JP2000122939A - アプリケーションゲートウェイの通信制御方法 - Google Patents

アプリケーションゲートウェイの通信制御方法

Info

Publication number
JP2000122939A
JP2000122939A JP10289431A JP28943198A JP2000122939A JP 2000122939 A JP2000122939 A JP 2000122939A JP 10289431 A JP10289431 A JP 10289431A JP 28943198 A JP28943198 A JP 28943198A JP 2000122939 A JP2000122939 A JP 2000122939A
Authority
JP
Japan
Prior art keywords
web
connection
tcp
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10289431A
Other languages
English (en)
Inventor
Masanori Tomota
正憲 友田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP10289431A priority Critical patent/JP2000122939A/ja
Publication of JP2000122939A publication Critical patent/JP2000122939A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

(57)【要約】 【課題】アプリケーションゲートウェイの通信制御方式
にあって、データコピー回数を減少させ、クライアント
計算機とWebサーバ計算機との間の高速通信と、We
b PROXYサーバ計算機の負荷軽減を図ること。 【解決手段】Web PROXYサーバ計算機100の
Web PROXYサーバ機能部がWebサーバ計算機
200へのアクセスを許可した後、前記WebPROX
Yサーバを経由せずに、通信中継部110がクライアン
ト計算機300のWebブラウザ機能部308とWeb
サーバ計算機200のWebサーバ機能部208とのデ
ータ通信を中継するようにする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、クライアント計算
機とサーバ計算機に於けるアプリケーションゲートウェ
イの通信制御方法に関する。
【0002】
【従来の技術】従来のWeb PROXYサーバとWe
bブラウザ、並びにWebサーバとのデータのやり取り
の様子を図7を参照して説明する。Web PROXY
サーバ計算機700に内設されるWeb PROXYサ
ーバ機能部(Web PROXYサーバ)には、キャッ
シュ管理部702、アクセス管理部704、データ転送
部706、転送ペアテーブル710等が設けられる。
【0003】キャッシュ管理部702は、Webサーバ
計算機750のWebサーバ機能部(Webサーバ)か
ら受信したドキュメント情報を蓄積し、クライアント計
算機780のWebブラウザ機能部(Webブラウザ)
から受信したWebリクエストに対応するドキュメント
情報を蓄積しているかどうかの問い合わせに対し、蓄積
している場合は当該ドキュメント情報を返信する機能を
有する。
【0004】アクセス管理部704は、Webブラウザ
がWebサーバ計算機750にアクセスしてよいか否か
を判断する機能を有する。データ転送部706は、実際
にWebサーバとのTCP接続を作成してWebブラウ
ザとWebサーバとの間のデータ伝送即ちデータのやり
とりを中継する機能を有する。
【0005】転送ペアテーブル710は、データ転送部
706が転送する対象となるTCP接続の対を保持す
る。転送ペアテーブル710は、TCP接続をIPアド
レス、ポート番号の4エントリで特定し、そのTCP接
続の組となる。データ転送部706が、Webブラウザ
からのデータやWebサーバからのデータ等を転送する
際、どのTCP接続にデータを転送するかを決定する為
に使用する。尚、転送ペアテーブル710は、Webブ
ラウザやWebサーバのIPアドレスと、ポート番号の
組み合わせではなく、ソケットIDの組でも同様のこと
が実現できる。
【0006】Webサーバ計算機750のWebサーバ
は、Webブラウザから要求されるドキュメント情報を
返信するのが主機能である。Webブラウザは、ユーザ
が指示したドキュメントをWebサーバに要求し、受け
取ったドキュメント情報をクライアント計算機の画面に
表示出力する。
【0007】Web Proxyサーバは、Webブラ
ウザとWebサーバとの間に存在し、Webブラウザか
らのWebリクエストを他のWebサーバへ転送し、W
ebサーバからのデータをWebブラウザへ中継する。
Webブラウザからは、通常のWebサーバと同様にみ
なされる。
【0008】ところで、Web Proxyサーバに
は、主に以下のような機能がある。 (1)セキュリティ機能 クライアント計算機からのアクセスをリダイレクトする
ことで、Webサーバへのアクセスは、Web Pro
xyサーバ計算機700が行うことになり、クライアン
ト計算機の存在を外部のWebサーバへ知られなくて済
む。これにより、組織内部のネットワークに存在するク
ライアント計算機を保護できる。本機能は、データ転送
部706がデータを転送することにより実現する。
【0009】(2)ドキュメントのキャッシュ 他のWebサーバのドキュメントをローカルディスクに
保存する。次に、そのドキュメントへのリクエストがあ
った場合に、実際のWebサーバへ要求を転送せずに、
ローカルディスクからドキュメントを取り出し、クライ
アントへ返す。これにより、Webサーバへのアクセス
を減らすことができ、又、応答が速いかどうかわからな
いインターネット上のWebサーバにアクセスしないこ
とで、クライアントでは、応答時間が短くなる。この機
能は、キャッシュ管理部702と、データ転送部706
によって実現する。
【0010】(3)アクセス制御 Webリクエストを転送するサイトを制限できる。例え
ば、業務に関係のないWebサーバへ、クライアント計
算機のブラウザからアクセスすることを禁止することが
できる。この機能は、アクセス管理部704により実現
する。
【0011】上記(2)及び(3)の機能を実現する為
には、Web Proxyサーバは、Webブラウザか
らのリクエストをWebサーバに代わって受信すること
が必要になる。HTTPと称されるWebサーバとブラ
ウザとの間でやり取りするプロトコルのレベルにて、リ
クエストを解析することが必須だからである。HTTP
は、ドキュメントのやり取りを行う為の詳細を定めたル
ールであり、図8に示すようにTCP/IPを用いて通
信を行うものとして規定されている。
【0012】
【発明が解決しようとする課題】しかしながら上述した
従来のWeb PROXYサーバ計算機では、クライア
ント計算機で動作するWebブラウザと、Web PR
OXYサーバ計算機の接続、及びWeb PROXYサ
ーバ計算機と、Webサーバの接続、という複数の接続
を作成する必要があった。又、接続間のデータのやり取
りをアプリケーションレベルで実行する為、データを何
度もコピーする必要があった。
【0013】そこで、本発明は上記事情を考慮して成さ
れたもので、上記不具合を解消すべく、上記データコピ
ー回数を減少させ、クライアント計算機とWebサーバ
計算機との間の高速通信と、Web PROXYサーバ
計算機の負荷軽減を図るアプリケーションゲートウェイ
の通信制御方法を提供することを目的とする。
【0014】
【課題を解決するための手段】本発明は上記目的を達成
する為、以下の通りのシステム構成とする。即ち、We
bブラウザとWeb PROXYサーバで、一度TCP
コネクションを作成し、Web PROXYサーバがW
ebリクエストを受信する。ここで、キャッシュの有無
やアクセス制御の検査をし、Webサーバへのアクセス
を行うかどうかを決定する。Webサーバへのアクセス
を行うことになると、Web PROXYサーバとWe
bサーバとの間で、TCPコネクションを作成し、We
bブラウザからのWebリクエストを送信する。
【0015】ここで、従来のWeb PROXYサーバ
計算機では、Webサーバからの受信データは、Web
サーバとWeb PROXYサーバ間とのTCP接続を
介して送られる。受信データは、通信手段、TCP/I
Pプロトコルで処理され、Web PROXYサーバに
届く。次に、届いたデータは、WebブラウザとWeb
PROXYサーバ間のTCP接続にて、Webブラウ
ザに送られる。最初にWeb PROXYサーバがWe
bサーバへのアクセスを許可すると、データは、Web
ブラウザとWebサーバとの間でやり取りすれば良く、
Web PROXYサーバを経由する必要がない場合が
殆どである。
【0016】本発明にあっては、Web PROXYサ
ーバがWebサーバへのアクセスを許可した後、Web
PROXYサーバを経由せずに、通信中継手段がWe
bブラウザとWebサーバとのデータ通信を中継する。
【0017】その為には、通信中継手段は、Webブラ
ウザとWeb PROXYサーバ、Web PROXY
サーバとWebサーバ間のTCP接続の状態を管理す
る。具体的には、通信中継手段は、両接続間のTCPの
シーケンス番号と、ウィンドウ(Window)サイズ
を保持する。中継すべきパケットが到着すると、シーケ
ンス番号とウィンドウサイズを中継先の接続のものに変
更し、送信元IPアドレスをWeb PROXYサーバ
計算機のものにして、IPプロトコル処理手段に渡して
パケットを送信する。このようにすることで、アプリケ
ーションレベル(Web PROXYサーバ)でデータ
を中継することなく、Web PROXYサーバ計算機
を中心にして、WebブラウザとWebサーバとの間の
データ通信を行うことができる。この場合、TCPが提
供するデータの信頼性は、WebブラウザとWebサー
バ計算機間のTCPのレベルで保証される。Web P
ROXYサーバ計算機は、IPルーティングを行うルー
タのような役割を果たすことになる。
【0018】即ち、本発明は、Webブラウザ機能を有
するクライアント計算機と、Webサーバ機能を有する
Webサーバ計算機と、Web PROXYサーバ機能
を有するWeb PROXYサーバ計算機とで構成され
るアプリケーションゲートウェイの通信制御方式に適用
される通信制御方法であって、上記クライアント計算機
に、他の計算機と通信を行う為の通信手段と、IPプロ
トコル処理を行うIPプロトコル処理手段と、TCPプ
ロトコル処理を行うTCPプロトコル処理手段とを具備
して、ユーザの動作に応じて、Webリクエストを上記
TCPプロトコル手段、上記IPプロトコル手段、上記
通信手段を用いて、Web PROXYサーバやWeb
サーバ等に送信し、これらのサーバから受信したWeb
ドキュメント情報を画面表示するWebブラウザ機能を
有し、上記Webサーバ計算機に、他の計算機と通信を
行う為の通信手段と、IPプロトコル処理を行うIPプ
ロトコル処理手段と、TCPプロトコル処理を行うTC
Pプロトコル処理手段と、WebブラウザやWeb P
ROXYサーバ等から送信されるWebリクエスト情報
をTCPプロトコル処理を行うTCPプロトコル手段と
を具備して、上記IPプロトコル手段並びに上記通信手
段を用いて、受信し要求されるWebドキュメント情報
を返信するWebサーバ機能を有し、上記Web PR
OXYサーバ計算機に、他の計算機と通信を行う為の通
信手段と、IPプロトコル処理を行うIPプロトコル処
理手段と、TCPプロトコル処理を行うTCPプロトコ
ル処理手段と、他の計算機とWeb PROXYサーバ
計算機間のTCP接続を特定するIPアドレス、ポート
番号の組と、前記TCP接続に於けるデータ転送状況を
示す為の特定のIPアドレスの計算機が発行する特定の
シーケンス番号、特定のウィンドウサイズと、別のIP
アドレスの計算機が発行する特定のシーケンス番号、特
定のウィンドウサイズと、接続を一意に識別する為の接
続番号と、通信を中継する対象を示す接続中継番号から
成る接続状態テーブル手段と、この接続状態テーブル手
段を用いて、外部から示されるTCP接続間のデータ通
信を中継する通信中継手段と、WebブラウザとWeb
サーバ計算機との間の接続を制御する為に、Webブラ
ウザがアクセスを拒否するURL情報を格納したアクセ
スリスト手段と、WebブラウザからのTCP接続を作
成し、上記TCPプロトコル手段を用いてWebブラウ
ザとのデータのやり取りを行い、WebブラウザのWe
bサーバへのアクセスをアクセスリストを用いて許可す
るかどうかを決定するアクセス管理手段と、URLに対
応するデータを蓄積し、URLを用いた問い合わせに対
し、蓄積したものである場合には、そのデータを返すキ
ャッシュ管理手段と、WebブラウザとWeb PRO
XYサーバの接続を特定するブラウザIPアドレスと、
ブラウザポート番号と、ブラウザーPROXY IPア
ドレスと、ブラウザーPROXYポート番号の組と、W
eb PROXYサーバとWebサーバの接続を特定す
るサーバIPアドレスとサーバポート番号と、サーバー
PROXYIPアドレスと、サーバーPROXYポート
番号との組の組からなる転送ペアテーブル手段と、We
bサーバとのTCP接続を作成し、上記転送ペアテーブ
ルを用いてWebブラウザとWebサーバ間のデータを
中継するデータ転送手段とを具備して、上記通信中継手
段は、上記通信手段から又はTCPプロトコル処理手段
からのパケットを中継すると共にパケット内部を監視
し、当該パケットがTCP/IPの場合には、TCP/
IPヘッダを解析し、接続状態テーブルにIPアドレ
ス、ポート番号、シーケンス番号、ウィンドウサイズを
記録するようにし、上記アクセス管理手段は、Webブ
ラウザから接続要求があると、ブラウザとの間にTCP
接続を作成し、ブラウザからのURLより成るWebリ
クエストを受信し、このURLとアクセスリストにある
URLを照合し、アクセスリストに存在する場合はアク
セスを拒否する返答を返してTCP接続を終了し、アク
セスリストにはなくアクセスを許可する場合にはキャッ
シュ管理手段にURLを送り、上記キャッシュ管理手段
が受けとったURLのデータを保持している場合は当該
データを上記アクセス管理手段に返し、該アクセス管理
手段は当該データをWebブラウザに送り返してTCP
接続を終了するようにし、上記キャッシュ管理手段が、
受信したURLのデータを保持していない場合は、アク
セス管理手段はURLで指示されているWebサーバへ
のTCP接続を作成し、Webブラウザとの接続と、W
ebサーバとの接続のTCP接続ペアを転送テーブルに
登録し、URLと該当するTCP接続ペアをデータ転送
手段に通知するようにし、上記データ転送手段は、受信
したURLを指示されたペアのWebサーバ接続に送信
し、上記通信中継手段にTCP接続ペアを通知するよう
にし、上記通信中継手段は、通知されたTCP接続ペア
に対応する上記接続状態テーブル手段の接続に対し、接
続中継番号にペアの他方の接続番号を代入するように
し、以降、各接続が終了する迄、接続中継番号が指定さ
れている接続に対し、受信パケットを接続中継番号で指
定した接続に送信することでパケットの中継を行うよう
にすると共に、上記接続状態テーブル手段の各シーケン
ス番号とウィンドウサイズを元にパケットのTCPヘッ
ダのシーケンス番号、ウィンドウサイズを変更し、IP
アドレスの送信先と送信元アドレスを変更し、上記IP
プロトコル手段に渡してIPプロトコル手段が送信先I
Pアドレスに基づいてパケットをWebブラウザに送信
するようにし、上記アクセス管理手段がWebブラウザ
のWebサーバ計算機への接続を許可した場合に、We
bサーバとの接続を行った後、WebサーバとWebブ
ラウザとのデータ交信を、上記データ中継手段や上記T
CPプロトコル手段等を介すことなく上記通信中継手段
がTCPやIPのヘッダ情報のみを書き換えることで、
パケットの中継を行うようにしたことを特徴とする。
【0019】また、本発明は、上記したアプリケーショ
ンゲートウェイの通信制御方法に於いて、上記通信中継
手段が、パケットをWebサーバへ中継している場合
に、Webブラウザからの送信パケットに関しては、コ
ピーを作成して、そのパケットをIPプロトコル手段に
渡し、当該パケットがIP/TCPプロトコル手段を経
由してアクセス管理手段に通知され、アクセス管理手段
は、Webブラウザからの新たなWebリクエストに関
しても、そのURLをアクセスリストとの照合を続け、
アクセスが許可されている場合は、通信中継手段にその
ままパケットの中継を続けさせ、アクセスが許可されて
いない場合にあっては、通信中継手段パケット中継を停
止させ、Webサーバからのデータ中継を停止させる機
能を付け加えることで、Webブラウザとの単一の接続
で複数のWebリクエストに関して、アクセス制御を行
うことを可能とすることを特徴とする。
【0020】
【発明の実施の形態】以下、図面を参照して本発明の一
実施の形態を説明する。図1は本実施形態に係わるシス
テム構成を示す図である。本システムは、Web PR
OXYサーバ計算機100とWebサーバ計算機20
0、クライアント計算機300とから成る。
【0021】Web PROXYサーバ計算機100
は、通信部102、IPプロトコル処理部104、TC
Pプロトコロル処理部106、接続状態テーブル10
8、及び通信中継部110等の各機能部と、Web P
ROXYサーバ機能部(WebPROXYサーバ)を構
成する、アクセスリスト部112、アクセス管理部11
4、キャッシュ管理部116、転送ペアテーブル部11
8、データ転送部120等の各機能部とにより構成され
る。
【0022】通信部102は、他の計算機、例えばWe
bサーバ計算機200やクライアント計算機300等と
通信を行う為のインターフェースである。IPプロトコ
ル処理部104は、TCPプロトコル処理を行うTCP
プロトコロル処理部106と通信中継部110に接続
し、IPプロトコル処理を行うものである。
【0023】TCPプロトコロル処理部106は、前記
IPプロトコル処理部104、並びにアクセス管理部1
06、及びデータ転送部120に接続し、TCPプロト
コル処理を行う。
【0024】接続状態テーブル部108は、図2に示す
ようなテーブルから構成されている。即ち、他の計算機
とWeb PROXYサーバ計算機100間とのTCP
接続を特定するIPアドレス1、及びポート番号1と、
IPアドレス2、及びポート番号2の組と、そのTCP
接続に於けるデータ転送状況を示す為のIPアドレス1
の計算機が発行するシーケンス番号1、及びウィンドウ
サイズ1と、IPアドレス2の計算機が発行するシーケ
ンス番号2、及びウィンドウサイズ2と、接続を一意に
識別する為の接続番号と、通信中継部110が通信を中
継する対象を示す接続中継番号とから成る。
【0025】アクセスリスト部112は、Webブラウ
ザを有するクライアント計算機300とWebサーバ計
算機200との間の接続を制御する為に、Webブラウ
ザがアクセスを拒否するURLを記述したアクセスリス
トを有し、アクセス管理部114により参照される。
【0026】即ちアクセス管理部114は、クライアン
ト計算機300のWebブラウザからのTCP接続を作
成し、上記TCPプロトコル処理部106を用いてWe
bブラウザとのデータのやりとりを行い、Webブラウ
ザのWebサーバ計算機200へのアクセスを前記アク
セスリスト部112のアクセスリストを用いて許可する
かどうかを決定する機能を有する。
【0027】キャッシュ管理部116は、URLに対応
するデータを蓄積し、URLを用いた問い合わせに対
し、蓄積したものである場合には、そのデータを返す機
能を有する。
【0028】転送ペアテーブル部118は、TCP接続
をIPアドレス、ポート番号の4エントリで特定し、そ
のTCP接続の組となる。データ転送部120が、We
bブラウザからのデータやWebサーバからのデータ等
を転送する際、どのTCP接続にデータを転送するかを
決定する為に使用する。
【0029】即ち転送ペアテーブル部118は、図3に
示すように、クライアント計算機300のWebブラウ
ザとWeb PROXYサーバとの接続を特定するブラ
ウザIPアドレス、ブラウザポート番号、ブラウザーP
ROXY IPアドレス、ブラウザーPROXYポート
番号の組(ブラウザ接続と称す)と、Web PROX
YサーバとWebサーバの接続を特定するサーバIPア
ドレス及びサーバポート番号と、サーバーPROXYI
Pアドレス及びサーバーPROXYポート番号との組
(サーバ接続と称す)の組からなるテーブルを有する。
そして、この転送ペアテーブル部118はデータ転送部
120により参照される。
【0030】即ち、データ転送部120は、Webサー
バとのTCP接続を作成し、転送ペアテーブル部118
を用いて、WebブラウザとWebサーバ計算機200
との間のデータを中継する。
【0031】一方、Webサーバ計算機200は、他の
計算機と通信を行う為の通信インターフェースである通
信部202と、IPプロトコル処理を行うIPプロトコ
ル処理部204、TCPプロトコル処理を行うTCPプ
ロトコル処理部206、そしてIPプロトコル部204
並びに通信部202を用いて受信し要求されるWebド
キュメント情報を返信するWebサーバ機能部(Web
サーバ)208とを内設する。
【0032】又、クライアント計算機300は、他の計
算機と通信を行う為のインターフェースである通信部3
02と、IPプロトコル処理を行うIPプロトコル処理
部304、TCPプロトコル処理を行うTCPプロトコ
ル処理部304と、ユーザの動作に応じてWebリクエ
ストをTCPプロトコル処理部304を内設すると共
に、IPプロトコル処理部306、通信部302を用い
てWeb PROXYサーバ計算機100やWebサー
バ計算機200等に送信し、これらのサーバ計算機から
受信したWebドキュメント情報を画面表示するWeb
ブラウザ機能部(Webブラウザ)308を内設する。
【0033】上記構成につき、その動作を図4乃至図6
のフローチャートを参照して以下に説明する。通信中継
部110は、通信部102から又はTCPプロトコル処
理部106からのパケットを中継すると共に当該パケッ
ト内部を監視する(図4のステップS402)。そし
て、パケットがTCP/IPの場合には、TCP/IP
ヘッダを解析し、接続状態テーブル部108にIPアド
レス、ポート番号、シーケンス番号、ウィンドウサイズ
を記録する(ステップS404)。
【0034】アクセス管理部114は、クライアント計
算機300のWebブラウザから接続要求がくると(図
5のステップS502)、ブラウザとの間にTCP接続
を作成し(ステップS504)、ブラウザからのWeb
リクエストを受信する(ステップS506)。
【0035】WebリクエストはURLになっており、
このURLとアクセスリスト部112のアクセスリスト
にあるURLを照合し(ステップS508)、アクセス
リスト部112にある場合は(ステップS510のYE
S)、アクセスを拒否する返答を返して(ステップS5
12)TCP接続を終了する。
【0036】一方、アクセスリストになく(ステップS
510のNO)、アクセスを許可する場合には(ステッ
プS514)、キャッシュ管理部116にURLを送る
(ステップS516)。
【0037】キャッシュ管理部116が受信したURL
のデータを保持している場合は(図6のステップS60
2のYES)、当該データをアクセス管理部114に返
信する(ステップS604)。
【0038】この際、アクセス管理部114は当該デー
タをWebブラウザに送り返し(ステップS606)、
TCP接続を終了する。一方、キャッシュ管理部116
が受信したURLのデータを保持していない場合(ステ
ップS602のNO)、アクセス管理部はURLで指示
されているWebサーバ計算機200へのTCP接続を
作成する(ステップS608)。
【0039】そして、Webブラウザとの接続と、We
bサーバ計算機200との接続のTCP接続ペアを転送
テーブル部118に登録して(ステップS610)、U
RLと該当するTCP接続ペアをデータ転送部120に
通知する(ステップS612)。
【0040】データ転送部120は、受信したURLを
指示されたペアのWebサーバ接続に送信し(ステップ
S614)、通信中継部110にTCP接続ペアを通知
する(ステップS616)。
【0041】上記通信中継部110は、通知されたTC
P接続ペアに対応する接続状態テーブル部109の接続
に対し、接続中継番号にペアの他方の接続番号を代入す
る。以降各接続が終了するまで、接続中継番号が指定さ
れている接続に対し、受信パケットを接続中継番号で指
定した接続に送信することでパケットの中継を行うよう
にするとともに、接続状態テーブルの各シーケンス番号
とウィンドウサイズをもとにパケットのTCPヘッダの
シーケンス番号、ウィンドウサイズを変更し、IPアド
レスの送信先と送信元アドレスを変更し、IPプロトコ
ル手段に渡してIPプロトコル処理部104が送信先I
Pアドレスに基づいてパケットをWebブラウザに送信
するようにする。
【0042】上述したようにアクセス管理部114がW
ebブラウザのWebサーバ計算機200への接続を許
可した場合に、Webサーバとの接続を行った後、We
bサーバとクライアント計算機300のWebブラウザ
とのデータ交信を、データ転送部120やTCPプロト
コル処理部106等を介すことなく通信中継部110が
TCPやIPのヘッダ情報のみを書き換えることで、パ
ケットの中継を行うことで、高速な通信を実現できる。
【0043】ところで、通信中継部110が、パケット
をWebサーバへ中継している場合に、Webブラウザ
からの送信パケットに関しては、コピーを作成し、当該
パケットをIPプロトコル処理部114に渡し、パケッ
トがIPプロトコル処理部104、及びTCPプロトコ
ル処理部106を経由してアクセス管理部114に通知
される。
【0044】アクセス管理部114は、Webブラウザ
からの新たなWebリクエストに関しても、そのURL
をアクセスリスト部112のアクセスリストとの照合を
続ける。
【0045】アクセスが許可されている場合は、通信中
継部110にそのままパケットの中継を継続させる。一
方、アクセスが許可されていない場合にあっては、通信
中継部110がパケット中継を停止させる。そして、W
ebサーバ計算機200からのデータ中継を停止させる
機能を付け加えることで、Webブラウザとの単一の接
続で複数のWebリクエストに関して、アクセス制御を
行うことができる。
【0046】
【発明の効果】以上詳記したように本発明によれば、W
eb PROXYサーバにて通信許可された、クライア
ント計算機で動作するWebブラウザとWebサーバと
の間のデータ通信は、Web PROXYサーバに於い
て、パケットヘッダの一部修正と、パケットのフォワー
ド処理のみで済むようになる。従って、Web PRO
XYサーバの処理が大幅に削減されるとともに、Web
ブラウザとWebサーバと間での高速なデータ通信を実
現できる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係るシステムの概略構成
を示すブロック図。
【図2】同実施形態に係る接続状態テーブルを示す図。
【図3】同実施形態に係る転送ペアテーブルを示す図。
【図4】同実施形態に係る通信中継部の処理手順を示す
フローチャート。
【図5】同実施形態に係るアクセス管理部の処理手順を
示すフローチャート。
【図6】同実施形態に係るキャッシャ管理部の処理手順
を示すフローチャート。
【図7】従来のシステムの概略構成を示すブロック図。
【図8】WebサーバとWebブラウザのデータのやり
取りを示す図。
【符号の説明】
100…Web Proxy サーバ計算機 102,202,302…通信部 104,204,304…IPプロトコル処理部 106,206,306…TCPプロトコル処理部 108…接続状態テーブル部 110…通信中継部 112…アクセスリスト部 114…アクセス管理部 116…キャッシュ管理部 118…転送ペアテーブル部 200…Web サーバ計算機 208…Webサーバ機能部 300…クライアント計算機 308…Webブラウザ部

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 Webブラウザ機能を有するクライアン
    ト計算機と、Webサーバ機能を有するWebサーバ計
    算機と、Web PROXYサーバ機能を有するWeb
    PROXYサーバ計算機とで構成されるアプリケーシ
    ョンゲートウェイの通信制御方式であって、 前記Web PROXYサーバ計算機に、当該Web
    PROXYサーバ計算機と前記Webサーバ計算機との
    間のTCP接続の状態を管理する接続状態テーブル手段
    と、この接続状態テーブル手段を用いてデータ通信を中
    継する通信中継手段とを備え、 前記Web PROXYサーバ計算機が前記Webサー
    バ計算機へのアクセスを許可した後、前記通信中継手段
    がWeb PROXYサーバ計算機のWebPROXY
    サーバ機能部を経由せずにWebブラウザとWebサー
    バとのデータ通信を中継することを特徴とするアプリケ
    ーションゲートウェイの通信制御方式。
  2. 【請求項2】 Webブラウザ機能を有するクライアン
    ト計算機と、Webサーバ機能を有するWebサーバ計
    算機と、Web PROXYサーバ機能を有するWeb
    PROXYサーバ計算機とで構成されるアプリケーシ
    ョンゲートウェイの通信制御方法であって、 前記Web PROXYサーバ計算機に、当該Web
    PROXYサーバ計算機と前記Webサーバ計算機との
    間のTCP接続の状態を管理する接続状態テーブル手段
    と、この接続状態テーブル手段を用いてデータ通信を中
    継する通信中継手段と、TCP及びIPプロトコル手段
    と、WebサーバとのTCP接続を作成し転送ペアテー
    ブルを用いてWebブラウザとWebサーバ間のデータ
    を中継するデータ転送手段と、アクセスリスト手段を用
    いてアクセス管理を行うアクセス管理手段とを備え、 前記通信中継手段は、他の計算機と通信を行う通信手段
    から又はTCPプロトコル処理手段からのパケットを中
    継するとともに、パケット内部を監視し、当該パケット
    がTCP/IPの場合に、TCP/IPヘッダを解析し
    て、接続状態テーブルにIPアドレス、ポート番号、シ
    ーケンス番号、ウィンドウサイズを記録する処理手段を
    有するとともに、 通知されたTCP接続ペアに対応する前記接続状態テー
    ブル手段の接続に対し、接続中継番号にペアの他方の接
    続番号を代入するようにし、以降、各接続が終了する
    迄、接続中継番号が指定されている接続に対し、受信パ
    ケットを接続中継番号で指定した接続に送信することで
    パケットの中継を行うともに、前記接続状態テーブル手
    段の各シーケンス番号とウィンドウサイズをもとにパケ
    ットのTCPヘッダのシーケンス番号、ウィンドウサイ
    ズを変更し、IPアドレスの送信先と送信元アドレスを
    変更し、前記IPプロトコル手段に渡してIPプロトコ
    ル手段が送信先IPアドレスに基づいてパケットをWe
    bブラウザに送信する処理手段を有し、 前記アクセス管理手段がWebサーバ計算機への接続を
    許可した場合に、Webサーバ計算機との接続を行った
    後、Webサーバ計算機とクライアント計算機とのデー
    タ交信を、アクセス管理手段を介すことなく、前記通信
    中継手段がTCPやIPのヘッダ情報のみを書き換える
    ことで、パケットの中継を行うようにしたことを特徴と
    するアプリケーションゲートウェイの通信制御方法。
  3. 【請求項3】 前記クライアント計算機には、他の計算
    機と通信を行うための通信手段と、IPプロトコル処理
    を行うIPプロトコル処理手段と、TCPプロトコル処
    理を行うTCPプロトコル処理手段とを具備して、ユー
    ザの動作に応じ、Webリクエストを前記TCPプロト
    コル手段、前記IPプロトコル手段、前記通信手段を用
    いて、Web PROXYサーバやWebサーバ等に送
    信し、これらのサーバから受信したWebドキュメント
    情報を画面表示するWebブラウザ機能を有し、 前記Webサーバ計算機には、他の計算機と通信を行う
    為の通信手段と、IPプロトコル処理を行うIPプロト
    コル処理手段と、TCPプロトコル処理を行うTCPプ
    ロトコル処理手段と、WebブラウザやWeb PRO
    XYサーバ等から送信されるWebリクエスト情報をT
    CPプロトコル処理を行うTCPプロトコル手段とを具
    備して、前記IPプロトコル手段並びに前記通信手段を
    用いて受信し要求されるWebドキュメント情報を返信
    するWebサーバ機能を有することを特徴とする請求項
    2記載のアプリケーションゲートウェイの通信制御方
    法。
  4. 【請求項4】 前記Web PROXYサーバ計算機に
    は、 他の計算機と通信を行うための通信手段と、IPプロト
    コル処理を行うIPプロトコル処理手段と、 TCPプロトコル処理を行うTCPプロトコル処理手段
    と、 他の計算機との間のTCP接続を特定するIPアドレ
    ス、ポート番号の組と、前記TCP接続に於けるデータ
    転送状況を示すための特定のIPアドレスの計算機が発
    行する特定のシーケンス番号、特定のウィンドウサイズ
    と、別のIPアドレスの計算機が発行する特定のシーケ
    ンス番号、特定のウィンドウサイズと、接続を一意に識
    別するための接続番号と、通信を中継する対象を示す接
    続中継番号からなる接続状態テーブル手段と、 前記接続状態テーブル手段を用いて、外部から示される
    TCP接続間のデータ通信を中継する通信中継手段と、 WebブラウザとWebサーバ計算機との間の接続を制
    御するために、Webブラウザがアクセスを拒否するU
    RL情報を格納したアクセスリスト手段と、 WebブラウザからのTCP接続を作成し、前記TCP
    プロトコル手段を用いてWebブラウザとのデータのや
    り取りを行い、WebブラウザのWebサーバへのアク
    セスをアクセスリストを用いて許可するか否かを決定す
    るアクセス管理手段と、 URLに対応するデータを蓄積し、URLを用いた問い
    合わせに対し、蓄積したものである場合には、そのデー
    タを返すキャッシュ管理手段と、 Webブラウザとの間の接続を特定するブラウザIPア
    ドレスと、ブラウザポート番号と、ブラウザーPROX
    Y IPアドレスと、ブラウザーPROXYポート番号
    の組と、Web PROXYサーバとWebサーバの接
    続を特定するサーバIPアドレスとサーバポート番号
    と、サーバーPROXYIPアドレスと、サーバーPR
    OXYポート番号との組の組からなる転送ペアテーブル
    手段と、 WebサーバとのTCP接続を作成し、前記転送ペアテ
    ーブルを用いて、WebブラウザとWebサーバ間のデ
    ータを中継するデータ転送手段とを有し、 前記通信中継手段は、前記通信手段から又はTCPプロ
    トコル処理手段からのパケットを中継するとともに、パ
    ケット内部を監視し、当該パケットがTCP/IPの場
    合には、TCP/IPヘッダを解析し、接続状態テーブ
    ルにIPアドレス、ポート番号、シーケンス番号、ウィ
    ンドウサイズを記録するようにし、 前記アクセス管理手段は、Webブラウザから接続要求
    があると、ブラウザとの間にTCP接続を作成し、ブラ
    ウザからのURLより成るWebリクエストを受信し、
    このURLとアクセスリストにあるURLを照合し、ア
    クセスリストに存在する場合はアクセスを拒否する返答
    を返してTCP接続を終了し、アクセスリストにはなく
    アクセスを許可する場合にはキャッシュ管理手段にUR
    Lを送り、前記キャッシュ管理手段が受けとったURL
    のデータを保持している場合は当該データを前記アクセ
    ス管理手段に返し、該アクセス管理手段は当該データを
    Webブラウザに送り返してTCP接続を終了するよう
    にし、 前記キャッシュ管理手段が、受信したURLのデータを
    保持していない場合は、アクセス管理手段はURLで指
    示されているWebサーバへのTCP接続を作成し、W
    ebブラウザとの接続と、Webサーバとの接続のTC
    P接続ペアを転送テーブルに登録し、URLと該当する
    TCP接続ペアをデータ転送手段に通知するようにし、 前記データ転送手段は、受信したURLを指示されたペ
    アのWebサーバ接続に送信し、前記通信中継手段にT
    CP接続ペアを通知するようにし、 前記通信中継手段は、通知されたTCP接続ペアに対応
    する前記接続状態テーブル手段の接続に対し、接続中継
    番号にペアの他方の接続番号を代入するようにし、以
    降、各接続が終了する迄、接続中継番号が指定されてい
    る接続に対し、受信パケットを接続中継番号で指定した
    接続に送信することでパケットの中継を行うようにする
    とともに、前記接続状態テーブル手段の各シーケンス番
    号とウィンドウサイズを元にパケットのTCPヘッダの
    シーケンス番号、ウィンドウサイズを変更し、IPアド
    レスの送信先と送信元アドレスを変更し、前記IPプロ
    トコル手段に渡してIPプロトコル手段が送信先IPア
    ドレスに基づいてパケットをWebブラウザに送信する
    ようにし、 前記アクセス管理手段がWebブラウザのWebサーバ
    計算機への接続を許可した場合に、Webサーバとの接
    続を行った後、WebサーバとWebブラウザとのデー
    タ交信を、前記データ中継手段や前記TCPプロトコル
    手段等を介すことなく前記通信中継手段がTCPやIP
    のヘッダ情報のみを書き換えることで、パケットの中継
    を行うようにしたことを特徴とする請求項2又は3記載
    のアプリケーションゲートウェイの通信制御方法。
  5. 【請求項5】 前記通信中継手段が、パケットをWeb
    サーバへ中継している場合に、Webブラウザからの送
    信パケットに関しては、コピーを作成して、そのパケッ
    トをIPプロトコル手段に渡し、当該パケットがIP/
    TCPプロトコル手段を経由してアクセス管理手段に通
    知され、 アクセス管理手段は、Webブラウザからの新たなWe
    bリクエストに関しても、そのURLをアクセスリスト
    との照合を続け、アクセスが許可されている場合は、通
    信中継手段にそのままパケットの中継を続けさせ、アク
    セスが許可されていない場合にあっては、通信中継手段
    パケット中継を停止させ、 Webサーバからのデータ中継を停止させる機能を付け
    加えることで、Webブラウザとの単一の接続で複数の
    Webリクエストに関して、アクセス制御を行うことを
    可能とすることを特徴とする請求項2又は3又は4記載
    のアプリケーションゲートウェイの通信制御方法。
JP10289431A 1998-10-12 1998-10-12 アプリケーションゲートウェイの通信制御方法 Pending JP2000122939A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10289431A JP2000122939A (ja) 1998-10-12 1998-10-12 アプリケーションゲートウェイの通信制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10289431A JP2000122939A (ja) 1998-10-12 1998-10-12 アプリケーションゲートウェイの通信制御方法

Publications (1)

Publication Number Publication Date
JP2000122939A true JP2000122939A (ja) 2000-04-28

Family

ID=17743166

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10289431A Pending JP2000122939A (ja) 1998-10-12 1998-10-12 アプリケーションゲートウェイの通信制御方法

Country Status (1)

Country Link
JP (1) JP2000122939A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002132976A (ja) * 2000-10-23 2002-05-10 Uniden Corp ホームページ管理装置及び方法並びにホームページ評価装置及び記録媒体
WO2003027859A1 (fr) * 2001-09-21 2003-04-03 E-Jan Net Co. Serveur de soutien des connexions, terminal, systeme de soutien des connexions, procede de soutien des connexions, programme de communication et programme de soutien des connexions
JP2008178121A (ja) * 2001-09-27 2008-07-31 Toshiba Corp サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
US7478425B2 (en) 2001-09-27 2009-01-13 Kabushiki Kaisha Toshiba Server computer protection apparatus, method, program product, and server computer apparatus
JP2014096120A (ja) * 2012-11-12 2014-05-22 Nippon Telegr & Teleph Corp <Ntt> ネットワーク利用履歴取得装置及び方法及びプログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002132976A (ja) * 2000-10-23 2002-05-10 Uniden Corp ホームページ管理装置及び方法並びにホームページ評価装置及び記録媒体
WO2003027859A1 (fr) * 2001-09-21 2003-04-03 E-Jan Net Co. Serveur de soutien des connexions, terminal, systeme de soutien des connexions, procede de soutien des connexions, programme de communication et programme de soutien des connexions
JP2008178121A (ja) * 2001-09-27 2008-07-31 Toshiba Corp サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
US7478425B2 (en) 2001-09-27 2009-01-13 Kabushiki Kaisha Toshiba Server computer protection apparatus, method, program product, and server computer apparatus
JP4538055B2 (ja) * 2001-09-27 2010-09-08 株式会社東芝 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
JP2014096120A (ja) * 2012-11-12 2014-05-22 Nippon Telegr & Teleph Corp <Ntt> ネットワーク利用履歴取得装置及び方法及びプログラム

Similar Documents

Publication Publication Date Title
JP4257785B2 (ja) キャッシュストレージ装置
EP1710953B1 (en) Encryption communication method
US7277914B2 (en) Proxy server apparatus and method for providing service using the same
Scharf et al. Multipath TCP (MPTCP) application interface considerations
JP4154615B2 (ja) Sipサーバ共有モジュール装置、sipメッセージ中継方法、及びプログラム
US7734822B2 (en) Method and apparatus for resolving a web site address when connected with a virtual private network (VPN)
EP2158546B1 (en) Providing enhanced data retrieval from remote locations
TWI413389B (zh) 使用裝置之網頁服務的跨網路漫遊和方法
JP4286789B2 (ja) 同期プログラム
JP4867486B2 (ja) 制御プログラムおよび通信システム
JP4758362B2 (ja) 中継装置、プログラム及び中継方法
US8195806B2 (en) Managing remote host visibility in a proxy server environment
JP2003536123A (ja) 通信マネージャを備えたコンピュータ・システムによるアクティビティに基づいたコラボレーションのための方法及びその装置
KR100354369B1 (ko) 정보 처리 방법, 정보 처리 장치, 정보 처리 프로그램을 격납하는 기억 매체
JP2002532013A (ja) ネットワーク管理システム
JP2002063008A (ja) プリンタ利用者制限システム
US20050135269A1 (en) Automatic configuration of a virtual private network
US20160323415A1 (en) Requesting web pages and content rating information
JP2845208B2 (ja) アドレス解決装置
JP2003288261A (ja) データ転送装置、データ転送方法及びプログラム
EP1425893B1 (en) Method and apparatus to retrieve information in a network
JP2000122939A (ja) アプリケーションゲートウェイの通信制御方法
EP1575236A1 (en) Connectivity confirmation method for network storage device and host computer
JPH1155327A (ja) 代理サーバの接続制御サーバ,代理サーバ,及びネットワーク制御方法
US6938088B1 (en) Method and system for caching HTTP data transported with socks data in IP datagrams