JP2013197920A - Communication system, sip server, and authentication method - Google Patents

Communication system, sip server, and authentication method Download PDF

Info

Publication number
JP2013197920A
JP2013197920A JP2012063303A JP2012063303A JP2013197920A JP 2013197920 A JP2013197920 A JP 2013197920A JP 2012063303 A JP2012063303 A JP 2012063303A JP 2012063303 A JP2012063303 A JP 2012063303A JP 2013197920 A JP2013197920 A JP 2013197920A
Authority
JP
Japan
Prior art keywords
sip
signal
register
subscriber
subscriber terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012063303A
Other languages
Japanese (ja)
Inventor
Noriyuki Matsuda
宣幸 松田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012063303A priority Critical patent/JP2013197920A/en
Publication of JP2013197920A publication Critical patent/JP2013197920A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

PROBLEM TO BE SOLVED: To enable a subscriber to select an installation position of a terminal while using a one-time password without increasing a processing load.SOLUTION: A SIP server 30 comprises: setting means for setting different reception ports for a register signal and a SIP signal except the register signal; authentication means for authenticating a one-time password of the register signal when receiving a register signal from a subscriber terminal A through a register signal reception port 11; and control means for opening a SIP signal reception port 36 except registers to a SIP signal having an origination address and origination telephone number of a subscriber terminal A, and transmitting an instruction to open a SIP signal reception port 12 except registers of a subscriber accommodation device 10 to a SIP signal having the origination address of the subscriber terminal to the subscriber accommodation device. The subscriber accommodation device 10 opens the SIP signal reception port 12 except registers to the SIP signal having the origination address in an accommodation position 01 which accommodates the subscriber A having the instructed origination address.

Description

本発明は、SIPプロトコルを利用した通信において、加入者端末を認証する通信システム、SIPサーバおよび認証方法に関する。   The present invention relates to a communication system, a SIP server, and an authentication method for authenticating a subscriber terminal in communication using the SIP protocol.

SIPプロトコルを利用した通信において、SIPサーバの加入者端末認証にダイジェスト認証等が使用されている。ダイジェスト認証では、パスワード暗号化にMD5、SHA-1等が使用されている。このような暗号化方式の出現当時は暗号の強度が保証されていたが、その後の高度な解読アルゴリズムの発見及び演算速度の高速化などにより、将来的には加入者端末が送付するSIP信号のダイジェスト認証が悪意の第三者によって解読され、通信が妨害される恐れがある。   In communication using the SIP protocol, digest authentication or the like is used for subscriber terminal authentication of the SIP server. Digest authentication uses MD5, SHA-1, etc. for password encryption. At the time of the advent of such an encryption method, the strength of the encryption was guaranteed, but in the future the SIP signal sent by the subscriber terminal will be sent in the future due to the discovery of advanced decryption algorithms and the speeding up of the calculation speed. The digest authentication may be decrypted by a malicious third party, and communication may be interrupted.

このため、ワンタイムパスワードを利用する方式(非特許文献1、2)、及び回線認証方式(非特許文献3、4)が提案されている。   For this reason, methods using a one-time password (Non-Patent Documents 1 and 2) and line authentication methods (Non-Patent Documents 3 and 4) have been proposed.

RFC2289、[online]、インターネット<http://tools.ietf.org/html/rfc2289>RFC2289, [online], Internet <http://tools.ietf.org/html/rfc2289> ITpro [online]、インターネット<http://itpro.nikkeibp.co.jp/article/COLUMN/20060414/235357/>ITpro [online], Internet <http://itpro.nikkeibp.co.jp/article/COLUMN/20060414/235357/> ITpro、[online]、インターネット<http://itpro.nikkeibp.co.jp/article/COLUMN/20070125/259673/>ITpro, [online], Internet <http://itpro.nikkeibp.co.jp/article/COLUMN/20070125/259673/> ITpro、[online]、インターネット<http://itpro.nikkeibp.co.jp/article/COLUMN/20071121/287778/>ITpro, [online], Internet <http://itpro.nikkeibp.co.jp/article/COLUMN/20071121/287778/>

しかしながら、ワンタイムパスワード方式の場合、セキュリティを強化するためにはパスワードの更新頻度を高くする必要がある。例えば1SIPトランザクション毎に更新したワンタイムパスワードで認証を行うことが望ましいが、その一方で加入者端末及びSIPサーバの処理負荷が増大してしまう。   However, in the case of the one-time password method, it is necessary to increase the password update frequency in order to enhance security. For example, it is desirable to authenticate with a one-time password updated for each SIP transaction, but on the other hand, the processing load on the subscriber terminal and the SIP server increases.

また、回線認証方式は、加入者端末の収容回線を固定し、該当の回線以外からは加入者端末のSIP信号を受け付けない方式である。このように回線認証方式では、加入者端末の収容回線を固定してしまうため、第三者からの攻撃を受けにくい反面、加入者が端末の設置場所を自由に選択できるサービスには適さない。   The line authentication method is a method in which the accommodation line of the subscriber terminal is fixed and the SIP signal of the subscriber terminal is not accepted from other than the corresponding line. In this way, the line authentication method fixes the accommodated line of the subscriber terminal, so that it is difficult to be attacked by a third party, but is not suitable for a service in which the subscriber can freely select the installation location of the terminal.

本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、処理負荷を増大させることなくワンタイムパスワードを利用するとともに、加入者が端末の設置場所を選択可能な通信システム、SIPサーバおよび認証方法を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to use a one-time password without increasing the processing load and allow a subscriber to select a terminal installation location, To provide a SIP server and an authentication method.

上記目的を達成するため、本発明は、SIPサーバと加入者収容装置とを備える通信システムであって、前記SIPサーバは、レジスタ信号とレジスタ以外のSIP信号とで受信ポートを別に設定する設定手段と、加入者端末からレジスタ信号用受信ポートを介してレジスタ信号を受信すると、当該レジスタ信号に含まれるワンタイムパスワードを認証する認証手段と、前記認証に成功した場合、前記加入者端末の発アドレスおよび発電話番号のSIP信号に対してレジスタ以外のSIP信号用受信ポートを開放するとともに、前記加入者端末の発アドレスのSIP信号に対して前記加入者収容装置のレジスタ以外のSIP信号用受信ポートを開放させる指示を前記加入者収容装置に送信する制御手段と、を有し、前記加入者収容装置は、前記SIPサーバから指示された発アドレスの加入者端末が収容された収容位置で、レジスタ以外のSIP信号用受信ポートを前記発アドレスのSIP信号に対して開放する。   To achieve the above object, the present invention provides a communication system comprising a SIP server and a subscriber accommodation device, wherein the SIP server sets a receiving port separately for a register signal and a SIP signal other than a register. And an authentication means for authenticating the one-time password included in the register signal when receiving the register signal from the subscriber terminal via the register signal receiving port, and if the authentication is successful, the originating address of the subscriber terminal And a SIP signal receiving port other than the register for the SIP signal of the calling telephone number, and a SIP signal receiving port other than the register of the subscriber accommodation device for the SIP signal of the calling address of the subscriber terminal. Control means for transmitting an instruction to open the subscriber accommodation apparatus to the subscriber accommodation apparatus, wherein the subscriber accommodation apparatus is configured to issue a calling instruction instructed by the SIP server. In the subscriber terminal stowed stowed position in less, opening the receiving port for SIP signal other than the register to the SIP signal of the source address.

本発明は、レジスタ信号とレジスタ以外のSIP信号とで受信ポートを別に設定する設定手段と、加入者端末からレジスタ信号用受信ポートを介してレジスタ信号を受信すると、当該レジスタ信号に含まれるワンタイムパスワードを認証する認証手段と、前記認証に成功した場合、前記加入者端末の発アドレスおよび発電話番号のSIP信号に対してレジスタ以外のSIP信号用受信ポートを開放するとともに、前記加入者端末の発アドレスのSIP信号に対して前記加入者収容装置のレジスタ以外のSIP信号用受信ポートを開放させる指示を加入者収容装置に送信する制御手段と、を有する。   The present invention provides a setting means for setting a receiving port separately for a register signal and a SIP signal other than a register, and when a register signal is received from a subscriber terminal via a register signal receiving port, the one-time included in the register signal Authentication means for authenticating a password, and when the authentication is successful, the SIP signal receiving port other than the register is opened for the SIP signal of the calling address and calling telephone number of the subscriber terminal, and the subscriber terminal Control means for transmitting an instruction to open a SIP signal receiving port other than the register of the subscriber accommodation device to the subscriber accommodation device in response to the SIP signal of the calling address.

本発明は、SIPサーバと加入者収容装置とを備える通信システムが行う認証方法であって、前記SIPサーバは、レジスタ信号とレジスタ以外のSIP信号とで受信ポートを別に設定する設定ステップと、加入者端末からレジスタ信号用受信ポートを介してレジスタ信号を受信すると、当該レジスタ信号に含まれるワンタイムパスワードを認証する認証ステップと、前記認証に成功した場合、前記加入者端末の発アドレスおよび発電話番号のSIP信号に対してレジスタ以外のSIP信号用受信ポートを開放するとともに、前記加入者端末の発アドレスのSIP信号に対して前記加入者収容装置のレジスタ以外のSIP信号用受信ポートを開放させる指示を前記加入者収容装置に送信する制御ステップと、を行い、前記加入者収容装置は、前記SIPサーバから指示された発アドレスの加入者端末が収容された収容位置で、レジスタ以外のSIP信号用受信ポートを前記発アドレスのSIP信号に対して開放する開放ステップを行う。   The present invention is an authentication method performed by a communication system including a SIP server and a subscriber accommodation device, wherein the SIP server sets a receiving port separately for a register signal and a SIP signal other than a register, An authentication step of authenticating the one-time password included in the register signal when receiving the register signal from the subscriber terminal via the register signal receiving port; and if the authentication is successful, the calling address and calling of the subscriber terminal The SIP signal receiving port other than the register is opened for the SIP signal of the number, and the SIP signal receiving port other than the register of the subscriber accommodation device is opened for the SIP signal of the originating address of the subscriber terminal. A control step of transmitting an instruction to the subscriber accommodation device, wherein the subscriber accommodation device is instructed by the SIP server. In the subscriber terminal stowed stowed position dress, a reception port for SIP signals other than the register performs opening step of opening the SIP signal of the source address.

本発明によれば、処理負荷を増大させることなくワンタイムパスワードを利用するとともに、加入者が端末の設置場所を選択可能な通信システム、SIPサーバおよび認証方法を提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, while using a one-time password, without increasing a processing load, the communication system, SIP server, and authentication method which a subscriber can select the installation place of a terminal can be provided.

本発明の実施形態に係る通信システムの全体構成を示す図である。1 is a diagram illustrating an overall configuration of a communication system according to an embodiment of the present invention. SIPサーバの構成を示すブロック図である。It is a block diagram which shows the structure of a SIP server. 加入者収容スイッチおよびSIPサーバの受信ポートを説明する説明図である。It is explanatory drawing explaining the receiving port of a subscriber accommodation switch and a SIP server. 加入者端末がSIPサーバにRegister信号を送信する動作を示す図である。It is a figure which shows the operation | movement which a subscriber terminal transmits a Register signal to a SIP server. SIPサーバが、受信ポートを開放する動作を示す図である。It is a figure which shows the operation | movement which a SIP server opens a receiving port. 加入者端末からRegister以外のSIP信号を送信する動作を示す図である。It is a figure which shows the operation | movement which transmits SIP signals other than Register from a subscriber terminal. 悪意の加入者端末が、正当な加入者端末を偽装した場合の動作を示す図である。It is a figure which shows operation | movement when a malicious subscriber terminal camouflages a legitimate subscriber terminal. 本実施形態の詳細な動作を示すシーケンス図である。It is a sequence diagram which shows the detailed operation | movement of this embodiment.

以下、本発明の実施の形態について、図面を参照して説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本実施形態の通信システムの全体構成を示す構成図である。本実施形態の通信システムは、SIPプロトコルを利用した通信において、SIPサーバ30が、加入者収容スイッチ10と連携して各加入者端末A、Bの認証を行うものである。   FIG. 1 is a configuration diagram showing the overall configuration of the communication system of the present embodiment. In the communication system of the present embodiment, in communication using the SIP protocol, the SIP server 30 authenticates each of the subscriber terminals A and B in cooperation with the subscriber accommodation switch 10.

図1に示する通信システムは、少なくとも1つの加入者端末A、Bと、加入者収容スイッチ10(加入者収容装置)と、加入者収容ルータ20と、SIPサーバ30とを備える。加入者端末A、Bは、ネットワーク(インターネットなど)を介してSIPサーバ30と接続し、通信を行う端末である。   The communication system shown in FIG. 1 includes at least one subscriber terminal A, B, a subscriber accommodation switch 10 (subscriber accommodation device), a subscriber accommodation router 20, and a SIP server 30. Subscriber terminals A and B are terminals that communicate with the SIP server 30 via a network (such as the Internet).

加入者収容スイッチ10は、IP網内に設置され、加入者端末A、Bを収容する回線を集約し、加入者端末A、Bと加入者収容ルータ20との間でIPパケットの相互接続を行う装置である。また、本実施形態の加入者収容スイッチ10は、SIPサーバ30から指示された発アドレスの加入者端末が収容された収容位置で、Register以外のSIP信号用受信ポートを、前記発アドレスのSIP信号に対して開放する。   The subscriber accommodation switch 10 is installed in the IP network, aggregates the lines accommodating the subscriber terminals A and B, and interconnects IP packets between the subscriber terminals A and B and the subscriber accommodation router 20. It is a device to perform. In addition, the subscriber accommodation switch 10 of the present embodiment is configured such that the SIP signal receiving port other than the Register is connected to the SIP signal of the originating address at the accommodating position where the subscriber terminal having the originating address specified by the SIP server 30 is accommodated. To open against.

加入者収容ルータ20は、IP網に設置され、加入者端末A、BとSIPサーバ30との間でIPパケットの相互接続を行う装置である。   The subscriber accommodation router 20 is a device that is installed in the IP network and interconnects IP packets between the subscriber terminals A and B and the SIP server 30.

SIPサーバ30は、IP網内に設置され、加入者端末A、Bからの呼接続要求信号を受信すると、当該呼接続要求信号内に含まれる着信番号に対応するアドレス情報へ呼接続要求信号を送信し、通信を確立する。   When the SIP server 30 is installed in the IP network and receives the call connection request signal from the subscriber terminals A and B, the SIP server 30 sends the call connection request signal to the address information corresponding to the incoming number included in the call connection request signal. Send and establish communication.

図2は、本実施形態のSIPサーバ30の機能を示す機能ブロック図である。図示するSIPサーバ30は、設定部31と、認証部32と、制御部33と、呼処理部34とを備える。設定部31は、Register信号とレジスタ以外のSIP信号とで受信ポートを別に設定する。認証部32は、加入者端末A、BからRegister信号用受信ポートを介してRegister信号を受信すると、当該Register信号に含まれるワンタイムパスワードを認証する。制御部33は、認証に成功した場合、加入者端末A、Bの発アドレスおよび発電話番号のSIP信号に対して、レジスタ以外のSIP信号用受信ポートを開放するとともに、加入者端末A、Bの発アドレスのSIP信号に対して加入者収容スイッチ10のRegister以外のSIP信号用受信ポートを開放させる指示を加入者収容スイッチ10に送信する。呼処理部34は、加入者端末A、BからのSIP信号に応じて、所定の呼処理を行う。   FIG. 2 is a functional block diagram showing functions of the SIP server 30 of the present embodiment. The illustrated SIP server 30 includes a setting unit 31, an authentication unit 32, a control unit 33, and a call processing unit 34. The setting unit 31 sets the reception port separately based on the Register signal and the SIP signal other than the register. When receiving the Register signal from the subscriber terminals A and B via the Register signal receiving port, the authenticating unit 32 authenticates the one-time password included in the Register signal. When the authentication is successful, the control unit 33 opens the SIP signal receiving port other than the register with respect to the SIP signals of the calling addresses and calling numbers of the subscriber terminals A and B, and the subscriber terminals A and B An instruction to open the SIP signal receiving port other than the Register of the subscriber accommodation switch 10 is transmitted to the subscriber accommodation switch 10 in response to the SIP signal of the originating address. The call processing unit 34 performs predetermined call processing in accordance with SIP signals from the subscriber terminals A and B.

なお、SIPサーバ30は、例えば、CPUと、メモリと、入力装置と、出力装置とを備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされたSIPサーバ30用のプログラムを実行することにより、SIPサーバ30の各機能が実現される。また、SIPサーバ30用のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。   The SIP server 30 can use, for example, a general-purpose computer system including a CPU, a memory, an input device, and an output device. In this computer system, each function of the SIP server 30 is realized by the CPU executing a program for the SIP server 30 loaded on the memory. Further, the program for the SIP server 30 can be stored in a computer-readable recording medium such as a hard disk, flexible disk, CD-ROM, MO, DVD-ROM, or can be distributed via a network.

次に、本実施形態の動作について説明する。   Next, the operation of this embodiment will be described.

図3は、本実施形態の加入者収容スイッチ10およびSIPサーバ30の受信ポートを説明する説明図である。   FIG. 3 is an explanatory diagram illustrating the reception ports of the subscriber accommodation switch 10 and the SIP server 30 according to the present embodiment.

本実施形態では、SIPサーバ30(設定部31)は、SIP信号種別毎に受信ポート番号(UDPポート番号)を設定する。具体的には「Register信号」と「Register以外のSIP信号」とで受信ポート(UDPポート)を別にする。以下、Register信号用の受信ポートを「RegPort」、 Register以外のSIP信号用の受信ポートを「SipPort」と表記する。なお、Register信号は、加入者端末の位置情報をSIPサーバ30に登録するための信号である。   In the present embodiment, the SIP server 30 (setting unit 31) sets a reception port number (UDP port number) for each SIP signal type. Specifically, the reception port (UDP port) is set differently for the “Register signal” and the “SIP signal other than the Register”. Hereinafter, the reception port for the Register signal is expressed as “RegPort”, and the reception port for the SIP signal other than the Register is expressed as “SipPort”. The Register signal is a signal for registering the location information of the subscriber terminal in the SIP server 30.

図3に示すように、加入者収容スイッチ10のRegPort11およびSIPサーバ30のRegPort35は、ともに常時開放している。一方、加入者収容スイッチ10のSipPort12およびSIPサーバ30のSipPort 36は閉鎖しており、図4に示すタイミングで開放処理を行う。   As shown in FIG. 3, both the RegPort 11 of the subscriber accommodation switch 10 and the RegPort 35 of the SIP server 30 are always open. On the other hand, the SipPort 12 of the subscriber accommodation switch 10 and the SipPort 36 of the SIP server 30 are closed, and an opening process is performed at the timing shown in FIG.

図4は、加入者端末Aが、開放状態のRegPort11、35を使用して、SIPサーバ30にRegister信号を送信する動作を示す図である。   FIG. 4 is a diagram illustrating an operation in which the subscriber terminal A transmits a Register signal to the SIP server 30 using the RegPorts 11 and 35 in the open state.

加入者端末A(IPアドレス:A、電話番号:α)は、常時開放された加入者収容スイッチ10のRegPort11、加入者収容ルータ20およびSIPサーバ30のRegPort35を介して、SIPサーバ30にRegister信号を送信する(S11)。加入者端末Aから送信されるRegister信号には、ダイジェスト認証を行うためのワンタイムパスワードが含まれている。SIPサーバ30(認証部32)は、Register信号を受信すると、ワンタイムパスワードを用いてダイジェスト認証を行い、加入者端末Aを認証する(S12)。   The subscriber terminal A (IP address: A, telephone number: α) sends a Register signal to the SIP server 30 via the RegPort 11 of the subscriber accommodation switch 10 that is always open, the subscriber accommodation router 20 and the RegPort 35 of the SIP server 30. Is transmitted (S11). The Register signal transmitted from the subscriber terminal A includes a one-time password for performing digest authentication. When receiving the Register signal, the SIP server 30 (authentication unit 32) performs digest authentication using the one-time password and authenticates the subscriber terminal A (S12).

尚、ワンタイムパスワードの更新タイミングは、Register信号の送信の都度とし、Register信号について第三者による偽装を抑止する。   The update timing of the one-time password is set every time the register signal is transmitted, and the impersonation of the register signal by a third party is suppressed.

図5は、図4のRegister信号のダイジェスト認証に成功したと判断した後に、SIPサーバ30が、SipPort12、36を開放する動作を示す図である。   FIG. 5 is a diagram illustrating an operation in which the SIP server 30 opens the SipPorts 12 and 36 after determining that the digest authentication of the Register signal in FIG.

SIPサーバ30(制御部33)は、Register信号のダイジェスト認証が完了した後、認証に成功した加入者端末Aに対して、当該SIPサーバ30のSipPort36を開放する。具体的には、加入者端末Aの発IPアドレス:A且つ発電話番号:αの SIP信号(Register信号除く)に対してのみSipPort36を開放する(S21)。これにより、加入者端末Aが送信したSIP信号は、SipPort36を通過し、SIPサーバ30で受信される。   After the digest authentication of the Register signal is completed, the SIP server 30 (control unit 33) opens the SipPort 36 of the SIP server 30 to the subscriber terminal A that has succeeded in the authentication. Specifically, the SipPort 36 is opened only for the SIP signal (excluding the Register signal) of the calling terminal IP: A and the calling telephone number: α of the subscriber terminal A (S21). As a result, the SIP signal transmitted from the subscriber terminal A passes through the SipPort 36 and is received by the SIP server 30.

そして、SIPサーバ30(制御部33)は、加入者収容スイッチ10に、加入者端末Aに対してSipPort12を開放する指示を送信する(S22)。加入者収容スイッチ10は、SIPサーバ30の指示を受け付けると、加入者端末Aを収容している収容位置(物理ポート01)において、加入者端末Aに対してSipPort12を開放する(S23)。具体的には、発IPアドレス:AのSIP信号についてのみ、SipPort12を開放する。これにより、加入者端末Aが送信したSIP信号は、当該加入者端末Aが接続される回線の収容位置において、SipPort12を通過し、加入者収容スイッチ10に受信される。   Then, the SIP server 30 (the control unit 33) transmits an instruction to open the SipPort 12 to the subscriber terminal A to the subscriber accommodation switch 10 (S22). When the subscriber accommodation switch 10 receives the instruction from the SIP server 30, the subscriber accommodation switch 10 opens the SipPort 12 to the subscriber terminal A at the accommodation position (physical port 01) in which the subscriber terminal A is accommodated (S23). Specifically, the SipPort 12 is opened only for the SIP signal of the source IP address: A. Thereby, the SIP signal transmitted from the subscriber terminal A passes through the SipPort 12 at the accommodation position of the line to which the subscriber terminal A is connected, and is received by the subscriber accommodation switch 10.

以上の動作によって、加入者端末Aに対してのみSIPサーバ30までのSipPort12、36が開放されることになる。   By the above operation, the SipPorts 12 and 36 up to the SIP server 30 are opened only for the subscriber terminal A.

図6は、図4および図5の動作により加入者端末AがSIPサーバ30にRegister(登録)され、SipPort12、36が開放された後に、加入者端末AからInviteなどのRegister以外のSIP信号を送信する動作を示す図である。加入者端末Aは、加入者収容スイッチ10の当該端末の収容位置(物理ポート01)において当該端末に対して開放されたSipPort12、加入者収容ルータ20、およびSIPサーバ30の当該端末に対して開放されたSipPort36を介して、SIPサーバにInviteなどのSIP信号を送付する。   In FIG. 6, after the subscriber terminal A is registered (registered) in the SIP server 30 and the SipPorts 12 and 36 are opened by the operation of FIGS. 4 and 5, the SIP signal other than the register such as Invite is transmitted from the subscriber terminal A. It is a figure which shows the operation | movement which transmits. The subscriber terminal A is open to the SipPort 12, the subscriber accommodation router 20, and the SIP server 30 that are open to the terminal at the terminal accommodation position (physical port 01) of the subscriber accommodation switch 10. The SIP signal such as Invite is sent to the SIP server via the SipPort 36.

図7は、悪意の加入者端末B(攻撃者)が、正当な加入者端末Aを偽装した場合の動作を示す図である。   FIG. 7 is a diagram illustrating an operation in a case where a malicious subscriber terminal B (attacker) impersonates a valid subscriber terminal A.

図示する例では、正当な加入者端末A(IPアドレス:A、電話番号:α)は、加入者収容スイッチ10の物理ポート01の収容位置に接続されている。そして、図4および図5の処理により、加入者収容スイッチ10の物理ポート01のSipPort12は、加入者端末Aに対して開放されている(すなわち、発IPアドレス:AのSIP信号についてのみ開放されている)。   In the illustrated example, a legitimate subscriber terminal A (IP address: A, telephone number: α) is connected to the accommodation position of the physical port 01 of the subscriber accommodation switch 10. 4 and 5, the SipPort 12 of the physical port 01 of the subscriber accommodation switch 10 is opened to the subscriber terminal A (that is, only the SIP signal of the originating IP address: A is opened). ing).

また、悪意の加入者端末B(IPアドレス:B、電話番号:β)は、加入者収容スイッチ10の物理ポート02の収容位置に接続されている。そして、図4および図5と同様の処理を行うことにより、加入者収容スイッチ10の物理ポート02のSipPort14は、加入者端末Bに対して開放されている(すなわち、発IPアドレス:BのSIP信号についてのみ開放されている)。   Further, the malicious subscriber terminal B (IP address: B, telephone number: β) is connected to the accommodation position of the physical port 02 of the subscriber accommodation switch 10. 4 and FIG. 5, the SipPort 14 of the physical port 02 of the subscriber accommodation switch 10 is opened to the subscriber terminal B (that is, the SIP of the originating IP address: B) Only open for signals).

SIPサーバ30のSipPort36については、加入者端末Aおよび加入者端末BがそれぞれRegister信号を送信することにより、加入者端末Aおよび加入者端末Bに対して開放されている(すなわち、発IPアドレス:A且つ発電話番号:αと、発IPアドレス:B且つ発電話番号:βの SIP信号に対してのみ開放されている)。   The SipPort 36 of the SIP server 30 is opened to the subscriber terminal A and the subscriber terminal B when the subscriber terminal A and the subscriber terminal B transmit Register signals, respectively (that is, the originating IP address: It is open only for SIP signals of A and calling phone number: α and calling IP address: B and calling phone number: β).

このように加入者端末Aおよび加入者端末BがSIPサーバ30にRegister(登録)された状態において、悪意の加入者端末Bが、正当な加入者端末AのSIP信号を偽装する場合、偽装のパターンとして、「発IPアドレス」と「発電話番号」の両方の偽装(パターン1)、もしくは「発電話番号」のみの偽装(パターン2)が考えられるが、本実施形態では、それぞれ下記のとおり攻撃を抑止することができる。   In the state where the subscriber terminal A and the subscriber terminal B are registered in the SIP server 30 as described above, if the malicious subscriber terminal B spoofs the SIP signal of the legitimate subscriber terminal A, As a pattern, both the “calling IP address” and the “calling phone number” are disguised (pattern 1), or only the “calling phone number” is camouflaged (pattern 2). Attacks can be deterred.

<パターン1>では、加入者収容スイッチ10が加入者端末Bの攻撃を抑止する。悪意の加入者端末Bは、発電話番号および発IPアドレスを偽装したSIP信号を送信する。図示する例では、加入者端末Aの発電話番号:α且つ発IPアドレス:Aを偽装したBYE信号を送信する(S31)。加入者端末Bは、加入者収容スイッチ10の物理ポート02に接続されているため、加入者端末Bから送信されるSIP信号は、物理ポート02のSipPort 14で受け付けられる。   In <Pattern 1>, the subscriber accommodation switch 10 suppresses the attack of the subscriber terminal B. The malicious subscriber terminal B transmits a SIP signal in which the calling telephone number and the calling IP address are disguised. In the example shown in the figure, a BYE signal spoofing the calling telephone number: α and the calling IP address: A of the subscriber terminal A is transmitted (S31). Since the subscriber terminal B is connected to the physical port 02 of the subscriber accommodation switch 10, the SIP signal transmitted from the subscriber terminal B is accepted by the SipPort 14 of the physical port 02.

しかしながら、加入者収容スイッチ10が加入者端末AのIPアドレス:Aに対してSipPortを開放しているのは、加入者端末Aを収容している物理ポート01のSipPort12のみであって、物理ポート02のSipPort14では発IPアドレス:Aに対して開放していない。したがって、加入者収容スイッチ10の物理ポート02のSipPort14は、加入者端末Bが送信した発IPアドレス:Aの SIP信号を受け付けると、当該SIP信号を破棄する。これにより、悪意の加入者端末Bの攻撃を抑止することができる。   However, it is only the SipPort 12 of the physical port 01 that accommodates the subscriber terminal A that the subscriber accommodation switch 10 opens the SipPort to the IP address: A of the subscriber terminal A, and the physical port The SipPort 14 of 02 is not open to the source IP address: A. Accordingly, when the SIP port 14 of the physical port 02 of the subscriber accommodation switch 10 receives the SIP signal of the originating IP address: A transmitted from the subscriber terminal B, the SIP signal is discarded. Thereby, the attack of the malicious subscriber terminal B can be suppressed.

<パターン2>では、SIPサーバ30が加入者端末Bの攻撃を抑止する。悪意の加入者端末Bは、発電話番号を偽装したSIP信号を送信する。図示する例では、加入者端末Aの発電話番号:αを偽装し、自身の発IPアドレス:Bを設定したBYE信号を送信する(S32)。加入者端末Bは、加入者収容スイッチ10の物理ポート02に接続されているため、加入者端末Bから送信されるSIP信号は、物理ポート02のSipPort 14で受け付けられる。加入者収容スイッチ10は、物理ポート02のSipPort14で発IPアドレス:Bの SIP信号に対して開放しているため、物理ポート02のSipPort14は当該SIP信号を通過させ、加入者収容スイッチ10は、当該SIP信号を受信する。そして、加入者収容スイッチ10は、受信した加入者端末BからのSIP信号を、加入者収容ルータ20を介してSIPサーバ30に送信する(S33)。   In <Pattern 2>, the SIP server 30 suppresses the attack of the subscriber terminal B. The malicious subscriber terminal B transmits a SIP signal in which the calling telephone number is disguised. In the example shown in the figure, a BYE signal in which the calling terminal number: α of the subscriber terminal A is disguised and its own calling IP address: B is set is transmitted (S32). Since the subscriber terminal B is connected to the physical port 02 of the subscriber accommodation switch 10, the SIP signal transmitted from the subscriber terminal B is accepted by the SipPort 14 of the physical port 02. Since the subscriber accommodation switch 10 is open to the SIP signal of the originating IP address: B at the SipPort 14 of the physical port 02, the SipPort 14 of the physical port 02 passes the SIP signal, and the subscriber accommodation switch 10 The SIP signal is received. Then, the subscriber accommodation switch 10 transmits the received SIP signal from the subscriber terminal B to the SIP server 30 via the subscriber accommodation router 20 (S33).

SIPサーバ30のSipPort36で開放しているSIP信号は、発IPアドレス:A且つ発電話番号:αと、発IPアドレス:B且つ発電話番号:βの SIP信号のみである。したがって、SIPサーバ30のSipPort36は、加入者端末Bが送信した発IPアドレス:B且つ発電話番号:αの SIP信号を受け付けると、当該SIP信号を破棄する。これにより、悪意の加入者端末Bの攻撃を抑止することができる。   The SIP signals opened by the SipPort 36 of the SIP server 30 are only the SIP signals of the calling IP address: A and the calling phone number: α and the calling IP address: B and the calling phone number: β. Accordingly, when the SIP port 36 of the SIP server 30 receives the SIP signal of the calling IP address: B and the calling phone number: α transmitted from the subscriber terminal B, the SIP signal is discarded. Thereby, the attack of the malicious subscriber terminal B can be suppressed.

以上により、本実施形態では、パターン1およびパターン2の攻撃を抑止することができる。なお、悪意の加入者端末Bが、発IPアドレスおよび発電話番号の他に、正当な加入者端末Aの通信から盗聴・解読したパスワードを偽装した場合であっても、以上のように攻撃を抑止することができる。   As described above, in the present embodiment, attacks of pattern 1 and pattern 2 can be suppressed. Even if the malicious subscriber terminal B spoofs a password eavesdropped / deciphered from the communication of the legitimate subscriber terminal A in addition to the originating IP address and calling telephone number, the attack is performed as described above. Can be deterred.

次に本実施形態の詳細な動作について説明する。   Next, the detailed operation of this embodiment will be described.

図8は、本実施形態の詳細な動作を示すシーケンス図である。   FIG. 8 is a sequence diagram showing a detailed operation of the present embodiment.

まず、初期設定において、SIPサーバ30は、SIP信号種別毎に受信ポート番号(受信UDSポート番号)を設定する。図示する例では、Register信号の受信ポート番号には49152を、Register以外のSIP信号の受信ポート番号には5060を設定する。   First, in the initial setting, the SIP server 30 sets a reception port number (reception UDS port number) for each SIP signal type. In the illustrated example, 49152 is set as the reception port number of the Register signal, and 5060 is set as the reception port number of the SIP signal other than the Register signal.

そして、SIPサーバ30は、加入者端末から受信するSIP信号については、受信ポート番号を用いたフィルタリングを行う。すなわち、受信ポート番号:49152の受信ポート(RegPort)については、常時開放しておく。受信ポート番号:5060の受信ポート(SipPort)については、加入者端末のIPアドレスおよび電話番号単位で、開放/閉鎖の操作を行う。開放/閉鎖の操作タイミングは、図8に示すシーケンスのとおり、Register信号による加入者端末の認証を契機とする。なお、加入者端末宛のSIP信号については、フィルタリングは行わない。   Then, the SIP server 30 performs filtering using the reception port number for the SIP signal received from the subscriber terminal. That is, the reception port (RegPort) of the reception port number: 49152 is always open. For the receiving port (SipPort) of the receiving port number: 5060, the opening / closing operation is performed for each IP address and telephone number of the subscriber terminal. The opening / closing operation timing is triggered by the authentication of the subscriber terminal by the Register signal as shown in the sequence shown in FIG. Note that the SIP signal addressed to the subscriber terminal is not filtered.

また、加入者収容スイッチ10は、加入者端末から受信するSIP信号について、受信ポート番号を用いたフィルタリングを行う。すなわち、受信ポート番号:49152(Register信号用)の受信ポート(RegPort)については、常時開放しておく。受信ポート番号:5060 (Register以外のSIP信号用)の受信ポート(SipPort)については、物理ポート単位(加入者収容ポート単位)に、開放/閉鎖の操作を行う。開放/閉鎖の操作タイミングは、SIPサーバ30からの指示に従う。なお、加入者端末宛のSIP信号については、フィルタリングは行わない。   Further, the subscriber accommodation switch 10 performs filtering using the reception port number for the SIP signal received from the subscriber terminal. That is, the reception port (RegPort) of the reception port number: 49152 (for Register signal) is always open. Receiving port number: 5060 (for SIP signals other than Register) The receiving port (SipPort) is opened / closed in units of physical ports (subscriber accommodating ports). The opening / closing operation timing follows the instruction from the SIP server 30. Note that the SIP signal addressed to the subscriber terminal is not filtered.

以下、加入者端末Aに対する認証およびフィルタリング動作について説明する。加入者端末Aは、加入者収容スイッチ10の物理ポート01に収容され、IPアドレスはAで、電話番号はαである。   Hereinafter, authentication and filtering operations for the subscriber terminal A will be described. The subscriber terminal A is accommodated in the physical port 01 of the subscriber accommodation switch 10 and has an IP address A and a telephone number α.

また、加入者端末AがSIPサーバ30に登録される前の状態において、加入者収容スイッチ10の物理ポート01の49152の受信ポート(RegPort)は開放され、5060の受信ポート(SipPort)は閉鎖されている。また、SIPサーバ30のIPアドレス:A且つ電話番号:αのSIP信号に対する受信ポートの開閉状態は、49152の受信ポート(RegPort)は開放され、5060の受信ポート(SipPort)は閉鎖されている。   Further, in a state before the subscriber terminal A is registered in the SIP server 30, the reception port (RegPort) of 49152 of the physical port 01 of the subscriber accommodation switch 10 is opened, and the reception port (SipPort) of 5060 is closed. ing. In the open / closed state of the reception port for the SIP signal with the IP address: A and telephone number: α of the SIP server 30, the reception port (RegPort) of 49152 is open and the reception port (SipPort) of 5060 is closed.

この状態で、加入者端末Aは、加入者収容スイッチ10および加入者収容ルータ20を介して、Register信号をSIPサーバ30に送信する(S41)。このRegister信号には加入者端末Aの発IPアドレス:Aおよび発電話番号:αが設定されている。なお、Register信号は、加入者収容スイッチ10およびSIPサーバ30の常時開放状態である49152の受信ポート(RegPort)を介して送信される。   In this state, the subscriber terminal A transmits a Register signal to the SIP server 30 via the subscriber accommodation switch 10 and the subscriber accommodation router 20 (S41). In the Register signal, the calling terminal IP address: A and the calling telephone number: α of the subscriber terminal A are set. The Register signal is transmitted via a reception port (RegPort) of 49152 in which the subscriber accommodation switch 10 and the SIP server 30 are always open.

SIPサーバ30は、Register信号を受信すると、パスワードを要求する要求信号(チャレンジ)を加入者端末Aに送信する(S42)。   Upon receiving the Register signal, the SIP server 30 transmits a request signal (challenge) for requesting a password to the subscriber terminal A (S42).

加入者端末Aは、パスワード要求信号を受信すると、ワンタイムパスワードを設定したRegister信号をSIPサーバ30に送信する(S43)。ワンタイムパスワードについては、例えば、加入者はワンタイムパスワード生成器(端末)を保持しており、当該生成器が生成し、表示したワンタイムパスワードを取得し、Register信号を送信する際(端末を登録する際)に当該ワンタイムパスワードを加入者端末Aに入力する。もしくは、加入者端末Aはワンタイムパスワード生成機能を実装しており、Register信号 を送信する際に、ワンタイムパスワードを自動生成し、Register信号に設定して送信する。なお、ワンタイムパスワード生成器もしくはワンタイムパスワード生成機能は、SIPサーバ30の認証部32が生成するワンタイムパスワードと時刻同期している。すなわち、ある時間に生成されるワンタイムパスワードは、加入者端末Aが生成するワンタイムパスワード と、SIPサーバ30が生成するワンタイムパスワードとが一致する。   When the subscriber terminal A receives the password request signal, the subscriber terminal A transmits a Register signal in which a one-time password is set to the SIP server 30 (S43). For a one-time password, for example, the subscriber has a one-time password generator (terminal), and when the generator generates and displays the displayed one-time password and transmits a Register signal (terminal When registering, the one-time password is input to the subscriber terminal A. Alternatively, the subscriber terminal A has a one-time password generation function, and when the register signal is transmitted, the one-time password is automatically generated, set in the register signal, and transmitted. The one-time password generator or the one-time password generation function is time-synchronized with the one-time password generated by the authentication unit 32 of the SIP server 30. That is, the one-time password generated at a certain time matches the one-time password generated by the subscriber terminal A and the one-time password generated by the SIP server 30.

SIPサーバ30は、ワンタイムパスワードを含むRegister信号を受信すると、加入者端末Aの認証(ダイジェスト認証)を行う(S44)。具体的には、SIPサーバの認証部32は、加入者端末A側と同様のアルゴリズムにより加入者端末A(IPアドレス:A、電話番号:α)用のワンタイムパスワードを生成し、生成したワンタイムパスワードと、Register信号に含まれるワンタイムパスワードとを比較し、一致する場合は認証に成功したと判定し、加入者端末Aを登録する。一致しない場合は認証に失敗したと判定する。   When receiving the Register signal including the one-time password, the SIP server 30 performs authentication (digest authentication) of the subscriber terminal A (S44). Specifically, the authentication unit 32 of the SIP server generates a one-time password for the subscriber terminal A (IP address: A, telephone number: α) using the same algorithm as that on the subscriber terminal A side. The time password is compared with the one-time password included in the Register signal. If they match, it is determined that the authentication is successful, and the subscriber terminal A is registered. If they do not match, it is determined that the authentication has failed.

認証成功と判定した場合、SIPサーバ30は、発IPアドレス:Aで発電話番号:αのSIP信号に対する5060の受信ポート(SipPort)を開放する(S45)。これにより、SIPサーバ30の5060の受信ポート(SipPort)は、発IPアドレス:A 且つ発電話番号:α以外のSIP信号を受け付けると、当該SIP信号を破棄する。したがって、SIPサーバ30が受信するRegister以外のSIP信号は、発IPアドレス:A且つ発電話番号:αの場合だけとなる。   If it is determined that the authentication is successful, the SIP server 30 opens the 5060 reception port (SipPort) for the SIP signal of the calling IP address: A and the calling phone number: α (S45). As a result, the receiving port (SipPort) 5060 of the SIP server 30 discards the SIP signal when receiving a SIP signal other than the originating IP address: A and the originating telephone number: α. Therefore, the SIP signals other than Register received by the SIP server 30 are only when the calling IP address is A and the calling phone number is α.

そして、SIPサーバ30は、IPアドレス:Aの加入者端末Aを収容する収容位置(物理ポート)で、5060の受信ポート(SipPort)を開放するよう、加入者収容スイッチ10に指示する(S46)。加入者収容スイッチ10は、SIPサーバ30からの指示を受信すると、IPアドレス:Aの収容位置の物理ポート01において、5060の受信ポート(SipPort)を発IPアドレス:AのSIP信号に対してのみ開放する(S47)。これにより加入者収容スイッチ10の物理ポート01の5060の受信ポート(SipPort)は、発IPアドレス:A以外のSIP信号を受け付けると、当該SIP信号を破棄する。したがって、加入者収容スイッチ10が物理ポート01において受信するRegister以外のSIP信号は、発IPアドレス:Aの場合だけとなる。   Then, the SIP server 30 instructs the subscriber accommodation switch 10 to open the 5060 reception port (SipPort) at the accommodation position (physical port) accommodating the subscriber terminal A having the IP address: A (S46). . When the subscriber accommodation switch 10 receives an instruction from the SIP server 30, the physical port 01 at the accommodation position of the IP address: A sets the 5060 reception port (SipPort) only for the SIP signal of the source IP address: A. Open (S47). As a result, when a receiving port (SipPort) 5060 of the physical port 01 of the subscriber accommodation switch 10 accepts a SIP signal other than the originating IP address: A, the SIP signal is discarded. Therefore, the SIP signal other than the register received by the subscriber accommodation switch 10 at the physical port 01 is only in the case of the originating IP address: A.

以上のとおり、加入者端末AのSIPサーバ30への登録が完了すると、加入者端末Aは、5060の受信ポート(SipPort)を介してInvite信号などのSIP信号をSIPサーバ30に送信し、通信を行う。   As described above, when the registration of the subscriber terminal A to the SIP server 30 is completed, the subscriber terminal A transmits a SIP signal such as an Invite signal to the SIP server 30 via the 5060 reception port (SipPort), and performs communication. I do.

このように、Register信号の送信時(加入者端末の登録時)に、S45からS47でSIPサーバ30および加入者収容スイッチ10の5060の受信ポート(SipPort)を、登録した加入者端末Aに限って開放することで、悪意のある加入者端末からの攻撃を防止することができる。   As described above, when the Register signal is transmitted (when the subscriber terminal is registered), the SIP server 30 and the 5060 reception port (SipPort) of the subscriber accommodation switch 10 are limited to the registered subscriber terminal A in S45 to S47. By opening up the network, attacks from malicious subscriber terminals can be prevented.

具体的には、S47により、加入者端末AのIPアドレスが詐称されることを防止する。すなわち、加入者収容スイッチ10により、他の物理ポートに収容されている悪意の第三者端末が、加入者端末AのIPアドレスを詐称してSIPサーバ30にSIP信号を送信する攻撃を防止することができる。   Specifically, the IP address of the subscriber terminal A is prevented from being spoofed by S47. That is, the subscriber accommodation switch 10 prevents an attack in which a malicious third party terminal accommodated in another physical port spoofs the IP address of the subscriber terminal A and transmits a SIP signal to the SIP server 30. be able to.

また、S45により、加入者端末Aの電話番号が詐称されることを防止する。すなわち、SIPサーバ30により、加入者端末AのIPアドレス:Aとは異なるIPアドレスの第三者端末が、加入者端末Aの電話番号を詐称してSIPサーバ30にSIP信号を送信する攻撃を防止することができる。   Further, S45 prevents the telephone number of subscriber terminal A from being spoofed. In other words, the third party terminal having an IP address different from the IP address: A of the subscriber terminal A is attacked by the SIP server 30 by spoofing the telephone number of the subscriber terminal A and transmitting a SIP signal to the SIP server 30. Can be prevented.

したがって、発電話番号αのSIP信号をSIPサーバ30に送信できるのは、加入者端末Aのみであって、加入者端末A以外の第三者端末は、加入者端末Aを偽装することができず、加入者端末Aの通信を妨害することができない。   Therefore, only the subscriber terminal A can transmit the SIP signal of the calling telephone number α to the SIP server 30, and a third party terminal other than the subscriber terminal A can impersonate the subscriber terminal A. Therefore, the communication of the subscriber terminal A cannot be interrupted.

通信が終了した後、加入者端末Aは、登録削除のRegister信号を49152の受信ポート(RegPort)を介してSIPサーバ30に送信する(S51)。このRegister信号は、ワンタイムパスワードが含まれている。SIPサーバ30は、ワンタイムパスワードを含むRegister信号を受信すると、加入者端末Aの認証(ダイジェスト認証)を行い、認証に成功とした場合(ワンタイムパスワードが一致する場合)、加入者端末Aのログアウトを行う(S52)。そして、SIPサーバ30は、加入者端末AのSIP信号(発IPアドレス:A且つ発電話番号:α)に対する5060の受信ポート(SipPort)を閉鎖する(S53)。これにより、SIPサーバ30の5060の受信ポート(SipPort)は、発IPアドレス:A 且つ発電話番号:αのSIP信号を受け付けると、当該SIP信号を破棄する。   After the communication is completed, the subscriber terminal A transmits a registration deletion Register signal to the SIP server 30 via the reception port (RegPort) 49152 (S51). This Register signal includes a one-time password. Upon receiving the Register signal including the one-time password, the SIP server 30 performs authentication (digest authentication) of the subscriber terminal A, and when the authentication is successful (when the one-time password matches), Logout is performed (S52). Then, the SIP server 30 closes the receiving port (SipPort) of 5060 for the SIP signal (originating IP address: A and calling telephone number: α) of the subscriber terminal A (S53). As a result, the receiving port (SipPort) 5060 of the SIP server 30 discards the SIP signal when receiving the SIP signal with the calling IP address: A and the calling phone number: α.

そして、SIPサーバ30は、IPアドレス:Aの加入者端末Aを収容する収容位置で、5060の受信ポート(SipPort)を閉鎖するよう、加入者収容スイッチ10に指示する(S54)。加入者収容スイッチ10は、SIPサーバ30からの指示を受信すると、IPアドレス:Aの収容位置の物理ポート01において、5060の受信ポート(SipPort)を発IPアドレス:AのSIP信号に対して閉鎖する(S54)。これにより加入者収容スイッチ10の物理ポート01の5060の受信ポート(SipPort)は、発IPアドレス:AのSIP信号を受け付けると、当該SIP信号を破棄する。   Then, the SIP server 30 instructs the subscriber accommodation switch 10 to close the reception port (SipPort) of 5060 at the accommodation position in which the subscriber terminal A having the IP address: A is accommodated (S54). Upon receiving an instruction from the SIP server 30, the subscriber accommodation switch 10 closes the 5060 reception port (SipPort) with respect to the SIP signal of the originating IP address: A at the physical port 01 at the accommodation location of the IP address: A. (S54). As a result, the receiving port (SipPort) 5060 of the physical port 01 of the subscriber accommodation switch 10 discards the SIP signal when receiving the SIP signal of the originating IP address: A.

以上説明した本実施形態では、SIPサーバと加入者収容スイッチとが連携することで、動的な回線認証方法を用いて加入者端末の認証を行う。具体的には、SIPサーバが加入者端末を特定する認証をRegisterのみに限定し、認証の都度、加入者端末の収容回線を動的に専用線として割り当てる。これにより、加入者端末及びSIPサーバの処理負荷を増大させることなく、加入者が端末の設置場所を自由に選択できるサービスにおいて、悪意の第三者による加入者端末の詐称を抑止することができる。   In the embodiment described above, the SIP server and the subscriber accommodation switch cooperate to authenticate the subscriber terminal using a dynamic line authentication method. More specifically, the SIP server limits the authentication for identifying the subscriber terminal to only the Register, and dynamically allocates the accommodation line of the subscriber terminal as a dedicated line for each authentication. As a result, it is possible to suppress the misrepresentation of a subscriber terminal by a malicious third party in a service that allows the subscriber to freely select the installation location of the terminal without increasing the processing load on the subscriber terminal and the SIP server. .

また、本実施形態では、ワンタイムパスワードを利用して認証の強度を高めているが、認証対象がRegister信号のみであるため、ワンタイムパスワードの更新タイミング低く、加入者端末およびSIPサーバへの処理負荷を低減することができる。   In this embodiment, the strength of authentication is increased by using a one-time password. However, since the authentication target is only a Register signal, the one-time password update timing is low, and processing to the subscriber terminal and the SIP server is performed. The load can be reduced.

また、Register信号によって加入者端末の収容回線を特定し、特定された回線に対してその都度フィルタリングを行うため、加入者端末の収容回線が固定されず、加入者が端末の設置場所を自由に選択することができる。   In addition, the subscriber terminal's accommodation line is identified by the Register signal, and filtering is performed on the identified line each time. Therefore, the subscriber terminal's accommodation line is not fixed, and the subscriber can freely install the terminal. You can choose.

なお、本発明は上記実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。   In addition, this invention is not limited to the said embodiment, Many deformation | transformation are possible within the range of the summary.

10:加入者収容スイッチ
11:受信ポート(RegPort)
12:受信ポート(SipPort)
20:加入者収容ルータ
30:SIPサーバ
31:設定部
32:認証部
33:制御部
34:呼処理部
35:受信ポート(RegPort)
36:受信ポート(SipPort)
A、B:加入者端末 10: Subscriber accommodation switch 11: Reception port (RegPort)
12: Receive port (SipPort)
20: Subscriber accommodating router 30: SIP server 31: Setting unit 32: Authentication unit 33: Control unit 34: Call processing unit 35: Reception port (RegPort)
36: Receive port (SipPort)
A, B: Subscriber terminal

Claims (8)

SIPサーバと加入者収容装置とを備える通信システムであって、
前記SIPサーバは、
レジスタ信号とレジスタ以外のSIP信号とで受信ポートを別に設定する設定手段と、
加入者端末からレジスタ信号用受信ポートを介してレジスタ信号を受信すると、当該レジスタ信号に含まれるワンタイムパスワードを認証する認証手段と、
前記認証に成功した場合、前記加入者端末の発アドレスおよび発電話番号のSIP信号に対してレジスタ以外のSIP信号用受信ポートを開放するとともに、前記加入者端末の発アドレスのSIP信号に対して前記加入者収容装置のレジスタ以外のSIP信号用受信ポートを開放させる指示を前記加入者収容装置に送信する制御手段と、を有し、
前記加入者収容装置は、
前記SIPサーバから指示された発アドレスの加入者端末が収容された収容位置で、レジスタ以外のSIP信号用受信ポートを前記発アドレスのSIP信号に対して開放すること
を特徴とする通信システム。 A communication system comprising a SIP server and a subscriber accommodation device,
The SIP server is
Setting means for setting the receiving port separately for the register signal and the SIP signal other than the register,
An authentication means for authenticating a one-time password included in the register signal upon receiving the register signal from the subscriber terminal via the register signal receiving port;
When the authentication is successful, the SIP signal receiving port other than the register is opened for the SIP signal of the calling address and the calling telephone number of the subscriber terminal, and the SIP signal of the calling address of the subscriber terminal is opened. Control means for transmitting an instruction to open the SIP signal receiving port other than the register of the subscriber accommodation device to the subscriber accommodation device;
The subscriber accommodation device is:
A communication system, wherein a SIP signal receiving port other than a register is opened for a SIP signal of the calling address at a receiving position where a subscriber terminal of the calling address specified by the SIP server is stored. 請求項1記載の通信システムであって、
前記SIPサーバのレジスタ以外のSIP信号用受信ポートは、前記制御手段により開放された発アドレスおよび発電話番号以外のSIP信号を受け付けた場合、当該SIP信号を破棄すること
を特徴とする通信システム。 The communication system according to claim 1,
The SIP signal receiving port other than the register of the SIP server discards the SIP signal when receiving a SIP signal other than the calling address and the calling telephone number opened by the control means. 請求項1または2記載の通信システムであって、
前記加入者収容装置の前記加入者端末が収容された収容位置におけるレジスタ以外のSIP信号用受信ポートは、前記開放手段により開放された発アドレス以外のSIP信号を受け付けた場合、当該SIP信号を破棄すること
を特徴とする通信システム。 The communication system according to claim 1 or 2, wherein
When the SIP signal receiving port other than the register at the accommodation position where the subscriber terminal of the subscriber accommodation device is accommodated receives a SIP signal other than the originating address opened by the release means, the SIP signal is discarded. A communication system characterized by: 請求項1から3のいずれか一項に記載の通信システムであって、
前記SIPサーバおよび加入者収容装置のレジスタ信号用受信ポートは、すべてのレジスタ信号に対して開放されていること
を特徴とする通信システム。 The communication system according to any one of claims 1 to 3,
The register signal receiving port of the SIP server and the subscriber accommodation device is open to all register signals. レジスタ信号とレジスタ以外のSIP信号とで受信ポートを別に設定する設定手段と、
加入者端末からレジスタ信号用受信ポートを介してレジスタ信号を受信すると、当該レジスタ信号に含まれるワンタイムパスワードを認証する認証手段と、
前記認証に成功した場合、前記加入者端末の発アドレスおよび発電話番号のSIP信号に対してレジスタ以外のSIP信号用受信ポートを開放するとともに、前記加入者端末の発アドレスのSIP信号に対して前記加入者収容装置のレジスタ以外のSIP信号用受信ポートを開放させる指示を加入者収容装置に送信する制御手段と、を有すること
を特徴とするSIPサーバ。 Setting means for setting the receiving port separately for the register signal and the SIP signal other than the register,
An authentication means for authenticating a one-time password included in the register signal upon receiving the register signal from the subscriber terminal via the register signal receiving port;
When the authentication is successful, the SIP signal receiving port other than the register is opened for the SIP signal of the calling address and the calling telephone number of the subscriber terminal, and the SIP signal of the calling address of the subscriber terminal is opened. A SIP server comprising: control means for transmitting to the subscriber accommodation device an instruction to open a SIP signal reception port other than the register of the subscriber accommodation device. SIPサーバと加入者収容装置とを備える通信システムが行う認証方法であって、
前記SIPサーバは、
レジスタ信号とレジスタ以外のSIP信号とで受信ポートを別に設定する設定ステップと、
加入者端末からレジスタ信号用受信ポートを介してレジスタ信号を受信すると、当該レジスタ信号に含まれるワンタイムパスワードを認証する認証ステップと、
前記認証に成功した場合、前記加入者端末の発アドレスおよび発電話番号のSIP信号に対してレジスタ以外のSIP信号用受信ポートを開放するとともに、前記加入者端末の発アドレスのSIP信号に対して前記加入者収容装置のレジスタ以外のSIP信号用受信ポートを開放させる指示を前記加入者収容装置に送信する制御ステップと、を行い、
前記加入者収容装置は、
前記SIPサーバから指示された発アドレスの加入者端末が収容された収容位置で、レジスタ以外のSIP信号用受信ポートを前記発アドレスのSIP信号に対して開放する開放ステップを行うこと
を特徴とする認証方法。 An authentication method performed by a communication system including a SIP server and a subscriber accommodation device,
The SIP server is
A setting step for setting a receiving port separately for a register signal and a non-register SIP signal;
When receiving a register signal from the subscriber terminal via the register signal receiving port, an authentication step of authenticating the one-time password included in the register signal;
When the authentication is successful, the SIP signal receiving port other than the register is opened for the SIP signal of the calling address and the calling telephone number of the subscriber terminal, and the SIP signal of the calling address of the subscriber terminal is opened. A control step of transmitting an instruction to open the SIP signal receiving port other than the register of the subscriber accommodation device to the subscriber accommodation device, and
The subscriber accommodation device is:
A release step of releasing the SIP signal reception port other than the register from the SIP signal of the calling address at a holding position where the subscriber terminal of the calling address specified by the SIP server is stored; Authentication method. 請求項6記載の認証方法であって、
前記SIPサーバのレジスタ以外のSIP信号用受信ポートは、前記制御ステップにより開放された発アドレスおよび発電話番号以外のSIP信号を受け付けた場合、当該SIP信号を破棄すること
を特徴とする認証方法。 The authentication method according to claim 6, wherein:
The SIP signal receiving port other than the SIP server register discards the SIP signal when it receives a SIP signal other than the calling address and the calling telephone number released by the control step. 請求項6または7記載の認証方法であって、
前記加入者収容装置の前記加入者端末が収容された収容位置におけるレジスタ以外のSIP信号用受信ポートは、前記開放ステップにより開放された発アドレス以外のSIP信号を受け付けた場合、当該SIP信号を破棄すること
を特徴とする認証方法。 The authentication method according to claim 6 or 7, wherein
When the SIP signal receiving port other than the register at the accommodation position where the subscriber terminal of the subscriber accommodation device is accommodated receives a SIP signal other than the originating address opened by the release step, the SIP signal is discarded. An authentication method characterized by
JP2012063303A 2012-03-21 2012-03-21 Communication system, sip server, and authentication method Pending JP2013197920A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012063303A JP2013197920A (en) 2012-03-21 2012-03-21 Communication system, sip server, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012063303A JP2013197920A (en) 2012-03-21 2012-03-21 Communication system, sip server, and authentication method

Publications (1)

Publication Number Publication Date
JP2013197920A true JP2013197920A (en) 2013-09-30

Family

ID=49396330

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012063303A Pending JP2013197920A (en) 2012-03-21 2012-03-21 Communication system, sip server, and authentication method

Country Status (1)

Country Link
JP (1) JP2013197920A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301881A (en) * 2021-12-10 2022-04-08 迈普通信技术股份有限公司 Registration method, registration device, electronic equipment and computer-readable storage medium

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301881A (en) * 2021-12-10 2022-04-08 迈普通信技术股份有限公司 Registration method, registration device, electronic equipment and computer-readable storage medium
CN114301881B (en) * 2021-12-10 2023-09-15 迈普通信技术股份有限公司 Registration method, registration device, electronic device and computer-readable storage medium

Similar Documents

Publication Publication Date Title
Mallik Man-in-the-middle-attack: Understanding in simple words
US10027631B2 (en) Securing passwords against dictionary attacks
US6892308B1 (en) Internet protocol telephony security architecture
Petullo et al. MinimaLT: minimal-latency networking through better security
US10148636B2 (en) Authentication methods and apparatus
Marktscheffel et al. QR code based mutual authentication protocol for Internet of Things
Rashid et al. Proposed methods of IP spoofing detection & prevention
Younes Securing ARP and DHCP for mitigating link layer attacks
Wu et al. SGX-UAM: A secure unified access management scheme with one time passwords via Intel SGX
JP2011070513A (en) Access control system, authentication server system, and access control program
US10893414B1 (en) Selective attestation of wireless communications
CN113630244A (en) End-to-end safety guarantee method facing communication sensor network and edge server
US10313305B2 (en) Method of unblocking external computer systems in a computer network infrastructure, distributed computer network having such a computer network infrastructure as well as computer program product
CN111901116B (en) Identity authentication method and system based on EAP-MD5 improved protocol
Huseynov et al. Context-aware multifactor authentication survey
JP6266170B2 (en) Three-tier security and calculation architecture
Reimair et al. MoCrySIL-Carry your Cryptographic keys in your pocket
Feher et al. The security of WebRTC
JP2013197920A (en) Communication system, sip server, and authentication method
US11463433B1 (en) Secure bearer-sensitive authentication and digital object transmission system and method for spoof prevention
JP6488001B2 (en) Method for unblocking an external computer system in a computer network infrastructure, a distributed computer network having such a computer network infrastructure, and a computer program product
US10079857B2 (en) Method of slowing down a communication in a network
Liu et al. SplitPass: A mutually distrusting two-party password manager
Yoganguina et al. Proposition of a model for securing the neighbor discovery protocol (NDP) in IPv6 environment
Saroj et al. A Lightweight Authentication Protocol based on ECC for Satellite Communication.