JPWO2012144527A1 - ネットワークアクセスシステム - Google Patents
ネットワークアクセスシステム Download PDFInfo
- Publication number
- JPWO2012144527A1 JPWO2012144527A1 JP2013511023A JP2013511023A JPWO2012144527A1 JP WO2012144527 A1 JPWO2012144527 A1 JP WO2012144527A1 JP 2013511023 A JP2013511023 A JP 2013511023A JP 2013511023 A JP2013511023 A JP 2013511023A JP WO2012144527 A1 JPWO2012144527 A1 JP WO2012144527A1
- Authority
- JP
- Japan
- Prior art keywords
- server
- identification information
- access
- client terminal
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004044 response Effects 0.000 claims abstract description 36
- 238000000034 method Methods 0.000 claims description 22
- 235000014510 cooky Nutrition 0.000 claims description 11
- 230000006870 function Effects 0.000 description 5
- 241001522296 Erithacus rubecula Species 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1027—Persistence of sessions during load balancing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
ロードバランサに鍵情報を保有させておき、ロードバランサが受信したHTTPリクエストに鍵情報で暗号化した暗号化サーバ特定情報を含めておき、リアルサーバからクライアント端末への応答メッセージおよび再度のHTTPリクエストに暗号化サーバ特定情報を含めさせて、ロードバランサが再度HTTPリクエスト受信したときに前記鍵情報でサーバ特定情報を復号化して特定されたリアルサーバへのアクセスを実現することで、経由するロードバランサが異なってもセキュリティを確保しつつ、特定リアルサーバへのHTTPリクエストを可能にする。
Description
本発明は、ネットワークに接続されてロードバランサによってアクセスを振り分けられる2以上のリアルサーバの管理方法に関する。
クライアント端末のブラウザアプリケーションからネットワークを介してデータセンタを構成するリアルサーバにアクセスする際に、DNS(ドメインネームサーバ)を用いたラウンドロビンによる複数リアルサーバへの振り分け技術が知られている(特許文献1:特開2003−115862)。
このDNSラウンドロビンでは、クライアント端末からのホスト名の問い合わせに対して、DNサーバ(DNS)にあらかじめ複数のIPアドレスを登録しておき、リアルサーバの負荷を分散する技術であるが、単純に複数のIPアドレス間を順次トグル指定するだけなので、必ずしもリアルサーバの均等分散が保証されるわけではなく、さらに近年の数十、数百のリアルサーバで構成されているリアルサーバ群のIPアドレスをDNSに全て登録することはIPアドレスのリソース消費が激しく現実的ではないという問題があった。
そこで、リアルサーバ間の負荷をできるだけ均等分散させるために、ロードバランサを用いた負荷分散技術が知られている。
かかる技術では、DNSから通知されたIPアドレスに対してHTTPリクエストが到達したときに、ロードバランサが当該アクセスの振り分けを行うが、いずれのロードバランサがどのリアルサーバに振り分け処理を行ったとしても、同じ結果が得られる保証がなければならない。そのためには全てのリアルサーバ間で同期をとっておくことが望ましいが、同期処理のための負荷が大きいため現実的ではなかった。また、複数のリアルサーバの中からあらかじめ関係付けられた特定のリアルサーバ同士を同期しておくことも考えられるが、同期が確保されていないリアルサーバにアクセスしてしまったときには、同期が完了しているリアルサーバからデータのコピーを行ってからアクセスを許可しなければならない等、リアルサーバへのアクセス処理に遅延が生じる可能性があった。
これを解決するための方策として、セッション毎にロードバランサとリアルサーバとの組み合わせ(ペア)を各ロードバランサ内に記憶しておき、次回のセッションにおいても同じリアルサーバへのアクセスが確保されるような仕組みを実現することも考えられる。
しかしこのような方法であっても、指定されたロードバランサに障害が発生している場合に、前記組み合わせ情報そのものが取得できずに、所定のリアルサーバにアクセスできない場合もあることが懸念される。
本発明は、上記のような点に鑑みてなされたものであり、その第1の課題は、アクセスの際に経由するロードバランサがどれであっても、目的のリアルサーバへのアクセスが可能な技術を実現することにある。
そして、第2の課題は、前記リアルサーバへのアクセスがリアルサーバ情報のセキュリティを確保しつつ実現することにある。
本発明は、前記課題を解決するために以下の手段を採用した。
本発明の請求項1は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムであって、前記クライアント端末からのアクセス要求メッセージに基づいて複数のリアルサーバのいずれかのアクセス識別情報を前記クライアント端末に通知するDNサーバと、前記DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサとを有しており、前記ロードバランサは、前記クライアント端末からの前記アクセス識別情報を含む第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定する処理と、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加する処理と、前記で決定されたリアルサーバに前記アクセス要求メッセージを送信することで、前記クライアント端末と前記で決定されたリアルサーバへの接続を実現する処理とを実行し、前記で特定されたリアルサーバから前記サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、を実行するネットワークアクセスシステムである。
本発明の請求項2は、前記アクセス識別情報はHTTPリクエストであり、前記クライアント端末からの第2回目のアクセス要求メッセージに付加されるアクセス識別情報中のリアルサーバ特定情報は、前記第1回目のリアルサーバからの応答メッセージによって前記クライアント端末内に蓄積されたクッキー情報から取得されることを特徴とする請求項1記載のネットワークアクセスシステムである。
本発明の請求項3は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持し、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するとともに、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、を実行する請求項1記載のネットワークアクセスシステムである。
本発明の請求項4は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムのアクセス方法であって、DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサを有しており、前記ロードバランサが、前記クライアント端末からの前記アクセス識別情報を含む第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加するステップと、前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記サーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中のサーバ特定情報を自身の記憶装置に蓄積するステップと、前記クライアント端末が前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを送信するステップと、前記ロードバランサが、前記ネットワークを介して前記第2回目のアクセス要求メッセージを受信するステップと、 前記ロードバランサが、前記第2回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行するネットワークシステムのアクセス方法である。
本発明の請求項5は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行する請求項4記載のネットワークシステムのアクセス方法である。
本発明の請求項6は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うコンピュータ実行可能なネットワークシステムのアクセスプログラムであって、DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサを有しており、前記ロードバランサが、前記クライアント端末からの第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加するステップと、前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記サーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中のサーバ特定情報を自身の記憶装置に蓄積するステップと、前記クライアント端末が前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを送信するステップと、前記ロードバランサが、前記ネットワークを介して前記第2回目のアクセス要求メッセージを受信するステップと、前記ロードバランサが、前記第2回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行するコンピュータ実行可能なネットワークシステムのアクセスプログラムである。
本発明の請求項7は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行する請求項6記載のコンピュータ実行可能なネットワークシステムのアクセスプログラムである。
本発明によれば、アクセスの際に経由するロードバランサ如何によらずに目的のリアルサーバへのアクセスが可能な技術を実現できる。また、前記リアルサーバへのアクセスに際してリアルサーバ情報のセキュリティを確保できる。
図1は、本実施形態のネットワークシステムの全体構成を示すブロック図である。
同図において、クライアント端末(CL)は汎用的なパーソナルコンピュータであり、ネットワークアクセス(TCP/IPによる所謂インターネットアクセス)が可能であればいかなるものであってもよい。また、iPhone(アップル社の商標)、Android(グーグル社の商標)等のスマートフォン、PDAさらにはiモード(NTTドコモ社の商標)であってもよい。
DNサーバ(DNS)は所謂ドメインネームサーバであり、クライアント端末からのホスト名の問い合わせ(101)に対して、対応したIPアドレスを返答する(102)機能を有している。
またデータセンタを構成するリアルサーバはたとえば通販サイトであり、複数のリアルサーバ(RS1〜5)で構成されている。
ロードバランサ(LB)は、図2に示すようにネットワーク(NW)とローカルネットワーク(LNW)との間に介装されており、中央処理装置(CPU)とメインメモリ(MM)を中心に、バス(BUS)で接続された大規模記憶装置(HD)を有している。この大規模記憶装置(HD)には、オペレーティングシステム(OS)とともに、負荷分散プログラム(APL)や鍵情報(KEY)、ユーザデータ(DATA)等が登録されるようになっている。すなわち、中央処理装置(CPU)がバス(BUS)およびメインメモリ(MM)を介して前記負荷分散プログラム(APL)を読み込んでアクセスするリアルサーバ(RS1〜5)への振り分けを行うことにより、本実施形態の機能が実現されるようになっている。
ここで、ロードバランサ(LB)は図2に示すようなハードウエアで実現されている場合の他、いずれかのリアルサーバ(RS1〜5)内において仮想装置として、記憶装置上に設けられたものであってもよい。しかし、以下の説明では説明の便宜上ハードウエアで構成されている場合で説明する。
クライアント端末(CL)からホスト名の問い合わせ(101)があったときに、DNサーバ(DNS)は、当該ホスト名に対応したIPアドレスを前記クライアント端末(CL)に対して返信する(102)。
このとき、DNサーバ(DNS)は、指定されたホスト名(たとえば「abc.com」に対して、3つのロードバランサ(LB1〜3)のIPアドレス「xxx1」(便宜上簡略な表記とした)、「xxx2」、「xxx3」が登録されており、DNSラウンドロビンによりセッション毎に順番に振り分けられてクライアント端末(CL)に通知される。
次にクライアント端末(CL)は、前記DNサーバ(DNS)から通知されたロードバランサ(LB1)のIPアドレス(ここでは「xxx1」)にアクセス要求メッセージ(HTTPリクエスト)を生成・送信する(103)。
ここで、図示は省略するが、ロードバランサ(LB1)は、前記クライアント端末(CL)からの第1回目のアクセス要求メッセージ(HTTPリクエスト)を受け付けると、接続すべきリアルサーバ(たとえばRS1)を決定し、このリアルサーバを特定するサーバ特定情報(たとえば、ID=001)を生成してこれをHTTPリクエストのリクエストヘッダに追記する。
そして、前記で決定されたリアルサーバ(RS1)に対して当該HTTPリクエストを送信する。
かかるネットワークシステム構成において、ユーザはクライアント端末(CL)からネットワーク(NW)を介して個々のリアルサーバ(RS1〜RS5)を意識することなく、単にリアルサーバ群を総称するURLを指定するHTTPリクエストを送信するだけで当該通販サイトへのアクセスが可能となっている。
ここで、ネットワーク(NW)を介したHTTPリクエストを受信して各個別のリアルサーバ(RS1〜RS5)に振り分けるために負荷分散装置としてのロードバランサ(LB1〜LB3)が介装されている。そして、ロードバランサ(LB)で振り分けられたリアルサーバ(RS1)に対して、HTTPリクエストが、ローカルネットワーク(LNW)を介して送信されるようになっている。
次に、前記HTTPリクエストを受信したリアルサーバ(RS1)が所定の処理(たとえば通販サイトにおける買い物かごへの商品の追加処理等)を行った後に、前記サーバ特定情報(ID=001)を含む応答メッセージ(HTTPレスポンス)を前記ネットワーク(NW)を介して送信元のクライアント端末(CL)に返信する(104)。
クライアント端末(CL)では、受信した応答メッセージの中からサーバ特定情報(ID=001)を読み出して、これをクッキー(Cookie)情報として自身の記憶装置に記憶させる。
次に、このクライアント端末(CL)が、再度この通販サイトに対してHTTPリクエストを送信するときに、前記クッキー情報からサーバ特定情報(ID=001)を読み出して、この情報をHTTPリクエストのリクエストヘッダに付加して送信する(105)。
この2回目のHTTPリクエスト(105)を受信したロードバランサ(たとえばLB3)は、当対リクエストの中からサーバ特定情報(ID=001)を読み出して、このサーバ特定情報にしたがって、特定されたリアルサーバ(RS1)にHTTPリクエストを送信する。
このように本実施例によれば、第1回目のHTTPリクエスト(103)を受け付けたロードバランサ(LB1)がサーバ特定情報(ID=001)を生成し、このHTTPリクエストに追記する。そして、これを受信したリアルサーバ(RS1)もHTTPレスポンスにこのサーバ特定情報を含めてクライアント端末に対して返信する(104)。そして、クライアント端末(CL)が次のHTTPリクエスト(105)を生成する際にクッキー情報としてこのサーバ特定情報(ID=001)を含めることで、第1回目と異なるロードバランサ(LB2)がHTTPリクエストを処理する際にも、第1回目のアクセスと同じリアルサーバへのアクセスを実現することができる。
ところで、上記のようにサーバ特定情報(ID=001)を平文でHTTPリクエストに追記した場合、リアルサーバが第三者に特定される可能性がある。そこで、セキュリティを強化するために、本実施形態では図3に示す機能を付加している。
ロードバランサ(LB)は、前記クライアント端末からの第1回目のアクセス要求メッセージ(HTTPリクエスト「http://xxx1」)(103)で接続すべきリアルサーバ(たとえばRS1)を決定すると、このリアルサーバを特定するサーバ特定情報(たとえば、ID=001)を生成する点は前記と同様である。
次に、ロードバランサ(LB1)の中央処理装置(CPU)は、鍵情報(KEY)を読み出してこの鍵情報(KEY)でサーバ特定情報を暗号化する(ID=YYY)。このとき用いられる鍵情報(KEY)は、秘密鍵暗号による鍵情報であり、ロードバランサ(LB1〜3)のセットアップ時に設定し、全ロードバランサ間(LB1〜LB3)で共有しておくようにする。
ロードバランサ(LB1)で生成された暗号化サーバ特定情報(ID=YYY)は前記HTTPリクエストのリクエストヘッダに付加される。すなわち、「http://xxx1」のリクエストラインに続くメッセージヘッダに「X‐Sticky‐ID=YYY」が追加されてリアルサーバ(RS1)に送信される。
次に、前記HTTPリクエストを受信したリアルサーバ(RS1)が所定の処理(たとえば通販サイトにおける買い物かごへの商品の追加処理等)を行った後に、前記暗号化サーバ特定情報(ID=YYY)をリクエストヘッダに書き込んだ応答メッセージ(HTTPレスポンス)を前記ネットワーク(NW)を介して送信元のクライアント端末(CL)に返信する(104)。
クライアント端末(CL)では、受信した応答メッセージ(HTTPレスポンス)の中から前記暗号化サーバ特定情報(ID=YYY)を読み出して、これをクッキー(Cookie)情報として自身の記憶装置に記憶させる。
次に、このクライアント端末(CL)が、再度この通販サイトに対してHTTPリクエストを送信するときには、前記クッキー情報から暗号化サーバ特定情報(ID=YYY)を読み出して、この情報をHTTPリクエスト(105)「http:xxx1」のリクエストヘッダに「X‐Sticky‐ID=YYY」を付加する。
このとき、クライアント端末(CL)は再度ホスト名をDNサーバ(DNS)に問い合わせてもよい。このような場合、DNSラウンドロビン機能により別のロードバランサ(LB2)のIPアドレス(http:xxx3)を返信してくる可能性もある。
この場合であっても、クライアント端末は自身が保有するクッキー情報から前記暗号化サーバ特定情報を読み出して、その情報をHTTPリクエスト(105)「http:xxx3」のリクエストラインに続くメッセージヘッダに「X‐Sticky‐ID=YYY」を付加する。
この2回目のHTTPリクエスト(105)を受信したロードバランサ(ここではLB3)は当該HTTPリクエストの中から暗号化サーバ特定情報(ID=YYY)を読み出して、前記ロードバランサ(LB1)と共有している鍵情報(KEY)に基づいてこれを復号化する。この結果で得られたサーバ特定情報(ID=001)に基づいて、これで特定されたリアルサーバ(RS1)に対して前記HTTPリクエストを送信する。このとき、暗号化サーバ特定情報(ID=YYY)はそのままHTTPリクエストのリクエストヘッダに含めておくことが望ましい。これにより第3回目以後のHTTPリクエストも特定されたリアルサーバ(RS1)に到達させることができるようになる。
このように本実施例によれば、第1回目のHTTPリクエスト(103)を受け付けたロードバランサ(LB1)がサーバ特定情報(ID=001)を生成し、これを暗号化して前記HTTPリクエストに追記しておく。そして、リアルサーバ(RS1)は応答メッセージ(HTTPレスポンス)にこの暗号化サーバ特定情報(ID=YYY)を含めるようにしてクライアント端末(CL)に返信しておく(104)。さらに、クライアント端末(CL)が次のHTTPリクエスト(105)を生成する際にはクッキー情報としてこの暗号化サーバ特定情報(ID=YYY)をそのリクエストヘッダに含めることで、第1回目のアクセス時のロードバランサ(LB1)とは異なるロードバランサ(LB3)が前記HTTPリクエスト(105)を処理する際にも、そのロードバランサ(LB3)は、ロードバランサ間で共有している鍵情報を用いて複合化することでアクセスすべきリアルサーバ(RS1)を特定することができるようになっている。
しかも、暗号化サーバ特定情報(ID=YYY)は、ネットワーク(NW)においてもローカルネットワーク(LNW)においても暗号化されたままの状態でHTTPリクエストおよび応答メッセージ(レスポンス)に含まれているため、第三者にアクセスすべきリアルサーバ(RS1)の情報が漏洩することなく、セキュリティの高いリアルサーバアクセスが可能となる。
以上、本発明を実施形態に基づいて説明したが、本発明は上記に限定されるものではない。たとえばクライアント端末(CL)において、暗号化サーバ特定情報(ID=YYY)をクッキー(Cookie)情報として自身の記憶装置に登録させるようにしたが、必ずしもクッキーである必要はない。要するにリアルサーバ(RS1)からの暗号化サーバ特定情報を含む応答メッセージ(レスポンス)をクライアント端末(CL)が保持しておければよい。
また、クライアント端末からリアルサーバへのアクセスリクエストはHTTPリクエストを例として説明したが、これに限られず他の通信プロトコルでもよい。要するにクライアント端末が情報を保持することができて、この情報を付加したアクセス要求に基づいてロードバランサが当該情報を読み出して解釈できるものであれば如何なるものであっても
よい。
よい。
本発明は、通販サイト等の複数のリアルサーバで構成されるデータセンタにおけるネットワークアクセスに利用できる。
CL クライアント端末
NW ネットワーク
LB1〜LB3 ロードバランサ
LNW ローカルネットワーク
RS1〜RS5 リアルサーバ
CPU 中央処理装置
MM メインメモリ
BUS バス
HD 大規模記憶装置
OS オペレーティングシステム
APL 負荷分散アプリケーションプログラム
KEY 鍵情報
DNS ドメインネームサーバ
NW ネットワーク
LB1〜LB3 ロードバランサ
LNW ローカルネットワーク
RS1〜RS5 リアルサーバ
CPU 中央処理装置
MM メインメモリ
BUS バス
HD 大規模記憶装置
OS オペレーティングシステム
APL 負荷分散アプリケーションプログラム
KEY 鍵情報
DNS ドメインネームサーバ
Claims (7)
- クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムであって、
前記クライアント端末からのアクセス要求メッセージに基づいて複数のリアルサーバのいずれかのアクセス識別情報を前記クライアント端末に通知するDNサーバと、
前記DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサとを有しており、
前記ロードバランサは、前記クライアント端末からの前記アクセス識別情報を含む第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定する処理と、
前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加する処理と、
前記で決定されたリアルサーバに前記アクセス要求メッセージを送信することで、前記クライアント端末と前記で決定されたリアルサーバへの接続を実現する処理とを実行し、
前記で特定されたリアルサーバから前記サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、
を実行するネットワークアクセスシステム。 - 前記アクセス識別情報はHTTPリクエストであり、前記クライアント端末からの第2回目のアクセス要求メッセージに付加されるアクセス識別情報中のサーバ特定情報は、前記第1回目のリアルサーバからの応答メッセージによって前記クライアント端末内に蓄積されたクッキー情報から取得されることを特徴とする請求項1記載のネットワークアクセスシステム。
- 前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持し、
暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するとともに、
前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、
前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、
この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、
を実行する請求項1記載のネットワークアクセスシステム。 - クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムのアクセス方法であって、
DNサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサを有しており、
前記ロードバランサが、前記クライアント端末からの前記アクセス識別情報を含む第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、
前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加するステップと、
前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、
前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記サーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、
前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中のサーバ特定情報を自身の記憶装置に蓄積するステップと、
前記クライアント端末が前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを送信するステップと、
前記ロードバランサが、前記ネットワークを介して前記第2回目のアクセス要求メッセージを受信するステップと、
前記ロードバランサが、前記第2回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと
を順次実行するネットワークシステムのアクセス方法。 - 前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、
暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するステップと、
前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと
を順次実行する請求項4記載のネットワークシステムのアクセス方法。 - クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うコンピュータ実行可能なネットワークシステムのアクセスプログラムであって、
DNリアルサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサを有しており、
前記ロードバランサが、前記クライアント端末からの第1回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、
前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加するステップと、
前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、
前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記サーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、
前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中のサーバ特定情報を自身の記憶装置に蓄積するステップと、
前記クライアント端末が前記サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを送信するステップと、
前記ロードバランサが、前記ネットワークを介して前記第2回目のアクセス要求メッセージを受信するステップと、
前記ロードバランサが、前記第2回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと
を順次実行するコンピュータ実行可能なネットワークシステムのアクセスプログラム。 - 前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第1回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、
暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するステップと、
前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第2回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと
を順次実行する請求項6記載のコンピュータ実行可能なネットワークシステムのアクセスプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011093425 | 2011-04-19 | ||
| JP2011093425 | 2011-04-19 | ||
| PCT/JP2012/060485 WO2012144527A1 (ja) | 2011-04-19 | 2012-04-18 | ネットワークアクセスシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2012144527A1 true JPWO2012144527A1 (ja) | 2014-07-28 |
| JP5960690B2 JP5960690B2 (ja) | 2016-08-02 |
Family
ID=47041633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013511023A Active JP5960690B2 (ja) | 2011-04-19 | 2012-04-18 | ネットワークアクセスシステム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20140047014A1 (ja) |
| EP (1) | EP2701068B1 (ja) |
| JP (1) | JP5960690B2 (ja) |
| WO (1) | WO2012144527A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9667711B2 (en) * | 2014-03-26 | 2017-05-30 | International Business Machines Corporation | Load balancing of distributed services |
| CN108595247B (zh) * | 2018-03-29 | 2021-10-29 | 创新先进技术有限公司 | 一种检测方法、装置及设备 |
| US11108850B2 (en) * | 2019-08-05 | 2021-08-31 | Red Hat, Inc. | Triangulating stateful client requests for web applications |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5774660A (en) * | 1996-08-05 | 1998-06-30 | Resonate, Inc. | World-wide-web server with delayed resource-binding for resource-based load balancing on a distributed resource multi-node network |
| US6772333B1 (en) * | 1999-09-01 | 2004-08-03 | Dickens Coal Llc | Atomic session-start operation combining clear-text and encrypted sessions to provide id visibility to middleware such as load-balancers |
| US7062567B2 (en) * | 2000-11-06 | 2006-06-13 | Endeavors Technology, Inc. | Intelligent network streaming and execution system for conventionally coded applications |
| JP2003131961A (ja) * | 2001-07-09 | 2003-05-09 | Hitachi Ltd | ネットワークシステム及び負荷分散方法 |
| JP2003115862A (ja) | 2001-10-09 | 2003-04-18 | Nec Commun Syst Ltd | Dnsサーバ |
| JP2003152783A (ja) * | 2001-11-19 | 2003-05-23 | Fujitsu Ltd | サーバ負荷分散装置 |
| US7100049B2 (en) * | 2002-05-10 | 2006-08-29 | Rsa Security Inc. | Method and apparatus for authentication of users and web sites |
| GB2389431A (en) * | 2002-06-07 | 2003-12-10 | Hewlett Packard Co | An arrangement for delivering resources over a network in which a demand director server is aware of the content of resource servers |
| US7606929B2 (en) * | 2003-06-30 | 2009-10-20 | Microsoft Corporation | Network load balancing with connection manipulation |
| JP4708383B2 (ja) * | 2003-11-10 | 2011-06-22 | 株式会社イース | 集計システム |
| JP4241660B2 (ja) * | 2005-04-25 | 2009-03-18 | 株式会社日立製作所 | 負荷分散装置 |
| JP5100004B2 (ja) * | 2005-12-14 | 2012-12-19 | キヤノン株式会社 | 情報処理システム、サーバ装置、情報処理装置及びそれらの制御方法 |
| US8010701B2 (en) * | 2005-12-19 | 2011-08-30 | Vmware, Inc. | Method and system for providing virtualized application workspaces |
| JP2007219608A (ja) * | 2006-02-14 | 2007-08-30 | Fujitsu Ltd | 負荷分散処理プログラム及び負荷分散装置 |
| US20150088982A1 (en) * | 2006-09-25 | 2015-03-26 | Weaved, Inc. | Load balanced inter-device messaging |
| EP2495927B1 (en) * | 2011-03-02 | 2014-10-08 | Alcatel Lucent | Concept for providing information on a data packet association and for forwarding a data packet |
-
2012
- 2012-04-18 JP JP2013511023A patent/JP5960690B2/ja active Active
- 2012-04-18 EP EP12773760.9A patent/EP2701068B1/en not_active Not-in-force
- 2012-04-18 WO PCT/JP2012/060485 patent/WO2012144527A1/ja active Application Filing
-
2013
- 2013-10-18 US US14/057,531 patent/US20140047014A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| EP2701068A4 (en) | 2015-07-22 |
| EP2701068A1 (en) | 2014-02-26 |
| EP2701068B1 (en) | 2017-02-01 |
| US20140047014A1 (en) | 2014-02-13 |
| WO2012144527A1 (ja) | 2012-10-26 |
| JP5960690B2 (ja) | 2016-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019204707B2 (en) | Program execution and data proof scheme using multiple key pair signatures | |
| CN102055730B (zh) | 云处理系统、云处理方法和云计算代理装置 | |
| US9317714B2 (en) | Storing user data in a service provider cloud without exposing user-specific secrets to the service provider | |
| CN111740966B (zh) | 一种基于区块链网络的数据处理方法及相关设备 | |
| US20120254622A1 (en) | Secure Access to Electronic Devices | |
| WO2021114934A1 (zh) | 可信计算集群的集群密钥获取方法及装置 | |
| CN104052742A (zh) | 一种可动态加密的物联网通讯协议 | |
| US20180351737A1 (en) | Communication apparatus, communication system, key sharing method, and computer program product | |
| WO2013006296A1 (en) | Methods and apparatus for secure data sharing | |
| CN107172001B (zh) | 网站代理服务器的控制方法及装置、密钥代理服务器 | |
| CN110351276B (zh) | 数据处理方法、设备及计算机可读存储介质 | |
| EP3308496B1 (en) | System, apparatus and method for secure coordination of a rendezvous point for distributed devices using entropy multiplexing | |
| CN108011888A (zh) | 一种实现证书重构的方法、装置及存储介质、程序产品 | |
| US20080306875A1 (en) | Method and system for secure network connection | |
| JP2020088421A (ja) | 通信装置、通信方法、および通信プログラム | |
| CN105072108A (zh) | 用户信息的传输方法、装置及系统 | |
| JP2018041224A (ja) | ソフトウェア更新システム | |
| JP5960690B2 (ja) | ネットワークアクセスシステム | |
| CN117675216A (zh) | 一种数据处理方法及相关设备 | |
| US11621856B2 (en) | Generating a domain name system container image to create an instance of a domain name system container | |
| CN116248416B (zh) | 一种身份认证的方法、装置、计算机设备 | |
| US12010219B2 (en) | Key management providing high availability without key replication | |
| JP7188592B2 (ja) | 番号管理システム、番号管理方法、番号管理装置および番号管理プログラム | |
| KR101657893B1 (ko) | 클라우드 서비스를 위한 암호화 방법 및 사용자 장치에 기반한 암호화 방법을 제공하는 클라우드 시스템 | |
| CN112637316B (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150227 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160304 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160607 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160623 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5960690 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |