CN103716295B - 一种网络系统 - Google Patents
一种网络系统 Download PDFInfo
- Publication number
- CN103716295B CN103716295B CN201310434993.9A CN201310434993A CN103716295B CN 103716295 B CN103716295 B CN 103716295B CN 201310434993 A CN201310434993 A CN 201310434993A CN 103716295 B CN103716295 B CN 103716295B
- Authority
- CN
- China
- Prior art keywords
- access
- url
- server
- white list
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明的一个目的是当执行应用程序时提高访问路径的可靠性。根据本发明的网络系统包括提供服务的服务器,其提供应用服务;用户终端,当使用所述应用服务时,所述用户终端经网络连接至所述提供服务的服务器,并由用户使用,以及代理服务器,其在所述提供服务的服务器与所述用户终端之间进行干预。所述用户终端包括用于应用的白名单,其中描述了代理服务器的至少一个URL。用户终端经网络访问提供服务的服务器,并通过启动应用程序而向用户提供应用服务。当在应用服务的提供过程中作出对应用程序所指定的访问目标的URL的访问请求时,用户终端将访问目标的URL与用于应用的白名单中描述的URL进行比较。基于比较结果,当确定对所述应用程序指定的访问目标的URL的访问请求是对所述代理服务器的URL的访问请求时,所述终端访问控制单元允许访问所述代理服务器;而当确定所述访问请求是对未描述在所述用于应用的白名单中的访问目标的URL的访问请求时,用户终端阻止对该访问目标的访问,或允许在预定条件下对该访问目标进行访问。
Description
相关申请的交叉引用
本发明要求以申请日为2012年9月28日的日本专利申请No. 2012-218127为优先权,在此通过引用方式并入该申请的内容。
技术领域
本发明涉及网络系统和非暂态计算机可读存储介质。
背景技术
已知地,网络系统能允许用户通过使用网页浏览器创建应用程序。
在这类网络系统中,例如,当恶意应用程序创建者将非法网站的URL描述为应用程序中的链接目标时,其使应用程序的用户违背自己的意愿而访问非法网站,因此具有给用户造成损害的风险。
发明内容
本发明正是基于对上述问题的考虑而作出的,本发明的一个目的是当执行应用程序时提高访问路径的可靠性。
解决上述问题和其它问题的本发明的一方面是:
一种网络系统,包括:
提供服务的服务器,其提供应用服务;
用户终端,其经网络连接至所述提供服务的服务器,当使用应用服务时,所述用户终端由用户使用;以及
代理服务器,其在所述提供服务的服务器与用户终端之间进行干预,其中
所述用户终端包括;
终端存储单元,其存储应用程序,以允许用户使用应用服务,所述应用程序包括用于应用的白名单,在该白名单中描述有代理服务器的至少一个URL;
服务提供处理单元,其经网络访问提供服务的服务器,并通过响应用户的操作输入而启动应用程序,以执行向用户提供应用服务的进程;
终端比较单元,当在应用服务的提供过程中作出对应用程序所指定的访问目标的URL的访问请求时,所述终端比较单元将访问目标的URL与用于应用的白名单中描述的URL进行比较;以及
终端访问控制单元,该终端访问控制单元基于比较结果,当确定对应用程序所指定的访问目标的URL的访问请求是对代理服务器的URL的访问请求时,允许访问代理服务器;而当确定该访问请求是未描述在用于应用的白名单中的访问目标的URL的访问请求时,阻止对该访问目标的访问,或允许在预定条件下对该访问目标进行访问。
结合附图,通过对本发明的详细描述,本发明的其它特征将清晰呈现。
附图说明
图1展示了网络系统1的整体配置;
图2为用户终端10的功能配置框图;
图3为游戏服务器20的功能配置框图;
图4为代理服务器30的功能配置框图;
图5为描述网络系统1的操作例1的流程图;
图6为描述访问确定过程的流程图;
图7为描述网络系统1的操作例2的流程图。
具体实施方式
通过以下对本发明和附图的详细描述,至少以下内容将清晰呈现。
即,网络系统,包括:
提供服务的服务器,其提供应用服务;
用户终端,当使用应用服务时,所述用户终端经网络连接至所述提供服务的服务器,并由用户使用;以及
代理服务器,其在所述提供服务的服务器与用户终端之间进行干预,其中
所述用户终端包括;
终端存储单元,其存储应用程序,以允许用户使用应用服务,所述应用程序包括用于应用的白名单,该白名单中描述有代理服务器的至少一个URL;
服务提供处理单元,其经网络访问提供服务的服务器,并通过响应用户的操作输入而启动应用程序,以执行向用户提供应用服务的进程;
终端比较单元,当在应用服务的提供过程中作出对应用程序所指定的访问目标的URL的访问请求时,所述终端比较单元将该访问目标的URL与用于应用的白名单中描述的URL进行比较;以及
终端访问控制单元,其基于比较结果,当确定对应用程序所指定的访问目标的URL的访问请求是对代理服务器的URL的访问请求时,允许访问代理服务器;而当确定该访问请求是对未描述在用于应用的白名单中的访问目标的URL的访问请求时,阻止对该问目标的访问,或允许在预定条件下对该访问目标进行访问。
根据这样的网络系统,由于要访问的URL被限制为描述在白名单中的访问目标的URL,因此,能降低对应用程序用户造成的损害。
进一步地,在这样的网络系统中,能够接受的是:
所述代理服务器包括:
数据存储单元,其存储了用于代理服务器的白名单,在该白名单中描述有提供服务的服务器的至少一个URL;
比较单元,当从用户终端接收了对访问目标URL的操作请求时,所述比较单元将访问目标的URL与用于代理服务器的白名单中描述的URL进行比较;以及
操作控制单元,其基于比较结果,当确定从用户终端接收的访问请求是对提供服务的服务器的URL的访问请求时,允许对提供服务的服务器进行访问;而当确定从用户终端接收的访问请求是对未描述在用于代理服务器的白名单中的访问目标的URL的访问请求时,阻止对该访问目标的访问,或允许在预定条件下对该访问目标进行访问。
根据这样的网络系统,在代理服务器中,由于要访问的URL被限制为白名单中描述的访问目标的URL,因此,可进一步降低对应用程序用户造成的损害。
并且,在这样的网络系统中,可以接受的是:
网络系统进一步包括外部服务器,该外部服务器经网络连接至用户终端,并存储用于应用的最新白名单,其中
每次启用应用程序时,用户终端都访问外部服务器,并下载用于应用的最新白名单。
根据这样的网络系统,由于白名单更新至最新白名单,因此,可进一步降低对应用程序用户造成的损害。
并且,在这样的网络系统中,可以接受的是:
在用于应用程序中包含的应用的白名单中,允许访问的访问目标的URL描述为二进制形式并加密。
根据这样的网络系统,由于白名单中描述的URL不能目视识别,因此能防止白名单中描述的URL被改写为非法站点的URL。
此外,一种存储有程序的非暂态计算机可读存储介质,所述程序由作为用户终端的计算机执行,所述用户终端经代理服务器连接至提供应用程序服务的服务器,并在使用应用服务时由用户使用,所述程序指挥计算机进行以下进程:
将应用程序存储在存储单元中的进程,所述应用程序用于允许用户使用应用程序服务,所述应用程序包括用于应用程序的白名单,在该白名单中描述有代理服务器的至少一个URL;
经网络访问提供服务的服务器,并通过响应用户的操作输入启用应用程序、以执行向用户提供应用程序服务的进程;
当在应用程序服务的提供过程中收到对应用程序指定的访问目标的URL的访问请求时,将该访问目标的URL与用于应用的白名单中的URL相比较的进程;
以及如下进程:基于比较结果,当确定对应用程序所指定的访问目标的URL的访问请求是对代理服务器的URL的访问请求时,允许访问代理服务器;而当确定该访问请求是对未描述在用于应用的白名单中的访问目标的URL的访问请求时,阻止对该访问目标的访问,或允许在预定条件下对该访问目标进行访问的处理。
根据这样的程序,能降低对应用程序用户造成的损害。
本实施例
在以下实施例中,将以网络系统1为例进行详细描述,其提供与游戏应用相关的服务。
网络系统1的配置
图1展示了根据本实施例的网络系统1的整体配置的例子。根据本实施例的网络系统1包括连接在网络2(例如,因特网和类似等)上的用户终端10、作为提供服务的服务器的游戏服务器20以及代理服务器30。
用户终端10的配置
图2是用户终端10的功能配置的框图。根据本实施例的用户终端10是信息处理设备(例如,智能手机和类似等),在玩游戏时由用户使用。用户终端10能通过使用具有网页浏览功能的应用程序,在屏幕上显示与游戏(网页游戏和类似等)相关的网页(游戏屏幕和类似等)。更具体地,由于这样的应用程序的开启,用户终端10向游戏服务器20请求网页(游戏屏幕和类似等),接收已对请求作出响应的游戏服务器20传输的HTML文件(包括文本、图像、音频和类似等),并基于该HTML文件的描述而在屏幕上显示网页。用户终端10包括终端控制单元11、终端唇齿单元12、终端输入单元13、终端显示单元14和终端通信单元15。
终端控制单元11是在各单元之间传输数据,并控制整个用户终端10的这样一个单元,其由执行存储在特定内存中的系统程序和类似等的中央处理器单元(CPU)来实现。根据本实施例的终端控制单元11包括游戏控制单元111、终端比较单元112、终端访问控制单元113和屏幕显示控制单元114。
游戏控制单元111是执行向用户提供应用服务处理的服务提供处理单元的一个例子。根据本实施例的游戏控制单元111具有访问游戏服务器20、并通过响应用户的操作输入启动应用程序以开始游戏的功能。
当在游戏过程中(在应用服务的提供过程中)作出对应用程序所指定的访问目标的URL的访问请求时,终端比较单元112具有将访问目标的URL与用于应用的白名单中描述的URL相比较的功能。
基于终端比较单元112作出的比较结果,终端访问控制单元113确定,例如,对应用程序所指定的访问目标的URL的访问请求时对用于应用的白名单中描述的代理服务器30的URL的访问请求时,还是对未描述在用于应用的白名单中的访问目标的URL的访问请求。终端控制单元113具有控制对应用程序所指定的访问目标的URL进行访问的功能。
屏幕显示控制单元114具有控制终端显示单元14上显示的网页的显示模式(游戏屏幕和类似等)的功能。
终端存储单元12经总线连接至终端控制单元11,根据终端控制单元11的指令,存储在终端存储单元12中的数据被查找、读取和改写。该终端存储单元12是通过例如闪存、硬盘和类似等实现的。根据本实施例的终端存储单元12存储应用程序121、网页浏览器122和类似等。
应用程序121是用于允许用户玩游戏的软件,其还具有网页浏览器的功能。应用程序121包括WebView(网页视图)、用于应用的白名单、用于应用(SDK、API和类似)的工具等。WebView是一个用于将常规网页浏览器功能添加至应用程序121的程序。通过使用该WebView并指定访问目标的URL,应用程序121能在应用中显示从指定的访问目标传输的网页。用于应用的白名单是这样的数据,其中描述有允许访问的访问目标的URL。在本实施例中,代理服务器30的至少一个URL描述在白名单中。注意到,该白名单在预定时刻更新至最新列表,并存储在终端存储单元12中。
网页浏览器122是用于允许用户终端10实现显示网页功能的这样一个软件。用户终端10启动网页浏览器,并向网页浏览器指定的外部服务器请求网页。用户终端10能从已接收该请求的外部服务器接收所传输的HTML文件,并在网页浏览器上显示基于所接收的HTML文件的网页。
终端输入单元13是用于允许用户实现各种类型操作的单元(游戏操作和类似等),其通过例如触摸屏和类似等实现。
终端显示单元14是用于根据终端控制单元11的指令而显示网页(游戏屏幕、操作屏幕和类似等)的单元,其通过例如液晶显示器(LCD)和类似等实现。
终端通信单元15是用于实现与外部设备的通信的单元,其具有用作接收从游戏服务器20、代理服务器30和类似等传输的各种数据和信号的接收单元的功能,以及用作根据终端控制单元11的指令,传输各种数据和信号到游戏服务器20、代理服务器30和类似等的功能。终端控制单元15是通过例如网络接口卡(NIC)和类似等实现的。
游戏服务器20的配置
图3是根据本实施例的游戏服务器20的功能性配置的框图。游戏服务器是由提供游戏服务的系统操作者、系统管理员和类似等使用的信息处理设备(例如,工作站、个人电脑和类似等)。当从用户终端10接收了各种指令(请求)时,游戏服务器20通过适用于用户终端10的标准标记语言(HTML 和类似等)递送已创建游戏的网页,以允许用户使用游戏终端10来玩游戏。游戏服务器20包括控制单元21、数据存储单元22、输入单元23、显示单元24和通信单元25。
控制单元21是在各单元之间传输数据、并控制整个游戏服务器20的一个单元,其是通过执行存储在特定内存中的程序的中央处理器(CPU)来实现的。
数据存储单元22具有只读存储器(ROM),该只读存储器是存储有系统程序的只读存储区域,还具有随机存取存储器(RAM),其是工作区,用于由控制单元21实现的计算处理。数据存储单元22是通过例如闪存或硬盘和类似等的非易失性存储装置来实现的。根据本实施例的数据存储单元22存储了执行应用程序所必需的内容(文本数据、图像数据、音频数据、各种类型的程序和类似等)。
输入单元23是这样一个单元,系统管理员等向其中输入各种类型的数据,所述输入单元23是通过例如键盘、鼠标和类似等实现的。
显示单元24是用于根据控制单元21的指令向系统管理员显示操作屏幕的单元,其是通过例如液晶显示器(LCD)等类似实现的。
通信单元25是用作传输和接受单元的一个单元,其用于经网络2传输和接受来自用户终端10、代理服务器30和类似等或到用户终端10、代理服务器30和类似等的各种信息,例如,通过网络接口卡(NIC)和类似等。
代理服务器30的配置
图4是根据本实施例的代理服务器30的一种功能性配置的框图。代理服务器30在用户终端10与游戏服务器20之间进行干预。当从用户终端10接收了对用户服务器20的访问请求时,代理服务器30为对用户终端10的代理,访问作为指定目的地的游戏服务器20。因此,由于未对已访问游戏服务器20的用户终端10进行识别,因此,能防止用户个人信息(终端ID和类似等)的泄漏和类似等。以与前述的游戏服务器20相同的方式,该代理服务器30包括控制单元31、数据存储单元32、输入单元33、显示单元34和通信单元35。
根据本实施例的控制单元31包括比较单元311和访问控制单元312。当比较单元311从用户终端10接收了对访问目标的URL的访问请求时,比较单元311具有将该访问目标的URL与用于代理服务器的白名单中描述的URL进行比较的功能。基于比较单元311的比较结果,访问控制单元312具有确定,例如,从用户终端10接收的访问请求是对游戏服务器的URL的方位请求,或是对未描述在用于代理服务器的白名单中的访问目标的URL的访问请求,并控制由来自用户终端10的请求所指定的对访问目标的URL的访问。
根据本实施例的数据存储单元32存储用于代理服务器的白名单,在该白名单中描述有预定要访问的访问目标的URL、游戏服务器列表和类似等。用于代理服务器的白名单是这样的数据,其中描述了预定要访问的访问目标的URL。在本实施例中,该白名单中至少描述了游戏服务器20的URL。注意到,该白名单在预定时刻更新为最新列表,并存储在数据存储单元32中。游戏服务器列表是这样的数据,其中对应于用于识别应用的应用ID,描述了游戏服务器的URL。
通过在代理服务器30上以这种方式提供白名单,例如,即便作为应用程序121指定的访问目标的代理服务器的URL被恶意的人改写、以导致用户经代理服务器30访问非法站点,也能通过代理服务器阻止访问。因此,这可限制对非法站点的访问。
网络系统1的操作例1
图5是根据本实施例的网络系统1的操作例(例1)的流程图。
首先,在用户终端10中,当终端控制单元11从终端输入单元13接收用户的操作输入时,终端控制单元11允许游戏控制单元111启动应用程序121,以开始游戏(S101).
接下来,当应用程序121启动后,终端控制单元11获取用于包含在应用程序121中的应用的白名单的版本信息(S102)。该版本信息描述在用于应用的白名单中。
接下来,终端控制单元11经终端通信单元15向作为访问目标的代理服务器30传输请求,请求确认用于应用的白名单是否是最新列表(S103)。该请求包括在步骤S102获取的版本信息。
接下来,当通信单元35接收了来自用户终端10的操作请求时,代理服务器30中的控制单元31实现白名单确认处理(S104)。更具体地,控制单元31访问白名单服务器(未图示),该白名单服务器是网络上的一个外部服务器,并获取用于存储在白名单服务器中的应用的最新白名单的版本信息。随后,控制单元31将最新版本信息与所接收的请求中包含的版本信息相比较,并通过确定所接收的请求中包含的白名单是否是用于应用的最新白名单。接着,当这类确定被否定时,控制单元31将用于应用的最新白名单传输至用户终端10(S105)。
当用户终端10的终端控制单元11接收来自代理服务器3大的响应时,终端控制单元11改写应用程序121中包含的用于应用的白名单,将其更新至该响应中包含的用于应用的最新白名单(S106)。
下一步,用户终端10在启动应用程序121后实现访问确定处理(S107)。接下来对用户终端10中执行的访问确定处理进行详细描述。
图6是描述访问确定处理的流程图。
首先,当应用程序121请求游戏服务器20传递游戏的首页(网页)时,终端控制单元11允许终端比较单元112获取该请求中包含的访问目标的URL(S201)。在该请求中,描述有用作访问游戏服务器20的代理的代理服务器30的URL,还描述有用于识别游戏的应用的应用ID。
下一步,用户终端比较单元112将获取的访问目标的URL与用于应用程序121中包含的应用的白名单的URL进行比较。接着,基于终端比较单元112得到的比较结果,终端访问控制单元113确定获取的URL是否匹配用于应用的白名单中的URL(S202)。
更具体地,在根据本实施例的网络系统1中,由于代理服务器30作为访问游戏服务器20的代理而服务,因此,在此处确定获取的URL是否匹配作为访问目标的代理服务器的URL。通常,由于作为正确访问目标的代理服务器30的URL描述在应用程序121作出的请求中,因此,每个URL都将匹配。然而,例如,当恶意应用创建者将非法站点的URL描述为访问目标时,每个URL将不匹配。
当基于终端比较单元112得到的比较结果确定作为访问目标的代理服务器的URL匹配时(S202: 是),则终端访问控制单元113允许访问代理服务器30(S203)。另一方面,当确定作为访问目标的代理服务器的URL不匹配时(S202: 否),则终端访问控制单元113阻止对代理服务器30的访问(S204)。
在此,对URL是否匹配的判断,可取决于两个URL是否彼此精确匹配而进行判断,或通过比较主机名、目录名或类似等使URL配置为用于比较的目标,看两个URL是否部分彼此匹配而进行判断。
以这种方式,当基于终端比较单元112的比较结果,确定对应用程序121指定的访问目标的URL的请求(访问请求)是对白名单中描述的代理服务器30的URL的请求(访问请求)时,终端访问控制单元113允许对代理服务器30进行访问。
进一步地,在根据本实施例的网络系统1中,还确定获得的URL是否匹配外部服务器的URL,而不是用于应用的白名单中存储的URL的代理服务器URL。在这种情形下,当基于终端比较单元112的比较结果,确定获得的URL匹配用于应用的白名单中的URL时,终端访问控制单元113允许对外部服务器进行访问。
进一步地,当基于终端比较单元112的比较结果,确定对应用程序121指定的访问目标的URL的请求(访问请求)是对未在用于应用的白名单中描述的访问目标的URL的访问请求时,终端访问控制单元113阻止对访问目标进行访问。
注意到,在预定条件下,可允许对未描述在白名单中的URL的访问,而不如上述的那样阻止该访问。例如,通过启动网页浏览器122,屏幕显示控制单元114显示自未描述在白名单中的访问目标传递来的网页,不在应用中显示,而是在网页浏览器中显示。因此,经WebView显示在应用中的内容可限制为仅从白名单中的访问目标传递的网页。因此,由于至少在应用中显示的内容排除了那些来自未被允许访问的访问目标的内容,因此,易于使用于续玩游戏。与此同时,可预先在网页浏览器中显示例如“您试图访问未包含在本服务中的站点。是否继续?”这样的弹出消息,以引起用户的注意。
参见图5,终端控制单元11随后向作为访问目标的代理服务器30传输要经终端通信单元15传递游戏首页的请求(S108)。
接下来,当通信单元35接收了从用户终端10传输的请求时,代理服务器30实现访问确定处理(S109)。
更具体地,当控制单元31从用户终端10接收了请求后,控制单元31允许比较单元311获取该请求中包括的应用ID。在该请求中,描述了标识应用程序121的应用ID。
接下来,比较单元311通过参照数据存储单元32中存储的游戏服务器,获取与所获得应用ID相对应的游戏服务器的URL。随后,比较单元将所获得的游戏服务器的URL与用于数据存储器32中存储的代理服务器的URL相比较。
接下来,当基于比较单元311的比较结果,确定要作为访问目标的游戏服务器的URL匹配白名单中的URL时,访问控制单元312允许对游戏服务器20的访问。另一方面,当确定要作为访问目标的游戏服务器的URL不匹配白名单中的URL时,访问控制单元312组织对游戏服务器20的访问。
在此,对URL是否匹配的判断,可取决于两个URL是否彼此精确匹配而进行判断,或可取决于URL中的主机名、目录名或类似等是否部分匹配而进行判断。
以这种方式,当基于终端比较单元311的比较结果,确定从用户终端接收的请求(访问请求)是对白名单中描述的游戏服务器20的URL的请求(访问请求)时,终端访问控制单元312允许对游戏服务器20进行访问。
进一步地,当基于终端比较单元311的比较结果,确定从用户终端接收的请求(访问请求)是对未描述在用于代理服务器的白名单中的访问目标的URL的请求(访问请求)时,终端访问控制单元312阻止对访问目标的访问。
注意到,在预定条件下,可允许对未描述在白名单中的URL的访问,而不如上述的那样阻止该访问。这与用户终端10中的访问确定处理一样。
接下来,代理服务器30向游戏服务器20发出传输内容(HTML文件和类似等)的请求(S110)。
当游戏服务器20接收了来自代理服务器30的请求时,游戏服务器20产生应用程序121所请求的游戏的首页。即,游戏服务器产生并传输作为内容的HTML文件(包括文本、图像、音频数据和类似等)等(S111)。
接下来,当代理服务器30接收了传输自游戏服务器20的响应时,代理服务器30将该内容(HTML文件和类似等)传输至发布了该请求的用户终端10(S112)。
接下来,在用户终端10中,当终端通信单元15从代理服务器30接收了响应时,屏幕显示控制单元114基于对通过使用应用程序121而接收的HTML文件的描述,在终端显示单元14上显示浏览器游戏的首页(S113)。
网络系统1的操作例2
图7是根据本实施例的网络系统1的一个操作例的流程图。
首先,在用户终端10中,当终端控制单元11从终端输入单元13接收了用户的操作输入时,终端控制单元11允许游戏控制单元111启动应用程序121,用于启动游戏(S301)。
接下来,当应用程序121启动时,终端控制单元11下载白名单(S302)。更具体地,终端控制单元11访问作为网络上一个外部服务器的白名单服务器(未图示),并下载存储在该白名单服务器中的用于应用的白名单。随后,终端控制单元11描述用于应用程序121的应用的白名单,并从而通过在终端存储单元12中记录应用层序121而实现更新。
接下来,用户终端10实现访问确定处理(S303)。该访问确定处理与前述操作1中描述的步骤S107(见图6)中实施的处理一样。然而,该处理的不同之处在于使用在步骤S302中已下载的用于应用的白名单。
注意到,由于以下步骤304到309中的每一步处理都与步骤108到113中的每一步处理一样,因此,省略了对该部分的描述。
结论
如上所述,利用根据本实施例的网络系统1,通过使用用于包含在应用程序121中的应用的白名单,对先前允许访问目标的访问可针对每一应用而加以限制。因此,能降低通过违背用户意愿而访问非法站点给应用用户造成的损失。进一步地,通过使用用于存储在代理服务器30中的代理服务器的白名单,即便作为应用程序121指定的访问目标的代理付如其的URL被恶意的人改写,以使用户经该代理服务器访问非法站点,其也能降低被引导至非法站点所造成的损失。因此,能提供应用程序在执行时其访问路径的可靠性。
其它实施例
本实施例用于协助对本发明进行理解,并不旨在限制本发明的解释范围。对应于本发明及其等同例的精神和范围可作出各种变形例和修正例,这些都包含于本发明之中。特别地,以下描述的实施例都包含在本发明内。
白名单
在根据本实施例的前述网络系统1中,给出的例子描述的是将用于应用程序121中包括的应用的白名单和用于存储在代理服务器30中的代理服务器的白名单用来控制访问的情形。然而,本发明并不限于此。例如,可通过不同时使用两个白名单,而仅使用用于应用程序121中的应用的白名单来实现。
进一步地,在用于应用的白名单和用于代理服务器的白名单中,可以二进制形式描述允许访问的目标的URL,并可加密。这样,由于白名单中描述的URL不能目视识别,因此能防止恶意的人将白名单中描述的URL改写为非法站点的URL等做法。
进一步地,在用于应用的白名单中描述的访问目标的URL和用于代理服务器的白名单中的URL可以是相同的,或是不同的。注意到,在前一种情形中,不使用存储最新白名单的外部服务器(白名单服务器),而可以用存储有最新白名单的代理服务器30来替代。
访问确定处理
在根据本实施例的上述网络系统1中,给出的例子描述的是当启动应用时进行访问确定处理的情形。然而,本发明并不限于此。例如,在游戏控制单元111的控制下,每次应用程序121通过允许用户在游戏操作屏幕(网页)上进行游戏操作输入,从而向游戏服务器20作出访问请求时,可执行确定处理过程。即,在该网络系统1中,在从应用程序启动到游戏结束的游戏过程中任意时刻(在应用服务的提供过程中),都可进行访问确定处理。
对游戏服务器的说明
在根据本实施例的前述网络系统1的操作例中,给出的例子描述了应用程序121不直接指定游戏服务器20的URL、而是指定代理服务器,从而允许用户终端10经代理服务器30访问游戏服务器20的情形。然而,本发明并不限于此。例如,在图5所示的步骤S108中,给出的例子描述了应用程序121请求游戏服务器20传输游戏的首页(网页),在该请求中描述了应用程序121所指定的代理服务器30的URL和应用ID,且当代理服务器30接收请求时,允许访问对应于应用ID的游戏服务器20。然而,本发明并不限于此。
例如,应用程序121传输包括序列参数的URL,因此,在代理服务器30的URL描述中,可指定后续游戏服务器20的URL。更具体地,通过在应用程序121中以“proxy server URL?url= (game server URL)”的形式描述URL来指定代理服务器的URL和后续游戏服务器的URL。
Claims (4)
1.网络系统,包括:
提供服务的服务器,其提供应用服务;
用户终端,当使用所述应用服务时,所述用户终端经网络连接至所述提供服务的服务器,并由用户使用;以及
代理服务器,其在所述提供服务的服务器与所述用户终端之间进行干预,其中
所述用户终端包括;
终端存储单元,其存储应用程序,以允许用户使用所述应用服务,所述应用程序包括用于应用的白名单,该白名单中描述了代理服务器的至少一个URL;
服务提供处理单元,其经网络访问所述提供服务的服务器,并通过响应所述用户的操作输入而启动所述应用程序,从而执行向所述用户提供应用服务的进程;
终端比较单元,当在所述应用服务的提供过程中作出对所述应用程序指定的访问目标的
URL的访问请求时,所述终端比较单元将该访问目标的URL与所述用于应用的白名单中描述的URL进行比较;以及
终端访问控制单元,基于比较结果,当确定对所述应用程序指定的访问目标的URL的访问请求是对所述代理服务器的URL的访问请求时,所述终端访问控制单元允许访问所述代理服务器;而当确定所述访问请求是对未描述在所述用于应用的白名单中的访问目标的URL的访问请求时,所述终端访问控制单元阻止对该访问目标的访问,或允许在预定条件下对该访问目标进行访问。
2.根据权利要求1所述的网络系统,其特征在于:
所述代理服务器包括:
数据存储单元,其存储了用于代理服务器的白名单,在该白名单中描述了所述提供服务的服务器的至少一个URL;
比较单元,当从所述用户终端接收对访问目标的URL的操作请求时,所述比较单元将所述访问目标的URL与用于所述代理服务器的白名单中描述的URL进行比较;以及
代理服务器访问控制单元,基于比较结果,当确定从所述用户终端接收的访问请求是对所述提供服务的服务器的URL的访问请求时,所述代理服务器访问控制单元允许对所述提供服务的服务器进行访问;而当确定从所述用户终端接收的访问请求是对未描述在用于所述代理服务器的白名单中的访问目标的URL的访问请求时,所述代理服务器访问控制单元阻止对该访问目标的访问,或允许在预定条件下对该访问目标进行访问。
3.根据权利要求1或2所述的网络系统,其特征在于,所述网络系统进一步包括:
外部服务器,其经所述网络连接至用户终端,所述外部服务器存储了用于应用的最新白名单,其中
每次启动所述应用程序时,所述用户终端都访问所述外部服务器,并下载所述用于应用的最新白名单。
4.根据权利要求1所述的网络系统,其特征在于:
在用于所述应用程序中所包含的应用的白名单中,允许访问的访问目标的URL被描述为二进制形式并加密。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012-218127 | 2012-09-28 | ||
| JP2012218127A JP5222427B1 (ja) | 2012-09-28 | 2012-09-28 | ネットワークシステム、及び、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103716295A CN103716295A (zh) | 2014-04-09 |
| CN103716295B true CN103716295B (zh) | 2017-06-13 |
Family
ID=48778791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310434993.9A Expired - Fee Related CN103716295B (zh) | 2012-09-28 | 2013-09-23 | 一种网络系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8949947B2 (zh) |
| JP (1) | JP5222427B1 (zh) |
| KR (2) | KR20140042674A (zh) |
| CN (1) | CN103716295B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6068942B2 (ja) | 2012-11-16 | 2017-01-25 | 任天堂株式会社 | 情報処理システム、情報処理装置、情報処理プログラムおよび情報処理方法 |
| CN103973712A (zh) * | 2014-05-29 | 2014-08-06 | 段超 | 网络数据的访问控制方法和装置 |
| CN105207988B (zh) * | 2015-08-11 | 2019-07-26 | 联想(北京)有限公司 | 一种信息处理方法、服务器及终端 |
| CN105561580A (zh) * | 2015-12-24 | 2016-05-11 | 北京奇虎科技有限公司 | 一种基于游戏平台的网络防护方法及装置 |
| US10652748B2 (en) * | 2016-04-23 | 2020-05-12 | Metacert, Inc. | Method, system and application programmable interface within a mobile device for indicating a confidence level of the integrity of sources of information |
| CN108170537B (zh) * | 2017-12-06 | 2021-02-02 | 北京像素软件科技股份有限公司 | 游戏api实现方法、装置、接口服务器及可读存储介质 |
| CN108334779B (zh) * | 2018-01-30 | 2023-11-21 | 上海连尚网络科技有限公司 | 一种应用的处理方法、设备和计算存储介质 |
| CN110798438A (zh) * | 2018-08-09 | 2020-02-14 | 北京安天网络安全技术有限公司 | 应用内防火墙实现方法、系统及存储介质 |
| CN110210231B (zh) * | 2019-06-04 | 2023-07-14 | 深信服科技股份有限公司 | 一种安全防护方法、系统、设备及计算机可读存储介质 |
| TWI730415B (zh) * | 2019-09-18 | 2021-06-11 | 財團法人工業技術研究院 | 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法 |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI281107B (en) * | 2001-08-13 | 2007-05-11 | Qualcomm Inc | Using permissions to allocate device resources to an application |
| US7562304B2 (en) * | 2005-05-03 | 2009-07-14 | Mcafee, Inc. | Indicating website reputations during website manipulation of user information |
| KR100717635B1 (ko) | 2005-07-21 | 2007-05-15 | 김대환 | 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템 |
| US9112897B2 (en) * | 2006-03-30 | 2015-08-18 | Advanced Network Technology Laboratories Pte Ltd. | System and method for securing a network session |
| US7809796B1 (en) * | 2006-04-05 | 2010-10-05 | Ironport Systems, Inc. | Method of controlling access to network resources using information in electronic mail messages |
| US7953862B2 (en) * | 2007-01-16 | 2011-05-31 | Sony Ericsson Mobile Communications Ab | Methods for accessing a phone-based web server with a private IP address and related electronic devices and computer program products |
| JP2009117887A (ja) * | 2007-11-01 | 2009-05-28 | Meidensha Corp | 電子認証装置、電子認証システム、電子認証方法およびこの方法のプログラム |
| US20090232307A1 (en) * | 2008-03-11 | 2009-09-17 | Honeywell International, Inc. | Method of establishing virtual security keypad session from a mobile device using java virtual machine |
| JP5202370B2 (ja) * | 2009-02-05 | 2013-06-05 | 三菱電機株式会社 | ゲートウェイ装置およびアクセス制御方法 |
| JP4914479B2 (ja) * | 2009-11-04 | 2012-04-11 | 日本ユニシス株式会社 | リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム |
| US20120324568A1 (en) * | 2011-06-14 | 2012-12-20 | Lookout, Inc., A California Corporation | Mobile web protection |
| US20130182183A1 (en) * | 2012-01-15 | 2013-07-18 | Panopto, Inc. | Hardware-Based, Client-Side, Video Compositing System |
-
2012
- 2012-09-28 JP JP2012218127A patent/JP5222427B1/ja active Active
-
2013
- 2013-09-16 KR KR1020130111304A patent/KR20140042674A/ko active Application Filing
- 2013-09-23 CN CN201310434993.9A patent/CN103716295B/zh not_active Expired - Fee Related
- 2013-09-27 US US14/039,680 patent/US8949947B2/en not_active Expired - Fee Related
-
2014
- 2014-10-17 KR KR1020140140795A patent/KR101586154B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| KR101586154B1 (ko) | 2016-01-15 |
| US8949947B2 (en) | 2015-02-03 |
| KR20140042674A (ko) | 2014-04-07 |
| KR20140130658A (ko) | 2014-11-11 |
| CN103716295A (zh) | 2014-04-09 |
| JP2014071731A (ja) | 2014-04-21 |
| US20140096203A1 (en) | 2014-04-03 |
| JP5222427B1 (ja) | 2013-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103716295B (zh) | 一种网络系统 | |
| US9338148B2 (en) | Secure distributed information and password management | |
| CN108234475B (zh) | 账号管理方法、电子设备及计算机存储介质 | |
| CN108376079B (zh) | 自动应用更新 | |
| CN109388762B (zh) | 应用分享的方法和装置 | |
| US20150378714A1 (en) | Providing Context-Specific Software Updates to Client Applications | |
| US8495617B2 (en) | Interworking system between user terminal and smart card for executing widget, and method thereof | |
| JP2006107316A (ja) | 認証システム及び認証方法 | |
| EP1548582A1 (en) | Method for managing use of storage region by application | |
| EP3518109A1 (en) | Method and apparatus for realizing communication between web page and native application, and electronic device | |
| WO2017213688A1 (en) | Disabling malicious browser extensions | |
| CN106709323A (zh) | 一种识别伪装下载链接的方法和装置 | |
| US20140378100A1 (en) | Data calling method and device | |
| JP2016148919A (ja) | ユーザ属性情報管理システムおよびユーザ属性情報管理方法 | |
| CN109428872B (zh) | 数据传输方法、设备、服务器及启动方法、系统 | |
| CN102148831B (zh) | 一种终端应用的安全控制方法及系统 | |
| CN108259456B (zh) | 实现用户免登录的方法、装置、设备、计算机存储介质 | |
| CN104158812A (zh) | 一种终端应用的安全控制方法及系统 | |
| KR102124330B1 (ko) | 어플리케이션 업데이트 방법 및 이를 지원하는 단말 | |
| KR20150049457A (ko) | 인증 정보 관리 방법 및 장치 | |
| WO2016067363A1 (ja) | 情報処理装置、情報処理方法、プログラム及び記憶媒体 | |
| US9148444B2 (en) | Rotation of web site content to prevent e-mail spam/phishing attacks | |
| CN112543194B (zh) | 移动终端登录方法、装置、计算机设备和存储介质 | |
| JP5682181B2 (ja) | 通信制御機能を有する通信装置、方法、プログラム | |
| US20150143333A1 (en) | Native Application Variation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170613 Termination date: 20210923 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |