JP2007258806A - サーバ装置および通信システム - Google Patents
サーバ装置および通信システム Download PDFInfo
- Publication number
- JP2007258806A JP2007258806A JP2006077191A JP2006077191A JP2007258806A JP 2007258806 A JP2007258806 A JP 2007258806A JP 2006077191 A JP2006077191 A JP 2006077191A JP 2006077191 A JP2006077191 A JP 2006077191A JP 2007258806 A JP2007258806 A JP 2007258806A
- Authority
- JP
- Japan
- Prior art keywords
- data management
- server
- client device
- management device
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】セキュリティ強度を高く維持しながら、ネットワークに接続されたサーバのデータを共有するシステムを提供することを目的とする。
【解決手段】データ管理装置1はファイアーウォールの内側のLANに配置され、サーバ3は、ファイアーウォールの外側のWANに配置される。データ管理装置1からサーバ3に対してTCP接続要求が行われ(S101)、TCPコネクションが確立されると、データ管理装置1からインデックス情報がサーバ3に送信される(S105)。この後、TCPコネクションは保持される。クライアント装置4は、サーバ3からインデックス情報を取得し(S112)、インデックス情報に基づいてサーバ3に対してファイルアクセス要求を行う(S113)。サーバ3は、保持しているTCPコネクションを利用してデータ管理装置1からファイルを取得し(S114,115)、クライアント装置4にファイルを送信する(S116)。
【選択図】図3
【解決手段】データ管理装置1はファイアーウォールの内側のLANに配置され、サーバ3は、ファイアーウォールの外側のWANに配置される。データ管理装置1からサーバ3に対してTCP接続要求が行われ(S101)、TCPコネクションが確立されると、データ管理装置1からインデックス情報がサーバ3に送信される(S105)。この後、TCPコネクションは保持される。クライアント装置4は、サーバ3からインデックス情報を取得し(S112)、インデックス情報に基づいてサーバ3に対してファイルアクセス要求を行う(S113)。サーバ3は、保持しているTCPコネクションを利用してデータ管理装置1からファイルを取得し(S114,115)、クライアント装置4にファイルを送信する(S116)。
【選択図】図3
Description
本発明は、ネットワークを利用したデータの共有技術に関する。
ネットワークに接続されたサーバを利用する様々な通信システムが存在する。たとえば、ネットワークを介してクライアント装置とデータサーバとが接続されており、クライアント装置がデータサーバに蓄積されているデータにアクセスして様々なアプリケーションを実行するのである。
ここで、同じネットワーク内にクライアント装置とデータサーバが存在するシステムであれば、サーバを保護する必要性はそれほど高くない。たとえば、オフィスのLANに設置されたデータサーバに各社員が利用するパソコンが接続するシステムであれば、一般的には、データサーバは、パソコンからの接続要求を受け付けて問題はない。
これに対して、サーバがインターネットなどの公共のネットワークに接続されている場合には事情が異なる。サーバは、通常LANなどのプライベートなネットワークに配置され、インターネットとの間にはファイアーウォールが設けられる。このようにして、外部から自由にサーバにアクセスされることを禁止し、社内ネットワークなどのセキュリティを確保するようにしているのである。
下記特許文献1は、複数の業務サーバを使い分けるネットワークシステムに関するものである。ユーザからのログイン要求は、一旦、ゲートウェイサーバが受信する。ゲートウェイサーバは、ログイン要求の内容から接続先の業務サーバを決定し、ゲートウェイサーバから業務サーバに対してコネクションを確立するようにしている。
上記のように、通常プライベートなネットワークに配置されたサーバを公開するためには、公共ネットワークとの間にファイアーウォールが設けられる。しかし、外部からサーバへの接続を可能とするためには、ファイアーウォールに所定のポートを空けなければならないため、セキュリティの強度が低下するという問題がある。
上記特許文献1のように、クライアント装置とサーバとの間にゲートウェイを介在させる方法がある。しかし、上記特許文献1においても、ゲートウェイサーバから業務サーバに対してコネクションの確立を行う必要がある。したがって、業務サーバがファイアーウォールの内側に存在する場合には、やはり外のネットワークからプライベートなネットワーク内に向けて接続要求を送信する必要があり、ファイアーウォールを通過させる必要がある。
また、クライアント装置がデータサーバに直接接続する形態は、ネットワークに接続されているデータサーバの環境が変化した場合に、クライアント装置においても設定を変更する必要があるため、管理負担も小さくない。
そこで、本発明は前記問題点に鑑み、セキュリティ強度を高く維持しながら、ネットワークに接続されたサーバに対するクライアント装置のアクセスを可能とするシステムを構築することを目的とする。
請求項1記載の発明は、データ管理装置からのTCPコネクション接続要求を受け付けてTCPコネクションを保持し、保持しているTCPコネクションを用いて前記データ管理装置が管理しているデータのインデックス情報を受信する手段と、クライアント装置に前記インデックス情報を送信する手段と、前記クライアント装置から前記インデックス情報に基づいて前記データ管理装置が管理しているデータへのアクセス要求を受信した場合に、接続保持しているTCPコネクションを用いて前記データ管理装置から指定されたデータを取得し、前記クライアント装置に取得したデータを送信する手段と、を備えることを特徴とする。
請求項2記載の発明は、請求項1に記載のサーバ装置であって、さらに、前記クライアント装置によるアクセス要求を認証する手段、を備えることを特徴とする。
請求項3記載の発明は、請求項1または請求項2に記載のサーバ装置において、さらに、複数のデータ管理装置との間でTCPコネクションを保持して、複数のデータ管理装置からインデックス情報を受信する手段と、各データ管理装置あるいはグループ化されたデータ管理装置に対する前記クライアント装置のアクセス権を設定する手段と、アクセス権が与えられているデータ管理装置のインデックス情報を前記クライアント装置に送信する手段と、を備えることを特徴とする。
請求項4記載の発明は、データ管理装置とサーバ装置とクライアン端末とを備える通信システムであって、前記データ管理装置は、データを蓄積管理する手段と、前記サーバ装置にTCPコネクション接続を要求する手段と、を備え、前記サーバ装置は、前記データ管理装置からのTCPコネクション接続要求を受け付けてTCPコネクションを保持し、保持しているTCPコネクションを用いて前記データ管理装置が管理しているデータのインデックス情報を受信する手段と、前記クライアント装置に前記インデックス情報を送信する手段と、を備え、前記クライアント装置は、前記インデックス情報に基づいて前記データ管理装置が管理しているデータへのアクセス要求を前記サーバ装置に送信する手段、を備え、前記サーバ装置は、さらに、前記クライアント装置から前記データ管理装置が管理しているデータへのアクセス要求を受信した場合に、接続保持しているTCPコネクションを用いて前記データ管理装置から指定されたデータを取得し、前記クライアント装置に取得したデータを送信する手段、を備えることを特徴とする。
請求項5記載の発明は、請求項4に記載の通信システムであって、前記サーバ装置は、さらに、前記クライアント装置によるアクセス要求を認証する手段、を備えることを特徴とする。
請求項6記載の発明は、請求項4または請求項5に記載の通信システムにおいて、前記サーバ装置は、さらに、複数のデータ管理装置との間でTCPコネクションを保持して、複数のデータ管理装置からインデックス情報を受信する手段と、各データ管理装置あるいはグループ化されたデータ管理装置に対する前記クライアント装置のアクセス権を設定する手段と、アクセス権が与えられているデータ管理装置のインデックス情報を前記クライアント装置に送信する手段と、を備えることを特徴とする。
本発明のサーバ装置は、データ管理装置からのTCPコネクション接続要求を受け付けてTCPコネクションを保持する。そして、クライアント装置からアクセス要求を受信した場合、接続保持しているTCPコネクションを用いてデータ管理装置からデータを取得し、クライアント装置にデータを送信する。したがって、サーバ装置からデータ管理装置に対してTCPの接続要求を行う必要がないので、データ管理装置をセキュリティの高いネットワークの中に置くことが可能である。クライアント装置に対しては、データ管理装置の場所やデータの場所を隠蔽することができ、セキュリティを高く維持することができる。また、データアクセスを拒否するためには、データ管理装置側からTCPコネクションを切断すればよいので、緊急時のアクセス制限を容易に行うことが可能である。また、サーバ装置とデータ管理装置との間でTCPコネクションを保持しておくことで、データ管理装置の障害を即時に検出することが可能であり、従来のようにデータ管理装置へのアクセスが発生したときに接続を試みて失敗してから異常に気付くことがなくなる。
また、本発明のサーバ装置は、クライアント装置によるアクセス要求を認証する手段を備えるので、データ管理装置に認証手段を持たせる必要がない。複数のデータ管理装置が存在する場合には、サーバ装置において、認証情報を一元管理することが可能である。
以下、図面を参照しつつ本発明の実施の形態について説明する。図1は、本実施の形態に係る通信システムの全体概略図である。この通信システムは、LAN(Local Area Network)に設置されたデータ管理装置1と、WAN(Wide Area Network)に設置されたゲートウェイファイルサーバ3と、クライアント装置4とを備えている。図に示すように、WANには複数のLANが接続されており、それぞれのLANにデータ管理装置1が配置されている。もちろん、1つのLANに複数のデータ管理装置1が接続されていてもよい。
LANは、プライベートなネットワークであり、LANとWANとの間にはファイアーウォール2が設けられている。したがって、WAN側からLANの中のコンピュータに対するアクセスは制限されている。クライアント装置4は、ユーザが利用する端末である。ユーザは、クライアント装置4を利用してデータ管理装置1に格納されたデータを参照したり、データ管理装置1に対してデータの更新処理をおこなったりする。クライアント装置4は、WANに直接あるいは他のネットワークを介して接続されている。
図2は、データ管理装置1およびゲートウェイファイルサーバ3のブロック図である。データ管理装置1は、データ管理部11、記憶装置12を備えている。データ管理部11は、データ管理装置1に格納されているプログラムがCPU,RAMなどのハードウェア資源を利用して実行されることにより実現する機能部である。データ管理部11は、ゲートウェイファイルサーバ3との間でインデックス情報や記憶装置12に格納されたデータの送受信を行う機能を備えている。
ゲートウェイファイルサーバ3は、アクセス制御部31、記憶装置32を備えている。アクセス制御部31は、ゲートウェイファイルサーバ3に格納されているプログラムがCPU,RAMなどのハードウェア資源を利用して実行されることにより実現する機能部である。記憶装置32には、インデックス情報101、データ管理装置データベース(以下、データベースをDBと略す。)102、クライアント装置DB103、アクセス権限DB104、アクセスログDB105を備えている。
インデックス情報101は、データ管理装置1から取得した情報である。インデックス情報101には、データ管理装置1が記憶装置12内に蓄積しているデータのインデックスが記録されている。クライアント装置4に対してこのインデックス情報101を提供することで、ユーザは、データ管理装置1にどのようなデータが格納されているかを知ることができる。表1は、インデックス情報101のレコードの内容を示す表である。
表1に示すように、インデックス情報101には、各データの「ファイル名」、「ファイルサイズ」、「ファイルの種類」、「ファイルの更新日時」が記録されている。また、ゲートウェイファイルサーバ3は、記憶装置32に、複数のデータ管理装置1のインデックス情報101を格納する。たとえば、図1に示すように、3つのデータ管理装置1が蓄積しているデータを利用するシステムであれば、ゲートウェイファイルサーバ3は、3つのデータ管理装置1のインデックス情報101を全て保持する。
データ管理装置DB102は、この通信システムで利用可能なデータ管理装置1のデータベースである。表2は、データ管理装置DB102の登録例を示す表である。ここでは、2つのデータ管理装置1(「DataserverA」および「DataserverB」)の登録例を示している。
表2において、「データ管理装置ID」は、複数あるデータ管理装置1を識別するIDである。「パスワード」は、各データ管理装置1が、ゲートウェイファイルサーバ3にログインするためのパスワードである。「接続状態」とは、現在ゲートウェイファイルサーバ3とTCPコネクションの接続が保持されているかどうかを登録するフィールドである。「インデックス最終更新日時」とは、データ管理装置1がゲートウェイファイルサーバ3にインデックス情報を最後に送信した日時の情報である。
クライアント装置DB103は、この通信システムを利用するクライアント装置4のデータベースである。表3は、クライアント装置DB103の登録例を示す表である。ここでは、2つのクライアント装置4(「ClientA」および「ClientB」)の登録例を示している。
表3において、「クライアント装置ID」は、複数あるクライアント装置4を識別するIDである。「パスワード」は、各クライアント装置4が、ゲートウェイファイルサーバ3にログインするためのパスワードである。「ログイン状態」とは、現在ゲートウェイファイルサーバ3にログインしているかどうかを設定するフィールドである。
アクセス権限DB104は、クライアント装置4のデータ管理装置1に対するアクセス権を登録するデータベースである。この通信システムは、複数のデータ管理装置1がデータを利用可能に提供するが、全てのクライアント装置4に対して一律にデータアクセスを許可するのではなく、このDB104でアクセス権限を管理するようにしている。表4は、アクセス権限DB104の登録例を示す図である。
表4においては、2つのデータ管理装置1(「DataserverA」および「DataserverB」)に関するアクセス権限が登録されている。つまり、DataserverAに対してはClientA,B,Cがアクセス可能であり、DataserverBに対してはClientAのみがアクセス可能となっている。なお、表4で示したように、個々のデータ管理装置1に対するアクセス権限を設定する以外に、グループ化されたデータ管理装置1に対してアクセス制限を設定してもよい。たとえば、同一のLANの中に存在する複数のデータ管理装置1に対して、共通のアクセス制限を設定する場合に便利である。この場合、データ管理装置IDには、グループIDを設定すればよい。
アクセスログDB105は、クライアント装置4がデータ管理装置1に格納されたデータにアクセスしたログを記録したデータベースである。表5は、アクセスログDB105の登録例を示す図である。たとえば、ClientAが、2005年11月5日の8時に、「DataserverA」に格納されたファイル「aaaa」を読み出した(R)というログが記録されている。あるいは、ClientBが、2005年11月5日の8時30分に、「DataserverB」にファイル「bbbb」を書き込みした(W)というログが記録されている。
以上の如く構成されたデータ管理装置1およびゲートウェイファイルサーバ3を利用した通信システムの処理の流れについて図3、図6〜図9のフローチャートを参照しながら説明する。なお、各フローチャートで実行される処理は、データ管理装置1については、データ管理部11により実行される処理であり、ゲートウェイファイルサーバ3については、アクセス制御部31により実行される処理である。
図3は、データ管理装置1、ゲートウェイファイルサーバ3、クライアント装置4を含めた全ての装置の間の処理の流れを示す図である。なお、以下において、適宜、ゲートウェイファイルサーバ3をサーバ3と略して説明する。
まず、データ管理装置1がサーバ3に対してTCP接続要求を行う(ステップS101)。このTCP接続要求は、ファイアーウォールの内側(LAN側)から外側(WAN側)へ向けて送信される要求であるので、ファイアーウォールにセキュリティを低下させるようなポート設定を行う必要はない。
サーバ3から応答があると(ステップS102)、データ管理装置1とサーバ3との間でTCPコネクションが確立される。次に、データ管理装置1はログイン要求を送信する(ステップS103)。このログイン要求にはパスワード情報が含まれる。サーバ3は、ログイン要求を受けると、データ管理装置DB102を参照してパスワードの認証を行う。そして、認証に成功すると応答する(ステップS104)。
データ管理装置1は、認証を受けると、次に、インデックス情報101をサーバ3に送信する(ステップS105)。インデックス情報101には、データ管理装置1が蓄積しているデータのインデックスが記録されている。サーバ3は、インデックス情報101を受信すると、このインデックス情報101を記憶装置32に格納する。そして、データ管理装置1に対してインデックス情報101の登録が完了したことを通知する応答を行う(ステップS106)。
このようにして、データ管理装置1が蓄積しているデータのインデックス情報101がサーバ3の記憶装置32に格納される。そして、インデックス情報101の送信が完了した後も、データ管理装置1は、サーバ3とのTCPコネクションを保持しておくのである。つまり、データ管理装置1からサーバ3に対してTCPコネクションを確立してインデックス情報を送信し、その後、そのTCPコネクションを保持しておくのである。
次に、クライアント装置4が、サーバ3に対してTCP接続要求を行う(ステップS107)。サーバ3は、WANに接続されるサーバであり、ファイアーウォールの外側に位置しているので、クライアント装置4は、サーバ3に対してアクセスすることが可能である。
サーバ3がTCP接続要求に対して応答すると(ステップS108)、クライアント装置4とサーバ3との間でTCPコネクションが確立される。次に、クライアント装置4がログイン要求を送信する(ステップS109)。このログイン要求には、パスワード情報が含まれる。サーバ3は、クライアント装置DB103を参照して、パスワードの認証を行い、認証に成功するとクライアント装置4に応答する(ステップS110)。
ログインに成功すると、クライアント装置4は、サーバ3に対してインデックス要求を送信する(ステップS111)。サーバ3は、記憶装置32に格納されているインデックス情報101をクライアント装置4に送信する(ステップS112)。ただし、サーバ3は、アクセス権限DB104を参照し、クライアント装置4がアクセス権限のあるデータ管理装置1(あるいはアクセス権限のあるグループに属するデータ管理装置1)のインデックス情報101のみを送信する。
このようにして、クライアント装置4では、インデックス情報101を受信すると、図4に示すようにクライアント装置4のモニタにインデックス情報101に基づいて生成されたユーザインタフェースが表示される。図4の例では、クライアント装置4は、DataserverA,B,Cの3つのデータ管理装置1のインデックス情報101を受信し、それら各データ管理装置1に格納されているデータの情報が表示されている。たとえば、図に示すようにデータがフォルダで管理されている場合には、そのフォルダを含めて階層的に表示すればユーザにとって利便性がよい。図では、DataserverAのフォルダが選択されることで、その配下のフォルダやファイルが表示されている。
ユーザは、図4で示したようなユーザインタフェースを参照し、アクセスしたいファイルを選択する。この操作に応答してクライアント装置4が、サーバ3にファイルアクセス要求を行う(ステップS113)。サーバ3は、ファイルアクセス要求を受信すると、データ管理装置1に対してファイルアクセス要求を転送する(ステップS114)。なお、このとき、データ管理装置1との間で保持されているTCPコネクション(ステップS101、102で確立されたTCPコネクション)が利用される。
データ管理装置1は、アクセス要求を受けると、該当するファイルをサーバ3に送信する(ステップS115)。サーバ3は、データ管理装置1から受信したファイルをクライアント装置4に転送する(ステップS116)。このようにして、クライアント装置4は、所望のファイルにアクセスすることができるのである。
クライアント装置4において、受信したファイルに変更が加えられると、クライアント装置4からサーバ3にファイル書き込み要求が送信される(ステップS117)。サーバ3は、保持しているTCPコネクションを利用して、データ管理装置1にファイル書き込み要求を転送する(ステップS118)。
データ管理装置1は、ファイルの書き込みを完了すると、サーバ3に応答する(ステップS119)。サーバ3は、書き込みが完了したことをクライアント装置4に応答する(ステップS120)。
ファイルの書き込み処理が実行されたことにより、データ管理装置1に格納されているデータの情報が変更されるので、データ管理装置1は、インデックス情報101を再度サーバ3に送信する(ステップS121)。サーバ3は、インデックス情報101を更新してデータ管理装置1に応答する(ステップS122)。
この後、任意のタイミングで(定期的に実行されることが好ましいが)、クライアント装置4から再びインデックス要求が行われると(ステップS123)、サーバ3は、更新されたインデックス情報101をクライアント装置4に送信する(ステップS124)。このようにして、クライアント装置4には、最新のインデックス情報101が提供される。
また、任意のタイミングで、データ管理装置1からサーバ3にログアウト要求が行われる(ステップS125)。サーバ3はログアウト処理を実行し、データ管理装置1に応答する(ステップS126)。これにより、データ管理装置1とサーバ3との間のTCPコネクションが切断される。
このときはまだ、クライアント装置4のモニタに図4で示したようなユーザインタフェースが表示されている。そして、再びクライアント装置4からファイルアクセス要求が送信される(ステップS127)。このときアクセス要求のあるファイルは、ステップS125によりログアウトしたデータ管理装置1に格納されているファイルであるとする。この場合、サーバ3は、クライアント装置4にエラー送信を行う(ステップS128)。つまり、アクセスが不可能となった旨の通知を行う。
これにより、クライアント装置4からサーバ3に対して再びインデックス要求が行われる(ステップS129)。サーバ3は、クライアント装置4に対して、データ管理装置1のログアウト情報を送信する(ステップS130)。あるいは、ログアウトしたデータ管理装置1のインデックス情報101を除いて最新のインデックス情報101を送信する。これにより、クライアント装置4のモニタには図5に示すようなユーザインタフェースが表示される。たとえば、DataserverBはログアウトされており、現在アクセス不可能であることが示されるのである。
ここまでは、本実施の形態の通信システムの処理方法を、データ管理装置1、サーバ3、クライアント装置4を含むシステム全体の処理の流れとして説明した。次に、図6ないし図9を参照しながら、サーバ3の処理に注目して説明する。
図6は、サーバ3が、データ管理装置1から接続要求を受けた後の処理フローチャートである。サーバ3は、データ管理装置1からのTCP接続要求を監視し(ステップS201)、接続要求を受けると、データ管理装置1との間でTCPコネクションを確立する。続いて、ログイン要求を監視し(ステップS202)、ログイン要求を受けると、パスワードの認証を行う。パスワードの認証は、データ管理装置DB102を参照して行う。パスワードが一致すればログインを許可する。
次に、データ管理装置1からインデックス情報101を受信するまで待機し(ステップS203)、インデックス情報101を受信すると、記憶装置32に格納する(ステップS204)。インデックス情報を受信した後は、TCPコネクションを保持する(ステップS205)。
次に、再度インデックス情報101を受信したかどうかをチェックし(ステップS206)、受信した場合には、インデックス情報101を更新する(ステップS220)。インデックス情報101を受信している場合は、ステップS220を繰り返し実行する。
インデックス情報101を受信していない場合、クライアント装置4によるイベントが発生したかどうかをチェックする(ステップS207)。イベントが発生していない場合には、データ管理装置1からのログアウト要求が発生していないかをチェックし(ステップS208)、ログアウト要求が発生している場合には、TCPコネクションを切断し(ステップS209)、ログアウトしたデータ管理装置1に関するインデックス情報101を削除する(ステップS210)。そして、データ管理装置DB102の登録内容を更新する(ステップS211)。具体的には、「接続状態」フィールドに切断中という情報を登録する。
ステップS207において、クライアントによるイベントが発生していると判定された場合には、ファイルアクセス要求が発生したかどうかをチェックする(ステップS212)。そして、ファイルアクセス要求が発生している場合には、データ管理装置1から該当するファイルを取得し(ステップS213)、当該ファイルをクライアント装置4に送信する(ステップS214)。ファイルを送信した後は、ファイルアクセスが完了したことを示す応答を送信する(ステップS215)。
ステップS212において、ファイルアクセス要求を受信しない場合、ファイル書き込み要求が発生しているかどうかをチェックする(ステップS216)。ファイル書き込み要求が発生している場合には、クライアント装置4からファイルを受信し(ステップS217)、データ管理装置1に対して当該ファイルを送信して書き込み要求を行う(ステップS218)。これにより、データ管理装置1に対するファイル書き込みが完了すると、クライアント装置4に対してファイルの書き込みが完了したこと通知する応答を行う(ステップS219)。なお、ステップS216でファイル書き込み要求でないと判定された場合は、他のイベントが発生している場合であり、それに応じた処理が実行されるが、ここでは説明を省略する。
図7は、サーバ3が、クライアント装置4から接続要求を受けた後の処理フローチャートである。
まず、サーバ3は、クライアント装置4からのTCP接続要求を監視し(ステップS301)、接続要求を受信した場合には、TCPコネクションを確立し、続いてログイン要求を監視する(ステップS302)。
ログイン要求を受信した場合には、クライアント装置DB103を参照して、パスワードの認証を行う。パスワードが一致した場合は、クライアント装置4のログインを許可する。このように、サーバ3においてユーザ認証を行うので、それぞれのデータ管理装置1において認証処理を行う必要がない。続いて、クライアント装置4から、インデックス情報101の受信要求が発生したかどうかをチェックする(ステップS303)。
インデックス情報101の受信要求が発生した場合、図8のフローチャートに移行する。まず、クライアント装置4がインデックス情報101の取得を希望するデータ管理装置1が現在ログイン中であるかどうかを確認する(ステップS401)。言い換えると、クライアント装置4がアクセス権限のあるデータ管理装置1がログイン中であるかどうかを確認する。具体的には、データ管理装置DB102を参照し、「接続状態」フィールドが「接続中」と登録されているかどうかをチェックする。
該当するデータ管理装置1が接続中でない場合には、データ管理装置1がログアウト中であることを示す情報をクライアント装置4に送信する(ステップS403)。該当するデータ管理装置1が接続中である場合には、そのデータ管理装置1に関するインデックス情報101をクライアント装置4に送信する(ステップS402)。
以上の処理が終了すると、再び図7のステップS303に戻り処理を繰り返す。
ステップS303において、インデックス情報101の受信要求が発生していなかった場合、ファイルアクセス要求が発生しているかどうかをチェックする(ステップS304)。ファイルアクセス要求が発生した場合、図9のフローチャートに移行する。まず、クライアント装置4がアクセスしたいファイルを蓄積しているデータ管理装置1が現在ログイン中であるかどうかを確認する(ステップS501)。つまり、データ管理装置DB102を参照し、「接続状態」フィールドが「接続中」と登録されているかどうかをチェックする。
該当するデータ管理装置1が接続中でない場合には、データ管理装置1がログアウト中であることを示す情報をクライアント装置4に送信する(ステップS504)。該当するデータ管理装置1が接続中である場合には、そのデータ管理装置1から指定されたファイルを読み出し(ステップS502)、当該ファイルをクライアント装置4に送信する(ステップS503)。
以上の処理が終了すると、再び図7のステップS303に戻り処理を繰り返す。
ステップS304において、ファイルのアクセス要求が発生していなかった場合、ファイル書き込み要求が発生しているかどうかをチェックする(ステップS305)。ファイル書き込み要求が発生した場合、図10のフローチャートに移行する。まず、クライアント装置4がファイルを書き込みしたいデータ管理装置1が現在ログイン中であるかどうかを確認する(ステップS601)。つまり、データ管理装置DB102を参照し、「接続状態」フィールドが「接続中」と登録されているかどうかをチェックする。
該当するデータ管理装置1が接続中でない場合には、データ管理装置1がログアウト中であることを示す情報をクライアント装置4に送信する(ステップS605)。該当するデータ管理装置1が接続中である場合には、クライアント装置4から書き込みファイルを受信し(ステップS602)、データ管理装置1に対して当該ファイルを送信し、書き込み処理を実行する(ステップS603)、書き込み処理が完了すると、クライアント装置4に対して書き込みが完了したことを通知する応答を行う(ステップS604)。
以上の処理が終了すると、再び図7のステップS303に戻り処理を繰り返す。
ステップS305において、ファイル書き込み要求が発生していなかった場合には、クライアント装置4からログアウト要求が発生しているかどうかをチェックし(ステップS306)、ログアウト要求が発生していない場合には、ステップS303に戻り処理を繰り返す。ログアウト要求が発生している場合には、ログアウト処理を実行し、クライアント装置DB103の情報を更新する(ステップS307)。具体的には、「ログイン状態」フィールドに「ログアウト」を設定する。
以上説明したように、本実施の形態の通信システムあるいはゲートウェイファイルサーバ3を利用することで、データ管理装置1あるいはデータ管理装置1が配置されたプライベートネットワークのセキュリティを確保しながら、データ管理装置1が格納しているデータに対するクライアント装置4のアクセスを可能とすることができる。具体的には、ファイアーウォール2に外部からのTCPコネクション接続を許可する設定を行うことなく、データ管理装置1に格納されているデータをアクセス可能とすることができる。
つまり、ファイアーウォール2の内側に存在するデータ管理装置1からゲートウェイファイルサーバ3に対してTCPコネクションの接続要求を行ってTCPコネクションを確立し、その後は、このTCPコネクションを保持するのである。そして、クライアント装置4からファイルへのアクセス要求や書き込み要求が発生した場合には、このTCPコネクションを利用してデータ管理装置1へアクセスするのである。これにより、ファイアーウォールにセキュリティホールが発生することを防止することができる。
また、クライアント装置4に対しては、データ管理装置1の場所(アドレス)は通知されず、クライアント装置4は、あくまでもインデックス情報101を参照して、ゲートウェイファイルサーバ3にアクセスするだけである。したがって、データ管理装置1の場所(アドレス)、実体データの格納場所を隠蔽することが可能であり、セキュリティを高く維持することが可能である。
また、クライアント装置4は、ゲートウェイファイルサーバ3にアクセスする設定情報だけを持っていれば良いので、データ管理装置1のアドレスなどが変更されても、クライアント装置4における設定を変更する必要はない。したがって、システムの変更に柔軟に対応できる構成となっている。
さらに、クライアント装置4(ユーザ)の認証は、ゲートウェイファイルサーバ3において行われる。したがって、各データ管理装置1において認証処理を行う必要がなく、認証情報についてもサーバ3において一元管理することが可能である。たとえば、クライアント装置4の情報が変更された場合にも、ゲートウェイファイルサーバ3が保持するクライアント装置DB103を変更すればよいので、管理負担も小さくすることができる。
また、データ管理装置1は、ゲートウェイファイルサーバ3との間で確立されているTCPコネクションを切断するだけで、即座にクライアント装置4からのアクセスを遮断することが可能である。したがって、緊急時のアクセス制限も容易に実行することが可能である。クライアント装置4から見ると、データ管理装置1がアクセス不可能な状態となっていても、ゲートウェイファイルサーバ3にアクセスしてアクセス不可能であることを知ることができるので利便性がよい。たとえば、アクセス不可能なデータサーバにアクセスして、応答が戻ってこないという問題(場合によってはアプリケーションがハングアップする場合もある。)を解消することが可能である。
1 データ管理装置
2 ファイアーウォール
3 ゲートウェイファイルサーバ
4 クライアント装置
2 ファイアーウォール
3 ゲートウェイファイルサーバ
4 クライアント装置
Claims (6)
- データ管理装置からのTCPコネクション接続要求を受け付けてTCPコネクションを保持し、保持しているTCPコネクションを用いて前記データ管理装置が管理しているデータのインデックス情報を受信する手段と、
クライアント装置に前記インデックス情報を送信する手段と、
前記クライアント装置から前記インデックス情報に基づいて前記データ管理装置が管理しているデータへのアクセス要求を受信した場合に、接続保持しているTCPコネクションを用いて前記データ管理装置から指定されたデータを取得し、前記クライアント装置に取得したデータを送信する手段と、
を備えることを特徴とするサーバ装置。 - 請求項1に記載のサーバ装置であって、さらに、
前記クライアント装置によるアクセス要求を認証する手段、
を備えることを特徴とするサーバ装置。 - 請求項1または請求項2に記載のサーバ装置において、さらに、
複数のデータ管理装置との間でTCPコネクションを保持して、複数のデータ管理装置からインデックス情報を受信する手段と、
各データ管理装置あるいはグループ化されたデータ管理装置に対する前記クライアント装置のアクセス権を設定する手段と、
アクセス権が与えられているデータ管理装置のインデックス情報を前記クライアント装置に送信する手段と、
を備えることを特徴とするサーバ装置。 - データ管理装置とサーバ装置とクライアント装置とを備える通信システムであって、
前記データ管理装置は、
データを蓄積管理する手段と、
前記サーバ装置にTCPコネクション接続を要求する手段と、
を備え、
前記サーバ装置は、
前記データ管理装置からのTCPコネクション接続要求を受け付けてTCPコネクションを保持し、保持しているTCPコネクションを用いて前記データ管理装置が管理しているデータのインデックス情報を受信する手段と、
前記クライアント装置に前記インデックス情報を送信する手段と、
を備え、
前記クライアント装置は、
前記インデックス情報に基づいて前記データ管理装置が管理しているデータへのアクセス要求を前記サーバ装置に送信する手段、
を備え、
前記サーバ装置は、さらに、
前記クライアント装置から前記データ管理装置が管理しているデータへのアクセス要求を受信した場合に、接続保持しているTCPコネクションを用いて前記データ管理装置から指定されたデータを取得し、前記クライアント装置に取得したデータを送信する手段、
を備えることを特徴とする通信システム。 - 請求項4に記載の通信システムであって、
前記サーバ装置は、さらに、
前記クライアント装置によるアクセス要求を認証する手段、
を備えることを特徴とする通信システム。 - 請求項4または請求項5に記載の通信システムにおいて、
前記サーバ装置は、さらに、
複数のデータ管理装置との間でTCPコネクションを保持して、複数のデータ管理装置からインデックス情報を受信する手段と、
各データ管理装置あるいはグループ化されたデータ管理装置に対する前記クライアント装置のアクセス権を設定する手段と、
アクセス権が与えられているデータ管理装置のインデックス情報を前記クライアント装置に送信する手段と、
を備えることを特徴とする通信システム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006077191A JP2007258806A (ja) | 2006-03-20 | 2006-03-20 | サーバ装置および通信システム |
| CNA200710085638XA CN101043418A (zh) | 2006-03-20 | 2007-03-06 | 服务器装置及通信*** |
| US11/717,203 US20070220132A1 (en) | 2006-03-20 | 2007-03-13 | Server device and communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006077191A JP2007258806A (ja) | 2006-03-20 | 2006-03-20 | サーバ装置および通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007258806A true JP2007258806A (ja) | 2007-10-04 |
Family
ID=38519254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006077191A Pending JP2007258806A (ja) | 2006-03-20 | 2006-03-20 | サーバ装置および通信システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070220132A1 (ja) |
| JP (1) | JP2007258806A (ja) |
| CN (1) | CN101043418A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112631887A (zh) * | 2020-12-25 | 2021-04-09 | 百度在线网络技术(北京)有限公司 | 异常检测方法、装置、电子设备和计算机可读存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9037750B2 (en) * | 2007-07-10 | 2015-05-19 | Qualcomm Incorporated | Methods and apparatus for data exchange in peer to peer communications |
| US20120246226A1 (en) * | 2011-03-23 | 2012-09-27 | Tappin Inc. | System and method for sharing data from a local network to a remote device |
| FR2990318B1 (fr) * | 2012-05-04 | 2014-05-23 | Bouygues Telecom Sa | Systeme et procedes d'acces a des contenus stockes sur un reseau local d'entreprise |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10214240A (ja) * | 1997-01-29 | 1998-08-11 | Kokusai Denshin Denwa Co Ltd <Kdd> | ファイル転送システム |
| JPH11232300A (ja) * | 1998-02-18 | 1999-08-27 | Nri & Ncc Co Ltd | ブラウジングクライアントサーバーシステム |
| JP2001216232A (ja) * | 2000-02-02 | 2001-08-10 | Deps:Kk | 検索システム |
| JP2001344245A (ja) * | 2000-03-29 | 2001-12-14 | Fujitsu Ltd | 情報処理装置 |
| JP2003169075A (ja) * | 2001-09-21 | 2003-06-13 | E-Jan Net Co | 接続支援サーバ、端末、接続支援システム、接続支援方法、通信プログラム、および接続支援プログラム |
| JP2003203049A (ja) * | 2002-01-08 | 2003-07-18 | Studio Orugao:Kk | ホームページ情報処理装置及びコンピュータ・ソフトウエア |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020078134A1 (en) * | 2000-12-18 | 2002-06-20 | Stone Alan E. | Push-based web site content indexing |
| US7496659B1 (en) * | 2003-08-06 | 2009-02-24 | Cisco Technology, Inc. | Method and apparatus for monitoring the availability of network resources |
| US20050182742A1 (en) * | 2004-02-18 | 2005-08-18 | Microsoft Corporation | Method and system for managing a portal |
-
2006
- 2006-03-20 JP JP2006077191A patent/JP2007258806A/ja active Pending
-
2007
- 2007-03-06 CN CNA200710085638XA patent/CN101043418A/zh active Pending
- 2007-03-13 US US11/717,203 patent/US20070220132A1/en not_active Abandoned
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10214240A (ja) * | 1997-01-29 | 1998-08-11 | Kokusai Denshin Denwa Co Ltd <Kdd> | ファイル転送システム |
| JPH11232300A (ja) * | 1998-02-18 | 1999-08-27 | Nri & Ncc Co Ltd | ブラウジングクライアントサーバーシステム |
| JP2001216232A (ja) * | 2000-02-02 | 2001-08-10 | Deps:Kk | 検索システム |
| JP2001344245A (ja) * | 2000-03-29 | 2001-12-14 | Fujitsu Ltd | 情報処理装置 |
| JP2003169075A (ja) * | 2001-09-21 | 2003-06-13 | E-Jan Net Co | 接続支援サーバ、端末、接続支援システム、接続支援方法、通信プログラム、および接続支援プログラム |
| JP2003203049A (ja) * | 2002-01-08 | 2003-07-18 | Studio Orugao:Kk | ホームページ情報処理装置及びコンピュータ・ソフトウエア |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112631887A (zh) * | 2020-12-25 | 2021-04-09 | 百度在线网络技术(北京)有限公司 | 异常检测方法、装置、电子设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101043418A (zh) | 2007-09-26 |
| US20070220132A1 (en) | 2007-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105359106B (zh) | 用于在基于云的文件***中提供对改变的通知的***和方法 | |
| RU2340939C2 (ru) | Автоматическое обнаружение и конфигурирование внешних сетевых устройств | |
| EP1654642B1 (en) | Methods and apparatus for verifying context participants in a context management system in a networked environment | |
| US8386536B2 (en) | Gateway server, file management system, and file management method and program | |
| US20060224688A1 (en) | System and method for utilizing a presence service to facilitate access to a service or application over a network | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| WO2005050625A2 (en) | Managed peer-to-peer applications in a secure network | |
| KR20080008331A (ko) | 서버 없는 피어-투-피어 시스템에서의 존재 모니터링 | |
| EP3605948A2 (en) | Distributing overlay network ingress information | |
| JP2007188184A (ja) | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 | |
| JP2007213397A (ja) | データ管理プログラム、データ管理装置およびプロトコルの切り替え方法 | |
| JP4858945B2 (ja) | システムにアクセスする方法及びネットワークシステム | |
| US11849053B2 (en) | Automation of user identity using network protocol providing secure granting or revocation of secured access rights | |
| JP2011076425A (ja) | 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム | |
| JP3961112B2 (ja) | パケット通信制御システム及びパケット通信制御装置 | |
| JP2007258806A (ja) | サーバ装置および通信システム | |
| KR100875964B1 (ko) | 네트워크 스토리지 시스템 | |
| KR102142045B1 (ko) | 멀티 클라우드 환경에서의 서버 감사 시스템 | |
| US20100146070A1 (en) | Filtering transferred data | |
| JP5336262B2 (ja) | ユーザ認証システムおよびユーザ認証方法 | |
| JP3649180B2 (ja) | セキュリティ管理システムおよび経路指定プログラム | |
| US11064544B2 (en) | Mobile communication system and pre-authentication filters | |
| JP6207340B2 (ja) | 画像形成装置及びその制御方法、並びにプログラム | |
| JP5300794B2 (ja) | コンテンツサーバ及びアクセス制御システム | |
| JP2008234256A (ja) | 情報処理システム及びコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090609 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090616 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090817 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090908 |