[go: up one dir, main page]

JP4296111B2 - アクセス制御システム及びアクセス制御方法 - Google Patents

アクセス制御システム及びアクセス制御方法 Download PDF

Info

Publication number
JP4296111B2
JP4296111B2 JP2004085391A JP2004085391A JP4296111B2 JP 4296111 B2 JP4296111 B2 JP 4296111B2 JP 2004085391 A JP2004085391 A JP 2004085391A JP 2004085391 A JP2004085391 A JP 2004085391A JP 4296111 B2 JP4296111 B2 JP 4296111B2
Authority
JP
Japan
Prior art keywords
access
access request
list
terminal
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004085391A
Other languages
English (en)
Other versions
JP2005275604A (ja
Inventor
康孝 浦川
将成 藤田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2004085391A priority Critical patent/JP4296111B2/ja
Priority to DE602005000054T priority patent/DE602005000054T2/de
Priority to CNB2005100548820A priority patent/CN1330130C/zh
Priority to US11/087,295 priority patent/US7725458B2/en
Priority to EP05006280A priority patent/EP1598753B1/en
Publication of JP2005275604A publication Critical patent/JP2005275604A/ja
Priority to US12/471,171 priority patent/US8161068B2/en
Application granted granted Critical
Publication of JP4296111B2 publication Critical patent/JP4296111B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、端末と、ネットワーク上のサイトへのアクセス要求を端末から受け付け当該サイトへのアクセスを行うサーバとを含んで構成されるアクセス制御システム及び当該アクセス制御システムにおけるアクセス制御方法に関する。
現在、インターネットにおいて閲覧可能なコンテンツには、公序良俗に反する内容であるものが少なくない。そのような内容の表示を制御する方法としてW3C(ワールドワイドウェブコンソーシアム)のthe Platform for Internet Content Selectionによる方法がある。例えば、コンテンツ作成者が、図11の表で示すような有害レベルに基づいて、作成したコンテンツに対し有害レベル情報を設定する方法である。その具体的設定方法としては、例えば、各ウェブページに“PICS-Label”等のラベルを定義し設定するもの等がある。
また、アクセスを拒否するサイトのURL(Uniform Resource Locator)をまとめたブラックリスト、あるいはアクセスを許可するサイトのURLのみをまとめたホワイトリストによりアクセスを制御する方法もある。
上記のようなアクセス制御は、プロキシサーバ等のアクセス制御装置により行われることが多い。このようなアクセス制御装置により、コンテンツにアクセスしようとする個人毎にアクセス制御を行う技術が提案されている(例えば、下記特許文献1参照)。
特開2003−44441号公報
しかしながら、アクセス可能なサイトのURL、あるいはアクセスするための条件の登録や管理を個人毎に行うこととすると、アクセス制御を行うサーバの負荷、及びサーバの管理者の手間が増大する。
そこで、本発明は、サーバの負担及びサーバの管理者の手間をより軽減することができるアクセス制御システム及びアクセス制御方法を提供することを目的とする。
上記目的を達成するために、本発明に係るアクセス制御システムは、端末と、ネットワーク上のサイトへのアクセス要求を前記端末から受け付け当該サイトへのアクセスを行うサーバとを含んで構成されるアクセス制御システムであって、端末は、サーバの設定に係らずアクセスできるよう要求するサイトを記載した第1のリスト、及びアクセス要求を禁止するサイトを記載した第2のリストのうち少なくとも一つを保持したアクセス要求制御リスト保持手段と、アクセス要求制御リスト保持手段により第1のリストが保持されている場合、アクセス要求が、当該第1のリストに含まれるサイトへのアクセス要求であるか否かを判断し、含まれるものであると判断された場合に当該アクセス要求にアクセス許可識別子を付加すると共に、アクセス要求制御リスト保持手段により第2のリストが保持されている場合、アクセス要求が、当該第2のリストに含まれるサイトへのアクセス要求であるか否かを判断し、含まれるものであると判断された場合に当該アクセス要求を禁止する制御を行うアクセス要求制御手段とを備え、サーバは、端末からのアクセス要求を受け付けるアクセス要求受付手段と、アクセス要求を許可あるいは拒否するサイトを記載したアクセス制御リストを保持したアクセス制御リスト保持手段と、アクセス要求受付手段により受け付けたアクセス要求にアクセス許可識別子が付加されているか否かを判断すると共に、アクセス制御リストを参照して当該アクセス要求を許可あるいは拒否するか否かを判断し、これらの判断結果に基づいて、当該アクセス要求に対応するアクセス制御を行うアクセス制御手段とを備えることを特徴とする。
本発明に係るアクセス制御システムでは、端末が第1のリストに記載されたサイトにアクセス要求を行う際、当該アクセス要求にアクセス許可識別子が付加される。一方、端末が第2のリストに記載されたサイトにアクセス要求を行おうとすると、アクセス要求を禁止する制御が行われる。サーバは、アクセス制御リストを参照して、端末からのアクセス要求の許可あるいは拒否を判断し、また、アクセス要求にアクセス許可識別子が付加されているか否かを判断する。サーバは、これらの判断結果に基づいて、アクセス制御を行う。
このように、サーバでの個別の設定を必要とせず、サーバで一律に設定されたルールに対する例外的なアクセス制御が、端末毎に可能となり、サーバの負担及びサーバの管理者の手間をより軽減することができる。
アクセス制御システムにおいて、より具体的には、アクセス制御手段は、アクセス許可識別子が付加されている場合又はアクセス制御リストによりアクセス可能と判断した場合に、アクセス要求に対応するアクセスを許可する制御を行うこととするのが望ましい。
本発明は、以下に述べるようなアクセス制御方法に係る発明として捉えることもでき、同様の作用及び効果を奏する。
本発明に係るアクセス制御方法は、サーバの設定に係らずアクセスできるよう要求するサイトを記載した第1のリスト、及びアクセス要求を禁止するサイトを記載した第2のリストのうち少なくとも一つを保持した端末と、ネットワーク上のサイトへのアクセス要求を前記端末から受け付け当該サイトへのアクセスを行うと共に、アクセス要求を許可あるいは拒否するサイトを記載したアクセス制御リストを保持したサーバとを含んで構成されるアクセス制御システムにおけるアクセス制御方法であって、端末が、当該端末により前記第1のリストが保持されている場合、アクセス要求が、当該第1のリストに含まれるサイトへのアクセス要求であるか否かを判断し、含まれるものであると判断された場合に当該アクセス要求にアクセス許可識別子を付加すると共に、当該端末により第2のリストが保持されている場合、アクセス要求が、当該第2のリストに含まれるサイトへのアクセス要求であるか否かを判断し、含まれるものであると判断された場合に当該アクセス要求を禁止する制御を行うアクセス要求制御ステップと、サーバが、端末からのアクセス要求を受け付けるアクセス要求受付ステップと、サーバが、アクセス要求受付ステップにおいて受け付けたアクセス要求にアクセス許可識別子が付加されているか否かを判断すると共に、アクセス制御リストを参照して当該アクセス要求を許可あるいは拒否するか否かを判断し、これらの判断結果に基づいて、当該アクセス要求に対応するアクセス制御を行うアクセス制御ステップとを備えることを特徴とする。
アクセス制御方法において、より具体的には、サーバは、アクセス制御ステップにおいて、アクセス許可識別子が付加されている場合又はアクセス制御リストによりアクセス可能と判断した場合に、アクセス要求に対応するアクセスを許可する制御を行うこととするのが望ましい。
本発明によれば、サーバでの個別の設定を必要とせず、サーバで一律に設定されたルールに対する例外的なアクセス制御が、端末毎に可能となり、サーバの負担及びサーバの管理者の手間をより軽減することができる。
以下、図面を参照しながら本発明の実施形態について説明する。
図1に、本実施形態に係るアクセス制御システム1の構成を示す。アクセス制御システム1は端末10と、サーバ20とを含んで構成される。
端末10は、サーバ20へアクセス要求を出すことにより、サイト30へアクセスを行う。端末10は具体的には、例えば、携帯電話等の移動通信装置であることが好ましい。また、パソコンやPDA(Personal Digital Assistants)等であってもよい。サーバ20は、端末10からのアクセス要求を受け付け、そのアクセス要求に基づき、ネットワークNを介して、複数のサイト30へのアクセスを行う。サーバ20は具体的には、例えば、CPUやメモリ等からなる情報処理装置等により実現されるのが好ましい。アクセス対象となるサイト30は具体的には、例えば、様々なコンテンツを提供するWebサーバ等が該当する。また、ネットワークNは具体的には、例えば、インターネット網や移動通信網等が該当する。なお、図1には、サーバ20に接続する端末10は1つしか描かれていないが、複数存在していることが好ましい。
以下、端末10及びサーバ20の構成要素について説明する。端末10は、アクセス要求制御リスト保持部12と、アクセス要求制御部14と、アクセス要求部16と、アクセス要求結果処理部18とを備える。
アクセス要求制御リスト保持部12は、サーバ20の設定に係らずアクセスできるよう要求するサイト30を記載した第1のリスト、及びアクセス要求を禁止するサイト30を記載した第2のリストのうち少なくとも一つを保持している。これらのリストは、URLによりサイト30が特定されていることが好ましい。あるいは、URL以外でも、サイト30が特定できるものであればよい。これらのリストの詳細については後述する。
アクセス要求制御部14は、アクセス要求制御リスト保持部12により保持されたリストを読出し、アクセス要求の制御を行う。具体的な制御内容については、本システムの処理の説明にて、説明する。
アクセス要求部16は、アクセス要求制御部14からの制御を受けてサーバ20に対し、サイト30へのアクセス要求を行う。このアクセス要求は、具体的には、アクセスを要求する旨の情報をサーバ20に送信することにより行うのが好ましい。
アクセス要求結果処理部18は、サーバ20からアクセス要求に対する結果データを受信し処理を行う。具体的な処理内容については、後述する。
サーバ20は、アクセス要求受付部22と、アクセス制御リスト保持部24と、アクセス制御部26と、アクセス部28とを備える。
アクセス要求受付部22は、端末10からのアクセス要求を受け付ける。このアクセス要求の受け付けは、具体的には、端末10から送信された、アクセスを要求する旨の情報を受信することにより行われるのが好ましい。
アクセス制御リスト保持部24は、受け付けるアクセス要求を許可あるいは拒否するサイト30を記載したアクセス制御リストを保持している。これらリストは、端末10で保持されるリストと同様に、URLによりサイト30が特定されていることが好ましい。これらのリストの詳細については後述する。
アクセス制御部26は、アクセス要求受付部22により受け付けられたアクセス要求、及びアクセス制御リスト保持部24により保持されたリストを読出し、アクセス要求の制御を行う。具体的な制御内容については、本システムの処理の説明にて、説明する。
アクセス部28は、アクセス制御部26からの制御を受けて所定のサイト30に対し、ネットワークNを介してアクセスを行う。
引き続いて、端末10及びサーバ20が保持している各リストについて説明する。
サーバ20のアクセス制御リスト保持部24が保持した、アクセス要求を許可あるいは拒否するサイトを記載したアクセス制御リストは、任意のサイトがサーバ20からアクセス可能なサイト、あるいはアクセス不可能なサイトのどちらであるかを判断するためのものである。
アクセス要求を許可するサイトのリストとは、アクセス可能なサイトを記載したリストであり、いわゆるホワイトリストである。ホワイトリストは、例えば、ネットワークNへの接続を行うサービスを提供する者が、公式のサイトのみにアクセスを許可したい場合等に設定される。
一方、アクセス要求を拒否するサイトのリストとは、アクセス不可能なサイトを記載したリストであり、いわゆるブラックリストである。ブラックリストは、例えば、企業等において、仕事との関係が低いサイト、例えば株式のサイト、アダルトサイト、有料のサイト等に従業員がアクセスするのを禁止する場合等に設定される。ブラックリストに記載されていないサイトには、アクセスをすることができる。なお、ホワイトリストとブラックリストは、設定の矛盾を避けるため、通常どちらか一方のみが設定される。
端末10のアクセス要求制御リスト保持部12が保持する第1のリストとは、サーバ20の設定に係らず、例外的にアクセスを行いたいサイトが記載されたものである。例えば、ホワイトリストで設定された上記の公式のサイト外であっても、学校の連絡や行事等が掲載されたWebページを閲覧したい場合等に設定されうる(図3で模式的に示すような設定)。また、ブラックリストによりアクセスが拒否されるべきサイトであっても、得意先の情報を得るために必要なWebページを閲覧したい場合等にも設定されうる(図7で模式的に示すような設定)。
端末10のアクセス要求制御リスト保持部12が保持する第2のリストとは、
サーバ20の設定に係らず、例外的にアクセスを禁止したいサイトが記載されたものである。例えば、ホワイトリストで設定された上記の公式のサイト内であっても、オークションのサイト、ゲームサイト、有料サイトのアクセスを禁止したい場合等に設定されうる(図8で模式的に示すような設定)。また、ブラックリスト外であっても、チャットのサイトへのアクセスを禁止したい場合等にも設定されうる(図10で模式的に示すような設定)。
端末10における、これらの例外設定は、例えば、端末10の表示手段(図示せず)に表示される図2に示すようなインターフェース画面を有するソフトウェア等により設定することが可能である。図2(a)は、例外的な許可か禁止かを選択する画面であり、図2(b)及び(c)は、例外を設定するサイトを入力する画面である。
引き続いて、本実施形態におけるアクセス制御システム1により実行される処理を説明する。本実施形態においては、端末10及びサーバ20が保持しているリストの設定により、いくつかの態様が考えられる。以下、その態様ごとに処理を説明する。
[第1の態様]
まず、図3に示すように、サーバ20側でアクセスを許可するサイトが設定されており(図1のアクセス制御リスト保持部24がホワイトリストを保持している)、端末10側でサーバ20の設定に係らずアクセスできるよう要求するサイトが上記のホワイトリストに記載されたサイト以外に設定されている態様を説明する。ここでは、端末10側で第1のリストに記載されたサイト(サーバ20の設定に係らずアクセスできるよう要求するサイト)へのアクセス要求をする場合を考える。以下、図4及び図5のフローチャートを参照しながら、処理を説明する。なお、本態様において、端末10のアクセス要求制御リスト保持部12は、第2のリストを保持していないものとする。
まず、図4の端末10における処理のフローチャートを参照しながら説明する。端末10の使用者により、アクセス要求のための操作等が行われることにより処理が開始される。上記操作が行われると、端末10にアクセス要求のためのデータが生成される(S01)。このアクセス要求のためのデータには、アクセス要求の対象となるサイトを特定する情報、例えばURL等が含まれているものとする。
続いて、端末10では、アクセス要求制御部14が、アクセス要求制御リスト保持部12に保持されている第1のリストを読み出す。続いて、アクセス要求制御部14は、アクセス要求データに含まれるアクセス要求の対象となるサイトを特定する情報、例えばURLを読出し、そのURLが、第1のリストに記載されてサイトのものと一致するか否かを判断する(S02)。本態様の場合、第1のリストに記載されたサイトへのアクセス要求なので、一致するものと判断される。
一致するものと判断されると、アクセス要求制御部14は、アクセス要求のデータにアクセス許可識別子を付与する(S03)。付加の方法として、具体的には例えば、アクセス要求データのリクエストヘッダフィールトに規定する方法がある。HTTP(Hypertext Transfer Protocol)では、一般的なリクエストヘッダフィールドを規定しており、図6に示すような、その中のユーザエージェントフィールド(User-Agent)は、アクセス要求を行ったユーザエージェントの情報を含む。例えば、このフィールドにアクセス許可識別子として“User-Agent:AccessOK”等の情報を規定する方法がある。なお、アクセス許可識別子は、上記とは別のフィールドを使用して付加してもよい。
続いて、端末10では、アクセス要求部16が、アクセス許可識別子が付加されたアクセス要求データをサーバ20に送信することにより、アクセス要求を行う(S05)。
端末10からアクセス要求がサーバ20になされると、処理はサーバ20に移る。以下、図5のサーバ20における処理のフローチャートを参照しながら説明する。
端末10からアクセス要求がサーバ20になされると、サーバ20では、アクセス要求受付部22が、アクセス要求を受け付ける(S11)。
続いて、アクセス制御部26では、受け付けたアクセス要求を読出し、アクセス要求にアクセス許可識別子が付加されているか否かを判断する(S12)。具体的には例えば、アクセス要求データのユーザエージェントフィールドに“User-Agent:AccessOK”等の情報が規定されているか否かで判断する。本態様では、アクセス要求にはアクセス許可識別子が付加されているので、付加されていると判断される。
付加されていると判断すると、アクセス制御部26は、当該アクセス要求に対応するアクセスを行うように、アクセス部28を制御する。制御されたアクセス部28は、当該アクセス要求に対応するサイト30に対してアクセスを行う(S14)。
アクセスがなされたサイト30では、アクセスに対応する結果のデータをサーバ20に対して送信し、アクセス部28が当該アクセス結果データを受信する(S15)。
続いて、アクセス部28は、受信したアクセス結果データを端末10に対して配信する(S16)。
サーバ20からのアクセス結果データの送信が端末10になされると、処理は再度端末10に移る。以下、再度図4の端末10における処理のフローチャートを参照しながら説明する。
端末10では、アクセス要求結果処理部18が、アクセス結果データをアクセス要求の結果として受信する(S06)。続いて、アクセス要求結果処理部18は、当該受信した結果がアクセス禁止であった旨のアクセス禁止応答であるか否かを判断する(S07)。本態様においては、アクセス禁止応答ではないので、アクセス要求結果処理部18は、端末10の表示手段に受信したアクセス結果データ、即ちアクセス要求に対応するサイトの内容を表示する(S08)。
なお、S02においてアクセス要求に対応するサイトが第1のリストに含まれないと判断された場合、アクセス許可識別子が付加されずにアクセス要求がなされることとなる(S05)。その場合、サーバ20の処理は、図5のS12において、アクセス要求にアクセス許可識別子が付加されていないと判断される。その後、サーバ20では、アクセス制御部26が、アクセス制御リスト保持部24により保持されているホワイトリストを読出し、アクセス要求がホワイトリストに含まれるサイトに対するものであるか否かを判断する(S13)。
ホワイトリストに含まれているサイトに対するアクセス要求であると判断された場合は、上記のアクセス要求にアクセス許可識別子が付加されていた場合と同様に処理(S14〜16)がなされる。ホワイトリストに含まれているサイトに対するアクセス要求ではないと判断された場合、アクセス制御部26は、当該アクセス要求はアクセス禁止である旨のアクセス禁止応答のデータを、端末10に対して送信する(S17)。
アクセス禁止応答のデータが送信された端末10では、アクセス要求結果処理部18が、図4のS07において、受信した結果がアクセス禁止応答であると判断し、端末10の表示手段にアクセスが禁止された旨のメッセージの表示を行う(S09)。
上記、第1の態様における処理を説明したが、これは、図7に示すように、サーバ20側でアクセスを拒否するサイトが設定されており(アクセス制御リスト保持部24がブラックリストを保持している)、端末10側でサーバ20の設定に係らずアクセスできるよう要求するサイトが上記のブラックリストに記載されたサイトに設定されている態様でもほぼ同様の処理となる。異なる点は、図5のS13におけるアクセス要求にアクセス許可識別子が付加されていない場合のアクセスが許可されるか否かの判断が、ホワイトリストを用いるかブラックリストを用いるかという点である。
上記説明したように、第1のリストを保持していることにより、サーバ20での設定に関わらず、端末10で例外的なアクセス要求を行う制御を行うことができる。
[第2の態様]
次に、図8に示すように、サーバ20側でアクセスを許可するサイトが設定されており(アクセス制御リスト保持部24がホワイトリストを保持している)、端末10側でサーバ20の設定に係らずアクセス要求を禁止するするサイトが上記のホワイトリストに記載されたサイトに設定されている態様を説明する。ここでは、端末10側で第2のリストに記載されたサイト(サーバ20の設定に係らずアクセス要求を禁止するサイト)へのアクセス要求をする場合を考える。以下、図9の端末10における処理のフローチャートを参照しながら、処理を説明する。なお、本態様において、端末10のアクセス要求制御リスト保持部12は、第1のリストを保持していないものとする。
まず、端末10の使用者により、アクセス要求のための操作等が行われることにより処理が開始される。上記操作が行われると、端末10にアクセス要求のためのデータが生成される(S01)。このアクセス要求のためのデータには、アクセス要求の対象となるサイトを特定する情報、例えばURL等が含まれているものとする。
続いて、端末10では、アクセス要求制御部14が、アクセス要求制御リスト保持部12に保持されている第2のリストを読み出す。続いて、アクセス要求制御部14は、アクセス要求データに含まれるアクセス要求の対象となるサイトを特定する情報、例えばURLを読出し、そのURLが、第2のリストに記載されてサイトのものと一致するか否かを判断する(S03)。本態様の場合、第2のリストに記載されたサイトへのアクセス要求なので、一致するものと判断される。
一致するものと判断されると、アクセス要求制御部14は、当該アクセス要求を禁止する制御を、アクセス要求部16に対して行い、端末10の表示手段にアクセスが禁止された旨のメッセージの表示を行う(S09)。
なお、S03においてアクセス要求に対応するサイトが第2のリストに含まれないと判断された場合、サーバ20に対して、アクセス要求がなされることとなり(S05)、第1の態様においてアクセス許可識別子が付加されていないアクセス要求がサーバ20に対してなされた場合と同様の処理となる。その場合、サーバ20の処理は、図5のS12において、アクセス要求にアクセス許可識別子が付加されていないと判断される。その後、サーバ20では、アクセス制御部26が、アクセス制御リスト保持部24により保持されているホワイトリストを読出し、アクセス要求がホワイトリストに含まれるサイトに対するものであるか否かを判断する(S13)。
ホワイトリストに含まれているサイトに対するアクセス要求であると判断された場合は、上記の第1の態様と同様にサイトへのアクセス処理(S14〜16)がなされる。ホワイトリストに含まれているサイトに対するアクセス要求ではないと判断された場合、アクセス制御部26は、当該アクセス要求はアクセス禁止である旨のアクセス禁止応答のデータを、端末10に対して送信する(S17)。
アクセス禁止応答のデータが送信された端末10では、アクセス要求結果処理部18が、図9のS09において、受信した結果がアクセス禁止応答であると判断し、端末10の表示手段にアクセスが禁止された旨のメッセージの表示を行う(S09)。
上記、第2の態様における処理を説明したが、これは、図10に示すように、サーバ20側でアクセスを拒否するサイトが設定されており(アクセス制御リスト保持部24がブラックリストを保持している)、端末10側でサーバ20の設定に係らずアクセス要求を禁止するサイトが上記のブラックリストに記載されたサイト以外に設定されている態様でもほぼ同様の処理となる。異なる点は、図5のS13におけるアクセス要求にアクセス許可識別子が付加されていない場合のアクセスが許可されるか否かの判断が、ホワイトリストを用いるかブラックリストを用いるかという点である。
上記説明したように、第2のリストを保持していることにより、サーバ20での設定に関わらず、端末10で例外的なアクセス要求の禁止を行う制御を行うことができる。
上記の実施形態によれば、サーバ20での個別の設定を必要とせず、サーバ20で一律に設定されたルールに対する例外的なアクセス制御が、端末10毎に可能となり、サーバ20の負担及びサーバ20の管理者の手間をより軽減することができる。
なお、本実施形態においては、アクセス許可識別子が付されたアクセス要求は、アクセス可能となるようにしている。しかし、アクセスを行うか否かは最終的には、サーバ20側で判断することとなるので、アクセス許可識別子が付されていたとしてもアクセスを拒否する制御を行うこともできる。
また、上記第1及び第2の態様においては、第1のリスト及び第2のリストのうち一つのリストのみを保持するものとしているが、両方を保持していてもよい。
本発明の実施形態に係るアクセス制御システムの構成を示す図である。 実施形態における第1のリスト及び第2のリストを作成するためのインターフェース画面の例である。 実施形態の第1の態様における、端末側のリストでアクセス制限が設定されるサイトと、サーバ側でアクセス制限が設定されるサイトの例である。 実施形態の第1の態様における端末の処理のフローチャートである。 実施形態におけるサーバの処理のフローチャートである。 実施形態の第1の態様におけるアクセス要求のリクエストヘッダフィールドの例である。 実施形態の第1の態様における、端末側のリストでアクセス制限が設定されるサイトと、サーバ側でアクセス制限が設定されるサイトの別の例である。 実施形態の第2の態様における、端末側のリストでアクセス制限が設定されるサイトと、サーバ側でアクセス制限が設定されるサイトの例である。 実施形態の第2の態様における端末の処理のフローチャートである。 実施形態の第2の態様における、端末側のリストでアクセス制限が設定されるサイトと、サーバ側でアクセス制限が設定されるサイトの別の例である。 コンテンツに設定する有害レベルの表の例である。
符号の説明
1…アクセス制御システム、10…端末、12…アクセス要求制御リスト保持部、14…アクセス要求制御部、16…アクセス要求部、18…アクセス要求結果処理部、20…サーバ、22…アクセス要求受付部、24…アクセス制御リスト保持部、26…アクセス制御部、28…アクセス部、30…サイト、N…ネットワーク。

Claims (4)

  1. 端末と、ネットワーク上のサイトへのアクセス要求を前記端末から受け付け当該サイトへのアクセスを行うサーバとを含んで構成されるアクセス制御システムであって、
    前記端末は、
    前記サーバの設定に係らずアクセスできるよう要求するサイトを記載した第1のリスト、及びアクセス要求を禁止するサイトを記載した第2のリストのうち少なくとも一つを保持したアクセス要求制御リスト保持手段と、
    前記アクセス要求制御リスト保持手段により前記第1のリストが保持されている場合、前記アクセス要求が、当該第1のリストに含まれるサイトへのアクセス要求であるか否かを判断し、含まれるものであると判断された場合に当該アクセス要求にアクセス許可識別子を付加すると共に、前記アクセス要求制御リスト保持手段により前記第2のリストが保持されている場合、前記アクセス要求が、当該第2のリストに含まれるサイトへのアクセス要求であるか否かを判断し、含まれるものであると判断された場合に当該アクセス要求を禁止する制御を行うアクセス要求制御手段とを備え、
    前記サーバは、
    前記端末からのアクセス要求を受け付けるアクセス要求受付手段と、
    アクセス要求を許可あるいは拒否するサイトを記載したアクセス制御リストを保持したアクセス制御リスト保持手段と、
    前記アクセス要求受付手段により受け付けたアクセス要求に前記アクセス許可識別子が付加されているか否かを判断すると共に、前記アクセス制御リストを参照して当該アクセス要求を許可あるいは拒否するか否かを判断し、これらの判断結果に基づいて、当該アクセス要求に対応するアクセス制御を行うアクセス制御手段とを備える
    ことを特徴とするアクセス制御システム。
  2. 前記アクセス制御手段は、前記アクセス許可識別子が付加されている場合又は前記アクセス制御リストによりアクセス可能と判断した場合に、前記アクセス要求に対応するアクセスを許可する制御を行うことを特徴とする請求項1に記載のアクセス制御システム。
  3. サーバの設定に係らずアクセスできるよう要求するサイトを記載した第1のリスト、及びアクセス要求を禁止するサイトを記載した第2のリストのうち少なくとも一つを保持した端末と、
    ネットワーク上のサイトへのアクセス要求を前記端末から受け付け当該サイトへのアクセスを行うと共に、アクセス要求を許可あるいは拒否するサイトを記載したアクセス制御リストを保持したサーバと
    を含んで構成されるアクセス制御システムにおけるアクセス制御方法であって、
    前記端末が、当該端末により前記第1のリストが保持されている場合、前記アクセス要求が、当該第1のリストに含まれるサイトへのアクセス要求であるか否かを判断し、含まれるものであると判断された場合に当該アクセス要求にアクセス許可識別子を付加すると共に、当該端末により前記第2のリストが保持されている場合、前記アクセス要求が、当該第2のリストに含まれるサイトへのアクセス要求であるか否かを判断し、含まれるものであると判断された場合に当該アクセス要求を禁止する制御を行うアクセス要求制御ステップと、
    前記サーバが、前記端末からのアクセス要求を受け付けるアクセス要求受付ステップと、
    前記サーバが、前記アクセス要求受付ステップにおいて受け付けたアクセス要求に前記アクセス許可識別子が付加されているか否かを判断すると共に、前記アクセス制御リストを参照して当該アクセス要求を許可あるいは拒否するか否かを判断し、これらの判断結果に基づいて、当該アクセス要求に対応するアクセス制御を行うアクセス制御ステップと
    を備えることを特徴とするアクセス制御方法。
  4. 前記サーバは、前記アクセス制御ステップにおいて、前記アクセス許可識別子が付加されている場合又は前記アクセス制御リストによりアクセス可能と判断した場合に、前記アクセス要求に対応するアクセスを許可する制御を行うことを特徴とする請求項3に記載のアクセス制御方法。
JP2004085391A 2004-03-23 2004-03-23 アクセス制御システム及びアクセス制御方法 Expired - Fee Related JP4296111B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2004085391A JP4296111B2 (ja) 2004-03-23 2004-03-23 アクセス制御システム及びアクセス制御方法
DE602005000054T DE602005000054T2 (de) 2004-03-23 2005-03-22 Internet Zugangskontrollsystem und Verfahren im Endgerät und im Server
CNB2005100548820A CN1330130C (zh) 2004-03-23 2005-03-22 访问控制系统及访问控制方法
US11/087,295 US7725458B2 (en) 2004-03-23 2005-03-22 Access control system and access control method
EP05006280A EP1598753B1 (en) 2004-03-23 2005-03-22 Internet access control system and access control method in the terminal and in the server
US12/471,171 US8161068B2 (en) 2004-03-23 2009-05-22 Access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004085391A JP4296111B2 (ja) 2004-03-23 2004-03-23 アクセス制御システム及びアクセス制御方法

Publications (2)

Publication Number Publication Date
JP2005275604A JP2005275604A (ja) 2005-10-06
JP4296111B2 true JP4296111B2 (ja) 2009-07-15

Family

ID=34934431

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004085391A Expired - Fee Related JP4296111B2 (ja) 2004-03-23 2004-03-23 アクセス制御システム及びアクセス制御方法

Country Status (5)

Country Link
US (2) US7725458B2 (ja)
EP (1) EP1598753B1 (ja)
JP (1) JP4296111B2 (ja)
CN (1) CN1330130C (ja)
DE (1) DE602005000054T2 (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4296111B2 (ja) * 2004-03-23 2009-07-15 株式会社エヌ・ティ・ティ・ドコモ アクセス制御システム及びアクセス制御方法
US8316446B1 (en) * 2005-04-22 2012-11-20 Blue Coat Systems, Inc. Methods and apparatus for blocking unwanted software downloads
CN100465983C (zh) * 2006-09-15 2009-03-04 毛德操 在操作系统中根据用户行为历史来控制文件访问的方法
US7836080B2 (en) * 2006-12-22 2010-11-16 International Business Machines Corporation Using an access control list rule to generate an access control list for a document included in a file plan
US7979398B2 (en) * 2006-12-22 2011-07-12 International Business Machines Corporation Physical to electronic record content management
US7805472B2 (en) * 2006-12-22 2010-09-28 International Business Machines Corporation Applying multiple disposition schedules to documents
US7831576B2 (en) * 2006-12-22 2010-11-09 International Business Machines Corporation File plan import and sync over multiple systems
WO2008122645A2 (en) * 2007-04-10 2008-10-16 Apertio Limited Improved sub-tree access control in network architectures
US9172707B2 (en) * 2007-12-19 2015-10-27 Microsoft Technology Licensing, Llc Reducing cross-site scripting attacks by segregating HTTP resources by subdomain
JP2010157012A (ja) * 2008-12-26 2010-07-15 Nippon Telegr & Teleph Corp <Ntt> 認証システム、ユーザ端末接続サーバ装置、ユーザ端末装置、これらのプログラム
WO2010090357A1 (ko) * 2009-02-04 2010-08-12 주식회사 이스트소프트 웹사이트 주소 검증 시스템 및 주소 검증 방법
EP2408236A1 (en) * 2009-03-13 2012-01-18 Nec Corporation Wireless communication system, base station apparatus, wireless communication terminal, gateway apparatus and communication method
CN101600207A (zh) * 2009-06-18 2009-12-09 中兴通讯股份有限公司 一种基于wap的sp访问控制方法和系统
DE102009037224A1 (de) * 2009-08-12 2011-02-17 Repower Systems Ag Verfahren und Vorrichtung zur Zugriffsregelung auf Anlagensteuerungen von Windenergieanlagen
CN102812473A (zh) * 2010-02-11 2012-12-05 惠普发展公司,有限责任合伙企业 基于可执行程序身份的文件访问
KR101064201B1 (ko) * 2010-07-27 2011-09-14 주식회사 파수닷컴 웹 데이터의 권한 관리 장치, 웹 데이터의 권한 관리 방법을 컴퓨터에서 실행시키기 위한 기록매체, 그리고 권한 관리 정보 제공 장치 및 방법
US9396347B2 (en) 2011-09-01 2016-07-19 Microsoft Technology Licensing, Llc Providing status of site access requests
US9043434B1 (en) 2011-09-12 2015-05-26 Polyvore, Inc. Alternate page determination for a requested target page
US9767296B2 (en) * 2012-04-02 2017-09-19 Varonis Systems, Inc Requesting access to restricted objects by a remote computer
US9747459B2 (en) * 2012-04-02 2017-08-29 Varonis Systems, Inc Method and apparatus for requesting access to files
US9397978B1 (en) 2012-12-21 2016-07-19 Western Digital Technologies, Inc. Cloud to local router security
US20140282886A1 (en) * 2013-03-14 2014-09-18 TollShare, Inc. Content list sharing
US10061836B2 (en) 2013-06-04 2018-08-28 Varonis Systems, Ltd. Delegating resembling data of an organization to a linked device
JP6513562B2 (ja) * 2015-12-02 2019-05-15 日本電信電話株式会社 閲覧管理システムおよび閲覧管理方法
CN105812476B (zh) * 2016-04-05 2019-04-19 深信服科技股份有限公司 访问被拒绝网站的方法及装置
CN107515879B (zh) 2016-06-16 2021-03-19 伊姆西Ip控股有限责任公司 用于文档检索的方法和电子设备

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606615A (en) * 1995-05-16 1997-02-25 Lapointe; Brian K. Computer security system
US5696898A (en) * 1995-06-06 1997-12-09 Lucent Technologies Inc. System and method for database access control
US5678041A (en) * 1995-06-06 1997-10-14 At&T System and method for restricting user access rights on the internet based on rating information stored in a relational database
US5878233A (en) * 1995-08-07 1999-03-02 International Business Machines Corporation System, method, and computer program product for reviewing and creating advisories for data located on a content server
EP0966822A2 (en) 1997-03-10 1999-12-29 Internet Dynamics, Inc. Methods and apparatus for controlling access to information
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US5999179A (en) * 1997-11-17 1999-12-07 Fujitsu Limited Platform independent computer network management client
US6233618B1 (en) * 1998-03-31 2001-05-15 Content Advisor, Inc. Access control of networked data
US6564327B1 (en) * 1998-12-23 2003-05-13 Worldcom, Inc. Method of and system for controlling internet access
US6418452B1 (en) * 1999-11-03 2002-07-09 International Business Machines Corporation Network repository service directory for efficient web crawling
WO2001033371A1 (en) * 1999-11-05 2001-05-10 Surfmonkey.Com, Inc. System and method of filtering adult content on the internet
JP3605343B2 (ja) 2000-03-31 2004-12-22 デジタルア−ツ株式会社 インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置
GB2366888A (en) 2000-04-14 2002-03-20 Ibm Restricting data access to data in data processing systems
US7308487B1 (en) * 2000-12-12 2007-12-11 Igate Corp. System and method for providing fault-tolerant remote controlled computing devices
JP2003044441A (ja) * 2001-07-26 2003-02-14 Japan Science & Technology Corp ネットワーク・アクセス制御管理システム
JP4031264B2 (ja) 2002-03-06 2008-01-09 株式会社富士通ソーシアルサイエンスラボラトリ フィルタリング管理方法、フィルタリング管理プログラム、フィルタリング装置のフィルタリング管理方法、およびフィルタリング装置用フィルタリング管理プログラム
JP2004013258A (ja) 2002-06-04 2004-01-15 Matsushita Electric Ind Co Ltd 情報フィルタリングシステム
US7766743B2 (en) * 2002-08-29 2010-08-03 Douglas Schoellkopf Jebb Methods and apparatus for evaluating a user's affinity for a property
US20050065935A1 (en) * 2003-09-16 2005-03-24 Chebolu Anil Kumar Client comparison of network content with server-based categorization
US20050144297A1 (en) * 2003-12-30 2005-06-30 Kidsnet, Inc. Method and apparatus for providing content access controls to access the internet
JP4296111B2 (ja) * 2004-03-23 2009-07-15 株式会社エヌ・ティ・ティ・ドコモ アクセス制御システム及びアクセス制御方法

Also Published As

Publication number Publication date
US8161068B2 (en) 2012-04-17
US20050216467A1 (en) 2005-09-29
DE602005000054D1 (de) 2006-09-07
EP1598753A3 (en) 2005-11-30
EP1598753B1 (en) 2006-07-26
DE602005000054T2 (de) 2007-03-15
CN1674531A (zh) 2005-09-28
EP1598753A2 (en) 2005-11-23
CN1330130C (zh) 2007-08-01
JP2005275604A (ja) 2005-10-06
US7725458B2 (en) 2010-05-25
US20090293105A1 (en) 2009-11-26

Similar Documents

Publication Publication Date Title
JP4296111B2 (ja) アクセス制御システム及びアクセス制御方法
CN103039050B (zh) 用于在计算机网络中管理对被保护资源的访问以及委托授权的方法
KR100816004B1 (ko) 프라이버시의 호출 방법
EP2491694B1 (en) Method for managing access to protected resources in a computer network, physical entities and computer programs therefor
JP4891299B2 (ja) Ipアドレスを用いるユーザ認証システム及びその方法
US8769044B2 (en) Controlling, filtering, and monitoring of mobile device access to the internet, data, voice, and applications
US20040006621A1 (en) Content filtering for web browsing
WO2012112096A1 (en) Secure handling of information related to a user
JP2005536787A (ja) プライバシーポリシーに従ってクッキーを管理する方法及びシステム
US20110137817A1 (en) System and method for aggregating and disseminating personal data
JPWO2003091889A1 (ja) コラボレーションサーバ、コラボレーションシステム、そのセッション管理方法及びプログラム
JP2008234332A (ja) Webサイト閲覧のフィルタリング装置、そのフィルタリング方法、そのフィルタリングプログラム、そのフィルタリングプログラムが格納された記録媒体、及びwebサイト閲覧のフィルタリングシステム
JPWO2009107219A1 (ja) 認証装置,認証方法およびその方法を実装した認証プログラム
JP6323163B2 (ja) 中継装置、システム及びプログラム
JP2006302265A (ja) フィルタリング方法、クライアントシステム、その制御方法及びプログラム、フィルタリングシステム、サーバシステム、その制御方法及びプログラム
KR100926780B1 (ko) 유무선 위젯 서비스 시스템 및 그 방법
US20090307750A1 (en) Internet-based access controlled consumption of content and services using client-side credentials
JP2015133087A (ja) ファイル管理装置、ファイル管理システム及びプログラム
JP2017016447A (ja) 情報処理装置及びプログラム
US20110289552A1 (en) Information management system
JP4559648B2 (ja) 認証システム、および認証サーバ
JP2010218302A (ja) コンテンツアクセス制御システム、コンテンツサーバ及びコンテンツアクセス制御方法
JP6882078B2 (ja) 制御システム、端末装置、制御方法およびプログラム
US7043554B2 (en) Networker server, method for controlling transmission of a hypertext and recording medium storing a hypertext
JP2006235743A (ja) アクセス制御装置、アクセス制御方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060414

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090407

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090413

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120417

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120417

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130417

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130417

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140417

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees