服务网络系统以及服务器装置的制作方法

专利名称：服务网络系统以及服务器装置的制作方法
技术领域：
本发明涉及一种服务网络系统以及服务器装置，尤其是涉及考虑到减轻SIP服务器负荷的服务网络系统以及服务器装置。
背景技术：
在特开2002-108840号公报中，记载的发明是，接受服务器作为多个内容服务器的代表接收连接请求，并向客户端通知许可证和作为连接目的地的内容服务器的信息。另外，在特开2003-108537号公报中记载的发明是，窗口服务器作为多个业务服务器的代表接收连接要求，并向客户端通知连接目的地的业务服务器的信息。
在特开2003-209560号公报以及特开2003-178028号公报中，记载的发明是，作为通信开始协议使用SIP(Session Initiation Protocol)，在服务器进行用户认证。在特开2003-242119号公报、特开平10-177552号公报以及特开2003-099402号公报中，记载的发明是，作为通信开始协议未使用SIP，但是具有一揽子进行认证的代理认证服务器。
RFC3261、RFC2246、RFC2327、F.Lindholm的著作《Key ManagementExtensions for SDP and RTSP》是关于SIP的有关IEIF(Internet Engineering TaskForce)标准的文献。在此，RFC3261，是SIP的RFC(Request for comment(请求注释))，记载有由TLS(Transport Layer Security(传输层安全性))进行用户的认证和TLS消息的加密的方法。RFC2246是关于TLS的RFC。RFC2327是关于由SIP接收发送会话信息的记述方法(SDPSessionDescription Protocol(会话描述协议))的RFC。在Key Management Extensionsfor SDP and RTSP》中，记载有通过SDP或者RTSP(Real Time StreamingProtocol(实时流协议))交换在通信数据加密中使用的密钥信息等的方法。
服务提供者在使用多个服务提供服务器来提供服务的情况下，必须按服务提供服务器取得并安装电子证明书。另外，当服务提供服务器各自与SIP服务器进行通信时，因为SIP服务器必须按每一个服务提供服务器来保存通信会话信息，所以处理负荷增大。
在特开2002-108840号公报或者特开2003-108537号公报记载的发明中，接受服务器或者窗口服务器与客户端的通信以HTTP(Hyper TextTransportation Protocol(超文本传输协议))来进行，没有考虑SIP。在特开2003-209560号公报中记载的发明，停留在客户端取得作为连接目的地的服务器的IP地址的方法。
在特开2003-178028号公报记载的发明中记载了连接到网络的管理服务器和连接到管理服务器的认证服务器，记载了将数据供给侧的终端注册到数据要求侧的终端的发明。在特开2003-242119号公报或者特开平10-177552号公报记载的发明，认证服务器作为代表服务器接收来自客户端的服务连接要求，但是因为服务提供也要经过认证服务器来进行，所以认证服务器就成为瓶颈。在特开2003-099402号公报的发明中，记载了认证代理服务器，但是该认证代理服务器不过是代替服务提供业者将认证委托给通信运营商服务器。
如上所述，在专利文献1至7中记载的发明，无论是通过单独或者组合都没有提供本发明要解决的课题的解决方法。此外，在服务提供服务器的前段也考虑到设置进行认证和加密的负荷分散装置的结构，但是在此情况下，负荷分散装置就成为处理的瓶颈。

发明内容
作为多个服务提供服务器的代表的服务器装置，将SIP服务器认证或SIP消息交换作为代表来实施，将由SIP消息交换取得的客户端通信信息(加密通信信息、消息认证信息)通知到服务提供服务器。服务提供服务器，根据从代表服务器通知的客户端通信信息与客户端进行通信。


图1是说明系统构成的一实施例的方框图。
图2是说明客户端硬件结构的一实施例的方框图。
图3是说明代表服务器硬件结构的一实施例的方框图。
图4是说明服务提供服务器硬件结构的一实施例的方框图。
图5A是说明客户端、SIP服务器、代表服务器、服务提供服务器间的通信的一实施例的迁移图(其1)。
图5B是说明客户端、SIP服务器、代表服务器、服务提供服务器间的通信的一实施例的迁移图(其2)。
图6是说明客户端处理流程的一实施例图。
图7A是说明代表服务器处理流程的一实施例图(其2)。
图7B是说明代表服务器处理流程的一实施例图(其2)。
图8是说明服务提供服务器处理的一实施例的流程图。
图9是说明代表服务器拥有的服务器选择表的一实施例图。
图10是说明代表服务器拥有的通信设定表的一实施例图。
图11是说明代表服务器拥有的服务连接表的一实施例图。
图12是说明从客户端发往SIP服务器的服务连接请求的构成和消息头的一实施例图。
图13是说明从客户端发往SIP服务器的服务连接请求的消息体的一实施例图。
图14是说明从代表服务器发往SIP服务器的服务连接应答的构成和消息头的一实施例图。
图15是说明从代表服务器发往SIP服务器的服务连接应答的消息体的一实施例图。
图16是说明从代表服务器发往服务提供服务器的客户端通信信息设定请求的构成和消息体的一实施例图。
图17是说明从服务提供服务器发往代表服务器的客户端通信信息设定应答的构成和消息体的一实施例图。
图18是说明从客户端发往SIP服务器的服务切断请求的构成和消息头的一实施例图。
图19是说明从客户端发往SIP服务器的服务切断请求的消息体的一实施例图。
图20是说明从代表服务器发往SIP服务器的服务切断应答的构成和消息头的一实施例图。
图21是说明从代表服务器发往SIP服务器的服务切断应答的消息体的一实施例图。
图22是说明从代表服务器发往服务提供服务器的客户端通信信息消除请求的构成和消息体的一实施例图。
图23是说明从服务提供服务器发往代表服务器的客户端通信信息消除应答的构成和消息体的一实施例图。
图24是说明在服务提供服务器与客户端之间进行通信的数据的构成的一实施例图。
图25是说明服务提供服务器与客户端之间进行通信的加密数据的构成的一实施例图。
图26A是实施例2的代表服务器的处理流程图(其1)。
图26B是实施例2的代表服务器的处理流程图(其2)。
图27是实施例2的服务提供服务器的处理流程图。
图28是说明从实施例2的代表服务器发往服务提供服务器的客户端通信信息设定请求的结构和消息体的图。
图29是说明从实施例2的服务提供服务器发往代表服务器的客户端通信信息设定应答的结构和消息体的图。
具体实施例方式
对于以下本发明的实施方式使用实施例并参照附图进行说明。
『实施例1』使用图1至图25来说明本发明的实施例1。在此，图1是说明系统构成的方框图。图2是说明客户端硬件结构的方框图。图3是说明代表服务器硬件结构的方框图。图4是说明服务提供服务器硬件结构的方框图。图5是说明客户端、SIP服务器、代表服务器、服务提供服务器间通信的迁移图。图6是说明客户端的处理流程图。图7是代表服务器的处理流程图。图8是服务提供服务器的处理流程图。图9是说明代表服务器拥有的服务器选择表的图。图10是说明代表服务器拥有的通信设定表的图。图11是说明代表服务器持有的服务连接表的图。
图12是说明从客户端发往SIP服务器的服务连接请求的构成和消息头的图。图13是说明从客户端发往SIP服务器的服务连接请求的消息体的图。图14是说明从代表服务器发往SIP服务器的服务连接应答的构成和消息头的图。图15是说明从代表服务器发往SIP服务器的服务连接应答的消息体的图。图16是说明从代表服务器发往服务提供服务器的客户端通信信息设定请求的构成和消息体的图。图17是说明从服务提供服务器发往代表服务器的客户端通信信息设定应答的构成的图。图18是说明从客户端发往SIP服务器的服务切断请求的构成和消息头的图。图19是说明从客户端发往SIP服务器的服务切断请求的消息体的图。图20是说明从代表服务器发往SIP服务器的服务切断应答的构成和消息头的图。图21是说明从代表服务器发往SIP服务器的服务切断应答的消息体的图。图22是说明从代表服务器发往服务提供服务器的客户端通信信息消除请求的构成和消息体的图。图23是说明从服务提供服务器发往代表服务器的客户端通信信息消除应答的构成和消息体的图。图24是说明在服务提供服务器与客户端之间进行通信的数据构成的图。图25是说明服务提供服务器与客户端之间进行通信的加密数据构成的图。
在图1所示的服务网络系统100中，在网络50-1上连接有多个客户端10(10-1、10-2、…)和具有会话管理功能的会话管理服务器(以下记为SIP服务器)20和代表服务器30和多个服务提供服务器40(40-1、40-2、…)。代表服务器30和服务提供服务器40也被连接到网络50-2上。作为服务提供服务器40含有即时消息服务器、向客户端提供各种内容信息的内容分配服务器、支持多个客户端间电话会议的电话会议服务器等。
在此，附随于各客户端10和代表服务器30并在括号内显示的字符串，表示在网络50-1上转送的IP包中使用的装置地址。这些地址都在其一部分中含有SIP服务器20的地址[aaa.com]，表明这些终端和代表服务器属于SIP服务器。通过SIP服务器进行各客户端10和代表服务器30的连接(会话的设定)以及切断(会话的终止)。此外，在以下说明中IP地址以客户端1[cl1@aaa.com]192.0.2.1、SIP服务器192.0.2.2、服务提供服务器192.0.2.3、代表服务器[sv1@aaa.com]192.0.2.4来进行说明。
为了客户端和代表服务器以及客户端和服务提供服务器进行通信使用网络50-1。另一方面，网络50-2是服务器室内LAN，用于代表服务器和服务提供服务器进行通信。分离网络50-1和网络50-2，是为了保护在代表服务器和服务提供服务器间接收发送的消息认证参数等秘密信息。在代表服务器和服务提供服务器间能进行加密通信时，代表服务器和服务提供服务器也可以使用网络50-1来进行通信。
参照图2对客户端的构成进行说明。客户端10由连接到总线15的处理器(CPU)12、临时存储处理器12执行的各种程序与程序参照的各种表的存储器11、保存各种程序与程序参照的各种表的外部存储装置13和与网络50-1连接的网络接口14构成。
图3所示的代表服务器30，由连接到总线35的处理器(CPU)32、临时存储处理器32执行的各种程序与程序参照的各种表的存储器31、保存各种程序与程序参照的各种表的外部存储装置33、与网络50-1连接的网络接口34-1和与网络50-2连接的网络接口34-2构成。此外，在该代表服务器的硬件结构中，网络50-1与网络50-2，成为物理上被分离、使用各自的网络接口34-1、34-2进行访问的结构。可是，通过路由器或防火墙的设定、逻辑上分离网络50-1和网络50-2，这样也可以采用从1个网络接口访问网络50-1和网络50-2双方的结构。
图4所示的服务提供服务器40是与在图3中说明过的代表服务器相同的结构。即，服务提供服务器40，由连接到总线45的处理器(CPU)42、临时存储处理器42执行的各种程序与程序参照的各种表的存储器41、保存各种程序与程序参照的各种表的外部存储装置43、与网络50-1连接的网络接口44-1和与网络50-2连接的网络接口44-2构成。也可以采用从1个网络接口访问网络50-1和网络50-2双方的结构。
在图5中，首先在SIP服务器20和代表服务器30之间通过在非专利文献1中记载的TLS协商来进行相互认证和加密通信设定(T501称为SIP服务器认证)。接着，从代表服务器30向SIP服务器20发送登录自己地址的作为SIP请求的REGISTER请求(REGISTER消息)(T502)。SIP服务器20登录了在接收到的REGISTER请求中记载的代表服务器30的位置(location)之后，向代表服务器30发送表示正常结束了的SIP响应代码的200OK(T503)。此外，REGISTER消息必须来信侧(被INVITE侧)进行实施。
另一方面，在客户端10-1和SIP服务器20之间也通过TLS协商预先进行相互认证和加密通信设定(T504)。当从客户端10-1向SIP服务器20发送作为服务连接请求的INVITE请求(T506)时，SIP服务器20在向客户端10-1发送了表示连接中的100Trying(T507)之后，向代表服务器30转送INVITE请求(T508)。代表服务器30在向SIP服务器20发送100Trying之后(T59)，向服务提供服务器40-1发送客户端通信信息设定请求(T510)。
服务提供服务器40-1接收客户端通信信息设定请求，向代表服务器30回复客户端通信信息设定应答(T511)。接收了客户端通信信息设定应答的代表服务器30向SIP服务器20发送作为服务连接应答的200OK(T513)。接收了这个的SIP服务器20同样向客户端10-1发送200OK(T513)。
接收了作为服务连接应答的200OK的客户端10-1向SIP服务器20发送作为服务连接认证的SIP请求的ACK请求(T514)，接收了这个的SIP服务器20给代表服务器30发送ACK请求(T515)。因为服务提供服务器40-1和客户端10-1交换了互相的IP地址、端口号码，所以直接连接服务提供服务器40-1和客户端10-1并开始进行服务数据的收发(T517)。
当从客户端10-1给SIP服务器20发送作为服务切断请求的SIP请求的BYE请求(T518)时，接收了这个的SIP服务器20给代表服务器30发送BYE请求(T519)。接收了BYE请求的代表服务器30给服务提供服务器40-1发送客户端通信信息消除请求(T520)。接收了通信信息消除请求的服务提供服务器40-1给代表服务器30发送通信信息消除应答(T521)，接收了这个的代表服务器30向SIP服务器20发送作为服务切断应答的200OK(T522)。接收了200OK的SIP服务器20给客户端发送作为服务切断应答的200OK(T523)。通过以上，结束通信。此外，通过网络50-2进行代表服务器30和服务提供服务器40之间的通信，通过网络50-1进行了其它的通信。
其次，对客户端、代表服务器、服务提供服务器的动作进行说明。在图6中，客户端10作成使用于与服务提供服务器直接通信的加密通信信息的候补、消息认证信息的候补(S601)。给SIP服务器20发送把这些候补设置在了本体的INVITE消息(S602)。此后，客户端10等待SIP服务器的应答(S603)，当从SIP服务器20接收作为服务连接应答的200OK时，解析200OK消息，并取得选择的加密通信信息、消息认证信息(S604)。
客户端10在向SIP服务器20发送了作为服务连接认证请求的ACK消息(S605)之后，使用选择的密码通信信息、消息认证信息，在客户端10与服务提供服务器40之间进行应用数据的收发(S606)。
客户端10，此后，给SIP服务器20发送把加密通信信息、消息认证信息的消去请求设置在本体的BYE消息(S607)。此后，客户端10成为等待SIP服务器的应答(S608)，当从SIP服务器20接收作为服务切断应答的200OK时，结束服务利用。此外，在步骤603或者步骤608中接收到了错误时或者已经超时时，迁移到步骤609或者步骤610的错误处理。
在图7中，当代表服务器30启动时，代表服务器30向SIP服务器20发送将SIP服务器30的IP地址(位置)作为接触(contact)信息设置的REGISTER消息(S701)，等待SIP服务器20的应答(S702)。当代表服务器30从SIP服务器20接收作为位置登录应答的200 OK时，等待消息的接收(S703)。代表服务器30当从SIP服务器20接收INVITE消息时，解析INVITE消息，当取得了客户端作成的加密通信信息候补、消息认证信息候补和应用信息(S704)之后，参照记录了服务提供服务器状态的服务器选择表(在图9中后述)，选择与客户端直接进行通信的服务提供服务器40-1(S705)。
代表服务器30，参照登录了服务提供服务器40-1可利用的加密通信信息和消息认证信息的通信设定表(在图10中后述)来选择利用于客户端10和服务提供服务器40进行通信的加密通信信息和消息认证信息(S706)。接着，代表服务器30将选择的加密通信信息与消息认证信息以及应用信息作为客户端通信信息设定请求，向选择服务提供服务器40-1进行发送(S707)，并等待来自服务提供服务器40-1的应答(S708)。
当从服务提供服务器40-1返回了表示进行正常通信的客户端通信信息设定应答时，在服务连接表(在图11中后述)中追加表项，并更新服务器选择表。另外，向SIP服务器20发送包含选择的加密通信信息和消息认证信息的200OK消息(S709)，并再次成为消息接收等待(S703)。
当接收来自作为服务连接认证的SIP服务器20的ACK消息时，又一次成为消息等待(S703)。在此状态中，当从SIP服务器20接收作为服务切断请求的BYE消息时，解析BYE消息，参照服务器选择表确定对密码通信信息和消息认证信息进行消去的服务提供服务器40-1(S711)，向该服务提供服务器40-1发送客户端通信信息消除请求(S712)，成为服务提供服务器40-1的应答等待(S713)。当从服务提供服务器40-1返回了表示进行正常通信的客户端通信信息消除应答时，消除服务连接表的表项，更新服务器选择表。另外，向SIP服务器20发送把消去密码通信信息、消息认证信息，以及切断服务通知到客户端的200OK消息(S714)，成为消息接收等待(S703)。此外，在步骤703、步骤707或步骤713中接收到错误时，或者已经超时时，迁移到步骤721、步骤722或步骤723的错误处理。
在图8中，当服务提供服务器40启动时，服务提供服务器40，首先成为来自代表服务器30的请求(请求)接收等待(S801)。当服务提供服务器40接收客户端通信信息设定请求时，解析这个请求，取得从代表服务器30通知的加密通信信息、消息认证信息以及应用信息(S802)。服务提供服务器40，在客户端通信信息设定表中设置加密通信信息、消息认证信息以及应用信息，向代表服务器30发送客户端通信信息设定应答(S803)。此后服务提供服务器40，根据加密通信信息、消息认证信息以及应用信息，开始与直接客户端的服务数据的收发(S804)。以此开始为契机，服务提供服务器40，服务数据的收发中也迁移到来自代表服务器30的请求接收等待(S801)。
在服务提供服务器40，接收了客户端通信信息处理请求时，解析该请求，停止与该客户端的服务数据的收发(S805)。服务提供服务器40，从客户端通信信息设定表中消去在与该客户端的通信中使用的加密通信信息、消息认证信息以及应用信息，并向代表服务器30发送客户端通信信息消除应答(S806)，并再次迁移到来自代表服务器30的请求接收等待(S801)。
图9所示的服务器选择表是在代表服务器30的外部存储装置33中记录的表。服务器选择表50由服务提供服务器号51、客户端连接数52和响应时间53构成。代表服务器30，在有新的服务请求时，参照该服务器选择表50，从表中的服务提供服务器之中选择响应时间小(即负荷少)的服务提供服务器。
图10所示的通信设定表是与服务器选择表同样地在代表服务器30的外部存储装置33中记录的表。通信设定表60，由服务提供服务器61、该服务提供服务器可以通信的加密算法62和可以认证该服务提供服务器的消息认证算法63构成。代表服务器30在有了新的服务请求时，参照该通信设定表60，从属下的服务提供服务器之中，选择从客户端提示的选择中选择的服务提供服务器对应的加密算法以及消息认证算法。如果选择的服务提供服务器没有对应，则变更服务提供服务器。
图11所示的服务连接表是与服务器选择表、通信设定表同样地在代表服务器30的外部存储装置33中记录的表。服务连接表70记载有客户端发送的Call-ID71、作为客户端地址的From72、作为客户端的接收目的地地址的To73和作为代表服务器选择的连接目的地服务器74的服务提供服务器。此外，在From72和To73中记载的tag是地址识别信息。
从图12所示的客户端向SIP服务器发送的服务连接请求包80，是在图5的T506中发送的包。服务连接请求包80由IP头81、UDP/TCP头82、服务连接请求消息头83和服务连接请求消息体84构成，在服务连接请求消息头83中包含在RFC3261中规定的SIP连接请求消息。在SIP的应用记述中适用在RFC3266中已规格化的SDP。
服务连接请求消息头83，在起始行作为请求方式包含表示该消息是会话连接请求用的“INVITE”，作为目标地址包含代表服务器的URI“sv1@aaa.com”。
在Via头中记载作为发送源的客户端地址。To头和From头分别表示目标和发送源，Call-ID表示在发送源指定的会话识别符。Cseq头是CommandSequence，识别会话内的事务。Contact头表示应该登录到SIP服务器的客户端10-1的URI，Content-Type头和Content-Length表示消息体84的SDP的定义信息。
从图13所示的客户端向SIP服务器发送的服务请求包主体84，是由设定项目841和设定值842构成的表。设定项目841由客户端IP地址、客户端端口号、无数据的加密的客户端通信信息选择1、实施数据的加密的客户端通信信息选择支、应用信息构成。在设定值842中记载对应的设定值。客户端通信信息选择1由客户端通信信息ID(I)、消息认证码和认证代码用公共密钥构成。客户端通信信息ID(I)是对应Initiator发送的数据和认证代码以及密钥的ID。客户端通信信息选择2由客户端通信信息ID(I)、消息认证代码、认证代码用公共密钥、消息加密方法和加密用公共密钥构成。客户端通信信息ID(I)是对应Initiator发送的数据和消息认证代码以及加密用公共密钥的ID。从客户端向SIP服务器发送的服务连接请求包80，由SIP服务器向代表服务器30进行转送。
从图14所示的代表服务器向SIP服务器发送的服务连接应答包90是在图5的T512中发送的包。服务连接应答包90由IP头91、UDP/TCP头92、服务连接应答消息头93和服务连接应答消息体94构成，在服务连接应答消息头93中包含SIP的连接应答消息。
服务连接应答消息头93，在起始行作为请求方式包含表示该消息是会话应答用的“200OK”，因为Call-ID头、Cseq头与图12所示的连接请求相同，所以可知是对于连接请求的连接应答(许可)。To头和From头还照原样分别表示连接请求的目标和发送源。
从图15所示的公共服务器向SIP服务器发送的服务应答包主体94，是由设定项目941和设定值942构成的表。设定项目941由服务提供服务器IP地址、服务提供服务器端口号、由代表服务器选择的客户端通信信息、应用信息构成，在设定值942中记载有对应的设定值。选择的客户端通信信息由客户端通信信息ID(R)、消息认证代码和认证代码用公共密钥构成。客户端通信信息ID(R)是对应Responder发送的数据和认证码以及密钥的ID。从代表服务器向SIP服务器发送的服务连接应答包90，由SIP服务器向客户端10-1转送。
从图16所示的代表服务器向服务提供服务器发送的客户端通信信息设定请求包，是在图5的T510中发送的包。客户端通信信息设定请求包110，由IP头111、UDP/TCP头112、客户端通信信息设定请求消息头113和客户端通信信息设定请求消息体114构成。客户端通信信息设定请求消息体114，与从在图13说明过的服务连接请求消息体中除去了代表服务器30没选择的客户端通信信息选择2的相同。此外，客户端通信信息设定请求消息体114作为客户端通信信息设定表被保存到服务提供服务器40。
从图17所示的服务提供服务器向代表服务器发送的客户端通信信息设定应答包是在图5的T511中发送的包。客户端通信信息设定应答包120由IP头121、UDP/TCP头122、客户端通信信息设定应答消息头123和客户端通信信息设定应答消息体124构成。客户端通信信息设定应答消息体124，与图15说明过的服务连接应答消息体相同。这是由于代表服务器不变更消息体的状态照原样转送到SIP服务器的缘故。
此外，在图16以及图17中代表服务器和服务提供服务器之间的通信，因为使用作为安全的局域网的网络50-2，所以其协议可以是SIP以外的、例如HTTP(HyperText Transport Protocol)等协议。
从图18所示的客户端向SIP服务器发送的服务切断请求包130，是在图5的T518中发送的包。服务切断请求包130，由IP头131、UDP/TCP头132、服务切断请求消息头133和服务切断请求消息体134构成，在服务切断请求消息头133中，包含SIP的切断请求消息。服务切断请求消息头133，在起始行作为请求方式包含表示该消息是会话切断请求用的“BYE”，包含服务提供服务器的IP地址“192.0.24”。
从图19所示的客户端向SIP服务器发送的服务切断请求包主体134，由设定项目1341和设定值1342构成。设定项目1341是客户端的IP地址、端口号和客户端通信信息ID。在客户端通信信息ID的设定值中，设置在服务连接请求消息体(图13)中通知的设定值。
从图20所示的代表服务器向SIP服务器发送的服务切断应答包140，是在图5的T522中发送的包。服务切断应答包140，由IP头141、UDP/TCP头142、服务切断应答消息头143和服务切断应答消息体144构成，在服务切断应答消息头143中，包含SIP的切断应答消息。服务切断应答消息头143，在起始行作为请求方式包含表示该消息是会话应答用的“22OK”，因为Call-ID头、Cseq头与图18所示的切断请求相同，所以可知是对于切断请求的切断应答(许可)。
从图21所示的代表服务器向SIP服务器发送的服务切断应答包主体144由设定项目1441和设定值1442构成。设定项目1441是服务提供服务器的IP地址、端口号、客户端通信信息ID。在客户端通信信息ID的设定值中设置在服务连接应答消息体(图15)中通知的设定值。
从图22所示的代表服务器向服务提供服务器发送的客户端通信信息消除请求包150是在图5的T520中发送的包。客户端通信信息消除请求包150由IP头151、UDP/TCP头152、客户端通信信息消除请求消息头153和客户端通信信息消除请求消息体154构成。客户端通信信息消除请求消息体154与图19说明的服务切断请求消息体相同。
从图23所示的服务提供服务器向代表服务器发送的客户端通信信息消除应答包160是图5的T521中发送的包。客户端通信信息消除应答包160由IP头161、UDP/TCP头162、客户端通信信息消除应答消息头163和客户端通信信息消除应答消息体164构成。客户端通信信息消除应答消息体164与在图21说明过的服务切断应答消息体相同。这是由于代表服务器不变更消息体的状态照原样转送到SIP服务器的缘故。。
此外，在图22以及图23中代表服务器和服务提供服务器之间的通信，因为使用作为安全的局域网的网络50-2，所以其协议可以是SIP以外的、例如HTTP(HyperText Transport Protocol)等协议。
使用图24和图25说明在客户端和服务提供服务器之间进行通信的包。在此，图24是用来自图13所示的客户端的服务请求消息，在代表服务器选择了不进行数据的加密的客户端通信信息选择1的情况下，在客户端和服务提供服务器之间进行通信的包。另外，图25是用来自图13所示的客户端的服务请求消息，在代表服务器选择了实施数据的加密的客户端通信信息选择2的情况下，在客户端和服务提供服务器之间进行通信的包。
在图24中，数据包170由IP头171、UDP/TCP头172、客户端通信信息ID173、数据174和HMAC175构成。此外，客户端通信信息ID173是客户端通信信息ID(R)或客户端通信信息ID(I)。在此，该数据包170要为从服务提供服务器向客户端的流数据。客户端参照在数据中附加的客户端通信信息ID(R)，把握对应于在图15说明过的客户端通信信息ID(R)的消息认证代码(HMAC-SHA1)和认证代码用公共密钥(3541e2af1537fg3712ca12)。使用认证代码用公共密钥解密HMAC175并生成Hash(1)。另一方面，使用数据174和消息认证代码生成Hash(2)。如果Hash(1)与Hash(2)相等，则可以确认作为数据包170的发送源的服务提供服务器是处于代表服务器的属下的正规服务提供服务器。
在图25中，数据包180由IP头181、UDP/TCP头182、客户端通信信息ID183、加密数据184和HMAC185构成。在此，该数据包180要为从服务提供服务器向客户端的流数据。客户端参照在数据中附加的客户端通信信息ID(R)(未图示)，把握对应于客户端通信信息ID(R)的消息认证代码(HMAC-MD5参照图13)、认证代码用公共密钥(fe648c578b80a675)、消息加密方法(AES-128-CBC)以及加密用公共密钥(1653fe648c578b424ef)。接着，使用认证代码用公共密钥解密HMAC 185并生成Hash(1)。另一方面，用加密用公共密钥解密加密数据184，使用消息认证代码生成Hash(2)。如果Hash(1)与Hash(2)相等，则可以确认作为数据包180的发送源的服务提供服务器是处于代表服务器的属下的正规服务提供服务器。在图24以及图25中数据包是假定为从服务提供服务器向客户端发送的数据，但是，相反在从客户端给服务提供服务器发送的数据中也同样，服务提供服务器，参照在数据中附加的客户端通信信息ID(I)，通过比较生成的2个Hash值可以确认是正规的客户端。
根据本实施例，认证仅针对代表服务器来进行，所以服务提供服务器不需要具有电子证明书。客户端通过确认在消息中附加的HMAC的值，可以确认正进行通信的服务提供服务器是在正确的代表服务器的属下的服务提供服务器。另外，通过进行加密通信可以保持服务数据的隐秘性。
SIP服务器，由于不需要认证各个服务提供服务器，另外，也不需要在与各个服务提供服务器之间保持通信会话，所以可以减轻SIP服务器的负荷。另外，数据通信，由于是在客户端与服务提供服务器之间直接进行，所以代表服务器不会成为处理的瓶颈。在本实施例中代表服务器是一揽子选择客户端通信信息，所以还有用1次查询就可以确定客户端通信信息的优点。
『实施例2』使用图26至图29对本发明实施例进行说明。在此，图26是代表服务器的处理流程图。图27是服务提供服务器的处理流程图。图28是说明从代表服务器给服务提供服务器发送的客户端通信信息设定请求的结构和消息体的图。图29是说明从服务提供服务器给代表服务器发送的客户端通信信息设定应答的结构和消息体的图。
相对于在上述实施例1中代表服务器对加密通信信息和消息认证信息进行选择，而实施例2则是服务提供服务器进行选定的实施例。在实施例2中仅对与实施例1不同的地方进行说明。因此，大部分附图是与实施例1公通的或者虽然有一些区别也基本上是相同的。
参照图26对代表服务器的处理流程进行说明。当代表服务器30启动时，代表服务器30将设置了自己本身IP地址的“REGISTER”消息作为接触信息发送到SIP服务器(S901)。在等待到SIP服务器20的应答之后(S902)，接收“200OK”而成为等待消息接收(S903)。代表服务器30，在接收了“INVITE”后，解析INVITE消息，取得加密通信信息的候补、消息认证信息的候补以及应用信息(S904)。代表服务器30参照记录了服务提供服务器状态的服务器选择表(图9)，选择与客户端通信的服务提供服务器(S905)。
代表服务器30将加密通信信息的候补、消息认证信息的候补以及应用信息作为客户端通信信息设定请求发送到服务提供服务器(S906)。代表服务器30在等待到服务提供服务器40-1的应答后(S907)，从服务提供服务器40-1返回表示进行了正常通信的客户端通信信息设定应答时，在服务连接表中追加表项，并更新服务器选择表。另外，代表服务器30向SIP服务器20发送包含由服务提供服务器40-1选择的加密通信信息和消息认证信息的200OK消息(S908)，并再次成为等待消息接收(S903)。
当接收来自作为服务连接认证的SIP服务器20的ACK消息时，代表服务器30再一次成为等待消息(S903)。在此状态下，当从SIP服务器20接收作为服务切断请求的BYE消息时，解析BYE消息，参照服务器选择表，确定对加密通信信息和消息认证信息进行消去的服务提供服务器40-1(S911)，向该服务提供服务器40-1发送客户端通信信息消除请求(S912)，成为服务提供服务器40-1的应答等待(S913)。当从服务提供服务器40-1返回了表示进行了正常通信的客户端通信信息消除应答时，消除服务连接表的表项，更新服务器选择表。另外，向SIP服务器20发送把消去加密通信信息、消息认证信息，以及切断服务通知到客户端的200OK消息(S914)，成为等待消息接收(S903)。此外，在步骤902、步骤907或步骤913中接收了错误时，或者已经超时时，迁移到步骤921、步骤922或步骤923的错误处理。
在图27中，当服务提供服务器40启动时，服务提供服务器40，首先成为等待接收来自代表服务器30的请求(请求)(S501)。当服务提供服务器40接收客户端通信信息设定请求时，解析这个请求，取得从代表服务器30通知的加密通信信息选择、消息认证信息选择以及应用信息(S502)。服务提供服务器40选择利用于与客户端进行通信的加密通信信息和消息认证信息(S503)，在客户端通信信息设定表中设置加密通信信息、消息认证信息以及应用信息，向代表服务器30发送客户端通信信息设定应答(S504)。此后服务提供服务器40根据加密通信信息、消息认证信息以及应用信息，开始与直接客户端的服务数据的收发(S505)。以此开始为契机，服务提供服务器40，服务数据的收发中也迁移到等待接收来自代表服务器30的请求(S501)。
在服务提供服务器40接收了客户端通信信息消除请求时，解析该请求，停止与该客户端的服务数据的收发(S507)。服务提供服务器40从客户端通信信息设定表中消去在与该客户端的通信中使用的加密通信信息、消息认证信息以及应用信息，并向代表服务器30发送客户端通信信息消除应答(S508)，并再次迁移到等待接收来自代表服务器30的请求(S501)。
从图28所示的代表服务器向服务提供服务器发送的客户端通信信息设定请求包，是在图5的T510对应位置上发送的包。客户端通信信息设定请求包210由IP头211、UDP/TCP头212、客户端通信信息设定请求消息头213和客户端通信信息设定请求消息体214构成。在实施例2中，从客户端提示的选择的选择，由服务提供服务器40-1来进行。因此，客户端通信信息设定请求消息体214，与图13中说明过的服务连接请求消息体相同。
从图29所示的服务提供服务器向代表服务器发送的客户端通信信息设定应答包，是在图5的T511对应位置上发送的包。客户端通信信息设定应答包220由IP头221、UDP/TCP头222、客户端通信信息设定应答消息头223和客户端通信信息设定应答消息体224构成。客户端通信信息设定应答消息体224，与图15中说明过的服务连接应答消息体相同。
根据本实施例，认证仅针对代表服务器来进行，所以服务提供用服务器不需要具有电子证明书。客户端，通过确认在消息中附加的HMAC的值，可以确认正进行通信的服务提供服务器是在正确的代表服务器的属下的服务提供服务器。另外，通过进行加密通信可以保持服务数据的隐秘性。
SIP服务器，由于不需要认证各个服务提供服务器，另外，也不需要在与各个服务提供服务器之间保持通信会话，所以可以减轻SIP服务器的负荷。另外，数据通信，由于是在客户端与服务提供服务器之间直接进行，所以代表服务器不会成为处理的瓶颈。
根据本发明，认证仅针对代表服务器来进行，所以服务提供用服务器不需要具有电子证明书。SIP服务器，由于不需要认证各个服务提供服务器，另外，也不需要在与各个服务提供服务器之间保持通信会话，所以可以减轻SIP服务器的负荷。另外，数据通信，由于是在客户端与服务提供服务器之间直接进行的，所以代表服务器不会成为处理的瓶颈。
权利要求
1.一种服务网络系统，其特征在于，具有多个服务提供服务器，其提供信息服务；会话管理服务器，其根据来自客户端的请求执行用于会话的确立以及切断的通信处理；和代表服务器，其代表所述多个服务提供服务器与所述会话管理服务器之间执行通信处理；所述代表服务器，向从所述多个服务提供服务器中选择的服务提供服务器发送从客户端接收到的客户端地址和第1客户端通信信息，所述代表服务器，向所述客户端发送从所述选择的服务提供服务器接收到的服务提供服务器地址和第2客户端通信信息，在所述选择的服务提供服务器和所述客户端之间进行通信。
2.根据权利要求1所述的服务网络系统，其特征在于，所述客户端，向所述代表服务器发送多个客户端信息，所述代表服务器，从所述多个客户端信息中选择客户端信息，作为所述第1客户端信息发送到所述选择的服务提供服务器。
3.根据权利要求1所述的服务网络系统，其特征在于，所述客户端，向所述代表服务器发送由多个客户端信息构成的所述第1客户端通信信息，所述代表服务器，向所述选择的服务提供服务器发送所述第1客户端通信信息，所述选择的服务提供服务器，从所述第1客户端通信信息选择客户端通信信息。
4.一种服务网络系统，其特征在于，具有多个服务提供服务器，其提供信息服务；会话管理服务器，其根据来自客户端的请求执行用于会话的确立以及切断的通信处理；和代表服务器，其代表所述多个服务提供服务器与所述会话管理服务器之间执行通信处理；所述多个服务提供服务器、所述会话管理服务器和所述代表服务器被连接到第1网络上，所述多个服务提供服务器和所述代表服务器还被连接到第2网络上。
5.根据权利要求4所述的服务网络系统，其特征在于，所述第2网络是局域网。
6.根据权利要求4所述的服务网络系统，其特征在于，所述代表服务器和所述多个服务提供服务器的各个之间的通信经由所述第2网络。
7.一种服务器装置，其特征在于，在第1网络中，同时与多个客户端、提供信息服务的多个服务提供服务器和根据来自客户端的请求执行用于会话的确立以及切断的通信处理的会话管理服务器连接，在第2网络中，同时与所述多个服务提供服务器连接，并经由所述第2网络与所述多个服务提供服务器进行通信，代表所述多个服务提供服务器，在与所述会话管理服务器之间通过所述第1网络执行通信处理。
8.根据权利要求7所述的服务器装置，其特征在于，记录了由可以提供使用所述多个服务提供服务器的加密算法和消息认证算法组成的表。
9.根据权利要求7所述的服务器装置，其特征在于，在所述多个服务提供服务器的至少一台正提供使用时，记录了由客户端和正提供使用的服务提供服务器组成的表。
10.一种服务器装置，其特征在于，具有连接到总线的处理器；存储器，其临时存储处理器执行的程序和程序参照的表；外部存储装置，其保存所述程序和所述表；与第1网络连接的第1网络接口；和与第2网络连接的第2网络接口；在所述第1网络中，连接有多个客户端、提供信息服务的多个服务提供服务器和根据来自客户端的请求执行用于会话的确立以及切断的通信处理的会话管理服务器，在所述第2网络中，连接所述多个服务提供服务器，经由所述第2网络向从所述多个服务提供服务器中选择的服务提供服务器发送从客户端接收到的客户端地址和第1客户端通信信息，向所述客户端发送由选择的服务提供服务器经由所述第2网络接收到的服务提供服务器地址和第2客户端通信信息。
全文摘要
成为多个服务提供服务器(40)的代表的服务器装置(30)，作为代表实施与SIP服务器(20)的认证或SIP消息交换，并将由SIP消息交换取得的客户端通信信息通知到服务提供服务器(40－1)。服务提供服务器(40－1)，根据从代表服务器(30)通知的客户端通信信息与客户端(10－1)进行通信。
文档编号H04L29/00GK1863214SQ200610080169
公开日2006年11月15日 申请日期2006年5月10日 优先权日2005年5月11日
发明者星野和义, 锻忠司, 高田治, 藤城孝宏, 泽田晃平 申请人:株式会社日立制作所