【0001】
【発明の属する技術分野】
本発明は、携帯電話等のWeb端末からWebアクセスを行う際のセッション管理方法に関する。
【0002】
【従来の技術】
従来のセッション管理機能を持たないWeb端末で、セッション機能を必要とするWebアクセスサービスを実現する方法として、Web端末とWebサーバの間に中継装置を設け、中継装置がセッション情報の管理を行っていた(例えば、非特許文献1参照)。
【0003】
【非特許文献1】
WAP Forum,「HTTP State Management Specification」第9章,[online],2002年12月13日,WAP Forum,[平成15年2月7日検索],インターネット<http://www.wapforum.org/What/technical.htm>
【0004】
【発明が解決しようとする課題】
上記従来技術はWeb端末側のセッション情報とセッション制御を中継装置が代行し、Cookieなどのセッション情報を中継装置が常時持つ必要があり、多数のWeb端末のセッション情報を中継装置が管理するため、中継装置の負荷が大きくなる問題がある。
【0005】
また、Cookieなどを用いたセッション管理において、セッション情報をWeb要求に埋め込むためセッション情報が外部に漏れる問題があった。
【0006】
【課題を解決するための手段】
上記課題を解決するために、本発明は、Web端末にセッション情報の管理を行うセッション管理ユニットを備え、中継装置にWeb端末のセッション情報へのアクセスを行うセッション管理代行ユニットを備える。
【0007】
【発明の実施の形態】
以下、本発明の実施例を図面を参照して説明する。図1は、本発明によるセッション管理の一実施例を示す構成図である。
【0008】
Webサービスを受けるWeb端末110とWebサービスを提供するWebサーバ130、Web端末110とWebサーバ130の通信の仲介を行う中継装置120、より構成される。
【0009】
Web端末110は、Webサービスへの要求と応答の表示を行うブラウザ111とセッション情報の管理を行うセッション情報管理ユニット112、セッション情報を格納するセッション情報113、より構成される。
【0010】
中継装置120は、ブラウザからのWeb要求のセッション情報付加とWeb応答のセッション情報削除とを行う通信代行ユニット121、Web端末110のセッション管理ユニット112と通信代行ユニット121の仲介を行うセッション管理代行ユニット122、より構成される。
【0011】
Webサーバは130、Webサービスを提供するWebプログラム131、Webサーバ130のセッション管理を行うセッション管理132、より構成される。
【0012】
図1において、セッション情報によってセッション制御を行う過程を図2のシーケンスを用いて説明する。
【0013】
まず、Web端末110がWebサーバ130のURL宛てにWeb要求を出すとシーケンスS201でWeb端末110からの中継装置120の通信代行ユニット121へのWeb要求が送られる。通信代行ユニット121は、シーケンスS202でセッション管理代行ユニット122へセッション情報が必要か問合わせる。セッション管理代行ユニット122は、問合せが正規のWebサーバへのアクセスかを判定してから、シーケンスS203でWeb端末110のセッション管理ユニット112へセッション情報が必要か問合わせる。セッション管理ユニット112は、シーケンスS204で問合せのセッション情報の是非をセッション情報113から検索し、シーケンスS205で検索結果のセッション情報を中継装置120のセッション管理代行ユニット122へ送り、さらにセッション管理代行ユニット122は、シーケンスS206で通信代行ユニット121にセッション情報を渡す。セッション情報を受けた通信代行ユニット121は、シーケンスS207でWebサーバ130のWebプログラム131にセッション情報を追加したWeb要求を送る。Webプログラム131では、受け取ったWeb要求とセッション情報をセッション管理ユニット132と共にWebサービスの応答処理であるシーケンス208を行い、シーケンスS209でWeb応答と新しいセッション情報を中継装置120の通信代行ユニット121に返す。通信代行ユニット121は、シーケンスS210で新しいセッション情報をセッション管理代行ユニット122に渡す。セッション管理代行ユニット122は、新しいセッション情報が正規のWebサーバによるものかを判定して、シーケンスS211で新しいセッション情報をWeb端末110のセッション管理ユニット112に送信する。セッション情報ユニット112は、シーケンスS212で受け取った新しいセッション情報をセッション情報113に登録して更新し、シーケンスS213でセッション情報の更新確認を中継装置120のセッション情報管理代行ユニット122に返し、さらに、セッション情報管理代行ユニット122がシーケンスS214で通信代行ユニット121に更新確認を返す。通信代行ユニット121は、シーケンスS215でWeb端末110のブラウザ111に新しいセッション情報を除いたWeb応答を返し、ブラウザ110はWeb応答の結果を表示する。
【0014】
以上のように、Web端末110でセッション情報を管理した場合に、セッション制御が可能であることを示した。
【0015】
なお、図1でWeb端末110のセッション情報113をICカードなどの外部記憶装置に保存するように構成してもよい。これにより、Web端末110から外部記憶装置を外すことで、セッション情報が外に漏れることを防ぐという効果がある。また、外部記憶装置を他のWeb端末に移すことで、他のWeb端末でも同様のWebサービスが受けられる効果がある。
【0016】
中継装置120のセッション管理代行ユニット122からWeb端末110のセッション管理ユニット112の間での通信コストを軽減するために、セッション管理代行ユニット122でセッション情報をキャッシュし、通信終了時にセッション情報113に反映するする方法がある。
【0017】
もう一つの実施例として、中継装置120とWebサーバ130の間をSSLなどの暗号通信で、セッション情報の外部漏洩を防ぐ方法を図3に示す。
【0018】
シーケンスS301でブラウザ111から通信代行ユニット121にWebサーバ130への要求を出す。シーケンスS302で通信代行ユニット121とWebプログラム131の間でSSLなどの暗号化通信を行うためのハンドシェークを成立させる。シーケンスS303、S304で通信代行ユニット121からセッション管理代行ユニット122を経てセッション管理ユニット112へセッション情報の問合せを行う。シーケンスS305、S306でセッション管理ユニット112からのセッション情報をセッション管理代行ユニット122を経て、通信代行ユニット121へ送る。シーケンスS307で通信代行ユニットがセッション情報を付加したWeb要求を暗号化された通信でWebプログラム131に送る。シーケンスS308でWebプログラム131とセッション管理132からの新しいセッション情報を含むWeb応答を暗号化された通信で通信代行ユニット121に返す。シーケンスS309、S310で新しいセッション情報をセッション管理代行ユニット122を経てセッション管理ユニット112に送る。シーケンスS311、S312でセッション管理ユニット112で登録したセッション情報の更新確認を、セッション管理代行ユニット122を経て通信代行ユニット121に返す。シーケンスS313で新セッション情報を除いたWeb応答をブラウザ111に返し、Web応答を表示する。
【0019】
以上のように、中継装置120とWebサーバ130の間のセッション情報を含むWeb要求とWeb応答の通信が暗号化されるため、外部への漏洩を防ぐことができる。
【0020】
また、中継装置120がWeb端末110のアクセス要求を代行することにより、Web端末110に対する外部からの不正攻撃を防止する効果も期待できる。
【0021】
【発明の効果】
本発明においては、中継装置が、端末から送られてきたアクセス要求先のWebサーバが正規の(偽装されていない)Webサーバであるということを確認したときのみ、正規の端末で管理されているセッション情報を能動的に取得する手段と、取得したセッション情報を用いてWebサーバにアクセス要求を転送する手段とを備えることで、端末のブラウザに正しいWebサーバかどうかを認証する機能を持たせる必要がなく、また、中継装置が端末のセッション情報を管理する機能を持たせる必要が無く、かつ、端末のセッション情報を安全にアクセス要求先Webサーバに送信できる、という効果がある。
【0022】
また、セッション情報の管理をWeb端末に持たせることで、中継装置のセッション管理の負荷を軽減できるため、1台の中継装置で処理可能なWeb端末の数を増やすことが可能になる。
【図面の簡単な説明】
【図1】本発明の一実施例を示す構成図である。
【図2】図1におけるセッションを用いたWebアクセスのシーケンス図である。
【図3】暗号通信を用いたセッションを用いたWebアクセスの図である。
【符号の説明】
110…Web端末、111…ブラウザ、112…セッション管理ユニット、113…セッション情報、120…中継装置、121…通信代行ユニット、122…セッション情報管理代行ユニット、130…Webサーバ、131…Webプログラム、132…セッション管理。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a session management method when performing Web access from a Web terminal such as a mobile phone.
[0002]
[Prior art]
As a method of realizing a Web access service requiring a session function in a conventional Web terminal without a session management function, a relay device is provided between the Web terminal and a Web server, and the relay device manages session information. (For example, see Non-Patent Document 1).
[0003]
[Non-patent document 1]
WAP Forum, "HTTP State Management Specification", Chapter 9, [online], December 13, 2002, WAP Forum, [Search February 7, 2003], Internet <http: // www. wapforum. org / What / technical. htm>
[0004]
[Problems to be solved by the invention]
In the above prior art, the relay device performs session information and session control on the Web terminal side on behalf of the relay device, and the relay device needs to always have session information such as cookies, and the relay device manages the session information of a large number of Web terminals. There is a problem that the load on the relay device increases.
[0005]
Further, in session management using Cookie or the like, there is a problem that session information leaks to the outside because session information is embedded in a Web request.
[0006]
[Means for Solving the Problems]
In order to solve the above problem, the present invention provides a Web terminal with a session management unit for managing session information, and a relay device with a session management acting unit for accessing session information of the Web terminal.
[0007]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a configuration diagram showing one embodiment of the session management according to the present invention.
[0008]
It comprises a Web terminal 110 that receives a Web service, a Web server 130 that provides the Web service, and a relay device 120 that mediates communication between the Web terminal 110 and the Web server 130.
[0009]
The Web terminal 110 includes a browser 111 for displaying requests and responses to Web services, a session information management unit 112 for managing session information, and session information 113 for storing session information.
[0010]
The relay device 120 includes a communication proxy unit 121 for adding session information of a Web request from a browser and deleting session information for a Web response, and a session management proxy unit for mediating between the session management unit 112 of the Web terminal 110 and the communication proxy unit 121. 122.
[0011]
The Web server includes 130, a Web program 131 for providing a Web service, and a session management 132 for managing a session of the Web server 130.
[0012]
In FIG. 1, the process of performing session control based on session information will be described with reference to the sequence of FIG.
[0013]
First, when the Web terminal 110 issues a Web request to the URL of the Web server 130, a Web request from the Web terminal 110 to the communication acting unit 121 of the relay device 120 is sent from the Web terminal 110 in sequence S201. In step S202, the communication proxy unit 121 inquires of the session management proxy unit 122 whether session information is necessary. The session management acting unit 122 determines whether the inquiry is access to a legitimate Web server, and then inquires the session management unit 112 of the Web terminal 110 whether session information is necessary in sequence S203. The session management unit 112 searches the session information 113 for the validity of the inquiry session information in sequence S204, sends the search result session information to the session management proxy unit 122 of the relay device 120 in sequence S205, and furthermore, the session management proxy unit 122 Passes the session information to the communication acting unit 121 in sequence S206. The communication proxy unit 121 that has received the session information sends a Web request with the session information added to the Web program 131 of the Web server 130 in sequence S207. In the Web program 131, the received Web request and session information are sent together with the session management unit 132 to perform a sequence 208 as a Web service response process, and a Web response and new session information are returned to the communication acting unit 121 of the relay device 120 in sequence S209. . The communication proxy unit 121 passes the new session information to the session management proxy unit 122 in sequence S210. The session management acting unit 122 determines whether the new session information is from a legitimate Web server, and transmits the new session information to the session management unit 112 of the Web terminal 110 in sequence S211. The session information unit 112 registers and updates the new session information received in the sequence S212 in the session information 113, and returns a confirmation of updating the session information to the session information management acting unit 122 of the relay device 120 in a sequence S213. The information management proxy unit 122 returns an update confirmation to the communication proxy unit 121 in sequence S214. The communication proxy unit 121 returns a Web response excluding new session information to the browser 111 of the Web terminal 110 in sequence S215, and the browser 110 displays the result of the Web response.
[0014]
As described above, it has been shown that session control is possible when the Web terminal 110 manages session information.
[0015]
In FIG. 1, the session information 113 of the Web terminal 110 may be stored in an external storage device such as an IC card. This has the effect of preventing the session information from leaking outside by removing the external storage device from the Web terminal 110. In addition, by moving the external storage device to another Web terminal, there is an effect that another Web terminal can receive the same Web service.
[0016]
In order to reduce the communication cost between the session management proxy unit 122 of the relay device 120 and the session management unit 112 of the Web terminal 110, the session management proxy unit 122 caches the session information and reflects it on the session information 113 at the end of communication. There is a way to do that.
[0017]
As another embodiment, FIG. 3 shows a method of preventing external leakage of session information by using cryptographic communication such as SSL between the relay device 120 and the Web server 130.
[0018]
In a sequence S301, a request to the Web server 130 is issued from the browser 111 to the communication proxy unit 121. In a sequence S302, a handshake for performing encrypted communication such as SSL between the communication proxy unit 121 and the Web program 131 is established. In sequences S303 and S304, the communication proxy unit 121 inquires of the session management unit 112 via the session management proxy unit 122 about session information. In sequences S305 and S306, the session information from the session management unit 112 is sent to the communication proxy unit 121 via the session management proxy unit 122. In sequence S307, the communication acting unit sends the Web request to which the session information has been added to the Web program 131 by encrypted communication. In a sequence S308, a Web response including new session information from the Web program 131 and the session management 132 is returned to the communication acting unit 121 by encrypted communication. In steps S309 and S310, new session information is sent to the session management unit 112 via the session management acting unit 122. In steps S311 and S312, the update confirmation of the session information registered by the session management unit 112 is returned to the communication proxy unit 121 via the session management proxy unit 122. In a sequence S313, a Web response excluding the new session information is returned to the browser 111, and the Web response is displayed.
[0019]
As described above, since the communication of the Web request and the Web response including the session information between the relay device 120 and the Web server 130 is encrypted, leakage to the outside can be prevented.
[0020]
Further, since the relay device 120 substitutes for the access request of the Web terminal 110, an effect of preventing an unauthorized attack on the Web terminal 110 from the outside can be expected.
[0021]
【The invention's effect】
In the present invention, the relay device is managed by the legitimate terminal only when confirming that the Web server of the access request destination sent from the terminal is a legitimate (not spoofed) Web server. By providing a means for actively acquiring session information and a means for transferring an access request to a Web server using the acquired session information, it is necessary to provide the terminal browser with a function of authenticating whether the terminal is a correct Web server. There is no need for the relay device to have a function of managing the session information of the terminal, and there is an effect that the session information of the terminal can be safely transmitted to the access request destination Web server.
[0022]
In addition, by giving session information management to the Web terminal, the load of session management of the relay device can be reduced, so that the number of Web terminals that can be processed by one relay device can be increased.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing one embodiment of the present invention.
FIG. 2 is a sequence diagram of Web access using a session in FIG. 1;
FIG. 3 is a diagram of Web access using a session using encrypted communication.
[Explanation of symbols]
110: Web terminal, 111: Browser, 112: Session management unit, 113: Session information, 120: Relay device, 121: Communication agent unit, 122: Session information management agent unit, 130: Web server, 131: Web program, 132 … Session management.
