JP4473851B2 - 電話システムとその暗号化処理方法、通信端末、および接続装置 - Google Patents

電話システムとその暗号化処理方法、通信端末、および接続装置 Download PDF

Info

Publication number
JP4473851B2
JP4473851B2 JP2006297161A JP2006297161A JP4473851B2 JP 4473851 B2 JP4473851 B2 JP 4473851B2 JP 2006297161 A JP2006297161 A JP 2006297161A JP 2006297161 A JP2006297161 A JP 2006297161A JP 4473851 B2 JP4473851 B2 JP 4473851B2
Authority
JP
Japan
Prior art keywords
encryption
port number
connection
media data
processing sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006297161A
Other languages
English (en)
Other versions
JP2008118224A (ja
Inventor
勉 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2006297161A priority Critical patent/JP4473851B2/ja
Priority to CA 2606629 priority patent/CA2606629A1/en
Priority to US11/976,821 priority patent/US20080101346A1/en
Priority to CNA2007101670496A priority patent/CN101174971A/zh
Publication of JP2008118224A publication Critical patent/JP2008118224A/ja
Application granted granted Critical
Publication of JP4473851B2 publication Critical patent/JP4473851B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K1/00Secret communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、電話端末やソフトフォンなどがIP(Internet Protocol)ネットワークなどの通信網を介して音声通話を実現する電話システムに関する。特にこの発明は、この種の電話システムにおける暗号化方式の改良に関する。
近年の電話システムはIPネットワークを利用して音声通話を行う、いわゆるVoIP(Voice over IP)が主流となってきている。この種のシステムには、例えば帯域幅を効率的に使用するために通話データを暗号化して送受できるものがある(特許文献1を参照)。
特開2006−115507号公報
この種のシステムにおいて、電話端末はルータなどのVPN(Virtual Private Network)装置を介してIPネットワークに接続される。暗号化機能は最新の電話端末、あるいはVPN装置であれば備えていることが多いが、現状ではその機能を持つものとそうでないものとが混在する状況にある。ここに、メディアデータが二重に暗号化される可能性が生まれる。すなわち電話端末において暗号化された伝送パケットが、IPネットワークに送り出される前にVPN装置において再度暗号化されてしまう可能性がある。このような事態に対して上位レイヤにおける処理により音声を再生することは可能ではあるものの、通信リソースを無用に消費したり、QoS(Quality of Service)が劣化するなどといった不具合がある。
この発明は上記事情によりなされたもので、その目的は、不要な暗号化処理を防止できるようにした電話システムとその暗号化処理方法、通信端末、および接続装置を提供することにある。
上記目的を達成するためにこの発明の一態様によれば、呼接続処理シーケンスにより形成されるコネクションを介して互いにメディアデータを授受する複数の通信端末と、前記呼接続処理シーケンスにおいて発側端末および着側端末から互いに提示されるポート番号に基づき前記コネクションを形成する複数の接続装置とを具備し、前記複数の通信端末は、前記メディアデータを暗号化する暗号化機能のサポートの有無に応じて、前記呼接続処理シーケンスにおいて提示するポート番号を変化させる通知処理部を備え、前記複数の接続装置は、前記呼接続処理シーケンスにおいて前記提示されるポート番号から、この呼接続処理シーケンスにより形成されるコネクションにおける通信端末間でのメディアデータの暗号化の無いことが示される場合にのみ、当該メディアデータを暗号化する暗号化処理部を備えることを特徴とする電話システムが提供される。
このような手段を講じることにより、通信端末における暗号化処理がなされていない場合にのみ、接続装置における暗号化処理が実施される。すなわち通信端末において暗号化処理がなされた場合には接続装置における暗号化処理がバイパスされる。これにより暗号化処理が二重に実施されることが無くなり、不要な暗号化処理を防止できるようになる。
この発明によれば、不要な暗号化処理を防止できるようにした電話システムとその暗号化処理方法、通信端末、および接続装置を提供することができる。
図1は、この発明に係る電話システムの実施の形態を示すシステム図である。このシステムはローカルネットワーク10,20をIPネットワーク1を介して接続し、各ネットワーク10,20間の相互通信を実現するものである。
ローカルネットワーク10は端末3a,3b、VPN装置2a、および交換サーバ4を備え、これらは互いにLAN(Local Area Network)で接続される。このうちVPN装置2aはIPネットワーク1に接続され、IPネットワーク1と端末3a,3b、交換サーバ4とのメディアデータやIPパケットの授受を仲介する。すなわちVPN装置2aは端末3a,3b、交換サーバ4をIPネットワーク1に接続する。
ローカルネットワーク20は互いにLANで接続される端末3c,3d、およびVPN装置2bを備える。このうちVPN装置2bはIPネットワーク1に接続され、IPネットワーク1と端末3c,3dとのメディアデータやIPパケットの授受を仲介する。すなわちVPN装置2bは端末3c,3dをIPネットワーク1に接続する。
端末3a〜3dは、例えばIP電話機やIPソフトホンなどといった、VoIPによる電話通信機能を有する。このほか、端末3a〜3dは映像通信交換機能やテキストチャット機能などの通信機能を備える場合もある。
交換サーバ4は、端末3a〜3dからの発信/呼出/応答/切断メッセージを受け付け、発呼者に対する接続先の決定や、接続先の決定後のメッセージの中継などを行う。このような呼接続処理のプロトコルには、例えばSIP(Session Initiation Protocol)が用いられる。交換サーバ4によるコネクションの確立後は、端末3a〜3dは互いに相手方と直接パケットデータを授受することにより、音声データなどのメディアストリームを通信する(ピア・ツー・ピア通信)。
端末3a〜3dのいずれかは、IPネットワーク1に送出されるパケット(メディアデータ)を、例えば個人情報の流出や盗聴などを防ぐために暗号化する機能を有する。この実施形態では、端末3a,3dがこの暗号化機能をサポートしており、端末3b,3cは暗号化機能をサポートしていないとする。
また端末3a〜3dは通知処理部200を備える。通知処理部200は、パケットを暗号化したか否かを、例えば暗号化識別情報を伝達することで直上のVPN装置に通知する、。この実施形態では暗号化識別情報としてポート番号を使用する。さらに、VPN装置2a,2bは、上記同様の暗号化機能を実現するための暗号化処理部100を備える。また、VPN装置2a〜2bは図2に示すセキュリティポリシーテーブルを有する。
図2のセキュリティポリシーテーブルは、端的に言えば、発側ポート番号と着側ポート番号との対応関係と、暗号化の有無とを対応付けるテーブルである。このテーブルには、このほか発側IPアドレス、着側IPアドレス、および使用するプロトコル(UDP)なども記載される。このセキュリティポリシーテーブルは、IPsecなどの標準において勧告化されている。このセキュリティポリシーテーブルは端末3a〜3dにも記憶されており、この実施形態では各端末3a〜3dは自らの暗号化の有無に応じてポート番号を可変する。
図3は、暗号化がVPN装置間で実施される場合の呼接続処理シーケンスを示す図である。図3において、端末3aのユーザが端末3cに接続するために発信操作を行うと、発信メッセージが端末3aから交換サーバ4に送信される(ステップST1)。発信メッセージには、パケット通信に使用する発側ポート番号を含む提案パラメータが含まれる。この提案パラメータは例えばSIPのINVITEメッセージに含まれる。ここでは発側ポート番号として、暗号化通信可能を示す値域内の値の例である5000を使用する。
交換サーバ4は受信した発信メッセージに含まれる宛先パラメータから接続先(端末3c)を決定し、この端末3cに向け発信メッセージを送信する(ステップST2)。発信メッセージを受信した端末3cは、自端末で暗号化が可能かどうかを判定する。この実施形態では暗号化が不可能と判定され、端末3cは着側ポート番号として暗号化不可能を示す値6000を設定する(ステップST3)。
次に端末3cは、パケット通信に使用する着側ポート番号を含む応答パラメータを含む受付メッセージを交換サーバ4に返送する(ステップST4)。応答パラメータには着側ポート番号である6000が含まれる。受付メッセージを受けた交換サーバ4は、この受付メッセージを端末3aに中継する(ステップST5)。この受付メッセージが端末3aに届いたのちは、端末3aと端末3cは、発側ポート番号5000、着側ポート番号6000を使用して非暗号化パケットで通信を開始する(ステップST6)。
図4は、図3の場合の端末間通信を模式的に示す図である。図4において、端末3aと端末3cとは非暗号化パケットで通信する(ステップST7)。VPN装置2aとVPN装置2bとは、端末3aと端末3c間のパケット通信を監視し、発側ポート番号5000、着側ポート番号6000を認識する。この結果とセキュリティポリシーテーブルの内容とから、VPN装置2aとVPN装置2bとはこのコネクションに関しては暗号化が必要であることを判定する。この結果、VPN装置2aとVPN装置2bとの間ではパケットの暗号化が実施される。
図5は、暗号化が端末間で実施される場合の呼接続処理シーケンスを示す図である。図5において、端末3aのユーザが端末3dに接続するために発信操作を行うと、発信メッセージが端末3aから交換サーバ4に送信される(ステップST10)。この発信メッセージには発側ポート番号として5000が含まれる。
交換サーバ4は受信した発信メッセージに含まれる宛先パラメータから接続先(端末3d)を決定し、この端末3dに向け発信メッセージを送信する(ステップST20)。発信メッセージを受信した端末3dは、自端末で暗号化が可能かどうかを判定する。この実施形態では暗号化が可能と判定され、端末3dは着側ポート番号として暗号化可能を示す値5001を設定する(ステップST30)。
次に端末3dは、パケット通信に使用する着側ポート番号を含む応答パラメータを含む受付メッセージを交換サーバ4に返送する(ステップST40)。応答パラメータには着側ポート番号である5001が含まれる。受付メッセージを受けた交換サーバ4は、この受付メッセージを端末3aに中継する(ステップST50)。この受付メッセージが端末3aに届いたのちは、端末3aと端末3dは、発側ポート番号5000、着側ポート番号5001を使用して暗号化パケットで通信を開始する(ステップST60)。
図6は、図5の場合の端末間通信を模式的に示す図である。図6において、端末3aと端末3dとは暗号化パケットで通信する(ステップST70)。VPN装置2aとVPN装置2bとは、端末3aと端末3d間のパケット通信を監視し、発側ポート番号5000、着側ポート番号5001を認識する。この結果とセキュリティポリシーテーブルの内容とから、VPN装置2aとVPN装置2bとはこのコネクションに関しては暗号化を行わないことを決定する。その結果、VPN装置2aとVPN装置2bとの間ではパケットの暗号化は実施されない。
以上説明したようにこの実施形態では、自端末における暗号化機能の有無に応じて、端末3a〜3dは発側ポート番号、着側ポート番号を可変して呼接続処理シーケンスを実施する。暗号化機能の有無とポート番号との関係は予め用意されたセキュリティポリシーテーブルに対応付けられている。VPN装置2a,2bはコネクションを張った端末間のポート番号をチェックし、その結果とセキュリティポリシーテーブルの内容とから、自装置における暗号化の実施/非実施を決定するようにしている。
このようにしたので、VPN装置2a,2bにおいて盲目的に暗号化を行うのではなく、端末装置における暗号化の有無に応じて、必要な場合にのみVPN装置2a,2bでの暗号化を行うことが可能になる。よって端末がメディアデータを暗号化したのちVPN装置がさらに暗号化するといったリソースの浪費を防止でき、VPN装置の暗号化リソースを有効に活用することが可能となり、ひいては設備の有効利用およびコストダウンが可能となる。また、VoIP通信において、通信ごとのセキュリティレベルをユーザが容易に判断できるようになり、利便性が大幅に向上する。これらのことから、不要な暗号化処理を防止できるようにした電話システムとその暗号化処理方法、通信端末、および接続装置を提供することが可能となる。
なお、この発明は上記実施形態そのままに限定されるものではない。例えば暗号化識別情報として発着ポート番号に限らず、ユーザが独自に規定した情報を用いるようにしても良い。またメディアデータに限らず、発信メッセージ、応答メッセージなどの制御情報を暗号化の対象としても良い。
またこの発明は、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。
この発明に係る電話システムの実施の形態を示すシステム図。 図1のシステムで用いられるセキュリティポリシーテーブルを示す図。 暗号化がVPN装置間で実施される場合の呼接続処理シーケンスを示す図。 図3の場合の端末間通信を模式的に示す図。 暗号化が端末間で実施される場合の呼接続処理シーケンスを示す図。 図5の場合の端末間通信を模式的に示す図。
符号の説明
1…IPネットワーク、3a〜3d…端末、2a,2b…VPN装置、4…交換サーバ、10,20…ローカルネットワーク、100…暗号化処理部、200…通知処理部

Claims (8)

  1. 呼接続処理シーケンスにより形成されるコネクションを介して互いにメディアデータを授受する複数の通信端末と、
    前記呼接続処理シーケンスにおいて発側端末および着側端末から互いに提示されるポート番号に基づき前記コネクションを形成する複数の接続装置とを具備し、
    前記複数の通信端末は、
    前記メディアデータを暗号化する暗号化機能のサポートの有無に応じて、前記呼接続処理シーケンスにおいて提示するポート番号を変化させる通知処理部を備え、
    前記複数の接続装置は、
    前記呼接続処理シーケンスにおいて前記提示されるポート番号から、この呼接続処理シーケンスにより形成されるコネクションにおける通信端末間でのメディアデータの暗号化の無いことが示される場合にのみ、当該メディアデータを暗号化する暗号化処理部を備えることを特徴とする電話システム。
  2. 前記複数の通信端末および前記複数の接続装置は、さらに、
    前記暗号化機能の前記通信端末におけるサポートの有無をポート番号に対応付けてテーブル化したセキュリティポリシーテーブルを備え、
    前記通知処理部は、前記ポート番号を前記セキュリティポリシーテーブルに即して変化させ、
    前記暗号化処理部は、前記提示されるポート番号と前記セキュリティポリシーテーブルの内容とから前記メディアデータの暗号化の実施/非実施を決定することを特徴とする請求項1に記載の電話システム。
  3. 呼接続処理シーケンスにより形成されるコネクションを介して互いにメディアデータを授受する複数の通信端末と、前記呼接続処理シーケンスにおいて発側端末および着側端末から互いに提示されるポート番号に基づき前記コネクションを形成する複数の接続装置とを具備する電話システムに用いられる暗号化処理方法であって、
    前記複数の通信端末は、前記メディアデータを暗号化する暗号化機能のサポートの有無に応じて、前記呼接続処理シーケンスにおいて提示するポート番号を変化させ、
    前記複数の接続装置は、前記呼接続処理シーケンスにおいて前記提示されるポート番号から、この呼接続処理シーケンスにより形成されるコネクションにおける通信端末間でのメディアデータの暗号化の無いことが示される場合にのみ、当該メディアデータを暗号化することを特徴とする暗号化処理方法。
  4. 前記複数の通信端末および前記複数の接続装置は、さらに、前記暗号化機能の前記通信端末におけるサポートの有無をポート番号に対応付けてテーブル化したセキュリティポリシーテーブルを備え、
    前記複数の通信端末は、前記ポート番号を前記セキュリティポリシーテーブルに即して変化させ、
    前記複数の接続装置は、前記提示されるポート番号と前記セキュリティポリシーテーブルの内容とから前記メディアデータの暗号化の実施/非実施を決定することを特徴とする請求項3に記載の暗号化処理方法。
  5. 呼接続処理シーケンスにより形成されるコネクションを介して相手方と互いにメディアデータを授受する通信端末において、
    前記メディアデータを暗号化する暗号化機能のサポートの有無に応じて、前記呼接続処理シーケンスにおいて提示するポート番号を変化させる通知処理部を備えることを特徴とする通信端末。
  6. さらに、前記暗号化機能のサポートの有無をポート番号に対応付けてテーブル化したセキュリティポリシーテーブルを備え、
    前記通知処理部は、前記ポート番号を前記セキュリティポリシーテーブルに即して変化させることを特徴とする請求項5に記載の通信端末。
  7. 呼接続処理シーケンスにより形成されるコネクションを介して互いにメディアデータを授受する複数の通信端末を具備する電話システムに用いられ、前記呼接続処理シーケンスにおいて発側端末および着側端末から互いに提示されるポート番号に基づき前記コネクションを形成する接続装置において、
    前記呼接続処理シーケンスにおいて前記提示されるポート番号から、この呼接続処理シーケンスにより形成されるコネクションにおける通信端末間でのメディアデータの暗号化の無いことが示される場合にのみ、当該メディアデータを暗号化する暗号化処理部を備えることを特徴とする接続装置。
  8. さらに、前記メディアデータを暗号化する暗号化機能の前記通信端末におけるサポートの有無をポート番号に対応付けてテーブル化したセキュリティポリシーテーブルを備え、
    前記暗号化処理部は、前記提示されるポート番号と前記セキュリティポリシーテーブルの内容とから前記メディアデータの暗号化の実施/非実施を決定することを特徴とする請求項7に記載の接続装置。
JP2006297161A 2006-10-31 2006-10-31 電話システムとその暗号化処理方法、通信端末、および接続装置 Active JP4473851B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006297161A JP4473851B2 (ja) 2006-10-31 2006-10-31 電話システムとその暗号化処理方法、通信端末、および接続装置
CA 2606629 CA2606629A1 (en) 2006-10-31 2007-10-16 Telephone system and its encryption processing method
US11/976,821 US20080101346A1 (en) 2006-10-31 2007-10-29 Telephone system and its encryption processing method
CNA2007101670496A CN101174971A (zh) 2006-10-31 2007-10-31 电话***及其加密处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006297161A JP4473851B2 (ja) 2006-10-31 2006-10-31 電話システムとその暗号化処理方法、通信端末、および接続装置

Publications (2)

Publication Number Publication Date
JP2008118224A JP2008118224A (ja) 2008-05-22
JP4473851B2 true JP4473851B2 (ja) 2010-06-02

Family

ID=39330034

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006297161A Active JP4473851B2 (ja) 2006-10-31 2006-10-31 電話システムとその暗号化処理方法、通信端末、および接続装置

Country Status (4)

Country Link
US (1) US20080101346A1 (ja)
JP (1) JP4473851B2 (ja)
CN (1) CN101174971A (ja)
CA (1) CA2606629A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4739248B2 (ja) * 2007-02-08 2011-08-03 キヤノン株式会社 送信装置、受信装置、送信装置の制御方法および受信装置の制御方法
WO2009078103A1 (ja) * 2007-12-19 2009-06-25 Fujitsu Limited 暗号化実施制御システム
JP5310824B2 (ja) * 2011-11-10 2013-10-09 株式会社リコー 伝送管理装置、プログラム、伝送管理システムおよび伝送管理方法
JP6075871B2 (ja) * 2013-05-09 2017-02-08 日本電信電話株式会社 ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
CN109788473B (zh) * 2017-11-13 2022-01-25 ***通信有限公司研究院 一种VoLTE通话加密方法、网络设备及终端

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7523314B2 (en) * 2003-12-22 2009-04-21 Voltage Security, Inc. Identity-based-encryption message management system
US7895648B1 (en) * 2004-03-01 2011-02-22 Cisco Technology, Inc. Reliably continuing a secure connection when the address of a machine at one end of the connection changes
KR100603573B1 (ko) * 2004-10-12 2006-07-24 삼성전자주식회사 효율적인 대역폭 사용을 위한 암호화가 적용된 패킷통신망에서의 음성 데이터 처리 방법 및 그 장치

Also Published As

Publication number Publication date
CA2606629A1 (en) 2008-04-30
US20080101346A1 (en) 2008-05-01
JP2008118224A (ja) 2008-05-22
CN101174971A (zh) 2008-05-07

Similar Documents

Publication Publication Date Title
US11496868B2 (en) Request to hand over a session between a mobile communication device and a customer premises equipment
EP3292675B1 (en) Establishing media paths in real time communications
US6857072B1 (en) System and method for enabling encryption/authentication of a telephony network
US6870817B2 (en) Method and apparatus for monitoring calls over a session initiation protocol network
TW201002018A (en) Method for predicting port number of NAT apparatus based on two STUN server inquiry results
JP3698698B2 (ja) Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立
JP4473851B2 (ja) 電話システムとその暗号化処理方法、通信端末、および接続装置
Spencer et al. Iax: Inter-asterisk exchange version 2
JP2005129980A (ja) ネットワーク、構内交換機、無線lan端末及びそれに用いるマルチプロトコル通信端末制御方法
EP2186290A2 (en) System and method for identifying encrypted conference media traffic
JP2005191763A (ja) 通信中継方法および中継装置
JP4564881B2 (ja) 音声通信システム
JP5367386B2 (ja) Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム
JP2005020676A (ja) 電話通信方法及び装置
JP2007208542A (ja) 呼制御信号転送装置、呼制御信号転送方法および呼制御信号転送プログラム
KR100660123B1 (ko) Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기
WO2010088798A1 (zh) 利用sip由多个用户共享同一用户设备的方法和用户设备
JP4017592B2 (ja) VoIPシステム及びVoIP電話機
JP3698701B2 (ja) Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立
JP4728933B2 (ja) Ip電話通信システム、ip電話通信方法、およびそのプログラム
JP2005252814A (ja) 通信システム、中継管理装置、通信方法、通信プログラムおよび中継管理プログラム
JP4136798B2 (ja) 音声ガイダンス機能付き中継装置
JP2010219580A (ja) 通信中継装置、通信端末、及び通信方法
JP2006352552A (ja) ファックス通信システム、その通信方法、これに用いる端末及びサーバ
JP4710624B2 (ja) Ip機器交換装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081111

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100209

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100305

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130312

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130312

Year of fee payment: 3