【0001】
【発明の属する技術分野】
本発明は、Webサーバにアクセスする情報処理システムのアクセス管理方法に関するものである。
【0002】
【従来の技術】
従来、Webを使用して情報処理システムを使用する場合、既定のURLにアクセスし、所定のユーザIDやパスワードを入力することでログインしたものとみなし、以降の使用が可能になるという方法が一般的であった。
【0003】
【発明が解決しようとする課題】
しかし、Webシステムはインターネットで接続された世界中のマシンから平等にアクセスできるため、一旦情報が漏れてしまうと、使用させたくない人からも、簡単にアクセスされてしまうと言う問題があった。
【0004】
【課題を解決するための手段】
上記課題を解決するため、アクセス要求URLに、発信アドレス情報、マシン名情報、メールアドレス情報、ログインユーザ名情報、ブラウザCookie情報などを付加して作成する手段、Webサーバ側で受け取ったアクセス要求URLから、これらの情報を抽出する手段とを持った処理装置及び方法を構成することを特徴とする。
【0005】
発行したアクセス要求URLに入っているこれらの情報にも、Webサーバ側でアクセス制限の意味をもたせることで、アクセス制御を、より細かく設定することができる。
【0006】
また、Webクライアントがアクセス要求URLを作成するとき付加されるHTTPヘッダの情報とアクセス要求URL内のこれらの情報を比較することで、本来要求を発行するべきではないユーザからのアクセス要求かどうかを判断し、アクセス制御を行なうことができると言う作用がある。
【0007】
【発明の実施の形態】
(実施例1)
図1は、Webサーバ上のアプリケーションソフトへのアクセスURLをWebシステムで作成し、そのURLを使用してユーザがアクセスする手順を示したものである。
【0008】
図2は、Webシステム全体のネットワーク処理装置の構成を示す図である。クライアントであるユーザはWebブラウザを用いて、Webサーバに接続して、希望の操作が行なえるようになっている。
【0009】
図3は、本WebシステムのWebサーバ側のブロック図を示すものである。301はシステムバスでありこのシステムバスを通して302 ̄310の各内部装置はデータをやり取りする。302はCPUであり、図4 ̄5のフローチャートにしたがって、各々ログインパネル表示処理、ログイン処理を行なう。303はROMであり、システムのOSを起動したり、各デバイスをアクセスするのに必要な固定プログラムが格納されている。304はRAMであり、305のハードディスクや、310のネットワークインターフェースカードを介して得られたプログラムを読み込んだり、プログラムの実行に必要なデータを一時保存したりするのに使われる。306はフロッピー(登録商標)ディスク装置でフロッピー(登録商標)ディスクから本ネットワーク処理手段を持ったプログラムを読み込んだり、他のデータを読み書きするのに用いられる。307はキーボードおよびマウスで、この入力装置を介してユーザはシステムに指示入力を行なう。308はディスプレイでシステムの状態を表示したりする。309はプリンタで、作動ログデータなどを紙に印刷できる。310はネットワークインターフェースカードで、本ログイン処理や実際のアクセス処理に関するデータのやりとりを、311のネットワークケーブルを介して行なう。
【0010】
Webサーバ上へのアプリケーションソフトへのアクセスURLを作成する方法について、図4に従って説明する。
【0011】
401で、ユーザから新規のアクセス用URLの発行要求を受け付ける。
【0012】
402で、そのユーザへの発行要求が正当なものであるか、要求項目をチェックし、正当でなければ、次の要求を待つ。
【0013】
403で、発行要求に含まれている特定情報を抽出する。特定情報とは、発信アドレス情報、マシン名情報、メールアドレス情報、ログインユーザ名、ブラウザCookie情報などである。
【0014】
404で、発行要求内容に基づき、そのアクセス用URLに対する使用権限を決定する。使用権限とは、アプリケーションソフトでどの情報をアクセスできるか、また、アクセスする際の読み書きに対する権限のことである。
【0015】
405で、アプリケーションを管理するサーバのDBに、403で抽出された上記特定情報と、404で決定された権限情報のペアを格納する。
【0016】
406で、アクセス用のURLに対するパラメータ情報に、抽出された特定情報を付加する。パラメータ情報とは、アプリケーションを動作させるのに必要な、URLアドレスに付随させる情報部分のことである。
【0017】
407で、アクセス用のURLに対するパラメータ情報部分全体を暗号化する。これは、ユーザが任意に改変するのを防ぐためである。
【0018】
408で、このパラメータ情報部分にチェックサムを付加し、改変されたかどうかがわかるようにする。
【0019】
409で、このパラメータを、アクセス用のURLに付加して、ユーザが実際に使用できるURLを完成させる。
【0020】
410で、このアクセス用のURLをユーザに対して返送、すなわち表示する画面を生成する。
【0021】
Webサーバ上のアプリケーションソフトが、ユーザからの上記アクセスURL要求を受付けて応答する方法について、図5に従って説明する。
【0022】
501で、Webサーバアプリケーションソフトはクライアントから新たなリクエストを受付ける。具体的にはWebサーバあてにクライアントから送付されてくるHTTPプロトコルに従ったデータを受け取り、内容を解析する。
【0023】
502で、リクエストデータからパラメータ部を抽出し、パラメータ部がユーザが理解困難なように暗号化されている場合、復号化を行なう。
【0024】
503で、パラメータ部に付加されているチェックサムデータを調査し、パラメータ部が改変もしくは壊れていないことを確認する。
【0025】
504で、パラメータ部に特定情報が含まれていれば抽出する。特定情報とは、403に対応する、発信アドレス情報、マシン名情報、メールアドレス情報、ログインユーザ名、ブラウザCookie情報などである。
【0026】
505で、抽出された特定情報に対応する使用権限情報を、アプリケーションを管理するDBから取得する。
【0027】
506で、アクセス要求を、取得された使用権限内に変更する。
【0028】
507で、使用権限に応じたアクセス要求の処理を行なう。
【0029】
508で、処理結果の画面を作成し、処理結果としてクライアント側に送出する。
【0030】
(実施例2)
アクセス要求URLのパラメータとして含ませている特定情報と、HTTPの仕組みとして含んでいる特定情報を比較して、応答を返す方法を図6及び7によって説明する。
【0031】
Webサーバ上へのアプリケーションソフトへのアクセスURLを作成する方法について、図6に従って説明する。
【0032】
601で、ユーザから新規のアクセス用URLの発行要求を受け付ける。
【0033】
602で、そのユーザへの発行要求が正当なものであるか、要求項目をチェックし、正当でなければ、次の要求を待つ。
【0034】
603で、発行要求に含まれている特定情報を抽出する。特定情報とは、発信アドレス情報、マシン名情報、メールアドレス情報、ログインユーザ名、ブラウザCookie情報などである。
【0035】
604で、発行要求内容に基づき、そのアクセス用URLに対する使用権限を決定する。使用権限とは、アプリケーションソフトでどの情報をアクセスできるか、また、アクセスする際の読み書きに対する権限のことである。
【0036】
605で、アクセス用のURLに対するパラメータ情報に、抽出された特定情報を付加する。パラメータ情報とは、アプリケーションを動作させるのに必要な、URLアドレス以外の情報部分のことである。
【0037】
606で、アクセス用のURLに対するパラメータ情報部分全体を暗号化する。これは、ユーザが任意に改変するのを防ぐためである。
【0038】
607で、このパラメータ情報部分にチェックサムを付加し、改変されたかどうかがわかるようにする。
【0039】
608で、このパラメータを、アクセス用のURLに付加して、ユーザが実際に使用できるURLを完成させる。
【0040】
609で、このアクセス用のURLをユーザに対して返送、すなわち表示する画面を生成する。
【0041】
Webサーバ上のアプリケーションソフトが、ユーザからの上記アクセスURL要求を受付けて応答する方法について、図7に従って説明する。
【0042】
701で、Webサーバアプリケーションソフトはクライアントから新たなリクエストを受付ける。具体的にはWebサーバあてにクライアントから送付されてくるHTTPプロトコルに従ったデータを受け取り、内容を解析する。
【0043】
702で、リクエストデータからパラメータ部を抽出し、パラメータ部がユーザが理解困難なように暗号化されている場合、復号化を行なう。
【0044】
703で、パラメータ部に付加されているチェックサムデータを調査し、パラメータ部が改変もしくは壊れていないことを確認する。
【0045】
704で、パラメータ部に特定情報が含まれていれば抽出する。特定情報とは、603に対応する、発信アドレス情報、マシン名情報、メールアドレス情報、ログインユーザ名、ブラウザCookie情報などである。
【0046】
705で、HTTPヘッダから特定情報を抽出する。Webに対するアクセスはHTTPプロトコルを用いて行なわれるが、特定情報は、各要求にHTTPヘッダ情報として含まれている。
【0047】
706で、704での特定情報と705での特定情報が等しく正しいかを判断する。
正しい場合、707で、アクセス要求の操作処理を行なう。
【0048】
708で、処理結果の画面を作成し、処理結果としてクライアント側に送出する。
【0049】
【発明の効果】
以上説明したように、本発明によればWebシステムのアプリケーションソフトのアクセス要求URLに入っている特定情報にも、Webサーバ側でアクセス制限の意味をもたせることで、アクセス制御を、より細かく設定することができる。
【0050】
また、Webクライアントがアクセス要求URLを作成するとき付加されるHTTPヘッダの情報とアクセス要求URL内のこれらの情報を比較することで、本来要求を発行するべきではないユーザからのアクセス要求かどうかを判断し、アクセス制御を行なうことができると言う効果がある。その場合、Webサーバ側には、制限情報を保持しておく必要がないため、いくらユーザが増えても、それに関する情報を管理する必要がない。
【図面の簡単な説明】
【図1】アクセス要求URLを使用してWebアプリケーションを動作させることを示した図。
【図2】Webシステム全体の構成を示す図。
【図3】本Webサーバの構成を示すブロック図。
【図4】実施例1のアクセス要求URL発行手順を示すフローチャート。
【図5】実施例1のアクセス実行手順を示すフローチャート。
【図6】実施例2のアクセス要求URL発行手順を示すフローチャート。
【図7】実施例2のアクセス実行手順を示すフローチャート。
【符号の説明】
301 システムバス
302 CPU
303 ROM
304 RAM
305 ハードディスク
306 フロッピー(登録商標)ディスク装置
307 キーボードおよびマウス
308 ディスプレイ
309 プリンタ
310 ネットワークインターフェースカード
311 ネットワークケーブル[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an access management method for an information processing system that accesses a Web server.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, when using an information processing system using the Web, a method is generally considered in which a predetermined URL is accessed, a predetermined user ID and a password are input to log in, and subsequent use is enabled. It was a target.
[0003]
[Problems to be solved by the invention]
However, since the Web system can be equally accessed from machines all over the world connected by the Internet, there is a problem that once the information is leaked, it can be easily accessed by those who do not want to use it.
[0004]
[Means for Solving the Problems]
In order to solve the above-mentioned problem, means for creating by adding transmission address information, machine name information, mail address information, login user name information, browser Cookie information, and the like to an access request URL, an access request URL received on a Web server side And a processing apparatus and method having means for extracting such information.
[0005]
By giving such information contained in the issued access request URL a meaning of access restriction on the Web server side, access control can be set more finely.
[0006]
Also, by comparing the information of the HTTP header added when the Web client creates the access request URL with the information in the access request URL, it is possible to determine whether the request is an access request from a user who should not originally issue the request. There is an effect that it is possible to determine and perform access control.
[0007]
BEST MODE FOR CARRYING OUT THE INVENTION
(Example 1)
FIG. 1 shows a procedure in which an access URL to application software on a Web server is created in a Web system, and a user accesses using the URL.
[0008]
FIG. 2 is a diagram illustrating a configuration of a network processing device of the entire Web system. A user who is a client can perform a desired operation by connecting to a Web server using a Web browser.
[0009]
FIG. 3 is a block diagram of the Web system on the Web server side. Reference numeral 301 denotes a system bus through which the internal devices 302 to 310 exchange data. A CPU 302 performs a login panel display process and a login process in accordance with the flowcharts of FIGS. Reference numeral 303 denotes a ROM, which stores a fixed program necessary for activating the OS of the system and accessing each device. Reference numeral 304 denotes a RAM, which is used to read a program obtained via a hard disk 305 or a network interface card 310 and temporarily store data necessary for executing the program. A floppy (registered trademark) disk device 306 is used to read a program having the network processing means from a floppy (registered trademark) disk, and to read and write other data. Reference numeral 307 denotes a keyboard and a mouse, through which the user inputs instructions to the system. A display 308 displays the status of the system. A printer 309 can print operation log data and the like on paper. Reference numeral 310 denotes a network interface card for exchanging data relating to the main login process and the actual access process via a network cable 311.
[0010]
A method of creating an access URL to the application software on the Web server will be described with reference to FIG.
[0011]
At 401, a request for issuing a new access URL is received from the user.
[0012]
At 402, the request item is checked whether the issuance request to the user is valid, and if not, the next request is waited for.
[0013]
At 403, the specific information included in the issuance request is extracted. The specific information is transmission address information, machine name information, mail address information, login user name, browser Cookie information, and the like.
[0014]
In 404, the authority to use the access URL is determined based on the content of the issuance request. The use authority refers to the information that can be accessed by the application software, and the authority to read and write at the time of access.
[0015]
In step 405, a pair of the specific information extracted in step 403 and the authority information determined in step 404 is stored in the DB of the server that manages the application.
[0016]
At 406, the extracted specific information is added to the parameter information for the access URL. The parameter information is an information part necessary for operating the application and attached to the URL address.
[0017]
At 407, the entire parameter information portion for the access URL is encrypted. This is to prevent the user from making any alterations.
[0018]
At 408, a checksum is added to the parameter information portion so that it can be determined whether or not the parameter information has been modified.
[0019]
At 409, this parameter is added to the URL for access to complete the URL that the user can actually use.
[0020]
At 410, a screen for returning, ie, displaying, the URL for access to the user is generated.
[0021]
A method in which the application software on the Web server receives and responds to the access URL request from the user will be described with reference to FIG.
[0022]
At 501, the Web server application software receives a new request from a client. Specifically, it receives data according to the HTTP protocol sent from the client to the Web server, and analyzes the contents.
[0023]
At 502, a parameter portion is extracted from the request data, and if the parameter portion is encrypted so that it is difficult for the user to understand, decryption is performed.
[0024]
At 503, the checksum data added to the parameter portion is examined to confirm that the parameter portion is not altered or broken.
[0025]
In 504, if specific information is included in the parameter part, it is extracted. The specific information is transmission address information, machine name information, mail address information, login user name, browser cookie information, and the like corresponding to 403.
[0026]
In 505, the use right information corresponding to the extracted specific information is obtained from the DB managing the application.
[0027]
At 506, the access request is changed to within the acquired usage rights.
[0028]
At 507, processing of the access request according to the use authority is performed.
[0029]
At 508, a screen of the processing result is created and sent to the client as the processing result.
[0030]
(Example 2)
A method of comparing specific information included as a parameter of an access request URL with specific information included as an HTTP mechanism and returning a response will be described with reference to FIGS.
[0031]
A method for creating an access URL to the application software on the Web server will be described with reference to FIG.
[0032]
In step 601, a request for issuing a new access URL is received from the user.
[0033]
At 602, the request item is checked to see if the issuance request to the user is valid, and if not, the next request is waited for.
[0034]
At 603, the specific information included in the issuance request is extracted. The specific information is transmission address information, machine name information, mail address information, login user name, browser Cookie information, and the like.
[0035]
In 604, the authority to use the access URL is determined based on the content of the issuance request. The use authority refers to the information that can be accessed by the application software, and the authority to read and write at the time of access.
[0036]
At 605, the extracted specific information is added to the parameter information for the access URL. The parameter information is an information part other than the URL address necessary for operating the application.
[0037]
At 606, the entire parameter information portion for the access URL is encrypted. This is to prevent the user from making any alterations.
[0038]
At 607, a checksum is added to the parameter information portion so that it can be determined whether or not the parameter information has been modified.
[0039]
At 608, this parameter is appended to the URL for access to complete the URL that the user can actually use.
[0040]
In step 609, a screen for returning, that is, displaying the URL for access to the user is generated.
[0041]
A method in which the application software on the Web server receives and responds to the access URL request from the user will be described with reference to FIG.
[0042]
At 701, the Web server application software receives a new request from a client. Specifically, it receives data according to the HTTP protocol sent from the client to the Web server, and analyzes the contents.
[0043]
At 702, a parameter part is extracted from the request data, and if the parameter part is encrypted so that it is difficult for the user to understand, decryption is performed.
[0044]
In 703, the checksum data added to the parameter portion is examined to confirm that the parameter portion is not altered or broken.
[0045]
At 704, if the parameter section contains specific information, it is extracted. The specific information is transmission address information, machine name information, mail address information, login user name, browser cookie information, etc. corresponding to 603.
[0046]
At 705, specific information is extracted from the HTTP header. Access to the Web is performed using the HTTP protocol, and the specific information is included in each request as HTTP header information.
[0047]
At 706, it is determined whether the specific information at 704 and the specific information at 705 are equal and correct.
If it is correct, in step 707, an access request operation process is performed.
[0048]
In step 708, a processing result screen is created and sent to the client as a processing result.
[0049]
【The invention's effect】
As described above, according to the present invention, the specific information included in the access request URL of the application software of the Web system has the meaning of the access restriction on the Web server side, so that the access control is set more finely. be able to.
[0050]
Also, by comparing the information of the HTTP header added when the Web client creates the access request URL with the information in the access request URL, it can be determined whether the request is an access request from a user who should not originally issue the request. There is an effect that it is possible to judge and perform access control. In this case, it is not necessary for the Web server to hold the restriction information. Therefore, no matter how many users increase, there is no need to manage the information related thereto.
[Brief description of the drawings]
FIG. 1 is a diagram showing that a Web application is operated using an access request URL.
FIG. 2 is a diagram showing a configuration of an entire Web system.
FIG. 3 is a block diagram showing the configuration of the Web server.
FIG. 4 is a flowchart illustrating an access request URL issuing procedure according to the first embodiment;
FIG. 5 is a flowchart illustrating an access execution procedure according to the first embodiment.
FIG. 6 is a flowchart illustrating an access request URL issuance procedure according to the second embodiment;
FIG. 7 is a flowchart illustrating an access execution procedure according to the second embodiment.
[Explanation of symbols]
301 System bus 302 CPU
303 ROM
304 RAM
305 Hard disk 306 Floppy (registered trademark) disk device 307 Keyboard and mouse 308 Display 309 Printer 310 Network interface card 311 Network cable
