[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2004348202A - Data relaying system with method control function of http request and method for controlling same - Google Patents

Data relaying system with method control function of http request and method for controlling same Download PDF

Info

Publication number
JP2004348202A
JP2004348202A JP2003141436A JP2003141436A JP2004348202A JP 2004348202 A JP2004348202 A JP 2004348202A JP 2003141436 A JP2003141436 A JP 2003141436A JP 2003141436 A JP2003141436 A JP 2003141436A JP 2004348202 A JP2004348202 A JP 2004348202A
Authority
JP
Japan
Prior art keywords
url
http request
client
data relay
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003141436A
Other languages
Japanese (ja)
Other versions
JP4524492B2 (en
Inventor
Kazuhiro Moriya
和浩 森谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NETSTAR Inc
Original Assignee
NETSTAR Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NETSTAR Inc filed Critical NETSTAR Inc
Priority to JP2003141436A priority Critical patent/JP4524492B2/en
Publication of JP2004348202A publication Critical patent/JP2004348202A/en
Application granted granted Critical
Publication of JP4524492B2 publication Critical patent/JP4524492B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a data relaying system which can prevent illegal writing only for information resources of a specific web system or leakage of information. <P>SOLUTION: The data relaying system relays communication data between a client and a WWW server. The data relaying system includes a URL database for storing URL information group of each WWW server, a means for registering identification information showing whether method specified by HTTP is allowed to be used or not as method control information corresponding to the URL stored in the URL database, and a means for controlling the use of the method of the HTTP request at each URL at an access destination by inhibiting the HTTP request if the method is to be controlled and the URL is to be regulated by deciding whether the URL of the access destination is the URL to be regulated or not base on the URL database and the method control information at receiving the HTTP request to the WWW server. In the case of the method to be controlled and the URL to be specified, the HTTP request is not permitted. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、プロキシサーバ等のデータ中継装置を通過するHTTP(Hyper Text Transfer Protocol)リクエストで使用されるメソッドを制御する機能を有するデータ中継システム、及びそのメソッド制御方法に関する。
【0002】
【従来の技術】
インターネットを利用して各種のサービスを提供するウェブ(Web)システムは、不特定多数の人が利用できるという利便性がある反面、悪意を持った者によって不当な情報が書込まれて迷惑をこうむったり、機密情報が漏洩して被害をこうむったりするなど、外部システムと接続しない閉鎖型のシステムと比較して、セキュリティ面で問題が発生しやすいという問題がある。このようなセキュリティ上の問題を解決するために、近年、インターネットの標準化組織であるIETF(Internet Engineering Task Force)によって標準化された暗号化技術や本人認証技術を用いて、通信内容の解読を困難にしたり、改竄されていないことを検出したりする機能を取入れたシステムが開発され、一部のASP(Application Service Provider)等によって提供されている。また、その他に、独自のアルゴリズムでセキュリティを強化するようにしたものも、数多く提案されている。
【0003】
電子メールのセキュリティを確保するようにしたシステムとしては、例えば、LAN(ローカルエリアネットワーク)上のメールサーバとインターネットとの間に、電子メールが改竄されていないかどうかを検査する手段を備えたプロキシ装置を設け、改竄されている場合には電子メールの受信を拒否することで、改竄された電子メールがLAN内に入ることを防止するようにしたものがある(例えば特許文献1を参照)。また、電子掲示板において迷惑な発言が書き込まれるのを防止するようにしたシステムとしては、例えば、予め登録された禁止語句リストをもとに、迷惑な発言(語句)があるかどうかを判定する手段を備え、迷惑な発言があると判定した場合は、その発言を非表示にするようにしたものがある。また、迷惑な発言と誤って判定した場合を考慮して、電子掲示板の管理者が、保存された非表示及び表示の発言文書の一覧を見て、必要と思われる場合には非表示か表示かの扱いを変更できるようにしたものがある(例えば特許文献2を参照)。
【0004】
【特許文献1】
特開2002−24147号公報
【特許文献2】
特開2002−82869号公報
【0005】
【発明が解決しようとする課題】
上述した電子メールのセキュリティシステムでは、改竄された電子メールがLAN内に入ることを防止することはできるが、改竄自体を防止することができないため、結果としては被害をこうむることになる。また、上述した、電子掲示板のセキュリティシステムでは、迷惑な発言と判定した情報の表示を回避することはできるが、迷惑な発言かどうかは、語句だけでは判断がつかないことが多いと考えられる。
【0006】
ところで、電子メールシステムや電子掲示板システム(以下、それぞれWebメールシステム、Web掲示板システムとする)などのWebシステムにおいては、HTTPで規定されたメソッド(POSTメソッドあるいはPUTメソッド)を使用しているため、特定のメソッドを制御することによって、情報の書込みを規制することが考えられる。しかし、この場合は、全てのインターネット上、イントラネット上の書込みに対して、全てができなくなり、Webシステムのサービスが利用不可能となる。
【0007】
本発明は上述のような事情から成されたものであり、本発明の目的は、HTTPリクエストのメソッドを制御して、インターネットの利便性を妨げることなく、特定のWebシステムの情報資源に対してのみ不正な書込みや情報の漏洩を防止することができる、HTTPリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法を提供することにある。
【0008】
【課題を解決するための手段】
本発明は、HTTPリクエストのメソッド制御機能を有するデータ中継システム及びそのメソッド制御方法に関するものであり、本発明の上記目的は、クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおいて、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースと、HTTPで規定されたメソッドのうち特定のメソッドを制御対象としてその制御対象のメソッドの使用を許可するか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として登録するメソッド規制情報登録手段と、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記制御対象のメソッドが設定されているか否かを判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、制御対象のメソッドで且つ規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用をアクセス先のURL毎に規制するメソッド制御手段とを備えることによって達成される。
【0009】
さらに、前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として登録する機能を有しており、前記メソッド制御手段は、前記制御対象のメソッドで且つ規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制すること;によって一層効果的に達成される。
【0010】
さらに、前記HTTPリクエストが前記WWWサーバへの接続要求であること;前記WWWサーバへのHTTPリクエストを不許可とした場合に、前記HTTPリクエストのデータを破棄すると共に、前記HTTPリクエストの不許可を示す応答データを前記クライアントへ送信して当該ユーザに通知する不許可通知送信手段を更に備えること;前記データ中継装置がプロキシサーバであること;前記制御対象のメソッドが、前記アクセス先のリソース環境を変更する類型のメソッドであること;前記制御対象のメソッドが、前記アクセス先のリソースを参照する類型のメソッドであること;前記制御対象の各メソッドが、前記URLデータベースに格納されているURL毎に個別に設定できるようになっていること;前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースの分類要素であるカテゴリに対応させて登録できるようにしており、前記メソッド規制情報に前記カテゴリが設定されている場合、前記メソッド制御手段は、前記カテゴリに属する全てのURLを規制対象のURLとして処理するようにしていること;前記メソッド制御手段及び前記URLデータベースを前記データ中継装置に備えること;前記メソッド規制情報登録手段を前記クライアントに備え、前記メソッド規制情報を当該クライアントから登録できるようにしていること;前記制御対象のメソッドが、Webメールシステム及びWeb掲示板システムで使用されるメソッドを含むこと;によって、それぞれ一層効果的に達成される。
【0011】
また、HTTPリクエストのメソッド制御方法に関しては、本発明の上記目的は、クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおけるHTTPリクエストのメソッド制御方法であって、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースを備え、HTTPで規定されたメソッドのうち特定のメソッドを制御対象としてその制御対象のメソッドの使用を許可するか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として予め記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記制御対象のメソッドが設定されているか否かを判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、制御対象のメソッドで且つ規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、前記HTTPリクエストのメソッドの使用をアクセス先のURL毎に規制することによって達成される。
【0012】
さらに、前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として予め前記記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記制御対象のメソッドで且つ規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制すること;によって一層効果的に達成される。
【0013】
【発明の実施の形態】
本発明は、クライアントとWWW(World Wide Web)サーバとの間で通信データの中継を行うデータ中継システムにおいて、HTTPリクエストを中継する際に、そのHTTPリクエストに設定されてるメソッドの使用の許可/不許可をURL(Uniform Resource Locators)毎に制御するメソッド制御機能を備え、アクセス先のURLに対してメソッドの使用が許可されていない場合は、例えばWWWサーバとの接続をせずにデータを破棄するようにしている。このような機能をデータ中継装置に備えることにより、特定のURLを対象として特定のWebシステムへの不正な情報の書込みや情報の書換え、企業内などの内部の人間による書込みによる情報の漏洩などを防止することができる。
【0014】
さらに、本発明に係るデータ中継システムは、上記のようにメソッドの使用の許可/不許可をURL毎に制御する機能の他に、メソッドの使用の許可/不許可をユーザ毎又はユーザが属するグループ毎に制御する機能を有しており、特定のユーザ又はグループを対象として、メソッドの使用を規制できるようにしている。規制の対象となるメソッドは、アクセス先のリソース環境を変更する類型のメソッドであり、例えばRFC2068,RFC2069として標準化されているメソッドを例とすると、URI(Uniform Resource Identifiers)で指定したサーバのコマンドに対してデータを転送する「POSTメソッド」、URIで指定したリソースを転送するデータで置換える「PUTメソッド」などが該当する。また、機密情報の漏洩を防止する場合、URIで指定したリソースを取得する「GETメソッド」や、URIで指定したリソースのレスポンスヘッダを取得する「HEADメソッド」など、アクセス先のリソースを参照する類型のメソッドを規制の対象とするようにしても良い。
【0015】
なお、本発明に係るデータ中継システムの構成要素であるデータ中継装置は、プロキシサーバが好ましいが、プロキシサーバに限らず、中継経路の制御機能等を有するルータやプロトコル変換機能等を有するゲートウェイ装置にも適用することができる。以下、これらの装置を含む、インターネット上のWWWサーバとクライアントとの間のデータ通信を中継する装置を「データ中継装置」と称し、更に、そのデータ中継装置と関連するASP(Application Service Provider)を含むシステムを「データ中継システム」と称して、本発明の好適な実施の形態を図面に基づいて詳細に説明する。
【0016】
図1は、本発明に係るデータ中継システムの全体構成の一例を模式図で示している。企業などの組織において、各自のパーソナルコンピュータからインターネットにアクセス可能とする場合、例えば、図1に示すように、セキュリティ機能やキャッシュ機能を有するデータ中継装置(本例ではプロキシサーバ)20をLAN1とインターネット2との間に接続し、そのプロキシサーバ20を経由して各クライアント端末10(以下、「クライアント」とする)から、インターネット上あるいはイントラネット上のWebメールシステム40aやWeb掲示板システム40b等のWWWサーバ40にアクセスする形態が広くとられている。
【0017】
一般的に、プロキシサーバは、構内ネットワークやイントラネット等の内部ネットワークに接続されるクライアント10の全ての中継データを対象としてキャッシュやログ(経過記録)の制御を行うようにしているが、本発明に係るプロキシサーバ20では、LAN1等の内部ネットワークに接続される各クライアント10を、例えば総務部や開発部のように特定のグループ(G1−1,G1−2…、G2−1,G2−2…)でグループ化し、それらのグループ毎に当該データのキャッシュ又はログを制御するようにしている。また、WWWサーバ40に対するメソッドの使用の許可/不許可をアクセス先のURL毎に制御すると共に、ユーザ毎又はユーザが属するグループ毎に制御し、当該WWWシステム40への情報の書込みを規制するようにしている。
【0018】
図1中に示されるURLデータベース30は、全世界に存在するウェブサイトのURLの情報群を、情報の種類、利用技術の種類、閲覧系、決済系、データベース利用型などの所定のカテゴリで分類し、各種のキーで索引可能にURL情報群を格納したデータベースであり、当該ウェブサイトのURLとそのカテゴリを示す分類コード等が関連付けられて登録されている。このURLデータベース30は、例えばデータ中継システムの運営・管理等を行なうASPから提供される。ASPのコンピュータは、例えば所定のアルゴリズムで最新のサイトのURL情報などを自動収集してカテゴライズし、該当の更新情報を通信ネットワークを介して毎日配信するなど、URLデータベース30を適時更新するURL情報更新手段を備えている。また、ユーザが所定のカテゴリで分類したURL情報をURLデータベース30に登録するURL情報登録手段を備え、ユーザが所望のURL情報を登録できるようにしている。
【0019】
本発明の実施の形態では、このURLデータベース30に登録されているURLを対象として、HTTPリクエストのメソッドの使用の許可/不許可をアクセス先のURL毎に制御することで、インターネットやイントラネット上の全てのウェブサイトではなく、特定のURLに対してのみ当該メソッドによるアクセスを規制することを可能としている。
【0020】
図2は、本発明に係るメソッド制御機能を有するプロキシサーバの主要部の構成例を示すブロック図で示している。URLデータベース30は、本例ではプロキシサーバ20(あるいは他の装置)に設けられ、前述のURL情報更新手段31は、図示されないALPのコンピュータに設けられている。
【0021】
メソッド規制情報登録手段21は、HTTPで規定されたメソッドのうち特定のメソッドを制御対象として、その制御対象のメソッドの使用を許可するか否かを示す識別情報をURLデータベース30に格納されているURLに対応させて「メソッド規制情報」として登録する手段であり、本例ではクライアント側の特定の端末に備え、メソッド規制情報を当該クライアントから登録できるようにしている
【0022】
プロキシサーバ20の主要な構成としては、規制対象のURL情報群を含む各WWWサーバのURL情報群を格納したURLデータベース30と、メソッド規制情報登録手段21によって登録されたメソッド規制情報を記憶するメソッド規制情報記憶手段22と、制御対象のメソッドの使用をアクセス先のURL毎に規制するメソッド制御手段23と、このメソッド制御手段によってWWWサーバへのHTTPリクエストを不許可とした場合に、HTTPリクエストのデータを破棄すると共に、HTTPリクエストの不許可を示す応答データをクライアントへ送信して当該ユーザに通知する不許可通知送信手段24とを備えている。
【0023】
プロキシサーバ20のメソッド制御手段23は、例えば、クライアントからのWWWサーバへのHTTPリクエストを受信時に、そのHTTPリクエストのヘッダ情報に制御対象のメソッドが設定されているか否かを判定すると共に、URLデータベース30を参照してアクセス先のURLが規制対象のURLであるか否かを上記メソッド規制情報に基づいて判定し、制御対象のメソッドで且つ規制対象のURLであると判定した場合にはWWWサーバへのHTTPリクエストを不許可とし、WWWサーバへのデータ転送を拒否するようにしている。
【0024】
上記のメソッド規制情報は、図3の模式図に示すように、例えば、URL情報と、ユーザ又はユーザが属するグループをそれぞれ特定するユーザID(図3中のUSER欄内のU1、U2、…、G1、G2…)と、制御対象のメソッドの使用を許可するか否かを示す識別情報(図3中の○が許可、×が不許可)とから構成される。そして、図3に示すような、各URLと各ユーザ又はグループと識別情報(メソッドの使用許可又は不許可)との対応関係を示す「メソッド規制情報」、すなわち、どのユーザ又はグループからのどのURLに対するメソッドの使用を許可するか否かを示す「メソッド規制情報」が、前述のメソッド規制情報登録手段21によって登録されて、プロキシサーバ20内のメソッド規制情報記憶手段22に記憶されるようになっている。また、規制対象のURLは、個々のURL毎に設定する機能の他に、分類されたURLデータベース30のカテゴリ毎に設定する機能を備えるようにしても良い。さらに、メソッド規制情報の設定は、全てのURLの初期値を不許可(又は許可)とし、許可するURL(又は許可しないURL)だけを対象として設定するようにしても良い。また、制御対象のメソッドは、URL別又はユーザ別(又はユーザが属するグループ別)、あるいは、URL別で且つユーザ別(又はユーザが属するグループ別)に特定のメソッドを個別に設定できるようにしても良い。
【0025】
図3の例では、U1、U2のユーザとG1、G2のグループに属する各ユーザは、A1のURLに対しては、メソッドの使用を許可し、カテゴリC2に属する全てのURLに対しては、メソッドの使用を許可しないようにそれぞれ設定されている。また、A2のURLに対しては、U2のユーザとG2のグループに属する各ユーザは、メソッドの使用を許可しないように設定されている。なお、メソッドの使用を規制する対象は、ユーザが独自に設定可能であり、ユーザは、メソッド規制情報登録手段21によって表示される画面の案内に従って、規制対象のメソッドとURLとユーザ(又はグループ)との対応を設定し、プロキシサーバ20の規制情報記憶手段22に登録する。
【0026】
図2に示したメソッド制御手段23では、HTTPリクエストを受信時に、上記のようなメソッド規制情報に基づいて、HTTPリクエストに設定されているメソッドが制御対象のメソッドで、且つアクセス先が規制対象のURLであると判定した場合、更にそのメソッドがクライアントのユーザに対して使用が許可されているか否かを判定し、使用が許可されていない場合にWWWサーバへのHTTPリクエストを不許可とすることによって、制御対象のメソッドの使用をクライアントのユーザ毎又はユーザが属するグループ毎に規制するようにしている。
【0027】
上述のようなメソッド制御機能は、本実施の形態ではCPUにより実行されるコンピュータ・プログラム(以下、プログラムとする)で実現され、そのプログラムは所定の記録媒体(フレキシブルディスク、ハードディスク、CD−ROM、CD−R、DVD−ROM、DVD−RAM、DVD−R、PDディスク、MDディスク、MOディスク等の記録媒体)に記録されている。なお、一部のメソッド制御機能をハードウェアで実現する形態も本発明に含まれる。
【0028】
上述のような構成において、プロキシサーバでのメソッド制御に係る動作例を説明する。
【0029】
先ず、図4の模式図を参照して概略の動作例を説明する。プロキシサーバ10では、クライアント10からWWWサーバへの接続要求を受信すると(▲1▼)、HTTPのヘッダ情報の内容からリクエスト時のメソッドを特定する(▲2▼)。このメソッドが制御対象のメソッドであれば、アクセス先のURLがURLデータベースに登録されているか否かを判定し、登録されていれば、メソッド規制情報に基づいて当該メソッドの使用を許可するか否かを判定する。本実施の形態では、アクセス先のURLが規制対象で且つ、接続要求元のユーザが制御対象(規制対象)のユーザ又はグループに属するユーザであるか否かを判定する(▲3▼)。そして、当該メソッドの使用を許可すると判定した場合は、通常の中継処理と同様に、クライアント10が要求したWWWとの接続を行ってデータを転送し、(▲4▼−1)、接続したWWWサーバの応答データをクライアント10へ転送する(▲5▼)。一方、当該メソッドの使用を許可しないと判定した場合は、クライアントからの書込みデータを破棄すると共に、規制した旨の通知をクライアント1へ送信し、当該HTTPリクエストのメソッド制御に係る処理を終了する(▲4▼−2)。
【0030】
次に、プロキシサーバでのメソッド制御に係る具体的な動作例を図5のフローチャートに従って説明する。
【0031】
クライアント10から送信されたWWWサーバへの接続要求を受信すると(ステップS1、S2)、プロキシサーバ10のメソッド制御手段では、先ず、HTTPのヘッダ情報の内容からリクエスト時のメソッドを特定する。リクエスト時のメソッドは、例えば図6に示すように、HTTPのヘッダ部に設定されている(図6の例では、POSTメソッド)。メソッド制御手段では、リクエスト時のメソッドが、予め設定されている制御対象のメソッド群に存在するか否かを判定し、存在するのであれば制御対象のメソッドと判断する。ここで言う制御対象のメソッドとは、本例では、HTTPで規定されたメソッドのうち、アクセス先のリソース環境を変更する類型のメソッドであり、例えば該当のメソッドがHTTPの仕様に応じて予めテーブル等に設定されている。
【0032】
制御対象のメソッドと判断した場合は、接続先のURLがURLデータベースに含まれているか否かを判定し(ステップS3)、含まれている場合は、制御対象のURLと判断する。そして、制御対象のURLであると判定した場合は、HTTPリクエストに使用されているメソッドが、アクセス先のURLに対して許可され、且つそのユーザ又はユーザが属するグループに対して許可されているか否かを、予め設定されたメソッド規制情報に基づいて判定する(ステップS4)。例えば、図3のメソッド規制情報の例において、アクセス先のURLが「A2」で、接続要求を受信時に認証したユーザが「U2」の場合、メソッドの使用が許可されていないと判断し、HTTPリクエストのデータを破棄すると共に、WWW接続の不許可を示す応答データをクライアント10へ送信して当該ユーザに通知する(ステップS5)。クライアント10の表示部には、例えば、ブラウザの利用不許可の画面が表示される(ステップS5)。
【0033】
一方、ステップS4において、メソッドの使用が許可されていると判断した場合は、プロキシサーバ10は、クライアント10が要求したWWWサーバ30との接続を行ってデータを転送する(ステップS7)。接続要求を受付けたWWWサーバ30では、クライアント10からのデータを受信し、応答データを返送する(ステップS8、S9)。応答データを受けたプロキシサーバ10では、WWWサーバ30からの応答データをクライアント10へ転送する(ステップS10)。そして、応答データを受信したクライアント10では、WWWサーバのWebデータ(HTML,XMLなど)を表示部に表示し(ステップS11)、そのHTTPリクエストに対する処理を終了する。
【0034】
なお、上述した実施の形態では、本発明に係るHTTPリクエストのメソッド制御方法を適用した装置としては、プロキシサーバを例として説明したが、プロキシサーバに限るものではなく、ゲートウェイ装置やノード(Node)用のコンピュータなど、クライアントとリクエスト先のデータサーバとの間で通信データを中継する装置であれば良い。また、リクエスト先のデータサーバは、インターネット上のWWWサーバに限るものではなく、インターネット以外の通信ネットワーク(LAN、イントラネット,エクストラネット等)に接続されるデータサーバであっても良い。
【0035】
【発明の効果】
以上に説明したように、本発明によれば、HTTPリクエストのメソッドを特定のURL毎に制御することによって、当該メソッドの使用を規制するようにしているので、特定のWeb掲示板や特定のWebメールシステムに対してのみ、情報の書込み等を制御することが可能となる。そのため、インターネットの利便性を妨げることなく、不正な書込みや情報の漏洩を防止すことが可能となる。また、ユーザ毎又はユーザが属するグループ毎に、当該メソッドの使用を制御するようにしているので、特定のユーザ又は特定のグループに対してのみ、情報の書込み等を規制することが可能となる。そのため、特定のURL毎の他に、特定のユーザ又はグループ毎に、情報の書込みの権限を制御することが可能となる。
【図面の簡単な説明】
【図1】本発明に係るデータ中継システムの全体構成の一例を示す模式図である。
【図2】本発明に係るメソッド制御機能を有するデータ中継装置の主要部の構成例を示すブロック図である。
【図3】本発明に係わるメソッド規制情報に一例を示す模式図である。
【図4】本発明に係るデータ中継装置の概略の動作例を説明するための模式図である。
【図5】本発明に係るデータ中継装置のメソッド制御に係る具体的な動作例を説明するためのフローチャートである。
【図6】本発明における制御対象のHTTPリクエストのメソッドの一例を示す図である。
【符号の説明】
1 LAN
2 インターネット
10 クライアント
20 データ中継装置(プロキシサーバ)
21 メソッド規制情報登録手段
22 メソッド規制情報記憶手段
23 メソッド制御手段
24 不許可通知送信手段
30 URLデータベース
31 URL情報更新手段
40 WWWサーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a data relay system having a function of controlling a method used in an HTTP (Hyper Text Transfer Protocol) request passing through a data relay device such as a proxy server, and a method of controlling the method.
[0002]
[Prior art]
A Web (Web) system that provides various services using the Internet has the convenience that an unspecified number of people can use it. However, malicious information may be written by a malicious person and cause inconvenience. There is a problem that a security problem is more likely to occur as compared with a closed type system that is not connected to an external system, such as confidential information being leaked and suffering damage. In order to solve such security problems, in recent years, it has been difficult to decipher communication contents by using encryption technology and personal authentication technology standardized by the Internet Engineering Task Force (IETF), which is an Internet standardization organization. In addition, a system incorporating a function of detecting that the data has not been tampered with has been developed, and is provided by some ASPs (Application Service Providers) and the like. Many other proposals have been made to enhance security using unique algorithms.
[0003]
As a system for ensuring the security of electronic mail, for example, a proxy provided with a means for checking whether electronic mail has been tampered between a mail server on a LAN (local area network) and the Internet. There is a device in which a device is provided to prevent the falsified e-mail from entering the LAN by rejecting the reception of the e-mail if the device has been tampered with (for example, see Patent Document 1). Further, as a system for preventing an annoying remark from being written on an electronic bulletin board, for example, a means for determining whether or not there is an annoying remark (phrase) based on a list of prohibited words registered in advance. In some cases, when it is determined that there is an annoying utterance, the utterance is hidden. In addition, in consideration of the case where the message is judged to be annoying erroneously, the administrator of the electronic bulletin board looks at the list of saved hidden and displayed utterance documents, and if necessary, hides or displays the message. There is a method that can change the handling (see, for example, Patent Document 2).
[0004]
[Patent Document 1]
JP-A-2002-24147
[Patent Document 2]
JP-A-2002-82869
[0005]
[Problems to be solved by the invention]
The above-described electronic mail security system can prevent a falsified e-mail from entering the LAN, but cannot prevent the falsification itself, resulting in damage. Further, in the above-described electronic bulletin board security system, it is possible to avoid displaying information determined to be an annoying utterance, but it is considered that it is often difficult to judge whether an utterance is an annoying utterance only by a word or phrase.
[0006]
By the way, in a Web system such as an electronic mail system and an electronic bulletin board system (hereinafter, referred to as a Web mail system and a Web bulletin board system, respectively), a method (POST method or PUT method) specified by HTTP is used. It is conceivable to control writing of information by controlling a specific method. However, in this case, all the writing on the Internet and the intranet cannot be performed, and the Web system service becomes unavailable.
[0007]
The present invention has been made in view of the circumstances described above, and an object of the present invention is to control a method of an HTTP request so that information resources of a specific Web system can be controlled without hindering the convenience of the Internet. It is an object of the present invention to provide a data relay system having an HTTP request method control function and a method control method thereof, which can prevent unauthorized writing and information leakage.
[0008]
[Means for Solving the Problems]
The present invention relates to a data relay system having a method control function for an HTTP request and a method control method therefor. The object of the present invention is to provide a data relay device for relaying communication data between a client and a WWW server. In a data relay system, a URL database in which URL information groups of each WWW server are classified and stored in a predetermined category, and a method specified as a control target among methods specified by HTTP is used as a control target, and use of the control target method is permitted. A method restriction information registration unit for registering identification information indicating whether or not to execute the method as the method restriction information in association with the URL stored in the URL database, and when receiving the HTTP request from the client to the WWW server, Before the header information of the request It is determined whether or not the method to be controlled is set, and whether or not the access destination URL is the URL to be controlled is determined based on the URL database and the method restriction information. And a method control means for restricting the use of the method of the HTTP request for each URL of the access destination by disallowing the HTTP request to the WWW server when it is determined that the URL is a URL to be restricted. Achieved by
[0009]
Further, the method regulation information registration means has a function of registering the identification information as the method regulation information in association with a URL stored in the URL database and a user of the client or a group to which the user belongs. If the method control means determines that the method is the control target method and the URL is a control target URL, the method set in the HTTP request is further permitted to be used by the user of the client. Is determined based on the method restriction information, and when the use is not permitted, the HTTP request to the WWW server is rejected, so that the use of the method of the HTTP request is performed for each user of the client. Or, restrict for each group to which the user belongs. ; By be more effectively achieved.
[0010]
Further, the HTTP request is a connection request to the WWW server; if the HTTP request to the WWW server is rejected, the HTTP request data is discarded, and the HTTP request rejection is indicated. Further comprising a non-permission notification transmitting unit that transmits response data to the client to notify the user; the data relay device is a proxy server; and the control target method changes the resource environment of the access destination. The method to be controlled is a method of a type referring to the resource of the access destination; each method to be controlled is individually set for each URL stored in the URL database. Can be set to the above; the method regulation information Recording means for registering the identification information in association with a category which is a classification element of the URL database, and when the category is set in the method regulation information, the method control means includes The method control means and the URL database are provided in the data relay device; the method regulation information registration means is provided in the client; The control information can be registered from the client; and the method to be controlled includes the methods used in the Web mail system and the Web bulletin board system.
[0011]
Further, with regard to a method control method of an HTTP request, the object of the present invention is a method control method of an HTTP request in a data relay system having a data relay device that relays communication data between a client and a WWW server, A URL database in which URL information groups of each WWW server are classified and stored in a predetermined category is provided, and whether a method specified as a control target among the methods specified by HTTP is used as a control target is permitted or not. Is stored in advance in the storage unit as method restriction information in association with the URL stored in the URL database, and the control unit of the data relay device transmits an HTTP request from the client to the WWW server. When receiving, the header of the HTTP request It is determined whether or not the method to be controlled is set in the information, and whether or not the URL of the access destination is a URL to be controlled is determined based on the URL database and the method restriction information. Is achieved by restricting the use of the method of the HTTP request for each URL of the access destination by disallowing the HTTP request to the WWW server when it is determined that the URL is the URL to be restricted and the method is a URL to be restricted. Is done.
[0012]
Further, the identification information is associated with a URL stored in the URL database, and is associated with a user of the client or a group to which the client belongs. If the control unit of the apparatus determines that the method is the control target method and the URL is a control target URL, the control unit further determines whether the method set in the HTTP request is permitted to be used by the user of the client. Is determined based on the method regulation information, and when the use is not permitted, the HTTP request to the WWW server is not permitted, so that the use of the method of the HTTP request is performed for each user of the client or to which the user belongs. Regulation by group; more effective by To be achieved.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
According to the present invention, in a data relay system for relaying communication data between a client and a WWW (World Wide Web) server, when relaying an HTTP request, permission / inhibition of use of a method set in the HTTP request is provided. A method control function for controlling permission for each URL (Uniform Resource Locators) is provided. If use of a method is not permitted for an access destination URL, data is discarded without, for example, connecting to a WWW server. Like that. By providing such a function in the data relay device, it is possible to prevent unauthorized information writing and rewriting to a specific Web system for a specific URL, and leakage of information due to writing by an internal person such as in a company. Can be prevented.
[0014]
Furthermore, in addition to the function of controlling permission / non-permission of method use for each URL as described above, the data relay system according to the present invention provides permission / non-permission of method use for each user or a group to which the user belongs. It has a function to control each time, and it is possible to regulate the use of the method for a specific user or group. The method to be regulated is a method of a type that changes the resource environment of the access destination. For example, when a method standardized as RFC2068 or RFC2069 is taken as an example, a method of a server specified by a URI (Uniform Resource Identifiers) is used. For example, a “POST method” for transferring data and a “PUT method” for replacing a resource designated by a URI with data to be transferred correspond to the “POST method”. In order to prevent leakage of confidential information, a type that refers to a resource to be accessed, such as a “GET method” for obtaining a resource specified by a URI or a “HEAD method” for obtaining a response header of a resource specified by a URI. May be subject to regulation.
[0015]
The data relay device, which is a component of the data relay system according to the present invention, is preferably a proxy server, but is not limited to a proxy server, but may be a router having a relay route control function or a gateway device having a protocol conversion function or the like. Can also be applied. Hereinafter, a device that relays data communication between a WWW server and a client on the Internet, including these devices, is referred to as a “data relay device,” and an ASP (Application Service Provider) associated with the data relay device is referred to as a “data relay device”. A preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.
[0016]
FIG. 1 is a schematic diagram illustrating an example of the entire configuration of a data relay system according to the present invention. In an organization such as a company, when the personal computer can access the Internet, for example, as shown in FIG. 1, a data relay device (proxy server in this example) 20 having a security function and a cache function is connected to the LAN 1 and the Internet. And a WWW server such as a Web mail system 40a or a Web bulletin board system 40b on the Internet or an intranet from each client terminal 10 (hereinafter, referred to as "client") via the proxy server 20. The mode of accessing the forty is widely used.
[0017]
In general, the proxy server controls a cache and a log (elapsed record) for all relay data of the client 10 connected to an internal network such as a private network or an intranet. In the proxy server 20, each client 10 connected to an internal network such as the LAN 1 is assigned to a specific group (G1-1, G1-2, G2-1, G2-2,. ), And the cache or log of the data is controlled for each group. In addition, permission / non-permission of use of the method for the WWW server 40 is controlled for each URL of an access destination, and control is performed for each user or each group to which the user belongs, so that writing of information to the WWW system 40 is restricted. I have to.
[0018]
The URL database 30 shown in FIG. 1 classifies a group of URL information of websites existing in the world into predetermined categories such as information types, utilization technologies, browsing systems, settlement systems, and database utilization types. This is a database that stores a URL information group that can be indexed with various keys, and the URL of the website and the classification code indicating the category are registered in association with each other. The URL database 30 is provided by, for example, an ASP that operates and manages a data relay system. The ASP computer automatically updates the URL database 30 by, for example, automatically collecting and categorizing the latest URL information of the site using a predetermined algorithm, and distributing the relevant update information daily through a communication network. Means. In addition, a URL information registration unit that registers URL information classified by a user in a predetermined category in the URL database 30 is provided, so that the user can register desired URL information.
[0019]
In the embodiment of the present invention, the permission / non-permission of the use of the method of the HTTP request is controlled for each URL of the access destination for the URL registered in the URL database 30 so that the URL on the Internet or the intranet can be controlled. It is possible to restrict access by this method only for a specific URL, not for all websites.
[0020]
FIG. 2 is a block diagram showing a configuration example of a main part of a proxy server having a method control function according to the present invention. In this example, the URL database 30 is provided in the proxy server 20 (or another device), and the URL information updating means 31 is provided in an ALP computer (not shown).
[0021]
The method regulation information registration unit 21 stores, in the URL database 30, identification information indicating whether a specific method among the methods specified by HTTP is to be controlled and the use of the controlled method is permitted. This is means for registering as "method restriction information" in association with the URL. In this example, the method restriction information is provided in a specific terminal on the client side so that the client can register the method restriction information.
[0022]
The main components of the proxy server 20 include a URL database 30 storing a URL information group of each WWW server including a URL information group to be restricted, and a method for storing the method restriction information registered by the method restriction information registration unit 21. A regulation information storage unit 22, a method control unit 23 that regulates the use of a method to be controlled for each URL of an access destination, and an HTTP request to the WWW server when the method control unit denies an HTTP request to the WWW server. A non-permission notification transmission unit 24 for discarding the data and transmitting response data indicating non-permission of the HTTP request to the client to notify the user is provided.
[0023]
The method control means 23 of the proxy server 20, for example, upon receiving an HTTP request from the client to the WWW server, determines whether or not the method to be controlled is set in the header information of the HTTP request, 30 to determine whether the URL of the access destination is a URL to be restricted, based on the method restriction information. If it is determined that the URL is a method to be controlled and is also a URL to be restricted, the WWW server HTTP requests to the WWW server are rejected, and data transfer to the WWW server is rejected.
[0024]
As shown in the schematic diagram of FIG. 3, the method restriction information includes, for example, URL information and user IDs (U1, U2,..., In the USER column in FIG. 3) that specify the user or the group to which the user belongs. G1, G2,...) And identification information indicating whether or not the use of the method to be controlled is permitted (o in FIG. 3 is permitted, and x is not permitted). Then, as shown in FIG. 3, “method regulation information” indicating a correspondence relationship between each URL, each user or group, and identification information (permission or non-permission of use of a method), that is, which URL from which user or group The "method regulation information" indicating whether or not the use of the method is permitted is registered by the above-described method regulation information registration means 21 and stored in the method regulation information storage means 22 in the proxy server 20. ing. In addition, the URL to be regulated may have a function to set for each category of the classified URL database 30 in addition to a function to set for each URL. Furthermore, the method regulation information may be set such that the initial values of all URLs are not permitted (or permitted) and only the permitted URLs (or the URLs not permitted) are set as targets. The method to be controlled can be set individually for each URL or each user (or each group to which the user belongs), or for each URL and each user (or each group to which the user belongs). Is also good.
[0025]
In the example of FIG. 3, the users of U1 and U2 and the users belonging to the groups G1 and G2 permit the use of the method for the URL of A1 and for all the URLs belonging to the category C2, Each is set not to allow the use of the method. Further, for the URL of A2, the user of U2 and each user belonging to the group of G2 are set so as not to permit the use of the method. It should be noted that the object for which the use of the method is restricted can be set independently by the user, and the user can follow the guidance on the screen displayed by the method restriction information registration means 21 and set the method, URL, and user (or group) to be restricted. Is set and registered in the regulation information storage unit 22 of the proxy server 20.
[0026]
In the method control means 23 shown in FIG. 2, when the HTTP request is received, the method set in the HTTP request is the control target method and the access destination is the restriction target based on the method restriction information as described above. If it is determined that the URL is used, it is further determined whether the method is permitted to be used by the user of the client. If the method is not permitted, the HTTP request to the WWW server is not permitted. Thus, the use of the method to be controlled is restricted for each user of the client or each group to which the user belongs.
[0027]
In the present embodiment, the above-described method control function is realized by a computer program (hereinafter, referred to as a program) executed by a CPU, and the program is stored in a predetermined recording medium (flexible disk, hard disk, CD-ROM, CD-R, DVD-ROM, DVD-RAM, DVD-R, PD disk, MD disk, MO disk, etc.). It should be noted that a form in which some method control functions are implemented by hardware is also included in the present invention.
[0028]
An operation example related to the method control in the proxy server in the above configuration will be described.
[0029]
First, a schematic operation example will be described with reference to the schematic diagram of FIG. Upon receiving a connection request from the client 10 to the WWW server (1), the proxy server 10 specifies the method at the time of the request from the contents of the HTTP header information (2). If this method is a method to be controlled, it is determined whether the URL of the access destination is registered in the URL database, and if it is registered, whether to use the method is permitted based on the method regulation information. Is determined. In the present embodiment, it is determined whether the URL of the access destination is to be restricted and the connection request source user is a user to be controlled (restricted) or belongs to a group ([3]). Then, when it is determined that the use of the method is permitted, a connection is made with the WWW requested by the client 10 and the data is transferred as in the normal relay processing ((4) -1), and the connected WWW is The server response data is transferred to the client 10 ([5]). On the other hand, if it is determined that the use of the method is not permitted, the write data from the client is discarded, a notification of the restriction is transmitted to the client 1, and the process related to the method control of the HTTP request is ended ( (4) -2).
[0030]
Next, a specific operation example related to method control in the proxy server will be described with reference to the flowchart in FIG.
[0031]
When a connection request to the WWW server transmitted from the client 10 is received (steps S1 and S2), the method control means of the proxy server 10 first specifies the method at the time of the request from the contents of the HTTP header information. The method at the time of the request is set, for example, in the HTTP header as shown in FIG. 6 (the POST method in the example of FIG. 6). The method control means determines whether or not the method at the time of the request exists in a preset group of methods to be controlled, and if so, determines that the method is a method to be controlled. In this example, the method to be controlled is a method of a type that changes the resource environment of an access destination among the methods specified by HTTP. For example, the method is stored in a table in advance according to the HTTP specification. Etc. are set.
[0032]
If it is determined that the method is a control target, it is determined whether the URL of the connection destination is included in the URL database (step S3). If it is included, it is determined that the URL is a control target URL. If it is determined that the URL is a URL to be controlled, it is determined whether the method used for the HTTP request is permitted for the URL of the access destination and is permitted for the user or the group to which the user belongs. Is determined based on the method regulation information set in advance (step S4). For example, in the example of the method regulation information in FIG. 3, when the URL of the access destination is “A2” and the user authenticated at the time of receiving the connection request is “U2”, it is determined that the use of the method is not permitted, and The request data is discarded, and response data indicating that the WWW connection is not permitted is transmitted to the client 10 to notify the user (step S5). The display unit of the client 10 displays, for example, a screen indicating that the use of the browser is not permitted (step S5).
[0033]
On the other hand, if it is determined in step S4 that the use of the method is permitted, the proxy server 10 connects to the WWW server 30 requested by the client 10 and transfers data (step S7). The WWW server 30 receiving the connection request receives the data from the client 10 and returns response data (steps S8 and S9). The proxy server 10 receiving the response data transfers the response data from the WWW server 30 to the client 10 (Step S10). Then, the client 10 receiving the response data displays the Web data (HTML, XML, etc.) of the WWW server on the display unit (step S11), and ends the processing for the HTTP request.
[0034]
In the above-described embodiment, a proxy server is described as an example of an apparatus to which the method of controlling an HTTP request according to the present invention is applied. However, the apparatus is not limited to a proxy server, and may be a gateway apparatus or a node (Node). Any device that relays communication data between the client and the request destination data server, such as a computer for communication, may be used. Further, the request destination data server is not limited to a WWW server on the Internet, and may be a data server connected to a communication network other than the Internet (LAN, intranet, extranet, etc.).
[0035]
【The invention's effect】
As described above, according to the present invention, by controlling the method of the HTTP request for each specific URL, the use of the method is regulated, so that a specific Web bulletin board or a specific Web mail It is possible to control writing of information and the like only to the system. Therefore, unauthorized writing and information leakage can be prevented without hindering the convenience of the Internet. In addition, since the use of the method is controlled for each user or each group to which the user belongs, it is possible to restrict writing of information and the like only to a specific user or a specific group. Therefore, it is possible to control the authority of writing information for each specific user or group in addition to each specific URL.
[Brief description of the drawings]
FIG. 1 is a schematic diagram showing an example of the overall configuration of a data relay system according to the present invention.
FIG. 2 is a block diagram illustrating a configuration example of a main part of a data relay device having a method control function according to the present invention.
FIG. 3 is a schematic diagram showing an example of method regulation information according to the present invention.
FIG. 4 is a schematic diagram for explaining a schematic operation example of the data relay device according to the present invention.
FIG. 5 is a flowchart illustrating a specific operation example related to method control of the data relay device according to the present invention.
FIG. 6 is a diagram illustrating an example of a method of an HTTP request to be controlled according to the present invention.
[Explanation of symbols]
1 LAN
2 Internet
10 clients
20 Data relay device (proxy server)
21 Method regulation information registration means
22 Method regulation information storage means
23 Method control means
24 Non-permission notification transmission means
30 URL database
31 URL information updating means
40 WWW server

Claims (14)

クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおいて、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースと、HTTPで規定されたメソッドのうち特定のメソッドを制御対象としてその制御対象のメソッドの使用を許可するか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として登録するメソッド規制情報登録手段と、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記制御対象のメソッドが設定されているか否かを判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、制御対象のメソッドで且つ規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用をアクセス先のURL毎に規制するメソッド制御手段とを備えたことを特徴とするHTTPリクエストのメソッド制御機能を有するデータ中継システム。In a data relay system having a data relay device for relaying communication data between a client and a WWW server, a URL database in which URL information groups of each WWW server are classified and stored in a predetermined category, and a method defined by HTTP Method restriction information registration in which identification information indicating whether a specific method is a control target and whether or not use of the control target method is permitted is associated with a URL stored in the URL database as method restriction information. Means, when receiving an HTTP request from the client to the WWW server, determining whether or not the control target method is set in the header information of the HTTP request, and determining whether the access destination URL is a restricted URL. The URL database and It is determined based on the method restriction information, and when it is determined that the method is a control target method and the URL is a control target URL, the HTTP request to the WWW server is rejected, thereby using the method of the HTTP request. A data relay system having a method control function for an HTTP request, comprising: a method control means for restricting each URL of an access destination. 前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として登録する機能を有しており、前記メソッド制御手段は、前記制御対象のメソッドで且つ規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制するようにしている請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。The method regulation information registration unit has a function of registering the identification information as the method regulation information in association with a URL stored in the URL database and a user of the client or a group to which the user belongs. If the method control means determines that the method is the control target method and the URL is a control target URL, the method control unit further determines whether the method set in the HTTP request is permitted to be used by the user of the client. Whether the HTTP request to the WWW server is not permitted when the use is not permitted, thereby making it possible to use the method of the HTTP request for each user of the client or for each user. Is regulated for each group to which it belongs Data relay system having a method controlling function of the HTTP request according to claim 1 that. 前記HTTPリクエストが前記WWWサーバへの接続要求である請求項1に記載のデータ中継システム。2. The data relay system according to claim 1, wherein the HTTP request is a connection request to the WWW server. 前記WWWサーバへのHTTPリクエストを不許可とした場合に、前記HTTPリクエストのデータを破棄すると共に、前記HTTPリクエストの不許可を示す応答データを前記クライアントへ送信して当該ユーザに通知する不許可通知送信手段を更に備えた請求項1に記載のデータ中継システム。When the HTTP request to the WWW server is rejected, the data of the HTTP request is discarded, and response data indicating the rejection of the HTTP request is transmitted to the client to notify the user of the non-permission. The data relay system according to claim 1, further comprising a transmission unit. 前記データ中継装置がプロキシサーバである請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。2. The data relay system according to claim 1, wherein the data relay device is a proxy server. 前記制御対象のメソッドが、前記アクセス先のリソース環境を変更する類型のメソッドである請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。2. The data relay system according to claim 1, wherein the method to be controlled is a type of method for changing a resource environment of the access destination. 前記制御対象のメソッドが、前記アクセス先のリソースを参照する類型のメソッドである請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。2. The data relay system according to claim 1, wherein the method to be controlled is a type of method that refers to the resource of the access destination. 前記制御対象の各メソッドが、前記URLデータベースに格納されているURL毎に個別に設定できるようになっている請求項1に記載のデータ中継システム。2. The data relay system according to claim 1, wherein each method to be controlled can be individually set for each URL stored in the URL database. 前記メソッド規制情報登録手段は、前記識別情報を前記URLデータベースの分類要素であるカテゴリに対応させて登録できるようにしており、前記メソッド規制情報に前記カテゴリが設定されている場合、前記メソッド制御手段は、前記カテゴリに属する全てのURLを規制対象のURLとして処理するようにしている請求項1に記載のデータ中継システム。The method regulation information registration means is adapted to register the identification information in association with a category which is a classification element of the URL database, and when the category is set in the method regulation information, the method control means 2. The data relay system according to claim 1, wherein all URLs belonging to the category are processed as URLs to be restricted. 前記メソッド制御手段及び前記URLデータベースを前記データ中継装置に備えた請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。2. The data relay system according to claim 1, wherein said method control means and said URL database are provided in said data relay device. 前記メソッド規制情報登録手段を前記クライアントに備え、前記メソッド規制情報を当該クライアントから登録できるようにしている請求項2に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。3. The data relay system according to claim 2, wherein the method regulation information registration unit is provided in the client, and the method regulation information can be registered from the client. 前記制御対象のメソッドが、Webメールシステム及びWeb掲示板システムで使用されるメソッドを含む請求項1に記載のHTTPリクエストのメソッド制御機能を有するデータ中継システム。2. The data relay system according to claim 1, wherein the method to be controlled includes a method used in a Web mail system and a Web bulletin board system. クライアントとWWWサーバとの間で通信データを中継するデータ中継装置を有するデータ中継システムにおけるHTTPリクエストのメソッド制御方法であって、各WWWサーバのURL情報群を所定のカテゴリで分類して格納したURLデータベースを備え、HTTPで規定されたメソッドのうち特定のメソッドを制御対象としてその制御対象のメソッドの使用を許可するか否かを示す識別情報を前記URLデータベースに格納されているURLに対応させてメソッド規制情報として予め記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記クライアントからWWWサーバへのHTTPリクエストを受信時に、前記HTTPリクエストのヘッダ情報に前記制御対象のメソッドが設定されているか否かを判定すると共に、アクセス先のURLが規制対象のURLであるか否かを前記URLデータベース及び前記メソッド規制情報に基づいて判定し、制御対象のメソッドで且つ規制対象のURLであると判定した場合には前記WWWサーバへのHTTPリクエストを不許可とすることによって、前記HTTPリクエストのメソッドの使用をアクセス先のURL毎に規制するようにしたことを特徴とするHTTPリクエストのメソッド制御方法。A method control method of an HTTP request in a data relay system having a data relay device for relaying communication data between a client and a WWW server, wherein a URL information group of each WWW server is classified and stored in a predetermined category and stored. A database is provided, and identification information indicating whether or not to use a method to be controlled with a specific method as a control target among the methods specified by HTTP is associated with a URL stored in the URL database. The method control information is stored in advance in the storage unit as the method restriction information, and the control unit of the data relay device sets the method to be controlled in the header information of the HTTP request when receiving the HTTP request from the client to the WWW server. To determine whether the Source URL is determined based on the URL database and the method restriction information, and if the URL is determined to be a control target method and a URL to be restricted, the WWW server A method of controlling an HTTP request, wherein use of the method of the HTTP request is restricted for each URL of an access destination by disallowing the HTTP request to the HTTP request. 前記識別情報を前記URLデータベースに格納されているURLに対応させると共に前記クライアントのユーザ又はユーザが属するグループに対応させて前記メソッド規制情報として予め前記記憶手段に記憶しておき、前記データ中継装置の制御手段は、前記制御対象のメソッドで且つ規制対象のURLであると判定した場合、更に前記HTTPリクエストに設定されているメソッドが前記クライアントのユーザに対して使用が許可されているか否かを前記メソッド規制情報に基づいて判定し、使用が許可されていない場合に前記WWWサーバへのHTTPリクエストを不許可とすることによって、HTTPリクエストのメソッドの使用を前記クライアントのユーザ毎又はユーザが属するグループ毎に規制するようにした請求項13に記載のHTTPリクエストのメソッド制御方法。The identification information is associated with the URL stored in the URL database, and is associated with the user of the client or the group to which the user belongs. The control means, when judging that the method is the control target method and the URL is a control target URL, determines whether the method set in the HTTP request is permitted to be used by the user of the client. Judgment is made based on the method regulation information, and when the use is not permitted, the HTTP request to the WWW server is disallowed, so that the use of the method of the HTTP request is performed for each user of the client or for each group to which the user belongs. 14. The method according to claim 13, wherein Method control method of TTP request.
JP2003141436A 2003-05-20 2003-05-20 Data relay system having HTTP request method control function and method control method thereof Expired - Lifetime JP4524492B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003141436A JP4524492B2 (en) 2003-05-20 2003-05-20 Data relay system having HTTP request method control function and method control method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003141436A JP4524492B2 (en) 2003-05-20 2003-05-20 Data relay system having HTTP request method control function and method control method thereof

Publications (2)

Publication Number Publication Date
JP2004348202A true JP2004348202A (en) 2004-12-09
JP4524492B2 JP4524492B2 (en) 2010-08-18

Family

ID=33529788

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003141436A Expired - Lifetime JP4524492B2 (en) 2003-05-20 2003-05-20 Data relay system having HTTP request method control function and method control method thereof

Country Status (1)

Country Link
JP (1) JP4524492B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007181031A (en) * 2005-12-28 2007-07-12 Canon System Solutions Inc Information processor, method for controlling the same, program and storage medium
WO2008081967A1 (en) 2006-12-28 2008-07-10 Canon Kabushiki Kaisha Information processing device, information processing device control method, program, and recording medium
JP2009032246A (en) * 2007-06-29 2009-02-12 Canon It Solutions Inc Information processor, information processing method, program, and recording medium
KR20180049203A (en) * 2013-11-27 2018-05-10 인터디지탈 패튼 홀딩스, 인크 Media presentation description

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001282797A (en) * 2000-03-31 2001-10-12 Digital Arts Inc Internet browsing control method, medium recording program for implementing the method, and internet browsing control device

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001282797A (en) * 2000-03-31 2001-10-12 Digital Arts Inc Internet browsing control method, medium recording program for implementing the method, and internet browsing control device

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007181031A (en) * 2005-12-28 2007-07-12 Canon System Solutions Inc Information processor, method for controlling the same, program and storage medium
US9197447B2 (en) 2006-12-28 2015-11-24 Canon Kabushiki Kaisha Information processing apparatus, method of controlling information processing apparatus, program for control method, and recording medium for program
EP2101268A1 (en) * 2006-12-28 2009-09-16 Canon Kabushiki Kaisha Information processing device, information processing device control method, program, and recording medium
CN102176706A (en) * 2006-12-28 2011-09-07 佳能株式会社 Information processing device and information processing method
US8291087B2 (en) 2006-12-28 2012-10-16 Canon Kabushiki Kaisha Information processing apparatus and method to facilitate administration of web e-mail
EP2101268A4 (en) * 2006-12-28 2013-01-02 Canon Kk Information processing device, information processing device control method, program, and recording medium
EP2544418A1 (en) 2006-12-28 2013-01-09 Canon Kabushiki Kaisha Information processing apparatus, method of controlling information processing apparatus, program for control method, and recording medium for program
WO2008081967A1 (en) 2006-12-28 2008-07-10 Canon Kabushiki Kaisha Information processing device, information processing device control method, program, and recording medium
JP2009032246A (en) * 2007-06-29 2009-02-12 Canon It Solutions Inc Information processor, information processing method, program, and recording medium
JP2009064476A (en) * 2007-06-29 2009-03-26 Canon It Solutions Inc Information processor, information processing method, program, and recording medium
KR20180049203A (en) * 2013-11-27 2018-05-10 인터디지탈 패튼 홀딩스, 인크 Media presentation description
KR102221066B1 (en) * 2013-11-27 2021-02-26 인터디지탈 패튼 홀딩스, 인크 Media presentation description
US11582495B2 (en) 2013-11-27 2023-02-14 Interdigital Patent Holdings, Inc. Media presentation description

Also Published As

Publication number Publication date
JP4524492B2 (en) 2010-08-18

Similar Documents

Publication Publication Date Title
US6772214B1 (en) System and method for filtering of web-based content stored on a proxy cache server
US7269853B1 (en) Privacy policy change notification
US7805513B2 (en) Access control list checking
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
JP3995338B2 (en) Network connection control method and system
US7200862B2 (en) Securing uniform resource identifier namespaces
US8661539B2 (en) Intrusion threat detection
US7134137B2 (en) Providing data to applications from an access system
US7080077B2 (en) Localized access
US7249369B2 (en) Post data processing
JP4891299B2 (en) User authentication system and method using IP address
US20020073335A1 (en) System and method for serving content over a wide area network
US20030130953A1 (en) Systems and methods for monitoring the presence of assets within a system and enforcing policies governing assets
US20070027986A1 (en) Selective cache flushing in identity and access management systems
US20020112155A1 (en) User Authentication
US20020165960A1 (en) Access tester
US6085324A (en) Monitoring and regulatory system for the internet
EP1316041A1 (en) Query string processing
JP2004512594A (en) How to control access to Internet sites
CA2502383A1 (en) Account creation via a mobile device
KR20020027702A (en) Method for intercepting the harmfulness site connection on the Internet
US7841005B2 (en) Method and apparatus for providing security to web services
JP4524492B2 (en) Data relay system having HTTP request method control function and method control method thereof
JP2006079228A (en) Access management device
JP2002183008A (en) Authentication device, firewall, terminal, server, authenticating method, and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090714

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090911

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100511

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100518

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130611

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4524492

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130611

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130611

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term