JP5073616B2 - User identification type reverse proxy device, data relay method thereof, and program thereof - Google Patents

User identification type reverse proxy device, data relay method thereof, and program thereof Download PDF

Info

Publication number
JP5073616B2
JP5073616B2 JP2008217037A JP2008217037A JP5073616B2 JP 5073616 B2 JP5073616 B2 JP 5073616B2 JP 2008217037 A JP2008217037 A JP 2008217037A JP 2008217037 A JP2008217037 A JP 2008217037A JP 5073616 B2 JP5073616 B2 JP 5073616B2
Authority
JP
Japan
Prior art keywords
identifier
network
destination
reverse proxy
proxy device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008217037A
Other languages
Japanese (ja)
Other versions
JP2010056665A (en
Inventor
努 近藤
純一 村山
健 桑原
毅 八木
真 今瀬
博之 大崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Osaka University NUC
Original Assignee
Nippon Telegraph and Telephone Corp
Osaka University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Osaka University NUC filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008217037A priority Critical patent/JP5073616B2/en
Publication of JP2010056665A publication Critical patent/JP2010056665A/en
Application granted granted Critical
Publication of JP5073616B2 publication Critical patent/JP5073616B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、WWW(World Wide Web)に代表されるようなハイパーテキスト転送プロトコルでデータ通信を行うインターネット通信技術を構成する技術である。特に、インターネット通信分野のうち、企業内に閉じたイントラネットから、企業外のVPN(Virtual Private Network)にセキュアにアクセスするためのVPN通信分野に属する。   The present invention is a technology that constitutes an Internet communication technology for performing data communication using a hypertext transfer protocol represented by WWW (World Wide Web). In particular, the Internet communication field belongs to the VPN communication field for securely accessing a VPN (Virtual Private Network) outside the company from an intranet closed within the company.

従来のリバースプロキシー装置は、ユーザとwebサーバ間でのハイパーテキスト転送プロトコルによる中継装置に位置づけられ、主としてapacheやsquidと呼ばれるプログラムを用いて実現されている。   A conventional reverse proxy device is positioned as a relay device based on a hypertext transfer protocol between a user and a web server, and is mainly realized by using a program called apache or squid.

ユーザは、宛先統一資源位置指定子のホスト識別子にリバースプロキシー装置の識別子を記述して、リバースプロキシー装置宛にデータを送信する。リバースプロキシー装置は、自宛のホスト識別子を、実際のwebサーバのホスト識別子に変換して、データをwebサーバ宛に転送する。この際、データ中継毎に異なるwebサーバのホスト識別子に変換してデータ転送することで、複数のwebサーバ間での負荷分散も可能となる。   The user describes the identifier of the reverse proxy device in the host identifier of the destination unified resource location specifier, and transmits data to the reverse proxy device. The reverse proxy device converts the host identifier addressed to itself into the host identifier of the actual web server, and transfers the data to the web server. At this time, by converting the data to a different web server host identifier for each data relay and transferring the data, it is possible to distribute the load among the plurality of web servers.

リバースプロキシー装置を用いることで、ユーザにはwebサーバのホスト識別子が隠蔽されるため、セキュリティ的にも効果があるとされている。   By using the reverse proxy device, the host identifier of the web server is concealed from the user, so that it is also effective in terms of security.

リバースプロキシー装置について記載された文献としては、例えば非特許文献1、2がある。   For example, Non-Patent Documents 1 and 2 are provided as documents describing the reverse proxy device.

負荷分散制御アルゴリズムの性能評価と適用領域、Performance Evaluation of a Load Balancing Routing Algorithm for a Cache Server Array、巳波弘佳、熊谷和則、能上慎也、阿部威郎、電子情報通信学会技術研究報告、NS、ネットワークシステム、IEICE technical report、Vol.101、No.8(20010412)、pp.15−20、NS2001−3、社団法人電子情報通信学会、ISSN:09135685Performance evaluation and application area of load balancing control algorithm, Performance Evaluation of a Load Balancing Routing Algorithm for a Cache Server Array, Hiroka Tonami, Kazunori Kumagai, Shinya Nogami, Takeo Abe, IEICE Technical Report, NS, Network System, IEICE technical report, Vol. 101, no. 8 (20010412), pp. 15-20, NS2001-3, The Institute of Electronics, Information and Communication Engineers, ISSN: 09135685 通知によるコンテンツ一斉公開機構を用いたWWWクラスタシステム、西馬一郎、河合栄治、知念賢一、山口英、山本平一、情報処理学会論文誌、Transactions of Information Processing Society of Japan、Vol.43、No.11(20021115)、pp.3439−3447、社団法人情報処理学会、ISSN:03875806WWW cluster system that uses the content simultaneous release mechanism by notification, Ichiro Nishima, Eiji Kawai, Kenichi Chinen, Hideichi Yamaguchi, Heiichi Yamamoto, Transactions of Information Processing Society of Japan, Vol. 43, no. 11 (20021115), pp. 3439-3447, Information Processing Society of Japan, ISSN: 0387806

従来のリバースプロキシー装置では、転送先のwebサーバを複数指定することが可能であった。しかし、ユーザ毎に個別のwebサーバを用意しても、単一のリバースプロキシー装置において、送信ユーザ毎に宛先webサーバを一意に指定して転送することができなかった。   In the conventional reverse proxy device, it is possible to specify a plurality of transfer destination web servers. However, even if an individual web server is prepared for each user, a single reverse proxy device cannot uniquely transfer a destination web server for each transmission user.

例えば、ネットワークの構成例として、第一のネットワークを企業のイントラネットと位置付けてユーザを配置し、第二のネットワークをアプリケーションサービスプロバイダのネットワークと位置づけてwebサーバを配置した上で、第一のネットワークと第二のネットワークをリバースプロキシー装置のみを介して相互接続する構成がある。この構成では、第一のネットワーク内では、第二のネットワーク内でのwebサーバの増設等にかかわらず、リバースプロキシー装置宛の統一資源位置指定子におけるホスト識別子とアドレスのみ管理しておけば良い。一方で、第二のネットワーク内では、第一のネットワークに影響を与えることなくwebサーバの増設が行える。   For example, as a network configuration example, the first network is positioned as a corporate intranet, a user is positioned, the second network is positioned as an application service provider network, a web server is positioned, There is a configuration in which the second network is interconnected only through the reverse proxy device. In this configuration, in the first network, only the host identifier and address in the unified resource location specifier destined for the reverse proxy device need be managed regardless of the addition of the web server in the second network. On the other hand, in the second network, a web server can be added without affecting the first network.

しかし、単一のリバースプロキシー装置において、送信ユーザ毎に宛先webサーバを一意に指定して転送することができなかったため、第二のネットワークでユーザ毎に個別のwebサーバを用意してサービス提供を行うことができなかった。そこで、本発明では、送信ユーザ毎に宛先webサーバを一意に指定することを解決すべき課題とする。   However, in a single reverse proxy device, since it was not possible to uniquely specify and transfer the destination web server for each sending user, a separate web server was prepared for each user on the second network to provide services. Could not do. Therefore, in the present invention, it is an object to be solved to uniquely specify a destination web server for each transmission user.

本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。   Of the inventions disclosed in this specification, the outline of typical ones will be briefly described as follows.

請求項1の発明では、リバースプロキシー装置に対して、第一のネットワークの識別子を含むホスト識別子とユーザ識別子を含むディレクトリ識別子を含んで構成される宛先統一資源位置指定子のうち、ディレクトリ識別子からユーザ識別子を抽出し、抽出したユーザ識別子から宛先ホスト識別子を変換テーブルを参照して特定し、宛先統一資源位置指定子に記述されたホスト識別子を、特定した宛先ホスト識別子に変換する機能を付加することで、送信ユーザ毎に宛先webサーバを一意に指定することを実現する。 In the invention of claim 1, with respect to the reverse proxy device, among the destination uniform resource locator configured to include a directory identifier that includes the host identifier and the user identifier comprising an identifier of the first network, from directories identifier A function is added for extracting a user identifier , specifying a destination host identifier from the extracted user identifier with reference to a conversion table, and converting the host identifier described in the destination unified resource location specifier into the specified destination host identifier. Thus, it is possible to uniquely specify the destination web server for each transmission user.

さらに、請求項の発明では、第一のネットワークおよび第二のネットワークへハイパーテキスト転送プロトコルデータを送出する際に、それぞれ異なるアドレス解決サーバを参照して宛先のアドレスを特定する機能を有することで、異なるネットワーク間をリバースプロキシー装置を介して相互接続した条件の下で、送信ユーザ毎に宛先webサーバを一意に指定することを実現する。 Furthermore, the invention of claim 2 has a function of specifying a destination address by referring to different address resolution servers when sending hypertext transfer protocol data to the first network and the second network. In addition, it is possible to uniquely specify a destination web server for each transmission user under a condition in which different networks are interconnected via a reverse proxy device.

さらに、請求項の発明は、請求項1の発明の内容を実現するデータ中継方法であり、請求項の発明は、請求項1または2に記載のリバースプロキシー装置として、コンピュータを機能させるためのプログラムである。 Furthermore, the invention of claim 3 is a data relay method for realizing the contents of the invention of claim 1, and the invention of claim 4 is for causing a computer to function as the reverse proxy device according to claim 1 or 2. It is a program.

本発明により、単一のリバースプロキシー装置において、送信ユーザ毎に宛先webサーバを一意に指定して転送することが可能となる。   According to the present invention, in a single reverse proxy device, a destination web server can be uniquely specified for each transmission user and transferred.

本発明の構成例について説明する。   A configuration example of the present invention will be described.

図1は、本発明の実施形態のネットワーク構成を示す。1−1はネットワーク、1−2はVPN#1、1−3はVPN#2、1−4はVPN#3である。1−5は本発明の実施形態のユーザ識別型リバースプロキシー装置である。1−6はユーザ#1(より正確にはユーザ#1の端末)、1−7はユーザ#2(より正確にはユーザ#2の端末)である。1−8はDNS#1、1−9はDNS#2、1−10はDNS#3である。DNS#1〜#3はDNS(Domain Name System)サーバであり、ネームとIP(Internet Protocol)アドレスの対応関係を管理している。1−11はサーバ#1、1−12はサーバ#2、1−13はサーバ#3、1−14はサーバ#4である。   FIG. 1 shows a network configuration according to an embodiment of the present invention. 1-1 is a network, 1-2 is VPN # 1, 1-3 is VPN # 2, and 1-4 is VPN # 3. 1-5 is a user identification type reverse proxy device according to the embodiment of the present invention. 1-6 is the user # 1 (more precisely, the terminal of the user # 1), and 1-7 is the user # 2 (more precisely, the terminal of the user # 2). 1-8 is DNS # 1, 1-9 is DNS # 2, and 1-10 is DNS # 3. DNS # 1 to DNS # 3 are DNS (Domain Name System) servers, which manage the correspondence between names and IP (Internet Protocol) addresses. 1-11 is server # 1, 1-12 is server # 2, 1-13 is server # 3, and 1-14 is server # 4.

この構成では、ネットワーク1−1がVPN#1、VPN#2、およびVPN#3で構成される。   In this configuration, the network 1-1 is configured with VPN # 1, VPN # 2, and VPN # 3.

VPN#1はユーザ#1、ユーザ#2、およびDNS#1を収容する。VPN#2はサーバ#1、サーバ#2、およびDNS#2を収容する。VPN#3はサーバ#3、サーバ#4、およびDNS#3を収容する。   VPN # 1 accommodates user # 1, user # 2, and DNS # 1. VPN # 2 accommodates server # 1, server # 2, and DNS # 2. VPN # 3 accommodates server # 3, server # 4, and DNS # 3.

VPN#1はネットワークインタフェース#1で、VPN#2はネットワークインタフェース#2で、VPN#3はネットワークインタフェース#3で、ユーザ識別型リバースプロキシー装置1−5とそれぞれ接続される。   VPN # 1 is the network interface # 1, VPN # 2 is the network interface # 2, and VPN # 3 is the network interface # 3, which are connected to the user identification type reverse proxy device 1-5.

また、これらには、VPN#1:vpn1、VPN#2:vpn2、VPN#3:vpn3、DNS#1:dns1、DNS#2:dns2、DNS#3:dns3、ユーザ#1:user1、ユーザ#2:user2、サーバ#1:server1、サーバ#2:server2、サーバ#3:server3、サーバ#4:server4、ユーザ識別型リバースプロキシー装置1−5のネットワークインタフェース#1:r_proxy1、ユーザ識別型リバースプロキシー装置1−5のネットワークインタフェース#2:r_proxy2、ユーザ識別型リバースプロキシー装置1−5のネットワークインタフェース#3:r_proxy3とネームが付与されている。   These include VPN # 1: vpn1, VPN # 2: vpn2, VPN # 3: vpn3, DNS # 1: dns1, DNS # 2: dns2, DNS # 3: dns3, user # 1: user1, user # 2: user2, server # 1: server1, server # 2: server2, server # 3: server3, server # 4: server4, network interface # 1: r_proxy1 of user-identified reverse proxy device 1-5, user-identified reverse proxy The network interface # 2: r_proxy2 of the device 1-5 and the network interface # 3: r_proxy3 of the user identification type reverse proxy device 1-5 are assigned names.

ここで、DNS#1は、DNS#1:dns1、ユーザ#1:user1、ユーザ#2:user2、ユーザ識別型リバースプロキシー装置1−5のネットワークインタフェース#1:r_proxy1のネームとIPアドレスの対応関係を管理する。   Here, DNS # 1 is DNS # 1: dns1, user # 1: user1, user # 2: user2, and the relationship between the name and IP address of network interface # 1: r_proxy1 of user-identified reverse proxy device 1-5 Manage.

DNS#2は、DNS#2:dns2、サーバ#1:server1、サーバ#2:server2、ユーザ識別型リバースプロキシー装置1−5のネットワークインタフェース#2:r_proxy2のネームとIPアドレスの対応関係を管理する。   DNS # 2 manages the correspondence between the DNS # 2: dns2, server # 1: server1, server # 2: server2, and the network interface # 2 of the user identification type reverse proxy device 1-5: r_proxy2 and the IP address. .

DNS#3は、DNS#3:dns3、サーバ#3:server3、サーバ#4:server4、ユーザ識別型リバースプロキシー装置1−5のネットワークインタフェース#3:r_proxy3のネームとIPアドレスの対応関係を管理する。   DNS # 3 manages the correspondence between the name and IP address of DNS # 3: dns3, server # 3: server3, server # 4: server4, network interface # 3 of user-identified reverse proxy device 1-5: r_proxy3 .

図2は、ユーザ識別型リバースプロキシー装置1−5における宛先統一資源位置指定子の変換処理例である。この図は、上部に示す変換前の宛先統一資源位置指定子2−1と下部に示す変換後の宛先統一資源位置指定子2−2で構成される。   FIG. 2 is a conversion processing example of the destination unified resource location specifier in the user identification type reverse proxy device 1-5. This figure is composed of a destination unified resource position specifier 2-1 before conversion shown in the upper part and a destination unified resource position specifier 2-2 after conversion shown in the lower part.

この例では、変換前の宛先統一資源位置指定子2−1において、アクセス手段識別子として、http、ホスト識別子のうち、ユーザ識別型リバースプロキシー装置1−5の識別子として、r_proxy1、ホスト識別子のうち、送信元ユーザの帰属するVPNの識別子として、vpn1、ディレクトリ識別子のうち、送信元ユーザの識別子として、user1、ディレクトリ識別子のうち、宛先サーバ内でのディレクトリ識別子として、folder1/file1、が指定されている。   In this example, in the destination unified resource location specifier 2-1 before conversion, as an access means identifier, among http and host identifier, as an identifier of the user identification type reverse proxy device 1-5, r_proxy1 and among host identifiers, As the VPN identifier to which the transmission source user belongs, vpn1, among the directory identifiers, user1 as the transmission source user identifier, and among the directory identifiers, folder1 / file1 is specified as the directory identifier in the destination server. .

また、変換後の宛先統一資源位置指定子2−2において、アクセス手段識別子として、http、ホスト識別子のうち、宛先サーバの識別子として、server1、 ホスト識別子のうち、宛先サーバの帰属するVPNの識別子として、vpn2、ディレクトリ識別子のうち、送信元ユーザの識別子として、user1、ディレクトリ識別子のうち、宛先サーバ内でのディレクトリ識別子として、folder1/file1、が指定されている。   In the destination unified resource location specifier 2-2 after conversion, the access means identifier is http, the host identifier is the destination server identifier, server1, and the host identifier is the VPN identifier to which the destination server belongs. , Vpn2 and directory identifier, user1 is specified as the sender user identifier, and folder1 / file1 is specified as the directory identifier in the destination server among the directory identifiers.

図3に、変換テーブル3−1を示す。この変換テーブル3−1では、変換前としてのディレクトリ識別子のうち、送信元ユーザの識別子から変換後としての宛先サーバの識別子と宛先サーバの帰属するVPNの識別子の組が導かれる。   FIG. 3 shows the conversion table 3-1. In this conversion table 3-1, a set of a destination server identifier after conversion and a VPN identifier to which the destination server belongs is derived from the source user identifier among the directory identifiers before conversion.

例えば、変換前のuser1からは、変換後のserver1.vpn2が、変換前のuser2からは、変換後のserver3.vpn3が導かれる。ここで「.」は識別子同士の境界点を示す記号である。   For example, from user1 before conversion, server1. vpn2 is changed from user2 before conversion to server3. vpn3 is derived. Here, “.” Is a symbol indicating a boundary point between identifiers.

図4に、本発明の実施形態のユーザ識別型リバースプロキシー装置1−5のシステム構成図を示す。   FIG. 4 is a system configuration diagram of the user identification type reverse proxy device 1-5 according to the embodiment of this invention.

4−1は、VPN#1から受信したハイパーテキスト転送プロトコルデータに記述された、ホスト識別子とディレクトリ識別子を含んで構成される宛先統一資源位置指定子のうち、ディレクトリ識別子の内容に応じて宛先ホスト識別子を特定し、前記宛先統一資源位置指定子に記述されたホスト識別子を、特定した宛先ホスト識別子に変換するホスト識別子変換手段である。4−2は、VPN#1〜VPN#3へハイパーテキスト転送プロトコルデータを送出する際に、それぞれDNS#1〜#3を参照して宛先のアドレスを特定するアドレス解決手段である。4−3は、ホスト識別子が変換された宛先統一資源位置指定子が記述されたハイパーテキスト転送プロトコルデータを、VPN#1、VPN#2、VPN#3に転送する転送手段である。   4-1 is a destination host according to the contents of the directory identifier among the destination uniform resource location specifiers including the host identifier and the directory identifier described in the hypertext transfer protocol data received from VPN # 1. Host identifier conversion means for specifying an identifier and converting the host identifier described in the destination uniform resource location specifier into the specified destination host identifier. Reference numeral 4-2 denotes address resolution means for specifying a destination address with reference to DNS # 1 to # 3 when sending hypertext transfer protocol data to VPN # 1 to VPN # 3. 4-3 is a transfer means for transferring the hypertext transfer protocol data in which the destination uniform resource location specifier with the converted host identifier is described to VPN # 1, VPN # 2, and VPN # 3.

3−1は、図3に示す変換テーブルである。変換テーブル3−1には、ユーザ識別子と宛先ホスト識別子の対応関係が登録される。ホスト識別子変換手段4−1は、宛先統一資源位置指定子のディレクトリ識別子からユーザ識別子を抽出し、抽出したユーザ識別子から変換テーブル3−1を参照して宛先ホスト識別子を特定する。   3-1 is a conversion table shown in FIG. In the conversion table 3-1, the correspondence between the user identifier and the destination host identifier is registered. The host identifier conversion unit 4-1 extracts the user identifier from the directory identifier of the destination unified resource location specifier, and specifies the destination host identifier by referring to the conversion table 3-1 from the extracted user identifier.

ユーザ識別型リバースプロキシー装置1−5が、図4に示す手段のほかに、通常のリバースプロキシー装置が備える手段を備えることはいうまでもない。   Needless to say, the user-identified reverse proxy apparatus 1-5 includes means included in a normal reverse proxy apparatus in addition to the means shown in FIG.

上述の構成における動作例について説明する。   An operation example in the above configuration will be described.

ここでは、図1において、ユーザ#1から、サーバ#1のfolder1/file1へハイパーテキスト転送プロトコルレイヤでアクセスする例について説明する。   Here, an example in which the user # 1 accesses the folder 1 / file 1 of the server # 1 in the hypertext transfer protocol layer in FIG. 1 will be described.

ユーザ#1は、図2に示す変換前の宛先統一資源位置指定子http://r_proxy1.vpn1/user1/folder1/file1を付与したハイパーテキスト転送プロトコルデータを送信する。   The user # 1 uses the destination unified resource location specifier http: // r_proxy1. The hypertext transfer protocol data to which vpn1 / user1 / folder1 / file1 is assigned is transmitted.

この際、ホスト識別子r_proxy1.vpn1を元に、DNS#1を用いて、ユーザ識別型リバースプロキシー装置のIPアドレスを解決し、従来のIPデータの転送手段に基づいて、ユーザ識別型リバースプロキシー装置へ向けて該当データを送信する。   At this time, the host identifier r_proxy1. Based on vpn1, DNS # 1 is used to resolve the IP address of the user-identified reverse proxy device, and the corresponding data is transmitted to the user-identified reverse proxy device based on the conventional IP data transfer means. .

ユーザ識別型リバースプロキシー装置は、ネットワークインタフェース#1において、ハイパーテキスト転送プロトコルデータを受信すると、ホスト識別子変換手段4−1が、図3の変換テーブル3−1を参照し、宛先統一資源位置指定子2−1のディレクトリ識別子のうち、送信元ユーザの識別子user1から宛先サーバの識別子server1と宛先サーバの帰属するVPNの識別子vpn2の組server1.vpn2を導く。この後、この識別子の組server1.vpn2を用いて、変換前のホスト識別子r_proxy1.vpn1を置換する。   When the user identification type reverse proxy device receives the hypertext transfer protocol data at the network interface # 1, the host identifier conversion unit 4-1 refers to the conversion table 3-1 in FIG. 2-1. Among the directory identifiers of 2-1, the set server1.1 is a set of the source user identifier user1 to the destination server identifier server1 and the VPN identifier vpn2 to which the destination server belongs. vpn2 is derived. Thereafter, this identifier set server1. Using vpn2, the host identifier before conversion r_proxy1. Replace vpn1.

この結果、図2の2−2に示すように、変換後の宛先統一資源位置指定子http://server1.vpn2/user1/folder1/file1が生成される。   As a result, as shown by 2-2 in FIG. 2, the destination unified resource location specifier http: // server1. vpn2 / user1 / folder1 / file1 is generated.

この後、生成した宛先統一資源位置指定子を付与したハイパーテキスト転送プロトコルデータを変換後の宛先統一資源位置指定子のホスト識別子の宛先サーバの帰属するVPNの識別子vpn2を元にネットワークインタフェース#2を特定して、ここから送信する。   Thereafter, the network interface # 2 is changed based on the VPN identifier vpn2 to which the destination server of the host identifier of the destination unified resource location specifier after conversion of the generated hypertext transfer protocol data to which the destination unified resource location designator is assigned. Identify and send from here.

