JP2011209996A - Access control method and access control device - Google Patents
Access control method and access control device Download PDFInfo
- Publication number
- JP2011209996A JP2011209996A JP2010076918A JP2010076918A JP2011209996A JP 2011209996 A JP2011209996 A JP 2011209996A JP 2010076918 A JP2010076918 A JP 2010076918A JP 2010076918 A JP2010076918 A JP 2010076918A JP 2011209996 A JP2011209996 A JP 2011209996A
- Authority
- JP
- Japan
- Prior art keywords
- access
- information
- similarity
- determination
- range
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
本発明は,ネットワーク上の情報へアクセスする場合のアクセス制御技術に関する。より詳しくは,明示的にアクセスが許可ないし拒否されていない範囲にある参照先へのアクセスを制御するアクセス制御方法およびアクセス制御装置に関する。 The present invention relates to an access control technique for accessing information on a network. More specifically, the present invention relates to an access control method and an access control apparatus for controlling access to a reference destination in a range where access is not explicitly permitted or denied.
インターネット上で提供されるWebページを参照中に,リンクにより関連付けられた複数のドキュメントを読み進む際に,ページ内に設けられたリンクを辿りながら次のページへアクセスする操作が行われるが,そのアクセスの可否を判定してアクセスを制御する処理が行われる。 While browsing a Web page provided on the Internet, when reading a plurality of documents linked by a link, an operation to access the next page is performed while following the link provided in the page. A process for determining whether access is possible and controlling access is performed.
ユーザが要求するアクセスの可否を決定するアクセス制御方式に,ブラックリスト方式とホワイトリスト方式とがある。ブラックリスト方式は,アクセスを禁止する参照先を明示的に列挙したリスト(ブラックリスト)を用意して,リストに列挙された参照先以外であれば,そのアクセスを許可する。ホワイトリスト方式は,アクセスを許可する参照先を明示的に列挙したリスト(ホワイトリスト)を用意して,リストに列挙された参照先のみアクセスを許可する。 There are a black list method and a white list method as access control methods for determining whether or not a user requests access. The black list method prepares a list (black list) that explicitly enumerates reference destinations that are prohibited from access, and permits access to any reference destination that is not listed in the list. The white list method prepares a list (white list) that explicitly enumerates reference destinations to which access is permitted, and permits access only to the reference destinations enumerated in the list.
ブラックリスト方式では,ブラックリストへの列挙漏れによるリスクが高いという問題があり,ホワイトリスト方式では,ホワイトリストを最新に保持することが難しいという問題があった。 The blacklist method has a problem that the risk due to omission of listing in the blacklist is high, and the whitelist method has a problem that it is difficult to keep the whitelist up-to-date.
近年,アクセス許可/禁止の参照先を明示的に列挙したホワイトリストやブラックリスト以外の参照先へのアクセスを,限定的に許可する手法が検討されている。 In recent years, methods for restricting access to reference destinations other than the white list and black list that explicitly list access permission / prohibition reference destinations have been studied.
例えば,第1の従来手法は,内容判定にもとづく方法であり,ホワイトリストとブラックリストの他に,コンテンツに含まれうる有益語と禁止語とを定義しておき,参照先のコンテンツでの有益語や禁止語の有無によって,その参照先へのアクセス可否を判定する。 For example, the first conventional method is a method based on content determination. In addition to the white list and the black list, useful words and prohibited words that can be included in the content are defined, and useful in the reference destination content. Access to the reference destination is determined based on the presence or absence of a word or prohibited word.
また,第2の従来手法は,リンクの参照関係にもとづく方法であり,事前に収集したリンクの参照関係を探索することによって,アクセス可否判定の対象となるページを,ホワイトリストに列挙されている参照先からのパス数やパス距離の合計をもとにレイティングし,レイティング結果と閾値との大小関係にもとづいてアクセス可否を判定する。 The second conventional method is a method based on the link reference relationship. By searching the link reference relationship collected in advance, the pages for which access is determined are listed in the white list. Rating is performed based on the total number of paths and path distances from the reference destination, and access is determined based on the magnitude relationship between the rating result and the threshold.
また,第3の従来手法は,同一サイト内のリンクと別サイトからのリンクとを区別するために,URL類似度にもとづいて各ページや各リンクの重要度を判定して,アクセス可否を判定する。ここで,URL類似度は,URLを構成するサーバ名やファイルパスの構造をもとに2つのURL間の類似性を数値化したものである。2つのページが別々のサイトに属する場合はURL類似度が低いとして,URL類似度が低いページからのリンクが多いものを重要なページなどと判定している。 The third conventional method determines whether or not access is possible by determining the importance of each page and each link based on the URL similarity in order to distinguish between a link in the same site and a link from another site. To do. Here, the URL similarity is obtained by quantifying the similarity between two URLs based on the structure of the server name and file path constituting the URL. If the two pages belong to different sites, it is determined that the URL similarity is low, and those with many links from pages with a low URL similarity are determined as important pages.
アクセス制御の従来手法では,アクセス可否を決定づけるパラメータの設定や維持が難しいという問題がある。例えば,第1の従来手法のように,有益語や禁止語として最適な用語を定義して判定条件とする場合に,有益語や禁止語の設定が難しく,アクセスが好ましくないサイトであっても,有益語を含むコンテンツであればそのページへのアクセスが許可されてしまうという問題を生じる。 The conventional method of access control has a problem that it is difficult to set and maintain parameters that determine whether access is possible. For example, as in the case of the first conventional method, when a term that is optimal as a useful word or prohibited word is defined and used as a judgment condition, it is difficult to set a useful word or prohibited word, even if the site is not accessible. , If the content contains useful words, the problem arises that access to the page is permitted.
また,第2または第3の従来手法のように,アクセス可否の判定条件を,パス数やパス距離,リンク元とリンク先との類似度などを判定条件とする場合に,最適な閾値の決定が難しく,閾値の設定によっては許可したいものが禁止されたり,逆に禁止したいものが許可されたりしてしまう問題がある。例えば,第2の従来手法のように,パス数やパス距離を判定条件とする場合には,リンクを多用してページを構成しているコンテンツを提供するようなニュースサイトでは,ユーザが「次ページへ」などのリンクを辿って細かく分割された記事を読み進んでいくうちに,ほとんど同様のページを読み進んでいる途中であってもアクセスが禁止されてしまうという状況が生じる。 In addition, as in the second or third conventional method, when an access permission determination condition is the number of paths, a path distance, a similarity between a link source and a link destination, or the like, an optimum threshold value is determined. However, depending on the threshold setting, there is a problem that what is desired to be permitted is prohibited, or conversely, what is desired to be prohibited is permitted. For example, as in the case of the second conventional method, when the number of paths and the path distance are used as judgment conditions, a news site that provides content that constitutes a page using a large number of links, While reading a finely divided article by following a link such as “to page”, a situation occurs in which access is prohibited even while reading a similar page.
本発明は上記の問題に鑑みてなされたものであり,その目的は,明示的にアクセスが許可または禁止されていない参照先へのアクセスについて,アクセス制御を効率的かつ適正に行うアクセス制御方法,および前記のアクセス制御方法を実行するアクセス制御装置を提供することにある。 The present invention has been made in view of the above problems, and an object of the present invention is to provide an access control method for efficiently and appropriately performing access control for access to a reference destination to which access is not explicitly permitted or prohibited. Another object of the present invention is to provide an access control apparatus that executes the above access control method.
本発明の一実施の形態として開示されるアクセス制御方法は,1)クライアントが発行したネットワーク上に存在する情報へのアクセス要求を検出するアクセス要求検出処理ステップと,2)ネットワーク上の情報に対するアクセス要求を受けた際に,当該情報が明示的にアクセス許可ないし拒否設定されている領域内にあるか否かを特定するグレーゾーン特定情報にもとづいて,前記クライアントによりアクセス要求された参照先の情報が明示的に許可ないし禁止されていない場合に,前記判定ポリシ情報記憶部に記憶されている,2つの情報の識別子の類似度を算出するための類似度計算ルールにもとづいて,前記参照先の情報の識別子と所定の基点となる情報の識別子との類似度を計算する類似度計算処理ステップと,3)前記判定ポリシ情報記憶部に記憶されている,2つの情報の識別子を類似物とみなす類似度の範囲を示す類似物範囲とアクセスが許可される情報の識別子の類似度の限界を示すホップ可能範囲とを定義するアクセス可否判定ルールにもとづいて,前記参照先の情報の識別子を元に算出した類似度が前記類似物範囲内であるかを判定して,前記類似度が前記類似物範囲内である場合に,前記参照先の情報へのアクセス許可を決定する類似物範囲判定処理ステップと,4)前記類似度が前記類似物範囲内ではない場合に,前記アクセス可否判定ルールにもとづいて,前記参照先の情報の識別子と前記基点となる情報の識別子とから算出した類似度が前記ホップ可能範囲内であるかを判定し,前記類似度が前記ホップ可能範囲内である場合に,前記参照先の情報へのアクセス要求をホップ可能としてアクセス要求の許可を決定し,前記類似度が前記ホップ可能範囲内ではない場合に,前記参照先の情報へのアクセス要求の拒否を決定するホップ可能範囲判定処理ステップと,5)前記クライアントへ前記アクセス要求によるアクセス許可またはアクセス拒否の判定結果を通知するアクセス可否判定通知処理ステップとを備える。 An access control method disclosed as an embodiment of the present invention includes: 1) an access request detection processing step for detecting an access request to information existing on a network issued by a client; and 2) an access to information on the network. When the request is received, the information of the reference destination requested for access by the client based on the gray zone specifying information for specifying whether or not the information is in an area where access is explicitly permitted or denied Is not explicitly permitted or prohibited, based on the similarity calculation rule for calculating the similarity between the identifiers of the two information stored in the determination policy information storage unit. A similarity calculation processing step for calculating the similarity between the identifier of the information and the identifier of the information serving as a predetermined base point, and 3) the determination point A similarity range indicating a similarity range in which identifiers of two information are regarded as similar, and a hop possible range indicating a limit of similarity between identifiers of information permitted to be accessed, stored in the information storage unit When the similarity calculated based on the identifier of the reference destination information is determined based on the access permission determination rule to be defined is within the similar range, and the similarity is within the similar range A similarity range determination processing step for determining permission to access the reference destination information; and 4) when the similarity is not within the similar range, based on the access permission determination rule, the reference destination It is determined whether the similarity calculated from the identifier of the information and the identifier of the information serving as the base point is within the hoppable range, and when the similarity is within the hoppable range, the reference destination information Hop possible range determination processing step for deciding whether to allow access to a request to be permitted and determining permission of the access request, and refusing access request to the reference destination information when the similarity is not within the hop possible range And 5) an access permission determination notification processing step of notifying the client of an access permission or access rejection determination result according to the access request.
上記したアクセス制御方法によれば,ページ内のリンクを辿って別のページへアクセスする場合に,参照先が,グレーゾーン(すなわち管理者によって明示的にアクセス許可またはアクセス禁止が指定されたもの以外の範囲)内にある情報であるときは,リンクを辿った回数に依存せず,現在参照している情報の識別子と参照しようとしている情報の識別子との類似度に着目してアクセスを適切に制御することができる。 According to the access control method described above, when accessing a different page by following a link in the page, the reference destination is the gray zone (that is, an access permission or access prohibition explicitly specified by the administrator). If the information is within the range of (), it is not dependent on the number of times the link is traced, and the access is appropriately made by paying attention to the similarity between the identifier of the currently referenced information and the identifier of the information to be referenced. Can be controlled.
すなわち,参照中の情報が,一連の情報が複数ページや複数フォルダによって構成されているようなコンテンツであっても,リンクを辿って参照されるページの識別子は既に許可されて参照されているページの識別子と類似度が高い場合には類似物と判定して,一連のページを最終ページまで参照できるように制御される。一方で,ページ内でリンクされている別の情報については,参照中の情報の識別子との類似度をもとに,所定のホップ可能限界範囲でアクセスが許可され,ホップ限界範囲を超えるページ内のバナー広告などは,アクセスを拒否するように制御される。 In other words, even if the information being referred to is content in which a series of information is composed of multiple pages or multiple folders, the identifier of the page referenced by following the link is already permitted and referenced. When the degree of similarity is high, it is determined that the identifier is similar, and control is performed so that a series of pages can be referred to the last page. On the other hand, for other information linked within the page, access is permitted within the predetermined hop limit range based on the similarity to the identifier of the information being referenced, and within the page exceeding the hop limit range. The banner advertisement is controlled to deny access.
よって,アクセス要求可否の判定条件となるリンク参照関係を,事前収集する必要がないため,事前準備に要する設備やコストを大幅に削減することができる。 Therefore, since it is not necessary to collect in advance the link reference relationship that is a determination condition for determining whether access can be requested, it is possible to greatly reduce the equipment and cost required for preparation.
さらに,最新の情報に対してもアクセス可否をより適切に判定することができる。 Furthermore, it is possible to more appropriately determine whether or not the latest information can be accessed.
また,類似物範囲やホップ可能範囲などのアクセス可否判定ルールの設定によって,アクセス可否判定を任意の強度に設定することができ,アクセスを適切に制御することができる。 Also, the access permission determination can be set to an arbitrary strength by setting the access permission determination rules such as the similar range and the hop possible range, and the access can be appropriately controlled.
以下に,本発明の実施の態様として開示するアクセス制御方法および装置を説明する。本形態では,ネットワーク上に存在する情報へのアクセス制御を例として,判定対象となるアクセス要求の参照先の識別子を示す情報として,Webページなどの識別子であるURL(Uniform Resource Locator)が指定されているものとする。なお,以降では,ネットワーク上に存在する情報の識別子であるURLの類似度のことを単に「ページの類似度」または「類似度」などと略記することがある。 Hereinafter, an access control method and apparatus disclosed as embodiments of the present invention will be described. In this embodiment, URL (Uniform Resource Locator), which is an identifier of a Web page, is specified as information indicating an identifier of a reference destination of an access request to be determined, taking access control to information existing on the network as an example. It shall be. In the following description, the similarity of a URL, which is an identifier of information existing on a network, may be simply abbreviated as “page similarity” or “similarity”.
〔アクセス制御方法の概説〕
本発明の一実施の形態として開示するアクセス制御方法について,その処理を概説する。
[Outline of access control method]
The access control method disclosed as an embodiment of the present invention will be outlined.
開示するアクセス制御方法において,明示的にアクセスが許可されているURL以外のURLが参照先となる場合に,この参照先URLへのアクセス可否を情報の識別子(URL)の類似度をもとに,1)既に許可されたWebページ(URL)の類似物とみなせるか否か,2)類似物とみなせない場合に,両者間の類似度にどの程度の差があるかによって決定する。 In the disclosed access control method, when a URL other than the URL for which access is explicitly permitted is a reference destination, whether or not the reference destination URL is accessible is determined based on the similarity of the identifier (URL) of the information. 1) Whether or not it can be regarded as a similar Web page (URL) that has already been authorized, and 2) If it cannot be regarded as a similar, it is determined according to how much the similarity between the two is different.
アクセス制御方法において,参照先URLが,既に許可されたページのURLとの類似度にもとづいて類似物とみなせる範囲を示す類似物範囲Ri以内にある場合は,アクセスを許可する。また,参照先URLが,類似物範囲Riを超える場合に,そのアクセスがホップ可能な限界範囲を示すホップ可能範囲Li以内のURLであるときには,ホップとしてアクセスを許可した上で,ホップ数を加算していき,次の判定処理で使用する類似物範囲(Ri+1)とホップ可能範囲(Li+1)を決定する。参照先URLが,ホップ可能範囲Liを超えたURLであるときはアクセスを禁止する。 In the access control method, if the reference URL is within the similar range R i indicating the range that can be regarded as similar based on the similarity to the URL of the already permitted page, access is permitted. In addition, when the reference destination URL exceeds the similar range R i , if the access is a URL within the hop possible range L i indicating the limit range where hopping is possible, the number of hops is permitted after allowing access as a hop. Are added to determine the similar range (R i + 1 ) and hop possible range (L i + 1 ) to be used in the next determination process. Reference destination URL, will prevent access when a URL exceeds the hop range L i.
開示するアクセス制御方法では,このような再帰的な判定処理を行うことによって,アクセス制御を実現している。 The disclosed access control method realizes access control by performing such recursive determination processing.
図1は,本発明の一実施の形態として開示するアクセス制御方法の処理を概説するための図である。図1に示す丸印内の数字01,10〜19,1a〜1c,20〜28,30等は,WebページのURLを表す。
FIG. 1 is a diagram for outlining the processing of an access control method disclosed as an embodiment of the present invention.
開示するアクセス制御方法を実行する制御装置(以下,アクセス制御装置という)では,類似度計算ルール,アクセス可否判定ルール等を含む判定ポリシ情報を記憶しているとする。また,初期値(ホップ数=0)の場合の類似物範囲R0として,所定のホワイトリスト内を設定し,ホップ可能範囲をL0(関連ドメイン)との範囲を示すアクセス可否判定ルールを保持していると仮定する。また,後述する基点URLの初期値は,ホワイトリスト内の参照元URL,ホップ数の初期値は0とする。 It is assumed that a control device that executes the disclosed access control method (hereinafter referred to as an access control device) stores determination policy information including a similarity calculation rule, an access permission determination rule, and the like. In addition, as a similar range R0 in the case of the initial value (the number of hops = 0), a predetermined white list is set, and an access permission determination rule indicating a range where the hop possible range is L0 (related domain) is held. Assume that Also, the initial value of the base point URL described later is a reference source URL in the white list, and the initial value of the hop count is 0.
ユーザは,ホワイトリストに存在するページ(01)を参照している。ユーザがホワイトリスト内のページを参照する限り,類似物範囲R0のホワイトリストにもとづいて,アクセス要求は常に許可され,また,ホップ数は初期値(0),基点ページは参照先ページに設定される。 The user is referring to the page (01) existing in the white list. As long as the user refers to a page in the white list, an access request is always permitted based on the white list in the similarity range R0, the hop count is set to the initial value (0), and the base page is set to the reference page. The
ユーザが,このページ(01)から関連ドメインのページ(10)へのリンクを辿ってアクセスしようとして,参照先URLがページ(10)のアクセス要求がクライアントから発行される。 When the user tries to access by following the link from the page (01) to the page (10) of the related domain, an access request for the reference destination URL (page (10)) is issued from the client.
上記のアクセス制御装置では,このアクセス要求を検出して,参照先URL(10)が,類似物範囲R0(ホワイトリスト)の範囲外のページ(10)であるので,アクセス要求の参照先URL(10)とアクセス要求時に参照していた参照元ページ(01)のURLとを特定して基点ページに設定し,類似度計算ルールをもとに,参照先ページ(10)のURLと基点ページ(01)のURLとの類似度を計算する。 In the above access control device, this access request is detected, and the reference URL (10) is a page (10) outside the range of the similar object range R0 (white list). 10) and the URL of the reference source page (01) referred to at the time of the access request are specified and set as the base point page. Based on the similarity calculation rule, the URL of the reference destination page (10) and the base point page ( 01) The similarity with the URL is calculated.
次に,アクセス制御装置では,基点ページ(01)のURLと参照先ページ(10)のURLとの類似度が,ホップ可能範囲内であれば,そのアクセス要求を許可と判定して,ホップ数に1を加算し,基点ページをページ(10)に更新する。これにより,次の判定処理では,ホップ数=1に対応する類似物範囲R1とホップ可能範囲L1が使用される。 Next, in the access control device, if the similarity between the URL of the base page (01) and the URL of the reference page (10) is within the hop possible range, the access request is determined to be permitted, and the number of hops is determined. 1 is added to and the base page is updated to page (10). Thereby, in the next determination process, the similar range R1 and the hop possible range L1 corresponding to the number of hops = 1 are used.
このようにして,ユーザは,アクセス要求が処理されて,関連ドメインのページ(10)を参照することができる。 In this way, the user can refer to the related domain page (10) after the access request is processed.
その後も,ユーザは,参照中のページ(10)からリンクを辿って連続するページ(11)を参照しようとする。 After that, the user tries to refer to the continuous page (11) by following the link from the page (10) being referred to.
アクセス制御装置では,ページ(11)を参照先とするアクセス要求を検出すると,アクセス要求から参照先ページ(11)のURLを特定して,基点ページ(10)のURLに対する類似度を計算する。参照先ページ(11)は,参照元ページ(10)の次ページであって,参照元ページ(10)のURLと参照先ページ(11)のURLとの類似度は,かなり高いものとする。 When the access control device detects an access request with the page (11) as a reference destination, the URL of the reference destination page (11) is specified from the access request, and the similarity to the URL of the base page (10) is calculated. The reference page (11) is the next page of the reference page (10), and the similarity between the URL of the reference page (10) and the URL of the reference page (11) is quite high.
アクセス制御装置は,参照先ページ(11)の類似度が類似物範囲R1であると判定すると,参照先ページ(11)へのアクセス要求を許可と判定して,ホップ数と基点ページは,そのまま保持する。 When the access control device determines that the similarity of the reference page (11) is the similar object range R1, the access control device determines that the access request to the reference page (11) is permitted, and the number of hops and the base page remain unchanged. Hold.
ページ(11)〜(1c)の基点ページ(10)に対する各類似度も類似物範囲R1内と仮定すると,アクセス制御装置1は,参照先がページ(11)〜(1c)であるアクセス要求は許可と判定する。
Assuming that the similarities of the pages (11) to (1c) with respect to the base page (10) are also within the similar object range R1, the
これにより,ユーザは,ページ(10)からリンクを辿って関連するページを参照することができる。 Thereby, the user can refer to the related page by following the link from the page (10).
その後,ユーザは,参照中のページ(10)からリンクを辿って,別のドメインのページ(20)を参照すると仮定する。 Thereafter, it is assumed that the user follows a link from the page (10) being referred to and refers to a page (20) of another domain.
アクセス制御装置は,同じクライアントからページ(20)を参照先とするアクセス要求を検出すると,同様に,参照先ページ(20)のURLを特定して,基点ページ(10)のURLに対する類似度を計算する。ここで,参照先ページ(20)の類似度が類似物範囲R1に該当しない場合に,アクセス制御装置1は,さらにホップ可能範囲L1であるかを判定する。
When the access control apparatus detects an access request with the page (20) as a reference destination from the same client, the access control apparatus similarly specifies the URL of the reference destination page (20) and determines the similarity to the URL of the base page (10). calculate. Here, when the similarity of the reference page (20) does not correspond to the similar object range R1, the
参照先ページ(20)がホップ可能範囲L1であれば,そのアクセス要求を許可と判定して,ホップ数に1を加算し,基点ページをページ(20)に更新する。 If the reference destination page (20) is the hop possible range L1, it is determined that the access request is permitted, 1 is added to the number of hops, and the base page is updated to the page (20).
これにより,次の判定処理では,ホップ数=2に対応する類似物範囲R2とホップ可能範囲L2が使用される。通常,類似物範囲R2,ホップ可能範囲L2は,それぞれ,類似物範囲R1,ホップ可能範囲L1より狭い範囲,すなわち,該当する類似度がより高くなるように設定されるが,その限りではない。 Thereby, in the next determination process, the similar range R2 and the hop possible range L2 corresponding to the number of hops = 2 are used. Usually, the similar range R2 and the hop possible range L2 are set so as to be narrower than the similar range R1 and the hop possible range L1, that is, the corresponding similarity is higher, but not limited thereto.
または,ユーザが,参照中のページ(10)からリンクを辿って,別のドメインのページ(30)を参照しようとすると,アクセス制御装置は,同様に,アクセス要求から参照先ページ(30)を特定して,基点ページ(10)に対する類似度を計算する。ここで,参照先ページ(30)の類似度が類似物範囲R1およびホップ可能範囲L1に該当しない場合に,そのアクセス要求を拒否と判定する。 Alternatively, when the user follows the link from the page (10) being referred to and tries to refer to the page (30) of another domain, the access control device similarly accesses the reference page (30) from the access request. Specifically, the similarity to the base page (10) is calculated. Here, when the similarity of the reference page (30) does not correspond to the similar range R1 and the hop possible range L1, the access request is determined to be denied.
また,グレーゾーン内のページからホワイトリスト内のページを参照した場合は,アクセス制御装置は,ホップ数を0にリセットし,基点ページを参照先ページにする。 When a page in the white list is referenced from a page in the gray zone, the access control device resets the hop count to 0 and sets the base page as the reference page.
上記のように,ページ(21)〜(28)がページ(20)の一連のページであり,基点ページ(20)に対する各類似度も類似物範囲R2内と仮定すると,アクセス制御装置1は,参照先がページ(21)〜(28)であるアクセス要求は許可と判定する。
As described above, assuming that the pages (21) to (28) are a series of pages of the page (20) and each similarity with respect to the base page (20) is also within the similarity range R2, the
これにより,ユーザは,ページ(10)の類似物とみなせるページ(11)〜(1c)からリンクを辿って,ページ(20)を参照し,さらに,リンクを辿って関連するページ(21)〜(28)を参照することができる。一方で,ユーザは,ページ(11)〜(1c)からリンクを辿ってページ(30)を参照することは禁止される。 Thereby, the user traces the link from the pages (11) to (1c) that can be regarded as similar to the page (10), refers to the page (20), and further traces the link to the related pages (21) to (21). Reference can be made to (28). On the other hand, the user is prohibited from referring to the page (30) by following the links from the pages (11) to (1c).
アクセス可否判定ルールで,ホップ数に応じて,類似物範囲Rまたはホップ可能範囲Lが,より類似度が高いページの範囲に限定されるように設定することにより,参照中のページからアクセスが許可されるページの範囲が徐々に狭くなるようにアクセスを制御することが可能となる。すなわち,ユーザが,最初のアクセス要求時の参照元ページからリンクを辿って参照することによって,参照先ページが参照元ページから類似しなくなっていくほど,次のアクセス要求で許可されるページの範囲が狭くなるアクセス制御が実現される。 Access is permitted from the page being referred to by setting the similarity range R or the hop possible range L to be limited to the range of pages with higher similarity according to the number of hops in the access permission determination rule. It is possible to control access so that the range of pages to be narrowed gradually. In other words, the range of pages that are allowed in the next access request as the reference page becomes less similar to the reference page by the user following the link from the reference page at the time of the first access request. Access control is realized.
〔アクセス制御装置の構成例〕
図2は,本発明の一実施の形態として開示するアクセス制御装置の構成例を示す図である。
[Configuration example of access control device]
FIG. 2 is a diagram illustrating a configuration example of an access control device disclosed as an embodiment of the present invention.
アクセス制御装置1は,端末2からのアクセス要求を受け付け,受け付けた端末2からのアクセス要求に含まれるネットワーク上に存在する情報へのアクセス可否を制御する装置である。
The
端末2は,ユーザがWebブラウザ部20などを用いてネットワーク上に存在する情報へアクセスを要求する装置である。
The
端末2は,Webブラウザ部20およびアクセス要求検出部21を含む。
The
Webブラウザ部20は,ユーザからの操作にもとづいて,ユーザがアクセスしようとしているネットワーク上に存在する情報に対するアクセス要求を発行する。また,Webブラウザ部20は,アクセス要求検出部21から受信したアクセス可否判定応答に含まれる判定結果情報に従って,ネットワーク上に存在に対する情報に対するアクセスあるいはアクセスの抑止を制御する。
The
アクセス要求検出部21は,Webブラウザ部20が発行したアクセス要求を検出すると,アクセス制御装置1に対して,アクセス要求に含まれる情報へのアクセス可否を問い合わせるアクセス可否判定要求を,アクセス制御装置1のアクセス可否判定部3に送信する。より具体的には,アクセス要求検出部21は,検出したアクセス要求について,参照先URL,参照元URL,前回判定情報を含むアクセス可否判定要求を生成して,アクセス制御装置1のアクセス可否判定部3へ送信する。
When the access
また,アクセス要求検出部21は,アクセス可否判定部3から受信したアクセス可否判定応答に含まれる判定結果情報をWebブラウザ部20へ送信すると共に,受信したアクセス可否判定応答に含まれる判定結果情報を保持する。
In addition, the access
アクセス制御装置1は,判定ポリシ情報記憶部11,アクセス可否判定部3,判定結果記録部5,および判定結果記憶部12を有する。
The
判定ポリシ情報記憶部11は,アクセス可否判定部3がアクセス可否を判定する際に必要な情報を記憶する。記憶する情報には,グレーゾーン特定情報,類似度計算ルール,アクセス可否判定ルール,およびドメイン情報を含む。これらの情報についての詳細は後述する。
The determination policy
アクセス可否判定部3は,アクセス要求検出部21からアクセス可否判定要求を受信し,判定ポリシ情報記憶部11と判定結果記憶部12から取得した情報をもとにアクセス可否を判定し,その判定結果をアクセス要求検出部21に応答し,さらに判定結果を,判定結果記録部5を介して判定結果記憶部12に記録する。
The access
判定結果記録部5は,アクセス可否判定部3の判定結果を示す判定結果情報を判定結果記憶部12に格納する。また,判定結果記録部5は,参照先URLについて複数の判定処理がある場合に,ホップ数が最小の判定結果を採用して判定結果情報を更新する。
The determination
判定結果記憶部12は,アクセス可否判定部3での判定結果を記録している。詳細は,後述する。
The determination
〔判定ポリシ情報の内容例〕
まず,判定ポリシ情報記憶部11に記憶されている情報の内容について説明する。
[Contents of judgment policy information]
First, the contents of information stored in the determination policy
〔グレーゾーン特定情報〕
グレーゾーン特定情報は,明示的にアクセス可否が指定されていない領域を特定するための情報である。グレーゾーンは,例えば,明示的にアクセス可否を指定したURL群の補集合として定義される。グレーゾーン特定情報の具体的な例の一つは,ユーザからのアクセスが許可されるURLが登録されたホワイトリストである。この場合に,ホワイトリストに列挙されたURL以外がグレーゾーンとなる。また,グレーゾーン特定情報の具体例の別の例の一つは,アクセス要求を常に拒否する参照先が登録されたブラックリストである。この場合に,ブラックリストに列挙されたURL以外がグレーゾーンとなる。また,グレーゾーン特定情報として,ホワイトリストとブラックリストの両方が用いられてもよい。この場合に,グレーゾーンは,ホワイトリストとブラックリストに列挙されたURL以外となる。
[Gray zone specific information]
The gray zone specifying information is information for specifying an area for which access permission is not explicitly specified. The gray zone is defined as, for example, a complementary set of URL groups for which access is explicitly specified. One specific example of the gray zone specifying information is a white list in which URLs that are allowed to be accessed by the user are registered. In this case, the URL other than the URLs listed in the white list is a gray zone. Another example of the specific example of the gray zone specifying information is a black list in which a reference destination that always rejects an access request is registered. In this case, URLs other than those listed in the black list are gray zones. Moreover, both a white list and a black list may be used as gray zone specifying information. In this case, the gray zone is other than the URLs listed in the white list and black list.
〔類似度計算ルール〕
類似度計算ルールは,2つの情報の識別子の差異から類似度を算出する方法を定義したものである。
[Similarity calculation rules]
The similarity calculation rule defines a method for calculating a similarity from a difference between two information identifiers.
本実施の形態では,類似度としてURL類似度を用いる。URL類似度は,詳細は後述するが,2つのURLが同一サイト内の場合高く,同一サイト内にない場合低くなるように数値化したものである。URL類似度の計算ルールで,2つのURLの差異をもとに,両者の類似度を決定するものであり,ルールを定義する情報またはルールを表す算出式で実現される。 In this embodiment, the URL similarity is used as the similarity. Although the URL similarity is described in detail later, it is quantified so that two URLs are high when they are in the same site and low when they are not in the same site. A URL similarity calculation rule that determines the similarity between two URLs based on the difference between the two URLs, and is realized by information defining the rule or a calculation formula representing the rule.
図3は,類似度計算ルールの例を示す図である。 FIG. 3 is a diagram illustrating an example of the similarity calculation rule.
図3に示す類似度計算ルールのテーブルは,判定対象となる参照先URLの基点URLに対するURL類似度の算出ルールおよび類似度を任意のレベルに分類した場合の例を表により示すものである。 The similarity calculation rule table shown in FIG. 3 is a table showing an example in which the URL similarity calculation rule for the reference URL of the reference URL to be determined and the similarity are classified into arbitrary levels.
図3のテーブルにおいて,レベル0からレベル15の順に,類似度が低くなることを示す。レベル0は,最も高い類似度であり,参照先URLのサーバ名部およびパス名部が,基点URLと同一である場合である。
In the table of FIG. 3, the similarity decreases in the order from
類似度計算ルールのテーブルの定義の内容を示す記述のうち,「わずかに異なる」は,ファイル名,フォルダ名,ホスト名で,文字列の構成が同じであるが,数字部分,大小文字,全半角文字,文字列の末尾部分などが相違する場合を表す。また,「異なる」は,ファイル名,フォルダ名,ホスト名で,上記以上の相違がある場合を表す。 Of the descriptions indicating the contents of the similarity calculation rule table definition, “Slightly different” is the file name, folder name, and host name, and the structure of the character string is the same. This represents the case where the half-width characters, the end of the character string, etc. are different. “Different” indicates a file name, folder name, or host name that is different from the above.
図3の類似度計算ルールのうち,レベル0〜13は,同一ドメイン名内の類似度の算出にかかるルールであり,レベル14〜15は,異なるドメイン名間の類似度の算出にかかるルールである。
Among the similarity calculation rules in FIG. 3,
類似度計算ルールでは,類似度の区分の粒度および内容を自由に設定でき,任意の階層数によって類似度の判定レベルの複雑化を調整することができる。 In the similarity calculation rule, the granularity and content of the similarity classification can be freely set, and the complexity of the similarity determination level can be adjusted by an arbitrary number of layers.
例えば,レベル1,2に区分される類似度のレベル設定により,複数のWebページで記事が構成されているコンテンツの場合に,同一記事を構成するファイルか否かを区別してアクセス可否が判定できるようになる。
For example, by setting the level of similarity divided into
また,レベル3〜12に区分される類似度のレベル設定により,オンライン雑誌の巻・号・記事番号などによるフォルダやファイルの配置方法,慣習などを考慮して,部分的な小さな相違と大きな相違とを区別して判定できるようになる。
In addition, by setting the level of similarity divided into
また,レベル14,15に区分される類似度のレベル設定により,基点URLと判定対象URLのドメイン間の関係を考慮して判定できるようになる。企業が製品ブランド固有のドメイン名などを用いて情報を提供しているサイトに対して,自社のブランド名ドメインで提供されている情報と,他組織が提供している情報とを区別して判定できるようになる。
Further, by setting the level of similarity divided into
図3に示す類似度計算ルールの例は,一例であり,これに制限されるものではない。例えば,特定サーバのミラーサーバは,URLのサーバ名部が相違してもコンテンツ自身は同一であるので,サーバ名部が異なっていてもパス名の同一性が高いURLは類似度が高くなるように類似度計算ルールを設定してもよい。 The example of the similarity calculation rule shown in FIG. 3 is an example, and is not limited to this. For example, a mirror server of a specific server has the same content even if the server name part of the URL is different. Therefore, even if the server name part is different, a URL having a high path name identity has a high similarity. A similarity calculation rule may be set for.
また,URL類似度計算ルールとして算出式を用いる場合には,一例として,URLの類似レベルを,サーバ名部の類似レベルLsとパス名部の類似レベルLpとの合計を算出する算出式で得た類似度から導出されるようにしてもよい。 When a calculation formula is used as the URL similarity calculation rule, for example, the URL similarity level is obtained by a calculation formula for calculating the sum of the server name portion similarity level Ls and the path name portion similarity level Lp. It may be derived from the similarity.
図4に示すように,基点URLと判定対象の参照先URLの文字列について,スラッシュまたはピリオドを単位に分割された部分文字列同士が比較される。 As shown in FIG. 4, the partial character strings divided in units of slashes or periods are compared for the character strings of the base URL and the reference URL to be determined.
URLのサーバ名部では,ホスト名から上位方向へ部分文字列同士が比較され,パス名部では,基点URLの最下位のフォルダがカレントフォルダとして設定され,カレントフォルダから上位および下位方向へ対応する部分文字列同士がそれぞれ比較される。 In the server name part of the URL, partial character strings are compared in the upward direction from the host name, and in the path name part, the lowest folder of the base URL is set as the current folder, and the current folder corresponds to the upper and lower directions. Partial character strings are compared with each other.
パス各部の類似度のレベルLp=La+Lbとする。ここで,Laはパス名部分に相違があった場合に,相違がある部分に対するカレントフォルダからの階層位置に応じて加算する重みである。Lbは比較される部分文字列同士が同一の場合に,Lb=0とし,わずかに異なる場合はLb=1,異なる場合にはLb=2とする。 It is assumed that the similarity level Lp = La + Lb of each part of the path. Here, when there is a difference in the path name part, La is a weight to be added according to the hierarchy position from the current folder for the part with the difference. Lb is set to Lb = 0 when the partial character strings to be compared are the same, Lb = 1 when slightly different, and Lb = 2 when different.
また,サーバ名部分の類似度のレベルLsは,Ls=Lc+Lbとし,LcはLaと同様に相違がある部分に対するホスト名からの階層数に応じて加算する重みで,Lpの最大値以上になるようにする。Lbはわずかに異なる場合は1,異なる場合は2を加算する。 Further, the similarity level Ls of the server name part is set to Ls = Lc + Lb, and Lc is a weight added according to the number of layers from the host name for the part similar to La, and is equal to or greater than the maximum value of Lp. Like that. When Lb is slightly different, 1 is added when it is different.
〔アクセス可否判定ルール〕
アクセス可否判定ルールは,図5に例示したように,ホップ数,類似物範囲Rおよびホップ可能範囲Lの組みによって定義される情報である。ここで,ホップとは,類似物範囲Rを超えホップ可能範囲L以内のアクセスを行うことであり,ホップ数は,類似物範囲Rを越えてホップした数を示す。類似物範囲Rは,基点URLの類似物とみなせる参照先URLの類似度の範囲を示す情報である。ホップ可能範囲Lは,参照先URLの類似度が類似物範囲R以内に該当しない場合に,アクセスを許可できる参照先URLの類似度の範囲を示す情報である。
[Access rule]
The access permission determination rule is information defined by a combination of the number of hops, the similar range R, and the hop range L as illustrated in FIG. Here, the hop is to perform access within the hop possible range L exceeding the similar range R, and the hop count indicates the number of hops beyond the similar range R. The similar object range R is information indicating the range of similarity of the reference destination URL that can be regarded as similar to the base URL. The hop possible range L is information indicating the range of the similarity of the reference destination URL that can be allowed to be accessed when the similarity of the reference destination URL does not fall within the similar object range R.
ここで,ホップ数i(i=1〜n)に対応する類似物範囲Riとホップ可能範囲Liの組み合わせ{Ri,Li}は,数列または算出式を要素とする数列として定義されていればよい。例えば,{Ri,Li}は予め有限の組が定義されてもよく,判定処理の結果をもとに次の判定処理のための組{Ri+1,Li+1}が設定されるようにしてもよい。 Here, the combination {R i , L i } of the similar range R i and the hop possible range L i corresponding to the hop number i (i = 1 to n) is defined as a number sequence including a number sequence or a calculation formula as an element. It only has to be. For example, a finite group may be defined in advance for {R i, L i }, and a group {R i + 1 , L i + 1 } for the next determination process is set based on the result of the determination process. May be.
なお,アクセス可否判定ルールとして,ホップ数の上限に相当するホップ可能限界数を設けてもよい。 In addition, as an access permission determination rule, a hop possible limit number corresponding to the upper limit of the hop number may be provided.
なお,類似物範囲Rの初期設定として,ホワイトリストを設定するようにしてもよい。 Note that a white list may be set as an initial setting of the similar range R.
〔ドメイン情報〕
ドメイン情報は,ドメイン名とドメイン名の登録者とを記録した情報である。
[Domain information]
The domain information is information that records the domain name and the registrant of the domain name.
図6は,ドメイン情報の例を示す図である。 FIG. 6 is a diagram illustrating an example of domain information.
ドメイン情報は,ドメイン名,そのドメイン名の登録者の情報が記録される。ドメイン情報は,例えば,既知のWHOISコマンドを用いた検索処理によって収集され,判定ポリシ情報記憶部11に格納される。
In the domain information, a domain name and information on a registrant of the domain name are recorded. The domain information is collected by, for example, a search process using a known WHOIS command and stored in the determination policy
次に,判定結果記憶部12に記憶されている情報の内容について,説明する。
Next, the contents of the information stored in the determination
〔判定結果情報〕
判定結果記憶部12は,アクセス可否判定部3の過去の判定結果情報を記憶する。
[Judgment result information]
The determination
図7は,判定結果記憶部12に記録される判定結果情報の例を示す図である。
FIG. 7 is a diagram illustrating an example of determination result information recorded in the determination
図7(A)に示すように,判定結果情報は,アクセス可否判定部3の判定処理で判定対象となったアクセス要求の参照先URL毎に,許可の判定結果により設定された基点URLと,その基点URLへの最短ホップ数とを含む情報である。
As shown in FIG. 7A, the determination result information includes the base URL set by the determination result of permission for each reference destination URL of the access request to be determined in the determination process of the access
図7(A)において,4行目は参照先URL dが,図7(B)に例示したように,参照先URL(d)まで,基点URL(a),基点URL(c)と2回のホップが許可されて,基点URL(c)を基点とする類似物範囲R2内にあることを示す。 In FIG. 7A, the reference line URL d in the fourth line is twice as long as the reference URL (a) and the reference URL (c) up to the reference URL (d) as illustrated in FIG. 7B. Is permitted and is within the similar range R2 with the base URL (c) as the base point.
なお,同一の参照URLについて複数の判定結果がある場合には,最小のホップ数である判定結果が採用され,その基点URLとホップ数とが判定結果情報として,判定結果記憶部12に記録される。
When there are a plurality of determination results for the same reference URL, the determination result having the minimum number of hops is adopted, and the base URL and the number of hops are recorded in the determination
〔アクセス制御システムの処理の流れ〕
図8を用いて,アクセス制御システムの処理の流れを概説する。
[Processing flow of access control system]
The flow of processing of the access control system will be outlined with reference to FIG.
アクセス制御装置1の判定ポリシ情報記憶部11には,類似物範囲Rの初期値(ホップ数n=0に対応する類似物範囲R0)として,ホワイトリストが設定されたアクセス可否判定ルールが保持されているものとする。
The determination policy
ステップS1: ユーザがアクセス要求の操作を行うと,端末2のWebブラウザ部20は,アクセス要求を発行する。
Step S1: When the user performs an access request operation, the
ステップS2: アクセス要求検出部21は,アクセス要求を検出して,検出したアクセス要求にもとづいてアクセス可否判定要求を生成して,アクセス可否判定部3へ送信する。
Step S2: The access
アクセス要求検出部21が生成するアクセス可否判定要求は,図9に例示したように,参照先URL,参照元URL,前回判定情報(基点URL,ホップ数n)を含む。
As illustrated in FIG. 9, the access permission determination request generated by the access
参照先URLは,端末2のWebブラウザ部20からのアクセス要求から特定されたこれからアクセスしようとしているURLである。参照元URLは,アクセス要求時に参照していたURLである。前回判定情報は,アクセス要求の検出の直前に受信したアクセス可否判定応答に含まれる情報であって,判定処理の結果決定した基点URL,ホップ数を含む情報である。
The reference destination URL is a URL to be accessed, which is specified from the access request from the
ステップS3: アクセス可否判定部3は,アクセス可否判定要求を受信すると,アクセス可否判定に必要な参照先URL,基点URL,ホップ数,類似物範囲Rn,ホップ可能範囲Lnを受信したアクセス可否判定要求やアクセス可否判定ルールなどをもとに決定し,類似度計算ルールにもとづいて計算した参照先URLの基点URLに対する類似度Dと類似物範囲Rnやホップ可能範囲Lnとを比較し,比較結果にもとづいてアクセス可否とホップ数と基点URLを決定する。
Step S3: When the access
アクセス可否判定部3の処理の詳細は,後述する。
Details of the processing of the
ステップS4: アクセス可否判定部3は,アクセス可否の判定結果にもとづいて,アクセス可否判定応答を生成して,アクセス要求検出部21へ送信する。
Step S4: The access
アクセス可否判定部3が生成するアクセス可否判定応答は,図10に例示したように,判定結果と判定情報を含む。判定結果は,アクセス可否判定部3により,要求された情報へのアクセスが許可されたかあるいは拒否されたかの判定結果を示す。判定情報は,今回の判定で設定された基点URL,ホップ数を示す。
The access permission determination response generated by the access
ステップS5: アクセス要求検出部21は,アクセス可否判定部3からアクセス可否判定応答を受信し,アクセス可否判定応答に含まれる判定情報を保持する。
Step S5: The access
ステップS6: アクセス要求検出部21は,判定結果(許可/拒否)をWebブラウザ部20に送信する。
Step S6: The access
ステップS7: Webブラウザ部20は,判定結果が許可であれば,参照先URLへアクセスして,Webページのコンテンツを表示させる。Webブラウザ部20は,判定結果が拒否であれば,アクセス拒否のメッセージを表示させる。
Step S7: If the determination result is permission, the
〔アクセス可否判定部の処理〕
アクセス可否判定部3は,アクセス可否判定要求を受信すると,アクセス可否判定に必要な参照先URL,基点URL,ホップ数,類似物範囲R,ホップ可能範囲Lを受信したアクセス可否判定要求や判定ポリシ情報記憶部11内のアクセス可否判定ルールなどをもとに決定する(この処理を,判定条件決定処理と称する)。
[Processing by the accessibility determination unit]
Upon receiving the access permission determination request, the access
次に,アクセス可否判定部3は,判定ポリシ情報記憶部11内の類似度計算ルールにもとづいて計算した参照先URLの基点URLに対する類似度Dと類似物範囲Rやホップ可能範囲Lとを比較し,比較結果にもとづいてアクセス可否とホップ数と基点URLを決定する(この処理を,アクセス可否判定処理と称する)。
Next, the access
このとき,アクセス可否判定部3は,アクセス要求に対するアクセス可否を,算出した類似度Dが,採用した類似物範囲Rまたはホップ可能範囲L内である場合には許可と判定し,ホップ可能範囲Lを超える場合はアクセス禁止と判定する。
At this time, the access
さらに,アクセス可否判定部3は算出した類似度Dが類似物範囲Rを超え類似物範囲L以内の場合にはホップ数に1を加算し基点URLを参照先URLに設定する。参照先URLがホワイトリスト内の場合にはホップ数を0に設定し,基点URLを参照先URLに設定する。
Further, when the calculated similarity D exceeds the similar object range R and is within the similar object range L, the access
また,アクセス可否判定部3は,判定結果(アクセスの許可または許否)と判定情報(基点URL,ホップ数)を含むアクセス可否判定応答を生成してアクセス要求検出部21へ送信する。
Further, the access
〔アクセス可否判定処理例〕
アクセス可否判定部3のアクセス可否判定処理の例を図5,図3,図11を用いて説明する。
[Access permission determination processing example]
An example of access permission determination processing of the access
図5は,アクセス可否判定ルールの具体例を示したものである。前述したように,アクセス可否判定ルールにはホップ数nに対応して類似物範囲Rnとホップ可能範囲Lnとが設定される。 FIG. 5 shows a specific example of the access permission determination rule. As described above, in the accessibility determination rule, the similar range Rn and the hop possible range Ln are set corresponding to the number of hops n.
なお,図5内の各類似物範囲内Rnとホップ可能範囲Lnは,図3に示す類似度計算ルールを用いたものである。 In addition, each similar object range Rn and hop possible range Ln in FIG. 5 use the similarity calculation rule shown in FIG.
ホップ数n=0での類似物範囲R0として,ホワイトリストが設定され,ホップ可能範囲L0として,図3の類似度計算ルールに設定された類似度のレベル14(関連ドメイン内)の範囲が設定される。 A white list is set as the similarity range R0 with the number of hops n = 0, and a range of the similarity level 14 (within the related domain) set in the similarity calculation rule of FIG. 3 is set as the hop possible range L0. Is done.
ホップ数n=1での類似物範囲R1には,レベル4(パス名の下位にあるフォルダ名が異なっている範囲)以内,ホップ可能範囲L1には,レベル13(同一ドメイン内)が設定される。ホップ数n=2での類似物範囲R2には,レベル1(ファイル名がわずかに異なる範囲)以内,ホップ可能範囲L2には,類似物範囲R2が設定されておりホップの禁止を示す。これはホップ可能範囲Lnと類似物範囲Rnが同じ範囲内にあるため,ホップを含めたアクセス許可される範囲が類似物可能範囲内に制限されることによる。 The similarity range R1 with the number of hops n = 1 is set within level 4 (a range in which the folder name under the path name is different), and the hop possible range L1 is set at level 13 (within the same domain). The The similar range R2 with the number of hops n = 2 is set within level 1 (a range in which the file names are slightly different), and the similar range R2 is set in the hop possible range L2, indicating prohibition of hops. This is because, since the hop possible range Ln and the similar range Rn are in the same range, the permitted range including the hop is limited to the similar range.
図11,図5のアクセス可否判定ルール,および図3の類似度計算ルールを用いて,アクセス可否判定部3の動作概要を説明する。
An outline of the operation of the access
図11において,アクセス可否判定部3は,類似物範囲R0のホワイトリスト内を参照している間は,常にアクセスを許可し,ホップ数n=0のまま維持し,基点URLは,アクセス毎に参照先URL更新する。
In FIG. 11, the access
なお,アクセス可否判定部3は,類似物範囲R0内の参照先URLへのアクセス制御として,既知のホワイトリスト方式によるアクセス可否判定を行う。
The access
次に,ホワイトリスト内のページから類似物範囲R0(ホワイトリスト)外の参照先URL(a)へのアクセス可否判定要求が検出されると,アクセス可否判定部3は,ホップ数n=0から,アクセス可否判定ルールのR0,L0を判定条件とする。参照先URLへのアクセスは,類似物範囲R0を超えるアクセスとして判定され,ホップ可能範囲L0の範囲に限って許可される。
Next, when an access permission determination request from the page in the white list to the reference URL (a) outside the similar range R0 (white list) is detected, the access
アクセス可否判定部3は,ホワイトリスト内の参照元URLを基点URLとし,参照先URL(a)の類似度(D0)を計算し,類似度D0が,ホップ可能範囲L0(図3の類似度計算ルールのレベル14(関連ドメイン))内の場合に限りアクセスを許可し,ホップ数を加算してn=1,基点URLを今回の参照先URL(a)に更新する。なお,アクセス可否判定部3は,類似度D0が,ホップ可能範囲L0を超える場合は,アクセスを拒否する。アクセス可否判定部3は,ホップ数n=1,基点URL=参照先URL(a)の判定情報を含むアクセス可否判定応答を送信する。
The
その後(グレーゾーン内への移動後),アクセス可否判定部3は,受信したアクセス可否判定要求に含まれる上記の前回判定情報(ここでは,ホップ数n=1,基点URL=参照先URL(a))などをもとに類似物範囲Rとホップ可能範囲Lとを決定する。
Thereafter (after moving into the gray zone), the access
ここで,基点URL(a)と参照先URLの類似度Dが,類似物範囲R1(レベル4(同一フォルダないし下位フォルダにある範囲))以内の場合にアクセスが許可され,類似物範囲R1を超える場合には,類似度がホップ可能範囲L1のレベル13(同一ドメイン)以内に限りアクセス(ホップ)が許可される。 Here, when the similarity D between the base URL (a) and the reference destination URL is within the similar object range R1 (level 4 (range in the same folder or lower folder)), access is permitted, and the similar object range R1 is set. If it exceeds, access (hops) is permitted only within the level 13 (same domain) of the hop possible range L1.
例えば,参照先URL(b)へのアクセスが検出されて,参照先URL(b)の類似度Dが,類似物範囲R1を超えているがホップ可能範囲L1以内であれば,そのアクセスは許可される。ホップ数が加算されてn=2となり,基点URLが今回の参照先URL(b)に更新される。 For example, when access to the reference destination URL (b) is detected and the similarity D of the reference destination URL (b) exceeds the similar object range R1 but is within the hop possible range L1, the access is permitted. Is done. The number of hops is added to obtain n = 2, and the base URL is updated to the current reference URL (b).
これにより,次回のアクセス要求からは,基点URL(b)と参照先URLの類似度Dが,類似物範囲R2は,「レベル1(ファイル名がわずかに異なる範囲))」以内に限定され,類似物範囲R2を超えるアクセスは,ホップ可能範囲L2(禁止)によって禁止される。すなわち,ホップ可能範囲L2は類似物範囲R2と同一になり,その範囲を超えるアクセスが禁止される。 As a result, from the next access request, the similarity D between the base URL (b) and the reference URL is limited to within “level 1 (range where the file names are slightly different)” within the similarity range R2. Access beyond the similar range R2 is prohibited by the hop possible range L2 (prohibited). That is, the hop possible range L2 is the same as the similar range R2, and access beyond that range is prohibited.
次に,端末2およびアクセス制御装置1の処理を,より詳細に説明する。
Next, processing of the
図12は,端末2のアクセス要求検出部21の処理フロー図である。
FIG. 12 is a process flow diagram of the access
アクセス要求検出部21は,クライアントのWebブラウザ部20からのアクセス要求を待ち(ステップS10),アクセス要求を検出したら(ステップS11のY),アクセス要求から参照先URL,参照元URL,前回判定情報を取得する(ステップS12)。
The access
アクセス要求検出部21は,参照先URL,参照元URL,受信していたアクセス可否判定応答の前回判定情報(基点URL,ホップ数)を含むアクセス可否判定要求を生成し,アクセス可否判定部3へ送信する(ステップS13)。
The access
その後,アクセス可否判定部3からアクセス可否判定応答を受信して,アクセス可否応答を前回判定情報として記憶すると(ステップS14),アクセス要求検出部21は,受信したアクセス可否判定応答の判定情報を更新し,判定結果を調べる(ステップS15)。アクセス要求検出部21は,判定結果が許可であれば(ステップS15の「許可」),Webブラウザ部20へ許可を返却し(ステップS16),判定結果が拒否であれば(ステップS15の「拒否」),Webブラウザ部20へ拒否を返却して(ステップS17),ステップS10の処理へ戻る。
Thereafter, when an access permission determination response is received from the access
図13および図14は,アクセス可否判定部3の処理フロー図である。
FIG. 13 and FIG. 14 are process flow diagrams of the access
アクセス可否判定部3は,アクセス可否判定要求を待ち(ステップS20),グレーゾーン特定情報をもとに参照先URLのゾーンを判定する(ステップS21)。
The access
アクセス可否判定部3は,参照先URLが,ホワイトリスト内にあるものであれば(ステップS22の「ホワイトリスト」),アクセス可否判定を許可とし(ステップS23),ホップ数n=0にリセットし,基点URL=参照先URLとして(ステップS24),判定結果を含むアクセス可否判定応答をアクセス要求検出部21へ返却する(ステップS25)。
If the reference URL is in the white list (“white list” in step S22), the access
判定ポリシ情報記憶部11に,グレーゾーン特定情報としてブラックリストが記憶されている場合に,参照先URLがブラックリスト内にあるものであれば(ステップS22の「ブラックリスト」),アクセス可否判定部3は,アクセス可否判定を拒否とし(ステップS26),ステップS25の処理を行う。
When the blacklist is stored as the gray zone specifying information in the determination policy
アクセス可否判定部3は,参照先URLが,ホワイトリストまたはブラックリストのいずれでもない場合には(ステップS22の「グレーゾーン」),アクセス可否応答要求の判定情報などから,現在の基点URLとホップ数nとを確定する(ステップS30)。
When the reference URL is neither a white list nor a black list (“gray zone” in step S22), the access
なお,アクセス可否応答要求に前回判定情報やアクセス元URLが含まれていない場合には,アクセス可否判定部3は,判定結果記憶部12の判定結果情報とアクセス可否判定要求の参照先URLを用いて,基点URLとホップ数nとを後述する特定処理で確定する。
If the previous determination information or the access source URL is not included in the access permission response request, the access
アクセス可否判定部3は,基点URLをもとに参照先URLの類似度Dを算出し(ステップS31),ホップ数nをもとに類似物範囲Rn,ホップ可能範囲Lnを算出する(ステップS32)。
The
アクセス可否判定部3は,類似度Dがホップ可能範囲Ln内か(D≦Ln)を判定し(ステップS33),D≦Lnでなければ(ステップS33のN),アクセス可否判定を拒否とし(ステップS34),次の判定処理で用いる基点URLとホップ数nは,ステップS30で確定した値とする(ステップS35)。
The access
アクセス可否判定部3は,D≦Lnであれば(ステップS33のY),アクセス可否判定を許可と判定処理し(ステップS36),さらに,類似度Dが類似物範囲Rn内か(D≦Rn)を判定する(ステップS37)。アクセス可否判定部3は,D≦Rnであれば(ステップS37のY),判定結果記録部5が,判定結果を判定結果記憶部12へ記録する(ステップS38)。アクセス可否判定部3は,D≦Rnでなければ(ステップS37のN),次の判定処理で用いるホップ数nに1加算し,基点URLに参照先URLを設定する(ステップS39)。
If D ≦ Ln (Y in step S33), the access
アクセス可否判定部3は,判定結果および判定情報を含むアクセス可否判定応答を生成してアクセス要求検出部21へ返却する(ステップS310)。
The access
図15は,判定結果情報の記録処理の処理フロー図である。 FIG. 15 is a processing flowchart of determination result information recording processing.
判定結果記録部5は,判定結果記憶部12の判定結果情報の全参照先URL欄を確認して(ステップS40),参照先URLが既出でなければ(ステップS41のN),判定結果を判定結果情報に追加する(ステップS42)。
The determination
参照先URLが既出であれば(ステップS41のY),判定結果記録部5は,該当するレコードの最短ホップ数mを確認して(ステップS43),今回の判定結果のホップ数nが最短ホップ数mより小さければ(ステップS44のY),該当レコードを今回の判定結果に置き換える(ステップS45)。
If the reference destination URL has already appeared (Y in step S41), the determination
さらに,判定結果記録部5は,判定結果情報の全基点URL欄を確認して(ステップS46),参照先URLがあれば(ステップS47のY),該当レコードの最短ホップ数kを確認して(ステップS48),今回の判定結果のホップ数nが最短ホップ数kより小さければ(ステップS49のY),該当レコードの最短ホップ数をnに変更する(ステップS410)。
Further, the determination
図16は,アクセス可否判定処理における,参照先URLのパス名部の類似レベルの算出処理の処理フロー図である。 FIG. 16 is a processing flowchart of the similarity level calculation process of the path name part of the reference destination URL in the access permission determination process.
アクセス可否判定部3は,判定ポリシ情報記憶部11から類似度計算ルールを読み込み(ステップS50),基点URLと参照先URLとを取得して(ステップS51),類似度のレベルLa+Lbについて,LaをLa=0に初期化する(ステップS52)。
The
アクセス可否判定部3は,基点URLと参照先URL2つのURLが完全一致するかを調べ(ステップS53),2つのURLが完全一致すれば(ステップS53のY),類似度のレベル=0として(ステップS54),処理を終了する。
The
アクセス可否判定部3は,2つのURLが完全一致しなければ(ステップS53のN),基点URLの最下位のフォルダをカレントフォルダ(cwd)とし,2つのURLの最上位のフォルダからカレントフォルダcwdまでのパスが一致するかを調べる(ステップS55)。2つのURLの最上位のフォルダからカレントフォルダcwdまでのパスが一致すれば(ステップS55のY),参照先URLのパス名部のフォルダが,カレントフォルダcwdと同一フォルダdirまでの範囲内であるかを調べる(ステップS56)。
If the two URLs do not completely match (N in step S53), the access
参照先URLのフォルダが,カレントフォルダcwdと同一フォルダdirの範囲内でない場合のみ(ステップS56のN),アクセス可否判定部3は,Laに2を加算して(ステップS57),Lbを決定する(ステップS58)。
Only when the folder of the reference URL is not within the same folder dir as the current folder cwd (N in Step S56), the access
2つのURLの最上位のフォルダからカレントフォルダcwdまでのパスが一致していなければ(ステップS55のN),アクセス可否判定部3は,La=4とし(ステップS59),最上位のフォルダまでチェックしていなければ(ステップS510),カレントフォルダcwdを1つ上位の階層へ移動させる(ステップS511)。
If the paths from the top folder of the two URLs to the current folder cwd do not match (N in step S55), the
さらに,アクセス可否判定部3は,2つのURLで,最上位から移動したカレントフォルダcwdまでのパスが一致するかを調べ(ステップS512),最上位から移動したカレントフォルダcwdまでのパスが一致していれば(ステップS512のY),Lbを決定する(ステップS513)。最上位から移動したカレントフォルダcwdまでのパスが一致していなければ(ステップS512のN),アクセス可否判定部3は,Laに2を加算する(ステップS514)。さらに,アクセス可否判定部3は,LaがLaの最大値を超えていれば,La=La最大値とし(ステップS515),ステップS510の処理へ戻る。
Further, the
図17は,ステップS58,S513の「Lbの決定」の処理の処理フロー図である。 FIG. 17 is a process flow diagram of the “Lb determination” process in steps S58 and S513.
アクセス可否判定部3は,2つのURLの現在着目している位置より下位方向の文字列を,バックスラッシュで分割して部分文字列群を得て,各部分文字列同士を比較して,相違が「わずかに異なっている」程度かを判定する(ステップS60)。比較している部分文字列群の相違が「わずかに異なっている」程度であれば(ステップS60のY),アクセス可否判定部3は,Lb=1とし(ステップS61),相違が「わずかに異なっている」程度を超えていれば(ステップS60のN),Lb=2とする(ステップS62)。
The
〔基点URLとホップ数の特定処理〕
次に,図14のステップS30の処理において,過去に参照した実績がないURLを直接指定してアクセスする場合など,アクセス可否判定要求や過去の判定結果内から基点URLとホップ数nを直接取得できない場合の,基点URLやホップ数を確定する処理について説明する。
[Base URL and hop count specification processing]
Next, in the process of step S30 in FIG. 14, the base URL and the number of hops n are directly acquired from the access permission determination request or the past determination result, such as when directly accessing a URL that has not been referred to in the past. A process for determining the base URL and the number of hops when this is not possible is described.
アクセス可否判定部3は,アクセス可否判定要求の前回判定情報や過去の判定結果から基点URLやホップ数を直接得られない場合に,判定結果記憶部12に記録された過去の判定結果の中で,参照先URLに最も近い基点URLとそのホップ数を使用して,判定情報とし,参照先URLのアクセス可否を判定する。
If the base URL or the number of hops cannot be obtained directly from the previous determination information or the past determination result of the access permission determination request, the access
図18(A)に示す判定結果情報では,参照先URL(a),(b),(c),(d)について,基点URL,最短ホップ数が記録されているとする。 In the determination result information shown in FIG. 18A, it is assumed that the base URL and the shortest hop count are recorded for the reference URLs (a), (b), (c), and (d).
図18(B)は,図18(A)の判定結果情報に記録されている参照先URL(a),(b),(c),(d)の関係を模式的に示す図である。 FIG. 18B is a diagram schematically showing the relationship between the reference destination URLs (a), (b), (c), and (d) recorded in the determination result information of FIG. 18 (A).
図18(B)の参照先URLの関係において,過去に参照されていない参照先URL(e)へのアクセス要求があったとする。 Assume that there is an access request to a reference destination URL (e) that has not been referred to in the past in the relationship of the reference destination URL in FIG.
アクセス可否判定部3は,判定結果内の基点URL欄にある基点URL(a),(c)を抽出して,参照先URL(e)の各基点URLに対する類似度Dを計算し,URL(a)−(e)間の類似度Da,URL(c)−(e)間の類似度Dcを求める。
The
そして,アクセス可否判定部3は,類似度Da,Dcを比較して類似度が最小値のURL(ここでは類似度Dcの場合のURL(c))を,参照先URL(e)の基点URLとする。さらに,アクセス可否判定部3は,基点URL(c)を参照先URL欄に持つレコード(#2)の最短ホップ数(2)を,ホップ数nとする。
Then, the
次に,アクセス可否判定部3は,基点URL(c)とホップ数(2)とを用いて,参照先URL(e)のアクセス可否を判定する。
Next, the access
〔アクセス可否判定の条件の決定処理〕
次に,アクセス可否判定部が,図14のステップS32の処理において,アクセス可否判定ルールにもとづき類似物範囲Rnとホップ可能範囲Lnを算出して決定する方法について述べる。
[Process for determining access permission judgment conditions]
Next, a method will be described in which the accessibility determination unit calculates and determines the similar range Rn and the hopping possible range Ln based on the access determination rule in the process of step S32 in FIG.
ホップ数がiの時に類似物範囲Riを超えた参照先URLへのアクセスを検出した場合に,次の判定処理で用いる類似物範囲とホップ可能範囲の組{Ri+1,Li+1}を決定する手法として,アクセス可否判定部3は,第1〜第4の手法を用いることができる。
When access to a reference URL exceeding the similar range R i is detected when the number of hops is i, a set {R i + 1 , L i + 1 } of the similar range and hop possible range used in the next determination process is determined. As a technique to do this, the
第1〜第4の手法は,a)類似物範囲Rとホップ可能範囲Lの組{Ri,Li}の要素数が固定か可変か,b)ユーザの閲覧の状況(該当閲覧時の参照先URLの類似度Di,類似物範囲Ri,ホップ可能範囲Liの関係)を考慮するか否か,の組み合わせによっている。 The first to fourth methods are: a) whether the number of elements {R i , L i } of the similar range R and the hop possible range L is fixed or variable; b) the state of user browsing (at the time of corresponding browsing) This is based on the combination of whether or not to consider the similarity D i of the reference URL, the similar range R i , and the possible hop range L i .
類似物範囲とホップ可能範囲の組{Ri,Li}の要素数が固定であるとは,ホップ数に上限値を持たせることを意味し,要素数が可変であるとは,ホップ数に上限はなく,類似物範囲Riやホップ可能範囲Liがアクセス禁止に収束するまで,Ri,Liの範囲内でアクセスを許可し続けることを意味する。 The fixed number of elements of the similar range and hop possible range set {R i , L i } means that the number of hops has an upper limit, and that the number of elements is variable means that the number of hops the upper limit is not, it means that the analog range R i and hop range Li is to converge to access prohibition, R i, continues to allow access within the L i.
また,ユーザの閲覧の状況を考慮するか否かは,Ri+1,Li+1の決定に,参照先URLの類似度Diが関与するか否かに相当する。 Whether or not the user's browsing situation is taken into account corresponds to whether or not the similarity D i of the reference URL is involved in the determination of R i + 1 and L i + 1 .
第1の手法は,{Ri,Li}の要素が固定であり,ユーザの閲覧のしかたを考慮しない場合である。 The first method is a case where the elements of {R i , L i } are fixed and the user's viewing method is not considered.
上述の図5および図11を用いて説明したアクセス可否判定部3の判定処理で用いられる類似物範囲Rとホップ可能範囲Lとの組{Ri,Li}は,第1の手法に相当する。
The set {R i , L i } of the similar range R and the hop possible range L used in the determination process of the access
アクセス可否判定部3は,アクセス可否判定部3が判定処理で用いる,類似物範囲Rとホップ可能範囲Lの組{Ri,Li}を,i=0〜nまで類似度計算ルールで定められたレベルを用いて定義したアクセス可否判定ルールから,ホップ数にもとづいて決定する。
The access
第2の手法は,組{Ri,Li}の要素が固定であり,ユーザの閲覧のしかたを考慮する場合である。 The second method is a case where the elements of the set {R i , L i } are fixed and the user's browsing method is taken into consideration.
アクセス可否判定部3は,類似物範囲Rとホップ可能範囲Lの組{R,L}の有限の要素から,参照先URLの類似度Diを考慮して{Ri,Li}を決定する。一例として,類似物範囲Rとホップ可能範囲Lの組{R,L}を候補としてN個用意しておき,参照先URLの類似度Diが類似物範囲Riを超えたときに,L>Diを満たす{R,L},すなわち,類似度Diが含まれるホップ可能範囲Liを持つ候補を求め,該当する{R,L}の1つを{Ri+1,Li}に決定する。
The
図19は,組み合わせの候補の例を示す図である。 FIG. 19 is a diagram illustrating an example of combination candidates.
図19(A)の上部に示す組の候補のテーブルには,組の候補毎に,ホップ可能範囲Lおよび次回の類似物範囲R,ならびに候補数(設定可能回数)が設定されている。 In the group candidate table shown in the upper part of FIG. 19A, the hop possible range L, the next similar range R, and the number of candidates (settable number of times) are set for each group candidate.
図19(A)の下部に示すテーブルは,アクセス可否判定ルールを示すテーブルである。アクセス可否判定ルールを示すテーブルでは,初期値として,ホップ数n=0の類似物範囲R0(ホワイトリスト)が設定されている。 The table shown in the lower part of FIG. 19A is a table showing access permission determination rules. In the table indicating the accessibility determination rule, the similar range R0 (white list) with the number of hops n = 0 is set as an initial value.
図19(B)に示すように,類似物範囲R0のWebページ(p)を参照中に,Webページ(q)へのアクセス要求が検出されるとする。アクセス可否判定部3は,Webページ(q)の類似度Dが,図3の類似度計算ルールのレベル14以内である場合に,類似度Dを範囲内とするホップ可能範囲Lを持つ候補1を選択して,候補1のL(レベル14以内)をアクセス可否判定ルールのL0に,候補1のR(レベル1以内)をアクセス可否判定ルールのR1にそれぞれ設定し,候補数を0にする。
As shown in FIG. 19B, it is assumed that an access request to the web page (q) is detected while referring to the web page (p) in the similar object range R0. When the similarity D of the Web page (q) is within the
なお,アクセス可否判定部3は,ホップ可能範囲L0により,Webページ(q)へのアクセスを許可する。また,アクセス可否判定部3は,次の判定処理では,類似物範囲R1(レベル1以内)で判定を行う。
The access
次に,類似物範囲R1のWebページ(s)を参照中に,Webページ(t)へのアクセス要求が検出されるとする。アクセス可否判定部3は,Webページ(q)の類似度Dがレベル7以内である場合に,類似度Dを範囲内とするホップ可能範囲Lを持つ候補が複数該当するため,最小のレベル数の候補4を選択して,候補4のL(レベル8以内)をアクセス可否判定ルールのL1に,候補4のR(レベル6以内)をアクセス可否判定ルールのR2にそれぞれ設定して,候補数を0にする。
Next, it is assumed that an access request to the Web page (t) is detected while referring to the Web page (s) in the similar object range R1. When the similarity D of the Web page (q) is within the
なお,アクセス可否判定部3は,ホップ可能範囲L1により,Webページ(t)へのアクセスを許可し,次の判定処理では,類似物範囲R2(レベル6以内)で判定を行う。
The access
次に,類似物範囲R1のWebページ(s)を参照中に,Webページ(t)へのアクセス要求が検出されるとする。アクセス可否判定部3は,Webページ(t)の類似度Dがレベル7以内である場合に,類似度Dを範囲内とするホップ可能範囲Lを持つ候補が複数該当するため,最小のレベル数の候補4を選択して,候補4のL(レベル8以内)をアクセス可否判定ルールのL1に,候補4のR(レベル6以内)をアクセス可否判定ルールのR2にそれぞれ設定して,候補数を0にする。
Next, it is assumed that an access request to the Web page (t) is detected while referring to the Web page (s) in the similar object range R1. When the similarity D of the Web page (t) is within
もしくは,類似物範囲R1のWebページ(s)を参照中に,Webページ(u)へのアクセス要求が検出されたとする。アクセス可否判定部3は,Webページ(u)の類似度Dがレベル14以内である場合に,類似度Dを範囲内とするホップ可能範囲Lを持つ候補1を検索する。しかし,候補1は既に使用されて候補数が0であるため,アクセス可否判定ルールのL2に禁止を設定する。よって,アクセス可否判定部3は,Webページ(u)へのアクセスを拒否する。
Alternatively, it is assumed that an access request to the Web page (u) is detected while referring to the Web page (s) in the similar object range R1. When the similarity D of the Web page (u) is within the
第3の手法は,組{Ri,Li}の要素が可変であり,ユーザの閲覧のしかたを考慮しない場合である。 The third method is a case where the elements of the set {R i , L i } are variable and the user's viewing method is not taken into consideration.
アクセス可否判定部3は,R0,L0を初期値として指定し,次の判定処理でのRi+1,Li+1が,ホップ数nに対する減少関数となるように定義された算出式で,組{Ri,Li}を決定する。一例として,算出式を,類似物範囲Ri+1となる類似レベルを,Riよりパラメータα分高くする,すなわち類似度Dが該当する範囲を狭くするように定義し,ホップ可能範囲Li+1となる類似レベルを,Liよりパラメータβ分高くするように定義する。パラメータα,βによってホップ数を可変として扱うようにする。
The
第4の手法は,組{Ri,Li}の要素が可変であり,ユーザの閲覧のしかたを考慮する場合である。 The fourth method is a case where the elements of the set {R i , L i } are variable and the user's browsing method is considered.
アクセス可否判定部3は,R0,L0を初期値として指定し,次の判定処理でのRi+1,Li+1が,参照先URLの類似度Dに依存したホップ数nに対する減少関数となるように定義された算出式で,組{Ri,Li}を決定する。
The
一例として,類似物範囲Ri+1およびホップ可能範囲Li+1となる類似レベルを,ホップ可能範囲Liまでの類似度Diの余裕度と,類似度Diが類似物範囲Riを超えた程度との割合を用いて求めた量だけ,Ri,Liから減少させるような算出式で決定する。すなわち,以下のような算出式で決定する。 Degree As an example, a similar level as the analog range R i + 1 and hop range L i + 1, and the margin of similarity D i to hop range L i, the similarity D i exceeds the analog range R i Is determined by a calculation formula that decreases from R i and L i by the amount obtained by using the ratio. That is, it is determined by the following calculation formula.
Ri+1=Ri−α+f{(Di−Ri)/(Li−Di)}
Li+1=Li−β+g{(Di−Ri)/(Li−Di)}
これにより,類似物範囲Riを超えたホップ数を可変として扱うようにする。
R i + 1 = R i −α + f {(D i −R i ) / (L i −D i )}
L i + 1 = L i −β + g {(D i −R i ) / (L i −D i )}
Thus, the number of hops exceeding the similar range R i is treated as variable.
図20は,アクセス制御装置1のハードウェア構成例を示す。
FIG. 20 shows a hardware configuration example of the
図20に示すように,アクセス制御装置1は,CPU101,主記憶部(メモリ)103,入出力インターフェース105,外部記憶装置110を備えるコンピュータ100によって実施することができる。
As shown in FIG. 20, the
また,アクセス制御装置1は,コンピュータ100が実行可能なプログラムによって実施することができる。この場合に,アクセス制御装置1が有すべき機能の処理内容を記述したプログラムが提供される。提供されたプログラムをコンピュータ100が実行することによって,上述したアクセス制御装置1の処理機能がコンピュータ100上で実現される。
Further, the
なお,コンピュータ100は,可搬型記録媒体から直接プログラムを読み取り,そのプログラムに従った処理を実行することもできる。また,コンピュータ100は,サーバコンピュータからプログラムが転送される毎に,逐次,受け取ったプログラムに従った処理を実行することもできる。さらに,このプログラムは,コンピュータ100で読み取り可能な記録媒体に記録しておくことができる。
The
上記の実施の形態では,アクセス制御装置1は,物理的に1つのコンピュータ内に構成され,クライアントであるWebブラウザ部20と,参照されるコンテンツが存在するネットワークへの経路上に設置されているものとして説明した。
In the above embodiment, the
しかし,アクセス制御装置1のアクセス要求検出部21は,他の処理部と物理的に同一のコンピュータ内に構成されている必要はなく,以下のような構成であってもよい。
However, the access
一例として,Webブラウザ部20のクライアントと,参照されるコンテンツが存在するネットワークとの間に,プロキシサーバや転送サーバなど(単にプロキシサーバとする)が設置されている場合に,アクセス要求検出部21が,プロキシサーバ内に備えられ,アクセス制御装置1の他の処理部,アクセス可否判定部3,判定結果記録部5,判定ポリシ情報記憶部11,判定結果記憶部12(以下,単にアクセス可否判定部という)がアクセス判定サーバとして構成されていてもよい。
As an example, when a proxy server, a transfer server, or the like (simply referred to as a proxy server) is installed between the client of the
さらに,アクセス制御装置1の全体が,Webブラウザ部20を備えるクライアントであるコンピュータ内に備えられてもよい。
Further, the entire
また,上述の実施の形態では,参照先の情報識別子がURLである場合を例として説明したが,情報識別子は,URLに限らずURI(Uniform Resource Identifier)であればよい。 In the above-described embodiment, the case where the information identifier of the reference destination is a URL has been described as an example. However, the information identifier is not limited to the URL, and may be a URI (Uniform Resource Identifier).
上記で説明したように,アクセス制御装置1によれば,グレーゾーン内のアクセス可否を決定する際に,アクセスが既にアクセス許可された参照先と類似するものの範囲内であれば,常にアクセスが許可されるので,複数ページにわたる記事コンテンツが何分割されていても,最終ページまで参照できるようになる。一方で,バナー広告のように,記事と関連性が低いものについては,参照していた記事(参照元)とバナー広告(参照先)とのURLの類似度は,関連するコンテンツ間のURLに比べて低いため,ホップ可能な限界を設けて,その範囲外となった場合にアクセスが拒否される。
As described above, according to the
このように,同一ページ内にあるリンクからのアクセスであっても,既に参照しているコンテンツとの関連性に応じてアクセス可否を判定するアクセス制御を実現することができる。 As described above, it is possible to realize access control for determining whether or not access is possible in accordance with the relevance with the already referenced content even if the access is from a link in the same page.
さらに,アクセス制御装置1によれば,既知のホワイトリストやブラックリストによる制御のように,リンクの参照関係を事前収集する必要がないため,事前準備に要する設備やコストを大幅に削減でき,最新の参照先に対してもアクセス可否を判定することができる。
Furthermore, according to the
さらに,アクセス制御装置1によれば,類似物範囲やホップ可能範囲を任意の範囲かつ区分により設定することができるため,アクセス可否の判定を任意の強度に設定することができる。
Furthermore, according to the
さらに,類似物範囲やホップ可能範囲に,URLの類似度を用いているため,Webページが頻繁に更新される状態であっても,アクセス可否の判定基準が陳腐化しにくく,アクセス可否の強度を一定に維持し続けることも可能となる。 Furthermore, since the similarity of URLs is used for the similar object range and the hop possible range, even if the Web page is frequently updated, the access criterion is not easily obsolete, and the strength of the access can be increased. It is also possible to keep it constant.
本発明の実施態様における特徴を列記すると以下のようになる。 The features in the embodiments of the present invention are listed as follows.
(付記1)
判定ポリシ情報を記憶する判定ポリシ情報記憶部を備えたアクセス制御装置が実行するアクセス制御方法であって,
クライアントが発行したネットワーク上に存在する情報へのアクセス要求を検出するアクセス要求検出処理ステップと,
ネットワーク上の情報に対するアクセス要求を受けた際に,当該情報が明示的にアクセス許可ないし拒否設定されている領域内にあるか否かを特定するグレーゾーン特定情報にもとづいて,前記クライアントによりアクセス要求された参照先の情報が明示的に許可ないし禁止されていない場合に,前記判定ポリシ情報記憶部に記憶されている,2つの情報の識別子の類似度を算出するための類似度計算ルールにもとづいて,前記参照先の情報の識別子と所定の基点となる情報の識別子との類似度を計算する類似度計算処理ステップと,
前記判定ポリシ情報記憶部に記憶されている,2つの情報の識別子を類似物とみなす類似度の範囲を示す類似物範囲とアクセスが許可される情報の識別子の類似度の限界を示すホップ可能範囲とを定義するアクセス可否判定ルールにもとづいて,前記参照先の情報の識別子を元に算出した類似度が前記類似物範囲内であるかを判定して,前記類似度が前記類似物範囲内である場合に,前記参照先の情報へのアクセス許可を決定する類似物範囲判定処理ステップと,
前記類似度が前記類似物範囲内ではない場合に,前記アクセス可否判定ルールにもとづいて,前記参照先の情報の識別子と前記基点となる情報の識別子とから算出した類似度が前記ホップ可能範囲内であるかを判定し,前記類似度が前記ホップ可能範囲内である場合に,前記参照先の情報へのアクセス要求をホップ可能としてアクセス要求の許可を決定し,前記類似度が前記ホップ可能範囲内ではない場合に,前記参照先の情報へのアクセス要求の拒否を決定するホップ可能範囲判定処理ステップと,
前記クライアントへ前記アクセス要求によるアクセス許可またはアクセス拒否の判定結果を通知するアクセス可否判定通知処理ステップとを備える
ことを特徴とするアクセス制御方法。
(Appendix 1)
An access control method executed by an access control device including a determination policy information storage unit for storing determination policy information,
An access request detection processing step for detecting an access request to information existing on the network issued by the client;
When receiving an access request for information on the network, the client requests access based on gray zone specifying information that specifies whether the information is in an area where access is explicitly permitted or denied. Based on the similarity calculation rule for calculating the similarity between the identifiers of the two information stored in the determination policy information storage unit when the reference destination information is not explicitly permitted or prohibited. A similarity calculation processing step for calculating a similarity between the identifier of the reference destination information and the identifier of the information serving as a predetermined base point;
Hopsable range indicating the similarity range indicating the similarity range in which the identifiers of the two pieces of information are regarded as similar items and the limit of similarity between the identifiers of the information permitted to be accessed, stored in the determination policy information storage unit Is determined based on the access permission determination rule that defines whether the similarity calculated based on the identifier of the reference destination information is within the similar range, and the similarity is within the similar range. If there is, a similar range determination processing step for determining permission to access the reference destination information;
When the similarity is not within the similar object range, the similarity calculated from the identifier of the reference destination information and the identifier of the information serving as the base point is within the hopable range based on the access permission determination rule. If the similarity is within the hop possible range, the access request to the reference destination information is determined to be hoppable, and the access request is permitted, and the similarity is within the hop possible range. A hop possible range determination processing step for determining rejection of an access request to the information of the reference destination if not,
An access control method comprising: an access permission determination notification step of notifying the client of an access permission or access rejection determination result according to the access request.
(付記2)
前記判定ポリシ情報記憶部に記憶された前記アクセス可否判定ルールに,アクセス要求に対するホップである許可回数を示すホップ数に応じて類似物範囲とホップ可能範囲とが定義されている場合に,
前記ホップ可能範囲判定処理ステップで前記参照先の情報の識別子と,当該参照先の情報に対するアクセス要求が許可されたホップとしてのアクセスの累計を示すホップ数と基点となる情報の識別子とを示す判定情報を記憶部に保持する判定情報保持処理ステップを備えて,
前記類似物範囲判定処理ステップにおいて,前記判定情報のホップ数にもとづいて,前記アクセス可否判定ルールからホップ数に対応する類似物範囲とホップ可能範囲とを決定する処理を行う
ことを特徴とする前記付記1に記載のアクセス制御方法。
(Appendix 2)
In the access permission determination rule stored in the determination policy information storage unit, when a similar range and a hop possible range are defined according to the number of hops indicating the permitted number of hops for an access request,
Determination indicating the identifier of the reference destination information in the hop possible range determination processing step, the number of hops indicating the total number of accesses as hops permitted to access the reference destination information, and the identifier of the base information A determination information holding processing step for holding information in a storage unit;
In the similar range determination processing step, based on the number of hops of the determination information, a process of determining a similar range and a hop possible range corresponding to the number of hops from the access permission determination rule is performed. The access control method according to
(付記3)
前記類似度計算処理ステップにおいて,前記基点となる情報の識別子に前記判定情報の基点となる情報の識別子を設定する処理を行う
ことを特徴とする前記付記2に記載のアクセス制御方法。
(Appendix 3)
3. The access control method according to
(付記4)
前記アクセス可否判定ルールにおいて,前記類似物範囲の初期値として,アクセスを許可する情報の識別子を列挙したホワイトリストが設定されている場合に,前記類似度計算処理ステップの前に,前記参照先の情報の識別子が前記ホワイトリストに列挙された情報の識別子であるかを判定して,前記参照先の情報の識別子が前記ホワイトリストに列挙された情報の識別子である場合に,アクセス許可を決定とともに,前記判定情報のホップ数を初期化し,前記参照先の情報の識別子を基点となる情報の識別子に設定する処理を行う
ことを特徴とする前記付記2または前記付記3に記載のアクセス制御方法。
(Appendix 4)
In the access permission determination rule, when a whitelist listing identifiers of information permitted to be accessed is set as an initial value of the similar object range, before the similarity calculation processing step, the reference destination It is determined whether an identifier of information is an identifier of information listed in the white list, and when the identifier of the information of the reference destination is an identifier of information listed in the white list, access permission is determined and The access control method according to
(付記5)
前記類似物判定処理ステップでの判定結果と,前記ホップ可能範囲判定処理ステップでの判定結果と,前記判定情報保持処理ステップで保持した判定情報とをもとに,アクセスの可否判定の対象となった参照先の情報の識別子毎に基点となる情報の識別子と最短ホップ数とを示す判定結果情報を判定結果記憶部に格納する判定結果記録処理ステップを備える
ことを特徴とする前記付記2ないし前記付記4のいずれか一項に記載のアクセス制御方法。
(Appendix 5)
Based on the determination result in the similarity determination processing step, the determination result in the hop possible range determination processing step, and the determination information held in the determination information holding processing step, the access is determined. And a determination result recording process step of storing, in the determination result storage unit, determination result information indicating an identifier of information serving as a base point and the number of shortest hops for each identifier of the reference destination information. The access control method according to any one of
(付記6)
前記類似度計算処理ステップにおいて,前記判定結果情報の基点となる情報の識別子を前記基点となる情報の識別子に設定する処理を行い,
前記類似物範囲判定処理ステップにおいて,前記判定結果情報の最短ホップ数をホップ数とする処理を行う
ことを特徴とする前記付記5に記載のアクセス制御方法。
(Appendix 6)
In the similarity calculation processing step, a process of setting an identifier of information serving as a base point of the determination result information as an identifier of information serving as the base point;
6. The access control method according to
(付記7)
前記判定結果記録処理ステップにおいて,同一の参照先の情報識別子に対して複数の判定結果が存在する場合に,前記ホップ数が最小となる判定結果で前記判定結果情報を更新する処理を行う
ことを特徴とする前記付記6に記載のアクセス制御方法。
(Appendix 7)
In the determination result recording processing step, when a plurality of determination results exist for the same reference destination information identifier, a process of updating the determination result information with a determination result that minimizes the number of hops is performed. The access control method according to
(付記8)
前記判定ポリシ情報記憶部に記憶される前記アクセス可否判定ルールが,前記ホップ数に対応する類似物範囲とホップ可能範囲との組を,クライアントが参照した情報の識別子の類似度に基づいて算出するように定義されたものであり,前記参照先の情報へホップ可能としてのアクセスが許可された場合に,前記参照先の情報の識別子の類似度が前記類似物範囲からの超過程度を求めて,前記求めた超過程度にもとづいて,次のアクセス要求のアクセスの可否判定に用いる類似物範囲とホップ可能範囲とを決定する処理を行う
ことを特徴とする前記付記2ないし付記6のいずれか一項に記載のアクセス制御方法。
(Appendix 8)
The access permission determination rule stored in the determination policy information storage unit calculates a pair of similar range and hop range corresponding to the number of hops based on the similarity of the identifier of the information referred to by the client. And when the access to the reference destination information is permitted as a hop possible, the similarity degree of the identifier of the reference destination information is obtained to determine the degree of excess from the similar range, The processing according to any one of the
(付記9)
前記判定ポリシ情報記憶部に記憶される前記アクセス可否判定ルールが,前記ホップ数に対応する類似物範囲とホップ可能範囲との組を定義するものであり,
前記ホップ可能範囲判定処理ステップにおいて,前記参照先の情報の識別子へのホップ可能としてのアクセスが許可された場合に,前記アクセス可否判定ルールから,前記参照先の情報の識別子の類似度が範囲内となるホップ可能範囲を含む組を検索して,前記クライアントの次のアクセス要求に対するアクセスの可否判定に使用する類似物範囲とホップ可能範囲とを決定する処理を行う
ことを特徴とする前記付記2ないし付記6のいずれか一項に記載のアクセス制御方法。
(Appendix 9)
The access permission determination rule stored in the determination policy information storage unit defines a set of a similar range and a hop possible range corresponding to the number of hops,
In the hop possible range determination processing step, when access to the reference destination information identifier as hop possible is permitted, the similarity of the identifier of the reference destination information is within the range from the access permission determination rule. (2) searching for a set including a possible hop range and determining a similar range and a possible hop range to be used for determining whether or not the client can access the next access request. Or the access control method according to any one of
(付記10)
前記判定ポリシ情報記憶部に記憶される前記アクセス可否判定ルールが,前記ホップ数を用いた減少関数により前記類似物範囲を設定するルールを含むものであり,
前記類似物範囲判定処理ステップにおいて,前記アクセス可否判定ルールにもとづいて,前記ホップ数に対応する類似物範囲を決定する処理を行う
ことを特徴とする前記付記2ないし付記6のいずれか一項に記載のアクセス制御方法。
(Appendix 10)
The access permission determination rule stored in the determination policy information storage unit includes a rule for setting the similar range by a decreasing function using the hop number,
In the similar item range determination processing step, a process of determining a similar item range corresponding to the number of hops is performed based on the access permission determination rule. The access control method described.
(付記11)
前記判定ポリシ情報記憶部に記憶される前記アクセス可否判定ルールが,前記ホップ数を用いた減少関数により前記ホップ可能範囲を設定するルールを含むものであり,
前記ホップ可能範囲判定処理ステップにおいて,前記アクセス可否判定ルールにもとづいて,前記ホップ数に対応するホップ可能範囲を決定する処理を行う
ことを特徴とする前記付記10に記載のアクセス制御方法。
(Appendix 11)
The access permission determination rule stored in the determination policy information storage unit includes a rule for setting the hop possible range by a decreasing function using the hop count,
11. The access control method according to
(付記12)
前記判定ポリシ情報記憶部に記憶される前記アクセス可否判定ルールが,減少関数により前記類似物範囲を設定するルールを含むものであり,
前記減少関数が,前記参照先の情報の識別子の類似度が前記類似物範囲から超過していた程度である超過量と,当該類似度の前記ホップ可能範囲に対する余裕の程度である余裕量との割合ないし絶対量を用いた減少関数とし定義されている
ことを特徴とする前記付記2ないし付記6のいずれか一項に記載のアクセス制御方法。
(Appendix 12)
The access permission determination rule stored in the determination policy information storage unit includes a rule for setting the similar range by a decreasing function,
The decrease function includes an excess amount that is a degree of similarity of the identifier of the reference destination information exceeding the similarity range, and a margin amount that is a margin of the similarity to the hop possible range. The access control method according to any one of
(付記13)
前記判定ポリシ情報記憶部に記憶される前記アクセス可否判定ルールが,減少関数により前記ホップ可能範囲を設定するルールを含むものであり,
前記ホップ可能範囲判定処理ステップにおいて,前記参照先の情報の識別子へのホップとしてのアクセスが許可された場合に,前記参照先の情報の識別子の類似度が前記類似物範囲から超過していた程度である超過量と,当該類似度の前記ホップ可能範囲に対する余裕の程度である余裕量とを計算し,前記超過量と前記余裕量との割合を用いて前記減少関数を決定して,前記クライアントの次のアクセス要求に対するアクセスの可否判定に使用するホップ可能範囲を前記減少関数によって決定する処理を行う
ことを特徴とする前記付記12に記載のアクセス制御方法。
(Appendix 13)
The access permission determination rule stored in the determination policy information storage unit includes a rule for setting the hop possible range by a decreasing function,
The degree to which the similarity of the identifier of the reference destination information exceeds the similarity range when access as a hop to the identifier of the reference destination information is permitted in the hop possible range determination processing step And an excess amount that is the degree of margin of the similarity with respect to the hop possible range, and the reduction function is determined using a ratio between the excess amount and the margin amount, and the
(付記14)
ネットワークのドメイン名と前記ドメイン名の登録者とを示すドメイン情報を収集して,前記判定ポリシ情報記憶部に記憶するドメイン情報取得処理ステップとを備えて,
前記判定ポリシ情報記憶部の前記類似度計算ルールに,ドメイン名にもとづく類似度計算ルールが含まれる場合に,
前記類似度計算処理ステップにおいて,前記ドメイン情報にもとづいて,前記参照先の情報識別子のドメインに関係する部分類似度を計算する処理を行う
ことを特徴とする前記付記13に記載のアクセス制御方法。
(Appendix 14)
Collecting domain information indicating a domain name of the network and a registrant of the domain name, and storing the domain information in the determination policy information storage unit,
When the similarity calculation rule based on the domain name is included in the similarity calculation rule of the determination policy information storage unit,
14. The access control method according to
(付記15)
ネットワーク上に存在する情報へのアクセスを制御するアクセス制御装置であって,
2つの情報の識別子の類似度を計算する類似度計算ルールと,2つの情報の識別子を類似物とみなす類似度の範囲を示す類似物範囲とアクセスが要求された情報の識別子へのアクセスが許可される限界を示すホップ可能範囲とホップ数を含むアクセス可否判定ルールとを記憶する判定ポリシ情報記憶部と,
クライアントが発行したアクセス要求を検出する処理と,前記クライアントへ前記アクセス要求によるアクセスの許可または拒否の判定結果を通知する処理とを行うアクセス要求検出部と,
前記類似度計算ルールにもとづいて,前記参照先の情報の識別子と所定の基点となる情報の識別子との類似度を計算する処理と,前記アクセス可否判定ルールにもとづいて,前記参照先の情報の識別子の類似度が前記類似物範囲内であるかを判定して,前記類似度が前記類似物範囲内である場合に,前記参照先の情報の識別子が示す情報へのアクセス許可を決定する処理と,前記類似度が前記類似物範囲内ではない場合に,前記アクセス可否判定ルールにもとづいて,前記参照先の情報の識別子の類似度が前記ホップ可能範囲内であるかを判定し,前記類似度が前記ホップ可能範囲内である場合に,前記参照先の情報の識別子へのホップであるアクセスの許可を決定し,前記類似度が前記ホップ可能範囲内ではない場合に,前記参照先の情報の識別子が示す情報へのアクセス拒否を決定する処理とを行うアクセス可否判定部とを備える
ことを特徴とするアクセス制御装置。
(Appendix 15)
An access control device for controlling access to information existing on a network,
The similarity calculation rule for calculating the similarity between two information identifiers, the similarity range indicating the range of similarity in which the two information identifiers are regarded as similar, and access to the identifier of the information requested to be permitted A determination policy information storage unit for storing a hop possible range indicating a limit to be performed and an access permission determination rule including the number of hops;
An access request detection unit that performs processing for detecting an access request issued by a client, and processing for notifying a determination result of permission or denial of access by the access request to the client;
Based on the similarity calculation rule, a process of calculating the similarity between the identifier of the reference destination information and the identifier of the information serving as a predetermined base point, and the reference destination information based on the access permission determination rule A process of determining whether or not the similarity of the identifier is within the similar object range, and determining access permission to the information indicated by the identifier of the reference destination information when the similarity is within the similar object range And when the similarity is not within the similar range, it is determined whether the similarity of the identifier of the reference destination information is within the hop possible range based on the access permission determination rule, and the similarity When the degree is within the hop possible range, permission of access that is a hop to the identifier of the reference destination information is determined, and when the similarity is not within the hop possible range, the reference destination information Access control device, characterized in that it comprises an access judging unit that performs a process of determining a denial of access to the information indicated by the identifier.
1 アクセス制御装置
2 端末(クライアント)
21 アクセス要求検出部
3 アクセス可否判定部
5 判定結果記録部
11 判定ポリシ情報記憶部
12 判定結果記憶部
20 Webブラウザ部
1
DESCRIPTION OF
Claims (8)
クライアントが発行したネットワーク上に存在する情報へのアクセス要求を検出するアクセス要求検出処理ステップと,
ネットワーク上の情報に対するアクセス要求を受けた際に,当該情報が明示的にアクセス許可ないし拒否設定されている領域内にあるか否かを特定するグレーゾーン特定情報にもとづいて,前記クライアントによりアクセス要求された参照先の情報が明示的に許可ないし禁止されていない場合に,前記判定ポリシ情報記憶部に記憶されている,2つの情報の識別子の類似度を算出するための類似度計算ルールにもとづいて,前記参照先の情報の識別子と所定の基点となる情報の識別子との類似度を計算する類似度計算処理ステップと,
前記判定ポリシ情報記憶部に記憶されている,2つの情報の識別子を類似物とみなす類似度の範囲を示す類似物範囲とアクセスが許可される情報の識別子の類似度の限界を示すホップ可能範囲とを定義するアクセス可否判定ルールにもとづいて,前記参照先の情報の識別子を元に算出した類似度が前記類似物範囲内であるかを判定して,前記類似度が前記類似物範囲内である場合に,前記参照先の情報へのアクセス許可を決定する類似物範囲判定処理ステップと,
前記類似度が前記類似物範囲内ではない場合に,前記アクセス可否判定ルールにもとづいて,前記参照先の情報の識別子と前記基点となる情報の識別子とから算出した類似度が前記ホップ可能範囲内であるかを判定し,前記類似度が前記ホップ可能範囲内である場合に,前記参照先の情報へのアクセス要求をホップ可能としてアクセス要求の許可を決定し,前記類似度が前記ホップ可能範囲内ではない場合に,前記参照先の情報へのアクセス要求の拒否を決定するホップ可能範囲判定処理ステップと,
前記クライアントへ前記アクセス要求によるアクセス許可またはアクセス拒否の判定結果を通知するアクセス可否判定通知処理ステップとを備える
ことを特徴とするアクセス制御方法。 An access control method executed by an access control device including a determination policy information storage unit for storing determination policy information,
An access request detection processing step for detecting an access request to information existing on the network issued by the client;
When receiving an access request for information on the network, the client requests access based on gray zone specifying information that specifies whether the information is in an area where access is explicitly permitted or denied. Based on the similarity calculation rule for calculating the similarity between the identifiers of the two information stored in the determination policy information storage unit when the reference destination information is not explicitly permitted or prohibited. A similarity calculation processing step for calculating a similarity between the identifier of the reference destination information and the identifier of the information serving as a predetermined base point;
Hopsable range indicating the similarity range indicating the similarity range in which the identifiers of the two pieces of information are regarded as similar items and the limit of similarity between the identifiers of the information permitted to be accessed, stored in the determination policy information storage unit Is determined based on the access permission determination rule that defines whether the similarity calculated based on the identifier of the reference destination information is within the similar range, and the similarity is within the similar range. If there is, a similar range determination processing step for determining permission to access the reference destination information;
When the similarity is not within the similar object range, the similarity calculated from the identifier of the reference destination information and the identifier of the information serving as the base point is within the hopable range based on the access permission determination rule. If the similarity is within the hop possible range, the access request to the reference destination information is determined to be hoppable, and the access request is permitted, and the similarity is within the hop possible range. A hop possible range determination processing step for determining rejection of an access request to the information of the reference destination if not,
An access control method comprising: an access permission determination notification step of notifying the client of an access permission or access rejection determination result according to the access request.
前記ホップ可能範囲判定処理ステップで前記参照先の情報の識別子と,当該参照先の情報に対するアクセス要求が許可されたホップとしてのアクセスの累計を示すホップ数と基点となる情報の識別子とを示す判定情報を記憶部に保持する判定情報保持処理ステップを備えて,
前記類似物範囲判定処理ステップにおいて,前記判定情報のホップ数にもとづいて,前記アクセス可否判定ルールからホップ数に対応する類似物範囲とホップ可能範囲とを決定する処理を行う
ことを特徴とする請求項1に記載のアクセス制御方法。 In the access permission determination rule stored in the determination policy information storage unit, when a similar range and a hop possible range are defined according to the number of hops indicating the permitted number of hops for an access request,
Determination indicating the identifier of the reference destination information in the hop possible range determination processing step, the number of hops indicating the total number of accesses as hops permitted to access the reference destination information, and the identifier of the base information A determination information holding processing step for holding information in a storage unit;
The similarity range determination processing step performs a process of determining a similar range and a hop possible range corresponding to the hop count from the access permission determination rule based on the hop count of the determination information. Item 4. The access control method according to Item 1.
ことを特徴とする請求項2に記載のアクセス制御方法。 The access control method according to claim 2, wherein, in the similarity calculation processing step, a process of setting an identifier of information serving as a base point of the determination information is performed as an identifier of information serving as the base point.
ことを特徴とする請求項2または請求項3に記載のアクセス制御方法。 In the access permission determination rule, when a whitelist listing identifiers of information permitted to be accessed is set as an initial value of the similar object range, before the similarity calculation processing step, the reference destination It is determined whether an identifier of information is an identifier of information listed in the white list, and when the identifier of the information of the reference destination is an identifier of information listed in the white list, access permission is determined and 4. The access control method according to claim 2, wherein a process of initializing a hop number of the determination information and setting an identifier of the reference destination information as an identifier of information serving as a base point is performed.
ことを特徴とする請求項2ないし請求項4のいずれか一項に記載のアクセス制御方法。 Based on the determination result in the similarity determination processing step, the determination result in the hop possible range determination processing step, and the determination information held in the determination information holding processing step, the access is determined. 5. A determination result recording process step of storing determination result information indicating an identifier of information serving as a base point and the shortest hop count for each reference destination information identifier in a determination result storage unit. Item 5. The access control method according to any one of Items4.
ことを特徴とする請求項2ないし請求項5のいずれか一項に記載のアクセス制御方法。 The access permission determination rule stored in the determination policy information storage unit calculates a pair of similar range and hop range corresponding to the number of hops based on the similarity of the identifier of the information referred to by the client. And when the access to the reference destination information is permitted as a hop possible, the similarity degree of the identifier of the reference destination information is obtained to determine the degree of excess from the similar range, 6. The process of determining a similar range and a hop possible range to be used for determining whether or not the next access request can be accessed based on the obtained excess degree. The access control method according to item.
前記ホップ可能範囲判定処理ステップにおいて,前記参照先の情報の識別子へのホップ可能としてのアクセスが許可された場合に,前記アクセス可否判定ルールから,前記参照先の情報の識別子の類似度が範囲内となるホップ可能範囲を含む組を検索して,前記クライアントの次のアクセス要求に対するアクセスの可否判定に使用する類似物範囲とホップ可能範囲とを決定する処理を行う
ことを特徴とする請求項2ないし請求項6のいずれか一項に記載のアクセス制御方法。 The access permission determination rule stored in the determination policy information storage unit defines a set of a similar range and a hop possible range corresponding to the number of hops,
In the hop possible range determination processing step, when access to the reference destination information identifier as hop possible is permitted, the similarity of the identifier of the reference destination information is within the range from the access permission determination rule. 3. A process including: searching for a set including a hop possible range, and determining a similar range and a hop possible range to be used for determining whether or not the client can access the next access request. The access control method according to claim 6.
2つの情報の識別子の類似度を計算する類似度計算ルールと,2つの情報の識別子を類似物とみなす類似度の範囲を示す類似物範囲とアクセスが要求された情報の識別子へのアクセスが許可される限界を示すホップ可能範囲とホップ数を含むアクセス可否判定ルールとを記憶する判定ポリシ情報記憶部と,
クライアントが発行したアクセス要求を検出する処理と,前記クライアントへ前記アクセス要求によるアクセスの許可または拒否の判定結果を通知する処理とを行うアクセス要求検出部と,
前記類似度計算ルールにもとづいて,前記参照先の情報の識別子と所定の基点となる情報の識別子との類似度を計算する処理と,前記アクセス可否判定ルールにもとづいて,前記参照先の情報の識別子の類似度が前記類似物範囲内であるかを判定して,前記類似度が前記類似物範囲内である場合に,前記参照先の情報の識別子が示す情報へのアクセス許可を決定する処理と,前記類似度が前記類似物範囲内ではない場合に,前記アクセス可否判定ルールにもとづいて,前記参照先の情報の識別子の類似度が前記ホップ可能範囲内であるかを判定し,前記類似度が前記ホップ可能範囲内である場合に,前記参照先の情報の識別子へのホップであるアクセスの許可を決定し,前記類似度が前記ホップ可能範囲内ではない場合に,前記参照先の情報の識別子が示す情報へのアクセス拒否を決定する処理とを行うアクセス可否判定部とを備える
ことを特徴とするアクセス制御装置。
An access control device for controlling access to information existing on a network,
The similarity calculation rule for calculating the similarity between two information identifiers, the similarity range indicating the range of similarity in which the two information identifiers are regarded as similar, and access to the identifier of the information requested to be permitted A determination policy information storage unit for storing a hop possible range indicating a limit to be performed and an access permission determination rule including the number of hops;
An access request detection unit that performs processing for detecting an access request issued by a client, and processing for notifying a determination result of permission or denial of access by the access request to the client;
Based on the similarity calculation rule, a process of calculating the similarity between the identifier of the reference destination information and the identifier of the information serving as a predetermined base point, and the reference destination information based on the access permission determination rule A process of determining whether or not the similarity of the identifier is within the similar object range, and determining access permission to the information indicated by the identifier of the reference destination information when the similarity is within the similar object range And when the similarity is not within the similar range, it is determined whether the similarity of the identifier of the reference destination information is within the hop possible range based on the access permission determination rule, and the similarity When the degree is within the hop possible range, permission of access that is a hop to the identifier of the reference destination information is determined, and when the similarity is not within the hop possible range, the reference destination information Access control device, characterized in that it comprises an access judging unit that performs a process of determining a denial of access to the information indicated by the identifier.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010076918A JP5625435B2 (en) | 2010-03-30 | 2010-03-30 | Access control method and access control apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010076918A JP5625435B2 (en) | 2010-03-30 | 2010-03-30 | Access control method and access control apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011209996A true JP2011209996A (en) | 2011-10-20 |
| JP5625435B2 JP5625435B2 (en) | 2014-11-19 |
Family
ID=44940986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010076918A Active JP5625435B2 (en) | 2010-03-30 | 2010-03-30 | Access control method and access control apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5625435B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013161136A (en) * | 2012-02-01 | 2013-08-19 | Yahoo Japan Corp | Teacher data generation device, method and program |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003248696A (en) * | 2002-02-22 | 2003-09-05 | Nippon Telegr & Teleph Corp <Ntt> | Page rating/filtering method, device, and program, and computer readable recording medium recording the program |
| JP2003256478A (en) * | 2002-03-06 | 2003-09-12 | Nippon Telegr & Teleph Corp <Ntt> | Network for discovering object, construction method for network, method of discovering object, node, method of transferring query message of object, program, and recording medium |
| JP2006331089A (en) * | 2005-05-26 | 2006-12-07 | Toshiba Corp | Method and device for generating time series data from webpage |
| JP2008204425A (en) * | 2007-01-26 | 2008-09-04 | Yahoo Japan Corp | Processing omission decision program for similarity analysis of url |
| WO2008129606A1 (en) * | 2007-04-06 | 2008-10-30 | Fujitsu Limited | Communication system, communication device and computer program |
-
2010
- 2010-03-30 JP JP2010076918A patent/JP5625435B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003248696A (en) * | 2002-02-22 | 2003-09-05 | Nippon Telegr & Teleph Corp <Ntt> | Page rating/filtering method, device, and program, and computer readable recording medium recording the program |
| JP2003256478A (en) * | 2002-03-06 | 2003-09-12 | Nippon Telegr & Teleph Corp <Ntt> | Network for discovering object, construction method for network, method of discovering object, node, method of transferring query message of object, program, and recording medium |
| JP2006331089A (en) * | 2005-05-26 | 2006-12-07 | Toshiba Corp | Method and device for generating time series data from webpage |
| JP2008204425A (en) * | 2007-01-26 | 2008-09-04 | Yahoo Japan Corp | Processing omission decision program for similarity analysis of url |
| WO2008129606A1 (en) * | 2007-04-06 | 2008-10-30 | Fujitsu Limited | Communication system, communication device and computer program |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013161136A (en) * | 2012-02-01 | 2013-08-19 | Yahoo Japan Corp | Teacher data generation device, method and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5625435B2 (en) | 2014-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9154493B2 (en) | Managing multiple logins from a single browser | |
| US7548908B2 (en) | Dynamic bloom filter for caching query results | |
| US7953775B2 (en) | Sharing tagged data on the internet | |
| US7590707B2 (en) | Method and system for identifying network addresses associated with suspect network destinations | |
| US7613794B2 (en) | Identifying dynamic groups | |
| US8443452B2 (en) | URL filtering based on user browser history | |
| US20090106207A1 (en) | Method for restricting access to search results and a search engine supporting the method | |
| US10491475B2 (en) | Proxy automatic configuration file manager | |
| CN101438279A (en) | Search system and methods with integration of user annotations from a trust network | |
| WO2007149914A2 (en) | Method and system for incorporating trusted metadata in a computing environment | |
| US20110282868A1 (en) | Search method, integrated search server, and computer program | |
| Loupasakis et al. | eXO: Decentralized Autonomous Scalable Social Networking. | |
| WO2007149912A2 (en) | Method and system for constructing and using a personalized database of trusted metadata | |
| JP2017220112A (en) | Data management system, control method and program | |
| JP5001924B2 (en) | Access management system and access management method | |
| AU2022209249A1 (en) | Directory assisted routing of content in an information centric network | |
| JP4757687B2 (en) | Authentication authorization server, authentication authorization system, authentication authorization method, and authentication authorization program | |
| JP5625435B2 (en) | Access control method and access control apparatus | |
| JP5320895B2 (en) | Information search method and information search apparatus | |
| KR20180074962A (en) | Method and Apparatus of performing Policy-Driven Storage Service Federation | |
| US20090024695A1 (en) | Methods, Systems, And Computer Program Products For Providing Search Results Based On Selections In Previously Performed Searches | |
| JP4945776B2 (en) | Filtering processing apparatus, content filter creation method, content filter creation program, and content filter creation program recording medium | |
| JP2006048493A (en) | Location search server device and service information system | |
| JP2004127125A (en) | Retrieval server, retrieval method, program, and recording medium | |
| Smirnov et al. | Locality-sensitive hashing for distributed privacy-preserving collaborative filtering: An approach and system architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130206 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140107 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140310 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140902 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140915 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5625435 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |