JP4214632B2 - Access relay apparatus and method - Google Patents
Access relay apparatus and method Download PDFInfo
- Publication number
- JP4214632B2 JP4214632B2 JP22596499A JP22596499A JP4214632B2 JP 4214632 B2 JP4214632 B2 JP 4214632B2 JP 22596499 A JP22596499 A JP 22596499A JP 22596499 A JP22596499 A JP 22596499A JP 4214632 B2 JP4214632 B2 JP 4214632B2
- Authority
- JP
- Japan
- Prior art keywords
- client
- www
- server
- request
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 80
- 238000012545 processing Methods 0.000 claims description 46
- 230000004044 response Effects 0.000 claims description 46
- 230000008569 process Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000007726 management method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、無数の資源オブジェクトが提供されている資源空間上における資源アクセスを中継するアクセス中継装置及び方法に係り、特に、ネットワーク上で複数のサーバによって提供される複数の資源オブジェクトに対するクライアントのアクセス要求を中継するためのアクセス中継装置及び方法に関する。
【0002】
更に詳しくは、本発明は、複数のサーバ間での連携的な動作によって生成される資源オブジェクトに対するクライアントのアクセス要求を中継するためのアクセス中継装置及び方法に係り、特に、資源オブジェクトを提供するサーバの少なくとも1つが要求する認証手続きを好適に中継することができるアクセス中継装置及び方法に関する。
【0003】
【従来の技術】
昨今、コンピュータ・システムどうしをネットワークによって相互接続する「ネットワーク・コンピューティング」に関する技術開発が盛んに行なわれている。コンピュータどうしをネットワーク接続する意義は、互いのコンピュータ資源の共有、情報の流通・共有などにある。
【0004】
コンピュータどうしを接続する通信媒体としては、企業や研究機関の構内など限定した空間内に敷設されたLAN(Local Area Network)や、LANどうしを専用線等で相互接続したWAN(Wide Area Network)など様々である。最近では、全世界を網羅する巨大なネットワークである「インターネット」の利用が盛んである。
【0005】
「インターネット」は、米国防総省が構築したARPANET(Advanced Research Projects Agency Network)を原形としたネットワークであるが、その後、全米科学財団のNSFNET(National Science Foundation Network)に包括され、さらに各サーバ(主にUNIXワークステーション)どうしが自主的に相互接続を繰り返した結果、その字義通り、世界規模のネットワークへと成長を遂げた。
【0006】
インターネット上のサーバどうしは、通常、TCP/IP(Transmission Control Protocol/Internet Protocol)接続される。また、インターネット上に散在する各種の資源オブジェクトは、URL(Uniform Resource Locator)という形式のリファレンス(若しくは、「名前」とも言う)によって特定される。URLとは、ネットワークなどの資源空間上で資源の名称やその在り処を特定するための文字列の組み合わせで構成され、スキーム名(プロトコル名)://ホスト名(ドメイン名):ポート番号/パス名(ファイル名)」という形式で記述される。URLについては、例えばRFC(Request For Comments)1738やRFC1808などに記述されている。
【0007】
インターネットにおける代表的なアプリケーションであるWWW(WorldWide Web)は、ハイパーリンク構造の資源オブジェクトをインターネット上で広域的に提供する分散型の情報検索システムである。WWW資源空間上で提供される資源オブジェクトは、主として、HTML(Hyper TextMarkup Language)というマークアップ形式の言語で記述されたハイパーテキスト・ドキュメントである。HTMLについては、例えばRFC1866に記述されている。HTML形式の各資源オブジェクトも、前述したURL形式のリファレンスを有している。
【0008】
HTMLを始めとする「ハイパーテキスト」は、ファイルを構成する文字や絵、表などをカードのようなオブジェクトとして扱い、さらにそのオブジェクト間で関連付けすなわちリンクを形成して、相互にすぐ参照できる機能を持っている(周知)。例えば、WWW資源空間上に存在するHTMLコンテンツすなわちWWWページは、他の資源オブジェクトへのリンク情報が複数埋め込まれている。HTMLドキュメントに埋め込まれる各リンク情報も、上述したURL形式で記述されたリファレンスである。
【0009】
WWW資源空間は、世界中に分散した無数のWWWサーバとWWWクライアントによって構成される。WWWサーバとWWWクライアントの間では、通常、HTTP(Hyper Text Transfer Protocol)プロトコルに従って資源アクセスが行われる。HTTPプロトコルについては、例えばRFC1945やRFC2068に記述されている。
【0010】
WWWサーバは、通常、WWWサーバ専用のアプリケーションを用いて動作するコンピュータ・システムであり、HTML形式で記述されたハイパーテキストからなる資源オブジェクトを複数所有するととともに、WWWクライアントに対する資源提供サービスを行う。情報の提供者は、提供したい情報をHTML形式で記述し、これを資源オブジェクトとしてWWWサーバに蓄積して、インターネット上でWWWクライアントに公開することによって、WWWクライアントへの情報提供を達成することができる。
【0011】
他方、WWW資源空間上で資源オブジェクトを要求するWWWクライアントは、通常、「WWWブラウザ」と呼ばれるアプリケーションを用いて動作するコンピュータである。
【0012】
WWWブラウザは、資源オブジェクトの取り出しを代行する一種のユーザ・エージェントであり、クライアント・マシンのデスクトップ画面上では「ブラウザ・ウィンドウ」という形態で体現される。WWWブラウザは、ブラウザ・ウィンドウ画面上の場所ボックスにキー入力されたURLに従って、該当する資源オブジェクトすなわちHTMLドキュメントを、ハイパーリンク構造のWWW資源空間上で探索し、そのダウンロードを行う。取得したHTMLドキュメントのコンテンツは、WWWページ(ホームページ)画面を組み立てるためのページ表示情報として利用される。すなわち、WWWブラウザはHTMLドキュメントを解析して、ブラウザ・ウィンドウ画面上にページ画面を表示する。
【0013】
一般に、WWWページ表示画面上では、他の資源オブジェクトへのリンク情報に関連する表示オブジェクトは「アンカー」としてホットスポット表示されており、ユーザはページ表示画面上に散在するリンク情報の在り処を直感的に検知することができる。ページ表示画面上に貼り付けられたリンク情報の実態は、各リンク先の資源オブジェクトへのリファレンスであり、やはりURL形式で記述されている。ユーザは、ホームページ画面上で、関心のあるアンカーをマウスでクリックするという直感的な操作によって、リンク付けされた次にアクセスする資源オブジェクトを指示することができる。WWWブラウザは、アンカーのクリック操作に応答して、アンカーに埋め込まれたURLに該当する資源オブジェクトを資源空間上で探索し、リンク先へのアクセスを実現する。略言すれば、ユーザは、マウス・クリックによる直感的な操作を行うだけで、世界規模で展開されたWWW資源空間上を探索することができる訳である。
【0014】
ところで、WWWサーバが提供するサービスは、多種多様化するとともに、高度化、高機能化が進んできており、経済的価値等の高い資源提供サービスに対しては、課金によりアカウントすなわち利用者資格を付与することが少なくない。このような場合、正規アカウントと不正(若しくは無効)のアカウントとを区別するために、WWWサーバ−クライアント間で認証手続きを行う必要がある。その他、個人用の情報のカスタマイズや利用統計など様々な目的のために、認証手続きを必要とする場合など、WWW資源提供サービスはますます増えてきている。
【0015】
しかしながら、認証手続きは、各資源提供サービス毎、すなわちWWWサーバ毎に独立して行われる。このため、WWWクライアント・ユーザが多種のサービスを享受する場合には、これに比例した個数の認証手続き、すなわち認証情報のユーザ入力をこなす必要がある。認証情報には、一般に、パスワードやユーザIDなどのキャラクタ情報で構成されるため、キーボード入力に頼らなければならず、ユーザの負担は過大である。
【0016】
このような問題に対処するために、サービスの利用時に入力すべき認証情報等を予め蓄えておき、利用に際して該認証情報を自動送出することで、ユーザの負担を軽減することができる。このような認証情報の蓄積・送出を行う装置や方法について、既に幾つか提案されている。
【0017】
例えば、特開平11−120238号公報では、ユーザ端末からのリクエストを中継するサーバに、各ユーザの個人情報を予め登録しておく点が開示されている。すなわち、ユーザ端末が広域ネットワーク経由でサービス提供装置にアクセスし、これに対してサービス提供装置がユーザの個人情報の入力を要求したときには、該サーバが個人情報を読み出してサービス提供装置に転送することで、ユーザが個人情報を入力する手間を省いている。
【0018】
また、特開平9−134389号公報には、ユーザ端末装置自身に個人情報を予め登録しておく点について開示されている。すなわち、情報提供サービスにアクセスしたときに個人情報の入力が必要であった場合には、登録しておいた個人情報を送出することにより、ユーザの負担軽減と入力ミスの防止を実現することができる。
【0019】
上記の各公報に記載の技術によれば、認証に必要となる情報を予め記録しておき、サービス利用時に自動的に送出することで、ユーザの負担が軽減される。しかしながら、認証情報を事前に記録しておくことは、ユーザにとって重要な情報を漏洩という危険にさらすことを意味する。また、認証情報としてのパスワードが変更された場合には、再登録する必要がありユーザに手間を強いることになる。
【0020】
また、最近では、WWW資源空間上で提供されるサービスも多様化してきた。すなわち、WWWサーバは、本来は予め用意しておいたWWWページを単に送り返すに過ぎなかったが、1以上のサーバとの連携により複数のWWWページに基づいて加工・処理を行い、WWWクライアントが要求するWWWページを動的に生成して送り返す、というサービス形態が増えてきている。
【0021】
例えば、ある1つのサーバが、WWWサーバとクライアントの間でサービス出力を中継し、その間に提供サービスに所定の加工を施すことでWWWページに付加価値を与えることができる。このような形態の資源提供サービスは、例えば、”DeleGate”と呼ばれるHTTP中継サーバ・プログラムを利用して実現することができる。なお、”DeleGate”については、例えば、佐藤豊著「多目的プロトコル中継システム DeleGate」(電子技術総合研究所彙報,Vol.59,No.6(1995))を参照されたい。
【0022】
また、本出願人に既に譲渡されている特許第2746218号公報には、複数の入力を基に処理を行い、且つ、処理結果を別の処理の入力とすることで、ユーザからのリクエストを多段階的に処理することができる資源管理装置および資源管理方法について開示されている。
【0023】
ところが、上述のように複数のWWWサーバの連携によってWWWページを多段階的に生成するような仕組みを利用する場合には、加工対象となるWWWページを提供するWWWサーバの中に認証を要求するものが含まれていても、中継サーバは、認証に必要な情報を入力したり認証情報をWWWサーバまで伝達する機構を備えていない。略言すれば、多段階的且つ動的にWWWページ生成処理を行うWWWサーバのうち少なくとも1つでも認証情報を必要とすれば、ユーザがリクエストしたWWWページは完成されないのである。
【0024】
【発明が解決しようとする課題】
本発明の目的は、ネットワーク上で複数のサーバによって提供される複数の資源オブジェクトに対するクライアントのアクセス要求を好適に中継することができる、優れたアクセス中継装置及び方法を提供することにある。
【0025】
本発明の更なる目的は、複数のサーバ間での連携的な動作によって動的且つ多段階的に生成される資源オブジェクトに対するクライアントのアクセス要求を好適に中継することができる、優れたアクセス中継装置及び方法を提供することにある。
【0026】
本発明の更なる目的は、資源オブジェクトを提供するサーバの少なくとも1つが要求する認証手続きを好適に中継することができる、優れたアクセス中継装置及び方法を提供することにある。
【0027】
【課題を解決するための手段及び作用】
本発明は、上記課題を参酌してなされたものであり、その第1の側面は、URL(Uniform Resource Locator)によって特定されるハイパーテキスト・ドキュメントを提供する1以上のサーバとクライアントとの間に介在して、該クライアントからのハイパーテキストへのアクセス要求を中継するアクセス中継装置であって、
クライアントからのハイパーテキスト・ドキュメントへのアクセス要求を中継してサーバに対してハイパーテキスト・ドキュメントへのアクセス要求を送信するアクセス要求手段と、
ハイパーテキスト・ドキュメントへのアクセス要求に対してサーバがクライアントの認証を要求したときに、該認証要求を基に新しい認証要求を生成してクライアントに送信する認証要求生成手段と、
前記認証要求生成手段が生成した認証要求をサーバから受信した元の認証要求と関連付けて保存する認証要求保存手段と、
を具備することを特徴とするアクセス中継装置である。
【0028】
このような形態のアクセス中継装置がサーバ−クライアント間に介在することにより、サーバの資源にアクセスするために必要な認証手続きが円滑に実行される。特に、認証を要求する複数の資源オブジェクトにアクセスするような場合であっても、認証に必要な情報をサーバ―クライアント間で好適に伝達することができる。
【0029】
また、アクセス中継装置を資源提供空間上に適用する上で、サーバやクライアントの構成や動作手順を修正又は変更する必要が全くない。例えば、資源提供空間がインターネットのような広域ネットワーク上に構築されたWWW資源提供空間である場合には、この資源アクセス管理装置を中継サーバとして配備するだけで、既存のWWWサーバ及びWWWクライアント(すなわちWWWブラウザ)間での認証手続きを円滑に行うことができる。
【0030】
例えば、CGI(Common Gateway Interface)のような遠隔手続き呼び出しを用いて、複数のWWWサーバのWWWページを加工して、WWWクライアントが要求するWWWページを生成するような場合であっても、WWWサーバのうち1つが認証を必要とするために要求されたWWWページが完成しないという問題は生じない。
【0031】
本発明の第1の側面に係るアクセス中継装置は、サーバから受信した認証要求と関連付けられた新しい認証要求が既に認証要求保存手段に格納されている場合には、該新しい認証要求を取り出してクライアントに送信するようにしてもよい。この結果、新たに生成した認証要求を再利用することにより、資源アクセス管理装置における処理負荷が軽減するとともに、処理時間が短縮される。
【0032】
また、本発明の第1の側面に係るアクセス中継装置は、さらに、サーバから受信したハイパーテキスト・ドキュメントを加工するハイパーテキスト・ドキュメント処理手段を含んでもよい。該アクセス中継装置を実装した中継サーバは、認証に必要な情報を入力したり認証情報をWWWサーバまで伝達する機構を備えている。したがって、多段階的且つ動的にWWWページ生成処理を行うWWWサーバのうち少なくとも1つが認証情報を要求する場合であっても、ユーザがリクエストしたWWWページを加工することができる。
【0033】
また、本発明の第2の側面は、コンピュータを用いて構築されるアクセス中継装置が、URLによって特定されるハイパーテキスト・ドキュメントを提供する1以上のサーバサーバとクライアント間に介在して、該クライアントからのハイパーテキスト・ドキュメントへのアクセス要求を中継するアクセス中継方法であって、
(a)前記コンピュータが備えるアクセス要求手段が、クライアントからのハイパーテキスト・ドキュメントへのアクセス要求を中継してサーバに対してハイパーテキスト・ドキュメントへのアクセス要求を送信するステップと、
(b)前記コンピュータが備える認証要求生成手段が、ハイパーテキスト・ドキュメントへのアクセス要求に対してサーバがクライアントの認証を要求したときに、該認証要求を基に新しい認証要求を生成してクライアントに送信するステップと、
(c)前記コンピュータが備える認証要求保存手段が、前記ステップ(b)において生成された認証要求をサーバから受信した元の認証要求と関連付けて保存するステップと、
を具備することを特徴とするアクセス中継方法である。
【0034】
このような形態のアクセス中継方法を実行することにより、サーバの資源にアクセスするために必要な認証手続きが円滑化される。特に、認証を要求する複数の資源オブジェクトにアクセスするような場合であっても、認証に必要な情報をサーバ―クライアント間で好適に伝達することができる。
【0035】
また、該アクセス中継方法を資源提供空間上で実現する上で、サーバやクライアントの構成や動作手順を修正又は変更する必要が全くない。例えば、資源提供空間がインターネットのような広域ネットワーク上に構築されたWWW資源提供空間である場合には、この資源アクセス管理装置を中継サーバとして配備するだけで、既存のWWWサーバ及びWWWクライアント(すなわちWWWブラウザ)間での認証手続きを円滑に行うことができる。
【0036】
例えば、CGI(Common Gateway Interface)のような遠隔手続き呼び出しを用いて、複数のWWWサーバのWWWページを加工して、WWWクライアントが要求するWWWページを生成するような場合であっても、WWWサーバのうち1つが認証を必要とするために要求されたWWWページが完成しないという問題は生じない。
【0037】
本発明の第2の側面に係るアクセス中継方法において、サーバから受信した認証要求と関連付けられた新しい認証要求が既に前記ステップ(c)において既に保存されている場合には、該保存されている認証要求を取り出して利用するようにしてもよい。この結果、新たに生成した認証要求を再利用することにより、資源アクセス管理方法を実行するための処理負荷が軽減するとともに、処理時間が短縮される。
【0038】
また、該アクセス中継方法は、さらに、
(d)前記コンピュータが備える受信手段が、サーバからハイパーテキスト・ドキュメントを受信するステップと、
(e)前記コンピュータが備えるハイパーテキスト・ドキュメント処理手段が、前記ステップ(d)において受信したハイパーテキスト・ドキュメントを加工するステップと、
を含んでもよい。
【0039】
本発明の第2の側面に係るアクセス中継方法によれば、認証に必要な情報を入力したり認証情報をサーバ−クライアント間で好適に伝達することができる。したがって、多段階的且つ動的にWWWページ生成処理を行うWWWサーバのうち少なくとも1つが認証情報を要求する場合であっても、ユーザがリクエストしたWWWページを加工することができる。
【0040】
また、本発明の第3の側面は、URLによって特定されるハイパーテキスト・ドキュメントを提供する1以上のサーバとクライアント間に介在して、該クライアントからのハイパーテキストへのアクセス要求を中継するアクセス中継装置であって、
クライアントのユーザ識別子を認証するユーザ認証手段と、
クライアントからのハイパーテキスト・ドキュメントへのアクセス要求を中継してサーバに対してハイパーテキスト・ドキュメントへのアクセス要求を送信するアクセス要求手段と、
ハイパーテキスト・ドキュメントへのアクセス要求に対してサーバがクライアントの認証を要求したときに、該認証要求を基に新しい認証要求を生成してクライアントに送信する認証要求生成手段と、
認証要求に対してクライアントから返信された認証情報を、該認証要求及び該クライアントのユーザ識別子と関連付けて保存する認証要求保存手段と、
を具備することを特徴とするアクセス中継装置である。
【0041】
本発明の第3の側面に係るアクセス中継装置は、さらに、サーバから受信したハイパーテキスト・ドキュメントを加工するハイパーテキスト・ドキュメント処理手段を含んでもよい。
【0042】
このような形態のアクセス中継装置がサーバ−クライアント間に介在することにより、サーバの資源にアクセスするために必要な認証手続きが円滑に実行される。特に、認証を要求する複数の資源オブジェクトにアクセスするような場合であっても、認証に必要な情報をサーバ―クライアント間で好適に伝達することができる。
【0043】
本発明の第3の側面に係るアクセス中継装置と第1の側面との相違点は、前者では、クライアントのユーザ認証を行い、ユーザ識別子と関連付けて認証要求を保存する点にある。また、クライアントと中継サーバ間でユーザ認証を実行することから、クライアントから受け取った認証情報をアクセス中継装置上に保管することが、機密保護の点からも可能となる。したがって、クライアントが同一の資源オブジェクトに対して再びアクセス要求したときに、サーバ側が認証を要求した場合であっても、アクセス中継装置において認証手続きが完了する。すなわち、クライアントが再度認証情報を送信する必要がないので、通信負荷が軽減されるとともに、認証手続きが円滑且つ簡略化される。
【0044】
本発明の第4の側面は、コンピュータを用いて構築されるアクセス中継装置が、URLによって特定されるハイパーテキスト・ドキュメントを提供する1以上のサーバとクライアント間に介在して、該クライアントからのハイパーテキスト・ドキュメントへのアクセス要求を中継するアクセス中継方法であって、
(a)前記コンピュータが備えるユーザ認証手段が、クライアントのユーザ識別子を認証するステップと、
(b)前記コンピュータが備えるアクセス要求手段が、クライアントのハイパーテキスト・ドキュメントへのアクセス要求を中継してサーバに対してハイパーテキスト・ドキュメントへのアクセス要求を送信するステップと、
(c)前記コンピュータが備える認証要求生成手段が、ハイパーテキスト・ドキュメントへのアクセス要求に対してサーバがクライアントの認証を要求したときに、該認証要求を基に新しい認証要求を生成するステップと、
(d)前記コンピュータが備える認証要求保存手段が、認証要求に対してクライアントから返信された認証情報を、該認証要求及び該クライアントのユーザ識別子と関連付けて保存するステップと、
を具備することを特徴とするアクセス中継方法である。
【0045】
本発明の第4の側面に係るアクセス中継方法は、さらに、
(e)前記コンピュータが備える受信手段が、サーバからハイパーテキスト・ドキュメントを受信するステップと、
(f)前記コンピュータが備えるハイパーテキスト・ドキュメント処理手段が、前記ステップ(e)において受信したハイパーテキスト・ドキュメントを加工するステップと、
を含んでもよい。
【0046】
このような形態のアクセス中継方法を実行することにより、サーバの資源にアクセスするために必要な認証手続きが円滑化される。特に、認証を要求する複数の資源オブジェクトにアクセスするような場合であっても、認証に必要な情報をサーバ―クライアント間で好適に伝達することができる。
【0047】
本発明の第4の側面に係るアクセス中継方法と第2の側面との相違点は、前者では、クライアントのユーザ認証を行い、ユーザ識別子と関連付けて認証要求を保存する点にある。また、クライアントと中継サーバ間でユーザ認証を実行することから、クライアントから受け取った認証情報をユーザに代行して保管することが、機密保護の観点からも可能となる。したがって、クライアントが同一の資源オブジェクトに対して再びアクセス要求したときに、サーバ側が認証を要求した場合であっても、クライアントが再度認証情報を送信する必要がないので、通信負荷が軽減されるとともに、認証手続きが円滑且つ簡略化される。
【0048】
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。
【0049】
【発明の実施の形態】
以下、図面を参照しながら本発明の実施例を詳解する。
【0050】
図1には、本発明の第1の実施形態に係るネットワーク・システム10の構成を模式的に示している。ネットワーク・システム10は、例えば「インターネット」のような広域ネットワークを介して多数の計算機がTCP/IP(Transmission Control Protocol/Internet Protocol)接続されてなるシステムであり、HTTPプロトコル(Hyper Text Transfer Protocol)に従って資源オブジェクトが提供されるWWW(World Wide Web)資源空間が構築されているものとする。
【0051】
図1に示すように、該ネットワーク・システム10は、WWWページなどの資源提供サービスを要求するWWWクライアント100と、サービス提供を行う複数のWWWサーバ201,202,…と、WWWクライアント100とWWWサーバ201…間に介在する中継サーバ300とで構成される。
【0052】
WWWクライアント100は、通常、「WWWブラウザ」と呼ばれるアプリケーションを用いて動作するコンピュータである。WWWブラウザは、一般に、GUI(Graphical User Interface)画面をユーザに提供する。WWWクライアントのユーザは、WWWブラウザ画面上に用意された場所ボックスにURL(Uniform Resource Locator)文字列を記入するか、又は、WWWブラウザが提示するWWWページ中でリンク情報が埋め込まれたアンカーをマウス等で選択することによって、所望の資源オブジェクトへのアクセスを指示することができる。資源オブジェクトの要求は、HTTPリクエストという形式で発行される。
【0053】
WWWブラウザは、サーバからの認証要求に応答して、認証情報に関するユーザ入力を受容するための認証情報入力部110を備えている。認証情報入力部110は、例えば、ユーザIDやパスワードなどの入力フォームを含んだダイアログ・ボックスという形態で体現される。HTTPプロトコルでは、認証要求や認証情報の転送等に関する形式として、「Basic認証」及び「Digest認証」が規定されている。米ネットスケープ・コミュニケーションズ社の「ネットスケープ・ナビゲータ」のように、広汎に使用されているWWWブラウザの多くは、Basic認証をサポートしている。
【0054】
他方のWWWサーバ201…は、通常、WWWサーバ専用のアプリケーションを用いて動作するコンピュータ・システムであり、HTML(Hyper Text markup Language)形式で記述されたハイパーテキストからなる資源オブジェクトを複数所有し、HTTPリクエストに対するレスポンスという形式で、WWWクライアントに対する資源提供サービスを行う。情報の提供者は、提供したい情報をHTML形式で記述し、これを資源オブジェクトとしてWWWサーバに蓄積して、インターネット上でWWWクライアントに公開することによって、WWWクライアントへの情報提供を達成することができる。図示の各WWWサーバ201,202,203は、それぞれ”wwwhost1”,”wwwhost2”,”wwwhost3”なるホスト名若しくはドメイン名を有しているものとする。
【0055】
本実施例では、参照番号201及び202で指示される各WWWサーバは、それぞれ保護ドメイン211,212を有している。これら保護ドメイン211,212内にある資源オブジェクトすなわちWWWページ221,222にアクセスするためには、WWWクライアントのユーザ認証が必要である。保護ドメイン211,212は、それぞれ”domian1”、”domain2”というドメイン識別子を有するものとする。
【0056】
また、中継サーバ300は、HTTP中継サーバとして稼動するサーバであり、”proxyhost”というドメイン名若しくはホスト名を所有するものとする。中継サーバ300は、WWWクライアント100からの資源オブジェクト要求をHTTPリクエスト形式のメッセージとして受け取ると、処理プログラム301を起動する。この処理プログラム301は、複数のWWWページを基に、クライアントの要求に合致したWWWページを加工するプログラムである。すなわち、処理プログラム301は他のWWWサーバからのHTTPレスポンスを入力として利用し、且つ、該処理プログラム301の出力が要求元のWWWクライアントに対するHTTPレスポンスとなる。処理プログラム301は、”program”というオブジェクト名若しくはファイル名を有するものとする。
【0057】
本実施例に係る中継サーバ300は、さらに、WWWサーバ201…から発行される認証要求を中継する機能を備えている。より具体的には、WWWサーバから認証を要求されたことに応答してWWWクライアントに対する認証要求を新たに生成する認証要求生成部310と、新たに生成された認証要求を元の認証要求と対応付けて保管する認証要求データベース320とを備えている。
【0058】
中継サーバ300の実体は、同一のWWWクライアント・マシン上で稼動する中継サーバ用のアプリケーションであっても、ある特定のWWWサーバ・マシン上で稼動する中継サーバ用アプリケーションであっても、あるいは、インターネット上でWWWサーバやクライアントとは独立して存在する中継サーバ用マシンであってもよい。
【0059】
なお、図1では図解を省略しているが、WWWクライアント100と、WWWサーバ201…は、WWW資源提供空間が構築されたインターネットのような広域ネットワーク上にTCP/IP(Transmission ControlProtocol/Internet Protocol)接続されており、HTTP(Hyper Text Transfer Protocol)プロトコルに従って資源サービス要求や資源サービス提供を行うことができる。
【0060】
次いで、ネットワーク・システム10上における中継サーバ300の処理手順について、図2〜図4を参照しながら説明する。以下では、WWWクライアント100から中継サーバ300に対してHTTPリクエストを送信し、各WWWサーバ201,202,203からWWWページ221,222,223をHTTPレスポンスとして取得し、これらWWWページを入力として処理プログラム301を実行して、その処理結果であるWWWページをHTTPレスポンスとしてWWWクライアント100に戻す、という一連の動作を例に取り上げることにする。
【0061】
まず、WWWクライアント100のユーザは、WWWブラウザ画面上の場所ボックスにURLを記入するか、又は、同ブラウザ画面上に提示されているWWWページ上のアンカーをクリックすることで、資源オブジェクトの提供を要求する。WWWクライアント100は、この要求をHTTPリクエストという形式で送出する。
【0062】
本実施例で扱われる要求は、より具体的には、中継サーバ300の処理プログラム301を起動して、複数のWWWサーバ201,202,203の各々が持つ資源オブジェクトを利用して加工されたWWWページを要求するものである。したがって、HTTPリクエスト・メッセージには、起動すべき処理プログラム301の識別子の他に、この処理プログラム301に対する入力となる資源オブジェクトすなわちWWWページ221,222,223のURLに関する情報を含むものであり、下式のようなURL文字列によって表現される。
【0063】
【数1】
【0064】
中継サーバ300は、受信したHTTPリクエストを解析して、実行すべき処理プログラム301を特定するとともに、この処理プログラム301に対する入力となるWWWページ221、WWWページ222、及び、WWWページ223を取得するために、WWWサーバ201、WWWサーバ202、及び、WWWサーバ203の各々に対してHTTPリクエストを送信する。
【0065】
前述したように、WWWページ221とWWWページ222の各々は、WWWサーバ201及びWWWサーバ202の各保護ドメイン211,212内にある。このため、WWWサーバ201及びWWWサーバ202はともに、HTTPリクエストに応答してWWWページを返す代わりに、認証が必要であることを示すヘッダのみを含んだHTTPレスポンスを返す(以下では、説明の便宜上、各WWWサーバ201,202はHTTP Basic認証を要求するものとする)。また、WWWページ223は保護ドメイン外にあるので、WWWサーバ203はHTTPリクエストに応答して、WWWページ223を即座に出力する。
【0066】
中継サーバは、自身がHTTPリクエストを送信したWWWサーバの中に、HTTP Basic認証を要求するものがあるか否かを判別する。該認証要求があった場合には、認証要求生成部310が起動され、以下のように動作する。
【0067】
認証要求は、サーバ名、ポート名、及び保護ドメインの組み合わせからなる識別子によって特定される。例えば、WWWサーバ201が保護ドメイン211内の資源オブジェクトへのアクセスである場合には、HTTPヘッダに含まれた以下の文字列から保護ドメイン211の識別子”domain1”を得ることができる。
【0068】
【数2】
【0069】
この認証要求は、<wwwhost1,80,domain1>という一意の識別子が与えられ、且つ、認証要求データベース320に記録される。
【0070】
さらに、認証要求生成部310は、元の認証要求に関連付けられた新たな認証要求を生成して、これを認証要求データベース320に保管する。新たな認証要求は、元の認証要求を特定できる形態で生成することが好ましい。本実施例では、<wwwhost1,80,domain1>により特定できる認証要求に対して、<proxyhost,80,domain1@wwwhost1:80>という新たな認証要求を生成して、両者を関連付けて保管する。
【0071】
中継サーバ300は、各WWWサーバへのHTTPリクエストの送信を行う際、認証を要求するWWWサーバの数だけ、上記の認証要求の登録と新たな認証要求の生成を繰り返し実行する。すなわち、WWWサーバ202からの認証要求<wwwhost1,80,domain2>に対しても、同様に、新しい認証要求<proxyhost,80,domain2@wwwhost2:80>が生成されるとともに、両者が関連付けられて保管される。
【0072】
そして、中継サーバ300は、各WWWサーバ201,202からの元の認証要求に代えて、新しく生成された認証要求をWWWクライアント100に送信する。この結果、WWWクライアント・マシン上では、ユーザに対して認証情報の入力を促すためのダイアログ・ボックスがWWWブラウザ画面上にポップアップ表示される。このダイアログ・ボックスは、例えば「domain1@wwwhost1:80(proxyhost:80)に対するユーザ名とパスワードを入力して下さい」のようなメッセージを含ませる。
【0073】
WWWブラウザは中継サーバ300に対する認証情報の入力ウィンドウとしてダイアログ・ボックスを開くことになる。但し、実質的にはWWWサーバ201が発行した認証要求であることを識別するためのメッセージ(上述)を含んでいるので、ユーザは、現実には中継サーバ300ではなくWWWサーバ201に対する認証情報を入力すべきことを容易に判断することができる。
【0074】
ユーザがWWWサーバ201に対して登録しておいた正規のユーザ名とパスワードを入力すると、WWWクライアント100はこれらの形式を変換して、HTTPヘッダとして認証情報を中継サーバに送信する。例えば、ユーザ名が”user”であり、パスワードが”pass”であるときには、WWWクライアント100は以下に示すようなHTTPヘッダを送信する。
【0075】
【数3】
【0076】
WWWクライアント100上では、認証を要求するWWWサーバの数だけ、上記の認証情報の入力プロンプトと入力された認証情報の送信が繰り返し行われる。すなわち、WWWサーバ202からの認証要求に対応した認証要求<proxyhost,80,domain2@wwwhost2:80>に対しても、同様に、認証情報の入力と送信が行われる。
【0077】
なお、米ネットスケープ・コミュニケーションズ社のネットスケープ・ナビゲータを始めとする標準的なWWWブラウザは、HTTP Basic認証による認証手続きを行う場合にユーザ入力された認証情報を揮発的に保持しておく機能を備えている。揮発的とは、WWWブラウザを終了するか、又はWWWクライアント・マシンを停止した時点で記録していた認証情報が消失することを意味する。このため、ローカル・ディスクなどに不揮発的に認証情報を保持するようにしてもよい。
【0078】
中継サーバ300は、WWWクライアント100から認証情報を受け取ると、認証要求データベース320を参照して元の認証要求を見つけ出す。そして、受信した認証情報をHTTPリクエストに含めて、該当するWWWサーバに送信する。本実施例では、WWWサーバ201からの認証要求に対する返答として得られた認証情報は、HTTPヘッダに含めてWWWサーバ201に送信され、同様に、WWWサーバ202からの認証要求に対する返答として得られた認証情報は、HTTPヘッダに含めてWWWサーバ202に送信される。
【0079】
認証要求したWWWサーバ201は、HTTPレスポンスという形式で認証情報を受信する。そして、認証情報に成功した場合には、要求されたWWWページ221を、HTTPレスポンスとして中継サーバ300に送出する。同様に、WWWサーバ202も、認証情報に成功した場合には、要求されたWWWページ222を、HTTPレスポンスとして中継サーバ300に送出する。
【0080】
他方、WWWサーバ201又は202において認証処理に失敗した場合には、WWWサーバは再び認証要求を送信する。この結果、中継サーバ300は、処理プログラム301の入力となるWWWページが得られるまで、新たに生成した認証要求をWWWクライアント100に繰り返し送信し続ける。
【0081】
中継サーバ300が全てのWWWページを成功裡に取得すると、処理プログラム301は、これらWWWページを入力とする処理を実行する。そして、処理プログラム301の実行結果は、WWWページとしてWWWクライアント100に返される。図2に示す例では、処理プログラム301は、WWWページ221,222,223を入力として処理を実行し、その処理結果として生成されたWWWページをHTTPレスポンスとしてWWWクライアント100に送信するようになっている。
【0082】
図3には、上述したWWWクライアント100によるWWWページ取得のためのネットワーク・システム10上での動作手順をチャート上で図解している。以下、このチャートについて時系列に従って説明する。
【0083】
WWWクライアント100のユーザは、WWWブラウザ画面上の場所ボックスにURLを記入するか、又は、同ブラウザ画面上に提示されているWWWページ上のアンカーをクリックすることで、資源オブジェクトの提供を要求する(T1)。WWWクライアント100は、この要求をHTTPリクエストという形式で中継サーバ300に送出する(T2)。
【0084】
中継サーバ300は、WWWサーバ201,202,203の各々に対してHTTPリクエストを送信して(T3,T4,T5)、WWWページ221,222,223を要求する。
【0085】
要求されたWWWページ221及びWWWページ222はそれぞれ保護ドメイン211,212にあるので、WWWサーバ201とWWW202は、HTTPレスポンスとして認証要求を返す(T6,T7)。また、WWWページ223はオープンなドメインにあるので、WWWサーバ203は、HTTPレスポンスとしてWWWページ223を返す(T8)。
【0086】
中継サーバ300は、受信した認証要求(T6)を基に新たな認証要求を生成して、これをWWWクライアント100に送信する(T9)。WWWクライアント100では、WWWブラウザ画面上にダイアログ・ボックスを開くなどして、ユーザ名やパスワードなど所定の情報のユーザ入力を促す(T11)。そして、WWWクライアント100は、ユーザ入力(T12)に基づいて認証情報を生成して、これを中継サーバ300に送信する(T13)。この認証情報T13は、WWWクライアント100のローカルにおいて、揮発的若しくは不揮発的に保存される。
【0087】
同様に、中継サーバ300は、受信した認証要求(T7)を基に新たな認証要求を生成して、これをWWWクライアント100に送信する(T14)。WWWクライアント100では、WWWブラウザ画面上にダイアログ・ボックスを開くなどして、ユーザ名やパスワードなど所定の情報のユーザ入力を促す(T15)。そして、WWWクライアント100は、ユーザ入力(T16)に基づいて認証情報を生成して、これを中継サーバ300に送信する(T17)。この認証情報T17は、WWWクライアント100のローカルにおいて、揮発的若しくは不揮発的に保存される。
【0088】
中継サーバ300は、WWWサーバ201及び202の各々に対して、それぞれ認証情報T13及びT17を含むHTTPリクエストT18及びT19を送信する。WWWサーバ201は、HTTPレスポンスとしてWWWページ221を返し(T20)、WWWサーバ202は、HTTPレスポンスとしてWWWページ222を返す(T21)。
【0089】
中継サーバ300の処理プログラム301は、上述のようにして取得したWWWページ221,222,223を入力として、新たなWWWページを動的に生成して、これをWWWクライアント100に送信する(T22)。このWWWページはWWWブラウザにおいて解析され、WWWページ画面として表示され、ユーザの閲覧に供される(T23)。
【0090】
図4には、WWWクライアントが再度同じHTTPリクエストを送信した場合における、ネットワーク・システム10上での動作手順をチャート上で図解している。以下、このチャートについて時系列に従って説明する。
【0091】
WWWクライアント100のユーザは、WWWブラウザ画面上でURLを指示することで、資源オブジェクトの提供を要求する(T31)。WWWクライアント100は、この要求をHTTPリクエストという形式で中継サーバ300に送出する(T32)。
【0092】
中継サーバ300は、WWWサーバ201,202,203の各々に対してHTTPリクエストを送信して(T33,T34,T35)、WWWページ221,222,223を要求する。
【0093】
要求されたWWWページ221及びWWWページ222はそれぞれ保護ドメイン211,212内にあるので、WWWサーバ201とWWW202は、HTTPレスポンスとして認証要求を返す(T36,T37)。また、WWWページ223はオープンなドメインにあるので、WWWサーバ203は、HTTPレスポンスとしてWWWページ223を返す(T38)。
【0094】
中継サーバ300が受信した認証要求T36及びT37は、既に認証要求データベース320に保存されたものである。したがって、中継サーバ300は、それぞれの認証要求T36及びT37に関連付けられている各認証要求を該データベース320から取り出して、これをWWWクライアント100に送信する(T39,T41)。
【0095】
WWWクライアント100では、各認証要求に対応する認証情報T13及びT17を既に揮発的若しくは不揮発的に保存している。したがって、WWWクライアント100は、改めてユーザ入力を促すことなく、保存中の各認証情報を中継サーバ300に送信する(T40,T42)。すなわち、ユーザ名やパスワードなどの再度のユーザ入力を省略することができる。
【0096】
中継サーバ300は、WWWサーバ201及び202の各々に対して、それぞれ認証情報T13及びT17を含むHTTPリクエストT43及びT44を送信する。WWWサーバ201及び202の各々は、WWWページ221及びWWWページ222をHTTPレスポンスとして返す(T45,T46)。
【0097】
中継サーバ300の処理プログラムは、上述のようにして取得したWWWページ221,222,223を入力として、新たなWWWページを動的に生成して、これをWWWクライアント100に送信する(T47)。このWWWページはWWWブラウザにおいて解析され、WWWページ画面として表示され、ユーザの閲覧に供される(T48)。
【0098】
上述した本発明の実施形態において、WWWクライアントは一般に普及しているWWWブラウザを搭載しているだけで充分であり、また、WWWサーバは通常のWWWサーバ用アプリケーションを搭載したマシンでよい。言い換えれば、中継サーバ300を配設するだけで、既存のネットワーク上の各資源提供サービスに対して本発明を適用することができるという点を充分理解されたい。
【0099】
また、本実施形態に係る中継サーバ300は、上述の説明からも明らかなように、中継サーバのホスト名が明記されたURL文字列の中から中継すべきWWWサーバ名を取り出すようになっている。これは、HTTPプロトコルで規定されている中継用メソッド”CONNECT”を用いるとともに、例えばHTTPヘッダなどURL以外の情報として中継すべきWWWサーバ名を伝達することで、実現することができる。
【0100】
本実施形態に係る中継サーバは、複数のWWWサーバに対するHTTPリクエストを中継するとともにHTTPレスポンスを加工するタイプのHTTP中継サーバである。この中継サーバによれば、WWWクライアント・ユーザの認証を要求する各WWWサーバに対してそれぞれ1回の認証情報のユーザ入力のみを必要とし、同じHTTPリクエストを再度行うときにはユーザ入力を求めることなく、各WWWサーバのHTTPレスポンスを加工することができる、という点も充分理解されたい。
【0101】
また、本実施形態に係る中継サーバは、広域ネットワーク上で提供される各種サービスの出力を、サーバとクライアントの間を中継する間に加工するような場合に好適に適用することができる。すなわち、加工対象となるサービスのうちの1つが認証を要求する場合であっても、認証に必要な情報を円滑にクライアント−サーバ間で伝達することができ、上記[従来の技術]の欄で指摘した技術的課題を解決することができる。
【0102】
次に、本発明の第2の実施形態について説明する。該実施形態では、中継サーバは、一度ユーザ入力された認証情報を保持することができるという点で、上述した第1の実施形態と相違する。
【0103】
図5には、本発明の第2の実施形態に係るネットワーク・システム10の構成を模式的に示している。同図に示すように、該ネットワーク・システム10は、WWWページなどの資源提供サービスを要求するWWWクライアント100と、サービス提供を行う複数のWWWサーバ201,202,…と、WWWクライアント100とWWWサーバ201…間に介在する中継サーバ300とで構成される。但し、WWWクライアント100とWWWサーバ201…は、第1の実施形態と略同一の構成でよいので、以下では説明を省略する。
【0104】
中継サーバ300は、HTTP中継サーバとして稼動し、”proxyhost”というドメイン名若しくはホスト名を所有するものとする。中継サーバ300は、WWWクライアント100からの資源オブジェクト要求をHTTPリクエスト形式のメッセージとして受け取ると、処理プログラム301を起動する。この処理プログラム301は、複数のWWWページを入力として加工を施し、クライアントの要求に合致したWWWページを動的に生成するためのプログラムである。
【0105】
また、中継サーバ300は、WWWサーバ201…から発行される認証要求を中継するために、WWWサーバから認証を要求されたことに応答してWWWクライアントに対する認証要求を新たに生成する認証要求生成部310と、認証要求データベース320とを備えている。
【0106】
本実施形態に係る中継サーバ300は、複数のWWWクライアント100…間で共有することを前提とする。このため、ユーザを識別して認証要求データベース320を利用する必要がある。図示の例では、HTTPS/*/を利用したクライアント認証を行うこととする。すなわち、中継サーバ300は、WWWクライアントが接続されたときにHTTPS認証を行い、取得したユーザ識別子を内部的に保持する。中継サーバ300は、このユーザ識別子を用いて、各クライアント・ユーザ毎に認証要求データベース320を使い分けることができる。
【0107】
また、本実施形態に係る認証要求データベース320では、各エントリは、元の認証要求と、新たに生成された認証要求を保管する以外に、認証要求に対応する認証情報の各々を書き込むフィールドを含んでいる。認証情報フィールドには、最初のユーザ入力によって得られた認証情報が書き込まれる。
【0108】
中継サーバ300は、ユーザ識別子と認証要求が一致するような認証情報が保持されていると、WWWクライアントに対して認証要求を送出することなく、既にデータベース登録されている認証情報を認証要求元のWWWサーバに送信する。この結果、通信負荷やクライアント・ユーザの処理負荷が軽減される。その後、WWWサーバが認証失敗を通知した場合(例えば認証が消滅した場合)には、改めてWWWクライアントに対して認証要求を送信すればよい。
【0109】
なお、認証要求データベース320に登録された認証情報を、登録後所定時間経過後、あるいは最後に利用してから所定期間経過後に自動的に消去することによって、認証情報の漏洩を防止したり、古い(すなわち無効化された)認証情報を廃棄することができる。
【0110】
図6には、WWWクライアントが再度同じHTTPリクエストを送信した場合における、ネットワーク・システム10上での動作手順をチャート上で図解している。WWWサーバから最初に認証要求が発行されたときの動作手順は図4で示した場合と略同一なので、ここでは説明を省略する。以下、このチャートについて時系列に従って説明する。
【0111】
中継サーバ300は、WWWクライアント100が接続した時点で、HTTPSによるクライアント認証を行い、そのユーザ識別子を保持しているものとする。
【0112】
WWWクライアント100のユーザは、WWWブラウザ画面上でURLを指示することで、資源オブジェクトの提供を要求する(T51)。WWWクライアント100は、この要求をHTTPリクエストという形式で中継サーバ300に送出する(T52)。
【0113】
中継サーバ300は、WWWサーバ201,202,203の各々に対してHTTPリクエストを送信して(T53,T54,T55)、WWWページ221,222,223を要求する。
【0114】
要求されたWWWページ221及びWWWページ222はそれぞれ保護ドメイン211,212内にあるので、WWWサーバ201とWWW202は、HTTPレスポンスとして認証要求を返す(T56,T57)。また、WWWページ223はオープンなドメインにあるので、WWWサーバ203は、HTTPレスポンスとしてWWWページ223を返す(T58)。
【0115】
中継サーバ300は、受信した認証要求T56及びT57とは、ユーザ識別子と認証要求が一致する認証情報を既に登録している。したがって、中継サーバ300は、WWWクライアント100に対して認証要求を送出することなく、それぞれの認証要求T36及びT37に関連付けられている各認証情報を認証要求データベース320から取り出して、これら認証情報を含むHTTPリクエスト(T59,T60)をWWWサーバ201及び202の各々に送信する。この結果、通信負荷やクライアント・ユーザの処理負荷が軽減される。
【0116】
WWWサーバ201及び202の各々は、認証情報の受信に応答して、WWWページ221及びWWWページ222をHTTPレスポンスとして返す(T61,T62)。
【0117】
中継サーバ300は、上述のようにして取得したWWWページ221,222,223を入力として、新たなWWWページを動的に生成して、これをWWWクライアント100に送信する(T63)。このWWWページはWWWブラウザにおいて解析され、WWWページ画面として表示され、ユーザの閲覧に供される(T64)。
【0118】
本実施形態に係る中継サーバは、複数のWWWサーバに対するHTTPリクエストを中継するとともにHTTPレスポンスを加工するタイプのHTTP中継サーバである。この中継サーバ上に保持された認証情報を利用することで、認証を要求するWWWサーバに対して好適にレスポンスすることができ、WWWクライアントを使用するユーザは、複数のWWWサーバが所有する資源オブジェクトを円滑に利用することができる。
【0119】
また、資源提供サービスの利用に先立つ明示的な認証情報の登録や、パスワードが変更された場合の明示的な再登録なしに、認証情報のユーザ入力を省略することができる。
【0120】
次に、本発明の第3の実施形態について説明する。該実施形態では、WWWクライアント100からのHTTPリクエストを処理するために、2以上の中継サーバが介在するという点で、上記の第1及び第2の実施形態とは相違する。
【0121】
図7には、本発明の第3の実施形態に係るネットワーク・システム10の構成を模式的に示している。同図に示すように、該ネットワーク・システム10は、WWWページなどの資源提供サービスを要求するWWWクライアント100と、サービス提供を行う複数のWWWサーバ201,202,…と、WWWクライアント100とWWWサーバ201…間に介在する2基の中継サーバ300及び400とで構成される。
【0122】
WWWクライアント100とWWWサーバ201…は、第1の実施形態と略同一の構成でよいので、以下では説明を省略する。
【0123】
また、中継サーバ300及び400の各々は、図1に示した第1の実施形態に係る中継サーバ300と略同一構成でよい。あるいは、中継サーバ300及び400の各々は、図5に示した第2の実施形態に係る中継サーバ300と略同一構成であってもよい。
【0124】
図7に示す例では、中継サーバ400は、WWWクライアント100のHTTPリクエストに関して、中継サーバ300の下流に位置付けられる。この中継サーバ400は、単にHTTPリクエストを中継するだけでなく、上流側の中継サーバ300における処理プログラム301に対する入力の1つとなるWWWページ421を提供してもよい。また、このWWWページ421が保護ドメイン411内に存在し、HTTPリクエストに対して中継サーバ400が認証を要求してもよい。
【0125】
図7に示すようなネットワーク構成の場合、WWWクライアント100は、中継サーバ300にHTTPリクエストを送信する。中継サーバ300は、さらに中継サーバ400、及び/又は、他のWWWサーバ251,252…に対してHTTPリクエストを送信する。
【0126】
中継サーバ400では、WWWサーバ201及び202からはHTTPレスポンスとして認証要求を送信するとともに、WWWサーバ203からはHTTPレスポンスとしてWWWページ223を送信する(同上)。
【0127】
中継サーバ400が起動する処理プログラム401は、各WWWページ221,222,223を入力として加工し、その処理結果として出力されるWWWページ450を中継サーバ300に返す。また、中継サーバ400は、中継サーバ300からのHTTPリクエストに対するレスポンスとして、ローカルに所有するWWWページ421を返してもよい。WWWページ421を引き渡す際に、WWWクライアント100に対する認証を要求してもよい。
【0128】
中継サーバ300が起動する処理プログラム301は、中継サーバ400から返されたWWWページ451及び/又はWWWページ421、及び/又は、他のWWWサーバ251,252,…から返される各WWWページを入力として処理を実行し、その処理結果として出力されるWWWページ350をWWWクライアント100に返す。
【0129】
上述したように動作手順に従って、2つの中継サーバ300,400が段階的な中継動作を行いつつ、WWWページに対して2段階の処理の適用を実現することができる。また、多段階処理の適用に際して要求される認証を円滑に処理することができる。
【0130】
次に、本発明の第4の実施形態について説明する。該実施形態では、中継サーバが認証手続き変換部360を具備するという点で、上述した各実施形態と相違する。
【0131】
図8には、本発明の第4の実施形態に係るネットワーク・システム10の構成を模式的に示している。同図に示すように、該ネットワーク・システム10は、WWWページなどの資源提供サービスを要求するWWWクライアント100と、サービス提供を行う複数のWWWサーバ201,202,…と、WWWクライアント100とWWWサーバ201…間に介在する中継サーバ300とで構成される。
【0132】
WWWクライアント100とWWWサーバ201…は、第1の実施形態と略同一の構成でよい。但し、WWWクライアント100上で稼動するWWWブラウザは標準的なソフトウェア製品であり、HTTP Basic認証しかサポートしていない。これに対して、WWWサーバ201…のうちの少なくとも1つはHTTP Basic認証以外の認証手続き、例えばHTTP Digest認証による認証手続きを要求する。
【0133】
また、本実施形態に係る中継サーバ300は、図1に示した第1の実施形態に係る中継サーバ300、あるいは、図5に示した第2の実施形態に係る中継サーバ300とは、基本的には略同一構成であってもよい。すなわち、中継サーバ300は、HTTP中継サーバとして稼動し、”proxyhost”というドメイン名若しくはホスト名を所有するものとする。中継サーバ300は、WWWクライアント100からの資源オブジェクト要求をHTTPリクエスト形式のメッセージとして受け取ると、処理プログラム301を起動する。この処理プログラム301は、複数のWWWページを入力として加工を行い、クライアントの要求に合致したWWWページを動的に生成するプログラムである。
【0134】
本実施形態に係る中継サーバ300は、さらに認証手続き変換部360を備える。この認証手続き変換部360は、HTTP Digest認証などのWWWブラウザがサポートしない認証手続きを、WWWブラウザが対応可能なHTTPBasic認証手続きに変換する機能を有する。
【0135】
この結果、中継サーバ300は、既存のWWWブラウザを用いたWWWクライアントがいかなるWWWサーバに対するHTTPリクエストを要求する場合であっても、認証に必要な情報を円滑にクライアント−サーバ間で伝達することができ、上記[従来の技術]の欄で指摘した技術的課題を解決することができる。
【0136】
《注釈》
*:HTTPSは、SSL(Secure Socket Layer)を用いて暗号化通信するHTTPプロトコルのことを指す。なお、SSLに関しては、例えば米国特許第5,825,890号明細書に開示されている。
【0137】
《追補》
以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。
【0138】
【発明の効果】
以上詳記したように、本発明によれば、ネットワーク上で複数のサーバによって提供される複数の資源オブジェクトに対するクライアントのアクセス要求を好適に中継することができる、優れたアクセス中継装置及び方法を提供することができる。
【0139】
また、本発明によれば、複数のサーバ間での連携的な動作によって生成される資源オブジェクトに対するクライアントのアクセス要求を好適に中継することができる、優れたアクセス中継装置及び方法を提供することができる。
【0140】
また、本発明によれば、資源オブジェクトを提供するサーバの少なくとも1つが要求する認証手続きを好適に管理することができる、優れたアクセス中継装置及び方法を提供することができる。
【0141】
本発明をインターネットのような広域ネットワークに適用するためには、WWWクライアントは一般に普及しているWWWブラウザを搭載しているだけで充分であり、また、WWWサーバは通常のWWWサーバ用アプリケーションを搭載したマシンでよい。言い換えれば、中継サーバを配設するだけで、既存のネットワーク上の各資源提供サービスに対して本発明を適用することができる。
【0142】
また、本発明に係る中継サーバは、中継サーバのホスト名が明記されたURL文字列の中から中継すべきWWWサーバ名を取り出すようになっている。これは、HTTPプロトコルで規定されている中継用メソッド”CONNECT”を用いるとともに、例えばHTTPヘッダなどURL以外の情報として中継すべきWWWサーバ名を伝達することで、実現することができる。
【0143】
本発明に係る中継サーバは、複数のWWWサーバに対するHTTPリクエストを中継するとともにHTTPレスポンスを加工するタイプのHTTP中継サーバである。この中継サーバによれば、WWWクライアント・ユーザの認証を要求する各WWWサーバに対してそれぞれ1回の認証情報のユーザ入力のみを必要とし、同じHTTPリクエストを再度行うときにはユーザ入力を求めることなく、各WWWサーバのHTTPレスポンスを加工することができる。
【0144】
また、本発明に係る中継サーバは、広域ネットワーク上で提供される各種サービスの出力を、サーバとクライアントの間を中継する間に加工するような場合に好適に適用することができる。すなわち、加工対象となるサービスのうちの1つが認証を要求する場合であっても、認証に必要な情報を円滑にクライアント−サーバ間で伝達することができる。
【0145】
本発明に係る中継サーバは、さらに一度使用された認証情報を保持してもよい。この場合、中継サーバ上に保持された認証情報を利用することで、認証を要求するWWWサーバに対して好適にレスポンスすることができ、WWWクライアントを使用するユーザは、複数のWWWサーバが所有する資源オブジェクトを円滑に利用することができる。この結果、認証手続きのために要求される通信負荷やクライアント・ユーザの処理負荷が軽減される。また、資源提供サービスの利用に先立つ明示的な認証情報の登録や、パスワードが変更された場合の明示的な再登録になしに、認証情報のユーザ入力を省略することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係るネットワーク・システム10の構成を模式的に示した図である。
【図2】本発明の第1の実施形態に係るネットワーク・システム10の動作特性を説明する図である。
【図3】本発明の第1の実施形態に係るネットワーク・システム10上における、WWWクライアント100がWWWページを要求し取得するための一連の処理手順を図解したチャートである。
【図4】本発明の第1の実施形態に係るネットワーク・システム10上における、WWWクライアント100がWWWページを要求し取得するための一連の処理手順を図解したチャートであり、より具体的には、WWWクライアントが再度同じHTTPリクエストを送信した場合における動作を図解したものである。
【図5】本発明の第2の実施形態に係るネットワーク・システム10の構成を模式的に示した図である。
【図6】本発明の第2の実施形態に係るネットワーク・システム10上における、WWWクライアント100がWWWページを要求し取得するための一連の処理手順を図解したチャートであり、より具体的には、WWWクライアントが再度同じHTTPリクエストを送信した場合における動作を図解したものである。
【図7】本発明の第3の実施形態に係るネットワーク・システム10の構成を模式的に示した図である。
【図8】本発明の第4の実施形態に係るネットワーク・システム10の構成を模式的に示した図である。
【符号の説明】
10…ネットワーク・システム
100…WWWクライアント
110…認証情報入力部
201,202,203…WWWサーバ
211,212…保護ドメイン
221,222,223…WWWページ
300,400…中継サーバ
301,401…処理プログラム
310,410…認証要求生成部
320,420…認証要求データベース[0001]
BACKGROUND OF THE INVENTION
The present invention provides resource access on a resource space where countless resource objects are provided. relay Access relay The present invention relates to an apparatus and method, and in particular, requests for client access to a plurality of resource objects provided by a plurality of servers on a network. relay Access to relay The present invention relates to an apparatus and a method.
[0002]
More specifically, the present invention relates to a client access request for a resource object generated by a cooperative operation among a plurality of servers. relay Access to relay In particular, an authentication procedure required by at least one of servers providing a resource object is preferably used. relay Can access relay The present invention relates to an apparatus and a method.
[0003]
[Prior art]
In recent years, technology development relating to “network computing” in which computer systems are interconnected by a network has been actively conducted. The significance of connecting computers to a network is sharing each other's computer resources and distributing and sharing information.
[0004]
As a communication medium for connecting computers, LAN (Local Area Network) laid in a limited space such as the premises of companies and research institutes, WAN (Wide Area Network) in which LANs are interconnected by a dedicated line, etc. There are various. Recently, the “Internet”, a huge network covering the whole world, has been actively used.
[0005]
The “Internet” is a network based on ARPANET (Advanced Research Projects Agency Network) established by the US Department of Defense, but later included in NSSFNET (National Science Foundation Network) of the National Science Foundation. (UNIX workstations) have voluntarily repeated interconnections, and as a result, have grown into a global network.
[0006]
Servers on the Internet are usually connected by TCP / IP (Transmission Control Protocol / Internet Protocol). Further, various resource objects scattered on the Internet are specified by a reference (or also referred to as “name”) in the form of URL (Uniform Resource Locator). The URL is composed of a combination of character strings for specifying the name of the resource and its location in a resource space such as a network, and a scheme name (protocol name): // host name (domain name): port number / It is described in the format of “path name (file name)”. The URL is described in, for example, RFC (Request For Comments) 1738 and RFC1808.
[0007]
WWW (World Wide Web), which is a typical application on the Internet, is a distributed information retrieval system that provides resource objects with a hyperlink structure over a wide area on the Internet. Resource objects provided on the WWW resource space are mainly hypertext documents described in a markup format language such as HTML (Hyper Text Markup Language). HTML is described in RFC1866, for example. Each resource object in the HTML format also has the above-described URL format reference.
[0008]
“Hypertext” such as HTML handles the characters, pictures, tables, etc. that make up a file as objects such as cards, and links them to each other, that is, forms a link so that they can be referenced immediately. Have (well-known). For example, a plurality of pieces of link information to other resource objects are embedded in HTML contents, that is, WWW pages existing in the WWW resource space. Each link information embedded in the HTML document is also a reference described in the URL format described above.
[0009]
The WWW resource space is composed of an infinite number of WWW servers and WWW clients distributed all over the world. Resource access is normally performed between a WWW server and a WWW client according to an HTTP (Hyper Text Transfer Protocol) protocol. The HTTP protocol is described in, for example, RFC1945 and RFC2068.
[0010]
The WWW server is usually a computer system that operates using an application dedicated to the WWW server. The WWW server owns a plurality of resource objects composed of hypertext described in the HTML format, and provides a resource providing service to the WWW client. The information provider can achieve providing information to the WWW client by describing the information to be provided in the HTML format, storing it in the WWW server as a resource object, and publishing it to the WWW client on the Internet. it can.
[0011]
On the other hand, a WWW client that requests a resource object on the WWW resource space is a computer that normally operates using an application called a “WWW browser”.
[0012]
The WWW browser is a kind of user agent that takes out the resource object, and is embodied in the form of a “browser window” on the desktop screen of the client machine. The WWW browser searches for a corresponding resource object, that is, an HTML document, in the hyperlink WWW resource space according to the URL keyed in the location box on the browser window screen, and downloads the resource object. The content of the acquired HTML document is used as page display information for assembling a WWW page (homepage) screen. That is, the WWW browser analyzes the HTML document and displays the page screen on the browser window screen.
[0013]
In general, on the WWW page display screen, display objects related to link information to other resource objects are displayed as “anchors” as hot spots, and the user intuitively knows where the link information is scattered on the page display screen. Can be detected automatically. The actual state of the link information pasted on the page display screen is a reference to each link destination resource object, and is also described in the URL format. The user can specify the linked resource object to be accessed next by an intuitive operation of clicking an anchor of interest with the mouse on the home page screen. In response to the click operation of the anchor, the WWW browser searches the resource space for the resource object corresponding to the URL embedded in the anchor, and realizes access to the link destination. In short, the user can search on the WWW resource space developed on a global scale by simply performing an intuitive operation with a mouse click.
[0014]
By the way, the services provided by the WWW server have been diversified, and have become more sophisticated and sophisticated. For resource providing services with high economic value, an account, that is, a user qualification is charged. It is often granted. In such a case, it is necessary to perform an authentication procedure between the WWW server and the client in order to distinguish between a regular account and an unauthorized (or invalid) account. In addition, WWW resource providing services are increasing more and more when authentication procedures are required for various purposes such as customization of personal information and usage statistics.
[0015]
However, the authentication procedure is performed independently for each resource providing service, that is, for each WWW server. For this reason, when the WWW client / user enjoys various services, it is necessary to perform a number of authentication procedures in proportion to the service, that is, user input of authentication information. Since authentication information is generally composed of character information such as a password and a user ID, it must rely on keyboard input, and the burden on the user is excessive.
[0016]
In order to deal with such problems, authentication information to be input when using the service is stored in advance, and the authentication information is automatically transmitted when using the service, thereby reducing the burden on the user. Several devices and methods for accumulating and transmitting such authentication information have already been proposed.
[0017]
For example, Japanese Patent Laid-Open No. 11-120238 discloses that personal information of each user is registered in advance in a server that relays a request from a user terminal. That is, when a user terminal accesses a service providing apparatus via a wide area network and the service providing apparatus requests input of personal information of the user, the server reads out the personal information and transfers it to the service providing apparatus. Thus, the user is not required to input personal information.
[0018]
Japanese Patent Laid-Open No. 9-134389 discloses that personal information is registered in advance in the user terminal device itself. That is, when it is necessary to input personal information when accessing the information providing service, it is possible to reduce the burden on the user and prevent input errors by sending the registered personal information. it can.
[0019]
According to the technology described in each of the above publications, information necessary for authentication is recorded in advance and automatically transmitted when using the service, thereby reducing the burden on the user. However, recording authentication information in advance means exposing information important to the user to the risk of leakage. Further, when the password as the authentication information is changed, it is necessary to re-register, and the user is troublesome.
[0020]
Recently, services provided on the WWW resource space have also been diversified. In other words, the WWW server originally simply sent back the WWW page prepared in advance, but the WWW client requested the WWW client to perform processing and processing based on a plurality of WWW pages in cooperation with one or more servers. Service forms that dynamically generate and send back WWW pages are increasing.
[0021]
For example, one server can add value to a WWW page by relaying a service output between a WWW server and a client and performing predetermined processing on the provided service during that time. Such a form of resource providing service can be realized using, for example, an HTTP relay server program called “DeleGate”. For “DeleGate”, for example, refer to Yutaka Sato “Multipurpose Protocol Relay System DelGate” (Electronics Research Institute Vocabulary, Vol. 59, No. 6 (1995)).
[0022]
Further, in Japanese Patent No. 2746218 already assigned to the present applicant, processing is performed based on a plurality of inputs, and the processing result is input to another processing, so that requests from users can be increased. A resource management apparatus and a resource management method that can be processed in stages are disclosed.
[0023]
However, when using a mechanism for generating WWW pages in multiple stages by cooperation of multiple WWW servers as described above, authentication is requested from the WWW server that provides the WWW page to be processed. Even if something is included, the relay server does not have a mechanism for inputting information necessary for authentication or transmitting the authentication information to the WWW server. In short, if at least one of the WWW servers that perform WWW page generation processing dynamically and dynamically requires authentication information, the WWW page requested by the user is not completed.
[0024]
[Problems to be solved by the invention]
It is an object of the present invention to suitably satisfy a client access request for a plurality of resource objects provided by a plurality of servers on a network. relay Can be, excellent access relay It is to provide an apparatus and method.
[0025]
It is a further object of the present invention to suitably satisfy a client access request for a resource object that is dynamically and multistagely generated by a cooperative operation among a plurality of servers. relay Can be, excellent access relay It is to provide an apparatus and method.
[0026]
It is a further object of the present invention to suitably provide an authentication procedure required by at least one of the servers that provide the resource object. relay Can be, excellent access relay It is to provide an apparatus and method.
[0027]
[Means and Actions for Solving the Problems]
The present invention has been made in consideration of the above problems, and the first aspect thereof is Interposed between one or more servers and clients that provide hypertext documents specified by a URL (Uniform Resource Locator), client From hypertext to Access request relay Access relay A device,
client To hypertext documents from Relay access request to server To hypertext documents An access request means for transmitting an access request;
To hypertext documents An authentication request generating means for generating a new authentication request based on the authentication request and transmitting it to the client when the server requests the client to authenticate the access request;
An authentication request storing means for storing the authentication request generated by the authentication request generating means in association with the original authentication request received from the server;
Access characterized by comprising relay Device.
[0028]
This form of access relay By interposing the apparatus between the server and the client, an authentication procedure necessary for accessing the server resources is smoothly executed. In particular, even when accessing a plurality of resource objects requiring authentication, information necessary for authentication can be suitably transmitted between the server and the client.
[0029]
Also access relay In applying the apparatus to the resource providing space, there is no need to modify or change the configuration or operation procedure of the server or client. For example, when the resource providing space is a WWW resource providing space constructed on a wide area network such as the Internet, the existing WWW server and WWW client (ie, simply deploying this resource access management device as a relay server) An authentication procedure between WWW browsers) can be performed smoothly.
[0030]
For example, even if a WWW page requested by a WWW client is generated by processing a WWW page of a plurality of WWW servers by using a remote procedure call such as CGI (Common Gateway Interface), the WWW server There is no problem that the requested WWW page is not completed because one of them requires authentication.
[0031]
Access according to the first aspect of the present invention relay When a new authentication request associated with the authentication request received from the server is already stored in the authentication request storage unit, the apparatus may extract the new authentication request and send it to the client. As a result, by reusing the newly generated authentication request, the processing load on the resource access management device is reduced and the processing time is shortened.
[0032]
Also, access according to the first aspect of the present invention relay The device further received from the server Hypertext document To process Hypertext document Processing means may be included. The access relay The relay server on which the device is mounted has a mechanism for inputting information necessary for authentication and transmitting the authentication information to the WWW server. Therefore, even if at least one of the WWW servers that perform WWW page generation processing in a multistage and dynamic manner requests authentication information, the WWW page requested by the user can be processed.
[0033]
The second aspect of the present invention is An access relay device constructed using a computer is interposed between one or more server servers and clients that provide a hypertext document specified by a URL, and client To hypertext documents from Access request relay Access relay A method,
(A) The access request means included in the computer includes: client To hypertext documents from Relay access request to server To hypertext documents Sending an access request;
(B) An authentication request generation means provided in the computer is provided for converting the hypertext document. When the server requests authentication of the client in response to the access request, generating a new authentication request based on the authentication request and sending it to the client;
(C) Authentication request storage means provided in the computer, Storing the authentication request generated in step (b) in association with the original authentication request received from the server;
Access characterized by comprising relay Is the method.
[0034]
This form of access relay By performing the method, the authentication procedure required to access the server resources is facilitated. In particular, even when accessing a plurality of resource objects requiring authentication, information necessary for authentication can be suitably transmitted between the server and the client.
[0035]
The access relay In realizing the method in the resource providing space, there is no need to modify or change the configuration or operation procedure of the server or client. For example, when the resource providing space is a WWW resource providing space constructed on a wide area network such as the Internet, the existing WWW server and WWW client (ie, simply deploying this resource access management device as a relay server) An authentication procedure between WWW browsers) can be performed smoothly.
[0036]
For example, even if a WWW page requested by a WWW client is generated by processing a WWW page of a plurality of WWW servers by using a remote procedure call such as CGI (Common Gateway Interface), the WWW server There is no problem that the requested WWW page is not completed because one of them requires authentication.
[0037]
Access according to the second aspect of the present invention relay In the method, when a new authentication request associated with the authentication request received from the server is already stored in the step (c), the stored authentication request may be extracted and used. . As a result, by reusing the newly generated authentication request, the processing load for executing the resource access management method is reduced and the processing time is shortened.
[0038]
The access relay The method is further
(D) Receiving means provided in the computer, From the server Hypertext document Receiving the step,
(E) The hypertext document processing means provided in the computer comprises: Received in step (d) Hypertext document Processing steps,
May be included.
[0039]
Access according to the second aspect of the present invention relay According to the method, information necessary for authentication can be input and authentication information can be suitably transmitted between the server and the client. Therefore, even if at least one of the WWW servers that perform WWW page generation processing in a multistage and dynamic manner requests authentication information, the WWW page requested by the user can be processed.
[0040]
The third aspect of the present invention is Intervening between one or more servers and clients providing a hypertext document identified by a URL; client From hypertext to Access request relay Access relay A device,
User authentication means for authenticating the user identifier of the client;
client To hypertext documents from Relay access request to server To hypertext documents An access request means for transmitting an access request;
To hypertext documents An authentication request generating means for generating a new authentication request based on the authentication request and transmitting it to the client when the server requests the client to authenticate the access request;
Authentication request storage means for storing authentication information returned from the client in response to the authentication request in association with the authentication request and the user identifier of the client;
Access characterized by comprising relay Device.
[0041]
Access according to the third aspect of the present invention relay The device further received from the server Hypertext document To process Hypertext document Processing means may be included.
[0042]
This form of access relay By interposing the apparatus between the server and the client, an authentication procedure necessary for accessing the server resources is smoothly executed. In particular, even when accessing a plurality of resource objects requiring authentication, information necessary for authentication can be suitably transmitted between the server and the client.
[0043]
Access according to the third aspect of the present invention relay The difference between the apparatus and the first aspect is that the former performs user authentication of the client and stores the authentication request in association with the user identifier. Also, since user authentication is performed between the client and the relay server, the authentication information received from the client is accessed. relay It can be stored on the device from the viewpoint of security. Therefore, even if the server requests authentication when the client requests access to the same resource object again, the access relay The authentication procedure is completed at the device. That is, since it is not necessary for the client to send authentication information again, the communication load is reduced, and the authentication procedure is smoothly and simplified.
[0044]
The fourth aspect of the present invention is An access relay device constructed using a computer is interposed between one or more servers and clients that provide a hypertext document specified by a URL. client To hypertext documents from Access request relay Access relay A method,
(A) User authentication means included in the computer, Authenticating a client user identifier;
(B) The access request means included in the computer includes: Client To hypertext documents Relay access request to server To hypertext documents Sending an access request;
(C) An authentication request generation means provided in the computer is provided for converting the hypertext document. Generating a new authentication request based on the authentication request when the server requests client authentication for the access request;
(D) Authentication request storage means provided in the computer, Storing authentication information returned from the client in response to the authentication request in association with the authentication request and the user identifier of the client;
Access characterized by comprising relay Is the method.
[0045]
Access according to the fourth aspect of the present invention relay The method is further
(E) Receiving means provided in the computer, From the server Hypertext document Receiving the step,
(F) The hypertext document processing means provided in the computer comprises: Received in step (e) Hypertext document Processing steps,
May be included.
[0046]
This form of access relay By performing the method, the authentication procedure required to access the server resources is facilitated. In particular, even when accessing a plurality of resource objects requiring authentication, information necessary for authentication can be suitably transmitted between the server and the client.
[0047]
Access according to the fourth aspect of the present invention relay The difference between the method and the second aspect is that the former performs user authentication of the client and stores the authentication request in association with the user identifier. In addition, since user authentication is performed between the client and the relay server, authentication information received from the client can be stored on behalf of the user from the viewpoint of security. Therefore, when the client requests access to the same resource object again, even if the server requests authentication, the client does not need to send authentication information again, reducing the communication load. The authentication procedure is smooth and simplified.
[0048]
Other objects, features, and advantages of the present invention will become apparent from a more detailed description based on embodiments of the present invention described later and the accompanying drawings.
[0049]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0050]
FIG. 1 schematically shows the configuration of a network system 10 according to the first embodiment of the present invention. The network system 10 is a system in which a large number of computers are connected via TCP / IP (Transmission Control Protocol / Internet Protocol) via a wide area network such as the “Internet”, for example, according to the HTTP protocol (Hyper Text Transfer Protocol). It is assumed that a WWW (World Wide Web) resource space in which resource objects are provided is constructed.
[0051]
As shown in FIG. 1, the network system 10 includes a
[0052]
The
[0053]
The WWW browser includes an authentication
[0054]
The
[0055]
In this embodiment, each WWW server indicated by
[0056]
The
[0057]
The
[0058]
The entity of the
[0059]
Although illustration is omitted in FIG. 1, the
[0060]
Next, the processing procedure of the
[0061]
First, the user of the
[0062]
More specifically, the request handled in this embodiment is a WWW processed by using the resource object of each of the plurality of
[0063]
[Expression 1]
[0064]
The
[0065]
As described above, each of the
[0066]
The relay server determines whether there is a request for HTTP Basic authentication among the WWW servers that have transmitted the HTTP request. If there is an authentication request, the authentication request generator 310 is activated and operates as follows.
[0067]
The authentication request is specified by an identifier composed of a combination of a server name, a port name, and a protection domain. For example, when the
[0068]
[Expression 2]
[0069]
This authentication request is given a unique identifier of <wwwhost1,80, domain1> and is recorded in the authentication request database 320.
[0070]
Further, the authentication request generator 310 generates a new authentication request associated with the original authentication request and stores it in the authentication request database 320. The new authentication request is preferably generated in a form that can identify the original authentication request. In this embodiment, in response to an authentication request that can be specified by <wwwhost1,80, domain1>, a new authentication request of <proxyhost, 80, domain1 @ wwwhost1: 80> is generated and stored in association with each other.
[0071]
When the
[0072]
Then, the
[0073]
The WWW browser opens a dialog box as an authentication information input window for the
[0074]
When the user inputs a regular user name and password registered in the
[0075]
[Equation 3]
[0076]
On the
[0077]
In addition, standard WWW browsers such as Netscape Navigator of Netscape Communications Inc. in the United States have a function to hold authentication information input by the user in a volatile manner when performing an authentication procedure using HTTP Basic authentication. Yes. Volatile means that the authentication information recorded when the WWW browser is terminated or the WWW client machine is stopped is lost. For this reason, authentication information may be held in a nonvolatile manner in a local disk or the like.
[0078]
When receiving the authentication information from the
[0079]
The
[0080]
On the other hand, when the authentication process fails in the
[0081]
When the
[0082]
FIG. 3 illustrates an operation procedure on the network system 10 for obtaining the WWW page by the
[0083]
The user of the
[0084]
The
[0085]
Since the requested
[0086]
The
[0087]
Similarly, the
[0088]
The
[0089]
The processing program 301 of the
[0090]
FIG. 4 illustrates an operation procedure on the network system 10 on the chart when the WWW client transmits the same HTTP request again. Hereinafter, this chart will be described in time series.
[0091]
The user of the
[0092]
The
[0093]
Since the requested
[0094]
The authentication requests T36 and T37 received by the
[0095]
In the
[0096]
The
[0097]
The processing program of the
[0098]
In the above-described embodiment of the present invention, it is sufficient that the WWW client is equipped with a WWW browser that is generally popular, and the WWW server may be a machine equipped with a normal WWW server application. In other words, it should be fully understood that the present invention can be applied to each resource providing service on an existing network only by providing the
[0099]
Further, as is clear from the above description, the
[0100]
The relay server according to the present embodiment is a type of HTTP relay server that relays HTTP requests to a plurality of WWW servers and processes an HTTP response. According to this relay server, only one user input of authentication information is required for each WWW server that requests authentication of a WWW client user, and when performing the same HTTP request again, no user input is required. It should also be understood that the HTTP response of each WWW server can be processed.
[0101]
In addition, the relay server according to the present embodiment can be suitably applied to the case where the output of various services provided on the wide area network is processed while relaying between the server and the client. That is, even when one of the services to be processed requests authentication, information necessary for authentication can be smoothly transmitted between the client and the server. It can solve the technical problems pointed out.
[0102]
Next, a second embodiment of the present invention will be described. In this embodiment, the relay server is different from the first embodiment described above in that authentication information once input by the user can be held.
[0103]
FIG. 5 schematically shows the configuration of the network system 10 according to the second embodiment of the present invention. As shown in the figure, the network system 10 includes a
[0104]
The
[0105]
In addition, the
[0106]
The
[0107]
In the authentication request database 320 according to the present embodiment, each entry includes a field for writing each of authentication information corresponding to the authentication request, in addition to storing the original authentication request and the newly generated authentication request. It is out. In the authentication information field, authentication information obtained by the first user input is written.
[0108]
When the authentication information that matches the user identifier and the authentication request is held, the
[0109]
The authentication information registered in the authentication request database 320 is automatically deleted after a lapse of a predetermined time after registration or after a lapse of a predetermined period after the last use, thereby preventing leakage of authentication information or Authentication information (ie, revoked) can be discarded.
[0110]
FIG. 6 illustrates an operation procedure on the network system 10 when the WWW client transmits the same HTTP request again on the chart. Since the operation procedure when the authentication request is first issued from the WWW server is substantially the same as that shown in FIG. 4, the description is omitted here. Hereinafter, this chart will be described in time series.
[0111]
The
[0112]
The user of the
[0113]
The
[0114]
Since the requested
[0115]
The
[0116]
In response to receiving the authentication information, each of the
[0117]
The
[0118]
The relay server according to the present embodiment is a type of HTTP relay server that relays HTTP requests to a plurality of WWW servers and processes an HTTP response. By using the authentication information held on this relay server, it is possible to respond favorably to the WWW server requesting authentication, and the user who uses the WWW client is a resource object owned by a plurality of WWW servers. Can be used smoothly.
[0119]
In addition, user input of authentication information can be omitted without explicit registration of authentication information prior to use of the resource providing service or explicit re-registration when the password is changed.
[0120]
Next, a third embodiment of the present invention will be described. This embodiment is different from the above first and second embodiments in that two or more relay servers are interposed to process an HTTP request from the
[0121]
FIG. 7 schematically shows the configuration of the network system 10 according to the third embodiment of the present invention. As shown in the figure, the network system 10 includes a
[0122]
Since the
[0123]
Each of the
[0124]
In the example illustrated in FIG. 7, the relay server 400 is positioned downstream of the
[0125]
In the case of a network configuration as shown in FIG. 7, the
[0126]
The relay server 400 transmits an authentication request as an HTTP response from the
[0127]
The processing program 401 activated by the relay server 400 processes each
[0128]
The processing program 301 activated by the
[0129]
As described above, it is possible to realize the application of the two-stage processing to the WWW page while the two
[0130]
Next, a fourth embodiment of the present invention will be described. This embodiment is different from the above-described embodiments in that the relay server includes an authentication procedure conversion unit 360.
[0131]
FIG. 8 schematically shows the configuration of the network system 10 according to the fourth embodiment of the present invention. As shown in the figure, the network system 10 includes a
[0132]
The
[0133]
The
[0134]
The
[0135]
As a result, the
[0136]
Annotation
*: HTTPS refers to the HTTP protocol that performs encrypted communication using SSL (Secure Socket Layer). SSL is disclosed in, for example, US Pat. No. 5,825,890.
[0137]
Addendum
The present invention has been described in detail above with reference to specific embodiments. However, it is obvious that those skilled in the art can make modifications and substitutions of the embodiments without departing from the gist of the present invention. In other words, the present invention has been disclosed in the form of exemplification, and should not be interpreted in a limited manner. In order to determine the gist of the present invention, the claims section described at the beginning should be considered.
[0138]
【The invention's effect】
As described above in detail, according to the present invention, client access requests to a plurality of resource objects provided by a plurality of servers on a network are preferably used. relay Can be, excellent access relay Apparatus and methods can be provided.
[0139]
In addition, according to the present invention, it is preferable to request a client access to a resource object generated by cooperative operation among a plurality of servers relay Can be, excellent access relay Apparatus and methods can be provided.
[0140]
In addition, according to the present invention, it is possible to suitably manage an authentication procedure requested by at least one of the servers that provide the resource object, which is excellent access relay Apparatus and methods can be provided.
[0141]
In order to apply the present invention to a wide area network such as the Internet, it is sufficient that the WWW client is equipped with a WWW browser which is generally popular, and the WWW server is equipped with an application for a normal WWW server. The machine that you did. In other words, the present invention can be applied to each resource providing service on an existing network only by providing a relay server.
[0142]
In addition, the relay server according to the present invention extracts the name of the WWW server to be relayed from the URL character string in which the host name of the relay server is specified. This can be realized by using the relay method “CONNECT” defined in the HTTP protocol and transmitting the name of the WWW server to be relayed as information other than the URL such as an HTTP header.
[0143]
The relay server according to the present invention is an HTTP relay server of a type that relays HTTP requests to a plurality of WWW servers and processes an HTTP response. According to this relay server, only one user input of authentication information is required for each WWW server that requests authentication of a WWW client user, and when performing the same HTTP request again, no user input is required. The HTTP response of each WWW server can be processed.
[0144]
In addition, the relay server according to the present invention can be suitably applied to the case where the output of various services provided on the wide area network is processed while relaying between the server and the client. That is, even when one of the services to be processed requests authentication, information necessary for authentication can be smoothly transmitted between the client and the server.
[0145]
The relay server according to the present invention may further hold authentication information that has been used once. In this case, by using the authentication information held on the relay server, it is possible to respond appropriately to the WWW server that requests authentication, and the users who use the WWW client are owned by a plurality of WWW servers. Resource objects can be used smoothly. As a result, the communication load required for the authentication procedure and the processing load on the client / user are reduced. In addition, user input of authentication information can be omitted without explicit registration of authentication information prior to use of the resource providing service or explicit re-registration when the password is changed.
[Brief description of the drawings]
FIG. 1 is a diagram schematically showing a configuration of a network system 10 according to a first embodiment of the present invention.
FIG. 2 is a diagram illustrating operating characteristics of the network system 10 according to the first embodiment of the present invention.
FIG. 3 is a chart illustrating a series of processing procedures for the
FIG. 4 is a chart illustrating a series of processing procedures for requesting and acquiring a WWW page by the
FIG. 5 is a diagram schematically showing a configuration of a network system 10 according to a second embodiment of the present invention.
FIG. 6 is a chart illustrating a series of processing procedures for a
FIG. 7 is a diagram schematically showing a configuration of a network system 10 according to a third embodiment of the present invention.
FIG. 8 is a diagram schematically showing a configuration of a network system 10 according to a fourth embodiment of the present invention.
[Explanation of symbols]
10 ... Network system
100 ... WWW client
110 ... Authentication information input part
201, 202, 203 ... WWW server
211, 212 ... protection domain
221, 222, 223 ... WWW page
300, 400 ... Relay server
301, 401 ... Processing program
310, 410 ... authentication request generator
320, 420 ... Authentication request database
Claims (10)
クライアントからのハイパーテキスト・ドキュメントへのアクセス要求を中継してサーバに対してハイパーテキスト・ドキュメントへのアクセス要求を送信するアクセス要求手段と、
ハイパーテキスト・ドキュメントへのアクセス要求に対してサーバがクライアントの認証を要求したときに、該認証要求を基に新しい認証要求を生成してクライアントに送信する認証要求生成手段と、
前記認証要求生成手段が生成した認証要求をサーバから受信した元の認証要求と関連付けて保存する認証要求保存手段と、
を具備することを特徴とするアクセス中継装置。An access relay device that is interposed between one or more servers that provide a hypertext document specified by a URL (Uniform Resource Locator) and a client and relays a hypertext access request from the client. ,
An access request means for relaying a hypertext document access request from a client and transmitting a hypertext document access request to a server;
An authentication request generating means for generating a new authentication request based on the authentication request and transmitting it to the client when the server requests the client to authenticate the hypertext document access request;
An authentication request storing means for storing the authentication request generated by the authentication request generating means in association with the original authentication request received from the server;
An access relay device comprising:
(a)前記コンピュータが備えるアクセス要求手段が、クライアントからのハイパーテキスト・ドキュメントへのアクセス要求を中継してサーバに対してハイパーテキスト・ドキュメントへのアクセス要求を送信するステップと、
(b)前記コンピュータが備える認証要求生成手段が、ハイパーテキスト・ドキュメントへのアクセス要求に対してサーバがクライアントの認証を要求したときに、該認証要求を基に新しい認証要求を生成してクライアントに送信するステップと、
(c)前記コンピュータが備える認証要求保存手段が、前記ステップ(b)において生成された認証要求をサーバから受信した元の認証要求と関連付けて保存するステップと、
を具備することを特徴とするアクセス中継方法。 An access relay apparatus constructed by using a computer intervenes between one or more server servers that provide a hypertext document specified by a URL and a client, and requests access to the hypertext document from the client. an access relay method for relaying,
(A) the computer access request means provided in, sending a request for access to hypertext documents by relaying an access request to the hypertext documents from the client to the server,
(B) When the server requests authentication of the client in response to the request for accessing the hypertext document, the authentication request generation means provided in the computer generates a new authentication request based on the authentication request and sends it to the client. Sending, and
(C) an authentication request storage means provided in the computer stores the authentication request generated in the step (b) in association with the original authentication request received from the server;
An access relay method comprising:
(d)前記コンピュータが備える受信手段が、サーバからハイパーテキスト・ドキュメントを受信するステップと、
(e)前記コンピュータが備えるハイパーテキスト・ドキュメント処理手段が、前記ステップ(d)において受信したハイパーテキスト・ドキュメントを加工するステップと、
を含むことを特徴とする請求項4又は5のいずれかに記載のアクセス中継方法。further,
(D) receiving means provided in the computer for receiving a hypertext document from a server;
(E) is a hypertext document processing unit included in the computer, the steps of processing the hypertext document received in step (d),
The access relay method according to claim 4, comprising:
クライアントのユーザ識別子を認証するユーザ認証手段と、
クライアントからのハイパーテキスト・ドキュメントへのアクセス要求を中継してサーバに対してハイパーテキスト・ドキュメントへのアクセス要求を送信するアクセス要求手段と、
ハイパーテキスト・ドキュメントへのアクセス要求に対してサーバがクライアントの認証を要求したときに、該認証要求を基に新しい認証要求を生成してクライアントに送信する認証要求生成手段と、
認証要求に対してクライアントから返信された認証情報を、該認証要求及び該クライアントのユーザ識別子と関連付けて保存する認証要求保存手段と、
を具備することを特徴とするアクセス中継装置。An access relay device that relays a hypertext access request from one or more servers and a client that provide a hypertext document specified by a URL ,
User authentication means for authenticating the user identifier of the client;
An access request means for relaying a hypertext document access request from a client and transmitting a hypertext document access request to a server;
An authentication request generating means for generating a new authentication request based on the authentication request and transmitting it to the client when the server requests the client to authenticate the hypertext document access request;
Authentication request storage means for storing authentication information returned from the client in response to the authentication request in association with the authentication request and the user identifier of the client;
An access relay device comprising:
(a)前記コンピュータが備えるユーザ認証手段が、クライアントのユーザ識別子を認証するステップと、
(b)前記コンピュータが備えるアクセス要求手段が、クライアントのハイパーテキスト・ドキュメントへのアクセス要求を中継してサーバに対してハイパーテキスト・ドキュメントへのアクセス要求を送信するステップと、
(c)前記コンピュータが備える認証要求生成手段が、ハイパーテキスト・ドキュメントへのアクセス要求に対してサーバがクライアントの認証を要求したときに、該認証要求を基に新しい認証要求を生成するステップと、
(d)前記コンピュータが備える認証要求保存手段が、認証要求に対してクライアントから返信された認証情報を、該認証要求及び該クライアントのユーザ識別子と関連付けて保存するステップと、
を具備することを特徴とするアクセス中継方法。 An access relay device constructed using a computer is interposed between one or more servers that provide a hypertext document specified by a URL and a client, and relays an access request to the hypertext document from the client. An access relay method,
(A) user authentication means provided in the computer authenticates a user identifier of the client;
(B) an access request means included in the computer relays the client 's access request to the hypertext document and transmits the hypertext document access request to the server;
(C) an authentication request generation means provided in the computer, when the server requests client authentication in response to a hypertext document access request, generates a new authentication request based on the authentication request;
(D) an authentication request storage means provided in the computer stores the authentication information returned from the client in response to the authentication request in association with the authentication request and the user identifier of the client;
An access relay method comprising:
(e)前記コンピュータが備える受信手段が、サーバからハイパーテキスト・ドキュメントを受信するステップと、
(f)前記コンピュータが備えるハイパーテキスト・ドキュメント処理手段が、前記ステップ(e)において受信したハイパーテキスト・ドキュメントを加工するステップと、
を含むことを特徴とする請求項9に記載のアクセス中継方法。further,
(E) receiving means provided in the computer for receiving a hypertext document from a server;
(F) hypertext document processing unit included in the computer, the steps of processing the hypertext document received in step (e),
The access relay method according to claim 9, further comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP22596499A JP4214632B2 (en) | 1999-08-10 | 1999-08-10 | Access relay apparatus and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP22596499A JP4214632B2 (en) | 1999-08-10 | 1999-08-10 | Access relay apparatus and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001051946A JP2001051946A (en) | 2001-02-23 |
| JP4214632B2 true JP4214632B2 (en) | 2009-01-28 |
Family
ID=16837654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP22596499A Expired - Lifetime JP4214632B2 (en) | 1999-08-10 | 1999-08-10 | Access relay apparatus and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4214632B2 (en) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003034232A1 (en) * | 2001-10-16 | 2003-04-24 | Btoc Usa Incorporated | Server, service site, service system and content providing device |
| JP4623938B2 (en) * | 2003-02-28 | 2011-02-02 | Necエンジニアリング株式会社 | Security method and method in private communication |
| JP2006146512A (en) | 2004-11-18 | 2006-06-08 | Canon Inc | Information processing apparatus, control method therefor, and program |
| JP4815481B2 (en) * | 2008-10-06 | 2011-11-16 | 株式会社オプティム | Network relay device, user information management system, and user information management method |
| JP5531435B2 (en) * | 2009-03-31 | 2014-06-25 | 日本電気株式会社 | Authentication system, relay server, and relay server authentication program |
| JP5175830B2 (en) * | 2009-12-22 | 2013-04-03 | Necアクセステクニカ株式会社 | Router, router web browser authentication method and web browser authentication program |
| JP5388213B2 (en) * | 2010-03-12 | 2014-01-15 | Necアクセステクニカ株式会社 | Transfer device, network system, communication method, and program. |
| JP6454076B2 (en) | 2014-03-20 | 2019-01-16 | キヤノン株式会社 | Relay device, communication device, control method, system, and program thereof |
| JP6754079B2 (en) * | 2016-10-03 | 2020-09-09 | 富士通株式会社 | Information processing equipment, information processing system, user authentication method, and user authentication program |
| JP2018067327A (en) * | 2017-12-01 | 2018-04-26 | マカフィー, エルエルシー | Secure proxy to protect private data |
-
1999
- 1999-08-10 JP JP22596499A patent/JP4214632B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001051946A (en) | 2001-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7426642B2 (en) | Integrating legacy application/data access with single sign-on in a distributed computing environment | |
| US6633915B1 (en) | Personal information management apparatus and customizing apparatus | |
| JP3003997B2 (en) | Authentication of distributed file systems, web servers and users by cookies | |
| JP3807961B2 (en) | Session management method, session management system and program | |
| US7496497B2 (en) | Method and system for selecting web site home page by extracting site language cookie stored in an access device to identify directional information item | |
| JP4143601B2 (en) | Efficient browser-based identity management providing personal control and anonymity | |
| US20050066037A1 (en) | Browser session mobility system for multi-platform applications | |
| US20040117489A1 (en) | Method and system for web-based switch-user operation | |
| JP2004103022A (en) | Method and apparatus for performing personal cookie storage service for cookie management among multiple devices | |
| GB2349244A (en) | Providing network access to restricted resources | |
| JPH11328074A (en) | Communication method for data change of web resource | |
| EA007778B1 (en) | Application generator | |
| JP2002334056A (en) | Login agency system and login agency method | |
| EP1811747A1 (en) | Method and apparatus for storing and restoring state information of remote user interface | |
| US20080034420A1 (en) | System and method of portal customization for a virtual private network device | |
| EP1442580A2 (en) | Method and system for providing secure access to resources on private networks | |
| JP4214632B2 (en) | Access relay apparatus and method | |
| US6947979B1 (en) | Controlling use of a network resource | |
| CA2437273C (en) | Network conduit for providing access to data services | |
| US20140245257A1 (en) | Context-switching mechanism for facilitating content creation and software development | |
| US8799515B1 (en) | Rewriting of client-side executed scripts in the operation of an SSL VPN | |
| CN112953962A (en) | Domain name access method and device | |
| JP4313091B2 (en) | Information processing system | |
| JP5191076B2 (en) | Information providing apparatus and method | |
| WO2001084333A1 (en) | Advertisable service providing system, authentication unit, service providing unit, authentication method, service providing method, and program product |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050520 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080620 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080701 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080828 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081014 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081027 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4214632 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111114 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111114 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121114 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121114 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131114 Year of fee payment: 5 |
|
| EXPY | Cancellation because of completion of term |