CN101155074A - 通信日志管理*** - Google Patents
通信日志管理*** Download PDFInfo
- Publication number
- CN101155074A CN101155074A CN200710153277.8A CN200710153277A CN101155074A CN 101155074 A CN101155074 A CN 101155074A CN 200710153277 A CN200710153277 A CN 200710153277A CN 101155074 A CN101155074 A CN 101155074A
- Authority
- CN
- China
- Prior art keywords
- communication
- mentioned
- management server
- log
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种通信日志管理***。在通信源装置和通信目的地装置进行安全通信时,即使制作了通信日志,其通信日志也不一定可靠。设置对通信源装置和通信目的地装置间的安全通信进行中介的会话管理服务器。通信源装置和通信目的地装置间的安全通信开始及结束处理通过会话管理服务器进行,会话管理服务器记录安全通信开始及结束的通信日志。还设置管理通信日志的日志管理服务器,通信源装置和通信目的地装置向日志管理服务器发送各自的通信日志。会话管理服务器也向日志管理服务器通知安全通信的开始及结束的通信日志,日志管理服务器管理从通信源装置、通信目的地装置和会话管理服务器接收的通信日志,根据请求验证这些通信日志的一致性。
Description
技术领域
本发明涉及通信源装置和通信目的地装置的通信中的通信日志的管理方法及***。
背景技术
有如下的***,即通信终端和通信终端经由网络进行通信的情况下,为了管理通信终端的通信状态等,设置管理通信状态的装置(下面称为通信状态管理装置),向该通信状态管理装置通知终端的通信状态的变化(例如参考美国专利公报第6128657号)。
该***中,在终端同其它终端或提供服务的服务器进行通信的情况下,其通信日志被通知给通信状态管理装置。
该***中,通信源终端和通信目的地终端分别将通信状态的变化通知给通信状态管理装置,由此,通信状态管理装置能够记录通信源终端和通信目的地终端的通信状态的变化日志。
在通信源终端和通信目的地终端分别将通信状态的变化通知给通信状态管理装置的情况下,根据通信源终端或通信目的地终端和通信状态管理装置之间的通道状态,并不是一定能够向通信状态管理服务器传达通信状态的变化。
此外,在通信源终端和通信目的地终端的双方故意没有向通信状态管理装置通知通信状态的变化的情况下,通信状态管理服务器不能检测终端的正确的通信状态变化。
从其它的视点来看,在通信终端数量较多的情况下,从终端向通信状态管理装置大量地进行通信状态变化的通知,通信状态管理装置的负载增加,并且终端与通信状态管理装置之间的通道的负载也增加。
而且,在通信状态管理装置对通信源终端和通信目的地终端的通信状态的变化进行管理的情况下,如果通信源终端和通信目的地终端分别通知的通信状态变化的内容不一致,则其通知内容的可靠性受到怀疑。
虽然希望尽早检测出近年来频繁发生的非法访问和信息泄漏并防止它们的技术,但是,即使利用上述现有技术,也是不充分的。
此外,在会话管理服务器不仅管理通信源终端和通信目的地终端、还管理在它们间进行的通信的***中,仅依靠通信源终端和通信目的地终端的通知内容是不充分的。
另外,在使用通信终端或应用同提供服务的服务器进行通信的情况下,多数情况下由提供服务的服务器的应用程序记录通信状态的变化。该情况下,通信状态的变化日志被保管在提供各种服务的服务器中。因此,在检测出发生了非法访问等的情况下,为了验证某一特定用户的通信日志,有必要分别参照分别被保管在每个服务器中的通信日志。
发明内容
本发明鉴于上述现实问题而做出,本发明提供一种如下技术,即不仅是通信源装置和通信目的地装置,对通信源装置和通信目的地装置间的通信会话进行管理的会话管理服务器也记录包括通信开始、通信结束等的通信状态变化的通信日志,并且将该通信日志通知给日志管理服务器。
另外,在本说明书中,通信日志是指,能够了解从何时到何时、从某一通信源装置对某一通信目的地装置进行了通信的一部分或全部事实的信息。
此外,本说明书中的会话是指,在2台装置之间进行的通信单位,例如指的是从2台装置中的一个发送通信开始请求起,这2台装置进行通信、并在通信结束时其中一个装置从另一个装置接受通信结束响应为止。
再者,本发明中,当进行通信的网络由单一的网域构成的情况下,在该网域上设置管理通信的会话管理服务器和管理通信日志的日志管理服务器。
另外,本说明书中的网域是用于将网络中存在的装置作为按照某一标准的组来管理的概念。多个装置属于相同网域是指,例如各个IP地址或表示IP地址的域名在按照上述标准的范围内前方或上位一致的情况。此外,以下的记载中有时将网域简单称为域。
在通信源装置和通信目的地进行通信时,经由会话管理服务器进行通信的开始(确立会话)和结束(删除会话)的处理。会话管理服务器中介通信开始和通信结束的处理时,记录通信开始和通信结束的通信日志。
在网络由多个网域构成的情况下,在各个网域设置会话管理服务器和日志管理服务器。会话管理服务器管理本装置所属的域的通信装置的通信,日志管理服务器管理本装置所属的域的通信装置制作的通信日志和本装置所属的域的会话管理服务器制作的通信日志。
在网络由多个网域构成,属于不同域的通信源装置和通信目的地装置进行通信的情况下,通信源装置所属的域的会话管理服务器和通信目的地装置所属的域的会话管理服务器这两者相互协作,中介通信开始和通信结束的处理。各个域的会话管理服务器制作通信开始和通信结束的通信日志。
属于相同域的通信源装置同通信目的地装置进行通信的情况下,经由通信装置和通信目的地装置所属的域的会话管理服务器进行通信的开始或结束的处理。若通信源装置和通信目的地装置所属的域的会话管理服务器中介了通信开始和通信结束的处理,则记录通信开始和通信结束的通信日志。
不论是在哪一种情况下若通信源装置和通信目的地装置进行了通信,则对于一个通信会话,通信源装置和通信目的地装置制作通信开始、通信结束和通信中的通信日志,会话管理服务器制作通信开始和通信结束的通信日志。
通信源装置和通信目的地装置向本装置所属的域的管理服务器发送已制作的通信开始、通信结束和通信中的通信日志。此外,会话管理服务器向本装置所属的域的日志管理服务器发送通信的开始和结束的通信日志。
日志管理服务器从本装置所属的域的通信源装置、通信目的地装置和会话管理服务器接收通信日志,并管理接收到的通信日志。
.根据本发明,即使是通信源装置和通信目的地装置的数量多的情况下,也可以将网络分割为多个域,分散到各个域中连接通信源装置和通信目的地装置,在各个网域中分别设置会话管理服务器和日志管理服务器。
如此地,若通信源装置和通信目的地装置进行通信,则对于一个通信会话,制作多个装置的多个通信日志,由日志管理服务器进行管理。即网络由单一的网域构成的情况下,通信源装置、通信目的地装置、通信源装置与通信目的地装置所属的网域的会话管理服务器,制作通信日志。此外,网络由多个网域构成的情况下,通信源装置、通信目的地装置、通信源装置所属的网域的会话管理服务器、以及通信目的地装置所属的网域的会话管理服务器,制作通信日志。
如上所述,对于通信源装置和通信目的地装置进行的一个通信会话制作了多个装置的通信日志,因此为了从通信日志得到关于已进行的通信的正确的信息,本发明中进一步验证制作的多个通信日志的一致性。
在网络由单一的网域构成的情况下,通过验证被保管在该网域的日志管理服务器中的、通信源装置和通信目的地装置以及该网域的会话管理服务器制作的通信日志的一致性,可以得到关于通信的正确的信息。
此外,在网络由多个网域构成的情况下,通过验证2个日志管理服务器的通信日志的一致性,得到关于通信的正确信息。即,通过对通信源装置所属的网域的日志管理服务器所保管的、通信源装置生成的通信日志,通信源装置所属的网域的会话管理服务器生成的通信日志,通信目的地装置所属的网域的日志管理服务器所保管的、通信目的地装置生成的通信日志,和通信目的地装置所属的网域的会话管理服务器制作的通信日志的一致性进行验证,能够得到关于通信的正确信息。
而且,通信源装置和通信目的地装置间的通信日志由日志管理服务器进行一元化管理,所以,为了验证这些通信日志的一致性,参照日志管理服务器的通信日志即可。
本发明的通信日志管理***的更具体的方式是,位于由多个网域构成的网络中,其中,在第一网域中所属着通信源装置、管理在该第一网域内进行的通信的第一会话管理服务器,在第二网域中所属着通信目的地装置、管理在该第二网域内进行的通信的第二会话管理服务器,而且,上述通信源装置所属的上述第一网域的上述第一会话管理服务器和上述通信目的地装置所属的上述第二网域的上述第二会话管理服务器,在上述通信源装置和上述通信目的地装置进行通信的情况下,中介该通信的通信开始和/或通信结束的处理,记录与中介的上述通信的通信开始和/或通信结束的处理有关的会话管理日志。
再者,也可以是,在上述通信日志***中,在每个上述网域中,所属着管理在该网域内进行的通信的日志管理服务器;各个上述会话管理服务器向属于同一网域的上述日志管理服务器发送已记录的上述会话管理日志,上述日志管理服务器接收发送的上述会话管理日志并管理。
进一步,也可以是,在上述通信日志***中,上述第一网域和上述第二网域是相同的网域,上述第一会话管理服务器和上述第二会话管理服务器是相同的会话管理服务器,每个上述网域中所属的日志管理服务器是相同的日志管理服务器。
再者,也可以是,在上述通信日志***中,上述通信源装置和上述通信目的地装置制作包括通信开始时的处理、通信结束时的处理、通信中的处理中的任一种以上的通信装置日志,将制作的上述通信装置日志发送给本通信装置所属的网域的上述日志管理服务器,上述日志管理服务器接收发送的上述通信装置日志并管理。
进一步,也可以是,在上述通信日志***中,任一个上述日志管理服务器,对上述通信源装置所属的上述第一网域的上述第一日志管理服务器从上述第一网域的第一会话管理服务器接收并管理的上述会话管理日志、和上述通信目的地装置所属的上述第二网域的上述第二日志管理服务器从上述第二网域的第二会话管理服务器接收并管理的上述会话管理日志的一致性进行验证。
再者,也可以是,在上述通信日志***中,任一个上述日志管理服务器,对上述通信源装置所属的上述第一网域的上述第一日志管理服务器从上述第一会话管理服务器接收并管理的上述会话管理日志与从上述通信源装置接收并管理的上述通信装置日志,和上述通信目的地装置所属的上述第二网域的上述第二日志管理服务器正在管理的从上述第二会话管理服务器接收的上述会话管理日志与从上述通信目的地装置接收并管理的上述通信装置日志的一致性进行验证。
进一步,也可以是,在上述通信日志***中,在上述一致性的验证中,上述日志管理服务器将上述通信源装置的地址及端口号码、和上述通信目的地装置的地址及端口号码或者通信目的地URL,作为上述一致性的、通信开始时和/或通信结束时涉及的验证对象。
再者,也可以是,在上述通信日志***中,在上述一致性的验证中,上述日志管理服务器将规定时间内的通信字节数或者通信数据的内容作为上述一致性的、通信中涉及的验证对象。
进一步,也可以是,在上述通信日志***中,上述第一网域的上述第一日志管理服务器从上述第一网域的上述通信源装置被请求了该第一日志管理服务器所管理的上述会话日志及/或上述通信装置日志、和上述第二网域的上述第二日志管理服务器所管理的上述会话日志及/或上述通信装置日志的一致性验证的情况下,与上述第二日志管理服务器之间确立加密通道;上述第一日志管理服务器经由上述加密通道向上述第二日志管理服务器发送被请求的上述会话日志及/或上述通信装置日志的取得请求;上述第二日志管理服务器经由上述加密通道向上述第一日志管理服务器发送被请求的上述会话日志及/或上述通信装置日志;上述第一日志管理服务器基于接收到的上述会话日志及/或上述通信装置日志、和本装置管理的上述会话日志及/或上述通信装置日志,进行被请求的上述一致性的验证。
再者,也可以是,在上述通信日志***中,上述第一网域的上述第一日志管理服务器从上述第一网域的上述第一会话管理服务器接收到该第一日志管理服务器所管理的上述会话日志及/或上述通信装置日志、和上述第二网域的上述第二日志管理服务器所管理的上述会话日志及/或上述通信装置日志的一致性的验证请求的情况下,向上述第一会话管理服务器发送上述第二日志管理服务器所管理的上述会话日志及/或上述通信装置日志的取得请求;上述第一会话管理服务器向上述第二会话管理服务器发送上述取得请求;上述第二会话管理服务器根据接收到的上述取得请求,从上述第二日志管理服务器取得被请求的上述会话日志及/或上述通信装置日志,并发送给上述第一网域的上述第一会话管理服务器;上述第一会话管理服务器向上述第一日志管理服务器发送接收到的上述会话日志及/或上述通信装置日志;上述第一日志管理服务器基于接收到的上述会话日志及/或上述通信装置日志和本装置所管理的上述会话日志及/或上述通信装置日志,进行被请求的上述一致性的验证。
根据上述方式,通信源装置和通信目的地装置以外的第三者装置、即会话管理服务器制作通信日志,所以能制作可靠性更高的通信日志。
而且,即使在通信源装置和通信目的地装置不能向日志管理服务器发送通信日志的情况下、或者故意没向日志管理服务器发送的情况下,利用会话管理服务器制作的通信日志,能够检测到没发送的事实,所以能够证准确地把握整个***的工作。
再者,连接在本***上的通信源装置和通信目的地装置的数量较多的情况下,通过将通信源装置和通信目的地装置分散配置在多个网域中,能够分散向日志管理服务器通知通信日志的通信业务量,而且,能够在各个网域的日志管理服务器中分散管理通信日志。
通过分散管理通信日志,能减轻各个日志管理服务的负载,而且,即使在某个日志管理服务器发生故障的情况下,其它的日志管理服务器也不受影响,所以能进一步提高整个***的可靠性。
此外,通过验证通信源装置、通信目的地装置、会话管理服务器制作的通信日志的一致性,能够得到关于通信源装置与通信目的地装置间的通信的更准确的信息。
而且,由于日志管理服务器一元化管理通信日志,能够容易地进行通信日志的保管、参照等管理业务。
此外,能够由第三者管理对通信日志进行一元化管理的日志管理服务器,所以能提高通信日志的可靠性。其原因是,如果由不同的组织进行日志管理和会话管理,例如在会话管理侧不能修改一旦保管的日志,而且,即使会话管理侧向日志管理服务器发送了虚假的日志,不能够取得与来自通信装置的日志的一致性,所以能明确该日志是虚假的。
另外,上述方式中的通信源装置、通信目的地装置,也可以是将会话管理服务器所管理的网络中的通信作为终端的通信装置。例如也可以是,通信源装置和通信目的地装置中的至少一个是位于与其它网络的边界上的网关装置,经由该网关装置连接了由上述会话管理服务器管理的网络和其它网络的结构。
根据本发明,能够制作具备高可靠性的通信日志,并且实现基于已制作的日志的一致性验证。
附图说明
图1例示本发明的一实施方式涉及的加密通信***的概略结构。
图2例示客户机20或应用服务器30的详细的功能构成。
图3例示会话管理服务器40的详细的功能构成。
图4例示日志管理服务器50的详细的功能构成。
图5例示通信开始及结束的通信日志的数据结构。
图6例示客户机20和应用服务器30制作的、通信中的通信日志的数据结构。
图7例示客户机20同应用服务器30之间进行通信开始处理、并制作通信日志的处理时序。
图8例示客户机20同应用服务器30之间进行通信结束处理、并制作通信日志的处理时序。
图9例示会话管理服务器40向日志管理服务器发送本装置制作的通信开始和通信结束的各个通信日志的处理时序。
图10例示客户机20向日志管理服务器发送制作的通信日志的处理时序。
图11例示客户机20向日志管理服务器发送制作的通信日志的其它处理时序。
图12例示客户机20记录从日志管理服务器50指示的通信日志并发送给日志管理服务器50的处理时序。
图13例示客户机20记录从日志管理服务器50指示的通信日志并发送给日志管理服务器50的其它处理时序。
图14例示日志管理服务器50使客户机20进行通信日志记录的设定的处理时序。
图15例示日志管理服务器50使客户机20进行通信日志记录的设定的其它处理时序。
图16例示客户机20参照日志管理服务器50的通信日志的处理时序。
图17例示客户机20参照日志管理服务器50的通信日志的其它处理时序。
图18例示日志管理服务器50验证通信日志的一致性的处理时序。
图19例示日志管理服务器50-1验证通信日志的一致性的其它处理时序。
图20例示实现客户机20、应用服务器30、会话管理服务器40、日志管理服务器50的计算机的硬件结构。
具体实施方式
下面,说明本发明的实施方式。
图1是应用了本发明的一实施方式的通信***的网络结构图。如图所示,本实施方式的通信***通过域A的网络11、或者域B的网络12将相当于通信源装置的客户机终端(以下,称为客户机)20、相当于通信目的地装置的应用服务器30、会话管理服务器40和日志管理服务器50相互连接,域A的网络11和域B的网络12通过因特网10连接着。
另外,也可以在域A、B和因特网10的边界具有防火墙装置。此外,也可以是,客户机20成为通信目的地装置,应用服务器30成为通信源装置。此外,虽然在各个域中分别有1个客户机20、应用服务器30,但它们也可以是多个。
此外,在以下的说明中说明了在装置间进行的通信是加密通信,但也可以是未加密的通信。
首先,说明客户机20。客户机20经由本域内的会话管理服务器40对本装置所属的域或其它域的应用服务器30进行连接处理,然后,在客户机20与应用服务器30之间确立通道(通信会话),进行加密通信。
例如,客户机20-1经由日志管理服务器50-1同应用服务器30-1连接,能够与应用服务器30-1之间进行加密通信;或者,客户机20-1经由日志管理服务器50-1和日志管理服务器50-2同应用服务器30-2连接,能够与应用服务器30-2之间进行加密通信;或者,客户机20-2经由日志管理服务器50-2同应用服务器30-2连接,能够与应用服务器30-2之间进行加密通信;或者,客户机20-2经由日志管理服务器50-2和日志管理服务器50-1同应用服务器30-1连接,能够与应用服务器30-1之间进行加密通信。
图2是客户机20的概略的功能构成图。
如图所示,客户机20具备与会话管理服务器40的安全通信部21,与日志管理服务器50、或应用服务器30或客户机20之间进行安全通信的安全通信部22,通信开始及结束处理部23,通信日志记录部24,通信日志发送部25,通信日志参照请求部26,一致性验证请求部27。
安全通信部21具有与会话管理服务器40之间执行确立了安全通道(加密通道)的安全通信的功能。
安全通信部22具有利用经由会话管理服务器40确立的、不经由会话管理服务器40的安全通道,同应用服务器30或日志管理服务器50进行安全通信的功能。安全地通信是指,与通信对象装置相互进行认证,共有通信用的密钥来确立加密通道,并进行使用了共有的密钥的加密通信。可以使用公知技术进行。
通信开始及结束处理部23具有:经由安全通信部21向会话管理服务器40请求与应用服务器30、日志管理服务器50等其它装置的通信开始或结束的功能,以及判断从其它装置请求的通信开始或结束并对其响应的功能。
通信日志记录部24具有如下功能:监视安全通信部22的处理,并记录与作为通信目的地的应用服务器30的通信开始、通信结束或通信中的通信日志。
通信日志发送部25具有经由安全通信部22向日志管理服务器50发送通信日志记录部24记录的通信日志的功能。
通信日志参照请求部26具有对日志管理服务器50请求参照被保管在日志管理服务器50中的、本装置(客户机20)制作的通信日志的功能。
一致性验证请求部27具有如下功能:向日志管理服务器50请求被保管在日志管理服务器50中的、本装置(客户机20)制作的通信日志、通信对象(例如应用服务器30)制作的通信日志和中介通信的会话管理服务器40生成的通信日志之间的一致性的验证。
而且,应用服务器30也和上述的客户机20一样,具备图2所示的结构。只是,应用服务器30中的安全通信部22具有使用经由会话管理服务器40确立的安全通道,与客户机20或日志管理服务器50进行安全通信的功能。
图3是图1所示的会话管理服务器40的概略功能构成图。
如图所示,会话管理服务器40具有通信开始及结束传送处理部41、通信日志记录部42、通信日志发送部43、传送处理部44和安全通信部45。
通信开始及结束传送处理部41具有如下功能。若经由安全通信部45接收到通信开始或结束的请求,则进行请求源装置的认证,若认证成功,则请求安全通信部45将该请求传送给请求目的地。此外,若经由安全通信部45接收到对于通信开始或结束的请求的响应,则要求安全通信部将该响应传送给响应目的地(请求源)。
安全通信部45进行按照上述请求的传送。
此外,通信开始及结束传送处理部41记录处对信开始或结束的请求、以及其响应进行理通时的通信日志。
通信日志记录部42具有如下功能:记录通信开始及结束传送处理部41处理通信开始或结束的请求、以及其响应时输出的通信开始及通信结束的通信日志,请求通信日志发送部43将已记录的通信日志发送给日志管理服务器50。发送请求可以按每个通信日志记录进行,也可以是,在预定量的通信日志被存储到通信日志记录部42之后,一起向通信日志发送部43请求发送。
若通信日志发送部43具有如下功能:若被请求了通信日志的发送,则对安全通信部45请求向日志管理服务器50的通信日志发送。
安全通信部45具有如下功能:若接收到通信日志发送的请求,向日志管理服务器50发送通信日志。而且,从会话管理服务器40请求的通信日志的发送,是对本域内的日志管理服务器50进行的。例如,会话管理服务器40-1向日志管理服务器50-1发送通信日志,会话管理服务器40-2向日志管理服务器50-2发送通信日志。
传送处理部44具有如下功能:若经由安全通信部45接收到通信日志发送、通信日志记录、通信日志记录设定、通信日志参照、一致性验证、以及通信日志取得的请求或其响应,则请求安全通信部45将接收的请求或其响应传送给请求目的地或响应目的地(请求源)。安全通信部45进行按照请求的传送。
安全通信部45若从通信开始及结束传送处理部41、通信日志发送部43及传送处理部44接收到通信的请求,与客户机20、应用服务器30、日志管理服务器50或其它会话管理服务器40之间安全地进行通信。安全地通信是指,与通信对象装置相互进行认证,共有通信用的密钥来确立加密通道,并进行使用了共有的密钥的加密通信。可以使用公知技术进行。
图4是日志管理服务器50的概略构成图。
如图所示,日志管理服务器50具备安全通信部51、安全通信部52、通信日志记录设定请求部53、通信日志记录请求部54、通信开始及结束处理部55、通信日志管理部56、通信日志57和通信日志58。
安全通信部51具有如下功能:从日志管理服务器50的各功能部接受了向会话管理服务器40的通信请求的情况下,与会话管理服务器40之间确立安全通道(加密通道),将通信数据加密后安全地发送给会话管理服务器40。此外,具有如下功能:从会话管理服务器40接收到加密数据的情况下,将加密数据解密,将数据传递给日志管理服务器50的各功能部。
安全通信部52具有如下功能:使用经由会话管理服务器40确立的安全通道,与客户机20或应用服务器30进行安全通信。安全地通信是指,与通信对象装置相互进行认证,共有通信用的密钥来确立加密通道,并进行使用了共有的密钥的加密通信。可以使用公知技术进行。
通信日志记录设定请求部53具有对客户机20或应用服务器30请求用于通信日志记录的设定的功能。设定例如是,记录对于某一特定的IP地址的通信日志的设定、通信日志的详细度的设定(对于向特定IP地址的通信,是否记录通信数据信息586的通信数据的内容)等。
通信日志记录请求部54具有在任意的定时,日志管理服务器50用于对客户机20或应用服务器30指示记录通信日志的功能。例如,客户机20或应用服务器30也可以具有这样结构,即若没有记录通信日志的指示,就不记录通信日志,以通信日志记录请求部54的通信日志记录指示作为触发来记录通信日志。
根据该功能,若其它***判断为需要客户机20与应用服务器30间的通信日志,并且向通信日志记录请求部54请求了通信日志的记录,则通信日志记录请求部54能够向客户机20或应用服务器30发出日志记录的请求。
此外,例如在日志管理服务器50或其管理者检测出有可能正在进行着在网络上不允许的通信的情况下,根据通信日志记录请求部54的指示,能够记录实际正在进行的通信日志。
通信开始及结束处理部55具有如下功能:对会话管理服务器40进行用于安全通信部52与客户机20或应用服务器30之间进行加密通信的、安全通道的确立或结束的处理。
通信日志管理部56具有如下功能:将从客户机20、应用服务器30或会话管理服务器40接收的通信日志存储在通信日志57或通信日志58,或者接受检索请求而检索通信日志57或通信日志58,并响应其结果,或者确认是否具有存储在通信日志57或通信日志58的日志的一致性。
此外,通信日志管理部56将从会话管理服务器40接收的通信日志保存在通信日志57中,将从客户机20或应用服务器30接收的通信日志保存在通信日志58中。
若在客户机20和应用服务器30之间进行安全通信,从客户机20和应用服务器30向日志管理服务器50发送通信日志,日志管理服务器50将该通信日志存储在通信日志58中。此外,从会话管理服务器40向日志管理服务器50发送通信日志,日志管理服务器50将该通信日志存储在通信日志57中。即,关于客户机20与应用服务器30间的安全通信中的一个会话,由客户机20、应用服务器30和会话管理服务器40分别制作的三种通信日志被存储在日志管理服务器50中。
另外,图2~图4所示的客户机20、应用服务器30、会话管理服务器40、日志管理服务器50的各装置和这些装置所具备的各功能可以用硬件实现,或者,也可以在图20例示的计算机60中,通过CPU执行从外部存储装置63装载到存储器62上的规定程序来实现,上述计算机60具备:CPU61,存储器62,硬盘等外部存储装置63,经由网络11或12同其它装置进行通信的通信装置64,键盘、鼠标等输入装置65,监视器、打印机等输出装置66,从具有可搬运性的存储介质68读取信息的读取装置67,以及连接这些各装置61~67的总线等内部通信线路69。
上述程序可以预先存储在上述存储器62或外部存储装置63,也可以是,在必要时,通过上述计算机60可利用的存储介质68或通信媒体(网络11、网络12或因特网10。或者在这些网络中传输的传输波或数字信号等)从其它装置导入。
图5是示意性地表示通信开始时或结束时的通信日志的图。
在通信开始时,例如从客户机20经由会话管理服务器40向应用服务器30发送通信开始请求,由客户机20、应用服务器30和会话管理服务器40生成确立了安全通信会话时的通信日志。
此外,在通信结束时,例如从客户机20经由会话管理服务器40向应用服务器30发送通信结束请求,由客户机20、应用服务器30和会话管理服务器40生成进行安全通信会话结束处理时的通信日志。
如图5所示,通信开始及结束的通信日志具有会话号码571、通信源ID及通信目的地ID572、通信源及通信目的地信息573、通信目的地URL574、通信开始或结束识别信息575以及开始或结束时刻576。
会话号码571是每当在客户机20与应用服务器30之间经由会话管理服务器40确立了通信会话时被付与的号码,即使是相同客户机20与应用服务器30的组合的通信,也在每当确立了通信会话时被付与不同的号码。
通信源ID及通信目的地ID572是确定通信源和通信目的地的ID,与通信源地址和通信目的地地址具有关联。例如,作为通信源ID及通信目的地ID,可以使用SIP-URI或确定用户及服务提供者的ID。
通信源及通信目的地信息573是确定网络中的通信源和通信目的地的信息。例如,如果在通信源地址及通信目的地地址中指定IP地址,就可以确定IP网络中的通信源和通信目的地。
通信目的地URL574是进行例如HTTP等那样将URL指定为通信对象的通信时的通信对象信息。由于存在作为通信对象不指定URL的通信的情况和向会话管理服务器不能发送URL的信息的情况,所以该信息不是必须的。
通信开始或结束识别信息575是在用会话号码571识别的会话确立或者被删除的定时,识别由客户机20、应用服务器30和会话管理服务器40制作的通信日志是会话确立时(即通信开始时)的通信日志、还是会话删除时(即通信结束时)的通信日志的信息。
开始或结束时刻576存储进行了由会话号码571识别的会话的确立处理(通信开始处理)或者会话的删除时(通话结束时)的处理的时刻。为了保证制作的通信日志的正当性,会话管理服务器40保持的时钟的时刻必须是准确的。例如另外设置管理时刻信息的服务器,通过利用称为ntp(Network Time Protocol)的、通过网络正确地调整装置的内部时钟的协议来访问该服务器,能够得到准确的时刻。
图5的信息中还可以包含其它信息。还可以包含确定在客户机20与应用服务器30间进行通信的应用的信息(WEB、邮件、文件传送方法等),以及指示在因特网上存在的信息资源的场所的信息(URI等)。
此外,图5的通信源及通信目的地信息573也可以是像MAC地址那样的、确定通信源和通信目的地的网络设备的信息。再者,通信源及通信目的地信息573中也可以包含“无线LAN”、“有线LAN”、“红外线通信”等确定网络设备自身的种类的信息。
图6是示意性地表示客户机20或应用服务器30制作的通信中的通信日志的图。该通信日志是在客户机20和应用服务器30进行通信期间,由客户机20和应用服务器30分别生成的。
如图6所示,由客户机20或应用服务器30制作的通信中的通信日志,具有会话号码581、通信源ID及通信目的地ID582、通信源及通信目的地信息583、通信URL584、加密通信与否的标志585、通信数据信息586、日志记录开始及结束时刻587。
会话号码581是每当在客户机20和应用服务器30间经由会话管理服务器40确立了通信会话时被付与的号码,即使是相同的客户机20和应用服务器30的组合的通信,在每当确立了通信会话时,付与不同的号码。
通信源ID及通信目的地ID582是确定通信源和通信目的地的ID,与通信源地址及通信目的地地址关联起来。例如,作为通信源ID及通信目的地ID,可以使用SIP-URI、或者确定用户或服务提供者的ID。
通信源及通信目的地信息583是确定网络中的通信源和通信目的地的信息。例如,如果在通信源地址和通信目的地地址中指定IP地址,就能够确定IP网络中的通信源和通信目的地。
通信目的地URL584是进行例如HTTP等作为通信对象指定了URL的通信时的通信对象信息。例如,在应用服务器30工作的HTTP服务器上连接了客户机20的情况下由客户机20制作的通信中的通信日志的通信目的地URL584,是确定客户机20访问的应用服务器30的HTTP服务器上的信息的URL信息,此外,应用服务器30制作的通信中的通信日志的通信目的地URL584,是确定包含在来自客户机20的访问请求中的应用服务器30的HTTP服务器上的信息的URL信息。由于有时不指定URL作为通信对象,所以通信目的地URL584不是必需的。
加密通信与否的标志585,是识别从客户机20至应用服务器30的通信是否使用经由会话管理服务器40确立的安全通道进行的识别符。根据该识别符,可以知道与该通信日志对应的通信会话是经由会话管理服务器40确立的,还是不经由会话管理服务器40而在客户机20与应用服务器30之间直接建立了会话。不经由会话管理服务器而是在客户机20与应用服务器30之间直接确立了会话的情况下,会话管理服务器40不能知道该通信事实,所以会话管理服务器40不制作图5所示的通信日志。
通信数据信息586是在用会话号码581识别的客户机20和应用服务器30的通信会话中进行通信的字节数、通信数据的内容。由此,能够在通信中的通信日志中留下在客户机20与应用服务器30间进行了通信的数据大小。由于在客户机20和应用服务器30中分别制作通信中的通信日志,只要在客户机20和应用服务器30间的通道途中不遗失通信数据包,客户机20和应用服务器30制作的通信中的通信日志应该是相同内容。在客户机20和应用服务器30制作的通信日志不同的情况下,有可能是在网络上发生了故障,或者某一方或两方的通信日志是错误的。
在通信数据信息586的“通信数据的内容”项目中,可以记载客户机20和应用服务器30间的通信数据的内容。通过将通信数据的内容留在通信中的通信日志中,客户机20和应用服务器30可以留下包含通信内容在内的通信的证据。但是,如果将所有通信数据的内容作为通信日志记录,则产生庞大的通信日志,所以,记录指定的一部分通信数据的内容是比较现实的。例如,可以考虑记录对于某一特定的通信目的地地址的通信数据的内容的情况。
日志记录开始及结束时刻587存储通信日志的记录开始时刻、记录结束时刻。例如,也可以将在客户机20与应用服务器30间经由会话管理服务器40开始了通信的时刻作为通信日志的记录开始时刻,将经由会话管理服务器40结束了通信的时刻作为通信日志的记录结束时刻。
此外,例如,也可以在客户机20与应用服务器30间每当进行一些数据包的交换时,记录通信日志(该情况下,日志记录开始时刻和日志记录结束时刻是大致相同的时刻)。
此外,例如,也可以每隔预定的某一固定时间就制作通信日志(该情况下,定期地制作日志记录开始时刻和日志记录结束时刻的间隔为固定时间的通信日志)。而且,如果日志记录开始及结束时刻587不正确,就不能保证通信日志的正当性。要制作正确的通信日志,客户机20和应用服务器30所具有的时钟的时刻必须是正确的。
图6的信息中还可以包含其它信息。还可以包含对在客户机20与应用服务器30间进行通信的应用进行确定的信息(WEB、邮件、文件传送方法等)、以及指示在因特网上存在的信息资源的场所的信息(URI等)。
此外,图6的通信源及通信目的地信息583也可以是如MAC地址那样的、确定通信源与通信目的地的网络设备的信息。再者,通信源及通信目的地信息583中还可以包含“无线LAN”、“有线LAN”、“红外线通信”等确定网络设备自身的种类的信息。
而且,为了区别通信日志的种类,将客户机20和应用服务器30-2记录的通信日志称为通信装置日志,将会话管理服务器记录的日志称为会话管理日志。接着,说明上述结构的日志管理***的动作。
图7、图8中说明了经由会话管理服务器40的客户机20与应用服务器30间的安全通道确立(通信开始处理),通道删除(通信结束处理),客户机20、应用服务器30和会话管理服务器40中的通信日志的制作。
如图7所示,首先客户机20-1经由会话管理服务器40-1、40-2,与应用服务器30-2之间进行认证,确立不经由会话管理服务器40-1、40-2的安全通道。
客户机20的通信开始及结束处理部23经由与会话管理服务器的安全通信部21,向会话管理服务器40-1发送通信开始请求,会话管理服务器40-1的通信开始及结束传送处理部41经由安全通信部45将其接收(S100)。
会话管理服务器40-1的通信开始及结束传送处理部41,向会话管理服务器40-2传送从安全通信部45接收的通信开始请求,会话管理服务器40-2的通信开始及结束传送处理部41经由安全通信部45将其接收(S101)。
会话管理服务器40-2的通信开始及结束传送处理部41,经由安全通信部45向应用服务器30-2传送接收到的通信开始请求,应用服务器30-2的通信开始及结束传送处理部23经由与会话管理服务器的安全通信部21将其接收(S102)。
应用服务器30-2的通信开始及结束处理部23若接受了通信开始请求,判断其可否,经由与会话管理服务器的安全通信部21向会话管理服务器40-2发送作为判断结果的通信开始响应,会话管理服务器40-2的通信开始及结束传送处理部41经由安全通信部45将其接收(S103)。
会话管理服务器40-2的通信开始及结束传送处理部41,从安全通信部45向会话管理服务器40-1传送接收到的通信开始响应,会话管理服务器40-1的通信开始及结束传送处理部41经由安全通信部45将其接收(S104)。
会话管理服务器40-1的通信开始及结束传送处理部41经由安全通信部45向客户机20-1传送接收到的通信开始响应,客户机20-1的通信开始及结束处理部23经由与会话管理服务器的安全通信部21将其接收(S105)。
而且,利用S100至S105,客户机20-1和应用服务器30-2共有用于客户机20-1与应用服务器30-2间的安全通信的设定信息和密钥,在各自的安全通信部22存储设定信息和密钥。
用于安全通信的设定信息和密钥,可以是例如客户机20-1制作后由应用服务器30-2将其接收的方法,也可以是会话管理服务器制作后提供给客户机20-1和应用服务器30-2的方法。
客户机20-1的通信日志记录部24是接受在S105接收到的通信开始请求的装置,若确立了安全通信会话,则制作通信开始的通信日志(图5),进一步,开始监视通过安全通信部22的通信数据,从而开始记录经由安全通信会话的通信中的通信日志(S106)。
会话管理服务器40-1的通信日志记录部42监视着通信开始及结束传送处理部41的处理,若进行了S101和S105的处理,则制作图5所示的通信开始时的通信日志(在通信开始或结束识别信息575中记载了“通信开始”的通信日志)(S107)。然后,会话管理服务器40-1的通信日志发送部43通过图9所示的处理,经由安全通信部45向日志管理服务器50-1发送通信开始的通信日志。
会话管理服务器40-2的通信日志记录部42也同样地监视着通信开始及结束传送处理部41的处理,若进行了S102和S104的处理,则制作图5所示的通信开始时的通信日志(在通信开始或结束识别信息575中记载了“通信开始”的通信日志)(S108)。然后,会话管理服务器40-2的通信日志发送部43通过图9所示的处理,经由安全通信部45向日志管理服务器50-2发送通信开始的通信日志。
如果应用服务器30-2的通信日志记录部24在S103发送了用于确立安全通信会话的通信开始响应,就制作通信开始的通信日志(图5),进一步,开始监视通过安全通信部22的通信数据,从而开始记录经由安全通信会话的通信中的通信日志(S109)。
然后,客户机20-1和应用服务器30-2的通信日志记录部24分别记录在其间确立的安全通信的通信日志(图6)。
如图8所示,客户机20-1和应用服务器30-2在安全通信结束时,经由会话管理服务器40-1和会话管理服务器40-2进行通信的结束处理。
客户机20的通信开始及结束处理部23经由与会话管理服务器部的安全通信部21,向会话管理服务器40-1发送通信结束请求,会话管理服务器40-1的通信开始及结束传送处理部41经由安全通信部45将其接收(S110)。
会话管理服务器40-1的通信开始及结束传送处理部41经由安全通信部45向会话管理服务器40-2传送接收到的通信结束请求,会话管理服务器40-2的通信开始及结束传送处理部41经由安全通信部45将其接收(S111)。
会话管理服务器40-2的通信开始及结束传送处理部41经由安全通信部45向应用服务器30-2传送接收到的通信结束请求,应用服务器30-2的通信开始及结束处理部23经由与会话管理服务器的安全通信部21将其接收(S112)。
若应用服务器30-2的通信开始及结束处理部23接受了通信的结束,则经由与会话管理服务器的安全通信部21向会话管理服务器40-2发送通信结束响应,会话管理服务器40-2的通信开始及结束传送出理部41经由安全通信部45将其接收(S113)。
会话管理服务器40-2的通信开始及结束传送处理部41经由安全通信部45向会话管理服务器40-1传送接收到的通信开始响应,会话管理服务器40-1的通信开始及结束传送处理部41经由安全通信部45将其接收(S114)。
会话管理服务器40-1的通信开始及结束传送处理部41经由安全通信部45向客户机20-1传送接收到的通信开始请求,客户机20-1的通信开始及结束处理部23经由与会话管理服务器的安全通信部21将其接收(S115)。
应用服务器30-2在S113发送了通信结束响应之后,删除被保管在安全通信部22的用于客户机20-1与应用服务器30-2间的安全通信的设定信息和密钥。若客户机20-1在S115接收到通信结束响应,则删除被保管在安全通信部22的、用于客户机20-1与应用服务器30-2间的安全通信的设定信息和密钥。通过这些处理,删除了在客户机20-1与应用服务器30-2间确立的安全通道(安全通信会话结束)。
若客户机20-1的通信日志记录部24在S115接收到通信结束响应,则结束在S106开始的通信中的通信日志的记录,进一步,制作通信结束时的通信日志(在通信开始或结束识别信息575栏中记载了“通信结束”)(S116)。客户机20-1的通信日志记录部24在该阶段成为暂时保管着通信中的通信日志和通信结束时的通信日志的状态。
此外,若应用服务器30-2的通信日志记录部24在S113发送通信结束响应,则结束在S109开始的通信中的通信日志的记录,进一步,制作通信结束时的通信日志(在通信开始或结束识别信息575栏中记载了“通信结束”)(S119)。客户机20-1的通信日志记录部24在该阶段成为暂时保管着通信中的通信日志和通信结束的通信日志的状态。
若会话管理服务器40-1的通信日志记录部42在S115接收到通信结束响应,则制作与S107对应的通信结束时的通信日志(在通信开始或结束识别信息575栏中记载了“通信结束”)(S117)。在该阶段,会话管理服务器40-1的通信日志记录部42成为暂时保管着图7和图8所示的、对于安全通信会话的通信结束时的通信日志的状态。
此外,若会话管理服务器40-2的通信日志记录部42在S114发送通信结束响应,则制作与S108对应的通信结束时的通信日志(在通信开始或结束识别信息575栏中记载了“通信结束”)(S118)。在该阶段,会话管理服务器40-2的通信日志记录部42成为暂时保管着图7和图8所示的、对于安全按通信会话的通信结束的通信日志的状态。
而且,客户机20-1的通信日志记录部24以S106和S116为契机进行从通信开始处理到通信结束处理的期间的通信中的记录开始和结束,但是,也可以是其它的方法。
例如,客户机20-1还可以不执行S106和S116,重复(例如每隔某一固定期间地定期)生成通信中的通信日志。该情况下,客户机20-1的通信日志记录部24如果在某一固定期间进行了安全通信,则记录对于该通信的通信中的通信日志,如果未进行安全通信,则记录空的通信中的通信日志(或者不记录通信日志)。应用服务器30-2也可以进行同样的处理。
此外,客户机20-1的通信日志记录部24和应用服务器30-2的通信日志记录部24还可以记录经由通过图7的处理确立的通信会话以外的通道的通信日志。
例如,客户机20-1也可以不进行从S100开始的一连串处理,通过定期的通信日志记录来记录对于不经由会话管理服务器40确立的、同应用服务器30-1间的通信的通信中的通信日志。该情况下,在加密通信与否的标志585中,记载对是利用了通过图7的处理确立的安全通道的通信、还是除此以外的不经由会话管理服务器40的通信进行识别的信息即可。
图9是会话管理服务器40向日志管理服务器50-1发送在S107或S117制作的通信开始及结束的通信日志的时序图。
若在S107制作了图5的通信开始时的通信日志(在通信开始或结束识别信息575栏中记载了“通信开始”),则会话管理服务器40-1的通信日志发送部43经由安全通信部45向日志管理服务器50-1发送该通信日志,日志管理服务器50-1的通信日志管理部56经由安全通信部51将其接收(S200)。
日志管理服务器50-1的通信日志管理部56在通信日志57中保管接收到的通信开始的通信日志(S201),经由安全通信部51向会话管理服务器40-1通知保管结束,会话管理服务器40-1的通信日志发送部43经由安全通信部45将其接收(S203)。
若在S115制作了图5的通信结束日志(在通信开始或结束识别信息575栏记载了“通信结束”),会话管理服务务器40-1的通信日志发送部43经由安全通信部45向日志管理服务器50-1发送该通信结束日志,日志管理服务器50-1的通信日志管理部56经由安全通信部51将其接收(S210)。
日志管理服务器50-1的通信日志管理部56在通信日志57中保管接收到的通信结束的通信日志(S211),经由安全通信部51向会话管理服务器40-1通知保管结束,会话管理服务器40-1的通话日志发送部43经由安全通信部45将其接收(S213)。
此外,在上述说明中,说明了图9中的会话管理服务器40-1每当通过S107或S117制作了通信开始或结束的通信日志时发送通信日志,也可以在其它的定时,例如定期地一起向日志管理服务器50-1发送通信开始或结束的通信日志。
此外,会话管理服务器40-2向日志管理服务器50-2发送通信开始或结束的通信日志的情况下,也进行同样的处理。
图10是表示向日志管理服务器50-1发送客户机20-1的通信日志记录部24记录的通信开始、通信结束或通信中的通信日志的处理时序的图。
若在S116结束通信日志的记录,客户机20-1通过执行S120至S123的处理,在与日志管理服务器50-1之间经由会话管理服务器40-1进行认证,确立不经由会话管理服务器40-1的安全通道,经由确立的通道发送通信日志。
即,客户机20-1经由会话管理服务器40-1向日志管理服务器50-1进行通信开始请求(S120、S121),日志管理服务器50-1经由会话管理服务器40-1响应客户机20-1(S122、S123)。这些处理是与图7的通信开始处理同样的处理。客户机20-1和日志管理服务器50-1根据需要同会话管理服务器40-1进行认证。
客户机20-1的通信日志发送部25经由安全通信部22、并利用在S120至S123确立的安全通道,向日志管理服务器50-1发送通信日志记录部24暂时保管的通信日志,日志管理服务器50-1的通信日志管理部56经由安全通信部52将其接收(S301)。
日志管理服务器50-1的通信日志管理部56在通信日志58中保管接收到的通信开始、通信结束及通信中的通信日志(S302),经由安全通信部51向客户机20-1通知保管结束,客户机20-1的通信日志发送部25经由安全通信部22将其接收(S303)。
另外,在图10的处理中,通过S120至S123的处理确立安全通道,利用确立的安全通道发送通信日志,但是,已经在客户机20-1和日志管理服务器50-1之间确立了安全通道的情况下,可以省略S120至S123的处理。
而且,在应用服务器30-1向日志管理服务器50-1发送通信日志的情况下、或者客户机20-2向日志管理服务器50-2发送通信日志的情况下、或者应用服务器30-2向日志管理服务器50-2发送通信日志的情况下,也进行同样的处理。
图11是表示代替图10的其它的通信日志发送方法的时序图,表示客户机20-1经由会话管理服务器40-1向日志管理服务器50-1发送通信日志的时序。
客户机20-1的通信日志发送部25经由安全通信部21向应用管理服务器40-1发送通信日志,会话管理服务器40-1的传送处理部44经由安全通信部45将其接收(S310)。
会话管理服务器40-1的传送处理部44经由安全通信部45向日志管理服务器50-1传送接收到的通信结束请求,日志管理服务器50-1的通信日志管理部56经由安全通信部51将其接收(S311)。
日志管理服务器50-1的通信日志管理部56在通信日志58中保管接收到的通信开始、通信结束或通信中的通信日志(S312),经由安全通信部51向会话管理服务器40-1通知保管结束,会话管理服务器40-1的传送处理部44经由安全通信部45将其接收(S313)。
会话管理服务器40-1的传送处理部44经由安全通信部45向客户机20-1传送接收到的保管结束通知,客户机20-1的通信日志发送部25经由与会话管理服务器的安全通信部21将其接收(S314)。
而且,图11中的各装置间的交换是利用以下的在(1)和(2)的场所确立的安全通道(加密通道)(具体地说,已经确立了安全通道的情况下利用该通道,还没确立的情况下重新确立)作为消息进行接收发送。
(1)客户机20-1与会话管理服务器40-1之间
(2)会话管理服务器40-1与日志管理服务器50-1之间
此外,图11的例子中的、各装置间的以下(a)、(b)的交换,例如可以作为利用了上述安全通道的SIP(Session Initiation Protocol)的消息的一部分发送。
(a)通信日志发送(S310、S311)
(b)保管结束通知(S313、S314)
此外,在应用服务器30-1向日志管理服务器50-1发送通信日志的情况下、客户机20-2向日志管理服务器50-2发送通信日志的情况下、应用服务器30-2向日志管理服务器50-2发送通信日志的情况下,也进行同样的处理。
在图7和图8、或图10和图11的时序中,客户机20-1以通信会话的确立为契机记录通信日志并发送给日志管理服务器,但作为其它方法,也可以如图12和图13的时序图所示,按照日志管理服务器50的通信日志记录请求的指示,客户机20-1、应用服务器30-1、客户机20-2及应用服务器30-2记录通信日志,并且向日志管理服务器发送通信日志。
日志管理服务器50在图12的通信日志记录请求(S401)中能够指定通信日志记录的详细内容。例如,通过指定已确立的通信会话的通信源及通信目的地信息583和通信目的地URL584的内容,能够指示对于某一特定的通信目的地的通信日志的记录。
此外,例如,通过指定日志记录开始及结束时刻587的内容,能够指定要记录通信中的通信日志的期间。
此外,例如,通过指定通信数据信息586的通信数据内容的记录,甚至能够记录实际的通信数据。
通过这样的图12和图13所示的通信日志记录请求和通信日志发送的处理,日志管理服务器能够在任意的定时对客户机20或应用服务器30指示必要的通信中的通信日志的记录。
例如,当正在监视通信的其它装置向日志管理服务器50-1传达对于某特定的通信源和某特定的通信目的地的通信需要调查其详细情况的意思时,日志管理服务器50-1将自该时刻起的详细的通信日志的记录,通过图12或图13的处理指示给客户机20或应用服务器30,由此日志管理服务器能够取得该通信的详细的通信日志。
在日志管理服务器50向客户机20或应用服务器30请求通信日志的记录的情况下,在本***中执行图12或图13的某一个处理。下面,说明各自的处理。
图12表示日志管理服务器50-1向客户机20-1请求通信中的通信日志的记录的时序。
日志管理服务器50-1通过执行S130至S133的处理,经由会话管理服务器40-1同客户机20-1进行认证,确立不经由会话管理服务器40-1的安全通道,向客户机20-1请求记录经由己确立的安全通道的通信中的通信日志。
日志管理服务器50-1经由会话管理服务器40-1向客户机20-1进行通信开始请求(S130、S131),客户机20-1经由会话管理服务器40-1响应日志管理服务器50-1(S132、S133)。这些处理是与图7的通信开始处理同样的处理。
日志管理服务器50-1的通信日志记录请求部54经由安全通信部52、并利用在S130至S133确立的安全通道,向客户机20-1发送通信日志记录请求,客户机20-1的通信日志记录部24经由安全通信部22将其接收(S401)。
客户机20-1的通信日志记录部24根据S401的通信日志记录请求而开始通信中的通信日志的记录(S401),若通信会话结束,则按照与图10同样的处理,客户机20-1向日志管理服务器50-1发送通信日志,日志管理服务器50-1保管接收到的通信日志(S301至S303)。
图13表示日志管理服务器50-1向客户机20-1请求记录通信中的通信日志的其它时序。
日志管理服务器50-1的通信日志记录请求部54经由安全通信部52向会话管理服务器40-1发送通信中的通信日志记录请求,会话管理服务器40-1的传送处理部44经由安全通信部45将其接收(S410)。
会话管理服务器40-1的传送处理部44经由安全通信部45向客户机20-1传送接收到的通信日志记录请求,客户机20-1的通信日志记录部24经由与会话管理服务器的安全通信部21将其接收。
客户机20-1的通信日志记录部24开始与S410、S411的通信日志记录请求相对应的通信中的通信日志的记录(S412),若通信会话结束,则通过与图11相同的处理,客户机20-1向日志管理服务器50-1发送通信日志,日志管理服务器50-1保管接收到的通信日志(S310至S314)。
而且,图13中的各装置间的交换是利用在以下的(1)和(2)的场所确立的安全通道(加密通道)(具体地说,已经确立了安全通道的情况下利用该通道,还没确立的情况下重新确立)作为消息进行接收发送。
(1)客户机20-1与会话管理服务器40-1之间
(2)会话管理服务器40-1与日志管理服务器50-1之间
此外,图13的例子中的、各装置间的以下(a)至(c)的交换,例如可以作为利用了上述安全通道的SIP(Session Initiation Protocol)的消息的-部分发送。
(a)通信日志记录请求(S410、S411)
(b)通信日志发送(S310、S311)
(c)保管结束通知(S313、S314)
图14和图15表示日志管理服务器50-1用于对客户机20-1进行通信日志的记录设定的时序。通信日志的记录设定是指,关于图5、图6所示的通信日志的记录,设定成使得-部分通信成为记录的对象,或者设定是否连通信数据信息586的通信数据的内容也记录。
下面,说明通信日志的记录设定的具体例子。
例如,通过在通信源及通信目的地信息573、583和通信目的地URL574、584中设定成记录对于特定的通信源和通信目的地的通信日志,日志管理服务器50能够记录对于某特定的通信源和通信目的地的通信日志。即,由于不记录和不发送非必要的通信日志,所以能节省存储器和通信量。
此外,例如关于通信源及通信目的地信息573、583或通信目的地URL574、584,设定成不记录对于特定的通信源和通信目的地的通信日志,从而,日志管理服务器50能够排除对于某特定的通信源和通信目的地的通信日志记录。作为一例,可以考虑不记录对于DSN服务器的通信日志、对于病毒定义文件提供服务器的通信日志这样的节省存储器和通信量的使用方法。
再者,例如还可以预先指定要记录通信日志的期间。作为一例,为了监视应该在每日相同时刻进行的通信,可以指定其期间。
此外,例如可以指定特定的通信源和特定的通信目的地的一方或两方,关于其通信,可以指定是否记录通信数据信息586的通信数据内容。该情况下,对于特定的通信,可以指定为记录更详细的通信日志(包含通信内容的通信日志)。
下面,说明图14、图15的处理。
图14表示日志管理服务器50-1同客户机20-1确立加密通道,使客户机20-1进行通信日志的记录设定的时序。
日志管理服务器50-1经由会话管理服务器40-1向客户机20-1进行通信开始请求(S130、S131),客户机20-1经由会话管理服务器40-1响应日志管理服务器50-1(S132、S133)。这些处理是和图2同样的处理。
日志管理服务器50-1的通信日志记录设定请求部53,经由安全通信部52、并利用在S130至S133确立的安全通道,向客户机20-1发送通信日志记录设定请求,客户机20-1的通信日志记录部24经由安全通信部22将其接收(S500)。
客户机20-1的通信日志记录部24进行与S500的通信日志记录请求对应的通信日志记录的设定(S501)。而且,与S501的通信日志记录设定有关的详细内容如上所述。
客户机20-1的通信日志记录部24经由安全通信部22向日志管理服务器50-1发送设定结束通知,日志管理服务器50-1的通信日志记录设定请求部53将其接收(S502)。
对于该处理之后进行的安全通信(在本步骤之后进行图7、图8的处理的情况下),客户机20-1按照S501的设定记录通信日志。
图15表示日志管理服务器50-1使客户机20-1进行通信日志的记录设定的时序。
日志管理服务器50-1的通信日志记录设定请求部53经由安全通信部51向会话管理服务器40-1发送通信日志记录设定请求,会话管理服务器40-1的传送处理部44经由安全通信部45将其接收(S510)。
会话管理服务器40-1的传送处理部44经由安全通信部45向客户机20-1传送接收到的通信日志记录设定请求,客户机20-1的通信日志记录部24经由与会话管理服务器的安全通信部21将其接收。
客户机20-1的通信日志记录部24进行在S510的通信日志记录请求中记载的通信日志的记录设定(S512)。另外,与S501的通信日志记录的设定有关的详细内容,与上述相同。
客户机20-1的通信日志记录部24经由与会话管理服务器的安全通信部21,向会话管理服务器40-1发送设定结束通知,会话管理服务器40-1的传送处理部44将其接收(S513)。
会话管理服务器40-1的传送处理部44经由安全通信部45向日志管理服务器50-1传送设定结束通知,日志管理服务器50-1的通信日志记录设定请求部53将其接收(S514)。
而且,图15中的各装置间的交换是利用在以下的(1)和(2)的场所确立的安全通道(加密通道)(具体地说,已经确立了安全通道的情况下利用该通道,还没确立的情况下重新确立)作为消息进行接收发送。
(1)客户机20-1与会话管理服务器40-1之间
(2)会话管理服务器40-1与日志管理服务器50-1之间
此外,图15的例子中的、各装置间的以下(a)、(b)的交换,例如可以作为利用了上述安全通道的SIP(Session Initiation Protocol)的消息的一部分发送。
(a)通信日志记录设定请求(S510、S511)
(b)设定结束通知(S513、S514)
关于在该处理后进行的安全通信(在本步骤之后进行图7、图8的处理的情况下),客户机20-1按照S512的设定记录通信日志。
图16和图17表示客户机20-1询问日志管理服务器50-1并参照本装置的通信日志的时序。客户机20-1将制作的自身的通信日志发送给日志管理服务器50之后并不保存,而是由日志管理服务器50-1长期保存。
利用图16、图17所示的时序,客户机20-1可以参照本装置的过去的通信历史。
此外,会话管理服务器40制作的通信日志也被保管在日志管理服务器50-1中,客户机20-1还参照它。
而且,还可以在日志管理服务器50-1中,通过对通信日志57和通信日志58进行适当的权限设定,客户机20-1能够参照被保管在日志管理服务器50-1中的其它客户机20制作的通信日志、或者其它的日志管理服务器50制作的通信日志。
下面,说明图16、图17的处理。
图16表示客户机20-1同日志管理服务器50-1确立加密通道、并参照被保管在日志管理服务器50-1中的通信日志的时序。
客户机20-1经由会话管理服务器40-1向日志管理服务器50-1进行通信开始请求(S120、S121),日志管理服务器50-1经由会话管理服务器40-1响应客户机20-1(S122、S123)。这些处理是和图1同样的处理。
客户机20-1的通信日志参照请求部26经由安全通信部52、并利用在S130至S133确立的安全通道,向日志管理服务器50-1发送通信日志参照请求,日志管理服务器50-1的通信日志管理部56经由安全通信部52将其接收(S600)。
日志管理服务器50-1的通信日志管理部56从通信日志57和通信日志58抽出与S600的通信日志参照请求对应的通信日志(S601)。
日志管理服务器50-1的通信日志管理部56经由安全通信部52向客户机20-1发送抽出的通信日志。客户机20-1的通信日志参照请求部26将其接收(S602)。
图17表示客户机20-1参照被保管在日志管理服务器50-1中的通信日志的其它时序。
客户机20-1的通信日志参照请求部26经由与会话管理服务器的安全通信部21,向会话管理服务器40-1发送通信日志参照请求,会话管理服务器40-1的传送处理部44经由安全通信部45将其接收(S610)。
会话管理服务器40-1的传送处理部44经由安全通信部45向客户机20-1传送接收到的通信日志参照请求,日志管理服务器50-1的通信日志管理部56经由与会话服务器的安全通信部21将其接收。
日志管理服务器50-1的通信日志管理部56,从通信日志57和通信日志58抽出与S600的通信日志参照请求对应的通信日志(S612)。
日志管理服务器50-1的通信日志管理部56经由安全通信部51向会话管理服务器40-1发送抽出的通信日志,会话管理服务器40-1的传送处理部44将其接收(S613)。
会话管理服务器40-1的传送处理部44经由安全通信部45向客户机20-1传送接收到的通信日志,客户机20-1的通信日志参照请求部26将其接收(S614)。
另外,图17中的各装置间的交换是利用在以下的(1)和(2)的场所确立的安全通道(加密通道)(具体地说,已经确立了安全通道的情况下利用该通道,还没确立的情况下重新确立)作为消息进行接收发送。
(1)客户机20-1与会话管理服务器40-1之间
(2)会话管理服务器40-1与日志管理服务器50-1之间
此外,图17的例子中的、各装置间的以下(a)、(b)的交换,例如可以作为利用了上述安全通道的SIP(Session Initiation Protocol)的消息的一部分发送。
(a)通信日志参照请求(S610、S611)
(b)通信日志响应(S613、S614)
接着,说明图18、图19的处理。
如图7、图8所示地若客户机20-1同应用服务器30-2进行通信,在客户机20-1和应用服务器30-2分别记录通信中的通信日志(S116、S119),在会话管理服务器40-1和会话管理服务器40-2分别记录通信开始的通信日志和通信结束的通信日志(S107、S108、S117、S118)。
在会话管理服务器40-1记录的通信日志,通过图9的处理从会话管理服务器40-1发送给日志管理服务器50-1。此外,在会话管理服务器40-2记录的通信日志,通过与图9同样的处理,从会话管理服务器40-2发送给日志管理服务器50-2。
而且,在客户机20-1记录的通信日志,通过图10或图11的处理发送给日志管理服务器50-1。此外,在应用服务器30-2记录的通信日志,通过与图10或图11同样的处理(将图10、图11的客户机20-1换读为应用服务器30-2、将日志管理服务器50-1换读为日志管理服务器50-2的处理),发送给日志管理服务器50-2。
如此地,关于从客户机20-1对于应用服务器30-2的通信,在日志管理服务器50-1保管从客户机20-1和会话管理服务器40-1得到的通信日志,在日志管理服务器50-2保管从应用服务器30-2和会话管理服务器40-2得到的通信日志。即,在跨及多个域的通信中,关于客户机20和应用服务器30间的通信,在各自的域的日志管理服务器中分散保管着通信日志。如果能够确认这些分散的通信日志具有一致性,就能够确认通信日志的全体是可信赖的。
图18是表示验证被保管在日志管理服务器50-1和日志管理服务器50-2中的通信日志的一致性的处理的时序,图19中示出代替图18的其它时序。
图18、图19表示如下时序:关于客户机20-1和应用服务器30-2之间的通信,若客户机20-1向本域A的日志管理服务器50-1请求其通信日志的一致性验证,日志管理服务器50-1从其它的域B的日志管理服务器50-2取得必要的通信日志,通过进行比较验证(S713或S729)来验证一致性,并响应客户机20-1。
此外,在此例示了客户机20-1向本域A的日志管理服务器50-1请求通信日志的一致性验证的情况,也可以代替客户机20-1,由其它的通信装置请求通信日志的一致性检验。该情况下,执行将图18、图19中的客户机20-1替换为其它的通信装置的处理即可。
下面,说明图18的时序。
图18中表示如下的处理。
(1)客户机20-1与日志管理服务器50-1之间经由会话管理服务器40-1确立安全通道(S120~S123)。
(2)客户机20-1利用在(1)确立的安全通道向日志管理服务器50-1请求一致性验证(S700)。
(3)日志管理服务器50-1经由会话管理服务器40-1和会话管理服务器40-2,与日志管理服务器50-2之间确立安全通道(S140至S145)。
(4)日志管理服务器50-1利用在(3)确立的安全通道从日志管理服务器50-2取得通信日志(S710至S712)。
(5)日志管理服务器50-1对本装置保管的通信日志和在(4)取得的日志管理服务器50-2保管的通信日志进行比较验证(S713),将验证结果响应给客户机20-1(S714)。
S713中的一致性的确认是判断分别生成的多个日志的内容是否一致,如果确认为一致,能够表示通信日志是更正确的。例如在企业中,由企业以外的第三者请求了关于通信的事实的情况下,为了证明进行过通信(或者没进行)的事实,可以使用“具有一致性的通信日志”。
下面,示出上述(1)至(5)的处理。
(1)通过与图10的S120至S123相同的处理,在客户机20-1和日志管理服务器50-1之间确立安全通道。
(2)客户机20-1的一致性验证请求部27经由安全通信部22对日志管理服务器50-1进行一致性验证请求(S700)。
(3)日志管理服务器50-1经由会话管理服务器40-1、会话管理服务器40-2对日志管理服务器50-2进行通信开始请求(S140、S141、S142),日志管理服务器50-2经由会话管理服务器40-2、会话管理服务器40-1响应日志管理服务器50-1(S143、S144、S145)。通过该处理,在日志管理服务器50-1和日志管理服务器50-2之间确立了安全通道。
(4)日志管理服务器50-1向日志管理服务器50-2请求(2)的一致性验证请求的响应所必需的、客户机20-1和应用服务器30-2间的通信日志(S710),日志管理服务器若抽取出被请求的通信日志(S711),则将其响应给日志管理服务器50-1(S712)。
(5)日志管理服务器50-1对一致性验证所必需的、从日志管理服务器50-2接收的通信日志和本装置保管着的通信日志进行比较验证(S713)。
具体地说,比较验证处理(S713)判断是否具有客户机20-1与应用服务器30-2间的通信日志(图5和图6所示的内容)的一致性。比较验证处理(S713)的结果,可以用数值表示一致性的高低,而且,在具有一致性的情况下可以抽出不一致之处。
日志管理服务器50-1经由在S120至S123确立的安全通道向客户机20-1发送比较验证处理(S713)的结果(S714)。
在通信的开始时或结束时的通信日志的比较验证处理(S713)中,例如存在从客户机20-1向应用服务器30-2的通信开始时或结束时制作的图5所示形式的4个通信日志,即(1)客户机20-1制作的通信日志(通信源ID为客户机20-1的ID,通信目的地ID为应用服务器30-2的ID)、(2)会话管理服务器40-1制作的通信日志(通信源ID为客户机20-1的ID,通信目的地ID为应用服务器30-2的ID)、(3)会话管理服务器40-2制作的通信日志(通信源ID为客户机20-1的ID,通信目的地ID为应用服务器30-2的ID)、和(4)应用服务器30-2制作的通信日志(通信源ID为应用服务器30-2的ID,通信目的地ID为客户机20-1的ID),当通信源地址和通信源端口号码、通信目的地地址和通信目的地端口号码相同,通信目的地URL相同(通信目的地URL信息存在的情况下),通信日志的时刻信息相同(或者具有某一固定时刻以内的误差)的情况下,可以认为是一致的。
此外,在通信中的通信日志的比较验证处理(S713)中,例如存在从客户机20-1向应用服务器30-2的通信中制作的图6所示形式的2种通信日志,即(1)客户机20-1制作的通信日志(通信源ID为客户机20-1的ID,通信目的地ID为应用服务器30-2的ID)、(2)应用服务器30-2制作的通信日志(通信源ID为应用服务器30-2的ID,通信目的地ID为客户机20-1的ID),当通信源地址和通信源端口号码、通信目的地地址和通信目的地端口号码相同,或者通信目的地URL相同(通信目的地URL信息存在的情况下)的情况下,a)当2种通信日志中的某一时刻到另一时刻的通信字节数的合计相同(或者具有某一固定值以内的误差)的情况下,可以判断为是一致的。或者,b)比较2种通信日志中的通信数据的内容,相同的情况下,可以判断为是一致的。
此外,在客户机20-1和应用服务器30-2定期地制作图6所示形式的通信日志的情况下,当客户机20-1和应用服务器30-2生成的定期的通信日志存在时,也可以认为是一致的。
图19中例示了与一致性验证有关的、代替图18的其它处理。
(1)客户机20-1经由会话管理服务器40-1向日志管理服务器50-1请求一致性验证(S720、S721)。
(2)日志管理服务器50-1经由会话管理服务器40-1、会话管理服务器40-2,从日志管理服务器50-2取得日志管理服务器50-2保管着的通信日志(S722至S728)。
(3)日志管理服务器50-1对本装置保管的通信日志和在(2)取得的日志管理服务器50-2所保管的通信日志进行比较验证(S729),经由会话管理服务器40-1向客户机20-1响应一致性的验证结果(S730、S731)。
在图19例示的情况下,比较验证处理(S729)也可以使用与图18的例子同样的基准。
而且,图19中的各装置间的交换是利用在以下的(1)至(4)的场所确立的安全通道(加密通道)(具体地说,已经确立了安全通道的情况下利用该通道,还没确立的情况下重新确立)作为消息进行接收发送。
(1)客户机20-1与会话管理服务器40-1之间
(2)会话管理服务器40-1与日志管理服务器50-1之间
(3)会话管理服务器40-1与会话管理服务器40-2之间
(4)会话管理服务器40-1与日志管理服务器50-2之间
此外,图19的例子中的、各装置间的以下(a)至(d)的交换,例如可以使用利用了上述安全通道的SIP(Session Initiation Protocol)的消息来发送。
(a)一致性验证请求(S720、S721)
(b)通信日志取得请求(S722、S723、S724)
(c)通信日志取得响应(S726、S727、S728)
(d)一致性验证响应(S730、S731)
在图18的例子中,新确立了2个安全通道(客户机20-1与会话管理服务器40-1之间,以及日志管理服务器50-1与日志管理服务器50-2之间),利用这些安全通道,接收发送一致性验证(S700、S714)、通信日志取得(S710、S712)的消息,但在图19的例子中,即使不新确立这些安全按通信会话,当上述安全通道已确立时可以利用它们,所以能削减通信会话的数量。
在上述各实施方式中,作为通信源装置和通信目的地装置例示了终端装置和服务器装置,但不限于这些装置,在位于不同网络的边界并连接它们的网关装置等中,也可以适用上述实施方式。
此外,在上述各实施方式中,说明了通信源装置和通信目的地装置属于不同网域的情况,但不限于此,也可以属于同一个网域。该情况下,1个会话管理服务器和1个日志管理服务器分别具备上述实施方式中的2个会话管理服务器和2个日志管理服务器的功能,进行这些处理。
此外,在上述实施方式中,例示了如图1所示的每个网域具备日志管理服务器的结构中的处理,但不限于此。例如,即使是在用内部网连接域A和域B的、如企业内网络那样的结构中,日志管理服务器不属于任何域的结构,也能够从各域内的装置取得日志并管理,从而适用本发明。
Claims (10)
1.一种通信日志管理***,位于由多个网域构成的网络中,其中,在第一网域中所属着通信源装置、管理在该第一网域内进行的通信的第一会话管理服务器,在第二网域中所属着通信目的地装置、管理在该第二网域内进行的通信的第二会话管理服务器,其特征在于,
上述通信源装置所属的上述第一网域的上述第一会话管理服务器和上述通信目的地装置所属的上述第二网域的上述第二会话管理服务器,
在上述通信源装置和上述通信目的地装置进行通信的情况下,中介该通信的通信开始和/或通信结束的处理,
记录与中介的上述通信的通信开始和/或通信结束的处理有关的会话管理日志。
2.如权利要求1所述的通信日志管理***,其特征在于,
在每个上述网域中,所属着管理在该网域内进行的通信的日志管理服务器;
各个上述会话管理服务器向属于同一网域的上述日志管理服务器发送已记录的上述会话管理日志,
上述日志管理服务器接收发送的上述会话管理日志并管理。
3.如权利要求2所述的通信日志管理***,其特征在于,
上述第一网域和上述第二网域是相同的网域,
上述第一会话管理服务器和上述第二会话管理服务器是相同的会话管理服务器,
每个上述网域中所属的日志管理服务器是相同的日志管理服务器。
4.如权利要求2所述的通信日志管理***,其特征在于,
上述通信源装置和上述通信目的地装置制作包括通信开始时的处理、通信结束时的处理、通信中的处理中的任一种以上的通信装置日志,
将制作的上述通信装置日志发送给本通信装置所属的网域的上述日志管理服务器,
上述日志管理服务器接收发送的上述通信装置日志并管理。
5.如权利要求4所述的通信日志管理***,其特征在于,
任一个上述日志管理服务器,对上述通信源装置所属的上述第一网域的上述第一日志管理服务器从上述第一网域的第一会话管理服务器接收并管理的上述会话管理日志、和上述通信目的地装置所属的上述第二网域的上述第二日志管理服务器从上述第二网域的第二会话管理服务器接收并管理的上述会话管理日志的一致性进行验证。
6.如权利要求5所述的通信日志管理***,其特征在于,
任一个上述日志管理服务器,对上述通信源装置所属的上述第一网域的上述第一日志管理服务器从上述第一会话管理服务器接收并管理的上述会话管理日志与从上述通信源装置接收并管理的上述通信装置日志,和上述通信目的地装置所属的上述第二网域的上述第二日志管理服务器正在管理的从上述第二会话管理服务器接收的上述会话管理日志与从上述通信目的地装置接收并管理的上述通信装置日志的一致性进行验证。
7.如权利要求6所述的通信日志管理***,其特征在于,
在上述一致性的验证中,上述日志管理服务器将上述通信源装置的地址及端口号码、和上述通信目的地装置的地址及端口号码或者通信目的地URL,作为上述一致性的、通信开始时和/或通信结束时涉及的验证对象。
8.如权利要求7所述的通信日志管理***,其特征在于,
在上述一致性的验证中,上述日志管理服务器将规定时间内的通信字节数或者通信数据的内容作为上述一致性的、通信中涉及的验证对象。
9.如权利要求8所述的通信日志管理***,其特征在于,
上述第一网域的上述第一日志管理服务器从上述第一网域的上述通信源装置被请求了该第一日志管理服务器所管理的上述会话日志及/或上述通信装置日志、和上述第二网域的上述第二日志管理服务器所管理的上述会话日志及/或上述通信装置日志的一致性验证的情况下,与上述第二日志管理服务器之间确立加密通道;
上述第一日志管理服务器经由上述加密通道向上述第二日志管理服务器发送被请求的上述会话日志及/或上述通信装置日志的取得请求;
上述第二日志管理服务器经由上述加密通道向上述第一日志管理服务器发送被请求的上述会话日志及/或上述通信装置日志;
上述第一日志管理服务器基于接收到的上述会话日志及/或上述通信装置日志、和本装置管理的上述会话日志及/或上述通信装置日志,进行被请求的上述一致性的验证。
10.如权利要求8所述的通信日志管理***,其特征在于,
上述第一网域的上述第一日志管理服务器从上述第一网域的上述第一会话管理服务器接收到该第一日志管理服务器所管理的上述会话日志及/或上述通信装置日志、和上述第二网域的上述第二日志管理服务器所管理的上述会话日志及/或上述通信装置日志的一致性的验证请求的情况下,向上述第一会话管理服务器发送上述第二日志管理服务器所管理的上述会话日志及/或上述通信装置日志的取得请求;
上述第一会话管理服务器向上述第二会话管理服务器发送上述取得请求;
上述第二会话管理服务器根据接收到的上述取得请求,从上述第二日志管理服务器取得被请求的上述会话日志及/或上述通信装置日志,并发送给上述第一网域的上述第一会话管理服务器;
上述第一会话管理服务器向上述第一日志管理服务器发送接收到的上述会话日志及/或上述通信装置日志;
上述第一日志管理服务器基于接收到的上述会话日志及/或上述通信装置日志和本装置所管理的上述会话日志及/或上述通信装置日志,进行被请求的上述一致性的验证。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006266348A JP4333723B2 (ja) | 2006-09-29 | 2006-09-29 | 通信ログ管理システム |
| JP266348/2006 | 2006-09-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101155074A true CN101155074A (zh) | 2008-04-02 |
| CN101155074B CN101155074B (zh) | 2011-11-02 |
Family
ID=38846788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710153277.8A Expired - Fee Related CN101155074B (zh) | 2006-09-29 | 2007-09-29 | 通信日志管理*** |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20080082650A1 (zh) |
| EP (1) | EP1906628B1 (zh) |
| JP (1) | JP4333723B2 (zh) |
| CN (1) | CN101155074B (zh) |
| ES (1) | ES2415370T3 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552788B (zh) * | 2008-04-04 | 2012-08-22 | 佳能株式会社 | 会话管理***及其控制方法 |
| WO2012174713A1 (zh) * | 2011-06-21 | 2012-12-27 | 中兴通讯股份有限公司 | 一种分布式运行网络管理***及其容错的方法 |
| CN105103497A (zh) * | 2013-04-11 | 2015-11-25 | 高通股份有限公司 | 应用业务配对 |
| CN108541318A (zh) * | 2015-12-23 | 2018-09-14 | 索尼公司 | 用于授权访问的客户端装置、服务器装置和访问控制*** |
| CN109542857A (zh) * | 2018-11-26 | 2019-03-29 | 杭州迪普科技股份有限公司 | 审计日志存储方法、查询方法、装置及相关设备 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5178539B2 (ja) * | 2008-04-04 | 2013-04-10 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、セッション管理システム並びにプログラム |
| US8645689B2 (en) * | 2009-01-16 | 2014-02-04 | Microsoft Corporation | Stateless agent |
| JP5521694B2 (ja) * | 2010-03-29 | 2014-06-18 | 株式会社リコー | 遠隔通信システム、及びプログラム |
| US9384112B2 (en) | 2010-07-01 | 2016-07-05 | Logrhythm, Inc. | Log collection, structuring and processing |
| CN102377833B (zh) * | 2010-08-19 | 2015-07-22 | 华为技术有限公司 | 一种网络地址转换的管理方法及装置 |
| EP2611109B1 (en) * | 2011-12-29 | 2015-09-30 | Amadeus | System for high reliability and high performance application message delivery |
| JP6167859B2 (ja) * | 2013-11-06 | 2017-07-26 | 富士通株式会社 | 検索方法,検索装置,検索プログラム |
| CN106453454B (zh) * | 2015-08-07 | 2019-08-16 | 北京国双科技有限公司 | 会话标识信息生成方法及装置 |
| US11765137B2 (en) * | 2016-12-20 | 2023-09-19 | Nippon Telegraph And Telephone Corporation | Message transmission system, communication terminal, server apparatus, message transmission method, and program |
| US11112970B2 (en) * | 2017-06-12 | 2021-09-07 | Sap Se | Software system logging based on runtime analysis |
| JP2020048102A (ja) * | 2018-09-20 | 2020-03-26 | 日本電信電話株式会社 | ネットワークサービスシステム、イベントログ記録装置、イベントログ管理方法、及びプログラム |
| JP7436847B2 (ja) | 2020-09-23 | 2024-02-22 | 株式会社デンソーウェーブ | 情報処理装置 |
| CN112448946B (zh) * | 2020-11-09 | 2024-03-19 | 北京工业大学 | 基于区块链的日志审计方法及装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6128657A (en) * | 1996-02-14 | 2000-10-03 | Fujitsu Limited | Load sharing system |
| US6477251B1 (en) * | 1998-11-25 | 2002-11-05 | Gtech Rhode Island Corporation | Apparatus and method for securely determining an outcome from multiple random event generators |
| JP3448254B2 (ja) * | 2000-02-02 | 2003-09-22 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 |
| WO2002098075A1 (fr) * | 2001-05-25 | 2002-12-05 | Mitsubishi Denki Kabushiki Kaisha | Systeme de communication par internet, procede de communication par internet, serveur de commande de session, adaptateur de communication, serveur de relais de communication et programme |
| US20030037131A1 (en) * | 2001-08-17 | 2003-02-20 | International Business Machines Corporation | User information coordination across multiple domains |
| JP2005242895A (ja) * | 2004-02-27 | 2005-09-08 | Bitwallet Inc | 端末装置、サーバ装置、端末確認方法、端末プログラム、及び記憶媒体 |
| JP4028853B2 (ja) | 2004-03-30 | 2007-12-26 | 株式会社日立製作所 | 情報サービス通信ネットワークシステムおよびセッション管理サーバ |
| JP4377790B2 (ja) * | 2004-09-30 | 2009-12-02 | 株式会社日立製作所 | リモートコピーシステムおよびリモートコピー方法 |
| JP3859667B2 (ja) * | 2004-10-26 | 2006-12-20 | 株式会社日立製作所 | データ通信方法およびシステム |
| US20060140189A1 (en) * | 2004-12-23 | 2006-06-29 | Fuming Wu | Presence system and method for providing a multi-functional communications log |
| JP2006279636A (ja) * | 2005-03-30 | 2006-10-12 | Hitachi Ltd | クライアント間通信ログの整合性保証管理システム |
-
2006
- 2006-09-29 JP JP2006266348A patent/JP4333723B2/ja not_active Expired - Fee Related
-
2007
- 2007-09-29 CN CN200710153277.8A patent/CN101155074B/zh not_active Expired - Fee Related
- 2007-10-01 US US11/905,433 patent/US20080082650A1/en not_active Abandoned
- 2007-10-01 ES ES07019299T patent/ES2415370T3/es active Active
- 2007-10-01 EP EP07019299.2A patent/EP1906628B1/en not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552788B (zh) * | 2008-04-04 | 2012-08-22 | 佳能株式会社 | 会话管理***及其控制方法 |
| WO2012174713A1 (zh) * | 2011-06-21 | 2012-12-27 | 中兴通讯股份有限公司 | 一种分布式运行网络管理***及其容错的方法 |
| CN105103497A (zh) * | 2013-04-11 | 2015-11-25 | 高通股份有限公司 | 应用业务配对 |
| US10015102B2 (en) | 2013-04-11 | 2018-07-03 | Qualcomm Incorporated | Application traffic pairing |
| CN105103497B (zh) * | 2013-04-11 | 2019-06-04 | 高通股份有限公司 | 应用业务配对的方法、设备和服务器 |
| US10412013B2 (en) | 2013-04-11 | 2019-09-10 | Qualcomm Incorporated | Application traffic pairing |
| CN108541318A (zh) * | 2015-12-23 | 2018-09-14 | 索尼公司 | 用于授权访问的客户端装置、服务器装置和访问控制*** |
| CN109542857A (zh) * | 2018-11-26 | 2019-03-29 | 杭州迪普科技股份有限公司 | 审计日志存储方法、查询方法、装置及相关设备 |
| CN109542857B (zh) * | 2018-11-26 | 2021-06-29 | 杭州迪普科技股份有限公司 | 审计日志存储方法、查询方法、装置及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101155074B (zh) | 2011-11-02 |
| JP4333723B2 (ja) | 2009-09-16 |
| EP1906628A1 (en) | 2008-04-02 |
| US20080082650A1 (en) | 2008-04-03 |
| EP1906628B1 (en) | 2013-04-24 |
| JP2008084246A (ja) | 2008-04-10 |
| ES2415370T3 (es) | 2013-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101155074B (zh) | 通信日志管理*** | |
| CN101201727B (zh) | 通过网络的打印机选择支持装置及*** | |
| US7853983B2 (en) | Communicating data from a data producer to a data receiver | |
| JP3937475B2 (ja) | アクセス制御システムおよびその方法 | |
| US6981139B2 (en) | Digital certificate management system, digital certificate management apparatus, digital certificate management method, update procedure determination method and program | |
| US6792474B1 (en) | Apparatus and methods for allocating addresses in a network | |
| CN107493280A (zh) | 用户认证的方法、智能网关及认证服务器 | |
| CN101010906B (zh) | 通信装置、通信***及通信方法 | |
| JP2005110212A (ja) | 通信装置、通信システム及び証明書設定方法 | |
| CN103190130A (zh) | 用于向设备提供秘密值的注册服务器、网关装置和方法 | |
| JP2008141581A (ja) | 秘密情報アクセス認証システム及びその方法 | |
| JP2009048251A (ja) | 機器データ管理システム | |
| CN111740966A (zh) | 一种基于区块链网络的数据处理方法及相关设备 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| US20090271630A1 (en) | Authentication system, authentication method and terminal device | |
| CN102984045A (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| RU2474073C2 (ru) | Сеть и способ для инициализации ключа для линии центра управления безопасностью | |
| CN102972004B (zh) | 机密信息泄露防止***、机密信息泄露防止方法和机密信息泄露防止程序 | |
| KR101950856B1 (ko) | 블록체인을 이용한 정보 관리 시스템 및 방법 | |
| CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| JP2007258957A (ja) | 映像監視システム及びその映像表示方法 | |
| CN102571751B (zh) | 中继处理装置及其控制方法 | |
| JP2005156473A (ja) | ネットワークを用いた分析システム | |
| JP4760122B2 (ja) | 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム | |
| JP2007265053A (ja) | ネットワーク利用動向調査システム、ネットワーク利用動向調査方法およびネットワーク利用動向調査プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111102 Termination date: 20140929 |
|
| EXPY | Termination of patent right or utility model |