1312631 (1) 九、發明說明 【發明所屬之技術領域】 本發明係有關透過網際網路等之通訊網路 通訊之技術。 【先前技術】 爲了從自宅的通訊終端適切地存取企業的 或爲了使企業各據點的區域網路安全地連接 VPN ( Virtual Private Network :虛擬私設網路 例如’針對連接著網際網路等外部網路的 端(以下有時也稱爲外部終端),是和連接著 內網路的內部通訊終端(以下有時也稱爲內部 行安全通訊的情形,加以說明。 首先,外部通訊終端,係從網際網路對身 路之入口的VPN裝置,發送向內部通訊終端 。此處,VPN裝置,係使用公開金鑰憑證(以 證」)等,進行外部通訊終端的認證,確認其 通訊終端存取之終端。此外,外部通訊終端, 等,進行VPN裝置的認證。 外部通訊終端和VPN裝置彼此若能認證 訊終端和VPN裝置便會共用加密金鑰,在其 的資料係使用加密金鑰進行加密。又,VPN裝 部通訊終端連接,進行外部通訊終端所需要之 而進行加密 資訊資產, ,會利用到 )的技術。 外部通訊終 公司等組織 終端),進 爲組織內網 的連接要求 下記作「憑 爲可向內部 係使用憑證 ,則外部通 二者間交換 置,係向內 資料的仲介 -5- (2) 1312631 如此一來,外部通訊終端,係可透過VPN裝置’和 內部通訊終端進行通訊。又,外部通訊終端和VPN裝置 之間所交換的資料,係由於被加密,因此可進行安全的通 訊。 例如,非專利文獻1中,揭露了提供VPN技術之機 器的機能說明。 [非專利文獻1] NORTEL NETWORKS ' "Alteon SSL VPN"、[online] 、NORTEL NETWORKS、P.2-3、[2005 年 5 月 11 曰檢索] 、網際網路 < http://www.nortel.com/products/01/alteon/ sslvpn/collateral/nnl 02960-073 1 03 .pdf> 【發明內容】 [發明所欲解決之課題] 使用先前VPN技術的安全通訊方法中,由於被交換 的所有資料,都是透過VPN裝置而收發訊,因此會有造 成VPN裝置負荷過大的疑慮。 例如,外部通訊終端或內部通訊終端是存在複數台, 各通訊終端間要進行多數的安全通訊時,在VPN裝置中 ,就要進行複數之外部通訊終端的認證處理,或在通訊終 端間所交換的所有資料的加密處理。因此,會有VPN裝 置上的負荷過大之問題。 甚至,另一個課題是,當組織內網路上連接著提供業 務應用程式或資料庫等的應用程式伺服器(以下亦稱爲
CC -6- (3) 1312631 AP伺服器)的情況下,外部通訊終端是透過內部通訊終 端,向應用程式伺服器進行存取時,就需要複數的認證處 理。 例如,當連接著網際網路的外部通訊終端,是向連接 著公司內網路的內部通訊終端進行遠端存取而作業的情況 下,要從內部通訊終端去利用應用程式伺服器的服務時, 除了 VPN裝置上的認證處理以外,還需要應用程式伺服 器上的認證處理、例如輸入使用者ID、密碼等,而會有 密碼管理繁雜之疑慮。 又,先前的VPN技術中,沒有考慮到VPN裝置和內 部通訊終端間,甚至內部通訊終端和AP伺服器間的通訊 的加密,若爲了確保安全性而將外部通訊終端和AP伺服 器間的通訊路全部加密,則其所需的處理是非常繁雜,存 在如此課題。 [用以解決課題之手段] 本發明係有鑑於上記情事而硏發,提供一種可分散安 全通訊時的負荷,,將通訊路全體加密的技術,及/或, 當從外部通訊終端透過內部通訊終端而向應用程式伺服器 等之組織內通訊終端進行存取時,除了可簡化認證,還可 確保更高安全性的技術。 爲了實現上記,本發明中,係提供一種配置了用來管 理外部通訊終端、內部通訊終端、應用程式伺服器之管理 伺服器的通訊系統。 d (4) 1312631 本發明的通訊系統中,藉由進行以下的步驟,而在外 部通訊終端和內部通訊終端之間,進行安全通訊。此外, 亦說明外部通訊終端,是透過內部通訊終端,而和應用程 式伺服器進行安全通訊的步驟。 首先,說明外部通訊終端開始和內部通訊終端進行安 全通訊的情形。 外部通訊終端,係往連接著組織內網路之入口的管理 伺服器進行連接,外部通訊終端和管理伺服器係彼此進行 認證。此外,若需要嚴密之認證時,只要進行使用了公開 金鑰憑證的認證即可。 若彼此認證成功,則會共用用來加密外部通訊終端和 管理伺服器所交換之資料所需的加密金鑰,並建立外部通 訊終端和管理伺服器間的加密通訊路。 又,內部通訊終端和管理伺服器間也是,預先進行和 上記同樣的處理,建立內部通訊終端和管理伺服器間的加 密通訊路。 外部通訊終端,係在建立和管理伺服器的加密通訊路 後,對管理伺服器,發送向內部通訊終端之連接要求。管 理伺服器,係確認已經將外部通訊終端及內部通訊終端之 每一者認證完畢,並生成在外部通訊終端和內部通訊終端 之間的加密通訊中所使用的加密金鑰和設定資訊。然後, 通過和內部通訊終端之間所建立的加密通訊路,從外部通 訊終端,發送對內部通訊終端的連接要求,和加密金鑰及 設定資訊。 -8- (5) 1312631 內部通訊終端,係判斷外部通訊終端是否可連接至內 部通訊終端,並將該結果發送給管理伺服器。 當外部通訊終端和內部通訊終端是可以連接時,管理 伺服器,係將旨爲可連接的訊息,和外部通訊終端和內部 通訊終端之間的加密通訊中所使用的加密金鑰及設定資訊 ,發送給外部通訊終端。 此外,所謂設定資訊,係指例如,加密金鑰的演算法 之種類、金鑰長度、IP位址或埠號等進行加密通訊所必 須之資訊的任意一者或以上之組合。 使用該加密金鑰和設定資訊,在外部通訊終端和內部 通訊終端之間,建立加密通訊路,進行安全的通訊。此外 ,本發明中,是將進行通訊的2個裝置,是彼此擁有可加 密通訊之金鑰這件事,視爲已建立加密通訊路。 其次,說明外部通訊終端,係透過內部通訊終端,向 應用程式伺服器進行存取的二種方法。例如,當外部通訊 終端,是向內部通訊終端進行遠端存取,並從內部通訊終 端來利用應用程式伺服器時,進行以下二種方法之中的任 一者而進行安全通訊。 說明第一種方法。首先在上記方法中,在外部通訊終 端和內部通訊終端之間,建立不透過管理伺服器的加密通 訊路。外部通訊終端,係使用已建立之加密通訊路,對內 部通訊終端,發送旨爲指示往應用程式伺服器之連接要求 的按鍵輸入資訊。 內部通訊終端,係爲了藉由外部通訊終端之操作,而 -9- (6) 1312631 和應用程式伺服器之間建立加密通訊路,而執行上記相同 之步驟。亦即,內部通訊終端、及應用程式伺服器,係分 別和管理伺服器之間建立加密通訊路。此外,此處係假設 爲,應用程式伺服器是預先和管理伺服器之間建立了加密 通訊路。又,當內部通訊終端是已經建立了和管理伺服器 的加密通訊路時,就沒有必要再度建立加密通訊路。 在各個加密通訊路建立後,內部通訊終端係對管理伺 • 服器,發送往應用程式伺服器的連接要求。管理伺服器係 調查,是否已經認證完應用程式伺服器且和應用程式伺服 η' 器間是否已經建立好加密通訊路,若尙未,則用和內部通 訊終端時相同的處理來進行認證及/或加密通訊路之建立 ,生成在內部通訊終端和應用程式伺服器之間的加密通訊 所使用的加密金鑰和設定資訊。然後,透過和應用程式伺 服器之間所建立的加密通訊路,將來自內部通訊終端的連 接要求,和加密金鑰及設定資訊,發送至應用程式伺服器 應用程式伺服器,係判斷內部通訊終端是否可連接至 應用程式伺服器,並將該結果發送給管理伺服器。 當結果爲可連接時,管理伺服器,係將旨爲可連接的 訊息,和內部通訊終端與應用程式伺服器要不透過管理伺 服器而進行之加密通訊中所使用的加密金鑰和設定資訊, 發送給內部通訊終端。 使用該加密金鑰和設定資訊,應用程式伺服器和內部 通訊終端便建立了不透過管理伺服器的加密通訊路。 -10- (7) 1312631 當外部通訊終端是透過內部通訊終端來向應用程式伺 服器進行存取時,利用這些已建立好的二條加密通訊路( 外部通訊終端-內部通訊終端間,及內部通訊終端-應用 _ 程式伺服器間),進行安全的通訊。 接著,說明第二種方法。第二種方法中,在第一種方 法中往應用程式伺服器進行存取之際的未成爲認證對象的 外部終端,會新變成認證對象。 # 首先以和第一種方法相同的方法,在外部通訊終端和 內部通訊終端之間,建立不透過管理伺服器的加密通訊路 。外部通訊終端,係使用已建立之加密通訊路,對內部通 訊終端,發送旨爲指示透過了內部通訊終端之往應用程式 伺服器的連接要求的按鍵輸入資訊。 收到此後,內部通訊終端,係爲了在內部通訊終端和 應用程式伺服器之間建立加密通訊路,而執行以下的步驟 〇 • 內部通訊終端,及應用程式伺服器,係分別和管理伺 服器建立加密通訊路。此外,此處係假設爲,應用程式伺 服器是預先和管理伺服器之間建立了加密通訊路。又,當 內部通訊終端是已經建立了和管理伺服器的加密通訊路時 ,就沒有必要再度建立加密通訊路。 在各個加密通訊路建立後,內部通訊終端,係對管理 伺服器,基於來自外部通訊終端的操作,發送對上記應用 程式伺服器的連接要求。此時所發送的連接要求中,記述 著往應用程式伺服器之連接要求來源係爲外部通訊終端之 -11 - (8) 1312631 意旨。接收到此的管理伺服器,係確認已經分別認證完外 部通訊終端、內部通訊終端、應用程式伺服器之事實,和 外部通訊終端是正在和內部通訊終端進行加密通訊中之事 實。管理伺服器係若這些事實的確認成功,便生成在內部 通訊終端和應用程式伺服器之間的通訊所使用的加密金鑰 和設定資訊。然後,透過和應用程式伺服器間已建立好的 加密通訊路,將從內部通訊終端所接收到的、從外部通訊 終端對應用程式伺服器之透過了內部通訊終端的連接要求 和加密金鑰及設定資訊,發送給應用程式伺服器。 應用程式伺服器,係判斷外部通訊終端是否能夠透過 內部通訊終端來連接至應用程式伺服器,並將該結果發送 給管理伺服器。 當結果爲可連接時,亦即,當應用程式伺服器是能夠 成功認證外部通訊終端和內部通訊終端兩者時,管理伺服 器,係將旨爲可連接的訊息,和內部通訊終端與應用程式 伺服器要不透過管理伺服器而進行之加密通訊中所使用的 加密金鑰和設定資訊,發送給內部通訊終端。 使用該加密金鑰,應用程式伺服器和內部通訊終端, 便建立了不透過管理伺服器的加密通訊路。 當外部通訊終端是透過內部通訊終端來向應用程式伺 服器進行存取時,利用這些已建立好的二條加密通訊路( 外部通訊終端-內部通訊終端間,及內部通訊終端一應用 程式伺服器間),進行安全的通訊。 此處,內部通訊終端或應用程式伺服器,係亦可不預 -12- (9) 1312631 先進行與管理伺服器之認證和加密通訊路之建立,而是可 隨應於外部通訊終端所致之連接要求而進行之。例如亦可 爲,在頻繁地從複數的通訊終端接受連接要求的應用程式 伺服器上,係預先建立和管理伺服器的加密通訊路備用, 當有從內部通訊終端往管理伺服器、往應用程式伺服器之 連接要求時,就可立刻對應處理。又,在很少從特定的外 部終端接受連接要求的這種應用程式伺服器上,則只有在 有連接要求的時候,才進行和管理伺服器的認證、建立加 密通訊路即可。 又,內部通訊終端和應用程式伺服器間的通訊路,在 沒有必要時,也可不進行加密。 甚至,管理伺服器在進行外部通訊終端、內部通訊終 端、應用程式伺服器的認證之際,亦可將憑證的驗證,委 託給負責驗證憑證的憑證驗證伺服器(以下記作驗證伺服 器)。藉由驗證伺服器來驗證該當憑證,就可進行更確實 的認證。 又,管理伺服器,亦可由第三組織來營運。亦即,管 理伺服器,係亦可爲連接著有別於內部通訊終端的組織內 網路之構成。 若依據上記樣態,則外部通訊終端和內部通訊終端間 ,及內部通訊終端和應用程式伺服器間的加密通訊路建立 後,就可不透過管理伺服器來進行加密通訊。因此,相較 於先前記述,可減輕對管理伺服器的負荷。甚至,因爲可 將通訊路全體加密,因此可較先前記述進行更安全的通訊 -13 - (10) 1312631 又,若依據本發明,則當外部通訊終端是透過內部通 訊終端來向應用程式伺服器進行存取時,只要管理伺服器 所致之外部通訊終端、內部通訊終端、應用程式伺服器的 認證成功,則可依據該認證結果,藉由外部通訊終端之操 作而向應用程式伺服器進行存取,而不需要另外進行ID /密碼等之應用程式伺服器固有的認證。亦即,藉由管理 伺服器,一元化地進行外部通訊終端、內部通訊終端、應 用程式伺服器等各通訊終端之認證,各通訊終端就沒有必 要進行複數的認證處理。藉此,可使認證簡化。 又,管理伺服器所致之認證中,亦可採用PKI基礎的 嚴密認證。 [發明效果] 若依據本發明,則外部通訊終端和內部通訊終端間, 以及,內部通訊終端和應用程式伺服器間的加密通訊中, 可減輕對管理伺服器的負荷。甚至,在從外部通訊終端到 應用程式伺服器的通訊路全體中,使得更安全的通訊成爲 可能。 又,若依據本發明,則當外部通訊終端是透過內部通 訊終端來向應用程式伺服器進行存取時,應用程式伺服器 便無必要進行外部通訊終端的認證。亦即,可使認證處理 簡化。 (11) 1312631 【實施方式】 以下,說明本發明的2個實施形態。 又,以下實施例中所使用的ID、位址、網域名等, 皆爲爲了方便說明而虛設的名稱’和實際存在者並無關連 <實施形態1 > 圖1係本發明之一實施形態所述之通訊系統的構成例 圖。 本實施例的通訊系統,係由:網際網路等之外部網路 (簡稱爲網際網路)1 7 ;和連接至網際網路1 7的外部通 訊終端1 11〜外部通訊終端1 1 N (總稱爲「外部終端1 1」 ):和連接著網際網路1 7的組織內網路1 6,所構成。網 際網路1 7和組織內網路1 6之間,雖然未圖示,但亦可透 過稱作「防火牆」的防止彼此間進行不正當通訊的裝置而 連接。此時,外部終端1 1和管理伺服器1 2之間的通訊, 要先設定成不會被防火牆阻擋。又,各網路係無論是有線 、無線之哪一種網路皆可。 又,組織內網路1 6上,連接著:對組織內的利用者 提供業務應用程式或資料庫等的AP伺服器1 4 ;和保管著 組織內的利用者所利用之資料的內部通訊終端1 5 !〜內部 通訊終端1 5m (總稱爲「內部終端1 5」);和管理各通訊 終端間之通訊的管理伺服器1 2 ;和在通訊終端之認證時 用來驗證憑證的驗證伺服器1 3。此外,管理伺服器1 2及 -15- (12) 1312631 驗證伺服器1 3 ’係亦可由有別於內部終端1 5或AP伺服 器1 4的其他組織來營運’連接著其他組織內網路之構成 〇 其次,說明構成圖1之通訊系統的各裝置。 首先’使用圖2 ’說明外部終端u、內部終端i 5、 A P伺服器14。此外,以下的說明中,當不區別這些裝置 時’包含AP伺服器14,皆簡稱爲「通訊終端」或「終端 j ° 通訊終端’係具有:處理部2 0 a ;和記憶部2 0 b ;和 進行通訊結果之顯示或來自使用者之指示之接受的輸出入 部20 c;和透過網際網路17或組織內網路16而和其他裝 置進行通訊所需之通訊部20d。 處理部20a,係具有:用來登錄特定該當通訊終端在 網路上之位置的位址所需之位址登錄申請部2 1 ;和進行 和管理伺服器12之通訊處理的對管理伺服器通訊處理部 2 2 ;和進行和對方通訊終端之通訊處理的對終端通訊處理 部23 ;和統籌控制通訊終端之各部的控制部24。 記憶部20b,係具有:保持著管理伺服器1 2認證該 當通訊終端之際所使用之該當通訊終端的私密金鑰和公開 金鑰憑證的私密金鑰•憑證保持部25 ;和將通訊加密時 所用之加密金鑰保持部26。 其次,使用圖3,說明管理伺服器12。 管理伺服器12,係具有:處理部3 0a ;和記憶部3 Ob ;和進行通訊結果之顯示或來自使用者之指示之接受的輸 -16- (13) 1312631 出入部30c;和用來透過組織內網路16而連接至其他裝 置或和連接著網際網路17之其他裝置進行通訊所需之通 訊部30d。 處理部3 0a,係具有:接受來自通訊終端之位址登錄 申請而將位址登錄至位址DB3 7或檢索通訊終端之位址等 ' 的位址登錄/檢索部3 1 ;和生成用來加密通訊終端一通 訊終端間之通訊所需之加密金鑰’並發佈給通訊終端的金 φ 鑰生成•發佈部3 2 ;和進行和通訊終端之通訊處理的對 終端通訊處理部3 3 ;和進行和驗證伺服器1 3之通訊處理 的對驗證伺服器通訊處理部34 ;和統籌控制管理伺眼器 1 2之各部的控制部3 4。 記億部3 Ob,係具有:保持著通訊終端在認證該當管 理伺服器之際所用之該當管理伺服器12的私密金鑰和公 開金鑰憑證的私密金鑰•憑證保持部3 6 ;和保持著通訊 終端之位址的位址D B 3 7。 # 其次,使用圖4,說明驗證伺服器1 3。 驗證伺服器1 3,係具有:處理部4 0 a ;和記憶部4 〇 b ;和進行驗證結果之顯示或來自使用者之指示之接受的輸 出入部40c;和用來透過組織內網路16而連接至其他裝 置或和連接著網際網路17之其他裝置進行通訊所需之通 訊部40d。 處理部4〇a,係具有:對從管理伺服器1 2所接受到 的驗證要求’檢索出代表從管理伺服器所信賴之認證機關 的憑證起’至身爲驗證對象之通訊終端的憑證爲止的信賴 -17- (14) 1312631 關係的認證路徑的認證路徑檢索部4 1 ;和將認證路徑檢 索部4 1所檢索到的認證路徑予以驗證的認證路徑驗證部 42 ;和進行和管理伺服器1 2之通訊處理的對管理伺服器 通訊處理部43 ;和統籌控制驗證伺服器1 3之各部的控制 部44。 記憶部40b,係具有:保持著認證路徑檢索部4 1在 檢索認證路徑之際,從認證機關取得的憑證或失效資訊的 憑證保持部4 5。 此外,圖2〜圖4中所例示的通訊終端、管理伺服器 1 2、驗證伺服器1 3的各個處理部,係可在例如圖5所例 示的,具備:C PU5 1 ;和記憶體5 2 ;和硬碟等外部記憶裝 置5 3 ;和透過網際網路1 7或組織內網路1 6而和其他裝 置進行通訊所需之通訊裝置54;和鍵盤或滑鼠等之輸入 裝置55;和顯示裝置或印表機等之輸出裝置56;和從具 有可移除性之記憶媒體58中讀取資訊的讀取裝置57;和 將這些各裝置間連接起來的內部通訊線5 0的一般性電子 計算機中,由CPU51來執行被載入至記憶體52上的所定 程式,而加以實現。 這些程式,係可事前儲存在上記電子計算機內的記憶 體5 2或外部記憶裝置5 3中,也可在必要時,從上記電子 計算機可以利用的可裝卸之記億媒體5 8中,或透過通訊 媒體(網際網路17或組織內網路16等,或是在其上搬送 之載波或數位訊號等)而從其他裝置中,來加以導入。 又’本實施例中’通訊終端,雖然是可藉由如圖5所 -18- (15) 1312631 示的構成來實現,但本發明並非被限定於此。圖2 示的通訊終端,係亦可爲具備相當於能夠和網際鋪 或組織內網路1 6連接之通訊裝置5 4的機能的機器 ’不僅是路由器、PC、PDA而已,就算電視、冰 氣機 '微波爐等家庭電氣製品,只要具備類似於圖 * 成,就可視爲通訊終端。 又’亦可將上述各個處理部,以硬體的方式來 φ 其次,針對本實施形態的通訊系統之動作,加 〇 本實施形態之通訊系統的動作,係含有:在通 一管理伺服器間之加密通訊路建立動作;和在通訊 通訊終端間的加密通訊路建立動作。 圖6和圖7 ’係用來說明本實施形態之通訊終 理伺服器間的加密通訊路建立動作的說明圖,是在 端1 5和管理伺服器1 2間建立加密通訊路(稱作內 • -管理伺服器間加密通訊路)之情形的例子。 內部終端1 5的對管理伺服器通訊處理部22, 認證管理伺服器12’而對管理伺服器12,發送管 器12憑證之要求(圖6 ’步驟10 〇 1 )。收到其之 服器12的對終端通訊處理部33 (步驟][002 ),係 管理伺服器之憑證從私密金鑰•憑證保持部2 6中 並加以回應,而且還將對方的內部終端1 5的憑證 對內部終端1 5發送(步驟1 〇〇3 )。收到其之內部 的對管理伺服器通訊處理部22 (步驟1 004 ),係 中所例 3路17 。例如 箱、冷 5的構 構成。 以說明 訊終端 終端- 端-管 內部終 部終端 係爲了 理伺服 管理伺 將該當 取出、 要求, 終端1 5 將該當 -19- (16) 1312631 內部終端1 5的憑證,從私密金鑰.憑證保持部3 6中取出 ,對管理伺服器12發送(步驟1 005 )。 內部終端1 5的對管理伺服器通訊處理部22,係進行 步驟1 004中所接收到之管理伺服器1 2的憑證的驗證(步 驟1 007 ),檢查管理伺服器12是否爲被僞造的。當管理 伺服器12的憑證驗證失敗時(步驟1 008中No ),因爲 管理伺服器的認證無法完成,所以就結束通訊(步驟 1 107 )。當管理伺服器12的憑證驗證成功時(步驟1008 中Yes ),則進入下個步驟。 管理伺服器1 2的對終端通訊處理部3 3,係從內部終 端1 5接收憑證(步驟1 006 ),爲了驗證該當憑證,而透 過對驗證伺服器通訊處理部3 4,對驗證伺服器1 3,發送 內部終端1 5憑證的驗證要求(步驟1 009 )。 憑證驗證伺服器1 3係接收驗證要求(步驟1 0 1 0 ), 在認證路徑檢索部41中進行認證路徑檢索處理,在認證 路徑驗證部42中進行該當被檢索出來之認證路徑的驗證 (步驟1 0 1 1 )。內部終端1 5憑證之驗證成功時(步驟 1012中Yes ),驗證伺服器13的對管理伺服器通訊處理 部43,係將旨爲憑證驗證成功的通知,發送給管理伺服 器1 2 (步驟1 0 1 3 )。內部終端1 5憑證之驗證失敗時(步 驟1012中No ),對管理伺服器通訊處理部43,係將旨 爲憑證驗證失敗的通知,發送給管理伺服器1 2 (步驟 1014) ° 管理伺服器1 2的對終端通訊處理部3 3,係透過對驗 ⑧ (17) 1312631 證伺服器通訊處理部3 4,從驗證伺服器丨3接收驗證結果 (步驟1 0 1 5 );該當驗證結果失敗時(步驟1 〇 1 6中N 〇 )’由於內部終端1 5的認證無法完成,故結束通訊(圖 7 ’步驟1 1 0 7 )。當內部終端1 5憑證的驗證結果爲成功 時(步驟1016中Yes) ’則進入下個步驟。 內部終端1 5和管理伺服器1 2,若彼此能夠完成認證 (步驟1008中Yes,且步驟1016中Yes),則內部終端 1 5的對管理伺服器通訊處理部2 2和管理伺服器1 2的對 終端通訊處理部3 3,係彼此共有著用來將通訊路加密所 需之私密金鑰(圖7,步驟1101、步驟1102)。作爲將 私密金鑰共有的方法有,例如,只要使用以RFC 2246而 被 IETF 標準化的 TLS( Transport Layer Security)即可 。一旦私密金鑰共有,則代表內部終端1 5和管理伺服器 1 2之間的認證及加密通訊路之建立是成功的,因此管理 伺服器1 2的位址登錄/檢索部3 1,係將內部通訊終端1 5 的IP位址、和認證之結果(此處係表示認證成功之意旨 ),建立對應而登錄至圖1 6所示之認證狀態表6 0中(步 驟1 103 )。具體而言,將內部通訊終端15的IP位址登 錄至終端之IP位址62,將表示認證成功之意旨的訊息和 該時刻,登錄至認證結果63及認證時刻64。此認證狀態 表6 0,係用來管理該當管理伺服器1 2所進行通訊之通訊 終端之狀態的表格,係被保持在管理伺服器1 2的位址 DB37 中。 藉由進行至此爲止的處理,內部通訊線1 5和管理伺 -21 - (18) 1312631 服器1 2之間的加密通訊路建立處理便完成(步驟1 1 04 ) ,內部終端1 5之對管理伺服器通訊處理部22,和管理伺 服器12的對終端通訊處理部33,係使用該當私密金鑰而 進行加密通訊(步驟11〇5、1106)。 一旦加密通訊結束,內部終端1 5的對管理伺服器通 訊處理部22,和管理伺服器1 2的對終端通訊處理部3 3 ’ 會釋放加密通訊路(步驟1 1 〇7 )。此外,所謂釋放加密 通訊路,例如,可藉由令加密通訊時所使用之加密金鑰無 效化而達成。 然後,管理伺服器1 2的位址登錄/檢索部3 1,係將 步驟1 1 0 3中已登錄之該當內部通訊終端1 5的1 P位址和 認證的結果’從被保持在位址D B 3 7的認證狀態表6 0中 刪除。此外,當通訊終端的IP位址是被固定地登錄在認 證狀態表60中時’即使不.刪除通訊終端的IP位址亦可。 藉由執行此種步驟,內部終端1 5和管理伺服器1 2, 係可在彼此確認對方的情況下’建立加密通訊路。 其次,說明通訊終端-通訊終端間的加密通訊路建立 動作。 爲了建立通訊終端-通訊終端間的加密通訊路’必須 事先將通訊終端的位址資訊,登錄至管理伺服器1 2。所 謂位址資訊,係指將用來特定通訊終端的資訊(以下稱爲 終端ID ),和表示網路上之場所的位址(例如IP位址) ,賦予對應關連而成的資訊。終端ID係只要使用在網域 內固定的名稱即可。此時的ID的固定’係指可在網域內 -22- Cs) (19) 1312631 特定出終端,且不會改變者。例如,在可攜帶步行的終端 時’雖然IP位址有可能會隨著連接網路的場所而改變, 但其他不變的資訊,例如通訊終端名、或通訊終端的 MAC位址’係可當成終端ID來使用。又,在公司內這種 封閉的網域中’通訊終端的使用者的郵件位址、或通訊終 端的SIP-URI、或通訊終端的FQDN (完全修飾網域名, Fully Qualified Domain Name )這類資訊,也可以當成終 端ID來使用。使用圖8,說明位址登錄動作。 圖8係通訊終端將自己的位址,登錄至管理伺服器 1 2之動作的說明用流程圖;是內部終端1 5向管理伺服器 1 2登錄位址時的例子。 首先,內部終端1 5和管理伺服器1 2,係藉由實施圖 6的步驟1 0 0 1至步驟1 0 1 6,和圖7的步驟1丨〇 i至步驟 1 1 0 4,來建立內部終端-管理伺服器間加密通訊路(步驟 200 1 )。內部終端-管理伺服器間加密通訊路建立後,內 部終端1 5的位址登錄申請部2 1,係將該當內部終端i 5 的位址的登錄申請,發送給管理伺服器1 2 (步驟2002 ) 。管理伺服器1 2的位址登錄/檢索部3 1,係一旦接受到 登錄申請(步驟2 0 0 3 ),便將內部終端1 5的終端ID和 IP位址賦予對應,登錄至被保持在位址D B 3 7中的認證狀 態表60 (步驟2004 )。具體而言’從認證狀態表6〇的終 端之IP位址62中,檢索出該當內部終端丨5的ip位址, 將檢索出的IP位址所關連對應到的該當內部終端的終端 ID,登錄至終端之位址61。當認證狀態表60中,檢索不 -23- (20) 1312631 到該當內部終端的IP位址時,則將該當內部終端丨5的終 端ID和IP位址’重新往終端之位址61和終端之ip位址 6 2進行登錄。登錄完畢後’對內部終端1 5 ’發送登錄完 畢通知(步驟2005 )。內部終端15係一旦接收到登錄完 畢通知(步驟2 0 0 6 )’內部終端1 5和管理伺服器1 2便 執行內部終端一管理伺服器間加密通訊路的結束處理。藉 由執行上記步驟,就可將內部終端1 5的位址,登錄至管 理伺服器1 2。 其他通訊終端’例如’外部終端1 1,也是藉由執行 和圖8相同的步驟’就可將該當外部終端n的位址,登 錄至管理伺服器1 2。 甚至’通訊終端,係亦可將已經登錄在管理伺服器 1 2中的位址予以刪除。刪除時,在圖.8所示的處理中是 執行將「登錄」置換(替換)成「刪除」後的處理。 又,當被分配給該當通訊終端的位址有改變時,就需 要再度執行圖8的位址登錄處理。例如,當通訊終端是動 態地接受位址分配時’若將通訊終端的電源0 F F、Ο N ’ 或將通訊終端重置’則位址可能會改變。又,當通訊終端 結束和網路的連接’在移動目的地又連接上其他網路時’ 位址可能會發生改變。此種情況下’通訊終端係藉由再度 執行圖8的登錄處理’而將最新的位址登錄至管理伺服器 12 ° 甚至,當該虽通訊終瓶的IP位址和終端ID是被固定 設定時,只要事前將該當通訊'終端的位址予以登錄備用即 -24 - (21) 1312631 可’此種情況下不需要刪除位址資訊。 圖9和圖1 〇,係通訊終端和通訊終端間,透過管理 伺服器所進行的、建立不透過管理伺服器之加密通訊路的 建且動作說明用流程圖’是在外部終端1 1 -內部終端1 5 間建XL加密通訊路(稱作終端一終端間加密通訊路)時的 例子。 首先’ 理伺服器1 2和內部終端1 5,係藉由預先實 施圖6的步驟1 〇(Π至步驟1 〇丨6,和圖7的步驟丨丨〇丨至 步驟1 104 ’來建立內部終端—管理伺服器間加密通訊路 (步驟3〇〇1 )。然後,當內部終端15尙未登錄自身的位 址時’藉由實施圖8的步驟2002至步驟2006,以將內部 終端1 5的位址登錄至管理伺服器1 2 (步驟3 0 0 2 )。 外部終端1 1 ’在想要和內部終端丨5開始通訊等之時 間點上,外部終端1丨和管理伺服器1 2,係藉由實施圖6 的步驟1001至步驟1016,和圖7的步驟1101至步驟 1 1 04 ’來建立外部終端—管理伺服器間加密通訊路(步驟 3 003 )。然後’當外部終端丨丨尙未登錄自身的位址時, 或登錄位址有需要更新時,藉由實施圖8的步驟2002至 步驟2006爲止的步驟,以將外部終端1 1的位址登錄至管 理伺服器12 (步驟3004)。 外部終端_管理伺服器間加密通訊路建立後,外部終 端1 1的對管理伺服器通訊處理部2 2,係將往內部終端1 5 的連接要求,對管理伺服器12發送(步驟3 005 )。此外 ,連接要求中’含有用來特定連接對象(內部終端15) -25- (22) 1312631 的資訊也就是終端ID。 收到連接要求的管理伺服器1 2的對終端通訊處理部 33 (步驟3 006 ),係藉由位址登錄/檢索部31,將終端 ID當成關鍵字,從認證狀態表60中’檢索出內部終端i 5 的位址(步驟3 007 )。當認證狀態表60中’該當內部通 訊終端1 5所對應之認證結果6 3上,沒有登錄表示認證成 功之意旨的訊息時,亦即加密通訊路沒有被建立的情況下 (步驟3 00 8中No),管理伺服器12的對終端通訊處理 部3 3,係和內部終端1 5之間,進行加密通訊路建立處理 (步驟3009),進入步驟3011。當認證狀態表60中,該 當內部通訊終端1 5所對應之認證結果63上,有登錄表示 認證成功之意旨的訊息時(步驟3 008中 Yes ),管理伺 服器1 2的金鑰生成·發佈部3 2,係生成在加密兩終端間 之通訊路時所利用的加密金鑰及設定資訊(步驟3 0 1 〇 ) 。然後,管理伺服器1 2的對終端通訊處理部3 3,係對內 部終端1 5,發送從外部終端1 1往內部終端1 5的連接要 求,和步驟3010中所生成之加密金鑰及設定資訊(步驟 3 〇 1 1 )。此時,連接要求及加密金鑰等,係使用內部終端 一管理伺服器間加密通訊路而被發送。 內部終端1 5的對管理伺服器通訊處理部22,係當藉 由管理伺服器1 2所接收到的加密金鑰和設定資訊(步驟 3 0 1 2 )’儲存至加密金鑰保持部26。然後,判斷該當外 部終端I 1是否可以連接至該當內部終端1 5 (步驟3 0 1 3 ) ’將該當判定結果發送給管理伺服器1 2 (步驟3 0 1 4 )。 ⑧ -26- (23) 1312631 管理伺服器1 2的對終端通訊處理部3 3,係從內部終端1 5 接收判定結果(步驟3 0 1 5 )。 管理伺服器1 2的對終端通訊處理部3 3 ’係當判定結 果爲外部終端1 1是不可以和內部終端1 5連接時(步驟 3 1 0 1中No ),便將表示不可連接之意旨的判定結果,往 ' 外部終端1 1發送(步驟3 1 02 ),結束終端-終端間加密 通訊路建立處理。 • 當外部終端1 1是可以和內部終端1 5連接時(步驟 3 1〇1中Yes ),管理伺服器12的對終端通訊處理部33, 係將表示可連接之意旨的判定結果,和步驟3010中所生 成之加密金鑰及設定資訊,發送至外部終端i〗(步驟 3 1 0 3 )。此時,至少加密金鑰係使用外部終端一管理伺服 器間加密通訊路而被發送。 外部終端1 1的對管理伺服器通訊處理部22,係從管 理伺服器1 2,接收是否能和內部終端1 5通訊的判定結果 # 等,當又有接收到加密金鑰時,將該當加密金鑰,儲存至 加密金鑰保持部2 6 (步驟3 1 0 4 )。 外部終端1 1及內部終端1 5,係當判定結果爲不可連 接時(步驟3 1 0 5、3 1 0 6中N 〇 ),便結束終端—終端間加 密通訊路建立處理。當判定結果爲可以通訊時(步驟 3 1 0 5 ' 3 1 〇 6中Y e s ) ’則在外部終端〗〗和內部終端1 5之 間’建立終端一終端間加密通訊路(步驟3丨〇 7 ) ^利用 該終端一終端間加密通訊路’外部終端n的對終端通訊 處理部2 3和內部終端1 5的對終端處理部2 3,係可交換 -27- (24) 1312631 資訊(步驟3 1 〇 8 )。 右在外部終端1 1和內部終端1 5間的通訊路不再需要 ,則可結束終端一終端間加密通訊路。當要結束終端一終 端間加岔通訊路時’係進行以下步驟。 外部終端1 1的對管理伺服器通訊處理部22,係對管 理伺服器1 2 ’發送和內部終端1 5之加密通訊的切斷要求 (步驟3 1 09 )。管理伺服器1 2的對終端通訊處理部3 3 ( 步驟3 1 1 〇 )’係將收到的該當連接要求,傳送給內部終 端1 5 (步驟3丨丨丨)。內部終端1 5的對管理伺服器通訊處 理部22 ’係一旦接收到該當切斷要求(步驟3丨〗2 ),便 將對應於其之切斷回應發送給管理伺服器1 2 (步驟3 1 1 3 )’對終端通訊處理部23,係將和外部終端n的終端一 終端間加密通訊路予以釋放(步驟3丨丨7 )。又,管理伺 服器12的對終端通訊處理部33,係—旦從內部終端】5 接收到切斷回應(步驟3丨〗4 ),便將該當切斷回應傳送 糸PI外部終端1 1 (步驟3 1 1 5 )。外部終端1 1中對管理伺服 器通訊處理部2 2,係一旦從管理伺服器1 2接收到切斷回 應(步驟3 1 1 6 ),則對終端通訊處理部2 3,係將和內部 糸 > 端1 5之終端-終端間加密通訊路予以結束(步驟3丨i 7 )0 此外,亦可不是從外部終端U發送出切斷要求,而 是從內部終端1 5送出。此情況下,只要將外部終端n和 內部終端1 5對調來進行步驟3 1 0 9至步驟3 1 1 7的處理即 可。 ⑧ (25) 1312631 又,外部終端1 1和內部終端1 5,係沒有必要爲了結 束通訊而執行步驟3109至步驟3117,亦可不進行該當步 驟就結束通訊。 如圖9和圖1 〇的流程圖所例示,管理伺服器1 2,係 將外部終端1 1和內部終端1 5分別加以認證,當該各通訊 終端的正當性是可確認時,便建立在外部終端1 1和內部 終端1 5間的加密通訊路。然後,終端一終端間加密通訊 路被建立後,由於可不必透過管理伺服器1 2,通訊終端 彼此就可進行加密通訊,因此可不對管理伺服器1 2造成 負荷,進行安全通訊。甚至,由於終端一終端間加密通訊 路全體都被加密,因此可進行比先前更安全的通訊。 本實施形態中,終端-終端間加密通訊路建立之際, 成爲通訊對象之通訊終端(上記實施例中係爲內部終端 15)和管理伺服器12,雖然是預先建路通訊終端—管理 伺服器間之加密通訊路,並實施位址登錄處理(步驟 3 00 1、步驟3〇〇2),但並非侷限於此。在預先實施成爲 通訊對象之內部終端1 5的位址登錄,或是靜態地進行位 址登錄的情況下,亦可在通訊來源之通訊終端(上記實施 例中係爲外部終端i 1 ),是對管理伺服器1 2進行了往通 訊目的地之通訊終端的連接要求後(步驟3 008中Yes的 時間點上)’進行通訊目的地資訊和管理伺服器1 2之間 的加密通訊路建立。 例如,在向其他終端提供服務之應用程式伺服器等, 會頻繁地接受來自通訊終端之連接要求的這種通訊終端等 -29- (26) 1312631 之情況下’亦可和上記實施形態所示之內部終端的情況同 樣地’事先建立好和管理伺服器1 2的加密通訊路;當有 來自內部終端1 5的連接要求時,立刻和終端一終端間的 情況同樣地建立加密通訊路,來提供服務。 相對於此,當內部終端1 5,是較不頻繁接受來自外 部終端11之連接要求的情況下’亦可爲,從外部終端1 1 往該當內部終端1 5有連接要求發生時,才進行內部終端
1 5和管理伺服器1 2間的加密通訊路建立處理之形態。 接著’說明在本實施形態的通訊系統中,外部終端 1 1是透過內部終端1 5 ’向AP伺服器1 4進行存取時的動 作。例如’連接著網際網路的外部終端丨i,是向連接著 公司內網路之內部終端15進行遠端存取而作業時,會有 而要從內部終端1 5來利用AP伺服器1 4之服務的情形。 寸 ^外部終端1 1對內部終端1 5 ’會發送鍵盤或滑鼠 j A 一·^,基於該資訊,內部終端1 5會和AP伺服器 1 4之間進杵
灯乂 g炎。又’內部終端1 5在和AP伺服器1 4之 間進行交_ M 立 乂认的結果的畫面資訊等,是從內部終端1 5往外 』終W 1 1發送,提供給利用者。 圖1 1和_ 12 ’係在本實施形態中,外部終端1 i是 透過內部終 % 1 5 ’向AP伺服器1 4進行存取時的動作說 明流程圖。 、12的處理中,AP伺服器14,係可視爲內部 終端1 5之___ 〜。因此’ AP伺服器14和管理伺服器1 2,首 先,藉由會 施圖6、圖7之管理伺服器12和內部終端j 5 -30- (27) 1312631 所致之步驟1〇01至步驟1016,和步驟1101至步驟1104 ,以事先建立管理伺服器-A P伺服器間的加密通訊路(稱 作管理伺服器一 AP伺服器間加密通訊路)(步驟400 1 ) 。然後,當AP伺服器14尙未登錄自身的位址時,藉由 實施圖8的步驟2002至步驟2006,以將AP伺服器14的 位址登錄至管理伺服器12 (步驟4002 )。 同樣地,內部終端1 5和管理伺服器1 2,係藉由實施 圖6的步驟1001至步驟1016,和圖7的步驟1101至步 驟1 1 04,以事先建立內部終端一管理伺服器間加密通訊 路(步驟4003)。然後,當內部終端15尙未登錄自身的 位址時,藉由實施圖8的步驟2002至步驟2006,以將內 部終端1 5的位址登錄至管理伺服器1 2 (步驟4004 )。 同樣地,外部終端1 1,係爲了建立和內部終端1 5的 終端一終端間加密通訊路,而執行以下的步驟。 外部終端1 1,和管理伺服器1 2,係分別藉由執行圖 6之步驟1001至步驟1016,和圖7之步驟1101至步驟 1 1 〇 4爲止之步驟中所示的內部終端1 5和管理伺服器1 2 所致之處理,以建立外部終端一管理伺服器間加密通訊路 (步驟4〇05 )。然後,當外部終端1 1尙未登錄自身的位 址時,藉由實施圖8的步驟2002至步驟2006,以將外部 終端11的位址登錄至管理伺服器12 (步驟4006 )。 外部終端-管理伺服器間加密通訊路建立後,外部終 端1 1的對管理伺服器通訊處理部22,係將往內部終端! 5 的連接要求,對管理伺服器12發送(步驟4 007 )。管理 -31 - (28) 1312631 伺服器1 2、ϋ ^ 外部終端1 1、內部終端1 5係藉由實施圖9、 圖 1 0 所 + & 不的步驟3〇〇7至步驟31〇7 ’以建立外部終端U 和內部終德! ς 4 - iffi 1 5之間的終端一終端間加密通訊路(步驟 4008)。 ’ 其次’外部終端n的對終端通訊處理部23,係爲了 透過內部終端1 5來和AP伺服器14通訊,而對內部終端 又逸曰爲ί日Tpc往AP伺服器14之連接要求的按鍵輸 入資訊(步驟4〇〇9)。該當連接要求,係利用步驟4〇〇8 中所建立之終端—終端間加密通訊路而發送。 內部終端1 5的對終端通訊處理部23 一旦從外部終端 1 1接收到曰爲指不往A p伺服器1 4之連接要求的按鍵輸 入資訊’便爲了在內部終端1 5和AP伺服器1 4之間建立 加密通訊路(稱爲內部終端_ AP伺服器間加密通訊路) ’而在步驟4007至步驟4008中,內部終端15和AP伺 服器1 4係分別會進行相當於外部終端u和內部終端! 5 的處理。該加密通訊路,係可視爲在內部終端〗5和AP 伺服器1 4之間所建立之終端一終端間加密通訊路。 亦即’內部終端1 5的對管理伺服器通訊處理部22, 係對管理伺服器12,發送和AP伺服器14的連接要求( 步驟4 0 1 0 )。一旦管理伺服器1 2,從內部終端1 5接收到 對AP伺服器14的連接要求,則管理伺服器12 '內部終 5而15、AP伺服器14’係藉由實施圖9、圖10所示之步 驟3 0 0 7至步驟3 1 0 7,建立內部終端—a P伺服器間加密 通訊路(步驟4 011 )。此外,由於已經在步驟4 〇 和步 -32- (29) 1312631 驟4003中’建立了內部終端一管理伺服器間加密通訊路 ’和1 A P伺服器—管理伺服器間加密通訊路,所以這裡沒 有必要再度建立加密通訊路。 利用藉由執行以上步騾所建立之二個加密通訊路,亦 即外部終端-內部終端間加密通訊路、內部終端一 AP伺 " 服器間加密通訊路,外部終端1 1就可透過內部終端1 5, 進行和A P伺服器1 4的加密通訊。 φ 亦即’外部終端1 1的對終端通訊處理部23,係利用 和內部終端1 5之間建立的終端一終端間加密通訊路,對 內部終端1 5,發送旨爲指示向AP伺服器之處理要求的按 鍵輸入資訊(步驟4 1 0 1 )。內部終端1 5的對終端通訊處 理部23,係一旦從外部終端1 1,接收旨爲指示往AP伺 服器1 4之處理要求的按鍵輸入資訊,便將基於所收到之 按鍵輸入的處理要求,利用和AP伺服器14間已建立之 內部終端一 AP伺服器間加密通訊路,發送給AP伺服器 • 步驟4102)。一旦AP伺服器14之對終端通訊處理 部23從內部終端15接收了處理要求,ΑΡ伺服器14便執 行所被要求的處理。然後’ ΑΡ伺服器1 4的對終端通訊處 理部2 3,係利用內部終端- ΑΡ伺服器間加密通訊路’將 被要求之處理的執行結果’發送給內部終端1 5 (步驟 4 1 〇3 )。內部終端1 5的對終端通訊處理部23 ’係其予以 接收,將該處理結果,或基於該處理結果而生成的往畫面 等之輸出資訊’利用終端一終端間加密通訊路’發送給外 部終端1 1 (步驟4 1 0 4 )。外部終端1 1的對終端通訊處理 -33- ⑧ (30) 1312631 部23,係接收該輸出資訊,從輸出入部2〇c輸出至畫面 等。 賴由執行以上的步驟,外部終端丨丨,就可透過內部 終栖1 5 ’和A P伺服益1 4進行安全的通訊。 • <實施形態2 > 說明第二實施形態。 φ 本實施形態中,當外部終端1 1,是透過內部終端1 5 ,向AP伺服器14進行存取時,進行如圖丨3、〗4、丨5所 示的動作。 如圖1 3所示,AP伺服器14和管理伺服器1 2,係分 別’藉由實施圖ό、圖7所示之內部終端1 5和管理伺服 器12所致之步驟1001至步驟1〇16,和步驟no〗至步驟 1 1 0 4 ’以事先建立終端-伺服器間加密通訊路(步驟 5001)。然後’當AP伺服器14尙未登錄自身的位址時 φ ,分別藉由實施圖8所示的步驟2002至步驟2006,以將 AP伺服器14的位址登錄至管理伺服器12 (步驟5〇〇2 ) 〇 步驟5001及5002有被正常進行時,AP伺服器14的 位址資訊及認證結果,會被登錄至認證狀態表6 0。具體 而言,A P伺服器1 4的位址資訊,是被當成終端之位址 6 1及終端之IP位址6 2而登錄,作其所對應之認證結果 ,表示認證成功之意旨的訊息及其時刻,會被登錄至認言登 結果63及認證時刻64。 -34- ⑧ (31) 1312631 此認證狀態表60,係該當管理伺服器1 2進行認證而 接受了位址資訊之登錄的、用來登錄各種終端之狀態的表 格’是被保持在管理伺服器1 2的記憶部3 〇b中。 同樣地’內部終端1 5和管理伺服器1 2,係分別,藉 由實施圖6、圖7之內部終端1 5和管理伺服器1 2所致之 步驟1 0 0 1至步驟1 〇丨6,和步驟丨丨〇丨至步驟1丨〇 4,以事 先建立內部終端-管理伺服器間加密通訊路(步驟5〇〇3 )。然後’當內部終端1 5尙未登錄自身的位址時,分別 藉由實施圖8所示的步驟2002至步驟2006,以將內部終 端15的位址登錄至管理伺服器I〗(步驟5〇〇4)。 步驟5003及5004有被正常進行時,內部終端15的 位址資訊及認g登結果’會被登錄至認證狀態表6 0。 外部終端1 1,係爲了建立和內部終端丨5的終端—終 端間加密通訊路,而執行以下的步驟。 外部終端1 1和管理伺服器1 2,係分別藉由實施圖6 、圖7之內部終端丨5和管理伺服器12所致之步驟1〇〇1 至步驟1 0 1 6 ’和步驟1 1 〇 1至步驟1丨〇4,以建立外部終端 —管理伺服器間加密通訊路(步驟5005 )。然後,當外 部終端1 1尙未登錄自身的位址時,分別藉由實施圖8所 示的步驟2002至步驟2006,以將外部終端1 1的位址登 錄至管理伺服器12 (步驟50〇6)。 步驟5003及5 004有被正常進行時,外部終端1 1的 位址資訊及認證結果,會被登錄至認證狀態表60。 其後,外部終端1 1的對管理伺服器通訊處理部2 2, -35- (32) 1312631 係將往內部終端1 5的連接要求,對管理伺服器1 2發送( 步驟5007 )。管理伺服器12的對終端通訊處理部33,係 接受來自內部終端1 5的連接要求,確認外部終端1 1、內 部終端1 5的認證狀態(步驟5 008 )。具體而言,管理伺 服器1 2的對終端通訊處理部3 3,係參照認證狀態表60, 確認外部終端1 1和內部終端1 5的位址資訊是已被登錄, 以及認證結果欄內已經登錄了認證成功之意旨。若位址資 訊尙未被登錄時,管理伺服器1 2係對外部終端1 1,回應 拒絕連接要求之意旨。又,當位址資訊雖然有被登錄,但 認證結果欄中沒有登錄認證成功之意旨時,管理伺服器 1 2的對終端通訊處理部3 3,係和內部終端1 5之間,進行 加密通訊路建立處理,並進行認證狀態之確認。若認證狀 態之確認再次沒有成功,則管理伺服器1 2係對外部終端 1 1,回應拒絕連接要求之意旨。 若認證狀態之確認爲成功,則管理伺服器1 2的金鑰 生成·發佈部3 2,係生成在終端-終端間加密通訊路中 利用的加密金鑰(步驟5 0 0 9 )。然後,管理伺服器1 2的 對終端通訊處理部3 3,係將從外部終端1 1往內部終端1 5 的連接要求,以及步驟5009中所生成之加密金鑰及設定 資訊,發送至內部終端1 5 (步驟5 0 1 0 )。 收到這些資訊之內部終端1 5的對管理伺服器通訊處 理部22,係判斷該當外部終端1 1是否可以連接該當內部 終端1 5,並將該當連接可否判定結果發送給管理伺服器 1 2 (步驟5 0 1 1 )。然後,管理伺服器1 2的對終端通訊處 -36- (33) 1312631 理部3 3 ’係將該當連接可否判定結果,和判定結果爲表 示可連接時則在步驟5 009中所生成之加密金鑰及設定資 訊,發送給外部終端1 1 (步驟5 0 1 2 )。外部終端1 1的對 管理伺服器通訊處理部22 —旦將其接收,便會建立終端 -終端間加密通訊路;外部終端1 1的對終端通訊處理部 23 ’和內部終端1 5的對終端通訊處理部23,係使用步驟 5 0 1 0及步驟5 0 1 2中所分別接收到的加密金鑰,而可進行 加密通訊(步驟5 0 1 3 )。 管理伺服器1 2的對終端通訊處理部3 3,係將在外部 終端1 1和內部終端1 5之間已經建立好終端一終端間加密 通訊路之事實,登錄至如圖1 7所示的通訊狀態表70 (步 驟5 0 1 4 )。具體而言,係將連接要求來源(此處係爲外 部終端1 1 )的位址,登錄至通訊狀態表70的通訊來源位 址7 1 ;將連接要求目的地(此處係爲內部終端1 5 )的位 址,登錄至通訊目的地位址72 ;將該當終端-終端間之 加密通訊路被建立的時刻(例如,兩終端接收到加密金鑰 和設定資訊的時刻),登錄至通訊開始時刻73。 該通訊狀態表70,係登錄了由管理伺服器1 2進行認 證並生成加密金鑰而建立之終端-終端間加密通訊路之每 —者的狀態,而被保持在記憶部3 Ob中。 其次,外部終端1 1的對終端通訊處理部23,係爲了 透過內部終端1 5來和AP伺服器14通訊’而對內部終端 15,發送旨爲指示往AP伺服器14之連接要求的按鍵輸 入資訊(步驟5 1 0 1 )。此外,該當連接要求,係利用步 -37- (34) (34)
1312631 驟5 〇 1 6中所建立之終端—終端間加密通訊路, 給內部終端1 5。 內部終端1 5的對終端通訊處理部23,係一 終端1 1接收到旨爲指示往ΑΡ伺服器1 4之連接 鍵輸入資訊,爲了在內部終端1 5和ΑΡ伺服器 立內部終端- ΑΡ伺服器間加密通訊路,而進行 作。 內部終端的對管理伺服器通訊處理部,係劉 器1 2 ’發送外部終端1 1所致之要透過內部終靡 ΑΡ伺服器14的連接要求(步驟5102)。亦即 接要求’係爲了讓外部終端1 1連接至ΑΡ伺服 要求內部終端1 5和ΑΡ伺服器ΑΡ之間的內部 伺服器間加密通訊路之建立,因此作爲被認證韵 了外部終端1 1。因此’作爲該當連接要求,如i ’除了通訊來源資訊8 1、通訊目的地資訊82以 上含有被認證對象資訊8 3的附被認證對象資朗 求8〇而被發送。又,亦還含有其他通訊上所必 ’或應用程式資訊84。 管理伺服器1 2的對終端通訊處理部3 3,係 附被認證對象資訊之連接要求8 0,而將作爲通 訊8 1、通訊目的地資訊8 2、被認證對象資訊8 3 記載之’外部終端1 1、內部終端1 5、AP伺服导 證狀態’加以確認(步驟5 1 03 )。具體而言, 器1 2 ’係參照認證狀態表6 〇,確認外部終端i i 而被發送 旦從外部 要求的按 1 4之間建 如下之動 管理伺服 S 1 5的和 1,該當連 器14,而 終端一 AP '象也包含 Η 1 8所示 >外,還加 ,之連接要 1須之資訊 ;接受該當 訊來源資 而分別被 § 1 4的認 管理伺服 和內部終 -38- (35) 1312631 端1 5和AP伺服器1 4的位址資訊是已被登錄,以及認證 結果63的欄內已經登錄了認證成功之意旨。若位址資訊 尙未被登錄時,管理伺服器1 2係對內部終端1 5,回應拒 絕連接要求之意旨。又,當位址資訊雖然有被登錄,但認 證結果欄中沒有登錄認證成功之意旨時,管理伺服器1 2 的對終端通訊處理部3 3,係和應用程式伺服器1 4之間, 進行加密通訊路建立處理,並進行認證狀態之確認。若認 證狀態之確認再次沒有成功,則管理伺服器1 2係對內部 終端1 5,回應拒絕連接要求之意旨。 本實施形態,由於外部終端1 1也被視爲被認證對象 ,因此,管理伺服器1 2的對終端通訊處理部3 3,係若完 成認證狀態之確認,便將附被認證對象資訊之連接要求 8 0中所記載之通訊來源(內部終端1 5 )、被認證對象( 外部終端1 1 )之終端間已建立加密通訊路並正在進行通 訊之事實,參照通訊狀態表70來加以確認(步驟5 1 04 ) 。具體而言,管理伺服器1 2的對終端通訊處理部3 3,係 參照通訊狀態表70,確認內部終端1 5和外部終端1 1是 有分別被記載至通訊來源位址和通訊目的地位址,且處於 通訊狀態之事實。若認證狀態及通訊狀態之確認爲成功, 則管理伺服器1 2的金鑰生成·發佈部3 2,係生成在內部 終端1 5和AP伺服器14間之內部終端一 AP伺服器間加 密通訊路中所利用的加密金鑰(步驟5 1 05 )。然後,管 理伺服器1 2的對終端通訊處理部3 3,係將外部終端11 所致之透過內部終端1 5的與AP伺服器1 4之連接要求, -39- (36) 1312631 及步驟5 105中所生成之加密金鑰及設定資訊,發送給AP 伺服器1 4 (步驟5 1 0 6 )。收到這些資訊之a P伺服器1 4 的對管理伺服器通訊處理部2 2,係判斷該當外部終端i 1 是否可以透過該當內部終端1 5來連接至AP伺服器1 4, 並將該當連接可否判定結果發送給管理伺服器12 (步驟 5 1 0 7 )。然後,管理伺服器1 2的對終端通訊處理部3 3, 係將該當連接可否判定結果,和判定結果爲表示可通訊時 φ 則在步驟5 1 0 5中所生成之加密金鑰及設定資訊,發送給 內部終端1 5 (步驟5 1 0 8 )。內部終端1 5的對管理伺服器 通訊處理部22若接收到該資訊,便會建立內部終端_ AP 伺服器間加密通訊路,內部終端1 5的對終端通訊處理部 23 ’和AP伺服器14的對終端通訊處理部23,係使用步 驟5 1 0 6及步驟5 1 0 8中所分別接收到的加密金鑰,而變成 可進行加密通訊(步驟5109)。 管理伺服器1 2的對終端通訊處理部3 3,係將內部終 0 端1 5和AP伺服器14之間的內部終端一 AP伺服器間加 密通訊路是已經建立的事實,登錄至如圖1 7所示的通訊 狀態表70(步驟5110)。藉此,若爲ap伺服器14是還 會向其他通訊終端發行處理要求,並從該當其他通訊終端 取得處理結果的這種構成的情況下,仍可藉由重複執行和 上記相同的處理,就可將外部通訊終端當成被認證對象, 來建立加密通訊路。 又,藉由參照通訊狀態表70,管理伺服器1 2,係可 將已建立好的二條加密通訊路(外部終端丨〗一內部終端 -40- (37) 1312631 1 5間、內部終端丨5 — Ap伺服器〗4間)賦予對應關係, 而可掌握是哪3台裝置正在進行協同處理。 內部終端1 5的對終端通訊處理部2 3,係若可建立和 外部終端1 1的終端—終端間加密通訊路,則將連接結果 回應給外部終端1 1 (步驟5 1 1 1 )。 利用賴由執行以上步驟所建立之二個加密通訊路(外 部終端11 —內部終端15間、內部終端15一 AP伺服器14 間)’外部終端1 1,係可透過內部終端1 5,和AP伺服 器1 4進行加密通訊。亦即’外部終端1 1的對終端通訊處 理部2 3,係利用和內部終端丨5之間建立的終端一終端間 加岔通訊路’對內部終端丨5 ’發送旨爲指示向Ap伺服器 之處理要求的按鍵輸入資訊(步驟52〇1)。 內部終端1 5的對終端通訊處理部2 3,係一旦從外部 終端’接收旨爲指示往AP伺服器! 4之處理要求的按鍵 輸入資訊’便將基於所收到之按鍵輸入的處理要求,利用 和AP伺服器1 4間已建立之內部終端—Ap伺服器間加密 S訊路’發送給AP伺服器14(步驟5202)。一旦AP伺 服器14之對終端通訊處理部23,從內部終端15接收處 理要求’則會執行所被要求的處理。然後,AP伺服器14 的對終端通訊處理部2 3,係利用內部終端—a p伺服器間 加密通訊路’將被要求之處理的執行結果,發送給內部終 端1 5 (步驟5 2 0 3 ) °內部終端丨5的對終端通訊處理部 2 3,係其予以接收’將該處理結果’或基於該處理結果而 生成的往畫面等之輸出資訊’利用終端一終端間加密通訊 -41 - (38) 1312631 路’發送外η卩終端1 1 (步驛5 2 〇 4 )。外部終端1 1的對 終端通訊處理部2 3,係接收該輸出資訊,通過輸出入部 2〇c而輸出至畫面等。 藉由執行以上的步驟’外部終端n ’就可透過內部 終端1 5,和AP伺服器1 4進行安全的通訊。 ' 此外’上述二實施形態的通訊系統中,外部終端11 、內部終端15、AP伺服器丨4之各通訊終端,係只要一 • 度進行和管理伺服器12的認證,則可以依據該結果而彼 此通訊’不需要另外再進行ID /密碼等應用程式伺服器 固有之認證。亦即’管理伺服器丨2,係藉由統一地進行 外部終端1 1、內部終端1 5、A P伺服器14的認證,而不 需要先前的外部終端1 1是透過內部終端丨5往AP伺服器 1 4連接之際需要進行複數種類的認證,可簡化認證資訊 的管理。 此外’實施例1的構成,雖然不含通訊狀態表70, φ 但即使在實施例1中,也是可也具備通訊狀態表7 0,管 理伺服器12 ’係可將已建立好的二條加密通訊路(外部 終端1 1 一內部終端1 5間、內部終端1 5 — AP伺服器1 4間 )賦予對應關係,而可掌握是哪3台裝置正在進行協同處 理。 甚至,無論在哪個實施例中,外部終端1 1、內部終 端1 5、AP伺服器1 4之至少一種類是複數台且彼此正在 進行管理伺服器的狀態下,管理伺服器1 2係藉由具備認 證狀態表60或通訊狀態表70 ’就可管理、掌握他們的通 -42- (39) 1312631 訊狀態。 又’在AP伺服器1 4進行認證處理之際,當有需要 用到使用者所擁有之1C卡等的P KI基礎的嚴密認證時, 實施例1的構成中,雖然有需要在內部終端1 5上操作1C 卡,但在本實施例2中就沒有必要如此,可於實際使用者 ' 所使用的外部終端上進行操作,具有如此特徵。亦即,當 外部終端1 1是透過內部終端1 5而連接至AP伺服器1 4 φ 時,按照使用操作外部終端1 1的使用者所擁有的IC卡的 認證結果’就可連接至AP伺服器14,因此,實際上是以 該當使用者的權限來連接至AP伺服器14,因此更爲安全 ,同時,使用者係可在各據點利用各種外部終端來連接至 AP伺服器1 4,具有提升便利性之特徵。 實施形態1及實施形態2中,雖然例示了指定好通訊 終端的通訊,但亦可將利用通訊終端的使用者,指定成通 訊對象。當將利用通訊終端的使用者當成通訊對象而指定 φ 時,是將使用者所持有的公開金鑰憑證和使用者ID,事 先裝入具有可移除性的記億媒體5 8中備用,通訊終端會 偵測出記憶媒體5 8被插入通訊終端的讀取裝置5 7,讀取 使用者的屬性、加以記憶之構成即可。藉由該當構成,通 訊終端,係可特定出正在進行利用的使用者,接受當成通 訊對象之指定。然後,當使用者將具有可移除性的記億媒 體58,從讀取裝置57拔除時,通訊終端係將使用者的屬 性,從通訊終端中刪除之構成即可。 若使用者的屬性是被記憶在通訊終端則進行圖8的位 -43- (40) 1312631 址登錄處理,若使用者的屬性是被從通訊終端中刪除則進 行圖8之「登錄」置換成「刪除」的處理,藉此,將使用 者ID和通訊終端的位址以管理伺服器1 2來加以管理,則 管理伺服器12,係在有來自其他通訊終端的連接要求時 ,判定身爲對象之使用者是否正在利用通訊終端中;若爲 利用中,則可不使試圖進行連接要求的其他通訊終端的利 用者有所意識地,判定其是正在利用哪台通訊終端,因此 可使連接處理變得容易,具有如此特徵。 此外,任一實施例中,都可從外部終端1 1透過內部 終端1 5而利用複數台AP伺服器14。例如,在內部終端 上’複數執行會分別存取不同AP伺服器的應用程式,從 外部終端,藉由鍵盤等輸入資訊的送訊和多重視窗畫面資 訊的收訊,來操作它們。 此種情況下,外部終端-內部終端間的加密通訊路係 只要一個即可,內部終端一AP伺服器間的係爲複數個。 換言之’圖11中,步驟4001〜4004是對每台AP伺服器 實施,步驟4 0 0 9以降的處理’是對內部終端上所動作之 每個應用程式來執行’將複數的應用程式所輸出的畫面資 訊,於步驟4104中’當成一個畫面來進行送訊,之如此 構成即可。 又’無論哪個實施例中’都是說明由外部終端1 1來 遠端操作內部終端1 5,亦即交換鍵盤或滑鼠等之輸入資 訊和畫面等之輸出資訊,而從AP伺服器14接受服務提 供之構成。可是本發明並非被限定於此種構成,亦可爲外 -44- (g (41) I312631 部終端11是對內部終端15發行處理要求指令,將內部終 端1 5和AP伺服器丨4之交談所致之處理結果資訊(例如 表示處理結果之指令的返回値)加以接收的形態。 . 又’說明了內部終端1 5,係事先進行加密通訊路建 立和位址登錄。可是,作爲應用例,亦可爲當有從外部終 端1 1 ’發出了往管理伺服器1 2中有位址登錄之內部終端 1 5的連接要求後,管理伺服器1 2才進行和內部終端i 5 ί 的加密通訊路建立處理。 此外’上記實施形態1、2中雖然管理伺服器1 2係將 加密金鑰連同設定資訊一倂發送,但可爲僅發送新開始之 加密通訊中所需要者,例如若演算法或金鑰長度是已經事 先決定的情況下,則亦可不發送。 甚至’上記實施形態1、2中,通訊終端和通訊終端 間的通訊雖然是保持加密,但當沒有必要加覓食,亦可不 加密。例如,內部終端1 5和ΑΡ伺服器14之間的通訊, • 因爲是在組織內網路16內進行交換,因此在沒有需要時 也可不加密。此時,管理伺服器12發送給各通訊終端的 設定資訊當中,作爲表示加密演算法的資訊,是設定表示 「不加密」之意旨的訊息。 又,上記實施形態1、2係可適宜地組合而實施。 【圖式簡單說明】 圖1係本發明之2個實施形態的通訊系統的構成例圖 -45 - (42) 1312631 圖2係外部終端1 1、內部終端15、AP伺服器14的 槪略構成例示圖。 圖3係管理伺服器1 2的槪略構成例示圖。 圖4係驗證伺服器1 3的槪略構成例示圖。 圖5係外部終端1 1、內部終端1 5、AP伺服器1 4、 ' 管理伺服器1 2、驗證伺服器1 3的各個硬體構成例的例示 圖。 φ 圖6係外部終端1 1和管理伺服器! 2,爲了建立外部 終端-管理伺服器間加密通訊路,彼此認證爲止之處理程 序之例示的流程圖。 圖7係外部終端1 1和管理伺服器〗2,爲了建立外部 終端-管理伺服器間加密通訊路,並直到其結束爲止之處 理程序之例示的流程圖。 圖8係內部終端1 5向管理伺服器1 2,登錄內部終端 15之位址的處理程序之例示的流程圖。 春 圖9係g外部終端1 1和內部終端1 5進行連接處理之 際,管理伺服器1 2進行往內部終端之連接要求爲止的處 理程序之例示的流程圖。 圖1 〇係當外部終端1 1和內部終端丨5進行連接處理 之際’建立外部終端1 1和內部終端i 5間的終端一終端間 加密通訊路’至其結束爲止之處理程序之例示的流程圖。 圖11係實施形態1中,外部終端! i是透過內部終端 1 5,往AP伺服器1 4連接之際,建立外部終端丨〗〜內部 終端1 5間’和內部終端一 AP伺服器14間之內部終端一 -46- (43) 1312631 AP伺服器間加密通訊路爲止的處理程序之例示的流程圖 〇 圖1 2係實施形態1中’外部終端1 1是透過內部終端 15’往AP伺服器14連接之際,使用加密通訊路來發送 資訊爲止的處理程序之例示的流程圖。 圖1 3係實施形態2中’外部終端1 1是透過內部終端 1 5,往AP伺服器14連接之際,建立終端—終端間加密 通訊路爲止的處理程序之例示的流程圖。 圖1 4係實施形態2中’外部終端1 1是透過內部終端 1 5,往A P伺服器1 4連接之際,建立內部終端一 A P伺服 器間加密通訊路爲止的處理程序之例示的流程圖。 圖1 5係實施形態2中’外部終端1 1是透過內部終端 15,往AP伺服器14連接之際’使用加密通訊路來發送 資訊爲止的處理程序之例示的流程圖。 圖16係於實施形態2中’管理伺服器所保持之認證 狀態表的內容之例示圖。 圖17係於實施形態2中’管理伺服器所保持之通訊 狀態表的內容之例示圖。 圖1 8係實施形態2中,外部終端1 1是透過內部終端 1 5,往AP伺服器1 4連接之際’外部終端丨丨所致之透過 了內部終端1 5和AP伺服器1 4的連接要求之內容的例示 圖。 【主要元件符號說明】 -47- (44) 1312631 1 1 :外部終端 1 2 :管理伺服器 1 3 :驗證伺服器 1 4 :應用程式伺服器 1 5 :內部終端 ' 20a、 30a、 40a :處理部 2 0b、30b、40b :言己憶部 φ 20c、 30c、 40c:輸出入部 20d、3 Od ' 40d :通訊部 2 1 :位址登錄申請部 22、 43 :對管理伺服器通訊處理部 23、 33 :對終端通訊處理部 2 5、3 6 :私密金鑰•憑證保持部 2 6 :加密金鏡保持部 24、 35、 44:控制部 • 3 1 :位址登錄/檢索部 32:金繪生成·發佈部 3 4 :對驗證伺服器通訊處理部
3 7 :位址D B 4 1 :認證路徑檢索部 42 :認證路徑驗證部 45 :憑證保持部 60 :認證狀態表 6 1 :終端之位址 -48- (45) (45)1312631 6 2 :終端之IP位址 6 3 :認證結果 64 :認證時刻 7 0 :通訊狀態表 7 1 :通訊來源位址 72 :通訊目的地位址 73 :通訊開始時刻 8 0 :附被認證對象資訊之連接要求 8 1 :通訊來源資訊 82 :通訊目的地資訊 8 3 :被認證對象資訊 84 :其他通訊資訊·應用程式資訊
-49