CN1701559A - 会话控制服务器、通信装置、通信系统与通信方法及其程序与记录介质 - Google Patents
会话控制服务器、通信装置、通信系统与通信方法及其程序与记录介质 Download PDFInfo
- Publication number
- CN1701559A CN1701559A CNA2004800010050A CN200480001005A CN1701559A CN 1701559 A CN1701559 A CN 1701559A CN A2004800010050 A CNA2004800010050 A CN A2004800010050A CN 200480001005 A CN200480001005 A CN 200480001005A CN 1701559 A CN1701559 A CN 1701559A
- Authority
- CN
- China
- Prior art keywords
- privacy key
- parts
- information
- key
- decodingization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
一种通过网络连接而能够与会话控制服务器通信、通过与会话控制服务器之间进行信号发送和接收、从而建立与其它通信装置会话通信装置,设有:作成非对称密钥对的部件;对于会话控制服务器请求对非对称密钥对之中公开密钥的证书发行的请求部件;从会话控制服务器接收公开密钥证书发行结束通知的接收部件;存储已收到的公开密钥证书的存储部件;对于会话控制服务器发送通信装置位置的登录请求的发送部件;以及从会话控制服务器接收包含有效期间的位置登录结束通知的接收部件,将位置登录请求和证明书发行请求总括后的请求发送。
Description
技术领域
本发明涉及会话控制服务器。更详细地说,本发明涉及进行电子证书发行及其管理的会话控制服务器、使用此电子证书进行通信的通信装置、通信系统及其通信方法以及用于执行通信方法的程序和记录程序的记录介质。另外,本发明涉及进行信号中继的会话控制服务器、基于保密密钥进行加密通信的通信装置及通信系统及其通信方法以及其程序和记录程序的记录介质。另外,本发明涉及进行信号中继的会话控制服务器、基于保密密钥进行加密通信的通信装置、通信系统及通信方法以及采用它们的程序和记录程序的记录介质。
本申请对于2003年6月19日已申请的特愿2003-175085号、2003年6月20日已申请的特愿2003-176568号及特愿2003-176569号拥有优先权,并在此援引其内容。
背景技术
作为传统上使用的电子证书的发行服务器、电子证书的管理服务器及认证局,可以列举LDAP(LightWaigt Directory AccessProtocol)服务器及Web(World Wide Web)服务器。前者是用于在X.500库的通讯录管理数据库中存取的协议,在目录服务器上的目录信息的作成、变更、删除、检索等操作都是可能的。后者以在因特网上个构建超文本、能存取所有信息为目的,在顾客与服务器的协议中使用HTTP。
在电子证书的使用者采用这些服务器的使用方法、进行加密通信时,根据需要,必须取得通信对方的电子证书。
另外,对于已取得的电子证书,也必须跟踪认证局链接、取得CRL(失效清单)等,判断有效性。
关于上述内容,在因特网的标准化机构IETF(InternetEngineering Task Force)归纳的规格书中,有RFC(Request forComments)2511(Internet X.509 Certificate Request MessageFormat)。
在通信对方持有多份电子证书、且有效期间各不相同时,电子证书的使用者在开始会话时,由于要判断使用哪份电子证书是适当的,必须从电子证书的管理服务器取得相应于通信对方的多份电子证书、对其分别判断有效性。
另外,即使在使用判定为是有效的证书、发送信号,如果接收源的通信装置中未设定为能够使用此证书的状态,则仍然存在接收侧不能解码化、而延迟会话开始处理的问题。
另外,如果收到通信对方的包含数字签名的电子证书,因为要判断收到的证书是否有效,所以在进行与LDAP服务器连接的处理等情况下,也存在会话开始处理延迟这一问题。
另外,作为传统上采用的用户之间的通信信息的加密方式,可以列举IPSec(Security architecture for InternetProtocol),TLS(Transport Layer Security)、S/MTME等。
作为能参照信息的加密方式,中继服务器有IPSec、TLS。
IPSec是用于强化TCP/IP通信的安全性的技术,包括规定将数据IP小型密闭化而开辟通道的方法的ESP(Encapsulation SecurePayload)、将用户认证用的数据编入IP数据的AH(authenticationHeader)等。在金融业系统等顾客-服务器之间的安全性有必要的应用中广泛使用TLS。
在IPSec、TLS方法中,在传送区间的起点与终点之间,进行保密密钥及方式的调整,根据其结果,进行加密通信,提高通信装置发送和接收的传送信息的秘密性。
但是,在IPSec及TLS等加密方式中,传送区间的起点与终点之间必须进行加密方式、密钥的调整,在传送区间的起点及终点进行加密/解码化处理。因此,在进行信号中继的会话控制服务器中一定要进行信息的解码化,所以能够对于会话控制服务器进行信息保护的加密通信是困难的。
S/MIME用于终端-终端之间的安全,在终端-终端加密时,在中继服务器中不能参照信息。具体地说,在S/MIME的加密方式中双向通信装置之间进行加密,对于所有的会话控制服务器,都能进行信息保护,但即使在特别指定的会话控制服务器中必须公开信息时,也存在信息不可能公开的问题。
关于上述内容,在因特网的标准化机构IETF(InternetEngineering Task Force)归纳的规格书中,有RFC(Request forComments)3261Section26.2。
发明内容
本发明的目的之一在于:为了解决上述传统的课题,提供一种对于进行会话通信的通信装置具备能够发行有效的电子证书以及在用户建立会话时能够易于确认有效性的电子证书管理功能的会话控制服务器以及采用此服务器进行通信的通信装置、通信系统、通信方法及其程序以及记录程序的记录介质。
本发明具有以下功能:
(1)当某用户A提出自己的通信装置A’位置登录请求时,作成非对称密钥对,将对其密钥对中公开密钥的证书发行请求和位置登录请求总括,发送到会话控制服务器(参照权利要求1)。
(2)会话控制服务器从通信装置A’接收上述(1)的请求,进行用户认证后,发行证书,并与位置信息的有效时间一起存储(参照权利要求5)。
(3)进行上述(1)处理后的通信装置A’将来自进行上述(2)处理后的会话控制服务器的位置登录结束通知和证书发行结束通知与有效时间一起接收,并加以存储(参照权利要求2)。
(4)当某用户A提出自己的通信装置A’的位置登录请求时,如果已持有对非对称密钥对及其对密钥对中公开密钥的证书,则将位置登录请求和证书登录请求总括,发送到会话控制服务器(参照权利要求3)
(5)会话控制服务器从通信装置A’接收上述(2)的请求,在判断证书的有效性、进行用户认证之后,将证书的登录与具有有效时间的位置登录一起存储(参照权利要求5)。
(6)进行上述(4)处理后的通信装置A’上将来自进行上述(5)处理后的会话控制服务器的位置登录结束通知和证书发行结束通知与有效时间一起接收,并加以存储(参照权利要求4)。
(7)在通信装置B’开始会话之前,对于会话控制服务器询问通信对方A的公开证书。
(8)会话控制服务器接收证书询问请求,对于其询问对象的通信对方A确认通信装置A’的公开密钥证书的有效性,并将它通知通信装置B’(参照权利要求6)。
因为在本发明中进行位置信息管理及会话控制的服务器进行电子证书(公开密钥证书)的管理,所以能够进行保证通信装置中实际有效性的发行。
另外,由于在电子证书发行时通过进行位置信息管理及会话控制的服务器而确认电子证书的有效性,因此能够不询问认证局等、而确认会话控制信号内使用的电子证书的有效性。
本发明的目的之二在于:为了解决上述传统的课题,提供一种确保发送和接收用户之间通信的终端-终端之间秘密性,同时能够仅对有必要信息公开的特别指定的会话控制服务器进行信息公开的会话控制服务器、通信装置、通信系统、通信方法及其程序以及记录介质。
在本发明中
(9)通信装置A在用于会话建立的信号发送之前,首先生成用于信号内信息加密的第一保密密钥(对称保密密钥)。
通信装置A采用发送目标的通信装置B的第二保密密钥(公开密钥或事前共用密钥)和随着通信装置A会话建立而公开信息的对象,即0以上的会话控制服务器的第二保密密钥(公开密钥或事前共用密钥),按每个第二保密密钥分别将第一保密密钥加密。通信装置A通过第一保密密钥将信息加密。也可以在加密前,对于信息附加签名。
通信装置A将通过各第二保密密钥(各个公开密钥或事前共用密钥)已加密的第一保密密钥和解码化请求指示与通过第一保密密钥已加密的信息一起发送到会话控制服务器。
另外,这里的解码化请求指示对随着通信装置A会话建立而公开信息的对象的会话控制服务器,可以按照表示会话控制服务器的识别符形式明确地提示,也可以不明确地提示。
另外,关于解码化对象的内容ID,可以明确地提示,也可以不明确地提示。
在不明确地提示时,例如,随着会话建立而经由的各个会话控制服务器通过对应于自身保存的第二保密密钥的第二解码化密钥,进行第一保密密钥的解码化,如果得到的信息与表示第一保密密钥的表现形式一致,则可以判断是自身已接受解码化请求的会话控制服务器。因此,通过第二保密密钥已加密的第一保密密钥自身成为解码化请求指示(参照权利要求16)。
(10)接收来自通信装置A或其它会话管理服务器的信号的会话控制服务器判断有无解码化请求和解码化对象的信息,如果有解码化请求,则通过对应于自身第二保密密钥的第二解码化密钥,进行第一保密密钥的解码化。或者,通过对应于自身第二保密密钥的第二解码化密钥,进行第一保密密钥的解码化,根据结果判断有无解码化请求。或者,两者中任何一个都进行。这些由(9)中已记载的通信装置中的解码化请求决定。
在任何情况下都采用已得到的第一保密密钥,进行加密信息的解码化(参照权利要求17)。
(11)上述(10)的会话控制服务器再将已加密的第一保密密钥以会话单位存储。会话控制服务器在以后该会话的信息解码化时,再使用此第一保密密钥(参照权利要求18)。
(12)通信装置B接收包含已附加已加密的第一保密密钥的加密信息的信号,进行第一保密密钥的解码化,采用此第一保密密钥进行加密信息的解码化。通信装置B以会话单位存储第一保密密钥,在同-会话中的信息加密中再使用第一保密密钥。
通信装置B发送包含未附加将第一保密密钥已加密的信息的加密信息的信号。在同-会话中的信息解码化中也再使用第一保密密钥(参照权利要求19)。
(13)通信装置A以会话单位存储第一保密密钥,在接收包含未附加将第一保密密钥已加密的信息的加密信息的信号时,在同一会话中的信息解码化及同-会话中的信息加密中再使用上述第一保密密钥(参照权利要求20)
(14)通信装置A及通信装置B在会话中经过-定时间后或使用-定次数后,更新第一保密密钥,与更新信号一起发送(参照权利要求21、22)。
(15)会话控制服务器一旦在会话中从通信装置A(或通信装置B)接收第一保密密钥的更新信号,则更新已存储的会话的第一保密密钥,与更新信号一起发送到通信装置B(或通信装置A)(参照权利要求23)
在本发明中指定进行信息公开的会话控制服务器,能够进行信息公开,同时安全地发送、接收信号内的信息。即使在包含通信装置之间的加密信息的信号通信时,由于能够由特别指定的会话控制服务器进行信息参照,因此也能够以其信息为基础,进行通信控制。
本发明的目的之三在于:为了解决上述传统的课题,提供一种能够确保与可信赖的地址之间安全性的会话控制服务器、通信装置、通信系统、通信方法及其程序易以及记录介质。
作为上述安全性确保的区间是指:发送用户与特别指定的可信赖的会话控制服务器之间、特别指定的可信赖的会话控制服务器与特别指定的可信赖的会话控制服务器之间以及特别指定的可信赖的会话控制服务器与终点用户之间的不依赖传送区间的任意区间。
在本发明中对于信息加密,将通过通信装置或会话控制服务器生成的保密密钥称作第一保密密钥,将用于使第一保密密钥加密的保密密钥称作第二保密密钥。
(16)通信装置A在用于会话建立的信号发送前,首先生成用于信号内信息加密的第一保密密钥(对称保密密钥)。
通信装置A采用发送目标的通信装置B的第二保密密钥(公开密钥或事前共用密钥)或者随着通信装置A会话建立仅允许信息公开或者允许公开和变更两者的会话控制服务器的第二保密密钥(公开密钥或事前共用密钥)的任何一个密钥,将第一保密密钥加密。
通信装置A通过第一保密密钥将信息加密。在加密前也可以对信息附加签名。通信装置A将通过上述任何一个第二保密密钥(公开密钥或事前共用密钥)已加密的第一保密密钥和另外在第二保密密钥是会话控制服务器的保密密钥时的解码化请求指示与通过第一保密密钥已加密的信息一起发送到会话控制服务器。
另外,这里的解码化请求指示对随着通信装置A会话建立而允许公开或公开和变更信息的对象的会话控制服务器,可以按照表示会话控制服务器的识别符形式明确地提示,也可以不明确地提示。
在不明确地提示时,例如,随着会话建立而经由的各个会话控制服务器通过对应于自身保存的第二保密密钥的第二解码化密钥,进行第一保密密钥的解码化,如果得到的信息与表示第一保密密钥的表现形式一致,则可以判断是自身已接受解码化请求的会话控制服务器。因此,通过第二保密密钥已加密的第一保密密钥自身成为解码化请求指示。
另外,这里的是否仅允许信息公开、或者是允许公开和变更信息的不同,例如也可以由作为对象的信息中是否通过发送侧通信终端附加电子签名(例如,在附加时仅允许公开)等而决定(参照权利要求37)。
(17)接收来自通信装置A或其它会话控制服务器的信号的会话控制服务器判断有无解码化请求,如果已有解码化请求,则通过对应于自身第二保密密钥的第二解码化密钥,进行第一保密密钥的解码化。或者通过对应于自身第二保密密钥的第二解码化密钥,进行第一保密密钥的解码化,根据结果判断有无解码化请求。或者两者中任何一个都进行。这些由(16)及(17)的后半所记载的通信装置及会话控制服务器中的解码化请求而决定。
在任何情况下都采用得到的第一保密密钥,进行加密信息的解码化。
接着,此会话控制服务器通过下一级的会话控制服务器或终点用户的第二保密密钥(公开密钥或事前共用密钥),将解码化而得到的第一保密密钥加密。而且,将通过第一保密密钥已加密的信息及通过第二保密密钥已加密的第一保密密钥发送到下一级的会话控制服务器或终点用户。另外,如果在发送时第二保密密钥是会话控制服务器的保密密钥,则将解码化请求指示也发送到会话控制服务器(参照权利要求38)。
(18)另外,也可以在上述(17)的会话控制服务器中生成新的第一保密密钥(对称保密密钥),使用此密钥将已解码化的信息加密。而且,通过下一级的会话控制服务器或终点用户的第二保密密钥(公开密钥或事前共用密钥)将已生成的该第一保密密钥加密。将它们发送到会话控制服务器或终点用户。另外,如果在发送时第二保密密钥是会话控制服务器的保密密钥时,解码化请求指示也发送到会话控制服务器(参照权利要求39)。
(19)会话控制服务器以会话及对向装置单位管理已收到的第一保密密钥和已生成的第一保密密钥。会话控制服务器在以后的信息加密或解码化中再使用第一保密密钥(参照权利要求40)。
(20)通信装置B接收已附加已加密的第一保密密钥的加密信息,进行第一保密密钥的解码化,采用此第一保密密钥,进行加密信息的解码化。通信装置B在发送响应信号时,再使用已解码化的第一保密密钥,将信息加密。通信装置B不附加第一保密密钥,而发送已加密的信息。存储第一保密密钥,并在同-会话中、且在同-对向装置的信号加密及解码化中再使用(参照权利要求41)。
(21)通信装置A以会话和对向装置单位存储第一保密密钥,在接收包含未附加将第一保密密钥已加密的信息的加密信息的信号时,在同-会话中、且在同-对向装置的信息解码化中使用。另外,在同-会话中、且在同-对向装置中发送信号时的信息加密中再使用上述第一保密密钥(参照权利要求42)。
(22)通信装置A及通信装置B在会话中经过一定时间后或使用一定次数后,更新第一保密密钥,与更新信号一起发送(参照权利要求43、44)
(23)会话控制服务器一旦从通信装置A(或通信装置B)接收更新信号,就更新已存储的第一保密密钥,将更新信号发送到通信装置B(或通信装置A)。此时,也可以生成新生成后的第二保密密钥,发送到通信装置B(或通信装置A)(参照权利要求45)。
在本发明中能够指定进行信息公开的会话控制服务器,进行信息公开,同时能够安全地发送、接收信息。由于能够通过特别指定的会话控制服务器进行信息参照及/或变更,因此能够以此信息为基础,进行通信控制。
附图说明
图1是本发明的通信系统结构图。
图2是图1中的通信装置详细框图结构图。
图3是图1中的会话控制服务器的详细框图结构图。
图4是表示本发明实施例1的通信装置的发送信号例的图。
图5是表示本发明实施例1的通信装置的接收信号例的图。
图6是表示本发明实施例3的会话控制服务器的接收信号例的图。
图7是表示本发明实施例2的会话控制服务器的发送信号例的图。
图8是本发明实施例3的会话控制服务器和通信装置的处理流程图。
图9是本发明实施例3的会话控制服务器和通信装置的处理流程图。
图10是本发明实施例2的通信系统的框图结构图。
图11是图10中的会话控制服务器的详细结构图。
图12是图10中的通信装置的详细结构图。
图13是表示本发明实施例2的通信装置(202-1)的发送信号例的图。
图14是表示本发明实施例2的通信装置(202-2)的发送信号例的图。
图15是本发明实施例4的通信方法说明图。
图16是本发明实施例5的通信方法说明图。
图17是本发明实施例6的通信方法说明图。
图18是本发明实施例3的通信系统结构图。
图19是图18中的会话控制服务器的框图结构图。
图20是图18中的通信装置的框图结构图。
图21是本发明实施例3的通信装置(302-1)发送信号例的图。
图22是本发明实施例3的通信装置(302-2)发送信号例的图。
图23是本发明实施例7的通信方法说明图。
图24是本发明实施例8的通信方法说明图。
图25是本发明实施例9的通信方法说明图。
具体实施方式
下面,参照附图,说明本发明的合适实施例。但是,本发明不限定于以下各实施例,例如,也可以将这些实施例的结构要素彼此适当组合。
下面,参照附图,详细说明本发明的实施方式。
(实施方式1)
[系统结构]
图1是本发明实施例1的通信系统的结构图。
如图1所示,使通信系统100包括通过网络10连接而能够通信的1台以上的会话控制服务器101和多个通信装置102而构成。
另外,通信装置102按照本发明的步骤,通过会话控制服务器101,根据加密通信,进行通信。另外,在通信系统100中准备有2台会话控制服务器101,但不限定于2台。另外,准备有2台通信装置102,但不限定于2台。
另外,在本发明中通信装置102包括个人电脑、手提终端或端口等通信设备,网络10的结构与有线、无线无关。
下面,为了说明方便,以通信装置102-1为发送侧、通信装置102-2为接收侧进行说明。以会话控制服务器101-1装有通信装置102-1、会话控制服务器101-2装有通信装置102-2进行说明。
会话控制服务器101-1、101-2分别从通信装置102-1和通信装置102-2接收位置登录请求和公开密钥证书的发行请求或登录请求,存储位置登录信息和公开密钥证书。
[通信装置]
图2是本发明实施例1的通信装置的结构框图。
如图2所示,使通信装置102包括信号发送部件110、会话控制部件111、位置登录请求部件112、位置登录通知接收部件113、非对称密钥生成(存储)部件114、证书发行(登录)请求部件115、位置信息及公开密钥证书存储部件116、信号接收部件117及证书通知接收部件118而构成。
在这里,114是非对称密钥存储部件,同时也是非对称密钥生成部件,另外,115是证书登录请求部件,同时也是证书发行请求部件。因此,下面,将其中一个一起记在括弧内。另外,114、115也可以仅具有其中1个功能。
通信装置102-1对于由非对称密钥存储(生成)部件114生成(存储)的公开密钥,通过证书登录(发行)请求部件115由请求信号作成,与通过位置登录请求部件112生成的位置登录请求信号一起,送到会话控制部件111。
通过会话控制部件111生成的信号由信号发送部件110发送到会话控制服务器101。
然后,通信装置102-1从会话控制服务器101-1接收位置登录结束通知信号,通过会话控制部件111分析信号内容,送到位置登录通知接收部件113。
在附有公开密钥证书时,通过证书通知接收部件118加以接收,将位置信息和公开密钥证书全部存储在位置信息及公开密钥证书存储部件116中。
因此,通信装置102-1变为已获得能使用的公开密钥证书的状态,包括使用公开密钥的加密信息的信号接收及附加有使用公开密钥证书的数字签名的信号发送都成为可能。这样,通过信号发送时附加数字签名,就能够防止发送和终点用户之间的相互认证、通过服务器的用户认证及用户信号发送的否定。
(实施例1)
实施例1是通信装置102-1对于会话控制服务器101-1要求进行位置登录及证书发行,至由会话控制服务器101-1接受位置登录和证书发行结束通知为止的交换。另外,在位置登录及证书发行请求中包括位置登录请求,但可以包含证书发行请求,也可以不包含。
图4是表示图2通信装置中发送信号例的图,图5是表示图2通信装置中接收信号例的图。
这里的通信装置102-1的对方是会话控制服务器101-1。例如,来自图4所示的通信装置102-1的发送信号是依据RFC3261的SIP消息之一的REGISTER方式400,其消息中设定有通信装置的位置信息和希望的有效时间(402)。另外,也设定有公开密钥证书请求及用户认证密钥(402)。为了保持秘密性,这些信息通过内容保密密钥加密,作为S/MTME的Enveloped-Data(401)发送。
作为用于内容保密密钥的加密的密钥保密密钥,也可以采用会话控制服务器101-1的公开密钥,还可以采用会话控制服务器101-1与通信装置102-1的使用者之间的事前共用密钥(密码等)。
如图5所示,会话控制服务器101-1接收的信号是对应于REGISTEP方式的正常响应20DOK(500),其消息中设定有已登录的位置信息和会话控制服务器101-1已认可的有效时间(504)。为了具有秘密性,这些信息通过保密密钥加密,设定在Enveloped Data内(502)。另外,也设定有公开密钥证书(504)。
在信号的解码化中首先进行已加密的内容保密密钥(505)的解码化。
在保密密钥的解码化中也可以采用通信装置102-1的秘密密钥,还可采用会话控制服务器101-1和通信装置102-1的使用者之间的事前共用密钥(密码等)。
通过已解码化的内容保密密钥,将已加密的信息(504)解码化。
已接收的位置信息和公开密钥证书与有效时间一起存储在位置信息及公开密钥证书存储部件116中。
为了检出有无涂改,如果附有服务器的数字签名(503),则可以确认其签名。
[会话控制服务器]
图3是本发明实施例1的会话控制服务器的框图。
如图3所示,会话控制服务器101包括信号接收部件120、会话控制部件121、信号发送部件122、证书发行(登录)请求接收部件123、证书发行(有效性确认)部件124、位置登录请求接收部件125、位置信息及公开密钥证书存储部件126、公开密钥证书询问请求接收部件127及公开密钥证书通知发送部件128。
在这里,123具有证书发行请求接收部件和证书登录请求接收部件2个功能,124具有证书发行部件和证书有效性确认部件2个功能。另外,123、124也可以仅具有上述2个功能中之一。
信号接收部件120从通信装置102-1接收位置登录请求信号。如果会话控制部件121判定收到的位置登录请求信号是位置登录请求信号,则将此位置登录请求信号送到位置登录请求接收部件125。
如果位置登录请求部件125判定在用户认证正常结束后附有证书发行请求,则向证书发行请求接收部件123提供必要的信息。证书发行请求接收部件123确认要求内容是合理的,证书发行部件124对用户发行证书。
已发行的证书和位置信息存储在位置信息及公开证书存储部件126中。
会话控制部件121生成包含位置信息及公开密钥证书信息的响应信号,信号发送到通信装置102-1。
(实施例2)
实施例2是会话控制服务器101-1从通信装置102-1接收位置登录及证书发行的请求至向通信装置102-1发送位置登录及证书发行结束通知为止的交换。
如上所述,图4及图5分别是从通信装置102-1向会话控制服务器101-1发送的信号例及通信装置102-1从会话控制服务器101-1接收的信号例。因此,在本例中从会话控制服务器101-1发送到通信装置102-1的信号例是图5,从通信装置102-1接收的信号例是图4。
如图4所示,例如,会话控制服务器101-1从通信装置102-1接收的信号是依据RFC3261的SIP消息之一,即REGISTER方式,在该消息中同时设定有通信装置的位置信息和有效时间(402)。另外,也设定有公开密钥证书请求及用户认证密钥(402)。为了具有秘密性,这些信息由保密密钥加密。
为了取得内容保密密钥,会话控制服务器101-1首先进行已加密的内容保密密钥的解码化。
在解码化中也可以采用会话控制服务器101-1的秘密密钥,还可以采用会话控制服务器101-1与通信装置102-1的使用者之间的事前共用密钥(密码等)。
会话控制服务器101-1采用解码化后而取得的内容保密密钥,进行已加密的信息解码化。
得到解码化后而取得的位置信息登录请求、用户认证密钥,证书发行请求。
会话控制服务器101-1在用户认证后确认证书发行请求是合理的,会话控制服务器101-1发行成为发行源的公开密钥证书。
已发行的公开密钥证书的有效期间限(504)设定为与位置信息的有效期间限相同。
位置信息和公开密钥证书和有效期间限一起存储。
如图5所示,会话控制服务器101-1将已登录的位置信息和会话控制服务器101-1已认可的有效时间一起设定在对REGISTER方式的正常响应200OK(500)中(504)。为了保持秘密性,这些信息由保密密钥加密(502)。另外,也设定公开密钥证书(506)。会话控制服务器101-1为了将信号加密,首先生成保密密钥。接着,其保密密钥被加密。此时,也可以采用通信装置102-1的公开密钥,还可以采用会话控制服务器101-1与通信装置102-1的使用者之间的事前共用密钥(密码等)。
会话控制服务器101-1将这样生成的信号发送到通信装置102-1。
为了检出有无涂改,也可以附加会话控制服务器101-10的数字签名(503),再发送。
图8是实施例2的通信装置的位置登录和证书发行处理的流程图。
关于从通信装置发送的信号,可以进行加密或解码化等,但在这里,其处理省略。
首先,通信装置102-1作成用于进行通信装置102-1的位置登录请求的非对称密钥对,将总括有对于其密钥对中公开密钥的证书发行请求和位置登录请求的位置登录及证书发行请求信号发送到会话控制服务器101-1(51)(8-A)。另外,位置登录及证书发行请求信号中包括位置登录请求,但可以包含证书发行请求,也可以不包含。会话控制服务器101-1接收此信号(52),进行会话控制(53),判定信号类别(54),如果是位置登录请求,则接收位置登录请求(55),判定是否有证书发行请求(56),如果没有证书发行请求,则管理位置信息及证书(59)。另外,如果有证书发行请求,则接收证书发行请求(57),发行证书(58),管理位置信息及证书(59)。然后,进行会话控制(60),信号发送到通信装置102-1(61)(8-B)。通信装置102-1接收位置登录及证书发行结束通知(62)。另外,位置登录及证书发行结束通知中包括位置登录结束通知,但可以包含证书发行结束通知,也可以不包含。
(实施例3)
作为实施例3记载的是其它会话控制服务器101-2从通信装置102-2收到的信号是依据SIP的SIP消息之一的OPTIONS方式,且其消息中设定有通信装置102-1的公开密钥证书询问请求时的交换。
图6是表示图3的会话控制服务器的接收信号例的图,图7是表示同一会话控制服务器的发送信号例的图。
为了能够检出询问内容有无涂改,在600中设定有通信装置102-2的用户数字签名以及用于验证签名的通信装置102-2的用户公开密钥证书(604)。会话控制服务器101-2参照设定在OPTIONS方式的Request-URI的域名,判定是否是寄给本域的方式。如果不是寄给本域,则发送到作为域名而表示的会话控制服务器101-1。
会话控制服务器101-1接收OPTIONS方式,参照设定在OPTIONS方式的Request-URI的域名,判定是否是寄给本域的方式。如果是寄给本域的方式,则判别是否是证书登录请求。如果是证书登录请求,则在位置信息及公开密钥证书存储部件126中,检索通信装置102-1的用户位置信息、公开密钥证书及有效时间,在该时刻取得有效信息。如图7所示,将取到这些的信息设定在对于OPTIONS方式的响应200OK,发送到通信装置102-2。
会话控制服务器101-1也能够将此信息直接发送到通信装置102-2,但在这里,经由会话控制服务器101-2发送。
图9是本发明实施例3的证书询问处理的流程图。对于从通信装置发送的信号,可以进行加密或解码化等,但在这里,其处理过程省略。
通信装置102-2将证书询问请求信号发送到会话控制服务器101-2(81)(9-A)。会话控制服务器101-2一旦接收此信号(82),就进行会话控制(83),判定是否是寄给本域(84),如果不是寄给本域,则进行会话控制(89),发送到相应的会话控制服务器(90)。在此情况下,转送到地址的会话控制服务器101-1(9-B)。如果是寄给本域,则判定信号类别(85),如果是证书询问请求,则接收证书询问请求(86),判定是否有证书(87),如果有证书,则进行证书的通知(88),进行会话控制(89),信号发送到通信装置102-2(90)(9-D)。
会话控制服务器101-1接收其信号(91),进行会话控制(92),判定是否是寄给本域(93),如果不是寄给本域,则进行会话控制(98),发送到其它会话控制服务器(99),或者如果要发送的地址不清楚,则将错误响应返回到会话控制服务器102-1。如果是寄给本域,则判定信号类别(94),如果是证书询问请求,则接收证书询问请求(95)。判定是否有证书(96),如果有证书,则进行证书通知(97),进行会话控制(98),信号发送到会话控制服务器101-2(99)(9-C)。
会话控制服务器101-2一旦接收此信号(82),则进行会话控制(83),由于不是寄给本域,因此将信号发送到地址的通信装置102(90)(9-D)。通信装置102-2接收此证书通知(80)。
会话控制服务器101-2一旦接收错误响应,就将该错误响应发送到通信装置102-2。
这样,通过采用本实施例的通信方法,由会话管理服务器管理通信装置中成为可使用状态的公开密钥证书,从而在会话通信中可使用的电子证书(公开密钥证书)的发行、流通成为可能。
另外,通过会话控制服务器发行电子证书时,因为由会话控制服务器确认证书的有效性,因此,不询问认证局等,就能够确认在会话控制信号内使用的电子证书的有效性。
另外,如果在图8及图9的动作流程程序化之后,将这些程序预先存储在CD-ROM等记录介质上,则在程序销售及出租时是方便的。另外,将此记录介质安装在成为会话控制服务器的电脑及通信装置的电脑上,装入程序,执行程序,从而能够容易实现本发明。
如以上说明的那样,根据本发明的实施例1,为了发送、接收通信装置之间秘密性高的信号,在会话控制服务器确认通信装置对应的有效性后,对必要的电子证书(公开密钥证书)加以管理,因此能够发行可实用的电子证书,在用户上建立会话时有效性易于确认。
(实施方式2)
[系统结构]
图10是本发明实施例2的通信系统的结构图。
如图10所示,使本通信系统200包括多个会话控制服务器201、多个通信装置202、NAT/防火墙装置203及网络20而构成。
另外,通信装置202按照本发明的步骤,通过会话控制服务器201,按照包含加密信息的信号,进行通信。另外,在通信系统200中会话控制服务器201不限定于2台。在这里,通信装置202表示2台,但不限定于2台。NAT/防火墙装置203表示1台,但1不限定于台。
另外,根据本发明,通信装置202包括个人电脑、手提终端或端口等通信设备,网络20的结构无论有线、无线。下面,为了说明方便,以通信装置202-1为发送侧、通信装置202-2为接收侧进行说明。另外,以会话控制服务器201-1作为发送侧,会话控制服务器201-2为接收侧进行说明。
通信装置202-1将用于通信装置202-2的已加密的第一保密密钥和用于会话控制服务器201-1的已加密的第一保密密钥与加密信息一起发送到会话控制服务器201-1。
会话控制服务器201-1接收从通信装置202-1送来的加密信息和2个已加密的第一保密密钥,将其中会话控制服务器用信息解码化,通过已获得的第一保密密钥,将加密信息解码化。这样,能够进行信息参照。
此时,会话控制服务器201-1也可以用参照的信息为基础,对于NAT/防火墙装置203发送过滤条件变更请求。从NAT/防火墙装置203接收过滤条件变更结束通知后,会话控制服务器201-1将包含从通信装置202-1收到的加密信息的信号和2个第一保密密钥发送到会话控制服务器201-2。
会话控制服务器201-2接收从会话控制服务器201-1送来的加密信息和2个已加密的第一保密密钥,但由于无法将它们解码化,因此不能参照已加密的信息。会话控制服务器201-2将收到的加密信息和2个已加密的第一保密密钥发送到通信装置202-2。
通信装置202-2将从会话控制服务器201-2收到的通信装置202-2用信息解码化,通过已得到的第一保密密钥,将已加密的信息解码化。这样,就能够进行信息参照。
通信装置202-2再使用在会话对应中存储中的第一保密密钥,将要发送到通信装置202-1的响应信号等信号加密,经由会话控制服务器201-1、201-2或者直接发送到通信装置202-1。
[通信装置]
图12是本发明实施例2的通信装置的结构框图。
如图12所示,使通信装置202包括信号发送部件220、会话控制部件221、保密密钥生成部件222、保密密钥加密部件223、信号信息加密部件224、保密密钥再使用部件225、信号信息解码化部件226、保密密钥解码化部件227、信号接收部件228、保密密钥更新部件229而构成。
通信装置202-1使用保密密钥生成部件222中已生成的第一保密密钥,将由会话控制部件221生成的信号中必须有秘密性的信息由信号加密部件224加密。
另外,使用公开目标的通信装置及服务器的第二保密密钥(例如,在实施例中为公开密钥),由保密密钥加密部件223,分别将第一保密密钥加密。此时,已使用的第一保密密钥与会话识别符对应,存储在保密密钥再使用部件225中。
对于由会话控制部件221已生成的信息中未加密的信息,在会话控制服务器201及发送目标的通信装置中追加请求解码化的信息,将由第一保密密钥已加密的信息与由解码化请求对象保存的第二保密密钥已加密的第一保密密钥一起,由信号发送部件220发送到会话控制服务器201-1。因此,对于必须有秘密性的信息,能够仅对于特别指定的会话控制服务器201-1和通信装置202-2以可公开的状态发送信号。
图13是表示本发明实施例2的通信装置202-1的发送信号例的图。
通信装置202-1使用第一保密密钥,使必须有秘密性的信息加密。使用公开目标的通信装置及服务器的各个第二保密密钥,将第一保密密钥分别加密。在未加密的信息中对于会话控制服务器201追加请求解码化的信息。将由第一保密密钥加密的信息与由解码化请求对象保存的第二保密密钥已加密的第一保密密钥一起,由信号发送部件220发送到会话控制服务器201-1。
关于发送信号例,进一步在实施例4的说明中参照图15说明。
图14是表示本发明实施例2的通信装置202-2的发送信号例的图。
关于发送信号例,进一步在实施例4的说明中参照图15说明。
[会话控制服务器]
图11是本发明实施例2的会话控制服务器的结构框图。
如图11所示,会话控制服务器201包括信号接收部件210、解码化判断部件211、保密密钥解码化部件212、解码化密钥再使用部件213、信号信息解码化部件214,会话控制部件215、信号发送部件216。NAT/防火墙控制部件217包括主信息通信接收部件218、主信息解码化部件219。
保密密钥解码化部件212参照第一保密密钥已存储的数据,判断使用对应于哪一个第二保密密钥的第二解码化密钥,进行解码化,然后进行第一保密密钥的解码化,将解码化密钥交给信息解码化部件214。通过信号信息的解码化,通信装置之间的控制信息的参照成为可能,必要的信息能够提供给会话控制部件215。
解码化密钥与会话控制部件215内的识别符对应,在解码化密钥再使用部件213中与信号信息所包含的会话识别符对应,将解码化密钥存储。
如果由会话控制部件215准备好信号发送,则由信号发送部件216将包含由信号接收部件110接收的已加密的信息和已加密的第一保密密钥的信号发送到通信装置202-2。
(实施例4)
图15是本发明实施例4的通信方法的说明图。
作为实施例4,说明的是将通信装置202-1中生成的会话控制信号从通信装置202-1经由可信赖的会话控制服务器201-1和不可信赖的会话控制服务器201-2、发送到通信装置202-2的例。
例如,如图13所示,来自通信装置202-1的发送信号是依据RFC3261的SIP消息之一的INVITE方式800,将通信装置之间的控制信息(SDP:Session Description Protocol)805加密而包含在该消息中。在SDP中包含接收用IP地址、端口编号等作为通信装置202-1的主信息通信的信息。为了检出涂改,也可以在加密信息805中附加通信装置202-1的用户数字签名。
SIP消息经由会话控制服务器201-1及会话控制服务器201-2,发送到通信装置202-2。加密的信息作为S/MIME的Enveloped-Data804而设定。加密中使用的密钥(第一保密密钥)分别以会话控制服务器201的公开密钥和终点用户的公开密钥(第二保密密钥)加密,作为Enveloped-Data中的recipientInfos806而设定。
另外,第一保密密钥也可以分别由会话控制服务器201-1与通信装置202-1之间的事前共用密钥及通信装置202-1与通信装置202-2的用户之间的事前共用密钥而加密。
另外,在SIP消息内未加密的范围801中包含会话控制服务器中表示解码化请求的值和要解码化的内容ID。
对于SIP消息的一部分801和Enveloped Data804加在一起的信息802,为了检出有无涂改,也可以附加通信装置202-1的用户数字签名803。
会话控制服务器201-1通过信号接收部件210接收从通信装置202-1送来的INVITE方式800。在解码化判断部件211中也可以通过解码化请求参数(例:Sesion-Policy)的值判断解码化请求或者通过设定已加密的第一保密密钥的recipienttnfos806的解码化可否判断解码化请求。
在有解码化请求时,保密密钥解码化部件212参照已指定的内容ID表示的数据804中存储第一保密密钥的数据(recipientInfos)806的类型,判断使用对应于哪一个第二保密密钥的第二解码化密钥,进行解码化,然后进行第一保密密钥的解码化,将解码化密钥交给信号解码化部件214。通过加密信息805的解码化,能够参照通信装置之间控制用的信号,必要的信息提供给会话控制部件215。
在无解码化请求时及未设定指定的内容ID时,不进行解码化处理。
会话控制服务器201-1不管有无解码化请求,在会话控制部件215中对于从通信装置202-1收到的INVITE方式,进行处理(必要的参数变更等),通过信号发送部件216,将INVITE方式发送到会话控制服务器201-2。
会话控制服务器201-2在信号接收部件210接收从会话控制服务器201-1送来的INVI TE方式。
在解码化判断部件211中也可以通过解码化请求参数(例如:Sesion-Policy)的值判断解码化请求,或者通过设定已加密的第一保密密钥的recipientInfos806的解码化可否判断解码化请求。
在无解码化请求或不可解码化时,无法参照已加密的通信装置之间的控制信息。以通过会话控制部件215而能够参照的信息为基础,进行对于INVITE方式的处理(必要的参数参照等),通过信号发送部件216将INVITE方式发送到通信装置202-1。
已接收信号的通信装置202-2通过第一保密密钥将由信号接收部件228收到的信号信息加密,在第一保密密钥被加密而附加时,使用对应于自身第二保密密钥的第二解码化密钥(在第一保密密钥是公开密钥时,则是秘密密钥,或者如果第二保密密钥是事前共用密钥,则同事前共用密钥),由保密密钥解码化部件227解码化,得到第一保密密钥。使用此第一保密密钥,将已加密的信息通过信号解码化部件226解码化,信息参照成为可能。将该信息提供给会话控制部件221。
根据需要,会话控制部件221生成要发送的信息,同时与会话识别符对应,将保密密钥存储在保密密钥再使用部件225中。
例如,会话控制部件221作为对应于图14所示的INVITE方式的响应信号,发送200 OK 900。关于要发送的信息,使用存储中的第一保密密钥,将由信号加密部件224加密的信息905作为Encryped-Data904而设定,由信号发送部件220发送信号。
另外,为了检出有无涂改,对于已加密的信息905也可以附加数字签名。
(应用例1:参照权利要求21)
其后的会话继续信号,例如,MESSAGE方式从通信装置202-1经由会话控制服务器201-1、201-2,发送到通信装置202-2。通信装置202-1使用以会话单位记录的第一保密密钥,将MESSAGE方式中设定的即时信息的内容加密。通信装置202-1不附加第一保密密钥,发送包含已加密的信息的MESSAGE方式。
收到该信号的通信装置202-2在保密密钥再使用部件223中将会话识别符用于密钥取得而存储着的第一保密密钥,由此第一保密密钥将加密信息解码化。
(应用例2:参照权利要求18)
在会话控制服务器201-1中也使用以会话单位存储着的第一保密密钥,将加密信息解码化。
(应用例3:参照权利要求21)
经过一定时间后,通信装置202-1在将MESSAGE方式经由会话控制服务器201-1、201-2发送到通信装置202-2时,通过保密密钥更新部件229,更新第一保密密钥。通信装置202-1采用已更新的保密密钥,将信息加密,作为S/MIME的Enveloped-Data而设定。
通信装置202-1将加密中使用的此密钥(已更新的第一保密密钥)分别通过会话控制服务器的公开密钥和终点用户的公开密钥(第二保密密钥群)加密,作为Enveloped-Data中的recipientInfos而设定。
接收包含附加了已更新的第一保密密钥的加密信息的信号的通信装置202-2将已更新的第一保密密钥存储在保密密钥再使用部件225中。
(应用例4:参照权利要求23)
接收包含附加了已更新的第一保密密钥的加密信息的信号的会话控制服务器201-1将已更新的第一保密密钥存储在保密密钥再使用部件213中。
(实施例5)
图16是本发明实施例5的通信方法的说明图。
在本例中表示的是以会话控制服务器在会话建立中获得的信息为基础、变更NAT/防火墙装置203的过滤条件的例。
例如,考虑会话控制服务器从通信装置202-1收到的信号是依据RFC3261的SIP消息之一的INVITE方式、且将其消息中包含的通信装置之间的控制信息(SDP:Session Description Protocol)加密的情况。
通过使用对应于第二保密密钥的第二解码化密钥进行解码化,从而能够参照控制信息中已设定的通信装置202-1的主信息通信通路的IP地址及端口编号等。以此信息为基础,在NAT/防火墙控制部件217中,对于远程NAT/防火墙装置203请求过滤条件变更(指示寄给特别指定IP地址及端口编号的数据组从非特别指定IP地址通过)。
然后,从通信装置202-2收到的信号是SIP消息之一的200OK响应,将通信装置之间的控制信息(SDP)加密,包括在其消息中。采用存储在解码化密钥再使用部件213中的第一保密密钥,将加密信息解码化,通信装置202-2的主信息通信通路的IP地址及端口编号等通信装置之间的控制信息的参照成为可能。以此信息为基础,在NAT/防火墙控制部件217中对于远程NAT/防火墙装置203,请求过滤条件变更(指示寄给特别指定IP地址及端口编号的数据包从特别指定IP地址通过)。因此,在NAT/防火墙装置203中对于通信装置202-1与通信装置202-2之间的主信息,数据包能够通过。
然后,会话控制服务器201-1一旦接收通信装置202-1或202-2发来的SIP消息的切断信号,即BYE方式,则通过NAT/防火墙控制部件217,对于NAT/防火墙装置203请求过滤条件变更(指示寄给指定IP地址及端口编号的数据组不从指定IP地址通过)。
如本实施例所示,由于通过由通信装置可安全公开信号内信息的会话控制服务器201-1,能够以会话单位进行NAT/防火墙控制,因此,能够提高存取控制的精度。由于不能公开信息的会话控制服务器201-2无法参照主信息的通路信息,因此主信息的监控变得困难,其结果,能够提高主信息通信的秘密性。
(实施例6)
图17是本发明实施例6的通信方法的说明图。
在本例中说明以会话控制服务器201-1在会话建立中得到的信息为基础、对于加密的主信息也能够进行通信记录的例。
例如,来自通信装置202-1的发送信号是依据RFC3261的SIP消息之一的INVITE方式,通信装置信息SDP被加密而包含在其消息中。在SDP中包含通信装置202-1与通信装置202-2之间的主信息通信中使用的IP地址、端口编号,而且包括用于主信息加密的密钥信息。
会话控制服务器201-1具有主信息通信记录的部件(接收部件218)和主信息解码化部件219,对于远程NAT/防火墙装置203发送指示。
此指示不仅指示上述实施例5中说明的过滤条件变更请求,而且指示主信息转送。在会话控制服务器201-1的主信息通信接收部件218中从NAT/防火墙装置203接收主信息。在主信息已加密时,采用已经取完的主信息加密的密钥信息,在主信息解码化部件219中进行解码化。
解码化一旦正常结束,则记录已解码化的主信息或已加密的状态的主信息及其密钥信息。
由于会话控制服务器201-2不能将加密信息解码化,因此,不能参照通信装置信息SDP,不能参照SDP中包含的用于主信息加密的密钥信息。因此,即使以网络内的监视装置监视主信息,将主信息加密,也不能解码化。
这样,即使在主信息已加密时,通过会话控制服务器也能进行已解码化的主信息记录,因此通信信息的监视及记录是可能的。
另外,如果将实施例4~6中说明的处理顺序程序化,并预先存储在CD-ROM等记录介质上,则在程序的销售及出租时,是方便的。而且,通过将记录介质安装在会话控制服务器201-1、201-2的电脑上,装入程序,并执行程序,因此能够容易实现本发明。
这样,本实施例的通信系统不仅在通信装置之间,而且对于进行信号中继的会话控制服务器也能公开信息,因此,能够提高通信装置发送、接收的传送信号的秘密性,同时能够通过特别指定的会话控制服务器,进行通信控制。
如以上所说明,根据本发明的实施例2,不仅能够保证通信装置之间秘密性高的信号发送、接收,而且按照通信装置的请求,能够仅对特别指定的会话控制服务器,公开信号信息。另外,与通信装置之间的连接结构无关,能够指定公开信号信息的会话控制服务器。
(实施方式3)
[系统结构]
图18是本发明实施例3的通信系统的结构图。
如图18所示,使通信系统300包括通过网络30连接而能够通信的多个会话控制服务器301、多个通信装置302、NAT/防火墙装置303和网络30而构成。
另外,通信装置302按照本发明的步骤,通过话控制服务器301,利用加密信号进行通信。另外,在通信系统300中会话控制服务器301表示2台,但不限定于2台。另外,通信装置302表示2台,但也不限定于2台。另外,NAT/防火墙装置303表示1台,但也不限定于1台。
另外,在本发明中通信装置302包括个人电脑、手提终端、端口等通信设备,网络30的结构与有线、无线无关。
下面,为了说明方便,以通信装置302-1为发送侧,以通信装置302-2为接收侧,进行说明。
通信装置302-1将由会话控制服务器301-1用第二保密密钥加密的第一保密密钥与加密信号一起发送到会话控制服务器301-1。会话控制服务器301-1接收从通信装置302-1送来的加密信号和已加密的第一保密密钥,通过与会话控制服务器301-1用第二保密密钥对应的解码化密钥,将第一保密密钥解码化,通过第一保密密钥将加密信号解码化,从而信号的参照及/或变更成为可能。
会话控制服务器301-1使用收到的第一加密信号(或新作成的第一加密信号),将信息加密,加密中使用的第一保密密钥通过通信装置302-2用第二保密密钥加密,发送到会话控制服务器301-2。
会话控制服务器301-2接收从会话控制服务器301-1送来的加密信号和第一保密密钥。但是,由于不能将它们解码,因此不能参照已加密的信息。会话控制服务器301-2将收到的加密信号和已加密的第一保密密钥发送到通信装置302-2。
通信装置302-2通过与从会话控制服务器301-2收到的通信装置302-2用第二保密密钥对应的解码化密钥,将第一保密密钥解码化,通过第一保密密钥将加密信号解码化,从而信息的参照成为可能。
通信装置302-2再使用已解码化的保密密钥,将要发送到通信装置302-1的响应信号等信号加密,经由会话控制服务器301-2、会话控制服务器301-1发送到通信装置302-1。
[通信装置]
图20是本发明实施例3的通信装置的结构框图。
如图20所示,使通信装置302包括信号发送部件320、会话控制部件321、保密密钥生成部件322、保密密钥加密部件323、信号加密部件324、保密密钥再使用部件325、信号解码化部件326、保密密钥解码化部件327、信号接收部件328及保密密钥更新部件329而构成。
通信装置302-1使用通过保密密钥生成部件322生成的保密密钥,通过信号加密部件324,将通过会话控制部件321生成的信号中必须有秘密性的信号加密。
而且,使用公开目标的特别指定的会话控制服务器的公开密钥,分别通过保密密钥加密部件323,使第一保密密钥加密。此时,使用的保密密钥通过保密密钥再使用部件325,与会话和对向装置对应而存储。
对于通过会话控制部件321已生成的信号中、未加密的信号追加请求会话控制服务器解码化的信息,通过信号发送部件320,将已加密的信号和已加密的保密密钥一起发送到会话控制服务器301-1。因此,关于必须有秘密性的信息,能够仅对特别指定的会话控制服务器301-1以可公开的状态发送信号。
图21是本发明实施例3的通信装置302-1的发送信号例的图。
来自通信装置302-1的发送信号是依据RFC3261的SIP消息之一的INVITE方式,通信装置之间的控制信息(SDP:SessionDescription Protocol)1005被加密,包含在其消息中。在SDP中作为通信装置302-1的主信息通信的信息,包含接收用IP地址、端口编号等。为了检出有无涂改,也可以在加密信息1005中附加通信装置302-1的用户数字签名。已加密的信息作为S/MIME的EnvelopedData1004而设定。加密中使用的密钥(第一保密密钥)由会话控制服务器的公开密钥(第二保密密钥)加密,作为Enveloped-Data中的recipientInfos1006而设定。在SIP消息内未加密的范围1001中包含表示向会话控制服务器请求解码化的值和要解码化的Content-ID。
为了检出有无涂改,也可以在包括SIP消息的一部分1001和Enveloped Data1004的信息1002中附加数字签名1003。
图22是本发明实施例3的通信装置302-2的发送信号例的图。
通信装置302-2将200OK1100作为对于INVITE方式的响应信号而发送。通信装置302-2发送已加密的信息1105。为了检出有无涂改,也可以在已加密的信息1105中附加数字签名。另外,也可以在包括SIP消息的一部分1101和Enveloped Data1104的信息1102中附加数字签名1103。
[会话控制服务器]
图19是本发明实施例3的会话控制服务器的结构框图。
如图19所示,会话控制服务器301包括信号接收部件310、解码化判断部件311、保密密钥解码化部件312、解码化密钥再使用部件313、信号解码化部件314、会话控制部件315、保密密钥生成部件316、保密密钥加密部件317、信号加密部件318、信号发送部件319。除此以外,也可以包括NAT/防火墙控制部件330、主信息通信接收部件331、主信息解码化部件332。
保密密钥解码化部件312提供取得第一保密密钥作为信号解码化部件314的解码化密钥的部件。通过信号的解码化,能够参照通信装置之间的控制用信息,向会话控制部件315提供必要的信息。
第一保密密钥与会话控制部件315内的会话识别符和对向装置识别符对应,将解码化密钥存储在解码化密钥再使用部件313中。根据需要,通过会话控制部件315,参照及/或变更已解码化的信息。会话控制服务器301直接使用第一保密密钥或通过保密密钥生成部件316新生成第一保密密钥,通过保密密钥加密部件317,将下一级可信赖的会话控制服务器或通信装置302-2的第二保密密钥(公开密钥或事前共用密钥)加密。而且,直接使用第一保密密钥或使用通过保密密钥生成部件316生成的新的第一保密密钥,将信息加密。
通过信号发送部件319,将这样生成的加密信息及已加密的保密密钥发送到下一级可信赖的会话控制服务器或通信装置302-2。
(第7的实施例)
图23是本发明实施例7的通信方法的说明图。
在这里表示的例是:将通信装置302-1已生成的会话控制信号从通信装置302-1发送到可信赖的会话控制服务器301-1,另外,从会话控制服务器301-1经由会话控制服务器301-2发送到通信装置302-2。
例如,来自通信装置302-1的发送信号是依据RFC3261的SIP消息的之一的INVITE方式,其消息中包含的通信装置之间的控制信息(SDP)已加密(参照图21的1005)。接收用IP地址、端口编号等作为通信装置302-1的主信息通信的信息,包含在SDP中。
SIP消息经由会话控制服务器301-1及会话控制服务器301-2,发送到通信装置302-2。
信息加密中使用的密钥(第一保密密钥)由会话控制服务器的公开密钥(第二保密密钥)加密,作为Enveloped-Data中的recipientInfos(参照图21的1006)而设定。
另外,第一保密密钥也可以由会话控制服务器301-1与通信装置302-1的使用者之间的事前共用密钥(密码等)加密。
会话控制服务器301-1通过信号接收部件310,接收从通信装置302-1送来的INVITE方式。在解码化判断部件311中也可以通过解码化请求参数(例:Session-Policy)的值判断是解码化请求或者是通过已设定已加密的第一保密密钥的recipientInfos(参照图21的1005)的解码化可否判断解码化请求。
在有解码化请求时,保密密钥解码化部件312参照第一保密密钥已存储的数据(recipientInfos)(参照图21的1006)的类型,判断通过对应于哪一个第二保密密钥的第二解码化密钥解码化后,进行第一保密密钥的解码化,将解码化密钥交付信号解码化部件314。通过加密信息的解码化,能够参照及/或变更通信装置之间的控制信息,将必要的信息提供给会话控制部件315。根据需要,在会话控制部件315变更通信装置之间的控制信息。接着,直接使用第一保密密钥或者使用在保密密钥生成部件316上已新生成的第一保密密钥,将在会话控制部件315上已变更后的信息加密。
第一保密密钥通过通信装置302-1用的第二保密密钥(公开密钥或事前共用密钥)将信息加密。在能够信赖会话控制服务器301-2时,也可以通过会话控制服务器301-2用的第二保密密钥加密。会话控制服务器301-1在会话控制部件315中,对于从通信装置302-1接收的INVITE方式进行处理(必要的参数变更等),通过信号发送部件319将INVITE方式发送到会话控制服务器301-2。
会话控制服务器301-2通过信号接收部件310接收从会话控制服务器301-1发来的INVITE方式。也可以在解码化判断部件311中通过解码化请求参数(例:Session-Policy)的值判断解码化请求,或者通过已设定已加密的第一保密密钥的recipientInfos(参照图21的1006)的解码化可否,判断解码化请求。
在无解码化请求或不可解码化时,通过会话控制部件315以能够参照的信息为基础,进行对INVITE方式的处理(必要的参数变更等),通过信号发送部件319将INVITE方式发送到通信装置302-2。
收到信号的通信装置302-2将通过信号接收部件328收到的信号加密,在第一保密密钥被加密而附加时,使用对应于自身第一保密密钥的第二解码化密钥(在第一保密密钥是公开密钥时,则是秘密密钥,或者如果第二保密密钥是事前共用密钥,则同事前共用密钥),通过保密密钥解码化部件327解码化,得到第一保密密钥。使用此第一保密密钥,通过信号解码化部件326将已加密的信息解码化,因此能够参照信息。将该信息提供给会话控制部件321。
根据需要,会话控制部件321生成要发送的信息,同时与会话及对向装置对应,将保密密钥存储在保密密钥再使用部件325中。例如,会话控制部件321作为对应于INVITE方式的响应信号,发送到图22的1100。关于要发送的信息,使用存储中的第一保密密钥,通过信号加密部件324将信息加密,通过信号发送部件320发送。
另外,为了检出有无涂改,对于加密的信息905也可以附加数字签名。
(应用例5:参照权利要求42)
以后的会话继续信号,例如,MESSAGE方式从通信装置302-1经由会话控制服务器301-1、301-2,发送到通信装置302-2。通信装置302-1使用以会话单位记录的第一保密密钥,将MESSAGE方式中设定的信息加密。不附加第一保密密钥,而发送包含已加密的信息的MESSAGE方式。
收到该信号的通信装置302-2在保密密钥再使用部件325中以会话和对向装置的识别符为密钥,取得存储中的第一保密密钥,通过第一保密密钥将加密信息解码化。
(应用例6:参照权利要求38、39)
在会话控制服务器301-1中也使用以会话和对向装置单位存储着的第一保密密钥,将加密信息解码化。
(应用例7:参照权利要求43)
另外,经过一定时间之后,在通信装置302-1将MESSAGE方式经由会话控制服务器301-1、301-2发送到通信装置302-2时,通过保密密钥更新部件329,更新第一保密密钥。采用已更新的保密密钥将信息加密,作为S/MIME的Enveloped-Data而设定。
加密中已使用的密钥(已更新的第一保密密钥)通过会话控制服务器的公开密钥(第二保密密钥)加密,作为Enveloped-Data中的recipientInfos而设定。
通信装置302-2一旦接收附加已更新的第一保密密钥的加密信号,就将已更新的第一保密密钥存储在保密密钥再使用部件325中。
(应用例8:参照权利要求45)
接收附加已更新的第一保密密钥的加密信号的会话控制服务器301-1将已更新的第一保密密钥存储在保密密钥再使用部件325中。
(实施例8)
图24是本发明实施例8的通信方法的说明图。
在这里,表示的是以会话控制服务器301-1在会话建立中得到的信息为基础,变更NATT/防火墙装置303的过滤条件的例。
例如,会话控制服务器301-1从通信装置302-1收到的信号是依据RFC3261的SIP消息之一的INVITE方式,其消息中包含的通信装置之间的控制信息(SDP)假定已加密。在会话控制服务器301-1中参照在保密密钥解码化部件312中已存储第一保密密钥的数据(recipientInfos)(参照图22的1006)的类型,判断通过哪一个密钥解码化后,进行第一保密密钥的解码化。
通过第一保密密钥将加密信息(参照图22的1005)解码化,从而能够参照或能够变更通信装置之间的控制信息(例如,通信装置302-1的主信息通信通路的IP地址和端口编号)。
以此信息为基础,在NAT/防火墙控制部件330中对于远程NAT/防火墙装置303请求过滤条件变更(指示寄给特别指定IP地址及端口编号的数据包从非特别指定IP地址通过)。另外,会话控制服务器301-1能够变更主信息通信通路的IP地址及端口编号等通信装置之间的控制信息。
会话控制服务器301-1然后将从通信装置302-2收到的信号是SIP消息之一的200OK响应、且其消息中包含的通信装置之间的控制信息(SDP)加密。通过采用已存储在解码化密钥再使用部件313中的第一保密密钥,将加密信息解码化,从而能够参照通信装置302-2的主信息通信通路的IP地址及端口编号等通信装置之间的控制信息。
以此信息为基础,在NAT/防火墙控制部件330中对于远程NAT/防火墙装置303,请求过滤条件变更(指示寄给特别指定IP地址及端口编号的数据包从特别指定IP地址通过)。因此,在NAT/防火墙装置303中关于通信装置302-1和通信装置302-2之间的主信息的数据包能够通过。
然后,一旦从通信装置302-1或302-2接收SIP消息的切断信号,即BYE方式,则会话控制服务器301-1在NAT/防火墙控制部件330中对于NAT/防火墙装置303,请求过滤条件变更(指示寄给指定IP地址及端口编号的数据包不从指定IP地址通过)。
如本实施例中所示,通过由通信装置安全地公开信号内信息的会话控制服务器301-1,以会话单位进行NAT/防火墙控制,能够提高存取控制的精度。由于不能公开信息的会话控制服务器301-2不能参照主信息的通路信息,因此主信息的监视变得困难,能够提高主信息通信的秘密性。
(实施例9)
图25是本发明实施例9的通信方法的说明图。
在这里,表示的是以会话控制服务器在会话建立中得到的信息为基础,对于已加密的主信息也能够进行通信记录的例。
例如,来自通信装置302-1的发送信号是依据RFC3261的SIP消息之一的INVITE方式,在其消息中包含的通信装置信息SDP已被加密。在SDP中不仅包含用于通信装置302-1与通信装置302-2之间的主信息通信时的IP地址、端口编号,而且包含用于主信息加密的密钥信息。
会话控制服务器301-1具有主信息通信记录部件131和主信息解码化部件132,对于远程NAT/防火墙装置303发送指示。
不仅指示实施例8的过滤条件变更请求,而且指示主信息转送。在会话控制服务器的主信息通信接收部件131中从NAT/防火墙装置303接收主信息。如果主信息已加密,则采用已取完的主信息加密的密钥信息,在主信息解码化部件132中进行解码化。解码化一旦正常结束,即记录其信息。
由于会话控制服务器301-2不能将加密信息解码化,因此不能参照通信装置信息SDP,不能参照SDP中包含的用于主信息加密的密钥信息。所以,以网络内的监视装置监视主信息,主信息已被加密,也不能解码化。
这样,如果主信息即使已被加密,则通过特别指定的可信赖的会话控制服务器,进行已解码化的主信息记录,也能够监视通信信息。
这样,采用本实施例的通信方法,对于进行任意信号中继的会话控制服务器,信息能够公开/变更,安全地发送信息,能够通过特别指定的会话控制服务器进行通信控制。
另外,如果将上述实施例7、8及9中说明的步骤程序化,将程序预先存储在CD-ROM等记录介质上,则在程序销售及出租时,是方便的。另外,通过将记录介质安装在会话控制服务器的电脑及通信装置的电脑上,装入程序,并执行,从而能够容易实现本发明。
如以上说明,根据本发明,不通过连接结构,就能够仅对特别指定的会话控制服务器及终点用户公开信号信息。另外,不仅能够通过会话控制服务器进行信息参照,而且也能够变更。
因此,可发挥能确保与可信赖的地址之间安全性的显著效果。
权利要求书
(按照条约第19条的修改)
1.一种通信装置,通过网络连接而能够与会话控制服务器通信,通过与所述会话控制服务器之间进行信号发送、接收,从而建立与其它通信装置会话,其特征在于设有:
作成非对称密钥对的部件;
对于所述会话控制服务器请求对所述非对称密钥对之中公开密钥的证书发行的请求部件;
从该会话控制服务器接收公开密钥证书发行结束通知的接收部件;
存储已接收的公开密钥证书的存储部件;
对于会话控制服务器发送该通信装置位置的登录请求的发送部件;以及
从该会话控制服务器接收包含有效期间的位置登录结束通知的接收部件;
发送总括所述位置登录请求和证书发行请求的请求。
2.如权利请求1记载的通信装置,其特征在于:
存储所述公开密钥证书的存储部件将位置登录结束通知中包括的有效期间作为已发行的证书的有效期间而存储。
3.一种通信装置,通过网络连接而能够与会话控制服务器通信,通过与所述会话控制服务器之间进行信号发送;接收,从而建立与其它通信装置会话,其特征在于设有:
作成非对称密钥对的部件;
存储所述非对称密钥对之中公开密钥证书的存储部件;
对于所述会话控制服务器发送该公开密钥证书的登录请求的发送部件;
对于该会话控制服务器发送该通信装置位置的登录请求的发送部件;以及
从该会话控制服务器接收包含有效期间的位置登录结束的通知的接收部件。
4.如权利请求3记载的通信装置,其特征在于:
存储所述公开密钥证书的存储部件将位置登录结束通知中包括的有效期间作为已发行的证书的有效期间而存储。
5.一种会话控制服务器,作为通过网络连接而能够与会话控制服务器通信;接收从发送侧的通信装置送来的信号;将收到的信号发送到接收侧的通信装置;从而建立所述发送侧的通信装置和所述接收侧的通信装置会话的会话控制服务器,其特征在于设有:
接收将来自所述通信装置的位置登录请求和对于公开密钥的证书发行请求或证书登录请求总括的请求的接收部件;
接收所述请求;进行公开密钥证书发行或者确认该公开密钥证书有效性的部件;以及
将发行或登录的该公开密钥证书和位置信息与有效期间一起存储的部件。
6.如权利请求5记载的会话控制服务器,其特征在于设有:
接收所述公开密钥证书的询问请求的接收部件;以及
确认该公开密钥证书的有效性之后;通知该公开密钥证书的发送部件。
7.一种通信系统,通过网络连接而能够通信,用于在通信装置相互之间建立会话,其特征在于设有通信装置及会话控制服务器,其中:
所述通信装置具有作成非对称密钥对的部件;请求对公开密钥的证书发行的请求部件;接收证书发行通知的接收部件;存储公开密钥证书的存储部件;发送位置登录请求的发送部件及接收包含有效期间的位置登录结束通知的部件;
所述会话控制服务器具有接收来自所述通信装置的位置登录请求的接收部件;总括对公开密钥的证书发行或证书登录的请求而接收的接收部件;发行证书或者确认证书有效性的部件及将发行或登录的证书和位置信息与有效时间一起存储的存储部件。
8.如权利请求7记载的通信系统,其特征在于:
所述通信装置设有将位置登录结束通知中包含的有效期间作为已发行的公开密钥证书的有效期间而存储的存储部件,
所述会话控制服务器设有接收证书询问请求的接收部件和证书通知的发送部件。
9.如权利请求7记载的通信系统,其特征在于:
所述通信装置设有存储非对称密钥对的部件和发送公开密钥证书的登录请求的发送部件,
所述会话控制服务器设有接收证书询问请求的接收部件和证书通知的发送部件。
10.一种通信方法,通过网络连接而能够通信,用于在通信装置相互之间建立会话,其特征在于:
会话控制服务器一旦从通信装置接收位置登录及证书发行的请求信号,就判定信号类别,如果是位置登录请求,则判定是否包括证书发行请求,在所述信号中包括发行请求时,发行证书,管理该位置信息和该证书,同时对于所述通信装置发送位置信息及证书发行结束通知的信号。
11.一种通信方法,通过网络连接而能够通信;用于在通信装置相互之间建立会话,其特征在于:
会话控制服务器一旦从通信装置接收证书询问请求信号,就进行会话控制,同时判定是否是寄给本域,如果是寄给本域,则判定信号类别,如果是证书询问请求,则判定是否有证书,如果有证书,则检索相当的证书,确认已检索的证书有效性,对于所述通信装置发送证书通知,如果不是寄给本域,则将该证书询问请求信号转送到地址的会话控制服务器。
12.一种通信用程序,作为通过网络连接而能够通信;用于在通信装置相互之间建立会话的通信用程序,其特征在手使会话控制服务器的电脑上执行以下步骤:
从通信装置接收位置登录及证书发行的请求信号的步骤;判定信号类别的步骤;如果是位置登录请求,则判定是否包含证书发行请求的步骤;在包含发行请求时,发行证书的步骤;管理该位置信息和该证书的步骤;对于所述通信装置发送位置信息和证书发行结束通知的信号的步骤。
13.一种通信用程序,作为通过网络连接而能够通信;用于在通信装置相互之间建立会话的通信用程序,其特征在于使会话控制服务器的电脑上执行以下步骤:
从通信装置接收证书询问请求信号的步骤;进行会话控制的步骤;判定是否是寄给本域的步骤;如果是寄给本域,则判定信号类别的步骤;如果是证书询问请求,则判定是否有证书的步骤;如果有证书,则检索相当的证书的步骤;确认已检索的证书有效性的步骤;对于所述通信装置发送证书通知的步骤;在不是寄给本域时,将该证书询问请求信号转送到地址的会话控制服务器的步骤。
14.一种记录有权利请求12中记载的通信用程序的电脑可读取记录介质。
15.一种记录有权利请求13中记载的通信用程序的电脑可读取记录介质。
16.(删除)
17.(删除)
18.(删除)
19.(删除)
20.(删除)
21.(删除)
22.(删除)
23.(删除)
24.(删除)
25.(删除)
26.(删除)
27.(删除)
28.(删除)
29.(删除)
30.(删除)
31.(删除)
32.(删除)
33.(删除)
34.(删除)
35.(删除)
36.(删除)
37.一种通信装置,通过网络连接而能够与会话控制服务器通信,并在经由1个以上的所述会话控制服务器的其它通信装置之间进行信号发送和接收,从而建立与该通信装置会话,其特征在于设有:
为了保持发送信号的秘密性而发送已加密的信息时;生成用于加密的第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件;
通过任意第二保密密钥将该第一保密密钥加密的部件;以及
发送包含附加已加密的该第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件;
通过第二保密密钥将该第一保密密钥加密的部件,通过仅可允许参照或可允许参照和变更信号内信息的1个会话控制服务器的第二保密密钥,将第一保密密钥加密,
发送通过该第一保密密钥已加密的信息的部件发送所述已加密的第一保密密钥,通过该第一保密密钥已加密的信息,对该会话控制服务器的解码化请求指示或者解码化请求指示和变更允许通知。
38.一种会话控制服务器,通过网络连接而能够与多个通信装置、其它会话控制服务器通信,并接收从发送侧的通信装置或其它会话控制服务器送来的信号,将接收的信号发送到接收侧的通信装置或该其它会话控制服务器,从而建立所述发送侧的通信装置和所述接收侧的通信装置会话,其特征在于设有:
接收包含附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;
通过对应于自身第二保密密钥的第二解码化密钥将第一保密密钥解码化的部件;
采用解码化而得到的第一保密密钥将信息解码化的部件;
通过任意第二保密密钥将解码化而得到的第一保密密钥加密的部件;以及
发送包含附加通过任意第二保密密钥已加密后;再解码化而得到的第一保密密钥、且通过解码化而得到的第一保密密钥已加密的信息的信号的部件;
所述接收部件接收包含已加密的信息的信号时,判断有无解码化请求,判断是通过对应于该第二保密密钥的第二解码化密钥将保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该保密密钥解码化,判断有无解码化请求,或者通过其两者而取得该第一保密密钥;
所述信息解码化部件将通过该第一保密密钥已加密的信息解码化;
另外,所述加密部件将信号发送和接收时经由;且通过仅可允许公开或可允许公开和变更的所述会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥而已取得的第一保密密钥加密;
所述发送部件发送已加密的该第一保密密钥,通过已取得的第一保密密钥已加密的信息以及在第二保密密钥是该其它会话控制服务器的保密密钥时,对该其它会话控制服务器的解码化请求指示或者解码化请求指示和变更允许通知。
39.如权利38记载的会话控制服务器,其特征在于:
不但设有所述各部件,而且设有在为了保持发送信号的秘密性而发送包含已加密的信息的信号时,生成用于加密的新第一保密密钥的部件;
采用已生成的该第一保密密钥将信息加密的部件;
通过任意第二保密密钥将已生成的该第一保密密钥加密的部件和
发送包含附加通过该第二保密密钥已加密的已生成的第一保密密钥,且通过已生成的该第一保密密钥已加密的信息的信号的部件,
所述第一保密密钥的加密部件将信号发送和接收时经由、且通过仅可允许参照、或允许参照和变更的其它会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥而已生成的该第一保密密钥加密,
所述发送部件发送已加密的已生成的该第一保密密钥、通过已生成的该第一保密密钥已加密的信息以及在第二保密密钥是该其它会话控制服务器的保密密钥时,对该其它会话控制服务器的解码化请求指示或者解码化请求指示和变更允许通知。
40.如权利请求38记载的会话控制服务器,其特征在于设有:
以会话及对向装置单位存储所述第一保密密钥的部件;以及
在同一会话中且在同一对向装置内信息的加密及解码化至少任何之一中再使用该第一保密密钥的部件。
41.一种通信装置,通过网络连接而能够与会话控制服务器通信,在与所述会话控制服务器之间进行信号发送;接收,从而建立与其它通信装置会话,其特征在于设有:
接收包含附加已加密的第一保密密钥;且已加密的信息的信号的部件;
将该第一保密密钥解码化的部件;
通过一保密密钥将信息解码化的部件;
以会话及对向装置单位存储该第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件;以及
发送包含通过该第一保密密钥已加密的信息的信号的部件,
在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥。
42.如权利请求37记载的通信装置,其特征在于设有:
以会话和对向装置单位存储所述第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件;
发送包含通过该第一保密密钥已加密的信息的信号的部件;
接收包含通过该第一保密密钥已加密的信息的信号的部件;以及
采用该第一保密密钥将信息解码化的部件,
在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥。
43.如权利请求37记载的通信装置,其特征在于:
设有周期性地更新以所述会话及对向装置单位管理的第一保密密钥部件,
该更新部件设有,
新生成第一保密密钥的部件;
通过任意第二保密密钥或已存储的第一保密密钥;将该第一保密密钥加密的保密密钥加密部件;以及
发送包含附加通过的第二保密密钥已加密的该第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件。
44如权利请求41记载的通信装置,其特征在于:
设有周期性地更新以所述会话及对向装置单位管理的第一保密密钥部件,
该更新部件设有,
新生成第一保密密钥的部件;
通过任意第二保密密钥或已存储的第一保密密钥;将该第一保密密钥加密的保密密钥加密部件;以及
发送包含附加通过的第二保密密钥已加密的该第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件。
45.如权利请求37记载的会话控制服务器,其特征在于设有:
周期性地更新以所述会话和对向装置单位管理的第一保密密钥的部件;
接收包含附加通过任意第二保密密钥或已存储的第一保密密钥已加密的、新的第一保密密钥,且通过该第一保密密钥已加密的信息的信号的部件;
采用更新的新第一保密密钥将信息加密的部件;以及
将更新的新的保密密钥与已加密的信息一起发送的部件,
该发送部件发送附加通过所述任意第二保密密钥或所述已存储的第一保密密钥已加密的、新的第一保密密钥,且通过该第一保密密钥已加密的信息。
46.权利请求38记载的会话控制服务器,其特征在于设有:
周期性地更新以所述会话和对向装置单位管理的第一保密密钥的部件;
接收附加通过任意第二保密密钥或已存储的第一保密密钥已加密的、新的第一保密密钥,且包含通过该第一保密密钥已加密的信息的信号的部件;
采用更新的新第一保密密钥将信息加密的部件;以及
将更新的新的保密密钥与已加密的信息一起发送的部件,
该发送部件附加通过所述任意第二保密密钥或所述已存储的第一保密密钥已加密的;新的第一保密密钥,发送通过该第一保密密钥已加密的信息。
47.一种通信系统,通过网络连接而能够相互通信,通过通信装置相互之间进行信号发送、接收而建立会话,其特征在于:
设有会话控制服务器、通信装置、接收侧通信装置和发送侧通信装置;
该会话控制服务器设有接收包含,附加已加密的第一保密密钥;通过该第一保密密钥已加密的信息的信号的部件;通过对应于自身第二保密密钥的第二解码化密钥将第一保密密钥解码化的部件;采用解码化而得到的第一保密密钥将信息解码化的部件;通过任意第二保密密钥解码化而得到的第一保密密钥加密的部件;以及发送包括附加通过任意第二保密密钥已加密后、再解码化而得到的第一保密密钥、且通过解码化而得到的第一保密密钥已加密的信息的信号的部件;在所述接收部件接收已加密的信息时,判断有无解码化请求,判断是通过对应于该第二保密密钥的第二解码化密钥将保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该保密密钥解码化,判断有无解码化请求,或者通过其两者而取得该第一保密密钥,所述信息解码化部件通过该第一保密密钥将已加密的信息解码化,另外,所述加密部件将信号发送和接收时经由、且通过仅可允许公开或可允许公开和变更的所述其它会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥而已取得的该第一保密密钥加密,所述发送部件发送已加密的该第一保密密钥、通过已取得的该第一保密密钥已加密的信息以及在第二保密密钥是该其它会话控制服务器的保密密钥时对该其它会话控制服务器的解码化请求指示;
该通信装置设有,为了保持发送信号的秘密性而发送包含已加密的信息的信号时生成用于加密的第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;通过任意第二保密密钥将该第一保密密钥加密的部件;以及发送包含附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;通过第二保密密钥将该第一保密密钥加密的部件通过仅可允许公开或和可允许公开和变更的1个会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥,将第一保密密钥加密,发送包含通过该第一保密密钥已加密的信息的信号的部件发送所述已加密的第一保密密钥,通过该第一保密密钥已加密的信息以及在第二保密密钥是所述会话控制服务器的保密密钥时,对该会话控制服务器的解码化请求指示;或者
不但设有所述各部件,而且设有在为了保持发送信号的秘密性而发送包含已加密的信息的信号时,生成用于加密的新第一保密密钥的部件;采用已生成的该第一保密密钥将信息加密的部件;通过任意第二保密密钥将已生成的该第一保密密钥加密的部件;以及发送包含附加通过该第二保密密钥已加密的已生成的第一保密密钥,且通过已生成的该第一保密密钥已加密的信息的信号的部件;所述第一保密密钥的加密部件将信号发送和接收时,经由、且通过仅可允许参照或可允许参照和变更的其它会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥而已生成的该第一保密密钥加密,所述发送部件发送已加密的已生成的该第一保密密钥,通过已生成的该第一保密密钥已加密的信息以及在第二保密密钥是该其它会话控制服务器的保密密钥时;对该其它会话控制服务器的解码化请求指示;
该接收侧通信装置设有接收包含,附加已加密的第一保密密钥、且已加密的信息的信号的部件;将该第一保密密钥解码化的部件;通过该第一保密密钥将信息解码化的部件;以会话和对向装置单位存储该第一保密密钥的部件;采用该第的保密密钥将信息加密的部件;以及发送包含通过该第一保密密钥已加密的信息的信号的部件,在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥;
该发送侧通信装置设有,以会话和对向装置单位存储所述第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;接收包含通过该第一保密密钥已加密的信息的信号的部件;以及采用该第一保密密钥将信息解码化的部件;在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥。
48.如权利请求47记载的通信系统,其特征在于设有会话控制服务器、接收侧通信装置和发送侧通信装置,其中:
所述会话控制服务器设有,以会话和对向装置单位存储所述第一保密密钥的部件;在同一会话中、且同一对向装置内的信息加密及解码化至少任何之一中再使用该第一保密密钥的再使用部件;
所述接收侧通信装置设有,接收包含附加已加密的第一保密密钥;且已加密的信息的信号的部件;将第一保密密钥解码化的部件;通过该第一保密密钥将信息解码化的部件;以会话和对向装置单位存储该第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;以及发送包含通过该第一保密密钥已加密的信息的信号的部件;在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥;
该发送侧通信装置设有,以会话和对向装置单位存储所述第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;接收包含通过该第一保密密钥已加密的信息的信号的部件;以及采用该第一保密密钥将信息解码化的部件;在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥。
49.如权利请求47记载的通信系统,其特征在于设有会话控制服务器;发送侧通信装置和发送侧或者接收侧通信装置,其中:
所述会话控制服务器设有,周期性地更新以所述会话和对向装置单位管理的第一保密密钥的部件;接收包含附加通过任意第二保密密钥或已存储的第一保密密钥已加密的新的第一保密密钥,且通过该第一保密密钥已加密的信息的信号的部件;采用已更新的新的第一保密密钥将信息加密的部件;以及将已更新的新的保密密钥与已加密的信息一起发送的部件;所述发送部件发送包含附加通过任意第二保密密钥或所述已存储的第一保密密钥已加密的新的第一保密密钥;且通过该第一保密密钥已加密的信息的信号;
所述发送侧通信装置设有,以会话和对向装置单位存储所述第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;接收包含通过该第一保密密钥已加密的信息的信号的部件;以及采用该第一保密密钥将信息解码化的部件,在同一会话中信息加密及解码化至少之一中使用该存储的部件已存储第一保密密钥;
该发送侧或者接收侧通信装置设有,周期性地更新以所述会话和对向装置单位管理的第一保密密钥的部件,该更新部件设有新生成第一保密密钥的部件;通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件;以及发送包含附加通过任意第二保密密钥已加密的该第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件。
50.一种通信方法,将发送侧通信装置中生成的会话控制信号经由可信赖的会话控制服务器和不可信赖的会话控制服务器发送到接收侧通信装置,其特征在于:
该发送侧通信装置通过会话控制服务器的已公开的第二保密密钥,将已用于加密的第一保密密钥加密;
将该会话控制服务器中表示解码化请求的值和要解码化的内容ID包含而发送;
该会话控制服务器通过解码化请求参数的值判断解码化请求,或者通过已设定已加密的第一保密密钥的数据解码化可否判断解码化请求;
在有解码化请求时,通过对应于第二保密密钥的第二解码化密钥解码化,能够参照或变更通信装置之间的控制信息;
在变更通信装置之间的控制信息后,采用直接使用该第一保密密钥,或者采用新生成的第一保密密钥将变更后的信息加密,发送到下一个会话控制服务器或接收侧通信装置。
51.一种通信方法,以会话控制服务器在会话建立中得到的信息为基础,变更NAT/防火墙装置的过滤条件,其特征在于:
会话控制服务器在判断解码化的解码化密钥之后,能够进行第一保密密钥的解码化,通过该第一保密密钥将加密信息解码化,能够参照或变更通信装置之间的控制信息;
以该控制信息为基础,对于NAT/防火墙装置请求过滤条件的变更;
然后,能够将从接收侧通信装置收到的通信装置之间的控制信息解码化,参照或变更通信装置之间的控制信息;
以该控制信息为基础,对于NAT/防火墙装置请求过滤条件的变更,在NAT/防火墙装置中对于通信装置相互之间的主信息使数据包通过。
52.一种通信方法,以会话控制服务器在会话建立中得到的信息为基础,对于已加密的主信息能够进行通信记录,其特征在于:
会话控制服务器不仅对于NAT/防火墙装置等请求过滤条件变更,同时指示主信息转送,一旦从NAT/防火墙装置等接收主信息,如果该主信息已加密,则在发送、接收信号时进行第一保密密钥的解码化,采用已取完的主信息加密的密钥,将加密信息与通过该第一保密密钥解码化而得到的通信装置之间的控制信息一起解码化,将该主信息记录在通信记录部件中。
53.一种通信用程序,作为将发送侧通信装置中已生成的会话控制信号经由可信赖的会话控制服务器和不可信赖的会话控制服务器发送到接收侧通信装置的通信用程序,其特征在于:
用于在该会话控制服务器的电脑上执行以下步骤:通过解码化请求参数的值判断解码化请求,或者通过已设定已加密的第一保密密钥的数据解码化可否而判断解码化请求的步骤;在有解码化请求时,通过对应于第二保密密钥的第二解码化密钥解码化,能够参照或变更通信装置之间的控制信息的步骤;直接使用该第一保密密钥或者采用新生成的第一保密密钥,将变更后的信息加密的步骤;以及发送到下一个会话控制服务器或接收侧通信装置的步骤。
54.一种通信用程序,作为以会话控制服务器在会话建立中得到的信息为基础;变更NAT/防火墙装置的过滤条件的通信用程序,其特征在于:
用于在该会话控制服务器的电脑上执行以下步骤:判断解码化的解码化密钥的步骤;进行第一保密密钥解码化的步骤;通过该第一保密密钥将加密信息解码化,能够参照或变更通信装置之间的控制信息的步骤;以该控制信息为基础,对于NAT/防火墙装置请求过滤条件变更的步骤;将从接收侧通信装置收到的通信装置之间的控制信息解码化,能够参照或变更通信装置之间的控制信息的步骤;以及以该控制信息为基础,对于NAT/防火墙装置请求过滤条件变更的步骤。
55.一种通信用程序,作为以会话控制服务器在会话建立中得到的信息为基础,对于已加密的主信息进行通信记录的通信用程序,其特征在于:
用于在该会话控制服务器的电脑上执行以下步骤:不仅对于NAT/防火墙装置等请求过滤条件变更,而且指示主信息转送的步骤;从NAT/防火墙装置等接收主信息的步骤;如果在该主信息已加密,则在发送、接收信号时进行第一保密密钥的解码化,采用已取完的主信息加密的密钥,将加密信息与通过该第一保密密钥解码化而得到的通信装置之间的控制信息一起解码化的步骤;以及将该主信息记录在通信记录部件中的步骤。
56.一种记录有权利请求53中记载的程序的电脑可读取的记录介质。
57.一种记录有权利请求54中记载的程序的电脑可读取的记录介质。
58.一种记录有权利请求55中记载的程序的电脑可读取的记录介质。
Claims (58)
1.一种通信装置,通过网络连接而能够与会话控制服务器通信,通过与所述会话控制服务器之间进行信号发送、接收,从而建立与其它通信装置会话,其特征在于设有:
作成非对称密钥对的部件;
对于所述会话控制服务器请求对所述非对称密钥对之中公开密钥的证书发行的请求部件;
从该会话控制服务器接收公开密钥证书发行结束通知的接收部件;
存储已接收的公开密钥证书的存储部件;
对于会话控制服务器发送该通信装置位置的登录请求的发送部件;以及
从该会话控制服务器接收包含有效期间的位置登录结束通知的接收部件;
发送总括所述位置登录请求和证书发行请求的请求。
2.如权利请求1记载的通信装置,其特征在于:
存储所述公开密钥证书的存储部件将位置登录结束通知中包括的有效期间作为已发行的证书的有效期间而存储。
3.一种通信装置,通过网络连接而能够与会话控制服务器通信,通过与所述会话控制服务器之间进行信号发送;接收,从而建立与其它通信装置会话,其特征在于设有:
作成非对称密钥对的部件;
存储所述非对称密钥对之中公开密钥证书的存储部件;
对于所述会话控制服务器发送该公开密钥证书的登录请求的发送部件;
对于该会话控制服务器发送该通信装置位置的登录请求的发送部件;以及
从该会话控制服务器接收包含有效期间的位置登录结束的通知的接收部件。
4.如权利请求3记载的通信装置,其特征在于:
存储所述公开密钥证书的存储部件将位置登录结束通知中包括的有效期间作为已发行的证书的有效期间而存储。
5.一种会话控制服务器,作为通过网络连接而能够与会话控制服务器通信;接收从发送侧的通信装置送来的信号;将收到的信号发送到接收侧的通信装置;从而建立所述发送侧的通信装置和所述接收侧的通信装置会话的会话控制服务器,其特征在于设有:
接收将来自所述通信装置的位置登录请求和对于公开密钥的证书发行请求或证书登录请求总括的请求的接收部件;
接收所述请求;进行公开密钥证书发行或者确认该公开密钥证书有效性的部件;以及
将发行或登录的该公开密钥证书和位置信息与有效期间一起存储的部件。
6.如权利请求5记载的会话控制服务器,其特征在于设有:
接收所述公开密钥证书的询问请求的接收部件;以及
确认该公开密钥证书的有效性之后;通知该公开密钥证书的发送部件。
7.一种通信系统,通过网络连接而能够通信,用于在通信装置相互之间建立会话,其特征在于设有通信装置及会话控制服务器,其中:
所述通信装置具有作成非对称密钥对的部件;请求对公开密钥的证书发行的请求部件;接收证书发行通知的接收部件;存储公开密钥证书的存储部件;发送位置登录请求的发送部件及接收包含有效期间的位置登录结束通知的部件;
所述会话控制服务器具有接收来自所述通信装置的位置登录请求的接收部件;总括对公开密钥的证书发行或证书登录的请求而接收的接收部件;发行证书或者确认证书有效性的部件及将发行或登录的证书和位置信息与有效时间一起存储的存储部件。
8.如权利请求7记载的通信系统,其特征在于:
所述通信装置设有将位置登录结束通知中包含的有效期间作为已发行的公开密钥证书的有效期间而存储的存储部件,
所述会话控制服务器设有接收证书询问请求的接收部件和证书通知的发送部件。
9.如权利请求7记载的通信系统,其特征在于:
所述通信装置设有存储非对称密钥对的部件和发送公开密钥证书的登录请求的发送部件,
所述会话控制服务器设有接收证书询问请求的接收部件和证书通知的发送部件。
10.一种通信方法,通过网络连接而能够通信,用于在通信装置相互之间建立会话,其特征在于:
会话控制服务器一旦从通信装置接收位置登录及证书发行的请求信号,就判定信号类别,如果是位置登录请求,则判定是否包括证书发行请求,在所述信号中包括发行请求时,发行证书,管理该位置信息和该证书,同时对于所述通信装置发送位置信息及证书发行结束通知的信号。
11.一种通信方法,通过网络连接而能够通信;用于在通信装置相互之间建立会话,其特征在于:
会话控制服务器一旦从通信装置接收证书询问请求信号,就进行会话控制,同时判定是否是寄给本域,如果是寄给本域,则判定信号类别,如果是证书询问请求,则判定是否有证书,如果有证书,则检索相当的证书,确认已检索的证书有效性,对于所述通信装置发送证书通知,如果不是寄给本域,则将该证书询问请求信号转送到地址的会话控制服务器。
12.一种通信用程序,作为通过网络连接而能够通信;用于在通信装置相互之间建立会话的通信用程序,其特征在于使会话控制服务器的电脑上执行以下步骤:
从通信装置接收位置登录及证书发行的请求信号的步骤;判定信号类别的步骤;如果是位置登录请求,则判定是否包含证书发行请求的步骤;在包含发行请求时,发行证书的步骤;管理该位置信息和该证书的步骤;对于所述通信装置发送位置信息和证书发行结束通知的信号的步骤。
13.一种通信用程序,作为通过网络连接而能够通信;用于在通信装置相互之间建立会话的通信用程序,其特征在于使会话控制服务器的电脑上执行以下步骤:
从通信装置接收证书询问请求信号的步骤;进行会话控制的步骤;判定是否是寄给本域的步骤;如果是寄给本域,则判定信号类别的步骤;如果是证书询问请求,则判定是否有证书的步骤;如果有证书,则检索相当的证书的步骤;确认已检索的证书有效性的步骤;对于所述通信装置发送证书通知的步骤;在不是寄给本域时,将该证书询问请求信号转送到地址的会话控制服务器的步骤。
14、一种记录有权利请求12中记载的通信用程序的电脑可读取记录介质。
15.一种记录有权利请求13中记载的通信用程序的电脑可读取记录介质。
16.一种通信装置,通过网络连接而能够与会话控制服务器通信,并在经由1个以上的所述会话控制服务器的其它通信装置之间进行信号发送和接收,从而建立与该通信装置会话,其特征在于设有:
为了保持发送信号的秘密性而发送已加密的信息时,生成用于信息加密的第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件,
通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件,以及
发送包含附加通过任意第二保密密钥已加密的第一保密密钥,且通过该第一保密密钥已加密的信息的信号的部件;
所述保密密钥加密部件采用持有发送目标的通信装置或者1个以上的各自该会话控制服务器的第二保密密钥,将该第一保密密钥加密;
所述发送部件发送已加密的该第一保密密钥;由该第一保密密钥已加密的信息和对该会话控制服务器的该信息的解码化请求指示。
17.一种会话控制服务器,通过网络连接而能够与多个通信装置;其它会话控制服务器通信,并接收从发送侧的通信装置或其它会话控制服务器送来的信号,将接收的信号发送到接收侧的通信装置或其它会话控制服务器,从而建立该发送侧的通信装置和该接收侧的通信装置会话,其特征在于设有:
接收包含附加已加密的第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件;
将该第一保密密钥解码化的部件;以及
采用已解码化的该第一保密密钥,将信息解码化的部件;
所述接收部件一旦接收信号,所述解码化部件就判断有无解码化请求和解码化对象的信息,判断是否通过对应于第二保密密钥的第二解码化密钥将该第一保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该第一保密密钥解码化,从而判断有无解码化请求。
18.如权利请求17记载的会话控制服务器,其特征在于:
设有以会话单位存储所述第一保密密钥的部件;
在同一会话中将该第一保密密钥再用于信息的解码化。
19.一种接收侧通信装置,通过网络连接而能够与会话控制服务器通信,在所述会话控制服务器之间进行信号发送、接收,从而建立与其它通信装置会话,其特征在于:
设有接收包含附加已加密的第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件;
将该第一保密密钥解码化的部件;
通过得到的该第一保密密钥将信息解码化的部件;
以会话单位存储该第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件;以及
发送包含通过该第一保密密钥已加密的信息的信号的部件;
在同一会话中信息加密及解码化中使用所述第一保密密钥。
20.一种发送侧通信装置,其特征在于:
在权利请求16记载的通信装置中设有,
以会话单位存储所述第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件;
发送包含通过该第一保密密钥已加密的信息的信号的部件;
接收包含通过该第一保密密钥已加密的信息的信号的部件;以及采用该第一保密密钥将信息解码化的部件;
在同一会话中信息加密及解码化中使用所述第一保密密钥。
21.如权利请求19记载的通信装置,其特征在于设有:
周期性地更新以会话单位管理的所述第一保密密钥的部件;
该周期性的更新部件设有新生成该第一保密密钥的部件;
通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件;以及
发送包含附加通过任意第二保密密钥已加密的该第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件。
22.如权利请求20记载的通信装置,其特征在于设有:
周期性地更新以会话单位管理的所述第一保密密钥的部件,
该周期性的更新部件设有新生成该第一保密密钥的部件;
通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件;以及
发送包含附加通过任意第二保密密钥已加密的该第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件。
23.如权利请求18记载的会话控制服务器,其特征在于:
设有周期性地更新以会话单位管理的所述第一保密密钥的部件;
该周期性的更新部件设有发送包含附加通过任意第二保密密钥已加密的该第一保密密钥,且通过该第一保密密钥已加密的信息的信号的部件。
24.一种通信系统,通过网络连接而能够相互通信,通过进行信号发送;接收而建立会话,其特征在于设有第一通信装置、第二通信装置和会话控制服务器,其中:
所述第一通信装置设有,为了保持发送信号的秘密性而发送包含已加密的信息的信号时、生成用于加密的第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件和发送包含附加通过任意第二保密密钥已加密的第一保密密钥;以及通过该第一保密密钥已加密的信息的信号的部件;所述保密密钥加密部件采用发送目标的通信装置或者1个以上的各自该会话控制服务器持有的第二保密密钥,将该第一保密密钥加密,所述发送部件发送已加密的该第一保密密钥;包含由该第一保密密钥已加密的信息的信号和对该会话控制服务器的解码化请求指示,
所述第二通信装置设有,接收包含附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;将该第一保密密钥解码化的部件;通过得到的该第一保密密钥将信息解码化的部件;以会话单位存储该第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;以及发送包含通过该第一保密密钥已加密的信息的信号的部件;在同一会话中信息加密及解码化中使用所述第一保密密钥,
所述会话控制服务器设有,接收附加已加密的第一保密密钥、且接收通过该第一保密密钥已加密的信号的部件;将该第一保密密钥解码化的部件;以及采用已解码化的该第一保密密钥将信息解码化的解码化部件;所述接收部件一旦接收信号,所述解码化部件就判断有无解码化请求,判断是否通过对应于第二保密密钥的第二解码化密钥将该第一保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该第一保密密钥解码化,从而判断有无解码化请求。
25.一种通信系统,通过网络连接而能够相互通信,通过进行信号发送;接收而建立会话,其特征在于设有接收侧通信装置;发送侧通信装置和会话控制服务器:
所述接收侧通信装置设有,接收包含附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;将该第一保密密钥解码化的部件;通过得到的该第一保密密钥将信息解码化的部件;以会话单位存储该第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;以及发送包含通过该第一保密密钥已加密的信息的信号的部件,在同一会话中信息加密及解码化中使用所述第一保密密钥,
所述发送侧通信装置设有,为了保持发送信号的秘密性而发送已加密的信息时、生成用于信息加密的第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件;发送包含附加通过任意第二保密密钥已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;以会话单位存储所述第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;以及接收包含通过该第一保密密钥已加密的信息的信号的部件和采用该第一保密密钥将信息解码化的部件;所述保密密钥加密部件采用发送目标的通信装置或者1个以上的该各自会话控制服务器持有的第二保密密钥,将该第一保密密钥加密,所述发送部件发送已加密的该第一保密密钥,由该第一保密密钥已加密的信息和对该会话控制服务器的解码化请求指示,在同一会话中信息加密及解码化中使用所述第一保密密钥;
所述会话控制服务器设有接收包含,附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;将该第一保密密钥解码化的部件;采用已解码化的该第一保密密钥将信息解码化的部件;以及以会话单位存储所述第一保密密钥的部件;所述接收部件一旦接收信号,所述解码化部件就判断有无解码化请求和解码化对象的信息,判断是通过对应于第二保密密钥的第二解码化密钥将该第一保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该第一保密密钥解码化,判断有无解码化请求,在同一会话中的信息解码化中再使用该第一保密密钥。
26.一种通信系统,通过网络连接而能够相互通信,通过进行信号发送;接收而建立会话,其特征在于设有通信装置和会话控制服务器:
所述通信装置设有接收包含,附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;将该第一保密密钥解码化的部件;通过得到的该第一保密密钥将信息解码化的部件;以会话单位存储该第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;以及周期性地更新以会话单位管理的所述第一保密密钥的部件;在同一会话中信息加密及解码化中使用所述第一保密密钥,该周期性的更新部件设有新生成的该第一保密密钥的部件,通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件和发送包含附加通过任意第二保密密钥已加密的该第一保密密钥,且通过该第一保密密钥已加密的信息的信号的部件;
所述会话控制服务器设有接收包含附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;将该第一保密密钥解码化的部件;采用已解码化的该第一保密密钥将信息解码化的部件;周期性地更新所述第一保密密钥的部件;以及以会话单位存储所述第一保密密钥的部件;所述接收部件一旦接收信号,所述解码化部件就判断有无解码化请求和解码化对象的信息,判断是否通过对应于第二保密密钥的第二解码化密钥将该第一保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该第一保密密钥解码化,判断有无解码化请求,在同一会话中的信息解码化中再使用该第一保密密钥。
27.一种通信系统,通过网络连接而能够相互通信,通过进行信号发送;接收而建立会话,其特征在于设有通信装置和会话控制服务器:
所述通信装置设有以会话单位存储所述第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;接收包含通过该第一保密密钥已加密的信息的信号的部件;采用该第一保密密钥将信息解码化的部件;以及周期性地更新以会话单位管理的所述第一保密密钥的部件;该周期性的更新部件设有新生成的该第一保密密钥的部件,通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件和发送包含附加通过任意第二保密密钥已加密的该第一保密密钥,且通过该第一保密密钥已加密的信息的信号的部件;
所述会话控制服务器设有接收包含,附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;将该第一保密密钥解码化的部件;采用已解码化的该第一保密密钥将信息解码化的部件;周期性地更新所述第一保密密钥的部件;以及以会话单位存储所述第一保密密钥的部件;所述接收部件一旦接收信号,所述解码化部件就判断有无解码化请求和解码化对象的信息,判断是通过对应于第二保密密钥的第二解码化密钥将该第一保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该第一保密密钥解码化,判断有无解码化请求,在同一会话中的信息解码化中再使用该第一保密密钥。
28.一种通信方法,将通信装置中已生成的会话控制信号经由可信赖的会话控制服务器和不可信赖的会话控制服务器,发送到其它通信装置,其特征在于:
可信赖的会话控制服务器一旦接收从该通信装置送来的信号,就通过解码化判断部件,判断有无解码化请求,如果有解码化请求,则通过保密密钥解码化部件,进行第一保密密钥的解码化,采用已解码化的该第一保密密钥,通过信号解码化部件将信息解码化,将该信息发送到不可信赖的会话控制服务器,该会话控制服务器加以接收,施以与前面相同的处理,发送到接收侧通信装置,该接收侧通信装置通过第一保密密钥将接收的信号信息加密,且在该第一保密密钥被加密而附加时,采用对应于自身第二保密密钥的第二解码化密钥,通过保密密钥解码化部件解码化,取得第一保密密钥,采用该第一保密密钥,将已加密的信息通过信号解码化部件解码化。
29.一种通信方法,以会话控制服务器在会话建立中或会话变更中得到的信息为基础,变更NAT/防火墙装置的过滤条件,其特征在于:
会话控制服务器以通信装置的主信息通信通路的IP地址及入口编号为基础,对于NAT/防火墙装置请求过滤条件变更,使寄给特别指定IP地址及入口编号的数据包从非特别指定IP地址通过,然后,采用第一保密密钥,将从其它通信装置接收的加密信息解码化,以该通信装置的主信息通信通路的IP地址及入口编号为基础,对于NAT/防火墙装置请求过滤条件变更,使寄给特别指定IP地址及入口编号的数据包从特别指定IP地址通过,然后,一旦从通信装置接收切断信号的消息,则对于NAT/防火墙装置请求过滤条件变更,使寄给指定IP地址及入口编号的数据包不从指定IP地址通过。
30.一种通信方法,以会话控制服务器在会话建立中或会话变更中得到的信息为基础,对于已加密的主信息能够进行通信记录,其特征在于:
会话控制服务器以通信装置的主信息通信通路的IP地址及入口编号为基础,对于NAT/防火墙装置请求过滤条件变更,而且指示主信息转送,一旦从该NAT/防火墙装置接收主信息,就采用取完的主信息加密的密钥信息,通过主信息解码化部件,进行解码化,解码化一旦结束,就记录已解码化的主信息或已加密的主信息及其密钥信息。
31.一种会话控制用程序,作为将通信装置中已生成的会话控制信号经由可信赖的会话控制服务器和不可信赖的会话控制服务器,发送到其它通信装置会话控制用程序,其特征在于:
用于在可信赖的会话控制服务器的电脑上执行以下步骤:接收从该通信装置送来的信号的步骤;通过解码化判断部件判断有无解码化请求的步骤;如果有解码化请求,则通过保密密钥解码化部件,进行第一保密密钥解码化的步骤;采用已解码化的该第一保密密钥,通过信号解码化部件将信息解码化的步骤;将包含该信息的信号发送到不可信赖的会话控制服务器的步骤。
32.一种会话控制用程序,作为以会话控制服务器在会话建立中或会话变更中得到的信息为基础,变更NAT/防火墙装置的过滤条件的会话控制用程序,其特征在于:
用于在会话控制服务器的电脑上执行以下步骤:以通信装置的主信息通信通路的IP地址及入口编号为基础,对于NAT/防火墙装置请求过滤条件变更的步骤;使寄给特别指定IP地址及入口编号的数据包从非特别指定IP地址通过的步骤;然后,采用第一保密密钥将从其它通信装置收到的加密信息解码化的步骤;以该通信装置的主信息通信通路的IP地址及入口编号为基础,对于NAT/防火墙装置请求过滤条件变更的步骤,使寄给特别指定IP地址及入口编号的数据组从特别指定IP地址通过的步骤;然后,从通信装置接收切断信号之消息的步骤;对于NAT/防火墙装置请求过滤条件变更的步骤;使寄给指定IP地址及入口编号的数据包不从指定IP地址通过的步骤。
33.一种会话控制用程序,作为以会话控制服务器在会话建立中或会话变更中得到的信息为基础,对于已加密的信息能够进行通信记录的会话控制用程序,其特征在于:
用于在会话控制服务器的电脑上执行以下步骤:以通信装置的主信息通信通路的IP地址及入口编号为基础,对于NAT/防火墙装置请求过滤条件变更,而且指示主信息转送的步骤;从该NAT/防火墙装置接收主信息的步骤;采用取完的主信息加密的密钥信息,通过主信息解码化部件进行解码化的步骤;解码化一旦结束,就记录已解码化的主信息或已加密的主信息及其密钥信息的步骤。
34.一种记录有权利请求31中记载的程序的电脑可读取记录介质。
35.一种记录有权利请求32中记载的程序的电脑可读取记录介质。
36.一种记录有权利请求33中记载的程序的电脑可读取记录介质。
37.一种通信装置,通过网络连接而能够与会话控制服务器通信,并在经由1个以上的所述会话控制服务器的其它通信装置之间进行信号发送和接收,从而建立与该通信装置会话,其特征在于设有:
为了保持发送信号的秘密性而发送已加密的信息时;生成用于加密的第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件;
通过任意第二保密密钥将该第一保密密钥加密的部件;以及
发送包含附加已加密的该第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件;
通过第二保密密钥将该第一保密密钥加密的部件,通过仅可允许参照或可允许参照和变更信号内信息的1个会话控制服务器的第二保密密钥,将第一保密密钥加密,
发送通过该第一保密密钥已加密的信息的部件发送所述已加密的第一保密密钥,通过该第一保密密钥已加密的信息,对该会话控制服务器的解码化请求指示或者解码化请求指示和变更允许通知。
38.一种会话控制服务器,通过网络连接而能够与多个通信装置、其它会话控制服务器通信,并接收从发送侧的通信装置或其它会话控制服务器送来的信号,将接收的信号发送到接收侧的通信装置或该其它会话控制服务器,从而建立所述发送侧的通信装置和所述接收侧的通信装置会话,其特征在于设有:
接收包含附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;
通过对应于自身第二保密密钥的第二解码化密钥将第一保密密钥解码化的部件;
采用解码化而得到的第一保密密钥将信息解码化的部件;
通过任意第二保密密钥将解码化而得到的第一保密密钥加密的部件;以及
发送包含附加通过任意第二保密密钥已加密后;再解码化而得到的第一保密密钥、且通过解码化而得到的第一保密密钥已加密的信息的信号的部件;
所述接收部件接收包含已加密的信息的信号时,判断有无解码化请求,判断是通过对应于该第二保密密钥的第二解码化密钥将保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该保密密钥解码化,判断有无解码化请求,或者通过其两者而取得该第一保密密钥;
所述信息解码化部件将通过该第一保密密钥已加密的信息解码化;
另外,所述加密部件将信号发送和接收时经由;且通过仅可允许公开或可允许公开和变更的所述会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥而已取得的第一保密密钥加密;
所述发送部件发送已加密的该第一保密密钥,通过已取得的第一保密密钥已加密的信息以及在第二保密密钥是该其它会话控制服务器的保密密钥时,对该其它会话控制服务器的解码化请求指示或者解码化请求指示和变更允许通知。
39.如权利38记载的会话控制服务器,其特征在于:
不但设有所述各部件,而且设有在为了保持发送信号的秘密性而发送包含已加密的信息的信号时,生成用于加密的新第一保密密钥的部件;
采用已生成的该第一保密密钥将信息加密的部件;
通过任意第二保密密钥将已生成的该第一保密密钥加密的部件和
发送包含附加通过该第二保密密钥已加密的已生成的第一保密密钥,且通过已生成的该第一保密密钥已加密的信息的信号的部件,
所述第一保密密钥的加密部件将信号发送和接收时经由、且通过仅可允许参照、或允许参照和变更的其它会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥而已生成的该第一保密密钥加密,
所述发送部件发送已加密的已生成的该第一保密密钥、通过已生成的该第一保密密钥已加密的信息以及在第二保密密钥是该其它会话控制服务器的保密密钥时,对该其它会话控制服务器的解码化请求指示或者解码化请求指示和变更允许通知。
40.如权利请求38记载的会话控制服务器,其特征在于设有:
以会话及对向装置单位存储所述第一保密密钥的部件;以及
在同一会话中且在同一对向装置内信息的加密及解码化至少任何之一中再使用该第一保密密钥的部件。
41.一种通信装置,通过网络连接而能够与会话控制服务器通信,在与所述会话控制服务器之间进行信号发送;接收,从而建立与其它通信装置会话,其特征在于设有:
接收包含附加已加密的第一保密密钥;且已加密的信息的信号的部件;
将该第一保密密钥解码化的部件;
通过一保密密钥将信息解码化的部件;
以会话及对向装置单位存储该第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件;以及
发送包含通过该第一保密密钥已加密的信息的信号的部件,
在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥。
42.如权利请求37记载的通信装置,其特征在于设有:
以会话和对向装置单位存储所述第一保密密钥的部件;
采用该第一保密密钥将信息加密的部件;
发送包含通过该第一保密密钥已加密的信息的信号的部件;
接收包含通过该第一保密密钥已加密的信息的信号的部件;以及
采用该第一保密密钥将信息解码化的部件,
在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥。
43.如权利请求37记载的通信装置,其特征在于:
设有周期性地更新以所述会话及对向装置单位管理的第一保密密钥部件,
该更新部件设有,
新生成第一保密密钥的部件;
通过任意第二保密密钥或已存储的第一保密密钥;将该第一保密密钥加密的保密密钥加密部件;以及
发送包含附加通过的第二保密密钥已加密的该第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件。
44如权利请求41记载的通信装置,其特征在于:
设有周期性地更新以所述会话及对向装置单位管理的第一保密密钥部件,
该更新部件设有,
新生成第一保密密钥的部件;
通过任意第二保密密钥或已存储的第一保密密钥;将该第一保密密钥加密的保密密钥加密部件;以及
发送包含附加通过的第二保密密钥已加密的该第一保密密钥;且通过该第一保密密钥已加密的信息的信号的部件。
45.如权利请求37记载的会话控制服务器,其特征在于设有:
周期性地更新以所述会话和对向装置单位管理的第一保密密钥的部件;
接收包含附加通过任意第二保密密钥或已存储的第一保密密钥已加密的、新的第一保密密钥,且通过该第一保密密钥已加密的信息的信号的部件;
采用更新的新第一保密密钥将信息加密的部件;以及
将更新的新的保密密钥与已加密的信息一起发送的部件,
该发送部件发送附加通过所述任意第二保密密钥或所述已存储的第一保密密钥已加密的、新的第一保密密钥,且通过该第一保密密钥已加密的信息。
46.权利请求38记载的会话控制服务器,其特征在于设有:
周期性地更新以所述会话和对向装置单位管理的第一保密密钥的部件;
接收附加通过任意第二保密密钥或已存储的第一保密密钥已加密的、新的第一保密密钥,且包含通过该第一保密密钥已加密的信息的信号的部件;
采用更新的新第一保密密钥将信息加密的部件;以及
将更新的新的保密密钥与已加密的信息一起发送的部件,
该发送部件附加通过所述任意第二保密密钥或所述已存储的第一保密密钥已加密的;新的第一保密密钥,发送通过该第一保密密钥已加密的信息。
47.一种通信系统,通过网络连接而能够相互通信,通过通信装置相互之间进行信号发送、接收而建立会话,其特征在于:
设有会话控制服务器、通信装置、接收侧通信装置和发送侧通信装置;
该会话控制服务器设有接收包含,附加已加密的第一保密密钥;通过该第一保密密钥已加密的信息的信号的部件;通过对应于自身第二保密密钥的第二解码化密钥将第一保密密钥解码化的部件;采用解码化而得到的第一保密密钥将信息解码化的部件;通过任意第二保密密钥解码化而得到的第一保密密钥加密的部件;以及发送包括附加通过任意第二保密密钥已加密后、再解码化而得到的第一保密密钥、且通过解码化而得到的第一保密密钥已加密的信息的信号的部件;在所述接收部件接收已加密的信息时,判断有无解码化请求,判断是通过对应于该第二保密密钥的第二解码化密钥将保密密钥解码化,或者通过对应于该第二保密密钥的第二解码化密钥将该保密密钥解码化,判断有无解码化请求,或者通过其两者而取得该第一保密密钥,所述信息解码化部件通过该第一保密密钥将已加密的信息解码化,另外,所述加密部件将信号发送和接收时经由、且通过仅可允许公开或可允许公开和变更的所述其它会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥而已取得的该第一保密密钥加密,所述发送部件发送已加密的该第一保密密钥、通过已取得的该第一保密密钥已加密的信息以及在第二保密密钥是该其它会话控制服务器的保密密钥时对该其它会话控制服务器的解码化请求指示;
该通信装置设有,为了保持发送信号的秘密性而发送包含已加密的信息的信号时生成用于加密的第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;通过任意第二保密密钥将该第一保密密钥加密的部件;以及发送包含附加已加密的第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件;通过第二保密密钥将该第一保密密钥加密的部件通过仅可允许公开或和可允许公开和变更的1个会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥,将第一保密密钥加密,发送包含通过该第一保密密钥已加密的信息的信号的部件发送所述已加密的第一保密密钥,通过该第一保密密钥已加密的信息以及在第二保密密钥是所述会话控制服务器的保密密钥时,对该会话控制服务器的解码化请求指示;或者
不但设有所述各部件,而且设有在为了保持发送信号的秘密性而发送包含已加密的信息的信号时,生成用于加密的新第一保密密钥的部件;采用已生成的该第一保密密钥将信息加密的部件;通过任意第二保密密钥将已生成的该第一保密密钥加密的部件;以及发送包含附加通过该第二保密密钥已加密的已生成的第一保密密钥,且通过已生成的该第一保密密钥已加密的信息的信号的部件;所述第一保密密钥的加密部件将信号发送和接收时,经由、且通过仅可允许参照或可允许参照和变更的其它会话控制服务器的第二保密密钥或者发送目标的通信装置的第二保密密钥而已生成的该第一保密密钥加密,所述发送部件发送已加密的已生成的该第一保密密钥,通过已生成的该第一保密密钥已加密的信息以及在第二保密密钥是该其它会话控制服务器的保密密钥时;对该其它会话控制服务器的解码化请求指示;
该接收侧通信装置设有接收包含,附加已加密的第一保密密钥、且已加密的信息的信号的部件;将该第一保密密钥解码化的部件;通过该第一保密密钥将信息解码化的部件;以会话和对向装置单位存储该第一保密密钥的部件;采用该第的保密密钥将信息加密的部件;以及发送包含通过该第一保密密钥已加密的信息的信号的部件,在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥;
该发送侧通信装置设有,以会话和对向装置单位存储所述第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;接收包含通过该第一保密密钥已加密的信息的信号的部件;以及采用该第一保密密钥将信息解码化的部件;在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥。
48.如权利请求47记载的通信系统,其特征在于设有会话控制服务器、接收侧通信装置和发送侧通信装置,其中:
所述会话控制服务器设有,以会话和对向装置单位存储所述第一保密密钥的部件;在同一会话中、且同一对向装置内的信息加密及解码化至少任何之一中再使用该第一保密密钥的再使用部件;
所述接收侧通信装置设有,接收包含附加已加密的第一保密密钥;且已加密的信息的信号的部件;将第一保密密钥解码化的部件;通过该第一保密密钥将信息解码化的部件;以会话和对向装置单位存储该第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;以及发送包含通过该第一保密密钥已加密的信息的信号的部件;在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥;
该发送侧通信装置设有,以会话和对向装置单位存储所述第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;接收包含通过该第一保密密钥已加密的信息的信号的部件;以及采用该第一保密密钥将信息解码化的部件;在同一会话中信息加密及解码化至少任何之一中使用该存储的部件存储的第一保密密钥。
49.如权利请求47记载的通信系统,其特征在于设有会话控制服务器;发送侧通信装置和发送侧或者接收侧通信装置,其中:
所述会话控制服务器设有,周期性地更新以所述会话和对向装置单位管理的第一保密密钥的部件;接收包含附加通过任意第二保密密钥或已存储的第一保密密钥已加密的新的第一保密密钥,且通过该第一保密密钥已加密的信息的信号的部件;采用已更新的新的第一保密密钥将信息加密的部件;以及将已更新的新的保密密钥与已加密的信息一起发送的部件;所述发送部件发送包含附加通过任意第二保密密钥或所述已存储的第一保密密钥已加密的新的第一保密密钥;且通过该第一保密密钥已加密的信息的信号;
所述发送侧通信装置设有,以会话和对向装置单位存储所述第一保密密钥的部件;采用该第一保密密钥将信息加密的部件;发送包含通过该第一保密密钥已加密的信息的信号的部件;接收包含通过该第一保密密钥已加密的信息的信号的部件;以及采用该第一保密密钥将信息解码化的部件,在同一会话中信息加密及解码化至少之一中使用该存储的部件已存储第一保密密钥;
该发送侧或者接收侧通信装置设有,周期性地更新以所述会话和对向装置单位管理的第一保密密钥的部件,该更新部件设有新生成第一保密密钥的部件;通过任意第二保密密钥将该第一保密密钥加密的保密密钥加密部件;以及发送包含附加通过任意第二保密密钥已加密的该第一保密密钥、且通过该第一保密密钥已加密的信息的信号的部件。
50.一种通信方法,将发送侧通信装置中生成的会话控制信号经由可信赖的会话控制服务器和不可信赖的会话控制服务器发送到接收侧通信装置,其特征在于:
该发送侧通信装置通过会话控制服务器的已公开的第二保密密钥,将已用于加密的第一保密密钥加密;
将该会话控制服务器中表示解码化请求的值和要解码化的内容ID包含而发送;
该会话控制服务器通过解码化请求参数的值判断解码化请求,或者通过已设定已加密的第一保密密钥的数据解码化可否判断解码化请求;
在有解码化请求时,通过对应于第二保密密钥的第二解码化密钥解码化,能够参照或变更通信装置之间的控制信息;
在变更通信装置之间的控制信息后,采用直接使用该第一保密密钥,或者采用新生成的第一保密密钥将变更后的信息加密,发送到下一个会话控制服务器或接收侧通信装置。
51.一种通信方法,以会话控制服务器在会话建立中得到的信息为基础,变更NAT/防火墙装置的过滤条件,其特征在于:
会话控制服务器在判断解码化的解码化密钥之后,能够进行第一保密密钥的解码化,通过该第一保密密钥将加密信息解码化,能够参照或变更通信装置之间的控制信息;
以该控制信息为基础,对于NAT/防火墙装置请求过滤条件的变更;
然后,能够将从接收侧通信装置收到的通信装置之间的控制信息解码化,参照或变更通信装置之间的控制信息;
以该控制信息为基础,对于NAT/防火墙装置请求过滤条件的变更,在NAT/防火墙装置中对于通信装置相互之间的主信息使数据包通过。
52.一种通信方法,以会话控制服务器在会话建立中得到的信息为基础,对于已加密的主信息能够进行通信记录,其特征在于:
会话控制服务器不仅对于NAT/防火墙装置等请求过滤条件变更,同时指示主信息转送,一旦从NAT/防火墙装置等接收主信息,如果该主信息已加密,则在发送、接收信号时进行第一保密密钥的解码化,采用已取完的主信息加密的密钥,将加密信息与通过该第一保密密钥解码化而得到的通信装置之间的控制信息一起解码化,将该主信息记录在通信记录部件中。
53.一种通信用程序,作为将发送侧通信装置中已生成的会话控制信号经由可信赖的会话控制服务器和不可信赖的会话控制服务器发送到接收侧通信装置的通信用程序,其特征在于:
用于在该会话控制服务器的电脑上执行以下步骤:通过解码化请求参数的值判断解码化请求,或者通过已设定已加密的第一保密密钥的数据解码化可否而判断解码化请求的步骤;在有解码化请求时,通过对应于第二保密密钥的第二解码化密钥解码化,能够参照或变更通信装置之间的控制信息的步骤;直接使用该第一保密密钥或者采用新生成的第一保密密钥,将变更后的信息加密的步骤;以及发送到下一个会话控制服务器或接收侧通信装置的步骤。
54.一种通信用程序,作为以会话控制服务器在会话建立中得到的信息为基础;变更NAT/防火墙装置的过滤条件的通信用程序,其特征在于:
用于在该会话控制服务器的电脑上执行以下步骤:判断解码化的解码化密钥的步骤;进行第一保密密钥解码化的步骤;通过该第一保密密钥将加密信息解码化,能够参照或变更通信装置之间的控制信息的步骤;以该控制信息为基础,对于NAT/防火墙装置请求过滤条件变更的步骤;将从接收侧通信装置收到的通信装置之间的控制信息解码化,能够参照或变更通信装置之间的控制信息的步骤;以及以该控制信息为基础,对于NAT/防火墙装置请求过滤条件变更的步骤。
55.一种通信用程序,作为以会话控制服务器在会话建立中得到的信息为基础,对于已加密的主信息进行通信记录的通信用程序,其特征在于:
用于在该会话控制服务器的电脑上执行以下步骤:不仅对于NAT/防火墙装置等请求过滤条件变更,而且指示主信息转送的步骤;从NAT/防火墙装置等接收主信息的步骤;如果在该主信息已加密,则在发送、接收信号时进行第一保密密钥的解码化,采用已取完的主信息加密的密钥,将加密信息与通过该第一保密密钥解码化而得到的通信装置之间的控制信息一起解码化的步骤;以及将该主信息记录在通信记录部件中的步骤。
56.一种记录有权利请求53中记载的程序的电脑可读取的记录介质。
57.一种记录有权利请求54中记载的程序的电脑可读取的记录介质。
58.一种记录有权利请求55中记载的程序的电脑可读取的记录介质。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP175085/2003 | 2003-06-19 | ||
JP2003175085 | 2003-06-19 | ||
JP176569/2003 | 2003-06-20 | ||
JP2003176569 | 2003-06-20 | ||
JP176568/2003 | 2003-06-20 | ||
JP2003176568 | 2003-06-20 | ||
PCT/JP2004/008942 WO2005008954A1 (ja) | 2003-06-19 | 2004-06-18 | セッション制御サーバ及び通信システム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110291349.1A Division CN102355355B (zh) | 2003-06-19 | 2004-06-18 | 会话控制服务器、通信装置、通信系统与通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1701559A true CN1701559A (zh) | 2005-11-23 |
CN1701559B CN1701559B (zh) | 2012-05-16 |
Family
ID=34084262
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2004800010050A Active CN1701559B (zh) | 2003-06-19 | 2004-06-18 | 会话控制服务器、通信装置、通信系统与通信方法及其程序与记录介质 |
CN201110291349.1A Active CN102355355B (zh) | 2003-06-19 | 2004-06-18 | 会话控制服务器、通信装置、通信系统与通信方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110291349.1A Active CN102355355B (zh) | 2003-06-19 | 2004-06-18 | 会话控制服务器、通信装置、通信系统与通信方法 |
Country Status (5)
Country | Link |
---|---|
US (2) | US20060047960A1 (zh) |
EP (1) | EP1635502B1 (zh) |
JP (1) | JP4101839B2 (zh) |
CN (2) | CN1701559B (zh) |
WO (1) | WO2005008954A1 (zh) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3870955B2 (ja) * | 2004-06-21 | 2007-01-24 | 株式会社日立製作所 | 階層型中継処理を行うセッション制御装置 |
WO2006090465A1 (ja) * | 2005-02-24 | 2006-08-31 | Fujitsu Limited | 接続支援装置およびゲートウェイ装置 |
US7916869B2 (en) * | 2005-09-01 | 2011-03-29 | Sharp Laboratories Of America, Inc. | System and method for automatic setup of a network device with secure network transmission of setup parameters using a standard remote control |
US7609837B2 (en) * | 2005-09-01 | 2009-10-27 | Sharp Laboratories Of America, Inc. | System and method for automatic setup of a network device with secure network transmission of setup parameters |
FI122847B (fi) * | 2006-10-23 | 2012-07-31 | Valimo Wireless Oy | Menetelmä ja järjestelmä turvalliseksi PKI-avaimen (Public Key Infrastructure) rekisteröimiseksi matkaviestinympäristössä |
FR2908001B1 (fr) * | 2006-10-26 | 2009-04-10 | Alcatel Sa | Traversee d'un equipement de traduction d'adresse nat pour messages de signalisation conformes au protocole sip par redondance d'informations d'adresses. |
US8520687B2 (en) * | 2007-07-06 | 2013-08-27 | Alcatel Lucent | Method and apparatus for internet protocol multimedia bearer path optimization through a succession of border gateways |
JP4966135B2 (ja) * | 2007-08-31 | 2012-07-04 | 株式会社東芝 | サーバ装置、端末装置、通信制御方法および通信制御プログラム |
US8402507B2 (en) * | 2007-10-04 | 2013-03-19 | Cisco Technology, Inc. | Distributing policies to protect against voice spam and denial-of-service |
US9349410B2 (en) | 2008-01-08 | 2016-05-24 | International Business Machines Corporation | Automated data storage library with target of opportunity recognition |
US8682470B2 (en) | 2008-01-08 | 2014-03-25 | International Business Machines Corporation | Data storage drive with target of opportunity recognition |
US9495561B2 (en) * | 2008-01-08 | 2016-11-15 | International Business Machines Corporation | Target of opportunity recognition during an encryption related process |
US8266686B1 (en) * | 2008-01-11 | 2012-09-11 | Sprint Communications Company L.P. | System and method for VoIP firewall security |
US8667279B2 (en) | 2008-07-01 | 2014-03-04 | Sling Media, Inc. | Systems and methods for securely place shifting media content |
US8335793B2 (en) * | 2008-08-22 | 2012-12-18 | Disney Enterprises, Inc. | System and method for optimized filtered data feeds to capture data and send to multiple destinations |
WO2010041464A1 (ja) * | 2008-10-10 | 2010-04-15 | パナソニック株式会社 | 情報処理装置、認証システム、認証装置、情報処理方法、情報処理プログラム、記録媒体及び集積回路 |
US9392437B2 (en) * | 2008-10-17 | 2016-07-12 | Alcatel Lucent | Method and system for IP multimedia bearer path optimization through a succession of border gateways |
US8990569B2 (en) * | 2008-12-03 | 2015-03-24 | Verizon Patent And Licensing Inc. | Secure communication session setup |
CN102857889A (zh) * | 2012-09-12 | 2013-01-02 | 中兴通讯股份有限公司 | 一种短消息加密的方法及装置 |
US9148449B2 (en) * | 2013-03-13 | 2015-09-29 | Authentify, Inc. | Efficient encryption, escrow and digital signatures |
JP6191259B2 (ja) | 2013-06-11 | 2017-09-06 | 富士通株式会社 | ネットワーク分離方法及びネットワーク分離装置 |
JP6229368B2 (ja) * | 2013-08-09 | 2017-11-15 | 富士通株式会社 | アクセス制御方法、アクセス制御システム及びアクセス制御装置 |
CN107003951A (zh) * | 2014-11-14 | 2017-08-01 | 三菱电机株式会社 | 服务器装置、客户端装置和服务器装置程序 |
US9838378B2 (en) * | 2015-07-27 | 2017-12-05 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Securing a server before connecting the server to a data communications network |
US10554700B2 (en) * | 2015-08-04 | 2020-02-04 | At&T Intellectual Property I, L.P. | Method and apparatus for management of communication conferencing |
CN114240421A (zh) | 2016-01-25 | 2022-03-25 | 创新先进技术有限公司 | 基于移动终端eSE的信用支付方法及装置 |
US10868669B2 (en) * | 2017-10-16 | 2020-12-15 | Taiwan Semiconductor Manufacturing Company Ltd. | Method for role-based data transmission using physically unclonable function (PUF)-based keys |
WO2019088279A1 (ja) * | 2017-11-06 | 2019-05-09 | 日本電信電話株式会社 | データ共有方法、データ共有システム、データ共有サーバ、通信端末、プログラム |
US11777744B2 (en) | 2018-06-25 | 2023-10-03 | Auth9, Inc. | Method, computer program product and apparatus for creating, registering, and verifying digitally sealed assets |
US11611539B2 (en) * | 2018-12-16 | 2023-03-21 | Auth9, Inc. | Method, computer program product and apparatus for encrypting and decrypting data using multiple authority keys |
JP7127845B2 (ja) * | 2019-04-19 | 2022-08-30 | コネクトフリー株式会社 | ネットワークシステム、デバイスおよび処理方法 |
SG11202001975SA (en) | 2019-07-11 | 2020-04-29 | Alibaba Group Holding Ltd | Shared blockchain data storage |
JP2022020143A (ja) * | 2020-07-20 | 2022-02-01 | 富士通株式会社 | 通信プログラム、通信装置、及び通信方法 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3590143B2 (ja) * | 1995-07-28 | 2004-11-17 | 株式会社東芝 | 電子メール転送装置 |
US5768519A (en) * | 1996-01-18 | 1998-06-16 | Microsoft Corporation | Method and apparatus for merging user accounts from a source security domain into a target security domain |
US6044462A (en) * | 1997-04-02 | 2000-03-28 | Arcanvs | Method and apparatus for managing key revocation |
JP3604264B2 (ja) * | 1997-10-06 | 2004-12-22 | 株式会社東芝 | 発信者用端末装置及びネットワークシステム並びに発信情報監視方法 |
US6233341B1 (en) * | 1998-05-19 | 2001-05-15 | Visto Corporation | System and method for installing and using a temporary certificate at a remote site |
JP2000059352A (ja) * | 1998-08-07 | 2000-02-25 | Murata Mach Ltd | 暗号通信システム |
JP2000250832A (ja) * | 1999-02-26 | 2000-09-14 | Oki Electric Ind Co Ltd | 分散ディレクトリ管理システム |
CN100384191C (zh) * | 1999-06-10 | 2008-04-23 | 阿尔卡塔尔互联网运行公司 | 基于策略的网络体系结构 |
US7340600B1 (en) * | 2000-01-14 | 2008-03-04 | Hewlett-Packard Development Company, L.P. | Authorization infrastructure based on public key cryptography |
US7352770B1 (en) * | 2000-08-04 | 2008-04-01 | Intellon Corporation | Media access control protocol with priority and contention-free intervals |
JP2002082907A (ja) * | 2000-09-11 | 2002-03-22 | Nec Corp | データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体 |
JP2002101087A (ja) * | 2000-09-21 | 2002-04-05 | Hitachi Ltd | 情報保管システム及び情報移動システム並びにそれらに用いる記憶媒体 |
US6789193B1 (en) * | 2000-10-27 | 2004-09-07 | Pitney Bowes Inc. | Method and system for authenticating a network user |
US20020116610A1 (en) * | 2001-02-22 | 2002-08-22 | Holmes William S. | Customizable digital certificates |
US20020150253A1 (en) * | 2001-04-12 | 2002-10-17 | Brezak John E. | Methods and arrangements for protecting information in forwarded authentication messages |
US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
US7171554B2 (en) * | 2001-08-13 | 2007-01-30 | Hewlett-Packard Company | Method, computer program product and system for providing a switch user functionality in an information technological network |
US7299351B2 (en) * | 2001-09-19 | 2007-11-20 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) security infrastructure and method |
US20030097584A1 (en) * | 2001-11-20 | 2003-05-22 | Nokia Corporation | SIP-level confidentiality protection |
US7624434B2 (en) * | 2002-03-01 | 2009-11-24 | 3Com Corporation | System for providing firewall capabilities to a communication device |
US7516182B2 (en) * | 2002-06-18 | 2009-04-07 | Aol Llc | Practical techniques for reducing unsolicited electronic messages by identifying sender's addresses |
CN1239009C (zh) * | 2002-08-07 | 2006-01-25 | 华为技术有限公司 | Ip多媒体域用户呼叫的快速摘要认证方法 |
US7827602B2 (en) * | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
JP4397675B2 (ja) * | 2003-11-12 | 2010-01-13 | 株式会社日立製作所 | 計算機システム |
-
2004
- 2004-06-18 CN CN2004800010050A patent/CN1701559B/zh active Active
- 2004-06-18 EP EP04746411.0A patent/EP1635502B1/en active Active
- 2004-06-18 JP JP2005511797A patent/JP4101839B2/ja active Active
- 2004-06-18 CN CN201110291349.1A patent/CN102355355B/zh active Active
- 2004-06-18 WO PCT/JP2004/008942 patent/WO2005008954A1/ja active Application Filing
- 2004-06-18 US US10/530,238 patent/US20060047960A1/en not_active Abandoned
-
2008
- 2008-10-03 US US12/244,816 patent/US20090094692A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
JP4101839B2 (ja) | 2008-06-18 |
US20060047960A1 (en) | 2006-03-02 |
EP1635502A4 (en) | 2011-11-02 |
CN1701559B (zh) | 2012-05-16 |
EP1635502B1 (en) | 2019-05-22 |
WO2005008954A1 (ja) | 2005-01-27 |
JPWO2005008954A1 (ja) | 2006-09-07 |
EP1635502A1 (en) | 2006-03-15 |
CN102355355B (zh) | 2014-07-16 |
CN102355355A (zh) | 2012-02-15 |
US20090094692A1 (en) | 2009-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1701559A (zh) | 会话控制服务器、通信装置、通信系统与通信方法及其程序与记录介质 | |
CN1855805A (zh) | Sip消息的加密方法和加密通信系统 | |
CN1268105C (zh) | 用于通信网络的通信系统及通信方法 | |
CN1836398A (zh) | 使用消息认证码的发送/接收系统 | |
CN1275418C (zh) | 分组数据网中的验证 | |
CN1266876C (zh) | 数据通信系统、加密装置及解密装置 | |
CN1496063A (zh) | 互联网协议安全性协议设置服务器设备和处理设备 | |
CN1292556C (zh) | 公共密钥加密通信系统 | |
CN1172506C (zh) | 通过互联网传送多媒体数据的管理方法及实施该方法所用的芯片卡 | |
CN1682499A (zh) | 内容分发系统 | |
CN101056263A (zh) | 数据通信方法和系统 | |
CN1736082A (zh) | 分组许可系统以及其服务器及客户端 | |
CN1714542A (zh) | 无线局域网互连中的识别信息保护方法 | |
CN1496628A (zh) | 内容分配系统 | |
CN101034988A (zh) | 一种网络登录认证保护装置及其使用方法 | |
CN1471771A (zh) | 通过对数据加密来保护数据的数据保护系统 | |
CN1396568A (zh) | 数字作品保护系统、记录媒体装置、发送装置和重放装置 | |
CN1481081A (zh) | 虚拟专用网络系统 | |
CN101043744A (zh) | 一种ims网络中用户终端接入鉴权的方法 | |
CN1781087A (zh) | 安全访问带有客户端接收的专用网的方法和系统 | |
CN1711740A (zh) | 轻度可扩展验证协议的密码预处理 | |
CN101053233A (zh) | 用于控制通信网络中移动性的方法和系统,及其相关网络和计算机程序产品 | |
CN1817013A (zh) | 终端和通信系统 | |
CN1836419A (zh) | 在cdma系统中支持移动ip第6版业务的方法、系统和设备 | |
CN1833403A (zh) | 通信系统、通信装置、通信方法及用于实现这些的通信程序 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |