JP5665984B2 - クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法 - Google Patents
クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法 Download PDFInfo
- Publication number
- JP5665984B2 JP5665984B2 JP2013521671A JP2013521671A JP5665984B2 JP 5665984 B2 JP5665984 B2 JP 5665984B2 JP 2013521671 A JP2013521671 A JP 2013521671A JP 2013521671 A JP2013521671 A JP 2013521671A JP 5665984 B2 JP5665984 B2 JP 5665984B2
- Authority
- JP
- Japan
- Prior art keywords
- web
- web data
- authority
- authority management
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000007726 management method Methods 0.000 title claims description 117
- 238000000034 method Methods 0.000 title claims description 28
- 230000004044 response Effects 0.000 claims description 43
- 238000012545 processing Methods 0.000 claims description 28
- 230000005540 biological transmission Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 9
- 230000006870 function Effects 0.000 description 26
- 238000013515 script Methods 0.000 description 10
- 230000000903 blocking effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 108010074506 Transfer Factor Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Description
本発明は、クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法に係り、さらに詳細には、ウェブサーバによって設定される権限に基づいてウェブブラウザに提供されるウェブデータを管理し、クライアントに伝送されるウェブデータに関する権限管理情報を含ませる装置及び方法に関する。
主要ウェブブラウザは、ウェブエンジンに基づいて開発され、機能拡張のための拡張インターフェースを提供する。ここで、ウェブエンジンは、公開ソース如何に関係なく標準インターフェースを持ち、一般的な場合、下位互換性を支援するためにインターフェースが保持される。また拡張機能の開発のために提供されるインターフェースも下位互換性の保持のために一般的に持続的に保持される特徴がある。このようにインターフェースが保持される属性を用いてウェブブラウザの制御技術を開発する場合、同じウェブエンジンを用いて開発された異種のブラウザに対して、同一または類似した制御パターンを適用でき、ブラウザのアップグレードが生じてインターフェースの保持可能性が高いため、メンテナンスが相対的に容易であるという長所がある。
ウェブ上に存在するデータに対する接近制御及びネットワーク区間に対する暗号化の場合には、各種標準が開発されてブラウザ及びOSに関係なく支援されているが、クライアントに伝送された情報についての権限管理(righ tmanagement)は、コンピュータプログラミングに関して標準化されていない。それにより、現行のウェブデータ権限管理は、普通、標準ウェブ規格を応用するか、またはブラウザ拡張機能を応用することで行われている。
先ず、にスクリプト(script)及びクッキー(cookie)などのウェブ標準規格を用いてクライアントに伝送されたウェブ情報の変換を制御する例には、マウスによるドラッグ(drag)遮断及びキーボード入力遮断などがある。これらの方式はブラウザ及びOS従属性を持っておらず、スクリプトの動作範囲が保護対象範囲と一致するため、保護対象の識別が容易である。また、ウェブサーバにおける付加機能を不要とするという長所を持つ。しかし、スクリプトを支援しないブラウザやスクリプト動作を遮断した場合には動作せず、スクリプト動作の可能なHTML規格に保護対象が限定される。そして、制御動作はすべての情報が伝送された後で行われるため、伝送された情報からスクリプト部分のみ除去すれば情報抽出が容易であり、ブラウザ内に存在する他の拡張(extension)による情報抽出に対応できないという短所を持つ。
一方、ブラウザ拡張を用いた権限管理方式は、ブラウザ拡張をHTML内で呼び出し、呼び出されたブラウザ拡張でブラウザの機能を制御する方式である。かかる方式は、呼び出された部分のみ保護すればよいという点で、保護対象識別が相対的に容易であり、ウェブサーバにおける付加機能を不要とするという長所を持つ一方、ブラウザ及びOS従属性を持つため、該ブラウザ及びOS別に開発されねばならず、ブラウザ拡張機能を提供しないブラウザでは動作しないという問題がある。これを補強するために、スクリプト及びクッキーなどの技法がさらに適用されねばならないが、それにより発生する短所は前述した通りである。
このように既知のウェブ情報保護方式は、ウェブ上に物理的に存在するファイル単位の保護に焦点を合わせ、保護可能な情報がプログラミング可能な情報に限定される。すなわち、既存の方式は、DCF(DRM Content Format)などの自体DRMフォーマットを持つファイルや、HTMLのようにジャバスクリプトなどの制御動作を含む客体について制限的な保護が可能であり、既存方式で支援できないイメージなどの固定フォーマットや、動的に生成されたデータ客体の権限保護のために権限管理をプロトコルレベルで支援する方法が必要である。
本発明が解決しようとする技術的課題は、ウェブサーバからクライアントに伝送されるデータに関する権限情報をプロトコルレベルで処理できるウェブデータの権限管理装置及びウェブデータの権限管理方法をコンピュータで行わせるための記録媒体を提供するところにある。
本発明が解決しようとする他の技術的課題は、ウェブデータを提供するウェブサーバの基本的な機能を変化させずにウェブデータに関する権限情報を設定できる権限管理情報提供装置及び方法を提供するところにある。
前記技術的課題を解決するための、本発明によるウェブデータの権限管理装置は、ウェブブラウザからウェブサーバに伝送されるウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加して前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力し、前記ウェブデータ応答メッセージに含まれたウェブデータを前記ウェブブラウザに伝達するメッセージ処理部;前記メッセージ処理部から入力された、前記パージングされた権限情報の内容に基づいて、前記ウェブデータ応答メッセージに含まれたウェブデータの前記ウェブブラウザを通じる出力を制御する権限管理部;を備える。
前記技術的課題を解決するための、本発明によるウェブデータの権限管理方法は、(a)ウェブブラウザからウェブサーバに伝送されるウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加して前記ウェブサーバに伝達する段階;(b)前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力する段階;(c)前記パージングされた権限情報の内容に基づいて、前記ウェブデータ応答メッセージに含まれたウェブデータの前記ウェブブラウザを通じる出力を制御する段階;(d)前記(c)段階で前記ウェブデータを出力すると定められれば、前記ウェブデータ応答メッセージに含まれたウェブデータを前記ウェブブラウザに伝達する段階;を含む。
前記他の技術的課題を解決するための、本発明による権限管理情報提供装置は、ウェブサーバからウェブブラウザに伝送されるウェブデータについての権限管理を行う権限管理エージェントから前記ウェブサーバに伝達されるウェブデータ要請メッセージのヘッダに含まれた、前記権限管理エージェントの前記ウェブデータについての権限管理の支援如何を示すエージェント情報、及び前記ウェブデータ要請メッセージに含まれたURI情報に基づいて、前記ウェブブラウザが前記ウェブデータを提供されるかどうかを判別するブラウザ判別部;前記ウェブブラウザが前記ウェブデータを提供されると判断されれば、前記ウェブデータ要請メッセージを前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに、前記ウェブデータに対して設定される権限情報を追加して前記権限管理エージェントに伝達するメッセージ伝達部;を備える。
前記他の技術的課題を解決するための、本発明による権限管理情報提供方法は、(a)ウェブサーバからウェブブラウザに伝送されるウェブデータについての権限管理を行う権限管理エージェントから前記ウェブサーバに伝達されるウェブデータ要請メッセージのヘッダに含まれた、前記権限管理エージェントの前記ウェブデータについての権限管理の支援如何を示すエージェント情報、及び前記ウェブデータ要請メッセージに含まれたURI情報に基づいて、前記ウェブブラウザが前記ウェブデータを提供されるかどうかを判別する段階;(b)前記ウェブブラウザが前記ウェブデータを提供されると判断されれば、前記ウェブデータ要請メッセージを前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに、前記ウェブデータに対して設定される権限情報を追加して前記権限管理エージェントに伝達する段階;を含む。
本発明によるウェブデータの権限管理装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、そして権限管理情報提供装置及び方法によれば、ウェブデータを要請するウェブブラウザ及びウェブデータを提供するウェブサーバの機能を変化させずに、ウェブデータに関する権限管理情報を含ませ、かつ権限情報の内容によるウェブデータの出力制御を行える。
以下、添付した図面を参照して、本発明によるウェブデータの権限管理装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、そして権限管理情報提供装置及び方法の望ましい実施形態について詳細に説明する。
図1は、本発明によるウェブデータの権限管理装置に関する望ましい実施形態の構成を示すブロック図である。図1を参照すれば、本発明によるウェブデータの権限管理装置100は、メッセージ処理部110及び権限管理部120を備え、ウェブサーバ400からウェブデータを伝送されてディスプレイするウェブブラウザ300と共にクライアント端末に具現される。また本発明によるウェブデータの権限管理装置100は、ウェブブラウザ300とウェブサーバ400との間で権限管理エージェントとしての機能を行い、ブラウザ拡張形態で提供されてウェブブラウザ300プロセスの内部で動作する。さらに、本発明によるウェブデータの権限管理装置100は、ウェブブラウザ300の動作一部として行われる。
メッセージ処理部110は、ウェブブラウザ300からウェブサーバ400に伝送されるウェブデータ要請メッセージのヘッダに、本発明によるウェブデータの権限管理装置100のウェブデータについての権限管理の支援如何を示すエージェント情報を追加してウェブサーバ400に伝達する。また、ウェブサーバ400からウェブブラウザ300に伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力し、ウェブデータ応答メッセージに含まれたウェブデータをウェブブラウザ300に伝達する。
既存の権限管理方式では、ウェブブラウザ300が、自分の権限管理の支援如何を示す情報をウェブデータ要請メッセージに直接含ませて伝送させる。それによって、現在ウェブブラウザ300の支援可能な制御規格バージョン、及びウェブブラウザ300自体に関する識別情報が必要である。しかし、本発明によるウェブデータの権限管理装置100によれば、ウェブブラウザ300は、ウェブデータの提供を要請するためのウェブデータ要請メッセージを生成してウェブサーバ400に向けて伝送し、メッセージ処理部110が中間で、ウェブデータ要請メッセージのヘッダにエージェント情報を追加してウェブサーバ400に伝達する。したがって、ウェブブラウザ300に新たな機能を追加せずにウェブデータについての権限管理が可能である。
一方、ウェブ区間は、保安を適用しない場合にすべての情報が露出され、偽・変造が可能である。したがって、ウェブ区間におけるデータ保護技法が適用される必要があり、これは、通常的なSSL(Secure Sockets Layer)のようなデータ区間保護によって行われる。
ウェブサーバ400からは、ウェブブラウザ300が要請したウェブデータが含まれたウェブデータ応答メッセージが伝送され、メッセージ処理部110は、ウェブデータ応答メッセージをウェブブラウザ300に伝達する。この時、ウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして権限管理部120に伝送する。ウェブデータに関する権限情報は、特定IPのウェブブラウザ300に限定されたウェブデータ提供権限、ウェブデータについての読み取り権限、ウェッブブラウザ300を通じて出力されたウェブデータの印刷(print)権限などを含む。
権限管理部120は、パージングされた権限情報の内容に基づいてウェブデータ応答メッセージに含まれたウェブデータのウェブブラウザ300を通じる出力を制御する。すなわち、メッセージ処理部110からウェブブラウザ300に伝達されるウェブデータ応答メッセージに含まれたウェブデータは、権限管理部120の制御によってウェブブラウザ300を通じる出力如何が定められる。例えば、権限情報の内容が特定IPのウェブブラウザ300に限定されたウェブデータ提供に関し、現在ウェブデータ要請メッセージを伝送したウェブブラウザ300がウェブデータ提供対象であるIPに該当しない場合、権限管理部120は、メッセージ処理部110によって伝達されたウェブデータ応答メッセージに含まれたウェブデータを、該ウェブブラウザ300を通じて出力させない。
一方、ウェブデータ応答メッセージに含まれた権限情報によってウェブデータの出力如何が定められるものではないウェブデータがウェブブラウザ300に提供されない場合がありうる。例えば、メッセージ処理部110によってウェブデータ要請メッセージのヘッダに追加されたエージェント情報を通じて、本発明によるウェブデータの権限管理装置100が権限管理を支援しないと判別される場合、またはウェブブラウザ300が要請したURI情報に対応するウェブデータをウェブサーバ400が提供できない場合である。このようなウェブデータの提供如何の判断はウェブサーバ400側で行われ、ウェブデータを提供できない場合には、ウェブサーバ400から要請拒否に関するエラーコードを含む応答メッセージが伝送される。メッセージ処理部110は、これをウェブブラウザ300に伝達してウェブデータを提供されないことを知らせる。
本発明によるウェブデータの権限管理装置100が、ウェブブラウザ300と共にクライアント端末に備えられて、ウェブブラウザ300に新たな機能を追加せずにウェブデータについての権限管理を行うことに対応して、本発明による権限管理情報提供装置200は、ウェブサーバ400側でウェブデータの提供如何を判断して、ウェブデータ応答メッセージに権限情報を含ませる機能を行う。
図2は、本発明による権限管理情報提供装置200に関する望ましい実施形態の構成を示すブロック図である。図2を参照すれば、本発明による権限管理情報提供装置200は、ブラウザ判別部210及びメッセージ伝達部220を備える。また本発明による権限管理情報提供装置200は、ウェブサーバ400内に具現されてもよく、別途の装置で具現されて、本発明によるウェブデータの権限管理装置100とウェブサーバ400との間でメッセージ伝達機能を行ってもよい。
ブラウザ判別部210は、ウェブサーバ400からウェブブラウザ300に伝送されるウェブデータについての権限管理を行う権限管理エージェント100からウェブサーバ400に伝達されるウェブデータ要請メッセージのヘッダに含まれた、権限管理エージェント100のウェブデータについての権限管理の支援如何を示すエージェント情報、及びウェブデータ要請メッセージに含まれたURI情報に基づいて、ウェブブラウザ300がウェブデータを提供されるかどうかを判別する。
ここで権限管理エージェント100は、前記の本発明によるウェブデータの権限管理装置100と同じ機能を行う装置であり、以下では、権限管理エージェント100、すなわち、ウェブデータの権限管理装置100に備えられたメッセージ処理部110及び権限管理部120の機能と共に、本発明による権限管理情報提供装置200の各構成要素の機能を説明する。
前記で、本発明によるウェブデータの権限管理装置100が権限管理を支援しないと判別される場合、またはウェブブラウザ300が要請したURI情報に対応するウェブデータをウェブサーバ400が提供できない場合には、ウェブサーバ400から要請拒否に関するエラーコードを含む応答メッセージが伝送されることを説明した。この時、ウェブデータのウェブブラウザ300への提供如何を判別する機能は、ブラウザ判別部210が行う。ブラウザ判別部210の判別結果は、メッセージ伝達部220に入力される。
メッセージ伝達部220は、ブラウザ判別部210の判別結果、ウェブデータがウェブブラウザ300みに提供されなければ、前述したように、要請拒否に関するエラーコードを含む応答メッセージをメッセージ処理部110に伝送する。またウェブブラウザ300がウェブデータを提供されると判断されれば、ウェブデータ要請メッセージをウェブサーバ400に伝達し、ウェブサーバ400からウェブブラウザ300に伝送されるウェブデータ応答メッセージのヘッダに、ウェブデータに対して設定される権限情報を追加して、権限管理エージェント100のメッセージ処理部110に伝達する。
ウェブデータ応答メッセージに含まれる権限情報は、ウェブデータの最上位エレメント(element)に対してAND演算で適用される。図3は、ウェブデータが3つのフレームに分けられる場合についての権限処理の例を示す図面である。図3を参照すれば、一つのメインHTMLがAないしCの3つのHTMLに分けられ、それぞれのHTMLに共通で設定される権限が読み取り(View)権限であるということが分かる。したがって、ウェブブラウザ300を通じて出力されるウェブデータに対して設定される権限情報は、AND演算によって読み取り権限のみを含む。
ウェッブブラウザ300に伝送されたウェブデータは、ウェブブラウザ300内で使用可能な形態に再加工され、加工された情報は、各機能を担当するコンポネント(component)に提供される。ウェッブブラウザ300は、使用モデルのため最終的にユーザが活用できる形態にならねばならないので、モニタリング及びフィルタリングを担当するモジュールを除去すれば、ユーザの動作からウェブブラウザ300の動作が開始される。この時、ウェブブラウザ300のコアエンジン(core engine)部分は、情報を要請するコンポネントに現在のユーザ動作に連結された情報を提供する。
ここで、コンポネントは、動的に生成されてメモリに常在するコード実行部であり、ウェッブブラウザ300の機能を担当するか、または、拡張(extension)機能に属する部分またはHTML内に含まれたスクリプトがスクリプトエンジンによって加工されて動作する要素である。コンポネントは、データ領域と実行領域とに大別され、データ領域は、伝送された情報が保管される部分であり、HTTPの場合にはツリー状の資料構造を採用する。また権限情報が含まれるか、またはマッピングされねばならない。実行領域は、伝送された情報を用いて動作する部分であり、権限制御が行われる領域に該当し、データ領域に含まれるか、またはマッピングされた権限情報によって実行が許容または遮断される。
次いで、ウェブブラウザ300の種類による権限制御方式について説明する。ウェッブブラウザ300の構造は、権限制御の観点からみれば、基本制御、ネットワーク通信、ウェブ制御及びデータ応用に区分でき、このうち、ウェブ制御部分のみURLに従属的に割り当てられる客体に該当する。
先ず、ウェブブラウザ300のうちインターネットエクスプローラー(Internet Explorer:IE)の場合、バージョン3以後COM技術を用いたMSHtml(Trident)ウェブエンジンを使い、各個体は、IDLを用いて構造を確認できる。IDL情報を用いた仮想関数テーブルhook、相続を用いたobject wrapping、同一インターフェースを持つdummy object処理などの方式で制御できる。
ネットワーク通信部分は、IInternetProtocolRoot及び該インターフェースの拡張インターフェースを支援する客体であり、Worker thread及び客体プーリングによって再使用可能な構造になっている。この部分のうちHTTP(S)を処理する部分は、該インターフェース客体が生成するオブジェクトであり、IHttpNegotiate及びその拡張インターフェースを支援する規格を持っている。この部分のrequestで権限制御モジュールの情報を伝送し、response部分で権限情報を分析してデータ処理部とマッピングする過程を経る。
ウェブ制御部分は、URL従属的な部分であり、IWebBrowser2インターフェースを提供する。この部分では、ウェブ画面についての制御及び情報を処理し、Html及びscriptなどに関する情報及び処理を担当するなど、実際にウェブブラウザの機能を担当するといえる。ウェブ制御部は、実質的に権限を制御する部分であり、その内部では権限別に動作遮断/許容を行い、データ応用部分に対してデータ流出を遮断する機能が具現される。株制御対象は、IDocHostUIHandler支援客体に対するUI制御、IOleCommandTarget支援客体に対するOle制御、IHTMLDocument及びその拡張支援客体に対するデータ移動制御になる。
また、モジラ・ファイアフォックス(Mozilla Firefox)ウェッブブラウザ300の場合、Firefox3.xは、オープンソースウェブエンジンであるGeckoを使い、Geckoで提供する仮想クラス及び登録機能を用いられる。このような構造を用いてevent listening及び各客体の属性割り当てによる制御が可能である。
ファイアフォックスは、基本構造としてnsIObserverを用いる構造を持つ。またnsIDOMEventListener、nsIController、nsIDOMMouseListener、nsIDOMKeyListener、nsIDOMXULListener、nsIDOMMouseMotionListener、インターフェースを基準として下位オブジェクト単位の制御を行う。
ネットワーク通信部分は、nslObserverを通じて伝達される情報を用いてフィルタリングし、関数伝達因子に提供されるnslSupport客体を用いて情報の追跡位置をマッピングする。またウェブ制御部分は、Event listenerを用い、付加的にsubclassing技法が用いられる。各event callbackを通じて伝達した個体情報を確認し、必要な客体の情報を許容/遮断する構造を提供する。主要制御個体は、nslDOMDocument個体であり、必要に応じて該個体からnslPIDOMWindowなどの下位個体を制御する構造を持つ。
図4は、本発明によるウェブデータの権限管理装置100及び権限管理情報提供装置200によってウェブデータについての権限管理が行われる望ましい実施形態の実行過程を示すフローチャートである。
図4を参照すれば、本発明によるウェブデータの権限管理装置100のメッセージ処理部110は、ウェブブラウザ300からウェブサーバ400にウェブデータ要請メッセージが伝送される時(S410)、ウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加(S415)して、ウェブサーバ400に伝達する(S420)。
本発明による権限管理情報提供装置200のブラウザ判別部210は、メッセージ処理部110からウェブサーバ400に伝達されるウェブデータ要請メッセージのヘッダに含まれた、権限管理装置100のウェブデータについての権限管理の支援如何を示すエージェント情報、及びウェブデータ要請メッセージに含まれたURI情報に基づいて、ウェブブラウザ300がウェブデータを提供されるかどうかを判別する(S425)。判別結果、ウェブブラウザ300がウェブデータを提供されないと判別されれば、メッセージ伝達部220は、要請拒否に関するエラーコードを含む応答メッセージをメッセージ処理部110に伝達する(S430)。また、ウェブブラウザ300がウェブデータを提供されると判別されれば、メッセージ伝達部220は、ウェブデータ要請メッセージをウェブサーバ400に伝達する(S435)。
メッセージ伝達部220は、ウェブサーバ400からウェブデータが含まれたウェブデータ応答メッセージが伝送されれば(S440)、ウェブデータ応答メッセージのヘッダにウェブデータについて設定される権限情報を追加して(S445)、メッセージ処理部110に伝達する(S450)。
メッセージ処理部110は、ウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングし(S455)、権限管理部120は、これを入力されてウェブデータ応答メッセージに含まれたウェブデータのウェブブラウザ300を通じる出力を制御、すなわち、メッセージ処理部110からウェブブラウザ300に伝達されるウェブデータ応答メッセージに含まれたウェブデータの出力如何を定める(S460)。
実際の具現形態として、本発明によるウェブデータの権限管理装置100は、Windows(登録商標)運用体制基準にウェブブラウザ300の内部で動作するツールバー(toolbar)形態のエージェントと、キャプチャー制御のための外部exe/service形態で設けられ、セットアップ形態で提供される。また本発明による権限管理情報提供装置200の場合、ウェブサーバで使用可能にServletフィルタ及びNETASPフィルタなどが提供され、フィルタを使わずにプログラミングできるように、別途のSDK(Software Development Kit)形態で提供されてもよい。
本発明はまた、コンピュータで読み取り可能な記録媒体にコンピュータで読み取り可能なコードとして具現できる。コンピュータで読み取り可能な記録媒体は、コンピュータシステムによって読み取られるデータが保存されるすべての記録装置を含む。コンピュータで読み取り可能な記録媒体の例には、ROM、RAM、CD−ROM、磁気テープ、フロッピー(登録商標)ディスク、光データ保存装置などがあり、また、キャリアウエーブ(例えば、インターネットを通じる伝送)の形態で具現されるものも含む。また、コンピュータで読み取り可能な記録媒体は、ネットワークに連結されたコンピュータシステムに分散され、分散方式でコンピュータで読み取り可能なコードが保存されて行われる。
以上、本発明の望ましい実施形態について図示して説明したが、本発明は前述した特定の望ましい実施形態に限定されるものではなく、特許請求の範囲で請求する本発明の趣旨を逸脱せずに当業者ならば多様な変形実施が可能であるということはいうまでもなく、かかる変更は、特許請求の範囲に記載の範囲内にある。
Claims (11)
- ウェブサーバとネットワークを介して接続されるウェブブラウザが搭載されたクライアント装置であって、
前記ウェブブラウザから前記ウェブサーバに伝送されるウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加して前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力し、前記ウェブデータ応答メッセージに含まれたウェブデータを前記ウェブブラウザに伝達するメッセージ処理部と、
前記メッセージ処理部から入力された、前記パージングされた権限情報の内容に基づいて、前記ウェブデータ応答メッセージに含まれたウェブデータの前記ウェブブラウザを通じる出力を制御する権限管理部と、を備え、
前記メッセージ処理部及び前記権限管理部は、前記ウェブブラウザのプロセスの内部で動作することを特徴とするクライアント装置。 - 前記メッセージ処理部は、前記ウェブデータ要請メッセージに含まれたURI情報の誤り、または前記エージェント情報に基づいて判断された権限管理の未支援によって前記ウェブサーバから伝送された要請拒否に関するエラーコードを含む応答メッセージを前記ウェブブラウザに伝達することを特徴とする請求項1に記載のクライアント装置。
- 前記権限管理部は、前記ウェブデータに対応して前記ウェブブラウザを通じて入力された動作メッセージに対して前記パージングされた権限情報の内容に基づいて、前記ウェブデータに対するユーザ動作の許容如何を定めることを特徴とする請求項1または2に記載のクライアント装置。
- ウェブサーバとネットワークを介して接続されるウェブブラウザが搭載されたクライアント装置に用いられる権限管理方法であって、
(a)前記ウェブブラウザから前記ウェブサーバに伝送されるウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加して前記ウェブサーバに伝達する段階と、
(b)前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力する段階と、
(c)前記パージングされた権限情報の内容に基づいて、前記ウェブデータ応答メッセージに含まれたウェブデータの前記ウェブブラウザを通じる出力を制御する段階と、
(d)前記(c)段階で前記ウェブデータを出力すると定められれば、前記ウェブデータ応答メッセージに含まれたウェブデータを前記ウェブブラウザに伝達する段階と、を含み、
前記(a)段階乃至(d)段階は、前記ウェブブラウザのプロセスの内部で動作することを特徴とするウェブデータの権限管理方法をコンピュータで行わせるためのプログラム。 - 前記(b)段階で、前記ウェブデータ要請メッセージに含まれたURI情報の誤り、または前記エージェント情報に基づいて判断された権限管理の未支援によって前記ウェブサーバから伝送された要請拒否に関するエラーコードを含む応答メッセージを前記ウェブブラウザに伝達することを特徴とする請求項4に記載のウェブデータの権限管理方法をコンピュータで行わせるためのプログラム。
- (e)前記ウェブデータに対応して、前記ウェブブラウザを通じて入力された動作メッセージに対して前記パージングされた権限情報の内容に基づいて、前記ウェブデータに対するユーザ動作の許容如何を定める段階をさらに含み、
さらに、前記(e)段階は、前記ウェブブラウザのプロセスの内部で動作することを特徴とする請求項4または5に記載のウェブデータの権限管理方法をコンピュータで行わせるためのプログラム。 - ウェブサーバからウェブブラウザに伝送されるウェブデータについての権限管理を行う権限管理エージェントから前記ウェブサーバに伝達されるウェブデータ要請メッセージのヘッダに含まれた前記権限管理エージェントの、前記ウェブデータについての権限管理の支援如何を示すエージェント情報、及び前記ウェブデータ要請メッセージに含まれたURI情報に基づいて、前記ウェブブラウザが前記ウェブデータを提供されるかどうかを判別するブラウザ判別部と、
前記ウェブブラウザが前記ウェブデータを提供されると判断されれば、前記ウェブデータ要請メッセージを前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに、前記ウェブデータに対して設定される権限情報を追加して前記権限管理エージェントに伝達するメッセージ伝達部と、を備えることを特徴とする権限管理情報提供装置。 - 前記メッセージ伝達部は、前記ウェブブラウザが前記ウェブデータを提供されないと判断されれば、要請拒否に関するエラーコードを含む応答メッセージを前記権限管理エージェントに伝達することを特徴とする請求項7に記載の権限管理情報提供装置。
- (a)ウェブサーバからウェブブラウザに伝送されるウェブデータについての権限管理を行う権限管理エージェントから前記ウェブサーバに伝達されるウェブデータ要請メッセージのヘッダに含まれた前記権限管理エージェントの、前記ウェブデータについての権限管理の支援如何を示すエージェント情報、及び前記ウェブデータ要請メッセージに含まれたURI情報に基づいて、前記ウェブブラウザが前記ウェブデータを提供されるかどうかを判別する段階と、
(b)前記ウェブブラウザが前記ウェブデータを提供されると判断されれば、前記ウェブデータ要請メッセージを前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに、前記ウェブデータに対して設定される権限情報を追加して前記権限管理エージェントに伝達する段階と、を含むことを特徴とする権限管理情報提供方法。 - 前記(b)段階で、前記ウェブブラウザが前記ウェブデータを提供されないと判断されれば、要請拒否に関するエラーコードを含む応答メッセージを前記権限管理エージェントに伝達することを特徴とする請求項9に記載の権限管理情報提供方法。
- 請求項9または10に記載の権限管理情報提供方法をコンピュータで行わせるためのプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100072378A KR101064201B1 (ko) | 2010-07-27 | 2010-07-27 | 웹 데이터의 권한 관리 장치, 웹 데이터의 권한 관리 방법을 컴퓨터에서 실행시키기 위한 기록매체, 그리고 권한 관리 정보 제공 장치 및 방법 |
| KR10-2010-0072378 | 2010-07-27 | ||
| PCT/KR2010/009438 WO2012015127A1 (ko) | 2010-07-27 | 2010-12-28 | 웹 데이터의 권한 관리 장치, 웹 데이터의 권한 관리 방법을 컴퓨터에서 실행시키기 위한 기록매체, 그리고 권한 관리 정보 제공 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013538392A JP2013538392A (ja) | 2013-10-10 |
| JP5665984B2 true JP5665984B2 (ja) | 2015-02-04 |
Family
ID=44957254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013521671A Expired - Fee Related JP5665984B2 (ja) | 2010-07-27 | 2010-12-28 | クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9027152B2 (ja) |
| EP (1) | EP2600271B1 (ja) |
| JP (1) | JP5665984B2 (ja) |
| KR (1) | KR101064201B1 (ja) |
| WO (1) | WO2012015127A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101265448B1 (ko) * | 2012-01-19 | 2013-05-16 | (주)이스트소프트 | 네트워크 필터 드라이버를 이용한 피싱 사이트 검사방법 |
| JP7379019B2 (ja) * | 2019-08-21 | 2023-11-14 | キヤノン株式会社 | プログラム、サーバ及び提供方法 |
| KR102663914B1 (ko) * | 2022-07-13 | 2024-05-13 | 주식회사 시큐다임 | 전자 장치 및 이에 의한 http 트래픽의 분석 방법 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8005A (en) * | 1851-04-01 | He ne y bo o t | ||
| US10009A (en) * | 1853-09-13 | Cutting boots and shoes | ||
| US8006A (en) * | 1851-04-01 | Horseshoe-nail machine | ||
| CN1869997A (zh) | 1995-02-13 | 2006-11-29 | 英特特拉斯特技术公司 | 用于安全交易管理和电子权利保护的系统和方法 |
| JPH11296425A (ja) * | 1998-04-06 | 1999-10-29 | Yamatake Corp | 情報閲覧システム |
| US6678733B1 (en) * | 1999-10-26 | 2004-01-13 | At Home Corporation | Method and system for authorizing and authenticating users |
| JP2001325224A (ja) * | 2000-05-16 | 2001-11-22 | Hewlett Packard Japan Ltd | 通信システム |
| WO2002014991A2 (en) * | 2000-08-11 | 2002-02-21 | Incanta, Inc. | Resource distribution in network environment |
| JP3990115B2 (ja) * | 2001-03-12 | 2007-10-10 | 株式会社東芝 | サーバ側プロキシ装置及びプログラム |
| US20020162019A1 (en) * | 2001-04-25 | 2002-10-31 | Berry Michael C. | Method and system for managing access to services |
| US20030046578A1 (en) * | 2001-09-05 | 2003-03-06 | International Business Machines Incorporation | Apparatus and method for providing access rights information in metadata of a file |
| US7913312B2 (en) * | 2002-09-13 | 2011-03-22 | Oracle America, Inc. | Embedded content requests in a rights locker system for digital content access control |
| WO2004051453A1 (en) * | 2002-12-04 | 2004-06-17 | Entriq Inc. | Multiple content provider user interface |
| US20040133797A1 (en) * | 2003-01-06 | 2004-07-08 | International Business Machines Corporation | Rights management enhanced storage |
| US7356694B2 (en) * | 2004-03-10 | 2008-04-08 | American Express Travel Related Services Company, Inc. | Security session authentication system and method |
| JP4296111B2 (ja) * | 2004-03-23 | 2009-07-15 | 株式会社エヌ・ティ・ティ・ドコモ | アクセス制御システム及びアクセス制御方法 |
| JP2005339149A (ja) * | 2004-05-26 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | データ処理装置、データ処理方法およびデータ処理プログラム |
| KR100668047B1 (ko) * | 2004-06-25 | 2007-01-11 | 소범식 | 네트웍 서비스의 이용을 위해 생성된 권한키를 이용한 서비스 시스템 |
| JP4401901B2 (ja) * | 2004-08-27 | 2010-01-20 | ソフトバンクモバイル株式会社 | Wapゲートウェイの表示データー決定装置及び表示データー決定方法 |
| JP2006260176A (ja) * | 2005-03-17 | 2006-09-28 | Ex's Annex:Kk | 機密文書管理方法及び機密文書管理システム |
| US8646102B2 (en) * | 2005-09-16 | 2014-02-04 | Oracle America, Inc. | Method and apparatus for issuing rights in a digital rights management system |
| JP4350714B2 (ja) * | 2006-02-27 | 2009-10-21 | 株式会社東芝 | 送信装置、受信装置及び送信方法 |
| US7610315B2 (en) | 2006-09-06 | 2009-10-27 | Adobe Systems Incorporated | System and method of determining and recommending a document control policy for a document |
| US9356935B2 (en) | 2006-09-12 | 2016-05-31 | Adobe Systems Incorporated | Selective access to portions of digital content |
| US8230417B1 (en) * | 2007-06-08 | 2012-07-24 | Adobe Systems Incorporated | Combined application and execution environment install |
| US20080313334A1 (en) * | 2007-06-18 | 2008-12-18 | Nokia Corporation | Data exchange protocol enhancement to query object permissions |
| FR2921626B1 (fr) * | 2007-09-27 | 2012-07-13 | Renault Sas | Vehicule comportant un compartiment ferme par un capot amovible |
| US8051287B2 (en) * | 2008-10-15 | 2011-11-01 | Adobe Systems Incorporated | Imparting real-time priority-based network communications in an encrypted communication session |
| EP2180664A1 (en) * | 2008-10-22 | 2010-04-28 | Vivendi Mobile Entertainment | System and method for accessing multi-media content via a mobile terminal |
| WO2010116241A1 (en) * | 2009-04-09 | 2010-10-14 | Nokia Corporation | Systems, methods and apparatuses for media file streaming |
-
2010
- 2010-07-27 KR KR1020100072378A patent/KR101064201B1/ko active IP Right Grant
- 2010-12-28 JP JP2013521671A patent/JP5665984B2/ja not_active Expired - Fee Related
- 2010-12-28 EP EP10855399.1A patent/EP2600271B1/en not_active Not-in-force
- 2010-12-28 WO PCT/KR2010/009438 patent/WO2012015127A1/ko active Application Filing
- 2010-12-28 US US13/810,868 patent/US9027152B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9027152B2 (en) | 2015-05-05 |
| EP2600271B1 (en) | 2018-08-22 |
| WO2012015127A1 (ko) | 2012-02-02 |
| KR101064201B1 (ko) | 2011-09-14 |
| EP2600271A1 (en) | 2013-06-05 |
| JP2013538392A (ja) | 2013-10-10 |
| EP2600271A4 (en) | 2014-04-16 |
| US20130298257A1 (en) | 2013-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2017041657A1 (zh) | 一种应用接口管理方法和装置 | |
| US8307058B2 (en) | Apparatus, method, and computer program product for processing information | |
| US20130104126A1 (en) | System and method for dynamically creating machine images for instantiating virtual machines | |
| JP5106625B2 (ja) | ファイアウォールを構成する方法、システム、およびコンピュータ・プログラム | |
| JP4848430B2 (ja) | 仮想役割 | |
| EP3149921B1 (en) | Providing router information according to a programmatic interface | |
| US20180205801A1 (en) | Apparatus and method for connecting at least two systems by converting data | |
| KR101772314B1 (ko) | Introspection 기법을 이용한 IoT 디바이스 보호 방법 및 시스템 | |
| JP2009537892A5 (ja) | ||
| US20100088326A1 (en) | Service oriented architecture aggregation | |
| US8904492B2 (en) | Method of controlling information processing system, computer-readable recording medium storing program for controlling apparatus | |
| US9942267B1 (en) | Endpoint segregation to prevent scripting attacks | |
| JP7040800B2 (ja) | コンピュータファイルメタデータの収集および表示を実施するためのアーキテクチャ、方法および装置 | |
| JP5665984B2 (ja) | クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法 | |
| US9246987B2 (en) | Service registry for web services | |
| US8595805B2 (en) | Method and system for policy driven data disclosure | |
| US20140040976A1 (en) | Security-minded cloning method, system and program | |
| JP7056289B2 (ja) | 管理システム、端末装置、管理装置、管理方法、およびプログラム | |
| US10044728B1 (en) | Endpoint segregation to prevent scripting attacks | |
| KR20160145481A (ko) | 보안 페이지 실행 방법 및 이를 수행하는 단말 | |
| US9497222B2 (en) | Identification of web form parameters for an authorization engine | |
| US20160378982A1 (en) | Local environment protection method and protection system of terminal responding to malicious code in link information | |
| CN111782413A (zh) | 跨应用程序的组件通信方法及装置 | |
| KR102425978B1 (ko) | 클라우드 서비스 플랫폼에서 Composite 웹 UI 제공시스템 | |
| JP2010113566A (ja) | 情報処理装置、アクセス制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140304 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140602 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140826 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141027 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141118 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141209 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5665984 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |