JP2001222508A - 携帯電話端末からのイントラネットアクセス方式 - Google Patents
携帯電話端末からのイントラネットアクセス方式Info
- Publication number
- JP2001222508A JP2001222508A JP2000034718A JP2000034718A JP2001222508A JP 2001222508 A JP2001222508 A JP 2001222508A JP 2000034718 A JP2000034718 A JP 2000034718A JP 2000034718 A JP2000034718 A JP 2000034718A JP 2001222508 A JP2001222508 A JP 2001222508A
- Authority
- JP
- Japan
- Prior art keywords
- hypertext
- access
- information
- server
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
(57)【要約】
【課題】 ネットワーク上でのハイパーテキストアクセ
スにおいて、簡易でセキュリティレベルの高いアクセス
制御を実現することが困難であった。 【解決手段】 情報端末装置101がサーバ105上の
コンテンツにアクセスする際に、事前に受信している認
証装置のホストアドレスを送信先とし、最終的にアクセ
スしたいサーバ105上のコンテンツを指す情報とその
コンテンツのアクセスを許可されたユーザIDおよび対
応するパスワードをパラメータとして持つようなリンク
情報を含むハイパーテキストから、そのリンク情報を選
択することにより、認証装置106を経由してユーザ認
証され、アクセス要求がサーバ105に中継される。返
送コンテンツも、リンク先へのアクセス要求も認証装置
106を経由するよう認証装置106で書き換える。
スにおいて、簡易でセキュリティレベルの高いアクセス
制御を実現することが困難であった。 【解決手段】 情報端末装置101がサーバ105上の
コンテンツにアクセスする際に、事前に受信している認
証装置のホストアドレスを送信先とし、最終的にアクセ
スしたいサーバ105上のコンテンツを指す情報とその
コンテンツのアクセスを許可されたユーザIDおよび対
応するパスワードをパラメータとして持つようなリンク
情報を含むハイパーテキストから、そのリンク情報を選
択することにより、認証装置106を経由してユーザ認
証され、アクセス要求がサーバ105に中継される。返
送コンテンツも、リンク先へのアクセス要求も認証装置
106を経由するよう認証装置106で書き換える。
Description
【0001】
【発明の属する技術分野】本発明は、ハイパーテキスト
を提供する通信網に接続されたサーバに対して情報を要
求する情報端末装置のアクセス制御に関する。
を提供する通信網に接続されたサーバに対して情報を要
求する情報端末装置のアクセス制御に関する。
【0002】
【従来の技術】インターネットを利用した情報提供技術
の発展と共に、特定の利用者(例えば特定の企業の従業
員)のみにインターネットを介して情報を提供し、他者
には情報を提供しないようにするためのアクセス制御技
術が出現してきた。
の発展と共に、特定の利用者(例えば特定の企業の従業
員)のみにインターネットを介して情報を提供し、他者
には情報を提供しないようにするためのアクセス制御技
術が出現してきた。
【0003】従来のアクセス制御技術に関して以下に説
明する。
明する。
【0004】従来方式の第1の例を図8および図9を用
いて説明する。インターネット802からサーバ803
上のHTMLコンテンツにアクセスしようとする情報端
末装置801はアクセスするHTMLコンテンツを指定
する識別子としてURLをHTTPリクエスト内に含め
てサーバ803に送信する。アクセス対象コンテンツが
サーバ803においてアクセス制御による保護対象にな
っているときには、クライアントである情報端末装置8
01はHTTPリクエストに、ユーザ名とパスワードを
含めて送信する。サーバ803はステップS901でH
TTPリクエストを受信すると、図9のフローチャート
に従って処理を行う。
いて説明する。インターネット802からサーバ803
上のHTMLコンテンツにアクセスしようとする情報端
末装置801はアクセスするHTMLコンテンツを指定
する識別子としてURLをHTTPリクエスト内に含め
てサーバ803に送信する。アクセス対象コンテンツが
サーバ803においてアクセス制御による保護対象にな
っているときには、クライアントである情報端末装置8
01はHTTPリクエストに、ユーザ名とパスワードを
含めて送信する。サーバ803はステップS901でH
TTPリクエストを受信すると、図9のフローチャート
に従って処理を行う。
【0005】まず、ステップS902でHTTPリクエ
ストを解析する。HTTPリクエスト中に含まれるUR
Lがアクセス制御で保護されたコンテンツを指している
場合にはステップS904に移行する。そうでない場合
にはステップS907に移行する。ステップS904で
HTTPリクエスト中に含まれるユーザ名とパスワード
によりユーザ認証を行う。ユーザ名およびパスワードが
リクエスト中に含まれていない場合およびユーザ名もし
くはパスワードが不正の場合にはステップS906に移
行し、そうでない場合にはステップS907に移行す
る。ステップS906では認証失敗としてアクセス拒否
のHTTPレスポンスを生成する。ステップS907で
は認証不要または認証成功として、指定されたURLに
対応するコンテンツを含む正常HTTPレスポンスを生
成する。次にステップS908において、ステップS9
06もしくはステップS907で生成したHTTPレス
ポンスを、要求元の情報端末装置801に返送する。
ストを解析する。HTTPリクエスト中に含まれるUR
Lがアクセス制御で保護されたコンテンツを指している
場合にはステップS904に移行する。そうでない場合
にはステップS907に移行する。ステップS904で
HTTPリクエスト中に含まれるユーザ名とパスワード
によりユーザ認証を行う。ユーザ名およびパスワードが
リクエスト中に含まれていない場合およびユーザ名もし
くはパスワードが不正の場合にはステップS906に移
行し、そうでない場合にはステップS907に移行す
る。ステップS906では認証失敗としてアクセス拒否
のHTTPレスポンスを生成する。ステップS907で
は認証不要または認証成功として、指定されたURLに
対応するコンテンツを含む正常HTTPレスポンスを生
成する。次にステップS908において、ステップS9
06もしくはステップS907で生成したHTTPレス
ポンスを、要求元の情報端末装置801に返送する。
【0006】従来方式の第2の例を図10および図11
を用いて説明する。
を用いて説明する。
【0007】電話網1002に接続された情報端末装置
1001がゲートウェイ装置1003を介してインター
ネット1004に接続されたサーバ1005上のHTM
Lコンテンツにアクセスする場合、アクセス対象HTM
Lコンテンツを指定するURLをHTTPリクエスト内
に含めてゲートウェイ装置1003に送信する。ゲート
ウェイ装置1003はこのHTTPリクエストをサーバ
1005に送信する際に、電話番号などの端末IDをH
TTPリクエストに付加して送信する。
1001がゲートウェイ装置1003を介してインター
ネット1004に接続されたサーバ1005上のHTM
Lコンテンツにアクセスする場合、アクセス対象HTM
Lコンテンツを指定するURLをHTTPリクエスト内
に含めてゲートウェイ装置1003に送信する。ゲート
ウェイ装置1003はこのHTTPリクエストをサーバ
1005に送信する際に、電話番号などの端末IDをH
TTPリクエストに付加して送信する。
【0008】HTTPリクエストを受信したサーバ10
05は、図11のフローチャートに従って処理を行う。
まずステップS1102でHTTPリクエストを解析す
る。HTTPリクエスト中に含まれる前記URLがアク
セス制御で保護されたコンテンツを指している場合には
ステップS1104に移行する。そうでない場合にはス
テップS1107に移行する。ステップS1104でH
TTPリクエスト中に含まれる端末IDにより端末認証
を行う。HTTPリクエスト中に含まれる端末IDを持
つ端末が、指定されたURLへのアクセスを許可されて
いる場合にはステップS1107に移行し、そうでない
場合にはステップS1106に移行する。ステップS1
106では認証失敗としてアクセス拒否のHTTPレス
ポンスを生成する。ステップS1107では認証不要ま
たは認証成功として、指定されたURLに対応するコン
テンツを含む正常HTTPレスポンスを生成する。次に
ステップS1108において、ステップS1106もし
くはステップS1107で生成したHTTPレスポンス
を、要求元の情報端末装置1001に返送する。
05は、図11のフローチャートに従って処理を行う。
まずステップS1102でHTTPリクエストを解析す
る。HTTPリクエスト中に含まれる前記URLがアク
セス制御で保護されたコンテンツを指している場合には
ステップS1104に移行する。そうでない場合にはス
テップS1107に移行する。ステップS1104でH
TTPリクエスト中に含まれる端末IDにより端末認証
を行う。HTTPリクエスト中に含まれる端末IDを持
つ端末が、指定されたURLへのアクセスを許可されて
いる場合にはステップS1107に移行し、そうでない
場合にはステップS1106に移行する。ステップS1
106では認証失敗としてアクセス拒否のHTTPレス
ポンスを生成する。ステップS1107では認証不要ま
たは認証成功として、指定されたURLに対応するコン
テンツを含む正常HTTPレスポンスを生成する。次に
ステップS1108において、ステップS1106もし
くはステップS1107で生成したHTTPレスポンス
を、要求元の情報端末装置1001に返送する。
【0009】
【発明が解決しようとする課題】しかしながら、第1の
従来例のようなユーザ認証をパスワードによって行う方
式では、通常、利用者がユーザ名とパスワードを入力す
る必要があるために、利用者が記憶することが可能な程
度の短い桁数のユーザ名およびパスワードを使用するこ
とがほとんどであり、不正利用者が何度もアクセス試行
してユーザ名とパスワードを究明してしまい、その結果
として不正なアクセスが行われる可能性があるため、セ
キュリティレベルが低いといわざるを得ない。
従来例のようなユーザ認証をパスワードによって行う方
式では、通常、利用者がユーザ名とパスワードを入力す
る必要があるために、利用者が記憶することが可能な程
度の短い桁数のユーザ名およびパスワードを使用するこ
とがほとんどであり、不正利用者が何度もアクセス試行
してユーザ名とパスワードを究明してしまい、その結果
として不正なアクセスが行われる可能性があるため、セ
キュリティレベルが低いといわざるを得ない。
【0010】また、第2の従来例のように、端末ID情
報をサーバに送信する方式では、第1のようなセキュリ
ティレベルの低さという問題は改善されるが、インター
ネット上のサーバに対して、端末を識別できる情報を送
信してしまうために、悪意のあるサーバ運営者が個人の
アクセスパターンを特定できるなどのプライバシ上の問
題があり、逆にこれを回避しようとして、端末ID情報
を特定のサーバにしか送信しないようにすると、このア
クセス制御を利用可能なサーバが限定されてしまうとい
う問題があった。
報をサーバに送信する方式では、第1のようなセキュリ
ティレベルの低さという問題は改善されるが、インター
ネット上のサーバに対して、端末を識別できる情報を送
信してしまうために、悪意のあるサーバ運営者が個人の
アクセスパターンを特定できるなどのプライバシ上の問
題があり、逆にこれを回避しようとして、端末ID情報
を特定のサーバにしか送信しないようにすると、このア
クセス制御を利用可能なサーバが限定されてしまうとい
う問題があった。
【0011】
【課題を解決するための手段】上記問題点を解決するた
めに本発明は、端末が、アクセス保護対象のハイパーテ
キストコンテンツにアクセスしようとする場合には、ネ
ットワーク上の特定の認証装置から事前に受信してあ
る、アクセス可能なハイパーテキスト識別名とID情報
およびパスワード情報を付帯したハイパーテキストアク
セス要求を送信するためのリンク情報を含むハイパーテ
キストの当該リンク情報を選択することにより、ネット
ワーク上の特定の認証装置にアクセス要求と共にID情
報およびパスワード情報を送信し、アクセス権を認めら
れた端末の要求を認証装置がサーバに中継送信し、ま
た、サーバから返されたハイパーテキストを端末に中継
返信する際に、ハイパーテキスト中に含まれるリンク情
報を、次に端末がそのリンクを辿ってリンク先のコンテ
ンツをアクセスしようとする際に、そのアクセス要求が
認証装置を経由しかつ真にアクセスしたいコンテンツの
アドレス情報を認証装置が知ることができる形式に書き
換えることによって、より高いセキュリティレベルのア
クセス制御とサービスのより広い可用性とをプライバシ
を保護しつつ実現するものである。
めに本発明は、端末が、アクセス保護対象のハイパーテ
キストコンテンツにアクセスしようとする場合には、ネ
ットワーク上の特定の認証装置から事前に受信してあ
る、アクセス可能なハイパーテキスト識別名とID情報
およびパスワード情報を付帯したハイパーテキストアク
セス要求を送信するためのリンク情報を含むハイパーテ
キストの当該リンク情報を選択することにより、ネット
ワーク上の特定の認証装置にアクセス要求と共にID情
報およびパスワード情報を送信し、アクセス権を認めら
れた端末の要求を認証装置がサーバに中継送信し、ま
た、サーバから返されたハイパーテキストを端末に中継
返信する際に、ハイパーテキスト中に含まれるリンク情
報を、次に端末がそのリンクを辿ってリンク先のコンテ
ンツをアクセスしようとする際に、そのアクセス要求が
認証装置を経由しかつ真にアクセスしたいコンテンツの
アドレス情報を認証装置が知ることができる形式に書き
換えることによって、より高いセキュリティレベルのア
クセス制御とサービスのより広い可用性とをプライバシ
を保護しつつ実現するものである。
【0012】
【発明の実施の形態】請求項1に記載の発明はハイパー
テキストアクセス要求で要求されたハイパーテキストを
返送するサーバと、前記サーバのハイパーテキストを要
求するためにID情報およびパスワード情報を付帯した
ハイパーテキストアクセス要求を送信する端末装置と、
ハイパーテキストアクセス要求で要求されたハイパーテ
キストに対するアクセス権を有するか否かを判定し、ア
クセス権を有すると判定した場合にはハイパーテキスト
アクセス要求を前記サーバに送信し、前記サーバから返
送されるハイパーテキスト中のリンク先へのアクセスが
自装置経由となるようにリンク情報を書き換えて前記端
末装置に返送し、前記ID情報およびパスワード情報を
付帯したハイパーテキストアクセス要求を送信するため
のリンク情報を含んだハイパーテキストを前記端末装置
に送信する認証装置から成るシステムであり、これによ
ってハイパーテキストアクセス要求に対するユーザ認証
を行い、かつ以降の端末からのハイパーテキストに含ま
れるリンク先へのアクセスに関するアクセス要求も認証
装置を経由してユーザ認証が行われるという作用を有す
る。
テキストアクセス要求で要求されたハイパーテキストを
返送するサーバと、前記サーバのハイパーテキストを要
求するためにID情報およびパスワード情報を付帯した
ハイパーテキストアクセス要求を送信する端末装置と、
ハイパーテキストアクセス要求で要求されたハイパーテ
キストに対するアクセス権を有するか否かを判定し、ア
クセス権を有すると判定した場合にはハイパーテキスト
アクセス要求を前記サーバに送信し、前記サーバから返
送されるハイパーテキスト中のリンク先へのアクセスが
自装置経由となるようにリンク情報を書き換えて前記端
末装置に返送し、前記ID情報およびパスワード情報を
付帯したハイパーテキストアクセス要求を送信するため
のリンク情報を含んだハイパーテキストを前記端末装置
に送信する認証装置から成るシステムであり、これによ
ってハイパーテキストアクセス要求に対するユーザ認証
を行い、かつ以降の端末からのハイパーテキストに含ま
れるリンク先へのアクセスに関するアクセス要求も認証
装置を経由してユーザ認証が行われるという作用を有す
る。
【0013】これによって、インターネットにおける情
報端末からのコンテンツアクセスのために提供される情
報提供のセキュリティレベルを大きく向上することがで
きるのである。
報端末からのコンテンツアクセスのために提供される情
報提供のセキュリティレベルを大きく向上することがで
きるのである。
【0014】(実施の形態1)次に本発明の実施の形態
を図1から図7までを用いて説明する。
を図1から図7までを用いて説明する。
【0015】図1は本実施の形態のシステムを示すシス
テム構成図である。101は情報端末装置、102は電
話網、103はゲートウェイ装置、104はインターネ
ット、105はサーバ、106は認証装置である。
テム構成図である。101は情報端末装置、102は電
話網、103はゲートウェイ装置、104はインターネ
ット、105はサーバ、106は認証装置である。
【0016】図2は本実施の形態における各構成要素の
動作手順を示すシーケンス図であり、認証装置がアクセ
ス可能なURLとユーザID情報およびパスワード情報
をパラメータとして持つリンク情報を含むハイパーテキ
ストを情報端末装置に送信する場合の手順を示す。
動作手順を示すシーケンス図であり、認証装置がアクセ
ス可能なURLとユーザID情報およびパスワード情報
をパラメータとして持つリンク情報を含むハイパーテキ
ストを情報端末装置に送信する場合の手順を示す。
【0017】図3は本実施の形態における各構成要素の
動作手順を示すシーケンス図であり、認証が成功してア
クセスに成功した場合の手順を示す。
動作手順を示すシーケンス図であり、認証が成功してア
クセスに成功した場合の手順を示す。
【0018】図4は本実施の形態における各構成要素の
動作手順を示すシーケンス図であり、認証が失敗してア
クセスが失敗に終わった場合の手順を示す。
動作手順を示すシーケンス図であり、認証が失敗してア
クセスが失敗に終わった場合の手順を示す。
【0019】図5は本実施の形態のシステムにおける認
証装置106の動作フローチャートである。
証装置106の動作フローチャートである。
【0020】図6は本実施の形態の認証装置106に保
持されるアクセス制御テーブルである。601はアクセ
ス制御対象のURLが設定されており、602はそのU
RLへのアクセスを許可するユーザIDのリストが設定
されている。
持されるアクセス制御テーブルである。601はアクセ
ス制御対象のURLが設定されており、602はそのU
RLへのアクセスを許可するユーザIDのリストが設定
されている。
【0021】図7は本実施の形態の認証装置106に保
持されるパスワードテーブルである。701はユーザI
Dが設定されており、702はそのユーザIDに対応す
るパスワードが設定されている。
持されるパスワードテーブルである。701はユーザI
Dが設定されており、702はそのユーザIDに対応す
るパスワードが設定されている。
【0022】認証装置106が保持するアクセス制御テ
ーブルの任意のURLに対してIDが登録または修正さ
れると(S201)、登録されたURLと登録されたI
DおよびそのIDに対応するパスワードをパラメータと
して持つ次のような形式のURLへのリンク情報を含む
ハイパーテキストを生成し(S202)、そのハイパー
テキストをゲートウェイ装置103に送信する(S20
3)。ゲートウェイ装置103は受信したハイパーテキ
ストを情報端末装置101に転送する(S204)。
ーブルの任意のURLに対してIDが登録または修正さ
れると(S201)、登録されたURLと登録されたI
DおよびそのIDに対応するパスワードをパラメータと
して持つ次のような形式のURLへのリンク情報を含む
ハイパーテキストを生成し(S202)、そのハイパー
テキストをゲートウェイ装置103に送信する(S20
3)。ゲートウェイ装置103は受信したハイパーテキ
ストを情報端末装置101に転送する(S204)。
【0023】 http://認証装置106のアドレス/cgi−bin/認証プログラム 名?DEST=アクセス対象URL?ID=ユーザID?PASS=パスワード ―――(形式1) ここでは、上記(形式1)のURLにおいて、アクセス
対象URLの部分に最終的にアクセスすべきサーバ10
5のコンテンツの絶対パスが設定され、ユーザIDの部
分にはアクセス可能な利用者のユーザIDが設定され、
パスワードの部分には前記ユーザIDに対応するパスワ
ードが設定される。
対象URLの部分に最終的にアクセスすべきサーバ10
5のコンテンツの絶対パスが設定され、ユーザIDの部
分にはアクセス可能な利用者のユーザIDが設定され、
パスワードの部分には前記ユーザIDに対応するパスワ
ードが設定される。
【0024】情報端末装置101は受信したハイパーテ
キストに含まれる上記(形式1)のURLへのリンク情
報を選択することにより、ゲートウェイ装置103に
(形式1)のURLを送信する(S301)。(形式
1)のURLをゲートウェイ装置103が受信すると、
URL中のホスト指定部が認証装置106のアドレスを
示しているため、このアクセス要求をインターネット1
04を経由して認証装置106に送信する(S30
2)。
キストに含まれる上記(形式1)のURLへのリンク情
報を選択することにより、ゲートウェイ装置103に
(形式1)のURLを送信する(S301)。(形式
1)のURLをゲートウェイ装置103が受信すると、
URL中のホスト指定部が認証装置106のアドレスを
示しているため、このアクセス要求をインターネット1
04を経由して認証装置106に送信する(S30
2)。
【0025】認証装置106はゲートウェイ装置103
からアクセス要求を受信すると図5に示すフローチャー
トに従って処理を開始する。まず、受信したアクセス要
求を解析し、最終的にアクセスしたいURL、アクセス
要求を行った利用者のユーザID、そのユーザIDに対
応するパスワードを取り出す(S502)。最終的にア
クセスしたいURLは具体的には上記(形式1)のUR
Lにおける“DEST=”から“?”までの文字列の部
分、すなわちアクセス対象URLと表記された部分であ
り、アクセス要求を行った利用者のユーザIDは具体的
に上記(形式1)のURLにおける“ID=”から
“?”までの文字列の部分、すなわちユーザIDと表記
された部分であり、そのユーザIDに対応するパスワー
ドは具体的には上記(形式1)のURLにおける“PA
SS=”に続く文字列の部分、すなわちパスワードと表
記された部分である。次に、取り出した最終的にアクセ
スしたいURLがアクセス制御テーブルカラム601に
発見された場合には、アクセス要求が対象とするコンテ
ンツはアクセス保護対象になっていると判断しS509
に進む。そうでない場合にはアクセス保護対象でないと
判断し、S504へ進む。S509におけるユーザ認証
では、まず、S302でゲートウェイ装置103から受
信した(形式1)のURLアクセス対象とするURLに
対応するカラム602のユーザIDリストに、S502
で取り出したユーザIDが含まれており、かつ、そのユ
ーザIDがパスワードテーブルカラム701に発見さ
れ、そのユーザIDに対応するカラム702のパスワー
ドがS502で取り出したパスワードと一致する場合に
はS510でアクセスOKと判断し、S504に進む。
そうでない場合にはアクセスNGと判断し、S511に
進む。すなわちS504に進んだ場合には、アクセスが
許可された場合である。S504において、認証装置1
06はアクセス対象URLのホストアドレス部がサーバ
105を指しているので、アクセス対象URLを含むア
クセス要求をサーバ105に送信する(S304、S5
04)。認証装置106はS505に進み、サーバ10
5からのレスポンス待ち状態となる。サーバ105はS
304でハイパーテキストアクセス要求を認証装置10
6から受信した場合には、認証装置においてアクセス権
限を認められたアクセス要求であるとみなして、要求さ
れたハイパーテキストコンテンツを含むレスポンスを認
証装置106に送信する(S305)。なお、サーバ1
05は認証装置106以外のノードからアクセス保護対
象のコンテンツに対するアクセス要求を受信した場合に
は、そのアクセスを拒否する。これによってサーバ10
5のコンテンツは、認証された情報端末装置からに対し
てのみ、アクセス保護されたコンテンツを送信するとい
うアクセス制御を実現することができる。
からアクセス要求を受信すると図5に示すフローチャー
トに従って処理を開始する。まず、受信したアクセス要
求を解析し、最終的にアクセスしたいURL、アクセス
要求を行った利用者のユーザID、そのユーザIDに対
応するパスワードを取り出す(S502)。最終的にア
クセスしたいURLは具体的には上記(形式1)のUR
Lにおける“DEST=”から“?”までの文字列の部
分、すなわちアクセス対象URLと表記された部分であ
り、アクセス要求を行った利用者のユーザIDは具体的
に上記(形式1)のURLにおける“ID=”から
“?”までの文字列の部分、すなわちユーザIDと表記
された部分であり、そのユーザIDに対応するパスワー
ドは具体的には上記(形式1)のURLにおける“PA
SS=”に続く文字列の部分、すなわちパスワードと表
記された部分である。次に、取り出した最終的にアクセ
スしたいURLがアクセス制御テーブルカラム601に
発見された場合には、アクセス要求が対象とするコンテ
ンツはアクセス保護対象になっていると判断しS509
に進む。そうでない場合にはアクセス保護対象でないと
判断し、S504へ進む。S509におけるユーザ認証
では、まず、S302でゲートウェイ装置103から受
信した(形式1)のURLアクセス対象とするURLに
対応するカラム602のユーザIDリストに、S502
で取り出したユーザIDが含まれており、かつ、そのユ
ーザIDがパスワードテーブルカラム701に発見さ
れ、そのユーザIDに対応するカラム702のパスワー
ドがS502で取り出したパスワードと一致する場合に
はS510でアクセスOKと判断し、S504に進む。
そうでない場合にはアクセスNGと判断し、S511に
進む。すなわちS504に進んだ場合には、アクセスが
許可された場合である。S504において、認証装置1
06はアクセス対象URLのホストアドレス部がサーバ
105を指しているので、アクセス対象URLを含むア
クセス要求をサーバ105に送信する(S304、S5
04)。認証装置106はS505に進み、サーバ10
5からのレスポンス待ち状態となる。サーバ105はS
304でハイパーテキストアクセス要求を認証装置10
6から受信した場合には、認証装置においてアクセス権
限を認められたアクセス要求であるとみなして、要求さ
れたハイパーテキストコンテンツを含むレスポンスを認
証装置106に送信する(S305)。なお、サーバ1
05は認証装置106以外のノードからアクセス保護対
象のコンテンツに対するアクセス要求を受信した場合に
は、そのアクセスを拒否する。これによってサーバ10
5のコンテンツは、認証された情報端末装置からに対し
てのみ、アクセス保護されたコンテンツを送信するとい
うアクセス制御を実現することができる。
【0026】S305においてハイパーテキストコンテ
ンツを含むレスポンスをサーバ105から受信した認証
装置106はS506に進む。S306において、認証
装置106はレスポンスに含まれるハイパーテキストコ
ンテンツ中のリンク情報を(形式1)のように書き換え
る(S506)。元のリンク先URLは、もし相対パス
形式なら絶対パス形式に変換された上で、(形式1)の
アクセス対象URLの部分に設定される。これによっ
て、情報端末装置101が、このコンテンツを受信した
後にリンク先をアクセスしようとした場合に、リンク先
URLが(形式1)の形になっているために、そのアク
セス要求も認証装置106を経由することになり、本発
明のアクセス制御方法のもとで認証され正しく処理する
ことができるのである。次に認証装置106はS507
で、リンク先を書き換えられたコンテンツを含む正常レ
スポンスを生成する。
ンツを含むレスポンスをサーバ105から受信した認証
装置106はS506に進む。S306において、認証
装置106はレスポンスに含まれるハイパーテキストコ
ンテンツ中のリンク情報を(形式1)のように書き換え
る(S506)。元のリンク先URLは、もし相対パス
形式なら絶対パス形式に変換された上で、(形式1)の
アクセス対象URLの部分に設定される。これによっ
て、情報端末装置101が、このコンテンツを受信した
後にリンク先をアクセスしようとした場合に、リンク先
URLが(形式1)の形になっているために、そのアク
セス要求も認証装置106を経由することになり、本発
明のアクセス制御方法のもとで認証され正しく処理する
ことができるのである。次に認証装置106はS507
で、リンク先を書き換えられたコンテンツを含む正常レ
スポンスを生成する。
【0027】一方、S510でアクセスNGと判断され
た場合には認証装置106はS511でアクセス拒否レ
スポンスを生成する。
た場合には認証装置106はS511でアクセス拒否レ
スポンスを生成する。
【0028】S507もしくはS511で生成したレス
ポンスを、認証装置106はS508でゲートウェイ装
置103に送信する(S307)。ゲートウェイ装置1
03はS307でレスポンスを認証装置106から受信
すると、それを情報端末装置に転送する(S308、S
405)。
ポンスを、認証装置106はS508でゲートウェイ装
置103に送信する(S307)。ゲートウェイ装置1
03はS307でレスポンスを認証装置106から受信
すると、それを情報端末装置に転送する(S308、S
405)。
【0029】以上によって、アクセス保護対象のハイパ
ーテキストコンテンツへの情報端末装置101のアクセ
スが完了する。次に、情報端末装置101が、S308
で受信したハイパーテキストコンテンツに含まれるリン
ク情報をS309で選択して、アクセスしようとしたと
きには、前述のようにリンク先のURLが(形式1)の
形式になっているために、認証装置106を経由して、
そこでユーザ認証を受けることになる。
ーテキストコンテンツへの情報端末装置101のアクセ
スが完了する。次に、情報端末装置101が、S308
で受信したハイパーテキストコンテンツに含まれるリン
ク情報をS309で選択して、アクセスしようとしたと
きには、前述のようにリンク先のURLが(形式1)の
形式になっているために、認証装置106を経由して、
そこでユーザ認証を受けることになる。
【0030】以上のようにして、初回のコンテンツアク
セスと、それに引き続いて情報端末装置101がそのコ
ンテンツに含まれるリンクを辿る際に生じる以降のコン
テンツアクセスが認証装置106を経由して、アクセス
の都度ユーザ認証を行うことが可能になる。サーバ10
5が認証装置106からのアクセスのみを許可するよう
にすれば、インターネット上の不特定の端末からの不正
アクセスをこれによって防止することができる。
セスと、それに引き続いて情報端末装置101がそのコ
ンテンツに含まれるリンクを辿る際に生じる以降のコン
テンツアクセスが認証装置106を経由して、アクセス
の都度ユーザ認証を行うことが可能になる。サーバ10
5が認証装置106からのアクセスのみを許可するよう
にすれば、インターネット上の不特定の端末からの不正
アクセスをこれによって防止することができる。
【0031】本実施形態において、サーバ105が認証
装置106からだけでなく、他の同種の認証装置や、企
業内イントラネット上のノード等複数の信頼できるノー
ドからのアクセスを許可するような別の実施例を考える
ことは可能である。
装置106からだけでなく、他の同種の認証装置や、企
業内イントラネット上のノード等複数の信頼できるノー
ドからのアクセスを許可するような別の実施例を考える
ことは可能である。
【0032】また、本実施の形態において、ゲートウェ
イ装置103と認証装置106の間でアクセス要求やレ
スポンスの送受信を行うのに先立って、ゲートウェイ装
置103がSSL(SecureSocketLaye
r)等の通信方式を利用してゲートウェイ装置103自
身の電子証明書を認証装置106に送信し、認証装置1
06がその電子証明書により、ゲートウェイ装置103
を認証するような別の実施例を想定することもできる。
それによって、インターネット上の別の装置が、ゲート
ウェイ装置103であるかのように見せかけて認証装置
106にアクセス要求を送信するような、不正アクセス
を防止することができる。
イ装置103と認証装置106の間でアクセス要求やレ
スポンスの送受信を行うのに先立って、ゲートウェイ装
置103がSSL(SecureSocketLaye
r)等の通信方式を利用してゲートウェイ装置103自
身の電子証明書を認証装置106に送信し、認証装置1
06がその電子証明書により、ゲートウェイ装置103
を認証するような別の実施例を想定することもできる。
それによって、インターネット上の別の装置が、ゲート
ウェイ装置103であるかのように見せかけて認証装置
106にアクセス要求を送信するような、不正アクセス
を防止することができる。
【0033】同様に、本実施の形態において、認証装置
106とサーバ105の間でアクセス要求やそのレスポ
ンスの送受信を行うのに先立って、認証装置106がS
SL(SecureSocketLayer)等の通信
方式を利用して認証装置106自身の電子証明書をサー
バ105に送信し、サーバ105がその電子証明書によ
り、認証装置106を認証するような別の実施例を想定
することもできる。それによって、インターネット上の
別の装置が、認証装置106であるかのように見せかけ
てサーバ105にアクセス要求を送信するような、不正
アクセスを防止することができる。
106とサーバ105の間でアクセス要求やそのレスポ
ンスの送受信を行うのに先立って、認証装置106がS
SL(SecureSocketLayer)等の通信
方式を利用して認証装置106自身の電子証明書をサー
バ105に送信し、サーバ105がその電子証明書によ
り、認証装置106を認証するような別の実施例を想定
することもできる。それによって、インターネット上の
別の装置が、認証装置106であるかのように見せかけ
てサーバ105にアクセス要求を送信するような、不正
アクセスを防止することができる。
【0034】また、本実施の形態において、ゲートウェ
イ装置103と認証装置106の間の通信や認証装置1
06とサーバ105の間の通信データを暗号化して通信
を行うような別の実施例も考えられる。これによって、
インターネット上でコンテンツを盗聴したり、アクセス
要求を盗聴して全く同じアクセス要求を流すことでコン
テンツにアクセスするような不正アクセスを防止するこ
とができる。
イ装置103と認証装置106の間の通信や認証装置1
06とサーバ105の間の通信データを暗号化して通信
を行うような別の実施例も考えられる。これによって、
インターネット上でコンテンツを盗聴したり、アクセス
要求を盗聴して全く同じアクセス要求を流すことでコン
テンツにアクセスするような不正アクセスを防止するこ
とができる。
【0035】また、本実施の形態においては、アクセス
制御テーブルのカラム601に含まれないURLはアク
セス保護対象外と判定していたが、これをカラム601
に含まれないURLはすべてアクセス禁止と判定するよ
うな別の実施例も考えられる。
制御テーブルのカラム601に含まれないURLはアク
セス保護対象外と判定していたが、これをカラム601
に含まれないURLはすべてアクセス禁止と判定するよ
うな別の実施例も考えられる。
【0036】更に、本実施の形態における、アクセス制
御テーブルのカラム601にURLに含まれるパスの上
位の部分のみを指定することで、そのパスの下位のコン
テンツを総じて代表させるような表記法を許可すること
で、設定および検索処理の簡略化を図ることができる。
御テーブルのカラム601にURLに含まれるパスの上
位の部分のみを指定することで、そのパスの下位のコン
テンツを総じて代表させるような表記法を許可すること
で、設定および検索処理の簡略化を図ることができる。
【0037】また、本実施の形態において、S506で
リンク情報を書き換える際に、元のリンク情報のURL
がアクセス制御テーブルのカラム601に含まれる場合
のみアクセス制御が必要とみなしてリンク情報を書き換
え、それ以外のリンク情報は書き換えないような別の実
施例も考えられる。このようにすることで、アクセス保
護対象のコンテンツが、アクセス保護対象外のコンテン
ツへのリンクを多く含んでいるような場合に、認証装置
106を経由するアクセスの量を軽減させることができ
る。
リンク情報を書き換える際に、元のリンク情報のURL
がアクセス制御テーブルのカラム601に含まれる場合
のみアクセス制御が必要とみなしてリンク情報を書き換
え、それ以外のリンク情報は書き換えないような別の実
施例も考えられる。このようにすることで、アクセス保
護対象のコンテンツが、アクセス保護対象外のコンテン
ツへのリンクを多く含んでいるような場合に、認証装置
106を経由するアクセスの量を軽減させることができ
る。
【0038】
【発明の効果】以上詳細に説明したように、本発明によ
れば、サーバ上のコンテンツを作成時に、リンク先UR
L等に特別の工夫を要することなく、また情報端末装置
における特別な処理や機構を要することもなく、またハ
イパーテキストをナビゲートする際に操作者が認証を意
識することもなく、透過的にユーザ認証によるアクセス
制御を実現できる。
れば、サーバ上のコンテンツを作成時に、リンク先UR
L等に特別の工夫を要することなく、また情報端末装置
における特別な処理や機構を要することもなく、またハ
イパーテキストをナビゲートする際に操作者が認証を意
識することもなく、透過的にユーザ認証によるアクセス
制御を実現できる。
【図1】本発明の本実施の形態のシステム構成を示すシ
ステム構成図
ステム構成図
【図2】本実施の形態における、各構成要素の動作手順
を示すシーケンス図であり、認証装置がアクセス可能な
URLとユーザID情報およびパスワード情報をパラメ
ータとして持つリンク情報を含むハイパーテキストを情
報端末装置に送信する場合の手順を示す図
を示すシーケンス図であり、認証装置がアクセス可能な
URLとユーザID情報およびパスワード情報をパラメ
ータとして持つリンク情報を含むハイパーテキストを情
報端末装置に送信する場合の手順を示す図
【図3】本実施の形態における各構成要素の動作手順を
示すシーケンス図であり、認証が成功してアクセスに成
功した場合の手順を示す図
示すシーケンス図であり、認証が成功してアクセスに成
功した場合の手順を示す図
【図4】本実施の形態における各構成要素の動作手順を
示すシーケンス図であり、認証が失敗してアクセスが失
敗に終わった場合の手順を示す図
示すシーケンス図であり、認証が失敗してアクセスが失
敗に終わった場合の手順を示す図
【図5】本実施の形態のシステムにおける認証装置の動
作フローチャート
作フローチャート
【図6】本実施の形態のシステムにおける認証装置に保
持されるアクセス制御テーブルを示す図
持されるアクセス制御テーブルを示す図
【図7】本実施の形態のシステムにおける認証装置に保
持されるパスワードテーブルを示す図
持されるパスワードテーブルを示す図
【図8】従来方式の第1の例のシステム構成を示すシス
テム構成図
テム構成図
【図9】従来方式の第1の例のサーバのフローチャート
【図10】従来方式の第2の例のシステム構成を示すシ
ステム構成図
ステム構成図
【図11】従来方式の第2の例のサーバのフローチャー
ト
ト
101 情報端末装置 102 電話網 103 ゲートウェイ装置 104 インターネット 105 サーバ 106 認証装置 601 アクセス制御テーブルURLカラム 602 アクセス制御テーブルユーザIDリストカラム 701 パスワードテーブルユーザIDカラム 702 パスワードテーブルパスワードカラム 801 情報端末装置 802 インターネット 803 サーバ 1001 情報端末装置 1002 電話網 1003 ゲートウェイ装置 1004 インターネット 1005 サーバ
Claims (5)
- 【請求項1】ハイパーテキストアクセス要求で要求され
たハイパーテキストを返送するサーバと、前記サーバの
ハイパーテキストを要求するためにID情報およびパス
ワード情報を付帯したハイパーテキストアクセス要求を
送信する端末装置と、ハイパーテキストアクセス要求で
要求されたハイパーテキストに対するアクセス権を有す
るか否かを判定し、アクセス権を有すると判定した場合
にはハイパーテキストアクセス要求を前記サーバに送信
し、前記サーバから返送されるハイパーテキスト中のリ
ンク先へのアクセスが自装置経由となるようにリンク情
報を書き換えて前記端末装置に返送し、前記ID情報お
よびパスワード情報を付帯したハイパーテキストアクセ
ス要求を送信するためのリンク情報を含んだハイパーテ
キストを前記端末装置に送信する認証装置から成るハイ
パーテキストアクセス制御システム。 - 【請求項2】端末装置が送信するID情報およびパスワ
ード情報を付帯したハイパーテキストアクセス要求を受
信するハイパーテキストアクセス要求受信手段と、ID
情報およびパスワード情報に基づいて前記端末装置がハ
イパーテキストアクセス要求で要求されるハイパーテキ
ストに対するアクセス権を有するか否かを判定する判定
手段と、アクセス権を有すると判断された場合にはハイ
パーテキストアクセス要求をサーバに送信するハイパー
テキストアクセス要求送信手段と、サーバから返送され
るハイパーテキスト中のリンク先へのアクセスが自装置
経由となるようにリンク情報を書き換えて前記端末装置
に返送するハイパーテキスト返送手段を有する認証装
置。 - 【請求項3】端末装置が送信するID情報およびパスワ
ード情報を付帯したハイパーテキストアクセス要求を受
信するハイパーテキストアクセス要求受信手段と、ID
情報およびパスワード情報に基づいて前記端末装置がハ
イパーテキストアクセス要求で要求されるハイパーテキ
ストに対するアクセス権を有するか否かを判定する判定
手段と、アクセス権を有すると判断された場合にはハイ
パーテキストアクセス要求をサーバに送信するハイパー
テキストアクセス要求送信手段と、サーバから返送され
るハイパーテキスト中のリンク先へのアクセスが自装置
経由となるようにリンク情報を書き換えて前記端末装置
に返送するハイパーテキスト返送手段から成るハイパー
テキストアクセス制御方式。 - 【請求項4】端末装置が要求するハイパーテキストにア
クセス権を持っているかどうかを認証装置が検査する際
に、ハイパーテキスト識別名とID情報の組で構成され
るアクセス許可テーブル情報を走査し、前記端末がアク
セスしようとするハイパーテキストに対応する前記アク
セス許可テーブル内ID情報のエントリに、前記端末か
ら送信されたID情報が含まれる場合、ID情報とパス
ワード情報の組で構成されるパスワードテーブル情報を
走査し、前記端末から送信されたID情報に対応する前
記パスワードテーブル内パスワード情報のエントリに、
前記端末から送信されたパスワード情報が含まれる時の
みアクセスを許可する請求項1に記載のハイパーテキス
トアクセス制御システム。 - 【請求項5】ハイパーテキスト識別名が階層的名前空間
を構成し、アクセス許可テーブル情報のハイパーテキス
ト識別名の代わりに上位階層の名前を指定することによ
って、前記上位階層に属するすべてのハイパーテキスト
のアクセスを許可することを特徴とする、請求項4に記
載のハイパーテキストアクセス制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000034718A JP2001222508A (ja) | 2000-02-14 | 2000-02-14 | 携帯電話端末からのイントラネットアクセス方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000034718A JP2001222508A (ja) | 2000-02-14 | 2000-02-14 | 携帯電話端末からのイントラネットアクセス方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001222508A true JP2001222508A (ja) | 2001-08-17 |
Family
ID=18559018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000034718A Pending JP2001222508A (ja) | 2000-02-14 | 2000-02-14 | 携帯電話端末からのイントラネットアクセス方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001222508A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005056096A (ja) * | 2003-08-01 | 2005-03-03 | Spicysoft Kk | 通信システム及び通信方法、並びにサーバ装置及び携帯電話端末機 |
| JP2012168795A (ja) * | 2011-02-15 | 2012-09-06 | Canon Inc | 情報処理システム、情報処理装置の制御方法、およびそのプログラム。 |
-
2000
- 2000-02-14 JP JP2000034718A patent/JP2001222508A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005056096A (ja) * | 2003-08-01 | 2005-03-03 | Spicysoft Kk | 通信システム及び通信方法、並びにサーバ装置及び携帯電話端末機 |
| JP2012168795A (ja) * | 2011-02-15 | 2012-09-06 | Canon Inc | 情報処理システム、情報処理装置の制御方法、およびそのプログラム。 |
| KR101449523B1 (ko) * | 2011-02-15 | 2014-10-13 | 캐논 가부시끼가이샤 | 정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체 |
| US8938789B2 (en) | 2011-02-15 | 2015-01-20 | Canon Kabushiki Kaisha | Information processing system, method for controlling information processing system, and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106131079B (zh) | 一种认证方法、系统及代理服务器 | |
| EP3525415B1 (en) | Information processing system and control method therefor | |
| KR100702421B1 (ko) | 웹 기반의 교차 도메인 단일 사용 승인의 인증 방법 및시스템 | |
| JP4362132B2 (ja) | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 | |
| JP3526435B2 (ja) | ネットワークシステム | |
| CN1833228B (zh) | 用于实现远程客户端完整性验证的设备、系统、方法 | |
| KR20000016949A (ko) | 이동성장치의국소서비스에대한액세스제어를제공하기위한방법및장치 | |
| JP2005538434A (ja) | 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム | |
| JP2011175394A (ja) | シングル・サインオン・システムを構成するウェブ・サーバならびにその動作制御方法およびその動作制御プログラム | |
| WO2011037226A1 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| JPWO2002048893A1 (ja) | ユーザ認証を行うための方法及び装置 | |
| JP2004310734A (ja) | Web及びアイコンを利用した遠隔制御システム | |
| JP2003242115A (ja) | Http認証方法およびサーバ装置 | |
| JP2004295166A (ja) | リモートアクセスシステムおよびリモートアクセス方法 | |
| JP2001222508A (ja) | 携帯電話端末からのイントラネットアクセス方式 | |
| JP2000330939A (ja) | 通信網におけるハイパーテキストアクセス制御方法 | |
| JP2006235743A (ja) | アクセス制御装置、アクセス制御方法およびプログラム | |
| Cisco | Distinguished Name Based Crypto Maps | |
| Cisco | Ability to Disable Xauth for Static IPSec Peers | |
| JP2005328373A (ja) | ネットワークセキュリティシステム | |
| JP2018206087A (ja) | 情報処理装置及び情報処理プログラム | |
| JP4837060B2 (ja) | 認証装置及びプログラム | |
| JP2001265677A (ja) | 通信網におけるハイパーテキストアクセス制御方式 | |
| Lear et al. | A Simple Authentication and Security Layer (SASL) and Generic Security Service Application Program Interface (GSS-API) Mechanism for OpenID | |
| JP7017197B2 (ja) | 情報処理システム、情報処理方法、及び情報処理プログラム |