リソースアクセスフィルタリングシステム及び方法
リモートサイトフィルタリング兼モニタリングシステム及び方法について記載され、このシステム及び方法では、リモートデバイス(32)によるインターネットアクセスがリモートサーバ(33)によってリアルタイムでモニタリングされ、そして制御される。当該システムはまた、オフラインアクセスログ記録及びそれに続くアップロードを可能にし、フィルタリング感度の調整を可能にし、更に特定のHTTPポートフィルタリングを可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の分野は概してフィルタリングシステムに関し、特にコンピュータ援用リソースアクセスフィルタリングシステム及び方法に関する。
【背景技術】
【0002】
コンテンツまたはe−mailをフィルタリングするシステム及びソフトウェアは良く知られている。例えば、公知のファイアウォールやプロキシサーバはこれらの機能の内の幾つかを実行して、企業イントラネットのような内部コンピュータネットワークをハッカー、有害ウィルス、及びワームから保護する。ファイアウォール/プロキシサーバによる権限のない不正インターネットアクセスのフィルタリングを可能にする公知のシステム、またはユーザがこれらの不所望のe−mailメッセージを受信することがないようにする公知のシステムも存在する。通常、これらのシステムは企業ネットワークのゲートウェイとして機能するサーバと連動して動作する。サーバは通常、着信及び発信トラフィックに対するサーバによるフィルタリング動作の実行を可能にする幾つかの機能(ソフトウェアまたはハードウェアとして)を有する。
【発明の開示】
【発明が解決しようとする課題】
【0003】
リモートワーキングは多くの分野に渡って、かつ多くの産業において更に広まってきている。リモートコンピューティングデバイスは企業ネットワークまたはLANから遠く離れた場所で使用される。或るシステムでは、リモートデバイスはデバイス固有のフィルタリングを実行することができるが、企業全体の利用ポリシー(AUP)を強制するのは更に難しく、かつデバイスは、デバイス固有のリソースアクセスをフィルタリングするために更に大きな処理能力を必要とする。通常、リモートデバイスのユーザは、e−mailメッセージのようなコンピュータネットワークのリソース、FTPまたはWWWサイトの種々の異なるファイル、ニュースグループの投稿などにアクセスすることができる。従って、コンピュータネットワークのリソースへのアクセスを要求するリモートデバイスからのリクエストをフィルタリングするシステムを実現することが望ましい。従って、これらの目的を実現するフィルタリングシステム及び方法を提供することが望ましく、そしてこの目的を達成するために本発明が考案されている。
【課題を解決するための手段】
【0004】
本発明によれば、添付の請求項に示される装置及び方法が提供される。本発明の好適な特徴は、従属請求項及び以下の記述により明らかになる。
リモートデバイスによるリソースアクセスに対するモニタリング及びフィルタリングを可能にするフィルタリングシステム及び方法が提供される。好適なシステムによって、会社は会社の企業利用ポリシーをオフィスの壁を超えて拡張することができる。詳細には、システムによって企業は、遠く離れた国際間異動要員、及び自宅で仕事をしている従業員が使用するようなリモートデバイスによってアクセスされるリソースを管理することができる。本発明は、システムのコンピュータ及びクライアントも提供する。
【0005】
好適な実施形態では、システムは、コンピュータと通信するリモートデバイスに実装されるクライアントを備える。リモートデバイスはコンピュータと遠く離れた位置から通信する、例えば同じローカルネットワークの一部分ではない。通常、リモートデバイスは、インターネットのようなグローバルネットワークまたはワイドエリアネットワークを介して通信する。サーバコンピュータはリモートデバイスによるリソースアクセスリクエストをモニタリングし、そしてフィルタリングする。クライアントは、デバイスによるリソー
スへのアクセスを要求するリクエストに関する情報を収集するモジュールと、そして収集情報をコンピュータに送信するモジュールと、を有する。コンピュータは、デバイスによるリソースアクセスを収集情報に基づいて分類するモジュールと、そしてリアルタイムでリソースアクセス決定をクライアントに送信するモジュールと、を有する。従って、クライアントはデバイスによるリソースへのアクセスを、コンピュータによるリソースアクセス決定に基づいて制御する。
【0006】
特に好適な実施形態では、リソースアクセス決定は「許可(allow)」決定または「阻止(block)」決定の内のいずれか一方である。すなわち、決定によって、デバイスによるリクエスト対象リソースへのアクセスが可能になる、またはデバイスによるアクセスが阻止(blocked)される。有利なことに、クライアントは最小限の処理能力及び記憶容量しか必要とせず、かつフィルタリングシステムをサポートするデバイスの数及びタイプは増やすことができる。
【0007】
クライアントデバイスがコンピュータとの接続を行なうことができない場合がある。フィルタリングシステムのサーバとのデバイスによる接続が遮断される場合、オフライン機能によってクライアントはデバイスによるリソースアクセスを所定のポリシーに従ってフィルタリングし続けることができる。理想的には、所定のポリシーはサーバで集中管理され、そしてサーバはオフラインフィルタリング機能の或るモードを設定する。一のモードでは、クライアントは全てのアクセスリクエストを許可し、そしてこれらのリソースアクセスのログを生成することができる。一旦、クライアントがサーバとの接続を再確立すると、ログをサーバに戻す形で送信することができる。
【0008】
多くのデバイスが局所的に、かつ遠く離れた位置で使用される。すなわち、或るデバイスは、ユーザが企業のオフィスに居る場合のように、ローカルネットワークの内部において時々局所的に使用される。また或る時には、同じデバイスが、ユーザが旅行している、または自宅で仕事をしている場合のように、遠く離れた位置で使用される。
【0009】
リソースアクセスリクエストをこれらの2つの環境においてフィルタリングする処理を効率的に管理する必要がある。好適な実施形態では、システムは、リクエスト対象リソースが企業ネットワークを介して送信されようとしているかどうかについて検出し、そして企業ネットワークを介して送信されようとしているリクエスト対象リソースに関するフィルタリングを無効にするモジュールを含む。
【0010】
好適な未フィルタリングポートのフィルタリング機能によって、システムは、フィルタリング済みポートとして特別な形で特定されるということがないTCPポートに関するフィルタリング方法を指定することができるので、未フィルタリングポートでも或る方法によってフィルタリングすることができる。
【0011】
また、好適なシステムによってアドミニストレータは各クライアントに関するフィルタリング感度レベルを、高感度レベル、中感度レベル、低感度レベル、または自動感度レベルに調整することができる。フィルタリング感度レベルは、例えば携帯電話機に関するGPRS接続のような低速インターネット接続を行なうデバイスに関して調整することができる。
【0012】
システムはモニタリング機能を提供することができ、このモニタリング機能によってシステムは、サーバに接続される各デバイスによる、またはデバイス群の全てによるリソースアクセスに関するレポートを生成することができる。
【0013】
好適なシステムは会社の法的責任を軽減することができる、というのは、例えば会社は
不適切なウェブサイトへの仕事時間中のアクセスを制御する機能を高めることができるからである。システムは従業員の生産性を高めることができる、というのは、仕事時間中のインターネットアクセスを全て、仕事関連ウェブサイトに制限することができるからである。システムはまた、システムが、仕事場に外部モデムまたはインターネットサービスプロバイダを使用する従業員を介して侵入することができるウィルスまたは有害コンテンツが仕事場に侵入することがないように、仕事場をこれらのウィルスまたは有害コンテンツから保護する機能を備えるということから、ネットワークセキュリティを実現すると言える。
【発明を実施するための最良の形態】
【0014】
本発明は、クライアント/サーバを使用するコンピュータ援用ソフトウェアデバイスリソースアクセスフィルタリング兼モニタリングシステムに特に適用することができ、そしてこの適用形態に関連する形で、本発明について説明することとする。しかしながら、本発明によるシステム及び方法は更に広い利用可能性を有することを理解されたい、というのは、システムは種々の異なるコンピュータアーキテクチャを使用して実現することができ、かつ種々の異なるリモートデバイスを用いて実現することができるからである。システムはいずれのコンピューティングデバイスを使用して実現することもでき、この場合、コンピューティングデバイスは、十分大きい計算能力を有する少なくともプロセッサと、メモリと、そして入力/出力デバイスと、を備えるのでコンピューティングデバイスはシステムと相互作用することができ、かつここに記載する基本的なフィルタリング機能を実行することができるが、これは各クライアントが以下に記載する機能の全てを実行する機能を必ず持つという訳ではないからである。システムはソフトウェアまたはハードウェアとして実現することができる。ソフトウェア形態では、システムは一つ以上のソフトウェアモジュールをサーバの中に、そして一つ以上のモジュールをクライアントの中に備えることができ、この場合、各モジュールは更に、複数行のコンピュータコードを含むことができ、これらのコンピュータコードはサーバまたはクライアントのプロセッサが実行する。次に、リモートデバイスモニタリングシステムの一の実施形態について説明する。
【0015】
図1は、本発明によるデバイスリソースアクセスフィルタリングシステム30の例を示す図である。システム30は、本実施形態におけるインターネット、ワイドエリアネットワーク(WAN)、ローカルエリアネットワーク(LAN)、メトロポリタンエリアネットワーク(MAN)、またはワールドワイドウェブのようなコンピュータネットワーク36を介して、本実施形態におけるサーバソフトウェア34を有するコンピュータのようなリモートコンピュータデバイス33との接続を行なうデバイス32(クライアント48として認識されるソフトウェアコードの一部分を有する)に対するモニタリングを可能にし、かつサイト38上のリソースに対するデバイスによるアクセスに対するフィルタリングを可能にする。サイト38はデバイス32のユーザがリクエストするリソースのソースである。更に詳細には、サーバ34はデバイスによるリソースへのアクセスを遠く離れた位置からフィルタリングする(制御する、そして/または解析する)機能を備える。本発明によれば、遠く離れた位置からのデバイス32に対するこのモニタリングを可能にする機能は、デバイス32及びサーバ34が分担して行なう。これにより、デバイス32とサーバ34との間のネットワークトラフィックが減り、そしてe−mail、ウェブページ、ファイル転送プロトコル(FTP)サイト、ニュースグループなどを含む種々のリソースへのアクセスに対する集中制御及びモニタリングが可能になる。本発明によれば、サーバ34はリソースに対して行なわれようとするアクセスに関連するデータも受信し、これにより、サイト38に対するアクセスリクエストに関連するアドレスからコンテンツを受信し、データをダウンロードするなどの行為をデバイスに対して許可するかどうかを判断する。デバイス及びサーバは互いに、専用プロトコルに基づく特定のプロトコルを使用して通信することができる。システムはコンピュータネットワークアクセスのリアルタイムフィルタリングを可能にするので、好適な実施形態におけるサーバ34のようなリモートコ
ンピュータ33を利用してフィルタリング決定を行ない、そして/または調整することができる。
【0016】
クライアント48は種々のリモートネットワーク(このネットワークを介して企業が制御を行なうという必要がほとんどない、または制御を行なうという必要が全くない)に対して作用し、かつリモートネットワークにおいて動作すると考えられるので、クライアント48がこれらのリモートネットワークを通して動作することができるようにシステムのプロトコルをこれらのリモートネットワークに対応させることができる。例えば、プロトコルをファイアウォール及びプロキシに対応させる。プロトコルは、異なるデータフォーマット及び機能を備える種々の異なるデバイスを処理し、そして受け入れるので、プロトコルは、異なるデバイスのストリング及び番号の標準データフォーマットを提供する。プロトコルはまた、規模が小さい、というのは、サーバが非常に多くのクライアントを限られた帯域を利用して処理する必要があり、かつクライアントがサーバとの低速インターネット接続を使用する必要があるからである。本発明の好適な実施形態によれば、プロトコルは、多種多様なネットワークとの互換性を高めるために、HTTPエンベロープを使用するハイパーテキスト転送プロトコル(HTTP)オーバーTCPポート80を利用する。インターネットへのアクセスを許可するこれらのネットワークでは、最も基本的なアクセスはウェブアクセスであり、このウェブアクセスでは、接続リクエストをポート80を通して送信してポート80をこのプロトコルが普通に利用することができ、かつ使用するようにする。或るネットワークは、インターネットウェブアクセスを、プロキシサーバを通してのみ許可し、プロキシサーバはHTTP形式のリクエストを受け取り、そしてHTTPプロトコルをこのシステムが使用するように応答する。更に、或るファイアウォールはインターネットアクセスを分析し、そしてポート80をHTTP以外のプロトコルが使用している場合に警告を発してシステムのプロトコルがHTTPを使用するようにすることができる。
【0017】
本発明によれば、HTTPプロトコルはシステムによって、クライアント48によるリクエストだけでなく、サーバ34からクライアントに戻される応答に対して使用される。HTTPの場合と同様に、クライアント48だけが通信を促進することができ、かつクライアントはこの動作を、公知のHTTPポストを使用してどの動作をクライアントがリクエストしているかについて、全てのパラメータデータと一緒に特定することにより行なう。このリクエストのフォーマットの例を次に示す。
【0018】
【表1】
【0019】
サーバからクライアントへの応答が行なわれる場合、プロトコルはここでも同じように、HTTPプロトコルのように振る舞うので、我々が返信として受け取るデータがウェブページとなって現われる。この応答のフォーマットの例を次に示す。
【0020】
【表2】
【0021】
プロトコルに関するオペレーションコード([Operation_Code]が上のリクエストフォーマットの例において可変であることを参照されたい)は、システムプロトコルを使用してリクエストすることができる種々のオペレーションを指定する。[Encoded Data]は収集情報をクライアント48からサーバ34に提供し、そしてリソースアクセス決定をサーバ34からリモートデバイス32のクライアント48に返す。
【0022】
図1に戻ってこの図を参照すると、デバイス32はいずれかのコンピューティングデバイスとすることができることが分かり、このコンピューティングデバイスは、以下に指定されるフィルタリング機能を実行するために十分なコンピューティングリソースを保有するので、デバイス32は少なくともプロセッサ、或るメモリ、及びコンピュータネットワークのリソースにアクセスする或る機構を備えるだけでよい。例えば、デバイス32は携帯電話機、携帯情報端末、パーソナルコンピュータ、ラップトップコンピュータ、パームトップコンピュータ、またはコンピュータネットワークアクセスなどを行なうために十分なコンピューティングリソースを保有する家電製品とすることができる。従って、デバイスは無線機器、携帯電話機器、無線e−mailデバイス、無線携帯端末機器を含むことができ、これらの機器として、Palm(パーム)デバイス、Treoデバイス、RIM
Blackberryデバイス、有線接続パーソナルコンピュータ、有線接続ラップトップコンピュータ、または無線接続コンピューティング機器を挙げることができる。本発明によれば、システムは種々のフィルタリング機能を実行することができ、そして各デバイスは、必ずここに記載するフィルタリンク機能の全てをサポートする機能を備える必要があるという訳ではない。例えば、携帯電話機は“Allow and Log”のオフラインモードに必要な一連の暗号化URLを保存するために十分な記憶容量を持たない。従って、システムに対して、フィルタリングを行なおうとしている各デバイスのフィルタリング機能に関して警告を発することが望ましい。本発明によれば、機能マスク(capability mask)をこの目的に使用することができる。詳細には、デバイス32がシステムにログインすると、当該デバイスはデバイスに関する機能マスクをサーバに送信して、サーバにデバイスが特定デバイス及び当該デバイスの特性に基づいて提供することができる、そして/または提供することができない機能を通知することができる。
【0023】
サイト38はコンピュータネットワークを通してのアクセス先となり得る全てのリソースを保存することができ、リソースとして、e−mail、ダウンロード対象データ(PDFファイル、テキストファイル、ワード文書、HTMLファイル、zipファイルなど)、FTPサイト、またはTELNETサーバを挙げることができる。クライアント/サーバアーキテクチャを例示のために示しているが、本発明は、システムのいずれの特定のアーキテクチャ(及びシステム内のコンピュータ群の関係)にも制限されることがない。例えば、システムはピアツーピアアーキテクチャを使用して実現することができ、ピアツーピアアーキテクチャでは、リモートコンピュータ34の機能が分散配置される。更に、本発明はいずれの特定タイプのリソースにも制限されない、というのは、システムはいず
れのタイプのリソース、またはいずれの新規のリソース、或いはいずれの新規タイプのリソースも処理するように構成することができるからである。
【0024】
図2は、図1に示すシステム30の例の更なる詳細を示す図である。この例では、デバイス32はパーソナルコンピュータとすることができ、パーソナルコンピュータはサイト38(図1参照)のリソースにアクセスする機能を備え、かつ本例では通常のサーバコンピュータであるコンピュータ34によってモニタリングされている。デバイスは一つ以上のプロセッサ40と、固定記憶装置42と、そしてメモリ44と、を含み、これらのデバイス構成要素は互いに公知の方法により接続される。固定記憶装置は、例えばフラッシュメモリのような不揮発性メモリ、ハードディスクドライブ、書き込み可能な光ドライブ、取り外し可能なメディアドライブ、またはデバイス32の電源がオフになっている間のデータ及び命令の保存を可能にする別の記憶機構を含むことができる。メモリ44は、例えばSRAM,DRAM,またはデバイスの電源がオンになっている間にプロセッサ(群)40が実行しているデータ及び命令を一時的に保存する別の構造とすることができる。デバイス32は更に、サイト38及びサーバ34にアクセスする、有線接続手段(例えば、ケーブルモデム及びケーブルのような)、または無線接続手段(802.11リンク、セルラーリンク、またはGPRSリンクのような)のような或る機構(図示せず)を含むことができる。デバイス32は更にオペレーティングシステム46を含むことができ、オペレーティングシステムはメモリ44に、デバイスが動作している間は格納されており、そして公知のようにプロセッサ(群)40によって実行される。本発明は特定タイプのオペレーティングシステムに制限されず、かつ種々の異なるオペレーティングシステムを用いて実施することができる。本発明によるフィルタリング兼モニタリングシステムを実現するために、デバイス32は更にクライアント48(本例では、複数行のコンピュータ命令及びデータを含むソフトウェアアプリケーション/ソフトウェアモジュールとして示される)を含むことができ、このクライアントをメモリ44に入れ、そしてプロセッサ(群)40が実行して、以下に更に詳細に説明するように、フィルタリングシステムのクライアント機能を実行する。本発明の好適な実施形態では、クライアントは更に一つ以上のソフトウェアモジュールを含み、これらのソフトウェアモジュールは複数行のコンピュータコードを有し、この場合、各モジュールはフィルタリングシステムの異なる機能を実行し、そしてこれらのモジュールの組み合わせがクライアント機能を実行する。クライアント48は、デバイス32に差し込むプラグインメディアカードのようなハードウェア/ソフトウェア混載デバイスとして、またはクライアントをASICに内蔵する構成のASICのようなハードウェアデバイスとして用いることもできる。デバイス32のユーザが、図1に示すサイト38のリソースのようなリモートリソースにアクセスしようと試みる場合、本発明の一の実施形態においては、クライアント48はアクセスをインターセプトし、そしてアクセスに関するデータを収集し、次にこのデータがサーバ34に転送される。本発明の別の実施形態においては、クライアント48はリソースアクセスに関するデータを収集することもでき、次にアクセスリクエスト自体に関する決定を行なうことができる。各ユーザ(及び/又は各デバイス)に関するアクセスレベルは特定ユーザに関してカスタマイズすることができる。
【0025】
サーバ34は更に、一つ以上のプロセッサ(群)50と、固定記憶装置52と、そしてメモリ54と、を含むことができ、これらのサーバ構成要素は公知の方法により相互接続される。サーバは更にデータベース56を含むことができ、データベースは、本発明によるフィルタリングシステムに関連するデータ及びソフトウェアコードを保存する。サーバは更に、本発明の一の実施形態においては、公知のオペレーティングシステム58と、本例においてメモリ54に格納されるソフトウェアの一部分として示されるフィルタリング/カテゴリー化モジュール60と、を含むことができ、このモジュール60はリソースアクセスリクエストを処理し、そしてデバイス32がサイト38のリソースにアクセスすることができるかどうかについて決定する。モジュール60(一つ以上のソフトウェアモジ
ュールを含むことが好ましい)はフィルタリングシステムに関連する管理機能を含む、フィルタリングシステムの異なる機能を実行し、そしてデータベース56と相互作用して、フィルタリングアクティビティに関連するデータをリクエストし、そしてデータベースに保存する。
【0026】
各デバイス32を固有に識別するために、各デバイスには固有識別子が割り当てられ、この識別子はコンフィグレーションリクエスト及びフィルタリングリクエストを特定デバイスに関連付け、かつ特定デバイスに関するフィルタリングログのデータベースへの格納を可能にする。更に、固有識別子を各デバイス32によるサーバへの初期ログインと組み合わせることにより、サーバ34がフィルタリング決定を行なっている場合に、各リソースアクセスリクエストが行なわれている間の、デバイス32とコンピュータ34との間で送信されているデータの量を減らす。本発明の本実施形態では、フィルタリングシステムは、デバイスによるリモートリソースへのアクセスに対するリアルタイムのフィルタリングを可能にし、この場合、サーバを使用してフィルタリング決定を行なう。すなわち、サーバはシステムにおける処理及び記憶作業のほとんどの部分を行なうので、クライアントではほとんど処理及び記憶作業を行なう必要がない。本発明の別の実施形態では、デバイスはデバイス自体のフィルタリング決定を行なうことができる。詳細には、サーバをデバイスが利用することができない場合、クライアントはサーバが指定するオフラインモードで動作する、例えばクライアントがアクセスのログを記録し、次に接続が復旧したときにログをサーバにアップロードする。
【0027】
図3は、デバイスリソースアクセスフィルタリング兼モニタリングシステムのクライアント/サーバ形態の更なる詳細を示し、デバイス32及びサーバ34の更なる詳細を示している。この例では、デバイス32は、通常のパーソナルコンピュータに使用することができる一つ以上の通常のソフトウェアアプリケーションを含むことができ、これらのソフトウェアアプリケーションとして、ウェブブラウザ70、AOLブラウザ72、Outlook Express74,Outlook76,FTPクライアント(図示せず)、Gopherクライアント(図示せず)、及び/又はニュースリーダ78を挙げることができる。これらの通常のソフトウェアアプリケーションのいずれかを使用してリモートリソースへのアクセスを試みる場合、リモートリソースアクセスに関する情報をクライアント48がインターセプトして、当該情報をサーバ34に送信して特定リソースへのアクセスを特定デバイスに対して許可すべきかどうかについての判断を行なうことができる。一の実施形態では、サーバ34の側では、サーバは更にマイクロソフトのインターネット情報サーバ(IIS)80を含み、このサーバはデータをデバイス32のクライアント48から受信する。本発明はIISの使用に制限されず、他の方法により実施することができる。次に、IISサーバ80は当該情報をIISプラグイン82に転送し、このプラグインはデータをカテゴリー化エンジン84に転送する。IISプラグイン82は、デバイス32に接続される特定クライアントを、クライアントデータベース56a(好適な実施形態における図2に示すデータベース56の一部分、または別のデータベース)を使用して求めることができ、この場合、クライアントデータベースは管理モジュール86を使用して維持することができる。管理モジュールは、例えば全ての被モニタリングクライアントのリストを含むことができ、これらの被モニタリングクライアントはリモートデバイスに各クライアントに関する設定と一緒に実装され、これらの設定は図7を参照しながら更に詳細に説明するように、クライアントデータベース56aに保存することができる。
【0028】
IISプラグイン82は更に、オフラインフィルタリングモジュール、及び未フィルタリングポートモジュール、及び/又はフィルタリング感度モジュールを含むことができる。従って、サーバ34は、特定クライアントに関するオフラインフィルタリングモード、未フィルタリングポートモード、及びフィルタリング感度設定をクライアントに送信することができ、次にクライアントはオフラインフィルタリングレベル、未フィルタリングポ
ートフィルタリングレベル、及びフィルタリング感度レベルを設定する。クライアントはオフラインフィルタリングモジュール、未フィルタリングポートモジュール、及びフィルタリング感度モジュールを含むことができ、この場合、各モジュールはクライアントの該当する機能を実行し、そして各モジュールは複数行のコンピュータコードとして実行することができ、これらのコンピュータコードはクライアントの実装先となるデバイスのプロセッサが実行する。
【0029】
カテゴリー化エンジン84はカテゴリールールをルールデータベース56b(好適な実施形態における図2のデータベース56の一部分、または別のデータベース)から取り出し、このルールデータベースはルール管理モジュール88によって維持される。ルール管理モジュール88を使用して、図8を参照しながら以下に更に詳細に説明する新規ルールを作成することもできる。カテゴリー化エンジンは当該エンジンの結果をモニターデータベース56c(好適な実施形態における図2のデータベース56の一部分、または別のデータベース)に保存することができ、モニターデータベースはモニターモジュール90によって維持される。モニターモジュール90は、例えば各クライアント、またはクライアント群の全てのウェブサーフィン習慣に関する情報を収集し、そして表示することができる。モニターモジュール90はリアルタイムモニターモジュール(図示せず)を含むこともでき、このリアルタイムモニターモジュールによって、モニタリングシステムのユーザは、接続がリクエストされるときのデバイス群のリモートユーザに関するインターネット接続を提示することができる。本発明によれば、カテゴリー化エンジンは特定の情報リクエストをデータの一つ以上の部分に基づいて分類することができる。情報リクエストは主として、デバイスがアクセスすることになるサイトアドレスに基づいて分類することができる。カテゴリー化エンジンはまた、1)デバイスのホストネームまたはサーバ側での設定が可能な別のネーム(デバイスがホストネームを持たない場合);及び/又はデバイスの現ユーザネームまたはサーバ側での設定が可能な別のネーム(ユーザネームを持たないデバイス群に関する)を使用することができる。従って、カテゴリー化基準(従って、アクセス可能なリソース)は特定のデバイス/ユーザに関して設定することができる。例えば、アクセスレベルは、会社内での従業員の年功または地位によって変えることができる。管理モジュール(図示せず)はスケジューラを含むことができ、スケジューラによってユーザは、データベース更新、データベースメンテナンス作業などのような、サーバに自動的に生じるイベントを設定することができる。管理モジュールによって更に、ユーザはサイトを分類/再分類することができる。仮想制御エージェント(図示せず)は設けるかどうかが任意のモジュールであり、このモジュールは人工知能を使用して、ユーザがアクセスしたサイト群であって、当該時点でカテゴリーを持っていなかったサイト群を自動的に訪問し、そして分類する。管理モジュールはウェブレポートモジュールも有し、これによりシステムはクライアントデータ及びサーフィン習慣に関するレポートを生成することができる。リモートコンピュータ34の種々のモジュールはそれぞれ、本明細書に記載する機能を実行する複数行のコードを持つソフトウェアの一部分とすることができる。
【0030】
図4は、本発明のデバイスクライアント/サーバ形態のサーバ部分34の更なる詳細を示す図であり、そして図5は、本発明のデバイスクライアント/サーバ形態のデバイス部分32の更なる詳細を示す図である。図4に示すように、サーバ34の実施形態は、SQLデータベースを使用してシステム及びウェブフィルタルールエンジンサービスに関するデータを保存するものとして示される。本発明によるフィルタリングルールの例、及びルールがどのようにして作成されるかについて、図8を参照しながら以下に更に詳細に説明する。図5に示すように、デバイスのクライアント48は更にユーザインターフェース部分100と、クライアント通信層102と、ネットワークインターセプター層104と、そして記憶媒体106と、を含み、記憶媒体は以下に説明するように、特定クライアント48に関するコンフィグレーションだけでなく、全てのログファイルを保存する。好適な実施形態では、これらの部分及び層の各々は、デバイスのプロセッサが実行しているソフ
トウェアの一部分である。ユーザインターフェース部分100は、モニタリングシステムの内、ユーザに対して表示されるユーザインターフェースであり、そしてコンフィグレーションユーザインターフェーススクリーンを含むことができる。ネットワークインターセプター層104はデータを外部サイトに対するリソースアクセスリクエストから収集することができ、クライアント通信層102は当該データをフォーマットして、サーバ34に送信するフォーマットとすることができ、そしてサーバのリソースアクセス決定を受信することができ、更に当該決定を実行する。
【0031】
本発明によるシステムが正常に動作している間、デバイスはAmazon.comのようなリモートサイトのリソースに対するリソースアクセスリクエストを開始することができ、そしてクライアント48はサイトアドレスのような、当該リクエストに関連するデータを捕捉する。クライアントはデバイス識別子及び他のデバイスデータを収集し、次にリソースアクセスリクエストデータをサーバ34に転送することもできる。次にサーバは、リソースアクセスリクエストデータに基づいて、カテゴリー化/フィルタリング決定を行なって、リソースアクセス決定情報を生成し、次にリソースアクセス決定情報をクライアント48に返して、クライアントが適切なアクションを起こすことができるようにする。従って、リモートサーバはデバイス32によるリソースアクセスリクエストをリアルタイムでモニタリングし、そしてフィルタリングすることができる。しかしながら、サーバ34をデバイスが利用することができない(何らかの理由により)場合、デバイスはオフラインフィルタリングを実行することができ、この場合デバイス32は、デバイス自体でモニタリング及びフィルタリングを行なう役割を担う。デバイス(従ってクライアント)がサーバとの接続を行なうことができない場合、デバイスはクライアントがインターネットに接続されている間に継続的に、例えば5分ごとに再接続を試みることになる。
【0032】
オフラインフィルタリングの間、デバイス/クライアントは異なる動作モードで動作することができ、いずれの動作モードで動作するかは、サーバが特定のクライアントに対して行なうコンフィグレーションによって変わる。例えば、クライアント48は全てのインターネットアクセスを許可することができるが、各リソースアクセスリクエストをローカルログファイル(“Log & Allow”モード)にログとして記録し、このログファイルは後の時点でサーバにアップロードすることができる。別の構成として、クライアントは全てのインターネットアクセスを阻止することができる(“Block All”モード)、または全てのインターネットアクセスをログとして記録せずに許可することができる(“Allow All”モード)。本発明によれば、クライアントに記録されるオフラインログは、上に説明したメモリ装置または固定記憶装置のようなデバイスのローカルストレージに保存することができる。ログが後の時点でサーバにアップロードされる場合、ログファイルはデバイスから消去することができる。好適な実施形態では、ログファイルは暗号化することができる。ログファイルは更に、クライアントに対する無許可改ざんを検出する幾つかの基本モニタリング機能を含むことができる。本発明によれば、オフラインログアップロードでは、帯域抑制(bandwidth throttling)を行なうことができるので、サーバがオンラインに復旧すると、サーバは、多数のクライアントの全てが、これらのクライアントのログをサーバにアップロードしようとすることによって過負荷になる、ということがない。
【0033】
本発明によれば、サーバは管理モジュール86を含むことができ、この管理モジュールによって、企業の情報主幹のようなシステム管理者、またはクライアント自体が(自動化アルゴリズムを使用して)、本発明によるフィルタリング兼モニタリングシステムの動作を調整することができる。例えば、各デバイスに関するシステムのフィルタリング感度(インターネットアクセスが特定デバイスに関してフィルタリングされるレベル)をカスタマイズ/調整して、フィルタリングされるインターネットトラフィックの量を特定デバイスに関して減らすことができ、これによりモニタリング及びフィルタリング動作専用に使
用されるデバイスの帯域幅を減らす。例えば、携帯電話機で使われるGPRSのような低速インターネット接続を行なうデバイスでは、デバイスの感度を調整することができる。本発明によれば、いずれかのデバイスのフィルタリング感度は、デバイスのいずれかの特定の特性に基づいて調整することができる。システムの好適な実施形態では、高フィルタリングレベル、中フィルタリングレベル、低フィルタリングレベル、及び自動フィルタリングレベルを設けることができる。高フィルタリング感度レベルでは、システムは、例えば全ての非ハイパーテキスト転送プロトコル(HTTP)ポート及び全てのHTTPリクエストをフィルタリングすることができるので、この設定によって、例えばポップアップ広告を含む全てのリソースをフィルタリングすることができる。高フィルタリング感度によって、ほとんど全てのフィルタリングが可能になるが、デバイスが非常に多くのリソースアクセスリクエストを行なっている場合には、フィルタリング速度及び性能が低下する。中感度レベルでは、全ての非HTTPポートが分類され、かつHTTPページリクエストのみが分類され、画像ファイル、音声ファイル、スタイルシート、及びXMLリクエストは分類されない。低感度レベルでは、全ての非HTTPポートが分類され、かつHTTPリクエストのサーバアドレス部分のみが分類されるので、結果を非常に短い時間でキャッシュすることができる。自動感度レベルでは、クライアントは高、中、または低レベルを平均サーバ応答時間(応答遅延)及び事前設定閾値に基づいて選択する。自動モードでは、クライアントは、コードの内、感度を調整する部分を設定することができる。例えば、高レベルは応答遅延が所定期間よりも短くなっている間に使用することができ、そして当該レベルを中レベルに設定し直すことができる。
【0034】
本発明によれば、システムは全てのTCP/IPポートをフィルタリングすることができ、この場合、これらのポートの幾つかは、サイト38のリソースに対して直接、またはプロキシサーバを通して行なわれるHTTPウェブリクエストとして処理される。特定の会社がフィルタリングまたはモニタリングのためには注目していないポート群にデバイスが接続するために行なわれるサーバとの不必要な通信を減らすために、デバイス32には、どのポート群をサーバに接続すべきであり、そしてこれらのポートの内のどのポートをHTTPウェブリクエストとして処理すべきかについて通知する(サーバによって)ことができる。従って、サーバは、特定の会社に関して、フィルタリングされていないポート(サーバに接続されることがない一連のポート)を用いて構成することができる。本発明によれば、HTTPリクエストとしてフィルタリングされ、そして/または処理される一連のポートは、デバイスがログイン手続きを行なっている間にデバイスに接続される。従って、クライアントは、フィルタリングされていないポート動作を実行することができ、このポート動作は、デバイスで実行されるアプリケーションが、フィルタリングされていないポートとの接続を試みるときに行なわれる自動動作である。本実施形態及びシステムの一の実施形態では、一連のフィルタリングポート及びHTTPポートはサーバソフトウェアにハードコードされる。本発明の別の実施形態では、サーバは1セット/リストのルール(調整/カスタマイズすることができる)を解析することができ、そして被モニタリングポートのリストはこれらのルールに基づいて自動的に生成される。フィルタリングされていないポート動作は、例えばこれらのポートリクエストの全てが許可されるallow all option(アローオールオプション)(“Allow All” モー
ド)、フィルタリングされていない全てのポートとの接続が阻止されるblock all option(ブロックオールオプション)(“Block All” モード)、
及びポートリクエストがサーバに送信されるfilter option(フィルタオプション)(“Filter”モード)を含むことができ、このfilter optionは、通常のウェブフィルタが普通、全てのポートに影響を与える、例えば全ての人がアダルトコンテンツにアクセスすることができないように当該アクセスを阻止するということからすると、ルールにとって有用である。
【0035】
図6A及び6Bは、本発明によるフィルタリングシステムの構成を示す2つの異なる例
である。各構成において、サーバ34は、デバイス32(クライアントが実装された)がサーバとの接続をTCPポート80を通して行なうことができるように配置される。図6Aでは、サーバ34は被保護メインネットワーク112(当該ネットワークの内部コンピューティングデバイス114を含む)の外部に配置することができ、そして企業ネットワークとの接続を図示のブリッジ/ルータ/ファイアウォールデバイス110を通して行なうことによりデバイス32がサーバ34との接続を行なうことができるようにする。図6Bに示す例では、サーバ34をネットワーク112の内部に配置することができ、従ってファイアウォール110はTCPポート80におけるトラフィックを、トラフィックがサーバ34に向けられる限り許可するように構成する必要がある。両方の場合において、デバイス32はサーバ34と通信する機能を備えるので、サーバはリモートモニタリング及びフィルタリング動作を実行することができる。
【0036】
図7は、クライアント管理モジュールの例示としての実施形態のユーザインターフェース120の例を示している。アドミニストレータはシステムの主要管理ポイントであり、かつ各リモートデバイスに関するカスタマイズ可能な記述、及び各特定デバイスに関する設定を行なう。ユーザインターフェース120はサマリー部分122及びクライアント詳細部分124を含み、サマリー部分122はシステムに現時点で参加している、またはログインしているクライアントの全てを列挙する(本例では、説明を簡単にするためにクライアントを1つだけ示している)。管理モジュールのユーザが特定クライアントをサマリー部分から選択すると、クライアント詳細部分124は、特定クライアント、及び当該クライアントを実行しているデバイスに関する詳細設定及び他の情報を提示する。クライアント詳細部分124は更に、クライアント情報部分126及びクライアント設定部分128を含むことができ、クライアント情報部分は、特定の選択クライアント/デバイスについての情報を列挙し、そしてクライアント設定部分によってアドミニストレータは、特定のクライアント/デバイスに関するフィルタリング/モニタリングの設定を調整/設定/再設定することができる。クライアント情報部分に示すように、各クライアントは固有の識別情報(図7に示すクライアントId)を有し、この識別情報によって各クライアント構成を固有に特定して各クライアントに関する設定をデータベースに保存することができるようにする。
【0037】
クライアント設定部分128では、アドミニストレータは種々のフィルタリング及びモニタリング設定を設定することができ、これらの設定として、例えばオフライン動作設定130、未フィルタリングポート設定132、フィルタ感度設定134、ユーザネーム設定136、及びホストネーム設定138を挙げることができる。上に説明したように、オフライン動作設定130によってアドミニストレータは、サーバをクライアントが利用することができなくなった場合にクライアントがどのようにして動作するかに関するオプションを選択することができ、そして好適な実施形態ではオフライン動作は、“Allow
All”、“Block All”、及び“Log and Allow”の中から選択することができる。未フィルタリングポート設定132によってアドミニストレータは、フィルタリングされているポートに含まれていないポート群との接続をデバイスのユーザが行なう場合に、特定クライアントがどのようにして動作する必要があるかについて設定することができる。本発明の好適な実施形態では、選択リストのTCPポート群をモニタリング対象として選択して、クライアントとサーバとの間の合計トラフィックを減らす。実際に選択されるモニタリング対象のポート群は、アドミニストレータモジュールを使用して変更することができる。デフォルトのTCPポート群から成るリストは、例えば次の表に示す項目を含むことができる。
【0038】
【表3】
【0039】
従って、アドミニストレータがモニタリングするポートにフィルタリング済みポートとして、または追加ポートとして指定されないポートに関しては必ず、未フィルタリングポート設定が適用される。上に説明したように、未フィルタリングポート選択には好適な実施形態においては、Allow Allモード、Block Allモード、及びFilterモードを含めることができる。フィルタ感度設定134によって、アドミニストレータはクライアントに関するフィルタリングの感度レベルを設定することができる。上に説明したように、選択には好適な実施形態においては、高フィルタリングレベル、中フィルタリングレベル、低フィルタリングレベル、及び自動フィルタリングレベルを含めることができる。
【0040】
一般的に、フィルタリングルールはユーザネームまたはホストネームに基づいて作成することができる。従って、ユーザネームがルールによって指定される場合、ユーザが使用しているデバイスに関係なく、ユーザフィルタリングルールが適用される。ホストネームがルールにおいて指定される場合、どのユーザが特定デバイスにログインするかに関係なく、ホストネームに基づくルールが当該特定デバイスに適用される。従って、ユーザネーム設定136によってアドミニストレータは特定デバイスに適用されるユーザを設定することができる。このユーザネームはサーバが使用してクライアントデバイスに関する全てのフィルタリング決定を行なう。従って、ネームを使用して当該ネームをルールデータベース内のルールと比較することによりチェックして、特定クライアントユーザに関する適切なフィルタリングを決定することができる。ユーザネーム設定によってアドミニストレータは好適な実施形態において、クライアント指定ネームモード(client specified name mode)、サーバオーバライドモード(server override mode)、またはサーバデフォルトモード(server default mode)の中から選択を行なうことができる。クライアント指定ネームモードでは、ユーザが、クライアントを実行しているデバイスにログインすると、クライアントユーザログインネームをユーザネームサーバとして使用されるサーバに送信する。サーバオーバライドモードでは、アドミニストレータはネームを指定してこのユーザを、エンジニア、秘書、国際間異動要員などのような組織のメンバーとして特定することができ、ユーザを個人として特殊な形で定義して、組織のフィルタリングルールが特定ユーザに適用される、ということがない。例えば、会社は、一連のモバイルデバイスを移動中の保険販売員に使用させることができ、そしてこれらのモバイルデバイスを使用する人の全てを、彼ら個人のユーザネームではなく「販売員」の役割に従ってフィルタリングする必要がある。従って、「販売員」が仕事に必要な特定のサイトに辿り着くことができるルールを作成することができる。このモードは、携帯電話機のようなクライアントがユーザネームを提供することができない場合に使用することもできる。サーバデフォルトモードは、クライアント指定モード及びサーバオーバーライドモードが使用されないのでデバイスを或るレベルでフィルタリングし続ける必要がある場合に使用される。ホストネーム設定138は
実際のデバイス(デバイスのユーザではなく)を指定して、デバイス群またはデバイスグループ群(特定の特性を有する)を、デバイスを使用する個人に関係なく、当該デバイスグループに関するフィルタリングルールに従って一括してグループ化し、認識し、そしてフィルタリングすることができるようにする。ホストネーム設定によってアドミニストレータは好適な実施形態においては、クライアント指定ホストネームモード(client
specified host name mode)、サーバオーバーライドモード、及びサーバデフォルトモードの中から選択を行なうことができる。クライアント指定モードでは、デバイスのクライアントは、ユーザがデバイスにログインすると、デバイスのネットワークネームをサーバに送信する。サーバオーバライドモードでは、ホストネームを使用してデバイスをデバイス群に関して有用なグループのメンバーとして、例えばホストネームを送信することができない携帯電話機として特定する。サーバデフォルトモードにおいては、ホストネームが、クライアント指定モード及びサーバオーバーライドモードが使用されないのでデバイスを或るレベルでフィルタリングし続ける必要がある場合に使用される。
【0041】
図8は、ルールアドミニストレータモジュールの実施形態に関するユーザインターフェース150の例を示している。ルールアドミニストレータによって、システムの認証ユーザは一つ以上のフィルタリングルールを作成することができる。ユーザインターフェースは各ルール152をディスプレイの中の一つの行として示し、当該行は各ルールの異なる特性/設定を含み、特性/設定として、ルールのタイプ、ルールが適用されるユーザ/デバイス、ルールが適用されるコンテンツのタイプ、ルールに関する閾値、及びディスプレイの異なる欄に配置されるルールの通知特性を挙げることができる。ルールのタイプとして、ALLOW(ルールが指定するコンテンツを許可する),DISALLOW(ルールが指定するコンテンツを許可しない),またはTHRESHOLD(ルールが指定するコンテンツが閾値に収まる場合に当該コンテンツを許可する)を挙げることができる。閾値ルールに関しては、ルールによって指定されるユーザは、例えばインターネットに或る設定期間に渡ってアクセスすることができる。各ルールに関して、アドミニストレータは、ルールがフィルタリング動作の間に適用されるクライアント群/デバイス群、またはクライアントグループ群またはデバイスグループ群を指定することができる。各ルールに関して、アドミニストレータは、フィルタリングされるべきコンテンツのタイプを指定することができる。例えば、図8に示すように、コンテンツはアダルト/露骨な性描写、旅行、ギャンブル、実行可能ファイルなどとすることができるが、ルールを作成してどのようなタイプのコンテンツもフィルタリングすることができ、かついずれのタイプのコンテンツもシステムに加えることができるので、新規タイプのコンテンツを将来時点でフィルタリングすることができる。各ルールは、ルールが適用されている間の時間の指定も行ない、当該時間として、ANYTIME(随時可),After Work(就業時間後)、及びWeekends(週末),Worktime(就業時間中)などを挙げることができ、この場合、異なる時間の期間には、新規のネーム、従ってユーザが指定する期間を付与することができる。各ルールはまた、上に説明した閾値だけでなく、或るコンテンツが或るユーザによってアクセスされている時にシステムにおける誰に対して通知を行なうかについて指定する通知特性を有することができる。
【0042】
本発明によれば、ルールアドミニストレータが生成するフィルタリングルールは、誰がインターネットのどのエリアに1日の内の何時にアクセスすることができるかについてのほとんどの部分を決定することができる。ルールは肯定(サイトへの、すなわち「露骨な性描写」のような或るカテゴリーのサイトまたはリソースへのアクセスを許可する)、または否定(サイトへの、すなわち或るカテゴリーのサイトまたはリソースへのアクセスを拒否する)とすることができる。一般的に、各ルールはTypeオブジェクト,Whoオブジェクト,Whereオブジェクト,Whenオブジェクト,Notifyオブジェクト,Thresholdオブジェクト,HTTP Denyオブジェクト(これらのオブ
ジェクトの内の幾つかだけを図8に示す)を含むことができ、これらのオブジェクトによって各フィルタリングルールの異なる特性を指定する。Typeオブジェクトは、ルールがallowルール、disallowルール、またはthresholdルールとなる場合を指定するデータを含む。Whoオブジェクトは、ルールが適用されることになる個人を指定するデータを含み、この場合、オブジェクトによって個人、或るグループの人、anybody(全ての人)、nobody(誰にも適用されず)などを指定することができる。Whereオブジェクトはリクエスト対象リソースの発信源(ウェブサイトのような)を指定するデータを含むが、当該オブジェクトによって、例えば「露骨な性描写」または「ftp」のような或るカテゴリーのサイトを指定することもできる。Whenオブジェクトは、リソースリクエストが許可される、または拒否される時間及び/又は日を指定するデータを含む。Notifyオブジェクトは、特定のリソースリクエストによって当該ルールが起動されるときにemailなどによる通知先となることができる一人以上の個人を指定するデータを含む。Thresholdオブジェクトは、データ量の限界値、または特定期間に渡るサーフィンに要する時間の限界値を指定するデータを含む。HTTP Denyオブジェクトは、特定タイプの拒否ページ(辛らつな、強烈な、または穏当な)が、ルールが起動されるときにユーザに送信されるように指定を行なうデータを含む。各新規ルールに関して、ルールアドミニストレータによってユーザはルールのこれらの特性を、情報を入力し、そしてドロップダウンメニューを利用することにより指定することができる。
【0043】
本発明によれば、システムは企業ネットワークから遠く離れたデバイス群をフィルタリングする。特定デバイスが企業ネットワークに戻るように移動する、例えばラップトップが路上で使用されていて、次に企業ネットワークに戻るように企業ネットワークとの接続を行なう場合に、企業ネットワークのフィルタリングポリシー(例えば、固定従業員に関して)が特定デバイスに、当該デバイスが企業ネットワーク内に位置する限り使用されることが望ましい。本発明によれば、クライアントはソフトウェアモジュールを含むことができ、このソフトウェアモジュールは、デバイスによる特定リソースリクエストが企業ネットワークを通して送信されようとしている(クライアントが実装されるデバイスが企業ネットワークに接続されているときのような)かどうかを検出して、企業ネットワークを通して送信されているこれらのリソースリクエストに関するクライアントフィルタリング機能を無効にして、企業ネットワークフィルタリングポリシーを使用することができるようにする。別の例として、デバイスは企業ネットワークとの接続を行なうことができるが、無線モデムとの接続を行なうこともでき、そしてクライアントフィルタリングは、企業ネットワークを通して送信されるリソースリクエストに対してではなく、無線モデムを通して送信されるリソースリクエストに対して使用することができる。
【0044】
幾つかの好適な実施形態について示し、そして説明してきたが、この技術分野の当業者であれば、種々の変更及び変形を、添付の請求項に規定される本発明の技術範囲から逸脱しない範囲において加え得ることが分かるであろう。
【0045】
本出願に関連する本明細書と同時に、または本明細書よりも先に提出され、かつ本明細書を用いて公に調査することができる全ての論文及び文書に関心が向けられることになるので、このような論文及び文書の全ての内容は、本明細書において参照することにより本発明の開示に含まれる。
【0046】
本明細書に開示する特徴の全て(全ての添付の請求項、要約、及び図を含む)、及び/又はこのようにして開示される全ての方法またはプロセスのステップの全ては、このような特徴及び/又はステップの少なくとも或る部分が相容れない組合せを除き、どのような組合せでも組み合わせることができる。
【0047】
本明細書に開示する各特徴(全ての添付の請求項、要約、及び図を含む)は、特に断らない限り、同じ、等価な、または同様の目的を達成する別の特徴により置き換えることができる。従って、特に断らない限り、開示する各特徴は一般的な一連の等価な、または同様な特徴の一例に過ぎない。
【0048】
本発明はこれまでの実施形態(複数の実施形態)の詳細に限定されない。本発明は、本明細書に開示する複数の特徴(全ての添付の請求項、要約、及び図を含む)に基づく一つの新規のいずれかの特徴、またはこれらの特徴の新規のいずれかの組合せ、或いはこれまでに開示したいずれかの方法またはプロセスの複数のステップに基づく一つの新規のいずれかのステップ、またはこれらのステップの新規のいずれかの組合せに拡張することができる。
【0049】
本発明を更に深く理解するために、かつ本発明の実施形態をどのようにして実施することができるかについて示すために、一つの例として添付の概略図を参照することとする。
【図面の簡単な説明】
【0050】
【図1】本発明によるデバイスリソースアクセスフィルタリング兼モニタリングシステムの例を示す図。
【図2】図1に示すデバイスリソースアクセスフィルタリング兼モニタリングシステムを更に詳細に示す図。
【図3】デバイス及びサーバを更に詳細に示すデバイスリソースアクセスフィルタリング兼モニタリングシステムのクライアント/サーバ形態を更に詳細に示す図。
【図4】図3のシステムのサーバ部分を更に詳細に示す図。
【図5】図3のシステムのクライアント部分を更に詳細に示す図。
【図6A】本発明によるデバイスリソースアクセスフィルタリング兼モニタリングシステムの構成の2つの異なる例を示す図。
【図6B】本発明によるデバイスリソースアクセスフィルタリング兼モニタリングシステムの構成の2つの異なる例を示す図。
【図7】システムのクライアントアドミニストレータモジュールの例示としての実施形態に関するユーザインターフェースの例。
【図8】システムのルールアドミニストレータモジュールの実施形態に関するユーザインターフェースの例。
【技術分野】
【0001】
本発明の分野は概してフィルタリングシステムに関し、特にコンピュータ援用リソースアクセスフィルタリングシステム及び方法に関する。
【背景技術】
【0002】
コンテンツまたはe−mailをフィルタリングするシステム及びソフトウェアは良く知られている。例えば、公知のファイアウォールやプロキシサーバはこれらの機能の内の幾つかを実行して、企業イントラネットのような内部コンピュータネットワークをハッカー、有害ウィルス、及びワームから保護する。ファイアウォール/プロキシサーバによる権限のない不正インターネットアクセスのフィルタリングを可能にする公知のシステム、またはユーザがこれらの不所望のe−mailメッセージを受信することがないようにする公知のシステムも存在する。通常、これらのシステムは企業ネットワークのゲートウェイとして機能するサーバと連動して動作する。サーバは通常、着信及び発信トラフィックに対するサーバによるフィルタリング動作の実行を可能にする幾つかの機能(ソフトウェアまたはハードウェアとして)を有する。
【発明の開示】
【発明が解決しようとする課題】
【0003】
リモートワーキングは多くの分野に渡って、かつ多くの産業において更に広まってきている。リモートコンピューティングデバイスは企業ネットワークまたはLANから遠く離れた場所で使用される。或るシステムでは、リモートデバイスはデバイス固有のフィルタリングを実行することができるが、企業全体の利用ポリシー(AUP)を強制するのは更に難しく、かつデバイスは、デバイス固有のリソースアクセスをフィルタリングするために更に大きな処理能力を必要とする。通常、リモートデバイスのユーザは、e−mailメッセージのようなコンピュータネットワークのリソース、FTPまたはWWWサイトの種々の異なるファイル、ニュースグループの投稿などにアクセスすることができる。従って、コンピュータネットワークのリソースへのアクセスを要求するリモートデバイスからのリクエストをフィルタリングするシステムを実現することが望ましい。従って、これらの目的を実現するフィルタリングシステム及び方法を提供することが望ましく、そしてこの目的を達成するために本発明が考案されている。
【課題を解決するための手段】
【0004】
本発明によれば、添付の請求項に示される装置及び方法が提供される。本発明の好適な特徴は、従属請求項及び以下の記述により明らかになる。
リモートデバイスによるリソースアクセスに対するモニタリング及びフィルタリングを可能にするフィルタリングシステム及び方法が提供される。好適なシステムによって、会社は会社の企業利用ポリシーをオフィスの壁を超えて拡張することができる。詳細には、システムによって企業は、遠く離れた国際間異動要員、及び自宅で仕事をしている従業員が使用するようなリモートデバイスによってアクセスされるリソースを管理することができる。本発明は、システムのコンピュータ及びクライアントも提供する。
【0005】
好適な実施形態では、システムは、コンピュータと通信するリモートデバイスに実装されるクライアントを備える。リモートデバイスはコンピュータと遠く離れた位置から通信する、例えば同じローカルネットワークの一部分ではない。通常、リモートデバイスは、インターネットのようなグローバルネットワークまたはワイドエリアネットワークを介して通信する。サーバコンピュータはリモートデバイスによるリソースアクセスリクエストをモニタリングし、そしてフィルタリングする。クライアントは、デバイスによるリソー
スへのアクセスを要求するリクエストに関する情報を収集するモジュールと、そして収集情報をコンピュータに送信するモジュールと、を有する。コンピュータは、デバイスによるリソースアクセスを収集情報に基づいて分類するモジュールと、そしてリアルタイムでリソースアクセス決定をクライアントに送信するモジュールと、を有する。従って、クライアントはデバイスによるリソースへのアクセスを、コンピュータによるリソースアクセス決定に基づいて制御する。
【0006】
特に好適な実施形態では、リソースアクセス決定は「許可(allow)」決定または「阻止(block)」決定の内のいずれか一方である。すなわち、決定によって、デバイスによるリクエスト対象リソースへのアクセスが可能になる、またはデバイスによるアクセスが阻止(blocked)される。有利なことに、クライアントは最小限の処理能力及び記憶容量しか必要とせず、かつフィルタリングシステムをサポートするデバイスの数及びタイプは増やすことができる。
【0007】
クライアントデバイスがコンピュータとの接続を行なうことができない場合がある。フィルタリングシステムのサーバとのデバイスによる接続が遮断される場合、オフライン機能によってクライアントはデバイスによるリソースアクセスを所定のポリシーに従ってフィルタリングし続けることができる。理想的には、所定のポリシーはサーバで集中管理され、そしてサーバはオフラインフィルタリング機能の或るモードを設定する。一のモードでは、クライアントは全てのアクセスリクエストを許可し、そしてこれらのリソースアクセスのログを生成することができる。一旦、クライアントがサーバとの接続を再確立すると、ログをサーバに戻す形で送信することができる。
【0008】
多くのデバイスが局所的に、かつ遠く離れた位置で使用される。すなわち、或るデバイスは、ユーザが企業のオフィスに居る場合のように、ローカルネットワークの内部において時々局所的に使用される。また或る時には、同じデバイスが、ユーザが旅行している、または自宅で仕事をしている場合のように、遠く離れた位置で使用される。
【0009】
リソースアクセスリクエストをこれらの2つの環境においてフィルタリングする処理を効率的に管理する必要がある。好適な実施形態では、システムは、リクエスト対象リソースが企業ネットワークを介して送信されようとしているかどうかについて検出し、そして企業ネットワークを介して送信されようとしているリクエスト対象リソースに関するフィルタリングを無効にするモジュールを含む。
【0010】
好適な未フィルタリングポートのフィルタリング機能によって、システムは、フィルタリング済みポートとして特別な形で特定されるということがないTCPポートに関するフィルタリング方法を指定することができるので、未フィルタリングポートでも或る方法によってフィルタリングすることができる。
【0011】
また、好適なシステムによってアドミニストレータは各クライアントに関するフィルタリング感度レベルを、高感度レベル、中感度レベル、低感度レベル、または自動感度レベルに調整することができる。フィルタリング感度レベルは、例えば携帯電話機に関するGPRS接続のような低速インターネット接続を行なうデバイスに関して調整することができる。
【0012】
システムはモニタリング機能を提供することができ、このモニタリング機能によってシステムは、サーバに接続される各デバイスによる、またはデバイス群の全てによるリソースアクセスに関するレポートを生成することができる。
【0013】
好適なシステムは会社の法的責任を軽減することができる、というのは、例えば会社は
不適切なウェブサイトへの仕事時間中のアクセスを制御する機能を高めることができるからである。システムは従業員の生産性を高めることができる、というのは、仕事時間中のインターネットアクセスを全て、仕事関連ウェブサイトに制限することができるからである。システムはまた、システムが、仕事場に外部モデムまたはインターネットサービスプロバイダを使用する従業員を介して侵入することができるウィルスまたは有害コンテンツが仕事場に侵入することがないように、仕事場をこれらのウィルスまたは有害コンテンツから保護する機能を備えるということから、ネットワークセキュリティを実現すると言える。
【発明を実施するための最良の形態】
【0014】
本発明は、クライアント/サーバを使用するコンピュータ援用ソフトウェアデバイスリソースアクセスフィルタリング兼モニタリングシステムに特に適用することができ、そしてこの適用形態に関連する形で、本発明について説明することとする。しかしながら、本発明によるシステム及び方法は更に広い利用可能性を有することを理解されたい、というのは、システムは種々の異なるコンピュータアーキテクチャを使用して実現することができ、かつ種々の異なるリモートデバイスを用いて実現することができるからである。システムはいずれのコンピューティングデバイスを使用して実現することもでき、この場合、コンピューティングデバイスは、十分大きい計算能力を有する少なくともプロセッサと、メモリと、そして入力/出力デバイスと、を備えるのでコンピューティングデバイスはシステムと相互作用することができ、かつここに記載する基本的なフィルタリング機能を実行することができるが、これは各クライアントが以下に記載する機能の全てを実行する機能を必ず持つという訳ではないからである。システムはソフトウェアまたはハードウェアとして実現することができる。ソフトウェア形態では、システムは一つ以上のソフトウェアモジュールをサーバの中に、そして一つ以上のモジュールをクライアントの中に備えることができ、この場合、各モジュールは更に、複数行のコンピュータコードを含むことができ、これらのコンピュータコードはサーバまたはクライアントのプロセッサが実行する。次に、リモートデバイスモニタリングシステムの一の実施形態について説明する。
【0015】
図1は、本発明によるデバイスリソースアクセスフィルタリングシステム30の例を示す図である。システム30は、本実施形態におけるインターネット、ワイドエリアネットワーク(WAN)、ローカルエリアネットワーク(LAN)、メトロポリタンエリアネットワーク(MAN)、またはワールドワイドウェブのようなコンピュータネットワーク36を介して、本実施形態におけるサーバソフトウェア34を有するコンピュータのようなリモートコンピュータデバイス33との接続を行なうデバイス32(クライアント48として認識されるソフトウェアコードの一部分を有する)に対するモニタリングを可能にし、かつサイト38上のリソースに対するデバイスによるアクセスに対するフィルタリングを可能にする。サイト38はデバイス32のユーザがリクエストするリソースのソースである。更に詳細には、サーバ34はデバイスによるリソースへのアクセスを遠く離れた位置からフィルタリングする(制御する、そして/または解析する)機能を備える。本発明によれば、遠く離れた位置からのデバイス32に対するこのモニタリングを可能にする機能は、デバイス32及びサーバ34が分担して行なう。これにより、デバイス32とサーバ34との間のネットワークトラフィックが減り、そしてe−mail、ウェブページ、ファイル転送プロトコル(FTP)サイト、ニュースグループなどを含む種々のリソースへのアクセスに対する集中制御及びモニタリングが可能になる。本発明によれば、サーバ34はリソースに対して行なわれようとするアクセスに関連するデータも受信し、これにより、サイト38に対するアクセスリクエストに関連するアドレスからコンテンツを受信し、データをダウンロードするなどの行為をデバイスに対して許可するかどうかを判断する。デバイス及びサーバは互いに、専用プロトコルに基づく特定のプロトコルを使用して通信することができる。システムはコンピュータネットワークアクセスのリアルタイムフィルタリングを可能にするので、好適な実施形態におけるサーバ34のようなリモートコ
ンピュータ33を利用してフィルタリング決定を行ない、そして/または調整することができる。
【0016】
クライアント48は種々のリモートネットワーク(このネットワークを介して企業が制御を行なうという必要がほとんどない、または制御を行なうという必要が全くない)に対して作用し、かつリモートネットワークにおいて動作すると考えられるので、クライアント48がこれらのリモートネットワークを通して動作することができるようにシステムのプロトコルをこれらのリモートネットワークに対応させることができる。例えば、プロトコルをファイアウォール及びプロキシに対応させる。プロトコルは、異なるデータフォーマット及び機能を備える種々の異なるデバイスを処理し、そして受け入れるので、プロトコルは、異なるデバイスのストリング及び番号の標準データフォーマットを提供する。プロトコルはまた、規模が小さい、というのは、サーバが非常に多くのクライアントを限られた帯域を利用して処理する必要があり、かつクライアントがサーバとの低速インターネット接続を使用する必要があるからである。本発明の好適な実施形態によれば、プロトコルは、多種多様なネットワークとの互換性を高めるために、HTTPエンベロープを使用するハイパーテキスト転送プロトコル(HTTP)オーバーTCPポート80を利用する。インターネットへのアクセスを許可するこれらのネットワークでは、最も基本的なアクセスはウェブアクセスであり、このウェブアクセスでは、接続リクエストをポート80を通して送信してポート80をこのプロトコルが普通に利用することができ、かつ使用するようにする。或るネットワークは、インターネットウェブアクセスを、プロキシサーバを通してのみ許可し、プロキシサーバはHTTP形式のリクエストを受け取り、そしてHTTPプロトコルをこのシステムが使用するように応答する。更に、或るファイアウォールはインターネットアクセスを分析し、そしてポート80をHTTP以外のプロトコルが使用している場合に警告を発してシステムのプロトコルがHTTPを使用するようにすることができる。
【0017】
本発明によれば、HTTPプロトコルはシステムによって、クライアント48によるリクエストだけでなく、サーバ34からクライアントに戻される応答に対して使用される。HTTPの場合と同様に、クライアント48だけが通信を促進することができ、かつクライアントはこの動作を、公知のHTTPポストを使用してどの動作をクライアントがリクエストしているかについて、全てのパラメータデータと一緒に特定することにより行なう。このリクエストのフォーマットの例を次に示す。
【0018】
【表1】
【0019】
サーバからクライアントへの応答が行なわれる場合、プロトコルはここでも同じように、HTTPプロトコルのように振る舞うので、我々が返信として受け取るデータがウェブページとなって現われる。この応答のフォーマットの例を次に示す。
【0020】
【表2】
【0021】
プロトコルに関するオペレーションコード([Operation_Code]が上のリクエストフォーマットの例において可変であることを参照されたい)は、システムプロトコルを使用してリクエストすることができる種々のオペレーションを指定する。[Encoded Data]は収集情報をクライアント48からサーバ34に提供し、そしてリソースアクセス決定をサーバ34からリモートデバイス32のクライアント48に返す。
【0022】
図1に戻ってこの図を参照すると、デバイス32はいずれかのコンピューティングデバイスとすることができることが分かり、このコンピューティングデバイスは、以下に指定されるフィルタリング機能を実行するために十分なコンピューティングリソースを保有するので、デバイス32は少なくともプロセッサ、或るメモリ、及びコンピュータネットワークのリソースにアクセスする或る機構を備えるだけでよい。例えば、デバイス32は携帯電話機、携帯情報端末、パーソナルコンピュータ、ラップトップコンピュータ、パームトップコンピュータ、またはコンピュータネットワークアクセスなどを行なうために十分なコンピューティングリソースを保有する家電製品とすることができる。従って、デバイスは無線機器、携帯電話機器、無線e−mailデバイス、無線携帯端末機器を含むことができ、これらの機器として、Palm(パーム)デバイス、Treoデバイス、RIM
Blackberryデバイス、有線接続パーソナルコンピュータ、有線接続ラップトップコンピュータ、または無線接続コンピューティング機器を挙げることができる。本発明によれば、システムは種々のフィルタリング機能を実行することができ、そして各デバイスは、必ずここに記載するフィルタリンク機能の全てをサポートする機能を備える必要があるという訳ではない。例えば、携帯電話機は“Allow and Log”のオフラインモードに必要な一連の暗号化URLを保存するために十分な記憶容量を持たない。従って、システムに対して、フィルタリングを行なおうとしている各デバイスのフィルタリング機能に関して警告を発することが望ましい。本発明によれば、機能マスク(capability mask)をこの目的に使用することができる。詳細には、デバイス32がシステムにログインすると、当該デバイスはデバイスに関する機能マスクをサーバに送信して、サーバにデバイスが特定デバイス及び当該デバイスの特性に基づいて提供することができる、そして/または提供することができない機能を通知することができる。
【0023】
サイト38はコンピュータネットワークを通してのアクセス先となり得る全てのリソースを保存することができ、リソースとして、e−mail、ダウンロード対象データ(PDFファイル、テキストファイル、ワード文書、HTMLファイル、zipファイルなど)、FTPサイト、またはTELNETサーバを挙げることができる。クライアント/サーバアーキテクチャを例示のために示しているが、本発明は、システムのいずれの特定のアーキテクチャ(及びシステム内のコンピュータ群の関係)にも制限されることがない。例えば、システムはピアツーピアアーキテクチャを使用して実現することができ、ピアツーピアアーキテクチャでは、リモートコンピュータ34の機能が分散配置される。更に、本発明はいずれの特定タイプのリソースにも制限されない、というのは、システムはいず
れのタイプのリソース、またはいずれの新規のリソース、或いはいずれの新規タイプのリソースも処理するように構成することができるからである。
【0024】
図2は、図1に示すシステム30の例の更なる詳細を示す図である。この例では、デバイス32はパーソナルコンピュータとすることができ、パーソナルコンピュータはサイト38(図1参照)のリソースにアクセスする機能を備え、かつ本例では通常のサーバコンピュータであるコンピュータ34によってモニタリングされている。デバイスは一つ以上のプロセッサ40と、固定記憶装置42と、そしてメモリ44と、を含み、これらのデバイス構成要素は互いに公知の方法により接続される。固定記憶装置は、例えばフラッシュメモリのような不揮発性メモリ、ハードディスクドライブ、書き込み可能な光ドライブ、取り外し可能なメディアドライブ、またはデバイス32の電源がオフになっている間のデータ及び命令の保存を可能にする別の記憶機構を含むことができる。メモリ44は、例えばSRAM,DRAM,またはデバイスの電源がオンになっている間にプロセッサ(群)40が実行しているデータ及び命令を一時的に保存する別の構造とすることができる。デバイス32は更に、サイト38及びサーバ34にアクセスする、有線接続手段(例えば、ケーブルモデム及びケーブルのような)、または無線接続手段(802.11リンク、セルラーリンク、またはGPRSリンクのような)のような或る機構(図示せず)を含むことができる。デバイス32は更にオペレーティングシステム46を含むことができ、オペレーティングシステムはメモリ44に、デバイスが動作している間は格納されており、そして公知のようにプロセッサ(群)40によって実行される。本発明は特定タイプのオペレーティングシステムに制限されず、かつ種々の異なるオペレーティングシステムを用いて実施することができる。本発明によるフィルタリング兼モニタリングシステムを実現するために、デバイス32は更にクライアント48(本例では、複数行のコンピュータ命令及びデータを含むソフトウェアアプリケーション/ソフトウェアモジュールとして示される)を含むことができ、このクライアントをメモリ44に入れ、そしてプロセッサ(群)40が実行して、以下に更に詳細に説明するように、フィルタリングシステムのクライアント機能を実行する。本発明の好適な実施形態では、クライアントは更に一つ以上のソフトウェアモジュールを含み、これらのソフトウェアモジュールは複数行のコンピュータコードを有し、この場合、各モジュールはフィルタリングシステムの異なる機能を実行し、そしてこれらのモジュールの組み合わせがクライアント機能を実行する。クライアント48は、デバイス32に差し込むプラグインメディアカードのようなハードウェア/ソフトウェア混載デバイスとして、またはクライアントをASICに内蔵する構成のASICのようなハードウェアデバイスとして用いることもできる。デバイス32のユーザが、図1に示すサイト38のリソースのようなリモートリソースにアクセスしようと試みる場合、本発明の一の実施形態においては、クライアント48はアクセスをインターセプトし、そしてアクセスに関するデータを収集し、次にこのデータがサーバ34に転送される。本発明の別の実施形態においては、クライアント48はリソースアクセスに関するデータを収集することもでき、次にアクセスリクエスト自体に関する決定を行なうことができる。各ユーザ(及び/又は各デバイス)に関するアクセスレベルは特定ユーザに関してカスタマイズすることができる。
【0025】
サーバ34は更に、一つ以上のプロセッサ(群)50と、固定記憶装置52と、そしてメモリ54と、を含むことができ、これらのサーバ構成要素は公知の方法により相互接続される。サーバは更にデータベース56を含むことができ、データベースは、本発明によるフィルタリングシステムに関連するデータ及びソフトウェアコードを保存する。サーバは更に、本発明の一の実施形態においては、公知のオペレーティングシステム58と、本例においてメモリ54に格納されるソフトウェアの一部分として示されるフィルタリング/カテゴリー化モジュール60と、を含むことができ、このモジュール60はリソースアクセスリクエストを処理し、そしてデバイス32がサイト38のリソースにアクセスすることができるかどうかについて決定する。モジュール60(一つ以上のソフトウェアモジ
ュールを含むことが好ましい)はフィルタリングシステムに関連する管理機能を含む、フィルタリングシステムの異なる機能を実行し、そしてデータベース56と相互作用して、フィルタリングアクティビティに関連するデータをリクエストし、そしてデータベースに保存する。
【0026】
各デバイス32を固有に識別するために、各デバイスには固有識別子が割り当てられ、この識別子はコンフィグレーションリクエスト及びフィルタリングリクエストを特定デバイスに関連付け、かつ特定デバイスに関するフィルタリングログのデータベースへの格納を可能にする。更に、固有識別子を各デバイス32によるサーバへの初期ログインと組み合わせることにより、サーバ34がフィルタリング決定を行なっている場合に、各リソースアクセスリクエストが行なわれている間の、デバイス32とコンピュータ34との間で送信されているデータの量を減らす。本発明の本実施形態では、フィルタリングシステムは、デバイスによるリモートリソースへのアクセスに対するリアルタイムのフィルタリングを可能にし、この場合、サーバを使用してフィルタリング決定を行なう。すなわち、サーバはシステムにおける処理及び記憶作業のほとんどの部分を行なうので、クライアントではほとんど処理及び記憶作業を行なう必要がない。本発明の別の実施形態では、デバイスはデバイス自体のフィルタリング決定を行なうことができる。詳細には、サーバをデバイスが利用することができない場合、クライアントはサーバが指定するオフラインモードで動作する、例えばクライアントがアクセスのログを記録し、次に接続が復旧したときにログをサーバにアップロードする。
【0027】
図3は、デバイスリソースアクセスフィルタリング兼モニタリングシステムのクライアント/サーバ形態の更なる詳細を示し、デバイス32及びサーバ34の更なる詳細を示している。この例では、デバイス32は、通常のパーソナルコンピュータに使用することができる一つ以上の通常のソフトウェアアプリケーションを含むことができ、これらのソフトウェアアプリケーションとして、ウェブブラウザ70、AOLブラウザ72、Outlook Express74,Outlook76,FTPクライアント(図示せず)、Gopherクライアント(図示せず)、及び/又はニュースリーダ78を挙げることができる。これらの通常のソフトウェアアプリケーションのいずれかを使用してリモートリソースへのアクセスを試みる場合、リモートリソースアクセスに関する情報をクライアント48がインターセプトして、当該情報をサーバ34に送信して特定リソースへのアクセスを特定デバイスに対して許可すべきかどうかについての判断を行なうことができる。一の実施形態では、サーバ34の側では、サーバは更にマイクロソフトのインターネット情報サーバ(IIS)80を含み、このサーバはデータをデバイス32のクライアント48から受信する。本発明はIISの使用に制限されず、他の方法により実施することができる。次に、IISサーバ80は当該情報をIISプラグイン82に転送し、このプラグインはデータをカテゴリー化エンジン84に転送する。IISプラグイン82は、デバイス32に接続される特定クライアントを、クライアントデータベース56a(好適な実施形態における図2に示すデータベース56の一部分、または別のデータベース)を使用して求めることができ、この場合、クライアントデータベースは管理モジュール86を使用して維持することができる。管理モジュールは、例えば全ての被モニタリングクライアントのリストを含むことができ、これらの被モニタリングクライアントはリモートデバイスに各クライアントに関する設定と一緒に実装され、これらの設定は図7を参照しながら更に詳細に説明するように、クライアントデータベース56aに保存することができる。
【0028】
IISプラグイン82は更に、オフラインフィルタリングモジュール、及び未フィルタリングポートモジュール、及び/又はフィルタリング感度モジュールを含むことができる。従って、サーバ34は、特定クライアントに関するオフラインフィルタリングモード、未フィルタリングポートモード、及びフィルタリング感度設定をクライアントに送信することができ、次にクライアントはオフラインフィルタリングレベル、未フィルタリングポ
ートフィルタリングレベル、及びフィルタリング感度レベルを設定する。クライアントはオフラインフィルタリングモジュール、未フィルタリングポートモジュール、及びフィルタリング感度モジュールを含むことができ、この場合、各モジュールはクライアントの該当する機能を実行し、そして各モジュールは複数行のコンピュータコードとして実行することができ、これらのコンピュータコードはクライアントの実装先となるデバイスのプロセッサが実行する。
【0029】
カテゴリー化エンジン84はカテゴリールールをルールデータベース56b(好適な実施形態における図2のデータベース56の一部分、または別のデータベース)から取り出し、このルールデータベースはルール管理モジュール88によって維持される。ルール管理モジュール88を使用して、図8を参照しながら以下に更に詳細に説明する新規ルールを作成することもできる。カテゴリー化エンジンは当該エンジンの結果をモニターデータベース56c(好適な実施形態における図2のデータベース56の一部分、または別のデータベース)に保存することができ、モニターデータベースはモニターモジュール90によって維持される。モニターモジュール90は、例えば各クライアント、またはクライアント群の全てのウェブサーフィン習慣に関する情報を収集し、そして表示することができる。モニターモジュール90はリアルタイムモニターモジュール(図示せず)を含むこともでき、このリアルタイムモニターモジュールによって、モニタリングシステムのユーザは、接続がリクエストされるときのデバイス群のリモートユーザに関するインターネット接続を提示することができる。本発明によれば、カテゴリー化エンジンは特定の情報リクエストをデータの一つ以上の部分に基づいて分類することができる。情報リクエストは主として、デバイスがアクセスすることになるサイトアドレスに基づいて分類することができる。カテゴリー化エンジンはまた、1)デバイスのホストネームまたはサーバ側での設定が可能な別のネーム(デバイスがホストネームを持たない場合);及び/又はデバイスの現ユーザネームまたはサーバ側での設定が可能な別のネーム(ユーザネームを持たないデバイス群に関する)を使用することができる。従って、カテゴリー化基準(従って、アクセス可能なリソース)は特定のデバイス/ユーザに関して設定することができる。例えば、アクセスレベルは、会社内での従業員の年功または地位によって変えることができる。管理モジュール(図示せず)はスケジューラを含むことができ、スケジューラによってユーザは、データベース更新、データベースメンテナンス作業などのような、サーバに自動的に生じるイベントを設定することができる。管理モジュールによって更に、ユーザはサイトを分類/再分類することができる。仮想制御エージェント(図示せず)は設けるかどうかが任意のモジュールであり、このモジュールは人工知能を使用して、ユーザがアクセスしたサイト群であって、当該時点でカテゴリーを持っていなかったサイト群を自動的に訪問し、そして分類する。管理モジュールはウェブレポートモジュールも有し、これによりシステムはクライアントデータ及びサーフィン習慣に関するレポートを生成することができる。リモートコンピュータ34の種々のモジュールはそれぞれ、本明細書に記載する機能を実行する複数行のコードを持つソフトウェアの一部分とすることができる。
【0030】
図4は、本発明のデバイスクライアント/サーバ形態のサーバ部分34の更なる詳細を示す図であり、そして図5は、本発明のデバイスクライアント/サーバ形態のデバイス部分32の更なる詳細を示す図である。図4に示すように、サーバ34の実施形態は、SQLデータベースを使用してシステム及びウェブフィルタルールエンジンサービスに関するデータを保存するものとして示される。本発明によるフィルタリングルールの例、及びルールがどのようにして作成されるかについて、図8を参照しながら以下に更に詳細に説明する。図5に示すように、デバイスのクライアント48は更にユーザインターフェース部分100と、クライアント通信層102と、ネットワークインターセプター層104と、そして記憶媒体106と、を含み、記憶媒体は以下に説明するように、特定クライアント48に関するコンフィグレーションだけでなく、全てのログファイルを保存する。好適な実施形態では、これらの部分及び層の各々は、デバイスのプロセッサが実行しているソフ
トウェアの一部分である。ユーザインターフェース部分100は、モニタリングシステムの内、ユーザに対して表示されるユーザインターフェースであり、そしてコンフィグレーションユーザインターフェーススクリーンを含むことができる。ネットワークインターセプター層104はデータを外部サイトに対するリソースアクセスリクエストから収集することができ、クライアント通信層102は当該データをフォーマットして、サーバ34に送信するフォーマットとすることができ、そしてサーバのリソースアクセス決定を受信することができ、更に当該決定を実行する。
【0031】
本発明によるシステムが正常に動作している間、デバイスはAmazon.comのようなリモートサイトのリソースに対するリソースアクセスリクエストを開始することができ、そしてクライアント48はサイトアドレスのような、当該リクエストに関連するデータを捕捉する。クライアントはデバイス識別子及び他のデバイスデータを収集し、次にリソースアクセスリクエストデータをサーバ34に転送することもできる。次にサーバは、リソースアクセスリクエストデータに基づいて、カテゴリー化/フィルタリング決定を行なって、リソースアクセス決定情報を生成し、次にリソースアクセス決定情報をクライアント48に返して、クライアントが適切なアクションを起こすことができるようにする。従って、リモートサーバはデバイス32によるリソースアクセスリクエストをリアルタイムでモニタリングし、そしてフィルタリングすることができる。しかしながら、サーバ34をデバイスが利用することができない(何らかの理由により)場合、デバイスはオフラインフィルタリングを実行することができ、この場合デバイス32は、デバイス自体でモニタリング及びフィルタリングを行なう役割を担う。デバイス(従ってクライアント)がサーバとの接続を行なうことができない場合、デバイスはクライアントがインターネットに接続されている間に継続的に、例えば5分ごとに再接続を試みることになる。
【0032】
オフラインフィルタリングの間、デバイス/クライアントは異なる動作モードで動作することができ、いずれの動作モードで動作するかは、サーバが特定のクライアントに対して行なうコンフィグレーションによって変わる。例えば、クライアント48は全てのインターネットアクセスを許可することができるが、各リソースアクセスリクエストをローカルログファイル(“Log & Allow”モード)にログとして記録し、このログファイルは後の時点でサーバにアップロードすることができる。別の構成として、クライアントは全てのインターネットアクセスを阻止することができる(“Block All”モード)、または全てのインターネットアクセスをログとして記録せずに許可することができる(“Allow All”モード)。本発明によれば、クライアントに記録されるオフラインログは、上に説明したメモリ装置または固定記憶装置のようなデバイスのローカルストレージに保存することができる。ログが後の時点でサーバにアップロードされる場合、ログファイルはデバイスから消去することができる。好適な実施形態では、ログファイルは暗号化することができる。ログファイルは更に、クライアントに対する無許可改ざんを検出する幾つかの基本モニタリング機能を含むことができる。本発明によれば、オフラインログアップロードでは、帯域抑制(bandwidth throttling)を行なうことができるので、サーバがオンラインに復旧すると、サーバは、多数のクライアントの全てが、これらのクライアントのログをサーバにアップロードしようとすることによって過負荷になる、ということがない。
【0033】
本発明によれば、サーバは管理モジュール86を含むことができ、この管理モジュールによって、企業の情報主幹のようなシステム管理者、またはクライアント自体が(自動化アルゴリズムを使用して)、本発明によるフィルタリング兼モニタリングシステムの動作を調整することができる。例えば、各デバイスに関するシステムのフィルタリング感度(インターネットアクセスが特定デバイスに関してフィルタリングされるレベル)をカスタマイズ/調整して、フィルタリングされるインターネットトラフィックの量を特定デバイスに関して減らすことができ、これによりモニタリング及びフィルタリング動作専用に使
用されるデバイスの帯域幅を減らす。例えば、携帯電話機で使われるGPRSのような低速インターネット接続を行なうデバイスでは、デバイスの感度を調整することができる。本発明によれば、いずれかのデバイスのフィルタリング感度は、デバイスのいずれかの特定の特性に基づいて調整することができる。システムの好適な実施形態では、高フィルタリングレベル、中フィルタリングレベル、低フィルタリングレベル、及び自動フィルタリングレベルを設けることができる。高フィルタリング感度レベルでは、システムは、例えば全ての非ハイパーテキスト転送プロトコル(HTTP)ポート及び全てのHTTPリクエストをフィルタリングすることができるので、この設定によって、例えばポップアップ広告を含む全てのリソースをフィルタリングすることができる。高フィルタリング感度によって、ほとんど全てのフィルタリングが可能になるが、デバイスが非常に多くのリソースアクセスリクエストを行なっている場合には、フィルタリング速度及び性能が低下する。中感度レベルでは、全ての非HTTPポートが分類され、かつHTTPページリクエストのみが分類され、画像ファイル、音声ファイル、スタイルシート、及びXMLリクエストは分類されない。低感度レベルでは、全ての非HTTPポートが分類され、かつHTTPリクエストのサーバアドレス部分のみが分類されるので、結果を非常に短い時間でキャッシュすることができる。自動感度レベルでは、クライアントは高、中、または低レベルを平均サーバ応答時間(応答遅延)及び事前設定閾値に基づいて選択する。自動モードでは、クライアントは、コードの内、感度を調整する部分を設定することができる。例えば、高レベルは応答遅延が所定期間よりも短くなっている間に使用することができ、そして当該レベルを中レベルに設定し直すことができる。
【0034】
本発明によれば、システムは全てのTCP/IPポートをフィルタリングすることができ、この場合、これらのポートの幾つかは、サイト38のリソースに対して直接、またはプロキシサーバを通して行なわれるHTTPウェブリクエストとして処理される。特定の会社がフィルタリングまたはモニタリングのためには注目していないポート群にデバイスが接続するために行なわれるサーバとの不必要な通信を減らすために、デバイス32には、どのポート群をサーバに接続すべきであり、そしてこれらのポートの内のどのポートをHTTPウェブリクエストとして処理すべきかについて通知する(サーバによって)ことができる。従って、サーバは、特定の会社に関して、フィルタリングされていないポート(サーバに接続されることがない一連のポート)を用いて構成することができる。本発明によれば、HTTPリクエストとしてフィルタリングされ、そして/または処理される一連のポートは、デバイスがログイン手続きを行なっている間にデバイスに接続される。従って、クライアントは、フィルタリングされていないポート動作を実行することができ、このポート動作は、デバイスで実行されるアプリケーションが、フィルタリングされていないポートとの接続を試みるときに行なわれる自動動作である。本実施形態及びシステムの一の実施形態では、一連のフィルタリングポート及びHTTPポートはサーバソフトウェアにハードコードされる。本発明の別の実施形態では、サーバは1セット/リストのルール(調整/カスタマイズすることができる)を解析することができ、そして被モニタリングポートのリストはこれらのルールに基づいて自動的に生成される。フィルタリングされていないポート動作は、例えばこれらのポートリクエストの全てが許可されるallow all option(アローオールオプション)(“Allow All” モー
ド)、フィルタリングされていない全てのポートとの接続が阻止されるblock all option(ブロックオールオプション)(“Block All” モード)、
及びポートリクエストがサーバに送信されるfilter option(フィルタオプション)(“Filter”モード)を含むことができ、このfilter optionは、通常のウェブフィルタが普通、全てのポートに影響を与える、例えば全ての人がアダルトコンテンツにアクセスすることができないように当該アクセスを阻止するということからすると、ルールにとって有用である。
【0035】
図6A及び6Bは、本発明によるフィルタリングシステムの構成を示す2つの異なる例
である。各構成において、サーバ34は、デバイス32(クライアントが実装された)がサーバとの接続をTCPポート80を通して行なうことができるように配置される。図6Aでは、サーバ34は被保護メインネットワーク112(当該ネットワークの内部コンピューティングデバイス114を含む)の外部に配置することができ、そして企業ネットワークとの接続を図示のブリッジ/ルータ/ファイアウォールデバイス110を通して行なうことによりデバイス32がサーバ34との接続を行なうことができるようにする。図6Bに示す例では、サーバ34をネットワーク112の内部に配置することができ、従ってファイアウォール110はTCPポート80におけるトラフィックを、トラフィックがサーバ34に向けられる限り許可するように構成する必要がある。両方の場合において、デバイス32はサーバ34と通信する機能を備えるので、サーバはリモートモニタリング及びフィルタリング動作を実行することができる。
【0036】
図7は、クライアント管理モジュールの例示としての実施形態のユーザインターフェース120の例を示している。アドミニストレータはシステムの主要管理ポイントであり、かつ各リモートデバイスに関するカスタマイズ可能な記述、及び各特定デバイスに関する設定を行なう。ユーザインターフェース120はサマリー部分122及びクライアント詳細部分124を含み、サマリー部分122はシステムに現時点で参加している、またはログインしているクライアントの全てを列挙する(本例では、説明を簡単にするためにクライアントを1つだけ示している)。管理モジュールのユーザが特定クライアントをサマリー部分から選択すると、クライアント詳細部分124は、特定クライアント、及び当該クライアントを実行しているデバイスに関する詳細設定及び他の情報を提示する。クライアント詳細部分124は更に、クライアント情報部分126及びクライアント設定部分128を含むことができ、クライアント情報部分は、特定の選択クライアント/デバイスについての情報を列挙し、そしてクライアント設定部分によってアドミニストレータは、特定のクライアント/デバイスに関するフィルタリング/モニタリングの設定を調整/設定/再設定することができる。クライアント情報部分に示すように、各クライアントは固有の識別情報(図7に示すクライアントId)を有し、この識別情報によって各クライアント構成を固有に特定して各クライアントに関する設定をデータベースに保存することができるようにする。
【0037】
クライアント設定部分128では、アドミニストレータは種々のフィルタリング及びモニタリング設定を設定することができ、これらの設定として、例えばオフライン動作設定130、未フィルタリングポート設定132、フィルタ感度設定134、ユーザネーム設定136、及びホストネーム設定138を挙げることができる。上に説明したように、オフライン動作設定130によってアドミニストレータは、サーバをクライアントが利用することができなくなった場合にクライアントがどのようにして動作するかに関するオプションを選択することができ、そして好適な実施形態ではオフライン動作は、“Allow
All”、“Block All”、及び“Log and Allow”の中から選択することができる。未フィルタリングポート設定132によってアドミニストレータは、フィルタリングされているポートに含まれていないポート群との接続をデバイスのユーザが行なう場合に、特定クライアントがどのようにして動作する必要があるかについて設定することができる。本発明の好適な実施形態では、選択リストのTCPポート群をモニタリング対象として選択して、クライアントとサーバとの間の合計トラフィックを減らす。実際に選択されるモニタリング対象のポート群は、アドミニストレータモジュールを使用して変更することができる。デフォルトのTCPポート群から成るリストは、例えば次の表に示す項目を含むことができる。
【0038】
【表3】
【0039】
従って、アドミニストレータがモニタリングするポートにフィルタリング済みポートとして、または追加ポートとして指定されないポートに関しては必ず、未フィルタリングポート設定が適用される。上に説明したように、未フィルタリングポート選択には好適な実施形態においては、Allow Allモード、Block Allモード、及びFilterモードを含めることができる。フィルタ感度設定134によって、アドミニストレータはクライアントに関するフィルタリングの感度レベルを設定することができる。上に説明したように、選択には好適な実施形態においては、高フィルタリングレベル、中フィルタリングレベル、低フィルタリングレベル、及び自動フィルタリングレベルを含めることができる。
【0040】
一般的に、フィルタリングルールはユーザネームまたはホストネームに基づいて作成することができる。従って、ユーザネームがルールによって指定される場合、ユーザが使用しているデバイスに関係なく、ユーザフィルタリングルールが適用される。ホストネームがルールにおいて指定される場合、どのユーザが特定デバイスにログインするかに関係なく、ホストネームに基づくルールが当該特定デバイスに適用される。従って、ユーザネーム設定136によってアドミニストレータは特定デバイスに適用されるユーザを設定することができる。このユーザネームはサーバが使用してクライアントデバイスに関する全てのフィルタリング決定を行なう。従って、ネームを使用して当該ネームをルールデータベース内のルールと比較することによりチェックして、特定クライアントユーザに関する適切なフィルタリングを決定することができる。ユーザネーム設定によってアドミニストレータは好適な実施形態において、クライアント指定ネームモード(client specified name mode)、サーバオーバライドモード(server override mode)、またはサーバデフォルトモード(server default mode)の中から選択を行なうことができる。クライアント指定ネームモードでは、ユーザが、クライアントを実行しているデバイスにログインすると、クライアントユーザログインネームをユーザネームサーバとして使用されるサーバに送信する。サーバオーバライドモードでは、アドミニストレータはネームを指定してこのユーザを、エンジニア、秘書、国際間異動要員などのような組織のメンバーとして特定することができ、ユーザを個人として特殊な形で定義して、組織のフィルタリングルールが特定ユーザに適用される、ということがない。例えば、会社は、一連のモバイルデバイスを移動中の保険販売員に使用させることができ、そしてこれらのモバイルデバイスを使用する人の全てを、彼ら個人のユーザネームではなく「販売員」の役割に従ってフィルタリングする必要がある。従って、「販売員」が仕事に必要な特定のサイトに辿り着くことができるルールを作成することができる。このモードは、携帯電話機のようなクライアントがユーザネームを提供することができない場合に使用することもできる。サーバデフォルトモードは、クライアント指定モード及びサーバオーバーライドモードが使用されないのでデバイスを或るレベルでフィルタリングし続ける必要がある場合に使用される。ホストネーム設定138は
実際のデバイス(デバイスのユーザではなく)を指定して、デバイス群またはデバイスグループ群(特定の特性を有する)を、デバイスを使用する個人に関係なく、当該デバイスグループに関するフィルタリングルールに従って一括してグループ化し、認識し、そしてフィルタリングすることができるようにする。ホストネーム設定によってアドミニストレータは好適な実施形態においては、クライアント指定ホストネームモード(client
specified host name mode)、サーバオーバーライドモード、及びサーバデフォルトモードの中から選択を行なうことができる。クライアント指定モードでは、デバイスのクライアントは、ユーザがデバイスにログインすると、デバイスのネットワークネームをサーバに送信する。サーバオーバライドモードでは、ホストネームを使用してデバイスをデバイス群に関して有用なグループのメンバーとして、例えばホストネームを送信することができない携帯電話機として特定する。サーバデフォルトモードにおいては、ホストネームが、クライアント指定モード及びサーバオーバーライドモードが使用されないのでデバイスを或るレベルでフィルタリングし続ける必要がある場合に使用される。
【0041】
図8は、ルールアドミニストレータモジュールの実施形態に関するユーザインターフェース150の例を示している。ルールアドミニストレータによって、システムの認証ユーザは一つ以上のフィルタリングルールを作成することができる。ユーザインターフェースは各ルール152をディスプレイの中の一つの行として示し、当該行は各ルールの異なる特性/設定を含み、特性/設定として、ルールのタイプ、ルールが適用されるユーザ/デバイス、ルールが適用されるコンテンツのタイプ、ルールに関する閾値、及びディスプレイの異なる欄に配置されるルールの通知特性を挙げることができる。ルールのタイプとして、ALLOW(ルールが指定するコンテンツを許可する),DISALLOW(ルールが指定するコンテンツを許可しない),またはTHRESHOLD(ルールが指定するコンテンツが閾値に収まる場合に当該コンテンツを許可する)を挙げることができる。閾値ルールに関しては、ルールによって指定されるユーザは、例えばインターネットに或る設定期間に渡ってアクセスすることができる。各ルールに関して、アドミニストレータは、ルールがフィルタリング動作の間に適用されるクライアント群/デバイス群、またはクライアントグループ群またはデバイスグループ群を指定することができる。各ルールに関して、アドミニストレータは、フィルタリングされるべきコンテンツのタイプを指定することができる。例えば、図8に示すように、コンテンツはアダルト/露骨な性描写、旅行、ギャンブル、実行可能ファイルなどとすることができるが、ルールを作成してどのようなタイプのコンテンツもフィルタリングすることができ、かついずれのタイプのコンテンツもシステムに加えることができるので、新規タイプのコンテンツを将来時点でフィルタリングすることができる。各ルールは、ルールが適用されている間の時間の指定も行ない、当該時間として、ANYTIME(随時可),After Work(就業時間後)、及びWeekends(週末),Worktime(就業時間中)などを挙げることができ、この場合、異なる時間の期間には、新規のネーム、従ってユーザが指定する期間を付与することができる。各ルールはまた、上に説明した閾値だけでなく、或るコンテンツが或るユーザによってアクセスされている時にシステムにおける誰に対して通知を行なうかについて指定する通知特性を有することができる。
【0042】
本発明によれば、ルールアドミニストレータが生成するフィルタリングルールは、誰がインターネットのどのエリアに1日の内の何時にアクセスすることができるかについてのほとんどの部分を決定することができる。ルールは肯定(サイトへの、すなわち「露骨な性描写」のような或るカテゴリーのサイトまたはリソースへのアクセスを許可する)、または否定(サイトへの、すなわち或るカテゴリーのサイトまたはリソースへのアクセスを拒否する)とすることができる。一般的に、各ルールはTypeオブジェクト,Whoオブジェクト,Whereオブジェクト,Whenオブジェクト,Notifyオブジェクト,Thresholdオブジェクト,HTTP Denyオブジェクト(これらのオブ
ジェクトの内の幾つかだけを図8に示す)を含むことができ、これらのオブジェクトによって各フィルタリングルールの異なる特性を指定する。Typeオブジェクトは、ルールがallowルール、disallowルール、またはthresholdルールとなる場合を指定するデータを含む。Whoオブジェクトは、ルールが適用されることになる個人を指定するデータを含み、この場合、オブジェクトによって個人、或るグループの人、anybody(全ての人)、nobody(誰にも適用されず)などを指定することができる。Whereオブジェクトはリクエスト対象リソースの発信源(ウェブサイトのような)を指定するデータを含むが、当該オブジェクトによって、例えば「露骨な性描写」または「ftp」のような或るカテゴリーのサイトを指定することもできる。Whenオブジェクトは、リソースリクエストが許可される、または拒否される時間及び/又は日を指定するデータを含む。Notifyオブジェクトは、特定のリソースリクエストによって当該ルールが起動されるときにemailなどによる通知先となることができる一人以上の個人を指定するデータを含む。Thresholdオブジェクトは、データ量の限界値、または特定期間に渡るサーフィンに要する時間の限界値を指定するデータを含む。HTTP Denyオブジェクトは、特定タイプの拒否ページ(辛らつな、強烈な、または穏当な)が、ルールが起動されるときにユーザに送信されるように指定を行なうデータを含む。各新規ルールに関して、ルールアドミニストレータによってユーザはルールのこれらの特性を、情報を入力し、そしてドロップダウンメニューを利用することにより指定することができる。
【0043】
本発明によれば、システムは企業ネットワークから遠く離れたデバイス群をフィルタリングする。特定デバイスが企業ネットワークに戻るように移動する、例えばラップトップが路上で使用されていて、次に企業ネットワークに戻るように企業ネットワークとの接続を行なう場合に、企業ネットワークのフィルタリングポリシー(例えば、固定従業員に関して)が特定デバイスに、当該デバイスが企業ネットワーク内に位置する限り使用されることが望ましい。本発明によれば、クライアントはソフトウェアモジュールを含むことができ、このソフトウェアモジュールは、デバイスによる特定リソースリクエストが企業ネットワークを通して送信されようとしている(クライアントが実装されるデバイスが企業ネットワークに接続されているときのような)かどうかを検出して、企業ネットワークを通して送信されているこれらのリソースリクエストに関するクライアントフィルタリング機能を無効にして、企業ネットワークフィルタリングポリシーを使用することができるようにする。別の例として、デバイスは企業ネットワークとの接続を行なうことができるが、無線モデムとの接続を行なうこともでき、そしてクライアントフィルタリングは、企業ネットワークを通して送信されるリソースリクエストに対してではなく、無線モデムを通して送信されるリソースリクエストに対して使用することができる。
【0044】
幾つかの好適な実施形態について示し、そして説明してきたが、この技術分野の当業者であれば、種々の変更及び変形を、添付の請求項に規定される本発明の技術範囲から逸脱しない範囲において加え得ることが分かるであろう。
【0045】
本出願に関連する本明細書と同時に、または本明細書よりも先に提出され、かつ本明細書を用いて公に調査することができる全ての論文及び文書に関心が向けられることになるので、このような論文及び文書の全ての内容は、本明細書において参照することにより本発明の開示に含まれる。
【0046】
本明細書に開示する特徴の全て(全ての添付の請求項、要約、及び図を含む)、及び/又はこのようにして開示される全ての方法またはプロセスのステップの全ては、このような特徴及び/又はステップの少なくとも或る部分が相容れない組合せを除き、どのような組合せでも組み合わせることができる。
【0047】
本明細書に開示する各特徴(全ての添付の請求項、要約、及び図を含む)は、特に断らない限り、同じ、等価な、または同様の目的を達成する別の特徴により置き換えることができる。従って、特に断らない限り、開示する各特徴は一般的な一連の等価な、または同様な特徴の一例に過ぎない。
【0048】
本発明はこれまでの実施形態(複数の実施形態)の詳細に限定されない。本発明は、本明細書に開示する複数の特徴(全ての添付の請求項、要約、及び図を含む)に基づく一つの新規のいずれかの特徴、またはこれらの特徴の新規のいずれかの組合せ、或いはこれまでに開示したいずれかの方法またはプロセスの複数のステップに基づく一つの新規のいずれかのステップ、またはこれらのステップの新規のいずれかの組合せに拡張することができる。
【0049】
本発明を更に深く理解するために、かつ本発明の実施形態をどのようにして実施することができるかについて示すために、一つの例として添付の概略図を参照することとする。
【図面の簡単な説明】
【0050】
【図1】本発明によるデバイスリソースアクセスフィルタリング兼モニタリングシステムの例を示す図。
【図2】図1に示すデバイスリソースアクセスフィルタリング兼モニタリングシステムを更に詳細に示す図。
【図3】デバイス及びサーバを更に詳細に示すデバイスリソースアクセスフィルタリング兼モニタリングシステムのクライアント/サーバ形態を更に詳細に示す図。
【図4】図3のシステムのサーバ部分を更に詳細に示す図。
【図5】図3のシステムのクライアント部分を更に詳細に示す図。
【図6A】本発明によるデバイスリソースアクセスフィルタリング兼モニタリングシステムの構成の2つの異なる例を示す図。
【図6B】本発明によるデバイスリソースアクセスフィルタリング兼モニタリングシステムの構成の2つの異なる例を示す図。
【図7】システムのクライアントアドミニストレータモジュールの例示としての実施形態に関するユーザインターフェースの例。
【図8】システムのルールアドミニストレータモジュールの実施形態に関するユーザインターフェースの例。
【特許請求の範囲】
【請求項1】
コンピュータ(33)と、
デバイス(32)のクライアント(48)と、を備え、クライアント(48)はコンピュータ(33)とのリモート接続を確立し、クライアント(48)は更に、リソースへのアクセスを要求するデバイス(32)からのリクエストに関する情報を収集するモジュールと、そして収集情報をコンピュータ(33)に送信するモジュールと、を含み、そして
コンピュータ(33)は更に、デバイス(32)によるリソースアクセスを収集情報に基づいて分類するモジュールと、そしてリアルタイムでリソースアクセス決定をクライアント(48)に送信して、クライアント(48)がリソースへのデバイス(32)によるアクセスを、コンピュータ(33)によるリソースアクセス決定に基づいて制御するようにするモジュールと、を含む、リソースアクセスフィルタリングシステム。
【請求項2】
リソースアクセス決定は、クライアント(48)への許可決定または阻止決定のいずれかであり、この決定によりクライアント(48)はリクエスト対象リソースへのアクセスを許可する、または阻止する、請求項1記載のシステム。
【請求項3】
クライアント(48)は更に、リクエスト対象リソースが企業ネットワークを介して送信されようとしているかどうかについて検出し、そして企業ネットワークを介して送信されようとしているリクエスト対象リソースに関するクライアントフィルタリングを無効にするモジュールを含む、請求項1又は2記載のシステム。
【請求項4】
クライアント(48)は更に、クライアント(48)がコンピュータ(33)との通信を行なうことができない場合に、デバイス(32)によるリソースアクセスを制御するオフラインフィルタリングモジュールを含む、請求項1,2,又は3記載のシステム。
【請求項5】
オフラインフィルタリングモジュールは一つ以上のモードを提供し、これらのモードは、allow all resource access(全リソースアクセス許可)モード、block all resource access(全リソースアクセス阻止)モード、及びallow all resource access with logging(ログに記録される全てのリソースアクセスを許可する)モードを含む、請求項4記載のシステム。
【請求項6】
allow all resource access with logging(ログに記録される全てのリソースアクセスを許可する)モードは更に、コンピュータ(33)にアップロードされるオフラインログを減らしてオフラインログに消費される帯域幅を制御するモジュールを含む、請求項5記載のシステム。
【請求項7】
オフラインフィルタリングモジュールの一つのモードがコンピュータ(33)によって選択される、請求項4,5,又は6記載のシステム。
【請求項8】
クライアント(48)は、コンピュータ(33)からダウンロードされるフィルタリング済みポートリストを有し、ポートリストはフィルタリングされるべきポート、及びHTTPポートとして処理されるべきポートを示す、請求項1乃至7のいずれかに記載のシステム。
【請求項9】
クライアント(48)は更に、未フィルタリングポートモジュール(unfiltered ports module)を含み、このポートモジュールは、フィルタリング済みポートとして特に認識されるということがないポートに関するデバイス(32)によるリソースアクセスを制御する、請求項8記載のシステム。
【請求項10】
未フィルタリングポートモジュールは更に、allow all resource access(全リソースアクセス許可)モード、block all resource
access(全リソースアクセス阻止)モード、及び「コンピュータ(33)への送信を行なってフィルタリング及び/又はログ記録を可能にする」(send to computer (33) for possible filtering and/or logging)モードを含む、請求項9記載のシステム。
【請求項11】
未フィルタリングポートモジュールの一つのモードがコンピュータ(33)によって選択される、請求項8,9,又は10記載のシステム。
【請求項12】
クライアント(48)は更にフィルタリング感度モジュールを含み、このモジュールは、クライアント(48)に関するリソースアクセスのフィルタリングレベルを制御し、これによってクライアント(48)は収集情報をコンピュータ(33)に送信すべきかどうかについて、フィルタリングレベルに基づいて判断する、前の請求項のいずれか一項に記載のシステム。
【請求項13】
フィルタリング感度モジュールは更に、高感度レベルモード、中感度レベルモード、低感度レベルモード、及び自動感度レベルモード、を含む、請求項12記載のシステム。
【請求項14】
フィルタリング感度モジュールの一つのモードがコンピュータ(33)によって選択される、請求項12又は13記載のシステム。
【請求項15】
コンピュータ(33)は更にモニターモジュールを含み、このモニターモジュールは、コンピュータ(33)に接続されるデバイス群によるリソースアクセスをモニタリングして、デバイス群によるリソースアクセスのサマリーを作成する、請求項1乃至14のいずれかに記載のシステム。
【請求項16】
アクセス対象のリソースは、ウェブページ、ファイル転送プロトコルサイト、e−mailサイト、セキュアウェブサイト、及びニュースサイトの内のいずれか一つを含む、請求項1乃至15のいずれかに記載のシステム。
【請求項17】
デバイス(32)は携帯情報端末、携帯電話機、パーソナルコンピュータ、ラップトップコンピュータ、パームトップコンピュータ、及び家電製品の内のいずれか一つを含む、請求項1乃至16のいずれかに記載のシステム。
【請求項18】
クライアント(48)は更に、デバイス(32)の機能マスクを生成し、そして当該機能マスクをコンピュータ(33)に送信するモジュールを含み、機能マスクはデバイス(32)のフィルタリング機能に関する情報を含む、請求項1乃至17いずれかに記載のシステム。
【請求項19】
収集情報及びリソースアクセス決定は、クライアント(48)とコンピュータ(33)との間でハイパーテキスト転送プロトコルオーバーTCPポート80(hypertext
transfer protocol over TCP port 80)を使用して授受される、請求項1乃至18のいずれか一項に記載のシステム。
【請求項20】
収集情報に関するプロトコルは更にハイパーテキスト転送プロトコルポスト機能(hipertext transfer protocol POST operation)を含む請求項19記載のシステム。
【請求項21】
リソースアクセス決定に関するプロトコルは更に、データをウェブページフォーマットで含む請求項1乃至20のいずれかに記載のシステム。
【請求項22】
コンピュータ(33)、及びコンピュータ(33)との接続を確立するデバイス(32)のクライアント(48)を使用するリソースアクセスフィルタリング方法であって、前記方法では、
リソースへのアクセスを要求するデバイス(32)からのリクエストに関する情報をクライアント(48)によって収集し、
収集情報をコンピュータ(33)にリモート通信を利用して送信し、
コンピュータ(33)において、デバイス(32)によるリソースアクセスを収集情報に基づいて分類し、そして
リアルタイムでリソースアクセス決定をクライアント(48)に送信して、クライアント(48)がリソースへのデバイス(32)によるアクセスを、コンピュータ(33)によるリソースアクセス決定に基づいて制御するようにする、
方法。
【請求項23】
リソースアクセス決定は、クライアント(48)への許可決定または阻止決定のいずれかであり、この決定によりクライアント(48)はリクエスト対象リソースへのアクセスを許可する、または阻止する、請求項22記載の方法。
【請求項24】
クライアント(48)は更に、リクエスト対象リソースが企業ネットワークを通して送信されようとしているかどうかについて検出し、そして企業ネットワークを通して送信されようとしているリクエスト対象リソースに関するクライアントフィルタリングを無効にするモジュールを含む、請求項22又は23記載の方法。
【請求項25】
クライアント(48)は更に、クライアント(48)がコンピュータ(33)との通信を行なうことができない場合に、デバイス(32)によるリソースアクセスを制御するオフラインフィルタリングモジュールを含む、請求項22,23,又は24記載の方法。
【請求項26】
オフラインフィルタリングモジュールは一つ以上のモードを提供し、これらのモードは、allow all resource access(全リソースアクセス許可)モード、block all resource access(全リソースアクセス阻止)モード、及びallow all resource access with logging(ログに記録される全てのリソースアクセスを許可する)モードを含む、請求項25記載の方法。
【請求項27】
allow all resource access with logging(ログに記録される全てのリソースアクセスを許可する)モードは更に、コンピュータ(33)にアップロードされるオフラインログを減らしてオフラインログに消費される帯域幅を制御するモジュールを含む、請求項26記載の方法。
【請求項28】
オフラインフィルタリングモジュールの一つのモードがコンピュータ(33)によって選択される、請求項25,26,又は27記載の方法。
【請求項29】
クライアント(48)は、コンピュータ(33)からダウンロードされるフィルタリング済みポートリストを有し、ポートリストはフィルタリングされるべきポート、及びHTTPポートとして処理されるべきポートを示す、請求項22乃至28のいずれかに記載の方法。
【請求項30】
クライアント(48)は更に未フィルタリングポートモジュールを含み、このポートモジ
ュールは、フィルタリング済みポートとして特に認識されるということがないポートに関するデバイス(32)によるリソースアクセスを制御する請求項29記載の方法。
【請求項31】
未フィルタリングポートモジュールは更に、allow all resource access(全リソースアクセス許可)モード、block all resource
access(全リソースアクセス阻止)モード、及び「コンピュータ(33)への送信を行なってフィルタリング及び/又はログ記録を可能にする」(send to computer (33) for possible filtering and/or logging)モードを含む請求項30記載の方法。
【請求項32】
未フィルタリングポートモジュールの一つのモードがコンピュータ(33)によって選択される請求項29,30,又は31記載のシステム。
【請求項33】
クライアント(48)は更に、フィルタリング感度モジュールを含み、このモジュールは、クライアント(48)に関するリソースアクセスのフィルタリングレベルを制御し、これによってクライアント(48)は収集情報をコンピュータ(33)に送信すべきかどうかについて、フィルタリングレベルに基づいて判断する請求項22乃至32のいずれか一項に記載の方法。
【請求項34】
フィルタリング感度モジュールは更に、高感度レベルモード、中感度レベルモード、低感度レベルモード、及び自動感度レベルモード、を含む、請求項33記載の方法。
【請求項35】
フィルタリング感度モジュールの一つのモードがコンピュータ(33)によって選択される請求項33又は34記載の方法。
【請求項36】
コンピュータ(33)は更にモニターモジュールを含み、このモニターモジュールは、コンピュータ(33)に接続されるデバイス群によるリソースアクセスをモニタリングして、デバイス群によるリソースアクセスのサマリーを作成する、請求項22乃至35のいずれかに記載の方法。
【請求項37】
アクセス対象のリソースは、ウェブページ、ファイル転送プロトコルサイト、e−mailサイト、セキュアウェブサイト、及びニュースサイトの内のいずれか一つを含む、請求項22乃至36のいずれかに記載の方法。
【請求項38】
デバイス(32)は更に、携帯情報端末、携帯電話機、パーソナルコンピュータ、ラップトップコンピュータ、パームトップコンピュータ、及び家電製品の内のいずれか一つを含む請求項22乃至37のいずれかに記載の方法。
【請求項39】
クライアント(48)は更に、デバイス(32)の機能マスクを生成し、そして当該機能マスクをコンピュータ(33)に送信するモジュールを含み、機能マスクはデバイス(32)のフィルタリング機能に関する情報を含む、請求項22乃至38のいずれかに記載の方法。
【請求項40】
収集情報及びリソースアクセス決定は、クライアント(48)とコンピュータ(33)との間でハイパーテキスト転送プロトコルオーバーTCPポート80(hypertext
transfer protocol over TCP port 80)を使用して授受される、請求項22乃至39のいずれか一項に記載の方法。
【請求項41】
収集情報に関するプロトコルは更に、ハイパーテキスト転送プロトコルポスト機能(hipertext transfer protocol POST operation
)を含む、請求項40記載の方法。
【請求項42】
リソースアクセス決定に関するプロトコルは更に、データをウェブページフォーマットで含む、請求項22乃至41のいずれか一項に記載の方法。
【請求項43】
リソースアクセスフィルタリングシステムのコンピュータであって、
リソースへのアクセスを要求するリモートデバイス(32)からのリクエストに関する情報を受信するモジュールであって、リソースアクセスリクエストに関する情報が、遠く離れて位置するリモートデバイス(32)のクライアント(48)から送信される構成のモジュールと、
リモートデバイス(32)によるリソースアクセスを収集情報に基づいて分類するモジュールと、そして
リアルタイムでリソースアクセス決定をクライアント(48)に送信して、クライアント(48)がリソースへのデバイス(32)によるアクセスを、コンピュータ(33)によるリソースアクセス決定に基づいて制御するようにするモジュールと、を備えるコンピュータ。
【請求項44】
リモートコンピュータ(33)と通信するデバイス(32)に配置されるリモートアクセスフィルタリングクライアント(48)であって、クライアント(48)は、
リソースへのアクセスを要求するデバイス(32)からのリクエストに関する情報を収集するモジュールと、
収集情報をコンピュータ(33)に送信するモジュールと、そして
リソースアクセス決定をコンピュータ(33)から受信し、そしてデバイス(32)によるリソースへのアクセスを、コンピュータ(33)によるリソースアクセス決定に基づいて制御するモジュールと、を備えるリモートアクセスフィルタリングクライアント。
【請求項1】
コンピュータ(33)と、
デバイス(32)のクライアント(48)と、を備え、クライアント(48)はコンピュータ(33)とのリモート接続を確立し、クライアント(48)は更に、リソースへのアクセスを要求するデバイス(32)からのリクエストに関する情報を収集するモジュールと、そして収集情報をコンピュータ(33)に送信するモジュールと、を含み、そして
コンピュータ(33)は更に、デバイス(32)によるリソースアクセスを収集情報に基づいて分類するモジュールと、そしてリアルタイムでリソースアクセス決定をクライアント(48)に送信して、クライアント(48)がリソースへのデバイス(32)によるアクセスを、コンピュータ(33)によるリソースアクセス決定に基づいて制御するようにするモジュールと、を含む、リソースアクセスフィルタリングシステム。
【請求項2】
リソースアクセス決定は、クライアント(48)への許可決定または阻止決定のいずれかであり、この決定によりクライアント(48)はリクエスト対象リソースへのアクセスを許可する、または阻止する、請求項1記載のシステム。
【請求項3】
クライアント(48)は更に、リクエスト対象リソースが企業ネットワークを介して送信されようとしているかどうかについて検出し、そして企業ネットワークを介して送信されようとしているリクエスト対象リソースに関するクライアントフィルタリングを無効にするモジュールを含む、請求項1又は2記載のシステム。
【請求項4】
クライアント(48)は更に、クライアント(48)がコンピュータ(33)との通信を行なうことができない場合に、デバイス(32)によるリソースアクセスを制御するオフラインフィルタリングモジュールを含む、請求項1,2,又は3記載のシステム。
【請求項5】
オフラインフィルタリングモジュールは一つ以上のモードを提供し、これらのモードは、allow all resource access(全リソースアクセス許可)モード、block all resource access(全リソースアクセス阻止)モード、及びallow all resource access with logging(ログに記録される全てのリソースアクセスを許可する)モードを含む、請求項4記載のシステム。
【請求項6】
allow all resource access with logging(ログに記録される全てのリソースアクセスを許可する)モードは更に、コンピュータ(33)にアップロードされるオフラインログを減らしてオフラインログに消費される帯域幅を制御するモジュールを含む、請求項5記載のシステム。
【請求項7】
オフラインフィルタリングモジュールの一つのモードがコンピュータ(33)によって選択される、請求項4,5,又は6記載のシステム。
【請求項8】
クライアント(48)は、コンピュータ(33)からダウンロードされるフィルタリング済みポートリストを有し、ポートリストはフィルタリングされるべきポート、及びHTTPポートとして処理されるべきポートを示す、請求項1乃至7のいずれかに記載のシステム。
【請求項9】
クライアント(48)は更に、未フィルタリングポートモジュール(unfiltered ports module)を含み、このポートモジュールは、フィルタリング済みポートとして特に認識されるということがないポートに関するデバイス(32)によるリソースアクセスを制御する、請求項8記載のシステム。
【請求項10】
未フィルタリングポートモジュールは更に、allow all resource access(全リソースアクセス許可)モード、block all resource
access(全リソースアクセス阻止)モード、及び「コンピュータ(33)への送信を行なってフィルタリング及び/又はログ記録を可能にする」(send to computer (33) for possible filtering and/or logging)モードを含む、請求項9記載のシステム。
【請求項11】
未フィルタリングポートモジュールの一つのモードがコンピュータ(33)によって選択される、請求項8,9,又は10記載のシステム。
【請求項12】
クライアント(48)は更にフィルタリング感度モジュールを含み、このモジュールは、クライアント(48)に関するリソースアクセスのフィルタリングレベルを制御し、これによってクライアント(48)は収集情報をコンピュータ(33)に送信すべきかどうかについて、フィルタリングレベルに基づいて判断する、前の請求項のいずれか一項に記載のシステム。
【請求項13】
フィルタリング感度モジュールは更に、高感度レベルモード、中感度レベルモード、低感度レベルモード、及び自動感度レベルモード、を含む、請求項12記載のシステム。
【請求項14】
フィルタリング感度モジュールの一つのモードがコンピュータ(33)によって選択される、請求項12又は13記載のシステム。
【請求項15】
コンピュータ(33)は更にモニターモジュールを含み、このモニターモジュールは、コンピュータ(33)に接続されるデバイス群によるリソースアクセスをモニタリングして、デバイス群によるリソースアクセスのサマリーを作成する、請求項1乃至14のいずれかに記載のシステム。
【請求項16】
アクセス対象のリソースは、ウェブページ、ファイル転送プロトコルサイト、e−mailサイト、セキュアウェブサイト、及びニュースサイトの内のいずれか一つを含む、請求項1乃至15のいずれかに記載のシステム。
【請求項17】
デバイス(32)は携帯情報端末、携帯電話機、パーソナルコンピュータ、ラップトップコンピュータ、パームトップコンピュータ、及び家電製品の内のいずれか一つを含む、請求項1乃至16のいずれかに記載のシステム。
【請求項18】
クライアント(48)は更に、デバイス(32)の機能マスクを生成し、そして当該機能マスクをコンピュータ(33)に送信するモジュールを含み、機能マスクはデバイス(32)のフィルタリング機能に関する情報を含む、請求項1乃至17いずれかに記載のシステム。
【請求項19】
収集情報及びリソースアクセス決定は、クライアント(48)とコンピュータ(33)との間でハイパーテキスト転送プロトコルオーバーTCPポート80(hypertext
transfer protocol over TCP port 80)を使用して授受される、請求項1乃至18のいずれか一項に記載のシステム。
【請求項20】
収集情報に関するプロトコルは更にハイパーテキスト転送プロトコルポスト機能(hipertext transfer protocol POST operation)を含む請求項19記載のシステム。
【請求項21】
リソースアクセス決定に関するプロトコルは更に、データをウェブページフォーマットで含む請求項1乃至20のいずれかに記載のシステム。
【請求項22】
コンピュータ(33)、及びコンピュータ(33)との接続を確立するデバイス(32)のクライアント(48)を使用するリソースアクセスフィルタリング方法であって、前記方法では、
リソースへのアクセスを要求するデバイス(32)からのリクエストに関する情報をクライアント(48)によって収集し、
収集情報をコンピュータ(33)にリモート通信を利用して送信し、
コンピュータ(33)において、デバイス(32)によるリソースアクセスを収集情報に基づいて分類し、そして
リアルタイムでリソースアクセス決定をクライアント(48)に送信して、クライアント(48)がリソースへのデバイス(32)によるアクセスを、コンピュータ(33)によるリソースアクセス決定に基づいて制御するようにする、
方法。
【請求項23】
リソースアクセス決定は、クライアント(48)への許可決定または阻止決定のいずれかであり、この決定によりクライアント(48)はリクエスト対象リソースへのアクセスを許可する、または阻止する、請求項22記載の方法。
【請求項24】
クライアント(48)は更に、リクエスト対象リソースが企業ネットワークを通して送信されようとしているかどうかについて検出し、そして企業ネットワークを通して送信されようとしているリクエスト対象リソースに関するクライアントフィルタリングを無効にするモジュールを含む、請求項22又は23記載の方法。
【請求項25】
クライアント(48)は更に、クライアント(48)がコンピュータ(33)との通信を行なうことができない場合に、デバイス(32)によるリソースアクセスを制御するオフラインフィルタリングモジュールを含む、請求項22,23,又は24記載の方法。
【請求項26】
オフラインフィルタリングモジュールは一つ以上のモードを提供し、これらのモードは、allow all resource access(全リソースアクセス許可)モード、block all resource access(全リソースアクセス阻止)モード、及びallow all resource access with logging(ログに記録される全てのリソースアクセスを許可する)モードを含む、請求項25記載の方法。
【請求項27】
allow all resource access with logging(ログに記録される全てのリソースアクセスを許可する)モードは更に、コンピュータ(33)にアップロードされるオフラインログを減らしてオフラインログに消費される帯域幅を制御するモジュールを含む、請求項26記載の方法。
【請求項28】
オフラインフィルタリングモジュールの一つのモードがコンピュータ(33)によって選択される、請求項25,26,又は27記載の方法。
【請求項29】
クライアント(48)は、コンピュータ(33)からダウンロードされるフィルタリング済みポートリストを有し、ポートリストはフィルタリングされるべきポート、及びHTTPポートとして処理されるべきポートを示す、請求項22乃至28のいずれかに記載の方法。
【請求項30】
クライアント(48)は更に未フィルタリングポートモジュールを含み、このポートモジ
ュールは、フィルタリング済みポートとして特に認識されるということがないポートに関するデバイス(32)によるリソースアクセスを制御する請求項29記載の方法。
【請求項31】
未フィルタリングポートモジュールは更に、allow all resource access(全リソースアクセス許可)モード、block all resource
access(全リソースアクセス阻止)モード、及び「コンピュータ(33)への送信を行なってフィルタリング及び/又はログ記録を可能にする」(send to computer (33) for possible filtering and/or logging)モードを含む請求項30記載の方法。
【請求項32】
未フィルタリングポートモジュールの一つのモードがコンピュータ(33)によって選択される請求項29,30,又は31記載のシステム。
【請求項33】
クライアント(48)は更に、フィルタリング感度モジュールを含み、このモジュールは、クライアント(48)に関するリソースアクセスのフィルタリングレベルを制御し、これによってクライアント(48)は収集情報をコンピュータ(33)に送信すべきかどうかについて、フィルタリングレベルに基づいて判断する請求項22乃至32のいずれか一項に記載の方法。
【請求項34】
フィルタリング感度モジュールは更に、高感度レベルモード、中感度レベルモード、低感度レベルモード、及び自動感度レベルモード、を含む、請求項33記載の方法。
【請求項35】
フィルタリング感度モジュールの一つのモードがコンピュータ(33)によって選択される請求項33又は34記載の方法。
【請求項36】
コンピュータ(33)は更にモニターモジュールを含み、このモニターモジュールは、コンピュータ(33)に接続されるデバイス群によるリソースアクセスをモニタリングして、デバイス群によるリソースアクセスのサマリーを作成する、請求項22乃至35のいずれかに記載の方法。
【請求項37】
アクセス対象のリソースは、ウェブページ、ファイル転送プロトコルサイト、e−mailサイト、セキュアウェブサイト、及びニュースサイトの内のいずれか一つを含む、請求項22乃至36のいずれかに記載の方法。
【請求項38】
デバイス(32)は更に、携帯情報端末、携帯電話機、パーソナルコンピュータ、ラップトップコンピュータ、パームトップコンピュータ、及び家電製品の内のいずれか一つを含む請求項22乃至37のいずれかに記載の方法。
【請求項39】
クライアント(48)は更に、デバイス(32)の機能マスクを生成し、そして当該機能マスクをコンピュータ(33)に送信するモジュールを含み、機能マスクはデバイス(32)のフィルタリング機能に関する情報を含む、請求項22乃至38のいずれかに記載の方法。
【請求項40】
収集情報及びリソースアクセス決定は、クライアント(48)とコンピュータ(33)との間でハイパーテキスト転送プロトコルオーバーTCPポート80(hypertext
transfer protocol over TCP port 80)を使用して授受される、請求項22乃至39のいずれか一項に記載の方法。
【請求項41】
収集情報に関するプロトコルは更に、ハイパーテキスト転送プロトコルポスト機能(hipertext transfer protocol POST operation
)を含む、請求項40記載の方法。
【請求項42】
リソースアクセス決定に関するプロトコルは更に、データをウェブページフォーマットで含む、請求項22乃至41のいずれか一項に記載の方法。
【請求項43】
リソースアクセスフィルタリングシステムのコンピュータであって、
リソースへのアクセスを要求するリモートデバイス(32)からのリクエストに関する情報を受信するモジュールであって、リソースアクセスリクエストに関する情報が、遠く離れて位置するリモートデバイス(32)のクライアント(48)から送信される構成のモジュールと、
リモートデバイス(32)によるリソースアクセスを収集情報に基づいて分類するモジュールと、そして
リアルタイムでリソースアクセス決定をクライアント(48)に送信して、クライアント(48)がリソースへのデバイス(32)によるアクセスを、コンピュータ(33)によるリソースアクセス決定に基づいて制御するようにするモジュールと、を備えるコンピュータ。
【請求項44】
リモートコンピュータ(33)と通信するデバイス(32)に配置されるリモートアクセスフィルタリングクライアント(48)であって、クライアント(48)は、
リソースへのアクセスを要求するデバイス(32)からのリクエストに関する情報を収集するモジュールと、
収集情報をコンピュータ(33)に送信するモジュールと、そして
リソースアクセス決定をコンピュータ(33)から受信し、そしてデバイス(32)によるリソースへのアクセスを、コンピュータ(33)によるリソースアクセス決定に基づいて制御するモジュールと、を備えるリモートアクセスフィルタリングクライアント。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8】
【公表番号】特表2008−509468(P2008−509468A)
【公表日】平成20年3月27日(2008.3.27)
【国際特許分類】
【出願番号】特願2007−524390(P2007−524390)
【出願日】平成17年7月28日(2005.7.28)
【国際出願番号】PCT/GB2005/002961
【国際公開番号】WO2006/016106
【国際公開日】平成18年2月16日(2006.2.16)
【出願人】(500430567)サーフコントロール・パブリック・リミテッド・カンパニー (1)
【氏名又は名称原語表記】SurfControl Plc
【Fターム(参考)】
【公表日】平成20年3月27日(2008.3.27)
【国際特許分類】
【出願日】平成17年7月28日(2005.7.28)
【国際出願番号】PCT/GB2005/002961
【国際公開番号】WO2006/016106
【国際公開日】平成18年2月16日(2006.2.16)
【出願人】(500430567)サーフコントロール・パブリック・リミテッド・カンパニー (1)
【氏名又は名称原語表記】SurfControl Plc
【Fターム(参考)】
[ Back to top ]