JP2018032956A - 通信装置 - Google Patents
通信装置 Download PDFInfo
- Publication number
- JP2018032956A JP2018032956A JP2016163207A JP2016163207A JP2018032956A JP 2018032956 A JP2018032956 A JP 2018032956A JP 2016163207 A JP2016163207 A JP 2016163207A JP 2016163207 A JP2016163207 A JP 2016163207A JP 2018032956 A JP2018032956 A JP 2018032956A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- packet
- terminal
- router
- call
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】LANに接続された通信端末がコンピュータウィルスに感染しても、コンピュータウィルスの拡散を防止しつつ、通話及びデータ通信については、ユーザーの不便を最小限にとどめることができるようにする。【解決手段】ルーター4は、IP電話端末2やパーソナルコンピュータ3等の通信端末が接続され、IP網を通じた通信の中継処理を行う。WAN接続端子407T及びWANI/F407を通じて、他のルーターからの配下の通信端末がコンピュータウィルスに感染した旨の感染通知を受信すると、音声パケット通過フィルタ部411及び拠点フィルタ処理部412が機能し、感染通知の通知元の他の通信装置との間では、音声通話だけが可能になるように、パケットの送受信を制限する。【選択図】図6
Description
この発明は、例えば、企業の支店などの拠点間を、IP(Internet Protocol)網を通じて接続して通信を行う場合に、コンピュータウィルスの感染が検知された支店(拠点)を含めて適切に通信を行えるようにする装置に関する。
企業などでは、LAN(Local Area Network)やWAN(Wide Area Network)を通じて、サーバ装置、パーソナルコンピュータ、IP電話端末といった種々のネットワーク機器を接続し、種々のデータをやり取りすることによって日々の業務が行われている。そして、コンピュータウィルスによる機器トラブルや情報漏えいなどの脅威も大きく、いわゆるアンチウィルスソフトも広く利用されている。また、近年においては、ネットワークを経由した脅威に対応するため、コンピュータウィルス対応、情報漏洩対応、不正アクセス対応、迷惑メール対応などを効率的かつ包括的に行うUTM(Unified Threat Management)と呼ばれる統合脅威管理技術の活用も進められている。
しかし、コンピュータウィルスなどのネットワーク機器に対する脅威は、日々巧妙化しており、感染の可能性を「0(ゼロ)」にすることは難しい。このため、LANやWANに接続されたパーソナルコンピュータ等のいわゆるネットワーク機器でコンピュータウィルスが検知された場合には、他のサーバ装置やパーソナルコンピュータ等のネットワーク機器に影響が拡散しないようにする必要がある。従来は、後に記す特許文献1に開示されているように、コンピュータウィルスが検知されたネットワーク機器を速やかにネットワークから切り離すことで、被害が拡散されることを防止している。
近年、例えば、企業において、本社や複数の支店などの拠点間を相互に接続し、各拠点間でセキュリティの高い通信を行うために、各拠点間をVPN(Virtual Private Network)技術を用いて接続することが広く行われるようになってきている。VPN技術は、カプセル化や暗号化などの技術を用い、インターネットなどのパブリックネットワーク上でもセキュアなポイント・ツー・ポイント接続を実現する。VPNを構築する場合には、例えば、IPsec(Security Architecture for Internet Protocol)、PPTP(Point-to-Point Tunneling Protocol)、SSL(Secure Sockets Layer)といったプロトコルなどが用いられている。
このように、複数の拠点間をVPN接続している場合に、ある拠点においてコンピュータウィルスに感染したパーソナルコンピュータ等が検知された場合には、拠点間で接続したVPN接続を切断し、コンピュータウィルスの拡散を防止する。しかしながら、VPN接続を切断してしまうとコンピュータウィルスが検知されていない拠点間の通信もできなくなってしまう。この場合、各拠点において、コンピュータウィルスが検知された拠点とのVPN接続を切断するため、コンピュータウィルスが検知された拠点を除いた拠点間でVPN接続をし直さなければならない場合があるためである。
また、コンピュータウィルスが検知されたパーソナルコンピュータ等がある拠点とのVPN接続を切断してしまうと、コンピュータウィルスが検知された拠点との間では、コンピュータウィルスの影響を受けないIP電話端末同士の通話もできなくなってしまう。通話の場合にIP電話端末間で送受される音声パケットは、決まったデータが格納されるヘッダ部と音声データが格納されたペイロード部とからなる。このため、音声パケットにはコンピュータウィルスが紛れ込む余地がほとんどなく、コンピュータウィルスの影響を受けない媒体といえる。
以上のことに鑑み、この発明は、LANやWANに接続された通信端末がコンピュータウィルスに感染しても、コンピュータウィルスの拡散を防止しつつ、通話及びデータ通信については、ユーザーの不便を最小限にとどめることができるようにすることを目的とする。
上記課題を解決するため、請求項1に記載の発明の通信装置は、
通信端末が接続され、IP(Internet Protocol)網を通じた通信の中継処理を行う通信装置であって、
他の通信装置からの配下の通信端末がコンピュータウィルスに感染した旨の感染通知を受信する受信手段と、
前記受信手段を通じて、前記感染通知を受信した場合に、前記感染通知の通知元の前記他の通信装置との間では、音声通話だけが可能になるように、パケットの送受信を制限する制限手段と
を備えることを特徴とする。
通信端末が接続され、IP(Internet Protocol)網を通じた通信の中継処理を行う通信装置であって、
他の通信装置からの配下の通信端末がコンピュータウィルスに感染した旨の感染通知を受信する受信手段と、
前記受信手段を通じて、前記感染通知を受信した場合に、前記感染通知の通知元の前記他の通信装置との間では、音声通話だけが可能になるように、パケットの送受信を制限する制限手段と
を備えることを特徴とする。
この請求項1に記載の発明の通信装置は、例えば、IP電話端末やパーソナルコンピュータ等の通信端末が接続され、IP網を通じた通信の中継処理を行うものである。そして、受信手段で、他の通信装置からの配下の通信端末がコンピュータウィルスに感染した旨の感染通知を受信すると制限手段が機能する。この場合、制限手段は、前記感染通知の通知元の他の通信装置との間では、音声通話だけが可能になるように、パケットの送受信を制限する。すなわち、接続されたセッションを維持するための制御用パケットや音声パケットの送受信は通常通り行うようにするが、例えば、電子メールに代表されるデータ通信のためのデータパケットは破棄するようにして、送受信を成立させないように制限する。
これにより、感染通知の通知元の他の通信装置との間では、音声パケットの送受信は可能にされ、IP電話端末を介した通話は可能にされるが、音声パケット以外のデータは送受信されないので、コンピュータウィルスの拡散を確実に防止できる。
この発明によれば、LANやWANに接続された通信端末がコンピュータウィルスに感染しても、コンピュータウィルスの拡散を防止しつつ、少なくとも通話はいずれの拠点のネットワーク機器との間でも適切に行うことができるようにされる。これにより、使用者の不便を最小限にとどめることができる。
以下、図を参照しながら、この発明の装置、方法の一実施形態について説明する。
[通信システムの構成例]
図1は、この発明による通信装置、通信方法の実施形態が適用されたルーターが用いられて形成される通信システムの構成例を説明するための図である。この実施形態の通信システムは、例えば、ある会社(企業)の3つの拠点(支店)A、B、Cを、ネットワーク100を通じて接続することにより形成される。
図1は、この発明による通信装置、通信方法の実施形態が適用されたルーターが用いられて形成される通信システムの構成例を説明するための図である。この実施形態の通信システムは、例えば、ある会社(企業)の3つの拠点(支店)A、B、Cを、ネットワーク100を通じて接続することにより形成される。
この実施形態において、3つの拠点A、B、Cは、例えば、東日本(東京)、西日本(大阪)、北海道(札幌)などのように、それぞれが距離の離れた場所に設けられているものとする。また、ネットワーク100は、主にインターネットであるが、拠点A、B、Cのそれぞれからインターネットまでを接続する電話網などをも含むものである。
拠点A、B、Cのそれぞれにおいては、ルーター4A、4B、4Cを通じて、IP電話端末2A(1)、…、2B(1)、…、2C(1)、…、パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…が、ネットワーク100に接続にされる。すなわち、各拠点A、B、C、Dにおいて、ルーター4A、4B、4Cと、これらに接続されるIP電話端末2A(1)、…、2B(1)、…、2C(1)、…と、パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…とによって、LANが構成されている。
ルーター4A、4B、4Cのそれぞれは、複数のLANをOSI(Open Systems Interconnection)基本参照モデルのネットワーク層で接続し、通過するパケットのIPアドレスを見てパケットを最適な経路に中継するものである。
IP電話端末2A(1)、…、2B(1)、…、2C(1)、…のそれぞれは、VoIP(Voice over Internet Protocol)にしたがって、IP網を通じた音声通話を行うための端末装置である。すなわち、IP電話端末2A(1)、…、2B(1)、…、2C(1)、…のそれぞれは、自機が接続されたルーター4A、4B、4Cとネットワーク100とを通じて、音声パケットの送受信を行うことができるものである。
パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…のそれぞれは、種々のアプリケーションソフトウェアを実行することにより、種々の情報処理を行うことができるものである。具体的には、ブラウザアプリを用いることにより、インターネット上に開示されたWebサイトを閲覧したり、メールアプリを用いることにより、電子メールの作成、送信、受信、閲覧を行うようにしたりすることができる。この他にも、通話アプリを用いることにより、電話端末として機能し音声通話を行ったり、ワープロアプリを用いることにより、文書の作成、編集等の処理を行うようにしたりするなど、種々の情報処理を行うことができる。
また、図1に示すように、この実施形態の通信システムの場合には、拠点Aに主装置1が設けられている。主装置1は、SIP(Session Initiation Protocol)サーバに相当するものであり、ルーター4Aを通じてネットワーク100に接続され、この実施形態の通信システムにおける電話の発信、着信、応答、切断などの呼制御を行う。すなわち、この実施形態の通信システムでは、拠点A、B、Cのルーター4A、4B、4Cに接続されたIP電話端末2A(1)、…、2B(1)、…、2C(1)、…などの通信端末は、主装置1によって呼制御がされる。
したがって、拠点A、B、CのIP電話端末2A(1)、…、2B(1)、…、2C(1)、…のそれぞれは、主装置1の配下のIP電話端末であり、各拠点間では内線電話として機能することができるようになっている。また、パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…のそれぞれが、通話アプリを用いることによって電話端末として機能する場合にも、主装置1の配下の電話端末として機能し、主装置1によって呼制御がなされる。つまり、パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…のそれぞれが電話端末として機能する場合にも、主装置1によって、呼び出しや着信が制御され、通話セッションが接続されて通話が可能にされる。
また、図1には図示しないが、ネットワーク100には、NTP(Network Time Protocol)サーバが接続されている。NTPサーバは、NTP(Network Time Protocol)で現在時刻のデータを配信しているものである。これにより、ルーター4A、4B、4Cのそれぞれと、IP電話端末2A(1)、…、2B(1)、…、2C(1)、…のそれぞれは、時刻合わせを行って、同期が合わせられた例えば20ミリ秒ごとのタイミングで音声パケットの送受信を行うことができるようにされる。
また、通話アプリの実行により電話端末として機能する場合のパーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…のそれぞれもまた、NTPサーバの配信する現在時刻のデータにより、時刻合わせを行うことができるようにされる。したがって、通話アプリの実行により電話端末として機能する場合のパーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…のそれぞれもまた、同期が合わせられた例えば20ミリ秒ごとのタイミングで音声パケットの送受信を行うことができるようにされる。
また、この実施形態の通信システムにおいて、各拠点間を接続するネットワーク100は、広く一般に開放されたパブリックネットワークであるインターネットであり、秘匿性の高いセキュアなネットワークではない。このため、この実施形態の通信システムでは、VPN(Virtual Private Network)技術を用いることにより、各拠点間を、ネットワーク100を通じて秘匿性高く接続し、安全に通信を行えるようにしている。具体的に、この実施形態の通信システムでは、ルーター4A、4B、4Cにおいては、VPN技術としてIPsec(Security Architecture for Internet Protocol)を用いることにより、ネットワーク100を通じて相互にVPN接続する。これにより、ルーター4A、4B、4Cのそれぞれの間では、データの送受信を秘匿性高く行うことができる。
そして、この実施形態の通信システムでは、後述するルーター4A、4B、4CがUTM(Unified Threat Management)と呼ばれる統合脅威管理機能を備え、情報漏洩対応、不正アクセス対応、迷惑メール対応、ウィルス対応などを総合的に行うようにしている。しかし、何等かの原因により、ルーター4A、4B、4Cに接続されたパーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…が、コンピュータウィルスに感染してしまう可能性があることは排除できない。
そこで、この実施形態の通信システムにおいて、ルーター4A、4B、4Cのそれぞれは、自機に接続されたパーソナルコンピュータがコンピュータウィルスに感染したことを検知すると、これを同じ通信システムの他のルーターに通知する。当該通知がコンピュータウィルスに感染したことの通知、すなわち、感染通知である。この感染通知を受信したルーター4A、4B、4Cのそれぞれは、VPNの接続は維持したままとし、通話は制限なく行えるようにするが、コンピュータウィルスの拡散を防止する対応をとる。
すなわち、感染通知を受信したルーター4A、4B、4Cのそれぞれは、相互のVPN接続は切断することなく、相手先がどこかにかかわらず、少なくとも、VPN接続維持のための制御用パケット、呼制御用パケット、音声パケットの送受信は通常通りに行うようにする。VPN接続維持のための制御用パケットや呼制御用パケットは、そのフォーマットと伝送されるデータが決まっており、コンピュータウィルスが混入する危険性が少ないためである。また、音声パケットは、ヘッダ情報と音声データ(ペイロード)であるため、コンピュータウィルスが混入する危険性が少なく、テキストデータやプログラムデータなどとは処理過程も異なることから、コンピュータウィルスの拡散媒体とはならないためである。
これに対して、VPN接続維持のための制御用パケットでも、呼制御用パケットでも、音声パケットでもない、いわゆるデータ通信パケットは、例えば添付ファイルの形式などでコンピュータウィルスの伝達(拡散)媒体となり得る。このため、感染通知元のルーターに接続された通信端末からのデータ通信パケットと、感染通知元のルーターに接続された通信端末へのデータ通信パケットとは破棄する。
これにより、通話ができる環境は通話の相手先にかかわらず完全に維持すると共に、感染通知元のルーター以外のルーターに接続された通信端末との間のデータ通信については可能にする。しかし、感染通知元のルーターとの間で送受されるデータ通信パケットは破棄されるので、コンピュータウィルスの拡散を確実に防止することができる。したがって、コンピュータウィルスの感染に伴う影響を最小限に抑えながら、必要な通信環境は維持することができることができるようにしている。
なお、この明細書において、例えば、ルーター間で送受されるVPN接続維持のための制御データなどを伝送するパケットを制御用パケットと呼び、呼制御データを伝送するパケットを呼制御用パケットと呼ぶ。また、通話セッションが接続された端末間で音声データを伝送するためのパケットを音声パケットと呼ぶ。そして、音声データ以外の例えばテキストデータ、画像データ、プログラムデータなどのデータを伝送するパケットをデータ通信パケットと呼ぶこととする。すなわち、データ通信パケットは、コンピュータウィルスの感染を媒介する感染媒体となり得るものである。
なお、制御用パケット、呼制御用パケット、音声パケット以外にも、音声通信を実現するために必要となる種々のパケットは、コンピュータウィルスへの感染通知後であっても、送受信の対象となるようにされる。つまり、音声通信を実現するために必要となるパケット以外のパケットが、送受信の制限対象となるデータ通信パケットである。しかし、以下においては、説明を簡単にするため、音声通信を実現するために必要となるパケットが、主に、制御用パケット、呼制御用パケット、音声パケットであるものとして説明する。
また、図1においては、各拠点のルーター4A、4B、4Cのそれぞれには、IP電話端末が2台とパーソナルコンピュータが1台とが接続されている場合を示している。しかし、これに限るものではない。ルーター4A、4B、4Cのそれぞれには、その能力を超えない範囲で、複数のIP電話端末や複数のパーソナルコンピュータなどの通信端末を接続できる。
以下では、この実施形態の通信システムを構成する主装置1、IP電話端末2A(1)、…、2B(1)、…、2C(1)、…、パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…、ルーター4A、4B、4Cの構成例について説明する。なお、この実施形態において、IP電話端末2A(1)、…、2B(1)、…、2C(1)、…、2D(1)、…のそれぞれは、同様の構成を有するものである。このため、特に区別して示す場合を除き、以下においては、IP電話端末2A(1)、…、2B(1)、…、2C(1)、…、2D(1)、…のそれぞれを、IP電話端末2と総称する。
また、パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…のそれぞれも同様の構成を有するものである。このため、以下においては、特に区別して示す場合を除き、パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…のそれぞれを、パーソナルコンピュータ3と総称する。同様に、ルーター4A、4B、4Cのそれぞれも同様の構成を有するものである。このため、以下においては、特に区別して示す場合を除き、ルーター4A、4B、4Cのそれぞれを、ルーター4と総称する。
[主装置1の構成例]
図2は、この実施形態の通信システムで用いられる主装置1の構成例を説明するためのブロック図である。図2に示すように、主装置1は、LAN接続端子101、LANインターフェース(以下、LANI/Fと記載する。)102、アドレス管理データベース(以下、アドレス管理DBと記載する。)103、アドレス管理部104、呼制御部105、制御部110を備える。
図2は、この実施形態の通信システムで用いられる主装置1の構成例を説明するためのブロック図である。図2に示すように、主装置1は、LAN接続端子101、LANインターフェース(以下、LANI/Fと記載する。)102、アドレス管理データベース(以下、アドレス管理DBと記載する。)103、アドレス管理部104、呼制御部105、制御部110を備える。
制御部110は、この実施の形態の主装置1の各部を制御するものであり、図2に示すように、CPU(Central Processing Unit)111、ROM(Read Only Memory)112、RAM(Random Access Memory)113がシステムバス114を通じて接続されて構成されたコンピュータ装置部である。なお、図示しないが、例えば、EEPROM(Electrically Erasable and Programmable ROM)やフラッシュメモリなどのいわゆる不揮発性メモリを備え、電源が落とされても保持しておくべきデータ、例えば、種々の設定パラメータや機能アップのために提供された新たなプログラムなどについても記憶保持することができるようにされている。
そして、主装置1は、LAN接続端子101及びLANI/F102を通じて、図1にも示したように拠点Aのルーター4Aに接続され、当該ルーター4Aを介してネットワーク100に接続される。これにより、主装置1には、拠点Aのルーター4Aが接続されると共に、拠点B、Cのそれぞれのルーター4B、4Cもまた、ネットワーク100及びルーター4Aを通じて接続される。これにより、後述もするように、ルーター4A、4B、4Cのそれぞれに接続されたIP電話端末2A(1)、…、2B(1)、…、2C(1)、…などが、主装置1の配下の通信端末として管理することができるようにされる。
このように、LAN接続端子101はLANへの接続端部を構成する。LANI/F102は、LANを通じて供給されるパケットを受け付けて、これを自機において処理可能な形式のパケットに変換して制御部110に供給する。また、LANI/F102は、制御部110を通じて供給される送信すべきパケットを送信用の形式のパケットに変換して、これをLANに送出する。
アドレス管理DB103は、レジストラ・サーバ機能を実現するために、ネットワーク100に接続され、この主装置1を通じて呼び出す可能性のある端末装置についてのアドレス情報を記憶保持する。アドレス管理部104は、制御部110の制御の下、アドレス管理DB103へのアドレス情報の追加、変更、削除を行う。
主装置1の制御部110は、ネットワーク100を通じて、これらに接続されている種々の端末装置からの登録要求(レジスタ・リクエスト)などのアドレス情報に関する要求を受信すると、これをアドレス管理部104に供給する。アドレス管理部104は、これに供給されたアドレス情報に関する要求に含まれるIPアドレスなどのアドレス情報を抽出する。そして、アドレス管理部104は、供給された要求に応じて、抽出したアドレス情報をアドレス管理DB103に登録したり、抽出したアドレス情報を用いてアドレス管理DB103の登録情報を更新したり、また、抽出したアドレス情報に対応する登録情報をアドレス管理DB103から削除したりする。
このようにして、アドレス管理DB103に登録されて管理される情報が参照され、自機にLANやネットワーク100を通じて接続されるIP電話端末2などから要求のあった通信先を特定する。そして、その特定した相手先に送信すべき情報(パケットデータ)を転送するようにするプロキシ・サーバとしての機能を主装置1が実現する。また、アドレス管理DB103に登録されて管理される情報は、自機にLANやネットワーク100を通じて接続される配下のIP電話端末2などへの着信の判別などにも用いられる。
図3は、主装置1のアドレス管理DB103に形成される管理情報(データベース)の構成例について説明するための図である。主装置1のアドレス管理DB103は、ルーター4A、4B、4Cに接続された、IP電話端末2A(1)、…、2B(1)、…、2C(1)、…、パーソナルコンピュータ3A(1)、…、3B(1)、…、3C(1)、…などについてのアドレス情報を管理する。
基本的に、主装置1のアドレス管理DB103で管理されるアドレス情報は、ネットワーク100を通じて接続される、あるいは、主装置1に対してLAN接続される端末装置から送信されてくる、内線番号、IPアドレス、機器種別、拠点IDなどである。図3に示した例の場合、内線番号が「101」の端末装置は、IPアドレスが「192.168.1.10」であり、機器種別が「電話」であり、拠点Aに配置されている端末装置であることが登録されている。
また、内線番号が「102」の端末装置は、IPアドレスが「192.168.1.20」であり、機器種別が「電話」であり、拠点Aに配置されている端末装置であることが登録されている。内線番号が「103」の端末装置は、IPアドレスが「192.168.1.30」であり、機器種別が「PC(Personal Computer)」であり、拠点Aに配置されている端末装置であることが登録されている。
拠点B、拠点Cの場合も、拠点Aの場合と同様に、各拠点に配置されているIP電話端末やパーソナルコンピュータごとに、内線番号、IPアドレス、機器種別、拠点IDが登録されて管理されている。なお、この実施形態において、機器種別の「電話」はIP電話端末を意味し、機器種別の「PC」は、パーソナルコンピュータ(Personal Computer)を意味している。
また、IPアドレスは4バイト(32ビット)の情報であり、3バイト目までの情報で、ルーターが特定でき、4バイト目までの情報で、そのルーターに接続されたIP電話端末やパーソナルコンピュータまでが特定できるようになっている。そして、アドレス管理DB103には、図3に示した情報以外にも、例えば、端末装置ごとにURI(Uniform Resource Locator)やMAC(Media Access Control)アドレスやポート番号などの情報を管理することもできる。
ここで、ポート番号は、TCP/IP通信において、端末装置が通信に使用するプログラムを識別するための番号である。このポート番号により、例えば、音声パケットを処理するプログラムを用いること、Webブラウザを用いること、メールソフトを用いることなどが特定できる。したがって、IP電話端末2の場合には、ポート番号により音声パケットを処理するプログラムを用いることが示される。しかし、パーソナルコンピュータの場合には、通話ソフトの他、Webブラウザやメールソフトなどの種々のアプリケーションソフトウェアが用いられるため、ポート番号は、例えばアプリケーションソフトウェアにおいて特定するようにされる。
呼制御部105は、アドレス管理DB103の管理情報を用い、電話の発信、着信、応答、切断の呼制御を行う。例えば、ルーター4Aに接続されたIP電話端末2A(1)からルーター4Bに接続されたIP電話端末2B(1)に対する発信要求(リクエスト)を主装置1が受け付けたとする。まず、主装置1の呼制御部105は、当該発信要求を自機のメモリに登録する。この発信要求には、発信元と着信先の内線番号が含まれているので、呼制御部105は、制御部110の制御の下、アドレス管理DB103の管理情報に基づいて、目的とする相手先であるIP電話端末2B(1)のIPアドレスを特定する。そして、呼制御部105は、特定したIPアドレスを用いて、着信先のIP電話端末2B(1)に対して、着信要求(着信リクエスト)を転送する。
この転送された着信要求がIP電話端末2B(1)で受信されると、IP電話端末2B(1)では、呼び出し音の放音や着信を示すLED(Light Emitting Diode)の点滅を行い、使用者に着信があることを通知する。これに応じて、IP電話端末2B(1)の使用者が、使用者が応答操作を行うと、着信先のIP電話端末2B(1)は、発信元のIP電話端末2A(1)に対する着信応答(レスポンス)を形成して返信する。主装置1の呼制御部105は、当該着信応答を自機のメモリに登録し、当該着信応答(着信レスポンス)を、発信元のIP電話端末2A(1)に転送して、IP電話端末2A(1)とIP電話端末2B(1)との間に通話セッションを接続する。これにより、IP電話端末2A(1)とIP電話端末2B(1)との間で音声パケットの送受信が行えるようになる。すなわち、通話が行えるようになる。
この後、IP電話端末2A(1)とIP電話端末2B(1)とのうちのいずれかが、通話セッションを切断する操作であるいわゆるオンフック操作を行うと、そのオンフック操作が行われたIP電話端末から切断要求が送信されて来る。主装置1の呼制御部105は、これを自機のメモリに登録し、これに応じた切断要求(切断リクエスト)を、他方の相手先のIP電話端末に転送する。相手方のIP電話端末では、当該切断要求に応じて切断応答(切断レスポンス)を形成して返信して来るので、主装置1の呼制御部105は、これを自機のメモリに登録し、切断要求元のIP電話端末に転送する。そして、呼制御部105は、IP電話端末2A(1)とIP電話端末2B(1)との間に接続した通話セッションを切断(開放)する。
このように、呼制御部105は、呼制御を行うことによって、通話セッションを接続し、通話を行えるようにしたり、接続した通話セッションを切断(開放)して、通話を完了させるようにしたりする。そして、上述した着信要求、着信応答、切断要求、切断応答などの、通話セッションの接続や開放などのために送受される要求や応答が、呼制御パケットである。
また、ここでは、図1に示した通信システム内のIP電話端末間で通話を行う場合を例にして説明した。しかし、これに限るものではない。図1に示した通信システム内のIP電話端末から当該通信システム外の電話端末に電話を掛ける場合や、図1に示した通信システム外の電話端末から当該通信システム内のIP電話端末に電話が掛かってくる場合もある。このような場合にも、主装置1の呼制御部105は、適切にメッセージを転送し、通話セッションの接続、開放を行うことができる。
なお、発信に際して、IP電話番号が用いられる場合には、図1には図示しなかったが、ネットワーク100に接続されているゲートウェイやDNS(Domain Name System)が利用されて、IP電話番号からURIやIPアドレスなどが検索されて用いられる。また、相手先から、この実施の形態の通信システムに接続されたIP電話端末2に対して、IP電話番号を用いて電話をかける場合においても同様に、ネットワーク100に接続されているゲートウェイやDNSが利用されて、IP電話番号からURIやIPアドレスなどが検索されて用いられる。
このように、この実施の形態の主装置1は、主装置1が接続される種々のネットワークに接続される端末間の通話に関するメッセージの中継を行うことができるものである。したがって、この実施の形態の主装置1は、外線−内線間の接続や内線間の接続を行ったり、通信回線の使用状況を図1に示した通信システムに接続された配下のIP電話端末2に通知したりすることもできるものである。
また、制御部110は、ネットワーク100、LANを通じて、使用中の通信回線や空いている通信回線を把握し、適切に回線交換を行うこともできるようにしている。また、制御部110は、把握した通信回線の使用状態等に応じて、図1に示した通信システムのIP電話端末ごとに供給すべきLED等の点灯、消灯を制御するための制御情報を形成する。当該制御情報は、ネットワーク100やLANを通じて、当該通信システムに接続された各IP電話端末2等に送信される。このような、通信回線に関する状態通知などのための制御情報を伝送するパケットもまた、呼制御パケットの1つである。
なお、図2において、アドレス管理部104や呼制御部105は、独立した回路部分として示しているが、これに限るものではない。アドレス管理部104や呼制御部105は、制御部110において実行されるプログラムにより、制御部110の機能として実現することももちろん可能である。
[IP電話端末2の構成例]
図4は、この実施形態の通信システムで用いられるIP電話端末2の構成例を説明するためのブロック図である。この実施の形態のIP電話端末2は、図4に示すように、LAN接続端子201T、LANI/F201、パケット処理部202、コーデック203、ハンドセット204、リンガ205を備える。さらに、IP電話端末2は、NTP同期部206、操作入力I/F207、操作部208、ディスプレイコントローラ209、ディスプレイ210を備える。また、IP電話端末2は、各部を制御する制御部220を備える。
図4は、この実施形態の通信システムで用いられるIP電話端末2の構成例を説明するためのブロック図である。この実施の形態のIP電話端末2は、図4に示すように、LAN接続端子201T、LANI/F201、パケット処理部202、コーデック203、ハンドセット204、リンガ205を備える。さらに、IP電話端末2は、NTP同期部206、操作入力I/F207、操作部208、ディスプレイコントローラ209、ディスプレイ210を備える。また、IP電話端末2は、各部を制御する制御部220を備える。
制御部220は、図示しないが、CPU、ROM、RAMなどがCPUバスを通じて接続されて形成されたコンピュータ装置部である。NTP同期部206は、ネットワーク100に接続されているNTPサーバにアクセスし、他のIP電話端末やルーターなどとの間で、音声パケットを送受する例えば20ミリ秒ごとのタイミングの同期を合わせる処理を行う。そして、制御部220の制御の下、IP電話端末2の各部が機能することによって、掛かってきた電話に応答して通話したり、目的とする相手先に電話をかけて通話したりすることができるようにされる。以下、着信時と発信時とに分けて、各部の動作について説明する。
[着信時の動作]
ルーター4を介して送信されてくるパケットデータ(以下、パケットと記載する)は、LAN接続端子201Tを通じてLANI/F201に供給され、ここで自機において処理可能な形式のデータに変換された後、パケット処理部202に供給される。パケット処理部202は、供給されたパケットに含まれる制御データや音声データを分解して抽出する。ここで抽出された制御データは制御部220に供給され、自機の制御に用いられる。また、自機(自端末)宛の音声データが含まれていた場合には、当該音声データは、コーデック203に供給される。
ルーター4を介して送信されてくるパケットデータ(以下、パケットと記載する)は、LAN接続端子201Tを通じてLANI/F201に供給され、ここで自機において処理可能な形式のデータに変換された後、パケット処理部202に供給される。パケット処理部202は、供給されたパケットに含まれる制御データや音声データを分解して抽出する。ここで抽出された制御データは制御部220に供給され、自機の制御に用いられる。また、自機(自端末)宛の音声データが含まれていた場合には、当該音声データは、コーデック203に供給される。
パケット処理部202において分解されて抽出された制御データが、自機への着信要求(着信リクエスト)である場合には、制御部220は、リンガ205を制御して、呼び出し音を放音させる。同時に、制御部220は、ディスプレイコントローラ209を制御し、ディスプレイ210の表示画面に自機に着信があることを通知するメッセージや発信元の電話番号や名前あるいは発信元の内線番号などを表示する。この他、制御部220が機能し、図示しない着信通知用LEDを点滅させるなどのことも行われる。
そして、自機への着信に応じて、使用者がハンドセット204をIP電話端末2の本体から持ち上げるなどのいわゆるオフフック操作がされると、当該IP電話端末2はオフフック状態となる。この場合、制御部220は、着信応答(着信レスポンス)を形成し、これをパケット処理部202においてパケット化して、LANI/F201に供給する。LANI/F201は、当該パケットを送信用のパケットに変換し、これをLAN接続端子201Tを通じて送出し、ルーター4及び主装置1を通じて、発呼元の端末に送信するようにする。
これにより、上述もしたように、主装置1が呼制御を行って、相手先との間で必要となるメッセージを送受信することで通話セッションが接続され、発信元との間において、通話ができるようにされる。この場合、相手先からの音声データを含むパケットは、上述もしたように、LAN接続端子201T、LANI/F201を通じて、パケット処理部202に供給される。パケット処理部202は、相手先からのパケットをパケット分解し、制御データは制御部220へ、音声データはコーデック203に供給する。コーデック203は、パケット処理部202からの音声データを圧縮伸長し、これをアナログ音声信号に変換して、ハンドセット204のスピーカ(受話器)に供給する。これにより、相手先から送信されてくる相手先の音声が、ハンドセット204のスピーカから放音される。
一方、ハンドセット204のマイクロホン(送話器)によって集音された音声は、ここで電気信号に変換され、コーデック203に供給される。コーデック203は、ハンドセット204のマイクロホンからの音声データをデジタル信号に変換し、これを符号化してデータ圧縮し、これをパケット処理部202に供給する。パケット処理部202は、コーデック203からの音声データを含む相手先への送信用の音声パケットを形成し、これをLANI/F201、LAN接続端子201Tを通じて送出し、ルーター4を通じて通信の相手先に送信する。このようにして、IP電話端末2は、自機への着信に応答し、発呼先との間で通話セッションを接続して通話を行うことができる。
[発呼時の動作]
次に、当該IP電話端末2から電話をかける場合の処理について説明する。IP電話端末2から発信する場合には、まず、ハンドセット204をIP電話端末2の本体から持ち上げるなどの、いわゆるオフフック操作を行って、IP電話端末2をオフフック状態にし、操作部208を通じて通話の相手先の電話番号、あるいは、内線番号を入力する。ここで入力された情報は、操作入力I/F207を通じて制御部220に供給される。
次に、当該IP電話端末2から電話をかける場合の処理について説明する。IP電話端末2から発信する場合には、まず、ハンドセット204をIP電話端末2の本体から持ち上げるなどの、いわゆるオフフック操作を行って、IP電話端末2をオフフック状態にし、操作部208を通じて通話の相手先の電話番号、あるいは、内線番号を入力する。ここで入力された情報は、操作入力I/F207を通じて制御部220に供給される。
すると、制御部220は、発信要求を形成し、これをパケット処理部202に供給する。パケット処理部202は、自機からの発信要求をパケット化し、これをLANI/F201、LAN接続端子201Tを通じて送出し、ルーター4及び主装置1を介して、目的とする通信の相手先に送信するようにする。
この後、目的とする相手先からの着信応答が返信されて来ると、通信セッションが接続される。これにより、上述したように、LAN接続端子201T、LANI/F201、パケット処理部202、コーデック203、ハンドセット204の各部が機能し、通話を行うことができるようにされる。このように、IP電話端末2は、自機から目的とする相手先に発信して、相手先との間に通話セッションを接続して通話を行うこともできる。
なお、図4において、パケット処理部202、コーデック203、NTP同期部206は、独立した回路部分として示しているが、これに限るものではない。パケット処理部202、コーデック203、NTP同期部206は、制御部220において実行されるプログラムにより、制御部220の機能として実現することももちろん可能である。
[パーソナルコンピュータ3の構成例]
図5は、この実施形態の通信システムで用いられるパーソナルコンピュータ3の構成例を説明するためのブロック図である。この実施の形態のパーソナルコンピュータ3は、図4に示すように、LAN接続端子301T、LANI/F301、ディスプレイコントローラ302、ディスプレイ303、音声出力処理部304、スピーカ305、音声入力処理部306、マイクロホン307を備える。
図5は、この実施形態の通信システムで用いられるパーソナルコンピュータ3の構成例を説明するためのブロック図である。この実施の形態のパーソナルコンピュータ3は、図4に示すように、LAN接続端子301T、LANI/F301、ディスプレイコントローラ302、ディスプレイ303、音声出力処理部304、スピーカ305、音声入力処理部306、マイクロホン307を備える。
さらに、パーソナルコンピュータ3は、制御部320、ハードディスクドライバ(以下、HDDと略称する。)310、操作入力インターフェース(以下、操作入力I/Fと記載する。)308、操作部309を備える。HDD310は、ハードディスクと当該ハードディスクへのデータの書き込み/読み出し機構を備えたものである。制御部320は、CPU321、ROM322、RAM323がバスを通じて接続されて形成された処理装置部である。制御部320は、パーソナルコンピュータ3の各部を制御すると共に、種々のアプリケーションソフトウェアを実行するアプリケーション実行部としても機能する。
この実施形態に通信システムにおいて、パーソナルコンピュータ3は、図1に示したように、LAN接続端子301Tを通じてルーター4に接続される。LANI/F301は、ルーター4を通じて送信されて来る自機宛てのパケットを自機において処理可能な形式に変換して取り込んだり、また、自機から送信するパケットを送信用の形式に変換して送信したりする。制御部320は、受信して取り込んだパケットを分解して利用できるようにしたり、送信用のパケットを生成したりするパケット処理部としても機能するものである。
そして、制御部320において、例えば、通話アプリが実行されたとする。この場合、制御部320の制御の下、音声出力処理部304及び音声入力処理部306がコーデックとして機能し、スピーカ305が受話器、マイクロホン307が送話器として機能して、パーソナルコンピュータ3をIP電話端末として用いて通話を行うことができるようにされる。
また、制御部320において、ブラウザアプリが実行されたとする。この場合、制御部320は、LANI/F301及びLAN接続端子301Tを通じて接続されているルーター4を通じてネットワーク100上のサーバに開示されているサイトにアクセスする。そして、表示データを取得して、ディスプレイコントローラ302を介してディスプレイ303に表示したり、音声データを取得して、音声出力処理部304及びスピーカ305を通じて放音したりすることができるようにされる。また、サイトから種々のプログラムをダウンロードしてきて、制御部320において実行することもできる。
この他にも、制御部320において、メールアプリを実行することにより、電子メールを作成して、目的とする相手先のメールサーバに送信したり、自機宛ての電子メールを取得して、これをディスプレイ303に表示したりすることができる。もちろん、送信した電子メールや受信した電子メールをHDD310に記憶させておき、必要に応じて読み出して利用するなどのこともできる。この他にも、制御部320で実行される種々のアプリケーションソフトウェアに応じて、パーソナルコンピュータ3の各ハードウェアが利用されて種々の情報処理を行うことができる。
このように、パーソナルコンピュータ3は、通話アプリを実行することにより、IP電話端末として機能して音声パケットの送受信を行うことができる。また、パーソナルコンピュータ3は、種々のアプリケーションを実行することにより、情報処理装置として機能して、Webサイトから種々の情報を取得したり、電子メールを通じて種々の情報を提供したり、提供を受けたりすることができるものである。このため、パーソナルコンピュータは、Webサイトや電子メールなどを通じて、あるいは、USBメモリなどの記憶媒体を通じて、コンピュータウィルスに感染する危険性を常に有するものである。
[ルーター4の構成例]
図6は、この実施形態の通信システムで用いられるルーター4の構成例を説明するためのブロック図である。この実施の形態のルーター4は、図6に示すように、複数のLAN接続端子401T(1)、401T(2)、…、複数のLANI/F401(1)、401(2)、…を備える。また、ルーター4は、メモリ403、NTP同期部404、UTM処理部405、VPN処理部406を備える。さらに、ルーター4は、複数のWAN(Wide Area Network)インターフェース(以下、WANI/Fと記載する。)407(1)、407(2)、…、複数のWAN接続端子407T(1)、407T(2)、…を備える。
図6は、この実施形態の通信システムで用いられるルーター4の構成例を説明するためのブロック図である。この実施の形態のルーター4は、図6に示すように、複数のLAN接続端子401T(1)、401T(2)、…、複数のLANI/F401(1)、401(2)、…を備える。また、ルーター4は、メモリ403、NTP同期部404、UTM処理部405、VPN処理部406を備える。さらに、ルーター4は、複数のWAN(Wide Area Network)インターフェース(以下、WANI/Fと記載する。)407(1)、407(2)、…、複数のWAN接続端子407T(1)、407T(2)、…を備える。
また、ルーター4は、図6に示すように、音声パケット通過フィルタ部411、拠点フィルタ部412を備える。これらの各フィルタ部は、当該通信システムの他のルーターから、自機に接続されたパーソナルコンピュータなどがコンピュータウィルスに感染した旨の通知(感染通知)を受信した場合に、通話(音声通信)は制限なく行えるようにするが、当該通知元のルーターとの間でのデータ通信は制限するためのものである。なお、各フィルタ部の詳細は後述する。
また、ルーター4は、制御部420を備える。制御部420は、図示しないが、CPU、ROM、RAMなどがバスを通じて接続されて構成されたコンピュータ装置部であり、ルーター4の各部を制御するものである。
この実施形態のルーター4は、LAN接続端子401T(1)、401T(2)、…、LANI/F401(1)、401(2)、…を備えることにより、複数のIP電話端末2やパーソナルコンピュータ3が接続可能である。これにより、ルーター4は、これに接続される複数のIP電話端末2やパーソナルコンピュータ3と共に、LANを構成する。そして、ルーター4を接続端として用いて、各拠点A、B、C内に形成されるLANは、ネットワーク100に接続される。
具体的に、LAN接続端子401T(1)、401T(2)、…のそれぞれは、LANシステムを構成するIP電話端末2やパーソナルコンピュータ3などの通信機器の接続端を構成する。LANI/F401(1)、401(2)、…は、自機からLANに送信するパケットをLANへの送信用の形式のパケットに変換し、LAN接続端子401T(1)、401T(2)、…を通じてLANに送出する。また、LANI/F401(1)、401(2)、…は、LANを通じて送信されて来るパケットを、自機で処理可能な形式のパケットに変換し、パケット処理部402(1)、402(2)、…に供給する。このように、LAN接続端子401T(1)、401T(2)、…、LANI/F401(1)、401(2)、…からなる部分は、LANを通じて自機に接続された機器との間でデータの送受信を行う部分となる。
また、WAN接続端子407T(1)、407T(2)、…のそれぞれは、ネットワーク100への接続端を構成する。複数のWAN接続端子407T(1)、407T(2)、…が設けられているのは、複数の通信回線の収容が可能であることを意味している。WANI/F407(1)、407(2)、…は、自機からネットワーク100に送信するパケットをネットワーク100への送信用の形式のパケットに変換し、WAN接続端子407T(1)、407T(2)、…を通じてネットワーク100に送出する。また、WANI/F407(1)、407(2)、…は、ネットワーク100を通じて送信されて来るパケットを、自機で処理可能な形式のパケットに変換し、自機に取り込む。このように、WAN接続端子407T(1)、407(2)、…、WANI/F407(1)、407(2)、…からなる部分は、ネットワーク100を通じたパケットの送受信を行う部分となる。
なお、以下の説明においては、LAN接続端子401T(1)、401T(2)、…と、LANI/F401(1)、401(2)、…とは、特に区別して示す場合を除き、LAN接続端子401T、LANI/F401と記載する。同様に、WAN接続端子407T(1)、407T(2)、…と、WANI/F407(1)、407(2)、…とは、特に区別して示す場合を除き、WAN接続端子407T、WANI/F407と記載する。
ルーター4が備えるメモリ403は、フラッシュメモリなどの不揮発性メモリであり、処理に必要になる種々のデータを記憶保持する。メモリ403には、例えば、コンピュータウィルスに感染した旨の通知をしてきた他のルーターのIPアドレスなどの識別情報などが記憶保持される。NTP同期部404は、ネットワーク100に接続されているNTPサーバにアクセスし、他のIP電話端末やルーターなどとの間で、音声パケットを送受する例えば20ミリ秒ごとのタイミングの同期を合わせるようにする処理を行う。
UTM処理部405は、ネットワークを経由した脅威に対応するため、コンピュータウィルス対応、情報漏洩対応、不正アクセス対応、迷惑メール対応などを効率的かつ包括的に行う。具体的に、UTM処理部405は、Webへのアクセスを監視し、閲覧している画像やダウンロードするファイルにコンピュータウィルスが混入していないかをチェックし、コンピュータウィルスの感染を防止するコンピュータウィルス対応を実施する。また、UTM処理部405は、自機に接続されたパーソナルコンピュータなどの通信端末がコンピュータウィルスに感染した場合に、これを検知し、同じ通信システムに接続された他のルーターに通知する機能を有する。
また、UTM処理部405は、不正なWebサイトへのアクセスを制限することにより、情報漏洩対応を実施したり、バックドアと呼ばれるセキュリティホールからの不正侵入など、インターネット上からの様々な攻撃から防御する不正アクセス対応を実施したりする。また、UTM処理部405は、不要な広告やコンピュータウィルスが添付されたメールをブロックし、必要なメールだけを送受信できるようにする迷惑メール対応を実施する。
VPN処理部406は、この実施形態の通信システムの他のルーターとの間でVPN接続を行って、秘匿性高く通信を行うことが可能なセキュアな通信環境を整える。具体的にVPN処理部406は、当該通信システムの通信端末に送信するパケットに対しては、IPsecのヘッダを付加してカプセル化し、さらに暗号化を施して、送信するようにする。また、VPN処理部406は、受信した当該通信システムの通信端末からのパケットに対しては、復号化処理して暗号化前のパケットを復元し、IPsecのヘッダを除去するように処理してカプセル化を解除する。これにより、受信した当該パケットは、自機において処理可能にされる。
そして、上述したように、UTM処理部405は、統合脅威管理機能を実現すると共に、自機に接続されたパーソナルコンピュータなどの通信端末がコンピュータウィルスに感染した場合に、これを当該通信システムの他のルーターに通知する。当該通知がコンピュータウィルスに感染した旨を通知する感染通知となる。この感染通知は、当該通知が感染通知であることを示す情報と、感染元の通信端末が接続されたルーターを特定できるルーターの識別情報が含まれる。
ルーターの識別情報は、例えば、感染元の通信端末のIPアドレスが用いられる。感染元の通信端末のIPアドレスは、1バイト目から4バイト目までの情報により感染元の通信端末まで特定可能な情報であるが、1バイト目から3バイト目までの情報により、感染元の通信端末が接続されているルーターが特定可能である。また、例えば、図3に示したアドレス管理DB103の格納データのように、各ルーターに接続された通信端末のIPアドレスに対応付けて、その通信端末の内線番号、URI、MACアドレスが管理されていれば、それらを識別情報として用いてもよい。それら内線番号、URI、MACアドレスから通信端末のIPアドレスを特定し、そのIPアドレスからルーターが一意に特定できるからである。
感染通知を受信したルーター4では、制御部420が機能して、当該感染通知の通知元のルーターの識別情報をメモリ403に格納して保持する。そして、VPN接続維持のための制御用パケット、呼制御パケット、音声パケットについては、送受信を行えるようにする。これらのパケットは、コンピュータウィルスが混入する可能性は極めて少ないためである。
これに対し、制御用パケットや呼制御パケットや音声パケット以外のデータ通信のためのデータ通信パケットについては、感染元のルーターへのデータ通信パケットと、感染元のルーターからのデータ通信パケットは破棄し、それ以外の相手先との間で送受信するデータ通信パケットについては、通常通りの送受信を行う。このような、パケットの種類と、パケットの送信元、送信先とを考慮して、パケットの送受信を行うために、音声パケット通過フィルタ部411と、拠点フィルタ部412が設けられている。
音声パケット通過フィルタ部411は、制御用パケットと呼制御パケットと音声パケットは通常通り送受信して適切に処理できるようにするためのフィルタ部となる。自機からネットワーク100に送出するパケットと、ネットワーク100を通じて受信したパケットとは、必ず音声パケット通過フィルタ部411に供給され、制御用パケットと呼制御パケットと音声パケットだけを送受信の対象とし、それ以外の通信パケット(データ通信パケット)は、拠点フィルタ部412に供給する。
すなわち、LAN接続端子401TとLANI/F401とを通じて受信した、自機に接続された通信端末からのパケットは、音声パケット通過フィルタ部411に供給される。音声パケット通過フィルタ部411は、LANI/F401からのパケットが、制御用パケットや呼制御パケットや音声パケットであるか否かを判別し、制御用パケットや呼制御パケットや音声パケットはVPN処理部406に供給し、制御用パケットや呼制御パケットや音声パケット以外のデータ通信パケットは、拠点フィルタ部412に供給する。
拠点フィルタ部412は、これに供給された送信対象のデータ通信パケットのIPヘッダの相手先IPアドレスが、メモリ403に記憶保持している感染通知元のルーターのIPアドレスを含むものか否かを判別する。そして、拠点フィルタ部412は、当該データ通信パケットの相手先(送信先)が、感染通知元のルーターに接続された通信端末であった場合には、当該データ通信パケットを破棄し、そうでない場合には、当該データ通信パケットをVPN処理部406に供給する。
VPN処理部406は、音声パケット通過フィルタ部411からの音声パケットと、拠点フィルタ部412からのデータ通信パケットとについて、カプセル化や暗号化処理を施し、WANI/F407及びWAN接続端子407Tを通じて相手先に送信するようにする。なお、音声パケットについては、主装置1の制御の下、通話セッションが接続されている相手先に送信するようにされる。
また、WAN接続端子407TとWANI/F407とを通じて受信したパケットは、VPN処理部406でカプセル化が解除され、復号化されて暗号化前のパケットに復元されて、これが音声パケット通過フィルタ部411に供給される。音声パケット通過フィルタ部411は、VPN処理部406からのパケットが、音声パケットか否かを判別し、音声パケットは、LANI/F401を介して自機に接続された通信端末に供給し、音声パケットではないパケットは、拠点フィルタ部412に供給する。
拠点フィルタ部412は、これに供給された受信したデータ通信パケットのIPヘッダの送信元IPアドレスが、メモリ403に記憶保持している感染通知元のルーターのIPアドレスを含むものか否かを判別する。そして、拠点フィルタ部412は、当該データ通信パケットの送信元が、感染通知元のルーターに接続された通信端末であった場合には、当該データ通信パケットを破棄し、そうでない場合には、LANI/F401を介して自機に接続された通信端末に供給する。
[音声パケット通過フィルタ部411での判別処理]
音声パケット通過フィルタ部411は、感染通知を送信したり、受信したりした場合に、送受信の対象となっているパケットが、制御用パケット、呼制御用パケット、音声パケットの送受信可能なパケットか否かを判別する処理を行う。
音声パケット通過フィルタ部411は、感染通知を送信したり、受信したりした場合に、送受信の対象となっているパケットが、制御用パケット、呼制御用パケット、音声パケットの送受信可能なパケットか否かを判別する処理を行う。
具体的に、送受信の対象となっているパケットが、制御用パケットか呼制御用パケットかの判別は、送受信の対象となっているパケットの例えばHTTPヘッダのリクエスト行やメッセージヘッダの内容に基づいて判別できる。例えば、リクエスト行のメソッドが「INVITE(接続要求)」や「BYE(切断要求)」などの呼制御用リクエストである場合、これらのリクエスト(要求)に対するレスポンス(応答)である場合には、当該パケットは呼制御用パケットであると判別できる。
また、HTTPヘッダに、電子メールの送信元の電子メールアドレスや送信先の電子メールアドレス、「Return-Path:」といった電子メールで用いられる情報が含まれている場合には、当該パケットは電子メール用パケット(データ通信パケット)であると判別できる。
そして、音声パケットか否かの判別については、以下の3つの手法のいずれかを用いて、あるいは、併用して行うことができる。以下においては、音声パケットか否かの3つの判別手法のそれぞれついて具体的に説明する。
[第1の手法(通話セッションの利用)]
第1の手法は、主装置1が通話セッションを接続している端末間で送受信されるパケットは音声パケットであると判別するものである。上述もしたように、主装置1では、その時点において、どの端末間に通話セッションが接続されているのかを管理している。そこで、音声パケット通過フィルタ部411は、制御部420の制御の下、自機に接続された通信機器との間で通話セッションを接続している相手先の識別情報、例えばIPアドレスを問い合わせる。
第1の手法は、主装置1が通話セッションを接続している端末間で送受信されるパケットは音声パケットであると判別するものである。上述もしたように、主装置1では、その時点において、どの端末間に通話セッションが接続されているのかを管理している。そこで、音声パケット通過フィルタ部411は、制御部420の制御の下、自機に接続された通信機器との間で通話セッションを接続している相手先の識別情報、例えばIPアドレスを問い合わせる。
そして、音声パケット通過フィルタ部411は、主装置1から自機に接続された通信機器との間で通話セッションを接続している相手先IPアドレスを得て、これを保持する。音声パケット通過フィルタ部411は、送信対象のパケットのIPヘッダの相手先IPアドレスが、主装置1からの相手先IPアドレスと同じである場合には、当該パケットは音声パケットであると判別する。また、音声パケット通過フィルタ部411は、受信したパケットのIPヘッダの送信元IPアドレスが、主装置1からの相手先IPアドレスと同じである場合には、当該パケットは音声パケットであると判別する。
このように、主装置1がその時点において、通話セッションを接続している通信端末間で送受されるパケットは音声パケットであると判別する。なお、音声パケット通過フィルタ部411は、判別対象のパケットが供給されるごとに、主装置1に対して問い合わせを行うようにすればよい。
また、別の方法として、主装置1において、通信セッションを接続したタイミングで、主装置1の制御部110が、通信セッションが接続された両方の通信端末のIPアドレスを、当該通信端末が接続されているそれぞれのルーターに通知する。また、主装置1において、通信セッションを開放したタイミングで、主装置1の制御部110が、開放された両方の通信端末のIPアドレスを、当該通信端末が接続されているそれぞれルーターに通知する。このようにして、ルーター4で、最新の通信セッションの接続状態を管理する。この管理している情報に基づいて、音声パケット通過フィルタ部411が、通信セッションが接続されている通信端末間で送受信されるパケットは音声パケットであると判別してもよい。
[第2の手法(通信端末の種別とポート番号の利用)]
第2の手法は、パケットの送信元、相手先(送信先)の通信端末の種別とポート番号とに基づいて、送受信されるパケットが音声パケットか否かを判別するものである。上述もしたように、主装置1のアドレス管理DB103では、各拠点のルーターに接続された通信端末の内線番号及びIPアドレスと共に、機器種別が登録されている。そこで、音声パケット通過フィルタ部411は、提供されたパケットのIPヘッダの送信元IPアドレスと相手先IPアドレスとに基づいて、主装置1のアドレス管理DB103を参照するようにし、送信元の通信端末と相手先の通信端末の機器種別を取得する。この主装置1から取得した両方の通信端末の機器種別が共に「電話」であれば、当該パケットは音声パケットであると判別できる。
第2の手法は、パケットの送信元、相手先(送信先)の通信端末の種別とポート番号とに基づいて、送受信されるパケットが音声パケットか否かを判別するものである。上述もしたように、主装置1のアドレス管理DB103では、各拠点のルーターに接続された通信端末の内線番号及びIPアドレスと共に、機器種別が登録されている。そこで、音声パケット通過フィルタ部411は、提供されたパケットのIPヘッダの送信元IPアドレスと相手先IPアドレスとに基づいて、主装置1のアドレス管理DB103を参照するようにし、送信元の通信端末と相手先の通信端末の機器種別を取得する。この主装置1から取得した両方の通信端末の機器種別が共に「電話」であれば、当該パケットは音声パケットであると判別できる。
しかし、一方の通信端末の機器種別が「電話」であっても、他方の通信端末の機器種別が「PC」の場合には、通話を行っているとは断定できない。この場合には、当該パケットのUDPヘッダの送信元ポート番号と相手先ポート番号とが、いずれも音声を処理するプログラムを指定するポート番号である場合に、当該パケットは音声パケットであると判別する。このように、送信元と相手先の通信機器の機器種別を利用し、さらにはポート番号までをも考慮することによって、音声パケット通過フィルタ部411は、処理対象のパケットが音声パケットか否かを判別できる。
また、パケットのUDPヘッダの送信元ポート番号、相手先ポート番号として用いられるポート番号が、通話音声を処理するプログラムを指定するものか否かを特定できるものであるとする。この場合には、送信元と相手先との両方の通信端末の機器種別が「PC」であっても、処理対象の当該パケットのUDPヘッダの送信元ポート番号と相手先ポート番号とが、いずれも通話音声を処理するプログラムを指定するものである場合に、当該パケットは音声パケットであると判別することができる。
[第3の手法(パケットの格納情報の利用)]
第3の手法は、処理対象のパケットの所定の位置の情報が、音声パケットであることを示すものである場合に、当該パケットは、音声パケットであると判別するものである。しなわち、音声パケットの場合、IPヘッダ、UDPヘッダ、RTPヘッダを有するようにされている。そして、RTPヘッダのPT(Packet Type)の情報が、当該パケットにより伝送する符号データの種類を示している。
第3の手法は、処理対象のパケットの所定の位置の情報が、音声パケットであることを示すものである場合に、当該パケットは、音声パケットであると判別するものである。しなわち、音声パケットの場合、IPヘッダ、UDPヘッダ、RTPヘッダを有するようにされている。そして、RTPヘッダのPT(Packet Type)の情報が、当該パケットにより伝送する符号データの種類を示している。
このため、音声パケット通過フィルタ部411は、処理対象のパケットが音声パケットであれば、RTPヘッダを備えているので、このRTPヘッダのPT(Packet Type)の情報が記録されているべき位置の情報を参照する。そして、この参照した情報が、伝送対象のデータ(ペイロード)格納されたデータが、通話音声データであることを示している場合には、処理対象の当該パケットは、音声データであると判別できる。
具体的に、RTPヘッダのPT(Packet Type)の情報が「8」であれば、伝送対象の符号化データは、「ITU−T G.711 μ−Law」規格の音声符号化データであることが分かる。この「ITU−T G.711 μ−Law」規格は、固定電話網内の音声信号の伝送などに広く用いられている。このため、RTPヘッダのPT(Packet Type)の情報が「8」であれば、当該パケットは通話のための音声パケットであると判別できる。
なお、この第3の手法の場合、RTPヘッダのPT(Packet Type)だけを見ても、当該パケットが音声パケットではないのに、たまたま伝送データが音声データであることを示す情報と一致していただけという場合もあると考えられる。このため、第1の手法や第2の手法と組み合わせて用いるのが好ましい。例えば、UDPヘッダの送信元ポート番号と相手先ポート番号が、いずれも音声を処理するプログラムを指定しており、RDPヘッダのPT(Packet Type)の情報が、固定電話網内の音声信号の伝送などに広く用いられている音声符号化データであることを示している場合に、当該パケットを通話のための音声パケットであると判別することができる。
このように、音声パケット通過フィルタ部411は、上述した第1〜第3の手法のいずれか、あるいは、第1〜第3の手法の2つ以上を組み合わせて用いることにより、処理対象のパケットが通話のための音声パケットか否かを判別する。
[音声パケットのフォーマット]
図7は、音声パケットのフォーマットを説明するための図である。通話時において送受信される音声パケットは、図7(A)に示すように、IP用のヘッダと、UDP用のヘッダと、RTP用のヘッダと、ペイロード(音声データ)とからなるものとなる。
図7は、音声パケットのフォーマットを説明するための図である。通話時において送受信される音声パケットは、図7(A)に示すように、IP用のヘッダと、UDP用のヘッダと、RTP用のヘッダと、ペイロード(音声データ)とからなるものとなる。
そして、IP用のヘッダは、図7(B)に示すように、Ver(バージョン)、ヘッダ長、TOS(サービスタイプ)、データグラム長、ID、フラグ、フラグメント・オフセット、TTL(Time To Live)、プロトコル番号、ヘッダ・チェックサム、送信元IPアドレス、相手先(宛先)IPアドレス、オプション部などからなる。
また、UDP用のヘッダは、図7(C)に示すように、送信元ポート番号、相手先(宛先)ポート番号、パケット長、チェックサムなどからなる。また、RTP用のヘッダは、図7(D)に示すように、V(version Number)、P(padding)、X(extension)、CC(CSRC Count)、M(Marker)、PT(Payload Type)、シーケンス番号、タイムスタンプ、SSRC(Synchronization Source)、CSRC(Contributing Source)などからなる。
そして、上述したように、IP用のヘッダの送信元IPアドレスにより送信元の通信端末が特定でき、相手先IPアドレスにより相手先(宛先)の通信端末が特定できる。また、UDP用のヘッダの送信元ポート番号により、送信元で使用されているプログラムが、また、相手先ポート番号により相手先(宛先)で使用されるプログラムが特定できる。また、RTP用のヘッダのPT(Packet Type)により、伝送対象のデータの種別を特定できる。
図7は、音声パケットのフォーマットであるが、音声パケット以外のデータ通信パケットの場合には、UDP用のヘッダに変えて、TCP用のヘッダなどが用いられ、RTP用のヘッダに変えてHTTP用のヘッダなどが用いられることになる。そして、パケットのヘッダ部の情報により、通信を行っている相互の通信端末を特定したり、相互の通信端末で用いられるポート番号を特定したりするなどのことが可能になる。これらの情報を用いて、処理対象のパケットが、通話のための音声パケットか、音声パケット以外のデータ通信パケットかを特定することができるようにされる。
なお、上述した場合とは反対に、パケットの処理をすることもできる。すなわち、まず、処理対象のパケットが、制御用パケットや呼制御用パケット、通話のための音声パケット以外のデータ通信パケットか否かを判別する。そして、データ通信パケットであると判別した場合には、感染通知元のルーターとの間で送受するパケットは破棄し、それ以外のパケットは送受信の対象とする。一方、処理対象のパケットが、データ通信パケットではなく、制御用パケットや呼制御用パケットや音声パケットであると判別した場合には、制限することなく送受信の対象とする。
このようにパケットの処理を行うようにしてもよい。しかし、通話のための音声パケットはできるだけ遅延させずに処理することが望ましい。このため、処理対象のパケットが、まず、音声パケットか否かを判別し、音声パケットについては、迅速に処理の対象とすることが望ましい。
[通信システムでの処理のまとめ]
図8は、上述した主装置1、IP電話端末2、パーソナルコンピュータ3、ルーター4が用いられて構成される図1に示した通信システムでの処理について説明するためのシーケンス図である。
図8は、上述した主装置1、IP電話端末2、パーソナルコンピュータ3、ルーター4が用いられて構成される図1に示した通信システムでの処理について説明するためのシーケンス図である。
この実施形態の通信システムは、図1を用いて説明したように、拠点Aでは、ルーター4Aに対して、IP電話端末2A(1)、…、パーソナルコンピュータ3A(1)、…が接続されLANが形成されている。また、拠点Aのルーター4Aには、この実施形態の通信システムにおいて、各拠点の電話通信の呼制御を行う主装置1が接続されている。
同様に、拠点Bでは、ルーター4Bに対して、IP電話端末2B(1)、…、パーソナルコンピュータ3B(1)、…が接続されLANが形成されている。また、拠点Cでは、ルーター4Cに対して、IP電話端末2C(1)、…、パーソナルコンピュータ3C(1)、…が接続されLANが形成されている。
このような通信システムにおいて、図8に示すように、各拠点A、B、Cのそれぞれのルーター4A、4B、4Cの間は、VPN接続され(ステップS1、S2、S3)、WANを構成しているとする。そして、各拠点A、B、Cのルーター4A、4B、4Cに接続されたIP電話端末やパーソナルコンピュータなどの通信端末間では、VPN接続の下で、電子メールなどのデータ通信や音声通話が秘匿性高く、セキュアな環境で通信を行うことができるようにされる。
そして、拠点Aのパーソナルコンピュータ3A(1)と、拠点Cのパーソナルコンピュータ3C(1)との間で、ルーター4Aとルーター4Cとの間のVPN接続の下、データ通信が開始されたとする(ステップS11)。また、拠点AのIP電話端末2A(1)と拠点CのIP電話端末2C(1)との間で、ルーター4Aとルーター4Cとの間のVPN接続の下、通話が開始されたとする(ステップS12)。
この場合に、拠点Cのルーター4Cの配下のパーソナルコンピュータ3C(1)が、何等かの原因によりコンピュータウィルスに感染しており(ステップS13)、これが拠点Cのルーター4CのUTM処理部405で検知されたとする(ステップS14)。この場合、拠点Cのルーター4CのUTM処理部405は、制御部420の制御の下、同じ通信システム内のルーター4A、4Bに対して、コンピュータウィルスに感染したことを通知する感染通知を送信する(ステップS15、S17)。
これに応じて、ルーター4Aの制御部420は、応答を形成し、ルーター4Cに返信し(ステップS16)、ルーター4Bの制御部420もまた、応答を形成し、ルーター4Cに返信する(ステップS18)。そして、感染通知を受信したルーター4A、4Bでは、VPN接続は維持し、音声通話は制限なく行えるようにするが、感染通知元の拠点Cのルーター4Cとの間のデータ通信は遮断するように機能する(ステップS20)。
このステップS20の処理は、ルーター4A、4Bのそれぞれにおいて、制御部420の制御の下、音声パケット通過フィルタ部411と、拠点フィルタ部412とが機能する。これにより、制御用パケットや呼制御用パケット、通話のための音声パケットは制限なく送受信できるようにし、感染元のルーターを介するデータ通信パケットの送受信は行えないようにする。
したがって、図8のステップS20において、ルーター4Aでは、ルーター4Cとの間で送受する制御用パケットや呼制御用パケット、音声パケット以外のデータ通信パケットは破棄されるので、図8の下端側に示すように、ステップS11として示した拠点Aのパーソナルコンピュータ3A(1)と拠点Cのパーソナルコンピュータ3C(1)との間のデータ通信は遮断される。これに対して、ステップS12として示した拠点AのIP電話端末2A(1)と拠点CのIP電話端末2C(1)との間の通話は続行することができる。
なお、ここでは、拠点Aのルーター4Aの処理について説明したが、拠点Bのルーター4Bにおいても同様の処理が行われる。すなわち、図8に示した例の場合には、感染通知を受けた拠点A、Bのルーター4A、4Bにおいては、自機に接続された通信端末(配下の通信端末)から拠点Cのルーター4Cの配下の通信端末宛てのデータ通信パケットを破棄する。また、拠点Cのルーター4Cの配下の通信端末から拠点Aのルーター4Aの配下の通信端末に対するデータ通信パケットは、拠点Aのルーター4Aにおいて破棄する。同様に、拠点Cのルーター4Cの配下の通信端末から拠点Bのルーター4Bの配下の通信端末に対するデータ通信パケットは、拠点Aのルーター4Bにおいて破棄する。しかし、制御用パケットや呼制御用パケット、通話のための音声パケットは、いずれの拠点のルーターにおいても、制限なく送受信する。
これにより、VPN接続されている通信システム内において、コンピュータウィルスに感染した通信端末が発生した場合であっても、VPN接続は維持して、通話は制限なく行えるようにする。そして、データ通信用のデータ通信パケットについては、送信元か、送信先が、感染通知元のルーターの配下の通信端末である場合に、これを破棄することにより、コンピュータウィルスの拡散を確実に防止する。また、感染通知元のルーターの配下の通信端末以外の通信端末とは、データ通信も制限させることはない。したがって、当該通信システムの使用者の不便を最小限にとどめることができる。
[ルーター4の処理のまとめ]
図9は、この実施形態の通信システムの各拠点に配置されるルーター4で実行される処理について説明するためのフローチャートである。図9に示すフローチャートの処理は、電源が投入されたルーター4の制御部420において実行される処理である。
図9は、この実施形態の通信システムの各拠点に配置されるルーター4で実行される処理について説明するためのフローチャートである。図9に示すフローチャートの処理は、電源が投入されたルーター4の制御部420において実行される処理である。
すなわち、ルーター4に電源が投入されると、制御部420は、UTM処理部405を制御して、統合脅威管理機能を機能させる(ステップS101)。次に、制御部420は、VPN処理部406を制御して、当該通信システムを構成する他の拠点のルーターとの間にVPNを接続し(ステップS102)、セキュアなネットワーク環境を整える。
そして、制御部420の制御の下、UTM処理部405が機能し、自機に接続された通信機器がコンピュータウィルスに感染したか否かを判別する(ステップS103)。このステップS103の判別処理は、自機に接続された通信端末が既にコンピュータウィルスに感染していると検知され、その感染している状態が継続している場合には繰り返し実行されることがないようにされる。
ステップS103の判別処理において、自機に接続された通信機器がコンピュータウィルスに感染したと判別したとする。この場合、制御部420の制御の下、UTM処理部405が機能し、VPN接続している他のルーターに対して、コンピュータウィルスに感染したことを通知するための感染通知を送信する(ステップS104)。この後、制御部420は、ステップS103からの処理を繰り返すようにする。
また、ステップS103の判別処理において、自機に接続された通信機器がコンピュータウィルスに感染していないと判別した時には、他のルーターからのウィルス感染通知を受信したか否かを判別する(ステップS105)。ステップS105の判別処理において、感染通知を受信したと判別した時には、当該感染通知に対する応答を通知元のルーターに送信すると共に、VPN接続は維持し、感染元の識別情報として例えばIPアドレスをメモリ403に登録する(ステップS106)。
この後、制御部420は、自機に接続されている通信端末との間で通信が発生したか否かを判別する(ステップS107)。ステップS107では、LAN接続端子401T及びLANI/F401を通じて自機に接続されている通信端末からの相手先へ送信すべきパケットを受信した場合には、通信が発生したと判別する。また、ステップS107では、WAN接続端子407T及びWANI/F407を通じて自機に接続されている通信端末宛てのパケットを受信した場合には、通信が発生したと判別する。
ステップS107の判別処理において、通信は発生していないと判別した時には、制御部420は、ステップS103からの処理を繰り返す。また、ステップS107の判別処理において、通信が発生したと判別した時には、制御部420は、処理対象のパケットを音声パケット通過フィルタ部411に供給し、処理対象のパケットは、制御用パケットや呼制御用パケット、通話のための音声パケットか否かを判別する(ステップS108)。ステップS108では、上述もしたように、HTTPヘッダのリクエスト行やメッセージヘッダの情報に基づいて、制御用パケットや呼制御用パケットかを判別する。また、ステップS108では、通話セッションの利用(第1の手法)、通信端末の種別とポート番号の利用(第2の手法)、パケットの格納情報の利用(第3の手法)の1つ以上を用いて、音声パケットか否かを判別する。
ステップS108の判別処理において、処理対象のパケットは、制御用パケットや呼制御用パケット、あるいは、通話のための音声パケットではないと判別したとする。この場合、制御部420は、処理対象のパケットを拠点フィルタ部412に供給し、送信元と送信先の一方が、メモリ403に記憶保持されている感染通知元のルーターに接続された通信端末か否かを判別する(ステップS109)。すなわち、ステップS109の判別処理は、通信の相手先が、感染通知の通知元のルーターの配下の通信端末か否かを判別する処理である。
ステップS109の判別処理において、通信の相手先が、感染通知の通知元のルーターの配下の通信端末であると判別した時には、当該処理対象のパケットは破棄する(ステップS110)。この後、制御部420は、ステップS103からの処理を繰り返す。
そして、ステップS108の判別処理において、処理対象のパケットは、制御用パケットや呼制御用パケット、あるいは、通話のための音声パケットであると判別した場合には、処理対象のパケット(制御用パケット、呼制御用パケット、音声パケット)は、制限なく送受信の対象とする(ステップS111)。すなわち、通常の通信処理を行う。これにより、電話通信による音声通話は、いかなる制限も受けることなく、通常通り行うことができる。
同様に、ステップS109の判別処理において、通信の相手先が、感染通知の通知元のルーターの配下の通信端末ではないと判別した時にも、処理対象のパケット(データ通信パケット)は、制限なく送受信の対象とする(ステップS111)。すなわち、通常の通信処理を行う。これにより、コンピュータウィルスに感染した通信端末が接続されているルーターの配下の通信端末とでなければ、データ通信も制限を受けることなく、通常通り行うことができる。ステップS111の処理の後においては、ステップS103からの処理が繰り返される。
これにより、コンピュータウィルスの拡散を確実に防止し、かつ、通信が一切できなくなる状況を回避して、コンピュータウィルスの感染による影響を最小限にとどめることができる。したがって、この実施形態のルーター4を用いることにより、セキュアな通信システムを構成することができる。
[実施形態の効果]
上述した実施形態の通信システムにおいては、各拠点に設けられるルーター4の機能によって、当該通信システム内にコンピュータウィルスに感染した通信端末が発生しても、コンピュータウィルスの拡散効果的に防止できる。この場合、VPN接続は切断することなく、セキュアなネットワーク環境かでの電話通信による音声通話は何らの制限を受けることなく行うことができる。また、音声通話以外のデータ通信についても、コンピュータウィルスの感染元が接続されたルーターの配下の通信端末以外とであれば、制限を受けることなく行うことができる。
上述した実施形態の通信システムにおいては、各拠点に設けられるルーター4の機能によって、当該通信システム内にコンピュータウィルスに感染した通信端末が発生しても、コンピュータウィルスの拡散効果的に防止できる。この場合、VPN接続は切断することなく、セキュアなネットワーク環境かでの電話通信による音声通話は何らの制限を受けることなく行うことができる。また、音声通話以外のデータ通信についても、コンピュータウィルスの感染元が接続されたルーターの配下の通信端末以外とであれば、制限を受けることなく行うことができる。
[変形例など]
なお、上述した実施形態では、コンピュータウィルスに感染したパーソナルコンピュータが接続されているルーター4Cでは、パケットの送受信の制限制御は行わないようにしたが、これに限るものではない。コンピュータウィルスに感染したパーソナルコンピュータが接続されているルーター4Cにおいても、音声パケット通過フィルタ部411、拠点フィルタ部412の機能により、制御用パケットや呼制御用パケット、通話のための音声パケットは制限なく送受信し、制御用パケット、呼制御用パケット、音声パケット以外のデータ通信パケットは、送受信しないように制御してももちろんよい。
なお、上述した実施形態では、コンピュータウィルスに感染したパーソナルコンピュータが接続されているルーター4Cでは、パケットの送受信の制限制御は行わないようにしたが、これに限るものではない。コンピュータウィルスに感染したパーソナルコンピュータが接続されているルーター4Cにおいても、音声パケット通過フィルタ部411、拠点フィルタ部412の機能により、制御用パケットや呼制御用パケット、通話のための音声パケットは制限なく送受信し、制御用パケット、呼制御用パケット、音声パケット以外のデータ通信パケットは、送受信しないように制御してももちろんよい。
また、上述した実施形態の通信システムにおいて、コンピュータウィルスに感染した通信端末については、例えば、いわゆるアンチウィルスソフトやその他の対応により、コンピュータウィルスの除去を行う。そして、除去が完了した場合に、当該通信端末からルーター4にコンピュータウィルスの除去が完了したことを通知したり、あるいは、使用者が手動で入力したりする。もちろん、ルーター4が、感染元の通信端末にアクセスして、コンピュータウィルスが除去されたか否かを確認するように構成することもできる。この場合、感染元の通信端末では、コンピュータウィルスに感染している状態と、コンピュータウィルスが除去され、感染していない状態とを適切かつ正確に管理しておくようにする。
そして、コンピュータウィルスが除去された通信端末が接続されているルーター4の制御部420は、コンピュータウィルスが除去されたことを把握すると、自機の配下の通信端末でのコンピュータウィルスの感染は解消したことを登録する。これにより、配下の通信端末にコンピュータウィルスに感染したものがあるか、ないかを適切に管理できる。そして、当該ルーター4は、感染解除通知を形成して、これを当該ネットワークを構成する各拠点のルーターに送信する。
感染解除通知を受信したルーター4は、受信応答を形成して感染解除通知元のルーターに送信し、メモリ403に格納しているコンピュータウィルスの感染元の通信端末のIPアドレスなどの情報を消去する。これにより、メモリ403に他のコンピュータウィルスに感染している通信端末のIPアドレスが登録されていなければ、音声パケット通過フィルタ部411や拠点フィルタ部412を機能させることなく、通常通りのパケットの処理を行うことができる。
また、上述した実施形態では、IP電話端末2やパーソナルコンピュータ3は、有線により接続されるものとして説明したが、これに限るものではない。IP電話端末2やパーソナルコンピュータ3とルーター4とは、無線通信により接続することにより、無線LANを構成するものとしてもよい。
また、ルーター4に接続可能な通信端末は、IP電話端末2、パーソナルコンピュータ3の他にも、例えば、タブレットPC(Personal Computer)、スマートフォンなどと呼ばれる高機能携帯電話端末などを接続することができる。ルーター4に対しては、有線LAN接続あるいは無線LAN接続が可能な種々の通信端末を接続することができる。
[その他]
上述した実施形態の説明からも分かるように、通信装置は、ルーター4が対応している。そして、通史装置の受信手段の機能は、ルーター4のWAN接続端子407T及びWANI/F407が実現している。また、制限手段の機能は、音声パケット通過フィルタ部411及び拠点フィルタ部412が実現している。
上述した実施形態の説明からも分かるように、通信装置は、ルーター4が対応している。そして、通史装置の受信手段の機能は、ルーター4のWAN接続端子407T及びWANI/F407が実現している。また、制限手段の機能は、音声パケット通過フィルタ部411及び拠点フィルタ部412が実現している。
また、図8のタイミングチャート、図9のフローチャートを用いて説明した処理を行う方法が、この発明の通信方法の一実施形態が適用されたものである。
1…主装置、101…LAN接続端子、102…LANI/F、103…アドレス管理DB、104…アドレス管理部、105…呼制御部、110…制御部、111…CPU、112…ROM、113…RAM、114…システムバス、2、2A(1)、2A(2)…IP電話端末、2B(1)、2B(2)…IP電話端末、2C(1)、2C(2)…IP電話端末、201T…LAN接続端子、201…LANI/F、202…パケット処理部、203…コーデック、204…ハンドセット、205…リンガ、206…NTP同期部、207…操作入力I/F、208…操作部、209…ディスプレイコントローラ、210…ディスプレイ、220…制御部、3、3A(1)、3A(2)…パーソナルコンピュータ、3B(1)、3B(2)…パーソナルコンピュータ、3C(1)、3C(2)…パーソナルコンピュータ、301T…LAN接続端子、301…LANI/F、302…ディスプレイコントローラ、303…ディスプレイ、304…音声出力処理部、305…スピーカ、306…音声入力処理部、307…マイクロホン、308…操作入力I/F、309…操作部、310…HDD、320…制御部、321…CPU、322…ROM、323…RAM、3、3A、3B、3C…ルーター、401T(1)、401T(2)…LAN接続端子、401(1)、401(2)…LANI/F、403…メモリ、404…NTP同期部、405…UTM処理部、406…VPN処理部、407(1)、407(2)…WANI/F、407T(1)、407T(2)…WAN接続端子、420…制御部、100…ネットワーク
Claims (6)
- 通信端末が接続され、IP(Internet Protocol)網を通じた通信の中継処理を行う通信装置であって、
他の通信装置からの配下の通信端末がコンピュータウィルスに感染した旨の感染通知を受信する受信手段と、
前記受信手段を通じて、前記感染通知を受信した場合に、前記感染通知の通知元の前記他の通信装置との間では、音声通話だけが可能になるように、パケットの送受信を制限する制限手段と
を備えることを特徴とする通信装置。 - 請求項1に記載の通信装置であって、
呼制御を行うと共に、通信端末間に接続された通話セッションを管理する主装置に接続されており、
前記制限手段は、前記主装置において、前記感染通知の通知元の前記他の通信装置の配下の通信端末との間に通話セッションが接続されていることが管理されている場合に、当該通話セッションが接続された当該通信端末との間でのパケットの送受信を可能にする
ことを特徴とする通信装置。 - 請求項1に記載の通信装置であって、
呼制御を行うと共に、通信端末間に接続された通話セッションを管理する主装置に接続されており、
前記制限手段は、前記主装置で管理されている通信の相手先の機器種別が、電話端末である場合には、当該通信端末との間でのパケットの送受信を可能にする
ことを特徴とする通信装置。 - 請求項1または請求項3に記載の通信装置であって、
前記制限手段は、送受信するパケットに含まれるポート番号が、音声データを処理するプログラムを指定するものである場合に、当該通信パケットの送受信を可能にする
ことを特徴とする通信装置。 - 請求項1、請求項2、請求項3または請求項4のいずれかに記載の通信装置であって、
前記制限手段は、前記感染通知の通知元の前記他の通信装置の配下の通信端末との間で送受する、コンピュータウィルスの感染媒体となるデータ通信パケットは破棄することを特徴とする通信装置。 - 請求項1、請求項2、請求項3、請求項4または請求項5のいずれかに記載の通信装置であって、
IP網を通じて拠点間を接続する場合に、仮想的な通信トンネルを通じて接続するようにするVPN(Virtual Private Network)処理部と、
配下の通信端末がコンピュータウィルスに感染した場合にこれを通知する機能などの複数のセキュリティ機能を備えたUTM(Unified Threat Management)処理部と
を備えることを特徴とする通信装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016163207A JP6674141B2 (ja) | 2016-08-24 | 2016-08-24 | 通信装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016163207A JP6674141B2 (ja) | 2016-08-24 | 2016-08-24 | 通信装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018032956A true JP2018032956A (ja) | 2018-03-01 |
JP6674141B2 JP6674141B2 (ja) | 2020-04-01 |
Family
ID=61304994
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016163207A Active JP6674141B2 (ja) | 2016-08-24 | 2016-08-24 | 通信装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6674141B2 (ja) |
-
2016
- 2016-08-24 JP JP2016163207A patent/JP6674141B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP6674141B2 (ja) | 2020-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3292675B1 (en) | Establishing media paths in real time communications | |
US20060262916A1 (en) | Proxy server for internet telephony | |
JP6345816B2 (ja) | ネットワーク通信システムおよび方法 | |
US10218586B2 (en) | System and method for enabling the capture and securing of dynamically selected digital information | |
WO2004061580A3 (en) | Integrating the internet with the public switched telephone network | |
WO2010119710A1 (ja) | Vpn装置及びvpnネットワーキング方法 | |
GB2444381A (en) | Establishing communications with a node in restrictive gateway protected private network | |
US7734909B1 (en) | Using voice over IP or instant messaging to connect to customer products | |
WO2014030199A1 (ja) | シームレスアプリプッシュシステム及びその方法 | |
EP2140672B1 (en) | Secure voicemail system and method | |
JP4366270B2 (ja) | ネットワーク接続設定装置及びネットワーク接続設定方法 | |
JP6048129B2 (ja) | 通信システムと装置と方法とプログラム | |
JP4473851B2 (ja) | 電話システムとその暗号化処理方法、通信端末、および接続装置 | |
US7693132B1 (en) | Multicast and unicast message re-direction system, method, message re-director, and network device | |
JP6674141B2 (ja) | 通信装置 | |
JP4677350B2 (ja) | 呼制御信号転送装置、呼制御信号転送方法および呼制御信号転送プログラム | |
JP2006108768A (ja) | ユーザ端末の識別情報を隠蔽した通信接続方法及び通信システム | |
KR100660123B1 (ko) | Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기 | |
JP4728933B2 (ja) | Ip電話通信システム、ip電話通信方法、およびそのプログラム | |
JP2005020676A (ja) | 電話通信方法及び装置 | |
JP2011239277A (ja) | Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
JP2010252261A (ja) | Vpn装置、vpnネットワーキング方法、及び記憶媒体 | |
JP2010283761A (ja) | Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
JP5477090B2 (ja) | 端末状態制御装置、端末状態制御プログラム、端末状態制御方法および端末状態制御システム | |
TW200539645A (en) | Cryptographic system with ip telephone units used as terminating terminals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190423 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200218 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6674141 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |