CN101978665B - 对网络通信请求的选择性过滤 - Google Patents
对网络通信请求的选择性过滤 Download PDFInfo
- Publication number
- CN101978665B CN101978665B CN2009801098926A CN200980109892A CN101978665B CN 101978665 B CN101978665 B CN 101978665B CN 2009801098926 A CN2009801098926 A CN 2009801098926A CN 200980109892 A CN200980109892 A CN 200980109892A CN 101978665 B CN101978665 B CN 101978665B
- Authority
- CN
- China
- Prior art keywords
- request
- client
- initiated
- network
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Abstract
描述了选择性地过滤网络通信的若干方法。一种方法涉及用于选择性地过滤网络通信的系统。该系统包括助手应用程序,该助手应用程序耦合到联网程序并被用于标识用户发起的请求。网络过滤器驱动程序耦合到联网程序用于截取用户发起的请求。过滤服务耦合到助手应用程序和网络过滤器驱动程序,并被用于确定该用户发起的请求是否可被允许。如果该请求可被允许,则过滤服务被配置成生成一特殊标识符,其中助手应用程序被配置成将该特殊标识符包括在后续请求中。过滤服务被配置成允许包括该特殊标识符的后续请求,且网络过滤器驱动程序被配置成从后续请求中剥离特殊标识符。
Description
背景
对通信的选择性筛选或过滤是计算机网络环境中的一种有用工具。在被适当配置时,例如,过滤通信可以阻止对不适当内容的访问,集中于可由公共或工作计算机访问的内容范围,或降低暴露于计算机病毒或在线欺诈模式的风险。
宽泛而言,网络通信过滤方法一般通过截取来自诸如web浏览器之类的应用程序的请求来操作。这些请求然后参照过滤策略,通常进一步参照集中式认证服务来检查。如果该请求在本地策略下可被允许,那么允许应用程序继续进行网络请求;如果该请求不被允许,那么应用程序可被重定向到一提供信息的消息,指示所请求的内容在当前策略下不可被访问。
通常,现有的通信过滤方法会包括记录由被监控的应用程序发出的请求的日志记录功能。接着可检查这些日志以确定做出了什么请求以及访问了什么内容。
概述
描述了选择性地过滤网络通信的若干方法。一种方法涉及确定一初始请求是否可被允许。生成对应于该初始请求的特殊标识符,并将其包括在后续请求中。
另一种方法涉及用于选择性地过滤网络通信的系统。该系统包括助手应用程序,该助手应用程序耦合到联网程序并被用于标识用户发起的请求。网络过滤器驱动程序耦合到联网程序用于截取用户发起的请求。过滤服务耦合到助手应用程序和网络过滤器驱动程序,并被用于确定该用户发起的请求是否可被允许。如果该请求可被允许,则过滤服务被配置成生成特殊标识符,其中助手应用程序被配置成将该特殊标识符包括在后续请求中。过滤服务被配置成允许包括该特殊标识符的后续请求,且网络过滤器驱动程序被配置成从后续请求中剥离特殊标识符。
又一方法涉及截取用户发起的对网络可访问内容的请求。对照过滤策略检查该用户发起的请求。生成对应于用户发起的请求的标识符,并将其包括在后续请求中。截取该后续请求,并且检查所包括的标识符的有效性。在不参考过滤策略的情况下允许后续请求。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限定所要求保护的主题的范围。
附图简述
合并在本说明书中并形成其一部分的附图示出了各实施例,并且与说明书一起用于解释所要求保护的主题的原理:
图1描绘了在其上可实现各实施例的示例性计算机系统的框图。
图2描绘了根据一实施例的示例性网络的框图。
图3描绘了根据一实施例的计算机系统的编程层的表示。
图4描绘了根据一实施例的示例性计算机系统和网络的框图。
图5描绘了根据一实施例的选择性过滤网络通信请求的方法的流程图;
详细描述
现在将详细参考若干实施例。尽管本主题将结合各替换实施例来描述,但将理解,它们并不旨在将所要求保护的主题限于这些实施例。相反,所要求保护的主题旨在涵盖可被包括在权利要求书所定义的所要求保护的主题的精神和范围内的替换、修改和等效技术方案。
此外,在以下详细描述中,阐明了众多具体细节以提供对所要求保护的主题的全面理解。然而,本领域的技术人员将认识到各实施例可以在没有这些具体细节或具有其等效方案的情况下实施。在其它情况下,未详细描述公知的方法、过程、组件和电路以免不必要地使主题的各方面和特征显得晦涩难懂。
以下详细描述中的各部分按照一种方法来呈现和讨论。尽管其步骤和排序在此处描述该方法的各操作的附图(例如,图5)中公开,但这些步骤和排序是示例性的。各实施例很好地适用于执行各种其他步骤或此处附图的流程图中所述的步骤的变型,并且按照与此处所描绘和描述的不同的顺序来执行。
本详细描述的某些部分按照过程、步骤、逻辑块、处理、以及对可在计算机存储器上执行的数据位的操作的其它符号表示来呈现。这些描述和表示是数据处理领域技术人员用来将其工作的实质最有效地传达给本领域的其他技术人员的手段。过程、计算机执行的步骤、逻辑块、处理等在此处且通常被认为是导致所需结果的自相一致的步骤或指令的序列。步骤是需要对物理量的物理操纵的那些步骤。尽管并非必需,但这些物理量通常采用能够在计算机系统中被存储、传输、组合、比较、或以其它方式操纵的电或磁信号的形式。原则上出于常见用法的原因将这些信号称作位、值、元素、符号、字符、项、数字等被证明有时是方便的。
然而,应当记住,所有这些和类似术语都应与适当的物理量相关联并且仅仅是应用于这些物理量的方便的标签。如从以下讨论中清楚的,除非具体地另外指明,否则可以理解,贯穿本发明,利用诸如“访问”、“编写”、“包括”、“存储”、“发送”、“遍历”、“关联”、“标识”等术语的讨论涉及计算机系统或类似的电子计算设备的动作和处理,其操纵计算机系统的寄存器和存储器中被表示为物理(电子)量的数据并将其变换成计算机系统存储器或寄存器或其他这样的信息存储、传输或显示设备中类似地被表示为物理量的其他数据。
诸如计算机系统112等计算设备通常包括至少某些形式的计算机可读介质。计算机可读介质可以是可由计算设备访问的任何可用介质。作为示例而非局限,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于储存诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任意方法或技术实现的易失性和非易失性,可移动和不可移动介质。计算机存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储器、盒式磁带、磁带、磁盘存储或其它磁存储设备,或者任何其它可用于存储所需信息并可由计算设备访问的介质。空出介质通常以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,且包含任何信息传递介质。术语“已调制数据信号”是指以在信号中对信息进行编码的方式来设置或改变其一个或多个特征的信号。作为示例而非限制,通信介质包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸如声学、RF、红外、和其它无线介质。以上的任何组合也应包括在计算机可读介质的范围内。
某些实施例可以在由一个或多个计算机或其它设备执行的诸如程序模块等计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,在各实施例中,程序模块的功能可以视需要组合或分布。
对网络通信请求的选择性过滤
在以下各实施例中,描述了用于选择性过滤网络通信请求的方法。这些实施例的其中一些实施例中,只有用户发起的请求需要被过滤。其它请求,诸如由web浏览器在载入页面时生成的自动请求,可绕过该过滤过程。
在一实施例中,助手应用程序被安装在计算机上,并与诸如web浏览器等被监控的联网程序接口。助手应用程序在诸如键入URL或点击超链接等用户发起的请求与诸如web浏览器试图载入网页上的各种图像等自动化的或自动请求之间进行区分。
在该实施例中,也可安装网络过滤器驱动程序,其驻留在被监控的联网程序与用于计算机的操作系统的联网栈之间。网络过滤器驱动程序与也驻留在计算机上的过滤服务接口,以确定是否允许网络请求进入联网栈。过滤服务将用户发起的请求与本地过滤策略进行比较,以确定该用户发起的请求是否可被允许。这种比较通常涉及访问维护对应于诸如网页等各种网络可用内容的分级的数据库或列表的远程过滤服务器。如果用户发起的请求可被允许,那么过滤服务将一特殊联网首部传递到助手应用程序。
助手应用程序然后可将这一特殊联网首部包括在与可允许的用户发起的请求相关的自动请求上。对于这些自动请求,该特殊联网首部的存在向过滤服务指示该请求可无需认证或日志记录就被允许;该特殊联网首部由网络过滤器驱动程序剥离,并且自动请求被允许访问联网栈。
该实施例导致产生更易读的日志文件的过滤服务,因为通过访问可允许内容而生成的自动请求不被包括在用户发起的请求的日志中。此外,由于与已清除的用户发起的请求有关的自动请求不必被单独认证,该实施例导致对远程过滤服务器的较少的访问。
基本计算系统
现参考图1,示出了示例计算机系统112的框图。可以理解,此处所述的计算机系统112示出了在其上可有利地实现各实施例的操作平台的示例配置。然而,在本发明范围内,还可使用具有不同配置的其它计算机系统来替代计算机系统112。即,计算机系统112可包括除了结合图1描述的那些元素外的其它元素。此外,各实施例可在被配置成使其实现的任何系统上实施,而不仅仅是如计算机系统112的计算机系统。可以理解,各实施例可在多种不同类型的计算机系统112上实施。系统112可被实现为例如具有耦合到专用图形渲染GPU的强大的通用CPU的台式计算机系统或服务器计算机系统。在这一实施例中,可包括添加外围总线、专业音频/视频组件、IO设备等的组件。同样地,系统112可被实现为手持式设备(例如,蜂窝电话等)或诸如例如从华盛顿州雷蒙德市的微软公司获得的Xbox
或从日本东京的索尼计算机娱乐公司获得的PlayStation3
之类的机顶视频游戏控制台设备。系统112还可被实现为“芯片级系统”,其中计算设备的电子器件(例如,组件101、103、105、106等)完全包含在单个集成电路管芯中。各示例包括具有显示器的手持式仪器、汽车导航系统、便携式娱乐系统等等。
计算机系统112包括用于传递信息的地址/数据总线100、与总线100耦合用于处理信息和指令的中央处理器101、与总线100耦合用于为中央处理器101存储信息和指令的易失性存储器单元102(例如,随机存取存储器[RAM]、静态RAM、动态RAM等)、以及与总线100耦合用于为处理器101存储静态信息和指令的非易失性存储器单元103(例如,只读存储器[ROM]、可编程ROM、闪存等)。此外,计算机系统112还包括用于存储信息和指令的数据存储设备104(例如,硬盘驱动器)。
计算机系统112还包括可任选图形子系统105、可任选字母数字输入设备106、可任选光标控制或定向设备107、以及信号通信接口(输入/输出设备)108。可任选字母数字输入设备106可向中央处理器101传递信息和命令选择。可任选光标控制或定向设备107被耦合至总线100用来向中央处理器101传递用户输入信息和命令选择。也与总线100耦合的信号通信接口(输入/输出设备)108可以是串行端口。通信接口108还可包括无线通信机制。使用通信接口108,计算机系统112可以通过诸如因特网或内联网(例如,局域网)等通信网络通信地耦合至其它计算机系统,或可接收数据(例如,数字电视信号)。计算机系统112还可包括例如通过在附连的显示设备110上显示信息并由视频电缆111连接的用于向计算机用户呈现信息的图形子系统105。在一些实施例中,图形子系统105被并入中央处理器101中。在别的实施例中,图形子系统105是一单独的分立组件。在其它实施例中,图形子系统105被并入另一组件中。在另外实施例中,图形子系统105以其它方式被包括在系统112中。
示例性联网环境
现在参考图2,描绘了根据一个实施例的示例性网络200。尽管网络200被示为合并了特定的、枚举的元素和特征,但可以理解,各实施例很好地适用于涉及附加的、更少的、或不同的特征、元素、或安排的应用。
在所描述的实施例中,客户计算机201可通过因特网299访问多个目的地站点260和270。在所描述的实施例中,客户计算机201包括网络过滤软件215。在客户计算机201被允许向特定目的地站点请求内容之前,网络过滤软件215确定是允许还是拒绝该请求。在一些实施例中,网络过滤软件215通过因特网299访问过滤服务器290,以确定是允许还是阻止该请求继续进行。
通常单个用户发起的对某一内容的访问请求将导致网络应用程序发出的许多请求。例如,如果用户在web浏览器中输入一个包含从不同位置取得的多个图像的网站的URL,该单个用户发起的请求导致web浏览器发出对包括在所请求的网站上的每个图像的单独请求。web浏览器也可发出对其它内容的请求,例如,包括在所请求的网站上的广告横幅或图像。
例如,客户计算机201的用户可请求由目的地站点260托管的网站。所请求的网站包括由目的地站点270托管的图像。客户计算机201将发出对所请求的网站上包括的每个图像的各单独请求。
硬件抽象层
现在参考图3,示出了根据一实施例的计算机系统301的编程层的表示。尽管图3描绘了某些特定的列举的特征和元素,可以理解,各实施例很好地适用于具有附加的、更少的或不同的特征和元素的应用。
如图3所描绘的,计算机系统301可被构想为由日益增多的抽象的层组成。此处示出为硬件层330的最底层由例如,处理器、系统存储器或网络接口卡(NIC)等构成计算机系统的实际电子组件组成。
从硬件层330上移一层,图3显示了内核空间320。在一些实施例中,内核空间320和硬件层330之间的交互由对例如在此处示为设备驱动程序325等设备驱动程序的一个或多个特定软件的操作来实现。在某些情况下,设备驱动程序可以是特定制造商或甚至硬件组件的特定型号所特有的。内核以及到内核的接口的其中一种功能是允许最高抽象层与构成计算机系统的硬件之间的交互。
此处示为用户空间310的最上层通过接口315与内核空间320交互。接口315将通过内核可用的功能和服务展现给在用户空间310内运行的应用程序。在用户空间310中执行的应用程序可调用内核中的“回调处理程序”(或“处理程序”),以请求服务或者请求代表它执行各功能。
过滤软件组件
在不同的实施例中,网络过滤可被应用于不同的应用程序。例如,网络过滤可结合web浏览(HTTP通信)、即时消息收发、游戏、在线媒体购买和/或回放、或对等通信应用程序来使用。在诸如以下参考图4描述的实施例等的一些实施例中,网络过滤“助手”应用程序借助通过联网程序可得的程序挂勾或接口与例如web浏览器等的现有联网程序接口。可用理解,在其它实施例中,归于以下描述的各种过滤软件组件的功能中的某些或全部可被并入附加的、更少的、或不同的程序、组件、或接口。
现在参考图4,描绘了根据一个实施例的示例性网络400的框图。尽管网络400被显示为合并了特定的、枚举的特征和元素,但可以理解,各实施例很好地适用于涉及附加的、更少的、或不同的特征、元素、或安排的应用。
在所描述的实施例中,客户计算机401可通过因特网499访问多个目的地站点460和470。在一些实施例中,客户计算机401通过因特网499访问过滤服务器490,以确定是允许还是拒绝一请求。
在所描绘的实施例中,客户计算机401被示为分成若干抽象层,例如,用户空间410、内核空间420、和硬件430。诸如浏览器411的联网程序在用户空间410中执行。诸如浏览器助手对象413等的助手应用程序被安装在客户计算机401上,并与浏览器411接口。当浏览器411发出例如对于网页的请求时,该请求经过接口415传递到内核空间420。在到达联网栈423之前,该请求经由过滤服务API 417经过过滤服务414。
在该实施例中,过滤服务414检查该请求,并将其与适用的针对联网通信的本地策略进行比较。在这一比较期间,过滤服务414可访问过滤服务器490以取得对应于该请求的请求分级;过滤服务414也可访问可能之前已从过滤服务器490接收的请求分级的本地高速缓存。
过滤服务414确定是允许还是拒绝该请求,并且指示浏览器助手对象413或者使该请求通过,或者执行适当的拒绝操作,例如,将浏览器411重定向到指示该请求在本地策略下被禁止的页面。如果该请求被允许,它由例如网络驱动程序429等的适当的设备驱动程序425处理,并被传送到硬件层430中例如网络接口卡(NIC)431的适当的硬件。
对于可允许的请求,过滤服务414指示浏览器助手对象413使该请求以及相似的请求,例如,由浏览器411生成的与可允许的用户发起的请求有关的自动请求通过。在一些实施例中,过滤服务414经由诸如过滤服务API 417等的API与浏览器助手对象413接口。在一些实施例中,过滤服务414将特殊标识符传递给浏览器助手对象413。浏览器助手对象413然后可将这一特殊标识符包括在这样的自动请求中。当网络过滤器驱动程序421接收包括有效特殊标识符的请求时,过滤服务414可指示网络过滤器驱动程序421去除该特殊标识符并使该请求通过,而无需认证该请求。
在不同的实施例中,使用不同的方法来生成这一特殊标识符。例如,在一实施例中,对每个用户发起的请求生成新的标识符。在其它实施例中,可在用户登录计算机时生成标识符。此外,在生成标识符时可使用不同的信息。例如,在一实施例中,可使用用户登录时生成的数字、时间戳、以及用户发起的请求的内容的一部分例如通过应用散列函数来生成特殊标识符。包括时间戳有助于防止对特殊标识符的欺骗性使用,例如,在以前发出的特殊标识符被附加到新请求的情况下;类似地,使用时间戳允许该特殊标识符“过期”,这在处理快速更新且应被频繁验证的例如诸如很多网页等的内容时尤其有用。
选择性过滤网络通信请求的方法
现在参考图5,描绘了根据一实施例的选择性过滤网络通信请求的方法的流程图500。尽管在流程图500中公开了具体步骤,但是这些步骤是示例性的。即,本发明的各实施例很好地适用于执行各种其它(附加)步骤或流程图500中所述步骤的变型。可以理解,流程图500中的步骤可以用与所呈现的不同的次序来执行,并且并非要执行流程图500中的全部步骤。
现参考步骤501,接收用户发起的请求。在不同的实施例中,用户发起的请求可采用不同的形式。例如,在涉及web通信过滤的一实施例中,用户可在web浏览器的地址栏中键入URL,或可点击显示在网页上的超链接。
现参考步骤510,截取用户发起的请求。如之前所讨论的,这一步骤在不同的实施例中可按不同的方式来执行。在涉及网络通信过滤的一实施例中,例如,浏览器助手对象使用通过web浏览器可用的功能来检测用户发起的请求,并将这些请求与自动请求进行区分。在一些实施例中,这一助手应用程序可直接与例如运行在同一计算机上的过滤服务通信。在其它实施例中,该请求被例如在请求程序和操作系统的联网栈之间的网络过滤器驱动程序等的另一代理截取。
例如,参考图4,用户将托管在目的地站点460上的网站的URL键入浏览器411中。浏览器助手对象413注意到该请求是用户发起的请求,并经由API 417调用过滤服务414。
现在参考步骤520,过滤服务对照过滤策略检查该用户发起的请求。如之前所讨论的,本地过滤策略用于确定一请求是应被允许还是阻塞。在评价用户发起的请求时,一些实施例涉及过滤服务向远程过滤服务器请求诸如对应于该用户发起的请求的分级之类的数据,例如由远程过滤服务器生成的关于特定的所请求的网页的分级。将这一分级与适用的过滤策略比较可以确定该请求是否可被允许。在一些实施例中,过滤服务通知助手应用程序和/或网络过滤器驱动程序关于该比较的结果。此外,在一些实施例中,用户发起的请求被记入日志,例如,用户发起的对于一网站的请求被记录在日志文件中。
现在参考步骤523,如果确定该请求不可被允许,那么如是通知用户。在一些实施例中,助手应用程序可指示用户的联网程序显示指示该请求在当前策略下不可被允许的信息,例如,浏览器助手对象可将web浏览器重定向到指示该请求不可被允许的页面。在其它实施例中,网络过滤器驱动程序在这一步骤中使用,例如,通过修改输出请求来定向到这一提供信息的网页。
现在参考步骤525,如果该请求可被允许,那么过滤服务生成一特殊标识符。如之前所讨论的,在不同的实施例中,特殊标识符可以不同的方式来生成。此外,在不同的实施例中,特殊标识符可以用例如包括在输入请求上的首部等不同的形式来实现。
继续之前的示例,过滤服务414检查用户发起的请求,并将其与适用的关于web通信的本地策略比较。服务414也可访问过滤服务器490,以获得对应于所请求的网站的分级;可选地,过滤服务414可以先前已经高速缓存了对应于所请求的网站的分级。如果本地策略拒绝该请求,那么过滤服务414指示网络过滤器驱动程序421修改或删除该用户发起的请求,以将浏览器411重定向到指示该请求不能被批准的网页。
如果适用的本地策略允许该请求,那么过滤服务414指示浏览器助手对象413使该请求通过。过滤服务414使用该请求的散列、当前时间、以及在用户登录计算机时生成的数字来生成联网标识符。这一联网标识符接着经由过滤服务API 417被传送到浏览器助手对象413。
现在参考步骤530,特殊标识符被包括在与初始用户发起的请求有关的任意附加请求中。在一些实施例中,对应于单个用户发起的请求的自动请求不要求进一步的认证;此外,在一些这样的实施例中,这些自动请求不被记入日志。助手应用程序将特殊标识符包括在这种自动请求中,例如,通过将其放置在输出请求的首部中。此外,在一些实施例中,更多的用户发起的对场景内容的请求可不要求附加的认证。例如,在一些实施例中,在用户发起的对网站的请求被允许后,更多用户发起的对这一网站的请求也可包括该特殊标识符。在一个这样的实施例中,其中当前时间被用于生成特殊标识符,过滤服务在设定的持续时间后使该特殊标识符过期。
现在参考步骤535,截取附加请求。在一些实施例中,网络过滤器驱动程序被配置成截取所有输出请求,并用过滤服务清除这些请求。
现在参考步骤540,检查附加请求以确定有效的特殊标识符的存在。
现在参考步骤543,如果附加请求不包括特殊标识符,那么该请求应被认证。根据步骤520,过滤服务开始认证该请求。
现在参考步骤545,如果附加请求包括特殊标识符,那么该请求被豁免认证。在一些实施例中,过滤服务指示网络过滤器驱动程序去除特殊标识符并允许该请求被传送。
继续上述示例,在所请求的网站载入时,对存储在目的地站点470上的图像的自动请求由浏览器411来生成。浏览器助手对象413将联网标识符包括在与用户发起的对于目的地站点460上的网页的请求有关的所有自动请求的首部中。这些自动请求被网络过滤器驱动程序421截取,并由网络过滤器驱动程序421通知过滤服务414。过滤服务414将包括在请求的首部中的联网标识符与存储的联网标识符的副本相比较。如果联网标识符是有效的且未过期,那么过滤服务414指示网络过滤器驱动程序421从请求中去除联网标识符,并将它们传送到网络栈423。如果接收到缺少联网标识符的请求,或者如果联网标识符不再有效,那么过滤服务414试图确认该请求,如上所述。
如此描述了本发明的各实施例。虽然本发明已在特定实施例中描述,但应该理解,本发明不应被解释为限于这些实施例,而是根据所附权利要求书来解释。
Claims (20)
1.一种选择性地过滤网络通信的方法(500),所述方法包括:
在客户计算设备上接收由所述客户计算设备上的联网程序生成的对网络可访问内容的初始请求;
通过所述客户计算设备上的过滤服务确定所述初始请求是否能被允许,所述过滤服务被配置成监视所述联网程序;
如果所述初始请求参考过滤策略能被允许,则通过所述过滤服务生成对应于所述初始请求的特殊标识符(525);
将对应于所述初始请求的所述特殊标识符包括在从所述联网程序截取的与对网络可访问内容的所述初始请求相关的对网络可访问内容的后续请求中;以及
如果所述后续请求包括对应于所述初始请求的所述特殊标识符,则通过所述过滤服务允许所述后续请求,而无需参考所述过滤策略。
2.如权利要求1所述的方法,其特征在于,所述过滤策略包括关于联网通信的本地策略。
3.如权利要求1所述的方法,其特征在于,所述过滤服务参考对应于与所述初始请求有关的内容的分级。
4.如权利要求1所述的方法,其特征在于,从时间戳、对应于用户的标识符以及所述初始请求的一部分来生成对应于所述初始请求的所述特殊标识符。
5.如权利要求1所述的方法,其特征在于,其中所述初始请求是用于发起的请求,而所述后续请求是与所述用户发起的请求相关的自动请求。
6.如权利要求1所述的方法,其特征在于,还包括:
确定包括在所述后续请求中的所述特殊标识符是否是有效的。
7.如权利要求1所述的方法,其特征在于,还包括:
将所述初始请求记入日志;以及
允许所述后续请求(545)而不将所述后续请求记入日志。
8.一种选择性地过滤网络通信的方法,包括:
客户计算设备上的助手应用程序标识由所述客户计算设备上的联网程序生成的对网络可访问内容的用户发起的请求,其中所述助手应用程序耦合到所述联网程序;
所述客户计算设备上的过滤服务确定所述用户发起的请求是否是能允许的,其中所述过滤服务耦合到所述助手应用程序;
所述过滤服务监视所述客户计算设备上的所述联网程序,在所述用户发起的请求参考过滤策略是能允许的情况下生成对应于所述用户发起的请求的特殊标识符;
所述助手应用程序截取由所述联网程序生成的对网络可访问内容的请求并将对应于所述用户发起的请求的所述特殊标识符包括在从所述联网程序截取到的与所述用户发起的请求相关的对网络可访问内容的后续请求中;以及
如果所述后续请求包括对应于所述用户发起的请求的所述特殊标识符,则所述过滤服务允许所述后续请求,而无需参考所述过滤策略,并且所述过滤服务指示所述网络过滤器驱动程序从所述后续请求中去除对应于所述用户发起的请求的所述特殊标识符。
9.如权利要求8所述的方法,其特征在于,所述过滤策略是关于联网通信的本地策略。
10.如权利要求8所述的方法,其特征在于,所述过滤服务参考对应于与所述用户发起的请求有关的内容的分级。
11.如权利要求10所述的方法,其特征在于,所述分级是从远程过滤服务器获得的。
12.如权利要求10所述的方法,其特征在于,所述分级是从所述过滤服务所维护的本地高速缓存获得的。
13.如权利要求8所述的方法,其特征在于,所述过滤服务被配置成在预定时间长度之后拒绝所述特殊标识符。
14.一种选择性地过滤网络通信的方法,包括:
接收由客户计算设备上的联网程序生成的对网络可访问内容的用户发起的请求;
确定所述用户发起的请求是否能允许;
如果所述用户发起的请求参考过滤策略是能允许的,则生成对应于所述用户发起的请求的标识符;
将对应于所述用户发起的请求的所述标识符包括在从所述联网程序截取的与所述用户发起的请求相关的对网络可访问内容的后续请求中;
确定所述后续请求包括对应于所述用户发起的请求的所述标识符;
确定对应于所述用户发起的请求的所述标识符是有效的;以及
不参考所述过滤策略,允许所述后续请求。
15.如权利要求14所述的方法,其特征在于,还包括:
将对应于所述网络可访问内容的分级与所述过滤策略相比较。
16.如权利要求14所述的方法,其特征在于,对应于所述用户发起的请求的所述标识符是通过对时间戳、生成的对应于用户的值、以及所述用户发起的请求的一部分进行散列而生成的。
17.如权利要求14所述的方法,其特征在于,所述用户发起的请求是响应于用户输入统一资源定位符或点击所请求的网站的超链接来发起的,以及
所述后续请求包括对所请求的网站上图像的自动请求,该自动请求是由所述联网程序响应于所述用户发起的请求而生成的。
18.如权利要求14所述的方法,其特征在于,所述用户发起的请求包括超文本传输协议HTTP请求。
19.如权利要求14所述的方法,其特征在于,所述用户发起的请求包括对访问在数字多媒体内容的请求。
20.如权利要求14所述的方法,其特征在于,所述用户发起的请求包括对访问在线游戏的请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/050,162 | 2008-03-17 | ||
| US12/050,162 US8208375B2 (en) | 2008-03-17 | 2008-03-17 | Selective filtering of network traffic requests |
| PCT/US2009/033877 WO2009117194A1 (en) | 2008-03-17 | 2009-02-12 | Selective filtering of network traffic requests |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101978665A CN101978665A (zh) | 2011-02-16 |
| CN101978665B true CN101978665B (zh) | 2013-08-21 |
Family
ID=41062911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801098926A Active CN101978665B (zh) | 2008-03-17 | 2009-02-12 | 对网络通信请求的选择性过滤 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8208375B2 (zh) |
| EP (1) | EP2255505B1 (zh) |
| CN (1) | CN101978665B (zh) |
| WO (1) | WO2009117194A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8201220B2 (en) | 2008-12-23 | 2012-06-12 | Qwest Communications International Inc. | Network user usage profiling |
| US7916635B2 (en) * | 2008-12-23 | 2011-03-29 | Qwest Communications International, Inc. | Transparent network traffic inspection |
| US8578486B2 (en) | 2010-06-18 | 2013-11-05 | Microsoft Corporation | Encrypted network traffic interception and inspection |
| US8787941B2 (en) | 2012-07-31 | 2014-07-22 | Longsand Limited | Prohibiting electronic device usage based on geographical location |
| KR20150024056A (ko) * | 2013-08-26 | 2015-03-06 | 삼성전자주식회사 | Http 메시지 처리 방법 및 이를 구현하는 전자장치 |
| CN106211155A (zh) * | 2016-06-29 | 2016-12-07 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用冻结的方法、装置以及终端 |
| US10769275B2 (en) * | 2017-10-06 | 2020-09-08 | Ca, Inc. | Systems and methods for monitoring bait to protect users from security threats |
| CN114666411A (zh) * | 2022-03-02 | 2022-06-24 | 中国建设银行股份有限公司 | 请求处理方法、装置、服务器、存储介质及产品 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6122657A (en) * | 1997-02-04 | 2000-09-19 | Networks Associates, Inc. | Internet computer system with methods for dynamic filtering of hypertext tags and content |
| US5938737A (en) * | 1997-02-14 | 1999-08-17 | Stanford Telecommunications, Inc. | Internet upstream request compression |
| US5996011A (en) * | 1997-03-25 | 1999-11-30 | Unified Research Laboratories, Inc. | System and method for filtering data received by a computer system |
| US6256739B1 (en) * | 1997-10-30 | 2001-07-03 | Juno Online Services, Inc. | Method and apparatus to determine user identity and limit access to a communications network |
| US6233618B1 (en) * | 1998-03-31 | 2001-05-15 | Content Advisor, Inc. | Access control of networked data |
| US6505300B2 (en) * | 1998-06-12 | 2003-01-07 | Microsoft Corporation | Method and system for secure running of untrusted content |
| US6449636B1 (en) * | 1999-09-08 | 2002-09-10 | Nortel Networks Limited | System and method for creating a dynamic data file from collected and filtered web pages |
| AU2001268579A1 (en) | 2000-06-20 | 2002-01-02 | Privo, Inc. | Method and apparatus for granting access to internet content |
| US7587499B1 (en) * | 2000-09-14 | 2009-09-08 | Joshua Haghpassand | Web-based security and filtering system with proxy chaining |
| US7421730B2 (en) * | 2002-05-09 | 2008-09-02 | Microsoft Corporation | Maintaining authentication states for resources accessed in a stateless environment |
| US7100049B2 (en) * | 2002-05-10 | 2006-08-29 | Rsa Security Inc. | Method and apparatus for authentication of users and web sites |
| US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
| US20040010710A1 (en) * | 2002-07-10 | 2004-01-15 | Wen-Hao Hsu | Method and system for filtering requests to a web site |
| US20050262357A1 (en) * | 2004-03-11 | 2005-11-24 | Aep Networks | Network access using reverse proxy |
| US20060021004A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for externalized HTTP authentication |
| US20060277250A1 (en) * | 2005-06-03 | 2006-12-07 | Sebastien Cherry | Methods and systems for checking accessibility of web applications |
| DE102006008745A1 (de) * | 2005-11-04 | 2007-05-10 | Siemens Ag | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
| US20070240208A1 (en) * | 2006-04-10 | 2007-10-11 | Ming-Che Yu | Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network |
| US8763136B2 (en) * | 2007-03-22 | 2014-06-24 | Red Hat, Inc. | Privacy enhanced browser |
| US20080311893A1 (en) * | 2007-06-14 | 2008-12-18 | Sony Ericsson Mobile Communications Ab | Method and Apparatus for Regulating Gambling Applications at a Mobile Device |
-
2008
- 2008-03-17 US US12/050,162 patent/US8208375B2/en active Active
-
2009
- 2009-02-12 EP EP09722192.3A patent/EP2255505B1/en active Active
- 2009-02-12 CN CN2009801098926A patent/CN101978665B/zh active Active
- 2009-02-12 WO PCT/US2009/033877 patent/WO2009117194A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009117194A1 (en) | 2009-09-24 |
| EP2255505B1 (en) | 2018-07-11 |
| EP2255505A4 (en) | 2015-09-30 |
| EP2255505A1 (en) | 2010-12-01 |
| CN101978665A (zh) | 2011-02-16 |
| US8208375B2 (en) | 2012-06-26 |
| US20090231998A1 (en) | 2009-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101978665B (zh) | 对网络通信请求的选择性过滤 | |
| CN1559040B (zh) | 响应通信环境的内容选择 | |
| US6910064B1 (en) | System of delivering content on-line | |
| US7343559B1 (en) | Computer-readable recorded medium on which image file is recorded, device for producing the recorded medium, medium on which image file creating program is recorded, device for transmitting image file, device for processing image file, and medium on which image file processing program is recorded | |
| US8301653B2 (en) | System and method for capturing and reporting online sessions | |
| JP5165670B2 (ja) | 不正利用判定サーバ及び方法 | |
| CA2375676A1 (en) | Information processing method, information terminal support server, collaboration system, and storage medium storing an information processing program | |
| US8019884B2 (en) | Proxy content for submitting web service data in the user's security context | |
| CN113079164B (zh) | 堡垒机资源的远程控制方法、装置、存储介质及终端设备 | |
| US10614417B2 (en) | System and method for electronic lead verification | |
| JP2003162616A (ja) | クライアントコンピュータの機能をサーバが実行可能及び実行不可能にするためのマーケティングサーバシステム及びマーケティング方法、並びに、マーケティング方法を備えた記録媒体 | |
| CN101836213B (zh) | 对数字媒体内容未经许可的复制的保护 | |
| US20090228549A1 (en) | Method of tracking usage of client computer and system for same | |
| RU2272318C2 (ru) | Считываемый компьютером носитель записи, на котором записан файл изображения, устройство для изготовления носителя записи, носитель, на котором записана программа для создания файла изображения, устройство для передачи файла изображения, устройство для обработки файла изображения и носитель, на котором записана программа обработки файла изображения | |
| JP2008077614A (ja) | セッション管理プログラム及びセッション管理方法 | |
| JP4936603B2 (ja) | 販売管理方法及びそのプログラムを記憶した記憶媒体 | |
| KR100332227B1 (ko) | 이미지교체를 통한 웹페이지상의 배너광고방법 | |
| JP2005084751A (ja) | 通信装置 | |
| JP2007121729A (ja) | 学習管理サーバ、コンテンツ配信サーバ、学習システム、学習管理方法、学習管理プログラム及び記録媒体 | |
| JP2003280906A (ja) | サーバシステムおよびその処理方法、サーバ | |
| CN116560655A (zh) | 一种集成管理后台的方法及设备 | |
| JP2002063056A (ja) | 画像ファイル処理装置、画像ファイル処理プログラム及び当該プログラムを記録した媒体 | |
| JP2007259059A (ja) | 中継処理システム、装置及びプログラム | |
| JP2003330852A (ja) | 情報管理サーバ、情報処理装置、情報管理システム及びそれらの制御方法、プログラム | |
| JP2004295609A (ja) | プログラム起動制御装置、方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150522 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150522 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |