DE69634460T2 - Vorrichtung und Verfahren zum Verwalten der Datenbankzugriffe - Google Patents

Vorrichtung und Verfahren zum Verwalten der Datenbankzugriffe Download PDF

Info

Publication number
DE69634460T2
DE69634460T2 DE69634460T DE69634460T DE69634460T2 DE 69634460 T2 DE69634460 T2 DE 69634460T2 DE 69634460 T DE69634460 T DE 69634460T DE 69634460 T DE69634460 T DE 69634460T DE 69634460 T2 DE69634460 T2 DE 69634460T2
Authority
DE
Germany
Prior art keywords
resource
listing
user
access
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69634460T
Other languages
English (en)
Other versions
DE69634460D1 (de
Inventor
Brenda Sue Berkeley Heights Baker
Eric Berkeley Heights Grosse
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cooper Union for Advancement of Science and Art
Original Assignee
Cooper Union for Advancement of Science and Art
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US08/519,268 external-priority patent/US5678041A/en
Application filed by Cooper Union for Advancement of Science and Art filed Critical Cooper Union for Advancement of Science and Art
Application granted granted Critical
Publication of DE69634460D1 publication Critical patent/DE69634460D1/de
Publication of DE69634460T2 publication Critical patent/DE69634460T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Description

  • FACHGEBIET
  • Die Erfindung betrifft die Steuerung des Datenbankzugriffs und insbesondere die selektive Durchführung einer solchen Steuerung in bezug auf im übrigen öffentliche Datenbanken.
  • HINTERGRUND DER ERFINDUNG
  • Dateien oder andere Ressourcen in Computern auf der ganzen Welt können für Anwender anderer Computer durch die Vereinigung von Netzwerken, die als das Internet bekannt ist, öffentlich zugänglich gemacht werden. Die Vereinigung solcher öffentlich verfügbaren Ressourcen, die durch Dateien miteinander verknüpft werden, die in der Hypertext Mark-up Language ("HTML") geschrieben sind, ist als World Wide Web ("WWW") bekannt.
  • Ein Anwender eines Computers, der mit dem Internet verbunden ist, kann bewirken, daß ein Programm, das als Client bekannt ist, Ressourcen anfordert, die Teil des WWW sind. Server-Programme verarbeiten dann die Anforderung, um die angegebenen Ressourcen zurückzusenden (vorausgesetzt, sie sind gegenwärtig verfügbar). Eine standardisierte Benennungsvereinbarung ist beschlossen worden, die als Uniform Resource Locator ("URL") (einheitliche Quellenangabe) bekannt ist. Diese Vereinbarung umfaßt verschiedene Typen von Standortnamen, die gegenwärtig Unterklassen aufweisen, zum Beispiel Hypertext Transport Protocol ("http"), Dateitransportprotokoll ("ftp"), Gopher und Wide Area Information Service ("WAIS"). Wenn eine Ressource heruntergeladen wird, kann sie die URLs von zusätzlichen Ressourcen aufweisen. Der Anwender des Clients kann auf einfache Weise etwa über das Vorhandensein neuer Ressourcen erfahren, die er nicht im einzelnen angefordert hat.
  • Die verschiedenen Ressourcen, die über das WWW zugänglich sind, werden von vielen verschiedenen Menschen in Computern auf der ganzen Welt erzeugt und gepflegt, und zwar ohne zentralisierte Steuerung des Inhalts. Da bestimmte Typen von Information oder Bildern, die in dieser unkontrollierten Informationsansammlung enthalten sind, für bestimmte Anwender möglicherweise nicht geeignet sind, kann es erwünscht sein, den Zugang zu den WWW-Ressourcen selektiv zu beschränken. Beispielsweise könnten Eltern oder Schullehrer den Wunsch haben, daß Kinder Zugang zu nützlicher Information, aber nicht zu obszönem Material haben (dem Kinder im Ergebnis einer gutgläubigen Durchsuchung des WWW oder durch das unbeabsichtigte Herunterladen einer URL ausgeliefert sein können). Ein weiteres Beispiel ist der Fall, wo Lehrer wünschen, daß ihre Schüler während des Unterrichts direkt auf eine bestimmte Gruppe von Ressourcen zugreifen. Bei einem dritten Beispiel handelt es sich um Firmen, die ihre Angestellten nur auf arbeitsbezogene Ressourcen zugreifen lassen möchten, und nicht wünschen, daß sie ihre Zeit mit WWW-Durchsuchungen verbringen. Im allgemeinen müßte ein bestimmter Anwender wahrscheinlich zu verschiedenen Zeiten auf verschiedene Ressourcen eingeschränkt werden, wie es bei einem Student der Fall ist, der während des Unterrichts in verschiedenen Fächern auf verschiedene Gruppen von Ressourcen eingeschränkt wird.
  • Bestimmte Behörden, zum Beispiel Schulen, bitten die Anwender, sich an eine Grundsatzerklärung zu halten, in der sie zustimmen, ihre Durchsuchung des WWW einzuschränken, beispielsweise indem sie zustimmen, kein obszönes Material herunterzuladen. Die freiwillige Erfüllung einer solchen Erklärung verhindert jedoch nicht das unbeabsichtigte Herunterladen von Ressourcen, die nicht ohne weiteres als verboten oder ungeeignet erkennbar sind, bevor man sie heruntergeladen und angesehen hat.
  • Natürlich sind auch technische Lösungen, zum Beispiel "Firewalls", verfügbar, um den Zugang zum WWW und Internet zu beschränken oder zu behindern. Diese Firewalls sind softwaregesteuerte Gateways, die im allgemeinen installiert sind, um Computer in einem lokalen Netzwerk ("LAN") vor Angriffen von außen zu schützen. Eine Wirkung der Installation einer Firewall besteht darin, daß WWW-Clients mit WWW-Servern nicht mehr direkt in Kontakt treten können. Normalerweise erweist sich dies als zu restriktiv, und Anwender nehmen Zuflucht zu "Proxy-Servern", mit denen man über WWW-Clients direkt in Kontakt treten kann. Diese Proxy-Server haben spezielle Eigenschaften, um Anforderungen durch die Firewall weiterzugeben, und ermöglichen dadurch Kommunikationsverbindung zu und von Servern im Internet. Aus Effizienzgründen kann ein Proxy-Server auch bestimmte Ressourcen lokal zwischenspeichern. Gegenwärtig verfügbare Clients und Proxy-Server gewähren Zugriff auf jede öffentliche Ressource im WWW. Sie sind nicht konfiguriert, um einem bestimmten Anwender zu ermöglichen, bestimmte Ressourcen anzufordern und gleichzeitig den Zugriff dieses Anwenders auf andere Ressourcen zu verhindern.
  • Eine bestimmte "Filterung" verfügbarer WWW-Ressourcen kann in Systemen erfolgen, die indirekten Zugriff bieten. In diesen Systemen würde ein Informationsanbieter Ressourcen vom WWW herunterladen und Kopien der Ressourcen bereithalten. Anwender würden auf diese Kopien zugreifen. Der Informationsanbieter kann die Ressourcen prüfen, da sie aus dem WWW beschafft worden sind, und jegliches ungeeignete oder obszöne Material aussondern, bevor die Ressource Anwendern zur Verfügung gestellt wird. Ein Nachteil dieses Prinzips besteht darin, daß das Material, das vom Informationsanbieter bereitgestellt wird, im Vergleich zu der ursprünglichen Ressource im WWW veraltet sein kann.
  • Nach einem alternativen Prinzip des "gefilterten" Zugriffs auf WWW-Ressourcen versorgt ein Proxy-Server einen Anwender mit einem Menü zugelassener Ressourcen, auf die zugegriffen werden kann, und der Anwender kann alle Ressourcen beziehen, die er durch eine Serie von Links aus den Menü-Ressourcen erreichen kann. Der Anwender darf URLs nur über dieses Menü anfordern. Dieses bestimmte Verfahren hat zwei Nachteile. Erstens müssen viele Ressourcen aus dem Menü ausgeschlossen werden, da sie Links zu ungeeignetem Material enthalten, obwohl sie selbst möglicherweise akzeptabel sind. Zweitens kann sich eine Ressource mit der Zeit ändern und neue Links aufweisen, die zu ungeeignetem Material führen könnten und dadurch dem Anwender einen unbeabsichtigten Zugriffsweg dorthin bieten könnten.
  • In noch einem weiteren Verfahren des "gefilterten" Zugriffs auf WWW-Ressourcen prüft der Client oder der Proxy-Server jede Ressource anhand einer Liste von unzulässigen Wörtern (das heißt Obszönitäten, sexuelle Begriffe und so weiter) und zeigt dem Anwender nur diese Ressourcen, die diese Wörter nicht enthalten. Dieses Verfahren erlaubt jedoch keine Filterung von Bildern und hält Ressourcen nicht fern, die aufgrund des übrigen Inhalts, nämlich außer spezifischer Wörter ungeeignet sein könnten.
  • Noch ein weiteres Mittel zum Schutz von Anwendern vor ungeeigneten und obszönen Materialien ist von Computer- und Videospiele-Herstellern eingerichtet worden. Diese Spiele werden auf freiwilliger Basis nach Umfang der Gewaltdarstellung, der Nacktheit/sexueller Darstellung und Sprache bewertet. Obwohl solche Übereinkünfte bisher nicht im WWW getroffen worden sind, bestünde eine analoge Möglichkeit darin, WWW-Ressourcen solche Bewertungen hinzuzufügen, eventuell mit digitalen Signaturen, um Fälschungen zu verhindern. Ein WWW-Client könnte, wenn er so programmiert ist, dann die Wahl haben, keine Ressource zu sichern oder zu zeigen, die unbewertet ist oder eine unakzeptable Bewertung für das gegebene Publikum hat. Der Nachteil dieses Prinzips ist die Notwendigkeit, viele Menschen, die geeignete Server bereitstellen (häufig auf nichtprofessioneller oder uneigennütziger Basis) zu überzeugen, sich mit einer Bewertungskommission zu koordinieren.
  • Alle gegenwärtigen Systeme zur Begrenzung des Anwenderzugriffs auf unkontrollierte öffentliche Datenbankressourcen, zum Beispiel solche, die im WWW verfügbar sind, haben offensichtliche Nachteile. Gegenwärtig existiert kein einfaches Mittel, mit dem eine Behörde (das heißt Lehrer, Kontrolleure, Systemadministratoren und so weiter) den WWW-Zugriff für einen oder mehrere Anwender selektiv steuern könnte, ohne die Möglichkeit der Anwender, mit dem Internet zu kommunizieren, erheblich zu beeinträchtigen. Dies trifft besonders zu, wenn eine bestimmte Behörde, die eine solche Kontrolle auszuüben wünscht, schlechtere Computerfertigkeiten in bezug auf die Verwaltung von Informations/Dienstnetzwerken hat.
  • R. S. Sandhu et al. offenbaren in "Access Control: Principles and Practice", IEEE Communications Magazine, Vol. 32, Nr. 9, Seiten 40–48 (1994) einen Zugriffssteuerungsdienst auf der Grundlage einer in einer Datenbank gespeicherten Matrixformulierung. Die Matrix verknüpft Anwender mit Ressourcen. Jedes Element der Matrix ordnet einem bestimmten Anwender eine bestimmte Ressource zu und gibt die Zugriffsrechte dieses Anwenders für diese Ressource an.
  • Dieser bekannte Lösungsansatz hat den Nachteil, daß, wenn die Anzahl der Anwender und die Anzahl der Ressourcen zunimmt, die Größe der Matrix mit deren Produkt zunimmt. Wenn große Anzahlen von Anwendern und Ressourcen vorliegen, wird die Matrixformulierung in bezug auf den Rechenaufwand sehr kostspielig. In einem großen System hat die Zugriffsmatrix eine enorme Größe, und die meisten Zellen sind mit Wahrscheinlichkeit leer.
  • Die vorliegende Erfindung überwindet diesen Mangel der bekannten Prinzipien zur Regulierung des Netzwerkdatenbankzugriffs, indem sie ein System und Verfahren bereitstellt, das es ermöglicht, daß ein oder mehrere Netzwerkadministratoren/Verwalter bestimmte Information und/oder Dienste bewerten. Diese Bewertung wird dann verwendet, um spezifische Systemanwender daran zu hindern, auf die Information/Dienste über bestimmte öffentliche oder anderweitig unkontrollierte Datenbanken zuzugreifen (das heißt, auf das WWW und das Internet). Die Erfindung verwendet eine relationale Datenbank, um Zugriffsrechte zu bestimmen und Bewertungsinformation zu speichern. Die Bewertungsinformationsdatenbank kann ohne weiteres von einem Administrator/Verwalter aktualisiert und modifiziert werden.
  • In dieser relationalen Datenbank sind spezifische Ressourcenkennungen (das heißt URLs) nach der Zuordnung zu einer bestimmten Zugriffsbewertung klassifiziert. Die relationale Datenbank ist so eingerichtet, daß für jeden Anwender des Systems eine Anforderung nach einer bestimmten Ressource nur vom lokalen Netzwerk an den Server weitergeleitet wird, der eine Verknüpfung mit der öffentlichen/unkontrollierten Datenbank bereitstellt, wenn die Ressourcenkennung eine Zugriffsbewertung hat, für die dem Anwender spezifische Zulassungen durch einen Administrator/Verwalter zugewiesen worden sind. In einer bevorzugten Ausführungsform ist die Erfindung als Teil eines Proxy-Servers innerhalb eines lokalen Netzwerks eines Anwenders implementiert. In einer weiteren Ausführungsform pflegt das System eine Ressourcenbewertungsdatei, die jeder spezifischen Ressourcenkennung zugeordnet ist, wobei Kommentare, Bedingungen und so weiter, die sich auf die bestimmte Ressource beziehen, gespeichert sind.
  • Gemäß einem Aspekt der Erfindung wird ein System, das in den Ansprüchen 1 bis 13 definiert ist, und ein Verfahren, das in den Ansprüchen 14 bis 21 definiert ist, bereitgestellt.
  • KURZBESCHREIBUNG DER ZEICHNUNG
  • In den Zeichnungen ist folgendes dargestellt:
  • 1 ist eine vereinfachte Darstellung eines exemplarischen Systems, das die Erfindung verkörpert;
  • 2 ist eine vereinfachte Darstellung einer alternativen Anordnung des Systems von 1, das geeignet ist, die Klassifikation von URLs in Bewertungsgruppen zu erleichtern;
  • 3 ist eine vereinfachte Darstellung einer alternativen Anordnung des Systems von 1 mit Systemverwaltungsadaptionen;
  • 4 ist eine Darstellung von Bewertungsinformation, die nach Abruf einer bestimmten Netzwerkressourcen an einen Systemverwalter zurückgesendet wird;
  • 5 ist eine Darstellung einer Ressourcenkategorisierungsinformation, die an einen Netzwerkverwalter übergeben wird; und
  • 6 ist eine Darstellung einer Bewertungsbearbeitungsseite, die für einen Netzwerkverwalter zugänglich ist.
  • AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
  • 1 ist eine vereinfachte Darstellung eines exemplarischen Systems, das die Erfindung verkörpert. Wie in 1 gezeigt, weist das System ein öffentliches Netzwerk 100, Netzwerkressourcen 101105 und einen Anwenderstandort 106 auf. Bestimmte Anwender am Anwenderstandort 106 erlangen Zugriff auf das öffentliche Netzwerk 100 über Anwenderendgeräte 107, 108 und 109. Jedes dieser Anwenderendgeräte ist durch ein lokales Netzwerk ("LAN") 110 mit einem Prozessor 111 in einem Proxy-Server 112 verknüpft. Schließlich stellt der Proxy-Server 112 eine Verbindung vom Prozessor 111 zum öffentlichen Netzwerk 100 über eine Firewall 113 her.
  • Anforderungen von Anwenderendgeräten 107109 zum Zugriff auf Netzwerkressourcen (101105) über das öffentliche Netzwerk 100 werden an den Prozessor 111 innerhalb des Proxy-Servers 112 übergeben. In dieser bestimmten Ausführungsform der Erfindung wird angenommen, daß die übergebenen Anforderungen die Form von URLs haben. Wenn, wie dem Fachmann bekannt ist, URLs an einen Proxy-Server übergeben werden, wird ein bestimmtes anforderndes Anwenderendgerät für den Proxy-Server durch einen Kennungs-Header erkannt, der an die URL abgehängt ist. Bei dem in 1 dargestellten System ist ID107 der Kennungscode für das Anwenderendgerät 107, ID108 der Kennungscode für das Anwenderendgerät 108 und ID109 der Kennungscode für das Anwenderendgerät 109. Außerdem stellen im System von 1 die URLs, die als URL101, URL102, URL103, URL104 und URL105 bezeichnet sind, Anforderungen nach Information von den Netzwerkressourcen 101, 102, 103, 104 bzw. 105 dar.
  • Bei Empfang einer ankommenden URL ist der Prozessor 111 so programmiert, daß er die Identität des anfordernden Anwenderendgeräts aus dem URL-Header bestimmt. Diese Identifikationsinformation wird dann vom Prozessor 111 genutzt, um die empfangene URL mit in der relationalen Datenbank 114 gespeicherten Information zu vergleichen. Die relationale Datenbank 114 enthält eine Auflistung 115, die jeden der Anwenderidentifikationscodes (ID107, ID108 und ID109) einem Anwenderberechtigungscode (Anwenderberechtigung107, Anwenderberechtigung108 bzw. Anwenderberechtigung109) zuordnet. Diese Anwenderberechtigungen zeigen eine bestimmte Bewertungsklasse oder bestimmte Bewertungsklassen von Netzwerkressourcen an, auf die ein gegebenes Anwenderendgerät zugreifen kann (nämlich durch unbegrenzten Zugriff; beschränkte Verwendung von URLs, die als Zugriff auf Gewaltthemen erkennt worden sind; beschränkte Verwendung von URLs, die als Zugriff auf obszöne Themen beschränkt sind und so weiter). Außerdem ist in der relationalen Datenbank 114 eine Auflistung 116 enthalten, die ein Verzeichnis der zulässigen URLs (URL101-105) aufweist, die von einem Anwenderendgerät übertragen werden können, um auf Netzwerkressourcen zuzugreifen. Die Auflistung 116 ordnet jeder dieser URLs bestimmte Ressourcenbewertungsdaten (Ressourcenbewertung101-105) zu. Die Ressourcenbewertung, die jeder der URLs zugeordnet wird, kann etwa so Einfaches sein wie eine Bewertungsklassenangabe. Beispielsweise eine Angabe, daß eine bestimmte URL zur Verwendung für alle Anwender zugelassen ist oder daß die Verwendung einer bestimmten URL aus bestimmten Gründen beschränkt ist (das heißt, die URL greift auf Netzwerkressourcen zu, die gewaltdarstellende oder obszöne Themen enthalten).
  • Wir nehmen beispielsweise an, daß ein Systemadministrator oder Verwalter die Netzwerkressourcen von 1 subjektiv in drei Klassen kategorisiert hat (nichtgewaltdarstellend – NV, mäßig gewaltdarstellend – MV und gewaltdarstellend – V), wie folgt: Netzwerkressourcen 101 – NV, Netzwerkressourcen 102 – NV, Netzwerkressourcen 103 – NV, Netzwerkressource 104 – MV und Netzwerkressourcen 105 – V). Die URL/Ressourcenbewertungsauflistung 116 würde dann die folgenden alten:
  • Figure 00050001
  • Ferner nehmen wir an, daß dem Anwenderendgerät 107 Zugriff auf alle Netzwerkressourcen (NV, MV und V) gewährt werden soll; dem Anwenderendgerät 108 Zugriff auf Ressourcen mit der Bewertung NV und MV gewährt werden soll; und dem Anwenderendgerät 109 Zugriff nur auf NV-Ressourcen gewährt werden soll. Die Information, die diese Anwenderendgerätberechtigungen widerspiegelt, könnte in einer Auflistung in 115 folgendermaßen gespeichert sein:
  • Figure 00050002
  • Wenn im System von 1 ein anforderndes Anwenderendgerät eine URL über das LAN 110 überträgt, empfängt der Prozessor 111 die URL und den Kennungscode des anfordernden Anwenderendgeräts. Der Prozessor 111 fragt dann die Auflistung 115 ab, um die zulässigen Ressourcenbewertungen für das bestimmte anfordernde Endgerät zu bestimmen, und fragt die Auflistung 116 ab, um die Ressourcenbewertung der Netzwerkressourcen zu bestimmen, auf die von der bestimmten empfangenen URL zugegriffen werden soll. Wenn eine URL, die eine Netzwerkressourcen 101 anfordert, von einem Anwenderendgerät 107 kommend vom Prozessor 111 empfangen würde, würde die Liste 115 und 116 in der relationalen Datenbank 114 Information liefern, die anzeigen würde, daß das Anwenderendgerät 107 für einen Zugriff auf Netzwerkressourcen mit der Bewertung NV, MV und V berechtigt ist und daß die URL101 eine Bewertung NV hat. Da die Bewertung der angeforderten Ressource eine der Bewertungen wäre, für die das anfordernde Anwenderendgerät eine Berechtigung hätte, würde der Prozessor 111 die Anforderung nach Information (URL101) an das öffentliche Netzwerk 100 über die Firewall 113 weiterleiten. Wenn wir annehmen, daß die angeforderte Ressource verfügbar wäre, dann sendet das öffentliche Netzwerk die angeforderte Information an das Anwenderendgerät 107 über die Firewall 113, den Prozessor 111 und das LAN 110 zurück. Wenn dagegen vom Prozessor 111 eine URL empfangen wird, die eine Bewertung hat, für die das anfordernde Anwenderendgerät nicht berechtigt ist, wird diese Anforderung nach Information verweigert. Wenn beispielsweise die URL105 vom Anwenderendgerät 109 kommend vom Prozessor 111 empfangen wird, wird auf die relationale Datenbank 114 zugegriffen. Da die Daten in den Auflistungen 115 und 116 zeigen, daß die URL105 eine Bewertung V hat und daß das Anwenderendgerät 109 berechtigt ist, nur auf Netzwerkressourcen mit der Bewertung NV zuzugreifen, verweigert der Prozessor 111 die Anforderung nach Information, und es wird keine URL an das öffentliche Netzwerk 100 gesendet. Der Prozessor 111 könnte auch so programmiert sein, daß er alle Anforderungen von Anwenderendgeräten nach unbewerteten Ressourcen verweigert. Dies würde den Zugriff auf Netzwerkressourcen verhindern, die vom Systemadministrator/Verwalter noch nicht überprüft oder bewertet worden sind. Es geht auch aus der vorstehenden Beschreibung der Erfindung hervor, daß Bilder, die in einer gegebenen Ressource enthalten sind (das heißt einbezogene Bilder) der gleichen Bewertung unterliegen, mit der die Ressource bewerten worden ist. Es bestünde keine Notwendigkeit, die einbezogenen Bilder getrennt zu bewerten.
  • In der oben beschriebenen bestimmten Ausführungsform speichert die relationale Datenbank 114 eine Liste von Anwenderendgerät-Kennungscodes und die verschiedenen Anwenderberechtigungen, die die Bewertungen der Netzwerkressourcen wiedergeben, die jedes Anwenderendgerät aus dem öffentlichen Netzwerk 100 abzurufen berechtigt sein sollte. Es versteht sich, daß die Erfindung so modifiziert werden könnte, daß die Liste der Anwenderberechtigungen, die einem gegebenen Anwenderendgerät-Kennungscode zugeordnet sind, als restriktive Liste dient (das heißt, daß der Anwender Netzwerkressourcen mit dieser Bewertung nicht abrufen darf). Diese restriktive Auflistungsfunktionalität könnte ohne weiteres durch Umprogrammierung des Prozessors 111 ermöglicht werden. Zusätzlich könnte die Erfindung so modifiziert werden, daß die Kennungscodes, die vom Prozessor 111 erkannt und in der relationalen Datenbank 114 gespeichert werden, anwenderspezifisch und nicht anwenderendgerätspezifisch sind. Das heißt, das System von 1 könnte so modifiziert werden, daß eine gegebene Einzelperson, die ein Endgerät verwendet, für das System durch ein persönliches Paßwort oder einen anderen zur Erkennung dienenden Code kenntlich gemacht wird. Zugriff oder Verweigerung der Übertragung bestimmter URLs erfolgt durch das System als Funktion dieser Identität der Person unabhängig vom bestimmten Anwenderendgerät, das diese nutzen können.
  • Das oben beschriebene System kann auch so modifiziert werden, daß URLs in der Speicherstruktur einer relationalen Datenbank als zu einer Bewertungskategorie zugehörig erkannt werden. 2 zeigt ein vereinfachtes Schaltbild eines Systems, das dem in 1 gleicht, jedoch angepaßt ist, um die Klassifikation der URLs in Bewertungsgruppen zu erleichtern. Wie dargestellt, weist eine relationale Datenbank 200 eine Anwenderkennungscode-Auflistung 201 und eine URL-Auflistung 202 auf. Die Auflistung 201 beschreibt die Anwenderkennungsscodes ID101 und ID108 als zur Anwenderberechtigungskategorie A zugehörig und ID109 als zur Anwenderberechtigungskategorie B zugehörig. Nach Empfang einer ankommenden URL bestätigt der Prozessor 111 die Identität des anfordernden Anwenderendgeräts anhand des URL-Headers und benutzt dann diese Identifikationsinformation, um die Berechtigungskategorie zu bestimmen, die für diesen bestimmten Anwender in der Auflistung 201 angegeben ist. Die bestimmte URL, die der Prozessor 111 empfängt, wird dann in der Auflistung 202 abgefragt, um die zugeordnete Ressourcenbewertungskategorie zu bestimmen. Wenn der anfordernde Anwender eine Berechtigung hat, die mit der Ressourcenbewertung, die der anfordernden URL zugeordnet ist, übereinstimmt, leitet der Prozessor 111 die URL über eine Firewall 113 an das öffentliche Netzwerk 100 weiter. Das öffentliche Netzwerk 100 sendet die angeforderte Information über die Firewall 113 an den ermittelten Anwender, an den Prozessor 111 und an das LAN 110 zurück. Wenn dagegen eine URL in einer Ressourcenbewertungskategorie enthalten ist, für die der anfordernde Anwender nicht berechtigt ist, verweigert der Prozessor 111 die Anforderung nach Information.
  • Zusätzlich können die URL-Bewertungsdaten in den oben beschriebenen Systemen eine Textauflistung mit der Begründung, auf der eine gegebene Bewertung beruht, oder zusätzliche Information aufweisen, die komplexere Prinzipien mit bedingten Bewertungen ermöglicht. Zur Veranschaulichung einer bedingten Bewertung für eine URL nehmen wir an, daß die Ressourcenbewertung, die der bestimmten URL zugeordnet ist, mit V für gewaltdarstellend bewertet worden ist, und daß alle Endgeräte innerhalb einer gegebenen Schule Berechtigungen für NV (nichtgewaltdarstellend) haben. Deshalb würde im allgemeinen keines der schulischen Endgeräte die Erlaubnis erhalten, die mit V bewertete URL zu verwenden. Es könnten jedoch Situationen auftreten, die eine Ausnahme zu dieser allgemeinen Regel erfordern. Beispielsweise könnte ein bestimmtes Endgerät, das einer Geschichtsklasse zugeordnet ist, Bedarf haben, eine bestimmte Ressource zu bewerten, die gewaltdarstellende, aber relevante Information über eine historische Militärschlacht enthält. Um den Zugang zu solchen Ressourcen zu erleichtern, würde die Bewertungsinformation der relationalen Datenbank für die Militärschlacht-Ressource um die bedingte Bewertung folgendermaßen erweitert werden: "NV für Anwenderendgeräte, die sich in Geschichtsklassenräumen befinden; V für alle anderen Endgeräte". Bei diesem bedingten System wären die Endgeräte in Geschichtsklassenräumen für allen anderen als "gewaltdarstellend" bewerteten URLs gesperrt, könnten aber dennoch historisch wichtige, wenn auch gewaltdarstellende Netzwerkressourcen bewerten. Bedingter Zugriff könnte auch als Funktion der Zeit für Endgeräte oder Anwender gewährt werden (das heißt Zugriff, der auf bestimmte Zeiten des Tages für bestimmte Anwender oder Anwenderendgeräte begrenzt ist).
  • Wie oben ausgeführt, enthalten die relationalen Datenbanken in den Systemen von 1 und 2 Auflistungen von Anwendern/Anwenderendgerät-Kennungscodes und URLs. Diese Auflistungen sind subjektiv kategorisiert oder bewertet, um den selektiven Zugriff sonstiger öffentlicher Netzwerkressourcen zu bewerten. Wir gehen davon aus, daß diese Kategorisierung/Bewertung von einem Systemverwalter durchgeführt worden ist und dadurch erfolgt, daß der Inhalt der relationalen Datenbank, die bei der praktischen Umsetzung der Erfindung genutzt wird, modifiziert wird. In dem in 3 dargestellten System kann der Prozessor 111 so programmiert sein, daß er es ermöglicht, daß Ressourcenkategorisierungsinformation (Auflistung 300) und/oder Anwender/Anwenderendgerät-Berechtigungsinformation (Auflistung 301) in der relationalen Datenbank 302 nur von einem spezifischen, für spezielle Zwecke verwendeten Verwaltungsendgerät 303 modifiziert werden kann. Wenn die Möglichkeit, neue Information in eine relationale Datenbank 302 zu "schreiben", auf ein Verwaltungsendgerät 303 beschränkt wird, wird die Möglichkeit der Fälschung von Datenbanken minimiert. Als Alternative kann das System auch so konfiguriert sein, daß eine Datenbankmodifikation von einem beliebigen der Anwenderendgeräte 107, 108 oder 109 durchgeführt wird. Um vor Fälschung des Inhalts der relationalen Datenbank 302 zu schützen, wird die Berechtigung zur Änderung des Inhalts der relationalen Datenbank 302 durch ein Anwenderendgerät über die Verwendung einer Verwalterkennung gesteuert. Wenn beispielsweise ein Systemverwalter wünscht, eine relationale Datenbank 302 vom Anwenderendgerät 108 aus zu modifizieren, würde er ein Paßwort eingeben, das ihn als berechtigten Systemverwalter zu erkennen gibt. Das Paßwort wird vom Prozessor 111 empfangen und mit dem Inhalt einer Verwalter-ID-Speicherauflistung 304 verglichen. Wenn das empfangene Verwalter-ID-Paßwort einem in der Auflistung 304 gespeicherten entspricht, dann ist das Anwenderendgerät 108 als Verwalterendgerät erkannt worden (wie mit ID108 bezeichnet, das in der Auflistung 304 gespeichert ist). Modifikationen des Inhalts der relationalen Datenbank 302 können dann von diesem Anwenderendgerät aus dwurhgeführt werden. Wenn alle Modifikationen durchgeführt worden sind, meldet sich der Verwalter ab, und das Anwenderendgerät 108 kehrt in den standardmäßigen Anwenderendgerätestatus zurück (das heißt, ID108 wird aus der Auflistung 304 gelöscht).
  • Mit der immer stärker ansteigenden Verbreitung von Informationssystemen in Haushalten, in der Schule und im Arbeitsumfeld ist es häufig der Fall, daß die Verantwortung für die Verwaltung des Zugriffs auf Information einem oder mehreren Einzelpersonen zufällt, die nicht gerade Experten in bezug auf Computer oder Informationssysteme sind. Jedes der oben beschriebenen Systeme kann so implementiert werden, daß ein Verwalter, der kein Experte ist, das Systems auf einfache Weise steuern kann. Beispielsweise kann der Prozessor 111 im System von 3 so programmiert werden, daß Anwender, die als Systemverwalter erkannt worden sind, mit einem HTML-"Bewertungs-Header" vor der Einleitungsseite jeder abgerufenen Netzwerkressourcen ausgestattet werden. Wenn ein Verwalter über das öffentliche Netzwerk 100 die Netzwerkressourcen AT&T 800 Directory (Markenzeichen) abriefe, würde die zurückgesendete Information vom Prozessor 111 als nichtgewaltdarstellende Bewertung gekennzeichnet werden (siehe 4, beachte die Bezeichnung "NV", die der abgerufenen Ressource AT&T 800 Directory (Markenzeichen) vorausgeht). Der Verwalter kann die Begründung der Bewertung durch Anklicken des mit "Hier klicken" bezeichneten Abschnitts auf der HTML-Bewertungsseite prüfen. Dies führt zum Abrufen der Begründung, auf der die Begründung auf der NV-Bewertung beruht, aus der Auflistung der Ressourcenkategorisierungsinformation 300 (siehe die in 5 gezeigte Seite). Wenn der Verwalter mit der zugeordneten Bewertung nach Abruf der Ressource AT&T 800 Directory nicht einverstanden ist, kann er "Bei Nichteinverständnis hier klicken" anklicken. Dadurch wird die Bewertungs- und Begründungsinformation aus der Auflistung der Ressourcenkategorisierungsinformation 300 abgerufen, und der Verwalter wird mit einer Seite versorgt, die die Bearbeitung der Bewertung erleichtert (siehe 6). Durch diese Seite erhält der Verwalter die aktuellen Bewertung der Ressource ("NV"), den Hauptgrund für die Bewertung ("nichtgewaltdarstellender Inhalt") und einen Bereich zum Eingeben einer ausführlicheren Begründung ("die Ressource besteht aus Auflistungen von Telefonen ..."). Nach Beendigung oder nach Modifizierung dieser HTML-Seite würde der Systemverwalter "Nachricht senden" wählen und somit die Seite zur Speicherung in der Auflistung 300 an die relationale Datenbank 302 übertragen.
  • Es versteht sich, daß das bestimmte System und Verfahren, die hier beschrieben sind, für die Prinzipien der vorliegenden Erfindung lediglich darstellenden Charakter haben und daß verschiedene Modifikationen für den Fachmann möglich sind, ohne vom Schutzbereich der vorliegenden Erfindung abzuweichen, der in den beigefügten Ansprüchen ausgeführt ist. Die relationale Datenbank sollte modifiziert werden, um die Informationsmengen zu speichern, die den bestimmten Typ des zu verwendenden Anforderungsformats anzeigt, und einer bestimmten Anwenderklasse zugeordnet werden. Noch eine weitere Modifikation würde diese Anpassung an eine Mehrfachverwalter-Umgebung erfordern. In einer solchen Umgebung könnten die Netzwerkressourcennbewertungen ein Ergebnis der Abstimmung zwischen einer Anzahl von Systemverwaltern sein. Beispielsweise könnte eine Anzahl von Verwaltern eine Ressourcenbewertung vorschlagen oder ändern, oder die letzte Bewertung, die in der relationalen Datenbank gespeichert ist, würde einen Durchschnittswert der vorgeschlagenen Bewertungen bilden oder dem entsprechen, was die Mehrheit der Verwalter auch immer als die Bewertung der bestimmten Ressource wählt. Die relationale Datenbank, die in Systemen benutzt wird, die die Erfindung ermöglichen, könnte auch so konfiguriert sein, daß Information, die einen zulässigen Ressourcenzugriff anzeigt, so eingerichtet ist, daß sie sich an Ressourcen anpaßt, die in einem Baumstrukturformat konfiguriert sind (zum Beispiel eine hierarchische Verzeichnisanordnung). Eine solche relationale Datenbank würde eine Auflistung von Verzeichnis- und/oder Unterverzeichniskennungen aufweisen, die mit einer bestimmten Ressourcenbewertung gekennzeichnet sein könnten. Das System könnte so konfiguriert sein, daß Ressourcen, die sich in einem derartig gekennzeichneten Verzeichnis oder Unterverzeichnis befinden, die Bewertung des gesamten Verzeichnisses/Unterverzeichnisses annehmen würden. Als Alternative könnte das System ein mit Prioritäten versehenes Verzeichnis/Unterverzeichnis-Bewertungssystem verwenden. In einem solchen System würde einem Verzeichnis eine Gesamtbewertung, zum Beispiel "NV", zugeordnet werden. Bestimmte Elemente oder Unterverzeichnisse in diesem mit NV bewerteten Verzeichnis könnten dann mit spezifischen Bewertungen neben "NV" gekennzeichnet werden, zum Beispiel "V". Wenn ein Anwender auf ein mit NV bewertetes Verzeichnis zugreift, würde man davon ausgehen, daß alle Elemente in diesem die Bewertung NV haben, außer solche Elemente und Unterverzeichnisse, die mit einer anderen, spezifischeren oder unterschiedlichen Bewertung bezeichnet sind.

Claims (21)

  1. System zum selektiven Einschränken des Zugriffs auf eine oder mehrere im übrigen öffentliche Netzwerkressourcen (101 ... 105), mit: einer relationalen Datenbank (114, 200, 302), die eine erste gespeicherte Auflistung (116, 202, 300), die eine Vielzahl von Ressourcen-Kennungen zumindest einer Ressourcen-Einstufung zuordnet, und eine zweite gespeicherte Auflistung (115, 201, 301), die eine Vielzahl von Anwender-Kennungscodes zumindest einer Anwender-Zulassungseinstufung zuordnet, enthält; einem Prozessor (111), der geeignet ist, (a) von einem Anwender-Standort (106) eine Anfrage nach einem Netzwerkzugriff auf eine oder mehrere bestimmte Netzwerkressourcen (101105) eines öffentlichen Netzwerks (100) zu empfangen, das mit dem Anwender-Standort (106) über eine Firewall (113) verbunden ist, wobei die Anfrage eine Ressourcen-Kennung mit einer einheitlichen Ressourcen-Adresse URL und einem Anwender-Kennungscode aufweist, und (b) die erste und zweite Auflistung (115, 116; 202, 201; 300, 301) in der relationalen Datenbank (114, 200, 302) abzufragen und die Anfrage nach einem Netzwerkzugriff auf die eine oder die mehreren Netzwerkressourcen als Funktion der Ressourcen-Einstufung, die in der ersten Auflistung (116, 202, 300) als der empfangenen Ressourcen-Kennung zugeordnet aufgeführt ist, und der Anwender-Zulassungseinstufung, die in der zweiten Auflistung (115, 201, 301) als dem empfangenen Anwender-Kennungscode zugeordnet aufgeführt ist, auszuführen.
  2. System nach Anspruch 1, wobei die Vielzahl von Ressourcen-Kennungen, die zumindest einer Ressourcen-Einstufung zugeordnet ist, in einer hierarchischen Verzeichnisdatenstruktur angeordnet ist.
  3. System nach Anspruch 2, wobei die Vielzahl von Ressourcen-Kennungen in der hierarchischen Verzeichnisdatenstruktur mehr als einer Ressourcen-Einstufung zugeordnet ist.
  4. System nach einem der vorhergehenden Ansprüche, wobei zumindest eine der einen oder der mehreren bestimmten Netzwerkressourcen zumindest ein Bild aufweist.
  5. System nach einem der vorhergehenden Ansprüche, wobei der Prozessor (111) programmiert ist, die Anfrage nach einem Zugriff auszuführen, wenn die Ressourcen-Einstufung, die der empfangenen Ressourcen-Kennung in der ersten Auflistung zugeordnet ist, zumindest einer der Anwender-Zulassungseinstufungen entspricht, die dem empfangenen Anwender-Kennungscode in der zweiten Auflistung zugeordnet ist.
  6. System nach einem der Ansprüche 1 bis 4, wobei der Prozessor (111) programmiert ist, eine Ausführung der Anfrage nach einem Zugriff zurückzuweisen, wenn die Ressourcen-Einstufung, die der empfangenen Ressourcen-Kennung in der ersten Auflistung zugeordnet ist, nicht zumindest einer der Anwender-Zulassungseinstufungen entspricht, die dem empfangenen Anwender-Kennungscode in der zweiten Auflistung zugeordnet ist.
  7. System nach einem der vorhergehenden Ansprüche, wobei der Prozessor (111) in einem Netzwerk-Proxyserver (112) enthalten ist.
  8. System nach einem der vorhergehenden Ansprüche, wobei jeder der Anwender-Kennungscodes einen oder mehrere Endgeräte (107, 108, 109) identifiziert, die zur Erleichterung eines Netzwerkzugriffs auf eine oder mehrere bestimmte Netzwerkressourcen geeignet sind.
  9. System nach einem der Ansprüche 1 bis 7, wobei jeder der Anwender-Kennungscodes einen oder mehrere Einzelpersonen identifiziert, die berechtigt sind, auf eine oder mehrere bestimmte Zweckressourcen zuzugreifen.
  10. System nach einem der vorhergehenden Ansprüche, wobei die relationale Datenbank (114, 200, 302) ferner eine Datenauflistung aufweist, die einer oder mehreren aus der Vielzahl von Ressourcen-Kennungen zugeordnet ist, wobei die Datenauflistung Textinformation in bezug auf die Ressourcen-Einstufung darstellt, die in der ersten Auflistung als der einen oder den mehreren aus der Vielzahl von Ressourcen-Kennungen zugeordnet aufgeführt ist.
  11. System nach einem der vorhergehenden Ansprüche, wobei die relationale Datenbank (114, 200, 302) ferner eine bedingte Datenauflistung aufweist, die einer oder mehreren der Ressourcen-Kennungen zugeordnet ist, wobei die bedingte Datenauflistung Information darstellt, die spezifische Bedingungen angibt, unter denen Anfragen nach einem Netzwerkzugriff auf bestimmte Netzwerkressourcen, die der Ressourcen-Kennung zugeordnet sind, ausgeführt werden können, und wobei der Prozessor (111) ferner geeignet ist, die Anfrage nach einem Netzwerkzugriff auf die eine oder mehreren bestimmten Netzwerkressourcen als Funktion der bedingten Datenauflistung auszuführen.
  12. System nach einem der vorhergehenden Ansprüche, wobei die relationale Datenbank (114, 200, 302) ferner eine gespeicherte Auflistung zumindest einer Systemverwalter-Kennung umfaßt und der Prozessor (111) geeignet ist, einen Anwender als Systemverwalter auf der Grundlage der Systemverwalter-Kennungsauflistung zu identifizieren und dadurch zu erlauben, daß der identifizierte Systemverwalter den Inhalt der relationalen Datenbank modifiziert.
  13. System nach Anspruch 12, wobei die relationale Datenbank ferner eine gespeicherte Auflistung umfaßt, die zumindest eine HTML-Seite enthält, die geeignet ist, die Modifikation des Inhalts der relationalen Datenbank durch den identifizierten Systemverwalter zu erleichtern.
  14. Verfahren zum selektiven Einschränken des Zugriffs auf eine oder mehrere im übrigen öffentliche Netzwerkressourcen (101 ... 105), wobei das Verfahren die folgenden Schritte umfaßt: Empfangen einer Anfrage von einem Anwender-Standort (106) nach einem Zugriff auf eine oder mehrere bestimmte Netzwerkressourcen (101105) eines öffentlichen Netzwerks (100), das mit dem Anwenderstandort (106) über eine Firewall (113) verbunden ist, wobei die Anfrage einen Anwender-Kennungscode und eine Ressourcen-Kennung mit einer einheitlichen Ressourcen-Adresse URL aufweist; Vergleichen der empfangenen Anfrage nach einem Zugriff auf eine relationale Datenbank (114, 200, 302), die eine gespeicherte Auflistung (115, 116; 201, 202; 300, 301) von Anwender-Kennungscodes und Ressourcen-Kennungen enthält, wobei jede der Ressourcen-Kennungen zumindest einer Ressourcen-Einstufung zugeordnet ist und wobei jede der Anwender-Kennungscodes zumindest einer der Anwender-Zulassungseinstufungen zugeordnet ist; Ausführen der Anfrage nach einem Zugriff als Funktion der Ressourcen-Einstufung, die in der gespeicherten Auflistung als der empfangenen Ressourcen-Kennung zugeordnet aufgeführt ist, und der Anwender-Zulassungseinstufung, die in der gespeicherten Auflistung als dem empfangenen Anwender-Kennungscode zugeordnet aufgeführt ist.
  15. Verfahren nach Anspruch 14, wobei zumindest eine der einen oder mehreren bestimmten Netzwerkressourcen zumindest ein Bild aufweist.
  16. Verfahren nach Anspruch 14 oder 15, wobei die Ausführung der Anfrage nach einem Zugriff durchgeführt wird, wenn die gespeicherte Auflistung zeigt, daß der empfangene Anwender-Kennungscode zumindest einer Anwender-Zulassung zugeordnet ist, die zumindest einer Ressourcen-Einstufung entspricht, die als der einen oder den mehreren Netzwerkressourcen zugeordnet aufgeführt ist.
  17. Verfahren nach Anspruch 14 oder 15, wobei die Ausführung der Anfrage nach einem Zugriff zurückgewiesen wird, wenn die gespeicherte Auflistung zeigt, daß der empfangene Anwender-Kennungscode nicht zumindest einer Anwender-Zulassung zugeordnet ist, die zumindest einer Ressourcen-Einstufung entspricht, die als der einen oder den mehreren Netzwerkressourcen zugeordnet aufgeführt ist.
  18. Verfahren nach einem der Ansprüche 14 bis 17, wobei jeder der Anwender-Kennungscodes ein oder mehrere Endgeräte (107, 108, 109) identifiziert, die zur Erleichterung eines Netzwerkzugriffs auf eine oder mehrere bestimmte Netzwerkressourcen geeignet sind.
  19. Verfahren nach einem der Ansprüche 14 bis 18, wobei jeder der Anwender-Kennungscodes eine oder mehrere Einzelpersonen identifiziert, die berechtigt sind, auf eine oder mehrere bestimmte Netzwerkressourcen zuzugreifen.
  20. Verfahren nach einem der Ansprüche 14 bis 19, ferner mit den folgenden Schritten: Gewähren von Zugriff für einen Anwender auf eine Datenauflistung in der relationalen Datenbank, wobei die Datenauflistung einer oder mehreren aus der Vielzahl von Ressourcen-Kennungen zugeordnet ist und wobei die Datenauflistung Textinformation in bezug auf die Ressourcen-Einstufung darstellt, die in der gespeicherten Auflistung als der einen oder den mehreren aus der Vielzahl von Ressourcen-Kennungen zugeordnet aufgeführt ist.
  21. Verfahren nach Anspruch 15 bis 20, wobei die relationale Datenbank ferner eine gespeicherte Auflistung zumindest einer Systemverwalter-Kennung umfaßt und das Verfahren ferner den folgenden Schritt umfaßt: Identifizieren eines Anwenders als Systemverwalter auf der Grundlage der Systemverwalter-Kennungsauflistung und dadurch Erlauben, daß der identifizierte Systemverwalter den Inhalt der relationalen Datenbank modifiziert.
DE69634460T 1995-06-06 1996-05-29 Vorrichtung und Verfahren zum Verwalten der Datenbankzugriffe Expired - Fee Related DE69634460T2 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US46927695A 1995-06-06 1995-06-06
US469276 1995-06-06
US519268 1995-08-25
US08/519,268 US5678041A (en) 1995-06-06 1995-08-25 System and method for restricting user access rights on the internet based on rating information stored in a relational database

Publications (2)

Publication Number Publication Date
DE69634460D1 DE69634460D1 (de) 2005-04-21
DE69634460T2 true DE69634460T2 (de) 2006-01-05

Family

ID=27042713

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69634460T Expired - Fee Related DE69634460T2 (de) 1995-06-06 1996-05-29 Vorrichtung und Verfahren zum Verwalten der Datenbankzugriffe

Country Status (5)

Country Link
EP (1) EP0748095B1 (de)
JP (1) JPH0926975A (de)
CN (1) CN1145489A (de)
CA (1) CA2176775C (de)
DE (1) DE69634460T2 (de)

Families Citing this family (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI103164B (fi) * 1996-11-06 1999-04-30 Ericsson Telefon Ab L M Järjestelmä ja menetelmä palvelun käyttöönottamiseksi
US6370571B1 (en) 1997-03-05 2002-04-09 At Home Corporation System and method for delivering high-performance online multimedia services
US7529856B2 (en) 1997-03-05 2009-05-05 At Home Corporation Delivering multimedia services
US5884035A (en) * 1997-03-24 1999-03-16 Pfn, Inc. Dynamic distributed group registry apparatus and method for collaboration and selective sharing of information
US5999973A (en) * 1997-03-28 1999-12-07 Telefonaktiebolaget L M Ericsson (Publ) Use of web technology for subscriber management activities
US5937404A (en) * 1997-04-23 1999-08-10 Appaloosa Interactive Corporation Apparatus for bleaching a de-activated link in a web page of any distinguishing color or feature representing an active link
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
JPH1145285A (ja) * 1997-07-28 1999-02-16 Tatsuno Co Ltd インターネット用の情報受信装置
US6037934A (en) * 1997-11-21 2000-03-14 International Business Machines Corporation Named bookmark sets
JP2996937B2 (ja) * 1997-12-01 2000-01-11 三菱電機株式会社 サーバ
FI105249B (fi) * 1997-12-18 2000-06-30 More Magic Software Mms Oy Menetelmä ja järjestely informaation liittämiseksi verkkoresursseihin
US5999939A (en) 1997-12-21 1999-12-07 Interactive Search, Inc. System and method for displaying and entering interactively modified stream data into a structured form
US6996561B2 (en) 1997-12-21 2006-02-07 Brassring, Llc System and method for interactively entering data into a database
JP3219386B2 (ja) * 1997-12-26 2001-10-15 松下電器産業株式会社 情報フィルタ装置及び情報フィルタ方法
JP3001489B2 (ja) * 1998-01-16 2000-01-24 新潟日本電気ソフトウェア株式会社 Tcp/ip通信網ブラウザ装置
JPH11212849A (ja) * 1998-01-29 1999-08-06 Hitachi Ltd 共有ファイル送受信システム、アクセス権利判定装置
JPH11212881A (ja) * 1998-01-30 1999-08-06 Pfu Ltd 情報受配信システム
JP3250512B2 (ja) * 1998-02-24 2002-01-28 日本電気株式会社 プロキシサーバ
US6065055A (en) * 1998-04-20 2000-05-16 Hughes; Patrick Alan Inappropriate site management software
US6765901B1 (en) * 1998-06-11 2004-07-20 Nvidia Corporation TCP/IP/PPP modem
JP3493141B2 (ja) 1998-06-12 2004-02-03 富士通株式会社 ゲートウェイシステムおよび記録媒体
WO2000013097A1 (fr) * 1998-08-28 2000-03-09 Hitachi, Ltd. Systeme de commande d'acces a l'information
US6219786B1 (en) * 1998-09-09 2001-04-17 Surfcontrol, Inc. Method and system for monitoring and controlling network access
GB2350211A (en) * 1999-01-14 2000-11-22 Paul William Kuczora Internet browser software lock
JP3220104B2 (ja) * 1999-02-16 2001-10-22 ケイディーディーアイ株式会社 Url階層構造を利用した情報自動フィルタリング方法および装置
DE69934871T2 (de) * 1999-03-05 2007-07-05 International Business Machines Corp. Verfahren und System zur optimalen Auswahl eines Webfirewalls in einem TCP/IP Netzwerk
US6476833B1 (en) * 1999-03-30 2002-11-05 Koninklijke Philips Electronics N.V. Method and apparatus for controlling browser functionality in the context of an application
US7409704B1 (en) * 1999-07-15 2008-08-05 Telefonaktiebolaget L M Ericsson (Publ) System and method for local policy enforcement for internet service providers
US6678733B1 (en) 1999-10-26 2004-01-13 At Home Corporation Method and system for authorizing and authenticating users
WO2001035565A2 (en) * 1999-10-26 2001-05-17 At Home Corporation Method and system for authorizing and authenticating users
US6950819B1 (en) * 1999-11-22 2005-09-27 Netscape Communication Corporation Simplified LDAP access control language system
DE20020773U1 (de) * 1999-12-10 2001-04-19 Firstgate Internet Ag Servereinrichtung zum Übertragen elektronischer Datenmengen
AU771963B2 (en) * 2000-01-28 2004-04-08 Websense, Inc. System and method for controlling access to internet sites
US6606659B1 (en) 2000-01-28 2003-08-12 Websense, Inc. System and method for controlling access to internet sites
JP2001222513A (ja) * 2000-02-08 2001-08-17 Nec Corp 情報通信ネットワークシステムにおける接続要求管理装置および方法ならびに接続要求管理処理プログラムを記録した情報通信ネットワークシステムにおける記録媒体
US6785679B1 (en) 2000-03-29 2004-08-31 Brassring, Llc Method and apparatus for sending and tracking resume data sent via URL
JP3605343B2 (ja) * 2000-03-31 2004-12-22 デジタルア−ツ株式会社 インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置
US7136821B1 (en) 2000-04-18 2006-11-14 Neat Group Corporation Method and apparatus for the composition and sale of travel-oriented packages
US20010050088A1 (en) * 2000-06-09 2001-12-13 Gary Leeds Method for prevention/rehabilitation customization
WO2001098947A1 (en) * 2000-06-16 2001-12-27 N2H2, Inc. Method and system for filtering content available through a distributed computing network
EP2343892A1 (de) * 2000-06-21 2011-07-13 Touchtunes Music Corporation Vorrichtung und Verfahren zur Fernverwaltung eines Netzwerks von Wiedergabesystemen für audiovisuelle Informationen
US6985963B1 (en) 2000-08-23 2006-01-10 At Home Corporation Sharing IP network resources
JP2002073548A (ja) * 2000-09-05 2002-03-12 Maspro Denkoh Corp データアクセス制限装置
KR100373627B1 (ko) * 2000-10-26 2003-02-26 주식회사 인프라넷 인터넷을 포함하는 지역정보망 서비스 시스템의 구축방법
US20020133603A1 (en) * 2001-03-13 2002-09-19 Fujitsu Limited Method of and apparatus for filtering access, and computer product
WO2002084979A1 (en) * 2001-04-12 2002-10-24 Ecet International Limited A communications services controller
US7325193B2 (en) * 2001-06-01 2008-01-29 International Business Machines Corporation Automated management of internet and/or web site content
CN101571879B (zh) * 2001-06-28 2012-07-18 甲骨文国际公司 在不同数据库服务器之间划分一个数据库所有权以控制访问数据库
CN101714152B (zh) * 2001-06-28 2013-06-26 甲骨文国际公司 在不同数据库服务器之间划分一个数据库所有权以控制访问数据库
US6947985B2 (en) 2001-12-05 2005-09-20 Websense, Inc. Filtering techniques for managing access to internet sites or other software applications
US7194464B2 (en) 2001-12-07 2007-03-20 Websense, Inc. System and method for adapting an internet filter
GB2383438B (en) * 2001-12-20 2005-07-20 Inventec Corp Authorization method and system for storing and retrieving data
US7152066B2 (en) 2002-02-07 2006-12-19 Seiko Epson Corporation Internet based system for creating presentations
CN100334586C (zh) * 2003-03-05 2007-08-29 珠海金山软件股份有限公司 针对团体入住的酒店管理系统
CN100433750C (zh) * 2003-03-06 2008-11-12 华为技术有限公司 一种基于用户帐号的网络访问控制方法
US7529754B2 (en) 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US7185015B2 (en) 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
CN100429622C (zh) * 2003-08-01 2008-10-29 甲骨文国际公司 数据管理方法
US7421498B2 (en) * 2003-08-25 2008-09-02 Microsoft Corporation Method and system for URL based filtering of electronic communications and web pages
CN100386990C (zh) * 2004-02-07 2008-05-07 华为技术有限公司 一种智能网灵活权限管理的实现方法
GB2416879B (en) 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418999A (en) 2004-09-09 2006-04-12 Surfcontrol Plc Categorizing uniform resource locators
GB2418108B (en) 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
US9697373B2 (en) * 2004-11-05 2017-07-04 International Business Machines Corporation Facilitating ownership of access control lists by users or groups
US8311663B2 (en) * 2005-08-31 2012-11-13 International Business Machines Corporation Apparatus and method to store information
CN100433853C (zh) * 2006-01-24 2008-11-12 华为技术有限公司 一种远程查询信息的方法及通信终端
EP1861989B1 (de) * 2006-03-08 2019-08-07 Gigaset Communications GmbH Verfahren und konfigurations-/softwareaktualisierungsserver zum übertragen von daten zwischen einem kundengerät und dem server
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US8615800B2 (en) 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
GB2445764A (en) 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US8015174B2 (en) 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
JP2008250597A (ja) * 2007-03-30 2008-10-16 Kddi Corp コンピュータシステム
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
JP4978535B2 (ja) * 2008-03-28 2012-07-18 富士通株式会社 仮想共同体管理システム、仮想共同体管理方法、およびコンピュータプログラム
CN102077201A (zh) 2008-06-30 2011-05-25 网圣公司 用于网页的动态及实时归类的系统及方法
CN101448002B (zh) * 2008-12-12 2011-12-14 北京大学 一种数字资源的访问方法及设备
US9130972B2 (en) 2009-05-26 2015-09-08 Websense, Inc. Systems and methods for efficient detection of fingerprinted data and information
US9117054B2 (en) 2012-12-21 2015-08-25 Websense, Inc. Method and aparatus for presence based resource management

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04326226A (ja) * 1991-04-25 1992-11-16 Ricoh Co Ltd Isdnとlanの接続方式

Also Published As

Publication number Publication date
CA2176775A1 (en) 1996-12-07
EP0748095A3 (de) 1998-10-28
EP0748095B1 (de) 2005-03-16
CN1145489A (zh) 1997-03-19
CA2176775C (en) 1999-08-03
DE69634460D1 (de) 2005-04-21
EP0748095A2 (de) 1996-12-11
JPH0926975A (ja) 1997-01-28
MX9602098A (es) 1997-09-30

Similar Documents

Publication Publication Date Title
DE69634460T2 (de) Vorrichtung und Verfahren zum Verwalten der Datenbankzugriffe
US5678041A (en) System and method for restricting user access rights on the internet based on rating information stored in a relational database
DE60110771T2 (de) Internet-browsing-steuerverfahren
US5696898A (en) System and method for database access control
DE69921455T2 (de) System und verfahren zur zugriffssteuerung auf gespeicherte dokumente
DE69818008T2 (de) Datenzugriffssteuerung
DE69915441T2 (de) System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE60130377T2 (de) Verfahren zur steuerung des zugriffs auf digitalen inhalt und streaming-medien
DE69736697T2 (de) Verfahren und Gerät zur Steuerung von Zugriff auf Systembetriebsmittel
DE112010003464B4 (de) Modifikation von Zugangskontrolllisten
EP1628184A1 (de) Verfahren und Computersystem zur Durchführung eines netzwerkgestützten Geschäftsprozesses
EP1178409A1 (de) Cookiemanager zur Kontrolle des Cookietransfers in Internet-Client-Server Computersystem
DE202011110893U1 (de) Verwaltung mehrfacher Anmeldungen über einen Einzelbrowser
DE112010002089T5 (de) Verfahren zur Infomationsauswahl im Internet
DE102011077512A1 (de) Verfahren zur sicheren Verarbeitung von in einem elektronischen Safe gespeicherten Daten
EP1299817A2 (de) Informationsdienstsystem
DE10118064A1 (de) Erweiterung Browser-Bezogener Internetseiteninhaltskennzeichen und Kennwortüberprüfung auf Kommunikationsprotokolle
DE10048113C2 (de) Vorrichtungen und Verfahren zum individuellen Filtern von über ein Netzwerk übertragener Informationen
EP1316008B1 (de) Datennetz-zugriffskontrolle
DE10118713A1 (de) Online-Erfindungsmeldesystem mit Recherchenfunktion
EP1632830A1 (de) Verfahren und Computersystem zur Durchführung eines netzwerkgestützten Geschäftsprozesses
DE10200550B4 (de) Verfahren zur intuitiven Identifizierung und Nutzung von mobilen Telekommunikationsdiensten aus einem breiten Diensteportfolio über mobile Telekommunikationsendgeräte
MXPA96002098A (en) System and method for the administration of access to a base of da

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee