專利名稱:會話控制服務(wù)器�����、通信裝置���、通信系統(tǒng)與通信方法
技術(shù)領(lǐng)域:
本發(fā)明涉及會話控制服務(wù)器。更詳細(xì)地說�����,本發(fā)明涉及進(jìn)行電子證書發(fā)行及其管理的會話控制服務(wù)器��、使用此電子證書進(jìn)行通信的通信裝置����、通信系統(tǒng)及其通信方法以及用于執(zhí)行通信方法的程序和記錄程序的記錄介質(zhì)。另外��,本發(fā)明涉及進(jìn)行信號中繼的會話控制服務(wù)器�、基于保密密鑰進(jìn)行加密通信的通信裝置及通信系統(tǒng)及其通信方法以及其程序和記錄程序的記錄介質(zhì)。另外�,本發(fā)明涉及進(jìn)行信號中繼的會話控制服務(wù)器��、基于保密密鑰進(jìn)行加密通信的通信裝置、通信系統(tǒng)及通信方法以及采用它們的程序和記錄程序的記錄介質(zhì)�。本申請對于2003年6月19日已申請的特愿2003-175085號、2003年6月20日已申請的特愿2003-176568號及特愿2003-176569號擁有優(yōu)先權(quán)���,并在此援引其內(nèi)容�����。
背景技術(shù):
作為傳統(tǒng)上使用的電子證書的發(fā)行服務(wù)器���、電子證書的管理服務(wù)器及認(rèn)證局,可以列舉 LDAP (LightWaigt Directory Access Protocol)服務(wù)器及 Web (World Wide Web) 服務(wù)器�。前者是用于在X. 500庫的通訊錄管理數(shù)據(jù)庫中存取的協(xié)議,在目錄服務(wù)器上的目錄信息的作成��、變更���、刪除�、檢索等操作都是可能的���。后者以在因特網(wǎng)上個構(gòu)建超文本��、能存取所有信息為目的�,在顧客與服務(wù)器的協(xié)議中使用HTTP。在電子證書的使用者采用這些服務(wù)器的使用方法�����、進(jìn)行加密通信時��,根據(jù)需要��,必須取得通信對方的電子證書�。另外,對于已取得的電子證書�,也必須跟蹤認(rèn)證局鏈接、取得CRL(失效清單)等��, 判斷有效性���。關(guān)于上述內(nèi)容�,在因特網(wǎng)的標(biāo)準(zhǔn)化機(jī)構(gòu)IETF(Internet Engineering Task Force)歸納的規(guī)格書中���,有 RFC (Request for Comments) 2511 (Internet X.509Certificate Request Message Format)�。在通信對方持有多份電子證書��、且有效期間各不相同時�,電子證書的使用者在開始會話時����,由于要判斷使用哪份電子證書是適當(dāng)?shù)?,必須從電子證書的管理服務(wù)器取得相應(yīng)于通信對方的多份電子證書��、對其分別判斷有效性�����。另外����,即使在使用判定為是有效的證書、發(fā)送信號�����,如果接收源的通信裝置中未設(shè)定為能夠使用此證書的狀態(tài)����,則仍然存在接收側(cè)不能解碼化、而延遲會話開始處理的問題��。另外��,如果收到通信對方的包含數(shù)字簽名的電子證書,因?yàn)橐袛嗍盏降淖C書是否有效����,所以在進(jìn)行與LDAP服務(wù)器連接的處理等情況下,也存在會話開始處理延遲這一問題����。
另夕卜,作為傳統(tǒng)上采用的用戶之間的通信信息的加密方式��,可以列舉 IPSec(Security architecture for Internet Protocol)> TLS(Transport Layer kcurity)��、S/MTME 等�����。作為能參照信息的加密方式���,中繼服務(wù)器有IPkc���、TLS0IPSec是用于強(qiáng)化TCP/IP通信的安全性的技術(shù),包括規(guī)定將數(shù)據(jù)IP小型密閉化而開辟通道的方法的ESP (Encapsulation Secure Payload)���、將用戶認(rèn)證用的數(shù)據(jù)編入IP數(shù)據(jù)的AH(authentication Header)等��。在金融業(yè)系統(tǒng)等顧客-服務(wù)器之間的安全性有必要的應(yīng)用中廣泛使用TLS����。在IPkc、TLS方法中���,在傳送區(qū)間的起點(diǎn)與終點(diǎn)之間,進(jìn)行保密密鑰及方式的調(diào)整�,根據(jù)其結(jié)果,進(jìn)行加密通信�,提高通信裝置發(fā)送和接收的傳送信息的秘密性。但是�,在IPSec及TLS等加密方式中,傳送區(qū)間的起點(diǎn)與終點(diǎn)之間必須進(jìn)行加密方式�����、密鑰的調(diào)整��,在傳送區(qū)間的起點(diǎn)及終點(diǎn)進(jìn)行加密/解碼化處理��。因此�����,在進(jìn)行信號中繼的會話控制服務(wù)器中一定要進(jìn)行信息的解碼化,所以能夠?qū)τ跁捒刂品?wù)器進(jìn)行信息保護(hù)的加密通信是困難的�����。S/MIME用于終端-終端之間的安全���,在終端-終端加密時��,在中繼服務(wù)器中不能參照信息�����。具體地說���,在S/MIME的加密方式中雙向通信裝置之間進(jìn)行加密,對于所有的會話控制服務(wù)器���,都能進(jìn)行信息保護(hù)���,但即使在特別指定的會話控制服務(wù)器中必須公開信息時, 也存在信息不可能公開的問題��。關(guān)于上述內(nèi)容,在因特網(wǎng)的標(biāo)準(zhǔn)化機(jī)構(gòu)IETF(Internet Engineering Task Force)歸納的規(guī)格書中����,有 RFC (Request for Comments) 3261Section26. 2。
發(fā)明內(nèi)容
本發(fā)明的目的之一在于為了解決上述傳統(tǒng)的課題�����,提供一種對于進(jìn)行會話通信的通信裝置具備能夠發(fā)行有效的電子證書以及在用戶建立會話時能夠易于確認(rèn)有效性的電子證書管理功能的會話控制服務(wù)器以及采用此服務(wù)器進(jìn)行通信的通信裝置�����、通信系統(tǒng)��、 通信方法及其程序以及記錄程序的記錄介質(zhì)���。本發(fā)明具有以下功能(1)當(dāng)某用戶A提出自己的通信裝置A’位置登錄請求時,作成非對稱密鑰對�,將對其密鑰對中公開密鑰的證書發(fā)行請求和位置登錄請求總括,發(fā)送到會話控制服務(wù)器(參照權(quán)利要求1)��。(2)會話控制服務(wù)器從通信裝置A’接收上述(1)的請求�����,進(jìn)行用戶認(rèn)證后,發(fā)行證書����,并與位置信息的有效時間一起存儲(參照權(quán)利要求5)。(3)進(jìn)行上述(1)處理后的通信裝置A’將來自進(jìn)行上述( 處理后的會話控制服務(wù)器的位置登錄結(jié)束通知和證書發(fā)行結(jié)束通知與有效時間一起接收�,并加以存儲(參照權(quán)利要求2)。(4)當(dāng)某用戶A提出自己的通信裝置A’的位置登錄請求時�,如果已持有對非對稱密鑰對及其對密鑰對中公開密鑰的證書,則將位置登錄請求和證書登錄請求總括�����,發(fā)送到會話控制服務(wù)器(參照權(quán)利要求3)(5)會話控制服務(wù)器從通信裝置A’接收上述(2)的請求��,在判斷證書的有效性����、進(jìn)行用戶認(rèn)證之后,將證書的登錄與具有有效時間的位置登錄一起存儲(參照權(quán)利要求5)���。(6)進(jìn)行上述⑷處理后的通信裝置A’上將來自進(jìn)行上述(5)處理后的會話控制服務(wù)器的位置登錄結(jié)束通知和證書發(fā)行結(jié)束通知與有效時間一起接收�,并加以存儲(參照權(quán)利要求4)�����。(7)在通信裝置B’開始會話之前,對于會話控制服務(wù)器詢問通信對方A的公開證書�����。(8)會話控制服務(wù)器接收證書詢問請求�,對于其詢問對象的通信對方A確認(rèn)通信裝置A’的公開密鑰證書的有效性,并將它通知通信裝置B’(參照權(quán)利要求6)����。因?yàn)樵诒景l(fā)明中進(jìn)行位置信息管理及會話控制的服務(wù)器進(jìn)行電子證書(公開密鑰證書)的管理,所以能夠進(jìn)行保證通信裝置中實(shí)際有效性的發(fā)行����。另外,由于在電子證書發(fā)行時通過進(jìn)行位置信息管理及會話控制的服務(wù)器而確認(rèn)電子證書的有效性�,因此能夠不詢問認(rèn)證局等、而確認(rèn)會話控制信號內(nèi)使用的電子證書的有效性�����。本發(fā)明的目的之二在于為了解決上述傳統(tǒng)的課題�,提供一種確保發(fā)送和接收用戶之間通信的終端-終端之間秘密性�,同時能夠僅對有必要信息公開的特別指定的會話控制服務(wù)器進(jìn)行信息公開的會話控制服務(wù)器、通信裝置����、通信系統(tǒng)���、通信方法及其程序以及記錄介質(zhì)。在本發(fā)明中(9)通信裝置A在用于會話建立的信號發(fā)送之前����,首先生成用于信號內(nèi)信息加密的第一保密密鑰(對稱保密密鑰)。通信裝置A采用發(fā)送目標(biāo)的通信裝置B的第二保密密鑰(公開密鑰或事前共用密鑰)和隨著通信裝置A會話建立而公開信息的對象��,即0以上的會話控制服務(wù)器的第二保密密鑰(公開密鑰或事前共用密鑰)�,按每個第二保密密鑰分別將第一保密密鑰加密。通信裝置A通過第一保密密鑰將信息加密����。也可以在加密前,對于信息附加簽名���。通信裝置A將通過各第二保密密鑰(各個公開密鑰或事前共用密鑰)已加密的第一保密密鑰和解碼化請求指示與通過第一保密密鑰已加密的信息一起發(fā)送到會話控制服務(wù)器����。另外���,這里的解碼化請求指示對隨著通信裝置A會話建立而公開信息的對象的會話控制服務(wù)器����,可以按照表示會話控制服務(wù)器的識別符形式明確地提示,也可以不明確地提示���。另外��,關(guān)于解碼化對象的內(nèi)容ID�,可以明確地提示����,也可以不明確地提示。在不明確地提示時���,例如���,隨著會話建立而經(jīng)由的各個會話控制服務(wù)器通過對應(yīng)于自身保存的第二保密密鑰的第二解碼化密鑰,進(jìn)行第一保密密鑰的解碼化���,如果得到的信息與表示第一保密密鑰的表現(xiàn)形式一致,則可以判斷是自身已接受解碼化請求的會話控制服務(wù)器�����。因此,通過第二保密密鑰已加密的第一保密密鑰自身成為解碼化請求指示(參照權(quán)利要求16)��。(10)接收來自通信裝置A或其它會話管理服務(wù)器的信號的會話控制服務(wù)器判斷有無解碼化請求和解碼化對象的信息�,如果有解碼化請求��,則通過對應(yīng)于自身第二保密密鑰的第二解碼化密鑰����,進(jìn)行第一保密密鑰的解碼化��?����;蛘?��,通過對應(yīng)于自身第二保密密鑰的第二解碼化密鑰,進(jìn)行第一保密密鑰的解碼化�����,根據(jù)結(jié)果判斷有無解碼化請求�����。或者�,兩者中任何一個都進(jìn)行。這些由(9)中已記載的通信裝置中的解碼化請求決定���。在任何情況下都采用已得到的第一保密密鑰��,進(jìn)行加密信息的解碼化(參照權(quán)利要求17)�。(11)上述(10)的會話控制服務(wù)器再將已加密的第一保密密鑰以會話單位存儲����。 會話控制服務(wù)器在以后該會話的信息解碼化時,再使用此第一保密密鑰(參照權(quán)利要求 18)�。(12)通信裝置B接收包含已附加已加密的第一保密密鑰的加密信息的信號,進(jìn)行第一保密密鑰的解碼化�����,采用此第一保密密鑰進(jìn)行加密信息的解碼化��。通信裝置B以會話單位存儲第一保密密鑰���,在同一會話中的信息加密中再使用第一保密密鑰����。通信裝置B發(fā)送包含未附加將第一保密密鑰已加密的信息的加密信息的信號�����。在同一會話中的信息解碼化中也再使用第一保密密鑰(參照權(quán)利要求19)�。(13)通信裝置A以會話單位存儲第一保密密鑰,在接收包含未附加將第一保密密鑰已加密的信息的加密信息的信號時�����,在同一會話中的信息解碼化及同一會話中的信息加密中再使用上述第一保密密鑰(參照權(quán)利要求20)(14)通信裝置A及通信裝置B在會話中經(jīng)過-定時間后或使用-定次數(shù)后�����,更新第一保密密鑰�,與更新信號一起發(fā)送(參照權(quán)利要求21、22)�。(15)會話控制服務(wù)器一旦在會話中從通信裝置A(或通信裝置B)接收第一保密密鑰的更新信號,則更新已存儲的會話的第一保密密鑰��,與更新信號一起發(fā)送到通信裝置 B (或通信裝置A)(參照權(quán)利要求23)在本發(fā)明中指定進(jìn)行信息公開的會話控制服務(wù)器�����,能夠進(jìn)行信息公開,同時安全地發(fā)送�����、接收信號內(nèi)的信息��。即使在包含通信裝置之間的加密信息的信號通信時�����,由于能夠由特別指定的會話控制服務(wù)器進(jìn)行信息參照�����,因此也能夠以其信息為基礎(chǔ)����,進(jìn)行通信控制。本發(fā)明的目的之三在于為了解決上述傳統(tǒng)的課題�����,提供一種能夠確保與可信賴的地址之間安全性的會話控制服務(wù)器���、通信裝置���、通信系統(tǒng)�����、通信方法及其程序易以及記錄介質(zhì)。作為上述安全性確保的區(qū)間是指發(fā)送用戶與特別指定的可信賴的會話控制服務(wù)器之間���、特別指定的可信賴的會話控制服務(wù)器與特別指定的可信賴的會話控制服務(wù)器之間以及特別指定的可信賴的會話控制服務(wù)器與終點(diǎn)用戶之間的不依賴傳送區(qū)間的任意區(qū)間����。在本發(fā)明中對于信息加密����,將通過通信裝置或會話控制服務(wù)器生成的保密密鑰稱作第一保密密鑰,將用于使第一保密密鑰加密的保密密鑰稱作第二保密密鑰��。(16)通信裝置A在用于會話建立的信號發(fā)送前����,首先生成用于信號內(nèi)信息加密的第一保密密鑰(對稱保密密鑰)。通信裝置A采用發(fā)送目標(biāo)的通信裝置B的第二保密密鑰(公開密鑰或事前共用密鑰)或者隨著通信裝置A會話建立僅允許信息公開或者允許公開和變更兩者的會話控制服務(wù)器的第二保密密鑰(公開密鑰或事前共用密鑰)的任何一個密鑰��,將第一保密密鑰加密��。通信裝置A通過第一保密密鑰將信息加密。在加密前也可以對信息附加簽名��。通信裝置A將通過上述任何一個第二保密密鑰(公開密鑰或事前共用密鑰)已加密的第一保密密鑰和另外在第二保密密鑰是會話控制服務(wù)器的保密密鑰時的解碼化請求指示與通過第一保密密鑰已加密的信息一起發(fā)送到會話控制服務(wù)器�。另外,這里的解碼化請求指示對隨著通信裝置A會話建立而允許公開或公開和變更信息的對象的會話控制服務(wù)器��,可以按照表示會話控制服務(wù)器的識別符形式明確地提示��,也可以不明確地提示����。在不明確地提示時,例如�,隨著會話建立而經(jīng)由的各個會話控制服務(wù)器通過對應(yīng)于自身保存的第二保密密鑰的第二解碼化密鑰,進(jìn)行第一保密密鑰的解碼化�����,如果得到的信息與表示第一保密密鑰的表現(xiàn)形式一致��,則可以判斷是自身已接受解碼化請求的會話控制服務(wù)器����。因此,通過第二保密密鑰已加密的第一保密密鑰自身成為解碼化請求指示����。另外��,這里的是否僅允許信息公開�����、或者是允許公開和變更信息的不同����,例如也可以由作為對象的信息中是否通過發(fā)送側(cè)通信終端附加電子簽名(例如�,在附加時僅允許公開)等而決定(參照權(quán)利要求37)���。(17)接收來自通信裝置A或其它會話控制服務(wù)器的信號的會話控制服務(wù)器判斷有無解碼化請求�,如果已有解碼化請求��,則通過對應(yīng)于自身第二保密密鑰的第二解碼化密鑰��,進(jìn)行第一保密密鑰的解碼化��?;蛘咄ㄟ^對應(yīng)于自身第二保密密鑰的第二解碼化密鑰,進(jìn)行第一保密密鑰的解碼化�,根據(jù)結(jié)果判斷有無解碼化請求��?���;蛘邇烧咧腥魏我粋€都進(jìn)行����。這些由(16)及(17)的后半所記載的通信裝置及會話控制服務(wù)器中的解碼化請求而決定。在任何情況下都采用得到的第一保密密鑰���,進(jìn)行加密信息的解碼化����。接著��,此會話控制服務(wù)器通過下一級的會話控制服務(wù)器或終點(diǎn)用戶的第二保密密鑰(公開密鑰或事前共用密鑰)�����,將解碼化而得到的第一保密密鑰加密����。而且,將通過第一保密密鑰已加密的信息及通過第二保密密鑰已加密的第一保密密鑰發(fā)送到下一級的會話控制服務(wù)器或終點(diǎn)用戶����。另外����,如果在發(fā)送時第二保密密鑰是會話控制服務(wù)器的保密密鑰����, 則將解碼化請求指示也發(fā)送到會話控制服務(wù)器(參照權(quán)利要求38)。(18)另外�,也可以在上述(17)的會話控制服務(wù)器中生成新的第一保密密鑰(對稱保密密鑰),使用此密鑰將已解碼化的信息加密�。而且,通過下一級的會話控制服務(wù)器或終點(diǎn)用戶的第二保密密鑰(公開密鑰或事前共用密鑰)將已生成的該第一保密密鑰加密���。將它們發(fā)送到會話控制服務(wù)器或終點(diǎn)用戶。另外�����,如果在發(fā)送時第二保密密鑰是會話控制服務(wù)器的保密密鑰時���,解碼化請求指示也發(fā)送到會話控制服務(wù)器(參照權(quán)利要求39)�。(19)會話控制服務(wù)器以會話及對向裝置單位管理已收到的第一保密密鑰和已生成的第一保密密鑰�����。會話控制服務(wù)器在以后的信息加密或解碼化中再使用第一保密密鑰 (參照權(quán)利要求40)。(20)通信裝置B接收已附加已加密的第一保密密鑰的加密信息�����,進(jìn)行第一保密密鑰的解碼化�,采用此第一保密密鑰,進(jìn)行加密信息的解碼化��。通信裝置B在發(fā)送響應(yīng)信號時����,再使用已解碼化的第一保密密鑰,將信息加密���。通信裝置B不附加第一保密密鑰���,而發(fā)送已加密的信息。存儲第一保密密鑰����,并在同一會話中、且在同一對向裝置的信號加密及解碼化中再使用(參照權(quán)利要求41)���。(21)通信裝置A以會話和對向裝置單位存儲第一保密密鑰�,在接收包含未附加將第一保密密鑰已加密的信息的加密信息的信號時,在同一會話中����、且在同一對向裝置的信息解碼化中使用。另外���,在同一會話中�、且在同一對向裝置中發(fā)送信號時的信息加密中再使用上述第一保密密鑰(參照權(quán)利要求42)����。
(22)通信裝置A及通信裝置B在會話中經(jīng)過_定時間后或使用_定次數(shù)后,更新第一保密密鑰��,與更新信號一起發(fā)送(參照權(quán)利要求43����、44)(23)會話控制服務(wù)器一旦從通信裝置A (或通信裝置B)接收更新信號��,就更新已存儲的第一保密密鑰,將更新信號發(fā)送到通信裝置B (或通信裝置A)��。此時,也可以生成新生成后的第二保密密鑰,發(fā)送到通信裝置B (或通信裝置A)(參照權(quán)利要求45)�。在本發(fā)明中能夠指定進(jìn)行信息公開的會話控制服務(wù)器�����,進(jìn)行信息公開,同時能夠安全地發(fā)送、接收信息��。由于能夠通過特別指定的會話控制服務(wù)器進(jìn)行信息參照及/或變更,因此能夠以此信息為基礎(chǔ)�,進(jìn)行通信控制��。
圖1是本發(fā)明的通信系統(tǒng)結(jié)構(gòu)圖�����。圖2是圖1中的通信裝置詳細(xì)框圖結(jié)構(gòu)圖�。圖3是圖1中的會話控制服務(wù)器的詳細(xì)框圖結(jié)構(gòu)圖��。圖4是表示本發(fā)明實(shí)施例1的通信裝置的發(fā)送信號例的圖��。圖5是表示本發(fā)明實(shí)施例1的通信裝置的接收信號例的圖�。圖6是表示本發(fā)明實(shí)施例3的會話控制服務(wù)器的接收信號例的圖�����。圖7是表示本發(fā)明實(shí)施例2的會話控制服務(wù)器的發(fā)送信號例的圖����。圖8是本發(fā)明實(shí)施例3的會話控制服務(wù)器和通信裝置的處理流程圖���。圖9是本發(fā)明實(shí)施例3的會話控制服務(wù)器和通信裝置的處理流程圖����。圖10是本發(fā)明實(shí)施例2的通信系統(tǒng)的框圖結(jié)構(gòu)圖���。圖11是圖10中的會話控制服務(wù)器的詳細(xì)結(jié)構(gòu)圖��。圖12是圖10中的通信裝置的詳細(xì)結(jié)構(gòu)圖�。圖13是表示本發(fā)明實(shí)施例2的通信裝置Q02-1)的發(fā)送信號例的圖����。圖14是表示本發(fā)明實(shí)施例2的通信裝置Q02-2)的發(fā)送信號例的圖��。圖15是本發(fā)明實(shí)施例4的通信方法說明圖�。圖16是本發(fā)明實(shí)施例5的通信方法說明圖。圖17是本發(fā)明實(shí)施例6的通信方法說明圖���。圖18是本發(fā)明實(shí)施例3的通信系統(tǒng)結(jié)構(gòu)圖����。圖19是圖18中的會話控制服務(wù)器的框圖結(jié)構(gòu)圖��。圖20是圖18中的通信裝置的框圖結(jié)構(gòu)圖���。圖21是本發(fā)明實(shí)施例3的通信裝置(302-1)發(fā)送信號例的圖��。圖22是本發(fā)明實(shí)施例3的通信裝置(302- 發(fā)送信號例的圖�。圖23是本發(fā)明實(shí)施例7的通信方法說明圖。圖M是本發(fā)明實(shí)施例8的通信方法說明圖���。圖25是本發(fā)明實(shí)施例9的通信方法說明圖��。
具體實(shí)施例方式下面����,參照附圖�����,說明本發(fā)明的合適實(shí)施例�。但是�,本發(fā)明不限定于以下各實(shí)施例, 例如�,也可以將這些實(shí)施例的結(jié)構(gòu)要素彼此適當(dāng)組合。
下面�����,參照附圖,詳細(xì)說明本發(fā)明的實(shí)施方式���。(實(shí)施方式1)[系統(tǒng)結(jié)構(gòu)]圖1是本發(fā)明實(shí)施例1的通信系統(tǒng)的結(jié)構(gòu)圖����。如圖1所示�,使通信系統(tǒng)100包括通過網(wǎng)絡(luò)10連接而能夠通信的1臺以上的會話控制服務(wù)器101和多個通信裝置102而構(gòu)成。另外�,通信裝置102按照本發(fā)明的步驟,通過會話控制服務(wù)器101����,根據(jù)加密通信, 進(jìn)行通信�����。另外����,在通信系統(tǒng)100中準(zhǔn)備有2臺會話控制服務(wù)器101,但不限定于2臺�����。另外,準(zhǔn)備有2臺通信裝置102��,但不限定于2臺�。另外,在本發(fā)明中通信裝置102包括個人電腦����、手提終端或端口等通信設(shè)備,網(wǎng)絡(luò) 10的結(jié)構(gòu)與有線���、無線無關(guān)����。下面��,為了說明方便�����,以通信裝置102-1為發(fā)送側(cè)����、通信裝置102-2為接收側(cè)進(jìn)行說明�����。以會話控制服務(wù)器101-1裝有通信裝置102-1、會話控制服務(wù)器101-2裝有通信裝置 102-2進(jìn)行說明�。會話控制服務(wù)器101-1、101_2分別從通信裝置102_1和通信裝置102_2接收位置登錄請求和公開密鑰證書的發(fā)行請求或登錄請求�,存儲位置登錄信息和公開密鑰證書。[通信裝置]圖2是本發(fā)明實(shí)施例1的通信裝置的結(jié)構(gòu)框圖�。如圖2所示,使通信裝置102包括信號發(fā)送部件110�、會話控制部件111、位置登錄請求部件112�、位置登錄通知接收部件113、非對稱密鑰生成(存儲)部件114���、證書發(fā)行 (登錄)請求部件115���、位置信息及公開密鑰證書存儲部件116、信號接收部件117及證書通知接收部件118而構(gòu)成���。在這里����,114是非對稱密鑰存儲部件�����,同時也是非對稱密鑰生成部件,另外����,115是證書登錄請求部件,同時也是證書發(fā)行請求部件����。因此,下面���,將其中一個一起記在括弧內(nèi)�����。 另外���,114,115也可以僅具有其中1個功能。通信裝置102-1對于由非對稱密鑰存儲(生成)部件114生成(存儲)的公開密鑰���,通過證書登錄(發(fā)行)請求部件115由請求信號作成�,與通過位置登錄請求部件112生成的位置登錄請求信號一起���,送到會話控制部件111���。通過會話控制部件111生成的信號由信號發(fā)送部件110發(fā)送到會話控制服務(wù)器 101。然后����,通信裝置102-1從會話控制服務(wù)器101-1接收位置登錄結(jié)束通知信號,通過會話控制部件111分析信號內(nèi)容���,送到位置登錄通知接收部件113��。在附有公開密鑰證書時���,通過證書通知接收部件118加以接收,將位置信息和公開密鑰證書全部存儲在位置信息及公開密鑰證書存儲部件116中�����。因此���,通信裝置102-1變?yōu)橐勋@得能使用的公開密鑰證書的狀態(tài)���,包括使用公開密鑰的加密信息的信號接收及附加有使用公開密鑰證書的數(shù)字簽名的信號發(fā)送都成為可能����。這樣�,通過信號發(fā)送時附加數(shù)字簽名,就能夠防止發(fā)送和終點(diǎn)用戶之間的相互認(rèn)證����、通過服務(wù)器的用戶認(rèn)證及用戶信號發(fā)送的否定。(實(shí)施例1)
實(shí)施例1是通信裝置102-1對于會話控制服務(wù)器101-1要求進(jìn)行位置登錄及證書發(fā)行����,至由會話控制服務(wù)器101-1接受位置登錄和證書發(fā)行結(jié)束通知為止的交換。另外�,在位置登錄及證書發(fā)行請求中包括位置登錄請求,但可以包含證書發(fā)行請求���,也可以不包含���。圖4是表示圖2通信裝置中發(fā)送信號例的圖,圖5是表示圖2通信裝置中接收信號例的圖��。這里的通信裝置102-1的對方是會話控制服務(wù)器101-1����。例如��,來自圖4所示的通信裝置102-1的發(fā)送信號是依據(jù)RFC3^1的SIP消息之一的REGISTER方式400,其消息中設(shè)定有通信裝置的位置信息和希望的有效時間002)��。另外��,也設(shè)定有公開密鑰證書請求及用戶認(rèn)證密鑰002)����。為了保持秘密性,這些信息通過內(nèi)容保密密鑰加密����,作為S/MTME ^ Enveloped-Data (401) H作為用于內(nèi)容保密密鑰的加密的密鑰保密密鑰,也可以采用會話控制服務(wù)器 101-1的公開密鑰��,還可以采用會話控制服務(wù)器101-1與通信裝置102-1的使用者之間的事前共用密鑰(密碼等)����。如圖5所示,會話控制服務(wù)器101-1接收的信號是對應(yīng)于REGISTEP方式的正常響應(yīng)2000K(500)�����,其消息中設(shè)定有已登錄的位置信息和會話控制服務(wù)器101-1已認(rèn)可的有效時間(504)。為了具有秘密性��,這些信息通過保密密鑰加密���,設(shè)定在Enveloped Data內(nèi) (502)�����。另外�����,也設(shè)定有公開密鑰證書(504)�。在信號的解碼化中首先進(jìn)行已加密的內(nèi)容保密密鑰(505)的解碼化����。在保密密鑰的解碼化中也可以采用通信裝置102-1的秘密密鑰,還可采用會話控制服務(wù)器101-1和通信裝置102-1的使用者之間的事前共用密鑰(密碼等)���。通過已解碼化的內(nèi)容保密密鑰��,將已加密的信息(504)解碼化�。已接收的位置信息和公開密鑰證書與有效時間一起存儲在位置信息及公開密鑰證書存儲部件116中�。為了檢出有無涂改���,如果附有服務(wù)器的數(shù)字簽名(503),則可以確認(rèn)其簽名���。[會話控制服務(wù)器]圖3是本發(fā)明實(shí)施例1的會話控制服務(wù)器的框圖��。如圖3所示�����,會話控制服務(wù)器101包括信號接收部件120、會話控制部件121���、信號發(fā)送部件122����、證書發(fā)行(登錄)請求接收部件123��、證書發(fā)行(有效性確認(rèn))部件124����、位置登錄請求接收部件125、位置信息及公開密鑰證書存儲部件126���、公開密鑰證書詢問請求接收部件127及公開密鑰證書通知發(fā)送部件128��。在這里�,123具有證書發(fā)行請求接收部件和證書登錄請求接收部件2個功能,124 具有證書發(fā)行部件和證書有效性確認(rèn)部件2個功能�����。另外����,123,124也可以僅具有上述2個功能中之一。信號接收部件120從通信裝置102-1接收位置登錄請求信號����。如果會話控制部件 121判定收到的位置登錄請求信號是位置登錄請求信號,則將此位置登錄請求信號送到位置登錄請求接收部件125����。如果位置登錄請求部件125判定在用戶認(rèn)證正常結(jié)束后附有證書發(fā)行請求,則向證書發(fā)行請求接收部件123提供必要的信息����。證書發(fā)行請求接收部件123確認(rèn)要求內(nèi)容是合理的,證書發(fā)行部件IM對用戶發(fā)行證書���。
已發(fā)行的證書和位置信息存儲在位置信息及公開證書存儲部件126中��。會話控制部件121生成包含位置信息及公開密鑰證書信息的響應(yīng)信號��,信號發(fā)送到通信裝置102-1�����。(實(shí)施例2)實(shí)施例2是會話控制服務(wù)器101-1從通信裝置102-1接收位置登錄及證書發(fā)行的請求至向通信裝置102-1發(fā)送位置登錄及證書發(fā)行結(jié)束通知為止的交換��。如上所述�,圖4及圖5分別是從通信裝置102-1向會話控制服務(wù)器101_1發(fā)送的信號例及通信裝置102-1從會話控制服務(wù)器101-1接收的信號例����。因此,在本例中從會話控制服務(wù)器101-1發(fā)送到通信裝置102-1的信號例是圖5����,從通信裝置102-1接收的信號例是圖4。如圖4所示��,例如��,會話控制服務(wù)器101-1從通信裝置102-1接收的信號是依據(jù) RFC3261的SIP消息之一�����,即REGISTER方式,在該消息中同時設(shè)定有通信裝置的位置信息和有效時間002)�。另外,也設(shè)定有公開密鑰證書請求及用戶認(rèn)證密鑰002)���。為了具有秘密性�����,這些信息由保密密鑰加密��。為了取得內(nèi)容保密密鑰����,會話控制服務(wù)器101-1首先進(jìn)行已加密的內(nèi)容保密密鑰的解碼化���。在解碼化中也可以采用會話控制服務(wù)器101-1的秘密密鑰����,還可以采用會話控制服務(wù)器101-1與通信裝置102-1的使用者之間的事前共用密鑰(密碼等)�。會話控制服務(wù)器101-1采用解碼化后而取得的內(nèi)容保密密鑰,進(jìn)行已加密的信息
解碼化���。得到解碼化后而取得的位置信息登錄請求�、用戶認(rèn)證密鑰,證書發(fā)行請求���。會話控制服務(wù)器101-1在用戶認(rèn)證后確認(rèn)證書發(fā)行請求是合理的�����,會話控制服務(wù)器101-1發(fā)行成為發(fā)行源的公開密鑰證書��。已發(fā)行的公開密鑰證書的有效期間限(504)設(shè)定為與位置信息的有效期間限相同�。位置信息和公開密鑰證書和有效期間限一起存儲����。
如圖5所示���,會話控制服務(wù)器101-1將已登錄的位置信息和會話控制服務(wù)器101-1 已認(rèn)可的有效時間一起設(shè)定在對REGISTER方式的正常響應(yīng)2000K(500)中(504)�����。為了保持秘密性�����,這些信息由保密密鑰加密(502)���。另外����,也設(shè)定公開密鑰證書(506)�����。會話控制服務(wù)器101-1為了將信號加密�,首先生成保密密鑰。接著�����,其保密密鑰被加密�。此時,也可以采用通信裝置102-1的公開密鑰���,還可以采用會話控制服務(wù)器101-1與通信裝置102-1 的使用者之間的事前共用密鑰(密碼等)���。會話控制服務(wù)器101-1將這樣生成的信號發(fā)送到通信裝置102-1。為了檢出有無涂改���,也可以附加會話控制服務(wù)器101-10的數(shù)字簽名(503)��,再發(fā)送�����。圖8是實(shí)施例2的通信裝置的位置登錄和證書發(fā)行處理的流程圖�����。關(guān)于從通信裝置發(fā)送的信號���,可以進(jìn)行加密或解碼化等����,但在這里�����,其處理省略��。首先���,通信裝置102-1作成用于進(jìn)行通信裝置102-1的位置登錄請求的非對稱密鑰對����,將總括有對于其密鑰對中公開密鑰的證書發(fā)行請求和位置登錄請求的位置登錄
16及證書發(fā)行請求信號發(fā)送到會話控制服務(wù)器101-1 (51) (8-A)���。另外�,位置登錄及證書發(fā)行請求信號中包括位置登錄請求�,但可以包含證書發(fā)行請求,也可以不包含�����。會話控制服務(wù)器101-1接收此信號(52)�����,進(jìn)行會話控制(53)����,判定信號類別(M),如果是位置登錄請求�,則接收位置登錄請求(55),判定是否有證書發(fā)行請求(56)���,如果沒有證書發(fā)行請求��, 則管理位置信息及證書(59)�����。另外��,如果有證書發(fā)行請求���,則接收證書發(fā)行請求(57)�,發(fā)行證書(58)��,管理位置信息及證書(59)�����。然后�����,進(jìn)行會話控制(60)����,信號發(fā)送到通信裝置 102-1(61) (S-B)0通信裝置102-1接收位置登錄及證書發(fā)行結(jié)束通知陽2)�����。另外,位置登錄及證書發(fā)行結(jié)束通知中包括位置登錄結(jié)束通知���,但可以包含證書發(fā)行結(jié)束通知��,也可以不包含����。(實(shí)施例3)作為實(shí)施例3記載的是其它會話控制服務(wù)器101-2從通信裝置102-2收到的信號是依據(jù)SIP的SIP消息之一的OPTIONS方式���,且其消息中設(shè)定有通信裝置102-1的公開密鑰證書詢問請求時的交換����。圖6是表示圖3的會話控制服務(wù)器的接收信號例的圖����,圖7是表示同一會話控制服務(wù)器的發(fā)送信號例的圖。為了能夠檢出詢問內(nèi)容有無涂改�,在600中設(shè)定有通信裝置102-2的用戶數(shù)字簽名以及用于驗(yàn)證簽名的通信裝置102-2的用戶公開密鑰證書(604)。會話控制服務(wù)器101-2 參照設(shè)定在OPTIONS方式的Request-URI的域名����,判定是否是寄給本域的方式�����。如果不是寄給本域�����,則發(fā)送到作為域名而表示的會話控制服務(wù)器101-1���。會話控制服務(wù)器101-1接收OPTIONS方式,參照設(shè)定在OPTIONS方式的 Request-URI的域名�,判定是否是寄給本域的方式。如果是寄給本域的方式��,則判別是否是證書登錄請求��。如果是證書登錄請求��,則在位置信息及公開密鑰證書存儲部件1 中����,檢索通信裝置102-1的用戶位置信息、公開密鑰證書及有效時間����,在該時刻取得有效信息����。如圖 7所示�����,將取到這些的信息設(shè)定在對于OPTIONS方式的響應(yīng)2000K����,發(fā)送到通信裝置102-2�。會話控制服務(wù)器101-1也能夠?qū)⒋诵畔⒅苯影l(fā)送到通信裝置102-2,但在這里�,經(jīng)由會話控制服務(wù)器101-2發(fā)送。圖9是本發(fā)明實(shí)施例3的證書詢問處理的流程圖����。對于從通信裝置發(fā)送的信號, 可以進(jìn)行加密或解碼化等�����,但在這里���,其處理過程省略���。通信裝置102-2將證書詢問請求信號發(fā)送到會話控制服務(wù)器101-2(81) (9_A)�。 會話控制服務(wù)器101-2 —旦接收此信號(82)����,就進(jìn)行會話控制(83),判定是否是寄給本域
(84)�,如果不是寄給本域,則進(jìn)行會話控制(89)���,發(fā)送到相應(yīng)的會話控制服務(wù)器(90)����。在此情況下����,轉(zhuǎn)送到地址的會話控制服務(wù)器101-1 (9-B)。如果是寄給本域�,則判定信號類別
(85),如果是證書詢問請求�,則接收證書詢問請求(86),判定是否有證書(87)�,如果有證書����,則進(jìn)行證書的通知(88)�,進(jìn)行會話控制(89),信號發(fā)送到通信裝置102-2(90) (9-D)�����。會話控制服務(wù)器101-1接收其信號(91)�,進(jìn)行會話控制(92)����,判定是否是寄給本域(9 ,如果不是寄給本域����,則進(jìn)行會話控制(98),發(fā)送到其它會話控制服務(wù)器(99)��,或者如果要發(fā)送的地址不清楚��,則將錯誤響應(yīng)返回到會話控制服務(wù)器102-1����。如果是寄給本域��, 則判定信號類別(94)�,如果是證書詢問請求��,則接收證書詢問請求(95)����。判定是否有證書 (96),如果有證書���,則進(jìn)行證書通知(97)����,進(jìn)行會話控制(98)�,信號發(fā)送到會話控制服務(wù)器101-2(99)(9-C)。會話控制服務(wù)器101-2 —旦接收此信號(82)�,則進(jìn)行會話控制(83),由于不是寄給本域���,因此將信號發(fā)送到地址的通信裝置102(90) (9-D)�����。通信裝置102-2接收此證書通知(80)����。會話控制服務(wù)器101-2 —旦接收錯誤響應(yīng),就將該錯誤響應(yīng)發(fā)送到通信裝置
102-2�。這樣,通過采用本實(shí)施例的通信方法���,由會話管理服務(wù)器管理通信裝置中成為可使用狀態(tài)的公開密鑰證書���,從而在會話通信中可使用的電子證書(公開密鑰證書)的發(fā)行、 流通成為可能�����。另外��,通過會話控制服務(wù)器發(fā)行電子證書時�,因?yàn)橛蓵捒刂品?wù)器確認(rèn)證書的有效性��,因此�,不詢問認(rèn)證局等,就能夠確認(rèn)在會話控制信號內(nèi)使用的電子證書的有效性�����。另外,如果在圖8及圖9的動作流程程序化之后��,將這些程序預(yù)先存儲在⑶-ROM 等記錄介質(zhì)上�,則在程序銷售及出租時是方便的。另外��,將此記錄介質(zhì)安裝在成為會話控制服務(wù)器的電腦及通信裝置的電腦上���,裝入程序��,執(zhí)行程序�,從而能夠容易實(shí)現(xiàn)本發(fā)明��。如以上說明的那樣���,根據(jù)本發(fā)明的實(shí)施例1�,為了發(fā)送�����、接收通信裝置之間秘密性高的信號�,在會話控制服務(wù)器確認(rèn)通信裝置對應(yīng)的有效性后,對必要的電子證書(公開密鑰證書)加以管理,因此能夠發(fā)行可實(shí)用的電子證書���,在用戶上建立會話時有效性易于確認(rèn)����。(實(shí)施方式2)[系統(tǒng)結(jié)構(gòu)]圖10是本發(fā)明實(shí)施例2的通信系統(tǒng)的結(jié)構(gòu)圖���。如圖10所示����,使本通信系統(tǒng)200包括多個會話控制服務(wù)器201��、多個通信裝置 202�、NAT/防火墻裝置203及網(wǎng)絡(luò)20而構(gòu)成。另外��,通信裝置202按照本發(fā)明的步驟��,通過會話控制服務(wù)器201��,按照包含加密信息的信號�,進(jìn)行通信���。另外��,在通信系統(tǒng)200中會話控制服務(wù)器201不限定于2臺�。在這里,通信裝置202表示2臺��,但不限定于2臺�。NAT/防火墻裝置203表示1臺,但1不限定于臺����。另外,根據(jù)本發(fā)明���,通信裝置202包括個人電腦�����、手提終端或端口等通信設(shè)備�����,網(wǎng)絡(luò)20的結(jié)構(gòu)無論有線����、無線。下面�����,為了說明方便�,以通信裝置202-1為發(fā)送側(cè)、通信裝置 202-2為接收側(cè)進(jìn)行說明�����。另外���,以會話控制服務(wù)器201-1作為發(fā)送側(cè)����,會話控制服務(wù)器 201-2為接收側(cè)進(jìn)行說明���。通信裝置202-1將用于通信裝置202-2的已加密的第一保密密鑰和用于會話控制服務(wù)器201-1的已加密的第一保密密鑰與加密信息一起發(fā)送到會話控制服務(wù)器201-1���。會話控制服務(wù)器201-1接收從通信裝置202-1送來的加密信息和2個已加密的第一保密密鑰,將其中會話控制服務(wù)器用信息解碼化���,通過已獲得的第一保密密鑰��,將加密信息解碼化�。這樣�����,能夠進(jìn)行信息參照����。此時,會話控制服務(wù)器201-1也可以用參照的信息為基礎(chǔ)��,對于NAT/防火墻裝置 203發(fā)送過濾條件變更請求��。從NAT/防火墻裝置203接收過濾條件變更結(jié)束通知后����,會話控制服務(wù)器201-1將包含從通信裝置202-1收到的加密信息的信號和2個第一保密密鑰發(fā)送到會話控制服務(wù)器201-2。會話控制服務(wù)器201-2接收從會話控制服務(wù)器201-1送來的加密信息和2個已加密的第一保密密鑰����,但由于無法將它們解碼化,因此不能參照已加密的信息���。會話控制服務(wù)器201-2將收到的加密信息和2個已加密的第一保密密鑰發(fā)送到通信裝置202-2�����。通信裝置202-2將從會話控制服務(wù)器201-2收到的通信裝置202_2用信息解碼化�����,通過已得到的第一保密密鑰��,將已加密的信息解碼化���。這樣�����,就能夠進(jìn)行信息參照����。通信裝置202-2再使用在會話對應(yīng)中存儲中的第一保密密鑰���,將要發(fā)送到通信裝置202-1的響應(yīng)信號等信號加密��,經(jīng)由會話控制服務(wù)器201-1��、201-2或者直接發(fā)送到通信裝置202-1���。[通信裝置]圖12是本發(fā)明實(shí)施例2的通信裝置的結(jié)構(gòu)框圖。如圖12所示�,使通信裝置202包括信號發(fā)送部件220、會話控制部件221��、保密密鑰生成部件222����、保密密鑰加密部件223、信號信息加密部件224�����、保密密鑰再使用部件225�、 信號信息解碼化部件226、保密密鑰解碼化部件227�����、信號接收部件228��、保密密鑰更新部件 229而構(gòu)成��。通信裝置202-1使用保密密鑰生成部件222中已生成的第一保密密鑰��,將由會話控制部件221生成的信號中必須有秘密性的信息由信號加密部件2M加密。另外�����,使用公開目標(biāo)的通信裝置及服務(wù)器的第二保密密鑰(例如����,在實(shí)施例中為公開密鑰),由保密密鑰加密部件223����,分別將第一保密密鑰加密。此時�����,已使用的第一保密密鑰與會話識別符對應(yīng)����,存儲在保密密鑰再使用部件225中。對于由會話控制部件221已生成的信息中未加密的信息�,在會話控制服務(wù)器201 及發(fā)送目標(biāo)的通信裝置中追加請求解碼化的信息,將由第一保密密鑰已加密的信息與由解碼化請求對象保存的第二保密密鑰已加密的第一保密密鑰一起���,由信號發(fā)送部件220發(fā)送到會話控制服務(wù)器201-1����。因此,對于必須有秘密性的信息�,能夠僅對于特別指定的會話控制服務(wù)器201-1和通信裝置202-2以可公開的狀態(tài)發(fā)送信號。圖13是表示本發(fā)明實(shí)施例2的通信裝置202-1的發(fā)送信號例的圖��。通信裝置202-1使用第一保密密鑰��,使必須有秘密性的信息加密����。使用公開目標(biāo)的通信裝置及服務(wù)器的各個第二保密密鑰��,將第一保密密鑰分別加密��。在未加密的信息中對于會話控制服務(wù)器201追加請求解碼化的信息���。將由第一保密密鑰加密的信息與由解碼化請求對象保存的第二保密密鑰已加密的第一保密密鑰一起�����,由信號發(fā)送部件220發(fā)送到會話控制服務(wù)器201-1����。關(guān)于發(fā)送信號例,進(jìn)一步在實(shí)施例4的說明中參照圖15說明。圖14是表示本發(fā)明實(shí)施例2的通信裝置202-2的發(fā)送信號例的圖����。關(guān)于發(fā)送信號例�,進(jìn)一步在實(shí)施例4的說明中參照圖15說明。[會話控制服務(wù)器]圖11是本發(fā)明實(shí)施例2的會話控制服務(wù)器的結(jié)構(gòu)框圖�����。如圖11所示�,會話控制服務(wù)器201包括信號接收部件210、解碼化判斷部件211���、 保密密鑰解碼化部件212���、解碼化密鑰再使用部件213、信號信息解碼化部件214��,會話控制部件215���、信號發(fā)送部件216����。NAT/防火墻控制部件217包括主信息通信接收部件218、主信息解碼化部件219�����。保密密鑰解碼化部件212參照第一保密密鑰已存儲的數(shù)據(jù)�����,判斷使用對應(yīng)于哪一個第二保密密鑰的第二解碼化密鑰��,進(jìn)行解碼化�����,然后進(jìn)行第一保密密鑰的解碼化��,將解碼化密鑰交給信息解碼化部件214����。通過信號信息的解碼化�����,通信裝置之間的控制信息的參照成為可能,必要的信息能夠提供給會話控制部件215�。解碼化密鑰與會話控制部件215內(nèi)的識別符對應(yīng),在解碼化密鑰再使用部件213 中與信號信息所包含的會話識別符對應(yīng)�����,將解碼化密鑰存儲����。如果由會話控制部件215準(zhǔn)備好信號發(fā)送,則由信號發(fā)送部件216將包含由信號接收部件110接收的已加密的信息和已加密的第一保密密鑰的信號發(fā)送到通信裝置 202-2����。(實(shí)施例4)圖15是本發(fā)明實(shí)施例4的通信方法的說明圖。作為實(shí)施例4�,說明的是將通信裝置202-1中生成的會話控制信號從通信裝置 202-1經(jīng)由可信賴的會話控制服務(wù)器201-1和不可信賴的會話控制服務(wù)器201-2、發(fā)送到通信裝置202-2的例�。例如,如圖13所示���,來自通信裝置202-1的發(fā)送信號是依據(jù)RFC3^1的SIP消息之一的INVITE方式800���,將通信裝置之間的控制信息(SDP =Session Description ftx)tOCOl)805加密而包含在該消息中。在SDP中包含接收用IP地址�、端口編號等作為通信裝置202-1的主信息通信的信息�����。為了檢出涂改����,也可以在加密信息805中附加通信裝置 202-1的用戶數(shù)字簽名����。SIP消息經(jīng)由會話控制服務(wù)器201-1及會話控制服務(wù)器201_2,發(fā)送到通信裝置 202-2��。加密的信息作為S/MIME的Enveloped-Data804而設(shè)定�。加密中使用的密鑰(第一保密密鑰)分別以會話控制服務(wù)器201的公開密鑰和終點(diǎn)用戶的公開密鑰(第二保密密鑰)力卩密,作為Enveloped-Data中的recipienWnfosSO6而設(shè)定�����。另外�����,第一保密密鑰也可以分別由會話控制服務(wù)器201-1與通信裝置202-1之間的事前共用密鑰及通信裝置202-1與通信裝置202-2的用戶之間的事前共用密鑰而加密����。另外,在SIP消息內(nèi)未加密的范圍801中包含會話控制服務(wù)器中表示解碼化請求的值和要解碼化的內(nèi)容ID����。對于SIP消息的一部分801和Enveloped Data804加在一起的信息802,為了檢出有無涂改�����,也可以附加通信裝置202-1的用戶數(shù)字簽名803���。會話控制服務(wù)器201-1通過信號接收部件210接收從通信裝置202-1送來的INVITE方式800�����。在解碼化判斷部件211中也可以通過解碼化請求參數(shù)(例 Sesion-Policy)的值判斷解碼化請求或者通過設(shè)定已加密的第一保密密鑰的 recipientlnfos806的解碼化可否判斷解碼化請求�����。在有解碼化請求時��,保密密鑰解碼化部件212參照已指定的內(nèi)容ID表示的數(shù)據(jù) 804中存儲第一保密密鑰的數(shù)據(jù)(recipien nfOS)806的類型�����,判斷使用對應(yīng)于哪一個第二保密密鑰的第二解碼化密鑰��,進(jìn)行解碼化��,然后進(jìn)行第一保密密鑰的解碼化��,將解碼化密鑰交給信號解碼化部件214�。通過加密信息805的解碼化,能夠參照通信裝置之間控制用的信號�����,必要的信息提供給會話控制部件215�����。
在無解碼化請求時及未設(shè)定指定的內(nèi)容ID時���,不進(jìn)行解碼化處理�。會話控制服務(wù)器201-1不管有無解碼化請求�����,在會話控制部件215中對于從通信裝置202-1收到的INVITE方式���,進(jìn)行處理(必要的參數(shù)變更等)�,通過信號發(fā)送部件216�, 將INVITE方式發(fā)送到會話控制服務(wù)器201-2。會話控制服務(wù)器201-2在信號接收部件210接收從會話控制服務(wù)器201_1送來的 INVITE 方式���。在解碼化判斷部件211中也可以通過解碼化請求參數(shù)(例如Jesion-Policy)的值判斷解碼化請求���,或者通過設(shè)定已加密的第一保密密鑰的recipientlnfosSOe的解碼化可否判斷解碼化請求。在無解碼化請求或不可解碼化時�,無法參照已加密的通信裝置之間的控制信息。 以通過會話控制部件215而能夠參照的信息為基礎(chǔ)��,進(jìn)行對于INVITE方式的處理(必要的參數(shù)參照等)����,通過信號發(fā)送部件216將INVITE方式發(fā)送到通信裝置202-1。已接收信號的通信裝置202-2通過第一保密密鑰將由信號接收部件2 收到的信號信息加密�����,在第一保密密鑰被加密而附加時����,使用對應(yīng)于自身第二保密密鑰的第二解碼化密鑰(在第一保密密鑰是公開密鑰時,則是秘密密鑰�����,或者如果第二保密密鑰是事前共用密鑰,則同事前共用密鑰)����,由保密密鑰解碼化部件227解碼化,得到第一保密密鑰����。使用此第一保密密鑰,將已加密的信息通過信號解碼化部件2 解碼化���,信息參照成為可能����。將該信息提供給會話控制部件221���。根據(jù)需要����,會話控制部件221生成要發(fā)送的信息�,同時與會話識別符對應(yīng)�����,將保密密鑰存儲在保密密鑰再使用部件225中。例如���,會話控制部件221作為對應(yīng)于圖14所示的INVITE方式的響應(yīng)信號���,發(fā)送 2000K900。關(guān)于要發(fā)送的信息�,使用存儲中的第一保密密鑰,將由信號加密部件2M加密的信息905作為Encryped-Data904而設(shè)定���,由信號發(fā)送部件220發(fā)送信號��。另外�����,為了檢出有無涂改����,對于已加密的信息905也可以附加數(shù)字簽名�����。(應(yīng)用例1參照權(quán)利要求21)其后的會話繼續(xù)信號,例如��,MESSAGE方式從通信裝置202_1經(jīng)由會話控制服務(wù)器 201-1����、201-2,發(fā)送到通信裝置202-2��。通信裝置202-1使用以會話單位記錄的第一保密密鑰��,將MESSAGE方式中設(shè)定的即時信息的內(nèi)容加密�。通信裝置202-1不附加第一保密密鑰, 發(fā)送包含已加密的信息的MESSAGE方式���。收到該信號的通信裝置202-2在保密密鑰再使用部件223中將會話識別符用于密鑰取得而存儲著的第一保密密鑰�,由此第一保密密鑰將加密信息解碼化����。(應(yīng)用例2參照權(quán)利要求18)在會話控制服務(wù)器201-1中也使用以會話單位存儲著的第一保密密鑰,將加密信息解碼化�。(應(yīng)用例3參照權(quán)利要求21)經(jīng)過一定時間后,通信裝置202-1在將MESSAGE方式經(jīng)由會話控制服務(wù)器201_1��、 201-2發(fā)送到通信裝置202-2時,通過保密密鑰更新部件229��,更新第一保密密鑰�。通信裝置202-1采用已更新的保密密鑰��,將信息加密���,作為S/MIME的Enveloped-Data而設(shè)定��。通信裝置202-1將加密中使用的此密鑰(已更新的第一保密密鑰)分別通過會話控制服務(wù)器的公開密鑰和終點(diǎn)用戶的公開密鑰(第二保密密鑰群)加密����,作為 Enveloped-Data 中白勺 recipientlnfos 而設(shè)定0接收包含附加了已更新的第一保密密鑰的加密信息的信號的通信裝置202-2將已更新的第一保密密鑰存儲在保密密鑰再使用部件225中���。(應(yīng)用例4參照權(quán)利要求23)接收包含附加了已更新的第一保密密鑰的加密信息的信號的會話控制服務(wù)器
201-1將已更新的第一保密密鑰存儲在保密密鑰再使用部件213中�。(實(shí)施例5)圖16是本發(fā)明實(shí)施例5的通信方法的說明圖��。在本例中表示的是以會話控制服務(wù)器在會話建立中獲得的信息為基礎(chǔ)���、變更NAT/ 防火墻裝置203的過濾條件的例���。例如,考慮會話控制服務(wù)器從通信裝置202-1收到的信號是依據(jù)RFC3^1的SIP 消息之一的INVITE方式、且將其消息中包含的通信裝置之間的控制信息(SDP =Session Description Protocol)力口密的情況��。通過使用對應(yīng)于第二保密密鑰的第二解碼化密鑰進(jìn)行解碼化�����,從而能夠參照控制信息中已設(shè)定的通信裝置202-1的主信息通信通路的IP地址及端口編號等�����。以此信息為基礎(chǔ)��,在NAT/防火墻控制部件217中�,對于遠(yuǎn)程N(yùn)AT/防火墻裝置203請求過濾條件變更(指示寄給特別指定IP地址及端口編號的數(shù)據(jù)組從非特別指定IP地址通過)。然后��,從通信裝置202-2收到的信號是SIP消息之一的2000K響應(yīng)����,將通信裝置之間的控制信息(SDP)加密,包括在其消息中�。采用存儲在解碼化密鑰再使用部件213中的第一保密密鑰,將加密信息解碼化����,通信裝置202-2的主信息通信通路的IP地址及端口編號等通信裝置之間的控制信息的參照成為可能���。以此信息為基礎(chǔ),在NAT/防火墻控制部件 217中對于遠(yuǎn)程N(yùn)AT/防火墻裝置203����,請求過濾條件變更(指示寄給特別指定IP地址及端口編號的數(shù)據(jù)包從特別指定IP地址通過)。因此�,在NAT/防火墻裝置203中對于通信裝置
202-1與通信裝置202-2之間的主信息��,數(shù)據(jù)包能夠通過��。然后��,會話控制服務(wù)器201-1 —旦接收通信裝置202-1或202_2發(fā)來的SIP消息的切斷信號�,即BYE方式,則通過NAT/防火墻控制部件217��,對于NAT/防火墻裝置203請求過濾條件變更(指示寄給指定IP地址及端口編號的數(shù)據(jù)組不從指定IP地址通過)��。如本實(shí)施例所示����,由于通過由通信裝置可安全公開信號內(nèi)信息的會話控制服務(wù)器 201-1,能夠以會話單位進(jìn)行NAT/防火墻控制�,因此��,能夠提高存取控制的精度���。由于不能公開信息的會話控制服務(wù)器201-2無法參照主信息的通路信息,因此主信息的監(jiān)控變得困難��,其結(jié)果���,能夠提高主信息通信的秘密性����。(實(shí)施例6)圖17是本發(fā)明實(shí)施例6的通信方法的說明圖���。在本例中說明以會話控制服務(wù)器201-1在會話建立中得到的信息為基礎(chǔ)��、對于加密的主信息也能夠進(jìn)行通信記錄的例���。例如,來自通信裝置202-1的發(fā)送信號是依據(jù)RFC3^1的SIP消息之一的INVITE 方式�����,通信裝置信息SDP被加密而包含在其消息中����。在SDP中包含通信裝置202-1與通信裝置202-2之間的主信息通信中使用的IP地址�����、端口編號��,而且包括用于主信息加密的密朗{η息�。會話控制服務(wù)器201-1具有主信息通信記錄的部件(接收部件218)和主信息解碼化部件219���,對于遠(yuǎn)程N(yùn)AT/防火墻裝置203發(fā)送指示��。此指示不僅指示上述實(shí)施例5中說明的過濾條件變更請求,而且指示主信息轉(zhuǎn)送����。在會話控制服務(wù)器201-1的主信息通信接收部件218中從NAT/防火墻裝置203接收主信息。在主信息已加密時�����,采用已經(jīng)取完的主信息加密的密鑰信息�����,在主信息解碼化部件 219中進(jìn)行解碼化。解碼化一旦正常結(jié)束����,則記錄已解碼化的主信息或已加密的狀態(tài)的主信息及其密朗fn息。由于會話控制服務(wù)器201-2不能將加密信息解碼化�,因此,不能參照通信裝置信息SDP�����,不能參照SDP中包含的用于主信息加密的密鑰信息�。因此,即使以網(wǎng)絡(luò)內(nèi)的監(jiān)視裝置監(jiān)視主信息���,將主信息加密���,也不能解碼化。這樣��,即使在主信息已加密時�����,通過會話控制服務(wù)器也能進(jìn)行已解碼化的主信息記錄�����,因此通信信息的監(jiān)視及記錄是可能的。另外���,如果將實(shí)施例4 6中說明的處理順序程序化�,并預(yù)先存儲在⑶-ROM等記錄介質(zhì)上����,則在程序的銷售及出租時,是方便的����。而且,通過將記錄介質(zhì)安裝在會話控制服務(wù)器201-1��、201-2的電腦上����,裝入程序�����,并執(zhí)行程序�,因此能夠容易實(shí)現(xiàn)本發(fā)明����。這樣���,本實(shí)施例的通信系統(tǒng)不僅在通信裝置之間����,而且對于進(jìn)行信號中繼的會話控制服務(wù)器也能公開信息���,因此���,能夠提高通信裝置發(fā)送、接收的傳送信號的秘密性���,同時能夠通過特別指定的會話控制服務(wù)器����,進(jìn)行通信控制�����。如以上所說明,根據(jù)本發(fā)明的實(shí)施例2��,不僅能夠保證通信裝置之間秘密性高的信號發(fā)送���、接收����,而且按照通信裝置的請求�,能夠僅對特別指定的會話控制服務(wù)器,公開信號信息��。另外�����,與通信裝置之間的連接結(jié)構(gòu)無關(guān)����,能夠指定公開信號信息的會話控制服務(wù)器。(實(shí)施方式3)[系統(tǒng)結(jié)構(gòu)]圖18是本發(fā)明實(shí)施例3的通信系統(tǒng)的結(jié)構(gòu)圖����。如圖18所示����,使通信系統(tǒng)300包括通過網(wǎng)絡(luò)30連接而能夠通信的多個會話控制服務(wù)器301�、多個通信裝置302�����、NAT/防火墻裝置303和網(wǎng)絡(luò)30而構(gòu)成�����。另外����,通信裝置302按照本發(fā)明的步驟,通過話控制服務(wù)器301����,利用加密信號進(jìn)行通信。另外����,在通信系統(tǒng)300中會話控制服務(wù)器301表示2臺,但不限定于2臺�����。另外, 通信裝置302表示2臺�����,但也不限定于2臺����。另外,NAT/防火墻裝置303表示1臺�����,但也不限定于1臺���。另外���,在本發(fā)明中通信裝置302包括個人電腦、手提終端���、端口等通信設(shè)備�����,網(wǎng)絡(luò) 30的結(jié)構(gòu)與有線��、無線無關(guān)�����。下面���,為了說明方便,以通信裝置302-1為發(fā)送側(cè)�����,以通信裝置302-2為接收側(cè)�����,進(jìn)行說明���。通信裝置302-1將由會話控制服務(wù)器301-1用第二保密密鑰加密的第一保密密鑰與加密信號一起發(fā)送到會話控制服務(wù)器301-1���。會話控制服務(wù)器301-1接收從通信裝置 302-1送來的加密信號和已加密的第一保密密鑰,通過與會話控制服務(wù)器301-1用第二保密密鑰對應(yīng)的解碼化密鑰����,將第一保密密鑰解碼化�����,通過第一保密密鑰將加密信號解碼化��, 從而信號的參照及/或變更成為可能�����。會話控制服務(wù)器301-1使用收到的第一加密信號(或新作成的第一加密信號)��,將信息加密����,加密中使用的第一保密密鑰通過通信裝置302-2用第二保密密鑰加密���,發(fā)送到會話控制服務(wù)器301-2��。會話控制服務(wù)器301-2接收從會話控制服務(wù)器301-1送來的加密信號和第一保密密鑰�。但是��,由于不能將它們解碼��,因此不能參照已加密的信息����。會話控制服務(wù)器301-2將收到的加密信號和已加密的第一保密密鑰發(fā)送到通信裝置302-2����。通信裝置302-2通過與從會話控制服務(wù)器301_2收到的通信裝置302_2用第二保密密鑰對應(yīng)的解碼化密鑰��,將第一保密密鑰解碼化���,通過第一保密密鑰將加密信號解碼化, 從而信息的參照成為可能��。通信裝置302-2再使用已解碼化的保密密鑰���,將要發(fā)送到通信裝置302_1的響應(yīng)信號等信號加密�,經(jīng)由會話控制服務(wù)器301-2�����、會話控制服務(wù)器301-1發(fā)送到通信裝置 302-1��。[通信裝置]圖20是本發(fā)明實(shí)施例3的通信裝置的結(jié)構(gòu)框圖�����。如圖20所示,使通信裝置302包括信號發(fā)送部件320��、會話控制部件321�、保密密鑰生成部件322、保密密鑰加密部件323�����、信號加密部件324���、保密密鑰再使用部件325���、信號解碼化部件326、保密密鑰解碼化部件327����、信號接收部件3 及保密密鑰更新部件3 而構(gòu)成。通信裝置302-1使用通過保密密鑰生成部件322生成的保密密鑰���,通過信號加密部件324�����,將通過會話控制部件321生成的信號中必須有秘密性的信號加密�����。而且����,使用公開目標(biāo)的特別指定的會話控制服務(wù)器的公開密鑰,分別通過保密密鑰加密部件323���,使第一保密密鑰加密。此時����,使用的保密密鑰通過保密密鑰再使用部件 325,與會話和對向裝置對應(yīng)而存儲�。對于通過會話控制部件321已生成的信號中、未加密的信號追加請求會話控制服務(wù)器解碼化的信息�,通過信號發(fā)送部件320,將已加密的信號和已加密的保密密鑰一起發(fā)送到會話控制服務(wù)器301-1�。因此,關(guān)于必須有秘密性的信息��,能夠僅對特別指定的會話控制服務(wù)器301-1以可公開的狀態(tài)發(fā)送信號�����。圖21是本發(fā)明實(shí)施例3的通信裝置302-1的發(fā)送信號例的圖。來自通信裝置302-1的發(fā)送信號是依據(jù)RFC3^1的SIP消息之一的INVITE方式�����, 通信裝置之間的控制信息(SDP =Session Description Protocol) 1005被加密����,包含在其消息中。在SDP中作為通信裝置302-1的主信息通信的信息����,包含接收用IP地址����、端口編號等。為了檢出有無涂改�����,也可以在加密信息1005中附加通信裝置302-1的用戶數(shù)字簽名�。 已加密的信息作為S/MIME的Enveloped Datal004而設(shè)定。加密中使用的密鑰(第一保密密鑰)由會話控制服務(wù)器的公開密鑰(第二保密密鑰)加密�����,作為Enveloped-Data中的 recipientlnfosl006而設(shè)定。在SIP消息內(nèi)未加密的范圍1001中包含表示向會話控制服務(wù)器請求解碼化的值和要解碼化的Content-ID�����。為了檢出有無涂改��,也可以在包括SIP消息的一部分1001和Enveloped Datal004的信息1002中附加數(shù)字簽名1003����。圖22是本發(fā)明實(shí)施例3的通信裝置302-2的發(fā)送信號例的圖。通信裝置302-2將2000K1100作為對于INVITE方式的響應(yīng)信號而發(fā)送�。通信裝置302-2發(fā)送已加密的信息1105。為了檢出有無涂改��,也可以在已加密的信息1105中附加數(shù)字簽名�。另外�����,也可以在包括SIP消息的一部分1101和Enveloped Datal 104的信息 1102中附加數(shù)字簽名1103���。[會話控制服務(wù)器]圖19是本發(fā)明實(shí)施例3的會話控制服務(wù)器的結(jié)構(gòu)框圖�。如圖19所示,會話控制服務(wù)器301包括信號接收部件310���、解碼化判斷部件311����、 保密密鑰解碼化部件312���、解碼化密鑰再使用部件313����、信號解碼化部件314���、會話控制部件 315���、保密密鑰生成部件316、保密密鑰加密部件317��、信號加密部件318�、信號發(fā)送部件319。 除此以外����,也可以包括NAT/防火墻控制部件330��、主信息通信接收部件331�、主信息解碼化部件332����。保密密鑰解碼化部件312提供取得第一保密密鑰作為信號解碼化部件314的解碼化密鑰的部件。通過信號的解碼化�,能夠參照通信裝置之間的控制用信息,向會話控制部件 315提供必要的信息��。第一保密密鑰與會話控制部件315內(nèi)的會話識別符和對向裝置識別符對應(yīng)����,將解碼化密鑰存儲在解碼化密鑰再使用部件313中。根據(jù)需要��,通過會話控制部件315���,參照及 /或變更已解碼化的信息。會話控制服務(wù)器301直接使用第一保密密鑰或通過保密密鑰生成部件316新生成第一保密密鑰����,通過保密密鑰加密部件317,將下一級可信賴的會話控制服務(wù)器或通信裝置302-2的第二保密密鑰(公開密鑰或事前共用密鑰)加密�。而且���,直接使用第一保密密鑰或使用通過保密密鑰生成部件316生成的新的第一保密密鑰,將信息加
滋
Γ t [ O通過信號發(fā)送部件319�����,將這樣生成的加密信息及已加密的保密密鑰發(fā)送到下一級可信賴的會話控制服務(wù)器或通信裝置302-2�。(第7的實(shí)施例)圖23是本發(fā)明實(shí)施例7的通信方法的說明圖。在這里表示的例是將通信裝置302-1已生成的會話控制信號從通信裝置302-1 發(fā)送到可信賴的會話控制服務(wù)器301-1��,另外��,從會話控制服務(wù)器301-1經(jīng)由會話控制服務(wù)器301-2發(fā)送到通信裝置302-2�。例如,來自通信裝置302-1的發(fā)送信號是依據(jù)RFC3^ 1的SIP消息的之一的 INVITE方式���,其消息中包含的通信裝置之間的控制信息(SDP)已加密(參照圖21的1005)��。 接收用IP地址�、端口編號等作為通信裝置302-1的主信息通信的信息�����,包含在SDP中��。SIP消息經(jīng)由會話控制服務(wù)器301-1及會話控制服務(wù)器301_2,發(fā)送到通信裝置 302-2����。信息加密中使用的密鑰(第一保密密鑰)由會話控制服務(wù)器的公開密鑰(第二保密密鑰)加密,作為Enveloped-Data中的recipien nfos (參照圖21的1006)而設(shè)定���。另外����,第一保密密鑰也可以由會話控制服務(wù)器301-1與通信裝置302-1的使用者之間的事前共用密鑰(密碼等)加密�����。
2
會話控制服務(wù)器301-1通過信號接收部件310����,接收從通信裝置302_1送來的 INVITE方式。在解碼化判斷部件311中也可以通過解碼化請求參數(shù)(例jession-Policy) 的值判斷是解碼化請求或者是通過已設(shè)定已加密的第一保密密鑰的recipienthfos(參照圖21的1005)的解碼化可否判斷解碼化請求�。在有解碼化請求時,保密密鑰解碼化部件312參照第一保密密鑰已存儲的數(shù)據(jù) (recipienthfos)(參照圖21的1006)的類型��,判斷通過對應(yīng)于哪一個第二保密密鑰的第二解碼化密鑰解碼化后��,進(jìn)行第一保密密鑰的解碼化�,將解碼化密鑰交付信號解碼化部件 314。通過加密信息的解碼化��,能夠參照及/或變更通信裝置之間的控制信息�,將必要的信息提供給會話控制部件315。根據(jù)需要�����,在會話控制部件315變更通信裝置之間的控制信息���。接著��,直接使用第一保密密鑰或者使用在保密密鑰生成部件316上已新生成的第一保密密鑰�����,將在會話控制部件315上已變更后的信息加密���。第一保密密鑰通過通信裝置302-1用的第二保密密鑰(公開密鑰或事前共用密鑰)將信息加密。在能夠信賴會話控制服務(wù)器301-2時����,也可以通過會話控制服務(wù)器301-2 用的第二保密密鑰加密。會話控制服務(wù)器301-1在會話控制部件315中����,對于從通信裝置 302-1接收的INVITE方式進(jìn)行處理(必要的參數(shù)變更等)��,通過信號發(fā)送部件319將INVITE 方式發(fā)送到會話控制服務(wù)器301-2��。會話控制服務(wù)器301-2通過信號接收部件310接收從會話控制服務(wù)器301_1 發(fā)來的INVITE方式�����。也可以在解碼化判斷部件311中通過解碼化請求參數(shù)(例 Session-Policy)的值判斷解碼化請求�,或者通過已設(shè)定已加密的第一保密密鑰的 recipientInf0S(參照圖21的1006)的解碼化可否��,判斷解碼化請求�����。在無解碼化請求或不可解碼化時�,通過會話控制部件315以能夠參照的信息為基礎(chǔ),進(jìn)行對INVITE方式的處理(必要的參數(shù)變更等)�����,通過信號發(fā)送部件319將INVITE方式發(fā)送到通信裝置302-2���。收到信號的通信裝置302-2將通過信號接收部件328收到的信號加密��,在第一保密密鑰被加密而附加時��,使用對應(yīng)于自身第一保密密鑰的第二解碼化密鑰(在第一保密密鑰是公開密鑰時�,則是秘密密鑰�����,或者如果第二保密密鑰是事前共用密鑰����,則同事前共用密鑰),通過保密密鑰解碼化部件327解碼化���,得到第一保密密鑰��。使用此第一保密密鑰��,通過信號解碼化部件3 將已加密的信息解碼化����,因此能夠參照信息�����。將該信息提供給會話控制部件321。根據(jù)需要����,會話控制部件321生成要發(fā)送的信息,同時與會話及對向裝置對應(yīng)����,將保密密鑰存儲在保密密鑰再使用部件325中。例如��,會話控制部件321作為對應(yīng)于INVITE 方式的響應(yīng)信號���,發(fā)送到圖22的1100����。關(guān)于要發(fā)送的信息�����,使用存儲中的第一保密密鑰���,通過信號加密部件3M將信息加密�,通過信號發(fā)送部件320發(fā)送。另外���,為了檢出有無涂改�����,對于加密的信息905也可以附加數(shù)字簽名。(應(yīng)用例5參照權(quán)利要求42)以后的會話繼續(xù)信號����,例如,MESSAGE方式從通信裝置302_1經(jīng)由會話控制服務(wù)器 301-1���、301-2���,發(fā)送到通信裝置302-2。通信裝置302-1使用以會話單位記錄的第一保密密鑰�,將MESSAGE方式中設(shè)定的信息加密。不附加第一保密密鑰����,而發(fā)送包含已加密的信息的 MESSAGE 方式。
收到該信號的通信裝置302-2在保密密鑰再使用部件325中以會話和對向裝置的識別符為密鑰�,取得存儲中的第一保密密鑰,通過第一保密密鑰將加密信息解碼化。(應(yīng)用例6參照權(quán)利要求38���、39)在會話控制服務(wù)器301-1中也使用以會話和對向裝置單位存儲著的第一保密密鑰���,將加密信息解碼化。(應(yīng)用例7參照權(quán)利要求43)另外�,經(jīng)過一定時間之后,在通信裝置302-1將MESSAGE方式經(jīng)由會話控制服務(wù)器
301-1���、301-2發(fā)送到通信裝置302-2時����,通過保密密鑰更新部件329���,更新第一保密密鑰��。采用已更新的保密密鑰將信息加密�����,作為S/MIME的Enveloped-Data而設(shè)定���。加密中已使用的密鑰(已更新的第一保密密鑰)通過會話控制服務(wù)器的公開密鑰 (第二保密密鑰)加密�����,作為Enveloped-Data中的recipientlnfos而設(shè)定�����。通信裝置302-2 —旦接收附加已更新的第一保密密鑰的加密信號����,就將已更新的第一保密密鑰存儲在保密密鑰再使用部件325中����。(應(yīng)用例8參照權(quán)利要求45)接收附加已更新的第一保密密鑰的加密信號的會話控制服務(wù)器301-1將已更新的第一保密密鑰存儲在保密密鑰再使用部件325中�。(實(shí)施例8)圖M是本發(fā)明實(shí)施例8的通信方法的說明圖。在這里����,表示的是以會話控制服務(wù)器301-1在會話建立中得到的信息為基礎(chǔ),變更NATT/防火墻裝置303的過濾條件的例����。例如,會話控制服務(wù)器301-1從通信裝置302-1收到的信號是依據(jù)RFC3261的SIP 消息之一的INVITE方式���,其消息中包含的通信裝置之間的控制信息(SDP)假定已加密�。在會話控制服務(wù)器301-1中參照在保密密鑰解碼化部件312中已存儲第一保密密鑰的數(shù)據(jù) (recipientlnfos)(參照圖22的1006)的類型,判斷通過哪一個密鑰解碼化后���,進(jìn)行第一保密密鑰的解碼化�����。通過第一保密密鑰將加密信息(參照圖22的1005)解碼化���,從而能夠參照或能夠變更通信裝置之間的控制信息(例如,通信裝置302-1的主信息通信通路的IP地址和端口編號)���。以此信息為基礎(chǔ)����,在NAT/防火墻控制部件330中對于遠(yuǎn)程N(yùn)AT/防火墻裝置303 請求過濾條件變更(指示寄給特別指定IP地址及端口編號的數(shù)據(jù)包從非特別指定IP地址通過)����。另外,會話控制服務(wù)器301-1能夠變更主信息通信通路的IP地址及端口編號等通信裝置之間的控制信息�����。會話控制服務(wù)器301-1然后將從通信裝置302-2收到的信號是SIP消息之一的 2000K響應(yīng)、且其消息中包含的通信裝置之間的控制信息(SDP)加密����。通過采用已存儲在解碼化密鑰再使用部件313中的第一保密密鑰,將加密信息解碼化����,從而能夠參照通信裝置
302-2的主信息通信通路的IP地址及端口編號等通信裝置之間的控制信息。以此信息為基礎(chǔ)��,在NAT/防火墻控制部件330中對于遠(yuǎn)程N(yùn)AT/防火墻裝置303���, 請求過濾條件變更(指示寄給特別指定IP地址及端口編號的數(shù)據(jù)包從特別指定IP地址通過)�����。因此,在NAT/防火墻裝置303中關(guān)于通信裝置302-1和通信裝置302-2之間的主信息的數(shù)據(jù)包能夠通過����。然后,一旦從通信裝置302-1或302-2接收SIP消息的切斷信號��,即BYE方式�,則會話控制服務(wù)器301-1在NAT/防火墻控制部件330中對于NAT/防火墻裝置303�,請求過濾條件變更(指示寄給指定IP地址及端口編號的數(shù)據(jù)包不從指定IP地址通過)�。如本實(shí)施例中所示,通過由通信裝置安全地公開信號內(nèi)信息的會話控制服務(wù)器
301-1�,以會話單位進(jìn)行NAT/防火墻控制,能夠提高存取控制的精度�。由于不能公開信息的會話控制服務(wù)器301-2不能參照主信息的通路信息,因此主信息的監(jiān)視變得困難���,能夠提高主信息通信的秘密性��。(實(shí)施例9)圖25是本發(fā)明實(shí)施例9的通信方法的說明圖����。在這里�����,表示的是以會話控制服務(wù)器在會話建立中得到的信息為基礎(chǔ)�,對于已加密的主信息也能夠進(jìn)行通信記錄的例。例如�,來自通信裝置302-1的發(fā)送信號是依據(jù)RFC3^1的SIP消息之一的INVITE 方式,在其消息中包含的通信裝置信息SDP已被加密�。在SDP中不僅包含用于通信裝置
302-1與通信裝置302-2之間的主信息通信時的IP地址、端口編號��,而且包含用于主信息加密的密鑰信息。會話控制服務(wù)器301-1具有主信息通信記錄部件131和主信息解碼化部件132��,對于遠(yuǎn)程N(yùn)AT/防火墻裝置303發(fā)送指示�����。不僅指示實(shí)施例8的過濾條件變更請求�,而且指示主信息轉(zhuǎn)送。在會話控制服務(wù)器的主信息通信接收部件131中從NAT/防火墻裝置303接收主信息�。如果主信息已加密, 則采用已取完的主信息加密的密鑰信息����,在主信息解碼化部件132中進(jìn)行解碼化。解碼化一旦正常結(jié)束�����,即記錄其信息��。由于會話控制服務(wù)器301-2不能將加密信息解碼化�����,因此不能參照通信裝置信息 SDP���,不能參照SDP中包含的用于主信息加密的密鑰信息���。所以,以網(wǎng)絡(luò)內(nèi)的監(jiān)視裝置監(jiān)視主信息�,主信息已被加密,也不能解碼化����。這樣,如果主信息即使已被加密�,則通過特別指定的可信賴的會話控制服務(wù)器,進(jìn)行已解碼化的主信息記錄�����,也能夠監(jiān)視通信信息����。這樣,采用本實(shí)施例的通信方法�,對于進(jìn)行任意信號中繼的會話控制服務(wù)器,信息能夠公開/變更�,安全地發(fā)送信息,能夠通過特別指定的會話控制服務(wù)器進(jìn)行通信控制。另外����,如果將上述實(shí)施例7、8及9中說明的步驟程序化���,將程序預(yù)先存儲在CD-ROM 等記錄介質(zhì)上��,則在程序銷售及出租時��,是方便的���。另外,通過將記錄介質(zhì)安裝在會話控制服務(wù)器的電腦及通信裝置的電腦上����,裝入程序,并執(zhí)行��,從而能夠容易實(shí)現(xiàn)本發(fā)明����。如以上說明,根據(jù)本發(fā)明��,不通過連接結(jié)構(gòu)�,就能夠僅對特別指定的會話控制服務(wù)器及終點(diǎn)用戶公開信號信息。另外�����,不僅能夠通過會話控制服務(wù)器進(jìn)行信息參照��,而且也能夠變更��。因此��,可發(fā)揮能確保與可信賴的地址之間安全性的顯著效果�。
權(quán)利要求
1.一種通信裝置,通過網(wǎng)絡(luò)連接而能夠與會話控制服務(wù)器通信�,并經(jīng)由1個以上的該會話控制服務(wù)器與其它通信裝置之間進(jìn)行信號發(fā)送和接收,從而建立與該其它通信裝置的會話�,其特征在于設(shè)有為了保持發(fā)送信號的秘密性而發(fā)送已加密的信息時,生成用于加密的第一保密密鑰的部件�;采用該第一保密密鑰將信息加密的部件;通過任意第二保密密鑰將該第一保密密鑰加密的部件�;以及發(fā)送包含附加已加密的該第一保密密鑰,且通過該第一保密密鑰已加密的信息的信號的部件��;通過第二保密密鑰將該第一保密密鑰加密的部件�,通過僅可允許參照信號內(nèi)信息或可允許參照和變更信號內(nèi)信息雙方的1個會話控制服務(wù)器的第二保密密鑰�����,將第一保密密鑰加密�,發(fā)送通過該第一保密密鑰已加密的信息的部件���,發(fā)送所述已加密的第一保密密鑰�����、通過該第一保密密鑰已加密的信息以及對該會話控制服務(wù)器的解碼化請求指示或者對該會話控制服務(wù)器的解碼化請求指示和變更允許通知����。
2.一種會話控制服務(wù)器��,通過網(wǎng)絡(luò)連接而能夠與多個通信裝置�、其它會話控制服務(wù)器通信,并接收從發(fā)送側(cè)的通信裝置或該其它會話控制服務(wù)器發(fā)送來的信號���,將接收的信號發(fā)送到接收側(cè)的通信裝置或該其它會話控制服務(wù)器���,從而建立與所述發(fā)送側(cè)的通信裝置和所述接收側(cè)的通信裝置的會話,其特征在于設(shè)有接收包含附加已加密的第一保密密鑰�、且通過該第一保密密鑰已加密的信息的信號的部件����;通過對應(yīng)于自身第二保密密鑰的第二解碼化密鑰將第一保密密鑰解碼化的部件���; 采用解碼化而得到的第一保密密鑰將信息解碼化的部件; 通過任意第二保密密鑰將解碼化而得到的第一保密密鑰加密的部件����;以及發(fā)送包含附加通過任意第二保密密鑰已加密后,再解碼化而得到的第一保密密鑰����、且通過解碼化而得到的第一保密密鑰已加密的信息的信號的部件;所述接收部件接收包含已加密的信息的信號時����,判斷有無解碼化請求,通過對應(yīng)于該第二保密密鑰的第二解碼化密鑰將保密密鑰解碼化����;或者通過對應(yīng)于該第二保密密鑰的第二解碼化密鑰將該保密密鑰解碼化,判斷有無解碼化請求���;或者通過進(jìn)行其兩者�,取得該第一保密密鑰;所述信息解碼化部件將通過該第一保密密鑰已加密的信息解碼化�����; 進(jìn)而����,所述加密部件,經(jīng)由信號發(fā)送和接收時且通過僅可允許公開或可允許公開和變更雙方的所述其它會話控制服務(wù)器的第二保密密鑰或者發(fā)送目標(biāo)的通信裝置的第二保密密鑰�,將已取得的第一保密密鑰加密;所述發(fā)送部件���,發(fā)送已加密的該第一保密密鑰����、通過已取得的第一保密密鑰已加密的信息以及在第二保密密鑰是該其它會話控制服務(wù)器的保密密鑰時對該其它會話控制服務(wù)器的解碼化請求指示或者對該其它會話控制服務(wù)器的解碼化請求指示和變更允許通知�。
3.如權(quán)利要求2記載的會話控制服務(wù)器,其特征在于 不但設(shè)有所述各部件�����,而且設(shè)有在為了保持發(fā)送信號的秘密性而發(fā)送包含已加密的信息的信號時�,生成用于加密的新第一保密密鑰的部件;采用已生成的該第一保密密鑰將信息加密的部件���; 通過任意第二保密密鑰將已生成的該第一保密密鑰加密的部件��;和發(fā)送包含附加通過該第二保密密鑰已加密的已生成的第一保密密鑰����,且通過已生成的該第一保密密鑰已加密的信息的信號的部件,所述第一保密密鑰的加密部件��,經(jīng)由信號發(fā)送和接收時且通過僅可允許參照��、或允許參照和變更雙方的其它會話控制服務(wù)器的第二保密密鑰或者發(fā)送目標(biāo)的通信裝置的第二保密密鑰����,將已生成的該第一保密密鑰加密����,所述發(fā)送部件,發(fā)送已加密的已生成的該第一保密密鑰�、通過已生成的該第一保密密鑰已加密的信息以及在第二保密密鑰是該其它會話控制服務(wù)器的保密密鑰時對該其它會話控制服務(wù)器的解碼化請求指示或者對該其它會話控制服務(wù)器的解碼化請求指示和變更允許通知。
4.如權(quán)利要求2記載的會話控制服務(wù)器�,其特征在于設(shè)有 以會話及對向裝置單位存儲所述第一保密密鑰的部件;以及在同一會話中且在同一對向裝置內(nèi)信息的加密及解碼化至少任何之一中再使用該第一保密密鑰的再使用部件�����。
5.如權(quán)利要求1記載的通信裝置,其特征在于設(shè)有 以會話和對向裝置單位存儲所述第一保密密鑰的部件����; 采用該第一保密密鑰將信息加密的部件;發(fā)送包含通過該第一保密密鑰已加密的信息的信號的部件����; 接收包含通過該第一保密密鑰已加密的信息的信號的部件;以及采用該第一保密密鑰將信息解碼化的部件��,其中�,在同一會話內(nèi)的信息加密及解碼化至少任何之一中使用該存儲的部件中存儲的第一保密密鑰。
6.如權(quán)利要求1記載的通信裝置��,其特征在于設(shè)有周期性地更新以會話及對向裝置單位管理的第一保密密鑰的部件�,該更新部件設(shè)有,新生成第一保密密鑰的部件����;通過任意第二保密密鑰或已存儲的第一保密密鑰,將該第一保密密鑰加密的保密密鑰加密部件����;以及發(fā)送包含附加通過任意的第二保密密鑰已加密的該第一保密密鑰且通過該第一保密密鑰已加密的信息的信號的部件。
7.如權(quán)利要求1記載的通信裝置,其特征在于設(shè)有周期性地更新以會話和對向裝置單位管理的第一保密密鑰的部件��; 接收包含附加通過任意第二保密密鑰或已存儲的第一保密密鑰已加密的���、新的第一保密密鑰��,且通過該第一保密密鑰已加密的信息的信號的部件���; 采用更新的新第一保密密鑰將信息加密的部件;以及將更新的新的保密密鑰與已加密的信息一起發(fā)送的部件�,該發(fā)送部件發(fā)送附加通過所述任意的第二保密密鑰或所述已存儲的第一保密密鑰已加密的新的第一保密密鑰,且通過該第一保密密鑰已加密的信息�����。
8.權(quán)利要求2記載的會話控制服務(wù)器�,其特征在于設(shè)有周期性地更新以會話和對向裝置單位管理的第一保密密鑰的部件�; 接收包含附加通過任意第二保密密鑰或已存儲的第一保密密鑰已加密的、新的第一保密密鑰���,且通過該第一保密密鑰已加密的信息的信號的部件���; 采用更新的新第一保密密鑰將信息加密的部件;以及將更新的新的保密密鑰與已加密的信息一起發(fā)送的部件��,該發(fā)送部件發(fā)送包含附加通過所述任意第二保密密鑰或所述已存儲的第一保密密鑰已加密的新的第一保密密鑰,且通過該第一保密密鑰已加密的信息��。
9.一種通信系統(tǒng)�����,通過網(wǎng)絡(luò)連接而能夠相互通信�,通過通信裝置相互之間進(jìn)行信號發(fā)送、接收而建立會話�,其特征在于設(shè)有會話控制服務(wù)器、通信裝置�����、接收包含附加已加密的第一保密密鑰且已加密的信息的信號的部件�、接收側(cè)通信裝置和發(fā)送側(cè)通信裝置;該會話控制服務(wù)器設(shè)有接收包含附加已加密的第一保密密鑰�、通過該第一保密密鑰已加密的信息的信號的部件;通過對應(yīng)于自身第二保密密鑰的第二解碼化密鑰將第一保密密鑰解碼化的部件�����;采用解碼化而得到的第一保密密鑰將信息解碼化的部件�;通過任意第二保密密鑰將解碼化而得到的第一保密密鑰加密的部件;以及發(fā)送包括附加通過任意第二保密密鑰已加密后、再解碼化而得到的第一保密密鑰��、且通過解碼化而得到的第一保密密鑰已加密的信息的信號的部件��,該會話控制服務(wù)器在所述接收部件接收已加密的信息時�����, 判斷有無解碼化請求����,通過對應(yīng)于該第二保密密鑰的第二解碼化密鑰將保密密鑰解碼化; 或者通過對應(yīng)于該第二保密密鑰的第二解碼化密鑰將該保密密鑰解碼化���,判斷有無解碼化請求��;或者通過進(jìn)行其兩者�����,取得該第一保密密鑰,所述信息解碼化部件通過該第一保密密鑰將已加密的信息解碼化���,進(jìn)而�,所述加密部件經(jīng)由發(fā)送和接收信號時且通過僅可允許公開或可允許公開和變更雙方的其它會話控制服務(wù)器的第二保密密鑰或者發(fā)送目標(biāo)的通信裝置的第二保密密鑰,將已取得的第一保密密鑰加密����,所述發(fā)送部件,發(fā)送已加密的該第一保密密鑰����、通過已取得的該第一保密密鑰已加密的信息以及在第二保密密鑰是該其它會話控制服務(wù)器的保密密鑰時對該其它會話控制服務(wù)器的解碼化請求指示; 該通信裝置為如下的通信裝置所述通信裝置設(shè)有為了保持發(fā)送信號的秘密性而發(fā)送包含已加密的信息的信號時生成用于加密的第一保密密鑰的部件����;采用該第一保密密鑰將信息加密的部件;通過任意第二保密密鑰將該第一保密密鑰加密的部件���;以及發(fā)送包含附加已加密的該第一保密密鑰且通過該第一保密密鑰已加密的信息的信號的部件����,所述通信裝置通過第二保密密鑰將該第一保密密鑰加密的部件通過僅可允許公開或可允許公開和變更雙方的1個會話控制服務(wù)器的第二保密密鑰或者發(fā)送目標(biāo)的通信裝置的第二保密密鑰�����,將第一保密密鑰加密��,發(fā)送包含通過該第一保密密鑰已加密的信息的信號的部件�,發(fā)送所述已加密的第一保密密鑰���、 通過該第一保密密鑰已加密的信息以及在該第二保密密鑰是所述會話控制服務(wù)器的保密密鑰時對該會話控制服務(wù)器的解碼化請求指示;或者為如下的通信裝置�����,所述通信裝置不但設(shè)有所述各部件��,而且設(shè)有在為了保持發(fā)送信號的秘密性而發(fā)送包含已加密的信息的信號時�,生成用于加密的新第一保密密鑰的部件;采用已生成的該第一保密密鑰將信息加密的部件�����;通過任意第二保密密鑰將已生成的該第一保密密鑰加密的部件����;以及發(fā)送包含附加通過該第二保密密鑰已加密的已生成的第一保密密鑰,且通過已生成的該第一保密密鑰已加密的信息的信號的部件��,所述第一保密密鑰的加密部件經(jīng)由發(fā)送和接收信號時且通過僅可允許參照或可允許參照和變更雙方的其它會話控制服務(wù)器的第二保密密鑰或者發(fā)送目標(biāo)的通信裝置的第二保密密鑰�����,將已生成的該第一保密密鑰加密����, 所述發(fā)送部件,發(fā)送已加密的已生成的該第一保密密鑰���、通過已生成的該第一保密密鑰已加密的信息以及在第二保密密鑰是該其它會話控制服務(wù)器的保密密鑰時對該其它會話控制服務(wù)器的解碼化請求指示�;該接收側(cè)通信裝置設(shè)有將該第一保密密鑰解碼化的部件����;通過該第一保密密鑰將信息解碼化的部件;以會話和對向裝置單位存儲該第一保密密鑰的部件����;采用該第一保密密鑰將信息加密的部件;以及發(fā)送包含通過該第一保密密鑰已加密的信息的信號的部件����,該接收側(cè)通信裝置在同一會話內(nèi)的信息加密及解碼化至少任何之一中使用該存儲的部件存儲的第一保密密鑰,該發(fā)送側(cè)通信裝置設(shè)有以會話和對向裝置單位存儲所述第一保密密鑰的部件��;采用該第一保密密鑰將信息加密的部件�;發(fā)送包含通過該第一保密密鑰已加密的信息的信號的部件;接收包含通過該第一保密密鑰已加密的信息的信號的部件�����;以及采用該第一保密密鑰將信息解碼化的部件,該發(fā)送側(cè)通信裝置在同一會話內(nèi)的信息加密及解碼化至少任何之一中使用該存儲的部件存儲的第一保密密鑰�。
10.如權(quán)利要求9記載的通信系統(tǒng),其特征在于所述會話控制服務(wù)器還設(shè)有以會話和對向裝置單位存儲所述第一保密密鑰的部件�����; 在同一會話中且同一對向裝置內(nèi)的信息加密及解碼化至少任何之一中再使用該第一保密密鑰的再使用部件���;所述接收側(cè)通信裝置還設(shè)有接收包含附加已加密的第一保密密鑰且已加密的信息的信號的部件�;將第一保密密鑰解碼化的部件�����;通過該第一保密密鑰將信息解碼化的部件��; 以會話和對向裝置單位存儲該第一保密密鑰的部件��;采用該第一保密密鑰將信息加密的部件��;以及發(fā)送包含通過該第一保密密鑰已加密的信息的信號的部件�����,所述接收側(cè)通信裝置在同一會話內(nèi)的信息加密及解碼化至少任何之一中使用該存儲的部件存儲的第一保密密鑰�����;所述發(fā)送側(cè)通信裝置還設(shè)有以會話和對向裝置單位存儲所述第一保密密鑰的部件��; 采用該第一保密密鑰將信息加密的部件��;發(fā)送包含通過該第一保密密鑰已加密的信息的信號的部件�����;接收包含通過該第一保密密鑰已加密的信息的信號的部件����;以及采用該第一保密密鑰將信息解碼化的部件,所述發(fā)送側(cè)通信裝置在同一會話內(nèi)的信息加密及解碼化至少任何之一中使用該存儲的部件存儲的第一保密密鑰���。
11.如權(quán)利要求9記載的通信系統(tǒng)���,其特征在于設(shè)有會話控制服務(wù)器、發(fā)送側(cè)通信裝置和發(fā)送側(cè)或者接收側(cè)通信裝置�,其中所述會話控制服務(wù)器設(shè)有周期性地更新以所述會話和對向裝置單位管理的第一保密密鑰的部件;接收包含附加通過任意第二保密密鑰或已存儲的第一保密密鑰已加密的新的第一保密密鑰且通過該第一保密密鑰已加密的信息的信號的部件��;采用已更新的新的第一保密密鑰將信息加密的部件�����;以及將已更新的新的保密密鑰與已加密的信息一起發(fā)送的部件,所述發(fā)送部件發(fā)送包含附加通過任意第二保密密鑰或所述已存儲的第一保密密鑰已加密的新的第一保密密鑰且通過該第一保密密鑰已加密的信息的信號���;所述發(fā)送側(cè)通信裝置設(shè)有以會話和對向裝置單位存儲所述第一保密密鑰的部件�����;采用該第一保密密鑰將信息加密的部件�����;發(fā)送包含通過該第一保密密鑰已加密的信息的信號的部件��;接收包含通過該第一保密密鑰已加密的信息的信號的部件�����;以及采用該第一保密密鑰將信息解碼化的部件����,在同一會話內(nèi)的信息加密及解碼化至少之一中使用該存儲的部件已存儲第一保密密鑰�;所述發(fā)送側(cè)或者接收側(cè)通信裝置設(shè)有周期性地更新以所述會話和對向裝置單位管理的第一保密密鑰的部件,該更新部件設(shè)有新生成第一保密密鑰的部件;通過任意第二保密密鑰將該第一保密密鑰加密的保密密鑰加密部件���;以及發(fā)送包含附加通過任意第二保密密鑰已加密的該第一保密密鑰且通過該第一保密密鑰已加密的信息的信號的部件����。
12.一種通信方法����,將發(fā)送側(cè)通信裝置中生成的會話控制信號經(jīng)由可信賴的會話控制服務(wù)器和不可信賴的會話控制服務(wù)器發(fā)送到接收側(cè)通信裝置�����,其特征在于該發(fā)送側(cè)通信裝置通過會話控制服務(wù)器的已公開的第二保密密鑰�����,將已用于加密的第一保密密鑰加密����;將該會話控制服務(wù)器中表示解碼化請求的值和要解碼化的內(nèi)容ID包含而發(fā)送; 該會話控制服務(wù)器通過解碼化請求參數(shù)的值判斷解碼化請求����,或者通過可否進(jìn)行已設(shè)定已加密的第一保密密鑰的數(shù)據(jù)解碼化來判斷解碼化請求;在有解碼化請求時,通過對應(yīng)于第二保密密鑰的第二解碼化密鑰解碼化�����,能夠參照或變更通信裝置之間的控制信息����;在變更通信裝置之間的控制信息后,采用直接使用該第一保密密鑰���,或者采用新生成的第一保密密鑰將變更后的信息加密���,發(fā)送到下一個會話控制服務(wù)器或接收側(cè)通信裝置。
13.—種通信方法����,以會話控制服務(wù)器在會話建立中得到的信息為基礎(chǔ),變更NAT/防火墻裝置的過濾條件�����,其特征在于會話控制服務(wù)器在判斷解碼化的解碼化密鑰之后�,進(jìn)行第一保密密鑰的解碼化,通過該第一保密密鑰將加密信息解碼化����,能夠參照或變更通信裝置之間的控制信息����; 以該控制信息為基礎(chǔ)����,對于NAT/防火墻裝置請求過濾條件的變更; 然后��,將從接收側(cè)通信裝置收到的通信裝置之間的控制信息解碼化����,能夠參照或變更通信裝置之間的控制信息����;以該控制信息為基礎(chǔ),對于NAT/防火墻裝置請求過濾條件的變更��,在NAT/防火墻裝置中使通信裝置相互之間的主信息的數(shù)據(jù)包通過�����。
14.一種通信方法��,以會話控制服務(wù)器在會話建立中得到的信息為基礎(chǔ),對于已加密的主信息能夠進(jìn)行通信記錄��,其特征在于會話控制服務(wù)器不僅對于NAT/防火墻裝置請求過濾條件變更����,同時指示主信息轉(zhuǎn)送, 一旦從NAT/防火墻裝置接收主信息�����,在該主信息已加密的情況下�,則在發(fā)送、接收信號時進(jìn)行第一保密密鑰的解碼化�����,采用已取完的主信息加密的密鑰����,將加密信息與通過該第一保密密鑰解碼化而得到的通信裝置之間的控制信息一起解碼化,將該主信息記錄在通信記錄部件中���。
15.一種通信系統(tǒng)�����,將發(fā)送側(cè)通信裝置中已生成的會話控制信號經(jīng)由可信賴的會話控制服務(wù)器和不可信賴的會話控制服務(wù)器發(fā)送到接收側(cè)通信裝置��,其特征在于�����,包括如下部件通過解碼化請求參數(shù)的值判斷解碼化請求�,或者通過可否進(jìn)行已設(shè)定已加密的第一保密密鑰的數(shù)據(jù)解碼化而判斷解碼化請求的部件;在有解碼化請求時�,通過對應(yīng)于第二保密密鑰的第二解碼化密鑰解碼化,能夠參照或變更通信裝置之間的控制信息的部件��;直接使用該第一保密密鑰或者采用新生成的第一保密密鑰��,將變更后的信息加密的部件�;以及發(fā)送到下一個會話控制服務(wù)器或接收側(cè)通信裝置的部件���。
16.一種通信系統(tǒng)��,以會話控制服務(wù)器在會話建立中得到的信息為基礎(chǔ)��,變更NAT/防火墻裝置的過濾條件�,其特征在于�,包括如下部件判斷解碼化的解碼化密鑰的部件��; 進(jìn)行第一保密密鑰解碼化的部件���;通過該第一保密密鑰將加密信息解碼化,能夠參照或變更通信裝置之間的控制信息的部件��;以該控制信息為基礎(chǔ)��,對于NAT/防火墻裝置請求過濾條件變更的部件��; 將從接收側(cè)通信裝置收到的通信裝置之間的控制信息解碼化�,能夠參照或變更通信裝置之間的控制信息的部件;以及以該控制信息為基礎(chǔ)�����,對于NAT/防火墻裝置請求過濾條件變更的部件�。
17.—種通信系統(tǒng),以會話控制服務(wù)器在會話建立中得到的信息為基礎(chǔ)����,對于已加密的主信息進(jìn)行通信記錄,其特征在于����,包括如下部件不僅對于NAT/防火墻裝置請求過濾條件變更�,而且指示主信息轉(zhuǎn)送的部件�; 從NAT/防火墻裝置接收主信息的部件;在該主信息已加密的情況下���,則在發(fā)送����、接收信號時進(jìn)行第一保密密鑰的解碼化�,采用已取完的主信息加密的密鑰,將加密信息與通過該第一保密密鑰解碼化而得到的通信裝置之間的控制信息一起解碼化的部件���;以及將該主信息記錄在通信記錄部件中的部件�����。
全文摘要
一種通過網(wǎng)絡(luò)連接而能夠與會話控制服務(wù)器通信��、通過與會話控制服務(wù)器之間進(jìn)行信號發(fā)送和接收、從而建立與其它通信裝置會話通信裝置�,設(shè)有作成非對稱密鑰對的部件;對于會話控制服務(wù)器請求對非對稱密鑰對之中公開密鑰的證書發(fā)行的請求部件��;從會話控制服務(wù)器接收公開密鑰證書發(fā)行結(jié)束通知的接收部件����;存儲已收到的公開密鑰證書的存儲部件���;對于會話控制服務(wù)器發(fā)送通信裝置位置的登錄請求的發(fā)送部件;以及從會話控制服務(wù)器接收包含有效期間的位置登錄結(jié)束通知的接收部件����,將位置登錄請求和證明書發(fā)行請求總括后的請求發(fā)送。
文檔編號H04L9/08GK102355355SQ201110291349
公開日2012年2月15日 申請日期2004年6月18日 優(yōu)先權(quán)日2003年6月19日
發(fā)明者坂谷精一, 小野久美子, 立元慎也 申請人:日本電信電話株式會社