JP5067396B2 - アクセス制御装置 - Google Patents

アクセス制御装置 Download PDF

Info

Publication number
JP5067396B2
JP5067396B2 JP2009100752A JP2009100752A JP5067396B2 JP 5067396 B2 JP5067396 B2 JP 5067396B2 JP 2009100752 A JP2009100752 A JP 2009100752A JP 2009100752 A JP2009100752 A JP 2009100752A JP 5067396 B2 JP5067396 B2 JP 5067396B2
Authority
JP
Japan
Prior art keywords
client
information
access
request
content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009100752A
Other languages
English (en)
Other versions
JP2010250664A (ja
Inventor
孝典 齋藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009100752A priority Critical patent/JP5067396B2/ja
Publication of JP2010250664A publication Critical patent/JP2010250664A/ja
Application granted granted Critical
Publication of JP5067396B2 publication Critical patent/JP5067396B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は,サーバへのネットワークを介したアクセスを制御するアクセス制御装置に関する。
インターネットを介して多数の者からのアクセスを受け付けるWebサーバにおいて,短期的かつ集中的にアクセスされる状態(バーストトラフィック)が発生する場合がある。また,バーストトラフィックには,不正な意図を持つ者が非正規の手段によってアクセスを大量に発生させていることが原因となっている場合もある。
バーストトラフィックが発生するとWebサーバの処理負荷が非常に高まり,システム停止となる場合もあり,本来であれば通信を維持するべきクライアントとの通信も困難になる。
従来,アクセスの上限回数を設けておき,各クライアントのアクセス数が上限回数を超えるとそのクライアントのアクセスをブロックすることによって,非正規の手続きによるアクセスを行っていると思われるクライアントに対処していた。
また,顧客毎の問い合わせに効果的に対応するために,顧客識別情報とWeb画面の遷移パターンとを取得して,画面の遷移パターンに基づいて顧客に応じた内容を予め想定しておく処理が知られている。
特開2007−102584号公報
多数のクライアントからアクセスを受け付けるWebサーバにおいて,バーストトラフィックが生じた場合には,必ず受け付けるべきアクセス,一時的に保留させてもよいアクセス,不正かつ非正規であって遮断すべきアクセスなどが混在している。したがって,多数のアクセスの中から,どのようなクライアントからのアクセスであるかを調べて,受け付けるべき重要なクライアントのアクセスを優先的に処理する必要がある。
Webシステムは,そもそもリクエストに応じて静的なコンテンツ(画面)を返信する処理を行うため,クライアントからのリクエストそのものに優先順位を設けて処理することはない。しかし,バーストトラフィックの影響をWebサーバに及ぼす前に,Webサーバへのアクセスを制限できるようにアクセス制御を行う必要がある。すなわち,サーバ等が管理するクライアントに関する情報(ユーザ情報,認証情報など)を参照することなく,クライアントから送信されたアクセス情報のみを用いて,優先的に処理すべきアクセスを特定する必要がある。
本願で開示される装置の目的は,Webサーバへのアクセス情報をもとに,クライアントの当該Webサーバのサイト内での状態を判定し,この判定結果に基づいて,優先的に処理するアクセスと保留または廃棄してもよいアクセスとを区別できるアクセス制御を実現することである。
本願で開示される装置は,クライアントのWebサーバへのアクセスリクエストを受信して,Webサーバが提供するサイト内において,クライアント端末が発行したアクセスリクエスト(アドレス情報)が含む,アクセス先のWebページ(画面)の識別情報と,当該リクエストを発行したWebページ(画面)の識別情報との組み合わせをもとに,クライアントの情報を分類する。そして,アクセス制御の実行時において,クライアントのアクセスリクエストを受け付けると,リクエストしたクライアントの分類にもとづいて,受け付けたアクセスリクエストを優先的にWebサーバへ中継するかを判定する。
本願において開示されるアクセス制御装置の代表的なものの概要を簡単に説明すれば,以下のとおりである。すなわち,開示されるアクセス制御装置は,Webサーバとクライアントの端末との間の通信を中継する装置であって,Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部と,クライアントの状態を記録するクライアント状態情報記憶部と,クライアントが送信したWebサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析して,解析の結果から,このアクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,このアクセスリクエストによりアクセスしようとするコンテンツの識別情報と,このアクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,抽出したコンテンツの識別情報の順序が判定情報のコンテンツ遷移と一致する場合にリクエスト元であるクライアントと対応付けて優先状態を設定するコンテンツ管理部と,優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報をクライアント状態情報記憶部に記録するクライアント管理部と,クライアントからWebサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する通信制御部とを備える。
上記した装置によれば,Webサーバへのアクセスリクエストの中継処理において,アクセス制御を行う場合に,優先的に送信するアクセスリクエストのみをWebサーバへ送信することができるため,Webサーバへのアクセス集中を緩和して,Webサーバのシステム停止を防止することができる。
本発明の一実施例におけるアクセス制御装置1の構成例を示す図である。 コンテンツ情報の例を示す図である。 判定情報の例を示す図である。 クライアント状態情報の例を示す図である。 状態別クライアント数管理情報の例を示す図である。 正規なアクセスにおける,クライアント端末で表示される画面の遷移とクライアントの状態との例を示す図である。 アクセス制御が実行された場合の,クライアント端末で表示される画面の遷移とクライアントの状態との例を示す図である。 不正アクセスの場合の,クライアント端末で表示される画面の遷移とクライアントの状態との例を示す図である。 アクセス制御装置の処理の流れを示す図である(その1)。 アクセス制御装置の処理の流れを示す図である(その2)。
図1は,本発明の一実施例におけるアクセス制御装置1の構成例を示す図である。
アクセス制御装置1は,Webサーバ2と制御表示用サーバ3とのプロキシ(代理装置)として機能して,Webサーバ2または制御表示用サーバ3と,クライアント端末4との通信を中継する。アクセス制御装置1は,アクセス数が一定以上になった場合または管理者の指示があった場合に,クライアント端末4からのアクセスリクエストをWebサーバ2に対するアクセス制御を行う。
Webサーバ2は,所定のコンテンツ(画面群)を通じて所定のアプリケーションを提供する装置であり,各画面を通じて,所定の情報が提供され,処理が実行される。
例えば,買い物サービスを提供するWebサーバのように,一連の処理手続を含むアプリケーションを行うWebサーバでは,業務に必要な情報や処理が,サイトの各画面を通じて提供される仕組みであることが多い。
したがって,Webサーバ2は,クライアントがアクセスした画面の順序から,クライアントが行っている処理が推定でき,推定した処理にもとづいて,次に行われるアクセスを優先的に処理するべきクライアントを特定することができる。
本実施例において,Webサーバ2は,買い物サービスを提供し,画面A(ログイン処理を行う画面),画面B(購入商品を選択する画面),画面C(完了/ログアウトを示す画面),画面D(サイトのポータル画面),画面E(決済を行う画面),画面F(情報を通知する画面),画面X,Y(管理作業用の画面)を提供するものとする。
制御表示用サーバ3は,アクセス制御装置1がアクセス制御を実行している場合に,アクセス制御装置1によって切り替えられたクライアント端末4に対して,所定のコンテンツを返却する。
クライアント端末4は,Webサーバ2にアクセスを行う者が使用する端末であって,Webサーバ2に対してコンテンツのアクセスリクエストを発行し,取得したコンテンツを表示処理し,所定の操作を行えるブラウザ5を有する。
アクセス制御装置1は,コンテンツ情報記憶部11,判定情報記憶部12,クライアント状態情報記憶部13,通信中継部14,通信制御部15,コンテンツ管理部16,およびクライアント管理部17を有する。
コンテンツ情報記憶部11は,Webサーバ2が提供するコンテンツの種別と,各種別に分類された各コンテンツの識別情報(Uniform Resource Identifier:URI)を登録したコンテンツ情報を記憶する。
図2は,コンテンツ情報の例を示す図である。
コンテンツ情報は,種別毎に,分類されるコンテンツ(画面)の識別情報を含む。本実施例では,種別として,「通常リクエスト,キーコンテンツ(in),キーコンテンツ(out),管理コンテンツ」の4種の種別を設定する。
「通常リクエスト」には,クライアント端末4からの通常のリクエストによってアクセス可能な画面が登録される。「キーコンテンツ(in)」には,通常リクエストに分類された画面群がアクセスされた状態で次のアクセス先としてリクエストされた場合に,リクエストしたクライアント端末4の状態を“優先状態”とする画面が設定される。
「キーコンテンツ(out)」は,キーコンテンツ(in)に分類された画面群から次にアクセスされた状態で次のアクセス先としてリクエストされた場合に,リクエストしたクライアント端末4の状態を“通常状態”とする画面が設定される。「管理コンテンツ」は,管理者のみがアクセス可能な画面群が設定される。
図2に示すコンテンツ情報において,画面A,画面D等が「通常リクエスト」に,画面B,画面E等が「キーコンテンツ(in)」に,画面C,画面F等が「キーコンテンツ(out)」に,画面X,画面Y等が「管理コンテンツ」に,それぞれ分類される。
判定情報記憶部12は,画面間の遷移(コンテンツ遷移)をもとに,クライアント端末4の状態を判定する条件を設定した判定情報を記憶する。
図3は,判定情報の例を示す図である。
判定情報には,クライアント端末4が発行したアクセスリクエストから抽出された,リクエスト発行時にアクセスされている画面が分類されている種別を示す「from」と,アクセス先である画面が分類されている種別を示す「to」との組み合わせをもとに,上記の4つの状態が設定される。ここで,状態として,「普通状態,優先状態,不正状態,および管理者(状態)」が設定される。
「普通状態」は,アクセス制御時に,アクセス先を制御表示用サーバ3へ切り替えたアクセスリクエストを中継,または,受け付けたアクセスリクエストを一時的に保留するステータスを示す。「優先状態」は,アクセス制御時に,クライアント端末4のアクセスリクエストをそのまま中継するステータスを示す。「不正状態」は,アクセスリクエストをブロックするステータスを示す。「管理者状態」は,管理者端末からのアクセスリクエストとして扱うステータスを示す。
そして,アドレスリクエストから抽出された「from」から「to」への遷移と一致する,判定情報の行(from)と列(to)との交点の「状態」が,判定結果とされる。
クライアント状態情報記憶部13は,クライアント端末4のアクセスの状態を示すクライアント状態情報が記録される。
図4は,クライアント状態情報の例を示す図である。
クライアント状態情報には,アクセス制御装置1の通信中継部14が受け付けたクライアント端末4の識別情報として,アクセスリクエストから抽出されたアクセス情報(IPアドレス,ポート番号,ヘッダ情報等)が記録され,記録した各クライアント端末4について,コンテンツ管理部16によって判定された状態(普通状態/優先状態/不正状態/管理者(状態))が設定される。
通信中継部14は,クライアント端末4と,Webサーバ2または制御表示用サーバ3との通信の中継処理を行う。通信中継部14は,TCPセッション情報を生成・保持して,中継処理を管理している。
通信制御部15は,通信中継部14がクライアント端末4から受け付けたアクセスリクエストを参照して,アクセス情報(リクエスト,クライアント端末4のIPアドレス,ポート番号等)を解析して,解析情報をコンテンツ管理部16へ渡す。
通信制御部15は,クライアント管理部17のアクセス制御の要求を受け付けると,通信中継部14に対して,アクセス制御の要求として,所定の通信の中継処理の制御を要求する。
例えば,通信制御部15は,アクセス制御の要求とともに,“普通状態”であるクライアント端末4のアクセスリクエストのアクセス先を,制御表示用サーバ3へ切り替えて中継する制御を要求する。または,通信制御部15は,アクセス制御の要求とともに,“普通状態”であるクライアント端末4のアクセスリクエストを一時的に保留してから中継する制御を要求する。または,通信制御部15は,“不正状態”と分類されたクライアント端末4のアクセスリクエストをブロック処理する制御を要求する。
コンテンツ管理部16は,通信制御部15から,クライアント端末4が送信したアクセスリクエストの解析情報を受け取り,この解析情報から,アクセスリクエストの発行時にアクセスしていた画面の識別情報(from)と,アクセスしようとする画面の識別情報(to)とを抽出する。
そして,コンテンツ管理部16は,コンテンツ情報をもとに,抽出した2つの画面の識別情報から,それぞれの種別を特定する。さらに,コンテンツ管理部16は,判定情報から,「from」の種別と「to」の種別との組み合わせに一致する状態を特定する。
例えば,アクセスリクエストの解析情報から,アクセスしている画面(from)として画面Aが,アクセスしようとしている画面(to)として画面Bが抽出された場合に,それぞれの種別から,「from:通常リクエスト」と「to:キーコンテンツ(in)」との組み合わせが得られ,“優先状態”と判定される。
また,コンテンツ管理部16は,Webサーバ2への最初のアクセスリクエストが,「通常リクエスト」に分類されていない画面の識別情報を含む場合に,このアクセスリクエストを送信したクライアント端末4を直ちに“不正状態”と判定してもよい。
クライアント管理部17は,コンテンツ管理部16の判定結果を受け付けて,クライアント端末4を特定するための情報である,アクセスリクエストに含まれるリクエスト元の情報(IPアドレス,ポート番号,ヘッダ情報等)と,判定された状態とを対応付けてクライアント状態情報記憶部13に記録する。
また,クライアント管理部17は,状態別クライアント数管理情報として,状態ごとにアクセス数の上限数を示す「最大値」を設定しておき,アクセス制御装置1が現在受け付けているアクセス数を記録する。そして,クライアント管理部17は,状態別クライアント数管理情報の各状態のいずれかの「現状」のカウント数が「最大値」を超えた場合に,通信制御部15へアクセス制御を要求し,アクセス制御の対象とする「状態」を,通信制御部15へ通知する。
図5は,状態別クライアント数管理情報の例を示す図である。
図5の状態別クライアント数管理情報では,“優先状態”のアクセス数の「最大値」=200,“管理者状態”のアクセス数の「最大値」=2と設定されている。
一例として,クライアント管理部17は,“優先状態”のアクセス数が最大値を超過した場合に,アクセス制御の要求と,“普通状態”のクライアント端末4のリクエスト元の情報とを通信制御部15に通知する。
通信制御部15は,クライアント管理部17から受け取った情報をもとに,通信中継部14に対してアクセス制御を要求する。この場合に,“普通状態”のクライアント端末4のリクエスト元の情報をもとに,TCPセッション情報の,該当するクライアント端末4の一方を制御表示用サーバ3へ書き換えることによってアクセス制御を行うように,通信中継部14に要求する。これにより,通信中継部14が“優先状態”のクライアント端末4のアクセスリクエストのみがWebサーバ2へ転送するので,Webサーバ2へのアクセス集中が緩和される。
または,通信制御部15は,“普通状態”のクライアント端末4のリクエスト元の情報をもとに,該当するクライアント端末4のセッションを所定時間保留してから行うようにアクセス制御を要求する。そして,通信中継部14が“優先状態”のクライアント端末4のアクセスリクエストを優先的に転送する。
このように,中継処理において受信したWebサーバへのアクセスリクエストから抽出したコンテンツの順序,すなわち,アクセスした画面の識別情報とアクセスしようとする画面の識別情報とをもとに,リクエストしたクライアントの状態を“優先状態”と特定しておき,例えば,アクセス数が一定数を超えた状態の発生または管理者の指示によってアクセス制御を開始した場合に,アクセスリクエストのリクエスト元から特定したクライアントが“優先状態”のクライアント端末4のアクセスリクエストのみをWebサーバへ送信することができ,Webサーバ2のアクセス集中を緩和することができる。
また別の例として,クライアント管理部17は,“不正状態”のアクセス数があった場合に,アクセス制御の要求と,“不正状態”のクライアント端末4のリクエスト元の情報とを通信制御部15に通知する。
通信制御部15は,クライアント管理部17から受け取った情報をもとに,通信中継部14に対してアクセス制御を要求する。この場合に,“不正状態”のクライアント端末4のリクエスト元の情報をもとに,該当するクライアント端末4のアクセスリクエストをブロックするアクセス制御を行うように,通信中継部14に要求する。これにより,通信中継部14は,“不正状態”のクライアント端末4のアクセスリクエストをブロックするので,Webサーバ2を不正アクセスから防御することができる。
以下に,クライアント端末4で表示されるWebサーバ2の画面の遷移と,アクセス制御装置1のクライアント端末4の状態との関係を概説する。
図6〜図8は,クライアント端末4で表示されるWebサーバ2の画面の遷移と,アクセス制御装置1のクライアント端末4の状態との関係を説明するための図である。
〔正規のアクセス手順における処理〕
図6を用いて,正規のアクセス手順における画面の遷移とクライアント端末4の状態との関係を説明する。
(1)トップ画面のリクエスト
クライアント端末4からWebサーバ2へのアクセスリクエストがあると,アクセス制御装置1は,このリクエストを受信して以下の処理を行う。
通信中継部14は,既知の処理として,アクセスリクエストの通信を管理するTCPセッション情報(IPアドレス,ポート番号,ヘッダ情報等)を生成・保持する。さらに,通信中継部14は,アクセス制御中でなければ,アクセスリクエストをWebサーバ2へ送信する。クライアント端末4のブラウザ5には,アクセス制御装置1を介してWebサーバ2から返却されたポータル画面(画面D)が表示される。
通信制御部15は,通信中継部14が保持したアクセスリクエストの情報を解析して,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:なし),アクセス先の画面の識別情報(to:画面DのURI)を取得し,コンテンツ管理部16へ渡す。
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(なし)」,「to(画面D)」は,それぞれ“通常リクエスト”と特定される。
さらに,コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:通常リクエスト,to:通常リクエスト)をもとに,クライアント端末4の状態を判定する。ここで,“普通状態”と判定される。
次に,クライアント管理部17は,通信制御部15およびコンテンツ管理部16から,リクエストしたクライアント端末4のリクエスト元情報と判定された状態とをクライアント状態情報記憶部13のクライアント状態情報に格納して,状態別クライアント数管理情報の該当する状態(普通状態)の「現状」の値を1加算する。
(2)トップ画面からログイン画面のリクエスト
クライアント端末4から,ログイン画面(画面A)へのアクセスリクエストが送信されると,アクセス制御装置1がこのリクエストを受信する。
通信中継部14は,アクセス制御中ではないので,受信したアクセスリクエストをそのままWebサーバ2へ送信するため,クライアント端末4のブラウザ5にログイン画面(画面A)が表示される。
アクセス制御装置1の通信制御部15,コンテンツ管理部16,クライアント管理部17は,上記(1)の処理とほぼ同様に処理を行う。
通信制御部15は,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:画面DのURI),アクセス先の画面の識別情報(to:画面AのURI)を取得し,コンテンツ管理部16へ渡す。
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(画面D)」,「to(画面A)」は,それぞれ“通常リクエスト”と特定される。
さらに,コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:通常リクエスト,to:通常リクエスト)をもとに,クライアント端末4の状態を判定する。ここで,“そのまま(普通状態)”と判定される。
次に,クライアント管理部17は,判定された状態が“そのまま(普通状態)”であるので,処理を行わない。
(3)ログイン画面から商品選択画面のリクエスト
クライアント端末4から,商品選択画面(画面B)へのアクセスリクエストが送信され,アクセス制御装置1がこのリクエストを受信する。
なお,通信中継部14は,通信制御部15からアクセス制御中ではないので,受信したアクセスリクエストがWebサーバ2へ送信され,クライアント端末4のブラウザ5に商品選択画面(画面B)が表示される。
アクセス制御装置1の通信制御部15,コンテンツ管理部16,クライアント管理部17は,上記(2)の処理と同様に処理を行う。
通信制御部15は,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:画面AのURI),アクセス先の画面の識別情報(to:画面BのURI)を取得し,コンテンツ管理部16へ渡す。
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(画面A)」,「to(画面B)」は,“通常リクエスト”,“キーコンテンツ(in)”と特定される。
さらに,コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:通常リクエスト,to:キーコンテンツ(in)をもとに,クライアント端末4の状態を,“優先状態”と判定する。
クライアント管理部17は,判定された状態が変更されたので,クライアント状態情報の該当するクライアント端末4の状態を“優先状態”に更新し,さらに,状態別クライアント数管理情報の「優先状態」の「現状」を1加算し,「普通状態」の「現状」を1減算する。
ここで,優先状態の現状のアクセス数が「最大値」を超過したとすると,クライアント管理部17は,アクセス制御の要求と,クライアント状態情報に記録している,“普通状態”のクライアント端末4のリクエスト元の情報とを通信制御部15へ通知する。
通信制御部15は,通信中継部14へ,“普通状態”のクライアント端末4のアクセスリクエストのアクセス先を制御表示用サーバ3へ書き換えることによるアクセス制御を要求する。通信中継部14は,この要求を受け付けると,該当するクライアント端末4のTCPセッション情報を書き換えて,アクセス制御を開始する。
(4)商品選択画面から決済画面のリクエスト
クライアント端末4から,決済画面(画面E)へのアクセスリクエストが送信され,アクセス制御装置1がこのリクエストを受信する。
ここで,通信中継部14は,アクセス制御中であるが,クライアント端末4が“普通状態”でなければ,受信したアクセスリクエストをWebサーバ2へ送信し,クライアント端末4に決済画面(画面E)が表示される。
通信制御部15は,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:画面BのURI),アクセス先の画面の識別情報(to:画面EのURI)を取得し,コンテンツ管理部16へ渡す。
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(画面B)」,「to(画面E)」は,それぞれ“キーコンテンツ(in)”と特定される。
さらに,コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:キーコンテンツ(in),to:キーコンテンツ(in)をもとに,クライアント端末4の状態を“そのまま(優先状態)”と判定する。
クライアント管理部17は,判定された状態が“そのまま(優先状態)”であるので,処理を行わない。
(5)決済画面から完了/ログアウト画面のリクエスト
クライアント端末4から,完了/ログアウト画面(画面C)へのアクセスリクエストが送信され,アクセス制御装置1がこのリクエストを受信する。
なお,通信中継部14は,通信制御部15からアクセス制御中であるが,クライアント端末4が“普通状態”でなければ,受信したアクセスリクエストをWebサーバ2へ送信し,クライアント端末4に完了/ログアウト画面(画面C)が表示される。
アクセス制御装置1の通信制御部15は,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:画面EのURI),アクセス先の画面の識別情報(to:画面CのURI)を取得し,コンテンツ管理部16へ渡す。
コンテンツ管理部16は,コンテンツ情報記憶部11のコンテンツ情報を参照して,「from」と「to」から画面の種別を特定する。ここで,「from(画面E)」,「to(画面C)」は,“キーコンテンツ(in)”,“キーコンテンツ(out)”と特定される。
コンテンツ管理部16は,判定情報記憶部12の判定情報を参照して,特定したコンテンツの種別(from:キーコンテンツ(in),to:キーコンテンツ(out)をもとに,クライアント端末4の状態を,“普通状態”と判定する。
クライアント管理部17は,判定された状態が変更されたので,クライアント状態情報の該当するクライアント端末4の状態を“普通状態”に更新し,さらに,状態別クライアント数管理情報の「普通状態」の「現状」を1加算し,「優先状態」の「現状」を1減算する。
ここで,「優先状態」の「現状」が「最大値」を超過しなくなった場合には,クライアント管理部17は,通信制御部15へアクセス制御の停止を要求する。そして,通信制御部15が,通信中継部14に対してアクセス制御の停止を要求すると,通信中継部14は,アクセス制御を停止して,通常の中継処理へ戻る。
〔アクセス制御が実行された場合の処理〕
図7を用いて,アクセス制御が実行された場合の,画面の遷移とクライアント端末4の状態との関係を説明する。
(1)トップ画面のリクエスト
クライアント端末4からWebサーバ2へのアクセスリクエストが送信されると,アクセス制御装置1は,このリクエストを受信して,上記の〔正規のアクセス手順における処理〕の(1)で説明した処理と同様の処理を行う。
したがって,クライアント状態情報には,クライアント端末4の状態として“普通状態”が設定されている。
(2)ログイン画面のリクエスト
クライアント端末4から,ログイン画面(画面A)へのアクセスリクエストが送信され,アクセス制御装置1がこのリクエストを受信する。
通信中継部14は,アクセス制御中であると,通信制御部15の要求によって書き換えたTCPセッション情報をもとに,このアクセスリクエストのアクセス先を制御表示用サーバ3に書き換え,書き換えたアクセスリクエストを制御表示用サーバ3へ送信する。
そのため,クライアント端末4のブラウザ5には,ログイン画面(画面A)の代わりに,制御表示用サーバ3が返却した「混雑中です。しばらくお待ちください」というメッセージ画面が表示される。
〔不正アクセスが実行された場合の処理〕
図8を用いて,不正アクセスが実行された場合の,画面の遷移とクライアント端末4の状態との関係を説明する。
(1)決済画面のリクエスト
不正アクセスを意図するクライアント端末4から,Webサーバ2の決済画面(画面E)へのアクセスリクエストが送信されると,アクセス制御装置1は,このリクエストを受信して,上記の〔正規のアクセス手順における処理〕の(1)で説明した処理とほぼ同様の処理を行う。
通信制御部15は,通信中継部14が保持したアクセスリクエストの情報を解析して,リクエスト元のクライアント端末4を識別するリクエスト元情報,リクエスト発行時にアクセスしていた画面の識別情報(from:なし),アクセス先の画面の識別情報(to:画面EのURI)を取得し,コンテンツ管理部16へ渡す。
コンテンツ管理部16は,アクセス先の画面の識別情報(to:画面EのURI)が,“通常リクエスト”の画面以外のものであることから,このクライアント端末4を“不正状態”と判定する。
そして,クライアント管理部17は,クライアント状態情報を設定し,状態別クライアント数管理情報の「不正状態」の「現状」をカウントアップする。
また,クライアント管理部17は,通信制御部15に対し,アクセス制御の要求と“不正状態”のクライアント端末4のリクエスト元を直ちに通知する。
通信制御部15は,通信中継部14に対してTCPセッション情報の書き換えを要求して,“不正状態”のクライアント端末4のアクセスリクエストをブロックする制御を要求する。
通信中継部14は,通信制御部15のアクセスのブロック制御要求を受け取った後に,クライアント端末4からアクセスリクエストを受け付けても,アクセスリクエストを廃棄する等して通信をブロックするため,不正アクセス目的のクライアント端末4は,Webサーバ2へアクセスすることができなくなる。
なお,不正アクセス目的のクライアント端末4の最初アクセスリクエスト(画面E)は,Webサーバ2へ中継されてしまうが,Webサーバ2では,ログイン画面(画面A)でログイン認証を行っていないクライアント端末4に対してアクセスを拒否する。そのため,実際には,クライアント端末4のブラウザに決済画面(画面D)は表示されない。そして,同じクライアント端末4から,Webサーバ2に対して再度アクセスリクエストが送信されたときは,アクセス制御装置1でアクセスリクエストを遮断するため,Webサーバ2での認証および拒否通知等の処理に関する処理負担が軽減されることになる。
図9および図10は,アクセス制御装置1の処理の流れを示す図である。
アクセス制御装置1の通信中継部14は,クライアント端末4から,TCP/IP通信を受信し,受信した通信に関するTCPセッション情報を作成して保持する(ステップS10)。
通信中継部14は,TCPセッション情報から,TCP/IPヘッダ情報,リクエスト情報を抽出して(ステップS11),不正なIPアドレス(IP)またはポート番号(Port)またはヘッダ情報(ヘッダ)であるかを判定する(ステップS12)。
抽出した情報が,不正なIPアドレス,ポート番号,またはヘッダ情報であれば(ステップS12のYES),通信中継部14は,TCPセッション情報を削除する(ステップS13)。
一方,抽出した情報が,不正なIPアドレス等でなければ(ステップS12のNO),通信制御部15は,TCPセッション情報から,アクセスしたクライアント端末4の通信に関する情報(IPアドレス,ポート番号,ヘッダ情報等)を取得し,取得した情報を解析して,リクエスト元の識別情報(アクセスしたクライアント端末4のIPアドレス,ポート番号,ヘッダ情報等),リクエストを発行したコンテンツの識別情報(fromURI),アクセス先のコンテンツの識別情報(toURI)を抽出する(ステップS14)。
コンテンツ管理部16は,コンテンツの識別情報(fromURI)コンテンツの識別情報(toURI)とをもとにコンテンツの種別を特定する(ステップS15)。さらに,コンテンツ管理部16は,判定情報を参照して,特定したコンテンツの種別から,クライアント端末4の状態を決定する(ステップS16)。
クライアント管理部17は,コンテンツ管理部16の判定結果を得て,クライアント状態情報と状態別クライアント数管理情報とを更新する(ステップS17)。
クライアント管理部17は,コンテンツ管理部16で,クライアント端末4の状態が“不正状態”と判定された場合に(ステップS18のYES),通信制御部15に対して,アクセス制御を要求し,“不正状態”のクライアント端末4のリクエスト元の識別情報(IPアドレス,ポート番号,ヘッダ等)を通知する(ステップS19)。
通信制御部15は,通知されたリクエスト元識別情報に該当するクライアント端末4のTCPセッション情報の書き換えによる,該当クライアント端末4からのアクセスリクエストをブロックする制御を,通信中継部14へ要求する(ステップS20)。
クライアント管理部17は,クライアント端末4の状態が“不正状態”と判定されていない場合に(ステップS18のNO),さらに,状態別クライアント数管理情報の“優先状態”の「現状」の値が「最大値」を超過しているかを判断する(ステップS21)。“優先状態”の「現状」の値が「最大値」を超過している場合に(ステップS21のYES),クライアント管理部17は,通信制御部15に対し,アクセス制御を要求し,“普通状態”と判定されたクライアント端末4のリクエスト元識別情報(IPアドレス,ポート番号,ヘッダ等)を通知する(ステップS22)。
通信制御部15は,通知されたリクエスト元識別情報に該当するクライアント端末4のTCPセッション情報の書き換えによる,該当クライアント端末からのアクセスリクエストのアクセス先を変更する制御を,通信中継部14へ要求する(ステップS23)。
一方,“優先状態”の「現状」が「最大値」を超過していなければ(ステップS21のNO),処理を終了する。
以上の本実施例に示されるように,アクセス制御装置1を,eコマース・サイトのWebサーバのプロキシ装置に適用した場合に,次のような効果が得られる。
(1)Webサーバ2へのアクセスが集中しても,アクセス制御装置1が,優先的に取り扱うクライアント端末4からのアクセスのみをWebサーバ2へ中継するため,直ちにアクセス集中が緩和されて,Webサーバ2のシステム停止を防止することができる。
よって,重要な顧客のクライアント端末4は,Webサーバ2との通信が優先的に維持されるため,Webサーバ2での手続を完了させることができる。
(2)Webサーバ2へのアクセス集中によって,処理限界に近づいているような場合に,アクセス制御装置1が,優先的に取り扱うクライアント端末4からのアクセスのみをWebサーバ2へ中継するため,Webサーバ2の処理能力に応じたアクセス数に制御して,重要なクライアントに対するレスポンス処理能力を一定の程度に維持し,顧客満足度を低下させない応答を実現することができる。
(3)不正なクライアント端末4が行う非正規手段によるアクセスによってWebサーバ2へアクセスした場合に,アクセス制御装置1が,そのようなクライアント端末4からのアクセスを“不正状態”と判断して,直ちにWebサーバ2へのアクセスを遮断するため,Webサーバ2に対するアクセスによる攻撃を防御することができる。よって,不特定多数のクライアントからのアクセスを許容せざるを得ない商業的サイトに対するセキュリティ手段を実現することができる。
例えば,Webサーバ2が買い物サービスを提供するサーバである場合に,商品選択画面で既に購入商品を選択して決済画面に進んでいるクライアント(上顧客)と,ログイン画面でログインしただけで商品選択画面まで進んでいないクライアント(顧客),非正規手段によってサイト内の画面を閲覧しようとしているクライアント(不正者)のアクセスが混在していると考えられる。このような状態の場合に,Webサーバ2でバーストトラフィックによるシステム停止が発生した場合に,決済処理をしようとしている上顧客との通信が中断されると,上顧客の手続き処理が完了できずエラー原因となったり,購入自体が取りやめになったりする可能性があり,好ましくない。
上記のアクセス制御装置1は,そのような上顧客とWebサーバ2との通信を優先的に維持することができ,バーストトラフィックにより生じうる取引機会の喪失を防止することができる。
また,以上の実施例において開示したアクセス制御装置1は,Webサーバ2等とクライアント端末4との通信を中継する通信中継部14を備えるプロキシ装置として説明したが,アクセス制御装置1は,通信を中継する通信中継装置,負荷分散装置内に組み込まれる装置として実施することができる。この場合に,アクセス制御装置1は,通信中継部14を備える必要がなく,通信中継部14の機能は,通信中継装置,負荷分散装置等が有する通信中継機能によって実現される。
また,開示したアクセス制御装置1は,プログラムがコンピュータにより読み取られ実行されることにより,アクセス制御装置1が有する通信中継部14,通信制御部15,コンテンツ管理部16,クライアント管理部17の各処理部が実現されることによって構築することができる。
このプログラムは,コンピュータが読み取り可能な,可搬媒体メモリ,半導体メモリ,ハードディスクなどの適当な記録媒体に格納することができ,これらの記録媒体に記録して提供される。または,このプログラムは,通信インタフェースを介して種々の通信網を利用した送受信により提供される。
以上の実施例を含む実施形態に関し,さらに以下の付記を開示する。
(付記1) 開示されるアクセス制御装置は,Webサーバとクライアントの端末との間の通信を中継する装置であって,
前記Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部と,
クライアントの状態を記録するクライアント状態情報記憶部と,
クライアントが送信した前記Webサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析して,前記解析の結果から前記アクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,前記抽出したコンテンツの識別情報の順序が前記判定情報のコンテンツ遷移と一致する場合に前記リクエスト元であるクライアントと対応付けて優先状態を設定するコンテンツ管理部と,
前記優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報を前記クライアント状態情報記憶部に記録するクライアント管理部と,
クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された前記優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する通信制御部とを備える
ことを特徴とするアクセス制御装置。
(付記2) 前記通信制御部は,前記クライアント状態情報をもとに,前記優先状態に対応付けられたクライアントの合計数が所定数を超過した場合に,前記Webサーバへの前記アクセス制御を要求する
ことを特徴とする前記付記1に記載のアクセス制御装置。
(付記3) 前記判定情報記憶部は,前記Webサーバへのアクセス制御におけるクライアントの不正状態を判定するためのコンテンツ遷移を設定した判定情報を保持し,
前記コンテンツ管理部は,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,前記抽出したコンテンツの識別情報の順序が前記判定情報の不正状態を判定するためのコンテンツ遷移と一致する場合に,前記リクエスト元であるクライアントと対応付けて不正状態を設定し,
前記クライアント管理部は,前記コンテンツ管理部により,不正状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報を前記クライアント状態情報記憶部に記録し,
前記通信制御部は,クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された不正状態に対応付けられたクライアントのリクエスト元を示す情報に一致するときは,受信したアクセスリクエストを遮断するアクセス制御を要求する
ことを特徴とする前記付記1または前記付記2に記載のアクセス制御装置。
(付記4) 前記判定情報記憶部は,前記Webサーバのコンテンツを所定の種別に分類し,前記判定情報として,前記コンテンツの種別間の遷移を設定した情報を保持し,
前記コンテンツ管理部は,前記取得したアドレス情報の順序に対応するコンテンツの種別の順序が前記判定情報のコンテンツの種別間の遷移に一致するかを判定する
ことを特徴とする前記付記1ないし前記付記3のいずれか一項に記載のアクセス制御装置。
(付記5) Webサーバとクライアントの端末との間の通信を中継する装置が実行する制御方法であって,
クライアントが送信した前記Webサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析する処理過程と,
前記解析の結果から,前記アクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出する処理過程と,
前記Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部へアクセスして,前記判定情報を取得する処理過程と,
前記抽出したコンテンツの識別情報の順序が,前記判定情報のコンテンツ遷移と一致する場合に前記リクエスト元であるクライアントと対応付けて優先状態を設定する処理過程と,
前記優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報をクライアント状態情報記憶部に記録する処理過程と,
クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された前記優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する処理過程とを備える
ことを特徴とするアクセス制御方法。
(付記6) Webサーバとクライアントの端末との間の通信を中継する装置に,
クライアントが送信した前記Webサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析する処理と,
前記解析の結果から,前記アクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出する処理と,
前記Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部へアクセスして,前記判定情報を取得する処理と,
前記抽出したコンテンツの識別情報の順序が,前記判定情報のコンテンツ遷移と一致する場合に前記リクエスト元であるクライアントと対応付けて優先状態を設定する処理と,
前記優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報をクライアント状態情報記憶部に記録する処理と,
クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された前記優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する処理とを実行させるための
アクセス制御プログラム。
1 アクセス制御装置
11 コンテンツ情報記憶部
12 判定情報記憶部
13 クライアント状態情報記憶部
14 通信中継部
15 通信制御部
16 コンテンツ管理部
17 クライアント管理部
2 Webサーバ
3 制御表示用サーバ
4 クライアント端末
5 ブラウザ
6 インターネット

Claims (4)

  1. Webサーバとクライアントの端末との間の通信を中継する装置であって,
    前記Webサーバへのアクセス制御時におけるクライアントの優先状態を判定するためのコンテンツ遷移を設定した判定情報を保持する判定情報記憶部と,
    クライアントの状態を記録するクライアント状態情報記憶部と,
    クライアントが送信した前記Webサーバへのアクセスリクエストを受信して,受信したアクセスリクエストを解析して,前記解析の結果から前記アクセスリクエストの発行時にアクセスしていたコンテンツの識別情報と,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,前記抽出したコンテンツの識別情報の順序が前記判定情報のコンテンツ遷移と一致する場合に前記リクエスト元であるクライアントと対応付けて優先状態を設定するコンテンツ管理部と,
    前記優先状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報を前記クライアント状態情報記憶部に記録するクライアント管理部と,
    クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された前記優先状態に対応付けられたクライアントのリクエスト元を示す情報に一致しないときは,受信したアクセスリクエストを遮断または一時的に保留するアクセス制御を要求する通信制御部とを備える
    ことを特徴とするアクセス制御装置。
  2. 前記通信制御部は,前記クライアント状態情報をもとに,前記優先状態に対応付けられたクライアントの合計数が所定数を超過した場合に,前記Webサーバへの前記アクセス制御を要求する
    ことを特徴とする請求項1に記載のアクセス制御装置。
  3. 前記判定情報記憶部は,前記Webサーバへのアクセス制御におけるクライアントの不正状態を判定するためのコンテンツ遷移を設定した判定情報を保持し,
    前記コンテンツ管理部は,前記アクセスリクエストによりアクセスしようとするコンテンツの識別情報と,前記アクセスリクエストのリクエスト元であるクライアントを特定するための情報を抽出して,前記抽出したコンテンツの識別情報の順序が前記判定情報の不正状態を判定するためのコンテンツ遷移と一致する場合に,前記リクエスト元であるクライアントと対応付けて不正状態を設定し,
    前記クライアント管理部は,前記コンテンツ管理部により,不正状態に対応付けられたクライアントが発行したアクセスリクエストのリクエスト元を示す情報を登録するクライアント状態情報を前記クライアント状態情報記憶部に記録し,
    前記通信制御部は,クライアントから前記Webサーバへのアクセスリクエストの中継処理において,受信されたアクセスリクエストのリクエスト元を示す情報が,クライアント状態情報記憶部に記録された不正状態に対応付けられたクライアントのリクエスト元を示す情報に一致するときは,受信したアクセスリクエストを遮断するアクセス制御を要求する
    ことを特徴とする請求項1または請求項2に記載のアクセス制御装置。
  4. 前記判定情報記憶部は,前記Webサーバのコンテンツを所定の種別に分類し,前記判定情報として,前記コンテンツの種別間の遷移を設定した情報を保持し,
    前記コンテンツ管理部は,前記取得したアドレス情報の順序に対応するコンテンツの種別の順序が前記判定情報のコンテンツの種別間の遷移に一致するかを判定する
    ことを特徴とする請求項1ないし請求項3のいずれか一項に記載のアクセス制御装置。
JP2009100752A 2009-04-17 2009-04-17 アクセス制御装置 Expired - Fee Related JP5067396B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009100752A JP5067396B2 (ja) 2009-04-17 2009-04-17 アクセス制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009100752A JP5067396B2 (ja) 2009-04-17 2009-04-17 アクセス制御装置

Publications (2)

Publication Number Publication Date
JP2010250664A JP2010250664A (ja) 2010-11-04
JP5067396B2 true JP5067396B2 (ja) 2012-11-07

Family

ID=43312901

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009100752A Expired - Fee Related JP5067396B2 (ja) 2009-04-17 2009-04-17 アクセス制御装置

Country Status (1)

Country Link
JP (1) JP5067396B2 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
JP5968719B2 (ja) 2012-08-06 2016-08-10 京セラ株式会社 管理システム、管理方法、制御装置及び蓄電池装置
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11167584A (ja) * 1997-09-30 1999-06-22 Hitachi Ltd ページ遷移方法及びその実施装置並びにその処理プログラムとデータを記録した媒体
JP2002140309A (ja) * 2000-11-02 2002-05-17 Hitachi Ltd サービスシステム
JP2003087421A (ja) * 2001-09-11 2003-03-20 Hitachi Information Technology Co Ltd 情報処理システム
JP2005165898A (ja) * 2003-12-05 2005-06-23 Hidemasa Miki Web上の迷路提供システム及び迷路構築プログラム。
US7805529B2 (en) * 2006-07-14 2010-09-28 International Business Machines Corporation Method and system for dynamically changing user session behavior based on user and/or group classification in response to application server demand

Also Published As

Publication number Publication date
JP2010250664A (ja) 2010-11-04

Similar Documents

Publication Publication Date Title
JP5067396B2 (ja) アクセス制御装置
US11659004B2 (en) Networking flow logs for multi-tenant environments
JP4307448B2 (ja) 分散オブジェクトを単一表現として管理するシステムおよび方法
CN104904178B (zh) 提供虚拟专用网络隧道的方法和设备及计算机可读介质
US9294541B2 (en) Method and system for correlation of session activities to a browser window in a client-server enviroment
JP5789390B2 (ja) 業務情報防護装置および業務情報防護方法、並びにプログラム
US10257228B2 (en) System and method for real time detection and prevention of segregation of duties violations in business-critical applications
CN101841537A (zh) 一种基于协议代理实现对文件共享访问控制方法及***
EP2255505B1 (en) Selective filtering of network traffic requests
JP2008117316A (ja) 業務情報防護装置
US11044245B2 (en) System and control method therefor
CN107103216A (zh) 业务信息防护装置
CN106559485A (zh) 一种控制服务器关机的方法及装置
CN108512889A (zh) 一种基于http的应用响应推送方法及代理服务器
JP2015195042A (ja) 業務情報防護装置および業務情報防護方法、並びにプログラム
KR101784312B1 (ko) 인증되지 않는 액세스를 방지하기 위해 클라우드 데이터에 보안을 제공하는 전자 장치 및 이의 보안 제공 방법
JP5649627B2 (ja) アクセス認可装置及び方法、サービス提供装置及びシステム
JP2000267957A (ja) 制御系用ファイアウォール
JP2008225941A (ja) セッション管理装置、プログラム、及び記憶媒体
KR101980432B1 (ko) 개인 정보 처리를 위한 장치 및 방법
KR101288103B1 (ko) 전자상거래 불법 거래 탐지 및 차단 방법과 시스템
US20220385632A1 (en) Transaction firewall method and system
JP2018152091A (ja) 業務情報防護装置および業務情報防護方法、並びにプログラム
JP6719635B2 (ja) アクセス管理方法、アクセス管理装置およびコンピュータプログラム
JP2002244998A (ja) 送信制御システム、サーバ、端末装置、送信制御方法、プログラム及び記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100820

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120704

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120717

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120730

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150824

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees