JP4524492B2 - Httpリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法 - Google Patents
Httpリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法 Download PDFInfo
- Publication number
- JP4524492B2 JP4524492B2 JP2003141436A JP2003141436A JP4524492B2 JP 4524492 B2 JP4524492 B2 JP 4524492B2 JP 2003141436 A JP2003141436 A JP 2003141436A JP 2003141436 A JP2003141436 A JP 2003141436A JP 4524492 B2 JP4524492 B2 JP 4524492B2
- Authority
- JP
- Japan
- Prior art keywords
- url
- http request
- data relay
- information
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、プロキシサーバ等のデータ中継装置を通過するHTTP(Hyper Text Transfer Protocol)リクエストで使用されるメソッドを制御する機能を有するデータ中継システム、及びそのメソッド制御方法に関する。
【0002】
【従来の技術】
インターネットを利用して各種のサービスを提供するウェブ(Web)システムは、不特定多数の人が利用できるという利便性がある反面、悪意を持った者によって不当な情報が書込まれて迷惑をこうむったり、機密情報が漏洩して被害をこうむったりするなど、外部システムと接続しない閉鎖型のシステムと比較して、セキュリティ面で問題が発生しやすいという問題がある。このようなセキュリティ上の問題を解決するために、近年、インターネットの標準化組織であるIETF(Internet Engineering Task Force)によって標準化された暗号化技術や本人認証技術を用いて、通信内容の解読を困難にしたり、改竄されていないことを検出したりする機能を取入れたシステムが開発され、一部のASP(Application Service Provider)等によって提供されている。また、その他に、独自のアルゴリズムでセキュリティを強化するようにしたものも、数多く提案されている。
【0003】
電子メールのセキュリティを確保するようにしたシステムとしては、例えば、LAN(ローカルエリアネットワーク)上のメールサーバとインターネットとの間に、電子メールが改竄されていないかどうかを検査する手段を備えたプロキシ装置を設け、改竄されている場合には電子メールの受信を拒否することで、改竄された電子メールがLAN内に入ることを防止するようにしたものがある(例えば特許文献1を参照)。また、電子掲示板において迷惑な発言が書き込まれるのを防止するようにしたシステムとしては、例えば、予め登録された禁止語句リストをもとに、迷惑な発言(語句)があるかどうかを判定する手段を備え、迷惑な発言があると判定した場合は、その発言を非表示にするようにしたものがある。また、迷惑な発言と誤って判定した場合を考慮して、電子掲示板の管理者が、保存された非表示及び表示の発言文書の一覧を見て、必要と思われる場合には非表示か表示かの扱いを変更できるようにしたものがある(例えば特許文献2を参照)。
【0004】
【特許文献1】
特開2002−24147号公報
【特許文献2】
特開2002−82869号公報
【0005】
【発明が解決しようとする課題】
上述した電子メールのセキュリティシステムでは、改竄された電子メールがLAN内に入ることを防止することはできるが、改竄自体を防止することができないため、結果としては被害をこうむることになる。また、上述した、電子掲示板のセキュリティシステムでは、迷惑な発言と判定した情報の表示を回避することはできるが、迷惑な発言かどうかは、語句だけでは判断がつかないことが多いと考えられる。
【0006】
ところで、電子メールシステムや電子掲示板システム(以下、それぞれWebメールシステム、Web掲示板システムとする)などのWebシステムにおいては、HTTPで規定されたメソッド(POSTメソッドあるいはPUTメソッド)を使用しているため、特定のメソッドを制御することによって、情報の書込みを規制することが考えられる。しかし、この場合は、全てのインターネット上、イントラネット上の書込みに対して、全てができなくなり、Webシステムのサービスが利用不可能となる。
【0007】
本発明は上述のような事情から成されたものであり、本発明の目的は、HTTPリクエストのメソッドを制御して、インターネットの利便性を妨げることなく、特定のWebシステムの情報資源に対してのみ不正な書込みや情報の漏洩を防止することができる、HTTPリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法を提供することにある。
【0008】
【課題を解決するための手段】
本発明は、HTTPリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法に関するものであり、本発明の上記目的は、クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおいて、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースと、HTTPで規定されたPOST,PUT,GET,及びHEADを含む個別のメソッドを制御対象として各メソッドの使用を不許可とするか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として登録するメソッド規制情報登録手段と、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記使用を不許可とするメソッドが設定されているか否かを前記メソッド規制情報に基づいて判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記個別のメソッド毎に且つ前記アクセス先のURL毎に規制するメソッド制御手段とを備えることによって達成される。
【0009】
さらに、前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として登録する機能を有しており、前記メソッド制御手段は、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制すること;によって一層効果的に達成される。
【0010】
さらに、前記HTTPリクエストが前記WWWサーバへの接続要求であること;前記WWWサーバへのHTTPリクエストを不許可とした場合に、前記HTTPリクエストのデータを破棄すると共に、前記HTTPリクエストの不許可を示す応答データを前記クライアントへ送信して当該ユーザに通知する不許可通知送信手段を更に備えること;前記データ中継装置がプロキシサーバであること;前記制御対象の各メソッドが、前記URLデータベースに格納されているURL毎に個別に設定できるようになっていること;前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースの分類要素であるカテゴリに対応させて登録できるようにしており、前記メソッド規制情報に前記カテゴリが設定されている場合、前記メソッド制御手段は、前記カテゴリに属する全てのURLを規制対象のURLとして処理するようにしていること;前記メソッド制御手段及び前記URLデータベースを前記データ中継装置に備えること;前記メソッド規制情報登録手段を前記クライアントに備え、前記メソッド規制情報を当該クライアントから登録できるようにしていること;前記制御対象のメソッドが、Webメールシステム及びWeb掲示板システムで使用されるメソッドを含むこと;によって、それぞれ一層効果的に達成される。
【0011】
また、HTTPリクエストのメソッド制御方法に関しては、本発明の上記目的は、クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおけるHTTPリクエストのメソッド制御方法であって、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースを備え、HTTPで規定されたPOST,PUT,GET,及びHEADを含む個別のメソッドを制御対象として各メソッドの使用を不許可とするか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として予め記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記使用を不許可とするメソッドが設定されているか否かを前記メソッド規制情報に基づいて判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、前記HTTPリクエストのメソッドの使用を前記個別のメソッド毎に且つ前記アクセス先のURL毎に規制することによって達成される。
【0012】
さらに、前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として予め前記記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制すること;によって一層効果的に達成される。
【0013】
【発明の実施の形態】
本発明は、クライアントとWWW(World Wide Web)サーバとの間で通信データの中継を行うデータ中継システムにおいて、HTTPリクエストを中継する際に、そのHTTPリクエストに設定されてるメソッドの使用の許可/不許可をURL(Uniform Resource Locators)毎に制御するメソッド制御機能を備え、アクセス先のURLに対してメソッドの使用が許可されていない場合は、例えばWWWサーバとの接続をせずにデータを破棄するようにしている。このような機能をデータ中継装置に備えることにより、特定のURLを対象として特定のWebシステムへの不正な情報の書込みや情報の書換え、企業内などの内部の人間による書込みによる情報の漏洩などを防止することができる。
【0014】
さらに、本発明に係るデータ中継システムは、上記のようにメソッドの使用の許可/不許可をURL毎に制御する機能の他に、メソッドの使用の許可/不許可をユーザ毎又はユーザが属するグループ毎に制御する機能を有しており、特定のユーザ又はグループを対象として、メソッドの使用を規制できるようにしている。規制の対象となるメソッドは、アクセス先のリソース環境を変更する類型のメソッドであり、例えばRFC2068,RFC2069として標準化されているメソッドを例とすると、URI(Uniform Resource Identifiers)で指定したサーバのコマンドに対してデータを転送する「POSTメソッド」、URIで指定したリソースを転送するデータで置換える「PUTメソッド」などが該当する。また、機密情報の漏洩を防止する場合、URIで指定したリソースを取得する「GETメソッド」や、URIで指定したリソースのレスポンスヘッダを取得する「HEADメソッド」など、アクセス先のリソースを参照する類型のメソッドを規制の対象とするようにしても良い。
【0015】
なお、本発明に係るデータ中継システムの構成要素であるデータ中継装置は、プロキシサーバが好ましいが、プロキシサーバに限らず、中継経路の制御機能等を有するルータやプロトコル変換機能等を有するゲートウェイ装置にも適用することができる。以下、これらの装置を含む、インターネット上のWWWサーバとクライアントとの間のデータ通信を中継する装置を「データ中継装置」と称し、更に、そのデータ中継装置と関連するASP(Application Service Provider)を含むシステムを「データ中継システム」と称して、本発明の好適な実施の形態を図面に基づいて詳細に説明する。
【0016】
図1は、本発明に係るデータ中継システムの全体構成の一例を模式図で示している。企業などの組織において、各自のパーソナルコンピュータからインターネットにアクセス可能とする場合、例えば、図1に示すように、セキュリティ機能やキャッシュ機能を有するデータ中継装置(本例ではプロキシサーバ)20をLAN1とインターネット2との間に接続し、そのプロキシサーバ20を経由して各クライアント端末10(以下、「クライアント」とする)から、インターネット上あるいはイントラネット上のWebメールシステム40aやWeb掲示板システム40b等のWWWサーバ40にアクセスする形態が広くとられている。
【0017】
一般的に、プロキシサーバは、構内ネットワークやイントラネット等の内部ネットワークに接続されるクライアント10の全ての中継データを対象としてキャッシュやログ(経過記録)の制御を行うようにしているが、本発明に係るプロキシサーバ20では、LAN1等の内部ネットワークに接続される各クライアント10を、例えば総務部や開発部のように特定のグループ(G1−1,G1−2…、G2−1,G2−2…)でグループ化し、それらのグループ毎に当該データのキャッシュ又はログを制御するようにしている。また、WWWサーバ40に対するメソッドの使用の許可/不許可をアクセス先のURL毎に制御すると共に、ユーザ毎又はユーザが属するグループ毎に制御し、当該WWWシステム40への情報の書込みを規制するようにしている。
【0018】
図1中に示されるURLデータベース30は、全世界に存在するウェブサイトのURLの情報群を、情報の種類、利用技術の種類、閲覧系、決済系、データベース利用型などの所定のカテゴリで分類し、各種のキーで索引可能にURL情報群を格納したデータベースであり、当該ウェブサイトのURLとそのカテゴリを示す分類コード等が関連付けられて登録されている。このURLデータベース30は、例えばデータ中継システムの運営・管理等を行なうASPから提供される。ASPのコンピュータは、例えば所定のアルゴリズムで最新のサイトのURL情報などを自動収集してカテゴライズし、該当の更新情報を通信ネットワークを介して毎日配信するなど、URLデータベース30を適時更新するURL情報更新手段を備えている。また、ユーザが所定のカテゴリで分類したURL情報をURLデータベース30に登録するURL情報登録手段を備え、ユーザが所望のURL情報を登録できるようにしている。
【0019】
本発明の実施の形態では、このURLデータベース30に登録されているURLを対象として、HTTPリクエストのメソッドの使用の許可/不許可をアクセス先のURL毎に制御することで、インターネットやイントラネット上の全てのウェブサイトではなく、特定のURLに対してのみ当該メソッドによるアクセスを規制することを可能としている。
【0020】
図2は、本発明に係るメソッド制御機能を有するプロキシサーバの主要部の構成例を示すブロック図で示している。URLデータベース30は、本例ではプロキシサーバ20(あるいは他の装置)に設けられ、前述のURL情報更新手段31は、図示されないALPのコンピュータに設けられている。
【0021】
メソッド規制情報登録手段21は、HTTPで規定されたメソッドのうち特定のメソッドを制御対象として、その制御対象のメソッドの使用を許可するか否かを示す識別情報をURLデータベース30に格納されているURLに対応させて「メソッド規制情報」として登録する手段であり、本例ではクライアント側の特定の端末に備え、メソッド規制情報を当該クライアントから登録できるようにしている
【0022】
プロキシサーバ20の主要な構成としては、規制対象のURL情報群を含む各WWWサーバのURL情報群を格納したURLデータベース30と、メソッド規制情報登録手段21によって登録されたメソッド規制情報を記憶するメソッド規制情報記憶手段22と、制御対象のメソッドの使用をアクセス先のURL毎に規制するメソッド制御手段23と、このメソッド制御手段によってWWWサーバへのHTTPリクエストを不許可とした場合に、HTTPリクエストのデータを破棄すると共に、HTTPリクエストの不許可を示す応答データをクライアントへ送信して当該ユーザに通知する不許可通知送信手段24とを備えている。
【0023】
プロキシサーバ20のメソッド制御手段23は、例えば、クライアントからのWWWサーバへのHTTPリクエストを受信時に、そのHTTPリクエストのヘッダ情報に制御対象のメソッドが設定されているか否かを判定すると共に、URLデータベース30を参照してアクセス先のURLが規制対象のURLであるか否かを上記メソッド規制情報に基づいて判定し、制御対象のメソッドで且つ規制対象のURLであると判定した場合にはWWWサーバへのHTTPリクエストを不許可とし、WWWサーバへのデータ転送を拒否するようにしている。
【0024】
上記のメソッド規制情報は、図3の模式図に示すように、例えば、URL情報と、ユーザ又はユーザが属するグループをそれぞれ特定するユーザID(図3中のUSER欄内のU1、U2、…、G1、G2…)と、制御対象のメソッドの使用を許可するか否かを示す識別情報(図3中の○が許可、×が不許可)とから構成される。そして、図3に示すような、各URLと各ユーザ又はグループと識別情報(メソッドの使用許可又は不許可)との対応関係を示す「メソッド規制情報」、すなわち、どのユーザ又はグループからのどのURLに対するメソッドの使用を許可するか否かを示す「メソッド規制情報」が、前述のメソッド規制情報登録手段21によって登録されて、プロキシサーバ20内のメソッド規制情報記憶手段22に記憶されるようになっている。また、規制対象のURLは、個々のURL毎に設定する機能の他に、分類されたURLデータベース30のカテゴリ毎に設定する機能を備えるようにしても良い。さらに、メソッド規制情報の設定は、全てのURLの初期値を不許可(又は許可)とし、許可するURL(又は許可しないURL)だけを対象として設定するようにしても良い。また、制御対象のメソッドは、URL別又はユーザ別(又はユーザが属するグループ別)、あるいは、URL別で且つユーザ別(又はユーザが属するグループ別)に特定のメソッドを個別に設定できるようにしても良い。
【0025】
図3の例では、U1、U2のユーザとG1、G2のグループに属する各ユーザは、A1のURLに対しては、メソッドの使用を許可し、カテゴリC2に属する全てのURLに対しては、メソッドの使用を許可しないようにそれぞれ設定されている。また、A2のURLに対しては、U2のユーザとG2のグループに属する各ユーザは、メソッドの使用を許可しないように設定されている。なお、メソッドの使用を規制する対象は、ユーザが独自に設定可能であり、ユーザは、メソッド規制情報登録手段21によって表示される画面の案内に従って、規制対象のメソッドとURLとユーザ(又はグループ)との対応を設定し、プロキシサーバ20の規制情報記憶手段22に登録する。
【0026】
図2に示したメソッド制御手段23では、HTTPリクエストを受信時に、上記のようなメソッド規制情報に基づいて、HTTPリクエストに設定されているメソッドが制御対象のメソッドで、且つアクセス先が規制対象のURLであると判定した場合、更にそのメソッドがクライアントのユーザに対して使用が許可されているか否かを判定し、使用が許可されていない場合にWWWサーバへのHTTPリクエストを不許可とすることによって、制御対象のメソッドの使用をクライアントのユーザ毎又はユーザが属するグループ毎に規制するようにしている。
【0027】
上述のようなメソッド制御機能は、本実施の形態ではCPUにより実行されるコンピュータ・プログラム(以下、プログラムとする)で実現され、そのプログラムは所定の記録媒体(フレキシブルディスク、ハードディスク、CD−ROM、CD−R、DVD−ROM、DVD−RAM、DVD−R、PDディスク、MDディスク、MOディスク等の記録媒体)に記録されている。なお、一部のメソッド制御機能をハードウェアで実現する形態も本発明に含まれる。
【0028】
上述のような構成において、プロキシサーバでのメソッド制御に係る動作例を説明する。
【0029】
先ず、図4の模式図を参照して概略の動作例を説明する。プロキシサーバ10では、クライアント10からWWWサーバへの接続要求を受信すると(▲1▼)、HTTPのヘッダ情報の内容からリクエスト時のメソッドを特定する(▲2▼)。このメソッドが制御対象のメソッドであれば、アクセス先のURLがURLデータベースに登録されているか否かを判定し、登録されていれば、メソッド規制情報に基づいて当該メソッドの使用を許可するか否かを判定する。本実施の形態では、アクセス先のURLが規制対象で且つ、接続要求元のユーザが制御対象(規制対象)のユーザ又はグループに属するユーザであるか否かを判定する(▲3▼)。そして、当該メソッドの使用を許可すると判定した場合は、通常の中継処理と同様に、クライアント10が要求したWWWとの接続を行ってデータを転送し、(▲4▼−1)、接続したWWWサーバの応答データをクライアント10へ転送する(▲5▼)。一方、当該メソッドの使用を許可しないと判定した場合は、クライアントからの書込みデータを破棄すると共に、規制した旨の通知をクライアント1へ送信し、当該HTTPリクエストのメソッド制御に係る処理を終了する(▲4▼−2)。
【0030】
次に、プロキシサーバでのメソッド制御に係る具体的な動作例を図5のフローチャートに従って説明する。
【0031】
クライアント10から送信されたWWWサーバへの接続要求を受信すると(ステップS1、S2)、プロキシサーバ10のメソッド制御手段では、先ず、HTTPのヘッダ情報の内容からリクエスト時のメソッドを特定する。リクエスト時のメソッドは、例えば図6に示すように、HTTPのヘッダ部に設定されている(図6の例では、POSTメソッド)。メソッド制御手段では、リクエスト時のメソッドが、予め設定されている制御対象のメソッド群に存在するか否かを判定し、存在するのであれば制御対象のメソッドと判断する。ここで言う制御対象のメソッドとは、本例では、HTTPで規定されたメソッドのうち、アクセス先のリソース環境を変更する類型のメソッドであり、例えば該当のメソッドがHTTPの仕様に応じて予めテーブル等に設定されている。
【0032】
制御対象のメソッドと判断した場合は、接続先のURLがURLデータベースに含まれているか否かを判定し(ステップS3)、含まれている場合は、制御対象のURLと判断する。そして、制御対象のURLであると判定した場合は、HTTPリクエストに使用されているメソッドが、アクセス先のURLに対して許可され、且つそのユーザ又はユーザが属するグループに対して許可されているか否かを、予め設定されたメソッド規制情報に基づいて判定する(ステップS4)。例えば、図3のメソッド規制情報の例において、アクセス先のURLが「A2」で、接続要求を受信時に認証したユーザが「U2」の場合、メソッドの使用が許可されていないと判断し、HTTPリクエストのデータを破棄すると共に、WWW接続の不許可を示す応答データをクライアント10へ送信して当該ユーザに通知する(ステップS5)。クライアント10の表示部には、例えば、ブラウザの利用不許可の画面が表示される(ステップS5)。
【0033】
一方、ステップS4において、メソッドの使用が許可されていると判断した場合は、プロキシサーバ10は、クライアント10が要求したWWWサーバ30との接続を行ってデータを転送する(ステップS7)。接続要求を受付けたWWWサーバ30では、クライアント10からのデータを受信し、応答データを返送する(ステップS8、S9)。応答データを受けたプロキシサーバ10では、WWWサーバ30からの応答データをクライアント10へ転送する(ステップS10)。そして、応答データを受信したクライアント10では、WWWサーバのWebデータ(HTML,XMLなど)を表示部に表示し(ステップS11)、そのHTTPリクエストに対する処理を終了する。
【0034】
なお、上述した実施の形態では、本発明に係るHTTPリクエストのメソッド制御方法を適用した装置としては、プロキシサーバを例として説明したが、プロキシサーバに限るものではなく、ゲートウェイ装置やノード(Node)用のコンピュータなど、クライアントとリクエスト先のデータサーバとの間で通信データを中継する装置であれば良い。また、リクエスト先のデータサーバは、インターネット上のWWWサーバに限るものではなく、インターネット以外の通信ネットワーク(LAN、イントラネット,エクストラネット等)に接続されるデータサーバであっても良い。
【0035】
【発明の効果】
以上に説明したように、本発明によれば、HTTPリクエストのメソッドを特定のURL毎に制御することによって、当該メソッドの使用を規制するようにしているので、特定のWeb掲示板や特定のWebメールシステムに対してのみ、情報の書込み等を制御することが可能となる。そのため、インターネットの利便性を妨げることなく、不正な書込みや情報の漏洩を防止すことが可能となる。また、ユーザ毎又はユーザが属するグループ毎に、当該メソッドの使用を制御するようにしているので、特定のユーザ又は特定のグループに対してのみ、情報の書込み等を規制することが可能となる。そのため、特定のURL毎の他に、特定のユーザ又はグループ毎に、情報の書込みの権限を制御することが可能となる。
【図面の簡単な説明】
【図1】本発明に係るデータ中継システムの全体構成の一例を示す模式図である。
【図2】本発明に係るメソッド制御機能を有するデータ中継装置の主要部の構成例を示すブロック図である。
【図3】本発明に係わるメソッド規制情報に一例を示す模式図である。
【図4】本発明に係るデータ中継装置の概略の動作例を説明するための模式図である。
【図5】本発明に係るデータ中継装置のメソッド制御に係る具体的な動作例を説明するためのフローチャートである。
【図6】本発明における制御対象のHTTPリクエストのメソッドの一例を示す図である。
【符号の説明】
1 LAN
2 インターネット
10 クライアント
20 データ中継装置(プロキシサーバ)
21 メソッド規制情報登録手段
22 メソッド規制情報記憶手段
23 メソッド制御手段
24 不許可通知送信手段
30 URLデータベース
31 URL情報更新手段
40 WWWサーバ
【発明の属する技術分野】
本発明は、プロキシサーバ等のデータ中継装置を通過するHTTP(Hyper Text Transfer Protocol)リクエストで使用されるメソッドを制御する機能を有するデータ中継システム、及びそのメソッド制御方法に関する。
【0002】
【従来の技術】
インターネットを利用して各種のサービスを提供するウェブ(Web)システムは、不特定多数の人が利用できるという利便性がある反面、悪意を持った者によって不当な情報が書込まれて迷惑をこうむったり、機密情報が漏洩して被害をこうむったりするなど、外部システムと接続しない閉鎖型のシステムと比較して、セキュリティ面で問題が発生しやすいという問題がある。このようなセキュリティ上の問題を解決するために、近年、インターネットの標準化組織であるIETF(Internet Engineering Task Force)によって標準化された暗号化技術や本人認証技術を用いて、通信内容の解読を困難にしたり、改竄されていないことを検出したりする機能を取入れたシステムが開発され、一部のASP(Application Service Provider)等によって提供されている。また、その他に、独自のアルゴリズムでセキュリティを強化するようにしたものも、数多く提案されている。
【0003】
電子メールのセキュリティを確保するようにしたシステムとしては、例えば、LAN(ローカルエリアネットワーク)上のメールサーバとインターネットとの間に、電子メールが改竄されていないかどうかを検査する手段を備えたプロキシ装置を設け、改竄されている場合には電子メールの受信を拒否することで、改竄された電子メールがLAN内に入ることを防止するようにしたものがある(例えば特許文献1を参照)。また、電子掲示板において迷惑な発言が書き込まれるのを防止するようにしたシステムとしては、例えば、予め登録された禁止語句リストをもとに、迷惑な発言(語句)があるかどうかを判定する手段を備え、迷惑な発言があると判定した場合は、その発言を非表示にするようにしたものがある。また、迷惑な発言と誤って判定した場合を考慮して、電子掲示板の管理者が、保存された非表示及び表示の発言文書の一覧を見て、必要と思われる場合には非表示か表示かの扱いを変更できるようにしたものがある(例えば特許文献2を参照)。
【0004】
【特許文献1】
特開2002−24147号公報
【特許文献2】
特開2002−82869号公報
【0005】
【発明が解決しようとする課題】
上述した電子メールのセキュリティシステムでは、改竄された電子メールがLAN内に入ることを防止することはできるが、改竄自体を防止することができないため、結果としては被害をこうむることになる。また、上述した、電子掲示板のセキュリティシステムでは、迷惑な発言と判定した情報の表示を回避することはできるが、迷惑な発言かどうかは、語句だけでは判断がつかないことが多いと考えられる。
【0006】
ところで、電子メールシステムや電子掲示板システム(以下、それぞれWebメールシステム、Web掲示板システムとする)などのWebシステムにおいては、HTTPで規定されたメソッド(POSTメソッドあるいはPUTメソッド)を使用しているため、特定のメソッドを制御することによって、情報の書込みを規制することが考えられる。しかし、この場合は、全てのインターネット上、イントラネット上の書込みに対して、全てができなくなり、Webシステムのサービスが利用不可能となる。
【0007】
本発明は上述のような事情から成されたものであり、本発明の目的は、HTTPリクエストのメソッドを制御して、インターネットの利便性を妨げることなく、特定のWebシステムの情報資源に対してのみ不正な書込みや情報の漏洩を防止することができる、HTTPリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法を提供することにある。
【0008】
【課題を解決するための手段】
本発明は、HTTPリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法に関するものであり、本発明の上記目的は、クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおいて、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースと、HTTPで規定されたPOST,PUT,GET,及びHEADを含む個別のメソッドを制御対象として各メソッドの使用を不許可とするか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として登録するメソッド規制情報登録手段と、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記使用を不許可とするメソッドが設定されているか否かを前記メソッド規制情報に基づいて判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記個別のメソッド毎に且つ前記アクセス先のURL毎に規制するメソッド制御手段とを備えることによって達成される。
【0009】
さらに、前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として登録する機能を有しており、前記メソッド制御手段は、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制すること;によって一層効果的に達成される。
【0010】
さらに、前記HTTPリクエストが前記WWWサーバへの接続要求であること;前記WWWサーバへのHTTPリクエストを不許可とした場合に、前記HTTPリクエストのデータを破棄すると共に、前記HTTPリクエストの不許可を示す応答データを前記クライアントへ送信して当該ユーザに通知する不許可通知送信手段を更に備えること;前記データ中継装置がプロキシサーバであること;前記制御対象の各メソッドが、前記URLデータベースに格納されているURL毎に個別に設定できるようになっていること;前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースの分類要素であるカテゴリに対応させて登録できるようにしており、前記メソッド規制情報に前記カテゴリが設定されている場合、前記メソッド制御手段は、前記カテゴリに属する全てのURLを規制対象のURLとして処理するようにしていること;前記メソッド制御手段及び前記URLデータベースを前記データ中継装置に備えること;前記メソッド規制情報登録手段を前記クライアントに備え、前記メソッド規制情報を当該クライアントから登録できるようにしていること;前記制御対象のメソッドが、Webメールシステム及びWeb掲示板システムで使用されるメソッドを含むこと;によって、それぞれ一層効果的に達成される。
【0011】
また、HTTPリクエストのメソッド制御方法に関しては、本発明の上記目的は、クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおけるHTTPリクエストのメソッド制御方法であって、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースを備え、HTTPで規定されたPOST,PUT,GET,及びHEADを含む個別のメソッドを制御対象として各メソッドの使用を不許可とするか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として予め記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記使用を不許可とするメソッドが設定されているか否かを前記メソッド規制情報に基づいて判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、前記HTTPリクエストのメソッドの使用を前記個別のメソッド毎に且つ前記アクセス先のURL毎に規制することによって達成される。
【0012】
さらに、前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として予め前記記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制すること;によって一層効果的に達成される。
【0013】
【発明の実施の形態】
本発明は、クライアントとWWW(World Wide Web)サーバとの間で通信データの中継を行うデータ中継システムにおいて、HTTPリクエストを中継する際に、そのHTTPリクエストに設定されてるメソッドの使用の許可/不許可をURL(Uniform Resource Locators)毎に制御するメソッド制御機能を備え、アクセス先のURLに対してメソッドの使用が許可されていない場合は、例えばWWWサーバとの接続をせずにデータを破棄するようにしている。このような機能をデータ中継装置に備えることにより、特定のURLを対象として特定のWebシステムへの不正な情報の書込みや情報の書換え、企業内などの内部の人間による書込みによる情報の漏洩などを防止することができる。
【0014】
さらに、本発明に係るデータ中継システムは、上記のようにメソッドの使用の許可/不許可をURL毎に制御する機能の他に、メソッドの使用の許可/不許可をユーザ毎又はユーザが属するグループ毎に制御する機能を有しており、特定のユーザ又はグループを対象として、メソッドの使用を規制できるようにしている。規制の対象となるメソッドは、アクセス先のリソース環境を変更する類型のメソッドであり、例えばRFC2068,RFC2069として標準化されているメソッドを例とすると、URI(Uniform Resource Identifiers)で指定したサーバのコマンドに対してデータを転送する「POSTメソッド」、URIで指定したリソースを転送するデータで置換える「PUTメソッド」などが該当する。また、機密情報の漏洩を防止する場合、URIで指定したリソースを取得する「GETメソッド」や、URIで指定したリソースのレスポンスヘッダを取得する「HEADメソッド」など、アクセス先のリソースを参照する類型のメソッドを規制の対象とするようにしても良い。
【0015】
なお、本発明に係るデータ中継システムの構成要素であるデータ中継装置は、プロキシサーバが好ましいが、プロキシサーバに限らず、中継経路の制御機能等を有するルータやプロトコル変換機能等を有するゲートウェイ装置にも適用することができる。以下、これらの装置を含む、インターネット上のWWWサーバとクライアントとの間のデータ通信を中継する装置を「データ中継装置」と称し、更に、そのデータ中継装置と関連するASP(Application Service Provider)を含むシステムを「データ中継システム」と称して、本発明の好適な実施の形態を図面に基づいて詳細に説明する。
【0016】
図1は、本発明に係るデータ中継システムの全体構成の一例を模式図で示している。企業などの組織において、各自のパーソナルコンピュータからインターネットにアクセス可能とする場合、例えば、図1に示すように、セキュリティ機能やキャッシュ機能を有するデータ中継装置(本例ではプロキシサーバ)20をLAN1とインターネット2との間に接続し、そのプロキシサーバ20を経由して各クライアント端末10(以下、「クライアント」とする)から、インターネット上あるいはイントラネット上のWebメールシステム40aやWeb掲示板システム40b等のWWWサーバ40にアクセスする形態が広くとられている。
【0017】
一般的に、プロキシサーバは、構内ネットワークやイントラネット等の内部ネットワークに接続されるクライアント10の全ての中継データを対象としてキャッシュやログ(経過記録)の制御を行うようにしているが、本発明に係るプロキシサーバ20では、LAN1等の内部ネットワークに接続される各クライアント10を、例えば総務部や開発部のように特定のグループ(G1−1,G1−2…、G2−1,G2−2…)でグループ化し、それらのグループ毎に当該データのキャッシュ又はログを制御するようにしている。また、WWWサーバ40に対するメソッドの使用の許可/不許可をアクセス先のURL毎に制御すると共に、ユーザ毎又はユーザが属するグループ毎に制御し、当該WWWシステム40への情報の書込みを規制するようにしている。
【0018】
図1中に示されるURLデータベース30は、全世界に存在するウェブサイトのURLの情報群を、情報の種類、利用技術の種類、閲覧系、決済系、データベース利用型などの所定のカテゴリで分類し、各種のキーで索引可能にURL情報群を格納したデータベースであり、当該ウェブサイトのURLとそのカテゴリを示す分類コード等が関連付けられて登録されている。このURLデータベース30は、例えばデータ中継システムの運営・管理等を行なうASPから提供される。ASPのコンピュータは、例えば所定のアルゴリズムで最新のサイトのURL情報などを自動収集してカテゴライズし、該当の更新情報を通信ネットワークを介して毎日配信するなど、URLデータベース30を適時更新するURL情報更新手段を備えている。また、ユーザが所定のカテゴリで分類したURL情報をURLデータベース30に登録するURL情報登録手段を備え、ユーザが所望のURL情報を登録できるようにしている。
【0019】
本発明の実施の形態では、このURLデータベース30に登録されているURLを対象として、HTTPリクエストのメソッドの使用の許可/不許可をアクセス先のURL毎に制御することで、インターネットやイントラネット上の全てのウェブサイトではなく、特定のURLに対してのみ当該メソッドによるアクセスを規制することを可能としている。
【0020】
図2は、本発明に係るメソッド制御機能を有するプロキシサーバの主要部の構成例を示すブロック図で示している。URLデータベース30は、本例ではプロキシサーバ20(あるいは他の装置)に設けられ、前述のURL情報更新手段31は、図示されないALPのコンピュータに設けられている。
【0021】
メソッド規制情報登録手段21は、HTTPで規定されたメソッドのうち特定のメソッドを制御対象として、その制御対象のメソッドの使用を許可するか否かを示す識別情報をURLデータベース30に格納されているURLに対応させて「メソッド規制情報」として登録する手段であり、本例ではクライアント側の特定の端末に備え、メソッド規制情報を当該クライアントから登録できるようにしている
【0022】
プロキシサーバ20の主要な構成としては、規制対象のURL情報群を含む各WWWサーバのURL情報群を格納したURLデータベース30と、メソッド規制情報登録手段21によって登録されたメソッド規制情報を記憶するメソッド規制情報記憶手段22と、制御対象のメソッドの使用をアクセス先のURL毎に規制するメソッド制御手段23と、このメソッド制御手段によってWWWサーバへのHTTPリクエストを不許可とした場合に、HTTPリクエストのデータを破棄すると共に、HTTPリクエストの不許可を示す応答データをクライアントへ送信して当該ユーザに通知する不許可通知送信手段24とを備えている。
【0023】
プロキシサーバ20のメソッド制御手段23は、例えば、クライアントからのWWWサーバへのHTTPリクエストを受信時に、そのHTTPリクエストのヘッダ情報に制御対象のメソッドが設定されているか否かを判定すると共に、URLデータベース30を参照してアクセス先のURLが規制対象のURLであるか否かを上記メソッド規制情報に基づいて判定し、制御対象のメソッドで且つ規制対象のURLであると判定した場合にはWWWサーバへのHTTPリクエストを不許可とし、WWWサーバへのデータ転送を拒否するようにしている。
【0024】
上記のメソッド規制情報は、図3の模式図に示すように、例えば、URL情報と、ユーザ又はユーザが属するグループをそれぞれ特定するユーザID(図3中のUSER欄内のU1、U2、…、G1、G2…)と、制御対象のメソッドの使用を許可するか否かを示す識別情報(図3中の○が許可、×が不許可)とから構成される。そして、図3に示すような、各URLと各ユーザ又はグループと識別情報(メソッドの使用許可又は不許可)との対応関係を示す「メソッド規制情報」、すなわち、どのユーザ又はグループからのどのURLに対するメソッドの使用を許可するか否かを示す「メソッド規制情報」が、前述のメソッド規制情報登録手段21によって登録されて、プロキシサーバ20内のメソッド規制情報記憶手段22に記憶されるようになっている。また、規制対象のURLは、個々のURL毎に設定する機能の他に、分類されたURLデータベース30のカテゴリ毎に設定する機能を備えるようにしても良い。さらに、メソッド規制情報の設定は、全てのURLの初期値を不許可(又は許可)とし、許可するURL(又は許可しないURL)だけを対象として設定するようにしても良い。また、制御対象のメソッドは、URL別又はユーザ別(又はユーザが属するグループ別)、あるいは、URL別で且つユーザ別(又はユーザが属するグループ別)に特定のメソッドを個別に設定できるようにしても良い。
【0025】
図3の例では、U1、U2のユーザとG1、G2のグループに属する各ユーザは、A1のURLに対しては、メソッドの使用を許可し、カテゴリC2に属する全てのURLに対しては、メソッドの使用を許可しないようにそれぞれ設定されている。また、A2のURLに対しては、U2のユーザとG2のグループに属する各ユーザは、メソッドの使用を許可しないように設定されている。なお、メソッドの使用を規制する対象は、ユーザが独自に設定可能であり、ユーザは、メソッド規制情報登録手段21によって表示される画面の案内に従って、規制対象のメソッドとURLとユーザ(又はグループ)との対応を設定し、プロキシサーバ20の規制情報記憶手段22に登録する。
【0026】
図2に示したメソッド制御手段23では、HTTPリクエストを受信時に、上記のようなメソッド規制情報に基づいて、HTTPリクエストに設定されているメソッドが制御対象のメソッドで、且つアクセス先が規制対象のURLであると判定した場合、更にそのメソッドがクライアントのユーザに対して使用が許可されているか否かを判定し、使用が許可されていない場合にWWWサーバへのHTTPリクエストを不許可とすることによって、制御対象のメソッドの使用をクライアントのユーザ毎又はユーザが属するグループ毎に規制するようにしている。
【0027】
上述のようなメソッド制御機能は、本実施の形態ではCPUにより実行されるコンピュータ・プログラム(以下、プログラムとする)で実現され、そのプログラムは所定の記録媒体(フレキシブルディスク、ハードディスク、CD−ROM、CD−R、DVD−ROM、DVD−RAM、DVD−R、PDディスク、MDディスク、MOディスク等の記録媒体)に記録されている。なお、一部のメソッド制御機能をハードウェアで実現する形態も本発明に含まれる。
【0028】
上述のような構成において、プロキシサーバでのメソッド制御に係る動作例を説明する。
【0029】
先ず、図4の模式図を参照して概略の動作例を説明する。プロキシサーバ10では、クライアント10からWWWサーバへの接続要求を受信すると(▲1▼)、HTTPのヘッダ情報の内容からリクエスト時のメソッドを特定する(▲2▼)。このメソッドが制御対象のメソッドであれば、アクセス先のURLがURLデータベースに登録されているか否かを判定し、登録されていれば、メソッド規制情報に基づいて当該メソッドの使用を許可するか否かを判定する。本実施の形態では、アクセス先のURLが規制対象で且つ、接続要求元のユーザが制御対象(規制対象)のユーザ又はグループに属するユーザであるか否かを判定する(▲3▼)。そして、当該メソッドの使用を許可すると判定した場合は、通常の中継処理と同様に、クライアント10が要求したWWWとの接続を行ってデータを転送し、(▲4▼−1)、接続したWWWサーバの応答データをクライアント10へ転送する(▲5▼)。一方、当該メソッドの使用を許可しないと判定した場合は、クライアントからの書込みデータを破棄すると共に、規制した旨の通知をクライアント1へ送信し、当該HTTPリクエストのメソッド制御に係る処理を終了する(▲4▼−2)。
【0030】
次に、プロキシサーバでのメソッド制御に係る具体的な動作例を図5のフローチャートに従って説明する。
【0031】
クライアント10から送信されたWWWサーバへの接続要求を受信すると(ステップS1、S2)、プロキシサーバ10のメソッド制御手段では、先ず、HTTPのヘッダ情報の内容からリクエスト時のメソッドを特定する。リクエスト時のメソッドは、例えば図6に示すように、HTTPのヘッダ部に設定されている(図6の例では、POSTメソッド)。メソッド制御手段では、リクエスト時のメソッドが、予め設定されている制御対象のメソッド群に存在するか否かを判定し、存在するのであれば制御対象のメソッドと判断する。ここで言う制御対象のメソッドとは、本例では、HTTPで規定されたメソッドのうち、アクセス先のリソース環境を変更する類型のメソッドであり、例えば該当のメソッドがHTTPの仕様に応じて予めテーブル等に設定されている。
【0032】
制御対象のメソッドと判断した場合は、接続先のURLがURLデータベースに含まれているか否かを判定し(ステップS3)、含まれている場合は、制御対象のURLと判断する。そして、制御対象のURLであると判定した場合は、HTTPリクエストに使用されているメソッドが、アクセス先のURLに対して許可され、且つそのユーザ又はユーザが属するグループに対して許可されているか否かを、予め設定されたメソッド規制情報に基づいて判定する(ステップS4)。例えば、図3のメソッド規制情報の例において、アクセス先のURLが「A2」で、接続要求を受信時に認証したユーザが「U2」の場合、メソッドの使用が許可されていないと判断し、HTTPリクエストのデータを破棄すると共に、WWW接続の不許可を示す応答データをクライアント10へ送信して当該ユーザに通知する(ステップS5)。クライアント10の表示部には、例えば、ブラウザの利用不許可の画面が表示される(ステップS5)。
【0033】
一方、ステップS4において、メソッドの使用が許可されていると判断した場合は、プロキシサーバ10は、クライアント10が要求したWWWサーバ30との接続を行ってデータを転送する(ステップS7)。接続要求を受付けたWWWサーバ30では、クライアント10からのデータを受信し、応答データを返送する(ステップS8、S9)。応答データを受けたプロキシサーバ10では、WWWサーバ30からの応答データをクライアント10へ転送する(ステップS10)。そして、応答データを受信したクライアント10では、WWWサーバのWebデータ(HTML,XMLなど)を表示部に表示し(ステップS11)、そのHTTPリクエストに対する処理を終了する。
【0034】
なお、上述した実施の形態では、本発明に係るHTTPリクエストのメソッド制御方法を適用した装置としては、プロキシサーバを例として説明したが、プロキシサーバに限るものではなく、ゲートウェイ装置やノード(Node)用のコンピュータなど、クライアントとリクエスト先のデータサーバとの間で通信データを中継する装置であれば良い。また、リクエスト先のデータサーバは、インターネット上のWWWサーバに限るものではなく、インターネット以外の通信ネットワーク(LAN、イントラネット,エクストラネット等)に接続されるデータサーバであっても良い。
【0035】
【発明の効果】
以上に説明したように、本発明によれば、HTTPリクエストのメソッドを特定のURL毎に制御することによって、当該メソッドの使用を規制するようにしているので、特定のWeb掲示板や特定のWebメールシステムに対してのみ、情報の書込み等を制御することが可能となる。そのため、インターネットの利便性を妨げることなく、不正な書込みや情報の漏洩を防止すことが可能となる。また、ユーザ毎又はユーザが属するグループ毎に、当該メソッドの使用を制御するようにしているので、特定のユーザ又は特定のグループに対してのみ、情報の書込み等を規制することが可能となる。そのため、特定のURL毎の他に、特定のユーザ又はグループ毎に、情報の書込みの権限を制御することが可能となる。
【図面の簡単な説明】
【図1】本発明に係るデータ中継システムの全体構成の一例を示す模式図である。
【図2】本発明に係るメソッド制御機能を有するデータ中継装置の主要部の構成例を示すブロック図である。
【図3】本発明に係わるメソッド規制情報に一例を示す模式図である。
【図4】本発明に係るデータ中継装置の概略の動作例を説明するための模式図である。
【図5】本発明に係るデータ中継装置のメソッド制御に係る具体的な動作例を説明するためのフローチャートである。
【図6】本発明における制御対象のHTTPリクエストのメソッドの一例を示す図である。
【符号の説明】
1 LAN
2 インターネット
10 クライアント
20 データ中継装置(プロキシサーバ)
21 メソッド規制情報登録手段
22 メソッド規制情報記憶手段
23 メソッド制御手段
24 不許可通知送信手段
30 URLデータベース
31 URL情報更新手段
40 WWWサーバ
Claims (12)
- クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおいて、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースと、HTTPで規定されたPOST,PUT,GET,及びHEADを含む個別のメソッドを制御対象として各メソッドの使用を不許可とするか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として登録するメソッド規制情報登録手段と、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記使用を不許可とするメソッドが設定されているか否かを前記メソッド規制情報に基づいて判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記個別のメソッド毎に且つ前記アクセス先のURL毎に規制するメソッド制御手段とを備えたことを特徴とするHTTPリクエストのメソッド制御機能を有するデータ中継システム。
- 前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として登録する機能を有しており、前記メソッド制御手段は、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制するようにしている請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。
- 前記HTTPリクエストが前記WWWサーバへの接続要求である請求項1に記載のデータ中継システム。
- 前記WWWサーバへのHTTPリクエストを不許可とした場合に、前記HTTPリクエストのデータを破棄すると共に、前記HTTPリクエストの不許可を示す応答データを前記クライアントへ送信して当該ユーザに通知する不許可通知送信手段を更に備えた請求項1に記載のデータ中継システム。
- 前記データ中継装置がプロキシサーバである請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。
- 前記制御対象の各メソッドが、前記URLデータベースに格納されているURL毎に個別に設定できるようになっている請求項1に記載のデータ中継システム。
- 前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースの分類要素であるカテゴリに対応させて登録できるようにしており、前記メソッド規制情報に前記カテゴリが設定されている場合、前記メソッド制御手段は、前記カテゴリに属する全てのURLを規制対象のURLとして処理するようにしている請求項1に記載のデータ中継システム。
- 前記メソッド制御手段及び前記URLデータベースを前記データ中継装置に備えた請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。
- 前記メソッド規制情報登録手段を前記クライアントに備え、前記メソッド規制情報を当該クライアントから登録できるようにしている請求項2に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。
- 前記制御対象のメソッドが、Webメールシステム及びWeb掲示板システムで使用されるメソッドを含む請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。
- クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおけるHTTPリクエストのメソッド制御方法であって、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースを備え、HTTPで規定されたPOST,PUT,GET,及びHEADを含む個別のメソッドを制御対象として各メソッドの使用を不許可とするか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として予め記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記使用を不許可とするメソッドが設定されているか否かを前記メソッド規制情報に基づいて判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、前記HTTPリクエストのメソッドの使用を前記個別のメソッド毎に且つ前記アクセス先のURL毎に規制するようにしたことを特徴とするHTTPリクエストのメソッド制御方法。
- 前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として予め前記記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記HTTPリクエストのヘッダ情報に前記不許可とするメソッドが設定されており且つ前記アクセス先のURLが規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制するようにした請求項11に記載のHTTPリクエストのメソッド制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003141436A JP4524492B2 (ja) | 2003-05-20 | 2003-05-20 | Httpリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003141436A JP4524492B2 (ja) | 2003-05-20 | 2003-05-20 | Httpリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004348202A JP2004348202A (ja) | 2004-12-09 |
| JP4524492B2 true JP4524492B2 (ja) | 2010-08-18 |
Family
ID=33529788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003141436A Expired - Lifetime JP4524492B2 (ja) | 2003-05-20 | 2003-05-20 | Httpリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4524492B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4354950B2 (ja) * | 2005-12-28 | 2009-10-28 | キヤノンItソリューションズ株式会社 | 情報処理装置、情報処理方法、コンピュータプログラム、及び記憶媒体 |
| JP4405503B2 (ja) | 2006-12-28 | 2010-01-27 | キヤノンItソリューションズ株式会社 | 情報処理装置および情報処理装置の制御方法およびプログラムおよび記録媒体 |
| JP4738447B2 (ja) * | 2007-06-29 | 2011-08-03 | キヤノンItソリューションズ株式会社 | 情報処理装置、情報処理方法、及び、コンピュータプログラム |
| MX2016006798A (es) | 2013-11-27 | 2016-11-28 | Interdigital Patent Holdings Inc | Descripcion de medios de presentacion. |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001282797A (ja) * | 2000-03-31 | 2001-10-12 | Digital Arts Inc | インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置 |
-
2003
- 2003-05-20 JP JP2003141436A patent/JP4524492B2/ja not_active Expired - Lifetime
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001282797A (ja) * | 2000-03-31 | 2001-10-12 | Digital Arts Inc | インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004348202A (ja) | 2004-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6772214B1 (en) | System and method for filtering of web-based content stored on a proxy cache server | |
| JP3995338B2 (ja) | ネットワーク接続制御方法及びシステム | |
| US7269853B1 (en) | Privacy policy change notification | |
| JP4891299B2 (ja) | Ipアドレスを用いるユーザ認証システム及びその方法 | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| JP4616352B2 (ja) | ユーザ確認装置、方法及びプログラム | |
| US8635679B2 (en) | Networked identity framework | |
| JP4757430B2 (ja) | インターネットサイトに対するアクセス制御方法 | |
| US7827318B2 (en) | User enrollment in an e-community | |
| US7636941B2 (en) | Cross-domain authentication | |
| US20050239447A1 (en) | Account creation via a mobile device | |
| US20020120866A1 (en) | Parental consent service | |
| US7188252B1 (en) | User editable consent | |
| JP4746053B2 (ja) | 個人データの制御装置及び方法 | |
| JP2003228520A (ja) | 保護電子データにオフラインでアクセスする方法及び装置 | |
| WO2010111914A1 (zh) | 一种网络权限管理方法、装置和系统 | |
| JP2006522374A (ja) | アクセス提供方法 | |
| US7356711B1 (en) | Secure registration | |
| JP2002183089A (ja) | ログイン認証装置、およびログイン認証方法 | |
| JP4524492B2 (ja) | Httpリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法 | |
| KR20020027702A (ko) | 인터넷상에서 유해 사이트 접속을 차단하는 방법 | |
| JPH11212849A (ja) | 共有ファイル送受信システム、アクセス権利判定装置 | |
| JP2006235743A (ja) | アクセス制御装置、アクセス制御方法およびプログラム | |
| Galbraith et al. | Secure Shell Public Key Subsystem | |
| Meier et al. | Building secure ASP .NET applications: authentication, authorization, and secure communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090714 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090911 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100511 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100518 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130611 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4524492 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130611 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130611 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |