JP4690767B2 - ネットワークシステム、サーバ装置および通信方法 - Google Patents

ネットワークシステム、サーバ装置および通信方法 Download PDF

Info

Publication number
JP4690767B2
JP4690767B2 JP2005138082A JP2005138082A JP4690767B2 JP 4690767 B2 JP4690767 B2 JP 4690767B2 JP 2005138082 A JP2005138082 A JP 2005138082A JP 2005138082 A JP2005138082 A JP 2005138082A JP 4690767 B2 JP4690767 B2 JP 4690767B2
Authority
JP
Japan
Prior art keywords
server
client
service providing
representative
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005138082A
Other languages
English (en)
Other versions
JP2006318075A (ja
JP2006318075A5 (ja
Inventor
和義 星野
忠司 鍛
治 高田
孝宏 藤城
晃平 澤田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005138082A priority Critical patent/JP4690767B2/ja
Priority to US11/417,054 priority patent/US8041822B2/en
Priority to CN200610080169.8A priority patent/CN1863214B/zh
Publication of JP2006318075A publication Critical patent/JP2006318075A/ja
Publication of JP2006318075A5 publication Critical patent/JP2006318075A5/ja
Priority to US12/398,613 priority patent/US20090177802A1/en
Application granted granted Critical
Publication of JP4690767B2 publication Critical patent/JP4690767B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1023Server selection for load balancing based on a hash applied to IP addresses or costs

Description

本発明は、サービスネットワークシステムおよびサーバ装置に係り、特にSIPサーバの負荷軽減を考慮したサービスネットワークシステムおよびサーバ装置に関する。
特許文献1には、受付サーバが複数のコンテンツサーバの代表として接続要求を受信し、クライアントに許可チケットとともに接続先となるコンテンツサーバの情報を通知する発明が記載されている。また、特許文献2には、窓口サーバが複数の業務サーバの代表として接続要求を受信し、クライアントに接続先の業務サーバの情報を通知する発明が記載されている。
特許文献3および特許文献4には、通信開始のプロトコルとしてSIP(Session Initiation Protocol)を用い、サーバでユーザ認証を行う発明が記載されている。特許文献5ないし特許文献7には、通信開始のプロトコルとしてSIPを用いてはいないが、認証を一括して行う代理認証サーバを備えた発明が記載されている。
非特許文献1ないし非特許文献4は、SIPに関連するIETF(Internet Engineering Task Force)標準に関連する文献である。ここで、非特許文献1は、SIPのRFC(Request for Comment)であり、TLS(Transport Layer Security)によって、ユーザの認証とTLSメッセージの暗号化を行う方法が記載されている。非特許文献2は、TLSに関するRFCである。非特許文献3は、SIPによって送受信されるセッション情報の記述方法(SDP:Session Description Protocol)に関するRFCである。非特許文献4は、SDPまたはRTSP(Real Time Streaming Protocol)によって、通信データの暗号化に使用する鍵情報等を交換する方法について記載がある。
特開2002−108840号公報 特開2003−108537号公報 特開2003−209560号公報 特開2003−178028号公報 特開2003−242119号公報 特開平10−177552号公報 特開2003−099402号公報 J. Rosenberg、他7名、"RFC 3261"、2002年6月、IETF、[平成17年3月15日検索]、インターネット、<URL:http://www.faqs.org/rfcs/rfc3261.html> T. Dierks、他1名、"RFC 2246"、1999年1月、IETF、[平成17年3月15日検索]、インターネット、<URL:http://www.faqs.org/rfcs/rfc2246.html> M. Handley、他1名、"RFC 2327"、1998年4月、IETF、[平成17年3月15日検索]、インターネット、<URL:http://www.faqs.org/rfcs/rfc2327.html> F. Lindholm、"Key Management Extensions for SDP and RTSP"、2001年12月10日、IETF、[平成17年3月15日検索]、インターネット、<URL:http://www.dmn.tzi.org/ietf/mmusic/52/slides/52-mmusic-sdp-kmgmt-ext.pdf>
サービス提供者が、複数のサービス提供サーバを用いてサービスを提供する場合、サービス提供サーバ毎に電子証明書を取得しインストールする必要がある。また、サービス提供サーバが個々にSIPサーバと通信を行うと、SIPサーバは個々のサービス提供サーバ毎に通信セッション情報を保持する必要があるため、処理負荷が増大する。
特許文献1または2に記載された発明では、受付サーバまたは窓口サーバとクライアントとの通信はHTTP(HyperText Transportation Protocol)で行われSIPが考慮されていない。
特許文献3に記載された発明には、クライアントが接続先となるサーバのIPアドレスを取得する方法の記載に留まっている。
特許文献4に記載された発明には、ネットワークに接続した管理サーバと管理サーバに接続した認証サーバとが記載され、データ供給側の端末をデータ要求側の端末にログインする発明が記載されている。
特許文献5または6に記載された発明は、認証サーバが代表サーバとしてクライアントからのサービス接続要求を受け付けるが、サービス提供も認証サーバを経由して行われるので、認証サーバがボトルネックとなる。
特許文献7に記載された発明には、認証代理サーバが記載されているが、この認証代理サーバはサービス提供業者の代わりに通信事業者サーバに認証依頼するに過ぎない。
以上のように、特許文献1ないし7に記載された発明は、単独または組み合わせによっても本発明が解決しようとする課題の解決手段を提供していない。
なお、サービス提供サーバの前段に、認証と暗号化を行う負荷分散装置を設置する構成も考えられるが、この場合、負荷分散装置が処理のボトルネックになる。
複数のサービス提供サーバの代表となるサーバ装置が、SIPサーバ認証やSIPメッセージ交換を代表として実施し、SIPメッセージ交換により取得したクライアント通信情報(暗号化通信情報、メッセージ認証情報)をサービス提供サーバに通知する。サービス提供サーバは、代表サーバから通知されたクライアント通信情報をもとに、クライアントと通信を行う。
本発明によれば、認証は代表サーバのみに対して行われるため、サービス提供用サーバは電子証明書を持つ必要がない。SIPサーバは、個々のサービス提供サーバを認証する必要がなく、また、個々のサービス提供サーバとの間で通信セッションを保持する必要もないため、SIPサーバの負荷を軽減することができる。また、データ通信は、クライアントとサービス提供サーバとの間で直接行われるため、代表サーバが処理のボトルネックとならない。
以下本発明の実施の形態について、実施例を用いて図面を参照しながら説明する。
本発明の実施例1を図1ないし図25を用いて説明する。ここで、図1はシステム構成を説明するブロック図である。図2はクライアントのハードウェア構成を説明するブロック図である。図3は代表サーバのハードウェア構成を説明するブロック図である。図4はサービス提供サーバのハードウェア構成を説明するブロック図である。図5はクライアント、SIPサーバ、代表サーバ、サービス提供サーバ間の通信を説明する遷移図である。図6はクライアントの処理フロー図である。図7は代表サーバの処理フロー図である。図8はサービス提供サーバの処理フロー図である。図9は代表サーバが保有するサーバ選択テーブルを説明する図である。図10は代表サーバが保有する通信設定テーブルを説明する図である。図11は代表サーバが保有するサービス接続テーブルを説明する図である。
図12はクライアントからSIPサーバ宛てのサービス接続要求の構成とメッセージヘッダを説明する図である。図13はクライアントからSIPサーバ宛てのサービス接続要求のメッセージボディを説明する図である。図14は代表サーバからSIPサーバ宛てのサービス接続応答の構成とメッセージヘッダを説明する図である。図15は代表サーバからSIPサーバ宛てのサービス接続応答のメッセージボディを説明する図である。図16は代表サーバからサービス提供サーバ宛てのクライアント通信情報設定要求の構成とメッセージボディを説明する図である。図17はサービス提供サーバから代表サーバ宛てのクライアント通信情報設定応答の構成とメッセージボディを説明する図である。図18はクライアントからSIPサーバ宛てのサービス切断要求の構成とメッセージヘッダを説明する図である。図19はクライアントからSIPサーバ宛てのサービス切断要求のメッセージボディを説明する図である。図20は代表サーバからSIPサーバ宛てのサービス切断応答の構成とメッセージヘッダを説明する図である。図21は代表サーバからSIPサーバ宛てのサービス切断応答のメッセージボディを説明する図である。 図22は代表サーバからサービス提供サーバ宛てのクライアント通信情報削除要求の構成とメッセージボディを説明する図である。図23はサービス提供サーバから代表サーバ宛てのクライアント通信情報削除応答の構成とメッセージボディを説明する図である。図24はサービス提供サーバとクライアントの間で通信されるデータの構成を説明する図である。図25はサービス提供サーバとクライアントの間で通信される暗号化データの構成を説明する図である。
図1に示すサービスネットワークシステム100において、ネットワーク50−1には複数のクライアント10(10−1、10−2、…)とセッション管理機能を備えたセッション管理サーバ(以下SIPサーバ)20と代表サーバ30と複数のサービス提供サーバ40(40−1、40−2、…)とが接続されている。代表サーバ30とサービス提供サーバ40とは、ネットワーク50−2にも接続されている。サービス提供サーバ40としては、インスタントメッセージサーバ、クライアントに各種のコンテンツ情報を提供するコンテンツ配信サーバ、複数のクライアント間の電話会議をサポートする電話会議サーバなどが含まれる。
ここで、各クライアント10と代表サーバ30に付随して括弧内に示した文字列は、ネットワーク50−1上で転送されるIPパケットで使用される装置アドレスを示している。これらのアドレスは、いずれもその一部にSIPサーバ20のアドレス「aaa.com」を含んでおり、これらの端末と代表サーバがSIPサーバ20に所属していることが判る。各クライアント10と代表サーバ30との接続(セッションの設定)および切断(セッションの終了)は、SIPサーバ20を介して行われる。
なお、以下の説明においてIPアドレスは、クライアント1[cl1@aaa.com]:192.0.2.1、SIPサーバ:192.0.2.2、サービス提供サーバ1:192.0.2.3、代表サーバ[sv1@aaa.com]:192.0.2.4として説明する。
ネットワーク50−1はクライアントと代表サーバおよびクライアントとサービス提供サーバが通信するために使用される。一方、ネットワーク50−2は、サーバ室内LANであり、代表サーバとサービス提供サーバが通信を行うために使用される。ネットワーク50−1とネットワーク50−2を分離するのは、代表サーバとサービス提供サーバ間で送受信されるメッセージ認証パラメータ等の秘密情報を保護するためである。代表サーバとサービス提供サーバ間で暗号化通信が行える場合、代表サーバとサービス提供サーバがネットワーク50−1を使って通信を行っても良い。
図2を参照してクライアントの構成を説明する。クライアント10は、バス15に接続したプロセッサ(CPU)12と、プロセッサ12が実行する各種プログラムとプログラムが参照する各種テーブルを一時記憶するメモリ11と、各種プログラムとプログラムが参照する各種テーブルを保存する外部記憶装置13と、ネットワーク50−1と接続するネットワークインターフェース14とから構成されている。
図3に示す代表サーバ30はバス35に接続したプロセッサ(CPU)32と、プロセッサ32が実行する各種プログラムとプログラムが参照する各種テーブルを一時記憶するメモリ31と、各種プログラムとプログラムが参照する各種テーブルを保存する外部記憶装置33と、ネットワーク50−1と接続するネットワークインターフェース34−1と、ネットワーク50−2と接続するネットワークインターフェース34−2とから構成されている。なお、この代表サーバのハードウェア構成では、ネットワーク50−1とネットワーク50−2は物理的に分離されており、別々のネットワークインターフェース34−1、34−2を用いて、アクセスを行う構成となっている。しかし、ルータやファイアウォールの設定により、論理的にネットワーク50−1とネットワーク50−2を分離することで、1枚のネットワークインターフェースからネットワーク50−1とネットワーク50−2の両方にアクセスする構成を取ることもできる。
図4に示すサービス提供サーバ40は図3で説明した代表サーバと同一の構成である。すなわち、サービス提供サーバ40はバス45に接続したプロセッサ(CPU)42と、プロセッサ42が実行する各種プログラムとプログラムが参照する各種テーブルを一時記憶するメモリ41と、各種プログラムとプログラムが参照する各種テーブルを保存する外部記憶装置43と、ネットワーク50−1と接続するネットワークインターフェース44−1と、ネットワーク50−2と接続するネットワークインターフェース44−2とから構成されている。1枚のネットワークインターフェースからネットワーク50−1とネットワーク50−2の両方にアクセスする構成を取ることもできる。
図5において、まずSIPサーバ20と代表サーバ30との間で非特許文献1に記載されたTLSネゴシエーションによって、相互認証と暗号通信設定を行う(T501:SIPサーバ認証と呼ぶ)。これに続いて、代表サーバ30からSIPサーバ20宛てに、自分のロケーションを登録するSIPリクエストであるREGISTERリクエスト(REGISTERメッセージ)を送信する(T502)。SIPサーバ20は受信したREGISTERリクエストに記載された代表サーバ30のロケーションを登録したあと、代表サーバ30に正常に終了したことを示すSIPレスポンスコードである200 OKを送信する(T503)。なお、REGISTERメッセージは着信側(被INVITE側)が実施する必要がある。
一方、クライアント10−1とSIPサーバ20との間でもTLSネゴシエーションによって、相互認証と暗号通信設定を行っておく(T504)。クライアント10−1からSIPサーバ20にサービス接続要求であるINVITEリクエストを送信する(T506)と、SIPサーバ20はクライアント10−1に接続中であることを示す100 Tryingを送信(T507)したあと、代表サーバ30にINVITEリクエストを転送する(T508)。代表サーバ30はSIPサーバ20宛てに100 Tryingを送信(T509)したあと、サービス提供サーバ40−1にクライアント通信情報設定要求を送信する(T510)。
サービス提供サーバ40−1は、クライアント通信情報設定要求を受信し、代表サーバ30にクライアント通信情報設定応答を返信する(T511)。クライアント通信情報設定応答を受信した代表サーバ30はSIPサーバ20宛てに、サービス接続応答である200 OKを送信する(T512)。これを受信したSIPサーバ20は、同様にクライアント10−1宛てに200 OKを送信する(T513)。
サービス接続応答である200 OKを受信したクライアント10−1は、サービス接続確認のSIPリクエストであるACKリクエストをSIPサーバ20宛てに送信し(T514)、これを受信したSIPサーバ20はACKリクエストを代表サーバ30宛てに送信する(T515)。
サービス提供サーバ40−1とクライアント10−1とは、お互いのIPアドレス、ポート番号を交換しているので、サービス提供サーバ40−1とクライアント10−1とは直接接続されてサービスデータの送受信が開始される(T517)。
クライアント10−1からSIPサーバ20宛てにサービス切断要求のSIPリクエストであるBYEリクエストが送信される(T518)と、これを受信したSIPサーバ20は代表サーバ30宛てにBYEリクエストを送信する(T519)。BYEリクエストを受信した代表サーバ30はサービス提供サーバ40−1宛てにクライアント通信情報削除要求を送信する(T520)。通信情報削除要求を受信したサービス提供サーバ40−1は代表サーバ30宛てに通信情報削除応答を送信し(T521)、これを受けた代表サーバ30はSIPサーバ20にサービス切断応答である200 OKを送信する(T522)。200 OKを受信したSIPサーバ20はクライアント宛てにサービス切断応答である200 OKを送信する(T523)。以上により、通信を終了する。なお、代表サーバ30とサービス提供サーバ40との間の通信は図1ネットワーク50−2を介して行い、その他の通信はネットワーク50−1を介して行った。
次に、クライアント、代表サーバ、サービス提供サーバの動作を説明する。図6において、クライアント10はサービス提供サーバとの直接の通信に使用する暗号通信情報の候補、メッセージ認証情報の候補を作成する(S601)。これらの候補をボディにセットしたINVITEメッセージをSIPサーバ20宛てに送信する(S602)。このあと、クライアント10はSIPサーバの応答待ち(S603)となり、SIPサーバ20からサービス接続応答である200 OKを受信すると、200 OKメッセージを解析し、選択された暗号通信情報、メッセージ認証情報を取得する(S604)。
クライアント10はサービス接続確認リクエストであるACKメッセージをSIPサーバ20に送信した(S605)あと、選択された暗号通信情報、メッセージ認証情報を用いて、サービス提供サーバ40との間でアプリケーションデータの送受信を行う(S607)。
クライアント10は、このあと暗号通信情報、メッセージ認証情報の消去要求をボディにセットしたBYEメッセージをSIPサーバ20宛てに送信する(S607)。このあと、クライアント10はSIPサーバの応答待ち(S608)となり、SIPサーバ20からサービス切断応答である200 OKを受信すると、サービス利用を終了する。
なお、ステップ603またはステップ608でエラーを受信したとき、またはタイムアウトしたときには、ステップ609またはステップ610のエラー処理に遷移する。
図7において、代表サーバ30が起動すると、代表サーバ30は代表サーバ30のIPアドレス(ロケーション)をコンタクト情報としてセットしたREGISTERメッセージをSIPサーバ20に送信し(S701)、SIPサーバ20の応答を待つ(S702)。代表サーバ30がSIPサーバ20からロケーション登録応答である200 OKを受信すると、メッセージの受信を待つ(S703)。代表サーバ30は、SIPサーバ20からINVITEメッセージを受信すると、INVITEメッセージを解析し、クライアントが作成した暗号通信情報候補、メッセージ認証情報候補、アプリケーション情報を取得(S704)したあと、サービス提供サーバの状態を記録したサーバ選択テーブル(図9で後述)を参照し、クライアントと直接通信するサービス提供サーバ40−1を選択する(S705)。
代表サーバ30は、サービス提供サーバ40−1が利用可能な暗号化通信情報とメッセージ認証情報を登録した通信設定テーブル(図10で後述)を参照し、クライアント10とサービス提供サーバ40との通信に利用する暗号化通信情報とメッセージ認証情報を選択する(S706)。次に、代表サーバ30は選択した暗号化通信情報とメッセージ認証情報、およびアプリケーション情報をクライアント通信情報設定要求として、選択サービス提供サーバ40−1に送信し(S707)、サービス提供サーバ40−1からの応答を待つ(S708)。
サービス提供サーバ40−1から、正常な通信が行われたことを示すクライアント通信情報設定応答が戻ってきたとき、サービス接続テーブル(図11で後述)にエントリを追加し、サーバ選択テーブルを更新する。また、選択した暗号化通信情報とメッセージ認証情報を含む200 OKメッセージをSIPサーバ20に送信し(S709)、再びメッセージ受信待ち(S703)となる。
サービス接続確認であるSIPサーバ20からのACKメッセージを受信すると、再々度メッセージ待ち(S703)となる。この状態で、サービス切断要求であるBYEメッセージをSIPサーバ20から受信すると、BYEメッセージを解析、サーバ選択テーブルを参照し、暗号通信情報とメッセージ認証情報の消去を行うサービス提供サーバ40−1を特定(S711)し、このサービス提供サーバ40−1にクライアント通信情報削除要求を送信し(S712)、サービス提供サーバ40−1の応答待ちとなる(S713)。サービス提供サーバ40−1から、正常な通信が行われたことを示すクライアント通信情報削除応答が戻ってきたとき、サービス接続テーブルのエントリを削除し、サーバ選択テーブルを更新する。また、暗号通信情報、メッセージ認証情報の消去、およびサービスの切断をクライアントに通知する200 OKメッセージをSIPサーバ20に送信して(S714)、メッセージ受信待ち(S703)となる。
なお、ステップ703、ステップ708またはステップ713でエラーを受信したとき、またはタイムアウトしたときには、ステップ721、ステップ722またはステップ723のエラー処理に遷移する。
図8において、サービス提供サーバ40が起動すると、サービス提供サーバ40は、まず代表サーバ30からの要求(リクエスト)受信待ちとなる(S801)。サービス提供サーバ40が、クライアント通信情報設定要求を受信すると、それを解析し、代表サーバ30から通知された暗号化通信情報、メッセージ認証情報およびアプリケーション情報を取得する(S802)。サービス提供サーバ40は、クライアント通信情報設定テーブルに、暗号化通信情報、メッセージ認証情報およびアプリケーション情報をセットし、代表サーバ30にクライアント通信情報設定応答を送信する(S803)。このあとサービス提供サーバ40は、暗号化通信情報、メッセージ認証情報およびアプリケーション情報に従って、直接クライアントとのサービスデータの送受信を開始する(S804)。この開始を契機にサービス提供サーバ40は、サービスデータの送受信中も、代表サーバ30からの要求受信待ちに遷移する(S801)。
サービス提供サーバ40が、クライアント通信情報処理要求を受信したとき、その要求を解析し、当該クライアントとのサービスデータの送受信を停止する(S805)。サービス提供サーバ40は、当該クライアントとの通信に使用していた、暗号化通信情報、メッセージ認証情報およびアプリケーション情報をクライアント通信情報設定テーブルから消去し、代表サーバ30にクライアント通信情報削除応答を送信し(S806)、再度代表サーバ30からの要求受信待ちに遷移する(S801)。
図9に示すサーバ選択テーブルは、代表サーバ30の外部記憶装置33に記録されているテーブルである。サーバ選択テーブル50は、サービス提供サーバ番号51と、クライアント接続数52と、レスポンス時間53とで構成される。代表サーバ30は、新たなサービス要求があったとき、このサーバ選択テーブル50を参照して、配下のサービス提供サーバの中から、レスポンス時間の小さい(即ち負荷がすくない)サービス提供サーバを選択する。
図10に示す通信設定テーブルは、サーバ選択テーブルと同様に代表サーバ30の外部記憶装置33に記録されているテーブルである。通信設定テーブル60は、サービス提供サーバ番号61と、当該サービス提供サーバが通信可能な暗号化アルゴリズム62と、当該サービス提供サーバが認証可能なメッセージ認証アルゴリズム63とで構成される。代表サーバ30は、新たなサービス要求があったとき、この通信設定テーブル60を参照して、配下のサービス提供サーバの中から、クライアントが提示した選択肢から選択したサービス提供サーバが対応している暗号化アルゴリズムおよびメッセージ認証アルゴリズムを選択する。もし選択したサービス提供サーバが対応していないならばサービス提供サーバを変更する。
図11に示すサービス接続テーブルは、サーバ選択テーブル、通信設定テーブルと同様に代表サーバ30の外部記憶装置33に記録されているテーブルである。サービス接続テーブル70は、クライアントが送出したCall-ID71と、クライアントのアドレスであるFrom72と、リクエストの受信先アドレスであるTo73と、代表サーバが選択した接続先サーバ74であるサービス提供サーバが記載されている。なお、From72とTo73に記載されたtagは、アドレスの識別情報である。
図12に示すクライアントからSIPサーバへのサービス接続要求パケット80は、図5のT506で送出されるパケットである。サービス接続要求パケット80は、IPヘッダ81と、UDP/TCPヘッダ82と、サービス接続要求メッセージヘッダ83と、サービス接続要求メッセージボディ84とからなり、サービス接続要求メッセージヘッダ83に、RFC3261で規定されたSIPの接続要求メッセージを含んでいる。SIPのセッション記述には、RFC3266で仕様化されたSDPが適用される。
サービス接続要求メッセージメッセージヘッダ83は、スタートラインに、リクエストメソッドとして、このメッセージがセッション接続要求用であることを示す“INVITE”を含み、宛先アドレスとして、代表サーバのURI“sv1@aaa.com”を含む。
Viaヘッダには、送信元であるクライアントのアドレスが記載されている。ToヘッダとFromヘッダは、それぞれ宛先と送信元を示し、Call-IDは、送信元で指定したセッション識別子を示す。Cseqヘッダは、Command Sequenceであり、セッション内のトランザクションを識別する。Contactヘッダは、SIPサーバに登録すべきクライアント10−1のURIを示し、Content-TypeヘッダとContent-Lengthは、メッセージボディ84のSDPの定義情報を示している。
図13に示すクライアントからSIPサーバへのサービス要求パケットボディ84は、設定項目841と設定値842とからなるテーブルである。設定項目841は、クライアントIPアドレス、クライアントポート番号、データの暗号化のないクライアント通信情報選択肢1、データの暗号化を実施するクライアント通信情報選択肢2、アプリケーション情報で構成され、設定値842には対応する設定値が記載されている。クライアント通信情報選択肢1は、クライアント通信情報ID(I)とメッセージ認証コードと認証コード用共通鍵で構成される。クライアント通信情報ID(I)は、Initiatorが送信したデータと認証コードおよび鍵を対応付けるIDである。クライアント通信情報選択肢2は、クライアント通信情報ID(I)とメッセージ認証コードと認証コード用共通鍵とメッセージ暗号化方法と暗号用共通鍵で構成される。クライアント通信情報ID(I)は、Initiatorが送信したデータとメッセージ認証コードないし暗号用共通鍵を対応付けるIDである。
クライアントからSIPサーバへのサービス接続要求パケット80は、SIPサーバから代表サーバ30へ転送される。
図14に示す代表サーバからSIPサーバへのサービス接続応答パケット90は、図5のT512で送出されるパケットである。サービス接続応答パケット90は、IPヘッダ91と、UDP/TCPヘッダ92と、サービス接続応答メッセージヘッダ93と、サービス接続応答メッセージボディ94とからなり、サービス接続応答メッセージヘッダ93に、SIPの接続応答メッセージを含んでいる。
サービス接続応答メッセージメッセージヘッダ93は、スタートラインに、リクエストメソッドとして、このメッセージがセッション応答用であることを示す“200 OK”を含み、Call-IDヘッダ、Cseqヘッダは図12に示した接続要求と同じなので、接続要求に対する接続応答(許可)であることが分かる。ToヘッダとFromヘッダは、それぞれ接続要求の宛先と送信元をそのまま示している。
図15に示す共通サーバからSIPサーバへのサービス応答パケットボディ94は、設定項目941と設定値942とからなるテーブルである。設定項目941は、クライアントIPアドレス、クライアントポート番号、代表サーバにより選択されたクライアント通信情報、アプリケーション情報で構成され、設定値942には対応する設定値が記載されている。選択されたクライアント通信情報は、クライアント通信情報ID(R)とメッセージ認証コードと認証コード用共通鍵で構成される。クライアント通信情報ID(R)は、Responderが送信したデータと認証コードおよび鍵を対応付けるIDである。
代表サーバからSIPサーバへのサービス接続応答パケット90は、SIPサーバからクライアント10−1に転送される。
図16に示す代表サーバからサービス提供サーバへのクライアント通信情報設定要求パケットは、図5のT510で送出されるパケットである。クライアント通信情報設定要求パケット110は、IPヘッダ111と、UDP/TCPヘッダ112と、クライアント通信情報設定要求メッセージヘッダ113と、クライアント通信情報設定要求メッセージボディ114とからなる。クライアント通信情報設定要求メッセージボディ114は、図13で説明したサービス接続要求メッセージボディから代表サーバ30が選択しなかったクライアント通信情報選択肢2を除いたものと同一である。
なお、クライアント通信情報設定要求メッセージボディ114は、クライアント通信情報設定テーブルとしてサービス提供サーバ40に保持される。
図17に示すサービス提供サーバから代表サーバへのクライアント通信情報設定応答パケットは、図5のT511で送出されるパケットである。クライアント通信情報設定応答パケット120は、IPヘッダ121と、UDP/TCPヘッダ122と、クライアント通信情報設定応答メッセージヘッダ123と、クライアント通信情報設定応答メッセージボディ124とからなる。クライアント通信情報設定応答メッセージボディ124は、図15で説明したサービス接続応答メッセージボディと同一である。これは代表サーバがメッセージボディを変更せずそのままSIPサーバに転送しているからである。
なお、図16および図17では代表サーバとサービス提供サーバとの間の通信は、セキュアなローカルエリアネットワークであるネットワーク50−2を用いるので、そのプロトコルはSIP以外の例えばHTTP(HyperText Transport Protocol)などのプロトコルであっても良い。
図18に示すクライアントからSIPサーバへのサービス切断要求パケット130は、図5のT518で送出されるパケットである。サービス切断要求パケット130は、IPヘッダ131と、UDP/TCPヘッダ132と、サービス切断要求メッセージヘッダ133と、サービス切断要求メッセージボディ134とからなり、サービス切断要求メッセージヘッダ133に、SIPの切断要求メッセージを含んでいる。サービス切断要求メッセージヘッダ133は、スタートラインに、リクエストメソッドとして、このメッセージがセッション切断要求用であることを示す“BYE”を含み、サービス提供サーバのIPアドレスである“192.0.2.4”を含む。
図19に示すクライアントからSIPサーバへのサービス切断要求パケットボディ134は、設定項目1341と設定値1342で構成される。設定項目1341は、クライアントのIPアドレスと、ポート番号と、クライアント通信情報IDである。クライアント通信情報IDの設定値には、サービス接続要求メッセージボディ(図13)で通知した設定値をセットする。
図20に示す代表サーバからSIPサーバへのサービス切断応答パケット140は、図5のT522で送出されるパケットである。サービス切断応答パケット140は、IPヘッダ141と、UDP/TCPヘッダ142と、サービス切断応答メッセージヘッダ143と、サービス切断応答メッセージボディ144とからなり、サービス切断応答メッセージヘッダ143に、SIPの切断応答メッセージを含んでいる。サービス切断応答メッセージヘッダ143は、スタートラインに、リクエストメソッドとして、このメッセージがセッション応答用であることを示す“200 OK”を含み、Call-IDヘッダ、Cseqヘッダは図18に示した切断要求と同じなので、切断要求に対する切断応答(許可)であることが分かる。
図21に示す代表サーバからSIPサーバへのサービス切断応答パケットボディ144は、設定項目1441と設定値1442で構成される。設定項目1441は、サービス提供サーバのIPアドレスと、ポート番号と、クライアント通信情報IDである。クライアント通信情報IDの設定値には、サービス接続応答メッセージボディ(図15)で通知した設定値をセットする。
図22に示す代表サーバからサービス提供サーバへのクライアント通信情報削除要求パケット150は、図5のT520で送出されるパケットである。クライアント通信情報削除要求パケット150は、IPヘッダ151と、UDP/TCPヘッダ152と、クライアント通信情報削除要求メッセージヘッダ153と、クライアント通信情報削除要求メッセージボディ154とからなる。クライアント通信情報削除要求メッセージボディ154は、図19で説明したサービス切断要求メッセージボディと同一である。
図23に示すサービス提供サーバから代表サーバへのクライアント通信情報削除応答パケット160は、図5のT521で送出されるパケットである。クライアント通信情報削除応答パケット160は、IPヘッダ161と、UDP/TCPヘッダ162と、クライアント通信情報削除応答メッセージヘッダ163と、クライアント通信情報削除応答メッセージボディ164とからなる。クライアント通信情報削除応答メッセージボディ164は、図21で説明したサービス切断応答メッセージボディと同一である。これは代表サーバがメッセージボディを変更せずそのままSIPサーバに転送しているからである。
なお、図22および図23では代表サーバとサービス提供サーバとの間の通信は、セキュアなローカルエリアネットワークであるネットワーク50−2を用いるので、そのプロトコルはSIP以外の例えばHTTP(HyperText Transport Protocol)などのプロトコルであっても良い。
図24と図25を用いて、クライアントとサービス提供サーバの間で通信されるパケットを説明する。ここで、図24は図13に示すクライアントからのサービス要求メッセージで、データの暗号化を行わないクライアント通信情報選択肢1を代表サーバが選択した場合に、クライアントとサービス提供サーバの間で通信されるパケットである。また、図25は図13に示すクライアントからのサービス要求メッセージで、データの暗号化を実施するクライアント通信情報選択肢2を代表サーバが選択した場合に、クライアントとサービス提供サーバの間で通信されるパケットである。
図24において、データパケット170は、IPヘッダ171、UDP/TCPヘッダ、クライアント通信情報ID173、データ174、HMAC175で構成される。なお、クライアント通信情報ID173は、クライアント通信情報ID(R)またはクライアント通信情報ID(I)である。ここで、このデータパケット170は、サービス提供サーバからクライアントへ向けたストリーミングデータとしよう。クライアントは、データに添付されたクライアント通信情報ID(R)を参照し、図15で説明したクライアント通信情報ID(R)に対応するメッセージ認証コード(HMAC-SHA1)と、認証コード用共通鍵(3541e2af1537fg3712ca12)を把握する。認証コード用共通鍵を用いて、HMAC175を復号しハッシュ(1)を生成する。一方、データ174とメッセージ認証コードを用いて、ハッシュ(2)を生成する。ハッシュ(1)とハッシュ(2)が等しければ、データパケット170の送信元であるサービス提供サーバが代表サーバの配下にある正規なサービス提供サーバであることを確認できる。
図25において、データパケット180は、IPヘッダ181、UDP/TCPヘッダ182、クライアント通信情報ID183、暗号化データ184、HMAC185で構成される。ここで、このデータパケット180は、サービス提供サーバからクライアントへ向けたストリーミングデータとしよう。クライアントは、データに添付されたクライアント通信情報ID(R)(図示せず)を参照し、クライアント通信情報ID(R)に対応するメッセージ認証コード(HMAC-MD5:図13参照)、認証コード用共通鍵(fe648c578b80a675)、メッセージ暗号化方法(AES-128-CBC)および暗号用共通鍵(1653fe648c578b424ef)を把握する。次に、認証コード用共通鍵を用いて、HMAC185を復号しハッシュ(1)を生成する。一方、暗号化データ184を暗号用共通鍵で復号し、メッセージ認証コードを用いて、ハッシュ(2)を生成する。ハッシュ(1)とハッシュ(2)が等しければ、データパケット180の送信元であるサービス提供サーバが代表サーバの配下にある正規なサービス提供サーバであることを確認できる。
図24および図25ではデータパケットをサービス提供サーバからクライアントへのデータとしたが、逆にクライアントからサービス提供サーバ宛てのデータでも同様に、サービス提供サーバは、データに添付されたクライアント通信情報ID(I)を参照し、生成した二つのハッシュ値を比較することで、正規なクライアントであることを確認できる。
本実施例によれば、認証は代表サーバのみに対して行われるため、サービス提供用サーバは電子証明書を持つ必要がない。クライアントは、メッセージに付与されたHMACの値を確認することで、通信を行っているサービス提供サーバが正しい代表サーバの配下にあるサービス提供サーバであることを確認できる。また、暗号化通信を行うことで、サービスデータの秘匿性を保つことが出来る。
SIPサーバは、個々のサービス提供サーバを認証する必要がなく、また、個々のサービス提供サーバとの間で通信セッションを保持する必要もないため、SIPサーバの負荷を軽減することができる。
また、データ通信は、クライアントとサービス提供サーバとの間で直接行われるため、代表サーバが処理のボトルネックにならない。
本実施例では、代表サーバが一括してクライアント通信情報を選択しているので、1度の問合せでクライアント通信情報を確定できる利点もある。
本発明の実施例2を図26ないし図29を用いて説明する。ここで、図26は代表サーバの処理フロー図である。図27はサービス提供サーバの処理フロー図である。図28は代表サーバからサービス提供サーバ宛てのクライアント通信情報設定要求の構成とメッセージボディを説明する図である。図29はサービス提供サーバから代表サーバ宛てのクライアント通信情報設定応答の構成とメッセージボディを説明する図である。
上述した実施例1では代表サーバが暗号化通信情報とメッセージ認証情報との選択を行うのに対して、実施例2はサービス提供サーバが選定を行う実施例である。実施例2では実施例1との相違点のみ説明する。したがって、大部分の図面は実施例1と共通または若干の違いはあるもののほぼ同一である。
図26を参照して代表サーバの処理フローを説明する。代表サーバ30が起動すると、代表サーバ30は、自分自身のIPアドレスをセットした”REGISTER”メッセージをコンタクト情報としてSIPサーバ20に送信する(S901)。SIPサーバ20の応答を待ったあと(S902)、”200 OK”を受信して、メッセージの受信待ちとなる(S903)。代表サーバ30は、”INVITE”を受信したあと、INVITEメッセージを解析し、暗号通信情報の候補、メッセージ認証情報の候補およびアプリケーション情報を取得する(S904)。代表サーバ30は、サービス提供サーバの状態を記録したサーバ選択テーブル(図9)を参照し、クライアントと通信するサービス提供サーバを選択する(S905)。
代表サーバ30は、暗号化通信情報の候補、メッセージ認証情報の候補およびアプリケーション情報をクライアント通信情報設定要求として、サービス提供サーバに送信する(S906)。代表サーバ30は、サービス提供サーバ40−1の応答を待ったあと(S907)、サービス提供サーバ40−1から、正常な通信が行われたことを示すクライアント通信情報設定応答が戻ってきたとき、サービス接続テーブルにエントリを追加し、サーバ選択テーブルを更新する。また、代表サーバ30は、サービス提供サーバ40−1によって選択された暗号化通信情報とメッセージ認証情報を含む200 OKメッセージをSIPサーバ20に送信して(S908)再びメッセージ受信待ちとなる(S903)。
サービス接続確認であるSIPサーバ20からのACKメッセージを受信すると、代表サーバ30は、再々度メッセージ待ち(S903)となる。この状態で、サービス切断要求であるBYEメッセージをSIPサーバ20から受信すると、BYEメッセージを解析、サーバ選択テーブルを参照し、暗号通信情報とメッセージ認証情報の消去を行うサービス提供サーバ40−1を特定(S911)し、このサービス提供サーバ40−1にクライアント通信情報削除要求を送信し(9712)、サービス提供サーバ40−1の応答待ちとなる(S913)。サービス提供サーバ40−1から、正常な通信が行われたことを示すクライアント通信情報削除応答が戻ってきたとき、サービス接続テーブルのエントリを削除し、サーバ選択テーブルを更新する。また、暗号通信情報、メッセージ認証情報の消去、およびサービスの切断をクライアントに通知する200 OKメッセージをSIPサーバ20に送信して(S914)、メッセージ受信待ち(S903)となる。
なお、ステップ902、ステップ907またはステップ913でエラーを受信したとき、またはタイムアウトしたときには、ステップ921、ステップ922またはステップ923のエラー処理に遷移する。
図27において、サービス提供サーバ40が起動すると、サービス提供サーバ40は、まず代表サーバ30からの要求(リクエスト)受信待ちとなる(S501)。サービス提供サーバ40が、クライアント通信情報設定要求を受信すると、それを解析し、代表サーバ30から通知された暗号化通信情報選択肢、メッセージ認証情報選択肢およびアプリケーション情報を取得する(S502)。サービス提供サーバ40は、クライアントとの通信に利用する暗号化通信情報とメッセージ認証情報を選択し(S503)、クライアント通信情報設定テーブルに、暗号化通信情報とメッセージ認証情報およびアプリケーション情報をセットし、代表サーバ30にクライアント通信情報設定応答を送信する(S504)。このあとサービス提供サーバ40は、暗号化通信情報、メッセージ認証情報およびアプリケーション情報に従って、直接クライアントとのサービスデータの送受信を開始する(S505)。この開始を契機にサービス提供サーバ40は、サービスデータの送受信中も、代表サーバ30からの要求受信待ちに遷移する(S501)。
サービス提供サーバ40が、クライアント通信情報削除要求を受信したとき、その要求を解析し、当該クライアントとのサービスデータの送受信を停止する(S507)。サービス提供サーバ40は、当該クライアントとの通信に使用していた、暗号化通信情報、メッセージ認証情報およびアプリケーション情報をクライアント通信情報設定テーブルから消去し、代表サーバ30にクライアント通信情報削除応答を送信し(S508)、再度代表サーバ30からの要求受信待ちに遷移する(S501)。
図28に示す代表サーバからサービス提供サーバへのクライアント通信情報設定要求パケットは、図5のT510相当箇所で送出されるパケットである。クライアント通信情報設定要求パケット210は、IPヘッダ211と、UDP/TCPヘッダ212と、クライアント通信情報設定要求メッセージヘッダ213と、クライアント通信情報設定要求メッセージボディ214とからなる。実施例2では、クライアントが提示した選択肢からの選択は、サービス提供サーバ40−1が行う。したがって、クライアント通信情報設定要求メッセージボディ214は、図13で説明したサービス接続要求メッセージボディと同一である。
図29に示すサービス提供サーバから代表サーバへのクライアント通信情報設定応答パケットは、図5のT511相当箇所で送出されるパケットである。クライアント通信情報設定応答パケット220は、IPヘッダ221と、UDP/TCPヘッダ222と、クライアント通信情報設定応答メッセージヘッダ223と、クライアント通信情報設定応答メッセージボディ224とからなる。クライアント通信情報設定応答メッセージボディ224は、図15で説明したサービス接続応答メッセージボディと同一である。
本実施例によれば、認証は代表サーバのみに対して行われるため、サービス提供用サーバは電子証明書を持つ必要がない。クライアントは、メッセージに付与されたHMACの値を確認することで、通信を行っているサービス提供サーバが正しい代表サーバの配下にあるサービス提供サーバであることを確認できる。また、暗号化通信を行うことで、サービスデータの秘匿性を保つことが出来る。
SIPサーバは、個々のサービス提供サーバを認証する必要がなく、また、個々のサービス提供サーバとの間で通信セッションを保持する必要もないため、SIPサーバの負荷を軽減することができる。
また、データ通信は、クライアントとサービス提供サーバとの間で直接行われるため、代表サーバが処理のボトルネックにならない。
システム構成を説明するブロック図である。 クライアントのハードウェア構成を説明するブロック図である。 代表サーバのハードウェア構成を説明するブロック図である。 サービス提供サーバのハードウェア構成を説明するブロック図である。 クライアント、SIPサーバ、代表サーバ、サービス提供サーバ間の通信を説明する遷移図(その1)である。 クライアント、SIPサーバ、代表サーバ、サービス提供サーバ間の通信を説明する遷移図(その2)である。 クライアントの処理フロー図である。 代表サーバの処理フロー図(その1)である。 代表サーバの処理フロー図(その2)である。 サービス提供サーバの処理フロー図である。 代表サーバが保有するサーバ選択テーブルを説明する図である。 代表サーバが保有する通信設定テーブルを説明する図である。 代表サーバが保有するサービス接続テーブルを説明する図である。 クライアントからSIPサーバ宛てのサービス接続要求の構成とメッセージヘッダを説明する図である。 クライアントからSIPサーバ宛てのサービス接続要求のメッセージボディを説明する図である。 代表サーバからSIPサーバ宛てのサービス接続応答の構成とメッセージヘッダを説明する図である。 代表サーバからSIPサーバ宛てのサービス接続応答のメッセージボディを説明する図である。 代表サーバからサービス提供サーバ宛てのクライアント通信情報設定要求の構成とメッセージボディを説明する図である。 サービス提供サーバから代表サーバ宛てのクライアント通信情報設定応答の構成とメッセージボディを説明する図である。 クライアントからSIPサーバ宛てのサービス切断要求の構成とメッセージヘッダを説明する図である。 クライアントからSIPサーバ宛てのサービス切断要求のメッセージボディを説明する図である。 代表サーバからSIPサーバ宛てのサービス切断応答の構成とメッセージヘッダを説明する図である。 代表サーバからSIPサーバ宛てのサービス切断応答のメッセージボディを説明する図である。 代表サーバからサービス提供サーバ宛てのクライアント通信情報削除要求の構成とメッセージボディを説明する図である。 サービス提供サーバから代表サーバ宛てのクライアント通信情報削除応答の構成とメッセージボディを説明する図である。 サービス提供サーバとクライアントの間で通信されるデータの構成を説明する図である。 サービス提供サーバとクライアントの間で通信される暗号化データの構成を説明する図である。 実施例2の代表サーバの処理フロー図(その1)である。 実施例2の代表サーバの処理フロー図(その2)である。 実施例2のサービス提供サーバの処理フロー図である。 実施例2の代表サーバからサービス提供サーバ宛てのクライアント通信情報設定要求の構成とメッセージボディを説明する図である。 実施例2のサービス提供サーバから代表サーバ宛てのクライアント通信情報設定応答の構成とメッセージボディを説明する図である。
符号の説明
10…クライアント、11…メモリ、12…CPU、13…外部記憶装置、14…ネットワークインターフェース、15…バス、20…SIPサーバ、30…代表サーバ、31…メモリ、32…CPU、33…外部記憶装置、34…ネットワークインターフェース、35…バス、40…サービス提供サーバ、41…メモリ、42…CPU、43…外部記憶装置、44…ネットワークインターフェース、45…バス、50…サーバ選択テーブル、60…通信設定テーブル、70…サービス接続テーブル、80…サービス接続要求パケット、90…サービス接続応答パケット、100…サービスネットワーク、110…クライアント通信情報設定要求パケット、120…クライアント通信情報設定応答パケット、130…サービス切断要求パケット、140…130…サービス切断応答パケット、150…クライアント通信情報削除要求パケット、160…クライアント通信情報削除応答パケット、170…データ送信パケット、180…暗号化データ送信パケット、210…クライアント通信情報設定要求パケット、220…クライアント通信情報設定応答パケット。

Claims (4)

  1. クライアントからの要求に応じてセッションの確立および切断のための通信手順を実行するセッション管理サーバと、情報サービスを提供する複数のサービス提供サーバを代表して前記セッション管理サーバとの間で通信手順を実行する代表サーバとからなるネットワークシステムであって、
    前記セッション管理サーバは、
    前記代表サーバとの間で、相互認証と暗号化通信設定とを行い、
    前記クライアントとの間で、相互認証と暗号化通信設定とを行い、
    前記クライアントと前記代表サーバとの間の、暗号化された呼接続を中継し、
    前記代表サーバは、
    前記サービス提供サーバが利用可能な暗号化情報を記憶する第1の記憶部を保有し、
    前記クライアントから第1のアドレスと第1の暗号化情報とを受信し、
    前記複数のサービス提供サーバから1のサービス提供サーバを選択し、
    前記第1の記憶部を参照し、前記第1の暗号化情報の中から前記選択したサービス提供サーバが利用可能な第2の暗号化情報を選択し、
    前記選択したサービス提供サーバに前記第1のアドレスと前記第2の暗号化情報とを送信し、
    前記選択したサービス提供サーバから受信した第2のアドレスと、前記第2の暗号化情報の中から選択された第3の暗号化情報を前記クライアントに向けて送信することを特徴とするネットワークシステム。
  2. 請求項1に記載のネットワークシステムであって、
    前記暗号化情報は、暗号化アルゴリズムとメッセージ認証アルゴリズムとであることを特徴とするネットワークシステム。
  3. 請求項1に記載のネットワークシステムであって、
    前記代表サーバは、前記複数のサービス提供サーバごとの識別情報と応答時間とを記憶する第2の記憶部を有し、当該第2の記憶部を参照し、応答時間の最も小さいサービス提供サーバを選択することを特徴とするネットワークシステム。
  4. クライアントからの要求に応じてセッションの確立および切断のための通信手順を実行するセッション管理サーバと、情報サービスを提供する複数のサービス提供サーバを代表して前記セッション管理サーバとの間で通信手順を実行する代表サーバとからなるシステムにおける通信方法であって、
    前記セッション管理サーバにより、
    前記代表サーバと相互認証と暗号化通信設定を行うステップと、
    前記クライアントと相互認証と暗号化通信設定を行うステップと、
    前記クライアントと前記代表サーバの暗号化された呼接続を中継するステップと、
    前記代表サーバにより、
    前記クライアントから第1のアドレスと第1の暗号化情報を受信するステップと、
    前記複数のサービス提供サーバから1のサービス提供サーバを選択するステップと、
    前記第1の暗号化情報の中から、前記選択したサービス提供サーバが利用可能な第2の暗号化情報を選択するステップと、
    前記選択したサービス提供サーバに前記第1のアドレスと前記第2の暗号化情報を送信するステップと、
    前記選択したサービス提供サーバから受信した第2のアドレスと、前記第2の暗号化情報の中から選択された第3の暗号化情報とを前記クライアントに向けて送信するステップと、からなることを特徴とする通信方法。
JP2005138082A 2005-05-11 2005-05-11 ネットワークシステム、サーバ装置および通信方法 Expired - Fee Related JP4690767B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2005138082A JP4690767B2 (ja) 2005-05-11 2005-05-11 ネットワークシステム、サーバ装置および通信方法
US11/417,054 US8041822B2 (en) 2005-05-11 2006-05-04 Service network system and server device
CN200610080169.8A CN1863214B (zh) 2005-05-11 2006-05-10 服务网络系统以及服务器装置
US12/398,613 US20090177802A1 (en) 2005-05-11 2009-03-05 Service network system and server device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005138082A JP4690767B2 (ja) 2005-05-11 2005-05-11 ネットワークシステム、サーバ装置および通信方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010106829A Division JP5022474B2 (ja) 2010-05-07 2010-05-07 サーバ装置、通信方法およびプログラム

Publications (3)

Publication Number Publication Date
JP2006318075A JP2006318075A (ja) 2006-11-24
JP2006318075A5 JP2006318075A5 (ja) 2007-12-06
JP4690767B2 true JP4690767B2 (ja) 2011-06-01

Family

ID=37390541

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005138082A Expired - Fee Related JP4690767B2 (ja) 2005-05-11 2005-05-11 ネットワークシステム、サーバ装置および通信方法

Country Status (3)

Country Link
US (2) US8041822B2 (ja)
JP (1) JP4690767B2 (ja)
CN (1) CN1863214B (ja)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2441203T3 (es) * 1999-06-08 2014-02-03 The Trustees Of Columbia University In The City Of New York Aparato y sistema de telefonía de red para telefonía por inter/intranet
US8468131B2 (en) * 2006-06-29 2013-06-18 Avaya Canada Corp. Connecting devices in a peer-to-peer network with a service provider
US7872994B2 (en) * 2006-08-11 2011-01-18 Cisco Technology, Inc. SIP out-of-dialog REFER mechanism for handoff between front-end and back-end services
FR2908880B1 (fr) * 2006-11-21 2009-01-16 Centre Nat Rech Scient Dispositif de detection d'interferences monolithique integre
JP2009081852A (ja) * 2007-09-04 2009-04-16 Seiko Epson Corp ファイル転送システムおよびその方法
US20100257274A1 (en) * 2007-11-22 2010-10-07 Nec Corporation Communication system, communication method, and shared-authentication apparatus
JPWO2009066595A1 (ja) * 2007-11-22 2011-04-07 日本電気株式会社 通信システム、通信方法およびサーバ管理装置
WO2009066594A1 (ja) * 2007-11-22 2009-05-28 Nec Corporation 通信システム、通信方法および通信セッション集約装置
JP2011129962A (ja) * 2008-02-25 2011-06-30 Nec Corp サービストリガ制御システム、サーバ、方法およびプログラム
JP5422939B2 (ja) * 2008-08-25 2014-02-19 富士通株式会社 変更プログラム、情報処理装置および変更方法
US8244836B2 (en) * 2008-08-29 2012-08-14 Red Hat, Inc. Methods and systems for assigning provisioning servers in a software provisioning environment
US20120189122A1 (en) * 2011-01-20 2012-07-26 Yi-Li Huang Method with dynamic keys for mutual authentication in wireless communication environments without prior authentication connection
JP5685158B2 (ja) * 2011-07-22 2015-03-18 パナソニックIpマネジメント株式会社 認証装置
US10575172B2 (en) 2014-07-04 2020-02-25 Freebit Co., Ltd. Method and system for setting smartphone account
US9600312B2 (en) 2014-09-30 2017-03-21 Amazon Technologies, Inc. Threading as a service
US9146764B1 (en) 2014-09-30 2015-09-29 Amazon Technologies, Inc. Processing event messages for user requests to execute program code
US9678773B1 (en) 2014-09-30 2017-06-13 Amazon Technologies, Inc. Low latency computational capacity provisioning
US9537788B2 (en) 2014-12-05 2017-01-03 Amazon Technologies, Inc. Automatic determination of resource sizing
US9733967B2 (en) 2015-02-04 2017-08-15 Amazon Technologies, Inc. Security protocols for low latency execution of program code
US9588790B1 (en) 2015-02-04 2017-03-07 Amazon Technologies, Inc. Stateful virtual compute system
CN104683731B (zh) * 2015-03-20 2019-02-19 苏州科达科技股份有限公司 一种用于异构平台间通信的方法及系统
JP6485250B2 (ja) * 2015-06-26 2019-03-20 セイコーエプソン株式会社 ネットワークシステム、及び、ネットワークシステムの制御方法
US9910713B2 (en) 2015-12-21 2018-03-06 Amazon Technologies, Inc. Code execution request routing
US11132213B1 (en) 2016-03-30 2021-09-28 Amazon Technologies, Inc. Dependency-based process of pre-existing data sets at an on demand code execution environment
US10102040B2 (en) 2016-06-29 2018-10-16 Amazon Technologies, Inc Adjusting variable limit on concurrent code executions
US10853115B2 (en) 2018-06-25 2020-12-01 Amazon Technologies, Inc. Execution of auxiliary functions in an on-demand network code execution system
US11146569B1 (en) 2018-06-28 2021-10-12 Amazon Technologies, Inc. Escalation-resistant secure network services using request-scoped authentication information
US10949237B2 (en) 2018-06-29 2021-03-16 Amazon Technologies, Inc. Operating system customization in an on-demand network code execution system
US11099870B1 (en) 2018-07-25 2021-08-24 Amazon Technologies, Inc. Reducing execution times in an on-demand network code execution system using saved machine states
US11099917B2 (en) 2018-09-27 2021-08-24 Amazon Technologies, Inc. Efficient state maintenance for execution environments in an on-demand code execution system
US11243953B2 (en) 2018-09-27 2022-02-08 Amazon Technologies, Inc. Mapreduce implementation in an on-demand network code execution system and stream data processing system
US11943093B1 (en) * 2018-11-20 2024-03-26 Amazon Technologies, Inc. Network connection recovery after virtual machine transition in an on-demand network code execution system
US11010188B1 (en) 2019-02-05 2021-05-18 Amazon Technologies, Inc. Simulated data object storage using on-demand computation of data objects
US11861386B1 (en) 2019-03-22 2024-01-02 Amazon Technologies, Inc. Application gateways in an on-demand network code execution system
US11119809B1 (en) 2019-06-20 2021-09-14 Amazon Technologies, Inc. Virtualization-based transaction handling in an on-demand network code execution system
US11159528B2 (en) 2019-06-28 2021-10-26 Amazon Technologies, Inc. Authentication to network-services using hosted authentication information
US11190609B2 (en) 2019-06-28 2021-11-30 Amazon Technologies, Inc. Connection pooling for scalable network services
US11115404B2 (en) 2019-06-28 2021-09-07 Amazon Technologies, Inc. Facilitating service connections in serverless code executions
US11119826B2 (en) 2019-11-27 2021-09-14 Amazon Technologies, Inc. Serverless call distribution to implement spillover while avoiding cold starts
US11714682B1 (en) 2020-03-03 2023-08-01 Amazon Technologies, Inc. Reclaiming computing resources in an on-demand code execution system
US11188391B1 (en) 2020-03-11 2021-11-30 Amazon Technologies, Inc. Allocating resources to on-demand code executions under scarcity conditions
US11550713B1 (en) 2020-11-25 2023-01-10 Amazon Technologies, Inc. Garbage collection in distributed systems using life cycled storage roots
US11593270B1 (en) 2020-11-25 2023-02-28 Amazon Technologies, Inc. Fast distributed caching using erasure coded object parts
US11388210B1 (en) 2021-06-30 2022-07-12 Amazon Technologies, Inc. Streaming analytics using a serverless compute system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003124926A (ja) * 2001-10-15 2003-04-25 Hitachi Ltd 暗号化通信システムにおける認証処理方法及びそのシステム
WO2004015932A1 (ja) * 2002-08-08 2004-02-19 Sharp Kabushiki Kaisha 通信中継装置
JP2004529584A (ja) * 2001-05-29 2004-09-24 インターディジタル テクノロジー コーポレイション ユニバーサル・モバイル遠隔通信システムのマルチメディア使用可能ユニットの間で通信される情報を削減するためのシステムおよび方法

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10177552A (ja) 1996-12-17 1998-06-30 Fuji Xerox Co Ltd 認証応答方法およびその方法を用いた認証応答装置
JP3603524B2 (ja) * 1997-02-05 2004-12-22 株式会社日立製作所 ネットワーキング方法
US6564261B1 (en) * 1999-05-10 2003-05-13 Telefonaktiebolaget Lm Ericsson (Publ) Distributed system to intelligently establish sessions between anonymous users over various networks
US6374300B2 (en) * 1999-07-15 2002-04-16 F5 Networks, Inc. Method and system for storing load balancing information with an HTTP cookie
US9191443B2 (en) * 1999-12-02 2015-11-17 Western Digital Technologies, Inc. Managed peer-to-peer applications, systems and methods for distributed data access and storage
US6658473B1 (en) * 2000-02-25 2003-12-02 Sun Microsystems, Inc. Method and apparatus for distributing load in a computer environment
US6862623B1 (en) * 2000-04-14 2005-03-01 Microsoft Corporation Capacity planning for server resources
US6954784B2 (en) * 2000-08-17 2005-10-11 International Business Machines Corporation Systems, method and computer program products for cluster workload distribution without preconfigured port identification by utilizing a port of multiple ports associated with a single IP address
US6941384B1 (en) * 2000-08-17 2005-09-06 International Business Machines Corporation Methods, systems and computer program products for failure recovery for routed virtual internet protocol addresses
JP2002108840A (ja) 2000-09-28 2002-04-12 Toshiba Corp 分散型注文受付システム、受付サーバ、コンテンツサーバ、分散型注文受付方法及びコンピュータプログラム製品
US6963917B1 (en) * 2000-10-20 2005-11-08 International Business Machines Corporation Methods, systems and computer program products for policy based distribution of workload to subsets of potential servers
US6965930B1 (en) * 2000-10-20 2005-11-15 International Business Machines Corporation Methods, systems and computer program products for workload distribution based on end-to-end quality of service
US6986040B1 (en) * 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
JP2003029932A (ja) * 2001-07-18 2003-01-31 Hitachi Ltd ディスク制御装置
JP2003108537A (ja) 2001-09-13 2003-04-11 Internatl Business Mach Corp <Ibm> ネットワーク上のサーバに対するサービス要求の負荷分散の方法およびシステム
JP2003099402A (ja) 2001-09-21 2003-04-04 Nec Soft Ltd 認証代理サーバ、方法及びプログラム
EP1315064A1 (en) * 2001-11-21 2003-05-28 Sun Microsystems, Inc. Single authentication for a plurality of services
JP2003178028A (ja) 2001-12-12 2003-06-27 Sony Corp ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム
JP3640927B2 (ja) 2002-01-11 2005-04-20 株式会社エヌ・ティ・ティ・ドコモ Ipネットワークにおけるipアドレス取得方法及びクライアントサーバシステム並びにそのクライアントサーバシステムに用いられるクライアント端末、サーバ
EP1466460A1 (en) * 2002-01-15 2004-10-13 Avaya Technology Corp. Communication application server for converged communication services
JP2003242119A (ja) 2002-02-20 2003-08-29 Pfu Ltd ユーザ認証サーバおよびその制御プログラム
US7543061B2 (en) * 2003-06-26 2009-06-02 Microsoft Corporation Method and system for distributing load by redirecting traffic
JP2005073236A (ja) * 2003-08-06 2005-03-17 Matsushita Electric Ind Co Ltd 中継サーバ、中継サーバのサービス管理方法、サービス提供システム、およびプログラム
US7478152B2 (en) * 2004-06-29 2009-01-13 Avocent Fremont Corp. System and method for consolidating, securing and automating out-of-band access to nodes in a data network
CA2632235A1 (en) * 2005-12-02 2007-06-07 Citrix Systems, Inc. Method and apparatus for providing authentication credentials from a proxy server to a virtualized computing environment to access a remote resource

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004529584A (ja) * 2001-05-29 2004-09-24 インターディジタル テクノロジー コーポレイション ユニバーサル・モバイル遠隔通信システムのマルチメディア使用可能ユニットの間で通信される情報を削減するためのシステムおよび方法
JP2003124926A (ja) * 2001-10-15 2003-04-25 Hitachi Ltd 暗号化通信システムにおける認証処理方法及びそのシステム
WO2004015932A1 (ja) * 2002-08-08 2004-02-19 Sharp Kabushiki Kaisha 通信中継装置

Also Published As

Publication number Publication date
CN1863214B (zh) 2011-10-26
JP2006318075A (ja) 2006-11-24
CN1863214A (zh) 2006-11-15
US20090177802A1 (en) 2009-07-09
US8041822B2 (en) 2011-10-18
US20060288120A1 (en) 2006-12-21

Similar Documents

Publication Publication Date Title
JP4690767B2 (ja) ネットワークシステム、サーバ装置および通信方法
KR100924692B1 (ko) 데이터 전송시스템, 정보처리장치 및 방법, 데이터중계장치 및 방법과, 기록매체
US7542573B2 (en) Providing apparatus, communication device, method, and program
US20070078986A1 (en) Techniques for reducing session set-up for real-time communications over a network
JP4635855B2 (ja) データ通信方法およびシステム
US8756326B1 (en) Using interactive communication session cookies in web sessions
US20080256224A1 (en) Data communication system and session management server
US20070106670A1 (en) Interactive communication session cookies
JP4764368B2 (ja) 通信を確立してメッセージを中継する装置、通信を確立する方法およびプログラム
US20080195753A1 (en) Relay apparatus, recording medium containing relay program, and communication system
US20090016339A1 (en) Apparatus, method, and computer program product for relaying messages
US8874911B2 (en) Terminal device, system, connection management server, and computer readable medium
JP4830503B2 (ja) 個人情報を保護した通信セッション確立仲介システムおよび方法
JP2006217446A (ja) 遠隔会議システム
US20070258111A1 (en) Sip adapter and sip communication system
US7684385B2 (en) Inter-enterprise telephony using a central brokerage device
EP2071806B1 (en) Receiving/transmitting agent method of session initiation protocol message and corresponding processor
JP5022474B2 (ja) サーバ装置、通信方法およびプログラム
JP4028883B2 (ja) 情報サービス通信ネットワークシステムおよびセッション管理サーバ
US9197674B1 (en) Inter-domain user and service mobility in SIP/SIMPLE systems
Tschofenig et al. CORE C. Bormann Internet-Draft Universitaet Bremen TZI Intended status: Standards Track S. Lemay Expires: January 9, 2017 Zebra Technologies
Kyzivat SIMPLE Working Group B. Campbell Internet-Draft J. Rosenberg Expires: November 20, 2003 R. Sparks dynamicsoft
JP2013211684A (ja) 通信システム、サーバ装置、サーバ処理プログラム、及び接続要求転送方法
JP2006222486A (ja) 中継装置および中継方法
JP2008152570A (ja) サービス提供装置、認証方法及び認証プログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071023

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071023

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100507

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110215

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110218

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140225

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees