JP2009258965A - 認証システム、認証装置、通信設定装置および認証方法 - Google Patents

認証システム、認証装置、通信設定装置および認証方法 Download PDF

Info

Publication number
JP2009258965A
JP2009258965A JP2008106797A JP2008106797A JP2009258965A JP 2009258965 A JP2009258965 A JP 2009258965A JP 2008106797 A JP2008106797 A JP 2008106797A JP 2008106797 A JP2008106797 A JP 2008106797A JP 2009258965 A JP2009258965 A JP 2009258965A
Authority
JP
Japan
Prior art keywords
connection
terminal device
identification information
authentication
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008106797A
Other languages
English (en)
Other versions
JP4965499B2 (ja
Inventor
Seiichi Sakatani
精一 坂谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008106797A priority Critical patent/JP4965499B2/ja
Publication of JP2009258965A publication Critical patent/JP2009258965A/ja
Application granted granted Critical
Publication of JP4965499B2 publication Critical patent/JP4965499B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】端末装置4への接続を許可する前の利用者の認証を、当該接続の終了に伴って無効化する。
【解決手段】SSE21は、端末装置4と通信先との接続の許可を要求する接続要求信号をSSC31へ送信する。SSC31は、当該接続要求信号内の端末装置4のIPアドレスが加入者データ蓄積部314に記憶されている場合、端末装置4と通信先との接続を許可するようSSE21へ指示する。また、SSC31は、当該接続の切断を要求する切断要求信号がSSE21から送信されてきた場合、当該接続を禁止するようSSE21に指示する。SSE21は、SSC31からの指示に従って、端末装置4と通信先との接続を許可または禁止に設定する。
【選択図】図1

Description

本発明は、認証システム、認証装置、通信設定装置および認証方法に関する。
ネットワークの加入者に対して、各種の情報通信サービスを提供するための基盤ネットワークの普及が進んでいる。このような基盤ネットワークの1つとしては、例えば、NGN(Next Generation Network)がある。なお、NGNとは、電話サービスをはじめ、固定通信と移動通信とを融合したサービスや将来的な情報通信サービスを提供するためのネットワークである。
このような基盤ネットワークでは、各種の情報通信サービスを提供する際の安全性を向上させることが重要な課題の1つとなる。安全性を向上させることとは、例えば、なりすまし等による第3者による不正な侵入を防止することにより、正当な利用者のみが基盤ネットワークや情報通信サービスを提供するアプリケーションにアクセスできるようにすることである。そのためには、利用者の認証をどのように行うかが重要になる。
利用者を認証する方法としては、例えば、利用者が使用する端末装置とその通信先の装置(例えば、アプリケーションサーバやコンテンツサーバなどのサービス提供サーバ)との接続に先立って、利用者の認証を行う一般的な方法がある。このような一般的な認証方法を用いる場合、端末装置とサービス提供サーバとの間に利用者を認証するための認証サーバを設けることが多い。
このような認証サーバは、例えば、利用者が入力したユーザIDとパスワードとに基づいて、当該利用者の認証を行う。そして、利用者の認証が成功した場合、認証サーバは、認証が成功したことを示す証明書を生成し、生成した証明書を端末装置へと送信する。
端末装置は、認証サーバから送信されてきた証明書を受信し、受信した証明書をサービス提供サーバへと送信する。サービス提供サーバは、端末装置から送信されてきた証明書に基づいて、当該端末装置にサービスを提供してもよいかどうかを判別する。サービスを提供してもよいと判別した場合、サービス提供サーバは、端末装置に対してサービス提供サーバへの接続を許可する。
また、上述の一般的な認証方法を用いる認証システムにおいて、安全性をさらに向上させるための様々な技術が考えられている。
例えば、利用者や利用者のロケーションに応じたパケットフィルタリングやアクセス制御を行い、無線LANや移動体通信網を用いた企業ネットワークにおける不正なアクセスを抑制することができる認証サーバ装置が考えられている(例えば、特許文献1参照。)。
特許文献1に開示された技術によれば、利用者の認証が成功した場合、認証サーバは、ユーザIDに基づいて利用者を特定するとともに、端末装置から送信されてきた認証要求信号に含まれる送信元のIPアドレスなどに基づいて端末装置のロケーションを特定する。そして、特定したロケーションに対応する接続許可設定情報をデータベースから検索し、検索された接続許可設定情報を、サービス提供用のサービス提供サーバに対して設定する。さらに、認証サーバは、認証の成功を示す証明書を端末装置へと送信する。端末装置は、サービス提供サーバに対してサービスの提供を要求する際、認証サーバからの証明書をサービス提供サーバへと送信する。サービス提供サーバが当該証明書に基づいて端末装置に対して接続を許可した場合、認証サーバが設定した接続許可設定情報が示す設定内容に従った接続を用いて、端末装置とサービス提供サーバとが通信を実行する。
また、例えば、安全性を高く維持しつつ、サービス提供サーバが認証機能を有しているかどうかに関わらずスループットの低下を起こりにくくする認証アクセス制御サーバ装置が考えられている(例えば、特許文献2参照。)。
特許文献2に開示された技術によれば、認証アクセス制御サーバ装置は、端末装置から接続が要求されたサービス提供サーバと端末装置との接続を許可するための認証が以前に行われているかどうかを判別する。当該認証が以前に1度も行われていない場合、認証アクセス制御サーバ装置は、端末装置の利用者を認証するための認証用情報を端末装置から受信する。そして、認証アクセス制御サーバ装置は、端末装置から接続が要求されたサービス提供サーバが認証機能を有していない場合、端末装置からの認証用情報を用いて利用者の認証を行う。また、認証アクセス制御サーバ装置は、接続が要求されたサービス提供サーバが認証機能を有している場合、当該サービス提供サーバに対して、端末装置からの認証用情報を用いて利用者を認証するように要求する。なお、サービス提供サーバと端末装置との接続を許可するための認証が一旦行われてしまえば、それ以降、サービス提供サーバと端末装置とは、認証アクセス制御サーバ装置を介することなく直接通信を行う。
特開2004−062417号公報 特開2003−242109号公報
しかしながら、特許文献1に開示された技術によれば、端末装置すべてとサービス提供サーバとが証明書の送受信を行わなければならない。そのため、端末装置すべてとサービス提供サーバすべてとに、証明書を処理するための手段を設けなければ、端末装置へのサービスの提供ができないという問題点がある。また、各端末装置および各サービス提供サーバそれぞれに証明書の処理用の手段を設けることにより、認証システムの構成が複雑化するとともに、構成の複雑化に伴って、認証システム全体の価格も高くなってしまうという問題点がある。
また、利用者の認証をすることにより安全性を高めるためには、端末装置へのサービス提供を行うたびに、利用者を認証することが望ましい。
しかしながら、特許文献1に開示された技術によれば、端末装置が認証サーバから証明書を一旦取得してしまえば、当該端末装置が複数のサービス提供サーバそれぞれと接続する場合でも、同一の証明書を用いて各サービス提供サーバに接続することができてしまうという問題点がある。これは、証明書は、有効期限が経過するまで無効とならないため、サービス提供サーバと接続するための通信セッションの終了ごとに無効とならないためである。
また、特許文献2に開示された技術によれば、端末装置とサーバ提供装置との接続を許可するための利用者の認証を認証サーバが一旦実行してしまえば、それ以降は、端末装置の利用者の認証が行われないまま、端末装置とサービス提供サーバとの接続が可能となってしまう。そのため、特許文献2に開示された技術でも、端末装置へのサービス提供を行うごとに、利用者を認証することができないという問題点がある。
本発明は、上述した課題を解決する認証システム、認証装置、通信設定装置および認証方法を提供することを目的とする。
上記課題を解決するために、本発明の認証システムは、利用者が使用する端末装置と、該利用者を認証する認証装置と、該端末装置と該認証装置とに接続されており該端末装置と該端末装置の通信先との接続を制御する通信設定装置とを具備する認証システムであって、前記認証装置は、前記端末装置を識別するための識別情報を記憶する加入者データ蓄積部と、前記端末装置と前記通信先との接続の許可を要求するための接続要求信号を、前記通信設定装置から受信する受信部と、前記受信部が受信した前記接続要求信号に含まれている前記識別情報が、前記加入者データ蓄積部に記憶されているかどうかを判別する認証部と、前記識別情報が前記加入者データ蓄積部に記憶されていると前記認証部が判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示する接続制御指示部と、を有し、前記通信設定装置は、前記端末装置から送信されてきた前記接続要求信号を、前記認証装置へと送信する送信部と、前記接続制御指示部から前記端末装置と前記通信先との接続を許可するよう指示された場合に、該端末装置と該通信先との接続を許可するように設定し、該接続制御指示部から該端末装置と該通信先との接続を禁止するよう指示された場合に、該端末装置と該通信先との接続を禁止するように設定する設定部とを有する。
また、本発明の認証システムは、通信設定装置から送信された接続要求信号の所定箇所に含まれている識別情報に対して識別情報変換を施し、識別情報変換された識別情報を含む接続要求信号を認証装置へと送信する識別情報変換装置、を有し、加入者データ蓄積部は、端末装置の識別情報と、識別情報変換装置にて識別情報変換された識別情報とを対応付けてあらかじめ記憶しており、認証部は、識別情報変換装置から送信されてきた接続要求信号に含まれる識別情報と、識別情報変換装置にて識別情報変換された識別情報とが、加入者データ蓄積部にて対応付けられて記憶されているかどうかを判別し、接続制御指示部は、接続要求信号に含まれる識別情報と識別情報変換された識別情報とが加入者データ蓄積部にて対応付けられて記憶されていると認証部が判別した場合、通信設定装置に対して、端末装置と通信先との接続を許可するように指示し、端末装置と通信先との接続の切断を要求するための切断要求信号が通信設定装置から送信されてきた場合、通信設定装置に対して、端末装置と通信先との接続を禁止するように指示してもよい。
上記課題を解決するために、本発明の認証装置は、利用者が使用する端末装置と該端末装置の通信先との接続を制御する通信設定装置と接続された認証装置であって、前記端末装置を識別するための識別情報を記憶する加入者データ蓄積部と、前記端末装置と前記通信先との接続の許可を要求するための接続要求信号を、前記通信設定装置から受信する受信部と、前記受信部が受信した前記接続要求信号に含まれている前記識別情報が、前記加入者データ蓄積部に記憶されているかどうかを判別する認証部と、前記識別情報が前記加入者データ蓄積部に記憶されていると前記認証部が判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示する接続制御指示部とを有する。
また、本発明の認証装置は、識別情報が加入者データ蓄積部に記憶されていると認証部が判別した場合、通信設定装置が端末装置と通信先とを接続するためのポート番号を含む接続許可設定情報を生成し、切断要求信号が通信設定装置から送信されてきた場合、通信設定装置が端末装置と通信先との接続を切断するためのポート番号を含む接続禁止設定情報を生成する設定情報生成部と、接続制御指示部が通信設定装置に対して端末装置と通信先との接続を許可するように指示した場合、接続許可設定情報を通信設定装置へと送信し、接続制御指示部が通信設定装置に対して端末装置と通信先との接続を禁止するように指示した場合、接続禁止設定情報を通信設定装置へと送信する設定情報送信部と、を有してもよい。
また、本発明の認証装置は、通信設定装置から送信された接続要求信号の所定箇所に含まれている識別情報に対して識別情報変換を施し、識別情報変換された識別情報を含む接続要求信号を認証装置へと送信する識別情報変換装置と接続されており、加入者データ蓄積部は、端末装置の識別情報と、識別情報変換装置にて識別情報変換された識別情報とを対応付けてあらかじめ記憶しており、認証部は、識別情報変換装置から送信されてきた接続要求信号に含まれる識別情報と、識別情報変換装置にて識別情報変換された識別情報とが、加入者データ蓄積部にて対応付けられて記憶されているかどうかを判別し、接続制御指示部は、接続要求信号に含まれる識別情報と識別情報変換された識別情報とが加入者データ蓄積部にて対応付けられて記憶されていると認証部が判別した場合、通信設定装置に対して、端末装置と通信先との接続を許可するように指示し、端末装置と通信先との接続の切断を要求するための切断要求信号が通信設定装置から送信されてきた場合、通信設定装置に対して、端末装置と通信先との接続を禁止するように指示してもよい。
上記課題を解決するために、本発明の通信設定装置は、利用者が使用する端末装置と、該利用者を認証する認証装置とに接続された通信設定装置であって、前記端末装置から送信されてきた該端末装置と該端末装置の通信先との接続の許可を要求するための接続要求信号を、前記認証装置へと送信する送信部と、前記認証装置から前記端末装置と前記通信先との接続を許可するよう指示された場合に、該端末装置と該通信先との接続を許可するように設定し、該認証装置から該端末装置と該通信先との接続を禁止するよう指示された場合に、該端末装置と該通信先との接続を禁止するように設定する設定部とを有する。
また、本発明の通信設定装置の設定部は、認証装置から送信されてきた端末装置と通信先とを接続するためのポート番号を含む接続許可設定情報を用いて端末装置と通信先との接続を許可するように設定し、認証装置から送信されてきた端末装置と通信先との接続を切断するためのポート番号を含む接続禁止設定情報を用いて、端末装置と通信先との接続を禁止するように設定してもよい。
上記課題を解決するために、本発明の認証方法は、利用者が使用する端末装置と、該利用者を認証する認証装置と、該端末装置と該認証装置とに接続されており該端末装置と該端末装置の通信先との接続を制御する通信設定装置とを具備する認証システムにおける認証方法であって、前記通信設定装置が、前記端末装置から送信されてきた該端末装置と前記通信先との接続の許可を要求するための接続要求信号を、前記認証装置へと送信する送信処理と、前記認証装置が、前記端末装置を識別するための識別情報を記憶する加入者データ蓄積処理と、前記認証装置が、前記送信処理にて送信されてきた前記接続要求信号を前記通信設定装置から受信する受信処理と、前記認証装置が、前記受信処理にて受信した前記接続要求信号に含まれている前記端末装置を識別するための識別情報が、前記加入者データ蓄積処理にて記憶されているかどうかを判別する認証処理と、前記認証装置が、前記識別情報が前記加入者データ蓄積処理にて記憶されていると前記認証処理にて判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示する接続制御指示処理と、前記通信設定装置が、前記接続制御指示処理にて前記端末装置と前記通信先との接続を許可するよう前記認証装置から指示された場合に、該端末装置と該通信先との接続を許可するように設定し、該接続制御指示処理にて該端末装置と該通信先との接続を禁止するよう該認証装置から指示された場合に、該端末装置と該通信先との接続を禁止するように設定する設定処理とを有する。
また、本発明の認証方法は、認証システムが、通信設定装置から送信された接続要求信号の所定箇所に含まれている識別情報に対して識別情報変換を施し、識別情報変換された識別情報を含む接続要求信号を認証装置へと送信する識別情報変換装置、を具備している場合、加入者データ蓄積処理では、端末装置の識別情報と、識別情報変換装置にて識別情報変換された識別情報とを対応付けてあらかじめ記憶し、認証処理では、識別情報変換装置から送信されてきた接続要求信号に含まれる識別情報と、識別情報変換装置にて識別情報変換された識別情報とが、加入者データ蓄積処理にて対応付けられて記憶されているかどうかを判別し、接続制御指示処理では、接続要求信号に含まれる識別情報と識別情報変換された識別情報とが加入者データ蓄積処理にて対応付けられて記憶されていると認証処理にて判別した場合、通信設定装置に対して、端末装置と通信先との接続を許可するように指示し、端末装置と通信先との接続の切断を要求するための切断要求信号が通信設定装置から送信されてきた場合、通信設定装置に対して、端末装置と通信先との接続を禁止するように指示してもよい。
本発明によれば、利用者が使用する端末装置と、利用者を認証する認証装置と、端末装置と認証装置とに接続されており端末装置と端末装置の通信先との接続を制御する通信設定装置とを具備する認証システムにおいて、通信設定装置が、端末装置から送信されてきた端末装置と通信先との接続の許可を要求するための接続要求信号を、認証装置へと送信し、認証装置が、端末装置を識別するための識別情報を記憶し、送信されてきた接続要求信号を通信設定装置から受信し、受信した接続要求信号に含まれている端末装置を識別するための識別情報が記憶されているかどうかを判別し、識別情報が記憶されていると判別した場合、通信設定装置に対して、端末装置と通信先との接続を許可するように指示し、端末装置と通信先との接続の切断を要求するための切断要求信号が通信設定装置から送信されてきた場合に、通信設定装置に対して、端末装置と通信先との接続を禁止するように指示し、通信設定装置が、端末装置と通信先との接続を許可するよう認証装置から指示された場合に、端末装置と通信先との接続を許可するように設定し、端末装置と通信先との接続を禁止するよう認証装置から指示された場合に、端末装置と通信先との接続を禁止するように設定する構成としたため、端末装置と当該端末装置の通信先とを接続する前に行われた利用者の認証を、当該接続を用いた通信の終了に伴って無効化できる。
(実施形態1)
以下、本発明の実施形態1に従った認証システム(認証装置、通信設定装置、認証方法およびプログラムを含む)を説明する。
まず、実施形態1の認証システムの全体構成を説明する。
図1に示すように、この認証システムは、ネットワーク1と、端末装置4とから構成される。
ネットワーク1は、端末装置4から送信されてきたパケットを当該端末装置4の通信先である他の装置(図示せず)へと送信する。また、ネットワーク1は、端末装置4の通信先から送信されてきたパケットを端末装置4へと送信する。
ここでいう通信先とは、例えば、端末装置4に対して各種の情報通信サービスなどを提供するサービス提供サーバでもよい。また、例えば、認証システム内に複数の端末装置4が存在する場合、パケットを送信する端末装置4と異なる他の端末装置4でもよい。
なお、ネットワーク1の形態については特に限定しないが、この説明例では、ネットワーク1が、NGNである場合を例に挙げて説明する。
また、以下では、ネットワーク1が端末装置4とその通信先とを接続するセッション(呼)を制御するための呼制御プロトコルとして、SIP(Session Initiation Protocol)を用いる場合を例に挙げて説明する。
また、ネットワーク1と端末装置4との間の通信方式については、特に限定しない。例えば、通信方式が無線通信方式である場合、一般的な無線通信インタフェースを介した無線通信を行ってもよい。また、例えば、通信方式が有線通信方式である場合、イーサネット(登録商標)を介した有線通信を行ってもよい。
ネットワーク1(NGN)は、例えば、パケットベースのネットワークであって、パケット転送層2とサービス制御層3とから構成される。
パケット転送層2は、パケットの転送機能を果たす論理的な層である。パケット転送層2は、SSE(Subscriber Service Edge)21と、IBE(Intermediate Border gateway Equipment)22とから構成される。
SSE21は、例えば、ルータで構成され、端末装置4と端末装置4の通信先との間で送受信されるパケットを中継する。つまり、SSE21は、端末装置4の利用者(つまり、ネットワーク1の加入者)側のルータとして機能する。
また、SSE21は、端末装置4と端末装置4の通信先との間の接続を許可と禁止とのどちらか一方に設定する一般的なファイアウォールの機能も具備する「通信設定装置」である。
IBE22は、例えば、ルータで構成され、ネットワーク1と、ネットワーク1以外の他のネットワーク(図示せず)との間で、パケットの送受信を行う。
サービス制御層3は、各種サービスの制御機能を果たす論理的な層である。サービス制御層3は、SSC(Subscriber Session Control server)31と、ISC(Intermediate Session Control server)32との2階梯の制御装置によって構成される。
SSC31は、端末装置4からの発信時に、当該端末装置4から送信されてくる後述の「接続要求信号」内の端末装置4の「識別情報」を用いて、利用者の認証を行う「認証装置」である。
この説明例では、端末装置4の「識別情報」が、端末装置4のIPアドレスやポート番号である場合を例に挙げて説明する。
また、SSC31は、利用者の認証が成功した場合、端末装置4の通信先となる端末装置4以外の他の装置を呼び出す。
さらに、SSC31は、自己が呼び出した通信先が応答した場合、端末装置4を収容しているSSE21に対して、端末装置4と応答した通信先との接続を許可するように指示する。例えば、SSC31は、SSE21に、ファイアウォールの設定の変更により、端末装置4からその通信先へのパケットを送信可能なセッションに対応するポート番号を開くように指示する。
また、SSC31は、端末装置4とその通信先との接続を用いた通信が終了した場合(例えば、終話時)、SSE21に対して、端末装置4とその通信先との接続を禁止するように、つまり、当該接続を切断するように指示する。例えば、SSC31は、SSE21に、ファイアウォールの設定の変更により、接続が許可されているセッションに対応するポート番号を閉じるように指示する。
ISC32は、ネットワーク1と他のネットワークとの間の接続を制御するサーバである。
端末装置4は、例えば、所定の情報処理装置で構成され、「SIPクライアント」に相当するものである。
端末装置4は、利用者が行う操作に応じて、各種の処理を実行する。
例えば、端末装置4は、「接続要求信号」を送信することにより、SSC31に対して認証を要求する。なお、この説明例では、接続要求信号が、INVITEパケットPIである場合を例に挙げて説明する。
ここでいう「INVITEパケットPI」とは、例えば、RFC3311の定義に従った場合、SIPクライアント(この例では、端末装置4)がその通信先(例えば、サービス提供サーバなど)への接続を要求するためのパケットである。
なお、SSE21、IBE22、SSC31、ISC32および端末装置4それぞれの台数は、任意でよい。また、SSE21、IBE22、SSC31およびISC32は、それぞれ独立した筺体で構成するに限らず、同一の筺体内に収容された構成を有していてもよい。
つぎに、「通信設定装置」であるSSE21の構成について、詳細に説明する。
図2に示すように、SSE21は、パケット送受信部211と、設定部212とを有する。
パケット送受信部211は、例えば、通信モジュールで構成され、端末装置4、SSC31およびIBE22との間でパケットの送受信を行う。例えば、パケット送受信部211は、端末装置4やSSC31から送信されてきた各種のSIP信号を受信する。
SIP信号を受信する場合、例えば、パケット送受信部211は、端末装置4とその通信先との接続を要求するための接続要求信号(INVITEパケットPI)を端末装置4から受信する。
さらに、パケット送受信部211(「送信部」)は、「送信処理」を実行し、端末装置4から送信されてきた接続要求信号を、SSC31(認証装置)へと送信する。
また、例えば、パケット送受信部211は、端末装置4とその通信先との接続を切断するよう要求するための「切断要求信号」を端末装置4から受信する。以下では、「切断要求信号」がBYEパケットPBである場合を例に挙げて説明する。
ここでいうBYEパケットPBとは、例えば、RFC2060などに従った場合、端末装置4がその通信先との間の接続の切断を要求していることを示すパケットである。
また、パケット送受信部211は、SSC31から送信されてきた接続指示信号CAまたは切断指示信号CCを受信する。
なお、「接続指示信号CA」とは、端末装置4とその通信先との接続を許可することを指示する信号である。また、「切断指示信号CC」とは、端末装置4とその通信先との接続を禁止することを指示する信号である。
さらに、パケット送受信部211(「設定情報受信部」)は、SSC31から送信されてきた後述の接続許可設定情報401または接続禁止設定情報402を受信する。
設定部212は、SSC31からの接続指示信号CAに従って、端末装置4とその通信先との接続を許可する。この場合、設定部212は、パケット送受信部211が受信した接続許可設定情報401に基づいて、端末装置4とその通信先とを接続する。
また、設定部212は、SSC31からの切断指示信号CCに従って、端末装置4とその通信先との接続を禁止する。この場合、設定部212は、パケット送受信部211が受信した接続禁止設定情報402に基づいて、端末装置4とその通信先との接続を切断する。
より具体的には、設定部212は、接続許可設定情報401と接続禁止設定情報402とのいずれかに従って、自己が記憶している接続可否設定情報405を書き換える。そして、書き換えた接続可否設定情報405を用いて、ファイアウォールの開閉を制御する。
設定部212は、例えば、接続許可設定情報401が示す設定内容に従って、端末装置4とその通信先とを接続するセッションに対応するポート番号を開くようにファイアウォールの設定を変更する。
また、設定部212は、接続禁止設定情報402が示す設定内容に従って、端末装置4とその通信先とを接続するセッションに対応するポート番号を閉じるようにファイアウォールの設定を変更する。
つぎに、「認証装置」であるSSC31の構成について詳細に説明する。
図3に示すように、SSC31は、パケット送受信部311と、パケット識別部312と、認証部313と、加入者データ蓄積部314と、設定情報生成部315と、接続制御指示部316と、規制条件記憶部317と、規制部318と、通知部319とを有する。
パケット送受信部311は、例えば、通信モジュールで構成され、SSE21またはISC32との間でパケットの送受信を行う。
パケット送受信部311(「受信部」)は、「受信処理」を実行し、SSE21またはISC32から送信されてきた各種のSIP信号を受信する。
この「受信処理」において、パケット送受信部311(受信部)は、例えば、SSE21が端末装置4から受信して送信してきた接続要求信号(INVITEパケットPI)をSSE21から受信する。
また、例えば、パケット送受信部311は、端末装置4から接続要求信号が送信された場合、ISC32からの「接続許可信号」を受信する。
以下では、「接続許可信号」が、端末装置4から送信された接続要求信号に対応するOKパケットPOである場合を例に挙げて説明する。
ここでいう「OKパケットPO」とは、例えば、クライアントからの要求がその要求先にて受信および識別されたことを示すパケットである。なお、OKパケットPOの状態をRFC(Request For Comment)2616が定義するステータスコードで表わした場合、ステータスコード「200」に相当する。
また、例えば、パケット送受信部311は、SSE21が端末装置4から受信して送信してきた切断要求信号(BYEパケットPB)をSSE21から受信する。
また、例えば、パケット送受信部311は、端末装置4から切断要求信号が送信された場合、ISC32からの「切断許可信号」を受信する。
以下では、「切断許可信号」が、端末装置4から送信された切断要求信号(BYEパケットPB)に対応するOKパケットPOである場合を例に挙げて説明する。
また、パケット送受信部311は、SSE21またはISC32へと各種のSIP信号などを送信する。
例えば、パケット送受信部311は、認証部313による利用者の認証が成功した場合、端末装置4とその通信先との接続を要求するINVITEパケットPIをISC32へと送信する。
また、パケット送受信部311は、端末装置4とその通信先との接続を許可するようにSSE21に対して指示する接続指示信号CA、または、当該接続を禁止するようにSSE21に対して指示する切断指示信号CCを、SSE21へと送信する。
さらに、パケット送受信部311(「設定情報送信部」)は、設定情報生成部315が生成した接続許可設定情報401または接続禁止設定情報402を、SSE21(通信設定装置)へと送信する。
パケット識別部312は、SSE21またはISC32からそれぞれ送信されてきたパケットの種類を識別する。
より具体的には、パケット識別部312は、SSE21またはISC32からの各パケットが、INVITEパケットPI(接続要求信号)と、INVITEパケットPIに対応するOKパケットPO(接続許可信号)と、BYEパケットPB(切断要求信号)と、BYEパケットPBに対応するOKパケットPO(切断許可信号)と、後述するREGISTERパケットPR(登録要求信号)とのうちのいずれであるかを識別する。
認証部313は、「認証処理」を実行し、端末装置4からの接続要求信号(INVITEパケットPI)に含まれている「識別情報」が加入者データ蓄積部314内の「登録識別情報403」に登録されているかどうかに基づいて、利用者の認証が成功したかどうか(つまり、認証の成功または失敗)を判別する。
なお、認証部313が認証に用いる端末装置4からのINVITEパケットPIに含まれている識別情報については、特に限定しないが、以下の説明例では、INVITEパケットPIのヘッダに含まれている識別情報(端末装置4のIPアドレスやポート番号)である場合を例に挙げて説明する。なお、ここでいうIPアドレスとは、グローバルアドレスとプライベートアドレスとのいずれであってもよい。
認証部313は、端末装置4からのINVITEパケットPIに含まれている識別情報が登録識別情報403に登録されている場合、利用者の認証が成功した、つまり、認証した者は登録識別情報403に登録された正当な利用者であると判別する。
また、認証部313は、端末装置4からのINVITEパケットPIに含まれている識別情報が登録識別情報403に登録されていない場合、利用者の認証が成功しなかった、つまり、認証が失敗し、認証した者は登録識別情報403に登録されていない不正な利用者であると判別する。
加入者データ蓄積部314は、「加入者データ蓄積処理」を実行し、端末装置4のIPアドレスやポート番号を、登録識別情報403へと記憶する。
ここでいう「登録識別情報403」とは、利用者が使用する端末装置4それぞれを一意に識別するためにあらかじめ登録された、端末装置4の識別情報(端末装置4のIPアドレスおよびポート番号)を示す情報である。
さらに、登録識別情報403に登録されているIPアドレスとは、グローバルアドレスとプライベートアドレスとのどちらか一方でもよい。
また、認証システムでは、端末装置4におけるIPアドレスの設定を簡素化する観点から、ネットワーク1へとアクセスしてきた端末装置4に対してIPアドレスを自動的に割り当てるDHCP(Dynamic Host Configuration Protocol)サーバが設けられている場合もある。
この場合、パケット送受信部311は、端末装置4のIPアドレスを当該DHCPサーバから受信する。加入者データ蓄積部314は、受信したIPアドレスを登録識別情報403のうちに記憶する。
なお、加入者データ蓄積部314は、「登録要求信号」によって登録が要求された端末装置4のIPアドレスやポート番号を、登録識別情報403へと記憶する。この説明例では、「登録要求信号」が、SIP信号のうちの1つである「REGISTERパケットPR」である場合を例に挙げて説明する。
設定情報生成部315は、端末装置4とその通信先との接続を許可する設定の際にSSE21が用いる接続許可設定情報401、または、当該接続を禁止する設定の際にSSE21が用いる接続禁止設定情報402を生成する。
より具体的には、設定情報生成部315は、SSE21が端末装置4とその通信先とを接続するためのポート番号を開くための「接続許可設定情報401」を生成する。
例えば、接続許可設定情報401は、図4(a)に示すように、送信元と、送信先と、当該送信元と当該送信先との間の接続を確立するためのポート番号とを対応付ける情報である。
また、設定情報生成部315は、SSE21が端末装置4とその通信先とを接続するためのポート番号を閉じるための「接続禁止設定情報402」を生成する。
例えば、接続禁止設定情報402は、図4(b)に示すように、送信元と、送信先と、当該送信元と当該送信先との間の接続を切断するためのポート番号とを対応付ける情報である。
接続制御指示部316は、「接続制御指示処理」を実行し、利用者の認証が成功したと認証部313が判別した場合、SSE21(通信設定装置)に対して、端末装置4とその通信先との接続を許可するように指示する。この場合、パケット送受信部311は、接続指示信号CAをSSE21へと送信する。
また、「接続制御指示処理」において、接続制御指示部316は、端末装置4とその通信先との接続の切断を要求するための切断要求信号がSSE21から送信されてきた場合に、SSE21に対して、端末装置4とその通信先との接続を禁止するように指示する。この場合、パケット送受信部311は、切断指示信号CCをSSE21へと送信する。
規制条件記憶部317は、規制条件情報404を記憶する。
規制条件情報404は、認証部313による利用者の認証が失敗した場合、つまり、認証した者が不正な利用者であると認証部313が判別した場合に、端末装置4によるネットワーク1の利用に関して規制をかけるための規制条件を示す情報である。なお、規制条件情報404のデータ構造については、特に限定しない。また、規制条件情報404は、管理者により編集可能でもよい。
規制部318は、規制条件情報404が示す規制条件に基づいて、認証部313により不正な利用者であると判別された利用者に対して、ネットワーク1の使用に関する各種の規制(例えば、ロックアウト)をかけるための処理を実行する。
なお、規制部318は、規制条件情報404が示す規制条件を端末装置4の利用者が満たしているかどうかに基づいて、不正な利用者に対する規制を行う。この規制条件とは、例えば、端末装置4の利用者の認証の失敗回数に応じてネットワーク1の使用に規制をかけるための所定回数などである。この場合、当該所定回数よりも認証の失敗回数が大きくなった場合、規制部318は、不正な利用者に対する規制をかける。
通知部319は、認証部313による認証により判別された不正な利用者に対して規制をかけた場合、当該規制をかけた旨を管理者へと通知する。ここで、管理者へと通知するための方法については特に限定しないが、例えば、通知用のアラーム音の出力、通知用の画面の表示および通知用のメッセージの送信などの一般的な通知方法でよい。なお、通知部319からの通知を受けた管理者は、規制部318による規制を解除するための操作を行ってもよい。
つぎに、上記構成を有する実施形態1の認証システムが、利用者の認証結果に基づいて、端末装置4とその通信先との間の接続を許可または禁止する動作を説明する。
まず、端末装置4と、端末装置4からのパケットの送信先である他の装置(図示せず)との接続を許可する場合について説明する。
図5に示すように、端末装置4は、パケットの送信先との接続を許可することを要求するためのINVITEパケットPI(接続要求信号)を、SSE21へと送信する。
SSE21のパケット送受信部211は、端末装置4からのINVITEパケットPIを受信して、受信したINVITEパケットPIをSSC31へと送信する。
SSC31のパケット送受信部311(受信部)は、SSE21から送信されてきたINVITEパケットPIを受信する。
認証部313は、SSE21からのINVITEパケットPIのヘッダに含まれている端末装置4のIPアドレスが、加入者データ蓄積部314内の登録識別情報403に登録されているかどうかに基づいて、利用者を認証する(ステップS1)。端末装置4のIPアドレスが登録識別情報403に登録されている場合、認証部313は、利用者の認証が成功したと判別する。
認証が成功したと判別した場合、SSC31のパケット送受信部311は、INVITEパケットPIをISC32へと送信する。
ISC32は、SSC31からのINVITEパケットPI(接続要求信号)を受信した場合、当該接続要求信号が通信先にて受信され識別されたことを示すOKパケットPO(接続許可信号)をSSC31へと送信する。
SSC31の設定情報生成部315は、ISC32からのOKパケットPOをパケット送受信部311が受信した場合、接続要求信号の送信元である端末装置4とその通信先との接続を許可する設定をSSE21が行うための接続許可設定情報401を生成する。
また、SSC31の接続制御指示部316は、SSE21に対して、端末装置4とその通信先との接続を許可するように指示する(ステップS2)。
なお、接続の許可を指示する際、SSC31のパケット送受信部311は、接続指示信号CAと接続許可設定情報401とをSSE21へと送信する。
SSE21の設定部212は、SSC31からの接続指示信号CAに従い、端末装置4とその通信先との接続を許可する。例えば、設定部212は、SSC31からの接続許可設定情報401を用いて、端末装置4とその通信先とを接続するセッションのポート番号を開けるようにファイアウォールの設定を変更する。
以上で、実施形態1の認証システムが、端末装置4とその通信先との接続を許可するための一連の動作が終了する。
つぎに、実施形態1の認証システムが、端末装置4とその通信先との間の接続を切断する場合について説明する。
図6に示すように、端末装置4は、その通信先と接続されている場合において当該接続を用いた通信が終了した場合(例えば、終話時)、当該接続を切断することを要求するためのBYEパケットPB(切断要求信号)をSSE21へと送信する。
SSE21は、端末装置4からのBYEパケットPBを受信して、受信したBYEパケットPBをSSC31へと送信する。
SSC31のパケット送受信部311は、SSE21から受信したBYEパケットPBを、ISC32へと送信する。
ISC32は、SSC31からのBYEパケットPBを受信した場合、当該BYEパケットPB(切断要求信号)に対応するOKパケットPO(切断許可信号)をSSC31へと送信する。
SSC31の設定情報生成部315は、ISC32からのOKパケットPO(切断許可信号)を受信した場合、端末装置4とその通信先との接続を禁止する設定をSSE21が行うための接続禁止設定情報402を生成する。
また、SSC31の接続制御指示部316は、SSE21に対して、端末装置4とその通信先との接続を禁止するように指示する(ステップS3)。
なお、接続の禁止を指示する際、SSC31のパケット送受信部311は、切断指示信号CCと接続禁止設定情報402とをSSE21へと送信する。
SSE21の設定部212は、SSC31からの切断指示信号CCに従い、端末装置4とその通信先との接続を禁止する。例えば、設定部212は、SSC31からの接続禁止設定情報402を用いて、端末装置4とその通信先とを接続するセッションのポート番号を閉じるようにファイアウォールの設定を変更する。
以上で、実施形態1の認証システムが、端末装置4とその通信先との接続を禁止するための一連の動作が終了する。
つぎに、SSE21またはISC32から送信されてきたパケットを受信したときのSSC31の動作について、詳細に説明する。
図7に示すように、パケット送受信部311は、SSE21とISC32とのいずれかからそれぞれ送信されてきたパケットを受信する(ステップS11)。
パケット識別部312は、SSE21またはISC32からのパケットの種類を識別する(ステップS12)。
先ず、ステップS12において、SSE21からのパケットがINVITEパケットPI(接続要求信号)であるとパケット識別部312が識別した場合の動作について説明する。
INVITEパケットPIであると識別した場合、認証部313は、SSE21からのINVITEパケットPIのヘッダに登録されているIPアドレスが、加入者データ蓄積部314内の登録識別情報403に登録されているかどうかに基づいて、利用者の認証が「成功」したかどうかを判別する(ステップS13)。
認証部313は、INVITEパケットPIのヘッダ内のIPアドレスが登録識別情報403に登録されている場合、利用者の認証が成功したと判別する。この場合、パケット送受信部311は、図5に示したINVITEパケットPI(接続要求信号)をISC32へと送信する(ステップS14)。
一方、ステップS13において利用者の認証が失敗したと認証部313が判別した場合、規制部318は、規制条件記憶部317内の規制条件情報404が示す規制条件を満たしているかどうかを判別する(ステップS15)。規制条件を満たしていると規制部318が判別した場合(例えば、認証の失敗回数が所定回数以下の場合)、パケット送受信部311がステップS11の処理を再度実行する。
一方、規制条件を満たしていないと規制部318が判別した場合、規制部318は、規制条件情報404が示す規制条件に基づいて、不正な利用者であると判別された者に対して、ネットワーク1の使用に関する各種の規制(例えば、ロックアウト)をかける(ステップS16)。
さらに、通知部319は、規制部318が不正な利用者に対して規制をかけたことを管理者へと通知する(ステップS17)。
つぎに、ステップS12において、ISC32からのパケットがOKパケットPOであるとパケット識別部312が識別した場合の動作について説明する。
OKパケットであると識別した場合、パケット識別部312は、当該OKパケットが、端末装置4からの接続要求信号(INVITEパケットPI)に対応するOKパケットPO(接続許可信号)であるか、それとも、端末装置4からの切断要求信号(BYEパケットPB)に対応するOKパケット(切断許可信号)であるかをさらに判別する。
設定情報生成部315は、パケット識別部312によるOKパケットの種類の判別結果に応じて、接続許可設定情報401と接続禁止設定情報402とのどちらか一方を生成する(ステップS18)。
より具体的には、ステップS18にて、設定情報生成部315は、ISC32からのOKパケットが「接続許可信号」であるとパケット識別部312が判別した場合、端末装置4と通信先との接続を許可するための接続許可設定情報401を生成する。
また、ステップS18にて、設定情報生成部315は、ISC32からのOKパケットが「切断許可信号」であるとパケット識別部312が判別した場合、端末装置4と通信先との接続を禁止するための接続禁止設定情報402を生成する。
パケット送受信部311(設定情報送信部)は、設定情報生成部315が生成した接続許可設定情報401または接続禁止設定情報402を、SSE21へと送信する(ステップS19)。
つぎに、ステップS12において、SSE21またはISC32からのパケットが「REGISTERパケットPR」(登録要求信号)であるとパケット識別部312が識別した場合の動作について説明する。
REGISTERパケットPRであると識別した場合、パケット識別部312は、端末装置4の識別情報(IPアドレスやポート番号)を登録識別情報403へと書込むことにより、当該識別情報を登録識別情報403へと登録する。なお、加入者データ蓄積部314は、登録が要求された端末装置4の識別情報が新たに書き込まれた登録識別情報403を記憶する(ステップS20)。以上で、SSC31による一連の処理が終了する。
つぎに、実施形態1の認証システムが、利用者の認証結果に基づいて、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を許可する場合の動作について説明する。なお、この説明例においては、INVITEパケットPI(接続要求信号)に含まれているIPアドレスは、他のネットワークにて端末装置4を識別可能なIPアドレスであるグローバルアドレスである。
図8に示すように、先ず、端末装置4が、通信先との接続を要求するために、INVITEパケットPI(接続要求信号)をSSE21へと送信する。
SSE21は、端末装置4からのINVITEパケットPIを受信して、受信したINVITEパケットPIをSSC31へと送信する。
SSC31では、SSE21からのINVITEパケットPIをパケット送受信部311が受信した場合、パケット識別部312がINVITEパケットPIであると識別する。
このとき、認証部313は、SSE21からのINVITEパケットPIのヘッダに登録されている識別情報が登録識別情報403に登録されているかどうかに基づいて、利用者の認証が「成功」したかどうかを判別する(ステップS31)。
INVITEパケットPIのヘッダHD内の識別情報が登録識別情報403に登録されている場合、認証部313は、利用者の認証が成功したと判別する。この場合、パケット送受信部311は、SSE21からのINVITEパケットPIをISC32へと送信する。
ISC32は、SSC31からのINVITEパケットPIを受信する。なお、この説明例においては、当該INVITEパケットPIの送信先がネットワーク1以外の他のネットワークである。そのため、ISC32は、受信したINVITEパケットPIをIBE22へと送信する。
IBE22は、ISC32から受信したINVITEパケットPIを、その送信先である他のネットワーク内に存在する通信先へと送信する。
その後、IBE22は、INVITEパケットPIに応答して他のネットワーク内に存在する通信先から送信されてきたOKパケットPO(接続許可信号)を、受信する。続いて、IBE22は、他のネットワークからのOKパケットPOをISC32へと送信する。
ISC32は、IBE22からのOKパケットPOを受信し、受信したOKパケットPOをSSC31へと送信する。
SSC31では、パケット送受信部311が、ISC32からのOKパケットPO(接続許可信号)を受信する。
この場合、設定情報生成部315は、SSE21がファイアウォールを開くことにより端末装置4とその通信先との接続を許可するための接続許可設定情報401を生成する(ステップS32)。
また、接続制御指示部316は、SSE21に対して、端末装置4とその通信先との接続を許可するように指示する。パケット送受信部311は、設定情報生成部315が生成した接続許可設定情報401と接続指示信号CAとを、SSE21へと送信する。
SSE21のパケット送受信部211は、SSC31からの接続指示信号CAと接続許可設定情報401とを受信する。
SSE21の設定部212は、パケット送受信部211が受信した接続指示信号CAに従い、端末装置4とその通信先との接続を許可する(ステップS33)。例えば、設定部212は、SSC31からの接続許可設定情報401を用いて、端末装置4とその通信先との間のセッションを確立するためのポート番号を開けるようにファイアウォールの設定を変更する。
以上で、実施形態1の認証システムが、利用者の認証結果に基づいて、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を許可するための一連の動作が終了する。
つぎに、実施形態1の認証システムが、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を切断する場合の動作について説明する。
図9に示すように、先ず、端末装置4が、自己と通信先との接続の切断を要求するために、BYEパケットPB(切断要求信号)をSSE21へと送信する。
SSE21は、端末装置4からのBYEパケットPBを受信して、当該BYEパケットPBをSSC31へと送信する。
SSC31は、SSE21から受信したBYEパケットPBを、ISC32へと送信する。
ISC32は、SSC31からのBYEパケットPBを受信する。なお、この説明例では、当該BYEパケットPBの送信先がネットワーク1以外の他のネットワークである。そのため、ISC32は、受信したBYEパケットPBをIBE22へと送信する。
IBE22は、ISC32からのBYEパケットPBを、他のネットワークに存在する送信先へと送信する。
その後、IBE22は、BYEパケットPB(接続要求信号)に応答して他のネットワーク内に存在する通信先から送信されてきたOKパケットPO(切断許可信号)を、受信する。続いて、IBE22は、受信したOKパケットPOを、ISC32へと送信する。
ISC32は、IBE22からのOKパケットPOを受信し、受信したOKパケットPOをSSC31へと送信する。
SSC31では、パケット送受信部311が、ISC32からのOKパケットPO(切断許可信号)を受信する。
この場合、設定情報生成部315は、SSE21がファイアウォールを閉じることにより端末装置4とその通信先との接続を禁止するための接続禁止設定情報402を生成する(ステップS41)。
また、SSC31の接続制御指示部316は、SSE21に対して、端末装置4とその通信先との接続を禁止するように指示する。パケット送受信部311は、設定情報生成部315が生成した接続禁止設定情報402と切断指示信号CCとを、SSE21へと送信する。
SSE21のパケット送受信部211は、SSC31からの切断指示信号CCと接続禁止設定情報402とを受信する。
続いて、SSE21の設定部212は、パケット送受信部211が受信した切断指示信号CCに従い、端末装置4とその通信先との接続を禁止する(ステップS42)。例えば、設定部212は、SSC31からの接続禁止設定情報402を用いて、端末装置4とその通信先とを接続するセッションのポート番号を閉じるようにファイアウォールの設定を変更する。
以上で、実施形態1の認証システムが、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を切断するための一連の動作が終了する。
以上説明したように、実施形態1の認証システムによれば、SSC31は、認証部313による利用者の認証が成功した場合、利用者の端末装置4を収容したSSE21に対して、端末装置4とその通信先との接続を許可するように指示する。また、SSC31は、端末装置4とその通信先との接続を用いた通信が終了した場合(例えば、終話時)、端末装置4とその通信先との接続を禁止するようSSE21に対して指示する。
つまり、端末装置4とその通信先とを接続するためのセッションが、当該接続を用いた通信の終了と同時に切断される。そのため、端末装置4とその通信先とを接続する前に行われた利用者の認証を、当該接続の終了に伴って無効化できる。これにより、利用者の認証を厳密に行うことができ、認証システムの安全性が向上する。
また、実施形態1によれば、端末装置4とその通信先との接続を許可または禁止するための制御(例えば、ファイアウォールの開閉制御)が、ネットワーク1内のSSC31とSSE21との連携のみで行うことが可能である。
これにより、端末装置4とその通信先(例えば、サービス提供サーバ)との接続を許可するための認証や当該接続の制御に伴う処理を行うための構成要素を、端末装置4またはその通信先に設けなくてもよくなる。
(実施形態2)
つぎに、実施形態2の認証システムについて説明する。
図10に示すように、実施形態2の認証システムの構成は、実施形態1において図1に示した例とほぼ同じである。
ただし、実施形態2の認証システムは、実施形態1のSSC31に代えて、SSC31Aを有している。
また、実施形態2の認証システムでは、SSC31AとSSE21との間に、NAT(Network Address Translation)装置23が設けられている。ここで、NAT装置23が設けられているのは、安全性の観点やグローバルアドレスの数を節約する観点からである。
NAT装置23は、ネットワーク1内の所定範囲(例えば、サブネット)でのみ用いられるIPアドレス(プライベートアドレス)と、インターネット上などで端末装置4を識別するためのIPアドレス(グローバルアドレス)とを相互に変換する役割を果たす「識別情報変換装置」である。
つまり、NAT装置23は、SSE21から送信されてきた端末装置4からの接続要求信号の所定箇所に含まれている識別情報(端末装置4のプライベートアドレスや旧ポート番号)に対して、「識別情報変換」(ネットワークアドレス変換)を施す。この識別情報変換により、NAT装置23は、新たな識別情報(端末装置4のグローバルアドレスや新ポート番号)を生成する。
さらに、NAT装置23は、識別情報変換された識別情報を含む接続要求信号をSSC31Aへと送信する。
なお、NAT装置23がINVITEパケットPIに対してネットワークアドレス変換を施した場合、図11に示すように、INVITEパケットPIのうちで送信先などの付加情報が登録されるヘッダHD(「所定箇所」)には、端末装置4の識別情報として、ネットワークアドレス変換後の端末装置4のグローバルアドレスが登録されている。
一方、INVITEパケットPIのうちからヘッダHDを除いたデータ本体であるペイロードRD内の端末装置4の識別情報には、NAT装置23によるネットワークアドレス変換が施されない。
そのため、ペイロードRDでは、端末装置4の識別情報として、端末装置4のプライベートアドレスが登録されている。なお、この説明例において、ペイロードRDに登録されている情報はSIP信号そのものである。
実施形態2では、SSC31AとNAT装置23との協働により、後述の登録識別情報403Aに端末装置4のグローバルアドレスとプライベートアドレスとの両方が登録されている。
また、SSC31Aは、接続要求信号におけるグローバルアドレスとプライベートアドレスとが、加入者データ蓄積部314内の登録識別情報403Aにて適正に対応付けられていることを判別した上で、利用者を認証する。
つぎに、実施形態2のSSC31Aの構成について詳細に説明する。
図12に示すように、SSC31Aは、実施形態1において図3に示したSSC31の構成と基本的に同じである。
ただし、実施形態2のパケット送受信部311は、端末装置4のプライベートアドレスやグローバルアドレスを当該NAT装置23から受信する。なお、この際、パケット送受信部311は、NAT装置23から、プライベートアドレスやグローバルアドレスの登録を要求する登録要求信号(REGISTERパケットPR)も受信する。
さらに、パケット送受信部311は、NAT装置23によりポート番号もネットワークアドレス変換される場合、ネットワークアドレス変換後のポート番号である新ポート番号と、ネットワークアドレス変換前の旧ポート番号とをNAT装置23から受信する。
また、実施形態2の加入者データ蓄積部314は、「加入者データ蓄積処理」を実行し、パケット送受信部311が受信したプライベートアドレスとグローバルアドレスとを対応付けた状態で登録識別情報403Aを記憶する。
図13に示すように、登録識別情報403Aは、NAT装置23によりネットワークアドレス変換される前の端末装置4のプライベートアドレスと、NAT装置23によりネットワークアドレス変換された後の端末装置4のグローバルアドレスとを対応付ける情報である。
なお、端末装置4におけるIPアドレスの設定を簡素化する観点よりDHCPサーバが認証システム内に設けられている場合、加入者データ蓄積部314は、パケット送受信部311が当該DHCPサーバから受信したプライベートアドレスやグローバルアドレスを登録識別情報403Aのうちに記憶する。
また、加入者データ蓄積部314は、NAT装置23によりポート番号もネットワークアドレス変換される場合、パケット送受信部311が受信したネットワークアドレス変換後の新ポート番号と、ネットワークアドレス変換前の旧ポート番号とを対応付けて、登録識別情報403Aのうちへと記憶する。
認証部313は、NAT装置23からの接続要求信号のヘッダHD(所定箇所)内のグローバルアドレスと、当該接続要求信号のうちのペイロードRD内の端末装置4のプライベートアドレスとのそれぞれが、加入者データ蓄積部314内の登録識別情報403Aにて対応付けられて登録されているかどうかに基づいて、利用者を認証する。
つまり、認証部313は、NAT装置23からの接続要求信号のヘッダHD(所定箇所)内のグローバルアドレスと、当該接続要求信号のうちのペイロードRD内の端末装置4のプライベートアドレスとのそれぞれが、加入者データ蓄積部314にて対応付けられて記憶されているかどうかに基づいて、利用者を認証する。
認証部313は、接続要求信号のヘッダHD内のグローバルアドレスおよびペイロードRD内のプライベートアドレスそれぞれが登録識別情報403Aにおいて対応付けられて登録されている場合、利用者の認証が成功したと判別する。
つぎに、上記構成を有する実施形態2の認証システムが、利用者の認証結果に基づいて、端末装置4とその通信先との間の接続を許可する動作を説明する。
実施形態2にて、端末装置4とその通信先との間の接続を許可する動作は、実施形態1において図5に示した動作と基本的に同一である。
ただし、SSE21が端末装置4から受信して送信してきたINVITEパケットPI(接続要求信号)は、NAT装置23によるネットワークアドレス変換が施されている。
より具体的には、SSE21からのINVITEパケットPIのヘッダHD(所定箇所)に登録されている送信元のIPアドレス(識別情報)が、プライベートアドレスからグローバルアドレスへと変換されている。
このとき、図5に示したステップS1において、認証部313は、接続要求信号のヘッダHD内のグローバルアドレスおよびペイロードRD内のプライベートアドレスそれぞれが加入者データ蓄積部314内の登録識別情報403Aにて対応付けられて登録されているかどうかに基づいて、利用者を認証する(ステップS1)。接続要求信号に含まれている端末装置4のプライベートアドレスとグローバルアドレスとが登録識別情報403Aにて対応付けられて登録されている場合、認証部313は、利用者の認証が成功したと判別する。
なお、NAT装置23によりヘッダHD内のポート番号も変換されている場合、SSC31は、接続要求信号内の新ポート番号と旧ポート番号とが登録識別情報403Aにて対応付けられて登録されているかどうかに基づいて、利用者を認証する。
認証部313による認証が成功した場合、パケット送受信部311は、INVITEパケットPI(接続要求信号)をISC32へと送信する。
なお、それ以降の実施形態2の認証システムが行う動作は、図5に示した実施形態1の認証システムの動作と同じである。
すなわち、SSC31Aの接続制御指示部316は、接続要求信号に対応するOKパケットPO(接続許可信号)をパケット送受信部311がISC32から受信した場合、端末装置4とその通信先との接続を許可するように指示する(ステップS2)。なお、接続の許可を指示する際、パケット送受信部311は、接続指示信号CAと接続許可設定情報401とをSSE21へと送信する。
SSE21の設定部212は、SSC31Aからの接続指示信号CAに従い、端末装置4とその通信先との接続を許可する。
以上で、実施形態2の認証システムが、利用者の認証結果に基づいて、端末装置4とその通信先との接続を許可するための一連の動作が終了する。
なお、実施形態2の認証システムが、端末装置4とその通信先との間の接続を禁止する動作は、図6に示した動作と基本的に同一である。
つぎに、実施形態2の認証システムが、利用者の認証結果に基づいて、端末装置4と、ネットワーク1以外の他のネットワーク内に存在する通信先との接続を許可する動作について説明する。
実施形態2にて、端末装置4と、ネットワーク1以外の他のネットワーク内の通信先との間の接続を許可する動作は、実施形態1において図8に示した動作と基本的に同一である。
ただし、SSE21が端末装置4から受信して送信してきたINVITEパケットPI(接続要求信号)は、NAT装置23によるネットワークアドレス変換が施されている。
このとき、図8に示したステップS31の処理において、SSC31Aの認証部313は、ヘッダHD(所定箇所)内のプライベートアドレスおよびペイロードRD内のプライベートアドレスが加入者データ蓄積部314内の登録識別情報403Aにて対応付けられて登録されているかどうかに基づいて、利用者を認証する(ステップS31)。
INVITEパケットPIのヘッダHD内のグローバルアドレスおよびペイロードRD内のプライベートアドレスが登録識別情報403Aにて対応付けられて登録されている場合、認証部313は、利用者の認証が成功したと判別する。この場合、パケット送受信部311は、SSE21からのINVITEパケットPIをISC32へと送信する。
なお、それ以降の実施形態2の認証システムが行う動作は、図8に示した実施形態1の認証システムの動作と同じである。
すなわち、ISC32は、SSC31からのINVITEパケットPIを、IBE22を介して、ネットワーク1以外の他のネットワーク内の通信先へと送信する。
また、ISC32は、INVITEパケットPIに対応するOKパケット(接続許可信号)を、IBE22を介して、ネットワーク1以外の他のネットワークから受信する。さらに、ISC32は、当該接続許可信号をSSC31Aへと送信する。
SSC31Aの設定情報生成部315は、パケット送受信部311が接続許可信号をISC32から受信した場合、SSE21がファイアウォールを開くことにより端末装置4とその通信先との接続を許可するための接続許可設定情報401を生成する(ステップS32)。
また、接続制御指示部316は、端末装置4とその通信先との接続を許可するようSSE21に対して指示する。なお、接続の許可を指示する際、パケット送受信部311は、接続指示信号CAと接続許可設定情報401とをSSE21へと送信する。
SSE21の設定部212は、SSC31Aからの接続指示信号CAに従い、端末装置4とその通信先との接続を許可する(ステップS33)。なお、このとき、設定部212は、SSC31Aからの接続許可設定情報401を用いて、端末装置4とその通信先との間のセッションを確立するためのポート番号を開けるようにファイアウォールの設定を変更する。
以上で、実施形態2において、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を許可するための一連の動作が終了する。
なお、実施形態2の認証システムが、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を禁止する動作は、図9に示した動作と基本的に同一である。
以上説明したように、実施形態2によれば、SSC31Aは、接続要求信号におけるグローバルアドレスとプライベートアドレスとが加入者データ蓄積部314内の登録識別情報403Aにて適正に対応付けられているかどうかに基づいて、利用者を認証する。これにより、例えば、グローバルアドレスとプライベートアドレスとのどちらか一方を用いて利用者を認証する実施形態1の認証システムよりも厳密な認証を行うことが可能となる。
本発明の実施形態1に従った認証システムの構成を示す図である。 図1に示したSSEの構成を示す図である。 図1に示したSSCの構成を示す図である。 (a)図3に示した接続許可設定情報のデータ構造の一例を示す図である。(b)図3に示した接続禁止設定情報のデータ構造の一例を示す図である。 実施形態1の認証システムが、認証結果に基づいて、端末装置とその通信先との接続を許可するときのシーケンスを示す図である。 実施形態1の認証システムが、端末装置とその送信先との接続を禁止するときのシーケンスを示す図である。 SSEまたはISCからパケットを受信したときのSSCの動作を示すフローチャートである。 実施形態1の認証システムが、認証結果に基づいて、端末装置と、図1に示したネットワーク以外の他のネットワーク内の通信先との接続を許可するときのシーケンスを示す図である。 実施形態1の認証システムが、端末装置と、図1に示したネットワーク以外の他のネットワーク内の通信先との接続を禁止するときのシーケンスを示す図である。 本発明の実施形態2に従った認証システムの構成を示す図である。 ネットワークアドレス変換が施された場合における、INVITEパケット(接続要求信号)のデータ構造を示す図である。 図10に示したSSCの構成を示す図である。 図12に示した登録識別情報のデータ構造の一例を示す図である。
符号の説明
1 ネットワーク
2 パケット転送層
3 サービス制御層
21 SSE
211 パケット送受信部
212 設定部
22 IBE
23 NAT装置
31、31A SSC
311 パケット送受信部
312 パケット識別部
313 認証部
314 加入者データ蓄積部
315 設定情報生成部
316 接続制御指示部
317 規制条件記憶部
318 規制部
319 通知部
32 ISC
4 端末装置
401 接続許可設定情報
402 接続禁止設定情報
403、403A 登録識別情報
404 規制条件情報
405 接続可否設定情報

Claims (9)

  1. 利用者が使用する端末装置と、該利用者を認証する認証装置と、該端末装置と該認証装置とに接続されており該端末装置と該端末装置の通信先との接続を制御する通信設定装置とを具備する認証システムであって、
    前記認証装置は、
    前記端末装置を識別するための識別情報を記憶する加入者データ蓄積部と、
    前記端末装置と前記通信先との接続の許可を要求するための接続要求信号を、前記通信設定装置から受信する受信部と、
    前記受信部が受信した前記接続要求信号に含まれている前記識別情報が、前記加入者データ蓄積部に記憶されているかどうかを判別する認証部と、
    前記識別情報が前記加入者データ蓄積部に記憶されていると前記認証部が判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示する接続制御指示部と、を有し、
    前記通信設定装置は、
    前記端末装置から送信されてきた前記接続要求信号を、前記認証装置へと送信する送信部と、
    前記接続制御指示部から前記端末装置と前記通信先との接続を許可するよう指示された場合に、該端末装置と該通信先との接続を許可するように設定し、該接続制御指示部から該端末装置と該通信先との接続を禁止するよう指示された場合に、該端末装置と該通信先との接続を禁止するように設定する設定部とを有する認証システム。
  2. 前記通信設定装置から送信された前記接続要求信号の所定箇所に含まれている前記識別情報に対して識別情報変換を施し、該識別情報変換された前記識別情報を含む該接続要求信号を前記認証装置へと送信する識別情報変換装置、を有し、
    前記加入者データ蓄積部は、前記端末装置の識別情報と、前記識別情報変換装置にて前記識別情報変換された識別情報とを対応付けてあらかじめ記憶しており、
    前記認証部は、前記識別情報変換装置から送信されてきた前記接続要求信号に含まれる前記識別情報と、該識別情報変換装置にて前記識別情報変換された識別情報とが、前記加入者データ蓄積部にて対応付けられて記憶されているかどうかを判別し、
    前記接続制御指示部は、前記接続要求信号に含まれる前記識別情報と前記識別情報変換された識別情報とが前記加入者データ蓄積部にて対応付けられて記憶されていると前記認証部が判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示することを特徴とする請求項1に記載の認証システム。
  3. 利用者が使用する端末装置と該端末装置の通信先との接続を制御する通信設定装置と接続された認証装置であって、
    前記端末装置を識別するための識別情報を記憶する加入者データ蓄積部と、
    前記端末装置と前記通信先との接続の許可を要求するための接続要求信号を、前記通信設定装置から受信する受信部と、
    前記受信部が受信した前記接続要求信号に含まれている前記識別情報が、前記加入者データ蓄積部に記憶されているかどうかを判別する認証部と、
    前記識別情報が前記加入者データ蓄積部に記憶されていると前記認証部が判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示する接続制御指示部とを有する認証装置。
  4. 前記識別情報が前記加入者データ蓄積部に記憶されていると前記認証部が判別した場合、前記通信設定装置が前記端末装置と前記通信先とを接続するためのポート番号を含む接続許可設定情報を生成し、前記切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置が該端末装置と該通信先との接続を切断するためのポート番号を含む接続禁止設定情報を生成する設定情報生成部と、
    前記接続制御指示部が前記通信設定装置に対して前記端末装置と前記通信先との接続を許可するように指示した場合、前記接続許可設定情報を前記通信設定装置へと送信し、該接続制御指示部が該通信設定装置に対して該端末装置と該通信先との接続を禁止するように指示した場合、前記接続禁止設定情報を該通信設定装置へと送信する設定情報送信部と、を有することを特徴とする請求項3に記載の認証装置。
  5. 前記認証装置は、前記通信設定装置から送信された前記接続要求信号の所定箇所に含まれている前記識別情報に対して識別情報変換を施し、該識別情報変換された前記識別情報を含む該接続要求信号を前記認証装置へと送信する識別情報変換装置と接続されており、
    前記加入者データ蓄積部は、前記端末装置の識別情報と、前記識別情報変換装置にて前記識別情報変換された識別情報とを対応付けてあらかじめ記憶しており、
    前記認証部は、前記識別情報変換装置から送信されてきた前記接続要求信号に含まれる前記識別情報と、該識別情報変換装置にて前記識別情報変換された識別情報とが、前記加入者データ蓄積部にて対応付けられて記憶されているかどうかを判別し、
    前記接続制御指示部は、前記接続要求信号に含まれる前記識別情報と前記識別情報変換された識別情報とが前記加入者データ蓄積部にて対応付けられて記憶されていると前記認証部が判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示することを特徴とする請求項3または4に記載の認証装置。
  6. 利用者が使用する端末装置と、該利用者を認証する認証装置とに接続された通信設定装置であって、
    前記端末装置から送信されてきた該端末装置と該端末装置の通信先との接続の許可を要求するための接続要求信号を、前記認証装置へと送信する送信部と、
    前記認証装置から前記端末装置と前記通信先との接続を許可するよう指示された場合に、該端末装置と該通信先との接続を許可するように設定し、該認証装置から該端末装置と該通信先との接続を禁止するよう指示された場合に、該端末装置と該通信先との接続を禁止するように設定する設定部とを有する通信設定装置。
  7. 前記設定部は、前記認証装置から送信されてきた前記端末装置と前記通信先とを接続するためのポート番号を含む接続許可設定情報を用いて前記端末装置と前記通信先との接続を許可するように設定し、該認証装置から送信されてきた該端末装置と該通信先との接続を切断するためのポート番号を含む接続禁止設定情報を用いて、該端末装置と該通信先との接続を禁止するように設定することを特徴とする請求項6に記載の通信設定装置。
  8. 利用者が使用する端末装置と、該利用者を認証する認証装置と、該端末装置と該認証装置とに接続されており該端末装置と該端末装置の通信先との接続を制御する通信設定装置とを具備する認証システムにおける認証方法であって、
    前記通信設定装置が、前記端末装置から送信されてきた該端末装置と前記通信先との接続の許可を要求するための接続要求信号を、前記認証装置へと送信する送信処理と、
    前記認証装置が、前記端末装置を識別するための識別情報を記憶する加入者データ蓄積処理と、
    前記認証装置が、前記送信処理にて送信されてきた前記接続要求信号を前記通信設定装置から受信する受信処理と、
    前記認証装置が、前記受信処理にて受信した前記接続要求信号に含まれている前記端末装置を識別するための識別情報が、前記加入者データ蓄積処理にて記憶されているかどうかを判別する認証処理と、
    前記認証装置が、前記識別情報が前記加入者データ蓄積処理にて記憶されていると前記認証処理にて判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示する接続制御指示処理と、
    前記通信設定装置が、前記接続制御指示処理にて前記端末装置と前記通信先との接続を許可するよう前記認証装置から指示された場合に、該端末装置と該通信先との接続を許可するように設定し、該接続制御指示処理にて該端末装置と該通信先との接続を禁止するよう該認証装置から指示された場合に、該端末装置と該通信先との接続を禁止するように設定する設定処理とを有する認証方法。
  9. 前記認証システムが、前記通信設定装置から送信された前記接続要求信号の所定箇所に含まれている前記識別情報に対して識別情報変換を施し、該識別情報変換された前記識別情報を含む該接続要求信号を前記認証装置へと送信する識別情報変換装置、を具備している場合、
    前記加入者データ蓄積処理では、前記端末装置の識別情報と、前記識別情報変換装置にて前記識別情報変換された識別情報とを対応付けてあらかじめ記憶し、
    前記認証処理では、前記識別情報変換装置から送信されてきた前記接続要求信号に含まれる前記識別情報と、該識別情報変換装置にて前記識別情報変換された識別情報とが、前記加入者データ蓄積処理にて対応付けられて記憶されているかどうかを判別し、
    前記接続制御指示処理では、前記接続要求信号に含まれる前記識別情報と前記識別情報変換された識別情報とが前記加入者データ蓄積処理にて対応付けられて記憶されていると前記認証処理にて判別した場合、前記通信設定装置に対して、前記端末装置と前記通信先との接続を許可するように指示し、該端末装置と該通信先との接続の切断を要求するための切断要求信号が該通信設定装置から送信されてきた場合、該通信設定装置に対して、該端末装置と該通信先との接続を禁止するように指示することを特徴とする請求項8に記載の認証方法。
JP2008106797A 2008-04-16 2008-04-16 認証システム、認証装置、通信設定装置および認証方法 Active JP4965499B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008106797A JP4965499B2 (ja) 2008-04-16 2008-04-16 認証システム、認証装置、通信設定装置および認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008106797A JP4965499B2 (ja) 2008-04-16 2008-04-16 認証システム、認証装置、通信設定装置および認証方法

Publications (2)

Publication Number Publication Date
JP2009258965A true JP2009258965A (ja) 2009-11-05
JP4965499B2 JP4965499B2 (ja) 2012-07-04

Family

ID=41386309

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008106797A Active JP4965499B2 (ja) 2008-04-16 2008-04-16 認証システム、認証装置、通信設定装置および認証方法

Country Status (1)

Country Link
JP (1) JP4965499B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012133690A (ja) * 2010-12-24 2012-07-12 Yokogawa Electric Corp 無線フィールド機器、機器管理システム、及び機器管理方法
JP2013027019A (ja) * 2011-07-26 2013-02-04 Nippon Telegr & Teleph Corp <Ntt> 通信制御装置の設定変更方法および呼処理サーバ
JP2013126036A (ja) * 2011-12-13 2013-06-24 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続制御方法及びネットワーク接続制御装置
JP2021010148A (ja) * 2019-07-03 2021-01-28 Necプラットフォームズ株式会社 電話交換装置、電話交換システム、制御方法及びプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002208965A (ja) * 2001-01-04 2002-07-26 Nec Corp インターネット中継接続方式
JP2004214948A (ja) * 2002-12-27 2004-07-29 Ntt Comware Corp パケット通信方法、パケット通信装置、パケット通信プログラム、およびパケット通信プログラム記録媒体
JP2008005434A (ja) * 2006-06-26 2008-01-10 Toshiba Corp 通信制御装置、通信制御方法および通信制御プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002208965A (ja) * 2001-01-04 2002-07-26 Nec Corp インターネット中継接続方式
JP2004214948A (ja) * 2002-12-27 2004-07-29 Ntt Comware Corp パケット通信方法、パケット通信装置、パケット通信プログラム、およびパケット通信プログラム記録媒体
JP2008005434A (ja) * 2006-06-26 2008-01-10 Toshiba Corp 通信制御装置、通信制御方法および通信制御プログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012133690A (ja) * 2010-12-24 2012-07-12 Yokogawa Electric Corp 無線フィールド機器、機器管理システム、及び機器管理方法
US8981960B2 (en) 2010-12-24 2015-03-17 Yokogawa Electric Corporation Wireless field device, device management system, and device management method
JP2013027019A (ja) * 2011-07-26 2013-02-04 Nippon Telegr & Teleph Corp <Ntt> 通信制御装置の設定変更方法および呼処理サーバ
JP2013126036A (ja) * 2011-12-13 2013-06-24 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続制御方法及びネットワーク接続制御装置
JP2021010148A (ja) * 2019-07-03 2021-01-28 Necプラットフォームズ株式会社 電話交換装置、電話交換システム、制御方法及びプログラム

Also Published As

Publication number Publication date
JP4965499B2 (ja) 2012-07-04

Similar Documents

Publication Publication Date Title
US11190493B2 (en) Concealing internal applications that are accessed over a network
US7568107B1 (en) Method and system for auto discovery of authenticator for network login
JP4405360B2 (ja) ファイアウォールシステム及びファイアウォール制御方法
US9112909B2 (en) User and device authentication in broadband networks
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
US9065684B2 (en) IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium
CN110800331A (zh) 网络验证方法、相关设备及***
US20080098228A1 (en) Method and apparatus for authentication of session packets for resource and admission control functions (RACF)
JP2006025354A (ja) アクセス管理方法及びその装置
US9032487B2 (en) Method and system for providing service access to a user
JP4965499B2 (ja) 認証システム、認証装置、通信設定装置および認証方法
JP2008078823A (ja) ネットワーク機器、ポート開閉制御方法およびポート開閉制御プログラム
JP2009296333A (ja) 通信制御システムおよび通信制御方法
JP4472566B2 (ja) 通信システム、及び呼制御方法
JP4555311B2 (ja) トンネル通信システム、制御装置およびトンネル通信装置
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
CN111163465B (zh) 连接用户终端与本地终端的方法、装置以及呼叫中心***
JP2009267638A (ja) 端末認証・アクセス認証方法および認証システム
CN112865975A (zh) 消息安全交互方法和***、信令安全网关装置
JP2006352710A (ja) パケット中継装置及びプログラム
JP4169534B2 (ja) モバイル通信サービスシステム
KR20200021364A (ko) 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치
JP2007286820A (ja) 情報共有システムおよび情報共有方法
Al Saidat et al. Develop a secure SIP registration mechanism to avoid VoIP threats

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110803

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110803

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120206

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120327

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120329

R150 Certificate of patent or registration of utility model

Ref document number: 4965499

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150406

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350