CN1984090B - 数据通信方法以及系统 - Google Patents
数据通信方法以及系统 Download PDFInfo
- Publication number
- CN1984090B CN1984090B CN2006101656884A CN200610165688A CN1984090B CN 1984090 B CN1984090 B CN 1984090B CN 2006101656884 A CN2006101656884 A CN 2006101656884A CN 200610165688 A CN200610165688 A CN 200610165688A CN 1984090 B CN1984090 B CN 1984090B
- Authority
- CN
- China
- Prior art keywords
- server
- mentioned
- message
- destination
- sip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000006854 communication Effects 0.000 title claims abstract description 181
- 238000004891 communication Methods 0.000 title claims abstract description 175
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000004044 response Effects 0.000 claims description 85
- 238000012545 processing Methods 0.000 claims description 27
- 230000005540 biological transmission Effects 0.000 claims description 16
- 239000000284 extract Substances 0.000 claims description 7
- 230000009471 action Effects 0.000 description 32
- 230000008569 process Effects 0.000 description 24
- 238000012795 verification Methods 0.000 description 12
- 239000003795 chemical substances by application Substances 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000006243 chemical reaction Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000015572 biosynthetic process Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000005755 formation reaction Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 101100398412 Arabidopsis thaliana ASK1 gene Proteins 0.000 description 1
- 101100110018 Arabidopsis thaliana ASK3 gene Proteins 0.000 description 1
- 101100033673 Mus musculus Ren1 gene Proteins 0.000 description 1
- 101100033674 Mus musculus Ren2 gene Proteins 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4535—Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Abstract
提供一种加密通信方法和系统,经由对话管理服务器能够向连接目的地转发通过应用固有的识别信息指定连接目的地的对话控制消息。为此,在客户机的应用程序或者加密通信软件以通过应用固有的识别信息指定连接目的地服务器的形式来发行连接请求时,在客户机或者对话管理服务器中,把上述识别信息自动变换为可识别域的所希望的资源识别符,判定接收消息的转发目的地域。
Description
技术领域
本发明涉及数据通信方法以及系统,具体地,提供如下数据通信方法以及系统:使用对话管理服务器能够在客户机和服务器之间进行加密数据通信。
背景技术
在网络中的加密通信方法中,客户机和服务器彼此为了防止与对象装置无意的通信,对于对象装置执行认证过程,在对象装置的认证成功时,交换通信中使用的加密参数。在IETF(Internet Engineering Task Force)的RFC2401中记述的IPsec(Internet Protocol Security)、在RFC2246中记述的TLS(Transport Layer Security)之中,将公钥(public key)证书应用于通信对象的认证中。
在使用公钥证书的认证中,需要以某种方法验证通信对象出示的公钥证书是由可信赖的认证机构发行。作为公钥证书的一种验证方法,例如有如下方法:预先以某种方法得到用于证明通信方出示的公钥证书的发出源认证机构的具有可信性的认证机构root证书,在通信对象的认证过程中,通过认证机构的root证书的公钥来验证赋予对象装置出示的公钥证书的认证机构签名。根据该认证方法,服务器和客户机对应于成为通信对象的全部通信装置的公钥证书,需要预先准备各公钥证书的发行源认证机构的root证书。
如图1所示,设想如下一种系统:其中多个客户机(终端装置)CL1、CL2、CL3分别具有发行源(CA1、CA2、CA3)不同的私钥(private key)SK1、SK2、SK3和公钥证书PK1、PK2、PK3;服务器SV1、SV2、SV3也分别具有发行源(CA1、CA2、CA3)不同的私钥SK11、SK12、SK13和公钥证书PK11、PK12、PK13。这里,为了各客户机能够随时与多个服务器SV1、SV2、SV3通信,如图所示,与成为通信对象的全部客户机装置CL1、CL2、CL3具有的公钥证书(PK1、PK2、PK3)的发行源认证机构(CA1、CA2、CA3)对应,在各服务器中需要预先持有多个root证书RT1、RT2、RT3。同样地,在各客户机中,与成为通信对象的服务器SV1、SV2、SV3具有的公钥证书(PK11、PK12、PK13)的发行源认证机构(CA1、CA2、CA3)对应,也需要预先持有多个root证书RT1、RT2、RT3。另外,在该系统结构中,各客户机装置和服务器,在通信对象改变时,每一次都需要重复认证处理。
图2表示为了进行基于在上述RFC2401中记述的IPsec的加密通信,客户机具有的软件的基本模块(block)。
这里,20表示网络接口卡(NIC)部、30表示TCP/IP层、40表示应用层的软件部、50表示RFC2409中记述的密钥管理(IKE:Internet Key Exchange)处理用的软件部。作为TCP/IP层的软件的其中一部分,装载有加密引擎31,其具有:存储判定在发送分组中是否使用加密的信息(SP信息)的SPDB(Security Policy Data Base)32;以及存储加密通信中使用的加密方式或加密密钥等信息(SA信息)的SADB(Security Association Data Base)33。
成为上述客户机的通信对象的服务器也具有与图2相同的软件,在客户机和服务器的应用层之间、密钥管理处理之间相互进行通信。
加密引擎31,当检测到应用层40的程序发行的IP分组的发送请求时,以SPDB32来验证该IP分组的头(head)信息,判定是否应该在该IP分组中使用IPsec。判断为在IP分组中使用了IPsec的加密引擎31,从SADB33取得应在IP分组中使用的SA(Security Association)信息。这里,如果是SADB33中未登记与上述IP分组对应的SA信息的情况下,加密引擎31对于IKE(密钥管理)处理50,请求包含与通信对象(连接目的地服务器)之间的加密密钥的SA信息的交换。
IKE处理50,根据在RFC2408中记载的ISAKMP(Internet SecurityAssociation and Key Management Protocol),与通信对象交换SA信息。ISAKMP中,在与通信对象之间形成加密通信路径后,执行用于确认是否是对象装置允许通信的真正的装置的认证过程。IKE处理50,根据上述认证过程,当确认为对象装置允许加密通信的真正的装置时,通过由ISAKMP设定的通信路径,开始和对象装置交换SA信息。IKE处理50,当与通信对象的SA信息的交换结束时,向加密引擎31通知SA信息和与此对应的SP(SecurityPolicy)信息。
加密引擎31,在将从IKE处理50通知的SP信息和SA信息分别存储在SPDB32、SADB33后,根据上述SA信息对IP分组进行加密,向通信对象发送。在作为通信对象的服务器侧,当接收上述加密过的IP分组时,根据由IKE处理同意的SA信息对接收IP分组进行解密,向服务器侧应用层通知IP分组的接收。
另一方面,在RFC3261中,记载有如下方法:通过TLS(Transport LayerSecurity),进行客户机(用户代理客户机(user agent client))与作为对话管理服务器的SIP(Session Initiation Protocol)代理服务器(proxy)之间、以及SIP代理服务器与服务器(用户代理·服务器(user agent·server))之间的相互认证,客户机和SIP代理服务器、SIP代理服务器和服务器进行加密通信。根据RFC3261的SIP模型,客户机和服务器分别通过SIP代理服务器已确认为真正的通信对象,而且在客户机和服务器之间收发加密后的SIP信息,因此客户机、服务器、SIP代理服务器以外的其他装置难以截取上述客户机和服务器之间的通信内容。
SIP是基于文本的协议,SIP消息由头部、表示消息内容的消息体(messagebody)部构成。关于SIP记述在RFC3263中。另外,在RFC2327中,公开了在对话记述中使用的SDP(Session Description Protocol)、以及在客户机和服务器之间交换的密码参数的记述方法。SIP模型的客户机和服务器,分别通过与SIP代理服务器之间形成的加密通信路径,在通过SIP消息与对话记述交换加密消息后,使用上述加密参数,能够对加密分组进行通信。
图3表示使用上述的SIP代理服务器的认证系统一例。这里,PR表示与多个客户机CL1、CL2、CL3、和多个服务器SV1、SV2、SV3连接的SIP代理服务器。SIP代理服务器PR,使用认证机构CA4发行的私钥SK30和公钥证书PK30,为了认证服务器SV1、SV2、SV3,预先持有与这些服务器使用的公钥证书的发行源认证机构(CA1,CA2,CA3)对应的多个root证书RT1、RT2、RT3。
在使用SIP代理服务器的认证系统中,各服务器和客户机如图3所示,作为用于认证通信对象的root证书,仅持有与SIP代理服务器PR使用的公钥证书PK30的发行源认证机构对应的多个root证书RT4即可。另外,各客户机,在通过SIP代理服务器与一个服务器进行通信后,当把连接目的地变更为其他的服务器时,由于能够使用与SIP代理服务器之间已经构建好的加密通信路径进行通信,所以与新的通信对象之间仅交换加密参数,就可以开始加密通信。即在使用SIP代理服务器的认证系统中具有如下优点:对于各客户机在变更连接目的地时不需要重新进行认证处理。
然而,在SIP框架(framework)中,对话管理服务器(SIP代理服务器),通过具有称为AOR(Address-of-Record)的“用户名@域(domain)名”形式的识别符(SIP-URI),决定SIP消息的转发目的地。因此,以经由上述SIP代理服务器的对话管理服务器的对话设定为前提的网络系统中,在客户机上执行的应用程序(application),作为用于指定连接目的地服务器的识别符,需要使用可以确定服务器的所属域的SIP-URI(Uniform Resource Identifier)。
更详细说,在SIP框架中,在客户机侧,作为在开始行(start line)中包含的Request-URI,生成记述指定连接目的地服务器的AOR形式的SIR-URI的连接请求SIP消息,将在有效载荷(payload)中含有该SIP消息的IP分组发送到位于客户机所属域中的SIP代理服务器。接收上述IP分组的SIP代理服务器,通过根据作为Request-URI记述的AOR所表示的域名,例如进行DNS(Domain Name System)的NAPTR Record检索和SRV Record检索,来确定位于接收消息的转发目的地服务器所属的其他的域中的SIP代理服务器(转发目的地SIP代理服务器)的IP地址或者FQDN(Full Qualified DomainName)。当SRV Record检索的结果表示FQDN时,通过执行DNS的A Record检索,能够取得转发目的地SIP代理服务器的IP地址。此外,关于从域名取得转发目的地SIP代理服务器的IP地址的过程,记述在RFC3263中。
这里,当连接目的地服务器的所属域和接收到SIP消息的SIP代理服务器的所属域相同时,SIP代理服务器将在接收消息的Request-URI中记述的SIP-URI作为检索关键字(key),从位置服务DB(Location Service Database)取得连接目的地服务器的IP地址(或者FQDN),将该IP地址作为IP分组的送达目的地地址,向连接目的地服务器转发SIP消息。当连接目的地服务器的所属域与SIP代理服务器(或者发送源客户机)的所属域不同时,向位于连接目的地服务器的所属域中的其他的SIP代理服务器转发SIP消息,转发目的地的SIP代理服务器,从位置服务DB取得连接目的地服务器的IP地址或者FQDN,将SIP消息转发到连接目的地服务器。
如上述,以经由对话管理服务器(SIP代理服务器)的对话设定为前提的网络中,对话管理服务器根据接收到的SIP消息中包含的请求资源(resource)识别符(SIP-URI)来判定连接目的地服务器所属的域,向连接目的地服务器或者连接目的地对话管理服务器转发接收消息。然而,在IP网上连接的客户机终端上执行的一般的应用程序,在连接目的地服务器的指定当中,不是使用如同上述的AOR形式的SIP-URI那样在SIP框架中的识别符,而是使用如IP地址那样仅表示连接目的地服务器的识别符,或者使用URL等那样虽包含域名但不同于SIP-URI框架的识别符。
当应用程序或者加密通信软件通过IP地址或者URL指定连接目的地服务器并发行与服务器的连接请求、客户机以通过IP地址或者URL指定连接目的地服务器的形式发送连接请求SIP消息时,对话管理服务器(SIP代理服务器)不能确定接收到的连接请求消息的转发目的地域。此时,存在如下问题:客户机不能享有图3所示的认证系统的优点。
发明内容
本发明的目的在于提供一种数据通信方法和系统,其能够经由对话管理服务器向连接目的地服务器转发通过像IP地址或者URL那样的、与对话管理服务器采用的不同的、对应应用规格的识别符(下面称连接目的地识别符)而指定连接目的地装置的对话控制消息。
本发明的另一目的在于提供一种数据通信方法和系统,其能够经由对话管理服务器向该连接目的地服务器转发来自通过连接目的地识别符指定连接目的地服务器的客户机的连接请求。
本发明的另一目的在于提供一种数据通信方法和系统,其能够进行客户机和服务器之间的加密数据通信,而且容易地进行在进行加密数据通信之前需要的客户机与服务器之间的认证过程。
为实现上述目的,本发明的特征在于,在客户机的应用程序或者加密通信软件通过连接目的地识别符指定连接目的地服务器的形式发行连接请求时,在客户机、对话管理服务器、识别信息管理服务器中,将上述连接目的地识别符自动地变换为对话管理服务器可识别域的所希望的资源识别符。
本发明的客户机和服务器之间的数据通信方法的特征在于,包括从客户机向对话管理服务器或者识别信息管理服务器,指定连接目的地的连接目的地识别符,询问包含分配给该连接目的地服务器的所属域名的资源识别符的第一步骤;上述对话管理服务器或者识别信息管理服务器,从管理连接目的地识别符和资源识别符的对应关系的位置表中取得与上述连接目的地服务器的连接目的地识别符对应的资源识别符,通知上述客户机的第二步骤;从上述客户机向上述对话管理服务器发送用上述连接目的地服务器的资源识别符指定请求资源的连接请求消息的第三步骤;上述对话管理服务器,根据接收到的连接请求消息中记述的上述资源识别符中含有的域名来判定接收消息的转发目的地,向连接目的地服务器或者管理该连接目的地服务器的所属域的其他对话管理服务器转发接收消息的第四步骤。
更详细说,本发明的数据通信方法,包括响应连接请求消息的接收,通过对话管理服务器从连接目的地服务器向请求源客户机返回包含加密通信所需要的参数信息的连接应答消息的第五步骤,和在上述客户机和连接目的地服务器之间遵照通过上述连接应答消息指定的参数信息通信含有被加密的消息的分组的第六步骤。
上述对话管理服务器例如由SIP(Session Initiation Protocol)服务器组成。在这种情况下,客户机与对话管理服务器之间的通信消息,例如通过在RFC3261中规定的TLS(Transport Layer Security)来进行加密,客户机和连接目的地服务器之间的通信数据例如通过在RFC2401中规定的IPsec(InternetProtocol Security)来进行加密。
根据本发明提供的对话管理服务器,特征在于,具有:用于在从客户机接收到通过连接目的地服务器的连接目的地识别符指定请求资源的连接请求消息时,从管理连接目的地识别符和资源识别符的对应关系的位置表中取得与上述连接目的地服务器的连接目的地识别符对应的资源识别符,将接收消息中记述的请求资源从连接目的地识别符改写为上述资源识别符的单元;和用于根据在上述资源识别符中含有的域名判定接收消息的转发目的地,把接收消息向连接目的地服务器或者管理该连接目的地服务器的所属域的其他对话管理服务器进行转发的单元。
上述对话管理服务器,具体地,具有:与通信网络连接的网络接口部;处理对话控制消息的消息处理部;对从上述网络接口部接收到的加密消息进行解密、交付给上述消息处理部,并且对从上述消息处理部输出的对话控制消息进行加密、向上述网络接口部输出的安全部,上述消息处理部具有:上述的请求资源的改写单元和接收消息的转发单元。
根据本发明提供的客户机终端,特征在于,由下述部件组成:与通信网络连接的网络接口部;处理对话控制消息的消息处理部;对应用程序产生的发往连接目的地服务器的发送消息进行加密、输出到上述网络接口部,并且对从上述网络接口部接收到的被加密消息进行解密、交付给上述应用程序的第一安全部;在从上述安全部产生与连接目的地服务器的加密参数的交换请求时、向上述消息处理部输出用连接目的地识别符指定连接目的地服务器的连接请求消息,在从上述消息处理部接收到连接应答消息时、向上述第一安全部交付从该接收消息中提取到的加密参数的安全信息控制部,
上述消息处理部,在从上述安全信息控制部接收到连接请求消息时,根据上述连接目的地识别符,从上述对话管理服务器或者连接目的地服务器取得连接目的地服务器的资源识别符,以通过该资源识别符指定请求资源的形式,向上述对话管理服务器发送上述连接请求消息。
在实际的应用中,本发明的客户机终端具有用于对从上述网络接口部接收到的被加密的对话控制消息进行解密、交付给上述消息处理部,并且对从上述消息处理部输出的对话控制消息进行加密、输出到上述网络接口部的第二安全部,
通过上述第一安全部对与连接目的地服务器的通信数据进行加密,通过上述第二安全部对与对话管理服务器的通信消息进行加密。
根据本发明,即使在从客户机的应用程序或者加密通信软件以通过连接目的地识别符指定请求资源(连接目的地服务器)的形式发行连接请求的情况下,也能自动地把连接请求消息的请求资源从连接目的地识别符变换为可识别域的资源识别符。因此,在控制连接请求消息的转发的对话管理服务器中,能够从接收消息的资源识别符判定转发目的地域,向连接目的地服务器或者位于连接目的地服务器的所属域中的其他对话管理服务器转发接收消息。
根据本发明,即使是执行一般的应用程序的客户机,通过使用对话管理服务器的认证功能,也能够与连接目的地服务器之间容易地实现加密通信。
附图说明
图1是用于说明公钥通信中现有技术的认证系统的图。
图2是为进行通过IPsec的加密通信的现有技术的客户机具有的软件的基本模块结构的示意图。
图3是用于使用涉及本发明的SIP代理服务器的认证系统的图。
图4是表示包含本发明的对话管理服务器(SIP服务器)的网络结构的一例的图。
图5是表示图4所示的位置服务器LSV具有的位置服务表的一例的图。
图6是表示图4所示的SIP代理服务器Pra的硬件结构的框图。
图7是表示图4所示的客户机CL1a的基本软件结构的示意图。
图8是表示图4所示的服务器SV1b的基本软件结构的示意图。
图9是表示图4所示的SIP代理服务器Pra的基本软件结构的示意图。
图10是表示图4所示的寄存器RGa的基本软件结构的示意图。
图11是用于说明根据本发明的加密通信的第一实施例的序列图的一部分。
图12是用于说明根据本发明的加密通信的第一实施例的序列图的剩余部分。
图13是表示图11中的位置登记请求消息M1格式的一例的图。
图14是表示图11中的位置登记应答消息M2格式的一例的图。
图15是表示图11中的位置AOR取得请求消息M3格式的一例的图。
图16是表示图11中的位置AOR取得应答消息M4格式的一例的图。
图17是表示图11中的连接请求消息M5格式的一例的图。
图18是表示连接请求消息M5的消息体部5-2格式的一例的图。
图19是表示图11中的连接中消息M6格式的一例的图。
图20是表示图11中的连接请求消息M7格式的一例的图。
图21是表示图12中的连接中消息M8格式的一例的图。
图22是表示图12中的连接请求消息M9格式的一例的图。
图23是表示图12中的连接应答消息M10格式的一例的图。
图24是表示连接应答消息M10的消息体部10-2格式的一例的图。
图25是表示图12中的连接应答消息M11格式的一例的图。
图26是表示图12中的连接应答消息M12格式的一例的图。
图27是表示图12中的连接确认消息M13格式的一例的图。
图28是表示图12中的连接确认消息M14格式的一例的图。
图29是表示图12中的连接确认消息M15格式的一例的图。
图30是表示图12中的切断请求消息M20格式的一例的图。
图31是表示图12中的切断中消息M21格式的一例的图。
图32是表示图12中的切断请求消息M22格式的一例的图。
图33是表示图12中的切断中消息M23格式的一例的图。
图34是表示图12中的切断请求消息M24格式的一例的图。
图35是表示图12中的切断应答消息M25格式的一例的图。
图36是表示图12中的切断应答消息M26格式的一例的图。
图37是表示图12中的切断应答消息M27格式的一例的图。
图38是表示在接收到密钥交换请求时客户机CL1a的加密通信控制部51C执行的控制动作的流程图。
图39A是表示在接收到连接请求消息的消息体部时客户机CL1a的SIP消息处理部53C执行的控制动作的流程图的一部分。
图39B是表示在接收到连接请求消息的消息体部时客户机CL1a的SIP消息处理部53C执行的控制动作的流程图的剩余部分。
图40是表示在接收到AOR取得请求消息时寄存器RGa的SIP消息处理部53R执行的控制动作的流程图。
图41A是表示在接收到连接请求消息时SIP代理服务器PRa的SIP消息处理部53P执行的控制动作的流程图的第一部分。
图41B是表示在接收到连接请求消息时SIP代理服务器PRa的SIP消息处理部53P执行的控制动作的流程图的第二部分。
图41C是表示在接收到连接请求消息时SIP代理服务器PRa的SIP消息处理部53P执行的控制动作的流程图的第三部分。
图41D是表示在接收到连接请求消息时SIP代理服务器PRa的SIP消息处理部53P执行的控制动作的流程图的第四部分。
图42是表示在接收到连接请求消息时服务器SV1b的SIP消息处理部53S执行的控制动作的流程图。
图43是表示在接收到连接请求消息的消息体部时服务器SV1b的加密通信控制部51S执行的控制动作的流程图。
图44是表示在接收到消除密钥请求时客户机CL1a的加密通信控制部51C执行的控制动作的流程图。
图45是表示在接收到切断请求消息的发行请求时客户机CL1a的SIP消息处理部53C执行的控制动作的流程图。
图46A是表示在接收到切断请求消息时SIP代理服务器PRa的SIP消息处理部53P执行的控制动作的流程图的一部分。
图46B是表示在接收到切断请求消息时SIP代理服务器PRa的SIP消息处理部53P执行的控制动作的流程图的剩余部分。
图47是表示在接收到切断请求消息时服务器SV1b的SIP消息处理部53S执行的控制动作的流程图。
图48是表示在接收到切断请求的发生通知时服务器SV1b的加密通信控制部51S执行的控制动作的流程图。
图49是表示根据本发明的加密通信的第二实施例的网络结构的一例的图。
图50是用于说明根据本发明的加密通信的第二实施例的序列图的一部分。
图51是表示图50中的识别信息登记请求消息M101的格式的一例的图。
图52是表示图50中的识别信息登记应答消息M103的格式的一例的图。
图53是表示图50中的AOR取得请求消息M105的格式的一例的图。
图54是表示图50中的AOR取得应答消息M107的格式的一例的图。
具体实施方式
下面参照附图说明本发明的实施例。
图4表示应用本发明的网络结构的一例。
这里所示的网络,由形成SIP服务器SIPa管理的第一域的第一网络NW1、形成SIP服务器SIPb管理的第二域的第二网络NW2、位置服务器LSV、和DNS(Domain Name System)构成。
在第一网络NW1上,连接客户机CL1a、CL2a、和服务器SV1a、SV2a,在第二网络NW2上,连接客户机CL1b、CL2b、和服务器SV1b、SV2b。另外,SIP服务器SIPa由SIP代理服务器PRa和寄存器PGa构成,SIP服务器SIPb由SIP代理服务器PRb和寄存器PGb构成。
这里,附在各客户机以及服务器后、在括号内表示的字符串,表示作为SIP消息的转发目的地识别符(资源识别符)的AOR(Addess-of-Record)形式的SIP-URI的值。将包含SIP服务器SIPa的域识别符“aaa.com”的AOR分配给在第一网络NW1上连接的客户机和服务器,将包含SIP服务器SIPb的域识别符“bbb.com”的AOR分配给在第二网络NW2上连接的客户机和服务器。
本发明的SIP服务器SIPa、SIPb,在从各自管辖下的客户机接收到通过URL指定连接目的地服务器的SIP消息时,向位置服务器LSV请求与上述连接目的地URL对应的AOR(资源识别符)的检索(位置数据检索)。另外,SIP服务器SIPa、SIPb,在分别从其他的SIP服务器接收到以AOR指定连接目的地服务器的SIP消息时,向位置服务器LSV请求与上述连接目的地AOR对应的IP地址的检索。
位置服务器LSV,在位置服务·数据库(DB)中存储位置服务表60,如图5所示,该表由与SIP服务器SIPa、SIPb管辖下的客户机和服务器对应的多个条目(entry)EN-1、EN-2、…构成,各条目表示客户机或服务器的AOR61与IP地址62的对应关系。另外,位置服务器LSV还具有表示识别信息63与AOR61之间对应关系的识别信息管理表64,该表由与SIP服务器SIPa、SIPb管辖下的客户机和服务器对应的多个条目REN-1、REN-2、…构成,识别信息63是各条目中为了客户机和服务器的应用程序或者加密通信软件识别通信对象装置而使用的信息。位置服务器LSV,在从SIP服务器接收到作为检索关键字指定AOR的位置数据检索请求时,从上述位置服务表60中检索与该AOR对应的IP地址,并将检索结果返回请求源SIP服务器。同样地,位置服务器LSV,在从SIP服务器接收到作为检索关键字指定URL等识别信息63的位置数据检索请求时,从上述识别信息管理表64中检索与该识别信息63对应的AOR,并将检索结果返回请求源SIP服务器。此外,本实施例中,在识别信息63中可以使用URL或URI或IP地址等。识别信息63不限于所述URL等,可以是给各自的装置独自分配的可互相识别的信息。此外,在使用IP地址时,为了便于区分URL或URI,希望在IP地址的开头附以“ipv4:”或“ipv6:”等前缀。
图6表示SIP代理服务器PRa的硬件结构。SIP代理服务器PRa,例如是由处理器(CPU)11、用于存储处理器执行的各种软件和数据的存储器12以及硬盘13、用于与网络NW1(NW2)连接的网络接口14、和输入输出装置15构成,这些单元通过内部总线16相互连接。SIP代理服务器PRb、寄存器RGa、RGb、客户机CL1a~CL2b、服务器SV1a~SV2b基本上也由与图6所示的SIP代理服务器PRa相同的构成单元构成。
下面以图4所示属于第一域的客户机CL1a与属于第二域的服务器SV1b进行加密数据通信时的通信过程为例,说明本发明的第一实施例。
图7表示客户机CL1a的基本的软件结构的一例。其他的客户机CL1b~CL2b也可以具有与其相同的软件结构。客户机CL1a的软件,由网络接口卡部(NIC)20C、包含具有加密/解密功能的加密引擎31C的加密通信功能部30C、应用程序(application)40C、和密钥管理处理部50C构成。在第一实施例中,特征为密钥管理处理部50C具有加密通信控制部51C、TLS(Transport Layer Security)部52C、和SIP消息处理部53C。
图8表示服务器SV1b的基本的软件结构的一例。其他的服务器SV1a、SV2a、SV2b也可以具有与其相同的软件结构。服务器SV1b的软件,由网络接口卡部(NIC)20S、包含具有IPsec加密/解密功能的加密引擎31S的加密通信功能部30S、应用程序40S、和密钥管理处理部50S构成,密钥管理处理部50S具有加密通信控制部51S、TLS部52S、和SIP消息处理部53S。
在本实施例中,客户机CL1a的应用程序40C和服务器SV1b的应用程序40S,利用分别具有的加密引擎31C、31S的IPsec加密/解密功能,进行IPsec加密的数据的通信。另一方面,客户机CL1a的SIP消息处理部53C,在和后述的SIP服务器SIPa(SIP代理服务器PRa、寄存器RGa)的SIP消息处理部之间,利用分别具有的TLS部的消息加密/解密功能,进行加密的SIP消息的通信。同样,服务器SV1b的SIP消息处理部53S,在与SIP服务器SIPa(SIP代理服务器PRa、寄存器RGa)的SIP消息处理部之间,利用分别具有的TLS部的消息加密/解密功能,进行加密的SIP消息的通信。
图9表示SIP代理服务器PRa的基本的软件结构的一例。SIP代理服务器PRb也可以具有与其相同的软件结构。SIP代理服务器PRa的软件,由网络接口卡部(NIC)20P、加密通信功能部30P、和密钥管理处理部50P构成。密钥管理处理部50P具有TLS部52P和SIP消息处理部53P。SIP消息处理部53P具有后述的SIP-URI(AOR)检索功能54。SIP代理服务器PRa的SIP消息处理部53P,利用TLS部52P的消息加密/解密功能,与属于其管理下的域的客户机、服务器、以及与管理其他域的其他SIP代理服务器例如PRb进行加密消息的通信。
图10表示寄存器RGa的基本的软件结构的一例。寄存器RGb也可以具有与其相同的软件结构。寄存器RGa的软件,由网络接口卡部(NIC)20R、加密通信功能部30R、具有消息的加密/解密功能的TLS部52R、SIP消息处理部53R、和寄存器处理部60R构成。SIP消息处理部53R,当接收到客户机发行的AOR取得请求、或者SIP代理服务器PRa发行的AOR取得请求时,向寄存器处理部60R请求位置数据的检索。寄存器处理部60R对来自SIP消息处理部53R的请求作出应答,访问位置服务器LSV具有的位置服务DB。此外,在寄存器RGa与SIP代理服务器PRa之间的通信可以不使用加密。
图11和图12是表示根据本发明的加密通信的第一实施例的序列图。在第一实施例中,客户机CL1a发行AOR取得请求。在本实施例中,在作为来自客户机CL1a连接请求目的地的第二网络上连接的服务器SV1b,在从客户机CL1a发出连接请求之前,与SIP服务器SIPb的寄存器RGb间,执行服务器SV1b的认证和加密通信用的参数设定的TLS谈判(ネゴシェ一ション)(S1)以后,向寄存器RGb发送位置登记请求消息(SIP消息:REGISTER)M1。
如图13所示,通过附以IP头H1、和UDP/TCP头H2的IP分组形式发送位置登记请求消息M1。IP头H1,作为送达目的地包含寄存器RGb(SIP服务器SIPb)的IP地址、作为发送源地址包含服务器SV1b的IP地址。
SIP消息,由表示SIP消息的种类(Request-Method)的开始行、记述请求或者应答内容的头部、根据需要记述对话内容的消息体部组成。根据消息的种类,在上述开始行中记述表示该消息的送达目的地的资源识别符(Request-URI)。另外,在消息体部中的对话内容的记述中,可以应用通过RFC3266规格化的SDP(Session Description Protocol)。
在服务器SV2b发行的位置登记请求消息M1的情况下,在开始行中,作为SIP消息的种类包含“REGISTER”、作为表示消息送达目的地的资源识别符包含作为寄存器RGb的SIP-URI的“registrar.bbb.com”。另外,在连接开始行的头部中,包含表示SIP消息的路径的Via头、表示消息的送达目的地的To头、表示消息的发送源的From头、表示以发送源指定的对话识别符的Call-ID头、表示请求消息的CSec头、包含应该登记在位置服务表中的服务器SV1b的IP地址“sv1@192.0.2.4”的Contact头、表示消息的有效时间的Expires头、表示后续的消息体部的长度的Content-Length头、以及其他的头信息。在本实施例中的位置登记请求消息M1的情况下,在消息体部中包含服务器SV1b的识别信息63的列表。在Content-Length头中设定数值“76”作为消息体部的长度,在To头和From头中,设定请求源服务器SV1b的SIP-URI的值“sv1@bbb.com”。
寄存器RGb,当接收上述位置登记请求消息M1时,在位置服务DB的位置服务表60中,登记表示接收消息的From头表示的请求源SIP-URI“sv1@bbb.com”与Contact头表示的请求源IP地址“sv1@192.0.2.4”间关系的位置数据,并且在识别信息管理表64中,登记表示在接收消息的消息体部中包含与各个识别信息63和接收消息的From头表示的请求源SIP-URI“sv1@bbb.com”间关系的识别信息数据(S2),当结束数据登记时(S3),向请求源服务器SV2b发送图14所示的位置登记应答消息M2。位置登记应答消息M2的开始行,作为SIP消息的种类,包含表示应答消息的“200OK”,在头部中,设定与位置登记请求消息M1大体相同内容的头信息。
对在该状态下,客户机CL1a的用户,当起动应用程序时,向服务器SV1b的URL“http://www.bbb.com”地址请求通信的操作的情况进行说明。在本发明的第一实施例中,客户机CL1a,与SIP服务器SIPa(寄存器RGa)之间,在执行用于客户机的认证和加密通信用的参数设定的TLS谈判(S4)后,向SIP服务器SIPa(寄存器RGa)发送AOR(Address-of-Record)取得请求消息(SIP消息:GETAOR)M3。
上述AOR取得请求消息M3,如图15所示,在开始行中包含表示SIP消息种类的“GETAOR”、和作为寄存器RGa的SIP-URI的“registrar.aaa.com”,Via头表示作为客户机CL1a的加密通信控制部51C的识别符的URI的值。另外,在To头中设定作为客户机CL1a的连接对象的服务器SV1b的URL“http://www.bbb.com”,在From头中设定客户机CL1a的URL“cl1@aaa.com”。
寄存器RGa,当接收AOR取得请求消息M3时,从位置服务DB的识别信息管理表64中,检索与接收消息的To头所表示的URL“http://www.bbb.com”对应的AOR(服务器SV1b的URL)的值(S5),当完成位置数据AOR的检索时(S6),向请求源客户机CL1a发送AOR取得应答消息M4。
如图16所示,AOR取得应答消息M4在开始行中含有表示消息种类是应答消息的“200OK”,其头部中记述有:与AOR取得请求消息M3大体相同的内容的头信息、和表示从识别信息管理表64中检索到的服务器SV1b的SIP-URI的值“sv1@bbb.com”的AOR头。
通过AOR取得应答消息M4的接收来取得连接目的地服务器SV1b的SIP-URI的客户机CL1a,在与SIP服务器SIPa的SIP代理服务器PRa之间,执行用于客户机的认证和加密通信用的参数设定的TLS谈判(S7)后,对于SIP代理服务器PRa发送向服务器SV1b的连接请求消息M5。
如图17所示,连接请求消息M5由连接请求消息的头部M5-1和体部M5-2构成,连接请求消息的头部M5-1在开始行中包含:消息种类“INVITE”、和作为Request-URI的成为消息送达目的地的服务器SV1b的SIP-URI“sv1@bbb.com”。另外,作为头信息,包含表示客户机CL1a中的SIP消息处理部53C的SIP-URI的Via头、包含服务器SV1b的SIP-URI“sv1@bbb.com”的To头、包含客户机CL1a的SIP-UPI“cll@aaa.com”的From头、Content-Type头、Content-Length头、以及其他信息。Content-Type头表示消息与体部M5-2相关的应用程序、Content-Length头表示消息体部M5-2的长度。
如图18所示,连接请求消息M5的体部5-2,作为应用于客户机CL1a与服务器SV1b之间的加密通信中的SA信息,与IKE中通常的IPsec用SA设定时相同,含有表示加密协议的识别信息的建议有效载荷(proposalpayload)91、表示变换识别信息的变换有效载荷92、密钥交换有效载荷93、表示请求源的识别信息的第一ID有效载荷94、和表示连接目的地的识别信息的第二ID有效载荷95。
这里,在两个变换有效载荷92-1、92-2中,客户机CL1a作为变换ID提出“ESP AES”、“ESP 3DES”,连接目的地服务器SV1b选择其中一个,通过连接应答消息通知客户机。此外,第一ID有效载荷94的ID数据表示请求源客户机CL1a的IP地址,第二ID有效载荷95的ID数据表示连接目的地服务器SV1b的IP地址。此外,本实施例中的客户机CL1a,作为连接目的地服务器SV1b的IP地址,从DNS取得与服务器SV1b的URL“http://www.bbb.com”对应的IP地址。
SIP代理服务器PRa,当接收上述连接请求消息M5时,为了向请求源客户机CL1a通知正在与服务器SV1b连接中,在发送图19所示的连接中消息M6后,在与连接目的地服务器SV1b所属的域的SIP代理服务器PRb之间,执行用于相互认证和加密通信的参数设定的TLS谈判(S8)。连接中消息M6,开始行中作为消息种类包含表示执行请求中的“100Trying”,头部中包含从连接请求消息M5中提取的Via、To、From、Call-ID、CSec等几项的头信息,省略消息体部。
SIP代理服务器PRa,当与SIP代理服务器PRb之间的TLS谈判结束时,向从客户机接收到的连接请求消息M5,追加包含自身的SIP-URI“proxy.aaa.com”的新的Via头、表示连接请求经由URI“proxy.aaa.com”的Record-Route头,作为图20所示的连接请求消息M7向SIP代理服务器PRb进行发送。
如图12所示,SIP代理服务器PRb,当接收到上述连接请求消息M7时,从接收消息的开始行中提取送达目的地URI“sv1@bbb.com”,对于位置服务器LSV,请求与从位置服务DB中的上述转发目标对应的IP地址的检索(位置数据检索)(S9)。SIP代理服务器PRb,当接收到表示位置服务DB的检索结果的位置数据(IP地址“sv1@192.0.2.4”)时(S10),对于上述连接请求消息M7的请求源SIP代理服务器PRa,发送图21所示的连接中消息M8后,与通过IP地址“sv1@192.0.2.4”所确定的连接目的地服务器SV1b之间,执行用于相互认证和加密通信用的参数设定的TLS谈判(S11)。
SIP代理服务器PRb,当与连接目的地服务器SV1b之间的TLS谈判结束时,把连接请求消息M7的Request-URI改写为IP地址“sv1@192.0.2.4”,并追加包含自身的SIP-URI“proxy.bbb.com”的新的Via头、和表示连接请求经由URI“proxy.bbb.com”的Record-Route头,作为图22所示的连接请求消息M9发送到连接目的地服务器SV1b。
连接目的地服务器SV1b,对上述连接请求消息M9进行应答,并返回连接应答消息M10。如图23所示,连接应答消息M10由头部M10-1、体部M10-2构成,在头部M10-1的开始行中,作为消息种类包含表示作为应答消息的“200OK”,开始行接下来含有与连接请求消息M9相同的多项头信息。另外,如图24所示,消息体部M10-2在连接应答消息M10的体部5-2所提出的两个变换有效载荷92-1、92-2中,留下服务器SV1b所选择的一个变换有效载荷(在本例中为EPS AES)。
SIP代理服务器PRb,当接收到连接应答消息M10时,从接收消息的头部中除去包含自身URI的Via头,变换为图25所示的连接应答消息M11,并向SIP代理服务器Pra进行发送。SIP代理服务器PRa,当接收到连接应答消息M11时,从接收消息的头部中除去包含自身URI的Via头,变换为图26所示的连接应答消息M12,并向请求源客户机CL1a进行发送。
请求源客户机CL1a,当接收连接应答消息M12时,对接收消息的体部M10-2进行解析,决定在与连接目的地服务器SV1b的IPsec通信中应该使用的SA信息,将该信息登记在SADB33C后向SIP代理服务器PRa发送图27所示连接确认消息M13。连接确认消息M13在开始行中作为消息种类含有“ACK”、作为Request-URI含有服务器SV1幻的SIP-URI、作为头信息含有Via、To、From、Call-ID、CSec、Route头,省略消息体部。在Route头中,设定从连接应答消息M12的Record-Route头提取的URI的值。
上述连接确认消息M13,通过SIP代理服务器PRa追加新的Via头,除去与SIP代理服务器PRa对应的Route头,作为图28所示的连接确认消息M14转发至SIP代理服务器PRb。SIP代理服务器PRb向连接确认消息M14追加新的Via头,除去与SIP代理服务器PRb对应的Route头,变换为图29所示的连接确认消息M15并转发至连接目的地服务器SV1b。
通过服务器SV1b接收上述连接确认消息M15,客户机CL1a和服务器SV1b能够在使用IPsec加密的应用之间进行数据通信(S20)。即,客户机CL1a,根据在SADB33C中登记的SA信息对向服务器SV1b的发送数据进行加密,并将其以IP分组的形式进行发送。服务器SV1b可以根据在SADB33V中登记的SA信息、对来自客户机CL1a的接收数据进行解密,根据上述SA信息对客户机CL1a的发送数据进行加密,以IP分组的形式进行发送。
客户机CL1a,当结束与服务器SV1b之间的数据通信时,对SIP代理服务器Pra发送图30所示的切断请求消息M20。切断请求消息M20,在开始行中包含消息种类“BYE”和服务器SV1b的SIP-URI,作为头信息,与连接确认消息M13同样地含有Via、To、From、Call-ID、CSec、Route头,省略消息体部。
SIP代理服务器PRa,当接收到上述切断请求消息M20时,在对请求源的客户机CL1a,发送图31所示的切断中消息M21后,向切断请求消息M20追加新的Via头,除去与SIP代理服务器PRa对应的Route头,作为图32所示的切断请求消息M22发送至SIP代理服务器PRb发送。切断中消息M21,在开始行中作为消息种类含有执行请求中的“110Trying”,在头部中含有从切断请求消息M20中所提取的Via、To、From、Call-ID、CSec等多项头信息,省略消息体部。
SIP代理服务器PRb,当接收到上述切断请求消息M22时,在发送图33所示的切断中消息M23后,对于SIP代理服务器PRa,向切断请求消息M22追加新的Via头,除去与SIP代理服务器PRb对应的Route头,作为图34所示的切断请求消息M24发送至服务器SV1b。
服务器SV1b,当接收到切断请求消息M24时,向SIP代理服务器PRb发送图35所示的切断应答消息M25。切断应答消息M25,在开始行中作为消息种类含有表示应答的“200OK”,在头部中含有从切断请求消息M24中所提取的Via、To、From、Call-ID、CSec等多项头信息,省略消息体部。
SIP代理服务器PRb,当接收到切断应答消息M25时,从接收消息的头部中除去包含自身URI的Via头,变换为图36所示的切断应答消息M26,并发送至SIP代理服务器PRa。SIP代理服务器PRa,当接收到切断应答消息M26时,从接收消息的头部中除去包含自身URI的Via头,变换为图37所示的切断应答消息M27,并发送到请求源客户机CL1a。请求源客户机CL1a,当接收到上述切断应答消息M27时,结束IPsec加密/解密,等待由同一或者由其他的应用引起的新的分组发送请求。
下面参照图38~图48对能够进行上述本发明第一实施例的加密数据通信的客户机CL1a、SIP服务器SIPa(SIP代理服务器PRa、寄存器RGa)服务器SV2b的控制动作进行说明。
客户机CL1a的加密引擎31C,当从应用程序40C检测到发送至服务器SV1b的URL的通信请求时,请求密钥管理处理50C判定在与上述URL的通信中是否适用加密处理。这里,在密钥管理处理50C判定为适用加密通信时,加密引擎31C通过DNS取得与上述SIP-URI对应的IP地址。然后,加密引擎31C从SADB(Security Association Data Base)33C中检索与上述IP地址的通信中应使用的加密密钥等SA(Security Association)信息,使用该SA信息对从应用40C发往服务器SV1b的通信数据进行加密,或者对从服务器SV1b发往应用40C的通信数据进行解密。另一方面,在上述SADB33C中未登记在与上述IP地址的通信中应该使用的SA信息的情况下,加密通信控制部51C决定放弃从应用40C发往服务器SV1b的通信数据、或者从服务器SV1b发往应用40C的通信数据。
图38表示在客户机CL1a中,对加密引擎31发行的判定可否应用加密通信的请求作出应答、加密通信控制部51C执行的控制动作的流程图100。
在本实施例中,由加密通信控制部51C对来自加密引擎31的加密通信是否使用判定的请求进行处理。加密通信控制部51,当接收到加密通信是否使用判定请求时,向SIP消息处理部53C请求取得与加密通信适用可否判定请求表示的URL对应的、AOR形式的SIP-URI(步骤101),等待来自SIP消息处理部53C的应答(步骤102)。接着,加密通信控制部51参照SPDB(Security Policy Data Base)32C,判定来自SIP消息处理部53C的应答中包含的、是否使用对于与上述URL对应的SIP-URI的加密通信。这里,在判断为应该使用加密通信时,密钥管理处理50C从SADB(Security Association DataBase)33C中检索应该使用于上述SIP-URI的加密密钥等的SA(SecurityAssociation)信息。这里,在SADB 33C中未登记应该使用该通信的SA信息时,加密通信控制部51C实施与通信对象间的加密参数的交换(密钥交换)。
加密通信控制部51C,根据参照DNS等所取得的上述URL表示的TCP/IP通信参数、和加密通信控制部51C管理的可利用的SA信息,生成图18例示的连接请求消息的体部M5-2(步骤103),将该连接请求消息的体部M5-2和上述SIP-URI转移到SIP消息处理部53C(104),等待接收来自SIP消息处理部53C的连接应答消息体部(105)。
加密通信控制部51C,当从SIP消息处理部53C接收到图24例示的连接应答消息的体部M10-2时,对接收到的连接应答消息体部进行解析,决定在此次加密通信中应该使用的SA信息(设定在SADB 33C(106)时,向加密引擎31C通知加密通信的使用与否判定结果(107))。
图39A表示在请求从加密通信控制部51C取得SIP-URI时,SIP消息处理部53C所执行的控制动作的流程图110。SIP消息处理部53C,当从加密通信控制部51C接收到URL时,生成图15例示的AOR取得请求消息M3(步骤111),该消息通过TLS部52C、TCP/IP部30C、NIC部20C,发送至与客户机CL1a相同域的SIP服务器SIPa(寄存器RGa)(112)。此时,TLS部52C与寄存器RGa之间执行TLS谈判(图11的S5)后,通过TCP/IP部30C、NIC部20C向寄存器RGa发送TLS加密后的AOR取得请求消息M3。上述AOR取得请求消息M3,通过TCP/IP部30C附在包含SIP服务器SV1的送达目的地IP地址的IP头H1和UDP/TCP头H2上,以IP分组的形式发送至网络NW1。
SIP消息处理部53C等待来自寄存器RGa的AOR取得应答消息(113),当接收到AOR取得应答消息时,对接收消息进行解析(114),从AOR头中提取分配给连接目的地服务器的AOR形式的SIP-URI(115)。
图39B表示在接收到来自加密通信控制部51C地连接请求消息的体部时,SIP消息处理部53C执行的控制动作的流程图120。
SIP消息处理部53C,在从加密通信控制部51C接收到连接请求消息的体部和SIP-URI时,在开始行和To头中使用上述SIP-URI,生成由头部M5-1和从加密通信控制部51C接收到的体部M5-2构成的图17例示的连接请求消息M5(121)。
SIP消息处理部53C,通过TLS部52C、TCP/IP部30C、NIC部20C,向SIP服务器SIPa的SIP代理服务器PRa发送上述连接请求消息(122),等待来自SIP代理服务器PRa的应答(123)。当接收到来自SIP代理服务器Pra的连接中消息M6时,在执行连接中消息处理(124)后,等待来自SIP代理服务器PRa的下一次应答。
SIP消息处理部53C,当从SIP代理服务器PRa接收到连接应答消息M12时,对接收消息(125)进行解析,将从接收消息中提取的图24例示的连接应答消息体部M12-2(126)移交给加密通信控制部51C。此后,SIP消息处理部53C,生成图27例示的连接确认消息M13,将其通过TLS部52C、TCP/IP部30C、NIC部20C,发往SIP代理服务器PRa(127),结束该例行程序(routine)。
图40表示在接收AOR取得请求消息M3时,寄存器RGa的SIP消息处理部53R执行的控制动作的流程图200。寄存器RGa的SIP消息处理部53R,对接收到的AOR取得请求消息M3进行解析(步骤201),将To头表示的连接目的地服务器SV1b的URL作为检索关键字,生成位置数据检索询问(202),通过登记处理部60R,向位置服务器LSV发送上述检索询问(203),等待来自位置服务器的应答(204)。
SIP消息处理部53R,当通过登记处理部60R从位置服务器LSV接收到位置数据时,生成图16中所示的AOR取得应答消息M4(205),通过TCP/IP部30R、NIC部20R,向AOR取得请求消息M3的发送源(在本例中是客户机CL1a)发送该消息M4(206),结束该例行程序,该AOR取得应答消息M4含有将接收数据表示的SIP-URI作为AOR头。
图41(图41A~图41D)表示在从客户机CL1a接收到连接请求消息M5时,SIP代理服务器PRa的SIP消息处理部53P执行的控制动作的流程图300。SIP代理服务器PRa的SIP消息处理部53P,当接收到来自客户机CL1a的连接请求消息M5时,对接收消息进行解析(步骤301),检查在接收消息的开始行中记述的Request-URI(302),从上述Request-URI表示的域名中判定接收消息的转发目的地(303)。
在判定为接收消息的转发目的地属于其他域时,SIP消息处理部53P,通过DNS检索(NAPTR检索+SRV检索+A检索)等,决定接收消息的转发目的地域的SIP服务器(SIP代理服务器)(304)。在图11所示的例子中,通过DNS检索来判定连接请求消息M5的转发目的地是SIP代理服务器PRb。此时,SIP消息处理部53P,通过TLS部52P、TCP/IP部30P、NIC部20P,在向作为连接请求消息M5的发送源的客户机CL1a发送图19例示的连接中消息M6(305)后,向SIP代理服务器PRb转发在连接请求消息M5上附以新的Via头形式的连接请求消息M7(306),等待来自SIP代理服务器PRb的应答(307)。
SIP消息处理部53P,当从SIP代理服务器PRb接收到连接中消息M8时,在执行连接中消息处理(308)后,等待来自SIP代理服务器PRb的下一次应答。SIP消息处理部53P,当从SIP代理服务器PRb接收到连接应答消息M11时,对接收消息进行解析(309),从接收消息中除去包含自身SIP-URI的Via头,作为连接应答消息M12转发到连接请求源(客户机CL1a)(310)。此后,SIP消息处理部53P等待来自连接请求源(客户机CL1a)的应答(311)。SIP消息处理部53P,当接收到连接确认消息M13时,对接收消息进行解析(312),在接收消息上附以包含自身的SIP-URI的新的Via头,作为连接确认消息M13转发到SIP代理服务器PRb(313),结束该例行程序。
在判定步骤303中,在判定从客户机终端CL1a接收到的连接请求消息的转发目的地例如服务器SV1a(或者SV2a)、与SIP代理服务器Pra处于相同的域时,SIP消息处理部53P生成将接收消息的Request-URI表示的SIP-URI作为检索关键字的位置数据(IP地址)检索询问(315),向位置服务器LSV发送该位置数据检索询问(316),等待位置服务应答。
SIP消息处理部53P,当接收到来自服务器LSV的位置数据时,对送达目的地IP地址使用上述位置数据表示的连接目的地服务器的IP地址,以IP分组形式向网络NW1发送连接请求消息(318),等待来自连接目的地服务器的应答(319)。在上述连接请求消息中,附以包含SIP代理服务器PRa的SIP-URI的新的Via头。
当从连接目的地服务器接收到连接请求消息时,SIP消息处理部53P,对接收消息进行解析(320),向连接请求源转发除去与自身对应的Via头形式后的连接应答消息(321),等待来自连接请求源(客户机CL1a)的应答(322)。SIP消息处理部53P,当从连接请求源接收到连接确认消息时,对接收消息进行解析(323),向连接目的地服务器转发附以新的Via头的形式的连接确认消息(324),结束该例行程序。
图42(图42A,图42B)表示连接目的地服务器SV1b的SIP消息处理部53S,当从SIP代理服务器PRb接收到连接请求消息M9时所执行的控制动作的流程图400。从SIP代理服务器PRb向连接目的地服务器SV1b发送的连接请求消息M9,在以TLS部52S进行解密后,输入到SIP消息处理部53S。SIP消息处理部53S,当接收到连接请求消息M9时,对接收消息进行解析(步骤401),将从接收消息中提取的连接请求消息体部M5-2移交给加密通信控制部51S(402),等待来自加密通信控制部51S的应答(403)。
SIP消息处理部53S,当从加密通信控制部51S接收到连接应答消息体部M10-2时,生成图25例示的连接应答消息M11。SIP消息处理部53S,通过TLS部、TCP/IP部、NIC部,向SIP代理服务器PRb转发上述连接应答消息M11(405),等待来自SIP代理服务器PRb的应答(406)。SIP消息处理部53S,当从SIP代理服务器PRb接收到连接确认消息M15时,对接收消息进行解析(407),向加密通信控制部51S通知接受到连接确认消息M15的信息(408),结束该例行程序。
图43表示当从SIP消息处理部53S接收到连接请求消息体部M5-2时,表示服务器SV1b的加密通信控制部51S执行的控制动作的流程图420。加密通信控制部51S,对从SIP消息处理部53S接收到的连接请求消息体部M5-2进行解析(步骤421),从连接请求消息体部M5-2中所记述的SA信息(在图18的例子中为变换有效载荷92-1,92-2)中,选择在客户机的加密通信中应该使用的SA,生成图24例示的连接应答消息体部M10-2(422)。加密通信控制部51S将上述连接应答消息体部M10-2移交给SIP消息处理部53S(423),等待来自SIP消息处理部53S的应答(424)。加密通信控制部51S,当从SIP消息处理部53S接收到连接确认消息的接收通知时,在SADB 33S中设定SA信息(425),结束该例行程序。
图44表示在客户机CL1a中对加密引擎31C发行的通信结束请求进行应答、通信控制部51C所执行的控制动作的流程图130。客户机CL1a的用户,当要结束与服务器SV1b的通信的应用时,从加密引擎31C向加密通信控制部51C发行通信结束请求。SP/SA控制部51C,当从加密引擎31C接收通信结束请求时,向SIP消息处理部53C请求发行切断请求消息(131),并等待来自SIP消息处理部53C的应答(132)。SP/SA控制部51C,当从SIP消息处理部53C接收到切断应答消息的接收通知时,删除与上述加密密钥请求对应的SADB 33S的设定值(133),并结束该例行程序。
图45表示当从SP/SA控制部51C接收到切断请求消息的发行请求时,SIP消息处理部53C执行的控制动作的流程图140。SIP消息处理部53C,当从SP/SA控制部51C接收到切断请求消息的发行请求时,生成图30例示的切断请求消息M20(步骤141),通过TLS部52C、TCP/IP部30C的加密引擎31C、NIC部20C,向SIP服务器SIPa(SIP代理服务器PRa)发送上述切断请求消息M20的IP分组(142)。
SIP消息处理部53C等待来自SIP代理服务器PRa的应答(143),当接收到切断中消息M21的情况下,在执行切断中消息处理(144)后,等待来自SIP代理服务器PRa的下一应答。SIP消息处理部53C,当从SIP代理服务器PRa接收到图37例示的切断应答消息M27时,对接收消息进行解析(145),向加密通信控制部51C通知接收切断应答消息(146),结束该例行程序。
图46(图46A,图46B)表示当从客户机接收到切断请求消息M20时,SIP代理服务器PRa的SIP消息处理部53P执行的控制动作的流程图340。SIP消息处理部53P,对接收到的切断请求消息M20进行解析(步骤341),检查接收消息的Request-URI(342)。SIP消息处理部53P从Request-URI记述的域名中判定接收消息的转发目的地(343),在判定转发目的地属于其他域的情况下,通过DNS检索(NAPTR检索+SRV检索+A检索)等,决定接收消息的转发目的地域的SIP服务器(SIP代理服务器)(344)。
在图12所示的例子中,通过上述DNS检索,判明切断请求消息M20的转发目的地是SIP代理服务器PRb。此时,SIP消息处理部53P,通过TLS部52P、TCP/IP部30P、NIC部20P,在向切断请求消息M20的发送源的客户机CL1a发送图31例示的切断中消息M21(345)后,在切断请求消息M20上附以新的Via头,向SIP代理服务器PRb转发除去与SIP代理服务器PRa对应的Route头后的切断请求消息M22(346),等待来自SIP代理服务器PRb的应答(347)。
SIP消息处理部53P,当从SIP代理服务器PRb接收到切断中消息M23时,在执行切断中消息处理后(348)后,等待来自SIP代理服务器PRb的下一个应答。SIP消息处理部53P,当从SIP代理服务器PRb接收到切断应答消息M26时,对接收消息进行解析(349),从接收消息中除去包含自身SIP-URI的Via头,作为切断应答消息M27,转发至切断请求源(客户机CL1a)(350),结束该例行程序。
此外,在判定步骤343中,如果判定从客户机终端CL1a接收到的切断请求消息M20的转发目的地属于与SIP代理服务器PRa相同的域,则SIP消息处理部53P,生成将接收消息的Request-URI表示的SIP-URI作为检索关键字的位置数据(IP地址)检索询问(351),向位置服务器LSV发送该检索询问(352),并等待位置服务应答(353)。
SIP消息处理部53P,当从位置服务器LSV接收到位置数据时,对送达目的地IP地址使用上述位置数据表示的服务器IP地址,向网络NW1发送切断请求消息的IP分组(354),等待来自服务器的应答(355)。此外,在上述切断请求消息上,附以包含SIP代理服务器PRa的SIP-URI的新的Via头。当从切断请求消息的送达目的地服务器接收到切断请求消息时,SIP消息处理部53P对接收消息进行解析(356),向切断请求源转发除去了自身的Via头的形式的切断应答消息(357),并结束该例行程序。
图47表示,当从SIP代理服务器接收到切断请求消息M24时,服务器SV1b的SIP消息处理部53S所执行的控制动作的流程图430。SIP消息处理部53S,当通过TLS部52S接收到切断请求消息M24时,对接收消息进行解析(步骤431),对于加密通信控制部51S指定应该切断的通信的识别信息(例如Call-ID),通知接收到切断请求(432),等待来自加密通信控制部51S的应答(433)。SIP消息处理部53S,当从加密通信控制部51S接收到切断应答时,生成图35例示的切断应答消息M25(434),通过TLS部、TCP/IP部、NIC部转发至SIP代理服务器PRb(435),结束该例行程序。
图48表示,在从SIP消息处理部53S接收到切断请求发生通知时,加密通信控制部51S所执行的控制动作的流程图440。加密通信控制部51S,根据通知的通信识别信息来确定应该从SADB 33删除的SA信息(步骤441),并删除该SA信息(442),结束该例行程序。
此外,在本实施例中,在登记请求消息的体部中含有识别信息63,通过解析登记请求消息来更新识别信息管理表64。但本发明不限于此,也可以由位置服务器LSV的管理者预先设定识别信息管理表64或者其中一部分的条目的值。
下面参照图49到图54说明根据本发明的加密数据通信的第二实施例。在上述的第一实施例中,SIP代理服务器PR和寄存器RG工作在同一台SIP服务器上。另外,在通过识别信息管理表64来检索识别信息和SIP-URI的关联时使用检索用的SIP消息,SIP代理服务器PR根据该SIP消息的头,检索识别信息管理表64。另外,客户机和服务器通过TLS来保护与SIP服务器之间的通信。
本发明的第二实施例的特征为,另外设置对识别信息管理表64的位置信息进行登记或者删除、以及对识别信息管理表64进行检索、识别信息管理服务65执行动作的识别信息管理服务器ISV。进而,其特征为通过消息加密(S/MIME)来保护客户机或服务器和识别信息管理表64之间交换的SIP消息的消息体部分。
如图49所示,本发明的第二实施例中的网络结构,由SIP服务器SIPa管理的网络NW1、位置服务器LSV、DNS(Domain Name System)、和识别信息管理服务器ISV构成。
网络NW1上连接有客户机CL1a、CL2a、和服务器SV1a、SV2a。另外,SIP服务器SIPa由SIP代理服务器PRa和寄存器PGa构成。
此外,将内容为“agent@aaa.com”的SIP-URI分配给本实施例中的识别信息管理服务器ISV。本实施例中的客户机CL或服务器SV通过向该SIP-URI发送请求位置登记或者解除登记的SIP消息,更新识别信息管理表64的内容。另外,本实施例中的客户机CL或服务器SV通过向该SIP-URI发送请求取得AOR的SIP消息,检索识别信息管理表64的内容。
图50表示本发明的第二实施例中的加密通信序列。其中省略在与图11、图12相同符号所表示的在第一实施例中已说明的步骤和消息。在本发明的第二实施例中,首先,服务器SV1a在来自客户机CL1a的连接请求前,与SIP服务器SIPa的寄存器RGa之间,执行用于服务器SV1a的认证和加密通信用的参数设定的TLS谈判(S1)后,向寄存器RGb发送位置登记请求消息M1。
寄存器RGa,当接收到上述位置登记请求消息M1时,在位置服务DB的位置服务表60中登记表示接收消息的From头所表示的请求源SIP-URI“sv1@aaa.com”与Contact头所表示的请求源IP地址“sv1@192.0.2.4”间关系的位置数据(S101),结束数据的登记时(S102),向请求源服务器SV2a发送位置登记应答消息M102。
接收到位置登记应答消息M2的服务器SV1a,接着将发往认证信息管理服务器ISV的识别信息登记消息M101发送到SIP服务器SIPa(SIP消息:MESSAGE)。
如图51所示,上述识别信息登记消息M101,在开始行中包含表示SIP消息的种类的“MESSAGE”、作为认证信息管理服务器ISV的SIP-URI的“agent@aaa.com”,Via头表示服务器SV1a的FQDN的值。另外,在To头中设定作为认证信息管理服务器ISV的SIP-URI的“agent@aaa.com”,在From头中设定服务器SV1a的SIP-URI“sips:sv1@aaa.com”。还包含表示消息的有效时间的Expires头、表示后续的消息体部的长度的Content-Length头、和其他的头信息。在识别信息登记请求消息M101的消息体部中包含服务器SV1a的识别信息63的列表。
接收到识别信息登记请求消息M101的SIP服务器SIPa,将作为上述识别信息登记请求消息M101的送达目的地的“agent@aaa.com”作为关键字来检索位置数据库(S103),当取得认证信息管理服务器ISV的IP地址“192.168.0.3”时(S104),向该IP地址发送识别信息登记请求消息M102(M102)。
接收到识别信息登记请求消息M102的认证信息管理服务器ISV,将该识别信息登记请求消息M102的体部的各识别信息63与上述识别信息登记请求消息M101的发送源的SIP-URI“sips:sv1@aaa.com”进行关联,存储在识别信息管理表64中时,如图52所示,发往服务器SV1a的识别信息登记应答消息M103(SIP消息:200OK)发送到SIP服务器SIPa。识别信息登记应答消息M103的开始行,作为SIP消息的种类,包含表示作为应答消息的“200OK”,在头部中,设定与位置登记请求消息M1大体相同内容的头信息。
接收到识别信息登记应答消息M103的SIP服务器SIPa,向作为上述识别信息登记请求消息M103的送达目的地(发送源?)的“sips:sv1@aaa.com”发送识别信息登记应答消息M104(M104)。
该状态下,在客户机CL1a的用户起动应用程序,进行向转发地址为服务器SV1a的URL“http://www.aaa.com/”请求通信的操作的情况下,在第二实施例中,客户机CL1a,在与SIP服务器SIPa(寄存器RGa)之间,执行为客户机的认证和加密通信用的参数设定的TLS谈判(S4)后,将发往认证信息管理服务器ISV的AOR(Address-of-Record)取得请求消息(SIP消息:INFO)M105发送到SIP服务器SIPa。
上述AOR取得请求消息M105,如图53所示,在开始行中包含表示SIP消息种类的“INFO”、表示作为认证信息管理服务器ISV的SIP-URI的“sips:agent@aaa.com”,Via头表示客户机CL1a的FQDN的值。另外,在To头中设定作为客户机CL1a的连接对象的服务器SV1a的URL“http://www.aaa.com/”,在From头中设定客户机CL1a的URI“sips:cl 1@aaa.com”。
接收到AOR取得请求消息M105的SIP服务器SIPa,把作为上述识别信息登记消息M105的送达目的地的“agent@aaa.com”作为关键字来检索位置数据库(S105),当取得认证信息管理服务器ISV的IP地址时(S106),向该IP地址发送识别信息登记请求消息M105(M106)。
接收到AOR取得请求消息M105的认证信息管理服务器ISV,从域管理DB的域管理表64中,检索与接收消息的To头表示的URL“http://www.bbb.com/”对应的AOR(服务器SV1a的URI)的值,当位置数据AOR的检索结束时,通过SIP服务器SIPa向请求源客户机CL1a发送AOR取得应答消息M107。
AOR取得应答消息M107,如图54所示,在开始行中包含表示消息种类为应答消息的“200OK”,在头部中记载与AOR取得请求消息M105大体相同内容的头信息,在消息体部中记载表示从识别信息管理表64中检索到的服务器SV1a的SIP-URI的值“sv1@aaa.com”的值。
通过接收上述AOR取得应答消息M105、取得连接目的地服务器SV1a的SIP-URI的客户机CL1a,对于SIP代理服务器PRa,发送向服务器SV1a的连接请求消息M5。
下面的动作,与第一实施例的动作相同,因此省略其说明。
此外,在实施例中,在对SIP消息的Request-URI或To头使用IP地址时,如图15或图51的“sips:192.0.2.4”这样进行描述。此时,在接收到SIP消息的SIP代理服务器、寄存器或者服务器侧,通过所观察的字段中的后继“sips:”的字符串是否为用点区分3位以下的数字的IP地址标记,能够判定是SIP-URI描述还是IP地址描述。为了准确判定是SIP-URI描述还是IP地址描述,也可以如“sips:192.0.2.4;id=ipv4”那样,使用URI参数,明示是需要解决AOR的SIP-URI。另外,如“ipv4:192.0.2.4”那样,在所观察的字段中检测到IPv4(或者IPv6)这样的模式(scheme)时,也可以规定其后描述的是IP地址。
此外,在实施例中,当客户机的应用程序进行向连接目的地服务器的IP地址发送分组的操作时,向SIP服务器发送用于取得与连接目的地服务器的IP地址对应的SIP-URI的AOR取得请求消息,但是本发明不限于此,可以适用于从该应用程序使用的任意体系的连接识别符中取得与该连接目的地识别符对应的资源识别符(为了识别连接目的地服务器对话管理服务器所采用的识别符)。例如,当客户机的应用程序进行请求向包含指定连接目的地服务器的信息的URL的连接的操作时,也可以向SIP服务器发送用于取得与该URL对应的SIP-URI的AOR取得请求消息。此时,所述URL可以预先登记在SP服务器上,也可以在连接目的地服务器进行位置登记时的位置登记请求消息中含有该连接目的地服务器可访问的URL的列表。
此外,在实施例中,客户机、服务器与SIP服务器间的通信是通过TLS来进行保护,但是本发明不限于此,也可以通过S/MIME进行保护。另外,在第二实施例中,也可以在客户机、服务器与识别信息管理服务器ISV之间收发用S/MIME保护的SIP消息。
Claims (16)
1.一种通过连接对话管理服务器的通信网络进行的客户机与服务器之间的数据通信方法,其特征在于,包括如下步骤:
第一步骤,从上述客户机向上述对话管理服务器指定连接目的地服务器的连接目的地识别符,询问包含分配给该连接目的地服务器的所属域名的资源识别符;
第二步骤,上述对话管理服务器,从管理连接目的地识别符和资源识别符的对应关系的识别信息管理表中取得与上述连接目的地服务器的连接目的地识别符对应的资源识别符,通知上述客户机;
第三步骤,从上述客户机,向上述对话管理服务器,发送用上述连接目的地服务器的资源识别符指定请求资源的连接请求消息;和
第四步骤,上述对话管理服务器,根据接收到的连接请求消息中记述的上述资源识别符中含有的域名来判定接收消息的转发目的地,向连接目的地服务器或者管理该连接目的地服务器的所属域的其他对话管理服务器转发接收消息。
2.根据权利要求1所述的数据通信方法,其特征在于,包括:
第五步骤,对所述连接请求消息的接收进行响应,从所述连接目的地服务器通过上述对话管理服务器向作为请求源的上述客户机,返回包含加密通信所需要的参数信息的连接应答消息;和
第六步骤,在上述客户机与连接目的地服务器之间,遵照用上述连接应答消息指定的参数信息,对包含被加密过的消息的分组进行通信。
3.根据权利要求1所述的数据通信方法,其特征在于,
所述对话管理服务器由SIP服务器组成,所述客户机与所述对话管理服务器之间的通信消息通过在RFC3261中所规定的TLS进行加密,上述连接目的地识别符是连接目的地服务器的IP地址。
4.根据权利要求2或3所述的数据通信方法,其特征在于,
所述客户机与连接目的地服务器之间的通信数据通过在RFC2401中所规定的IPsec进行加密。
5.一种通过连接对话管理服务器的通信网络进行的客户机与服务器之间的数据通信方法,其特征在于,包括如下步骤:
第一步骤,从上述客户机向上述对话管理服务器,发送用连接目的地服务器的连接目的地识别符指定请求资源的连接请求消息;
第二步骤,接收到上述连接请求消息的对话管理服务器,从管理连接目的地识别符和资源识别符的对应关系的识别信息管理表中,取得与上述连接目的地服务器的连接目的地识别符对应的资源识别符;
第三步骤,上述对话管理服务器,将在接收消息中作为请求资源记述的连接目的地识别符,改写为从上述识别信息管理表中取得到的资源识别符;和
第四步骤,上述对话管理服务器,根据在上述资源识别符中包含的域名来判定接收消息的转发目的地,向连接目的地服务器或者管理该连接目的地服务器的所属域的其他对话管理服务器转发接收消息。
6.根据权利要求5所述的数据通信方法,其特征在于,包括:
第五步骤,对所述连接请求消息的接收进行响应,从所述连接目的地服务器通过上述对话管理服务器向作为请求源的上述客户机,返回包含加密通信所需要的参数信息的连接应答消息;和
第六步骤,在上述客户机与连接目的地服务器之间,遵照用上述连接应答消息指定的参数信息,对包含被加密过的消息的分组进行通信。
7.根据权利要求5所述的数据通信方法,其特征在于,
所述对话管理服务器由SIP服务器组成,所述客户机与所述对话管理服务器之间的通信消息通过在RFC3261中所规定的TLS进行加密,上述连接目的地识别符是连接目的地服务器的IP地址。
8.根据权利要求6或7所述的数据通信方法,其特征在于,
所述客户机与连接目的地服务器之间的通信数据通过在RFC2401中所规定的IPsec进行加密。
9.一种通过连接对话管理服务器的通信网络进行的客户机与服务器之间的数据通信方法,其特征在于,包括如下步骤:
第一步骤,从上述客户机向成为连接目的地的服务器,询问包含分配给成为连接目的地的该服务器的所属域名的资源识别符;
第二步骤,从成为连接目的地的上述服务器向上述客户机通知询问的上述资源识别符;
第三步骤,从上述客户机向上述对话管理服务器,发送用上述连接目的地服务器的资源识别符指定请求资源的连接请求消息;和
第四步骤,上述对话管理服务器,根据接收到的连接请求消息中记述的上述资源识别符中含有的域名来判定接收消息的转发目的地,向连接目的地服务器或者管理该连接目的地服务器的所属域的其他对话管理服务器转发接收消息。
10.根据权利要求9所述的数据通信方法,其特征在于,包括:
第五步骤,对所述连接请求消息的接收进行响应,从所述连接目的地服务器通过上述对话管理服务器向作为请求源的上述客户机,返回包含加密通信所需要的参数信息的连接应答消息;和
第六步骤,在上述客户机与连接目的地服务器之间,遵照用上述连接应答消息指定的参数信息,对包含被加密过的消息的分组进行通信。
11.根据权利要求9所述的数据通信方法,其特征在于,
所述对话管理服务器由SIP服务器组成,所述客户机与所述对话管理服务器之间的通信消息通过在RFC3261中所规定的TLS进行加密,上述连接目的地识别符是连接目的地服务器的IP地址。
12.根据权利要求10或11所述的数据通信方法,其特征在于,
所述客户机与连接目的地服务器之间的通信数据通过在RFC2401中所规定的IPsec进行加密。
13.一种对话管理服务器,其通过通信网络与客户机和服务器进行通信,其特征在于,具有如下单元:
在从上述客户机接收到用连接目的地服务器的连接目的地识别符指定请求资源的连接请求消息时,从管理连接目的地识别符和资源识别符的对应关系的识别信息管理表中,取得与上述连接目的地服务器的连接目的地识别符对应的资源识别符,将接收消息中记述的请求资源从连接目的地识别符改写为上述资源识别符的改写单元,和
根据在上述资源识别符中含有的域名来判定接收消息的转发目的地,向连接目的地服务器或者管理该连接目的地服务器的所属域的其他对话管理服务器转发接收消息的转发单元。
14.根据权利要求13所属的对话管理服务器,其特征在于,具有:
与所述通信网络连接的网络接口部;
处理对话控制消息的消息处理部;和
安全部,解密从上述网络接口部接收到的加密消息、交付给上述消息处理部,并且对从上述消息处理部输出的对话控制消息进行加密、输出到上述网络接口部,
上述消息处理部具有:上述改写单元和上述转发单元。
15.一种客户机终端,其通过通信网络与对话管理服务器和服务器进行通信,其特征在于,包括:
与上述通信网络连接的网络接口部;
处理对话控制消息的消息处理部;
第一安全部,对应用程序产生的发往连接目的地服务器的发送消息进行加密、输出到上述网络接口部,并且对从上述网络接口部接收到的被加密消息进行解密、交付给上述应用程序;和
安全信息控制部,在从上述安全部产生与连接目的地服务器的加密参数的交换请求时、向上述消息处理部输出用连接目的地识别符指定连接目的地服务器的连接请求消息,在从上述消息处理部接收到连接应答消息时、向上述第一安全部交付从该接收消息中提取到的加密参数,
上述消息处理部,在从上述安全信息控制部接收到连接请求消息时,根据上述连接目的地识别符,从上述对话管理服务器或者连接目的地服务器取得连接目的地服务器的资源识别符,以通过该资源识别符指定请求资源的形式,向上述对话管理服务器发送上述连接请求消息。
16.根据权利要求15所述的客户机终端,其特征在于,
具有第二安全部,其用于对从上述网络接口部接收到的被加密的对话控制消息进行解密、交付给上述消息处理部,并且对从上述消息处理部输出的对话控制消息进行加密、输出到上述网络接口部,
通过上述第一安全部对与上述连接目的地服务器的通信数据进行加密,通过上述第二安全部对与上述对话管理服务器的通信消息进行加密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005358398 | 2005-12-13 | ||
| JP2005-358398 | 2005-12-13 | ||
| JP2005358398A JP4635855B2 (ja) | 2005-12-13 | 2005-12-13 | データ通信方法およびシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1984090A CN1984090A (zh) | 2007-06-20 |
| CN1984090B true CN1984090B (zh) | 2010-09-29 |
Family
ID=37903623
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101656884A Expired - Fee Related CN1984090B (zh) | 2005-12-13 | 2006-12-12 | 数据通信方法以及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8205074B2 (zh) |
| EP (1) | EP1798932B1 (zh) |
| JP (1) | JP4635855B2 (zh) |
| CN (1) | CN1984090B (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BRPI0517026A (pt) | 2004-10-25 | 2008-09-30 | Rick L Orsini | método e sistema analisador de dados seguros |
| EP3813332B1 (fr) * | 2006-02-28 | 2022-07-27 | Orange | Procédé et système de transmission de données entre noeuds attachés à des environnements ip distincts par affectation d'adresses fictives |
| GB2459216B (en) * | 2006-12-18 | 2011-06-22 | Ericsson Telefon Ab L M | Method and apparatus for establishing a session |
| CN101207613B (zh) * | 2006-12-21 | 2012-01-04 | 松下电器产业株式会社 | 跨网域信息通信的认证方法、系统及其装置 |
| JP4764368B2 (ja) * | 2007-03-19 | 2011-08-31 | 株式会社東芝 | 通信を確立してメッセージを中継する装置、通信を確立する方法およびプログラム |
| US8175271B2 (en) * | 2007-03-30 | 2012-05-08 | Oracle America, Inc. | Method and system for security protocol partitioning and virtualization |
| US9596317B2 (en) * | 2007-07-07 | 2017-03-14 | Qualcomm Incorporated | Method and system for delivery of targeted information based on a user profile in a mobile communication device |
| JP5245612B2 (ja) * | 2007-07-31 | 2013-07-24 | セイコーエプソン株式会社 | ポスティングサーバ、および、ポスティングサーバ制御方法 |
| EP2020801A1 (en) * | 2007-07-31 | 2009-02-04 | Seiko Epson Corporation | Posting server, sending terminal, posting server control method and sending terminal control method |
| JP2009093624A (ja) * | 2007-07-31 | 2009-04-30 | Seiko Epson Corp | ポスティングサーバ、印刷端末及びポスティングサーバ制御方法 |
| JP5453745B2 (ja) * | 2007-07-31 | 2014-03-26 | セイコーエプソン株式会社 | ポスティングサーバ、コンテンツ伝送システム及びポスティングサーバ制御方法 |
| US8472431B2 (en) | 2008-01-24 | 2013-06-25 | At&T Intellectual Property I, L.P. | System and method of providing IMS services to users on terminating non IMS devices |
| JP2010034860A (ja) * | 2008-07-29 | 2010-02-12 | Fujitsu Ltd | セキュリティ機能を有するipネットワーク通信方法及び通信システム |
| US8689301B2 (en) * | 2008-09-30 | 2014-04-01 | Avaya Inc. | SIP signaling without constant re-authentication |
| US8462769B2 (en) * | 2009-03-26 | 2013-06-11 | Andrew Llc | System and method for managing created location contexts in a location server |
| WO2010120432A1 (en) * | 2009-04-13 | 2010-10-21 | Research In Motion Limited | System and method for determining trust for sip messages |
| ES2620962T3 (es) * | 2009-11-25 | 2017-06-30 | Security First Corporation | Sistemas y procedimientos para asegurar datos en movimiento |
| US8935529B2 (en) * | 2009-11-30 | 2015-01-13 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and systems for end-to-end secure SIP payloads |
| EP2372570B1 (en) * | 2010-03-30 | 2019-06-19 | Telefonaktiebolaget LM Ericsson (publ) | Secure and flexible access to electronic documents in databases |
| CN103039057B (zh) | 2010-03-31 | 2015-08-19 | 安全第一公司 | 对移动中数据进行保护的系统和方法 |
| US8601498B2 (en) | 2010-05-28 | 2013-12-03 | Security First Corp. | Accelerator system for use with secure data storage |
| CA2812986C (en) | 2010-09-20 | 2015-12-08 | Security First Corp. | Systems and methods for secure data sharing |
| AU2012210978B2 (en) | 2011-01-28 | 2015-11-26 | Royal Canadian Mint/Monnaie Royal Canadienne | Controlled security domains |
| EP2740250B1 (en) * | 2012-05-15 | 2015-08-05 | Unify GmbH & Co. KG | Method and apparatus for high performance low latency real time notification delivery |
| US10178528B2 (en) * | 2012-07-27 | 2019-01-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Device connectivity management for machine type communications |
| US10110572B2 (en) * | 2015-01-21 | 2018-10-23 | Oracle International Corporation | Tape drive encryption in the data path |
| US20170063813A1 (en) * | 2015-06-03 | 2017-03-02 | The Government Of The United States, As Represented By The Secretary Of The Army | Secure Packet Communication with Common Protocol |
| FR3067545A1 (fr) * | 2017-06-21 | 2018-12-14 | Orange | Procede d'activation de traitements appliques a une session de donnees |
| JP6971118B2 (ja) * | 2017-10-10 | 2021-11-24 | 株式会社ソラコム | IoT機器とのデータの送受信を行うための装置、方法及びプログラム |
| US20210211467A1 (en) * | 2020-04-02 | 2021-07-08 | Intel Corporation | Offload of decryption operations |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6374300B2 (en) * | 1999-07-15 | 2002-04-16 | F5 Networks, Inc. | Method and system for storing load balancing information with an HTTP cookie |
| CN1507732A (zh) * | 2001-05-11 | 2004-06-23 | ض� | 授权访问服务器上的资源的方法和系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4130809B2 (ja) * | 2003-11-04 | 2008-08-06 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム |
| US20020032799A1 (en) * | 2000-05-02 | 2002-03-14 | Globalstar L.P. | Deferring DNS service for a satellite ISP system using non-geosynchronous orbit satellites |
| US6917612B2 (en) * | 2000-09-01 | 2005-07-12 | Telefonaktiebolaged L M Ericsson | System and method for address resolution in internet protocol (IP)-based networks |
| JP2002152805A (ja) * | 2000-11-10 | 2002-05-24 | Sony Corp | 通信制御装置およびその方法、ならびに通信システムおよびその方法 |
| WO2002102031A2 (en) * | 2001-06-12 | 2002-12-19 | The Trustees Of Columbia University In The City Of New York | System and method for call routing in an ip telephony network |
| US8037138B2 (en) * | 2002-10-10 | 2011-10-11 | Canon Kabushiki Kaisha | Communication apparatus, communication control method of communication apparatus, and control program of communication apparatus for selecting a transmission path for image data |
| JP2004240856A (ja) * | 2003-02-07 | 2004-08-26 | Nec Corp | 仮想プレゼンスシステム |
| US8645408B2 (en) * | 2003-02-18 | 2014-02-04 | Apple Inc. | Discovery of application server in an IP network |
| US20060259625A1 (en) * | 2003-04-01 | 2006-11-16 | Bjorn Landfeldt | Method and system for centrally allocating addresses and port numbers |
| US7480723B2 (en) * | 2003-04-08 | 2009-01-20 | 3Com Corporation | Method and system for providing directory based services |
| JP2005229435A (ja) * | 2004-02-13 | 2005-08-25 | Ntt Communications Kk | リゾルバをアプリケーションとは別に備えた端末及びリゾルバプログラム |
| JP4436208B2 (ja) * | 2004-08-04 | 2010-03-24 | パナソニック株式会社 | Ip電話番号照会システム及びip電話システム |
| JP4516375B2 (ja) * | 2004-08-06 | 2010-08-04 | パナソニック株式会社 | 呼接続制御装置及びip電話システム |
| JP4445421B2 (ja) * | 2004-08-26 | 2010-04-07 | パナソニック株式会社 | Ip電話装置、enumサーバ及びip電話システム |
| JP3859667B2 (ja) * | 2004-10-26 | 2006-12-20 | 株式会社日立製作所 | データ通信方法およびシステム |
| US20060098624A1 (en) * | 2004-11-10 | 2006-05-11 | Morgan David P | Using session initiation protocol |
| US20070043829A1 (en) * | 2005-08-17 | 2007-02-22 | Robin Dua | Method and system for accessing a storage or computing device via the Internet |
-
2005
- 2005-12-13 JP JP2005358398A patent/JP4635855B2/ja not_active Expired - Fee Related
-
2006
- 2006-12-12 EP EP20060256307 patent/EP1798932B1/en not_active Expired - Fee Related
- 2006-12-12 CN CN2006101656884A patent/CN1984090B/zh not_active Expired - Fee Related
- 2006-12-13 US US11/637,694 patent/US8205074B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6374300B2 (en) * | 1999-07-15 | 2002-04-16 | F5 Networks, Inc. | Method and system for storing load balancing information with an HTTP cookie |
| CN1507732A (zh) * | 2001-05-11 | 2004-06-23 | ض� | 授权访问服务器上的资源的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1984090A (zh) | 2007-06-20 |
| JP2007164387A (ja) | 2007-06-28 |
| JP4635855B2 (ja) | 2011-02-23 |
| EP1798932A3 (en) | 2009-09-02 |
| US8205074B2 (en) | 2012-06-19 |
| EP1798932B1 (en) | 2011-09-28 |
| EP1798932A2 (en) | 2007-06-20 |
| US20070162744A1 (en) | 2007-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1984090B (zh) | 数据通信方法以及系统 | |
| CN1767435B (zh) | 数据通信方法和系统 | |
| CN101056263B (zh) | 数据通信方法和系统 | |
| CN1863214B (zh) | 服务网络系统以及服务器装置 | |
| JP4101839B2 (ja) | セッション制御サーバ及び通信システム | |
| JP4047303B2 (ja) | 提供装置、提供プログラム、及び、提供方法 | |
| JP4656536B2 (ja) | 中継サーバ及び中継通信システム | |
| CN101753302B (zh) | 一种保证sip通信安全的方法和系统 | |
| US9191406B2 (en) | Message relaying apparatus, communication establishing method, and computer program product | |
| WO2003091891A1 (en) | Authentication and protection for ip application protocols based on 3gpp ims procedures | |
| JP2008199348A (ja) | 中継装置、中継プログラム及び通信システム | |
| JP2006217446A (ja) | 遠隔会議システム | |
| CN101098336B (zh) | Ims终端配置服务器及ims本地化入口点检测方法 | |
| JP4551381B2 (ja) | データ通信方法およびシステム | |
| JP3914959B2 (ja) | データ通信方法およびシステム | |
| JP5022474B2 (ja) | サーバ装置、通信方法およびプログラム | |
| JP4675982B2 (ja) | セッション制御サーバ、通信装置、通信システムおよび通信方法、ならびにそのプログラムと記録媒体 | |
| WO2006128488A1 (en) | Session description protocol fragment message | |
| Campbell et al. | RFC 8591: SIP-Based Messaging with S/MIME | |
| Jiang | Secure SIP between IPv4 endpoints and IPv6 endpoints | |
| Ono et al. | Implementation Agreement for SIP Signalling Security for GMI 2004 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100929 Termination date: 20141212 |
|
| EXPY | Termination of patent right or utility model |