DE10104486A1 - Erweiterter Proxy-Server - Google Patents
Erweiterter Proxy-ServerInfo
- Publication number
- DE10104486A1 DE10104486A1 DE2001104486 DE10104486A DE10104486A1 DE 10104486 A1 DE10104486 A1 DE 10104486A1 DE 2001104486 DE2001104486 DE 2001104486 DE 10104486 A DE10104486 A DE 10104486A DE 10104486 A1 DE10104486 A1 DE 10104486A1
- Authority
- DE
- Germany
- Prior art keywords
- access
- user
- profile
- network
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Netzwerkzugangs, insbesondere Internetzugangs, durch Benutzer. Es wird vorgeschlagen, dass zum Betreiben eines Netzwerkzugangs, insbesondere eines Internetzugangs, durch Benutzer eine Mehrzahl verschiedener Zugangsprofile bereitgehalten werden. Diese Profile werden vorzugsweise als "erweiterter" Proxy-Server implementiert, nämlich als Erweiterung eines zwischen dem internen Netzwerk und dem externen Netzwerk geschalteten Proxy-Servers (2). DOLLAR A Die einzelnen Zugangsprofile beinhalten erfindungsgemäß jeweils eine unterschiedliche Art der Zugangskontrolle. Dadurch kann der Zugang zum Internet der momentanen Art der Nutzung wie z. B. privat, geschäftlich oder projektorientiert individuell angepaßt werden.
Description
Die vorliegende Erfindung betrifft ein Verfahren zum Betrei
ben eines Netzwerkzugangs, insbesondere Internetzugangs durch
Benutzer.
Computernetzwerke gibt es in sehr verbreiterter Form in Wirt
schaft und Verwaltung. Viele Mitarbeiter benutzen diese Netz
werke.
Es ist dabei üblich, dass in Unternehmen, Behörden oder ande
ren Einrichtungen die Benutzer eines hausinternen LAN (Local
area network) Netzwerks auch Zugang zu einem externen Netz
werk insbesondere zum Internet haben. Durch eine bestimmte
Zugangssoftware zum Internet - ein sogenannter Browser - kön
nen die einzelnen Benutzer von ihrem PC am Arbeitsplatz aus
problemlos jedes beliebige Dokument oder beliebige Webseite
aus dem Internet durch Eingabe der entsprechenden Interne
tadresse in standardisierter Form - dem sogenannten Unified
Ressource Locator (URL) - anfordern.
Ein für die Mitarbeiter völlig freier, in keiner Weise regi
strierter oder kontrollierter Zugang zum Internet ist vielfach
problematisch aus Unternehmenssicht, denn dadurch wird
ein hoher Prozentsatz an Mitarbeitern leicht von der Arbeit
abgelenkt, und es entstehen unnötige Kosten für die zu häufi
ge Benutzung des Internet. Somit besteht großes Interesse an
Verfahren zur sinnvollen Beschränkung des Zugangs zum Inter
net für den jeweiligen Mitarbeiter.
So wird allgemein im Stand der Technik der Zugang für den Be
nutzer kontrolliert, d. h. nach Art und Inhalt gefiltert und
zeitlich beschränkt, sowie die Zeit, das Datenvolumen und die
vom Benutzer ausgewählten Netzwerkadressen protokolliert. Die
Implementierung dieser Kontrollmaßnahmen und das Auslesen der
Kontrolldaten geschieht durch einzelne Personen, wie z. B. den
Systemadministrator.
Des weiteren übernimmt im Stand der Technik ein zwischen das
LAN und das Internet geschalteter Proxy-Server die Aufgaben
der Zugangskontrolle - oft als Bestandteil eines Firewall-
Konzepts. Oft ist ein Proxy-Server auch mit einem lokalen
Zwischenspeicher für wiederholt angeforderte Dateien ausge
stattet, dem sog. Cache.
Gemäß Offenbarung durch U.S.-Patent Nr. 5,991,810 prüft der
Proxy-Server, wenn der Benutzer von seinem Platz eine be
stimmte URL anfordert, ob der Benutzer für einen Internetzu
gang als 'genehmigt' registriert ist. Falls dies der Fall
ist, vergleicht er die gewünschte Internetanfrage mit der für
den jeweiligen Benutzer eingerichteten erlaubten Zugangsli
ste. Falls der Zugang für den Benutzer erlaubt ist, erhält
dieser den Zugang zu der gewünschten URL. Andernfalls wird
seine Anfrage vom Proxy-Server zurückgewiesen. Die Parameter
der Zugangskontrollliste - ACL (Access control list) - werden
vom Systemadministrator definiert und programmiert. Dieses
System ist sehr aufwendig, zumindest, wenn es für jeden Be
nutzer spezielle Kriterien anlegt. Ohne entsprechende Selek
tivität ist das System relativ unflexibel. Jedenfalls bevor
mundet es in gewisser Hinsicht die Mitarbeiter, da sie sich
beobachtet fühlen.
Es gibt des weiteren auch Anbieter von Proxyserver-Software,
die fertige und ständig aktualisierte ACLs in ihre Produkte
für die Zugangskontrolle integrieren. Die URL-Listen sind oft
nach Kategorien unterteilt, so dass allein durch die Auswahl
der zu filternden Kategorien eine Anpassung an den jeweiligen
Einsatz erfolgt. Eine solche Lösung ist weniger aufwendig,
aber auch bevormundend. Aufgrund der riesigen und rasant
wachsenden Anzahl von Internetadressen sind diese Filterli
sten immer unvollständig und, da sie meist automatisch von
Computerprogrammen erzeugt werden, auch meist von fragwürdi
ger Qualität.
Auch existieren Filter für Proxy-Server, die auf den Inhalt
der vom Benutzer angeforderten URLs angewendet werden. Die
Filterung geschieht z. B. durch Erkennen von Suchwörtern aus
vorgegebenen Listen in den Textinhalten der angeforderten
HTML-Dokumenten oder durch Bilderkennung zum Filtern von Bil
dinhalten. Dieses Verfahren ist aufwendig, weil es Rechenlei
stung erfordert, und bevormundet ebenfalls die Mitarbeiter.
Neben der Filterung von Art und Inhalt der angeforderten URLs
wird vielfach auch das sogenannte 'Monitoring' eingesetzt.
Dabei wird auf einer Datei oder Datenbank ein Log erzeugt, in
dem protokolliert wird, wer wann wie lange welche URLs ange
fordert hat. Es gibt Systeme, bei denen pro Benutzer oder Ar
beitsplatz ein Konto für die Summe der Nutzungszeit oder des
angeforderten Datenvolumens geführt wird.
Ein solches Monitoring gibt dem zur Einsicht Autorisierten,
also insbesondere dem Arbeitgeber, eine genaue Übersicht über
die Art und den Umfang der Netznutzung der einzelnen Mitar
beiter. Damit wird jedoch stark in die Privatsphäre des Be
nutzers eingegriffen. Er ist bezüglich der Netznutzung für
den Arbeitgeber vollständig kontrollierbar, also in gewisser
Weise 'gläsern', denn auch die Nutzung des Internets für pri
vate Zwecke, sei es auch nur kurzzeitig, wird vollständig
protokolliert. Dadurch entsteht Misstrauen gegenüber dem Ar
beitgeber. Der Mitarbeiter wird als unmündig und als nicht
selbstverantwortlich Handelnder angesehen. Dieses trübt das
Arbeitsklima und schlägt sich dadurch negativ auf die Produk
tivität nieder.
Des weiteren hat der Benutzer bei der Filterung der Art und
des Inhalts der angeforderten URLs keine Wahlmöglichkeit. Die
vom Systemadministrator erstellten Vorgaben lassen sich weder
vom Benutzer verändern, noch nach Art der Nutzung des Inter
nets modifizieren. Dem Benutzer wird starr vorgegeben, was er
aus dem Internet anfordern darf und was nicht. Ein zumindest
eingeschränkt selbstverantwortlicher Umgang mit dem Internet
am Arbeitsplatz wird so verhindert. Das hat die oben genann
ten, nachteiligen Auswirkungen auf das Arbeitsklima und die
Produktivität.
Zwar können Proxy-Server auch so eingerichtet sein, dass nur
für bestimmte Tageszeiten dem Benutzer der freie Zugang zum
Internet durch eine Zugangskontrollliste verwehrt ist, aber
dennoch bleibt die Bestimmung, wann die Zugangskontrollliste
für den Benutzer gerade gilt, in der Hand des Systemadmini
strators. Diese Praxis ist starr und gerade für die heutzuta
ge flexible, eigenverantwortliche Gestaltung der Arbeitszeit,
insbesondere bei Arbeiten am Computer, ungeeignet.
Es ist daher Aufgabe, ein Verfahren zu entwickeln, das eine
flexible und vielseitige Handhabung der Filterung beim Netz
zugang ermöglicht.
Die Aufgabe wird durch ein Verfahren nach Anspruch 1 gelöst.
Die dem Verfahren zugrunde liegende Idee besteht darin, dass
zum Betreiben eines Netzwerkzugangs, insbesondere eines In
ternetzugangs durch Benutzer eine Mehrzahl verschiedener Zu
gangsprofile bereitgehalten werden. Diese Zugangsprofile wer
den vorzugsweise als 'erweiterter' Proxy-Server implemen
tiert, nämlich als Erweiterung eines zwischen dem internen
Netzwerk und dem externen Netzwerk geschalteten Proxy-
Servers.
Die einzelnen Zugangsprofile beinhalten erfindungsgemäß je
weils eine unterschiedliche Art der Zugangskontrolle. Dadurch
kann der Zugang zum Internet der momentanen Art der Nutzung
wie z. B. privat, geschäftlich oder projektorientiert indivi
duell angepasst werden. So kann, falls z. B. der Benutzer ge
rade privat das Internet nutzen möchte, ein Zugangsprofil mit
geringeren Kontrollen und ohne Protokollierung der angefor
derten URLs eingestellt werden.
Auch wäre bei projektorientierten Arbeiten eine Beschränkung
des Zugangs zum Netzwerk auf Dokumente mit dem zum Projekt
passenden Thema möglich.
Somit hat das Bereithalten einer Mehrzahl von verschiedenen
Zugangsprofilen für den einzelnen Benutzer den Vorteil, dass
die Zugangskontrolle flexibel und der unterschiedlichen Art
der Nutzung genau angepasst erfolgen kann. Dadurch ist eine
Abstufung des Grads der Zugangskontrolle möglich, was für den
Benutzer eine Ausweitung des individuellen Freiraums im Ver
gleich zur bisherigen starren Entweder-Oder-Kontrolle be
deutet. Eine Balance zwischen dem Kontrollinteresse des Ar
beitgebers einerseits und dem persönlichen Freiraum des Mit
arbeiters andererseits ist durch eine Vielzahl von bereitge
haltenen Zugangsprofilen mit abgestuftem Grad der Kontrolle
besser zu gewährleisten.
Ein erfindungsgemäß erweiterter Proxy-Server verwaltet den
Netzzugang eines Benutzers am Endgerät nach dem für diesen
momentan geltenden Zugangsprofil. Falls für die angeforderte
Netzwerkadresse (URL) die für das eingestellte Zugangsprofil
spezifische Kontrolle negativ ausfällt, wird die Anfrage vor
zugsweise zurückgewiesen. Bei positivem Ergebnis der Kontrol
le wird der angeforderte Internetzugang gewährt. Ähnlich wie
eine Zurückweisung wirkende Maßnahmen, etwa eine Warnung oder
die Weiterleitung der Anforderung an eine vorgegebene Kon
trollinstanz des Unternehmens können erfindungsgemäß auch die
Folge der Kontrolle sein. Hierbei lassen sich feine Abstufun
gen vornehmen, und eine Filterung der angeforderten Inhalte
nur bei Vorliegen bestimmter Voraussetzungen durchführen.
Dies spart Server-Rechenleistung.
Auch ist durch eine Einteilung in verschiedene Zugangsprofile
die jeweilige Art der Internetnutzung - also etwa unterschie
den nach geschäftlich/privat oder sogar differenziert nach
bestimmten, für einen Mitarbeiter jeweils in Frage kommenden
Projekten oder Kostenstellen - besser zu protokollieren und
transparenter nachzuvollziehen. Der Netzzugang lässt sich
durch ein jeweils spezielles Zugangsprofil der jeweiligen Art
der Nutzung gut anpassen. Dadurch wird verhindert, dass für
eine jeweilige Nutzungsart irrelevante bzw. unnötige Netzver
bindungen hergestellt werden. Dieses spart Netznutzungskosten
und erhöht die Effektivität der Arbeit mit dem Internet. So
kann etwa eine gewisse Liste (ACL) von URLs bei der geschäft
lichen Zugangsart zusammen mit der Zulässigkeit erlaubt sein,
sich von einer auf der Liste vorhandenen URL maximal zwei
oder eine andere, vorgegebene Anzahl von verketteten Links
zu entfernen.
In den Unteransprüchen finden sich vorteilhafte Weiterbildun
gen und Verbesserungen des jeweiligen Gegenstandes der Erfin
dung.
Gemäß einer bevorzugten Weiterbildung können sich die Zu
gangsprofile im Vorhandensein eines oder mehrerer der folgend
beschriebenen Kriterien unterscheiden:
- a) vorgegebene, zielknotenbezogene, insbesondere webseitenbe zogene Zugangskontrolllisten (ACL). Solche Listen können für verschiedene Themen bestehen, so dass je nach ACL der Zugang zu entsprechend anderen Webseiten verwehrt ist,
- b) inhaltliche Filterung von Text und/oder Bildern bei ange forderten Webseiten. Dadurch werden Webseiten oder zumindest deren Passagen mit unerwünschtem Inhalt herausgefiltert,
- c) Registrierung der aktiven Nutzungszeit,
- d) Registrierung des transferierten Datenvolumens,
- e) Registrierung der angeforderten Zielknoten, insbesondere Webseiten,
- f) vorgegebene Maximalgrößen für Nutzungsdauer und/oder trans feriertes Datenvolumen,
- g) unbedingte Zuordnung zu einem Nutzungsgrund, so z. B. zu einem Projekt oder Kostenstelle,
- h) Liste von zum Einsehen der protokollierten Zugangsdaten berechtigten Personen.
Mit diesen Kriterien in Kombinationen oder einzeln besteht
ein breites Spektrum von möglichen Zugangsprofilen, wodurch
eine sehr gute individuelle Anpassung an die jeweilige Art
der Netzwerkbenutzung ermöglicht wird. Die dazu erforderliche
Auswahl eines bestimmten Zugangsprofils ist lediglich eine
logische Zuordnung innerhalb des erfinderisch erweiterten
Proxy-Servers. Zum Internet hin verhält sich der erweiterte
Proxy-Server wie ein herkömmlicher Proxy-Server. Daher ist
die Art der physikalischen Verbindung zum Internet hin, z. B.,
durch Standleitung oder Wählverbindung ohne Einfluß auf den
Kern des erfinderischen Konzepts.
Gemäß einer weiteren bevorzugten Weiterbildung sendet der er
findungsgemäß erweiterte Proxy-Server Informationen an ein
dem Benutzer zugeordnetes Endgerät, die den Benutzer zur Aus
wahl eines Profils auffordern. Dadurch wird vom Proxy-Server
aus eine Einbeziehung der Benutzer an den Endgeräten in den
Auswahlvorgang für ein Zugangsprofil eröffnet. Somit wird die
Anwendung von unterschiedlichen Varianten der Zugangskontrol
le flexibilisiert. Es ist nicht mehr das starre Konzept des
Stands der Technik einer festen Vorgabe, wann welches Zu
gangsprofil gilt, notwendig. Der Benutzer wird zum eigenver
antwortlichen Handeln angehalten, wobei aber noch eine gewis
se Kontrolle durch Registrierung bestehen bleiben kann. Er
wird also als mündiger Mitarbeiter akzeptiert, was sich posi
tiv auf das Arbeitsklima auswirkt und dadurch die Produktivi
tät steigert.
Eine weitere Weiterbildung ist die automatische Zuordnung ei
nes Standardprofils auf eine unspezifische Benutzeranforde
rung hin. Ein Standardprofil ist ein zum jeweiligen Zeitpunkt
normalerweise geltendes Zugangsprofil. Andere Profile sollen
in diesem Zusammenhang nur bei entsprechender Auswahl des Be
nutzers gelten. So kann z. B. das Standardprofil während der
Geschäftszeit das Profil für die geschäftliche Nutzung des
Internets sein. Dieses wäre bei unspezifischer Benutzeranfor
derung automatisch eingerichtet, und erst bei entsprechender
Auswahl wird ein anderes Profil, z. B. das der privaten Nut
zung, eingestellt.
Auch kann ein Standardprofil auf den Eintritt eines Ereignis
ses hin automatisch eingestellt werden. Ein solches wäre z. B.
ein bestimmter Zeitpunkt oder eine Überschreitung der vorge
gebenen Nutzungsdauer des Netzwerkzugangs mit einem anderen
Zugangsprofil. Die Einrichtung eines Standardprofils erspart
dem Benutzer, bei jedem Netzzugang ein Profil auszuwählen,
bzw. sich dieses zu überlegen. Nur bei besonderer Art der
Nutzung, die nicht dem Standardprofil entspricht, ist eine
Auswahl eines anderen Profils notwendig.
Gemäß einer weiteren bevorzugten Weiterbildung kann, falls
ein anderes Profil ausgewählt wurde, eine Wiedereinstellung
eines Standardprofils so eingerichtet sein, dass diese nach
Ablauf einer vorgebbaren Zeitspanne automatisch erfolgt.
Hierfür wäre aus praktischer Sicht eine Zeitspanne, in der
der Benutzer keine Netzaktivität zeigt, besonders geeignet.
Gemäß einer bevorzugten Weiterbildung erfolgt die Zuordnung
eines Standardprofils, abhängig von einer vorgebbaren Uhrzeit
des Netzzugangs. Dadurch können zu verschiedenen Zeiten un
terschiedliche Standardprofile gelten.
Die Verwendung eines Zugangsprofils aus einer Mehrzahl von
Zugangsprofilen kann gemäß einer besonderen Weiterbildung
durch Auswahl eines Profils seitens des Benutzers oder eines
benutzerseitig installierten Programms erfolgen, was eine
flexible Handhabung der Netzzugangskontrolle ermöglicht.
Gemäß einer bevorzugten Weiterbildung empfängt das Endgerät
Informationen vom Proxy-Server, die den Benutzer zur Auswahl
des Profils auffordern. Nach entsprechender Eingabe wird die
Auswahl entsprechend verarbeitet bzw. eingestellt. Dadurch
wird es dem Benutzer vom Endgerät aus komfortabel und auf
einfache Weise selbst ermöglicht, das für ihn für den geplan
ten Zweck der Nutzung des Internets passende und gewollte
Profil auszuwählen. Damit wird die Zugangskontrolle zum Netz
flexibel und auf einfache Weise handhabbar, wobei der Benut
zer eigenverantwortlich tätig wird.
Des weiteren ist es nicht zwingend notwendig, dass die Zu
gangsprofile im Proxy-Server implementiert sind, sondern sie
können auch direkt im PC des Endbenutzers eingerichtet sein
oder als Zusatz zum Internet-Browser implementiert sein. Da
durch kann ohne besondere Kommunikation mit dem Proxy-Server
am Endgerät die flexible Kontrolle des Zugangs zum Internet
erfolgen. Eine solche Form wäre zum Beispiel bei der Netznut
zung von verschiedenen Familienangehörigen am Home-PC denk
bar.
Gemäß einer bevorzugten Weiterbildung kann eine automatische
Auswahl eines von mehreren Zugangsprofilen unabhängig davon,
wo sie implementiert sind, durch ein Programm erfolgen. Ein
solches Programm könnte z. B. jeweils ein bestimmtes Zugangs
profil für verschiedene Zeiträume festlegen oder bei Anforde
rung einer URL, das dazu passende Zugangsprofil zuordnen.
Ein Ausführungsbeispiel der Erfindung ist in den Zeichnungen
dargestellt und in der nachfolgenden Beschreibung näher er
läutert.
Es zeigen:
Fig. 1 eine schematische Skizze des Aufbaus eines erfin
dungsgemäß erweiterten Proxy-Servers in vereinfachter Form,
Fig. 2 eine schematische Skizze, die die wesentlichen
Schritte des Steuerflusses beim Ablauf einer URL-Anforderung
durch den Benutzer veranschaulicht.
Fig. 1. skizziert schematisch den Aufbau eines erfindungsgemäß
erweiterten Proxy-Servers.
Ein Proxy-Server 2 bildet mit der mit ihm verbundenen Filter
schnittstelle 3 und dem Cache 4 die für die Erfindung ausrei
chende Funktionalität eines herkömmlichen Proxy-Servers. Er
erhält über das interne Netzwerk URL-Anforderungen von einem
Arbeitsplatz mit Browser 1.
Zunächst wird die URL zusammen mit der übermittelten Benut
zerkennung an die Filterschnittstelle 3 weitergegeben. Diese
Schnittstelle 3 ermöglicht die Einrichtung von zusätzlichen
Komponenten, die sogenannten Filter, die die URL prüfen und
gegebenenfalls modifizieren.
Für die Komponenten 2 und 3 werden herkömmliche Proxy-Server,
die über eine Filterschnittstelle verfügen, verwendet.
Für den erweiterten Proxy-Server 1 ist dem erfindungsgemäßen
Ausführungsbeispiel gemäß an der Filterschnittstelle ein Zu
gangs-Manager 5 installiert. Dieser prüft, ob die von der
Filterschnittstelle an ihn weitergeleitete, vom Benutzer an
geforderte URL für das aktuelle Zugangsprofil des Benutzers
zulässig ist. Dafür beschafft sich der Zugangs-Manager 5 pro
grammgesteuert Informationen über die Benutzer und die Zu
gangsprofile aus einer Datenbank 6. Bei der Zugangsprüfung
können beispielsweise verschiedene URLs mit Attributen versehen
sein, die eine Zugangsverweigerung auslösen, wenn die URL
aus dem falschen Zugangsprofil heraus angerufen werden.
Der Zugangs-Manager 5 modifiziert gegebenenfalls die angefor
derte URL so, dass die URL-Anfrage vom Proxy-Server an einen
mit ihm verbundenen, lokalen HTTP-Server 7 weitergereicht
wird, was weiter unten näher erläutert wird. Der Zugangs-
Manager 5 selbst ist als eigenständiges Programm implemen
tiert. Alternativ dazu kann er beispielsweise auch als dyna
mische Link-Library (DLL) oder als statischer Programmteil
des Proxy-Servers 3 implementiert sein.
Der Zugangs-Manager 5 kann des weiteren Daten über die ange
forderten URLs in der Datenbank 6 speichern.
Die Datenbank 6 speichert Informationen über die Benutzer,
die vorhandenen Zugangsprofile und die URL-Anforderungen der
Benutzer. Sie dient damit also auch als Log-File. Daher kann
leicht zwischen IST/Soll im Sinne von erlaubten und erfolg
ten Zugriffen abgeglichen werden.
Die Datenbank 6 ist ein persistenter Datenspeicher und bei
spielsweise als relationales Datenbanksystem implementiert.
Alternativ dazu sind auch sonstige Datenbanksysteme oder
Mischformen von Datenbanksystemen mit anderen dateibasierten
Speicherformen verwendbar.
An den lokalen HTTP-Server 7 werden alle URL-Anforderungen
weitergeleitet, die vom erweiterten Proxy-Server 1 selbst beantwortet
werden. Dies beinhaltet vorzugsweise unter anderem
folgende Arten von Anfragen:
- - Verwaltung der Benutzer und der Zugangsprofile,
- - Änderung des aktuellen Zugangsprofils eines Benutzers,
- - Abfragen und Auswertungen über die Nutzung der Zugangspro file,
- - Mitteilungen an die Benutzer, etwa dass eine URL für das aktuelle Zugangsprofil gesperrt ist.
Der lokale HTTP-Server 7 dient also der Kommunikation von Be
nutzern und Systemverwaltern mit dem erweiterten Proxy-Server
über einen Browser. Er liest Daten über den Benutzer und das
aktuell ausgewählte Zugangsprofil aus der Datenbank und spei
chert die Daten aus den aktuell erfolgten Anfragen in die Da
tenbank.
Er ist vorzugsweise als eigenständiges Programm implementiert
oder als Teil eines anderen Programms, etwa des Proxy-Servers
3 oder des Zugangs-Managers 5.
Die Beantwortung der URL-Anforderung erfolgt, in dem die an
geforderte Datei entweder aus dem lokalen Cache 4 geholt
wird, falls ein solcher Zwischenspeicher vorhanden ist und
die gewünschte Datei dort gespeichert ist, oder durch eine
Anfrage an einen HTTP-Server im Internet 9.
Nach der erfolgten Beantwortung einer URL-Anforderung, er
zeugt der Proxy-Server 3 erfindungsgemäß variabel steuerbar,
zumindest konfigurierbar, einen Datensatz (LOG) zum Protokol
lieren des Netzwerkzugriffs, wenn es das jeweils eingestell
te, vom Benutzer verwendete Profil erfordert. Dieser Daten
satz wird vom Log-Manager 8 empfangen, indem der Proxy-Server
3 dafür eine spezielle Schnittstelle zur Verfügung stellt, s.
Pfeile in Fig. 1. Der Log-Manager 8 speichert dann wie oben
erwähnt abhängig von den Definitionen des aktiven Zugangspro
fils Daten über den erfolgten URL-Zugriff in die Datenbank 6.
Fig. 2. veranschaulicht schematisch die wesentlichen Schritte
des Steuerflusses beim Bearbeiten einer URL-Anforderung, wenn
eine bestimmte Form der Ablaufsteuerung implementiert ist.
Das erfindungsgemäße Konzept ist damit nicht auf den nachfol
gend erläuterten Steuerfluss beschränkt.
In Schritt 100 sendet der Benutzer mit Hilfe seines Browsers
eine URL-Anforderung an den erfindungsgemäß erweiterten
Proxy-Server. Dieser empfängt die Anforderung und reicht sie
an den Zugangs-Manager 5 weiter.
Dieser ermittelt im Schritt 200 das für den Benutzer aktive
Zugangsprofil. Dies läuft vorzugsweise in zwei Teilschritten
ab:
Zuerst wird der Benutzer, der die URL angefordert hat, iden tifiziert, indem beispielsweise, wie im Stand der Technik üblich, aufgrund der übermittelten IP-Adresse des Arbeitsplatz rechners automatisch beim anfragenden Computer der aktuelle Benutzername erfragt wird. Dann wird das momentan für den Be nutzer aktive Zugangsprofil ermittelt. Dieses kann zum Bei spiel ein spezielles für ein bestimmtes geschäftliches Pro jekt des Benutzers im Unternehmen sein.
Zuerst wird der Benutzer, der die URL angefordert hat, iden tifiziert, indem beispielsweise, wie im Stand der Technik üblich, aufgrund der übermittelten IP-Adresse des Arbeitsplatz rechners automatisch beim anfragenden Computer der aktuelle Benutzername erfragt wird. Dann wird das momentan für den Be nutzer aktive Zugangsprofil ermittelt. Dieses kann zum Bei spiel ein spezielles für ein bestimmtes geschäftliches Pro jekt des Benutzers im Unternehmen sein.
An dieser Stelle sei angemerkt, dass bei Neuaufnahme der On-
lineverbindung die Zuordnung eines bestimmten Zugangsprofils
zur aktuellen Session erfolgt, im gegebenen Beispiel also
vorher bereits erfolgt ist.
In Schritt 300 prüft der Zugangs-Manager 5, ob die angefor
derte URL im aktiven Zugangsprofil für den Benutzer zulässig
ist. Ist dies der Fall, so zum Beispiel hier bei einer URL
eines branchennahen Unternehmens, kann die Anforderung vom
Zugangs-Manager protokolliert werden. Falls erforderlich, ak
tualisiert der Zugangs-Manager nun die Zeitdaten, wie lange
das Zugangsprofil genutzt wird. Die Protokoll- und Zeitdaten
werden im Arbeitsspeicher des Zugangs-Managers und in der Da
tenbank persistent gespeichert.
In Schritt 400 wird die URL-Anforderung vom Proxy-Server wie
in einem herkömmlichen Proxy-Server bearbeitet.
In Schritt 900 wird die Beantwortung der URL-Anfrage proto
kolliert. Beispielsweise werden der Name des Links, bewerten
de oder Sach-Attribute (z. B., pornographisch, Gewalt, Börse,
Politik, etc.), die Größe der heruntergeladenen Datei oder
allgemeine Angaben wie Datum, Uhrzeit Verkehrsaufkommen durch
Benutzer, etc., die den Datenverkehr spezifizieren, festge
halten. Hier ergibt sich je nach Profil eine unterschiedliche
Gewichtung.
Der Log-Manager 8 erhält den sich ergebenden Datensatz und
speichert je nach Definitionen des Zugangsprofils die ent
sprechenden Zugangsdaten in der Datenbank. Insbesondere das
angeforderte Datenvolumen kann erst zu diesem Zeitpunkt er
mittelt, und daher nicht bereits vom Zugangs-Manager 5 bei
der Bearbeitung der URL-Anforderung protokolliert werden.
Falls in Schritt 300 die URL-Anforderung für das Zugangspro
fil als nicht zulässig evaluiert wurde, wie in diesem Fall
zum Beispiel eine URL eines völlig branchen-, oder sachfrem
den Unternehmens, bzw., dessen Website, so wird in Schritt
500 geprüft, ob für diesen Benutzer ein oder mehrere andere
Zugangsprofile definiert sind, und ob für diese die URL zu
lässig ist. Hier käme zum Beispiel ein Zugangsprofil für die
private Nutzung des Internets in Betracht.
Falls die Prüfung in Schritt 500 mindestens ein weiteres Zu
gangsprofil ergibt, wird der Benutzer in Schritt 600 aufge
fordert, ein anderes Zugangsprofil zu wählen. Dies geschieht
dadurch, dass der Zugangs-Manager die URL so ändert, dass sie
anschließend an den lokalen HTTP-Server weitergereicht wird.
Dieser beantwortet die URL-Anforderung dann mit einem Doku
ment, beispielsweise ein HTML-Formular, das an den Benutzer
zurückgesandt wird. Der Zugangs-Manager speichert die ursprünglich
angeforderte URL. Der Benutzer sendet die Antwort
auf das Auswahldokument zurück, und das vom Benutzer gewählte
Zugangsprofil, in diesem Fall also das für die private Nut
zung, wird im Schritt 700 als aktiv markiert. Die zuvor ge
speicherte ursprüngliche URL-Anforderung kann jetzt wieder
holt werden, indem der Ablauf ab Schritt 200 erneut ausge
führt wird.
Wird in Schritt 500 kein anderes Zugangsprofil ermittelt oder
wählt der Benutzer in Schritt 600 kein anderes Zugangsprofil
aus, so wird in Schritt 800 die angeforderte URL so modifi
ziert, dass sie an den lokalen HTTP-Server weitergereicht
wird, der dem Benutzer als Antwort ein Dokument übermittelt,
in dem die Sperrung der URL mitgeteilt wird.
Wie aus obiger Beschreibung ersichtlich, ergibt sich also
durch die Mehrzahl an zu vergebenden Zugangsprofilen eine
große Flexibilität und damit Vorteile für Unternehmen und Be
nutzer.
Obwohl die vorliegende Erfindung anhand eines bevorzugten
Ausführungsbeispiels vorstehend beschrieben wurde, ist sie
darauf nicht beschränkt, sondern auf vielfältige Weise modi
fizierbar.
Weiter kann der Gegenstand der vorliegenden Erfindung in
Hardware, Software oder einer Kombination aus beiden reali
siert werden. Eine beliebige Art von Computersystem oder Com
putergeräten ist dafür geeignet, das erfindungsgemäße Verfahren
ganz oder in Teilen durchzuführen. Eine typische Hard
ware-Software-Kombination für die vorliegende Erfindung wäre
ein leistungsstarker Computer und ein Computerprogramm, das,
wenn es geladen und ausgeführt wird, den Computer derart
steuert, dass es das erfindungsgemäße Verfahren ganz oder in
Teilen ausführt.
Die vorliegende Erfindung kann auch in ein Computerprogramm-
Erzeugnis eingebettet sein, das sämtliche Merkmale enthält,
die eine Implementierung der hierin beschriebenen Verfahren
ermöglichen, und die, wenn sie in ein Computersystem geladen
wird, dazu imstande ist, diese Verfahren auszuführen, wenn es
mit den aktuellen Daten versorgt wird.
Computerprogrammeinrichtungen oder Computerprogramme bedeuten
im vorliegenden Kontext beliebige Ausdrücke in einer beliebi
gen Sprache oder Notation, oder einem beliebigen Code eines
Satzes von Anweisungen, die ein System mit einer Informati
onsverarbeitungsmöglichkeit dazu veranlassen sollen, von den
folgenden Funktionen
Umsetzung in eine andere Sprache oder Notation oder einen an
deren Code, Reproduktion in eine unterschiedliche materielle
Form, eine bestimmte entweder direkt oder nacheinander oder
beide durchzuführen
Schließlich können die Merkmale der Unteransprüche im wesent
lichen frei miteinander und nicht durch die in den Ansprüchen
vorliegende Reihenfolge miteinander kombiniert werden, sofern
sie unabhängig voneinander sind.
Claims (13)
1. Verfahren zum Betreiben eines Netzwerkzugangs und insbe
sondere eines Internetzugangs durch Benutzer, gekennzeichnet
durch den Schritt:
Bereithalten (200, 500) einer Mehrzahl verschiedener Zugangs profile mit jeweils unterschiedlicher Art der Zugangskontrol le für eine Zuordnung (600) zu einem Benutzer.
Bereithalten (200, 500) einer Mehrzahl verschiedener Zugangs profile mit jeweils unterschiedlicher Art der Zugangskontrol le für eine Zuordnung (600) zu einem Benutzer.
2. Verfahren nach Anspruch 1, wobei die Zugangsprofile sich
im Vorhandensein eines oder mehrerer der folgenden Kriterien
unterscheiden:
- a) vorgegebene, zielknotenbezogene, insbesondere webseitenbe zogene Zugangskontrolllisten (ACL),
- b) inhaltliche Filterung von Text und/oder Bildern angefor derter Webseiten,
- c) Registrierung der aktiven Netznutzungszeit,
- d) Registrierung des transferierten Datenvolumens,
- e) Registrierung der angeforderten Zielknoten, insbesondere Webseiten,
- f) vorgegebene, Maximalgrößen für Nutzungsdauer und/oder transferiertes Datenvolumen,
- g) unbedingte Zuordnung zu einem Nutzungsgrund,
- h) Liste von zum Einsehen der protokollierten Zugangsdaten berechtigten Personen.
3. Verfahren nach Anspruch 1 oder 2, gekennzeichnet durch den
Schritt:
Senden von Informationen an ein dem Benutzer zugeordnetes Endgerät, die den Benutzer zur Auswahl eines Profils auffor dern.
Senden von Informationen an ein dem Benutzer zugeordnetes Endgerät, die den Benutzer zur Auswahl eines Profils auffor dern.
4. Verfahren nach Anspruch 1, 2 oder 3, gekennzeichnet durch
den Schritt:
automatisches Zuordnen eines Standardprofils auf eine unspe zifizierte Benutzeranforderung und/oder auf den Eintritt ei nes Ereignisses hin.
automatisches Zuordnen eines Standardprofils auf eine unspe zifizierte Benutzeranforderung und/oder auf den Eintritt ei nes Ereignisses hin.
5. Verfahren nach Anspruch 1, 2, 3 oder 4, gekennzeichnet
durch den Schritt:
automatisches Zuordnung eines Standardprofils nach Ablauf ei ner vorgebbaren Zeitspanne.
automatisches Zuordnung eines Standardprofils nach Ablauf ei ner vorgebbaren Zeitspanne.
6. Verfahren nach einem der vorstehenden Ansprüche, gekenn
zeichnet durch den Schritt:
automatisches Zuordnen eines Standardprofils nach Ablauf ei ner vorgebbaren Zeitspanne, in der der Benutzer keinerlei Netzaktivität gezeigt hat.
automatisches Zuordnen eines Standardprofils nach Ablauf ei ner vorgebbaren Zeitspanne, in der der Benutzer keinerlei Netzaktivität gezeigt hat.
7. Verfahren nach einem der vorstehenden Ansprüche, gekenn
zeichnet durch den Schritt:
Zuordnen eines Standardprofils abhängig von einer vorgebbaren Uhrzeit des Netzzugangs.
Zuordnen eines Standardprofils abhängig von einer vorgebbaren Uhrzeit des Netzzugangs.
8. Verfahren zum Benutzen eines Netzwerkzugangs insbesondere
Internetzugangs, gekennzeichnet durch den Schritt:
Verwenden eines Zugangsprofils aus einer Mehrzahl von ver schiedenen Zugangsprofilen.
Verwenden eines Zugangsprofils aus einer Mehrzahl von ver schiedenen Zugangsprofilen.
9. Verfahren nach dem vorstehenden Anspruch, gekennzeichnet
durch den Schritt:
Auswählen eines aus der Mehrzahl verschiedener Zugangspro file.
Auswählen eines aus der Mehrzahl verschiedener Zugangspro file.
10. Verfahren nach Anspruch 9, gekennzeichnet durch die
Schritte:
Empfang von Informationen von einem Proxy-Server (2), die den Benutzer zur Auswahl des Profils auffordern, und Verarbeitung einer Benutzereingabe zur Auswahl des Zugangsprofils.
Empfang von Informationen von einem Proxy-Server (2), die den Benutzer zur Auswahl des Profils auffordern, und Verarbeitung einer Benutzereingabe zur Auswahl des Zugangsprofils.
11. Computerprogramm für die Ausführung in einem Datenverar
beitungssystem, enthaltend Codeabschnitte zum Ausführen ent
sprechender Schritte des Verfahrens nach einem der Ansprüche
1 bis 10, wenn es zur Ausführung geladen wird.
12. Computerprogrammprodukt, gespeichert auf einem computerles
baren Medium, enthaltend eine computerlesbare Programmein
richtung, um einen Computer dazu zu veranlassen, das Verfah
ren gemäß einem der vorstehenden Ansprüche 1 bis 10 durchzu
führen, wenn die Programmeinrichtung von dem Computer ausge
führt wird.
13. Datenverarbeitungssystem, insbesondere Netzservercomputer
system, das eine Programmeinrichtung installiert hat, die da
zu eingerichtet ist, die Schritte eines der Verfahren nach
einem der Ansprüche 1 bis 7 durchzuführen, wenn sie in einen
Speicher des Systems zu Ausführung geladen wird.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2001104486 DE10104486A1 (de) | 2001-01-31 | 2001-01-31 | Erweiterter Proxy-Server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2001104486 DE10104486A1 (de) | 2001-01-31 | 2001-01-31 | Erweiterter Proxy-Server |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10104486A1 true DE10104486A1 (de) | 2002-08-14 |
Family
ID=7672462
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2001104486 Ceased DE10104486A1 (de) | 2001-01-31 | 2001-01-31 | Erweiterter Proxy-Server |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10104486A1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102006038372A1 (de) * | 2006-08-11 | 2008-02-14 | Aurenz Gmbh | Verfahren und Vorrichtung zur Protokollierung |
EP2182459A1 (de) * | 2008-11-03 | 2010-05-05 | Aurenz Gmbh | Anordnung zum Protokollieren und Kontrollieren von Benutzungsvorgängen |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088805A (en) * | 1998-02-13 | 2000-07-11 | International Business Machines Corporation | Systems, methods and computer program products for authenticating client requests with client certificate information |
-
2001
- 2001-01-31 DE DE2001104486 patent/DE10104486A1/de not_active Ceased
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088805A (en) * | 1998-02-13 | 2000-07-11 | International Business Machines Corporation | Systems, methods and computer program products for authenticating client requests with client certificate information |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102006038372A1 (de) * | 2006-08-11 | 2008-02-14 | Aurenz Gmbh | Verfahren und Vorrichtung zur Protokollierung |
EP2182459A1 (de) * | 2008-11-03 | 2010-05-05 | Aurenz Gmbh | Anordnung zum Protokollieren und Kontrollieren von Benutzungsvorgängen |
DE102008056961A1 (de) * | 2008-11-03 | 2010-05-06 | Aurenz Gmbh | Anordnung zum Protokollieren und Kontrollieren von Benutzungsvorgängen |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60306186T2 (de) | Verfahren und system zur anordnung von dienste in einer webdienstarchitektur | |
DE69832946T2 (de) | Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen | |
DE60014602T2 (de) | Internet schnittstellensystem | |
DE69818008T2 (de) | Datenzugriffssteuerung | |
DE60214993T2 (de) | Firewall zur dynamischen Zugangsgewährung und -verweigerung auf Netzwerkressoursen | |
DE69733914T2 (de) | Verfahren und Vorrichtung zur dynamischen Klientenauthentifizierung in einem vernetzten Dateiensystem | |
DE60308700T2 (de) | Dynamische fernkonfiguration eines webservers zur bereitstellung von kapazität auf anfrage | |
DE60015821T2 (de) | System zur Verwaltung von Benutzercharakterisierenden Protokollkopfteilen | |
DE69934894T2 (de) | Verfahren und vorrichtung zur wahlweisen einstellung des zugangs zu anwendungsmerkmalen | |
EP1178409A1 (de) | Cookiemanager zur Kontrolle des Cookietransfers in Internet-Client-Server Computersystem | |
WO2010034329A1 (de) | Verfahren zur konfiguration einer applikation | |
DE102004029506A1 (de) | Verfahren und eine Vorrichtung zum Verwalten von Ressourcen in einem Computersystem | |
DE102012223167B4 (de) | Gemeinsame Nutzung von Artefakten zwischen kollaborativen Systemen | |
DE602004008202T2 (de) | Verfahren und Vorrichtung für Verzeichnis ermöglichte Netzwerkdienste | |
EP2263189B1 (de) | Verfahren und vorrichtung zum umschlüsseln bei einer verschlüsselungsbasierten zugriffskontrolle auf eine datenbank | |
EP1620810B1 (de) | Verfahren und anordnung zur einrichtung und aktualisierung einer benutzeroberfl che zum zugriff auf informationsseiten in ein em datennetz | |
DE102014000289A1 (de) | Webservervorrichtung, Steuerverfahren und Programm dafür | |
DE112009001207T5 (de) | Kenntnisverteilung | |
DE10104486A1 (de) | Erweiterter Proxy-Server | |
AT504141B1 (de) | Verfahren zur vergabe von zugriffsrechten auf daten | |
DE60105958T2 (de) | Verfahren und Vorrichtung zur Kontrolle der Zeit, die ein Benutzer in einer Verbindung zu einem Datenkommunikationsnetz verbraucht | |
DE602004005790T2 (de) | Punktmanagementserver und Punktmanagementsystem zum Belohnen eines Bentuzers, der Software herunterlädt | |
EP1109370A2 (de) | Vorrichtung and Verfahren zum individuellen Filtern von über ein Netzwerk übertragener Informationen | |
DE19750749A1 (de) | Verfahren zur Realisierung inhaltlich beliebiger interaktiver Online-Beratungsprozesse im INTERNET oder INTRANET zwischen Nutzern und Knowhow-Providern/Trägern nach einer technologischen Vorschrift und auf der technischen Basis einer dualen Systemlösung | |
DE202008017947U1 (de) | Netz-Servereinrichtung zum Erkennen eines unerwünschten Zugriffs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8131 | Rejection |