專利名稱:中繼裝置�����、中繼方法和程序的制作方法
技術領域:
本發(fā)明涉及中繼裝置���、中繼方法和程序�。特別地�,本發(fā)明涉及通過使用根據來自通信終端的訪問請求發(fā)布的票據信息接受客戶端認證來有效地實現服務器間加密通信的中繼裝置、中繼方法和程序���。
背景技術:
以往��,為了將有線LAN����、無線LAN以及移動電話網等局域網(LAN)與因特網等廣域網(WAN)相連接,使用網關等中繼裝置�����。這樣的中繼裝置��,對連接到了LAN的個人計算機(PC)��、移動信息終端(PDA)以及移動電話等通信終端與連接到了WAN的Web服務器等服務器之間的通信進行中繼�。
作為在通信終端與服務器之間發(fā)送接收機密性高的數據的方法,提出有在通信終端與服務器之間進行端對端加密通信的方法����,以及在中繼裝置與服務器之間進行服務器間加密通信的方法。
在端對端加密通信中��,通信終端對消息進行加密而發(fā)送�,服務器則進行解密�。此外,服務器對消息進行加密而發(fā)送���,通信終端則進行解密���。關于本通信方式,公開有以下那樣的中繼裝置通過向通信終端發(fā)送通信終端用于消息的加密的服務器的公開密鑰,向服務器發(fā)送服務器用于消息的加密的通信終端的公開密鑰���,來代行通信終端和服務器的相互認證處理(專利文獻1)��。此外��,公開有中繼裝置在對已加密的消息進行解密后加以改變的技術(專利文獻2)�。
另一方面��,在服務器間加密通信中���,在通信終端與中繼裝置之間��,通常進行非加密通信����,而在中繼裝置與服務器之間則進行加密通信�����。特別地���,在移動電話等與服務器之間的通信中�����,由于移動電話側的網絡是機密性高的封閉網絡以及通過在中繼裝置中進行加密處理而不是在移動電話中進行加密處理來提高通信性能����,所以服務器間加密通信是有效的。關于本通信方式���,公開有中繼裝置管理用于通信終端的認證的證書并使用該證書在與服務器之間進行相互認證的技術(專利文獻3)�����。此外����,公開有這樣的技術預先將通信終端的證書注冊到證書管理服務器內��,通信終端經由中繼裝置向證書管理服務器進行注冊���,而使該證書下載到中繼裝置(專利文獻4)。此外���,公開有使用通信路徑上的中繼裝置的ID來判斷中繼裝置與服務器間的數據的合法性的技術(專利文獻5)�����。
此外��,還公開有根據服務器是否請求通信裝置的證書的情況�����,來切換端對端加密通信和服務器間加密通信的技術(專利文獻6)����。
專利文獻1特開2001-134534號公報專利文獻2特表2003-503963號公報專利文獻3特開2002-82907號公報專利文獻4特開2001-251297號公報專利文獻5特開2001-244996號公報專利文獻6特開2002-111747號公報例如,在與如移動電話網那樣���、連接有多種多樣的通信終端的LAN和WAN連接的情況下��,理想的是中繼裝置提供將Web頁變換為移動電話用等變換功能����。此外�����,由于移動電話網本身機密性高以及移動電話的加密處理能力比較低�,所以理想的是中繼裝置支持服務器間加密通信����。
但是��,連接到移動電話網的移動電話的數量是龐大的�����,如果如專利文獻3和4那樣���,集中管理各個移動電話用的客戶端證書��,則維護·管理成本將會增加�����。
發(fā)明內容
于是�,本發(fā)明的目的在于提供能夠解決上述問題的中繼裝置����、中繼方法和程序。該目的可通過權利要求的范圍內的獨立權利要求中所記載的特征的組合來實現�。此外,從屬權利要求則限定本發(fā)明的更為有利的具體例�����。
根據本發(fā)明的第1方式��,提供一種中繼裝置��、與該中繼裝置有關的中繼方法和程序�,該中繼裝置是對通信終端與服務器之間的通信進行中繼的中繼裝置,其具備訪問請求接收部�,其從上述通信終端接收對于上述服務器的第1訪問請求;票據信息獲取部��,其從外部的認證服務器獲取用于上述服務器根據上述第1訪問請求進行認證的�、對于該第1訪問請求標識該中繼裝置的票據信息;訪問請求發(fā)送部�,其對上述第1訪問請求和上述票據信息進行加密而向上述服務器發(fā)送;訪問應答解密部��,其對從使用上述票據信息對該中繼裝置進行了認證的上述服務器接收的�����、對于上述第1訪問請求的加密后的第1訪問應答進行解密�;以及訪問應答發(fā)送部,其向上述通信終端發(fā)送解密后的上述第1訪問應答�。
另外���,上述的發(fā)明的概要,并未列舉出本發(fā)明的全部的必要特征��,這些特征組的子組合�����,也可成為發(fā)明�。
如果采用本發(fā)明����,則可以提供使用根據來自通信終端的訪問請求發(fā)布的票據信息接受客戶端認證的中繼裝置���。
具體實施例方式
以下��,雖然通過發(fā)明的實施方式來說明本發(fā)明��,但是�,以下的實施方式并不是要對權利要求的范圍內的發(fā)明進行限定���,此外�,在實施方式中所說明的特征的組合的全部并不一定是發(fā)明的解決手段所必須的。
圖1示出了本實施方式的通信系統(tǒng)10的結構�。本實施方式的通信系統(tǒng)10,利用中繼裝置100對第1網絡110和第2網絡150之間的通信進行中繼�����。并且�����,中繼裝置100��,根據通信終端130的請求適當地分別使用端對端加密通信和服務器間加密通信���。此外,在服務器間加密通信中���,中繼裝置100自身�,使用由認證服務器170暫時地發(fā)布的一次口令等票據信息接受客戶端認證����。利用這些功能,中繼裝置100就可以在多個多種多樣的通信終端130連接到了第1網絡110的環(huán)境中�,對通信終端130適當地提供WAN連接環(huán)境。
通信系統(tǒng)10具備第1網絡110;1個或多個基站120���;1個或多個通信終端130����;第2網絡150���;1個或多個Web服務器160���;1個或多個認證服務器170和中繼裝置100。
第1網絡110���,是通信終端130和中繼裝置100所連接到的局域網�。在本實施方式中����,第1網絡110,作為一個例子��,是由移動電話公司提供的移動電話網等封閉網絡���?;?20被連接到第1網絡110,利用無線與通信終端130進行通信�,從而將通信終端130連接到第1網絡110。通信終端130例如是移動電話���、移動信息終端(PDA)或者個人計算機等���,其具有根據用戶的指示訪問第2網絡150上的Web服務器160的功能�����。
第2網絡150�����,是Web服務器160���、認證服務器170��、認證中心180以及中繼裝置100所連接的廣域網�����。在本實施方式中����,第2網絡150,作為一個例子�����,是因特網等開放網絡����。Web服務器160,是本發(fā)明的服務器的一個例子��,其向訪問源的通信終端130提供Web頁等的文件或內容�。此外,Web服務器160����,根據通信終端130的請求執(zhí)行服務處理,并向通信終端130應答服務處理的結果�����。
認證服務器170���,以在中繼裝置100與Web服務器160之間進行相互認證為條件����,生成并對中繼裝置100發(fā)布Web服務器160用于中繼裝置100的認證的一次口令等票據信息。認證中心180�,發(fā)布并向中繼裝置100提供用于中繼裝置100的認證的中繼裝置100的證書(客戶端證書)。
中繼裝置100����,例如是網關裝置,其被連接到第1網絡110和第2網絡150��,對通信終端130與Web服務器160之間的通信進行中繼�����。更具體地��,中繼裝置100��,接收從通信終端130對于Web服務器160的訪問請求�����,并向Web服務器160轉送�。在本實施方式中����,訪問請求�����,包括指定目的地的Web服務器160的目的地信息和標識應當由Web服務器160執(zhí)行的服務處理的服務標識信息���。
本實施方式的中繼裝置100,可以使用以下所示的非加密通信����、端對端加密通信和服務器間加密通信這3種通信方式。
(1)非加密通信是在通信終端130和Web服務器160之間不對消息進行加密�,利用明文進行發(fā)送接收的通信方式。中繼裝置100��,根據從通信終端130接收到含有指示在與Web服務器160之間利用非加密通信進行通信的通信方式指示信息的訪問請求的情況�����,對非加密通信進行中繼���。非加密通信的訪問請求�����,例如���,也可以是請求利用HTTP協議���、用明文下載Web服務器160內的文件或內容的“GET http://...”等訪問請求消息。
(2)端對端加密通信是在通信終端130與Web服務器160之間對消息進行加密而發(fā)送接收且中繼裝置100進行隧道處理的通信方式��,其中該隧道處理不對消息進行變換地進行中繼�。也就是說,中繼裝置100���,接收從通信終端130對于Web服務器160的���、加密后的訪問請求,并向Web服務器160轉送��。此外���,從Web服務器160接收對于訪問請求的、加密后的訪問應答��,并保持加密后的狀態(tài)不變地向通信終端130轉送����。
中繼裝置100�����,根據從通信終端130接收到包含指示在通信終端130與Web服務器160之間利用端對端加密通信進行通信的通信方式指示信息的訪問請求的情況���,對端對端加密通信進行中繼。端對端加密通信的訪問請求��,例如�,也可以包含連接請求消息,該連接請求消息包含利用HTTPS協議在通信終端130與Web服務器160之間請求SSL連接的“CONNECThttps://...”�。此外,也可以是包含指定Web服務器160根據該訪問請求應當執(zhí)行的服務程序的信息和指定向該服務程序提供的參數的信息的���、例如指示利用CGI進行的腳本調用等的消息��。
(3)服務器間加密通信是在中繼裝置110與Web服務器160之間對消息進行加密而發(fā)送接收的通信方式�。也就是說�,中繼裝置100,接收從通信終端130對于Web服務器160的訪問請求����,對其進行加密而向Web服務器160發(fā)送����。此外��,從Web服務器160接收對于訪問請求的�、加密后的訪問應答,對其進行解密而向通信終端130發(fā)送��。在這里�����,中繼裝置100與通信終端130之間既可以用明文進行通信��,也可以進行利用與中繼裝置100和Web服務器160之間不同的加密密鑰/解密密鑰進行的加密通信�。
中繼裝置100,根據從通信終端130接收到包含指示利用服務器間加密通信進行通信的通信方式指示信息的訪問請求的情況��,進行服務器間加密通信����。該訪問請求��,例如可以是在提供給Web服務器160的服務程序的參數中��,包含對于中繼裝置100指示服務器間加密通信的“proxy_ssl_assist=on”等描述的CGI腳本調用等的消息。在該情況下����,該訪問請求,在基于HTTP協議的訪問請求內的URL部分包含指示CGI腳本的調用以及服務器間加密通信的CGI參數的描述���。
該訪問請求���,也可以代之以在基于HTTP協議的擴展HTTP標頭等中,包含指示服務器間加密通信的“proxy_ssl_assiston”等描述��。
服務器間加密通信���,可以進一步分為以下兩類�。
(3-1)Web服務器160不進行訪問源的認證的服務器間加密通信以在訪問請求中不包含指示使Web服務器160認證訪問源的認證指示信息為條件����,中繼裝置100,作為通信終端130的代理����,進行服務器間加密通信而不接受訪問源的認證(客戶端認證)。
(3-2)Web服務器160進行訪問源的認證的服務器間加密通信以在訪問請求中包含指示使Web服務器160認證訪問源的認證指示信息為條件,中繼裝置100��,作為通信終端130的代理�����,接受客戶端認證�����。在本實施方式中��,該訪問請求�,例如,也可以是在提供給Web服務器160的服務程序的參數中包含對于中繼裝置100指示接受客戶端認證的“proxy_authenticate=...”等描述作為認證指示信息的CGI腳本調用等的消息���。在該情況下����,該訪問請求��,也可以在基于HTTP協議的訪問請求內的URL部分�,包含指示CGI腳本調用和接受客戶端認證的CGI參數的描述。
該訪問請求也可以代之以在基于HTTP協議的擴展HTTP標頭等中��,包含指示接受客戶端認證的描述。
通過Web服務器160進行中繼裝置100的客戶端認證��,中繼裝置100進行Web服務器160的服務認證��,可以在中繼裝置100和Web服務器160之間進行相互認證��。本實施方式的中繼裝置100��,對于指示接受客戶端認證的訪問請求��,對認證服務器170請求標識中繼裝置100的票據信息的發(fā)布���。在這里,包括認證指示信息的訪問請求�����,也可以含有標識對于該訪問請求應當發(fā)布票據信息的認證服務器170的認證目的地信息���。該認證目的地信息���,例如,可以作為“proxy_authenticate=‘認證服務器170的URL’”等��,與認證指示信息具有對應關系地被描述。在該情況下����,中繼裝置100,對于由認證目的地信息指定的認證服務器170�,請求票據信息的發(fā)布。
另外����,中繼裝置100和認證服務器170,在票據信息的發(fā)布之前����,進行相互認證。通過對中繼裝置100進行客戶端認證���,認證服務器170可以防止對于未被許可進行Web服務器160的服務的利用的中繼裝置100發(fā)布票據信息的情況���。其結果,通信系統(tǒng)10可以間接地防止從未加入到服務內的通信終端130利用Web服務器160的服務的情況�����。
如果采用以上所示的中繼裝置100���,則可以根據訪問請求的內容�,適當地分別使用非加密通信、端對端加密通信和服務器間加密通信����。此外�,通過使用服務器間加密通信,通信終端130可以無需個別地接受客戶端認證�,而代之以中繼裝置100根據暫時的票據信息接受客戶端認證。為此����,中繼裝置100,可以在無需個別地管理連接到機密性高的封閉網絡的各個通信終端130的客戶端證書的情況下�,提供客戶端認證功能。
另外��,也可以代之以上����,而將中繼裝置100設置在通信終端130和Web服務器160所共同連接到的網絡上。在該方式中���,中繼裝置100��,從通信終端130暫時接收對于Web服務器160的訪問請求���,并通過該網絡轉送給Web服務器160��。此外���,從Web服務器160接收對于訪問請求的訪問應答,并通過該網絡轉送給通信終端130���。
圖2示出了本實施方式的中繼裝置100的結構�。中繼裝置100���,具備訪問請求接收部200��;請求監(jiān)視部205�;確認請求發(fā)送部220���;確認應答接收部225�;認證信息獲取部210��;票據信息獲取部215�����;服務信息存儲部230;網關·應用處理部235�����;訪問請求發(fā)送部240����;訪問應答接收部245��;應答監(jiān)視部250����;鏈接變更指示信息獲取部255;內容變換部260和訪問應答發(fā)送部265�。
訪問請求接收部200,從通信終端130接收對于Web服務器160的訪問請求�����。請求監(jiān)視部205���,根據訪問請求的內容�,即例如通信方式指示信息,選擇使用非加密通信���、端對端加密通信以及服務器間加密通信中的哪一方進行通信��,并進行與所選擇的通信方式對應的請求處理���。在這里,在進行非加密通信或服務器間加密通信的情況下����,請求監(jiān)視部205向網關·應用處理部235轉送訪問請求,使之經由網關·應用處理部235和訪問請求發(fā)送部240被向Web服務器160發(fā)送�。
確認請求發(fā)送部220,以進行服務器間加密通信為條件���,向通信終端130的用戶請求中繼裝置100是否接受由Web服務器160進行的客戶端認證的確認����。更具體地���,確認請求發(fā)送部220��,對于來自通信終端130的訪問請求�����,向通信終端130發(fā)送對于Web服務器160是否使之認證該中繼裝置100的確認請求��,并由通信終端130的用戶進行確認��。確認應答接收部225�����,從通信終端130接收包括用戶對確認請求的確認結果的確認應答�����,從而中繼裝置100獲取是否接受由Web服務器160進行的客戶端認證的指示�����。接收到該確認結果����,請求監(jiān)視部205判斷對于Web服務器160是否使之認證該中繼裝置100��。
服務信息存儲部230,登記該中繼裝置100可以接受的各個服務處理����,即各個Web服務器160根據來自通信終端130的訪問請求應當執(zhí)行的服務處理。更具體地���,服務信息存儲部230�,與標識服務處理的服務標識信息的各個具有對應關系地存儲通信方式許可信息���、認證許可信息以及確認許可信息����。通信方式許可信息��,指定可在該服務處理中使用的通信方式��。認證許可信息�,指定對于該服務處理是否許可由Web服務器160進行的客戶端認證。確認許可信息���,指定是否向通信終端130發(fā)送由Web服務器160進行的客戶端認證的確認請求��。
認證信息獲取部210��,在進行服務器間加密通信的情況下����,以在從通信終端130接收到的訪問請求內包含表示認證訪問源的意思的認證指示信息為條件,獲取該認證指示信息�����。另外����,請求監(jiān)視部205,以對于Web服務器160不使之認證該中繼裝置100為條件�����,禁止認證信息獲取部210的上述動作�。票據信息獲取部215,根據認證信息獲取部210所獲取的認證指示信息�,從外部的認證服務器170獲取票據信息�����。該票據信息����,例如是一次口令����,是由認證服務器170與通信終端130的標識信息無關地分配的�、用來對于該訪問請求標識中繼裝置100的標識信息。在本實施方式中����,票據信息獲取部215,在與外部的認證服務器170之間進行相互認證����,獲取票據信息。
網關·應用處理部235���,以進行非加密通信或服務器間加密通信為條件�,在通信終端130與Web服務器160之間��,對訪問請求和/或訪問應答進行數據變換��,即例如內容變換等����。例如��,網關·應用處理部235���,對被準備為面向個人計算機的Web服務器160上的Web頁進行使之適合于面向作為移動電話的通信終端130等的變換處理。另外�����,在端對端加密通信中��,網關·應用處理部235����,也可以如在專利文獻2中所公開的那樣,預先獲取中繼裝置100和Web服務器160的解密密鑰����,并利用自動譯碼對訪問請求和訪問應答進行數據變換。
訪問請求發(fā)送部240���,經由網關·應用處理部235獲取由請求監(jiān)視部205進行的請求處理輸出的訪問請求����。并且�����,訪問請求發(fā)送部240���,通過第2網絡150向Web服務器160發(fā)送訪問請求��。在這里���,以進行服務器間加密通信為條件,訪問請求發(fā)送部240對訪問請求進行加密而向Web服務器160發(fā)送��。另外�,在接受由Web服務器160進行的客戶端認證的情況下,訪問請求發(fā)送部240��,對訪問請求和由票據信息獲取部215所獲取的票據信息進行加密而向Web服務器160發(fā)送���。
訪問應答接收部245�,是本發(fā)明的訪問應答解密部的一個例子�����,其接收Web服務器160對于訪問請求的訪問應答���。并且�,訪問應答接收部245,對針對使用了服務器間加密通信的訪問請求的訪問應答進行解密���。在這里��,訪問應答接收部245接收的訪問應答��,例如����,包括使通信終端130顯示服務處理的處理結果的HTML等的文件和/或所訪問的內容等���。該文件和內容等����,也可以包括用來請求對于其他的文件和/或內容等的訪問的鏈接信息��,即例如由超級鏈接或CGI實現的腳本調用等��。通信終端130����,在由用戶指定了該鏈接信息的情況下等��,對Web服務器160發(fā)送對于由該鏈接信息指定的文件或內容的訪問請求。
應答監(jiān)視部250�,根據通信方式和訪問應答的內容,進行訪問應答處理�。更具體地,應答監(jiān)視部250��,對針對使用了非加密通信或服務器間加密通信的訪問請求的訪問應答的標頭和內容進行分析�����。另一方面��,應答監(jiān)視部250�����,對于針對使用了端對端加密通信的訪問請求的訪問應答��,向內容變換部260轉送而不進行內容的分析�����。
鏈接變更指示信息獲取部255��,以在訪問應答的標頭或內容中包含鏈接變更指示信息為條件,獲取該鏈接變更指示信息���。該鏈接變更指示信息可以包括指示將各鏈接信息變更為在對于文件或內容的鏈接目的地的訪問請求中��、在中繼裝置100和Web服務器160之間進行服務器間加密通信的服務器間加密指示信息�,或者指示將各鏈接信息變更為在對于文件或內容的鏈接目的地的訪問請求中��、使獲取票據信息并進行中繼裝置100與Web服務器160之間的相互認證的相互認證指示信息����。
內容變換部260,與獲取了鏈接變更指示信息的情況對應地�����,變更通過訪問應答接收到的文件或內容的各鏈接信息��。也就是說����,內容變換部260,與獲取了服務器間加密指示信息的情況對應地�����,將內容內的指示加密通信的鏈接信息變換為指示服務器間加密通信的鏈接信息。由此�,通信終端130,與該鏈接信息的訪問被指示了的情況對應地�,向中繼裝置100發(fā)送對中繼裝置100指示服務器間加密通信的訪問請求。
此外�����,內容變換部260���,以獲取了相互認證指示信息為條件,將內容內的各鏈接信息變換為指示中繼裝置100和Web服務器160之間的相互認證的鏈接信息�����。由此��,通信終端130�����,與該鏈接信息的訪問被指示了的情況對應地����,向中繼裝置100發(fā)送包含認證指示信息并且指示應當從認證服務器170獲取票據信息的情況的訪問請求�����。
訪問應答發(fā)送部265��,接收由訪問應答接收部245接收��、根據需要由應答監(jiān)視部250�、鏈接變更指示信息獲取部255����、內容變換部260和網關·應用處理部235變換后的訪問應答,并通過第1網絡110發(fā)送給通信終端130�。
圖3示出了本實施方式的中繼裝置100的動作流程。
首先����,訪問請求接收部200,從通信終端130接收對于Web服務器160的訪問請求(步驟S300)����。接著,請求監(jiān)視部205�����,根據訪問請求的內容,即例如通信方式指示信息�,選擇通信方式(S305)。另外�,訪問請求,還可以進一步包括標識Web服務器160根據該訪問請求應當執(zhí)行的服務處理的服務標識信息���。在該情況下�����,請求監(jiān)視部205,讀出與包含在訪問請求內的服務標識信息具有對應關系地存儲在服務信息存儲部230內的通信方式許可信息�����,并以根據訪問請求的內容選擇的通信方式的使用得到許可為條件��,使用該通信方式���。
接著����,中繼裝置100,根據非加密通信�、端對端加密通信以及服務器間加密通信這各個通信方式,進行以下的處理�����。
(1)非加密通信以非加密通信方式被選擇為條件�����,請求監(jiān)視部205���,向網關·應用處理部235轉送訪問請求��。網關·應用處理部235根據訪問請求進行所需的數據變換���。并且,訪問請求發(fā)送部240����,將從網關·應用處理部235獲取的訪問請求,不進行加密�����,而發(fā)送給目的地的Web服務器160(S310)。
接著���,訪問應答接收部245���,用明文接收根據訪問請求、由Web服務器160發(fā)送的訪問應答而轉送給應答監(jiān)視部250��,從而使處理前進到S355(S315)���。
(2)端對端加密通信以端對端加密通信被選擇為條件��,請求監(jiān)視部205���,向網關·應用處理部235轉送作為訪問請求的一部分而包含在內的連接請求消息��。網關·應用處理部235����,接收該連接請求消息,并通過訪問請求發(fā)送部240和訪問應答接收部245在與Web服務器160之間發(fā)送接收消息���,并在與Web服務器160之間建立TCP連接等連接(S317)�。在連接建立后,網關·應用處理部235通過訪問應答發(fā)送部265對通信終端130發(fā)送連接應答消息�����。
接著��,通信終端130和Web服務器160�����,經由中繼裝置100交換用來進行加密通信路徑的建立的數據����。也就是說�����,例如��,以進行SSL連接為條件��,通信終端130發(fā)送“SSL Client Hello”消息,并從Web服務器160接收“SSL Server Hello”消息���、服務器證書以及“Server Hello Done”消息���。接著,通信終端130發(fā)送“Change Cipher Spec”消息和“Finish”消息�。接著,通信終端130從Web服務器160接收“Change Cipher Spec”和“Finish”消息���。由此�,就可以在通信終端130與Web服務器160之間建立加密通信(S318)�。
接著����,通信終端130向中繼裝置100發(fā)送訪問Web服務器160內的文件或內容等的�、加密后的訪問請求����。該訪問請求���,經由請求監(jiān)視部205和網關·應用處理部235被向訪問請求發(fā)送部240轉送�����。訪問請求發(fā)送部240���,不指示服務器間加密通信�,而不在該中繼裝置100中進行加密地向Web服務器160發(fā)送應當在通信終端130和Web服務器160之間進行端對端加密通信的該訪問請求(S320)��。
接著,訪問應答接收部245�,從Web服務器160接收對于該訪問請求的訪問應答(S325)�。訪問應答接收部245�����,向通信終端130發(fā)送該訪問應答而不進行解密。
(3)服務器間加密通信在服務器間加密通信被選擇的情況下���,認證信息獲取部210�����,以在訪問請求內���、即例如在包含于該訪問請求內的參數內含有指示使Web服務器160認證訪問源的認證指示信息為條件,獲取該認證指示信息����,并使處理前進到S335(S330)。在這里���,認證信息獲取部210進一步以在訪問請求內含有認證指示信息和認證目的地信息為條件��,從該訪問請求內獲取認證目的地信息��。接著,確認請求發(fā)送部220���,向通信終端130發(fā)送確認請求,且確認應答接收部225接收確認應答(S335)�。
在這里��,確認請求發(fā)送部220����,也可以根據與訪問請求對應的服務處理來判斷是否向通信終端130發(fā)送確認請求����。更具體地�,服務信息存儲部230預先與服務標識信息具有對應關系地存儲有指定是否許可向通信終端130發(fā)送確認請求的確認許可信息。并且�����,請求監(jiān)視部205,以與包含于應當進行服務器間加密通信的訪問請求內的服務標識信息對應的確認許可信息表示“許可”為條件�,許可對確認請求發(fā)送部220發(fā)送確認請求�����。由此���,確認請求發(fā)送部220��,可以以與包含于訪問請求內的服務標識信息對應地存儲有許可向通信終端130發(fā)送確認請求的確認許可信息為條件�����,向通信終端130發(fā)送確認請求�。其結果,確認應答接收部225從通信終端130接收確認應答���。另一方面�����,以該確認許可信息表示“禁止”為條件��,確認請求發(fā)送部220對通信終端130不發(fā)送確認請求�。
接著�,票據信息獲取部215�����,以在訪問請求內含有認證指示信息、Web服務器160根據該訪問請求進行訪問源的認證為條件���,對于該訪問請求從認證服務器170獲取標識該中繼裝置100的票據信息(S340)���。該票據信息����,為了認證訪問源��,由Web服務器160來使用����。這時,以認證目的地信息被指定為條件����,票據信息獲取部215從由認證目的地信息指定的認證服務器170獲取票據信息�����。
在S340���,票據信息獲取部215�����,對于該訪問請求����,與接收到表明要對于Web服務器160使之認證該中繼裝置100的確認應答的情況相對應地,接收請求監(jiān)視部205的指示而從認證服務器170獲取票據信息���。此外�,以與包含于該訪問請求內的服務標識信息相對應地�����、在服務信息存儲部230內存儲有表示不許可向通信終端130發(fā)送確認請求的意思的確認許可信息為條件����,票據信息獲取部215�����,從認證服務器170獲取票據信息��,接受由Web服務器160進行的認證而無需向用戶取得確認����。在這里��,票據信息獲取部215���,在票據信息的獲取之前�����,在與認證服務器170之間進行相互認證��,從而利用加密通信獲取票據信息���。
另外,在S335和S340���,票據信息獲取部215也可以��,以與包含于訪問請求內的服務標識信息相對應地在服務信息存儲部230內存儲有許可票據信息的獲取的認證許可信息為條件��,從認證服務器170獲取票據信息�。由此,中繼裝置100��,就可以僅對該中繼裝置100所加入的服務����,接收票據信息的發(fā)布而接受客戶端認證���。
接著�,請求監(jiān)視部205�����,經由網關·應用處理部235向訪問請求發(fā)送部240轉送訪問請求和由票據信息獲取部215獲取的票據信息����。接著,訪問請求發(fā)送部240�����,在與Web服務器160之間建立加密通信路徑。訪問請求發(fā)送部240���,以在訪問請求內含有認證指示信息��、Web服務器160根據該訪問請求進行訪問源的認證為條件�����,對訪問請求和票據信息進行加密而向Web服務器160發(fā)送(S345)�����。
另一方面��,訪問請求發(fā)送部240�����,以在訪問請求內不含有認證指示信息�����、Web服務器160根據該訪問請求不進行訪問源的認證為條件�����,對訪問請求進行加密而向Web服務器160發(fā)送(S345)��。由此��,訪問請求發(fā)送部240���,雖然應當進行服務器間加密通信�,但是�����,對于不需要客戶端認證的訪問請求���,可以向Web服務器160發(fā)送而無需利用票據信息獲取部215獲取票據信息。
接著���,訪問應答接收部245�,接收對于訪問請求發(fā)送部240發(fā)送的訪問請求的��、加密后的訪問應答并進行解密(S350)����。在這里�,在進行了客戶端認證的情況下����,訪問應答接收部245從已用票據信息對該中繼裝置100進行了認證的Web服務器160,接收對于訪問請求的加密后的訪問應答�,并進行解密。
在上述(1)和(3)的情況下�,由訪問應答接收部245接收到的訪問應答由訪問應答接收部245進行解密,并被轉送給應答監(jiān)視部250���。應答監(jiān)視部250�、鏈接變更指示信息獲取部255和內容變換部260����,根據需要變更通過訪問應答接收到的文件或內容的鏈接信息(S355)。也就是說�,應答監(jiān)視部250,分析訪問應答的標頭和內容�。鏈接變更指示信息獲取部255,獲取包含于訪問應答的標頭或內容中的鏈接變更指示信息��。內容變換部260,根據鏈接變更信息����,變更通過訪問應答接收到的文件或內容內的各鏈接信息。
更具體地�����,在文件或內容的鏈接信息中����,描述包含于通信終端130與該鏈接信息被選擇了的情況對應地應當發(fā)送的訪問請求內的信息。并且���,內容變換部260���,以訪問應答包含服務器間加密指示信息為條件,將鏈接信息變更為在對于鏈接目的地的訪問請求內含有表明應當進行服務器間加密通信的通信方式指示信息����。此外,內容變換部260��,以訪問應答含有相互認證指示信息為條件����,將鏈接信息變更為在對于鏈接目的地的訪問請求內含有認證指示信息、或認證指示信息和認證目的地信息���。鏈接信息變更后的訪問應答����,經由網關·應用處理部235被向訪問應答發(fā)送部265轉送����。
本實施方式的訪問應答,作為服務器間加密指示信息����,既可以在擴展HTTP標頭內含有“ssl_conversionto_proxy_ssl_ssist...”的描述,也可以取而代之作為文件或內容的內容而含有該描述��。此外�,訪問應答,也可以在上述的服務器間加密指示信息的“...”部分內含有相互認證指示信息��。
此外�,內容變換部260,以在訪問應答內至少描述有1個服務器間加密指示信息為條件��,將所有的鏈接信息變換為在對進行加密通信的所有的鏈接信息的訪問請求中指定服務器間加密通信。例如����,將指示利用HTTPS協議進行的訪問請求的發(fā)送的“https://...”的描述,變更為指示利用HTTP協議進行的訪問請求的發(fā)送的“http://...”的描述�,并向CGI參數內添加“proxy_ssl_assist=on”。此外����,內容變換部260,以在訪問應答內描述有相互認證指示信息為條件�,將進行服務器間加密通信的鏈接信息變更為指示客戶端認證的鏈接信息。也就是說��,例如����,內容變換部260向鏈接信息的CGI參數內添加“proxy_path_authenticate=~”的描述。
此外��,訪問應答����,作為鏈接變更指示信息,在對于鏈接目的地的訪問請求中����,也可以包括指示進行端對端加密通信的端對端加密通信指示信息。在該情況下����,內容變換部260,將指示進行服務器間加密通信的所有的鏈接信息變更為指示進行端對端加密通信的鏈接信息�����。例如�����,將指示服務器間加密通信的“http://...”變更為“https://...”����,并刪除CGI參數內的“proxy_ssl_assist=on”的描述。
在S325和S355的處理結束時����,訪問應答發(fā)送部265向通信終端130發(fā)送經由網關·應用處理部235獲取的訪問應答。
如果采用以上所示的中繼裝置100���,則可以根據鏈接變更指示信息����,將鏈接信息變更為在與訪問應答內的各鏈接信息對應的訪問請求內含有指定服務器間加密通信的通信方式指定信息、指定端對端加密通信的通信方式指定信息和/或認證指示信息�。由此,Web服務器160的管理者�,通過將鏈接變更指示信息描述到訪問應答的標頭或各個文件或內容內的1個位置,可以由中繼裝置100一并地變更各鏈接信息����。
圖4示出了本實施方式的通信系統(tǒng)10的非加密通信的序列。
首先�����,通信終端130���,與含有例如“http://...”而不含有“proxy_ssl_assist=on”的鏈接信息被選擇了的情況相對應地�,對中繼裝置100發(fā)送訪問請求消息400�。中繼裝置100內的請求監(jiān)視部205,由于訪問請求含有“http://...”而不含有“proxy_ssl_assist=on”�,所以選擇非加密通信。其結果����,中繼裝置100���,不對訪問請求消息400進行加密,而作為訪問請求消息410向Web服務器160發(fā)送���。
Web服務器160,對訪問請求消息410進行應答��,而發(fā)送包括成為訪問請求消息410的對象的文件或內容的訪問應答消息420����。當接收到訪問應答消息420時,中繼裝置100內的應答監(jiān)視部250�����,分析訪問應答消息420����。鏈接變更指示信息獲取部255,以在訪問應答消息420內含有鏈接變更指示信息為條件��,獲取該鏈接變更指示信息�����。以獲取了鏈接變更指示信息為條件,內容變換部260根據鏈接變更指示信息變更訪問應答內的各鏈接信息����。
以作為鏈接變更指示信息而獲取了服務器間加密通信指示信息為條件,內容變換部260�����,將指示在通信終端130和Web服務器160之間進行加密通信的鏈接信息變換為與被通信終端130的用戶選擇了的情況相對應地��、使從通信終端130發(fā)送指示服務器間加密通信的訪問請求的鏈接信息��。
此外��,以作為鏈接變更指示信息而獲取了相互認證指示信息為條件�,內容變換部260,將內容的各鏈接信息變換為與被通信終端130的用戶選擇了的情況相對應地��、使從通信終端130發(fā)送包括認證指示信息的第1訪問請求的鏈接信息��。也就是說���,例如��,以作為鏈接目的地而描述有請求CGI腳本調用的URL為條件���,內容變換部260��,進行將“proxy_path_authenticate=...”的描述作為認證指示信息包含于CGI參數內的變換�����。
此外�����,以作為鏈接變更指示信息而獲取了端對端加密通信指示信息為條件,內容變換部260��,將指示進行加密通信的鏈接信息變換為與被通信終端130的用戶選擇了的情況相對應地�����、使從通信終端130發(fā)送指示端對端加密通信的訪問請求的鏈接信息��。
并且�����,訪問應答發(fā)送部265,經由網關·應用處理部235獲取包括根據需要對鏈接信息進行了變換后的文件或內容的訪問應答����,并作為訪問應答消息430向訪問源的通信終端130發(fā)送。
圖5示出了本實施方式的通信系統(tǒng)10的端對端通信的序列����。
通信終端130,與含有例如“https://...”����、表示指示端對端加密通信的訪問請求的發(fā)送的鏈接信息被選擇了的情況相對應地,向中繼裝置100發(fā)送指示端對端加密通信的訪問請求�。作為一個例子,作為對于在圖5的訪問請求之前從通信終端130向Web服務器160發(fā)送的訪問請求的訪問應答�,中繼裝置100接收成為該訪問請求的對象的文件或內容。并且���,中繼裝置100內的內容變換部260�����,以在訪問應答內含有端對端加密通信指示信息的情況為條件��,將該文件或內容內的指示加密通信的鏈接信息變換為指示端對端加密通信的鏈接信息���。在該情況下��,通信終端130����,之后發(fā)送指示端對端加密通信的訪問請求����。
指示端對端加密通信的訪問請求,包括為了在通信終端130與Web服務器160之間建立連接而發(fā)送的連接請求消息500����、用來建立加密通信路徑的消息以及訪問請求消息540。首先�����,通信終端130����,為了在與Web服務器160之間建立連接����,發(fā)送連接請求消息500。中繼裝置100,在接收到連接請求消息500后�����,在與Web服務器160之間進行連接建立510��。中繼裝置100��,在連接被建立后�����,對通信終端130發(fā)送連接應答消息520����。并且,中繼裝置100�,以在通信終端130與Web服務器160之間不變更消息的內容地進行轉送的方式被設定。其結果�,通信終端130和Web服務器160,透過地直接發(fā)送接收消息�,而無需考慮中繼裝置100的存在。
接著���,通信終端130和Web服務器160�,例如發(fā)送接收用于SSL連接等加密通信建立530的消息。由此�,通信終端130和Web服務器160,設定用來進行端對端加密通信的通信路徑����。接著,通信終端130經由中繼裝置100向Web服務器160發(fā)送加密后的訪問請求消息540����。接著,Web服務器160���,經由中繼裝置100向通信終端130發(fā)送加密后的訪問應答消息550���。
圖6示出了本實施方式的通信系統(tǒng)10的服務器間加密通信的序列。
首先��,通信終端130���,與含有例如“http://...”、“proxy_ssl_assist=on”以及“proxy_path_authenticate=...”且表示指示服務器間加密通信和客戶端認證的訪問請求的發(fā)送的鏈接信息被選擇了的情況相對應地�,向中繼裝置100發(fā)送指示服務器間加密通信和客戶端認證的訪問請求消息600。
作為一個例子���,作為對于在圖6的訪問請求之前從通信終端130向Web服務器160發(fā)送的訪問請求的訪問應答��,中繼裝置100接收成為訪問請求的對象的文件或內容���。并且�����,中繼裝置100內的內容變換部260���,以在訪問應答內含有服務器間加密通信指示信息為條件,將該文件或內容內的指示加密通信的鏈接信息變換為指示服務器間加密通信的鏈接信息����。在該情況下,通信終端130�,發(fā)送指示服務器間加密通信的訪問請求。
此外�,以在圖6的訪問請求之前接收到的訪問應答內含有認證指示信息為條件,將該文件或內容內的指示加密通信的鏈接信息變換為指示接受由認證服務器170發(fā)布的票據信息而進行客戶端認證的鏈接信息��。在該情況下�����,通信終端130,發(fā)送指示在服務器間加密通信中進行票據信息的獲取的訪問請求���。
接著�,中繼裝置100內的確認請求發(fā)送部220����,以該訪問請求含有認證指示信息“proxy_Path_authenticate=...”并且對于與該訪問請求對應的服務、在服務信息存儲部230內存儲有許可向用戶的確認的確認許可信息為條件�����,對通信終端130發(fā)送確認請求消息602�����。接著���,接收到了確認請求消息602的通信終端130�����,發(fā)送確認應答消息604。
接著�,票據信息獲取部215�����,在與認證服務器170之間進行相互認證并且進行了加密通信建立610之后�����,對認證服務器170發(fā)送票據信息請求消息620而請求票據信息�。在接收到該消息之后�����,認證服務器170���,利用票據信息應答消息630返回票據信息��。
接著�����,中繼裝置100和Web服務器160��,通過加密通信建立640建立加密通信路徑��。接著����,中繼裝置100,將訪問請求消息600和票據信息作為訪問請求消息650向Web服務器160發(fā)送����。接著,中繼裝置100����,接收對于訪問請求消息650的訪問應答消息660。
中繼裝置100內的訪問應答接收部245�����,對所接收到的訪問應答消息660進行解密���。內容變換部260����,以在訪問應答消息660內含有鏈接變更指示信息為條件�,根據鏈接變更指示信息變更訪問應答消息660內的各鏈接信息。并且�,訪問應答發(fā)送部265,將由訪問應答接收部245進行了解密、由內容變換部260對鏈接信息進行了變更后的訪問應答消息660�,作為訪問應答消息670向通信終端130發(fā)送。
圖7示出了本實施方式的通信系統(tǒng)10的服務器間加密通信的序列的變形例����。
在多個中繼裝置100級聯連接的情況下����,由通信終端130的用戶所指定的中繼裝置100接受票據信息的發(fā)布,而接受客戶端認證���。
首先�,通信終端130�,與圖6同樣,向第1中繼裝置100發(fā)送包括訪問請求的訪問請求消息600�,該訪問請求含有指示服務器間加密通信的通信方式指示信息和認證指示信息。接著����,第1中繼裝置100,與圖6同樣��,向通信終端130發(fā)送確認請求消息602�����,并從通信終端130接收確認應答消息604。在這里���,以通信終端130的用戶未指示對于Web服務器160使之認證第1中繼裝置100為條件�,第1中繼裝置100����,對第2中繼裝置100發(fā)送訪問請求消息700而不獲取票據信息。
第2中繼裝置100�����,與圖6同樣��,向通信終端130發(fā)送確認請求消息702�,并從通信終端130接收確認應答消息704。以通信終端130的用戶指示了對于Web服務器160使之認證第2中繼裝置100為條件�,第2中繼裝置100,與圖6同樣����,在與認證服務器170之間進行加密通信建立610。然后��,第2中繼裝置100,對認證服務器170發(fā)送票據信息請求消息620���,并從認證服務器170接收票據信息應答消息630而獲取票據信息���。
以下,通信終端130�����、Web服務器160和中繼裝置100��,與圖6的票據信息應答消息630�����、加密通信建立640����、訪問請求消息650�、訪問應答消息660以及訪問應答消息670同樣地,進行服務器間加密通信�,并向通信終端130發(fā)送訪問應答消息670。
如果采用以上所示的服務器間加密通信的序列�,則在多個中繼裝置100之中,可以利用由通信終端130的用戶所選擇的中繼裝置100接受客戶端認證。在這里�����,如與圖3相關聯地示出的那樣�,成為訪問請求的對象的尚未加入到服務的中繼裝置100,對于通信終端130不發(fā)送確認請求����。因此,通信終端130的用戶��,可以根據確認請求���,適當地選擇應當接受客戶端認證的中繼裝置100��。
圖8示出了在本實施方式的通信系統(tǒng)10中進行票據信息生成的準備的序列��。首先���,中繼裝置100內的網關·應用處理部235,向認證中心180發(fā)送證書發(fā)布請求消息800����,委托中繼裝置100的證書的發(fā)布�。在接收到證書發(fā)布請求消息800后�,認證中心180,發(fā)布中繼裝置100的證書�,并利用證書發(fā)布應答消息810向中繼裝置100進行通知。
接著��,中繼裝置100�����,對于認證服務器170發(fā)送認證中心注冊消息820����,從而對認證服務器170注冊對中繼裝置100進行認證的認證中心180��。接著����,中繼裝置100,利用ID字符串注冊消息830向Web服務器160發(fā)送確定在中繼裝置100的證書的制作中使用的中繼裝置100的字符串(ID字符串)�,從而向Web服務器160進行注冊。接著���,Web服務器160向認證服務器170發(fā)送包括由中繼裝置100注冊的ID字符串和Web服務器160所生成的SEED字符串的SEED字符串注冊消息840���,從而向認證服務器170注冊ID字符串和SEED字符串的字符串組�����。
以上的處理結果�����,認證服務器170保存ID字符串和SEED字符串���。并且,在從中繼裝置100請求票據信息的發(fā)布時�����,認證服務器170利用認證服務器170的加密密鑰對包括ID字符串和SEED字符串的信息進行加密����,并生成票據信息。另一方面�����,在客戶端認證中從中繼裝置100接收到該票據信息的Web服務器160����,可以通過利用認證服務器170的解密密鑰對該票據信息進行解密��,并確認ID字符串和SEED字符串的一致�,來正確地對中繼裝置100進行認證����。
圖9示出了本實施方式的計算機1900的結構的一個例子。本實施方式的計算機1900通過執(zhí)行中繼裝置100用的程序���,來作為中繼裝置100而發(fā)揮作用�。計算機1900����,具備具有通過主控制器2082相互地連接的CPU2000�����、RAM2020�、圖形控制器2075和顯示裝置2080的CPU外圍部件;具有通過輸入輸出控制器2084連接到主控制器2082的通信接口2030�、硬盤驅動器2040以及CD-ROM驅動器2060的輸入輸出部件;具有連接到輸入輸出控制器2084的ROM2010�、軟盤驅動器2050和輸入輸出芯片2070的傳統(tǒng)(レガシ一)輸入輸出部件�。
主控制器2082�,將RAM2020和以高傳輸速率訪問RAM2020的CPU2000以及圖形控制器2075連接起來。CPU2000根據存儲在ROM2010和RAM2020內的程序進行操作��,進行各個部分的控制����。圖形控制器2075,獲取CPU2000等在設置在RAM2020內的幀緩沖器上生成的圖像數據�����,并使之顯示在顯示裝置2080上���。也可以代之以圖形控制器2075在內部包括存儲CPU2000等生成的圖像數據的幀緩沖器����。
輸入輸出控制器2084����,將主控制器2082和作為比較高速的輸入輸出設備的通信接口2030、硬盤驅動器2040�、CD-ROM驅動器2060連接起來。通信接口2030,通過網絡與其他裝置進行通信��。硬盤驅動器2040���,存儲計算機1900內的CPU2000所使用的程序和數據�����。CD-ROM驅動器2060����,從CD-ROM2095讀取程序或數據��,并通過RAM2020提供給硬盤驅動器2040���。
此外����,在輸入輸出控制器2084上���,連接ROM2010和軟盤驅動器2050以及輸入輸出芯片2070等比較低速的輸入輸出設備。ROM2010�,存儲計算機1900在啟動時執(zhí)行的引導程序、依賴于計算機1900的硬件的程序等����。軟盤驅動器2050�,從軟盤2090讀取程序或數據�����,并通過RAM2020提供給硬盤驅動器2040����。輸入輸出芯片2070,通過軟盤驅動器2050����、例如并行端口、串行端口��、鍵盤端口�����、鼠標端口等連接各種輸入輸出設備���。
通過RAM2020提供給硬盤驅動器2040的程序�,被存儲在軟盤2090、CD-ROM2095或IC卡等記錄介質中而由用戶來提供���。程序從記錄介質被讀出����,并通過RAM2020被安裝到計算機1900內的硬盤驅動器2040內�����,從而在CPU2000中執(zhí)行��。
被安裝到計算機1900內��、使計算機1900作為中繼裝置100而發(fā)揮作用的程序�����,包括訪問請求接收模塊�、請求監(jiān)視模塊、認證信息獲取模塊�、票據信息獲取模塊、確認請求發(fā)送模塊�、確認應答接收模塊、服務信息管理模塊����、網關·應用處理模塊、訪問請求發(fā)送模塊����、訪問應答接收模塊、應答監(jiān)視模塊���、鏈接變更指示信息獲取模塊�����、內容變換模塊����、訪問應答發(fā)送模塊��。
這些程序或模塊���,使CPU2000等工作����,而使計算機1900作為訪問請求接收部200�、請求監(jiān)視部205��、認證信息獲取部210�、票據信息獲取部215�、確認請求發(fā)送部220、確認應答接收部225�����、服務信息存儲部230��、網關·應用處理部235���、訪問請求發(fā)送部240��、訪問應答接收部245�、應答監(jiān)視部250���、鏈接變更指示信息獲取部255�、內容變換部260和訪問應答發(fā)送部265而分別發(fā)揮作用����。
以上所示的程序或模塊,也可以存儲在外部的記錄介質內����。作為記錄介質��,除了軟盤2090、CD-ROM2095之外��,還可以使用DVD���、CD等光學記錄介質�����、MO等磁光記錄介質���、磁帶介質、IC卡等半導體存儲器等��。此外��,也可以將設置在連接到了專用通信網路���、因特網的服務器系統(tǒng)中的硬盤或RAM等記錄裝置作為記錄介質來使用��,從而通過網絡將程序提供給計算機1900��。
以上��,雖然利用實施方式對本發(fā)明進行了說明�����,但是�,本發(fā)明的技術范圍并不限于上述的實施方式所記載的范圍。對于本領域的技術人員來說顯而易見的����,可以對上述實施方式加以多種變換或改進。施加了這樣的變換或改進后的方式�����,也能夠包括在本發(fā)明的技術范圍內�����,這從權利要求的范圍的記載可以顯而易見���。
圖1示出了本發(fā)明的實施方式的通信系統(tǒng)10的結構��;圖2示出了本發(fā)明的實施方式的中繼裝置100的結構�����;圖3示出了本發(fā)明的實施方式的中繼裝置100的動作流程�;圖4示出了本發(fā)明的實施方式的通信系統(tǒng)10的非加密通信的序列;圖5示出了本發(fā)明的實施方式的通信系統(tǒng)10的端對端通信的序列���;圖6示出了本發(fā)明的實施方式的通信系統(tǒng)10的服務器間加密通信的序列�����;圖7示出了本發(fā)明的實施方式的通信系統(tǒng)10的服務器間加密通信的序列的變形例;圖8示出了在本發(fā)明的實施方式的通信系統(tǒng)10中進行票據信息生成的準備的序列���;以及圖9示出了本發(fā)明的實施方式的計算機1900的結構的一個例子�。
符號說明10通信系統(tǒng)�;100中繼裝置;110第1網絡���;120基站�����;130通信終端����;150第2網絡;160Web服務器�;170認證服務器;180認證中心����;200訪問請求接收部;205請求監(jiān)視部��;210認證信息獲取部��;215票據信息獲取部����;220確認請求發(fā)送部;225確認應答接收部��;230服務信息存儲部���;235網關·應用處理部�;240訪問請求發(fā)送部�;245訪問應答接收部;250應答監(jiān)視部;255鏈接變更指示信息獲取部���;260內容變換部����;265訪問應答發(fā)送部�;400訪問請求消息;410訪問請求消息��;420訪問應答消息���;430訪問應答消息����;500連接請求消息�;510連接建立�;520連接應答消息;530加密通信建立���;540訪問請求消息����;550訪問應答消息;600訪問請求消息�����;602確認請求消息�;604確認應答消息;610加密通信建立���;620票據信息請求消息��;630票據信息應答消息�;640加密通信建立��;650訪問請求消息��;660訪問應答消息�����;670訪問應答消息��;700訪問請求消息����;702確認請求消息;704確認應答消息;800證書發(fā)布請求消息�;810證書發(fā)布應答消息;820認證中心注冊消息�;830ID字符串注冊消息;840SEED字符串注冊消息���;1900計算機�����;2000CPU�;2010ROM���;2020RAM��;2030通信接口�����;2040硬盤驅動器;2050軟盤驅動器�;2060CD-ROM驅動器;2070輸入輸出芯片�����;2075圖形控制器;2080顯示裝置�;2082主控制器;2084輸入輸出控制器�����;2090軟盤驅動器�;2095CD-ROM。
權利要求
1.一種對通信終端與服務器之間的通信進行中繼的中繼裝置����,具備訪問請求接收部,其從上述通信終端接收對于上述服務器的第1訪問請求��;票據信息獲取部���,其從外部的認證服務器獲取用于上述服務器根據上述第1訪問請求進行認證的�、對于該第1訪問請求標識該中繼裝置的票據信息���;訪問請求發(fā)送部����,其對上述第1訪問請求和上述票據信息進行加密而向上述服務器發(fā)送;訪問應答解密部�����,其對從使用上述票據信息對該中繼裝置進行了認證的上述服務器接收的����、對于上述第1訪問請求的加密后的第1訪問應答進行解密;以及訪問應答發(fā)送部��,其向上述通信終端發(fā)送解密后的上述第1訪問應答�。
2.根據權利要求1所述的中繼裝置,還具備認證信息獲取部�����,其以在上述第1訪問請求內含有指示使上述服務器認證訪問源的認證指示信息為條件����,獲取該認證指示信息;上述票據信息獲取部���,以在上述第1訪問請求內含有上述認證指示信息為條件,從上述認證服務器獲取上述票據信息��;上述訪問請求發(fā)送部,以在上述第1訪問請求內含有上述認證指示信息為條件�,對上述第1訪問請求和上述票據信息進行加密而向上述服務器發(fā)送,并且以在上述第1訪問請求內不含有上述認證指示信息為條件�����,對在上述中繼裝置和上述服務器之間應當進行加密通信的上述第1訪問請求進行加密而向上述服務器發(fā)送�;上述訪問應答解密部,接收對于上述第1訪問請求的加密后的上述訪問應答���。
3.根據權利要求2所述的中繼裝置�,上述第1訪問請求�,含有指定上述服務器根據該第1訪問請求應當執(zhí)行的服務程序的信息和指定提供給該服務程序的參數的信息;上述認證信息獲取部�����,從包含于上述第1訪問請求中的上述參數內獲取上述認證指示信息�����。
4.根據權利要求2所述的中繼裝置����,上述認證信息獲取部�,進一步以在上述第1訪問請求內含有上述認證指示信息為條件�����,從該第1訪問請求內獲取標識對于該第1訪問請求應當發(fā)布上述票據信息的上述認證服務器的認證目的地信息�����;上述票據信息獲取部��,以在上述第1訪問請求內含有上述認證指示信息為條件�����,從由上述認證目的地信息指定的上述認證服務器獲取上述票據信息��。
5.根據權利要求2所述的中繼裝置���,上述訪問應答解密部����,作為對于在上述第1訪問請求之前從上述通信終端向上述服務器發(fā)送的第2訪問請求的第2訪問應答���,接收成為上述第2訪問請求的對象的內容����;該中繼裝置還具備鏈接變更指示信息獲取部����,其以在上述第2訪問應答內含有鏈接變更指示信息為條件,獲取該鏈接變更指示信息�,其中該鏈接變更指示信息指示將各鏈接信息變更為在對于上述內容的鏈接目的地的上述第1訪問請求中使獲取上述票據信息;以及內容變換部�,其以獲取了上述鏈接變更指示信息為條件,將上述內容的各鏈接信息變換為與被上述通信終端的用戶選擇了的情況相對應地�����、使從上述通信終端發(fā)送含有上述認證指示信息的上述第1訪問請求的鏈接信息�����;上述訪問應答發(fā)送部�����,向上述通信終端發(fā)送變換后的上述內容����。
6.根據權利要求1所述的中繼裝置�����,還具備確認請求發(fā)送部��,其對于上述第1訪問請求�����,向上述通信終端發(fā)送使上述通信終端的用戶確認是否對上述服務器使之認證該中繼裝置的確認請求���;以及確認應答接收部,其從上述通信終端接收含有上述用戶對于上述確認請求的確認結果的確認應答���;上述票據信息獲取部�����,與接收到表示對上述服務器使之認證該中繼裝置的上述確認應答相對應地��,從上述認證服務器獲取上述票據信息��。
7.根據權利要求6所述的中繼裝置�,上述服務器應該進行訪問源的認證的上述第1訪問請求,還含有標識上述服務器根據該第1訪問請求應當執(zhí)行的服務處理的服務標識信息���;該中繼裝置還具備服務信息存儲部����,其與上述服務標識信息具有對應關系地存儲指定是否許可向上述通信終端發(fā)送上述確認請求的確認許可信息��;在上述服務器根據上述第1訪問請求進行認證的情況下���,上述確認請求發(fā)送部,以與包含于上述第1訪問請求內的上述服務標識信息相對應地存儲有許可向上述通信終端發(fā)送上述確認請求的上述確認許可信息為條件����,向上述通信終端發(fā)送上述確認請求;以對于該訪問請求接收到表示對上述服務器使之認證該中繼裝置的上述確認應答或者與包含于上述第1訪問請求內的上述服務標識信息相對應地存儲有不許可向上述通信終端發(fā)送上述確認請求的上述確認許可信息為條件���,上述票據信息獲取部��,從上述認證服務器獲取上述票據信息����。
8.根據權利要求1所述的中繼裝置��,上述服務器應該進行訪問源的認證的上述第1訪問請求,還含有標識上述服務器根據該第1訪問請求應該執(zhí)行的服務處理的服務標識信息���;該中繼裝置還具備服務信息存儲部�����,其與上述服務標識信息具有對應關系地存儲指定是否許可上述票據信息的獲取的認證許可信息�����;在上述服務器根據上述第1訪問請求進行認證的情況下�����,上述票據信息獲取部����,以與包含于上述第1訪問請求內的上述服務標識信息相對應地存儲有許可上述票據信息的獲取的上述認證許可信息為條件�,從上述認證服務器獲取上述票據信息。
9.根據權利要求1所述的中繼裝置�,上述訪問應答解密部,作為對于在上述第1訪問請求之前從上述通信終端向上述服務器發(fā)送的第2訪問請求的第2訪問應答����,接收成為上述第2訪問請求的對象的內容���;該中繼裝置還具備鏈接變更指示信息獲取部,其以在上述第2訪問應答內含有鏈接變更指示信息為條件����,獲取該鏈接變更指示信息,其中該鏈接變更指示信息指示將各鏈接信息變更為在對于上述內容的鏈接目的地的上述第1訪問請求中���、在上述中繼裝置與上述服務器之間進行服務器間加密通信�����;內容變換部,其以獲取了上述鏈接變更指示信息為條件��,將指示在上述通信終端與上述服務器之間進行加密通信的鏈接信息��,變換為與被上述通信終端的用戶選擇了的情況相對應地使從上述通信終端發(fā)送指示上述服務器間加密通信的上述第1訪問請求的鏈接信息��;上述訪問應答發(fā)送部���,向上述通信終端發(fā)送變換后的上述內容�;上述票據信息獲取部�����,以上述服務器根據指示上述服務器間加密通信的上述第1訪問請求進行認證為條件,對于該第1訪問請求從上述認證服務器獲取上述票據信息��;上述訪問請求發(fā)送部�,對指示上述服務器間加密通信的上述第1訪問請求進行加密而向上述服務器發(fā)送,而在該中繼裝置中對未指示上述服務器間加密通信且在上述通信終端與上述服務器之間應該進行加密通信的上述第1訪問請求不進行加密而向上述服務器發(fā)送����;上述訪問應答解密部,對針對指示上述服務器間加密通信的上述第1訪問請求的加密后的上述第1訪問應答進行解密��,而對針對未指示上述服務器間加密通信的上述第1訪問請求的加密后的上述第1訪問應答不進行解密�����。
10.一種通信系統(tǒng)���,具備與通信終端連接的第1網絡����;以及與上述第1網絡和連接有服務器的第2網絡連接��、對上述通信終端與上述服務器之間的通信進行中繼的中繼裝置���;上述中繼裝置具有訪問請求接收部���,其從上述通信終端接收對于上述服務器的第1訪問請求�����;票據信息獲取部��,其從外部的認證服務器獲取用于上述服務器根據上述第1訪問請求進行認證的�、對于該第1訪問請求標識該中繼裝置的票據信息����;訪問請求發(fā)送部,其對上述第1訪問請求和上述票據信息進行加密而向上述服務器發(fā)送��;訪問應答解密部���,其對從使用上述票據信息對該中繼裝置進行了認證的上述服務器接收的、對于上述第1訪問請求的加密后的第1訪問應答進行解密��;以及訪問應答發(fā)送部��,其向上述通信終端發(fā)送解密后的上述第1訪問應答����。
11.根據權利要求10所述的通信系統(tǒng)��,具備與上述第1網絡連接的第1上述中繼裝置�����;通過上述第1中繼裝置與上述第1網絡連接的第2上述中繼裝置���;上述第1中繼裝置和第2上述中繼裝置的各個還具有確認請求發(fā)送部,其對于上述第1訪問請求�,向上述通信終端發(fā)送使上述通信終端的用戶確認是否對上述服務器使之認證該中繼裝置的確認請求;以及確認應答接收部�,其從上述通信終端接收含有上述用戶對于上述確認請求的確認結果的確認應答;在上述第1中繼裝置和上述第2中繼裝置之中�,接收到表示對上述服務器使之認證該中繼裝置的上述確認應答的上述第1中繼裝置或上述第2中繼裝置的上述票據信息獲取部,從上述認證服務器獲取上述票據信息���。
12.一種對通信終端與服務器之間的通信進行中繼的中繼裝置的中繼方法���,包括訪問請求接收步驟,從上述通信終端接收對于上述服務器的第1訪問請求���;票據信息獲取步驟����,從外部的認證服務器獲取用于上述服務器根據上述第1訪問請求進行認證的、對于該第1訪問請求標識該中繼裝置的票據信息���;訪問請求發(fā)送步驟���,對上述第1訪問請求和上述票據信息進行加密而向上述服務器發(fā)送;訪問應答接收步驟����,從使用上述票據信息對該中繼裝置進行了認證的上述服務器接收對于上述第1訪問請求的加密后的第1訪問應答并進行解密;以及訪問應答發(fā)送步驟���,向上述通信終端發(fā)送解密后的上述第1訪問應答���。
13.一種對通信終端與服務器之間的通信進行中繼的中繼裝置的程序,該程序使上述中繼裝置作為以下部分而發(fā)揮作用訪問請求接收部��,其從上述通信終端接收對于上述服務器的第1訪問請求���;票據信息獲取部,其從外部的認證服務器獲取用于上述服務器根據上述第1訪問請求進行認證的����、對于該第1訪問請求標識該中繼裝置的票據信息�����;訪問請求發(fā)送部�����,其對上述第1訪問請求和上述票據信息進行加密而向上述服務器發(fā)送���;訪問應答解密部,其對從使用上述票據信息對該中繼裝置進行了認證的上述服務器接收的�、對于上述第1訪問請求的加密后的第1訪問應答進行解密;以及訪問應答發(fā)送部���,其向上述通信終端發(fā)送解密后的上述第1訪問應答�����。
全文摘要
本發(fā)明提供使用根據來自通信終端的訪問請求發(fā)布的票據信息接受客戶端認證的中繼裝置��。該中繼裝置是對通信終端與服務器之間的通信進行中繼的中繼裝置���,其具備訪問請求接收部�����,其從通信終端接收對于服務器的訪問請求�;票據信息獲取部�,其從外部的認證服務器獲取用于服務器根據訪問請求進行認證的、對于該訪問請求標識該中繼裝置的票據信息����;訪問請求發(fā)送部,其對訪問請求和票據信息進行加密而向服務器發(fā)送�;訪問應答解密部,其接收從使用票據信息對該中繼裝置進行了認證的服務器接收的���、加密后的訪問應答并進行解密���;以及訪問應答發(fā)送部,其向通信終端發(fā)送解密后的訪問應答����。
文檔編號G06F21/20GK101065940SQ20058004062
公開日2007年10月31日 申請日期2005年11月24日 優(yōu)先權日2004年11月29日
發(fā)明者藤原潤哉, 木下隆文 申請人:國際商業(yè)機器公司