的内容,将该内容添加到上述消息中并进行发送。
通信控制装置还可以包括在与移动通信终端之间通过无线通信发送接收信号的天线,上述通信数据可以通过上述天线由上述移动通信终端接收,上述消息可以通过上述天线向上述移动通信终端发送。
另外,作为本发明的实施方式,以上构成部分的任意组合、以及将本发明的描述在方法、装置、系统、记录介质、计算机程序等之间进行变换的方式也是有效的。
发明的效果
根据本发明,可以提供一种根据对内容的访问请求,输出适当的消息的技术。
附图说明
图1是表示前提技术涉及的通信控制系统的构成的图。
图2是表示现有的通信控制装置的构成的图。
图3是表示前提技术涉及的通信控制装置的构成的图。
图4是表示数据包处理电路的内部构成的图。
图5是表示位置检测电路的内部构成的图。
图6是表示第一数据库的内部数据的示例的图。
图7是表示第一数据库的内部数据的另一个示例的图。
图8是表示第一数据库的内部数据的又一个示例的图。
图9是表示对分检索电路所包含的比较电路的构成的图。
图10是表示第二数据库的内部数据的示例的图。
图11是表示第二数据库的内部数据的另一个示例的图。
图12是表示前提技术涉及的通信控制装置的另一个构成示例的图。
图13是表示用于URL过滤的数据包处理电路的内部构成的图。
图14(a)是表示病毒/网络钓鱼网站名单的内部数据的示例的图,图14(b)是表示白名单的内部数据的示例的图,图14(c)是表示黑名单的内部数据的示例的图。
图15是表示公共类别名单的内部数据的示例的图。
图16(a)、(b)、(c)、(d)是表示第二数据库的内部数据的示例的图。
图17是表示病毒/网络钓鱼网站名单、白名单、黑名单以及公共类别名单的优先顺序的图。
图18是表示实施方式涉及的消息输出装置的构成的图。
图19是表示实施方式涉及的通信控制系统的配置示例的图。
图20是表示实施方式涉及的通信控制系统的配置示例的图。
图21是表示实施方式涉及的通信控制系统的配置示例的图。
图22是表示实施方式涉及的通信控制系统的配置示例的图。
图23是表示实施方式涉及的通信控制系统的配置示例的图。
图24是表示实施方式涉及的通信控制系统的配置示例的图。
图25是表示实施方式涉及的消息输出装置的其他构成示例的图。
图26是表示用户数据库的内部数据示例的图。
图27是表示消息数据库的内部数据示例的图。
符号说明
10通信控制装置、12通信控制单元、14切换控制部、20数据包处理电路、30检索电路、32位置检测电路、33比较电路、34索引电路、35比较电路、36对分检索电路、40处理执行电路、50第一数据库、57用户数据库、60第二数据库、100通信控制系统、110运行监视装置、111管理表、120连接管理装置、130消息输出装置、131消息输出部、132消息保持部、133历史保持部、134评价部、135登记受理部、136收费部、137用户数据库、138消息数据库、139内容保持部、140日志管理装置、150数据库服务器,160URL数据库、161病毒/网络钓鱼网站名单、162白名单、163黑名单、164公共类别名单、250WEB服务器、260便携式电话终端、262基站装置、264控制站装置、272接入点、274、282、284路由器装置。
具体实施方式
(前提技术)
首先,作为前提技术,对通信控制装置及其外围装置的构成和动作概要进行说明,而且,对使用通信控制装置的URL过滤技术进行说明,然后,作为实施方式,对于向请求访问的发信源输出消息的技术进行说明。
图1示出了前提技术涉及的通信控制系统的构成。通信控制系统100包括通信控制装置10和为支持通信控制装置10的工作而设置的各种外围装置。前提技术的通信控制装置10实现由因特网服务提供商等提供的URL过滤功能。设置在网络路径上的通信控制装置10获取对内容的访问请求,对其内容进行分析,判断对该内容的访问是否许可。当对内容的访问被许可时,通信控制装置10将该访问请求发送给保持有该内容的服务器。当对内容的访问被禁止时,通信控制装置10将废弃该访问请求,并对请求源返回警告消息等。在前提技术中,通信控制装置10接收HTTP(HyperText Transfer Protocol:超级文本传输协议)的“GET”请求消息等访问请求,对将要访问的内容的URL是否与用于判断访问是否许可的基准数据的名单相一致进行检索,判断对内容的访问是否许可。
外围装置包括:运行监视装置110、连接管理装置120、消息输出装置130、日志管理装置140和数据库服务器150。连接管理装置120管理对通信控制装置10的连接。连接管理装置120例如当通信控制装置10对由便携式电话终端送出的数据包进行处理时,使用唯一识别数据包中所含的便携式电话终端的信息来对通信控制装置10的用户进行认证。一旦认证,则从暂时交付给该便携式电话终端的IP地址送出的数据包,在一定的期间内无需通过连接管理装置120认证而发送到通信控制装置10进行处理。消息输出装置130按照由通信控制装置10判定的访问是否许可的结果,对访问的请求目标或者请求源输出消息。日志管理装置140管理通信控制装置10的运行历史。数据库服务器150从URL数据库获取最新的数据库,并将其输入到通信控制装置10。为了在不停止通信控制装置10的情况下更新数据库,通信控制装置10可以有备份用的数据库。运行监视装置110对通信控制装置10、连接管理装置120、消息输出装置130、日志管理装置140和数据库服务器150等外围装置的运行状况进行监视。运行监视装置110在通信控制系统100中优先级最高,并对通信控制装置10及所有的外围装置进行监视控制。通信控制装置10如下文所述由专用的硬件电路构成,而运行监视装置110使用本申请人的专利第3041340号等技术,通过利用边界扫描电路在与通信控制装置10等之间对用于监视的数据进行输入输出,从而即使在通信控制装置10的运行中,也可以对运行状况进行监视。
前提技术的通信控制系统100如以下所述,由在外围连接的具有各种功能的装置群对为实现高速化而以专用硬件电路构成的通信控制装置10进行控制,由此,通过适当替换装置群的软件,可以由同样的构成实现各种功能。根据前提技术,可以提供这种柔性高的通信控制系统。
图2示出了现有的通信控制装置1的构成。现有的通信控制装置1包括:接收侧的通信控制部2、数据包处理部3、和发送侧的通信控制部4。通信控制部2及4分别包括:PHY处理部5a及5b,进行数据包的物理层的处理;MAC处理部6a及6b,进行数据包的MAC层的处理。数据包处理部3包括:IP处理部7,进行IP(Internet Protocal:IP协议)的协议处理;TCP处理部8等,进行TCP(Transport Control Protocal:传送控制协议)的协议处理;协议处理部,进行与协议对应的处理;AP处理部9,进行应用层的处理。AP处理部9根据数据包中包含的数据,执行过滤等处理。
在现有的通信控制装置1中,数据包处理部3是利用作为通用处理器的CPU和在CPU上运行的OS,通过软件来实现的。但是,在这种构成中,通信控制装置1的性能将依赖于CPU的性能,想要实现能够高速地对大容量的数据包进行处理的通信控制装置,自然存在限制。例如,如果是64位的CPU,一次同时能够处理的数据量最大是64位,性能在此以上的通信控制装置不存在。而且,由于将具有通用功能的OS的存在作为前提,因此存在安全漏洞等的可能性不是绝对没有的,OS的版本升级等维护作业是必要的。
图3示出了前提技术的通信控制装置的构成。通信控制装置10包括由布线逻辑电路的专用硬件构成的数据包处理电路20,以取代图2所示的现有通信控制装置1中由包含CPU及OS的软件实现的数据包处理部3。不是通过在作为通用处理电路的CPU中运行的OS和软件来处理通信数据,而是设置对通信数据进行处理的专用硬件电路,由此能够克服由CPU和OS等造成的性能限制,实现高处理能力的通信控制装置。
例如,在为了执行数据包过滤等而检索数据包所含的数据中是否含有作为过滤判断基准的基准数据的情况下,使用CPU对通信数据和基准数据进行比较时,一次最多只能比较64位。所以存在的问题是,即使想提高处理速度也将受到CPU性能的限制。由于在CPU中必须无数次重复进行以下处理,即,从通信数据将64位读入到存储器,将其与基准数据进行比较,接着再把下一64位读入到存储器,因此读入到存储器的时间将制约速度,处理速度存在限制。
相反,在前提技术中,设置了由布线逻辑电路构成的专用硬件电路,以对通信数据和基准数据进行比较。该电路包括并列设置的多个比较器,以能够对比64位长的数据长度,例如1024位的数据长度进行比较。这样,通过设置有专用的硬件可以同时并行执行许多的位匹配。可以从现有的使用CPU的通信控制装置1一次只能处理64位提高到一次可以处理1024位,可以显著地提高处理速度。虽然增多比较器的数量也能够提高处理能力,但是成本和尺寸也会增大,因此可以在考虑预期的处理性能和成本、尺寸等条件下,设计最适当的硬件电路。专用的硬件电路可以使用FPGA(Field Programmable Gate Array:现场可编程门阵列)等实现。
此外,由于前提技术的通信控制装置10是由布线逻辑电路形成的专用硬件构成的,因此不需要OS(Operating System:操作系统)。为此,不需要OS的安装、故障处理、升级等作业,从而可以减少用于管理和维护的费用和工时。此外,与要求具有通用功能的CPU不同,由于不包含不必要的功能,因此没有使用多余的资源,有希望实现低成本化、电路面积的减少、以及处理速度的提高。而且,与使用OS的现有通信控制装置不同,由于没有多余的功能,因此降低了安全漏洞等发生的可能性,对于恶意第三者通过网络的攻击具有优秀的抵抗能力。
现有的通信控制装置1通过以CPU和OS为前提的软件对数据包进行处理,在接收了数据包的所有数据后再进行协议处理,将数据交给应用程序。相反,在本前提技术的通信控制装置10中,由于使用专用的硬件电路进行处理,没有必要在接收了数据包的所有数据后开始处理,如果接收到处理所需的数据,则不用等待接收后续的数据就可以随时开始处理。例如,在后述的位置检测电路中进行的位置检测处理,可以在接收到用于确定比较对象数据位置的位置确定数据时开始。这样,由于不用等待接收了所有的数据就可以动态地执行各种各样的处理,因此能够缩短处理数据包的数据所需的时间。
图4示出了数据包处理电路的内部构成。数据包处理电路20包括:第一数据库50,存储基准数据,所述基准数据作为用于决定对通信数据执行的处理内容的基准;检索电路30,通过比较通信数据和基准数据对接收的通信数据中是否含有基准数据进行检索;第二数据库60,将检索电路30的检索结果和对通信数据执行处理的内容进行关联对应存储;处理执行电路40,基于检索电路30的检索结果和第二数据库60所存储的条件对通信数据进行处理。
检索电路30包括:位置检测电路32,从通信数据中检测应与基准数据进行比较的比较对象数据的位置;作为判定电路一个示例的索引电路34,当把第一数据库50所存储的基准数据分成3个以上的范围时,判定比较对象数据属于这些范围中的哪一个;对分检索电路36,在判定的范围中,检索与比较对象数据一致的基准数据。作为从基准数据中检索比较对象数据的方法,可以使用任意的检索技术,但在前提技术中使用的是对分检索法。
图5示出了位置检测电路的内部构成。位置检测电路32包括:多个比较电路33a~33f,用于对确定比较对象数据位置的位置确定数据和通信数据进行比较。在此,设置有6个比较电路33a~33f,但如后所述,比较电路的个数可以是任意的。通信数据以每次错开预定的数据长度(例如1字节)的方式输入到各比较电路33a~33f中。然后,在这些多个比较电路33a~33f中,对应检测的位置确定数据和通信数据同时并行地进行比较。
在前提技术中,将进行以下处理时的情况作为用于说明通信控制装置10动作的示例进行说明,即,检测通信数据中包含的“No.###”的字符串,将该字符串中包含的数字“###”与基准数据进行比较,与基准数据一致时允许数据包通过,不一致时将数据包废弃。
在图5的示例中,为了从通信数据中检测用于确定数字“###”位置的位置确定数据“No.”,将通信数据“01No.361...”每次错开1个字符输入到比较电路33a~33f中。即,比较电路33a中输入“01N”,比较电路33b中输入“1No”,比较电路33c中输入“No.”,比较电路33d中输入“o.”,比较电路中33e输入“.3”,比较电路33f中输入“36”。在此,比较电路33a~33f同时执行与位置确定数据“No.”的比较。由此,比较电路33c匹配,从而检测出在通信数据的最前头开始第3个字符处存在“No.”的字符串。这样,在由位置检测电路32检测出的位置确定数据“No.”之后,将检测出存在作为比较对象数据的数字数据。
如果由CPU进行同样的处理,则首先将字符串“01N”与“No.”进行比较,然后将字符串“1No”与“No.”进行比较,由于必须从最前头开始依次逐一执行比较处理,因此无法期待提高检测速度。相反,在前提技术的通信控制装置10中,通过并行设置多个比较电路33a~33f,使得CPU中无法实现的同时并行的比较处理成为可能,可以极大地提高处理速度。虽然比较电路越多能够同时比较的位置就越多,检测速度也将提高,但是在考虑到成本和尺寸等条件下,设置获得所需检测速度的足够数量的比较电路就可以了。
位置检测电路32不只用于检测位置确定数据,也可以用作检测通用的字符串的电路。此外,不仅可以检测字符串,而且还可以检测以位为单位的位置确定数据。
图6示出了第一数据库的内部数据的示例。作为用于决定数据包的过滤、路径选择、交换、置换等处理内容的基准的基准数据,按照某种分类条件进行分类并储存在第一数据库50中。在图6的示例中,存储有1000个基准数据。
在第一数据库50的最前面的纪录中,储存有表示通信数据中的比较对象数据位置的偏移量51。例如,在TCP数据包中,由于数据包内的数据结构以位为单位确定,因此如果将用于决定数据包的处理内容的标记信息等位置作为偏移量51设定,则可以只比较必要的位来决定处理内容,从而可以提高处理效率。此外,即使在数据包的数据结构变更的情况下,也可以通过变更偏移量51来相应处理。在第一数据库50中,也可以储存比较对象数据的数据长定。由此,可以只使必要的比较器动作来进行比较,从而可以提高检索效率。
索引电路34在将第一数据库50储存的基准数据分成3个以上的范围52a~52d时,判定比较对象数据属于这些范围中的哪一个。在图6的示例中,1000个基准数据被以每250个分成4个范围52a~52d。索引电路34包括对范围的边界的基准数据与对象数据进行比较的多个比较电路35a~35c。通过比较电路35a~35c对比较对象数据与边界的基准数据同时并行地进行比较,从而用一次比较处理就可以判定比较对象数据属于哪个范围。
输入到索引电路34的比较电路35a~35c中的边界基准数据可以通过通信控制装置10外部所设置的装置来设定,也可以事先自动地输入第一数据库50预定位置的基准数据。在后一种情况下,即使更新第一数据库50,也可以自动地将第一数据库50预定位置的基准数据输入到比较电路35a~35c中,因此无需进行初始设定就能立即执行通信控制处理。
如上所述,在由CPU执行对分检索的场合,不能同时执行多个比较,而在前提技术的通信控制装置10中,通过并列设置有多个比较电路35a~35c,可以同时并列进行比较处理,从而极大地提高了检索速度。
当由索引电路34判定了范围时,对分检索电路36以对分检索法执行检索。对分检索电路36将由索引电路34判定的范围进一步分成2个,通过对位于该边界位置的基准数据和比较对象数据进行比较,来判定属于哪个范围。对分检索电路36包括以位为单位对基准数据和比较对象数据进行比较的多个比较电路,例如在前提技术中包括1024个,同时执行1024位的位匹配。当判定了属于被分成2个的范围中的哪一个时,进一步将该范围分成2个并读出位于边界位置的基准数据,将其与对象数据进行比较。之后,通过重复该处理来进一步限定范围,最后检索出与比较对象数据一致的基准数据。
使用上述的例子进一步对动作进行详细说明。在图5所示的通信数据中,位置确定数据“No.”之后的比较对象数据是数字“361”。由于在确定数据“No.”与比较对象数据“361”之间存在一个字符的空格,因此为了从比较对象数据中除去该空格,偏移量51被设定为“8”位。对分检索电路36从位置确定数据“No.”之后的通信数据中跳过“8”位,即1个字节,将之后的“361”作为比较对象数据读入。
在索引电路34的比较电路35a~35c中,输入“361”作为比较对象数据,作为基准数据,在比较电路35a中输入位于范围52a和52b边界的基准数据“378”,在比较电路35b中输入位于范围52b和52c边界的基准数据“704”,在比较电路35c中输入位于范围52c和52d边界的基准数据“937”。由比较电路35a~35c同时进行比较,判定出比较对象数据“361”属于范围52a。之后,对分检索电路36将检索基准数据中是否存在比较对象数据“361”。
图7示出了第一数据库内部数据的另一个示例。在图7的示例中,基准数据的数据个数少于第一数据库50所能够保持的数据数1000个。此时,在第一数据库50中,从最后数据位置开始降序储存基准数据。然后,在剩余的数据中储存0。作为数据库的加载方法,不是从最前面配置数据而是从加载区域的后方配置,当加载区域的开头产生空位时,对所有的空位进行清零,由此使数据库一直处于满的状态,从而可以使对分检索时的最大时间恒定。此外,当对分检索电路36在检索中读入“0”作为基准数据时,由于比较结果是明显的,因此可以不进行比较而确定范围,并转到下一比较。由此,可以提高检索速度。
在基于CPU的软件处理中,在将基准数据储存到第一数据库50时,从最初的数据位置升序储存基准数据。在剩余的数据中例如储存最大值,在这种情况下,在对分检索中不可能省略上述的比较处理。上述的比较技术通过由专用的硬件电路构成检索电路30来实现。
图8示出了第一数据库内部数据的又一个示例。在图8的示例中,不是把基准数据均等地分成3个以上的范围,而是使范围所属的基准数据的个数是不均等的,例如范围52a为500个,范围52b为100个。这些范围可以根据通信数据中的基准数据的出现频度的分布来进行设定。也就是说,可以对范围进行设定以使各范围所属的基准数据的出现频度的和大致相同。由此,可以提高检索效率。也可以从外部对输入到索引电路34的比较电路35a~35c中的基准数据进行变更。由此,能够动态地设定范围,从而可以使检索效率最佳化。
图9示出了对分检索电路中包含的比较电路的构成。如上所述,对分检索电路36包括1024个比较电路36a、36b、...。在各个比较电路36a、36b、...中,基准数据54和比较对象数据56被逐位地输入,并比较其大小。索引电路34的各比较电路35a~35c的内部构成也是同样的。这样,通过以专用的硬件电路执行比较处理,可以使多个比较电路并行动作,同时对多位进行比较,从而可以使比较处理高速化。
图10示出了第二数据库内部数据的示例。第二数据库60包括储存检索电路30的检索结果的检索结果栏62、以及储存对通信数据执行的处理内容的处理内容栏64,并对检索结果和处理内容进行关联对应保持。在图10的示例中设定如下条件:当通信数据中包含基准数据时,允许该数据包通过;当不包含基准数据时,将该数据包废弃。处理执行电路40根据检索结果从第二数据库60检索处理内容,对通信数据执行处理。处理执行电路40也可以由布线逻辑电路来实现。
图11示出了第二数据库内部数据的另一个示例。在图11的示例中,对每个基准数据设定处理内容。当进行数据包的置换时,可以将待置换的数据储存到第二数据库60中。在进行数据包的路径选择或者交换时,可以将与路经有关的信息储存到第二数据库60中。处理执行电路40根据检索电路30的检索结果,执行第二数据库60中储存的过滤、路径选择、交换、置换等处理。如图11所示,当对每个基准数据设定处理内容时,可以对第一数据库50和第二数据库60进行综合。
第一数据库及第二数据库被设置为可以从外部进行重写。通过对这些数据库进行替换,可以使用相同的通信控制装置10实现各种各样的数据处理或者通信控制。此外,也可以设置2个以上储存作为检索对象的基准数据的数据库,来进行多阶段的检索处理。此时,也可以设置2个以上关联对应储存了检索结果和处理内容的数据库,来实现更复杂的条件分支。这样,当设置多个数据库进行多阶段的检索时,也可以设置多个位置检测电路32、索引电路34、对分检索电路36等。
上述用于比较的数据,可以用同样的压缩逻辑进行压缩。在进行比较时,如果比较源数据与比较目标数据用同样的方式压缩,则可以与通常一样进行比较。由此,比较时可以减少载入的数据量。如果载入的数据量变少,则从存储器读出数据所需的时间就会缩短,全部的处理时间也可以缩短。此外,由于可以削减比较器的数量,从而有助于装置的小型化、轻型化、低成本化。用于比较的数据可以用压缩的形式储存,也可以从存储器读出后,在比较之前进行压缩。
图12示出了前提技术的通信控制装置的另外的构成示例。本图所示的通信控制装置10包括2个具有与图3所示的通信控制装置10同样构成的通信控制单元12。此外,设有对各通信控制单元12的动作进行控制的切换控制部14。各通信控制单元12包括2个输入输出接口16,通过各输入输出接口16连接到上游侧和下游侧2个网络上。通信控制单元12从任一个网络输入通信数据,将处理后的数据输出到另一个网络。切换控制部14通过切换各通信控制单元12设置的输入输出接口16的输入输出,对通信控制单元12中的通信数据的流向进行切换。由此,不仅可以进行单向的通信控制,而且还可以进行双向的通信控制。
切换控制部14也可以进行控制以使通信控制单元12的一方处理入站的数据包、另一方处理出站的数据包,也可以进行控制以使双方都处理出站的数据包。由此,例如根据业务量的状况或者目的等,可以使进行控制的通信方向变化。
切换控制部14也可以通过获取各通信控制单元12的动作状况,根据其动作状况对通信控制的方向进行切换。例如,在使一方的通信控制单元12处于待机状态,而使另一方的通信控制单元12工作的情况下,当检测到该通信控制单元12由于故障等原因停止时,可以使待机中的通信控制单元12工作以作为替代。由此,可以提高通信控制装置10的容错度。此外,当对一方的通信控制单元12进行数据库的更新等维护时,也可以使另一方通信控制单元12工作以作为替代。由此,在不停止通信控制装置10运行的情况下,能够适当地进行维护。
在通信控制装置10中也可以设置3个以上的通信控制单元12。切换控制部14例如可以获取业务量的状况,并对各通信控制单元12的通信方向进行控制,以便将更多的通信控制单元12分配给通信量多的方向的通信控制处理。由此,即使某个方向的通信量增加,也可以将通信速度的降低限制到最小。
另外,在多个通信控制单元12之间可以共用通信控制部2或者4的一部分。此外,数据包处理电路20的一部分也可以共用。
可以考虑以下的方式作为上述的数据处理装置。
[方式1]
一种数据处理装置,其特征在于,包括:
第一存储部,存储基准数据,以作为决定对获取的数据执行的处理内容的基准;
检索部,通过对所述数据和所述基准数据进行比较,检索所述数据中是否包含所述基准数据;
第二存储部,将所述检索部的检索结果与所述处理的内容进行关联对应并存储;
处理部,根据所述检索结果,对所述数据执行与所述检索结果关联对应的处理,
所述检索部由布线逻辑电路构成。
[方式2]
在上述方式1的数据处理装置中,所述布线逻辑电路包括:多个第一比较电路,以位为单位对所述数据和所述基准数据进行比较。
[方式3]
在上述方式1的数据处理装置中,所述检索部包括:位置检测电路,从所述数据中检测应与所述基准数据进行比较的比较对象数据的位置。
[方式4]
在上述方式3的数据处理装置中,所述位置检测电路包括:多个对所述数据和用于确定所述比较对象数据位置的位置确定数据进行比较的第二比较电路,所述数据每错开预定数据长度的位输入到所述多个第二比较电路,并与所述位置确定数据同时并列进行比较。
[方式5]
在上述方式1至方式2任一项的数据处理装置中,所述检索部包括:对分检索电路,通过对分检索对所述数据中是否包含所述基准数据进行检索。
[方式6]
在上述方式5的数据处理装置中,所述基准数据的数据数比所述第一存储部所能保持的数据数少时,从所述第一存储部的最后数据位置开始降序储存所述基准数据,并将0储存到剩余的数据中。
[方式7]
在上述方式1至方式6任一项的数据处理装置中,所述检索部包括:判定电路,当所述第一存储部所存储的多个基准数据分成3个以上的范围时,判定所述基准数据和应进行比较的对象数据属于这些范围中的哪一个。
[方式8]
在上述方式7的数据处理装置中,所述判定电路包括:多个对所述范围的边界的基准数据和所述比较对象数据进行比较的第三比较电路,由所述多个第三比较电路同时并行地对所述比较对象数据属于所述3个以上范围中的哪一个进行判定。
[方式9]
在上述方式8的数据处理装置中,所述第一存储部的预定位置存储的所述基准数据输入到所述第三比较电路,以作为所述边界的基准数据。
[方式10]
在上述方式7或方式8的数据处理装置中,根据所述数据中的所述基准数据的出现频度的分布来设定所述范围。
[方式11]
在上述方式1至方式10任一项的数据处理装置中,所述第一存储部还存储有表示所述数据中的比较对象数据位置的信息,所述检索部基于表示所述位置的信息提取所述比较对象数据。
[方式12]
在上述方式1至方式11任一项的数据处理装置中,所述第一存储部或者所述第二存储部被设置为能够从外部进行重写。
[方式13]
在上述方式1至方式12任一项的数据处理装置中,所述检索部不等待获取通信数据包的所有数据,而是在获取了应与所述基准数据进行比较的数据时,开始对该数据和所述基准数据进行比较。
[方式14]
一种数据处理装置,其特征在于,包括:多个上述方式1至13任一项的数据处理装置,各所述数据处理装置包括2个在与通信线路之间输入输出数据的接口,通过切换各所述接口的输入和输出,对处理所述数据的方向进行可变控制。
接下来,对使用上述通信控制装置10的URL过滤技术进行说明。
图13示出了用于URL过滤的数据包处理电路20的内部结构。在数据包处理电路20中,作为第一数据库50,包括:用户数据库57、病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164。用户数据库57储存使用通信控制装置10的用户的信息。通信控制装置10从用户接收识别用户的信息,将检索电路30接收的信息与用户数据库57进行匹配来对用户进行认证。作为识别用户的信息,可以使用TCP/IP数据包的IP标题中储存的源地址,也可以从用户接收用户ID和口令。在前者的情况下,由于数据包中的源地址的储存位置已经确定了,因此在检索电路30中与用户数据库57进行匹配时,没有必要通过位置检索电路32检测位置,作为偏移量51,指定源地址的储存位置就可以了。当认证了是登记在用户数据库57的用户时,接着,为了判断对内容的访问是否许可,将内容的URL与病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164进行核对。由于白名单162和黑名单163按每个用户设置,因此当用户被认证并唯一地确定了用户ID时,将该用户的白名单162和黑名单163提供给检索电路30。
病毒/网络钓鱼网站名单161储存包含计算机病毒的内容的URL名单、和网络钓鱼诈骗中使用的“陷阱”网站的URL名单。对储存在病毒/网络钓鱼网站名单161中的URL的内容的访问请求将被拒绝。这样,即使在用户不注意或者被骗时想要访问病毒网站或者网络钓鱼网站的情况下,也可以适当地禁止访问,保护用户免受病毒网站或者网络钓鱼诈骗所害。此外,由于不是在用户终端中储存病毒或网络钓鱼网站名单由终端侧进行访问限制,而是由设置在通信路径上的通信控制装置10集中进行访问限制,从而能够可靠且高效地进行访问限制。通信控制装置10可以获取并保持由认证机关证明为不是病毒或者网络钓鱼网站而是正当网站的认证后的网站名单,从而许可对该名单中储存的URL进行访问。此外,当正当的网站被黑客等攻陷、被嵌入病毒、被用于网络钓鱼诈骗等事态发生时,正当网站的运营者等可以将被攻陷的网站的URL登记到病毒/网络钓鱼网站名单161中,在网站恢复到正常的状态前,暂时禁止访问。此外,可以将IP号、TCP号、MAC地址等信息与URL的名单组合并进行检查。由此,可以设定更高精度的检索条件,从而能够更可靠地对病毒或者网络钓鱼网站进行过滤。
白名单162按每个用户设置,并储存许可访问的内容的URL名单。黑名单163按每个用户设置,并储存禁止访问的内容的URL名单。图14(a)示出了病毒/网络钓鱼网站名单161的内部数据的示例,图14(b)示出了白名单162的内部数据示例,图14(c)示出了黑名单163的内部数据示例。在病毒/网络钓鱼网站名单161、白名单162、黑名单163中分别设置有类别号栏165、URL栏166、以及标题栏167。在URL栏166中储存有访问被许可或被禁止的内容的URL。在类别号栏165中储存有内容的类别号。在标题栏167中储存有内容的标题。
公共类别名单164储存有用于将以URL表示的内容分为多个类别的名单。图15示出了公共类别名单164的内部数据示例。在公共类别名单164中也设置有类别号栏165、URL栏166、以及标题栏167。
通信控制装置10提取“GET”请求消息等中包含的URL,由检索电路30对该URL是否包含在病毒/网络钓鱼网站名单161、白名单162、黑名单163或者公共类别名单164之中进行检索。此时,例如,也可以由位置检测电路32检测“http://”的字符串,提取该字符串之后的数据串作为对象数据。提取的URL通过索引电路34及对分检索电路36与病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164的基准数据进行匹配。
图16(a)、(b)、(c)及(d)示出了用于URL过滤的第二数据库60的内部数据示例。图16(a)示出了对病毒/网络钓鱼网站名单161的检索结果和处理内容。当“GET”请求等中包含的URL与病毒/网络钓鱼网站名单161中包含的URL一致时,禁止对该URL的访问。图16(b)示出了对白名单162的检索结果和处理内容。当“GET”请求等中包含的URL与白名单162中包含的URL一致时,许可对该URL的访问。图16(c)示出了对黑名单163的检索结果和处理内容。当“GET”请求等中包含的URL与黑名单163中包含的URL一致时,禁止对该URL的访问。
图16(d)示出了对公共类别名单164的检索结果和处理内容。如图16(d)所示,对于对公共类别名单164的检索结果,用户可以按照每个类别对该类别所属的内容的访问是许可还是禁止分别进行设定。在与公共类别名单164有关的第二数据库60中设置有用户ID栏168及类别栏169。在用户ID栏168中储存有用于识别用户的ID。在类别栏169中,对于被分为57种的各个类别,储存有表示用户对类别所属内容的访问是许可还是禁止的信息。当“GET”请求等中包含的URL与公共类别名单164中包含的URL一致时,根据该URL的类别和用户ID,判断对该URL的访问是否许可。此外,在图16(d)中,公共类别的数量是57,但也可以是其他数量。
图17示出了病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164的优先级。在前提技术中,按照病毒/网络钓鱼网站名单161、白名单162、黑名单163、公共类别名单164的顺序优先级变高,例如,即使是白名单162中储存的访问被许可的内容的URL,如果该URL储存在病毒/网络钓鱼网站名单161中,则也将作为含有计算机病毒的内容或者用于网络钓鱼诈骗的内容而被禁止访问。
以往,当使用软件来进行考虑了这样的优先级的匹配时,例如,可以采用以下方法之一:从优先级高的名单开始依次进行匹配并采用最初命中的、或者从优先级低的名单开始依次进行匹配并用随后命中的进行覆盖。但是,在前提技术中,通过使用由专用的硬件电路构成的通信控制装置10,并设置有进行病毒/网络钓鱼网站名单161匹配的检索电路30a、进行白名单162匹配的检索电路30b、进行黑名单163匹配的检索电路30c、进行公共类别名单164匹配的检索电路30d,在各检索电路30中同时并行进行匹配。其次,在多个名单中命中时,采用优先级最高的。由此,即使在设有多个数据库,对其设定了优先级的情况下,也可以大幅度缩短检索时间。
对病毒/网络钓鱼网站名单161、白名单162、黑名单163以及公共类别名单164的哪个优先进行访问是否许可的判断,例如也可以在第二数据库60中设定。根据哪个名单设定为优先,可以对第二数据库60的条件进行修改。
这样,当使用多个数据库进行基于URL的过滤时,可以对数据库设定优先级并进行与优先级对应的过滤处理,而且,通过将病毒/网络钓鱼网站名单161的过滤设定为最优先,不管用户对白名单162等的设定状况如何,都能够可靠地禁止对病毒网站或者网络钓鱼网站的访问。由此,可以适当地保护用户免受病毒或者网络钓鱼诈骗所害。
当对内容的访问被许可时,处理执行电路40向消息输出装置130输出用于通知该情况的信号。消息输出装置130向保持有该内容的服务器发送“GET”请求消息。当对内容的访问被禁止时,处理执行电路40向消息输出装置130输出用于通知该情况的信号,消息输出装置130不向访问目标的服务器发送“GET”请求消息而是将其废弃。此时,也可以将访问被禁止的响应消息发送给请求源。此外,也可以强制地转送到其他网页。这时,处理执行电路40将目的地址和URL更换为转送目的地的目的地址和URL发送。响应消息和转送目的地的URL等信息也可以储存在第二数据库60或者消息输出装置130等中。
消息输出装置130也可以使用ping命令等来确认实际存在请求源,并且当存在时对其状态进行确认,然后对请求源输出消息。从消息输出装置130向请求源发送的消息也可以按每个用户进行设定,也可以按每个访问目标的内容、按每个类别、或者按每个白名单162或黑名单163等的数据库进行设定。例如,在访问被禁止时,用户可以对显示的画面进行定制并登记到消息输出装置130。此外,如上所述,在正当的网站被黑客攻击并且暂时限制访问时,可以输出向正当网站的镜像网站引导的消息。
消息输出装置130可以管理消息的输送历史,并可以将该消息输送历史信息用于各种控制。例如,当从相同的请求源在短时间内发出多次访问请求时,由于有可能是服务妨碍攻击(Denial of Service attack:DoS攻击)等,因而可以将该请求源登记到访问拒绝名单中,截断来自该请求源的数据包而不将其向请求目的地发送。另外,可以对消息输送历史进行统计处理,并将其提供给WEB网站的管理者等。由此,用户的访问历史可以用于市场营销或者或用于通信状况的控制等。此外,可以根据状况减少消息送出的次数,或相反地也可以增加。例如,从特定的IP号码发出访问请求时,对其一条请求消息,可以发送多倍的消息。
通过以上的构成及操作,可以禁止对不适当的内容进行访问。此外,由于检索电路30是由FPGA等构成的专用硬件电路,因此,如上所述,可以实现高速的检索处理,将对通信量的影响抑制到最小限度,而且可以执行过滤处理。因特网服务提供商等通过提供这样的过滤服务,可以提高附加价值,获取更多的用户。
白名单162或者黑名单163也可以设为由所有的用户共享。
(实施方式)
在实施方式中,提出了一种对访问请求源输出消息的技术。此外,提出了一种使用该消息的商务模式。而且,提出了一种使用该消息对恶意的攻击采取适当防御对策的技术。
如前提技术中所述,通信控制装置10接收对内容的访问请求的数据包,判断是否可以进行该访问,当访问被禁止时,指示消息输出装置130输出错误消息等消息。在本实施方式中,可以按每个访问请求源的用户、每个访问目的地的URL、每个类别和每个数据库等柔性设定由该消息输出装置130向访问请求源输出的消息,从而可以根据状况输出适当的消息。不限于访问被禁止的场合,还可以将内容与消息进行关联对应保持,对发出了对内容进行访问请求的用户,输出与该内容关联对应的消息。
图18示出了实施方式涉及的消息输出装置130的构成。本实施方式的消息输出装置130包括消息输出部131、消息保持部132、历史保持部133、评价部134、登记受理部135以及收费部136。
消息保持部132保持对访问请求源输出的消息。消息可以按每个用户设定。在这种情况下,消息保持部132将识别用户的消息与向该用户输出的消息或者储存该消息的文件的文件名等进行关联对应储存。消息也可以按类别名单中的每个类别进行设定,也可以按每个访问目的地的URL进行设定。例如,网站的运营者可以按每个URL将广告信息等设定为消息。消息保持部132在能够设定与例如每个用户、每个URL等多个条件对应的消息情况下,还可以储存表示哪个消息优先的信息。
登记受理部135接收消息的登记。当消息能够按每个用户设定时,登记受理部135受理来自用户的消息登记,并将其登记到消息保持部132。另外,也可以接收来自内容的提供者、广告提供企业等的消息登记。当对消息的登记者收取登记费时,一旦登记受理部135接收消息的登记,则指示收费部136收取登记费。收费部136进行从登记者的账户减去登记费的处理。
当消息是按每个访问请求源的用户设定时,消息输出部131从对访问请求的数据包进行处理的连接管理装置120或者通信控制装置10获取访问请求源用户的用户ID等,参照消息保持部132,输出为该用户设定的消息。当消息是按每个访问目的地的URL、每个类别设定时,消息输出部131从通信控制装置10获取访问目的地的URL或者类别的识别信息等,参照消息保持部132,输出为该URL或者类别设定的消息。消息输出部131将输出消息的历史登记到历史保持部133。此外,当向消息的登记者或者消息的接收者收取与消息的输出等价的费用时,指示收费部136收费。
当按第一数据库50的每个名单设定消息时,例如,对于向病毒/网络钓鱼网站名单161中登记的URL请求访问的用户,可以将“由于是病毒感染网站,因而访问被限制。”、“由于是网络钓鱼网站,因而访问被限制。”等禁止访问的理由作为消息输出。此外,当按公共类别名单164的每个类别设定消息时,例如,可以将“由于是禁止阅览的类别,因而访问被限制。”等禁止访问的理由作为消息输出。按各名单中登记的每个URL设定消息的场合也是同样的。
当按访问请求源的每个用户设定消息时,例如,当设定与在企业等中的职位对应的访问权限时,可以输出“没有访问该网站的权限。”等消息。此外,父母给孩子便携式电话时,当孩子想要访问不合适的网站时,可以输出包含有向其他健康或优良网站链接的消息,以将其引向该链接。
可以按访问目的地的每个类别或URL设定含有广告等的消息。例如,可以在消息中包含与网站的内容关联的广告。由此,由于能够提供与用户想要阅览的网站关联的广告,因而可以提高广告效果。此外,也可以按每个用户设定含有广告等的消息。例如,用户可以事先设定关心的领域,以在消息中包含属于该领域的广告等消息。
消息也可以包含向其他网站的链接。作为向其他网站的链接示例,例如可以包含向提供广告的网站的链接、向与访问目的地的内容有关的网站的链接、向人气排行高的网站的链接、向认证局认定的安全网站的链接等。例如,当正规的网站受到黑客攻击而关闭时,也可以对想要向该网站访问的用户,输出包含向镜像站链接的消息。此外,当网站的URL转移时,可以对想要向转移前的URL访问的用户,输出包含向转移后的URL的链接的消息。另外,消息输出部131也可以在与访问目的地的内容关联的网站中,提取关联度高的网站、人气网站、优良度高的网站、被认证局认定的网站等并创建名单,使其包含在消息中。
评价部134参照历史保持部133中保持的消息输送历史,对通信状况和访问请求源的状况等进行评价。评价部134可以对消息的输送历史进行统计处理,并提供给WEB网站管理者等。由此,可以将用户的访问历史用于市场营销,或者用于通信状况的控制等。另外,也可以事先将用户的终端设定为定期发送访问请求,参照对其的消息传输历史,掌握并利用用户的行动历史等。
当从相同的请求源短时间内发出了多个访问请求时,评价部134可以将其评价为存在服务妨碍攻击(Denial of Service attack:DoS攻击)等的可能性,并将该请求源登记到访问拒绝名单中,以阻断来自该请求源的数据包而不向请求目的地发送。此时,评价部134可以使用ping命令等来确认请求源实际存在,此外,当存在时,可以确认其状态。当确定了发出服务妨碍攻击等非法访问请求的请求源时,消息输出部131也可以对该请求源输出消息。由于本实施方式的通信控制系统10,如上所述,是一种不具有OS及CPU的完全透过型的通信装置,也没有IP地址,因而不会受到攻击。相反,通过由消息输出装置130对攻击者把消息“顶回去”,可以增加攻击者的装置的负担。在此情况下,由于通信控制系统100不让非法的访问请求通过而顶回去,从而起到了如镜子那样的作用。对于一个访问请求,也可以送出多个消息。
本实施方式的通信控制系统100设置在发出访问请求的用户终端与访问目的地的装置之间的通信路径上。以下,列举通信控制系统100的配置示例。
图19示出了通信控制系统的配置示例。本图示出了将便携式电话终端260作为用户终端使用的一个示例。从便携式电话终端260发出的访问请求通过通信公司设置的基站装置262、在局端设置的控制站装置264发送给因特网200,通过因特网200到达WEB服务器250。在本图的示例中,通信控制系统100设置在基站装置262中。在此情况下,可以按每个基站装置262改变消息保持部132的内容,以使基站装置262按每个管辖区域输出不同的消息。当在基站装置262中设置通信控制系统100时,通过只搭载必要的最低限度的功能来实现通信控制系统100的小型化。例如,可以省略连接管理装置120、日志管理装置140等结构。通过在基站装置262中设置通信控制系统100来分散通信控制处理,设置小规模的通信控制系统100即可,从而可以使装置小型化、轻型化,同时可以降低成本。另外,由于在将从便携式电话终端260发出的访问请求向控制站装置264送出之前可以向请求源送出消息,因而可以减少通信量。此外,由于在与便携式电话终端260直接通信的基站装置262中送出消息,因此可以更可靠且迅速地将消息送到便携式电话终端260。
图20示出了通信控制系统另外的配置示例。本图也是表示使用便携式电话终端260的示例,但是与图19所示的示例不同,通信控制系统100设置在控制站装置264中。由于在局端设置的控制站装置264中集中地执行消息处理,因此,系统的维护容易。
图21示出了通信控制系统的又一个配置示例。本图也是使用便携式电话终端260作为用户终端的一个示例。从便携式电话终端260发出的访问请求,通过无线LAN的接入点272、路由器装置274向因特网200送出,通过因特网200到达WEB服务器250。在本图的示例中,通信控制系统100设置在接入点272。与图19所示的示例同样,由便携式电话终端260附近的装置执行消息处理,因此可以减少无用的通信。此外,例如在企业内的无线LAN的场合,可以进行与接入点272对应的通信控制,例如使雇员在工作时间中不能访问不适当的网站等。
图22示出了通信控制系统的又一个配置示例。本图也是表示无线LAN的示例,但是与图21不同,通信控制系统100设置在路由器装置274中。由于在路由器装置274中设置通信控制系统100,因此可以减少通信控制系统100的设置个数,维护也变得容易。
图23及图24示出了通信控制系统另外的配置示例。在图中,示出了使用个人电脑(PC)280作为用户终端的示例。从PC 280发出的访问请求,通过LAN的路由器装置282及284向因特网200送出,通过因特网200到达WEB服务器250。图23所示的是在路由器装置282中设置通信控制系统100的示例,图24所示的是在路由器装置284中设置通信控制系统100的示例。
在上述的示例中,示出了在构成网络的装置中嵌入通信控制系统100的示例,但是,除这些装置以外,通信控制系统100也可以设置在网络的任意位置。
在这些配置示例中,对于基站装置262或者接入点272的天线、控制站装置264或者路由器装置274、282或284的网络接口等的接收部接收的通信数据,无需判定是否要访问控制,就可以输出消息。此外,无需认证请求源的用户是否为用户数据库57中登记的用户,就可以输出消息。即,通信控制系统100可以捕捉通过的所有数据包,对该数据包的发信源输出消息。另外,如前提技术说明的那样,可以只对连接管理装置120中认证的用户输出消息,也可以只对用户数据库57中登记的用户输出消息。
图25示出了实施方式涉及的消息输出装置130的其他构成示例。图25所示的消息输出装置130包括消息输出部131、消息保持部132、用户数据库137、消息数据库138及内容保持部139。
消息保持部132保持应对用户终端发送的消息。该消息可以为已经对用户发送的电子邮件,也可以为要对用户传送的新闻或广告等。
用户数据库137储存关于用户的信息。图26示出了用户数据库137的内部数据示例。用户数据库137内设置有用户ID栏171、性别栏172、年龄栏173、职业栏174、地域栏175、爱好栏176。用户ID栏171储存识别用户的ID。性别栏172、年龄栏173、职业栏174、地域栏175分别储存用户的性别、年龄、职业、目前所处地域。爱好栏176按多个类别来储存用户的爱好。用户数据库137内还可以储存上述信息以外的与用户的血型、家庭组成、兴趣等有关的信息。
消息数据库138储存与消息保持部132所保持的消息有关的信息。图27示出了消息数据库138的内部数据的示例。消息数据库138内设置有消息ID栏181、消息类别栏182、发送时刻栏183及对象用户栏184。消息ID栏181储存对消息加以识别的ID。消息类别栏182储存消息的类别。发送时刻栏183储存应发送消息的时刻。对象用户栏184储存成为消息发送对象的用户条件。
通信控制装置10获取用户终端发送接收的通信数据,检索该通信数据中是否含有应发送消息的用户终端的识别信息。例如,在第一数据库50中储存注册了消息发送服务的要发送消息的用户的便携电话终端的电话号码列表,由检索电路30检索通信数据中是否含有在第一数据库50内储存的作为发送者号码或被呼叫端号码等的电话号码。当要发送消息的用户终端的识别信息包含在通信数据中时,通信控制装置10将该情况告知消息输出装置130。在第一数据库50内还可以事先将便携电话终端的电话号码和用户ID关联对应地储存,从而可以将应发送消息的用户终端的用户ID告知消息输出装置130。这样,可以缩短用户数据库137的检索所需时间。
当通信数据中含有应发送消息的用户终端的识别信息时,消息输出部131从消息保持部132读出消息并对用户终端进行发送。当消息输出部131被通信控制装置10告知的应发送消息的用户终端的用户ID时,消息输出部131将参照用户数据库137获取与该用户相关的信息。消息输出部131还将参照消息数据库138确定应对用户发送的消息,并向该用户终端进行发送。这样,可以在确认用户终端处于可通信状态之后发送消息。
消息输出部131也可以基于与用户有关的信息,确定对该用户终端发送的消息,从消息保持部132读出被确定的消息并进行发送。例如,当对图26的用户数据库137中的用户ID“0001”的用户发送消息时,虽然由于图27的消息数据库138中的消息ID“0001”的消息的对象用户为“女性·电影”,而不适合作为应发送的消息,但消息ID“0002”的消息的对象用户为“全体”,从而可以确定为应发送的消息。这样,可以根据用户的属性发送合适的消息。当用户加入该消息传送服务时,收集与用户有关的信息并登记在用户数据库137中,从而可以根据地域、年龄、性别等来细分对象并发送有效的广告。
消息输出部131也可以根据发送消息的时间确定对用户终端发送的消息,从消息保持部132读出被确定的消息并进行发送。例如,从目前时刻起到规定时间之后的时刻,可以从消息数据库138中提取由发送时刻栏183指定的消息。消息输出部131在直到消息中所指定的发送时刻到来之前都处于等待状态,当发送时刻到来时再发送消息。这样,例如在午餐之间前或晚餐时间前等发送餐厅、饮料、盒饭等信息,在星期五发送周末活动或电影等信息,可以对应时间发送确切的消息。
消息输出部131可以一直等到用户终端的通信结束之后,即,检测不到该终端作为发信源或发信目标的通信数据之后,再进行消息的发送。这样,可以减少由于用户终端处于通信状态而无法收到消息的情况。
内容保持部139保持应添加到消息中的内容。该内容可以为例如广告、图像、动画、音乐等。对于应该在消息中添加内容的情况,消息输出部131从内容保持部139读出应添加到消息中的内容,将该内容添加到消息中并进行发送。
图25所示的通信控制系统100也可以如图19所示设置在基站装置262上,也可以如图20所示设置在控制站装置264上。此外,也可以如图21所示设置在接入点272上,还可以如图22、23、24所示设置在路由器装置274、282、284上。
消息输出装置130可以作为服务器装置安装,也可以作为由布线逻辑电路构成的硬件电路安装。
以上,通过实施方式对本发明进行了说明。本领域的技术人员应该理解,实施方式仅为示例,本发明还存在对各构成元素或各处理过程进行组合的各种各样的变形实施例,这些变形实施例也包含在本发明的范围内。
产业上的可利用性
本发明可以适用于对终端发送接收消息的通信控制系统。
Claims (6)
1.一种通信控制装置,其特征在于,包括:
消息保持部,保持要发往用户终端的消息;
检索部,获取用户终端发送接收的通信数据,检索所述通信数据中是否含有要发往消息的用户终端的识别信息;
消息输出部,当所述通信数据中含有要发往消息的用户终端的识别信息时,从所述消息保持部读出消息并对该用户终端进行发送,
其中,所述检索部由布线逻辑电路构成。
2.根据权利要求1所述的通信控制装置,其特征在于,所述消息输出部在预定的时机到来时发送所述消息。
3.根据权利要求1或2所述的通信控制装置,所述消息输出部根据发送消息的时间,确定对用户终端发送的消息,从所述消息保持部读出被确定的消息并进行发送。
4.根据权利要求1至3任一项所述的通信控制装置,其特征在于,还包括用户数据库,储存关于用户的信息,
所述消息输出部基于所述关于用户的信息,确定对该用户终端发送的消息,从所述消息保持部读出被确定的消息并进行发送。
5.根据权利要求1至4任一项所述的通信控制装置,其特征在于,还包括内容保持部,保持应添加到所述消息中的内容,
所述消息输出部从所述内容保持部读出应添加到所述消息中的内容,将该内容添加到所述消息中并进行发送。
6.根据权利要求1至5任一项所述的通信控制装置,其特征在于,还包括与移动通信终端之间通过无线通信发送接收信号的天线,
所述通信数据通过所述天线由所述移动通信终端接收,所述消息通过所述天线向所述移动通信终端发送。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2006/323498 WO2008062542A1 (fr) | 2006-11-24 | 2006-11-24 | Appareil de commande de communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101589376A true CN101589376A (zh) | 2009-11-25 |
Family
ID=39429485
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680056885.0A Pending CN101589376A (zh) | 2006-11-24 | 2006-11-24 | 通信控制装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100299398A1 (zh) |
| JP (1) | JPWO2008062542A1 (zh) |
| CN (1) | CN101589376A (zh) |
| WO (1) | WO2008062542A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN106911733A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 云代理的网址访问方法及装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5171527B2 (ja) * | 2008-10-06 | 2013-03-27 | キヤノン株式会社 | メッセージの受信装置およびデータ抽出方法 |
| US10367827B2 (en) * | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
| WO2017073089A1 (ja) * | 2015-10-27 | 2017-05-04 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
| US10715535B1 (en) | 2016-12-30 | 2020-07-14 | Wells Fargo Bank, N.A. | Distributed denial of service attack mitigation |
| JP6830291B1 (ja) * | 2020-11-24 | 2021-02-17 | 株式会社アクリート | メッセージ通信方法及びプログラム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7363278B2 (en) * | 2001-04-05 | 2008-04-22 | Audible Magic Corporation | Copyright detection and protection system and method |
| JP2003030138A (ja) * | 2001-07-11 | 2003-01-31 | Mitsubishi Electric Corp | インターネット接続システム、管理サーバ装置、インターネット接続方法およびその方法をコンピュータに実行させるプログラム |
| US7644151B2 (en) * | 2002-01-31 | 2010-01-05 | Lancope, Inc. | Network service zone locking |
| US7870203B2 (en) * | 2002-03-08 | 2011-01-11 | Mcafee, Inc. | Methods and systems for exposing messaging reputation to an end user |
| US7457278B2 (en) * | 2002-05-31 | 2008-11-25 | Softbank Corp. | Terminal connection device, connection control device, and multi-function telephone terminal |
| US7161933B2 (en) * | 2002-09-24 | 2007-01-09 | Intel Corporation | Optimistic caching for address translations |
| US7693945B1 (en) * | 2004-06-30 | 2010-04-06 | Google Inc. | System for reclassification of electronic messages in a spam filtering system |
| JP2006155074A (ja) * | 2004-11-26 | 2006-06-15 | Hitachi Ltd | アクセス制御システム |
| US20080281716A1 (en) * | 2005-02-18 | 2008-11-13 | Duaxes Corporation | Communication Control Device |
| JP4576265B2 (ja) * | 2005-03-14 | 2010-11-04 | 富士通株式会社 | Url危険度判定装置およびurl危険度判定システム |
| US7849143B2 (en) * | 2005-12-29 | 2010-12-07 | Research In Motion Limited | System and method of dynamic management of spam |
-
2006
- 2006-11-24 CN CN200680056885.0A patent/CN101589376A/zh active Pending
- 2006-11-24 US US12/516,180 patent/US20100299398A1/en not_active Abandoned
- 2006-11-24 JP JP2007513544A patent/JPWO2008062542A1/ja active Pending
- 2006-11-24 WO PCT/JP2006/323498 patent/WO2008062542A1/ja active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN103701795B (zh) * | 2013-12-20 | 2017-11-24 | 北京奇安信科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN106911733A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 云代理的网址访问方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2008062542A1 (ja) | 2010-03-04 |
| US20100299398A1 (en) | 2010-11-25 |
| WO2008062542A1 (fr) | 2008-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100476771C (zh) | 通信控制装置 | |
| CN100580644C (zh) | 通信控制装置及通信控制系统 | |
| JP4554671B2 (ja) | 通信制御装置 | |
| US8336092B2 (en) | Communication control device and communication control system | |
| CN100590615C (zh) | 数据处理系统 | |
| US20140082189A1 (en) | Intelligent management of application connectivity | |
| CN101589376A (zh) | 通信控制装置 | |
| US9609001B2 (en) | System and method for adding context to prevent data leakage over a computer network | |
| CN101176082B (zh) | 通信终端、安全设备以及集成电路 | |
| EP1850234A1 (en) | Communication control device and communication control system | |
| JP5156892B2 (ja) | ログ出力制御装置及びログ出力制御方法 | |
| JPWO2009066347A1 (ja) | 負荷分散装置 | |
| JPWO2008075426A1 (ja) | 通信制御装置及び通信制御方法 | |
| JPWO2009066344A1 (ja) | 通信制御装置、通信制御システム及び通信制御方法 | |
| JPWO2009066348A1 (ja) | 通信制御装置及び通信制御方法 | |
| JPWO2009069178A1 (ja) | 通信制御装置及び通信制御方法 | |
| JPWO2009066349A1 (ja) | 通信制御装置及び通信制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20091125 |