JP2003131929A - 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム - Google Patents

情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム

Info

Publication number
JP2003131929A
JP2003131929A JP2002214745A JP2002214745A JP2003131929A JP 2003131929 A JP2003131929 A JP 2003131929A JP 2002214745 A JP2002214745 A JP 2002214745A JP 2002214745 A JP2002214745 A JP 2002214745A JP 2003131929 A JP2003131929 A JP 2003131929A
Authority
JP
Japan
Prior art keywords
information
user
browser
cache
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002214745A
Other languages
English (en)
Inventor
Hirohiko Nakano
裕彦 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2002214745A priority Critical patent/JP2003131929A/ja
Priority to PCT/JP2002/008100 priority patent/WO2003017106A1/ja
Publication of JP2003131929A publication Critical patent/JP2003131929A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

(57)【要約】 【課題】 ネット経由で情報を閲覧してそれを端末にキ
ャッシュしておくに際して、そのキャッシュ内容を本人
だけが利用できるようにする。 【解決手段】 プロキシサーバ30を端末10内に構築
する。プロキシ認証情報の一部としてのユーザパスワー
ドを用いてネット上の閲覧情報を暗号化してキャッシュ
領域41に保存する。そのキャッシュ内容を利用する際
には、ユーザパスワードを使用して復号化する。このた
め、パスワードが同一の場合、すなわち同一のユーザの
みがそのキャッシュ内容を利用できる。ディスク40内
のキャッシュ領域41は、ユーザごとに区別されてお
り、複数のユーザが同様の態様で、自己に固有の暗号化
キャッシュを利用できる。端末10内のプロキシサーバ
30が管理するキャッシュであるため、オフライン状態
でも利用可能である。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、ネットワークを
介した情報閲覧技術に関するもので、特に、複数のユー
ザが同一の情報端末を共用する場合に、それぞれのユー
ザによる閲覧内容が他ユーザに漏洩することを防止する
セキュリティ技術に関する。
【0002】
【発明の背景】ネットワーク技術の進展に伴い、病院や
官公庁などの施設において種々の情報をネットワークを
介して提供するシステムが採用されつつある。このよう
なネットワークシステムの中核となるもののひとつがウ
エブサーバである。ウエブサーバに情報を蓄積しておく
ことで、各端末からブラウザを用いて情報を閲覧するこ
とができる。病院の場合、そのような情報の例として、
電子保存された診療録情報や医療画像などがあり、市役
所の場合、住民データベースなどがある。
【0003】このような施設のネットワークシステムで
は、職員個々に割当てられた端末もあるが、複数の職員
で共用される端末も多い。たとえば、病棟に設置された
端末は、入院患者に関する各種情報を閲覧するために、
複数の医療従事者が入れ替わりに利用することになる。
【0004】一方、このようなネットワークシステムの
端末のブラウザは、キャッシュ機能を有しているのが通
例であって、一度閲覧した情報を端末のローカルディス
ク内にキャッシュしておき、同じ情報に対する再度のア
クセス要求に対しては、キャッシュに残存している情報
を再利用することにより、端末における迅速な情報表示
と、ネットワークのトラフィックの軽減とを図ってい
る。医療画像のようなサイズが大きいデータを頻繁に閲
覧する病院内ネットワークシステムにおいては、キャッ
シュ機能の効果は非常に大きい。
【0005】また、ブラウザのキャッシュ機能は、低速
な通信回線で接続したウエブサーバや混み合ったウエブ
サーバにアクセスする場合に、特に効果を発揮する。
【0006】ところが、一度キャッシュされた情報は、
所定のキャッシュ上限容量を越えるか、あるいは手動で
キャッシュ内容を消去しない限り、そのまま端末のキャ
ッシュ内に残存する。通常、キャッシュ内の情報は、端
末のローカルディスク内にファイルとして保存されてい
るので、キャッシュ内の情報を閲覧するのは容易であ
る。したがって、あるユーザが閲覧した情報が、キャッ
シュを経由して他のユーザに漏洩する可能性がある。
【0007】例えば、病棟端末のキャッシュには、医療
従事者が閲覧した患者情報が残存している可能性が高
い。部外者が病棟端末を操作して、キャッシュ内の患者
情報を不正に閲覧する危険性がある。また、一般の組織
においても、職員それぞれの職務分掌の点から、あるい
は、職員のプライバシー保護の点から、閲覧内容がキャ
ッシュを経由して他人に漏洩するという状態は望ましく
ない。
【0008】端末を利用するユーザにログイン/ログア
ウト手続きを課すことで、端末の不正利用を防止してキ
ャッシュ内の情報を保護することが可能である。しか
し、病棟端末のような、複数のユーザが入れ替わりに利
用する共用端末において、ログイン/ログアウト手続き
をユーザに課すことは業務効率上困難である。また、端
末ユーザにログイン手続きを課す方法は、キャッシュの
不正利用を防止する点からは効果があるが、端末の物理
的盗難には無力である。また、端末のローカルディスク
の内容を暗号化する技術も存在するが、複数のユーザが
利用する共用端末においてユーザ間の情報漏洩を防止す
る、といった目的での利用には向いていない。
【0009】これに対して、ウエブサーバが、"no-cach
e"ヘッダを利用して、機密情報がブラウザのキャッシュ
に残存しないように制御する方法もしばしば用いられて
いる。しかし、この方法では、アクセス性能に優れた情
報提供サービスを実現するのは困難である。
【0010】一般に、ウエブサーバ上のセキュリティ技
術は各種のものが開発されているが、上記の例のよう
に、端末側でのセキュリティを簡易かつ確実に確保する
ためには、サーバのセキュリティ技術とは別の観点から
の解決が望まれる。
【0011】
【従来の技術とその問題点】このような問題に対して、
特開平11−212874号には、サーバにログオンし
ている間だけ、端末のキャッシュ内の暗号化された情報
を復号化可能とする技術が開示されている。すなわち、
この従来技術では、復号鍵をサーバに登録しておき、サ
ーバでのユーザ認証にパスすることを条件として、その
復号鍵を端末で使用してキャッシュ内容を閲覧できるよ
うな構成となっている。
【0012】しかしながら、この従来技術の場合には、 (1) 端末のキャッシュ内容を閲覧するためには、必ず
サーバにログオンして復号鍵を取得する必要がある。し
たがって、通信障害などが発生してサーバと接続できな
い状態(オフライン状態)では、正当なユーザであって
も端末のキャッシュ内に保存されている(暗号化され
た)情報を閲覧することができない: (2) ユーザが、サーバからログオフするのを忘れた状
態で端末を放置した場合、他の者が、キャッシュ内の情
報を復号化して閲覧する恐れがある。特に、端末とサー
バとがLANなどで常時接続している場合には、そのよ
うな危険性が高い: という問題がある。
【0013】そして、このような問題は、病院内の情報
システムに限らず、官公庁や学校、企業、家庭など、情
報ネットワークを利用する種々の状況において、複数の
ユーザが端末を共用する場合に生じる問題である。
【0014】また、情報ネットワークの利用形態によっ
ては別の問題が存在する。インターネットには、特定の
ユーザに個人情報や機密情報を提供することを目的とす
るウエブサーバが多数存在している。ユーザは、インタ
ーネットに接続している1台の端末から、これらのウエ
ブサーバにアクセスして各種情報を閲覧することができ
る。したがって、端末のキャッシュには、複数のウエブ
サーバから提供を受けた個人情報や機密情報が混在する
ことになる。
【0015】しかしながら、上述した従来技術は、ユー
ザが携帯端末から特定のサーバに回線接続してそのサー
バ内の情報を閲覧する、というような利用形態を想定し
ているため、機密情報を提供する複数のウエブサーバに
アクセスして情報閲覧を行う場合には情報の秘匿を実現
できない、という問題点がある。
【0016】
【発明の目的】この発明は従来技術における上記の問題
の克服を意図しており、端末のキャッシュ内容を他人が
閲覧できないようにするとともに、そのような情報漏洩
防止の確実性を向上させることを第1の目的とする。
【0017】この発明の第2の目的は、上記の第1の目
的を達成した上で、正当なユーザであれば、オフライン
状態でも端末内のキャッシュ内容を閲覧できるようにす
ることである。
【0018】この発明の第3の目的は、上記の第1の目
的を達成した上で、正当なユーザによる情報閲覧の応答
性を向上させることである。
【0019】さらに、この発明は、同一端末から複数の
ウエブサーバにアクセスして情報閲覧を行うような環境
において、各ウエブサーバが提供する個人情報や機密情
報を、その秘匿性を確保した上で端末にキャッシュする
ことを第4の目的とする。
【0020】この発明の第5の目的は、複数のユーザが
共用する端末においても上記の目的を達成することであ
る。
【0021】
【課題を解決するための手段】上記の目的を達成するた
め、請求項1の発明は、ウエブサーバからネットワーク
を介して取り込んだ情報を閲覧可能な情報端末であっ
て、(a)ブラウザと、(b)ユーザの認証情報を入力する手
段と、(c)前記ブラウザから前記ウエブサーバへのアク
セス要求を代行するプロキシサーバとを備え、前記プロ
キシサーバが、(c-1)前記認証情報によって前記ブラウ
ザのユーザの認証を行う認証手段と、(c-2)前記認証情
報を利用した前記ユーザに固有の暗号鍵を用いて閲覧対
象情報を暗号化する暗号化手段と、(c-3)前記暗号鍵に
よって暗号化された前記閲覧対象情報をキャッシュ手段
に与えて保存するキャッシュ保存制御手段と、(c-4)前
記認証情報を利用した前記ユーザに固有の復号鍵を用い
て前記キャッシュ手段中の前記閲覧対象情報を復号化し
て前記ブラウザに与える復号化手段とを備えることを特
徴とする。
【0022】また、請求項2の発明は、請求項1の情報
端末において、前記キャッシュ手段は、前記情報端末を
共用する複数のユーザのそれぞれに割当てられた単位キ
ャッシュ手段の集合として構成されており、前記単位キ
ャッシュ手段のそれぞれについて、対応するユーザに固
有の認証情報を利用してキャッシュ内容の暗号化/復号
化のための暗号鍵と復号鍵とが生成されることを特徴と
する。
【0023】請求項3の発明は、請求項1または請求項
2の情報端末において、ユーザが前記ブラウザを起動し
て新しいセッションを開設する毎に、前記ユーザの認証
情報が入力され、新たにユーザ認証が行われることを特
徴とする。
【0024】請求項4の発明は、請求項3の情報端末に
おいて、前記ブラウザが、(a-1)セッション開設時に入
力された前記認証情報を、セッション中に送信するすべ
てのリクエスト信号に付加する手段を備えるとともに、
前記プロキシサーバが、(c-5)前記リクエスト信号に付
加された前記認証情報を取得する手段を備え、リクエス
ト信号毎にユーザ認証を行うことを特徴とする。
【0025】請求項5の発明は、請求項1ないし請求項
4のいずれかの情報端末において、前記プロキシサーバ
が、(c-6)前記閲覧対象情報を前記ブラウザに転送する
際に、前記ブラウザでのキャッシングを禁止するヘッダ
を前記閲覧対象情報に付加する手段をさらに備えること
を特徴とする。
【0026】請求項6の発明は、請求項1ないし請求項
5のいずれかの情報端末において、前記プロキシサーバ
が、(c-7)前記ブラウザからの前記閲覧対象情報の更新
要求に応答して、前記キャッシュ手段中の前記閲覧対象
情報の最新性を前記ウエブサーバに確認させるととも
に、前記キャッシュ手段中の前記閲覧対象情報が最新の
ものであるときには前記ウエブサーバから前記情報端末
への前記閲覧対象情報の本体の転送を省略し、前記キャ
ッシュ手段中の前記閲覧対象情報を復号化して前記ブラ
ウザに与える手段を備えることを特徴とする。
【0027】請求項7の発明は、請求項1ないし請求項
6のいずれかの情報端末において、前記プロキシサーバ
と前記ブラウザとの間のデータ転送が、前記情報端末の
ローカル通信用ポートを介して実行されることを特徴と
する。
【0028】請求項8の発明は、コンピュータに、請求
項1ないし請求項7のいずれかのプロキシサーバ機能を
持たせるためのプログラムである。
【0029】請求項9の発明は、請求項1ないし請求項
7のいずれかの情報端末を備えることを特徴とする情報
ネットワークシステムである。
【0030】請求項10の発明は、ウエブサーバが提供
する情報を、ネットワークを介して接続された情報端末
から閲覧するシステムであって、前記情報端末が、(a)
ブラウザと、(b)ユーザの認証情報を入力する手段と、
(c)前記ブラウザから前記ウエブサーバへのアクセス要
求を代行するプロキシサーバとを備え、前記ウエブサー
バが、(A)登録ユーザの秘密鍵を管理する登録ユーザ管
理手段と、(B)前記ブラウザのユーザが入力した前記認
証情報を受信して、ユーザ認証を行う認証手段と、(C)
前記ユーザが登録ユーザである場合には、前記秘密鍵を
含む接続管理情報を前記ブラウザに送信する手段とを備
え、前記ブラウザが、(a-1)前記認証手段による認証の
有効期間中、前記接続管理情報を一時的に記憶する手段
と、(a-2)前記ウエブサーバへのアクセス要求に前記接
続管理情報を付加して前記プロキシサーバに与える手段
とを備え、前記プロキシサーバが、(c-1)前記接続管理
情報に含まれる前記秘密鍵を用いて、前記ウエブサーバ
からダウンロードした閲覧対象情報を暗号化する暗号化
手段と、(c-2)前記秘密鍵によって暗号化された前記閲
覧対象情報をキャッシュ手段に与えて保存するキャッシ
ュ保存制御手段と、(c-3)前記接続管理情報に含まれる
前記秘密鍵を用いて、前記キャッシュ手段中の前記閲覧
対象情報を復号化して前記ブラウザに与える復号化手段
とを備えることを特徴とする。
【0031】請求項11の発明は、請求項10の情報ネ
ットワークシステムにおいて、前記手段(a-1)は、前記
ブラウザが終了されるまでの間を認証の有効期間とし
て、前記接続管理情報を一時的に記憶する手段を含むこ
とを特徴とする。
【0032】請求項12の発明は、請求項10または請
求項11の情報ネットワークシステムにおいて、前記登
録ユーザ管理手段は、(A-1)それぞれの登録ユーザに対
して固有の秘密鍵を管理する手段を含むことを特徴とす
る。
【0033】請求項13の発明は、請求項10ないし請
求項12のいずれかの情報ネットワークシステムにおい
て、前記キャッシュ手段は、複数の単位キャッシュ手段
の集合として構成され、前記登録ユーザ管理手段は、(A
-2)各登録ユーザと各単位キャッシュ手段とを対応づけ
るキャッシュ識別情報を管理する手段を含み、前記キャ
ッシュ保存制御手段は、それぞれの登録ユーザの秘密鍵
によって暗号化された閲覧対象情報を、それぞれの登録
ユーザに割当てられた単位キャッシュ手段に与えて保存
することを特徴とする。
【0034】請求項14の発明は、請求項10ないし請
求項13のいずれかの情報ネットワークシステムにおい
て、前記登録ユーザ管理手段は、(A-3)同一グループに
属する複数のユーザを、単一の登録ユーザとして管理す
る手段を含むことを特徴とする。
【0035】請求項15の発明は、請求項10ないし請
求項14のいずれかの情報ネットワークシステムにおい
て、複数のウエブサーバが、それぞれ前記手段(A)ない
し手段(C)を備えており、前記情報端末から、それらの
ウエブサーバにアクセスして情報を閲覧する場合であっ
て、前記ブラウザは、各ウエブサーバに対応した前記接
続管理情報を一時記憶するとともに、各ウエブサーバに
対するアクセス時には、対応する接続管理情報をアクセ
ス要求に付加して前記プロキシサーバに与えることを特
徴とする。
【0036】請求項16の発明は、請求項10ないし請
求項15のいずれかの情報ネットワークシステムにおい
て、前記プロキシサーバと前記ブラウザとの間のデータ
転送が、前記情報端末のローカル通信用ポートを介して
実行されることを特徴とする。
【0037】請求項17の発明は、請求項10ないし請
求項16のいずれかの情報ネットワークシステムで利用
される情報端末である。
【0038】請求項18の発明は、ウエブサーバからネ
ットワークを介して取り込んだ情報を閲覧可能な情報端
末であって、(a)ブラウザと、(b)前記ブラウザから前記
ウエブサーバへのアクセス要求を代行するプロキシサー
バとを備え、前記プロキシサーバが、(b-1)前記ブラウ
ザのユーザに固有の暗号鍵を用いて暗号化された閲覧対
象情報をキャッシュ手段に与えて保存するキャッシュ保
存制御手段と、(b-2)前記ユーザに固有の復号鍵を用い
て前記キャッシュ手段中の前記閲覧対象情報を復号化し
て前記ブラウザに与える復号化手段とを備えることを特
徴とする。
【0039】請求項19の発明は、コンピュータに、請
求項10ないし請求項18のいずれかのプロキシサーバ
機能を持たせるためのプログラムである。
【0040】
【発明の実施の形態】{第1の実施形態} <1-1 システム構成の概要>図1は、この発明の実施
形態である情報ネットワークシステム1Aの概要図であ
り、具体的には、病院における情報ネットワークシステ
ムとして構成される。
【0041】図1において、この情報ネットワークシス
テム1Aは、ワークステーションなどで構成されたシス
テムサーバ2として、ウエブサーバ2aおよびメールサ
ーバ2bを備えるとともに、ファイアウォールFWを介
して外部ネットと接続されている。サーバ2a、2b
は、ハード的に分離された個別のサーバとして構成して
もよく、単一のサーバの中に機能的に分離して構築され
ていてもよい。
【0042】ウエブサーバ2aには、患者の診療録情報
がHTML形式やXML形式で保存されており、それに付随す
る医療画像などの諸データも蓄積されている。
【0043】このネットワークシステムには複数の情報
端末10(10a、10b、10c、…)が分散配置さ
れており、これらの情報端末10のそれぞれは、LAN
3を介してシステムサーバ2と結合している。LAN3
は有線通信のネットワークであってもよく、無線通信の
ネットワークであってもよい。また、情報端末10が、
ダイヤルアップ接続により、このネットワークシステム
にログオンする構成でもよい。いずれの場合も情報端末
10とシステムサーバ2とはTCP/IPプロトコルで
通信を行う。
【0044】各情報端末10は、LAN3を介してシス
テムサーバ2にアクセス可能であるとともに、ファイア
ウォールFWを介してインターネットなどの外部ネット
との間でも通信可能である。各情報端末10はハード的
には通常のパーソナルコンピュータによって構成され、
MPU、メモリ、HDDなどの演算記憶手段を有するほ
か、可搬性メディアドライブ、キーボード、マウス、デ
ィスプレイなどの周辺機器を備えている。これらの周辺
機器のうち、図2には、キーボード11、マウス12、
ディスプレイ13のみが示されている。
【0045】<1-2 情報端末およびウエブサーバの機
能の概要>図2は、各情報端末10の機能的構成を、ウ
エブサーバ2aとの関係で示す図である。情報端末10
には、ブラウザ20のソフトウエアがインストールされ
ているとともに、情報端末10内にプロキシサーバ30
を構築するソフトウエアがインストールされている。こ
のうち、ブラウザ20は、ウエブサーバ2aや外部ネッ
ト上のウエブコンテンツを閲覧し、あるいはダウンロー
ドできる機能を有している。
【0046】プロキシサーバ30は、情報端末10のシ
ステム起動時(初期化時)に自動的に起動されて常時稼
働状態にあり、ブラウザ20からウエブサーバ2aなど
へのアクセス要求を代行処理する。このプロキシサーバ
30は、比較的小さなプログラムをパーソナルコンピュ
ータなどにインストールするだけでその機能を実現可能
であり、特別なハードウエアやOSを持つマシンを必要
としない。
【0047】情報端末10のローカルディスク40に
は、プロキシサーバ30が利用するキャッシュ41と登
録ユーザ情報部42が存在する。情報端末10を共用す
る各ユーザは、事前に、自己のユーザ名およびパスワー
ド(ユーザ認証情報)を登録ユーザ情報部42に登録
し、キャッシュ41内にユーザ専用の単位キャッシュ領
域(41a、41b、41c、…のうちの1つ)を確保
する。情報端末10には、これら一連の登録処理を行う
管理ソフトウエアもインストールされている。
【0048】登録ユーザ情報部42における登録例が図
3(a)に概念的に例示されており、たとえば、 (1) ユーザ名「abc」、「def」、「ghi」、…; (2) それらのユーザ名に対応させたパスワード「kee26
375」、「tsh79423」、「ysd86356」、…のそれぞれを
ハッシュ値で表現したパスワード情報; (3) キャッシュ番号「1」、「2」、「3」、…; の組からなる登録ユーザ情報が登録ユーザ情報部42に
記録されている。
【0049】周知のように、「ハッシュ値」は、ハッシ
ュ関数(Hash Function:たとえば「MD5」)によっ
て元のデータを所定ビット長(たとえば128ビット)
に変換した値であり、その値から元のデータが推定困難
であるという暗号的性質を有する。なお、添付図面中に
おいては、便宜上、記号「<HS>」を付記することによっ
て、それがハッシュ値とされていることを表現してい
る。
【0050】一方、図4に示すように、キャッシュ41
内の各単位キャッシュ領域41a、41b、41c、…
のそれぞれの属性部には、キャッシュ番号(CN)
「1」、「2」、「3」、…が記述されている。前述した
登録ユーザ情報部42によって、登録ユーザ名(「ab
c」、「def」、「ghi」、…)と単位キャッシュ領域
(41a、41b、41c、…)との一対一の対応関係
が維持される。
【0051】ブラウザ20を使用するユーザは、ブラウ
ザ20の起動時(セッション開設時)にキーボード11
から自己のユーザ名とパスワードとをユーザ認証情報と
して入力するようになっている。入力されたユーザ認証
情報は、ブラウザ20が終了されるまでの間(すなわち
セッション中)、ブラウザ20内部の記録領域に一時保
存される。ブラウザ20は、セッション中に送信するす
べてのリクエストにユーザ認証情報を付加する。
【0052】図9は、ブラウザ20が送信するリクエス
ト信号を概念的に示している。リクエスト信号50に
は、閲覧対象情報のURLの他に、ユーザ認証情報51
aがヘッダ情報51として付加される。URLは、キー
ボード11を通してユーザが直接入力する場合もある
が、多くの場合は、ディスプレイ13に表示されるHT
ML文書のリンクをマウス12でクリックすることで入
力される。
【0053】プロキシサーバ30は、ブラウザ20から
のリクエストを受信すると、認証部31によってユーザ
認証処理を行う。認証部31は、リクエストに含まれる
ユーザ認証情報を、登録ユーザ情報部42と照合するこ
とによって、ブラウザ20のユーザの認証を行う。照合
の結果、登録ユーザであることが確認できたら、ユーザ
の認証情報とキャッシュ番号とを、カレントユーザ情報
部32に登録する。
【0054】カレントユーザ情報部32は、プロキシサ
ーバ30の起動時に情報端末10のメモリ上に確保され
るプライベートな記憶領域である。カレントユーザ情報
部32における登録例が図3(b)に示されており、ユ
ーザ名が「ghi」で、パスワードが「ysd86356」で、キ
ャッシュ番号「3」の単位キャッシュ領域41cを使用
するユーザが、カレントユーザであることを示してい
る。
【0055】上述したように、ブラウザ20がセッショ
ン中に送信するすべてのリクエストには、ユーザがブラ
ウザ起動時に入力したユーザ認証情報が付加される。し
たがって、セッション中は、前記ユーザに関する情報
(認証情報とキャッシュ番号)がカレントユーザ情報部
32に登録されることになる。
【0056】ユーザ認証処理を終えたリクエストは、ア
クセス要求代行部33によって、ウエブサーバ2aに転
送される。ウエブサーバ2aは、リクエストに記された
URLから該当するデータファイルを特定し、該当する
データファイルを含むレスポンスをプロキシサーバ30
に送信する。アクセス要求代行部33は、ウエブサーバ
2aからのレスポンスを受信して、ブラウザ20にレス
ポンスを転送するとともに、レスポンスに含まれるデー
タファイルをカレントユーザのパスワードを利用して暗
号化し、暗号化したデータファイルをカレントユーザ専
用の単位キャッシュ領域(41a、41b、41c、…
のうちの該当領域。カレントユーザが「ghi」の場合
は、41c。以下、41cの場合を例とするが他の場合
も同様である)に保存する。
【0057】データファイルの暗号化は、暗号化/復号
化部34によって行われる。暗号化/復号化部34は、
図5に示すように、まずランダムに生成された暗号鍵に
よってデータファイルを暗号化(第1暗号化)し、次に
暗号鍵自身をカレントユーザのパスワードで暗号化(第
2暗号化)する。第1暗号化されたデータファイルと第
2暗号化された暗号鍵(以下「保存秘密鍵」)のペア
が、カレントユーザ専用の単位キャッシュ領域41cに
保存される。
【0058】ブラウザ20は、プロキシサーバ30から
データファイルを含むレスポンスを受信し、ディスプレ
イ13上にデータファイルの内容を表示する。後述する
ように、ブラウザ20のキャッシュ機能は不能化される
ので、ブラウザ20が管理するキャッシュ21にデータ
ファイルが保存されることはない。したがって、この実
施形態で着目する動作だけを考えればキャッシュ21は
不要であるが、ブラウザ20の標準機能としてローカル
ディスク40内にキャッシュ21を確保することも可能
という意味で、図2にキャッシュ21が記載されてい
る。
【0059】閲覧対象情報が、すでに単位キャッシュ領
域41c内にキャッシュされているときには、アクセス
要求代行部33は、リクエストをウエブサーバ2aに転
送しないで、単位キャッシュ領域41c内の該当するデ
ータファイルを復号化してブラウザ20に送信する。
【0060】暗号化/復号化部34は、既述した暗号化
処理と逆のプロセスによってデータファイルを復号化す
る(図5)。すなわち、暗号化されたデータファイルと
ペアで保存されている保護秘密鍵を、カレントユーザの
パスワードを用いて復号化することにより復号鍵を生成
し、この復号鍵を使用してデータファイルを復号化す
る。
【0061】以上説明したように、ユーザがセッション
中に閲覧した情報は、ユーザに固有の認証情報であるパ
スワードを利用して暗号化されて、ユーザ専用の単位キ
ャッシュ領域41cに保存されることになる。セッショ
ン中は、パスワードを利用して単位キャッシュ領域41
cの内容を復号化して閲覧することができる。しかし、
ブラウザ20を終了(クローズ)すると、ブラウザ20
内部に保存されていたユーザ認証情報(ユーザ名とパス
ワード)が消失するので、ユーザ自身がブラウザ20を
起動して、改めて同じユーザ認証情報を入力しない限
り、単位キャッシュ領域41cの内容を閲覧できないよ
うになっている。
【0062】したがって、ユーザが情報端末10を離れ
るときにブラウザ20を終了しさえすれば、キャッシュ
内容の漏洩を確実に防止できる。情報端末10からログ
アウトする操作と比較して、極めて簡易な操作によっ
て、情報漏洩を防止できる。
【0063】また、この実施形態におけるプロキシサー
バ30では、ランダムに選択された暗号鍵でデータファ
イルを暗号化し、暗号鍵自身をパスワードで暗号化する
という二重の暗号化が採用されている。これによって、
他のユーザがキャッシュ内容を閲覧することを特に確実
に防止できる。
【0064】プロキシサーバ30へのユーザ登録は、グ
ループ単位で行ってもよい。例えば、医療従事者用のユ
ーザ名とパスワードを1つ登録して、部外者からキャッ
シュを保護するという運用も可能である。この場合、グ
ループのメンバーが同じ単位キャッシュ領域を共用する
ことになるので、キャッシュのヒット率が高まりブラウ
ザ20の応答性能が向上するという利点がある。
【0065】すなわち、この発明における「ユーザに固
有」とは、人数的に1人ずつに固有という態様に限定さ
れず、それぞれのグループをひとつの「ユーザ」と見
て、それぞれのユーザ(グループ)に固有の認証情報を
与えるという態様も含んでいる。
【0066】以下では、上記の処理のうち特徴的な部分
を中心として、フローチャートを参照しつつ個別に詳細
に説明する。
【0067】<1-3 キャッシング動作>図6は、認証
部31の処理内容を示すフローチャートである。認証部
31は、ブラウザ20からウエブサーバ2aへのリクエ
ストを受信すると、そのリクエストにプロキシ認証ヘッ
ダ(Proxy-Authorization ヘッダ)が存在するか判定す
る(ステップS1〜S2)。ブラウザ20が起動直後に
送信するリクエストには、プロキシ認証ヘッダが含まれ
ていないので、認証部31は、ユーザ認証情報を要求す
るエラーレスポンス(ステータスコード「407」)を
ブラウザ20に返送して処理をいったん終了する(ステ
ップS3)。
【0068】ブラウザ20は、前記エラーレスポンスを
受信すると、ディスプレイ13上にユーザ名とパスワー
ドの入力を催促するダイアログボックスを表示する。そ
して、ユーザがキーボード11などからプロキシ認証用
のユーザ名とパスワードとを入力すると、ブラウザ20
は、それらをユーザ認証情報として含むプロキシ認証ヘ
ッダを生成し、プロキシ認証ヘッダを付加したリクエス
トを再送信する。
【0069】ブラウザ20からのリクエストにプロキシ
認証ヘッダが存在する場合には、それに含まれるユーザ
認証情報(ユーザ名とパスワード)が読み出され、登録
ユーザ情報部42に登録済みであるか判定する(ステッ
プS4)。パスワードをハッシュ値に変換してから、登
録ユーザ情報部42の内容と照合される。照合の結果、
登録ユーザではないと判定された場合には、ユーザ認証
情報を要求するエラーレスポンスをブラウザ20に返送
し(ステップS3)、ユーザ認証処理をやり直すことに
なる。
【0070】登録ユーザであると判定された場合には、
カレントユーザ情報部32に、ユーザ情報(ユーザ名、
パスワード、キャッシュ番号)を登録する(ステップS
5)。そして、リクエストからプロキシ認証ヘッダを削
除してから(ステップS6)、アクセス要求代行部33
によって、後述する処理(図7または図8)を実行させ
る(ステップS7)。
【0071】ブラウザ20は、入力されたユーザ認証情
報を、そのブラウザが終了されるまでの間(すなわちセ
ッション中)、ブラウザ内部の記録領域に一時保存す
る。そして、セッション中に送信するすべてのリクエス
トに、同じユーザ認証情報を含むプロキシ認証ヘッダを
付加する。認証部31は、リクエスト毎に上述したルー
チンを実行するが、セッション中は、同じユーザ情報が
カレントユーザ情報部32に登録されることになる。
【0072】ブラウザ20が終了(クローズ)すると、
ブラウザ内部に一時保存されていたユーザ認証情報は消
去される。別のユーザがブラウザ20を利用する時に
は、新たにユーザ名とパスワードが入力され、新たにユ
ーザ認証が行われる。その結果、カレントユーザ情報部
32には、別のユーザのユーザ情報が登録されることに
なる。
【0073】このように、カレントユーザ情報部32に
は、現在ブラウザ20を利用しているユーザ(カレント
ユーザ)に関する情報が登録される。
【0074】<1-4 キャッシュ利用動作(その1)>
図7は、図6のステップS7に対応するアクセス要求代
行部33の処理内容を示す。アクセス要求代行部33は
まず、カレントユーザに対応する単位キャッシュ領域を
選択する(ステップS11)。以下、ユーザ名が「gh
i」である場合について説明を続ける。この場合、図4
の単位キャッシュ領域41cが選択される。
【0075】アクセス要求代行部33は、ブラウザ20
からリクエストされたデータファイルが、単位キャッシ
ュ領域41cに保存されているかどうかを、リクエスト
に含まれるURL(図9参照)から判定する(ステップ
S12)。単位キャッシュ領域41cに存在しなければ
ウエブサーバ2aにリクエストを転送して、該当するデ
ータファイルを取得する(ステップS15)。
【0076】リクエストされたデータファイルが単位キ
ャッシュ領域41cに存在するときには、リクエストに
キャッシュ不利用を指示するヘッダ(具体的には、「Pr
agma: no-cache」ヘッダ)が含まれているかどうか、す
なわち、ユーザがブラウザ20の更新ボタンを操作して
閲覧ページの更新を要求しているかどうかを判定する
(ステップS13)。更新要求であれば、単位キャッシ
ュ領域41cの保存内容を利用することなく、ウエブサ
ーバ2aにリクエストを転送して、ウエブサーバ2aか
ら該当するデータファイルの最新版を取得する(ステッ
プS15)。
【0077】ウエブサーバ2aは、リクエストに記され
たURLから該当するデータファイルを特定し、該当す
るデータファイルにヘッダ情報を付加したレスポンスを
プロキシサーバ30に送信する。
【0078】アクセス要求代行部33は、レスポンスに
含まれるデータファイルを、カレントユーザのパスワー
ドを利用して暗号化し、暗号化したデータファイルとヘ
ッダ情報とを、URLと対応づけて単位キャッシュ領域
41cに保存する(ステップS16)。データファイル
の暗号化は、図5で説明したプロセスにより行われる。
【0079】一方、ブラウザ20からリクエストされた
データファイルが単位キャッシュ領域41cに存在し、
リクエストが「更新要求」ではない場合には、単位キャ
ッシュ領域41c内の該当する(暗号化された)データ
ファイルを読み出して、カレントユーザのパスワードを
利用して復号化する(ステップS14)。データファイ
ルの復号化は、図5で説明したプロセスにより行われ
る。
【0080】ステップS16およびS14のいずれが実
行された場合においても、ブラウザ20からのリクエス
トに該当するデータファイルが得られる。最後に、得ら
れたデータファイルにキャッシング禁止ヘッダ(たとえ
ば 「Pragma: no-cache」ヘッダや、「Cache-Control:
no-cache」ヘッダ)を付加してブラウザ20に転送する
(ステップS17)。ブラウザ20では、受信したデー
タファイルを自己のキャッシュ21に保存することが禁
止される。したがって、キャッシュ21から閲覧情報が
漏洩することはない。
【0081】<1-5 キャッシュ利用動作(その2)>
次に、図8を参照して、図7の改良ルーチンについて説
明する。図8の各ステップのうち、ステップS11〜S
17は図7と同様であり、ステップS20が追加されて
いることと、ステップS13においてブラウザ20から
のリクエストにキャッシュ不利用ヘッダ(「Pragma: no
-cache」ヘッダ)が含まれている場合の処理内容とが異
なる。したがって、以下では相違点のみを説明する。
【0082】リクエストにキャッシュ不利用ヘッダが含
まれている場合、従来のHTTP仕様に準拠したプロキシサ
ーバでは、一律にウエブサーバから最新のデータファイ
ルを取得している。ところが、ウエブサーバ2aにおい
ては、その時点までにデータファイルが更新されていな
い場合もあり、そのようなときにまで一律にウエブサー
バ2aからデータファイルを取得するのは、ブラウザ2
0から見れば応答性を低めていることになり、LAN3
からみれば無用にトラフィックを増大させていることに
なる。
【0083】そこで図8に示す改良ルーチンでは、キャ
ッシュ不利用ヘッダによって更新がリクエストされたと
きには、単位キャッシュ領域41c内の該当するデータ
ファイルが、ウエブサーバ2aでの更新履歴上で最新で
あるかどうかを判定し(ステップS20)、判定結果に
よって処理内容を切り替える。
【0084】具体的には、単位キャッシュ領域41c内
の該当データファイルのヘッダ情報(例えば、「Last-M
odified: LMT」ヘッダ)からタイムスタンプ情報(LM
T)を取り出し、ウエブサーバ2a上の該当データファ
イルがそのタイムスタンプ以後に更新されている場合の
み、ウエブサーバ2aから最新のデータファイルを取得
するような「条件付き」リクエストをウエブサーバ2a
に送信する。これは、たとえば「If-Modified-Since: L
MT」ヘッダをリクエストに付加することによって達成可
能である。
【0085】ウエブサーバ2aは、「条件付き」リクエ
ストに含まれるタイムスタンプ情報から、情報端末10
内にキャッシュされているデータファイルの最新性を判
定する。最新であると判定した場合は、「データファイ
ルは更新されていない(NotModified)」という通知の
みのレスポンス(ステータスコード「304」)をプロ
キシサーバ30に送信する。最新でないと判定した場合
は、最新のデータファイル本体を含むレスポンスをプロ
キシサーバ30に送信する。
【0086】アクセス要求代行部33は、上記「データ
ファイルは更新されていない」という通知を受信した場
合、単位キャッシュ領域41c内のデータファイルが最
新であると判定する。そして、単位キャッシュ領域41
c内のデータファイルを復号化し(ステップS14)、
キャッシング禁止ヘッダを付加してブラウザ20に送信
する(ステップS17)。
【0087】一方、最新でない場合は、ウエブサーバ2
aからのレスポンスに含まれる最新のデータファイルを
取得する(ステップS15)。取得した最新のデータフ
ァイルをカレントユーザのパスワードを利用して暗号化
して単位キャッシュ領域41cに保存する(ステップS
16)。最後に、取得した最新のデータファイルにキャ
ッシング禁止ヘッダを付加してブラウザ20に送信する
(ステップS17)。
【0088】すなわち、ブラウザ20からの「更新要
求」に対しては、単位キャッシュ領域41cに保存され
ている該当データファイルの最新性をウエブサーバ2a
に確認させて、最新性が確認できたらウエブサーバ2a
から情報端末10への該当データファイルの転送を省略
し、単位キャッシュ領域41c内の該当データファイル
を復号化してブラウザ20に与えるという構成となって
いる。これによって、ユーザが「更新ボタン」を操作し
た時に、ブラウザ20は迅速に最新ページを表示するこ
とが可能となる。そして、LAN3のトラフィックを軽
減することも可能となる。
【0089】<1-6 実施形態の情報端末の主な利点>
以上の実施形態の説明から理解できるように、この情報
端末10では、ユーザがブラウザ20の起動時に入力し
たパスワードを鍵として利用して、キャッシュ内容の暗
号化および復号化が行われる。そして、ユーザがブラウ
ザ20を終了(クローズ)すると、パスワードの利用は
終了される。したがって、ユーザが情報端末10を離れ
るときにブラウザ20を終了することで、キャッシュ内
容の漏洩を確実に防止できる。
【0090】情報端末10がオフライン状態であって
も、ユーザは自己の単位キャッシュ領域に保存されてい
るデータファイルを復号化して閲覧可能である。
【0091】また、ユーザごとに単位キャッシュ領域を
設定しているため、複数のユーザに対してキャッシュの
管理を容易かつ系統的に行うことができる。
【0092】さらに、キャッシング禁止ヘッダによっ
て、ブラウザ20側でのキャッシングを自動的にオフと
するため、キャッシュ21から閲覧情報が漏洩すること
もない。
【0093】<1-7 その他の実施形態など>ところ
で、情報端末10におけるブラウザ20とプロキシサー
バ30との間の通信(ハード的には単一の端末内の内部
通信)において、プロキシサーバ30は、情報端末10
のローカル通信用ポート、たとえばアドレス「127.
0.0.1」を使用し、このアドレスでブラウザ20と
の通信を行うことが好ましい。
【0094】このようにすることにより、プロキシサー
バ30を利用できるのは、そのプロキシサーバ30が属
する情報端末10のブラウザ20だけとなり、ブラウザ
20とプロキシサーバ30との間の通信内容が、LAN
3を介して他の端末やサーバに漏れることが防止され
る。
【0095】また、OpenSSLライブラリなどを利
用して、プロキシサーバ30にSSL機能を追加しても
よい。プロキシサーバ30がSSLを用いてウエブサー
バ2aと通信することにより、情報端末10とウエブサ
ーバ2aとの間の通信内容が、LAN3を介して他の端
末やサーバに漏れることが一層確実に防止される。
【0096】パスワードによる暗号化は、辞書攻撃など
により容易に破られる場合がある。また、キーボード入
力に手間がかかるという欠点もある。ユーザの認証情報
として、指紋情報などの生体情報を利用することで、よ
り安全で簡便なキャッシュ暗号化が可能となる。
【0097】また、ユーザが所持するICカードなどの可
搬性記憶媒体に、そのユーザの認証情報(ユーザIDやユ
ーザの秘密鍵など)を記憶させておく方法でもよい。こ
の場合、プロキシサーバ30の認証部31が、ICカード
内の認証情報を参照することによって、キャッシュ内容
の暗号化・復号化に用いるユーザに固有の鍵情報を生成
し、ユーザが使用する単位キャッシュ領域を選択するよ
うにすればよい。この方法を採用すると、ブラウザ20
を起動するたびにユーザの認証情報を入力する必要がな
くなり、パスワードに比べて安全な鍵情報を利用するこ
とが可能となる。
【0098】{第2の実施形態} <2-1 システム構成の概要>次に、本発明の第2の実
施形態について説明する。図10は、この発明の第2の
実施形態である情報ネットワークシステム1Bの概要図
である。この情報ネットワークシステム1Bには、各種
情報を提供するウエブサーバ2(2α、2β、…)と、
ウエブサーバ2にアクセスして情報閲覧を可能とする情
報端末10(10a、10b、10c、…)とがネット
ワーク3を介して接続している。ウエブサーバ2と情報
端末10は、TCP/IPを用いて通信を行う。ネットワーク
3としては、各種LANやWAN、インターネットを利用する
ことができる。
【0099】それぞれのウエブサーバ2が提供する個々
の情報には、情報ネットワークシステム1B全体で一意
の識別子であるURLが割当てられている。URLには、ウエ
ブサーバ2のホスト名と、そのウエブサーバ2内部の識
別子が含まれることによって、個々の情報を一意に識別
している。情報端末10にはブラウザ機能が備わってお
り、ユーザがURLを指定することによって、複数のウエ
ブサーバ2に分散している各種情報を閲覧できるように
なっている。このように本実施形態においては、一台の
情報端末10から複数のウエブサーバ2にアクセスして
情報を閲覧する場合を想定している。
【0100】多くのウエブサーバ2は、特別な機密保護
を必要としない公開情報を提供しており、当業者には公
知である一般的なウエブサーバを利用することができ
る。以下、これらのウエブサーバを「公開ウエブサー
バ」と呼ぶことにする。
【0101】それに対して、一部のウエブサーバ2(図
10の2α、2β)は、個人情報や機密情報を扱ってお
り、許可されたユーザだけが閲覧できるように厳格なセ
キュリティ管理が行われている。以下、これらの機密情
報を扱うウエブサーバを「制限ウエブサーバ」と呼ぶこ
とにする。「制限ウエブサーバ」のそれぞれには、情報
端末10において機密情報を安全にキャッシュすること
を可能とする、以下に説明する特徴機能が備わってい
る。
【0102】<2-2 情報端末および制限ウエブサーバ
の機能の概要>図11は、各情報端末10と制限ウエブ
サーバの1つであるウエブサーバ2αの機能構成を示す
図である。情報端末10は、第1の実施形態と同様に、
ブラウザ20とプロキシサーバ30とを備えたパーソナ
ルコンピュータである。情報端末10のユーザは、ブラ
ウザ20を起動してウエブサーバ2αなどが提供する情
報を閲覧する。ブラウザ20からウエブサーバ2αなど
へのアクセス要求は、同じ情報端末10で常時稼動して
いるプロキシサーバ30によって代行処理される。
【0103】ブラウザ20の認証情報保持部22は、各
ウエブサーバ2から送信されるクッキー情報が書き込ま
れる記憶領域であり、ローカルディスク40やメモリ内
に確保されるものである。図11では、便宜的にブラウ
ザ20のブロック内に図示している。後述するように、
認証情報保持部22は、ウエブサーバ2αにおいて認証
を受けたユーザに関する情報を一時的に記憶する。
【0104】情報端末10のローカルディスク40に
は、プロキシサーバ30が利用するキャッシュ41が存
在する。キャッシュ41の構成は、図4で示したものと
同様であり、複数の単位キャッシュ領域(41a、41
b、41c、…)の集合として構成されている。各単位
キャッシュ領域41a、41b、41c、…には、それ
ぞれキャッシュ番号(CN)1、2、3、…が属性情報
として記録されている。プロキシサーバ30は、キャッ
シュ番号CNを指定することで、個々の単位キャッシュ
領域を選択利用できるようになっている。以下の説明に
おいて、キャッシュ番号CNの単位キャッシュ領域を
「単位キャッシュ領域CNA」と呼ぶことにする。
【0105】なお、第1の実施形態と異なり、情報端末
10は認証部31と登録ユーザ情報部42(図2参照)
を備えていない。後述するように、ウエブサーバ2αが
ユーザ情報を一元管理している。
【0106】ウエブサーバ2αには、患者の健康状態に
関する情報(診療録や検査情報など)が蓄積されてお
り、患者本人や患者のケアを担当する医療従事者のみ
が、当該患者の健康情報を閲覧できるようになってい
る。以下の説明において、ウエブサーバ2αが蓄積する
アクセス制限を課された情報を「医療情報」と呼ぶこと
にする。
【0107】ウエブサーバ2αは、認証部61と登録ユ
ーザ管理部62とを備えている。登録ユーザ管理部62
は、医療情報へのアクセスを許可されたユーザの情報を
一元管理する機能部である。登録ユーザ管理部62にお
ける登録例が図12(a)に概念的に例示されており、
たとえば、 (1) ユーザ名「abc」、「def」、「ghi」、…; (2) それらのユーザ名に対応させたパスワード「kee26
375」、「tsh79423」、「ysd86356」、…; (3) 秘密鍵 <KEY(abc)>、<KEY(def)>、<KEY(ghi)>、
…; (4) キャッシュ番号「1」、「2」、「3」、…; の組からなるユーザ情報が登録ユーザ管理部62に記録
されている。なお、秘密鍵<KEY(xyz)>は、ユーザxyzに
固有の秘密鍵を便宜的に表現しているものである。
【0108】秘密鍵は、暗号鍵と復号鍵とを含んでお
り、プロキシサーバ30の暗号化/復号化部37がキャ
ッシュ内容の暗号化および復号化を行う際の鍵情報とし
て利用される。また、キャッシュ番号は、情報端末10
の単位キャッシュ領域(41a、41b、41c、…)
の属性情報であるキャッシュ番号(CN)と対応してお
り、各ユーザが使用する単位キャッシュ領域を記録して
いる。
【0109】ウエブサーバ2αは、各ユーザの秘密鍵を
ランダムに生成して登録ユーザ管理部62に記録する。
これによって、それぞれのユーザに対して固有の秘密鍵
(暗号鍵と復号鍵)を管理している。さらに、ユーザ毎
に異なるキャッシュ番号を登録ユーザ管理部62に記録
することで、それぞれのユーザに対して固有の単位キャ
ッシュ領域を割当てている。
【0110】認証部61は、ウエブサーバ2αにアクセ
スするユーザに対して、ユーザ名とパスワードの入力を
求めることによって、ユーザ認証を行う機能部である。
認証部61の実現方法は特に限定されるものではない。
たとえば、アクセス制限の課されている医療情報閲覧サ
イトにアクセスがあった場合に、ブラウザ20がユーザ
認証用ウインドウをポップアップでディスプレイ13に
表示させるようにしてもよい。あるいは、医療情報閲覧
サイトのトップページにおいてログイン用の入力フォー
ムを表示させてもよい。いずれにしても、ユーザが入力
したユーザ名とパスワードがウエブサーバ2αに送信さ
れる。
【0111】認証部61は、ユーザが入力したユーザ名
とパスワードを取得して、登録ユーザ管理部62と照合
することによって、ブラウザ20のユーザの認証を行
う。認証に成功した場合には、当該ユーザ名に対応する
秘密鍵KEYとキャッシュ番号CNとを取得する。そし
て、認証部61は、秘密鍵KEYとキャッシュ番号CN
とを含むクッキー情報をブラウザ20に送信する。ブラ
ウザ20は、ウエブサーバ2αからのクッキー情報を認
証情報保持部22に記憶する。
【0112】認証情報保持部22に記憶されたクッキー
情報は、ブラウザ20の起動期間中のみ有効とし、ブラ
ウザ20の終了時には無効となるように設定されてい
る。具体的には、クッキー情報の有効期限を指定するパ
ラメータ(expires属性)の値を省略しておくことによ
り、クッキー情報はブラウザ20の終了時に削除され
る。
【0113】ここで、ブラウザ20の起動期間中のみク
ッキー情報を有効としているのは、認証部61によって
認証されたユーザに対してのみ当該ユーザに割当てられ
た秘密鍵KEYおよびキャッシュ番号CNの利用を許可
する意図である。言い換えれば、ブラウザ20の起動期
間中を認証の有効期間として、その有効期間のみクッキ
ー情報を一時記憶するようにしているのである。
【0114】なお、クッキー情報には、本来の目的とし
て、上述した秘密鍵KEYとキャッシュ番号CNのほか
に、認証に関する情報(例えば、ユーザ名やセッション
IDなど)が含まれており、ウエブサーバ2αとの間に
おいて、セッションの維持を可能としている。
【0115】以下、情報端末10のユーザがウエブサー
バ2αにアクセスして医療情報を閲覧する場合における
処理内容を説明する。まず、ウエブサーバ2αの認証部
61によってユーザ認証が行われ、その結果、ユーザの
秘密鍵KEYとキャッシュ番号CNとを含むクッキー情
報が、ブラウザ20の認証情報保持部22に記憶され
る。例えば、ユーザ「ghi」がウエブサーバ2αにアク
セスする場合には、ユーザ「ghi」に固有の秘密鍵<KEY
(ghi)>とキャッシュ番号「3」を含むクッキー情報が認
証情報保持部22に記憶されることになる。
【0116】認証されたユーザは、閲覧したい医療情報
のURLをブラウザ20に入力することで、ウエブサー
バ2αが提供する医療情報を閲覧する。ブラウザ20
は、ユーザの秘密鍵KEYとキャッシュ番号CNをCook
ieヘッダに記録して、このCookieヘッダと閲覧対象情報
のURLとを含むリクエストをプロキシサーバ30に送
信する。通常、Cookieヘッダには、秘密鍵KEYとキャ
ッシュ番号CNのほかに、認証に関する情報(例えば、
ユーザ名やセッションIDなど)も記録される。
【0117】プロキシサーバ30は、リクエストのCook
ieヘッダに記録されているユーザ情報(秘密鍵KEYと
キャッシュ番号CNなど)をカレントユーザ情報部35
に登録してからアクセス要求代行処理を実行する。カレ
ントユーザ情報部35は、現在ブラウザ20を利用して
いるユーザ(カレントユーザ)に関する情報を登録する
記憶部である。カレントユーザ情報部35における登録
例が図12(b)に示されており、カレントユーザのユ
ーザ名が「ghi」で、カレントユーザの秘密鍵が<KEY(gh
i)>で、カレントユーザのキャッシュ番号が「3」であ
ることを示している。
【0118】アクセス要求代行部36は、ブラウザ20
からのリクエストをウエブサーバ2αに転送する。ウエ
ブサーバ2αは、リクエストに記されたURLから該当
するデータファイルを特定し、該当するデータファイル
を含むレスポンスをプロキシサーバ30に送信する。ア
クセス要求代行部36は、ウエブサーバ2αからのレス
ポンスを受信して、ブラウザ20にレスポンスを転送す
るとともに、レスポンスに含まれるデータファイルをカ
レントユーザの秘密鍵KEYを用いて暗号化し、暗号化
したデータファイルをカレントユーザのキャッシュ番号
CNに対応する単位キャッシュ領域CNAに保存する。
【0119】閲覧対象情報が、すでに単位キャッシュ領
域CNA内にキャッシュされているときには、アクセス
要求代行部36は、リクエストをウエブサーバ2αに転
送しないで、単位キャッシュ領域CNA内の該当するデ
ータファイルを、カレントユーザの秘密鍵KEYを用い
て復号化してブラウザ20に送信する。
【0120】データファイルの暗号化と復号化は、暗号
化/復号化部37によって行われるが、この実施形態で
は、カレントユーザのパスワードではなく、カレントユ
ーザの秘密鍵KEYを用いて暗号化と復号化が行われ
る。
【0121】ブラウザ20は、プロキシサーバ30から
データファイルを含むレスポンスを受信し、ディスプレ
イ13上にデータファイルの内容を表示する。第1の実
施形態と同様に、ブラウザ20のキャッシュ機能は不能
化されるので、ブラウザ20が管理するキャッシュ21
にデータファイルが保存されることはない。したがっ
て、この実施形態で着目する動作だけを考えればキャッ
シュ21は不要であるが、ブラウザ20の標準機能とし
てローカルディスク40内にキャッシュ21を確保する
ことも可能という意味で、図11にキャッシュ21を記
載している。
【0122】前述したように、登録ユーザ管理部62に
は、それぞれのユーザに対して固有の秘密鍵KEYと固
有のキャッシュ番号CNとが記録されている。したがっ
て、ユーザが閲覧した医療情報は、ユーザに固有の秘密
鍵KEYを用いて暗号化されて、ユーザに固有の単位キ
ャッシュ領域CNAに保存されることになる。そして、
ユーザがブラウザ20を終了した時点で、ユーザに固有
の秘密鍵KEYの使用が終了される。したがって、ユー
ザが閲覧した医療情報が、キャッシュを経由して他のユ
ーザに漏洩することを確実に防止できる。
【0123】ところで、情報端末10のユーザが公開ウ
エブサーバにアクセスする場合には、秘密鍵KEYとキ
ャッシュ番号CNとが認証情報保持部22に記憶されな
い。したがって、公開ウエブサーバへのリクエストのCo
okieヘッダには、秘密鍵KEYとキャッシュ番号CNが
記録されていない。この場合、プロキシサーバ30のカ
レントユーザ情報部35は、未登録の状態となる。
【0124】カレントユーザ情報部35が未登録の場
合、アクセス要求代行部36は、デフォルトの秘密鍵
(例えば、プロキシサーバ30内部にあらかじめ埋め込
まれている秘密鍵)と、デフォルトの単位キャッシュ領
域(例えば、単位キャッシュ領域41a)で代用するこ
とも可能である。すなわち、公開ウエブサーバからの閲
覧情報は、デフォルトの秘密鍵で暗号化されて、デフォ
ルトの単位キャッシュ領域にキャッシュされるのであ
る。
【0125】しかしながら、同じ情報端末10を利用す
る複数のユーザが、デフォルトの秘密鍵とデフォルトの
単位キャッシュ領域とを共用することになるので、ユー
ザ間の情報漏洩を防止できないという問題点がある。ま
た、デフォルトの秘密鍵は、プロキシサーバ30のプロ
グラムを解析するなどして比較的容易に発見される危険
性がある。したがって、公開ウエブサーバに対する機密
保護は十分とはいえない。
【0126】これに対して、制限ウエブサーバであるウ
エブサーバ2αにアクセスする場合には、それぞれのユ
ーザが閲覧した医療情報が、そのユーザに固有の秘密鍵
で暗号化されて、そのユーザに固有の単位キャッシュ領
域に保存される。したがって、情報端末10を共用する
ユーザ間の情報漏洩は確実に防止される。
【0127】ただし、この実施形態によれば、ウエブサ
ーバ2αがユーザ認証と秘密鍵の管理を行うため、ウエ
ブサーバ2αおよびネットワーク3が正常に稼動してい
ることを条件としている。したがって、この実施形態
は、オフライン状態において、情報端末10のキャッシ
ュ内の暗号化された医療情報を閲覧可能とすることを目
的とするものではない。
【0128】<2-3 認証処理およびキャッシング処理
>次に、プロキシサーバ30とウエブサーバ2αの処理
内容を、図13〜図15のフローチャートを用いて詳細
に説明する。図13は、プロキシサーバ30の処理内容
を示すフローチャートである。プロキシサーバ30は、
ブラウザ20からウエブサーバ2αへのリクエストを受
信すると、そのリクエストにCookieヘッダが存在する
か、また、Cookieヘッダが存在する場合には秘密鍵KE
Yとキャッシュ番号CNが記録されているかを判定する
(ステップS21〜S22)。
【0129】ブラウザ20のユーザがウエブサーバ2α
に対して未認証の場合、秘密鍵KEYとキャッシュ番号
CNはCookieヘッダに記録されていない(ステップS2
2でNO)。この場合、プロキシサーバ30は、カレン
トユーザ情報部35にユーザ情報を登録することなく、
アクセス要求代行処理を実行する(ステップS24)。
【0130】未認証ユーザからのリクエストを受信した
ウエブサーバ2αは、たとえば、医療情報閲覧サイトの
トップページにログイン用の入力フォームを表示するな
どして、ブラウザ20のユーザに対して、ユーザ名とパ
スワードの入力を要求する。そして、ブラウザ20は、
ユーザが入力したユーザ名とパスワードとを記録した認
証リクエストをウエブサーバ2αに送信する。この場合
も、プロキシサーバ30は、カレントユーザ情報部35
にユーザ情報を登録することなく、アクセス要求代行処
理を実行する(ステップS24)。
【0131】図14は、ウエブサーバ2αの認証部61
の処理内容を示すフローチャートである。認証部61
は、認証リクエストを受信して(ステップS31)、認
証リクエストに記録されているユーザ名とパスワードを
登録ユーザ管理部62と照合することでユーザ認証を行
う(ステップS32)。認証に成功した場合、当該ユー
ザ名に対応する秘密鍵KEYとキャッシュ番号CNとを
登録ユーザ管理部62から取得して、秘密鍵KEYとキ
ャッシュ番号CNとを含むクッキー情報をブラウザ20
に送信する。このクッキー情報は、ブラウザ20の認証
情報保持部22に記憶される(ステップS33)。以上
の認証処理によって、ブラウザ20のユーザは「認証さ
れた状態」となる。
【0132】再び、図13のフローチャートに戻る。ブ
ラウザ20のユーザが「認証された状態」の場合、ブラ
ウザ20からウエブサーバ2αへのリクエストには、ブ
ラウザ20を利用しているユーザ(カレントユーザ)の
秘密鍵KEYとキャッシュ番号CNとを記録したCookie
ヘッダが含まれている。(ステップS22でYES)。
この場合、プロキシサーバ30は、カレントユーザの秘
密鍵KEYとキャッシュ番号CNとをカレントユーザ情
報部35に登録する。Cookieヘッダにユーザ名が記録さ
れている場合には、図12(b)に示したように、あわ
せてユーザ名も登録する(ステップS23)。プロキシ
サーバ30は、カレントユーザ情報部35にユーザ情報
を登録した後に、アクセス要求代行処理を実行する(ス
テップS24)。
【0133】カレントユーザ情報部35にユーザ情報が
登録されている場合には、アクセス要求代行部36によ
って、図15のフローチャートに示すアクセス要求代行
処理が実行される。この処理内容は、図7で示した処理
内容と略同様である。ただし、図7のステップS16に
おいては、カレントユーザのパスワードを利用して暗号
化処理を行ったが、図15のステップS46において
は、カレントユーザの秘密鍵KEYを利用して暗号化処
理を行う。また、図7のステップS14においては、カ
レントユーザのパスワードを利用して復号化処理を行っ
たが、図15のステップS44においては、カレントユ
ーザの秘密鍵KEYを利用して復号化処理を行う。
【0134】アクセス要求代行部36は、ウエブサーバ
2αから取得した医療情報を、カレントユーザの秘密鍵
KEYを利用して暗号化して、単位キャッシュ領域CN
Aに保存する(ステップS46)。一方、閲覧対象の医
療情報が単位キャッシュ領域CNAに存在する場合に
は、キャッシュ内の該当する医療情報を、カレントユー
ザの秘密鍵KEYを利用して復号化する(ステップS4
4)。ブラウザ20に医療情報を送信する際に、キャッ
シングを禁止するヘッダを付加することで、キャッシュ
21に医療情報が保存されるのを防止する(ステップS
47)。
【0135】また、この実施形態においても、図8で示
した改良ルーチンを適用することができる。この場合、
図8のステップS16における暗号化処理、ステップS
14における復号化処理において、カレントユーザのパ
スワードを利用しないで、カレントユーザの秘密鍵KE
Yを利用する。この改良ルーチンは、ユーザが「更新ボ
タン」を操作した時に、ブラウザ20が最新ページを迅
速に表示することを可能とする。
【0136】以上、制限ウエブサーバの1つであるウエ
ブサーバ2αに着目して、この実施形態の特徴機能を説
明したが、他の制限ウエブサーバ(例えば、ウエブサー
バ2β)も同様の機能を備えている。情報端末10のユ
ーザが、ウエブサーバ2βにアクセスする場合にも、ウ
エブサーバ2αと同様の処理が行われる。
【0137】情報端末10のユーザが複数の制限ウエブ
サーバ(例えば、ウエブサーバ2αと2β)にアクセス
する場合には、それぞれの制限ウエブサーバからのクッ
キー情報が認証情報保持部22に記憶される。そして、
ブラウザ20は、アクセスする制限ウエブサーバに対応
するクッキー情報を選択利用する。すなわち、ウエブサ
ーバ2αへのリクエストのCookieヘッダには、ウエブサ
ーバ2αのクッキー情報に含まれる秘密鍵KEYとキャ
ッシュ番号CNとが記録される。一方、ウエブサーバ2
βへのリクエストのCookieヘッダには、ウエブサーバ2
βのクッキー情報に含まれる秘密鍵KEYとキャッシュ
番号CNとが記録される。
【0138】したがって、プロキシサーバ30のカレン
トユーザ情報部35には、アクセスする制限ウエブサー
バに対応した秘密鍵KEYとキャッシュ番号CNとが登
録されることになる。この結果、アクセス要求代行部3
6は、それぞれの制限ウエブサーバから取得した機密情
報を、それぞれの制限ウエブサーバが管理する秘密鍵K
EYを用いて暗号化してキャッシュすることになる。
【0139】このようにして、同一情報端末10から複
数の制限ウエブサーバにアクセスする場合でも、それぞ
れの制限ウエブサーバが提供する機密情報の秘匿性は確
保されるのである。
【0140】<2-4 第2の実施形態の主な利点>以上
説明したように、本発明の第2の実施形態では、登録ユ
ーザだけに機密情報を提供する制限ウエブサーバが、情
報端末10のキャッシュ内容の暗号化と復号化に用いる
秘密鍵を管理しており、登録ユーザに対してだけ秘密鍵
の使用を許可する。そして、登録ユーザがブラウザ20
を終了した時点で、秘密鍵の使用が終了される。これに
より、情報端末10にキャッシュされた機密情報が登録
ユーザ以外に漏洩することを防止できる。
【0141】さらに、制限ウエブサーバが、それぞれの
登録ユーザに対して固有の秘密鍵を管理することによ
り、特定の登録ユーザだけに閲覧を許可された機密情報
が、情報端末10を共用する他の登録ユーザに漏洩する
ことを確実に防止できる。また、登録ユーザ毎に単位キ
ャッシュ領域を設けることにより、共用端末におけるキ
ャッシュの管理を容易かつ系統的に行うことができる。
【0142】また、この実施形態では、制限ウエブサー
バがユーザ情報を一元管理するので、各情報端末10に
おいて個別にユーザ管理を行う必要がなく、ユーザ管理
負担を軽減することができる。
【0143】それぞれの制限ウエブサーバが提供する機
密情報は、それぞれの制限ウエブサーバが管理する秘密
鍵を用いて暗号化されて、情報端末10内にキャッシュ
される。したがって、同一情報端末から複数の制限ウエ
ブサーバにアクセスして情報閲覧を行う場合でも、それ
ぞれの制限ウエブサーバが提供する機密情報の秘匿性は
確保される。
【0144】<2-5 その他の実施形態など>登録ユー
ザ管理部62へのユーザ登録は、「xx病院の医師」と
いったグループ単位で行うことも可能である。認証部6
1は、認証されたユーザが登録グループに属する場合に
は、そのグループに固有の秘密鍵とキャッシュ番号とを
含むクッキー情報をブラウザ20に送信する。そして、
ユーザが閲覧した機密情報は、グループに固有の秘密鍵
を用いて暗号化されて、グループに固有の単位キャッシ
ュ領域に保存されることになる。
【0145】したがって、グループに属さないユーザ
が、キャッシュされた機密情報を閲覧することはできな
い。一方、グループに属する複数のユーザは、キャッシ
ュされた機密情報を共用することができるので、ユーザ
毎の秘密鍵を用いる場合と比べて、キャッシュのヒット
率が高まり、ブラウザ20の応答性能が向上する。
【0146】また、複数の制限ウエブサーバから構成さ
れるウエブサイトにおいては、認証部61と登録ユーザ
管理部62とを認証サーバとして独立させることによ
り、ユーザ管理を一元化することも可能である。ユーザ
は、認証サーバにログインするだけで、ウエブサイト内
の複数の制限ウエブサーバにアクセスすることが可能と
なる。
【0147】この場合、認証サーバは、ブラウザ20に
送信するクッキー情報(ユーザの秘密鍵とキャッシュ番
号を含む)のdomain属性として、ウエブサイトのドメイ
ン名を設定する。これによって、ユーザがウエブサイト
内の制限ウエブサーバにアクセスする場合には、認証サ
ーバが管理するユーザの秘密鍵を用いてキャッシュ内容
の暗号化および復号化が行われる。
【0148】ところで、情報端末10におけるブラウザ
20とプロキシサーバ30との間の通信(ハード的には
単一の端末内の内部通信)において、プロキシサーバ3
0は、情報端末10のローカル通信用ポート、たとえば
アドレス「127.0.0.1」を使用し、このアドレ
スでブラウザ20と通信を行うことが好ましい。このよ
うにすることにより、プロキシサーバ30を利用できる
のは、そのプロキシサーバ30が属する情報端末10の
ブラウザ20だけとなり、ブラウザ20とプロキシサー
バ30との間の通信内容が、ネットワーク3を介して漏
洩することを防止できる。
【0149】さらに、プロキシサーバ30と制限ウエブ
サーバとの間の通信内容を、SSLを利用して暗号化す
ることが望ましい。これにより、制限ウエブサーバが提
供する機密情報がネットワーク3を介して漏洩すること
を一層確実に防止できる。
【0150】{まとめ}本発明の第1と第2の実施形態で
は、従来のブラウザのキャッシュ機能が抱える問題点を
解決するために、ブラウザと同じ情報端末で動作するプ
ロキシサーバがキャッシュ機能を代行する構成となって
いる。プロキシサーバが、本発明の特徴であるキャッシ
ュ暗号化機能を備えることにより、従来のブラウザを利
用する情報端末においても、情報漏洩のない安全なキャ
ッシングを実現可能としている。
【0151】もちろん、本発明で開示したキャッシュ暗
号化機能を、ブラウザ内部で実現することも可能であ
る。しかし、ブラウザ内部でキャッシュ暗号化機能を実
現した場合であっても、上記実施の形態で説明したよう
にブラウザとは別のアプリケーションプログラムとして
プロキシサーバを動作させる場合と比べて本発明の要旨
が変わるところはない。
【0152】たとえば、本発明で開示したキャッシュ暗
号化機能を含むプロキシサーバをDLLモジュールとして
ブラウザに実装するという実施の形態、あるいはDLLと
してではなく、通常の内部モジュールとしてブラウザに
組み込むという実施の形態が実現可能である。これらの
実施の形態であれば、ブラウザとは別のアプリケーショ
ンプログラムとしてプロキシサーバが不要となる。しか
し、キャッシュ暗号化機能を外部のプログラムとして実
現するか、内部モジュールとして組み込むかという違い
は、本発明の本質に影響を与えるものではなく、上記実
施の形態で説明した場合と同様の効果を奏するものであ
る。
【0153】本発明の特徴は、(1)ユーザが閲覧した
情報をユーザに固有の暗号鍵を用いて暗号化した上で情
報端末内にキャッシュすること、(2)ユーザに固有の
復号鍵を用いてキャッシュ内容を復号化して閲覧可能と
すること、である。これにより、各ユーザが閲覧した個
人情報や機密情報が、キャッシュを経由して他のユーザ
に漏洩することを確実に防止できる。
【0154】一口に「個人情報」、「機密情報」と言っ
ても、その判定は容易でない。ウエブサーバが蓄積して
いる各種情報の中から、個人情報や機密情報を正確に特
定して、それらの情報に対して特別な保護策(例え
ば、"no-cache"ヘッダによるキャッシングの禁止)を講
じるのは、非常に困難である。一方、パーソナルコンピ
ュータの処理能力の向上と、効率的な暗号アルゴリズム
(暗号専用プロセッサ)の開発によって、情報端末にお
いて高速に暗号処理を行うことが可能となっている。し
たがって、本発明のように、個々の情報の機密性を考慮
しないで、ユーザに固有の暗号鍵で一律に閲覧情報を暗
号化してキャッシュする方法は、キャッシュからの情報
漏洩を防止する実用的で汎用的な方法といえる。
【0155】
【発明の効果】以上説明したように、請求項1〜請求項
9の発明では、ユーザに固有の認証情報を用いた暗号鍵
によって閲覧対象情報を暗号化して情報端末内にキャッ
シュしておき、以後のリクエストに際しては、ユーザに
固有の認証情報を用いた復号鍵で復号化してブラウザに
与えるようになっている。したがって、ユーザが異なれ
ばキャッシュ内容を復号化して閲覧することができない
ので、キャッシュのセキュリティを確保できる。
【0156】そして、これらの暗号鍵と復号鍵とは、ユ
ーザが当該情報端末において入力した認証情報に基づい
て得るようになっている。このため、外部のサーバでの
ユーザ認証を条件として暗号鍵や復号鍵を特定する場合
と異なり、ネットワークの通信障害などで情報端末がオ
フライン状態となっても、ユーザ本人であれば自己のキ
ャッシュ内容を閲覧することができる。
【0157】特に、請求項2の発明では、ユーザごとに
単位キャッシュ手段が設けられているため、共用端末に
おけるキャッシュの管理を容易かつ系統的に行うことが
できる。
【0158】請求項3の発明では、ユーザがブラウザを
起動して新しいセッションを開設する毎に、ユーザ認証
が行われるので、新しいユーザが前のユーザのキャッシ
ュ内容を閲覧してしまうことを有効に防止できる。
【0159】請求項4の発明では、ブラウザが、セッシ
ョン開設時に入力されたユーザ認証情報をセッション中
に送信するすべてのリクエストに付加するため、プロキ
シサーバは、受信したリクエスト毎にユーザ認証を行う
ことができる。これにより、同時に複数のセッションが
開設され、それぞれに対して異なるユーザ認証情報が入
力されたような特殊な状況においても、セキュリティが
確保される。
【0160】請求項5の発明では、ブラウザ側でのキャ
ッシングを禁止するヘッダを閲覧対象情報に付加してい
るため、ブラウザ側でのアクセスフリーのキャッシング
が行われてしまうことを自動的に防止できる。
【0161】請求項6の発明では、キャッシュ手段中の
閲覧対象情報の最新性をウエブサーバに確認させ、キャ
ッシュ手段中の閲覧対象情報が最新であるときにはキャ
ッシュ手段中の閲覧対象情報を復号化してブラウザに与
えるため、ウエブサーバでの情報更新がなかったときに
はブラウザ側での表示応答が速く、ネットワーク上のト
ラフィックも増加しない。
【0162】請求項7の発明では、プロキシサーバとブ
ラウザとの間のデータ転送が、情報端末のローカル通信
用ポートを介して実行されるため、その情報端末以外に
それらの通信内容が漏れることがなく、セキュリティが
特に高い。
【0163】請求項8および請求項9の発明によれば、
上記の特徴を有する情報端末およびネットワークシステ
ムを構築可能である。
【0164】請求項10〜請求項17の発明では、やは
り、ユーザの閲覧情報を暗号化して情報端末内にキャッ
シュするが、キャッシュ内容の暗号化と復号化に用いる
秘密鍵をウエブサーバが管理しており、ウエブサーバに
登録されたユーザに対してだけ秘密鍵の使用を許可す
る。各情報端末は、ウエブサーバから送られてくる秘密
鍵を用いてキャッシュ内容の暗号化および復号化を行う
ことにより、閲覧情報の機密性を保持することが可能で
ある。また、ウエブサーバがユーザ情報を一元管理する
ので、各情報端末において個別にユーザ管理を行う必要
がなく、ユーザ管理負担を軽減することができる。
【0165】請求項11の発明では、ブラウザの起動中
のみ秘密鍵が利用されるので、情報の機密性が高くな
る。
【0166】請求項12の発明では、ウエブサーバが、
個々のユーザに固有の秘密鍵を管理しているので、同一
情報端末を利用する他のユーザなどへの情報の漏洩を確
実に防止できる。
【0167】請求項13の発明では、ユーザごとに単位
キャッシュ手段が用意されているので、共用端末におけ
るキャッシュの管理を容易かつ系統的に行うことができ
る。
【0168】請求項14の発明では、複数のユーザを1
つのグループとして管理することにより、効率的なキャ
ッシュ管理が可能となる。たとえば、情報を共有するこ
とを許された複数のユーザをグループ化することで、情
報端末内にキャッシュされた情報を、グループに属する
ユーザ間で共用することが可能となる。これにより、キ
ャッシュのヒット率が向上し、ブラウザの応答性能が向
上する。
【0169】請求項15の発明では、それぞれのウエブ
サーバが提供する機密情報は、それぞれのウエブサーバ
が管理する秘密鍵を用いて暗号化されて、情報端末内に
キャッシュされる。したがって、同一情報端末から複数
のウエブサーバにアクセスして情報閲覧を行う場合で
も、それぞれのウエブサーバが提供する機密情報の秘匿
性は確保される。
【0170】請求項16の発明では、ブラウザとプロキ
シサーバとの間のデータ転送が、情報端末のローカル通
信用ポートを介して実行されるため、その情報端末以外
にそれらの通信内容が漏洩することがなく、セキュリテ
ィが特に高い。
【0171】請求項17の発明では、上記の特徴を有す
る情報ネットワークシステムを構築可能である。
【0172】請求項18の発明では、プロキシサーバ
が、ユーザごとに固有の暗号鍵を用いて閲覧対象情報を
暗号化してキャッシュするので、複数のユーザが情報端
末を共用する場合にも、情報の機密性を守ることが可能
である。
【0173】請求項19の発明によれば、上記の特徴を
有する情報端末およびネットワークシステムを構築可能
である。
【図面の簡単な説明】
【図1】この発明の第1の実施形態にかかる情報ネット
ワークシステムの構成図である。
【図2】この発明の第1の実施形態の情報端末の構成図
である。
【図3】登録ユーザ情報部およびカレントユーザ情報部
における登録例を示す図である。
【図4】プロキシサーバが管理するキャッシュの構造を
示す図である。
【図5】パスワードを利用した暗号化と復号化との関係
を示す図である。
【図6】認証部の処理内容を示すフローチャートであ
る。
【図7】アクセス要求代行部の処理内容を示すフローチ
ャートである。
【図8】アクセス要求代行部の処理内容の他の例を示す
フローチャートである。
【図9】ブラウザが送信するリクエスト信号の概念図で
ある。
【図10】この発明の第2の実施形態にかかる情報ネッ
トワークシステムの構成図である。
【図11】この発明の第2の実施形態にかかる情報端末
とウエブサーバの機能的構成を示す図である。
【図12】登録ユーザ管理部およびカレントユーザ情報
部における登録例を示す図である。
【図13】プロキシサーバの処理内容を示すフローチャ
ートである。
【図14】ウエブサーバの認証部の処理内容を示すフロ
ーチャートである。
【図15】アクセス要求代行部の処理内容を示すフロー
チャートである。
【符号の説明】 1 情報ネットワークシステム 2a ウエブサーバ 2α ウエブサーバ 3 LAN、ネットワーク 10 情報端末 20 ブラウザ 30 プロキシサーバ 40 ローカルディスク 41a、41b、41c 単位キャッシュ領域
フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/32 H04L 9/00 601A

Claims (19)

    【特許請求の範囲】
  1. 【請求項1】 ウエブサーバからネットワークを介して
    取り込んだ情報を閲覧可能な情報端末であって、 (a) ブラウザと、 (b) ユーザの認証情報を入力する手段と、 (c) 前記ブラウザから前記ウエブサーバへのアクセス
    要求を代行するプロキシサーバと、を備え、 前記プロキシサーバが、 (c-1) 前記認証情報によって前記ブラウザのユーザの
    認証を行う認証手段と、 (c-2) 前記認証情報を利用した前記ユーザに固有の暗
    号鍵を用いて閲覧対象情報を暗号化する暗号化手段と、 (c-3) 前記暗号鍵によって暗号化された前記閲覧対象
    情報をキャッシュ手段に与えて保存するキャッシュ保存
    制御手段と、 (c-4) 前記認証情報を利用した前記ユーザに固有の復
    号鍵を用いて前記キャッシュ手段中の前記閲覧対象情報
    を復号化して前記ブラウザに与える復号化手段と、を備
    えることを特徴とする情報端末。
  2. 【請求項2】 請求項1の情報端末において、 前記キャッシュ手段は、前記情報端末を共用する複数の
    ユーザのそれぞれに割当てられた単位キャッシュ手段の
    集合として構成されており、 前記単位キャッシュ手段のそれぞれについて、対応する
    ユーザに固有の認証情報を利用してキャッシュ内容の暗
    号化/復号化のための暗号鍵と復号鍵とが生成されるこ
    とを特徴とする情報端末。
  3. 【請求項3】 請求項1または請求項2の情報端末にお
    いて、ユーザが前記ブラウザを起動して新しいセッショ
    ンを開設する毎に、前記ユーザの認証情報が入力され、
    新たにユーザ認証が行われることを特徴とする情報端
    末。
  4. 【請求項4】 請求項3の情報端末において、前記ブラ
    ウザが、 (a-1) セッション開設時に入力された前記認証情報
    を、セッション中に送信するすべてのリクエスト信号に
    付加する手段、を備えるとともに、 前記プロキシサーバが、 (c-5) 前記リクエスト信号に付加された前記認証情報
    を取得する手段、を備え、リクエスト信号毎にユーザ認
    証を行うことを特徴とする情報端末。
  5. 【請求項5】 請求項1ないし請求項4のいずれかの情
    報端末において、 前記プロキシサーバが、 (c-6) 前記閲覧対象情報を前記ブラウザに転送する際
    に、前記ブラウザでのキャッシングを禁止するヘッダを
    前記閲覧対象情報に付加する手段、をさらに備えること
    を特徴とする情報端末。
  6. 【請求項6】 請求項1ないし請求項5のいずれかの情
    報端末において、 前記プロキシサーバが、 (c-7) 前記ブラウザからの前記閲覧対象情報の更新要
    求に応答して、前記キャッシュ手段中の前記閲覧対象情
    報の最新性を前記ウエブサーバに確認させるとともに、
    前記キャッシュ手段中の前記閲覧対象情報が最新のもの
    であるときには前記ウエブサーバから前記情報端末への
    前記閲覧対象情報の本体の転送を省略し、前記キャッシ
    ュ手段中の前記閲覧対象情報を復号化して前記ブラウザ
    に与える手段、を備えることを特徴とする情報端末。
  7. 【請求項7】 請求項1ないし請求項6のいずれかの情
    報端末において、 前記プロキシサーバと前記ブラウザとの間のデータ転送
    が、前記情報端末のローカル通信用ポートを介して実行
    されることを特徴とする情報端末。
  8. 【請求項8】 コンピュータに、請求項1ないし請求項
    7のいずれかのプロキシサーバ機能を持たせるためのプ
    ログラム。
  9. 【請求項9】 請求項1ないし請求項7のいずれかの情
    報端末を備えることを特徴とする情報ネットワークシス
    テム。
  10. 【請求項10】 ウエブサーバが提供する情報を、ネッ
    トワークを介して接続された情報端末から閲覧するシス
    テムであって、 前記情報端末が、 (a) ブラウザと、 (b) ユーザの認証情報を入力する手段と、 (c) 前記ブラウザから前記ウエブサーバへのアクセス
    要求を代行するプロキシサーバと、を備え、 前記ウエブサーバが、 (A) 登録ユーザの秘密鍵を管理する登録ユーザ管理手
    段と、 (B) 前記ブラウザのユーザが入力した前記認証情報を
    受信して、ユーザ認証を行う認証手段と、 (C) 前記ユーザが登録ユーザである場合には、前記秘
    密鍵を含む接続管理情報を前記ブラウザに送信する手段
    と、を備え、 前記ブラウザが、 (a-1) 前記認証手段による認証の有効期間中、前記接
    続管理情報を一時的に記憶する手段と、 (a-2) 前記ウエブサーバへのアクセス要求に前記接続
    管理情報を付加して前記プロキシサーバに与える手段
    と、を備え、 前記プロキシサーバが、 (c-1) 前記接続管理情報に含まれる前記秘密鍵を用い
    て、前記ウエブサーバからダウンロードした閲覧対象情
    報を暗号化する暗号化手段と、 (c-2) 前記秘密鍵によって暗号化された前記閲覧対象
    情報をキャッシュ手段に与えて保存するキャッシュ保存
    制御手段と、 (c-3) 前記接続管理情報に含まれる前記秘密鍵を用い
    て、前記キャッシュ手段中の前記閲覧対象情報を復号化
    して前記ブラウザに与える復号化手段と、を備えること
    を特徴とする情報ネットワークシステム。
  11. 【請求項11】 請求項10の情報ネットワークシステ
    ムにおいて、 前記手段(a-1)は、 前記ブラウザが終了されるまでの間を認証の有効期間と
    して、前記接続管理情報を一時的に記憶する手段、を含
    むことを特徴とする情報ネットワークシステム。
  12. 【請求項12】 請求項10または請求項11の情報ネ
    ットワークシステムにおいて、 前記登録ユーザ管理手段は、 (A-1) それぞれの登録ユーザに対して固有の秘密鍵を
    管理する手段、を含むことを特徴とする情報ネットワー
    クシステム。
  13. 【請求項13】 請求項10ないし請求項12のいずれ
    かの情報ネットワークシステムにおいて、 前記キャッシュ手段は、複数の単位キャッシュ手段の集
    合として構成され、 前記登録ユーザ管理手段は、 (A-2) 各登録ユーザと各単位キャッシュ手段とを対応
    づけるキャッシュ識別情報を管理する手段、を含み、 前記キャッシュ保存制御手段は、それぞれの登録ユーザ
    の秘密鍵によって暗号化された閲覧対象情報を、それぞ
    れの登録ユーザに割当てられた単位キャッシュ手段に与
    えて保存することを特徴とする情報ネットワークシステ
    ム。
  14. 【請求項14】 請求項10ないし請求項13のいずれ
    かの情報ネットワークシステムにおいて、 前記登録ユーザ管理手段は、 (A-3) 同一グループに属する複数のユーザを、単一の
    登録ユーザとして管理する手段、を含むことを特徴とす
    る情報ネットワークシステム。
  15. 【請求項15】 請求項10ないし請求項14のいずれ
    かの情報ネットワークシステムにおいて、 複数のウエブサーバが、それぞれ前記手段(A)ないし手
    段(C)を備えており、前記情報端末から、それらのウエ
    ブサーバにアクセスして情報を閲覧する場合であって、 前記ブラウザは、各ウエブサーバに対応した前記接続管
    理情報を一時記憶するとともに、各ウエブサーバに対す
    るアクセス時には、対応する接続管理情報をアクセス要
    求に付加して前記プロキシサーバに与えることを特徴と
    する情報ネットワークシステム。
  16. 【請求項16】 請求項10ないし請求項15のいずれ
    かの情報ネットワークシステムにおいて、 前記プロキシサーバと前記ブラウザとの間のデータ転送
    が、前記情報端末のローカル通信用ポートを介して実行
    されることを特徴とする情報ネットワークシステム。
  17. 【請求項17】 請求項10ないし請求項16のいずれ
    かの情報ネットワークシステムで利用される情報端末。
  18. 【請求項18】 ウエブサーバからネットワークを介し
    て取り込んだ情報を閲覧可能な情報端末であって、 (a) ブラウザと、 (b) 前記ブラウザから前記ウエブサーバへのアクセス
    要求を代行するプロキシサーバと、を備え、 前記プロキシサーバが、 (b-1) 前記ブラウザのユーザに固有の暗号鍵を用いて
    暗号化された閲覧対象情報をキャッシュ手段に与えて保
    存するキャッシュ保存制御手段と、 (b-2) 前記ユーザに固有の復号鍵を用いて前記キャッ
    シュ手段中の前記閲覧対象情報を復号化して前記ブラウ
    ザに与える復号化手段と、を備えることを特徴とする情
    報端末。
  19. 【請求項19】 コンピュータに、請求項10ないし請
    求項18のいずれかのプロキシサーバ機能を持たせるた
    めのプログラム。
JP2002214745A 2001-08-10 2002-07-24 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム Pending JP2003131929A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002214745A JP2003131929A (ja) 2001-08-10 2002-07-24 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム
PCT/JP2002/008100 WO2003017106A1 (en) 2001-08-10 2002-08-08 Information terminal, information network system, and program for them

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001-243663 2001-08-10
JP2001243663 2001-08-10
JP2002214745A JP2003131929A (ja) 2001-08-10 2002-07-24 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム

Publications (1)

Publication Number Publication Date
JP2003131929A true JP2003131929A (ja) 2003-05-09

Family

ID=26620363

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002214745A Pending JP2003131929A (ja) 2001-08-10 2002-07-24 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム

Country Status (2)

Country Link
JP (1) JP2003131929A (ja)
WO (1) WO2003017106A1 (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005013500A1 (ja) * 2003-08-04 2005-02-10 Japan Telecom Co., Ltd. 車内無線情報端末及びそれを用いた情報処理システム
JP2006041688A (ja) * 2004-07-23 2006-02-09 Fuji Xerox Co Ltd 画像処理装置、画像処理装置の機能管理方法、機能管理プログラム、及び媒体
JP2006134261A (ja) * 2004-11-09 2006-05-25 Canon Inc 画像処理装置及び画像処理方法
JP2006139502A (ja) * 2004-11-11 2006-06-01 Murata Mach Ltd 画像処理装置
JP2006268500A (ja) * 2005-03-24 2006-10-05 Osaka Gas Co Ltd 作業帳票作成システム及び顧客情報提供方法
JP2007520797A (ja) * 2003-12-29 2007-07-26 ノキア インコーポレイテッド 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法
JP2008033855A (ja) * 2006-08-01 2008-02-14 Hitachi Software Eng Co Ltd クライアントサーバシステム
JP2009112015A (ja) * 2003-05-23 2009-05-21 Ind Technol Res Inst 個人認証デバイスとこのシステムおよび方法
JP2009232398A (ja) * 2008-03-25 2009-10-08 Canon Inc 放送受信装置及びその制御方法
JP2015523766A (ja) * 2012-05-08 2015-08-13 アルカテル−ルーセント クラウド・ネットワークにおける接続高速化のための方法および装置
JP2016057696A (ja) * 2014-09-05 2016-04-21 キヤノン株式会社 情報処理端末およびブラウザストレージ管理方法
WO2016125005A1 (en) 2015-02-05 2016-08-11 Gurunavi, Inc. Information processing system, information processing method, and computer-readable storage medium storing program
JP2016189138A (ja) * 2015-03-30 2016-11-04 株式会社Kddi研究所 キャッシュ管理装置、方法及びプログラム
JP2019530067A (ja) * 2016-09-27 2019-10-17 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd 無人航空機(uav)を管理するシステム及び方法
JP2022551997A (ja) * 2019-10-18 2022-12-14 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 近距離送受信機を使用した、安全なメモリのデータアクセス制御のための、システム及び方法
JP2023138961A (ja) * 2018-09-07 2023-10-03 ベンタナ メディカル システムズ, インコーポレイテッド 生体画像データをキャッシュするためのシステムおよび方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4131581B2 (ja) * 1998-01-30 2008-08-13 株式会社東芝 通信データ秘匿制御システム、及び通信データ秘匿制御方法
JP3225919B2 (ja) * 1998-05-07 2001-11-05 日本電気株式会社 セキュリティシステム

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009112015A (ja) * 2003-05-23 2009-05-21 Ind Technol Res Inst 個人認証デバイスとこのシステムおよび方法
WO2005013500A1 (ja) * 2003-08-04 2005-02-10 Japan Telecom Co., Ltd. 車内無線情報端末及びそれを用いた情報処理システム
JP2007520797A (ja) * 2003-12-29 2007-07-26 ノキア インコーポレイテッド 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法
JP2006041688A (ja) * 2004-07-23 2006-02-09 Fuji Xerox Co Ltd 画像処理装置、画像処理装置の機能管理方法、機能管理プログラム、及び媒体
JP2006134261A (ja) * 2004-11-09 2006-05-25 Canon Inc 画像処理装置及び画像処理方法
JP2006139502A (ja) * 2004-11-11 2006-06-01 Murata Mach Ltd 画像処理装置
JP2006268500A (ja) * 2005-03-24 2006-10-05 Osaka Gas Co Ltd 作業帳票作成システム及び顧客情報提供方法
JP2008033855A (ja) * 2006-08-01 2008-02-14 Hitachi Software Eng Co Ltd クライアントサーバシステム
JP2009232398A (ja) * 2008-03-25 2009-10-08 Canon Inc 放送受信装置及びその制御方法
JP2015523766A (ja) * 2012-05-08 2015-08-13 アルカテル−ルーセント クラウド・ネットワークにおける接続高速化のための方法および装置
JP2016057696A (ja) * 2014-09-05 2016-04-21 キヤノン株式会社 情報処理端末およびブラウザストレージ管理方法
US10084881B2 (en) 2014-09-05 2018-09-25 Canon Kabushiki Kaisha Information processing terminal and browser storage management method
WO2016125005A1 (en) 2015-02-05 2016-08-11 Gurunavi, Inc. Information processing system, information processing method, and computer-readable storage medium storing program
JP2016189138A (ja) * 2015-03-30 2016-11-04 株式会社Kddi研究所 キャッシュ管理装置、方法及びプログラム
JP2019530067A (ja) * 2016-09-27 2019-10-17 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd 無人航空機(uav)を管理するシステム及び方法
US11080381B2 (en) 2016-09-27 2021-08-03 SZ DJI Technology Co., Ltd. Component and user management for UAV systems
JP7039796B2 (ja) 2016-09-27 2022-03-23 エスゼット ディージェイアイ テクノロジー カンパニー リミテッド 無人航空機(uav)を管理するシステム及び方法
JP2023138961A (ja) * 2018-09-07 2023-10-03 ベンタナ メディカル システムズ, インコーポレイテッド 生体画像データをキャッシュするためのシステムおよび方法
US12437858B2 (en) 2018-09-07 2025-10-07 Ventana Medical Systems, Inc. Systems and methods for caching biological image data
JP7754886B2 (ja) 2018-09-07 2025-10-15 ベンタナ メディカル システムズ, インコーポレイテッド 生体画像データをキャッシュするためのシステムおよび方法
JP2022551997A (ja) * 2019-10-18 2022-12-14 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 近距離送受信機を使用した、安全なメモリのデータアクセス制御のための、システム及び方法
US12457106B2 (en) 2019-10-18 2025-10-28 Capital One Services, Llc Systems and methods for data access control of secure memory using a short-range transceiver
JP7842686B2 (ja) 2019-10-18 2026-04-08 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 近距離送受信機を使用した、安全なメモリのデータアクセス制御のための、システム及び方法

Also Published As

Publication number Publication date
WO2003017106A1 (en) 2003-02-27

Similar Documents

Publication Publication Date Title
US7992188B2 (en) Document access control system, data processing apparatus, program product and method for performing document access control
US7921450B1 (en) Security system using indirect key generation from access rules and methods therefor
JP4896054B2 (ja) 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム
US8307067B2 (en) Protecting encrypted files transmitted over a network
USRE44364E1 (en) Method of encrypting information for remote access while maintaining access control
US7921288B1 (en) System and method for providing different levels of key security for controlling access to secured items
US8826021B2 (en) System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data
US8006280B1 (en) Security system for generating keys from access rules in a decentralized manner and methods therefor
TW523682B (en) Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US7707416B2 (en) Authentication cache and authentication on demand in a distributed network environment
JP2003228520A (ja) 保護電子データにオフラインでアクセスする方法及び装置
KR101387600B1 (ko) 전자 파일 전달 방법
JP2002501250A (ja) 機密レコードのための保護されたデータベース管理システム
JP2003131929A (ja) 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム
JP2003228519A (ja) デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ
CN106464732A (zh) 从数据处理设备访问以及提供对于远程资源的访问的方法
CN102483792A (zh) 用于共享文档的方法和装置
US9954853B2 (en) Network security
US20150328119A1 (en) Method of treating hair
US7487535B1 (en) Authentication on demand in a distributed network environment
WO2000079368A1 (en) Software smart card
JP3877388B2 (ja) 情報提供システム
JP2011054028A (ja) 暗号化ネットワークストレージシステム
WO2002095545A2 (en) System and method for secure and private communication
Renault et al. Toward a security model for the future network of information