JP2018156553A - Identification information application system and identification information application method - Google Patents
Identification information application system and identification information application method Download PDFInfo
- Publication number
- JP2018156553A JP2018156553A JP2017054523A JP2017054523A JP2018156553A JP 2018156553 A JP2018156553 A JP 2018156553A JP 2017054523 A JP2017054523 A JP 2017054523A JP 2017054523 A JP2017054523 A JP 2017054523A JP 2018156553 A JP2018156553 A JP 2018156553A
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- communication data
- virtual machine
- business
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 37
- 238000004891 communication Methods 0.000 claims abstract description 298
- 230000005540 biological transmission Effects 0.000 claims abstract description 79
- 238000012545 processing Methods 0.000 claims abstract description 51
- 238000010586 diagram Methods 0.000 description 19
- 230000004044 response Effects 0.000 description 18
- 230000006870 function Effects 0.000 description 13
- 239000000284 extract Substances 0.000 description 8
- 238000006243 chemical reaction Methods 0.000 description 7
- 238000013461 design Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 230000018109 developmental process Effects 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、情報システムの内部における通信データの各々の識別を行なう識別情報を付与する識別情報付与システム及び識別情報付与方法に関する。 The present invention relates to an identification information providing system and an identification information providing method for providing identification information for identifying each piece of communication data in the information system.
近年、金融あるいは銀行などの会社において、インターネットによるオンラインバンキングを利用した金融取引が一般化している。
そして、オンラインバンキングを行なう商用のWeb(ウェブ)システムにおいて、インターネットなどを介して、金融取引の情報を取得、あるいはシステム障害を発生させようとする攻撃が悪意の有る第三者(攻撃者)から行なわれる場合がある。この攻撃とは、不正ログイン試行あるいはSQL(Structured Query Language)インジェクションである。このような攻撃があった場合には、これらの攻撃がセキュリティインシデントとして、上記オンラインバンキングを用いている会社のWebシステムにおいて発生している。
In recent years, financial transactions using online banking via the Internet have become common in companies such as finance and banks.
In a commercial Web system that performs online banking, an attack that attempts to acquire financial transaction information or cause a system failure via the Internet or the like is from a malicious third party (attacker). May be done. This attack is an unauthorized login attempt or SQL (Structured Query Language) injection. In the case of such an attack, these attacks are generated as security incidents in the Web system of the company using the online banking.
会社としては、セキュリティインシデントレスポンスとして、自身と金融取引を行なっている顧客に対して通知する責務がある。このため、このような攻撃があった場合には、いつの時点で攻撃が行なわれたか、誰が攻撃したのか、その攻撃の結果として何が発生したか、データが流出したのであれば何件か、どのような種類のデータが流出したのか、現時点において全容を解明する必要があるかなどの被害の調査を行なう必要がある。
上述した調査を行なう際に必要なデータとして、ログ情報、すなわち三階層モデルにおけるWeb(ウェブ)サーバ、AP(Application)サーバ、DB(database server)サーバの各々におけるログ情報が必要となる。
The company is responsible for notifying customers who are doing financial transactions with themselves as security incident responses. So, if there was such an attack, when did the attack occur, who attacked, what happened as a result of the attack, what if the data leaked, It is necessary to investigate damages such as what kind of data has been leaked and whether it is necessary to clarify the whole picture at this time.
Log data, that is, log information in each of a Web (Web) server, an AP (Application) server, and a DB (database server) server in the three-layer model is necessary as data necessary for the above-described investigation.
このログ情報としては、Webシステムを構成する機器、業務用サーバであるWebサーバ、APサーバ及びDBサーバの各々が出力するログ(ログA)と、各機器の間において送受信される通信データ(パケット)をキャプチャ(取得)して記憶した情報(ログB)とがある。
ここで、ログAを用いた場合、Webシステムを構成する各機器において、処理結果を示すログを抽出する場合、Webシステムを作成する際の設計段階、あるいはシステムを変更する段階において、ログの抽出を考慮した構成とする必要がある。すなわち、ログのフォーマットあるいはログ項目の設定を行い、Webシステムの設計をして、ネットワークにおいて抽出が行なわれるように実装する必要がある。
As the log information, there are a log (log A) output from each of the devices constituting the Web system, the Web server that is a business server, the AP server, and the DB server, and communication data (packets) transmitted and received between the devices. ) Is captured (acquired) and stored (log B).
Here, when the log A is used, when a log indicating the processing result is extracted in each device constituting the Web system, the log is extracted at the design stage when creating the Web system or at the stage of changing the system. It is necessary to consider the configuration. In other words, it is necessary to set the log format or log item, design the Web system, and implement so that extraction is performed in the network.
このため、各サーバの本来の処理以外の動作を考慮した設計作業を行なう負荷を、システム設計者に対して与え、ログ抽出のシミュレーション等を行なうことで開発工程も増加し、システムの開発コストが増加してしまう。
また、ログのフォーマットやログ項目を変更する場合、Webシステムを変更するために、Webシステムを停止、すなわちインターネットバンキングの業務を止める必要がある。
上述した理由から、Webシステム自体にログ抽出の機能を含ませずにログ抽出を行ない、Webシステムの開発コストの増加を抑制するため、ログBを用いたセキュリティインシデントの調査が考えられる。
For this reason, the load of performing design work considering the operations other than the original processing of each server is given to the system designer, and the development process is increased by performing log extraction simulation, etc., and the system development cost is reduced. It will increase.
Also, when changing the log format or log items, it is necessary to stop the Web system, that is, stop Internet banking operations in order to change the Web system.
For the reasons described above, it is conceivable to investigate a security incident using the log B in order to perform log extraction without including the log extraction function in the Web system itself and to suppress an increase in development cost of the Web system.
一方、ログBを利用する場合、Webシステムにおける各サーバ間を接続するNIC(network interface card)のミラーポートから、サーバ間で送受信されるパケットをキャプチャし、履歴データをログBとして保存しておく。そして、攻撃が発生した際に、このログBを参照して、攻撃における被害の調査を行なう。
ここで、パケットをキャプチャするポイントとしては、クライアントの端末、Webサーバ、APサーバ及びDBサーバの各々の接続点の三カ所が考えられる。
On the other hand, when using log B, packets transmitted and received between servers are captured from a mirror port of a NIC (network interface card) that connects the servers in the Web system, and history data is stored as log B. . When an attack occurs, the log B is referenced to investigate the damage caused by the attack.
Here, there are three possible points for capturing packets: the connection point of each of the client terminal, the Web server, the AP server, and the DB server.
しかし、トラフィック量の多いWebシステムの場合、クライアントの端末の各々からWebサーバに入力されるリクエスト(処理を依頼するパケット)の順番と、WebサーバからAPサーバに出力されるリクエストの順番とが一致する保証がない。すなわち、Webサーバは、リクエストの負荷の大きさにより、APサーバに出力するリクエストの順番を調整する。これにより、クライアントの端末、Webサーバ、APサーバ及びDBサーバの間のパケットの対応付けが困難となる。
このため、調査の担当者が対応付けを行なうことが非常に手間を要するため、対応付けのための情報をパケットに含ませることにより、各サーバ間のパケットの対応付けを行なう(例えば、特許文献1及び特許文献2を参照)。
However, in the case of a Web system with a large amount of traffic, the order of requests (packets requesting processing) input from each client terminal to the Web server matches the order of requests output from the Web server to the AP server. There is no guarantee to do. That is, the Web server adjusts the order of requests to be output to the AP server according to the request load. This makes it difficult to associate packets among client terminals, Web servers, AP servers, and DB servers.
For this reason, since it is very time-consuming for the person in charge of the survey to perform the association, the packet is associated with each server by including information for association in the packet (for example,
上述したように、ログBを用いた先行技術の場合は、ログを出力する機能を持たせる必要がないため、ログAを用いた場合に比較して、開発コストを低くすることは可能である。しかしながら、先行技術においては、パケットに対して対応付けを行なう情報を埋め込む機能を、サーバに対して付加する必要があるため、ログの対応付けを行なう情報をパケットに埋め込む機能を付加しない場合に比較して、システム設計者の負荷が増加し、開発コストも増加してしまう。 As described above, in the case of the prior art using the log B, since it is not necessary to have a function for outputting the log, it is possible to reduce the development cost compared to the case where the log A is used. . However, in the prior art, since it is necessary to add a function for embedding information for associating a packet to a server, it is compared with a case where a function for embedding information for associating a log in a packet is not added. As a result, the load on the system designer increases and the development cost also increases.
本発明は、このような事情に鑑みてなされたもので、システム設計者の負荷を増加させずに、クライアントである通信データの送信元に対応させ、この通信データの各々に識別情報を付与するため送信元、業務用サーバであるWebサーバ、APサーバ及びDBサーバの間の通信データの対応付けを行なうことができる識別情報付与システム及び識別情報付与方法を提供することを目的とする。 The present invention has been made in view of the above circumstances, and does not increase the load of the system designer, but corresponds to the transmission source of communication data as a client, and gives identification information to each of the communication data. Therefore, an object of the present invention is to provide an identification information providing system and an identification information providing method capable of associating communication data between a transmission source, a business server, a Web server, an AP server, and a DB server.
この発明は上述した課題を解決するためになされたもので、本発明の識別情報付与システムは、ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与システムであり、前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給部(実施形態における仮想マシン111、仮想マシン114、仮想マシン211、仮想マシン214、仮想マシン311)と、前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与部(実施形態における仮想マシン111、仮想マシン114、仮想マシン211、仮想マシン214、仮想マシン311)とを備えることを特徴とする。
The present invention has been made to solve the above-described problems, and the identification information providing system according to the present invention is a client that is a transmission source that is transmitted and received in a business server that performs a predetermined business process, constituting a web system. An identification information providing system that assigns identification information to the communication data in order to associate each of the communication data transmitted from the communication data, and the communication data is serially arranged in the order of input to the business server. A data supply unit to be supplied (the
本発明の識別情報付与システムは、前記識別情報付与部が、前記業務用サーバから前記通信データを、次段の他の業務用サーバに対して出力する際に、当該通信データに対して前記識別情報を付加することを特徴とする。 In the identification information providing system of the present invention, when the identification information adding unit outputs the communication data from the business server to another business server in the next stage, the identification information is given to the communication data. It is characterized by adding information.
本発明の識別情報付与システムは、前記データ供給部が、前記識別情報の付加された前記通信データが、前段の他の業務用サーバから供給された際、当該通信データから識別情報を取り外し、前記業務用サーバに供給することを特徴とする。 In the identification information providing system of the present invention, the data supply unit removes the identification information from the communication data when the communication data to which the identification information is added is supplied from another business server in the previous stage, It is characterized by being supplied to a business server.
本発明の識別情報付与システムは、前記データ供給部が、前記業務用サーバに対して前記通信データから外した前記識別情報を、前記識別情報付与部に対して出力し、前記識別情報付与部が、前記業務用サーバから出力される前記識別情報を外した前記通信データに対し、当該通信データから前記業務用サーバに入力される際に取り外された前記識別情報を付加することを特徴とする。 In the identification information provision system of the present invention, the data supply unit outputs the identification information excluded from the communication data to the business server to the identification information provision unit, and the identification information provision unit The identification information removed when the communication data is input from the communication data to the business server is added to the communication data from which the identification information is output from the business server.
本発明の識別情報付与システムは、前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元を示す送信元情報の各々に対応させて、前記通信データそれぞれの前記識別情報を生成することを特徴とする。 In the identification information providing system of the present invention, in the web system, each of the business servers is connected in series, and the identification information providing unit of the first-stage business server transmits the transmission source of the communication data. The identification information of each of the communication data is generated in correspondence with each of the original information.
本発明の識別情報付与システムは、前記データ供給部と前記識別情報付与部との各々が複数設けられ、前記業務用サーバに供給される前記通信データを、前記データ供給部の各々に負荷分散して出力するロードバランス部をさらに備え、前記データ供給部と前記識別情報付与部とがそれぞれ前記識別情報の取り外し及び付加する連携処理の組として設けられていることを特徴とする。 In the identification information providing system of the present invention, a plurality of each of the data supply unit and the identification information providing unit are provided, and the communication data supplied to the business server is load-distributed to each of the data supply units. The data supply unit and the identification information adding unit are provided as a set of cooperative processes for removing and adding the identification information, respectively.
本発明の識別情報付与システムは、前記業務用サーバが複数設けられており、前記データ供給部から前記業務用サーバに供給される前記通信データを、前記業務用サーバの各々に負荷分散して出力するロードバランス部をさらに備え、前記ロードバランス部が、前記データ供給部から出力される前記識別情報に対応する前記通信データを送信した業務用サーバのサーバ識別情報を、前記識別情報付与部に送信することを特徴とする。 In the identification information providing system of the present invention, a plurality of the business servers are provided, and the communication data supplied from the data supply unit to the business servers is distributed and output to each of the business servers. A load balance unit that transmits the server identification information of the business server that has transmitted the communication data corresponding to the identification information output from the data supply unit to the identification information adding unit. It is characterized by doing.
本発明の識別情報付与システムは、前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元と、前記識別情報との対応を示す対応テーブルを有することを特徴とする。 In the web system, the identification information providing system of the present invention is such that each of the business servers is connected in series, and the identification information providing unit of the first-stage business server includes the transmission source of the communication data, It has a correspondence table showing correspondence with identification information.
本発明の識別情報付与システムは、ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与システムであり、前記業務用サーバに対し、前記クライアントからの受信した前記通信データに対し、当該通信データの前記送信元を識別する識別情報を、前記通信データにおけるアプリケーションレイヤのデータ領域の拡張部分に書き込む識別情報付与部(仮想マシン114C)を備えることを特徴とする。
The identification information providing system according to the present invention associates each of communication data transmitted from a client that is a transmission source, transmitted and received in a business server that performs a predetermined business process, which constitutes a web system. In the identification information providing system for assigning identification information to communication data, for the communication data received from the client, the identification information for identifying the transmission source of the communication data to the business server, An identification information adding unit (
本発明の識別情報付与方法は、ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与方法であり、データ供給部が、前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給過程と、識別情報付与部が、前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与過程とを含むことを特徴とする。 The identification information providing method of the present invention relates to each of communication data transmitted from a client as a transmission source and transmitted / received in a business server that performs a predetermined business process that constitutes a web system. A method for providing identification information to communication data, a data supply process in which the data supply unit supplies the communication data in series in the order of input to the business server, and an identification information adding unit Includes an identification information adding step of adding identification information for identifying the transmission source to the communication data in the order.
この発明によれば、システム設計者の負荷を増加させずに、クライアントである通信データの送信元に対応させ、この通信データの各々に識別情報を付与するため送信元、業務用サーバであるWebサーバ、APサーバ及びDBサーバの間の通信データの対応付けを行なうことができる識別情報付与システム及び識別情報付与方法を提供することができる。 According to this invention, without increasing the load on the system designer, it is possible to correspond to the transmission source of the communication data that is the client, and to add the identification information to each of the communication data, the Web that is the transmission source and the business server It is possible to provide an identification information providing system and an identification information providing method capable of associating communication data among a server, an AP server, and a DB server.
<第1の実施形態>
以下、図面を参照して、本発明の第1の実施形態について説明する。図1は、本発明の第1の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。図1において、本実施形態におけるウェブシステム1は、Webサーバ100、APサーバ200、DBサーバ300、ログ収集サーバ700及びログ収集データベース800の各々を備えている。本実施形態においては、Webサーバ100、APサーバ200及びDBサーバ300の各々は、物理マシンのサーバとして説明しているが、一つの物理マシンのOS(operating system)上に仮想マシンのサーバとしてそれぞれの機能のプログラムがインストールされて構成しても良い。
<First Embodiment>
Hereinafter, a first embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing a configuration example of a web system using an identification information providing system according to a first embodiment of the present invention. In FIG. 1, the
ウェブシステム1は、クライアント(クライアントサーバ)400がリクエスト(通信データ(パケット)A)を送信し、アクセスされた場合、Webサーバ100、APサーバ200及びDBサーバ300の各々において、それぞれのリクエストに対応した所定の処理を行い、クライアント400に対してレスポンス(通信データ(パケット)B)を返送する。
ログ収集サーバ700は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、クライアント400、Webサーバ100、APサーバ200及びDBサーバ300の各々における通信データ(通信データA、通信データB)を、ウェブシステム1におけるセキュリティチェックのためのログとして抽出する。
The
Webサーバ100は、仮想マシンで構成された識別情報付与システム110(後述)、物理NIC131、物理NIC132、物理NIC133、業務用仮想マシン151、仮想NICの各々を備えている。業務用仮想マシン151は、所定の業務処理を行ない、Webサーバ100のOS上における仮想マシン(狭義のWebサーバ)であり、識別情報付与システム110から入力される通信データAを、例えばインターネットのHTTP(hypertext transfer protocol)のプロトコルから、Webサーバ100とAPサーバ200との間における通信のプロトコルに変換する処理を行なう。また、業務用仮想マシン151は、識別情報付与システム110から入力される通信データBを、Webサーバ100とAPサーバ200との間における通信のプロトコルから、インターネットのHTTP(hypertext transfer protocol)のプロトコルに変換する処理を行なう。
The
識別情報付与システム110は、Webサーバ100において入出力する通信データ(通信データA及び通信データB)に対し、識別情報の付加及び取り外しを行なう。識別情報付与システム110は、仮想マシン111、仮想NIC112、仮想NIC113、仮想マシン114、仮想NIC115、仮想NIC116、仮想ブリッジ117、仮想ブリッジ118を備えている。
The identification
仮想マシン111は、Webサーバ100のOS上における仮想マシンであり、リクエスト処理時において、物理NIC131から供給されるクライアント400からの通信情報Aを、順次、内部のキューに入れ、物理NIC131から入力された順番に業務用仮想マシン151に対し、仮想NIC112、仮想ブリッジ118及び仮想NIC152を介して出力する。このとき、仮想マシン111は、仮想ブリッジ117を介して、仮想マシン116に対して通信データAから抽出した送信元を識別する送信元識別情報を出力する。送信元識別情報は、通信データAにおける送信元を識別する識別情報、例えばクライアントが用いているIP(internet protocol)アドレス、ポート番号、ユーザエージェント等が用いられる。
The
仮想マシン111は、レスポンス処理時において、業務用仮想マシン151から、仮想NIC152、仮想ブリッジ118及び仮想NIC112を介して入力される通信データBに対し、仮想マシン114から供給される識別情報Rを付加し、物理NIC133を介して、セキュリティインシデントの処理に用いるダミーのクライアントであるフェイククライアント500に対して出力する。また、仮想マシン111は、識別情報Rを付加しない状態の通信データBをレスポンスとして、物理NIC131を介し、通信情報Aにてアクセスしたクライアント400に対して出力する。このとき、仮想マシン111は、クライアント400に通信データBを出力した後、仮想NIC113、仮想ブリッジ117及び仮想NIC116を介して、出力が終了したことを示す終了信号を、仮想マシン114に対して出力する。
At the time of response processing, the
仮想マシン114は、Webサーバ100のOS上における仮想マシンであり、リクエスト処理時において、業務用仮想マシン151から出力される通信データAに対して識別情報Rを付加する。ここで、仮想マシン114は、内部に識別情報テーブルを備えており、通信データAの送信元の送信元識別情報に対して生成した識別情報Rの有無を検出する。仮想マシン114は、識別情報テーブルに送信元の送信元識別情報に対応する識別情報Rを検出した場合、検出した識別情報Rを通信データAに付加する。一方、仮想マシン114は、識別情報テーブルに送信元の送信元識別情報対応する識別情報Rを検出できない場合、この通信データRに付加する識別情報Rを乱数などにより生成し、通信データAに付加する。そして、仮想マシン114は、識別情報Rを付加した通信データAを、仮想ブリッジ118及び物理NIC132を介して、APサーバ200に対して出力する。このとき、仮想マシン114は、APサーバ200に通信データAを出力した後、仮想NIC116、仮想ブリッジ117及び仮想NIC113を介して、出力が終了したことを示す終了信号を、仮想マシン111に対して出力する。
The
図2は、仮想マシン114内部に備えられた識別情報テーブルの構成例を示す図である。図2において、識別情報テーブルは、レコード毎に、送信元識別情報、識別情報R及び最終アクセス日時の各々の欄が設けられている。仮想マシン114は、通信データAから送信元識別情報を抽出し、この抽出した送信元識別情報により、上記識別情報テーブルを検索し、同一の送信元識別情報の有無を検出する。このとき、仮想マシン114は、同一の送信元識別情報が検出された場合、すでにこの送信元に対する識別情報Rが生成済みであるとして、この送信元識別情報と組となっている(同一レコードの)識別情報Rを読み出し、読み出した通信情報Rを通信データAに対して付加する。一方、仮想マシン114は、同一の送信元識別情報が検出されない場合、通信データAの送信元が初めてアクセスしてきたとして、上述したように、乱数などを用いて新たな識別情報Rを生成する。そして、仮想マシン114は、生成した通信情報Rを通信データAに付加するとともに、生成した通信情報Rを送信元識別情報と組にして、新たに識別情報テーブルに書き込んで記憶させる。
FIG. 2 is a diagram illustrating a configuration example of an identification information table provided in the
図1に戻り、仮想マシン114は、レスポンス処理時において、物理NIC132、仮想ブリッジ118及び仮想NIC115を介して、APサーバ200から入力される通信データBを、順次、内部のキューに入れ、物理NIC132から入力された順番に業務用仮想マシン151に対し、仮想NIC115、仮想ブリッジ118及び仮想NIC152を介して出力する。このとき、仮想マシン114は、内部のキューから通信データBを取り出した際、この通信データBに付加されている識別情報Rを取り外す。そして、仮想マシン114は、識別情報Rを取り外した通信データBを、仮想NIC115、仮想ブリッジ118及び仮想NIC152を介して、業務用仮想マシン151に対して出力する。ここで、仮想マシン114は、仮想NIC216、仮想ブリッジ117及び仮想NIC113を介して、通信データBから取り外した識別情報Rを、仮想マシン111に対して出力する。
Returning to FIG. 1, the
図1に戻り、APサーバ200は、仮想マシンで構成された識別情報付与システム210(後述)、物理NIC231、物理NIC232、物理NIC133、業務用仮想マシン251、仮想NIC252の各々を備えている。業務用仮想マシン251は、APサーバ200のOS上における仮想マシン(狭義のAPサーバ)であり、所定の業務処理を実施し、識別情報付与システム210から入力される通信データAを、例えばWebサーバ100とAPサーバ200との間における通信のプロトコルから、APサーバ200とDBサーバ300との間における通信のプロトコルに変換する処理を行なう。
Returning to FIG. 1, the
識別情報付与システム210は、APサーバ200において入出力する通信データ(通信データA及び通信データB)に対し、識別情報の付加及び取り外しを行なう。識別情報付与システム210は、仮想マシン211、仮想NIC212、仮想NIC213、仮想マシン214、仮想NIC215、仮想NIC216、仮想ブリッジ217、仮想ブリッジ218を備えている。
The identification
仮想マシン211は、APサーバ200のOS上における仮想マシンであり、リクエスト処理時において、物理NIC231から供給されるWebサーバ100からの通信情報Aを、順次、内部のキューに入れ、物理NIC231から入力された順番に業務用仮想マシン251に対し、仮想NIC212、仮想ブリッジ218及び仮想NIC252を介して出力する。ここで、仮想マシン211は、キューから物理データAを読み出した際、この物理データAから識別情報Rを取り外して、識別情報Rを取り外した物理データAを、業務用仮想マシン251に対して出力する。また、仮想マシン211は、仮想ブリッジ217を介して、仮想マシン216に対して通信データAから取り外した識別情報Rを出力する。
The
また、仮想マシン211は、レスポンス処理時において、業務用仮想マシン251から、仮想NIC252、仮想ブリッジ218及び仮想NIC212を介して入力される通信データBに対し、仮想マシン214から供給される識別情報Rを付加し、物理NIC231を介してWebサーバ100に対して出力する。このとき、仮想マシン211は、Webサーバ100に通信データBを出力した後、仮想NIC213、仮想ブリッジ217及び仮想NIC216を介して、出力が終了したことを示す終了信号を、仮想マシン214に対して出力する。
Further, the
仮想マシン214は、APサーバ200のOS上における仮想マシンであり、リクエスト処理時において、業務用仮想マシン251から出力される通信データAに対して識別情報Rを付加する。このとき、仮想マシン214は、通信データAに付加する識別情報Rとして、仮想マシン211から供給される識別情報Rを用いる。そして、仮想マシン214は、識別情報Rを付加した通信データAを、仮想NIC212、仮想ブリッジ218及び物理NIC232を介して、DBサーバ300に対して出力する。このとき、仮想マシン214は、DBサーバ300に通信データAを出力した後、仮想NIC216、仮想ブリッジ217及び仮想NIC213を介して、出力が終了したことを示す終了信号を、仮想マシン211に対して出力する。
The
また、仮想マシン214は、レスポンス処理時において、物理NIC232、仮想ブリッジ218及び仮想NIC215を介して、DBPサーバ300から入力される通信データBを、順次、内部のキューに入れ、物理NIC132から入力された順番に業務用仮想マシン251に対し、仮想NIC215、仮想ブリッジ218及び仮想NIC252を介して出力する。このとき、仮想マシン214は、内部のキューから通信データBを取り出した際、この通信データBに付加されている識別情報Rを取り外す。そして、仮想マシン214は、識別情報Rを取り外した通信データBを、仮想NIC215、仮想ブリッジ218及び仮想NIC252を介して、業務用仮想マシン251に対して出力する。ここで、仮想マシン214は、仮想NIC216、仮想ブリッジ217及び仮想NIC213を介して、通信データBから取り外した識別情報Rを、仮想マシン211に対して出力する。
In response processing, the
DBサーバ300は、仮想マシンで構成された識別情報付与システム310(後述)、物理NIC331、業務用仮想マシン351、仮想NIC352の各々を備えている。業務用仮想マシン351は、DBサーバ300のOS上における仮想マシンであり、識別情報付与システム310から入力される通信データAに基づき、データベース検索などの通常の処理を行ない、レスポンスとしての通信データBを生成し、APサーバ200に対して出力する。
The
識別情報付与システム310は、DPサーバ300において入出力する通信データ(通信データA及び通信データB)に対し、識別情報の付加及び取り外しを行なう。識別情報付与システム310は、仮想マシン311、仮想NIC312、仮想ブリッジ318を備えている。
The identification
仮想マシン311は、DBサーバ300のOS上における仮想マシン(狭義のDBサーバ)であり、所定の業務処理を行ない、リクエスト処理時において、物理NIC331から供給されるWebサーバ100からの通信情報Aを、順次、内部のキューに入れ、物理NIC331から入力された順番に業務用仮想マシン351に対し、仮想NIC311、仮想ブリッジ318及び仮想NIC352を介して出力する。ここで、仮想マシン311は、キューから物理データAを読み出した際、この物理データAから識別情報Rを取り外して、識別情報Rを取り外した物理データAを、業務用仮想マシン351に対して出力する。また、仮想マシン311は、通信データAから取り外した識別情報Rを内部に記憶しておく。
The
また、仮想マシン311は、レスポンス処理時において、業務用仮想マシン351から、仮想NIC352、仮想ブリッジ318及び仮想NIC312を介して入力される通信データBに対し、内部に記憶して置いた識別情報Rを付加し、物理NIC331を介してAPサーバ200に対して出力する。
In response processing, the
次に、図3から図7の各々を用いて、本実施形態の識別情報付与システム110、識別情報付与システム120、識別情報付与システム310を用いたウェブシステム1における識別情報Rの付加及び取り外しの動作を説明する。
図3は、リクエスト時におけるWebサーバ100の識別情報付与システム110の識別情報Rの付加について説明するシーケンス図である。
Next, using each of FIGS. 3 to 7, the identification information R is added and removed from the
FIG. 3 is a sequence diagram for explaining the addition of the identification information R of the identification
ステップF101:クライアント400の各々は、ウェブシステム1に対してリクエストの通信データAを送信する。
そして、仮想マシン111は、複数のクライアント400の各々から送信される通信データAを受信する。
Step F101: Each of the
Then, the
ステップF102:仮想マシン111は、物理NIC131から供給される順番に、通信データAを順次キューに対して蓄積していく。
Step F102: The
ステップF103:仮想マシン111は、供給された通信データAが初回であるか否かの判定を行なう。ここで、仮想マシン111は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン111は、初回フラグが立っていない場合、初回であると判定し、通信データAをキューから一つ取り出す。
一方、仮想マシン111は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データAの処理が終了したことを示す終了信号が仮想マシン114から供給されるまで待機する。そして、仮想マシン111は、仮想マシン114から上記終了信号を受信した場合、キューから通信データAを一つ取り出す。
上述したキューは、FIFOの構成であり、Webサーバ100が受信した順番に、通信データAが取り出される構成となっている。
Step F103: The
That is, when the initial flag is not set, the
On the other hand, when the initial flag is set, the
The above-described queue has a FIFO configuration, and communication data A is extracted in the order received by the
ステップF104:仮想マシン111は、キューから取り出した通信データAから、通信データAの送信元の送信元識別情報を抽出する。
Step F104: The
ステップF105:仮想マシン111は、通信データAから抽出した送信元識別情報を、仮想マシン114に対して出力する。
Step F105: The
ステップF106:仮想マシン111は、送信元識別情報を抽出した後、通信データAを業務用仮想マシン151に対して出力する。
Step F106: After extracting the transmission source identification information, the
ステップF107:業務用仮想マシン151は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン151は、例えば、通信データAのパケットのフォーマットを、インターネットのHTTPのプロトコルから、Webサーバ100とAPサーバ200との間における通信のプロトコルのフォーマットに変換する処理を行なう。
Step F107: The business
ステップF108:業務用仮想マシン151は、所定の処理が終了し、フォーマット変換後の通信データAを、仮想マシン114に対して出力する。
Step F108: The business
ステップF109:仮想マシン114は、自身内部に備えられた識別情報テーブルを参照し、仮想マシン111から供給された送信元識別情報と同一の送信元識別情報が存在するか否かを検索する。
Step F109: The
ステップF110:仮想マシン114は、識別情報テーブルにおいて、仮想マシン111から供給された送信元識別情報と同一の送信元識別情報が抽出された場合、この送信元識別情報に対応する識別情報Rを識別情報テーブルから読み出す。そして、仮想マシン114は、識別情報テーブルの最終アクセス日時を、読み出した時点の日時に書き換えて変更する。
Step F110: When the same transmission source identification information as the transmission source identification information supplied from the
一方、仮想マシン114は、識別情報テーブルにおいて、仮想マシン111から供給された送信元識別情報と同一の送信元識別情報が抽出されない場合、この送信元識別情報に対する識別情報Rを生成する。そして、仮想マシン114は、送信元識別情報と生成した識別情報Rとを識別情報テーブルに書き込む。また、仮想マシン114は、識別情報テーブルの最終アクセス日時を、上記書き込み処理を行なった日時として書き込む。
On the other hand, when the same transmission source identification information as the transmission source identification information supplied from the
ステップF111:仮想マシン114は、通信データAに対して、この通信データAの送信元識別情報に対応する識別情報Rを付加する。
Step F111: The
ステップF112:仮想マシン114は、識別情報Rを付加した通信データAを、APサーバ200に対して出力する。
Step F112: The
ステップF113:仮想マシン114は、通信データAをAPサーバ200に対して出力した後、通信データAに対する処理が終了したことを示す終了信号を仮想マシン111に対して出力する。
Step F113: After outputting the communication data A to the
図4は、リクエスト時におけるAPサーバ200の識別情報付与システム210の識別情報Rの付加について説明するシーケンス図である。
FIG. 4 is a sequence diagram for explaining the addition of the identification information R of the identification
ステップF201:仮想マシン211は、Webサーバ100から送信される通信データAを受信する。
Step F201: The
ステップF202:仮想マシン211は、物理NIC231から供給される順番に、通信データAを順次キューに対して蓄積していく。
Step F202: The
ステップF203:仮想マシン211は、供給された通信データAが初回であるか否かの判定を行なう。ここで、仮想マシン211は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン211は、初回フラグが立っていない場合、初回であると判定し、通信データAをキューから一つ取り出す。
一方、仮想マシン211は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データAの処理が終了したことを示す終了信号が仮想マシン214から供給されるまで待機する。そして、仮想マシン211は、仮想マシン214から上記終了信号を受信した場合、キューから通信データAを一つ取り出す。
上述したキューは、仮想マシン111の構成と同様に、FIFOの構成であり、APサーバ200が受信した順番に、通信データAが取り出される構成となっている。
Step F203: The
That is, when the initial flag is not set, the
On the other hand, when the initial flag is set, the
The queue described above is a FIFO configuration, similar to the configuration of the
ステップF204:仮想マシン211は、キューから取り出した通信データAから、識別情報付与システム110が付加した識別情報Rを取り外す。
Step F204: The
ステップF205:仮想マシン211は、通信データAから取り外した識別情報Rを、仮想マシン214に対して出力する。
Step F205: The
ステップF206:仮想マシン211は、識別情報Rが取り外された通信データAを、業務用仮想マシン251へ出力する。
Step F206: The
ステップF207:業務用仮想マシン251は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン251は、例えば、通信データAのパケットのフォーマットを、Webサーバ100とAPサーバ200との間における通信のプロトコルから、APサーバ200とDBサーバ300との間における通信のプロトコルのフォーマットに変換する処理を行なう。
Step F207: The business
ステップF208:業務用仮想マシン251は、所定の処理が終了し、フォーマット変換後の通信データAを、仮想マシン214に対して出力する。
Step F208: The business
ステップF209:仮想マシン214は、通信データAに対して、仮想マシン211から供給された識別情報Rを付加する。
Step F209: The
ステップF210:仮想マシン214は、識別情報Rを付加した通信データAを、DB300に対して出力する。
Step F210: The
ステップF211:仮想マシン214は、通信データAをDBサーバ300に対して出力した後、通信データAに対する処理が終了したことを示す終了信号を仮想マシン211に対して出力する。
Step F211: The
図5は、DBサーバ300の識別情報付与システム310の識別情報Rの付加について説明するシーケンス図である。図5(a)は、リクエスト時におけるDBサーバ300の識別情報付与システム310の識別情報Rの取り外しを説明している。
FIG. 5 is a sequence diagram for explaining the addition of the identification information R of the identification
ステップF301:仮想マシン311は、APサーバ200から送信される通信データAを受信する。
Step F301: The
ステップF302:仮想マシン311は、物理NIC331から供給される順番に、通信データAを順次キューに対して蓄積していく。
Step F302: The
ステップF303:仮想マシン311は、供給された通信データAが初回であるか否かの判定を行なう。ここで、仮想マシン311は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン311は、初回フラグが立っていない場合、初回であると判定し、通信データAをキューから一つ取り出す。
一方、仮想マシン311は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データAの応答である通信データBが業務用仮想マシン351から供給され、この通信データをAPサーバ200に対して出力したか否か、すなわち直前の通信データAに対する処理が終了したか否かを判定し、直前の通信データAに対する処理が終了するまで待機する。そして、仮想マシン311は、直前の通信データAに対する処理が終了したことを検出した場合、キューから通信データAを一つ取り出す。
上述したキューは、仮想マシン111の構成と同様に、FIFOの構成であり、APサーバ200が受信した順番に、通信データAが取り出される構成となっている。
Step F303: The
That is, when the initial flag is not set, the
On the other hand, when the initial flag is set, the
The queue described above is a FIFO configuration, similar to the configuration of the
ステップF304:仮想マシン311は、通信データAから識別情報Rを取り外し、取り外した識別情報Rを内部に保持し、識別情報Rを取り外した通信データAを、業務用仮想マシン351へ出力する。
Step F304: The
ステップF305:業務用仮想マシン251は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン251は、例えば、通信データAにおけるデータベース(不図示)における検索依頼に対応する処理を実行する。
Step F305: The business
図5(b)は、レスポンス時におけるDBサーバ300の識別情報付与システム310の識別情報Rの付加について説明している。
FIG. 5B illustrates the addition of the identification information R of the identification
ステップF310:業務用仮想マシン351は、通信データAに対応した処理を実行した後、この通信データA対する応答である通信データBを、仮想マシン311に対して出力する。
Step F310: The business
ステップF311:仮想マシン311は、内部で記憶していた識別情報Rを、業務用仮想マシン351から供給される通信データBに対して付加する。
Step F311: The
ステップF312:仮想マシン311は、識別情報Rを付加した通信データBを、APサーバ200に対して出力する。このとき、仮想マシン311は、この通信データAに対する処理が終了したことを検出する。
Step F312: The
図6は、レスポンス時におけるAPサーバ200の識別情報付与システム210の識別情報Rの付加について説明するシーケンス図である。
FIG. 6 is a sequence diagram for explaining the addition of the identification information R of the identification
ステップF221:仮想マシン214は、DBサーバ300から送信される通信データBを受信する。
Step F221: The
ステップF222:仮想マシン214は、物理NIC232から供給される順番に、通信データBを順次キューに対して蓄積していく。
Step F222: The
ステップF223:仮想マシン214は、供給された通信データBが初回であるか否かの判定を行なう。ここで、仮想マシン214は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン214は、初回フラグが立っていない場合、初回であると判定し、通信データBをキューから一つ取り出す。
一方、仮想マシン214は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データBの処理が終了したことを示す終了信号が仮想マシン211から供給されるまで待機する。そして、仮想マシン214は、仮想マシン211から上記終了信号を受信した場合、キューから通信データBを一つ取り出す。
上述したキューは、仮想マシン111の構成と同様に、FIFOの構成であり、APサーバ200が受信した順番に、通信データBが取り出される構成となっている。
Step F223: The
That is, when the initial flag is not set, the
On the other hand, if the initial flag is set, the
The queue described above is a FIFO configuration, similar to the configuration of the
ステップF224:仮想マシン214は、キューから取り出した通信データBから、識別情報付与システム310が付加した識別情報Rを取り外す。
Step F224: The
ステップF225:仮想マシン214は、識別情報Rが取り外された通信データBを、業務用仮想マシン251へ出力する。
Step F225: The
ステップF226:仮想マシン214は、通信データBから取り外した識別情報Rを、仮想マシン211に対して出力する。
Step F226: The
ステップF227:業務用仮想マシン251は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン251は、例えば、APサーバ200とDBサーバ300との間における通信のプロトコルから、通信データBのパケットのフォーマットを、Webサーバ100とAPサーバ200との間における通信のプロトコルのフォーマットに変換する処理を行なう。
Step F227: The business
ステップF228:業務用仮想マシン251は、所定の処理が終了し、フォーマット変換後の通信データBを、仮想マシン211に対して出力する。
Step F228: The business
ステップF229:仮想マシン211は、通信データBに対して、仮想マシン214から供給された識別情報Rを付加する。
Step F229: The
ステップF230:仮想マシン211は、識別情報Rを付加した通信データBを、Webサーバ100に対して出力する。
Step F230: The
ステップF231:仮想マシン211は、通信データBをWebサーバ100に対して出力した後、通信データBに対する処理が終了したことを示す終了信号を仮想マシン214に対して出力する。
Step F231: The
図7は、レスポンス時におけるWebサーバ100の識別情報付与システム110の識別情報Rの付加について説明するシーケンス図である。
FIG. 7 is a sequence diagram for explaining the addition of the identification information R of the identification
ステップF121:仮想マシン114は、APサーバ200のから送信される通信データBを受信する。
Step F121: The
ステップF122:仮想マシン114は、物理NIC132から供給される順番に、通信データBを順次キューに対して蓄積していく。
Step F122: The
ステップF123:仮想マシン114は、供給された通信データBが初回であるか否かの判定を行なう。ここで、仮想マシン114は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン114は、初回フラグが立っていない場合、初回であると判定し、通信データBをキューから一つ取り出す。
一方、仮想マシン114は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データBの処理が終了したことを示す終了信号が仮想マシン111から供給されるまで待機する。そして、仮想マシン114は、仮想マシン111から上記終了信号を受信した場合、キューから通信データBを一つ取り出す。
上述したキューは、FIFOの構成であり、Webサーバ100が受信した順番に、通信データBが取り出される構成となっている。
Step F123: The
That is, when the initial flag is not set, the
On the other hand, if the initial flag is set, the
The above-described queue has a FIFO configuration, and communication data B is extracted in the order received by the
ステップF124:仮想マシン114は、キューから取り出した通信データBから、識別情報Bを取り外す。
Step F124: The
ステップF125:仮想マシン114は、識別情報Bを取り外した後、通信データBを業務用仮想マシン151に対して出力する。
Step F125: After removing the identification information B, the
ステップF126:仮想マシン114は、通信データBから抽出した識別情報Rを、仮想マシン111に対して出力する。
Step F126: The
ステップF127:業務用仮想マシン151は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン151は、例えば、通信データBのパケットのフォーマットを、Webサーバ100とAPサーバ200との間における通信のプロトコルから、インターネットのHTTPのプロトコルのフォーマットに変換する処理を行なう。
Step F127: The business
ステップF128:業務用仮想マシン151は、所定の処理が終了し、フォーマット変換後の通信データBを、仮想マシン111に対して出力する。
Step F128: The business
ステップF129:仮想マシン111は、仮想マシン114から供給された識別情報Rを、業務用仮想マシン151から供給される通信データBに対して付加する。
Step F129: The
ステップF130:仮想マシン111は、識別情報Rが付加された通信データBを、物理NIC133を介して、フェイククライアント500に対して出力する。
Step F130: The
ステップF131:仮想マシン111は、識別情報Rが付加されていない通信データBを、物理NIC131を介して、クライアント400に対して出力する。
Step F131: The
ステップF132:仮想マシン111は、識別情報Rを付加した通信データB(識別情報Rを取り外していない通信データB)を、APサーバ200に対して出力する。
Step F132: The
ステップF133:仮想マシン111は、通信データBをクライアント400及びフェイククライアント500の各々に対して出力した後、通信データBに対する処理が終了したことを示す終了信号を仮想マシン114に対して出力する。
Step F133: After outputting the communication data B to each of the
上述した構成において、ログ収集サーバ700は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、通信情報(通信情報Aまたは通信情報B)を収集し、収集した日時に対応してログ収集データベース800に蓄積する。
そして、ログ収集サーバ700は、セキュリティインシデントの調査を行なう際、仮想マシン114の識別情報テーブルを参照し、ログ収集データベース800に蓄積されている通信データの履歴において、問題のある通信データに付加されている識別情報Rから、通信データの対応付け及び送信元識別情報の検出処理を行なうことにより問題の解析を行なう。
In the configuration described above, the
When the
上述したように、本実施形態によれば、クライアント400、Webサーバ100、APサーバ200及びDBサーバ300の各々の間において送受信される通信データに対し、識別情報Rを付加することにより、ウェブシステム1において送受信される通信データの各々の対応付けをこの識別情報Rにより行なうことができ、通信データの各々をログ(ログB)とし、システムに対する攻撃に対して、容易にセキュリティインシデントの調査を行なうことができる。
As described above, according to the present embodiment, by adding identification information R to communication data transmitted / received among the
また、本実施形態によれば、クライアントからのリクエストに対するレスポンスにおいて、フェイククライアント500を設け、Webサーバ100からのクライアント400に対するレスポンスの通信データBに対しては識別情報Rを付加せず、フェイククライアント500に対する通信データBに対しては識別情報Rを付加しているため、攻撃者に気づかれることなく、クライアント400に対する通信データA及び通信データBの各サーバ間の送受信におけるログ収集のための対応付けを行なうことができる。
Further, according to the present embodiment, the
また、本実施形態によれば、Webサーバ100、APサーバ200及びDBサーバ300の各々において、識別情報付与システム110、識別情報付与システム210、識別情報付与システム310それぞれが、入力時に識別情報Rを取り外し、出力時に識別情報Rの付加を行なうため、業務用仮想マシン151、業務用仮想マシン251及び業務用仮想マシン351には従来と同様の通信データが供給され、識別情報Rを意識する必要が無い。このため、本実施形態によれば、業務用仮想マシン151、業務用仮想マシン251及び業務用仮想マシン351の各々の設計において、識別情報Rに対する対応を必要とせず、システム設計者が負担を増加させることなく、業務用仮想マシンの設計を行なうことができる。
Further, according to the present embodiment, in each of the
また、本実施形態において、所定の期間ごとに、送信元識別情報に対応する識別情報Rを変更する処理を行なってもよい。
送信元情報であるIPアドレスの使用者が変更となったり、なりすましでIPアドレスが使用されるなどの場合、識別情報Rを変更しないと、IPアドレスがいずれの使用者であった期間にセキュリティの問題が発生したかを区別することができないため、所定の期間(例えば、一ヶ月)毎、あるいは最終アクセス日時から所定の期間(例えば、一ヶ月)が経過した時点において識別情報Rを変更する構成としても良い。
Moreover, in this embodiment, you may perform the process which changes the identification information R corresponding to transmission origin identification information for every predetermined period.
If the user of the IP address that is the source information is changed, or if the IP address is used by impersonation, the security information is not changed during the period when the IP address was any user unless the identification information R is changed. Since it is impossible to distinguish whether a problem has occurred, the identification information R is changed every predetermined period (for example, one month) or when a predetermined period (for example, one month) has passed since the last access date and time. It is also good.
図8は、仮想マシン114内部に備えられた識別情報テーブルの他の構成例を示す図である。図8において、他の構成例としての識別情報テーブルは、レコード毎に、送信元識別情報、識別情報R及び最終アクセス日時の各々の欄に加えて、有効フラグの欄が設けられている。有効フラグは、識別情報Rが有効か否かを示し、フラグが立っている(データ「1」が記載)場合に、識別情報Rが有効であることを示し、フラグが立っていない(データ「0」が記載)場合に、識別情報Rが有効でない(無効である)ことを示している。
FIG. 8 is a diagram illustrating another configuration example of the identification information table provided in the
所定の期間で識別情報Rを変更する場合には、以下の処理が行なわれる。また、所定の期間で識別情報Rを変更する場合には、最終アクセス日時の欄を、識別情報R作成日時と変更した構成とする。識別情報R作成日時は、その識別情報Rを作成した日時を示している。
仮想マシン114は、リクエスト時において、仮想マシン111から送信元識別情報が供給された際、有効フラグが立っている識別情報Rのレコードから、この送信元識別情報を識別情報テーブルにおいて検索する。そして、仮想マシン114は、検索された送信元識別情報の識別情報R作成日時からの経過時間を求める。
このとき、仮想マシン114は、経過時間が所定の期間を超えていない場合、すでに説明した識別情報Rの付加の処理を行なう。
When the identification information R is changed in a predetermined period, the following processing is performed. When the identification information R is changed in a predetermined period, the last access date / time column is changed to the identification information R creation date / time. The identification information R creation date and time indicates the date and time when the identification information R was created.
When the transmission source identification information is supplied from the
At this time, if the elapsed time does not exceed the predetermined period, the
一方、仮想マシン114は、経過時間が所定の期間を超えている場合、情報テーブルのこの識別情報Rの有効フラグを立っている状態(有効)から立っていない状態(無効)に変更する。そして、仮想マシン114は、有効でなくした識別情報Rの送信元識別情報に対し、新たな識別情報Rを作成する。仮想マシン114は、新たに作成した識別情報Rを送信元識別情報と対応させて、識別情報テーブルに書き込み、識別情報R作成日時に対して現在の日時を書き込み、有効フラグを有効な状態とする。これにより、仮想マシン114は、すでに説明した識別情報Rの付加の処理を行なう。
On the other hand, when the elapsed time exceeds a predetermined period, the
最終アクセス日時から所定の所定の期間が経過下際に識別情報Rを変更する場合には、以下の処理が行なわれる。
仮想マシン114は、リクエスト時において、仮想マシン111から送信元識別情報が供給された際、有効フラグが立っている識別情報Rのレコードから、この送信元識別情報を識別情報テーブルにおいて検索する。そして、仮想マシン114は、検索された送信元識別情報の最終アクセス日時からの経過時間を求める。
このとき、仮想マシン114は、経過時間が所定の期間を超えていない場合、すでに説明した識別情報Rの付加の処理を行なう。
In a case where the identification information R is changed when a predetermined predetermined period has elapsed since the last access date and time, the following processing is performed.
When the transmission source identification information is supplied from the
At this time, if the elapsed time does not exceed the predetermined period, the
一方、仮想マシン114は、経過時間が所定の期間を超えている場合、情報テーブルのこの識別情報Rの有効な状態から無効の状態に変更する。そして、仮想マシン114は、有効でなくした識別情報Rの送信元識別情報に対し、新たな識別情報Rを作成する。仮想マシン114は、新たに作成した識別情報Rを送信元識別情報と対応させて、識別情報テーブルに書き込み、最終アクセス日時に対して現在の日時を書き込み、有効フラグを有効な状態とする。これにより、仮想マシン114は、すでに説明した識別情報Rの付加の処理を行なう。
On the other hand, when the elapsed time exceeds the predetermined period, the
上述した構成により、本実施形態によれば、送信元情報であるIPアドレスの使用者が変更となったり、なりすましでIPアドレスが使用されるなどの場合、識別情報Rを変更しないと、IPアドレスがいずれの使用者であった期間にセキュリティの問題が発生したかを区別することができる。 With the configuration described above, according to the present embodiment, if the user of the IP address that is the source information is changed or if the IP address is used by impersonation, the IP address must be changed without changing the identification information R. It is possible to distinguish which user has had a security problem during the period.
また、上述した識別情報付与システム110及び業務用仮想マシン151と、識別情報付与システム210及び業務用仮想マシン251と、識別情報付与システム310及び業務用仮想マシン351との各々を、Webサーバ100、APサーバ200、DBサーバ300それぞれにおいて複数個を並列に設ける構成としても良い。この構成の場合、Webサーバ100、APサーバ200、DBサーバ300の各々の物理NICと、識別情報付与システム110、識別情報付与システム210、識別情報付与システム310それぞれとの間にロードバランス部(ロードバランサ)を設け、それぞれの識別情報付与システムと業務用仮想マシンとの組に対して負荷分散を行なう。
これにより、識別情報付与システムと業務用仮想マシンとの組の数に対応して、ウェブシステムにおける処理のスループットを向上させることができる。
In addition, each of the identification
Thereby, the throughput of processing in the web system can be improved in correspondence with the number of sets of the identification information providing system and the business virtual machine.
<第2の実施形態>
以下、図面を参照して、本発明の第2の実施形態について説明する。図9は、本発明の第2の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。図9のウェブシステム1Aにおいて、図1に示す第1の実施形態と同様の構成については同一の符号を付し、その説明を省略する。以下、第2の実施形態においては、第1の実施形態と異なる構成及び動作について説明する。
<Second Embodiment>
The second embodiment of the present invention will be described below with reference to the drawings. FIG. 9 is a diagram showing a configuration example of a web system using the identification information providing system according to the second embodiment of the present invention. In the web system 1A of FIG. 9, the same reference numerals are given to the same configurations as those of the first embodiment shown in FIG. 1, and the description thereof is omitted. Hereinafter, in the second embodiment, configurations and operations different from those in the first embodiment will be described.
第1の実施形態と異なる構成としては、Webサーバ100Aの識別情報付与システム110Aにおいて、仮想マシン111と同様の構成である仮想マシン111_1から仮想マシン111_nが設けられ、仮想マシン114と同様の構成である仮想マシン114_1から仮想マシン114_nが設けられている。
仮想マシン111_1から仮想マシン111_nの各々には、ロードバランス部160が接続されている。ロードバランス部160は、クライアント400の各々から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を仮想マシン111_1から仮想マシン111_nそれぞれに供給する。
As a configuration different from the first embodiment, in the identification
A
ここで、仮想マシン111_1から仮想マシン111_nの各々は、仮想マシン114_1、仮想マシン114_2、…仮想マシン114_nそれぞれと、第1の実施形態における仮想マシン111と仮想マシン114との処理の組合わせと同様な組を形成している。
また、第1の実施形態における仮想マシン114に備えられていた識別情報テーブルは、第2の実施形態において、仮想マシン114_1から仮想マシン114_nが共通に使用する一つの識別情報テーブルが、仮想マシン114_1から仮想マシン114_nのいずれかに備えられる。
Here, each of the virtual machine 111_1 to the virtual machine 111_n is similar to the virtual machine 114_1, the virtual machine 114_2,..., The virtual machine 114_n, and the combination of the processes of the
Further, the identification information table provided in the
仮想マシン114_1から仮想マシン114_nの各々は、業務用仮想マシン151から出力される通信データAが仮想マシン111_1から仮想マシン111_nのいずれから供給されたかを、仮想NIC112_1、仮想NIC112_2、仮想NIC112_nのIPアドレスにより判定する。同様に、仮想マシン111_1から仮想マシン111_nの各々は、業務用仮想マシン151から出力される通信データBが仮想マシン114_1から仮想マシン114_nのいずれから供給されたかを、仮想NIC115_1、仮想NIC115_2、仮想NIC115_nのIPアドレスにより判定する。
Each of the virtual machine 114_1 to the virtual machine 114_n indicates which of the virtual NIC 111_1, the virtual NIC 112_2, and the virtual NIC 112_n the communication data A output from the business
仮想マシン111_1から仮想マシン111_nの各々は、仮想ブリッジ117を介して、通信データAから抽出した送信元識別情報に対し、仮想NIC112_1、仮想NIC112_2、仮想NIC2_nそれぞれのIPアドレスを付加し、仮想マシン114_1から仮想マシン114_nの全てに送信する。仮想マシン114_1から仮想マシン114_nの各々は、送信元識別情報とともに受信した仮想NICのIPアドレスにより、仮想マシン111_1から仮想マシン111_nそれぞれが処理した通信データAであるかを判定する。
Each of the virtual machines 111_1 to 111_n adds the IP addresses of the virtual NIC 112_1, the virtual NIC 112_2, and the virtual NIC 2_n to the transmission source identification information extracted from the communication data A via the
仮想マシン111_1から仮想マシン111_nの各々は、仮想NIC113_1、仮想NIC113_2、…、仮想NIC113_n、仮想ブリッジ117、仮想NIC116_1、仮想NIC116_2、…、仮想NIC116_nそれぞれを介して、送信元識別情報の送信を行なう。同様に、仮想マシン114_1から仮想マシン114_nの各々は、仮想NIC116_1、仮想NIC116_2、…、仮想NIC116_n、仮想ブリッジ117、仮想NIC113_1、仮想NIC113_2、…、仮想NIC113_nそれぞれを介して、識別情報Rの送信を行なう。
仮想マシン114_1から仮想マシン114_nの各々は、仮想NIC115_1、仮想NIC115_2、…、仮想NIC115_nそれぞれを介して、物理NIC132に対する通信データAの送信、通信データBの受信のそれぞれを行なう。
Each of the virtual machines 111_1 to 111_n transmits transmission source identification information via the virtual NIC 113_1, the virtual NIC 113_2,..., The virtual NIC 113_n, the
Each of the virtual machines 114_1 to 114_n performs transmission of the communication data A to the
APサーバ200Aの識別情報付与システム210Aにおいて、仮想マシン211と同様の構成である仮想マシン211_1から仮想マシン211_nが設けられ、仮想マシン214と同様の構成である仮想マシン214_1から仮想マシン214_nが設けられている。
仮想マシン211_1から仮想マシン211_nの各々には、ロードバランス部260が接続されている。ロードバランス部260は、Webサーバ100から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を仮想マシン211_1から仮想マシン211_nそれぞれに供給する。
他の構成については、Webサーバ100Aと同様である。
In the identification
A
Other configurations are the same as those of the
また、DBサーバ300Aの識別情報付与システム310Aにおいて、仮想マシン311と同様の構成である仮想マシン311_1から仮想マシン311_nが設けられている。
仮想マシン311_1から仮想マシン311_nの各々には、ロードバランス部360が接続されている。ロードバランス部360は、APサーバ200から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を仮想マシン311_1から仮想マシン311_nそれぞれに供給する。
他の構成については、Webサーバ100Aと同様である。
Further, in the identification
A
Other configurations are the same as those of the
上述した構成により、本実施形態によれば、Webサーバ100A、APサーバ200A及びDBサーバ300Aの各々に入力される通信データAの負荷分散をロードバランス部により行ない、仮想マシン111_1から仮想マシン111_nの各々と、仮想マシン211_1から仮想マシン211_nの各々と、仮想マシン311_1から仮想マシン311_nの各々とに対して行なうため、負荷分散を行なわずに、供給される全ての通信データを、一つの仮想マシン111、仮想マシン211、仮想マシン311において直列で処理する構成の第1の実施形態のウェブシステム1に比較して、ウェブシステム1Aのスループットを向上させることができる。
また、上述した構成において、ログ収集サーバ(不図示)は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、通信情報(通信情報Aまたは通信情報B)を収集し、収集した日時に対応してログ収集データベース(不図示)に蓄積する。
With the configuration described above, according to the present embodiment, the load balancing of the communication data A input to each of the
In the configuration described above, the log collection server (not shown) collects communication information (communication information A or communication information B) at each of the
<第3の実施形態>
以下、図面を参照して、本発明の第3の実施形態について説明する。図10は、本発明の第3の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。図10のウェブシステム1Bにおいて、図1に示す第1の実施形態と同様の構成については同一の符号を付し、その説明を省略する。以下、第3の実施形態においては、第1の実施形態と異なる構成及び動作について説明する。
<Third Embodiment>
The third embodiment of the present invention will be described below with reference to the drawings. FIG. 10 is a diagram showing a configuration example of a web system using the identification information providing system according to the third embodiment of the present invention. In the
第1の実施形態と異なる構成としては、Webサーバ100Bの識別情報付与システム110Bにおいて、業務用仮想マシン151と同様の構成である業務用仮想マシン151_1から業務用仮想マシン151_nが設けられている。
業務用仮想マシン151_1から業務用仮想マシン151_nの各々には、ロードバランス部160が接続されている。ロードバランス部160は、仮想マシン111から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を業務用仮想マシン151_1から仮想マシン151_nそれぞれに供給する。
As a configuration different from the first embodiment, the business virtual machine 151_1 to the business virtual machine 151_n having the same configuration as the business
A
ここで、業務用仮想マシン151_1から業務用仮想マシン151_nの各々は、第1の実施形態における業務用仮想マシン151と同様の処理を行なう仮想マシンである。
業務用仮想マシン151_1から業務用仮想マシン151_nの各々は、それぞれ仮想NIC152_1、仮想NIC152_2、…、仮想NIC152_nを介して、ロードバランス部160及び仮想マシン114との通信データ(通信データA、通信データB)の送受信を行なう。
Here, each of the business virtual machine 151_1 to the business virtual machine 151_n is a virtual machine that performs the same processing as the business
The business virtual machine 151_1 to the business virtual machine 151_n respectively communicate with the
仮想マシン111は、業務用仮想マシン151_1から業務用仮想マシン151_nのいずれに通信データAを出力したかの情報として、ロードバランス部160から、通信データAの出力先の業務用仮想マシンのIPアドレスを受信する。仮想マシン111は、通信データAの送信元識別情報とともに、通信データAの出力先である業務用仮想マシン151_1から業務用仮想マシン151_nのいずれかのIPアドレスを、仮想ブリッジ117を介して、仮想マシン114に対して供給する。
これにより、仮想マシン114は、業務用仮想マシン151_1から業務用仮想マシン151_nの各々から出力される通信データAそれぞれが、いずれの送信元識別情報から供給されたかを特定することができる。すなわち、業務用仮想マシン151_1から業務用仮想マシン151_nの各々に入力された通信データAと、それぞれから出力される通信データAとの対応付けが可能となり、出力される通信データAと送信元識別情報との対応関係を容易に得ることができる。
The
Thereby, the
また、APサーバ200Bの識別情報付与システム210Bにおいて、業務用仮想マシン251と同様の構成である業務用仮想マシン251_1から業務用仮想マシン251_nが設けられている。
業務用仮想マシン251_1から業務用仮想マシン251_nの各々には、ロードバランス部260が接続されている。ロードバランス部260は、仮想マシン211から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を業務用仮想マシン251_1から仮想マシン251_nそれぞれに供給する。
Further, in the identification
A
ここで、業務用仮想マシン251_1から業務用仮想マシン251_nの各々は、第1の実施形態における業務用仮想マシン151と同様の処理を行なう仮想マシンである。
業務用仮想マシン251_1から業務用仮想マシン251_nの各々は、それぞれ仮想NIC252_1、仮想NIC252_2、…、仮想NIC252_nを介して、ロードバランス部260及び仮想マシン214との通信データ(通信データA、通信データB)の送受信を行なう。
他の構成については、Webサーバ100Bと同様である。
Here, each of the business virtual machine 251_1 to the business virtual machine 251_n is a virtual machine that performs the same processing as the business
Each of the business virtual machine 251_1 to the business virtual machine 251_n communicates with the
Other configurations are the same as those of the
また、DBサーバ300Bの識別情報付与システム310Bにおいて、業務用仮想マシン351と同様の構成である業務用仮想マシン351_1から業務用仮想マシン351_nが設けられている。
業務用仮想マシン351_1から業務用仮想マシン251_nの各々には、ロードバランス部260が接続されている。ロードバランス部360は、仮想マシン311から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を業務用仮想マシン351_1から業務用仮想マシン351_nそれぞれに供給する。
In the identification
A
ここで、業務用仮想マシン351_1から業務用仮想マシン351_nの各々は、第1の実施形態における業務用仮想マシン351と同様の処理を行なう仮想マシンである。
業務用仮想マシン351_1から業務用仮想マシン351_nの各々は、それぞれ仮想NIC352_1、仮想NIC352_2、…、仮想NIC352_nを介して、ロードバランス部360及び仮想マシン314との通信データ(通信データA、通信データB)の送受信を行なう。
他の構成については、Webサーバ100Bと同様である。
Here, each of the business virtual machine 351_1 to the business virtual machine 351_n is a virtual machine that performs the same processing as the business
The business virtual machine 351_1 to the business virtual machine 351_n respectively communicate with the
Other configurations are the same as those of the
上述した構成により、本実施形態によれば、Webサーバ100B、APサーバ200B及びDBサーバ300Bの各々に入力される通信データAの各々を、仮想マシン111と仮想マシン211との間における業務用仮想マシン151_1から業務用仮想マシン151_nでロードバランス部により負荷分散を行なうため、負荷分散を行なわずに、供給される全ての通信データを、一つの仮想マシン111、仮想マシン211、仮想マシン311において直列で処理する構成の第1の実施形態のウェブシステム1に比較して、ウェブシステム1Bのスループットを向上させることができる。
また、上述した構成において、ログ収集サーバ(不図示)は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、通信情報(通信情報Aまたは通信情報B)を収集し、収集した日時に対応してログ収集データベース(不図示)に蓄積する。
With the above-described configuration, according to the present embodiment, each of the communication data A input to each of the
In the configuration described above, the log collection server (not shown) collects communication information (communication information A or communication information B) at each of the
また、本実施形態においては、Webサーバ100B、APサーバ200B及びDBサーバ300Bの各々において、それぞれ業務用仮想マシン151_1から業務用仮想マシン151_n、業務用仮想マシン251_1から業務用仮想マシン251_n、業務用仮想マシン351から業務用仮想マシン251_nを備え、各サーバが業務用仮想マシンを複数個設ける構成とした。しかしながら、すでに説明した、各サーバにおいて複数個の仮想マシンを備える第2の実施形態と、各サーバにおいて複数個の業務用仮想マシンを備える本実施形態とを組み合わせた構成としても良い。
すなわち、Webサーバ100Bは、仮想マシン111_1から仮想マシン111_mと、業務用仮想マシン151_1から業務用仮想マシン151_nと、仮想マシン114_1から仮想マシン114_mとを備える構成としても良い。同様に、APサーバ200Bは、仮想マシン211_1から仮想マシン211_mと、業務用仮想マシン251_2から業務用仮想マシン251_n、仮想マシン214_1から仮想マシン214_mとを備える構成としても良い。また、DBサーバ300Bは、仮想マシン311_1から仮想マシン311_mと、業務用仮想マシン351_2から業務用仮想マシン351_nとを備える構成としても良い。このように、異なる、あるいは同一の個数で、仮想マシン及び業務用仮想マシンの各々を、各サーバにおいて並列に複数備える構成においても、ロードバランス部を設け、第2の実施形態あるいは第3の実施形態と同様に、仮想マシンあるいは業務用仮想マシンに対する通信データの負荷分散を行なう。
In the present embodiment, in each of the
That is, the
<第4の実施形態>
以下、図面を参照して、本発明の第4の実施形態について説明する。図11は、本発明の第4の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。図11のウェブシステム1Cにおいて、図1に示す第1の実施形態と同様の構成については同一の符号を付し、その説明を省略する。以下、第4の実施形態においては、第1の実施形態と異なる構成及び動作について説明する。
<Fourth Embodiment>
Hereinafter, a fourth embodiment of the present invention will be described with reference to the drawings. FIG. 11 is a diagram showing a configuration example of a web system using an identification information providing system according to the fourth embodiment of the present invention. In the
第1の実施形態と異なる構成は、Webサーバ100Cに対してのみ、識別情報付与システム110Cを設け、APサーバ200C及びDBサーバ300Cの各々に対して、それぞれ識別情報システムを設けない点にある。
識別情報付与システム110Cにおける仮想マシン114Cは、識別情報Rを通信情報Aに対して付与するが、通信データであるパケットにおいて、業務用仮想マシン151、業務用仮想マシン251及び業務用仮想マシン351の各々における処理で、外されたりあるいは処理に対して影響を与えない所定の領域に、識別情報Rを埋め込む。この所定の領域は、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)のアプリケーションレイヤの拡張データ領域である。識別情報の生成などの他の処理は、第1の実施形態における仮想マシン114と同様である。
また、識別情報付与システム110Cにおける識別情報テーブルの構成は、第1の実施形態と同様である。
The configuration different from the first embodiment is that the identification
The
The configuration of the identification information table in the identification
仮想マシン111は、所定の領域に埋め込まれた識別情報Rを取りはずさない通信データBをフェイククライアント500に対して出力し、所定の領域に埋め込まれた識別情報Rを取り外した通信データBをクライアント400に対して出力する。
また、上述した構成において、ログ収集サーバ(不図示)は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、通信情報(通信情報Aまたは通信情報B)を収集し、収集した日時に対応してログ収集データベース(不図示)に蓄積する。
The
In the configuration described above, the log collection server (not shown) collects communication information (communication information A or communication information B) at each of the
これにより、本実施形態によれば、APサーバ200C及びDBサーバの各々においては、識別情報Rの付加及び取り外しの処理を行なう必要がないため、処理時間を短縮することができ、スループットを向上させることができる。
また、本実施形態によれば、識別情報付与システム110Cのみの設計及び実装を行なえばよいため、第1の実施形態から第3の実施形態の各々に比較して、作業時間及びコストを低減することができる。
Thereby, according to this embodiment, since it is not necessary to perform the process of addition and removal of identification information R in each of the AP server 200C and the DB server, the processing time can be shortened and the throughput is improved. be able to.
In addition, according to the present embodiment, since only the identification
また、図1、図9、図10及び図11の各々における識別情報付与システムにおける識別情報Rの付加及び取り外しに関する機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、識別情報Rの付加及び取り外しの処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。 In addition, a program for realizing a function relating to addition and removal of identification information R in the identification information providing system in each of FIGS. 1, 9, 10 and 11 is recorded on a computer-readable recording medium. Processing for adding and removing identification information R may be performed by causing a computer system to read and execute a program recorded on a medium. Here, the “computer system” includes an OS and hardware such as peripheral devices.
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW system is used.
The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. Furthermore, the “computer-readable recording medium” dynamically holds a program for a short time like a communication line when transmitting a program via a network such as the Internet or a communication line such as a telephone line. In this case, a volatile memory in a computer system serving as a server or a client in that case, and a program that holds a program for a certain period of time are also included. The program may be a program for realizing a part of the functions described above, and may be a program capable of realizing the functions described above in combination with a program already recorded in a computer system.
以上、この発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design and the like within a scope not departing from the gist of the present invention.
1,1A,1B,1C…ウェブシステム
100,100A,100B,100C…Webサーバ
110,110A,110B,110C,210A,210B,310A,310B…識別情報付与システム
111,111_1,111_1,111_n,114,114_1,114_1,114_n,114C,211,211_1,211_1,211_n,214,214_1,214_1,214_n,311,311_1,311_1,311_n,314,314_1,314_1,314_n…仮想マシン
112,113,115,116,152,212,213,215,216,152,312,352…仮想NIC
117,118,217,218,318…仮想ブリッジ
160,260,360…ロードバランス部
151,151_1,151_1,151_n,251,251_1,251_1,251_n,351_1,351_1,351_n…業務用仮想マシン
200,200A,200B,200C…APサーバ
300,300A,300B,300C…DBサーバ
400…クライアント
500…フェイククライアント
700…ログ収集サーバ
800…ログ収集データベース
1, 1A, 1B, 1C ...
117, 118, 217, 218, 318 ...
Claims (10)
前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給部と、
前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与部と
を備えることを特徴とする識別情報付与システム。 Identification information is given to the communication data in order to associate each of the communication data transmitted from the client that is the transmission source that is transmitted and received in the business server that performs the predetermined business processing that constitutes the web system. Identification information providing system
A data supply unit for supplying the communication data in series in the order of input to the business server;
An identification information providing system comprising: an identification information providing unit that provides identification information for identifying the transmission source to the communication data in the order.
ことを特徴とする請求項1に記載の識別情報付与システム。 The identification information adding unit adds the identification information to the communication data when the communication data is output from the business server to another business server in the next stage. The identification information provision system according to claim 1.
ことを特徴とする請求項1または請求項2に記載の識別情報付与システム。 When the communication data to which the identification information is added is supplied from another business server in the previous stage, the data supply unit removes the identification information from the communication data and supplies the communication data to the business server. The identification information providing system according to claim 1 or 2.
前記識別情報付与部が、前記業務用サーバから出力される前記識別情報を外した前記通信データに対し、当該通信データから前記業務用サーバに入力される際に取り外された前記識別情報を付加する
ことを特徴とする請求項3に記載の識別情報付与システム。 The data supply unit outputs the identification information removed from the communication data to the business server to the identification information adding unit;
The identification information adding unit adds the identification information removed when the identification data is input from the communication data to the business server to the communication data from which the identification information is output. The identification information provision system according to claim 3.
初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元を示す送信元情報の各々に対応させて、前記通信データそれぞれの前記識別情報を生成する
ことを特徴とする請求項4に記載の識別情報付与システム。 In the web system, each of the business servers is connected in series,
The identification information adding unit of the first-stage business server generates the identification information for each of the communication data in association with each of the transmission source information indicating the transmission source of the communication data. The identification information providing system described in 1.
前記業務用サーバに供給される前記通信データを、前記データ供給部の各々に負荷分散して出力するロードバランス部をさらに備え、
前記データ供給部と前記識別情報付与部とがそれぞれ前記識別情報の取り外し及び付加する連携処理の組として設けられている
ことを特徴とする請求項1から請求項5のいずれか一項に記載の識別情報付与システム。 A plurality of each of the data supply unit and the identification information providing unit are provided,
The communication data supplied to the business server further includes a load balance unit that outputs the data by distributing the load to each of the data supply units,
The said data supply part and the said identification information provision part are each provided as a group of the cooperation process which removes and adds the said identification information. The Claim 1 characterized by the above-mentioned. Identification information grant system.
前記データ供給部から前記業務用サーバに供給される前記通信データを、前記業務用サーバの各々に負荷分散して出力するロードバランス部をさらに備え、
前記ロードバランス部が、前記データ供給部から出力される前記識別情報に対応する前記通信データを送信した業務用サーバのサーバ識別情報を、前記識別情報付与部に送信する
ことを特徴とする請求項1から請求項5のいずれか一項に記載の識別情報付与システム。 A plurality of the business servers are provided,
The communication data supplied from the data supply unit to the business server is further provided with a load balance unit that outputs a load distributed to each of the business servers,
The load balance unit transmits server identification information of a business server that has transmitted the communication data corresponding to the identification information output from the data supply unit to the identification information adding unit. The identification information provision system as described in any one of Claims 1-5.
初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元と、前記識別情報との対応を示す対応テーブルを有する
ことを特徴とする請求項1から請求項7のいずれか一項に記載の識別情報付与システム。 In the web system, each of the business servers is connected in series,
The identification information adding unit of the first-stage business server has a correspondence table indicating correspondence between the transmission source of the communication data and the identification information. The identification information providing system described in 1.
前記業務用サーバに対し、前記クライアントからの受信した前記通信データに対し、当該通信データの前記送信元を識別する識別情報を、前記通信データにおけるアプリケーションレイヤのデータ領域の拡張部分に書き込む識別情報付与部
を備えることを特徴とする識別情報付与システム。 Identification information is given to the communication data in order to associate each of the communication data transmitted from the client that is the transmission source that is transmitted and received in the business server that performs the predetermined business processing that constitutes the web system. Identification information providing system
Identification information for writing the communication data received from the client to the business server in the extended portion of the data area of the application layer in the communication data with the identification information for identifying the transmission source of the communication data The identification information provision system characterized by including a part.
データ供給部が、前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給過程と、
識別情報付与部が、前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与過程と
を含むことを特徴とする識別情報付与方法。 Identification information is given to the communication data in order to associate each of the communication data transmitted from the client that is the transmission source that is transmitted and received in the business server that performs the predetermined business processing that constitutes the web system. Identification information providing method
A data supply process in which the data supply unit supplies the communication data in series in the order of input to the business server;
An identification information adding method comprising: an identification information adding step in which an identification information adding unit assigns identification information for identifying the transmission source to the communication data in the order.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017054523A JP6878068B2 (en) | 2017-03-21 | 2017-03-21 | Identification information giving system and identification information giving method |
| JP2021045769A JP7046248B2 (en) | 2017-03-21 | 2021-03-19 | Identification information granting system and identification information granting method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017054523A JP6878068B2 (en) | 2017-03-21 | 2017-03-21 | Identification information giving system and identification information giving method |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021045769A Division JP7046248B2 (en) | 2017-03-21 | 2021-03-19 | Identification information granting system and identification information granting method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018156553A true JP2018156553A (en) | 2018-10-04 |
| JP6878068B2 JP6878068B2 (en) | 2021-05-26 |
Family
ID=63715674
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017054523A Active JP6878068B2 (en) | 2017-03-21 | 2017-03-21 | Identification information giving system and identification information giving method |
| JP2021045769A Active JP7046248B2 (en) | 2017-03-21 | 2021-03-19 | Identification information granting system and identification information granting method |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021045769A Active JP7046248B2 (en) | 2017-03-21 | 2021-03-19 | Identification information granting system and identification information granting method |
Country Status (1)
| Country | Link |
|---|---|
| JP (2) | JP6878068B2 (en) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003228498A (en) * | 2002-02-05 | 2003-08-15 | Toshiba Corp | History data collecting system and history data collecting program |
| JP2006072760A (en) * | 2004-09-02 | 2006-03-16 | Fujitsu Ltd | Queue management device |
| WO2006046297A1 (en) * | 2004-10-28 | 2006-05-04 | Fujitsu Limited | Analyzing method and device |
| JP2007004595A (en) * | 2005-06-24 | 2007-01-11 | Hitachi Ltd | Computer control method, computer, information processing system and program |
| JP2007052668A (en) * | 2005-08-18 | 2007-03-01 | Sony Corp | System and method for information processing |
| WO2013094032A1 (en) * | 2011-12-21 | 2013-06-27 | 富士通株式会社 | Information processing device, information processing method and program |
| US20140109103A1 (en) * | 2012-10-15 | 2014-04-17 | Limelight Networks, Inc. | Distributing transcoding tasks across a dynamic set of resources using a queue responsive to restriction-inclusive queries |
| WO2014076927A1 (en) * | 2012-11-13 | 2014-05-22 | パナソニック株式会社 | Method used in system for remotely operating device |
-
2017
- 2017-03-21 JP JP2017054523A patent/JP6878068B2/en active Active
-
2021
- 2021-03-19 JP JP2021045769A patent/JP7046248B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003228498A (en) * | 2002-02-05 | 2003-08-15 | Toshiba Corp | History data collecting system and history data collecting program |
| JP2006072760A (en) * | 2004-09-02 | 2006-03-16 | Fujitsu Ltd | Queue management device |
| WO2006046297A1 (en) * | 2004-10-28 | 2006-05-04 | Fujitsu Limited | Analyzing method and device |
| JP2007004595A (en) * | 2005-06-24 | 2007-01-11 | Hitachi Ltd | Computer control method, computer, information processing system and program |
| JP2007052668A (en) * | 2005-08-18 | 2007-03-01 | Sony Corp | System and method for information processing |
| WO2013094032A1 (en) * | 2011-12-21 | 2013-06-27 | 富士通株式会社 | Information processing device, information processing method and program |
| US20140109103A1 (en) * | 2012-10-15 | 2014-04-17 | Limelight Networks, Inc. | Distributing transcoding tasks across a dynamic set of resources using a queue responsive to restriction-inclusive queries |
| WO2014076927A1 (en) * | 2012-11-13 | 2014-05-22 | パナソニック株式会社 | Method used in system for remotely operating device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7046248B2 (en) | 2022-04-01 |
| JP6878068B2 (en) | 2021-05-26 |
| JP2021106010A (en) | 2021-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11734421B2 (en) | Systems and methods to detect and neutralize malware infected electronic communications | |
| CN108885666B (en) | System and method for detecting and preventing counterfeiting | |
| JP5539863B2 (en) | System and method for advertising on a P2P network | |
| WO2019157367A1 (en) | Scalable decentralized digital and programmatic advertising analytics system | |
| CN105359157B (en) | The network safety system and method for alarm are generated for detecting security breaches | |
| US20100154055A1 (en) | Prefix Domain Matching for Anti-Phishing Pattern Matching | |
| JP5801437B2 (en) | Phishing notification service | |
| CN112003920B (en) | Information sharing system | |
| CN114616795B (en) | Security mechanism for preventing retry or replay attacks | |
| AU2020276198B2 (en) | Webpage integrity monitoring | |
| CN106993009A (en) | A kind of method and apparatus for loading webpage in a browser | |
| CN107547524A (en) | A kind of page detection method, device and equipment | |
| WO2017206605A1 (en) | Method and device for preventing server from being attacked | |
| CN111885007A (en) | Information tracing method, device, system and storage medium | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| US20060041794A1 (en) | Methods, systems and computer program products for providing system operational status information | |
| CN106657310B (en) | Form submitting method and device | |
| US9465781B2 (en) | Analysis of web application state | |
| US9396259B1 (en) | Capture of web application state | |
| CN107040606A (en) | Method and apparatus for handling http request | |
| US20020129273A1 (en) | Secure content server apparatus and method | |
| CN107294931A (en) | The method and apparatus of adjustment limitation access frequency | |
| JP7046248B2 (en) | Identification information granting system and identification information granting method | |
| CN105574724B (en) | Safety payment protection method, safety application client, safety server and system | |
| Prasadreddy et al. | A threat free architecture for privacy assurance in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201216 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210202 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210319 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210406 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210428 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6878068 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |