Nothing Special   »   [go: up one dir, main page]

JP2004110755A - Network information delivery system by authentication and data protection - Google Patents

Network information delivery system by authentication and data protection Download PDF

Info

Publication number
JP2004110755A
JP2004110755A JP2002309001A JP2002309001A JP2004110755A JP 2004110755 A JP2004110755 A JP 2004110755A JP 2002309001 A JP2002309001 A JP 2002309001A JP 2002309001 A JP2002309001 A JP 2002309001A JP 2004110755 A JP2004110755 A JP 2004110755A
Authority
JP
Japan
Prior art keywords
authentication
information
user
data protection
encrypted communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002309001A
Other languages
Japanese (ja)
Inventor
Mitsuo Kasama
笠間 光雄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
INTELLIGENT NETWORK INST
INTELLIGENT NETWORK INSTITUTE
Original Assignee
INTELLIGENT NETWORK INST
INTELLIGENT NETWORK INSTITUTE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by INTELLIGENT NETWORK INST, INTELLIGENT NETWORK INSTITUTE filed Critical INTELLIGENT NETWORK INST
Priority to JP2002309001A priority Critical patent/JP2004110755A/en
Publication of JP2004110755A publication Critical patent/JP2004110755A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent the outflow or fraudulent use of information delivered from a network to an information user and eliminate the threat of the security of the user terminal of a valid user by information access. <P>SOLUTION: On the premises of encrypted communication, authentication is reinforced by using information such as a certificate used in the encrypted communication for user authentication. In order to simultaneously realize data protection and terminal security, the partial or entire copy and printing of the information is limited by use of a component inaccessible to a local resource operated in a general browser to perform the data protection. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】本発明は、インターネットやLANを通じて情報を利用者に配信する際に、情報が不正な利用者に利用されることを排除し、かつ情報が不正にコピーされたり印刷されたりすることを排除し、かつ正当な利用者が情報へのアクセスによってセキュリティを脅かされることを排除するための、認証およびデータ保護によるネットワーク情報配信に関するものである。
【0002】
【従来の技術】ネットワーク情報配信における、利用者認証に従来用いられている手法として、ユーザーIDとパスワードによる認証、IPアドレスによる端末認証、ハードウェアなどによる端末認証があげられる。
【0003】また、ネットワーク情報配信におけるデータ保護に従来用いられている手法として、クライアント端末へアプリケーションソフトウェアをインストールし、あるいは汎用ブラウザを介してプラグインをインストールし、それらのアプリケーションソフトウェアやプラグインの機能に依拠して、情報の一部分あるいは全部のコピーや印刷を制限する手法が採用されている。
【0004】
【発明が解決しようとする課題】利用者認証において採用されている手法のうちユーザーIDとパスワードによる認証は、本来の利用者でなくても、ユーザーIDとパスワードを入手すれば認証を受けることができる。この結果、利用者が第三者にユーザーIDとパスワードを渡すことによる不正利用を防ぐことができない。
【0005】上と同じ理由で、ユーザーIDとパスワードによる認証は、ユーザーIDとパスワードを盗用する第三者による不正利用を防ぐことができない。
【0006】利用者認証において採用されている手法のうち、IPアドレスによる認証は、端末を特定するのみで、利用者を特定できない。
【0007】利用者認証において採用されている手法のうち、IPアドレスによる認証は、DHCPサーバなどでIPアドレスを割り当てる場合、端末のIPアドレスが接続の度に異なり、端末を特定することができない。
【0008】利用者認証において採用されている手法のうち、IPアドレスによる認証は、ルーターなどを介在させた場合のNAT変換などにより、複数の端末のIPアドレスが同一のIPアドレスとなるため、端末を特定することができない。
【0009】利用者認証において採用されている手法のうち、ハードウェアによる端末認証は、端末の特定はできるが、利用者の特定ができない。また各端末に専用のハードウェアを接続する必要がある。
【0010】データの不正なコピーや印刷を制限するために、クライアント端末へアプリケーションソフトウェアをインストールし、あるいは汎用ブラウザを介してプラグインをインストールすると、それらは端末のローカル資源にアクセスできるため、端末のセキュリティを脅かすことになる。
【0011】
【課題を解決するための手段】利用者認証の確実性を担保するために、サーバとクライアント間の通信に暗号化された通信を使用し、通信するデータを暗号化したり複合化するために使用されるクライアントに発行される証明書などの情報を、クライアントを認証するための識別子として使用する。これにより、端末および利用者の特定を、ハードウェアを使用せずにソフトウェアで実現する。
【0012】また、ユーザーIDとパスワード認証、IPアドレス認証、上記暗号化通信に使用される識別子による認証を、AND条件やOR条件で組み合わせて認証するソフトウェアによって、利用者認証の確実性を増大する。
【0013】データ保護と端末のセキュリティを同時に実現するために、汎用ブラウザの中で作動するローカル資源にアクセスできないコンポーネントを使用して、情報の一部分又は全体のコピーおよび印刷を制限し、データ保護を行う。
【0014】
【発明の実施の形態】本発明の実施の形態の一つを、図面を参照して説明する。図1は、本発明の認証およびデータ保護によるネットワーク情報配信システムの構成を示す機能ブロック図である。認証およびデータ保護によるネットワーク情報配信システム10は、暗号化通信プログラム11と、認証プログラム12と、データ保護プログラム13を含む。
【0015】暗号化通信プログラム11と、認証プログラム12と、データ保護プログラム13は、単一サーバとして構成してもよいし、それぞれが独立したサーバとして構成し、別の装置で動作させてもよい。また、CGIやサーブレットといった、Webサーバの拡張機能として構成してもよい。
【0016】本例では、暗号化通信プログラム11と、認証プログラム12と、データ保護プログラム13は、単一のサーバとして構成されているものとし、配信情報50を、ネットワーク20を経由して汎用ブラウザ30に配信する場合の構成について説明する。暗号化通信プログラム11と汎用ブラウザ30は暗号化通信を行う。暗号化通信プログラム11は、汎用ブラウザ30から送信される暗号化通信に使用される証明書40を、暗号化通信に使用するとともに、認証プログラム12に渡す。認証プログラム12は、証明書40を認証のための識別子の一つとして使用し、汎用ブラウザ30の利用者を認証する。データ保護プログラム13は、汎用ブラウザ30が要求してきた情報を、予め用意されたファイルから取得したり、他のシステムから取得し、データ保護が施されたデータに加工して、暗号化通信プログラム11を介して汎用ブラウザ30に送信する。汎用ブラウザ30は、データ保護が施されたデータである配信情報50を表示する。データ保護プログラム13の設定により、認証プログラム12で認証する利用者毎に、一つ、汎用ブラウザ30に表示されているデータをクリップボードにコピーし、他のアプリケーションに貼り付けると、予め設定された文字数しか貼り付けられない、一つ、汎用ブラウザ30に表示されているデータをクリップボードにコピーし、他のアプリケーションに貼り付けると、予め設定された文字列が付加される、一つ、汎用ブラウザ30に表示されているデータをクリップボードにコピーすることができない、一つ、汎用ブラウザ30に表示されているデータを印刷することができない、一つ、汎用ブラウザ30に表示されているデータをファイル保存することができない、一つ、汎用ブラウザ30に表示されているデータをソース表示することができない、などの設定ができる。
【0017】
【発明の効果】本発明により、情報配信者は正当な情報利用者を認証し同時に不正な情報の流出を排除しつつ、情報を配信することができ、また情報利用者は情報へのアクセスに際して端末のセキュリティを高く保つことができる。これによって情報の機密性を保つこと、あるいは情報の有償性を保つことができる。
【図面の簡単な説明】
【図1】本発明の一実施形態における、認証およびデータ保護によるネットワーク情報配信システムの例を示す機能ブロック図である。
【符号の説明】
10 認証およびデータ保護によるネットワーク情報配信システム
11 暗号化通信プログラム
12 認証プログラム
13 データ保護プログラム
20 ネットワーク
30 汎用ブラウザ
40 証明書
50 配信情報[0001]
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention eliminates the use of information by unauthorized users when distributing information to users via the Internet or a LAN, and prevents information from being illegally copied or printed. The present invention relates to the distribution of network information by authentication and data protection in order to eliminate security threats due to access to information by legitimate users.
[0002]
2. Description of the Related Art In network information distribution, methods conventionally used for user authentication include user ID and password authentication, terminal authentication by IP address, and terminal authentication by hardware.
[0003] As a method conventionally used for data protection in network information distribution, application software is installed in a client terminal, or a plug-in is installed through a general-purpose browser, and the functions of the application software and the plug-in are installed. , A method of restricting copying or printing of part or all of information is adopted.
[0004]
Among the methods adopted in user authentication, authentication using a user ID and a password can be authenticated by obtaining a user ID and a password even if the user is not the original user. it can. As a result, it is impossible to prevent unauthorized use by the user passing the user ID and password to a third party.
For the same reason as above, authentication using a user ID and a password cannot prevent unauthorized use by a third party who steals the user ID and the password.
[0006] Among the methods adopted in the user authentication, the authentication based on the IP address only specifies the terminal but cannot specify the user.
[0007] Among the methods adopted in user authentication, in the authentication based on an IP address, when an IP address is assigned by a DHCP server or the like, the terminal IP address differs every time connection is made, and the terminal cannot be specified.
[0008] Among the methods adopted in user authentication, in the authentication based on the IP address, the IP address of a plurality of terminals becomes the same IP address due to NAT conversion or the like when a router or the like is interposed. Can not be identified.
Among the methods adopted in user authentication, terminal authentication by hardware can specify a terminal, but cannot specify a user. It is also necessary to connect dedicated hardware to each terminal.
When application software is installed on a client terminal or a plug-in is installed through a general-purpose browser in order to restrict unauthorized copying or printing of data, they can access local resources of the terminal. It is a security threat.
[0011]
In order to ensure the reliability of user authentication, encrypted communication is used for communication between a server and a client, and is used for encrypting or decrypting data to be communicated. Information, such as a certificate issued to the client, is used as an identifier for authenticating the client. As a result, the terminal and the user can be specified by software without using hardware.
[0012] In addition, the reliability of user authentication is increased by software that authenticates user ID and password authentication, IP address authentication, and authentication using an identifier used in the above-described encrypted communication by using an AND condition or an OR condition. .
In order to simultaneously achieve data protection and terminal security, components that do not have access to local resources operating within a general-purpose browser are used to restrict the copying and printing of part or all of information and to protect data. Do.
[0014]
DESCRIPTION OF THE PREFERRED EMBODIMENTS One embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a functional block diagram showing the configuration of a network information distribution system based on authentication and data protection of the present invention. The network information distribution system 10 based on authentication and data protection includes an encrypted communication program 11, an authentication program 12, and a data protection program 13.
The encrypted communication program 11, the authentication program 12, and the data protection program 13 may be configured as a single server, or each may be configured as an independent server and operated by another device. . Further, it may be configured as an extended function of a Web server such as CGI or servlet.
In this example, the encrypted communication program 11, the authentication program 12, and the data protection program 13 are configured as a single server, and the distribution information 50 is transmitted to the general-purpose browser via the network 20. The configuration in the case of distribution to 30 will be described. The encrypted communication program 11 and the general-purpose browser 30 perform encrypted communication. The encrypted communication program 11 uses the certificate 40 used for the encrypted communication transmitted from the general-purpose browser 30 for the encrypted communication and passes the certificate 40 to the authentication program 12. The authentication program 12 uses the certificate 40 as one of the identifiers for authentication, and authenticates the user of the general-purpose browser 30. The data protection program 13 obtains the information requested by the general-purpose browser 30 from a file prepared in advance, or obtains the information from another system, processes the data into data with data protection, and processes the encrypted communication program 11. To the general-purpose browser 30 via the. The general-purpose browser 30 displays distribution information 50 that is data that has been data protected. According to the setting of the data protection program 13, for each user who is authenticated by the authentication program 12, the data displayed on the general-purpose browser 30 is copied to the clipboard and pasted to another application. One is that the data displayed on the general-purpose browser 30 is copied to the clipboard and pasted into another application, and a character string set in advance is added. Cannot copy the displayed data to the clipboard. One cannot print the data displayed in the general-purpose browser 30. One can save the data displayed in the general-purpose browser 30 as a file. One of them is to display the data displayed on the general-purpose browser 30 as a source. Door can not be, can be set, such as.
[0017]
According to the present invention, an information distributor can authenticate a legitimate information user and simultaneously distribute information while preventing illegal information from leaking out. The security of the terminal can be kept high. As a result, the confidentiality of the information or the chargeability of the information can be maintained.
[Brief description of the drawings]
FIG. 1 is a functional block diagram illustrating an example of a network information distribution system based on authentication and data protection according to an embodiment of the present invention.
[Explanation of symbols]
Reference Signs List 10 Network information distribution system by authentication and data protection 11 Encrypted communication program 12 Authentication program 13 Data protection program 20 Network 30 General-purpose browser 40 Certificate 50 Distribution information

Claims (4)

サーバとクライアント間の暗号化された通信において、通信するデータを暗号化したり複合化するために使用されるクライアントに発行される証明書などの情報を、暗号化された通信を行う目的ではなく、クライアントを認証するための識別子として使用する認証方法。In the encrypted communication between the server and the client, information such as a certificate issued to the client used to encrypt or decrypt the data to be communicated is not used for the purpose of performing the encrypted communication, An authentication method used as an identifier to authenticate the client. 汎用ブラウザで、ローカル資源にアクセスできないコンポーネントのみを使用して、汎用ブラウザに表示されるデータを保護するために、情報の一部分又は全体のコピーおよび印刷を制限する方法。A method for restricting the copying and printing of part or all of information in a general purpose browser to protect data displayed in the general purpose browser using only components that do not have access to local resources. 請求項1で記述している認証方法と、ユーザーIDとパスワードによる認証方法と、IPアドレスによる認証方法とを、AND条件やOR条件で組み合わせる認証方法。An authentication method in which the authentication method described in claim 1, an authentication method using a user ID and a password, and an authentication method using an IP address are combined under an AND condition or an OR condition. 請求項2で記述しているデータ保護方法と、請求項3で記述している認証方法を使用し、ネットワークに情報を配信するシステム。A system for distributing information to a network using the data protection method described in claim 2 and the authentication method described in claim 3.
JP2002309001A 2002-09-18 2002-09-18 Network information delivery system by authentication and data protection Pending JP2004110755A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002309001A JP2004110755A (en) 2002-09-18 2002-09-18 Network information delivery system by authentication and data protection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002309001A JP2004110755A (en) 2002-09-18 2002-09-18 Network information delivery system by authentication and data protection

Publications (1)

Publication Number Publication Date
JP2004110755A true JP2004110755A (en) 2004-04-08

Family

ID=32289434

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002309001A Pending JP2004110755A (en) 2002-09-18 2002-09-18 Network information delivery system by authentication and data protection

Country Status (1)

Country Link
JP (1) JP2004110755A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009134906A2 (en) * 2008-04-30 2009-11-05 Viasat, Inc. Network security appliance
JP2012533823A (en) * 2009-07-20 2012-12-27 フェイスブック,インク. Communicate information about the local machine to the browser application

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009134906A2 (en) * 2008-04-30 2009-11-05 Viasat, Inc. Network security appliance
WO2009134906A3 (en) * 2008-04-30 2010-02-04 Viasat, Inc. Network security appliance
JP2012533823A (en) * 2009-07-20 2012-12-27 フェイスブック,インク. Communicate information about the local machine to the browser application
US9471554B2 (en) 2009-07-20 2016-10-18 Facebook, Inc. Communicating information about a local machine to a browser application

Similar Documents

Publication Publication Date Title
CN109361668B (en) Trusted data transmission method
US8978125B2 (en) Identity controlled data center
AU780201B2 (en) Remote printing of secure and/or authenticated documents
US6918042B1 (en) Secure configuration of a digital certificate for a printer or other network device
US7243226B2 (en) Method and system for enabling content security in a distributed system
US20020046350A1 (en) Method and system for establishing an audit trail to protect objects distributed over a network
US20030051172A1 (en) Method and system for protecting digital objects distributed over a network
US20030217148A1 (en) Method and apparatus for LAN authentication on switch
US20020032873A1 (en) Method and system for protecting objects distributed over a network
CN103248479A (en) Cloud storage safety system, data protection method and data sharing method
JP2012048729A (en) Server computer for guaranteeing integrity of file
JP2014531163A5 (en)
US20030237005A1 (en) Method and system for protecting digital objects distributed over a network by electronic mail
US20130097427A1 (en) Soft-Token Authentication System
CN112861089A (en) Method, resource server, resource user side, device and medium for authorization authentication
CN115277168B (en) Method, device and system for accessing server
US8355508B2 (en) Information processing apparatus, information processing method, and computer readable recording medium
KR20090054774A (en) Method of integrated security management in distribution network
JP2004110755A (en) Network information delivery system by authentication and data protection
JP2008166861A (en) File distribution system, file distribution method, encryption device, decryption key distribution unit, and program
JP2003338813A (en) Privacy protected multiple authorities confirmation system, privacy protected multiple authorities confirmation method, and program therefor
JP2014081887A (en) Secure single sign-on system and program
JP2003228550A (en) Method for restricting distribution of illegal contents and edge router
US20240121083A1 (en) Secure restoration of private key
Czerwinski et al. A secure service discovery service