JP5960690B2 - ネットワークアクセスシステム - Google Patents

ネットワークアクセスシステム Download PDF

Info

Publication number
JP5960690B2
JP5960690B2 JP2013511023A JP2013511023A JP5960690B2 JP 5960690 B2 JP5960690 B2 JP 5960690B2 JP 2013511023 A JP2013511023 A JP 2013511023A JP 2013511023 A JP2013511023 A JP 2013511023A JP 5960690 B2 JP5960690 B2 JP 5960690B2
Authority
JP
Japan
Prior art keywords
server
access
identification information
client terminal
request message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013511023A
Other languages
English (en)
Other versions
JPWO2012144527A1 (ja
Inventor
貴宏 渡邉
貴宏 渡邉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murakumo Corp
Original Assignee
Murakumo Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murakumo Corp filed Critical Murakumo Corp
Publication of JPWO2012144527A1 publication Critical patent/JPWO2012144527A1/ja
Application granted granted Critical
Publication of JP5960690B2 publication Critical patent/JP5960690B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1027Persistence of sessions during load balancing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams

Description

本発明は、ネットワークに接続されてロードバランサによってアクセスを振り分けられる2以上のリアルサーバの管理方法に関する。
クライアント端末のブラウザアプリケーションからネットワークを介してデータセンタを構成するリアルサーバにアクセスする際に、DNS(ドメインネームサーバ)を用いたラウンドロビンによる複数リアルサーバへの振り分け技術が知られている(特許文献1:特開2003−115862)。
このDNSラウンドロビンでは、クライアント端末からのホスト名の問い合わせに対して、DNサーバ(DNS)にあらかじめ複数のIPアドレスを登録しておき、リアルサーバの負荷を分散する技術であるが、単純に複数のIPアドレス間を順次トグル指定するだけなので、必ずしもリアルサーバの均等分散が保証されるわけではなく、さらに近年の数十、数百のリアルサーバで構成されているリアルサーバ群のIPアドレスをDNSに全て登録することはIPアドレスのリソース消費が激しく現実的ではないという問題があった。
そこで、リアルサーバ間の負荷をできるだけ均等分散させるために、ロードバランサを用いた負荷分散技術が知られている。
かかる技術では、DNSから通知されたIPアドレスに対してHTTPリクエストが到達したときに、ロードバランサが当該アクセスの振り分けを行うが、いずれのロードバランサがどのリアルサーバに振り分け処理を行ったとしても、同じ結果が得られる保証がなければならない。そのためには全てのリアルサーバ間で同期をとっておくことが望ましいが、同期処理のための負荷が大きいため現実的ではなかった。また、複数のリアルサーバの中からあらかじめ関係付けられた特定のリアルサーバ同士を同期しておくことも考えられるが、同期が確保されていないリアルサーバにアクセスしてしまったときには、同期が完了しているリアルサーバからデータのコピーを行ってからアクセスを許可しなければならない等、リアルサーバへのアクセス処理に遅延が生じる可能性があった。
これを解決するための方策として、セッション毎にロードバランサとリアルサーバとの組み合わせ(ペア)を各ロードバランサ内に記憶しておき、次回のセッションにおいても同じリアルサーバへのアクセスが確保されるような仕組みを実現することも考えられる。
しかしこのような方法であっても、指定されたロードバランサに障害が発生している場合に、前記組み合わせ情報そのものが取得できずに、所定のリアルサーバにアクセスできない場合もあることが懸念される。
特開2003−115862号公報
本発明は、上記のような点に鑑みてなされたものであり、その第1の課題は、アクセスの際に経由するロードバランサがどれであっても、目的のリアルサーバへのアクセスが可能な技術を実現することにある。
そして、第2の課題は、前記リアルサーバへのアクセスがリアルサーバ情報のセキュリティを確保しつつ実現することにある。
本発明は、前記課題を解決するために以下の手段を採用した。
本発明の請求項1は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムであって、前記クライアント端末からのアクセス要求メッセージに基づいて複数のリアルサーバのいずれかのアクセス識別情報を前記クライアント端末に通知するDNサーバと、前記DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサとを有しており、前記ロードバランサは、前記クライアント端末からの前記アクセス識別情報を含む第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定する処理と、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加する処理と、前記で決定されたリアルサーバに前記アクセス要求メッセージを送信することで、前記クライアント端末と前記で決定されたリアルサーバへの接続を実現する処理とを実行し、前記で特定されたリアルサーバから前記サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、を実行するネットワークアクセスシステムである。
本発明の請求項2は、前記アクセス識別情報はHTTPリクエストであり、前記クライアント端末からの第2回目のアクセス要求メッセージに付加されるアクセス識別情報中のリアルサーバ特定情報は、前記第1回目のリアルサーバからの応答メッセージによって前記クライアント端末内に蓄積されたクッキー情報から取得されることを特徴とする請求項1記載のネットワークアクセスシステムである。
本発明の請求項3は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持し、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するとともに、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、を実行する請求項1記載のネットワークアクセスシステムである。
本発明の請求項4は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムのアクセス方法であって、DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサを有しており、前記ロードバランサが、前記クライアント端末からの前記アクセス識別情報を含む第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加するステップと、前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記サーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中のサーバ特定情報を自身の記憶装置に蓄積するステップと、前記クライアント端末が前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを送信するステップと、前記ロードバランサが、前記ネットワークを介して前記第2回目のアクセス要求メッセージを受信するステップと、 前記ロードバランサが、前記第2回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行するネットワークシステムのアクセス方法である。
本発明の請求項5は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行する請求項4記載のネットワークシステムのアクセス方法である。
本発明の請求項6は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うコンピュータ実行可能なネットワークシステムのアクセスプログラムであって、DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサを有しており、前記ロードバランサが、前記クライアント端末からの第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加するステップと、前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記サーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中のサーバ特定情報を自身の記憶装置に蓄積するステップと、前記クライアント端末が前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを送信するステップと、前記ロードバランサが、前記ネットワークを介して前記第2回目のアクセス要求メッセージを受信するステップと、前記ロードバランサが、前記第2回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行するコンピュータ実行可能なネットワークシステムのアクセスプログラムである。
本発明の請求項7は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行する請求項6記載のコンピュータ実行可能なネットワークシステムのアクセスプログラムである。
本発明によれば、アクセスの際に経由するロードバランサ如何によらずに目的のリアルサーバへのアクセスが可能な技術を実現できる。また、前記リアルサーバへのアクセスに際してリアルサーバ情報のセキュリティを確保できる。
本発明のネットワークシステムの全体構成を示すブロック図である 実施形態のロードバランサ(LB)の内部構成を示すハードウエアブロック図である 実施形態のロードバランサ(LB)の機能説明図である
図1は、本実施形態のネットワークシステムの全体構成を示すブロック図である。
同図において、クライアント端末(CL)は汎用的なパーソナルコンピュータであり、ネットワークアクセス(TCP/IPによる所謂インターネットアクセス)が可能であればいかなるものであってもよい。また、iPhone(アップル社の商標)、Android(グーグル社の商標)等のスマートフォン、PDAさらにはiモード(NTTドコモ社の商標)であってもよい。
DNサーバ(DNS)は所謂ドメインネームサーバであり、クライアント端末からのホスト名の問い合わせ(101)に対して、対応したIPアドレスを返答する(102)機能を有している。
またデータセンタを構成するリアルサーバはたとえば通販サイトであり、複数のリアルサーバ(RS1〜5)で構成されている。
ロードバランサ(LB)は、図2に示すようにネットワーク(NW)とローカルネットワーク(LNW)との間に介装されており、中央処理装置(CPU)とメインメモリ(MM)を中心に、バス(BUS)で接続された大規模記憶装置(HD)を有している。この大規模記憶装置(HD)には、オペレーティングシステム(OS)とともに、負荷分散プログラム(APL)や鍵情報(KEY)、ユーザデータ(DATA)等が登録されるようになっている。すなわち、中央処理装置(CPU)がバス(BUS)およびメインメモリ(MM)を介して前記負荷分散プログラム(APL)を読み込んでアクセスするリアルサーバ(RS1〜5)への振り分けを行うことにより、本実施形態の機能が実現されるようになっている。
ここで、ロードバランサ(LB)は図2に示すようなハードウエアで実現されている場合の他、いずれかのリアルサーバ(RS1〜5)内において仮想装置として、記憶装置上に設けられたものであってもよい。しかし、以下の説明では説明の便宜上ハードウエアで構成されている場合で説明する。
クライアント端末(CL)からホスト名の問い合わせ(101)があったときに、DNサーバ(DNS)は、当該ホスト名に対応したIPアドレスを前記クライアント端末(CL)に対して返信する(102)。
このとき、DNサーバ(DNS)は、指定されたホスト名(たとえば「abc.com」に対して、3つのロードバランサ(LB1〜3)のIPアドレス「xxx1」(便宜上簡略な表記とした)、「xxx2」、「xxx3」が登録されており、DNSラウンドロビンによりセッション毎に順番に振り分けられてクライアント端末(CL)に通知される。
次にクライアント端末(CL)は、前記DNサーバ(DNS)から通知されたロードバランサ(LB1)のIPアドレス(ここでは「xxx1」)にアクセス要求メッセージ(HTTPリクエスト)を生成・送信する(103)。
ここで、図示は省略するが、ロードバランサ(LB1)は、前記クライアント端末(CL)からの第1回目のアクセス要求メッセージ(HTTPリクエスト)を受け付けると、接続すべきリアルサーバ(たとえばRS1)を決定し、このリアルサーバを特定するサーバ特定情報(たとえば、ID=001)を生成してこれをHTTPリクエストのリクエストヘッダに追記する。
そして、前記で決定されたリアルサーバ(RS1)に対して当該HTTPリクエストを送信する。
かかるネットワークシステム構成において、ユーザはクライアント端末(CL)からネットワーク(NW)を介して個々のリアルサーバ(RS1〜RS5)を意識することなく、単にリアルサーバ群を総称するURLを指定するHTTPリクエストを送信するだけで当該通販サイトへのアクセスが可能となっている。
ここで、ネットワーク(NW)を介したHTTPリクエストを受信して各個別のリアルサーバ(RS1〜RS5)に振り分けるために負荷分散装置としてのロードバランサ(LB1〜LB3)が介装されている。そして、ロードバランサ(LB)で振り分けられたリアルサーバ(RS1)に対して、HTTPリクエストが、ローカルネットワーク(LNW)を介して送信されるようになっている。
次に、前記HTTPリクエストを受信したリアルサーバ(RS1)が所定の処理(たとえば通販サイトにおける買い物かごへの商品の追加処理等)を行った後に、前記サーバ特定情報(ID=001)を含む応答メッセージ(HTTPレスポンス)を前記ネットワーク(NW)を介して送信元のクライアント端末(CL)に返信する(104)。
クライアント端末(CL)では、受信した応答メッセージの中からサーバ特定情報(ID=001)を読み出して、これをクッキー(Cookie)情報として自身の記憶装置に記憶させる。
次に、このクライアント端末(CL)が、再度この通販サイトに対してHTTPリクエストを送信するときに、前記クッキー情報からサーバ特定情報(ID=001)を読み出して、この情報をHTTPリクエストのリクエストヘッダに付加して送信する(105)。
この2回目のHTTPリクエスト(105)を受信したロードバランサ(たとえばLB3)は、当対リクエストの中からサーバ特定情報(ID=001)を読み出して、このサーバ特定情報にしたがって、特定されたリアルサーバ(RS1)にHTTPリクエストを送信する。
このように本実施例によれば、第1回目のHTTPリクエスト(103)を受け付けたロードバランサ(LB1)がサーバ特定情報(ID=001)を生成し、このHTTPリクエストに追記する。そして、これを受信したリアルサーバ(RS1)もHTTPレスポンスにこのサーバ特定情報を含めてクライアント端末に対して返信する(104)。そして、クライアント端末(CL)が次のHTTPリクエスト(105)を生成する際にクッキー情報としてこのサーバ特定情報(ID=001)を含めることで、第1回目と異なるロードバランサ(LB2)がHTTPリクエストを処理する際にも、第1回目のアクセスと同じリアルサーバへのアクセスを実現することができる。
ところで、上記のようにサーバ特定情報(ID=001)を平文でHTTPリクエストに追記した場合、リアルサーバが第三者に特定される可能性がある。そこで、セキュリティを強化するために、本実施形態では図3に示す機能を付加している。
ロードバランサ(LB)は、前記クライアント端末からの第1回目のアクセス要求メッセージ(HTTPリクエスト「http://xxx1」)(103)で接続すべきリアルサーバ(たとえばRS1)を決定すると、このリアルサーバを特定するサーバ特定情報(たとえば、ID=001)を生成する点は前記と同様である。
次に、ロードバランサ(LB1)の中央処理装置(CPU)は、鍵情報(KEY)を読み出してこの鍵情報(KEY)でサーバ特定情報を暗号化する(ID=YYY)。このとき用いられる鍵情報(KEY)は、秘密鍵暗号による鍵情報であり、ロードバランサ(LB1〜3)のセットアップ時に設定し、全ロードバランサ間(LB1〜LB3)で共有しておくようにする。
ロードバランサ(LB1)で生成された暗号化サーバ特定情報(ID=YYY)は前記HTTPリクエストのリクエストヘッダに付加される。すなわち、「http://xxx1」のリクエストラインに続くメッセージヘッダに「X‐Sticky‐ID=YYY」が追加されてリアルサーバ(RS1)に送信される。
次に、前記HTTPリクエストを受信したリアルサーバ(RS1)が所定の処理(たとえば通販サイトにおける買い物かごへの商品の追加処理等)を行った後に、前記暗号化サーバ特定情報(ID=YYY)をリクエストヘッダに書き込んだ応答メッセージ(HTTPレスポンス)を前記ネットワーク(NW)を介して送信元のクライアント端末(CL)に返信する(104)。
クライアント端末(CL)では、受信した応答メッセージ(HTTPレスポンス)の中から前記暗号化サーバ特定情報(ID=YYY)を読み出して、これをクッキー(Cookie)情報として自身の記憶装置に記憶させる。
次に、このクライアント端末(CL)が、再度この通販サイトに対してHTTPリクエストを送信するときには、前記クッキー情報から暗号化サーバ特定情報(ID=YYY)を読み出して、この情報をHTTPリクエスト(105)「http:xxx1」のリクエストヘッダに「X‐Sticky‐ID=YYY」を付加する。
このとき、クライアント端末(CL)は再度ホスト名をDNサーバ(DNS)に問い合わせてもよい。このような場合、DNSラウンドロビン機能により別のロードバランサ(LB2)のIPアドレス(http:xxx3)を返信してくる可能性もある。
この場合であっても、クライアント端末は自身が保有するクッキー情報から前記暗号化サーバ特定情報を読み出して、その情報をHTTPリクエスト(105)「http:xxx3」のリクエストラインに続くメッセージヘッダに「X‐Sticky‐ID=YYY」を付加する。
この2回目のHTTPリクエスト(105)を受信したロードバランサ(ここではLB3)は当該HTTPリクエストの中から暗号化サーバ特定情報(ID=YYY)を読み出して、前記ロードバランサ(LB1)と共有している鍵情報(KEY)に基づいてこれを復号化する。この結果で得られたサーバ特定情報(ID=001)に基づいて、これで特定されたリアルサーバ(RS1)に対して前記HTTPリクエストを送信する。このとき、暗号化サーバ特定情報(ID=YYY)はそのままHTTPリクエストのリクエストヘッダに含めておくことが望ましい。これにより第3回目以後のHTTPリクエストも特定されたリアルサーバ(RS1)に到達させることができるようになる。
このように本実施例によれば、第1回目のHTTPリクエスト(103)を受け付けたロードバランサ(LB1)がサーバ特定情報(ID=001)を生成し、これを暗号化して前記HTTPリクエストに追記しておく。そして、リアルサーバ(RS1)は応答メッセージ(HTTPレスポンス)にこの暗号化サーバ特定情報(ID=YYY)を含めるようにしてクライアント端末(CL)に返信しておく(104)。さらに、クライアント端末(CL)が次のHTTPリクエスト(105)を生成する際にはクッキー情報としてこの暗号化サーバ特定情報(ID=YYY)をそのリクエストヘッダに含めることで、第1回目のアクセス時のロードバランサ(LB1)とは異なるロードバランサ(LB3)が前記HTTPリクエスト(105)を処理する際にも、そのロードバランサ(LB3)は、ロードバランサ間で共有している鍵情報を用いて複合化することでアクセスすべきリアルサーバ(RS1)を特定することができるようになっている。
しかも、暗号化サーバ特定情報(ID=YYY)は、ネットワーク(NW)においてもローカルネットワーク(LNW)においても暗号化されたままの状態でHTTPリクエストおよび応答メッセージ(レスポンス)に含まれているため、第三者にアクセスすべきリアルサーバ(RS1)の情報が漏洩することなく、セキュリティの高いリアルサーバアクセスが可能となる。
以上、本発明を実施形態に基づいて説明したが、本発明は上記に限定されるものではない。たとえばクライアント端末(CL)において、暗号化サーバ特定情報(ID=YYY)をクッキー(Cookie)情報として自身の記憶装置に登録させるようにしたが、必ずしもクッキーである必要はない。要するにリアルサーバ(RS1)からの暗号化サーバ特定情報を含む応答メッセージ(レスポンス)をクライアント端末(CL)が保持しておければよい。
また、クライアント端末からリアルサーバへのアクセスリクエストはHTTPリクエストを例として説明したが、これに限られず他の通信プロトコルでもよい。要するにクライアント端末が情報を保持することができて、この情報を付加したアクセス要求に基づいてロードバランサが当該情報を読み出して解釈できるものであれば如何なるものであっても
よい。
本発明は、通販サイト等の複数のリアルサーバで構成されるデータセンタにおけるネットワークアクセスに利用できる。
CL クライアント端末
NW ネットワーク
LB1〜LB3 ロードバランサ
LNW ローカルネットワーク
RS1〜RS5 リアルサーバ
CPU 中央処理装置
MM メインメモリ
BUS バス
HD 大規模記憶装置
OS オペレーティングシステム
APL 負荷分散アプリケーションプログラム
KEY 鍵情報
DNS ドメインネームサーバ

Claims (7)

  1. クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムであって、
    前記クライアント端末からのアクセス要求メッセージに基づいてロードバランサのアクセス識別情報を前記クライアント端末に通知するDNサーバと、
    前記DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分ける前記ロードバランサとを有しており、
    前記ロードバランサは、前記クライアント端末からの前記アクセス識別情報を含む第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定する処理と、
    前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、前記で決定されたリアルサーバのサーバ特定情報を生成し、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持する処理と、
    前記暗号化されたサーバ特定情報を前記アクセス識別情報の中に追加する処理と、
    前記で決定されたリアルサーバに前記アクセス要求メッセージを送信することで、前記クライアント端末と前記で決定されたリアルサーバへの接続を実現する処理と、
    前記で特定されたリアルサーバから前記暗号化されたサーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化されたサーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信する処理と、
    前記アクセス識別情報の中から前記暗号化されたサーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて前記暗号化されたサーバ特定情報を復号する処理と、
    復号されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、
    を実行するネットワークアクセスシステム。
  2. 前記アクセス識別情報はHTTPリクエストであり、前記クライアント端末からの第2回目のアクセス要求メッセージに付加されるアクセス識別情報中のサーバ特定情報は、前記第1回目のリアルサーバからの応答メッセージによって前記クライアント端末内に蓄積されたクッキー情報から取得されることを特徴とする請求項1記載のネットワークアクセスシステム。
  3. 前記DNサーバは、前記複合鍵を共有する複数のロードバランサのいずれかのアクセス識別情報を前記クライアント端末に通知し、
    前記複数のロードバランサの夫々は、前記共有された複合鍵を用いて、前記暗号化されたサーバ特定情報を復号する、
    請求項1または2記載のネットワークアクセスシステム。
  4. クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムのアクセス方法であって、
    DNサーバで指定されたロードバランサのアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサ
    記クライアント端末からの前記アクセス識別情報を含む第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、
    前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、前記で決定されたリアルサーバのサーバ特定情報を生成し、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、
    前記暗号化されたサーバ特定情報を前記アクセス識別情報の中に追加するステップと、
    前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、
    前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記暗号化されたサーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、
    前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中の暗号化されたサーバ特定情報を自身の記憶装置に蓄積するステップと、
    前記クライアント端末が前記暗号化されたサーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを送信するステップと、
    前記ロードバランサが、前記ネットワークを介して前記第2回目のアクセス要求メッセージを受信するステップと、
    前記ロードバランサが、前記第2回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記暗号化されたサーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて前記暗号化されたサーバ特定情報を復号するステップと、
    復号されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと
    を順次実行するネットワークシステムのアクセス方法。
  5. 前記DNサーバは、前記複合鍵を共有する複数のロードバランサのいずれかのアクセス識別情報を前記クライアント端末に通知し、
    前記複数のロードバランサの夫々は、前記共有された複合鍵を用いて、前記暗号化されたサーバ特定情報を復号する、
    求項4記載のネットワークシステムのアクセス方法。
  6. クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うコンピュータ実行可能なネットワークシステムのアクセスプログラムであって、
    DNリアルサーバで指定されたロードバランサのアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサ
    記クライアント端末からの第1回目のアクセス要求メッセージで接続すべきリアルサ
    ーバを決定するステップと、
    前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、前記で決定されたリアルサーバのサーバ特定情報を生成し、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、
    前記暗号化されたサーバ特定情報を前記アクセス識別情報の中に追加するステップと、
    前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、
    前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記暗号化されたサーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、
    前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中の暗号化されたサーバ特定情報を自身の記憶装置に蓄積するステップと、
    前記クライアント端末が前記暗号化されたサーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを送信するステップと、
    前記ロードバランサが、前記ネットワークを介して前記第2回目のアクセス要求メッセージを受信するステップと、
    前記ロードバランサが、前記第2回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記暗号化されたサーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて前記暗号化されたサーバ特定情報を復号するステップと、
    復号されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと
    を順次実行させる、コンピュータ実行可能なネットワークシステムのアクセスプログラム。
  7. 前記DNサーバは、前記複合鍵を共有する複数のロードバランサのいずれかのアクセス識別情報を前記クライアント端末に通知し、
    前記複数のロードバランサの夫々に、前記共有された複合鍵を用いて、前記暗号化されたサーバ特定情報を復号させる、
    求項6記載のコンピュータ実行可能なネットワークシステムのアクセスプログラム。
JP2013511023A 2011-04-19 2012-04-18 ネットワークアクセスシステム Active JP5960690B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011093425 2011-04-19
JP2011093425 2011-04-19
PCT/JP2012/060485 WO2012144527A1 (ja) 2011-04-19 2012-04-18 ネットワークアクセスシステム

Publications (2)

Publication Number Publication Date
JPWO2012144527A1 JPWO2012144527A1 (ja) 2014-07-28
JP5960690B2 true JP5960690B2 (ja) 2016-08-02

Family

ID=47041633

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013511023A Active JP5960690B2 (ja) 2011-04-19 2012-04-18 ネットワークアクセスシステム

Country Status (4)

Country Link
US (1) US20140047014A1 (ja)
EP (1) EP2701068B1 (ja)
JP (1) JP5960690B2 (ja)
WO (1) WO2012144527A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9667711B2 (en) * 2014-03-26 2017-05-30 International Business Machines Corporation Load balancing of distributed services
CN108595247B (zh) * 2018-03-29 2021-10-29 创新先进技术有限公司 一种检测方法、装置及设备
US11108850B2 (en) * 2019-08-05 2021-08-31 Red Hat, Inc. Triangulating stateful client requests for web applications

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003115862A (ja) * 2001-10-09 2003-04-18 Nec Commun Syst Ltd Dnsサーバ
JP2003152783A (ja) * 2001-11-19 2003-05-23 Fujitsu Ltd サーバ負荷分散装置
US20050010754A1 (en) * 1999-09-01 2005-01-13 Resonate Inc. Atomic session-start operation combining clear-text and encrypted sessions to provide ID visibility to middleware such as load-balancers
JP2005027304A (ja) * 2003-06-30 2005-01-27 Microsoft Corp 接続操作を用いるネットワーク負荷分散
JP2007164527A (ja) * 2005-12-14 2007-06-28 Canon Inc 情報処理システム、サーバ装置、情報処理装置及びそれらの制御方法
JP2007219608A (ja) * 2006-02-14 2007-08-30 Fujitsu Ltd 負荷分散処理プログラム及び負荷分散装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5774660A (en) * 1996-08-05 1998-06-30 Resonate, Inc. World-wide-web server with delayed resource-binding for resource-based load balancing on a distributed resource multi-node network
US7062567B2 (en) * 2000-11-06 2006-06-13 Endeavors Technology, Inc. Intelligent network streaming and execution system for conventionally coded applications
JP2003131961A (ja) * 2001-07-09 2003-05-09 Hitachi Ltd ネットワークシステム及び負荷分散方法
US7100049B2 (en) * 2002-05-10 2006-08-29 Rsa Security Inc. Method and apparatus for authentication of users and web sites
GB2389431A (en) * 2002-06-07 2003-12-10 Hewlett Packard Co An arrangement for delivering resources over a network in which a demand director server is aware of the content of resource servers
JP4708383B2 (ja) * 2003-11-10 2011-06-22 株式会社イース 集計システム
JP4241660B2 (ja) * 2005-04-25 2009-03-18 株式会社日立製作所 負荷分散装置
US7779091B2 (en) * 2005-12-19 2010-08-17 Vmware, Inc. Method and system for providing virtualized application workspaces
US20150088982A1 (en) * 2006-09-25 2015-03-26 Weaved, Inc. Load balanced inter-device messaging
EP2495927B1 (en) * 2011-03-02 2014-10-08 Alcatel Lucent Concept for providing information on a data packet association and for forwarding a data packet

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050010754A1 (en) * 1999-09-01 2005-01-13 Resonate Inc. Atomic session-start operation combining clear-text and encrypted sessions to provide ID visibility to middleware such as load-balancers
JP2003115862A (ja) * 2001-10-09 2003-04-18 Nec Commun Syst Ltd Dnsサーバ
JP2003152783A (ja) * 2001-11-19 2003-05-23 Fujitsu Ltd サーバ負荷分散装置
JP2005027304A (ja) * 2003-06-30 2005-01-27 Microsoft Corp 接続操作を用いるネットワーク負荷分散
JP2007164527A (ja) * 2005-12-14 2007-06-28 Canon Inc 情報処理システム、サーバ装置、情報処理装置及びそれらの制御方法
JP2007219608A (ja) * 2006-02-14 2007-08-30 Fujitsu Ltd 負荷分散処理プログラム及び負荷分散装置

Also Published As

Publication number Publication date
US20140047014A1 (en) 2014-02-13
EP2701068A4 (en) 2015-07-22
EP2701068B1 (en) 2017-02-01
WO2012144527A1 (ja) 2012-10-26
EP2701068A1 (en) 2014-02-26
JPWO2012144527A1 (ja) 2014-07-28

Similar Documents

Publication Publication Date Title
AU2019204707B2 (en) Program execution and data proof scheme using multiple key pair signatures
CN102055730B (zh) 云处理系统、云处理方法和云计算代理装置
US9922207B2 (en) Storing user data in a service provider cloud without exposing user-specific secrets to the service provider
CN111740966B (zh) 一种基于区块链网络的数据处理方法及相关设备
US20210056541A1 (en) Method and system for mobile cryptocurrency wallet connectivity
US20120254622A1 (en) Secure Access to Electronic Devices
CN104052742A (zh) 一种可动态加密的物联网通讯协议
WO2021114934A1 (zh) 可信计算集群的集群密钥获取方法及装置
CN107172001B (zh) 网站代理服务器的控制方法及装置、密钥代理服务器
US20180351737A1 (en) Communication apparatus, communication system, key sharing method, and computer program product
CN108011888A (zh) 一种实现证书重构的方法、装置及存储介质、程序产品
US9876768B2 (en) System, apparatus and method for secure coordination of a rendezvous point for distributed devices using entropy multiplexing
JP2020088421A (ja) 通信装置、通信方法、および通信プログラム
CN104967590A (zh) 一种传输通信消息的方法、装置和系统
CN111756777B (zh) 数据传输方法、数据处理设备、装置及计算机存储介质
JP2018041224A (ja) ソフトウェア更新システム
JP5960690B2 (ja) ネットワークアクセスシステム
US11621856B2 (en) Generating a domain name system container image to create an instance of a domain name system container
CN106790697A (zh) 安全存储实现方法及装置
US20230130457A1 (en) Key management providing high availability without key replication
JP2010272951A (ja) 共有鍵配信管理方法及び共有鍵配信管理サーバー
Kumaresan et al. Educloud: A dynamic three stage authentication framework to enhance security in public cloud
JP7188592B2 (ja) 番号管理システム、番号管理方法、番号管理装置および番号管理プログラム
CN108881257B (zh) 分布式搜索集群加密传输方法及加密传输分布式搜索集群
KR101657893B1 (ko) 클라우드 서비스를 위한 암호화 방법 및 사용자 장치에 기반한 암호화 방법을 제공하는 클라우드 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160623

R150 Certificate of patent or registration of utility model

Ref document number: 5960690

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250