特許 5665984 クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5665984

(24)【登録日】2014年12月19日

(45)【発行日】2015年2月4日

(54)【発明の名称】クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法

(51)【国際特許分類】

   G06F 21/62 20130101AFI20150115BHJP

   G06F 13/00 20060101ALI20150115BHJP

【ＦＩ】

   G06F21/24 163A

   G06F13/00 550L

【請求項の数】11

【全頁数】12

(21)【出願番号】特願2013-521671(P2013-521671)

(86)(22)【出願日】2010年12月28日

(65)【公表番号】特表2013-538392(P2013-538392A)

(43)【公表日】2013年10月10日

(86)【国際出願番号】KR2010009438

(87)【国際公開番号】WO2012015127

(87)【国際公開日】20120202

【審査請求日】2013年4月1日

(31)【優先権主張番号】10-2010-0072378

(32)【優先日】2010年7月27日

(33)【優先権主張国】KR

(73)【特許権者】

【識別番号】511307856

【氏名又は名称】ファスドットコム カンパニー リミテッド

【氏名又は名称原語表記】ＦＡＳＯＯ．ＣＯＭ Ｃｏ．，Ｌｔｄ．

(74)【代理人】

【識別番号】100107766

【弁理士】

【氏名又は名称】伊東 忠重

(74)【代理人】

【識別番号】100070150

【弁理士】

【氏名又は名称】伊東 忠彦

(74)【代理人】

【識別番号】100091214

【弁理士】

【氏名又は名称】大貫 進介

(72)【発明者】

【氏名】リ，ヒョン−ジュ

【審査官】 脇岡 剛

(56)【参考文献】

【文献】 特開平１１−２９６４２５（ＪＰ，Ａ）

【文献】 特開２００６−２６０１７６（ＪＰ，Ａ）

【文献】 特開２００１−３２５２２４（ＪＰ，Ａ）

【文献】 特開２００６−０６７３６３（ＪＰ，Ａ）

【文献】 特開２００５−３３９１４９（ＪＰ，Ａ）

【文献】 国際公開第２００９／０５３５６７（ＷＯ，Ａ１）

【文献】 米国特許第０５９１７９１２（ＵＳ，Ａ）

【文献】 国際公開第２００８／１５４４２８（ＷＯ，Ａ１）

【文献】 米国特許出願公開第２００８／００６６１８５（ＵＳ，Ａ１）

【文献】 米国特許出願公開第２００８／００５９４４８（ＵＳ，Ａ１）

【文献】 米国特許出願公開第２０１０／００９５１２１（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／６２

Ｇ０６Ｆ １３／００

(57)【特許請求の範囲】

【請求項1】

ウェブサーバとネットワークを介して接続されるウェブブラウザが搭載されたクライアント装置であって、
前記ウェブブラウザから前記ウェブサーバに伝送されるウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加して前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力し、前記ウェブデータ応答メッセージに含まれたウェブデータを前記ウェブブラウザに伝達するメッセージ処理部と、
前記メッセージ処理部から入力された、前記パージングされた権限情報の内容に基づいて、前記ウェブデータ応答メッセージに含まれたウェブデータの前記ウェブブラウザを通じる出力を制御する権限管理部と、を備え、
前記メッセージ処理部及び前記権限管理部は、前記ウェブブラウザのプロセスの内部で動作することを特徴とするクライアント装置。

【請求項2】

前記メッセージ処理部は、前記ウェブデータ要請メッセージに含まれたＵＲＩ情報の誤り、または前記エージェント情報に基づいて判断された権限管理の未支援によって前記ウェブサーバから伝送された要請拒否に関するエラーコードを含む応答メッセージを前記ウェブブラウザに伝達することを特徴とする請求項１に記載のクライアント装置。

【請求項3】

前記権限管理部は、前記ウェブデータに対応して前記ウェブブラウザを通じて入力された動作メッセージに対して前記パージングされた権限情報の内容に基づいて、前記ウェブデータに対するユーザ動作の許容如何を定めることを特徴とする請求項１または２に記載のクライアント装置。

【請求項4】

ウェブサーバとネットワークを介して接続されるウェブブラウザが搭載されたクライアント装置に用いられる権限管理方法であって、
（ａ）前記ウェブブラウザから前記ウェブサーバに伝送されるウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加して前記ウェブサーバに伝達する段階と、
（ｂ）前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力する段階と、
（ｃ）前記パージングされた権限情報の内容に基づいて、前記ウェブデータ応答メッセージに含まれたウェブデータの前記ウェブブラウザを通じる出力を制御する段階と、
（ｄ）前記（ｃ）段階で前記ウェブデータを出力すると定められれば、前記ウェブデータ応答メッセージに含まれたウェブデータを前記ウェブブラウザに伝達する段階と、を含み、
前記（ａ）段階乃至（ｄ）段階は、前記ウェブブラウザのプロセスの内部で動作することを特徴とするウェブデータの権限管理方法をコンピュータで行わせるためのプログラム。

【請求項5】

前記（ｂ）段階で、前記ウェブデータ要請メッセージに含まれたＵＲＩ情報の誤り、または前記エージェント情報に基づいて判断された権限管理の未支援によって前記ウェブサーバから伝送された要請拒否に関するエラーコードを含む応答メッセージを前記ウェブブラウザに伝達することを特徴とする請求項４に記載のウェブデータの権限管理方法をコンピュータで行わせるためのプログラム。

【請求項6】

（ｅ）前記ウェブデータに対応して、前記ウェブブラウザを通じて入力された動作メッセージに対して前記パージングされた権限情報の内容に基づいて、前記ウェブデータに対するユーザ動作の許容如何を定める段階をさらに含み、
さらに、前記（ｅ）段階は、前記ウェブブラウザのプロセスの内部で動作することを特徴とする請求項４または５に記載のウェブデータの権限管理方法をコンピュータで行わせるためのプログラム。

【請求項7】

ウェブサーバからウェブブラウザに伝送されるウェブデータについての権限管理を行う権限管理エージェントから前記ウェブサーバに伝達されるウェブデータ要請メッセージのヘッダに含まれた前記権限管理エージェントの、前記ウェブデータについての権限管理の支援如何を示すエージェント情報、及び前記ウェブデータ要請メッセージに含まれたＵＲＩ情報に基づいて、前記ウェブブラウザが前記ウェブデータを提供されるかどうかを判別するブラウザ判別部と、
前記ウェブブラウザが前記ウェブデータを提供されると判断されれば、前記ウェブデータ要請メッセージを前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに、前記ウェブデータに対して設定される権限情報を追加して前記権限管理エージェントに伝達するメッセージ伝達部と、を備えることを特徴とする権限管理情報提供装置。

【請求項8】

前記メッセージ伝達部は、前記ウェブブラウザが前記ウェブデータを提供されないと判断されれば、要請拒否に関するエラーコードを含む応答メッセージを前記権限管理エージェントに伝達することを特徴とする請求項７に記載の権限管理情報提供装置。

【請求項9】

（ａ）ウェブサーバからウェブブラウザに伝送されるウェブデータについての権限管理を行う権限管理エージェントから前記ウェブサーバに伝達されるウェブデータ要請メッセージのヘッダに含まれた前記権限管理エージェントの、前記ウェブデータについての権限管理の支援如何を示すエージェント情報、及び前記ウェブデータ要請メッセージに含まれたＵＲＩ情報に基づいて、前記ウェブブラウザが前記ウェブデータを提供されるかどうかを判別する段階と、
（ｂ）前記ウェブブラウザが前記ウェブデータを提供されると判断されれば、前記ウェブデータ要請メッセージを前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに、前記ウェブデータに対して設定される権限情報を追加して前記権限管理エージェントに伝達する段階と、を含むことを特徴とする権限管理情報提供方法。

【請求項10】

前記（ｂ）段階で、前記ウェブブラウザが前記ウェブデータを提供されないと判断されれば、要請拒否に関するエラーコードを含む応答メッセージを前記権限管理エージェントに伝達することを特徴とする請求項９に記載の権限管理情報提供方法。

【請求項11】

請求項９または１０に記載の権限管理情報提供方法をコンピュータで行わせるためのプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、クライアント装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、及び権限管理情報提供装置とその方法に係り、さらに詳細には、ウェブサーバによって設定される権限に基づいてウェブブラウザに提供されるウェブデータを管理し、クライアントに伝送されるウェブデータに関する権限管理情報を含ませる装置及び方法に関する。

【背景技術】

【0002】

主要ウェブブラウザは、ウェブエンジンに基づいて開発され、機能拡張のための拡張インターフェースを提供する。ここで、ウェブエンジンは、公開ソース如何に関係なく標準インターフェースを持ち、一般的な場合、下位互換性を支援するためにインターフェースが保持される。また拡張機能の開発のために提供されるインターフェースも下位互換性の保持のために一般的に持続的に保持される特徴がある。このようにインターフェースが保持される属性を用いてウェブブラウザの制御技術を開発する場合、同じウェブエンジンを用いて開発された異種のブラウザに対して、同一または類似した制御パターンを適用でき、ブラウザのアップグレードが生じてインターフェースの保持可能性が高いため、メンテナンスが相対的に容易であるという長所がある。

【0003】

ウェブ上に存在するデータに対する接近制御及びネットワーク区間に対する暗号化の場合には、各種標準が開発されてブラウザ及びＯＳに関係なく支援されているが、クライアントに伝送された情報についての権限管理（ｒｉｇｈ ｔｍａｎａｇｅｍｅｎｔ）は、コンピュータプログラミングに関して標準化されていない。それにより、現行のウェブデータ権限管理は、普通、標準ウェブ規格を応用するか、またはブラウザ拡張機能を応用することで行われている。

【0004】

先ず、にスクリプト（ｓｃｒｉｐｔ）及びクッキー（ｃｏｏｋｉｅ）などのウェブ標準規格を用いてクライアントに伝送されたウェブ情報の変換を制御する例には、マウスによるドラッグ（ｄｒａｇ）遮断及びキーボード入力遮断などがある。これらの方式はブラウザ及びＯＳ従属性を持っておらず、スクリプトの動作範囲が保護対象範囲と一致するため、保護対象の識別が容易である。また、ウェブサーバにおける付加機能を不要とするという長所を持つ。しかし、スクリプトを支援しないブラウザやスクリプト動作を遮断した場合には動作せず、スクリプト動作の可能なＨＴＭＬ規格に保護対象が限定される。そして、制御動作はすべての情報が伝送された後で行われるため、伝送された情報からスクリプト部分のみ除去すれば情報抽出が容易であり、ブラウザ内に存在する他の拡張（ｅｘｔｅｎｓｉｏｎ）による情報抽出に対応できないという短所を持つ。

【0005】

一方、ブラウザ拡張を用いた権限管理方式は、ブラウザ拡張をＨＴＭＬ内で呼び出し、呼び出されたブラウザ拡張でブラウザの機能を制御する方式である。かかる方式は、呼び出された部分のみ保護すればよいという点で、保護対象識別が相対的に容易であり、ウェブサーバにおける付加機能を不要とするという長所を持つ一方、ブラウザ及びＯＳ従属性を持つため、該ブラウザ及びＯＳ別に開発されねばならず、ブラウザ拡張機能を提供しないブラウザでは動作しないという問題がある。これを補強するために、スクリプト及びクッキーなどの技法がさらに適用されねばならないが、それにより発生する短所は前述した通りである。

【0006】

このように既知のウェブ情報保護方式は、ウェブ上に物理的に存在するファイル単位の保護に焦点を合わせ、保護可能な情報がプログラミング可能な情報に限定される。すなわち、既存の方式は、ＤＣＦ（ＤＲＭ Ｃｏｎｔｅｎｔ Ｆｏｒｍａｔ）などの自体ＤＲＭフォーマットを持つファイルや、ＨＴＭＬのようにジャバスクリプトなどの制御動作を含む客体について制限的な保護が可能であり、既存方式で支援できないイメージなどの固定フォーマットや、動的に生成されたデータ客体の権限保護のために権限管理をプロトコルレベルで支援する方法が必要である。

【発明の概要】

【発明が解決しようとする課題】

【0007】

本発明が解決しようとする技術的課題は、ウェブサーバからクライアントに伝送されるデータに関する権限情報をプロトコルレベルで処理できるウェブデータの権限管理装置及びウェブデータの権限管理方法をコンピュータで行わせるための記録媒体を提供するところにある。

【0008】

本発明が解決しようとする他の技術的課題は、ウェブデータを提供するウェブサーバの基本的な機能を変化させずにウェブデータに関する権限情報を設定できる権限管理情報提供装置及び方法を提供するところにある。

【課題を解決するための手段】

【0009】

前記技術的課題を解決するための、本発明によるウェブデータの権限管理装置は、ウェブブラウザからウェブサーバに伝送されるウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加して前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力し、前記ウェブデータ応答メッセージに含まれたウェブデータを前記ウェブブラウザに伝達するメッセージ処理部；前記メッセージ処理部から入力された、前記パージングされた権限情報の内容に基づいて、前記ウェブデータ応答メッセージに含まれたウェブデータの前記ウェブブラウザを通じる出力を制御する権限管理部；を備える。

【0010】

前記技術的課題を解決するための、本発明によるウェブデータの権限管理方法は、（ａ）ウェブブラウザからウェブサーバに伝送されるウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加して前記ウェブサーバに伝達する段階；（ｂ）前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力する段階；（ｃ）前記パージングされた権限情報の内容に基づいて、前記ウェブデータ応答メッセージに含まれたウェブデータの前記ウェブブラウザを通じる出力を制御する段階；（ｄ）前記（ｃ）段階で前記ウェブデータを出力すると定められれば、前記ウェブデータ応答メッセージに含まれたウェブデータを前記ウェブブラウザに伝達する段階；を含む。

【0011】

前記他の技術的課題を解決するための、本発明による権限管理情報提供装置は、ウェブサーバからウェブブラウザに伝送されるウェブデータについての権限管理を行う権限管理エージェントから前記ウェブサーバに伝達されるウェブデータ要請メッセージのヘッダに含まれた、前記権限管理エージェントの前記ウェブデータについての権限管理の支援如何を示すエージェント情報、及び前記ウェブデータ要請メッセージに含まれたＵＲＩ情報に基づいて、前記ウェブブラウザが前記ウェブデータを提供されるかどうかを判別するブラウザ判別部；前記ウェブブラウザが前記ウェブデータを提供されると判断されれば、前記ウェブデータ要請メッセージを前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに、前記ウェブデータに対して設定される権限情報を追加して前記権限管理エージェントに伝達するメッセージ伝達部；を備える。

【0012】

前記他の技術的課題を解決するための、本発明による権限管理情報提供方法は、（ａ）ウェブサーバからウェブブラウザに伝送されるウェブデータについての権限管理を行う権限管理エージェントから前記ウェブサーバに伝達されるウェブデータ要請メッセージのヘッダに含まれた、前記権限管理エージェントの前記ウェブデータについての権限管理の支援如何を示すエージェント情報、及び前記ウェブデータ要請メッセージに含まれたＵＲＩ情報に基づいて、前記ウェブブラウザが前記ウェブデータを提供されるかどうかを判別する段階；（ｂ）前記ウェブブラウザが前記ウェブデータを提供されると判断されれば、前記ウェブデータ要請メッセージを前記ウェブサーバに伝達し、前記ウェブサーバから前記ウェブブラウザに伝送されるウェブデータ応答メッセージのヘッダに、前記ウェブデータに対して設定される権限情報を追加して前記権限管理エージェントに伝達する段階；を含む。

【発明の効果】

【0013】

本発明によるウェブデータの権限管理装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、そして権限管理情報提供装置及び方法によれば、ウェブデータを要請するウェブブラウザ及びウェブデータを提供するウェブサーバの機能を変化させずに、ウェブデータに関する権限管理情報を含ませ、かつ権限情報の内容によるウェブデータの出力制御を行える。

【図面の簡単な説明】

【0014】

【図1】本発明によるウェブデータの権限管理装置に関する望ましい実施形態の構成を示すブロック図である。

【図2】本発明による権限管理情報提供装置に関する望ましい実施形態の構成を示すブロック図である。

【図3】ウェブデータが３つのフレームに分けられる場合についての権限処理の例を示す図面である。

【図4】本発明によるウェブデータの権限管理装置及び権限管理情報提供装置によってウェブデータについての権限管理が行われる望ましい実施形態の実行過程を示すフローチャートである。

【発明を実施するための形態】

【0015】

以下、添付した図面を参照して、本発明によるウェブデータの権限管理装置、ウェブデータの権限管理方法をコンピュータで行わせるための記録媒体、そして権限管理情報提供装置及び方法の望ましい実施形態について詳細に説明する。

【0016】

図１は、本発明によるウェブデータの権限管理装置に関する望ましい実施形態の構成を示すブロック図である。図１を参照すれば、本発明によるウェブデータの権限管理装置１００は、メッセージ処理部１１０及び権限管理部１２０を備え、ウェブサーバ４００からウェブデータを伝送されてディスプレイするウェブブラウザ３００と共にクライアント端末に具現される。また本発明によるウェブデータの権限管理装置１００は、ウェブブラウザ３００とウェブサーバ４００との間で権限管理エージェントとしての機能を行い、ブラウザ拡張形態で提供されてウェブブラウザ３００プロセスの内部で動作する。さらに、本発明によるウェブデータの権限管理装置１００は、ウェブブラウザ３００の動作一部として行われる。

【0017】

メッセージ処理部１１０は、ウェブブラウザ３００からウェブサーバ４００に伝送されるウェブデータ要請メッセージのヘッダに、本発明によるウェブデータの権限管理装置１００のウェブデータについての権限管理の支援如何を示すエージェント情報を追加してウェブサーバ４００に伝達する。また、ウェブサーバ４００からウェブブラウザ３００に伝送されるウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして出力し、ウェブデータ応答メッセージに含まれたウェブデータをウェブブラウザ３００に伝達する。

【0018】

既存の権限管理方式では、ウェブブラウザ３００が、自分の権限管理の支援如何を示す情報をウェブデータ要請メッセージに直接含ませて伝送させる。それによって、現在ウェブブラウザ３００の支援可能な制御規格バージョン、及びウェブブラウザ３００自体に関する識別情報が必要である。しかし、本発明によるウェブデータの権限管理装置１００によれば、ウェブブラウザ３００は、ウェブデータの提供を要請するためのウェブデータ要請メッセージを生成してウェブサーバ４００に向けて伝送し、メッセージ処理部１１０が中間で、ウェブデータ要請メッセージのヘッダにエージェント情報を追加してウェブサーバ４００に伝達する。したがって、ウェブブラウザ３００に新たな機能を追加せずにウェブデータについての権限管理が可能である。

【0019】

一方、ウェブ区間は、保安を適用しない場合にすべての情報が露出され、偽・変造が可能である。したがって、ウェブ区間におけるデータ保護技法が適用される必要があり、これは、通常的なＳＳＬ（Ｓｅｃｕｒｅ Ｓｏｃｋｅｔｓ Ｌａｙｅｒ）のようなデータ区間保護によって行われる。

【0020】

ウェブサーバ４００からは、ウェブブラウザ３００が要請したウェブデータが含まれたウェブデータ応答メッセージが伝送され、メッセージ処理部１１０は、ウェブデータ応答メッセージをウェブブラウザ３００に伝達する。この時、ウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングして権限管理部１２０に伝送する。ウェブデータに関する権限情報は、特定ＩＰのウェブブラウザ３００に限定されたウェブデータ提供権限、ウェブデータについての読み取り権限、ウェッブブラウザ３００を通じて出力されたウェブデータの印刷（ｐｒｉｎｔ）権限などを含む。

【0021】

権限管理部１２０は、パージングされた権限情報の内容に基づいてウェブデータ応答メッセージに含まれたウェブデータのウェブブラウザ３００を通じる出力を制御する。すなわち、メッセージ処理部１１０からウェブブラウザ３００に伝達されるウェブデータ応答メッセージに含まれたウェブデータは、権限管理部１２０の制御によってウェブブラウザ３００を通じる出力如何が定められる。例えば、権限情報の内容が特定ＩＰのウェブブラウザ３００に限定されたウェブデータ提供に関し、現在ウェブデータ要請メッセージを伝送したウェブブラウザ３００がウェブデータ提供対象であるＩＰに該当しない場合、権限管理部１２０は、メッセージ処理部１１０によって伝達されたウェブデータ応答メッセージに含まれたウェブデータを、該ウェブブラウザ３００を通じて出力させない。

【0022】

一方、ウェブデータ応答メッセージに含まれた権限情報によってウェブデータの出力如何が定められるものではないウェブデータがウェブブラウザ３００に提供されない場合がありうる。例えば、メッセージ処理部１１０によってウェブデータ要請メッセージのヘッダに追加されたエージェント情報を通じて、本発明によるウェブデータの権限管理装置１００が権限管理を支援しないと判別される場合、またはウェブブラウザ３００が要請したＵＲＩ情報に対応するウェブデータをウェブサーバ４００が提供できない場合である。このようなウェブデータの提供如何の判断はウェブサーバ４００側で行われ、ウェブデータを提供できない場合には、ウェブサーバ４００から要請拒否に関するエラーコードを含む応答メッセージが伝送される。メッセージ処理部１１０は、これをウェブブラウザ３００に伝達してウェブデータを提供されないことを知らせる。

【0023】

本発明によるウェブデータの権限管理装置１００が、ウェブブラウザ３００と共にクライアント端末に備えられて、ウェブブラウザ３００に新たな機能を追加せずにウェブデータについての権限管理を行うことに対応して、本発明による権限管理情報提供装置２００は、ウェブサーバ４００側でウェブデータの提供如何を判断して、ウェブデータ応答メッセージに権限情報を含ませる機能を行う。

【0024】

図２は、本発明による権限管理情報提供装置２００に関する望ましい実施形態の構成を示すブロック図である。図２を参照すれば、本発明による権限管理情報提供装置２００は、ブラウザ判別部２１０及びメッセージ伝達部２２０を備える。また本発明による権限管理情報提供装置２００は、ウェブサーバ４００内に具現されてもよく、別途の装置で具現されて、本発明によるウェブデータの権限管理装置１００とウェブサーバ４００との間でメッセージ伝達機能を行ってもよい。

【0025】

ブラウザ判別部２１０は、ウェブサーバ４００からウェブブラウザ３００に伝送されるウェブデータについての権限管理を行う権限管理エージェント１００からウェブサーバ４００に伝達されるウェブデータ要請メッセージのヘッダに含まれた、権限管理エージェント１００のウェブデータについての権限管理の支援如何を示すエージェント情報、及びウェブデータ要請メッセージに含まれたＵＲＩ情報に基づいて、ウェブブラウザ３００がウェブデータを提供されるかどうかを判別する。

【0026】

ここで権限管理エージェント１００は、前記の本発明によるウェブデータの権限管理装置１００と同じ機能を行う装置であり、以下では、権限管理エージェント１００、すなわち、ウェブデータの権限管理装置１００に備えられたメッセージ処理部１１０及び権限管理部１２０の機能と共に、本発明による権限管理情報提供装置２００の各構成要素の機能を説明する。

【0027】

前記で、本発明によるウェブデータの権限管理装置１００が権限管理を支援しないと判別される場合、またはウェブブラウザ３００が要請したＵＲＩ情報に対応するウェブデータをウェブサーバ４００が提供できない場合には、ウェブサーバ４００から要請拒否に関するエラーコードを含む応答メッセージが伝送されることを説明した。この時、ウェブデータのウェブブラウザ３００への提供如何を判別する機能は、ブラウザ判別部２１０が行う。ブラウザ判別部２１０の判別結果は、メッセージ伝達部２２０に入力される。

【0028】

メッセージ伝達部２２０は、ブラウザ判別部２１０の判別結果、ウェブデータがウェブブラウザ３００みに提供されなければ、前述したように、要請拒否に関するエラーコードを含む応答メッセージをメッセージ処理部１１０に伝送する。またウェブブラウザ３００がウェブデータを提供されると判断されれば、ウェブデータ要請メッセージをウェブサーバ４００に伝達し、ウェブサーバ４００からウェブブラウザ３００に伝送されるウェブデータ応答メッセージのヘッダに、ウェブデータに対して設定される権限情報を追加して、権限管理エージェント１００のメッセージ処理部１１０に伝達する。

【0029】

ウェブデータ応答メッセージに含まれる権限情報は、ウェブデータの最上位エレメント（ｅｌｅｍｅｎｔ）に対してＡＮＤ演算で適用される。図３は、ウェブデータが３つのフレームに分けられる場合についての権限処理の例を示す図面である。図３を参照すれば、一つのメインＨＴＭＬがＡないしＣの３つのＨＴＭＬに分けられ、それぞれのＨＴＭＬに共通で設定される権限が読み取り（Ｖｉｅｗ）権限であるということが分かる。したがって、ウェブブラウザ３００を通じて出力されるウェブデータに対して設定される権限情報は、ＡＮＤ演算によって読み取り権限のみを含む。

【0030】

ウェッブブラウザ３００に伝送されたウェブデータは、ウェブブラウザ３００内で使用可能な形態に再加工され、加工された情報は、各機能を担当するコンポネント（ｃｏｍｐｏｎｅｎｔ）に提供される。ウェッブブラウザ３００は、使用モデルのため最終的にユーザが活用できる形態にならねばならないので、モニタリング及びフィルタリングを担当するモジュールを除去すれば、ユーザの動作からウェブブラウザ３００の動作が開始される。この時、ウェブブラウザ３００のコアエンジン（ｃｏｒｅ ｅｎｇｉｎｅ）部分は、情報を要請するコンポネントに現在のユーザ動作に連結された情報を提供する。

【0031】

ここで、コンポネントは、動的に生成されてメモリに常在するコード実行部であり、ウェッブブラウザ３００の機能を担当するか、または、拡張（ｅｘｔｅｎｓｉｏｎ）機能に属する部分またはＨＴＭＬ内に含まれたスクリプトがスクリプトエンジンによって加工されて動作する要素である。コンポネントは、データ領域と実行領域とに大別され、データ領域は、伝送された情報が保管される部分であり、ＨＴＴＰの場合にはツリー状の資料構造を採用する。また権限情報が含まれるか、またはマッピングされねばならない。実行領域は、伝送された情報を用いて動作する部分であり、権限制御が行われる領域に該当し、データ領域に含まれるか、またはマッピングされた権限情報によって実行が許容または遮断される。

【0032】

次いで、ウェブブラウザ３００の種類による権限制御方式について説明する。ウェッブブラウザ３００の構造は、権限制御の観点からみれば、基本制御、ネットワーク通信、ウェブ制御及びデータ応用に区分でき、このうち、ウェブ制御部分のみＵＲＬに従属的に割り当てられる客体に該当する。

【0033】

先ず、ウェブブラウザ３００のうちインターネットエクスプローラー（Ｉｎｔｅｒｎｅｔ Ｅｘｐｌｏｒｅｒ：ＩＥ）の場合、バージョン３以後ＣＯＭ技術を用いたＭＳＨｔｍｌ（Ｔｒｉｄｅｎｔ）ウェブエンジンを使い、各個体は、ＩＤＬを用いて構造を確認できる。ＩＤＬ情報を用いた仮想関数テーブルｈｏｏｋ、相続を用いたｏｂｊｅｃｔ ｗｒａｐｐｉｎｇ、同一インターフェースを持つｄｕｍｍｙ ｏｂｊｅｃｔ処理などの方式で制御できる。

【0034】

ネットワーク通信部分は、ＩＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌＲｏｏｔ及び該インターフェースの拡張インターフェースを支援する客体であり、Ｗｏｒｋｅｒ ｔｈｒｅａｄ及び客体プーリングによって再使用可能な構造になっている。この部分のうちＨＴＴＰ（Ｓ）を処理する部分は、該インターフェース客体が生成するオブジェクトであり、ＩＨｔｔｐＮｅｇｏｔｉａｔｅ及びその拡張インターフェースを支援する規格を持っている。この部分のｒｅｑｕｅｓｔで権限制御モジュールの情報を伝送し、ｒｅｓｐｏｎｓｅ部分で権限情報を分析してデータ処理部とマッピングする過程を経る。

【0035】

ウェブ制御部分は、ＵＲＬ従属的な部分であり、ＩＷｅｂＢｒｏｗｓｅｒ２インターフェースを提供する。この部分では、ウェブ画面についての制御及び情報を処理し、Ｈｔｍｌ及びｓｃｒｉｐｔなどに関する情報及び処理を担当するなど、実際にウェブブラウザの機能を担当するといえる。ウェブ制御部は、実質的に権限を制御する部分であり、その内部では権限別に動作遮断／許容を行い、データ応用部分に対してデータ流出を遮断する機能が具現される。株制御対象は、ＩＤｏｃＨｏｓｔＵＩＨａｎｄｌｅｒ支援客体に対するＵＩ制御、ＩＯｌｅＣｏｍｍａｎｄＴａｒｇｅｔ支援客体に対するＯｌｅ制御、ＩＨＴＭＬＤｏｃｕｍｅｎｔ及びその拡張支援客体に対するデータ移動制御になる。

【0036】

また、モジラ・ファイアフォックス（Ｍｏｚｉｌｌａ Ｆｉｒｅｆｏｘ）ウェッブブラウザ３００の場合、Ｆｉｒｅｆｏｘ３．ｘは、オープンソースウェブエンジンであるＧｅｃｋｏを使い、Ｇｅｃｋｏで提供する仮想クラス及び登録機能を用いられる。このような構造を用いてｅｖｅｎｔ ｌｉｓｔｅｎｉｎｇ及び各客体の属性割り当てによる制御が可能である。

【0037】

ファイアフォックスは、基本構造としてｎｓＩＯｂｓｅｒｖｅｒを用いる構造を持つ。またｎｓＩＤＯＭＥｖｅｎｔＬｉｓｔｅｎｅｒ、ｎｓＩＣｏｎｔｒｏｌｌｅｒ、ｎｓＩＤＯＭＭｏｕｓｅＬｉｓｔｅｎｅｒ、ｎｓＩＤＯＭＫｅｙＬｉｓｔｅｎｅｒ、ｎｓＩＤＯＭＸＵＬＬｉｓｔｅｎｅｒ、ｎｓＩＤＯＭＭｏｕｓｅＭｏｔｉｏｎＬｉｓｔｅｎｅｒ、インターフェースを基準として下位オブジェクト単位の制御を行う。

【0038】

ネットワーク通信部分は、ｎｓｌＯｂｓｅｒｖｅｒを通じて伝達される情報を用いてフィルタリングし、関数伝達因子に提供されるｎｓｌＳｕｐｐｏｒｔ客体を用いて情報の追跡位置をマッピングする。またウェブ制御部分は、Ｅｖｅｎｔ ｌｉｓｔｅｎｅｒを用い、付加的にｓｕｂｃｌａｓｓｉｎｇ技法が用いられる。各ｅｖｅｎｔ ｃａｌｌｂａｃｋを通じて伝達した個体情報を確認し、必要な客体の情報を許容／遮断する構造を提供する。主要制御個体は、ｎｓｌＤＯＭＤｏｃｕｍｅｎｔ個体であり、必要に応じて該個体からｎｓｌＰＩＤＯＭＷｉｎｄｏｗなどの下位個体を制御する構造を持つ。

【0039】

図４は、本発明によるウェブデータの権限管理装置１００及び権限管理情報提供装置２００によってウェブデータについての権限管理が行われる望ましい実施形態の実行過程を示すフローチャートである。

【0040】

図４を参照すれば、本発明によるウェブデータの権限管理装置１００のメッセージ処理部１１０は、ウェブブラウザ３００からウェブサーバ４００にウェブデータ要請メッセージが伝送される時（Ｓ４１０）、ウェブデータ要請メッセージのヘッダに、前記ウェブデータについての権限管理の支援如何を示すエージェント情報を追加（Ｓ４１５）して、ウェブサーバ４００に伝達する（Ｓ４２０）。

【0041】

本発明による権限管理情報提供装置２００のブラウザ判別部２１０は、メッセージ処理部１１０からウェブサーバ４００に伝達されるウェブデータ要請メッセージのヘッダに含まれた、権限管理装置１００のウェブデータについての権限管理の支援如何を示すエージェント情報、及びウェブデータ要請メッセージに含まれたＵＲＩ情報に基づいて、ウェブブラウザ３００がウェブデータを提供されるかどうかを判別する（Ｓ４２５）。判別結果、ウェブブラウザ３００がウェブデータを提供されないと判別されれば、メッセージ伝達部２２０は、要請拒否に関するエラーコードを含む応答メッセージをメッセージ処理部１１０に伝達する（Ｓ４３０）。また、ウェブブラウザ３００がウェブデータを提供されると判別されれば、メッセージ伝達部２２０は、ウェブデータ要請メッセージをウェブサーバ４００に伝達する（Ｓ４３５）。

【0042】

メッセージ伝達部２２０は、ウェブサーバ４００からウェブデータが含まれたウェブデータ応答メッセージが伝送されれば（Ｓ４４０）、ウェブデータ応答メッセージのヘッダにウェブデータについて設定される権限情報を追加して（Ｓ４４５）、メッセージ処理部１１０に伝達する（Ｓ４５０）。

【0043】

メッセージ処理部１１０は、ウェブデータ応答メッセージのヘッダに含まれた権限情報をパージングし（Ｓ４５５）、権限管理部１２０は、これを入力されてウェブデータ応答メッセージに含まれたウェブデータのウェブブラウザ３００を通じる出力を制御、すなわち、メッセージ処理部１１０からウェブブラウザ３００に伝達されるウェブデータ応答メッセージに含まれたウェブデータの出力如何を定める（Ｓ４６０）。

【0044】

実際の具現形態として、本発明によるウェブデータの権限管理装置１００は、Ｗｉｎｄｏｗｓ（登録商標）運用体制基準にウェブブラウザ３００の内部で動作するツールバー（ｔｏｏｌｂａｒ）形態のエージェントと、キャプチャー制御のための外部ｅｘｅ／ｓｅｒｖｉｃｅ形態で設けられ、セットアップ形態で提供される。また本発明による権限管理情報提供装置２００の場合、ウェブサーバで使用可能にＳｅｒｖｌｅｔフィルタ及びＮＥＴＡＳＰフィルタなどが提供され、フィルタを使わずにプログラミングできるように、別途のＳＤＫ（Ｓｏｆｔｗａｒｅ Ｄｅｖｅｌｏｐｍｅｎｔ Ｋｉｔ）形態で提供されてもよい。

【0045】

本発明はまた、コンピュータで読み取り可能な記録媒体にコンピュータで読み取り可能なコードとして具現できる。コンピュータで読み取り可能な記録媒体は、コンピュータシステムによって読み取られるデータが保存されるすべての記録装置を含む。コンピュータで読み取り可能な記録媒体の例には、ＲＯＭ、ＲＡＭ、ＣＤ−ＲＯＭ、磁気テープ、フロッピー（登録商標）ディスク、光データ保存装置などがあり、また、キャリアウエーブ（例えば、インターネットを通じる伝送）の形態で具現されるものも含む。また、コンピュータで読み取り可能な記録媒体は、ネットワークに連結されたコンピュータシステムに分散され、分散方式でコンピュータで読み取り可能なコードが保存されて行われる。

【0046】

以上、本発明の望ましい実施形態について図示して説明したが、本発明は前述した特定の望ましい実施形態に限定されるものではなく、特許請求の範囲で請求する本発明の趣旨を逸脱せずに当業者ならば多様な変形実施が可能であるということはいうまでもなく、かかる変更は、特許請求の範囲に記載の範囲内にある。

【図1】

【図2】

【図3】

【図4】