JP3877388B2 - 情報提供システム - Google Patents
情報提供システム Download PDFInfo
- Publication number
- JP3877388B2 JP3877388B2 JP25043597A JP25043597A JP3877388B2 JP 3877388 B2 JP3877388 B2 JP 3877388B2 JP 25043597 A JP25043597 A JP 25043597A JP 25043597 A JP25043597 A JP 25043597A JP 3877388 B2 JP3877388 B2 JP 3877388B2
- Authority
- JP
- Japan
- Prior art keywords
- client
- information
- access control
- server
- information providing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、ファイアウォールによって内部と外部とに分割されたネットワークに接続されているクライアント・サーバ間におけるアクセス制御並びに情報の機密性を固持するための情報提供システムに関する。
【0002】
【従来の技術】
従来からインターネットやイントラネット等の情報提供システムには、ファイアウォールによってネットワークを内部と外部とに分割することで情報の流失や外部からの不正アクセスの防止を図るようにしたものが知られている。
【0003】
図9は、このような従来の情報提供システムの一例としてのインターネット用の情報提供システムを示した図である。この従来の情報提供システムは、情報提供サービスを行うWebサーバ1と、情報提供サービスを要求するクライアント2と、Webサーバ1とクライアント2とを接続したネットワーク3と、ネットワーク3を内部ネットワーク3aと外部ネットワーク3bとに分割するファイアウォール4と、内部ネットワーク3aでの情報提供サービスのアクセス制御を行うアクセス制御(AC)サーバ5とで構成されている。また、Webサーバ1は、SSL(Secure Sockets Layer)プロトコルにより暗号化処理を行うSSLモジュール6と、アクセス制御処理を行うアクセス制御モジュール(ACモジュール)7とを有している。一方、クライアント2も同様にSSLモジュール8を有している。
【0004】
なお、この従来例においては、Webサーバ1にはNetscape社のNetscape Enterprise Serverが用いられ、クライアント2はブラウザとしてNetscape社のNetscape Navigatorが用いられ、ACサーバ5にはOpenMarket社のOM−Axcessが用いられているものとした。また、SSLプロトコルとは、データがネットワーク3上を流れている間は他人が見えないようにする機能を備え、Netscape社のサーバ並びにブラウザには添付されているプロトコルである。
【0005】
また、ファイアウォール4は、例えば、インターネット環境の場合、外部ネットワーク3bの出口に設けられたルータ(ブルータ)等に設けられ、ftp,telnet,POP3、あるいは、各種プロトコル(例えば、HTML,TCP/IP,SSLなど)の各ポートを開閉することによってファイアウォール4を通過する要求やデータ等を制限するものである。
【0006】
次に、従来においてクライアント2がWebサーバ1から情報を取得するまでの動作について説明する。
【0007】
クライアント2は、情報提供サービスの要求をネットワーク3へ送出する。ファイアウォール4は、外部ネットワーク3bから内部ネットワーク3aへと送られる情報が情報提供サービスへの要求であると判断した場合にWebサーバ1へと送る。
【0008】
Webサーバ1のACモジュール7は、その情報提供サービス要求をACサーバ5へ送る。ACサーバ5は、ユーザ認証用の情報要求をクライアント2へ送る。クライアント2は、ブラウザを用いてユーザに入力させたユーザ認証用の情報をACサーバ5へ送る。
【0009】
ACサーバ5は、ユーザ認証用の情報でユーザの認証を行うと、保持していた情報提供サービス要求にチケットを付加してWebサーバ1へ送る。
【0010】
Webサーバ1のACモジュール7は、要求に付加されたチケットを確認した上で、その要求をSSLモジュール6に渡す。SSLモジュール6は、SSLプロトコルに従いクライアント2のSSLモジュール8と鍵の交換を行う。また、SSLモジュール6は、公開鍵暗号方式におけるWebサーバ1の公開鍵を公開鍵暗号方式におけるクライアント2の公開鍵によって暗号化した後にクライアント2へ送る。
【0011】
クライアント2において、SSLモジュール8は、公開鍵暗号方式によるクライアント2の秘密鍵にて復号化し、公開鍵暗号方式におけるWebサーバ1の公開鍵を取り出す。また、SSLモジュール8は、クライアント2からWebサーバ1へ情報を送る際に利用する秘密鍵暗号方式によるクライアント側秘密鍵と、Webサーバ1からクライアント2へ情報を送る際に利用する秘密鍵暗号方式によるWebサーバ側秘密鍵を生成する。更に、SSLモジュール8は、公開鍵暗号方式におけるWebサーバ1の公開鍵にて秘密鍵暗号方式によるクライアント側秘密鍵と秘密鍵暗号方式によるWebサーバ側秘密鍵とを暗号化してWebサーバ1へ送る。
【0012】
Webサーバ1において、SSLモジュール6は、公開鍵暗号方式によるWebサーバ1の秘密鍵にて復号化し、秘密鍵暗号方式によるクライアント側秘密鍵と、秘密鍵暗号方式によるWebサーバ側秘密鍵を取り出す。また、SSLモジュール6は、クライアント2から要求されていた提供情報を、秘密鍵暗号方式によるWebサーバ側秘密鍵にて暗号化してクライアント2へ送る。
【0013】
クライアント2において、SSLモジュール8は、秘密鍵暗号方式によるWebサーバ側秘密鍵にて復号化し、提供情報をクライアント2を利用しているユーザに提供する。
【0014】
【発明が解決しようとする課題】
しかしながら、上述したようなユーザ認証によってセキュリティを確保した情報提供をしようとするシステムにおいては、上述したようなアクセス制御を行うためWebサーバがSSLモジュールを実装していなければ、その情報提供サービスをクライアントに対して提供することができなかった。このため、ファイアウォールは、SSLプロトコルというHTTP(Hypertext transfer protocol)以外のプロトコルに準拠したデータを通過させなくてはならなくなるので、セキュリティの低下を招き、信頼性が低下するという問題が発生しうる。更に、SSLプロトコルを利用するという条件に併せてWebサーバが提供する既存のコンテンツの内容を変更(制限)しなければならなかった。従って、WebサーバにSSLモジュールを実装させなくても機密性の低下を防止し、更にはより一層の外部への情報の漏洩を防止しうるシステムが望まれる。
【0015】
また、情報提供サーバで利用しているオペレーティングシステム(OS)に対応したアクセス制御モジュールが必要であるため、複数プラットフォームに対応させてWebサーバ側にアクセス制御モジュールを作成しなければならなかった。また、作成後における設定変更作業も個々に行わなくてはならず面倒であった。
【0016】
また、複数のACサーバが存在する場合、クライアントは、各ACサーバからのユーザ認証要求に応えるために複数回のユーザ認証用の情報を入力しなければならず、操作が煩雑化する。
【0017】
本発明は、以上のような問題を解決するためになされたものであり、その第1の目的は、情報の機密性を維持しつつ汎用的で簡便な情報提供システムを提供することにある。
【0018】
また、第2の目的は、情報の機密性をより一層向上させる情報提供システムを提供することにある。
【0019】
【課題を解決するための手段】
以上のような目的を達成するために、第1の発明に係る情報提供システムは、ネットワーク全体を内部ネットワークと外部ネットワークとに分割するファイアウォールと、前記内部ネットワークに接続され、情報提供サービスを行う情報提供サーバと、前記外部ネットワークに接続され、情報提供サービスを要求するクライアントと、前記内部ネットワークに接続され、情報提供サービス要求のアクセス制御を行うアクセス制御サーバとを有し、前記クライアントは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行うクライアント側暗号化/復号化処理手段を有し、前記アクセス制御サーバは、前記クライアントとの間で送受信する情報の暗号化/復号化を行うアクセス制御サーバ側暗号化/復号化処理手段と、前記クライアントから送られてきた情報提供サービス要求に基づき前記情報提供サーバへのアクセス許可の判定を行うアクセス制御手段と、前記アクセス制御手段がアクセス許可の判定を行う際に使用するユーザ毎のルールが記述されたアクセス制御リストを記憶するアクセス制御リスト記憶手段とを有し、前記クライアント側暗号化/復号化処理手段は、前記アクセス制御サーバへ送信する情報提供サービス要求と、当該情報提供サービス要求に応じて前記情報提供サーバが提供する提供情報を暗号化するために用いるアクセス制御用通信暗号鍵を暗号化するために用いる当該クライアントのクライアント用公開暗号鍵と、をクライアント用通信暗号鍵で暗号化することによって暗号済情報提供サービス要求を生成し、更に暗号化に用いた前記クライアント用通信暗号鍵を、予め保持する前記アクセス制御サーバのアクセス制御サーバ用公開暗号鍵で暗号化することによって暗号済クライアント用通信暗号鍵を生成し、前記アクセス制御サーバ側暗号化/復号化処理手段は、前記クライアントから送られてきた前記暗号済クライアント用通信暗号鍵を当該アクセス制御サーバのアクセス制御サーバ用秘密復号鍵で復号することによって前記クライアント用通信暗号鍵を取り出し、前記クライアントから送られてきた前記暗号済情報提供サービス要求をその取り出した前記クライアント用通信暗号鍵で復号することによって前記情報提供サービス要求及び前記クライアント用公開暗号鍵を取り出し、復号した前記情報提供サービス要求に応じて前記情報提供サーバにより取得された提供情報を前記クライアントへ送る際に、当該提供情報を当該アクセス制御サーバの前記アクセス制御用通信暗号鍵で暗号化し、更に暗号化に用いた前記アクセス制御用通信暗号鍵を、前記クライアントの前記クライアント用公開暗号鍵で暗号化するものである。
【0020】
第2の発明に係る情報提供システムは、第1の発明において、前記クライアントは、GETメソッドをPOSTメソッドへと変換するGET/POST変換手段を有し、前記アクセス制御サーバは、POSTメソッドをGETメソッドへと逆変換するPOST/GET変換手段を有し、前記クライアントと前記情報提供サーバ間の情報交換をハイパーテキストトランスファープロトコルに基づき行わせるものである。
【0021】
第3の発明に係る情報提供システムは、第1の発明において、前記クライアントは、前記アクセス制御サーバ個々に対応したアクセス制御サーバ用公開暗号鍵を管理するアクセスサーバリストを記憶するアクセスサーバリスト記憶手段を有し、前記クライアント側暗号化/復号化処理手段は、情報提供サービス要求の送信先の前記アクセス制御サーバに対応したアクセス制御サーバ用公開暗号鍵を前記アクセスサーバリストから取り出して暗号化を行うものである。
【0022】
第4の発明に係る情報提供システムは、第1の発明において、前記アクセス制御サーバ側暗号化/復号化処理手段は、前記情報提供サーバとの間で送受信する情報の暗号化/復号化を行うアクセス制御サーバ側ネットワーク暗号化/復号化部を有し、前記情報提供サーバは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行う情報提供サーバ側ネットワーク暗号化/復号化部を有するものである。
【0023】
第5の発明に係る情報提供システムは、第1の発明において、前記クライアント側暗号化/復号化処理手段は、前記暗号済クライアント用通信暗号鍵を変更する暗号用鍵変更部を有するものである。
【0024】
第6の発明に係る情報提供システムは、第1の発明において、前記アクセス制御サーバは、キャッシュを禁止する命令を前記クライアントに送信する情報に付加するキャッシュ禁止情報付加手段を有するものである。
【0025】
第7の発明に係る情報提供システムは、第1の発明において、前記情報提供サーバは、前記アクセス制御サーバを経由して受け取った情報提供用情報を復号化せずに暗号化されたまま提供情報として保持するものである。
【0026】
第8の発明に係る情報提供システムは、第7の発明において、前記アクセス制御サーバは、前記情報提供サーバからの暗号化された提供情報の復号化を行うネットワーク復号化処理手段を有し、前記アクセス制御サーバ側暗号化/復号化処理手段によりその復号化した提供情報を改めて暗号化した後に前記クライアントに送るものである。
【0027】
【発明の実施の形態】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
【0028】
実施の形態1.
図1は、本発明に係る情報提供システムの実施の形態1を示した全体構成図である。図1には、情報提供サービスを行う情報提供サーバとしてのWebサーバ10と、Webサーバ10に対して情報提供サービスの要求やWebサーバ10が管理する公開用情報の提供を行うクライアント20と、Webサーバ10とクライアント20とを接続したネットワーク3と、ネットワーク3を内部ネットワーク3aと外部ネットワーク3bとに分割するファイアウォール40と、内部ネットワーク3aでの情報提供サービスのアクセス制御を行うアクセス制御(AC)サーバ30とが示されている。Webサーバ10はWWW(World Wide Web)を搭載したコンピュータ、クライアント20はブラウザを搭載したコンピュータである。また、ファイアウォール40は、例えば、インターネット環境の場合、外部ネットワーク3bの出口に設けられたルータ(ブルータ)等に設定され、ftp,telnet,POP3、あるいは、各種プロトコル(例えば、HTTP,HTML,TCP/IPなど)の各ポートを用途に応じて開閉することによってファイアウォール40を通過する要求やデータ等を制限するものである。なお、本実施の形態の場合にはHTTP用のポートのみが開放されているものとする。
【0029】
図2は、本実施の形態におけるクライアント20のブロック構成図である。クライアント20は、アクセス制御(AC)サーバ用暗号鍵取出部21、クライアント側暗号化/復号化部22、暗号用鍵変更部23及びクライアント用復号鍵復号化部24を含みACサーバ30との間で送受信する情報の暗号化/復号化を行うクライアント側暗号化/復号化処理手段、アクセスサーバリスト記憶部25、クライアント側鍵登録部26、及びGET/POST変換部27を搭載したクライアント側情報交換部28を有している。このうち、ACサーバ用暗号鍵取出部21は、ASLを参照してACサーバ30個々に対応するACサーバ用暗号鍵を取り出す。クライアント側暗号化/復号化部22は、所定の鍵に基づいて情報の暗号化/復号化を行う。暗号用鍵変更部23は、クライアント側暗号化/復号化部22が暗号化する際に用いる暗号用鍵を毎回変更する。クライアント用復号鍵復号化部24は、パスワードにより暗号化済クライアント用復号鍵を復号する。アクセスサーバリスト記憶部25は、ACサーバ30個々に対応したACサーバ用暗号鍵を管理するアクセスサーバリスト(ASL)を記憶する。アクセスサーバリストには、管理者等によって予め暗号鍵が各ACサーバ30に対応して設定されている。クライアント側鍵登録部26は、クライアント20で用いる鍵を登録するための手段である。クライアント側情報交換部28は、ACサーバ30を介してWebサーバ10と情報交換を行い、GET/POST変換部27は、ACサーバ30へ送信する情報(GETメソッド)をPOSTメソッドへと変換する。なお図2においては、情報提供サービス要求時におけるデータの流れを実線矢印で、情報提供時におけるデータの流れを破線矢印でそれぞれ示している。図3及び図4においても同様である。
【0030】
図3は、本実施の形態におけるACサーバ30のブロック構成図である。ACサーバ30は、ACサーバ側暗号化/復号化部31及びACサーバ側ネットワーク暗号化/復号化部32を含み送受信する情報の暗号化/復号化を行うアクセス制御サーバ側暗号化/復号化処理手段、アクセス制御部33、アクセス制御リスト記憶部34、ACサーバ側鍵登録部35、POST/GET変換部36を搭載したACサーバ側情報交換部37、キャッシュ禁止情報付加部38及びACサーバ側ネットワーク通信部39を有している。このうち、ACサーバ側暗号化/復号化部31は、クライアント20との間で送受信する情報の暗号化/復号化を行う。ACサーバ側ネットワーク暗号化/復号化部32は、Webサーバ10との間で送受信する情報の暗号化/復号化を行う。アクセス制御部33は、クライアント20から送られてきた情報提供サービス要求に基づきWebサーバ10へのアクセス許可の判定を行う。アクセス制御リスト記憶部34は、アクセス制御部30がアクセス許可の判定を行う際に使用するユーザ毎のルールが記述されたアクセス制御リスト(ACL)を記憶する。ACサーバ側鍵登録部35は、ACサーバ30で用いる鍵を登録するための手段である。ACサーバ側情報交換部37は、クライアント20と情報交換を行い、POST/GET変換部36は、クライアント20から受信した情報(POSTメソッド)をGETメソッドへと逆変換する。キャッシュ禁止情報付加部38は、キャッシュを禁止する命令をクライアント20に送信する情報に付加する。そして、ACサーバ側ネットワーク通信部39は、Webサーバ10との間で内部ネットワーク3aを介して通信を行う。
【0031】
図4は、本実施の形態におけるWebサーバ10のブロック構成図である。Webサーバ10は、情報提供部11、Webサーバ側ネットワーク暗号化/復号化部12及びWebサーバ側ネットワーク通信部13を有している。情報提供部11は、クライアント20からの正規の情報提供サービス要求に応じて情報の提供を行う。Webサーバ側ネットワーク暗号化/復号化部12は、ACサーバ30との間で送受信する情報の暗号化/復号化を行う。Webサーバ側ネットワーク通信部13は、ACサーバ30との間で内部ネットワーク3aを介して通信を行う。
【0032】
本実施の形態において特徴的なことは、ネットワーク上を通る情報を常に暗号化するようにし、また、提供情報に対するアクセス制御や暗号化鍵、提供情報の漏洩を極力防止できるようにしたことである。これにより、情報の機密性を維持しつつ情報提供サービスをクライアント20に対して提供することができる。また、Webサーバ10それぞれにSSLモジュールを実装させずにWebサーバ10に対するアクセス制御をACサーバ30に一括して行わせるようにしたことである。これにより、汎用的でかつ簡便な情報提供システムを構築することができる。この本実施の形態における情報提供システムの動作について図5乃至図7に示したフローチャートを用いて説明する。
【0033】
クライアント20は、図示しない要求入力手段、例えば、キーボードやマウス等からユーザによる入力操作によって情報提供サービス要求の内容を受け付けると(ステップ101)、ACサーバ用暗号鍵取出部21は、その情報提供サービス要求に含まれているACサーバ名等のACサーバ識別情報に基づきアクセスサーバリストを参照して、そのACサーバ30との通信に使用するACサーバ用暗号鍵を取得する(ステップ102)。暗号用鍵変更部23は、ACサーバ30との通信の際に用いる暗号用鍵を取り出して所定の規則に従い変更する(ステップ103)。このように、暗号用鍵を使用する度に変更することによってアクセスサーバリストの内容が漏洩している場合でもサービス要求の機密性を維持することができる。クライアント側暗号化/復号化部22は、クライアント用暗号鍵と情報提供サービス要求を変更後の暗号用鍵で暗号化し、更にその暗号用鍵をアクセスサーバリストから取り出したACサーバ用暗号鍵で暗号化することによって暗号済情報提供サービス要求を生成する(ステップ104)。GET/POST変換部27は、クライアント側暗号化/復号化部22を利用して暗号済情報提供サービス要求をHTTPのGETメソッドからPOSTメソッドへと変換して変換済サービス要求を生成し(ステップ105)、これをACサーバ30へ送る(ステップ106)。
【0034】
ACサーバ30においてクライアント20が送信した上記変換済サービス要求を受け取ると(ステップ201)、POST/GET変換部36は、ACサーバ側暗号化/復号化部31を利用して暗号済情報提供サービス要求へと逆変換する(ステップ202)。ACサーバ側暗号化/復号化部31は、暗号済情報提供サービス要求から暗号用鍵を取り出し予め保持しているACサーバ用復号鍵で復号し、更に暗号済情報提供サービス要求に含まれているクライアント用暗号鍵と情報提供サービス要求を復号化した暗号用鍵で復号する(ステップ203)。アクセス制御部33は、アクセスコントロールリストを参照してクラアイント20からの情報提供サービス要求がユーザ毎のルールに従っているかどうかのチェックを行うことでクライアント20のWebサーバ10へのアクセス許可の判定を行う(ステップ204)。ここで、アクセス不可と判定されれば、クライアント20は、Webサーバ10へのアクセスができないこととなるため、不当なクライアントによるWebサーバ10へのアクセス、すなわち正当でない者への情報の提供を未然に防止することができる。なお、Webサーバ10へのアクセスを許可しないと判定した場合、その旨をクライアント20へ送信する。
【0035】
Webサーバ10へのアクセスが許可された場合、ACサーバ側ネットワーク暗号化/復号化部32は、内部で復号化した情報提供サービス要求を再度暗号化する(ステップ205)。そして、ACサーバ側ネットワーク通信部39は、暗号化された情報提供サービス要求をWebサーバ10へ送る(ステップ206)。
【0036】
Webサーバ10においてWebサーバ側ネットワーク暗号化/復号化部12は、Webサーバ側ネットワーク通信部13を介してACサーバ30から送られてきた情報提供サービス要求を受け取ると(ステップ301)、情報提供サービス要求を復号化して情報提供部11へ渡す(ステップ302)。情報提供部11は、受け取った情報提供サービス要求に基づいて所定の公開用情報データベース等からその要求に応じた提供情報を取得し、Webサーバ側ネットワーク暗号化/復号化部12へ渡す(ステップ303)。Webサーバ側ネットワーク暗号化/復号化部12は、その提供情報を暗号化する(ステップ304)。そして、Webサーバ側ネットワーク通信部13は、暗号化された提供情報をACサーバ30へ送る(ステップ305)。
【0037】
ACサーバ30において、ACサーバ側ネットワーク暗号化/復号化部32は、ACサーバ側ネットワーク通信部39を介してWebサーバ10から送られてきた提供情報を受け取ると(ステップ207)、提供情報を復号化してACサーバ側暗号化/復号化部31へ渡す(ステップ208)。ACサーバ側暗号化/復号化部31は、提供情報を暗号用鍵で暗号化すると共に暗号用鍵をクライアント用暗号鍵で暗号化して暗号済提供情報を生成する(ステップ209)。キャッシュ禁止情報付加部38は、生成された暗号済提供情報にクライアント20におけるブラウザが理解しうるキャッシュ禁止命令を記述することで付加し(ステップ210)、ACサーバ側情報交換部37は、この暗号済提供情報を要求送信元のクライアント20へ送る(ステップ211)。このように、キャッシュ禁止命令を付加することによってクライアント20側における復号化された提供情報の漏洩防止を促進させることができる。
【0038】
クライアント20においてACサーバ30が送信した暗号化済提供情報を受け取ると(ステップ107)、クライアント用復号鍵復号化部24は、保持している暗号化された暗号済クライアント用復号鍵を所定のパスワードによって復号化することでクライアント用復号鍵を取得する(ステップ108)。クライアント側暗号化/復号化部22は、クライアント用復号鍵復号化部24が復号化したクライアント用復号鍵で暗号化済提供情報に含まれている暗号用鍵を復号化し、この復号化した暗号用鍵で提供情報を復号化する(ステップ109)。このようにして、クライアント20は、提供情報を取得すると、サービス要求をしたユーザに情報を提供することができる。
【0039】
本実施の形態によれば、ネットワーク上を流れる情報には、常に暗号化をすることにより情報の漏洩を防止することができる。また、クライアント20とACサーバ30との間での情報交換をHTTPプロトコルを用いて行うことができるようにしたので、HTTPのみを通すようなポート設定をファイアウォール40にすることが可能であり、Webサーバ10の環境をSSLプロトコルに準拠するよう変更しなくても現在使用しているコンテンツをそのまま使うことができる。
【0040】
実施の形態2.
本実施の形態は、上記実施の形態1と異なりRSAアルゴリズムに代表される公開鍵暗号方式を用いたことを特徴としている。本実施の形態におけるシステム構成は、上記実施の形態1とほぼ同様であり、扱いの鍵の種類が異なるだけである。
【0041】
より具体的に言うと、クライアント20及びACサーバ30は、それぞれ情報を暗号化するために用いるクライアント用暗号鍵の代わりにクライアント用公開鍵を用いる。すなわち、ステップ209においてACサーバ側暗号化/復号化部31は、クライアント用暗号鍵の代わりにクライアント用公開鍵で暗号用鍵を暗号化することになる。これに伴い、ステップ108においてクライアント用復号鍵復号化部24は、暗号済クライアント用復号鍵からクライアント用復号鍵を取得する代わりに暗号済クライアント用秘密鍵からクライアント用秘密鍵を取得することになる。また、アクセスサーバリストには、ACサーバ用暗号鍵の代わりにACサーバ用公開鍵が登録されることになる。これにより、ステップ104においてクライアント側暗号化/復号化部22は、暗号用鍵をACサーバ用暗号鍵の代わりにACサーバ用公開鍵で暗号化することになる。これに伴い、ステップ203においてACサーバ側暗号化/復号化部31は、受け取った暗号済情報提供サービス要求に含まれている暗号用鍵をACサーバ用復号鍵の代わりにACサーバ用秘密鍵で復号することになる。
【0042】
このように、公開鍵暗号方式を用いた場合でも本発明に係る情報提供システムを適用することができる。
【0043】
実施の形態3.
上記各実施の形態では、クライアント20からの情報提供の要求に対してアクセス制御を行った後に情報の提供を行う処理について説明した。本実施の形態では、情報提供サービス要求ではなくクライアント20が情報提供用の情報をWebサーバ10へ送る際の処理について説明する。但し、扱う情報が上記各実施の形態における情報提供サービス要求という情報ではなく情報提供用情報であるという点が異なるものの、クライアント20及びACサーバ30が行う処理手順については、ほぼ前述した処理と同じであるため説明は省略する。Webサーバ10における処理については、図8に示したフローチャートを用いて説明する。
【0044】
Webサーバ10においてWebサーバ側ネットワーク暗号化/復号化部12は、Webサーバ側ネットワーク通信部13を介してACサーバ30から送られてきた暗号化された情報提供用情報を受け取ると(ステップ311)、それを復号化せずに暗号化されたままの状態で情報提供部11へ渡す(ステップ312)。情報提供部11は、受け取った情報提供用情報を提供情報として所定の公開用情報データベース等の所定の格納場所に保持する(ステップ313)。このように、本実施の形態によれば、所定の者に対する公開用情報を暗号化されたままの状態で保持しておくことで、正当でない者が提供情報を取得した場合でも解読することができず、結果として情報の漏洩を防止することができる。
【0045】
ここで、Webサーバ10は、図7に示した上記実施の形態1における処理と同様にして暗号化された情報提供サービス要求を受け取ると(ステップ301)、情報提供サービス要求を復号化して情報提供部11へ渡し、(ステップ302)。情報提供部11は、その要求に応じて提供情報を取得する(ステップ303)。この取得した提供情報は、上述したとおり暗号化されまままである。Webサーバ側ネットワーク通信部13は、その提供情報をACサーバ30へ送る(ステップ305)。すなわち、本実施の形態では、図7においてステップ304の処理を行わないことになる。
【0046】
ACサーバ30において、ネットワーク復号化処理手段としてのACサーバ側ネットワーク暗号化/復号化部32は、図6に示したようにACサーバ側ネットワーク通信部39を介してWebサーバ10から送られてきた提供情報を受け取ると、提供情報を復号化してACサーバ側暗号化/復号化部31へ渡し、更にその提供情報は改めて暗号化された後にクライアント20へ送られることになるが、この詳細な処理は、実施の形態1と同じになるので説明を省略する。このように、本実施の形態によれば、暗号化したまま提供情報を保持していても正当な者に対しては、情報の提供を行うことができる。
【0047】
【発明の効果】
本発明によれば、外部ネットワーク上を通る情報提供サービス要求を常に暗号化するようにしたので、その要求の内容の漏洩を防止することができる。また、提供情報をも常に暗号化するようにしたので、その情報の漏洩を防止することができる。また、アクセス制御サーバにアクセス制御手段を設けたので、情報提供サーバにアクセス制御機能を設けなくても特定の者からのみの情報提供要求を受け付けることができる。つまり、情報提供サーバの設定変更作業が容易となり、また、情報の機密性を維持しつつ情報提供サービスをクライアントに対して提供することができる。
【0048】
また、クライアントと情報提供サーバ間の情報交換をHTTPプロトコルによって行うことができるようにしたので、HTTPのみを通すようなポート設定をファイアウォールにすることが可能となる。このため、情報提供サーバの環境をSSLプロトコルに準拠するよう変更しなくても現在使用しているコンテンツをそのまま使うことができる。
【0049】
また、複数のアクセス制御サーバそれぞれに対応するアクセス制御サーバ用暗号鍵を管理するアクセスサーバリストを設けたので、アクセス制御サーバ用暗号鍵を取り出して暗号化を行う複数のアクセス制御サーバがネットワークに接続されている場合にも、ユーザの認証用情報の入力を一度で済ませることができる。
【0050】
また、内部ネットワークを通る情報を常に暗号化するようにしたので、その情報の内容の漏洩を防止することができる。
【0051】
また、アクセス制御サーバとクライアントとの間の通信の際に用いる暗号用鍵を変更できるようにしたので、暗号用鍵の解読による情報の漏洩を未然に防止することができる。
【0052】
また、クライアントへ送る提供情報にキャッシュ禁止命令を付加することによってクライアント側において復号化された提供情報の漏洩防止を促進させることができる。
【0053】
また、情報提供サーバにおいて提供するための情報を暗号化されたままの状態で保持しておくようにしたので、正当でない者が情報提供サーバから何らかの手段により提供情報を取得した場合でも解読することができず、結果として情報の漏洩を未然に防止することができる。
【0054】
更に、提供情報が暗号化されたままの状態で保持されていてもアクセス制御サーバへその提供情報が送られた際にアクセス制御サーバにおいて復号化するようにしたので、正当なクライアントは、提供情報を正常に受け取ることができる。
【図面の簡単な説明】
【図1】 本発明に係る情報提供システムの実施の形態1を示した全体構成図である。
【図2】 実施の形態1におけるクライアントのブロック構成図である。
【図3】 実施の形態1におけるアクセス制御サーバのブロック構成図である。
【図4】 実施の形態1におけるWebサーバのブロック構成図である。
【図5】 実施の形態1においてクライアントにおける処理を示したフローチャートである。
【図6】 実施の形態1においてアクセス制御サーバにおける処理を示したフローチャートである。
【図7】 実施の形態1においてWebサーバにおける処理を示したフローチャートである。
【図8】 実施の形態3においてWebサーバにおける処理を示したフローチャートである。
【図9】 従来の情報提供システムの全体構成図である。
【符号の説明】
3 ネットワーク、3a 内部ネットワーク、3b 外部ネットワーク、10Webサーバ、11 情報提供部、12 Webサーバ側ネットワーク暗号化/復号化部、13 Webサーバ側ネットワーク通信部、20 クライアント、21 アクセス制御(AC)サーバ用暗号鍵取出部、22 クライアント側暗号化/復号化部、23 暗号用鍵変更部、24 クライアント用復号鍵復号化部、25 アクセスサーバリスト記憶部、26 クライアント側鍵登録部、27 GET/POST変換部、28 クライアント側情報交換部、30 アクセス制御(AC)サーバ、31 ACサーバ側暗号化/復号化部、32 ACサーバ側ネットワーク暗号化/復号化部、33 アクセス制御部、34 アクセス制御リスト記憶部、35 ACサーバ側鍵登録部、36 POST/GET変換部、37ACサーバ側情報交換部、38 キャッシュ禁止情報付加部、39 ACサーバ側ネットワーク通信部、40 ファイアウォール。
【発明の属する技術分野】
この発明は、ファイアウォールによって内部と外部とに分割されたネットワークに接続されているクライアント・サーバ間におけるアクセス制御並びに情報の機密性を固持するための情報提供システムに関する。
【0002】
【従来の技術】
従来からインターネットやイントラネット等の情報提供システムには、ファイアウォールによってネットワークを内部と外部とに分割することで情報の流失や外部からの不正アクセスの防止を図るようにしたものが知られている。
【0003】
図9は、このような従来の情報提供システムの一例としてのインターネット用の情報提供システムを示した図である。この従来の情報提供システムは、情報提供サービスを行うWebサーバ1と、情報提供サービスを要求するクライアント2と、Webサーバ1とクライアント2とを接続したネットワーク3と、ネットワーク3を内部ネットワーク3aと外部ネットワーク3bとに分割するファイアウォール4と、内部ネットワーク3aでの情報提供サービスのアクセス制御を行うアクセス制御(AC)サーバ5とで構成されている。また、Webサーバ1は、SSL(Secure Sockets Layer)プロトコルにより暗号化処理を行うSSLモジュール6と、アクセス制御処理を行うアクセス制御モジュール(ACモジュール)7とを有している。一方、クライアント2も同様にSSLモジュール8を有している。
【0004】
なお、この従来例においては、Webサーバ1にはNetscape社のNetscape Enterprise Serverが用いられ、クライアント2はブラウザとしてNetscape社のNetscape Navigatorが用いられ、ACサーバ5にはOpenMarket社のOM−Axcessが用いられているものとした。また、SSLプロトコルとは、データがネットワーク3上を流れている間は他人が見えないようにする機能を備え、Netscape社のサーバ並びにブラウザには添付されているプロトコルである。
【0005】
また、ファイアウォール4は、例えば、インターネット環境の場合、外部ネットワーク3bの出口に設けられたルータ(ブルータ)等に設けられ、ftp,telnet,POP3、あるいは、各種プロトコル(例えば、HTML,TCP/IP,SSLなど)の各ポートを開閉することによってファイアウォール4を通過する要求やデータ等を制限するものである。
【0006】
次に、従来においてクライアント2がWebサーバ1から情報を取得するまでの動作について説明する。
【0007】
クライアント2は、情報提供サービスの要求をネットワーク3へ送出する。ファイアウォール4は、外部ネットワーク3bから内部ネットワーク3aへと送られる情報が情報提供サービスへの要求であると判断した場合にWebサーバ1へと送る。
【0008】
Webサーバ1のACモジュール7は、その情報提供サービス要求をACサーバ5へ送る。ACサーバ5は、ユーザ認証用の情報要求をクライアント2へ送る。クライアント2は、ブラウザを用いてユーザに入力させたユーザ認証用の情報をACサーバ5へ送る。
【0009】
ACサーバ5は、ユーザ認証用の情報でユーザの認証を行うと、保持していた情報提供サービス要求にチケットを付加してWebサーバ1へ送る。
【0010】
Webサーバ1のACモジュール7は、要求に付加されたチケットを確認した上で、その要求をSSLモジュール6に渡す。SSLモジュール6は、SSLプロトコルに従いクライアント2のSSLモジュール8と鍵の交換を行う。また、SSLモジュール6は、公開鍵暗号方式におけるWebサーバ1の公開鍵を公開鍵暗号方式におけるクライアント2の公開鍵によって暗号化した後にクライアント2へ送る。
【0011】
クライアント2において、SSLモジュール8は、公開鍵暗号方式によるクライアント2の秘密鍵にて復号化し、公開鍵暗号方式におけるWebサーバ1の公開鍵を取り出す。また、SSLモジュール8は、クライアント2からWebサーバ1へ情報を送る際に利用する秘密鍵暗号方式によるクライアント側秘密鍵と、Webサーバ1からクライアント2へ情報を送る際に利用する秘密鍵暗号方式によるWebサーバ側秘密鍵を生成する。更に、SSLモジュール8は、公開鍵暗号方式におけるWebサーバ1の公開鍵にて秘密鍵暗号方式によるクライアント側秘密鍵と秘密鍵暗号方式によるWebサーバ側秘密鍵とを暗号化してWebサーバ1へ送る。
【0012】
Webサーバ1において、SSLモジュール6は、公開鍵暗号方式によるWebサーバ1の秘密鍵にて復号化し、秘密鍵暗号方式によるクライアント側秘密鍵と、秘密鍵暗号方式によるWebサーバ側秘密鍵を取り出す。また、SSLモジュール6は、クライアント2から要求されていた提供情報を、秘密鍵暗号方式によるWebサーバ側秘密鍵にて暗号化してクライアント2へ送る。
【0013】
クライアント2において、SSLモジュール8は、秘密鍵暗号方式によるWebサーバ側秘密鍵にて復号化し、提供情報をクライアント2を利用しているユーザに提供する。
【0014】
【発明が解決しようとする課題】
しかしながら、上述したようなユーザ認証によってセキュリティを確保した情報提供をしようとするシステムにおいては、上述したようなアクセス制御を行うためWebサーバがSSLモジュールを実装していなければ、その情報提供サービスをクライアントに対して提供することができなかった。このため、ファイアウォールは、SSLプロトコルというHTTP(Hypertext transfer protocol)以外のプロトコルに準拠したデータを通過させなくてはならなくなるので、セキュリティの低下を招き、信頼性が低下するという問題が発生しうる。更に、SSLプロトコルを利用するという条件に併せてWebサーバが提供する既存のコンテンツの内容を変更(制限)しなければならなかった。従って、WebサーバにSSLモジュールを実装させなくても機密性の低下を防止し、更にはより一層の外部への情報の漏洩を防止しうるシステムが望まれる。
【0015】
また、情報提供サーバで利用しているオペレーティングシステム(OS)に対応したアクセス制御モジュールが必要であるため、複数プラットフォームに対応させてWebサーバ側にアクセス制御モジュールを作成しなければならなかった。また、作成後における設定変更作業も個々に行わなくてはならず面倒であった。
【0016】
また、複数のACサーバが存在する場合、クライアントは、各ACサーバからのユーザ認証要求に応えるために複数回のユーザ認証用の情報を入力しなければならず、操作が煩雑化する。
【0017】
本発明は、以上のような問題を解決するためになされたものであり、その第1の目的は、情報の機密性を維持しつつ汎用的で簡便な情報提供システムを提供することにある。
【0018】
また、第2の目的は、情報の機密性をより一層向上させる情報提供システムを提供することにある。
【0019】
【課題を解決するための手段】
以上のような目的を達成するために、第1の発明に係る情報提供システムは、ネットワーク全体を内部ネットワークと外部ネットワークとに分割するファイアウォールと、前記内部ネットワークに接続され、情報提供サービスを行う情報提供サーバと、前記外部ネットワークに接続され、情報提供サービスを要求するクライアントと、前記内部ネットワークに接続され、情報提供サービス要求のアクセス制御を行うアクセス制御サーバとを有し、前記クライアントは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行うクライアント側暗号化/復号化処理手段を有し、前記アクセス制御サーバは、前記クライアントとの間で送受信する情報の暗号化/復号化を行うアクセス制御サーバ側暗号化/復号化処理手段と、前記クライアントから送られてきた情報提供サービス要求に基づき前記情報提供サーバへのアクセス許可の判定を行うアクセス制御手段と、前記アクセス制御手段がアクセス許可の判定を行う際に使用するユーザ毎のルールが記述されたアクセス制御リストを記憶するアクセス制御リスト記憶手段とを有し、前記クライアント側暗号化/復号化処理手段は、前記アクセス制御サーバへ送信する情報提供サービス要求と、当該情報提供サービス要求に応じて前記情報提供サーバが提供する提供情報を暗号化するために用いるアクセス制御用通信暗号鍵を暗号化するために用いる当該クライアントのクライアント用公開暗号鍵と、をクライアント用通信暗号鍵で暗号化することによって暗号済情報提供サービス要求を生成し、更に暗号化に用いた前記クライアント用通信暗号鍵を、予め保持する前記アクセス制御サーバのアクセス制御サーバ用公開暗号鍵で暗号化することによって暗号済クライアント用通信暗号鍵を生成し、前記アクセス制御サーバ側暗号化/復号化処理手段は、前記クライアントから送られてきた前記暗号済クライアント用通信暗号鍵を当該アクセス制御サーバのアクセス制御サーバ用秘密復号鍵で復号することによって前記クライアント用通信暗号鍵を取り出し、前記クライアントから送られてきた前記暗号済情報提供サービス要求をその取り出した前記クライアント用通信暗号鍵で復号することによって前記情報提供サービス要求及び前記クライアント用公開暗号鍵を取り出し、復号した前記情報提供サービス要求に応じて前記情報提供サーバにより取得された提供情報を前記クライアントへ送る際に、当該提供情報を当該アクセス制御サーバの前記アクセス制御用通信暗号鍵で暗号化し、更に暗号化に用いた前記アクセス制御用通信暗号鍵を、前記クライアントの前記クライアント用公開暗号鍵で暗号化するものである。
【0020】
第2の発明に係る情報提供システムは、第1の発明において、前記クライアントは、GETメソッドをPOSTメソッドへと変換するGET/POST変換手段を有し、前記アクセス制御サーバは、POSTメソッドをGETメソッドへと逆変換するPOST/GET変換手段を有し、前記クライアントと前記情報提供サーバ間の情報交換をハイパーテキストトランスファープロトコルに基づき行わせるものである。
【0021】
第3の発明に係る情報提供システムは、第1の発明において、前記クライアントは、前記アクセス制御サーバ個々に対応したアクセス制御サーバ用公開暗号鍵を管理するアクセスサーバリストを記憶するアクセスサーバリスト記憶手段を有し、前記クライアント側暗号化/復号化処理手段は、情報提供サービス要求の送信先の前記アクセス制御サーバに対応したアクセス制御サーバ用公開暗号鍵を前記アクセスサーバリストから取り出して暗号化を行うものである。
【0022】
第4の発明に係る情報提供システムは、第1の発明において、前記アクセス制御サーバ側暗号化/復号化処理手段は、前記情報提供サーバとの間で送受信する情報の暗号化/復号化を行うアクセス制御サーバ側ネットワーク暗号化/復号化部を有し、前記情報提供サーバは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行う情報提供サーバ側ネットワーク暗号化/復号化部を有するものである。
【0023】
第5の発明に係る情報提供システムは、第1の発明において、前記クライアント側暗号化/復号化処理手段は、前記暗号済クライアント用通信暗号鍵を変更する暗号用鍵変更部を有するものである。
【0024】
第6の発明に係る情報提供システムは、第1の発明において、前記アクセス制御サーバは、キャッシュを禁止する命令を前記クライアントに送信する情報に付加するキャッシュ禁止情報付加手段を有するものである。
【0025】
第7の発明に係る情報提供システムは、第1の発明において、前記情報提供サーバは、前記アクセス制御サーバを経由して受け取った情報提供用情報を復号化せずに暗号化されたまま提供情報として保持するものである。
【0026】
第8の発明に係る情報提供システムは、第7の発明において、前記アクセス制御サーバは、前記情報提供サーバからの暗号化された提供情報の復号化を行うネットワーク復号化処理手段を有し、前記アクセス制御サーバ側暗号化/復号化処理手段によりその復号化した提供情報を改めて暗号化した後に前記クライアントに送るものである。
【0027】
【発明の実施の形態】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
【0028】
実施の形態1.
図1は、本発明に係る情報提供システムの実施の形態1を示した全体構成図である。図1には、情報提供サービスを行う情報提供サーバとしてのWebサーバ10と、Webサーバ10に対して情報提供サービスの要求やWebサーバ10が管理する公開用情報の提供を行うクライアント20と、Webサーバ10とクライアント20とを接続したネットワーク3と、ネットワーク3を内部ネットワーク3aと外部ネットワーク3bとに分割するファイアウォール40と、内部ネットワーク3aでの情報提供サービスのアクセス制御を行うアクセス制御(AC)サーバ30とが示されている。Webサーバ10はWWW(World Wide Web)を搭載したコンピュータ、クライアント20はブラウザを搭載したコンピュータである。また、ファイアウォール40は、例えば、インターネット環境の場合、外部ネットワーク3bの出口に設けられたルータ(ブルータ)等に設定され、ftp,telnet,POP3、あるいは、各種プロトコル(例えば、HTTP,HTML,TCP/IPなど)の各ポートを用途に応じて開閉することによってファイアウォール40を通過する要求やデータ等を制限するものである。なお、本実施の形態の場合にはHTTP用のポートのみが開放されているものとする。
【0029】
図2は、本実施の形態におけるクライアント20のブロック構成図である。クライアント20は、アクセス制御(AC)サーバ用暗号鍵取出部21、クライアント側暗号化/復号化部22、暗号用鍵変更部23及びクライアント用復号鍵復号化部24を含みACサーバ30との間で送受信する情報の暗号化/復号化を行うクライアント側暗号化/復号化処理手段、アクセスサーバリスト記憶部25、クライアント側鍵登録部26、及びGET/POST変換部27を搭載したクライアント側情報交換部28を有している。このうち、ACサーバ用暗号鍵取出部21は、ASLを参照してACサーバ30個々に対応するACサーバ用暗号鍵を取り出す。クライアント側暗号化/復号化部22は、所定の鍵に基づいて情報の暗号化/復号化を行う。暗号用鍵変更部23は、クライアント側暗号化/復号化部22が暗号化する際に用いる暗号用鍵を毎回変更する。クライアント用復号鍵復号化部24は、パスワードにより暗号化済クライアント用復号鍵を復号する。アクセスサーバリスト記憶部25は、ACサーバ30個々に対応したACサーバ用暗号鍵を管理するアクセスサーバリスト(ASL)を記憶する。アクセスサーバリストには、管理者等によって予め暗号鍵が各ACサーバ30に対応して設定されている。クライアント側鍵登録部26は、クライアント20で用いる鍵を登録するための手段である。クライアント側情報交換部28は、ACサーバ30を介してWebサーバ10と情報交換を行い、GET/POST変換部27は、ACサーバ30へ送信する情報(GETメソッド)をPOSTメソッドへと変換する。なお図2においては、情報提供サービス要求時におけるデータの流れを実線矢印で、情報提供時におけるデータの流れを破線矢印でそれぞれ示している。図3及び図4においても同様である。
【0030】
図3は、本実施の形態におけるACサーバ30のブロック構成図である。ACサーバ30は、ACサーバ側暗号化/復号化部31及びACサーバ側ネットワーク暗号化/復号化部32を含み送受信する情報の暗号化/復号化を行うアクセス制御サーバ側暗号化/復号化処理手段、アクセス制御部33、アクセス制御リスト記憶部34、ACサーバ側鍵登録部35、POST/GET変換部36を搭載したACサーバ側情報交換部37、キャッシュ禁止情報付加部38及びACサーバ側ネットワーク通信部39を有している。このうち、ACサーバ側暗号化/復号化部31は、クライアント20との間で送受信する情報の暗号化/復号化を行う。ACサーバ側ネットワーク暗号化/復号化部32は、Webサーバ10との間で送受信する情報の暗号化/復号化を行う。アクセス制御部33は、クライアント20から送られてきた情報提供サービス要求に基づきWebサーバ10へのアクセス許可の判定を行う。アクセス制御リスト記憶部34は、アクセス制御部30がアクセス許可の判定を行う際に使用するユーザ毎のルールが記述されたアクセス制御リスト(ACL)を記憶する。ACサーバ側鍵登録部35は、ACサーバ30で用いる鍵を登録するための手段である。ACサーバ側情報交換部37は、クライアント20と情報交換を行い、POST/GET変換部36は、クライアント20から受信した情報(POSTメソッド)をGETメソッドへと逆変換する。キャッシュ禁止情報付加部38は、キャッシュを禁止する命令をクライアント20に送信する情報に付加する。そして、ACサーバ側ネットワーク通信部39は、Webサーバ10との間で内部ネットワーク3aを介して通信を行う。
【0031】
図4は、本実施の形態におけるWebサーバ10のブロック構成図である。Webサーバ10は、情報提供部11、Webサーバ側ネットワーク暗号化/復号化部12及びWebサーバ側ネットワーク通信部13を有している。情報提供部11は、クライアント20からの正規の情報提供サービス要求に応じて情報の提供を行う。Webサーバ側ネットワーク暗号化/復号化部12は、ACサーバ30との間で送受信する情報の暗号化/復号化を行う。Webサーバ側ネットワーク通信部13は、ACサーバ30との間で内部ネットワーク3aを介して通信を行う。
【0032】
本実施の形態において特徴的なことは、ネットワーク上を通る情報を常に暗号化するようにし、また、提供情報に対するアクセス制御や暗号化鍵、提供情報の漏洩を極力防止できるようにしたことである。これにより、情報の機密性を維持しつつ情報提供サービスをクライアント20に対して提供することができる。また、Webサーバ10それぞれにSSLモジュールを実装させずにWebサーバ10に対するアクセス制御をACサーバ30に一括して行わせるようにしたことである。これにより、汎用的でかつ簡便な情報提供システムを構築することができる。この本実施の形態における情報提供システムの動作について図5乃至図7に示したフローチャートを用いて説明する。
【0033】
クライアント20は、図示しない要求入力手段、例えば、キーボードやマウス等からユーザによる入力操作によって情報提供サービス要求の内容を受け付けると(ステップ101)、ACサーバ用暗号鍵取出部21は、その情報提供サービス要求に含まれているACサーバ名等のACサーバ識別情報に基づきアクセスサーバリストを参照して、そのACサーバ30との通信に使用するACサーバ用暗号鍵を取得する(ステップ102)。暗号用鍵変更部23は、ACサーバ30との通信の際に用いる暗号用鍵を取り出して所定の規則に従い変更する(ステップ103)。このように、暗号用鍵を使用する度に変更することによってアクセスサーバリストの内容が漏洩している場合でもサービス要求の機密性を維持することができる。クライアント側暗号化/復号化部22は、クライアント用暗号鍵と情報提供サービス要求を変更後の暗号用鍵で暗号化し、更にその暗号用鍵をアクセスサーバリストから取り出したACサーバ用暗号鍵で暗号化することによって暗号済情報提供サービス要求を生成する(ステップ104)。GET/POST変換部27は、クライアント側暗号化/復号化部22を利用して暗号済情報提供サービス要求をHTTPのGETメソッドからPOSTメソッドへと変換して変換済サービス要求を生成し(ステップ105)、これをACサーバ30へ送る(ステップ106)。
【0034】
ACサーバ30においてクライアント20が送信した上記変換済サービス要求を受け取ると(ステップ201)、POST/GET変換部36は、ACサーバ側暗号化/復号化部31を利用して暗号済情報提供サービス要求へと逆変換する(ステップ202)。ACサーバ側暗号化/復号化部31は、暗号済情報提供サービス要求から暗号用鍵を取り出し予め保持しているACサーバ用復号鍵で復号し、更に暗号済情報提供サービス要求に含まれているクライアント用暗号鍵と情報提供サービス要求を復号化した暗号用鍵で復号する(ステップ203)。アクセス制御部33は、アクセスコントロールリストを参照してクラアイント20からの情報提供サービス要求がユーザ毎のルールに従っているかどうかのチェックを行うことでクライアント20のWebサーバ10へのアクセス許可の判定を行う(ステップ204)。ここで、アクセス不可と判定されれば、クライアント20は、Webサーバ10へのアクセスができないこととなるため、不当なクライアントによるWebサーバ10へのアクセス、すなわち正当でない者への情報の提供を未然に防止することができる。なお、Webサーバ10へのアクセスを許可しないと判定した場合、その旨をクライアント20へ送信する。
【0035】
Webサーバ10へのアクセスが許可された場合、ACサーバ側ネットワーク暗号化/復号化部32は、内部で復号化した情報提供サービス要求を再度暗号化する(ステップ205)。そして、ACサーバ側ネットワーク通信部39は、暗号化された情報提供サービス要求をWebサーバ10へ送る(ステップ206)。
【0036】
Webサーバ10においてWebサーバ側ネットワーク暗号化/復号化部12は、Webサーバ側ネットワーク通信部13を介してACサーバ30から送られてきた情報提供サービス要求を受け取ると(ステップ301)、情報提供サービス要求を復号化して情報提供部11へ渡す(ステップ302)。情報提供部11は、受け取った情報提供サービス要求に基づいて所定の公開用情報データベース等からその要求に応じた提供情報を取得し、Webサーバ側ネットワーク暗号化/復号化部12へ渡す(ステップ303)。Webサーバ側ネットワーク暗号化/復号化部12は、その提供情報を暗号化する(ステップ304)。そして、Webサーバ側ネットワーク通信部13は、暗号化された提供情報をACサーバ30へ送る(ステップ305)。
【0037】
ACサーバ30において、ACサーバ側ネットワーク暗号化/復号化部32は、ACサーバ側ネットワーク通信部39を介してWebサーバ10から送られてきた提供情報を受け取ると(ステップ207)、提供情報を復号化してACサーバ側暗号化/復号化部31へ渡す(ステップ208)。ACサーバ側暗号化/復号化部31は、提供情報を暗号用鍵で暗号化すると共に暗号用鍵をクライアント用暗号鍵で暗号化して暗号済提供情報を生成する(ステップ209)。キャッシュ禁止情報付加部38は、生成された暗号済提供情報にクライアント20におけるブラウザが理解しうるキャッシュ禁止命令を記述することで付加し(ステップ210)、ACサーバ側情報交換部37は、この暗号済提供情報を要求送信元のクライアント20へ送る(ステップ211)。このように、キャッシュ禁止命令を付加することによってクライアント20側における復号化された提供情報の漏洩防止を促進させることができる。
【0038】
クライアント20においてACサーバ30が送信した暗号化済提供情報を受け取ると(ステップ107)、クライアント用復号鍵復号化部24は、保持している暗号化された暗号済クライアント用復号鍵を所定のパスワードによって復号化することでクライアント用復号鍵を取得する(ステップ108)。クライアント側暗号化/復号化部22は、クライアント用復号鍵復号化部24が復号化したクライアント用復号鍵で暗号化済提供情報に含まれている暗号用鍵を復号化し、この復号化した暗号用鍵で提供情報を復号化する(ステップ109)。このようにして、クライアント20は、提供情報を取得すると、サービス要求をしたユーザに情報を提供することができる。
【0039】
本実施の形態によれば、ネットワーク上を流れる情報には、常に暗号化をすることにより情報の漏洩を防止することができる。また、クライアント20とACサーバ30との間での情報交換をHTTPプロトコルを用いて行うことができるようにしたので、HTTPのみを通すようなポート設定をファイアウォール40にすることが可能であり、Webサーバ10の環境をSSLプロトコルに準拠するよう変更しなくても現在使用しているコンテンツをそのまま使うことができる。
【0040】
実施の形態2.
本実施の形態は、上記実施の形態1と異なりRSAアルゴリズムに代表される公開鍵暗号方式を用いたことを特徴としている。本実施の形態におけるシステム構成は、上記実施の形態1とほぼ同様であり、扱いの鍵の種類が異なるだけである。
【0041】
より具体的に言うと、クライアント20及びACサーバ30は、それぞれ情報を暗号化するために用いるクライアント用暗号鍵の代わりにクライアント用公開鍵を用いる。すなわち、ステップ209においてACサーバ側暗号化/復号化部31は、クライアント用暗号鍵の代わりにクライアント用公開鍵で暗号用鍵を暗号化することになる。これに伴い、ステップ108においてクライアント用復号鍵復号化部24は、暗号済クライアント用復号鍵からクライアント用復号鍵を取得する代わりに暗号済クライアント用秘密鍵からクライアント用秘密鍵を取得することになる。また、アクセスサーバリストには、ACサーバ用暗号鍵の代わりにACサーバ用公開鍵が登録されることになる。これにより、ステップ104においてクライアント側暗号化/復号化部22は、暗号用鍵をACサーバ用暗号鍵の代わりにACサーバ用公開鍵で暗号化することになる。これに伴い、ステップ203においてACサーバ側暗号化/復号化部31は、受け取った暗号済情報提供サービス要求に含まれている暗号用鍵をACサーバ用復号鍵の代わりにACサーバ用秘密鍵で復号することになる。
【0042】
このように、公開鍵暗号方式を用いた場合でも本発明に係る情報提供システムを適用することができる。
【0043】
実施の形態3.
上記各実施の形態では、クライアント20からの情報提供の要求に対してアクセス制御を行った後に情報の提供を行う処理について説明した。本実施の形態では、情報提供サービス要求ではなくクライアント20が情報提供用の情報をWebサーバ10へ送る際の処理について説明する。但し、扱う情報が上記各実施の形態における情報提供サービス要求という情報ではなく情報提供用情報であるという点が異なるものの、クライアント20及びACサーバ30が行う処理手順については、ほぼ前述した処理と同じであるため説明は省略する。Webサーバ10における処理については、図8に示したフローチャートを用いて説明する。
【0044】
Webサーバ10においてWebサーバ側ネットワーク暗号化/復号化部12は、Webサーバ側ネットワーク通信部13を介してACサーバ30から送られてきた暗号化された情報提供用情報を受け取ると(ステップ311)、それを復号化せずに暗号化されたままの状態で情報提供部11へ渡す(ステップ312)。情報提供部11は、受け取った情報提供用情報を提供情報として所定の公開用情報データベース等の所定の格納場所に保持する(ステップ313)。このように、本実施の形態によれば、所定の者に対する公開用情報を暗号化されたままの状態で保持しておくことで、正当でない者が提供情報を取得した場合でも解読することができず、結果として情報の漏洩を防止することができる。
【0045】
ここで、Webサーバ10は、図7に示した上記実施の形態1における処理と同様にして暗号化された情報提供サービス要求を受け取ると(ステップ301)、情報提供サービス要求を復号化して情報提供部11へ渡し、(ステップ302)。情報提供部11は、その要求に応じて提供情報を取得する(ステップ303)。この取得した提供情報は、上述したとおり暗号化されまままである。Webサーバ側ネットワーク通信部13は、その提供情報をACサーバ30へ送る(ステップ305)。すなわち、本実施の形態では、図7においてステップ304の処理を行わないことになる。
【0046】
ACサーバ30において、ネットワーク復号化処理手段としてのACサーバ側ネットワーク暗号化/復号化部32は、図6に示したようにACサーバ側ネットワーク通信部39を介してWebサーバ10から送られてきた提供情報を受け取ると、提供情報を復号化してACサーバ側暗号化/復号化部31へ渡し、更にその提供情報は改めて暗号化された後にクライアント20へ送られることになるが、この詳細な処理は、実施の形態1と同じになるので説明を省略する。このように、本実施の形態によれば、暗号化したまま提供情報を保持していても正当な者に対しては、情報の提供を行うことができる。
【0047】
【発明の効果】
本発明によれば、外部ネットワーク上を通る情報提供サービス要求を常に暗号化するようにしたので、その要求の内容の漏洩を防止することができる。また、提供情報をも常に暗号化するようにしたので、その情報の漏洩を防止することができる。また、アクセス制御サーバにアクセス制御手段を設けたので、情報提供サーバにアクセス制御機能を設けなくても特定の者からのみの情報提供要求を受け付けることができる。つまり、情報提供サーバの設定変更作業が容易となり、また、情報の機密性を維持しつつ情報提供サービスをクライアントに対して提供することができる。
【0048】
また、クライアントと情報提供サーバ間の情報交換をHTTPプロトコルによって行うことができるようにしたので、HTTPのみを通すようなポート設定をファイアウォールにすることが可能となる。このため、情報提供サーバの環境をSSLプロトコルに準拠するよう変更しなくても現在使用しているコンテンツをそのまま使うことができる。
【0049】
また、複数のアクセス制御サーバそれぞれに対応するアクセス制御サーバ用暗号鍵を管理するアクセスサーバリストを設けたので、アクセス制御サーバ用暗号鍵を取り出して暗号化を行う複数のアクセス制御サーバがネットワークに接続されている場合にも、ユーザの認証用情報の入力を一度で済ませることができる。
【0050】
また、内部ネットワークを通る情報を常に暗号化するようにしたので、その情報の内容の漏洩を防止することができる。
【0051】
また、アクセス制御サーバとクライアントとの間の通信の際に用いる暗号用鍵を変更できるようにしたので、暗号用鍵の解読による情報の漏洩を未然に防止することができる。
【0052】
また、クライアントへ送る提供情報にキャッシュ禁止命令を付加することによってクライアント側において復号化された提供情報の漏洩防止を促進させることができる。
【0053】
また、情報提供サーバにおいて提供するための情報を暗号化されたままの状態で保持しておくようにしたので、正当でない者が情報提供サーバから何らかの手段により提供情報を取得した場合でも解読することができず、結果として情報の漏洩を未然に防止することができる。
【0054】
更に、提供情報が暗号化されたままの状態で保持されていてもアクセス制御サーバへその提供情報が送られた際にアクセス制御サーバにおいて復号化するようにしたので、正当なクライアントは、提供情報を正常に受け取ることができる。
【図面の簡単な説明】
【図1】 本発明に係る情報提供システムの実施の形態1を示した全体構成図である。
【図2】 実施の形態1におけるクライアントのブロック構成図である。
【図3】 実施の形態1におけるアクセス制御サーバのブロック構成図である。
【図4】 実施の形態1におけるWebサーバのブロック構成図である。
【図5】 実施の形態1においてクライアントにおける処理を示したフローチャートである。
【図6】 実施の形態1においてアクセス制御サーバにおける処理を示したフローチャートである。
【図7】 実施の形態1においてWebサーバにおける処理を示したフローチャートである。
【図8】 実施の形態3においてWebサーバにおける処理を示したフローチャートである。
【図9】 従来の情報提供システムの全体構成図である。
【符号の説明】
3 ネットワーク、3a 内部ネットワーク、3b 外部ネットワーク、10Webサーバ、11 情報提供部、12 Webサーバ側ネットワーク暗号化/復号化部、13 Webサーバ側ネットワーク通信部、20 クライアント、21 アクセス制御(AC)サーバ用暗号鍵取出部、22 クライアント側暗号化/復号化部、23 暗号用鍵変更部、24 クライアント用復号鍵復号化部、25 アクセスサーバリスト記憶部、26 クライアント側鍵登録部、27 GET/POST変換部、28 クライアント側情報交換部、30 アクセス制御(AC)サーバ、31 ACサーバ側暗号化/復号化部、32 ACサーバ側ネットワーク暗号化/復号化部、33 アクセス制御部、34 アクセス制御リスト記憶部、35 ACサーバ側鍵登録部、36 POST/GET変換部、37ACサーバ側情報交換部、38 キャッシュ禁止情報付加部、39 ACサーバ側ネットワーク通信部、40 ファイアウォール。
Claims (8)
- ネットワーク全体を内部ネットワークと外部ネットワークとに分割するファイアウォールと、
前記内部ネットワークに接続され、情報提供サービスを行う情報提供サーバと、
前記外部ネットワークに接続され、情報提供サービスを要求するクライアントと、
前記内部ネットワークに接続され、情報提供サービス要求のアクセス制御を行うアクセス制御サーバと、
を有し、
前記クライアントは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行うクライアント側暗号化/復号化処理手段を有し、
前記アクセス制御サーバは、
前記クライアントとの間で送受信する情報の暗号化/復号化を行うアクセス制御サーバ側暗号化/復号化処理手段と、
前記クライアントから送られてきた情報提供サービス要求に基づき前記情報提供サーバへのアクセス許可の判定を行うアクセス制御手段と、
前記アクセス制御手段がアクセス許可の判定を行う際に使用するユーザ毎のルールが記述されたアクセス制御リストを記憶するアクセス制御リスト記憶手段と、
を有し、
前記クライアント側暗号化/復号化処理手段は、
前記アクセス制御サーバへ送信する情報提供サービス要求と、当該情報提供サービス要求に応じて前記情報提供サーバが提供する提供情報を暗号化するために用いるアクセス制御用通信暗号鍵を暗号化するために用いる当該クライアントのクライアント用公開暗号鍵と、をクライアント用通信暗号鍵で暗号化することによって暗号済情報提供サービス要求を生成し、
更に暗号化に用いた前記クライアント用通信暗号鍵を、予め保持する前記アクセス制御サーバのアクセス制御サーバ用公開暗号鍵で暗号化することによって暗号済クライアント用通信暗号鍵を生成し、
前記アクセス制御サーバ側暗号化/復号化処理手段は、
前記クライアントから送られてきた前記暗号済クライアント用通信暗号鍵を当該アクセス制御サーバのアクセス制御サーバ用秘密復号鍵で復号することによって前記クライアント用通信暗号鍵を取り出し、
前記クライアントから送られてきた前記暗号済情報提供サービス要求をその取り出した前記クライアント用通信暗号鍵で復号することによって前記情報提供サービス要求及び前記クライアント用公開暗号鍵を取り出し、
復号した前記情報提供サービス要求に応じて前記情報提供サーバにより取得された提供情報を前記クライアントへ送る際に、当該提供情報を当該アクセス制御サーバの前記アクセス制御用通信暗号鍵で暗号化し、更に暗号化に用いた前記アクセス制御用通信暗号鍵を、前記クライアントの前記クライアント用公開暗号鍵で暗号化することを特徴とする情報提供システム。 - 前記クライアントは、GETメソッドをPOSTメソッドへと変換するGET/POST変換手段を有し、
前記アクセス制御サーバは、POSTメソッドをGETメソッドへと逆変換するPOST/GET変換手段を有し、前記クライアントと前記情報提供サーバ間の情報交換をハイパーテキストトランスファープロトコルに基づき行わせることを特徴とする請求項1記載の情報提供システム。 - 前記クライアントは、前記アクセス制御サーバ個々に対応したアクセス制御サーバ用公開暗号鍵を管理するアクセスサーバリストを記憶するアクセスサーバリスト記憶手段を有し、
前記クライアント側暗号化/復号化処理手段は、情報提供サービス要求の送信先の前記アクセス制御サーバに対応したアクセス制御サーバ用公開暗号鍵を前記アクセスサーバリストから取り出して暗号化を行うことを特徴とする請求項1記載の情報提供システム。 - 前記アクセス制御サーバ側暗号化/復号化処理手段は、前記情報提供サーバとの間で送受信する情報の暗号化/復号化を行うアクセス制御サーバ側ネットワーク暗号化/復号化部を有し、
前記情報提供サーバは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行う情報提供サーバ側ネットワーク暗号化/復号化部を有することを特徴とする請求項1記載の情報提供システム。 - 前記クライアント側暗号化/復号化処理手段は、前記暗号済クライアント用通信暗号鍵を変更する暗号用鍵変更部を有することを特徴とする請求項1記載の情報提供システム。
- 前記アクセス制御サーバは、キャッシュを禁止する命令を前記クライアントに送信する情報に付加するキャッシュ禁止情報付加手段を有することを特徴とする請求項1記載の情報提供システム。
- 前記情報提供サーバは、前記アクセス制御サーバを経由して受け取った情報提供用情報を復号化せずに暗号化されたまま提供情報として保持することを特徴とする請求項1記載の情報提供システム。
- 前記アクセス制御サーバは、前記情報提供サーバからの暗号化された提供情報の復号化を行うネットワーク復号化処理手段を有し、前記アクセス制御サーバ側暗号化/復号化処理手段によりその復号化した提供情報を改めて暗号化した後に前記クライアントに送ることを特徴とする請求項7記載の情報提供システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP25043597A JP3877388B2 (ja) | 1997-09-16 | 1997-09-16 | 情報提供システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP25043597A JP3877388B2 (ja) | 1997-09-16 | 1997-09-16 | 情報提供システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH1188436A JPH1188436A (ja) | 1999-03-30 |
| JP3877388B2 true JP3877388B2 (ja) | 2007-02-07 |
Family
ID=17207844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP25043597A Expired - Lifetime JP3877388B2 (ja) | 1997-09-16 | 1997-09-16 | 情報提供システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3877388B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
| US9477665B2 (en) | 1999-05-05 | 2016-10-25 | Virtual Creative Artists, LLC | Revenue-generating electronic multi-media exchange and process of operating same |
| US7308413B1 (en) * | 1999-05-05 | 2007-12-11 | Tota Michael J | Process for creating media content based upon submissions received on an electronic multi-media exchange |
| US6584567B1 (en) * | 1999-06-30 | 2003-06-24 | International Business Machines Corporation | Dynamic connection to multiple origin servers in a transcoding proxy |
| ES2243319T3 (es) * | 1999-10-22 | 2005-12-01 | Nomadix, Inc. | Sistema y procedimiento para redireccionar a usuarios que intentan acceder a un destino de red. |
| JP2001337872A (ja) * | 2000-05-29 | 2001-12-07 | Cec:Kk | サービス提供システム |
| KR101037838B1 (ko) * | 2003-04-25 | 2011-05-31 | 애플 인크. | 보안 네트워크를 통한 콘텐츠의 분배 방법 및 그 시스템 |
| JP5104514B2 (ja) | 2008-04-21 | 2012-12-19 | 富士通株式会社 | パケット転送制御装置およびパケット転送制御方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5081677A (en) * | 1990-08-31 | 1992-01-14 | International Business Machines Corp. | Crypotographic key version control facility |
| JPH08153072A (ja) * | 1994-09-30 | 1996-06-11 | Toshiba Corp | 計算機システム及び計算機システム管理方法 |
| JPH08305558A (ja) * | 1995-04-27 | 1996-11-22 | Casio Comput Co Ltd | 暗号化プログラム演算装置 |
| JPH0993241A (ja) * | 1995-09-28 | 1997-04-04 | Nippon Telegr & Teleph Corp <Ntt> | 情報通信システム及び情報通信方法 |
| JP3688830B2 (ja) * | 1995-11-30 | 2005-08-31 | 株式会社東芝 | パケット転送方法及びパケット処理装置 |
| JP2000112860A (ja) * | 1998-10-01 | 2000-04-21 | Mitsubishi Electric Corp | 安全な情報発信・共有サービス方法 |
-
1997
- 1997-09-16 JP JP25043597A patent/JP3877388B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH1188436A (ja) | 1999-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| USRE41186E1 (en) | Method of encrypting information for remote access while maintaining access control | |
| US6978376B2 (en) | Information security architecture for encrypting documents for remote access while maintaining access control | |
| US9286484B2 (en) | Method and system for providing document retention using cryptography | |
| EP1697818B1 (en) | Authentication system for networked computer applications | |
| US7100054B2 (en) | Computer network security system | |
| US6985953B1 (en) | System and apparatus for storage and transfer of secure data on web | |
| US8176334B2 (en) | Document security system that permits external users to gain access to secured files | |
| US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| JP4748774B2 (ja) | 暗号化通信方式及びシステム | |
| US8572119B2 (en) | System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data | |
| KR101150833B1 (ko) | 정보 유통 시스템 및 그를 실현하기 위한 프로그램 | |
| US20020046350A1 (en) | Method and system for establishing an audit trail to protect objects distributed over a network | |
| US20020032873A1 (en) | Method and system for protecting objects distributed over a network | |
| US20050071657A1 (en) | Method and system for securing digital assets using time-based security criteria | |
| US20050138360A1 (en) | Encryption/decryption pay per use web service | |
| US20030051172A1 (en) | Method and system for protecting digital objects distributed over a network | |
| JP2001101054A5 (ja) | ||
| US20030237005A1 (en) | Method and system for protecting digital objects distributed over a network by electronic mail | |
| US20050027979A1 (en) | Secure transmission of data within a distributed computer system | |
| JP3877388B2 (ja) | 情報提供システム | |
| KR19980050938A (ko) | 인터넷 상에서 암호환된 문서 전송방법 | |
| KR20010076025A (ko) | 지정 클라이언트만의 사용을 위한 컴퓨터네트워크상에서의 암호화 파일 전송 방법 | |
| JP2004102524A (ja) | データベースのセキュリティシステム及びセキュリティ方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040506 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040506 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060223 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060418 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060615 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060725 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060919 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20060927 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20061031 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061031 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091110 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101110 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111110 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121110 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121110 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131110 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |