技術領域

本發明涉及一種數據通信方法和系統，更詳細地，涉及一種利用會話管理服務器裝置、可執行客戶機裝置與服務器裝置之間的加密數據通信的數據通信方法和系統。?

背景技術

在網絡的加密通信方法中，客戶機裝置(指終端裝置。稱為客戶機)與服務器裝置(稱為服務器)為了相互防止與不希望的對方裝置通信，對對方裝置執行認證步驟，當對方裝置的認證成功時，交換通信中使用的加密參數。在IETF(Internet?Engineering?Task?Force：互聯網工程任務組)的RFC2401(IETF，RFC2401：Security?Architecture?for?theInternet?Protocol，<URL：http://www.ietf.org/rfc/rfc2401.txt>，稱為文獻1)中記載的IPsec(Internet?Protocol?Security：互聯網協議安全)中，在通信對方的認證中適用公鑰證書。?

在使用公鑰證書的認證中，需要利用某種方法來檢驗通信對方出示的公鑰證書是從可信賴的認證機構發行的。作為公鑰證書的驗證方法之一，例如如下方法，即：事先利用某種方法獲得用于證明通信對方出示的公鑰證書的發行源認證機構的、具有可靠性的認證機構root證書(根證書)，在通信對方的認證步驟中，利用認證機構的root證書的公鑰來驗證賦予對方裝置所出示的公鑰證書的認證機構的簽名。根據該驗證方法，服務器與客戶機必需對應于構成通信對象的全部通信裝置的公鑰證書，事先準備各公鑰證書的發行源認證機構的root證書。?

例如，假設如下系統，其中，多個客戶機CL1、CL2、CL3分別持有發行源認證機構(CA1、CA2、CA3)的不同私鑰SK1、SK2、SK3和公鑰證書PK1、PK2、PK3，服務器SV1、SV2、SV3也分別持有?發行源認證機構(CA1、CA2、CA3)的不同私鑰SK11、SK12、SK13與公鑰證書PK11、PK12、PK13。這里，各客戶機為了可隨時與多個服務器SV1、SV2、SV3通信，必需與作為通信對方的全部客戶機裝置CL1、CL2、CL3具有的公鑰證書(PK1、PK2、PK3)的發行源認證機構(CA1、CA2、CA3)相對應地，在各服務器中事先具有多個root證書RT1、RT2、RT3。同樣，也必需與構成通信對方的服務器SV1、SV2、SV3具有的公鑰證書(PK11、PK12、PK13)的發行源認證機構(CA1、CA2、CA3)相對應地，在各客戶機中事先準備多個root證書RT1、RT2、RT3。另外，該系統構成中，各客戶機裝置與服務器在改變通信對方時，每次都必需重復認證處理。?

為了執行基于上述RFC2401中記載的IPsec的加密通信，客戶機具備的軟件由網絡接口卡(NIC)部20、TCP/IP層的加密通信功能部30、應用40、作為RFC2409(IETF，RFC2409：The?Internet?KeyExchange(IKE)<URL：http://www.ietf.org/rfc/rfc2409.txt>，稱為文獻2)中記載的密鑰管理(IKE：Internet?Key?Exchange：互聯網密鑰交換)處理用軟件部的密鑰管理處理50構成。作為加密通信功能部30的軟件的一部分，裝配加密通信功能部30的加密引擎31，該加密引擎31具備存儲了是否將加密適用于發送數據包的判定信息(SP信息)的SPDB(Security?Policy?Data?Base：安全策略數據庫)32、和存儲了適用于加密通信的加密方式或加密密鑰等信息(SA(Security?Association：安全關聯)信息)的SADB(Security?Association?Data?Base：安全關聯數據庫)33。?

構成上述客戶機的通信對方的服務器也具有與上述一樣的軟件，客戶機與服務器的應用層彼此、密鑰管理處理彼此相互通信。?

加密引擎31若檢測出應用層40的程序發行的IP數據包的發送請求，則利用SPDB32驗證該IP數據包的頭信息，判定是否應將IPsec適用于該IP數據包。判定為將IPsec適用于IP數據包的加密引擎31從SADB33中，取得應適用于IP數據包的SA信息。這里，在SADB33中未登錄與上述IP數據包對應的SA信息的情況下，加密引擎31對IKE(密鑰管理)處理50請求與通信對方(連接目標服務器)之間的、包?含加密密鑰的SA信息的交換。?