专利名称:与计算机系统的加密通信方法及系统的制作方法
技术领域:
本发明涉及经由因特网等通信网络进行加密通信的技术,特别涉 及从连接到因特网等通信网络上的装置来使用经由网络使用硬盘装 置等存储装置的计算机系统的技术。
背景技术:
在日本特开2005-327233号公报(第13页、图9、所谓文献l) 中记载着如下技术在经由因特网连接了存储装置和刀片计算机 (blade computer)的构成中,用户使用被连接到网络上的任意终端 装置来接入刀片计算机,用作用户每个人可以自由地设定环境或应用 的计算机。所谓刀片计算机就是指以在机架中容纳多枚并利用为前提 的一枚计算机基板,在电子基板上搭载CPU和存储器等构成计算机的 装置(以下简称为"刀片")。连接在因特网等外部网络上的外部终端装置,接入被连接在公司 等组织内的内部网络上的刀片时,在外部网络和内部网络的边界,设 置防火墙,判别外部终端装置的用户是否正确,若是正确的用户则可 以接入被连接在内部网络上的刀片。但是,在文献l中,没有记载将 外部终端装置和刀片间的通信加密的方法。而另一方面,作为进行外部终端装置的认证及通信的加密的技 术,有像NORTEL NETWORKS, "Alteon SSL VPN" , NORTEL NETWORKS, p2_3, <http://www. nortel. com/products/01/alteon/sslvpn/colla teral/nnl02960-073103. pdf> (文献2)中所例示的VPN (Virtual Private Network:虚拟个人网络)技术。例如,对连接到因特网等 外部网络上的外部终端装置与连接在公司等组织内网络上的内部终 端装置进行加密通信的情况进行了说明。首先,外部终端装置从因特网对位于组织内网络的入口的VPN装置,发送连接到内部终端装置的请求。在此,VPN装置使用公开秘钥证书(以下记作"证书")等,进行外部终端装置的认证,确认是能 接入内部终端装置的终端装置。而且,外部终端装置使用证书等进行VPN装置的认证。若外部终端装置和VPN装置相互能够认证,则在外部终端装置和 VPN装置共用加密秘钥,在两者之间交换的数据使用加密秘钥进行加 密。而且,VPN装置连接至内部终端装置,对外部终端装置和内部终 端装置交换的数据进行中继。这样一来,外部终端装置可以经由VPN装置与内部终端装置进行 通信。而且,由于在外部终端装置和VPN装置之间交换的数据被加密, 所以可以进行安全的通信。在文献2中,公开了提供这样的VPN技术的设备的功能说明。在文献1记载的计算机系统中,为了使终端装置和刀片之间的通 信为安全的通信,可以考虑使用文献2所记载的VPN技术。但是,在 使用了现有的VPN技术的安全通信方法中,由于VPN装置中继所交换 的全部数据,所以在存在多个终端装置和多个刀片的情况下,VPN装 置的负荷有可能变大。而且,使用了文献2的VPN技术的加密通信方法,是将终端装置 和VPN装置之间的通信加密的方法,没有公开有关VPN装置和刀片间 的加密通信。因此,在VPN装置和刀片间的通信中,存在交换平文的 数据的问题。发明内容本发明是鉴于上述事情而提出的,其提供一种在安全地进行连接 在外部网络上的装置和连接在组织内网络上的装置之间的通信的情 况下使通信的负荷分散的技术、及/或通过将从终端装置到刀片之间
的通信加密,能够更加确保安全的技术。也就是说,本发明提供配置了管理终端装置和刀片的管理服务器 的通信系统。本发明的通信系统通过以下步骤在终端装置和刀片之间进行安 全通信。首先,终端装置连接至被连接在组织内网络的入口上的管理服务 器,终端装置和管理服务器相互进行使用了证书的认证。若相互认证 成功,则共用用于对在终端装置和管理服务器之间交换的数据进行加 密的加密秘钥,建立终端装置和管理服务器间的加密通信路径。管理服务器参照记录了刀片的使用状况的刀片使用状况表,选择 成为该终端装置的通信对方的刀片。然后,对所选择的刀片,发送根 据用户ID从保存器读入该刀片的电源接通、启动、及该外部通信终端的用户使用的信息的意思的指令。此时的刀片即使为电源断开的状 态,也根据来自管理服务器的指令,使接受电源导通和启动指示的部 分通电,变为等待接受指示的状态。若电源导通,则该刀片进行启动处理,从连接在组织内网络上的 保存器读入该外部终端使用的信息。然后,刀片通过与在上述终端装 置和管理服务器实施的加密通信路径建立步骤相同的步骤,在刀片和管理服务器之间进行加密通信路径的建立。然后,终端装置对管理服务器送出连接至读入该终端装置使用的 信息的刀片的连接请求。管理服务器对分别认证完终端装置和刀片进行确认,若可以确认 则生成在终端装置与刀片之间的加密通信中使用的加密秘钥。然后, 管理服务器通过与刀片之间建立的加密通信路径,向刀片送出从终端 装置对刀片的连接请求、及用于在终端装置和刀片之间的加密通信中 使用的加密秘钥。刀片判断是否终端装置能连接到刀片,将其结果送出到管理服务器。在终端装置和刀片能连接时,管理服务器通过与终端装置之间建 立的加密通信路径,将能连接的意思、及用于在终端装置和刀片装置 之间的加密通信中使用的加密秘钥,送出到终端装置。使用该加密秘钥,在终端装置和刀片部通信终端之间建立加密通 信路径,进行安全的通信。而且,也可以不按照来自管理服务器的电源接通指令进行刀片的 电源接通和与管理服务器的加密通信路径,而是预先进行。例如,也 可以在多个终端装置共同使用相同的环境和信息时,预先进行刀片的 电源接通和保存器读入以及与管理服务器之间的加密通信路径建立, 在从终端装置有连接请求时,立即进行刀片选择、密码秘钥的生成和 送出,然后进行终端装置和刀片间的加密通信路径建立。还可以在管理服务器进行终端装置或刀片的认证时,对其它装置 即证书验证服务器装置(以下简称为验证服务器)委托证书的验证。 验证服务器验证该证书,从而可以进行更确实的认证。而且,也可以由第三组织来运营管理服务器。即,管理服务器也 可以是连接在不同于内部通信终端的组织内网络上的构成。根据上述方案,终端装置和刀片间的加密通信路径建立后,可以 不经由管理服务器进行加密通信。因此,与现有技术相比较,减轻了 对管理服务器的负荷。而且,根据上述方案,通过包含组织内网络的终端装置与刀片之 间的通信线路,能进行加密通信,能进行更安全的通信。再者,根据上述方案,在管理服务器可以实现刀片的选择和状态 管理,所以不必另外设置用于管理刀片的服务器,可以减轻用于服务 器设置的成本。而且,上述方案的终端装置,也可以是将管理服务器管理的网络 上的通信作为终端的通信装置。例如,终端装置可以是位于与其它网
络的边界的网关装置,也可以是连接着上述管理服务器管理的网络和 其它网络的构成。本发明的效果如下根据本发明,可以更安全地确保连接在外部 网络上的装置与连接在组织内网络上的装置之间的通信的负荷分散。
图1例示本发明两个实施方式的通信系统的构成。 图2例示终端装置11和刀片14的概要构成。图3例示管理服务器12的概要构成。 图4例示验证服务器13的概要构成。图5例示终端装置11、管理服务器12、验证服务器13各自的硬件构成。图6例示刀片14的硬件构成。图7例示终端装置11和管理服务器12为了建立加密通信路径而 相互认证为止的处理步骤。图8例示终端装置11和管理服务器12建立加密通信路径并使其 结束为止的处理步骤。图9例示终端装置11在管理服务器12中登录终端装置11的地 址的处理步骤。图10例示在实施方式1中,终端装置11经由管理服务器12, 与刀片14建立加密通信路径为止的处理步骤。图11例示在实施方式1中,终端装置11经由管理服务器12, 与刀片14建立加密通信路径,并使用该加密通信路径实施处理为止 的处理步骤。图12例示在实施方式1中,管理服务器12保持的刀片使用状况 表的内容。图13例示在实施方式1中,终端装置11经由管理服务器12, 与刀片14结束加密通信路径为止的处理步骤。
图14例示在实施方式2中,终端装置11经由管理服务器12, 与刀片14建立加密通信路径为止的处理步骤。图15例示在实施方式2中,终端装置11经由管理服务器12, 与刀片14建立加密通信路径,并使用该加密通信路径实施处理为止 的处理步骤。图16例示在实施方式2中,管理服务器12保持的刀片使用状况 表的内容。图17例示在实施方式1中,终端装置11经由管理服务器12, 与刀片14结束加密通信路径为止的处理步骤。图18例示在实施方式1和2中,管理服务器12保持的用户使用 区域管理表的内容。图19例示在实施方式1和2中,管理服务器12保持的地址管理 表的内容。
具体实施方式
以下,对本发明的两个实施方式进行说明。 〈实施方式1>图1是例示本发明的一实施方式涉及的通信系统的构成的图。 本实施例的通信系统由因特网等外部网络(称作因特网)17、连 接在因特网17上的终端装置1L 终端装置11N (统称为"终端装置 ll")、及连接在因特网17上的组织内网络16构成。虽然未图示,但 因特网17和组织内网络16也可以经由防火墙等装置连接。在是防火 墙的情况下,设定为终端装置11和管理服务器12之间的通信不被防 火墙切断。而且,各网络也可以是有线或无线中的任意网络。而且,在组织内网络16上,连接着组织内使用者使用的刀片14, 刀片14M (统称为"刀片14")、保管着组织内使用者使用的数据的保 存器15, 保存器15l (统称为"保存器15")、管理各终端装置ll和 刀片14间的通信的管理服务器12、及在终端装置11或刀片14等的
认证处理中验证证书的验证服务器13。而且,管理服务器12、验证 服务器13、刀片14和保存器15各自的运营组织可以相互不同,也 可以任意两个相同,也可以全部相同。而且,管理服务器12及/或验 证服务器13还可以连接在其它组织内网络上。接着,对构成图1的通信系统的各装置进行说明。首先,使用图2说明终端装置11和刀片14的功能构成。而且, 在以下说明中,在不区别这些装置时简称为"通信装置"。通信装置具有处理部20a、存储部20b、进行通信结果的显示 或来自用户的指示的接受的输入输出部20c、及经由因特网17或组 织内网络16与其它装置进行通信的通信部20d。处理部20a具有用于申请登录对该通信终端的网络上的位置进 行确定的地址的地址登录申请部21、进行与管理服务器12间的通信 处理的对管理服务器通信处理部22、进行与对方的通信终端间的通 信处理的对终端通信处理部23、及统一控制通信终端各部的控制部 24。存储部20b具有秘密秘钥 证书保持部25和为了加密通信而使 用的加密秘钥保持部,其中,秘密秘钥 证书保持部25保持着该刀 片14的秘密秘钥(private key)和公开秘钥证书、或使用该终端装 置11的用户的秘密秘钥和公开秘钥证书(以下称作"终端装置11的 秘密秘钥和公开秘钥证书"或分别称作"终端装置11的秘密秘钥"、 "终端装置ll的证书")。而且,秘密秘钥 证书保持部25中保持的秘密秘钥和公开秘钥 证书,在管理服务器12认证该刀片14或该终端装置11的用户时使 用。而且,该终端装置11的用户的秘密秘钥和公开秘钥证书也可以 预先装入IC卡等可移动的存储介质内,通过将该存储介质插入到终 端装置11的读取装置中,将该存储介质作为终端装置11的秘密秘 钥 证书保持部25 (以后说明上述存储介质和读取装置)。
接着,使用图3说明管理服务器12。管理服务器12具有处理部30a、存储部30b、进行通信结果的 显示或来自用户的指示的接受的输入输出部30c、及经由组织内网络 16与其它装置或连接到因特网17上的其它装置进行通信的通信部 30d。处理部30a具有地址登录/检索部31,接受来自通信终端的地 址登录申请将地址登录在地址DB37中,或检索通信终端的地址;刀 片状态管理部32,将刀片的使用状态反映给刀片管理DB38,或接受 来自终端装置ll的连接请求,进行该终端装置ll使用的刀片的分配; 秘钥生成部33,生成用于对通信终端-通信终端间的通信进行加密的 加密秘钥;对终端通信处理部34,进行与通信终端间的通信处理; 对检测服务器通信处理部35,进行与验证服务器13间的通信处理; 控制部36,统一控制管理服务器12的各部。存储部30b具有秘密秘钥 证书保持部37,保持通信终端验 证该管理服务器时使用的该管理服务器12的秘密秘钥(private key) 和公开秘钥证书;地址DB38,保持用于管理通信终端的地址的地址 管理表AO;刀片管理DB39,保持表示刀片的使用状况的刀片使用状 况表70;及用户使用区域管理DB (3A),保持表示用户使用的数据被 保持在保存器的哪个部分的用户使用区域管理表90。在用户使用区 域管理DB (3A)中,预先设定了用户ID1和保存器标志符92,知道 哪个用户的数据保存在哪个保存器中。接着,使用图4说明验证服务器13。验证服务器13具有处理部40a、存储部40b、进行验证结果的 显示或来自用户的指示的接受的输入输出部40c、及经由组织内网络 16与其它装置或连接到因特网17上的其它装置进行通信的通信部 40d。处理部40a具有证书验证部42,对从管理服务器12接受的验
证请求,验证所请求的证书;对管理服务器通信处理部43,进行与 管理服务器12间的通信处理;控制部44,统一控制验证服务器13 的各部。存储部40b具有证书保持部45,该证书保持部45保持证书验证 部42验证证书时需要的从验证机构取得的证书或失效信息。而且,图2 图4所例示的终端装置11、管理服务器12、验证 服务器13各自的处理部,例如图5所例示的那样具备CPU51、存储 器52、硬盘等外部存储装置53、用于经由因特网等因特网17或组织 内网络16与其它装置进行通信的通信装置54、键盘或鼠标等输入装 置55、显示装置或打印机等输出装置56、从可移动的存储介质58读 取信息的读取装置57、及对这些各装置之间进行连接的内部通信线 路50,在一般的电子计算机中,可以通过CPU51执行被下载到存储 器52上的规定程序来具体化。这些程序也可以预先保存在上述电子计算机内的存储器52或外 部存储装置53中,也可以在需要时,从上述电子计算机能使用的可 插拔的存储介质58、或经由通信媒体(因特网17或组织内网络16 等、或在它们之上传输的载波或数字信号等)从其它装置导入。而且,上述各处理部的一部分或全部都可以由硬件构成。而且,通信终端只要能实现图2所示的功能构成即可,不限于图 5所示的构成。也可以是具备能与因特网17或组织内网络16连接的 通信装置54相当的功能的设备。例如,不仅可以是路由器、PC、 PDA, 也可以通过使电视机、电冰箱、空调机、微波炉等家用电器具备图5 的类似构成,而成为通信终端。而且,图2所例示的刀片14的处理部,例如像图6所例示的那 样,具备CPU61、存储器62、用于经由组织内网络16与其它装置进 行通信的通信装置63、交换来自键盘或鼠标等输入装置的信息的输 入接口 64、交换显示装置或打印机等输出的信息的输出接口 65、从 可移动的存储介质67中读取信息的读取装置66、及对这些各装置间 进行连接的内部通信线路60,在电子计算机中,可以通过CPU61执 行被下载到存储器62上的规定程序来具体化。而且,在刀片14中,不具备一般电子计算机所具备的硬盘等外部存储装置,保存器15实现刀片14的外部存储装置的功能。这些程序也可以预先保存在上述电子计算机内的存储器62或保存器15中,也可以在需要时,从上述刀片14能使用的可插拔的存储介质67、或经由通信媒体(组织内网络16或因特网17等、或在它们之上传输的载波或数字信号等)从其它装置导入。而且,上述各处理部的一部分或全部都可以由硬件构成。 接着,对本实施方式的通信系统的动作进行说明。 本实施方式的通信系统的动作分为在通信终端(终端装置11或刀片14)-管理服务器间的加密通信路径建立动作、及在终端装置11-刀片间的加密通信路径建立动作。首先,对在通信终端-管理服务器间的加密通信路径建立动作进行说明。图7和图8是用于说明本实施方式的在通信终端-管理服务器间 的加密通信路径建立动作的流程图,是在终端装置11和管理服务器 12间建立加密通信路径的情况的例子。为了验证管理服务器12,终端装置11的对管理服务器通信处理 部22对管理服务器12,发送管理服务器12的证书请求(图7,步骤 1001)。接收了该请求的管理服务器12的对终端通信处理部34 (步 骤1002),从秘密秘钥 证书保持部37取出该管理服务器的证书并 响应,而且,对终端装置11送出对方的终端装置11的证书请求(步 骤1003)。接收了该请求的终端装置11的对管理服务器通信处理部 22 (步骤1004),从秘密秘钥 证书保持部25取出该终端装置11的 证书,送出到管理服务器12 (步骤1005)。
终端装置11的对管理服务器通信处理部22进行通过步骤1004 接收到的管理服务器12的证书的验证(步骤1007),检査管理服务 器12没有冒充。管理服务器12的证书验证失败时(步骤1008中为 "否"),因管理服务器的认证不成立,结束通信(步骤1106)。管理 服务器12的证书认证成功时(步骤1008中为"是"),进入下一步骤。管理服务器12的对终端通信处理部34从终端装置11接收证书 (步骤1006),为了验证该证书,通过对验证服务器通信处理部35, 对验证服务器13送出终端装置11的证书的验证请求(步骤1009)。 证书验证服务器13接收验证请求(步骤1010),在证书验证部42进 行请求了验证的证书的验证(步骤1011)。终端装置11的证书的验证成功时(步骤1012中为"是"),验证 服务器13的对管理服务器通信处理部43向管理服务器12送出证书 验证成功的意思的通知(步骤1013)。终端装置11的证书的验证失 败时(步骤1012中为"否"),对管理服务器通信处理部43向管理服 务器12送出证书验证失败的意思的通知(步骤1014)。管理服务器 12的对终端通信处理部34经由对验证服务器通信处理部35从验证 服务器13接收验证结果(步骤1015),在该验证结果是失败时(步 骤1016中为"否"),由于终端装置11的认证不成立,所以结束通信 (步骤1106)。终端装置11的证书的验证结果是成功时(步骤1016 中为"是"),进入下一步骤。若终端装置11和管理服务器12不能相互认证(步骤1008中为 "是"且步骤1016中为"是"),终端装置11的对管理服务器通信处 理部22和管理服务器12的对终端通信处理部34相互共有用于加密 通信路径的加密通信用密钥(称作加密秘钥)(图8,步骤IIOI、步 骤1102)。若共有加密密钥,则为建立了终端装置11和管理服务器 12之间的加密通信路径(步骤1103),终端装置11的对管理服务器 通信处理部22和管理服务器12的对终端通信处理部34,使用该加
密秘钥进行加密通信(步骤1104)。若加密通信结束,则终端装置11的对管理服务器通信处理部22 和管理服务器12的对终端通信处理部34结束加密通信路径(步骤 1106)。通过执行这样的步骤,终端装置11和管理服务器12相互确认对 方,从而可以建立加密通信路径。接着,对在终端装置l卜刀片14间的加密通信路径建立动作进 行说明。为了建立在终端装置U-刀片14间的加密通信路径,需要预先 将各终端装置的地址信息登录到管理服务器12。使用图9进行地址 登录动作的说明。图9是用于说明向管理服务器12登录通信终端的地址的动作的 流程图,是终端装置ll向管理服务器12进行地址登录的情况的例子。首先,终端装置11和管理服务器12通过实施从步骤1001到步 骤1016、从步骤1101到步骤1103的步骤,建立相互之间的加密通 信路径(步骤2001)。加密通信路径建立后,终端装置11的地址登 录申请部21向管理服务器12送出该终端装置11的地址的登录请求 (步骤2002)。若管理服务器12的地址登录/检索部31接收登录请 求(步骤2003),则将终端装置11的地址登录到保持在地址DB38中 的地址管理表AO (步骤2004)。而且,在登录的地址信息中,包括确定进行登录请求的对象(在 此为终端装置11的用户)的信息(以下,终端装置的用户时为"用 户ID",刀片时为"刀片ID");及确定进行登录请求的对象(在此为 该通信终端)在网络上的位置的信息,例如包括IP地址。将这些信 息建立对应地登录到地址管理表AO的、用户ID/刀片ID (Al)部和 IP地址(A2)。在用户ID及刀片ID中,使用在域内固定的ID即可。例如,可
以使用通信终端名或通信终端的MAC地址。而且,在公司内这样的封 闭的域内,可以使用通信终端的用户的邮箱地址、通信终端的SIP-URI 、或通信终端的FQDN(完全修饰域名Fully Qualif ied Domain Name)这样的信息。而且,管理服务器12将用户ID或刀片ID与该 终端装置11的证书及刀片14的证书建立关联地管理。例如,也可以 通过在该终端装置11的证书及刀片14的证书中,记载用户ID及刀 片ID,来建立关联。在登录完成后,对终端装置ll送出登录完成通知(步骤2005)。 若终端装置11接收登录完成通知(步骤2006),则终端装置11和管 理服务器12执行加密通信路径的结束处理。通过执行上述步骤,可 以将终端装置11的地址登录到管理服务器12中。终端装置11与刀片14进行加密通信时,预先将双方的通信终端 的地址登录到管理服务器12。即,刀片14也可以通过执行与图9相 同的步骤将该刀片14的地址登录到管理服务器。但是,由于刀片14多固定地设置在组织内网络16内,所以也可 以不分别进行登录处理,而是管理者预先分配地址并登录在管理服务 器12中。再者,通信终端可以删除已登录到管理服务器12中的地址。删 除时在图8所示的处理中进行将"登录"置换为"删除"的处理。而且,在分配给该通信终端的地址变化时,地址登录需要再度执 行图8的登录处理。例如,通信终端从另外设置的DHCP服务器等动 态地接受地址分配时,若将通信终端的电源关断(OFF)、接通(0N), 或复位通信终端,则有可能地址改变。而且,在通信终端结束与网络 的连接,通过移动目标而连接到其它网络上时,有可能地址改变。这 样的情况下,通过再度进行图8的登录处理,将最新的地址登录到管 理服务器12。接着,说明终端装置11经由管理服务器12与刀片14建立加密
通信路径的动作。图10和图11是用于说明在终端装置11和刀片14之间建立加密 通信路径的动作的流程图。首先,管理服务器12和终端装置11通过预先实施从步骤1001 到步骤1016、从步骤1101到步骤1103的步骤,建立在终端装置ll-管理服务器间的加密通信路径(步骤3001)。然后,在还没有登录终 端装置11的地址的情况、或登录地址变化的情况下,通过实施从步 骤2002到步骤2006的步骤,将终端装置11的地址登录到管理服务 器12 (步骤3002)。接受来自终端装置11的地址登录处理,管理服务器12的刀片状 态管理部32参照图12所示的刀片使用状况表70,进行该终端装置 ll使用的刀片的选择和表的更新(步骤3003)。 g卩,刀片使用状况表 70被保持在管理服务器12的刀片管理DB39中,记载着刀片识别信 息71、表示该刀片是否正被使用的使用状况72、该刀片正被使用时 正使用该刀片的使用用户73。管理服务器12的计算机状态管理部32将刀片使用状况表70中 记载着的刀片识别信息71之中使用状况72为"未使用(停止中)" 的刀片选作连接目标刀片。然后,将与选择的刀片识别信息71相对 应的使用状况栏72更新为"分配完",在使用终端装置73栏中记载 该终端装置ll的用户ID。然后,管理服务器12的刀片状态管理部32对在步骤3003中选 择的刀片14,送出电源接通、启动、及从保存器15中读入该终端装 置11的用户的数据的意思的指示(步骤3004)。而且,本数据读入 指示根据将在步骤3002中登录的该终端装置11的用户ID作为关键 词来检索用户使用区域管理表90而得到的、与该用户ID相对应的保 存器标志符92进行。刀片14从管理服务器12接受电源接通的指示,若接通电源,则
从保存器15中读入该终端装置11的用户的数据(步骤3005)。然后, 若数据的读入完成,则刀片14和管理服务器12通过实施从图7的步 骤1001到步骤1016、从图8的步骤1101到步骤1103的步骤,建立 加密通信路径(步骤3006),通过实施从图9的步骤2002到步骤2006 的步骤,将刀片14的地址登录到管理服务器12 (步骤3007)。艮口, 将刀片14从保存器15读入的数据中所包含的刀片ID和刀片14的 IP地址登录到管理服务器12。而且,刀片14的IP地址既可以预先 设定在从保存器15读入的数据中,也可以从另外准备的DHCP服务器动态地取得IP地址。然后,终端装置11的对管理服务器通信处理部22,对管理服务 器12发送连接到刀片14的连接请求(步骤3008)。而且,在连接请 求中,包含作为连接对方的刀片14的刀片ID。刀片ID包含在从保 存器15读入的用户的数据中,该用户使用的刀片ID唯一设定。而且, 用户(即终端装置ll)预先知道自身的刀片工D。在此,在步骤3008中实施的连接请求,可以不是在刀片14的地 址登录完成后(步骤3007)实施,而是在步骤3002的终端装置11 的地址登录之后立即实施。即,也可以是管理服务器12从终端装置 11接受连接到刀片14的连接请求后,实施刀片的分配(步骤3003) 以后的处理的方式。接收了连接请求的管理服务器12的对终端通信处理部34,经由 秘钥生成部33生成终端装置11和刀片14之间的加密通信路径中使 用加密秘钥(步骤3009)。然后,管理服务器12的对终端通信处理 部34,将从终端装置11到刀片14的连接请求及在步骤3009生成的 加密通信用密钥,发送到刀片14 (步骤3010)。加密通信用密钥按照 例如日本特开2005-303485号公报所公开的方法(终端装置11和刀 片14在管理服务器12中登录为了加密通信而能使用的设定信息,管 理服务器12从登录的设定信息中选择共用的,按照选择的设定信息
来生成加密密钥的方法)生成即可。接收了它的刀片14的对管理服务器通信处理部22,判断该终端 装置11是否能连接到该刀片14 (是否为不忙)(步骤3011),将该连 接可否判定结果发送到管理服务器12 (步骤3012)。管理服务器12 的对终端通信处理部34向终端装置11发送该连接可否判定结果、及 判定结果为能通信时步骤3009中生成的加密通信用秘钥(步骤 3013)。然后,管理服务器12的对终端通信处理部34更新刀片使用 状况表70 (步骤3014)。具体而言,将对应于该刀片14的使用状况 72栏更新为"使用中"。若终端装置11的对管理服务器通信处理部22接收到判定结果, 则刀片14的对终端通信处理部23使用步骤3010及步骤3013分别接 收到的加密秘钥,与终端装置11的对终端通信处理部23建立加密通 信路径(步骤3015)。终端装置11的对终端通信处理部23使用在其与刀片之间建立的 加密通信路径,请求对刀片14的处理(图11,步骤310D。刀片14 经由对终端通信处理部23接受该处理请求,执行与之相对应的处理。 然后,刀片14的对终端通信处理部23利用在其与终端装置11之间 建立的加密通信路径,将所请求的处理的执行结果或其画面输出信息 等发送至终端装置ll (步骤3102)。终端装置11处理经由对终端通 信处理部23接收到的处理结果或其输出信息,通过输入输出部20c 输出到画面等。若在终端装置11与刀片14之间建立的加密通信路径变为不需 要,则终端装置11可以结束(删除)加密通信路径。以下,说明终 端装置11结束在与刀片14之间建立的加密通信路径的动作。图13是用于说明在终端装置11与刀片14之间建立的加密通信 路径的结束动作的流程图。首先,终端装置11的对管理服务器通信处理部22对管理服务器
12发送与刀片14间的加密通信路径的结束请求(步骤4001)。接收 到该请求的管理服务器12的对终端通信处理部34通过刀片状态管理 部32参照刀片使用状况表70,确认该终端装置11正使用该刀片14 (步骤4002)。管理服务器12的对终端通信处理部34对刀片14,发送在终端 装置11和刀片14之间建立的加密通信路径的结束请求(步骤4003), 接收到该请求的刀片14的对管理服务器通信处理部22响应结束响应 (步骤4004)。管理服务器12的对终端通信处理部34若从刀片14 接收结束响应,则对终端装置11发送结束响应(步骤4005)。终端装置11的对终端通信处理部23和刀片14的对终端通信处 理部23,废弃为了建立加密通信路径而使用的信息(例如加密通信 用秘钥和IP地址),使加密通信路径结束(步骤4006)。管理服务器12的刀片状态管理部23对刀片14送出电源切断的 指示(步骤4007)。刀片14接受电源切断指示,向保存器15进行数 据的写回,切断电源(步骤4008)。而且,管理服务器12的刀片状态管理部32进行刀片使用状况表 70的更新(步骤4009)。具体而言,将刀片使用状况表70的与该刀 片识别信息71相对应的使用状况72变更为"未使用(停止中)",从 使用用户73栏中删除该终端装置的用户ID。通过执行以上的步骤,终端装置11可以结束与刀片14间的加密 通信路径。如图10和图11的流程图所例示的那样,管理服务器12分别认 证终端装置11的用户和刀片14,在可以确认它们的合法性的情况下, 可以建立终端装置11和刀片14之间的加密通信路径。然后,由于在 建立了终端装置11和刀片14之间的加密通信路径之后,可以不经由 管理服务器12在终端装置11和刀片14之间进行加密通信,所以可 以不向管理服务器12施加负荷地进行安全通信。再者,由于能使终 端装置11和刀片14之间的全部通信加密,所以使更安全的通信成为 可能。而且,在管理服务器12中,可以实现刀片14的选择和状态管理, 所以不需要设置用于管理刀片14的其它服务器,随之减少用于设置 服务器的成本。〈实施方式2〉说明实施方式2。本实施方式2与实施方式1的不同在于设置被称作虚拟刀片ID 这点。终端装置11对管理服务器12发送针对刀片14的连接请求之 际,描述分配给虚拟刀片的虚拟刀片ID,来取代该连接请求中包含 的终端装置11的用户所对应的刀片ID。多个终端装置11的用户使 用同一虚拟刀片ID。然后,在管理服务器12中,进行从虚拟刀片ID 到实际的各用户所对应的刀片ID的变换。在本实施方式中,说明终端装置11经由管理服务器12与刀片 14建立加密通信路径的动作。图14和图15是用于说明在终端装置11和刀片14之间建立加密 通信路径的动作的流程图。首先,管理服务器12的地址登录/检索部31将虚拟刀片的地址, 登录到地址DB38中所保持的地址管理表A0中(步骤5001)。 g卩,在 用户ID/刀片ID (Al)栏中登录虚拟刀片ID,在IP地址(A2)栏中 登录虚拟的IP地址。还向各终端装置11通知该虚拟刀片ID。终端装置11和管理服务器12通过实施从步骤1001到步骤1016、 及从步骤1101到1103的步骤,建立在终端装置11-管理服务器12 之间的加密通信路径(步骤5002)。然后,在还未登录终端装置11 的地址的情况、或登录地址变化的情况下,通过实施从步骤2002到 步骤2006的步骤,将终端装置11的地址登录到管理服务器12 (步 骤5003)。 …
终端装置11的对管理服务器通信处理部22对管理服务器发送连接到虚拟刀片的连接请求(步骤5004)。而且,在连接请求中包含虚 拟刀片的虚拟刀片ID。接受来自终端装置11的连接请求后,管理服务器12的刀片状态 管理部32参照图16所示的刀片使用状况表80,进行该终端装置11 使用的刀片的选择和表的更新(步骤5005)。刀片使用状况表80被保持在管理服务器12的刀片管理DB39中, 记载着虚拟刀片的虚拟刀片ID81、表示进行了针对该虚拟刀片ID的 连接请求时能选择的刀片的刀片识别信息82、表示该刀片是否正被 使用的使用状况83、该刀片正被使用时正使用该刀片的使用用户84、 及从保存器15读入的该用户使用的数据中所包含的刀片ID (读入完 刀片ID85)。管理服务器12的计算机状态管理部32将记载在连接请求中的虚 拟刀片工D作为关键词,参照本刀片使用状况表80,从虚拟刀片ID81 栏中检索对应的虚拟刀片ID。然后,将与该虚拟刀片ID相对应的刀 片识别信息82之中使用状况83为"未使用(停止中)"的刀片选作 连接目标刀片。将选择的刀片识别信息82的使用状况83栏更新为"分 配完",在使用终端装置84栏中记载该终端装置11的用户ID。然后,管理服务器12的刀片状态管理部32对在步骤5005选择 的刀片14,送出从保存器15读入电源接通、启动、该终端装置11 的用户的数据的意思的指示(步骤5006)。而且,本数据读入指示以 在步骤5003登录的该终端装置11的用户ID为关键字来检索用户使 用区域管理表90,根据对应于该用户ID的保存标志符92进行。若刀片14从管理服务器12接受电源接通的指示,接通电源,则 从保存器15读入该终端装置11的用户的数据(步骤5007)。然后, 若数据的读入完成,则刀片14和管理服务器12通过实施从图7的步 骤1001到步骤1016、及从图8的步骤1101到1103的步骤,建立加
密通信路径(步骤5008),通过实施从图9的步骤2002到步骤2006 的步骤,将刀片14的地址登录到管理服务器12 (步骤5009)。艮|3, 刀片14将从保存器15读入的数据中所包含的刀片ID和刀片14的 IP地址登录到管理服务器12。而且,刀片14的IP地址既可以预先 设定在从保存器15读入的数据中,也可以从另外准备的DHCP服务器 动态地取得IP地址。管理服务器12的刀片状态管理部32将在步骤5009中登录的刀 片14的地址信息之中的刀片ID,记载在与该刀片识别信息82相对 应的读入完刀片ID85栏中(步骤5010)。然后,管理服务器12的对终端通信处理部34通过秘钥生成部 33,生成在终端装置11和刀片14之间的加密通信路径中使用的加密 秘钥(步骤5011)。管理服务器12的对终端通信处理部34向刀片14 发送从终端装置11到刀片14的连接请求、及在步骤5011中生成的 加密通信用秘钥(步骤5012)。加密通信用秘钥与实施方式1中的说 明一样,按照例如日本特开2005-303485号公报中公开的方法生成即 可。接收到它们的刀片14的对管理服务器通信处理部22,判断该终 端装置11是否能连接到该刀片14 (步骤5013),将该连接可否判定 结果发送到管理服务器12 (步骤5014)。管理服务器12的对终端通 信处理部34向终端装置11发送该连接可否判定结果、及判定结果为 能通信时在步骤5011中生成的加密通信用秘钥(步骤5015)。然后, 管理服务器12的对终端通信处理部34更新刀片使用状况表70 (步 骤5016)。具体而言,将与该刀片14相对应的使用状况83栏更新为 "使用中"。若终端装置11的对管理服务器通信处理部22接收判定结果,则 终端装置11的对终端通信处理部23和刀片14的对终端通信处理部 23使用在步骤5012和步骤5015分别接收到的加密秘钥,建立加密
通信路径(步骤5017)。终端装置11的对终端通信处理部23使用在与刀片14之间建立 的加密通信路径,请求对刀片14的处理(图15,步骤5101)。刀片 14经由对终端通信处理部23接受该处理请求,执行与之对应的处理。 然后,刀片14的对终端通信处理部23使用在与终端装置11之间建 立的加密通信路径,将所请求的处理的执行结果或其画面输出信息等 发送到终端装置11 (步骤5102)。终端装置11处理经由对终端通信 处理部23接收到的处理结果或该输出信息,通过输入输出部20c输 出到画面等。若不需要在终端装置11与刀片14之间建立的加密通信路径,则 终端装置11可以结束加密通信路径。在本实施方式中,说明终端装 置11结束与刀片14之间建立的加密通信路径的动作。图17是用于说明在终端装置11和刀片14之间建立的加密通信 路径的结束动作的流程图。首先,终端装置11的对管理服务器通信处理部22对管理服务器 12发送与刀片14间的加密通信路径的结束请求(步骤6001)。而且, 在本结束请求中记载着虚拟刀片的虚拟刀片ID。接收到该请求的管理服务器12的对终端通信处理部34经由刀片 状态管理部32参照刀片使用状况表80,选择与虚拟刀片ID对应的 计算机识别信息82之中该终端装置11是使用中的刀片识别信息82。管理服务器12的对终端通信处理部34对在步骤4002中选择的 刀片14,发送在终端装置11和刀片14之间建立的加密通信路径的 结束请求(步骤6003),接收到该请求的刀片14的对管理服务器通 信处理部22响应结束响应(步骤6004)。若管理服务器12的对终端 通信处理部34从刀片14接收结束响应,则对终端装置11发送结束 响应(步骤6005)。终端装置11的对终端通信处理部23和刀片14的对终端通信处
理部23,废弃为了建立加密通信路径而使用的信息(例如加密通信用秘钥和IP地址),使加密通信路径结束(步骤6006)。管理服务器12的刀片状态管理部23对刀片14送出电源切断的指示(步骤6007)。刀片14接受电源切断指示,向保存器15进行数据的写回,切断电源(步骤6008)。而且,管理服务器12的刀片状态管理部32进行刀片使用状况表80的更新(步骤6009)。具体而言,将刀片使用状况表80的与该刀片识别信息71相对应的使用状况83变更为"未使用(停止中)",从使用用户84栏中删除该终端装置的用户ID,从读入完刀片ID85栏中删除该刀片14的刀片ID。通过执行以上的步骤,终端装置11可以结束与刀片14间的加密通信路径。如图14和图15的流程图中例示的那样,管理服务器12分别认 证终端装置11的用户和刀片14,在可以确认它们的合法性时,可以 建立终端装置11和刀片14之间的加密通信路径。然后,由于在建立 了终端装置11和刀片14之间的加密通信路径之后,可以不经由管理 服务器12在终端装置11和刀片14之间进行加密通信,所以可以不 向管理服务器12施加负荷地进行安全通信。再者,由于能使终端装 置11和刀片14之间的全部通信加密,所以使更安全的通信成为可能。再者,在本实施方式中,通过使用虚拟刀片的虚拟刀片ID,刀 片14的实际的刀片ID不流入到网络上,使提高安全性成为可能。例 如,考虑有恶意的第三者以刀片ID为关键词攻击刀片14的可能性, 但在使用虚拟刀片ID的情况下,由于与之相对应的刀片实际上不存 在,所以不能作为攻击的对象。在本实施方式中,在用户使用的终端装置11与刀片14开始通信 时,将用户使用的信息从保存器15读入到刀片14,但不限于此。若 预先将各用户使用的数据存储在各刀片14中,则也可以没有保存器15。此时,在刀片使用状况表80的使用用户84和读入完刀片ID85 中,记载着该用户ID和对应于该用户的刀片ID。而且,通过省略图14的步骤5005、步骤5006 (除去电源接通处 理)和步骤5007,可以建立在终端装置11和刀片14之间的加密通 信路径。而且,在结束终端装置11和刀片14之间的加密通信路径时, 可以省略图17的步骤6002和步骤6008。而且,在管理服务器12中,可以实现刀片14的选择或状态管理, 所以不需要另外设置用于管理刀片14的服务器,随之减少用于服务 器设置的成本。在本实施方式1及实施方式2中,例示了指定了终端装置11的 通信,但也可以将使用终端装置11的用户指定为通信对方。构成为 在将使用终端装置11的用户指定为通信对方时,预先将用户持有的 公开秘钥证书和用户ID放入可移动的存储介质58中,通过将存储介 质58插入终端装置11的读取装置57,终端装置11读取用户的属性 并存储即可。通过该构成,终端装置11可以确定正使用的用户,接 受作为通信对方的指定。然后,若构成为在用户从读取装置57上拔 出了可移动的存储介质58时,从终端装置11中删除用户的属性,则 从防止泄露个人信息的观点看优选。若用户的属性被存储在终端装置11中,则进行图9的地址登录 处理,将用户ID和终端装置11的地址登录在管理服务器12中并删 除后,如果进行将图9的"登录"置换为"删除"的处理,那么管理 服务器12在来自其它的连接装置11的连接请求时,可以判定是否用 户正使用终端装置ll,在正使用终端装置ll时,可以使连接请求者 不在意用户正使用哪台终端装置11地进行连接。
权利要求
1.一种通信系统,包括连接在组织内网络上的多个计算机基板、连接在组织外网络上且接入到上述计算机基板的终端装置、及管理上述计算机基板和上述终端装置的管理服务器,其特征在于,上述终端装置和管理服务器执行相互进行认证、建立加密通信路径的终端装置-管理服务器间加密通信路径建立步骤;上述管理服务器执行指示选择某一连接目标计算机基板、及启动上述选择的连接目标计算机基板的计算机基板分配步骤;上述启动的连接目标计算机基板执行在其与上述管理服务器之间进行认证、建立加密通信路径的计算机基板-管理服务器间加密通信路径建立步骤;上述终端装置执行经由上述管理服务器建立与上述启动的连接目标计算机基板之间的、不经由上述管理服务器的加密通信路径的终端装置-计算机基板间加密通信路径建立步骤。
2. 如权利要求1记载的通信系统,其特征在于, 上述管理服务器保持用于对上述计算机基板的使用状况进行管理的计算机基板使用状况表,并在上述计算机基板分配步骤中,参照上述 计算机基板使用状况表,将未使用的上述计算机基板选择为连接目标计 算机基板;在上述终端装置-计算机基板间加密通信路径建立步骤中, 上述终端装置经由上述终端装置-管理服务器间加密通信路径,对上述管理服务器发送连接至所选择的上述连接目标计算机基板的连接请求,上述管理服务器生成用于在上述终端装置和上述连接目标计算机 基板之间的上述加密通信路径中使用的加密秘钥,上述管理服务器经由上述计算机基板-管理服务器间加密通信路径,向上述连接目标计算机基板发送来自上述终端装置的连接请求和生 成的上述加密秘钥,上述连接目标计算机基板对从上述管理服务器接收到的上述连接 请求,将连接可否的判定和上述判定结果经由上述计算机基板-管理服 务器间加密通信路径发送至上述管理服务器,上述管理服务器将从上述连接目标计算机基板接收到的上述判定 结果和该判定结果表示"能连接"的意思时上述生成的加密秘钥,经由 上述终端装置-管理服务器间加密通信路径发送至上述终端装置,上述终端装置从上述管理服务器接收上述生成的加密秘钥,建立上 述终端装置-计算机基板间加密通信路径。
3. 如权利要求2记载的通信系统,其特征在于,上述计算机基板使用状况表保持 识别上述计算机基板的计算机基板识别信息; 表示该计算机基板是否在使用中的使用状况;及 该计算机基板的使用状况为"使用中"或"分配完"的状态时,使 用正在使用或已被分配的上述终端装置的用户信息。
4. 如权利要求l记载的通信系统,其特征在于, 在上述终端装置和上述计算机基板使建立的上述终端装置-计算机基板间加密通信路径结束时,上述终端装置经由上述终端装置-管理服务器间加密通信路径,将 描述了上述连接目标计算机基板的计算机基板ID信息的、上述终端装 置-计算机基板间加密通信路径的结束请求发送至上述管理服务器,上述管理服务器经由上述计算机基板-管理服务器间加密通信路 径,将接收到的上述结束请求发送至该连接目标计算机基板,上述连接目标计算机基板经由上述计算机基板-管理服务器间加密 通信路径,将针对从上述管理服务器接收到的上述结束请求的结束响 应,发送至上述管理服务器, 上述管理服务器经由上述终端装置-管理服务器间加密通信路径, 将从上述连接目标计算机基板接收到的上述结束响应,发送至上述终端 装置,上述终端装置和上述连接目标计算机基板执行通过废弃上述生成 的加密秘钥,结束上述终端装置-计算机基板间加密通信路径的终端装 置-计算机基板间加密通信路径结束步骤,在上述终端装置-计算机基板间加密通信路径结束之后,上述管理 服务器对该连接目标计算机基板指示切断电源,该连接目标计算机基板执行接受来自上述管理服务器的上述指示, 实施上述切断电源的计算机基板电源切断步骤。
5. 如权利要求4记载的通信系统,其特征在于, 还在上述计算机基板中具备保存读入的数据的保存装置; 在上述计算机基板分配步骤中,上述管理服务器对上述选择的连接目标计算机基板指示电源接通 和从保存装置中读入上述终端装置需要的信息,作为上述启动的指示,在由上述管理服务器所指示的启动中,上述连接目标计算机基板进 行电源接通和从上述保存装置读入上述终端装置需要的信息。
6. 如权利要求5记载的通信系统,其特征在于, 在上述计算机基板电源切断步骤中,上述管理服务器对该连接目标计算机基板进一步指示向上述保存装置写回信息。
7. 如权利要求2记载的通信系统,其特征在于,上述管理服务器在上述计算机基板使用状况表中对一个以上的上 述计算机基板赋予虚拟计算机基板ID, 在上述计算机基板分配步骤中,上述终端装置对上述管理服务器,发送将上述计算机基板使用状况 表中记载的某一虚拟计算机基板ID指定为连接目标的、连接至虚拟计 算机基板的连接请求, 上述管理服务器参照上述计算机基板使用状况表,将对应于该虚拟计算机基板ID且未使用的上述计算机基板选择为上述连接目标计算机 基板,在上述终端装置-计算机基板间加密通信路径建立步骤中, 上述管理服务器将从上述终端装置接收到的连接请求中所指定的 上述虚拟计算机基板ID,变换为启动的上述连接目标计算机基板具备的 计算机基板ID,并将包含变换的上述计算机基板ID的上述连接请求发 送至上述计算机基板。
8. 如权利要求7记载的通信系统,其特征在于, 上述计算机基板使用状况表保持与一个以上的上述计算机基板相对应的上述虚拟计算机基板ID;识别与上述虚拟计算机基板ID相对应的上述计算机基板的计算机 基板识别信息;表示该计算机基板是否在使用中的使用状况;及该计算机基板的使用状况为"使用中"或"分配完"的状态时,使 用正在使用的或已被分配的上述终端装置的用户信息;表示被读入到被分配且启动了的上述计算机基板中的计算机基板 ID的读入完计算机基板ID。
9. 如权利要求8记载的通信系统,其特征在于, 在上述终端装置和上述计算机基板使建立的上述终端装置-计算机基板间加密通信路径结束时,上述终端装置经由上述终端装置-管理服务器间加密通信路径,将 描述了上述计算机基板的上述虚拟计算机基板ID信息的、上述终端装 置-计算机基板间加密通信路径的结束请求发送至管理服务器,上述管理服务器参照上述计算机基板使用状况表,将具备记载着上 述虚拟计算机基板ID及上述终端装置的栏的上述读入完计算机基板ID 的上述计算机基板,确定为对应于上述结束请求的上述连接目标计算机 基板,上述管理服务器经由上述计算机基板-管理服务器间加密通信路径,向与确定的上述虚拟计算机基板ID相对应的计算机基板,发送上 述结束请求,上述连接目标计算机基板经由上述计算机基板-管理服务器间加密 通信路径,将针对从上述管理服务器接收到的上述结束请求的结束响 应,发送至上述管理服务器,上述管理服务器经由上述终端装置-管理服务器间加密通信路径, 将从上述连接目标计算机基板接收到的上述结束响应,发送至上述终端 装置,上述终端装置和上述连接目标计算机基板执行通过废弃上述生成 的加密秘钥,结束上述终端装置-计算机基板间加密通信路径的终端装 置-计算机基板间加密通信路径结束步骤,在上述终端装置-计算机基板间加密通信路径结束之后,上述管理 服务器对该连接目标计算机基板指示切断电源,该连接目标计算机基板执行接受来自上述管理服务器的上述指示, 实施上述切断电源的计算机基板电源切断步骤。
10.如权利要求l记载的通信系统,其特征在于,具备进行证书的验证的验证服务器;上述管理服务器进行上述终端装置-管理服务器间加密通信路径的 建立及/或上述计算机基板-管理服务器间加密建立步骤的、上述终端装 置及/或上述计算机基板的验证时,将上述终端装置及/或上述计算机基 板的证书验证委托给上述验证服务器,上述验证服务器将实施了该证书的验证处理的结果,响应给上述管 理服务器,在从上述验证服务器响应的验证结果为成功时,上述管理服务器判 断上述终端装置及/或上述计算机基板的验证为成功。
全文摘要
在使用了VPN技术的加密通信中,终端装置增加时对VPN装置的负荷大。而且,存在仅在终端装置和VPN装置之间进行加密,不能进行终端到终端的加密通信的问题。本发明提供与计算机系统的加密通信方法及系统,设有终端装置和管理刀片的管理服务器,管理服务器进行各终端装置或刀片的验证、刀片的选择、及终端装置-刀片间的加密通信路径建立。终端装置和刀片不经由管理服务器进行加密通信。管理服务器的各终端的验证依赖于验证服务器。
文档编号H04L9/00GK101162994SQ20071014688
公开日2008年4月16日 申请日期2007年8月24日 优先权日2006年10月10日
发明者星野和义, 桥本洋子, 藤城孝宏, 锻忠司, 高田治 申请人:株式会社日立制作所