CN101065940A - 中继装置、中继方法和程序 - Google Patents
中继装置、中继方法和程序 Download PDFInfo
- Publication number
- CN101065940A CN101065940A CNA2005800406211A CN200580040621A CN101065940A CN 101065940 A CN101065940 A CN 101065940A CN A2005800406211 A CNA2005800406211 A CN A2005800406211A CN 200580040621 A CN200580040621 A CN 200580040621A CN 101065940 A CN101065940 A CN 101065940A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- access request
- server
- relay
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Abstract
本发明提供使用根据来自通信终端的访问请求发布的票据信息接受客户端认证的中继装置。该中继装置是对通信终端与服务器之间的通信进行中继的中继装置,其具备:访问请求接收部,其从通信终端接收对于服务器的访问请求;票据信息获取部,其从外部的认证服务器获取用于服务器根据访问请求进行认证的、对于该访问请求标识该中继装置的票据信息;访问请求发送部,其对访问请求和票据信息进行加密而向服务器发送;访问应答解密部,其接收从使用票据信息对该中继装置进行了认证的服务器接收的、加密后的访问应答并进行解密;以及访问应答发送部,其向通信终端发送解密后的访问应答。
Description
技术领域
本发明涉及中继装置、中继方法和程序。特别地,本发明涉及通过使用根据来自通信终端的访问请求发布的票据信息接受客户端认证来有效地实现服务器间加密通信的中继装置、中继方法和程序。
背景技术
以往,为了将有线LAN、无线LAN以及移动电话网等局域网(LAN)与因特网等广域网(WAN)相连接,使用网关等中继装置。这样的中继装置,对连接到了LAN的个人计算机(PC)、移动信息终端(PDA)以及移动电话等通信终端与连接到了WAN的Web服务器等服务器之间的通信进行中继。
作为在通信终端与服务器之间发送接收机密性高的数据的方法,提出有在通信终端与服务器之间进行端对端加密通信的方法,以及在中继装置与服务器之间进行服务器间加密通信的方法。
在端对端加密通信中,通信终端对消息进行加密而发送,服务器则进行解密。此外,服务器对消息进行加密而发送,通信终端则进行解密。关于本通信方式,公开有以下那样的中继装置:通过向通信终端发送通信终端用于消息的加密的服务器的公开密钥,向服务器发送服务器用于消息的加密的通信终端的公开密钥,来代行通信终端和服务器的相互认证处理(专利文献1)。此外,公开有中继装置在对已加密的消息进行解密后加以改变的技术(专利文献2)。
另一方面,在服务器间加密通信中,在通信终端与中继装置之间,通常进行非加密通信,而在中继装置与服务器之间则进行加密通信。特别地,在移动电话等与服务器之间的通信中,由于移动电话侧的网络是机密性高的封闭网络以及通过在中继装置中进行加密处理而不是在移动电话中进行加密处理来提高通信性能,所以服务器间加密通信是有效的。关于本通信方式,公开有中继装置管理用于通信终端的认证的证书并使用该证书在与服务器之间进行相互认证的技术(专利文献3)。此外,公开有这样的技术:预先将通信终端的证书注册到证书管理服务器内,通信终端经由中继装置向证书管理服务器进行注册,而使该证书下载到中继装置(专利文献4)。此外,公开有使用通信路径上的中继装置的ID来判断中继装置与服务器间的数据的合法性的技术(专利文献5)。
此外,还公开有根据服务器是否请求通信装置的证书的情况,来切换端对端加密通信和服务器间加密通信的技术(专利文献6)。
专利文献1:特开2001-134534号公报
专利文献2:特表2003-503963号公报
专利文献3:特开2002-82907号公报
专利文献4:特开2001-251297号公报
专利文献5:特开2001-244996号公报
专利文献6:特开2002-111747号公报
例如,在与如移动电话网那样、连接有多种多样的通信终端的LAN和WAN连接的情况下,理想的是中继装置提供将Web页变换为移动电话用等变换功能。此外,由于移动电话网本身机密性高以及移动电话的加密处理能力比较低,所以理想的是中继装置支持服务器间加密通信。
但是,连接到移动电话网的移动电话的数量是庞大的,如果如专利文献3和4那样,集中管理各个移动电话用的客户端证书,则维护·管理成本将会增加。
发明内容
于是,本发明的目的在于提供能够解决上述问题的中继装置、中继方法和程序。该目的可通过权利要求的范围内的独立权利要求中所记载的特征的组合来实现。此外,从属权利要求则限定本发明的更为有利的具体例。
根据本发明的第1方式,提供一种中继装置、与该中继装置有关的中继方法和程序,该中继装置是对通信终端与服务器之间的通信进行中继的中继装置,其具备:访问请求接收部,其从上述通信终端接收对于上述服务器的第1访问请求;票据信息获取部,其从外部的认证服务器获取用于上述服务器根据上述第1访问请求进行认证的、对于该第1访问请求标识该中继装置的票据信息;访问请求发送部,其对上述第1访问请求和上述票据信息进行加密而向上述服务器发送;访问应答解密部,其对从使用上述票据信息对该中继装置进行了认证的上述服务器接收的、对于上述第1访问请求的加密后的第1访问应答进行解密;以及访问应答发送部,其向上述通信终端发送解密后的上述第1访问应答。
另外,上述的发明的概要,并未列举出本发明的全部的必要特征,这些特征组的子组合,也可成为发明。
如果采用本发明,则可以提供使用根据来自通信终端的访问请求发布的票据信息接受客户端认证的中继装置。
具体实施方式
以下,虽然通过发明的实施方式来说明本发明,但是,以下的实施方式并不是要对权利要求的范围内的发明进行限定,此外,在实施方式中所说明的特征的组合的全部并不一定是发明的解决手段所必须的。
图1示出了本实施方式的通信系统10的结构。本实施方式的通信系统10,利用中继装置100对第1网络110和第2网络150之间的通信进行中继。并且,中继装置100,根据通信终端130的请求适当地分别使用端对端加密通信和服务器间加密通信。此外,在服务器间加密通信中,中继装置100自身,使用由认证服务器170暂时地发布的一次口令等票据信息接受客户端认证。利用这些功能,中继装置100就可以在多个多种多样的通信终端130连接到了第1网络110的环境中,对通信终端130适当地提供WAN连接环境。
通信系统10具备:第1网络110;1个或多个基站120;1个或多个通信终端130;第2网络150;1个或多个Web服务器160;1个或多个认证服务器170和中继装置100。
第1网络110,是通信终端130和中继装置100所连接到的局域网。在本实施方式中,第1网络110,作为一个例子,是由移动电话公司提供的移动电话网等封闭网络。基站120被连接到第1网络110,利用无线与通信终端130进行通信,从而将通信终端130连接到第1网络110。通信终端130例如是移动电话、移动信息终端(PDA)或者个人计算机等,其具有根据用户的指示访问第2网络150上的Web服务器160的功能。
第2网络150,是Web服务器160、认证服务器170、认证中心180以及中继装置100所连接的广域网。在本实施方式中,第2网络150,作为一个例子,是因特网等开放网络。Web服务器160,是本发明的服务器的一个例子,其向访问源的通信终端130提供Web页等的文件或内容。此外,Web服务器160,根据通信终端130的请求执行服务处理,并向通信终端130应答服务处理的结果。
认证服务器170,以在中继装置100与Web服务器160之间进行相互认证为条件,生成并对中继装置100发布Web服务器160用于中继装置100的认证的一次口令等票据信息。认证中心180,发布并向中继装置100提供用于中继装置100的认证的中继装置100的证书(客户端证书)。
中继装置100,例如是网关装置,其被连接到第1网络110和第2网络150,对通信终端130与Web服务器160之间的通信进行中继。更具体地,中继装置100,接收从通信终端130对于Web服务器160的访问请求,并向Web服务器160转送。在本实施方式中,访问请求,包括指定目的地的Web服务器160的目的地信息和标识应当由Web服务器160执行的服务处理的服务标识信息。
本实施方式的中继装置100,可以使用以下所示的非加密通信、端对端加密通信和服务器间加密通信这3种通信方式。
(1)非加密通信
是在通信终端130和Web服务器160之间不对消息进行加密,利用明文进行发送接收的通信方式。中继装置100,根据从通信终端130接收到含有指示在与Web服务器160之间利用非加密通信进行通信的通信方式指示信息的访问请求的情况,对非加密通信进行中继。非加密通信的访问请求,例如,也可以是请求利用HTTP协议、用明文下载Web服务器160内的文件或内容的“GET http://...”等访问请求消息。
(2)端对端加密通信
是在通信终端130与Web服务器160之间对消息进行加密而发送接收且中继装置100进行隧道处理的通信方式,其中该隧道处理不对消息进行变换地进行中继。也就是说,中继装置100,接收从通信终端130对于Web服务器160的、加密后的访问请求,并向Web服务器160转送。此外,从Web服务器160接收对于访问请求的、加密后的访问应答,并保持加密后的状态不变地向通信终端130转送。
中继装置100,根据从通信终端130接收到包含指示在通信终端130与Web服务器160之间利用端对端加密通信进行通信的通信方式指示信息的访问请求的情况,对端对端加密通信进行中继。端对端加密通信的访问请求,例如,也可以包含连接请求消息,该连接请求消息包含利用HTTPS协议在通信终端130与Web服务器160之间请求SSL连接的“CONNECThttps://...”。此外,也可以是包含指定Web服务器160根据该访问请求应当执行的服务程序的信息和指定向该服务程序提供的参数的信息的、例如指示利用CGI进行的脚本调用等的消息。
(3)服务器间加密通信
是在中继装置110与Web服务器160之间对消息进行加密而发送接收的通信方式。也就是说,中继装置100,接收从通信终端130对于Web服务器160的访问请求,对其进行加密而向Web服务器160发送。此外,从Web服务器160接收对于访问请求的、加密后的访问应答,对其进行解密而向通信终端130发送。在这里,中继装置100与通信终端130之间既可以用明文进行通信,也可以进行利用与中继装置100和Web服务器160之间不同的加密密钥/解密密钥进行的加密通信。
中继装置100,根据从通信终端130接收到包含指示利用服务器间加密通信进行通信的通信方式指示信息的访问请求的情况,进行服务器间加密通信。该访问请求,例如可以是在提供给Web服务器160的服务程序的参数中,包含对于中继装置100指示服务器间加密通信的“proxy_ssl_assist=on”等描述的CGI脚本调用等的消息。在该情况下,该访问请求,在基于HTTP协议的访问请求内的URL部分包含指示CGI脚本的调用以及服务器间加密通信的CGI参数的描述。
该访问请求,也可以代之以在基于HTTP协议的扩展HTTP标头等中,包含指示服务器间加密通信的“proxy_ssl_assist:on”等描述。
服务器间加密通信,可以进一步分为以下两类。
(3-1)Web服务器160不进行访问源的认证的服务器间加密通信
以在访问请求中不包含指示使Web服务器160认证访问源的认证指示信息为条件,中继装置100,作为通信终端130的代理,进行服务器间加密通信而不接受访问源的认证(客户端认证)。
(3-2)Web服务器160进行访问源的认证的服务器间加密通信
以在访问请求中包含指示使Web服务器160认证访问源的认证指示信息为条件,中继装置100,作为通信终端130的代理,接受客户端认证。在本实施方式中,该访问请求,例如,也可以是在提供给Web服务器160的服务程序的参数中包含对于中继装置100指示接受客户端认证的“proxy_authenticate=...”等描述作为认证指示信息的CGI脚本调用等的消息。在该情况下,该访问请求,也可以在基于HTTP协议的访问请求内的URL部分,包含指示CGI脚本调用和接受客户端认证的CGI参数的描述。
该访问请求也可以代之以在基于HTTP协议的扩展HTTP标头等中,包含指示接受客户端认证的描述。
通过Web服务器160进行中继装置100的客户端认证,中继装置100进行Web服务器160的服务认证,可以在中继装置100和Web服务器160之间进行相互认证。本实施方式的中继装置100,对于指示接受客户端认证的访问请求,对认证服务器170请求标识中继装置100的票据信息的发布。在这里,包括认证指示信息的访问请求,也可以含有标识对于该访问请求应当发布票据信息的认证服务器170的认证目的地信息。该认证目的地信息,例如,可以作为“proxy_authenticate=‘认证服务器170的URL’”等,与认证指示信息具有对应关系地被描述。在该情况下,中继装置100,对于由认证目的地信息指定的认证服务器170,请求票据信息的发布。
另外,中继装置100和认证服务器170,在票据信息的发布之前,进行相互认证。通过对中继装置100进行客户端认证,认证服务器170可以防止对于未被许可进行Web服务器160的服务的利用的中继装置100发布票据信息的情况。其结果,通信系统10可以间接地防止从未加入到服务内的通信终端130利用Web服务器160的服务的情况。
如果采用以上所示的中继装置100,则可以根据访问请求的内容,适当地分别使用非加密通信、端对端加密通信和服务器间加密通信。此外,通过使用服务器间加密通信,通信终端130可以无需个别地接受客户端认证,而代之以中继装置100根据暂时的票据信息接受客户端认证。为此,中继装置100,可以在无需个别地管理连接到机密性高的封闭网络的各个通信终端130的客户端证书的情况下,提供客户端认证功能。
另外,也可以代之以上,而将中继装置100设置在通信终端130和Web服务器160所共同连接到的网络上。在该方式中,中继装置100,从通信终端130暂时接收对于Web服务器160的访问请求,并通过该网络转送给Web服务器160。此外,从Web服务器160接收对于访问请求的访问应答,并通过该网络转送给通信终端130。
图2示出了本实施方式的中继装置100的结构。中继装置100,具备:访问请求接收部200;请求监视部205;确认请求发送部220;确认应答接收部225;认证信息获取部210;票据信息获取部215;服务信息存储部230;网关·应用处理部235;访问请求发送部240;访问应答接收部245;应答监视部250;链接变更指示信息获取部255;内容变换部260和访问应答发送部265。
访问请求接收部200,从通信终端130接收对于Web服务器160的访问请求。请求监视部205,根据访问请求的内容,即例如通信方式指示信息,选择使用非加密通信、端对端加密通信以及服务器间加密通信中的哪一方进行通信,并进行与所选择的通信方式对应的请求处理。在这里,在进行非加密通信或服务器间加密通信的情况下,请求监视部205向网关·应用处理部235转送访问请求,使之经由网关·应用处理部235和访问请求发送部240被向Web服务器160发送。
确认请求发送部220,以进行服务器间加密通信为条件,向通信终端130的用户请求中继装置100是否接受由Web服务器160进行的客户端认证的确认。更具体地,确认请求发送部220,对于来自通信终端130的访问请求,向通信终端130发送对于Web服务器160是否使之认证该中继装置100的确认请求,并由通信终端130的用户进行确认。确认应答接收部225,从通信终端130接收包括用户对确认请求的确认结果的确认应答,从而中继装置100获取是否接受由Web服务器160进行的客户端认证的指示。接收到该确认结果,请求监视部205判断对于Web服务器160是否使之认证该中继装置100。
服务信息存储部230,登记该中继装置100可以接受的各个服务处理,即各个Web服务器160根据来自通信终端130的访问请求应当执行的服务处理。更具体地,服务信息存储部230,与标识服务处理的服务标识信息的各个具有对应关系地存储通信方式许可信息、认证许可信息以及确认许可信息。通信方式许可信息,指定可在该服务处理中使用的通信方式。认证许可信息,指定对于该服务处理是否许可由Web服务器160进行的客户端认证。确认许可信息,指定是否向通信终端130发送由Web服务器160进行的客户端认证的确认请求。
认证信息获取部210,在进行服务器间加密通信的情况下,以在从通信终端130接收到的访问请求内包含表示认证访问源的意思的认证指示信息为条件,获取该认证指示信息。另外,请求监视部205,以对于Web服务器160不使之认证该中继装置100为条件,禁止认证信息获取部210的上述动作。票据信息获取部215,根据认证信息获取部210所获取的认证指示信息,从外部的认证服务器170获取票据信息。该票据信息,例如是一次口令,是由认证服务器170与通信终端130的标识信息无关地分配的、用来对于该访问请求标识中继装置100的标识信息。在本实施方式中,票据信息获取部215,在与外部的认证服务器170之间进行相互认证,获取票据信息。
网关·应用处理部235,以进行非加密通信或服务器间加密通信为条件,在通信终端130与Web服务器160之间,对访问请求和/或访问应答进行数据变换,即例如内容变换等。例如,网关·应用处理部235,对被准备为面向个人计算机的Web服务器160上的Web页进行使之适合于面向作为移动电话的通信终端130等的变换处理。另外,在端对端加密通信中,网关·应用处理部235,也可以如在专利文献2中所公开的那样,预先获取中继装置100和Web服务器160的解密密钥,并利用自动译码对访问请求和访问应答进行数据变换。
访问请求发送部240,经由网关·应用处理部235获取由请求监视部205进行的请求处理输出的访问请求。并且,访问请求发送部240,通过第2网络150向Web服务器160发送访问请求。在这里,以进行服务器间加密通信为条件,访问请求发送部240对访问请求进行加密而向Web服务器160发送。另外,在接受由Web服务器160进行的客户端认证的情况下,访问请求发送部240,对访问请求和由票据信息获取部215所获取的票据信息进行加密而向Web服务器160发送。
访问应答接收部245,是本发明的访问应答解密部的一个例子,其接收Web服务器160对于访问请求的访问应答。并且,访问应答接收部245,对针对使用了服务器间加密通信的访问请求的访问应答进行解密。在这里,访问应答接收部245接收的访问应答,例如,包括使通信终端130显示服务处理的处理结果的HTML等的文件和/或所访问的内容等。该文件和内容等,也可以包括用来请求对于其他的文件和/或内容等的访问的链接信息,即例如由超级链接或CGI实现的脚本调用等。通信终端130,在由用户指定了该链接信息的情况下等,对Web服务器160发送对于由该链接信息指定的文件或内容的访问请求。
应答监视部250,根据通信方式和访问应答的内容,进行访问应答处理。更具体地,应答监视部250,对针对使用了非加密通信或服务器间加密通信的访问请求的访问应答的标头和内容进行分析。另一方面,应答监视部250,对于针对使用了端对端加密通信的访问请求的访问应答,向内容变换部260转送而不进行内容的分析。
链接变更指示信息获取部255,以在访问应答的标头或内容中包含链接变更指示信息为条件,获取该链接变更指示信息。该链接变更指示信息可以包括:指示将各链接信息变更为在对于文件或内容的链接目的地的访问请求中、在中继装置100和Web服务器160之间进行服务器间加密通信的服务器间加密指示信息,或者指示将各链接信息变更为在对于文件或内容的链接目的地的访问请求中、使获取票据信息并进行中继装置100与Web服务器160之间的相互认证的相互认证指示信息。
内容变换部260,与获取了链接变更指示信息的情况对应地,变更通过访问应答接收到的文件或内容的各链接信息。也就是说,内容变换部260,与获取了服务器间加密指示信息的情况对应地,将内容内的指示加密通信的链接信息变换为指示服务器间加密通信的链接信息。由此,通信终端130,与该链接信息的访问被指示了的情况对应地,向中继装置100发送对中继装置100指示服务器间加密通信的访问请求。
此外,内容变换部260,以获取了相互认证指示信息为条件,将内容内的各链接信息变换为指示中继装置100和Web服务器160之间的相互认证的链接信息。由此,通信终端130,与该链接信息的访问被指示了的情况对应地,向中继装置100发送包含认证指示信息并且指示应当从认证服务器170获取票据信息的情况的访问请求。
访问应答发送部265,接收由访问应答接收部245接收、根据需要由应答监视部250、链接变更指示信息获取部255、内容变换部260和网关·应用处理部235变换后的访问应答,并通过第1网络110发送给通信终端130。
图3示出了本实施方式的中继装置100的动作流程。
首先,访问请求接收部200,从通信终端130接收对于Web服务器160的访问请求(步骤S300)。接着,请求监视部205,根据访问请求的内容,即例如通信方式指示信息,选择通信方式(S305)。另外,访问请求,还可以进一步包括标识Web服务器160根据该访问请求应当执行的服务处理的服务标识信息。在该情况下,请求监视部205,读出与包含在访问请求内的服务标识信息具有对应关系地存储在服务信息存储部230内的通信方式许可信息,并以根据访问请求的内容选择的通信方式的使用得到许可为条件,使用该通信方式。
接着,中继装置100,根据非加密通信、端对端加密通信以及服务器间加密通信这各个通信方式,进行以下的处理。
(1)非加密通信
以非加密通信方式被选择为条件,请求监视部205,向网关·应用处理部235转送访问请求。网关·应用处理部235根据访问请求进行所需的数据变换。并且,访问请求发送部240,将从网关·应用处理部235获取的访问请求,不进行加密,而发送给目的地的Web服务器160(S310)。
接着,访问应答接收部245,用明文接收根据访问请求、由Web服务器160发送的访问应答而转送给应答监视部250,从而使处理前进到S355(S315)。
(2)端对端加密通信
以端对端加密通信被选择为条件,请求监视部205,向网关·应用处理部235转送作为访问请求的一部分而包含在内的连接请求消息。网关·应用处理部235,接收该连接请求消息,并通过访问请求发送部240和访问应答接收部245在与Web服务器160之间发送接收消息,并在与Web服务器160之间建立TCP连接等连接(S317)。在连接建立后,网关·应用处理部235通过访问应答发送部265对通信终端130发送连接应答消息。
接着,通信终端130和Web服务器160,经由中继装置100交换用来进行加密通信路径的建立的数据。也就是说,例如,以进行SSL连接为条件,通信终端130发送“SSL Client Hello”消息,并从Web服务器160接收“SSL Server Hello”消息、服务器证书以及“Server Hello Done”消息。接着,通信终端130发送“Change Cipher Spec”消息和“Finish”消息。接着,通信终端130从Web服务器160接收“Change Cipher Spec”和“Finish”消息。由此,就可以在通信终端130与Web服务器160之间建立加密通信(S318)。
接着,通信终端130向中继装置100发送访问Web服务器160内的文件或内容等的、加密后的访问请求。该访问请求,经由请求监视部205和网关·应用处理部235被向访问请求发送部240转送。访问请求发送部240,不指示服务器间加密通信,而不在该中继装置100中进行加密地向Web服务器160发送应当在通信终端130和Web服务器160之间进行端对端加密通信的该访问请求(S320)。
接着,访问应答接收部245,从Web服务器160接收对于该访问请求的访问应答(S325)。访问应答接收部245,向通信终端130发送该访问应答而不进行解密。
(3)服务器间加密通信
在服务器间加密通信被选择的情况下,认证信息获取部210,以在访问请求内、即例如在包含于该访问请求内的参数内含有指示使Web服务器160认证访问源的认证指示信息为条件,获取该认证指示信息,并使处理前进到S335(S330)。在这里,认证信息获取部210进一步以在访问请求内含有认证指示信息和认证目的地信息为条件,从该访问请求内获取认证目的地信息。接着,确认请求发送部220,向通信终端130发送确认请求,且确认应答接收部225接收确认应答(S335)。
在这里,确认请求发送部220,也可以根据与访问请求对应的服务处理来判断是否向通信终端130发送确认请求。更具体地,服务信息存储部230预先与服务标识信息具有对应关系地存储有指定是否许可向通信终端130发送确认请求的确认许可信息。并且,请求监视部205,以与包含于应当进行服务器间加密通信的访问请求内的服务标识信息对应的确认许可信息表示“许可”为条件,许可对确认请求发送部220发送确认请求。由此,确认请求发送部220,可以以与包含于访问请求内的服务标识信息对应地存储有许可向通信终端130发送确认请求的确认许可信息为条件,向通信终端130发送确认请求。其结果,确认应答接收部225从通信终端130接收确认应答。另一方面,以该确认许可信息表示“禁止”为条件,确认请求发送部220对通信终端130不发送确认请求。
接着,票据信息获取部215,以在访问请求内含有认证指示信息、Web服务器160根据该访问请求进行访问源的认证为条件,对于该访问请求从认证服务器170获取标识该中继装置100的票据信息(S340)。该票据信息,为了认证访问源,由Web服务器160来使用。这时,以认证目的地信息被指定为条件,票据信息获取部215从由认证目的地信息指定的认证服务器170获取票据信息。
在S340,票据信息获取部215,对于该访问请求,与接收到表明要对于Web服务器160使之认证该中继装置100的确认应答的情况相对应地,接收请求监视部205的指示而从认证服务器170获取票据信息。此外,以与包含于该访问请求内的服务标识信息相对应地、在服务信息存储部230内存储有表示不许可向通信终端130发送确认请求的意思的确认许可信息为条件,票据信息获取部215,从认证服务器170获取票据信息,接受由Web服务器160进行的认证而无需向用户取得确认。在这里,票据信息获取部215,在票据信息的获取之前,在与认证服务器170之间进行相互认证,从而利用加密通信获取票据信息。
另外,在S335和S340,票据信息获取部215也可以,以与包含于访问请求内的服务标识信息相对应地在服务信息存储部230内存储有许可票据信息的获取的认证许可信息为条件,从认证服务器170获取票据信息。由此,中继装置100,就可以仅对该中继装置100所加入的服务,接收票据信息的发布而接受客户端认证。
接着,请求监视部205,经由网关·应用处理部235向访问请求发送部240转送访问请求和由票据信息获取部215获取的票据信息。接着,访问请求发送部240,在与Web服务器160之间建立加密通信路径。访问请求发送部240,以在访问请求内含有认证指示信息、Web服务器160根据该访问请求进行访问源的认证为条件,对访问请求和票据信息进行加密而向Web服务器160发送(S345)。
另一方面,访问请求发送部240,以在访问请求内不含有认证指示信息、Web服务器160根据该访问请求不进行访问源的认证为条件,对访问请求进行加密而向Web服务器160发送(S345)。由此,访问请求发送部240,虽然应当进行服务器间加密通信,但是,对于不需要客户端认证的访问请求,可以向Web服务器160发送而无需利用票据信息获取部215获取票据信息。
接着,访问应答接收部245,接收对于访问请求发送部240发送的访问请求的、加密后的访问应答并进行解密(S350)。在这里,在进行了客户端认证的情况下,访问应答接收部245从已用票据信息对该中继装置100进行了认证的Web服务器160,接收对于访问请求的加密后的访问应答,并进行解密。
在上述(1)和(3)的情况下,由访问应答接收部245接收到的访问应答由访问应答接收部245进行解密,并被转送给应答监视部250。应答监视部250、链接变更指示信息获取部255和内容变换部260,根据需要变更通过访问应答接收到的文件或内容的链接信息(S355)。也就是说,应答监视部250,分析访问应答的标头和内容。链接变更指示信息获取部255,获取包含于访问应答的标头或内容中的链接变更指示信息。内容变换部260,根据链接变更信息,变更通过访问应答接收到的文件或内容内的各链接信息。
更具体地,在文件或内容的链接信息中,描述包含于通信终端130与该链接信息被选择了的情况对应地应当发送的访问请求内的信息。并且,内容变换部260,以访问应答包含服务器间加密指示信息为条件,将链接信息变更为在对于链接目的地的访问请求内含有表明应当进行服务器间加密通信的通信方式指示信息。此外,内容变换部260,以访问应答含有相互认证指示信息为条件,将链接信息变更为在对于链接目的地的访问请求内含有认证指示信息、或认证指示信息和认证目的地信息。链接信息变更后的访问应答,经由网关·应用处理部235被向访问应答发送部265转送。
本实施方式的访问应答,作为服务器间加密指示信息,既可以在扩展HTTP标头内含有“ssl_conversion:to_proxy_ssl_ssist...”的描述,也可以取而代之作为文件或内容的内容而含有该描述。此外,访问应答,也可以在上述的服务器间加密指示信息的“...”部分内含有相互认证指示信息。
此外,内容变换部260,以在访问应答内至少描述有1个服务器间加密指示信息为条件,将所有的链接信息变换为在对进行加密通信的所有的链接信息的访问请求中指定服务器间加密通信。例如,将指示利用HTTPS协议进行的访问请求的发送的“https://...”的描述,变更为指示利用HTTP协议进行的访问请求的发送的“http://...”的描述,并向CGI参数内添加“proxy_ssl_assist=on”。此外,内容变换部260,以在访问应答内描述有相互认证指示信息为条件,将进行服务器间加密通信的链接信息变更为指示客户端认证的链接信息。也就是说,例如,内容变换部260向链接信息的CGI参数内添加“proxy_path_authenticate=~”的描述。
此外,访问应答,作为链接变更指示信息,在对于链接目的地的访问请求中,也可以包括指示进行端对端加密通信的端对端加密通信指示信息。在该情况下,内容变换部260,将指示进行服务器间加密通信的所有的链接信息变更为指示进行端对端加密通信的链接信息。例如,将指示服务器间加密通信的“http://...”变更为“https://...”,并删除CGI参数内的“proxy_ssl_assist=on”的描述。
在S325和S355的处理结束时,访问应答发送部265向通信终端130发送经由网关·应用处理部235获取的访问应答。
如果采用以上所示的中继装置100,则可以根据链接变更指示信息,将链接信息变更为在与访问应答内的各链接信息对应的访问请求内含有指定服务器间加密通信的通信方式指定信息、指定端对端加密通信的通信方式指定信息和/或认证指示信息。由此,Web服务器160的管理者,通过将链接变更指示信息描述到访问应答的标头或各个文件或内容内的1个位置,可以由中继装置100一并地变更各链接信息。
图4示出了本实施方式的通信系统10的非加密通信的序列。
首先,通信终端130,与含有例如“http://...”而不含有“proxy_ssl_assist=on”的链接信息被选择了的情况相对应地,对中继装置100发送访问请求消息400。中继装置100内的请求监视部205,由于访问请求含有“http://...”而不含有“proxy_ssl_assist=on”,所以选择非加密通信。其结果,中继装置100,不对访问请求消息400进行加密,而作为访问请求消息410向Web服务器160发送。
Web服务器160,对访问请求消息410进行应答,而发送包括成为访问请求消息410的对象的文件或内容的访问应答消息420。当接收到访问应答消息420时,中继装置100内的应答监视部250,分析访问应答消息420。链接变更指示信息获取部255,以在访问应答消息420内含有链接变更指示信息为条件,获取该链接变更指示信息。以获取了链接变更指示信息为条件,内容变换部260根据链接变更指示信息变更访问应答内的各链接信息。
以作为链接变更指示信息而获取了服务器间加密通信指示信息为条件,内容变换部260,将指示在通信终端130和Web服务器160之间进行加密通信的链接信息变换为与被通信终端130的用户选择了的情况相对应地、使从通信终端130发送指示服务器间加密通信的访问请求的链接信息。
此外,以作为链接变更指示信息而获取了相互认证指示信息为条件,内容变换部260,将内容的各链接信息变换为与被通信终端130的用户选择了的情况相对应地、使从通信终端130发送包括认证指示信息的第1访问请求的链接信息。也就是说,例如,以作为链接目的地而描述有请求CGI脚本调用的URL为条件,内容变换部260,进行将“proxy_path_authenticate=...”的描述作为认证指示信息包含于CGI参数内的变换。
此外,以作为链接变更指示信息而获取了端对端加密通信指示信息为条件,内容变换部260,将指示进行加密通信的链接信息变换为与被通信终端130的用户选择了的情况相对应地、使从通信终端130发送指示端对端加密通信的访问请求的链接信息。
并且,访问应答发送部265,经由网关·应用处理部235获取包括根据需要对链接信息进行了变换后的文件或内容的访问应答,并作为访问应答消息430向访问源的通信终端130发送。
图5示出了本实施方式的通信系统10的端对端通信的序列。
通信终端130,与含有例如“https://...”、表示指示端对端加密通信的访问请求的发送的链接信息被选择了的情况相对应地,向中继装置100发送指示端对端加密通信的访问请求。作为一个例子,作为对于在图5的访问请求之前从通信终端130向Web服务器160发送的访问请求的访问应答,中继装置100接收成为该访问请求的对象的文件或内容。并且,中继装置100内的内容变换部260,以在访问应答内含有端对端加密通信指示信息的情况为条件,将该文件或内容内的指示加密通信的链接信息变换为指示端对端加密通信的链接信息。在该情况下,通信终端130,之后发送指示端对端加密通信的访问请求。
指示端对端加密通信的访问请求,包括为了在通信终端130与Web服务器160之间建立连接而发送的连接请求消息500、用来建立加密通信路径的消息以及访问请求消息540。首先,通信终端130,为了在与Web服务器160之间建立连接,发送连接请求消息500。中继装置100,在接收到连接请求消息500后,在与Web服务器160之间进行连接建立510。中继装置100,在连接被建立后,对通信终端130发送连接应答消息520。并且,中继装置100,以在通信终端130与Web服务器160之间不变更消息的内容地进行转送的方式被设定。其结果,通信终端130和Web服务器160,透过地直接发送接收消息,而无需考虑中继装置100的存在。
接着,通信终端130和Web服务器160,例如发送接收用于SSL连接等加密通信建立530的消息。由此,通信终端130和Web服务器160,设定用来进行端对端加密通信的通信路径。接着,通信终端130经由中继装置100向Web服务器160发送加密后的访问请求消息540。接着,Web服务器160,经由中继装置100向通信终端130发送加密后的访问应答消息550。
图6示出了本实施方式的通信系统10的服务器间加密通信的序列。
首先,通信终端130,与含有例如“http://...”、“proxy_ssl_assist=on”以及“proxy_path_authenticate=...”且表示指示服务器间加密通信和客户端认证的访问请求的发送的链接信息被选择了的情况相对应地,向中继装置100发送指示服务器间加密通信和客户端认证的访问请求消息600。
作为一个例子,作为对于在图6的访问请求之前从通信终端130向Web服务器160发送的访问请求的访问应答,中继装置100接收成为访问请求的对象的文件或内容。并且,中继装置100内的内容变换部260,以在访问应答内含有服务器间加密通信指示信息为条件,将该文件或内容内的指示加密通信的链接信息变换为指示服务器间加密通信的链接信息。在该情况下,通信终端130,发送指示服务器间加密通信的访问请求。
此外,以在图6的访问请求之前接收到的访问应答内含有认证指示信息为条件,将该文件或内容内的指示加密通信的链接信息变换为指示接受由认证服务器170发布的票据信息而进行客户端认证的链接信息。在该情况下,通信终端130,发送指示在服务器间加密通信中进行票据信息的获取的访问请求。
接着,中继装置100内的确认请求发送部220,以该访问请求含有认证指示信息“proxy_Path_authenticate=...”并且对于与该访问请求对应的服务、在服务信息存储部230内存储有许可向用户的确认的确认许可信息为条件,对通信终端130发送确认请求消息602。接着,接收到了确认请求消息602的通信终端130,发送确认应答消息604。
接着,票据信息获取部215,在与认证服务器170之间进行相互认证并且进行了加密通信建立610之后,对认证服务器170发送票据信息请求消息620而请求票据信息。在接收到该消息之后,认证服务器170,利用票据信息应答消息630返回票据信息。
接着,中继装置100和Web服务器160,通过加密通信建立640建立加密通信路径。接着,中继装置100,将访问请求消息600和票据信息作为访问请求消息650向Web服务器160发送。接着,中继装置100,接收对于访问请求消息650的访问应答消息660。
中继装置100内的访问应答接收部245,对所接收到的访问应答消息660进行解密。内容变换部260,以在访问应答消息660内含有链接变更指示信息为条件,根据链接变更指示信息变更访问应答消息660内的各链接信息。并且,访问应答发送部265,将由访问应答接收部245进行了解密、由内容变换部260对链接信息进行了变更后的访问应答消息660,作为访问应答消息670向通信终端130发送。
图7示出了本实施方式的通信系统10的服务器间加密通信的序列的变形例。
在多个中继装置100级联连接的情况下,由通信终端130的用户所指定的中继装置100接受票据信息的发布,而接受客户端认证。
首先,通信终端130,与图6同样,向第1中继装置100发送包括访问请求的访问请求消息600,该访问请求含有指示服务器间加密通信的通信方式指示信息和认证指示信息。接着,第1中继装置100,与图6同样,向通信终端130发送确认请求消息602,并从通信终端130接收确认应答消息604。在这里,以通信终端130的用户未指示对于Web服务器160使之认证第1中继装置100为条件,第1中继装置100,对第2中继装置100发送访问请求消息700而不获取票据信息。
第2中继装置100,与图6同样,向通信终端130发送确认请求消息702,并从通信终端130接收确认应答消息704。以通信终端130的用户指示了对于Web服务器160使之认证第2中继装置100为条件,第2中继装置100,与图6同样,在与认证服务器170之间进行加密通信建立610。然后,第2中继装置100,对认证服务器170发送票据信息请求消息620,并从认证服务器170接收票据信息应答消息630而获取票据信息。
以下,通信终端130、Web服务器160和中继装置100,与图6的票据信息应答消息630、加密通信建立640、访问请求消息650、访问应答消息660以及访问应答消息670同样地,进行服务器间加密通信,并向通信终端130发送访问应答消息670。
如果采用以上所示的服务器间加密通信的序列,则在多个中继装置100之中,可以利用由通信终端130的用户所选择的中继装置100接受客户端认证。在这里,如与图3相关联地示出的那样,成为访问请求的对象的尚未加入到服务的中继装置100,对于通信终端130不发送确认请求。因此,通信终端130的用户,可以根据确认请求,适当地选择应当接受客户端认证的中继装置100。
图8示出了在本实施方式的通信系统10中进行票据信息生成的准备的序列。首先,中继装置100内的网关·应用处理部235,向认证中心180发送证书发布请求消息800,委托中继装置100的证书的发布。在接收到证书发布请求消息800后,认证中心180,发布中继装置100的证书,并利用证书发布应答消息810向中继装置100进行通知。
接着,中继装置100,对于认证服务器170发送认证中心注册消息820,从而对认证服务器170注册对中继装置100进行认证的认证中心180。接着,中继装置100,利用ID字符串注册消息830向Web服务器160发送确定在中继装置100的证书的制作中使用的中继装置100的字符串(ID字符串),从而向Web服务器160进行注册。接着,Web服务器160向认证服务器170发送包括由中继装置100注册的ID字符串和Web服务器160所生成的SEED字符串的SEED字符串注册消息840,从而向认证服务器170注册ID字符串和SEED字符串的字符串组。
以上的处理结果,认证服务器170保存ID字符串和SEED字符串。并且,在从中继装置100请求票据信息的发布时,认证服务器170利用认证服务器170的加密密钥对包括ID字符串和SEED字符串的信息进行加密,并生成票据信息。另一方面,在客户端认证中从中继装置100接收到该票据信息的Web服务器160,可以通过利用认证服务器170的解密密钥对该票据信息进行解密,并确认ID字符串和SEED字符串的一致,来正确地对中继装置100进行认证。
图9示出了本实施方式的计算机1900的结构的一个例子。本实施方式的计算机1900通过执行中继装置100用的程序,来作为中继装置100而发挥作用。计算机1900,具备:具有通过主控制器2082相互地连接的CPU2000、RAM2020、图形控制器2075和显示装置2080的CPU外围部件;具有通过输入输出控制器2084连接到主控制器2082的通信接口2030、硬盘驱动器2040以及CD-ROM驱动器2060的输入输出部件;具有连接到输入输出控制器2084的ROM2010、软盘驱动器2050和输入输出芯片2070的传统(レガシ一)输入输出部件。
主控制器2082,将RAM2020和以高传输速率访问RAM2020的CPU2000以及图形控制器2075连接起来。CPU2000根据存储在ROM2010和RAM2020内的程序进行操作,进行各个部分的控制。图形控制器2075,获取CPU2000等在设置在RAM2020内的帧缓冲器上生成的图像数据,并使之显示在显示装置2080上。也可以代之以图形控制器2075在内部包括存储CPU2000等生成的图像数据的帧缓冲器。
输入输出控制器2084,将主控制器2082和作为比较高速的输入输出设备的通信接口2030、硬盘驱动器2040、CD-ROM驱动器2060连接起来。通信接口2030,通过网络与其他装置进行通信。硬盘驱动器2040,存储计算机1900内的CPU2000所使用的程序和数据。CD-ROM驱动器2060,从CD-ROM2095读取程序或数据,并通过RAM2020提供给硬盘驱动器2040。
此外,在输入输出控制器2084上,连接ROM2010和软盘驱动器2050以及输入输出芯片2070等比较低速的输入输出设备。ROM2010,存储计算机1900在启动时执行的引导程序、依赖于计算机1900的硬件的程序等。软盘驱动器2050,从软盘2090读取程序或数据,并通过RAM2020提供给硬盘驱动器2040。输入输出芯片2070,通过软盘驱动器2050、例如并行端口、串行端口、键盘端口、鼠标端口等连接各种输入输出设备。
通过RAM2020提供给硬盘驱动器2040的程序,被存储在软盘2090、CD-ROM2095或IC卡等记录介质中而由用户来提供。程序从记录介质被读出,并通过RAM2020被安装到计算机1900内的硬盘驱动器2040内,从而在CPU2000中执行。
被安装到计算机1900内、使计算机1900作为中继装置100而发挥作用的程序,包括:访问请求接收模块、请求监视模块、认证信息获取模块、票据信息获取模块、确认请求发送模块、确认应答接收模块、服务信息管理模块、网关·应用处理模块、访问请求发送模块、访问应答接收模块、应答监视模块、链接变更指示信息获取模块、内容变换模块、访问应答发送模块。
这些程序或模块,使CPU2000等工作,而使计算机1900作为访问请求接收部200、请求监视部205、认证信息获取部210、票据信息获取部215、确认请求发送部220、确认应答接收部225、服务信息存储部230、网关·应用处理部235、访问请求发送部240、访问应答接收部245、应答监视部250、链接变更指示信息获取部255、内容变换部260和访问应答发送部265而分别发挥作用。
以上所示的程序或模块,也可以存储在外部的记录介质内。作为记录介质,除了软盘2090、CD-ROM2095之外,还可以使用DVD、CD等光学记录介质、MO等磁光记录介质、磁带介质、IC卡等半导体存储器等。此外,也可以将设置在连接到了专用通信网路、因特网的服务器系统中的硬盘或RAM等记录装置作为记录介质来使用,从而通过网络将程序提供给计算机1900。
以上,虽然利用实施方式对本发明进行了说明,但是,本发明的技术范围并不限于上述的实施方式所记载的范围。对于本领域的技术人员来说显而易见的,可以对上述实施方式加以多种变换或改进。施加了这样的变换或改进后的方式,也能够包括在本发明的技术范围内,这从权利要求的范围的记载可以显而易见。
附图说明
图1示出了本发明的实施方式的通信系统10的结构;
图2示出了本发明的实施方式的中继装置100的结构;
图3示出了本发明的实施方式的中继装置100的动作流程;
图4示出了本发明的实施方式的通信系统10的非加密通信的序列;
图5示出了本发明的实施方式的通信系统10的端对端通信的序列;
图6示出了本发明的实施方式的通信系统10的服务器间加密通信的序列;
图7示出了本发明的实施方式的通信系统10的服务器间加密通信的序列的变形例;
图8示出了在本发明的实施方式的通信系统10中进行票据信息生成的准备的序列;以及
图9示出了本发明的实施方式的计算机1900的结构的一个例子。
符号说明
10:通信系统;100:中继装置;110:第1网络;120:基站;130:通信终端;150:第2网络;160:Web服务器;170:认证服务器;180:认证中心;200:访问请求接收部;205:请求监视部;210:认证信息获取部;215:票据信息获取部;220:确认请求发送部;225:确认应答接收部;230:服务信息存储部;235:网关·应用处理部;240:访问请求发送部;245:访问应答接收部;250:应答监视部;255:链接变更指示信息获取部;260:内容变换部;265:访问应答发送部;400:访问请求消息;410:访问请求消息;420:访问应答消息;430:访问应答消息;500:连接请求消息;510:连接建立;520:连接应答消息;530:加密通信建立;540:访问请求消息;550:访问应答消息;600:访问请求消息;602:确认请求消息;604:确认应答消息;610:加密通信建立;620:票据信息请求消息;630:票据信息应答消息;640:加密通信建立;650:访问请求消息;660:访问应答消息;670:访问应答消息;700:访问请求消息;702:确认请求消息;704:确认应答消息;800:证书发布请求消息;810:证书发布应答消息;820:认证中心注册消息;830:ID字符串注册消息;840:SEED字符串注册消息;1900:计算机;2000:CPU;2010:ROM;2020:RAM;2030:通信接口;2040:硬盘驱动器;2050:软盘驱动器;2060:CD-ROM驱动器;2070:输入输出芯片;2075:图形控制器;2080:显示装置;2082:主控制器;2084:输入输出控制器;2090:软盘驱动器;2095:CD-ROM。
Claims (13)
1.一种对通信终端与服务器之间的通信进行中继的中继装置,具备:
访问请求接收部,其从上述通信终端接收对于上述服务器的第1访问请求;
票据信息获取部,其从外部的认证服务器获取用于上述服务器根据上述第1访问请求进行认证的、对于该第1访问请求标识该中继装置的票据信息;
访问请求发送部,其对上述第1访问请求和上述票据信息进行加密而向上述服务器发送;
访问应答解密部,其对从使用上述票据信息对该中继装置进行了认证的上述服务器接收的、对于上述第1访问请求的加密后的第1访问应答进行解密;以及
访问应答发送部,其向上述通信终端发送解密后的上述第1访问应答。
2.根据权利要求1所述的中继装置,还具备:
认证信息获取部,其以在上述第1访问请求内含有指示使上述服务器认证访问源的认证指示信息为条件,获取该认证指示信息;
上述票据信息获取部,以在上述第1访问请求内含有上述认证指示信息为条件,从上述认证服务器获取上述票据信息;
上述访问请求发送部,以在上述第1访问请求内含有上述认证指示信息为条件,对上述第1访问请求和上述票据信息进行加密而向上述服务器发送,并且以在上述第1访问请求内不含有上述认证指示信息为条件,对在上述中继装置和上述服务器之间应当进行加密通信的上述第1访问请求进行加密而向上述服务器发送;
上述访问应答解密部,接收对于上述第1访问请求的加密后的上述访问应答。
3.根据权利要求2所述的中继装置,
上述第1访问请求,含有指定上述服务器根据该第1访问请求应当执行的服务程序的信息和指定提供给该服务程序的参数的信息;
上述认证信息获取部,从包含于上述第1访问请求中的上述参数内获取上述认证指示信息。
4.根据权利要求2所述的中继装置,
上述认证信息获取部,进一步以在上述第1访问请求内含有上述认证指示信息为条件,从该第1访问请求内获取标识对于该第1访问请求应当发布上述票据信息的上述认证服务器的认证目的地信息;
上述票据信息获取部,以在上述第1访问请求内含有上述认证指示信息为条件,从由上述认证目的地信息指定的上述认证服务器获取上述票据信息。
5.根据权利要求2所述的中继装置,
上述访问应答解密部,作为对于在上述第1访问请求之前从上述通信终端向上述服务器发送的第2访问请求的第2访问应答,接收成为上述第2访问请求的对象的内容;
该中继装置还具备:
链接变更指示信息获取部,其以在上述第2访问应答内含有链接变更指示信息为条件,获取该链接变更指示信息,其中该链接变更指示信息指示将各链接信息变更为在对于上述内容的链接目的地的上述第1访问请求中使获取上述票据信息;以及
内容变换部,其以获取了上述链接变更指示信息为条件,将上述内容的各链接信息变换为与被上述通信终端的用户选择了的情况相对应地、使从上述通信终端发送含有上述认证指示信息的上述第1访问请求的链接信息;
上述访问应答发送部,向上述通信终端发送变换后的上述内容。
6.根据权利要求1所述的中继装置,还具备:
确认请求发送部,其对于上述第1访问请求,向上述通信终端发送使上述通信终端的用户确认是否对上述服务器使之认证该中继装置的确认请求;以及
确认应答接收部,其从上述通信终端接收含有上述用户对于上述确认请求的确认结果的确认应答;
上述票据信息获取部,与接收到表示对上述服务器使之认证该中继装置的上述确认应答相对应地,从上述认证服务器获取上述票据信息。
7.根据权利要求6所述的中继装置,
上述服务器应该进行访问源的认证的上述第1访问请求,还含有标识上述服务器根据该第1访问请求应当执行的服务处理的服务标识信息;
该中继装置还具备:
服务信息存储部,其与上述服务标识信息具有对应关系地存储指定是否许可向上述通信终端发送上述确认请求的确认许可信息;
在上述服务器根据上述第1访问请求进行认证的情况下,上述确认请求发送部,以与包含于上述第1访问请求内的上述服务标识信息相对应地存储有许可向上述通信终端发送上述确认请求的上述确认许可信息为条件,向上述通信终端发送上述确认请求;
以对于该访问请求接收到表示对上述服务器使之认证该中继装置的上述确认应答或者与包含于上述第1访问请求内的上述服务标识信息相对应地存储有不许可向上述通信终端发送上述确认请求的上述确认许可信息为条件,上述票据信息获取部,从上述认证服务器获取上述票据信息。
8.根据权利要求1所述的中继装置,
上述服务器应该进行访问源的认证的上述第1访问请求,还含有标识上述服务器根据该第1访问请求应该执行的服务处理的服务标识信息;
该中继装置还具备:
服务信息存储部,其与上述服务标识信息具有对应关系地存储指定是否许可上述票据信息的获取的认证许可信息;
在上述服务器根据上述第1访问请求进行认证的情况下,上述票据信息获取部,以与包含于上述第1访问请求内的上述服务标识信息相对应地存储有许可上述票据信息的获取的上述认证许可信息为条件,从上述认证服务器获取上述票据信息。
9.根据权利要求1所述的中继装置,
上述访问应答解密部,作为对于在上述第1访问请求之前从上述通信终端向上述服务器发送的第2访问请求的第2访问应答,接收成为上述第2访问请求的对象的内容;
该中继装置还具备:
链接变更指示信息获取部,其以在上述第2访问应答内含有链接变更指示信息为条件,获取该链接变更指示信息,其中该链接变更指示信息指示将各链接信息变更为在对于上述内容的链接目的地的上述第1访问请求中、在上述中继装置与上述服务器之间进行服务器间加密通信;
内容变换部,其以获取了上述链接变更指示信息为条件,将指示在上述通信终端与上述服务器之间进行加密通信的链接信息,变换为与被上述通信终端的用户选择了的情况相对应地使从上述通信终端发送指示上述服务器间加密通信的上述第1访问请求的链接信息;
上述访问应答发送部,向上述通信终端发送变换后的上述内容;
上述票据信息获取部,以上述服务器根据指示上述服务器间加密通信的上述第1访问请求进行认证为条件,对于该第1访问请求从上述认证服务器获取上述票据信息;
上述访问请求发送部,对指示上述服务器间加密通信的上述第1访问请求进行加密而向上述服务器发送,而在该中继装置中对未指示上述服务器间加密通信且在上述通信终端与上述服务器之间应该进行加密通信的上述第1访问请求不进行加密而向上述服务器发送;
上述访问应答解密部,对针对指示上述服务器间加密通信的上述第1访问请求的加密后的上述第1访问应答进行解密,而对针对未指示上述服务器间加密通信的上述第1访问请求的加密后的上述第1访问应答不进行解密。
10.一种通信系统,具备:
与通信终端连接的第1网络;以及
与上述第1网络和连接有服务器的第2网络连接、对上述通信终端与上述服务器之间的通信进行中继的中继装置;
上述中继装置具有:
访问请求接收部,其从上述通信终端接收对于上述服务器的第1访问请求;
票据信息获取部,其从外部的认证服务器获取用于上述服务器根据上述第1访问请求进行认证的、对于该第1访问请求标识该中继装置的票据信息;
访问请求发送部,其对上述第1访问请求和上述票据信息进行加密而向上述服务器发送;
访问应答解密部,其对从使用上述票据信息对该中继装置进行了认证的上述服务器接收的、对于上述第1访问请求的加密后的第1访问应答进行解密;以及
访问应答发送部,其向上述通信终端发送解密后的上述第1访问应答。
11.根据权利要求10所述的通信系统,具备:
与上述第1网络连接的第1上述中继装置;
通过上述第1中继装置与上述第1网络连接的第2上述中继装置;
上述第1中继装置和第2上述中继装置的各个还具有:
确认请求发送部,其对于上述第1访问请求,向上述通信终端发送使上述通信终端的用户确认是否对上述服务器使之认证该中继装置的确认请求;以及
确认应答接收部,其从上述通信终端接收含有上述用户对于上述确认请求的确认结果的确认应答;
在上述第1中继装置和上述第2中继装置之中,接收到表示对上述服务器使之认证该中继装置的上述确认应答的上述第1中继装置或上述第2中继装置的上述票据信息获取部,从上述认证服务器获取上述票据信息。
12.一种对通信终端与服务器之间的通信进行中继的中继装置的中继方法,包括:
访问请求接收步骤,从上述通信终端接收对于上述服务器的第1访问请求;
票据信息获取步骤,从外部的认证服务器获取用于上述服务器根据上述第1访问请求进行认证的、对于该第1访问请求标识该中继装置的票据信息;
访问请求发送步骤,对上述第1访问请求和上述票据信息进行加密而向上述服务器发送;
访问应答接收步骤,从使用上述票据信息对该中继装置进行了认证的上述服务器接收对于上述第1访问请求的加密后的第1访问应答并进行解密;以及
访问应答发送步骤,向上述通信终端发送解密后的上述第1访问应答。
13.一种对通信终端与服务器之间的通信进行中继的中继装置的程序,该程序使上述中继装置作为以下部分而发挥作用:
访问请求接收部,其从上述通信终端接收对于上述服务器的第1访问请求;
票据信息获取部,其从外部的认证服务器获取用于上述服务器根据上述第1访问请求进行认证的、对于该第1访问请求标识该中继装置的票据信息;
访问请求发送部,其对上述第1访问请求和上述票据信息进行加密而向上述服务器发送;
访问应答解密部,其对从使用上述票据信息对该中继装置进行了认证的上述服务器接收的、对于上述第1访问请求的加密后的第1访问应答进行解密;以及
访问应答发送部,其向上述通信终端发送解密后的上述第1访问应答。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP344585/2004 | 2004-11-29 | ||
| JP2004344585 | 2004-11-29 | ||
| PCT/JP2005/021538 WO2006057280A1 (ja) | 2004-11-29 | 2005-11-24 | 中継装置、中継方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101065940A true CN101065940A (zh) | 2007-10-31 |
| CN101065940B CN101065940B (zh) | 2013-02-20 |
Family
ID=36498016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800406211A Active CN101065940B (zh) | 2004-11-29 | 2005-11-24 | 对通信终端与服务器之间的通信进行中继的装置和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7877794B2 (zh) |
| EP (1) | EP1816811B1 (zh) |
| JP (1) | JP4223058B2 (zh) |
| CN (1) | CN101065940B (zh) |
| WO (1) | WO2006057280A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488857A (zh) * | 2007-12-10 | 2009-07-22 | Emc公司 | 认证服务虚拟化 |
| CN102201976A (zh) * | 2010-03-24 | 2011-09-28 | 株式会社日立制作所 | 通信系统、网络中继处理装置以及管理服务器 |
| CN102461143A (zh) * | 2009-06-08 | 2012-05-16 | 日本电气株式会社 | 便携终端设备、通信设备、其各自的控制方法及通信系统 |
| CN105787775A (zh) * | 2015-01-08 | 2016-07-20 | 东芝泰格有限公司 | 商品销售处理系统及商品销售处理装置 |
| CN107391055A (zh) * | 2016-05-06 | 2017-11-24 | 柯尼卡美能达株式会社 | 印刷系统、印刷管理服务器、通信中继装置及其控制方法 |
| CN110149314A (zh) * | 2012-07-02 | 2019-08-20 | 富士施乐株式会社 | 中继设备和中继方法 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3668069B2 (ja) | 1999-09-21 | 2005-07-06 | 株式会社東芝 | 燃料電池用液体燃料収容容器および燃料電池 |
| JP2006139747A (ja) * | 2004-08-30 | 2006-06-01 | Kddi Corp | 通信システムおよび安全性保証装置 |
| JP4776977B2 (ja) * | 2005-05-18 | 2011-09-21 | 株式会社東芝 | ネットワーク家電制御システム |
| GB2459529A (en) * | 2008-04-28 | 2009-11-04 | Ice Organisation | Online transaction authentication using two servers |
| JP4691177B2 (ja) * | 2008-07-14 | 2011-06-01 | 株式会社リコー | 組み込み機器、遠隔処理方法およびプログラム |
| JP2011081762A (ja) * | 2009-03-10 | 2011-04-21 | Ricoh Co Ltd | 機器設定装置及び機器設定装置における機器再設定方法 |
| EP2499802A4 (en) * | 2009-11-11 | 2016-03-09 | Nokia Technologies Oy | ACCESS TO SERVICE INFORMATION |
| CN101741730B (zh) * | 2009-12-02 | 2012-05-30 | 成都市华为赛门铁克科技有限公司 | 文件下载方法及设备、提供文件下载服务的方法及系统 |
| JP4879347B2 (ja) * | 2009-12-25 | 2012-02-22 | キヤノンItソリューションズ株式会社 | 中継処理装置、中継処理方法及びプログラム |
| US8898453B2 (en) * | 2010-04-29 | 2014-11-25 | Blackberry Limited | Authentication server and method for granting tokens |
| JP5673216B2 (ja) * | 2011-03-01 | 2015-02-18 | 株式会社リコー | 通信制御装置、通信制御システム、及び通信制御プログラム |
| EP2566135B1 (en) | 2011-09-01 | 2018-04-04 | Software AG | Cloud-based mainframe integration system and method |
| JP5762991B2 (ja) * | 2012-02-03 | 2015-08-12 | 株式会社東芝 | 通信装置、サーバ装置、中継装置、およびプログラム |
| US9060273B2 (en) | 2012-03-22 | 2015-06-16 | Blackberry Limited | Authentication server and methods for granting tokens comprising location data |
| US20140207686A1 (en) * | 2013-01-21 | 2014-07-24 | Humetrix.Com, Inc. | Secure real-time health record exchange |
| US9392458B2 (en) | 2013-03-15 | 2016-07-12 | Qualcomm Incorporated | Authentication for relay deployment |
| JP5650816B1 (ja) * | 2013-07-17 | 2015-01-07 | 三菱電機株式会社 | 通信システム、通信装置、通信方法、及び、プログラム |
| US9602616B2 (en) | 2013-11-06 | 2017-03-21 | Neustar, Inc. | System and method for facilitating routing |
| WO2015142339A1 (en) * | 2014-03-20 | 2015-09-24 | Hewlett-Packard Development Company, L.P. | Storage system transactions |
| US9870395B2 (en) * | 2014-03-21 | 2018-01-16 | Pearson Education, Inc. | Conditioned transmission of query responses and connection assessments |
| US10425446B2 (en) | 2014-09-29 | 2019-09-24 | Akamai Technologies, Inc. | HTTPS request enrichment |
| JP2017191352A (ja) * | 2016-04-11 | 2017-10-19 | キヤノン株式会社 | システム、及び、システムの制御方法 |
| CN109246688B (zh) * | 2017-07-11 | 2021-02-23 | 华为技术有限公司 | 设备接入方法、设备及系统 |
| JP7209593B2 (ja) * | 2019-07-01 | 2023-01-20 | 株式会社ソラコム | 中継方法、中継システム、及び中継用プログラム |
| JP2022020143A (ja) * | 2020-07-20 | 2022-02-01 | 富士通株式会社 | 通信プログラム、通信装置、及び通信方法 |
| JP7395455B2 (ja) * | 2020-11-06 | 2023-12-11 | 株式会社東芝 | 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3932685B2 (ja) | 1998-08-11 | 2007-06-20 | 富士ゼロックス株式会社 | ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム |
| JP3497088B2 (ja) * | 1998-12-21 | 2004-02-16 | 松下電器産業株式会社 | 通信システム及び通信方法 |
| KR100414648B1 (ko) * | 1998-12-28 | 2004-01-07 | 엔티티 도꼬모 인코퍼레이티드 | 통신제어방법, 통신방법, 서버장치, 단말기, 중계장치 및 통신시스템 |
| US6584567B1 (en) | 1999-06-30 | 2003-06-24 | International Business Machines Corporation | Dynamic connection to multiple origin servers in a transcoding proxy |
| JP2001134534A (ja) | 1999-11-08 | 2001-05-18 | Ntt Communications Kk | 認証代行方法、認証代行サービスシステム、認証代行サーバ装置及びクライアント装置 |
| JP2001244996A (ja) | 2000-02-29 | 2001-09-07 | Hitachi Ltd | ネットワークのセキュリティ保護方法 |
| JP2001251297A (ja) | 2000-03-07 | 2001-09-14 | Cti Co Ltd | 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法 |
| JP3701866B2 (ja) | 2000-07-24 | 2005-10-05 | 株式会社エヌ・ティ・ティ・ドコモ | 中継装置、通信端末、及びサーバ装置 |
| CN1283827A (zh) | 2000-08-18 | 2001-02-14 | 郝孟一 | 通用电子信息网络认证系统及方法 |
| JP2002082907A (ja) | 2000-09-11 | 2002-03-22 | Nec Corp | データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体 |
| JP2002132730A (ja) * | 2000-10-20 | 2002-05-10 | Hitachi Ltd | 個人情報の信頼度および開示度による認証またはアクセス管理システム、および管理方法 |
| KR100487062B1 (ko) | 2001-03-16 | 2005-05-03 | 니뽄 덴신 덴와 가부시키가이샤 | 사용자가 자유롭게 설치할 수 있는 기지국을 이용하는무선 통신 시스템 |
| JP3880419B2 (ja) * | 2002-02-21 | 2007-02-14 | 日本電信電話株式会社 | 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末 |
| DE60121831T2 (de) | 2001-06-06 | 2007-08-09 | Yahoo! Inc., Sunnyvale | System und verfahren zum steuern des zugriffs auf digitalen inhalt einschliesslich streaming-medien |
| JP3999527B2 (ja) * | 2002-02-15 | 2007-10-31 | 株式会社 アンクル | コンピュータネットワークの認証方法及びデータ配信方法 |
| US20030101253A1 (en) | 2001-11-29 | 2003-05-29 | Takayuki Saito | Method and system for distributing data in a network |
| US7961884B2 (en) * | 2002-08-13 | 2011-06-14 | Ipass Inc. | Method and system for changing security information in a computer network |
| US20040083296A1 (en) * | 2002-10-25 | 2004-04-29 | Metral Max E. | Apparatus and method for controlling user access |
| JP4587158B2 (ja) * | 2004-01-30 | 2010-11-24 | キヤノン株式会社 | セキュア通信方法、端末装置、認証サービス装置、コンピュータプログラム及びコンピュータ読み取り可能な記録媒体 |
-
2005
- 2005-11-24 WO PCT/JP2005/021538 patent/WO2006057280A1/ja active Application Filing
- 2005-11-24 CN CN2005800406211A patent/CN101065940B/zh active Active
- 2005-11-24 JP JP2006547813A patent/JP4223058B2/ja not_active Expired - Fee Related
- 2005-11-24 US US11/718,987 patent/US7877794B2/en not_active Expired - Fee Related
- 2005-11-24 EP EP05809415.2A patent/EP1816811B1/en active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488857A (zh) * | 2007-12-10 | 2009-07-22 | Emc公司 | 认证服务虚拟化 |
| CN102461143A (zh) * | 2009-06-08 | 2012-05-16 | 日本电气株式会社 | 便携终端设备、通信设备、其各自的控制方法及通信系统 |
| CN102201976A (zh) * | 2010-03-24 | 2011-09-28 | 株式会社日立制作所 | 通信系统、网络中继处理装置以及管理服务器 |
| CN102201976B (zh) * | 2010-03-24 | 2014-02-05 | 株式会社日立制作所 | 通信系统、网络中继处理装置以及管理服务器 |
| CN110149314A (zh) * | 2012-07-02 | 2019-08-20 | 富士施乐株式会社 | 中继设备和中继方法 |
| CN110149314B (zh) * | 2012-07-02 | 2022-06-03 | 富士胶片商业创新有限公司 | 中继设备和中继方法 |
| CN105787775A (zh) * | 2015-01-08 | 2016-07-20 | 东芝泰格有限公司 | 商品销售处理系统及商品销售处理装置 |
| CN107391055A (zh) * | 2016-05-06 | 2017-11-24 | 柯尼卡美能达株式会社 | 印刷系统、印刷管理服务器、通信中继装置及其控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101065940B (zh) | 2013-02-20 |
| US20080104687A1 (en) | 2008-05-01 |
| EP1816811B1 (en) | 2013-05-22 |
| US7877794B2 (en) | 2011-01-25 |
| JPWO2006057280A1 (ja) | 2008-08-07 |
| WO2006057280A1 (ja) | 2006-06-01 |
| JP4223058B2 (ja) | 2009-02-12 |
| EP1816811A1 (en) | 2007-08-08 |
| EP1816811A4 (en) | 2011-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101065940A (zh) | 中继装置、中继方法和程序 | |
| CN101052167A (zh) | 一种通信号码自动更新系统及其实现方法 | |
| CN1225711C (zh) | 数字内容发行系统和数字内容发行方法 | |
| CN1575579A (zh) | 选择用于有线和无线设备的安全格式转换 | |
| CN1685689A (zh) | 控制家庭终端的装置、方法和计算机软件产品 | |
| CN1653779A (zh) | 支持移动通信设备上多个证书状态提供器的系统和方法 | |
| CN1682510A (zh) | 在通信网络中提供地址保密 | |
| CN1852094A (zh) | 网络业务应用账户的保护方法和系统 | |
| CN1946023A (zh) | 用于接入网关的认证和授权体系结构 | |
| CN1241368C (zh) | 假想私设网 | |
| CN1871819A (zh) | 无线通信终端和连接信息设置方法 | |
| CN1672380A (zh) | 用于检验数字证书状态的系统和方法 | |
| CN1929398A (zh) | 无线通信网安全设置方法、存储介质、网络系统和客户设备 | |
| CN1717697A (zh) | 压缩安全电子邮件用于与移动通信设备交换的系统和方法 | |
| CN1805333A (zh) | 无线网络系统中的数据安全 | |
| CN1713623A (zh) | 网络连接系统,网络连接方法,及所使用的交换机 | |
| CN1574738A (zh) | 在移动特设网络中分配加密密钥的方法及其网络设备 | |
| CN1921669A (zh) | 移动电话、通信终端、电话呼叫方法、以及电话呼叫程序 | |
| CN1675910A (zh) | 具有禁止与特定网站进行连接的功能的通信终端及其程序 | |
| CN1859081A (zh) | 一种即时消息加密传输方法和系统 | |
| CN1276617C (zh) | 用于限制内容再分送的方法和系统 | |
| CN1918887A (zh) | 基于代理的安全端到端tcp/ip通信方法和系统 | |
| CN1638326A (zh) | 内容分配系统和方法、服务器、用户终端、加密设备、管理设备和成流设备 | |
| CN1798021A (zh) | 通信支持服务器、通信支持方法、及通信支持系统 | |
| CN1977559A (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211109 Address after: USA New York Patentee after: Qindarui Co. Address before: USA New York Patentee before: International Business Machines Corp. |