JP2015158881A5 - アクセス可否管理システム、WebSocketサーバ、情報処理方法、およびプログラム - Google Patents
アクセス可否管理システム、WebSocketサーバ、情報処理方法、およびプログラム Download PDFInfo
- Publication number
- JP2015158881A5 JP2015158881A5 JP2014034634A JP2014034634A JP2015158881A5 JP 2015158881 A5 JP2015158881 A5 JP 2015158881A5 JP 2014034634 A JP2014034634 A JP 2014034634A JP 2014034634 A JP2014034634 A JP 2014034634A JP 2015158881 A5 JP2015158881 A5 JP 2015158881A5
- Authority
- JP
- Japan
- Prior art keywords
- user
- access
- authentication information
- web server
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims 4
- 230000005540 biological transmission Effects 0.000 claims description 7
- 235000014510 cooky Nutrition 0.000 description 3
- 230000001629 suppression Effects 0.000 description 2
- 235000021171 collation Nutrition 0.000 description 1
- 230000002708 enhancing Effects 0.000 description 1
Description
かかる課題を達成するために、第一の発明は、特定のアクセス対象に対するユーザごとのアクセスの可否を管理するアクセス可否管理システムであって、特定の条件が満たされたときに前記ユーザの前記アクセス対象に対するアクセスを行わせるアクセス実行手段と、前記ユーザ及び前記アクセス実行手段によってアクセス可能に設けられて、前記アクセス実行手段との間を、WebSocket等、ネットワーク上のノード相互間でのデータ送受信に用いられるソケットによって通信可能に接続するセッション管理手段とを備え、前記アクセス実行手段は、前記セッション管理手段との間に前記ソケットが接続されている間は前記ユーザと前記アクセス実行手段との間のセッションを継続させることを特徴とする。
第二の発明は、第一の発明の構成に加え、前記セッション管理手段は、前記ユーザのアクセス権限を認証するための認証情報を記録する第一の認証情報記録手段を備え、前記アクセス対象にアクセスを行う前記ユーザは、http等、ネットワーク上のノード相互間でのデータ送受信にて用いられるリクエストを用いて、前記認証情報を前記第一の認証情報記録手段に記録させ、前記ユーザは、自らが所持する前記認証情報を前記アクセス実行手段に送信し、該アクセス実行手段は、前記セッション管理手段と前記アクセス実行手段との間に接続された前記ソケットを介して、前記ユーザから送信された前記認証情報と前記第一の認証情報記録手段に記録された前記認証情報と照合し、該照合の結果、双方の前記認証情報が適合した場合には前記ユーザを前記アクセス対象にアクセスさせることを特徴とする。
第三の発明は、第二の発明の構成に加え、前記ユーザがアクセス可能に設けられた第二の認証情報記録手段を備え、該第二の認証情報記録手段には、前記第一の認証情報記録手段に記録されたものと同じ前記認証情報を記録し、前記ユーザは、前記アクセス対象にアクセスする際、前記第二の認証情報記録手段に記録された前記認証情報を前記アクセス実行手段に送信することを特徴とする。
第四の発明は、第二又は第三の発明の構成に加え、前記ユーザの入力した情報に基づいて前記認証情報を生成する認証情報生成手段を備え、該認証情報生成手段は、個々の前記ユーザを特定するためのユーザ特定情報を用いて、ランダムに生成されるランダムキーとして前記認証情報を生成することを特徴とする。
第五の発明は、第四の発明の構成に加え、前記ユーザ特定情報として、個々の前記ユーザの真正性を識別するための文字、図形、記号等の識別情報を前記ユーザに入力させる、入力画面を表示させることを特徴とする。
第六の発明は、第一乃至第五の何れか一つの発明の構成に加え、前記ユーザに、前記アクセス対象へのアクセス状態を視認可能に表示させるアクセス状態表示手段を備え、前記アクセス実行手段は、前記アクセス状態表示手段において前記アクセス状態が視認できる場合にのみ、前記ユーザを前記アクセス対象にアクセスさせることを特徴とする。
第七の発明は、第一乃至第六の何れか一つの発明の構成に加え、前記アクセス対象はデータベースであることを特徴とする。
第八の発明は、プログラムであって、コンピュータを第一乃至第七の何れか一つに記載のアクセス可否管理システムとして機能させることを特徴とする。
第一の発明によれば、アクセス実行手段は、セッション管理手段との間にソケットが接続されている間はユーザとアクセス実行手段との間のセッションを継続させることにより、ユーザとアクセス実行手段とのセッションの継続は、アクセス実行手段とセッション管理手段との間におけるソケットの接続状態によって決定される。すなわち、セッションの継続状態は、ユーザ側のクッキーの有無やクッキーの状態には依存しない。そのため、ログイン画面からログインしたユーザのクッキーを第三者が取得したとしても、その第三者はセッションハイジャックを行えず、セッションが有効の間そのユーザがリクエストを送信している状態を確定できる。これにより、第三者によるセッションハイジャックを防止できる。
第二の発明によれば、第一の認証情報記録手段に記録された認証情報とユーザから送信された認証情報とを照合した結果、双方が適合した場合にはユーザをアクセス対象にアクセスさせることにより、認証情報を持たない第三者が不正にアクセス対象にアクセスすることを防止できる。また、認証情報との照合がセッション管理手段とアクセス実行手段との間に接続されたソケットを介して行われることにより、アクセス対象へのアクセスをセッションが継続している期間内とし、不要なアクセス許容時間の発生を抑止してセキュリティを高めることができる。
第三の発明によれば、アクセス実行手段は、第二の認証情報記録手段に記録された、第一の認証情報記録手段に記録されたものと同じ認証情報を照合に用いることにより、アクセス権限のあるユーザに認証情報を所持させ、権限のある者のみを確実に認証させ、セキュリティを高めることができる。
第四の発明によれば、ユーザの入力した情報に基づいて認証情報を生成することにより、個々のユーザの属性に対する依存性と一意性の高い認証情報を容易に形成できる。また、生成毎に異なるランダムキーとして認証情報を生成することにより、セキュアな認証情報を生成し、セキュリティを一層高めることができる。
第五の発明によれば、入力画面へのユーザ自身の入力に基づいて、個々のユーザの属性に対する依存性と一意性の高いユーザ特定情報を取得し、認証情報を形成することができるので、ブルートフォース攻撃による不正アクセスを抑止し、セキュリティを一層高めることができる。
第六の発明によれば、アクセス状態表示手段においてアクセス状態が視認できる場合にのみ、ユーザをアクセス対象にアクセスさせるので、ユーザの視認可否の状態を基準にアクセス対象へのアクセスの可否を決定することができる。これにより、アクセス対象へのアクセス時間を、ユーザがアクセスを必要としている時間のみにとどめて、セキュリティを一層高めることができる。
第七の発明によれば、データベースに対する第三者の不正アクセスを防止し、セキュリティを一層高めることができる。
第八の発明によれば、本発明をプログラムとして構成することにより、特定のハードウェアに依存せず、多様なコンピュータシステム上で本発明を実現することができる。
チケット100を仮登録してから、確認(後述)されるまでの時間はわずか数ミリ秒である。後述の処理により、チケット100がWebサーバ2のコントロールパネルのページ(Webサーバ2がクライアント端末8のブラウザ83に表示させる、サービスを開始する画面のページ。図示せず)にリダイレクト(後述)されてから、クライアント端末8からWebSocketサーバ3に対して行われるWebSocketリクエスト(後述)までは概ね数秒以内に完了する。もしクライアント端末8からWebSocketリクエストがない場合は、有効なチケットを残さないためには、レスポンスが完了する、約15秒から約30秒以内に仮登録状態のチケット100をWebSocketサーバ3から削除するのが望ましい。
Claims (10)
- ユーザのクライアント端末に情報の送信を行うWebサーバと、当該Webサーバにアクセスしようとするクライアント端末のアクセスの可否を決定するための認証を行うWebSocketサーバとを具備するアクセス可否管理システムであって、
前記Webサーバは、
特定の条件が満たされたときに前記ユーザのクライアント端末からアクセス対象に対するアクセスを行わせるアクセス実行手段を具備し、
前記WebSocketサーバは、
前記ユーザのクライアント端末及び前記アクセス実行手段によってアクセス可能に設けられており、前記アクセス実行手段との間を、ネットワーク上のノード相互間でのデータ送受信に用いられるソケットによって通信可能に接続するセッション管理手段を具備し、
前記Webサーバと前記WebSocketサーバとの間に前記ソケットが接続されている間は、前記ユーザのクライアント端末と前記Webサーバとの間の接続であるセッションを継続させるアクセス可否管理システム。 - 前記WebSocketサーバは、
前記ユーザのアクセス権限を認証するための認証情報を格納する第一の認証情報記録手段と、
前記アクセス対象にアクセスを行う前記ユーザのクライアント端末から、ネットワーク上のノード相互間でのデータ送受信にて用いられるリクエストを用いて、前記認証情報を受信し、当該受信した認証情報を前記第一の認証情報記録手段に記録する手段とをさらに具備し、
前記ユーザのクライアント端末は、自らが所持する認証情報を前記Webサーバに送信し、
該Webサーバのアクセス実行手段は、
前記WebSocketサーバと前記Webサーバとの間に接続された前記ソケットを介して、前記ユーザのクライアント端末から送信された前記認証情報と前記第一の認証情報記録手段に記録された前記認証情報と照合し、該照合の結果、双方の前記認証情報が適合した場合には前記ユーザのクライアント端末を前記Webサーバにアクセスさせる請求項1に記載のアクセス可否管理システム。 - 前記ユーザのクライアント端末は、
アクセス可能に設けられた第二の認証情報記録手段と、
該第二の認証情報記録手段に、前記第一の認証情報記録手段に記録されたものと同じ前記認証情報を記録する手段とをさらに具備し、
前記ユーザのクライアント端末は、前記アクセス対象にアクセスする際、前記第二の認証情報記録手段に記録された前記認証情報を前記Webサーバに送信する請求項2に記載のアクセス可否管理システム。 - 前記Webサーバは、
前記ユーザの入力した情報に基づいて前記認証情報を生成する認証情報生成手段をさらに備え、
該認証情報生成手段は、個々の前記ユーザを特定するためのユーザ特定情報を用いて、ランダムに生成されるランダムキーとして前記認証情報を生成する請求項2又は3に記載のアクセス可否管理システム。 - 前記ユーザのクライアント端末は、
前記ユーザ特定情報として、個々の前記ユーザの真正性を識別するための文字、図形、記号等の識別情報を前記ユーザに入力させる、入力画面を表示する請求項4に記載のアクセス可否管理システム。 - 前記ユーザのクライアント端末は、
前記アクセス対象へのアクセス状態を視認可能に表示させるアクセス状態表示手段を備え、
前記アクセス実行手段は、前記アクセス状態表示手段において前記アクセス状態が視認できる場合にのみ、前記ユーザのクライアント端末を前記アクセス対象にアクセスさせる請求項1乃至5の何れか一つに記載のアクセス可否管理システム。 - 前記アクセス対象はデータベースであることを特徴とする請求項1乃至6の何れか一つに記載のアクセス可否管理システム。
- ユーザのクライアント端末及びWebサーバからアクセス可能なWebSocketサーバであり、
前記Webサーバとの間を、ネットワーク上のノード相互間でのデータ送受信に用いられるソケットによって通信可能に接続するセッション管理手段を備え、
前記Webサーバとの間に前記ソケットが接続されている間は、前記ユーザのクライアント端末と前記Webサーバとの間の接続であるセッションを継続させるWebSocketサーバ。 - ユーザのクライアント端末及びWebサーバからアクセス可能なWebSocketサーバにおける情報処理方法であり、セッション管理手段により実現される情報処理方法であって、
前記Webサーバとの間を、ネットワーク上のノード相互間でのデータ送受信に用いられるソケットによって通信可能に接続するセッション管理ステップを備え、
前記Webサーバとの間に前記ソケットが接続されている間は、前記ユーザのクライアント端末と前記Webサーバとの間の接続であるセッションを継続させる情報処理方法。 - ユーザのクライアント端末及びWebサーバからアクセス可能なWebSocketサーバにおいて動作するプログラムであり、
コンピュータを、
前記Webサーバとの間を、ネットワーク上のノード相互間でのデータ送受信に用いられるソケットによって通信可能に接続するセッション管理手段として機能させ、
前記Webサーバとの間に前記ソケットが接続されている間は、前記ユーザのクライアント端末と前記Webサーバとの間の接続であるセッションを継続させるように、コンピュータを機能させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014034634A JP2015158881A (ja) | 2014-02-25 | 2014-02-25 | セッションハイジャック防止のためのアクセス可否管理システム、プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014034634A JP2015158881A (ja) | 2014-02-25 | 2014-02-25 | セッションハイジャック防止のためのアクセス可否管理システム、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015158881A JP2015158881A (ja) | 2015-09-03 |
| JP2015158881A5 true JP2015158881A5 (ja) | 2016-01-28 |
Family
ID=54182803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014034634A Pending JP2015158881A (ja) | 2014-02-25 | 2014-02-25 | セッションハイジャック防止のためのアクセス可否管理システム、プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015158881A (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102027438B1 (ko) * | 2017-10-12 | 2019-10-02 | 주식회사 윈스 | Ddos 공격 차단 장치 및 방법 |
| KR102027434B1 (ko) * | 2017-10-12 | 2019-10-02 | 주식회사 윈스 | 보안 장치 및 이의 동작 방법 |
| KR102027440B1 (ko) * | 2017-10-12 | 2019-10-02 | 주식회사 윈스 | Ddos 공격 차단 장치 및 방법 |
-
2014
- 2014-02-25 JP JP2014034634A patent/JP2015158881A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309683B (zh) | 基于token的客户端身份验证的方法及系统 | |
| US11625460B1 (en) | Security platform | |
| CN102624739B (zh) | 一种适用于客户端平台的认证授权方法和系统 | |
| US9641521B2 (en) | Systems and methods for network connected authentication | |
| CN105763521B (zh) | 一种设备验证方法及装置 | |
| US9602495B2 (en) | Automated identity assessment method and system | |
| CN105103488B (zh) | 借助相关联的数据的策略施行 | |
| EP3346660B1 (en) | Authentication information update method and device | |
| US20170134354A1 (en) | Hardware-Based Credential Distribution | |
| CN102598010B (zh) | 用于访问私人数字内容的系统和方法 | |
| CN104580364B (zh) | 一种资源分享的方法和装置 | |
| Ceccarelli et al. | Continuous and transparent user identity verification for secure internet services | |
| JP2017107343A5 (ja) | ||
| US11012233B1 (en) | Method for providing authentication service by using decentralized identity and server using the same | |
| US10033724B2 (en) | System of composite passwords incorporating hints | |
| MY180568A (en) | System and method for managing account of instant messenger | |
| WO2016155220A1 (zh) | 一种单点登录的方法、系统以及终端 | |
| WO2008137387A1 (en) | Method and system of verifying permission for a remote computer system to access a web page | |
| CN106992859B (zh) | 一种堡垒机私钥管理方法及装置 | |
| WO2012159486A1 (zh) | 密码保护载体生成方法和装置 | |
| JP2015194879A (ja) | 認証システム、方法、及び提供装置 | |
| CN103178969A (zh) | 一种业务鉴权方法及系统 | |
| JP2015158881A5 (ja) | アクセス可否管理システム、WebSocketサーバ、情報処理方法、およびプログラム | |
| JP2002007345A (ja) | ユーザ認証方法 | |
| JP2009003501A (ja) | ワンタイムパスワード認証システム |