特許 5960690 ネットワークアクセスシステム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5960690

(24)【登録日】2016年7月1日

(45)【発行日】2016年8月2日

(54)【発明の名称】ネットワークアクセスシステム

(51)【国際特許分類】

   G06F 13/00 20060101AFI20160719BHJP

   G06F 9/46 20060101ALI20160719BHJP

   G06F 9/50 20060101ALI20160719BHJP

【ＦＩ】

   G06F13/00 357Z

   G06F9/46 430

   G06F9/46 465Z

【請求項の数】7

【全頁数】13

(21)【出願番号】特願2013-511023(P2013-511023)

(86)(22)【出願日】2012年4月18日

(86)【国際出願番号】JP2012060485

(87)【国際公開番号】WO2012144527

(87)【国際公開日】20121026

【審査請求日】2015年2月27日

(31)【優先権主張番号】特願2011-93425(P2011-93425)

(32)【優先日】2011年4月19日

(33)【優先権主張国】JP

(73)【特許権者】

【識別番号】301014269

【氏名又は名称】株式会社Ｍｕｒａｋｕｍｏ

(74)【代理人】

【識別番号】100100549

【弁理士】

【氏名又は名称】川口 嘉之

(74)【代理人】

【識別番号】100123319

【弁理士】

【氏名又は名称】関根 武彦

(74)【代理人】

【識別番号】100145838

【弁理士】

【氏名又は名称】畑添 隆人

(72)【発明者】

【氏名】渡邉 貴宏

【審査官】 木村 雅也

(56)【参考文献】

【文献】 特開２００７−２１９６０８（ＪＰ，Ａ）

【文献】 特開２００３−１１５８６２（ＪＰ，Ａ）

【文献】 特開２００７−１６４５２７（ＪＰ，Ａ）

【文献】 特開２００５−０２７３０４（ＪＰ，Ａ）

【文献】 特開２００３−１５２７８３（ＪＰ，Ａ）

【文献】 米国特許出願公開第２００５／００１０７５４（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ １３／００

Ｇ０６Ｆ ９／４６

Ｇ０６Ｆ ９／５０

(57)【特許請求の範囲】

【請求項1】

クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムであって、
前記クライアント端末からのアクセス要求メッセージに基づいてロードバランサのアクセス識別情報を前記クライアント端末に通知するＤＮサーバと、
前記ＤＮサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分ける前記ロードバランサとを有しており、
前記ロードバランサは、前記クライアント端末からの前記アクセス識別情報を含む第１回目のアクセス要求メッセージで接続すべきリアルサーバを決定する処理と、
前記ネットワークを介して前記クライアント端末から前記第１回目のアクセス要求メッセージを受信したときに、前記で決定されたリアルサーバのサーバ特定情報を生成し、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持する処理と、
前記暗号化されたサーバ特定情報を前記アクセス識別情報の中に追加する処理と、
前記で決定されたリアルサーバに前記アクセス要求メッセージを送信することで、前記クライアント端末と前記で決定されたリアルサーバへの接続を実現する処理と、
前記で特定されたリアルサーバから前記暗号化されたサーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化されたサーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを受信する処理と、
前記アクセス識別情報の中から前記暗号化されたサーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて前記暗号化されたサーバ特定情報を復号する処理と、
復号されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、
を実行するネットワークアクセスシステム。

【請求項2】

前記アクセス識別情報はＨＴＴＰリクエストであり、前記クライアント端末からの第２回目のアクセス要求メッセージに付加されるアクセス識別情報中のサーバ特定情報は、前記第１回目のリアルサーバからの応答メッセージによって前記クライアント端末内に蓄積されたクッキー情報から取得されることを特徴とする請求項１記載のネットワークアクセスシステム。

【請求項3】

前記ＤＮサーバは、前記複合鍵を共有する複数のロードバランサのいずれかのアクセス識別情報を前記クライアント端末に通知し、
前記複数のロードバランサの夫々は、前記共有された複合鍵を用いて、前記暗号化されたサーバ特定情報を復号する、
請求項１または２記載のネットワークアクセスシステム。

【請求項4】

クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムのアクセス方法であって、
ＤＮサーバで指定されたロードバランサのアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサが、
前記クライアント端末からの前記アクセス識別情報を含む第１回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、
前記ネットワークを介して前記クライアント端末から前記第１回目のアクセス要求メッセージを受信したときに、前記で決定されたリアルサーバのサーバ特定情報を生成し、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、
前記暗号化されたサーバ特定情報を前記アクセス識別情報の中に追加するステップと、
前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、
前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記暗号化されたサーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、
前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中の暗号化されたサーバ特定情報を自身の記憶装置に蓄積するステップと、
前記クライアント端末が前記暗号化されたサーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを送信するステップと、
前記ロードバランサが、前記ネットワークを介して前記第２回目のアクセス要求メッセージを受信するステップと、
前記ロードバランサが、前記第２回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記暗号化されたサーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて前記暗号化されたサーバ特定情報を復号するステップと、
復号されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと
を順次実行するネットワークシステムのアクセス方法。

【請求項5】

前記ＤＮサーバは、前記複合鍵を共有する複数のロードバランサのいずれかのアクセス識別情報を前記クライアント端末に通知し、
前記複数のロードバランサの夫々は、前記共有された複合鍵を用いて、前記暗号化されたサーバ特定情報を復号する、
請求項４記載のネットワークシステムのアクセス方法。

【請求項6】

クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うコンピュータ実行可能なネットワークシステムのアクセスプログラムであって、
ＤＮリアルサーバで指定されたロードバランサのアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサに、
前記クライアント端末からの第１回目のアクセス要求メッセージで接続すべきリアルサ
ーバを決定するステップと、
前記ネットワークを介して前記クライアント端末から前記第１回目のアクセス要求メッセージを受信したときに、前記で決定されたリアルサーバのサーバ特定情報を生成し、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、
前記暗号化されたサーバ特定情報を前記アクセス識別情報の中に追加するステップと、
前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、
前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記暗号化されたサーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、
前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中の暗号化されたサーバ特定情報を自身の記憶装置に蓄積するステップと、
前記クライアント端末が前記暗号化されたサーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを送信するステップと、
前記ロードバランサが、前記ネットワークを介して前記第２回目のアクセス要求メッセージを受信するステップと、
前記ロードバランサが、前記第２回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記暗号化されたサーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて前記暗号化されたサーバ特定情報を復号するステップと、
復号されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと
を順次実行させる、コンピュータ実行可能なネットワークシステムのアクセスプログラム。

【請求項7】

前記ＤＮサーバは、前記複合鍵を共有する複数のロードバランサのいずれかのアクセス識別情報を前記クライアント端末に通知し、
前記複数のロードバランサの夫々に、前記共有された複合鍵を用いて、前記暗号化されたサーバ特定情報を復号させる、
請求項６記載のコンピュータ実行可能なネットワークシステムのアクセスプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ネットワークに接続されてロードバランサによってアクセスを振り分けられる２以上のリアルサーバの管理方法に関する。

【背景技術】

【0002】

クライアント端末のブラウザアプリケーションからネットワークを介してデータセンタを構成するリアルサーバにアクセスする際に、ＤＮＳ（ドメインネームサーバ）を用いたラウンドロビンによる複数リアルサーバへの振り分け技術が知られている（特許文献１：特開２００３−１１５８６２）。

【0003】

このＤＮＳラウンドロビンでは、クライアント端末からのホスト名の問い合わせに対して、ＤＮサーバ（ＤＮＳ）にあらかじめ複数のＩＰアドレスを登録しておき、リアルサーバの負荷を分散する技術であるが、単純に複数のＩＰアドレス間を順次トグル指定するだけなので、必ずしもリアルサーバの均等分散が保証されるわけではなく、さらに近年の数十、数百のリアルサーバで構成されているリアルサーバ群のＩＰアドレスをＤＮＳに全て登録することはＩＰアドレスのリソース消費が激しく現実的ではないという問題があった。

【0004】

そこで、リアルサーバ間の負荷をできるだけ均等分散させるために、ロードバランサを用いた負荷分散技術が知られている。

【0005】

かかる技術では、ＤＮＳから通知されたＩＰアドレスに対してＨＴＴＰリクエストが到達したときに、ロードバランサが当該アクセスの振り分けを行うが、いずれのロードバランサがどのリアルサーバに振り分け処理を行ったとしても、同じ結果が得られる保証がなければならない。そのためには全てのリアルサーバ間で同期をとっておくことが望ましいが、同期処理のための負荷が大きいため現実的ではなかった。また、複数のリアルサーバの中からあらかじめ関係付けられた特定のリアルサーバ同士を同期しておくことも考えられるが、同期が確保されていないリアルサーバにアクセスしてしまったときには、同期が完了しているリアルサーバからデータのコピーを行ってからアクセスを許可しなければならない等、リアルサーバへのアクセス処理に遅延が生じる可能性があった。

【0006】

これを解決するための方策として、セッション毎にロードバランサとリアルサーバとの組み合わせ（ペア）を各ロードバランサ内に記憶しておき、次回のセッションにおいても同じリアルサーバへのアクセスが確保されるような仕組みを実現することも考えられる。

【0007】

しかしこのような方法であっても、指定されたロードバランサに障害が発生している場合に、前記組み合わせ情報そのものが取得できずに、所定のリアルサーバにアクセスできない場合もあることが懸念される。

【先行技術文献】

【特許文献】

【0008】

【特許文献1】特開２００３−１１５８６２号公報

【発明の概要】

【発明が解決しようとする課題】

【0009】

本発明は、上記のような点に鑑みてなされたものであり、その第１の課題は、アクセスの際に経由するロードバランサがどれであっても、目的のリアルサーバへのアクセスが可能な技術を実現することにある。

【0010】

そして、第２の課題は、前記リアルサーバへのアクセスがリアルサーバ情報のセキュリティを確保しつつ実現することにある。

【課題を解決するための手段】

【0011】

本発明は、前記課題を解決するために以下の手段を採用した。

【0012】

本発明の請求項１は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムであって、前記クライアント端末からのアクセス要求メッセージに基づいて複数のリアルサーバのいずれかのアクセス識別情報を前記クライアント端末に通知するＤＮサーバと、前記ＤＮサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサとを有しており、前記ロードバランサは、前記クライアント端末からの前記アクセス識別情報を含む第１回目のアクセス要求メッセージで接続すべきリアルサーバを決定する処理と、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加する処理と、前記で決定されたリアルサーバに前記アクセス要求メッセージを送信することで、前記クライアント端末と前記で決定されたリアルサーバへの接続を実現する処理とを実行し、前記で特定されたリアルサーバから前記サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記サーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、を実行するネットワークアクセスシステムである。

【0013】

本発明の請求項２は、前記アクセス識別情報はＨＴＴＰリクエストであり、前記クライアント端末からの第２回目のアクセス要求メッセージに付加されるアクセス識別情報中のリアルサーバ特定情報は、前記第１回目のリアルサーバからの応答メッセージによって前記クライアント端末内に蓄積されたクッキー情報から取得されることを特徴とする請求項１記載のネットワークアクセスシステムである。

【0014】

本発明の請求項３は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第１回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持し、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するとともに、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信する処理と、を実行する請求項１記載のネットワークアクセスシステムである。

【0015】

本発明の請求項４は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うネットワークシステムのアクセス方法であって、ＤＮサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサを有しており、前記ロードバランサが、前記クライアント端末からの前記アクセス識別情報を含む第１回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加するステップと、前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記サーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中のサーバ特定情報を自身の記憶装置に蓄積するステップと、前記クライアント端末が前記サーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを送信するステップと、前記ロードバランサが、前記ネットワークを介して前記第２回目のアクセス要求メッセージを受信するステップと、 前記ロードバランサが、前記第２回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行するネットワークシステムのアクセス方法である。

【0016】

本発明の請求項５は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第１回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行する請求項４記載のネットワークシステムのアクセス方法である。

【0017】

本発明の請求項６は、クライアント端末からネットワークを介して複数のリアルサーバで構成されたデータセンタへのアクセスを行うコンピュータ実行可能なネットワークシステムのアクセスプログラムであって、ＤＮサーバで指定されたアクセス識別情報を含むクライアント端末からのアクセス要求メッセージに基づいてクライアント端末との接続を振り分けるロードバランサを有しており、前記ロードバランサが、前記クライアント端末からの第１回目のアクセス要求メッセージで接続すべきリアルサーバを決定するステップと、前記で決定されたリアルサーバのサーバ特定情報を生成するとともに、このサーバ特定情報を前記アクセス識別情報の中に追加するステップと、前記で決定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバが、前記アクセス要求メッセージを受信して所定の処理を行った後に、前記サーバ特定情報を含む応答メッセージを前記ネットワークを介して前記クライアント端末に返信するステップと、前記クライアント端末が、前記特定されたリアルサーバからの応答メッセージ中のサーバ特定情報を自身の記憶装置に蓄積するステップと、前記クライアント端末が前記サーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを送信するステップと、前記ロードバランサが、前記ネットワークを介して前記第２回目のアクセス要求メッセージを受信するステップと、前記ロードバランサが、前記第２回目のアクセス要求メッセージの中から前記アクセス識別情報の中から前記サーバ特定情報を読み出して、このサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行するコンピュータ実行可能なネットワークシステムのアクセスプログラムである。

【0018】

本発明の請求項７は、前記ロードバランサは、前記ネットワークを介して前記クライアント端末から前記第１回目のアクセス要求メッセージを受信したときに、生成された前記サーバ特定情報を暗号化するとともにその復号鍵情報を保持するステップと、暗号化サーバ特定情報をアクセス識別情報中に追加して前記で特定されたリアルサーバにアクセス要求メッセージを送信するステップと、前記で特定されたリアルサーバから前記暗号化サーバ特定情報を含む応答メッセージが前記ネットワークを介して前記クライアント端末に返信された後、前記クライアント端末から前記暗号化サーバ特定情報を付加したアクセス識別情報による第２回目のアクセス要求メッセージを受信すると、前記アクセス識別情報の中から前記暗号化サーバ特定情報を読み出して、自身が保持する復号鍵情報を用いて暗号化サーバ特定情報を復号化し、この復号化されたサーバ特定情報を用いて特定されたリアルサーバに対して前記アクセス要求メッセージを送信するステップとを順次実行する請求項６記載のコンピュータ実行可能なネットワークシステムのアクセスプログラムである。

【発明の効果】

【0019】

本発明によれば、アクセスの際に経由するロードバランサ如何によらずに目的のリアルサーバへのアクセスが可能な技術を実現できる。また、前記リアルサーバへのアクセスに際してリアルサーバ情報のセキュリティを確保できる。

【図面の簡単な説明】

【0020】

【図1】本発明のネットワークシステムの全体構成を示すブロック図である

【図2】実施形態のロードバランサ（ＬＢ）の内部構成を示すハードウエアブロック図である

【図3】実施形態のロードバランサ（ＬＢ）の機能説明図である

【発明を実施するための形態】

【0021】

図１は、本実施形態のネットワークシステムの全体構成を示すブロック図である。

【0022】

同図において、クライアント端末（ＣＬ）は汎用的なパーソナルコンピュータであり、ネットワークアクセス（ＴＣＰ／ＩＰによる所謂インターネットアクセス）が可能であればいかなるものであってもよい。また、ｉＰｈｏｎｅ（アップル社の商標）、Ａｎｄｒｏｉｄ（グーグル社の商標）等のスマートフォン、ＰＤＡさらにはｉモード（ＮＴＴドコモ社の商標）であってもよい。

【0023】

ＤＮサーバ（ＤＮＳ）は所謂ドメインネームサーバであり、クライアント端末からのホスト名の問い合わせ（１０１）に対して、対応したＩＰアドレスを返答する（１０２）機能を有している。

【0024】

またデータセンタを構成するリアルサーバはたとえば通販サイトであり、複数のリアルサーバ（ＲＳ１〜５）で構成されている。

【0025】

ロードバランサ（ＬＢ）は、図２に示すようにネットワーク（ＮＷ）とローカルネットワーク（ＬＮＷ）との間に介装されており、中央処理装置（ＣＰＵ）とメインメモリ（ＭＭ）を中心に、バス（ＢＵＳ）で接続された大規模記憶装置（ＨＤ）を有している。この大規模記憶装置（ＨＤ）には、オペレーティングシステム（ＯＳ）とともに、負荷分散プログラム（ＡＰＬ）や鍵情報（ＫＥＹ）、ユーザデータ（ＤＡＴＡ）等が登録されるようになっている。すなわち、中央処理装置（ＣＰＵ）がバス（ＢＵＳ）およびメインメモリ（ＭＭ）を介して前記負荷分散プログラム（ＡＰＬ）を読み込んでアクセスするリアルサーバ（ＲＳ１〜５）への振り分けを行うことにより、本実施形態の機能が実現されるようになっている。

【0026】

ここで、ロードバランサ（ＬＢ）は図２に示すようなハードウエアで実現されている場合の他、いずれかのリアルサーバ（ＲＳ１〜５）内において仮想装置として、記憶装置上に設けられたものであってもよい。しかし、以下の説明では説明の便宜上ハードウエアで構成されている場合で説明する。

【0027】

クライアント端末（ＣＬ）からホスト名の問い合わせ（１０１）があったときに、ＤＮサーバ（ＤＮＳ）は、当該ホスト名に対応したＩＰアドレスを前記クライアント端末（ＣＬ）に対して返信する（１０２）。

【0028】

このとき、ＤＮサーバ（ＤＮＳ）は、指定されたホスト名（たとえば「ａｂｃ．ｃｏｍ」に対して、３つのロードバランサ（ＬＢ１〜３）のＩＰアドレス「ｘｘｘ１」（便宜上簡略な表記とした）、「ｘｘｘ２」、「ｘｘｘ３」が登録されており、ＤＮＳラウンドロビンによりセッション毎に順番に振り分けられてクライアント端末（ＣＬ）に通知される。

【0029】

次にクライアント端末（ＣＬ）は、前記ＤＮサーバ（ＤＮＳ）から通知されたロードバランサ（ＬＢ１）のＩＰアドレス（ここでは「ｘｘｘ１」）にアクセス要求メッセージ（ＨＴＴＰリクエスト）を生成・送信する（１０３）。

【0030】

ここで、図示は省略するが、ロードバランサ（ＬＢ１）は、前記クライアント端末（ＣＬ）からの第１回目のアクセス要求メッセージ（ＨＴＴＰリクエスト）を受け付けると、接続すべきリアルサーバ（たとえばＲＳ１）を決定し、このリアルサーバを特定するサーバ特定情報（たとえば、ＩＤ＝００１）を生成してこれをＨＴＴＰリクエストのリクエストヘッダに追記する。

【0031】

そして、前記で決定されたリアルサーバ（ＲＳ１）に対して当該ＨＴＴＰリクエストを送信する。

【0032】

かかるネットワークシステム構成において、ユーザはクライアント端末（ＣＬ）からネットワーク（ＮＷ）を介して個々のリアルサーバ（ＲＳ１〜ＲＳ５）を意識することなく、単にリアルサーバ群を総称するＵＲＬを指定するＨＴＴＰリクエストを送信するだけで当該通販サイトへのアクセスが可能となっている。

【0033】

ここで、ネットワーク（ＮＷ）を介したＨＴＴＰリクエストを受信して各個別のリアルサーバ（ＲＳ１〜ＲＳ５）に振り分けるために負荷分散装置としてのロードバランサ（ＬＢ１〜ＬＢ３）が介装されている。そして、ロードバランサ（ＬＢ）で振り分けられたリアルサーバ（ＲＳ１）に対して、ＨＴＴＰリクエストが、ローカルネットワーク（ＬＮＷ）を介して送信されるようになっている。

【0034】

次に、前記ＨＴＴＰリクエストを受信したリアルサーバ（ＲＳ１）が所定の処理（たとえば通販サイトにおける買い物かごへの商品の追加処理等）を行った後に、前記サーバ特定情報（ＩＤ＝００１）を含む応答メッセージ（ＨＴＴＰレスポンス）を前記ネットワーク（ＮＷ）を介して送信元のクライアント端末（ＣＬ）に返信する（１０４）。

【0035】

クライアント端末（ＣＬ）では、受信した応答メッセージの中からサーバ特定情報（ＩＤ＝００１）を読み出して、これをクッキー（Ｃｏｏｋｉｅ）情報として自身の記憶装置に記憶させる。

【0036】

次に、このクライアント端末（ＣＬ）が、再度この通販サイトに対してＨＴＴＰリクエストを送信するときに、前記クッキー情報からサーバ特定情報（ＩＤ＝００１）を読み出して、この情報をＨＴＴＰリクエストのリクエストヘッダに付加して送信する（１０５）。

【0037】

この２回目のＨＴＴＰリクエスト（１０５）を受信したロードバランサ（たとえばＬＢ３）は、当対リクエストの中からサーバ特定情報（ＩＤ＝００１）を読み出して、このサーバ特定情報にしたがって、特定されたリアルサーバ（ＲＳ１）にＨＴＴＰリクエストを送信する。

【0038】

このように本実施例によれば、第１回目のＨＴＴＰリクエスト（１０３）を受け付けたロードバランサ（ＬＢ１）がサーバ特定情報（ＩＤ＝００１）を生成し、このＨＴＴＰリクエストに追記する。そして、これを受信したリアルサーバ（ＲＳ１）もＨＴＴＰレスポンスにこのサーバ特定情報を含めてクライアント端末に対して返信する（１０４）。そして、クライアント端末（ＣＬ）が次のＨＴＴＰリクエスト（１０５）を生成する際にクッキー情報としてこのサーバ特定情報（ＩＤ＝００１）を含めることで、第１回目と異なるロードバランサ（ＬＢ２）がＨＴＴＰリクエストを処理する際にも、第１回目のアクセスと同じリアルサーバへのアクセスを実現することができる。

【0039】

ところで、上記のようにサーバ特定情報（ＩＤ＝００１）を平文でＨＴＴＰリクエストに追記した場合、リアルサーバが第三者に特定される可能性がある。そこで、セキュリティを強化するために、本実施形態では図３に示す機能を付加している。

【0040】

ロードバランサ（ＬＢ）は、前記クライアント端末からの第１回目のアクセス要求メッセージ（ＨＴＴＰリクエスト「ｈｔｔｐ：／／ｘｘｘ１」）（１０３）で接続すべきリアルサーバ（たとえばＲＳ１）を決定すると、このリアルサーバを特定するサーバ特定情報（たとえば、ＩＤ＝００１）を生成する点は前記と同様である。

【0041】

次に、ロードバランサ（ＬＢ１）の中央処理装置（ＣＰＵ）は、鍵情報（ＫＥＹ）を読み出してこの鍵情報（ＫＥＹ）でサーバ特定情報を暗号化する（ＩＤ＝ＹＹＹ）。このとき用いられる鍵情報（ＫＥＹ）は、秘密鍵暗号による鍵情報であり、ロードバランサ（ＬＢ１〜３）のセットアップ時に設定し、全ロードバランサ間（ＬＢ１〜ＬＢ３）で共有しておくようにする。

【0042】

ロードバランサ（ＬＢ１）で生成された暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）は前記ＨＴＴＰリクエストのリクエストヘッダに付加される。すなわち、「ｈｔｔｐ：／／ｘｘｘ１」のリクエストラインに続くメッセージヘッダに「Ｘ‐Ｓｔｉｃｋｙ‐ＩＤ＝ＹＹＹ」が追加されてリアルサーバ（ＲＳ１）に送信される。

【0043】

次に、前記ＨＴＴＰリクエストを受信したリアルサーバ（ＲＳ１）が所定の処理（たとえば通販サイトにおける買い物かごへの商品の追加処理等）を行った後に、前記暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）をリクエストヘッダに書き込んだ応答メッセージ（ＨＴＴＰレスポンス）を前記ネットワーク（ＮＷ）を介して送信元のクライアント端末（ＣＬ）に返信する（１０４）。

【0044】

クライアント端末（ＣＬ）では、受信した応答メッセージ（ＨＴＴＰレスポンス）の中から前記暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）を読み出して、これをクッキー（Ｃｏｏｋｉｅ）情報として自身の記憶装置に記憶させる。

【0045】

次に、このクライアント端末（ＣＬ）が、再度この通販サイトに対してＨＴＴＰリクエストを送信するときには、前記クッキー情報から暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）を読み出して、この情報をＨＴＴＰリクエスト（１０５）「ｈｔｔｐ：ｘｘｘ１」のリクエストヘッダに「Ｘ‐Ｓｔｉｃｋｙ‐ＩＤ＝ＹＹＹ」を付加する。

【0046】

このとき、クライアント端末（ＣＬ）は再度ホスト名をＤＮサーバ（ＤＮＳ）に問い合わせてもよい。このような場合、ＤＮＳラウンドロビン機能により別のロードバランサ（ＬＢ２）のＩＰアドレス（ｈｔｔｐ：ｘｘｘ３）を返信してくる可能性もある。

【0047】

この場合であっても、クライアント端末は自身が保有するクッキー情報から前記暗号化サーバ特定情報を読み出して、その情報をＨＴＴＰリクエスト（１０５）「ｈｔｔｐ：ｘｘｘ３」のリクエストラインに続くメッセージヘッダに「Ｘ‐Ｓｔｉｃｋｙ‐ＩＤ＝ＹＹＹ」を付加する。

【0048】

この２回目のＨＴＴＰリクエスト（１０５）を受信したロードバランサ（ここではＬＢ３）は当該ＨＴＴＰリクエストの中から暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）を読み出して、前記ロードバランサ（ＬＢ１）と共有している鍵情報（ＫＥＹ）に基づいてこれを復号化する。この結果で得られたサーバ特定情報（ＩＤ＝００１）に基づいて、これで特定されたリアルサーバ（ＲＳ１）に対して前記ＨＴＴＰリクエストを送信する。このとき、暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）はそのままＨＴＴＰリクエストのリクエストヘッダに含めておくことが望ましい。これにより第３回目以後のＨＴＴＰリクエストも特定されたリアルサーバ（ＲＳ１）に到達させることができるようになる。

【0049】

このように本実施例によれば、第１回目のＨＴＴＰリクエスト（１０３）を受け付けたロードバランサ（ＬＢ１）がサーバ特定情報（ＩＤ＝００１）を生成し、これを暗号化して前記ＨＴＴＰリクエストに追記しておく。そして、リアルサーバ（ＲＳ１）は応答メッセージ（ＨＴＴＰレスポンス）にこの暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）を含めるようにしてクライアント端末（ＣＬ）に返信しておく（１０４）。さらに、クライアント端末（ＣＬ）が次のＨＴＴＰリクエスト（１０５）を生成する際にはクッキー情報としてこの暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）をそのリクエストヘッダに含めることで、第１回目のアクセス時のロードバランサ（ＬＢ１）とは異なるロードバランサ（ＬＢ３）が前記ＨＴＴＰリクエスト（１０５）を処理する際にも、そのロードバランサ（ＬＢ３）は、ロードバランサ間で共有している鍵情報を用いて複合化することでアクセスすべきリアルサーバ（ＲＳ１）を特定することができるようになっている。

【0050】

しかも、暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）は、ネットワーク（ＮＷ）においてもローカルネットワーク（ＬＮＷ）においても暗号化されたままの状態でＨＴＴＰリクエストおよび応答メッセージ（レスポンス）に含まれているため、第三者にアクセスすべきリアルサーバ（ＲＳ１）の情報が漏洩することなく、セキュリティの高いリアルサーバアクセスが可能となる。

【0051】

以上、本発明を実施形態に基づいて説明したが、本発明は上記に限定されるものではない。たとえばクライアント端末（ＣＬ）において、暗号化サーバ特定情報（ＩＤ＝ＹＹＹ）をクッキー（Ｃｏｏｋｉｅ）情報として自身の記憶装置に登録させるようにしたが、必ずしもクッキーである必要はない。要するにリアルサーバ（ＲＳ１）からの暗号化サーバ特定情報を含む応答メッセージ（レスポンス）をクライアント端末（ＣＬ）が保持しておければよい。

【0052】

また、クライアント端末からリアルサーバへのアクセスリクエストはＨＴＴＰリクエストを例として説明したが、これに限られず他の通信プロトコルでもよい。要するにクライアント端末が情報を保持することができて、この情報を付加したアクセス要求に基づいてロードバランサが当該情報を読み出して解釈できるものであれば如何なるものであっても
よい。

【産業上の利用可能性】

【0053】

本発明は、通販サイト等の複数のリアルサーバで構成されるデータセンタにおけるネットワークアクセスに利用できる。

【符号の説明】

【0054】

ＣＬ クライアント端末
ＮＷ ネットワーク
ＬＢ１〜ＬＢ３ ロードバランサ
ＬＮＷ ローカルネットワーク
ＲＳ１〜ＲＳ５ リアルサーバ
ＣＰＵ 中央処理装置
ＭＭ メインメモリ
ＢＵＳ バス
ＨＤ 大規模記憶装置
ＯＳ オペレーティングシステム
ＡＰＬ 負荷分散アプリケーションプログラム
ＫＥＹ 鍵情報
ＤＮＳ ドメインネームサーバ

【図1】

【図2】

【図3】