JP2006101346A - アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム - Google Patents

アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム Download PDF

Info

Publication number
JP2006101346A
JP2006101346A JP2004286829A JP2004286829A JP2006101346A JP 2006101346 A JP2006101346 A JP 2006101346A JP 2004286829 A JP2004286829 A JP 2004286829A JP 2004286829 A JP2004286829 A JP 2004286829A JP 2006101346 A JP2006101346 A JP 2006101346A
Authority
JP
Japan
Prior art keywords
call
user
call setup
communication terminal
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004286829A
Other languages
English (en)
Inventor
Kensuke Kusunoki
憲介 楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2004286829A priority Critical patent/JP2006101346A/ja
Publication of JP2006101346A publication Critical patent/JP2006101346A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 アクセス制御に関する管理の負担を軽減するとともに、適切な管理の実行を容易にする。
【解決手段】 呼設定の許可、不許可を決定してアクセス制御を実行するアクセス制御システムにおいて、呼設定可否情報を蓄積した呼設定可否データベース部を有する呼制御関連サーバと、呼設定の要求元または要求先となる通信端末とを備え、通信端末は、通信端末を利用するユーザが行う登録内容変更操作に応じて、呼設定可否情報を含む所定の登録内容変更要求メッセージを呼制御関連サーバに送信し、呼設定可否データベース部における呼設定可否情報の登録内容を変更させる登録内容変更要求部を有する。
【選択図】 図1

Description

本発明はアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムに関し、例えば、VoIP技術を利用するIP電話機能を搭載したパソコンでセキュリティポリシーを設定する場合などに適用して好適なものである。
従来、セキュリティーポリシーを設定する場合、URL、通信プロトコルの種類、通信相手となるコンピュータのホスト名、アドレス、ポート番号などの項目を、システム管理者が手作業で設定するのが普通である。
一方、企業内ネットワーク(プライベートネットワーク)の外部にあるモバイル端末から、インターネットおよびその他のネットワーク(NSPネットワーク)を経由して当該企業内ネットワークに接続することを可能にする技術として下記の特許文献1に記載されたものがある。
特許文献1では、NSPネットワーク内の加入者データ管理部に、企業内ネットワークへの接続を許可された正当なモバイル端末のIDなど認証用情報を蓄積しておく。企業内ネットワークにアクセスしようとする場合、モバイル端末はまず最初に、当該NSPネットワーク内に設けられたNAS(あるいは、アクセスルータ)にアクセスし、NSPネットワークとインターネットを経由して、企業内ネットワークのゲートウエイ部に接続要求を送る。具体的には、当該モバイル端末から企業内ネットワークに設けられたWebサーバなどへ送信される最初のパケットがゲートウエイ部に届いたとき、当該パケットがゲートウエイ部により接続要求として扱われる。
ゲートウエイ部が当該モバイル端末による接続要求の正当性の認証を要求する(接続認証要求を送る)と、前記NSPネットワーク内に設置されたプラットフォーム部がこの接続認証要求を受け取り、同じNSPネットワーク内に設置されている加入者データ管理部に問い合わせることで、当該認証を行う。
接続要求の正当性が認証されると、前記企業内ネットワークのゲートウエイ部は、前記モバイル端末との接続を確立するので、モバイル端末から前記Webサーバなどにアクセスすることが可能になる。このとき、企業内ネットワークのセキュリティポリシー(セキュリティ方針)に応じて、ゲートウエイ部から前記NASやモバイル端末にまで及ぶVPN(仮想プライベートネットワーク)などを形成することもできる。
特開2004−72766号公報
ところで、システム管理者が上述したように、URL、通信プロトコルの種類、通信相手となるコンピュータのホスト名、アドレス、ポート番号などの項目を、手作業で設定することによってセキュリティポリシーの設定を行うことは、管理のための負担が大きい。しかも、実際のネットワークで用いられるセキュリティポリシーは、組織が必要とするネットワークの利用法や組織内にあるリソースの量や質、組織の業務内容など各種の複雑な要因に基づいて決まるものであるため、これらの要因に変動があれば、最適なセキュリティーポリシーの設定もそれに合わせて変化させなければならず、管理の負担はさらに増大する。反対に、管理負担を軽減しようとすると、セキュリティーポリシーが最適なものから大きく外れたものとなってしまい、適切な管理を行うことができない。
前記特許文献1では、企業内ネットワークの内部で設定し管理する必要のあるセキュリティポリシーの設定方法に関して、特段、言及されてはいない。
また、特許文献1において、前記加入者データ管理部に蓄積された認証用情報(モバイル端末のIDなど)も、広い意味でのセキュリティポリシーに属するものであるとみることもできるが、モバイル端末のIDなどを加入者データ管理部に設定するための方法に関して、特許文献1には特段、言及されてはいない。したがって、特許文献1によっても、上述した管理負担を軽減することや、適切な管理を行うことが難しい。
かかる課題を解決するために、第1の本発明では、開始時に呼設定の過程を伴う通信に関し、呼設定のため呼設定の要求元となる通信端末から送信される呼設定メッセージの記述内容を、予め蓄積した呼設定可否情報と照合することによって呼設定の許可、不許可を決定してアクセス制御を実行するアクセス制御システムにおいて、(1)前記呼設定可否情報を蓄積した呼設定可否データベース部を有する呼制御関連サーバと、(2)呼設定の要求元または要求先となる通信端末とを備え、(3)当該通信端末は、当該通信端末を利用するユーザが行う登録内容変更操作に応じて、前記呼設定可否情報を含む所定の登録内容変更要求メッセージを前記呼制御関連サーバに送信し、前記呼設定可否データベース部における当該呼設定可否情報の登録内容を変更させる登録内容変更要求部を有することを特徴とする。
また、第2の本発明では、開始時に呼設定の過程を伴う通信に関し、呼設定のため呼設定の要求元となる通信端末から送信される呼設定メッセージの記述内容を、予め蓄積した呼設定可否情報と照合することによって呼設定の許可、不許可を決定してアクセス制御を実行するアクセス制御方法において、(1)呼制御関連サーバでは、呼設定可否データベース部が前記呼設定可否情報を蓄積し、(2)通信端末が、呼設定の要求元または要求先となり、(3)当該通信端末は、当該通信端末を利用するユーザが行う登録内容変更操作に応じて、前記呼設定可否情報を含む所定の登録内容変更要求メッセージを前記呼制御関連サーバに送信し、前記呼設定可否データベース部における当該呼設定可否情報の登録内容を変更させることを特徴とする。
さらに、第3の本発明では、開始時に呼設定の過程を伴う通信に関し、呼設定のため呼設定の要求元となる通信端末から送信される呼設定メッセージの記述内容を、予め蓄積した呼設定可否情報と照合することによって呼設定の許可、不許可を決定してアクセス制御を実行するアクセス制御プログラムにおいて、コンピュータに、(1)前記呼設定可否情報を蓄積した呼設定可否データベース機能を有する呼制御関連サーバ機能と、(2)呼設定の要求元または要求先となる通信端末機能とを実現させ、(3)当該通信端末機能は、当該通信端末機能を利用するユーザが行う登録内容変更操作に応じて、前記呼設定可否情報を含む所定の登録内容変更要求メッセージを前記呼制御関連サーバ機能に送信し、前記呼設定可否データベース機能における当該呼設定可否情報の登録内容を変更させる登録内容変更要求機能を有することを特徴とする。
本発明によれば、アクセス制御に関する管理の負担を軽減するとともに、適切な管理の実行を容易にすることができる。
(A)実施形態
以下、本発明にかかるアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムを、SIP(セッション・イニシエーション・プロトコル)を用いるVoIP通信システムに適用した場合を例に、実施形態について説明する。ここでのSIPには、VoIPによるリアルタイム通信のためのRTPやRTCPも含む。
(A−1)第1の実施形態の構成
本実施形態にかかるVoIP通信システム10の全体構成例を図1に示す。
図1において、当該VoIP通信システム10は、LAN(ローカル・エリア・ネットワーク)11と、インターネット(インターネット網)12とを備えている。
このうちLAN11は、ある企業ER1のために構築されたネットワークであり、当該LAN11とインターネット14のあいだにはファイアウオール14が配置されている。
LAN11の内部は、前記ファイアウオール14により、企業内ネットワーク15と、DMZ(DeMilitarized Zone)16に分けられている。DMZ16はインターネット12上からアクセス可能の公開サーバなどを設置するためのセグメントで、図示の例では、SIPバックワードプロキシサーバ(SIPリバースプロキシサーバ)17とデータベース18〜20が設置されている。一般的にDMZ16は、ファイアウオール14によって守られている点でバリアセグメントよりもセキュリティレベルが高いが、インターネット12上の通信端末(例えば、パソコン13)からアクセス可能である点で、企業内ネットワーク15よりもセキュリティレベルは低い。ただし、図1の場合、ユーザBとユーザAがVoIPによる通話を行うためには、ファイアウオール14経由でパソコン13からパソコン21にアクセスできることが必要となる。
DMZ16に設置されているSIPバックワードプロキシサーバ17には、インターネット12上のパソコン13のほか、企業内ネットワーク15に属するパソコン21,22も、ファイアウオール14経由でアクセスできる。ここで、パソコン13,21,22は、SIPソフトフォンを搭載しているものとする。SIPソフトフォンは通常のパソコンをIP電話機として利用できるようにするためのアプリケーションプログラムである。この場合、パソコン13,21,22にスピーカやマイクなどのデバイスを装備すれば、IP電話機として利用することが可能となる。パソコン13,21,22は据え置き型のパソコンであってもよく、移動性を有するノート型パソコンなどであってもよい。パソコン13はユーザBによって利用され、パソコン21はユーザAによって利用され、パソコン22はユーザCによって利用されるものとする。
IP電話で呼制御のために用いる呼制御プロトコルには様々なものがあり、例えば、ITU−T勧告H.323などを用いることも可能であるが、SIPソフトフォンは呼制御プロトコルとしてSIPを用いる。
SIPバックワードプロキシサーバ17は、いわゆるSIPサーバ(図示せず)側に配置される構成要素で、ユーザがSIPによる呼制御を受けるためには、必ず当該SIPバックワードプロキシサーバ17による処理を経なければならない。したがって、SIPバックワードプロキシサーバ17によってアクセスを拒否されたユーザは、呼の設定などを行うことができず、VoIP通信を実行することが不可能となる。
前記データベース18〜20は、SIPバックワードプロキシサーバ17によって利用される情報を登録、蓄積している。データベース18にはSIPバックワードセキュリティポリシーが登録され、データベース19にはユーザCによって登録されたバディリスト(お友達リスト)データが蓄積され、データベース20にはユーザAによって登録されたバディリストデータが蓄積されている。必要ならば、これら3つのデータベース18〜20は、物理的には、1つの情報処理装置上に実現できることは当然である。
また、ユーザAによって登録されたバディリストデータ(バディリストテーブルTB2)を図7に示す。このバディリストテーブルTB2は、ユーザAがVoIP通信による通話をすることを希望する正当なユーザのリストを登録したテーブルである。パソコン21を操作するユーザAには、パソコン21上で動作する一種のアドレス帳である所定のアプリケーションプログラム(バディリストプログラム)AP1が提供する画面として当該バディリストテーブルTB2の内容が閲覧され、認識される。バディリストテーブルTB2には、ユーザAがプレゼンス情報(例えば、通話中か否かを示す通話状態情報、在席しているか否かを示す在席状態情報、着呼時において通話の用件を示す用件情報など)を取得したいと希望する1または複数のユーザを登録する。
当該アプリケーションAP1は、前記SIPソフトフォンの一部の機能として実現することもできるし、独立したプログラムとして実現することも可能である。したがって、アプリケーションAP1は、当該バディリストテーブルTB2上の手段(例えば、図示しないデータ項目)またはバディリストテーブルTB2とは別個の手段(図示せず)で、他のユーザ(例えば、B)のプレゼンス情報をユーザAに伝える機能を有する。
他のユーザ(例えば、C)によって登録されたバディリストデータも、このバディリストテーブルTB2と同様な構造を持ち、同様の方法で閲覧される。ただし、通常、ユーザが閲覧できるのは、自身が登録したバディリストデータのみであり、他のユーザが登録したバディリストデータは閲覧できない。
図7において、前記バディリストテーブルTB2は、データ項目として、IDと、登録ユーザ(SIP−URI)と、ユーザ名とを備えている。
このうちIDは、バディリストテーブルTB2内で各行(各エントリ)を一意に識別するための識別情報である。ここで、行とは、テーブルTB2中のデータ項目を除く横の並びのことである。例えば、「1 sip:userB@… B」の行L1は1つの行である。
登録ユーザは、ユーザAによって登録された各ユーザを示す。登録ユーザの値は、そのユーザ(例えば、ユーザB)を識別するためのSIP−URIである。SIP−URIは、SIPプロトコルで宛先などを識別するために使用される識別情報である。ここに登録されたSIP−URIに対応するユーザが、ユーザAがVoIP通信による通話を行うことを希望する正当なユーザである。SIP−URIは、OSI参照モデルのアプリケーション層などに対応するSIPメッセージのレベルで使用される識別情報であるため、実装上、アプリケーションレベルで利用しやすい。このVoIP通信システム10内では、すべての正当なユーザが各ユーザに割り当てられたSIP−URIで識別される。
ユーザAがバディリストテーブルTB2に登録する登録ユーザは、通常、ユーザAが頻繁に連絡を取る必要のあるユーザや、居場所(例えば、そのユーザの移動先のIP電話機の電話番号やIPアドレスなど)を把握しておきたいユーザなどである。
ユーザ名は、各ユーザを識別するためのユーザ名を示す。人間にとって可読で各ユーザ(各社員)を識別できるあらゆる情報をユーザ名として用いることができるが、例えば、そのユーザの氏名をユーザ名としてもよい。
前記SIPバックワードセキュリティポリシー(セキュリティポリシーテーブルTB1)は例えば図8に示す通りである。前記バディリストテーブル(例えば、TB2)は、バディリストテーブルを登録するユーザごとに用意されるものであるが、当該セキュリティポリシーテーブルTB1は、全ユーザのために1つだけ用意されるテーブルである。したがって、当該セキュリティポリシーテーブルTB1には、VoIP通信システム10内の正当な全ユーザ分のセキュリティポリシーが登録される。
本来、セキュリティポリシーは、ネットワーク(ここでは、LAN11)のセキュリティを確保するための多種多様な規則を包含する広い概念であるため、セキュリティポリシーの設定には、例えば、上述したURL、通信プロトコルの種類、通信相手となるコンピュータのホスト名、アドレス、ポート番号などの項目の設定が含まれ得るが、図8の例では、呼の設定が可能なユーザの組を示すSIP−URIの組を、1つのセキュリティポリシーとしている。
図7において、当該セキュリティポリシーテーブルTB1は、データ項目として、IDと、バディリスト登録元ユーザと、バディリスト登録ユーザとを備えている。
このうちIDは、セキュリティポリシーテーブルTB1内で各行を一意に識別するための識別情報である。
バディリスト登録元ユーザは、データ項目としてのバディリスト登録ユーザを登録したユーザを示す。バディリスト登録元ユーザの値は、ユーザを識別するためのSIP−URIで登録される。
バディリスト登録ユーザは、バディリスト登録元ユーザによって登録されたユーザを示す。バディリスト登録ユーザの値は、ユーザを識別するためのSIP−URIで登録される。
例えば、セキュリティポリシーテーブルTB1の行LN1では、SIP−URIとして「userA@…」を割り当てられたユーザA(バディリスト登録元ユーザの一例)が、SIP−URIとして「userB@…」を割り当てられたユーザB(バディリスト登録ユーザの一例)を登録している。この登録に基づいて、ユーザBのパソコン13から送信された呼制御メッセージを前記SIPサーバが処理、中継することが許可されるため、ユーザBはユーザAに発呼することが可能になる。
なお、一人のバディリスト登録元ユーザが、複数のバディリスト登録ユーザを当該セキュリティポリシーテーブルTB1に登録できることは当然である。
以下、上記のような構成を有する本実施形態の動作について、図2〜図5の動作シーケンスを用いて説明する。ここでは、ユーザAとユーザAが利用するパソコン21に注目して、本実施形態の動作を説明する。
図2は、前記セキュリティポリシーテーブルTB1に行を追加するための動作シーケンスで、S10〜S14の各ステップを備えている。
図3は、前記セキュリティポリシーテーブルTB1から行を削除するための動作シーケンスで、S20〜S22の各ステップを備えている。
図4は、正当なユーザのパソコンに対し、呼制御メッセージの処理、中継を許可する場合の動作シーケンスで、S30〜S34の各ステップを備えている。
図5は、正当でないユーザのパソコンに対し、呼制御メッセージの処理、中継を拒否する場合の動作シーケンスで、S40〜S42の各ステップを備えている。
図6は、バディリストテーブルTB2に行を追加するための動作シーケンスで、S50〜S54の各ステップを備えている。本実施形態では、バディリストテーブルTB2の操作と、セキュリティポリシーテーブルTB1の操作を連携させているため、例えば、バディリストテーブルTB2に行を追加した場合には、セキュリティポリシーテーブルTB1にも行が追加される。したがって、図6中の多くのステップは、図2のステップと重複している。
(A−2)第1の実施形態の動作
図6に示すように、ユーザAがパソコン21を用いて自身のバディリストテーブルTB2に新たなユーザ(ここでは、Bとする)を登録することを要求するバディリスト登録要求メッセージを送信すると(S50)、このバディリスト登録要求メッセージを受け取ったSIPバックワードプロキシサーバ17では、当該バディリスト登録要求メッセージが到着したことをユーザBのパソコン13へ通知する(S51)。ここで、バディリストテーブルTB2に登録するということは、上述したようにユーザBのプレゼンス情報をユーザAに伝えることを意味するため、ステップS51では、伝えてよいかユーザBに許可を求めている。
ユーザBが許可しない場合、前記ステップS50のバディリスト登録要求メッセージには応じられない旨の応答メッセージをユーザAに返送するものであってよいが、ユーザBが許可した場合(S52)には、図6に示すように、バディリストテーブルTB2にユーザBに対応する行が追加され(S53)、この追加が行われた旨の応答メッセージがSIPバックワードプロキシサーバ17からユーザAのパソコン21へ届けられる(S54)。この応答メッセージがパソコン21に届いたことは、パソコン21に搭載している前記アプリケーションAP1によってユーザAに伝えられる。
図7に示した前記行L1はこのようにして追加されたものである。
なお、ステップS50,S51,S52,S54の処理で行われるメッセージの送受は、各パソコン21,13に搭載されている前記アプリケーションAP1の機能によるものである。この点は、図2〜図5でも同じである。
上述したように、バディリストテーブル(ここでは、TB2)も、セキュリティポリシーテーブルTB1もSIPバックワードプロキシサーバ17側で管理しているため、当該SIPバックワードプロキシサーバ17は、バディリストテーブルTB2に対する操作(例えば、行の追加)に連携してセキュリティポリシーテーブルTB1に対する操作(例えば、行の追加)を自動的に実行することができる。
例えば、図7に示すバディリストテーブルTB2に行L1が追加されると、それに連携して、セキュリティポリシーテーブルTB1に行LN1が追加される。この行LN1の追加を行うステップは、図2上のステップS13である。
図2において、ステップS10は前記ステップS50に対応し、ステップS11は前記ステップS51に対応し、ステップS12は前記ステップS52に対応し、ステップS14は前記ステップS54に対応するので、その詳しい説明は省略する。
ユーザAの立場からすると、一度、バディリスト登録要求メッセージを送信するだけで、バディリストテーブルTB2に対する行L1の追加と、セキュリティポリシーテーブルTB1に対する行LN1の追加を行うことができる。
また、具体的にユーザAが実行する操作の内容はユーザインタフェースの構成に応じて決まるが、例えば、前記ステップS50のバディリスト登録要求メッセージを送信する場合、自ユーザAのSIP−URIと登録ユーザBのSIP−URIがすでにアドレス帳などに記録されているものとすると、画面上で該当する対話部品(例えば、ボタン)に所定の簡単な操作(例えば、右クリックのみ)を行うだけで、パソコン21から前記ステップS10やS50のバディリスト登録要求メッセージを送信させることができる。
次に、セキュリティポリシーテーブルTB1に行LN1が追加された状態で、図4に示すように、ユーザBが利用するパソコン13からユーザAとの接続を求める接続要求メッセージが送信されたものとする(S30)。この接続要求メッセージには、ユーザB自身を指定するSIP−URI(前記「userB@…」)と、ユーザAを指定するSIP−URI(前記「userA@…」)が含まれているため、SIPバックワードプロキシサーバ17は、これらのSIP−URIの組と一致する行が前記セキュリティポリシーテーブルTB1に存在するか否かを検査する。
検査の結果、一致する行が存在しなければ、図5に示すステップS42のように、接続を拒否する旨のメッセージを返送することになるが、セキュリティポリシーテーブルTB1が図8に示す通りの状態であるものとすると、行LN1が一致するため、接続は許可され、接続要求メッセージはユーザAが利用しているパソコン21へ届けられる(S33)。ユーザAから接続を許可する旨の応答があれば(S33)、その応答の内容がパソコン13まで伝えられ(S34)、パソコン13とパソコン21のあいだに呼を設定してユーザBとユーザAがVoIPによる通話を行うことが可能となる。
なお、ステップS30で送信される接続要求メッセージなどは、呼制御メッセージと別個のメッセージとし、呼制御メッセージより前に送信されるものであってもよいが、呼制御メッセージ自体に、ユーザB自身を指定するSIP−URIと、ユーザAを指定するSIP−URIを収容しておけば、パソコン13は一度、呼制御メッセージを送信するだけでよいので簡便である。
また、セキュリティポリシーテーブルTB1の各行は、その行に登録されている2つのSIP−URIのユーザ間における双方向の発呼を許可するものであってもよいが、図8の例の場合、一方向の発呼のみを認めている。1つの行で一方向の発呼のみを許可するほうが、よりきめ細かく、セキュリティ管理を行うことができる。
図8の場合、例えば、行LN1でユーザBからユーザAへの発呼を許可し、反対に行LN3では、ユーザAからユーザBへの発呼を許可している。この場合、各ユーザ(バディリスト登録元ユーザ)は自身に電話をかけてきてもよいと判断したユーザをバディリスト登録ユーザとして登録することになる。この場合にはまた、例えば、ロケーションサーバ(図示せず)などが管理する情報をもとにユーザB(パソコン13)がLAN11の外部に移動したことを検出できた場合、セキュリティ性を高めるために外部からLAN15内への発呼を禁止(内部から外部への発呼は許可)したければ、管理者(あるいは、ユーザA)などは、セキュリティポリシーテーブルTB1上で行LN1だけを削除し、行LN3は残すようにするとよい。
ユーザAが例えば行LN1を削除しようとする場合、図3に示すように、パソコン21から削除要求メッセージを送信し(S20)、この削除要求メッセージを受け取ったSIPバックワードプロキシサーバ17が、前記セキュリティポリシーテーブルTB1上で該当する行LN1を特定したうえで、その削除を実行し(S21)、削除が完了したことを伝える削除完了通知メッセージをユーザAに返送することになる(S22)。なお、この削除要求メッセージを送信できる者は、管理者のほか、バディリスト登録元ユーザ(ここでは、ユーザA)またはバディリスト登録ユーザ(ここでは、ユーザB)に制限するとよい。
行LN1が削除された場合、ユーザBは図5の未登録ユーザUXと同様の取り扱いとなるため、削除後にユーザBがユーザAに発呼しようとしても、拒否される。
このように、各ユーザが、自身に関連するセキュリティポリシーを管理することにより、管理者の負担は大幅に軽減できるし、各ユーザの事情(上述した、組織が必要とするネットワークの利用法や組織内にあるリソースの量や質、組織の業務内容など各種の複雑な要因、およびそれら要因の変動などを含む)を最もよく知っているのはユーザ自身であるため、各ユーザにセキュリティポリシーを設定(登録)させることによって最も適切なセキュリティポリシーの設定を行うことができる可能性が高い。
また、ここで行われる呼の管理は、パソコン間の管理ではなくユーザ間の管理なので、各ユーザのプレゼンス情報が適切に管理されていれば、ユーザの移動先の電話機(移動先のパソコン)に発呼することも可能である。例えば、ユーザAがパソコン21からパソコン22へ移動し、パソコン22を利用するようになっていることがプレゼンス情報として管理されていれば、前記セキュリティポリシーテーブルTB1に基づいて、パソコン22を利用しているユーザAにユーザBから着信させることができる。さらに、このとき、セキュリティポリシーテーブルTB1の登録内容をユーザの移動に合わせて変更する必要はないことも、管理を容易なものとすることに寄与する。
前記ステップS42を含む図5は、バディリストテーブル(例えば、TB2)およびセキュリティポリシーテーブルTB1に登録されていないユーザから発呼して拒否されるケースを示したものあるが、そのステップS40は前記ステップS30に対応し、ステップS41は前記ステップS31に対応するので、その詳しい説明は省略する。
(A−3)第1の実施形態の効果
本実施形態によれば、管理負担の分散と、その管理を行うのに最も適した各ユーザ自身が管理を行うことにより、全体として管理の負担を軽減し、適切な管理の実行を容易にすることが可能となる。
また、本実施形態では、各ユーザによって登録されたバディリストテーブル(例えば、TB2)の内容が自動的にセキュリティポリシーテーブル(TB1)に反映され、不審者からの迷惑電話などを防止することができる点で、セキュリティ性や利便性の向上が可能となる。
(B)第2の実施形態
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
セキュリティポリシーテーブルTB1の登録内容の変更に直結するバディリストテーブル(例えば、TB2)の登録内容の変更は、真に、その変更を行う権限を有する正当なユーザ(TB2の場合には、ユーザA)にのみ認めるべきであるが、そのためにはユーザ認証が必要となる。第1の実施形態では用意していなかったが、本実施形態では、このようなユーザ認証を行う手段を用意したことを特徴とする。
(B−1)第2の実施形態の構成および動作
本実施形態にかかるVoIP通信システム30の全体構成例を図11に示す。
図11において、当該VoIP通信システム10は、LAN11と、インターネット12と、認証装置31とを備えている。
このうちLAN11の内部には、ファイアウオール14によって分けられた企業内ネットワーク15と、DMZ16が含まれており、DMZ16には、SIPバックワードプロキシサーバ17と、データベース18〜20が配置され、企業内ネットワーク15の内部には、パソコン21,22が配置されている。
また、インターネット12上にはパソコン13が配置されている。
さらに、SIPバックワードプロキシサーバ17には、認証装置31が接続されている。
このうち、図1と同じ符号11〜22、AP1を付与した各構成要素の機能は基本的に第1の実施形態と同じなので、その詳しい説明は省略する。
認証装置31は、バディリストテーブル(例えば、TB2)の登録内容を変更しようとしてSIPバックワードプロキシサーバ17にアクセスしてきたユーザ(例えば、ユーザA)が、真に、その変更を行う権限を有する正当なユーザであるかを検証することによってユーザ認証を実行する装置である。
認証装置31の詳細は具体的なユーザ認証の方法によって異なり、例えば、電子証明書などを用いる場合などには、第3者機関(認証機関)がLAN16の外部のインターネット12上などに設置した認証装置と連携する必要が生じることもあるが、その必要がない場合には、認証装置31の機能は例えばDMZ16の内部に配置したものだけで実現することもできる。
本実施形態では、SIP−URI自体を用いてユーザ認証を行うので、DMZ16の内部に配置したものだけで認証装置31の機能を実現することが可能である。
SIP−URI自体の正誤を確認することだけによってユーザ認証を行うようにしてもよいが、本来、SIP−URIは電子メールアドレスなどと同様、相互に通信する必要のあるユーザ間では伝え合うもので、秘匿性の高い情報ではない。このため、ユーザ認証の実効性を確保するには、暗号技術を併用すること等が必要となる。このようなケースで利用できる暗号技術には様々なものがあり得るが、一例として、公開鍵系の暗号技術を利用することもできる。
例えば、ユーザAの公開鍵BKAと、その公開鍵BKAに対応する秘密鍵RKAを用意し、秘密鍵RKAはユーザA側に、公開鍵BKAは認証装置31側に保管しておき、ユーザAがユーザ認証を受けるために自身のSIP−URIを送るときには、当該SIP−URIの値(例えば、前記「userA@…」を示す文字コードなど)と当該秘密鍵RKAの演算結果を送り、SIPバックワードプロキシサーバ17経由でこの演算結果を受信した認証装置31は、前記公開鍵BKAで当該演算結果を復号し、復号結果として得られた値が前記「userA@…」を示す文字コードに一致するか否かを確認する。一致した場合、ユーザ認証はOKとなり、一致しなかった場合には、NGとなる。公開鍵BKAに対応する秘密鍵RKAの値を知っているのはユーザAに限られるから、これによってユーザ認証の実効性を確保できる。
また、ユーザ認証を受けるため、ユーザAがパソコン21に対して行うSIP−URI等の入力操作は、ユーザインタフェースの構成に依存する。例えば、SIP−URIの値も、秘密鍵RKAの値もパソコン21に記憶させておいて必要なときに自動的に再利用させる構成とする場合には、特段、入力操作は必要ない。ただしこの場合、厳密には、ユーザの正当性を認証するユーザ認証ではなく、端末(ここでは、パソコン21)の正当性を認証する端末認証を行っていることになり、パソコン21が盗まれた場合などには、正当な権限を持たない第3者にセキュリティポリシーテーブルTB1の登録内容を変更されてしまう可能性がある。これに対し、例えば、その都度、秘密鍵RKAの値をユーザAに入力させる場合には、ユーザの正当性を認証するユーザ認証を行っていることになるので、真に正当な権限を持つユーザ(例えば、A)のみがセキュリティポリシーテーブルTB1などの登録内容の変更を行うことができる。
以下でも、ユーザAに注目して説明を進める。
本実施形態の動作シーケンスを図9,図10に示す。
図9はユーザAのユーザ認証の結果がOKとなる場合の動作シーケンスで、S60〜S66の各ステップを備えている。図10はユーザAのユーザ認証の結果がNGとなる場合の動作シーケンスで、S70〜S73の各ステップを備えている。
ここでは、ユーザAがバディリストテーブルTB2上で図7に示す行L1を追加し、それによってセキュリティポリシーテーブルTB1では、図8に示す行LN1を追加させようとするケースを想定する。
図9に示すように、ユーザAがパソコン21からそのためのバディリスト登録要求メッセージを送信する(S60)。このバディリスト登録要求メッセージには、ユーザAのSIP−URIの値と前記秘密鍵RKAの演算結果が含まれている。
SIPバックワードプロキシサーバ17は、当該バディリスト登録要求メッセージから当該演算結果を抽出して、当該演算結果を含む認証要求メッセージを前記認証装置31に送信する(S61)。この認証要求メッセージには、前記演算結果のほか、この認証要求メッセージがユーザAに関するものであることを伝える識別情報(例えば、ユーザAの平文のSIP−URI)が含まれているものであってよい。
これを受信した認証装置31は、平文のSIP−URIから、ユーザAの公開鍵BKAを特定し、当該公開鍵BKAで前記演算結果を復号する。そして、復号結果としてユーザAのSIP−URIが得られたことを確認できれば、ユーザ認証の結果はOKとなる。このあと、ユーザ認証の結果がOKであることを伝える認証応答メッセージが、認証装置31からSIPバックワードプロキシサーバ17へ送信される(S62)。なお、平文のSIP−URIをネットワーク上に伝送させることを避けるには、認証装置31とSIPバックワードプロキシサーバ17のあいだで定めた鍵で、さらに当該平文のSIP−URIなどを暗号化したうえで伝送するようにするとよい。
前記ステップS62の認証応答メッセージから、ユーザ認証の結果がOKであったことを認識したSIPバックワードプロキシサーバ17が実行するステップS63〜S66の動作は、図2と同じである。
すなわち、ステップS63は前記ステップS11に対応し、ステップS64は前記ステップS12に対応し、ステップS65は前記ステップS13に対応し、ステップS66は前記ステップS14に対応するので、その詳しい説明は省略する。
結局、認証装置31によるユーザ認証の結果がOKとなる正当な権限を持つユーザAのみが、バディリストテーブルTB2の登録内容を変更できることになる。
一方、認証装置31によるユーザ認証の結果がNGである場合、図9に示すように、認証装置31は、ユーザ認証の結果がNGであることを伝える拒否応答メッセージを返送してくるため、これを受信したSIPバックワードプロキシサーバ17は、要求されたバディリストテーブルTB2の登録内容の変更(例えば、新たな行の追加)を拒否する旨の登録拒否通知メッセージをパソコン21に送信することになる。
なお、図10において、ステップS70は前記ステップS60に対応し、ステップS71は前記ステップS61に対応するので、その詳しい説明は省略する。
ただし、ユーザ認証の結果がNGとなる以上、図10の場合、ステップS70で送信されたバディリスト登録要求メッセージに含まれる演算結果は、本来の値とは異なるものとなる。これは、SIP−URIの値と秘密鍵RKAの少なくともいずれか一方が誤っているためである。
なお、ここでは、バディリストテーブルTB2に新たな行を追加する場合について説明したが、すでにバディリストテーブルTB2に登録されている行を削除する場合など、バディリストテーブルTB2の登録内容を変更する場合にはいつでも、このようなユーザ認証を行うようにすることが望ましい。
また、バディリスト登録元ユーザ(ここでは、ユーザA)だけでなく、バディリスト登録ユーザ(ここでは、ユーザB)にも、少なくとも自身が関連する行(ここでは、行LN1)の削除などは許可する構成を取ってもよいと考えられるが、その場合、その削除を要求してきた者が真にユーザBであることを確認するためのユーザ認証が必要となる。このユーザ認証も、前記ステップS61とS62のあいだで認証装置31が実行したものと同様な処理であってよい。
なお、ユーザBからの要求に基づいてセキュリティポリシーテーブルTB1上から行LN1が削除された場合、それを反映して、バディリストテーブルTB2上で行L1が削除されるものであってよい。
(B−2)第2の実施形態の効果
本実施形態によれば、第1の実施形態の効果と同等な効果を得ることができる。
加えて、本実施形態では、セキュリティポリシーテーブル(TB1)やバディリストテーブル(例えば、TB2)の登録内容を変更するときにはユーザ認証を実行し、真に、その変更を行う権限を有する正当なユーザにのみ当該変更を許可するため、セキュリティ性が向上する。
(C)他の実施形態
上記第1、第2の実施形態にかかわらず、前記SIP−URIの代わりに、他のアプリケーションレベルの識別情報(例えば、URL、URN、電子メールアドレスなど)を用いることができる可能性がある。
なお、上記第1、第2の実施形態で1つの機能として説明したものを別個の機能に分割して別の情報処理装置に搭載してもよく、上記第1、第2の実施形態で異なる機能として説明したものを同一の情報処理装置に搭載してもよい。例えば、SIPバックワードプロキシサーバ17とデータベース18〜20を1つの情報処理装置に搭載してもよく、SIPバックワードプロキシサーバ17と前記認証装置31の機能を1つの情報処理装置に搭載してもよい。
また、上記第1、第2の実施形態で述べた機能に関する限り、必ずしもSIPバックワードプロキシサーバ17とSIPサーバの機能が別個のものである必要はない。例えば、SIPサーバの機能の一部として、上記第1、第2の実施形態で述べたSIPバックワードプロキシサーバ17の機能を実現するようにしてもよい。
さらに、上記第1、第2の実施形態では、LAN11は企業ER1のために構築されたものであったが、LAN11がどのような主体のために構築されたものであってもかまわないことは当然である。例えば、LAN11は学校などのために構築されることもあり得る。
なお、上記第1、第2の実施形態におけるパソコン(例えば、21)は、その他の通信端末(例えば、ワークステーションなど)に置換可能である。
さらにまた、上記第1、第2の実施形態で用いたネットワークの構成を変更することも可能である。例えば、セキュリティ性を高めるために、データベース18〜20は企業内ネットワーク15に配置し、SIPバックワードプロキシサーバ17はファイアウオール14経由でデータベース18〜20にアクセスする構成としてもよい。また、必要に応じて、DMZ16を省略し、すべての構成要素(例えば、17〜22)を企業内ネットワーク15の内部に配置するようにしてもよい。さらに、インターネット12は、その他のネットワーク(例えば、特定の通信事業者が運営するIP網など)に置換することも可能である。
なお、図8,図7に示すテーブルTB1,TB2は必ずしもこれらの図に示した通りの構成を持つものに限定する必要はない。図示したデータ項目を他のデータ項目と置き換えたり、図示したデータ項目に他のデータ項目を追加した構成のテーブルを用いることも可能である。
例えば、図8では、呼の設定が可能なユーザの組を示すSIP−URIの組を、1つのセキュリティポリシーとしたが、SIP−URIとともに、またはSIP−URIに替えて、その他の情報(例えば、URL、通信プロトコルの種類、通信相手となるコンピュータのホスト名、アドレス、ポート番号など)をセキュリティポリシーとしてもよい。
また、テーブルTB1,TB2のデータ項目として、該当するユーザ(登録ユーザ(バディリスト登録ユーザ))に関する前記プレゼンス情報などを設けるようにしてもよい。このようなプレゼンス情報は所定のプレゼンスシステム(図示せず)によって収集されるものである。この場合、各ユーザは例えばあるユーザに発呼しようとするとき等、パソコンの画面上に、そのユーザのプレゼンス情報を表示させることができる
さらに、上記第2の実施形態で使用するユーザ認証の方法としては様々なものを利用することが可能である。例えば、SIP−URIをユーザIDとして用いると、SIP−URIとパスワードを入力させて一般的なユーザIDとパスワードによるユーザ認証を行うこともできる。
なお、上記第1、第2の実施形態で用いた通信プロトコルは必要に応じてその他の通信プロトコルに置き換えてもよい。
例えば、IPプロトコルの代わりに、IPXプロトコルなどを用いることができる可能性がある。
また、SIPプロトコルの代わりに、前記ITU−T勧告H.323などの呼制御プロトコルを用いることができる可能性がある。
さらに、前記VoIPでは音声データの通信を行うが、音声データとともに、または音声データに替えて、その他のマルチメディアデータ(例えば、動画像データなど)を通信する場合にも、本発明は適用可能である。
また、やり取りされるデータが、音声データや動画像データのように、高度なリアルタイム性を要するものであることは、本発明の構成上、必ずしも必須ではない。
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することが可能であり、ソフトウエア的に実現した機能のほとんど全ては、ハードウエア的に実現することが可能である。
第1の実施形態にかかるVoIP通信システムの全体構成例を示す概略図である。 第1の実施形態の動作例を示すシーケンス図である。 第1の実施形態の動作例を示すシーケンス図である。 第1の実施形態の動作例を示すシーケンス図である。 第1の実施形態の動作例を示すシーケンス図である。 第1の実施形態の動作例を示すシーケンス図である。 第1および第2の実施形態で使用するバディリストテーブルの構成例を示す概略図である。 第1および第2の実施形態で使用するセキュリティポリシーテーブルの構成例を示す概略図である。 第2の実施形態の動作例を示すシーケンス図である。 第2の実施形態の動作例を示すシーケンス図である。 第2の実施形態にかかるVoIP通信システムの全体構成例を示す概略図である。
符号の説明
10…VoIP通信システム、11…LAN、12…インターネット網、13、21,22…パソコン、14…ファイアウオール、15…企業内ネットワーク、16…DMZ、17…SIPバックワードプロキシサーバ、18〜20…データベース、TB1…セキュリティポリシーテーブル、TB2…バディリストテーブル。

Claims (4)

  1. 開始時に呼設定の過程を伴う通信に関し、呼設定のため呼設定の要求元となる通信端末から送信される呼設定メッセージの記述内容を、予め蓄積した呼設定可否情報と照合することによって呼設定の許可、不許可を決定してアクセス制御を実行するアクセス制御システムにおいて、
    前記呼設定可否情報を蓄積した呼設定可否データベース部を有する呼制御関連サーバと、
    呼設定の要求元または要求先となる通信端末とを備え、
    当該通信端末は、
    当該通信端末を利用するユーザが行う登録内容変更操作に応じて、前記呼設定可否情報を含む所定の登録内容変更要求メッセージを前記呼制御関連サーバに送信し、前記呼設定可否データベース部における当該呼設定可否情報の登録内容を変更させる登録内容変更要求部を有することを特徴とするアクセス制御システム。
  2. 請求項1のアクセス制御システムにおいて、
    前記呼制御関連サーバは、
    アプリケーションレベルで前記通信端末またはユーザを一意に識別するアプリケーションレベル識別情報のうち、自呼制御関連サーバにアクセスする正当な通信端末またはユーザを示すアプリケーションレベル識別情報を蓄積したアプリケーションレベル識別情報データベース部と、
    送信元の通信端末またはユーザを示す前記アプリケーションレベル識別情報を含む登録内容変更要求メッセージが届いた場合、当該登録内容変更要求メッセージ中のアプリケーションレベル識別情報を、前記アプリケーションレベル識別情報データベース部に蓄積されたアプリケーションレベル識別情報と照合して当該登録内容変更要求メッセージの送信元の通信端末またはユーザの正当性を検証する認証実行部とを備えたことを特徴とするアクセス制御システム。
  3. 開始時に呼設定の過程を伴う通信に関し、呼設定のため呼設定の要求元となる通信端末から送信される呼設定メッセージの記述内容を、予め蓄積した呼設定可否情報と照合することによって呼設定の許可、不許可を決定してアクセス制御を実行するアクセス制御方法において、
    呼制御関連サーバでは、呼設定可否データベース部が前記呼設定可否情報を蓄積し、
    通信端末が、呼設定の要求元または要求先となり、
    当該通信端末は、
    当該通信端末を利用するユーザが行う登録内容変更操作に応じて、前記呼設定可否情報を含む所定の登録内容変更要求メッセージを前記呼制御関連サーバに送信し、前記呼設定可否データベース部における当該呼設定可否情報の登録内容を変更させることを特徴とするアクセス制御方法。
  4. 開始時に呼設定の過程を伴う通信に関し、呼設定のため呼設定の要求元となる通信端末から送信される呼設定メッセージの記述内容を、予め蓄積した呼設定可否情報と照合することによって呼設定の許可、不許可を決定してアクセス制御を実行するアクセス制御プログラムにおいて、コンピュータに、
    前記呼設定可否情報を蓄積した呼設定可否データベース機能を有する呼制御関連サーバ機能と、
    呼設定の要求元または要求先となる通信端末機能とを実現させ、
    当該通信端末機能は、
    当該通信端末機能を利用するユーザが行う登録内容変更操作に応じて、前記呼設定可否情報を含む所定の登録内容変更要求メッセージを前記呼制御関連サーバ機能に送信し、前記呼設定可否データベース機能における当該呼設定可否情報の登録内容を変更させる登録内容変更要求機能を有することを特徴とするアクセス制御プログラム。
JP2004286829A 2004-09-30 2004-09-30 アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム Pending JP2006101346A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004286829A JP2006101346A (ja) 2004-09-30 2004-09-30 アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004286829A JP2006101346A (ja) 2004-09-30 2004-09-30 アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム

Publications (1)

Publication Number Publication Date
JP2006101346A true JP2006101346A (ja) 2006-04-13

Family

ID=36240714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004286829A Pending JP2006101346A (ja) 2004-09-30 2004-09-30 アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム

Country Status (1)

Country Link
JP (1) JP2006101346A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009027652A (ja) * 2007-07-23 2009-02-05 Nippon Telegr & Teleph Corp <Ntt> 接続制御システム、接続制御方法、接続制御プログラムおよび中継装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009027652A (ja) * 2007-07-23 2009-02-05 Nippon Telegr & Teleph Corp <Ntt> 接続制御システム、接続制御方法、接続制御プログラムおよび中継装置

Similar Documents

Publication Publication Date Title
US11399044B2 (en) System and method for connecting a communication to a client
US9648006B2 (en) System and method for communicating with a client application
US7334254B1 (en) Business-to-business security integration
US8578465B2 (en) Token-based control of permitted sub-sessions for online collaborative computing sessions
US11196739B2 (en) Authorization activation
US8024785B2 (en) Method and data processing system for intercepting communication between a client and a service
US8176525B2 (en) Method and system for trusted contextual communications
US9065684B2 (en) IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium
US20120185929A1 (en) Incorporating network connection security levels into firewall rules
WO2006105095A2 (en) Video communication call authorization
EP1909430A1 (en) Access authorization system of communication network and method thereof
JP2006295673A (ja) 通話システム、代理ダイヤルサーバ装置及びそれらに用いる代理ダイヤル方法並びにそのプログラム
US20150281234A1 (en) Systems, Methods, and Computer Program Products for Third Party Authentication in Communication Services
US20110099291A1 (en) Address Couplet Communication Filtering
Keromytis Voice over IP: Risks, threats and vulnerabilities
Keromytis Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research
Wang et al. Voice pharming attack and the trust of VoIP
US7356697B2 (en) System and method for authentication to an application
Phithakkitnukoon et al. Voip security—attacks and solutions
JP2006101346A (ja) アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
CN110933016B (zh) 呼叫中心系统的登录认证方法和装置
JP2005222100A (ja) クライアントサーバシステム、サーバ装置及び通信制御方法
JP2002278930A (ja) 認証システム、および認証サーバ
JP2014010554A (ja) ユーザ認証システム
JP2005227993A (ja) ネットワークシステムのアクセス認証方法