DE10104486A1 - Erweiterter Proxy-Server - Google Patents

Erweiterter Proxy-Server

Info

Publication number
DE10104486A1
DE10104486A1 DE2001104486 DE10104486A DE10104486A1 DE 10104486 A1 DE10104486 A1 DE 10104486A1 DE 2001104486 DE2001104486 DE 2001104486 DE 10104486 A DE10104486 A DE 10104486A DE 10104486 A1 DE10104486 A1 DE 10104486A1
Authority
DE
Germany
Prior art keywords
access
user
profile
network
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE2001104486
Other languages
English (en)
Inventor
Wolfgang Hege
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
RXSOFT DATENVERARBEITUNG GmbH
Original Assignee
RXSOFT DATENVERARBEITUNG GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by RXSOFT DATENVERARBEITUNG GmbH filed Critical RXSOFT DATENVERARBEITUNG GmbH
Priority to DE2001104486 priority Critical patent/DE10104486A1/de
Publication of DE10104486A1 publication Critical patent/DE10104486A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Netzwerkzugangs, insbesondere Internetzugangs, durch Benutzer. Es wird vorgeschlagen, dass zum Betreiben eines Netzwerkzugangs, insbesondere eines Internetzugangs, durch Benutzer eine Mehrzahl verschiedener Zugangsprofile bereitgehalten werden. Diese Profile werden vorzugsweise als "erweiterter" Proxy-Server implementiert, nämlich als Erweiterung eines zwischen dem internen Netzwerk und dem externen Netzwerk geschalteten Proxy-Servers (2). DOLLAR A Die einzelnen Zugangsprofile beinhalten erfindungsgemäß jeweils eine unterschiedliche Art der Zugangskontrolle. Dadurch kann der Zugang zum Internet der momentanen Art der Nutzung wie z. B. privat, geschäftlich oder projektorientiert individuell angepaßt werden.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Betrei­ ben eines Netzwerkzugangs, insbesondere Internetzugangs durch Benutzer.
Computernetzwerke gibt es in sehr verbreiterter Form in Wirt­ schaft und Verwaltung. Viele Mitarbeiter benutzen diese Netz­ werke.
Es ist dabei üblich, dass in Unternehmen, Behörden oder ande­ ren Einrichtungen die Benutzer eines hausinternen LAN (Local area network) Netzwerks auch Zugang zu einem externen Netz­ werk insbesondere zum Internet haben. Durch eine bestimmte Zugangssoftware zum Internet - ein sogenannter Browser - kön­ nen die einzelnen Benutzer von ihrem PC am Arbeitsplatz aus problemlos jedes beliebige Dokument oder beliebige Webseite aus dem Internet durch Eingabe der entsprechenden Interne­ tadresse in standardisierter Form - dem sogenannten Unified Ressource Locator (URL) - anfordern.
Ein für die Mitarbeiter völlig freier, in keiner Weise regi­ strierter oder kontrollierter Zugang zum Internet ist vielfach problematisch aus Unternehmenssicht, denn dadurch wird ein hoher Prozentsatz an Mitarbeitern leicht von der Arbeit abgelenkt, und es entstehen unnötige Kosten für die zu häufi­ ge Benutzung des Internet. Somit besteht großes Interesse an Verfahren zur sinnvollen Beschränkung des Zugangs zum Inter­ net für den jeweiligen Mitarbeiter.
So wird allgemein im Stand der Technik der Zugang für den Be­ nutzer kontrolliert, d. h. nach Art und Inhalt gefiltert und zeitlich beschränkt, sowie die Zeit, das Datenvolumen und die vom Benutzer ausgewählten Netzwerkadressen protokolliert. Die Implementierung dieser Kontrollmaßnahmen und das Auslesen der Kontrolldaten geschieht durch einzelne Personen, wie z. B. den Systemadministrator.
Des weiteren übernimmt im Stand der Technik ein zwischen das LAN und das Internet geschalteter Proxy-Server die Aufgaben der Zugangskontrolle - oft als Bestandteil eines Firewall- Konzepts. Oft ist ein Proxy-Server auch mit einem lokalen Zwischenspeicher für wiederholt angeforderte Dateien ausge­ stattet, dem sog. Cache.
Gemäß Offenbarung durch U.S.-Patent Nr. 5,991,810 prüft der Proxy-Server, wenn der Benutzer von seinem Platz eine be­ stimmte URL anfordert, ob der Benutzer für einen Internetzu­ gang als 'genehmigt' registriert ist. Falls dies der Fall ist, vergleicht er die gewünschte Internetanfrage mit der für den jeweiligen Benutzer eingerichteten erlaubten Zugangsli­ ste. Falls der Zugang für den Benutzer erlaubt ist, erhält dieser den Zugang zu der gewünschten URL. Andernfalls wird seine Anfrage vom Proxy-Server zurückgewiesen. Die Parameter der Zugangskontrollliste - ACL (Access control list) - werden vom Systemadministrator definiert und programmiert. Dieses System ist sehr aufwendig, zumindest, wenn es für jeden Be­ nutzer spezielle Kriterien anlegt. Ohne entsprechende Selek­ tivität ist das System relativ unflexibel. Jedenfalls bevor­ mundet es in gewisser Hinsicht die Mitarbeiter, da sie sich beobachtet fühlen.
Es gibt des weiteren auch Anbieter von Proxyserver-Software, die fertige und ständig aktualisierte ACLs in ihre Produkte für die Zugangskontrolle integrieren. Die URL-Listen sind oft nach Kategorien unterteilt, so dass allein durch die Auswahl der zu filternden Kategorien eine Anpassung an den jeweiligen Einsatz erfolgt. Eine solche Lösung ist weniger aufwendig, aber auch bevormundend. Aufgrund der riesigen und rasant wachsenden Anzahl von Internetadressen sind diese Filterli­ sten immer unvollständig und, da sie meist automatisch von Computerprogrammen erzeugt werden, auch meist von fragwürdi­ ger Qualität.
Auch existieren Filter für Proxy-Server, die auf den Inhalt der vom Benutzer angeforderten URLs angewendet werden. Die Filterung geschieht z. B. durch Erkennen von Suchwörtern aus vorgegebenen Listen in den Textinhalten der angeforderten HTML-Dokumenten oder durch Bilderkennung zum Filtern von Bil­ dinhalten. Dieses Verfahren ist aufwendig, weil es Rechenlei­ stung erfordert, und bevormundet ebenfalls die Mitarbeiter.
Neben der Filterung von Art und Inhalt der angeforderten URLs wird vielfach auch das sogenannte 'Monitoring' eingesetzt. Dabei wird auf einer Datei oder Datenbank ein Log erzeugt, in dem protokolliert wird, wer wann wie lange welche URLs ange­ fordert hat. Es gibt Systeme, bei denen pro Benutzer oder Ar­ beitsplatz ein Konto für die Summe der Nutzungszeit oder des angeforderten Datenvolumens geführt wird.
Ein solches Monitoring gibt dem zur Einsicht Autorisierten, also insbesondere dem Arbeitgeber, eine genaue Übersicht über die Art und den Umfang der Netznutzung der einzelnen Mitar­ beiter. Damit wird jedoch stark in die Privatsphäre des Be­ nutzers eingegriffen. Er ist bezüglich der Netznutzung für den Arbeitgeber vollständig kontrollierbar, also in gewisser Weise 'gläsern', denn auch die Nutzung des Internets für pri­ vate Zwecke, sei es auch nur kurzzeitig, wird vollständig protokolliert. Dadurch entsteht Misstrauen gegenüber dem Ar­ beitgeber. Der Mitarbeiter wird als unmündig und als nicht selbstverantwortlich Handelnder angesehen. Dieses trübt das Arbeitsklima und schlägt sich dadurch negativ auf die Produk­ tivität nieder.
Des weiteren hat der Benutzer bei der Filterung der Art und des Inhalts der angeforderten URLs keine Wahlmöglichkeit. Die vom Systemadministrator erstellten Vorgaben lassen sich weder vom Benutzer verändern, noch nach Art der Nutzung des Inter­ nets modifizieren. Dem Benutzer wird starr vorgegeben, was er aus dem Internet anfordern darf und was nicht. Ein zumindest eingeschränkt selbstverantwortlicher Umgang mit dem Internet am Arbeitsplatz wird so verhindert. Das hat die oben genann­ ten, nachteiligen Auswirkungen auf das Arbeitsklima und die Produktivität.
Zwar können Proxy-Server auch so eingerichtet sein, dass nur für bestimmte Tageszeiten dem Benutzer der freie Zugang zum Internet durch eine Zugangskontrollliste verwehrt ist, aber dennoch bleibt die Bestimmung, wann die Zugangskontrollliste für den Benutzer gerade gilt, in der Hand des Systemadmini­ strators. Diese Praxis ist starr und gerade für die heutzuta­ ge flexible, eigenverantwortliche Gestaltung der Arbeitszeit, insbesondere bei Arbeiten am Computer, ungeeignet.
Es ist daher Aufgabe, ein Verfahren zu entwickeln, das eine flexible und vielseitige Handhabung der Filterung beim Netz­ zugang ermöglicht.
VORTEILE UND ZUSAMMENFASSUNG DER ERFINDUNG
Die Aufgabe wird durch ein Verfahren nach Anspruch 1 gelöst.
Die dem Verfahren zugrunde liegende Idee besteht darin, dass zum Betreiben eines Netzwerkzugangs, insbesondere eines In­ ternetzugangs durch Benutzer eine Mehrzahl verschiedener Zu­ gangsprofile bereitgehalten werden. Diese Zugangsprofile wer­ den vorzugsweise als 'erweiterter' Proxy-Server implemen­ tiert, nämlich als Erweiterung eines zwischen dem internen Netzwerk und dem externen Netzwerk geschalteten Proxy- Servers.
Die einzelnen Zugangsprofile beinhalten erfindungsgemäß je­ weils eine unterschiedliche Art der Zugangskontrolle. Dadurch kann der Zugang zum Internet der momentanen Art der Nutzung wie z. B. privat, geschäftlich oder projektorientiert indivi­ duell angepasst werden. So kann, falls z. B. der Benutzer ge­ rade privat das Internet nutzen möchte, ein Zugangsprofil mit geringeren Kontrollen und ohne Protokollierung der angefor­ derten URLs eingestellt werden.
Auch wäre bei projektorientierten Arbeiten eine Beschränkung des Zugangs zum Netzwerk auf Dokumente mit dem zum Projekt passenden Thema möglich.
Somit hat das Bereithalten einer Mehrzahl von verschiedenen Zugangsprofilen für den einzelnen Benutzer den Vorteil, dass die Zugangskontrolle flexibel und der unterschiedlichen Art der Nutzung genau angepasst erfolgen kann. Dadurch ist eine Abstufung des Grads der Zugangskontrolle möglich, was für den Benutzer eine Ausweitung des individuellen Freiraums im Ver­ gleich zur bisherigen starren Entweder-Oder-Kontrolle be­ deutet. Eine Balance zwischen dem Kontrollinteresse des Ar­ beitgebers einerseits und dem persönlichen Freiraum des Mit­ arbeiters andererseits ist durch eine Vielzahl von bereitge­ haltenen Zugangsprofilen mit abgestuftem Grad der Kontrolle besser zu gewährleisten.
Ein erfindungsgemäß erweiterter Proxy-Server verwaltet den Netzzugang eines Benutzers am Endgerät nach dem für diesen momentan geltenden Zugangsprofil. Falls für die angeforderte Netzwerkadresse (URL) die für das eingestellte Zugangsprofil spezifische Kontrolle negativ ausfällt, wird die Anfrage vor­ zugsweise zurückgewiesen. Bei positivem Ergebnis der Kontrol­ le wird der angeforderte Internetzugang gewährt. Ähnlich wie eine Zurückweisung wirkende Maßnahmen, etwa eine Warnung oder die Weiterleitung der Anforderung an eine vorgegebene Kon­ trollinstanz des Unternehmens können erfindungsgemäß auch die Folge der Kontrolle sein. Hierbei lassen sich feine Abstufun­ gen vornehmen, und eine Filterung der angeforderten Inhalte nur bei Vorliegen bestimmter Voraussetzungen durchführen. Dies spart Server-Rechenleistung.
Auch ist durch eine Einteilung in verschiedene Zugangsprofile die jeweilige Art der Internetnutzung - also etwa unterschie­ den nach geschäftlich/privat oder sogar differenziert nach bestimmten, für einen Mitarbeiter jeweils in Frage kommenden Projekten oder Kostenstellen - besser zu protokollieren und transparenter nachzuvollziehen. Der Netzzugang lässt sich durch ein jeweils spezielles Zugangsprofil der jeweiligen Art der Nutzung gut anpassen. Dadurch wird verhindert, dass für eine jeweilige Nutzungsart irrelevante bzw. unnötige Netzver­ bindungen hergestellt werden. Dieses spart Netznutzungskosten und erhöht die Effektivität der Arbeit mit dem Internet. So kann etwa eine gewisse Liste (ACL) von URLs bei der geschäft­ lichen Zugangsart zusammen mit der Zulässigkeit erlaubt sein, sich von einer auf der Liste vorhandenen URL maximal zwei oder eine andere, vorgegebene Anzahl von verketteten Links zu entfernen.
In den Unteransprüchen finden sich vorteilhafte Weiterbildun­ gen und Verbesserungen des jeweiligen Gegenstandes der Erfin­ dung.
Gemäß einer bevorzugten Weiterbildung können sich die Zu­ gangsprofile im Vorhandensein eines oder mehrerer der folgend beschriebenen Kriterien unterscheiden:
  • a) vorgegebene, zielknotenbezogene, insbesondere webseitenbe­ zogene Zugangskontrolllisten (ACL). Solche Listen können für verschiedene Themen bestehen, so dass je nach ACL der Zugang zu entsprechend anderen Webseiten verwehrt ist,
  • b) inhaltliche Filterung von Text und/oder Bildern bei ange­ forderten Webseiten. Dadurch werden Webseiten oder zumindest deren Passagen mit unerwünschtem Inhalt herausgefiltert,
  • c) Registrierung der aktiven Nutzungszeit,
  • d) Registrierung des transferierten Datenvolumens,
  • e) Registrierung der angeforderten Zielknoten, insbesondere Webseiten,
  • f) vorgegebene Maximalgrößen für Nutzungsdauer und/oder trans­ feriertes Datenvolumen,
  • g) unbedingte Zuordnung zu einem Nutzungsgrund, so z. B. zu einem Projekt oder Kostenstelle,
  • h) Liste von zum Einsehen der protokollierten Zugangsdaten berechtigten Personen.
Mit diesen Kriterien in Kombinationen oder einzeln besteht ein breites Spektrum von möglichen Zugangsprofilen, wodurch eine sehr gute individuelle Anpassung an die jeweilige Art der Netzwerkbenutzung ermöglicht wird. Die dazu erforderliche Auswahl eines bestimmten Zugangsprofils ist lediglich eine logische Zuordnung innerhalb des erfinderisch erweiterten Proxy-Servers. Zum Internet hin verhält sich der erweiterte Proxy-Server wie ein herkömmlicher Proxy-Server. Daher ist die Art der physikalischen Verbindung zum Internet hin, z. B., durch Standleitung oder Wählverbindung ohne Einfluß auf den Kern des erfinderischen Konzepts.
Gemäß einer weiteren bevorzugten Weiterbildung sendet der er­ findungsgemäß erweiterte Proxy-Server Informationen an ein dem Benutzer zugeordnetes Endgerät, die den Benutzer zur Aus­ wahl eines Profils auffordern. Dadurch wird vom Proxy-Server aus eine Einbeziehung der Benutzer an den Endgeräten in den Auswahlvorgang für ein Zugangsprofil eröffnet. Somit wird die Anwendung von unterschiedlichen Varianten der Zugangskontrol­ le flexibilisiert. Es ist nicht mehr das starre Konzept des Stands der Technik einer festen Vorgabe, wann welches Zu­ gangsprofil gilt, notwendig. Der Benutzer wird zum eigenver­ antwortlichen Handeln angehalten, wobei aber noch eine gewis­ se Kontrolle durch Registrierung bestehen bleiben kann. Er wird also als mündiger Mitarbeiter akzeptiert, was sich posi­ tiv auf das Arbeitsklima auswirkt und dadurch die Produktivi­ tät steigert.
Eine weitere Weiterbildung ist die automatische Zuordnung ei­ nes Standardprofils auf eine unspezifische Benutzeranforde­ rung hin. Ein Standardprofil ist ein zum jeweiligen Zeitpunkt normalerweise geltendes Zugangsprofil. Andere Profile sollen in diesem Zusammenhang nur bei entsprechender Auswahl des Be­ nutzers gelten. So kann z. B. das Standardprofil während der Geschäftszeit das Profil für die geschäftliche Nutzung des Internets sein. Dieses wäre bei unspezifischer Benutzeranfor­ derung automatisch eingerichtet, und erst bei entsprechender Auswahl wird ein anderes Profil, z. B. das der privaten Nut­ zung, eingestellt.
Auch kann ein Standardprofil auf den Eintritt eines Ereignis­ ses hin automatisch eingestellt werden. Ein solches wäre z. B. ein bestimmter Zeitpunkt oder eine Überschreitung der vorge­ gebenen Nutzungsdauer des Netzwerkzugangs mit einem anderen Zugangsprofil. Die Einrichtung eines Standardprofils erspart dem Benutzer, bei jedem Netzzugang ein Profil auszuwählen, bzw. sich dieses zu überlegen. Nur bei besonderer Art der Nutzung, die nicht dem Standardprofil entspricht, ist eine Auswahl eines anderen Profils notwendig.
Gemäß einer weiteren bevorzugten Weiterbildung kann, falls ein anderes Profil ausgewählt wurde, eine Wiedereinstellung eines Standardprofils so eingerichtet sein, dass diese nach Ablauf einer vorgebbaren Zeitspanne automatisch erfolgt. Hierfür wäre aus praktischer Sicht eine Zeitspanne, in der der Benutzer keine Netzaktivität zeigt, besonders geeignet.
Gemäß einer bevorzugten Weiterbildung erfolgt die Zuordnung eines Standardprofils, abhängig von einer vorgebbaren Uhrzeit des Netzzugangs. Dadurch können zu verschiedenen Zeiten un­ terschiedliche Standardprofile gelten.
Die Verwendung eines Zugangsprofils aus einer Mehrzahl von Zugangsprofilen kann gemäß einer besonderen Weiterbildung durch Auswahl eines Profils seitens des Benutzers oder eines benutzerseitig installierten Programms erfolgen, was eine flexible Handhabung der Netzzugangskontrolle ermöglicht.
Gemäß einer bevorzugten Weiterbildung empfängt das Endgerät Informationen vom Proxy-Server, die den Benutzer zur Auswahl des Profils auffordern. Nach entsprechender Eingabe wird die Auswahl entsprechend verarbeitet bzw. eingestellt. Dadurch wird es dem Benutzer vom Endgerät aus komfortabel und auf einfache Weise selbst ermöglicht, das für ihn für den geplan­ ten Zweck der Nutzung des Internets passende und gewollte Profil auszuwählen. Damit wird die Zugangskontrolle zum Netz flexibel und auf einfache Weise handhabbar, wobei der Benut­ zer eigenverantwortlich tätig wird.
Des weiteren ist es nicht zwingend notwendig, dass die Zu­ gangsprofile im Proxy-Server implementiert sind, sondern sie können auch direkt im PC des Endbenutzers eingerichtet sein oder als Zusatz zum Internet-Browser implementiert sein. Da­ durch kann ohne besondere Kommunikation mit dem Proxy-Server am Endgerät die flexible Kontrolle des Zugangs zum Internet erfolgen. Eine solche Form wäre zum Beispiel bei der Netznut­ zung von verschiedenen Familienangehörigen am Home-PC denk­ bar.
Gemäß einer bevorzugten Weiterbildung kann eine automatische Auswahl eines von mehreren Zugangsprofilen unabhängig davon, wo sie implementiert sind, durch ein Programm erfolgen. Ein solches Programm könnte z. B. jeweils ein bestimmtes Zugangs­ profil für verschiedene Zeiträume festlegen oder bei Anforde­ rung einer URL, das dazu passende Zugangsprofil zuordnen.
ZEICHNUNGEN
Ein Ausführungsbeispiel der Erfindung ist in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher er­ läutert.
Es zeigen:
Fig. 1 eine schematische Skizze des Aufbaus eines erfin­ dungsgemäß erweiterten Proxy-Servers in vereinfachter Form,
Fig. 2 eine schematische Skizze, die die wesentlichen Schritte des Steuerflusses beim Ablauf einer URL-Anforderung durch den Benutzer veranschaulicht.
BESCHREIBUNG DER AUSFÜHRUNGSBEISPIELE
Fig. 1. skizziert schematisch den Aufbau eines erfindungsgemäß erweiterten Proxy-Servers.
Ein Proxy-Server 2 bildet mit der mit ihm verbundenen Filter­ schnittstelle 3 und dem Cache 4 die für die Erfindung ausrei­ chende Funktionalität eines herkömmlichen Proxy-Servers. Er erhält über das interne Netzwerk URL-Anforderungen von einem Arbeitsplatz mit Browser 1.
Zunächst wird die URL zusammen mit der übermittelten Benut­ zerkennung an die Filterschnittstelle 3 weitergegeben. Diese Schnittstelle 3 ermöglicht die Einrichtung von zusätzlichen Komponenten, die sogenannten Filter, die die URL prüfen und gegebenenfalls modifizieren.
Für die Komponenten 2 und 3 werden herkömmliche Proxy-Server, die über eine Filterschnittstelle verfügen, verwendet.
Für den erweiterten Proxy-Server 1 ist dem erfindungsgemäßen Ausführungsbeispiel gemäß an der Filterschnittstelle ein Zu­ gangs-Manager 5 installiert. Dieser prüft, ob die von der Filterschnittstelle an ihn weitergeleitete, vom Benutzer an­ geforderte URL für das aktuelle Zugangsprofil des Benutzers zulässig ist. Dafür beschafft sich der Zugangs-Manager 5 pro­ grammgesteuert Informationen über die Benutzer und die Zu­ gangsprofile aus einer Datenbank 6. Bei der Zugangsprüfung können beispielsweise verschiedene URLs mit Attributen versehen sein, die eine Zugangsverweigerung auslösen, wenn die URL aus dem falschen Zugangsprofil heraus angerufen werden.
Der Zugangs-Manager 5 modifiziert gegebenenfalls die angefor­ derte URL so, dass die URL-Anfrage vom Proxy-Server an einen mit ihm verbundenen, lokalen HTTP-Server 7 weitergereicht wird, was weiter unten näher erläutert wird. Der Zugangs- Manager 5 selbst ist als eigenständiges Programm implemen­ tiert. Alternativ dazu kann er beispielsweise auch als dyna­ mische Link-Library (DLL) oder als statischer Programmteil des Proxy-Servers 3 implementiert sein.
Der Zugangs-Manager 5 kann des weiteren Daten über die ange­ forderten URLs in der Datenbank 6 speichern.
Die Datenbank 6 speichert Informationen über die Benutzer, die vorhandenen Zugangsprofile und die URL-Anforderungen der Benutzer. Sie dient damit also auch als Log-File. Daher kann leicht zwischen IST/Soll im Sinne von erlaubten und erfolg­ ten Zugriffen abgeglichen werden.
Die Datenbank 6 ist ein persistenter Datenspeicher und bei­ spielsweise als relationales Datenbanksystem implementiert. Alternativ dazu sind auch sonstige Datenbanksysteme oder Mischformen von Datenbanksystemen mit anderen dateibasierten Speicherformen verwendbar.
An den lokalen HTTP-Server 7 werden alle URL-Anforderungen weitergeleitet, die vom erweiterten Proxy-Server 1 selbst beantwortet werden. Dies beinhaltet vorzugsweise unter anderem folgende Arten von Anfragen:
  • - Verwaltung der Benutzer und der Zugangsprofile,
  • - Änderung des aktuellen Zugangsprofils eines Benutzers,
  • - Abfragen und Auswertungen über die Nutzung der Zugangspro­ file,
  • - Mitteilungen an die Benutzer, etwa dass eine URL für das aktuelle Zugangsprofil gesperrt ist.
Der lokale HTTP-Server 7 dient also der Kommunikation von Be­ nutzern und Systemverwaltern mit dem erweiterten Proxy-Server über einen Browser. Er liest Daten über den Benutzer und das aktuell ausgewählte Zugangsprofil aus der Datenbank und spei­ chert die Daten aus den aktuell erfolgten Anfragen in die Da­ tenbank.
Er ist vorzugsweise als eigenständiges Programm implementiert oder als Teil eines anderen Programms, etwa des Proxy-Servers 3 oder des Zugangs-Managers 5.
Die Beantwortung der URL-Anforderung erfolgt, in dem die an­ geforderte Datei entweder aus dem lokalen Cache 4 geholt wird, falls ein solcher Zwischenspeicher vorhanden ist und die gewünschte Datei dort gespeichert ist, oder durch eine Anfrage an einen HTTP-Server im Internet 9.
Nach der erfolgten Beantwortung einer URL-Anforderung, er­ zeugt der Proxy-Server 3 erfindungsgemäß variabel steuerbar, zumindest konfigurierbar, einen Datensatz (LOG) zum Protokol­ lieren des Netzwerkzugriffs, wenn es das jeweils eingestell­ te, vom Benutzer verwendete Profil erfordert. Dieser Daten­ satz wird vom Log-Manager 8 empfangen, indem der Proxy-Server 3 dafür eine spezielle Schnittstelle zur Verfügung stellt, s. Pfeile in Fig. 1. Der Log-Manager 8 speichert dann wie oben erwähnt abhängig von den Definitionen des aktiven Zugangspro­ fils Daten über den erfolgten URL-Zugriff in die Datenbank 6.
Fig. 2. veranschaulicht schematisch die wesentlichen Schritte des Steuerflusses beim Bearbeiten einer URL-Anforderung, wenn eine bestimmte Form der Ablaufsteuerung implementiert ist. Das erfindungsgemäße Konzept ist damit nicht auf den nachfol­ gend erläuterten Steuerfluss beschränkt.
In Schritt 100 sendet der Benutzer mit Hilfe seines Browsers eine URL-Anforderung an den erfindungsgemäß erweiterten Proxy-Server. Dieser empfängt die Anforderung und reicht sie an den Zugangs-Manager 5 weiter.
Dieser ermittelt im Schritt 200 das für den Benutzer aktive Zugangsprofil. Dies läuft vorzugsweise in zwei Teilschritten ab:
Zuerst wird der Benutzer, der die URL angefordert hat, iden­ tifiziert, indem beispielsweise, wie im Stand der Technik üblich, aufgrund der übermittelten IP-Adresse des Arbeitsplatz­ rechners automatisch beim anfragenden Computer der aktuelle Benutzername erfragt wird. Dann wird das momentan für den Be­ nutzer aktive Zugangsprofil ermittelt. Dieses kann zum Bei­ spiel ein spezielles für ein bestimmtes geschäftliches Pro­ jekt des Benutzers im Unternehmen sein.
An dieser Stelle sei angemerkt, dass bei Neuaufnahme der On- lineverbindung die Zuordnung eines bestimmten Zugangsprofils zur aktuellen Session erfolgt, im gegebenen Beispiel also vorher bereits erfolgt ist.
In Schritt 300 prüft der Zugangs-Manager 5, ob die angefor­ derte URL im aktiven Zugangsprofil für den Benutzer zulässig ist. Ist dies der Fall, so zum Beispiel hier bei einer URL eines branchennahen Unternehmens, kann die Anforderung vom Zugangs-Manager protokolliert werden. Falls erforderlich, ak­ tualisiert der Zugangs-Manager nun die Zeitdaten, wie lange das Zugangsprofil genutzt wird. Die Protokoll- und Zeitdaten werden im Arbeitsspeicher des Zugangs-Managers und in der Da­ tenbank persistent gespeichert.
In Schritt 400 wird die URL-Anforderung vom Proxy-Server wie in einem herkömmlichen Proxy-Server bearbeitet.
In Schritt 900 wird die Beantwortung der URL-Anfrage proto­ kolliert. Beispielsweise werden der Name des Links, bewerten­ de oder Sach-Attribute (z. B., pornographisch, Gewalt, Börse, Politik, etc.), die Größe der heruntergeladenen Datei oder allgemeine Angaben wie Datum, Uhrzeit Verkehrsaufkommen durch Benutzer, etc., die den Datenverkehr spezifizieren, festge­ halten. Hier ergibt sich je nach Profil eine unterschiedliche Gewichtung.
Der Log-Manager 8 erhält den sich ergebenden Datensatz und speichert je nach Definitionen des Zugangsprofils die ent­ sprechenden Zugangsdaten in der Datenbank. Insbesondere das angeforderte Datenvolumen kann erst zu diesem Zeitpunkt er­ mittelt, und daher nicht bereits vom Zugangs-Manager 5 bei der Bearbeitung der URL-Anforderung protokolliert werden.
Falls in Schritt 300 die URL-Anforderung für das Zugangspro­ fil als nicht zulässig evaluiert wurde, wie in diesem Fall zum Beispiel eine URL eines völlig branchen-, oder sachfrem­ den Unternehmens, bzw., dessen Website, so wird in Schritt 500 geprüft, ob für diesen Benutzer ein oder mehrere andere Zugangsprofile definiert sind, und ob für diese die URL zu­ lässig ist. Hier käme zum Beispiel ein Zugangsprofil für die private Nutzung des Internets in Betracht.
Falls die Prüfung in Schritt 500 mindestens ein weiteres Zu­ gangsprofil ergibt, wird der Benutzer in Schritt 600 aufge­ fordert, ein anderes Zugangsprofil zu wählen. Dies geschieht dadurch, dass der Zugangs-Manager die URL so ändert, dass sie anschließend an den lokalen HTTP-Server weitergereicht wird. Dieser beantwortet die URL-Anforderung dann mit einem Doku­ ment, beispielsweise ein HTML-Formular, das an den Benutzer zurückgesandt wird. Der Zugangs-Manager speichert die ursprünglich angeforderte URL. Der Benutzer sendet die Antwort auf das Auswahldokument zurück, und das vom Benutzer gewählte Zugangsprofil, in diesem Fall also das für die private Nut­ zung, wird im Schritt 700 als aktiv markiert. Die zuvor ge­ speicherte ursprüngliche URL-Anforderung kann jetzt wieder­ holt werden, indem der Ablauf ab Schritt 200 erneut ausge­ führt wird.
Wird in Schritt 500 kein anderes Zugangsprofil ermittelt oder wählt der Benutzer in Schritt 600 kein anderes Zugangsprofil aus, so wird in Schritt 800 die angeforderte URL so modifi­ ziert, dass sie an den lokalen HTTP-Server weitergereicht wird, der dem Benutzer als Antwort ein Dokument übermittelt, in dem die Sperrung der URL mitgeteilt wird.
Wie aus obiger Beschreibung ersichtlich, ergibt sich also durch die Mehrzahl an zu vergebenden Zugangsprofilen eine große Flexibilität und damit Vorteile für Unternehmen und Be­ nutzer.
Obwohl die vorliegende Erfindung anhand eines bevorzugten Ausführungsbeispiels vorstehend beschrieben wurde, ist sie darauf nicht beschränkt, sondern auf vielfältige Weise modi­ fizierbar.
Weiter kann der Gegenstand der vorliegenden Erfindung in Hardware, Software oder einer Kombination aus beiden reali­ siert werden. Eine beliebige Art von Computersystem oder Com­ putergeräten ist dafür geeignet, das erfindungsgemäße Verfahren ganz oder in Teilen durchzuführen. Eine typische Hard­ ware-Software-Kombination für die vorliegende Erfindung wäre ein leistungsstarker Computer und ein Computerprogramm, das, wenn es geladen und ausgeführt wird, den Computer derart steuert, dass es das erfindungsgemäße Verfahren ganz oder in Teilen ausführt.
Die vorliegende Erfindung kann auch in ein Computerprogramm- Erzeugnis eingebettet sein, das sämtliche Merkmale enthält, die eine Implementierung der hierin beschriebenen Verfahren ermöglichen, und die, wenn sie in ein Computersystem geladen wird, dazu imstande ist, diese Verfahren auszuführen, wenn es mit den aktuellen Daten versorgt wird.
Computerprogrammeinrichtungen oder Computerprogramme bedeuten im vorliegenden Kontext beliebige Ausdrücke in einer beliebi­ gen Sprache oder Notation, oder einem beliebigen Code eines Satzes von Anweisungen, die ein System mit einer Informati­ onsverarbeitungsmöglichkeit dazu veranlassen sollen, von den folgenden Funktionen Umsetzung in eine andere Sprache oder Notation oder einen an­ deren Code, Reproduktion in eine unterschiedliche materielle Form, eine bestimmte entweder direkt oder nacheinander oder beide durchzuführen
Schließlich können die Merkmale der Unteransprüche im wesent­ lichen frei miteinander und nicht durch die in den Ansprüchen vorliegende Reihenfolge miteinander kombiniert werden, sofern sie unabhängig voneinander sind.

Claims (13)

1. Verfahren zum Betreiben eines Netzwerkzugangs und insbe­ sondere eines Internetzugangs durch Benutzer, gekennzeichnet durch den Schritt:
Bereithalten (200, 500) einer Mehrzahl verschiedener Zugangs­ profile mit jeweils unterschiedlicher Art der Zugangskontrol­ le für eine Zuordnung (600) zu einem Benutzer.
2. Verfahren nach Anspruch 1, wobei die Zugangsprofile sich im Vorhandensein eines oder mehrerer der folgenden Kriterien unterscheiden:
  • a) vorgegebene, zielknotenbezogene, insbesondere webseitenbe­ zogene Zugangskontrolllisten (ACL),
  • b) inhaltliche Filterung von Text und/oder Bildern angefor­ derter Webseiten,
  • c) Registrierung der aktiven Netznutzungszeit,
  • d) Registrierung des transferierten Datenvolumens,
  • e) Registrierung der angeforderten Zielknoten, insbesondere Webseiten,
  • f) vorgegebene, Maximalgrößen für Nutzungsdauer und/oder transferiertes Datenvolumen,
  • g) unbedingte Zuordnung zu einem Nutzungsgrund,
  • h) Liste von zum Einsehen der protokollierten Zugangsdaten berechtigten Personen.
3. Verfahren nach Anspruch 1 oder 2, gekennzeichnet durch den Schritt:
Senden von Informationen an ein dem Benutzer zugeordnetes Endgerät, die den Benutzer zur Auswahl eines Profils auffor­ dern.
4. Verfahren nach Anspruch 1, 2 oder 3, gekennzeichnet durch den Schritt:
automatisches Zuordnen eines Standardprofils auf eine unspe­ zifizierte Benutzeranforderung und/oder auf den Eintritt ei­ nes Ereignisses hin.
5. Verfahren nach Anspruch 1, 2, 3 oder 4, gekennzeichnet durch den Schritt:
automatisches Zuordnung eines Standardprofils nach Ablauf ei­ ner vorgebbaren Zeitspanne.
6. Verfahren nach einem der vorstehenden Ansprüche, gekenn­ zeichnet durch den Schritt:
automatisches Zuordnen eines Standardprofils nach Ablauf ei­ ner vorgebbaren Zeitspanne, in der der Benutzer keinerlei Netzaktivität gezeigt hat.
7. Verfahren nach einem der vorstehenden Ansprüche, gekenn­ zeichnet durch den Schritt:
Zuordnen eines Standardprofils abhängig von einer vorgebbaren Uhrzeit des Netzzugangs.
8. Verfahren zum Benutzen eines Netzwerkzugangs insbesondere Internetzugangs, gekennzeichnet durch den Schritt:
Verwenden eines Zugangsprofils aus einer Mehrzahl von ver­ schiedenen Zugangsprofilen.
9. Verfahren nach dem vorstehenden Anspruch, gekennzeichnet durch den Schritt:
Auswählen eines aus der Mehrzahl verschiedener Zugangspro­ file.
10. Verfahren nach Anspruch 9, gekennzeichnet durch die Schritte:
Empfang von Informationen von einem Proxy-Server (2), die den Benutzer zur Auswahl des Profils auffordern, und Verarbeitung einer Benutzereingabe zur Auswahl des Zugangsprofils.
11. Computerprogramm für die Ausführung in einem Datenverar­ beitungssystem, enthaltend Codeabschnitte zum Ausführen ent­ sprechender Schritte des Verfahrens nach einem der Ansprüche 1 bis 10, wenn es zur Ausführung geladen wird.
12. Computerprogrammprodukt, gespeichert auf einem computerles­ baren Medium, enthaltend eine computerlesbare Programmein­ richtung, um einen Computer dazu zu veranlassen, das Verfah­ ren gemäß einem der vorstehenden Ansprüche 1 bis 10 durchzu­ führen, wenn die Programmeinrichtung von dem Computer ausge­ führt wird.
13. Datenverarbeitungssystem, insbesondere Netzservercomputer­ system, das eine Programmeinrichtung installiert hat, die da­ zu eingerichtet ist, die Schritte eines der Verfahren nach einem der Ansprüche 1 bis 7 durchzuführen, wenn sie in einen Speicher des Systems zu Ausführung geladen wird.
DE2001104486 2001-01-31 2001-01-31 Erweiterter Proxy-Server Ceased DE10104486A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2001104486 DE10104486A1 (de) 2001-01-31 2001-01-31 Erweiterter Proxy-Server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2001104486 DE10104486A1 (de) 2001-01-31 2001-01-31 Erweiterter Proxy-Server

Publications (1)

Publication Number Publication Date
DE10104486A1 true DE10104486A1 (de) 2002-08-14

Family

ID=7672462

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001104486 Ceased DE10104486A1 (de) 2001-01-31 2001-01-31 Erweiterter Proxy-Server

Country Status (1)

Country Link
DE (1) DE10104486A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006038372A1 (de) * 2006-08-11 2008-02-14 Aurenz Gmbh Verfahren und Vorrichtung zur Protokollierung
EP2182459A1 (de) * 2008-11-03 2010-05-05 Aurenz Gmbh Anordnung zum Protokollieren und Kontrollieren von Benutzungsvorgängen

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088805A (en) * 1998-02-13 2000-07-11 International Business Machines Corporation Systems, methods and computer program products for authenticating client requests with client certificate information

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088805A (en) * 1998-02-13 2000-07-11 International Business Machines Corporation Systems, methods and computer program products for authenticating client requests with client certificate information

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006038372A1 (de) * 2006-08-11 2008-02-14 Aurenz Gmbh Verfahren und Vorrichtung zur Protokollierung
EP2182459A1 (de) * 2008-11-03 2010-05-05 Aurenz Gmbh Anordnung zum Protokollieren und Kontrollieren von Benutzungsvorgängen
DE102008056961A1 (de) * 2008-11-03 2010-05-06 Aurenz Gmbh Anordnung zum Protokollieren und Kontrollieren von Benutzungsvorgängen

Similar Documents

Publication Publication Date Title
DE60306186T2 (de) Verfahren und system zur anordnung von dienste in einer webdienstarchitektur
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE60014602T2 (de) Internet schnittstellensystem
DE69818008T2 (de) Datenzugriffssteuerung
DE60214993T2 (de) Firewall zur dynamischen Zugangsgewährung und -verweigerung auf Netzwerkressoursen
DE69733914T2 (de) Verfahren und Vorrichtung zur dynamischen Klientenauthentifizierung in einem vernetzten Dateiensystem
DE60308700T2 (de) Dynamische fernkonfiguration eines webservers zur bereitstellung von kapazität auf anfrage
DE60015821T2 (de) System zur Verwaltung von Benutzercharakterisierenden Protokollkopfteilen
DE69934894T2 (de) Verfahren und vorrichtung zur wahlweisen einstellung des zugangs zu anwendungsmerkmalen
EP1178409A1 (de) Cookiemanager zur Kontrolle des Cookietransfers in Internet-Client-Server Computersystem
WO2010034329A1 (de) Verfahren zur konfiguration einer applikation
DE102004029506A1 (de) Verfahren und eine Vorrichtung zum Verwalten von Ressourcen in einem Computersystem
DE102012223167B4 (de) Gemeinsame Nutzung von Artefakten zwischen kollaborativen Systemen
DE602004008202T2 (de) Verfahren und Vorrichtung für Verzeichnis ermöglichte Netzwerkdienste
EP2263189B1 (de) Verfahren und vorrichtung zum umschlüsseln bei einer verschlüsselungsbasierten zugriffskontrolle auf eine datenbank
EP1620810B1 (de) Verfahren und anordnung zur einrichtung und aktualisierung einer benutzeroberfl che zum zugriff auf informationsseiten in ein em datennetz
DE102014000289A1 (de) Webservervorrichtung, Steuerverfahren und Programm dafür
DE112009001207T5 (de) Kenntnisverteilung
DE10104486A1 (de) Erweiterter Proxy-Server
AT504141B1 (de) Verfahren zur vergabe von zugriffsrechten auf daten
DE60105958T2 (de) Verfahren und Vorrichtung zur Kontrolle der Zeit, die ein Benutzer in einer Verbindung zu einem Datenkommunikationsnetz verbraucht
DE602004005790T2 (de) Punktmanagementserver und Punktmanagementsystem zum Belohnen eines Bentuzers, der Software herunterlädt
EP1109370A2 (de) Vorrichtung and Verfahren zum individuellen Filtern von über ein Netzwerk übertragener Informationen
DE19750749A1 (de) Verfahren zur Realisierung inhaltlich beliebiger interaktiver Online-Beratungsprozesse im INTERNET oder INTRANET zwischen Nutzern und Knowhow-Providern/Trägern nach einer technologischen Vorschrift und auf der technischen Basis einer dualen Systemlösung
DE202008017947U1 (de) Netz-Servereinrichtung zum Erkennen eines unerwünschten Zugriffs

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection