JP2010166410A - Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム - Google Patents

Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム Download PDF

Info

Publication number
JP2010166410A
JP2010166410A JP2009008076A JP2009008076A JP2010166410A JP 2010166410 A JP2010166410 A JP 2010166410A JP 2009008076 A JP2009008076 A JP 2009008076A JP 2009008076 A JP2009008076 A JP 2009008076A JP 2010166410 A JP2010166410 A JP 2010166410A
Authority
JP
Japan
Prior art keywords
telephone
server
vpn
unit
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009008076A
Other languages
English (en)
Other versions
JP5367386B2 (ja
Inventor
Yoshimichi Tanizawa
佳道 谷澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2009008076A priority Critical patent/JP5367386B2/ja
Publication of JP2010166410A publication Critical patent/JP2010166410A/ja
Application granted granted Critical
Publication of JP5367386B2 publication Critical patent/JP5367386B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】 IP電話端末をIP電話サーバに登録して利用するための初期設定を簡単に行うことができ、動的に設定変更することができるようにする。
【解決手段】 IP電話端末がVPNサーバに対して利用者情報の認証を要求すると、VPNサーバはこれを認証してIP電話サーバの情報を通知する。またVPNサーバはIP電話サーバに対しても認証された利用者情報を通知する。IP電話端末が、VPNサーバから通知された情報を元にIP電話サーバに対して利用者情報に対するアドレス登録を要求する。これに応じてIP電話サーバは、VPNサーバから通知された利用者情報に対するアドレス登録要求であると判断した場合、該アドレス登録のための認証の処理を省略する。
【選択図】図1

Description

本発明は、企業用IP電話システムにおいて、SOHO(small office home office; 小規模事業所、個人事業所)などの遠隔地に設置されたIP電話端末の、本社サーバシステムへの接続制御に関する。
SOHOなどの遠隔地に設置されたIP(インターネットプロトコル)端末と、本社に設置されたIPシステムとを接続するためには、IPsecなどのVPN(仮想プライベートネットワーク)技術が用いられる。VPN技術の一つであるIPsecは、IETFによって標準化されたプロトコルであり、異なる二つのIPネットワークを、あたかも直接接続された一つのIPネットワークであるかのように扱う技術である。IPsecなどのプロトコルを利用してVPNを構築するためには、SOHOなどの遠隔地に設置されるVPN対応クライアント機器と、本社に設置されるVPNサーバとの間で、機器の認証と、利用者の認証を行う必要がある。
一方、IP電話端末を使って、電話を着信したり発信したりして利用するためには、IP電話サーバに登録することが必要である。IETFのRFC3261で標準化されたSIPは、IP電話端末を使った電話の発着信や登録のためのプロトコルを定義している。RFC3261によると、IP電話端末を利用する際には、IP電話端末は、IP電話サーバに対して、SIP Register Requestというアドレス登録要求メッセージを送信し、IP電話サーバから200 OK Responseというアドレス登録完了メッセージを受信することになる。ここでIP電話サーバは、IP電話端末の利用者(IP電話端末が利用するアドレス)を認証することができる。
以上により、SOHOなどの遠隔地に設置されたIP電話端末を、本社のIPシステムに接続されるIP電話サーバに登録して利用するためには、(1)SOHOに設置されるVPN対応クライアント機器と本社に設置あれるVPNサーバとの間の機器の認証および利用者の認証と、(2)SOHOに設置されるIP電話端末と本社に設置されるIP電話サーバとの間の利用者のアドレス登録認証、という複数の認証が必要であり、それぞれ、IPsecプロトコルおよび、SIPプロトコルを利用して行われる。
例えば下記特許文献1には、IP電話端末のテンキーなど、電話もしくは電話に類似したGUIを使って、通信相手のネットワークとの間で容易にサイト間接続のVPNを確立する手法について記載されているが、この技術は、VPNの認証処理と、IP電話アドレス登録のための認証処理とを関連付けるものでは無い。
また下記特許文献2には、VPNなどの設定に必要な初期設定情報をサーバで一括管理し、機器の初期設定操作を簡素化する手法について記載されているが、IP電話サーバにおけるアドレス登録処理との連携やサーバの選択処理などについては記載されていない。
特開2006−50006公報 特開2003−87424公報
上述したように、SOHOなどの遠隔地に設置されたIP電話端末を本社のIPシステムに接続されるIP電話サーバに登録して利用するためには、例えばIPsecプロトコルおよびSIPプロトコルをそれぞれ利用して行う複数の認証が必要となる。このように複数の認証を行うことは、本社システムの負荷や帯域リソース消費の面から、本社システムにとってデメリットがあり、また、二度の認証操作を行う繁雑さを伴う点で利用者の操作性にもデメリットがある。
また、VPN(IPsec)、SIPの両プロトコルとも、初期設定が必要であることから、SOHO環境の機器の初期設定が繁雑である。さらにこれら初期設定は、本社システムの運用の都合や障害によって動的に変更される可能性があるが、SOHOに設置されたIP電話端末などの機器はこれらの動的な設定変更に追従することができない。
本発明はかかる事情を考慮してなされたものであり、その目的は、IP電話端末をIP電話サーバに登録して利用するための初期設定を簡単に行うことができ、動的に設定変更することができるようにすることである。また、IP電話端末をIP電話サーバに登録して利用する際のシステムリソース消費を削減し、且つユーザ操作を簡略化することである。
本発明の一観点に係るIP電話端末装置は、利用者を識別する利用者情報を格納する利用者情報格納部と、VPNクライアント機能を提供するVPNクライアント部と、IP電話アドレス機能を提供するIP電話機能部と、前記VPNクライアント機能および前記IP電話アドレス機能に関する設定情報を格納する設定情報格納部と、(1)前記利用者情報格納部に格納された利用者情報を用いてVPN認証を実行し、(2)前記VPN認証を行う際に前記IP電話アドレス機能の設定情報を取得して前記設定情報格納部に格納し、(3)前記設定情報格納部に格納されたIPアドレス機能の設定情報と、前記利用者情報格納部に格納された利用者情報を用いてIP電話アドレス登録機能を実行する制御部と、を具備することを特徴とする。
本発明によれば、IP電話端末をIP電話サーバに登録して利用するための初期設定を簡単に行うことができ、動的に設定変更することができるようになる。
具体的には、
(1)SOHOにおいてIP電話端末を利用する利用者の操作および必要な初期設定が簡略化できる。
(2)SOHOに設置されるIP電話端末を収容するIP電話システムにおいて、IP電話サーバの設定柔軟性が増す。具体的には、動的な設定変更が容易となる。
さらに、本発明によれば、
(3)SOHOに設置されるIP電話端末を収容するIP電話システムにおいて、IP電話端末収容の際に発生するシステム負荷、使用する帯域リソースを削減できるという効果もある。
本発明の一実施形態に係るIP電話システムの一例を示す図 IP電話端末の構成例を示す図 VPNサーバの構成例を示す図 IP電話サーバの構成例を示す図 IP電話端末の接続シーケンスの一例を示す図 IP電話サーバの設定情報を運ぶISAKMPパケットの一例を示す図 第2の実施形態に係る再接続シーケンスの一例を示す図 IP電話サーバの設定情報を運ぶISAKMPパケットの別の例を示す図 第3の実施形態に係るVPNサーバの構成例を示す図 第3の実施形態に係るIP電話サーバの構成例を示す図 終了シーケンスの一例を示す図
本発明の実施形態は、IP電話端末をIP電話サーバに登録して利用するための初期設定を簡単に行うことができ、動的に設定変更するような場合であっても追従可能にするため、例えば以下のアプローチを採用する。
(1)IP電話端末にVPNクライアント機能を内蔵させる。
(2)利用者がひとたびIP電話端末に対してログイン操作を行うとVPN接続の利用者認証およびIP電話アドレス登録認証の両方が完了するよう、IP電話端末の制御を行う。
(3)本社のVPNサーバは、VPN接続認証完了時に、IP電話端末に対してIP電話アドレス登録を行うIP電話サーバのアドレスと、登録のために必要な設定情報を通知する。
(4)IP電話サーバは、IP電話端末のアドレス登録認証を行う際、VPN接続認証の結果を参照し、対応する利用者のVPN接続認証が正しく完了している場合、該当のアドレス登録認証の手続きを省略する。
以下、図面を参照しながら本発明の実施形態について詳細に説明する。
図1は、本発明の一実施形態系に係るIP電話システムを示す図である。本社2は、企業において基幹となるシステムが運用される拠点である。ここでは具体的には、VPNサーバ6、IP電話サーバ8を本社社内LAN7によって接続する形態を示す。VPNサーバ6、IP電話サーバ8は複数存在してもよい。
支社/SOHO(以下「SOHO」と記す)1は、少数の利用者が利用する、本社2とは別の拠点である。基幹となるシステムを利用するため、本社2にネットワーク接続することが必須となる。ここでは具体的には、IP電話端末4とモデム5を有する。これ以外にもPC(パーソナルコンピュータ)などが接続されていても良い。インターネット(Internet)3は、本社2とSOHO1を接続するネットワークの一例として示される。IP電話端末4は、SOHO1の利用者に対して、IP電話機能を提供する端末である。具体的には、SIPプロトコルを利用したSIP UAとして動作する。本実施形態においてはIP電話端末4はさらに、VPNクライアント機器としても動作する。具体的にはIPsecクライアントである。IP電話端末4を利用する際には、利用者は、IP電話端末4に対してログイン操作を行う。これは具体的にはユーザ名とパスワードの入力である。モデム5は、SOHO1の機器をインターネット3に接続するために利用する機器である。
VPNサーバ6は、SOHO1のVPNクライアント機器からの接続を受け付けて、該VPNクライアント機器を仮想的に本社社内LAN7に接続させる機能を提供する。具体的にはIPsecのサーバ機能を提供する。VPNクライアント機器の接続形態は、「リモートアクセスVPN」であり、このため接続時にはPSK(Pre Shared Key)による機器の認証に加え、IPsecの拡張機能であるXAUTHを利用し、ユーザ名/パスワードによる利用者の認証も行う。本社社内LAN7は、利用者にIPサービスを提供するIPネットワークである。(図示されない)各種のIPサービスが提供されても良い。
IP電話サーバ8は、IP電話端末4がIP電話機能を利用するための呼処理サービスを提供するサーバである。具体的にはSIPプロトコルを利用したSIP Proxy,SIP Registrar,SIP Register Serverとして動作する。IP電話端末4のアドレス登録をする際は、標準化された手順に従って、WWW−Authenticateによる登録アドレスのダイジェスト認証を行う。
(第1の実施形態)
以下、本発明の第1の実施形態について述べる。先ず、図2を参照してIP電話端末4の構成について述べる。IP電話端末4は、制御部40、UI部43、VPNクライアント部44、IP電話機能部45、通信部46を有する。
制御部40は、VPNクライアント部44、IP電話機能部45、通信部46、UI部43を制御するものである。制御部40はさらに、利用者情報41、設定情報42を保持する。利用者情報41とは、利用者がIP電話端末4の機能を利用する際に必要となるユーザ名やアドレスやパスワードに相当する情報であり、VPNクライアント部44、IP電話機能部45によって共通に利用される。設定情報42は、VPNクライアント部44の設定情報と、IP電話機能部45の設定情報を有する。IP電話機能部45の設定情報は、VPNクライアント部44によって動的に設定され得る。これらの情報は、利用者によってUI部43を介して入力される他、VPNクライアント部44、IP電話機能部45、通信部46からも設定される。
UI部43は、IP電話端末4の利用者に対して操作インタフェースおよび出力インタフェースを提供するものである。具体的には、IP電話機能のための入力インタフェース(テンキーや、機能キーなど)、受話器やヘッドセット(マイク/スピーカー)、状態を表示するためのLCDやLEDなどから構成される。VPNクライアント部44は、本社2のVPNサーバ6との間でIPsecを用いたVPN接続を確立するものである。具体的には、VPNサーバ6との間でIPsecのIKE Tunnel Modeを実行する。これにより、IP電話端末4は仮想的に本社社内LAN7に接続される。IP電話機能部45は、本社2のIP電話サーバ8との間でSIPメッセージを交換することでIP電話機能を提供するSIP UAである。またIP電話の音声など、メディアデータの処理も行う。通信部46は、モデム5を介したインターネット3との通信、本社2のVPNサーバ6またはIP電話サーバ8との間の通信を行うネットワークインタフェース機能である。
次に、図3を参照してVPNサーバ6の構成について述べる。VPNサーバ6は、VPN処理部60、VPN認証部61、VPN認証結果通知部62、IP電話サーバ通信部63、IP電話サーバの負荷/設定/障害情報取得部64、IP電話サーバ情報保持部65、IP電話サーバ選択部66、IP電話端末通信部67を有する。
VPN処理部60は、IP電話端末4に対してVPNサービスを提供するものである。VPN認証部61は、IP電話端末4からのVPN接続認証要求を受け、VPN接続認証処理を実行するものである。VPN認証とは、IKEにおける認証(PSK:Pre Shared Key認証)と、XAUTHを用いたユーザ名とパスワードによる認証を含む。VPN認証結果通知部62は、VPN認証部61によって実行されたVPN接続認証の結果をIP電話サーバ8に通知するものである。IP電話サーバ通信部63は、IP電話サーバ8との通信に利用されるネットワークインタフェースである。IP電話サーバの負荷/設定/障害情報取得部64は、IP電話サーバ8との通信によって、IP電話サーバ8の負荷/設定/障害の情報を取得するものである。IP電話サーバ情報保持部65は、IP電話サーバ8から取得した負荷/設定/障害の情報を格納保持するものである。IP電話サーバ選択部66は、IP電話サーバ情報保持部65に格納保持された複数のIP電話サーバ8の情報を元に、IP電話端末4が利用すべきIP電話サーバ8を決定して選択するものである。IP電話端末通信部67は、IP電話端末4との通信に利用されるネットワークインタフェースである。
次に、図4を参照してIP電話サーバ8の構成について述べる。IP電話サーバ8は、負荷/設定/障害情報提供部80、VPNサーバ通信部81、VPN認証結果情報取得部82、VPN情報保持部83、IP電話アドレス登録認証部84、IP電話端末通信部85、呼処理サービス提供部86を有する。
負荷/設定/障害情報提供部80は、VPNサーバ6との通信によって、IP電話サーバ8の負荷/設定/障害の情報を提供するものである。VPNサーバ通信部81は、VPNサーバ6との通信に利用されるネットワークインタフェースである。VPN認証結果情報取得部82は、VPN認証部61によって実行されたVPN接続認証の結果をVPNサーバ6から取得するものである。VPN情報保持部83は、VPNサーバ6から取得した、VPN接続認証の結果を格納保持するものである。IP電話アドレス登録認証部84は、IP電話端末4からのアドレス登録認証要求を受けて、IP電話アドレス登録認証処理を実行するものである。IP電話端末通信部85は、IP電話端末4との通信に利用されるネットワークインタフェースである。呼処理サービス提供部86は、アドレス登録を行ったIP電話端末4に対して呼処理サービスを提供するSIP Proxyである。
次に、図5を参照してIP電話端末4の接続シーケンスを説明する。
(0)接続シーケンスの実行に先立ち、本社社内LAN7に接続されるVPNサーバ6は、同じく本社社内LAN7に接続される複数のIP電話サーバ8から、事前にあるいは動的に、設定/負荷/障害情報を収集している。
具体的には、IP電話サーバ8の設定/負荷/障害情報提供部80が、自身の設定/負荷/障害情報をVPNサーバ通信部81を介してVPNサーバ6に送信する。VPNサーバ6では、IP電話サーバ通信部63を介して、IP電話サーバの設定/負荷/障害情報取得部64がこれら情報を取得し、IP電話サーバ情報保持部65に保持格納している。
なお、IP電話サーバ8とVPNサーバ6との間の情報交換は、事前に設定された共有鍵情報を利用するなど何らかの方法によって保護されていることを仮定している。
(1)SOHO1において、利用者がIP電話端末4に対してログイン手続を実行する。
これは、ユーザ名とパスワードの入力などに相当する。IP電話端末4はUI部43を介してこれらの情報を制御部40の利用者情報41として格納する。なお、制御部40における設定情報42として、VPNサーバ6との間の接続認証に必要な情報は、予め利用者、もしくはSOHOやIP電話端末の保守者によって設定されているものとする。ただし、IP電話サーバ8との間のアドレス登録認証に必要な情報は、この時点では格納されている必要は無い。
(2)IP電話端末4のVPNクライアント部44は、制御部40の制御によりVPNサーバ6との間でVPN接続認証の実行を開始する。
具体的には、VPNクライアント部44は、制御部40の設定情報42に格納されているVPNサーバ6のアドレスや、PSK(Pre Shared Key)情報、あるいはIPsecのモード設定や認証アルゴリズム設定などを参照し、IPsecの設定情報として取得する。また、制御部40の利用者情報41に格納されている利用者のユーザ名とパスワードを、XAUTHによるユーザ名とパスワードによる認証に用いるために参照して取得する。VPNクライアント部44は、これら取得したVPN関連情報を元に、通信部46を介してVPNサーバ6に対しIPsec IKE Tunnel ModeによるVPN確立要求を送信する。
VPNサーバ6は、これらの要求を、IP電話端末通信部85を介してVPN認証部61にて受け付ける。以下、VPNサーバ6は、IP電話端末4のPSK認証および利用者のXAUTH認証を含むVPN確立のための処理を実行し、IP電話端末4との間でIKE通信を繰り返してIPsec SAを確立する。
IPsec SAが確立された時点で、IP電話端末4は、VPNサーバ6によって、仮想的に本社社内LAN7に格納され、インターネット3を介してSOHO1と本社2を接続するVPNトンネルが確立されたことになる。なお、以後VPNトンネルを介した通信は、VPNサーバ6のVPN処理部60によってメッセージが転送されることによって実現される。
(3)上記(2)のシーケンスの最後の段階で、VPNサーバ6はIP電話端末4に対して、IP電話アドレス登録のための設定情報を通知する。
具体的には、VPNサーバ6のIP電話サーバ選択部66が、IP電話サーバ情報保持部65から、保持格納されている複数のIP電話サーバ8の設定/負荷/障害情報を参照し、ある基準に従って、IP電話サーバ8を選択し、そのIP電話サーバ8の設定情報を、VPN認証部61に通知する。VPN認証部61は、IP電話サーバ選択部66によって選択されたIP電話サーバ8の設定情報を、上記(2)のシーケンスの一部(後述)として、IP電話端末通信部67を介してIP電話端末4に送信する。
IP電話サーバ選択部66が、IP電話サーバ8を選択する基準については、特に限定しない。例えば、現在接続しているIP電話端末4の数が最も少ないIP電話サーバ8を選択する方法や、現在のCPU負荷が最も小さいIP電話サーバ8を選択する方法などが考えられる。
IP電話サーバ8の設定情報とは、IP電話サーバ8のIPアドレスと、SIP URIとして利用すべきドメイン名その他、SIPのプロトコルに関する各種タイマーなどである。
IP電話サーバ8の設定情報を通知するメッセージについて以下に説明する。
VPNサーバ6とIP電話端末4は、VPN接続を確立するためにISAKMPというパケットを複数回交換する。VPNサーバ6がIP電話端末4に送信するISAKMPパケットのうち、IPsec SAで利用することを受諾したIPsec SA Proposal,HASH,NONCEをそれぞれペイロードとして含むISAKMPパケットを拡張利用する。具体的には、本ISAKMPパケットに、IP電話サーバ8の設定情報を通知するためのNotificationペイロードをさらに追加して、VPNサーバ6からIP電話端末4に送信する。図6に具体的なパケットの構成例を示す。なお、上述のパケットは、上記(2)のシーケンスの中で交換されるメッセージのうちの一つであり、その一部を拡張してIP電話サーバ8の設定情報を追加しているものである。
IP電話端末4のVPNクライアント部44は、通信部46を介してISAKMPパケットを受信し、NotificationペイロードからIP電話サーバ8の設定情報を取得する。この取得されたIP電話サーバ8の設定情報は制御部40において、設定情報42として保持格納される。
(4)IP電話端末4とVPNサーバ6の間でVPN接続認証が完了すると、VPNサーバ6のVPN認証結果通知部62は、VPN接続認証におけるXAUTHによって認証されたユーザの情報を、IP電話サーバ通信部63を介してIP電話サーバ8に通知する。IP電話サーバ8のVPN認証結果情報取得部82は、VPNサーバ通信部81を介してVPN接続認証によって認証されたユーザの情報を取得して、VPN情報保持部83に保持格納する。
(5)上記(2)によってVPN接続認証が正しく完了すると、IP電話端末4は、VPNサーバ6によって、仮想的に本社社内LAN7に格納され、インターネット3を介してSOHO1と本社2を接続するVPNトンネルが確立されたことになる。また、IP電話端末4は、上記(3)によって、IP電話アドレス登録を実行するためのIP電話サーバ8の設定情報を既に制御部40の設定情報42に保持格納している。
IP電話端末4のIP電話機能部45は、制御部40の設定情報42に保持格納されたIP電話サーバ8のIPアドレスと、SIP URIとして利用すべきドメイン名その他、SIPのプロトコルに関する各種タイマーなどを参照し、また制御部40の利用者情報41に保持格納された利用者のユーザ名を参照し、VPNサーバ6によって選択されたIP電話サーバ8に対するSIPアドレス登録要求を作成し、通信部46を介して送信する。これは、SIP Register Requestメッセージの送信に相当する。なお、登録を要求するSIPアドレスは、例えば、制御部40の利用者情報41に格納されたユーザ名と制御部40の設定情報42に格納されたドメイン名を「@」で接続することで作成するものとする。
IP電話サーバ8のIP電話アドレス登録認証部84は、IP電話端末通信部85を介してIP電話端末4からのSIPアドレス登録要求を受け付ける。
従来であれば、IP電話サーバ8は、SIPアドレス登録の認証を行うため、IP電話端末に401 Unauthorized Responseメッセージを送信して、RFC3261によって定められたSIPの標準認証の仕組みに従ったダイジェスト認証を開始する。一方、本実施形態においては、まずIP電話アドレス登録認証部84が、(XAUTHによって)VPN接続認証が完了しているユーザ名のリストをVPN情報保持部83から参照する。IP電話アドレス登録認証部84は、SIPアドレス登録要求を送信してきたIP電話端末4の利用者アドレスのユーザパート(「@」で区切られた前半の部分)と、VPN情報保持部83に格納されているユーザ名とが一致した場合、すでに該当ユーザがVPNサーバ6によって正しく認証されていると判断する。従って、従来の方法のようにIP電話端末に対して401 Unauthorized Responseメッセージを送信せず、200 OK Responseメッセージを送信し、SIPアドレス登録認証を省略してSIPアドレス登録を実行する。
IP電話端末4のIP電話機能部45は、通信部46を介して200 OK Responseメッセージを受信し、利用者のアドレス登録が完了したことを識別して、本状況をUI部43を介して利用者に表示する。
上述のシーケンスによって、
(1)SOHO1においてIP電話端末4を利用するために必要な操作および必要な初期設定が簡略化される。具体的には、利用者は、IP電話端末4に対して一度のログイン操作を実行するだけでよく、そのときに入力されたユーザ名およびパスワードがVPN接続認証とSIPアドレス登録認証の双方に利用される。
(2)SOHO1に設置されるIP電話端末4を収容するIP電話システムにおいて、IP電話サーバ8の設定柔軟性が増す。より具体的には、IP電話端末4に事前にIP電話サーバ8の設定を行っておく必要が無くなり、VPN接続認証を実行する際に、IP電話端末4にIP電話サーバ8の設定情報を通知して設定利用させることができるようになる。
(3)SOHO1に設置されるIP電話端末4を収容するIP電話システムにおいて、IP電話端末4収容の際に発生するシステム負荷や、使用する帯域リソースが削減される。具体的には、SIPアドレス登録を行う際に必要なダイジェスト認証処理が省略され、その分、IP電話サーバ8の処理負荷が減少し、IP電話端末4とIP電話サーバ8との間でのSIPアドレス登録認証に要するSIPメッセージ交換に相当する帯域リソースが空くことになる。
なお、VPNサーバ6とIP電話サーバ8との間で交換されるIPsec VPNにおけるISAKMPパケットが本実施形態に従い1箇所拡張されるが、これによる影響は軽微である。
なお、本実施形態において、IP電話端末4のVPNクライアント部44は、VPNルータ機能を提供してもよい。すなわち、SOHO1において、IP電話端末4を介して(PCなどの)その他のIP(インターネットプロトコル)機器をインターネット3を介して本社社内LAN7に接続可能とする構成としてもよい。この場合、IP電話端末4は、複数のIP機器を接続する物理ポートと、該物理ポートに接続されたIP機器に対してVPNルータ機能を提供するVPNルータ部とを有する。
(第2の実施形態)
以下、本発明の第2の実施形態について述べる。図7を参照して、現在、IP電話端末4がアドレス登録しているIP電話サーバ8に障害あるいは過負荷が発生し、IP電話端末4が正常動作中の異なるIP電話サーバ8に対して、アドレス登録を要求する際のシーケンスすなわち再接続シーケンスについて説明する。
(0)第1の実施形態と同様、シーケンスの実行に先立ち、本社社内LAN7に接続されるVPNサーバ6は、同様に本社社内LAN7に接続される複数のIP電話サーバ8から、動的に、設定/負荷/障害情報を収集している。
具体的には、IP電話サーバ8の設定/負荷/障害情報提供部80が、自身の設定/負荷/障害情報を、VPNサーバ通信部81を介してVPNサーバ6に送信する。VPNサーバ6は、IP電話サーバ通信部63を介して、IP電話サーバの設定/負荷/障害情報取得部64によってこれら情報を取得し、IP電話サーバ情報保持部65に保持格納している。
(1)VPNサーバ6は、IP電話サーバ情報保持部65に保持格納されたIP電話サーバ8の障害情報から、あるIP電話サーバ8が障害あるいは過負荷状態にあることを識別する。このとき、VPNサーバ6のIP電話サーバ選択部66は、障害あるいは過負荷が発生したIP電話サーバ8に接続しているIP電話端末4と、そのIP電話端末4が、障害あるいは過負荷が発生したIP電話サーバ8の代替サーバとして接続されるべきIP電話サーバ8を選択する。
IP電話サーバ選択部66がIP電話サーバ8を選択する基準については、特に限定しない。例えば、現在接続しているIP電話端末4の数が最も少ないIP電話サーバ8を選択する方法や、現在のCPU負荷が最も小さいIP電話サーバ8を選択する方法などが考えられる。
IP電話サーバ選択部66が選択したIP電話サーバ8の設定情報は、VPN認証部61に通知される。VPN認証部61は、IP電話サーバ選択部66によって選択されたIP電話サーバ8の設定情報を、IP電話端末通信部67を介してIP電話端末4に送信する。
IP電話サーバ8の設定情報とは、IP電話サーバ8のIPアドレスと、SIP URIとして利用すべきドメイン名その他、SIPのプロトコルに関する各種タイマーなどである。
IP電話サーバ8の設定情報を通知するメッセージについて、以下に具体的に示す。VPNサーバ6と、IP電話サーバ8は、既にVPN接続を確立しており、ISAKMP Information Exchangesという方法によって、VPNサーバ6からIP電話端末4宛にデータを送信できる。図8に具体的なパケットの構成を示す。ここで、Notificationペイロードとして、IP電話サーバ8の設定情報を運ぶ。
IP電話端末4のVPNクライアント部44は、通信部46を介してISAKMPパケットを受信し、Notificationペイロードから、現在接続しているIP電話サーバ8に障害あるいは過負荷が発生していると判断し、その代替のIP電話サーバ8の設定情報を取得して、制御部40の設定情報42に保持格納する。
(2)IP電話端末4のIP電話機能部45は、制御部40の設定情報42に代替のIP電話サーバ8の設定情報が保持格納されると、その代替のIP電話サーバ8に対してSIPアドレス登録要求を行う準備をする。
具体的には、制御部40の設定情報42に保持格納されたIP電話サーバ8のIPアドレスと、SIP URIとして利用すべきドメイン名その他、SIPのプロトコルに関する各種タイマーなどを参照し、また、制御部40の利用者情報41に保持格納された利用者のユーザ名を参照し、VPNサーバ6によって代替のIP電話サーバ8として選択されたIP電話サーバ8に対するSIPアドレス登録要求を作成し、通信部46を介して、該当の代替IP電話サーバ8に対して送信する。これは、SIP Register Requestメッセージの送信に相当する。なお、登録を要求するSIPアドレスは、例えば、制御部40の利用者情報41に格納されたユーザ名と制御部40の設定情報42に格納されたドメイン名を「@」で接続することで作成するものとする。
IP電話サーバ8のIP電話アドレス登録認証部84は、IP電話端末通信部85を介してIP電話端末4からのSIPアドレス登録要求を受け付ける。以後の処理は、第1の実施形態で説明したシーケンス(5)と同様である。
(第3の実施形態)
以下、本発明の第3の実施形態について述べる。図9および図10に、第3の実施形態に係るVPNサーバ6の構成とIP電話サーバ8の構成を示す。第1又は第2の実施形態と相違しているのは、第3の実施形態が図9のVPNサーバ6の構成におけるIP電話端末アドレス登録認証情報取得部69、および図10のIP電話サーバ8の構成におけるIP電話端末アドレス登録認証情報通知部87を備えている点である。
IP電話サーバ8の構成におけるIP電話端末アドレス登録認証情報通知部87は、IP電話サーバ8において、あるユーザのアドレス認証期間が終了したことを、IPアドレス登録認証部84より取得し、これをVPNサーバ通信部81を介してVPNサーバ6に通知するものである。VPNサーバ6の構成におけるIP電話端末アドレス登録認証情報取得部69は、IP電話サーバ通信部63を介して、アドレス認証期間が終了したアドレス情報をIP電話サーバ8から取得するものである。
図11を参照してIP電話端末4の接続を終了させる際のシーケンスについて説明する。
(1)利用者がIP電話端末4の利用を終了すると、IP電話端末4に対してログオフの操作を実行する。これは例えば、ログオフボタンを押下する操作などに対応する。
(2)IP電話端末4のIP電話機能部45は、現在アドレスを登録しているIP電話サーバ8に対して、ログオフのためのSIPメッセージを送信する。これはアドレス登録期間を0としたSIP Register Requestメッセージの送信に相当し、本メッセージを通信部46を介してIP電話サーバ8に送信する。
IP電話サーバ8のIP電話アドレス登録認証部84は、IP電話端末通信部85を介して本メッセージを受け付け、標準に従って登録されたSIPアドレスの登録削除を実行する。
(3)IP電話サーバ8の、IP電話端末アドレス認証情報通知部87は、VPNサーバ通信部81を介して、SIPアドレス登録期間が終了したことをVPNサーバ6に通知する。
VPNサーバ6のIP電話端末アドレス登録認証情報取得部69は、IP電話サーバ通信部63を介して、SIPアドレス登録期間が終了したアドレスを取得する。IP電話端末アドレス登録認証取得部69は、認証が終了したアドレス情報を、VPN認証部61に通知する。VPN認証部61はこれを受けて、対応するユーザのIPsec SAおよびIKE SAを消去する。これによって、対応するIP電話端末4とVPNサーバ6との間のVPN接続は終了し、以後通信はできなくなる。
同様に、IP電話端末4のIP電話機能部45では、IP電話サーバ8からのSIPアドレス削除を行った応答として、通信部46を介して200 OK Responseを受信すると、制御部40によって、VPNクライアント部44の対応するIPsec SA およびIKE SAが消去される。
以下、比較例として既存のシーケンスの概要を例示する。
(0)IP電話端末4は事前に、VPNサーバ6との間で実行するVPN接続のための初期設定、IP電話サーバ8との間で実行するアドレス登録のための初期設定をされているものとする。
(1)利用者は、VPN接続手続きを実行する。これは、IPsecを用いた「リモートアクセスVPN」における利用者認証のための、XAUTH認証で利用するユーザ名およびパスワードの入力に相当する。
(2)IP電話端末4は、VPNサーバ6との間でVPN接続処理を実行する。具体的には、IPsec IKE Tunnel Modeを実行する。VPN接続認証が正しく完了すると、IP電話端末4は、VPNサーバ6によって、仮想的に本社社内LAN7に格納され、インターネット3を介してSOHO1と本社2を接続するVPNトンネルが確立されたことになる。
(3)利用者は、IP電話アドレス登録のための手続きを実行する。これは、IP電話サービスを利用するために必要なアドレス登録の際のダイジェスト認証で利用されるユーザ名およびパスワードの入力に相当する。
(4)IP電話端末4は、IP電話サーバ8との間でIP電話アドレス登録処理を実行する。具体的には、RFC3261によって定められたSIPの標準の仕組みにしたがったダイジェスト認証を実行する。IP電話アドレス登録認証が正しく完了すると、IP電話端末4は、IP電話サーバ8の呼処理サービスを利用して、電話の発着呼ができるようになる。
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
1…支社/SOHO;
2…本社;
3…インターネット;
4…IP電話端末;
5…モデム;
6…VPNサーバ;
7…本社社内LAN;
8…IP電話サーバ

Claims (6)

  1. 利用者を識別する利用者情報を格納する利用者情報格納部と、
    VPNクライアント機能を提供するVPNクライアント部と、
    IP電話アドレス機能を提供するIP電話機能部と、
    前記VPNクライアント機能および前記IP電話アドレス機能に関する設定情報を格納する設定情報格納部と、
    (1)前記利用者情報格納部に格納された利用者情報を用いてVPN認証を実行し、
    (2)前記VPN認証を行う際に前記IP電話アドレス機能の設定情報を取得して前記設定情報格納部に格納し、
    (3)前記設定情報格納部に格納されたIPアドレス機能の設定情報と、前記利用者情報格納部に格納された利用者情報を用いてIP電話アドレス登録機能を実行する制御部と、
    を具備することを特徴とするIP電話端末装置。
  2. IP電話サーバとともに利用されるVPNサーバ装置であって、
    複数のIP電話サーバから、少なくとも負荷情報、設定情報、障害情報のいずれかを取得する取得部と、
    前記少なくとも負荷情報、設定情報、障害情報のいずれかに基づいて、IP電話端末に通知するためのIP電話サーバの設定情報を前記複数のIP電話サーバのいずれかについて選択する選択部と、
    前記IP電話端末のVPN接続認証を実行する認証部と、
    前記認証部によって認証された前記IP電話端末に対して、前記選択部により選択された前記IP電話サーバの設定情報を、次に利用するIP電話サーバの設定情報として通知する第1の通知部と、
    前記選択部により選択された前記IP電話サーバに対して、前記IP電話端末がVPN接続認証されたことを通知する第2の通知部と、
    を具備することを特徴とするVPNサーバ装置。
  3. VPNサーバとともに利用されるIP電話サーバ装置であって、
    前記VPNサーバからの要求に応じて、少なくとも負荷情報、設定情報、障害情報のいずれかを前記VPNサーバに提供する提供部と、
    前記VPNサーバから、IP電話端末のVPN接続認証に関する認証結果の通知を取得する取得部と、
    前記IP電話端末のアドレス登録認証を実行する際に、前記VPN接続認証に関する認証結果を参照し、同一の利用者情報に対するアドレス登録認証であれば、該アドレス登録認証の処理を省略する認証部と、
    を具備するIP電話サーバ装置。
  4. IP電話端末と、VPNサーバと、IP電話サーバとから構成されるIP電話システムであって、
    前記IP電話端末が、利用者から入力される利用者情報を格納し、
    前記IP電話端末が、前記VPNサーバに対して利用者情報の認証を要求し、
    前記VPNサーバが、前記利用者情報を認証して前記IP電話端末に対し前記IP電話サーバの情報を通知し、
    前記VPNサーバが、前記IP電話サーバに対して、認証された前記利用者情報を通知し、
    前記IP電話端末が、前記VPNサーバから通知されたIP電話サーバの情報を元に、該IP電話サーバに対して利用者情報に対するアドレス登録を要求し、
    前記IP電話サーバが前記アドレス登録要求を受信し、前記VPNサーバから通知された利用者情報に対するアドレス登録要求であると判断した場合、該アドレス登録のための認証の処理を省略することを特徴とするIP電話システム。
  5. 前記VPNサーバは、
    複数存在するIP電話サーバの少なくとも負荷情報、設定情報、障害情報のいずれかを収集し、
    前記少なくとも負荷情報、設定情報、障害情報のいずれかに基づいて、IP電話端末に通知するためのIP電話サーバの設定情報を前記複数のIP電話サーバのいずれかについて選択することを特徴とする請求項4記載のIP電話システム。
  6. 複数のIP機器を接続する物理ポートと、
    前記物理ポートに接続されたIP機器に対してVPNルータ機能を提供するVPNルータ部と、
    をさらに具備することを特徴とする請求項1記載のIP電話端末装置。
JP2009008076A 2009-01-16 2009-01-16 Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム Expired - Fee Related JP5367386B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009008076A JP5367386B2 (ja) 2009-01-16 2009-01-16 Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009008076A JP5367386B2 (ja) 2009-01-16 2009-01-16 Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム

Publications (2)

Publication Number Publication Date
JP2010166410A true JP2010166410A (ja) 2010-07-29
JP5367386B2 JP5367386B2 (ja) 2013-12-11

Family

ID=42582212

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009008076A Expired - Fee Related JP5367386B2 (ja) 2009-01-16 2009-01-16 Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム

Country Status (1)

Country Link
JP (1) JP5367386B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012065011A (ja) * 2010-09-14 2012-03-29 Nec Infrontia Corp 名前解決装置及び名前解決方法
JP2012242971A (ja) * 2011-05-17 2012-12-10 Ntt Communications Kk 認証装置、ユーザ端末、認証方法、及びプログラム
JP2015089053A (ja) * 2013-10-31 2015-05-07 富士通株式会社 ルータ装置、通信経路選択方法および通信経路選択プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004295166A (ja) * 2003-03-25 2004-10-21 Nec Corp リモートアクセスシステムおよびリモートアクセス方法
JP2006005445A (ja) * 2004-06-15 2006-01-05 Nec Corp ネットワーク接続システムおよびネットワーク接続方法
JP2007020001A (ja) * 2005-07-08 2007-01-25 Ntt Docomo Inc 通信制御装置、通信制御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004295166A (ja) * 2003-03-25 2004-10-21 Nec Corp リモートアクセスシステムおよびリモートアクセス方法
JP2006005445A (ja) * 2004-06-15 2006-01-05 Nec Corp ネットワーク接続システムおよびネットワーク接続方法
JP2007020001A (ja) * 2005-07-08 2007-01-25 Ntt Docomo Inc 通信制御装置、通信制御方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012065011A (ja) * 2010-09-14 2012-03-29 Nec Infrontia Corp 名前解決装置及び名前解決方法
JP2012242971A (ja) * 2011-05-17 2012-12-10 Ntt Communications Kk 認証装置、ユーザ端末、認証方法、及びプログラム
JP2015089053A (ja) * 2013-10-31 2015-05-07 富士通株式会社 ルータ装置、通信経路選択方法および通信経路選択プログラム

Also Published As

Publication number Publication date
JP5367386B2 (ja) 2013-12-11

Similar Documents

Publication Publication Date Title
US10298629B2 (en) Intercepting and decrypting media paths in real time communications
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
US10305856B2 (en) System and method for logging communications
JP5735016B2 (ja) ピアツーピアハイブリッド通信のためのシステムおよび方法
JP4636617B2 (ja) ゲートウェイ装置、接続制御装置及びネットワーク接続システム
EP2486714B1 (en) Controlling communications
US9065684B2 (en) IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium
JP6345816B2 (ja) ネットワーク通信システムおよび方法
CA2793924C (en) System and method for peer-to-peer media routing using a third party instant messaging system for signaling
JP2009027652A (ja) 接続制御システム、接続制御方法、接続制御プログラムおよび中継装置
JP5367386B2 (ja) Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム
JP2009296333A (ja) 通信制御システムおよび通信制御方法
JP4473851B2 (ja) 電話システムとその暗号化処理方法、通信端末、および接続装置
JP4667473B2 (ja) データ中継装置、データ中継方法およびデータ中継プログラム
JP2006270431A (ja) 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法
JP4035523B2 (ja) 通信方法、ルータ、ルータの処理方法、及びプログラム
JP5415388B2 (ja) 仮想通信路接続システム、制御方法、制御プログラム、第1の端末及び第2の端末
JP5233905B2 (ja) 通信制御装置
JP2008048110A (ja) セキュアなシグナリングチャネルを用いたリソース更新方法、サーバ、端末及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110916

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130212

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130415

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130820

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130911

LAPS Cancellation because of no payment of annual fees