[go: up one dir, main page]

JP4223058B2 - 中継装置、中継方法、及びプログラム - Google Patents

中継装置、中継方法、及びプログラム Download PDF

Info

Publication number
JP4223058B2
JP4223058B2 JP2006547813A JP2006547813A JP4223058B2 JP 4223058 B2 JP4223058 B2 JP 4223058B2 JP 2006547813 A JP2006547813 A JP 2006547813A JP 2006547813 A JP2006547813 A JP 2006547813A JP 4223058 B2 JP4223058 B2 JP 4223058B2
Authority
JP
Japan
Prior art keywords
server
access request
access
information
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006547813A
Other languages
English (en)
Other versions
JPWO2006057280A1 (ja
Inventor
潤哉 藤原
隆文 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPWO2006057280A1 publication Critical patent/JPWO2006057280A1/ja
Application granted granted Critical
Publication of JP4223058B2 publication Critical patent/JP4223058B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、中継装置、中継方法、及びプログラムに関する。特に本発明は、通信端末からのアクセス要求に応じて発行されたチケット情報を用いてクライアント認証を受けることで、サーバ間暗号化通信を効率良く実現する中継装置、中継方法、及びプログラムに関する。
従来、有線LAN、無線LAN、及び携帯電話網等のローカルエリア・ネットワーク(LAN)と、インターネット等のワイドエリア・ネットワーク(WAN)とを接続するために、ゲートウェイ等の中継装置が用いられる。このような中継装置は、LANに接続されたパーソナルコンピュータ(PC)、携帯情報端末(PDA)、及び携帯電話等の通信端末と、WANに接続されたWebサーバ等のサーバの間の通信を中継する。
通信端末及びサーバの間で機密性の高いデータを送受信する方法としては、通信端末及びサーバの間でエンド・トゥ・エンド暗号化通信を行う方法、及び、中継装置及びサーバの間でサーバ間暗号化通信を行う方法が提案されている。
エンド・トゥ・エンド暗号化通信においては、通信端末がメッセージを暗号化して送信し、サーバが復号化する。また、サーバがメッセージを暗号化して送信し、通信端末が復号化する。本通信方式に関し、通信端末がメッセージの暗号化に用いるサーバの公開鍵を通信端末へ送信し、サーバがメッセージの暗号化に用いる通信端末の公開鍵をサーバへ送信することにより、通信端末及びサーバの相互認証処理を代行する中継装置が開示されている(特許文献1)。また、暗号化されたメッセージを中継装置が一旦復号化して変更を加える技術が開示されている(特許文献2)。
一方、サーバ間暗号化通信においては、通信端末及び中継装置の間では通常非暗号化通信を行い、中継装置及びサーバの間では暗号化通信を行う。特に、携帯電話等とサーバとの間の通信においては、携帯電話側のネットワークは機密性の高いクローズド・ネットワークであること、及び、携帯電話で暗号処理を行うのではなく中継装置で暗号化処理を行うことで通信性能が向上することから、サーバ間暗号化通信が有効である。本通信方式に関し、通信端末の認証に用いる証明書を中継装置が管理し、当該証明書を用いてサーバとの間で相互認証を行う技術が開示されている(特許文献3)。また、通信端末の証明書を証明書管理サーバに登録しておき、通信端末が中継装置を介して証明書管理サーバにログイン認証を行って、当該証明書を中継装置へダウンロードさせる技術が開示されている(特許文献4)。また、通信経路上の中継装置のIDを用いて中継装置及びサーバの間のデータの正当性を判断する技術が開示されている(特許文献5)。
また、サーバが通信装置の証明書を要求するか否かに基づいて、エンド・トゥ・エンド暗号化通信とサーバ間暗号化通信とを切替える技術が開示されている(特許文献6)。
特開2001−134534号公報 特表2003−503963号公報 特開2002−82907号公報 特開2001−251297号公報 特開2001−244996号公報 特開2002−111747号公報
例えば携帯電話網のように多種多様の通信端末が接続されるLANとWANとを接続する場合、中継装置は、Webページを携帯電話用に変換する等の変換機能を提供することが望ましい。また、携帯電話網自体は機密性が高いこと、及び、携帯電話は暗号化処理能力が比較的低いことから、中継装置はサーバ間暗号化通信をサポートすることが望ましい。
しかし、携帯電話網に接続される携帯電話の数は膨大であり、特許文献3及び4のように各携帯電話用のクライアント証明書を集中管理すると保守・管理コストが高くなってしまう。
そこで本発明は、上記の課題を解決することのできる中継装置、中継方法、及びプログラムを提供することを目的とする。この目的は特許請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。
本発明の第1の形態によると、通信端末及びサーバの間の通信を中継する中継装置であって、前記通信端末から前記サーバに対する第1のアクセス要求を受信するアクセス要求受信部と、前記第1のアクセス要求に応じて前記サーバが認証を行うに用いる、当該第1のアクセス要求について当該中継装置を識別するチケット情報を、外部の認証サーバから取得するチケット情報取得部と、前記第1のアクセス要求及び前記チケット情報を暗号化して前記サーバへ送信するアクセス要求送信部と、前記チケット情報を用いて当該中継装置を認証した前記サーバから受信した、前記第1のアクセス要求に対する暗号化された第1のアクセス応答を復号化するアクセス応答復号部と、復号化された前記第1のアクセス応答を前記通信端末へ送信するアクセス応答送信部とを備える中継装置と、当該中継装置に関する中継方法及びプログラムとを提供する。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
本発明によれば、通信端末からのアクセス要求に応じて発行されたチケット情報を用いてクライアント認証を受ける中継装置を提供することができる。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、本実施形態に係る通信システム10の構成を示す。本実施形態に係る通信システム10は、第1ネットワーク110及び第2ネットワーク150の間の通信を中継装置100により中継する。そして、中継装置100は、通信端末130の要求に基づきエンド・トゥ・エンド暗号化通信及びサーバ間暗号化通信を適切に使い分ける。また、サーバ間暗号化通信においては、認証サーバ170により一時的に発行されたワンタイム・パスワード等のチケット情報を用いて、中継装置100自体がクライアント認証を受ける。これらの機能により、中継装置100は、多種多様な通信端末130が第1ネットワーク110に多数接続されている環境において、通信端末130に対しWAN接続環境を適切に提供することができる。
通信システム10は、第1ネットワーク110と、1又は複数の基地局120と、1又は複数の通信端末130と、第2ネットワーク150と、1又は複数のWebサーバ160と、1又は複数の認証サーバ170と、中継装置100とを備える。
第1ネットワーク110は、通信端末130及び中継装置100が接続されるローカルエリア・ネットワークである。本実施形態において、第1ネットワーク110は、一例として携帯電話会社により提供される携帯電話網等のクローズド・ネットワークである。基地局120は、第1ネットワーク110に接続され、無線により通信端末130と通信し、通信端末130を第1ネットワーク110に接続する。通信端末130は、例えば携帯電話、携帯情報端末(PDA)、又はパーソナルコンピュータ等であり、利用者の指示に応じて第2ネットワーク150上のWebサーバ160をアクセスする機能を有する。
第2ネットワーク150は、Webサーバ160、認証サーバ170、認証局180、及び中継装置100が接続されるワイドエリア・ネットワークである。本実施形態において、第2ネットワーク150は、一例としてインターネット等のオープン・ネットワークである。Webサーバ160は、本発明に係るサーバの一例であり、Webページ等の文書又はコンテンツをアクセス元の通信端末130に提供する。また、Webサーバ160は、通信端末130の要求に応じてサービス処理を実行し、サービス処理の結果を通信端末130へ応答する。
認証サーバ170は、中継装置100とWebサーバ160の間で相互認証を行うことを条件として、Webサーバ160が中継装置100の認証に用いるワンタイム・パスワード等のチケット情報を生成し、中継装置100に対して発行する。認証局180は、中継装置100の認証に用いる中継装置100の証明書(クライアント証明書)を発行し、中継装置100へ供給する。
中継装置100は、例えばゲートウェイ装置であり、第1ネットワーク110及び第2ネットワーク150に接続され、通信端末130及びWebサーバ160の間の通信を中継する。より具体的には、中継装置100は、通信端末130からWebサーバ160に対するアクセス要求を受信し、Webサーバ160へ転送する。また、アクセス要求に対するアクセス応答をWebサーバ160から受信し、通信端末130へ転送する。本実施形態において、アクセス要求は、宛先のWebサーバ160を指定する宛先情報と、Webサーバ160により実行されるべきサービス処理を識別するサービス識別情報とを含む。
本実施形態に係る中継装置100は、以下に示す非暗号化通信、エンド・トゥ・エンド暗号化通信、及びサーバ間暗号化通信の3種類の通信方式を用いることができる。
(1)非暗号化通信
通信端末130及びWebサーバ160の間でメッセージを暗号化せず、平文により送受信する通信方式である。中継装置100は、Webサーバ160との間で非暗号化通信により通信することを指示する通信方式指示情報を含むアクセス要求を通信端末130から受信したことに応じて、非暗号化通信を中継する。非暗号化通信のアクセス要求は、例えばHTTPプロトコルによりWebサーバ160内の文書又はコンテンツを平文でダウンロードすることを要求する「GET http://…」等のアクセス要求メッセージであってよい。
(2)エンド・トゥ・エンド暗号化通信
通信端末130及びWebサーバ160の間でメッセージを暗号化して送受信し、中継装置100はメッセージを変換せずに中継するトンネリング処理を行う通信方式である。すなわち、中継装置100は、通信端末130からWebサーバ160に対する暗号化されたアクセス要求を受信し、Webサーバ160へ転送する。また、アクセス要求に対する暗号化されたアクセス応答をWebサーバ160から受信し、暗号化された状態のまま通信端末130へ転送する。
中継装置100は、通信端末130及びWebサーバ160の間でエンド・トゥ・エンド暗号化通信により通信することを指示する通信方式指示情報を含むアクセス要求を通信端末130から受信したことに応じて、エンド・トゥ・エンド暗号化通信を中継する。エンド・トゥ・エンド暗号化通信のアクセス要求は、例えばHTTPSプロトコルにより通信端末130及びWebサーバ160の間でSSL接続を要求する「CONNECT https://…」を含む接続要求メッセージを含んでもよい。また、当該アクセス要求に応じてWebサーバ160が実行すべきサービスプログラムを指定する情報及び当該サービスプログラムに与えるパラメータを指定する情報を含む、例えばCGIによるスクリプト呼び出し等を指示するメッセージであってもよい。
(3)サーバ間暗号化通信
中継装置100及びWebサーバ160の間でメッセージを暗号化して送受信する通信方式である。すなわち、中継装置100は、通信端末130からWebサーバ160に対するアクセス要求を受信し、暗号化してWebサーバ160へ送信する。また、アクセス要求に対する暗号化されたアクセス応答をWebサーバ160から受信し、復号化して通信端末130へ送信する。ここで、中継装置100及び通信端末130の間は平文で通信してもよく、中継装置100及びWebサーバ160の間とは異なる暗号鍵/復号鍵による暗号化通信を行ってもよい。
中継装置100は、サーバ間暗号化通信により通信することを指示する通信方式指示情報を含むアクセス要求を通信端末130から受信したことに応じて、サーバ間暗号化通信を行う。当該アクセス要求は、例えばWebサーバ160のサービスプログラムに与えるパラメータに、中継装置100に対してサーバ間暗号化通信を指示する「proxy_ssl_assist=on」等の記述を含むCGIスクリプト呼び出し等のメッセージであってよい。この場合、当該アクセス要求は、HTTPプロトコルに基づくアクセス要求内のURL部分に、CGIスクリプトの呼び出し、及び、サーバ間暗号化通信を指示するCGIパラメータの記述を含んでもよい。
これに代えて、当該アクセス要求は、HTTPプロトコルに基づく拡張HTTPヘッダ等に、サーバ間暗号化通信を指示する「proxy_ssl_assist:on」等の記述を含んでもよい。
サーバ間暗号化通信は、以下の2つに更に分類することができる。
(3−1)Webサーバ160がアクセス元の認証を行わないサーバ間暗号化通信
Webサーバ160にアクセス元を認証させることを指示する認証指示情報がアクセス要求に含まれていないことを条件として、中継装置100は、通信端末130の代理としてアクセス元の認証(クライアント認証)を受けることなくサーバ間暗号化通信を行う。
(3−2)Webサーバ160がアクセス元の認証を行うサーバ間暗号化通信
Webサーバ160にアクセス元を認証させることを指示する認証指示情報がアクセス要求に含まれていることを条件として、中継装置100は、通信端末130の代理としてクライアント認証を受ける。本実施形態において、当該アクセス要求は、例えばWebサーバ160のサービスプログラムに与えるパラメータに、中継装置100に対してクライアント認証を受けることを指示する「proxy_authenticate=…」等の記述を認証指示情報として含むCGIスクリプト呼び出し等のメッセージであってよい。この場合、当該アクセス要求は、HTTPプロトコルに基づくアクセス要求内のURL部分に、CGIスクリプトの呼び出し、及び、クライアント認証を受けることを指示するCGIパラメータの記述を含んでもよい。
これに代えて、当該アクセス要求は、HTTPプロトコルに基づく拡張HTTPヘッダ等に、クライアント認証を受けることを指示する記述を含んでもよい。
Webサーバ160が中継装置100のクライアント認証を行い、中継装置100がWebサーバ160のサーバ認証を行うことで、中継装置100及びWebサーバ160の間で相互認証を行うことができる。本実施形態に係る中継装置100は、クライアント認証を受けることを指示するアクセス要求について、中継装置100を識別するチケット情報の発行を認証サーバ170に要求する。ここで、認証指示情報を含むアクセス要求は、当該アクセス要求についてチケット情報を発行すべき認証サーバ170を識別する認証先情報を含んでもよい。この認証先情報は、例えば「proxy_authenticate="認証サーバ170のURL"」等として、認証指示情報に対応付けて記述されてよい。この場合、中継装置100は、認証先情報により指定される認証サーバ170に対し、チケット情報の発行を要求する。
なお、中継装置100及び認証サーバ170は、チケット情報の発行に先立って、相互認証を行う。中継装置100をクライアント認証することにより、認証サーバ170は、Webサーバ160によるサービスの利用を許可されていない中継装置100に対してチケット情報を発行するのを防ぐことができる。この結果、通信システム10は、サービスに加入していない通信端末130からWebサーバ160のサービスが利用されるのを間接的に防ぐことができる。
以上に示した中継装置100によれば、アクセス要求の内容に基づいて、非暗号化通信、エンド・トゥ・エンド暗号化通信、及び、サーバ間暗号化通信を適切に使い分けることができる。また、サーバ間暗号化通信を用いることで、通信端末130が個別にクライアント認証を受ける代わりに、中継装置100が一時的なチケット情報に基づいてクライアント認証を受けることができる。このため、中継装置100は、機密性の高いクローズド・ネットワークに接続される各通信端末130のクライアント証明書を個別に管理することなくクライアント認証機能を提供することができる。
なお、以上に代えて、中継装置100は、通信端末130及びWebサーバ160が共に接続されるネットワーク上に設けられてもよい。この形態において、中継装置100は、通信端末130からWebサーバ160に対するアクセス要求を一旦受信して、当該ネットワークを介してWebサーバ160に転送する。また、アクセス要求に対するアクセス応答をWebサーバ160から受信して、当該ネットワークを介して通信端末130に転送する。
図2は、本実施形態に係る中継装置100の構成を示す。中継装置100は、アクセス要求受信部200と、要求モニタ部205と、確認要求送信部220と、確認応答受信部225と、認証情報取得部210と、チケット情報取得部215と、サービス情報記憶部230と、ゲートウェイ・アプリケーション処理部235と、アクセス要求送信部240と、アクセス応答受信部245と、応答モニタ部250と、リンク変更指示情報取得部255と、コンテンツ変換部260と、アクセス応答送信部265とを備える。
アクセス要求受信部200は、通信端末130からWebサーバ160に対するアクセス要求を受信する。要求モニタ部205は、アクセス要求の内容、すなわち例えば通信方式指示情報に基づいて、非暗号化通信、エンド・トゥ・エンド暗号化通信、及びサーバ間暗号化通信のいずれを用いて通信させるかを選択し、選択した通信方式に応じた要求処理を行う。ここで、非暗号化通信又はサーバ間暗号化通信を行う場合、要求モニタ部205は、アクセス要求をゲートウェイ・アプリケーション処理部235へ転送し、ゲートウェイ・アプリケーション処理部235及びアクセス要求送信部240を介してWebサーバ160へ送信させる。
確認要求送信部220は、サーバ間暗号化通信を行うことを条件として、中継装置100がWebサーバ160によるクライアント認証を受けるか否かの確認を通信端末130の利用者に要求する。より具体的には、確認要求送信部220は、通信端末130からのアクセス要求についてWebサーバ160に対し当該中継装置100を認証させるか否かの確認要求を通信端末130へ送信し、通信端末130の利用者により確認させる。確認応答受信部225は、確認要求に対する利用者の確認結果を含む確認応答を通信端末130から受信し、中継装置100がWebサーバ160によるクライアント認証を受けるか否かの指示を受け取る。この確認結果を受けて、要求モニタ部205は、Webサーバ160に対し当該中継装置100を認証させるか否かを判断する。
サービス情報記憶部230は、当該中継装置100が受けることができる各サービス処理、すなわち通信端末130からのアクセス要求に応じて各Webサーバ160が実行すべきサービス処理が登録される。より具体的には、サービス情報記憶部230は、サービス処理を識別するサービス識別情報のそれぞれに対応付けて、通信方式許可情報、認証許可情報、及び、確認許可情報を記憶する。通信方式許可情報は、当該サービス処理に用いることができる通信方式を指定する。認証許可情報は、当該サービス処理についてWebサーバ160によるクライアント認証を許可するか否かを指定する。確認許可情報は、Webサーバ160によるクライアント認証の確認要求を通信端末130へ送信するか否かを指定する。
認証情報取得部210は、サーバ間暗号化通信を行う場合において、通信端末130から受信したアクセス要求内にアクセス元を認証させる旨の認証指示情報が含まれていることを条件として、当該認証指示情報を取得する。なお、要求モニタ部205は、Webサーバ160に対し当該中継装置100を認証させないことを条件として、認証情報取得部210の上記動作を禁止する。チケット情報取得部215は、認証情報取得部210が取得した認証指示情報に基づいて、外部の認証サーバ170からチケット情報を取得する。このチケット情報は、例えばワンタイム・パスワードであり、通信端末130の識別情報とは無関係に認証サーバ170により割り当てられた、当該アクセス要求について中継装置100を識別するための識別情報である。本実施形態において、チケット情報取得部215は、外部の認証サーバ170との間で相互認証を行って、チケット情報を取得する。
ゲートウェイ・アプリケーション処理部235は、非暗号化通信又はサーバ間暗号化通信を行うことを条件として、通信端末130及びWebサーバ160の間でアクセス要求及び/又はアクセス応答に対しデータ変換、すなわち例えばコンテンツ変換等を行う。例えば、ゲートウェイ・アプリケーション処理部235は、パーソナルコンピュータ向けに用意されたWebサーバ160上のWebページを、携帯電話である通信端末130向けに適合させる等の変換処理を行う。なお、エンド・トゥ・エンド暗号化通信において、ゲートウェイ・アプリケーション処理部235は、特許文献2に開示されているように中継装置100及びWebサーバ160の復号鍵を予め取得しておき、トランスコーディングによりアクセス要求及びアクセス応答に対しデータ変換を行ってもよい。
アクセス要求送信部240は、要求モニタ部205による要求処理により出力されるアクセス要求をゲートウェイ・アプリケーション処理部235を介して受け取る。そして、アクセス要求送信部240は、アクセス要求を、第2ネットワーク150を介してWebサーバ160へ送信する。ここで、サーバ間暗号化通信を行うことを条件として、アクセス要求送信部240は、アクセス要求を暗号化してWebサーバ160へ送信する。なお、Webサーバ160によるクライアント認証を受ける場合には、アクセス要求送信部240は、アクセス要求、及び、チケット情報取得部215により取得されたチケット情報を暗号化してWebサーバ160へ送信する。
アクセス応答受信部245は、本発明に係るアクセス応答復号部の一例であり、アクセス要求に対するWebサーバ160のアクセス応答を受信する。そして、アクセス応答受信部245は、サーバ間暗号化通信を用いたアクセス要求に対するアクセス応答を復号化する。ここで、アクセス応答受信部245が受信するアクセス応答は、例えばサービス処理の処理結果を通信端末130に表示させるHTML等の文書、及び/又は、アクセスされたコンテンツ等を含む。この文書及びコンテンツ等は、他の文書及び/又はコンテンツ等に対するアクセスを要求するためのリンク情報、すなわち例えばハイパーリンク又はCGIによるスクリプト呼び出し等を含んでもよい。通信端末130は、利用者により当該リンク情報が指定された場合等に、当該リンク情報により指定される文書又はコンテンツに対するアクセス要求をWebサーバ160に対して送信する。
応答モニタ部250は、通信方式及びアクセス応答の内容に基づいて、アクセス応答処理を行う。より具体的には、応答モニタ部250は、非暗号化通信又はサーバ間暗号化通信を用いたアクセス要求に対するアクセス応答のヘッダ及び内容を解析する。一方、応答モニタ部250は、エンド・トゥ・エンド暗号化通信を用いたアクセス要求に対するアクセス応答については、内容の解析を行わずコンテンツ変換部260へ転送する。
リンク変更指示情報取得部255は、リンク変更指示情報がアクセス応答のヘッダ又は内容中に含まれていることを条件として、当該リンク変更指示情報を取得する。このリンク変更指示情報は、文書又はコンテンツのリンク先に対するアクセス要求において中継装置100及びWebサーバ160の間でサーバ間暗号化通信を行うように各リンク情報を変更することを指示するサーバ間暗号化指示情報、又は、文書若しくはコンテンツのリンク先に対するアクセス要求においてチケット情報を取得させ、中継装置100及びWebサーバ160の間の相互認証を行わせるように各リンク情報を変更することを指示する相互認証指示情報を含みうる。
コンテンツ変換部260は、リンク変更指示情報を取得したことに応じて、アクセス応答により受信した文書又はコンテンツの各リンク情報を変更する。すなわち、サーバ間暗号化指示情報を取得したことに応じて、コンテンツ変換部260は、コンテンツ内の暗号化通信を指示するリンク情報を、サーバ間暗号化通信を指示するリンク情報に変換する。これにより通信端末130は、当該リンク情報のアクセスを指示されたことに応じて、サーバ間暗号化通信を中継装置100に指示するアクセス要求を中継装置100へ送信する。
また、相互認証指示情報を取得したことを条件として、コンテンツ変換部260は、コンテンツ内の各リンク情報を、中継装置100及びWebサーバ160の間の相互認証を指示するリンク情報に変換する。これにより通信端末130は、当該リンク情報のアクセスを指示されたことに応じて、認証指示情報を含み、認証サーバ170からチケット情報を取得すべきことを指示するアクセス要求を中継装置100へ送信する。
アクセス応答送信部265は、アクセス応答受信部245により受信され、応答モニタ部250、リンク変更指示情報取得部255、コンテンツ変換部260、及びゲートウェイ・アプリケーション処理部235により必要に応じて変換されたアクセス応答を受け取り、第1ネットワーク110を介して通信端末130へ送信する。
図3は、本実施形態に係る中継装置100の動作フローを示す。
まず、アクセス要求受信部200は、通信端末130からWebサーバ160に対するアクセス要求を受信する(ステップS300)。次に、要求モニタ部205は、アクセス要求の内容、すなわち例えば通信方式指示情報に基づいて、通信方式を選択する(S305)。なお、アクセス要求は、当該アクセス要求に応じてWebサーバ160が実行すべきサービス処理を識別するサービス識別情報を更に含んでもよい。この場合、要求モニタ部205は、アクセス要求に含まれるサービス識別情報に対応付けてサービス情報記憶部230に記憶された通信方式許可情報を読み出し、アクセス要求の内容に基づいて選択した通信方式の使用が許可されていることを条件として当該通信方式を用いる。
次に、中継装置100は、非暗号化通信、エンド・トゥ・エンド暗号化通信、及びサーバ間暗号化通信の各通信方式に応じて、以下の処理を行う。
(1)非暗号化通信
非暗号化通信方式が選択されたことを条件として、要求モニタ部205は、アクセス要求をゲートウェイ・アプリケーション処理部235へ転送する。ゲートウェイ・アプリケーション処理部235は、アクセス要求に応じて必要なデータ変換を行う。そして、アクセス要求送信部240は、ゲートウェイ・アプリケーション処理部235から受け取ったアクセス要求を、宛先のWebサーバ160へ暗号化せずに送信する(S310)。
次に、アクセス応答受信部245は、アクセス要求に応じてWebサーバ160により送信されるアクセス応答を平文で受信して応答モニタ部250へ転送し、処理をS355へ進める(S315)。
(2)エンド・トゥ・エンド暗号化通信
エンド・トゥ・エンド暗号化通信が選択されたことを条件として、要求モニタ部205は、アクセス要求の一部として含まれる接続要求メッセージをゲートウェイ・アプリケーション処理部235へ転送する。ゲートウェイ・アプリケーション処理部235は、当該接続要求メッセージを受けて、アクセス要求送信部240及びアクセス応答受信部245を介してWebサーバ160との間でメッセージを送受信し、Webサーバ160との間でTCP接続等のコネクションを確立する(S317)。コネクションの確立後、ゲートウェイ・アプリケーション処理部235は、アクセス応答送信部265を介して通信端末130に対し接続応答メッセージを送信する。
次に、通信端末130及びWebサーバ160は、暗号化通信路の確立のためのデータを中継装置100を介して交換する。すなわち例えば、SSL接続を行うことを条件として、通信端末130は、"SSL Client Hello"メッセージを送信し、Webサーバ160から"SSL Server Hello"メッセージ、サーバ証明書、及び"Server Hello Done"メッセージを受信する。次に、通信端末130は、"Change Cipher Spec"メッセージ及び"Finish"メッセージを送信する。次に、通信端末130は、"Change Cipher Spec"、及び"Finish"メッセージをWebサーバ160から受信する。これにより、通信端末130及びWebサーバ160の間で、暗号化通信が確立される(S318)。
次に、通信端末130は、Webサーバ160内の文書又はコンテンツ等をアクセスする、暗号化されたアクセス要求を中継装置100へ送信する。当該アクセス要求は、要求モニタ部205及びゲートウェイ・アプリケーション処理部235を介してアクセス要求送信部240へ転送される。アクセス要求送信部240は、サーバ間暗号化通信を指示されておらず、通信端末130及びWebサーバ160間でエンド・トゥ・エンド暗号化通信を行うべき当該アクセス要求を当該中継装置100において暗号化せずにWebサーバ160へ送信する(S320)。
次に、アクセス応答受信部245は、当該アクセス要求に対するアクセス応答をWebサーバ160から受信する(S325)。アクセス応答受信部245は、当該アクセス応答を復号化せず通信端末130へ送信する(S360)。
(3)サーバ間暗号化通信
サーバ間暗号化通信が選択された場合において、認証情報取得部210は、Webサーバ160にアクセス元を認証させることを指示する認証指示情報がアクセス要求内、すなわち例えば当該アクセス要求に含まれるパラメータ内に含まれることを条件として、当該認証指示情報を取得し処理をS335に進める(S330)。ここで、アクセス要求内に認証指示情報及び認証先情報が含まれることを条件として、認証情報取得部210は、当該アクセス要求内から認証先情報を更に取得しておく。次に、確認要求送信部220は確認要求を通信端末130へ送信し、確認応答受信部225は確認応答を受信する(S335)。
ここで、確認要求送信部220は、アクセス要求に対応するサービス処理に応じて、通信端末130へ確認要求を送信するか否かを判断してもよい。より具体的には、サービス情報記憶部230は、サービス識別情報に対応付けて、確認要求を通信端末130へ送信することを許可するか否かを指定する確認許可情報を記憶しておく。そして、要求モニタ部205は、サーバ間暗号化通信を行うべきアクセス要求に含まれるサービス識別情報に対応する確認許可情報が「許可」を示すことを条件として、確認要求送信部220に対し確認要求を送信することを許可する。これにより、確認要求送信部220は、アクセス要求に含まれるサービス識別情報に対応して確認要求を通信端末130へ送信することを許可する確認許可情報が記憶されていることを条件として、確認要求を通信端末130へ送信することができる。この結果、確認応答受信部225は確認応答を通信端末130から受信する。一方、当該確認許可情報が「禁止」を示すことを条件として、確認要求送信部220は、通信端末130に対し確認要求を送信しない。
次に、チケット情報取得部215は、認証指示情報がアクセス要求内に含まれており、当該アクセス要求に応じてWebサーバ160がアクセス元の認証を行うことを条件として、当該アクセス要求について当該中継装置100を識別するチケット情報を認証サーバ170から取得する(S340)。このチケット情報は、アクセス元を認証するためにWebサーバ160により用いられる。この際、認証先情報が指定されていることを条件として、チケット情報取得部215は、認証先情報により指定される認証サーバ170からチケット情報を取得する。
S340において、チケット情報取得部215は、当該アクセス要求についてWebサーバ160に対し当該中継装置100を認証させることを示す確認応答を受信したことに応じて、要求モニタ部205の指示を受けてチケット情報を認証サーバ170から取得する。また、当該アクセス要求に含まれるサービス識別情報に対応して確認要求を通信端末130へ送信することを許可しない旨の確認許可情報がサービス情報記憶部230に記憶されていることを条件として、チケット情報取得部215は、チケット情報を認証サーバ170から取得して、利用者に確認を取ることなくWebサーバ160による認証を受ける。ここで、チケット情報取得部215は、チケット情報の取得に先立って、認証サーバ170との間で相互認証を行い、暗号化通信によりチケット情報を取得する。
なお、S335及びS340において、チケット情報取得部215は、アクセス要求に含まれるサービス識別情報に対応して、チケット情報の取得を許可する認証許可情報がサービス情報記憶部230に記憶されていることを条件として、チケット情報を認証サーバ170から取得してよい。これにより、中継装置100は、当該中継装置100が加入しているサービスに対してのみ、チケット情報の発行を受けてクライアント認証を受けることができる。
次に、要求モニタ部205は、アクセス要求と、チケット情報取得部215により取得されたチケット情報とをゲートウェイ・アプリケーション処理部235を介してアクセス要求送信部240へ転送する。次に、アクセス要求送信部240は、Webサーバ160との間で暗号化通信路を確立する。アクセス要求送信部240は、認証指示情報がアクセス要求内に含まれ、当該アクセス要求に応じてWebサーバ160がアクセス元の認証を行うことを条件として、アクセス要求及びチケット情報を暗号化してWebサーバ160へ送信する(S345)。
一方、アクセス要求送信部240は、認証指示情報がアクセス要求内に含まれず、当該アクセス要求に応じてWebサーバ160がアクセス元の認証を行わないことを条件として、アクセス要求を暗号化してWebサーバ160へ送信する(S345)。これにより、アクセス要求送信部240は、サーバ間暗号化通信を行うべきであるが、クライアント認証を要しないアクセス要求については、チケット情報取得部215によりチケット情報を取得することなくWebサーバ160へ送信することができる。
次に、アクセス応答受信部245は、アクセス要求送信部240が送信したアクセス要求に対する、暗号化されたアクセス応答を受信して復号化する(S350)。ここで、クライアント認証を行った場合には、アクセス応答受信部245は、チケット情報を用いて当該中継装置100を認証したWebサーバ160から、アクセス要求に対する暗号化されたアクセス応答を受信し、復号化する。
上記(1)及び(3)の場合、アクセス応答受信部245により受信されたアクセス応答は、アクセス応答受信部245により復号化され、応答モニタ部250へ転送される。応答モニタ部250、リンク変更指示情報取得部255、及びコンテンツ変換部260は、アクセス応答により受信した文書又はコンテンツのリンク情報を、必要に応じて変更する(S355)。すなわち、応答モニタ部250は、アクセス応答のヘッダ及び内容を解析する。リンク変更指示情報取得部255は、アクセス応答のヘッダ又は内容中に含まれるリンク変更指示情報を取得する。コンテンツ変換部260は、リンク変更情報に基づいて、アクセス応答により受信した文書又はコンテンツ内の各リンク情報を変更する。
より具体的には、文書又はコンテンツのリンク情報には、当該リンク情報が選択されたことに応じて通信端末130が送信すべきアクセス要求に含める情報が記述される。そして、アクセス応答がサーバ間暗号化指示情報を含むことを条件として、コンテンツ変換部260は、リンク先に対するアクセス要求に、サーバ間暗号化通信を行うべきことを示す通信方式指示情報を含めるようにリンク情報を変更する。また、アクセス応答が相互認証指示情報を含むことを条件として、コンテンツ変換部260は、リンク先に対するアクセス要求に、認証指示情報、又は、認証指示情報及び認証先情報を含めるようにリンク情報を変更する。リンク情報が変更されたアクセス応答は、ゲートウェイ・アプリケーション処理部235を介してアクセス応答送信部265へ転送される。
本実施形態に係るアクセス応答は、サーバ間暗号化指示情報として、拡張HTTPヘッダ内に「ssl_conversion:to_proxy_ssl_assist …」の記述を含んでよく、これに代えて文書又はコンテンツの内容として当該記述を含んでもよい。また、アクセス応答は、上記のサーバ間暗号化指示情報の「…」部分に相互認証指示情報を含んでもよい。
そして、コンテンツ変換部260は、アクセス応答内にサーバ間暗号化指示情報が少なくとも1つ記述されていることを条件として、暗号化通信を行う全てのリンク情報に対するアクセス要求においてサーバ間暗号化通信を指定するように全てのリンク情報を変更する。例えば、HTTPSプロトコルによるアクセス要求の送信を指示する「https://…」の記述を、HTTPプロトコルによるアクセス要求の送信を指示する「http://…」の記述に変更し、CGIパラメータにproxy_ssl_assist=on」を追加する。また、コンテンツ変換部260は、アクセス応答内に相互認証指示情報が記述されていることを条件として、サーバ間暗号化通信を行うリンク情報を、クライアント認証を指示するリンク情報に変更する。すなわち例えば、コンテンツ変換部260は、リンク情報のCGIパラメータに、「proxy_path_authenticate=〜」の記述を追加する。
また、アクセス応答は、リンク変更指示情報として、リンク先に対するアクセス要求において、エンド・トゥ・エンド暗号化通信を行うことを指示するエンド・トゥ・エンド暗号化通信指示情報を含んでもよい。この場合、コンテンツ変換部260は、サーバ間暗号化通信を行うことを指示する全てのリンク情報を、エンド・トゥ・エンド暗号化通信を行うことを指示するリンク情報に変更する。例えば、サーバ間暗号化通信を指示する「http://…」を「https://…」に変更し、CGIパラメータ内の「proxy_ssl_assist=on」の記述を削除する。
S325及びS355の処理を終えると、アクセス応答送信部265は、ゲートウェイ・アプリケーション処理部235を介して受け取ったアクセス応答を通信端末130へ送信する。
以上に示した中継装置100によれば、リンク変更指示情報に基づいて、アクセス応答内の各リンク情報に対応するアクセス要求内に、サーバ間暗号化通信を指定する通信方式指定情報、エンド・トゥ・エンド暗号化通信を指定する通信方式指定情報、及び/又は認証指示情報を含めるようにリンク情報を変更することができる。これにより、Webサーバ160の管理者は、アクセス応答のヘッダ、又は、各文書若しくはコンテンツ内の1箇所にリンク変更指示情報を記述することで、各リンク情報を中継装置100により一括して変更させることができる。
図4は、本実施形態に係る通信システム10の非暗号化通信のシーケンスを示す。
まず、通信端末130は、例えば「http://…」を含み、「proxy_ssl_assist=on」を含まないリンク情報が選択されたことに応じて、中継装置100に対しアクセス要求メッセージ400を送信する。中継装置100内の要求モニタ部205は、アクセス要求が「http://…」を含み、「proxy_ssl_assist=on」を含まないことから、非暗号化通信を選択する。この結果、中継装置100は、アクセス要求メッセージ400を暗号化せずにアクセス要求メッセージ410としてWebサーバ160へ送信する。
Webサーバ160は、アクセス要求メッセージ410に応答して、アクセス要求メッセージ410の対象となる文書又はコンテンツを含むアクセス応答メッセージ420を送信する。アクセス応答メッセージ420を受信すると、中継装置100内の応答モニタ部250は、アクセス応答メッセージ420を解析する。リンク変更指示情報取得部255は、リンク変更指示情報がアクセス応答メッセージ420内に含まれていることを条件として、当該リンク変更指示情報を取得する。リンク変更指示情報が取得されたことを条件として、コンテンツ変換部260は、リンク変更指示情報に応じてアクセス応答内の各リンク情報を変更する。
リンク変更指示情報としてサーバ間暗号化通信指示情報を取得したことを条件として、コンテンツ変換部260は、通信端末130及びWebサーバ160の間で暗号化通信を行うことを指示するリンク情報を、通信端末130の利用者により選択されたことに応じてサーバ間暗号化通信を指示するアクセス要求を通信端末130から送信させるリンク情報に変換する。
また、リンク変更指示情報として相互認証指示情報を取得したことを条件として、コンテンツ変換部260は、コンテンツの各リンク情報を、通信端末130の利用者により選択された場ことに応じて認証指示情報を含む第1のアクセス要求を通信端末130から送信させるリンク情報に変換する。すなわち例えば、リンク先としてCGIスクリプト呼び出しを要求するURLが記述されていることを条件として、コンテンツ変換部260は、CGIパラメータに「proxy_path_authenticate=…」の記述を認証指示情報として含める変換を行う。
また、リンク変更指示情報としてエンド・トゥ・エンド暗号化通信指示情報を取得したことを条件として、コンテンツ変換部260は、暗号化通信を行うことを指示するリンク情報を、通信端末130の利用者により選択されたことに応じてエンド・トゥ・エンド暗号化通信を指示するアクセス要求を通信端末130から送信させるリンク情報に変換する。
そして、アクセス応答送信部265は、必要に応じてリンク情報が変換された文書又はコンテンツを含むアクセス応答をゲートウェイ・アプリケーション処理部235を介して受け取り、アクセス元の通信端末130へアクセス応答メッセージ430として送信する。
図5は、本実施形態に係る通信システム10のエンド・トゥ・エンド通信のシーケンスを示す。
通信端末130は、例えば「https://…」を含み、エンド・トゥ・エンド暗号化通信を指示するアクセス要求の送信を指示するリンク情報が選択されたことに応じて、エンド・トゥ・エンド暗号化通信を指示するアクセス要求を中継装置100へ送信する。一例として、図5のアクセス要求に先立って通信端末130からWebサーバ160へ送信されたアクセス要求に対するアクセス応答として、中継装置100は、当該アクセス要求の対象となる文書又はコンテンツを受信する。そして、中継装置100内のコンテンツ変換部260は、アクセス応答にエンド・トゥ・エンド暗号化通信指示情報が含まれている場ことを条件として、当該文書又はコンテンツ内における暗号化通信を指示するリンク情報を、エンド・トゥ・エンド暗号化通信を指示するリンク情報に変換する。この場合、通信端末130は、エンド・トゥ・エンド暗号化通信を指示するアクセス要求を後に送信する。
エンド・トゥ・エンド暗号化通信を指示するアクセス要求は、通信端末130及びWebサーバ160の間でコネクションを確立するために送信される接続要求メッセージ500と、暗号化通信路を確立するためのメッセージと、アクセス要求メッセージ540とを含む。まず、通信端末130は、Webサーバ160との間でコネクションを確立するため、接続要求メッセージ500を送信する。中継装置100は、接続要求メッセージ500を受けると、Webサーバ160との間でコネクション確立510を行う。中継装置100は、コネクションが確立されると、通信端末130に対し接続応答メッセージ520を送信する。そして、中継装置100は、通信端末130及びWebサーバ160の間でメッセージの内容を変更せずに転送するように設定される。この結果、通信端末130及びWebサーバ160は、中継装置100の存在を考慮することなく透過的に直接メッセージを授受する。
次に、通信端末130及びWebサーバ160は、例えばSSL接続等の暗号化通信確立530のためのメッセージを授受する。これにより、通信端末130及びWebサーバ160は、エンド・トゥ・エンド暗号化通信を行うための通信路を設定する。次に、通信端末130は、中継装置100を介してWebサーバ160へ暗号化したアクセス要求メッセージ540を送信する。次に、Webサーバ160は、中継装置100を介して通信端末130へ暗号化されたアクセス応答メッセージ550を送信する。
図6は、本実施形態に係る通信システム10のサーバ間暗号化通信のシーケンスを示す。
まず、通信端末130は、例えば「http://…」、「proxy_ssl_assist=on」、及び「proxy_path_authenticate=…」を含み、サーバ間暗号化通信及びクライアント認証を指示するアクセス要求の送信を指示するリンク情報が選択されたことに応じて、サーバ間暗号化通信及びクライアント認証を指示するアクセス要求メッセージ600を中継装置100へ送信する。
一例として、図6のアクセス要求に先立って通信端末130からWebサーバ160へ送信されたアクセス要求に対するアクセス応答として、中継装置100は、アクセス要求の対象となる文章又はコンテンツを受信する。そして、中継装置100内のコンテンツ変換部260は、アクセス応答にサーバ間暗号化通信指示情報が含まれていることを条件として、当該文書又はコンテンツ内における暗号化通信を指示するリンク情報を、サーバ間暗号化通信を指示するリンク情報に変換する。この場合、通信端末130は、サーバ間暗号化通信を指示するアクセス要求を送信する。
また、図6のアクセス要求に先立って受信したアクセス応答に認証指示情報が含まれていることを条件として、当該文書又はコンテンツ内における暗号化通信を指示するリンク情報を、認証サーバ170によりチケット情報の発行を受けてクライアント認証を行うことを指示するリンク情報に変換する。この場合、通信端末130は、サーバ間暗号化通信においてチケット情報の取得を指示するアクセス要求を送信する。
次に、中継装置100内の確認要求送信部220は、当該アクセス要求が認証指示情報「proxy_path_authenticate=…」を含み、かつ、当該アクセス要求に対応するサービスについて利用者への確認を許可する確認許可情報がサービス情報記憶部230に記憶されていることを条件として、通信端末130に対し確認要求メッセージ602を送信する。次に、確認要求メッセージ602を受信した通信端末130は、確認応答メッセージ604を送信する。
次に、チケット情報取得部215は、認証サーバ170との間で相互認証を行い暗号化通信確立610を行った後、認証サーバ170に対しチケット情報要求メッセージ620を送信してチケット情報を要求する。これを受けて、認証サーバ170は、チケット情報応答メッセージ630によりチケット情報を返送する。
次に、中継装置100及びWebサーバ160は、暗号化通信確立640により暗号化通信路を確立する。次に、中継装置100は、アクセス要求メッセージ600及びチケット情報をアクセス要求メッセージ650としてWebサーバ160へ送信する。次に、中継装置100は、アクセス要求メッセージ650に対するアクセス応答メッセージ660を受信する。
中継装置100内のアクセス応答受信部245は、受信したアクセス応答メッセージ660を復号化する。アクセス応答メッセージ660にリンク変更指示情報が含まれていることを条件として、コンテンツ変換部260は、リンク変更指示情報に基づいて、アクセス応答メッセージ660内の各リンク情報を変更する。そして、アクセス応答送信部265は、アクセス応答受信部245により復号化され、コンテンツ変換部260によりリンク情報が変更されたアクセス応答メッセージ660を、アクセス応答メッセージ670として通信端末130へ送信する。
図7は、本実施形態に係る通信システム10のサーバ間暗号化通信のシーケンスの変形例を示す。
複数の中継装置100が縦続接続されている場合、通信端末130の利用者により指定された中継装置100がチケット情報の発行を受けて、クライアント認証を受ける。
まず、通信端末130は、図6と同様にして、サーバ間暗号化通信を指示する通信方式指示情報及び認証指示情報を含むアクセス要求を含むアクセス要求メッセージ600を第1中継装置100へ送信する。次に、第1中継装置100は、図6と同様にして、確認要求メッセージ602を通信端末130へ送信し、通信端末130から確認応答メッセージ604を受信する。ここで、通信端末130の利用者がWebサーバ160に対し第1中継装置100を認証させることを指示しなかったことを条件として、第1中継装置100は、チケット情報を取得せず、第2中継装置100に対しアクセス要求メッセージ700を送信する。
第2中継装置100は、図6と同様にして、確認要求メッセージ702を通信端末130へ送信し、通信端末130から確認応答メッセージ704を受信する。通信端末130の利用者がWebサーバ160に対し第2中継装置100を認証させることを指示したことを条件として、第2中継装置100は、図6と同様にして、認証サーバ170との間で暗号化通信確立610を行う。そして、第2中継装置100は、認証サーバ170に対してチケット情報要求メッセージ620を送信し、認証サーバ170からチケット情報応答メッセージ630を受信してチケット情報を取得する。
以下、通信端末130、Webサーバ160、及び中継装置100は、図6のチケット情報応答メッセージ630、暗号化通信確立640、アクセス要求メッセージ650、アクセス応答メッセージ660、及びアクセス応答メッセージ670と同様にして、サーバ間暗号化通信を行い、アクセス応答メッセージ670を通信端末130へ送信する。
以上に示したサーバ間暗号化通信のシーケンスによれば、複数の中継装置100のうち、通信端末130の利用者により選択された中継装置100によりクライアント認証を受けることができる。ここで、図3に関連して示したとおり、アクセス要求の対象となるサービスに加入していない中継装置100は、通信端末130に対して確認要求を送信しない。したがって、通信端末130の利用者は、確認要求に基づいて、クライアント認証を受けるべき中継装置100を適切に選択することができる。
図8は、本実施形態に係る通信システム10においてチケット情報生成の準備を行なうシーケンスを示す。まず、中継装置100内のゲートウェイ・アプリケーション処理部235は、認証局180へ証明書発行要求メッセージ800を送信し、中継装置100の証明書の発行を依頼する。証明書発行要求メッセージ800を受信すると、認証局180は、中継装置100の証明書を発行し、証明書発行応答メッセージ810により中継装置100へ通知する。
次に、中継装置100は、認証サーバ170に対して認証局登録メッセージ820を送信し、認証サーバ170に対して中継装置100を認証する認証局180を登録する。次に、中継装置100は、中継装置100の証明書の作成に用いた中継装置100を特定する文字列(ID文字列)をID文字列登録メッセージ830によりWebサーバ160へ送信し、Webサーバ160に登録する。次に、Webサーバ160は、中継装置100により登録されたID文字列と、Webサーバ160が生成したSEED文字列とを含むSEED文字列登録メッセージ840を認証サーバ170へ送信し、ID文字列及びSEED文字列の組を認証サーバ170へ登録する。
以上の処理の結果、認証サーバ170は、ID文字列及びSEED文字列を保持する。そして、認証サーバ170は、中継装置100からチケット情報の発行を要求されると、ID文字列及びSEED文字列を含む情報を認証サーバ170の暗号鍵により暗号化し、チケット情報を生成する。一方、クライアント認証において中継装置100から当該チケット情報を受けたWebサーバ160は、当該チケット情報を認証サーバ170の復号鍵により復号化し、ID文字列及びSEED文字列の一致を確認することにより、中継装置100を正しく認証することができる。
図9は、本実施形態に係るコンピュータ1900の構成の一例を示す。本実施形態に係るコンピュータ1900は、中継装置100用のプログラムを実行することにより、中継装置100として機能する。コンピュータ1900は、ホスト・コントローラ2082により相互に接続されるCPU2000、RAM2020、グラフィック・コントローラ2075、及び表示装置2080を有するCPU周辺部と、入出力コントローラ2084によりホスト・コントローラ2082に接続される通信インターフェイス2030、ハードディスクドライブ2040、及びCD−ROMドライブ2060を有する入出力部と、入出力コントローラ2084に接続されるROM2010、フレキシブルディスク・ドライブ2050、及び入出力チップ2070を有するレガシー入出力部とを備える。
ホスト・コントローラ2082は、RAM2020と、高い転送レートでRAM2020をアクセスするCPU2000及びグラフィック・コントローラ2075とを接続する。CPU2000は、ROM2010及びRAM2020に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィック・コントローラ2075は、CPU2000等がRAM2020内に設けたフレーム・バッファ上に生成する画像データを取得し、表示装置2080上に表示させる。これに代えて、グラフィック・コントローラ2075は、CPU2000等が生成する画像データを格納するフレーム・バッファを、内部に含んでもよい。
入出力コントローラ2084は、ホスト・コントローラ2082と、比較的高速な入出力装置である通信インターフェイス2030、ハードディスクドライブ2040、CD−ROMドライブ2060を接続する。通信インターフェイス2030は、ネットワークを介して他の装置と通信する。ハードディスクドライブ2040は、コンピュータ1900内のCPU2000が使用するプログラム及びデータを格納する。CD−ROMドライブ2060は、CD−ROM2095からプログラム又はデータを読み取り、RAM2020を介してハードディスクドライブ2040に提供する。
また、入出力コントローラ2084には、ROM2010と、フレキシブルディスク・ドライブ2050、及び入出力チップ2070の比較的低速な入出力装置とが接続される。ROM2010は、コンピュータ1900が起動時に実行するブート・プログラムや、コンピュータ1900のハードウェアに依存するプログラム等を格納する。フレキシブルディスク・ドライブ2050は、フレキシブルディスク2090からプログラム又はデータを読み取り、RAM2020を介してハードディスクドライブ2040に提供する。入出力チップ2070は、フレキシブルディスク・ドライブ2050や、例えばパラレル・ポート、シリアル・ポート、キーボード・ポート、マウス・ポート等を介して各種の入出力装置を接続する。
RAM2020を介してハードディスクドライブ2040に提供されるプログラムは、フレキシブルディスク2090、CD−ROM2095、又はICカード等の記録媒体に格納されて利用者によって提供される。プログラムは、記録媒体から読み出され、RAM2020を介してコンピュータ1900内のハードディスクドライブ2040にインストールされ、CPU2000において実行される。
コンピュータ1900にインストールされ、コンピュータ1900を中継装置100として機能させるプログラムは、アクセス要求受信モジュールと、要求モニタモジュールと、認証情報取得モジュールと、チケット情報取得モジュールと、確認要求送信モジュールと、確認応答受信モジュールと、サービス情報管理モジュールと、ゲートウェイ・アプリケーション処理モジュールと、アクセス要求送信モジュールと、アクセス応答受信モジュールと、応答モニタモジュールと、リンク変更指示情報取得モジュールと、コンテンツ変換モジュールと、アクセス応答送信モジュールとを備える。
これらのプログラム又はモジュールは、CPU2000等に働きかけて、コンピュータ1900を、アクセス要求受信部200と、要求モニタ部205と、認証情報取得部210と、チケット情報取得部215と、確認要求送信部220と、確認応答受信部225と、サービス情報記憶部230と、ゲートウェイ・アプリケーション処理部235と、アクセス要求送信部240と、アクセス応答受信部245と、応答モニタ部250と、リンク変更指示情報取得部255と、コンテンツ変換部260と、アクセス応答送信部265としてそれぞれ機能させる。
以上に示したプログラム又はモジュールは、外部の記憶媒体に格納されてもよい。記憶媒体としては、フレキシブルディスク2090、CD−ROM2095の他に、DVDやCD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムをコンピュータ1900に提供してもよい。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
本発明の実施形態に係る通信システム10の構成を示す。 本発明の実施形態に係る中継装置100の構成を示す。 本発明の実施形態に係る中継装置100の動作フローを示す。 本発明の実施形態に係る通信システム10の非暗号化通信のシーケンスを示す。 本発明の実施形態に係る通信システム10のエンド・トゥ・エンド通信のシーケンスを示す。 本発明の実施形態に係る通信システム10のサーバ間暗号化通信のシーケンスを示す。 本発明の実施形態に係る通信システム10のサーバ間暗号化通信のシーケンスの変形例を示す。 本発明の実施形態に係る通信システム10においてチケット情報生成の準備を行なうシーケンスを示す。 本発明の実施形態に係るコンピュータ1900の構成の一例を示す。
符号の説明
10 通信システム
100 中継装置
110 第1ネットワーク
120 基地局
130 通信端末
150 第2ネットワーク
160 Webサーバ
170 認証サーバ
180 認証局
200 アクセス要求受信部
205 要求モニタ部
210 認証情報取得部
215 チケット情報取得部
220 確認要求送信部
225 確認応答受信部
230 サービス情報記憶部
235 ゲートウェイ・アプリケーション処理部
240 アクセス要求送信部
245 アクセス応答受信部
250 応答モニタ部
255 リンク変更指示情報取得部
260 コンテンツ変換部
265 アクセス応答送信部
400 アクセス要求メッセージ
410 アクセス要求メッセージ
420 アクセス応答メッセージ
430 アクセス応答メッセージ
500 接続要求メッセージ
510 コネクション確立
520 接続応答メッセージ
530 暗号化通信確立
540 アクセス要求メッセージ
550 アクセス応答メッセージ
600 アクセス要求メッセージ
602 確認要求メッセージ
604 確認応答メッセージ
610 暗号化通信確立
620 チケット情報要求メッセージ
630 チケット情報応答メッセージ
640 暗号化通信確立
650 アクセス要求メッセージ
660 アクセス応答メッセージ
670 アクセス応答メッセージ
700 アクセス要求メッセージ
702 確認要求メッセージ
704 確認応答メッセージ
800 証明書発行要求メッセージ
810 証明書発行応答メッセージ
820 認証局登録メッセージ
830 ID文字列登録メッセージ
840 SEED文字列登録メッセージ
1900 コンピュータ
2000 CPU
2010 ROM
2020 RAM
2030 通信インターフェイス
2040 ハードディスクドライブ
2050 フレキシブルディスク・ドライブ
2060 CD−ROMドライブ
2070 入出力チップ
2075 グラフィック・コントローラ
2080 表示装置
2082 ホスト・コントローラ
2084 入出力コントローラ
2090 フレキシブルディスク
2095 CD−ROM

Claims (12)

  1. 通信端末及びサーバの間の通信を中継する中継装置であって、
    前記通信端末から前記サーバに対する第1のアクセス要求を受信するアクセス要求受信部と、
    前記サーバにアクセス元を認証させることを指示する認証指示情報が前記第1のアクセス要求内に含まれることを条件として、当該認証指示情報を取得する認証情報取得部と、
    前記認証指示情報が前記第1のアクセス要求内に含まれることを条件として、前記サーバが認証を行うために用いる、当該第1のアクセス要求について当該中継装置を識別するチケット情報を、外部の認証サーバから取得するチケット情報取得部と、
    前記認証指示情報が前記第1のアクセス要求内に含まれることを条件として、前記第1のアクセス要求及び前記チケット情報を暗号化して前記サーバへ送信するアクセス要求送信部と、
    前記チケット情報を用いて当該中継装置を認証した前記サーバから受信した、前記第1のアクセス要求に対する暗号化された第1のアクセス応答を復号化するアクセス応答復号部と、
    復号化された前記第1のアクセス応答を前記通信端末へ送信するアクセス応答送信部と
    を備える中継装置。
  2. 前記認証指示情報が前記第1のアクセス要求内に含まれないことを条件として前記中継装置及び前記サーバの間で暗号化通信を行うべき前記第1のアクセス要求を暗号化して前記サーバへ送信し、
    前記アクセス応答復号部は、前記第1のアクセス要求に対する暗号化された前記アクセス応答を受信する
    請求項1記載の中継装置。
  3. 前記第1のアクセス要求は、当該第1のアクセス要求に応じて前記サーバが実行すべきサービスプログラムを指定する情報及び当該サービスプログラムに与えるパラメータを指定する情報を含み、
    前記認証情報取得部は、前記第1のアクセス要求に含まれる前記パラメータ内から前記認証指示情報を取得する
    請求項2記載の中継装置。
  4. 前記認証情報取得部は、前記第1のアクセス要求内に前記認証指示情報が含まれることを条件として、当該第1のアクセス要求について前記チケット情報を発行すべき前記認証サーバを識別する認証先情報を当該第1のアクセス要求内から更に取得し、
    前記チケット情報取得部は、前記認証指示情報が前記第1のアクセス要求内に含まれることを条件として、前記認証先情報により指定される前記認証サーバから前記チケット情報を取得する
    請求項2記載の中継装置。
  5. 前記アクセス応答復号部は、前記第1のアクセス要求に先立って前記通信端末から前記サーバへ送信される第2のアクセス要求に対する第2のアクセス応答として、前記第2のアクセス要求の対象となるコンテンツを受信し、
    前記コンテンツのリンク先に対する前記第1のアクセス要求において前記チケット情報を取得させるように各リンク情報を変更することを指示するリンク変更指示情報が前記第2のアクセス応答に含まれていることを条件として、当該リンク変更指示情報を取得するリンク変更指示情報取得部と、
    前記リンク変更指示情報を取得したことを条件として、前記コンテンツの各リンク情報を、前記通信端末の利用者により選択されたことに応じて前記認証指示情報を含む前記第1のアクセス要求を前記通信端末から送信させるリンク情報に変換するコンテンツ変換部と
    を更に備え、
    前記アクセス応答送信部は、変換した前記コンテンツを前記通信端末へ送信する
    請求項2記載の中継装置。
  6. 通信端末及びサーバの間の通信を中継する中継装置であって、
    前記通信端末から前記サーバに対する第1のアクセス要求を受信するアクセス要求受信部と、
    前記第1のアクセス要求に応じて前記サーバが認証を行うために用いる、当該第1のアクセス要求について当該中継装置を識別するチケット情報を、外部の認証サーバから取得するチケット情報取得部と、
    前記第1のアクセス要求及び前記チケット情報を暗号化して前記サーバへ送信するアクセス要求送信部と、
    前記チケット情報を用いて当該中継装置を認証した前記サーバから受信した、前記第1のアクセス要求に対する暗号化された第1のアクセス応答を復号化するアクセス応答復号部と、
    復号化された前記第1のアクセス応答を前記通信端末へ送信するアクセス応答送信部と
    を備える中継装置において、
    前記第1のアクセス要求について前記サーバに対し当該中継装置を認証させるか否かを前記通信端末の利用者に確認させる確認要求を前記通信端末へ送信する確認要求送信部と、
    前記確認要求に対する前記利用者の確認結果を含む確認応答を前記通信端末から受信する確認応答受信部と
    を更に備え、
    前記サーバに対し当該中継装置を認証させることを示す前記確認応答を受信したことに応じて、前記チケット情報取得部は、前記チケット情報を前記認証サーバから取得する
    中継装置。
  7. 前記サーバがアクセス元の認証を行うべき前記第1のアクセス要求は、当該第1のアクセス要求に応じて前記サーバが実行すべきサービス処理を識別するサービス識別情報を更に含み、
    前記サービス識別情報に対応付けて、前記確認要求を前記通信端末へ送信することを許可するか否かを指定する確認許可情報を記憶するサービス情報記憶部を更に備え、
    前記第1のアクセス要求に応じて前記サーバが認証を行う場合において、前記確認要求送信部は、前記第1のアクセス要求に含まれる前記サービス識別情報に対応して前記確認要求を前記通信端末へ送信することを許可する前記確認許可情報が記憶されていることを条件として、前記確認要求を前記通信端末へ送信し、
    当該アクセス要求について前記サーバに対し当該中継装置を認証させることを示す前記確認応答を受信したこと、又は、前記第1のアクセス要求に含まれる前記サービス識別情報に対応して前記確認要求を前記通信端末へ送信することを許可しない前記確認許可情報が記憶されていることを条件として、前記チケット情報取得部は、前記チケット情報を前記認証サーバから取得する
    請求項6記載の中継装置。
  8. 通信端末及びサーバの間の通信を中継する中継装置であって、
    前記通信端末から前記サーバに対する第1のアクセス要求を受信するアクセス要求受信部と、
    前記第1のアクセス要求に応じて前記サーバが認証を行うために用いる、当該第1のアクセス要求について当該中継装置を識別するチケット情報を、外部の認証サーバから取得するチケット情報取得部と、
    前記第1のアクセス要求及び前記チケット情報を暗号化して前記サーバへ送信するアクセス要求送信部と、
    前記チケット情報を用いて当該中継装置を認証した前記サーバから受信した、前記第1のアクセス要求に対する暗号化された第1のアクセス応答を復号化するアクセス応答復号部と、
    復号化された前記第1のアクセス応答を前記通信端末へ送信するアクセス応答送信部と
    を備える中継装置において、
    前記サーバがアクセス元の認証を行うべき前記第1のアクセス要求は、当該第1のアクセス要求に応じて前記サーバが実行すべきサービス処理を識別するサービス識別情報を更に含み、
    前記サービス識別情報に対応付けて、前記チケット情報の取得を許可するか否かを指定する認証許可情報を記憶するサービス情報記憶部を更に備え、
    前記第1のアクセス要求に応じて前記サーバが認証を行う場合において、前記チケット情報取得部は、前記第1のアクセス要求に含まれる前記サービス識別情報に対応して前記チケット情報の取得を許可する前記認証許可情報が記憶されていることを条件として、前記チケット情報を前記認証サーバから取得する
    中継装置。
  9. 通信端末及びサーバの間の通信を中継する中継装置であって、
    前記通信端末から前記サーバに対する第1のアクセス要求を受信するアクセス要求受信部と、
    前記第1のアクセス要求に応じて前記サーバが認証を行うために用いる、当該第1のアクセス要求について当該中継装置を識別するチケット情報を、外部の認証サーバから取得するチケット情報取得部と、
    前記第1のアクセス要求及び前記チケット情報を暗号化して前記サーバへ送信するアクセス要求送信部と、
    前記チケット情報を用いて当該中継装置を認証した前記サーバから受信した、前記第1のアクセス要求に対する暗号化された第1のアクセス応答を復号化するアクセス応答復号部と、
    復号化された前記第1のアクセス応答を前記通信端末へ送信するアクセス応答送信部と
    を備える中継装置において、
    前記アクセス応答復号部は、前記第1のアクセス要求に先立って前記通信端末から前記サーバへ送信される第2のアクセス要求に対する第2のアクセス応答として、前記第2のアクセス要求の対象となるコンテンツを受信し、
    前記コンテンツのリンク先に対する前記第1のアクセス要求において前記中継装置及び前記サーバの間でサーバ間暗号化通信を行うように各リンク情報を変更することを指示するリンク変更指示情報が前記第2のアクセス応答に含まれていることを条件として、当該リンク変更指示情報を取得するリンク変更指示情報取得部と、
    前記リンク変更指示情報を取得したことを条件として、前記通信端末及び前記サーバの間で暗号化通信を行うことを指示するリンク情報を、前記通信端末の利用者により選択されたことに応じて前記サーバ間暗号化通信を指示する前記第1のアクセス要求を前記通信端末から送信させるリンク情報に変換するコンテンツ変換部と
    を更に備え、
    前記アクセス応答送信部は、変換した前記コンテンツを前記通信端末へ送信し、
    前記チケット情報取得部は、前記サーバ間暗号化通信を指示する前記第1のアクセス要求に応じて前記サーバが認証を行うことを条件として、当該第1のアクセス要求について前記チケット情報を前記認証サーバから取得し、
    前記アクセス要求送信部は、前記サーバ間暗号化通信を指示する前記第1のアクセス要求を暗号化して前記サーバへ送信し、前記サーバ間暗号化通信を指示せず前記通信端末及び前記サーバ間で暗号化通信を行うべき前記第1のアクセス要求を当該中継装置において暗号化せずに前記サーバへ送信し、
    前記アクセス応答復号部は、前記サーバ間暗号化通信を指示する前記第1のアクセス要求に対する暗号化された前記第1のアクセス応答を復号化し、前記サーバ間暗号化通信を指示しない前記第1のアクセス要求に対する暗号化された前記第1のアクセス応答を復号化しない
    中継装置。
  10. 通信端末に接続される第1ネットワークと、
    前記第1ネットワーク、及び、サーバが接続された第2ネットワークに接続され、前記通信端末及び前記サーバの間の通信を中継する中継装置と
    を備え、
    前記中継装置は、
    前記通信端末から前記サーバに対する第1のアクセス要求を受信するアクセス要求受信部と、
    前記第1のアクセス要求に応じて前記サーバが認証するために用いる、当該第1のアクセス要求について当該中継装置を識別するチケット情報を、外部の認証サーバから取得するチケット情報取得部と、
    前記第1のアクセス要求及び前記チケット情報を暗号化して前記サーバへ送信するアクセス要求送信部と、
    前記チケット情報を用いて当該中継装置を認証した前記サーバから受信した、前記第1のアクセス要求に対する暗号化された第1のアクセス応答を復号化するアクセス応答復号部と、
    復号化された前記第1のアクセス応答を前記通信端末へ送信するアクセス応答送信部と
    を有する通信システムにおいて、
    前記第1のネットワークに接続される第1の前記中継装置と、
    前記第1の中継装置を介して前記第1のネットワークに接続される第2の前記中継装置と
    を備え、
    前記第1の中継装置及び第2の前記中継装置のそれぞれは、
    前記第1のアクセス要求について前記サーバに対し当該中継装置を認証させるか否かを前記通信端末の利用者に確認させる確認要求を前記通信端末へ送信する確認要求送信部と、
    前記確認要求に対する前記利用者の確認結果を含む確認応答を前記通信端末から受信する確認応答受信部と
    を更に有し、
    前記第1の中継装置及び前記第2の中継装置のうち、前記サーバに対し当該中継装置を認証させることを示す前記確認応答を受信した前記第1の中継装置又は前記第2の中継装置の前記チケット情報取得部は、前記チケット情報を前記認証サーバから取得する
    通信システム。
  11. 通信端末及びサーバの間の通信を中継する中継装置における中継方法であって、
    前記通信端末から前記サーバに対する第1のアクセス要求を受信するアクセス要求受信段階と、
    前記サーバにアクセス元を認証させることを指示する認証指示情報が前記第1のアクセス要求内に含まれることを条件として、当該認証指示情報を取得する認証情報取得段階と、
    前記認証指示情報が前記第1のアクセス要求内に含まれることを条件として、前記サーバが認証を行うために用いる、当該第1のアクセス要求について当該中継装置を識別するチケット情報を、外部の認証サーバから取得するチケット情報取得段階と、
    前記認証指示情報が前記第1のアクセス要求内に含まれることを条件として、前記第1のアクセス要求及び前記チケット情報を暗号化して前記サーバへ送信するアクセス要求送信段階と、
    前記チケット情報を用いて当該中継装置を認証した前記サーバから、前記第1のアクセス要求に対する暗号化された第1のアクセス応答を受信して復号化するアクセス応答受信段階と、
    復号化された前記第1のアクセス応答を前記通信端末へ送信するアクセス応答送信段階と
    を備える中継方法。
  12. 通信端末及びサーバの間の通信を中継する中継装置のプログラムであって、
    当該プログラムは、前記中継装置を、
    前記通信端末から前記サーバに対する第1のアクセス要求を受信するアクセス要求受信部と、
    前記サーバにアクセス元を認証させることを指示する認証指示情報が前記第1のアクセス要求内に含まれることを条件として、当該認証指示情報を取得する認証情報取得部と、
    前記認証指示情報が前記第1のアクセス要求内に含まれることを条件として、前記サーバが認証を行うために用いる、当該第1のアクセス要求について当該中継装置を識別するチケット情報を、外部の認証サーバから取得するチケット情報取得部と、
    前記認証指示情報が前記第1のアクセス要求内に含まれることを条件として、前記第1のアクセス要求及び前記チケット情報を暗号化して前記サーバへ送信するアクセス要求送信部と、
    前記チケット情報を用いて当該中継装置を認証した前記サーバから受信した、前記第1のアクセス要求に対する暗号化された第1のアクセス応答を復号化するアクセス応答復号部と、
    復号化された前記第1のアクセス応答を前記通信端末へ送信するアクセス応答送信部と
    して機能させるプログラム。
JP2006547813A 2004-11-29 2005-11-24 中継装置、中継方法、及びプログラム Expired - Fee Related JP4223058B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004344585 2004-11-29
JP2004344585 2004-11-29
PCT/JP2005/021538 WO2006057280A1 (ja) 2004-11-29 2005-11-24 中継装置、中継方法、及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2006057280A1 JPWO2006057280A1 (ja) 2008-08-07
JP4223058B2 true JP4223058B2 (ja) 2009-02-12

Family

ID=36498016

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006547813A Expired - Fee Related JP4223058B2 (ja) 2004-11-29 2005-11-24 中継装置、中継方法、及びプログラム

Country Status (5)

Country Link
US (1) US7877794B2 (ja)
EP (1) EP1816811B1 (ja)
JP (1) JP4223058B2 (ja)
CN (1) CN101065940B (ja)
WO (1) WO2006057280A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1087455A2 (en) 1999-09-21 2001-03-28 Kabushiki Kaisha Toshiba Liquid fuel-housing tank for fuel cell and fuel cell
US7718296B2 (en) 2005-04-26 2010-05-18 Samsung Sdi Co., Ltd. Liquid fuel cartridge having bistable structure
JP2016515369A (ja) * 2013-03-15 2016-05-26 クゥアルコム・インコーポレイテッドQualcomm Incorporated 中継器展開のための認証

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006139747A (ja) * 2004-08-30 2006-06-01 Kddi Corp 通信システムおよび安全性保証装置
JP4776977B2 (ja) * 2005-05-18 2011-09-21 株式会社東芝 ネットワーク家電制御システム
US8387130B2 (en) * 2007-12-10 2013-02-26 Emc Corporation Authenticated service virtualization
GB2459529A (en) * 2008-04-28 2009-11-04 Ice Organisation Online transaction authentication using two servers
JP4691177B2 (ja) * 2008-07-14 2011-06-01 株式会社リコー 組み込み機器、遠隔処理方法およびプログラム
JP2011081762A (ja) * 2009-03-10 2011-04-21 Ricoh Co Ltd 機器設定装置及び機器設定装置における機器再設定方法
JPWO2010143669A1 (ja) * 2009-06-08 2012-11-29 日本電気株式会社 携帯端末装置、携帯端末装置の制御方法、通信システム、通信装置、通信装置の制御方法
EP2499802A4 (en) * 2009-11-11 2016-03-09 Nokia Technologies Oy ACCESS TO SERVICE INFORMATION
CN101741730B (zh) * 2009-12-02 2012-05-30 成都市华为赛门铁克科技有限公司 文件下载方法及设备、提供文件下载服务的方法及系统
JP4879347B2 (ja) * 2009-12-25 2012-02-22 キヤノンItソリューションズ株式会社 中継処理装置、中継処理方法及びプログラム
JP5241763B2 (ja) * 2010-03-24 2013-07-17 株式会社日立製作所 通信システムおよび通信システムの制御方法
US8898453B2 (en) * 2010-04-29 2014-11-25 Blackberry Limited Authentication server and method for granting tokens
JP5673216B2 (ja) * 2011-03-01 2015-02-18 株式会社リコー 通信制御装置、通信制御システム、及び通信制御プログラム
EP2566135B1 (en) 2011-09-01 2018-04-04 Software AG Cloud-based mainframe integration system and method
JP5762991B2 (ja) * 2012-02-03 2015-08-12 株式会社東芝 通信装置、サーバ装置、中継装置、およびプログラム
US9060273B2 (en) 2012-03-22 2015-06-16 Blackberry Limited Authentication server and methods for granting tokens comprising location data
JP5962261B2 (ja) * 2012-07-02 2016-08-03 富士ゼロックス株式会社 中継装置
BR112015017352A2 (pt) * 2013-01-21 2017-12-12 Humetrix Com Inc troca segura e em tempo real de registros de saúde
JP5650816B1 (ja) * 2013-07-17 2015-01-07 三菱電機株式会社 通信システム、通信装置、通信方法、及び、プログラム
US9602616B2 (en) 2013-11-06 2017-03-21 Neustar, Inc. System and method for facilitating routing
US10140194B2 (en) * 2014-03-20 2018-11-27 Hewlett Packard Enterprise Development Lp Storage system transactions
US9870395B2 (en) 2014-03-21 2018-01-16 Pearson Education, Inc. Conditioned transmission of query responses and connection assessments
US10425446B2 (en) 2014-09-29 2019-09-24 Akamai Technologies, Inc. HTTPS request enrichment
US9619976B2 (en) * 2015-01-08 2017-04-11 Toshiba Tec Kabushiki Kaisha Method for processing a purchase transaction using a plurality of transaction systems
JP2017191352A (ja) * 2016-04-11 2017-10-19 キヤノン株式会社 システム、及び、システムの制御方法
JP6714839B2 (ja) * 2016-05-06 2020-07-01 コニカミノルタ株式会社 印刷システム、印刷管理サーバ、通信中継装置およびプログラム
CN112911583A (zh) * 2017-07-11 2021-06-04 华为技术有限公司 设备接入方法、设备及系统
JP7209593B2 (ja) * 2019-07-01 2023-01-20 株式会社ソラコム 中継方法、中継システム、及び中継用プログラム
JP7502618B2 (ja) * 2020-07-20 2024-06-19 富士通株式会社 通信プログラム、通信装置、及び通信方法
JP7395455B2 (ja) * 2020-11-06 2023-12-11 株式会社東芝 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3932685B2 (ja) 1998-08-11 2007-06-20 富士ゼロックス株式会社 ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム
JP3497088B2 (ja) * 1998-12-21 2004-02-16 松下電器産業株式会社 通信システム及び通信方法
WO2000041364A1 (en) * 1998-12-28 2000-07-13 Ntt Docomo, Inc. Communication control system, communication method, server device, terminal, relay device, and communication system
US6584567B1 (en) 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy
JP2001134534A (ja) 1999-11-08 2001-05-18 Ntt Communications Kk 認証代行方法、認証代行サービスシステム、認証代行サーバ装置及びクライアント装置
JP2001244996A (ja) 2000-02-29 2001-09-07 Hitachi Ltd ネットワークのセキュリティ保護方法
JP2001251297A (ja) 2000-03-07 2001-09-14 Cti Co Ltd 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法
JP3701866B2 (ja) 2000-07-24 2005-10-05 株式会社エヌ・ティ・ティ・ドコモ 中継装置、通信端末、及びサーバ装置
CN1283827A (zh) 2000-08-18 2001-02-14 郝孟一 通用电子信息网络认证系统及方法
JP2002082907A (ja) * 2000-09-11 2002-03-22 Nec Corp データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体
JP2002132730A (ja) * 2000-10-20 2002-05-10 Hitachi Ltd 個人情報の信頼度および開示度による認証またはアクセス管理システム、および管理方法
JP3880419B2 (ja) * 2002-02-21 2007-02-14 日本電信電話株式会社 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末
US7075912B2 (en) * 2001-03-16 2006-07-11 Nippon Telegraph And Telephone Corporation Wireless communication system using access points that can be freely set up by users
EP1407358B1 (en) * 2001-06-06 2006-07-26 Yahoo! Inc. System and method for controlling access to digital content, including streaming media
US20030101253A1 (en) * 2001-11-29 2003-05-29 Takayuki Saito Method and system for distributing data in a network
JP3999527B2 (ja) * 2002-02-15 2007-10-31 株式会社 アンクル コンピュータネットワークの認証方法及びデータ配信方法
US7961884B2 (en) * 2002-08-13 2011-06-14 Ipass Inc. Method and system for changing security information in a computer network
US20040083296A1 (en) * 2002-10-25 2004-04-29 Metral Max E. Apparatus and method for controlling user access
JP4587158B2 (ja) * 2004-01-30 2010-11-24 キヤノン株式会社 セキュア通信方法、端末装置、認証サービス装置、コンピュータプログラム及びコンピュータ読み取り可能な記録媒体

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1087455A2 (en) 1999-09-21 2001-03-28 Kabushiki Kaisha Toshiba Liquid fuel-housing tank for fuel cell and fuel cell
US7718296B2 (en) 2005-04-26 2010-05-18 Samsung Sdi Co., Ltd. Liquid fuel cartridge having bistable structure
JP2016515369A (ja) * 2013-03-15 2016-05-26 クゥアルコム・インコーポレイテッドQualcomm Incorporated 中継器展開のための認証
JP2016518742A (ja) * 2013-03-15 2016-06-23 クゥアルコム・インコーポレイテッドQualcomm Incorporated 中継器展開のための認証
US9531543B2 (en) 2013-03-15 2016-12-27 Qualcomm Incorporated Authentication for relay deployment

Also Published As

Publication number Publication date
CN101065940A (zh) 2007-10-31
EP1816811B1 (en) 2013-05-22
EP1816811A4 (en) 2011-01-05
WO2006057280A1 (ja) 2006-06-01
US7877794B2 (en) 2011-01-25
US20080104687A1 (en) 2008-05-01
JPWO2006057280A1 (ja) 2008-08-07
EP1816811A1 (en) 2007-08-08
CN101065940B (zh) 2013-02-20

Similar Documents

Publication Publication Date Title
JP4223058B2 (ja) 中継装置、中継方法、及びプログラム
JP4978895B2 (ja) 接続パラメータ設定システム、その方法及びサーバ
JP4701132B2 (ja) 通信経路設定システム
US11736304B2 (en) Secure authentication of remote equipment
JP4898427B2 (ja) 通信ネットワーク内での相互認証の方法及びソフトウエアプログラム
TW548535B (en) Security system
WO2000038382A1 (fr) Systeme de communication et procede de communication
KR20080090989A (ko) 홈 네트워크에서 보안 서비스를 제공하는 장치 및 방법
US10218681B2 (en) Home network controlling apparatus and method to obtain encrypted control information
CN111756751B (zh) 报文传输方法、装置及电子设备
JP2007082208A (ja) 電子ドキュメントをセキュリティ面で安全にドメイン間で伝送するシステム、方法、およびプログラム
CN114222298A (zh) 终端接入方法、装置、网络设备、终端和介质
JP3910611B2 (ja) 通信支援サーバ、通信支援方法、および通信支援システム
JP2001326695A (ja) ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム
JP4690964B2 (ja) 通信支援システム
JP2009122921A (ja) 認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラム
JP2006033443A (ja) インターネット接続システム、方法およびプログラム
JP2000099462A (ja) 遠隔操作方法、システム、および遠隔操作プログラムを記録した記録媒体
KR102041752B1 (ko) 로밍 데이터 관리 장치 및 방법
KR100974661B1 (ko) 가상 사설망 서버와 송수신하는 데이터를 보안처리 하는방법 및 스마트 카드
JP2009081710A (ja) 通信機器及び通信機器に用いられる通信方法
JP2008011045A (ja) 保守用無線端末の認証方法および無線通信システム
JP2025084447A (ja) 電子機器、情報処理装置、通信方法、およびプログラム
CN119450455A (zh) 一种基于商用密码算法的安全加密无线通信装置及方法
CN113747378A (zh) 短信传输方法、装置及网络设备

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20071029

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081111

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081118

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111128

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111128

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131128

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees