服務網絡系統以及伺服器裝置的製作方法

2023-04-27 21:39:41 3

專利名稱：服務網絡系統以及伺服器裝置的製作方法
技術領域：
本發明涉及一種服務網絡系統以及伺服器裝置，尤其是涉及考慮到減輕SIP伺服器負荷的服務網絡系統以及伺服器裝置。
背景技術：
在特開2002-108840號公報中，記載的發明是，接受伺服器作為多個內容伺服器的代表接收連接請求，並向客戶端通知許可證和作為連接目的地的內容伺服器的信息。另外，在特開2003-108537號公報中記載的發明是，窗口伺服器作為多個業務伺服器的代表接收連接要求，並向客戶端通知連接目的地的業務伺服器的信息。
在特開2003-209560號公報以及特開2003-178028號公報中，記載的發明是，作為通信開始協議使用SIP(Session Initiation Protocol)，在伺服器進行用戶認證。在特開2003-242119號公報、特開平10-177552號公報以及特開2003-099402號公報中，記載的發明是，作為通信開始協議未使用SIP，但是具有一攬子進行認證的代理認證伺服器。
RFC3261、RFC2246、RFC2327、F.Lindholm的著作《Key ManagementExtensions for SDP and RTSP》是關於SIP的有關IEIF(Internet Engineering TaskForce)標準的文獻。在此，RFC3261，是SIP的RFC(Request for comment(請求注釋))，記載有由TLS(Transport Layer Security(傳輸層安全性))進行用戶的認證和TLS消息的加密的方法。RFC2246是關於TLS的RFC。RFC2327是關於由SIP接收發送會話信息的記述方法(SDPSessionDescription Protocol(會話描述協議))的RFC。在Key Management Extensionsfor SDP and RTSP》中，記載有通過SDP或者RTSP(Real Time StreamingProtocol(實時流協議))交換在通信數據加密中使用的密鑰信息等的方法。
服務提供者在使用多個服務提供伺服器來提供服務的情況下，必須按服務提供伺服器取得並安裝電子證明書。另外，當服務提供伺服器各自與SIP伺服器進行通信時，因為SIP伺服器必須按每一個服務提供伺服器來保存通信會話信息，所以處理負荷增大。
在特開2002-108840號公報或者特開2003-108537號公報記載的發明中，接受伺服器或者窗口伺服器與客戶端的通信以HTTP(Hyper TextTransportation Protocol(超文本傳輸協議))來進行，沒有考慮SIP。在特開2003-209560號公報中記載的發明，停留在客戶端取得作為連接目的地的伺服器的IP位址的方法。
在特開2003-178028號公報記載的發明中記載了連接到網絡的管理伺服器和連接到管理伺服器的認證伺服器，記載了將數據供給側的終端註冊到數據要求側的終端的發明。在特開2003-242119號公報或者特開平10-177552號公報記載的發明，認證伺服器作為代表伺服器接收來自客戶端的服務連接要求，但是因為服務提供也要經過認證伺服器來進行，所以認證伺服器就成為瓶頸。在特開2003-099402號公報的發明中，記載了認證代理伺服器，但是該認證代理伺服器不過是代替服務提供業者將認證委託給通信運營商伺服器。
如上所述，在專利文獻1至7中記載的發明，無論是通過單獨或者組合都沒有提供本發明要解決的課題的解決方法。此外，在服務提供伺服器的前段也考慮到設置進行認證和加密的負荷分散裝置的結構，但是在此情況下，負荷分散裝置就成為處理的瓶頸。

發明內容
作為多個服務提供伺服器的代表的伺服器裝置，將SIP伺服器認證或SIP消息交換作為代表來實施，將由SIP消息交換取得的客戶端通信信息(加密通信信息、消息認證信息)通知到服務提供伺服器。服務提供伺服器，根據從代表伺服器通知的客戶端通信信息與客戶端進行通信。


圖1是說明系統構成的一實施例的方框圖。
圖2是說明客戶端硬體結構的一實施例的方框圖。
圖3是說明代表伺服器硬體結構的一實施例的方框圖。
圖4是說明服務提供伺服器硬體結構的一實施例的方框圖。
圖5A是說明客戶端、SIP伺服器、代表伺服器、服務提供伺服器間的通信的一實施例的遷移圖(其1)。
圖5B是說明客戶端、SIP伺服器、代表伺服器、服務提供伺服器間的通信的一實施例的遷移圖(其2)。
圖6是說明客戶端處理流程的一實施例圖。
圖7A是說明代表伺服器處理流程的一實施例圖(其2)。
圖7B是說明代表伺服器處理流程的一實施例圖(其2)。
圖8是說明服務提供伺服器處理的一實施例的流程圖。
圖9是說明代表伺服器擁有的伺服器選擇表的一實施例圖。
圖10是說明代表伺服器擁有的通信設定表的一實施例圖。
圖11是說明代表伺服器擁有的服務連接表的一實施例圖。
圖12是說明從客戶端發往SIP伺服器的服務連接請求的構成和消息頭的一實施例圖。
圖13是說明從客戶端發往SIP伺服器的服務連接請求的消息體的一實施例圖。
圖14是說明從代表伺服器發往SIP伺服器的服務連接應答的構成和消息頭的一實施例圖。
圖15是說明從代表伺服器發往SIP伺服器的服務連接應答的消息體的一實施例圖。
圖16是說明從代表伺服器發往服務提供伺服器的客戶端通信信息設定請求的構成和消息體的一實施例圖。
圖17是說明從服務提供伺服器發往代表伺服器的客戶端通信信息設定應答的構成和消息體的一實施例圖。
圖18是說明從客戶端發往SIP伺服器的服務切斷請求的構成和消息頭的一實施例圖。
圖19是說明從客戶端發往SIP伺服器的服務切斷請求的消息體的一實施例圖。
圖20是說明從代表伺服器發往SIP伺服器的服務切斷應答的構成和消息頭的一實施例圖。
圖21是說明從代表伺服器發往SIP伺服器的服務切斷應答的消息體的一實施例圖。
圖22是說明從代表伺服器發往服務提供伺服器的客戶端通信信息消除請求的構成和消息體的一實施例圖。
圖23是說明從服務提供伺服器發往代表伺服器的客戶端通信信息消除應答的構成和消息體的一實施例圖。
圖24是說明在服務提供伺服器與客戶端之間進行通信的數據的構成的一實施例圖。
圖25是說明服務提供伺服器與客戶端之間進行通信的加密數據的構成的一實施例圖。
圖26A是實施例2的代表伺服器的處理流程圖(其1)。
圖26B是實施例2的代表伺服器的處理流程圖(其2)。
圖27是實施例2的服務提供伺服器的處理流程圖。
圖28是說明從實施例2的代表伺服器發往服務提供伺服器的客戶端通信信息設定請求的結構和消息體的圖。
圖29是說明從實施例2的服務提供伺服器發往代表伺服器的客戶端通信信息設定應答的結構和消息體的圖。
具體實施例方式
對於以下本發明的實施方式使用實施例並參照附圖進行說明。
『實施例1』使用圖1至圖25來說明本發明的實施例1。在此，圖1是說明系統構成的方框圖。圖2是說明客戶端硬體結構的方框圖。圖3是說明代表伺服器硬體結構的方框圖。圖4是說明服務提供伺服器硬體結構的方框圖。圖5是說明客戶端、SIP伺服器、代表伺服器、服務提供伺服器間通信的遷移圖。圖6是說明客戶端的處理流程圖。圖7是代表伺服器的處理流程圖。圖8是服務提供伺服器的處理流程圖。圖9是說明代表伺服器擁有的伺服器選擇表的圖。圖10是說明代表伺服器擁有的通信設定表的圖。圖11是說明代表伺服器持有的服務連接表的圖。
圖12是說明從客戶端發往SIP伺服器的服務連接請求的構成和消息頭的圖。圖13是說明從客戶端發往SIP伺服器的服務連接請求的消息體的圖。圖14是說明從代表伺服器發往SIP伺服器的服務連接應答的構成和消息頭的圖。圖15是說明從代表伺服器發往SIP伺服器的服務連接應答的消息體的圖。圖16是說明從代表伺服器發往服務提供伺服器的客戶端通信信息設定請求的構成和消息體的圖。圖17是說明從服務提供伺服器發往代表伺服器的客戶端通信信息設定應答的構成的圖。圖18是說明從客戶端發往SIP伺服器的服務切斷請求的構成和消息頭的圖。圖19是說明從客戶端發往SIP伺服器的服務切斷請求的消息體的圖。圖20是說明從代表伺服器發往SIP伺服器的服務切斷應答的構成和消息頭的圖。圖21是說明從代表伺服器發往SIP伺服器的服務切斷應答的消息體的圖。圖22是說明從代表伺服器發往服務提供伺服器的客戶端通信信息消除請求的構成和消息體的圖。圖23是說明從服務提供伺服器發往代表伺服器的客戶端通信信息消除應答的構成和消息體的圖。圖24是說明在服務提供伺服器與客戶端之間進行通信的數據構成的圖。圖25是說明服務提供伺服器與客戶端之間進行通信的加密數據構成的圖。
在圖1所示的服務網絡系統100中，在網絡50-1上連接有多個客戶端10(10-1、10-2、…)和具有會話管理功能的會話管理伺服器(以下記為SIP伺服器)20和代表伺服器30和多個服務提供伺服器40(40-1、40-2、…)。代表伺服器30和服務提供伺服器40也被連接到網絡50-2上。作為服務提供伺服器40含有即時消息伺服器、向客戶端提供各種內容信息的內容分配伺服器、支持多個客戶端間電話會議的電話會議伺服器等。
在此，附隨於各客戶端10和代表伺服器30並在括號內顯示的字符串，表示在網絡50-1上轉送的IP包中使用的裝置地址。這些地址都在其一部分中含有SIP伺服器20的地址[aaa.com]，表明這些終端和代表伺服器屬於SIP伺服器。通過SIP伺服器進行各客戶端10和代表伺服器30的連接(會話的設定)以及切斷(會話的終止)。此外，在以下說明中IP位址以客戶端1[[email protected]]192.0.2.1、SIP伺服器192.0.2.2、服務提供伺服器192.0.2.3、代表伺服器[[email protected]]192.0.2.4來進行說明。
為了客戶端和代表伺服器以及客戶端和服務提供伺服器進行通信使用網絡50-1。另一方面，網絡50-2是伺服器室內LAN，用於代表伺服器和服務提供伺服器進行通信。分離網絡50-1和網絡50-2，是為了保護在代表伺服器和服務提供伺服器間接收發送的消息認證參數等秘密信息。在代表伺服器和服務提供伺服器間能進行加密通信時，代表伺服器和服務提供伺服器也可以使用網絡50-1來進行通信。
參照圖2對客戶端的構成進行說明。客戶端10由連接到總線15的處理器(CPU)12、臨時存儲處理器12執行的各種程序與程序參照的各種表的存儲器11、保存各種程序與程序參照的各種表的外部存儲裝置13和與網絡50-1連接的網絡接口14構成。
圖3所示的代表伺服器30，由連接到總線35的處理器(CPU)32、臨時存儲處理器32執行的各種程序與程序參照的各種表的存儲器31、保存各種程序與程序參照的各種表的外部存儲裝置33、與網絡50-1連接的網絡接口34-1和與網絡50-2連接的網絡接口34-2構成。此外，在該代表伺服器的硬體結構中，網絡50-1與網絡50-2，成為物理上被分離、使用各自的網絡接口34-1、34-2進行訪問的結構。可是，通過路由器或防火牆的設定、邏輯上分離網絡50-1和網絡50-2，這樣也可以採用從1個網絡接口訪問網絡50-1和網絡50-2雙方的結構。
圖4所示的服務提供伺服器40是與在圖3中說明過的代表伺服器相同的結構。即，服務提供伺服器40，由連接到總線45的處理器(CPU)42、臨時存儲處理器42執行的各種程序與程序參照的各種表的存儲器41、保存各種程序與程序參照的各種表的外部存儲裝置43、與網絡50-1連接的網絡接口44-1和與網絡50-2連接的網絡接口44-2構成。也可以採用從1個網絡接口訪問網絡50-1和網絡50-2雙方的結構。
在圖5中，首先在SIP伺服器20和代表伺服器30之間通過在非專利文獻1中記載的TLS協商來進行相互認證和加密通信設定(T501稱為SIP伺服器認證)。接著，從代表伺服器30向SIP伺服器20發送登錄自己地址的作為SIP請求的REGISTER請求(REGISTER消息)(T502)。SIP伺服器20登錄了在接收到的REGISTER請求中記載的代表伺服器30的位置(location)之後，向代表伺服器30發送表示正常結束了的SIP響應代碼的200OK(T503)。此外，REGISTER消息必須來信側(被INVITE側)進行實施。
另一方面，在客戶端10-1和SIP伺服器20之間也通過TLS協商預先進行相互認證和加密通信設定(T504)。當從客戶端10-1向SIP伺服器20發送作為服務連接請求的INVITE請求(T506)時，SIP伺服器20在向客戶端10-1發送了表示連接中的100Trying(T507)之後，向代表伺服器30轉送INVITE請求(T508)。代表伺服器30在向SIP伺服器20發送100Trying之後(T59)，向服務提供伺服器40-1發送客戶端通信信息設定請求(T510)。
服務提供伺服器40-1接收客戶端通信信息設定請求，向代表伺服器30回復客戶端通信信息設定應答(T511)。接收了客戶端通信信息設定應答的代表伺服器30向SIP伺服器20發送作為服務連接應答的200OK(T513)。接收了這個的SIP伺服器20同樣向客戶端10-1發送200OK(T513)。
接收了作為服務連接應答的200OK的客戶端10-1向SIP伺服器20發送作為服務連接認證的SIP請求的ACK請求(T514)，接收了這個的SIP伺服器20給代表伺服器30發送ACK請求(T515)。因為服務提供伺服器40-1和客戶端10-1交換了互相的IP位址、埠號碼，所以直接連接服務提供伺服器40-1和客戶端10-1並開始進行服務數據的收發(T517)。
當從客戶端10-1給SIP伺服器20發送作為服務切斷請求的SIP請求的BYE請求(T518)時，接收了這個的SIP伺服器20給代表伺服器30發送BYE請求(T519)。接收了BYE請求的代表伺服器30給服務提供伺服器40-1發送客戶端通信信息消除請求(T520)。接收了通信信息消除請求的服務提供伺服器40-1給代表伺服器30發送通信信息消除應答(T521)，接收了這個的代表伺服器30向SIP伺服器20發送作為服務切斷應答的200OK(T522)。接收了200OK的SIP伺服器20給客戶端發送作為服務切斷應答的200OK(T523)。通過以上，結束通信。此外，通過網絡50-2進行代表伺服器30和服務提供伺服器40之間的通信，通過網絡50-1進行了其它的通信。
其次，對客戶端、代表伺服器、服務提供伺服器的動作進行說明。在圖6中，客戶端10作成使用於與服務提供伺服器直接通信的加密通信信息的候補、消息認證信息的候補(S601)。給SIP伺服器20發送把這些候補設置在了本體的INVITE消息(S602)。此後，客戶端10等待SIP伺服器的應答(S603)，當從SIP伺服器20接收作為服務連接應答的200OK時，解析200OK消息，並取得選擇的加密通信信息、消息認證信息(S604)。
客戶端10在向SIP伺服器20發送了作為服務連接認證請求的ACK消息(S605)之後，使用選擇的密碼通信信息、消息認證信息，在客戶端10與服務提供伺服器40之間進行應用數據的收發(S606)。
客戶端10，此後，給SIP伺服器20發送把加密通信信息、消息認證信息的消去請求設置在本體的BYE消息(S607)。此後，客戶端10成為等待SIP伺服器的應答(S608)，當從SIP伺服器20接收作為服務切斷應答的200OK時，結束服務利用。此外，在步驟603或者步驟608中接收到了錯誤時或者已經超時時，遷移到步驟609或者步驟610的錯誤處理。
在圖7中，當代表伺服器30啟動時，代表伺服器30向SIP伺服器20發送將SIP伺服器30的IP位址(位置)作為接觸(contact)信息設置的REGISTER消息(S701)，等待SIP伺服器20的應答(S702)。當代表伺服器30從SIP伺服器20接收作為位置登錄應答的200 OK時，等待消息的接收(S703)。代表伺服器30當從SIP伺服器20接收INVITE消息時，解析INVITE消息，當取得了客戶端作成的加密通信信息候補、消息認證信息候補和應用信息(S704)之後，參照記錄了服務提供伺服器狀態的伺服器選擇表(在圖9中後述)，選擇與客戶端直接進行通信的服務提供伺服器40-1(S705)。
代表伺服器30，參照登錄了服務提供伺服器40-1可利用的加密通信信息和消息認證信息的通信設定表(在圖10中後述)來選擇利用於客戶端10和服務提供伺服器40進行通信的加密通信信息和消息認證信息(S706)。接著，代表伺服器30將選擇的加密通信信息與消息認證信息以及應用信息作為客戶端通信信息設定請求，向選擇服務提供伺服器40-1進行發送(S707)，並等待來自服務提供伺服器40-1的應答(S708)。
當從服務提供伺服器40-1返回了表示進行正常通信的客戶端通信信息設定應答時，在服務連接表(在圖11中後述)中追加表項，並更新伺服器選擇表。另外，向SIP伺服器20發送包含選擇的加密通信信息和消息認證信息的200OK消息(S709)，並再次成為消息接收等待(S703)。
當接收來自作為服務連接認證的SIP伺服器20的ACK消息時，又一次成為消息等待(S703)。在此狀態中，當從SIP伺服器20接收作為服務切斷請求的BYE消息時，解析BYE消息，參照伺服器選擇表確定對密碼通信信息和消息認證信息進行消去的服務提供伺服器40-1(S711)，向該服務提供伺服器40-1發送客戶端通信信息消除請求(S712)，成為服務提供伺服器40-1的應答等待(S713)。當從服務提供伺服器40-1返回了表示進行正常通信的客戶端通信信息消除應答時，消除服務連接表的表項，更新伺服器選擇表。另外，向SIP伺服器20發送把消去密碼通信信息、消息認證信息，以及切斷服務通知到客戶端的200OK消息(S714)，成為消息接收等待(S703)。此外，在步驟703、步驟707或步驟713中接收到錯誤時，或者已經超時時，遷移到步驟721、步驟722或步驟723的錯誤處理。
在圖8中，當服務提供伺服器40啟動時，服務提供伺服器40，首先成為來自代表伺服器30的請求(請求)接收等待(S801)。當服務提供伺服器40接收客戶端通信信息設定請求時，解析這個請求，取得從代表伺服器30通知的加密通信信息、消息認證信息以及應用信息(S802)。服務提供伺服器40，在客戶端通信信息設定表中設置加密通信信息、消息認證信息以及應用信息，向代表伺服器30發送客戶端通信信息設定應答(S803)。此後服務提供伺服器40，根據加密通信信息、消息認證信息以及應用信息，開始與直接客戶端的服務數據的收發(S804)。以此開始為契機，服務提供伺服器40，服務數據的收發中也遷移到來自代表伺服器30的請求接收等待(S801)。
在服務提供伺服器40，接收了客戶端通信信息處理請求時，解析該請求，停止與該客戶端的服務數據的收發(S805)。服務提供伺服器40，從客戶端通信信息設定表中消去在與該客戶端的通信中使用的加密通信信息、消息認證信息以及應用信息，並向代表伺服器30發送客戶端通信信息消除應答(S806)，並再次遷移到來自代表伺服器30的請求接收等待(S801)。
圖9所示的伺服器選擇表是在代表伺服器30的外部存儲裝置33中記錄的表。伺服器選擇表50由服務提供伺服器號51、客戶端連接數52和響應時間53構成。代表伺服器30，在有新的服務請求時，參照該伺服器選擇表50，從表中的服務提供伺服器之中選擇響應時間小(即負荷少)的服務提供伺服器。
圖10所示的通信設定表是與伺服器選擇表同樣地在代表伺服器30的外部存儲裝置33中記錄的表。通信設定表60，由服務提供伺服器61、該服務提供伺服器可以通信的加密算法62和可以認證該服務提供伺服器的消息認證算法63構成。代表伺服器30在有了新的服務請求時，參照該通信設定表60，從屬下的服務提供伺服器之中，選擇從客戶端提示的選擇中選擇的服務提供伺服器對應的加密算法以及消息認證算法。如果選擇的服務提供伺服器沒有對應，則變更服務提供伺服器。
圖11所示的服務連接表是與伺服器選擇表、通信設定表同樣地在代表伺服器30的外部存儲裝置33中記錄的表。服務連接表70記載有客戶端發送的Call-ID71、作為客戶端地址的From72、作為客戶端的接收目的地地址的To73和作為代表伺服器選擇的連接目的地伺服器74的服務提供伺服器。此外，在From72和To73中記載的tag是地址識別信息。
從圖12所示的客戶端向SIP伺服器發送的服務連接請求包80，是在圖5的T506中發送的包。服務連接請求包80由IP頭81、UDP/TCP頭82、服務連接請求消息頭83和服務連接請求消息體84構成，在服務連接請求消息頭83中包含在RFC3261中規定的SIP連接請求消息。在SIP的應用記述中適用在RFC3266中已規格化的SDP。
服務連接請求消息頭83，在起始行作為請求方式包含表示該消息是會話連接請求用的「INVITE」，作為目標地址包含代表伺服器的URI「[email protected]」。
在Via頭中記載作為發送源的客戶端地址。To頭和From頭分別表示目標和發送源，Call-ID表示在發送源指定的會話識別符。Cseq頭是CommandSequence，識別會話內的事務。Contact頭表示應該登錄到SIP伺服器的客戶端10-1的URI，Content-Type頭和Content-Length表示消息體84的SDP的定義信息。
從圖13所示的客戶端向SIP伺服器發送的服務請求包主體84，是由設定項目841和設定值842構成的表。設定項目841由客戶端IP位址、客戶端埠號、無數據的加密的客戶端通信信息選擇1、實施數據的加密的客戶端通信信息選擇支、應用信息構成。在設定值842中記載對應的設定值。客戶端通信信息選擇1由客戶端通信信息ID(I)、消息認證碼和認證代碼用公共密鑰構成。客戶端通信信息ID(I)是對應Initiator發送的數據和認證代碼以及密鑰的ID。客戶端通信信息選擇2由客戶端通信信息ID(I)、消息認證代碼、認證代碼用公共密鑰、消息加密方法和加密用公共密鑰構成。客戶端通信信息ID(I)是對應Initiator發送的數據和消息認證代碼以及加密用公共密鑰的ID。從客戶端向SIP伺服器發送的服務連接請求包80，由SIP伺服器向代表伺服器30進行轉送。
從圖14所示的代表伺服器向SIP伺服器發送的服務連接應答包90是在圖5的T512中發送的包。服務連接應答包90由IP頭91、UDP/TCP頭92、服務連接應答消息頭93和服務連接應答消息體94構成，在服務連接應答消息頭93中包含SIP的連接應答消息。
服務連接應答消息頭93，在起始行作為請求方式包含表示該消息是會話應答用的「200OK」，因為Call-ID頭、Cseq頭與圖12所示的連接請求相同，所以可知是對於連接請求的連接應答(許可)。To頭和From頭還照原樣分別表示連接請求的目標和發送源。
從圖15所示的公共伺服器向SIP伺服器發送的服務應答包主體94，是由設定項目941和設定值942構成的表。設定項目941由服務提供伺服器IP位址、服務提供伺服器埠號、由代表伺服器選擇的客戶端通信信息、應用信息構成，在設定值942中記載有對應的設定值。選擇的客戶端通信信息由客戶端通信信息ID(R)、消息認證代碼和認證代碼用公共密鑰構成。客戶端通信信息ID(R)是對應Responder發送的數據和認證碼以及密鑰的ID。從代表伺服器向SIP伺服器發送的服務連接應答包90，由SIP伺服器向客戶端10-1轉送。
從圖16所示的代表伺服器向服務提供伺服器發送的客戶端通信信息設定請求包，是在圖5的T510中發送的包。客戶端通信信息設定請求包110，由IP頭111、UDP/TCP頭112、客戶端通信信息設定請求消息頭113和客戶端通信信息設定請求消息體114構成。客戶端通信信息設定請求消息體114，與從在圖13說明過的服務連接請求消息體中除去了代表伺服器30沒選擇的客戶端通信信息選擇2的相同。此外，客戶端通信信息設定請求消息體114作為客戶端通信信息設定表被保存到服務提供伺服器40。
從圖17所示的服務提供伺服器向代表伺服器發送的客戶端通信信息設定應答包是在圖5的T511中發送的包。客戶端通信信息設定應答包120由IP頭121、UDP/TCP頭122、客戶端通信信息設定應答消息頭123和客戶端通信信息設定應答消息體124構成。客戶端通信信息設定應答消息體124，與圖15說明過的服務連接應答消息體相同。這是由於代表伺服器不變更消息體的狀態照原樣轉送到SIP伺服器的緣故。
此外，在圖16以及圖17中代表伺服器和服務提供伺服器之間的通信，因為使用作為安全的區域網的網絡50-2，所以其協議可以是SIP以外的、例如HTTP(HyperText Transport Protocol)等協議。
從圖18所示的客戶端向SIP伺服器發送的服務切斷請求包130，是在圖5的T518中發送的包。服務切斷請求包130，由IP頭131、UDP/TCP頭132、服務切斷請求消息頭133和服務切斷請求消息體134構成，在服務切斷請求消息頭133中，包含SIP的切斷請求消息。服務切斷請求消息頭133，在起始行作為請求方式包含表示該消息是會話切斷請求用的「BYE」，包含服務提供伺服器的IP位址「192.0.24」。
從圖19所示的客戶端向SIP伺服器發送的服務切斷請求包主體134，由設定項目1341和設定值1342構成。設定項目1341是客戶端的IP位址、埠號和客戶端通信信息ID。在客戶端通信信息ID的設定值中，設置在服務連接請求消息體(圖13)中通知的設定值。
從圖20所示的代表伺服器向SIP伺服器發送的服務切斷應答包140，是在圖5的T522中發送的包。服務切斷應答包140，由IP頭141、UDP/TCP頭142、服務切斷應答消息頭143和服務切斷應答消息體144構成，在服務切斷應答消息頭143中，包含SIP的切斷應答消息。服務切斷應答消息頭143，在起始行作為請求方式包含表示該消息是會話應答用的「22OK」，因為Call-ID頭、Cseq頭與圖18所示的切斷請求相同，所以可知是對於切斷請求的切斷應答(許可)。
從圖21所示的代表伺服器向SIP伺服器發送的服務切斷應答包主體144由設定項目1441和設定值1442構成。設定項目1441是服務提供伺服器的IP位址、埠號、客戶端通信信息ID。在客戶端通信信息ID的設定值中設置在服務連接應答消息體(圖15)中通知的設定值。
從圖22所示的代表伺服器向服務提供伺服器發送的客戶端通信信息消除請求包150是在圖5的T520中發送的包。客戶端通信信息消除請求包150由IP頭151、UDP/TCP頭152、客戶端通信信息消除請求消息頭153和客戶端通信信息消除請求消息體154構成。客戶端通信信息消除請求消息體154與圖19說明的服務切斷請求消息體相同。
從圖23所示的服務提供伺服器向代表伺服器發送的客戶端通信信息消除應答包160是圖5的T521中發送的包。客戶端通信信息消除應答包160由IP頭161、UDP/TCP頭162、客戶端通信信息消除應答消息頭163和客戶端通信信息消除應答消息體164構成。客戶端通信信息消除應答消息體164與在圖21說明過的服務切斷應答消息體相同。這是由於代表伺服器不變更消息體的狀態照原樣轉送到SIP伺服器的緣故。。
此外，在圖22以及圖23中代表伺服器和服務提供伺服器之間的通信，因為使用作為安全的區域網的網絡50-2，所以其協議可以是SIP以外的、例如HTTP(HyperText Transport Protocol)等協議。
使用圖24和圖25說明在客戶端和服務提供伺服器之間進行通信的包。在此，圖24是用來自圖13所示的客戶端的服務請求消息，在代表伺服器選擇了不進行數據的加密的客戶端通信信息選擇1的情況下，在客戶端和服務提供伺服器之間進行通信的包。另外，圖25是用來自圖13所示的客戶端的服務請求消息，在代表伺服器選擇了實施數據的加密的客戶端通信信息選擇2的情況下，在客戶端和服務提供伺服器之間進行通信的包。
在圖24中，數據包170由IP頭171、UDP/TCP頭172、客戶端通信信息ID173、數據174和HMAC175構成。此外，客戶端通信信息ID173是客戶端通信信息ID(R)或客戶端通信信息ID(I)。在此，該數據包170要為從服務提供伺服器向客戶端的流數據。客戶端參照在數據中附加的客戶端通信信息ID(R)，把握對應於在圖15說明過的客戶端通信信息ID(R)的消息認證代碼(HMAC-SHA1)和認證代碼用公共密鑰(3541e2af1537fg3712ca12)。使用認證代碼用公共密鑰解密HMAC175並生成Hash(1)。另一方面，使用數據174和消息認證代碼生成Hash(2)。如果Hash(1)與Hash(2)相等，則可以確認作為數據包170的發送源的服務提供伺服器是處於代表伺服器的屬下的正規服務提供伺服器。
在圖25中，數據包180由IP頭181、UDP/TCP頭182、客戶端通信信息ID183、加密數據184和HMAC185構成。在此，該數據包180要為從服務提供伺服器向客戶端的流數據。客戶端參照在數據中附加的客戶端通信信息ID(R)(未圖示)，把握對應於客戶端通信信息ID(R)的消息認證代碼(HMAC-MD5參照圖13)、認證代碼用公共密鑰(fe648c578b80a675)、消息加密方法(AES-128-CBC)以及加密用公共密鑰(1653fe648c578b424ef)。接著，使用認證代碼用公共密鑰解密HMAC 185並生成Hash(1)。另一方面，用加密用公共密鑰解密加密數據184，使用消息認證代碼生成Hash(2)。如果Hash(1)與Hash(2)相等，則可以確認作為數據包180的發送源的服務提供伺服器是處於代表伺服器的屬下的正規服務提供伺服器。在圖24以及圖25中數據包是假定為從服務提供伺服器向客戶端發送的數據，但是，相反在從客戶端給服務提供伺服器發送的數據中也同樣，服務提供伺服器，參照在數據中附加的客戶端通信信息ID(I)，通過比較生成的2個Hash值可以確認是正規的客戶端。
根據本實施例，認證僅針對代表伺服器來進行，所以服務提供伺服器不需要具有電子證明書。客戶端通過確認在消息中附加的HMAC的值，可以確認正進行通信的服務提供伺服器是在正確的代表伺服器的屬下的服務提供伺服器。另外，通過進行加密通信可以保持服務數據的隱秘性。
SIP伺服器，由於不需要認證各個服務提供伺服器，另外，也不需要在與各個服務提供伺服器之間保持通信會話，所以可以減輕SIP伺服器的負荷。另外，數據通信，由於是在客戶端與服務提供伺服器之間直接進行，所以代表伺服器不會成為處理的瓶頸。在本實施例中代表伺服器是一攬子選擇客戶端通信信息，所以還有用1次查詢就可以確定客戶端通信信息的優點。
『實施例2』使用圖26至圖29對本發明實施例進行說明。在此，圖26是代表伺服器的處理流程圖。圖27是服務提供伺服器的處理流程圖。圖28是說明從代表伺服器給服務提供伺服器發送的客戶端通信信息設定請求的結構和消息體的圖。圖29是說明從服務提供伺服器給代表伺服器發送的客戶端通信信息設定應答的結構和消息體的圖。
相對於在上述實施例1中代表伺服器對加密通信信息和消息認證信息進行選擇，而實施例2則是服務提供伺服器進行選定的實施例。在實施例2中僅對與實施例1不同的地方進行說明。因此，大部分附圖是與實施例1公通的或者雖然有一些區別也基本上是相同的。
參照圖26對代表伺服器的處理流程進行說明。當代表伺服器30啟動時，代表伺服器30將設置了自己本身IP位址的「REGISTER」消息作為接觸信息發送到SIP伺服器(S901)。在等待到SIP伺服器20的應答之後(S902)，接收「200OK」而成為等待消息接收(S903)。代表伺服器30，在接收了「INVITE」後，解析INVITE消息，取得加密通信信息的候補、消息認證信息的候補以及應用信息(S904)。代表伺服器30參照記錄了服務提供伺服器狀態的伺服器選擇表(圖9)，選擇與客戶端通信的服務提供伺服器(S905)。
代表伺服器30將加密通信信息的候補、消息認證信息的候補以及應用信息作為客戶端通信信息設定請求發送到服務提供伺服器(S906)。代表伺服器30在等待到服務提供伺服器40-1的應答後(S907)，從服務提供伺服器40-1返回表示進行了正常通信的客戶端通信信息設定應答時，在服務連接表中追加表項，並更新伺服器選擇表。另外，代表伺服器30向SIP伺服器20發送包含由服務提供伺服器40-1選擇的加密通信信息和消息認證信息的200OK消息(S908)，並再次成為等待消息接收(S903)。
當接收來自作為服務連接認證的SIP伺服器20的ACK消息時，代表伺服器30再一次成為等待消息(S903)。在此狀態下，當從SIP伺服器20接收作為服務切斷請求的BYE消息時，解析BYE消息，參照伺服器選擇表，確定對加密通信信息和消息認證信息進行消去的服務提供伺服器40-1(S911)，向該服務提供伺服器40-1發送客戶端通信信息消除請求(S912)，成為服務提供伺服器40-1的應答等待(S913)。當從服務提供伺服器40-1返回了表示進行了正常通信的客戶端通信信息消除應答時，消除服務連接表的表項，更新伺服器選擇表。另外，向SIP伺服器20發送把消去加密通信信息、消息認證信息，以及切斷服務通知到客戶端的200OK消息(S914)，成為等待消息接收(S903)。此外，在步驟902、步驟907或步驟913中接收了錯誤時，或者已經超時時，遷移到步驟921、步驟922或步驟923的錯誤處理。
在圖27中，當服務提供伺服器40啟動時，服務提供伺服器40，首先成為等待接收來自代表伺服器30的請求(請求)(S501)。當服務提供伺服器40接收客戶端通信信息設定請求時，解析這個請求，取得從代表伺服器30通知的加密通信信息選擇、消息認證信息選擇以及應用信息(S502)。服務提供伺服器40選擇利用於與客戶端進行通信的加密通信信息和消息認證信息(S503)，在客戶端通信信息設定表中設置加密通信信息、消息認證信息以及應用信息，向代表伺服器30發送客戶端通信信息設定應答(S504)。此後服務提供伺服器40根據加密通信信息、消息認證信息以及應用信息，開始與直接客戶端的服務數據的收發(S505)。以此開始為契機，服務提供伺服器40，服務數據的收發中也遷移到等待接收來自代表伺服器30的請求(S501)。
在服務提供伺服器40接收了客戶端通信信息消除請求時，解析該請求，停止與該客戶端的服務數據的收發(S507)。服務提供伺服器40從客戶端通信信息設定表中消去在與該客戶端的通信中使用的加密通信信息、消息認證信息以及應用信息，並向代表伺服器30發送客戶端通信信息消除應答(S508)，並再次遷移到等待接收來自代表伺服器30的請求(S501)。
從圖28所示的代表伺服器向服務提供伺服器發送的客戶端通信信息設定請求包，是在圖5的T510對應位置上發送的包。客戶端通信信息設定請求包210由IP頭211、UDP/TCP頭212、客戶端通信信息設定請求消息頭213和客戶端通信信息設定請求消息體214構成。在實施例2中，從客戶端提示的選擇的選擇，由服務提供伺服器40-1來進行。因此，客戶端通信信息設定請求消息體214，與圖13中說明過的服務連接請求消息體相同。
從圖29所示的服務提供伺服器向代表伺服器發送的客戶端通信信息設定應答包，是在圖5的T511對應位置上發送的包。客戶端通信信息設定應答包220由IP頭221、UDP/TCP頭222、客戶端通信信息設定應答消息頭223和客戶端通信信息設定應答消息體224構成。客戶端通信信息設定應答消息體224，與圖15中說明過的服務連接應答消息體相同。
根據本實施例，認證僅針對代表伺服器來進行，所以服務提供用伺服器不需要具有電子證明書。客戶端，通過確認在消息中附加的HMAC的值，可以確認正進行通信的服務提供伺服器是在正確的代表伺服器的屬下的服務提供伺服器。另外，通過進行加密通信可以保持服務數據的隱秘性。
SIP伺服器，由於不需要認證各個服務提供伺服器，另外，也不需要在與各個服務提供伺服器之間保持通信會話，所以可以減輕SIP伺服器的負荷。另外，數據通信，由於是在客戶端與服務提供伺服器之間直接進行，所以代表伺服器不會成為處理的瓶頸。
根據本發明，認證僅針對代表伺服器來進行，所以服務提供用伺服器不需要具有電子證明書。SIP伺服器，由於不需要認證各個服務提供伺服器，另外，也不需要在與各個服務提供伺服器之間保持通信會話，所以可以減輕SIP伺服器的負荷。另外，數據通信，由於是在客戶端與服務提供伺服器之間直接進行的，所以代表伺服器不會成為處理的瓶頸。
權利要求
1.一種服務網絡系統，其特徵在於，具有多個服務提供伺服器，其提供信息服務；會話管理伺服器，其根據來自客戶端的請求執行用於會話的確立以及切斷的通信處理；和代表伺服器，其代表所述多個服務提供伺服器與所述會話管理伺服器之間執行通信處理；所述代表伺服器，向從所述多個服務提供伺服器中選擇的服務提供伺服器發送從客戶端接收到的客戶端地址和第1客戶端通信信息，所述代表伺服器，向所述客戶端發送從所述選擇的服務提供伺服器接收到的服務提供伺服器地址和第2客戶端通信信息，在所述選擇的服務提供伺服器和所述客戶端之間進行通信。
2.根據權利要求1所述的服務網絡系統，其特徵在於，所述客戶端，向所述代表伺服器發送多個客戶端信息，所述代表伺服器，從所述多個客戶端信息中選擇客戶端信息，作為所述第1客戶端信息發送到所述選擇的服務提供伺服器。
3.根據權利要求1所述的服務網絡系統，其特徵在於，所述客戶端，向所述代表伺服器發送由多個客戶端信息構成的所述第1客戶端通信信息，所述代表伺服器，向所述選擇的服務提供伺服器發送所述第1客戶端通信信息，所述選擇的服務提供伺服器，從所述第1客戶端通信信息選擇客戶端通信信息。
4.一種服務網絡系統，其特徵在於，具有多個服務提供伺服器，其提供信息服務；會話管理伺服器，其根據來自客戶端的請求執行用於會話的確立以及切斷的通信處理；和代表伺服器，其代表所述多個服務提供伺服器與所述會話管理伺服器之間執行通信處理；所述多個服務提供伺服器、所述會話管理伺服器和所述代表伺服器被連接到第1網絡上，所述多個服務提供伺服器和所述代表伺服器還被連接到第2網絡上。
5.根據權利要求4所述的服務網絡系統，其特徵在於，所述第2網絡是區域網。
6.根據權利要求4所述的服務網絡系統，其特徵在於，所述代表伺服器和所述多個服務提供伺服器的各個之間的通信經由所述第2網絡。
7.一種伺服器裝置，其特徵在於，在第1網絡中，同時與多個客戶端、提供信息服務的多個服務提供伺服器和根據來自客戶端的請求執行用於會話的確立以及切斷的通信處理的會話管理伺服器連接，在第2網絡中，同時與所述多個服務提供伺服器連接，並經由所述第2網絡與所述多個服務提供伺服器進行通信，代表所述多個服務提供伺服器，在與所述會話管理伺服器之間通過所述第1網絡執行通信處理。
8.根據權利要求7所述的伺服器裝置，其特徵在於，記錄了由可以提供使用所述多個服務提供伺服器的加密算法和消息認證算法組成的表。
9.根據權利要求7所述的伺服器裝置，其特徵在於，在所述多個服務提供伺服器的至少一臺正提供使用時，記錄了由客戶端和正提供使用的服務提供伺服器組成的表。
10.一種伺服器裝置，其特徵在於，具有連接到總線的處理器；存儲器，其臨時存儲處理器執行的程序和程序參照的表；外部存儲裝置，其保存所述程序和所述表；與第1網絡連接的第1網絡接口；和與第2網絡連接的第2網絡接口；在所述第1網絡中，連接有多個客戶端、提供信息服務的多個服務提供伺服器和根據來自客戶端的請求執行用於會話的確立以及切斷的通信處理的會話管理伺服器，在所述第2網絡中，連接所述多個服務提供伺服器，經由所述第2網絡向從所述多個服務提供伺服器中選擇的服務提供伺服器發送從客戶端接收到的客戶端地址和第1客戶端通信信息，向所述客戶端發送由選擇的服務提供伺服器經由所述第2網絡接收到的服務提供伺服器地址和第2客戶端通信信息。
全文摘要
成為多個服務提供伺服器(40)的代表的伺服器裝置(30)，作為代表實施與SIP伺服器(20)的認證或SIP消息交換，並將由SIP消息交換取得的客戶端通信信息通知到服務提供伺服器(40－1)。服務提供伺服器(40－1)，根據從代表伺服器(30)通知的客戶端通信信息與客戶端(10－1)進行通信。
文檔編號H04L29/00GK1863214SQ200610080169
公開日2006年11月15日 申請日期2006年5月10日 優先權日2005年5月11日
發明者星野和義, 鍛忠司, 高田治, 藤城孝宏, 澤田晃平 申請人:株式會社日立製作所