JPH1188436A - Information supply system - Google Patents

Information supply system

Info

Publication number
JPH1188436A
JPH1188436A JP25043597A JP25043597A JPH1188436A JP H1188436 A JPH1188436 A JP H1188436A JP 25043597 A JP25043597 A JP 25043597A JP 25043597 A JP25043597 A JP 25043597A JP H1188436 A JPH1188436 A JP H1188436A
Authority
JP
Grant status
Application
Patent type
Prior art keywords
information
server
supply
network
part
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP25043597A
Other languages
Japanese (ja)
Other versions
JP3877388B2 (en )
Inventor
Seiji Fujii
Nobuhiro Kobayashi
信博 小林
誠司 藤井
Original Assignee
Mitsubishi Electric Corp
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Abstract

PROBLEM TO BE SOLVED: To prevent the contents of a request from leaking by always ciphering the information supply service request passing on an external network. SOLUTION: A Web server 10 has an information supply part, a Web server- side network ciphering/decoding part and a Web server-side network communication part. The information supply part supplies information in accordance with the regular information supply service request from a client 20. The Web server- side network ciphering/decoding part ciphers/decodes information which is transmitted/received with an AC server 30. The Web server-side network communication part executes communication through an AC server-side network 3a. Thus, information passing on the network is always ciphered and access control on supply information and the leakage of a ciphered key add supply information can be prevented.

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】この発明は、ファイアウォールによって内部と外部とに分割されたネットワークに接続されているクライアント・サーバ間におけるアクセス制御並びに情報の機密性を固持するための情報提供システムに関する。 TECHNICAL FIELD The present invention relates to an information providing system for persist the confidentiality of the access control and information between the client and the server that is connected to the internal network that is divided into an external firewall.

【0002】 [0002]

【従来の技術】従来からインターネットやイントラネット等の情報提供システムには、ファイアウォールによってネットワークを内部と外部とに分割することで情報の流失や外部からの不正アクセスの防止を図るようにしたものが知られている。 BACKGROUND OF THE INVENTION information providing system of a conventional from the Internet or an intranet, etc., those to promote prevention of unauthorized access from information erosion or external by dividing the network into inside and outside the firewall is known It is.

【0003】図9は、このような従来の情報提供システムの一例としてのインターネット用の情報提供システムを示した図である。 [0003] Figure 9 is a diagram showing an information providing system for the Internet as an example of such a conventional information providing system. この従来の情報提供システムは、情報提供サービスを行うWebサーバ1と、情報提供サービスを要求するクライアント2と、Webサーバ1とクライアント2とを接続したネットワーク3と、ネットワーク3を内部ネットワーク3aと外部ネットワーク3b This conventional information providing system, the Web server 1 that performs information providing service, a client 2 requesting information providing service, a network 3 which connects the Web server 1 and the client 2, the internal network 3a and the external network 3 network 3b
とに分割するファイアウォール4と、内部ネットワーク3aでの情報提供サービスのアクセス制御を行うアクセス制御(AC)サーバ5とで構成されている。 A firewall 4 is divided into bets, and a Access Control (AC) server 5 to perform access control of the information providing services of the internal network 3a. また、W In addition, W
ebサーバ1は、SSL(Secure Socket eb server 1, SSL (Secure Socket
s Layer)プロトコルにより暗号化処理を行うS s Layer) S to perform encryption processing by the protocol
SLモジュール6と、アクセス制御処理を行うアクセス制御モジュール(ACモジュール)7とを有している。 The SL module 6 has an access control module (AC module) 7 for performing an access control process.
一方、クライアント2も同様にSSLモジュール8を有している。 On the other hand, the client 2 also has a SSL module 8 as well.

【0004】なお、この従来例においては、Webサーバ1にはNetscape社のNetscape En [0004] Incidentally, in this conventional example, Netscape En of Netscape have the Web server 1
terprise Serverが用いられ、クライアント2はブラウザとしてNetscape社のNets terprise Server is used, Nets Netscape's client 2 as a browser
cape Navigatorが用いられ、ACサーバ5にはOpenMarket社のOM−Axcessが用いられているものとした。 cape Navigator is used, the AC server 5 was assumed to have been used OpenMarket's OM-Axcess. また、SSLプロトコルとは、データがネットワーク3上を流れている間は他人が見えないようにする機能を備え、Netscape社のサーバ並びにブラウザには添付されているプロトコルである。 Further, the SSL protocol, while the data is flowing on the network 3 is provided with a feature that allows others not visible, it is Netscape's servers and protocols that the browser is attached.

【0005】また、ファイアウォール4は、例えば、インターネット環境の場合、外部ネットワーク3bの出口に設けられたルータ(ブルータ)等に設けられ、ft Moreover, the firewall 4 can be, for example, the case of the Internet environment, provided such a router provided at the outlet of the external network 3b (brouter), ft
p,telnet,POP3、あるいは、各種プロトコル(例えば、HTML,TCP/IP,SSLなど)の各ポートを開閉することによってファイアウォール4を通過する要求やデータ等を制限するものである。 p, telnet, POP3, or various protocols (e.g., HTML, TCP / IP, SSL, etc.) is intended to limit the request and data through the firewall 4 by opening and closing the respective ports.

【0006】次に、従来においてクライアント2がWe [0006] Then, in the conventional client 2 We
bサーバ1から情報を取得するまでの動作について説明する。 A description will be given of the operation from b server 1 to acquire the information.

【0007】クライアント2は、情報提供サービスの要求をネットワーク3へ送出する。 [0007] The client 2 sends a request for information providing service to the network 3. ファイアウォール4 Firewall 4
は、外部ネットワーク3bから内部ネットワーク3aへと送られる情報が情報提供サービスへの要求であると判断した場合にWebサーバ1へと送る。 Sends to the Web server 1 when it is determined that the information sent from the external network 3b and to the internal network 3a is a request for information services.

【0008】Webサーバ1のACモジュール7は、その情報提供サービス要求をACサーバ5へ送る。 [0008] AC module 7 of the Web server 1, sends the information service request to the AC server 5. ACサーバ5は、ユーザ認証用の情報要求をクライアント2へ送る。 AC server 5 sends the information request for user authentication to the client 2. クライアント2は、ブラウザを用いてユーザに入力させたユーザ認証用の情報をACサーバ5へ送る。 Client 2 sends the information of the user for authentication was input by the user by using the browser to the AC server 5.

【0009】ACサーバ5は、ユーザ認証用の情報でユーザの認証を行うと、保持していた情報提供サービス要求にチケットを付加してWebサーバ1へ送る。 [0009] AC server 5, and authenticates the user with information for the user authentication, send by adding a ticket to the holding and have been providing information service request to the Web server 1.

【0010】Webサーバ1のACモジュール7は、要求に付加されたチケットを確認した上で、その要求をS [0010] AC module 7 of the Web server 1, after confirming the ticket that has been added to the request, the request S
SLモジュール6に渡す。 It passed to the SL module 6. SSLモジュール6は、SS SSL module 6, SS
Lプロトコルに従いクライアント2のSSLモジュール8と鍵の交換を行う。 The replacement of the SSL module 8 and the key of the client 2 in accordance with L protocol. また、SSLモジュール6は、公開鍵暗号方式におけるWebサーバ1の公開鍵を公開鍵暗号方式におけるクライアント2の公開鍵によって暗号化した後にクライアント2へ送る。 Further, SSL module 6 sends after encrypted with the public key of the client 2 in a public key cryptosystem to the public key of the Web server 1 in the public key cryptosystem to the client 2.

【0011】クライアント2において、SSLモジュール8は、公開鍵暗号方式によるクライアント2の秘密鍵にて復号化し、公開鍵暗号方式におけるWebサーバ1 [0011] In the client 2, SSL module 8, and decoding by the public key encryption method in the secret key of the client 2, Web server 1 in a public-key cryptography
の公開鍵を取り出す。 Take out a public key. また、SSLモジュール8は、クライアント2からWebサーバ1へ情報を送る際に利用する秘密鍵暗号方式によるクライアント側秘密鍵と、W In addition, SSL module 8, and client-side secret key by the secret key encryption method to use when sending information from the client 2 to the Web server 1, W
ebサーバ1からクライアント2へ情報を送る際に利用する秘密鍵暗号方式によるWebサーバ側秘密鍵を生成する。 eb to generate a Web server-side secret key by the secret key encryption method to use when sending information from the server 1 to the client 2. 更に、SSLモジュール8は、公開鍵暗号方式におけるWebサーバ1の公開鍵にて秘密鍵暗号方式によるクライアント側秘密鍵と秘密鍵暗号方式によるWeb In addition, SSL module 8, Web by the client-side secret key and a private key encryption system based on a secret key encryption method in the public key of the Web server 1 in a public-key cryptography
サーバ側秘密鍵とを暗号化してWebサーバ1へ送る。 By encrypting and server-side secret key sent to the Web server 1.

【0012】Webサーバ1において、SSLモジュール6は、公開鍵暗号方式によるWebサーバ1の秘密鍵にて復号化し、秘密鍵暗号方式によるクライアント側秘密鍵と、秘密鍵暗号方式によるWebサーバ側秘密鍵を取り出す。 [0012] In the Web server 1, SSL module 6, and decoded by the secret key of the Web server 1 by the public key encryption system, and client-side secret key by the secret key encryption system, Web server-side secret key by the secret key encryption method the take out. また、SSLモジュール6は、クライアント2から要求されていた提供情報を、秘密鍵暗号方式によるWebサーバ側秘密鍵にて暗号化してクライアント2 In addition, SSL module 6, to provide information that has been requested from the client 2, and encryption on the Web server side secret key by the secret key cryptography client 2
へ送る。 Send to.

【0013】クライアント2において、SSLモジュール8は、秘密鍵暗号方式によるWebサーバ側秘密鍵にて復号化し、提供情報をクライアント2を利用しているユーザに提供する。 [0013] In the client 2, SSL module 8, and decoded by the Web server-side secret key by the secret key encryption method, to provide to the user who is using the client 2 to provide information.

【0014】 [0014]

【発明が解決しようとする課題】しかしながら、上述したようなユーザ認証によってセキュリティを確保した情報提供をしようとするシステムにおいては、上述したようなアクセス制御を行うためWebサーバがSSLモジュールを実装していなければ、その情報提供サービスをクライアントに対して提供することができなかった。 However [0005] In the system to be to provide information that ensures security by user authentication, as described above, Web server for performing access control as described above implements the SSL module if not, it was not possible to provide the information providing service to the client. このため、ファイアウォールは、SSLプロトコルというHTTP(Hypertext transfer p For this reason, the firewall, HTTP that the SSL protocol (Hypertext transfer p
rotocol)以外のプロトコルに準拠したデータを通過させなくてはならなくなるので、セキュリティの低下を招き、信頼性が低下するという問題が発生しうる。 Since not passed through a data conforming to Rotocol) protocols other than not must, cause a decrease in security, a problem that the reliability is lowered may occur.
更に、SSLプロトコルを利用するという条件に併せてWebサーバが提供する既存のコンテンツの内容を変更(制限)しなければならなかった。 In addition, it had to change the contents of an existing content provided by the Web server in conjunction with the condition that the use of the SSL protocol (restriction). 従って、WebサーバにSSLモジュールを実装させなくても機密性の低下を防止し、更にはより一層の外部への情報の漏洩を防止しうるシステムが望まれる。 Thus, even without implementing SSL module to the Web server to prevent the reduction of confidentiality, even the system is desired which can prevent leakage of more information to further outside.

【0015】また、情報提供サーバで利用しているオペレーティングシステム(OS)に対応したアクセス制御モジュールが必要であるため、複数プラットフォームに対応させてWebサーバ側にアクセス制御モジュールを作成しなければならなかった。 Further, since it is necessary to access the control module for the operating system (OS) that is used in the information providing server, you had to create an access control module to the Web server side in correspondence with the multiple platforms It was. また、作成後における設定変更作業も個々に行わなくてはならず面倒であった。 In addition, configuration changes work in after creation was also troublesome must not not be carried out individually.

【0016】また、複数のACサーバが存在する場合、 [0016] In addition, in the case where a plurality of AC server is present,
クライアントは、各ACサーバからのユーザ認証要求に応えるために複数回のユーザ認証用の情報を入力しなければならず、操作が煩雑化する。 The client has to enter information for user authentication for a plurality of times in order to respond to the user authentication request from the AC server, the operation is complicated.

【0017】本発明は、以上のような問題を解決するためになされたものであり、その第1の目的は、情報の機密性を維持しつつ汎用的で簡便な情報提供システムを提供することにある。 The invention, as described above has been made to solve the problems, the first object is to provide a versatile and simple information providing system while maintaining the confidentiality of information It is in.

【0018】また、第2の目的は、情報の機密性をより一層向上させる情報提供システムを提供することにある。 [0018] A second object is to provide a information providing system to further improve the confidentiality of the information.

【0019】 [0019]

【課題を解決するための手段】以上のような目的を達成するために、第1の発明に係る情報提供システムは、ネットワーク全体を内部ネットワークと外部ネットワークとに分割するファイアウォールと、前記内部ネットワークに接続され、情報提供サービスを行う情報提供サーバと、前記外部ネットワークに接続され、情報提供サービスを要求するクライアントと、前記内部ネットワークに接続され、情報提供サービス要求のアクセス制御を行うアクセス制御サーバとを有し、前記クライアントは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行うクライアント側暗号化/復号化処理手段とを有し、前記アクセス制御サーバは、送受信する情報の暗号化/復号化を行うアクセス制御サーバ側暗号化/ In order to achieve the above object, according to the Invention The information providing system according to the first invention, a firewall for dividing the entire network and the internal network and external network, the internal network are connected, and the information providing server for providing information services, which is connected to an external network, and a client requesting information service, is connected to the internal network, and an access control server that performs access control of the information providing service request have the client, and a client-side encryption / decryption processing means for performing encryption / decryption of information transmitted and received between the access control server, the access control server, the information to be transmitted and received access performs encryption / decryption control server-side encryption /
復号化処理手段と、前記クライアントから送られてきた情報提供サービス要求に基づき前記情報提供サーバへのアクセス許可の判定を行うアクセス制御手段と、前記アクセス制御手段がアクセス許可の判定を行う際に使用するユーザ毎のルールが記述されたアクセス制御リストを記憶するアクセス制御リスト記憶手段とを有し、前記クライアントから前記情報提供サーバへ送られる情報に対して前記情報提供サーバへ送られる前にアクセス許可の判定を行うものである。 And decoding means, and access control means for judging permission to the information providing server on the basis of the information providing service request sent from the client, used when the access control means performs determination of permission permission before has an access control list storage means for storing an access control list in which the rules are written for each user, which is sent to the information sent from the client to the information providing server to the information providing server in which a determination is made of.

【0020】第2の発明に係る情報提供システムは、第1の発明において、前記クライアントは、GETメソッドをPOSTメソッドへと変換するGET/POST変換手段を有し、前記アクセス制御サーバは、POSTメソッドをGETメソッドへと逆変換するPOST/GE The information providing system according to the second invention, in the first invention, the client has a GET / POST converting means for converting the GET method to the POST method, the access control server, the POST method the reverse conversion to the GET method POST / GE
T変換手段を有し、前記クライアントと前記情報提供サーバ間の情報交換をハイパーテキストトランスファープロトコルに基づき行わせるものである。 It has a T converter, the information exchange between the said client information providing server is intended to perform based on the Hypertext Transfer Protocol.

【0021】第3の発明に係る情報提供システムは、第1の発明において、前記クライアントは、前記アクセス制御サーバ個々に対応したアクセス制御サーバ用暗号鍵を管理するアクセスサーバリストを記憶するアクセスサーバリスト記憶手段を有し、前記クライアント側暗号化/復号化処理手段は、前記アクセスサーバリストに基づき前記アクセス制御サーバへ送る情報の暗号化を行うものである。 The information providing system according to the third invention, in the first invention, the client may access the server list for storing an access server list that manages the access control server individually encryption key for the access control server corresponding a storage unit, the client-side encryption / decryption processing means is for encrypting information to be transmitted to the access control server based on the access server list.

【0022】第4の発明に係る情報提供システムは、第1の発明において、前記アクセス制御サーバ側暗号化/ The information providing system according to the fourth aspect, in the first aspect, the access control server-side encryption /
復号化処理手段は、前記情報提供サーバとの間で送受信する情報の暗号化/復号化を行うアクセス制御サーバ側ネットワーク暗号化/復号化部を有し、前記情報提供サーバは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行う情報提供サーバ側ネットワーク暗号化/復号化部を有するものである。 Decoding processing means includes an access control server-side network encryption / decryption unit for performing encryption / decryption of information transmitted and received between the information providing server, the information providing server, said access control server and has a information providing server-side network encryption / decryption unit for performing encryption / decryption of information transmitted to and received from the.

【0023】第5の発明に係る情報提供システムは、第1の発明において、前記クライアント側暗号化/復号化処理手段は、暗号化する際に用いる暗号用鍵を変更する暗号用鍵変更部を有するものである。 The fifth information providing system according to the present invention, in the first aspect, the client-side encryption / decryption processing means, the encryption key changing unit for changing the encryption key used when encrypting those having.

【0024】第6の発明に係る情報提供システムは、第1の発明において、前記アクセス制御サーバは、キャッシュを禁止する命令を前記クライアントに送信する情報に付加するキャッシュ禁止情報付加手段を有するものである。 The sixth information providing system according to the present invention, in the first invention, the access control server, those having a cache-inhibited information adding means for adding the information to send a command to prohibit the cache to the client is there.

【0025】第7の発明に係る情報提供システムは、第1の発明において、前記情報提供サーバは、前記アクセス制御サーバを経由して受け取った情報提供用情報を復号化せずに暗号化されたまま提供情報として保持するものである。 The seventh information providing system according to the present invention, in the first invention, the information providing server, encrypted without decrypting the informational information received via the access control server it is to hold as providing information remains.

【0026】第8の発明に係る情報提供システムは、第7の発明において、前記アクセス制御サーバは、前記情報提供サーバからの暗号化された提供情報の復号化を行うネットワーク復号化処理手段を有し、前記アクセス制御サーバ側暗号化/復号化処理手段によりその復号化した提供情報を改めて暗号化した後に前記クライアントに送るものである。 The information providing system according to the eighth invention, in the seventh invention, the access control server, have a network decoding processing means for decoding the encrypted information provided from the information providing server and it is intended to send to the client after again encrypting provide information that decoded by the access control server-side encryption / decryption processing means.

【0027】 [0027]

【発明の実施の形態】以下、図面に基づいて、本発明の好適な実施の形態について説明する。 DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, with reference to the accompanying drawings, a description will be given of a preferred embodiment of the present invention.

【0028】実施の形態1. [0028] Embodiment 1. 図1は、本発明に係る情報提供システムの実施の形態1を示した全体構成図である。 Figure 1 is an overall configuration diagram showing a first embodiment of the information providing system according to the present invention. 図1には、情報提供サービスを行う情報提供サーバとしてのWebサーバ10と、Webサーバ10に対して情報提供サービスの要求やWebサーバ10が管理する公開用情報の提供を行うクライアント20と、Web 1 shows, the Web server 10 as an information providing server for providing information services, the client 20 for providing the public information requests and Web server 10 of the information providing service for managing the Web server 10, Web
サーバ10とクライアント20とを接続したネットワーク3と、ネットワーク3を内部ネットワーク3aと外部ネットワーク3bとに分割するファイアウォール40 A network 3 that connects the server 10 and a client 20, a firewall 40 for dividing the network 3 to the internal network 3a and the external network 3b
と、内部ネットワーク3aでの情報提供サービスのアクセス制御を行うアクセス制御(AC)サーバ30とが示されている。 When the access control for the access control of the information providing services of the internal network 3a (AC) server 30 are shown. Webサーバ10はWWW(World Web server 10 is WWW (World
Wide Web)を搭載したコンピュータ、クライアント20はブラウザを搭載したコンピュータである。 Wide Web) and equipped with a computer, the client 20 is a computer with a browser. また、ファイアウォール40は、例えば、インターネット環境の場合、外部ネットワーク3bの出口に設けられたルータ(ブルータ)等に設定され、ftp,telne Also, a firewall 40 may, for example, the case of the Internet environment, is set like the router provided at the outlet of the external network 3b (brouter), ftp, telne
t,POP3、あるいは、各種プロトコル(例えば、H t, POP3 or, various protocols (eg, H
TTP,HTML,TCP/IPなど)の各ポートを用途に応じて開閉することによってファイアウォール40 Firewall TTP, HTML, by opening and closing depending on the application each port of TCP / IP, etc.) 40
を通過する要求やデータ等を制限するものである。 It restricts the request and data that passes through. なお、本実施の形態の場合にはHTTP用のポートのみが開放されているものとする。 In the case of this embodiment it is assumed that only the port for HTTP is opened.

【0029】図2は、本実施の形態におけるクライアント20のブロック構成図である。 FIG. 2 is a block diagram of the client 20 in the present embodiment. クライアント20は、 The client 20,
アクセス制御(AC)サーバ用暗号鍵取出部21、クライアント側暗号化/復号化部22、暗号用鍵変更部23 Access Control (AC) server cryptographic key takeout section 21, the client-side encryption / decryption unit 22, the encryption key changing unit 23
及びクライアント用復号鍵復号化部24を含みACサーバ30との間で送受信する情報の暗号化/復号化を行うクライアント側暗号化/復号化処理手段、アクセスサーバリスト記憶部25、クライアント側鍵登録部26、及びGET/POST変換部27を搭載したクライアント側情報交換部28を有している。 And client-side encryption / decryption processing means for performing encryption / decryption of information transmitted to and received from the AC server 30 includes a client decryption key decryption unit 24, the access server list storage unit 25, the client-side key registration and a section 26, and GET / POST converter 27 the client-side information exchange unit 28 equipped with. このうち、ACサーバ用暗号鍵取出部21は、ASLを参照してACサーバ3 Among, AC server cryptographic key takeout section 21, AC server 3 with reference to the ASL
0個々に対応するACサーバ用暗号鍵を取り出す。 0 retrieve the encryption key for AC server corresponding to the individual. クライアント側暗号化/復号化部22は、所定の鍵に基づいて情報の暗号化/復号化を行う。 The client-side encryption / decryption unit 22 performs the encryption / decryption of information based on the predetermined key. 暗号用鍵変更部23 Encryption key change unit 23
は、クライアント側暗号化/復号化部22が暗号化する際に用いる暗号用鍵を毎回変更する。 The client-side encryption / decryption unit 22 changes each time the encryption key used when encrypting. クライアント用復号鍵復号化部24は、パスワードにより暗号化済クライアント用復号鍵を復号する。 Client decryption key decryption unit 24 decrypts the decryption key encryption Kasumi client with a password. アクセスサーバリスト記憶部25は、ACサーバ30個々に対応したACサーバ用暗号鍵を管理するアクセスサーバリスト(ASL)を記憶する。 Access server list storage unit 25 stores an access server list (ASL) that manages the encryption key for AC server corresponding to the AC server 30 each. アクセスサーバリストには、管理者等によって予め暗号鍵が各ACサーバ30に対応して設定されている。 Access server list in advance an encryption key is set to correspond to the respective AC server 30 by an administrator or the like. クライアント側鍵登録部26は、クライアント20 The client-side key registration unit 26, the client 20
で用いる鍵を登録するための手段である。 A means for registering the keys used in. クライアント側情報交換部28は、ACサーバ30を介してWebサーバ10と情報交換を行い、GET/POST変換部2 The client-side information exchange unit 28 performs the Web server 10 and the information exchange via the AC server 30, GET / POST converter 2
7は、ACサーバ30へ送信する情報(GETメソッド)をPOSTメソッドへと変換する。 7, information to be transmitted to the AC server 30 (GET method) to convert to the POST method. なお図2においては、情報提供サービス要求時におけるデータの流れを実線矢印で、情報提供時におけるデータの流れを破線矢印でそれぞれ示している。 In FIG. 2, the flow of data at the time of information provision service request by the solid line arrows indicate respectively the flow of data at the time of providing information by the dashed arrows. 図3及び図4においても同様である。 The same applies to FIGS. 3 and 4.

【0030】図3は、本実施の形態におけるACサーバ30のブロック構成図である。 FIG. 3 is a block diagram of an AC server 30 in this embodiment. ACサーバ30は、AC AC server 30, AC
サーバ側暗号化/復号化部31及びACサーバ側ネットワーク暗号化/復号化部32を含み送受信する情報の暗号化/復号化を行うアクセス制御サーバ側暗号化/復号化処理手段、アクセス制御部33、アクセス制御リスト記憶部34、ACサーバ側鍵登録部35、POST/G Server-side encryption / decryption unit 31 and the AC server-side network encryption / access performs encryption / decryption of information to be transmitted and received include a decoding unit 32 controls the server-side encryption / decryption processing means, the access control unit 33 , the access control list storage unit 34, AC server key registration unit 35, POST / G
ET変換部36を搭載したACサーバ側情報交換部3 AC server-side information exchange unit 3 on which the ET conversion unit 36
7、キャッシュ禁止情報付加部38及びACサーバ側ネットワーク通信部39を有している。 7, and a cache-inhibited information adding unit 38 and the AC server-side network communication unit 39. このうち、ACサーバ側暗号化/復号化部31は、クライアント20との間で送受信する情報の暗号化/復号化を行う。 Among, AC server-side encryption / decryption unit 31 performs encryption / decryption of information transmitted to and received from the client 20. ACサーバ側ネットワーク暗号化/復号化部32は、Webサーバ10との間で送受信する情報の暗号化/復号化を行う。 AC server-side network encryption / decryption unit 32 performs the encryption / decryption of information transmitted to and received from the Web server 10. アクセス制御部33は、クライアント20から送られてきた情報提供サービス要求に基づきWebサーバ1 The access control unit 33, Web server 1 on the basis of the information service request sent from the client 20
0へのアクセス許可の判定を行う。 A determination is made of the access permission to 0. アクセス制御リスト記憶部34は、アクセス制御部30がアクセス許可の判定を行う際に使用するユーザ毎のルールが記述されたアクセス制御リスト(ACL)を記憶する。 Access control list storage unit 34, the access control unit 30 stores an access control list rule for each user have been described (ACL) to be used in making the determination of the permission. ACサーバ側鍵登録部35は、ACサーバ30で用いる鍵を登録するための手段である。 AC server key registration unit 35 is a means for registering the key used in the AC server 30. ACサーバ側情報交換部37は、クライアント20と情報交換を行い、POST/GET変換部36は、クライアント20から受信した情報(PO AC server-side information exchange unit 37 performs the client 20 and the information exchange, POST / GET conversion section 36, information received from the client 20 (PO
STメソッド)をGETメソッドへと逆変換する。 ST method) is converted back to a GET method. キャッシュ禁止情報付加部38は、キャッシュを禁止する命令をクライアント20に送信する情報に付加する。 Cache inhibition information adding unit 38 adds the information to send a command to prohibit the cache to the client 20. そして、ACサーバ側ネットワーク通信部39は、Webサーバ10との間で内部ネットワーク3aを介して通信を行う。 Then, AC server-side network communication unit 39 communicates through the internal network 3a between the Web server 10.

【0031】図4は、本実施の形態におけるWebサーバ10のブロック構成図である。 [0031] FIG. 4 is a block diagram of a Web server 10 in the present embodiment. Webサーバ10は、 Web server 10,
情報提供部11、Webサーバ側ネットワーク暗号化/ Information providing unit 11, Web server-side network encryption /
復号化部12及びWebサーバ側ネットワーク通信部1 Decoding unit 12 and the Web server side network communication unit 1
3を有している。 It has three. 情報提供部11は、クライアント20 Information providing unit 11, the client 20
からの正規の情報提供サービス要求に応じて情報の提供を行う。 Perform the provision of information in accordance with the regular information service requests from. Webサーバ側ネットワーク暗号化/復号化部12は、ACサーバ30との間で送受信する情報の暗号化/復号化を行う。 Web server-side network encryption / decryption section 12 performs encryption / decryption of information transmitted to and received from the AC server 30. Webサーバ側ネットワーク通信部13は、ACサーバ30との間で内部ネットワーク3a Web server network communication unit 13, the internal network 3a with the AC server 30
を介して通信を行う。 Communicate over.

【0032】本実施の形態において特徴的なことは、ネットワーク上を通る情報を常に暗号化するようにし、また、提供情報に対するアクセス制御や暗号化鍵、提供情報の漏洩を極力防止できるようにしたことである。 Characteristically in [0032] this embodiment, the information passing over the network to always be encrypted and, access control and encryption key for providing information, and can be prevented as much as possible the leakage of providing information it is. これにより、情報の機密性を維持しつつ情報提供サービスをクライアント20に対して提供することができる。 Thus, it is possible to provide while maintaining the confidentiality of the information providing information services to the client 20. また、Webサーバ10それぞれにSSLモジュールを実装させずにWebサーバ10に対するアクセス制御をA Also, A controls access to Web server 10 without implementing SSL module to the Web server 10, respectively
Cサーバ30に一括して行わせるようにしたことである。 Is that which is adapted to perform collectively to C server 30. これにより、汎用的でかつ簡便な情報提供システムを構築することができる。 Thus, it is possible to construct a generic, and simple information providing system. この本実施の形態における情報提供システムの動作について図5乃至図7に示したフローチャートを用いて説明する。 The operation of the information providing system in this embodiment will be described with reference to the flowchart shown in FIGS. 5-7.

【0033】クライアント20は、図示しない要求入力手段、例えば、キーボードやマウス等からユーザによる入力操作によって情報提供サービス要求の内容を受け付けると(ステップ101)、ACサーバ用暗号鍵取出部21は、その情報提供サービス要求に含まれているAC The client 20 requests input means (not shown), for example, when receiving the contents of the input operation by the information service request by the user from a keyboard, a mouse or the like (step 101), the encryption AC server key takeout section 21, the AC, which is included in the information service request
サーバ名等のACサーバ識別情報に基づきアクセスサーバリストを参照して、そのACサーバ30との通信に使用するACサーバ用暗号鍵を取得する(ステップ10 It refers to the access server list on the basis of the AC server identification information such as the server name, and acquires an encryption key for AC server uses to communicate with its AC server 30 (Step 10
2)。 2). 暗号用鍵変更部23は、ACサーバ30との通信の際に用いる暗号用鍵を取り出して所定の規則に従い変更する(ステップ103)。 Encryption key changing unit 23 takes out the encryption key for use in communication with the AC server 30 to change in accordance with a predetermined rule (step 103). このように、暗号用鍵を使用する度に変更することによってアクセスサーバリストの内容が漏洩している場合でもサービス要求の機密性を維持することができる。 Thus, it is possible to maintain the confidentiality of the service request, even if the content of the access server list by changing each time you use an encryption key is leaked. クライアント側暗号化/復号化部22は、クライアント用暗号鍵と情報提供サービス要求を変更後の暗号用鍵で暗号化し、更にその暗号用鍵をアクセスサーバリストから取り出したACサーバ用暗号鍵で暗号化することによって暗号済情報提供サービス要求を生成する(ステップ104)。 The client-side encryption / decryption unit 22 encrypts the encryption key after changing the encryption key and information service request for the client, further encryption with the encryption key for AC server retrieves the encryption key from the access server list generating an encryption completion information providing service request by (step 104). GET/POST変換部27は、クライアント側暗号化/復号化部22を利用して暗号済情報提供サービス要求をHTTPのGET GET / POST conversion section 27, HTTP of GET cryptographic completion information providing service request using the client-side encryption / decryption unit 22
メソッドからPOSTメソッドへと変換して変換済サービス要求を生成し(ステップ105)、これをACサーバ30へ送る(ステップ106)。 It converted into POST method to generate the converted service request from the method (step 105) and sends it to the AC server 30 (step 106).

【0034】ACサーバ30においてクライアント20 The client 20 in the AC server 30
が送信した上記変換済サービス要求を受け取ると(ステップ201)、POST/GET変換部36は、ACサーバ側暗号化/復号化部31を利用して暗号済情報提供サービス要求へと逆変換する(ステップ202)。 There Upon receipt of the converted service request transmitted (step 201), POST / GET conversion unit 36 ​​uses the AC server-side encryption / decryption unit 31 inversely converted into encrypted completion information providing service request ( step 202). AC AC
サーバ側暗号化/復号化部31は、暗号済情報提供サービス要求から暗号用鍵を取り出し予め保持しているAC Server-side encryption / decryption unit 31, AC held beforehand removed encryption key from the encryption end information providing service request
サーバ用復号鍵で復号し、更に暗号済情報提供サービス要求に含まれているクライアント用暗号鍵と情報提供サービス要求を復号化した暗号用鍵で復号する(ステップ203)。 Decrypted by the decryption key for the server, further decrypted with the encryption key to decrypt the encryption key and information service request for client included in the encryption completion information providing service request (step 203). アクセス制御部33は、アクセスコントロールリストを参照してクラアイント20からの情報提供サービス要求がユーザ毎のルールに従っているかどうかのチェックを行うことでクライアント20のWebサーバ10へのアクセス許可の判定を行う(ステップ20 The access control unit 33, information service requests from Kuraainto 20 refers to the access control list and determines access to the Web server 10 of the client 20 by a check is made whether conform to the rules for each user ( step 20
4)。 4). ここで、アクセス不可と判定されれば、クライアント20は、Webサーバ10へのアクセスができないこととなるため、不当なクライアントによるWebサーバ10へのアクセス、すなわち正当でない者への情報の提供を未然に防止することができる。 Here, if it is determined inaccessible, the client 20, since the inability to access the Web server 10, advance access to the Web server 10 by malicious client, i.e. to provide information to the person who is not a legitimate it is possible to prevent the. なお、Webサーバ10へのアクセスを許可しないと判定した場合、その旨をクライアント20へ送信する。 Incidentally, if it is determined not to allow access to the Web server 10, it transmits the detection to the client 20.

【0035】Webサーバ10へのアクセスが許可された場合、ACサーバ側ネットワーク暗号化/復号化部3 [0035] If access to the Web server 10 is authorized, AC server-side network encryption / decryption section 3
2は、内部で復号化した情報提供サービス要求を再度暗号化する(ステップ205)。 2 encrypts the information service request decrypted inside again (step 205). そして、ACサーバ側ネットワーク通信部39は、暗号化された情報提供サービス要求をWebサーバ10へ送る(ステップ206)。 Then, AC server-side network communication unit 39 sends the encrypted information service request to the Web server 10 (step 206).

【0036】Webサーバ10においてWebサーバ側ネットワーク暗号化/復号化部12は、Webサーバ側ネットワーク通信部13を介してACサーバ30から送られてきた情報提供サービス要求を受け取ると(ステップ301)、情報提供サービス要求を復号化して情報提供部11へ渡す(ステップ302)。 [0036] Web server side network encryption / decryption unit 12 in the Web server 10 receives the information service request sent from the AC server 30 via the Web server side network communication unit 13 (step 301), It decodes the information service request passed to the information providing unit 11 (step 302). 情報提供部11 Information providing unit 11
は、受け取った情報提供サービス要求に基づいて所定の公開用情報データベース等からその要求に応じた提供情報を取得し、Webサーバ側ネットワーク暗号化/復号化部12へ渡す(ステップ303)。 , Based on the received information provision service request acquires provide information in response to the request from a predetermined public information database or the like, passing to the Web server side network encryption / decryption unit 12 (step 303). Webサーバ側ネットワーク暗号化/復号化部12は、その提供情報を暗号化する(ステップ304)。 Web server-side network encryption / decryption unit 12 encrypts the provided information (step 304). そして、Webサーバ側ネットワーク通信部13は、暗号化された提供情報をA Then, Web server network communication unit 13, a providing information encrypted A
Cサーバ30へ送る(ステップ305)。 Sent to C server 30 (step 305).

【0037】ACサーバ30において、ACサーバ側ネットワーク暗号化/復号化部32は、ACサーバ側ネットワーク通信部39を介してWebサーバ10から送られてきた提供情報を受け取ると(ステップ207)、提供情報を復号化してACサーバ側暗号化/復号化部31 [0037] In AC server 30, AC server-side network encryption / decryption unit 32 receives the provided information transmitted from the Web server 10 via the AC server network communication unit 39 (step 207), provides AC server encrypted decrypting information / decoding section 31
へ渡す(ステップ208)。 To pass (step 208). ACサーバ側暗号化/復号化部31は、提供情報を暗号用鍵で暗号化すると共に暗号用鍵をクライアント用暗号鍵で暗号化して暗号済提供情報を生成する(ステップ209)。 AC server-side encryption / decryption unit 31 encrypts the encryption key with the encryption key for the client as well as encrypted with the encryption key to provide information for generating an encryption already provided information (step 209). キャッシュ禁止情報付加部38は、生成された暗号済提供情報にクライアント20におけるブラウザが理解しうるキャッシュ禁止命令を記述することで付加し(ステップ210)、AC Cache inhibition information adding section 38, the generated cryptographic already provided information added by the browser at the client 20 to describe a cache injunction capable of understanding (step 210), AC
サーバ側情報交換部37は、この暗号済提供情報を要求送信元のクライアント20へ送る(ステップ211)。 Server-side information exchange unit 37 sends the encryption already provided information to request transmission source client 20 (step 211).
このように、キャッシュ禁止命令を付加することによってクライアント20側における復号化された提供情報の漏洩防止を促進させることができる。 Thus, it is possible to facilitate the prevention of leakage provides information decoded in the client 20 side by adding the cache injunction.

【0038】クライアント20においてACサーバ30 [0038] AC server 30 in the client 20
が送信した暗号化済提供情報を受け取ると(ステップ1 There receives the transmitted encrypted already provided information (Step 1
07)、クライアント用復号鍵復号化部24は、保持している暗号化された暗号済クライアント用復号鍵を所定のパスワードによって復号化することでクライアント用復号鍵を取得する(ステップ108)。 07), the client decryption key decryption unit 24 acquires the client decryption key by decrypting the holding to encrypted encryption already client for decryption key is the predetermined password (step 108). クライアント側暗号化/復号化部22は、クライアント用復号鍵復号化部24が復号化したクライアント用復号鍵で暗号化済提供情報に含まれている暗号用鍵を復号化し、この復号化した暗号用鍵で提供情報を復号化する(ステップ10 The client-side encryption / decryption unit 22 decrypts the encryption key that the client decryption key decryption unit 24 is included in the decrypted encrypted already provided information on the decoding keys for the client, and the decoded encryption decoding the provided information with use key (step 10
9)。 9). このようにして、クライアント20は、提供情報を取得すると、サービス要求をしたユーザに情報を提供することができる。 In this way, the client 20 may provide acquires the provided information, an information to the user in which the service request.

【0039】本実施の形態によれば、ネットワーク上を流れる情報には、常に暗号化をすることにより情報の漏洩を防止することができる。 According to the present embodiment, the information flowing on the network can always prevent the leakage of information by encryption. また、クライアント20とACサーバ30との間での情報交換をHTTPプロトコルを用いて行うことができるようにしたので、HTTP Further, since the information exchange between the client 20 and the AC server 30 and can be performed using the HTTP protocol, HTTP
のみを通すようなポート設定をファイアウォール40にすることが可能であり、Webサーバ10の環境をSS It is possible to port settings, such as to pass through only the firewall 40, the environment of the Web server 10 SS
Lプロトコルに準拠するよう変更しなくても現在使用しているコンテンツをそのまま使うことができる。 It is not necessary to change to comply with the L protocol can be used as it is the content that you are currently using.

【0040】実施の形態2. [0040] Embodiment 2. 本実施の形態は、上記実施の形態1と異なりRSAアルゴリズムに代表される公開鍵暗号方式を用いたことを特徴としている。 This embodiment is characterized by using a public key encryption scheme as typified by the RSA algorithm differs from the first embodiment. 本実施の形態におけるシステム構成は、上記実施の形態1とほぼ同様であり、扱いの鍵の種類が異なるだけである。 System configuration of this embodiment is substantially the same as the first embodiment, only difference is the type of treatment of the key.

【0041】より具体的に言うと、クライアント20及びACサーバ30は、それぞれ情報を暗号化するために用いるクライアント用暗号鍵の代わりにクライアント用公開鍵を用いる。 [0041] When more specifically, the client 20 and AC server 30 uses the client public key instead of the encryption key for the client to be used to encrypt the information, respectively. すなわち、ステップ209においてA Ie, A in step 209
Cサーバ側暗号化/復号化部31は、クライアント用暗号鍵の代わりにクライアント用公開鍵で暗号用鍵を暗号化することになる。 C server-side encryption / decryption unit 31 would encrypt the encryption key with the public key for the client instead of the encryption key for the client. これに伴い、ステップ108においてクライアント用復号鍵復号化部24は、暗号済クライアント用復号鍵からクライアント用復号鍵を取得する代わりに暗号済クライアント用秘密鍵からクライアント用秘密鍵を取得することになる。 Accordingly, the client decryption key decryption unit 24 at step 108, will retrieve the private key for the client from the private key encryption already client instead of obtaining the client decryption key from the decryption key encryption already client . また、アクセスサーバリストには、ACサーバ用暗号鍵の代わりにACサーバ用公開鍵が登録されることになる。 In addition, to access the server list will be for AC server public key instead of the encryption key for the AC server is registered. これにより、ステップ104においてクライアント側暗号化/復号化部22 Thus, the client-side encrypted in step 104 / decoding section 22
は、暗号用鍵をACサーバ用暗号鍵の代わりにACサーバ用公開鍵で暗号化することになる。 It will be encrypted with the public key for AC server instead of the encryption key for AC server encryption key. これに伴い、ステップ203においてACサーバ側暗号化/復号化部31 Accordingly, AC server-side encryption / decryption unit 31 at step 203
は、受け取った暗号済情報提供サービス要求に含まれている暗号用鍵をACサーバ用復号鍵の代わりにACサーバ用秘密鍵で復号することになる。 It would decode the received encryption key contained in the cipher completion information providing service request with a private key for AC server instead of the decryption key for the AC server.

【0042】このように、公開鍵暗号方式を用いた場合でも本発明に係る情報提供システムを適用することができる。 [0042] can thus, apply the information providing system according to the present invention even when using a public key cryptosystem.

【0043】実施の形態3. [0043] Embodiment 3. 上記各実施の形態では、クライアント20からの情報提供の要求に対してアクセス制御を行った後に情報の提供を行う処理について説明した。 In the above embodiments were described process for providing information after performing an access control for the request for providing information from the client 20. 本実施の形態では、情報提供サービス要求ではなくクライアント20が情報提供用の情報をWebサーバ1 In the present embodiment, information service Web server 1 information client 20 for providing information rather than request
0へ送る際の処理について説明する。 It will be described the process for sending to 0. 但し、扱う情報が上記各実施の形態における情報提供サービス要求という情報ではなく情報提供用情報であるという点が異なるものの、クライアント20及びACサーバ30が行う処理手順については、ほぼ前述した処理と同じであるため説明は省略する。 However, although that handle information is information for providing information rather than information that the information providing service request in the above embodiments are different, the processing procedure of the client 20 and the AC server 30 performs the same substantially the process described above description because it is will be omitted. Webサーバ10における処理については、図8に示したフローチャートを用いて説明する。 The processing in the Web server 10 will be described with reference to the flowchart shown in FIG.

【0044】Webサーバ10においてWebサーバ側ネットワーク暗号化/復号化部12は、Webサーバ側ネットワーク通信部13を介してACサーバ30から送られてきた暗号化された情報提供用情報を受け取ると(ステップ311)、それを復号化せずに暗号化されたままの状態で情報提供部11へ渡す(ステップ31 [0044] Web server side network encryption / decryption unit 12 in the Web server 10 receives the encrypted information provided for information sent from the AC server 30 via the Web server side network communication section 13 ( step 311), passing in a state of being encrypted to the information providing unit 11 without decrypting it (step 31
2)。 2). 情報提供部11は、受け取った情報提供用情報を提供情報として所定の公開用情報データベース等の所定の格納場所に保持する(ステップ313)。 Information providing unit 11 holds the provided information the received information providing information on a predetermined storage location such as a predetermined public information database (step 313). このように、本実施の形態によれば、所定の者に対する公開用情報を暗号化されたままの状態で保持しておくことで、正当でない者が提供情報を取得した場合でも解読することができず、結果として情報の漏洩を防止することができる。 Thus, according to the present embodiment, it is held in a state in which the public information encrypted for a given person, be decrypted even if the person who is not a legitimate acquires the provided information can not, it is possible to prevent the resulting information leakage.

【0045】ここで、Webサーバ10は、図7に示した上記実施の形態1における処理と同様にして暗号化された情報提供サービス要求を受け取ると(ステップ30 [0045] Here, Web server 10 receives the information service request is encrypted in the same manner as the process in the first embodiment shown in FIG. 7 (Step 30
1)、情報提供サービス要求を復号化して情報提供部1 1), and decodes the information service request information providing unit 1
1へ渡し、(ステップ302)。 Pass to 1, (step 302). 情報提供部11は、その要求に応じて提供情報を取得する(ステップ30 Information providing unit 11 obtains the provided information in response to the request (Step 30
3)。 3). この取得した提供情報は、上述したとおり暗号化されまままである。 The obtained provided information is to remain encrypted as described above. Webサーバ側ネットワーク通信部13は、その提供情報をACサーバ30へ送る(ステップ305)。 Web server network communications unit 13 sends the provided information to the AC server 30 (step 305). すなわち、本実施の形態では、図7においてステップ304の処理を行わないことになる。 That is, in this embodiment, will not perform the process of step 304 in FIG.

【0046】ACサーバ30において、ネットワーク復号化処理手段としてのACサーバ側ネットワーク暗号化/復号化部32は、図6に示したようにACサーバ側ネットワーク通信部39を介してWebサーバ10から送られてきた提供情報を受け取ると、提供情報を復号化してACサーバ側暗号化/復号化部31へ渡し、更にその提供情報は改めて暗号化された後にクライアント20へ送られることになるが、この詳細な処理は、実施の形態1と同じになるので説明を省略する。 [0046] In AC server 30, AC server-side network encryption / decryption unit 32 as a network decoding processing means, feed from the Web server 10 via the AC server network communication unit 39 as shown in FIG. 6 Upon receiving the advertisements that have been, passing by decoding the provided information to the AC server encryption / decryption unit 31, but further results in the advertisements sent to the client 20 after being again encrypted, this detailed processing is omitted since the same as in the first embodiment. このように、本実施の形態によれば、暗号化したまま提供情報を保持していても正当な者に対しては、情報の提供を行うことができる。 Thus, according to this embodiment, for the legitimate person also holds the provided information remains encrypted, it is possible to provide the information.

【0047】 [0047]

【発明の効果】本発明によれば、外部ネットワーク上を通る情報提供サービス要求を常に暗号化するようにしたので、その要求の内容の漏洩を防止することができる。 According to the present invention, since so as to always encrypted information providing service requests passing over the external network, it is possible to prevent leakage of the contents of the request.
また、提供情報をも常に暗号化するようにしたので、その情報の漏洩を防止することができる。 Moreover, since so as to always encrypted also provide information, it is possible to prevent the leakage of the information. また、アクセス制御サーバにアクセス制御手段を設けたので、情報提供サーバにアクセス制御機能を設けなくても特定の者からのみの情報提供要求を受け付けることができる。 Further, since there is provided an access control means to the access control server, without providing access control function to the information providing server can accept only information providing request from the specific person. つまり、情報提供サーバの設定変更作業が容易となり、また、情報の機密性を維持しつつ情報提供サービスをクライアントに対して提供することができる。 That is, setting change operations of the information providing server is facilitated and also, the information providing service while maintaining the confidentiality of information can be provided to the client.

【0048】また、クライアントと情報提供サーバ間の情報交換をHTTPプロトコルによって行うことができるようにしたので、HTTPのみを通すようなポート設定をファイアウォールにすることが可能となる。 [0048] Furthermore, since the exchange of information between the client and the information providing server and can be performed by the HTTP protocol, it is possible to the port set as pass only HTTP firewall. このため、情報提供サーバの環境をSSLプロトコルに準拠するよう変更しなくても現在使用しているコンテンツをそのまま使うことができる。 Therefore, without changing to conform the information providing server environment SSL protocol may be used as the content being currently used.

【0049】また、複数のアクセス制御サーバそれぞれに対応するアクセス制御サーバ用暗号鍵を管理するアクセスサーバリストを設けたので、アクセス制御サーバ用暗号鍵を取り出して暗号化を行う複数のアクセス制御サーバがネットワークに接続されている場合にも、ユーザの認証用情報の入力を一度で済ませることができる。 [0049] Further, since there is provided an access server list for managing encryption keys for the access control server corresponding to a plurality of access control server, retrieves the encryption key for the access control server plurality of access control server to encrypt when connected to the network can also be finished to input authentication information of the user at once.

【0050】また、内部ネットワークを通る情報を常に暗号化するようにしたので、その情報の内容の漏洩を防止することができる。 [0050] Further, since the information through the internal network always to be encrypted, it is possible to prevent leakage of the contents of the information.

【0051】また、アクセス制御サーバとクライアントとの間の通信の際に用いる暗号用鍵を変更できるようにしたので、暗号用鍵の解読による情報の漏洩を未然に防止することができる。 [0051] Further, since to be able to change the encryption key to be used in the communication between the access control server and the client, it is possible to prevent the leakage of information by decrypting the encryption key in advance.

【0052】また、クライアントへ送る提供情報にキャッシュ禁止命令を付加することによってクライアント側において復号化された提供情報の漏洩防止を促進させることができる。 [0052] Further, it is possible to promote the prevention of leakage provides information decoded at the client side by adding the cache injunction to provide information to be sent to the client.

【0053】また、情報提供サーバにおいて提供するための情報を暗号化されたままの状態で保持しておくようにしたので、正当でない者が情報提供サーバから何らかの手段により提供情報を取得した場合でも解読することができず、結果として情報の漏洩を未然に防止することができる。 [0053] Also, the information for providing the information providing server since so holds in a state encrypted, even if the person who is not a legitimate acquires the provided information by some means from the information providing server can not be decrypted, resulting in the leakage of information can be prevented.

【0054】更に、提供情報が暗号化されたままの状態で保持されていてもアクセス制御サーバへその提供情報が送られた際にアクセス制御サーバにおいて復号化するようにしたので、正当なクライアントは、提供情報を正常に受け取ることができる。 [0054] Furthermore, since the advertisement has to be decoded at the access control server when the provided information to be the access control server is held in a state of being encrypted is sent, legitimate client You can receive normally an advertisement.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】 本発明に係る情報提供システムの実施の形態1を示した全体構成図である。 1 is an overall configuration diagram showing a first embodiment of the information providing system according to the present invention.

【図2】 実施の形態1におけるクライアントのブロック構成図である。 2 is a block diagram of a client in the first embodiment.

【図3】 実施の形態1におけるアクセス制御サーバのブロック構成図である。 3 is a block diagram of an access control server in the first embodiment.

【図4】 実施の形態1におけるWebサーバのブロック構成図である。 4 is a block diagram of a Web server in the first embodiment.

【図5】 実施の形態1においてクライアントにおける処理を示したフローチャートである。 5 is a flowchart showing a process in the client in the first embodiment.

【図6】 実施の形態1においてアクセス制御サーバにおける処理を示したフローチャートである。 6 is a flowchart showing a process in the access control server in the first embodiment.

【図7】 実施の形態1においてWebサーバにおける処理を示したフローチャートである。 It is a flowchart showing a process in the Web server in FIG. 7 in the first embodiment.

【図8】 実施の形態3においてWebサーバにおける処理を示したフローチャートである。 Is a flowchart showing a process in the Web server in FIG. 8 embodiment 3.

【図9】 従来の情報提供システムの全体構成図である。 9 is an overall configuration diagram of a conventional information providing system.

【符号の説明】 DESCRIPTION OF SYMBOLS

3 ネットワーク、3a 内部ネットワーク、3b 外部ネットワーク、10Webサーバ、11 情報提供部、12 Webサーバ側ネットワーク暗号化/復号化部、13 Webサーバ側ネットワーク通信部、20 3 Network, 3a internal network, 3b external network, 10Web server, 11 information providing unit, 12 Web server side network encryption / decryption unit, 13 Web server side network communication unit, 20
クライアント、21 アクセス制御(AC)サーバ用暗号鍵取出部、22 クライアント側暗号化/復号化部、 Client 21 access control (AC) encryption key extraction unit for the server, 22 client-side encryption / decryption unit,
23 暗号用鍵変更部、24 クライアント用復号鍵復号化部、25 アクセスサーバリスト記憶部、26 クライアント側鍵登録部、27 GET/POST変換部、28 クライアント側情報交換部、30 アクセス制御(AC)サーバ、31 ACサーバ側暗号化/復号化部、32 ACサーバ側ネットワーク暗号化/復号化部、33 アクセス制御部、34 アクセス制御リスト記憶部、35 ACサーバ側鍵登録部、36 POST Key change unit for 23 encryption, decryption key decryption unit for 24 client 25 accesses the server list storage section, 26 the client-side key registration unit, 27 GET / POST conversion unit, 28 the client-side information exchange unit, 30 an access control (AC) server, 31 AC server-side encryption / decryption unit, 32 AC server-side network encryption / decryption unit, 33 an access control unit, 34 access control list storage unit, 35 AC server key registration unit, 36 POST
/GET変換部、37ACサーバ側情報交換部、38 / GET conversion unit, 37Ac server-side information exchange unit, 38
キャッシュ禁止情報付加部、39 ACサーバ側ネットワーク通信部、40 ファイアウォール。 Cache inhibition information adding unit, 39 AC server network communication unit, 40 a firewall.

Claims (8)

    【特許請求の範囲】 [The claims]
  1. 【請求項1】 ネットワーク全体を内部ネットワークと外部ネットワークとに分割するファイアウォールと、 前記内部ネットワークに接続され、情報提供サービスを行う情報提供サーバと、 前記外部ネットワークに接続され、情報提供サービスを要求するクライアントと、 前記内部ネットワークに接続され、情報提供サービス要求のアクセス制御を行うアクセス制御サーバと、 を有し、 前記クライアントは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行うクライアント側暗号化/復号化処理手段とを有し、 前記アクセス制御サーバは、 送受信する情報の暗号化/復号化を行うアクセス制御サーバ側暗号化/復号化処理手段と、 前記クライアントから送られてきた情報提供サービス要求に基づき前記情報提供サー And 1. A firewall that divides the entire network and the internal network and the external network is connected to the internal network, and the information providing server for providing information services, is connected to the external network, requesting the information providing service and the client is connected to the internal network, it has an access control server that performs access control of the information providing service request, and the client, the encryption / decryption of information transmitted and received between the access control server and a client-side encryption / decryption processing means for performing the access control server, the access control server-side encryption / decryption processing means for performing encryption / decryption of information to be transmitted and received, transmitted from the client the information providing server on the basis of the information service request has been へのアクセス許可の判定を行うアクセス制御手段と、 前記アクセス制御手段がアクセス許可の判定を行う際に使用するユーザ毎のルールが記述されたアクセス制御リストを記憶するアクセス制御リスト記憶手段と、 を有し、前記クライアントから前記情報提供サーバへ送られる情報に対して前記情報提供サーバへ送られる前にアクセス許可の判定を行うことを特徴とする情報提供システム。 And access control means for judging permission to the access control list storage means for storing an access control list rule for each user is described that the access control means uses to make a determination of permission, the have the information providing system characterized in that a determination of access permission before the information sent to the information providing server from the client is sent to the information providing server.
  2. 【請求項2】 前記クライアントは、GETメソッドをPOSTメソッドへと変換するGET/POST変換手段を有し、 前記アクセス制御サーバは、POSTメソッドをGET Wherein said client includes a GET / POST converting means for converting the GET method to the POST method, the access control server, GET POST method
    メソッドへと逆変換するPOST/GET変換手段を有し、前記クライアントと前記情報提供サーバ間の情報交換をハイパーテキストトランスファープロトコルに基づき行わせることを特徴とする請求項1記載の情報提供システム。 Has a POST / GET conversion means for inverse converting to the method, the information providing system according to claim 1, characterized in that the information exchange between the said client information providing server takes place on the basis of the Hypertext Transfer Protocol.
  3. 【請求項3】 前記クライアントは、前記アクセス制御サーバ個々に対応したアクセス制御サーバ用暗号鍵を管理するアクセスサーバリストを記憶するアクセスサーバリスト記憶手段を有し、 前記クライアント側暗号化/復号化処理手段は、前記アクセスサーバリストに基づき前記アクセス制御サーバへ送る情報の暗号化を行うことを特徴とする請求項1記載の情報提供システム。 Wherein the client, the access control server individually has access server list storage means for storing an access server list for managing access control server cryptographic key corresponding, the client-side encryption / decryption processing It means the information providing system according to claim 1, characterized in that for encrypting information to be transmitted to the access control server based on the access server list.
  4. 【請求項4】 前記アクセス制御サーバ側暗号化/復号化処理手段は、前記情報提供サーバとの間で送受信する情報の暗号化/復号化を行うアクセス制御サーバ側ネットワーク暗号化/復号化部を有し、 前記情報提供サーバは、前記アクセス制御サーバとの間で送受信する情報の暗号化/復号化を行う情報提供サーバ側ネットワーク暗号化/復号化部を有することを特徴とする請求項1記載の情報提供システム。 Wherein said access control server side encryption / decryption processing means, the access control server-side network encryption / decryption unit for performing encryption / decryption of information transmitted and received between the information providing server a, wherein the information providing server according to claim 1, characterized in that it has information providing server-side network encryption / decryption unit for performing encryption / decryption of information transmitted and received between the access control server information providing system.
  5. 【請求項5】 前記クライアント側暗号化/復号化処理手段は、暗号化する際に用いる暗号用鍵を変更する暗号用鍵変更部を有することを特徴とする請求項1記載の情報提供システム。 Wherein said client-side encryption / decryption processing means, the information providing system according to claim 1, characterized in that it comprises an encryption key changing unit for changing the encryption key used when encrypting.
  6. 【請求項6】 前記アクセス制御サーバは、キャッシュを禁止する命令を前記クライアントに送信する情報に付加するキャッシュ禁止情報付加手段を有することを特徴とする請求項1記載の情報提供システム。 Wherein said access control server, the information providing system according to claim 1, characterized in that it comprises a cache-inhibited information adding means for adding the information to send a command to prohibit the cache to the client.
  7. 【請求項7】 前記情報提供サーバは、前記アクセス制御サーバを経由して受け取った情報提供用情報を復号化せずに暗号化されたまま提供情報として保持することを特徴とする請求項1記載の情報提供システム。 Wherein said information providing server according to claim 1, wherein the holding as providing information remains encrypted without decrypting the informational information received via the access control server information providing system.
  8. 【請求項8】 前記アクセス制御サーバは、前記情報提供サーバからの暗号化された提供情報の復号化を行うネットワーク復号化処理手段を有し、前記アクセス制御サーバ側暗号化/復号化処理手段によりその復号化した提供情報を改めて暗号化した後に前記クライアントに送ることを特徴とする請求項7記載の情報提供システム。 Wherein said access control server, a network decoding processing means for decoding the encrypted information provided from the information providing server, by the access control server-side encryption / decryption processing means information providing system according to claim 7, wherein the sending to the client after again encrypts the decrypted information provided.
JP25043597A 1997-09-16 1997-09-16 Information providing system Expired - Lifetime JP3877388B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP25043597A JP3877388B2 (en) 1997-09-16 1997-09-16 Information providing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP25043597A JP3877388B2 (en) 1997-09-16 1997-09-16 Information providing system

Publications (2)

Publication Number Publication Date
JPH1188436A true true JPH1188436A (en) 1999-03-30
JP3877388B2 JP3877388B2 (en) 2007-02-07

Family

ID=17207844

Family Applications (1)

Application Number Title Priority Date Filing Date
JP25043597A Expired - Lifetime JP3877388B2 (en) 1997-09-16 1997-09-16 Information providing system

Country Status (1)

Country Link
JP (1) JP3877388B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003513514A (en) * 1999-10-22 2003-04-08 ノマディックス インコーポレイテッド Authorization of dynamic network, systems and methods for providing authentication, and accounts
US7308413B1 (en) * 1999-05-05 2007-12-11 Tota Michael J Process for creating media content based upon submissions received on an electronic multi-media exchange
EP2112801A1 (en) 2008-04-21 2009-10-28 Fujitsu Ltd. Packet transfer controlling apparatus and packet transfer controlling method
JP4921966B2 (en) * 2003-04-25 2012-04-25 アップル インコーポレイテッド A method and system for secure network-based content delivery
US9477665B2 (en) 1999-05-05 2016-10-25 Virtual Creative Artists, LLC Revenue-generating electronic multi-media exchange and process of operating same
US9548935B2 (en) 1998-12-08 2017-01-17 Nomadix, Inc. Systems and methods for providing content and services on a network system

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9548935B2 (en) 1998-12-08 2017-01-17 Nomadix, Inc. Systems and methods for providing content and services on a network system
US9501480B2 (en) 1999-05-05 2016-11-22 Virtual Creative Artists, LLC Revenue-generating electronic multi-media exchange and process of operating same
US9477665B2 (en) 1999-05-05 2016-10-25 Virtual Creative Artists, LLC Revenue-generating electronic multi-media exchange and process of operating same
US7308413B1 (en) * 1999-05-05 2007-12-11 Tota Michael J Process for creating media content based upon submissions received on an electronic multi-media exchange
JP2003513514A (en) * 1999-10-22 2003-04-08 ノマディックス インコーポレイテッド Authorization of dynamic network, systems and methods for providing authentication, and accounts
JP4921966B2 (en) * 2003-04-25 2012-04-25 アップル インコーポレイテッド A method and system for secure network-based content delivery
EP2112801A1 (en) 2008-04-21 2009-10-28 Fujitsu Ltd. Packet transfer controlling apparatus and packet transfer controlling method
US7995579B2 (en) 2008-04-21 2011-08-09 Fujitsu Limited Packet transfer controlling apparatus and packet transfer controlling method

Also Published As

Publication number Publication date Type
JP3877388B2 (en) 2007-02-07 grant

Similar Documents

Publication Publication Date Title
Peyravian et al. Methods for protecting password transmission
Oppliger Internet security: firewalls and beyond
US6263432B1 (en) Electronic ticketing, authentication and/or authorization security system for internet applications
US6834112B1 (en) Secure distribution of private keys to multiple clients
US5418854A (en) Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US6643774B1 (en) Authentication method to enable servers using public key authentication to obtain user-delegated tickets
US6424718B1 (en) Data communications system using public key cryptography in a web environment
Haller et al. On internet authentication
Park et al. Secure cookies on the Web
US5719938A (en) Methods for providing secure access to shared information
US7155616B1 (en) Computer network comprising network authentication facilities implemented in a disk drive
US20020194473A1 (en) Method and apparatus for transmitting authentication credentials of a user across communication sessions
US20040143730A1 (en) Universal secure messaging for remote security tokens
US6826686B1 (en) Method and apparatus for secure password transmission and password changes
US20030217148A1 (en) Method and apparatus for LAN authentication on switch
US7370351B1 (en) Cross domain authentication and security services using proxies for HTTP access
US6985953B1 (en) System and apparatus for storage and transfer of secure data on web
US20040199768A1 (en) System and method for enabling enterprise application security
US7444666B2 (en) Multi-domain authorization and authentication
US20060225132A1 (en) System and Method of Proxy Authentication in a Secured Network
US20050154889A1 (en) Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol
US7644275B2 (en) Pass-thru for client authentication
US20040260921A1 (en) Cryptographic method, system and engine for enciphered message transmission
US20030237005A1 (en) Method and system for protecting digital objects distributed over a network by electronic mail
US20040143738A1 (en) System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040506

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040506

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060418

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060615

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060725

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060919

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20060927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061031

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061031

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091110

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101110

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111110

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121110

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121110

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131110

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term