信息通信设备用的互联网连接管理系统及其方法、安装于信息通信设备的互联网连接管理程序

技术领域

本发明涉及在智能电话等移动信息通信设备中，对利用互联网连接的应用的连接性进行管理的系统及其方法、互联网连接管理程序。

背景技术

近年来，以未成年为目标的互联网犯罪的被害急剧增加。因此，很多父母希望对孩子向有害互联网网站的连接进行限制。

这里，在孩子所利用的互联网连接设备仅为在家庭内的本地网络固定连接的个人电脑等的情况下，比较容易对向互联网的连接性进行限制。即，在该情况下，能够通过在对网络流量进行控制的路由器等安装被称为家长控制的功能而精细地对连接目标、使用时间进行限制。

但是，在孩子所利用的互联网连接设备为智能电话的情况下，以移动为前提，由于不仅与特定的移动网络连接，而且在移动目的地与不同的本地网络连接，因此上述那样的网络型的家长控制没有效果。

因此，考虑在孩子所持有的智能电话预装规定的应用程序，对动画阅览应用程序的启动施加限制，对规定的连接目标进行过滤而对连接进行限制的方法。但是，如果是该方法，则无法防止为了对动画内容进行阅览而使用不是限制了使用的应用程序的其它应用程序等的迂回行为。例如，即使对动画阅览专用应用程序的启动进行限制，有时无法对通过浏览器进行的动画阅览进行限制。

另外，在终端级别能够实现的连接目标的限制仅为在URL包含有规定的字符串的情况下、或为特定的IP地址的情况下，无法有效地对频繁地改变连接目标IP地址的有害内容进行连接限制。另外，也考虑如果是稍微了解计算机的孩子，则会擅自地卸载上述那样的应用程序启动限制应用程序。

发明内容

本发明就是鉴于上述这种情况而提出的，其目的在于提供一种在智能电话等移动信息通信设备中，有效地对利用网络的应用的连接性进行管理的系统。

为了达成上述目的，根据本发明的第1主要观点，提供如下连接管理系统，该连接管理系统为对信息通信设备的通过互联网向特定的连接目标的连接进行管理的系统，其特征在于，具有：过滤程序服务器，其基于要通过的数据包的目标地址及所述信息设备的源IP，对该数据包的向互联网的通过进行限制；VPN服务器，其在与所述信息通信终端之间建立使来自该信息通信终端的通信量全部通过的通道连接，并且将通过了该通道连接的通过数据包转发至所述过滤程序服务器；以及存在确认服务器，其与所述VPN服务器连接，对所述通道连接的存在进行确认，在判断为不存在的情况下，将上述信息通信设备的互联网连接本身切断。

根据这样的结构，通过对由VPN实现的通道连接进行构建，无论本地网络、移动网络的类别如何都能够使来自信息通信设备的全部信息流量始终通过所述过滤程序服务器，因此能够可靠地进行过滤。

另外，根据上述结构。在该终端的用户想要避免在信息通信终端上执行的通道连接(VPN)的利用的情况下，能够以通过存在确认对该情况进行检测而使网络本身停止的方式进行动作。由此，如果避免由VPN实现的通道连接，则线路本身停止，无法进行任何动作，因此，具有持续本系统的利用这样的效果。

这里，根据本发明的一个实施方式，所述信息通信设备能够经由移动通信网络与互联网进行连接，所述存在确认服务器通过将所述通信设备的移动通信网络连接切断，从而将所述互联网连接本身切断。

根据另一个实施方式，由所述存在确认服务器进行的存在确认是将存在确认通知发送至信息终端设备而通过其响应进行的。

根据又一个实施方式，在所述信息终端设备中安装有VPN连接模块，该VPN连接模块无论该信息终端设备所连接的网络的类别如何，都在与所述VPN服务器之间建立通道连接的VPN连接模块。

根据又一个实施方式，还具有过滤程序设定服务器，该过滤程序设定服务器对在所述过滤程序服务器设定的过滤程序规则进行设定，该过滤程序设定服务器接受来自外部的访问并能够选择性地提示过滤程序候补。

根据又一个实施方式，在所述信息终端设备中安装有存在确认模块，该存在确认模块将VPN的存在确认通知发送至所述存在确认服务器。

根据又一个实施方式，所述存在确认模块响应于来自所述存在确认服务器的存在确认而对所述存在确认通知进行发送。

根据本发明的第2主要观点，提供如下连接管理方法，该连接管理方法为对信息通信设备的通过互联网向特定的连接目标的连接进行管理的方法，其特征在于，具有如下工序：过滤程序工序，通过过滤程序服务器，基于要通过的数据包的目标地址及所述信息设备的源IP，对该数据包的向互联网的通过进行限制；VPN建立工序，通过VPN服务器，在与所述信息通信终端之间建立使来自该信息通信终端的通信量全部通过的通道连接，并且将通过了该通道连接的通过数据包转发至所述过滤程序服务器；以及存在确认工序，通过与所述VPN服务器连接的存在确认服务器，对所述通道连接的存在进行确认，在判断为不存在的情况下，将上述信息通信设备的互联网连接本身切断。

另外，根据本发明的第3主要观点，提供如下连接管理程序，该连接管理程序为安装于信息通信设备，对该信息通信设备的通过互联网向特定的连接目标的连接进行管理的连接管理应用，其特征在于，具有：VPN访问模块，其在所述信息通信终端和VPN服务器之间，建立使来自该信息通信终端的通信量全部通过的通道连接；以及VPN存在确认模块，其以规定的定时对所述通道连接的存在进行确认，在判断为不存在的情况下，通知给将上述信息通信设备的互联网连接本身切断的存在确认服务器

关于未记载于本发明的上述权利要求的范围的其它特征，在之后的发明的最佳实施方式及附图中得以明确。

附图说明

图1是表示本发明的一个实施方式涉及的互联网连接管理系统的概略结构图。

图2是表示相同API服务器的概略结构图。

图3是表示相同过滤程序服务器的概略结构图。

图4是表示相同连接管理DB的概略结构图。

图5是表示相同连接管理应用程序的概略结构图。

具体实施方式

下面，参照附图对本发明的一个实施方式进行说明。

图1示出该实施方式的系统结构。

图中1所示的是作为契约者的父母给孩子的智能电话(子智能电话)，2所示的是对所述子智能电话的过滤程序进行设定的父母的智能电话(主智能电话)或PC(主PC)。

这里，所述子智能电话1能够经由本发明的实施方式即连接管理系统4连接于互联网，经由该互联网连接于所期望的动画网站A、图像网站B等。另外，主智能电话2能够经由互联网连接于连接管理系统4而对设定于子智能电话1的过滤程序规则进行定义。

另外，所述连接管理系统4具有VPN设定服务器5、VPN服务器6、用户认证服务器7、API服务器8、过滤程序服务器9、过滤程序设定服务器10。

VPN设定服务器5在启动了子智能电话1时，经由互联网进行终端认证而将VPN的通道连接所需要的VPN配置文件传送至所述子智能电话1。VPN服务器6基于所述VPN连接配置文件在与子智能电话1之间对使来自该子智能电话1的通信量全部始终通过的通道连接进行建立、维持。用户认证服务器7与所述VPN服务器6进行通信，赋予用于与各个子智能电话1进行VPN连接的虚拟IP地址。

另一方面，API服务器8如图2所示，具有VPN存在确认模块11、过滤程序生成模块12、移动网络切断模块16。VPN存在确认模块11与所述VPN服务器6及子智能电话1进行通信而对是否维持各个子智能电话1的通道连接进行管理，上述过滤程序生成模块12基于存在确认生成用于各个子智能电话1的连接管理过滤程序并传送至过滤程序服务器9。另外，所述移动网络切断模块16在由上述VPN存在确认模块11进行的存在确认在一定时间或一定条件下没有成功的情况下，将所述子智能电话1的移动网络连接本身切断。

所述过滤程序服务器9如图3所示，具有源IP判别部13、目标地址判别部14、过滤部15。源IP判别部13将数据包所包含的源IP地址与出所述API服务器8接收到的过滤程序进行对照而对应该进行连接限制的用户(子智能电话1)进行特定。目标地址判别部14通过介入IP地址、端口、SSL的协商而对主机名称的部分进行检验，从而对通信的目标地址进行特定，与从所述API服务器8接收到的过滤程序进行对照而对其是否为应该进行连接限制的目标地址进行判别。而且，所述过滤部15在基于所述判别部13、14的判别而判别为是对转发进行限制的数据包的情况下，通过施加或取消过滤程序，从而对向所述互联网的转发进行限制。

而且，所述过滤程序设定服务器10(图1)接受来自所述主智能电话2的访问，能够进行来自外部的过滤程序规则的设定。在该实施方式中，就施加过滤程序的目标地址而言，准备若干当前预先准备好的对象，用户从其中对想要限制的对象进行选择。

父母设定的过滤程序规则储存于连接管理DB 17。在该连接管理DB 17中如图4所示，对包含用户ID的用户数据18、用户(子智能电话)的虚拟IP地址19、各个用户的过滤程序规则28进行储存。此外，作为提示为过滤程序规则的预先准备好的控制对象目标，例如想到特定的动画网站等，但上述过滤程序设定服务器10将这些网站名称和URL、IP地址相关联而储存于上述过滤程序规则。另外，对IP地址的更新进行监视，在其被更新的情况下，对该过滤程序规则也进行更新。

另外，在子智能电话1中如图1所示，除了移动操作系统安装有(OS)、协议栈20之外，安装有以动画(阅览)应用程序21、浏览器22为代表的各种用户应用程序。这些应用程序20、21能够通过利用OS的协议栈20，经由互联网在与规定的服务器(动画服务器6、图像服务器7等)之间以TCP/IP等规定的协议进行通信。

另外，在该子智能电话1中预装有连接管理应用程序23，该过滤器在OS 20上进行工作，用于将该子智能电话的全部通信量向所述系统引导。该连接管理应用程序23由通信运营商预先安装于该子智能电话1，在该智能电话1启动时同时启动。

另外，该连接管理应用程序23如图5所示，具有：VPN访问模块24，其将VPN配置文件传送至OS；VPN存在确认模块25，其以一定时间间隔对上述VPN连接是否存在进行确认；以及响应模块26，其对来自API服务器8的存在确认进行接收、响应。

下面，通过动作的说明来阐明上述系统的详细结构。此外，图1中的S1～S20为与下面各步骤S1～S20对应的标号。

在该实施方式中，子智能电话1例如是由移动通信网运营商即智能电话销售者通过TV购物等通信销售而提供的，预装有上述连接管理应用程序23。

而且，如果用户启动子智能电话1，则所述连接管理应用程序23自动启动，与所述VPN设定服务器5进行通信，由此从该VPN设定服务器5对VPN配置文件进行接收(步骤S1)。在该VPN配置文件中包含VPN服务器6的地址及对用户进行确定的信息(用户ID)等。

所述连接管理应用程序23将接收到的VPN配置文件传送至OS、协议栈20(步骤S2)。由此，OS、协议栈20将TCP/IP的通道连接的建立请求发送至VPN服务器6(步骤S3)。

所述VPN服务器6如果从所述子智能电话1接收到通道连接建立的请求，则询问用户认证服务器7而进行用户认证(步骤S4)。所述认证服务器7进行用户连接认证而将规定的虚拟IP地址分配于该用户(步骤S5)。然后，认证服务器7将该虚拟IP地址与该用户的用户ID相关联地储存于连接管理DB 17。

如果分配了用户的虚拟IP地址，则所述VPN服务器6将该虚拟IP地址赋予所述子智能电话1的OS、协议栈20(步骤S6)。由此，使用所述虚拟IP地址和连接目标的IP地址对通信数据包进行封装，在所述子智能电话1和VPN服务器6之间建立通道连接27(步骤S7)。该通道连接27由该VPN服务器6终止，对通信数据包进行解封装，传送至所述过滤程序服务器9(步骤S8)。由此，以后的来自子智能电话1的向互联网的通信数据包全部通过该通道连接27，通过VPN服务器6及过滤程序服务器9。

另一方面，如果建立了上述通道连接27，则所述VPN服务器6将该情况与用户ID、子智能电话的源IP一起通知给API服务器8(步骤S9)。API服务器8的VPN存在确认模块11(图2)对由此设定了特定的用户的VPN进行识别，并且从所述连接管理DB 17取出各个用户的过滤程序规则，将其作为连接性的控制过滤程序而设定于过滤程序服务器9(步骤S10、S11)。

此外，关于对向哪个目标地址的通信量进行限制，是通过过滤程序设定服务器10进行的。如上所述，在该实施方式中，就施加过滤程序的目标地址而言，准备若干当前预先准备好的对象，用户从其中对想要限制的对象进行选择。设定好的过滤程序信息被储存于上述连接管理DB 17，从上述API服务器8适当被调用(步骤S10)而设定于上述过滤程序服务器9(步骤S11)。

此外，如上所述，优选随时更新连接限制对象的目标地址候补。另外，优选适当更新与目标地址相关联的IP地址，在进行了更新的情况下对储存于上述连接管理DB 17的过滤程序规则也进行更新。

另外，API服务器8在设定所述过滤程序后，以一定时间为单位通过所述VPN服务器而将存在确认通知发送至子智能电话1。在该VPN连接存在的情况下，上述子智能电话1的所述响应模块26将该含义的通知送回上述API服务器8。

此外，在存在这一含义的通知经过一定时间也没有返回的情况下，API服务器8的移动网络切断模块16将该子智能电话1的移动网络的连接性本身切断。由此，防止VPN连接的迂回。

另外，子智能电话1的存在确认模块25以一定时间为单位对通道连接27的存在进行确认，在无法确认的情况下、产生某种错误的情况下，再次进行动作，以使得对OS协议栈20进行VPN连接的建立。

根据这样的结构，无论智能电话所连接的本地网络、移动网络的类别如何，都能够使来自子智能电话的全部信息流量始终通过所述过滤程序服务器，因此能够可靠地进行过滤。

另外，根据上述实施方式，由于针对各个所限制的目标地址进行连接限制，因此无论在子智能电话中使用的应用程序如何都能够进行连接限制。即，能够消除如下问题，即，至目前为止存在对智能电话的应用程序的启动本身进行限制的方法的控制方法，但如果通过该方法，则产生例如即使能够限制应用程序的动画视听，也无法限制通过浏览器的动画视听等状况。

另外，根据该实施方式。在该用户想要避免在子智能电话上执行的通道连接(VPN)的利用的情况下，能够进行动作，以使得对该情况进行检测，使移动网络本身停止。即，如果避免VPN的利用，则线路本身停止，无法进行任何动作，因此，持续本系统的利用。

此外，本发明并不限定于上述一个实施方式，在不变更发明的主旨的范围内可以进行各种变形。

例如，在上述一个实施方式中，所述过滤程序设定服务器是从预先准备好的列表对连接限制的目标地址进行选择的方式，但也可以是直接输入目标地址的IP地址的方法。

而且，在上述子智能电话1设置的VPN存在确认模块25对来自API服务器的存在确认进行响应，但并不限于此，也可以是从智能电话1侧以一定时间间隔自发地对存在确认进行通知。

另外，在上述一个实施方式中，用户的信息通信终端为智能电话，但并不限于此，也可以是个人电脑、平板等其它便携的信息通信终端。

标号的说明

A…动画网站

B…图像网站

1…子智能电话

2…主智能电话

4…连接管理系统

5…VPN设定服务器

6…VPN服务器

7…用户认证服务器

8…API服务器

9…过滤程序服务器

10…过滤程序设定服务器

11…VPN存在确认模块

12…过滤程序生成模块

13…IP判别部

13、14…判别部

14…目标地址判别部

15…过滤部

16…移动网络切断模块

17…连接管理DB

18…用户数据

19…IP地址

20…OS、协议栈

21…动画应用程序

22…浏览器

23…连接管理应用程序

24…VPN访问模块

25…VPN存在确认模块

26…响应模块

27…通道连接

28…过滤程序规则