JP2009245301A - セッション管理・制御装置、方法、及び、プログラム - Google Patents
セッション管理・制御装置、方法、及び、プログラム Download PDFInfo
- Publication number
- JP2009245301A JP2009245301A JP2008092936A JP2008092936A JP2009245301A JP 2009245301 A JP2009245301 A JP 2009245301A JP 2008092936 A JP2008092936 A JP 2008092936A JP 2008092936 A JP2008092936 A JP 2008092936A JP 2009245301 A JP2009245301 A JP 2009245301A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- address
- user
- session
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】クライアント側に専用モジュールをインストールすることなく、シンクライアントの仮想デスクトップ方式に適用可能なセッション管理・制御装置を提供する。
【解決手段】IPアドレス検査部203は、トラフィックを構成するパケットから送信元アドレス情報を抽出し、抽出したアドレス情報が許可すべきユーザが利用可能なアドレスを示しているか否かを検査する。ユーザセッションリダイレクト部205は、アドレス検査部203にて利用可能なアドレスと判断されたパケットについて、認証の実施状況を示す情報を参照して認証済みか否かを判断する。ユーザセッションリダイレクト部205は、認証済みと判断すると、トラフィック転送処理を実行するトラフィック転送処理部にトラフィックを転送する。
【選択図】図2
【解決手段】IPアドレス検査部203は、トラフィックを構成するパケットから送信元アドレス情報を抽出し、抽出したアドレス情報が許可すべきユーザが利用可能なアドレスを示しているか否かを検査する。ユーザセッションリダイレクト部205は、アドレス検査部203にて利用可能なアドレスと判断されたパケットについて、認証の実施状況を示す情報を参照して認証済みか否かを判断する。ユーザセッションリダイレクト部205は、認証済みと判断すると、トラフィック転送処理を実行するトラフィック転送処理部にトラフィックを転送する。
【選択図】図2
Description
本発明は、セッション管理・制御装置、方法、及び、プログラムに関し、更に詳しくは、クライアント端末から送信されたトラフィックをサーバに転送するセッション管理・制御装置、方法、及び、プログラムに関する。
近年、IT分野において仮想化環境の導入が進んでいる。仮想化環境では、価格メリット、一括管理性から、シンクライアント端末の接続先として仮想化環境を利用する仮想デスクトップ方式の採用が脚光を浴びてきている。この仮想化環境を利用する仮想デスクトップ方式では、ユーザは、仮想基盤上で動作する仮想マシンにユーザが作業するオペレーティングシステム(OS)を導入し、リモートからシンクライアント端末を用いて接続して、サービスの提供を受ける。
仮想化環境におけるシンクライアントシステムのセッション管理・制御方式として、セッション管理の管理サーバ、管理対象となるノード、シンクライアント自身にそれぞれモジュールをインストールして設定し、これらモジュールが相互に通信することでセッション状態を管理する方式がある。しかし、この方式では、各モジュール間で通信を発生させ、常に同期を取らないとセッション状態に関してリアルタイムな監視・管理ができないという問題がある。しかも、ネットワーク側での障害発生時の要因特定についても制限され、セッション状態の異常時の動作保証ができないという問題もある。
また、上記方式では、システム構築者が複数モジュールの存在を意識して構築する必要があるということも問題となる。更には、シンクライアント側にも専用のモジュールを搭載する必要があり、汎用的な機器によるシンクライアントが容易ではなく、ユーザに対する自由度が低いという制限事項もある。
上記問題に対して、特許文献1では、シンクライアント端末とサービス提供側のサーバの通信区間にゲートウェイを配置している。特許文献1では、このゲートウェイにより、シンクライアント端末とサーバとの間の要求を、仲介・保存することによって、シンクライアント端末とサーバとの間のセッション異常時の動作を保証している。
特開2004−171063号公報
しかし、特許文献1に記載のシンクライアントのセッション管理・制御方式には、以下のような問題点がある。すなわち、特許文献1では、1つの物理サーバ上のアプリケーションを、ユーザが多重利用することを前提としている。このため、仮想化基盤上で動作する仮想サーバの利用を考慮していないという問題点がある。また、特許文献1では、シンクライアントサービスを利用するために、専用のモジュールが搭載された端末利用を必要とする。このため、シンクライアント端末側に、専用のモジュールによる機能搭載が必要であり、サービス利用・展開時に、汎用的に利用している端末を利用できないという問題点がある。
特許文献1では、シンクライアント端末からの要求を全てバッファリングして仲介するゲートウェイ方式を採用する。このため、ゲートウェイにてセッションの終端・仲介・発生処理が必要となり、処理性能のボトルネックとなるという問題もある。また、セッション終端作業の必要性から、ネットワーク管理上、ネットワークに対して透過的にシステムを配置できないという問題もある。
本発明は、クライアント側に専用モジュールをインストールすることなく、シンクライアントの仮想デスクトップ方式に適用可能なセッション管理・制御装置、方法、及び、プログラムを提供することを目的とする。
上記目的を達成するために、本発明のセッション管理・制御装置は、クライアント端末から送信されたトラフィックをサーバに転送するセッション管理・制御装置であって、前記トラフィックを構成するパケットから送信元アドレス情報を抽出し、該抽出したアドレス情報が許可すべきユーザが利用可能なアドレスを示しているか否かを検査するアドレス検査部と、アドレス検査部にて利用可能なアドレスと判断されたパケットについて、認証の実施状況を示す情報を参照して認証済みか否かを判断し、認証済みと判断すると、トラフィック転送処理を実行するトラフィック転送処理部に前記トラフィックを転送するユーザセッションリダイレクト部とを備えることを特徴とする。
本発明のセッション管理・制御方法は、ネットワーク装置を用いて、クライアント端末から送信されたトラフィックをサーバに転送するセッション管理・制御方法であって、前記ネットワーク装置が、前記トラフィックを構成するパケットから送信元アドレス情報を抽出し、該抽出したアドレス情報が許可すべきユーザが利用可能なアドレスを示しているか否かを検査するステップと、前記ネットワーク装置が、利用可能なアドレスと判断すると、認証の実施状況を示す情報を参照して認証済みか否かを判断するステップと、前記ネットワーク装置が、認証済みと判断すると、トラフィック転送処理を実行するトラフィック転送処理部に前記トラフィックを転送するステップとを有することを特徴とする。
本発明のプログラムは、ネットワーク装置に、クライアント端末から送信されたトラフィックをサーバに転送する処理を実行させるプログラムであって、前記ネットワーク装置に、前記トラフィックを構成するパケットから送信元アドレス情報を抽出し、該抽出したアドレス情報が許可すべきユーザが利用可能なアドレスを示しているか否かを検査する処理と、利用可能なアドレスと判断すると、認証の実施状況を示す情報を参照して認証済みか否かを判断する処理と、認証済みと判断すると、トラフィック転送処理を実行するトラフィック転送処理部に前記トラフィックを転送する処理とを実行させることを特徴とする。
本発明のセッション管理・制御装置、方法、及び、プログラムは、クライアント側に専用モジュールをインストールすることなく、シンクライアントの仮想デスクトップ方式におけるセッション管理・制御が可能である。
以下、図面を参照し、本発明の実施の形態を詳細に説明する。図1は、本発明の一実施形態のセッション制御管理システムを示している。セッション制御・管理システムは、ユーザのクライアント端末(シンクライアント端末)10−1〜10−N(Nは2以上の整数)と、セッション管理・制御装置20と、仮想化基盤30−1〜30−Nとを有する。仮想化基盤30上では、複数の仮想デスクトップサーバ31−1−1〜31−1−N、31−2−1〜31−2−N、・・・、31−N−1〜31−N−Nが動作している。なお、ここでは、シンクライアント端末10の数と、仮想化基盤30の数と、仮想デスクトップサーバ31の数を同数(N)としたが、これらの数は同数である必要はない。
シンクライアント端末10−1〜10−Nは、社内LAN(イントラネット)やインターネット網に、IP(internet protocol)通信にて接続可能なWebブラウザを搭載した端末であり、ユーザが現実に使用する端末である。ユーザは、シンクライアント端末10−1〜10−Nを利用することで、シンクライアントサービスを受益することが可能となる。
仮想化基盤30−1〜30−Nは、IPネットワーク網内に設置される。各仮想化基盤30は、仮想デスクトップサーバを動作させることができる、CPU、メモリ、IO処理を仮想的に提供できるソフトウェア基盤としての機能を有する。各仮想デスクトップサーバ31は、仮想化基盤30上で動作する仮想マシン(Virtual Machine)の形態をとり、シンクライアント端末10に対して通信接続サービスを提供する機能を有する。また、各仮想デスクトップサーバ31は、セッション管理・制御装置20と相互通信を実行し、セッション管理に必要となる情報の交換、及び、制御を実行する機能を有する。
セッション管理・制御装置20は、シンクライアント端末10と仮想デスクトップサーバ31との通信経路の途中に配置され、シンクライアント端末10から送信されたトラフィックを仮想デスクトップサーバ31に転送する機能を有するネットワーク装置である。セッション管理・制御装置20は、ユーザサービス処理インタフェース部21、セッショントラフィック転送処理部22、仮想基盤サービス処理インタフェース部23、メモリ記憶部24、及び、外部サービス処理インタフェース部25を有する。セッション管理・制御装置20内の各部の機能は、ネットワーク装置上で所定のプログラムを実行することで実現可能である。
ユーザサービス処理インタフェース部21は、ユーザのシンクライアント端末10からの要求を、IPネットワーク網内で最初に受け付ける処理部である。ユーザサービス処理インタフェース部21は、利用者IPトラフィックのプロトコルを識別する機能を有する。セッショントラフィック転送処理部22は、実際のユーザトラヒックであるIPパケットを、仮想デスクトップサーバ31へ転送する機能を有する。仮想基盤サービス処理インタフェース部23は、シンクライアント端末10が実際に通信する仮想化基盤30に対してのサービス状態を管理する機能を有する。
メモリ記憶部24は、シンクライアント端末10とIPネットワーク網を経由して実際に通信する仮想デスクトップサーバ31との間のセッション状態に関する情報、ユーザ属性情報、通信セキュリティ属性情報、認証方式情報などを記憶する。外部サービス処理インタフェース処理部25は、運用者からの設定情報、シンクライアント端末においてのセッション管理に対する外部サーバ(RADIUS(Remote Authentication Dial In User Service)サーバ、LDAP(Lightweight Directory Access Protocol)サーバ)との連携処理を実行する機能を有する。
図2に、ユーザサービス処理インタフェース部21の構成を示す。ユーザサービス処理インタフェース部21は、IPインタフェース部201、プロトコル識別部202、IPアドレス検査部203、IPアドレスDB部204、ユーザセッションリダイレクト部205、ユーザ・IPアドレスマッピング管理部206、Webサーバ処理部207、画面表示HTTPプロトコル応答部208、ユーザ認証処理部209、及び、認証方式設定部210を有する。なお、図2におけるメモリ記憶部211は、図1におけるメモリ記憶部24に相当する。
IPインタフェース部201は、シンクライアント端末側のIPネットワーク網に接続される。IPインタフェース部201は、IPネットワーク網内に設置される上で外部に対して公開するサービス用の受け軸となるIPアドレスを保持し、保持するIPアドレスに対するARP(Address Resolution Protocol)解決を実施する。また、IPインタフェース部201は、IPネットワーク網から受信したシンクライアント端末のユーザトラフィックをIPパケットとして受け付け、メモリ記憶部211に確保されるIPパケットバッファメモリ内にIPパケットを蓄積する。
プロトコル識別部202は、IPインタフェース部201が受信したIPパケット内に格納されるプロトコル識別に必要なフィールド情報を抽出する。プロトコル識別部202には、事前に、CPU制御部212を用いて、ユーザが通信に用いるプロトコル情報が設定されている。プロトコル識別部202は、抽出したフィールド情報と、あらかじめ登録された設定情報とを比較し、IPインタフェース部201が受信したIPパケットのプロトコルが、CPU制御部212により設定されたプロトコルに該当するか否かを検査する。プロトコル識別部202が抽出するフィールドは、IPヘッダ情報、及び、IPヘッダ情報から判別できる上位プロトコルの該当フィールドである。具体的には、TCP(Transmission Control Protocol)ヘッダ情報や、UDP(User Datagram Protocol)ヘッダ情報である。
IPアドレス検査部203は、IPアドレスDB部204を用いて、IPインタフェース部201が受信したIPパケットの送信元IPアドレスが、許可すべきユーザが利用可能なIPアドレスであるか否かを検査する。メモリ記憶部211には、事前に、CPU制御部212を用いて、管理者等により、許可すべきユーザが利用可能なIPアドレス、すなわち、セッションを許可される送信元IPアドレスが登録される。IPアドレスDB部204は、メモリ記憶部211を検索して、送信元IPアドレスに一致するIPアドレスがメモリ記憶部211に記憶されているか否かを判定する。
IPアドレスDB部204は、メモリ記憶部211に、送信元IPアドレスに一致するIPアドレスが存在するときは、セッションを許可する旨の判定結果を、IPアドレス検査部203に返す。その際、IPアドレスDB部204は、その判定結果を、IPアドレスDB部204内にキャッシュする。このようにすることで、再度、同じ送信元IPアドレスについて、許可すべきユーザが利用可能なIPアドレスであるかを検査する際に、メモリ記憶部211を検索せずに、セッションを許可する旨の判定結果を返すことができる。IPアドレスDB部204は、メモリ記憶部211に、送信元IPアドレスに一致するIPアドレスが存在しない場合は、セッションを許可しない旨の判定結果を、IPアドレス検査部203に返す。
IPアドレス検査部203は、送信元IPアドレスに対してセッションを許可する旨の判定結果を受け取ると、ユーザセッションリダイレクト部205に、IPインタフェース部201が受信したIPパケットを転送する。ユーザセッションリダイレクト部205は、ユーザ・IPアドレスマッピング管理部206を用いて、IPインタフェース部201が受信したIPパケットを有するセッションが、セッション転送を許可されたシンクライアント利用者(ユーザ)であるか否かを検査する。ユーザ・IPアドレスマッピング管理部206は、メモリ記憶部211に格納されたセッション状態に関する情報を参照して、シンクライアントセッションの許可認証が未実施であるか、認証済みであるか、或いは、認証を行っている最中(仮受付中)であるかを判断する。
ユーザセッションリダイレクト部205は、検査の結果、シンクライアントセッションの許可認証が未実施であると判断したときは、Webサーバ処理部207に、許可認証が未実施である旨を送信すると共に、IPインタフェース部201が受信したIPパケットを転送する。Webサーバ処理部207は、受信したIPパケットを仮受付中セッションとして、メモリ記憶部211にマーキングを実行する。このマーキングは、セッション受付中のフラグをONにすることで行う。その後、Webサーバ処理部207は、画面表示HTTPプロトコル応答部208へ、現在受け付けているセッションはまだ未認証である旨を送信する。
画面表示HTTPプロトコル応答部208は、Webサーバ処理部207から受け付けているセッションが未認証である旨を受け取ると、内部に保持する画面コンテンツ情報を呼び出し(LOAD:ロード)、メモリ記憶部211に仮保持している送信元IPアドレスに向けて、ロードした画面コンテンツ情報を、HTTP(Hyper Text Transfer Protocol)応答として送信する。画面表示HTTPプロトコル応答部208が送信した画面コンテンツ情報(HTTP応答)は、IPインタフェース部201からIPネットワーク網を通して、シンクライアント端末で受信される。シンクライアント端末は、画面コンテンツ情報を受信すると、Webブラウザ上に、利用を許可してもらうための認証作業を実行する画面を表示する。ユーザは、画面に従って、ユーザ認証に必要なユーザ名やパスワード等の情報(ユーザ属性情報)を入力し、これら情報を、HTTPリクエストとしてセッション管理・制御装置20に送信する。
ユーザセッションリダイレクト部205は、検査の結果、シンクライアントセッションの許可認証が仮受付中であると判断したときは、Webサーバ処理部207に、仮受付中である旨を送信すると共に、IPインタフェース部201が受信したIPパケットを転送する。Webサーバ処理部207は、HTTPプロトコルの終端処理を行い、HTTPリクエストボディに含まれるユーザ属性情報を抽出する。Webサーバ処理部207は、抽出したユーザ属性情報をユーザ認証処理部209に渡し、認証処理を依頼する。
ユーザ認証処理部209は、認証方式設定部210に設定されたユーザ認証方式を取得する。認証方式設定部210には、あらかじめ、CPU制御部212を用いて、管理者などにより、外部と連携して認証を実行するか、或いは、セッション管理・制御装置20内で認証を実行するかを示す情報が設定されている。ユーザ認証処理部209は、Webサーバ処理部207にて抽出されたユーザ属性情報を使用して、認証方式設定部210に設定されたユーザ認証方式に従って、セッション許可情報を取得する。
ユーザセッションリダイレクト部205は、ユーザ認証処理部209にてセッション転送が許可される旨の認証結果が得られると、メモリ記憶部211内のパケットバッファからIPインタフェース部201が受信したIPパケットを取り出し、取り出したIPパケットをセッショントラフィック転送処理部22に送信する。また、ユーザセッションリダイレクト部205は、ユーザ・IPアドレスマッピング管理部206から、シンクライアントセッションの許可認証が実施済みであり、かつ、認証にてセッション転送が許可されている旨の検査結果を受け取ったときは、IPインタフェース部201が受信したIPパケットを、セッショントラフィック転送処理部22に送信する。
図3に、セッショントラフィック転送処理部22の構成を示す。セッショントラフィック転送処理部22は、ユーザサービス接続部401、トラフィック転送実行部402、及び、IPインタフェース部403を有する。ユーザサービス接続部401は、ユーザサービス処理インタフェース部21(図1)からIPパケットを受信し、受信したパケットをFIFO(First In First Out)キューに格納する。ユーザサービス接続部401は、FIFOキューからIPパケットを取り出して、トラフィック転送実行部402に渡す。
トラフィック転送実行部402は、メモリ記憶部24(図1)から、トラフィックをIPネットワーク網へ転送する出方路を決定するための情報を取得する。IPインタフェース部403は、図2に示すユーザサービス処理インタフェース部21内のIPインタフェース部201と同様な機能を有する。
図4に、仮想基盤サービス処理インタフェース部23の構成を示す。仮想基盤サービス処理インタフェース部23は、ノード管理部502、ユーザ・ホスト管理部504、モジュール格納部505、及び、セッション管理部506を有する。ノード管理部502は、IPネットワーク網上の仮想デスクトップサーバの存在を検出し、検出した仮想デスクトップサーバに搭載されるOS情報を取得する。仮想デスクトップサーバの存在の検出には、ICMP(Internet Control Message Protocol)、SMB(Server Message Block)、CIFS(Common Internet File System)などのプロトコルを用いることができる。ノード管理部502は、仮想デスクトップサーバを検出すると、仮想デスクトップサーバに搭載されるOSの種別やモデル、バージョン情報、仮想デスクトップサーバが利用するIPアドレス情報などを含むノード情報を通知する。
ユーザ・ホスト管理部504は、シンクライアント利用者が利用(接続)可能とするホスト情報、各ホストのグルーピング情報、ホストに接続可能なユーザのユーザ属性情報などが設定されている。グルーピング情報は、同じグループに属する仮想デスクトップサーバのホスト名及びIPアドレスのリストである。ユーザが利用可能とするホスト情報では、例えば、利用可能な仮想デスクトップサーバを、グループ単位で指定する。ユーザ・ホスト管理部504は、シンクライアント利用者が利用する仮想デスクトップサーバとのセッション状態を管理可能とする。利用可能とするホスト情報や、グルーピング情報などは、管理者などにより、CPU制御部501を用いて、あらかじめ設定されている。
モジュール格納部505は、仮想デスクトップサーバ上で動作するエージェントプログラムを格納している。エージェントプログラムは、仮想基盤サービス処理インタフェース部23との間で通信を行う通信モジュールを含む。CPU制御部501は、ノード管理部502がIPネットワーク網上に仮想デスクトップサーバを検出すると、モジュール格納部505に対して、検出された仮想デスクトップサーバにエージェントプログラムをインストールするように指示する。モジュール格納部505は、その指示に従って、仮想デスクトップサーバのOSに応じた専用のエージェントモジュールをロードし、仮想デスクトップサーバへインストールする。
ノード管理部502は、キープアライブ管理部503を有する。キープアライブ管理部503は、仮想デスクトップサーバにインストールされたエージェントプログラムとの間で通信を行い、仮想デスクトップサーバの死活監視を動的に実行する。キープアライブ管理部503は、エージェントプログラムとの通信状況に応じて、仮想デスクトップサーバの死活を判定する。
セッション管理部506は、ユーザ・ホスト管理部504が管理するホスト情報、グルーピング情報などを用いて、図1のセッショントラフィック転送処理部22での実トラフィックの転送状態と仮想デスクトップサーバのトラフィックのマッチング(整合性)を実施する機能を有する。セッション管理部506は、例えば、シンクライアント端末と仮想デスクトップサーバとの間で通信を行っているときに、セッション管理・制御装置20よりも仮想デスクトップサーバ側のネットワークに通信断絶を検出したときは、別の利用許可された仮想デスクトップサーバへの振り分けを行い、通信を継続させる処理を行う。
図5に、外部サービス処理インタフェース部25の構成を示す。外部サービス処理インタフェース部25は、ユーザ情報連携部601と、外部サーバ連携部602とを有する。外部サービス処理インタフェース部25は、図2の認証方式設定部210と接続されている。外部サーバ連携部602は、ユーザ情報連携部601と接続され、RADIUS、LDAPプロトコル処理を実行し、外部に接続される図示しない認証サーバとの連携処理を実行する。
図6に、メモリ記憶部24の構成を示す。メモリ記憶部24は、ユーザサービス接続部301、セッショントラフィック接続部311、仮想基盤サービス接続部321、アクセス制御部331、及び、メモリ情報格納部341を有する。ユーザサービス接続部301は、ユーザサービス処理インタフェース部21とのインタフェース部分である。セッショントラフィック接続部311は、セッショントラフィック転送処理部22とのインタフェース部分であり、仮想基盤サービス処理インタフェース部23とのインタフェース部分である。
アクセス制御部331は、ユーザサービス接続部301、セッショントラフィック接続部311、及び、仮想基盤サービス接続部321からメモリ情報格納部341に対する同時アクセスに関する排他制御を実施する。メモリ情報格納部341は、各種情報を実際に格納する部分である。メモリ情報格納部341には、アクセス制御部331を通じて、ユーザサービス接続部301、セッショントラフィック接続部311、及び、仮想基盤サービス接続部321から共通にアクセスが可能である。
ユーザサービス接続部301は、パケットバッファ部302、サーチエンジン部303、及び、ユーザセッション管理部304を有する。パケットバッファ部302は、図2のIPインタフェース部201から、受信したIPパケットを受け取る。パケットバッファ部302は、受け取ったIPパケットを、アクセス制御部331を通じて、メモリ情報格納部341内に割り当てられたパケット蓄積領域に格納・蓄積する。割り当て領域は、アクセス制御部331によって決定される。割り当て領域の大きさは、例えば管理者により、任意に指定される。IPパケットは、ユーザ認証が完了し、IPパケットがセッショントラフィック転送処理部22に送られるまでの間、メモリ情報格納部341内のパケット蓄積領域に蓄積される。また、パケットバッファ部302は、図2のIPアドレスDB部204からの要求により、パケットバッファ内のパケットエントリーフラグをセットする。
IPアドレスDB部204(図2)は、IPアドレス検査部203から送信元IPアドレスを受け取ると、サーチエンジン部303に対して、その送信元IPアドレスが、メモリ情報格納部341内に、許可すべきユーザが利用可能なIPアドレスとして記憶されているか否かの検索を指示する。サーチエンジン部303は、IPアドレスDB部204からサーチ(検索)コマンドを受け取ると、オペランドで指定されたIPアドレスに一致するIPアドレスを検索キーとして、メモリ情報格納部341を検索する。サーチエンジン部303は、検索キーに一致するIPアドレスがメモリ情報格納部341に記憶されているときは、IPアドレスDB部204に対し、送信元IPアドレスに一致するIPアドレスが存在する旨を返す。
サーチエンジン部303は、メモリ情報格納部341に、許可すべきユーザが利用可能なIPアドレスの登録も行う。IPアドレス登録の際には、サーチエンジン部303には、CPU制御部212を経由して、IPアドレスDB部204から設定コマンドが発行される。サーチエンジン部303は、設定コマンドを受けると、メモリ情報格納部341に、オペランドで指定されたIPアドレスを、許可すべきユーザが利用可能なIPアドレスとして登録する。
ユーザセッション管理部304は、ユーザ・IPアドレスマッピング管理部206(図2)との間で通信を行い、シンクライアント端末のユーザセッション情報であるユーザ認証許可の有無を管理する。また、ユーザセッション管理部304は、ユーザが通信に使用する端末のIPアドレスとユーザ属性情報(ユーザ名、パスワード、所属ドメイン情報など)との対応を管理する。
セッショントラフィック接続部311は、セッショントラフィック転送処理部22(図1)に対して、認証が許可されたユーザセッションのトラフィックの出方路を決定するための情報を提供する。仮想基盤サービス接続部321は、仮想基盤サービス処理インタフェース部23との間で情報のやり取りを行い、仮想基盤のアクティブ情報を管理する。また、仮想基盤サービス接続部321は、仮想基盤サービス処理インタフェース部23より、接続を許可する仮想デスクトップサーバに対するグルーピング情報、ホスト情報、IPアドレス情報、ユーザ属性情報を取得する。
図7に、パケットバッファ部302が管理する情報を示す。パケットバッファ部302は、IPインタフェース部201が受信したIPパケットに対してPB管理情報701を生成し、生成したPB管理情報701と、実IPパケット702とを、メモリ情報格納部341(図6)に格納する。PB管理情報701は、パケットを一意に識別するためのエントリー番号Eと、エントリーされたIPパケットの有効性を示す識別子V、廃棄する必要があることを示す識別子D、IPアドレス検査済みであることを示す識別子CK、IPパケットのバイト数を示すB、及び、実IPパケット702が格納されるメモリアドレスを指し示す識別子PRT(任意ビットにて表現)とを含む。
図8に、サーチエンジン部303が管理する、許可すべきユーザが利用可能なIPアドレスの情報を示す。なお、ここでは、IPアドレスの検査に、ハッシュ値を用いたインデックス検索を用いる場合を想定するが、検索には、その他の検索を用いてもよい。IPアドレスDB部204は、設定コマンドと、利用可能なIPアドレスとして登録すべき送信元IPアドレスとをサーチエンジン部303に渡し、アドレス登録を依頼する。サーチエンジン部303は、登録対象のIPアドレスに応じたインデックス711を生成し、生成したインデックス711とIPアドレス712とを対応付けてメモリ情報格納部341内に格納する。インデックス711は、登録されたIPアドレスが有効であることを示す識別子V(11:有効、10又は01:ハッシュコリジョン、00:無効)と、ハッシュコリジョン時のエントリーオフセット(次の検索箇所のポインタ)OSと、IPアドレスのハッシュ値とを含む。
IPアドレスDB部204は、検査対象のIPアドレス(送信元IPアドレス)をハッシュ値に変換し、検索コマンドと、ハッシュ値とをサーチエンジン部303に渡して、サーチエンジン部303に検索を依頼する。サーチエンジン部303は、インデックス711を参照して、IPアドレスDB部204がIPアドレス検査部203から受け取った送信元IPアドレスに一致するIPアドレスが、メモリ情報格納部341に利用可能なIPアドレスとして登録されているか否かを判断する。サーチエンジン部303は、IPアドレスDB部204に対して、検索対象のIPアドレスが登録されているときはヒット(1)を返し、登録されていないときはミスヒット(0)を返す。ミスヒット時は、IPインタフェース部201が受信したIPパケットの送信元IPアドレスは許可されないIPアドレスであるので、IPアドレス検査部203からIPインタフェース部201へその旨を通知し、該当IPパケットバッファをクリアして、IPパケットを破棄する。
図9に、ユーザ・IPアドレスマッピング管理部206が参照するセッション状態に関する情報を示す。メモリ情報格納部341には、インデックス721とセッション通過情報722とが対応付けて格納されている。インデックス721は、図8のインデックス711と同様の情報を含む。セッション通過情報722は、IPアドレスと、当該IPアドレスのユーザ認証の実施状況を示すUAフラグ(11:認証済み、10:認証失敗、01:仮受付中、00:認証未実施)と、ユーザ属性情報と、ユーザ・IPアドレスマッピング管理部206以外の手段によるセッション通過情報の参照の許可/不許可を示すREFフラグとを含む。
ユーザセッションリダイレクト部205は、IPアドレス検査部203にて許可されたIPアドレスと判断された送信元IPアドレスについて、ユーザ・IPアドレスマッピング管理部206に、ユーザ認証が未実施であるか、仮受付中であるか、実施済みであるか否かの検査を依頼する。ユーザ・IPアドレスマッピング管理部206は、サーチエンジン部303と同様なハッシュ値を用いたインデックス検索によって当該IPアドレスのUAフラグにアクセスし、認証状況、すなわち、認証済みであるか、認証失敗であるか、仮受付中であるか、或いは、認証未実施であるかを取得する。
ユーザセッションリダイレクト部205は、ユーザ・IPアドレスマッピング管理部206から認証済みである旨が返ってくると、IPパケットを、セッショントラフィック転送処理部22に送信する。ユーザセッションリダイレクト部205は、ユーザ・IPアドレスマッピング管理部206から認証失敗である旨が返ってくると、パケットバッファをクリアして、IPインタフェース部201が受信したIPパケットを破棄する。認証が未実施又は仮受付中の場合は、IPインタフェース部201が受信したIPパケットを、Webサーバ処理部207へ渡す。Webサーバ処理部207は、認証未実施の場合は、認証用の画面情報を、シンクライアント端末に送信する。仮受付中の場合は、HTTP終端処理を行い、シンクライアント端末から送信されたユーザ属性情報を、ユーザ認証処理部209へ渡す。
ユーザ・IPアドレスマッピング管理部206は、ユーザ認証処理部209にて認証処理が正常に行われ、ユーザが認証されると、ユーザ認証処理部209からユーザ属性情報を受け取り、これを、セッション通過情報722のユーザ属性情報に書き込む。また、ユーザ・IPアドレスマッピング管理部206は、REFフラグをONに設定する。ユーザ・IPアドレスマッピング管理部206がREFフラグをONに設定することで、当該エントリーが、図4のセッション管理部506からも参照可能となる。
図10に、ユーザサービス処理インタフェース部21におけるデータ受信時の動作手順を示す。IPインタフェース部201は、IPパケット網からIPパケットを受信すると、受信したIPパケットの宛先が、IPインタフェース部201自身が管理しているIPアドレスであるか否かを判断する(ステップS101)。IPインタフェース部201は、受信パケットの宛先が、自身が管理するIPアドレスと一致するときは、受信したIPパケットを、メモリ情報格納部341内に確保したパケットバッファに格納し(ステップS102)、処理をプロトコル識別部202に渡す(ステップS103)。IPインタフェース部201は、受信パケットの宛先が自身が管理するIPアドレスと一致しないときは、処理を終了して受信パケットを破棄する。
プロトコル識別部202は、パケットバッファに格納されたIPパケットから、必要情報を含んだフィールドを抽出する(ステップS104)。図11に、IPアドレス検査部203がIPパケットから抽出するフィールド情報を示す。フィールド情報は、Version、ヘッダ長、ToS(タイプオブサービス)、トータル長、パケット識別子、パケットFlag、フラグメンテーションオフセット、TTL(Time To Live)、プロトコル、ヘッダチェックサム、送信元アドレス、送信先アドレス、送信元ポート、送信先(あて先)ポートを含んでいる。プロトコル識別部202は、図11に示すような一般的なIPパケットのフォーマットから、プロトコル識別に必要な情報を抽出する。
プロトコル識別部202は、抽出した情報に基づいて、シンクライアント端末の通信に利用されているプロトコルが、あらかじめ設定された所定プロトコルであるか否かを検査する(ステップS105)。プロトコル識別部202は、利用されているプロトコルが、所定プロトコルに一致しない場合は、処理を終了して受信パケットを破棄する。プロトコル識別部202は、利用されているプロトコルが所定プロトコルに一致する場合は、処理をIPアドレス検査部203に渡す(ステップS106)。
IPアドレス検査部203は、フィールド情報(図11)から送信元IPアドレスを抽出し(ステップS107)、IPアドレスDB部204に対して、送信元IPアドレスが、メモリ記憶部24に許可すべきユーザが利用可能なIPアドレスとして登録されているか否かの検査を依頼する(ステップS108)。IPアドレスDB部204は、メモリ記憶部24内のサーチエンジン部303(図6)に対して検索コマンドを発行し、サーチエンジン部303から、メモリ情報格納部341に、送信元IPアドレスに一致するIPアドレスが登録されているか否かを示す情報(ヒット又はノンヒット)を受け取る(ステップS109)。IPアドレスDB部204は、検査結果を、IPアドレス検査部203に返す。なお、IPアドレスDB部204は、送信元IPアドレスに一致するIPアドレスが登録されているか否かを示す情報(ヒット又はノンヒット)をキャッシュしている場合は、サーチエンジン部303に検索コマンドを発行することなく、検査結果をIPアドレス検査部203に返す。
IPアドレス検査部203は、IPアドレスDB部204から送信元IPアドレスが登録されていない旨を受け取ると(ノンヒット)、処理を終了し、受信パケットを破棄する。IPアドレス検査部203は、IPアドレスDB部204から送信元IPアドレスが登録されている旨を受け取ると(ヒット)、処理をユーザセッションリダイレクト部205に渡す(ステップS110)。
ユーザセッションリダイレクト部205は、ユーザ・IPアドレスマッピング管理部206に、当該送信元IPアドレスのシンクライアント端末のユーザが認証済みであるか否かを問い合わせる(ステップS111)。ユーザ・IPアドレスマッピング管理部206は、メモリ記憶部24が記憶するセッション通過情報(図9)のUAフラグを参照して、認証状況をユーザセッションリダイレクト部205に返す。ユーザセッションリダイレクト部205は、認証済みであるか否かを判断し(ステップS112)、認証済みであれば、IPインタフェース部201が受信したIPアドレスをセッショントラフィック転送処理部22に転送する(ステップS113)。ユーザセッションリダイレクト部205は、認証が未実施、又は、仮受付中の場合は、Webサーバ処理部207に、処理を渡す(ステップS114)。
Webサーバ処理部207は、認証状況をチェックし、仮受付中であるか否かを判断する(ステップS115)。Webサーバ処理部207は、仮受付中ではない、つまり、認証未実施と判断した場合は、セッションの仮受付を実行し、ユーザ・IPアドレスマッピング管理部206に対して、セッション通過情報におけるUAフラグを仮受付中の状態に変更するように指示する。また、Webサーバ処理部207は、画面表示HTTPプロトコル応答部208により、シンクライアント利用者に、HTTPプロトコルに対する応答として、ユーザ認証を促すトラフィックを送信する(ステップS123)。
ユーザは、ステップS121でシンクライアント端末に送信された認証用画面に従って、ユーザ名及びパスワードを含むユーザ属性情報をHTTPプロトコルで送信する。このHTTPプロトコルのパケットは、ステップS101で、IPインタフェース部201によって受信され、ステップS101からステップS112の処理が実行される。
Webサーバ処理部207は、ステップS115で仮受付中と判断したときは、受信IPパケットのプロトコルがHTTPプロトコルであるか否かを判断する(ステップS116)。Webサーバ処理部207は、HTTPプロトコル、つまり、ユーザが送信したIPパケットのプロトコルが認証用に用いるプロトコルであると判断すると、HTTPの終端処理を行い、HTTPリクエストボディからユーザ属性情報を抽出する(ステップS117)。Webサーバ処理部207は、抽出したユーザ属性情報をユーザ認証処理部209へ渡す(ステップS118)。なお、ユーザ属性情報の抽出は、ユーザ認証処理部209で行ってもよい。
ユーザ認証処理部209は、受信したトラフィックのユーザに設定されている認証方式を検査し(ステップS119)、認証方式がローカル内部データベース利用であれば、その内部データベースを用いてユーザ認証を行う(ステップS120)。ユーザ認証処理部209は、外部認証に設定されていると判断した場合は、外部サービス処理インタフェース部25へユーザ属性情報を渡し(ステップS124)、図示しない外部サーバにより、ユーザ認証を実施する。ユーザ認証処理部209は、認証OKか否かを判断し(ステップS121)、認証OKのときは、ユーザ・IPアドレスマッピング管理部206に対して、セッション通過情報におけるUAフラグを認証成功を示す状態に変更するように指示する。その後、ユーザ属性情報をユーザ・IPアドレスマッピング管理部206に渡す(ステップS122)。
図12に、セッショントラフィック転送処理部におけるデータ受信時の処理手順を示す。セッショントラフィック転送処理部22内のユーザサービス接続部401は、ユーザサービス処理インタフェース部21からIPパケットを受信すると、受信したIPパケットをトラフィック転送実行部402に渡す(ステップS201)。トラフィック転送実行部402は、メモリ記憶部24に対して送信元IPアドレスで検索を行い(ステップS202)、管理者が仮想デスクトップサーバへのアクセスを許可しているユーザであるか否かを検査する(ステップS203)。
トラフィック転送実行部402は、セッション通過情報722(図9)にアクセスしてユーザ属性情報を取得し、これを仮想基盤サービス処理インタフェース部23内のユーザ・ホスト管理部504に渡す。ユーザ・ホスト管理部504は、自身に設定されたホストに接続可能なユーザ属性情報と、セッション通過情報722におけるユーザ属性情報とを比較する。ユーザ・ホスト管理部504は、両者が一致するときは、トラフィック転送実行部402に、アクセスが許可されるユーザである旨を通知する。
トラフィック転送実行部402は、仮想デスクトップサーバへのアクセスが許可されないユーザであると判断すると、IPパケットを、メモリ情報格納部341(図6)に、セキュリティ監視用のログを格納する領域として確保された領域に格納する(ステップS208)。トラフィック転送実行部402は、仮想デスクトップへのアクセスが許可されるユーザであると判断すると、宛先がグルーピング指定されているユーザであるか否かを判断する(ステップS204)。トラフィック転送実行部402は、グルーピング設定の場合は、グループ内の任意の宛先IPアドレスに書き換える(ステップS205)。グルーピング設定されていないときは、IPアドレスの書換えは行わない。
トラフィック転送実行部402は、IPインタフェース部403に、IPパケットを渡す(ステップS206)。IPインタフェース部403は、適切なMACアドレスを保有する仮想デスクトップサーバ、つまり、ARPで解決したIPアドレスに対応するMACアドレスを持つ仮想デスクトップサーバへ、IPパケットを送信する(ステップS207)。
図13に、仮想基盤サービス処理インタフェース部23の動作手順を示す。ユーザ・ホスト管理部504(図4)には、事前に、CPU制御部501により、仮想デスクトップサーバのホスト名情報、IPアドレス情報、ホストに接続可能なユーザのユーザ属性情報などが設定されている。ノード管理部502は、ICMP、SMB、CIFSなどのプロトコルを用いて、仮想デスクトップサーバの探索を行う。ノード管理部502は、仮想デスクトップサーバを発見すると(ステップS301)、ホスト情報を取得し(ステップS302)、OS情報を取得して(ステップS303)、ノードの探索発見完了をCPU制御部501に通知する(ステップS304)。
CPU制御部501は、ノード探索発見完了の通知を受けると、発見されたノードへ専用のエージェントプログラムを配布するために、モジュール格納部505からエージェントプログラムをロードする(ステップS305)。CPU制御部501は、エージェントプログラムのロード後、ロードしたエージェントプログラムを該当ノード(発見された仮想デスクトップサーバ)にインストールする(ステップS306)。以後、仮想デスクトップサーバにインストールされたエージェントプログラムは、キープアライブ管理部503との間で死活監視のための通信を行い、キープアライブ管理部503は、仮想デスクトップサーバの死活監視を行う(ステップS307)。
仮想デスクトップサーバは、エージェントプログラムのインストールが完了すると、ユーザが接続可能な待ち受け状態となる。CPU制御部501は、ホスト情報に基づいて、ユーザグルーピング設定を行う(ステップS308)。CPU制御部501には、例えば、事前に、管理者などにより、グルーピング設定がされていない新規仮想デスクトップサーバ発見時に、その仮想デスクトップサーバに対してどのグループを設定するかといった情報が設定されている。CPU制御部501は、その情報に従って、仮想デスクトップサーバに対してグルーピング設定を行う。或いは、新規発見された仮想デスクトップサーバに対して、どのグループを設定するかを管理者に問い合わせて、管理者が入力したグループに設定してもよい。
CPU制御部501は、許可するユーザの送信元IPアドレスを決定する目的で、セッション管理部506へ、許可ユーザ属性の比較実施を要求する(ステップS309)。CPU制御部501は、一致するユーザ属性を持つIPアドレスを、セッショントラフィック転送処理部が参照するメモリ領域へ保存する(ステップS310)。ユーザ・ホスト管理部504は、ノード管理部502から取得するノード(仮想デスクトップサーバ)のIPアドレスと利用ユーザ情報とをマッピングさせ、セッション管理部506を通して、トラフィック転送実行部402が仮想デスクトップサーバ宛にIPアドレスを書き換える際に参照する情報(出方路を決定するための情報)を提供する。
IPインタフェース部201(図2)は、ARP(アドレス解決プロトコル)応答に返信することで、ユーザ側のIPネットワーク網に、セッション管理・制御装置20の位置情報を伝達する処理を受け持つ。セッション管理・制御装置20は、ユーザ(シンクライアント端末)から発信されるセッションをIPパケットにて受信すると、IPインタフェース部201にて送信先のIPアドレスがIPインタフェース部201に設定された自分宛のIPアドレスであることを認識する。その後、プロトコル識別部202により、IPパケットのプロトコルが仮想デスクトップサービス用としてあらかじめ設定しているシンクライアント端末のセッションプロトコルであることを識別する。
セッション管理・制御装置20は、認証の実施状況を調べ、セッションの認証が未実施の場合は、ユーザセッションリダイレクト部205からWebサーバ処理部207へ処理を渡す。Webサーバ処理部207は、画面表示HTTPプロトコル応答部208により、擬似的なアプリケーション動作応答として、シンクライアント端末に、認証用の画面を送信する。ユーザは、サービスを利用するために必要なユーザ属性情報(ユーザ名、パスワード、所属ドメインなど)を入力して、セッション管理・制御装置20に送信する。ここで、セッションとは、ネットワークにおけるユーザとユーザが接続する仮想化基盤上の仮想デスクトップサーバとの間の一連の作業を実施するためのデータの開始から終了までのデータの流れを示している。
ユーザが入力したユーザ属性情報は、Webサーバ処理部207からユーザ認証処理部209へ渡される。ユーザ認証処理部209は、認証方式設定部210に設定された認証方式に従って、ユーザ認証を行う。同時に、ユーザ認証処理部209は、所属ドメイン情報からユーザがアクセス可能な仮想デスクトップサーバを認証し、画面表示HTTPプロトコル応答部208を介して、接続可能な仮想デスクトップサーバ情報を送信する。ユーザ認証処理部209は、認証されたユーザのIPアドレスを、ユーザ・IPアドレスマッピング管理部206に送り、ユーザ・IPアドレスマッピング管理部206は、許可されたユーザとして登録する。
ユーザ・IPアドレスマッピング管理部206による登録以降のユーザセッションは、ユーザセッションリダイレクト部205からセッショントラフィック転送処理部22へ送信される。セッショントラフィック転送処理部22は、該当の仮想デスクトップサーバへ、セッションを送信する。ユーザのセッション確立後は、標準的なICMP(インターネット制御管理プロトコル)などを使用し、セッション管理・制御装置20から仮想デスクトップサーバ及びシンクライアント端末の状態を管理する。
本実施形態では、受け軸となるIPアドレス(仮想IPアドレス)を利用し、セッション管理・制御装置20にてユーザとIPアドレスとの動的なマッピング管理を行うことで、IPネットワークに透過的に配置することを可能とする。セッション管理・制御装置20を透過配置し、ユーザセッションをキャプチャし、セッションに対する認証が未実施のときは、認証を要求する画面をユーザ側に送信する。初期セッションに対して、セッション管理・制御装置20からユーザに認証用画面を送信することで、仮想デスクトップサーバ側及びシンクライアント端末側に専用モジュールを搭載することが不要になる。これにより、汎用的なシンクライアント端末を使用して、仮想デスクトップサービスを受益できるという効果が得られる。
本実施形態では、セッション状態に関する情報(図9)を参照して、IPアドレス検査部203で利用可能と判断された送信元IPアドレスのユーザの認証が実施済みであるか否かを判断する。ユーザセッションリダイレクト部205は、認証が実施済みと判断すると、セッショントラフィック転送処理部22にトラフィックを転送し、仮想デスクトップサーバへのトラフィック転送を実現する。本実施形態では、認証機構と連動し、トラフィックとユーザという属性を同じシステムで取り扱っており、ユーザトラフィックの転送を、パケットByパケットで処理することが可能である。これにより、トラフィック転送をハードウェア化しやすいという効果が得られる。また、本実施形態では、セッション管理・制御装置20で定常的にトラフィックを管理・制御することで、クライアントの開始から終了までのセッションの一括管理を可能としている。更に、本実施形態では、全てのユーザのセッションがセッション管理・制御装置20を通過することになるので、ユーザを識別したリアルタイムでのセッション集中管理が可能となる。
以上、本発明をその好適な実施形態に基づいて説明したが、本発明のセッション管理・制御装置、方法、及び、プログラムは、上記実施形態にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。
10:シンクライアント端末
20:セッション管理・制御装置
21:ユーザサービス処理インタフェース部
22:セッショントラフィック転送処理部
23:仮想基盤サービス処理インタフェース部
24:メモリ記憶部
25:外部サービス処理インタフェース部
30:仮想化基盤
31:仮想デスクトップサーバ
201:IPインタフェース部
202:プロトコル識別部
203:IPアドレス検査部
204:IPアドレスDB部
205:ユーザセッションリダイレクト部
206:ユーザ・IPアドレスマッピング管理部
207:Webサーバ処理部
208:画面表示HTTPプロトコル応答部
209:ユーザ認証処理部
210:認証方式設定部
211:メモリ記憶部
212:CPU制御部
301:ユーザサービス接続部
302:パケットバッファ部
303:サーチエンジン部
304:ユーザセッション管理部
311:セッショントラフィック接続部
321:仮想基盤サービス接続部
331:アクセス制御部
341:メモリ情報格納部
401:ユーザサービス接続部
402:トラフィック転送実行部
403:IPインタフェース部
501:CPU制御部
502:ノード管理部
503:キープアライブ管理部
504:ユーザ・ホスト管理部
505:モジュール格納部
506:セッション管理部
601:ユーザ情報連携部
602:外部サーバ連携部
701:PB管理情報
702:実IPパケット
711、721:インデックス
712:許可登録IPアドレス
722:セッション通過情報
20:セッション管理・制御装置
21:ユーザサービス処理インタフェース部
22:セッショントラフィック転送処理部
23:仮想基盤サービス処理インタフェース部
24:メモリ記憶部
25:外部サービス処理インタフェース部
30:仮想化基盤
31:仮想デスクトップサーバ
201:IPインタフェース部
202:プロトコル識別部
203:IPアドレス検査部
204:IPアドレスDB部
205:ユーザセッションリダイレクト部
206:ユーザ・IPアドレスマッピング管理部
207:Webサーバ処理部
208:画面表示HTTPプロトコル応答部
209:ユーザ認証処理部
210:認証方式設定部
211:メモリ記憶部
212:CPU制御部
301:ユーザサービス接続部
302:パケットバッファ部
303:サーチエンジン部
304:ユーザセッション管理部
311:セッショントラフィック接続部
321:仮想基盤サービス接続部
331:アクセス制御部
341:メモリ情報格納部
401:ユーザサービス接続部
402:トラフィック転送実行部
403:IPインタフェース部
501:CPU制御部
502:ノード管理部
503:キープアライブ管理部
504:ユーザ・ホスト管理部
505:モジュール格納部
506:セッション管理部
601:ユーザ情報連携部
602:外部サーバ連携部
701:PB管理情報
702:実IPパケット
711、721:インデックス
712:許可登録IPアドレス
722:セッション通過情報
Claims (13)
- クライアント端末から送信されたトラフィックをサーバに転送するセッション管理・制御装置であって、
前記トラフィックを構成するパケットから送信元アドレス情報を抽出し、該抽出したアドレス情報が許可すべきユーザが利用可能なアドレスを示しているか否かを検査するアドレス検査部と、
アドレス検査部にて利用可能なアドレスと判断されたパケットについて、認証の実施状況を示す情報を参照して認証済みか否かを判断し、認証済みと判断すると、トラフィック転送処理を実行するトラフィック転送処理部に前記トラフィックを転送するユーザセッションリダイレクト部とを備えるセッション管理・制御装置。 - 前記サーバと前記クライアント端末との通信経路の途中に、ネットワークに透過的手段にて配置されている、請求項1に記載のセッション管理・制御装置。
- 前記サーバが提供するサービスの受け軸となるアドレスを保持し、保持するアドレスに対するアドレス解決を行うインタフェース部を備えており、前記アドレス検査部は、前記インタフェース部が前記受け軸となるアドレスを送信先とするパケットを受信すると、該パケットの送信元アドレス情報を抽出する、請求項1又は2に記載のセッション管理・制御装置。
- 前記アドレス検査部から前記抽出されたアドレス情報を受け取り、前記利用可能なアドレスを記憶する記憶装置を検索して、前記アドレス検査部に、前記抽出されたアドレス情報が前記記憶装置に登録されているか否かを示す情報を返すアドレスDB部を更に備える、請求項1乃至3の何れか一に記載のセッション管理・制御装置。
- 前記ユーザセッションリダイレクト部は、送信元IPアドレスとユーザ属性情報と認証の実施状況を示す情報とを含むセッション通過情報を参照して、前記送信元IPアドレスが示すユーザが認証済みであるか否かを判断する、請求項1乃至4の何れか一に記載のセッション管理・制御装置。
- 前記クライアント端末に認証処理を促す画面を送信する画面表示応答部を更に備えており、前記ユーザセッションリダイレクト部は、認証が実施されていないと判断すると、前記認証実施状況を示す情報を仮受付中にすると共に、前記画面応答部に、認証処理を促す画面の送信を指示する、請求項5に記載のセッション管理・制御装置。
- ユーザ認証処理を行うユーザ認証処理部を更に備えており、前記ユーザセッションリダイレクト部は、前記認証実施状況を示す情報が仮受付中を示す情報のときは、ユーザ認証に用いるプロトコルを終端する処理部に前記パケットを転送し、前記ユーザ認証処理部に認証処理を行わせる、請求項6に記載のセッション管理・制御装置。
- 前記ユーザ認証処理部は、ユーザ認証に成功すると、前記セッション通過情報のユーザ属性情報に、ユーザ認証で認証されたユーザ属性情報を登録する、請求項7に記載のセッション管理・制御装置。
- 前記トラフィック転送処理部は、前記セッション通過情報のユーザ属性情報を参照し、前記ユーザセッションリダイレクト部より転送されたトラフィックが、管理者が通信を許可しているユーザ属性を持つトラフィックであるか否かを判断し、許可しているユーザであると判断すると、前記サーバへトラフィックを送信する、請求項8に記載のセッション管理・制御装置。
- ネットワーク接続されたサーバを発見するノード管理部と、前記ノード管理部がサーバを発見すると、通信モジュールをロードし、該ロードした通信モジュールを前記発見されたサーバにインストールするモジュール格納部とを更に備える、請求項1乃至9の何れか一に記載のセッション管理・制御装置。
- 前記ノード管理部が、前記サーバにインストールされた通信モジュールとの間で通信を行い、前記サーバの死活監視を行うキープアライブ管理部を有する、請求項10に記載のセッション管理・制御装置。
- ネットワーク装置を用いて、クライアント端末から送信されたトラフィックをサーバに転送するセッション管理・制御方法であって、
前記ネットワーク装置が、前記トラフィックを構成するパケットから送信元アドレス情報を抽出し、該抽出したアドレス情報が許可すべきユーザが利用可能なアドレスを示しているか否かを検査するステップと、
前記ネットワーク装置が、利用可能なアドレスと判断すると、認証の実施状況を示す情報を参照して認証済みか否かを判断するステップと、
前記ネットワーク装置が、認証済みと判断すると、トラフィック転送処理を実行するトラフィック転送処理部に前記トラフィックを転送するステップとを有するセッション管理・制御方法。 - ネットワーク装置に、クライアント端末から送信されたトラフィックをサーバに転送する処理を実行させるプログラムであって、前記ネットワーク装置に、
前記トラフィックを構成するパケットから送信元アドレス情報を抽出し、該抽出したアドレス情報が許可すべきユーザが利用可能なアドレスを示しているか否かを検査する処理と、
利用可能なアドレスと判断すると、認証の実施状況を示す情報を参照して認証済みか否かを判断する処理と、
認証済みと判断すると、トラフィック転送処理を実行するトラフィック転送処理部に前記トラフィックを転送する処理とを実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008092936A JP2009245301A (ja) | 2008-03-31 | 2008-03-31 | セッション管理・制御装置、方法、及び、プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008092936A JP2009245301A (ja) | 2008-03-31 | 2008-03-31 | セッション管理・制御装置、方法、及び、プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009245301A true JP2009245301A (ja) | 2009-10-22 |
Family
ID=41307094
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008092936A Pending JP2009245301A (ja) | 2008-03-31 | 2008-03-31 | セッション管理・制御装置、方法、及び、プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009245301A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011154622A (ja) * | 2010-01-28 | 2011-08-11 | Fujitsu Ltd | アクセス制御システム及びアクセス制御方法 |
| JP2013025647A (ja) * | 2011-07-22 | 2013-02-04 | Canon Inc | 情報処理装置、情報処理方法、およびプログラム |
| JP2015043156A (ja) * | 2013-08-26 | 2015-03-05 | 富士通株式会社 | アクセス制御プログラム、アクセス制御方法及びアクセス制御装置 |
| JP2015529878A (ja) * | 2012-07-23 | 2015-10-08 | ヴイエムウェア インコーポレイテッドVMware,Inc. | ウェブクライアントを介したリモートアプリケーションへのアクセスの提供 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001326696A (ja) * | 2000-05-18 | 2001-11-22 | Nec Corp | アクセス制御方法 |
| JP2007172520A (ja) * | 2005-12-26 | 2007-07-05 | Ffc Ltd | サーバ装置 |
| JP2007334686A (ja) * | 2006-06-15 | 2007-12-27 | Nec Corp | セッション管理システム、セッション管理サーバ、シンクライアント端末、プログラム |
| JP2008033831A (ja) * | 2006-07-31 | 2008-02-14 | Matsushita Network Operations Co Ltd | 通信装置及び通信制御プログラム |
-
2008
- 2008-03-31 JP JP2008092936A patent/JP2009245301A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001326696A (ja) * | 2000-05-18 | 2001-11-22 | Nec Corp | アクセス制御方法 |
| JP2007172520A (ja) * | 2005-12-26 | 2007-07-05 | Ffc Ltd | サーバ装置 |
| JP2007334686A (ja) * | 2006-06-15 | 2007-12-27 | Nec Corp | セッション管理システム、セッション管理サーバ、シンクライアント端末、プログラム |
| JP2008033831A (ja) * | 2006-07-31 | 2008-02-14 | Matsushita Network Operations Co Ltd | 通信装置及び通信制御プログラム |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011154622A (ja) * | 2010-01-28 | 2011-08-11 | Fujitsu Ltd | アクセス制御システム及びアクセス制御方法 |
| JP2013025647A (ja) * | 2011-07-22 | 2013-02-04 | Canon Inc | 情報処理装置、情報処理方法、およびプログラム |
| JP2015529878A (ja) * | 2012-07-23 | 2015-10-08 | ヴイエムウェア インコーポレイテッドVMware,Inc. | ウェブクライアントを介したリモートアプリケーションへのアクセスの提供 |
| US10353718B2 (en) | 2012-07-23 | 2019-07-16 | Vmware, Inc. | Providing access to a remote application via a web client |
| JP2015043156A (ja) * | 2013-08-26 | 2015-03-05 | 富士通株式会社 | アクセス制御プログラム、アクセス制御方法及びアクセス制御装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| US10009271B2 (en) | Routing method and network transmission apparatus | |
| US20160337372A1 (en) | Network system, controller and packet authenticating method | |
| JP4664257B2 (ja) | 攻撃検出システム及び攻撃検出方法 | |
| US7360242B2 (en) | Personal firewall with location detection | |
| US11108738B2 (en) | Communication apparatus and communication system | |
| WO2014000303A1 (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| WO2017067385A1 (en) | Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment | |
| JP2000132473A (ja) | ファイアウォール動的制御方式を用いたネットワークシステム | |
| JP2009245301A (ja) | セッション管理・制御装置、方法、及び、プログラム | |
| US7359338B2 (en) | Method and apparatus for transferring packets in network | |
| JP6359260B2 (ja) | クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置 | |
| JP2007124258A (ja) | ネットワーク中継プログラム、ネットワーク中継方法、ネットワーク中継装置および通信制御プログラム | |
| JP5267893B2 (ja) | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム | |
| CN116032763B (zh) | 网络业务的处理方法、系统和网关设备 | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| JP6382244B2 (ja) | パケットフィルタリング装置 | |
| US20040172560A1 (en) | Stream server apparatus, program, and NAS device | |
| US20230239271A1 (en) | Hardware-based reliable and secure container network | |
| KR101807695B1 (ko) | 이동통신 라우터 장치 및 이를 포함하는 ip 공유 시스템 | |
| JP2006119828A (ja) | パケットデータ処理ノード装置 | |
| KR20210079641A (ko) | 사물인터넷 환경에서의 게이트웨이 기반 사물봇 탐지 방법 및 장치 | |
| JP2017135623A (ja) | パケットフィルタリング装置 | |
| JP2009239331A (ja) | アクセス管理システム、アクセス管理方法、及びアクセス制御用プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20100224 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120313 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120417 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120807 |