(実施形態1)
以下、本発明の実施形態1に従った認証システム(認証装置、通信設定装置、認証方法およびプログラムを含む)を説明する。
まず、実施形態1の認証システムの全体構成を説明する。
図1に示すように、この認証システムは、ネットワーク1と、端末装置4とから構成される。
ネットワーク1は、端末装置4から送信されてきたパケットを当該端末装置4の通信先である他の装置(図示せず)へと送信する。また、ネットワーク1は、端末装置4の通信先から送信されてきたパケットを端末装置4へと送信する。
ここでいう通信先とは、例えば、端末装置4に対して各種の情報通信サービスなどを提供するサービス提供サーバでもよい。また、例えば、認証システム内に複数の端末装置4が存在する場合、パケットを送信する端末装置4と異なる他の端末装置4でもよい。
なお、ネットワーク1の形態については特に限定しないが、この説明例では、ネットワーク1が、NGNである場合を例に挙げて説明する。
また、以下では、ネットワーク1が端末装置4とその通信先とを接続するセッション(呼)を制御するための呼制御プロトコルとして、SIP(Session Initiation Protocol)を用いる場合を例に挙げて説明する。
また、ネットワーク1と端末装置4との間の通信方式については、特に限定しない。例えば、通信方式が無線通信方式である場合、一般的な無線通信インタフェースを介した無線通信を行ってもよい。また、例えば、通信方式が有線通信方式である場合、イーサネット(登録商標)を介した有線通信を行ってもよい。
ネットワーク1(NGN)は、例えば、パケットベースのネットワークであって、パケット転送層2とサービス制御層3とから構成される。
パケット転送層2は、パケットの転送機能を果たす論理的な層である。パケット転送層2は、SSE(Subscriber Service Edge)21と、IBE(Intermediate Border gateway Equipment)22とから構成される。
SSE21は、例えば、ルータで構成され、端末装置4と端末装置4の通信先との間で送受信されるパケットを中継する。つまり、SSE21は、端末装置4の利用者(つまり、ネットワーク1の加入者)側のルータとして機能する。
また、SSE21は、端末装置4と端末装置4の通信先との間の接続を許可と禁止とのどちらか一方に設定する一般的なファイアウォールの機能も具備する「通信設定装置」である。
IBE22は、例えば、ルータで構成され、ネットワーク1と、ネットワーク1以外の他のネットワーク(図示せず)との間で、パケットの送受信を行う。
サービス制御層3は、各種サービスの制御機能を果たす論理的な層である。サービス制御層3は、SSC(Subscriber Session Control server)31と、ISC(Intermediate Session Control server)32との2階梯の制御装置によって構成される。
SSC31は、端末装置4からの発信時に、当該端末装置4から送信されてくる後述の「接続要求信号」内の端末装置4の「識別情報」を用いて、利用者の認証を行う「認証装置」である。
この説明例では、端末装置4の「識別情報」が、端末装置4のIPアドレスやポート番号である場合を例に挙げて説明する。
また、SSC31は、利用者の認証が成功した場合、端末装置4の通信先となる端末装置4以外の他の装置を呼び出す。
さらに、SSC31は、自己が呼び出した通信先が応答した場合、端末装置4を収容しているSSE21に対して、端末装置4と応答した通信先との接続を許可するように指示する。例えば、SSC31は、SSE21に、ファイアウォールの設定の変更により、端末装置4からその通信先へのパケットを送信可能なセッションに対応するポート番号を開くように指示する。
また、SSC31は、端末装置4とその通信先との接続を用いた通信が終了した場合(例えば、終話時)、SSE21に対して、端末装置4とその通信先との接続を禁止するように、つまり、当該接続を切断するように指示する。例えば、SSC31は、SSE21に、ファイアウォールの設定の変更により、接続が許可されているセッションに対応するポート番号を閉じるように指示する。
ISC32は、ネットワーク1と他のネットワークとの間の接続を制御するサーバである。
端末装置4は、例えば、所定の情報処理装置で構成され、「SIPクライアント」に相当するものである。
端末装置4は、利用者が行う操作に応じて、各種の処理を実行する。
例えば、端末装置4は、「接続要求信号」を送信することにより、SSC31に対して認証を要求する。なお、この説明例では、接続要求信号が、INVITEパケットPIである場合を例に挙げて説明する。
ここでいう「INVITEパケットPI」とは、例えば、RFC3311の定義に従った場合、SIPクライアント(この例では、端末装置4)がその通信先(例えば、サービス提供サーバなど)への接続を要求するためのパケットである。
なお、SSE21、IBE22、SSC31、ISC32および端末装置4それぞれの台数は、任意でよい。また、SSE21、IBE22、SSC31およびISC32は、それぞれ独立した筺体で構成するに限らず、同一の筺体内に収容された構成を有していてもよい。
つぎに、「通信設定装置」であるSSE21の構成について、詳細に説明する。
図2に示すように、SSE21は、パケット送受信部211と、設定部212とを有する。
パケット送受信部211は、例えば、通信モジュールで構成され、端末装置4、SSC31およびIBE22との間でパケットの送受信を行う。例えば、パケット送受信部211は、端末装置4やSSC31から送信されてきた各種のSIP信号を受信する。
SIP信号を受信する場合、例えば、パケット送受信部211は、端末装置4とその通信先との接続を要求するための接続要求信号(INVITEパケットPI)を端末装置4から受信する。
さらに、パケット送受信部211(「送信部」)は、「送信処理」を実行し、端末装置4から送信されてきた接続要求信号を、SSC31(認証装置)へと送信する。
また、例えば、パケット送受信部211は、端末装置4とその通信先との接続を切断するよう要求するための「切断要求信号」を端末装置4から受信する。以下では、「切断要求信号」がBYEパケットPBである場合を例に挙げて説明する。
ここでいうBYEパケットPBとは、例えば、RFC2060などに従った場合、端末装置4がその通信先との間の接続の切断を要求していることを示すパケットである。
また、パケット送受信部211は、SSC31から送信されてきた接続指示信号CAまたは切断指示信号CCを受信する。
なお、「接続指示信号CA」とは、端末装置4とその通信先との接続を許可することを指示する信号である。また、「切断指示信号CC」とは、端末装置4とその通信先との接続を禁止することを指示する信号である。
さらに、パケット送受信部211(「設定情報受信部」)は、SSC31から送信されてきた後述の接続許可設定情報401または接続禁止設定情報402を受信する。
設定部212は、SSC31からの接続指示信号CAに従って、端末装置4とその通信先との接続を許可する。この場合、設定部212は、パケット送受信部211が受信した接続許可設定情報401に基づいて、端末装置4とその通信先とを接続する。
また、設定部212は、SSC31からの切断指示信号CCに従って、端末装置4とその通信先との接続を禁止する。この場合、設定部212は、パケット送受信部211が受信した接続禁止設定情報402に基づいて、端末装置4とその通信先との接続を切断する。
より具体的には、設定部212は、接続許可設定情報401と接続禁止設定情報402とのいずれかに従って、自己が記憶している接続可否設定情報405を書き換える。そして、書き換えた接続可否設定情報405を用いて、ファイアウォールの開閉を制御する。
設定部212は、例えば、接続許可設定情報401が示す設定内容に従って、端末装置4とその通信先とを接続するセッションに対応するポート番号を開くようにファイアウォールの設定を変更する。
また、設定部212は、接続禁止設定情報402が示す設定内容に従って、端末装置4とその通信先とを接続するセッションに対応するポート番号を閉じるようにファイアウォールの設定を変更する。
つぎに、「認証装置」であるSSC31の構成について詳細に説明する。
図3に示すように、SSC31は、パケット送受信部311と、パケット識別部312と、認証部313と、加入者データ蓄積部314と、設定情報生成部315と、接続制御指示部316と、規制条件記憶部317と、規制部318と、通知部319とを有する。
パケット送受信部311は、例えば、通信モジュールで構成され、SSE21またはISC32との間でパケットの送受信を行う。
パケット送受信部311(「受信部」)は、「受信処理」を実行し、SSE21またはISC32から送信されてきた各種のSIP信号を受信する。
この「受信処理」において、パケット送受信部311(受信部)は、例えば、SSE21が端末装置4から受信して送信してきた接続要求信号(INVITEパケットPI)をSSE21から受信する。
また、例えば、パケット送受信部311は、端末装置4から接続要求信号が送信された場合、ISC32からの「接続許可信号」を受信する。
以下では、「接続許可信号」が、端末装置4から送信された接続要求信号に対応するOKパケットPOである場合を例に挙げて説明する。
ここでいう「OKパケットPO」とは、例えば、クライアントからの要求がその要求先にて受信および識別されたことを示すパケットである。なお、OKパケットPOの状態をRFC(Request For Comment)2616が定義するステータスコードで表わした場合、ステータスコード「200」に相当する。
また、例えば、パケット送受信部311は、SSE21が端末装置4から受信して送信してきた切断要求信号(BYEパケットPB)をSSE21から受信する。
また、例えば、パケット送受信部311は、端末装置4から切断要求信号が送信された場合、ISC32からの「切断許可信号」を受信する。
以下では、「切断許可信号」が、端末装置4から送信された切断要求信号(BYEパケットPB)に対応するOKパケットPOである場合を例に挙げて説明する。
また、パケット送受信部311は、SSE21またはISC32へと各種のSIP信号などを送信する。
例えば、パケット送受信部311は、認証部313による利用者の認証が成功した場合、端末装置4とその通信先との接続を要求するINVITEパケットPIをISC32へと送信する。
また、パケット送受信部311は、端末装置4とその通信先との接続を許可するようにSSE21に対して指示する接続指示信号CA、または、当該接続を禁止するようにSSE21に対して指示する切断指示信号CCを、SSE21へと送信する。
さらに、パケット送受信部311(「設定情報送信部」)は、設定情報生成部315が生成した接続許可設定情報401または接続禁止設定情報402を、SSE21(通信設定装置)へと送信する。
パケット識別部312は、SSE21またはISC32からそれぞれ送信されてきたパケットの種類を識別する。
より具体的には、パケット識別部312は、SSE21またはISC32からの各パケットが、INVITEパケットPI(接続要求信号)と、INVITEパケットPIに対応するOKパケットPO(接続許可信号)と、BYEパケットPB(切断要求信号)と、BYEパケットPBに対応するOKパケットPO(切断許可信号)と、後述するREGISTERパケットPR(登録要求信号)とのうちのいずれであるかを識別する。
認証部313は、「認証処理」を実行し、端末装置4からの接続要求信号(INVITEパケットPI)に含まれている「識別情報」が加入者データ蓄積部314内の「登録識別情報403」に登録されているかどうかに基づいて、利用者の認証が成功したかどうか(つまり、認証の成功または失敗)を判別する。
なお、認証部313が認証に用いる端末装置4からのINVITEパケットPIに含まれている識別情報については、特に限定しないが、以下の説明例では、INVITEパケットPIのヘッダに含まれている識別情報(端末装置4のIPアドレスやポート番号)である場合を例に挙げて説明する。なお、ここでいうIPアドレスとは、グローバルアドレスとプライベートアドレスとのいずれであってもよい。
認証部313は、端末装置4からのINVITEパケットPIに含まれている識別情報が登録識別情報403に登録されている場合、利用者の認証が成功した、つまり、認証した者は登録識別情報403に登録された正当な利用者であると判別する。
また、認証部313は、端末装置4からのINVITEパケットPIに含まれている識別情報が登録識別情報403に登録されていない場合、利用者の認証が成功しなかった、つまり、認証が失敗し、認証した者は登録識別情報403に登録されていない不正な利用者であると判別する。
加入者データ蓄積部314は、「加入者データ蓄積処理」を実行し、端末装置4のIPアドレスやポート番号を、登録識別情報403へと記憶する。
ここでいう「登録識別情報403」とは、利用者が使用する端末装置4それぞれを一意に識別するためにあらかじめ登録された、端末装置4の識別情報(端末装置4のIPアドレスおよびポート番号)を示す情報である。
さらに、登録識別情報403に登録されているIPアドレスとは、グローバルアドレスとプライベートアドレスとのどちらか一方でもよい。
また、認証システムでは、端末装置4におけるIPアドレスの設定を簡素化する観点から、ネットワーク1へとアクセスしてきた端末装置4に対してIPアドレスを自動的に割り当てるDHCP(Dynamic Host Configuration Protocol)サーバが設けられている場合もある。
この場合、パケット送受信部311は、端末装置4のIPアドレスを当該DHCPサーバから受信する。加入者データ蓄積部314は、受信したIPアドレスを登録識別情報403のうちに記憶する。
なお、加入者データ蓄積部314は、「登録要求信号」によって登録が要求された端末装置4のIPアドレスやポート番号を、登録識別情報403へと記憶する。この説明例では、「登録要求信号」が、SIP信号のうちの1つである「REGISTERパケットPR」である場合を例に挙げて説明する。
設定情報生成部315は、端末装置4とその通信先との接続を許可する設定の際にSSE21が用いる接続許可設定情報401、または、当該接続を禁止する設定の際にSSE21が用いる接続禁止設定情報402を生成する。
より具体的には、設定情報生成部315は、SSE21が端末装置4とその通信先とを接続するためのポート番号を開くための「接続許可設定情報401」を生成する。
例えば、接続許可設定情報401は、図4(a)に示すように、送信元と、送信先と、当該送信元と当該送信先との間の接続を確立するためのポート番号とを対応付ける情報である。
また、設定情報生成部315は、SSE21が端末装置4とその通信先とを接続するためのポート番号を閉じるための「接続禁止設定情報402」を生成する。
例えば、接続禁止設定情報402は、図4(b)に示すように、送信元と、送信先と、当該送信元と当該送信先との間の接続を切断するためのポート番号とを対応付ける情報である。
接続制御指示部316は、「接続制御指示処理」を実行し、利用者の認証が成功したと認証部313が判別した場合、SSE21(通信設定装置)に対して、端末装置4とその通信先との接続を許可するように指示する。この場合、パケット送受信部311は、接続指示信号CAをSSE21へと送信する。
また、「接続制御指示処理」において、接続制御指示部316は、端末装置4とその通信先との接続の切断を要求するための切断要求信号がSSE21から送信されてきた場合に、SSE21に対して、端末装置4とその通信先との接続を禁止するように指示する。この場合、パケット送受信部311は、切断指示信号CCをSSE21へと送信する。
規制条件記憶部317は、規制条件情報404を記憶する。
規制条件情報404は、認証部313による利用者の認証が失敗した場合、つまり、認証した者が不正な利用者であると認証部313が判別した場合に、端末装置4によるネットワーク1の利用に関して規制をかけるための規制条件を示す情報である。なお、規制条件情報404のデータ構造については、特に限定しない。また、規制条件情報404は、管理者により編集可能でもよい。
規制部318は、規制条件情報404が示す規制条件に基づいて、認証部313により不正な利用者であると判別された利用者に対して、ネットワーク1の使用に関する各種の規制(例えば、ロックアウト)をかけるための処理を実行する。
なお、規制部318は、規制条件情報404が示す規制条件を端末装置4の利用者が満たしているかどうかに基づいて、不正な利用者に対する規制を行う。この規制条件とは、例えば、端末装置4の利用者の認証の失敗回数に応じてネットワーク1の使用に規制をかけるための所定回数などである。この場合、当該所定回数よりも認証の失敗回数が大きくなった場合、規制部318は、不正な利用者に対する規制をかける。
通知部319は、認証部313による認証により判別された不正な利用者に対して規制をかけた場合、当該規制をかけた旨を管理者へと通知する。ここで、管理者へと通知するための方法については特に限定しないが、例えば、通知用のアラーム音の出力、通知用の画面の表示および通知用のメッセージの送信などの一般的な通知方法でよい。なお、通知部319からの通知を受けた管理者は、規制部318による規制を解除するための操作を行ってもよい。
つぎに、上記構成を有する実施形態1の認証システムが、利用者の認証結果に基づいて、端末装置4とその通信先との間の接続を許可または禁止する動作を説明する。
まず、端末装置4と、端末装置4からのパケットの送信先である他の装置(図示せず)との接続を許可する場合について説明する。
図5に示すように、端末装置4は、パケットの送信先との接続を許可することを要求するためのINVITEパケットPI(接続要求信号)を、SSE21へと送信する。
SSE21のパケット送受信部211は、端末装置4からのINVITEパケットPIを受信して、受信したINVITEパケットPIをSSC31へと送信する。
SSC31のパケット送受信部311(受信部)は、SSE21から送信されてきたINVITEパケットPIを受信する。
認証部313は、SSE21からのINVITEパケットPIのヘッダに含まれている端末装置4のIPアドレスが、加入者データ蓄積部314内の登録識別情報403に登録されているかどうかに基づいて、利用者を認証する(ステップS1)。端末装置4のIPアドレスが登録識別情報403に登録されている場合、認証部313は、利用者の認証が成功したと判別する。
認証が成功したと判別した場合、SSC31のパケット送受信部311は、INVITEパケットPIをISC32へと送信する。
ISC32は、SSC31からのINVITEパケットPI(接続要求信号)を受信した場合、当該接続要求信号が通信先にて受信され識別されたことを示すOKパケットPO(接続許可信号)をSSC31へと送信する。
SSC31の設定情報生成部315は、ISC32からのOKパケットPOをパケット送受信部311が受信した場合、接続要求信号の送信元である端末装置4とその通信先との接続を許可する設定をSSE21が行うための接続許可設定情報401を生成する。
また、SSC31の接続制御指示部316は、SSE21に対して、端末装置4とその通信先との接続を許可するように指示する(ステップS2)。
なお、接続の許可を指示する際、SSC31のパケット送受信部311は、接続指示信号CAと接続許可設定情報401とをSSE21へと送信する。
SSE21の設定部212は、SSC31からの接続指示信号CAに従い、端末装置4とその通信先との接続を許可する。例えば、設定部212は、SSC31からの接続許可設定情報401を用いて、端末装置4とその通信先とを接続するセッションのポート番号を開けるようにファイアウォールの設定を変更する。
以上で、実施形態1の認証システムが、端末装置4とその通信先との接続を許可するための一連の動作が終了する。
つぎに、実施形態1の認証システムが、端末装置4とその通信先との間の接続を切断する場合について説明する。
図6に示すように、端末装置4は、その通信先と接続されている場合において当該接続を用いた通信が終了した場合(例えば、終話時)、当該接続を切断することを要求するためのBYEパケットPB(切断要求信号)をSSE21へと送信する。
SSE21は、端末装置4からのBYEパケットPBを受信して、受信したBYEパケットPBをSSC31へと送信する。
SSC31のパケット送受信部311は、SSE21から受信したBYEパケットPBを、ISC32へと送信する。
ISC32は、SSC31からのBYEパケットPBを受信した場合、当該BYEパケットPB(切断要求信号)に対応するOKパケットPO(切断許可信号)をSSC31へと送信する。
SSC31の設定情報生成部315は、ISC32からのOKパケットPO(切断許可信号)を受信した場合、端末装置4とその通信先との接続を禁止する設定をSSE21が行うための接続禁止設定情報402を生成する。
また、SSC31の接続制御指示部316は、SSE21に対して、端末装置4とその通信先との接続を禁止するように指示する(ステップS3)。
なお、接続の禁止を指示する際、SSC31のパケット送受信部311は、切断指示信号CCと接続禁止設定情報402とをSSE21へと送信する。
SSE21の設定部212は、SSC31からの切断指示信号CCに従い、端末装置4とその通信先との接続を禁止する。例えば、設定部212は、SSC31からの接続禁止設定情報402を用いて、端末装置4とその通信先とを接続するセッションのポート番号を閉じるようにファイアウォールの設定を変更する。
以上で、実施形態1の認証システムが、端末装置4とその通信先との接続を禁止するための一連の動作が終了する。
つぎに、SSE21またはISC32から送信されてきたパケットを受信したときのSSC31の動作について、詳細に説明する。
図7に示すように、パケット送受信部311は、SSE21とISC32とのいずれかからそれぞれ送信されてきたパケットを受信する(ステップS11)。
パケット識別部312は、SSE21またはISC32からのパケットの種類を識別する(ステップS12)。
先ず、ステップS12において、SSE21からのパケットがINVITEパケットPI(接続要求信号)であるとパケット識別部312が識別した場合の動作について説明する。
INVITEパケットPIであると識別した場合、認証部313は、SSE21からのINVITEパケットPIのヘッダに登録されているIPアドレスが、加入者データ蓄積部314内の登録識別情報403に登録されているかどうかに基づいて、利用者の認証が「成功」したかどうかを判別する(ステップS13)。
認証部313は、INVITEパケットPIのヘッダ内のIPアドレスが登録識別情報403に登録されている場合、利用者の認証が成功したと判別する。この場合、パケット送受信部311は、図5に示したINVITEパケットPI(接続要求信号)をISC32へと送信する(ステップS14)。
一方、ステップS13において利用者の認証が失敗したと認証部313が判別した場合、規制部318は、規制条件記憶部317内の規制条件情報404が示す規制条件を満たしているかどうかを判別する(ステップS15)。規制条件を満たしていると規制部318が判別した場合(例えば、認証の失敗回数が所定回数以下の場合)、パケット送受信部311がステップS11の処理を再度実行する。
一方、規制条件を満たしていないと規制部318が判別した場合、規制部318は、規制条件情報404が示す規制条件に基づいて、不正な利用者であると判別された者に対して、ネットワーク1の使用に関する各種の規制(例えば、ロックアウト)をかける(ステップS16)。
さらに、通知部319は、規制部318が不正な利用者に対して規制をかけたことを管理者へと通知する(ステップS17)。
つぎに、ステップS12において、ISC32からのパケットがOKパケットPOであるとパケット識別部312が識別した場合の動作について説明する。
OKパケットであると識別した場合、パケット識別部312は、当該OKパケットが、端末装置4からの接続要求信号(INVITEパケットPI)に対応するOKパケットPO(接続許可信号)であるか、それとも、端末装置4からの切断要求信号(BYEパケットPB)に対応するOKパケット(切断許可信号)であるかをさらに判別する。
設定情報生成部315は、パケット識別部312によるOKパケットの種類の判別結果に応じて、接続許可設定情報401と接続禁止設定情報402とのどちらか一方を生成する(ステップS18)。
より具体的には、ステップS18にて、設定情報生成部315は、ISC32からのOKパケットが「接続許可信号」であるとパケット識別部312が判別した場合、端末装置4と通信先との接続を許可するための接続許可設定情報401を生成する。
また、ステップS18にて、設定情報生成部315は、ISC32からのOKパケットが「切断許可信号」であるとパケット識別部312が判別した場合、端末装置4と通信先との接続を禁止するための接続禁止設定情報402を生成する。
パケット送受信部311(設定情報送信部)は、設定情報生成部315が生成した接続許可設定情報401または接続禁止設定情報402を、SSE21へと送信する(ステップS19)。
つぎに、ステップS12において、SSE21またはISC32からのパケットが「REGISTERパケットPR」(登録要求信号)であるとパケット識別部312が識別した場合の動作について説明する。
REGISTERパケットPRであると識別した場合、パケット識別部312は、端末装置4の識別情報(IPアドレスやポート番号)を登録識別情報403へと書込むことにより、当該識別情報を登録識別情報403へと登録する。なお、加入者データ蓄積部314は、登録が要求された端末装置4の識別情報が新たに書き込まれた登録識別情報403を記憶する(ステップS20)。以上で、SSC31による一連の処理が終了する。
つぎに、実施形態1の認証システムが、利用者の認証結果に基づいて、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を許可する場合の動作について説明する。なお、この説明例においては、INVITEパケットPI(接続要求信号)に含まれているIPアドレスは、他のネットワークにて端末装置4を識別可能なIPアドレスであるグローバルアドレスである。
図8に示すように、先ず、端末装置4が、通信先との接続を要求するために、INVITEパケットPI(接続要求信号)をSSE21へと送信する。
SSE21は、端末装置4からのINVITEパケットPIを受信して、受信したINVITEパケットPIをSSC31へと送信する。
SSC31では、SSE21からのINVITEパケットPIをパケット送受信部311が受信した場合、パケット識別部312がINVITEパケットPIであると識別する。
このとき、認証部313は、SSE21からのINVITEパケットPIのヘッダに登録されている識別情報が登録識別情報403に登録されているかどうかに基づいて、利用者の認証が「成功」したかどうかを判別する(ステップS31)。
INVITEパケットPIのヘッダHD内の識別情報が登録識別情報403に登録されている場合、認証部313は、利用者の認証が成功したと判別する。この場合、パケット送受信部311は、SSE21からのINVITEパケットPIをISC32へと送信する。
ISC32は、SSC31からのINVITEパケットPIを受信する。なお、この説明例においては、当該INVITEパケットPIの送信先がネットワーク1以外の他のネットワークである。そのため、ISC32は、受信したINVITEパケットPIをIBE22へと送信する。
IBE22は、ISC32から受信したINVITEパケットPIを、その送信先である他のネットワーク内に存在する通信先へと送信する。
その後、IBE22は、INVITEパケットPIに応答して他のネットワーク内に存在する通信先から送信されてきたOKパケットPO(接続許可信号)を、受信する。続いて、IBE22は、他のネットワークからのOKパケットPOをISC32へと送信する。
ISC32は、IBE22からのOKパケットPOを受信し、受信したOKパケットPOをSSC31へと送信する。
SSC31では、パケット送受信部311が、ISC32からのOKパケットPO(接続許可信号)を受信する。
この場合、設定情報生成部315は、SSE21がファイアウォールを開くことにより端末装置4とその通信先との接続を許可するための接続許可設定情報401を生成する(ステップS32)。
また、接続制御指示部316は、SSE21に対して、端末装置4とその通信先との接続を許可するように指示する。パケット送受信部311は、設定情報生成部315が生成した接続許可設定情報401と接続指示信号CAとを、SSE21へと送信する。
SSE21のパケット送受信部211は、SSC31からの接続指示信号CAと接続許可設定情報401とを受信する。
SSE21の設定部212は、パケット送受信部211が受信した接続指示信号CAに従い、端末装置4とその通信先との接続を許可する(ステップS33)。例えば、設定部212は、SSC31からの接続許可設定情報401を用いて、端末装置4とその通信先との間のセッションを確立するためのポート番号を開けるようにファイアウォールの設定を変更する。
以上で、実施形態1の認証システムが、利用者の認証結果に基づいて、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を許可するための一連の動作が終了する。
つぎに、実施形態1の認証システムが、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を切断する場合の動作について説明する。
図9に示すように、先ず、端末装置4が、自己と通信先との接続の切断を要求するために、BYEパケットPB(切断要求信号)をSSE21へと送信する。
SSE21は、端末装置4からのBYEパケットPBを受信して、当該BYEパケットPBをSSC31へと送信する。
SSC31は、SSE21から受信したBYEパケットPBを、ISC32へと送信する。
ISC32は、SSC31からのBYEパケットPBを受信する。なお、この説明例では、当該BYEパケットPBの送信先がネットワーク1以外の他のネットワークである。そのため、ISC32は、受信したBYEパケットPBをIBE22へと送信する。
IBE22は、ISC32からのBYEパケットPBを、他のネットワークに存在する送信先へと送信する。
その後、IBE22は、BYEパケットPB(接続要求信号)に応答して他のネットワーク内に存在する通信先から送信されてきたOKパケットPO(切断許可信号)を、受信する。続いて、IBE22は、受信したOKパケットPOを、ISC32へと送信する。
ISC32は、IBE22からのOKパケットPOを受信し、受信したOKパケットPOをSSC31へと送信する。
SSC31では、パケット送受信部311が、ISC32からのOKパケットPO(切断許可信号)を受信する。
この場合、設定情報生成部315は、SSE21がファイアウォールを閉じることにより端末装置4とその通信先との接続を禁止するための接続禁止設定情報402を生成する(ステップS41)。
また、SSC31の接続制御指示部316は、SSE21に対して、端末装置4とその通信先との接続を禁止するように指示する。パケット送受信部311は、設定情報生成部315が生成した接続禁止設定情報402と切断指示信号CCとを、SSE21へと送信する。
SSE21のパケット送受信部211は、SSC31からの切断指示信号CCと接続禁止設定情報402とを受信する。
続いて、SSE21の設定部212は、パケット送受信部211が受信した切断指示信号CCに従い、端末装置4とその通信先との接続を禁止する(ステップS42)。例えば、設定部212は、SSC31からの接続禁止設定情報402を用いて、端末装置4とその通信先とを接続するセッションのポート番号を閉じるようにファイアウォールの設定を変更する。
以上で、実施形態1の認証システムが、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を切断するための一連の動作が終了する。
以上説明したように、実施形態1の認証システムによれば、SSC31は、認証部313による利用者の認証が成功した場合、利用者の端末装置4を収容したSSE21に対して、端末装置4とその通信先との接続を許可するように指示する。また、SSC31は、端末装置4とその通信先との接続を用いた通信が終了した場合(例えば、終話時)、端末装置4とその通信先との接続を禁止するようSSE21に対して指示する。
つまり、端末装置4とその通信先とを接続するためのセッションが、当該接続を用いた通信の終了と同時に切断される。そのため、端末装置4とその通信先とを接続する前に行われた利用者の認証を、当該接続の終了に伴って無効化できる。これにより、利用者の認証を厳密に行うことができ、認証システムの安全性が向上する。
また、実施形態1によれば、端末装置4とその通信先との接続を許可または禁止するための制御(例えば、ファイアウォールの開閉制御)が、ネットワーク1内のSSC31とSSE21との連携のみで行うことが可能である。
これにより、端末装置4とその通信先(例えば、サービス提供サーバ)との接続を許可するための認証や当該接続の制御に伴う処理を行うための構成要素を、端末装置4またはその通信先に設けなくてもよくなる。
(実施形態2)
つぎに、実施形態2の認証システムについて説明する。
図10に示すように、実施形態2の認証システムの構成は、実施形態1において図1に示した例とほぼ同じである。
ただし、実施形態2の認証システムは、実施形態1のSSC31に代えて、SSC31Aを有している。
また、実施形態2の認証システムでは、SSC31AとSSE21との間に、NAT(Network Address Translation)装置23が設けられている。ここで、NAT装置23が設けられているのは、安全性の観点やグローバルアドレスの数を節約する観点からである。
NAT装置23は、ネットワーク1内の所定範囲(例えば、サブネット)でのみ用いられるIPアドレス(プライベートアドレス)と、インターネット上などで端末装置4を識別するためのIPアドレス(グローバルアドレス)とを相互に変換する役割を果たす「識別情報変換装置」である。
つまり、NAT装置23は、SSE21から送信されてきた端末装置4からの接続要求信号の所定箇所に含まれている識別情報(端末装置4のプライベートアドレスや旧ポート番号)に対して、「識別情報変換」(ネットワークアドレス変換)を施す。この識別情報変換により、NAT装置23は、新たな識別情報(端末装置4のグローバルアドレスや新ポート番号)を生成する。
さらに、NAT装置23は、識別情報変換された識別情報を含む接続要求信号をSSC31Aへと送信する。
なお、NAT装置23がINVITEパケットPIに対してネットワークアドレス変換を施した場合、図11に示すように、INVITEパケットPIのうちで送信先などの付加情報が登録されるヘッダHD(「所定箇所」)には、端末装置4の識別情報として、ネットワークアドレス変換後の端末装置4のグローバルアドレスが登録されている。
一方、INVITEパケットPIのうちからヘッダHDを除いたデータ本体であるペイロードRD内の端末装置4の識別情報には、NAT装置23によるネットワークアドレス変換が施されない。
そのため、ペイロードRDでは、端末装置4の識別情報として、端末装置4のプライベートアドレスが登録されている。なお、この説明例において、ペイロードRDに登録されている情報はSIP信号そのものである。
実施形態2では、SSC31AとNAT装置23との協働により、後述の登録識別情報403Aに端末装置4のグローバルアドレスとプライベートアドレスとの両方が登録されている。
また、SSC31Aは、接続要求信号におけるグローバルアドレスとプライベートアドレスとが、加入者データ蓄積部314内の登録識別情報403Aにて適正に対応付けられていることを判別した上で、利用者を認証する。
つぎに、実施形態2のSSC31Aの構成について詳細に説明する。
図12に示すように、SSC31Aは、実施形態1において図3に示したSSC31の構成と基本的に同じである。
ただし、実施形態2のパケット送受信部311は、端末装置4のプライベートアドレスやグローバルアドレスを当該NAT装置23から受信する。なお、この際、パケット送受信部311は、NAT装置23から、プライベートアドレスやグローバルアドレスの登録を要求する登録要求信号(REGISTERパケットPR)も受信する。
さらに、パケット送受信部311は、NAT装置23によりポート番号もネットワークアドレス変換される場合、ネットワークアドレス変換後のポート番号である新ポート番号と、ネットワークアドレス変換前の旧ポート番号とをNAT装置23から受信する。
また、実施形態2の加入者データ蓄積部314は、「加入者データ蓄積処理」を実行し、パケット送受信部311が受信したプライベートアドレスとグローバルアドレスとを対応付けた状態で登録識別情報403Aを記憶する。
図13に示すように、登録識別情報403Aは、NAT装置23によりネットワークアドレス変換される前の端末装置4のプライベートアドレスと、NAT装置23によりネットワークアドレス変換された後の端末装置4のグローバルアドレスとを対応付ける情報である。
なお、端末装置4におけるIPアドレスの設定を簡素化する観点よりDHCPサーバが認証システム内に設けられている場合、加入者データ蓄積部314は、パケット送受信部311が当該DHCPサーバから受信したプライベートアドレスやグローバルアドレスを登録識別情報403Aのうちに記憶する。
また、加入者データ蓄積部314は、NAT装置23によりポート番号もネットワークアドレス変換される場合、パケット送受信部311が受信したネットワークアドレス変換後の新ポート番号と、ネットワークアドレス変換前の旧ポート番号とを対応付けて、登録識別情報403Aのうちへと記憶する。
認証部313は、NAT装置23からの接続要求信号のヘッダHD(所定箇所)内のグローバルアドレスと、当該接続要求信号のうちのペイロードRD内の端末装置4のプライベートアドレスとのそれぞれが、加入者データ蓄積部314内の登録識別情報403Aにて対応付けられて登録されているかどうかに基づいて、利用者を認証する。
つまり、認証部313は、NAT装置23からの接続要求信号のヘッダHD(所定箇所)内のグローバルアドレスと、当該接続要求信号のうちのペイロードRD内の端末装置4のプライベートアドレスとのそれぞれが、加入者データ蓄積部314にて対応付けられて記憶されているかどうかに基づいて、利用者を認証する。
認証部313は、接続要求信号のヘッダHD内のグローバルアドレスおよびペイロードRD内のプライベートアドレスそれぞれが登録識別情報403Aにおいて対応付けられて登録されている場合、利用者の認証が成功したと判別する。
つぎに、上記構成を有する実施形態2の認証システムが、利用者の認証結果に基づいて、端末装置4とその通信先との間の接続を許可する動作を説明する。
実施形態2にて、端末装置4とその通信先との間の接続を許可する動作は、実施形態1において図5に示した動作と基本的に同一である。
ただし、SSE21が端末装置4から受信して送信してきたINVITEパケットPI(接続要求信号)は、NAT装置23によるネットワークアドレス変換が施されている。
より具体的には、SSE21からのINVITEパケットPIのヘッダHD(所定箇所)に登録されている送信元のIPアドレス(識別情報)が、プライベートアドレスからグローバルアドレスへと変換されている。
このとき、図5に示したステップS1において、認証部313は、接続要求信号のヘッダHD内のグローバルアドレスおよびペイロードRD内のプライベートアドレスそれぞれが加入者データ蓄積部314内の登録識別情報403Aにて対応付けられて登録されているかどうかに基づいて、利用者を認証する(ステップS1)。接続要求信号に含まれている端末装置4のプライベートアドレスとグローバルアドレスとが登録識別情報403Aにて対応付けられて登録されている場合、認証部313は、利用者の認証が成功したと判別する。
なお、NAT装置23によりヘッダHD内のポート番号も変換されている場合、SSC31は、接続要求信号内の新ポート番号と旧ポート番号とが登録識別情報403Aにて対応付けられて登録されているかどうかに基づいて、利用者を認証する。
認証部313による認証が成功した場合、パケット送受信部311は、INVITEパケットPI(接続要求信号)をISC32へと送信する。
なお、それ以降の実施形態2の認証システムが行う動作は、図5に示した実施形態1の認証システムの動作と同じである。
すなわち、SSC31Aの接続制御指示部316は、接続要求信号に対応するOKパケットPO(接続許可信号)をパケット送受信部311がISC32から受信した場合、端末装置4とその通信先との接続を許可するように指示する(ステップS2)。なお、接続の許可を指示する際、パケット送受信部311は、接続指示信号CAと接続許可設定情報401とをSSE21へと送信する。
SSE21の設定部212は、SSC31Aからの接続指示信号CAに従い、端末装置4とその通信先との接続を許可する。
以上で、実施形態2の認証システムが、利用者の認証結果に基づいて、端末装置4とその通信先との接続を許可するための一連の動作が終了する。
なお、実施形態2の認証システムが、端末装置4とその通信先との間の接続を禁止する動作は、図6に示した動作と基本的に同一である。
つぎに、実施形態2の認証システムが、利用者の認証結果に基づいて、端末装置4と、ネットワーク1以外の他のネットワーク内に存在する通信先との接続を許可する動作について説明する。
実施形態2にて、端末装置4と、ネットワーク1以外の他のネットワーク内の通信先との間の接続を許可する動作は、実施形態1において図8に示した動作と基本的に同一である。
ただし、SSE21が端末装置4から受信して送信してきたINVITEパケットPI(接続要求信号)は、NAT装置23によるネットワークアドレス変換が施されている。
このとき、図8に示したステップS31の処理において、SSC31Aの認証部313は、ヘッダHD(所定箇所)内のプライベートアドレスおよびペイロードRD内のプライベートアドレスが加入者データ蓄積部314内の登録識別情報403Aにて対応付けられて登録されているかどうかに基づいて、利用者を認証する(ステップS31)。
INVITEパケットPIのヘッダHD内のグローバルアドレスおよびペイロードRD内のプライベートアドレスが登録識別情報403Aにて対応付けられて登録されている場合、認証部313は、利用者の認証が成功したと判別する。この場合、パケット送受信部311は、SSE21からのINVITEパケットPIをISC32へと送信する。
なお、それ以降の実施形態2の認証システムが行う動作は、図8に示した実施形態1の認証システムの動作と同じである。
すなわち、ISC32は、SSC31からのINVITEパケットPIを、IBE22を介して、ネットワーク1以外の他のネットワーク内の通信先へと送信する。
また、ISC32は、INVITEパケットPIに対応するOKパケット(接続許可信号)を、IBE22を介して、ネットワーク1以外の他のネットワークから受信する。さらに、ISC32は、当該接続許可信号をSSC31Aへと送信する。
SSC31Aの設定情報生成部315は、パケット送受信部311が接続許可信号をISC32から受信した場合、SSE21がファイアウォールを開くことにより端末装置4とその通信先との接続を許可するための接続許可設定情報401を生成する(ステップS32)。
また、接続制御指示部316は、端末装置4とその通信先との接続を許可するようSSE21に対して指示する。なお、接続の許可を指示する際、パケット送受信部311は、接続指示信号CAと接続許可設定情報401とをSSE21へと送信する。
SSE21の設定部212は、SSC31Aからの接続指示信号CAに従い、端末装置4とその通信先との接続を許可する(ステップS33)。なお、このとき、設定部212は、SSC31Aからの接続許可設定情報401を用いて、端末装置4とその通信先との間のセッションを確立するためのポート番号を開けるようにファイアウォールの設定を変更する。
以上で、実施形態2において、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を許可するための一連の動作が終了する。
なお、実施形態2の認証システムが、端末装置4と、ネットワーク1以外の他のネットワークに存在する通信先との接続を禁止する動作は、図9に示した動作と基本的に同一である。
以上説明したように、実施形態2によれば、SSC31Aは、接続要求信号におけるグローバルアドレスとプライベートアドレスとが加入者データ蓄積部314内の登録識別情報403Aにて適正に対応付けられているかどうかに基づいて、利用者を認証する。これにより、例えば、グローバルアドレスとプライベートアドレスとのどちらか一方を用いて利用者を認証する実施形態1の認証システムよりも厳密な認証を行うことが可能となる。