JP2021010148A - Telephone exchange device, telephone exchange system, control method, and program - Google Patents
Telephone exchange device, telephone exchange system, control method, and program Download PDFInfo
- Publication number
- JP2021010148A JP2021010148A JP2019124130A JP2019124130A JP2021010148A JP 2021010148 A JP2021010148 A JP 2021010148A JP 2019124130 A JP2019124130 A JP 2019124130A JP 2019124130 A JP2019124130 A JP 2019124130A JP 2021010148 A JP2021010148 A JP 2021010148A
- Authority
- JP
- Japan
- Prior art keywords
- blacklist
- message
- registration message
- registered
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、電話交換装置、電話交換システム、制御方法及びプログラムに関する。 The present invention relates to telephone exchange devices, telephone exchange systems, control methods and programs.
近年、インターネットなどのIP(Internet Protocol)ネットワークの普及に伴いIP電話が広く利用されており、ボタン電話装置やIP−PBX(IP Private Branch eXchange)などの電話交換装置においてもIP電話への対応が進められている。一方、IPネットワークを介して悪意のある不正なアクセスが増えており、不正利用に対する対策が求められている。 In recent years, with the spread of IP (Internet Protocol) networks such as the Internet, IP phones have been widely used, and IP phones are also supported by button phone devices and telephone exchange devices such as IP-PBX (IP Private Branch eXchange). It is being advanced. On the other hand, malicious and unauthorized access via IP networks is increasing, and countermeasures against unauthorized use are required.
関連する技術として、例えば、特許文献1や2が知られている。特許文献1には、電話端末において、電話番号や発信者名を含む発信者情報に基づいて迷惑電話を拒否する技術が記載されている。特許文献2には、IP電話端末において、ポート番号やIPアドレスに基づいて不正な通信を判断する技術が記載されている。
As related techniques, for example,
上記のように、関連する技術では、不正な発信者情報等を登録しておき、該当するアクセスを拒否等している。しかしながら、関連する技術では、ブルートフォースアタック(Brute-force attack:総当たり攻撃)などの攻撃が考慮されていないため、不正利用を防ぐことが困難な場合があるという問題がある。 As described above, in the related technology, illegal caller information and the like are registered and the corresponding access is denied. However, there is a problem that it may be difficult to prevent unauthorized use because the related technology does not consider attacks such as brute-force attack (brute-force attack).
本開示は、このような課題に鑑み、不正利用を防ぐことが可能な電話交換装置、電話交換システム、制御方法及びプログラムを提供することを目的とする。 In view of such problems, it is an object of the present disclosure to provide a telephone exchange device, a telephone exchange system, a control method and a program capable of preventing unauthorized use.
本開示に係る電話交換装置は、ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶する記憶部と、IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行う認証部と、前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録する登録部と、前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する応答判断部と、を備えるものである。 The telephone exchange device according to the present disclosure includes a storage unit that stores a blacklist for registering a blacklist target person and a temporary blacklist for registering a temporary blacklist target person, and registration for registering an IP telephone user. Depending on whether or not the authentication unit that receives the message and performs the authentication process of the registration message and the authentication of the registration message have failed and the registrant information of the registration message is registered in the temporary blacklist. , The registration unit that registers the registrant information in the temporary blacklist or the blacklist, and a response message to the registration message depending on whether or not the registrant information of the registration message is registered in the blacklist. It is provided with a response determination unit for determining whether or not to reply.
本開示に係る電話交換システムは、IP電話端末と電話交換装置とを備えた電話交換システムであって、前記電話交換装置は、ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶する記憶部と、前記IP電話端末からIP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行う認証部と、前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録する登録部と、前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する応答判断部と、を備えるものである。 The telephone exchange system according to the present disclosure is a telephone exchange system including an IP telephone terminal and a telephone exchange device, and the telephone exchange device is a blacklist for registering a blacklist target person and a temporary blacklist target person. A storage unit that stores a temporary blacklist for registering a blacklist, an authentication unit that receives a registration message for registering an IP telephone user from the IP telephone terminal, and performs an authentication process for the registration message, and a registration message of the registration message. Depending on whether the authentication has failed and the registrant information of the registration message is registered in the temporary blacklist, the registration unit that registers the registrant information in the temporary blacklist or the blacklist, and It is provided with a response determination unit that determines whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
本開示に係る電話交換装置の制御方法は、ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶し、IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行い、前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録し、前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断するものである。 The control method of the telephone exchange device according to the present disclosure stores a blacklist for registering a blacklist target person and a temporary blacklist for registering a temporary blacklist target person, and registers for registering an IP telephone user. The registration is performed according to whether or not the message is received, the registration message is authenticated, the registration message authentication fails, and the registrant information of the registration message is registered in the temporary blacklist. Whether or not to register the person information in the temporary blacklist or the blacklist and return a response message to the registration message depending on whether or not the registrant information of the registration message is registered in the blacklist. Is to judge.
本開示に係るプログラムは、ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶し、IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行い、前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録し、前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する、処理を電話交換装置に実行させるためのプログラムである。 The program according to the present disclosure stores a blacklist for registering blacklisted persons and a temporary blacklist for registering temporary blacklisted persons, and receives a registration message for registering an IP telephone user. Depending on whether or not the registration message is authenticated, the registration message authentication fails, and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is temporarily used. A process of registering in a blacklist or the blacklist, and determining whether to return a response message to the registered message according to whether or not the registrant information of the registered message is registered in the blacklist. Is a program for causing a telephone exchange device to execute.
本開示によれば、不正利用を防ぐことが可能な電話交換装置、電話交換システム、制御方法及びプログラムを提供することができる。 According to the present disclosure, it is possible to provide a telephone exchange device, a telephone exchange system, a control method and a program capable of preventing unauthorized use.
(実施の形態に至る検討)
IP電話を実現するためのプロトコルとしてSIP(Session Initiation Protocol)が利用されている。ボタン電話装置やIP−PBXではSIPサーバ機能を搭載している製品が多く、このような製品では、SIP内線電話機を収容することが可能である。SIP内線電話機は、SIPプロトコルを使用してSIPサーバと通信を行い、SIPサーバに登録(REGISTER)メッセージを送信し、登録が成功することでSIPサーバ(ボタン電話装置、IP−PBX)の機能や資源を利用することが可能となる。
(Examination leading to the embodiment)
SIP (Session Initiation Protocol) is used as a protocol for realizing an IP telephone. Many button telephone devices and IP-PBXs are equipped with a SIP server function, and such products can accommodate a SIP extension telephone. The SIP extension telephone communicates with the SIP server using the SIP protocol, sends a registration (REGISTER) message to the SIP server, and when the registration is successful, the function of the SIP server (button telephone device, IP-PBX) and It becomes possible to use resources.
悪意ある攻撃者は、攻撃対象のIPアドレスがSIPサーバ機能を搭載していると判断すると、正規のSIP内線電話機に成りすまそうとメッセージを送信してくる。例えば、攻撃者のSIPメッセージにエラーメッセージを返信してしまうことで、該当IPアドレスはSIP機能を有していると認識されてしまう。 When a malicious attacker determines that the IP address of the attack target has a SIP server function, it sends a message to impersonate a legitimate SIP extension telephone. For example, by returning an error message to the attacker's SIP message, the corresponding IP address is recognized as having a SIP function.
一般的にSIPサーバでは正規のSIP内線電話機のみにシステムの利用を許可するため、パスワード認証を実施している。この認証に対し、攻撃者は登録に成功するまでIDとパスワードを変更したブルートフォースアタックを行ってくる。ブルートフォースアタックとは、考えられる全ての文字の組み合わせのパターンにより、ユーザアカウント(ID及びパスワード)の解読を試みる攻撃手法である。この攻撃により、ひとたび登録が成功してしまうと、ボタン電話装置内の資源、機能が利用可能となるため、例えばボタン電話装置から外線を使用して国際不正発信が行われてしまうなどの被害が報告されている。また、乗っ取りのためのブルートフォースアタック自体がボタン電話装置の負荷となってしまい、正常動作を阻害してしまっている。 Generally, in the SIP server, password authentication is performed in order to allow only a legitimate SIP extension telephone to use the system. In response to this authentication, the attacker performs a brute force attack with the ID and password changed until the registration is successful. Brute force attack is an attack method that attempts to decrypt a user account (ID and password) by using a pattern of all possible character combinations. Once the registration is successful due to this attack, the resources and functions in the button telephone device become available, resulting in damage such as international fraudulent calls being made from the button telephone device using an outside line. It has been reported. In addition, the brute force attack itself for hijacking becomes a load on the button telephone device, which hinders normal operation.
このように、関連する技術では、SIP対応のボタン電話装置やIP−PBXにおいて、ブルートフォースアタック等による不正利用を防ぐことができないという問題がある。すなわち、ブルートフォースアタックにより、ユーザアカウント(ID及びパスワード)が解読されて不正利用されてしまい、高額な国際電話料金を請求される等の被害が増えている。この課題は、正規の電話機と、攻撃者の電話機の判別が難しいことに起因している。すなわち、攻撃者もSIPプロトコルを使用して通信するため、ボタン電話装置は正規ユーザと攻撃者の識別ができず、受信したSIPメッセージには応答するしかなかった。また、SIPメッセージに返信してしまうことで、攻撃者に対して該当IPアドレスはSIP機能を有していることが漏洩してしまっていた。 As described above, there is a problem that the related technology cannot prevent unauthorized use due to brute force attack or the like in the SIP-compatible button telephone device or IP-PBX. That is, due to brute force attacks, user accounts (IDs and passwords) are decrypted and illegally used, and damages such as being charged a high international call charge are increasing. This issue is due to the difficulty in distinguishing between legitimate phones and attacker phones. That is, since the attacker also communicates using the SIP protocol, the button telephone device cannot distinguish between the legitimate user and the attacker, and has no choice but to respond to the received SIP message. In addition, by replying to the SIP message, it was leaked to the attacker that the corresponding IP address had the SIP function.
そこで、以下の実施の形態では、ブルートフォースアタック等の悪意ある攻撃への対処方法を提供し、不正利用を防ぐことを可能とする。 Therefore, in the following embodiment, it is possible to provide a countermeasure against malicious attacks such as brute force attack and prevent unauthorized use.
(実施の形態の概要)
図1は、実施の形態に係る電話交換システムの概要を示し、図2は、実施の形態に係る電話交換装置の概要を示している。図1に示すように、実施の形態に係る電話交換システム1は、互いに通信可能に接続された電話交換装置10とIP電話端末20を備えている。
(Outline of Embodiment)
FIG. 1 shows an outline of a telephone exchange system according to an embodiment, and FIG. 2 shows an outline of a telephone exchange device according to an embodiment. As shown in FIG. 1, the
図2に示すように、電話交換装置10は、記憶部11、認証部12、登録部13、応答判断部14を備えている。記憶部11は、ブラックリスト対象者(不正利用を行う攻撃者)を登録するブラックリスト11a及び一時的なブラックリスト対象者を登録する一時ブラックリスト11bを記憶する。認証部12は、IP電話端末20から受信する、IP電話の利用者を登録するための登録メッセージの認証処理を行う。登録部13は、登録メッセージの認証が失敗し、かつ、登録メッセージの登録者情報が一時ブラックリスト11bに登録されているか否かに応じて、当該登録者情報を一時ブラックリスト11bまたはブラックリスト11aに登録する。応答判断部14は、登録メッセージの登録者情報がブラックリスト11aに登録されているか否かに応じて、登録メッセージに対しレスポンスメッセージを返信するか否かを判断する。
As shown in FIG. 2, the
このように、実施の形態では、登録メッセージの認証が失敗すると、一時ブラックリストの登録状況に応じて、一時ブラックリストまたはブラックリストに登録者情報を登録し、さらに、ブラックリストの登録状況に応じて、レスポンスメッセージを返信するか否かを判断する。これにより、ブルートフォースアタック等の攻撃者をブラックリストに登録し、その攻撃による不正利用を防ぐことが可能となる。 As described above, in the embodiment, when the authentication of the registration message fails, the registrant information is registered in the temporary blacklist or the blacklist according to the registration status of the temporary blacklist, and further, according to the registration status of the blacklist. To determine whether to reply the response message. This makes it possible to register an attacker such as a brute force attack on a blacklist and prevent unauthorized use by the attack.
(実施の形態1)
以下、図面を参照して実施の形態1について説明する。まず、図3を用いて、本実施の形態に係るボタン電話システム及びボタン電話装置の構成例について説明する。図3に示すように、本実施の形態に係るボタン電話システム2は、ボタン電話装置100と複数のSIP端末201及び202を備えている。ボタン電話システム2は、ボタン電話装置100がSIP端末201等の内線電話機(ボタン電話機)を収容し、発着信制御(呼制御)を行って内線通話や外線通話等を可能にするシステムである。
(Embodiment 1)
Hereinafter, the first embodiment will be described with reference to the drawings. First, a configuration example of the button telephone system and the button telephone device according to the present embodiment will be described with reference to FIG. As shown in FIG. 3, the
SIP端末201及び202は、SIP内線電話機(IP電話端末)であり、構内ネットワークであるIPネットワーク300を介して通信可能に接続されている。ボタン電話装置100とSIP端末201及び202は、IP通話(VoIP)を行うためのSIPプロトコルに従ったメッセージを送受信する。SIP端末201及び202は、SIPプロトコルのUser−Agent(UA)機能を有しており、IP通話の利用者(User−Agent)を登録するために、登録(REGISTER)メッセージをボタン電話装置100に送信する。
The
ここでは、SIP端末201及び202を、正規のSIP端末201、攻撃者のSIP端末202とする。すなわち、正規のSIP端末201は、正規のユーザID及びパスワードを使用してREGISTERメッセージを送信し、攻撃者のSIP端末202は、不正なユーザID及びパスワードを使用してREGISTERメッセージを送信する。
Here, the
ボタン電話装置100は、SIPサーバ機能を有する主装置(電話交換装置)であり、SIP端末201等とIPネットワーク300上の他のSIP端末との内線通話や、外部のネットワークのIP電話機との外線通話のための発着信等を制御する。ボタン電話装置100は、制御部101、IPインタフェース102、SIP制御部103、ブラックリストデータベース104、テンポラリデータベース105を備えている。また、ボタン電話装置100は、後述の本実施形態に係る動作を行うために必要な、認証情報(ユーザID及びパスワード)を記憶する記憶部等を備えている。なお、ボタン電話装置100は、SIPサーバ機能を有するIP−PBXでもよいし、SIPサーバ機能を有する他の交換装置やサーバ装置等でもよい。
The
制御部101は、ボタン電話装置100のメイン制御を行うメイン制御部であり、ボタン電話装置100の各部の動作を制御する。制御部101は、メイン制御として、IPインタフェース102やSIP制御部103の動作を制御し、また、SIP以外のプロトコル処理等を行う。例えば、メモリ上のメイン制御プログラムをCPU(Central Processing Unit)等のプロセッサで実行することで、制御部101の機能が実現される。
The
IPインタフェース102は、IPネットワーク300を介して、SIP端末201等とIP通信を行うIP通信部である。IPインタフェース102は、SIP内線電話機であるSIP端末201等を収容する収容部でもある。IPインタフェース102は、送受信するIPパケットがSIPメッセージの場合、SIP制御部103とIPネットワーク300の間でメッセージを転送し、送受信するIPパケットがその他のメッセージの場合、制御部101とIPネットワーク300の間でメッセージを転送する。
The
SIP制御部103は、SIPプロトコルに従いSIPサーバ機能としての制御(呼制御)を行う制御部である。SIP制御部103は、IPインタフェース102及びIPネットワーク300を介してSIP端末201等との間で送受信するSIPメッセージの解析や生成等を行う。例えば、メモリ上のSIP制御プログラムをCPU等のプロセッサで実行することで、SIP制御部103の機能が実現される。
The
SIPサーバ機能には、SIPプロトコルで規定される、SIPメッセージの転送処理を行うプロキシサーバ、SIPメッセージの転送先の応答処理を行うリダイレクトサーバ、REGISTERメッセージを受信しUser−Agentの登録処理を行うレジストラ、登録されたUser−Agentの場所を管理するロケーションサーバとしての機能が含まれる。各サーバの機能を複数の装置で実現してもよいが、ボタン電話装置100のSIP制御部103は、REGISTERメッセージの受信処理を行うため、少なくともレジストラとしての機能を有する。
The SIP server function includes a proxy server that performs SIP message transfer processing, a redirect server that performs response processing for the SIP message transfer destination, and a registrar that receives REGISTER messages and performs User-Agent registration processing, as defined by the SIP protocol. , A function as a location server that manages the location of the registered User-Agent is included. The function of each server may be realized by a plurality of devices, but the
また、SIP制御部103は、後述の本実施の形態に係る動作を行うための機能を有している。すなわち、SIP制御部103は、受信したREGISTERメッセージの認証処理(認証部)、ブラックリストデータベース104及びテンポラリデータベース105の登録処理(登録部)、REGISTERメッセージに対する応答処理(応答判断部)等を行う機能を有する。例えば、登録処理として、REGISTERメッセージの認証が失敗し、かつ、REGISTERメッセージの登録者情報がテンポラリブラックリスト105aに登録されていない場合、当該登録者情報をテンポラリブラックリスト105aに登録し、REGISTERメッセージの認証が失敗し、かつ、REGISTERメッセージの登録者情報がテンポラリブラックリスト105aに登録されている場合、当該登録者情報をブラックリスト104aに登録する。応答処理として、REGISTERメッセージの登録者情報がブラックリスト104aに登録されていない場合、REGISTERメッセージの認証結果に応じて、正常レスポンスメッセージ、または、エラーレスポンスメッセージを返信し、REGISTERメッセージの登録者情報がブラックリスト104aに登録されている場合、REGISTERメッセージに対しレスポンスメッセージを返信せずに、REGISTERメッセージを廃棄する。
Further, the
ブラックリストデータベース104は、ブラックリスト104aを格納(記憶)するブラックリスト格納部(記憶部)である。テンポラリデータベース105は、テンポラリブラックリスト105aを格納(記憶)するテンポラリブラックリスト格納部(記憶部)である。ブラックリストデータベース104及びテンポラリデータベース105は、例えばRAM(Random Access Memory)等の揮発性メモリ(揮発性記憶装置)で構成されるが、フラッシュメモリ等の不揮発性メモリ(不揮発性)で構成されてもよい。また、ブラックリストデータベース104及びテンポラリデータベース105のいずれか、または両方を、ボタン電話装置100の外部の記憶装置としてもよい。
The
図4は、ブラックリストデータベース104に格納されるブラックリスト104aの例を示している。ブラックリスト104aは、ブラックリスト対象者の情報を登録するリストであり、攻撃者からのREGISTERメッセージを識別して廃棄するための情報を登録する。具体的には、図4に示すように、ブラックリスト104aは、Index、IPアドレス、User−Agentを格納する欄を有する。すなわち、ブラックリスト104aには、Indexごとに、攻撃者のSIP端末202のIPアドレスとUser−Agent情報を対応付けて登録する。IPアドレスとUser−Agent情報は、REGISTERメッセージに含まれる情報であり、IPアドレスは、SIP端末のIPアドレス(IPレイヤの識別情報)であり、SIPプロトコル上のUser−Agentを識別する情報(セッションレイヤの識別情報)である。この例では、IPアドレス="XXX.XXX.XXX.XXX"とUser−Agent="SIP APP"が対応付けられている。
FIG. 4 shows an example of the
図5は、テンポラリデータベース105に格納されるテンポラリブラックリスト105aの例を示している。テンポラリブラックリスト105aは、一時的なブラックリスト対象者の情報を登録するリストであり、ブラックリスト104aに登録する攻撃者を判定するために攻撃者の情報を一時的に登録する。具体的には、図5に示すように、テンポラリブラックリスト105aは、Index、IPアドレス、User−Agent、ユーザIDを格納する欄を有する。すなわち、テンポラリブラックリスト105aには、Indexごとに、攻撃者のSIP端末202のIPアドレス、User−Agent情報、ユーザID(内線番号)を対応付けて登録する。IPアドレス、User−Agent情報、ユーザIDは、REGISTERメッセージに含まれる情報であり、ユーザIDは、パスワードと共に認証処理の判断に使用される情報である。この例では、IPアドレス="XXX.XXX.XXX.XXX"とUser−Agent="SIP APP"とユーザID="AAA"が対応付けられている。
FIG. 5 shows an example of a
本実施の形態では、テンポラリブラックリスト105aに登録があるIPアドレス及びUser−Agent情報を持った送信者から、別のユーザID(内線番号)を指定した登録(REGISTER)メッセージが受信された場合には、有効なユーザIDをブルートフォース攻撃により探索していると判定できるため、送信者を攻撃者と判断する。
In the present embodiment, when a registration (REGISTER) message specifying another user ID (extension number) is received from a sender having an IP address and User-Agent information registered in the
特に、本実施の形態では、登録メッセージを監視し、アカウント(ID&パスワード)によるユーザ認証に、1回目失敗した場合、エラーレスポンスを返信し、当該登録要求者(IPアドレス、User−Agentヘッダ情報)をテンポラリブラックリスト105aに登録し、2回目失敗した場合、エラーレスポンスを返信し、当該登録要求者(IPアドレス、User−Agentヘッダ情報)をブラックリスト104aに登録し、ブラックリスト104aの登録者からの登録メッセージに対しては、エラーレスポンスを返信すること無く、当該メッセージを廃棄する。これにより、ブルートフォースアタックへの対処を可能とする。すなわち、アカウント(ID&パスワード)によるユーザ認証に2回失敗すると、同じ要求者(IPアドレス、User−Agentヘッダ情報)からの登録メッセージを無視するため、ユーザアカウント(ID&パスワード)が解読されることが無く、不正利用による高額国際電話料金を請求されることを防ぐことができる。
In particular, in the present embodiment, the registration message is monitored, and if the user authentication by the account (ID & password) fails for the first time, an error response is returned and the registration requester (IP address, User-Agent header information). Is registered in the
次に、図6のシーケンスを用いて、ボタン電話装置100に対する攻撃者のSIP端末202からのREGISTERメッセージを無視する際の動作例を説明する。
Next, an operation example when ignoring the REGISTER message from the
ボタン電話装置100は、攻撃者のSIP端末202からREGISTERメッセージを受信すると(S101)、メッセージ解析を行い、ユーザID及びパスワードの認証を行う(S102)。例えば、REGISTERメッセージには、IPアドレス="XXX.XXX.XXX.XXX"、User−Agent="SIP APP"、ユーザID="AAA"及びパスワードが含まれており、ボタン電話装置100は、このユーザID及びパスワードが正規かどうか判断する。
When the
受信したREGISTERメッセージのユーザID及びパスワードがボタン電話装置100内に保存されている正しいユーザID及びパスワードと一致しなかった場合、ボタン電話装置100は、受信したREGISTERメッセージに基づいて、SIP端末202のIPアドレス、User−Agent情報、ユーザIDをテンポラリデータベース105のテンポラリブラックリスト105aに登録し(S103)、SIP端末202に対してエラーレスポンスを送信する(S104)。図5のように、テンポラリブラックリスト105aに、受信したREGISTERメッセージに含まれる、IPアドレス="XXX.XXX.XXX.XXX"、User−Agent="SIP APP"、ユーザID="AAA"を組み合わせて登録する。
If the user ID and password of the received REGISTER message do not match the correct user ID and password stored in the
続けてSIP端末202からREGISTERメッセージが送信されてきた場合(S105)、ボタン電話装置100は、メッセージ解析を行い、ユーザID及びパスワード認証を行う(S106)。例えば、REGISTERメッセージには、IPアドレス="XXX.XXX.XXX.XXX"、User−Agent="SIP APP"、ユーザID="BBB"及びパスワードが含まれている。
When a REGISTER message is subsequently transmitted from the SIP terminal 202 (S105), the
受信したREGISTERメッセージのユーザID及びパスワードがボタン電話装置100内に保存されている正しいユーザID及びパスワードと一致しなかった場合、ボタン電話装置100は、テンポラリデータベース105のテンポラリブラックリスト105aを取得する。テンポラリブラックリスト105aに、受信したREGISTERメッセージと同じIPアドレス、User−Agentの組み合わせの登録があり、ユーザIDが異なっている場合、ボタン電話装置100は、SIP端末202を攻撃者の端末と判定し、SIP端末202のIPアドレス、User−Agent情報をブラックリストデータベース104のブラックリスト104aに登録し(S107)、SIP端末202に対してエラーレスポンスを送信する(S108)。
If the user ID and password of the received REGISTER message do not match the correct user ID and password stored in the
受信したREGISTERメッセージには、IPアドレス="XXX.XXX.XXX.XXX"、User−Agent="SIP APP"、ユーザID="BBB"が含まれ、テンポラリブラックリスト105aには、IPアドレス="XXX.XXX.XXX.XXX"、User−Agent="SIP APP"、ユーザID="AAA"の組み合わせが登録されており、IPアドレス及びUser−Agentが一致し、ユーザIDが不一致の組み合わせがあるため、図4のように、ブラックリスト104aに、受信したREGISTERメッセージに含まれる、IPアドレス="XXX.XXX.XXX.XXX"とUser−Agent="SIP APP"を組み合わせて登録する。
The received REGISTER message includes the IP address = "XXX.XXX.XXX.XXX", User-Agent = "SIP APP", user ID = "BBB", and the
なお、テンポラリブラックリスト105aに、受信したREGISTERメッセージと同じIPアドレス、User−Agentの組み合わせの登録がない場合、ボタン電話装置100は、新規攻撃者の疑いがあるため、S103と同様、テンポラリブラックリスト105aに登録する。
If the
続けてSIP端末202からREGISTERメッセージが送信されてきた場合(S109)、ボタン電話装置100は、ブラックリストデータベース104のブラックリスト104aに、受信したREGISTERメッセージと同じIPアドレス、User−Agentの組み合わせの登録があるかどうか検索を行う(S110)。例えば、REGISTERメッセージには、IPアドレス="XXX.XXX.XXX.XXX"、User−Agent="SIP APP"、ユーザID="CCC"及びパスワードが含まれている。
When a REGISTER message is subsequently transmitted from the SIP terminal 202 (S109), the
ブラックリスト104aとREGISTERメッセージの情報が一致した場合には、ボタン電話装置100は、REGISTERメッセージの送信者が攻撃者であると認定し、SIPメッセージのレスポンスを返信しない(S111)。受信したREGISTERメッセージには、IPアドレス="XXX.XXX.XXX.XXX"、User−Agent="SIP APP"が含まれ、ブラックリスト104aにも、IPアドレス="XXX.XXX.XXX.XXX"、User−Agent="SIP APP"の組み合わせが登録されており、IPアドレス及びUser−Agentが一致するため、レスポンスを返信しない。
When the
次に、図7のフローチャートを用いて、ボタン電話装置100に正規のSIP端末201または攻撃者のSIP端末202からREGISTERメッセージが送信されてきた際に、認証成功または認証失敗する場合の動作例を説明する。
Next, using the flowchart of FIG. 7, when a REGISTER message is sent from the
まず、REGISTERメッセージを受信すると(S201)、SIP制御部103は、メッセージ解析を行い、メッセージ中にあるユーザID及びパスワードにより認証処理を実施し(S202)、認証成功か否か判定する(S203)。例えばSIP端末201からのREGISTERメッセージに含まれるユーザID及びパスワードが正規のユーザID及びパスワードと一致し、認証に成功した場合、SIP制御部103は、SIP端末201を内線電話機として登録し(S204)、SIP端末201に正常レスポンスを返信する(S205)。
First, when a REGISTER message is received (S201), the
一方、攻撃者のSIP端末202からのREGISTERメッセージに含まれるユーザID及びパスワードが正規のユーザID及びパスワードと一致せず、認証に失敗した場合、SIP制御部103は、送信者(攻撃者)の情報として、REGISTERメッセージから送信者のIPアドレス、User−Agent情報、ユーザIDを取得する(S206)。次に、SIP制御部103は、テンポラリデータベース105を検索し(S207)、テンポラリブラックリスト105aに該当する情報があるかどうか判定する(S208)。すなわち、受信したREGISTERメッセージのIPアドレス、User−Agent、ユーザIDと、テンポラリブラックリスト105aの組み合わせを比較し、IPアドレス、User−Agentが一致し、ユーザIDが異なる組み合わせの情報が登録されているかどうかを判定する。
On the other hand, if the user ID and password included in the REGISTER message from the attacker's
テンポラリブラックリスト105aに該当する情報がある場合、つまり、IPアドレス、User−Agentが一致し、ユーザIDが異なる組み合わせの情報が見つかった場合、SIP制御部103は、送信者が過去にも異なるユーザIDにて探索を行っていた攻撃者であると認定し、ブラックリストデータベース104のブラックリスト104aにそのIPアドレス及びUser−Agentを登録し(S209)、エラーレスポンスを返信する(S211)。
If there is information corresponding to the
また、テンポラリブラックリスト105aに該当する情報がない場合、つまり、IPアドレス、User−Agentが一致し、ユーザIDが異なる情報が見つからなかった場合、SIP制御部103は、攻撃者の疑いがあるとしてテンポラリデータベース105のテンポラリブラックリスト105aにそのIPアドレス、User−Agent、ユーザIDを登録し(S210)、エラーレスポンスを返信する(S211)。
If there is no information corresponding to the
次に、図8のフローチャートを用いて、ボタン電話装置100に攻撃者のSIP端末202からのREGISTERメッセージを無視する動作例を説明する。
Next, an operation example in which the
まず、REGISTERメッセージを受信すると(S301)、SIP制御部103は、メッセージ解析を行い、送信者の情報として、メッセージ中にあるUser−Agent情報と送信者のIPアドレスを取得する(S302)。次に、SIP制御部103は、ブラックリストデータベース104を検索し(S303)、ブラックリスト104aに、受信したREGISTERメッセージとIPアドレス及びUser−Agentが一致する情報が登録されているかどうかを判定する(S304)。
First, when a REGISTER message is received (S301), the
ブラックリスト104aに、受信したREGISTERメッセージのIPアドレス、User−Agentと一致する情報が見つからなかった場合、SIP制御部103は、通常のSIP解析処理を実行する(S306)。例えば、図7のように認証処理を行う。
If no information matching the IP address and User-Agent of the received REGISTER message is found in the
また、ブラックリスト104aに、受信したREGISTERメッセージのIPアドレス、User−Agentと一致する情報が見つかった場合、SIP制御部103は、送信者が攻撃者であると判定し、SIPメッセージに対する応答を返さずに処理を終了する(S305)。
If information matching the IP address and User-Agent of the received REGISTER message is found in the
以上のように、本実施の形態では、攻撃者の登録(REGISTER)メッセージを監視し、テンポラリデータベースを用いて、攻撃者の認定を行う。さらに、攻撃者のIPアドレスとSIPメッセージにあるUser−Agentヘッダ情報を対としてブラックリストデータベースに登録し、攻撃者のREGISTERメッセージには返信を行わない(無視する)。 As described above, in the present embodiment, the attacker registration (REGISTER) message is monitored, and the attacker is authenticated using the temporary database. Furthermore, the IP address of the attacker and the User-Agent header information in the SIP message are registered in the blacklist database as a pair, and the attacker's REGISTER message is not replied (ignored).
これにより、SIPサーバを搭載しているボタン電話装置で悪意ある攻撃を容易に遮断することができ、SIPを使用した電話交換システムの堅牢性を向上することができる。すなわち、悪意ある攻撃者によるシステムの停止、資源消費を食い止めることが可能である。また、電話交換システムのパフォーマンス向上についても期待できる。関連する技術では悪意ある攻撃者のSIPメッセージを受信し、解析を行い、呼制御処理を実行していたため、無駄な処理時間を費やしていた。処理時間は攻撃パケットを受信する数によって比例的に増えていく。本実施の形態により悪意ある攻撃パケットを入り口で無視するようにするため、解析以降の処理にCPU等が消費されない効果が期待できる。 As a result, a button telephone device equipped with a SIP server can easily block malicious attacks, and the robustness of a telephone exchange system using SIP can be improved. That is, it is possible to stop the system stoppage and resource consumption by a malicious attacker. It can also be expected to improve the performance of the telephone exchange system. In the related technology, the SIP message of a malicious attacker was received, analyzed, and call control processing was executed, resulting in wasted processing time. The processing time increases proportionally with the number of attack packets received. Since the malicious attack packet is ignored at the entrance according to the present embodiment, the effect that the CPU and the like are not consumed in the processing after the analysis can be expected.
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。 The present disclosure is not limited to the above embodiment, and can be appropriately modified without departing from the spirit.
上述の実施形態における各構成は、ハードウェア又はソフトウェア、もしくはその両方によって構成され、1つのハードウェア又はソフトウェアから構成してもよいし、複数のハードウェア又はソフトウェアから構成してもよい。各装置の機能(処理)を、CPUやメモリ等を有するコンピュータにより実現してもよい。例えば、記憶装置に実施形態における方法(電話交換装置の制御方法)を行うためのプログラムを格納し、各機能を、記憶装置に格納されたプログラムをCPUで実行することにより実現してもよい。 Each configuration in the above-described embodiment is composed of hardware and / or software, and may be composed of one hardware or software, or may be composed of a plurality of hardware or software. The function (processing) of each device may be realized by a computer having a CPU, memory, or the like. For example, a program for performing the method in the embodiment (control method of the telephone exchange device) may be stored in the storage device, and each function may be realized by executing the program stored in the storage device on the CPU.
これらのプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 These programs can be stored and supplied to a computer using various types of non-transitory computer readable media. Non-transitory computer-readable media include various types of tangible storage media. Examples of non-temporary computer-readable media include magnetic recording media (eg flexible disks, magnetic tapes, hard disk drives), optomagnetic recording media (eg optomagnetic disks), CD-ROMs (Read Only Memory), CD-Rs, It includes a CD-R / W and a semiconductor memory (for example, a mask ROM, a PROM (Programmable ROM), an EPROM (Erasable PROM), a flash ROM, and a RAM (random access memory)). The program may also be supplied to the computer by various types of transient computer readable media. Examples of temporary computer-readable media include electrical, optical, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶する記憶部と、
IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行う認証部と、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録する登録部と、
前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する応答判断部と、
を備える、電話交換装置。
(付記2)
前記登録部は、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されていない場合、当該登録者情報を前記一時ブラックリストに登録し、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されている場合、当該登録者情報を前記ブラックリストに登録する、
付記1に記載の電話交換装置。
(付記3)
前記応答判断部は、
前記登録メッセージの登録者情報が前記ブラックリストに登録されていない場合、前記登録メッセージの認証結果に応じて、正常レスポンスメッセージ、または、エラーレスポンスメッセージを返信し、
前記登録メッセージの登録者情報が前記ブラックリストに登録されている場合、前記登録メッセージに対しレスポンスメッセージを返信せずに、前記登録メッセージを廃棄する、
付記1または2に記載の電話交換装置。
(付記4)
前記登録メッセージは、SIPプロトコルで規定されたREGISTERメッセージであり、
前記登録部は、前記登録者情報として、前記REGISTERメッセージに含まれるIPアドレス及びユーザエージェント情報を前記一時ブラックリスト及び前記ブラックリストに登録する、
付記1乃至3のいずれかに記載の電話交換装置。
(付記5)
前記登録部は、前記登録者情報として、前記REGISTERメッセージに含まれるユーザIDを前記一時ブラックリストにさらに登録する、
付記4に記載の電話交換装置。
(付記6)
前記ユーザIDは、前記認証処理で使用される情報である、
付記5に記載の電話交換装置。
(付記7)
前記登録部は、前記認証が失敗した、前記REGISTERメッセージに含まれるIPアドレス、ユーザエージェント情報及びユーザIDを前記一時ブラックリストから検索し、前記一時ブラックリストにIPアドレス及びユーザエージェント情報が一致で、かつ、ユーザIDが不一致の組み合わせがある場合、前記登録者情報を前記ブラックリストに登録する、
付記5または6に記載の電話交換装置。
(付記8)
IP電話端末と電話交換装置とを備えた電話交換システムであって、
前記電話交換装置は、
ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶する記憶部と、
前記IP電話端末からIP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行う認証部と、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録する登録部と、
前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する応答判断部と、
を備える、電話交換システム。
(付記9)
前記登録部は、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されていない場合、当該登録者情報を前記一時ブラックリストに登録し、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されている場合、当該登録者情報を前記ブラックリストに登録する、
付記8に記載の電話交換システム。
(付記10)
ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶し、
IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行い、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録し、
前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する、
電話交換装置の制御方法。
(付記11)
前記登録では、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されていない場合、当該登録者情報を前記一時ブラックリストに登録し、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されている場合、当該登録者情報を前記ブラックリストに登録する、
付記10に記載の電話交換装置の制御方法。
(付記12)
ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶し、
IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行い、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録し、
前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する、
処理を電話交換装置に実行させるためのプログラム。
(付記13)
前記登録では、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されていない場合、当該登録者情報を前記一時ブラックリストに登録し、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されている場合、当該登録者情報を前記ブラックリストに登録する、
付記12に記載のプログラム。
Some or all of the above embodiments may also be described, but not limited to:
(Appendix 1)
A storage unit that stores a blacklist for registering blacklist targets and a temporary blacklist for registering temporary blacklist targets,
An authentication unit that receives a registration message for registering an IP phone user and performs an authentication process for the registration message.
Depending on whether the authentication of the registration message has failed and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the temporary blacklist or the blacklist. Registration department and
A response determination unit that determines whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
A telephone exchange device.
(Appendix 2)
The registration unit
If the authentication of the registration message fails and the registrant information of the registration message is not registered in the temporary blacklist, the registrant information is registered in the temporary blacklist.
When the authentication of the registration message fails and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the blacklist.
The telephone exchange device according to
(Appendix 3)
The response determination unit
If the registrant information of the registration message is not registered in the blacklist, a normal response message or an error response message is returned according to the authentication result of the registration message.
When the registrant information of the registration message is registered in the blacklist, the registration message is discarded without returning a response message to the registration message.
The telephone exchange device according to
(Appendix 4)
The registration message is a REGISTER message specified by the SIP protocol.
The registration unit registers the IP address and the user agent information included in the REGISTER message in the temporary blacklist and the blacklist as the registrant information.
The telephone exchange device according to any one of
(Appendix 5)
The registration unit further registers the user ID included in the REGISTER message in the temporary blacklist as the registrant information.
The telephone exchange device according to Appendix 4.
(Appendix 6)
The user ID is information used in the authentication process.
The telephone exchange device according to Appendix 5.
(Appendix 7)
The registration unit searches the temporary blacklist for the IP address, user agent information, and user ID included in the REGISTER message for which the authentication has failed, and the IP address and user agent information match the temporary blacklist. If there is a combination of user IDs that do not match, the registrant information is registered in the blacklist.
The telephone exchange device according to Appendix 5 or 6.
(Appendix 8)
A telephone exchange system equipped with an IP telephone terminal and a telephone exchange device.
The telephone exchange device
A storage unit that stores a blacklist for registering blacklist targets and a temporary blacklist for registering temporary blacklist targets,
An authentication unit that receives a registration message for registering an IP telephone user from the IP telephone terminal and performs an authentication process for the registration message.
Depending on whether the authentication of the registration message has failed and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the temporary blacklist or the blacklist. Registration department and
A response determination unit that determines whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
A telephone exchange system equipped with.
(Appendix 9)
The registration unit
If the authentication of the registration message fails and the registrant information of the registration message is not registered in the temporary blacklist, the registrant information is registered in the temporary blacklist.
When the authentication of the registration message fails and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the blacklist.
The telephone exchange system described in Appendix 8.
(Appendix 10)
Register the blacklist target person The blacklist and the temporary blacklist target person are registered.
Receive the registration message for registering the IP phone user, perform the authentication process of the registration message, and perform the authentication process.
Depending on whether the authentication of the registration message has failed and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the temporary blacklist or the blacklist. ,
It is determined whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
How to control a telephone operator.
(Appendix 11)
In the above registration
If the authentication of the registration message fails and the registrant information of the registration message is not registered in the temporary blacklist, the registrant information is registered in the temporary blacklist.
When the authentication of the registration message fails and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the blacklist.
The method for controlling a telephone exchange device according to
(Appendix 12)
Register the blacklist target person The blacklist and the temporary blacklist target person are registered.
Receive the registration message for registering the IP phone user, perform the authentication process of the registration message, and perform the authentication process.
Depending on whether the authentication of the registration message has failed and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the temporary blacklist or the blacklist. ,
It is determined whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
A program that causes a telephone operator to perform processing.
(Appendix 13)
In the above registration
If the authentication of the registration message fails and the registrant information of the registration message is not registered in the temporary blacklist, the registrant information is registered in the temporary blacklist.
When the authentication of the registration message fails and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the blacklist.
The program described in
1 電話交換システム
2 ボタン電話システム
10 電話交換装置
11 記憶部
11a ブラックリスト
11b 一時ブラックリスト
12 認証部
13 登録部
14 応答判断部
20 IP電話端末
100 ボタン電話装置
101 制御部
102 IPインタフェース
103 SIP制御部
104 ブラックリストデータベース
104a ブラックリスト
105 テンポラリデータベース
105a テンポラリブラックリスト
201、202 SIP端末
300 IPネットワーク
1
Claims (10)
IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行う認証部と、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録する登録部と、
前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する応答判断部と、
を備える、電話交換装置。 A storage unit that stores a blacklist for registering blacklist targets and a temporary blacklist for registering temporary blacklist targets,
An authentication unit that receives a registration message for registering an IP phone user and performs an authentication process for the registration message.
Depending on whether the authentication of the registration message has failed and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the temporary blacklist or the blacklist. Registration department and
A response determination unit that determines whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
A telephone exchange device.
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されていない場合、当該登録者情報を前記一時ブラックリストに登録し、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されている場合、当該登録者情報を前記ブラックリストに登録する、
請求項1に記載の電話交換装置。 The registration unit
If the authentication of the registration message fails and the registrant information of the registration message is not registered in the temporary blacklist, the registrant information is registered in the temporary blacklist.
When the authentication of the registration message fails and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the blacklist.
The telephone exchange device according to claim 1.
前記登録メッセージの登録者情報が前記ブラックリストに登録されていない場合、前記登録メッセージの認証結果に応じて、正常レスポンスメッセージ、または、エラーレスポンスメッセージを返信し、
前記登録メッセージの登録者情報が前記ブラックリストに登録されている場合、前記登録メッセージに対しレスポンスメッセージを返信せずに、前記登録メッセージを廃棄する、
請求項1または2に記載の電話交換装置。 The response determination unit
If the registrant information of the registration message is not registered in the blacklist, a normal response message or an error response message is returned according to the authentication result of the registration message.
When the registrant information of the registration message is registered in the blacklist, the registration message is discarded without returning a response message to the registration message.
The telephone exchange device according to claim 1 or 2.
前記登録部は、前記登録者情報として、前記REGISTERメッセージに含まれるIPアドレス及びユーザエージェント情報を前記一時ブラックリスト及び前記ブラックリストに登録する、
請求項1乃至3のいずれか一項に記載の電話交換装置。 The registration message is a REGISTER message specified by the SIP protocol.
The registration unit registers the IP address and the user agent information included in the REGISTER message in the temporary blacklist and the blacklist as the registrant information.
The telephone exchange device according to any one of claims 1 to 3.
請求項4に記載の電話交換装置。 The registration unit further registers the user ID included in the REGISTER message in the temporary blacklist as the registrant information.
The telephone exchange device according to claim 4.
請求項5に記載の電話交換装置。 The user ID is information used in the authentication process.
The telephone exchange device according to claim 5.
請求項5または6に記載の電話交換装置。 The registration unit searches the temporary blacklist for the IP address, user agent information, and user ID included in the REGISTER message for which the authentication has failed, and the IP address and user agent information match the temporary blacklist. If there is a combination of user IDs that do not match, the registrant information is registered in the blacklist.
The telephone exchange device according to claim 5 or 6.
前記電話交換装置は、
ブラックリスト対象者を登録するブラックリスト及び一時的なブラックリスト対象者を登録する一時ブラックリストを記憶する記憶部と、
前記IP電話端末からIP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行う認証部と、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録する登録部と、
前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する応答判断部と、
を備える、電話交換システム。 A telephone exchange system equipped with an IP telephone terminal and a telephone exchange device.
The telephone exchange device
A storage unit that stores a blacklist for registering blacklist targets and a temporary blacklist for registering temporary blacklist targets,
An authentication unit that receives a registration message for registering an IP telephone user from the IP telephone terminal and performs an authentication process for the registration message.
Depending on whether the authentication of the registration message has failed and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the temporary blacklist or the blacklist. Registration department and
A response determination unit that determines whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
A telephone exchange system equipped with.
IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行い、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録し、
前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する、
電話交換装置の制御方法。 Register the blacklist target person The blacklist and the temporary blacklist target person are registered.
Receive the registration message for registering the IP phone user, perform the authentication process of the registration message, and perform the authentication process.
Depending on whether the authentication of the registration message has failed and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the temporary blacklist or the blacklist. ,
It is determined whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
How to control a telephone operator.
IP電話の利用者を登録するための登録メッセージを受信し、前記登録メッセージの認証処理を行い、
前記登録メッセージの認証が失敗し、かつ、前記登録メッセージの登録者情報が前記一時ブラックリストに登録されているか否かに応じて、当該登録者情報を前記一時ブラックリストまたは前記ブラックリストに登録し、
前記登録メッセージの登録者情報が前記ブラックリストに登録されているか否かに応じて、前記登録メッセージに対しレスポンスメッセージを返信するか否かを判断する、
処理を電話交換装置に実行させるためのプログラム。 Register the blacklist target person The blacklist and the temporary blacklist target person are registered.
Receive the registration message for registering the IP phone user, perform the authentication process of the registration message, and perform the authentication process.
Depending on whether the authentication of the registration message has failed and the registrant information of the registration message is registered in the temporary blacklist, the registrant information is registered in the temporary blacklist or the blacklist. ,
It is determined whether or not to return a response message to the registration message according to whether or not the registrant information of the registration message is registered in the blacklist.
A program that causes a telephone operator to perform processing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019124130A JP6769664B1 (en) | 2019-07-03 | 2019-07-03 | Telephone exchange equipment, telephone exchange systems, control methods and programs |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019124130A JP6769664B1 (en) | 2019-07-03 | 2019-07-03 | Telephone exchange equipment, telephone exchange systems, control methods and programs |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6769664B1 JP6769664B1 (en) | 2020-10-14 |
JP2021010148A true JP2021010148A (en) | 2021-01-28 |
Family
ID=72745191
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019124130A Active JP6769664B1 (en) | 2019-07-03 | 2019-07-03 | Telephone exchange equipment, telephone exchange systems, control methods and programs |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6769664B1 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004328104A (en) * | 2003-04-22 | 2004-11-18 | Hitachi Ltd | Access point node apparatus and terminal position information registration method |
JP2008172489A (en) * | 2007-01-11 | 2008-07-24 | Toshiba Corp | Device for authenticating terminal device, authentication method, authentication program, terminal device, and device for relaying communication of terminal device |
JP2009187323A (en) * | 2008-02-06 | 2009-08-20 | Nippon Telegr & Teleph Corp <Ntt> | Service providing system, service providing method, and service providing program |
JP2009258965A (en) * | 2008-04-16 | 2009-11-05 | Nippon Telegr & Teleph Corp <Ntt> | Authentication system, authentication apparatus, communication setting apparatus, and authentication method |
WO2015141640A1 (en) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | Extraction condition determination method, communication monitoring system, extraction condition determination device, and extraction condition determination program |
JP2017212705A (en) * | 2016-05-27 | 2017-11-30 | 学校法人東京電機大学 | Communication controller, communication system, communication control method, and program |
-
2019
- 2019-07-03 JP JP2019124130A patent/JP6769664B1/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004328104A (en) * | 2003-04-22 | 2004-11-18 | Hitachi Ltd | Access point node apparatus and terminal position information registration method |
JP2008172489A (en) * | 2007-01-11 | 2008-07-24 | Toshiba Corp | Device for authenticating terminal device, authentication method, authentication program, terminal device, and device for relaying communication of terminal device |
JP2009187323A (en) * | 2008-02-06 | 2009-08-20 | Nippon Telegr & Teleph Corp <Ntt> | Service providing system, service providing method, and service providing program |
JP2009258965A (en) * | 2008-04-16 | 2009-11-05 | Nippon Telegr & Teleph Corp <Ntt> | Authentication system, authentication apparatus, communication setting apparatus, and authentication method |
WO2015141640A1 (en) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | Extraction condition determination method, communication monitoring system, extraction condition determination device, and extraction condition determination program |
JP2017212705A (en) * | 2016-05-27 | 2017-11-30 | 学校法人東京電機大学 | Communication controller, communication system, communication control method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP6769664B1 (en) | 2020-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220337580A1 (en) | Systems and methods for phone number certification and verification | |
US9961197B2 (en) | System, method and apparatus for authenticating calls | |
US8156335B2 (en) | IP address secure multi-channel authentication for online transactions | |
US20120131671A1 (en) | Securing An Access Provider | |
US20100095351A1 (en) | Method, device for identifying service flows and method, system for protecting against deny of service attack | |
US10834052B2 (en) | Monitoring device and method implemented by an access point for a telecommunications network | |
US20060107323A1 (en) | System and method for using a dynamic credential to identify a cloned device | |
US10306058B2 (en) | Methods, telecommunication switches and computer programs for processing call setup signalling | |
Mustafa et al. | End-to-end detection of caller ID spoofing attacks | |
CN107872588B (en) | Call processing method, related device and system | |
CN112929339B (en) | Message transmitting method for protecting privacy | |
US10536468B2 (en) | System and method for voice security in a telecommunications network | |
JP4897864B2 (en) | Protection against CLI spoofing of services in mobile networks | |
JP2007200323A (en) | Method for protecting sip-based application | |
CN111740943B (en) | Anti-attack method, device, equipment and machine readable storage medium | |
Sheoran et al. | NASCENT: Tackling caller-ID spoofing in 4G networks via efficient network-assisted validation | |
CN110418345B (en) | Identity authentication method and device and computer equipment | |
JP6769664B1 (en) | Telephone exchange equipment, telephone exchange systems, control methods and programs | |
JP2016158157A (en) | Call controller, call control method, and call control system | |
KR101618730B1 (en) | Device for blocking illegal internet international originating call and method for blocking illegal internet international originating call | |
Vrakas et al. | Evaluating the security and privacy protection level of IP multimedia subsystem environments | |
KR100463751B1 (en) | Method for generating packet-data in wireless-communication and method and apparatus for wireless-communication using that packet-data | |
JP2000209284A (en) | Device and method for authentication | |
US20230056017A1 (en) | Method and apparatus for detecting abnormal roaming request | |
JP6488795B2 (en) | Communication terminal, communication method, program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190703 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200825 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200917 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6769664 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |