JP5028995B2 - Service providing apparatus, authentication method, and authentication program - Google Patents

Service providing apparatus, authentication method, and authentication program Download PDF

Info

Publication number
JP5028995B2
JP5028995B2 JP2006340359A JP2006340359A JP5028995B2 JP 5028995 B2 JP5028995 B2 JP 5028995B2 JP 2006340359 A JP2006340359 A JP 2006340359A JP 2006340359 A JP2006340359 A JP 2006340359A JP 5028995 B2 JP5028995 B2 JP 5028995B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
type
algorithm
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006340359A
Other languages
Japanese (ja)
Other versions
JP2008152570A (en
Inventor
功夫 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006340359A priority Critical patent/JP5028995B2/en
Publication of JP2008152570A publication Critical patent/JP2008152570A/en
Application granted granted Critical
Publication of JP5028995B2 publication Critical patent/JP5028995B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はサービス提供装置、認証方法及び認証プログラムに関し、例えば、SIP交換機システムにおける端末からの通信に対する認証に適用し得る。   The present invention relates to a service providing apparatus, an authentication method, and an authentication program, and can be applied to authentication for communication from a terminal in a SIP exchange system, for example.

SIP(Session Initiation Protocol)交換機システムでは、故障端末からの不正アクセスや、悪意のあるユーザが、別の正規ユーザになりすましてサービスを不正利用することなどを防止するため、サーバとユーザ端末間の通信について認証をする。認証は、認証データを生成する認証アルゴリズムについて、SIP交換機システムとSIPユーザ端末の両者において、同一のアルゴリズムであるユーザ認証機能が具備されていることを前提としており、SIPユーザ端末からのリクエスト信号を受信した際に、サーバがリクエスト信号に付与された認証データを確認することにより、要求元のユーザを認証し許可することで実施される。つまり、正式な認証アルゴリズムを使用せずに生成された認証データが付与されたリクエストに対しては要求元のユーザを認可しないことにより、サービスの不正利用防止を実現している。SIP交換機システムにおいては、この認証機能は、ユーザの現在位置を登録するためのリクエスト信号(REGISTERリクエスト)、及びユーザが電話サービスの利用を開始するための発呼リクエスト信号(=INVITEリクエスト)に対して実施されるのが一般的である。   In a SIP (Session Initiation Protocol) exchange system, communication between a server and a user terminal is prevented in order to prevent unauthorized access from a malfunctioning terminal or unauthorized use of a service by a malicious user impersonating another authorized user. Authenticate about. Authentication is based on the assumption that the authentication algorithm for generating authentication data is provided with a user authentication function that is the same algorithm in both the SIP exchange system and the SIP user terminal. When received, the server confirms the authentication data given to the request signal, thereby authenticating and permitting the requesting user. In other words, unauthorized use of services is prevented by not authorizing a requesting user for a request to which authentication data generated without using a formal authentication algorithm is given. In the SIP exchange system, this authentication function is in response to a request signal (REGISTER request) for registering the user's current location and a call request signal (= INVITE request) for the user to start using the telephone service. Generally, it is implemented.

そこで特許文献1に記載の「通知番号検証システム」のように、SIPサーバにおいて、IP電話加入端末が発呼した際に、その発呼したユーザが正当な利用者であるか認証を行う方法が提案されている。
”Session Initiation Protocol"[IETF RFC3261 June 2002] 特開2006−5880号公報 Therefore, as in the “notification number verification system” described in Patent Document 1, when an IP telephone subscriber terminal makes a call in the SIP server, a method for authenticating whether the calling user is a valid user is known. Proposed.
"Session Initiation Protocol" [IETF RFC3261 June 2002] JP 2006-5880 A

今日、SIP交換機システムにより提供されるサービスは多様化され、電話接続サービス以外に、現在位置情報公開サービス(プレゼンスサービス)や、インスタントメッセージサービスなどが提供されるようになってきている。SIPでは、プレゼンスサービス向けにSUBSCRIBE、PUBLISHリクエストを、インスタントメッセージ向けにMESSAGEリクエストを規定している。このため、これらのリクエストに対してもユーザ認証を実施し、サービスの不正利用を防止する必要性が高まっている。又、複数のSIP交換サービス提供事業社が提供するサービスには、事業者毎に差異があり、また収容するユーザ端末も様々である。端末によっては、全てのリクエストに対してユーザ認証機能を具備していない可能性もある。このユーザ端末にSIP交換機システムが認証を実施した場合、この端末のユーザはサービスを一切利用することができない。このため、各事業者のサービス運用方針によって、SIPユーザ端末からのどのリクエスト信号に対してユーザ認証処理を実施するのか否かという認証実施要否の条件が異なる。又、認証のセキュリティ性強化のため、将来的に認証データを生成する認証アルゴリズムの種別が増加することも予想される。   Today, services provided by SIP exchange systems are diversified, and in addition to telephone connection services, current location information disclosure services (presence services), instant message services, and the like have been provided. In SIP, SUBSCRIBE and PUBLISH requests are defined for presence services, and MESSAGE requests are defined for instant messages. For this reason, it is necessary to perform user authentication for these requests to prevent unauthorized use of the service. In addition, services provided by a plurality of SIP exchange service providers are different for each provider, and various user terminals are accommodated. Some terminals may not have a user authentication function for all requests. When the SIP exchange system authenticates to this user terminal, the user of this terminal cannot use any service. For this reason, depending on the service operation policy of each business operator, the condition of whether or not the authentication is necessary depends on which request signal from the SIP user terminal is subjected to the user authentication process. In addition, in order to enhance the security of authentication, it is expected that the types of authentication algorithms for generating authentication data will increase in the future.

しかしながら、特許文献1に記載の「通知番号検証システム」では、一つのリクエストに対して単一の種類の認証アルゴリズムしか対応することができなかった。そのため、複数の種類の認証アルゴリズムに対応し、ユーザ毎や端末毎等に応じた認証アルゴリズムを選択して認証を行うことができるサービス提供装置、認証方法及び認証プログラムが望まれている。   However, the “notification number verification system” described in Patent Document 1 can only handle a single type of authentication algorithm for one request. Therefore, there is a demand for a service providing apparatus, an authentication method, and an authentication program that can perform authentication by selecting an authentication algorithm corresponding to a plurality of types of authentication algorithms for each user or each terminal.

第1の本発明のサービス提供装置は、(1)端末から受信した信号の種別毎に、認証の要否の情報を、認証アルゴリズムの種類毎に格納した認証実施要否条件情報記憶手段、(2)上記端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類を判定する認証アルゴリズム判定手段、(3)上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得する信号種別情報取得手段、(4)上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記端末から受信した信号について、認証の要否を判定する認証要否判定手段、及び、(5)上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類の認証アルゴリズムを使用して、上記端末からの通信について認証を行う認証手段を有することを特徴とする。   The service providing apparatus according to the first aspect of the present invention includes: (1) an authentication implementation necessity condition information storage unit that stores, for each type of authentication algorithm, information on the necessity of authentication for each type of signal received from a terminal; 2) Authentication algorithm determination means for determining the type of authentication algorithm adopted by the terminal based on the signal received from the terminal; (3) Type of signal transmitted by the terminal from the signal received from the terminal (4) the authentication execution necessity condition information based on the type of authentication algorithm determined by the authentication algorithm determination unit and the information acquired by the signal type information acquisition unit. Authentication necessity determination means for determining whether or not authentication is necessary for a signal received from the terminal with reference to information in the storage means; and (5) determination as to whether the authentication is necessary Stage by, if it is determined authentication required, using the authentication algorithm of the type determined by the authentication algorithm determining means, characterized in that it has an authentication means for authenticating the communication from the terminal.

第2の本発明は端末にサービスを提供するサービス提供装置が行う認証方法において、(0)認証実施要否条件情報記憶手段、認証アルゴリズム判定手段、信号種別情報取得手段、認証要否判定手段、及び、認証手段を備え、(1)上記認証実施要否条件情報記憶手段は、上記サービス提供装置が上記端末から受信する信号の種別毎に認証の要否の情報を認証アルゴリズムの種類毎に格納し、(2)上記認証アルゴリズム判定手段は、上記サービス提供装置が、上記端末から受信した信号から、上記端末が採用している認証アルゴリズムの種類を判定し、(3)上記信号種別情報取得手段は、上記サービス提供装置が、上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得し、(4)上記認証要否判定手段は、上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記サービス提供装置が上記端末から受信した信号について、認証の要否を判定し、(5)上記認証手段は、上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類のアルゴリズムを使用して、上記端末からの通信について認証を行うことを特徴とする。
 The second of the onset bright, the authentication method that the service providing device for providing services for a terminal performs, (0) Certification The necessity condition information storage unit, the authentication algorithm determining means, signal type information obtaining means, authentication necessity determining means, and an authentication means, (1) the authentication performed necessity condition information storage unit, the service providing device type of necessity information authentication algorithm of an authentication for each type of a signal received from the terminal stored for each, (2) the authentication algorithm determining means, the service providing apparatus, from the signal received from the terminal, determines the type of authentication algorithm the terminal is employed, (3) the signal type information obtaining means, the service providing apparatus, from the signal received from the terminal, acquires information related to the type of signal which the terminal transmits, (4) the authentication necessity determination means , The type of authentication algorithm determined by the authentication algorithm decision means, and, based on information obtained by the signal type information obtaining means, the information in upper Symbol authentication performed necessity condition information storage unit, the service providing apparatus Determines whether or not authentication is necessary for the signal received from the terminal. (5) If the authentication means determines that authentication is required by the authentication necessity determination means, the authentication algorithm determination means determines It is characterized in that authentication is performed for communication from the terminal using an algorithm of the type specified.

第3の本発明の認証プログラムは、(0)端末にサービスを提供するサービス提供装置に設けられているコンピュータを、(1)上記端末から受信する信号の種別毎に認証の要否の情報を、認証アルゴリズムの種類毎に格納した認証実施要否条件情報記憶手段、(2)上記端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類の判定をする認証アルゴリズム判定手段、(3)上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得する信号種別情報取得手段、(4)上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記端末から受信した信号について、認証の要否を判定する認証要否判定手段、及び、(5)上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類のアルゴリズムを使用して、上記端末からの通信について認証を行う認証手段として機能させることを特徴とする。
Authentication program of the third invention, the (0) a computer is provided in the service providing apparatus that provides a service to the terminal, (1) necessity of information of the authentication for each type of a signal received from the terminal authentication performed necessity condition information storage means for storing for each type of authentication algorithm, (2) based on the signal received from the terminal, authentication algorithm determining means for determining the type of authentication algorithm the terminal employs , (3) from a signal received from the upper SL terminal, signal type information obtaining means for obtaining information related to the type of signal which the terminal transmits, (4) the type of authentication algorithm determined by the authentication algorithm decision means, and, based on the information obtained by the signal type information obtaining means, the information in the authentication carried necessity condition information storage unit, received from the terminal An authentication necessity determination unit that determines whether or not authentication is necessary for the signal; and (5) if the authentication necessity determination unit determines that the authentication is necessary, the type of the type determined by the authentication algorithm determination unit An algorithm is used to function as an authentication unit that authenticates communication from the terminal.

本発明によれば、サービス提供装置が、複数の種類の認証アルゴリズムに対応している場合、端末毎等に応じた認証アルゴリズムを選択して認証を行うことができる。   According to the present invention, when the service providing apparatus supports a plurality of types of authentication algorithms, authentication can be performed by selecting an authentication algorithm corresponding to each terminal or the like.

(A)第1の実施形態
以下、本発明によるサービス提供装置、認証方法及び認証プログラムの第1の実施形態を、図面を参照しながら詳述する。 (A) First Embodiment Hereinafter, a first embodiment of a service providing apparatus, an authentication method, and an authentication program according to the present invention will be described in detail with reference to the drawings.

(A−1)第1の実施形態の構成
図2は、この実施形態のSIPシステムの全体構成を示すブロック図である。 (A-1) Configuration of the First Embodiment FIG. 2 is a block diagram showing the overall configuration of the SIP system of this embodiment.

SIP交換機システム100は、SIPユーザ端末400を収容して、SIPによる交換サービスを提供するものである。IPネットワーク300は、SIP交換機システム100とSIPユーザ端末400などを通信させるためのIPネットワークであり、例えば、ルータやスイッチングハブなどのIP通信可能なネットワーク装置で構成されるものである。   The SIP exchange system 100 accommodates the SIP user terminal 400 and provides an exchange service by SIP. The IP network 300 is an IP network for allowing the SIP exchange system 100 and the SIP user terminal 400 to communicate with each other. For example, the IP network 300 includes a network device capable of IP communication such as a router or a switching hub.

SIPユーザ端末400は、SIPのクライアント端末であり、IPネットワーク300に接続可能なパソコンや携帯電話機等の情報処理端末に、SIP交換機システム100と通信してSIPによるサービスを受けるためのソフトウェアをインストールしたものである。   The SIP user terminal 400 is a SIP client terminal, and software for communicating with the SIP exchange system 100 and receiving a service by SIP is installed in an information processing terminal such as a personal computer or a mobile phone that can be connected to the IP network 300. Is.

SIP交換機保守端末200は、システムの保守者が投入する操作信号をSIP交換機システム100に伝達したり、SIP交換機システム100にからの障害発生等のメッセージを受信してシステムの保守者に表示させたりするものである。SIP交換機保守端末200は、IPネットワーク300に接続可能なパソコンや携帯電話機等の情報処理端末に、SIP交換機システム100と通信し、情報の受送信及び制御をするためのソフトウェアをインストールしたものである。   The SIP exchange maintenance terminal 200 transmits an operation signal input by a system maintenance person to the SIP exchange system 100, receives a message such as a failure from the SIP exchange system 100, and displays it on the system maintenance person. To do. The SIP exchange maintenance terminal 200 is installed in an information processing terminal such as a personal computer or a mobile phone that can be connected to the IP network 300 with software that communicates with the SIP exchange system 100 and performs transmission / reception and control of information. .

図1は、SIP交換機システム100の内部構造及び、SIPユーザ端末400との接続について示したブロック図である。   FIG. 1 is a block diagram showing the internal structure of the SIP exchange system 100 and the connection with the SIP user terminal 400.

SIP交換機システムは、一般にIETFのRFC3261記述に基づいた構成となっており、SIP階層(レイヤ)構造で示すことができる。そこで、この実施形態では、RFC3261の記述に基づいて、SIP交換機システム100の内部をアプリケーションレイヤ110、トランザクションレイヤ120、トランスポートレイヤ130の3つのレイヤに分けて説明するものとする。   The SIP exchange system generally has a configuration based on the RFC 3261 description of IETF, and can be represented by a SIP layer (layer) structure. In this embodiment, therefore, the inside of the SIP exchange system 100 is divided into three layers, that is, an application layer 110, a transaction layer 120, and a transport layer 130, based on the description of RFC3261.

アプリケーションレイヤ110、トランザクションレイヤ120、トランスポートレイヤ130は、例えば、パソコンなどのIPネットワーク300に接続可能な情報処理装置(1台に限定されず、複数台を分散処理し得るようにしたものであっても良い。)上に、実施形態の認証実施要否判定プログラム(固定データを含む)などの、各レイヤ毎のプログラムをインストールすることにより構築されるものであるが、機能的には図1のように表すことができる。アプリケーションレイヤ110、トランザクションレイヤ120、トランスポートレイヤ130はハードウエア的には、CPU(中央処理装置)などに相当し、ソフトウエア的には各種プログラムに相当し得る部分である。又、アプリケーションレイヤ110内の生成シナリオ管理表111c、ユーザ認証実施要否条件表111e、デフォルトアルゴリズム情報111fなどは記憶手段であり、ハードウエア的には、揮発性記憶手段(RAMなど)や、不揮発性記憶手段(ROMやハードディスクなど)によって構成され、ソフトウエア的には、各種のファイルが該当する。   The application layer 110, the transaction layer 120, and the transport layer 130 are, for example, information processing devices that can be connected to the IP network 300 such as a personal computer (not limited to one, but a plurality of devices can be distributedly processed. In addition, it is constructed by installing a program for each layer such as the authentication execution necessity determination program (including fixed data) of the embodiment. It can be expressed as The application layer 110, the transaction layer 120, and the transport layer 130 correspond to a CPU (Central Processing Unit) and the like in hardware, and can correspond to various programs in software. In addition, the generation scenario management table 111c, the user authentication implementation necessity condition table 111e, the default algorithm information 111f, and the like in the application layer 110 are storage means. In terms of hardware, volatile storage means (such as RAM), non-volatile It is constituted by a characteristic storage means (ROM, hard disk, etc.), and various files correspond to software.

トランスポートレイヤ130は、SIPユーザ端末400からデータを受信し、受信したSIP信号をトランザクションレイヤ120に引き渡すなどの機能を担っている。   The transport layer 130 has functions such as receiving data from the SIP user terminal 400 and delivering the received SIP signal to the transaction layer 120.

トランザクションレイヤ120は、受信した信号に対応するトランザクションを検索するなどの機能を担っている。検索した結果、トランザクションが存在する場合はそのトランザクションを検索する。トランザクションが存在する場合はそのトランザクションの状態に応じて、該当するSIPユーザ端末400との間の処理を実施し、存在しない場合は新規にトランザクションを生成して処理を実施する。そして、所定の条件に応じて、アプリケーションレイヤ110に対してSIP信号を引き渡す。   The transaction layer 120 has a function of searching for a transaction corresponding to the received signal. If there is a transaction as a result of the search, the transaction is searched. If there is a transaction, processing with the corresponding SIP user terminal 400 is performed according to the state of the transaction. If there is no transaction, a new transaction is generated and processing is performed. Then, the SIP signal is delivered to the application layer 110 according to a predetermined condition.

アプリケーションレイヤ110は、受信したSIP信号の種別と信号上の設定されているパラメータ内容、及び、アプリケーションレイヤ110自身が保持しているプログラム状態により、信号送信元のユーザ認証機能や、呼接続サービス等の各種サービスを提供する機能を担っている。アプリケーションレイヤ110は、信号振分け機能部111、サービスシナリオ機能部112、ユーザデータ管理部113、ユーザ認証機能部114を有している。   The application layer 110 has a user authentication function of a signal transmission source, a call connection service, etc. according to the type of the received SIP signal, the parameter content set on the signal, and the program state held by the application layer 110 itself. It is responsible for providing various services. The application layer 110 includes a signal distribution function unit 111, a service scenario function unit 112, a user data management unit 113, and a user authentication function unit 114.

サービスシナリオ機能部112は、電話接続サービス、現在位置情報公開(プレゼンス)サービス、インスタントメッセージサービスなど、SIPによる各サービスを実現するサービスシナリオを複数備えており、信号振分け機能部111からサービスの開始を要求するSIP信号を受信すると、要求サービスに該当するサービスシナリオを生成し、それ以降は信号振分け機能部111から通知される受信SIP信号に応じて、対応するサービスシナリオの状態を変化させながら、SIP応答信号やSIP要求信号を信号振分け機能部111、トランザクションレイヤ120、トランスポートレイヤ130を経由してSIPユーザ端末に対して送信することにより、要求されたサービスをSIPユーザ端末400に対して提供する。   The service scenario function unit 112 includes a plurality of service scenarios for realizing each service by SIP such as a telephone connection service, a current location information disclosure (presence) service, an instant message service, and the signal distribution function unit 111 starts the service. When the requested SIP signal is received, a service scenario corresponding to the requested service is generated, and thereafter, the SIP is changed while changing the state of the corresponding service scenario according to the received SIP signal notified from the signal distribution function unit 111. The requested service is provided to the SIP user terminal 400 by transmitting the response signal and the SIP request signal to the SIP user terminal via the signal distribution function unit 111, the transaction layer 120, and the transport layer 130. .

ユーザ認証機能部114は、ユーザ認証機能を備えており、信号振分け機能部111から入力されたSIP信号に設定されているパラメータを参照して、要求送信元ユーザの認証を実施する。尚、位置情報登録リクエスト(REGISTER信号)に対してユーザ認証を実施した場合は、ユーザ認証機能部114が認証実施結果をREGISTERリクエストの応答信号に設定し、信号振分け機能部111、トランザクションレイヤ120、トランスポートレイヤ130を経由してSIPユーザ端末400に対して送信する。又、サービス開始リクエスト(INVITE、MESSAGEリクエスト等)に対するユーザ認証を実施した場合は、認証実施結果が不成功(不認可)となった場合のみユーザ認証機能部114が、該当リクエストの認証が不成功であった旨の応答信号を送信し、認証実施結果が成功(認可)となった場合には、信号振分け機能部111からサービスシナリオ機能部112にサービス開始リクエスト信号が引き渡され、サービスシナリオの動作によってサービス開始のリクエストの応答信号が送信される。   The user authentication function unit 114 has a user authentication function, and refers to the parameters set in the SIP signal input from the signal distribution function unit 111 to authenticate the request transmission source user. When user authentication is performed for the location information registration request (REGISTER signal), the user authentication function unit 114 sets the authentication execution result as a response signal of the REGISTER request, and the signal distribution function unit 111, the transaction layer 120, The data is transmitted to the SIP user terminal 400 via the transport layer 130. In addition, when user authentication is performed for a service start request (INVITE, MESSAGE request, etc.), the user authentication function unit 114 does not successfully authenticate the request only when the authentication execution result is unsuccessful (disapproved). When the authentication execution result is successful (authorization), a service start request signal is delivered from the signal distribution function unit 111 to the service scenario function unit 112, and the service scenario operation is performed. The response signal for the service start request is transmitted.

ユーザデータ管理部113は、SIP交換機システム100に収容される全てのユーザのデータを管理する。ユーザデータとして、電話番号やユーザアカウントなどユーザを識別する情報、ユーザのユーザ契約情報及び、ユーザ認証にて使用される認証データ情報が管理される。ユーザデータ管理部113は、ユーザに対するサービスシナリオが実行されるときやユーザ認証が実施されるときに、該当ユーザに関する情報を、サービスシナリオ機能部112、ユーザ認証機能部114からの要求に応じて開示する。   The user data management unit 113 manages data of all users accommodated in the SIP exchange system 100. As user data, information for identifying a user such as a telephone number and a user account, user contract information of the user, and authentication data information used in user authentication are managed. When a service scenario for a user is executed or when user authentication is performed, the user data management unit 113 discloses information about the user in response to a request from the service scenario function unit 112 and the user authentication function unit 114. To do.

信号振分け機能部111は、トランザクションレイヤ120とアプリケーションレイヤ110のインターフェースの機能を担っており、SIP信号送受信処理部111a、サービスシナリオ管理部111b、ユーザ認証実施要否判定処理部111dを有している。信号振分け機能部111は、トランザクションレイヤ120から引き渡されたSIP信号をアプリケーションレイヤ110内部において最初に受信する。そして、受信したSIP信号に対して、リクエスト種別や設定されているパラメータの確認を実施し、既に生成されているサービスシナリオに関連している信号であれば、サービスシナリオ機能部112に受信したSIP信号を通知し、ユーザ認証を必要とするリクエスト信号であれば、ユーザ認証機能部114に受信したSIP信号を通知する。   The signal distribution function unit 111 functions as an interface between the transaction layer 120 and the application layer 110, and includes a SIP signal transmission / reception processing unit 111a, a service scenario management unit 111b, and a user authentication execution necessity determination processing unit 111d. . The signal distribution function unit 111 first receives the SIP signal delivered from the transaction layer 120 in the application layer 110. Then, the request type and the set parameters are confirmed for the received SIP signal. If the signal is related to the service scenario that has already been generated, the SIP received by the service scenario function unit 112 is received. If the signal is a request signal that requires user authentication, the user authentication function unit 114 is notified of the received SIP signal.

また、信号振分け機能部111は、サービスシナリオ機能部112とユーザ認証機能部114からの、SIPユーザ端末400に対する、SIP要求番号とSIP応答信号の送信要求を受け付けて、トランザクションレイヤ120に入力し、トランスポートレイヤ130を経由して、SIPユーザ端末400に通知する。さらに、信号振分け機能部111は、ユーザ認証機能部114におけるユーザ認証の実施結果を受け付けて、認証が成功(認可)すると、位置情報登録リクエスト(REGISTER信号)の場合には、ユーザデータ管理部113に対してユーザ位置登録を要求し、サービス開始リクエスト(INVITE、MESSAGE信号等)の場合には、サービスシナリオ機能部112に対して新規サービスシナリオ生成を要求する。尚、位置登録の要求及びサービスシナリオ生成の要求は、受信したSIP信号を通知することにより行われる。   Further, the signal distribution function unit 111 receives the SIP request number and the SIP response signal transmission request to the SIP user terminal 400 from the service scenario function unit 112 and the user authentication function unit 114, and inputs them to the transaction layer 120. The SIP user terminal 400 is notified via the transport layer 130. Further, the signal distribution function unit 111 receives the result of user authentication performed by the user authentication function unit 114, and when the authentication is successful (authorization), in the case of a location information registration request (REGISTER signal), the user data management unit 113. In the case of a service start request (INVITE, MESSAGE signal, etc.), the service scenario function unit 112 is requested to generate a new service scenario. The location registration request and the service scenario generation request are made by notifying the received SIP signal.

SIP信号送受信処理部111aは、アプリケーションレイヤ110におけるトランザクションレイヤ120とのインターフェースとして、トランザクションレイヤ120からSIP信号を受信して、サービスシナリオ機能部112と、ユーザ認証機能部114へのSIP信号を振分ける機能と、サービスシナリオ機能部112やユーザ認証機能部114からの要求に応じて、トランザクションレイヤ120に対してSIP信号の送信を要求する機能等を担っている。   The SIP signal transmission / reception processing unit 111a receives an SIP signal from the transaction layer 120 as an interface with the transaction layer 120 in the application layer 110, and distributes the SIP signal to the service scenario function unit 112 and the user authentication function unit 114. In response to a request from the function and the service scenario function unit 112 or the user authentication function unit 114, the transaction layer 120 is requested to transmit a SIP signal.

サービスシナリオ管理部111bは、サービスシナリオ機能部112で生成されたシナリオを管理する機能を担っており、生成シナリオ管理表111cを有している。   The service scenario management unit 111b has a function of managing the scenario generated by the service scenario function unit 112, and includes a generation scenario management table 111c.

図3は、サービスシナリオ管理部111b及び生成シナリオ管理表111cの内部構造と、サービスシナリオ機能部112、SIP信号送受信処理部111aとの間で送受信される情報について示した図である。生成シナリオ管理表111cは、SIPユーザ端末400からの呼の識別番号を示すCall−IDヘッダの内容と、該当するCall−IDの呼に対応するサービスシナリオの論理番号の情報を有する表である。生成シナリオ管理表111cの各要素は、サービスシナリオ管理部111bに対してサービスシナリオ機能部112より、サービス開始時にサービスシナリオが生成された際に登録を要求し、表要素が追加され(S401)、サービス終了時にサービスシナリオを開放すると登録解除が要求され、表要素が削除される(S402)。また、SIP信号送受信処理部111aから、Call−IDをキーとして、対応するサービスシナリオが存在するかどうかの問い合わせ(S403、S405)があった際には、サービスシナリオ管理部111bは、生成シナリオ管理表111cの情報を検索し、結果として該当するシナリオの有無を回答する(S404、S406)。   FIG. 3 is a diagram illustrating the internal structure of the service scenario management unit 111b and the generation scenario management table 111c, and information transmitted / received between the service scenario function unit 112 and the SIP signal transmission / reception processing unit 111a. The generation scenario management table 111c is a table having the contents of the Call-ID header indicating the identification number of the call from the SIP user terminal 400 and the information on the logical number of the service scenario corresponding to the call with the corresponding Call-ID. Each element of the generation scenario management table 111c requests the service scenario management unit 111b to register when a service scenario is generated at the start of service from the service scenario function unit 112, and a table element is added (S401). When the service scenario is released at the end of the service, deregistration is requested and the table element is deleted (S402). When the SIP signal transmission / reception processing unit 111a receives an inquiry (S403, S405) as to whether a corresponding service scenario exists using the Call-ID as a key, the service scenario management unit 111b The information in the table 111c is searched, and as a result, the presence / absence of the corresponding scenario is answered (S404, S406).

図4は、ユーザ認証実施要否判定処理部111dの内部構造を示した図である。ユーザ認証実施要否判定処理部111dは、SIP信号送受信処理部111aから通知された受信SIP信号をユーザ認証実施要否判定要求として受け付けて、ユーザ認証の実施要否を判定する機能を担っており、ユーザ認証実施要否条件表111e、デフォルトアルゴリズム情報111fを有している。   FIG. 4 is a diagram illustrating an internal structure of the user authentication execution necessity determination processing unit 111d. The user authentication execution necessity determination processing unit 111d has a function of receiving the received SIP signal notified from the SIP signal transmission / reception processing unit 111a as a user authentication execution necessity determination request and determining whether or not user authentication needs to be performed. , A user authentication implementation necessity condition table 111e and default algorithm information 111f.

図4では、ユーザ認証実施要否条件表111eと、デフォルトアルゴリズム情報111fの内容の例を示している。この実施形態では、「アルゴリズム1」、「アルゴリズム2」、「アルゴリズム3」の3つのユーザ認証アルゴリズムについて、ユーザ認証機能部114は対応しているものとし、SIPユーザ端末400はアルゴリズム1〜3のうち、少なくとも1つに対応しているものとする。   FIG. 4 shows an example of the contents of the user authentication implementation necessity condition table 111e and the default algorithm information 111f. In this embodiment, it is assumed that the user authentication function unit 114 corresponds to three user authentication algorithms “algorithm 1”, “algorithm 2”, and “algorithm 3”, and the SIP user terminal 400 has It is assumed that at least one of them is supported.

ユーザ認証実施要否条件表111eには、リクエスト種別(REGISTER、INVITE等)と、それぞれのリクエスト種別に対して認証アルゴリズム毎に「認証実施要」又は「認証実施不要」のフラグ情報が格納されている。デフォルトアルゴリズム情報111fには、ユーザ認証機能部114が対応しているユーザ認証アルゴリズム(アルゴリズム1〜3)のうちいずれかのアルゴリズムについて情報が格納される。   The user authentication implementation necessity condition table 111e stores request types (REGISTER, INVITE, etc.) and flag information of “authentication implementation required” or “authentication execution unnecessary” for each authentication algorithm for each request type. Yes. The default algorithm information 111f stores information on any of the user authentication algorithms (algorithms 1 to 3) supported by the user authentication function unit 114.

ユーザ認証実施要否判定処理部111dは、SIP信号送受信処理部111aからの受信SIP信号通知をユーザ認証実施要否判定要求として受け付けた際に、要求対象のSIP信号から、リクエスト種別と、その信号の認証ヘッダ(RFC3261に記載の「Authorization」ヘッダ)に設定されているアルゴリズムパラメータ(RFC3261に記載の「Algorithm」 パラメータ)の情報をアルゴリズム種別として取り出す。このとき、認証ヘッダが省略されるか、認証ヘッダ上のアルゴリズムパラメータが省略された場合は、デフォルトアルゴリズム情報111fに設定されている値をアルゴリズム種別として使用する。取り出したリクエスト種別とアルゴリズム種別を使用して、ユーザ認証実施要否条件表111eを検索することにより、ユーザ認証実施手段条件の設定値を得る。ユーザ認証実施要否条件が「認証実施要」であった場合には、ユーザ認証機能部114に、認証アルゴリズムの種別と共にSIP信号を通知し、ユーザ認証機能部114にてユーザ認証が実施される。ユーザ認証実施要否条件が「認証実施不要」であった場合には、ユーザ認証機能部114へは特に情報の通知はせず、ユーザ認証が成功(認可)したとみなして処理を継続する。   When the user authentication implementation necessity determination processing unit 111d accepts the received SIP signal notification from the SIP signal transmission / reception processing unit 111a as a user authentication implementation necessity determination request, the request type and its signal are determined from the requested SIP signal. Information of the algorithm parameter (“Algorithm” parameter described in RFC 3261) set in the authentication header (“Authorization” header described in RFC 3261) is extracted as the algorithm type. At this time, if the authentication header is omitted or the algorithm parameter on the authentication header is omitted, the value set in the default algorithm information 111f is used as the algorithm type. By using the extracted request type and algorithm type, the user authentication execution necessity condition table 111e is searched to obtain the set value of the user authentication execution means condition. When the user authentication execution necessity condition is “authentication execution required”, the user authentication function unit 114 is notified of the SIP signal together with the type of the authentication algorithm, and the user authentication function unit 114 performs user authentication. . When the user authentication execution necessity condition is “authentication execution unnecessary”, the user authentication function unit 114 is not particularly notified of information, and the processing is continued assuming that the user authentication is successful (authorization).

ユーザ認証機能部114において、ユーザ認証の結果が成功(認可)のとき、ユーザ認証実施要否判定処理部111dは、SIP信号が位置情報登録リクエスト(REGISTER信号)であれば、ユーザデータ管理部113にユーザの位置登録を要求し、SIP信号がサービス開始リクエスト(INVITE、MESSAGE信号など)であれば、サービスシナリオ機能部112に対してサービスシナリオの新規生成を要求する。   In the user authentication function unit 114, when the result of the user authentication is success (authorization), the user authentication execution necessity determination processing unit 111d, if the SIP signal is a location information registration request (REGISTER signal), the user data management unit 113. If the SIP signal is a service start request (INVITE, MESSAGE signal, etc.), the service scenario function unit 112 is requested to create a new service scenario.

(A−2)第1の実施形態の動作
次に、以上のような機能的構成を有する第1の実施形態のSIP交換機システム100の動作を、図面を参照しながら説明する。 (A-2) Operation of the First Embodiment Next, the operation of the SIP exchange system 100 of the first embodiment having the above functional configuration will be described with reference to the drawings.

図5及び図6は、SIP交換機システム100のアプリケーションレイヤ110内部の信号振分け機能部111において、トランザクションレイヤ120からSIPリクエスト信号を受信し、ユーザ認証の手段を判定する処理について示したフローチャートである。   FIG. 5 and FIG. 6 are flowcharts showing processing for receiving a SIP request signal from the transaction layer 120 and determining user authentication means in the signal distribution function unit 111 inside the application layer 110 of the SIP exchange system 100.

まず、SIPユーザ端末400からSIP交換機システム100にSIP信号が入力され、トランザクションレイヤ120を経由して、信号振分け機能部111のSIP信号送受信処理部111aへ入力される(S501)。尚、ここでは、SIP交換機システム100は、SIPユーザ端末400から位置情報登録リクエストとしてREGISTER信号を受信し、この信号には認証ヘッダが設定されていないものとする。   First, a SIP signal is input from the SIP user terminal 400 to the SIP exchange system 100 and is input to the SIP signal transmission / reception processing unit 111a of the signal distribution function unit 111 via the transaction layer 120 (S501). Here, it is assumed that the SIP exchange system 100 receives a REGISTER signal as a location information registration request from the SIP user terminal 400, and an authentication header is not set in this signal.

次に、SIP信号送受信処理部111aにおいて、受信したSIP信号のヘッダ情報からCall−IDが取得され、サービスシナリオ管理部111bに対して、取得したCall−IDの情報が入力される。これにより、このCall−IDに対応するサービスシナリオの有無の問い合わせがされる(S502)。   Next, in the SIP signal transmission / reception processing unit 111a, the Call-ID is acquired from the header information of the received SIP signal, and the acquired Call-ID information is input to the service scenario management unit 111b. As a result, an inquiry is made as to whether there is a service scenario corresponding to the Call-ID (S502).

サービスシナリオの有無の問い合わせを受信すると、サービスシナリオ管理部111bは、受信したCall−IDをキーとして、生成シナリオ管理表111cを検索し、対応するサービスシナリオが存在する場合は対応シナリオが「有り」、存在しなければ「無し」として、問い合わせ結果がSIP信号送受信処理部111aへ回答される(S503)。   Upon receiving an inquiry about the presence or absence of a service scenario, the service scenario management unit 111b searches the generated scenario management table 111c using the received Call-ID as a key, and if there is a corresponding service scenario, the corresponding scenario is “Yes”. If it does not exist, the inquiry result is returned to the SIP signal transmission / reception processing unit 111a as “None” (S503).

シナリオの有無について回答を受信すると、SIP信号送受信処理部111aは、回答の結果対応するシナリオが、「有り」か「無し」かの判定を行う(S504)。対応するシナリオが「有り」の場合には、受信したSIP信号をサービスシナリオ管理部111bに通知する(S509)。その後、通知したSIP信号は、サービスシナリオ機能部112に入力され、サービスシナリオ動作において使用される。   When receiving an answer about the presence / absence of a scenario, the SIP signal transmission / reception processing unit 111a determines whether the scenario corresponding to the answer is “present” or “not present” (S504). When the corresponding scenario is “present”, the received SIP signal is notified to the service scenario management unit 111b (S509). Thereafter, the notified SIP signal is input to the service scenario function unit 112 and used in the service scenario operation.

一方、対応するシナリオが「無し」の場合には、SIP信号送受信処理部111aは、ユーザ認証実施要否判定処理部111dに受信SIP信号を通知する。受信SIP信号の通知を受けると、ユーザ認証実施要否判定処理部111dは、ユーザ認証実施要否判定手順を開始し(S505)、まず、受信したSIP信号からリクエスト種別の情報を抽出する(S506)。尚、ここでは上述の通り、該当するSIP信号のリクエスト種別はREGISTERとなる。   On the other hand, when the corresponding scenario is “none”, the SIP signal transmission / reception processing unit 111a notifies the user authentication execution necessity determination processing unit 111d of the received SIP signal. Upon receiving the notification of the received SIP signal, the user authentication implementation necessity determination processing unit 111d starts a user authentication implementation necessity determination procedure (S505), and first extracts request type information from the received SIP signal (S506). ). Here, as described above, the request type of the corresponding SIP signal is REGISTER.

次に、ユーザ認証実施要否判定処理部111dは、受信SIP信号に認証ヘッダが設定されているか判定を行う(S507)。   Next, the user authentication implementation necessity determination processing unit 111d determines whether an authentication header is set in the received SIP signal (S507).

認証ヘッダが設定されていなかった場合には、アルゴリズム種別として、デフォルトアルゴリズム情報111fに示されたアルゴリズムをユーザ認証アルゴリズムとして決定する(S514)。一方、認証ヘッダが設定されていた場合には、ユーザ認証実施要否判定処理部111dは、認証ヘッダ内にアルゴリズムパラメータが設定されているかを更に判定する(S508)。アルゴリズムパラメータが設定されていなかった場合には、デフォルトアルゴリズム情報111fに示されたアルゴリズムをユーザ認証アルゴリズムとして決定する(S514)。アルゴリズムパラメータが設定されていた場合には、ユーザ認証実施要否判定処理部111dは、該当するアルゴリズムをユーザ認証アルゴリズムとして決定する(S510)。ここでは、上述の通り、受信したSIP信号に認証ヘッダは設定されていなかったものとするため、アルゴリズム種別は、デフォルトアルゴリズム情報111fに示されたアルゴリズムであるアルゴリズム1に決定される。   If the authentication header is not set, the algorithm indicated in the default algorithm information 111f is determined as the user authentication algorithm as the algorithm type (S514). On the other hand, when the authentication header is set, the user authentication implementation necessity determination processing unit 111d further determines whether an algorithm parameter is set in the authentication header (S508). When the algorithm parameter is not set, the algorithm indicated in the default algorithm information 111f is determined as the user authentication algorithm (S514). When the algorithm parameter is set, the user authentication implementation necessity determination processing unit 111d determines the corresponding algorithm as the user authentication algorithm (S510). Here, as described above, since the authentication header is not set in the received SIP signal, the algorithm type is determined as algorithm 1 which is the algorithm indicated in the default algorithm information 111f.

次に、ユーザ認証実施要否判定処理部111dは、ステップS506において取得したリクエスト種別と、ステップS510又はS514で決定したユーザ認証アルゴリズム種別を用いて、ユーザ認証実施要否条件表111eを参照し、対応するユーザ認証実施要否条件の設定値を取得する(S511)。ここで、設定値が「認証実施不要」であった場合には、ユーザ認証の実施が成功(認可)したものとみなす(S515)。一方、設定値が「認証実施要」であった場合には、ユーザ認証機能部114に受信SIP信号と、ステップS510又はS514で決定したユーザ認証アルゴリズム種別 を通知してユーザ認証の実施を要求する(S513)。   Next, the user authentication implementation necessity determination processing unit 111d refers to the user authentication implementation necessity condition table 111e using the request type acquired in step S506 and the user authentication algorithm type determined in step S510 or S514, The setting value of the corresponding user authentication execution necessity condition is acquired (S511). Here, if the set value is “authentication not required”, it is considered that the user authentication has been successfully executed (authorized) (S515). On the other hand, if the set value is “authentication required”, the user authentication function unit 114 is notified of the received SIP signal and the user authentication algorithm type determined in step S510 or S514 to request user authentication. (S513).

ここでは、受信SIP信号のリクエスト種別は「REGISTER」で、ユーザ認証のアルゴリズム種別は「アルゴリズム1」であるので、図4のユーザ認証実施要否条件表111eにより、設定値は「認証実施要」となる。よって、ユーザ認証実施要否判定処理部111dから、ユーザ認証機能部114へ受信SIP信号と、ユーザ認証種別が「アルゴリズム1」である旨が通知され、SIP交換機システム100とSIPユーザ端末400の間で認証が行われる。   Here, since the request type of the received SIP signal is “REGISTER” and the algorithm type of user authentication is “algorithm 1”, the setting value is “authentication required” according to the user authentication execution necessity condition table 111e of FIG. It becomes. Therefore, the user authentication implementation necessity determination processing unit 111d notifies the user authentication function unit 114 that the received SIP signal and the user authentication type is “algorithm 1”, and the SIP exchange system 100 and the SIP user terminal 400 Authentication is performed.

(A−3)第1の実施形態の効果
第1の実施形態によれば、SIP交換機システム100に、ユーザ認証実施要否条件表111e、デフォルトアルゴリズム情報111fを設けて、SIPユーザ端末400からSIP信号を受信すると、リクエスト種別とアルゴリズム種別をキーに、ユーザ認証実施要否条件表111eの設定値を参照する。これにより、SIPユーザ端末400毎に対応している認証アルゴリズムの種別が異なり、複数の認証アルゴリズムが混在する環境であっても、SIP交換機システム100は、適切に認証アルゴリズムと認証実施要否を判断し、認証を行うことが可能となる。 (A-3) Effects of the First Embodiment According to the first embodiment, the SIP exchange system 100 is provided with the user authentication implementation necessity condition table 111e and the default algorithm information 111f, and the SIP user terminal 400 starts the SIP. When the signal is received, the setting value of the user authentication implementation necessity condition table 111e is referred to using the request type and algorithm type as keys. As a result, the type of authentication algorithm supported by each SIP user terminal 400 is different, and even in an environment where a plurality of authentication algorithms are mixed, the SIP exchange system 100 appropriately determines the authentication algorithm and whether or not authentication is necessary. Authentication.

(B)第2の実施形態
以下、本発明によるサービス提供装置、認証方法及び認証プログラムの第2の実施形態を、図面を参照しながら詳述する。 (B) Second Embodiment Hereinafter, a second embodiment of the service providing apparatus, the authentication method, and the authentication program according to the present invention will be described in detail with reference to the drawings.

(B−1)第2の実施形態の構成
図7は、第2の実施形態のSIPシステムの全体構成を示すブロック図である。なお、上述した第1の実施形態における図1及び図2と同一、対応部分には、同一、対応符号を付して示している。第2の実施形態においては、SIP交換機システム100は、保守運用機能部115を備えることにより、ユーザ認証実施要否判定処理部111d内に記憶された情報(ユーザ認証実施要否条件表111e、デフォルトアルゴリズム情報111f)を更新する構成となっている。 (B-1) Configuration of Second Embodiment FIG. 7 is a block diagram showing the overall configuration of the SIP system of the second embodiment. The same and corresponding parts as those in FIGS. 1 and 2 in the first embodiment described above are shown with the same and corresponding reference numerals. In the second embodiment, the SIP exchange system 100 includes the maintenance operation function unit 115, so that information stored in the user authentication execution necessity determination processing unit 111d (user authentication execution necessity condition table 111e, default The algorithm information 111f) is updated.

以下、第2の実施形態の構成について、第1の実施形態と異なる内容について説明する。   Hereinafter, the content of the configuration of the second embodiment will be described differently from the first embodiment.

第2の実施形態では、第1の実施形態のSIP交換機システム100に、保守運用機能部115が付加されている。尚、保守運用機能部115は、アプリケーションレイヤ110内に配置されている。保守運用機能部115は、SIP交換機システム100に対する、SIP交換機保守端末200からの要求信号に応じて、SIP交換機システム100の内部の情報変更や情報の回答を行う機能を担っている。   In the second embodiment, a maintenance operation function unit 115 is added to the SIP exchange system 100 of the first embodiment. The maintenance operation function unit 115 is disposed in the application layer 110. The maintenance operation function unit 115 has a function of changing information in the SIP exchange system 100 and responding to information in response to a request signal from the SIP exchange maintenance terminal 200 to the SIP exchange system 100.

ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fに記憶された情報を変更する場合は、SIP交換機保守端末200からの要求信号を、まずは保守運用機能部115が受信し、保守運用機能部115から信号振分け機能部111のSIP信号送受信処理部111aを経由してユーザ認証実施要否判定処理部111dに情報を変更する信号が伝達され、その情報に基づいて変更が行われる。ユーザ認証実施要否判定処理部111dは、情報の変更直後より、変更された内容に基づいてユーザ認証実施要否の判定を行う。   When changing the information stored in the user authentication implementation requirement table 111e and the default algorithm information 111f, the maintenance operation function unit 115 first receives a request signal from the SIP exchange maintenance terminal 200, and the maintenance operation function unit 115 A signal for changing information is transmitted to the user authentication execution necessity determination processing unit 111d via the SIP signal transmission / reception processing unit 111a of the signal distribution function unit 111, and the change is performed based on the information. The user authentication execution necessity determination processing unit 111d determines whether or not user authentication execution is necessary based on the changed contents immediately after the information is changed.

(B−2)第2の実施形態の動作
次に、以上のような機能的構成を有する実施形態のSIP交換機システム100の動作を、図面を参照しながら説明する。 (B-2) Operation of Second Embodiment Next, the operation of the SIP exchange system 100 of the embodiment having the functional configuration as described above will be described with reference to the drawings.

ここでは、ユーザがSIP交換機保守端末200に、ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fの情報を変更する信号を入力した場合の動作について説明する。   Here, an operation when a user inputs a signal for changing the information in the user authentication implementation necessity condition table 111e and the default algorithm information 111f to the SIP exchange maintenance terminal 200 will be described.

図8、図9、図10は、ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fの情報を変更する際に、SIP交換機保守端末200において、入力される情報の例である。   8, FIG. 9, and FIG. 10 are examples of information input in the SIP exchange maintenance terminal 200 when changing the information in the user authentication necessity condition table 111e and the default algorithm information 111f.

図8は、SIP交換機保守端末200に入力される設定のフォーマットを示している。又、図9は、図8に示すフォーマット内の各パラメータの設定内容と設定値の一覧を示している。以下、図8の設定フォーマットの内容について、図9のパラメータ一覧の内容に基づいて説明する。   FIG. 8 shows a format of settings input to the SIP exchange maintenance terminal 200. FIG. 9 shows a list of setting contents and setting values of each parameter in the format shown in FIG. Hereinafter, the contents of the setting format of FIG. 8 will be described based on the contents of the parameter list of FIG.

図8の設定フォーマットの1行目は、request−numberパラメータとして、ユーザ認証実施要否条件表111eのうち、変更する情報の数を設定する。2行目以降は、request−methodパラメータ、algorithm1−conditionパラメータ、algorithm2−conditionパラメータを有する。request−methodパラメータは、ユーザ認証実施要否条件表111eにおける、受信SIP信号のリクエスト種別(REGISTER、INVITEなど)を設定する。algorithm1−conditionパラメータ、algorithm2−conditionパラメータは、それぞれアルゴリズム1、アルゴリズム2に対するユーザ認証実施の要否として、認証実施不要であれば「0」を、認証実施要であれば「1」を設定する。アルゴリズムが3種類以上サポートされる場合は各行の末尾にalgorithmN−conditionパラメータ(N=3、4……)を付与して、同様にユーザ認証実施の要否を設定する。最終行に対しては、default−algorithmパラメータとして、デフォルトアルゴリズム情報111fに設定するアルゴリズム種別を設定する。   The first line of the setting format in FIG. 8 sets the number of pieces of information to be changed in the user authentication implementation necessity condition table 111e as a request-number parameter. The second and subsequent lines have a request-method parameter, an algorithm1-condition parameter, and an algorithm2-condition parameter. The request-method parameter sets the request type (REGISTER, INVITE, etc.) of the received SIP signal in the user authentication implementation requirement table 111e. The algorithm1-condition parameter and the algorithm2-condition parameter are set to “0” if authentication is not necessary and “1” if authentication is not necessary, as the necessity of user authentication for algorithm 1 and algorithm 2, respectively. When three or more types of algorithms are supported, an algorithm N-condition parameter (N = 3, 4,...) Is added to the end of each line, and the necessity of user authentication is similarly set. For the last line, the algorithm type set in the default algorithm information 111f is set as the default-algorithm parameter.

図10は、この実施形態における変更要求情報の設定例であり、上述の図8のデータフォーマットに基づいて記載されているものである。以下、この設定例の内容について説明する。   FIG. 10 shows an example of setting change request information in this embodiment, which is described based on the data format shown in FIG. The contents of this setting example will be described below.

1行目については、request−numberパラメータの内容として「2」が入力される。よって、ユーザ認証実施要否条件表111eのうち、2件の情報が変更されるものであり、2行目、3行目にその内容が入力されることになる。2行目については、request−methodパラメータの内容として「REGISTER」、algorithm1−conditionパラメータの内容として「0」、algorithm2−conditionパラメータの内容として「0」、algorithm3−conditionパラメータの内容として「0」が入力される。3行目については、request−methodパラメータの内容として「INVITE」、algorithm1−conditionパラメータの内容として「1」、algorithm2−conditionパラメータの内容として「1」、algorithm3−conditionパラメータの内容として「1」が入力される。4行目については、default−algorithmパラメータの内容として、「3」が入力される。   For the first line, “2” is input as the content of the request-number parameter. Therefore, two pieces of information are changed in the user authentication execution necessity condition table 111e, and the contents are input to the second and third lines. For the second line, “REGISTER” is set as the content of the request-method parameter, “0” is set as the content of the algorithm1-condition parameter, “0” is set as the content of the algorithm2-condition parameter, and “0” is set as the content of the algorithm3-condition parameter. Entered. For the third line, “INVITE” is the content of the request-method parameter, “1” is the content of the algorithm1-condition parameter, “1” is the content of the algorithm2-condition parameter, and “1” is the content of the algorithm3-condition parameter. Entered. For the fourth line, “3” is input as the content of the default-algorithm parameter.

図11は、ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fの情報が、上述の図4に示す状態であったときに、SIP交換機保守端末200において、上述の図10に示す内容が入力されたときに、どのように遷移するか示した図である。   FIG. 11 shows that the information shown in FIG. 10 is input to the SIP exchange maintenance terminal 200 when the information in the user authentication implementation requirement table 111e and the default algorithm information 111f are in the state shown in FIG. It is the figure which showed how it changes when being done.

ユーザ認証実施要否条件表111eにおいては、リクエスト種別が「REGESTER」のアルゴリズム種別について、アルゴリズム1の情報は「認証実施要」から「認証実施不要」と更新され、アルゴリズム2の情報は「認証実施要」から「認証実施不要」と更新され、アルゴリズム3の情報は「認証実施不要」と変化はない。リクエスト種別が「INVITE」のアルゴリズム種別について、アルゴリズム1の情報は「認証実施要」と変化はなく、アルゴリズム2の情報は「認証実施不要」から「認証実施要」と更新され、アルゴリズム3の情報は「認証実施不要」と変化はない。又、デフォルトアルゴリズム情報111fについてはデフォルトアルゴリズムが「アルゴリズム1」から「アルゴリズム3」に更新される。   In the user authentication execution necessity condition table 111e, for the algorithm type with the request type “REGESTER”, the information of the algorithm 1 is updated from “authentication required” to “no authentication required”, and the information of the algorithm 2 is “authentication executed”. “Authentication is not necessary” is updated from “Required”, and the information of Algorithm 3 is not changed to “Authentication is not necessary”. For the algorithm type whose request type is “INVITE”, the information of algorithm 1 is not changed from “authentication required”, and the information of algorithm 2 is updated from “authentication not required” to “authentication required”. There is no change in “No certification required”. The default algorithm information 111f is updated from “algorithm 1” to “algorithm 3”.

(B−3)第2の実施形態の効果
第2の実施形態によれば、第1の実施形態と同様な効果だけでなく、以下のような効果も奏することが可能となる。 (B-3) Effects of the Second Embodiment According to the second embodiment, not only the same effects as the first embodiment but also the following effects can be achieved.

SIP交換機システム100のアプリケーションレイヤ110において、保守運用機能部115を設け、SIP交換機保守端末200からの制御信号に基づいて、ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fの2つの情報の更新を行うことにより、SIP交換機システム100のシステムを停止させることなく、ユーザ認証の条件の変更を行うことが可能となる。   In the application layer 110 of the SIP exchange system 100, a maintenance operation function unit 115 is provided, and based on a control signal from the SIP exchange maintenance terminal 200, two pieces of information of the user authentication execution requirement table 111e and the default algorithm information 111f are updated. By performing the above, it is possible to change the user authentication conditions without stopping the system of the SIP exchange system 100.

(C)他の実施形態
(C−1)上記各実施形態においては、SIP交換機システム100内に、ユーザ認証実施要否判定処理部111d備えて認証手段及び認証実施要否の選択をする構成となっているが、同様の構成をユーザ端末対してサービスを提供する他のサービス提供装置に適用しても良い。他のサービス提供装置としては、例えば、HTTP(Hyper Text Transfer Protocol)で通信を行うサーバ、RADIUS(Remote Authentication Dial In User Service)サーバ、各種サービスのプロキシサーバなどが挙げられる。 (C) Other Embodiments (C-1) In each of the above embodiments, the SIP exchange system 100 includes the user authentication execution necessity determination processing unit 111d and selects the authentication means and the necessity of authentication execution. However, the same configuration may be applied to other service providing apparatuses that provide services to user terminals. Examples of other service providing apparatuses include a server that performs communication using HTTP (Hyper Text Transfer Protocol), a RADIUS (Remote Authentication Dial In User Service) server, and a proxy server for various services.

(C−2)上記各実施形態においては、ユーザ認証実施要否判定処理部111dはSIP交換機システム100内に有する構成となっているが、ユーザ認証実施要否判定処理部111dが担っている機能について、単独の装置、例えば、「ユーザ認証実施要否判定処理装置」としてSIP交換機システム100の外部に配置し、IPネットワーク300を経由してSIP交換機システム100と接続する構成としても良い。このとき、ユーザ認証の認証手段及び認証実施要否について、SIP交換機システム100から上記のユーザ認証実施要否判定処理装置へ、リクエスト種別やアルゴリズムパラメータ等の必要な情報と共に問い合わせ、その回答をSIP交換機システム100が受信する構成となる。 (C-2) In each of the embodiments described above, the user authentication implementation necessity determination processing unit 111d is configured to be included in the SIP exchange system 100, but the function that the user authentication implementation necessity determination processing unit 111d is responsible for. As a single device, for example, a “user authentication execution necessity determination processing device” may be arranged outside the SIP exchange system 100 and connected to the SIP exchange system 100 via the IP network 300. At this time, the SIP authentication system 100 inquires about the user authentication authentication means and the necessity of authentication execution from the SIP exchange system 100 to the above-described user authentication execution necessity determination processing apparatus together with necessary information such as request type and algorithm parameter, and the response is sent to the SIP exchange. The system 100 is configured to receive.

(C−3)上記各実施形態においては、ユーザ認証実施要否判定処理部111dにおいて、SIPユーザ端末400が対応しているアルゴリズム種別を判定するために、RFC3261に基づいてAuthorizationヘッダのAlgorithmパラメータの情報を参照しているが、各SIPユーザ端末400の対応しているアルゴリズムの種別に関する情報が得られれば、他の情報を参照しても良いし、新たに同様の情報を有するパラメータを配置しても良い。 (C-3) In each of the above embodiments, in order to determine the algorithm type supported by the SIP user terminal 400, the user authentication execution necessity determination processing unit 111d uses the Algorithm parameter of the Authorization header based on RFC3261. Although information is referred to, if information on the type of algorithm supported by each SIP user terminal 400 is obtained, other information may be referred to, and a parameter having the same information may be newly placed. May be.

第1の実施形態のSIP交換機システムの全体構成を示すブロック図である。It is a block diagram which shows the whole structure of the SIP exchange system of 1st Embodiment. 第1の実施形態のSIP通信システムの全体を示す説明図である。It is explanatory drawing which shows the whole SIP communication system of 1st Embodiment. 第1の実施形態のサービスシナリオ管理部の内部構造を示す説明図である。It is explanatory drawing which shows the internal structure of the service scenario management part of 1st Embodiment. 第1の実施形態のユーザ認証実施要否判定処理部の内部構造を示す説明図である。It is explanatory drawing which shows the internal structure of the user authentication implementation necessity determination processing part of 1st Embodiment. 第1の実施形態のユーザ認証手段及び実施要否の判断の動作を示すフローチャートの前半部分を示す図である。It is a figure which shows the first half part of the flowchart which shows the operation | movement of the user authentication means of 1st Embodiment and the judgment of necessity of implementation. 第1の実施形態のユーザ認証手段及び実施要否の判断の動作を示すフローチャートの後半部分を示す図である。It is a figure which shows the latter half part of the flowchart which shows the operation | movement of judgment of the user authentication means and implementation necessity of 1st Embodiment. 第2の実施形態のSIP交換機システム及びSIP交換機保守端末の構成を示すブロック図である。It is a block diagram which shows the structure of the SIP exchange system and SIP exchange maintenance terminal of 2nd Embodiment. 第2の実施形態のSIP交換機保守端末に入力するデータのフォーマットを示す説明図である。It is explanatory drawing which shows the format of the data input into the SIP exchange maintenance terminal of 2nd Embodiment. 第2の実施形態のSIP交換機保守端末に入力するデータについて、各パラメータの内容について示す説明図である。It is explanatory drawing shown about the content of each parameter about the data input into the SIP exchange maintenance terminal of 2nd Embodiment. 第2の実施形態のSIP交換機保守端末に入力するデータの例を示す図である。It is a figure which shows the example of the data input into the SIP exchange maintenance terminal of 2nd Embodiment. 第2の実施形態のユーザ認証実施要否条件表及びデフォルトアルゴリズム情報の更新状況について示す説明図である。It is explanatory drawing shown about the update condition of the user authentication implementation necessity condition table and default algorithm information of 2nd Embodiment.

符号の説明Explanation of symbols

100…SIP交換機システム、110…アプリケーションレイヤ、111…信号振分け機能部、111a…SIP信号送受信処理部、111b…サービスシナリオ管理部、111c…生成シナリオ管理表、111d…ユーザ認証実施要否判定処理部、111e…ユーザ認証実施要否条件表、111f…デフォルトアルゴリズム情報、112…サービスシナリオ機能部、113…ユーザデータ管理部、114…ユーザ認証機能部、400…SIPユーザ端末。   DESCRIPTION OF SYMBOLS 100 ... SIP exchange system, 110 ... Application layer, 111 ... Signal distribution function part, 111a ... SIP signal transmission / reception processing part, 111b ... Service scenario management part, 111c ... Generation | occurrence | production scenario management table, 111d ... User authentication implementation necessity determination processing part 111e ... user authentication implementation necessity condition table, 111f ... default algorithm information, 112 ... service scenario function unit, 113 ... user data management unit, 114 ... user authentication function unit, 400 ... SIP user terminal.

Claims (5)

端末から受信した信号の種別毎に、認証の要否の情報を、認証アルゴリズムの種類毎に格納した認証実施要否条件情報記憶手段、
上記端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類を判定する認証アルゴリズム判定手段、
上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得する信号種別情報取得手段、
上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記端末から受信した信号について、認証の要否を判定する認証要否判定手段、及び、
上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類の認証アルゴリズムを使用して、上記端末からの通信について認証を行う認証手段
を有することを特徴とするサービス提供装置。 Authentication implementation necessity condition information storage means for storing authentication necessity information for each type of authentication algorithm for each type of signal received from the terminal,
Authentication algorithm determination means for determining the type of authentication algorithm adopted by the terminal based on the signal received from the terminal;
Signal type information acquisition means for acquiring information on the type of signal transmitted by the terminal from the signal received from the terminal;
Based on the type of authentication algorithm determined by the authentication algorithm determination unit and the information acquired by the signal type information acquisition unit, the signal received from the terminal with reference to the information in the authentication execution necessity condition information storage unit Authentication necessity determination means for determining whether authentication is necessary, and
An authentication means for authenticating communication from the terminal using the type of authentication algorithm determined by the authentication algorithm determination means when the authentication necessity determination means determines that authentication is necessary; A service providing apparatus characterized by the above. 上記認証アルゴリズム判定手段は、端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類の判定ができない場合には、上記端末が、所定の種類のアルゴリズムを採用していると判定することを特徴とする請求項1に記載のサービス提供装置。   If the authentication algorithm determination means cannot determine the type of authentication algorithm adopted by the terminal based on a signal received from the terminal, the terminal adopts a predetermined type of algorithm. The service providing apparatus according to claim 1, wherein the service providing apparatus determines the service. 上記認証実施要否条件情報記憶手段の情報を更新する認証実施要否条件更新手段を有することを特徴とする請求項1又は2に記載のサービス提供装置。 3. The service providing apparatus according to claim 1, further comprising an authentication execution necessity condition update unit that updates information in the authentication execution necessity condition information storage unit . 端末にサービスを提供するサービス提供装置が行う認証方法において、
認証実施要否条件情報記憶手段、認証アルゴリズム判定手段、信号種別情報取得手段、認証要否判定手段、及び、認証手段を備え、
上記認証実施要否条件情報記憶手段は、上記サービス提供装置が上記端末から受信する信号の種別毎に認証の要否の情報を認証アルゴリズムの種類毎に格納し、
上記認証アルゴリズム判定手段は、上記サービス提供装置が、上記端末から受信した信号から、上記端末が採用している認証アルゴリズムの種類を判定し、
上記信号種別情報取得手段は、上記サービス提供装置が、上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得し、
上記認証要否判定手段は、上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記サービス提供装置が上記端末から受信した信号について、認証の要否を判定し、
上記認証手段は、上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類のアルゴリズムを使用して、上記端末からの通信について認証を行う
ことを特徴とする認証方法。 In an authentication method performed by a service providing apparatus that provides a service to a terminal ,
Certification The necessity condition information storage unit, the authentication algorithm determining means, signal type information obtaining means, authentication necessity determining means, and an authentication means,
The authentication performed necessity condition information storage unit, the service providing device is stored for each kind of necessity information authentication algorithm of an authentication for each type of a signal received from the terminal,
The authentication algorithm determining means, the service providing apparatus, from the signal received from the terminal, determines the type of authentication algorithm the terminal is employed,
The signal type information acquisition means acquires information on the type of signal transmitted by the terminal from the signal received by the service providing apparatus from the terminal,
The authentication necessity determination means, the type of authentication algorithm determined by the authentication algorithm decision means, and, based on information obtained by the signal type information obtaining means, the information of the upper Symbol authentication performed necessity condition information storage unit Referring to the signal received from the terminal by the service providing apparatus, whether or not authentication is necessary,
The authentication means authenticates the communication from the terminal using the type of algorithm determined by the authentication algorithm determination means when the authentication necessity determination means determines that authentication is necessary. An authentication method characterized by. 端末にサービスを提供するサービス提供装置に設けられているコンピュータを、
上記端末から受信する信号の種別毎に認証の要否の情報を、認証アルゴリズムの種類毎に格納した認証実施要否条件情報記憶手段
上記端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類の判定をする認証アルゴリズム判定手段
記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得する信号種別情報取得手段、
上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記端末から受信した信号について、認証の要否を判定する認証要否判定手段、及び、
上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類のアルゴリズムを使用して、上記端末からの通信について認証を行う認証手段
として機能させることを特徴とする認証プログラム。 A computer provided in a service providing apparatus that provides a service to a terminal,
The necessity of the information of the authentication for each type of a signal received from the terminal, the authentication performed necessity condition information storage means for storing for each type of authentication algorithm,
Based on the signal received from the terminal, authentication algorithm determining means for determining the type of authentication algorithm the terminal is employed,
From a signal received from the upper SL terminal, signal type information obtaining means for obtaining information related to the type of signal which the terminal transmits,
Type of authentication algorithm determined by the authentication algorithm decision means, and, based on information obtained by the signal type information obtaining means, the information in the authentication carried necessity condition information storage unit, received from the terminal signal Authentication necessity determination means for determining whether authentication is necessary, and
When it is determined that the authentication is necessary by the authentication necessity determination means, the authentication algorithm determination means uses the type of algorithm determined by the authentication algorithm determination means to function as an authentication means for authenticating communication from the terminal. An authentication program characterized by
JP2006340359A 2006-12-18 2006-12-18 Service providing apparatus, authentication method, and authentication program Active JP5028995B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006340359A JP5028995B2 (en) 2006-12-18 2006-12-18 Service providing apparatus, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006340359A JP5028995B2 (en) 2006-12-18 2006-12-18 Service providing apparatus, authentication method, and authentication program

Publications (2)

Publication Number Publication Date
JP2008152570A JP2008152570A (en) 2008-07-03
JP5028995B2 true JP5028995B2 (en) 2012-09-19

Family

ID=39654670

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006340359A Active JP5028995B2 (en) 2006-12-18 2006-12-18 Service providing apparatus, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP5028995B2 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1886928B (en) * 2003-12-26 2010-04-28 三菱电机株式会社 Authenticatee device, authenticator device, and authentication method
JP4608371B2 (en) * 2005-06-02 2011-01-12 株式会社日立製作所 SIP service conversion device and method thereof

Also Published As

Publication number Publication date
JP2008152570A (en) 2008-07-03

Similar Documents

Publication Publication Date Title
JP5143125B2 (en) Authentication method, system and apparatus for inter-domain information communication
US9648006B2 (en) System and method for communicating with a client application
US8422650B2 (en) Authentication in communication systems
US10986501B2 (en) Secure telephone identity (STI) certificate management system
JP2006295673A (en) Call system, proxy dial server device, proxy dial method used therefor, and program thereof
US8358646B2 (en) Temporary connection number management system, terminal, temporary connection number management method, and temporary connection number management program
JP2005537701A (en) Method and system for registering and automatically retrieving digital audio certificates in Internet Protocol (VOIP) communication
CN1937624A (en) Method and apparatus for verifying encryption of sip signalling
EP1909430A1 (en) Access authorization system of communication network and method thereof
GB2432278A (en) Transmitting MAC address during SIP registration
US8964633B2 (en) Method, apparatus, and computer program product for authenticating subscriber communications at a network server
JP5180048B2 (en) Service providing system, service providing method, and service providing program
JP5470402B2 (en) Method for providing chat / VoIP service in mobile communication network, network server, and mobile user device
US20090300197A1 (en) Internet Protocol Communication System, Server Unit, Terminal Device, and Authentication Method
WO2010044471A1 (en) Service providing system and service providing method
JP4778282B2 (en) Communication connection method, system, and program
JP5051656B2 (en) Communication control system and communication control method
EP2071806B1 (en) Receiving/transmitting agent method of session initiation protocol message and corresponding processor
JP4768761B2 (en) Service providing system, service providing method, and service providing program
JP4950095B2 (en) Service providing system, service providing method, and service providing program
JP2006270431A (en) Call controller, terminal, their programs, and communication channel establishment method
JP5028995B2 (en) Service providing apparatus, authentication method, and authentication program
JP2016149652A (en) Call control server, terminal registration method, terminal registration program and communication system
GB2470209A (en) Enabling a feature of an application during a communication event by receiving a certificate.
JP2008072365A (en) Connection control system, position information server, connection control apparatus, originator apparatus, position information program, connection control program and originator program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120307

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120313

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120529

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120611

R150 Certificate of patent or registration of utility model

Ref document number: 5028995

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150706

Year of fee payment: 3