この際、アドレス解決手段4−2が、ホスト識別子server1.vpn2を元に、DNS#2を用いて、サーバ#1のIPアドレスを解決し、従来のIPデータの転送手段4−3が、サーバ#1へ向けて該当データを送信する。   At this time, the address resolving means 4-2 makes the host identifier server1. Based on vpn2, DNS # 2 is used to resolve the IP address of server # 1, and conventional IP data transfer means 4-3 transmits the data to server # 1.

サーバ#1からユーザ#1へ向けての応答データは、ユーザ識別型リバースプロキシー装置1−5が、リバースプロキシー装置と同様に動作することで、従来通りのシーケンスで転送される。   Response data from the server # 1 to the user # 1 is transferred in the conventional sequence by the user identification type reverse proxy device 1-5 operating in the same manner as the reverse proxy device.

ここで、ユーザ識別型リバースプロキシー装置は、各VPNをIPレイヤで分離していることと、他VPN宛のIPアドレスを1つに集約して見せることが大きな特徴となっている。   Here, the user identification type reverse proxy device is characterized in that each VPN is separated by an IP layer and that IP addresses destined for other VPNs are aggregated into one.

例えば、VPN#2内でサーバ#5を増設した場合、DNS#2は新たにサーバ#5のネームとIPアドレスの関係を整理する必要が生じるが、DNS#1は管理するネームとIPアドレスの関係を修正する必要がない。   For example, when the server # 5 is added in the VPN # 2, the DNS # 2 needs to rearrange the relationship between the name of the server # 5 and the IP address, but the DNS # 1 has the name and IP address to be managed. There is no need to modify the relationship.

このため、多数のVPNを接続することが求められる場合、ユーザ識別型リバースプロキシー装置を介して、各VPNを接続することで、各VPN内のDNSにおけるネームとIPアドレスの関係の管理負荷が高まることを防止できる。   For this reason, when it is required to connect a large number of VPNs, the management load of the relationship between names and IP addresses in the DNS in each VPN increases by connecting each VPN via a user identification type reverse proxy device. Can be prevented.

結果として多数のVPNで構成される大規模なネットワークを容易に構築可能となる。   As a result, a large-scale network composed of a large number of VPNs can be easily constructed.

上述のように、本発明の実施形態によれば、単一のリバースプロキシー装置において、送信ユーザ毎に宛先webサーバを一意に指定して転送することが可能となる。このため、第一のネットワークにユーザを配置し、第二のネットワークにユーザ毎に個別のwebサーバを用意してサービス提供を行うことが可能となる。ここで、第一のネットワークと第二のネットワークは異なるホスト識別子およびアドレスで運用されていても良い。   As described above, according to the embodiment of the present invention, it is possible to uniquely designate and transfer a destination web server for each transmission user in a single reverse proxy device. For this reason, it is possible to provide a service by arranging users on the first network and preparing individual web servers for each user on the second network. Here, the first network and the second network may be operated with different host identifiers and addresses.

この結果として、第一のネットワークを企業のイントラネットと位置付けてユーザを配置し、第二のネットワークをアプリケーションサービスプロバイダのネットワークと位置づけてwebサーバを配置した上で、第一のネットワークと第二のネットワークをリバースプロキシー装置のみを介して相互接続した場合に、第一のネットワーク内では、第二のネットワーク内でのwebサーバの増設等にかかわらず、リバースプロキシー装置宛の統一資源位置指定子におけるホスト識別子とアドレスのみ管理しておけば良いという効果が得られ、一方で、二のネットワーク内では、第一のネットワークに影響を与えることなくwebサーバの増設が行えるという効果が得られる。 As a result, the first network is positioned as the corporate intranet, the user is positioned, the second network is positioned as the application service provider network, the web server is positioned, and then the first network and the second network are positioned. In the first network, the host identifier in the unified resource locator addressed to the reverse proxy device, regardless of the addition of the web server in the second network, etc. On the other hand, in the second network, it is possible to increase the number of web servers without affecting the first network.

本発明の実施形態のユーザ識別型リバースプロキシー装置は、コンピュータとプログラムで構成することができる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。   The user identification type reverse proxy device according to the embodiment of the present invention can be configured by a computer and a program. Moreover, you may comprise a part or all of the program with a hardware.

以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。   As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Of course.

本発明の実施形態のネットワーク構成を示す図である。It is a figure which shows the network structure of embodiment of this invention. 本発明の実施形態のユーザ識別型リバースプロキシー装置における宛先統一資源位置指定子の変換処理例を示す図である。It is a figure which shows the example of a conversion process of the destination uniform resource position designator in the user identification type | mold reverse proxy apparatus of embodiment of this invention. 変換テーブルを示す図である。It is a figure which shows a conversion table. 本発明の実施形態のユーザ識別型リバースプロキシー装置のシステム構成図である。It is a system configuration figure of a user identification type reverse proxy device of an embodiment of the present invention.

符号の説明Explanation of symbols

1−1 ネットワーク
1−2 VPN#1
1−3 VPN#2
1−4 VPN#3
1−5 ユーザ識別型リバースプロキシー装置
1−6 ユーザ#1
1−7 ユーザ#2
1−8 DNS#1
1−9 DNS#2
1−10 DNS#3
1−11 サーバ#1
1−12 サーバ#2
1−13 サーバ#3
1−14 サーバ#4
2−1 変換前の統一資源位置指定子
2−2 変換後の統一資源位置指定子
3−1 変換テーブル
4−1 ホスト識別子変換手段
4−2 アドレス解決手段
4−3 転送手段 1-1 Network 1-2 VPN # 1
1-3 VPN # 2
1-4 VPN # 3
1-5 User identification type reverse proxy device 1-6 User # 1
1-7 User # 2
1-8 DNS # 1
1-9 DNS # 2
1-10 DNS # 3
1-11 Server # 1
1-12 Server # 2
1-13 Server # 3
1-14 Server # 4
2-1 Unified Resource Location Specifier Before Conversion 2-2 Unified Resource Location Specifier After Conversion 3-1 Conversion Table 4-1 Host Identifier Conversion Unit 4-2 Address Resolution Unit 4-3 Transfer Unit

Claims (4)

第一のネットワークおよび第二のネットワークの間で、ハイパーテキスト転送プロトコルデータの中継を行うリバースプロキシー装置であって、
ユーザ識別子と、宛先サーバの帰属する第二のネットワークの識別子を含む宛先ホスト識別子の対応関係を登録する変換テーブルと、
第一のネットワークから受信したハイパーテキスト転送プロトコルデータに記述された、第一のネットワークの識別子を含むホスト識別子とユーザ識別子を含むディレクトリ識別子を含んで構成される宛先統一資源位置指定子のうち、ディレクトリ識別子からユーザ識別子を抽出し、抽出したユーザ識別子から宛先ホスト識別子を前記変換テーブルを参照して特定し、前記宛先統一資源位置指定子に記述されたホスト識別子を、特定した宛先ホスト識別子に変換するホスト識別子変換手段と、
ホスト識別子が変換された宛先統一資源位置指定子が記述されたハイパーテキスト転送プロトコルデータを、ホスト識別子に含まれる宛先サーバの帰属する第二のネットワークの識別子で識別される第二のネットワークに転送する転送手段と、
を有することを特徴とするリバースプロキシー装置。 A reverse proxy device that relays hypertext transfer protocol data between a first network and a second network,
A conversion table for registering the correspondence between the user identifier and the destination host identifier including the identifier of the second network to which the destination server belongs;
Directory among the destination uniform resource location specifiers including the host identifier including the identifier of the first network and the directory identifier including the user identifier described in the hypertext transfer protocol data received from the first network. A user identifier is extracted from the identifier, a destination host identifier is identified from the extracted user identifier with reference to the conversion table, and a host identifier described in the destination uniform resource location specifier is converted into the identified destination host identifier. Host identifier conversion means;
The hypertext transfer protocol data in which the destination unified resource location specifier in which the host identifier is converted is described is transferred to the second network identified by the identifier of the second network to which the destination server included in the host identifier belongs. Transfer means;
The reverse proxy apparatus characterized by having. 請求項1に記載のリバースプロキシー装置において、
第一のネットワークおよび第二のネットワークへハイパーテキスト転送プロトコルデータを送出する際に、それぞれ異なるアドレス解決サーバを参照して宛先のアドレスを特定するアドレス解決手段を有することを特徴とするリバースプロキシー装置。 The reverse proxy device according to claim 1 ,
A reverse proxy device comprising address resolution means for specifying a destination address by referring to different address resolution servers when transmitting hypertext transfer protocol data to a first network and a second network. 第一のネットワークおよび第二のネットワークの間で、ハイパーテキスト転送プロトコルデータの中継を行うリバースプロキシー装置におけるデータ中継方法であって、
前記リバースプロキシー装置は、ユーザ識別子と、宛先サーバの帰属する第二のネットワークの識別子を含む宛先ホスト識別子の対応関係を登録する変換テーブルと、ホスト識別子変換手段と転送手段とを備え、
前記ホスト識別子変換手段が、第一のネットワークから受信したハイパーテキスト転送プロトコルデータに記述された、第一のネットワークの識別子を含むホスト識別子とユーザ識別子を含むディレクトリ識別子を含んで構成される宛先統一資源位置指定子のうち、ディレクトリ識別子からユーザ識別子を抽出し、抽出したユーザ識別子から宛先ホスト識別子を前記変換テーブルを参照して特定し、前記宛先統一資源位置指定子に記述されたホスト識別子を、特定した宛先ホスト識別子に変換し、
前記転送手段が、ホスト識別子が変換された宛先統一資源位置指定子が記述されたハイパーテキスト転送プロトコルデータを、ホスト識別子に含まれる宛先サーバの帰属する第二のネットワークの識別子で識別される第二のネットワークに転送する、
ことを特徴とするデータ中継方法。 A data relay method in a reverse proxy device that relays hypertext transfer protocol data between a first network and a second network,
The reverse proxy device includes a user identifier, a conversion table for registering a correspondence between the destination host identifier comprising a second network identifier to attribution of destination servers, and host identifier converting means, a transfer means, and
The destination unified resource, wherein the host identifier conversion means includes a host identifier including a first network identifier and a directory identifier including a user identifier described in hypertext transfer protocol data received from the first network. Among the location specifiers, the user identifier is extracted from the directory identifier, the destination host identifier is identified from the extracted user identifier by referring to the conversion table, and the host identifier described in the destination unified resource location specifier is identified. To the destination host identifier
The transfer means identifies the hypertext transfer protocol data in which the destination unified resource locator in which the host identifier is converted is described by the identifier of the second network to which the destination server belongs included in the host identifier . Forward to your network,
A data relay method. 請求項1または2に記載のリバースプロキシー装置として、コンピュータを機能させるためのプログラム。 As a reverse proxy device according to claim 1 or 2, a program for causing a computer to function.
JP2008217037A 2008-08-26 2008-08-26 User identification type reverse proxy device, data relay method thereof, and program thereof Expired - Fee Related JP5073616B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008217037A JP5073616B2 (en) 2008-08-26 2008-08-26 User identification type reverse proxy device, data relay method thereof, and program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008217037A JP5073616B2 (en) 2008-08-26 2008-08-26 User identification type reverse proxy device, data relay method thereof, and program thereof

Publications (2)

Publication Number Publication Date
JP2010056665A JP2010056665A (en) 2010-03-11
JP5073616B2 true JP5073616B2 (en) 2012-11-14

Family

ID=42072166

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008217037A Expired - Fee Related JP5073616B2 (en) 2008-08-26 2008-08-26 User identification type reverse proxy device, data relay method thereof, and program thereof

Country Status (1)

Country Link
JP (1) JP5073616B2 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09198295A (en) * 1996-01-16 1997-07-31 Nec Corp Hypermedia system
JPH11177629A (en) * 1997-12-11 1999-07-02 Nippon Telegr & Teleph Corp <Ntt> Security gateway server, www server url concealing method using the server and recording medium recording www server url concealing program
JPH11296456A (en) * 1998-04-08 1999-10-29 Oki Electric Ind Co Ltd Proxy server for server integration
JP2002189973A (en) * 2000-12-20 2002-07-05 Nec Corp Method and system for deputizing authentication/ charging, and storage medium where authentication/ charging deputizing program is stored
JP3709558B2 (en) * 2001-10-26 2005-10-26 インターナショナル・ビジネス・マシーンズ・コーポレーション Web server publishing method, system and program

Also Published As

Publication number Publication date
JP2010056665A (en) 2010-03-11

Similar Documents

Publication Publication Date Title
US10469442B2 (en) Adaptive resolution of domain name requests in virtual private cloud network environments
EP3021534B1 (en) A network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device
US10469444B2 (en) System and method for direct connections between previously unconnected network devices across one or more unknown networks
EP2840743B1 (en) Method and system for realizing virtual network
US7840699B2 (en) Name resolution server and packet transfer device
CN102413032B (en) Providing virtual networks using multi-tenant relays
JP5333263B2 (en) Access control system and access control method
US8910270B2 (en) Remote access to private network resources from outside the network
US10833992B1 (en) Associating route tables with ingress traffic to logically isolated networks
JP5679343B2 (en) Cloud system, gateway device, communication control method, and communication control program
WO2016050109A1 (en) Communication method, cloud management server and virtual switch
US20130163601A1 (en) User centric virtual network and method of establishing the same
JP5137201B2 (en) User authentication type reverse proxy device, data relay method thereof, and program thereof
JP5083983B2 (en) Server explicit selection type reverse proxy device, data relay method thereof, and program thereof
JP5073616B2 (en) User identification type reverse proxy device, data relay method thereof, and program thereof
US8219622B2 (en) Systems and methods for providing extended peering
Jeong et al. Lisp controller: a centralized lisp management system for isp networks
JP5137200B2 (en) Hypertext transfer protocol network and data transfer method
JP4013967B2 (en) Name resolution server and packet transfer device
JP2006157313A (en) Path creation system, path creation apparatus and path creation program
KR20180007898A (en) Method for separating groups within tenent in virtual private cloud network
US9185155B2 (en) Internet presence for a home network
JP2013126219A (en) Transfer server and transfer program
JP4269343B2 (en) Name resolution server and packet transfer device
US20230336793A1 (en) Streaming proxy service

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110603

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110603

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120529

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120821

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120822

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150831

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150831

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150831

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150831

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees