JP2007104691A - データ通信方法およびシステム - Google Patents

データ通信方法およびシステム Download PDF

Info

Publication number
JP2007104691A
JP2007104691A JP2006278500A JP2006278500A JP2007104691A JP 2007104691 A JP2007104691 A JP 2007104691A JP 2006278500 A JP2006278500 A JP 2006278500A JP 2006278500 A JP2006278500 A JP 2006278500A JP 2007104691 A JP2007104691 A JP 2007104691A
Authority
JP
Japan
Prior art keywords
message
sip
server
terminal
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006278500A
Other languages
English (en)
Other versions
JP4551381B2 (ja
Inventor
Kazuyoshi Hoshino
和義 星野
Takaaki Takeuchi
敬亮 竹内
Osamu Takada
治 高田
Tadashi Kaji
忠司 鍛
Takahiro Fujishiro
孝宏 藤城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006278500A priority Critical patent/JP4551381B2/ja
Publication of JP2007104691A publication Critical patent/JP2007104691A/ja
Application granted granted Critical
Publication of JP4551381B2 publication Critical patent/JP4551381B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】接続先サーバをIPアドレスで指定したセッション制御メッセージをセッション管理サーバ経由で接続先サーバに転送可能にした暗号化通信方法とシステムの提供。
【解決手段】クライアントのアプリケーションプログラムまたは暗号化通信ソフトが、接続先サーバをIPアドレスで指定した形で接続要求を発行した時、クライアントまたはセッション管理サーバで、上記IPアドレスをドメイン識別可能な所望のリソース識別子に自動的に変換し、受信メッセージの転送先ドメインを判定する。
【選択図】図11

Description

本発明は、データ通信方法およびシステムに関し、更に詳しくは、クライアントとサーバとの間での暗号化データ通信を可能にし、且つ、セッション管理サーバを利用して、クライアントとサーバとの間の認証手順を容易にしたデータ通信方法およびシステムを提供することにある。
ネットワークにおける暗号化通信方法では、クライアントとサーバは、互いに意図しない相手装置との通信を防止するため、相手装置について認証手順を実行し、相手装置の認証に成功した時、通信に使用する暗号化パラメータを交換するようにしている。IETF(Internet Engineering Task Force)のRFC2401(非特許文献1)に記述されたIPsec(Internet Protocol Security)や、RFC2246(非特許文献2)に記述されたTLS(Transport Layer Security)では、通信相手の認証に公開鍵証明書が適用される。
公開鍵証明書を用いた認証では、通信相手が提示した公開鍵証明書が信頼できる認証局から発行されたものであることを何らかの方法で検証する必要がある。公開鍵証明書の検証方法の1つとしては、例えば、通信相手が提示する公開鍵証明書の発行元認証局を証明するための信頼性のある認証局root証明書を何らかの方法で事前に入手しておき、通信相手の認証手順において、相手装置が提示した公開鍵証明書に付与された認証局の署名を、認証局のroot証明書の公開鍵によって検証する方法ある。この検証方法によれば、サーバとクライアントは、通信対象となる全ての通信装置の公開鍵証明書に対応して、各公開鍵証明書の発行元認証局のroot証明書を事前に用意しておく必要がある。
例えば、図1に示すように、複数のクライアント(端末装置)CL1、CL2、CL3が、それぞれ発行元(CA1、CA2、CA3)の異なる秘密鍵SK1、SK2、SK3と公開鍵証明書PK1、PK2、PK3を所持し、サーバSV1、SV2、SV3も、それぞれ発行元(CA1、CA2、CA3)の異なる秘密鍵SK11、SK12、SK13と公開鍵証明書PK11、PK12、PK13を所持したシステムを想定する。ここで、各クライアントが、複数のサーバSV1、SV2、SV3と随時に通信できるようにするためには、図示したように、各サーバに、通信相手となる全てのクライアント装置CL1、CL2、CL3がもつ公開鍵証明書(PK1、PK2、PK3)の発行元認証局(CA1、CA2、CA3)と対応して、複数のroot証明書RT1、RT2、RT3を事前に所持しておく必要がある。同様に、各クライアントにも、通信相手となるサーバSV1、SV2、SV3がもつ公開鍵証明書(PK11、PK12、PK13)の発行元認証局(CA1、CA2、CA3)と対応して、複数のroot証明書RT1、RT2、RT3を事前に用意しておく必要がある。また、このシステム構成では、各クライアント装置とサーバは、通信相手を変えた時、その都度、認証処理を繰り返す必要がある。
図2は、上記RFC2401に記述されたIPsecによる暗号化通信を行うためにクライアントが備えるソフトウェアの基本的なブロック構成を示す。
ここで、20は、ネットワークインタフェースカード(NIC)部、30は、TCP/IPレイヤ、40は、アプリケーションレイヤのソフトウェア部を示し、50は、RFC2409(非特許文献3)に記述された鍵管理(IKE:Internet Key Exchange)プロセス用のソフトウェア部を示している。IPsecエンジン31は、TCP/IPレイヤのソフトウェアの一部として装備され、送信パケットに暗号化を適用するか否かの判定情報(SP情報)を記憶したSPDB(Security Policy Data Base)32と、暗号化通信に適用する暗号化方式や暗号鍵等の情報(SA情報)を記憶したSADB(Security Association Data Base)33とを備えている。
上記クライアントの通信相手となるサーバも、図2と同様のソフトウェアを有し、クライアントとサーバのアプリケーションレイヤ同士、鍵管理プロセス同士が互いに通信するようになっている。
IPsecエンジン31は、アプリケーションレイヤ40のプログラムが発行したIPパケットの送信要求を検出すると、該IPパケットのヘッダ情報をSPDB32で検証し、このIPパケットにIPsecを適用すべきか否かを判定する。IPパケットにIPsecを適用すると判断したIPsecエンジン31は、SADB33から、IPパケットに適用すべきSA(Security Association)情報を取得する。ここで、もし、SADB33に上記IPパケットと対応するSA情報が登録されていなかった場合、IPsecエンジン31は、IKE(鍵管理)プロセス50に対して、通信相手(接続先サーバ)との間での暗号鍵を含むSA情報の交換を要求する。
IKEプロセス50は、RFC2408(非特許文献4)に記載されたISAKMP(Internet Security Association and Key Management Protocol)に従って、通信相手とSA情報を交換する。ISAKMPでは、通信相手との間に暗号化通信路を形成した後、相手装置が通信を許容された真正な装置か否かを確認するための認証手順を実行する。IKEプロセス50は、上記認証手順によって、相手装置が暗号化通信を許容された真正な装置であることを確認すると、ISAKMPによって設定された通信路を介して、相手装置とSA情報の交換を開始する。IKEプロセス50は、通信相手とのSA情報の交換が完了すると、IPsecエンジン31に、SA情報とこれに対応したSP(Security Policy)情報を通知する。
IPsecエンジン31は、IKEプロセス50から通知されたSP情報とSA情報をそれぞれSPDB32、SADB33に格納した後、IPパケットを上記SA情報に従って暗号化して、通信相手に送信する。通信相手となるサーバ側では、上記暗号化されたIPパケットを受信すると、IKEプロセスによって合意したSA情報に従って受信IPパケットを復号化し、サーバ側アプリケーションレイヤにIPパケットの受信を通知する。
一方、RFC3261(非特許文献5)には、TLS(Transport Layer Security)によって、クライアント(ユーザエージェントクライアント)とセッション管理サーバであるSIP(Session Initiation Protocol)プロキシとの間、およびSIPプロキシとサーバ(ユーザエージェント・サーバ)との間の相互認証を行って、クライアントとSIPプロキシ、SIPプロキシとサーバが暗号化通信する方法が記載されている。RFC3261のSIPモデルによれば、クライアントとサーバは、それぞれがSIPプロキシによって真正な通信相手として確認済みであり、且つ、クライアントとサーバとの間では、暗号化されたSIPメッセージが送受信されるため、クライアント、サーバ、SIPプロキシ以外の他の装置が、上記クライアントとサーバとの間の通信内容を傍受することは困難となっている。
SIPは、テキストベースのプロトコルであり、SIPメッセージは、ヘッダ部と、セッション内容を示すメッセージボディ部とからなる。SIPに関しては、RFC3263(非特許文献6)に記述されている。また、RFC2327(非特許文献7)には、セッション記述に適用されるSDP(Session Description Protocol)と、クライアントとサーバとの間で交換される暗号化パラメータの記述方法について開示されている。SIPモデルのクライアントとサーバは、それぞれがSIPプロキシとの間に形成した暗号通信路を介して、SIPメッセージによってセッション記述と暗号化パラメータを交換した後、上記暗号化パラメータを適用して、暗号化パケットを通信することができる。
RFC2401:Security Architecture for the Internet Protocol RFC2246:The TLS Protocol Version 1.0 RFC2409:The Internet Key Exchange (IKE) RFC2408:Internet Security Association and Key Management Protocol (ISAKMP) RFC3261:SIP: Session Initiation Protocol RFC3263:Session Initiation Protocol (SIP): Locating SIP Servers RFC2327:SDP: Session Description Protocol
図3は、上述したSIPプロキシを適用した認証システムの1例を示す。ここで、PRは、複数のクライアントCL1、CL2、CL3と、複数のサーバSV1、SV2、SV3とに接続されたSIPプロキシを示す。SIPプロキシPRは、認証局CA4が発行した秘密鍵SK30と、公開鍵証明書PK30を使用しており、サーバSV1、SV2、SV3を認証するために、これらのサーバが使用する公開鍵証明書の発行元認証局(CA1、CA2、CA3)と対応した複数のroot証明書RT1、RT2、RT3を予め所持している。
SIPプロキシを適用した認証システムでは、各サーバとクライアントは、図3に示すように、通信相手を認証するためのroot証明書として、SIPプロキシPRが使用する公開鍵証明書PK30の発行元認証局と対応したroot証明書RT4のみを所持すればよい。また、各クライアントは、SIPプロキシPRを介して1つのサーバと通信した後、接続先を別のサーバに変更する場合、SIPプロキシとの間では既に構築済みの暗号通信路を使用して通信できるため、新たな通信相手との間で暗号化パラメータを交換するだけで、暗号化通信を開始することが可能となる。つまり、SIPプロキシを適用した認証システムでは、各クライアントにとって、接続先サーバの変更の都度、新たに認証処理を行う必要がないという利点がある。
然るに、SIPのフレームワークにおいては、セッション管理サーバ(SIPプロキシ)は、AOR(Address-of-Record)と呼ばれる「ユーザ名@ドメイン名」 形式をもつ識別子(SIP−URI)によって、受信SIPメッセージの転送先を決定している。従って、上述したSIPプロキシのようなセッション管理サーバ経由のセッション設定を前提としたネットワークシステムでは、クライアント上で実行されるアプリケーションは、接続先サーバを指定するための識別子として、サーバの所属ドメインを特定可能なSIP−URI(Uniform Resource Identifier)を使用する必要がある。
更に詳述すると、SIPのフレームワークにおいては、クライアント側では、スタートラインに含まれるRequest−URIとして、接続先サーバを指定するAOR形式のSIP−URIを記述した接続要求SIPメッセージを生成し、該SIPメッセージをペイロードに含むIPパケットをクライアントの所属ドメインに位置するSIPプロキシ宛に送信する。上記IPパケットを受信したSIPプロキシは、Request−URIとして記述されたAORが示すドメイン名に基づいて、例えば、DNS(Domain Name System)のNAPTR Record検索とSRV Record検索を行うことにより、受信メッセージの転送先サーバが所属する他のドメインに位置したSIPプロキシ(転送先SIPプロキシ)のIPアドレスあるいはFQDN(Full Qualified Domain Name)を特定する。SRV Record検索の結果がFQDNを示した場合は、DNSのA Record検索を実行することによって、転送先SIPプロキシのIPアドレスを取得できる。尚、ドメイン名から転送先SIPプロキシのIPアドレスを取得する手順については、RFC3263(非特許文献6)に記述されている。
ここで、接続先サーバの所属ドメインが、SIPメッセージを受信したSIPプロキシの所属ドメインと同一であった場合、SIPプロキシは、受信メッセージのRequest−URIに記述されたSIP−URIを検索キーとして、ロケーションサービスDB(データベース)から接続先サーバのIPアドレス(またはFQDN)を取得し、このIPアドレスをIPパケットの宛先アドレスとして、SIPメッセージを接続先サーバに転送する。接続先サーバの所属ドメインがSIPプロキシ(または送信元クライアント)の所属ドメインと異なった場合は、SIPメッセージは、接続先サーバの所属ドメインに位置した別のSIPプロキシに転送され、転送先のSIPプロキシが、ロケーションサービスDBから接続先サーバのIPアドレスまたはFQDNを取得して、SIPメッセージを接続先サーバに転送する。
上述したように、セッション管理サーバ(SIPプロキシ)経由のセッション設定を前提とするネットワークでは、セッション管理サーバが、受信したSIPメッセージに含まれる要求リソース識別子(SIP−URL)から、接続先サーバが所属するドメインを判定し、受信メッセージを接続先サーバあるいは接続先セッション管理サーバに転送するようになっている。しかしながら、IP網に接続されるクライアント端末上で実行される一般のアプリケーションプログラムは、接続先サーバの指定に、上述したAOR形式のSIP−URIのようにドメイン名を含む識別子ではなく、IPアドレスのように接続先サーバのみを示す識別子を使用している。
アプリケーションプログラムまたは暗号化通信ソフトが、接続先サーバをIPアドレスで指定してサーバとの接続要求を発行し、クライアントが、接続先サーバをIPアドレスで指定した形で接続要求SIPメッセージを送信した場合、セッション管理サーバ(SIPプロキシ)は、受信した接続要求メッセージの転送先ドメインを特定することができない。この場合、クライアントが図3に示した認証システムの利点を享受できないという問題がある。
本発明の目的は、接続先サーバをIPアドレスで指定したセッション制御メッセージをセッション管理サーバ経由で接続先サーバに転送可能にしたデータ通信方法およびシステムを提供することにある。
本発明の他の目的は、クライアントが発生する接続先サーバをIPアドレスで指定した接続要求をセッション管理サーバ経由で接続先サーバに転送可能にしたデータ通信方法およびシステムを提供することにある。
本発明の更に他の目的は、クライアントとサーバとの間の暗号化データ通信を可能にし、且つ、暗号化データ通信に先立って必要となるクライアントとサーバとの間の認証手順を容易にしたデータ通信方法およびシステムを提供することにある。
上記目的を達成するため、本発明では、クライアントのアプリケーションプログラムまたは暗号化通信ソフトが、接続先サーバをIPアドレスで指定した形で接続要求を発行した時、クライアントまたはセッション管理サーバで、上記IPアドレスをドメイン識別可能な所望のリソース識別子に自動的に変換することを特徴とする。
本発明によるクライアントとサーバとの間のデータ通信方法は、クライアントからセッション管理サーバに、接続先サーバのIPアドレスを指定して、該接続先サーバに割り当てられた所属ドメイン名を含むリソース識別子を問い合わせる第1ステップと、上記セッション管理サーバが、IPアドレスとリソース識別子との対応関係を管理しているロケーションテーブルから、上記接続先サーバのIPアドレスと対応するリソース識別子を取得し、上記クライアントに通知する第2ステップと、上記クライアントから上記セッション管理サーバに、要求リソースを上記接続先サーバのリソース識別子で指定した接続要求メッセージを送信する第3ステップと、上記セッション管理サーバが、受信した接続要求メッセージに記述された上記リソース識別子に含まれるドメイン名に基づいて受信メッセージの転送先を判定し、受信メッセージを接続先サーバまたは該接続先サーバの所属ドメインを管理する別のセッション管理サーバに転送する第4ステップとからなることを特徴とする。
本発明によるデータ通信方法の別の実施例は、クライアントからセッション管理サーバに、要求リソースを接続先サーバのIPアドレスで指定した接続要求メッセージを送信する第1ステップと、上記接続要求メッセージを受信したセッション管理サーバが、IPアドレスとリソース識別子との対応関係を管理しているロケーションテーブルから、上記接続先サーバのIPアドレスと対応するリソース識別子を取得する第2ステップと、上記セッション管理サーバが、受信メッセージに要求リソースとして記述されたIPアドレスを上記ロケーションテーブルから取得したリソース識別子に書き換える第3ステップと、上記セッション管理サーバが、上記リソース識別子に含まれるドメイン名に基づいて受信メッセージの転送先を判定し、受信メッセージを接続先サーバまたは該接続先サーバの所属ドメインを管理する別のセッション管理サーバに転送する第4ステップとからなることを特徴とする。
本発明によるデータ通信方法の更に他の実施例は、クライアントから接続先となるサーバに、該サーバに割り当てられた所属ドメイン名を含むリソース識別子を問い合わせる第1ステップと、上記サーバから上記クライアントに、問い合わせリソース識別子を通知する第2ステップと、上記クライアントからセッション管理サーバに、要求リソースを上記接続先サーバのリソース識別子で指定した接続要求メッセージを送信する第3ステップと、上記セッション管理サーバが、受信した接続要求メッセージに記述された上記リソース識別子に含まれるドメイン名に基づいて受信メッセージの転送先を判定し、受信メッセージを接続先サーバまたは該接続先サーバの所属ドメインを管理する別のセッション管理サーバに転送する第4ステップとからなることを特徴とする。
更に詳述すると、本発明のデータ通信方法は、接続要求メッセージの受信に応答して、接続先サーバからセッション管理サーバを介して要求元クライアントに、暗号化通信に必要となるパラメータ情報を含む接続応答メッセージを返送する第5ステップと、上記クライアントと接続先サーバとの間で、上記接続応答メッセージで指定されたパラメータ情報に従って暗号化されたメッセージを含むパケットを通信する第6ステップを含む。
上記セッション管理サーバは、例えば、SIP(Session Initiation Protocol)サーバからなる。この場合、クライアントとセッション管理サーバとの間の通信メッセージは、例えば、RFC3261に規定されたTLS(Transport Layer Security)によって暗号化され、クライアントと接続先サーバとの間の通信データは、例えば、RFC2401に規定されたIPsec(Internet Protocol Security)によって暗号化される。
本発明によって提供されるセッション管理サーバは、クライアントから、要求リソースを接続先サーバのIPアドレスで指定した接続要求メッセージを受信した時、IPアドレスとリソース識別子との対応関係を管理しているロケーションテーブルから、上記接続先サーバのIPアドレスと対応するリソース識別子を取得し、受信メッセージに記述された要求リソースをIPアドレスから上記リソース識別子に書き換えるための手段と、上記リソース識別子に含まれるドメイン名に基づいて受信メッセージの転送先を判定し、受信メッセージを接続先サーバまたは該接続先サーバの所属ドメインを管理する別のセッション管理サーバに転送するための手段とを備えたことを特徴とする。
上記セッション管理サーバは、具体的には、通信ネットワークに接続されたネットワークインタフェース部と、セッション制御メッセージを処理するメッセージ処理部と、上記ネットワークインタフェース部から受信した暗号化メッセージを復号化して上記メッセージ処理部に渡すと共に、上記メッセージ処理部から出力されたセッション制御メッセージを暗号化して上記ネットワークインタフェース部に出力するためのセキュリティ部とを有し、上記メッセージ処理部が、上述した要求リソースの書き換え手段と受信メッセージの転送手段を備える。
本発明によって提供されるクライアント端末は、通信ネットワークに接続されたネットワークインタフェース部と、セッション制御メッセージを処理するメッセージ処理部と、アプリケーションプログラムが発生する接続先サーバ宛の送信メッセージを暗号化して上記ネットワークインタフェース部に出力すると共に、上記ネットワークインタフェース部から受信した暗号化メッセージを復号化して上記アプリケーションプログラムに渡すための第1セキュリティ部と、上記セキュリティ部から、接続先サーバとの暗号化パラメータの交換要求が発生した時、接続先サーバをIPアドレスで指定した接続要求メッセージを上記メッセージ処理部に出力し、上記メッセージ処理部から接続応答メッセージを受信した時、該受信メッセージから抽出した暗号化パラメータを上記第1セキュリティ部に渡すセキュリティ情報制御部とからなり、
上記メッセージ処理部が、上記セキュリティ情報制御部から接続要求メッセージを受信した時、上記IPアドレスに基づいて上記セッション管理サーバまたは接続先サーバから接続先サーバのリソース識別子を取得し、該リソース識別子で要求リソースを指定した形で、上記接続要求メッセージを上記セッション管理サーバに送信することを特徴とする。
実際の応用では、本発明のクライアント端末は、上記ネットワークインタフェース部から受信した暗号化されたセッション制御メッセージを復号化して上記メッセージ処理部に渡すと共に、上記メッセージ処理部から出力されたセッション制御メッセージを暗号化して上記ネットワークインタフェース部に出力するための第2セキュリティ部を有し、
接続先サーバとの通信データが上記第1セキュリティ部によって暗号化され、セッション管理サーバと通信メッセージが上記第2セキュリティ部によって暗号化される。
本発明によれば、クライアントのアプリケーションプログラムまたは暗号化通信ソフトから、要求リソース(接続先サーバ)をIPアドレスで指定した形で接続要求が発行された場合でも、接続要求メッセージの要求リソースをIPアドレスからドメイン識別可能なリソース識別子に自動的に変換できる。従って、接続要求メッセージを転送制御するセッション管理サーバにおいて、受信メッセージのリソース識別子から転送先ドメインを判定し、受信メッセージを接続先サーバ、または接続先サーバの所属ドメインに位置した別のセッション管理サーバに転送することが可能となる。
本発明によれば、一般のアプリケーションプログラムを実行するクライアントでも、セッション管理サーバによる認証機能を利用することによって、接続先サーバとの間で容易に暗号化通信を実現できる。
以下、本発明の実施例について図面を参照して説明する。
図4は、本発明が適用されるネットワーク構成の1例を示す。
ここに示したネットワークは、SIPサーバSIPaが管理する第1ドメインを形成する第1のネットワークNW1と、SIPサーバSIPbが管理する第2ドメインを形成する第2のネットワークNW2と、ロケーションサーバLSVと、DNS(Domain Name System)とからなる。
第1のネットワークNW1には、クライアントCL1a、CL2aと、サーバSV1a、SV2aが接続され、第2のネットワークNW2には、クライアントCL1b、CL2bと、サーバSV1b、SV2bが接続されている。また、SIPサーバSIPaは、SIPプロキシPRaとレジストラPGaとからなり、SIPサーバSIPbは、SIPプロキシPRbレジストラPGbとからなっている。
ここで、各クライアントおよびサーバに付随して括弧内に示した文字列は、SIPメッセージの転送先識別子(リソース識別子)となるAOR(Address-of-Record)形式のSIP−URIの値を示している。第1ネットワークNW1に接続されたクライアントとサーバには、SIPサーバSIPaのドメイン識別子「aaa.com」を含むAORが割り当てられ、第2ネットワークNW2に接続されたクライアントとサーバには、SIPサーバSIPbのドメイン識別子「bbb.com」を含むAORが割り当てられている。
本発明のSIPサーバSIPa、SIPbは、それぞれの管轄下にあるクライアントから、接続先サーバをIPアドレスで指定したSIPメッセージを受信した時、ロケーションサーバLSVに、上記接続先IPアドレスと対応するAOR(リソース識別子)の検索(ロケーションデータ検索)を要求する。また、SIPサーバSIPa、SIPbは、それぞれ他のSIPサーバから、接続先サーバをAORで指定したSIPメッセージを受信した時、ロケーションサーバLSVに、上記接続先AORと対応するIPアドレスの検索を要求する。
ロケーションサーバLSVは、ロケーションサービス・データベース(DB)に、例えば、図5に示すように、SIPサーバSIPa、SIPbの管轄下にあるクライアントおよびサーバと対応した複数のエントリEN−1、EN−2,・・・からなり、各エントリが、クライアントまたはサーバのAOR61とIPアドレス62との対応関係を示すロケーションサービステーブル60を備えている。ロケーションサーバLSVは、SIPサーバからのロケーションデータ検索要求に応答して、上記ロケーションサービステーブル60から、検索キーとして指定されたIPアドレス(またはAOR)と対応するAOR(またはIPアドレス)を検索し、検索結果を要求元SIPサーバに返送する。
図6は、SIPプロキシPRaのハードウェア構成を示す。
SIPプロキシPRaは、プロセッサ(CPU)11と、プロセッサが実行する各種ソフトウェアとデータを記憶するためのメモリ12およびハードディスク13と、ネットワークNW1(NW2)に接続するためのネットワークインタフェース14と、入出力装置15とからなり、これらの要素は内部バス16によって相互接続されている。SIPプロキシPRb、レジストラRGa、RGb、クライアントCL1a〜CL2b、サーバSV1a〜SV2bも、基本的には、図6に示したSIPプロキシPRaと同様の構成要素からなる。
以下、図4に示した第1ドメインに所属するクライアントCL1aが、第2ドメインに所属するサーバSV1bと暗号化データ通信する場合の通信手順を例にして、本発明の第1の実施例について説明する。
図7は、クライアントCL1aの基本的なソフトウェア構造を示す。他のクライアントCL1b〜CL2bも、これと同様のソフトウェア構造となっている。
クライアントCL1aのソフトウェアは、ネットワークインタフェースカード部(NIC)20Cと、IPsec暗号化/復号化機能を備えたIPsecエンジン31Cを含むTCP/IPレイヤ部30Cと、アプリケーションプログラム40Cと、鍵管理プロセス部50Cとからなる。第1実施例では、鍵管理プロセス部50Cが、SP/SA(Security Policy/ Security Association)制御部51Cと、TLS(Transport Layer Security)部52Cと、SIPメッセージ処理部53Cとを備えたことを特徴としている。
図8は、サーバSV1bの基本的なソフトウェア構造を示す。他のサーバSV1a、SV2a、SV2bも、これと同様のソフトウェア構造となっている。
サーバSV1bのソフトウェアは、ネットワークインタフェースカード部(NIC)20Sと、IPsec暗号化/復号化機能を備えたIPsecエンジン31Sを含むTCP/IPレイヤ部30Sと、アプリケーションプログラム40Sと、鍵管理プロセス部50Sとからなり、鍵管理プロセス部50Sが、SP/SA制御部51Sと、TLS部52Sと、SIPメッセージ処理部53Sとを備えている。
クライアントCL1aのアプリケーションプログラム40CとサーバSV1bのアプリケーションプログラム40Sは、それぞれが備えるIPsecエンジン31C、31SのIPsec暗号化/復号化機能を利用して、暗号化データを通信する。一方、クライアントCL1aのSIPメッセージ処理部53Cは、後述するSIPサーバSIPa(SIPプロキシPRa、レジストラRGa)のSIPメッセージ処理部との間で、それぞれが備えるTLS部のメッセージ暗号化/復号化機能を利用して、暗号化されたSIPメッセージを通信する。同様に、サーバSV1bのSIPメッセージ処理部53Sも、SIPサーバSIPa(SIPプロキシPRa、レジストラRGa)のSIPメッセージ処理部との間で、それぞれが備えるTLS部のメッセージ暗号化/復号化機能を利用して、暗号化されたSIPメッセージを通信する。
図9は、SIPプロキシPRaの基本的なソフトウェア構造を示す。SIPプロキシPRbも、これと同様のソフトウェア構造となっている。
SIPプロキシPRaのソフトウェアは、ネットワークインタフェースカード部(NIC)20Pと、TCP/IPレイヤ部30Pと、鍵管理プロセス部50Pとからなり、鍵管理プロセス部50Pが、TLS部52Pと、SIPメッセージ処理部53Pとを備えている。SIPメッセージ処理部53Pは、後述するSIP−URL(AOR)検索機能54を備えている。SIPプロキシPRaのSIPメッセージ処理部53Pは、TLS部52Pのメッセージ暗号化/復号化機能を利用して、管理下にあるドメインに所属したクライアント、サーバ、および他のドメインを管理する他のSIPプロキシ、例えばPRbと暗号化メッセージを通信する。
図10は、レジストラRGaの基本的なソフトウェア構造を示す。レジストラRGbも、これと同様のソフトウェア構造となっている。
レジストラRGaのソフトウェアは、ネットワークインタフェースカード部(NIC)20Rと、TCP/IPレイヤ部30Rと、メッセージの暗号化/復号化機能を備えたTLS部52Rと、SIPメッセージ処理部53Rと、レジストラ処理部60Rとからなっている。SIPメッセージ処理部53Rは、クライアントが発行したAOR取得要求、またはSIPプロキシPRaが発行したAOR取得要求を受信すると、レジストラ処理部60Rにロケーションデータの検索を要求する。レジストラ処理部60Rは、SIPメッセージ処理部53Rからの要求に応答して、ロケーションサーバLSVが備えるロケーションサービスDBをアクセスする。尚、レジストラRGaとSIPプロキシPRaとの間の通信には、暗号化は適用されない。
図11と図12は、本発明による暗号化データ通信の第1の実施例を示すシーケンス図を示している。第1の実施例では、クライアントCL1aがAOR取得要求を発行する。
本実施例において、クライアントCL1aからの接続要求先となる第2ネットワークに接続されたサーバSV1bは、クライアントCL1aからの接続要求に先立って、SIPサーバSIPbのレジストラRGbとの間で、サーバSV1bの認証と暗号化通信用のパラメータ設定のためのTLSネゴシェーション(S1)を実行した後、レジストラRGbにロケーション登録要求メッセージ(SIPメッセージ:REGISTER)M1を送信する。
ロケーション登録要求メッセージM1は、例えば、図13に示すように、IPヘッダH1と、UDP/TCPヘッダH2とを付したIPパケット形式で送信される。IPヘッダH1は、宛先アドレスとしてレジストラRGb(SIPサーバSIPa)のIPアドレス、送信元アドレスとしてサーバSV1bのIPアドレスを含む。
SIPメッセージは、SIPメッセージの種類(Request-Method)を示すスタートラインと、要求または応答内容を記述したヘッダ部と、必要に応じてセッション内容を記述したメッセージボディ部とからなる。メッセージの種類によっては、上記スタートラインに、該メッセージの宛先を示すリソース識別子(Request-URI)が記述される。また、メッセージボディ部におけるセッション内容の記述には、RFC3266で仕様化されたSDP(Session Description Protocol)が適用される。
サーバSV2bが発行するロケーション登録要求メッセージM1の場合、スタートラインには、SIPメッセージの種類として「REGISTER」、メッセージ宛先を示すリソース識別子として、レジストラRGbのSIP−URIである「registrar.bbb.com」が含まれる。また、スタートラインに続くヘッダ部には、SIPメッセージの経路を示すViaヘッダ、メッセージの宛先を示すToヘッダ、メッセージの送信元を示すFromヘッダ、送信元で指定したセッション識別子を示すCall−IDヘッダ、要求メソッドを示すCSecヘッダ、ロケーションサービステーブルに登録すべきサーバSV1bのIPアドレス「sv1@192.0.2.4」を含むContactヘッダ、メッセージの有効時間を示すExpiresヘッダ、後続するメッセージボディ部の長さを示すContent−Lengthヘッダ、その他のヘッダ情報が含まれる。ロケーション登録要求メッセージM1の場合、メッセージボディ部は省略されるため、Content−Lengthヘッダには値「0」が設定され、ToヘッダとFromヘッダには、要求元サーバSV1bのURIの値「sv1@bbb.com」が設定されている。
レジストラRGbは、上記ロケーション登録要求メッセージM1を受信すると、ロケーションサービスDBのロケーションサービステーブル60に、受信メッセージのFromヘッダが示す要求元URI「sv1@bbb.com」とContactヘッダが示す要求元IPアドレス「sv1@192.0.2.4」との関係を示すロケーションデータを登録し(S2)、ロケーションデータの登録が完了すると(S3)、要求元サーバSV2bに、図14に示すロケーション登録応答メッセージM2を送信する。ロケーション登録応答メッセージM2のスタートラインは、SIPメッセージの種類として、応答メッセージであることを示す「200 OK」を含み、ヘッダ部には、ロケーション登録要求メッセージM1と略同一内容のヘッダ情報が設定される。
この状態で、クライアントCL1aのユーザが、アプリケーションプログラムを立ち上げ、サーバSV1bのIPアドレス宛にパケットを送信する操作を行った場合、本発明の第1の実施例では、クライアントCL1aが、SIPサーバSIPa(レジストラRGa)との間で、クライアントの認証と暗号化通信用のパラメータ設定のためのTLSネゴシェーション(S4)を実行した後、SIPサーバSIPa(レジストラRGa)にAOR(Address-of-Record)取得要求メッセージ(SIPメッセージ:GET AOR)M3を送信する。
上記AOR取得要求メッセージM3は、例えば、図15に示すように、スタートラインに、SIPメッセージ種類を示す「GET AOR」と、レジストラRGaのURIである「registrar.aaa.com」を含み、Viaヘッダは、クライアントCL1aのSA/SP処理部51Cの識別子となるURIの値を示している。また、Toヘッダには、クライアントCL1aの接続相手となるサーバSV1bのIPアドレス「192.0.2.4」が設定され、Fromヘッダには、クライアントCL1aのURI「cl1@aaa.com」が設定されている。
レジストラRGaは、AOR取得要求メッセージM3を受信すると、ロケーションサービスDBのロケーションサービステーブル60から、受信メッセージのToヘッダが示すIPアドレス「192.0.2.4」と対応するAOR(サーバSV1bのURI)の値を検索し(S5)、ロケーションデータAORの検索が完了すると(S6)、要求元クライアントCL1aにAOR取得応答メッセージM4を送信する。
AOR取得応答メッセージM4は、図16に示すように、スタートラインに、メッセージ種類が応答メッセージであることを示す「200 OK」を含み、ヘッダ部には、AOR取得要求メッセージM3と略同一内容のヘッダ情報と、ロケーションサービステーブル60から検索されたサーバSV1bのURIの値「sv1@bbb.com」を示すAORヘッダが記述されている。
上記AOR取得応答メッセージM4の受信によって接続先サーバSV1bのURLを取得したクライアントCL1aは、SIPサーバSIPaのSIPプロキシPRaとの間で、クライアントの認証と暗号化通信用のパラメータ設定のためのTLSネゴシェーション(S7)を実行した後、SIPプロキシPRaに対して、サーバSV1bへの接続要求メッセージM5を送信する。
接続要求メッセージM5は、図17に示すように、接続要求メッセージのヘッダ部M5−1とボディ部M5−2とからなり、接続要求メッセージのヘッダ部M5−1は、スタートラインに、メッセージ種類「REGISTER」と、Request−URIとして、メッセージ宛先となるサーバSV1bのSIP−URI「sv1@bbb.com」を含む。また、ヘッダ情報として、クライアントCL1aにおけるSIPメッセージ処理部53CのSIP−URIを示すViaヘッダ、サーバSV1bのSIP−URI「sv1@bbb.com」を含むToヘッダ、クライアントCL1aのSIP−URI「cl1@aaa.com」を含むFromヘッダと、Content−Typeヘッダ、Content−Lengthヘッダ、その他の情報を含む。Content−Typeヘッダは、ボディ部M5−2が関係するアプリケーションプログラムを示し、Content−Lengthヘッダは、ボディ部M5−2の長さを示している。
接続要求メッセージM5のボディ部M5−2は、例えば、図18に示すように、クライアントCL1aとサーバSV1bとの間での暗号化通信に適用するSA情報として、IKEにおける通常のIPsec用SA設定時と同様、暗号化プロトコルの識別情報を示すプロポーザルペイロード91と、トランスフォーム識別情報を示すトランスフォームペイロード92、鍵交換ペイロード93、要求元の識別情報を示す第1IDペイロード94と、接続先の識別情報を示す第2IDペイロード95を含んでいる。
ここでは、クライアントCL1aが、2つのトランスフォームペイロード92−1、92−2で、トランスフォームIDとして「ESP-AES」と「ESP-3DES」を提案しており、そのうちの1つを接続先サーバSV1bが選択して、接続応答メッセージでクライアントに通知することになる。尚、第1IDペイロード94のIDデータは、要求元クライアントCL1aのIPアドレスを示し、第2IDペイロード95のIDデータは、接続先サーバSV1bのIPアドレスを示す。
SIPプロキシPRaは、上記接続要求メッセージM5を受信すると、要求元クライアントCL1aにサーバSV1bと接続中であることを通知するために、図19に示す接続中メッセージM6を送信した後、接続先サーバSV1bが所属するドメインのSIPプロキシPRbとの間で、相互の認証と暗号化通信用のパラメータ設定のためのTLSネゴシェーション(S8)を実行する。接続中メッセージM6は、スタートラインに、メッセージ種類として、要求を実行中であることを示す「100 Trying」を含み、ヘッダ部に、接続要求メッセージM5から抽出されたVia、To、From、Call−ID、CSec等の数項目のヘッダ情報を含み、メッセージボディ部は省略されている。
SIPプロキシPRaは、SIPプロキシPRbとの間のTLSネゴシェーションが終わると、クライアントから受信した接続要求メッセージM5に、自分のSIP−URI「proxy.aaa.com」を含む新たなViaヘッダと、接続要求がURI「proxy.aaa.com」を経由したことを示すRecord−Routeヘッダを追加し、図20に示す接続要求メッセージM7として、SIPプロキシPRbに送信する。
SIPプロキシPRbは、上記接続要求メッセージM7を受信すると、受信メッセージのスタートラインから宛先URI「SV1@aaa.com」を抽出し、図12に示すように、ロケーションサーバLSVに対して、ロケーションサービスDBからの上記宛先URIと対応したIPアドレスの検索(ロケーションデータ検索)を要求する(S9)。SIPプロキシPRbは、ロケーションサービスDBの検索結果を示すロケーションデータ(IPアドレス「sv1@192.0.2.4」)を受信すると(S10)と、上記接続要求メッセージM7の要求元SIPプロキシPRaに対して、図21に示す接続中メッセージM8を送信した後、IPアドレス「sv1@192.0.2.4」で特定される接続先サーバSV1bとの間で、相互の認証と暗号化通信用のパラメータ設定のためのTLSネゴシェーション(S11)を実行する。
SIPプロキシPRbは、接続先サーバSV1bとの間のTLSネゴシェーションが終了すると、接続要求メッセージM7のRequest−URIをIPアドレス「sv1@192.0.2.4」に書き換え、自分のSIP−URI「proxy.bbb.com」を含む新たなViaヘッダと、接続要求がURI「proxy.bbb.com」を経由したことを示すRecord−Routeヘッダを追加し、図22に示す接続要求メッセージM9として接続先サーバSV1bに送信する。
接続先サーバSV1bは、上記接続要求メッセージM9に応答して、接続応答メッセージM10を返信する。接続応答メッセージM10は、図23に示すように、ヘッダ部M10−1とボディ部M10−2とからなり、ヘッダ部M10−1のスタートラインには、メッセージ種類として、応答メッセージであることを示す「200 OK」を含み、スタートラインに続いて、接続要求メッセージM9と同様の複数項目のヘッダ情報を含む。また、ボディ部M10−2は、例えば、図24に示すように、接続要求メッセージM10のボディ部M5−2で提案された2つのトランスフォームペイロード92−1、92−2のうち、サーバSV1bが選択した1つのトランスフォームペイロード(この例では、EPS-AES)を残している。
SIPプロキシPRbは、接続応答メッセージM10を受信すると、受信メッセージのヘッダ部から自URIを含むViaヘッダを除去し、図25に示す接続応答メッセージM11に変換して、SIPプロキシPRaに送信する。SIPプロキシPRaは、接続応答メッセージM11を受信すると、受信メッセージのヘッダ部から自URIを含むViaヘッダを除去し、図26に示す接続応答メッセージM12に変換して、要求元クライアントCL1aに送信する。
要求元クライアントCL1aは、接続応答メッセージM12を受信すると、受信メッセージのボディ部M10−2を解析して、接続先サーバSV1bとのIPsec通信に適用すべきSA情報を決定し、これをSADB33Cに登録した後、図27に示す接続確認メッセージM13をSIPプロキシPRaに送信する。接続確認メッセージM13は、スタートラインに、メッセージ種類「ACK」と、Request−URIとしてサーバSV1bのSIP−URIを含み、ヘッダ情報として、Via、To、From、Call−ID、CSec、Routeヘッダを含み、メッセージボディ部は省略されている。Routeヘッダには、接続応答メッセージM12のRecord−Routeヘッダから抽出されたURIの値が設定される。
上記接続確認メッセージM13は、SIPプロキシPRaで新たなViaヘッダを追加し、SIPプロキシPRaと対応するRouteヘッダを除去して、図28に示す接続確認メッセージM14としてSIPプロキシPRbに転送される。SIPプロキシPRbは、接続確認メッセージM14に新たなViaヘッダを追加し、SIPプロキシPRbと対応するRouteヘッダを除去し、図29に示す接続確認メッセージM15に変換して接続先サーバSV1bに転送する。
サーバSV1bが上記接続確認メッセージM15を受信することによって、クライアントCL1aとサーバSV1bは、IPsec暗号化を適用したアプリケーション間のデータ通信(S20)が可能となる。すなわち、クライアントCL1aは、サーバSV1bへの送信データをSADB33Cに登録されているSA情報に従って暗号化し、これをIPパケット形式で送信する。サーバSV1bは、クライアントCL1aからの受信データをSADB33Vに登録されているSA情報に従って復号化し、クライアントCL1aへの送信データを上記SA情報に従って暗号化して、IPパケット形式で送信できる。
クライアントCL1aは、サーバSV1bとの間でのデータ通信が終了すると、SIPプロキシPRaに対して、図30に示す切断要求メッセージM20を送信する。切断要求メッセージM20は、スタートラインに、メッセージ種類「BYE」とサーバSV1bのSIP−URIを含み、ヘッダ情報として、接続確認メッセージM13と同様、Via、To、From、Call−ID、CSec、Routeヘッダを含み、メッセージボディ部は省略される。
SIPプロキシPRaは、上記切断要求メッセージM20を受信すると、要求元のクライアントVL1aに対して、図31に示す切断中メッセージM21を送信した後、切断要求メッセージM20に新たなViaヘッダを追加し、SIPプロキシPRaと対応するRouteヘッダを除去し、図32に示す切断要求メッセージM22として、SIPプロキシPRbに送信する。切断中メッセージM21は、スタートラインに、メッセージ種類として、要求を実行中であることを示す「110 Trying」を含み、ヘッダ部に、切断要求メッセージM20から抽出されたVia、To、From、Call−ID、CSec等の数項目のヘッダ情報を含み、メッセージボディ部は省略されている。
SIPプロキシPRbは、上記切断要求メッセージM22を受信すると、SIPプロキシPRaに対して、図33に示す切断中メッセージM23を送信した後、切断要求メッセージM22に新たなViaヘッダを追加し、SIPプロキシPRbと対応するRouteヘッダを除去し、図34に示す切断要求メッセージM24として、サーバSV1bに送信する。
サーバSV1bは、切断要求メッセージM24を受信すると、図35に示す切断応答メッセージM25をSIPプロキシPRbに送信する。切断応答メッセージM25は、スタートラインに、メッセージ種類として、応答を示す「200 OK」を含み、ヘッダ部に、切断要求メッセージM24から抽出されたVia、To、From、Call−ID、CSec等の数項目のヘッダ情報を含み、メッセージボディ部は省略されている。
SIPプロキシPRbは、切断応答メッセージM25を受信すると、受信メッセージのヘッダ部から自URIを含むViaヘッダを除去し、図36に示す切断応答メッセージM26に変換して、SIPプロキシPRaに送信する。SIPプロキシPRaは、切断応答メッセージM26を受信すると、受信メッセージのヘッダ部から自URIを含むViaヘッダを除去し、図37に示す切断応答メッセージM27に変換して、要求元クライアントCL1aに送信する。要求元クライアントCL1aは、上記切断応答メッセージM27を受信すると、IPsec暗号化/復号化を終了し、同一または別のアプリケーションによる新たなパケット送信要求を待つ。
次に、図38〜図48を参照して、上述した本発明の第1実施例の暗号化データ通信を可能にするクライアントCL1a、SIPサーバSIPa(SIPプロキシPRa、レジストラRGa)、サーバSV2bの制御動作について説明する。
図38は、クライアントCL1aにおいて、IPsecエンジン31が発行する暗号鍵交換要求に応答してSP/SA制御部51Cが実行する制御動作のフローチャート100を示す。
クライアントCL1aのIPsecエンジン31Cは、アプリケーション40CからIPパケットの送信要求を検出すると、SPDB(Security Policy Data Base)32Cを参照して、上記IPパケットにIPsec暗号化の適用要否を判定する。IPsec暗号化を適用すべきと判断した場合、IPsecエンジン31Cは、SADB(Security Association Data Base)33Cから、上記IPパケットに適用すべき暗号鍵などのSA(Security Association)情報を検索する。ここで、SADBにIPパケットに適用すべきSA情報が未登録の場合、IPsecエンジン31Cは、鍵管理プロセス50Cに対して、通信相手との暗号化パラメータの交換(鍵交換)を要求する。
本実施例では、IPsecエンジン31Cからの上記鍵交換要求をSP/SA制御部51Cで処理する。SP/SA制御部51Cは、鍵交換要求を受信すると、鍵交換要求が示すTCP/IP通信パラメータと、SP/SA制御部51Cが管理している利用可能なSA情報とに基づいて、図18に例示した接続要求メッセージのボディ部M5−2を作成し(ステップ101)、該接続要求メッセージボディ部M5−2をSIPメッセージ処理部53Cに渡し(102)、SIPメッセージ処理部53Cからの接続応答メッセージボディ部の受信を待つ(103)。
SP/SA制御部51Cは、SIPメッセージ処理部53Cから、図24に例示した接続応答メッセージボディ部M10−2を受信すると、受信した接続応答メッセージボディ部を解析し、今回のIPsec通信に使用すべきSA情報を決定し(104)、IPsecエンジン31Cに、SADB33Cに設定すべきSA情報を通知する(105)。
図39(図39A、39B)は、SP/SA制御部51Cから接続要求メッセージのボディ部を受信した時、SIPメッセージ処理部53Cが実行する制御動作のフローチャート110を示す。
SIPメッセージ処理部53Cは、SP/SA制御部51Cから接続要求メッセージのボディ部を受信すると、第2IDペイロードのIDデータが示す接続先サーバのIPアドレスと、SIPメッセージ処理部53Cが管理している通信制御パラメータとから、図15に例示したAOR取得要求メッセージM3を作成し(ステップ111)、該メッセージをTSL部52C、TCP/IP部30C、NIC部20Cを介して、クライアントCL1aと同一ドメインに位置するSIPサーバSIPa(レジストラRGa)宛に送信する(112)。このとき、TLS部52Cは、レジストラRGaとの間でTLSネゴシェーション(図11のS5)を実行した後、TLS暗号化されたAOR取得要求メッセージM3をTCP/IP部30C、NIC部20Cを介してレジストラRGaに送信する。上記AOR取得要求メッセージM3は、TCP/IP部30Cによって、SIPサーバSV1宛の宛先IPアドレスを含むIPヘッダH1とUDP/TCPヘッダH2とが付加され、IPパケット形式でネットワークNW1に送出される。
SIPメッセージ処理部53Cは、レジストラRGaからのAOR取得応答メッセージを待っており(113)、AOR取得応答メッセージを受信すると、受信メッセージを解析し(114)、AORヘッダから接続先サーバに割り当てられたAOR形式のSIP−URIを抽出する(115)。この後、SIPメッセージ処理部53Cは、上記SIP−URIをスタートラインとToヘッダに適用して、ヘッダ部M5−1とSP/SA制御部51Cから受信したボディ部M5−2とからなる図17に例示した接続要求メッセージM5を作成する(116)。
SIPメッセージ処理部53Cは、上記接続要求メッセージをTSL部52C、TCP/IP部30C、NIC部20Cを介して、SIPサーバSIPaのSIPプロキシPRa宛に送信し(117)、SIPプロキシPRaからの応答を待つ(118)。SIPプロキシPRaから接続中メッセージM6を受信した場合は、接続中メッセージ処理(119)を実行した後、SIPプロキシPRaからの次の応答を待つ。
SIPメッセージ処理部53Cは、SIPプロキシPRaから接続応答メッセージM12を受信すると、受信メッセージを解析し(120)、受信メッセージから抽出した図24に例示した接続応答メッセージボディ部M12−2をSP/SA制御部51Cに渡す(121)。この後、SIPメッセージ処理部53Cは、図27に例示した接続確認メッセージM13を作成し、これをTSL部52C、TCP/IP部30C、NIC部20Cを介して、SIPプロキシPRa宛に送信し(122)、このルーチンを終了する。
図40は、AOR取得要求メッセージM3を受信した時、レジストラRGaのSIPメッセージ処理部53Rが実行する制御動作のフローチャート200を示す。
レジストラRGaのSIPメッセージ処理部53Rは、受信したAOR取得要求メッセージM3を解析し(ステップ201)、Toヘッダが示す接続先サーバSV1bのIPアドレスを検索キーとして、ロケーションデータ検索クエリを作成し(202)、レジストラ処理部60Rを介して、上記検索クエリをロケーションサーバLSVに送信し(203)、ロケーションサーバからの応答を待つ(204)。
SIPメッセージ処理部53Rは、レジストラ処理部60Rを介して、ロケーションサーバLSVからロケーションデータを受信すると、受信データが示すSIP−URIをAORヘッダとして含む図16に例示したAOR取得応答メッセージM4を作成し(205)、該メッセージM4をTCP/IP部30R、NIC部20Rを介してAOR取得要求メッセージM3の送信元(この例では、クライアントCL1a)に送信し(206)、このルーチンを終了する。
図41(図41A〜図41D)は、クライアントCL1aから接続要求メッセージM5を受信した時、SIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作のフローチャート300を示す。
SIPプロキシPRaのSIPメッセージ処理部53Pは、クライアントCL1aからの接続要求メッセージM5を受信すると、受信メッセージを解析し(ステップ301)、受信メッセージのスタートラインに記述されたRequest−URIをチェックして(302)、上記Request−URIが示すドメイン名から、受信メッセージの転送先を判定する(303)。
受信メッセージの転送先が他のドメインに所属していると判定された場合、SIPメッセージ処理部53Pは、DNS検索(NAPTR検索+SRV検索+A検索)等によって、受信メッセージの転送先ドメインのSIPサーバ(SIPプロキシ)を決定する(304)。図11で示した例では、DNS検索によって、接続要求メッセージM5の転送先が、SIPプロキシPRbであることが判明する。この場合、SIPメッセージ処理部53Pは、図19で例示した接続中メッセージM6をTLS部52P、TCP/IP部30P、NIC部20Pを介して、接続要求メッセージM5の送信元であるクライアントCL1aに送信(305)した後、接続要求メッセージM5に新たなViaヘッダを付加した形の接続要求メッセージM7をSIPプロキシPRbに転送して(306)、SIPプロキシPRbからの応答を待つ(307)。
SIPメッセージ処理部53Pは、SIPプロキシPRbから接続中メッセージM8を受信すると、接続中メッセージ処理(308)を実行した後、SIPプロキシPRbからの次の応答を待つ。SIPメッセージ処理部53Pは、SIPプロキシPRbから接続応答メッセージM11を受信すると、受信メッセージを解析し(309)、受信メッセージから自SIP−URIを含むViaヘッダを除去し、接続応答メッセージM12として、接続要求元(クライアントCL1a)に転送する(310)。この後、SIPメッセージ処理部53Pは、接続要求元(クライアントCL1a)からの応答を待つ(311)。SIPメッセージ処理部53Pは、接続確認メッセージM13を受信すると、受信メッセージを解析し(312)、受信メッセージに自分のSIP−URIを含む新たなViaヘッダを付加し、接続確認メッセージM13として、SIPプロキシPRbに転送して(313)、このルーチンを終了する。
判定ステップ303で、クライアント端末CL1aから受信した接続要求メッセージの転送先が、例えば、サーバSV1a(またはSV2a)のように、SIPプロキシPRaと同一ドメインに所属していると判定された場合、SIPメッセージ処理部53Pは、受信メッセージのRequest−URIが示すSIP−URIを検索キーとするロケーションデータ(IPアドレス)検索クエリを作成し(315)、該ロケーションデータ検索クエリをロケーションサーバLSVに送信して(316)、ロケーションサービス応答を待つ(317)。
SIPメッセージ処理部53Pは、ロケーションサーバLSVからロケーションデータを受信すると、上記ロケーションデータが示す接続先サーバのIPアドレスを宛先IPアドレスに適用して、接続要求メッセージをIPパケット形式でネットワークNW1に送信し(318)、接続先サーバからの応答を待つ(319)。上記接続要求メッセージには、SIPプロキシPRaのSIP−URIを含む新たなViaヘッダが付加されている。
接続先サーバから接続応答メッセージを受信すると、SIPメッセージ処理部53Pは、受信メッセージを解析し(320)、自分と対応するViaヘッダを除去した形の接続応答メッセージを接続要求元に転送して(321)、接続要求元(クライアントCL1a)からの応答を待つ(322)。SIPメッセージ処理部53Pは、接続要求元から接続確認メッセージを受信すると、受信メッセージを解析し(323)、新たなViaヘッダを付加した形の接続確認メッセージを接続先サーバに転送して(324)、このルーチンを終了する。
図42(図42A、図42B)は、接続先サーバSV1bのSIPメッセージ処理部53Sが、SIPプロキシPRbから接続要求メッセージM9を受信した時に実行する制御動作のフローチャート400を示す。
SIPプロキシPRbから接続先サーバSV1bに送信された接続要求メッセージM9は、TLS部52Sで復号化した後、SIPメッセージ処理部53Sに入力される。SIPメッセージ処理部53Sは、接続要求メッセージM9を受信すると、受信メッセージを解析し(ステップ401)、受信メッセージから抽出した接続要求メッセージボディ部M5−2をSP/SA制御部51Sに渡し(402)、SP/SA制御部51Sからの応答を待つ(403)。
SIPメッセージ処理部53Sは、SP/SA制御部51Sから接続応答メッセージボディ部M10−2を受信すると、図25に例示した接続応答メッセージM11を作成する(404)。SIPメッセージ処理部53Sは、TLS部、TCP/IP部、NIC部を介して、上記接続応答メッセージM11をSIPプロキシPRbに転送し(405)、SIPプロキシPRbからの応答を待つ(406)。SIPメッセージ処理部53Sは、SIPプロキシPRbから、接続確認メッセージM15を受信すると、受信メッセージを解析し(407)、接続確認メッセージM15を受信したことをSP/SA制御部51Sに通知して(408)、このルーチンを終了する。
図43は、SIPメッセージ処理部53Sから接続要求メッセージボディ部M5−2を受信した時、サーバSV1bのSP/SA制御部51Sが実行する制御動作の示すフローチャート420を示す。
SP/SA制御部51Sは、SIPメッセージ処理部53Sから受信した接続要求メッセージボディ部M5−2を解析し(ステップ421)、接続要求メッセージボディ部M5−2に記述されたSA情報(図18の例では、トランスフォームペイロード92−1、92−2)から、クライアントとの暗号化通信に適用すべきSAを選択して、図24に例示した接続応答メッセージのボディ部M10−2を作成する(422)。SP/SA制御部51Sは、上記接続応答メッセージボディ部M10−2をSIPメッセージ処理部53Sに渡し(423)、SIPメッセージ処理部53Sからの応答を待つ(424)。SP/SA制御部51Sは、SIPメッセージ処理部53Sから接続確認メッセージの受信通知を受けると、IPsecエンジン31Sに対して、SADB33Sに設定すべきSA情報を通知して(425)、このルーチンを終了する。
図44は、クライアントCL1aにおいて、IPsecエンジン31Cが発行する暗号鍵消去要求に応答してSA/SP処理部51Cが実行する制御動作のフローチャート130を示す。
クライアントCL1aのユーザが、サーバSV1bと交信していたアプリケーションを終了すると、IPsecエンジン31CからSA/SP制御部51Cに、暗号鍵消去要求が発行される。SA/SP制御部51Cは、IPsecエンジン31Cから暗号鍵消去要求を受信すると、SIPメッセージ処理部53Cに、切断要求メッセージの発行を要求し(131)、SIPメッセージ処理部53Cからの応答を待つ(132)。SA/SP制御部51Cは、SIPメッセージ処理部53Cから切断応答メッセージの受信通知を受けると、IPsecエンジン31Cに対して、上記暗号鍵消去要求と対応するSADBの設定値消去を指示し(133)、このルーチンを終了する。
図45は、SA/SP制御部51Cから切断要求メッセージの発行要求を受信した時にSIPメッセージ処理部53Cが実行する制御動作のフローチャート140を示す。
SIPメッセージ処理部53Cは、SA/SP制御部51Cから切断要求メッセージの発行要求を受信すると、図30に例示した切断要求メッセージM20を作成し(ステップ141)、TLS部52C、TCP/IP部30CのIPsecエンジン31C、NIC部20Cを介して、上記切断要求メッセージM20のIPパケットをSIPサーバSIPa(SIPプロキシPRa)に送信する(142)。
SIPメッセージ処理部53Cは、SIPプロキシPRaからの応答を待ち(143)、切断中メッセージM21を受信した場合は、切断中メッセージ処理(144)を実行した後、SIPプロキシPRaからの次の応答を待つ。SIPメッセージ処理部53Cは、SIPプロキシPRaから図37に例示した切断応答メッセージM27を受信すると、受信メッセージを解析し(145)、SP/SA制御部51Cに切断応答メッセージの受信を通知し(146)、このルーチンを終了する。
図46(図46A、図46B)は、クライアントから切断要求メッセージM20を受信した時にSIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作のフローチャート340を示す。
SIPメッセージ処理部53Pは、受信した切断要求メッセージM20を解析し(ステップ341)、受信メッセージのRequest−URIをチェックする(342)。SIPメッセージ処理部53Pは、Request−URIに記述されたドメイン名から、受信メッセージの転送先を判定し(343)、転送先が他のドメインに所属していると判定された場合、DNS検索(NAPTR検索+SRV検索+A検索)等によって、受信メッセージの転送先ドメインのSIPサーバ(SIPプロキシ)を決定する(344)。
図12で示した例では、上記DNS検索によって、切断要求メッセージM20の転送先が、SIPプロキシPRbであることが判明する。この場合、SIPメッセージ処理部53Pは、TLS部52P、TCP/IP部30P、NIC部20Pを介して、切断要求メッセージM20の送信元であるクライアントCL1aに、図31に例示した切断中メッセージM21を送信(345)した後、切断要求メッセージM20に新たなViaヘッダを付加し、SIPプロキシPRaに対応するRouteヘッダを除去した切断要求メッセージM22をSIPプロキシPRbに転送し(346)、SIPプロキシPRbからの応答を待つ(347)。
SIPメッセージ処理部53Pは、SIPプロキシPRbから切断中メッセージM23を受信すると、切断中メッセージ処理(348)を実行した後、SIPプロキシPRbからの次の応答を待つ。SIPメッセージ処理部53Pは、SIPプロキシPRbから切断応答メッセージM26を受信すると、受信メッセージを解析し(349)、受信メッセージから自SIP−URIを含むViaヘッダを除去し、切断応答メッセージM27として、切断要求元(クライアントCL1a)に転送し(350)、このルーチンを終了する。
尚、判定ステップ343で、もし、クライアント端末CL1aから受信した切断要求メッセージM20の転送先が、SIPプロキシPRaと同一ドメインに所属していると判定された場合、SIPメッセージ処理部53Pは、受信メッセージのRequest−URIが示すSIP−URIを検索キーとするロケーションデータ(IPアドレス)検索クエリを作成し(351)、該検索クエリをロケーションサーバLSVに送信して(352)、ロケーションサービス応答を待つ(353)。
SIPメッセージ処理部53Pは、ロケーションサーバLSVからロケーションデータを受信すると、上記ロケーションデータが示すサーバIPアドレスを宛先IPアドレスに適用して、切断要求メッセージのIPパケットをネットワークNW1に送信し(354)、サーバからの応答を待つ(355)。尚、上記切断要求メッセージには、SIPプロキシPRaのSIP−URIを含む新たなViaヘッダが付加されている。
切断要求メッセージの宛先サーバから切断応答メッセージを受信すると、SIPメッセージ処理部53Pは、受信メッセージを解析し(356)、自分のViaヘッダを除去した形の切断応答メッセージを切断要求元に転送し(357)、このルーチンを終了する。
図47は、SIPプロキシから切断要求メッセージM24を受信した時、サーバSV1bのSIPメッセージ処理部53Sが実行する制御動作のフローチャート430を示す。
SIPメッセージ処理部53Sは、TLS部52Sを介して切断要求メッセージM24を受信すると、受信メッセージを解析し(ステップ431)、SP/SA制御部51Sに対して、切断すべき通信の識別情報(例えば、Call−ID)を指定して、切断要求の受信を通知し(432)、SP/SA制御部51Sからの応答を待つ(433)。SIPメッセージ処理部53Sは、SP/SA制御部51Sから切断応答を受信すると、図35に例示した切断応答メッセージM25を作成し(434)、TLS部、TCP/IP部、NIC部を介してSIPプロキシPRbに転送し(435)、このルーチンを終了する。
図48は、SIPメッセージ処理部53Sから切断要求の発生を通知された時、SP/SA制御部51Sが実行する制御動作のフローチャート440を示す。
SP/SA制御部51Sは、通知された通信識別情報にもとづいて、SADB33Sから消去すべきSA情報を特定し(ステップ441)、IPsecエンジン31Sに上記SA情報の消去を指示し(442)、このルーチンを終了する。
次に、図49から図59を参照して、本発明による暗号化データ通信の第2の実施例について説明する。
上述した第1実施例では、接続先サーバをIPアドレスで指定した形でパケット送信要求が発生した時、クライアントのSIPメッセージ処理部53Cが、上記接続先IPアドレスと対応したSIP−URIを取得するためのAOR取得要求を発行し、レジストラから取得したSIP−URIを適用して、SIPプロキシ宛の接続要求メッセージを発行した。
本発明の第2実施例は、接続先サーバをIPアドレスで指定した形でパケット送信要求が発生した時、クライアントが、接続先サーバをIPアドレスで指定した形の接続要求メッセージを発行し、該接続要求メッセージを受信したSIPプロキシが、受信メッセージのスタートラインに記述されたRequest−URIの形式をチェックし、接続先がIPアドレスで指定されていた場合、これをSIP−URIに書き換えて、接続先サーバの所属ドメインに位置する他のSIPサーバに接続要求メッセージを転送するようにしたことを特徴とする。
図49と図50は、本発明の第2実施例における暗号化通信シーケンス図を示す。図11、図12と同一符号で示された第1実施例で説明済みのステップとメッセージについては、できるだけ説明を省略する。
本発明の第2実施例では、クライアントCL1aは、接続先サーバをIPアドレスで指定した形でパケット送信要求が発生した時、SIPプロキシPRaとの間で、クライアントの認証と暗号化通信用パラメータ設定のためのTLSネゴシェーション(S7)を実行した後、SIPプロキシPRaに対して、直ちに接続要求メッセージM5xを送信する。ここで送信される接続要求メッセージM5xは、図51に示すように、スタートラインに記述されるRequest−URIと、ヘッダ部に記述されるToヘッダが、接続先サーバSV1bをIPアドレス「192.0.2.4」で指定している。ヘッダ部のその他のヘッダ情報と、接続要求メッセージボディ部M5−2の内容は、図17および図18に示した第1実施例の接続要求メッセージM5と同一である。
SIPプロキシPRaは、受信した接続要求メッセージM5xのRequest−URIが「SIP:IPアドレス」形式となっているため、ロケーションサービスDBのロケーションサービステーブル60から、上記IPアドレス「192.0.2.4」と対応するAOR(SIP−URI)を検索する(S5)。SIPプロキシPRaは、ロケーションサービステーブル60からAOR「sv1@bbb.com」を取得すると(S6)、要求元クライアントCL1aに、図52に示す接続中メッセージM6xを送信した後、接続先サーバSV1bが所属するドメインのSIPプロキシPRbとの間で、相互の認証と暗号化通信用のパラメータ設定のためにTLSネゴシェーション(S8)を実行する。接続中メッセージM6xの内容は、IPアドレス記述となっているToヘッダを除いて、図19に示した第1実施例の接続中メッセージM6と同一である。
SIPプロキシPRaは、SIPプロキシPRbとの間のTLSネゴシェーションが終了すると、SIPプロキシPRbに対して、図53に示す接続要求メッセージM7xを送信する。接続要求メッセージM7xは、クライアントCL1aから受信した接続要求メッセージM5xに、SIPプロキシPRaのSIP−URIを含むViaヘッダを追加し、
スタートラインのRequest−URIをIPアドレス「192.0.2.4」からSIP−URI「sv1@bbb.com」に書き換えた内容となっている。以下、第1実施例の同様の通信シーケンスが実行され、アプリケーション間のデータ通信状態(S20)に至る。
SIPプロキシPRbからSIPプロキシPRaに送信される接続中メッセージM8x、SIPプロキシPRbから接続先サーバSV1bに送信される接続要求メッセージM9x、サーバSV1bからSIPプロキシPRbに送信される接続応答メッセージM10x、SIPプロキシPRbからSIPプロキシPRaに送信される接続応答メッセージM11x、SIPプロキシPRaに要求元クライアントCL1aに送信される接続応答メッセージM12x、クライアントCL1aからSIPプロキシPRaに送信される接続確認メッセージM13x、SIPプロキシPRaからSIPプロキシPRbに送信される接続確認メッセージM14x、SIPプロキシPRbからサーバSV1bに送信される接続確認メッセージM15xは、IPアドレス記述となっているToヘッダを除いて、それぞれ第1実施例で例示したSIPメッセージM8〜M15と同一内容となる。
クライアントCL1aは、サーバSV1bとの間でのアプリケーションデータ通信が終了すると、SIPプロキシPRaに対して、図54に示す切断要求メッセージM20xを送信する。切断要求メッセージM20xは、スタートラインのRequest−URIとToヘッダが、サーバSV1bをIPアドレス「sv1@192.0.2.4」で指定している。ヘッダ部のその他のヘッダ情報は、図17および図18に示した第1実施例の接続要求メッセージM5と同一である。
SIPプロキシPRaは、上記切断要求メッセージM20xを受信すると、要求元のクライアントVL1aに対して、切断中メッセージM21xを送信した後、切断要求メッセージM20xを図55に示す切断要求メッセージM22xに変換して、SIPプロキシPRbに送信する。切断中メッセージM21xは、IPアドレス記述となっているToヘッダを除いて、図31に示した第1実施例の切断中メッセージM21と同一の内容となっている。切断要求メッセージM22xは、クライアントCL1aから受信した切断要求メッセージM20xに、SIPプロキシPRaのSIP−URIを含むViaヘッダを追加し、SIPプロキシPRaと対応するRouteヘッダを除去し、スタートラインのRequest−URIをIPアドレスからSIP−URIに書き換えた内容となっている。
SIPプロキシPRbは、上記切断要求メッセージM22を受信すると、SIPプロキシPRaに対して、切断中メッセージM23xを送信した後、切断要求メッセージM22xに新たなViaヘッダを追加し、SIPプロキシPRbと対応するRouteヘッダを除去し、スタートラインのRequest−URIをSIP−URIからIPアドレスに書き換え、切断要求メッセージM24xとしてサーバSV1bに送信する。切断中メッセージM23xと切断要求メッセージM24xは、IPアドレス記述となっているToヘッダを除いて、図33、図34に示した第1実施例のSIPメッセージと同一内容となっている。
サーバSV1bは、切断要求メッセージM24xを受信すると、SIPプロキシPRbに切断応答メッセージM25xを送信する。切断応答メッセージM25xは、IPアドレス記述となっているToヘッダを除いて、図35に示した第1実施例のSIPメッセージと同一内容となっている。上記切断応答メッセージM25xは、SIPプロキシPRbとSIPプロキシPRaで、第1実施例と同様の変換処理を受け、最終的に切断応答メッセージM27xとして、要求元クライアントCL1aに送信される。要求元クライアントCL1aは、上記切断応答メッセージM27xを受信すると、IPsec暗号化/復号化を終了し、同一または別のアプリケーションによる新たなパケット送信要求を待つ。
次に、図56〜図59を参照して、本発明の第2実施例の暗号化通信を可能にするクライアントCL1aと、SIPサーバSIPa(SIPプロキシPRa、レジストラRGa)の特徴的な動作について説明する。
第2実施例において、クライアントCL1aのIPsecエンジン31CとSA/SP制御部51Cは、第1実施例と同様の機能をもつ。図56は、第2実施例において、SA/SP制御部51Cから接続要求メッセージのボディ部受信した時、クライアントCL1aのSIPメッセージ処理部53Cが実行する制御動作のフローチャート110xを示している。
SIPメッセージ処理部53Cは、SP/SA制御部51Cから接続要求メッセージのボディ部M5−2を受信すると、第2IDペイロードのIDデータが示す接続先サーバのIPアドレスをスタートラインのRequest−URIとToヘッダに適用して、ヘッダ部M5x−1と、SP/SA制御部51Cから受信したボディ部M5−2とからなる図51に例示した接続要求メッセージM5xを作成する(111x)。
SIPメッセージ処理部53Cは、上記接続要求メッセージをTSL部52C、TCP/IP部30C、NIC部20Cを介して、SIPサーバSIPaのSIPプロキシPRa宛に送信し(117)、SIPプロキシPRaからの応答を待ち(118)、SIPプロキシPRaから接続中メッセージM6を受信した場合は、接続中メッセージ処理(119)を実行した後、更にSIPプロキシPRaからの応答を待つ。
SIPメッセージ処理部53Cは、SIPプロキシPRaから接続応答メッセージM12xを受信すると、受信メッセージを解析し(120)、受信メッセージから抽出した図24に例示した接続応答メッセージボディ部M12−2をSP/SA制御部51Cに渡す(121)。この後、SIPメッセージ処理部53Cは、接続確認メッセージM13xを作成し、該メッセージをTSL部52C、TCP/IP部30C、NIC部20Cを介して、SIPプロキシPRa宛に送信し(122)、このルーチンを終了する。
図57は、クライアントCL1aから接続要求メッセージM5xを受信した時、SIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作のフローチャート300xの特徴部分を示す。
SIPプロキシPRaのSIPメッセージ処理部53Pは、クライアントCL1aからの接続要求メッセージM5xを受信すると、受信メッセージを解析し(ステップ301)、受信メッセージのスタートラインに記述されたRequest−URIをチェックし(302)、Request−URIがドメイン名を含むか否かを判定する(330)。
Request−URIがドメイン名を含む場合、すなわち、「sips:ユーザ名@ドメイン名」形式の記述となっていた場合は、ステップ303で、Request−URIのドメイン名から接続要求メッセージの転送先を判定する。
Request−URIがドメイン名を含まない、すなわち、「sips:IPアドレス」形式の記述となっていた場合は、上記Request−URIが示す接続先サーバSV1bのIPアドレスを検索キーとして、ロケーションデータ検索クエリを作成し(331)、該検索クエリをロケーションサーバLSVに送信して(332)、ロケーションサーバからの応答を待つ(333)。SIPメッセージ処理部53Rは、ロケーションサーバLSVから、ロケーションデータとして接続先サーバSV1bのSIP−URIを受信すると、該SIP−URIを適用して、クライアントCL1aから受信した接続要求メッセージM5xのRequest−URIをIPアドレスからSIP−URIに書き換え、自分のSIP−URIを含むViaヘッダとRecord−Routeを追加して(334)、ステップ303で、Request−URIのドメイン名から接続要求メッセージの転送先を判定する。ステップ303以降の動作は、図41(図41A〜図41D)で説明した第1実施例と同様である。
図58は、クライアントCL1aにおいて、SA/SP制御部51Cから切断要求メッセージの発行要求を受信した時にSIPメッセージ処理部53Cが実行する制御動作のフローチャート140xを示す。
SIPメッセージ処理部53Cは、SA/SP制御部51Cから切断要求メッセージの発行要求を受信すると、スタートラインのRequest−URIとToヘッダに現在通信中のサーバSV1bのIPアドレス「sv1@192.0.2.4」を適用して、図54に例示した切断要求メッセージM20xを作成し(ステップ141x)、TLS部52C、TCP/IP部30CのIPsecエンジン31C、NIC部20Cを介して、SIPサーバSIPa(SIPプロキシPRa)に送信する(142)。
SIPメッセージ処理部53Cは、SIPプロキシPRaからの応答を待ち(143)、切断中メッセージM21xを受信した場合は、切断中メッセージ処理(144)を実行した後、SIPプロキシPRaからの次の応答を待つ。SIPメッセージ処理部53Cは、SIPプロキシPRaから切断応答メッセージM27xを受信すると、受信メッセージを解析し(145)、SP/SA制御部51Cに対して、切断応答メッセージの受信を通知し(146)、このルーチンを終了する。
図59は、クライアントから切断要求メッセージM20xを受信した時にSIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作のフローチャート340xを示す。
SIPメッセージ処理部53Pは、受信した切断要求メッセージM20xを解析し(ステップ341)、受信メッセージのRequest−URIをチェックして(342)、Request−URIがドメイン名を含むか否かを判定する(360)。Request−URIがドメイン名を含む場合は、ドメイン名から、受信メッセージの転送先を判定する(343)。Request−URIがドメイン名を含まない、すなわち、「sips:IPアドレス」形式の記述となっていた場合は、接続要求メッセージの受信時に図57のステップ331〜333で取得しておいた接続先サーバのSIP−URIを適用して、上記切断要求メッセージM20xのRequest−URIを書き換え(361)、該Request−URIが示すドメイン名から、受信メッセージの転送先を判定する(343)。ステップ343以降の動作は、図46(図46A〜図41C)で説明した第1実施例と同様である。
以上の如く、第2実施例のSIPプロキシPRaは、SIPメッセージ処理部53Pが、図9に示したように、受信SIPメッセージのRequest−URIが示すIPアドレスをSIP−URIに変換するためのSIP−URI(AOR)検索機能54を備えたことを特徴としている。
次に、図60〜図67を参照して、本発明による暗号化データ通信の第3の実施例について説明する。
第3実施例は、接続先サーバをIPアドレスで指定した形でパケット送信要求が発生した時、クライアントCl1aのSIPメッセージ処理部53Cが、上記IPアドレスを使用して接続先サーバにSIP−URIを問い合わせ、接続先サーバから取得したSIP−URIをRequest−URIに記述することによって、SIPプロキシ側で受信メッセージから接続先ドメインを判定可能な形の接続要求メッセージを発行するようにしたことを特徴としている。
図60は、第3実施例のクライアントCL1aが備える基本的なソフトウェア構造を示し、図61は、接続先サーバSV1bが備える基本的なソフトウェア構造を示している。
図7、図8と比較すると、クライアントCL1aのSIPメッセージ処理部53Cと、サーバSV1bのSIPメッセージ処理部53Sとが、それぞれSIP−URI要求/応答メッセージを交信するためのAOR解決機能55C、55Sを備え、サーバSV1bのSIPメッセージ処理部53Sが、AOR解決機能55Sが参照するロケーションテーブル70を備えた点が相違している。上記ロケーションテーブル70は、図62に示すように、サーバSV1bのAOR(SIP−URI)71と、IPアドレス72との対応関係を示している。
図63は、第3実施例の暗号化データ通信のシーケンス図を示す。
ここでは、クライアントCL1aからの接続要求の発行に先立って、クライアントCL1aの所属ドメインを管理するSIPプロキシPRaと、接続先サーバSV1bの所属ドメインを管理するSIPプロキシPRbとの間で、相互の認証と暗号化通信のパラメータ設定のためのTLSネゴシェーション(ステップS0)が実行済みで、接続先サーバSV1bとレジストラRGbとの間で、TLSネゴシェーション(S1)とロケーションの登録手順が実行済みとなっているものとする。但し、SIPプロキシ間のTLSネゴシェーション(S0)は、第1、第2実施例のステップS8で示したように、クライアントCL1aからの接続要求が発生した時点で、必要に応じて実行するようにしても構わない。
本実施例では、クライアントCL1aにおいて、サーバSV1bをIPアドレスで指定した接続発生した時、SIPメッセージ処理部53Cが、サーバSV1b宛にダイレクトに、AOR解決要求メッセージM30を送信し、サーバSV1bのSIPメッセージ処理部53Sが、上記AOR解決要求メッセージM30の受信に応答して、サーバSV1bのSIP−URI[sv1@bbb.com]を示すAOR解決応答メッセージM40を返送する。
AOR解決要求メッセージM30は、例えば、図64に示すように、スタートラインに、メッセージ種類として「GETAOR」、Request−URIとして、サーバSV1bのIPアドレス「1922.0.2.4」が記述されている。また、スタートラインに続くヘッダ情報として、クライアントCL1a(SIPメッセージ処理部53C)の識別情報を含むViaヘッダ、サーバSV1bのIPアドレスを含むToヘッダ、クライアントCL1a(SIPメッセージ処理部53C)のSIP−URIを含むFromヘッダと、Call−IDヘッダ、CSeqヘッダ、Content−Lengthヘッダを含む。AOR解決要求メッセージM30にはボディ部がなく、Content−Lengthは0となっている。
AOR解決応答メッセージM40は、図65に示すように、スタートラインに、応答メッセージを示すメッセージ種類「200 OK」を含む。また、ヘッダ情報として、AOR解決要求メッセージM30と同一内容のViaヘッダ、Toヘッダ、Fromヘッダ、CSeqを含み、AORヘッダによって、目的AORであるサーバSV1bのSIP−URIの値「sv1@bbb.com」が示されている。
クライアントCL1aのSIPメッセージ処理部53Cは、上記AOR解決応答メッセージM40を受信すると、Request−URIにサーバSV1bのSIP−URIを適用した接続要求メッセージM5を作成し、TLS部52C、IPsecエンジン30C、NIC部20Cを介して、SIPプロキシPRaに送出する。このとき、TLS部52Cは、SIPプロキシPRaとの間でTLSネゴシェーション(S7)を実行した後、接続要求メッセージM5を暗号化して、SIPプロキシPRaに送信する。
SIPプロキシPRaは、接続要求メッセージM5を受信すると、第1実施例と同様、要求元クライアントCL1aに接続中メッセージM6を送信した後、SIPプロキシPRb宛に、接続要求メッセージM7を送信する。以降の手順は、図12で説明した第1実施例と同様である。
図66は、第3実施例のクライアントCL1aにおいて、SP/SA制御部51Cから接続要求メッセージのボディ部を受信した時、SIPメッセージ処理部53Cが実行する制御動作のフローチャート110yを示す。
SIPメッセージ処理部53Cは、SP/SA制御部51Cから接続要求メッセージのボディ部を受信すると、第2IDペイロードのIDデータが示す接続先サーバV1bのIPアドレスと、SIPメッセージ処理部53Cが管理している通信制御パラメータとから、図64に例示したAOR取得要求メッセージM30を作成し(ステップ111y)、該メッセージをTCP/IP部30C、NIC部20Cを介して、サーバSV1bに送信する(112y)。この場合、AOR取得要求メッセージM30は、TLS部52Cを経由しないため、サーバSV1bとの間でのTLSネゴシェーションは実行されず、AOR取得メッセージM30は暗号化されない平文メッセージとして宛先サーバSV1bに送信さされる。
SIPメッセージ処理部53Cは、サーバSV1bからのAOR取得応答メッセージを待っており(113y)、AOR取得応答メッセージM40を受信すると、受信メッセージを解析し(114)、AORヘッダから接続先サーバに割り当てられたSIP−URIを抽出する(115)。この後、SIPメッセージ処理部53Cは、上記SIP−URIをスタートラインとToヘッダに適用して、ヘッダ部M5−1と、SP/SA制御部51Cから受信したボディ部M5−2とからなる図17に例示した接続要求メッセージM5を作成する(116)。以降の処理手順は、図39で説明した第1実施例と同様である。
図67は、クライアントからAOR取得要求メッセージM30を受信した時、サーバSV1bのSIPメッセージ処理部53Sが実行する制御動作のフローチャート450を示す。
サーバSV1bのSIPメッセージ処理部53Sは、AOR取得要求メッセージM30を受信すると、受信メッセージを解析し(ステップ451)、ロケーションテーブル70から、受信メッセージのToヘッダが示すIPアドレスと対応するAOR値(SIP−URI)を取得する(452)。SIPメッセージ処理部53Sは、取得したAOR値をAORヘッダに設定して、AOR取得応答メッセージM40を作成し(453)、これをAOR取得要求メッセージM30の送信元であるクライアントに送信し(454)、このルーチンを終了する。
以上の実施例では、暗号化データ通信が終了した時、クライアントCL1a側から切断要求を発行した場合の通信シーケンスについて説明したが、サーバSV1bが所属するSIPプロキシPRbも、クライアント側のSIPプロキシPRaと同様の機能を備えているため、サーバSV1bから切断要求が発行された場合でも、メッセージの送信方向が逆になるだけで、結果的には実施例と同様の手順が実行されることになる。
また、実施例では、第1ドメインに所属するクライアントCL1aから、第2ドメインに所属するサーバSV1bに接続要求を発行した場合の通信シーケンスについて説明したが、第1実施例において、クライアントCL1aが、サーバSV1bとの通信を終了した後、別のサーバ、例えば、サーバSV2b(またはサーバSV1a)と通信するアプリケーションを起動した場合、クライアントCL1aとレジストラRGaとの間、およびクライアントCL1aとSIPプロキシPRaとの間では、既に暗号化通信のための条件設定が完了した状態にある。従って、アプリケーションプログラムからデータの送信要求が発生した時、TLS部52Cは、SIPサーバSIPaとの間でのTLSネゴシェーションを省略して、SIPメッセージ処理部53Cから受信したAOR取得要求メッセージ、または接続要求メッセージを直ちに暗号化して、ネットワークNW1に送信することが可能となる。
尚、実施例では、SIPメッセージのRequest−URIやToヘッダにIPアドレスを適用する時、例えば、図15や図51の「sips:192.0.2.4」のように記述した。この場合、SIPメッセージを受信したSIPプロキシ、レジストラまたはサーバ側では、着目フィールドにおける「sips:」に続く文字列が、3桁以下の数字をドットで区切ったIPアドレス表記となっているか否かによって、SIP−URI記述かIPアドレス記述かを判定できる。SIP−URI記述かIPアドレス記述かを判定を確実にするためは、例えば、「sips:192.0.2.4;id=ipv4」のように、URIパラメータを使用して、AOR解決を必要とするSIP−URIであることを明示するようにしてもよい。また、例えば、「ipv4:192.0.2.4」のように、着目フィールドでIPv4(またはIPv6)というスキームを検出した場合は、その後にIPアドレスが記述されているものと約束してもよい。
公開鍵暗号化通信における従来の認証システムを説明するため図。 IPsecによる暗号化通信を行うために従来のクライアントが備えるソフトウェアの基本的なブロック構成を示す図。 本発明と関係するSIPプロキシを適用した認証システムを説明するための図。 本発明のセッション管理サーバ(SIPサーバ)を含むネットワーク構成の1例を示す図。 図4に示したロケーションサーバLSVが備えるロケーションサービステーブルの1例を示す図。 図4に示したSIPプロキシPRaのハードウェア構成を示すブロック図。 図4に示したクライアントCL1aの基本的なソフトウェア構造を示す図。 図4に示したサーバSV1bの基本的なソフトウェア構造を示す図。 図4に示したSIPプロキシPRaの基本的なソフトウェア構造を示す図。 図4に示したレジストラRGaの基本的なソフトウェア構造を示す図。 本発明による暗号化通信の第1の実施例を説明するためのシーケンス図の一部。 本発明による暗号化通信の第1の実施例を説明するためのシーケンス図の残部。 図11におけるロケーション登録要求メッセージM1のフォーマットの1例を示す図。 図11におけるロケーション登録応答メッセージM2のフォーマットの1例を示す図。 図11におけるロケーションAOR取得要求メッセージM3のフォーマットの1例を示す図。 図11におけるロケーションAOR取得応答メッセージM4のフォーマットの1例を示す図。 図11における接続要求メッセージM5のフォーマットの1例を示す図。 接続要求メッセージM5のボディ部M5−2のフォーマットの1例を示す図。 図11における接続中メッセージM6のフォーマットの1例を示す図。 図11における接続要求メッセージM7のフォーマットの1例を示す図。 図12における接続中メッセージM8のフォーマットの1例を示す図。 図12における接続要求メッセージM9のフォーマットの1例を示す図。 図12における接続応答メッセージM10のフォーマットの1例を示す図。 接続応答メッセージM10のボディ部M10−2のフォーマットの1例を示す図。 図12における接続応答メッセージM11のフォーマットの1例を示す図。 図12における接続応答メッセージM12のフォーマットの1例を示す図。 図12における接続確認メッセージM13のフォーマットの1例を示す図。 図12における接続確認メッセージM14のフォーマットの1例を示す図。 図12における接続確認メッセージM15のフォーマットの1例を示す図。 図12における切断要求メッセージM20のフォーマットの1例を示す図。 図12における切断中メッセージM21のフォーマットの1例を示す図。 図12における切断要求メッセージM22のフォーマットの1例を示す図。 図12における切断中メッセージM23のフォーマットの1例を示す図。 図12における切断要求メッセージM24のフォーマットの1例を示す図。 図12における切断応答メッセージM25のフォーマットの1例を示す図。 図12における切断応答メッセージM26のフォーマットの1例を示す図。 図12における切断応答メッセージM27のフォーマットの1例を示す図。 鍵交換要求を受信した時、クライアントCL1aのSP/SA制御部51Cが実行する制御動作を示すフローチャート。 接続要求メッセージのボディ部を受信した時、クライアントCL1aのSIPメッセージ処理部53Cが実行する制御動作を示すフローチャートの一部。 接続要求メッセージのボディ部を受信した時、クライアントCL1aのSIPメッセージ処理部53Cが実行する制御動作を示すフローチャートの残部。 AOR取得要求メッセージを受信した時、レジストラRGaのSIPメッセージ処理部53Rが実行する制御動作を示すフローチャート。 接続要求メッセージを受信した時、SIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作を示すフローチャートの第1部分。 接続要求メッセージを受信した時、SIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作を示すフローチャートの第2部分。 接続要求メッセージを受信した時、SIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作を示すフローチャートの第3部分。 接続要求メッセージを受信した時、SIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作を示すフローチャートの第4部分。 接続要求メッセージを受信した時、サーバSV1bのSIPメッセージ処理部53Sが実行する制御動作を示すフローチャート。 接続要求メッセージのボディ部を受信した時、サーバSV1bのSP/SA制御部51Sが実行する制御動作を示すフローチャート。 鍵消去要求を受信した時、クライアントCL1aのSP/SA制御部51Cが実行する制御動作を示すフローチャート。 切断要求メッセージの発行要求を受信した時、クライアントCL1aのSIPメッセージ処理部53Cが実行する制御動作を示すフローチャート。 切断要求メッセージを受信した時、SIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作を示すフローチャートの一部。 切断要求メッセージを受信した時、SIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作を示すフローチャートの残部。 切断要求メッセージを受信した時、サーバSV1bのSIPメッセージ処理部53Sが実行する制御動作を示すフローチャート。 切断要求の発生通知を受信した時、サーバSV1bのSP/SA制御部51Sが実行する制御動作を示すフローチャート。 本発明による暗号化通信の第2の実施例を説明するためのシーケンス図の一部。 本発明による暗号化通信の第2の実施例を説明するためのシーケンス図の残部。 図49における接続要求メッセージM5xのフォーマットの1例を示す図。 図49における接続中メッセージM6xのフォーマットの1例を示す図。 図49における接続要求メッセージM7xのフォーマットの1例を示す図。 図50における切断要求メッセージM20xのフォーマットの1例を示す図。 図50における切断要求メッセージM22xのフォーマットの1例を示す図。 接続要求メッセージのボディ部を受信した時、第2実施例のクライアントCL1aのSIPメッセージ処理部53Cが実行する制御動作を示すフローチャートの一部。 接続要求メッセージを受信した時、第2実施例のSIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作を示すフローチャートの一部。 切断要求メッセージの発行要求を受信した時、第2実施例のクライアントCL1aのSIPメッセージ処理部53Cが実行する制御動作を示すフローチャート。 切断要求メッセージを受信した時、第2実施例のSIPプロキシPRaのSIPメッセージ処理部53Pが実行する制御動作を示すフローチャートの一部。 本発明の第3実施例のクライアントCL1aが備える基本的なソフトウェア構造を示す図。 本発明の第3実施例のサーバSV1bが備える基本的なソフトウェア構造を示す図。 サーバSV1bが備えるロケーションテーブルの内容を示す図。 本発明による暗号化通信の第3の実施例を説明するためのシーケンス図の一部。 図63におけるAOR取得要求メッセージM30のフォーマットの1例を示す図。 図63におけるAOR取得応答メッセージM40のフォーマットの1例を示す図。 接続要求メッセージのボディ部を受信した時、第3実施例のクライアントCL1aのSIPメッセージ処理部53Cが実行する制御動作を示すフローチャートの一部。 AOR取得要求メッセージを受信した時、第3実施例のサーバSV1bのSIPメッセージ処理部53Sが実行する制御動作を示すフローチャート
符号の説明
CL1a〜CL2b:クライアント、SV1a〜SV2b:サーバ、
SIPa、SIPb:SIPサーバ、PRa、PRb:SIPプロキシ、
RGa、RGb:レジストラ、LSV:ロケーションサーバ、
20:ネットワークインタフェースカード部、30:TCP/IPレイヤ部、
31:IPsecエンジン、40:アプリケーションソフト、50:鍵管理プロセス、
51:SP/SA制御部、52:TLS部、53:SIPメッセージ処理部、
60:レジストラ処理部。

Claims (6)

  1. セッション管理プロトコルに従って、第1端末と第2端末との間にセッションを確立するセッション管理装置上で実行されるプログラムであって、
    上記第1端末から、上記第2端末をIPアドレスで指定して、上記セッション管理プロトコルで必要とする上記第2端末の識別情報の問合せメッセージを受信した時、該受信メッセージが示す上記IPアドレスを用いて、上記第2端末の識別情報を取得する機能と、
    取得した上記第2端末の識別情報を上記第1端末に通知する機能とを上記セッション管理装置に実行させることを特徴とするプログラム。
  2. セッション管理プロトコルに従って、第1端末と第2端末との間にセッションを確立するセッション管理装置上で実行されるプログラムであって、
    上記第1端末から、上記第2端末との間のセッションの確立要求メッセージを受信した時、該受信メッセージ内で上記第2端末がIPアドレスで指定されているか否かを確認する機能と、
    上記第2端末がIPアドレスで指定されていた場合、該IPアドレスを用いて、上記セッション管理プロトコルで必要とする上記第2端末の識別情報を取得する機能と、
    上記識別情報で上記第2端末を指定して、上記第2端末との間のセッション確立のための要求メッセージを作成する機能とを上記セッション管理装置に実行させることを特徴とするプログラム。
  3. 前記第2端末の識別情報の取得機能が、端末IPアドレスと前記セッション管理プロトコルで必要とする端末識別情報との対応関係を保持した別の装置に対して、前記第2端末のIPアドレスと対応する識別情報を問い合わせることを特徴とする請求項1または請求項2に記載のプログラム。
  4. セッション管理プロトコルに従って、セッション管理装置を介して第2端末との間にセッションを確立する場合に第1端末上で実行されるプログラムであって、
    上記第2端末上で実行されるアプリケーションプログラムと通信する該第1端末上のアプリケーションプログラムから、上記第2端末をIPアドレスで指定して、上記第2端末との通信要求を受付けた時、上記第2端末を上記IPアドレスで指定して、上記セッション管理プロトコルで必要とする上記第2端末の識別情報の問合せメッセージを作成する機能と、
    ネットワークから上記問合せメッセージに対する応答メッセージを受信した時、該応答メッセージが示す識別情報によって上記第2端末を指定して、上記セッション管理装置に上記第2端末との間のセッションの確立を要求するメッセージを作成する機能とを上記第1端末に実行させることを特徴とするプログラム。
  5. 前記問合せメッセージの作成機能は、該メッセージの宛先を前記セッション管理装置とすることを特徴とする請求項4に記載のプログラム。
  6. 前記セッション管理プロトコルがSIP(Session Initiation Protocol)であり、前記識別情報がSIP−URI(Uniform Resource Identifier)であることを特徴とする請求項1、2、または請求項4に記載のプログラム。
JP2006278500A 2006-10-12 2006-10-12 データ通信方法およびシステム Expired - Fee Related JP4551381B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006278500A JP4551381B2 (ja) 2006-10-12 2006-10-12 データ通信方法およびシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006278500A JP4551381B2 (ja) 2006-10-12 2006-10-12 データ通信方法およびシステム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2006214395A Division JP3914959B2 (ja) 2006-08-07 2006-08-07 データ通信方法およびシステム

Publications (2)

Publication Number Publication Date
JP2007104691A true JP2007104691A (ja) 2007-04-19
JP4551381B2 JP4551381B2 (ja) 2010-09-29

Family

ID=38031089

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006278500A Expired - Fee Related JP4551381B2 (ja) 2006-10-12 2006-10-12 データ通信方法およびシステム

Country Status (1)

Country Link
JP (1) JP4551381B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105900374A (zh) * 2014-01-27 2016-08-24 三菱电机株式会社 设备证书提供装置、设备证书提供系统和设备证书提供程序

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152805A (ja) * 2000-11-10 2002-05-24 Sony Corp 通信制御装置およびその方法、ならびに通信システムおよびその方法
JP2003298618A (ja) * 2002-03-29 2003-10-17 Toshiba Corp ネームサーバ、ネットワーク・システム、逆引き要求処理方法、正引き要求処理方法及び通信制御方法
JP2004070753A (ja) * 2002-08-07 2004-03-04 Nippon Telegr & Teleph Corp <Ntt> 論理アドレスサービス起動方法及び論理アドレス管理装置及びアプリケーション実行装置及び論理アドレスサービス管理プログラム及び論理アドレスサービス起動プログラム及び論理アドレスサービス管理プログラムを格納した記憶媒体及び論理アドレスサービス起動プログラムを格納した記憶媒体
JP2004297715A (ja) * 2003-03-28 2004-10-21 Ntt Comware Corp アドレス解決サーバ、VoIPサーバ、アドレス解決方法、アドレス解決プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152805A (ja) * 2000-11-10 2002-05-24 Sony Corp 通信制御装置およびその方法、ならびに通信システムおよびその方法
JP2003298618A (ja) * 2002-03-29 2003-10-17 Toshiba Corp ネームサーバ、ネットワーク・システム、逆引き要求処理方法、正引き要求処理方法及び通信制御方法
JP2004070753A (ja) * 2002-08-07 2004-03-04 Nippon Telegr & Teleph Corp <Ntt> 論理アドレスサービス起動方法及び論理アドレス管理装置及びアプリケーション実行装置及び論理アドレスサービス管理プログラム及び論理アドレスサービス起動プログラム及び論理アドレスサービス管理プログラムを格納した記憶媒体及び論理アドレスサービス起動プログラムを格納した記憶媒体
JP2004297715A (ja) * 2003-03-28 2004-10-21 Ntt Comware Corp アドレス解決サーバ、VoIPサーバ、アドレス解決方法、アドレス解決プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105900374A (zh) * 2014-01-27 2016-08-24 三菱电机株式会社 设备证书提供装置、设备证书提供系统和设备证书提供程序

Also Published As

Publication number Publication date
JP4551381B2 (ja) 2010-09-29

Similar Documents

Publication Publication Date Title
JP3859667B2 (ja) データ通信方法およびシステム
JP4635855B2 (ja) データ通信方法およびシステム
JP4561671B2 (ja) データ通信方法およびシステム
JP4101839B2 (ja) セッション制御サーバ及び通信システム
JP4959750B2 (ja) トランスコーディング・プロキシでの複数の起点サーバへの動的接続
JP4047303B2 (ja) 提供装置、提供プログラム、及び、提供方法
JP4656536B2 (ja) 中継サーバ及び中継通信システム
JP4722478B2 (ja) 関連するストリーミングプロトコル群に対するセキュリティパラメータの統合
US20100138660A1 (en) Secure communication session setup
EP1758324A1 (en) The session initial protocol identification method
JP2002082907A (ja) データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体
JP3944182B2 (ja) セキュリティ通信方法
JP4101215B2 (ja) セキュリティポリシー設定方法
JP5012173B2 (ja) 暗号通信処理方法及び暗号通信処理装置
JP2005160005A (ja) 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム
JP2005236728A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム及び通信方法
JP4551381B2 (ja) データ通信方法およびシステム
JP3914959B2 (ja) データ通信方法およびシステム
JP2006019824A (ja) セキュア通信システム、管理装置および通信端末
JP4675982B2 (ja) セッション制御サーバ、通信装置、通信システムおよび通信方法、ならびにそのプログラムと記録媒体
Camarillo Combining the Session Initiation Protocol (SIP) and the Host Identity Protocol (HIP)
JP2005229435A (ja) リゾルバをアプリケーションとは別に備えた端末及びリゾルバプログラム
JP2005303784A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム
JP2005311747A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071016

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100216

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100706

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100709

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130716

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees