CN101115067A - 客户/服务器型分布式系统、客户装置、服务器装置及其使用的相互认证方法 - Google Patents
客户/服务器型分布式系统、客户装置、服务器装置及其使用的相互认证方法 Download PDFInfo
- Publication number
- CN101115067A CN101115067A CNA2007101367893A CN200710136789A CN101115067A CN 101115067 A CN101115067 A CN 101115067A CN A2007101367893 A CNA2007101367893 A CN A2007101367893A CN 200710136789 A CN200710136789 A CN 200710136789A CN 101115067 A CN101115067 A CN 101115067A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- server
- password
- customer set
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 29
- 230000004044 response Effects 0.000 claims description 258
- 230000000977 initiatory effect Effects 0.000 claims description 158
- 238000012423 maintenance Methods 0.000 claims description 77
- 238000004891 communication Methods 0.000 claims description 53
- 238000012545 processing Methods 0.000 claims description 45
- 230000002457 bidirectional effect Effects 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 106
- 230000009471 action Effects 0.000 description 102
- 238000010586 diagram Methods 0.000 description 54
- 230000000694 effects Effects 0.000 description 32
- 230000036541 health Effects 0.000 description 23
- 238000012544 monitoring process Methods 0.000 description 21
- 230000006870 function Effects 0.000 description 11
- 241001269238 Data Species 0.000 description 8
- 238000010276 construction Methods 0.000 description 4
- 230000008676 import Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
提供一种可增强SIP协议对应服务器装置的对伪装的安全性的客户/服务器型分布式系统。在由SIP协议对应服务器装置(1)和SIP协议对应客户装置(3-1~3-3)构成的客户/服务器型分布式系统中,由客户认证部(14、34)从SIP协议对应服务器装置(1)进行对SIP协议对应客户装置(3-1~3-3)的客户认证。在客户/服务器型分布式系统中,除了该客户认证外,由服务器认证部(15、35)从SIP协议对应客户装置(3-1~3-3)对SIP协议对应服务器装置(1)进行服务器认证。在客户/服务器型分布式系统中,若该双方向的认证成功,则认证完成。
Description
技术领域
本发明涉及到一种客户/服务器型分布式系统、客户装置、服务器装置、其使用的相互认证方法及其程序,特别涉及到一种SIP(SessionInitiation Protocol,会话启动协议)协议对应的客户/服务器型分布式系统的客户/服务器之间的REGISTER(位置信息注册)时的相互认证方法。
背景技术
SIP在IETF(Internet Engineering Task Force,因特网工程任务组)中定义为具有类似HTTP(Hyper Text Transfer Protocol,超文本传输协议)的结构的协议(例如参照非专利文献1),近些年来,一般作为通信协议使用。此外,由于SIP的连接方法和本发明没有直接关系,因此省略其说明。
对于和该SIP中的会话连接控制下的类似HTTP的认证动作相关的部分的详细动作,可参加HTTP认证[基本认证及Digest(摘要)认证](例如参照非专利文献2)。上述非专利文献1的第10章所述的注册(Registrations)是用于管理用户代理客户端的所属的动作。其中的步骤的说明的3项中,指出注册服务器应该进行用户代理客户端的认证。
在非专利文献1中,SIP服务器和注册服务器分别定义,但从装置角度而言,也需要考虑逻辑上存在于同一硬件上的情况。关于HTTP认证方式的客户认证,在参照非专利文献1的第20章的头字段的第6项“Authentication-Info”、第7项“Authorization”中收发信息的相互认证方法。在非专利文献1的第22章中阐述了HTTP认证的利用方法(“Usage of HTTP Authentication”)。
这些记载是SIP服务器和用户客户端的会话控制的接收请求时的认证,SIP服务器和用户客户端均是接收请求时进行认证的结构,其记载了相互认证,但严格来说并不是SIP服务器及与其连接用户客户端同时进行相互认证动作。因此,未考虑到防止有恶意的SIP服务器进行伪装并存在于注册服务器、和正规SIP服务器相同的域上时的伪装。
在SIP协议对应客户/服务器型分布式系统中,由于是在LAN(Local Area Network,局域网)上连接的系统,因此需要确保安全性,作为对策,在非专利文献1中定义了认证方式。该认证方式使用SIP协议对应的客户装置的用户名和密码,是以Challenge/Response(挑战/响应)方式从SIP协议对应的服务器装置认证SIP协议对应的客户装置的Digest(摘要)认证(以下称为客户认证)。
上述挑战/响应方式的大致的认证步骤如下所示:
(1)进行认证的服务器生成随机值;
(2)服务器将生成的随机值发送到认证的客户(挑战);
(3)客户组合从服务器接收的随机值、及双方共享的密码等值(密钥)进行计算,将计算结果(摘要)发送到服务器(响应);
(4)服务器在客户的计算结果与本地计算的值一致时,认为对方知道密钥,认证成功。
以下对参照了上述非专利文献1、2的现有例参照图31及图32进行说明。在以下说明中,说明SIP协议对应的客户/服务器型分布式系统中的客户认证方式。图31是表示构成现有例的客户认证方式的客户/服务器型分布式系统的服务器装置及客户装置的结构的框图。并且,图32是表示现有例的客户认证方式的动作的顺序图。
如图31所示,在现有的SIP协议对应客户/服务器型分布式系统中,SIP协议对应服务器装置(以下称为服务器装置)6及SIP协议对应客户装置(以下称为客户装置)8-1~8-3通过因特网/内部网/LAN(以下称为LAN)100连接。并且在图31中,仅图示了客户装置8-1的结构,其他客户装置8-2、8-3也具有和客户装置8-1相同的结构。
服务器装置6至少包括用户名/密码设定部11、用户名/密码输入接口部12、SIP接口部13、客户认证部14、SIP消息制作部16、SIP消息解析部17,并通过串行接口等连接本地维护控制台7。并且,服务器装置6的本地维护控制台7在服务器装置6施工期间等情况下临时设置,因此在使用中也可不连接。
客户装置8-1~8-3分别至少包括用户名/密码设定部31、用户名/密码输入接口81、SIP接口部33、客户认证部34、SIP消息制作部36、SIP消息解析部37,通过串行接口等连接本地维护控制台9。并且,客户装置8-1~8-3的本地维护控制台9在客户装置8-1~8-3施工期间等情况下临时设置,因此在使用中也可不连接。
接着,参照图32说明现有的SIP协议对应客户/服务器分布式系统中的客户认证方式的动作。此外在图32中表示了客户装置8-1的动作,客户装置8-2、8-3也进行和客户装置8-1相同的动作。
从和服务器装置6连接的本地维护控制台7事先输入客户装置8-1的用户名、密码时(图32的r11),用户名/密码输入接口部12接收含有该用户名/密码数据的设定要求(图32的r12),在确认了该用户名/密码的正常性时,将该用户名/密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/密码(图32的r21),从用户名/密码输入接口部12将设定完成发送到本地维护控制台7(图32的r22)。
从和客户装置8-1连接的本地维护控制台9事先输入客户装置8-1的用户名、密码时(图32的r41),用户名/密码输入接口部81接收含有该用户名/密码数据的设定要求(图32的r42),在确认了该用户名/密码的正常性时,将该用户名/密码传送到用户名/密码设定部31。用户名/密码设定部31存储该用户名/密码(图32的r31),从用户名/密码输入接口部81将设定完成发送到本地维护控制台9(图32的r32)。其中,输入到服务器装置6和客户装置8-1的用户名及密码是双方共享的值(同一值)。
将客户装置8-1组装到服务器装置6含有的SIP协议对应客户/服务器型分布式系统,使之运转时,在用户名/密码设定部31中设定了用户名/密码后,执行客户装置8-1的启动(图32的r33),则客户认证部34指示SIP消息制作部36制作注册(REGISTER)消息。其中,注册消息是用于客户装置8-1将当前的位置信息注册到服务器装置6的消息。
SIP消息制作部36将制作的注册消息转发到SIP接口部33,SIP接口部33经由LAN 100将该注册消息发送到服务器装置6的SIP接口部13(图32的r34)。
接收到注册消息的服务器装置6的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是注册消息时,指示客户认证部14开始客户装置8-1的认证。
被指示开始客户装置8-1的认证的客户认证部14,向SIP消息制作部16指示制作添加有挑战(Challenge)的401响应消息(401Unauthorized/未授权),并存储该挑战数据。
SIP消息制作部16制作添加有该挑战的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN 100将该401响应消息发送到客户装置8-1的SIP接口部33(图32的r23)。
接收到添加有挑战的401响应消息的客户装置8-1的SIP接口部33确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战的401响应消息时,将挑战通知到客户认证部34。
接收到挑战通知的客户认证部34指示SIP消息制作部36制作添加有摘要(Digest)的注册消息。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN 100发送到服务器装置6的SIP接口部13(图32的r35)。
接收到添加有摘要的注册消息的服务器装置6的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知给客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图32的r24),在认证成功时,结束客户装置8-1的认证,指示SIP消息制作部16制作200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN 100发送到客户装置8-1的SIP接口部33(图32的r25)。
接收到200响应消息的客户装置8-1的SIP接口部33确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,向客户认证部34通知接收到了客户认证成功的响应。客户认证部34接收客户认证成功响应接收通知,获知客户认证成功(图32的r26)。
在上述结构及流程中,从服务器装置6对客户装置8-1的客户认证成功完成时,可进行系统动作,之后可进行SIP协议对应客户/服务器之间的通信及呼叫处理。并且,挑战是在服务器装置6中通过挑战/响应(Challenge/Response)方式的认证步骤的(2)计算的值,响应是在客户装置8-1中通过挑战/响应方式的认证步骤的(3)计算的值。
作为上述SIP协议对应客户/服务器型分布式系统,还提出了利用上述服务器和客户之间的认证在客户之间构建安全的数据通道的技术(例如参照专利文献1)。
专利文献1:日本专利特开2005-229436号公报
非专利文献1:“SIP:Session Initiation Protocol”[RFC(Request ForComments)3261,June 2002]
非专利文献2:“HTTP Authentication:Basic and Digest AccessAuthentication”(RFC 2617,June 1999)
在上述现有的SIP协议对应客户/服务器型分布式系统中,在客户认证中,SIP协议对应服务器装置对SIP协议对应客户装置的客户认证如果成功,则可在SIP协议对应客户装置的系统内进行动作,可进行SIP协议对应客户/服务器之间的通信及呼叫处理,因此当因特网/内部网/LAN上连接了具有和SIP协议对应服务器装置同样接口功能的其他SIP协议对应服务器装置时,存在SIP协议对应客户装置可能错误连接到SIP协议对应服务器装置的问题。
并且,在现有的SIP协议对应客户/服务器型分布式系统中,可由恶意的第三者伪装成SIP协议对应服务器装置,因此当因特网/内部网/LAN上连接了具有和SIP协议对应服务器装置同样接口功能的其他SIP协议对应服务器装置时,SIP协议对应客户装置可能错误连接到SIP协议对应服务器装置,存在无法防止SIP协议对应服务器装置的伪装等的问题。
因此,在现有的SIP协议对应客户/服务器型分布式系统中,在客户认证中,虽然可防止SIP协议对应客户装置的伪装。但无法防止SIP协议对应服务器装置的伪装,存在难于确保高度安全性的问题。
并且,在现有的SIP协议对应客户/服务器型分布式系统中,在客户认证中,在客户认证中,可长时间地连续进行同一认证结果下的SIP协议对应客户/服务器之间的通信,因此存在受到黑客攻击的可能性。
进一步,在现有的SIP协议对应客户/服务器型分布式系统中,在客户认证中,当客户/服务器之间的通信中断一定时间以上时,客户装置从系统分离,变得无法通信,存在无法进行系统恢复的问题。这种情况下,在现有的SIP协议对应客户/服务器型分布式系统中,当客户/服务器之间的通信一定时间以上中断时,使对客户的认证保存有效时,则存在可能无法防止第三者伪装客户装置的问题。
并且,在现有的SIP协议对应客户/服务器型分布式系统中,在客户认证中,用于认证的密码从外部维护接口输入时,需要通过人手输入/管理认证数据的工时,及存在维护者误输入的可能性,并且存在密码推测较为容易的问题。这些问题存在系统规模的扩大而变得明显。这种情况下,在现有的SIP协议对应客户/服务器型分布式系统中,因通过人手输入认证数据,因此无论维护者有无恶意,存在认证数据可能外泄的问题。
发明内容
因此,本发明的目的在于解决上述问题,提供一种可增强对SIP协议对应服务器装置的伪装的安全性的客户/服务器型分布式系统、客户装置、服务器装置及其所使用的相互认证方法及其程序。
本发明中的SIP协议对应的客户/服务器型分布式系统中,使SIP(会话启动协议)协议对应的客户装置和上述SIP协议对应的服务器装置分别连接到网络,上述客户装置将位置信息注册到上述服务器装置时,从上述服务器装置进行认证上述客户装置的客户认证,其中,上述服务器装置及上述客户装置分别具有用于从上述客户装置进行上述服务器装置的认证的单元。
本发明中的客户装置具有上述客户/服务器型分布式系统所述的单元。
本发明中的服务器装置具有上述客户/服务器型分布式系统所述的单元。
本发明中的相互认证方法,用于如下SIP协议对应的客户/服务器型分布式系统:使SIP(会话启动协议)协议对应的客户装置和上述SIP协议对应的服务器装置分别连接到网络,上述客户装置将位置信息注册到上述服务器装置时,从上述服务器装置进行认证上述客户装置的客户认证,其中,上述服务器装置及上述客户装置分别执行用于从上述客户装置进行上述服务器装置的认证的处理。
本发明中的程序是在SIP协议对应的客户/服务器型分布式系统中由客户装置执行的程序,上述系统使SIP(会话启动协议)协议对应的客户装置和上述SIP协议对应的服务器装置分别连接到网络,上述客户装置将位置信息注册到上述服务器装置时,从上述服务器装置进行认证上述客户装置的客户认证,其中,使上述客户装置的中央处理装置进行:设定存储从外部输入的服务器装置的服务器名和客户装置的用户名及密码的处理;认证连接的服务器装置的服务器名及密码的处理,从上述客户装置进行上述服务器装置的认证。
即,本发明的客户/服务器型分布式系统在连接到网络(例如因特网、内部网、LAN(局域网)等)的SIP(会话启动协议)协议对应的客户/服务器型分布式系统中,当从SIP协议对应服务器装置(以下称为服务器装置)对SIP协议对应客户装置(以下称为客户装置)进行摘要认证时(以下称为客户认证)(参照非专利文献1),在服务器装置中设置:通过LAN或串行接口连接的维护接口;输入设定经由该维护接口输入的客户装置的用户名及密码的单元;在利用客户装置时,认证连接的客户装置的用户名和密码的单元;以及使用SIP协议进行与客户装置的通信的单元。
并且,在本发明的客户/服务器型分布式系统中,在客户装置中设置:以Telnet接口、串行接口为代表的维护接口;设定从该维护接口输入的服务器装置的服务器名和客户装置的用户名及密码的单元;使用客户装置时,认证连接的服务器装置的服务器名及密码的单元;以及使用SIP协议进行与服务器装置的通信的单元。
这样一来,在本发明的客户/服务器型分布式系统中,在上述结构下,通过进行客户装置对服务器装置的认证(以下称为服务器认证),可增强对服务器装置的伪装的安全性。其中,服务器认证通过上述客户认证中的步骤(挑战/响应方式的认证步骤)以客户装置执行服务器装置的步骤、服务器装置执行客户装置的步骤的方式来进行。
并且,在本发明的客户/服务器型分布式系统中,在上述结构下,通过定期执行客户装置和服务器装置之间的客户认证、服务器认证,可使客户装置和服务器装置之间可长时间连续通信引起的安全性下降的机会最小化。
进一步,在本发明的客户/服务器型分布式系统中,在上述结构下,在客户装置和服务器装置之间的通信中断一定时间时,通过再执行客户认证、服务器认证,可顺利进行系统恢复,并且可使安全性下降的机会最小化。
进一步,在本发明的客户/服务器型分布式系统中,在上述结构下,客户装置和服务器装置之间的客户认证、服务器认证使用从外部维护接口输入的一次性密码、仅在客户装置初次启动时执行,第二次以后启动时使用从认定完成的服务器装置自动生成/通知的相互认证密码,可提高密码的安全性。
发明效果
本发明通过上述结构和动作,具有可增强对SIP协议对应服务器装置的伪装的安全性的效果。
附图说明
图1是表示本发明的第一实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。
图2是表示本发明的第一实施例的客户/服务器型分布式系统的动作的顺序图。
图3是表示本发明的第二实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图4是表示本发明的第三实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。
图5是表示本发明的第三实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图6是表示本发明的第四实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图7是表示本发明的第五实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图8是表示本发明的第六实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。
图9是表示本发明的第六实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图10是表示本发明的第七实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。
图11是表示本发明的第七实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图12是表示本发明的第八实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。
图13是表示本发明的第八实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图14是表示本发明的第八实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图15是表示本发明的第九实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。
图16是表示本发明的第九实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图17是表示本发明的第九实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图18是表示本发明的第十实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图19是表示本发明的第十实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图20是表示本发明的第十一实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图21是表示本发明的第十一实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图22是表示本发明的第十三实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。
图23是表示本发明的第十三实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图24是表示本发明的第十三实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图25是表示本发明的第十四实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图26是表示本发明的第十四实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图27是表示本发明的第十五实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。
图28是表示本发明的第十五实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。
图29是用于说明本发明的效果的图。
图30是用于说明本发明的效果的图。
图31是表示现有的维护接口利用者认证方式的系统结构的框图。
图32是表示图31所示的系统的动作的顺序图。
具体实施方式
以下参照附图说明本发明的实施例。
图1是表示本发明的第一实施例的SIP(会话启动协议)协议对应的客户/服务器型分布式系统的结构的框图。在图1中,本发明的第一实施例的客户/服务器型分布式系统由SIP协议对应服务器装置(以下称为服务器装置)1、本地维护控制台2、4、SIP协议对应客户装置(以下称为客户装置)3-1~3-3、和维护控制台5构成,服务器装置1和客户装置3-1~3-3及维护控制台5分别连接到LAN(局域网)100。
服务器装置1至少具有用户名/密码设定部11、用户名/密码输入接口部12、SIP接口部13、客户认证部14、服务器认证部15、SIP消息制作部16、和SIP消息解析部17,并通过串行电缆等连接本地维护控制台2。此外,本地维护控制台2在服务器装置1施工期间等时临时设置,因此在服务器装置1使用中也可不连接。
并且,在服务器装置1中,上述用户名/密码设定部11、用户名密码输入接口部12、SIP接口部13、客户认证部14、服务器认证部15、SIP消息制作部16、SIP消息解析部17,可分别通过CPU(中央处理装置) (未图示)执行程序来实现。
客户装置3-1至少具有用户名/密码设定部31、服务器名/用户名/密码输入接口部32、SIP接口部33、客户认证部34、服务器认证部35、SIP消息制作部36、SIP消息解析部37,通过串行电缆等连接本地维护控制台4。此外,本地维护控制台4在客户装置3-1施工期间等时临时设置,因此在客户装置3-1使用中也可不连接。
并且,在客户装置3-1中,上述用户名/密码设定部31、服务器名/用户名/密码输入接口部32、SIP接口部33、客户认证部34、服务器认证部35、SIP消息制作部36、SIP消息解析部37,可分别通过CPU(未图示)执行程序来实现。进一步,客户装置3-2、3-3是和上述客户装置3-1相同的结构。
在本实施例中,通过实现上述结构,从服务器装置1认证客户装置3-1,从客户装置3-1认证服务器装置1。图2是表示本发明的第一实施例的客户/服务器型分布式系统的动作的顺序图。参照图1及图2说明本发明的第一实施例的客户/服务器型分布式系统的动作。此外,图2所示的服务器装置1的处理及客户装置3-1的处理,通过服务器装置1及客户装置3-1各自的CPU执行程序来实现。
预先从与服务器装置1连接的本地维护控制台2输入客户装置3-1的用户名和密码时(图2的a11),用户名/密码输入接口部12接收含有该用户名/密码数据的设定要求(图2的a12),在可确认该用户名/密码的正常性时,将该用户名/密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/密码(图2的a21),从用户名/密码输入接口部12向本地维护控制台2发送设定完成(图2的a22)。
并且,预先从与客户装置3-1连接的本地维护控制台4输入服务器装置1的服务器名、客户装置3-1的用户名和密码时(图2的a41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/密码数据的设定要求(图2的a42),在可确认该服务器名/用户名/密码的正常性时,将该服务器名/用户名/密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/密码(图2的a31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图2的a32)。其中,输入到服务器装置1和客户装置3-1的用户名及密码是双方共享的值(同一值)。
在用户名/密码设定部31中设定了服务器名/用户名/密码后,实施客户装置3-1的启动时(图2的a33),服务器认证部35指示SIP消息制作部36制作添加有从客户装置3-1对服务器装置1认证(以下称为服务器认证)用的认证要求数据(以下称为服务器认证要求数据)的注册(REGISTER)消息,并存储该服务器认证要求数据。其中,注册消息是用于客户装置3-1将当前的位置信息注册到服务器装置1的消息。
SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN 100将该注册消息发送到服务器装置1的SIP接口部13(图2的a34)。
接收到添加有服务器认证要求数据的注册消息的服务器装置1的SIP接口部13确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有服务器认证要求数据的注册消息时,指示客户认证部14开始客户装置3-1的认证,将该服务器认证要求数据通知服务器认证部15。
指示开始客户装置3-1的认证的客户认证部14,指示SIP消息制作部16制作添加有挑战(Challenge)的401响应消息,并存储该挑战数据。其中,挑战数据表示在上述挑战/响应(Challenge/Response)方式的认证步骤中生成的随机值。
同时,服务器认证部15指示SIP消息制作部16制作添加有服务器认证用认证数据(以下称为服务器认证数据)的401响应消息(401Unauthorized/未授权)。SIP消息制作部16制作添加有该挑战和该服务器认证数据的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN 100将该401响应消息发送到客户装置3-1的SIP接口部33(图2的a23)。
接收到添加有挑战和服务器认证数据的401响应消息的客户装置301的SIP接口部33,确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和服务器认证数据的401响应消息时,将挑战数据通知客户认证部34,将服务器认证数据通知服务器认证部35。
服务器认证部35,利用在用户名/密码设定部31中设定的服务器名/用户名/密码,进行接收的服务器认证数据的认证,在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34获知服务器认证成功,指示SIP消息制作部36制作添加有摘要(Digest)的注册消息。
SIP消息制作部36制作添加有摘要的注册消息,并将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN 100发送到服务器装置1的SIP接口部13(图2的a36)。其中,摘要是在上述挑战/响应方式的认证步骤中将接收的随机值(挑战数据)和双方共享的密码等的值(密钥)组合而计算的值。
接收到添加有摘要的注册消息的服务器装置1的SIP接口部13确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图2的a24),在认证成功时,使客户装置3-1的认证结束,指示SIP消息制作部16制作200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN10发送到客户装置3-1的SIP接口部33(图2的a25)。
接收到200响应消息的客户装置3-1的SIP接口部33确认该200响应消息的格式的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,向客户认证部通知接收客户认证成功响应。客户认证部34接收客户认证成功响应接收通知,获知客户认证成功(图2的a26)。
因此,客户装置3-1在对应的服务器装置1的服务器认证不成功时不完成认证,从而可增强SIP协议对应的客户/服务器型分布式系统中的安全性。
(实施例2)
图3是表示本发明的第二实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。本发明的第二实施例的客户/服务器型分布式系统的结构与图1所示的本发明的第一实施例的客户/服务器型分布式系统相同,因此省略其说明。以下参照图1和图3说明本发明的第二实施例的客户/服务器型分布式系统的动作。此外,图3所示的服务器装置1的处理及客户装置3-1的处理,通过服务器装置1及客户装置3-1的各CPU执行程序来实现。
从经由LAN 100连接到服务器装置1的维护控制台5预先输入客户装置3-1的用户名和密码时(图3的b11),用户名/密码输入接口部12接收含有该用户名/密码数据的设定要求(图3的b12),在确认了该用户名/密码的正常性时,将该用户名/密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/密码(图3的b21),从用户名/密码输入接口部12将设定完成发送到维护控制台5(图3的b22)。
从经由LAN 100连接到客户装置3-1的维护控制台5预先输入服务器装置1的服务器名、客户装置3的用户名和密码时(图3的b13),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/密码数据的设定要求(图3的b14),在可确认该服务器名/用户名/密码的正常性时,将该服务器名/用户名/密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/密码(图3的b31),从服务器名/用户名/密码输入接口部32向维护控制台5发送设定完成(图3的b32)。其中,输入到服务器装置1和客户装置3-1的用户名及密码是双方共享的值(同一值)。
结束对服务器装置1的客户装置3-1的用户名及密码的设定、对客户装置3-1的服务器装置1的服务器名及客户装置3-1的用户名及密码的设定,客户装置3-1的启动开始之后的动作(图3的b23~b26,b33~b36)和上述本发明的第一实施例一样,因此省略其说明。
因此在本实施例中,通过对服务器装置1及客户装置3-1使用LAN100连接的维护控制台5来设定,从而可确保其易于维护。此外,未说明客户装置3-2、3-3的动作,但其可获得与使用客户装置3-1时同样的效果。
(实施例3)
图4是表示本发明的第三实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。在图4中,本发明的第三实施例的客户/服务器型分布式系统除了连接到LAN 100的维护控制台5以外,具有和图1所示的本发明的第一实施例的客户/服务器分布式型系统相同的结构,对相同的结构要素标以相同的标号。但在本发明的第三实施例中,进行客户认证和服务器认证时,在客户装置3-1~3-3中进行服务器认证用的挑战(以下称为逆挑战)生成、逆摘要认证,在服务器装置1中进行服务器认证用的摘要(以下称为逆摘要)的制作。
在本实施例中,通过实现上述结构,可从服务器装置1认证客户装置3-1~3-3、从客户装置3-1~3-3认证服务器装置1。
图5是表示本发明的第三实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。参照图4及图5说明本发明的第三实施例的客户/服务器型分布式系统的动作。此外,图5所示的服务器装置1的处理及客户装置3-1的处理,通过服务器装置1及客户装置3-1各自的CPU执行程序来实现。
从连接到服务器装置1的本地维护控制台2预先输入客户装置3-1的用户名和密码时(图5的c11),用户名/密码输入接口部12接收含有该用户名/密码数据的设定要求(图5的c12),在确认了该用户名/密码的正常性时,将该用户名/密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/密码(图5的c21),从用户名/密码输入接口部12将设定完成发送到本地维护控制台2(图5的c22)。
从连接到客户装置3-1的本地维护控制台4预先输入服务器装置1的服务器名、客户装置3-1的用户名和密码时(图5的c41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/密码数据的设定要求(图5的c42),在可确认该服务器名/用户名/密码的正常性时,将该服务器名/用户名/密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/密码(图5的c31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图5的c32)。其中,输入到服务器装置1和客户装置3-1的用户名及密码是双方共享的值(同一值)。
在用户名/密码设定部31中设定了服务器名/用户名/密码后,实施客户装置3-1的启动时(图5的c32),服务器认证部35制作逆挑战,指示SIP消息制作部36制作添加有该逆挑战的注册消息,并存储该逆挑战(图5的c33)。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN 100将该注册消息发送到服务器装置1的SIP接口部13(图5的c33)。
接收到添加有逆挑战的注册消息的服务器装置1的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unauthorized/未授权),并存储该挑战(图5的c23)。同时,服务器认证部15制作逆摘要(图5的c24),指示SIP消息制作部16制作添加有该逆摘要的401响应消息。
SIP消息制作部16制作添加有该挑战和该逆摘要的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN100将该401响应消息发送到客户装置3-1的SIP接口部33(图5的c25)。
接收到添加有挑战和逆摘要的401响应消息的客户装置3-1的SIP接口部33,确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要的401响应消息时,向客户认证部34通知挑战数据,向服务器认证部35通知逆摘要数据。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图5的c36),在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34,获知服务器认证成功,制作摘要,指示SIP消息制作部36制作添加有该摘要的注册消息。SIP消息制作部36制作添加有该摘要的注册消息,将该制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN 100发送到服务器装置1的SIP接口部13(图5的c37)。
接收到添加有摘要的注册消息的服务器装置1的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图5的c26),认证成功时,使客户装置3-1的认证完成,指示SIP消息制作部16制作200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN 100发送到客户装置3-1的SIP接口部33(图5的c27)。
接收到200响应消息的客户装置3-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34接收客户认证成功响应。客户认证部34接收客户认证成功响应接收通知,获知客户认证成功(图5的c28)。
因此在本实施例中,除了上述本发明的第一及第二实施例中的效果外,客户装置3-1在服务器装置1的服务器认证不成功时不完成认证,可增强SIP协议对应的客户/服务器型分布式系统中的安全性。
并且在本实施例中,在从客户装置3-1对服务器装置1的认证方法中,将客户认证定义为相反方向定义的服务器认证来使用,从而可使客户认证部14、34及服务器认证部15、35具有相同的结构,可提高装置开发的效率。此外,虽然没有说明客户装置3-2、3-3的动作,但其可获得和使用客户装置3-1时相同的效果。
(实施例4)
图6是表示本发明的第四实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。本发明的第四实施例的客户/服务器型分布式系统和图4所示的本发明的第三实施例的客户/服务器型分布式系统具有相同的结构,因此省略其结构说明。本发明的第四实施例的客户/服务器型分布式系统和本发明第三实施例的客户/服务器型分布式系统的不同点在于,客户认证和服务器认证同时成功才算作认证成功。
以下参照图4和图6说明本发明的第四实施例的客户/服务器型分布式系统的动作。此外,图6所示的服务器装置1的处理及客户装置3-1的处理,通过服务器装置1及客户装置3-1各自的CPU执行程序来实现。
从连接到服务器装置1的本地维护控制台2预先输入客户装置3-1的用户名和密码时(图6的d11),用户名/密码输入接口部12接收含有该用户名/密码数据的设定要求(图6的d12),在确认了该用户名/密码的正常性时,将该用户名/密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/密码(图6的d21),从用户名/密码输入接口部12将设定完成发送到本地维护控制台2(图6的d22)。
从连接到客户装置3-1的本地维护控制台4预先输入服务器装置1的服务器名、客户装置3-1的用户名和密码时(图6的d41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/密码数据的设定要求(图6的d42),在可确认该服务器名/用户名/密码的正常性时,将该服务器名/用户名/密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/密码(图6的d31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图6的d32)。其中,输入到服务器装置1和客户装置3-1的用户名及密码是双方共享的值(同一值)。
用户名/密码设定部31中设定了服务器名/用户名/密码后,实施客户装置3-1的启动时(图6的d33),服务器认证部35制作服务器认证用的挑战(以下称为逆挑战),指示SIP消息制作部36制作添加有该逆挑战的注册消息,并存储该逆挑战。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN 100将该注册消息发送到服务器装置1的SIP接口部13(图6的d34)。
接收到添加有逆挑战的注册消息的服务器装置1的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unauthorized/未授权),并存储该挑战(图5的c23)。同时,服务器认证部15制作服务器认证用的摘要(以下称逆摘要),指示SIP消息制作部16制作添加有该逆摘要的401响应消息。SIP消息制作部16制作添加有该挑战和该逆摘要的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN 100将该401响应消息发送到客户装置3-1的SIP接口部33(图6的d23)。
接收到添加有挑战和逆注册消息的401响应消息的客户3-1的SIP接口部33,确认该401响应消息的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要的401响应消息时,将挑战数据通知客户认证部34,并将逆摘要数据通知服务器认证部35。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图6的d35),在认证成功时,对客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34,获知服务器认证成功,制作摘要,指示SIP消息制作部36制作添加有该摘要的注册消息。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN 100发送到服务器装置1的SIP接口部13(图6的d36)。
接收到添加有摘要的注册消息的服务器装置1的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图6的d24),当认证成功时,结束客户装置3-1的认证,允许含有服务器装置1的SIP协议对应的客户/服务器型分布式系统内的客户装置3-1的动作,指示SIP消息制作部1 6制作200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN 100发送到客户装置3-1的SIP接口部33(图6的d25)。
接收到200响应消息的客户装置3-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34接收客户认证成功响应。客户认证部34接收客户认证成功响应通知,获知认证成功,开始含有服务器装置1的SIP协议对应的客户/服务器型分布式系统内的客户装置3-1的动作(图6的d26)。
这样一来,在本实施例中,除了上述本发明的第一到第三实施例中的效果外,当服务器装置1中的客户装置3-1的客户认证、及客户装置3-1中的服务器装置1的服务器认证不成功时,就不允许客户装置3-1在SIP协议对应的客户/服务器分布式型系统内的动作,从而可防止对客户装置3-1和服务器装置1之间的双向的伪装,可增强安全性。此外,虽然没有说明客户装置3-2、3-3的动作,但其可获得和使用客户装置3-1时相同的效果。
(实施例5)
图7是表示本发明的第五实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。本发明的第五实施例的客户/服务器型分布式系统和图4所示的本发明的第三实施例的客户/服务器型分布式系统具有相同的结构,因此省略其结构说明。本发明的第五实施例的客户/服务器型分布式系统和本发明第三实施例的客户/服务器型分布式系统的不同点在于,初次认证使用一次性密码。
以下参照图4和图7说明本发明的第五实施例的客户/服务器型分布式系统的动作。此外,图7所示的服务器装置1的处理及客户装置3-1的处理,通过服务器装置1及客户装置3-1各自的CPU执行程序来实现。
从连接到服务器装置1的本地维护控制台2预先输入客户装置3-1的用户名和一次性密码时(图7的e11),用户名/密码输入接口部12接收含有该用户名/一次性密码数据的设定要求(图7的e12),在确认了该用户名/一次性密码的正常性时,将该用户名/一次性密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/一次性密码(图7的e21),从用户名/密码输入接口部12将设定完成发送到本地维护控制台2(图7的e22)。
从连接到客户装置3-1的本地维护控制台4预先输入服务器装置1的服务器名、客户装置3-1的用户名和一次性密码时(图7的e41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/一次性密码数据的设定要求(图7的e42),在可确认该服务器名/用户名/一次性密码的正常性时,将该服务器名/用户名/一次性密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/一次性密码(图7的e31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图7的e32)。其中,输入到服务器装置1和客户装置3-1的用户名及一次性密码是双方共享的值(同一值)。
在用户名/密码设定部31中设定了服务器名/用户名/一次性密码后,实施客户装置3-1的启动时(图7的e33),服务器认证部35制作逆挑战,向SIP消息制作部36指示制作添加有该逆挑战的注册消息,并存储该逆挑战。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN100将该注册消息发送到服务器装置1的SIP接口部13(图7的e34)。
接收到添加有逆挑战的注册消息的服务器装置1的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unauthorized),并存储该挑战。同时,服务器认证部15制作逆摘要,指示SIP消息制作部16制作添加有该逆摘要的401响应消息。SIP消息制作部16制作添加有该挑战和该逆摘要的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN 100将该401响应消息发送到客户装置3-1的SIP接口部33(图7的e23)。
接收到添加有挑战和逆摘要的401响应消息的客户3-1的SIP接口部33,确认该401响应消息的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要的401响应消息时,将挑战数据通知客户认证部34,并将逆摘要数据通知服务器认证部35。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图7的e35),在认证成功时,对客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34获知服务器认证成功,制作摘要,指示SIP消息制作部36制作添加有该摘要的注册消息。SIP消息制作部36制作添加有该摘要的注册消息,并将该制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN 100发送到服务器装置1的SIP接口部13(图7的e36)。
接收到添加有摘要的注册消息的服务器装置1的SIP接口部13确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图7的e24),当认证成功时,使客户装置3-1的认证完成,允许含有服务器装置1的SIP协议对应的客户/服务器型分布式系统内的客户装置3-1的动作,指示SIP消息制作部16制作200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN 100发送到客户装置3-1的SIP接口部33(图7的e25)。
并且,客户认证部14指示用户名/密码设定部11使一次性密码失效,被指示使一次性密码失效的用户名/密码设定部11,使存储的一次性密码失效(图7的e27)。
接收到200响应消息的客户装置3-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34接收客户认证成功响应。客户认证部34接收客户认证成功响应通知,获知认证成功,开始含有服务器装置1的SIP协议对应的客户/服务器型分布式系统内的客户装置3-1的动作(图7的e26)。
并且,客户认证部34指示用户名/密码设定部31使一次性密码失效,被指示使一次性密码失效的用户名/密码设定部31,使存储的一次性密码失效(图7的e37)。
这样一来,在本实施例中,除了上述本发明的第一到第四实施例中的效果外,使客户装置3-1和服务器装置1之间的认证所使用的密码为一次性密码,在客户认证及服务器认证结束后使一次性密码失效,以及外部维护者输入的同一密码的认证不进行二次以上,从而可防止人为的密码泄漏,可增强SIP协议对应的客户/服务器型分布式系统中的安全性。此外,虽然没有说明客户装置3-2、3-3的动作,但其可获得和使用客户装置3-1时相同的效果。
(实施例6)
图8是表示本发明的第六实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。在图8中,本发明的第六实施例的客户/服务器型分布式系统除了服务器装置1a上增加相互认证密码制作部18以外,具有和图4所示的本发明的第三实施例的客户/服务器分布式型系统相同的结构,对相同的结构要素标以相同的标号。但在本发明的第六实施例中,在相互认证密码制作部18中进行相互认证密码的自动生成,并将该相互认证密码设定在客户装置3-1中。
在本实施例中,通过实现上述结构,可从服务器装置1a认证客户装置3-1、从客户装置3-1认证服务器装置1a。
图9是表示本发明的第六实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。参照图8及图9说明本发明的第六实施例的客户/服务器型分布式系统的动作。此外,图9所示的服务器装置1a的处理及客户装置3-1的处理,通过服务器装置1a及客户装置3-1各自的CPU执行程序来实现。
从连接到服务器装置1a的本地维护控制台2预先输入客户装置3-1的用户名和一次性密码时(图9的f11),用户名/密码输入接口部12接收含有该用户名/一次性密码数据的设定要求(图9的f12),在确认了该用户名/一次性密码的正常性时,将该用户名/一次性密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/一次性密码(图9的f21),从用户名/密码输入接口部12将设定完成发送到本地维护控制台2(图9的f22)。
从连接到客户装置3-1的本地维护控制台4预先输入服务器装置1a的服务器名、客户装置3-1的用户名和一次性密码时(图9的f41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/一次性密码数据的设定要求(图9的f42),在可确认该服务器名/用户名/一次性密码的正常性时,将该服务器名/用户名/一次性密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/一次性密码(图9的f31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图9的f32)。其中,输入到服务器装置1a和客户装置3-1的用户名及密码是双方共享的值(同一值)。
在用户名/密码设定部31中设定了服务器名/用户名/一次性密码后,实施客户装置3-1的启动时(图9的f33),服务器认证部35制作逆挑战,指示SIP消息制作部36制作添加有该逆挑战的注册消息,并存储该逆挑战。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN 100将该注册消息发送到服务器装置1a的SIP接口部13(图9的f34)。
接收到添加有逆挑战的注册消息的服务器装置1a的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unauthorized),并存储该挑战。同时,服务器认证部15制作逆摘要,指示SIP消息制作部16制作添加有该逆摘要的401响应消息。
SIP消息制作部16制作添加有该挑战和该逆摘要的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN100将该401响应消息发送到客户装置3-1的SIP接口部33(图9的f23)。
接收到添加有挑战和逆摘要的401响应消息的客户装置3-1的SIP接口部33,确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要的401响应消息时,向客户认证部34通知挑战数据,向服务器认证部35通知逆摘要数据。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图9的f35),在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34获知服务器认证成功,制作摘要,指示SIP消息制作部36制作添加有该摘要的注册消息。SIP消息制作部36制作添加有该摘要的注册消息,将该制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN100发送到服务器装置1a的SIP接口部13(图9的f36)。
接收到添加有摘要的注册消息的服务器装置1a的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图9的f24),认证成功时,结束客户装置3-1的认证,允许含有服务器装置1的SIP协议对应的客户/服务器型分布式系统内的客户装置3的动作。进一步,客户认证部14指示相互认证密码制作部18制作客户装置3-1的第二次之后的启动时使用的相互认证密码。
相互认证密码制作部18制作随机的相互认证密码,将制作的相互认证密码通知客户认证部14。客户认证部14将该相互认证密码通知用户名/密码设定部11,指示该相互认证密码的设定。用户名/密码设定部11存储该相互认证密码(图9的f25)。
并且,客户认证部14指示SIP消息制作部16制作添加有相互认证密码的200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN 100发送到客户装置3-1的SIP接口部33(图9的f26)。
进一步,客户认证部14指示用户名/密码设定部11使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部11,使存储的一次性密码失效(图9的f28)。
接收到200响应消息的客户装置3-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34接收客户认证成功响应及相互认证密码。客户认证部34接收客户认证成功响应接收通知,获知客户认证成功,开始含有服务器装置1a的SIP协议对应的客户/服务器型分布式系统内的客户装置3的动作(图9的f27)。
并且,客户认证部34对用户名/密码设定部31通知相互认证密码,指示设定相互认证密码,被指示设定相互认证密码的服务器名/用户名/密码设定部31,存储相互认证密码(图9的f37)。
进一步,客户认证部34指示用户名/密码设定部31使一次性密码失效。被指示使一次密码失效的用户名/密码设定部31,使存储的一次性密码失效(图9的f38)。
这样一来,在本实施例中,除了上述本发明的第一到第五实施例的效果外,客户装置3-1和服务器装置1a之间的第二次之后的认证所使用的相互认证密码通过服务器装置1a自动生成,从而可防止维护者从外部输入时的错误输入及人为的密码泄漏,通过制作随机的密码,可使用第三者不易推测到的密码,因此可增强SIP协议对应的客户/服务器型分布式系统中的安全性。此外,虽然没有说明客户装置3-2、3-3的动作,但其可获得和使用客户装置3-1时相同的效果。
(实施例7)
图10是表示本发明的第七实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。在图10中,本发明的第七实施例除了在服务器装置1b中去除服务器名/密码输入接口部12、在客户装置3a-1中去除服务器名/用户名/密码输入接口部32以外,具有和图4所示的本发明的第三实施例的客户/服务器分布式型系统相同的结构。
这种情况下,服务器装置1b在用户名/密码设定部11上保存客户装置3a-1初次启动时存储的客户装置3a-1的用户名和相互认证密码。客户装置3a-1在用户名/密码设定部31上保存初次启动时存储的服务器装置1b的服务器名、客户装置3a-1的用户名和相互认证密码。其中,输入到服务器装置1b和客户装置3a-1的用户名及相互认证密码是双方共享的值(同一值)。
在本实施例中,通过实现以上结构,可从服务器装置1b认证客户装置3a-1,从客户装置3a-1认证服务器装置1b。
图11是表示本发明的第七实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。在图11中,表示本发明的第七实施例的客户/服务器型分布式系统中的第二次之后的认证处理。参照图10及图11说明本发明的第七实施例的客户/服务器型分布式系统的动作。此外,图11所示的服务器装置1b的处理及客户装置3a-1的处理通过服务器装置1b及客户装置3a-1各自的CPU执行程序来实现。
在服务器装置1b的用户名/密码设定部11中保存用户名/相互认证密码(图11的g11)、在客户装置3a-1的用户名/密码设定部31中保存服务器名/用户名/相互认证密码的状态下(图11的g21),执行客户装置3a-1的启动时(图11的g22),服务器认证部35制作逆挑战,指示SIP消息制作部36制作添加有该逆挑战的注册消息,存储该逆挑战。
SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN100将该注册消息发送到服务器装置1b的SIP接口部13(图11的g23)。
接收到添加有逆挑战的注册消息的服务器装置1的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3a-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3a-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unauthorized),并存储该挑战。同时,服务器认证部15制作逆摘要,指示SIP消息制作部16制作添加有该逆摘要的401响应消息。
SIP消息制作部16制作添加有该挑战和该逆摘要的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN100将该401响应消息发送到客户装置3a-1的SIP接口部33(图11的g12)。
接收到添加有挑战和逆摘要的401响应消息的客户装置3a-1的SIP接口部33确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要的401响应消息时,向客户认证部34通知挑战数据,向服务器认证部35通知逆摘要数据。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图11的g24),在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34获知服务器认证成功,制作摘要,指示SIP消息制作部36制作添加有该摘要的注册消息。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN 100发送到服务器装置1b的SIP接口部13(图11的g25)。
接收到添加有摘要的注册消息的服务器装置1b的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图11的g13),认证成功时,使客户装置3a-1的认证完成,允许含有服务器装置1b的SIP协议对应的客户/服务器型分布式系统内的客户装置3a-1的动作,指示SIP消息制作部16制作200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN 100发送到客户装置3a-1的SIP接口部33(图11的g14)。
接收到200响应消息的客户装置3a-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34接收客户认证成功响应。客户认证部34接收客户认证成功响应接收通知,获知客户认证成功,开始含有服务器装置1b的SIP协议对应的客户/服务器型分布式系统内的客户装置3a-1的动作(图11的g15)。
这样一来,在本实施例中,除了上述本发明的第六实施例的效果外,客户装置3a-1和服务器装置1b之间的注册时相互认证所使用的密码是初次启动时由服务器装置1b随机生成的密码,不进行通过来自外部的输入的设定,因此可防止人为的错误输入,提高密码的隐秘性,从而可增强安全性。此外,虽然没有说明客户装置3a-2、3a-3的动作,但其可获得和使用客户装置3a-1时相同的效果。
(实施例8)
图12是表示本发明的第八实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。在图12中,本发明的第八实施例的客户/服务器型分布式系统,除了向服务器装置1c追加相互认证密码加密部19和加密信息设定部20、及向客户装置3b-1~3b-3追加相互认证密码解密部38及加密信息设定部39外,其结构和图8所示的本发明的第六实施例的客户/服务器型分布式系统相同,对相同的结构要素标以相同的标号。但在本发明的第八实施例中,在服务器装置1c中进行相互认证密码的加密,在客户装置3b-1~3b-3中进行相互认证密码的解密。
在本实施例中,通过实现上述结构,可从服务器装置1c认证客户装置3b-1~3b-3、从客户装置3b-1~3b-3认证服务器装置1c。
图13及图14是表示本发明的第八实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。参照图12至图14说明本发明的第八实施例的客户/服务器型分布式系统的动作。此外,图13及图14所示的服务器装置1c的处理及客户装置3b-1的处理,通过服务器装置1c及客户装置3b-1各自的CPU执行程序来实现。
从连接到服务器装置1c的本地维护控制台2预先输入客户装置3b-1的用户名和一次性密码时(图13的h11),用户名/密码输入接口部12接收含有该用户名/一次性密码数据的设定要求(图13的h12),在确认了该用户名/一次性密码的正常性时,将该用户名/一次性密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/一次性密码(图13的h21),从用户名/密码输入接口部12将设定完成发送到本地维护控制台2(图13的c22)。
从连接到客户装置3b-1的本地维护控制台4预先输入服务器装置1c的服务器名、客户装置3b-1的用户名和一次性密码时(图13的h41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/一次性密码数据的设定要求(图13的h42),在可确认该服务器名/用户名/一次性密码的正常性时,将该服务器名/用户名/一次性密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/一次性密码(图13的h31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图13的h32)。其中,输入到服务器装置1c和客户装置3b-1的用户名及密码是双方共享的值(同一值)。
用户名/密码设定部31中设定了服务器名/用户名/一次性密码后,实施客户装置3b-1的启动时(图13的h33),服务器认证部35制作逆挑战,向SIP消息制作部36指示制作添加有该逆挑战的注册消息,并存储该逆挑战。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN100将该注册消息发送到服务器装置1c的SIP接口部13(图13的h34)。
接收到添加有逆挑战的注册消息的服务器装置1c的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3b-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3b-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unauthorized),并存储该挑战。并且,客户认证部14在分配第二次之后的注册消息时的相互认证所使用的相互认证密码时,指示加密信息设定部20生成将相互认证密码加密并通知时所使用的相互认证密码分配用密钥。加密信息设定部20生成并存储相互认证密码分配用密钥(图13的h23)。
同时,服务器认证部15制作逆摘要,指示SIP消息制作部16制作添加有该逆摘要的401响应消息。SIP消息制作部16制作添加有该挑战和该逆摘要的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN100将该401响应消息发送到客户装置3b-1的SIP接口部33(图13的h24)。
接收到添加有挑战和逆摘要的401响应消息的客户装置3b-1的SIP接口部33,确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要的401响应消息时,向客户认证部34通知挑战数据,向服务器认证部35通知逆摘要数据。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图13的h35),在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34,获知服务器认证成功,指示SIP消息制作部36制作添加有摘要的注册消息。
并且,客户认证部34在分配第二次之后的注册消息时的相互认证所使用的相互认证密码时,指示加密信息设定部39生成将相互认证密码加密并通知时所使用的相互认证密码分配用密钥。加密信息设定部39生成并存储相互认证密码分配用密钥(图13的h36)。
SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN100发送到服务器装置1c的SIP接口部13(图13的h37)。
接收到添加有摘要的注册消息的服务器装置1c的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图13的h25),认证成功时,使客户装置3b-1的认证完成,允许含有服务器装置1的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作。
并且,客户认证部14指示相互认证密码制作部18制作客户装置3b-1的第二次之后的启动时所使用的相互认证密码。相互认证密码制作部18制作随机的相互认证密码,并将制作的相互认证密码通知客户认证部14。客户认证部14将该相互认证密码通知给用户名/密码设定部11,指示设定该相互认证密码。用户名/密码设定部11存储该相互认证密码(图14的h26)。
进一步,客户认证部14指示相互认证密码加密部19将制作的相互认证密码加密。相互认证密码加密部19对加密信息设定部20询问加密规则及相互认证密码分配用密钥,通过读出的该加密规则和相互认证密码分配用密钥,将制作的相互认证密码加密,并将加密的相互认证密码通知客户认证部14(图14的h27)。
客户认证部14指示SIP消息制作部16制作添加有已加密的相互认证密码的200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN100发送到客户装置3b-1的SIP接口部33(图14的h28)。
并且,客户认证部14指示用户名/密码设定部11使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部11,使存储的一次性密码失效(图14的h30)。
接收到200响应消息的客户装置3b-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34客户认证成功响应接收及加密的相互认证密码。
客户认证部34接收客户认证成功响应接收通知,获知客户认证成功,开始含有服务器装置1的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作(图14的h29)。
并且,客户认证部34指示相互认证密码解密部38将接收的相互认证密码解密。相互认证密码解密部38对加密信息设定部39询问加密规则和相互认证密码分配用密钥,通过读出的该加密规则和相互认证密码分配用密钥,将SIP接口部33接收的相互认证密码解密,并将解密的相互认证密码通知客户认证部34(图14的h38)。
进一步,客户认证部34对用户名/密码设定部31通知解密的相互认证密码,指示设定相互认证密码。被指示设定相互认证密码的用户名/密码设定部31存储相互认证密码(图14的h39)。并且,客户认证部34指示用户名/密码设定部31使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部31使存储的一次性密码失效(图14的h40)。
这样一来,在本实施例中,除了上述本发明的第六实施例的效果外,使客户装置3b-1和服务器装置1c之间的第二次之后的认证所使用的相互认证密码在从服务器装置1c通知客户装置3b-1时加密数据,从而可增强针对密码通知时数据泄漏、及有意的黑客攻击等的安全性。此外,虽然没有说明客户装置3b-2、3b-3的动作,但其可获得和使用客户装置3b-1时相同的效果。
(实施例9)
图15是表示本发明的第九实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。在图15中,本发明的第九实施例的客户/服务器型分布式系统除了向服务器装置1d增加加密信息输入接口部21以外,其结构和图12所示的本发明的第八实施例的客户/服务器型分布式系统相同,对相同的结构要素标以相同的标号。但在本发明的第九实施例中,在服务器装置1c中从加密信息输入接口部21进行相互认证密码有无加密的设定。
在本实施例中,通过实现上述结构,可从服务器装置1d认证客户装置3b-1、从客户装置3b-1认证服务器装置1d。
图16及图17是表示本发明的第九实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。参照图15至图17说明本发明的第九实施例的客户/服务器型分布式系统的动作。此外,图16及图17所示的服务器装置1d的处理及客户装置3b-1的处理通过服务器装置1d及客户装置3b-1各自的CPU执行程序来实现。
从连接到服务器装置1d的本地维护控制台2预先输入客户装置3b-1的用户名和一次性密码及相互认证密码的加密有无时(图16的i11),用户名/密码输入接口部12接收含有该用户名/一次性密码数据的设定要求(图16的i12),在确认了该用户名/一次性密码数据的正常性时,将该用户名/一次性密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/一次性密码(图16的i21)。
并且,加密信息输入接口部21接收含有该相互认证密码的加密有无数据的设定要求,在确认了该相互认证密码的加密有无数据的正常性时,将该相互认证密码的加密有无数据传送到加密信息设定部20。加密信息设定部20存储该相互认证密码的加密有无(图16的i22)。之后,用户名/密码设定部11将设定完成从用户名/密码输入接口部12发送到本地维护控制台2(图16的i23)。
从连接到客户装置3b-1的本地维护控制台4预先输入服务器装置1d的服务器名、客户装置3b-1的用户名和一次性密码时(图16的i41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/一次性密码数据的设定要求(图16的i42),在可确认该服务器名/用户名/一次性密码的正常性时,将该服务器名/用户名/一次性密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/一次性密码(图16的i31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图16的i32)。其中,输入到服务器装置1d和客户装置3b-1的用户名及密码是双方共享的值(同一值)。
在用户名/密码设定部31中设定了服务器名/用户名/一次性密码后,实施客户装置3b-1的启动时,服务器认证部35制作逆挑战,指示SIP消息制作部36制作添加有该逆挑战的注册消息,并存储该逆挑战。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN100将该注册消息发送到服务器装置1d的SIP接口部13(图16的i33)。
接收到添加有逆挑战的注册消息的服务器装置1d的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3b-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3b-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unautiorized),并存储该挑战。并且,客户认证部14在向加密信息设定部20分配第二次之后的注册时的相互认证所使用的相互认证密码时,询问是否将相互认证密码加密并通知,当有加密时,指示加密信息设定部20生成相互认证密码分配用密钥。加密信息设定部20生成并存储相互认证密码分配用密钥(图16的i24)。
同时,服务器认证部15制作逆摘要,指示SIP消息制作部16制作添加有该逆摘要的401响应消息。SIP消息制作部16制作添加有该挑战和该逆摘要及相互认证密码加密有无数据的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN100将该401响应消息发送到客户装置3b-1的SIP接口部33(图16的i25)。
接收到添加有挑战和逆摘要及相互认证密码加密有无数据的401响应消息的客户装置3b-1的SIP接口部33,确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要及相互认证密码加密有无数据的401响应消息时,向客户认证部34通知挑战数据,向服务器认证部35通知逆摘要数据,向加密信息设定部39通知相互认证密码加密有无数据。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图16的i34),在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34,获知服务器认证成功,指示SIP消息制作部36制作添加有摘要的注册消息。
并且,客户认证部34在分配了第二次之后的注册时的相互认证所使用的相互认证密码时,指示加密信息设定部39生成将相互认证密码加密并通知时所使用的相互认证密码分配用密钥。收到生成相互认证密码分配用密钥的指示的加密信息设定部39,存储通知的相互认证密码加密有无数据(图16的i35),该相互认证密码加密有无数据在存在相互认证密码加密时,生成并存储相互认证密码分配用密钥(图16的i36)。
SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN100发送到服务器装置1d的SIP接口部13(图17的i37)。
接收到添加有摘要的注册消息的服务器装置1d的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图17的i26),认证成功时,使客户装置3b-1的认证完成,允许含有服务器装置1d的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作。
并且,客户认证部14指示相互认证密码制作部18制作客户装置3b-1的第二次之后的启动时所使用的相互认证密码。相互认证密码制作部18制作随机的相互认证密码,并将制作的相互认证密码通知客户认证部14。客户认证部14将该相互认证密码通知给用户名/密码设定部11,指示设定该相互认证密码。用户名/密码设定部11存储该相互认证密码(图17的i27)。
进一步,客户认证部14指示相互认证密码加密部19将制作的相互认证密码加密。相互认证密码加密部19对加密信息设定部20询问加密规则及相互认证密码分配用密钥,使用读出的该加密规则和相互认证密码分配用密钥,将由相互认证密码制作部18制作的相互认证密码加密,并将加密的相互认证密码通知客户认证部14(图17的i28)。
客户认证部14指示SIP消息制作部16制作添加有加密的相互认证密码的200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN 100发送到客户装置3b-1的SIP接口部33(图17的i29)。
并且,客户认证部14指示用户名/密码设定部11使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部11使存储的一次性密码失效(图17的i30)。
接收到200响应消息的客户装置3b-1的SIP接口部33确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34客户认证成功响应接收及加密的相互认证密码。
客户认证部34接收客户认证成功响应接收通知,获知客户认证成功,开始含有服务器装置1d的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作(图17的i50)。
并且,客户认证部34指示相互认证密码解密部38将接收的相互认证密码解密。相互认证密码解密部38对加密信息设定部39询问加密规则和相互认证密码分配用密钥,使用读出的该加密规则和相互认证密码分配用密钥,将从服务器装置1d接收的相互认证密码解密,并将解密的相互认证密码通知客户认证部34(图17的i38)。
进一步,客户认证部34对用户名/密码设定部31通知解密的相互认证密码,指示设定相互认证密码。被指示设定相互认证密码的用户名/密码设定部31存储相互认证密码(图17的i39)。
并且,客户认证部34指示用户名/密码设定部31使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部31使存储的一次性密码失效(图17的i40)。
这样一来,在本实施例中,除了上述本发明的第八实施例的效果外,具有进行有无加密的选择的功能,从而可确保对不具有加密功能的客户装置3b-1的兼容性。此外,虽然没有说明客户装置3b-2、3b-3的动作,但其可获得和使用客户装置3b-1时相同的效果。
(实施例10)
图18及图19是表示本发明的第十实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。本发明的第十实施例的客户/服务器型分布式系统的结构和图15所示的本发明的第九实施例的客户/服务器型分布式系统相同,因此省略对其结构的说明。以下参照图15、图18及图19说明本发明的第十实施例的客户/服务器型分布式系统的动作。此外,图18及图19所示的服务器装置1d的处理及客户装置3b-1的处理通过服务器装置1d及客户装置3b-1各自的CPU执行程序来实现。
从连接到服务器装置1d的本地维护控制台2预先输入客户装置3b-1的用户名和一次性密码及相互认证密码的加密规则时(图18的j11),用户名/密码输入接口部12接收含有该用户名/一次性密码数据的设定要求(图18的j12),在确认了该用户名/一次性密码的正常性时,将该用户名/一次性密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/一次性密码(图18的j21)。
并且,加密信息输入接口部21接收含有该相互认证密码的加密规则数据的设定要求,在确认了该相互认证密码的加密规则数据的正常性时,将该相互认证密码的加密规则数据传送到加密信息设定部20。加密信息设定部20存储该相互认证密码的加密规则(图18的j22)。之后,用户名/密码设定部11将设定完成从用户名/密码输入接口部12发送到本地维护控制台2(图18的j23)。
从连接到客户装置3b-1的本地维护控制台4预先输入服务器装置1d的服务器名、客户装置3b-1的用户名和一次性密码时(图18的j41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/一次性密码数据的设定要求(图18的j42),在可确认该服务器名/用户名/一次性密码的正常性时,将该服务器名/用户名/一次性密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/一次性密码(图18的j31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图18的j32)。其中,输入到服务器装置1d和客户装置3b-1的用户名及相互认证密码密码是双方共享的值(同一值)。
用户名/密码设定部31中设定了服务器名/用户名/一次性密码后,实施客户装置3b-1的启动时,服务器认证部35制作逆挑战,指示SIP消息制作部36制作添加有该逆挑战的注册消息,并存储该逆挑战。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN100将该注册消息发送到服务器装置1d的SIP接口部13(图18的j33)。
接收到添加有逆挑战的注册消息的服务器装置1d的SIP接口部13确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3b-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3b-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unautjorjzed),并存储该挑战。并且,客户认证部14在分配第二次之后的注册时的相互认证所使用的相互认证密码时,指示加密信息设定部21生成将相互认证密码加密并通知时使用的相互认证密码分配用密钥。加密信息设定部21生成并存储相互认证密码分配用密钥(图18的j24)。
同时,服务器认证部15制作逆摘要,指示SIP消息制作部16制作添加有该逆摘要的401响应消息。SIP消息制作部16制作添加有该挑战和该逆摘要及相互认证密码的加密规则数据的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN100将该401响应消息发送到客户装置3b-1的SIP接口部33(图18的j24)。
接收到添加有挑战和逆摘要及相互认证密码的加密规则数据的401响应消息的客户装置3b-1的SIP接口部33,确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要及相互认证密码的加密规则数据的401响应消息时,向客户认证部34通知挑战数据,向服务器认证部35通知逆摘要数据,向加密信息设定部3a通知相互认证密码的加密规则数据。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图18的j34),在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34获知服务器认证成功,指示SIP消息制作部36制作添加有摘要的注册消息。
并且,客户认证部34在分配了第二次之后的注册时的相互认证所使用的相互认证密码时,指示加密信息设定部39生成将相互认证密码加密并通知时所使用的相互认证密码分配用密钥。收到指示的加密信息设定部39存储通知的相互认证密码的加密规则数据(图18的j35),生成并存储相互认证密码分配用密钥(图18的j36)。
SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN100发送到服务器装置1d的SIP接口部13(图19的j37)。
接收到添加有摘要的注册消息的服务器装置1d的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图19的j26),认证成功时,结束客户装置3b-1的认证,允许含有服务器装置1d的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作。
并且,客户认证部14指示相互认证密码制作部18制作客户装置3b-1的第二次之后的启动时所使用的相互认证密码。相互认证密码制作部18制作随机的相互认证密码,并将制作的相互认证密码通知客户认证部14。客户认证部14将该相互认证密码通知给用户名/密码设定部11,指示设定该相互认证密码。用户名/密码设定部11存储该相互认证密码(图19的j27)。
进一步,客户认证部14指示相互认证密码加密部19将制作的相互认证密码加密。相互认证密码加密部19对加密信息设定部20询问加密规则及相互认证密码分配用密钥,使用读出的该加密规则和相互认证密码分配用密钥,将制作的相互认证密码加密,将加密的相互认证密码通知客户认证部14(图19的j28)。
客户认证部14指示SIP消息制作部16制作添加有加密的相互认证密码的200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN100发送到客户装置3b-1的SIP接口部33(图18的j29)。
并且,客户认证部14指示用户名/密码设定部11使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部11使存储的一次性密码失效(图18的j30)。
接收到200响应消息的客户装置3b-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34客户认证成功响应接收及加密的相互认证密码。客户认证部34接收客户认证成功响应接收通知,获知客户认证成功,开始含有服务器装置1d的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作。
并且,客户认证部34指示相互认证密码解密部38将接收的相互认证密码解密。相互认证密码解密部38对加密信息设定部39询问加密规则和相互认证密码分配用密钥,使用读出的该加密规则和相互认证密码分配用密钥,将接收的相互认证密码解密,并将解密的相互认证密码通知客户认证部34(图19的j38)。
进一步,客户认证部34对用户名/密码设定部31通知解密的相互认证密码,指示设定相互认证密码。被指示设定相互认证密码的用户名/密码设定部31存储相互认证密码(图19的j39)。并且,客户认证部34指示用户名/密码设定部31使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部31使存储的一次性密码失效(图19的j40)。
这样一来,在本实施例中,除了上述本发明的第八实施例的效果外,具有加密规则的选择功能,在追加将来可能动作的加密规则的情况下无需追加开发加密规则选择的接口,可使用最新的加密规则,从而可增强安全性。此外,虽然没有说明客户装置3b-2、3b-3的动作,但其可获得和使用客户装置3b-1时相同的效果。
(实施例11)
图20及图21是表示本发明的第十一实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。本发明的第十一实施例的客户/服务器型分布式系统的结构和图15所示的本发明的第九实施例的客户/服务器型分布式系统相同,因此省略对其结构的说明。以下参照图15、图20及图21说明本发明的第十一实施例的客户/服务器型分布式系统的动作。此外,图20及图21所示的服务器装置1d的处理及客户装置3b-1的处理,通过服务器装置1d及客户装置3b-1各自的CPU执行程序来实现。
从连接到服务器装置1d的本地维护控制台2预先输入客户装置3b-1的用户名和一次性密码及相互认证密码的加密有无和加密规则时(图20的k11),用户名/密码输入接口部12接收含有该用户名/一次性密码数据的设定要求(图20的k12),在确认了该用户名/一次性密码的正常性时,将该用户名/一次性密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/一次性密码(图20的k21)。
并且,加密信息输入接口部21接收含有该相互认证密码的加密有无和加密规则数据的设定要求,在确认了该相互认证密码的加密有无和加密规则数据的正常性时,将该相互认证密码的加密有无和加密规则数据传送到加密信息设定部20。加密信息设定部20存储该相互认证密码的加密有无和加密规则(图20的k22)。之后,用户名/密码设定部11将设定完成从用户名/密码输入接口部12发送到本地维护控制台2(图20的k23)。
从连接到客户装置3b-1的本地维护控制台4预先输入服务器装置1d的服务器名、客户装置3b-1的用户名和一次性密码时(图20的k41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/一次性密码数据的设定要求(图20的k42),在可确认该服务器名/用户名/一次性密码的正常性时,将该服务器名/用户名/一次性密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/一次性密码(图20的k31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图20的k32)。其中,输入到服务器装置1d和客户装置3b-1的用户名及一次性密码是双方共享的值(同一值)。
在用户名/密码设定部31中设定了服务器名/用户名/一次性密码后,实施客户装置3b-1的启动时,服务器认证部35制作逆挑战,指示SIP消息制作部36制作添加有该逆挑战的注册消息,并存储该逆挑战。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN100将该注册消息发送到服务器装置1d的SIP接口部13(图20的k33)。
接收到添加有逆挑战的注册消息的服务器装置1d的SIP接口部13确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3b-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3b-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unautkorkzed),并存储该挑战。并且,客户认证部14在向加密信息设定部20分配第二次之后的注册时的相互认证所使用的相互认证密码时,询问是否将相互认证密码加密并通知,当有加密时,指示加密信息设定部20生成相互认证密码分配用密钥。加密信息设定部20生成并存储相互认证密码分配用密钥(图20的k24)。
同时,服务器认证部15制作逆摘要,指示SIP消息制作部16制作添加有该逆摘要和相互认证密码的加密有无及加密规则数据的401响应消息。SIP消息制作部16制作添加有该挑战和添加有该逆摘要及相互认证密码的加密有无和加密规则数据的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN100将该401响应消息发送到客户装置3b-1的SIP接口部33(图20的k25)。
接收到添加有挑战和逆摘要及相互认证密码的加密有无和加密规则数据的401响应消息的客户装置3b-1的SIP接口部33,确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要及相互认证密码的加密有无和加密规则数据的401响应消息时,向客户认证部34通知挑战数据,向服务器认证部35通知逆摘要数据,向加密信息设定部39通知相互认证密码的加密有无和加密规则数据。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图20的k34),在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34获知服务器认证成功,指示SIP消息制作部36制作添加有摘要的注册消息。
并且,客户认证部34在分配了第二次之后的注册时的相互认证所使用的相互认证密码时,指示加密信息设定部39生成将相互认证密码加密并通知时所使用的相互认证密码分配用密钥。收到指示的加密信息设定部39存储通知的相互认证密码的加密有无和加密规则数据(图20的k35),当该相互认证密码的加密有无数据为有相互认证密码的加密时,生成并存储相互认证密码分配用密钥(图20的k36)。
SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN100发送到服务器装置1d的SIP接口部13(图21的k37)。
接收到添加有摘要的注册消息的服务器装置1d的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图21的k26),认证成功时,使客户装置3b-1的认证完成,允许含有服务器装置1d的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作。
并且,客户认证部14指示相互认证密码制作部18制作客户装置3b-1的第二次之后的启动时所使用的相互认证密码。相互认证密码制作部18制作随机的相互认证密码,并将制作的相互认证密码通知客户认证部14。客户认证部14将该相互认证密码通知给用户名/密码设定部11,指示设定该相互认证密码。用户名/密码设定部11存储该相互认证密码(图21的k27)。
进一步,客户认证部14指示相互认证密码加密部19将制作的相互认证密码加密。相互认证密码加密部19对加密信息设定部20询问加密规则及相互认证密码分配用密钥,使用读出的该加密规则和相互认证密码分配用密钥,将通过相互认证密码制作部18制作的相互认证密码加密,并将加密的相互认证密码通知客户认证部14(图21的k28)。
客户认证部14指示SIP消息制作部16制作添加有加密的相互认证密码的200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN100发送到客户装置3b-1的SIP接口部33(图21的k29)。
并且,客户认证部14指示用户名/密码设定部11使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部11使存储的一次性密码失效(图21的k30)。
接收到200响应消息的客户装置3b-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34客户认证成功响应接收及加密的相互认证密码。
客户认证部34接收客户认证成功响应接收通知,获知客户认证成功,开始含有服务器装置1d的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作(图21的k50)。
并且,客户认证部34指示相互认证密码解密部38将接收的相互认证密码解密。相互认证密码解密部38对加密信息设定部39询问加密规则和相互认证密码分配用密钥,使用读出的该加密规则和相互认证密码分配用密钥,将通过SIP接口部33接收的相互认证密码解密,并将解密的相互认证密码通知客户认证部34(图21的k38)。
进一步,客户认证部34对用户名/密码设定部31通知解密的相互认证密码,指示设定相互认证密码。被指示设定相互认证密码的用户名/密码设定部31存储相互认证密码(图21的k39)。并且,客户认证部34指示用户名/密码设定部31使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部31使存储的一次性密码失效(图21的k40)。
这样一来,在本实施例中,除了上述本发明的第八实施例的效果外,通过具有可进行加密有无的选择功能,可确保对不具有加密功能的客户装置3b-1的兼容性,通过具有加密规则的选择功能,在追加将来可能动作的加密规则的情况下无需追加开发加密规则选择的接口,可使用最新的加密规则,从而可增强安全性。此外,虽然没有说明客户装置3b-2、3b-3的动作,但其可获得和使用客户装置3b-1时相同的效果。
(实施例12)
本发明的第十二实施例的客户/服务器型分布式系统的结构和上述图12所示的本发明的第八实施例的客户/服务器型分布式系统相同,其动作也和图13及图14所示的本发明的第八实施例的SIP协议对应的客户/服务器型分布式系统相同。但本发明的第12实施例的客户/服务器型分布式系统和本发明的第八实施例的客户/服务器型分布式系统的不同点在于,服务器装置1c和客户装置3b-1~3b-3生成通用的密钥。
以下参照图12至图14说明本发明的第十二实施例的客户/服务器型分布式系统的动作。此外,图13及图14所示的服务器装置1c的处理及客户装置3b-1的处理,通过服务器装置1c及客户装置3b-1各自的CPU执行程序来实现。
从连接到服务器装置1c的本地维护控制台2预先输入客户装置3b-1的用户名和一次性密码时(图13的h11),用户名/密码输入接口部12接收含有该用户名/一次性密码数据的设定要求(图13的h12),在确认了该用户名/一次性密码的正常性时,将该用户名/一次性密码传送到用户名/密码设定部11。用户名/密码设定部11存储该用户名/一次性密码(图13的h21),从用户名/密码输入接口部12将设定完成发送到本地维护控制台2(图13的h22)。
从连接到客户装置3b-1的本地维护控制台4预先输入服务器装置1c的服务器名、客户装置3b-1的用户名和一次性密码时(图13的h41),服务器名/用户名/密码输入接口部32接收含有该服务器名/用户名/一次性密码数据的设定要求(图13的h42),在可确认该服务器名/用户名/一次性密码的正常性时,将该服务器名/用户名/一次性密码传送到用户名/密码设定部31。用户名/密码设定部31存储该服务器名/用户名/一次性密码(图13的h31),从服务器名/用户名/密码输入接口部32向本地维护控制台4发送设定完成(图13的h32)。其中,输入到服务器装置1c和客户装置3b-1的用户名及一次性密码是双方共享的值(同一值)。
用户名/密码设定部31中设定了服务器名/用户名/一次性密码后,实施客户装置3b-1的启动时(图13的h33),服务器认证部35制作逆挑战,指示SIP消息制作部36制作添加有该逆挑战的注册消息,并存储该逆挑战。SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33经由LAN 100将该注册消息发送到服务器装置1c的SIP接口部13(图13的h34)。
接收到添加有逆挑战的注册消息的服务器装置1c的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有逆挑战的注册消息时,指示客户认证部14开始客户装置3b-1的认证,向服务器认证部15通知该逆挑战数据。
指示了开始客户装置3b-1的认证的客户认证部14制作挑战,指示SIP消息制作部16制作添加有该挑战的401响应消息(401Unauthorized),并存储该挑战。并且,客户认证部14在分配第二次之后的注册时的相互认证所使用的相互认证密码时,指示加密信息设定部20生成将相互认证密码加密并通知时所使用的相互认证密码分配用密钥。加密信息设定部20生成并存储相互认证密码分配用密钥(图13的h23)。其中,通过生成的相互认证密码分配用密钥加密的数据,可通过在客户装置3b-1的加密信息设定部39生成的相互认证密码分配用密钥解密。
同时,服务器认证部15制作逆摘要,指示SIP消息制作部16制作添加有该逆摘要的401响应消息。SIP消息制作部16制作添加有该挑战和该逆摘要的401响应消息,将制作的该401响应消息转发到SIP接口部13。SIP接口部13经由LAN 100将该401响应消息发送到客户装置3b-1的SIP接口部33(图13的h24)。
接收到添加有挑战和逆摘要的401响应消息的客户装置3b-1的SIP接口部33,确认该401响应消息的格式等的正常性,当该401响应消息正常时,将该401响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有挑战和逆摘要的401响应消息时,向客户认证部34通知挑战数据,向服务器认证部35通知逆摘要数据。
服务器认证部35进行接收的逆摘要的认证(服务器认证)(图13的h35),在认证成功时,向客户认证部34通知服务器认证成功。接收到服务器认证成功通知和挑战数据通知的客户认证部34,获知服务器认证成功,指示SIP消息制作部36制作添加有摘要的注册消息。
并且,客户认证部34在分配第二次之后的注册时的相互认证所使用的相互认证密码时,指示加密信息设定部39生成将相互认证密码加密并通知时所使用的相互认证密码分配用密钥。加密信息设定部39生成并存储相互认证密码分配用密钥(图13的h36)。其中,生成的相互认证用密码分配用密钥,可将通过服务器装置1d的加密信息设定部20生成的相互认证密码分配用密钥而加密的数据解密。
SIP消息制作部36将制作的注册消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN 100发送到服务器装置1c的SIP接口部13(图13的h37)。
接收到添加有摘要的注册消息的服务器装置1c的SIP接口部13,确认该注册消息的格式等的正常性,当该注册消息正常时,将该注册消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有摘要的注册消息时,将该摘要数据通知客户认证部14。
客户认证部14进行接收的摘要的认证(客户认证)(图13的h25),认证成功时,使客户装置3b-1的认证完成,允许含有服务器装置1c的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作。
并且,客户认证部14指示相互认证密码制作部18制作客户装置3b-1的第二次之后的启动时所使用的相互认证密码。相互认证密码制作部18制作随机的相互认证密码,并将制作的相互认证密码通知客户认证部14。客户认证部14将该相互认证密码通知给用户名/密码设定部11,指示设定该相互认证密码。用户名/密码设定部11存储该相互认证密码(图14的h26)。
进一步,客户认证部14指示相互认证密码加密部19将制作的相互认证密码加密。相互认证密码加密部19对加密信息设定部20询问加密规则及相互认证密码分配用密钥,通过读出的该加密规则和相互认证密码分配用密钥,将制作的相互认证密码加密,并将加密的相互认证密码通知客户认证部14(图14的h27)。
客户认证部14指示SIP消息制作部16制作添加有加密的相互认证密码的200响应消息(200 OK)。SIP消息制作部16将制作的200响应消息转发到SIP接口部13。SIP接口部13将该200响应消息经由LAN100发送到客户装置3b-1的SIP接口部33(图14的h28)。
并且,客户认证部14指示用户名/密码设定部11使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部11使存储的一次性密码失效(图14的h30)。
接收到200响应消息的客户装置3b-1的SIP接口部33,确认该200响应消息的格式等的正常性,当该200响应消息正常时,将该200响应消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是200响应消息时,通知客户认证部34客户认证成功响应接收及加密的相互认证密码。
客户认证部34接收客户认证成功响应接收通知,获知客户认证成功,开始含有服务器装置1的SIP协议对应的客户/服务器型分布式系统内的客户装置3b-1的动作(图14的h29)。
并且,客户认证部34指示相互认证密码解密部38将接收的相互认证密码解密。相互认证密码解密部38对加密信息设定部39询问加密规则和相互认证密码分配用密钥,通过读出的该加密规则和相互认证密码分配用密钥,将SIP接口部33接收的相互认证密码解密,并将解密的相互认证密码通知客户认证部34(图14的h38)。
进一步,客户认证部34对用户名/密码设定部31通知解密的相互认证密码,指示设定相互认证密码。被指示设定相互认证密码的用户名/密码设定部31存储相互认证密码(图14的h39)。并且,客户认证部34指示用户名/密码设定部31使一次性密码失效。被指示使一次性密码失效的用户名/密码设定部31使存储的一次性密码失效(图14的h40)。
这样一来,在本实施例中,除了上述本发明的第六实施例的效果外,使客户装置3b-1和服务器装置1d具有分别成对的相互认证密码分配密钥的生成步骤,相互认证密码分配用密钥不通过网络分配,因此可增强相互认证加密时的密钥安全性。此外,虽然没有说明客户装置3b-2、3b-3的动作,但其可获得和使用客户装置3b-1时相同的效果。
(实施例13)
图22是表示本发明的第十三实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。在图22中,本发明的第十三实施例的客户/服务器型分布式系统除了向服务器装置1e及客户装置3c-1~3c-3分别追加服务器/客户通信监视部22、40以外,其结构和图10所示的本发明的第七实施例的客户/服务器型分布式系统相同,对相同的构成要素标以的相同的标号。但在本发明的第十三实施例中,在服务器/客户通信监视部22、40中检测到服务器/客户之间的通信中断一定时间以上时,重复客户认证及服务器认证。
服务器装置1e在客户认证部14中保存客户装置3c-1~3c-3的注册时的相互认证状态。客户装置3c-1~3c-3在客户认证部34中保存和服务器装置1e的注册时的相互认证状态。
在本实施例中,通过实现上述结构,可以从服务器装置1e监视客户装置3c-1~3c-3之间的通信,当一定时间以上中断通信时,可重复客户/服务器之间的注册时的相互认证。
图23及图24是表示本发明的第十三实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。参照图22至图24说明本发明的第十三实施例的客户/服务器型分布式系统的动作。此外,图23及图24所示的服务器装置1e的处理及客户装置3c-1的处理,通过服务器装置1e及客户装置3c-1各自的CPU执行程序来实现。
在服务器装置1e和客户装置3c-1的装置之间注册时的相互认证成功完成的状态下,按一定时间从服务器装置1e向客户装置3c-1发送健康检查指令,与之相对,通过从客户装置3c-1发送健康检查响应指令,进行SIP协议对应的客户/服务器之间的通信监视。
服务器装置1e和客户装置3c-1的装置之间的注册时的相互认证成功完成时(图23的m1),客户装置3c-1的客户认证部34指示服务器/客户通信监视部40开始监视客户/服务器之间的通信。服务器/客户通信监视部40启动等待接收下一健康检查的计时器(图23的m21)。
同样,服务器装置1e和客户装置3c-1的装置之间的注册时的相互认证成功完成时,服务器装置1e的客户认证部14指示服务器/客户通信监视部22开始监视客户/服务器之间的通信。服务器/客户通信监视部22指示SIP消息制作部16制作添加有健康检查数据的通报(NOTIFY)(返回当前的状态信息的方法)消息。SIP消息制作部16将制作的通报消息(NOTIFY Message)转发到SIP接口部13。SIP接口部13将该注册消息经由LAN100发送到客户装置3c-1的SIP接口部33(图23的m11)。并且,服务器/客户通信监视部22启动来自客户装置3c-1的等待接收健康检查响应的计时器(图23的m12)。
接收到添加有健康检查数据的通报消息的客户装置3c-1的SIP接口部33,确认该通报消息的格式等的正常性,当该通报消息正常时,将该通报消息转发到SIP消息解析部37。SIP消息解析部37在接收的消息是添加有健康检查数据的通报消息时,向服务器/客户通信监视部40通知该健康检查数据。
服务器/客户通信监视部40制作健康检查响应数据,指示SIP消息制作部36制作添加有健康检查响应数据的通报消息。SIP消息制作部36将制作的通报消息转发到SIP接口部33。SIP接口部33将该注册消息经由LAN100发送到服务器装置1e的SIP接口部13(图23的m23)。并且,服务器/客户通信监视部40重置等待接收下一健康检查的计时器并重新启动(图23的m22)。
接收到添加有健康检查响应数据的通报消息的服务器装置1e的SIP接口部13,确认该通报消息的格式等的正常性,当该通报消息正常时,将该通报消息转发到SIP消息解析部17。SIP消息解析部17在接收的消息是添加有健康检查响应数据的通报消息时,向服务器/客户通信监视部22通知该健康检查响应数据。
服务器/客户通信监视部22重置健康检查响应接收计时器,启动来自客户装置3c-1的等待接收健康检查响应的计时器(图23的m14)。并且,服务器/客户通信监视部22在一定时间后,再次执行对客户装置3c-1的健康检查(图23的m13),重复上述健康检查/健康检查响应的信息收发。
其中,通过客户装置3c-1的服务器/客户通信监视部40获知到等待下一健康检查超时时,服务器/客户通信监视部40通知客户认证部34再次执行认证,客户认证部34将与服务器装置1e注册时的相互认证状态变更为认证未完成。之后,包括呼叫控制的客户/服务器之间的通信直到再认证成功前不可进行。并且,服务器/客户通信监视部40对服务器认证部35要求再执行认证,再次执行SIP协议对应的客户/服务器装置之间的注册时的相互认证(图23的m26)。
在本发明的第十三实施例中,SIP协议对应的客户/服务器装置之间的注册时的相互认证的再次执行动作(图24的m15~m18、m27~m31、m2)的动作和上述本发明的第七实施例相同,因此省略其说明。
这样一来,在本实施例中,除了上述本发明的第七实施例的效果外,当判断SIP协议对应的客户/服务器之间的通信中断时,直到再次成功完成注册时的相互认证为止,不可进行客户装置3c-1和服务器装置1e之间的通信,因此可增强对伪装等的安全性。此外,虽然没有说明客户装置3c-2、3c-3的动作,但其可获得和使用客户装置3c-1时相同的效果。
(实施例14)
图25及图26是表示本发明的第十四实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。本发明的第十四实施例的客户/服务器型分布式系统的结构和图22所示的本发明的第十三实施例的客户/服务器型分布式系统相同,因此省略对其结构的说明。以下参照图22、图25及图26说明本发明的第十四实施例的客户/服务器型分布式系统的动作。此外,图25及图26所示的服务器装置1e的处理及客户装置3c-1的处理通过服务器装置1e及客户装置3c-1各自的CPU执行程序来实现。
在本实施例中,在服务器装置1e和客户装置3c-1的装置之间注册时的相互认证成功完成的状态下,按一定时间从服务器装置1e向客户装置3c-1发送健康检查指令,与之相对,通过从客户装置3c-1向服务器装置1e发送健康检查响应指令,进行SIP协议对应的客户/服务器之间的通信监视。此外,SIP协议对应的客户/服务器之间的通信监视动作(图25的n11~14、n21~n23)与上述图23所示的本发明的第十三实施例相同,因此省略其说明。
其中,通过服务器装置1e的服务器/客户通信监视部22获知到等待下一健康检查超时时,服务器/客户通信监视部22要求客户认证部14再次执行认证。客户认证部14将与SIP协议对应的客户装置3注册时的相互认证状态变更为认证未完成,指示SIP消息制作部16制作添加有重置要求的通报消息。SIP消息制作部将制作的通报消息转发到SIP接口部13。SIP接口部13经由LAN 100将该通报消息发送到SIP协议对应的客户装置3c-1的SIP接口部33(图25的n15、n16)。之后,包括呼叫控制的客户/服务器之间的通信直到再认证成功为止不可进行。
这样一来,在本实施例中,再次执行SIP协议对应的客户/服务器装置之间的注册时的相互认证。在本实施例中,SIP协议对应的客户/服务器装置之间的注册时的相互认证的再次执行动作(图26的n17~n20、n24~n28、n2)的动作和上述本发明的第七实施例相同,因此省略其说明。
这样一来,在本实施例中,除了上述本发明的第七实施例的效果外,当判断SIP协议对应的客户/服务器之间的通信中断时,直到再次成功完成注册时的相互认证为止,不可进行客户装置3c-1和服务器装置1e之间的通信,因此可增强对伪装等的安全性。此外,虽然没有说明客户装置3c-2、3c-3的动作,但其可获得和使用客户装置3c-1时相同的效果。
(实施例15)
图27是表示本发明的第十五实施例的SIP协议对应的客户/服务器型分布式系统的结构的框图。在图27中,本发明的第十五实施例的客户/服务器型分布式系统除了在服务器装置1f中去除用户名/密码输入接口部12和本地维护控制台2、在客户装置3d-1~3d-3中去除服务器名/用户名/密码输入接口部32和本地维护控制台4以外,和图4所示的本发明的第三实施例的客户/服务器型分布式系统具有相同的结构,对同一构成要素标以相同的标号。但在本发明的第十五实施例中,定期重复客户认证及服务器认证。
服务器装置1f,在客户认证部14中保持和客户装置3d-1~3d-3注册时的相互认证状态。客户装置3d-1~3d-3在客户认证部34中保持和服务器装置1f注册时的相互认证状态。
在本实施例中,通过实现上述结构,可定期地重复进行服务器装置1f和客户装置3d-1~3d-3之间的注册时的相互认证。
图28是表示本发明的第十五实施例的SIP协议对应的客户/服务器型分布式系统的动作的顺序图。参照图27及图28说明本发明的第十五实施例的客户/服务器型分布式系统的动作。此外,图28所示的服务器装置1f的处理及客户装置3D-1的处理通过服务器装置1f及客户装置3d-1各自的CPU执行程序来实现。
在服务器装置1f和客户装置3d-1的装置之间注册时的相互认证成功完成的状态下(图28的o1),客户装置3d-1的客户认证部34启动定期注册时的相互认证等待计时器(图28的o21)。
当定期注册时的相互认证等待计时器超时时,客户认证部34通知再次执行认证,重置定期认证等待计时器,将与服务器装置1f注册时相互认证状态变更为定期认证执行中(图28的o22)。之后,含有呼叫控制的客户/服务器之间的通信可以是再次认证中。
并且,客户认证部34要求服务器认证部35再次执行认证,执行SIP协议对应的客户/服务器装置之间注册时的相互认证(图28的o11~o14、o23~o27、o2)。其中,SIP协议对应的客户/服务器装置之间注册时的相互认证的再次执行动作和上述本发明的第七实施例相同,因此省略其说明。
当定期注册时相互认证未成功完成时,客户认证部34将与服务器装置1f的注册时的相互认证状态变更为认证未完成,再次执行注册时相互认证。之后,包括呼叫控制的客户/服务器之间的通信直到再次认证成功为止不可行。
这样一来,在本实施例中,除了上述本发明的第七实施例的效果外,通过定期再次执行SIP协议对应的客户/服务器装置之间的注册时的相互认证,不会长时间地保存相同的认证状态,可防止在运行中允许与伪装的客户装置进行通信,并且当定期认证失败时,直到注册时相互认证再次成功完成为止,不可进行客户/服务器之间的通信,因此可增强对伪装等的安全性。
如上所述,在本发明中,在SIP协议对应的客户/服务器型分布式系统中,除了现有的从服务器装置对客户装置的客户认证外,可从客户装置对服务器装置进行认证,从而可进行双方向的认证,双方向认证成功时认证完成,可进行客户装置的动作、SIP协议对应的客户/服务器装置之间的通信,因此可增强对服务器装置的伪装的安全性。
并且在本发明中,服务器认证方式使用反方向定义客户认证的方式,从而可使客户认证部及服务器认证部具有相同的结构,可提高装置开发的效率。
进一步在本发明中,维护者手动输入的认证用密码为一次性密码,在注册时的相互认证完成后失效,从而可防止人为的密码泄漏,增强SIP协议对应的客户/服务器型分布式系统中的安全性。
进一步在本发明中,SIP协议对应的客户/服务器装置之间的第二次之后的认证所使用的相互认证密码通过服务器装置自动生成,并分配到客户装置,从而可防止维护者从外部输入时的错误输入、及人为的密码泄漏,通过制作随机的密码,可使用第三者不易推测的密码,因此可增强SIP协议对应的客户/服务器型分布式系统中的安全性。
这种情况下,在本发明中,维护者手动输入的认证用密码为一次性密码,在注册时的相互认证完成后失效,从而可防止人为的密码泄漏,增强SIP协议对应的客户/服务器型分布式系统中的安全性。
在本发明中,从服务器装置向客户装置分配相互认证密码时,可将相互认证密码加密,从而可增强对密码通知时数据泄露、及有意的黑客行为的安全性。
并且在本发明中,作为从服务器装置向客户装置加密相互认证密码并分配的条件,是可从维护控制台外部输入有无加密及加密规则,从而通过进行有无加密的选择的功能,可确保对不具有加密功能的客户装置的兼容性,通过加密规则的选择功能,在追加将来可能动作的加密规则的情况下无需追加开发加密规则选择的接口,可使用最新的加密规则,从而可增强安全性。
进一步在本发明中,从服务器装置向客户装置将相互认证密码加密并分配时,使SIP协议对应的客户/服务器装置具有分别成对的相互认证密码分配密钥的生成步骤,从而使相互认证密码分配用密钥不通过网络分配,因此可增强相互认证加密时的密钥安全性。
在本发明中,当判断SIP协议对应的客户/服务器之间的通信中断时,直到再次成功完成注册时的相互认证为止,不可进行客户装置和服务器装置之间的通信,因此可增强对伪装等的安全性。
并且在本发明中,通过定期再次执行SIP协议对应的客户/服务器装置之间的注册时的相互认证,不会长时间地保存相同的认证状态,可防止在运行中允许与伪装的客户装置进行通信,并且当定期认证失败时,直到注册时相互认证再次成功完成为止,不可进行客户/服务器之间的通信,因此可增强对伪装等的安全性。
图29及图30是用于说明本发明效果的图。参照图29及图30对本发明的效果列举一例说明。此外,图29中表示了现有技术下的服务器装置的伪装动作,图30表示了本发明的服务器装置的伪装动作。
在图29中,当客户装置启动时(图29的p2),对DHCP(DynamicHost Configuration Protocol,动态主机配置协议)服务器进行注册地的服务器信息(例如IP(Internet Protocol)地址等)的询问时(图29的p3),在DHCP服务器中,当恶意的第三者将服务器装置A(真)的服务器信息修改为非法的服务器装置B(伪)的服务器信息时(图29的p1),DHCP服务器将非法的服务器装置B(伪)的服务器信息作为注册地的服务器信息通知客户装置(图29的p4)。
客户装置根据非法的服务器装置B(伪)的服务器信息对非法的服务器装置B(伪)进行注册动作(图29的p5~p8)。此时,当非法服务器装置B(伪)中的客户认证成功完成时(图29的p9),将200响应消息(200 Ok)发送到客户装置(图29的p10),因此客户认证完成,客户装置在非法服务器装置B(伪)下开始动作(图29的p11)。这样一来,在现有技术中,无法防止非法服务器装置B(伪)的伪装。
在本发明中,在服务器装置A(真)中,与客户装置之间的认证用的用户名、密码已经设定完毕(图30的q1),在客户装置中,与服务器装置A(真)之间的认证用的服务器名、用户名、密码已经设置时(图30的q2),在DHCP服务器中,有恶意的第三者将服务器装置A(真)的服务器信息修改为非法的服务器装置B(伪)(图30的q3),即使DHCP服务器对来自客户装置的询问作为注册地的服务器信息通知非法的服务器装置B(伪)的服务器信息(图30的q4~q6),也会通过客户装置中的服务器认证而变为NG(图30的q7~q10)。
因此,在本发明中,非法的服务器装置B(伪)和客户装置之间的相互认证失败,所以客户装置不会在非法的服务器装置B(伪)下开始动作(图30的q11)。这样一来,在本发明中,可防止非法的服务器装置B(伪)的伪装。
Claims (32)
1.一种SIP协议对应的客户/服务器型分布式系统,使SIP协议对应的客户装置和SIP协议对应的服务器装置分别连接到网络,上述客户装置将位置信息注册到上述服务器装置时,从上述服务器装置进行认证上述客户装置的客户认证,该客户/服务器型分布式系统的特征在于,
上述服务器装置及上述客户装置分别具有用于从上述客户装置进行上述服务器装置的认证的单元。
2.根据权利要求1所述的客户/服务器型分布式系统,其特征在于,
上述服务器装置包括:设定存储从外部输入的客户装置的用户名及密码的单元;和通过上述客户认证对连接的客户装置的用户名及密码进行认证的单元,
上述客户装置包括:设定存储从外部输入的服务器装置的服务器名和客户装置的用户名及密码的单元;和对连接的服务器装置的服务器名及密码进行认证的单元。
3.根据权利要求2所述的客户/服务器型分布式系统,其特征在于,
上述服务器装置连接到能够输入上述用户名及密码的维护接口,
上述客户装置连接到能够输入上述服务器名和上述用户名及密码的维护接口。
4.根据权利要求1所述的客户/服务器型分布式系统,其特征在于,通过挑战/摘要认证进行上述客户认证及上述服务器认证。
5.根据权利要求4所述的客户/服务器型分布式系统,其特征在于,
上述客户装置包括:生成用于实施上述服务器认证的挑战并进行摘要认证的单元,
上述服务器装置包括:根据上述挑战生成摘要的单元。
6.根据权利要求1所述的客户/服务器型分布式系统,其特征在于,在上述服务器装置和上述客户装置之间的通信中,上述客户认证和上述服务器认证分别成功时,认证成功。
7.根据权利要求1所述的客户/服务器型分布式系统,其特征在于,上述服务器装置和上述客户装置之间的初次认证使用一次性密码。
8.根据权利要求7所述的客户/服务器型分布式系统,其特征在于,上述服务器装置和上述客户装置之间的通信的认证成功时,使上述一次性密码失效。
9.根据权利要求7所述的客户/服务器型分布式系统,其特征在于,上述服务器装置包括:生成上述客户装置第二次之后的启动时所使用的相互认证密码的单元;和将生成的相互认证密码分配给上述客户的单元。
10.根据权利要求7所述的客户/服务器型分布式系统,其特征在于,
在上述服务器装置中,在初次认证时进行上述相互认证密码的生成和设定,
在上述客户装置中,在进行该相互认证密码设定的状态下,在上述客户装置第二次之后的启动时,上述服务器装置利用上述客户装置的用户名和上述相互认证密码进行认证,上述客户装置利用上述服务器装置的服务器名和上述相互认证密码进行认证。
11.根据权利要求7所述的客户/服务器型分布式系统,其特征在于,
上述服务器装置将上述相互认证密码加密,并分配给上述客户装置,
上述客户装置将已被加密的相互认证密码解密并进行设定。
12.根据权利要求7所述的客户/服务器型分布式系统,其特征在于,
上述服务器装置,响应来自外部的有无加密的指示,将上述相互认证密码加密,并分配给上述客户装置,并且将该有无加密的指示通知上述客户装置,
上述客户装置,设定由上述服务器装置通知的有无上述加密的指示,并且在接收已被加密的相互认证密码时,将该相互认证密码解密并进行设定。
13.根据权利要求7所述的客户/服务器型分布式系统,其特征在于,
上述服务器装置,设定由外部指示的、且用于上述相互认证密码的加密的加密规则,并将该加密规则通知上述用户装置,
上述用户装置,设定由上述服务器装置通知的上述加密规则。
14.根据权利要求7所述的客户/服务器型分布式系统,其特征在于,上述服务器装置及上述客户装置,以共同的步骤进行上述相互认证密码的分配用的密钥的生成及设定。
15.根据权利要求1所述的客户/服务器型分布式系统,其特征在于,上述服务器装置及上述客户装置,在上述服务器装置和上述客户装置之间的通信中断了预先设定的预定时间时,分别反复进行双方向的认证。
16.根据权利要求1所述的客户/服务器型分布式系统,其特征在于,上述服务器装置及上述客户装置,分别以预先设定的间隔反复进行双方向的认证。
17.一种相互认证方法,用于如下SIP协议对应的客户/服务器型分布式系统:使SIP协议对应的客户装置和SIP协议对应的服务器装置分别连接到网络,上述客户装置将位置信息注册到上述服务器装置时,从上述服务器装置进行认证上述客户装置的客户认证,该相互认证方法的特征在于,
上述服务器装置及上述客户装置分别执行用于从上述客户装置进行上述服务器装置的认证的处理。
18.根据权利要求17所述的相互认证方法,其特征在于,
上述服务器装置执行:设定存储从外部输入的客户装置的用户名及密码的处理;和通过上述客户认证对连接的客户装置的用户名及密码进行认证的处理,
上述客户装置执行:设定存储从外部输入的服务器装置的服务器名和客户装置的用户名及密码的处理;和对连接的服务器装置的服务器名及密码进行认证的处理。
19.根据权利要求18所述的相互认证方法,其特征在于,
上述服务器装置连接到能够输入上述用户名及密码的维护接口,
上述客户装置连接到能够输入上述服务器名和上述用户名及密码的维护接口。
20.根据权利要求17所述的相互认证方法,其特征在于,通过挑战/摘要认证进行上述客户认证及上述服务器认证。
21.根据权利要求20所述的相互认证方法,其特征在于,
上述客户装置执行:生成用于实施上述服务器认证的挑战并进行摘要认证的处理,
上述服务器装置执行:根据上述挑战生成摘要的处理。
22.根据权利要求19至21的任意一项所述的相互认证方法,其特征在于,在上述服务器装置和上述客户装置之间的通信中,上述客户认证和上述服务器认证分别成功时,认证成功。
23.根据权利要求17所述的相互认证方法,其特征在于,上述服务器装置和上述客户装置之间的初次认证使用一次性密码。
24.根据权利要求23所述的相互认证方法,其特征在于,上述服务器装置和上述客户装置之间的通信的认证成功时,使上述一次性密码失效。
25.根据权利要求23所述的相互认证方法,其特征在于,上述服务器装置执行:生成上述客户装置第二次之后的启动时所使用的相互认证密码的处理;和将生成的相互认证密码分配给上述客户的处理。
26.根据权利要求23所述的相互认证方法,其特征在于,
在上述服务器装置中,在初次认证时进行上述相互认证密码的生成和设定,
在上述客户装置中,在进行该相互认证密码设定的状态下,在上述客户装置第二次之后的启动时,上述服务器装置利用上述客户装置的用户名和上述相互认证密码进行认证,上述客户装置利用上述服务器装置的服务器名和上述相互认证密码进行认证。
27.根据权利要求23所述的相互认证方法,其特征在于,
上述服务器装置将上述相互认证密码加密,并分配给上述客户装置,
上述客户装置将已被加密的相互认证密码解密并进行设定。
28.根据权利要求23所述的相互认证方法,其特征在于,
上述服务器装置,响应来自外部的有无加密的指示,将上述相互认证密码加密,并分配给上述客户装置,并且将该有无加密的指示通知上述客户装置,
上述客户装置,设定由上述服务器装置通知的有无上述加密的指示,并且在接收已被加密的相互认证密码时,将该相互认证密码加密并进行设定。
29.根据权利要求23所述的相互认证方法,其特征在于,
上述服务器装置,设定由外部指示的、且用于上述相互认证密码的的加密的加密规则,并将该加密规则通知上述用户装置,
上述用户装置,设定由上述服务器装置通知的上述加密规则。
30.根据权利要求23所述的相互认证方法,其特征在于,上述服务器装置及上述客户装置,以共同的步骤进行上述相互认证密码的分配用的密钥的生成及设定。
31.根据权利要求17所述的相互认证方法,其特征在于,上述服务器装置及上述客户装置,在上述服务器装置和上述客户装置之间的通信中断了预先设定的预定时间时,分别反复进行双方向的认证。
32.根据权利要求17所述的相互认证方法,其特征在于,上述服务器装置及上述客户装置,分别以预先设定的间隔反复进行双方向的认证。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006206688 | 2006-07-28 | ||
| JP2006206688A JP2008033652A (ja) | 2006-07-28 | 2006-07-28 | クライアント・サーバ型分散システム、クライアント装置、サーバ装置及びそれらに用いる相互認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101115067A true CN101115067A (zh) | 2008-01-30 |
Family
ID=38987947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101367893A Pending CN101115067A (zh) | 2006-07-28 | 2007-07-27 | 客户/服务器型分布式系统、客户装置、服务器装置及其使用的相互认证方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20080028458A1 (zh) |
| JP (1) | JP2008033652A (zh) |
| CN (1) | CN101115067A (zh) |
| AU (1) | AU2007203549A1 (zh) |
| NL (1) | NL1034194C2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255870A (zh) * | 2010-05-19 | 2011-11-23 | 上海可鲁系统软件有限公司 | 一种分布式网络中的安全认证方法及系统 |
| CN107111709A (zh) * | 2015-08-24 | 2017-08-29 | 株式会社派普斯 | 欺骗检测系统 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9192859B2 (en) | 2002-12-10 | 2015-11-24 | Sony Computer Entertainment America Llc | System and method for compressing video based on latency measurements and other feedback |
| US9108107B2 (en) * | 2002-12-10 | 2015-08-18 | Sony Computer Entertainment America Llc | Hosting and broadcasting virtual events using streaming interactive video |
| US20090118019A1 (en) | 2002-12-10 | 2009-05-07 | Onlive, Inc. | System for streaming databases serving real-time applications used through streaming interactive video |
| US9314691B2 (en) | 2002-12-10 | 2016-04-19 | Sony Computer Entertainment America Llc | System and method for compressing video frames or portions thereof based on feedback information from a client device |
| US9138644B2 (en) | 2002-12-10 | 2015-09-22 | Sony Computer Entertainment America Llc | System and method for accelerated machine switching |
| US8964830B2 (en) * | 2002-12-10 | 2015-02-24 | Ol2, Inc. | System and method for multi-stream video compression using multiple encoding formats |
| US9077991B2 (en) | 2002-12-10 | 2015-07-07 | Sony Computer Entertainment America Llc | System and method for utilizing forward error correction with video compression |
| US7453685B2 (en) * | 2005-02-18 | 2008-11-18 | Wells Gardner Electronics Corporation | Mountable frame for holding flat panel display and methods of mounting frame for holding flat panel display |
| US8955094B2 (en) * | 2006-01-17 | 2015-02-10 | International Business Machines Corporation | User session management for web applications |
| US9168457B2 (en) * | 2010-09-14 | 2015-10-27 | Sony Computer Entertainment America Llc | System and method for retaining system state |
| US8959199B2 (en) * | 2008-03-18 | 2015-02-17 | Reduxio Systems Ltd. | Network storage system for a download intensive environment |
| US8447977B2 (en) * | 2008-12-09 | 2013-05-21 | Canon Kabushiki Kaisha | Authenticating a device with a server over a network |
| US20100175122A1 (en) * | 2009-01-08 | 2010-07-08 | Verizon Corporate Resources Group Llc | System and method for preventing header spoofing |
| US20120291106A1 (en) * | 2010-01-19 | 2012-11-15 | Nec Corporation | Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program |
| KR20120072032A (ko) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 모바일 단말의 상호인증 시스템 및 상호인증 방법 |
| JP6386967B2 (ja) * | 2015-04-30 | 2018-09-05 | 日本電信電話株式会社 | 認証方法及びシステム |
| US10050954B2 (en) * | 2016-02-01 | 2018-08-14 | Verizon Patent And Licensing Inc. | Secure automated device configuration and management |
| JP2020167488A (ja) * | 2019-03-28 | 2020-10-08 | パナソニックIpマネジメント株式会社 | 通信システム、認証装置および認証方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5809242A (en) * | 1996-04-19 | 1998-09-15 | Juno Online Services, L.P. | Electronic mail system for displaying advertisement at local computer received from remote system while the local computer is off-line the remote system |
| US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
| US20030154243A1 (en) * | 2002-02-14 | 2003-08-14 | Crockett Douglas M. | Method and an apparatus for registering a user in a group communication network |
| US7421732B2 (en) * | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
-
2006
- 2006-07-28 JP JP2006206688A patent/JP2008033652A/ja active Pending
-
2007
- 2007-07-23 US US11/781,659 patent/US20080028458A1/en not_active Abandoned
- 2007-07-26 NL NL1034194A patent/NL1034194C2/nl not_active IP Right Cessation
- 2007-07-27 CN CNA2007101367893A patent/CN101115067A/zh active Pending
- 2007-07-27 AU AU2007203549A patent/AU2007203549A1/en not_active Abandoned
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255870A (zh) * | 2010-05-19 | 2011-11-23 | 上海可鲁系统软件有限公司 | 一种分布式网络中的安全认证方法及系统 |
| CN102255870B (zh) * | 2010-05-19 | 2015-04-29 | 上海可鲁系统软件有限公司 | 一种分布式网络中的安全认证方法及系统 |
| CN107111709A (zh) * | 2015-08-24 | 2017-08-29 | 株式会社派普斯 | 欺骗检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2007203549A1 (en) | 2008-02-14 |
| US20080028458A1 (en) | 2008-01-31 |
| JP2008033652A (ja) | 2008-02-14 |
| NL1034194A1 (nl) | 2008-01-29 |
| NL1034194C2 (nl) | 2010-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101115067A (zh) | 客户/服务器型分布式系统、客户装置、服务器装置及其使用的相互认证方法 | |
| US10027631B2 (en) | Securing passwords against dictionary attacks | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
| CN101764803B (zh) | 参与与计算系统的认证的方法 | |
| CN100568800C (zh) | 用于安全远程访问的系统和方法 | |
| CN106302312B (zh) | 获取电子文件的方法及装置 | |
| CN101212291B (zh) | 数字证书分发方法及服务器 | |
| JP4599852B2 (ja) | データ通信装置および方法、並びにプログラム | |
| CN105915342A (zh) | 一种应用程序通信处理系统、设备、装置及方法 | |
| US9716591B2 (en) | Method for setting up a secure connection between clients | |
| US20140298037A1 (en) | Method, apparatus, and system for securely transmitting data | |
| US20080034216A1 (en) | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords | |
| GB2371957A (en) | Method of authenticating a network access server | |
| CN101715638A (zh) | 为获取解密密钥而请求密钥获取的安全电子消息系统 | |
| CN108989290A (zh) | 一种在外网中实现服务器网络访问限制的控制方法及控制装置 | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| JP2013238965A (ja) | 認証システム、認証装置、認証方法、及びプログラム | |
| CN105554008B (zh) | 用户终端、认证服务器、中间服务器、系统和传送方法 | |
| JP5342818B2 (ja) | 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。 | |
| CN105141629A (zh) | 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法 | |
| JP2003143128A (ja) | 通信システム及び通信方法 | |
| WO2015180399A1 (zh) | 一种认证方法及装置系统 | |
| CN114422216A (zh) | 一种物联网设备绑定方法、装置和存储介质 | |
| JPH10340255A (ja) | ネットワーク利用者認証方式 | |
| US11146536B2 (en) | Method and a system for managing user identities for use during communication between two web browsers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1114265 Country of ref document: HK |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080130 |