JP2003330886A - ネットワーク処理装置 - Google Patents
ネットワーク処理装置Info
- Publication number
- JP2003330886A JP2003330886A JP2002134679A JP2002134679A JP2003330886A JP 2003330886 A JP2003330886 A JP 2003330886A JP 2002134679 A JP2002134679 A JP 2002134679A JP 2002134679 A JP2002134679 A JP 2002134679A JP 2003330886 A JP2003330886 A JP 2003330886A
- Authority
- JP
- Japan
- Prior art keywords
- client
- server
- communication
- user
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 サーバのプログラムを変更することなく、複
数のサーバに対する認証やユーザ追跡を一元的に行うこ
とのできるネットワーク処理装置を提供する。 【解決手段】 対クライエント通信手段40が、クライ
エントからの通信データを受け取ると、これを解析手段
44に渡す。解析手段44は、この通信データがウエブ
サーバにおいてどのように解釈されるかをシミュレート
して、その通信内容を解析する。認証手段46は、解析
された通信内容に基づいて、当該アクセス要求を行った
ユーザの一元的認証が済んでいなければ、一元的認証を
行った後、前記通信データをウエブサーバに転送する。
数のサーバに対する認証やユーザ追跡を一元的に行うこ
とのできるネットワーク処理装置を提供する。 【解決手段】 対クライエント通信手段40が、クライ
エントからの通信データを受け取ると、これを解析手段
44に渡す。解析手段44は、この通信データがウエブ
サーバにおいてどのように解釈されるかをシミュレート
して、その通信内容を解析する。認証手段46は、解析
された通信内容に基づいて、当該アクセス要求を行った
ユーザの一元的認証が済んでいなければ、一元的認証を
行った後、前記通信データをウエブサーバに転送する。
Description
【0001】
【発明の技術分野】この発明は、ネットワークにおける
ユーザの一元管理に関するものであり、特に、ユーザの
一元的認証、一元的追跡に関するものである。
ユーザの一元管理に関するものであり、特に、ユーザの
一元的認証、一元的追跡に関するものである。
【0002】
【従来の技術および課題】インターネットなどの多くの
ウエブサーバにおいては、クライエント(端末)からア
クセスするユーザの認証を行っている。たとえば、アク
セスの開始時に、ユーザIDとパスワードを入力させる
認証方法が知られている。予めユーザが登録してあるユ
ーザIDとパスワードをウエブサーバ側に記録してお
き、入力されたユーザIDとパスワードに合致すれば、
正当なユーザであると判断するものである。
ウエブサーバにおいては、クライエント(端末)からア
クセスするユーザの認証を行っている。たとえば、アク
セスの開始時に、ユーザIDとパスワードを入力させる
認証方法が知られている。予めユーザが登録してあるユ
ーザIDとパスワードをウエブサーバ側に記録してお
き、入力されたユーザIDとパスワードに合致すれば、
正当なユーザであると判断するものである。
【0003】このようなユーザ認証を行うことにより、
予め登録したユーザだけにアクセスを制限したり、現在
アクセスを行っているユーザを特定してその行動を追跡
したりすることができる。
予め登録したユーザだけにアクセスを制限したり、現在
アクセスを行っているユーザを特定してその行動を追跡
したりすることができる。
【0004】ところが、ユーザにとっては、異なるウエ
ブサーバにアクセスする毎にユーザIDとパスワードを
入力せねばならず煩雑であった。そこで、複数のウエブ
サーバが互いにユーザ情報を共有して、ユーザ認証等を
一元化することも行われている。
ブサーバにアクセスする毎にユーザIDとパスワードを
入力せねばならず煩雑であった。そこで、複数のウエブ
サーバが互いにユーザ情報を共有して、ユーザ認証等を
一元化することも行われている。
【0005】しかし、これを実現するためには、ウエブ
サーバに情報共有化のための処理を行わせねばならず、
ウエブサーバを特別な仕様にて作成しなければならない
という問題を生じる。
サーバに情報共有化のための処理を行わせねばならず、
ウエブサーバを特別な仕様にて作成しなければならない
という問題を生じる。
【0006】これを解決するため、図39に示すような
システムが用いられている。各ウエブサーバ6、8、1
0に、ユーザ認証用のプラグインプログラム12を組み
込むようにしている。このユーザ認証用プログラム12
は、ユーザの一元管理情報14にアクセスしてユーザ認
証等を行う。いずれのウエブサーバからも、プラグイン
プログラム12を介してユーザの一元管理情報14を見
ることができる。したがって、アクセスするウエブサー
バが変わっても、ユーザ認証を再度行う必要はない。
システムが用いられている。各ウエブサーバ6、8、1
0に、ユーザ認証用のプラグインプログラム12を組み
込むようにしている。このユーザ認証用プログラム12
は、ユーザの一元管理情報14にアクセスしてユーザ認
証等を行う。いずれのウエブサーバからも、プラグイン
プログラム12を介してユーザの一元管理情報14を見
ることができる。したがって、アクセスするウエブサー
バが変わっても、ユーザ認証を再度行う必要はない。
【0007】図39の例によれば、一元管理用のプログ
ラムをプラグインにしているので、ウエブサーバ本体
は、このシステムのために特別な仕様とする必要がな
い。しかし、プラグインプログラム12を組み込んでい
ないウエブサーバに対する一元管理を行うことはできな
い。つまり、従来のウエブサーバとの互換性を保ちつ
つ、ユーザの一元管理を行うことはできなかった。
ラムをプラグインにしているので、ウエブサーバ本体
は、このシステムのために特別な仕様とする必要がな
い。しかし、プラグインプログラム12を組み込んでい
ないウエブサーバに対する一元管理を行うことはできな
い。つまり、従来のウエブサーバとの互換性を保ちつ
つ、ユーザの一元管理を行うことはできなかった。
【0008】また、図40に示すように、リバースプロ
キシー4を用いて、複数のウエブサーバに対して、一元
的なユーザ認証を実現する方法もある。このシステムで
は、クライエント2は、いずれのウエブサーバ6、8、
10にアクセスする場合であっても、リバースプロキシ
ー4にアクセスするようにしている。また、ユーザの認
証は、リバースプロキシー4が一元的に行うようにして
いる。したがって、アクセスするウエブサーバが変わっ
ても、再度ユーザ認証を行う必要はない。
キシー4を用いて、複数のウエブサーバに対して、一元
的なユーザ認証を実現する方法もある。このシステムで
は、クライエント2は、いずれのウエブサーバ6、8、
10にアクセスする場合であっても、リバースプロキシ
ー4にアクセスするようにしている。また、ユーザの認
証は、リバースプロキシー4が一元的に行うようにして
いる。したがって、アクセスするウエブサーバが変わっ
ても、再度ユーザ認証を行う必要はない。
【0009】図40のシステムの動作は、以下のとおり
である。ウエブサーバ6(http://www.a.com)にアクセ
スする場合には、リバースプロキシー4に対してhttp:/
/www.x.com/a.comのURLにてアクセスする。この最
初のアクセスにおいて、リバースプロキシー4がクライ
エント2に対してユーザ認証を要求する。ユーザ認証
終了後、リバースプロキシー4は、クライエントから送
られてきたURLの"/"以下のサーバ特定部分(ここで
は、/a.com)を参照して、サーバのURLを生成する。
つまり、http://www.x.com/a.comを、http://www.a.com
に変換する。リバースプロキシー4は、この変換した
URL(http://www.a.com)を用いてウエブサーバ6に
アクセスする。
である。ウエブサーバ6(http://www.a.com)にアクセ
スする場合には、リバースプロキシー4に対してhttp:/
/www.x.com/a.comのURLにてアクセスする。この最
初のアクセスにおいて、リバースプロキシー4がクライ
エント2に対してユーザ認証を要求する。ユーザ認証
終了後、リバースプロキシー4は、クライエントから送
られてきたURLの"/"以下のサーバ特定部分(ここで
は、/a.com)を参照して、サーバのURLを生成する。
つまり、http://www.x.com/a.comを、http://www.a.com
に変換する。リバースプロキシー4は、この変換した
URL(http://www.a.com)を用いてウエブサーバ6に
アクセスする。
【0010】ウエブサーバ6は、これに応じて、HT
MLコンテンツをリバースプロキシー4に返信する。
リバースプロキシー4は、このHTMLコンテンツ中
に含まれているリンク先URLを見いだして変換を施し
た後、クライエントに転送する。たとえば、ウエブサー
バ6からのHTML中に、http://www.b.comというリン
ク記述があれば、これを、http://www.x.com/b.comに変
換する。
MLコンテンツをリバースプロキシー4に返信する。
リバースプロキシー4は、このHTMLコンテンツ中
に含まれているリンク先URLを見いだして変換を施し
た後、クライエントに転送する。たとえば、ウエブサー
バ6からのHTML中に、http://www.b.comというリン
ク記述があれば、これを、http://www.x.com/b.comに変
換する。
【0011】クライエント2において、このリンクがク
リックされて、http://www.x.com/b.comがリバースプロ
キシー4に送られてくると、リバースプロキシー4は、
上記と同様にして、これをhttp://www.b.comに変換す
る。したがって、ウエブサーバ8にアクセスが行われ
る。なお、このようにアクセス先のウエブサーバが変わ
っても、リバースプロキシー4はすでにユーザ認証を行
っているので、再度ユーザ認証を求める必要がない。
リックされて、http://www.x.com/b.comがリバースプロ
キシー4に送られてくると、リバースプロキシー4は、
上記と同様にして、これをhttp://www.b.comに変換す
る。したがって、ウエブサーバ8にアクセスが行われ
る。なお、このようにアクセス先のウエブサーバが変わ
っても、リバースプロキシー4はすでにユーザ認証を行
っているので、再度ユーザ認証を求める必要がない。
【0012】以上のようにして、全てのアクセスをリバ
ースプロキシー4を通して行うことができるので、ユー
ザ認証やユーザの行動追跡等について一元的な管理を行
うことができる。
ースプロキシー4を通して行うことができるので、ユー
ザ認証やユーザの行動追跡等について一元的な管理を行
うことができる。
【0013】このシステムにおいては、ウエブサーバを
特別の仕様とすることなく一元管理を実現している。つ
まり、ウエブサーバのコンテンツ中に記述されたリンク
URLを、リバースプロキシー4が変換して、クライエ
ント2に送信するようにしている。これにより、従来の
ウエブサーバをそのまま変更することなく用いることが
できるという点において優れている。
特別の仕様とすることなく一元管理を実現している。つ
まり、ウエブサーバのコンテンツ中に記述されたリンク
URLを、リバースプロキシー4が変換して、クライエ
ント2に送信するようにしている。これにより、従来の
ウエブサーバをそのまま変更することなく用いることが
できるという点において優れている。
【0014】しかしながら、コンテンツがJAVA(登
録商標)スクリプトなどを含む場合には誤動作を生じる
可能性がある。たとえば、ウエブサーバのコンテンツに
JAVAスクリプトが含まれており、クライエント2側
において、このJAVAスクリプトに基づいてURLを
生成する場合がある。この場合には、クライエント2に
おいて生成されたURLは、リバースプロキシー4によ
って変換されたものではないので、正しいリンク先にア
クセスできなくなるという問題を生じる。
録商標)スクリプトなどを含む場合には誤動作を生じる
可能性がある。たとえば、ウエブサーバのコンテンツに
JAVAスクリプトが含まれており、クライエント2側
において、このJAVAスクリプトに基づいてURLを
生成する場合がある。この場合には、クライエント2に
おいて生成されたURLは、リバースプロキシー4によ
って変換されたものではないので、正しいリンク先にア
クセスできなくなるという問題を生じる。
【0015】つまり、図40のシステムにおいても、J
AVAスクリプトなどを考慮すれば、従来のウエブサー
バとの互換性がない。
AVAスクリプトなどを考慮すれば、従来のウエブサー
バとの互換性がない。
【0016】この発明は上記のような問題点を解決し
て、従来のウエブサーバ仕様との高い互換性を維持しつ
つ、ユーザの一元管理を行うことのできるシステムを提
供することを目的とする。
て、従来のウエブサーバ仕様との高い互換性を維持しつ
つ、ユーザの一元管理を行うことのできるシステムを提
供することを目的とする。
【0017】
【課題を解決するための手段】(1)(2)(3)この発明のネ
ットワーク処理装置は、通信路によって通信可能な1以
上のクライエントと複数のサーバとの間に設けられたネ
ットワーク処理装置であって、クライエントとの通信路
に結合され、クライエントとの間での通信データのやり
とりを行う対クライエント通信手段と、サーバとの通信
路に結合され、サーバとの間での通信データのやりとり
を行う対サーバ通信手段と、対クライエント通信手段に
よってクライエントから受信した通信データを、対サー
バ通信手段によってサーバに転送し、対サーバ通信手段
によってサーバから受信した通信データを、対クライエ
ント通信手段によってクライエントに転送する処理手段
とを備えており、前記処理手段は、受信した通信データ
の通信内容を解析する解析手段と、通信内容が、クライ
エントからいずれかのサーバに向けたアクセス要求であ
れば、当該アクセス要求を行ったユーザの一元的認証が
済んでいるか否かを判断し;一元的認証済でなければ、
当該クライエントとの間で一元的認証処理を行い;一元
的認証済であれば、前記アクセス要求を前記サーバに転
送する認証手段とを備えていることを特徴としている。
ットワーク処理装置は、通信路によって通信可能な1以
上のクライエントと複数のサーバとの間に設けられたネ
ットワーク処理装置であって、クライエントとの通信路
に結合され、クライエントとの間での通信データのやり
とりを行う対クライエント通信手段と、サーバとの通信
路に結合され、サーバとの間での通信データのやりとり
を行う対サーバ通信手段と、対クライエント通信手段に
よってクライエントから受信した通信データを、対サー
バ通信手段によってサーバに転送し、対サーバ通信手段
によってサーバから受信した通信データを、対クライエ
ント通信手段によってクライエントに転送する処理手段
とを備えており、前記処理手段は、受信した通信データ
の通信内容を解析する解析手段と、通信内容が、クライ
エントからいずれかのサーバに向けたアクセス要求であ
れば、当該アクセス要求を行ったユーザの一元的認証が
済んでいるか否かを判断し;一元的認証済でなければ、
当該クライエントとの間で一元的認証処理を行い;一元
的認証済であれば、前記アクセス要求を前記サーバに転
送する認証手段とを備えていることを特徴としている。
【0018】すなわち、転送処理を基本とし、当該転送
処理を行う際に一元的認証を併せて行うようにしてい
る。したがって、従来のサーバの仕様を変更することな
く、一元的認証を実現することができる。
処理を行う際に一元的認証を併せて行うようにしてい
る。したがって、従来のサーバの仕様を変更することな
く、一元的認証を実現することができる。
【0019】(4)この発明のネットワーク処理装置は、
認証手段が、前記通信内容が、クライエントからいずれ
かのサーバに向けたアクセス要求であれば、当該アクセ
ス要求を行ったユーザの一元的認証が済んでいるか否か
を判断し;一元的認証済でなければ、前記アクセス要求
を前記サーバへ直ちに転送せず保持しておき、当該クラ
イエントとの間で一元的認証処理を行った後、前記アク
セス要求を前記サーバに転送し;一元的認証済であれ
ば、前記アクセス要求を前記サーバに転送することを特
徴としている。
認証手段が、前記通信内容が、クライエントからいずれ
かのサーバに向けたアクセス要求であれば、当該アクセ
ス要求を行ったユーザの一元的認証が済んでいるか否か
を判断し;一元的認証済でなければ、前記アクセス要求
を前記サーバへ直ちに転送せず保持しておき、当該クラ
イエントとの間で一元的認証処理を行った後、前記アク
セス要求を前記サーバに転送し;一元的認証済であれ
ば、前記アクセス要求を前記サーバに転送することを特
徴としている。
【0020】したがって、本ネットワーク処理装置によ
り、転送処理の中で一元的認証を実行することができ
る。
り、転送処理の中で一元的認証を実行することができ
る。
【0021】(5)この発明のネットワーク処理装置は、
認証手段は、前記通信内容が、クライエントからいずれ
かのサーバに向けたアクセス要求であれば、当該アクセ
ス要求を行ったユーザの一元的認証が済んでいるか否か
を判断し;一元的認証済でなければ、前記アクセス要求
を前記サーバへ転送して、当該サーバから送信されてく
る個別認証要求をクライエントに転送して個別認証を行
い、当該個別認証を一元的認証として利用することを特
徴としている。
認証手段は、前記通信内容が、クライエントからいずれ
かのサーバに向けたアクセス要求であれば、当該アクセ
ス要求を行ったユーザの一元的認証が済んでいるか否か
を判断し;一元的認証済でなければ、前記アクセス要求
を前記サーバへ転送して、当該サーバから送信されてく
る個別認証要求をクライエントに転送して個別認証を行
い、当該個別認証を一元的認証として利用することを特
徴としている。
【0022】したがって、サーバからの個別認証要求を
一元的認証として利用することができる。
一元的認証として利用することができる。
【0023】(6)この発明のネットワーク処理装置は、
認証手段が、クライエントとの通信において、クライエ
ント追跡用識別子を付与して通信データを送信し、クラ
イエントからの通信データに含まれるクライエント追跡
用識別子に基づいて、ユーザを特定することを特徴とし
ている。
認証手段が、クライエントとの通信において、クライエ
ント追跡用識別子を付与して通信データを送信し、クラ
イエントからの通信データに含まれるクライエント追跡
用識別子に基づいて、ユーザを特定することを特徴とし
ている。
【0024】したがって、各ユーザを区別してその行動
を追跡することができる。
を追跡することができる。
【0025】(7)この発明のネットワーク処理装置は、
認証手段が、通信データ中のセッションIDを利用し
て、クライエント追跡用識別子を、クライエントとの間
でやりとりすることを特徴としている。
認証手段が、通信データ中のセッションIDを利用し
て、クライエント追跡用識別子を、クライエントとの間
でやりとりすることを特徴としている。
【0026】したがって、容易にクライエント追跡用識
別子のやりとりを行うことができる。
別子のやりとりを行うことができる。
【0027】(8)この発明のネットワーク処理装置は、
認証手段が、クライエントがセッションIDのやりとり
に対応していない場合には、通信データ中のリンクアド
レスにクライエント追跡用識別子を埋め込んで偽アドレ
スとしてクライエントに送信し、これに対するクライエ
ントからの偽アドレスに対するアクセス要求を受ける
と、当該偽アドレスからクライエント追跡用識別子を抽
出するとともに、正しいアドレスを復元することを特徴
とするもの。
認証手段が、クライエントがセッションIDのやりとり
に対応していない場合には、通信データ中のリンクアド
レスにクライエント追跡用識別子を埋め込んで偽アドレ
スとしてクライエントに送信し、これに対するクライエ
ントからの偽アドレスに対するアクセス要求を受ける
と、当該偽アドレスからクライエント追跡用識別子を抽
出するとともに、正しいアドレスを復元することを特徴
とするもの。
【0028】したがって、セッションIDのやりとりに
対応していないクライエントとの間においても、クライ
エント追跡用識別子をやりとりすることができる。
対応していないクライエントとの間においても、クライ
エント追跡用識別子をやりとりすることができる。
【0029】(9)この発明のネットワーク処理装置は、
認証手段が、前記クライエント追跡用識別子を伴わない
クライエントからのアクセス要求を受信した場合であっ
て、当該アクセス要求の通信データに前回のアクセス先
サーバが記述されていない場合には、一元的認証が済ん
でいないと判断することを特徴としている。
認証手段が、前記クライエント追跡用識別子を伴わない
クライエントからのアクセス要求を受信した場合であっ
て、当該アクセス要求の通信データに前回のアクセス先
サーバが記述されていない場合には、一元的認証が済ん
でいないと判断することを特徴としている。
【0030】したがって、容易かつ確実に一元的認証の
有無を判断することができる。
有無を判断することができる。
【0031】(10)この発明のネットワーク処理装置は、
認証手段が、前記アクセス要求の転送先であるサーバか
ら、個別認証要求を受けた場合、当該ユーザの一元的認
証が済んでいれば、当該個別認証要求をクライエント装
置に転送せず、当該サーバとの間で個別認証処理を行う
ことを特徴としている。
認証手段が、前記アクセス要求の転送先であるサーバか
ら、個別認証要求を受けた場合、当該ユーザの一元的認
証が済んでいれば、当該個別認証要求をクライエント装
置に転送せず、当該サーバとの間で個別認証処理を行う
ことを特徴としている。
【0032】したがって、ユーザに対して個別認証要求
を意識させることなく、サーバに対する個別認証を実行
することができる。
を意識させることなく、サーバに対する個別認証を実行
することができる。
【0033】(11)この発明のネットワーク処理装置は、
少なくとも個別認証に必要な情報を各ユーザごとに記録
したユーザ情報記録部を備えており、認証手段は、前記
一元的認証処理の際に、前記クライエント追跡用識別子
とユーザとを関連づけておき、前記個別認証処理の際
に、前記クライエント追跡用識別子に基づいて特定した
ユーザについて、ユーザ情報記録部から個別認証に必要
な情報を取得して用いることを特徴としている。
少なくとも個別認証に必要な情報を各ユーザごとに記録
したユーザ情報記録部を備えており、認証手段は、前記
一元的認証処理の際に、前記クライエント追跡用識別子
とユーザとを関連づけておき、前記個別認証処理の際
に、前記クライエント追跡用識別子に基づいて特定した
ユーザについて、ユーザ情報記録部から個別認証に必要
な情報を取得して用いることを特徴としている。
【0034】したがって、ユーザから個別認証のために
必要なユーザ情報をその都度、送信してもらう必要がな
い。
必要なユーザ情報をその都度、送信してもらう必要がな
い。
【0035】(12)この発明のネットワーク処理装置は、
認証手段が、サーバによって付与されるサーバ追跡用識
別子を返信することにより、サーバにいずれからの通信
であるかを特定させることを特徴としている。
認証手段が、サーバによって付与されるサーバ追跡用識
別子を返信することにより、サーバにいずれからの通信
であるかを特定させることを特徴としている。
【0036】したがって、通信データの区別を容易に行
うことができる。
うことができる。
【0037】(13)この発明のネットワーク処理装置は、
処理手段が、同一のユーザについてのクライエント追跡
用識別子と、サーバ追跡用識別子とを対応づけて記憶
し、前記クライエントからの通信データに含まれるクラ
イエント追跡用識別子を、対応するサーバ追跡用識別子
に書き換えて転送し、前記サーバからの通信データに含
まれるサーバ追跡用識別子を、対応するクライエント追
跡用識別子に書き換えて転送する転送手段をさらに備え
ていることを特徴としている。
処理手段が、同一のユーザについてのクライエント追跡
用識別子と、サーバ追跡用識別子とを対応づけて記憶
し、前記クライエントからの通信データに含まれるクラ
イエント追跡用識別子を、対応するサーバ追跡用識別子
に書き換えて転送し、前記サーバからの通信データに含
まれるサーバ追跡用識別子を、対応するクライエント追
跡用識別子に書き換えて転送する転送手段をさらに備え
ていることを特徴としている。
【0038】したがって、転送を行いつつ、各ユーザを
区別してそのアクセス先を知ることができる。
区別してそのアクセス先を知ることができる。
【0039】(14)この発明のネットワーク処理装置は、
転送手段が、前記クライエントからの通信データを受け
ると、クライエント追跡用識別子に基づいてユーザを特
定し、ユーザ情報記録部から、アクセス要求先のサーバ
についての当該ユーザの認証情報を読み出し、当該認証
情報を、そのままもしくは暗号化して通信データに付加
し、サーバに転送することを特徴としている。
転送手段が、前記クライエントからの通信データを受け
ると、クライエント追跡用識別子に基づいてユーザを特
定し、ユーザ情報記録部から、アクセス要求先のサーバ
についての当該ユーザの認証情報を読み出し、当該認証
情報を、そのままもしくは暗号化して通信データに付加
し、サーバに転送することを特徴としている。
【0040】したがって、サーバがこの認証情報を用い
て、認証を行うことが可能となる。
て、認証を行うことが可能となる。
【0041】(15)この発明のネットワーク処理装置は、
認証手段が、前記クライエント追跡用識別子を伴わない
クライエントからのアクセス要求を受信した場合であっ
て、当該アクセス要求の通信データに前回のアクセス先
サーバが記述されている場合には、当該アクセス要求を
一時保持しておき、クライエントに対して、前回のアク
セス先サーバに対する偽アクセス要求を送信するように
要求し、当該要求に応じて送信されてきた偽アクセス要
求の通信データから、クライエント追跡用識別子を取得
するとともに、当該偽アクセス要求をサーバに転送せず
破棄し、取得したクライエント追跡用識別子に基づいて
ユーザを特定することを特徴としている。
認証手段が、前記クライエント追跡用識別子を伴わない
クライエントからのアクセス要求を受信した場合であっ
て、当該アクセス要求の通信データに前回のアクセス先
サーバが記述されている場合には、当該アクセス要求を
一時保持しておき、クライエントに対して、前回のアク
セス先サーバに対する偽アクセス要求を送信するように
要求し、当該要求に応じて送信されてきた偽アクセス要
求の通信データから、クライエント追跡用識別子を取得
するとともに、当該偽アクセス要求をサーバに転送せず
破棄し、取得したクライエント追跡用識別子に基づいて
ユーザを特定することを特徴としている。
【0042】したがって、アクセス先のサーバが変わっ
た場合に、クライエント追跡用識別子を返信してこない
クライエントからの通信データに対しても、クライエン
ト追跡用識別子を付加して転送することができる。
た場合に、クライエント追跡用識別子を返信してこない
クライエントからの通信データに対しても、クライエン
ト追跡用識別子を付加して転送することができる。
【0043】(16)この発明のネットワーク処理装置は、
解析手段が、クライエントまたはサーバのアプリケーシ
ョンの処理をシミュレートして、通信データの通信内容
を解析することを特徴としている。
解析手段が、クライエントまたはサーバのアプリケーシ
ョンの処理をシミュレートして、通信データの通信内容
を解析することを特徴としている。
【0044】したがって、クライエントまたはサーバに
おいて解釈されるデータの内容を予測して処理を行うこ
とができる。
おいて解釈されるデータの内容を予測して処理を行うこ
とができる。
【0045】(17)この発明のネットワーク処理装置は、
解析手段が、前記シミュレートの結果、通信内容にエラ
ーがあると判断した場合には、当該通信データを転送せ
ず、再送要求を送信することを特徴としている。
解析手段が、前記シミュレートの結果、通信内容にエラ
ーがあると判断した場合には、当該通信データを転送せ
ず、再送要求を送信することを特徴としている。
【0046】したがって、無駄な通信データの転送を省
いて、効率のよい通信を行うことができる。
いて、効率のよい通信を行うことができる。
【0047】(18)この発明のネットワーク処理装置は、
対サーバ通信手段が、前記複数のサーバに対して、個別
の通信路によって接続されており、処理手段が、クライ
エントからの通信データを、所望のサーバに対する通信
路を選択して送信する選択手段を備えていることを特徴
としている。
対サーバ通信手段が、前記複数のサーバに対して、個別
の通信路によって接続されており、処理手段が、クライ
エントからの通信データを、所望のサーバに対する通信
路を選択して送信する選択手段を備えていることを特徴
としている。
【0048】したがって、本装置により、ルーティング
の処理もあわせて行うことができる。
の処理もあわせて行うことができる。
【0049】(19)この発明のネットワーク転送方法は、
クライエントから受信した通信データをサーバに転送
し、サーバから受信した通信データをクライエントに転
送するネットワーク転送方法において、上記転送処理時
に、受信した通信データの通信内容を解析し、通信内容
が、クライエントからいずれかのサーバに向けたアクセ
ス要求であれば、当該アクセス要求を行ったユーザの一
元的認証が済んでいるか否かを判断し;一元的認証済で
なければ、当該クライエントとの間で一元的認証処理を
行い;一元的認証済であれば、前記アクセス要求を前記
サーバに転送することを特徴としている。
クライエントから受信した通信データをサーバに転送
し、サーバから受信した通信データをクライエントに転
送するネットワーク転送方法において、上記転送処理時
に、受信した通信データの通信内容を解析し、通信内容
が、クライエントからいずれかのサーバに向けたアクセ
ス要求であれば、当該アクセス要求を行ったユーザの一
元的認証が済んでいるか否かを判断し;一元的認証済で
なければ、当該クライエントとの間で一元的認証処理を
行い;一元的認証済であれば、前記アクセス要求を前記
サーバに転送することを特徴としている。
【0050】すなわち、転送処理を基本とし、当該転送
処理を行う際に一元的認証を併せて行うようにしてい
る。したがって、従来のサーバの仕様を変更することな
く、一元的認証を実現することができる。
処理を行う際に一元的認証を併せて行うようにしてい
る。したがって、従来のサーバの仕様を変更することな
く、一元的認証を実現することができる。
【0051】(20)(21)(22)この発明のネットワーク処理
装置は、通信路によって通信可能な1以上のクライエン
トと複数のサーバとの間に設けられたネットワーク処理
装置であって、クライエントとの通信路に結合され、ク
ライエントとの間での通信データのやりとりを行う対ク
ライエント通信手段と、サーバとの通信路に結合され、
サーバとの間での通信データのやりとりを行う対サーバ
通信手段と、対クライエント通信手段によってクライエ
ントから受信した通信データを、対サーバ通信手段によ
ってサーバに転送し、対サーバ通信手段によってサーバ
から受信した通信データを、対クライエント通信手段に
よってクライエントに転送する処理手段とを備えてお
り、前記処理手段は、セッションを識別するためにクラ
イエントとの間の通信データに記述されるクライエント
追跡用識別子と、何れのサーバからの通信であるかを特
定するためのサーバ特定用データとを、同一のユーザに
ついて対応づけて記憶することを特徴としている。
装置は、通信路によって通信可能な1以上のクライエン
トと複数のサーバとの間に設けられたネットワーク処理
装置であって、クライエントとの通信路に結合され、ク
ライエントとの間での通信データのやりとりを行う対ク
ライエント通信手段と、サーバとの通信路に結合され、
サーバとの間での通信データのやりとりを行う対サーバ
通信手段と、対クライエント通信手段によってクライエ
ントから受信した通信データを、対サーバ通信手段によ
ってサーバに転送し、対サーバ通信手段によってサーバ
から受信した通信データを、対クライエント通信手段に
よってクライエントに転送する処理手段とを備えてお
り、前記処理手段は、セッションを識別するためにクラ
イエントとの間の通信データに記述されるクライエント
追跡用識別子と、何れのサーバからの通信であるかを特
定するためのサーバ特定用データとを、同一のユーザに
ついて対応づけて記憶することを特徴としている。
【0052】したがって、転送を行いつつ、各ユーザを
区別してその行動を知ることができる。
区別してその行動を知ることができる。
【0053】(23)この発明のネットワーク処理装置は、
処理手段が、さらに、サーバからの通信データに含まれ
るサーバ追跡用識別子を、同一のユーザについて、前記
クライエント追跡用識別子に対応付けて記憶し、クライ
エントからの通信データに含まれるクライエント追跡用
識別子を、対応するサーバ追跡用識別子に書き換えて転
送し、前記サーバからの通信データに含まれるサーバ追
跡用識別子を、対応するクライエント追跡用識別子に書
き換えて転送する転送手段を備えていることを特徴とし
ている。
処理手段が、さらに、サーバからの通信データに含まれ
るサーバ追跡用識別子を、同一のユーザについて、前記
クライエント追跡用識別子に対応付けて記憶し、クライ
エントからの通信データに含まれるクライエント追跡用
識別子を、対応するサーバ追跡用識別子に書き換えて転
送し、前記サーバからの通信データに含まれるサーバ追
跡用識別子を、対応するクライエント追跡用識別子に書
き換えて転送する転送手段を備えていることを特徴とし
ている。
【0054】したがって、サーバ側でのユーザの識別に
支障を与えないように、データ転送を実現することがで
きる。
支障を与えないように、データ転送を実現することがで
きる。
【0055】(24)この発明のネットワーク処理装置は、
転送手段が、通信データ中のセッションIDを利用し
て、クライエント追跡用識別子を、クライエントとの間
でやりとりすることを特徴としている。
転送手段が、通信データ中のセッションIDを利用し
て、クライエント追跡用識別子を、クライエントとの間
でやりとりすることを特徴としている。
【0056】したがって、簡易かつ確実にクライエント
追跡用識別子のやりとりを行うことができる。
追跡用識別子のやりとりを行うことができる。
【0057】(25)この発明のネットワーク処理装置は、
転送手段が、通信データ中のリンクアドレスにクライエ
ント追跡用識別子を埋め込んで偽アドレスとしてクライ
エントに送信し、これに対するクライエントからの偽ア
ドレスに対するアクセス要求を受けると、当該偽アドレ
スからクライエント追跡用識別子を抽出するとともに、
正しいアドレスを復元することを特徴としている。
転送手段が、通信データ中のリンクアドレスにクライエ
ント追跡用識別子を埋め込んで偽アドレスとしてクライ
エントに送信し、これに対するクライエントからの偽ア
ドレスに対するアクセス要求を受けると、当該偽アドレ
スからクライエント追跡用識別子を抽出するとともに、
正しいアドレスを復元することを特徴としている。
【0058】したがって、セッションIDのやりとりに
対応していないクライエントとの間においても、クライ
エント追跡用識別子をやりとりすることができる。
対応していないクライエントとの間においても、クライ
エント追跡用識別子をやりとりすることができる。
【0059】(26)この発明のネットワーク処理装置は、
処理手段が、通信データに記述されているクライエント
追跡用識別子またはサーバ追跡用識別子に基づいてユー
ザを特定し、当該ユーザのアクセス状況を記録するアク
セス記録手段を備えていることを特徴とするもの。
処理手段が、通信データに記述されているクライエント
追跡用識別子またはサーバ追跡用識別子に基づいてユー
ザを特定し、当該ユーザのアクセス状況を記録するアク
セス記録手段を備えていることを特徴とするもの。
【0060】したがって、各ユーザを区別しつつ、その
アクセス状況を記録することができる。
アクセス状況を記録することができる。
【0061】(27)この発明のネットワーク転送方法は、
クライエントから受信した通信データを複数のサーバの
いずれかに転送し、複数のサーバのいずれかから受信し
た通信データをクライエントに転送するネットワーク転
送方法において、上記転送処理時に、セッションを識別
するためにクライエントとの間の通信データに記述され
るクライエント追跡用識別子と、何れのサーバからの通
信であるかを特定するためのサーバ特定用データとを、
同一のユーザについて対応づけて記憶し、クライエント
とサーバとの対応関係を把握することを特徴としてい
る。
クライエントから受信した通信データを複数のサーバの
いずれかに転送し、複数のサーバのいずれかから受信し
た通信データをクライエントに転送するネットワーク転
送方法において、上記転送処理時に、セッションを識別
するためにクライエントとの間の通信データに記述され
るクライエント追跡用識別子と、何れのサーバからの通
信であるかを特定するためのサーバ特定用データとを、
同一のユーザについて対応づけて記憶し、クライエント
とサーバとの対応関係を把握することを特徴としてい
る。
【0062】したがって、転送を行いつつ、各ユーザを
区別してその行動を知ることができる。
区別してその行動を知ることができる。
【0063】(28)(29)(30)この発明のネットワーク処理
装置は、複数のクライエントと複数のサーバとの間の通
信を、各ユーザを特定しつつ監視するネットワーク処理
装置であって、当該ネットワーク装置はアドレスを有し
ておらず、クライエントとサーバとの間の通信を転送す
るものであり、当該転送時に、クライエントまたはサー
バの機能の少なくとも一部をシミュレートして通信内容
を解析して監視を行うことを特徴としている。
装置は、複数のクライエントと複数のサーバとの間の通
信を、各ユーザを特定しつつ監視するネットワーク処理
装置であって、当該ネットワーク装置はアドレスを有し
ておらず、クライエントとサーバとの間の通信を転送す
るものであり、当該転送時に、クライエントまたはサー
バの機能の少なくとも一部をシミュレートして通信内容
を解析して監視を行うことを特徴としている。
【0064】したがって、転送処理を行いつつ、サーバ
の機能に影響を与えることなく、通信の監視を行うこと
ができる。
の機能に影響を与えることなく、通信の監視を行うこと
ができる。
【0065】(31)この発明のネットワーク処理方法は、
複数のクライエントと複数のサーバとの間の通信を、各
ユーザを特定しつつ監視する方法であって、複数のクラ
イエントと複数のサーバとの間に、アドレスを有さない
ネットワーク装置を設け、当該ネットワーク装置によ
り、クライエントとサーバとの間の通信を転送するとと
もに、当該転送時に、クライエントまたはサーバの機能
の少なくとも一部をシミュレートして通信内容を解析し
て監視を行うことを特徴としている。
複数のクライエントと複数のサーバとの間の通信を、各
ユーザを特定しつつ監視する方法であって、複数のクラ
イエントと複数のサーバとの間に、アドレスを有さない
ネットワーク装置を設け、当該ネットワーク装置によ
り、クライエントとサーバとの間の通信を転送するとと
もに、当該転送時に、クライエントまたはサーバの機能
の少なくとも一部をシミュレートして通信内容を解析し
て監視を行うことを特徴としている。
【0066】したがって、転送処理を行いつつ、サーバ
の機能に影響を与えることなく、通信の監視を行うこと
ができる。
の機能に影響を与えることなく、通信の監視を行うこと
ができる。
【0067】(32)(33)(34)この発明のネットワーク処理
装置は、複数のクライエントと複数のサーバとの間の通
信を監視するネットワーク処理装置であって、ネットワ
ークレイヤーの低いレベルにおいて、クライエントとサ
ーバ間の通信データを転送しつつ、ネットワークレイヤ
ーの高いレベルにおいて、前記通信内容を取得すること
を特徴としている。
装置は、複数のクライエントと複数のサーバとの間の通
信を監視するネットワーク処理装置であって、ネットワ
ークレイヤーの低いレベルにおいて、クライエントとサ
ーバ間の通信データを転送しつつ、ネットワークレイヤ
ーの高いレベルにおいて、前記通信内容を取得すること
を特徴としている。
【0068】したがって、本ネットワーク処理装置をク
ライエントとサーバの間に設けても、サーバやクライエ
ントのプログラムを変更する必要がない。つまり、サー
バやクライエントの動作に支障を与えることなく、通信
を監視することができる。
ライエントとサーバの間に設けても、サーバやクライエ
ントのプログラムを変更する必要がない。つまり、サー
バやクライエントの動作に支障を与えることなく、通信
を監視することができる。
【0069】(35)この発明のネットワーク処理方法は、
複数のクライエントと複数のサーバとの間の通信を監視
するネットワーク処理方法であって、ネットワークレイ
ヤーの低いレベルにおいて、クライエントとサーバ間の
通信データを転送しつつ、ナットワークレイヤーの高い
レベルにおいて、前記通信内容を取得することを特徴と
している。
複数のクライエントと複数のサーバとの間の通信を監視
するネットワーク処理方法であって、ネットワークレイ
ヤーの低いレベルにおいて、クライエントとサーバ間の
通信データを転送しつつ、ナットワークレイヤーの高い
レベルにおいて、前記通信内容を取得することを特徴と
している。
【0070】したがって、このような通信監視を行って
も、サーバやクライエントのプログラムを変更する必要
がない。つまり、サーバやクライエントの動作に支障を
与えることなく、通信を監視することができる。
も、サーバやクライエントのプログラムを変更する必要
がない。つまり、サーバやクライエントの動作に支障を
与えることなく、通信を監視することができる。
【0071】(36)この発明の方法は、クライエントとサ
ーバとの間の通信データの転送を行いつつ、各通信のユ
ーザを特定する方法であって、クライエントに対しては
クライエント追跡用識別子を付して通信データを送信
し、クライエントからの通信データに含まれるクライエ
ント追跡用識別子に基づいてユーザを特定し、サーバに
対しては、サーバからの通信データに付されてきたサー
バ追跡用識別子を記憶しておき、サーバへの通信データ
にこのサーバ追跡用識別子を付して送信し、前記クライ
エント追跡用識別子とサーバ追跡用識別子とを、各ユー
ザごとに対応付けて記憶することにより、各通信のユー
ザを特定することを特徴としている。
ーバとの間の通信データの転送を行いつつ、各通信のユ
ーザを特定する方法であって、クライエントに対しては
クライエント追跡用識別子を付して通信データを送信
し、クライエントからの通信データに含まれるクライエ
ント追跡用識別子に基づいてユーザを特定し、サーバに
対しては、サーバからの通信データに付されてきたサー
バ追跡用識別子を記憶しておき、サーバへの通信データ
にこのサーバ追跡用識別子を付して送信し、前記クライ
エント追跡用識別子とサーバ追跡用識別子とを、各ユー
ザごとに対応付けて記憶することにより、各通信のユー
ザを特定することを特徴としている。
【0072】したがって、転送処理を行いつつ、各通信
のユーザを特定することができる。
のユーザを特定することができる。
【0073】この発明において、「クライエント」と
は、サーバからのサービスの提供を受けるものであり、
物理的な装置だけでなく、ブラウザ等のソフトウエア等
も含む概念である。
は、サーバからのサービスの提供を受けるものであり、
物理的な装置だけでなく、ブラウザ等のソフトウエア等
も含む概念である。
【0074】「サーバ」とは、クライエントに対してサ
ービスの提供を行うものであり、物理的な装置だけでな
く、ソフトウエア等も含む概念である。
ービスの提供を行うものであり、物理的な装置だけでな
く、ソフトウエア等も含む概念である。
【0075】「通信路」とは、サーバとクライエントと
の間の通信を可能にするものであり、有線であると無線
であるとを問わない。
の間の通信を可能にするものであり、有線であると無線
であるとを問わない。
【0076】「解析手段」とは、通信データに基づい
て、少なくともその通信内容を解読可能なようにする処
理を行う手段をいい、実施形態においては、図6のステ
ップS411、S412などがこれに対応する。
て、少なくともその通信内容を解読可能なようにする処
理を行う手段をいい、実施形態においては、図6のステ
ップS411、S412などがこれに対応する。
【0077】「認証手段」とは、クライエントもしくは
クライエントを使用するユーザを認証するための処理を
行う手段をいい、実施形態においては、図7のステップ
S437や図10のステップS365などがこれに対応
する。
クライエントを使用するユーザを認証するための処理を
行う手段をいい、実施形態においては、図7のステップ
S437や図10のステップS365などがこれに対応
する。
【0078】「転送手段」とは、少なくともサーバとク
ライエントの間の通信データを転送する処理を行う手段
をいい、実施形態においては、図7のステップS435
や図9のステップS346がこれに対応する。
ライエントの間の通信データを転送する処理を行う手段
をいい、実施形態においては、図7のステップS435
や図9のステップS346がこれに対応する。
【0079】通信の「監視」とは、少なくとも通信内容
の一部を知ることをいい、認証処理、エラー処理、ユー
ザの行動追跡処理などを含む概念である。
の一部を知ることをいい、認証処理、エラー処理、ユー
ザの行動追跡処理などを含む概念である。
【0080】「クライエント追跡用識別子」とは、クラ
イエントとの通信を行う装置が、少なくとも個々のセッ
ションを識別するために用いる識別子をいい、本発明に
よるネットワーク処理装置とクライエントとの間の通信
に用いられるものをいう。実施形態では、Cookieによる
セッションIDを、クライエント追跡用識別子として用
いている。
イエントとの通信を行う装置が、少なくとも個々のセッ
ションを識別するために用いる識別子をいい、本発明に
よるネットワーク処理装置とクライエントとの間の通信
に用いられるものをいう。実施形態では、Cookieによる
セッションIDを、クライエント追跡用識別子として用
いている。
【0081】「サーバ追跡用識別子」とは、サーバが、
少なくとも個々のセッションを識別するために用いる識
別子をいい、本発明によるネットワーク処理装置とサー
バとの間の通信に用いられるものをいう。実施形態で
は、CookieによるセッションIDを、クライエント追跡
用識別子として用いている。
少なくとも個々のセッションを識別するために用いる識
別子をいい、本発明によるネットワーク処理装置とサー
バとの間の通信に用いられるものをいう。実施形態で
は、CookieによるセッションIDを、クライエント追跡
用識別子として用いている。
【0082】「サーバ特定用データ」とは、サーバとの
通信を行う装置が、少なくとも個々のセッションを特定
するために用いるデータをいう。実施形態では、サーバ
に対してデータを送信した際に用いたポート番号を、サ
ーバ特定用データとして用いている。
通信を行う装置が、少なくとも個々のセッションを特定
するために用いるデータをいう。実施形態では、サーバ
に対してデータを送信した際に用いたポート番号を、サ
ーバ特定用データとして用いている。
【0083】「プログラムを記録した記録媒体」とは、
プログラムを記録したROM、RAM、フレキシブルデ
ィスク、CD−ROM、メモリカード、ハードディスク
等の記録媒体をいう。また、電話回線、搬送路等の通信
媒体も含む概念である。CPUに接続されて、記録され
たプログラムが直接実行されるハードディスクのような
記録媒体だけでなく、一旦ハードディスク等にインスト
ールした後に実行されるプログラムを記録したCD−R
OM等の記録媒体を含む概念である。
プログラムを記録したROM、RAM、フレキシブルデ
ィスク、CD−ROM、メモリカード、ハードディスク
等の記録媒体をいう。また、電話回線、搬送路等の通信
媒体も含む概念である。CPUに接続されて、記録され
たプログラムが直接実行されるハードディスクのような
記録媒体だけでなく、一旦ハードディスク等にインスト
ールした後に実行されるプログラムを記録したCD−R
OM等の記録媒体を含む概念である。
【0084】「プログラム」とは、CPUにより直接実
行可能なプログラムだけでなく、ソース形式のプログラ
ム、圧縮処理がされたプログラム、暗号化されたプログ
ラム等を含む概念である。
行可能なプログラムだけでなく、ソース形式のプログラ
ム、圧縮処理がされたプログラム、暗号化されたプログ
ラム等を含む概念である。
【0085】
【発明の実施の形態】図1に、この発明の一実施形態に
よるネットワーク処理装置を用いて構築したサーバ・ク
ライエントシステムの例を示す。この例では、インター
ネット24に接続されたウエブサーバ30、32、34
およびクライエント20、22を示している。クライエ
ント20、22は、通常、ユーザの側に置かれ、ユーザ
がウエブサーバにアクセスするために使用される。図に
おいては、クライエントを2つしか示していないが、実
施には多くのクライエントが接続される。
よるネットワーク処理装置を用いて構築したサーバ・ク
ライエントシステムの例を示す。この例では、インター
ネット24に接続されたウエブサーバ30、32、34
およびクライエント20、22を示している。クライエ
ント20、22は、通常、ユーザの側に置かれ、ユーザ
がウエブサーバにアクセスするために使用される。図に
おいては、クライエントを2つしか示していないが、実
施には多くのクライエントが接続される。
【0086】ネットワーク処理装置26は、インターネ
ット24とウエブサーバ30、32、34との間に設け
られている。この実施形態では、各ウエブサーバ30、
32、34は、ハブ28を介してネットワーク処理装置
26に接続される。なお、ウエブサーバ30、32、3
4は、ユーザに対して情報やゲームあるいはショッピン
グの機会等を提供するものである。
ット24とウエブサーバ30、32、34との間に設け
られている。この実施形態では、各ウエブサーバ30、
32、34は、ハブ28を介してネットワーク処理装置
26に接続される。なお、ウエブサーバ30、32、3
4は、ユーザに対して情報やゲームあるいはショッピン
グの機会等を提供するものである。
【0087】クライエント20、22から、ウエブサー
バ30、32、34への通信データは、一旦、クライエ
ント20、22からの通信データをネットワーク処理装
置26が受信した後、ウエブサーバ30、32、34に
対して送信する。つまり、ネットワーク処理装置26
は、通信データの転送を行っている。また、ウエブサー
バ30、32、34から、クライエント20、22への
通信データについても、ネットワーク処理装置26は、
同様に転送処理を行う。
バ30、32、34への通信データは、一旦、クライエ
ント20、22からの通信データをネットワーク処理装
置26が受信した後、ウエブサーバ30、32、34に
対して送信する。つまり、ネットワーク処理装置26
は、通信データの転送を行っている。また、ウエブサー
バ30、32、34から、クライエント20、22への
通信データについても、ネットワーク処理装置26は、
同様に転送処理を行う。
【0088】図2に、上記実施形態におけるネットワー
ク処理装置26の機能をブロックにて示す。対クライエ
ント通信手段40は、クライエント20、22との通信
を行うものである。また、対サーバ通信手段42は、ウ
エブサーバ30、32、34との通信を行うものであ
る。解析手段44は、対クライエント通信手段40また
は対サーバ通信手段42からの通信データを受けて、そ
の通信内容の解析を行う。認証手段46は、ユーザ認証
に関する処理を実行する。また、転送手段48は、クラ
イエントからの通信データをウエブサーバに転送し、ウ
エブサーバからの通信データをクライエントに転送する
処理を行うものである。
ク処理装置26の機能をブロックにて示す。対クライエ
ント通信手段40は、クライエント20、22との通信
を行うものである。また、対サーバ通信手段42は、ウ
エブサーバ30、32、34との通信を行うものであ
る。解析手段44は、対クライエント通信手段40また
は対サーバ通信手段42からの通信データを受けて、そ
の通信内容の解析を行う。認証手段46は、ユーザ認証
に関する処理を実行する。また、転送手段48は、クラ
イエントからの通信データをウエブサーバに転送し、ウ
エブサーバからの通信データをクライエントに転送する
処理を行うものである。
【0089】対クライエント通信手段40が、クライエ
ントからの通信データを受け取ると、これを解析手段4
4に渡す。解析手段44は、この通信データがウエブサ
ーバにおいてどのように解釈されるかをシミュレートし
て、その通信内容を解析する。認証手段46は、解析さ
れた通信内容に基づいて、当該アクセス要求を行ったユ
ーザの一元的認証が済んでいるかどうかを判断する。
ントからの通信データを受け取ると、これを解析手段4
4に渡す。解析手段44は、この通信データがウエブサ
ーバにおいてどのように解釈されるかをシミュレートし
て、その通信内容を解析する。認証手段46は、解析さ
れた通信内容に基づいて、当該アクセス要求を行ったユ
ーザの一元的認証が済んでいるかどうかを判断する。
【0090】一元的認証が済んでいなければ、認証手段
46は、クライエントからのアクセス要求を一旦保持す
る。さらに、認証手段46は、当該クライエントとの間
で一元的認証処理を行う。この一元的認証処理が終わっ
た後に、保持していたアクセス要求を、対サーバ通信手
段42を介してサーバに転送する。
46は、クライエントからのアクセス要求を一旦保持す
る。さらに、認証手段46は、当該クライエントとの間
で一元的認証処理を行う。この一元的認証処理が終わっ
た後に、保持していたアクセス要求を、対サーバ通信手
段42を介してサーバに転送する。
【0091】また、一元的認証が済んでいれば、認証手
段46は、一元的認証処理を行うことなく、アクセス要
求を対サーバ通信手段42を介してサーバに転送する。
段46は、一元的認証処理を行うことなく、アクセス要
求を対サーバ通信手段42を介してサーバに転送する。
【0092】ウエブサーバに転送したアクセス要求が、
当該ウエブサーバにおける個別認証の済んでいないユー
ザからのアクセス要求である場合には、当該ウエブサー
バは、個別認証を要求してくる。この個別認証を要求す
る通信データは、対サーバ通信手段42を経て、解析手
段44によって解析される。
当該ウエブサーバにおける個別認証の済んでいないユー
ザからのアクセス要求である場合には、当該ウエブサー
バは、個別認証を要求してくる。この個別認証を要求す
る通信データは、対サーバ通信手段42を経て、解析手
段44によって解析される。
【0093】認証手段46は、ウエブサーバからの通信
データが、個別認証を要求する通信内容であると判断す
ると、ユーザ情報を用いて、ウエブサーバとの間で個別
認証処理を実行する。つまり、ウエブサーバ側に対して
は、認証手段46が、ユーザに代わって、自動的に個別
認証処理を実行してくれる。
データが、個別認証を要求する通信内容であると判断す
ると、ユーザ情報を用いて、ウエブサーバとの間で個別
認証処理を実行する。つまり、ウエブサーバ側に対して
は、認証手段46が、ユーザに代わって、自動的に個別
認証処理を実行してくれる。
【0094】ユーザがアクセス要求先のウエブサーバを
変えた場合であっても、認証手段46が自動的に個別認
証処理を行ってくれるので、ユーザは一元的認証さえ行
えば、個々のサーバごとに個別認証処理を行う煩わしさ
がない。
変えた場合であっても、認証手段46が自動的に個別認
証処理を行ってくれるので、ユーザは一元的認証さえ行
えば、個々のサーバごとに個別認証処理を行う煩わしさ
がない。
【0095】また、転送手段48は、クライエントとサ
ーバとの間の通信データの転送を行うものである。この
転送の際に、転送手段48は、クライエントとの通信に
ついてクライエント追跡用識別子を用いてユーザの追跡
を行う。また、サーバとの通信においては、サーバから
送られてきたサーバ追跡識別子を返送して、サーバにお
けるユーザの追跡が可能となるようにしている。また、
常時、クライエント追跡識別子とサーバ追跡識別子とを
ユーザに対応付けて、ユーザを一元的に追跡するように
している。
ーバとの間の通信データの転送を行うものである。この
転送の際に、転送手段48は、クライエントとの通信に
ついてクライエント追跡用識別子を用いてユーザの追跡
を行う。また、サーバとの通信においては、サーバから
送られてきたサーバ追跡識別子を返送して、サーバにお
けるユーザの追跡が可能となるようにしている。また、
常時、クライエント追跡識別子とサーバ追跡識別子とを
ユーザに対応付けて、ユーザを一元的に追跡するように
している。
【0096】図3に、ネットワーク処理装置26を、C
PUを用いて実現した場合のハードウエア構成を示す。
対クライエント通信手段である通信回路40、対サーバ
通信手段である通信回路42が設けられている。これら
通信回路40、42は、インターフェイス50を介して
CPU52に接続されている。CPU52には、メモリ
54、ハードディスク56、CD−ROMドライブ58
が接続されている。
PUを用いて実現した場合のハードウエア構成を示す。
対クライエント通信手段である通信回路40、対サーバ
通信手段である通信回路42が設けられている。これら
通信回路40、42は、インターフェイス50を介して
CPU52に接続されている。CPU52には、メモリ
54、ハードディスク56、CD−ROMドライブ58
が接続されている。
【0097】メモリ54は、ワークエリアやテーブルの
記憶領域として使用されるものである。ハードディスク
56には、WINDOWS(商標)などのオペレーティングシ
ステム(OS)、ネットワーク処理プログラム、ユーザ
情報などが記録されている。
記憶領域として使用されるものである。ハードディスク
56には、WINDOWS(商標)などのオペレーティングシ
ステム(OS)、ネットワーク処理プログラム、ユーザ
情報などが記録されている。
【0098】ネットワーク処理プログラムは、CD−R
OMドライブ58を介して、CD−ROM60からイン
ストールされたものである。ネットワーク処理プログラ
ムは、OSと共同して、以下に述べるネットワーク処理
を実行する。
OMドライブ58を介して、CD−ROM60からイン
ストールされたものである。ネットワーク処理プログラ
ムは、OSと共同して、以下に述べるネットワーク処理
を実行する。
【0099】図4に、ネットワーク処理プログラムのフ
ローチャートを示す。通信回路40、42は、通信デー
タを受け取ると、インターフェイス50を介して、CP
U52にこれを与える。CPU52は、この通信データ
を取り込む(ステップS1)。CPU52は、通信デー
タがサーバ側からの通信データか、クライエント側から
の通信データかを判断する(ステップS2)。サーバ側
からの通信データであればサーバ側通信データ処理を行
い(ステップS3)、クライエント側からの通信データ
であればクライエント側通信データ処理を行う(ステッ
プS4)。
ローチャートを示す。通信回路40、42は、通信デー
タを受け取ると、インターフェイス50を介して、CP
U52にこれを与える。CPU52は、この通信データ
を取り込む(ステップS1)。CPU52は、通信デー
タがサーバ側からの通信データか、クライエント側から
の通信データかを判断する(ステップS2)。サーバ側
からの通信データであればサーバ側通信データ処理を行
い(ステップS3)、クライエント側からの通信データ
であればクライエント側通信データ処理を行う(ステッ
プS4)。
【0100】図5に、クライエント側通信データ処理の
詳細を示す。CPU52は、取得した通信データにつ
き、ウエブサーバの動作をシミュレートして、通信デー
タを解析し、通信内容を取得する(ステップS41)。
次に、1かたまりの全てのデータを受け取ったか否かを
判断する(ステップS42)。全てのデータを受け取っ
ていなければ、処理を終了し、次の通信データが送られ
てくるのを待つ。1かたまりの全てのデータを受け取れ
ば、当該通信データの転送処理を行う(ステップS4
3)。
詳細を示す。CPU52は、取得した通信データにつ
き、ウエブサーバの動作をシミュレートして、通信デー
タを解析し、通信内容を取得する(ステップS41)。
次に、1かたまりの全てのデータを受け取ったか否かを
判断する(ステップS42)。全てのデータを受け取っ
ていなければ、処理を終了し、次の通信データが送られ
てくるのを待つ。1かたまりの全てのデータを受け取れ
ば、当該通信データの転送処理を行う(ステップS4
3)。
【0101】図6に、ステップS41の通信シミュレー
ト処理の詳細を示す。CPU52は、ウエブサーバの動
作をシミュレートし、クライエントとのデータ通信を確
立する(ステップS411)。これにより、図11に示
すような通信データの構造を認識し、データの組み立て
順序に基づいて、複数の通信本体を組み合わせて、1か
たまりの通信データを得る(ステップS412)。
ト処理の詳細を示す。CPU52は、ウエブサーバの動
作をシミュレートし、クライエントとのデータ通信を確
立する(ステップS411)。これにより、図11に示
すような通信データの構造を認識し、データの組み立て
順序に基づいて、複数の通信本体を組み合わせて、1か
たまりの通信データを得る(ステップS412)。
【0102】次に、CPU52は、組み立てた通信デー
タにエラーがないかどうかを判断する(ステップS41
3)。エラーがあれば、ウエブサーバの代わりに、CP
U52が、再送要求をクライエントに返信する(ステッ
プS414)。これによって、転送処理の前にエラーを
発見でき、無駄な転送処理を省くことができる。
タにエラーがないかどうかを判断する(ステップS41
3)。エラーがあれば、ウエブサーバの代わりに、CP
U52が、再送要求をクライエントに返信する(ステッ
プS414)。これによって、転送処理の前にエラーを
発見でき、無駄な転送処理を省くことができる。
【0103】エラーがなければ、CPU52は、1かた
まりの通信データ(通常複数のパケットから構成され
る)を受信完了した旨の応答を返す必要があるかどうか
を判断する(ステップS415)。1かたまりの通信デ
ータの受信途中であり応答を返す必要がなければ、処理
を終了する。また、1かたまりの通信データの受信が完
了し、応答を返す必要があると判断すれば、ウエブサー
バの代わりに、応答を返信する(ステップS416)。
まりの通信データ(通常複数のパケットから構成され
る)を受信完了した旨の応答を返す必要があるかどうか
を判断する(ステップS415)。1かたまりの通信デ
ータの受信途中であり応答を返す必要がなければ、処理
を終了する。また、1かたまりの通信データの受信が完
了し、応答を返す必要があると判断すれば、ウエブサー
バの代わりに、応答を返信する(ステップS416)。
【0104】図7に、図5のステップS43の要求デー
タ転送処理の詳細を示す。要求データ転送処理において
は、解析した通信データの内容に基づいて、データ転送
の処理や認証処理を行う。
タ転送処理の詳細を示す。要求データ転送処理において
は、解析した通信データの内容に基づいて、データ転送
の処理や認証処理を行う。
【0105】図8に、図4のステップS3のサーバ側通
信データ処理の詳細を示す。また、図9に、図8のステ
ップS34の応答本体解析処理の詳細を示す。さらに、
図10に、図8のステップS36の応答ヘッダ解析処理
の詳細を示す。
信データ処理の詳細を示す。また、図9に、図8のステ
ップS34の応答本体解析処理の詳細を示す。さらに、
図10に、図8のステップS36の応答ヘッダ解析処理
の詳細を示す。
【0106】−一元的認証処理および個別認証処理−
以下、クライエントからのアクセス要求が、セッション
における最初のアクセスである場合に実行される一元ユ
ーザ認証の処理について説明する。一元認証処理におけ
るシーケンスフローを図12に示す。以下、このシーケ
ンスフローと、図4〜図10のフローチャートを参照し
て処理内容を説明する。なお、図4〜図10は、ネット
ワーク処理装置の処理を全般的に示すフローチャートで
あり、図12は認証時の処理だけを抽出して示したシー
ケンスフローである。
における最初のアクセスである場合に実行される一元ユ
ーザ認証の処理について説明する。一元認証処理におけ
るシーケンスフローを図12に示す。以下、このシーケ
ンスフローと、図4〜図10のフローチャートを参照し
て処理内容を説明する。なお、図4〜図10は、ネット
ワーク処理装置の処理を全般的に示すフローチャートで
あり、図12は認証時の処理だけを抽出して示したシー
ケンスフローである。
【0107】まず、クライエントから何れかのサーバに
対するアクセス要求の通信データが送信される(ステッ
プSK2)。CPU52は、この通信データを解析して
通信内容を取得する(図5、ステップS41)。
対するアクセス要求の通信データが送信される(ステッ
プSK2)。CPU52は、この通信データを解析して
通信内容を取得する(図5、ステップS41)。
【0108】解析後の通信データの一例を、図13に示
す。1行目の「GET」により、要求先のサーバのURL
を知ることができる。9行目の、クライエント追跡識別
子である「Cookie」の内容は記述されていない。セッシ
ョンにおける最初のアクセスの場合には、CPU52が
クライエント追跡識別子を付していないので、「Cooki
e」の「SESSID」は空欄となっている。つまり、CPU
52は、「SESSID」の内容が記述されていない場合に
は、セッションにおける最初のアクセスであると判断す
ることができる。
す。1行目の「GET」により、要求先のサーバのURL
を知ることができる。9行目の、クライエント追跡識別
子である「Cookie」の内容は記述されていない。セッシ
ョンにおける最初のアクセスの場合には、CPU52が
クライエント追跡識別子を付していないので、「Cooki
e」の「SESSID」は空欄となっている。つまり、CPU
52は、「SESSID」の内容が記述されていない場合に
は、セッションにおける最初のアクセスであると判断す
ることができる。
【0109】CPU52は、「SESSID」の内容が記述さ
れていないことを判断すると(図7、ステップS43
1)、この通信データをメモリ54に一旦記憶する。ま
た、図16に示すユーザ関連付けテーブル(メモリ54
に記憶される)に、新たなユーザとして記憶する。ただ
し、まだ一元的認証が済んでいないので、ユーザ番号の
欄は「未認証」とする。
れていないことを判断すると(図7、ステップS43
1)、この通信データをメモリ54に一旦記憶する。ま
た、図16に示すユーザ関連付けテーブル(メモリ54
に記憶される)に、新たなユーザとして記憶する。ただ
し、まだ一元的認証が済んでいないので、ユーザ番号の
欄は「未認証」とする。
【0110】その後、CPU52は、一元的ユーザ認証
処理を行う(図7、ステップS437)。一元的認証処
理において、まず、CPU52は、当該クライエントに
対して、一元的認証処理画面を送信する(図12、ステ
ップSK3)。この際、CPU52は、ユーザの追跡を
行うため、一元的認証処理画面の通信データに「SESSI
D」を記述する。つまり、ユーザにユニークとなるよう
な、「SESSID」を生成し、記述する。
処理を行う(図7、ステップS437)。一元的認証処
理において、まず、CPU52は、当該クライエントに
対して、一元的認証処理画面を送信する(図12、ステ
ップSK3)。この際、CPU52は、ユーザの追跡を
行うため、一元的認証処理画面の通信データに「SESSI
D」を記述する。つまり、ユーザにユニークとなるよう
な、「SESSID」を生成し、記述する。
【0111】この一元的認証処理画面を受け取ったクラ
イエントは、これを表示する。図14に、一元的認証処
理画面の例を示す。ユーザは、この画面を受けて、ユー
ザIDとパスワードを入力して返送する(ステップSK
4)。
イエントは、これを表示する。図14に、一元的認証処
理画面の例を示す。ユーザは、この画面を受けて、ユー
ザIDとパスワードを入力して返送する(ステップSK
4)。
【0112】ネットワーク処理装置26のCPU52
は、通信データ中のクライエント追跡識別子「SESSID」
に基づいて、一元的認証処理画面に対する返送データで
あることを認識する。CPU52は、この返送された通
信データから、ユーザIDおよびパスワードを取得す
る。取得したユーザIDおよびパスワードに基づいて、
ハードディスク56のユーザ情報を参照して、当該ユー
ザの認証を行う。
は、通信データ中のクライエント追跡識別子「SESSID」
に基づいて、一元的認証処理画面に対する返送データで
あることを認識する。CPU52は、この返送された通
信データから、ユーザIDおよびパスワードを取得す
る。取得したユーザIDおよびパスワードに基づいて、
ハードディスク56のユーザ情報を参照して、当該ユー
ザの認証を行う。
【0113】図15に、ユーザ情報の例を示す。ユーザ
情報には、一元的認証のためのユーザID、パスワード
だけでなく、各ウエブサーバについての個別認証に必要
なユーザID、パスワードが記述されている。また、当
該ユーザの各ウエブサーバにおけるアクセス権限も記述
されている。
情報には、一元的認証のためのユーザID、パスワード
だけでなく、各ウエブサーバについての個別認証に必要
なユーザID、パスワードが記述されている。また、当
該ユーザの各ウエブサーバにおけるアクセス権限も記述
されている。
【0114】CPU52は、クライエントから返送され
てきたユーザIDとパスワードの対に合致するユーザを
見いだせば(たとえば、masudaと3291335)、正当なユ
ーザとしてアクセスを許可する。この際、CPU52
は、ユーザの追跡を行うため、図16に示すユーザ関連
付けテーブルにおいて、ユーザIDとクライエント追跡
用識別子「SESSID」とを関連づけて記録する。また、ユ
ーザの行動を記録するため、メモリ54に一旦記憶して
おいたアクセス要求の要求先URLを、当該ユーザに対
応づけて記録する。
てきたユーザIDとパスワードの対に合致するユーザを
見いだせば(たとえば、masudaと3291335)、正当なユ
ーザとしてアクセスを許可する。この際、CPU52
は、ユーザの追跡を行うため、図16に示すユーザ関連
付けテーブルにおいて、ユーザIDとクライエント追跡
用識別子「SESSID」とを関連づけて記録する。また、ユ
ーザの行動を記録するため、メモリ54に一旦記憶して
おいたアクセス要求の要求先URLを、当該ユーザに対
応づけて記録する。
【0115】次に、CPU52は、メモリ54に一旦記
憶しておいたアクセス要求(図13)を読み出し、これ
を、ハブ28を介して要求先のウエブサーバ(ここでは
ウエブサーバ30とする)に転送する(図7のステップ
S435、図12のステップSK6)。この際、CPU
52は、何れのポートからこのデータを送信したかをユ
ーザ関連付けテーブルに記憶しておく(図16参照)。
転送されるアクセス要求の例を、図17に示す。この実
施形態では、CPU52は、図15のユーザ情報から、
要求先のサーバに関する当該ユーザのユーザIDとパス
ワードとを読みだして暗号化し、アクセス要求に記述し
た後、転送するようにしている。図17の9行目のAuth
orization以下の記述が、暗号化されたユーザIDとパ
スワードである。
憶しておいたアクセス要求(図13)を読み出し、これ
を、ハブ28を介して要求先のウエブサーバ(ここでは
ウエブサーバ30とする)に転送する(図7のステップ
S435、図12のステップSK6)。この際、CPU
52は、何れのポートからこのデータを送信したかをユ
ーザ関連付けテーブルに記憶しておく(図16参照)。
転送されるアクセス要求の例を、図17に示す。この実
施形態では、CPU52は、図15のユーザ情報から、
要求先のサーバに関する当該ユーザのユーザIDとパス
ワードとを読みだして暗号化し、アクセス要求に記述し
た後、転送するようにしている。図17の9行目のAuth
orization以下の記述が、暗号化されたユーザIDとパ
スワードである。
【0116】このようにして転送されたアクセス要求を
受けたウエブサーバ30は、セッションにおける最初の
アクセスであることから、個別認証要求を返送する(ス
テップSK7)。この際、ウエブサーバ30は、個別認
証要求中にサーバ追跡用識別子「Cookie」の「PHPSESSI
D」の内容を記述して返送する。
受けたウエブサーバ30は、セッションにおける最初の
アクセスであることから、個別認証要求を返送する(ス
テップSK7)。この際、ウエブサーバ30は、個別認
証要求中にサーバ追跡用識別子「Cookie」の「PHPSESSI
D」の内容を記述して返送する。
【0117】ネットワーク処理装置26のCPU52
は、ウエブサーバ30からの返送データを受ける。CP
U52は、何れのポートに返送されてきたデータである
かにより、送信元のウエブサーバ30を特定することが
できる(図16のポート番号参照)。この個別認証要求
を受けて、CPU52は、サーバ追跡用識別子「PHPSES
SID」を取得し、図16のユーザ関連付けテーブルの当
該ユーザの欄に記述する。これにより、クライエント追
跡用識別子、サーバ追跡用識別子、一元ユーザIDとを
関連づけることができ、ユーザの行動追跡を確実に行う
ことができる。
は、ウエブサーバ30からの返送データを受ける。CP
U52は、何れのポートに返送されてきたデータである
かにより、送信元のウエブサーバ30を特定することが
できる(図16のポート番号参照)。この個別認証要求
を受けて、CPU52は、サーバ追跡用識別子「PHPSES
SID」を取得し、図16のユーザ関連付けテーブルの当
該ユーザの欄に記述する。これにより、クライエント追
跡用識別子、サーバ追跡用識別子、一元ユーザIDとを
関連づけることができ、ユーザの行動追跡を確実に行う
ことができる。
【0118】CPU52は、例えば、図23に示すよう
に、ウエブサーバからの通信データの1行目が、Author
aization Requiredであれば、個別認証要求であると判
断する。また、図25のように、予め各サーバごとに、
どのURLが認証を要求するのかをテーブルにしてお
き、さらに当該各URLごとに各ユーザが認証をすませ
ているか否かを記述しておくことにより、ウエブサーバ
から個別認証要求が送信されてくることを予測すること
ができる。例えば、ユーザ「furu」が、へhttp://www.f
urutani.co.jp/zzz/pcへのアクセス要求を行った場合、
図25のテーブルから未認証であることが明らかである
から、アクセス要求に対してウエブサーバから返送され
てきた通信データは、個別認証要求であると判断でき
る。
に、ウエブサーバからの通信データの1行目が、Author
aization Requiredであれば、個別認証要求であると判
断する。また、図25のように、予め各サーバごとに、
どのURLが認証を要求するのかをテーブルにしてお
き、さらに当該各URLごとに各ユーザが認証をすませ
ているか否かを記述しておくことにより、ウエブサーバ
から個別認証要求が送信されてくることを予測すること
ができる。例えば、ユーザ「furu」が、へhttp://www.f
urutani.co.jp/zzz/pcへのアクセス要求を行った場合、
図25のテーブルから未認証であることが明らかである
から、アクセス要求に対してウエブサーバから返送され
てきた通信データは、個別認証要求であると判断でき
る。
【0119】CPU52は、個別認証要求を受けると、
当該ユーザのウエブサーバ30に対するユーザID、パ
スワードを、図15のユーザ情報から読み出す。CPU
52は、読み出したユーザID、パスワードをウエブサ
ーバ30に返す(図10のステップS365)。
当該ユーザのウエブサーバ30に対するユーザID、パ
スワードを、図15のユーザ情報から読み出す。CPU
52は、読み出したユーザID、パスワードをウエブサ
ーバ30に返す(図10のステップS365)。
【0120】ウエブサーバ30は、これを受けて個別ユ
ーザ認証を行い、アクセス要求に対するコンテンツデー
タを送信する(ステップSK9)。コンテンツデータの
例を図18に示す。この際、ウエブサーバ30は、5行
目のサーバ追跡用識別子「PHPSESSID」を記述してコン
テンツデータを送信する。
ーザ認証を行い、アクセス要求に対するコンテンツデー
タを送信する(ステップSK9)。コンテンツデータの
例を図18に示す。この際、ウエブサーバ30は、5行
目のサーバ追跡用識別子「PHPSESSID」を記述してコン
テンツデータを送信する。
【0121】このコンテンツデータは、ネットワーク処
理装置26によって受信される。ネットワーク処理装置
26のCPU52は、これを受けて、ユーザ関連付けテ
ーブルのサーバ追跡用識別子を更新する。このように、
常に、ユーザ関連付けテーブルのサーバ追跡用識別子を
更新することにより、ユーザの追跡を確実なものとする
ことができる。
理装置26によって受信される。ネットワーク処理装置
26のCPU52は、これを受けて、ユーザ関連付けテ
ーブルのサーバ追跡用識別子を更新する。このように、
常に、ユーザ関連付けテーブルのサーバ追跡用識別子を
更新することにより、ユーザの追跡を確実なものとする
ことができる。
【0122】次に、CPU52は、ユーザ関連付けテー
ブルから当該ユーザのクライエント追跡用識別子「SESS
ID」を読み出す。さらに、受信したコンテンツデータの
サーバ追跡用識別子「PHPSESSID」を、クライエント追
跡用識別子「SESSID」に書き換えた後、コンテンツデー
タをクライエントに転送する(図12のステップSK1
1、図10のステップS364)。図19に、転送され
るコンテンツデータの例を示す。
ブルから当該ユーザのクライエント追跡用識別子「SESS
ID」を読み出す。さらに、受信したコンテンツデータの
サーバ追跡用識別子「PHPSESSID」を、クライエント追
跡用識別子「SESSID」に書き換えた後、コンテンツデー
タをクライエントに転送する(図12のステップSK1
1、図10のステップS364)。図19に、転送され
るコンテンツデータの例を示す。
【0123】クライエントは、コンテンツデータを受け
て、これを表示する。図20に、その表示例を示す。上
記のようにして、一元的認証が行われるとともに、ネッ
トワーク処理装置26によって、自動的に個別認証処理
が実行される。
て、これを表示する。図20に、その表示例を示す。上
記のようにして、一元的認証が行われるとともに、ネッ
トワーク処理装置26によって、自動的に個別認証処理
が実行される。
【0124】なお、クライエント追跡用識別子は、ネッ
トワーク処理装置26がクライエントの同一性を判断す
るために応答に付すものである。応答を受けたクライエ
ントが次の要求を出す場合には、前回の応答において受
信したクライエント用識別子を付して行うようにしてい
る。これにより、ネットワーク処理装置26に多数のク
ライエントが接続されていても各クライエントを識別す
ることができる。
トワーク処理装置26がクライエントの同一性を判断す
るために応答に付すものである。応答を受けたクライエ
ントが次の要求を出す場合には、前回の応答において受
信したクライエント用識別子を付して行うようにしてい
る。これにより、ネットワーク処理装置26に多数のク
ライエントが接続されていても各クライエントを識別す
ることができる。
【0125】また、サーバ追跡用識別子は、ウエブサー
バからの要求に対する回答に付すものである。ネットワ
ーク処理装置が次回の要求をサーバに送る場合には、前
回の回答に付されていたサーバ追跡用識別子を付して送
る。これにより、サーバは各ユーザを識別することがで
きる。
バからの要求に対する回答に付すものである。ネットワ
ーク処理装置が次回の要求をサーバに送る場合には、前
回の回答に付されていたサーバ追跡用識別子を付して送
る。これにより、サーバは各ユーザを識別することがで
きる。
【0126】この実施形態では、ユーザ関連付けテーブ
ルによって、クライエント追跡用識別子とサーバ追跡用
識別子をリアルタイムに対応づけることにより、次に示
すように一元的なユーザ認証を可能としている。
ルによって、クライエント追跡用識別子とサーバ追跡用
識別子をリアルタイムに対応づけることにより、次に示
すように一元的なユーザ認証を可能としている。
【0127】次に、図20の画面において、ユーザがサ
ービス2(ウエブサーバ32のサービスとする)へのリ
ンクをクリックした場合の動作を説明する。この場合、
クライエントからは、クライエント追跡識別子の付され
たアクセス要求がネットワーク処理装置26に送信され
る。これを受けたネットワーク処理装置26は、図12
のステップSK6以下の処理を実行する。つまり、ネッ
トワーク処理装置26が、クライエント追跡識別しに基
づいてユーザを特定し、図15のユーザ情報から、要求
先のウエブサーバ32に対するユーザID、パスワード
を用いて、自動的に個別認証を実行する。
ービス2(ウエブサーバ32のサービスとする)へのリ
ンクをクリックした場合の動作を説明する。この場合、
クライエントからは、クライエント追跡識別子の付され
たアクセス要求がネットワーク処理装置26に送信され
る。これを受けたネットワーク処理装置26は、図12
のステップSK6以下の処理を実行する。つまり、ネッ
トワーク処理装置26が、クライエント追跡識別しに基
づいてユーザを特定し、図15のユーザ情報から、要求
先のウエブサーバ32に対するユーザID、パスワード
を用いて、自動的に個別認証を実行する。
【0128】上記のように、この実施形態によれば、ユ
ーザが一元的認証を一度行えば、ネットワーク処理装置
26が自動的に各個別のサーバに対する認証処理を行っ
てくれる。
ーザが一元的認証を一度行えば、ネットワーク処理装置
26が自動的に各個別のサーバに対する認証処理を行っ
てくれる。
【0129】なお、図20の画面において、ユーザがサ
ービス2をクリックした場合に、クライエントから、ク
ライエント追跡識別子の付されないアクセス要求がネッ
トワーク処理装置26に送信されることもある。これは
セキュリティの観点から、クライエント側のブラウザプ
ログラムが、異なるウエブサーバにアクセス要求を出す
場合には、前回のウエブサーバからの回答に記述されて
いたクライエント追跡識別子を記述しないように設定さ
れている場合に生じる。
ービス2をクリックした場合に、クライエントから、ク
ライエント追跡識別子の付されないアクセス要求がネッ
トワーク処理装置26に送信されることもある。これは
セキュリティの観点から、クライエント側のブラウザプ
ログラムが、異なるウエブサーバにアクセス要求を出す
場合には、前回のウエブサーバからの回答に記述されて
いたクライエント追跡識別子を記述しないように設定さ
れている場合に生じる。
【0130】このような場合には、CPU52は、アク
セス要求中に記述されている前回のアクセス先の情報
(図13の3行目「Referer」)を見ることにより、一
元的認証の済んでいないユーザか否かを判断する。前回
のアクセス先の情報が、図13に示すように空欄であれ
ば、一元的認証が済んでいないと判断して一元的認証を
実行する。
セス要求中に記述されている前回のアクセス先の情報
(図13の3行目「Referer」)を見ることにより、一
元的認証の済んでいないユーザか否かを判断する。前回
のアクセス先の情報が、図13に示すように空欄であれ
ば、一元的認証が済んでいないと判断して一元的認証を
実行する。
【0131】前回のアクセス先の情報にURLが記述さ
れていれば、一元的認証が済んでいると判断することが
できる。ただし、クライエント追跡識別子が記述されて
いないため、ユーザを特定することができず、個別認証
を自動的に行うことができなくなる。また、ユーザの行
動追跡も途切れてしまうことになる。
れていれば、一元的認証が済んでいると判断することが
できる。ただし、クライエント追跡識別子が記述されて
いないため、ユーザを特定することができず、個別認証
を自動的に行うことができなくなる。また、ユーザの行
動追跡も途切れてしまうことになる。
【0132】そこで、この実施形態では、図21に示す
ような処理を行って、上記のような場合においてもクラ
イエント追跡識別子を取得するようにしている。まず、
CPU52は、前回のアクセス先URLを取得する(ス
テップSK21)。次に、CPU52は、このURLに
対し、ユニークに識別可能な符号を付加する(ステップ
SK22)。これは、2以上のユーザについて、同じU
RLに対して図21の処理を行った場合に、ユニークな
URLによりユーザを識別するためである。
ような処理を行って、上記のような場合においてもクラ
イエント追跡識別子を取得するようにしている。まず、
CPU52は、前回のアクセス先URLを取得する(ス
テップSK21)。次に、CPU52は、このURLに
対し、ユニークに識別可能な符号を付加する(ステップ
SK22)。これは、2以上のユーザについて、同じU
RLに対して図21の処理を行った場合に、ユニークな
URLによりユーザを識別するためである。
【0133】続いて、CPU52は、当該URLに対す
るアクセス要求を行うように、クライエントに指令を送
信する(ステップSK23)。これを受けて、クライエ
ントは、当該URLに対するアクセス要求を行う(ステ
ップSK24)。このアクセス要求は、クライエントに
とって、前回アクセスしたサーバと同じサーバとなるの
で、クライエント追跡識別子が付されることになる。
るアクセス要求を行うように、クライエントに指令を送
信する(ステップSK23)。これを受けて、クライエ
ントは、当該URLに対するアクセス要求を行う(ステ
ップSK24)。このアクセス要求は、クライエントに
とって、前回アクセスしたサーバと同じサーバとなるの
で、クライエント追跡識別子が付されることになる。
【0134】CPU52は、このアクセス要求を受け
て、クライエント追跡識別子を得ることができる。クラ
イエント追跡識別子を得た後は、この偽アクセス要求は
転送せず破棄する。このようにしてクライエント追跡識
別子を得れば、図12のステップSK6以下を実行する
ことにより、個別認証を自動的に行うことができる。
て、クライエント追跡識別子を得ることができる。クラ
イエント追跡識別子を得た後は、この偽アクセス要求は
転送せず破棄する。このようにしてクライエント追跡識
別子を得れば、図12のステップSK6以下を実行する
ことにより、個別認証を自動的に行うことができる。
【0135】−ユーザ追跡処理−
図22に、個別認証が済んだ後の処理を示す。クライエ
ントからは、クライエント追跡識別子の付されたアクセ
ス要求が送信される(ステップSK32)。
ントからは、クライエント追跡識別子の付されたアクセ
ス要求が送信される(ステップSK32)。
【0136】ネットワーク処理装置26は、このアクセ
ス要求を受けて、記述されているクライエント追跡識別
子に基づいて、図16のユーザ関連づけテーブルを参照
してユーザを特定する(ステップSK33、図7のステ
ップS432)。さらに、当該ユーザの要求先URLの
欄に、今回のアクセス要求の要求先URLを追加する。
このようにして、ユーザ関連付けテーブルには、ユーザ
の訪れた先の履歴が蓄積される。なお、この訪問先履歴
は、異なるウエブサーバをまたがって、一元的に記録さ
れる。この履歴を保存する場合には、ユーザがログオフ
した際等に、ハードディスク等に転記するようにすれば
よい。
ス要求を受けて、記述されているクライエント追跡識別
子に基づいて、図16のユーザ関連づけテーブルを参照
してユーザを特定する(ステップSK33、図7のステ
ップS432)。さらに、当該ユーザの要求先URLの
欄に、今回のアクセス要求の要求先URLを追加する。
このようにして、ユーザ関連付けテーブルには、ユーザ
の訪れた先の履歴が蓄積される。なお、この訪問先履歴
は、異なるウエブサーバをまたがって、一元的に記録さ
れる。この履歴を保存する場合には、ユーザがログオフ
した際等に、ハードディスク等に転記するようにすれば
よい。
【0137】上記のようにして、クライエント追跡識別
子に基づいてユーザを特定した後、当該ユーザが、今回
要求しているアクセス先URLに対してアクセス権限を
持っているかどうかを判定する(図7のステップS43
3)。ユーザが要求しているアクセス先URLは、通信
データのIPヘッダ(図11参照)中の宛先アドレス
と、解析した通信データ中の「GET」の欄を取得するこ
とにより知ることができる。また、アクセス権限は、当
該ユーザのユーザ情報中の「アクセス可能URL」を参
照することにより得ることができる。この実施形態で
は、「アクセス可能URL」の欄に、アクセスを許可さ
れているURLが記述されている。したがって、CPU
52は、要求されているアクセス先URLが、アクセス
可能URLの欄に記述されているか否かによってアクセ
ス権現の有無を判断することができる。
子に基づいてユーザを特定した後、当該ユーザが、今回
要求しているアクセス先URLに対してアクセス権限を
持っているかどうかを判定する(図7のステップS43
3)。ユーザが要求しているアクセス先URLは、通信
データのIPヘッダ(図11参照)中の宛先アドレス
と、解析した通信データ中の「GET」の欄を取得するこ
とにより知ることができる。また、アクセス権限は、当
該ユーザのユーザ情報中の「アクセス可能URL」を参
照することにより得ることができる。この実施形態で
は、「アクセス可能URL」の欄に、アクセスを許可さ
れているURLが記述されている。したがって、CPU
52は、要求されているアクセス先URLが、アクセス
可能URLの欄に記述されているか否かによってアクセ
ス権現の有無を判断することができる。
【0138】アクセス権限がない場合、CPU52は、
当該通信データを破棄し、通信を切断する処理を行う
(図7のステップS436)。なお、この実施形態で
は、アクセス権限がないと判断した場合、直ちに切断処
理を行っているが、通信データを破棄した上、アクセス
権限がない旨をクライエントに返送してもよい。
当該通信データを破棄し、通信を切断する処理を行う
(図7のステップS436)。なお、この実施形態で
は、アクセス権限がないと判断した場合、直ちに切断処
理を行っているが、通信データを破棄した上、アクセス
権限がない旨をクライエントに返送してもよい。
【0139】アクセス権限がある場合、次に、CPU5
2は、ユーザ関連付けテーブルから、当該ユーザに関連
づけて記録されているサーバ追跡識別子を読み出す(図
7のステップS434)。さらに、クライエントから受
けたアクセス要求中のクライエント追跡識別子を、サー
バ追跡識別子に書き換えた後、当該アクセス要求をウエ
ブサーバに転送する(図7のステップS435、図22
のステップSK34)。
2は、ユーザ関連付けテーブルから、当該ユーザに関連
づけて記録されているサーバ追跡識別子を読み出す(図
7のステップS434)。さらに、クライエントから受
けたアクセス要求中のクライエント追跡識別子を、サー
バ追跡識別子に書き換えた後、当該アクセス要求をウエ
ブサーバに転送する(図7のステップS435、図22
のステップSK34)。
【0140】これを受けたウエブサーバは、ユーザの認
識を行い、コンテンツを返送してくる(ステップSK3
5、SK36)。
識を行い、コンテンツを返送してくる(ステップSK3
5、SK36)。
【0141】ネットワーク処理装置26は、コンテンツ
に含まれるサーバ追跡用識別子を取得し、ユーザ関連づ
けテーブルを更新する(ステップSK37)。さらに、
ユーザ関連づけテーブルに基づいて、コンテンツのサー
バ追跡用識別子を、クライエント追跡用識別子に書き換
えた後(図8のステップS36、図10のステップS3
64)、コンテンツをクライエントに転送する(図9の
ステップS346、図22のステップSK38)。クラ
イエントでは、受信したコンテンツを表示する(ステッ
プSK39)。
に含まれるサーバ追跡用識別子を取得し、ユーザ関連づ
けテーブルを更新する(ステップSK37)。さらに、
ユーザ関連づけテーブルに基づいて、コンテンツのサー
バ追跡用識別子を、クライエント追跡用識別子に書き換
えた後(図8のステップS36、図10のステップS3
64)、コンテンツをクライエントに転送する(図9の
ステップS346、図22のステップSK38)。クラ
イエントでは、受信したコンテンツを表示する(ステッ
プSK39)。
【0142】上記のステップSK37、SK38の処理
の詳細を、図4、図8〜図10のフローチャートを参照
して説明する。ウエブサーバからのコンテンツなどの送
信があると、CPU52は、図4のステップS3のサー
バ側通信データ処理を行う。
の詳細を、図4、図8〜図10のフローチャートを参照
して説明する。ウエブサーバからのコンテンツなどの送
信があると、CPU52は、図4のステップS3のサー
バ側通信データ処理を行う。
【0143】サーバ側通信データ処理においては、CP
U52は、まず、ウエブサーバからの通信データかどう
かを判断する(図8のステップS31)。このような判
断を行うのは、ウエブサーバ以外に動画サーバも存在す
るからである。すなわち、後述のように、動画サーバか
らのデータの場合には異なった処理を行う必要があるか
らである。
U52は、まず、ウエブサーバからの通信データかどう
かを判断する(図8のステップS31)。このような判
断を行うのは、ウエブサーバ以外に動画サーバも存在す
るからである。すなわち、後述のように、動画サーバか
らのデータの場合には異なった処理を行う必要があるか
らである。
【0144】ここでは、ウエブサーバからの通信データ
であるから、ステップS32の通信シミュレート処理に
進む。通信シミュレート処理は、クライエント側通信デ
ータ処理において説明したものと同じである(図6参
照)。通信シミュレート処理により、通信内容を取得す
ることができる。
であるから、ステップS32の通信シミュレート処理に
進む。通信シミュレート処理は、クライエント側通信デ
ータ処理において説明したものと同じである(図6参
照)。通信シミュレート処理により、通信内容を取得す
ることができる。
【0145】解析した通信データの例を、図18に示
す。ウエブサーバからの通信データは、ヘッダ100の
部分と、本体102の部分によって構成されている。な
お、通信データは、所定サイズのパケットにして送られ
てくる。したがって、CPU52は、1つのパケットご
とに通信シミュレートをして通信内容の解析を行い、解
析内容に基づく処理を行うということを繰り返してい
る。この処理において、受信した内容がヘッダ100で
あれば(ステップS33)、ヘッダ100のデータを全
て受け取ったか否かを判断する(ステップS35)。全
て受け取っていなければ、ヘッダ100のデータを全部
受信するよう、次の通信データを待つ(図4のステップ
S1)。
す。ウエブサーバからの通信データは、ヘッダ100の
部分と、本体102の部分によって構成されている。な
お、通信データは、所定サイズのパケットにして送られ
てくる。したがって、CPU52は、1つのパケットご
とに通信シミュレートをして通信内容の解析を行い、解
析内容に基づく処理を行うということを繰り返してい
る。この処理において、受信した内容がヘッダ100で
あれば(ステップS33)、ヘッダ100のデータを全
て受け取ったか否かを判断する(ステップS35)。全
て受け取っていなければ、ヘッダ100のデータを全部
受信するよう、次の通信データを待つ(図4のステップ
S1)。
【0146】ヘッダ100のデータを全て受信した場合
には、当該ヘッダについての処理を行う(ステップS3
6)。なお、空白行がヘッダの終了を表すので、空白行
を検出することによりヘッダの終了を認識できる。
には、当該ヘッダについての処理を行う(ステップS3
6)。なお、空白行がヘッダの終了を表すので、空白行
を検出することによりヘッダの終了を認識できる。
【0147】ヘッダ処理の詳細を、図10に示す。ま
ず、ステップS361において、CPU52は、ヘッダ
100からサーバ追跡用識別子を取得して、図16のユ
ーザ関連付けテーブルを更新する(ステップS36
1)。図18の例では、5行目の「Set-Cookie」がサー
バ追跡用識別子である。
ず、ステップS361において、CPU52は、ヘッダ
100からサーバ追跡用識別子を取得して、図16のユ
ーザ関連付けテーブルを更新する(ステップS36
1)。図18の例では、5行目の「Set-Cookie」がサー
バ追跡用識別子である。
【0148】次に、CPU52は、本体の大きさ(バイ
ト長)や本体のデータ形式を取得する(ステップS36
2)。本体の大きさを取得することにより、後に行う本
体取得処理の際に、本体の終了を知ることができる。本
体の大きさは、「Content-Length」に記述されている。
データの形式は、「Content-Type」に記述されており、
テキスト、画像などのデータの種類が示されている。こ
のデータ形式は、この後に行う識別子付加の処理におい
て使用する。
ト長)や本体のデータ形式を取得する(ステップS36
2)。本体の大きさを取得することにより、後に行う本
体取得処理の際に、本体の終了を知ることができる。本
体の大きさは、「Content-Length」に記述されている。
データの形式は、「Content-Type」に記述されており、
テキスト、画像などのデータの種類が示されている。こ
のデータ形式は、この後に行う識別子付加の処理におい
て使用する。
【0149】次に、CPU52は、ユーザ関連付けテー
ブルを参照して、ヘッダ100のサーバ追跡用識別子を
サーバ追跡用識別子クライエント追跡用識別子に置き換
える(図10、ステップS364)。たとえば、図18
の5行目の「Set-Cookie」の内容が、図19の5行目の
「Set-Cookie」の内容に変更される。
ブルを参照して、ヘッダ100のサーバ追跡用識別子を
サーバ追跡用識別子クライエント追跡用識別子に置き換
える(図10、ステップS364)。たとえば、図18
の5行目の「Set-Cookie」の内容が、図19の5行目の
「Set-Cookie」の内容に変更される。
【0150】ヘッダ100についての処理が終了する
と、続いて、本体102の通信データを取得する(ステ
ップS32)。CPU52は、本体のデータであること
を認識すると、ステップS33を経て本体処理を実行す
る(ステップS34)。
と、続いて、本体102の通信データを取得する(ステ
ップS32)。CPU52は、本体のデータであること
を認識すると、ステップS33を経て本体処理を実行す
る(ステップS34)。
【0151】本体処理のフローチャートを図9に示す。
まず、CPU52は、本体の記述がHTMLであるか否
かを判断する(ステップS341)。HTMLでなけれ
ば、そのまま、先のヘッダを付けて、クライエントに対
してデータ転送を行う(ステップS346)。
まず、CPU52は、本体の記述がHTMLであるか否
かを判断する(ステップS341)。HTMLでなけれ
ば、そのまま、先のヘッダを付けて、クライエントに対
してデータ転送を行う(ステップS346)。
【0152】HTMLであれば、タグ情報から、本体1
02のデータ形式を判定する(ステップS342)。本
体102のタグ情報にデータ形式が記述されていない場
合、ヘッダ100において取得したデータ形式を用いて
もよい。
02のデータ形式を判定する(ステップS342)。本
体102のタグ情報にデータ形式が記述されていない場
合、ヘッダ100において取得したデータ形式を用いて
もよい。
【0153】次に、CPU52は、クライエント側の端
末装置が、追跡用識別子を返送する仕様になっているか
否かを判断する(ステップS343)。携帯電話などに
おいては、クライエント追跡用識別子を付けて送って
も、この識別子が付されずに、次の通信データがクライ
エントから送られてくる。
末装置が、追跡用識別子を返送する仕様になっているか
否かを判断する(ステップS343)。携帯電話などに
おいては、クライエント追跡用識別子を付けて送って
も、この識別子が付されずに、次の通信データがクライ
エントから送られてくる。
【0154】追跡用識別子を返送する仕様である場合に
は、ヘッダ処理において識別子の書き換えを行ったヘッ
ダ100と、内容に変更を加えていない本体102とを
クライエントに転送する(ステップS346)。
は、ヘッダ処理において識別子の書き換えを行ったヘッ
ダ100と、内容に変更を加えていない本体102とを
クライエントに転送する(ステップS346)。
【0155】携帯電話などのように追跡用識別子を返送
する仕様でない場合には、クライエント追跡用識別子を
他の方法によって返送してもらう必要がある。そこで、
この実施形態では、HTML本文の全てのリンクURL
につき、クライエント追跡用識別子を付加し(ステップ
S345)、クライエントに転送するようにしている
(ステップS346)。このようなURL変更を施した
HTMLを受けたクライエントが、変更されたURLを
要求してきた場合には、この変更URLからクライエン
ト追跡用識別子を分離してクライエント識別子を得ると
ともに、URLを正しい状態に変換する。
する仕様でない場合には、クライエント追跡用識別子を
他の方法によって返送してもらう必要がある。そこで、
この実施形態では、HTML本文の全てのリンクURL
につき、クライエント追跡用識別子を付加し(ステップ
S345)、クライエントに転送するようにしている
(ステップS346)。このようなURL変更を施した
HTMLを受けたクライエントが、変更されたURLを
要求してきた場合には、この変更URLからクライエン
ト追跡用識別子を分離してクライエント識別子を得ると
ともに、URLを正しい状態に変換する。
【0156】なお、追跡用識別子を返送する仕様となっ
ているか否かは、セッションの開始時点において、クラ
イエントから当該識別子が含まれて返送されてくるか否
かによって判別できる。CPU52は、これをユーザ関
連付けテーブルに記憶しておいて使用する。また、後述
のように、クライエントが動画プレイヤーである場合に
は、追跡用識別子を返送しないことは明らかなので、上
記のような特別な判別処理は不要である。
ているか否かは、セッションの開始時点において、クラ
イエントから当該識別子が含まれて返送されてくるか否
かによって判別できる。CPU52は、これをユーザ関
連付けテーブルに記憶しておいて使用する。また、後述
のように、クライエントが動画プレイヤーである場合に
は、追跡用識別子を返送しないことは明らかなので、上
記のような特別な判別処理は不要である。
【0157】上記のように、HTML本文のリンク先U
RLを変更するという方法は、クライエントがJAVA
スクリプトにてURLを生成するような場合にはうまく
機能しない。しかし、通常、携帯電話等の追跡用識別子
を返送しない機器において、JAVAスクリプトは使用
できないので問題を生じない。
RLを変更するという方法は、クライエントがJAVA
スクリプトにてURLを生成するような場合にはうまく
機能しない。しかし、通常、携帯電話等の追跡用識別子
を返送しない機器において、JAVAスクリプトは使用
できないので問題を生じない。
【0158】上記のように、ネットワーク処理装置26
は、ネットワークレイヤーの低いレベル(上記実施形態
では、データリンク層)において、クライエントとサー
バ間の通信データを転送しつつ、ネットワークレイヤー
の高いレベル(上記実施形態ではアプリケーション層)
において、前記通信内容を取得し、ユーザの追跡等をお
こなうようにしている。したがって、本ネットワーク処
理装置をクライエントとサーバの間に設けても、サーバ
やクライエントのプログラムを変更する必要がない。つ
まり、サーバやクライエントの動作に支障を与えること
なく、通信を監視することができる。
は、ネットワークレイヤーの低いレベル(上記実施形態
では、データリンク層)において、クライエントとサー
バ間の通信データを転送しつつ、ネットワークレイヤー
の高いレベル(上記実施形態ではアプリケーション層)
において、前記通信内容を取得し、ユーザの追跡等をお
こなうようにしている。したがって、本ネットワーク処
理装置をクライエントとサーバの間に設けても、サーバ
やクライエントのプログラムを変更する必要がない。つ
まり、サーバやクライエントの動作に支障を与えること
なく、通信を監視することができる。
【0159】−動画サーバに対する処理−
上記実施形態では、追跡用識別子をやりとりできるウエ
ブサーバについて説明をしたが、動画サーバや音楽サー
バなど追跡識別子をやりとりできないサーバも存在す
る。この実施形態では、ウエブサーバだけでなく、これ
ら動画サーバや音楽サーバについてもユーザ認証やユー
ザ追跡を行うことができる。以下、その動作を説明す
る。
ブサーバについて説明をしたが、動画サーバや音楽サー
バなど追跡識別子をやりとりできないサーバも存在す
る。この実施形態では、ウエブサーバだけでなく、これ
ら動画サーバや音楽サーバについてもユーザ認証やユー
ザ追跡を行うことができる。以下、その動作を説明す
る。
【0160】この実施形態では、ウエブサーバが動画サ
ーバの窓口サーバとして動作するようにしている。すな
わち、各ユーザの動画サーバへのアクセス権限などの情
報は、動画サーバではなく、窓口サーバであるウエブサ
ーバに記録されている。窓口サーバは、当該ユーザがア
クセス権限を持つ動画サーバへのリンクを提示するよう
になっている。
ーバの窓口サーバとして動作するようにしている。すな
わち、各ユーザの動画サーバへのアクセス権限などの情
報は、動画サーバではなく、窓口サーバであるウエブサ
ーバに記録されている。窓口サーバは、当該ユーザがア
クセス権限を持つ動画サーバへのリンクを提示するよう
になっている。
【0161】動画サーバに対するユーザ認証は、窓口サ
ーバ(ウエブサーバ)に対して行うことになる。したが
って、ユーザ認証の処理は、図12に示したものと同じ
である。なお、図28に、ユーザ認証の際にクライエン
トに提示される画面例を示す(図12のステップSK
3)。ユーザ認証が終了すると、図29に示すような画
面が窓口サーバから提示される(図12のステップSK
12)。このユーザ認証の処理において、ユーザ関連付
けテーブル(図16)に、識別子が記憶される。
ーバ(ウエブサーバ)に対して行うことになる。したが
って、ユーザ認証の処理は、図12に示したものと同じ
である。なお、図28に、ユーザ認証の際にクライエン
トに提示される画面例を示す(図12のステップSK
3)。ユーザ認証が終了すると、図29に示すような画
面が窓口サーバから提示される(図12のステップSK
12)。このユーザ認証の処理において、ユーザ関連付
けテーブル(図16)に、識別子が記憶される。
【0162】このようにしてユーザ認証が済んだ後の窓
口サーバとのやりとりは、図22に示すものと同じであ
る。図29の画面に対応して、クライエント側のユーザ
が「コンテンツ2」を選択すると、窓口サーバは図30
のような画面を送信してくる(図22のステップSK3
2〜SK39)。ネットワーク処理装置26は、この転
送処理の際において、ユーザ関連付けテーブルの識別子
を更新し、最新のものとしている。
口サーバとのやりとりは、図22に示すものと同じであ
る。図29の画面に対応して、クライエント側のユーザ
が「コンテンツ2」を選択すると、窓口サーバは図30
のような画面を送信してくる(図22のステップSK3
2〜SK39)。ネットワーク処理装置26は、この転
送処理の際において、ユーザ関連付けテーブルの識別子
を更新し、最新のものとしている。
【0163】図30の画面に対応して、クライエント側
のユーザが「はい」を選択した後の処理を図26、図2
7にシーケンスフローにて示す。ユーザが「はい」をク
リックすると、Cookie(図13参照)にユーザ追跡用識
別子が付されて、動画に対するリンク画面の要求が送信
される(ステップSK52)。
のユーザが「はい」を選択した後の処理を図26、図2
7にシーケンスフローにて示す。ユーザが「はい」をク
リックすると、Cookie(図13参照)にユーザ追跡用識
別子が付されて、動画に対するリンク画面の要求が送信
される(ステップSK52)。
【0164】これを受けたネットワーク処理装置26
は、Cookieに記述されたユーザ追跡用識別子により、ユ
ーザ関連付けテーブル(図16)を参照して、いずれの
ユーザであるかを特定する。さらに、ネットワーク処理
装置26は、ユーザの要求先URLをユーザ関連付けテ
ーブルに記憶する(ステップSK53)。
は、Cookieに記述されたユーザ追跡用識別子により、ユ
ーザ関連付けテーブル(図16)を参照して、いずれの
ユーザであるかを特定する。さらに、ネットワーク処理
装置26は、ユーザの要求先URLをユーザ関連付けテ
ーブルに記憶する(ステップSK53)。
【0165】次に、ネットワーク処理装置26は、ユー
ザ関連付けテーブルから、サーバ追跡用識別子を取得す
る。さらに、Cookieの記述をユーザ追跡用識別子からサ
ーバ追跡用識別子に書き換えた後、窓口サーバに対して
アクセス要求を転送する(ステップSK54)。
ザ関連付けテーブルから、サーバ追跡用識別子を取得す
る。さらに、Cookieの記述をユーザ追跡用識別子からサ
ーバ追跡用識別子に書き換えた後、窓口サーバに対して
アクセス要求を転送する(ステップSK54)。
【0166】窓口サーバは、このアクセス要求を受け
て、サーバ追跡用識別子に基づきユーザを認識する。さ
らに、当該ユーザが要求している動画サーバの各URL
に対する権限情報(権限の有無、権限の有効期限など)
を読み出す。窓口サーバは、ネットワーク処理装置26
に対して、動画サーバに対するリンク画面(たとえば、
図31のような画面)に、上記の権限情報を付加して送
信する(ステップSK55、SK56)。なお、この実
施形態では、要求されたもののうち、当該ユーザが権限
を有する動画サーバへのリンクのみを送信するようにし
ている。また、この際、ウエブサーバは、Set Cookie
(図18参照)にサーバ追跡用識別子を付加して送信す
る。
て、サーバ追跡用識別子に基づきユーザを認識する。さ
らに、当該ユーザが要求している動画サーバの各URL
に対する権限情報(権限の有無、権限の有効期限など)
を読み出す。窓口サーバは、ネットワーク処理装置26
に対して、動画サーバに対するリンク画面(たとえば、
図31のような画面)に、上記の権限情報を付加して送
信する(ステップSK55、SK56)。なお、この実
施形態では、要求されたもののうち、当該ユーザが権限
を有する動画サーバへのリンクのみを送信するようにし
ている。また、この際、ウエブサーバは、Set Cookie
(図18参照)にサーバ追跡用識別子を付加して送信す
る。
【0167】これを受けたネットワーク処理装置26
は、受信したポート番号に基づいてウエブサーバを特定
し、ユーザ関連付けテーブル(図16)を参照して、ユ
ーザを特定する。また、ユーザ関連付けテーブルのサー
バ追跡用識別子を更新する。
は、受信したポート番号に基づいてウエブサーバを特定
し、ユーザ関連付けテーブル(図16)を参照して、ユ
ーザを特定する。また、ユーザ関連付けテーブルのサー
バ追跡用識別子を更新する。
【0168】ネットワーク処理装置26は、送信されて
きた当該ユーザの権限情報を、ユーザ対応付けテーブル
に記憶する。図34に、ユーザの権限情報の例を示す。
きた当該ユーザの権限情報を、ユーザ対応付けテーブル
に記憶する。図34に、ユーザの権限情報の例を示す。
【0169】さらに、ネットワーク処理装置26は、ユ
ーザ関連付けテーブルから、ユーザ追跡用識別子を読み
出して、Set Cookieを書き換える。
ーザ関連付けテーブルから、ユーザ追跡用識別子を読み
出して、Set Cookieを書き換える。
【0170】クライエントのブラウザプログラムが応答
する場合には、このSet Cookieに記述したユーザ追跡用
識別子が返送されてくるのでユーザを特定することがで
きる。しかし、ユーザが動画へのリンク(図31参照)
をクリックした場合、クライエント側では動画プレイヤ
ーが応答を返してくる。この動画プレイヤーは、ユーザ
追跡用識別子を返送しないので、ユーザを特定すること
ができなくなる。
する場合には、このSet Cookieに記述したユーザ追跡用
識別子が返送されてくるのでユーザを特定することがで
きる。しかし、ユーザが動画へのリンク(図31参照)
をクリックした場合、クライエント側では動画プレイヤ
ーが応答を返してくる。この動画プレイヤーは、ユーザ
追跡用識別子を返送しないので、ユーザを特定すること
ができなくなる。
【0171】そこで、ネットワーク処理装置26は、窓
口サーバから送信されてきたコンテンツ中から、動画サ
ーバに対する全てのリンクを見いだして、当該全てのリ
ンクのアドレス中にユーザ関連付け識別子を埋め込むよ
うにしている(ステップSK58、図9のステップS3
45)。
口サーバから送信されてきたコンテンツ中から、動画サ
ーバに対する全てのリンクを見いだして、当該全てのリ
ンクのアドレス中にユーザ関連付け識別子を埋め込むよ
うにしている(ステップSK58、図9のステップS3
45)。
【0172】たとえば、動画サーバのアドレスが、rts
p://111.222.33.444:554//public/kccs1-64k.mp4であっ
た場合、ネットワーク処理装置26は、これに、ユーザ
追跡用識別子qt/12Z31z34LtF4ThJi10/28を付加して、次
のような偽アドレスにする。rtsp://111.222.33.444:55
4/qt/12Z31z34LtF4ThJi10/28/public/kccs1-64k.mp4ネ
ットワーク処理装置26は、このように変換を行った
後、コンテンツ(動画サーバに対するリンク画面)を、
クライエントに転送する(ステップSK58)。クライ
エントでは、これを受けて、ブラウザプログラムが図3
1に示すような画面を表示する。
p://111.222.33.444:554//public/kccs1-64k.mp4であっ
た場合、ネットワーク処理装置26は、これに、ユーザ
追跡用識別子qt/12Z31z34LtF4ThJi10/28を付加して、次
のような偽アドレスにする。rtsp://111.222.33.444:55
4/qt/12Z31z34LtF4ThJi10/28/public/kccs1-64k.mp4ネ
ットワーク処理装置26は、このように変換を行った
後、コンテンツ(動画サーバに対するリンク画面)を、
クライエントに転送する(ステップSK58)。クライ
エントでは、これを受けて、ブラウザプログラムが図3
1に示すような画面を表示する。
【0173】これに応じて、ユーザが、「動画方式A」
をクリックすると(ステップSK60)、クライエント
側の動画プレイヤープログラムが作動する(ステップS
K61)。この動画プレイヤーは、「動画方式A」の表
示に対応付けて記述されている動画サーバのアドレスを
伴って、アクセス要求を送信する(ステップSK6
2)。
をクリックすると(ステップSK60)、クライエント
側の動画プレイヤープログラムが作動する(ステップS
K61)。この動画プレイヤーは、「動画方式A」の表
示に対応付けて記述されている動画サーバのアドレスを
伴って、アクセス要求を送信する(ステップSK6
2)。
【0174】図35に、このアクセス要求の例を示す。
1行目が、アクセス要求先の動画サーバのアドレスであ
る。前述のように、このアドレスは、ネットワーク処理
装置26によってユーザ追跡用識別子qt/12Z31z34LtF4T
hJi10/28が埋め込まれた偽アドレスとなっている。
1行目が、アクセス要求先の動画サーバのアドレスであ
る。前述のように、このアドレスは、ネットワーク処理
装置26によってユーザ追跡用識別子qt/12Z31z34LtF4T
hJi10/28が埋め込まれた偽アドレスとなっている。
【0175】ネットワーク処理装置26は、このアクセ
ス要求を受けて、偽アドレス中からユーザ追跡用識別子
を抽出し、ユーザ関連付けテーブルを参照してユーザを
特定する(ステップSK63)。さらに、偽アドレスか
らユーザ追跡用識別子を除去して、正しいアドレスに復
元する(図36参照)。そして、ユーザ関連付けテーブ
ルに記憶しておいた権限情報を参照し、当該ユーザがこ
のアドレスにアクセスする権限を有しているか否かを判
断する。権限を有していない場合には、ネットワーク処
理装置26は、図33に示すような画面をクライエント
の動画プレイヤーに返送する。
ス要求を受けて、偽アドレス中からユーザ追跡用識別子
を抽出し、ユーザ関連付けテーブルを参照してユーザを
特定する(ステップSK63)。さらに、偽アドレスか
らユーザ追跡用識別子を除去して、正しいアドレスに復
元する(図36参照)。そして、ユーザ関連付けテーブ
ルに記憶しておいた権限情報を参照し、当該ユーザがこ
のアドレスにアクセスする権限を有しているか否かを判
断する。権限を有していない場合には、ネットワーク処
理装置26は、図33に示すような画面をクライエント
の動画プレイヤーに返送する。
【0176】アクセス権限を有している場合には、この
アクセス要求を動画サーバに転送する(ステップSK6
4)。
アクセス要求を動画サーバに転送する(ステップSK6
4)。
【0177】動画サーバは、このアクセス要求に応答し
て、動画データを送信する(ステップSK65)。図3
7にその応答の例を示す。
て、動画データを送信する(ステップSK65)。図3
7にその応答の例を示す。
【0178】ネットワーク処理装置26は、この動画デ
ータを、そのままクライエントの動画プレイヤーに転送
する(ステップSK66)。この動画データに、識別子
を付さないのは、動画プレイヤーから他のコンテンツへ
リンクするという状況がないと想定したからである。
ータを、そのままクライエントの動画プレイヤーに転送
する(ステップSK66)。この動画データに、識別子
を付さないのは、動画プレイヤーから他のコンテンツへ
リンクするという状況がないと想定したからである。
【0179】クライエントにおいては、この動画データ
を再生する(ステップSK67)。その画面例を図32
に示す。
を再生する(ステップSK67)。その画面例を図32
に示す。
【0180】なお、動画プレイヤーによる再生が終了し
た後、クライエント側のブラウザがアクセス要求を出し
た際にも、ネットワーク処理装置26は、ユーザ追跡用
識別子によってユーザを特定することができる。
た後、クライエント側のブラウザがアクセス要求を出し
た際にも、ネットワーク処理装置26は、ユーザ追跡用
識別子によってユーザを特定することができる。
【0181】また、上記では動画について説明したが、
音声、音楽等のサーバについても同様に適用することが
できる。
音声、音楽等のサーバについても同様に適用することが
できる。
【0182】−他の実施形態−
(1)上記各実施形態におけるネットワーク処理装置で
は、ハブ28やルータなどと別に設けているが、ハブや
ルータの機能も実現するネットワーク処理装置としても
よい。たとえば、スイッチングハブの機能も有するよう
にした場合には、クライエントからの通信データを、所
望のサーバに対する通信路を選択して送信する機能(選
択手段)を持つことになる。
は、ハブ28やルータなどと別に設けているが、ハブや
ルータの機能も実現するネットワーク処理装置としても
よい。たとえば、スイッチングハブの機能も有するよう
にした場合には、クライエントからの通信データを、所
望のサーバに対する通信路を選択して送信する機能(選
択手段)を持つことになる。
【0183】(2)上記各実施形態では、個別認証におい
て、各ウエブサーバ毎の独自のユーザIDやパスワード
を使用できるようにしている。このことにより、既存の
ウエブサーバに対しても、本ネットワーク処理装置を用
いることが可能となる。しかし、ネットワーク処理装置
26に新たに接続するウエブサーバ等に対しては、一元
認証において用いたユーザIDやパスワードを共通して
用いるようにしてもよい。
て、各ウエブサーバ毎の独自のユーザIDやパスワード
を使用できるようにしている。このことにより、既存の
ウエブサーバに対しても、本ネットワーク処理装置を用
いることが可能となる。しかし、ネットワーク処理装置
26に新たに接続するウエブサーバ等に対しては、一元
認証において用いたユーザIDやパスワードを共通して
用いるようにしてもよい。
【0184】(3)上記実施形態では、図12の一元的認
証において、ステップSK3において一元的認証画面を
クライエントに送信している。しかし、図38に示すよ
うに、セッションにおける最初のウエブサーバによる個
別認証を、一元的認証として用いてもよい。
証において、ステップSK3において一元的認証画面を
クライエントに送信している。しかし、図38に示すよ
うに、セッションにおける最初のウエブサーバによる個
別認証を、一元的認証として用いてもよい。
【0185】ネットワーク処理装置26は、識別子の付
されていないアクセス要求(かつ、前回URLの付され
ていないアクセス要求)を受けると、当該ユーザをゲス
トとして扱って、ユーザ関連づけテーブルに登録する
(ステップSK103)。続いて、ネットワーク処理装
置26は、識別子を付けずに、そのままサービス要求を
ウエブサーバに転送する(ステップSK104)。
されていないアクセス要求(かつ、前回URLの付され
ていないアクセス要求)を受けると、当該ユーザをゲス
トとして扱って、ユーザ関連づけテーブルに登録する
(ステップSK103)。続いて、ネットワーク処理装
置26は、識別子を付けずに、そのままサービス要求を
ウエブサーバに転送する(ステップSK104)。
【0186】ウエブサーバは、識別子が付いていないこ
とから、最初のアクセスであると判断し、サーバ追跡用
識別子を付して認証要求を送信する(ステップSK10
5)。ネットワーク処理装置26は、ユーザ関連づけテ
ーブルを更新し、ユーザ追跡用識別子を付して、この認
証要求をクライエントに転送する(ステップSK10
6)。
とから、最初のアクセスであると判断し、サーバ追跡用
識別子を付して認証要求を送信する(ステップSK10
5)。ネットワーク処理装置26は、ユーザ関連づけテ
ーブルを更新し、ユーザ追跡用識別子を付して、この認
証要求をクライエントに転送する(ステップSK10
6)。
【0187】クライエントは、この認証要求に対し、ユ
ーザID、パスワードなどのユーザ認証情報を送信する
(ステップSK107)。ネットワーク処理装置26
は、このユーザ認証情報を受けて、ユーザ関連づけテー
ブルを参照して、記憶しておいたサーバ追跡用識別子を
付して、ユーザ認証情報をウエブサーバに転送する(ス
テップSK108)。
ーザID、パスワードなどのユーザ認証情報を送信する
(ステップSK107)。ネットワーク処理装置26
は、このユーザ認証情報を受けて、ユーザ関連づけテー
ブルを参照して、記憶しておいたサーバ追跡用識別子を
付して、ユーザ認証情報をウエブサーバに転送する(ス
テップSK108)。
【0188】ウエブサーバは、これを受けてユーザ認証
を行い、サービス応答(コンテンツ)を送信する(ステ
ップSK109)。その後の処理は、図12のステップ
SK10以下と同様である。
を行い、サービス応答(コンテンツ)を送信する(ステ
ップSK109)。その後の処理は、図12のステップ
SK10以下と同様である。
【0189】上記のように、この実施形態では、最初の
ウエブサーバの個別認証処理を一元的認証処理として利
用している。この個別認証処理による一元認証処理が済
んだ後は、図12の実施形態と同じように、新たにアク
セスするウエブサーバに対して、ネットワーク処理装置
26が自動的に個別認証を行う。
ウエブサーバの個別認証処理を一元的認証処理として利
用している。この個別認証処理による一元認証処理が済
んだ後は、図12の実施形態と同じように、新たにアク
セスするウエブサーバに対して、ネットワーク処理装置
26が自動的に個別認証を行う。
【0190】(4)上記各実施形態においては、図2に示
す各機能をCPUとプログラムを用いて実現している
が、その一部または全部をハードウエアロジックによっ
て構成してもよい。
す各機能をCPUとプログラムを用いて実現している
が、その一部または全部をハードウエアロジックによっ
て構成してもよい。
【図1】この発明の一実施形態によるネットワーク処理
装置26を用いたネットワークを示す図である。
装置26を用いたネットワークを示す図である。
【図2】ネットワーク処理装置26の機能ブロックを示
す図である。
す図である。
【図3】ネットワーク処理装置26のハードウエア構成
を示す図である。
を示す図である。
【図4】ネットワーク処理プログラムのフローチャート
を示す図である。
を示す図である。
【図5】ネットワーク処理プログラムのフローチャート
を示す図である。
を示す図である。
【図6】ネットワーク処理プログラムのフローチャート
を示す図である。
を示す図である。
【図7】ネットワーク処理プログラムのフローチャート
を示す図である。
を示す図である。
【図8】ネットワーク処理プログラムのフローチャート
を示す図である。
を示す図である。
【図9】ネットワーク処理プログラムのフローチャート
を示す図である。
を示す図である。
【図10】ネットワーク処理プログラムのフローチャー
トを示す図である。
トを示す図である。
【図11】通信データの構造を示す図である。
【図12】一元的認証を行う際のシーケンスフローを示
す図である。
す図である。
【図13】クライエントからのアクセス要求の詳細を示
す図である。
す図である。
【図14】サーバに転送されるアクセス要求の詳細を示
す図である。
す図である。
【図15】認証画面例をを示す図である。
【図16】認証画面例を示す図である。
【図17】ユーザ情報のデータ例を示す図である。
【図18】ユーザ関連づけテーブルを示す図である。
【図19】サーバからのコンテンツデータの例を示す図
である。
である。
【図20】クライエントに転送されるコンテンツデータ
の例を示す図である。
の例を示す図である。
【図21】クライエント追跡用識別子を取得する処理の
フローチャートを示す図である。
フローチャートを示す図である。
【図22】ユーザの追跡処理のシーケンスフローを示す
図である。
図である。
【図23】サーバからの認証要求を示す図である。
【図24】認証要求に対してネットワーク処理装置26
が送信するデータを示す図である。
が送信するデータを示す図である。
【図25】認証の有無をユーザ毎に記録するテーブルを
示す図である。
示す図である。
【図26】動画サーバに対する処理のシーケンスフロー
を示す図である。
を示す図である。
【図27】動画サーバに対する処理のシーケンスフロー
を示す図である。
を示す図である。
【図28】動画サーバアクセスに関するログイン画面を
示す図である。
示す図である。
【図29】動画サーバアクセスに関する画面例を示す図
である。
である。
【図30】動画サーバアクセスに関する画面例を示す図
である。
である。
【図31】動画サーバアクセスに関する画面例を示す図
である。
である。
【図32】動画サーバアクセスに関する画面例を示す図
である。
である。
【図33】動画サーバアクセスに関する画面例を示す図
である。
である。
【図34】ユーザ関連づけテーブルに記録した各ユーザ
毎の動画サーバに対するアクセス権限を示す図である。
毎の動画サーバに対するアクセス権限を示す図である。
【図35】クライエントから動画サーバへの要求例を示
す図である。
す図である。
【図36】動画サーバに転送される要求例を示す図であ
る。
る。
【図37】動画サーバからの応答例を示す図である。
【図38】他の実施形態による一元的認証のシーケンス
フローを示す図である。
フローを示す図である。
【図39】従来の一元的認証のシステムを示す図であ
る。
る。
【図40】従来の一元的認証のシステムを示す図であ
る。
る。
40・・・対クライエント通信手段
42・・・対サーバ通信手段
44・・・解析手段
46・・・認証手段
48・・・転送手段
Claims (36)
- 【請求項1】通信路によって通信可能な1以上のクライ
エントと複数のサーバとの間に設けられたネットワーク
処理装置であって、 クライエントとの通信路に結合され、クライエントとの
間での通信データのやりとりを行う対クライエント通信
手段と、 サーバとの通信路に結合され、サーバとの間での通信デ
ータのやりとりを行う対サーバ通信手段と、 対クライエント通信手段によってクライエントから受信
した通信データを、対サーバ通信手段によってサーバに
転送し、対サーバ通信手段によってサーバから受信した
通信データを、対クライエント通信手段によってクライ
エントに転送する処理手段と、 を備えており、 前記処理手段は、 受信した通信データの通信内容を解析する解析手段と、 通信内容が、クライエントからいずれかのサーバに向け
たアクセス要求であれば、当該アクセス要求を行ったユ
ーザの一元的認証が済んでいるか否かを判断し;一元的
認証済でなければ、当該クライエントとの間で一元的認
証処理を行い;一元的認証済であれば、前記アクセス要
求を前記サーバに転送する認証手段と、 を備えていることを特徴とするもの。 - 【請求項2】通信路によって通信可能な1以上のクライ
エントと複数のサーバとの間に設けられたネットワーク
処理装置としてコンピュータを動作させるためのプログ
ラムであって、 クライエントから受信した通信データをサーバに転送
し、サーバから受信した通信データをクライエントに転
送する処理手段としてコンピュータを動作させるための
プログラムであり、 前記プログラムにより実現される処理手段は、 受信した通信データの通信内容を解析する解析手段と、 通信内容が、クライエントからいずれかのサーバに向け
たアクセス要求であれば、当該アクセス要求を行ったユ
ーザの一元的認証が済んでいるか否かを判断し;一元的
認証済でなければ、当該クライエントとの間で一元的認
証処理を行い;一元的認証済であれば、前記アクセス要
求を前記サーバに転送する認証手段と、 を備えていることを特徴とするもの。 - 【請求項3】請求項2のプログラムを記録した記録媒
体。 - 【請求項4】請求項1〜3のいずれかのネットワーク処
理装置、プログラムまたは記録媒体において、 前記認証手段は、前記通信内容が、クライエントからい
ずれかのサーバに向けたアクセス要求であれば、当該ア
クセス要求を行ったユーザの一元的認証が済んでいるか
否かを判断し;一元的認証済でなければ、前記アクセス
要求を前記サーバへ直ちに転送せず保持しておき、当該
クライエントとの間で一元的認証処理を行った後、前記
アクセス要求を前記サーバに転送し;一元的認証済であ
れば、前記アクセス要求を前記サーバに転送することを
特徴とするもの。 - 【請求項5】請求項1〜3のいずれかのネットワーク処
理装置、プログラムまたは記録媒体において、 前記認証手段は、前記通信内容が、クライエントからい
ずれかのサーバに向けたアクセス要求であれば、当該ア
クセス要求を行ったユーザの一元的認証が済んでいるか
否かを判断し;一元的認証済でなければ、前記アクセス
要求を前記サーバへ転送して、当該サーバから送信され
てくる個別認証要求をクライエントに転送して個別認証
を行い、当該個別認証を一元的認証として利用すること
を特徴とするもの。 - 【請求項6】請求項1〜5のいずれかのネットワーク処
理装置、プログラムまたは記録媒体において、 前記認証手段は、クライエントとの通信において、クラ
イエント追跡用識別子を付与して通信データを送信し、
クライエントからの通信データに含まれるクライエント
追跡用識別子に基づいて、ユーザを特定することを特徴
とするもの。 - 【請求項7】請求項6のネットワーク処理装置、プログ
ラムまたは記録媒体において、 前記認証手段は、通信データ中のセッションIDを利用
して、クライエント追跡用識別子を、クライエントとの
間でやりとりすることを特徴とするもの。 - 【請求項8】請求項6のネットワーク処理装置、プログ
ラムまたは記録媒体において、 前記認証手段は、クライエントがセッションIDのやり
とりに対応していない場合には、通信データ中のリンク
アドレスにクライエント追跡用識別子を埋め込んで偽ア
ドレスとしてクライエントに送信し、これに対するクラ
イエントからの偽アドレスに対するアクセス要求を受け
ると、当該偽アドレスからクライエント追跡用識別子を
抽出するとともに、正しいアドレスを復元することを特
徴とするもの。 - 【請求項9】請求項6〜8のいずれかのネットワーク処
理装置、プログラムまたは記録媒体において、 前記認証手段は、前記クライエント追跡用識別子を伴わ
ないクライエントからのアクセス要求を受信した場合で
あって、当該アクセス要求の通信データに前回のアクセ
ス先サーバが記述されていない場合には、一元的認証が
済んでいないと判断することを特徴とするもの。 - 【請求項10】請求項1〜9のいずれかネットワーク処
理装置、プログラムまたは記録媒体において、 前記認証手段は、前記アクセス要求の転送先であるサー
バから、個別認証要求を受けた場合、当該ユーザの一元
的認証が済んでいれば、当該個別認証要求をクライエン
ト装置に転送せず、当該サーバとの間で個別認証処理を
行うことを特徴とするもの。 - 【請求項11】請求項10のネットワーク処理装置、プ
ログラムまたは記録媒体において、 少なくとも個別認証に必要な情報を各ユーザごとに記録
したユーザ情報記録部を備えており、 前記認証手段は、前記一元的認証処理の際に、前記クラ
イエント追跡用識別子とユーザとを関連づけておき、前
記個別認証処理の際に、前記クライエント追跡用識別子
に基づいて特定したユーザについて、ユーザ情報記録部
から個別認証に必要な情報を取得して用いることを特徴
とするもの。 - 【請求項12】請求項10または11のネットワーク処
理装置、プログラムまたは記録媒体において、 前記認証手段は、サーバによって付与されるサーバ追跡
用識別子を返信することにより、サーバにいずれからの
通信であるかを特定させることを特徴とするもの。 - 【請求項13】請求項12のネットワーク処理装置、プ
ログラムまたは記録媒体において、 前記処理手段は、 同一のユーザについてのクライエント追跡用識別子と、
サーバ追跡用識別子とを対応づけて記憶し、前記クライ
エントからの通信データに含まれるクライエント追跡用
識別子を、対応するサーバ追跡用識別子に書き換えて転
送し、前記サーバからの通信データに含まれるサーバ追
跡用識別子を、対応するクライエント追跡用識別子に書
き換えて転送する転送手段をさらに備えていることを特
徴とするもの。 - 【請求項14】請求項13のネットワーク処理装置、プ
ログラムまたは記録媒体において、 前記転送手段は、前記クライエントからの通信データを
受けると、クライエント追跡用識別子に基づいてユーザ
を特定し、ユーザ情報記録部から、アクセス要求先のサ
ーバについての当該ユーザの認証情報を読み出し、当該
認証情報を、そのままもしくは暗号化して通信データに
付加し、サーバに転送することを特徴とするもの。 - 【請求項15】請求項4〜14のいずれかのネットワー
ク処理装置、プログラムまたは記録媒体において、 前記認証手段は、前記クライエント追跡用識別子を伴わ
ないクライエントからのアクセス要求を受信した場合で
あって、当該アクセス要求の通信データに前回のアクセ
ス先サーバが記述されている場合には、 当該アクセス要求を一時保持しておき、 クライエントに対して、前回のアクセス先サーバに対す
る偽アクセス要求を送信するように要求し、 当該要求に応じて送信されてきた偽アクセス要求の通信
データから、クライエント追跡用識別子を取得するとと
もに、当該偽アクセス要求をサーバに転送せず破棄し、 取得したクライエント追跡用識別子に基づいてユーザを
特定することを特徴とするもの。 - 【請求項16】請求項1〜15のいずれかのネットワー
ク処理装置、プログラムまたは記録媒体において、 前記解析手段は、クライエントまたはサーバのアプリケ
ーションの処理をシミュレートして、通信データの通信
内容を解析することを特徴とするもの。 - 【請求項17】請求項16のネットワーク処理装置、プ
ログラムまたは記録媒体において、 前記解析手段は、前記シミュレートの結果、通信内容に
エラーがあると判断した場合には、当該通信データを転
送せず、再送要求を送信することを特徴とするもの。 - 【請求項18】請求項1〜17のいずれかのネットワー
ク処理装置、プログラムまたは記録媒体において、 前記対サーバ通信手段は、前記複数のサーバに対して、
個別の通信路によって接続されており、 前記処理手段は、クライエントからの通信データを、所
望のサーバに対する通信路を選択して送信する選択手段
を備えていることを特徴とするもの。 - 【請求項19】クライエントから受信した通信データを
サーバに転送し、サーバから受信した通信データをクラ
イエントに転送するネットワーク転送方法において、 上記転送処理時に、受信した通信データの通信内容を解
析し、 通信内容が、クライエントからいずれかのサーバに向け
たアクセス要求であれば、当該アクセス要求を行ったユ
ーザの一元的認証が済んでいるか否かを判断し;一元的
認証済でなければ、当該クライエントとの間で一元的認
証処理を行い;一元的認証済であれば、前記アクセス要
求を前記サーバに転送することを特徴とするネットワー
ク転送方法。 - 【請求項20】通信路によって通信可能な1以上のクラ
イエントと複数のサーバとの間に設けられたネットワー
ク処理装置であって、 クライエントとの通信路に結合され、クライエントとの
間での通信データのやりとりを行う対クライエント通信
手段と、 サーバとの通信路に結合され、サーバとの間での通信デ
ータのやりとりを行う対サーバ通信手段と、 対クライエント通信手段によってクライエントから受信
した通信データを、対サーバ通信手段によってサーバに
転送し、対サーバ通信手段によってサーバから受信した
通信データを、対クライエント通信手段によってクライ
エントに転送する処理手段と、 を備えており、 前記処理手段は、 セッションを識別するためにクライエントとの間の通信
データに記述されるクライエント追跡用識別子と、何れ
のサーバからの通信であるかを特定するためのサーバ特
定用データとを、同一のユーザについて対応づけて記憶
することを特徴とするもの。 - 【請求項21】通信路によって通信可能な1以上のクラ
イエントと複数のサーバとの間に設けられたネットワー
ク処理装置としてコンピュータを動作させるためのプロ
グラムであって、 クライエントから受信した通信データをサーバに転送
し、サーバから受信した通信データをクライエントに転
送する処理手段としてコンピュータを動作させるための
プログラムであり、 前記プログラムにより実現される処理手段は、 セッションを識別するためにクライエントとの間の通信
データに記述されるクライエント追跡用識別子と、何れ
のサーバからの通信であるかを特定するためのサーバ特
定用データとを、同一のユーザについて対応づけて記憶
することを特徴とするもの。 - 【請求項22】請求項21のプログラムを記録した記録
媒体。 - 【請求項23】請求項20〜22のいずれかのネットワ
ーク処理装置、プログラムまたは記録媒体において、 前記処理手段は、さらに、サーバからの通信データに含
まれるサーバ追跡用識別子を、同一のユーザについて、
前記クライエント追跡用識別子に対応付けて記憶し、ク
ライエントからの通信データに含まれるクライエント追
跡用識別子を、対応するサーバ追跡用識別子に書き換え
て転送し、前記サーバからの通信データに含まれるサー
バ追跡用識別子を、対応するクライエント追跡用識別子
に書き換えて転送する転送手段を備えていることを特徴
とするもの。 - 【請求項24】請求項20〜23のいずれかのネットワ
ーク処理装置、プログラムまたは記録媒体において、 前記転送手段は、通信データ中のセッションIDを利用
して、クライエント追跡用識別子を、クライエントとの
間でやりとりすることを特徴とするもの。 - 【請求項25】請求項20〜23のネットワーク処理装
置、プログラムまたは記録媒体において、 前記転送手段は、通信データ中のリンクアドレスにクラ
イエント追跡用識別子を埋め込んで偽アドレスとしてク
ライエントに送信し、これに対するクライエントからの
偽アドレスに対するアクセス要求を受けると、当該偽ア
ドレスからクライエント追跡用識別子を抽出するととも
に、正しいアドレスを復元することを特徴とするもの。 - 【請求項26】請求項20〜25のいずれかのネットワ
ーク処理装置、プログラムまたは記録媒体において、 前記処理手段は、通信データに記述されているクライエ
ント追跡用識別子またはサーバ追跡用識別子に基づいて
ユーザを特定し、当該ユーザのアクセス状況を記録する
アクセス記録手段を備えていることを特徴とするもの。 - 【請求項27】クライエントから受信した通信データを
複数のサーバのいずれかに転送し、複数のサーバのいず
れかから受信した通信データをクライエントに転送する
ネットワーク転送方法において、 上記転送処理時に、セッションを識別するためにクライ
エントとの間の通信データに記述されるクライエント追
跡用識別子と、何れのサーバからの通信であるかを特定
するためのサーバ特定用データとを、同一のユーザにつ
いて対応づけて記憶し、クライエントとサーバとの対応
関係を把握することを特徴とするネットワーク転送方
法。 - 【請求項28】複数のクライエントと複数のサーバとの
間の通信を、各ユーザを特定しつつ監視するネットワー
ク処理装置であって、 当該ネットワーク装置はアドレスを有しておらず、 クライエントとサーバとの間の通信を転送するものであ
り、 当該転送時に、クライエントまたはサーバの機能の少な
くとも一部をシミュレートして通信内容を解析して監視
を行うことを特徴とするもの。 - 【請求項29】複数のクライエントと複数のサーバとの
間の通信を、各ユーザを特定しつつ監視するネットワー
ク処理装置をコンピュータによって実現するためのプロ
グラムであって、 前記ネットワーク処理装置にはアドレスが与えられてお
らず、 前記プログラムは、クライエントとサーバとの間の通信
を転送するものであり、当該転送時に、クライエントま
たはサーバの機能の少なくとも一部をシミュレートして
通信内容を解析して監視を行うことを特徴とするもの。 - 【請求項30】請求項29のプログラムを記録した記録
媒体。 - 【請求項31】複数のクライエントと複数のサーバとの
間の通信を、各ユーザを特定しつつ監視する方法であっ
て、 複数のクライエントと複数のサーバとの間に、アドレス
を有さないネットワーク装置を設け、 当該ネットワーク装置により、クライエントとサーバと
の間の通信を転送するとともに、当該転送時に、クライ
エントまたはサーバの機能の少なくとも一部をシミュレ
ートして通信内容を解析して監視を行うことを特徴とす
るもの。 - 【請求項32】複数のクライエントと複数のサーバとの
間の通信を監視するネットワーク処理装置であって、 ネットワークレイヤーの低いレベルにおいて、クライエ
ントとサーバ間の通信データを転送しつつ、 ナットワークレイヤーの高いレベルにおいて、前記通信
内容を取得することを特徴とするネットワーク処理装
置。 - 【請求項33】複数のクライエントと複数のサーバとの
間の通信を監視するネットワーク処理装置をコンピュー
タを用いて実現するためのプログラムであって、 ネットワークレイヤーの低いレベルにおいて、クライエ
ントとサーバ間の通信データを転送しつつ、 ネットワークレイヤーの高いレベルにおいて、前記通信
内容を取得する処理をコンピュータに行わせるためのプ
ログラム。 - 【請求項34】請求項33のプログラムを記録した記録
媒体。 - 【請求項35】複数のクライエントと複数のサーバとの
間の通信を監視するネットワーク処理方法であって、 ネットワークレイヤーの低いレベルにおいて、クライエ
ントとサーバ間の通信データを転送しつつ、 ナットワークレイヤーの高いレベルにおいて、前記通信
内容を取得することを特徴とするネットワーク処理方
法。 - 【請求項36】クライエントとサーバとの間の通信デー
タの転送を行いつつ、各通信のユーザを特定する方法で
あって、 クライエントに対してはクライエント追跡用識別子を付
して通信データを送信し、クライエントからの通信デー
タに含まれるクライエント追跡用識別子に基づいてユー
ザを特定し、 サーバに対しては、サーバからの通信データに付されて
きたサーバ追跡用識別子を記憶しておき、サーバへの通
信データにこのサーバ追跡用識別子を付して送信し、 前記クライエント追跡用識別子とサーバ追跡用識別子と
を、各ユーザごとに対応付けて記憶することにより、各
通信のユーザを特定することを特徴とするもの。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002134679A JP2003330886A (ja) | 2002-05-09 | 2002-05-09 | ネットワーク処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002134679A JP2003330886A (ja) | 2002-05-09 | 2002-05-09 | ネットワーク処理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003330886A true JP2003330886A (ja) | 2003-11-21 |
Family
ID=29697247
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002134679A Pending JP2003330886A (ja) | 2002-05-09 | 2002-05-09 | ネットワーク処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003330886A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007520797A (ja) * | 2003-12-29 | 2007-07-26 | ノキア インコーポレイテッド | 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 |
| JP2008077598A (ja) * | 2006-09-25 | 2008-04-03 | Shimizu Corp | ネットワークシステム及び情報アクセス方法 |
| JP2009088765A (ja) * | 2007-09-28 | 2009-04-23 | Onkyo Corp | ネットワークシステム、中継デバイス及び中継プログラム |
| JP2011524559A (ja) * | 2008-04-22 | 2011-09-01 | バークレイズ・キャピタル・インコーポレーテッド | 安全なリモートコンピュータのタスク自動化のためのシステム及び方法 |
| JP2012203781A (ja) * | 2011-03-28 | 2012-10-22 | Nippon Telegraph & Telephone West Corp | 認証システム、認証連携装置、認証方法 |
| US8305596B2 (en) | 2005-01-17 | 2012-11-06 | Canon Kabushiki Kaisha | Information processing apparatus, information processing method, program, and storage medium |
| JP2013073421A (ja) * | 2011-09-28 | 2013-04-22 | Nippon Telegraph & Telephone West Corp | 情報処理システム、及び情報処理方法 |
-
2002
- 2002-05-09 JP JP2002134679A patent/JP2003330886A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007520797A (ja) * | 2003-12-29 | 2007-07-26 | ノキア インコーポレイテッド | 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 |
| US8305596B2 (en) | 2005-01-17 | 2012-11-06 | Canon Kabushiki Kaisha | Information processing apparatus, information processing method, program, and storage medium |
| JP2008077598A (ja) * | 2006-09-25 | 2008-04-03 | Shimizu Corp | ネットワークシステム及び情報アクセス方法 |
| JP2009088765A (ja) * | 2007-09-28 | 2009-04-23 | Onkyo Corp | ネットワークシステム、中継デバイス及び中継プログラム |
| JP2011524559A (ja) * | 2008-04-22 | 2011-09-01 | バークレイズ・キャピタル・インコーポレーテッド | 安全なリモートコンピュータのタスク自動化のためのシステム及び方法 |
| JP2012203781A (ja) * | 2011-03-28 | 2012-10-22 | Nippon Telegraph & Telephone West Corp | 認証システム、認証連携装置、認証方法 |
| JP2013073421A (ja) * | 2011-09-28 | 2013-04-22 | Nippon Telegraph & Telephone West Corp | 情報処理システム、及び情報処理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5296726B2 (ja) | Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム | |
| CN104350719B (zh) | 联合数据服务装置和方法 | |
| US8037191B2 (en) | Low-level remote sharing of local devices in a remote access session across a computer network | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| US9729642B2 (en) | Sharing web application sessions across multiple devices | |
| US7660845B2 (en) | Methods and apparatus for verifying context participants in a context management system in a networked environment | |
| CN108306819A (zh) | 基于区块链的即时通讯系统实现方法、介质和计算设备 | |
| US20090132713A1 (en) | Single-roundtrip exchange for cross-domain data access | |
| US20010037407A1 (en) | System and method for managing user-specific data | |
| KR20180115937A (ko) | 대화형 콘텐츠 제공 시스템 | |
| CN101635707A (zh) | 在Web环境中为用户提供身份管理的方法和装置 | |
| TWI711971B (zh) | 資訊處理程式、資訊處理裝置、資訊處理方法及資訊處理系統 | |
| CN101978665B (zh) | 对网络通信请求的选择性过滤 | |
| JP2008186338A (ja) | アカウントリンキングシステム、アカウントリンキング方法、連携サーバ装置、クライアント装置 | |
| CN114139135B (zh) | 设备登录管理方法、装置及存储介质 | |
| JP2008015733A (ja) | ログ管理計算機 | |
| JP3833652B2 (ja) | ネットワークシステム、サーバ装置、および認証方法 | |
| JP2012073878A (ja) | アクセス解析装置及びアクセス解析方法及びアクセス解析プログラム | |
| JP2003330886A (ja) | ネットワーク処理装置 | |
| JP2007140975A (ja) | サービス提供システム、連携情報提供サーバ、認証サーバ、サービス提供サーバ、サービス提供方法、およびプログラム | |
| JP2005267529A (ja) | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 | |
| JP2009043043A (ja) | Sipを用いた認証システムおよび認証方法 | |
| JPH08320846A (ja) | 対話管理型情報提供方法及び装置 | |
| JP2006285648A (ja) | 認証支援システム、認証支援装置、認証支援方法、およびプログラム | |
| CN105519069A (zh) | 数据处理系统、中心装置以及程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050331 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050516 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050714 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050808 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051005 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060123 |