JP5067396B2 - Access control device - Google Patents
Access control device Download PDFInfo
- Publication number
- JP5067396B2 JP5067396B2 JP2009100752A JP2009100752A JP5067396B2 JP 5067396 B2 JP5067396 B2 JP 5067396B2 JP 2009100752 A JP2009100752 A JP 2009100752A JP 2009100752 A JP2009100752 A JP 2009100752A JP 5067396 B2 JP5067396 B2 JP 5067396B2
- Authority
- JP
- Japan
- Prior art keywords
- client
- information
- access
- request
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は,サーバへのネットワークを介したアクセスを制御するアクセス制御装置に関する。 The present invention relates to an access control apparatus that controls access to a server via a network.
インターネットを介して多数の者からのアクセスを受け付けるWebサーバにおいて,短期的かつ集中的にアクセスされる状態(バーストトラフィック)が発生する場合がある。また,バーストトラフィックには,不正な意図を持つ者が非正規の手段によってアクセスを大量に発生させていることが原因となっている場合もある。 In a Web server that accepts access from a large number of people via the Internet, a short-term and concentrated access state (burst traffic) may occur. In some cases, burst traffic is caused by an unauthorized person who has caused a large amount of access by unauthorized means.
バーストトラフィックが発生するとWebサーバの処理負荷が非常に高まり,システム停止となる場合もあり,本来であれば通信を維持するべきクライアントとの通信も困難になる。 When burst traffic occurs, the processing load on the Web server increases greatly, and the system may be stopped, and communication with a client that should normally maintain communication becomes difficult.
従来,アクセスの上限回数を設けておき,各クライアントのアクセス数が上限回数を超えるとそのクライアントのアクセスをブロックすることによって,非正規の手続きによるアクセスを行っていると思われるクライアントに対処していた。 In the past, there was a limit on the number of accesses, and when the number of accesses for each client exceeded the maximum number of times, the client's access was blocked to deal with clients that seemed to be accessing by unauthorized procedures. It was.
また,顧客毎の問い合わせに効果的に対応するために,顧客識別情報とWeb画面の遷移パターンとを取得して,画面の遷移パターンに基づいて顧客に応じた内容を予め想定しておく処理が知られている。 In addition, in order to effectively respond to inquiries from each customer, a process of acquiring customer identification information and a Web screen transition pattern and presuming contents corresponding to the customer based on the screen transition pattern is provided. Are known.
多数のクライアントからアクセスを受け付けるWebサーバにおいて,バーストトラフィックが生じた場合には,必ず受け付けるべきアクセス,一時的に保留させてもよいアクセス,不正かつ非正規であって遮断すべきアクセスなどが混在している。したがって,多数のアクセスの中から,どのようなクライアントからのアクセスであるかを調べて,受け付けるべき重要なクライアントのアクセスを優先的に処理する必要がある。 When burst traffic occurs in a Web server that accepts access from a large number of clients, there are a mix of access that must be accepted, access that may be temporarily suspended, access that is illegal and unauthorized, and that should be blocked. ing. Therefore, it is necessary to examine what kind of client the access is from among a large number of accesses, and to preferentially process the access of important clients that should be accepted.
Webシステムは,そもそもリクエストに応じて静的なコンテンツ(画面)を返信する処理を行うため,クライアントからのリクエストそのものに優先順位を設けて処理することはない。しかし,バーストトラフィックの影響をWebサーバに及ぼす前に,Webサーバへのアクセスを制限できるようにアクセス制御を行う必要がある。すなわち,サーバ等が管理するクライアントに関する情報(ユーザ情報,認証情報など)を参照することなく,クライアントから送信されたアクセス情報のみを用いて,優先的に処理すべきアクセスを特定する必要がある。 Since the Web system originally performs a process of returning static content (screen) in response to a request, it does not process the request from the client with a priority. However, before the influence of burst traffic is exerted on the Web server, it is necessary to perform access control so that access to the Web server can be restricted. That is, it is necessary to specify the access to be preferentially processed using only the access information transmitted from the client without referring to the information (user information, authentication information, etc.) about the client managed by the server or the like.
本願で開示される装置の目的は,Webサーバへのアクセス情報をもとに,クライアントの当該Webサーバのサイト内での状態を判定し,この判定結果に基づいて,優先的に処理するアクセスと保留または廃棄してもよいアクセスとを区別できるアクセス制御を実現することである。 The purpose of the device disclosed in this application is to determine the status of a client in the site of the Web server based on the access information to the Web server, and to preferentially process access based on the determination result. It is to realize access control capable of distinguishing access that may be suspended or discarded.
本願で開示される装置は,クライアントのWebサーバへのアクセスリクエストを受信して,Webサーバが提供するサイト内において,クライアント端末が発行したアクセスリクエスト(アドレス情報)が含む,アクセス先のWebページ(画面)の識別情報と,当該リクエストを発行したWebページ(画面)の識別情報との組み合わせをもとに,クライアントの情報を分類する。そして,アクセス制御の実行時において,クライアントのアクセスリクエストを受け付けると,リクエストしたクライアントの分類にもとづいて,受け付けたアクセスリクエストを優先的にWebサーバへ中継するかを判定する。 An apparatus disclosed in the present application receives an access request to a Web server of a client, and an access destination Web page (address information) issued by a client terminal is included in a site provided by the Web server ( The client information is classified based on the combination of the identification information of the screen) and the identification information of the Web page (screen) that issued the request. When an access request from a client is received during access control, it is determined whether to relay the received access request preferentially to the Web server based on the classification of the requested client.
本願において開示されるアクセス制御装置の代表的なものの概要を簡単に説明すれば,以下のとおりである。すなわち,開示されるアクセス制御装置は,Webサーバとクライアントの端末との間の通信を中継する装置であって,Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部と,クライアントの状態を記録するクライアント状態情報記憶部と,クライアントが送信したWebサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析して,解析の結果から,このアクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,このアクセスリクエストによりアクセスしようとするコンテンツの識別情報と,このアクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,抽出したコンテンツの識別情報の順序が判定情報のコンテンツ遷移と一致する場合にリクエスト元であるクライアントと対応付けて優先状態を設定するコンテンツ管理部と,優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報をクライアント状態情報記憶部に記録するクライアント管理部と,クライアントからWebサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する通信制御部とを備える。 The outline of a typical access control device disclosed in the present application will be briefly described as follows. In other words, the disclosed access control device is a device that relays communication between the Web server and the client terminal, and sets content transitions for determining the priority state of the client when controlling access to the Web server. A determination information storage unit that holds the determination information, a client status information storage unit that records the client status, and an access request sent to the Web server sent by the client, and the received access request is analyzed and analyzed As a result, the identification information of the content accessed at the time of issuing this access request, the identification information of the content to be accessed by this access request, and the information for identifying the client that is the request source of this access request are obtained. Extracted and extracted The content management unit that sets the priority status in association with the requesting client when the order of the identification information of the content matches the content transition of the judgment information, and the access request issued by the client associated with the priority status Information indicating the request source of the received access request in the relay processing of the access request from the client to the Web server, and the client management unit that records the client status information that registers the information indicating the request source in the client status information storage unit , A communication control unit that requests access control to block or temporarily hold a received access request when it does not match the information indicating the client request source associated with the priority status recorded in the client status information storage unit With.
上記した装置によれば,Webサーバへのアクセスリクエストの中継処理において,アクセス制御を行う場合に,優先的に送信するアクセスリクエストのみをWebサーバへ送信することができるため,Webサーバへのアクセス集中を緩和して,Webサーバのシステム停止を防止することができる。 According to the above-described apparatus, when performing access control in the relay process of the access request to the Web server, only the access request to be transmitted with priority can be transmitted to the Web server. Can be mitigated and the system stoppage of the Web server can be prevented.
図1は,本発明の一実施例におけるアクセス制御装置1の構成例を示す図である。
FIG. 1 is a diagram illustrating a configuration example of an
アクセス制御装置1は,Webサーバ2と制御表示用サーバ3とのプロキシ(代理装置)として機能して,Webサーバ2または制御表示用サーバ3と,クライアント端末4との通信を中継する。アクセス制御装置1は,アクセス数が一定以上になった場合または管理者の指示があった場合に,クライアント端末4からのアクセスリクエストをWebサーバ2に対するアクセス制御を行う。
The
Webサーバ2は,所定のコンテンツ(画面群)を通じて所定のアプリケーションを提供する装置であり,各画面を通じて,所定の情報が提供され,処理が実行される。
The
例えば,買い物サービスを提供するWebサーバのように,一連の処理手続を含むアプリケーションを行うWebサーバでは,業務に必要な情報や処理が,サイトの各画面を通じて提供される仕組みであることが多い。 For example, a Web server that performs an application including a series of processing procedures, such as a Web server that provides a shopping service, often has a mechanism in which information and processing necessary for business are provided through each screen of the site.
したがって,Webサーバ2は,クライアントがアクセスした画面の順序から,クライアントが行っている処理が推定でき,推定した処理にもとづいて,次に行われるアクセスを優先的に処理するべきクライアントを特定することができる。
Therefore, the
本実施例において,Webサーバ2は,買い物サービスを提供し,画面A(ログイン処理を行う画面),画面B(購入商品を選択する画面),画面C(完了/ログアウトを示す画面),画面D(サイトのポータル画面),画面E(決済を行う画面),画面F(情報を通知する画面),画面X,Y(管理作業用の画面)を提供するものとする。
In the present embodiment, the
制御表示用サーバ3は,アクセス制御装置1がアクセス制御を実行している場合に,アクセス制御装置1によって切り替えられたクライアント端末4に対して,所定のコンテンツを返却する。
The
クライアント端末4は,Webサーバ2にアクセスを行う者が使用する端末であって,Webサーバ2に対してコンテンツのアクセスリクエストを発行し,取得したコンテンツを表示処理し,所定の操作を行えるブラウザ5を有する。
The client terminal 4 is a terminal used by a person who accesses the
アクセス制御装置1は,コンテンツ情報記憶部11,判定情報記憶部12,クライアント状態情報記憶部13,通信中継部14,通信制御部15,コンテンツ管理部16,およびクライアント管理部17を有する。
The
コンテンツ情報記憶部11は,Webサーバ2が提供するコンテンツの種別と,各種別に分類された各コンテンツの識別情報(Uniform Resource Identifier:URI)を登録したコンテンツ情報を記憶する。
The content
図2は,コンテンツ情報の例を示す図である。 FIG. 2 is a diagram illustrating an example of content information.
コンテンツ情報は,種別毎に,分類されるコンテンツ(画面)の識別情報を含む。本実施例では,種別として,「通常リクエスト,キーコンテンツ(in),キーコンテンツ(out),管理コンテンツ」の4種の種別を設定する。 The content information includes identification information of content (screen) to be classified for each type. In this embodiment, four types of “normal request, key content (in), key content (out), and management content” are set as types.
「通常リクエスト」には,クライアント端末4からの通常のリクエストによってアクセス可能な画面が登録される。「キーコンテンツ(in)」には,通常リクエストに分類された画面群がアクセスされた状態で次のアクセス先としてリクエストされた場合に,リクエストしたクライアント端末4の状態を“優先状態”とする画面が設定される。 In the “normal request”, a screen accessible by a normal request from the client terminal 4 is registered. “Key content (in)” includes a screen in which the status of the requested client terminal 4 is set to “priority status” when a screen group classified as a normal request is accessed as a next access destination. Is set.
「キーコンテンツ(out)」は,キーコンテンツ(in)に分類された画面群から次にアクセスされた状態で次のアクセス先としてリクエストされた場合に,リクエストしたクライアント端末4の状態を“通常状態”とする画面が設定される。「管理コンテンツ」は,管理者のみがアクセス可能な画面群が設定される。 When “key content (out)” is requested as the next access destination in the next access state from the screen group classified as key content (in), the state of the requested client terminal 4 is “normal state”. "Is set. “Managed content” is set with a screen group accessible only to the administrator.
図2に示すコンテンツ情報において,画面A,画面D等が「通常リクエスト」に,画面B,画面E等が「キーコンテンツ(in)」に,画面C,画面F等が「キーコンテンツ(out)」に,画面X,画面Y等が「管理コンテンツ」に,それぞれ分類される。 In the content information shown in FIG. 2, screen A, screen D, etc. are “normal request”, screen B, screen E, etc. are “key content (in)”, and screen C, screen F, etc. are “key content (out)”. ", Screen X, screen Y, etc. are classified as" management content ".
判定情報記憶部12は,画面間の遷移(コンテンツ遷移)をもとに,クライアント端末4の状態を判定する条件を設定した判定情報を記憶する。
The determination
図3は,判定情報の例を示す図である。 FIG. 3 is a diagram illustrating an example of determination information.
判定情報には,クライアント端末4が発行したアクセスリクエストから抽出された,リクエスト発行時にアクセスされている画面が分類されている種別を示す「from」と,アクセス先である画面が分類されている種別を示す「to」との組み合わせをもとに,上記の4つの状態が設定される。ここで,状態として,「普通状態,優先状態,不正状態,および管理者(状態)」が設定される。 In the determination information, “from”, which is extracted from the access request issued by the client terminal 4 and indicates the type in which the screen accessed when issuing the request is classified, and the type in which the screen to be accessed is classified The above four states are set based on the combination with “to” indicating. Here, “normal state, priority state, invalid state, and administrator (status)” is set as the status.
「普通状態」は,アクセス制御時に,アクセス先を制御表示用サーバ3へ切り替えたアクセスリクエストを中継,または,受け付けたアクセスリクエストを一時的に保留するステータスを示す。「優先状態」は,アクセス制御時に,クライアント端末4のアクセスリクエストをそのまま中継するステータスを示す。「不正状態」は,アクセスリクエストをブロックするステータスを示す。「管理者状態」は,管理者端末からのアクセスリクエストとして扱うステータスを示す。
“Normal state” indicates a status in which, during access control, an access request whose access destination is switched to the
そして,アドレスリクエストから抽出された「from」から「to」への遷移と一致する,判定情報の行(from)と列(to)との交点の「状態」が,判定結果とされる。 Then, the “state” at the intersection between the row (from) and the column (to) of the determination information that matches the transition from “from” to “to” extracted from the address request is set as the determination result.
クライアント状態情報記憶部13は,クライアント端末4のアクセスの状態を示すクライアント状態情報が記録される。
The client status
図4は,クライアント状態情報の例を示す図である。 FIG. 4 is a diagram illustrating an example of client status information.
クライアント状態情報には,アクセス制御装置1の通信中継部14が受け付けたクライアント端末4の識別情報として,アクセスリクエストから抽出されたアクセス情報(IPアドレス,ポート番号,ヘッダ情報等)が記録され,記録した各クライアント端末4について,コンテンツ管理部16によって判定された状態(普通状態/優先状態/不正状態/管理者(状態))が設定される。
In the client status information, access information (IP address, port number, header information, etc.) extracted from the access request is recorded and recorded as identification information of the client terminal 4 received by the
通信中継部14は,クライアント端末4と,Webサーバ2または制御表示用サーバ3との通信の中継処理を行う。通信中継部14は,TCPセッション情報を生成・保持して,中継処理を管理している。
The
通信制御部15は,通信中継部14がクライアント端末4から受け付けたアクセスリクエストを参照して,アクセス情報(リクエスト,クライアント端末4のIPアドレス,ポート番号等)を解析して,解析情報をコンテンツ管理部16へ渡す。
The
通信制御部15は,クライアント管理部17のアクセス制御の要求を受け付けると,通信中継部14に対して,アクセス制御の要求として,所定の通信の中継処理の制御を要求する。
Upon receiving the access control request from the
例えば,通信制御部15は,アクセス制御の要求とともに,“普通状態”であるクライアント端末4のアクセスリクエストのアクセス先を,制御表示用サーバ3へ切り替えて中継する制御を要求する。または,通信制御部15は,アクセス制御の要求とともに,“普通状態”であるクライアント端末4のアクセスリクエストを一時的に保留してから中継する制御を要求する。または,通信制御部15は,“不正状態”と分類されたクライアント端末4のアクセスリクエストをブロック処理する制御を要求する。
For example, the
コンテンツ管理部16は,通信制御部15から,クライアント端末4が送信したアクセスリクエストの解析情報を受け取り,この解析情報から,アクセスリクエストの発行時にアクセスしていた画面の識別情報(from)と,アクセスしようとする画面の識別情報(to)とを抽出する。
The
そして,コンテンツ管理部16は,コンテンツ情報をもとに,抽出した2つの画面の識別情報から,それぞれの種別を特定する。さらに,コンテンツ管理部16は,判定情報から,「from」の種別と「to」の種別との組み合わせに一致する状態を特定する。
Then, the
例えば,アクセスリクエストの解析情報から,アクセスしている画面(from)として画面Aが,アクセスしようとしている画面(to)として画面Bが抽出された場合に,それぞれの種別から,「from:通常リクエスト」と「to:キーコンテンツ(in)」との組み合わせが得られ,“優先状態”と判定される。 For example, when the screen A is extracted as the accessing screen (from) and the screen B is extracted as the accessing screen (to) from the analysis information of the access request, the “from: normal request” is obtained from each type. ”And“ to: key content (in) ”are obtained, and the“ priority state ”is determined.
また,コンテンツ管理部16は,Webサーバ2への最初のアクセスリクエストが,「通常リクエスト」に分類されていない画面の識別情報を含む場合に,このアクセスリクエストを送信したクライアント端末4を直ちに“不正状態”と判定してもよい。
In addition, when the first access request to the
クライアント管理部17は,コンテンツ管理部16の判定結果を受け付けて,クライアント端末4を特定するための情報である,アクセスリクエストに含まれるリクエスト元の情報(IPアドレス,ポート番号,ヘッダ情報等)と,判定された状態とを対応付けてクライアント状態情報記憶部13に記録する。
The
また,クライアント管理部17は,状態別クライアント数管理情報として,状態ごとにアクセス数の上限数を示す「最大値」を設定しておき,アクセス制御装置1が現在受け付けているアクセス数を記録する。そして,クライアント管理部17は,状態別クライアント数管理情報の各状態のいずれかの「現状」のカウント数が「最大値」を超えた場合に,通信制御部15へアクセス制御を要求し,アクセス制御の対象とする「状態」を,通信制御部15へ通知する。
Further, the
図5は,状態別クライアント数管理情報の例を示す図である。 FIG. 5 is a diagram illustrating an example of state-specific client number management information.
図5の状態別クライアント数管理情報では,“優先状態”のアクセス数の「最大値」=200,“管理者状態”のアクセス数の「最大値」=2と設定されている。 In the number-of-states client number management information in FIG. 5, “maximum value” of the access number in “priority state” = 200 and “maximum value” of the access number in “administrator state” = 2 are set.
一例として,クライアント管理部17は,“優先状態”のアクセス数が最大値を超過した場合に,アクセス制御の要求と,“普通状態”のクライアント端末4のリクエスト元の情報とを通信制御部15に通知する。
As an example, when the number of accesses in the “priority state” exceeds the maximum value, the
通信制御部15は,クライアント管理部17から受け取った情報をもとに,通信中継部14に対してアクセス制御を要求する。この場合に,“普通状態”のクライアント端末4のリクエスト元の情報をもとに,TCPセッション情報の,該当するクライアント端末4の一方を制御表示用サーバ3へ書き換えることによってアクセス制御を行うように,通信中継部14に要求する。これにより,通信中継部14が“優先状態”のクライアント端末4のアクセスリクエストのみがWebサーバ2へ転送するので,Webサーバ2へのアクセス集中が緩和される。
The
または,通信制御部15は,“普通状態”のクライアント端末4のリクエスト元の情報をもとに,該当するクライアント端末4のセッションを所定時間保留してから行うようにアクセス制御を要求する。そして,通信中継部14が“優先状態”のクライアント端末4のアクセスリクエストを優先的に転送する。
Alternatively, the
このように,中継処理において受信したWebサーバへのアクセスリクエストから抽出したコンテンツの順序,すなわち,アクセスした画面の識別情報とアクセスしようとする画面の識別情報とをもとに,リクエストしたクライアントの状態を“優先状態”と特定しておき,例えば,アクセス数が一定数を超えた状態の発生または管理者の指示によってアクセス制御を開始した場合に,アクセスリクエストのリクエスト元から特定したクライアントが“優先状態”のクライアント端末4のアクセスリクエストのみをWebサーバへ送信することができ,Webサーバ2のアクセス集中を緩和することができる。
As described above, the status of the requesting client based on the order of the contents extracted from the access request to the Web server received in the relay process, that is, the identification information of the accessed screen and the identification information of the screen to be accessed. Is specified as “priority state”. For example, when access control starts when the number of accesses exceeds a certain number or the administrator instructs, the client identified from the request source of the access request Only the access request of the client terminal 4 in the “state” can be transmitted to the Web server, and the access concentration of the
また別の例として,クライアント管理部17は,“不正状態”のアクセス数があった場合に,アクセス制御の要求と,“不正状態”のクライアント端末4のリクエスト元の情報とを通信制御部15に通知する。
As another example, when the number of accesses in the “invalid state” is detected, the
通信制御部15は,クライアント管理部17から受け取った情報をもとに,通信中継部14に対してアクセス制御を要求する。この場合に,“不正状態”のクライアント端末4のリクエスト元の情報をもとに,該当するクライアント端末4のアクセスリクエストをブロックするアクセス制御を行うように,通信中継部14に要求する。これにより,通信中継部14は,“不正状態”のクライアント端末4のアクセスリクエストをブロックするので,Webサーバ2を不正アクセスから防御することができる。
The
以下に,クライアント端末4で表示されるWebサーバ2の画面の遷移と,アクセス制御装置1のクライアント端末4の状態との関係を概説する。
The relationship between the transition of the screen of the
図6〜図8は,クライアント端末4で表示されるWebサーバ2の画面の遷移と,アクセス制御装置1のクライアント端末4の状態との関係を説明するための図である。
6 to 8 are diagrams for explaining the relationship between the transition of the screen of the
〔正規のアクセス手順における処理〕
図6を用いて,正規のアクセス手順における画面の遷移とクライアント端末4の状態との関係を説明する。
[Process in regular access procedure]
The relationship between the transition of the screen and the state of the client terminal 4 in the regular access procedure will be described with reference to FIG.
(1)トップ画面のリクエスト
クライアント端末4からWebサーバ2へのアクセスリクエストがあると,アクセス制御装置1は,このリクエストを受信して以下の処理を行う。
(1) Request for Top Screen When there is an access request from the client terminal 4 to the
通信中継部14は,既知の処理として,アクセスリクエストの通信を管理するTCPセッション情報(IPアドレス,ポート番号,ヘッダ情報等)を生成・保持する。さらに,通信中継部14は,アクセス制御中でなければ,アクセスリクエストをWebサーバ2へ送信する。クライアント端末4のブラウザ5には,アクセス制御装置1を介してWebサーバ2から返却されたポータル画面(画面D)が表示される。
As a known process, the
通信制御部15は,通信中継部14が保持したアクセスリクエストの情報を解析して,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:なし),アクセス先の画面の識別情報(to:画面DのURI)を取得し,コンテンツ管理部16へ渡す。
The
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(なし)」,「to(画面D)」は,それぞれ“通常リクエスト”と特定される。
The
さらに,コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:通常リクエスト,to:通常リクエスト)をもとに,クライアント端末4の状態を判定する。ここで,“普通状態”と判定される。
Furthermore, the
次に,クライアント管理部17は,通信制御部15およびコンテンツ管理部16から,リクエストしたクライアント端末4のリクエスト元情報と判定された状態とをクライアント状態情報記憶部13のクライアント状態情報に格納して,状態別クライアント数管理情報の該当する状態(普通状態)の「現状」の値を1加算する。
Next, the
(2)トップ画面からログイン画面のリクエスト
クライアント端末4から,ログイン画面(画面A)へのアクセスリクエストが送信されると,アクセス制御装置1がこのリクエストを受信する。
(2) Login screen request from the top screen When an access request to the login screen (screen A) is transmitted from the client terminal 4, the
通信中継部14は,アクセス制御中ではないので,受信したアクセスリクエストをそのままWebサーバ2へ送信するため,クライアント端末4のブラウザ5にログイン画面(画面A)が表示される。
Since the
アクセス制御装置1の通信制御部15,コンテンツ管理部16,クライアント管理部17は,上記(1)の処理とほぼ同様に処理を行う。
The
通信制御部15は,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:画面DのURI),アクセス先の画面の識別情報(to:画面AのURI)を取得し,コンテンツ管理部16へ渡す。
The
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(画面D)」,「to(画面A)」は,それぞれ“通常リクエスト”と特定される。
The
さらに,コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:通常リクエスト,to:通常リクエスト)をもとに,クライアント端末4の状態を判定する。ここで,“そのまま(普通状態)”と判定される。
Furthermore, the
次に,クライアント管理部17は,判定された状態が“そのまま(普通状態)”であるので,処理を行わない。
Next, since the determined state is “as it is (normal state)”, the
(3)ログイン画面から商品選択画面のリクエスト
クライアント端末4から,商品選択画面(画面B)へのアクセスリクエストが送信され,アクセス制御装置1がこのリクエストを受信する。
(3) Request for product selection screen from login screen An access request to the product selection screen (screen B) is transmitted from the client terminal 4, and the
なお,通信中継部14は,通信制御部15からアクセス制御中ではないので,受信したアクセスリクエストがWebサーバ2へ送信され,クライアント端末4のブラウザ5に商品選択画面(画面B)が表示される。
Since the
アクセス制御装置1の通信制御部15,コンテンツ管理部16,クライアント管理部17は,上記(2)の処理と同様に処理を行う。
The
通信制御部15は,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:画面AのURI),アクセス先の画面の識別情報(to:画面BのURI)を取得し,コンテンツ管理部16へ渡す。
The
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(画面A)」,「to(画面B)」は,“通常リクエスト”,“キーコンテンツ(in)”と特定される。
The
さらに,コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:通常リクエスト,to:キーコンテンツ(in)をもとに,クライアント端末4の状態を,“優先状態”と判定する。
Furthermore, the
クライアント管理部17は,判定された状態が変更されたので,クライアント状態情報の該当するクライアント端末4の状態を“優先状態”に更新し,さらに,状態別クライアント数管理情報の「優先状態」の「現状」を1加算し,「普通状態」の「現状」を1減算する。
Since the determined state has been changed, the
ここで,優先状態の現状のアクセス数が「最大値」を超過したとすると,クライアント管理部17は,アクセス制御の要求と,クライアント状態情報に記録している,“普通状態”のクライアント端末4のリクエスト元の情報とを通信制御部15へ通知する。
Here, if the current number of accesses in the priority state exceeds the “maximum value”, the
通信制御部15は,通信中継部14へ,“普通状態”のクライアント端末4のアクセスリクエストのアクセス先を制御表示用サーバ3へ書き換えることによるアクセス制御を要求する。通信中継部14は,この要求を受け付けると,該当するクライアント端末4のTCPセッション情報を書き換えて,アクセス制御を開始する。
The
(4)商品選択画面から決済画面のリクエスト
クライアント端末4から,決済画面(画面E)へのアクセスリクエストが送信され,アクセス制御装置1がこのリクエストを受信する。
(4) Request for Payment Screen from Product Selection Screen An access request to the payment screen (screen E) is transmitted from the client terminal 4, and the
ここで,通信中継部14は,アクセス制御中であるが,クライアント端末4が“普通状態”でなければ,受信したアクセスリクエストをWebサーバ2へ送信し,クライアント端末4に決済画面(画面E)が表示される。
Here, the
通信制御部15は,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:画面BのURI),アクセス先の画面の識別情報(to:画面EのURI)を取得し,コンテンツ管理部16へ渡す。
The
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(画面B)」,「to(画面E)」は,それぞれ“キーコンテンツ(in)”と特定される。
The
さらに,コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:キーコンテンツ(in),to:キーコンテンツ(in)をもとに,クライアント端末4の状態を“そのまま(優先状態)”と判定する。
Further, the
クライアント管理部17は,判定された状態が“そのまま(優先状態)”であるので,処理を行わない。
Since the determined state is “as it is (priority state)”, the
(5)決済画面から完了/ログアウト画面のリクエスト
クライアント端末4から,完了/ログアウト画面(画面C)へのアクセスリクエストが送信され,アクセス制御装置1がこのリクエストを受信する。
(5) Request for completion / logout screen from settlement screen An access request to the completion / logout screen (screen C) is transmitted from the client terminal 4, and the
なお,通信中継部14は,通信制御部15からアクセス制御中であるが,クライアント端末4が“普通状態”でなければ,受信したアクセスリクエストをWebサーバ2へ送信し,クライアント端末4に完了/ログアウト画面(画面C)が表示される。
Note that the
アクセス制御装置1の通信制御部15は,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:画面EのURI),アクセス先の画面の識別情報(to:画面CのURI)を取得し,コンテンツ管理部16へ渡す。
The
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(画面E)」,「to(画面C)」は,“キーコンテンツ(in)”,“キーコンテンツ(out)”と特定される。
The
コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:キーコンテンツ(in),to:キーコンテンツ(out)をもとに,クライアント端末4の状態を,“普通状態”と判定する。
The
クライアント管理部17は,判定された状態が変更されたので,クライアント状態情報の該当するクライアント端末4の状態を“普通状態”に更新し,さらに,状態別クライアント数管理情報の「普通状態」の「現状」を1加算し,「優先状態」の「現状」を1減算する。
Since the determined state has been changed, the
ここで,「優先状態」の「現状」が「最大値」を超過しなくなった場合には,クライアント管理部17は,通信制御部15へアクセス制御の停止を要求する。そして,通信制御部15が,通信中継部14に対してアクセス制御の停止を要求すると,通信中継部14は,アクセス制御を停止して,通常の中継処理へ戻る。
Here, when the “current state” of the “priority state” does not exceed the “maximum value”, the
〔アクセス制御が実行された場合の処理〕
図7を用いて,アクセス制御が実行された場合の,画面の遷移とクライアント端末4の状態との関係を説明する。
[Process when access control is executed]
The relationship between the screen transition and the state of the client terminal 4 when access control is executed will be described with reference to FIG.
(1)トップ画面のリクエスト
クライアント端末4からWebサーバ2へのアクセスリクエストが送信されると,アクセス制御装置1は,このリクエストを受信して,上記の〔正規のアクセス手順における処理〕の(1)で説明した処理と同様の処理を行う。
(1) Request for Top Screen When an access request from the client terminal 4 to the
したがって,クライアント状態情報には,クライアント端末4の状態として“普通状態”が設定されている。 Therefore, “normal state” is set as the state of the client terminal 4 in the client state information.
(2)ログイン画面のリクエスト
クライアント端末4から,ログイン画面(画面A)へのアクセスリクエストが送信され,アクセス制御装置1がこのリクエストを受信する。
(2) Login Screen Request An access request to the login screen (screen A) is transmitted from the client terminal 4, and the
通信中継部14は,アクセス制御中であると,通信制御部15の要求によって書き換えたTCPセッション情報をもとに,このアクセスリクエストのアクセス先を制御表示用サーバ3に書き換え,書き換えたアクセスリクエストを制御表示用サーバ3へ送信する。
When access control is being performed, the
そのため,クライアント端末4のブラウザ5には,ログイン画面(画面A)の代わりに,制御表示用サーバ3が返却した「混雑中です。しばらくお待ちください」というメッセージ画面が表示される。
Therefore, instead of the login screen (screen A), the browser 5 of the client terminal 4 displays a message screen “Congested. Please wait” returned by the
〔不正アクセスが実行された場合の処理〕
図8を用いて,不正アクセスが実行された場合の,画面の遷移とクライアント端末4の状態との関係を説明する。
[Process when unauthorized access is executed]
The relationship between the screen transition and the state of the client terminal 4 when unauthorized access is executed will be described with reference to FIG.
(1)決済画面のリクエスト
不正アクセスを意図するクライアント端末4から,Webサーバ2の決済画面(画面E)へのアクセスリクエストが送信されると,アクセス制御装置1は,このリクエストを受信して,上記の〔正規のアクセス手順における処理〕の(1)で説明した処理とほぼ同様の処理を行う。
(1) Payment screen request When an access request to the payment screen (screen E) of the
通信制御部15は,通信中継部14が保持したアクセスリクエストの情報を解析して,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:なし),アクセス先の画面の識別情報(to:画面EのURI)を取得し,コンテンツ管理部16へ渡す。
The
コンテンツ管理部16は,アクセス先の画面の識別情報(to:画面EのURI)が,“通常リクエスト”の画面以外のものであることから,このクライアント端末4を“不正状態”と判定する。
Since the identification information (to: URI of screen E) of the access destination screen is something other than the “normal request” screen, the
そして,クライアント管理部17は,クライアント状態情報を設定し,状態別クライアント数管理情報の「不正状態」の「現状」をカウントアップする。
Then, the
また,クライアント管理部17は,通信制御部15に対し,アクセス制御の要求と“不正状態”のクライアント端末4のリクエスト元を直ちに通知する。
In addition, the
通信制御部15は,通信中継部14に対してTCPセッション情報の書き換えを要求して,“不正状態”のクライアント端末4のアクセスリクエストをブロックする制御を要求する。
The
通信中継部14は,通信制御部15のアクセスのブロック制御要求を受け取った後に,クライアント端末4からアクセスリクエストを受け付けても,アクセスリクエストを廃棄する等して通信をブロックするため,不正アクセス目的のクライアント端末4は,Webサーバ2へアクセスすることができなくなる。
Even if the
なお,不正アクセス目的のクライアント端末4の最初アクセスリクエスト(画面E)は,Webサーバ2へ中継されてしまうが,Webサーバ2では,ログイン画面(画面A)でログイン認証を行っていないクライアント端末4に対してアクセスを拒否する。そのため,実際には,クライアント端末4のブラウザに決済画面(画面D)は表示されない。そして,同じクライアント端末4から,Webサーバ2に対して再度アクセスリクエストが送信されたときは,アクセス制御装置1でアクセスリクエストを遮断するため,Webサーバ2での認証および拒否通知等の処理に関する処理負担が軽減されることになる。
Note that the initial access request (screen E) of the client terminal 4 for unauthorized access is relayed to the
図9および図10は,アクセス制御装置1の処理の流れを示す図である。
FIG. 9 and FIG. 10 are diagrams showing the flow of processing of the
アクセス制御装置1の通信中継部14は,クライアント端末4から,TCP/IP通信を受信し,受信した通信に関するTCPセッション情報を作成して保持する(ステップS10)。
The
通信中継部14は,TCPセッション情報から,TCP/IPヘッダ情報,リクエスト情報を抽出して(ステップS11),不正なIPアドレス(IP)またはポート番号(Port)またはヘッダ情報(ヘッダ)であるかを判定する(ステップS12)。
The
抽出した情報が,不正なIPアドレス,ポート番号,またはヘッダ情報であれば(ステップS12のYES),通信中継部14は,TCPセッション情報を削除する(ステップS13)。
If the extracted information is an illegal IP address, port number, or header information (YES in step S12), the
一方,抽出した情報が,不正なIPアドレス等でなければ(ステップS12のNO),通信制御部15は,TCPセッション情報から,アクセスしたクライアント端末4の通信に関する情報(IPアドレス,ポート番号,ヘッダ情報等)を取得し,取得した情報を解析して,リクエスト元の識別情報(アクセスしたクライアント端末4のIPアドレス,ポート番号,ヘッダ情報等),リクエストを発行したコンテンツの識別情報(fromURI),アクセス先のコンテンツの識別情報(toURI)を抽出する(ステップS14)。
On the other hand, if the extracted information is not an illegal IP address or the like (NO in step S12), the
コンテンツ管理部16は,コンテンツの識別情報(fromURI)コンテンツの識別情報(toURI)とをもとにコンテンツの種別を特定する(ステップS15)。さらに,コンテンツ管理部16は,判定情報を参照して,特定したコンテンツの種別から,クライアント端末4の状態を決定する(ステップS16)。
The
クライアント管理部17は,コンテンツ管理部16の判定結果を得て,クライアント状態情報と状態別クライアント数管理情報とを更新する(ステップS17)。
The
クライアント管理部17は,コンテンツ管理部16で,クライアント端末4の状態が“不正状態”と判定された場合に(ステップS18のYES),通信制御部15に対して,アクセス制御を要求し,“不正状態”のクライアント端末4のリクエスト元の識別情報(IPアドレス,ポート番号,ヘッダ等)を通知する(ステップS19)。
When the
通信制御部15は,通知されたリクエスト元識別情報に該当するクライアント端末4のTCPセッション情報の書き換えによる,該当クライアント端末4からのアクセスリクエストをブロックする制御を,通信中継部14へ要求する(ステップS20)。
The
クライアント管理部17は,クライアント端末4の状態が“不正状態”と判定されていない場合に(ステップS18のNO),さらに,状態別クライアント数管理情報の“優先状態”の「現状」の値が「最大値」を超過しているかを判断する(ステップS21)。“優先状態”の「現状」の値が「最大値」を超過している場合に(ステップS21のYES),クライアント管理部17は,通信制御部15に対し,アクセス制御を要求し,“普通状態”と判定されたクライアント端末4のリクエスト元識別情報(IPアドレス,ポート番号,ヘッダ等)を通知する(ステップS22)。
When the state of the client terminal 4 is not determined to be “illegal state” (NO in step S18), the
通信制御部15は,通知されたリクエスト元識別情報に該当するクライアント端末4のTCPセッション情報の書き換えによる,該当クライアント端末からのアクセスリクエストのアクセス先を変更する制御を,通信中継部14へ要求する(ステップS23)。
The
一方,“優先状態”の「現状」が「最大値」を超過していなければ(ステップS21のNO),処理を終了する。 On the other hand, if the “current state” of the “priority state” does not exceed the “maximum value” (NO in step S21), the process ends.
以上の本実施例に示されるように,アクセス制御装置1を,eコマース・サイトのWebサーバのプロキシ装置に適用した場合に,次のような効果が得られる。
As shown in the present embodiment, when the
(1)Webサーバ2へのアクセスが集中しても,アクセス制御装置1が,優先的に取り扱うクライアント端末4からのアクセスのみをWebサーバ2へ中継するため,直ちにアクセス集中が緩和されて,Webサーバ2のシステム停止を防止することができる。
(1) Even if the access to the
よって,重要な顧客のクライアント端末4は,Webサーバ2との通信が優先的に維持されるため,Webサーバ2での手続を完了させることができる。
Therefore, since the client terminal 4 of the important customer is preferentially maintained in communication with the
(2)Webサーバ2へのアクセス集中によって,処理限界に近づいているような場合に,アクセス制御装置1が,優先的に取り扱うクライアント端末4からのアクセスのみをWebサーバ2へ中継するため,Webサーバ2の処理能力に応じたアクセス数に制御して,重要なクライアントに対するレスポンス処理能力を一定の程度に維持し,顧客満足度を低下させない応答を実現することができる。
(2) Since the
(3)不正なクライアント端末4が行う非正規手段によるアクセスによってWebサーバ2へアクセスした場合に,アクセス制御装置1が,そのようなクライアント端末4からのアクセスを“不正状態”と判断して,直ちにWebサーバ2へのアクセスを遮断するため,Webサーバ2に対するアクセスによる攻撃を防御することができる。よって,不特定多数のクライアントからのアクセスを許容せざるを得ない商業的サイトに対するセキュリティ手段を実現することができる。
(3) When the
例えば,Webサーバ2が買い物サービスを提供するサーバである場合に,商品選択画面で既に購入商品を選択して決済画面に進んでいるクライアント(上顧客)と,ログイン画面でログインしただけで商品選択画面まで進んでいないクライアント(顧客),非正規手段によってサイト内の画面を閲覧しようとしているクライアント(不正者)のアクセスが混在していると考えられる。このような状態の場合に,Webサーバ2でバーストトラフィックによるシステム停止が発生した場合に,決済処理をしようとしている上顧客との通信が中断されると,上顧客の手続き処理が完了できずエラー原因となったり,購入自体が取りやめになったりする可能性があり,好ましくない。
For example, when the
上記のアクセス制御装置1は,そのような上顧客とWebサーバ2との通信を優先的に維持することができ,バーストトラフィックにより生じうる取引機会の喪失を防止することができる。
The
また,以上の実施例において開示したアクセス制御装置1は,Webサーバ2等とクライアント端末4との通信を中継する通信中継部14を備えるプロキシ装置として説明したが,アクセス制御装置1は,通信を中継する通信中継装置,負荷分散装置内に組み込まれる装置として実施することができる。この場合に,アクセス制御装置1は,通信中継部14を備える必要がなく,通信中継部14の機能は,通信中継装置,負荷分散装置等が有する通信中継機能によって実現される。
Moreover, although the
また,開示したアクセス制御装置1は,プログラムがコンピュータにより読み取られ実行されることにより,アクセス制御装置1が有する通信中継部14,通信制御部15,コンテンツ管理部16,クライアント管理部17の各処理部が実現されることによって構築することができる。
Further, the disclosed
このプログラムは,コンピュータが読み取り可能な,可搬媒体メモリ,半導体メモリ,ハードディスクなどの適当な記録媒体に格納することができ,これらの記録媒体に記録して提供される。または,このプログラムは,通信インタフェースを介して種々の通信網を利用した送受信により提供される。 This program can be stored in an appropriate recording medium such as a portable medium memory, a semiconductor memory, or a hard disk, which can be read by a computer, and is provided by being recorded on these recording media. Alternatively, this program is provided by transmission and reception using various communication networks via a communication interface.
以上の実施例を含む実施形態に関し,さらに以下の付記を開示する。 The following supplementary notes are further disclosed with respect to the embodiment including the above examples.
(付記1) 開示されるアクセス制御装置は,Webサーバとクライアントの端末との間の通信を中継する装置であって,
前記Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部と,
クライアントの状態を記録するクライアント状態情報記憶部と,
クライアントが送信した前記Webサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析して,前記解析の結果から前記アクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,前記抽出したコンテンツの識別情報の順序が前記判定情報のコンテンツ遷移と一致する場合に前記リクエスト元であるクライアントと対応付けて優先状態を設定するコンテンツ管理部と,
前記優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報を前記クライアント状態情報記憶部に記録するクライアント管理部と,
クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された前記優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する通信制御部とを備える
ことを特徴とするアクセス制御装置。
(Supplementary Note 1) The disclosed access control device is a device that relays communication between a Web server and a client terminal,
A determination information storage unit that holds determination information that sets content transition for determining the priority state of the client at the time of controlling access to the Web server;
A client status information storage unit for recording the client status;
Upon receiving the access request to the Web server transmitted by the client, the received access request is analyzed, and based on the result of the analysis, the identification information of the content accessed at the time of issuing the access request and the access request When the identification information of the content to be accessed and the information for identifying the client that is the request source of the access request are extracted, and the order of the extracted content identification information matches the content transition of the determination information A content management unit that sets a priority state in association with the request source client;
A client management unit that records in the client state information storage unit client state information for registering information indicating a request source of an access request issued by a client associated with the priority state;
In the relay process of the access request from the client to the Web server, the information indicating the request source of the received access request indicates the client request source associated with the priority status recorded in the client status information storage unit An access control device comprising: a communication control unit that requests access control to block or temporarily hold a received access request when the information does not match.
(付記2) 前記通信制御部は,前記クライアント状態情報をもとに,前記優先状態に対応付けられたクライアントの合計数が所定数を超過した場合に,前記Webサーバへの前記アクセス制御を要求する
ことを特徴とする前記付記1に記載のアクセス制御装置。
(Supplementary Note 2) The communication control unit requests the access control to the Web server when the total number of clients associated with the priority state exceeds a predetermined number based on the client state information. The access control apparatus as set forth in
(付記3) 前記判定情報記憶部は,前記Webサーバへのアクセス制御におけるクライアントの不正状態を判定するためのコンテンツ遷移を設定した判定情報を保持し,
前記コンテンツ管理部は,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,前記抽出したコンテンツの識別情報の順序が前記判定情報の不正状態を判定するためのコンテンツ遷移と一致する場合に,前記リクエスト元であるクライアントと対応付けて不正状態を設定し,
前記クライアント管理部は,前記コンテンツ管理部により,不正状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報を前記クライアント状態情報記憶部に記録し,
前記通信制御部は,クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された不正状態に対応付けられたクライアントのリクエスト元を示す情報に一致するときは,受信したアクセスリクエストを遮断するアクセス制御を要求する
ことを特徴とする前記付記1または前記付記2に記載のアクセス制御装置。
(Additional remark 3) The said determination information storage part hold | maintains the determination information which set the content transition for determining the unauthorized state of the client in the access control to the said web server,
The content management unit extracts the identification information of the content to be accessed by the access request and the information for specifying the client that is the request source of the access request, and the order of the extracted content identification information is If it matches the content transition for determining the invalid state of the determination information, the invalid state is set in association with the client that is the request source,
The client management unit records, in the client status information storage unit, client status information for registering information indicating a request source of an access request issued by a client associated with an illegal status by the content management unit,
In the relay process of the access request from the client to the Web server, the communication control unit is a client in which information indicating the request source of the received access request is associated with the unauthorized state recorded in the client state information storage unit The access control apparatus according to
(付記4) 前記判定情報記憶部は,前記Webサーバのコンテンツを所定の種別に分類し,前記判定情報として,前記コンテンツの種別間の遷移を設定した情報を保持し,
前記コンテンツ管理部は,前記取得したアドレス情報の順序に対応するコンテンツの種別の順序が前記判定情報のコンテンツの種別間の遷移に一致するかを判定する
ことを特徴とする前記付記1ないし前記付記3のいずれか一項に記載のアクセス制御装置。
(Supplementary Note 4) The determination information storage unit classifies the content of the Web server into a predetermined type, and holds information that sets a transition between the content types as the determination information,
The content management unit determines whether the order of content types corresponding to the order of the acquired address information matches a transition between content types of the determination information. The access control device according to any one of
(付記5) Webサーバとクライアントの端末との間の通信を中継する装置が実行する制御方法であって,
クライアントが送信した前記Webサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析する処理過程と,
前記解析の結果から,前記アクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出する処理過程と,
前記Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部へアクセスして,前記判定情報を取得する処理過程と,
前記抽出したコンテンツの識別情報の順序が,前記判定情報のコンテンツ遷移と一致する場合に前記リクエスト元であるクライアントと対応付けて優先状態を設定する処理過程と,
前記優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報をクライアント状態情報記憶部に記録する処理過程と,
クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された前記優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する処理過程とを備える
ことを特徴とするアクセス制御方法。
(Supplementary Note 5) A control method executed by a device that relays communication between a Web server and a client terminal,
A process of receiving an access request to the web server sent by the client and analyzing the received access request;
From the result of the analysis, the identification information of the content accessed at the time of issuing the access request, the identification information of the content to be accessed by the access request, and the client that is the request source of the access request A process of extracting information;
A process of accessing the determination information storage unit holding the determination information in which the content transition for determining the priority state of the client at the time of controlling access to the Web server is held, and acquiring the determination information;
A process of setting a priority state in association with the client that is the request source when an order of identification information of the extracted content matches a content transition of the determination information;
A process of recording in the client status information storage unit client status information for registering information indicating a request source of an access request issued by a client associated with the priority status;
In the relay process of the access request from the client to the Web server, the information indicating the request source of the received access request indicates the client request source associated with the priority status recorded in the client status information storage unit An access control method comprising: a process for requesting access control to block or temporarily hold a received access request when it does not match information.
(付記6) Webサーバとクライアントの端末との間の通信を中継する装置に,
クライアントが送信した前記Webサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析する処理と,
前記解析の結果から,前記アクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出する処理と,
前記Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部へアクセスして,前記判定情報を取得する処理と,
前記抽出したコンテンツの識別情報の順序が,前記判定情報のコンテンツ遷移と一致する場合に前記リクエスト元であるクライアントと対応付けて優先状態を設定する処理と,
前記優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報をクライアント状態情報記憶部に記録する処理と,
クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された前記優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する処理とを実行させるための
アクセス制御プログラム。
(Supplementary note 6) In a device that relays communication between a Web server and a client terminal,
A process of receiving an access request to the web server sent by the client and analyzing the received access request;
From the result of the analysis, the identification information of the content accessed at the time of issuing the access request, the identification information of the content to be accessed by the access request, and the client that is the request source of the access request Processing to extract information;
A process of accessing a determination information storage unit holding determination information in which content transition for determining a priority state of a client at the time of controlling access to the Web server is held, and acquiring the determination information;
A process of setting a priority state in association with the client that is the request source when the order of the identification information of the extracted content matches the content transition of the determination information;
A process of recording client status information for registering information indicating a request source of an access request issued by a client associated with the priority status in a client status information storage unit;
In the relay process of the access request from the client to the Web server, the information indicating the request source of the received access request indicates the client request source associated with the priority status recorded in the client status information storage unit An access control program for executing processing that requests access control that blocks or temporarily holds a received access request when the information does not match.
1 アクセス制御装置
11 コンテンツ情報記憶部
12 判定情報記憶部
13 クライアント状態情報記憶部
14 通信中継部
15 通信制御部
16 コンテンツ管理部
17 クライアント管理部
2 Webサーバ
3 制御表示用サーバ
4 クライアント端末
5 ブラウザ
6 インターネット
DESCRIPTION OF
Claims (4)
前記Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部と,
クライアントの状態を記録するクライアント状態情報記憶部と,
クライアントが送信した前記Webサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析して,前記解析の結果から前記アクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,前記抽出したコンテンツの識別情報の順序が前記判定情報のコンテンツ遷移と一致する場合に前記リクエスト元であるクライアントと対応付けて優先状態を設定するコンテンツ管理部と,
前記優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報を前記クライアント状態情報記憶部に記録するクライアント管理部と,
クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された前記優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する通信制御部とを備える
ことを特徴とするアクセス制御装置。 A device that relays communication between a Web server and a client terminal,
A determination information storage unit that holds determination information that sets content transition for determining the priority state of the client at the time of controlling access to the Web server;
A client status information storage unit for recording the client status;
Upon receiving the access request to the Web server transmitted by the client, the received access request is analyzed, and based on the result of the analysis, the identification information of the content accessed at the time of issuing the access request and the access request When the identification information of the content to be accessed and the information for identifying the client that is the request source of the access request are extracted, and the order of the extracted content identification information matches the content transition of the determination information A content management unit that sets a priority state in association with the request source client;
A client management unit that records in the client state information storage unit client state information for registering information indicating a request source of an access request issued by a client associated with the priority state;
In the relay process of the access request from the client to the Web server, the information indicating the request source of the received access request indicates the client request source associated with the priority status recorded in the client status information storage unit An access control device comprising: a communication control unit that requests access control to block or temporarily hold a received access request when the information does not match.
ことを特徴とする請求項1に記載のアクセス制御装置。 The communication control unit requests the access control to the Web server when the total number of clients associated with the priority state exceeds a predetermined number based on the client state information. The access control apparatus according to claim 1.
前記コンテンツ管理部は,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,前記抽出したコンテンツの識別情報の順序が前記判定情報の不正状態を判定するためのコンテンツ遷移と一致する場合に,前記リクエスト元であるクライアントと対応付けて不正状態を設定し,
前記クライアント管理部は,前記コンテンツ管理部により,不正状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報を前記クライアント状態情報記憶部に記録し,
前記通信制御部は,クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された不正状態に対応付けられたクライアントのリクエスト元を示す情報に一致するときは,受信したアクセスリクエストを遮断するアクセス制御を要求する
ことを特徴とする請求項1または請求項2に記載のアクセス制御装置。 The determination information storage unit holds determination information in which content transition for determining an unauthorized state of a client in access control to the Web server is set,
The content management unit extracts the identification information of the content to be accessed by the access request and the information for specifying the client that is the request source of the access request, and the order of the extracted content identification information is If it matches the content transition for determining the invalid state of the determination information, the invalid state is set in association with the client that is the request source,
The client management unit records, in the client status information storage unit, client status information for registering information indicating a request source of an access request issued by a client associated with an illegal status by the content management unit,
In the relay process of the access request from the client to the Web server, the communication control unit is a client in which information indicating the request source of the received access request is associated with the unauthorized state recorded in the client state information storage unit 3. The access control apparatus according to claim 1, wherein the access control apparatus requests access control to block the received access request when the information matches the information indicating the request source.
前記コンテンツ管理部は,前記取得したアドレス情報の順序に対応するコンテンツの種別の順序が前記判定情報のコンテンツの種別間の遷移に一致するかを判定する
ことを特徴とする請求項1ないし請求項3のいずれか一項に記載のアクセス制御装置。 The determination information storage unit classifies the content of the Web server into a predetermined type, and holds information that sets transition between the content types as the determination information,
The content management unit determines whether an order of content types corresponding to the order of the acquired address information matches a transition between content types of the determination information. The access control device according to any one of claims 3 to 4.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009100752A JP5067396B2 (en) | 2009-04-17 | 2009-04-17 | Access control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009100752A JP5067396B2 (en) | 2009-04-17 | 2009-04-17 | Access control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010250664A JP2010250664A (en) | 2010-11-04 |
JP5067396B2 true JP5067396B2 (en) | 2012-11-07 |
Family
ID=43312901
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009100752A Expired - Fee Related JP5067396B2 (en) | 2009-04-17 | 2009-04-17 | Access control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5067396B2 (en) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9412123B2 (en) | 2003-07-01 | 2016-08-09 | The 41St Parameter, Inc. | Keystroke analysis |
US10999298B2 (en) | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
US8938671B2 (en) | 2005-12-16 | 2015-01-20 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US11301585B2 (en) | 2005-12-16 | 2022-04-12 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8151327B2 (en) | 2006-03-31 | 2012-04-03 | The 41St Parameter, Inc. | Systems and methods for detection of session tampering and fraud prevention |
US9112850B1 (en) | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
US10754913B2 (en) | 2011-11-15 | 2020-08-25 | Tapad, Inc. | System and method for analyzing user device information |
US9633201B1 (en) | 2012-03-01 | 2017-04-25 | The 41St Parameter, Inc. | Methods and systems for fraud containment |
US9521551B2 (en) | 2012-03-22 | 2016-12-13 | The 41St Parameter, Inc. | Methods and systems for persistent cross-application mobile device identification |
EP2880619A1 (en) | 2012-08-02 | 2015-06-10 | The 41st Parameter, Inc. | Systems and methods for accessing records via derivative locators |
JP5968719B2 (en) | 2012-08-06 | 2016-08-10 | 京セラ株式会社 | Management system, management method, control device, and storage battery device |
WO2014078569A1 (en) | 2012-11-14 | 2014-05-22 | The 41St Parameter, Inc. | Systems and methods of global identification |
US10902327B1 (en) | 2013-08-30 | 2021-01-26 | The 41St Parameter, Inc. | System and method for device identification and uniqueness |
US10091312B1 (en) | 2014-10-14 | 2018-10-02 | The 41St Parameter, Inc. | Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11167584A (en) * | 1997-09-30 | 1999-06-22 | Hitachi Ltd | Page shift method and its execution device and medium recording page shift processing program and data |
JP2002140309A (en) * | 2000-11-02 | 2002-05-17 | Hitachi Ltd | Service system |
JP2003087421A (en) * | 2001-09-11 | 2003-03-20 | Hitachi Information Technology Co Ltd | Information processing system |
JP2005165898A (en) * | 2003-12-05 | 2005-06-23 | Hidemasa Miki | System for providing maze on web and maze construction program |
US7805529B2 (en) * | 2006-07-14 | 2010-09-28 | International Business Machines Corporation | Method and system for dynamically changing user session behavior based on user and/or group classification in response to application server demand |
-
2009
- 2009-04-17 JP JP2009100752A patent/JP5067396B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010250664A (en) | 2010-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5067396B2 (en) | Access control device | |
US11659004B2 (en) | Networking flow logs for multi-tenant environments | |
JP4307448B2 (en) | System and method for managing distributed objects as a single representation | |
US8621065B1 (en) | Dynamic blocking of suspicious electronic submissions | |
CN104904178B (en) | The method and apparatus and computer-readable medium of virtual private network tunnel are provided | |
US9294541B2 (en) | Method and system for correlation of session activities to a browser window in a client-server enviroment | |
JP5789390B2 (en) | Business information protection device, business information protection method, and program | |
US10257228B2 (en) | System and method for real time detection and prevention of segregation of duties violations in business-critical applications | |
CN101841537A (en) | Method and system for realizing file sharing access control based on protocol proxy | |
EP2255505B1 (en) | Selective filtering of network traffic requests | |
JP2008117316A (en) | Business information protection device | |
US11044245B2 (en) | System and control method therefor | |
CN107103216A (en) | Business information protector | |
CN106559485A (en) | A kind of method and device of control server shutdown | |
JP5952466B2 (en) | Business information protection device, business information protection method, and program | |
CN108512889A (en) | A kind of application response method for pushing and proxy server based on HTTP | |
US20220385632A1 (en) | Transaction firewall method and system | |
KR101784312B1 (en) | A apparatus and method of providing security to cloud data to prevent unauthorized access | |
JP5097418B2 (en) | Session management apparatus, program, and storage medium | |
JP2000267957A (en) | Fire wall for control system | |
KR101980432B1 (en) | Apparatus and method for managing personal information | |
KR101288103B1 (en) | Method and system for monitoring and cutting off illegal electronic-commerce transaction | |
JP2005156473A (en) | Analysis system using network | |
JP2018152091A (en) | Business information protection device, business information protection method, and program | |
JP6719635B2 (en) | Access management method, access management device and computer program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100820 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120704 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120717 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120730 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150824 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |