JP5022863B2 - 利用者のアドレス情報を登録する端末、方法およびプログラム - Google Patents

利用者のアドレス情報を登録する端末、方法およびプログラム Download PDF

Info

Publication number
JP5022863B2
JP5022863B2 JP2007284751A JP2007284751A JP5022863B2 JP 5022863 B2 JP5022863 B2 JP 5022863B2 JP 2007284751 A JP2007284751 A JP 2007284751A JP 2007284751 A JP2007284751 A JP 2007284751A JP 5022863 B2 JP5022863 B2 JP 5022863B2
Authority
JP
Japan
Prior art keywords
message
user
authentication
transferred
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007284751A
Other languages
English (en)
Other versions
JP2009111939A (ja
Inventor
佳道 谷澤
直紀 江坂
勉 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2007284751A priority Critical patent/JP5022863B2/ja
Priority to US12/202,704 priority patent/US8861380B2/en
Publication of JP2009111939A publication Critical patent/JP2009111939A/ja
Application granted granted Critical
Publication of JP5022863B2 publication Critical patent/JP5022863B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • H04L65/1036Signalling gateways at the edge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、IP電話機能を利用する利用者のアドレス情報をサーバ装置に登録する端末、方法およびプログラムに関するものである。
あるネットワークシステムに対して認証された端末に対してのみネットワークアクセスを許可するためのプロトコルとして、IEEE(Institute of Electrical and Electronic Engineers)802.1X、およびPANA(Protocol for Carrying Authentication for Network Access)などのネットワークアクセス認証プロトコルが知られている。
IEEE802.1Xの認証(以下、802.1X認証という)では、接続した装置に対してポートレベルでの認証と接続許可を行う。通常、802.1X認証は、インフラスイッチと、インフラスイッチに直接接続された装置との間で行われる。
特許文献1では、スイッチなどを介してIEEE802.1Xに対応したポートに接続された複数の端末のうち、いずれかの端末が802.1X認証されることで、全ての端末に対して接続を許可する技術が提案されている。
特許文献2では、IEEE802.1Xに対応したポートに、スイッチなどを介して複数の端末を接続した場合、各端末のMACアドレスをベースにして、端末ごとに、802.1X認証および接続許可を行う技術が提案されている。
また、近年、通信装置間に介在し通信を制御・中継するシグナリング手順であるSIP(Session Initiation Protocol)などを用いてIPネットワーク上で電話網を実現したIP電話システムが広く知られている。IP電話システムで利用されるIP電話端末は、イーサネットなどによってケーブリングされ、IPネットワーク上でSIPなどによる呼制御およびメディア転送を行うことで電話機能を実現する。
利用者は、IP電話端末の利用を開始する際、IP電話端末に対して利用者のSIPアドレスを登録する必要がある。SIPアドレスの登録とは、利用者のSIPアドレスとIP電話端末のSIPアドレスとを対応づける処理である。この登録処理では、利用者はIP電話端末に対して、利用者ID/パスワードなどを入力する。SIPアドレスの登録処理は、利用者宛の着信呼を正しく受信し、発呼者を正しく識別し、また、利用者ごとのIP電話端末の拡張機能(短縮ダイヤルなど)を設定するために必要である。ただし、利用者の簡便性のため、利用者が利用者ID/パスワード入力を行わなくとも、既定の利用者によるSIPアドレス登録がされているとみなして、着信や発信ができるように設定されることもある。
オフィス向けIP電話端末は、デスクまわりのケーブリングを容易にするため、アップリンクとダウンリンクをそれぞれ1つずつ備えるスイッチ部品を内蔵するものが多い。すなわち、インフラスイッチのポートに、IP電話端末のアップリンクが接続され、IP電話端末製品のダウンリンクに、通常のPCなどが接続される。このような接続形態により、1つのデスクに対して割り当てられた1つのポートで、1台のIP電話端末とPCとを利用することが可能となる。
利用者ごとに固定のデスクを設置しないフリーアドレスオフィスなどでは、IP電話端末のみが固定的にデスクに配備され、インフラネットワークに接続される。一方、利用者は、個別に割り当てられた携帯型のノートPC等を、IP電話端末を介してインフラネットワークに接続する。このため、利用者は、接続したPCの認証とともに、PCを接続したIP電話端末に対するSIPアドレスの登録が必要となる。
特開2006−352468号公報 特開2006−67057号公報
しかしながら、上記のようにIP電話端末を介してPCをインフラネットワークに接続する環境では、PC上での認証処理とは別にIP電話端末上でSIPアドレスの登録処理を行う必要があるため、IP電話端末を利用するための操作が煩雑になるという問題があった。
具体的には、利用者は、IP電話端末を利用するために以下のような操作を行う必要がある。すなわち、利用者は、まず(1)PCをIP電話端末のダウンリンクに接続する。次に、(2)接続したPCからインフラネットワークに対して802.1X認証を行い、接続許可を受ける。そして、(3)IP電話端末を操作し、利用者自身のSIPアドレスを登録する。
本発明は、上記に鑑みてなされたものであって、IP電話機能を利用するために必要なアドレス情報の登録操作を簡略化することができる端末、方法およびプログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に利用者のアドレス情報を登録することによってIP電話機能を提供するIP電話端末であって、前記外部端末および前記ネットワークから受信したメッセージを、受信したメッセージで指定された宛先に転送する転送部と、前記外部端末の利用者の認証に用いるメッセージであって、前記利用者の識別情報を含む認証メッセージが前記外部端末から前記転送部を介して前記ネットワークに転送されたか否かを判断する第1判断部と、前記認証メッセージが前記転送部を介して転送された場合に、前記認証メッセージから前記識別情報を取得する識別情報取得部と、前記利用者が認証されたことを表す許可メッセージが前記ネットワークから前記転送部を介して前記外部端末に転送されたか否かを判断する第2判断部と、前記許可メッセージが前記転送部を介して転送された場合に、取得された前記識別情報の利用者のアドレス情報を前記サーバ装置に登録するための登録メッセージを生成して前記サーバ装置に送信するメッセージ処理部と、を備えたことを特徴とする。
また、本発明は、外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に利用者のアドレス情報を登録することによってIP電話機能を提供するIP電話端末で実行されるアドレス登録方法であって、転送部が、前記外部端末および前記ネットワークから受信したメッセージを、受信したメッセージで指定された宛先に転送する転送ステップと、判断部が、前記外部端末の利用者の認証に用いるメッセージであって、前記利用者の識別情報を含む認証メッセージが前記外部端末から前記転送部を介して前記ネットワークに転送されたか否かを判断する第1判断ステップと、識別情報取得部が、前記認証メッセージが前記転送部を介して転送された場合に、前記認証メッセージから前記識別情報を取得する識別情報取得ステップと、判断部が、前記利用者が認証されたことを表す許可メッセージが前記転送部を介して前記ネットワークから前記外部端末に転送されたか否かを判断する第2判断ステップと、メッセージ処理部が、前記許可メッセージが前記転送部を介して転送された場合に、取得された前記識別情報の利用者のアドレス情報を前記サーバ装置に登録するためのメッセージであって、登録するアドレス情報を含む登録メッセージを生成して前記サーバ装置に送信するメッセージ処理ステップと、を備えたことを特徴とする。
また、本発明は、外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に利用者のアドレス情報を登録することによってIP電話機能を提供するIP電話端末に実行させるアドレス登録プログラムであって、前記外部端末および前記ネットワークから受信したメッセージを、受信したメッセージで指定された宛先に転送する転送手順と、前記外部端末の利用者の認証に用いるメッセージであって、前記利用者の識別情報を含む認証メッセージが前記外部端末から前記転送手順により前記ネットワークに転送されたか否かを判断する第1判断手順と、前記認証メッセージが前記転送手順により転送された場合に、前記認証メッセージから前記識別情報を取得する識別情報取得手順と、前記利用者が認証されたことを表す許可メッセージが前記ネットワークから前記転送手順により前記外部端末に転送されたか否かを判断する第2判断手順と、前記許可メッセージが前記転送手順により転送された場合に、取得された前記識別情報の利用者のアドレス情報を前記サーバ装置に登録するためのメッセージであって、登録するアドレス情報を含む登録メッセージを生成して前記サーバ装置に送信するメッセージ処理手順と、を前記IP電話端末に実行させるアドレス登録プログラムである。
本発明によれば、IP電話機能を利用するために必要なアドレス情報の登録操作を簡略化することができるという効果を奏する。
以下に添付図面を参照して、この発明にかかる端末、方法およびプログラムの最良な実施の形態を詳細に説明する。
(第1の実施の形態)
第1の実施の形態にかかるIP電話端末は、ネットワークへの接続を仲介するPCが送信した認証用のメッセージから、PCの利用者を識別する利用者IDを取得し、認証が成功したときに、取得した利用者IDから生成したSIPアドレスをSIPサーバに登録するものである。
図1は、第1の実施の形態にかかるIP電話システムのネットワーク構成を示す図である。図1に示すように、第1の実施の形態のIP電話システムは、IP電話端末100と、PC200と、インフラスイッチ400と、認証サーバ500と、SIPサーバ600とを含んでいる。また、インフラスイッチ400、認証サーバ500、およびSIPサーバ600は、LAN(Local Area Network)などのインフラネットワーク700を介して接続されている。
IP電話端末100は、デスクスペースを利用する利用者に対してIP電話機能を提供するものある。IP電話端末100は、呼制御にSIPを利用する。IP電話端末100は、通常の電話機能を利用するためのダイヤル部、およびヘッドセット(スピーカとマイク)を備えている。すなわち、利用者は、ダイヤル部を用いて発信先のアドレスをダイヤルすることによる発呼機能や、IP電話端末100を指定した呼を着呼してヘッドセットを用いて通話する機能などの通常の電話と同様の機能を利用できる。ただし、以下の機能を利用するためには、デスクスペース利用者は、IP電話端末100のダイヤル部を利用して、利用者のSIPアドレス登録を行わなければならない。
(1)デスクスペース利用者のアドレスを発信元と明示した発呼。
(2)デスクスペース利用者を指定した呼の着呼。
(3)デスクスペース利用者が利用するIP電話拡張機能(短縮ダイヤル、Voice Mail設定、利用者毎の転送設定、利用者毎の着信拒否設定など)。
なお、IP電話端末100は、接続インタフェースとして、イーサネット(登録商標)を接続するためのアップリンクとダウンリンクをそれぞれ1つずつ備えている。具体的には、IP電話端末100は、アップリンクをインフラスイッチ400のポートに接続し、ダウンリンクをPC200に接続する。
本実施の形態のIP電話端末100は、さらに、PC200とインフラスイッチ400との間でデスクスペース利用者のIEEE802.1X認証が行われ、ネットワークアクセスが認可された場合に、IP電話機能を利用可能とするために利用者のSIPアドレスをSIPサーバ600に登録する機能を備えている。なお、IP電話端末100の機能および構成の詳細については後述する。
PC200は、利用者がデスクスペースに持ち込み、IP電話端末100のダウンリンクに接続して利用する端末である。利用者は、PC200をIP電話端末100のダウンリンクに接続することで、ネットワーク機能を利用することができる。ただし、ネットワーク機能を利用するためには、PC200とインフラスイッチ400との間でIEEE802.1X認証を行い、ネットワークアクセスの認可を受ける必要がある。このため、PC200は、IEEE802.1XのSupplicant機能を備えている。利用者は、PC200をIP電話端末100のダウンリンクに接続した際、PC200に対して利用者のIDやパスワードを入力し、IEEE802.1X認証を実行する。
なお、同図ではIP電話端末100を1台およびPC200をそれぞれ1台のみ記載しているが、通常は複数のIP電話端末100およびPC200がインフラスイッチ400を介してインフラネットワーク700に接続される。
インフラスイッチ400は、オフィスのネットワークインフラの一部として運用されるスイッチ装置であり、PC200やIP電話端末100を接続するためのエッジデバイスに相当する。インフラスイッチ400は、接続する端末に対してネットワークアクセス認証を行うため、IEEE802.1XのAuthenticator機能を備える。インフラスイッチ400は、デスクスペースごとに1つのポートを割り当て、1本のイーサネットケーブルを提供する。
なお、インフラスイッチ400は、事前にIP電話端末100に対する802.1X認証を行うように構成してもよいし、IP電話端末100については、802.1X認証を行わないように構成してもよい。ただし、この場合、インフラスイッチ400は、IP電話端末100とPC200とを同一のポートに収容しつつ、それぞれ個別に接続設定および接続許可が与えられるように動作するものとする。このような動作は、例えば特許文献1および2の方法によって実現することができる。
認証サーバ500は、インフラスイッチ400との間でRADIUSプロトコルなどの認証プロトコルによって利用者の認証処理を実行するものである。
SIPサーバ600は、利用者のSIPアドレスを登録することにより、利用者がIP電話端末100のIP電話機能を利用可能とする装置である。
ここで、IP電話端末100の接続形態についてさらに説明する。図2は、オフィスのデスクスペースにおけるIP電話端末100の接続形態の一例を示す図である。図2の接続形態では、複数のIP電話端末100a〜100cが、それぞれデスク300a〜300cに備えられている。また、例えば各利用者に割り当てられた携帯型のPC200a〜200cが、それぞれデスク300a〜300cに備えられている。
IP電話端末100は、IP電話機能を提供するIP電話処理部120と、インフラスイッチ400、IP電話処理部120、およびPC200の間で送受信するメッセージを宛先に応じて振り分けるスイッチ部110とを備えている。そして、PC200は、このスイッチ部110を介してインフラスイッチ400と接続される。
次に、IP電話端末100の機能および構成の詳細について説明する。図3は、第1の実施の形態のIP電話端末100の詳細な構成を示すブロック図である。図3に示すように、IP電話端末100は、インフラI/F(インタフェース)部101と、PC I/F部102と、スイッチ部110と、IP電話処理部120と、記憶部130とを備えている。
記憶部130は、スイッチ部110内の識別情報取得部113(後述)が取得した識別情報を記憶するものである。なお、記憶部130は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
インフラI/F部101は、インフラスイッチ400との間のイーサネットケーブル接続を終端し、ネットワークインタフェース機能を提供するものである。具体的には、インフラI/F部101は、インフラネットワーク700宛のフレームを外部に送出し、IP電話端末100宛およびPC200宛のフレームを受信してスイッチ部110に転送する。
PC I/F部102は、PC200との間のイーサネットケーブル接続を終端し、ネットワークインタフェース機能を提供するものである。具体的には、PC I/F部102は、PC200宛のフレームを外部に送出し、インフラネットワーク700宛およびIP電話端末100宛のフレームを受信しスイッチ部110に転送する。
スイッチ部110は、イーサネットフレームをその宛先にあわせて送受信するイーサネットスイッチである。スイッチ部110は、さらに詳細な構成として、転送部111と、判断部112と、識別情報取得部113とを備えている。
転送部111は、フレームの宛先に応じてインフラI/F部101、PC I/F部102、およびIP電話処理部120内のIP電話I/F部121(後述)の3つのI/F部に対してフレームの転送を行う。
判断部112は、PC I/F部102とインフラI/F部101の間で転送されるイーサネットフレームを監視して、所定のフレームが転送されたか否かを判断するものである。具体的には、判断部112は、PC I/F部102とインフラI/F部101との間で転送される802.1Xフレームの情報を監視する。そして、判断部112は、例えば利用者のIDを含む認証メッセージとして予め定められたEAP−Request/Identityフレームが転送されたかを判断する。また、判断部112は、例えば利用者の802.1X認証が成功したことを通知する許可メッセージとして予め定められたEAP−Successフレームが転送されたかを判断する。
識別情報取得部113は、判断部112によって所定の認証メッセージが転送されたと判断された場合に、当該認証メッセージから利用者の識別情報を取得するものである。具体的には、識別情報取得部113は、PC200からインフラネットワーク700に対してEAP−Request/Identityフレームが転送された場合に、このフレームから利用者の識別情報を取得する。EAP−Request/Identityフレームの構成については後述する。
なお、識別情報取得部113は、取得した識別情報を記憶部130に保存する。保存した識別情報は、後述するSIPメッセージ処理部123が、識別情報を含むSIP Register−Requestメッセージを生成するときに参照される。
IP電話処理部120は、詳細な構成として、IP電話I/F部121と、TCP/IPプロトコルスタック部122と、SIPメッセージ処理部123と、メディア処理部124と、SIPアプリケーション部125と、ユーザI/F部126と、制御部127と、を備えている。
IP電話I/F部121は、IP電話端末100の内部的なネットワークインタフェースである。IP電話I/F部121は、インフラネットワーク700宛およびPC200宛のフレームをスイッチ部110に転送し、IP電話端末100宛のフレームをスイッチ部110から受信する。また、IP電話I/F部121は、IP電話端末100宛のフレームをTCP/IPプロトコルスタック部122に転送する。
TCP/IPプロトコルスタック部122は、IP電話機能を実現するためのTCP/IPプロトコルの処理を行うものである。具体的には、TCP/IPプロトコルスタック部122は、SIPメッセージ処理部123およびメディア処理部124がそれぞれSIPメッセージおよびメディアを送受信するために必要なTCP/IPプロトコル処理を実行する。
SIPメッセージ処理部123は、IP電話機能を実現するための呼制御を、SIPを使って行うものである。例えば、SIPメッセージ処理部123は、SIPアプリケーション部125の指示に従ってSIPメッセージを作成し、TCP/IPプロトコルスタック部122を介して送信する。より具体的には、SIPメッセージ処理部123は、判断部112によって802.1X認証が成功したことを通知する許可メッセージが転送されたと判断された場合に、記憶部130に保存されている識別情報の利用者に対してIP電話機能を利用可能とするためのSIP Register−Requestメッセージを作成し、SIPサーバ600宛に送信する。
また、SIPメッセージ処理部123は、TCP/IPプロトコルスタック部122から受信したSIPメッセージを識別し、必要な呼制御情報をSIPアプリケーション部125に通知する。
メディア処理部124は、IP電話機能を実現するために音声や映像などの情報であるメディア情報を処理するメディア処理を行うものである。具体的には、メディア処理部124は、SIPアプリケーション部125の指示に従い、TCP/IPプロトコルスタック部122を介してメディアパケット(RTP/RTCP)を送信する。また、TCP/IPプロトコルスタック部122から受信したメディアパケットを識別し、メディア情報をSIPアプリケーション部125に通知する。
SIPアプリケーション部125は、呼制御およびメディア処理を行うことによってIP電話機能を実現するためのアプリケーションである。SIPアプリケーション部125は、呼制御およびメディア処理のためにSIPメッセージ処理部123およびメディア処理部124をそれぞれ利用する。SIPアプリケーション部125は、ユーザI/F部126を介して利用者に操作される。
ユーザI/F部126は、利用者がIP電話機能を利用するためのユーザインタフェースを提供するものである。具体的には、ユーザI/F部126は、ダイヤル、ヘッドセット(スピーカ、マイク)、呼び出しスピーカ、LED(Light Emitting Diode)、LCD(Liquid Crystal Display)などを含んでいる。ユーザI/F部126は、利用者の操作情報をもとに、IP電話機能を利用するために必要な情報であるSIPアプリケーション制御情報を生成し、SIPアプリケーション部125を制御する。例えば、ユーザI/F部126は、ダイヤルされた番号である操作情報から、発信処理に必要なSIPアプリケーション制御情報を生成してSIPアプリケーション部125を制御する。
制御部127は、判断部112から、PC200の利用者の802.1X認証状態について通知を受けて利用者のSIPアドレス登録処理を制御するものである。具体的には、制御部127は、PC200の利用者が802.1X認証によってネットワークアクセスを許可されたと判断された場合、SIPメッセージ処理部123に対して、802.1X認証によって認証された利用者の識別情報を通知する。なお、通知を受けたSIPメッセージ処理部123は、認証された利用者がIP電話端末100を利用するためのSIPアドレス登録処理に必要なSIPメッセージの作成を開始する。また、制御部127の機能をSIPメッセージ処理部123内で実現するように構成してもよい。
次に、このように構成された第1の実施の形態にかかるIP電話端末100によるSIPアドレス登録処理について図4を用いて説明する。図4は、第1の実施の形態におけるSIPアドレス登録処理の全体の流れを示すシーケンス図である。
まず、PC200は、IP電話端末100を介して、インフラスイッチ400との間で802.1X認証を実行する(ステップS401〜ステップS417)。802.1X認証では、PC200とインフラスイッチ400との間で所定のEAPOLフレームが交換される。
EAPOLフレームの交換では、IP電話端末100は、PC200から送信されるEAPOLフレームを、PC I/F部102で受信し、受信したフレームをスイッチ部110によってインフラI/F部101に転送する。一方、IP電話端末100は、インフラスイッチ400から送信されるEAPOLフレームを、インフラI/F部101で受信し、受信したフレームをスイッチ部110によってPC I/F部102に転送する。スイッチ部110がEAPOLフレームを転送する際、判断部112が転送するフレームの内部を監視しており、後述するタイミングでEAPOLフレーム情報を取得し、制御部127に通知する。
以下、各ステップの詳細について説明する。802.1X認証は、PC200からインフラスイッチ400に対して、EAPOL−Startフレームを送信することで開始される(ステップS401、ステップS402)。このフレームを受信したインフラスイッチ400は、EAP−Request/IdentityフレームをPC200に対して送信する(ステップS403、ステップS404)。
EAP−Request/Identityフレームを受信したPC200は、このフレームに対する応答のフレームに含める利用者IDを入力させるため、GUI等を利用して、利用者に対して利用者IDおよびパスワードなどの入力を促す。
そして、PC200は、入力された利用者IDを含むEAP−Response/Identityフレームを、インフラスイッチ400を宛先として送信する(ステップS405)。
図5は、EAP−Response/Identityフレームの構成例を示す図である。なお、ここでは、PC200の利用者の利用者IDが「alice」であるものとする。図5に示すように、EAP−Response/Identityフレームは、宛先MACアドレス、送信元MACアドレス、イーサネットタイプ、EAPOLプロトコルバージョン、EAPOLパケットタイプ、EAPOLパケット長、ボディ、およびFCS(フレームチェックシーケンス)を含んでいる。ボディは、EAPに従い、EAPCode、EAP Identifier、EAP Length、EAP Type、およびEAP Type−Dataを含んでいる。
EAP−Response/Identityフレームでは、宛先MACアドレスには、インフラスイッチ400のMACアドレスが設定され、送信元MACアドレスには、PC200のMACアドレスが設定される。イーサネットタイプは、EAPOLを表す「0x888e」である。EAPOLプロトコルバージョンは常に「0x01」である。EAPOLパケットタイプは、EAP−Packetに対応する「0x00」である。これは、フレームがボディとしてEAPを運ぶEAPOLフレームであることを示している。EAPOLパケット長は、EAPOLのフレームの長さを示す。FCSはイーサネットフレームのフレームチェックに使用される。また、EAP Codeは、EAP−Responseを示す「0x02」である。EAP Identifierには、受信済みの対応するEAP−Request/Identityフレーム内で設定された値と同一の値が格納される。EAP Lengthは、EAPの長さである。EAP Typeには、次のEAP Type−Dataが、利用者の識別情報に相当するIdentity情報を含むことを示す「0x01」が設定される。EAP Type−Dataは、Identity情報として「alice」が設定される。なお、同図では、フレームに含まれる各要素名の後ろの括弧内に、各要素のバイト数を示している。
なお、認証用EAPメソッドとして、Protected Identity Exchange機能を有するメソッドを利用する場合、EAP Type−Dataに利用者IDを含めず、EAPメソッド固有の方法で交換することもある。本実施の形態では、任意の認証用EAPメソッドを適用できるが、以下では、いずれの認証用EAPメソッドを使用する場合であっても、EAP Type−Dataに利用者IDの値を格納することを前提とする。
図4に戻り、IP電話端末100のPC I/F部102が、PC200利用者の利用者IDを含むEAP−Response/Identityフレームを受信すると、スイッチ部110は、このフレームをインフラI/F部101に転送する。この際、判断部112は、フレームのヘッダおよびボディのEAP Code等を参照することにより、このフレームが利用者IDを含むEAP−Response/Identityフレームであると判断する。そして、識別情報取得部113が、IdentityのEAP Type−Dataとしてフレームに含まれる情報である利用者IDを利用者の識別情報として取得して記憶部130に保存する(ステップS406)。
EAP−Response/Identityフレームは、インフラI/F部101を介してインフラスイッチ400に送信される(ステップS407)。
インフラスイッチ400は、PC200との間で802.1X認証を行う過程で、認証サーバ500との間でRADIUSプロトコルなどの認証プロトコルに従ってメッセージを交換する(ステップS408〜ステップS409)。例えば、インフラスイッチ400は、RADIUSプロトコルの認証要求であるAccess Requestフレームを認証サーバ500に送信する。
以後、インフラスイッチ400およびPC200は、802.1X認証のためにEAP−RequestフレームとEAP−Responseフレームの交換を続ける(ステップS410〜ステップS413)。なお、同図では交換するフレームをそれぞれ1つのみ記載しているが、必要に応じて2回以上フレームの交換をする場合がある。
認証サーバ500によって利用者が認証され、Access Acceptフレームが送信されると(ステップS414)、インフラスイッチ400は、PC200を宛先として、EAP−Successフレームを送信する(ステップS415)。
図6は、EAP−Successフレームの構成例を示す図である。EAP−Successフレームは、宛先MACアドレス、送信元MACアドレス、イーサネットタイプ、EAPOLプロトコルバージョン、EAPOLパケットタイプ、EAPOLパケット長、ボディ、およびFCSを含んでいる。ボディは、EAPに従い、EAP Code、EAP Identifier、およびEAP Lengthを含んでいる。
EAP−Successフレームでは、宛先MACアドレスにはPC200のMACアドレスが設定され、送信元MACアドレスにはインフラスイッチ400のMACアドレスが設定される。イーサネットタイプは、EAPOLを表す「0x888e」である。EAPOLプロトコルバージョンは常に「0x01」である。EAPOLパケットタイプは、EAP−Packetに対応する「0x00」である。EAPOLパケット長は、EAPOLのフレームの長さを示す。FCSはイーサネットフレームのフレームチェックに使用される。また、EAP Codeは、EAP−Successを示す「0x03」である。EAP Identifierは、受信済みの対応するEAP−Requestフレーム内で設定された値と同一の値が格納される。EAP Lengthは、EAPの長さである。
図4に戻り、IP電話端末100のインフラI/F部101が、EAP−Successフレームを受信すると、スイッチ部110は、このフレームをPC I/F部102に転送する。この際、判断部112は、フレームのヘッダおよびボディのEAP Code等を参照することにより、このフレームがEAP−Successフレームであると判断する。これにより、判断部112は、記憶部130に保存している利用者IDの利用者の認証が成功したと判定することができる(ステップS416)。
なお、利用者が認証された場合、インフラスイッチ400はPC200のネットワークアクセスを許可する。また、EAP−Successフレームはスイッチ部110によりPC200に転送される(ステップS417)。そして、PC200は、GUIを利用して、利用者に対してネットワークアクセスが許可されたことを通知する。
利用者が認証されたと判定した場合、判断部112は、制御部127に対して、802.1Xにより認証された利用者IDを通知する。制御部127は、SIPメッセージ処理部123に対して、SIPアドレスの登録を指示する。
なお、前述の通り、IP電話端末100は、802.1X認証が不要であるか、必要である場合はこの時点で既に802.1X認証が成功しており、ネットワークアクセスが許可されているものとする。
SIPメッセージ処理部123は、制御部127の指示に応じて、利用者IDから生成したAoRを含むSIP Register Requestメッセージを生成する(ステップS418)。
このように、本実施の形態では、IP電話端末100において、PC200を利用するために行うIEEE802.1X認証の利用者IDから、IP電話端末100を利用するために行うアドレス登録のSIPアドレスが生成可能であることを前提とする。例えば、IP電話端末100に設定された情報を元にして、利用者IDにSIPアドレスのためのドメイン(記号「@」以降の文字列)を補って生成したAoRをSIPアドレスとして利用するように構成してもよい。
図7は、SIPメッセージ処理部123が作成するSIP Register−Requestメッセージの構成例を示す図である。ここでは、IP電話端末100に割り当てられたIPアドレスは「192.168.0.101」であるものとする。また、SIPサーバ600の名前「registrar.example.com」が、予め記憶部130等に記憶され、メッセージ作成時に参照できるものとする。
図7で、Request−URIは、SIPサーバ600のSIPアドレス「sip:registrar.example.com」である。FromヘッダおよびToヘッダは、IP電話端末100に設定すべきAoR、すなわち、「[email protected]」である。Contactヘッダは、IP電話端末100のIPアドレスによって示される、「[email protected]」のためのコンタクトアドレス([email protected])である。
なお、AoRは、SIPシステム内で一意に利用者を特定するSIPアドレスである。コンタクトアドレスは、実際のIP電話端末100に割り当てられたIPアドレスと、AoRのユーザパートとを、記号「@」を介して接続した形を取るSIPアドレスである。コンタクトアドレスは、SIPサーバ600でAoRに関連づけられて保持される。
図4に戻り、IP電話端末100のSIPメッセージ処理部123は、作成したSIP Register−RequestメッセージをSIPサーバ600に送信する(ステップS419)。SIPサーバ600は、SIPアドレスを登録後、SIP Register−ResponseメッセージをIP電話端末100に送信する(ステップS420)。IP電話端末100がSIP Register−Responseメッセージを受信することにより、SIPアドレス登録処理が完了する。
これ以後、利用者のAoR宛ての発呼は、SIPサーバ600を介してコンタクトアドレスに変換され、対応するIP電話端末100に着信するようになる。
以上のシーケンスにより、PC200の利用者がPC200を操作してPC200の802.1X認証を実行することで、同時に、IP電話端末100を利用可能とするためのSIPアドレス登録が完了する。
次に、このように構成された第1の実施の形態にかかるIP電話端末100によるSIPアドレス削除処理について図8を用いて説明する。SIPアドレス削除処理とは、802.1X認証終了(ログオフ)に応じてSIPアドレスをSIPサーバ600から削除する処理をいう。図8は、第1の実施の形態におけるSIPアドレス削除処理の全体の流れを示すシーケンス図である。
まず、PC200は、EAPOL−Logoffフレームを、インフラスイッチ400を宛先として送信する(ステップS801)。図9は、EAPOL−Logoffフレームの構成例を示す図である。図9に示すように、EAPOL−Logoffフレームは、宛先MACアドレス、送信元MACアドレス、イーサネットタイプ、EAPOLプロトコルバージョン、EAPOLパケットタイプ、EAPOLパケット長、およびFCSを含んでいる。
EAPOL−Logoffフレームでは、宛先MACアドレスにはインフラスイッチ400のMACアドレスが設定され、送信元MACアドレスにはPC200のMACアドレスが設定される。イーサネットタイプは、EAPOLを表す「0x888e」である。EAPOLプロトコルバージョンは常に「0x01」である。EAPOLパケットタイプは、EAPOL−Logoffを示す「0x02」である。EAPOL長は、EAPOLのフレームの長さを示す。FCSはイーサネットフレームのフレームチェックに使用される。
図8に戻り、IP電話端末100のPC I/F部102は、EAPOL−Logoffフレームを受信すると、スイッチ部110がインフラI/F部101に転送する。このとき、判断部112は、フレームのヘッダ等を参照することにより、このフレームがEAPOL−Logoffフレームであると判断する。これにより、判断部112は、記憶部130に保存している利用者IDの利用者がログオフされたことを識別する(ステップS802)。
なお、インフラI/F部101に転送されたEAPOL−Logoffフレームは、インフラスイッチ400に送信される(ステップS803)。このフレームを受信したインフラスイッチ400は、PC200のネットワークアクセスを不許可とする。
ステップS802で、利用者のログオフを識別した判断部112は、制御部127に対して利用者がログオフしたことを通知する。制御部127は、SIPメッセージ処理部123に対して、802.1X認証時に登録したSIPアドレスの削除を指示する。SIPメッセージ処理部123は、指示に応じて、登録したSIPアドレスを削除するためのSIP−Register−Requestメッセージを作成する(ステップS804)。そして、SIPメッセージ処理部123は、作成したSIP−Register−RequestメッセージをSIPサーバ600に送信する(ステップS805)。
SIPサーバ600は、SIP−Register−Requestメッセージを受信すると、指定されたSIPアドレスを削除し、応答としてSIP Register−ResponseメッセージをIP電話端末100に送信する(ステップS806)。
SIP Register−Responseメッセージを受信した場合、制御部127は記憶部130から利用者IDを削除し(ステップS807)、SIPアドレス削除処理を終了する。
以上のシーケンスにより、PC200の利用者のログオフと連動して、IP電話端末100の利用を終了するためのSIPアドレスの削除処理を実行することができる。
このように、第1の実施の形態にかかるIP電話端末では、ネットワークへの接続を仲介するPCが送信した認証用のメッセージから、PCの利用者を識別する利用者IDを取得し、認証が成功したときに、取得した利用者IDから生成したSIPアドレスをSIPサーバに登録することができる。すなわち、利用者がIP電話端末を経由してPCを接続し、PCを操作してPCのネットワークアクセス認証処理を完了させることで、同時に、利用者がIP電話端末を利用するためのSIPアドレス登録処理が完了する。これにより、PCおよびIP電話端末を利用開始する際の利用者の操作を簡略化することができる。
(第2の実施の形態)
第1の実施の形態では、PCの認証に用いる利用者IDとIP電話端末を利用するためのSIPアドレスとが同一であること、または利用者IDからドメインを補うなどして生成したSIPアドレスをIP電話端末のためのSIPアドレスとして使用できることを前提としていた。
第2の実施の形態にかかるIP電話端末は、利用者IDに対応するSIPアドレスを、外部のサーバから取得し、取得したSIPアドレスを用いてIP電話端末を利用するためのSIPアドレス登録を実行するものである。これにより、IP電話端末において、PCの認証用の利用者IDからIP電話端末のためのSIPアドレスが生成できない場合であっても、PCの認証に伴ってIP電話端末の利用のためのSIPアドレス登録を実行可能となる。
図10は、第2の実施の形態にかかるIP電話システムのネットワーク構成を示す図である。図10に示すように、第2の実施の形態のIP電話システムは、IP電話端末1000と、PC200と、インフラスイッチ400と、認証サーバ500と、SIPサーバ600と、ディレクトリサーバ800とを含んでいる。
第2の実施の形態では、ディレクトリサーバ800を追加したこと、およびIP電話端末1000の機能が第1の実施の形態と異なっている。その他の構成および機能は、第1の実施の形態にかかるIP電話システムの構成を表す図1と同様であるので、同一符号を付し、ここでの説明は省略する。
ディレクトリサーバ800は、PC200の利用者の利用者IDと、IP電話端末1000を利用するためのSIPアドレスとを対応づけて管理するサーバ装置である。IP電話端末1000などの外部装置は、例えばLDAPなどのディレクトリアクセスプロトコルによって、利用者IDに対応するSIPアドレスを要求するメッセージをディレクトリサーバ800に送信し、その応答メッセージからSIPアドレスを取得することができる。
次に、IP電話端末1000の機能および構成の詳細について説明する。図11は、第2の実施の形態のIP電話端末1000の詳細な構成を示すブロック図である。図11に示すように、IP電話端末1000は、インフラI/F部101と、PC I/F部102と、スイッチ部110と、IP電話処理部1120と、記憶部130とを備えている。
第2の実施の形態では、SIPメッセージ処理部1123の機能、制御部1127の機能、およびIP電話処理部1120内にアドレス取得部1128を追加したことが第1の実施の形態と異なっている。その他の構成および機能は、第1の実施の形態にかかるIP電話システムの構成を表す図1と同様であるので、同一符号を付し、ここでの説明は省略する。
制御部1127は、PC200の利用者が802.1X認証によってネットワークアクセスを許可された場合に、後述するアドレス取得部1128に対して認証された利用者の利用者IDを通知し、アドレス取得部1128から通知した利用者IDに対応するSIPアドレスを取得する機能、および取得したSIPアドレスをSIPメッセージ処理部1123に通知してSIPメッセージの作成を指示する機能が追加された点が、第1の実施の形態の制御部127と異なっている。
SIPメッセージ処理部1123は、制御部1127から通知されたSIPアドレスを用いてSIPメッセージを作成する点が、第1の実施の形態のSIPメッセージ処理部123と異なっている。
アドレス取得部1128は、アドレス取得部1128は、制御部1127から利用者IDを通知された場合に、TCP/IPプロトコルスタック部122を利用して、LDAPなどのディレクトリアクセスプロトコルによって利用者IDに対応するSIPアドレスをディレクトリサーバ800から取得する。
次に、このように構成された第2の実施の形態にかかるIP電話端末1000によるSIPアドレス登録処理について図12を用いて説明する。図12は、第2の実施の形態におけるSIPアドレス登録処理の全体の流れを示すフローチャートである。
ステップS1201からステップS1217までの、EAPOLパケット交換処理は、第1の実施の形態にかかるIP電話端末100におけるステップS401からステップS417までと同様の処理なので、その説明を省略する。
ステップS1216で利用者が認証されたと判定された場合、制御部1127は、アドレス取得部1128に対して利用者IDを通知し、SIPアドレスの問い合わせを指示する。そして、アドレス取得部1128は、制御部1127の指示に応じて、利用者IDに対応するSIPアドレス(AoR)をディレクトリサーバ800に問い合わせる(ステップS1218)。
ディレクトリサーバ800は、問い合わせに応じて、指定された利用者IDに対応するAoRをIP電話端末1000に返信する(ステップS1219)。
アドレス取得部1128は、ディレクトリサーバ800から受信したAoRを制御部1127に通知する。そして、制御部1127は、受信したAoRを記憶部130に保存する(ステップS1220)。また、制御部1127は、受信したAoRをSIPメッセージ処理部1123に通知するとともに、SIPアドレスの登録を指示する。
SIPメッセージ処理部1123は、制御部1127の指示に応じて、通知されたAoRを含むSIP Register Requestメッセージを生成する(ステップS1221)。
ステップS1222からステップS1223までの、SIPメッセージ送受信処理は、第1の実施の形態にかかるIP電話端末100におけるステップS419からステップS420までと同様の処理なので、その説明を省略する。
以上のシーケンスにより、利用者IDとSIPアドレスとが異なる場合であっても、PC200の802.1X認証と同時に、IP電話端末1000を利用可能とするためのSIPアドレス登録が完了する。
次に、このように構成された第2の実施の形態にかかるIP電話端末1000によるSIPアドレス削除処理について図13を用いて説明する。図13は、第2の実施の形態におけるSIPアドレス削除処理の全体の流れを示すシーケンス図である。
ステップS1301からステップS1303までの、EAPOLフレーム送信処理は、第1の実施の形態にかかるIP電話端末100におけるステップS801からステップS803までと同様の処理なので、その説明を省略する。
利用者がログオフしたと判定された場合、SIPメッセージ処理部1123は、制御部1127の指示に応じて、登録したSIPアドレスを削除するためのSIP−Register−Requestメッセージを作成する(ステップS1304)。本実施の形態では、SIPメッセージ処理部1123は、記憶部130に保存されたAoRを含むSIP−Register−Requestメッセージを生成する。
ステップS1305からステップS1306までの、SIPメッセージ送受信処理は、第1の実施の形態にかかるIP電話端末100におけるステップS805からステップS806までと同様の処理なので、その説明を省略する。
SIP Register−Responseメッセージを受信した場合、制御部1127は記憶部130から利用者IDおよびAoRを削除し(ステップS1307)、SIPアドレス削除処理を終了する。
このように、第2の実施の形態にかかるIP電話端末では、利用者IDに対応するSIPアドレスを外部のサーバから取得し、取得したSIPアドレスを用いてIP電話端末を利用するためのSIPアドレス登録を実行することができる。これにより、PCの認証用の利用者IDとIP電話端末のためのSIPアドレスの対応関係が、外部のサーバにて管理されている場合であっても、PCの認証と同時にSIPアドレス登録を実行することができる。
(変形例)
なお、上述の各実施の形態では、PC200はインフラスイッチ400との間で802.1Xによりネットワークアクセス認証を行っていた。適用可能な認証プロトコルはこれに限られるものではなく、例えば、802.1Xと同様にEAPを利用するPANAを認証プロトコルとして利用するように構成してもよい。
以下に、認証プロトコルとしてPANAを利用する場合の変形例について説明する。この場合、PC200は、レイヤ3インフラスイッチまたは認証エージェントとの間でEAPを利用したアクセス認証を行う。また、IP電話端末が監視するフレームのフォーマットがUDPパケットに変更される。
PANAを利用する構成の場合、PC200は、インフラスイッチ400ではなく、PANA認証エージェント(図示せず)との間で認証メッセージ(PANAプロトコルメッセージ)の交換を行う。また、PANAの場合、PC200は、PANA−Auth−Request MessageのEAP−PayloadAVPに含まれるEAP−Type−Dataによって、PANA認証エージェントに対してIdentity情報を通知する。
したがって、IP電話端末は、このメッセージを監視することで、PC200を利用する利用者の利用者IDを特定する。図14は、利用者IDを検出する場合の監視対象となるPANAプロトコルメッセージの構成例を示す図である。
また、PANAの場合、PANA認証エージェントは、PANA−Auth−Request MessageによってPC200の認証結果を通知する。例えば、PC200の認証が成功した場合は、PANA−Auth−Request MessageのResult−Code AVPの値にPANA_SUCCESSが設定される。
IP電話端末は、このメッセージを監視することで、PC200を利用する利用者が認証されたか否かを判定する。図15は、認証結果を判定する場合の監視対象となるPANAプロトコルメッセージの構成例を示す図である。図15に示すように、このメッセージには、SessionLifetime AVPとして、PANAセッションが有効である期間を秒数で示す値も含まれている。
なお、PANAヘッダには、単一のPANAセッションを一意に識別するためのIDとして、Session Identifierが含まれている。したがって、PANAを利用する構成の場合、PC200の利用者の利用者IDと認証結果とが対応することを、PANA Session Identfierを用いて判定するように構成することもできる。
上述のように、IP電話端末は、このメッセージを監視して利用者の認証結果を判定するとともに、認証が成功した場合に、このメッセージから認証期間を特定することができる。そこで、SIPアドレス登録のためのSIP Register Requestメッセージを作成するときに、登録の有効期限を表すパラメタである、Contactヘッダのパラメタ「expires」に、特定したPANAの認証期間と同一の期間を設定するように構成してもよい。
図16は、有効期限を設定したSIP Register−Requestメッセージの構成例を示す図である。図16では、Contactヘッダの「expires」パラメタに登録の有効期限(3600秒)が設定された点が、図7のメッセージ構成例と異なっている。
このようにして有効期限を設定することにより、PC200の認証期間と、IP電話端末におけるSIPアドレスの認証期間を同一に保つことが可能となる。このため、例えば、PC200がログアウト操作なく持ち去られた場合などであっても、PC200の認証期間終了と同時にSIPアドレスの認証期間が終了するように構成することができる。
次に、第1または第2の実施の形態にかかるIP電話端末のハードウェア構成について図17を用いて説明する。図17は、第1または第2の実施の形態にかかるIP電話端末のハードウェア構成を示す説明図である。
第1または第2の実施の形態にかかるIP電話端末は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
第1または第2の実施の形態にかかるIP電話端末で実行されるアドレス登録プログラムは、ROM52等に予め組み込まれて提供される。
第1または第2の実施の形態にかかるIP電話端末で実行されるアドレス登録プログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
さらに、第1または第2の実施の形態にかかるIP電話端末で実行されるアドレス登録プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、第1または第2の実施の形態にかかるIP電話端末で実行されるアドレス登録プログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
第1または第2の実施の形態にかかるIP電話端末で実行されるアドレス登録プログラムは、上述した各部(スイッチ部、IP電話処理部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU51が上記ROM52からアドレス登録プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、各部が主記憶装置上に生成されるようになっている。
以上のように、本発明にかかる端末、方法およびプログラムは、IP電話端末を介してPCをネットワークに接続する形態のIP電話システムに適している。
第1の実施の形態にかかるIP電話システムのネットワーク構成を示す図である。 IP電話端末の接続形態の一例を示す図である。 第1の実施の形態のIP電話端末の詳細な構成を示すブロック図である。 第1の実施の形態におけるSIPアドレス登録処理の全体の流れを示すシーケンス図である。 EAP−Response/Identityフレームの構成例を示す図である。 EAP−Successフレームの構成例を示す図である。 SIP Register−Requestメッセージの構成例を示す図である。 第1の実施の形態におけるSIPアドレス削除処理の全体の流れを示すシーケンス図である。 EAPOL−Logoffフレームの構成例を示す図である。 第2の実施の形態にかかるIP電話システムのネットワーク構成を示す図である。 第2の実施の形態のIP電話端末の詳細な構成を示すブロック図である。 第2の実施の形態におけるSIPアドレス登録処理の全体の流れを示すフローチャートである。 第2の実施の形態におけるSIPアドレス削除処理の全体の流れを示すシーケンス図である。 PANAプロトコルメッセージの構成例を示す図である。 PANAプロトコルメッセージの構成例を示す図である。 SIP Register−Requestメッセージの構成例を示す図である。 第1または第2の実施の形態にかかるIP電話端末のハードウェア構成を示す説明図である。
符号の説明
51 CPU
52 ROM
53 RAM
54 通信I/F
61 バス
100 IP電話端末
101 インフラI/F部
102 PC I/F部
110 スイッチ部
111 転送部
112 判断部
113 識別情報取得部
120 IP電話処理部
121 IP電話I/F部
122 TCP/IPプロトコルスタック部
123 SIPメッセージ処理部
124 メディア処理部
125 SIPアプリケーション部
126 ユーザI/F部
127 制御部
130 記憶部
300 デスク
400 インフラスイッチ
500 認証サーバ
600 SIPサーバ
700 インフラネットワーク
800 ディレクトリサーバ
1000 IP電話端末
1120 IP電話処理部
1123 SIPメッセージ処理部
1127 制御部
1128 アドレス取得部

Claims (10)

  1. 外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に利用者のアドレス情報を登録することによってIP電話機能を提供するIP電話端末であって、
    前記外部端末および前記ネットワークから受信したメッセージを、受信したメッセージで指定された宛先に転送する転送部と、
    前記外部端末の利用者の認証に用いるメッセージであって、前記利用者の識別情報を含む認証メッセージが前記外部端末から前記転送部を介して前記ネットワークに転送されたか否かを判断する第1判断部と、
    前記認証メッセージが前記転送部を介して転送された場合に、前記認証メッセージから前記識別情報を取得する識別情報取得部と、
    前記利用者が認証されたことを表す許可メッセージが前記ネットワークから前記転送部を介して前記外部端末に転送されたか否かを判断する第2判断部と、
    前記許可メッセージが前記転送部を介して転送された場合に、取得された前記識別情報の利用者のアドレス情報を前記サーバ装置に登録するための登録メッセージを生成して前記サーバ装置に送信するメッセージ処理部と、
    を備えたことを特徴とするIP電話端末。
  2. 前記メッセージ処理部は、前記許可メッセージが転送された場合に、取得された前記識別情報を含むアドレス情報を生成し、生成したアドレス情報を含む前記登録メッセージを生成して前記サーバ装置に送信すること、
    を特徴とする請求項1に記載のIP電話端末。
  3. 前記ネットワークを介して接続され、前記識別情報とアドレス情報とを対応づけて管理する管理装置に、取得された前記識別情報に対応するアドレス情報を要求する要求メッセージを送信し、前記要求メッセージに対して前記管理装置が返信したアドレス情報を取得するアドレス取得部をさらに備え、
    前記メッセージ処理部は、取得されたアドレス情報を含む前記登録メッセージを生成して前記サーバ装置に送信すること、
    を特徴とする請求項1に記載のIP電話端末。
  4. 前記第1判断部は、IEEE802.1Xに準拠する前記認証メッセージが転送されたか否かを判断し、
    前記第2判断部は、IEEE802.1Xに準拠する前記許可メッセージが転送されたか否かを判断すること、
    を特徴とする請求項1に記載のIP電話端末。
  5. 前記第1判断部は、PANA(Protocol for Carrying Authentication for Network Access)に準拠する前記認証メッセージが転送されたか否かを判断し、
    前記第2判断部は、PANAに準拠する前記許可メッセージが転送されたか否かを判断すること、
    を特徴とする請求項1に記載のIP電話端末。
  6. 前記外部端末の利用者の認証終了を通知する通知メッセージが前記転送部を介して転送されたか否かを判断する第3判断部をさらに備え、
    前記メッセージ処理部は、前記通知メッセージが前記転送部を介して転送された場合に、取得された前記識別情報の利用者のアドレス情報を前記サーバ装置から削除するためのメッセージであって、削除するアドレス情報を含む削除メッセージを生成して前記サーバ装置に送信すること、
    を特徴とする請求項1に記載のIP電話端末。
  7. 前記サーバ装置は、さらに登録するアドレス情報の有効期間を登録可能であり、
    前記第1判断部は、認証が有効である期間を表す認証期間と前記利用者の識別情報とを含む前記認証メッセージが転送されたか否かを判断し、
    前記識別情報取得部は、前記認証メッセージが転送された場合に、前記認証メッセージから前記識別情報と前記認証期間とを取得し、
    前記メッセージ処理部は、前記許可メッセージが転送された場合に、取得された前記識別情報の利用者のアドレス情報を、取得された前記認証期間を前記有効期間として前記サーバ装置に登録するための前記登録メッセージを生成して前記サーバ装置に送信すること、
    を特徴とする請求項1に記載のIP電話端末。
  8. 前記登録メッセージは、前記識別情報の利用者のAoR(Address of Record)である前記アドレス情報を含むSIP Registerメッセージであること、
    を特徴とする請求項1に記載のIP電話端末。
  9. 外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に利用者のアドレス情報を登録することによってIP電話機能を提供するIP電話端末で実行されるアドレス登録方法であって、
    転送部が、前記外部端末および前記ネットワークから受信したメッセージを、受信したメッセージで指定された宛先に転送する転送ステップと、
    判断部が、前記外部端末の利用者の認証に用いるメッセージであって、前記利用者の識別情報を含む認証メッセージが前記外部端末から前記転送部を介して前記ネットワークに転送されたか否かを判断する第1判断ステップと、
    識別情報取得部が、前記認証メッセージが前記転送部を介して転送された場合に、前記認証メッセージから前記識別情報を取得する識別情報取得ステップと、
    判断部が、前記利用者が認証されたことを表す許可メッセージが前記転送部を介して前記ネットワークから前記外部端末に転送されたか否かを判断する第2判断ステップと、
    メッセージ処理部が、前記許可メッセージが前記転送部を介して転送された場合に、取得された前記識別情報の利用者のアドレス情報を前記サーバ装置に登録するためのメッセージであって、登録するアドレス情報を含む登録メッセージを生成して前記サーバ装置に送信するメッセージ処理ステップと、
    を備えたことを特徴とするアドレス登録方法。
  10. 外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に利用者のアドレス情報を登録することによってIP電話機能を提供するIP電話端末に実行させるアドレス登録プログラムであって、
    前記外部端末および前記ネットワークから受信したメッセージを、受信したメッセージで指定された宛先に転送する転送手順と、
    前記外部端末の利用者の認証に用いるメッセージであって、前記利用者の識別情報を含む認証メッセージが前記外部端末から前記転送手順により前記ネットワークに転送されたか否かを判断する第1判断手順と、
    前記認証メッセージが前記転送手順により転送された場合に、前記認証メッセージから前記識別情報を取得する識別情報取得手順と、
    前記利用者が認証されたことを表す許可メッセージが前記ネットワークから前記転送手順により前記外部端末に転送されたか否かを判断する第2判断手順と、
    前記許可メッセージが前記転送手順により転送された場合に、取得された前記識別情報の利用者のアドレス情報を前記サーバ装置に登録するためのメッセージであって、登録するアドレス情報を含む登録メッセージを生成して前記サーバ装置に送信するメッセージ処理手順と、
    を前記IP電話端末に実行させるアドレス登録プログラム。
JP2007284751A 2007-11-01 2007-11-01 利用者のアドレス情報を登録する端末、方法およびプログラム Expired - Fee Related JP5022863B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007284751A JP5022863B2 (ja) 2007-11-01 2007-11-01 利用者のアドレス情報を登録する端末、方法およびプログラム
US12/202,704 US8861380B2 (en) 2007-11-01 2008-09-02 Terminal, method, and computer program product for registering user address information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007284751A JP5022863B2 (ja) 2007-11-01 2007-11-01 利用者のアドレス情報を登録する端末、方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2009111939A JP2009111939A (ja) 2009-05-21
JP5022863B2 true JP5022863B2 (ja) 2012-09-12

Family

ID=40588024

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007284751A Expired - Fee Related JP5022863B2 (ja) 2007-11-01 2007-11-01 利用者のアドレス情報を登録する端末、方法およびプログラム

Country Status (2)

Country Link
US (1) US8861380B2 (ja)
JP (1) JP5022863B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105337851B (zh) * 2014-07-02 2018-11-27 新华三技术有限公司 一种报文处理方法及端口扩展板

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040158735A1 (en) * 2002-10-17 2004-08-12 Enterasys Networks, Inc. System and method for IEEE 802.1X user authentication in a network entry device
US7633909B1 (en) * 2002-12-20 2009-12-15 Sprint Spectrum L.P. Method and system for providing multiple connections from a common wireless access point
JP2004336474A (ja) * 2003-05-08 2004-11-25 Hitachi Kokusai Electric Inc 通信システム、及び認証装置
JP3695538B2 (ja) * 2003-06-04 2005-09-14 日本電気株式会社 ネットワークサービス接続方法/プログラム/記録媒体/システム、アクセスポイント、無線利用者端末
US7043226B2 (en) * 2003-12-17 2006-05-09 Motorola, Inc. Variable expiration parameter of a wireless communication device based upon signal strength
JP2006033368A (ja) * 2004-07-15 2006-02-02 Ntt Docomo Tokai Inc 通信装置及び通信方法
JP2006067057A (ja) 2004-08-25 2006-03-09 Furukawa Electric Co Ltd:The ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
US7813319B2 (en) * 2005-02-04 2010-10-12 Toshiba America Research, Inc. Framework of media-independent pre-authentication
JP4578317B2 (ja) * 2005-05-13 2010-11-10 富士通株式会社 Ip電話機に関連する情報処理機器を接続するためのシステム、ip電話機、呼制御管理情報処理装置、プログラムおよび方法
JP4812339B2 (ja) 2005-06-15 2011-11-09 住友電気工業株式会社 加入者通信ネットワークにおけるアクセス制御方法、アクセス認証装置、及びアクセス認証用コンピュータプログラム
JP4150934B2 (ja) * 2005-09-14 2008-09-17 村田機械株式会社 通信端末装置及び登録サーバ
FI20060046A0 (fi) * 2006-01-19 2006-01-19 Markku Matias Rautiola Piirikytkentäisen langattoman pääsyverkon liittäminen IP-multimedia-alijärjestelmään
JP2007206851A (ja) 2006-01-31 2007-08-16 Itochu Techno-Science Corp 認証連携システム、方法及びプログラム
JP4804244B2 (ja) * 2006-07-03 2011-11-02 株式会社日立製作所 アプリケーションをフィルタリングする装置、システム及び方法
US8010801B2 (en) * 2006-11-30 2011-08-30 Broadcom Corporation Multi-data rate security architecture for network security
US20080219241A1 (en) * 2007-03-09 2008-09-11 Nokia Corporation Subscriber access authorization

Also Published As

Publication number Publication date
JP2009111939A (ja) 2009-05-21
US20090116474A1 (en) 2009-05-07
US8861380B2 (en) 2014-10-14

Similar Documents

Publication Publication Date Title
US8583794B2 (en) Apparatus, method, and computer program product for registering user address information
US9065684B2 (en) IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium
US7092385B2 (en) Policy control and billing support for call transfer in a session initiation protocol (SIP) network
KR101202671B1 (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
JP5494816B2 (ja) 通信制御装置、システム、方法及びプログラム
EP2356791B1 (en) Communication system and method
JP2014096181A (ja) 電気通信システムにおいて特権を付与してリソースを共有する方法
WO2010133458A1 (en) Network access nodes
JP2015503303A (ja) セキュリティで保護された通信システムおよび通信方法
CN103067337A (zh) 一种身份联合的方法、IdP、SP及***
JP2003318922A (ja) 無線ネットワーク接続システム、端末装置、無線アクセスポイント、リモートアクセスサーバ及び認証サーバ
EP2223496B1 (en) Method and arrangement for network roaming of corporate extension identities
US20080282331A1 (en) User Provisioning With Multi-Factor Authentication
JP2009193326A (ja) 認証システム、認証方法及びサーバ
JP2009218627A (ja) プレゼンス更新方法、電話機及びプログラム
JP5022863B2 (ja) 利用者のアドレス情報を登録する端末、方法およびプログラム
JP4373893B2 (ja) 利用者管理システム
JP2006229265A (ja) ゲートウェイシステム
KR101049635B1 (ko) 공중 무선랜과 기업 무선랜간의 로밍 서비스 제공 방법
JP2000209284A (ja) 認証装置、及び、認証方法
KR20080030346A (ko) VoIP 단말기 및 그 관리 방법
JP2002064566A (ja) 通信ネットワークにおける通信方法および通信システム
JP2008136092A (ja) 電話システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101015

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120522

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120618

R151 Written notification of patent or utility model registration

Ref document number: 5022863

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150622

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees