JP5685158B2 - Authentication device - Google Patents

Authentication device Download PDF

Info

Publication number
JP5685158B2
JP5685158B2 JP2011160962A JP2011160962A JP5685158B2 JP 5685158 B2 JP5685158 B2 JP 5685158B2 JP 2011160962 A JP2011160962 A JP 2011160962A JP 2011160962 A JP2011160962 A JP 2011160962A JP 5685158 B2 JP5685158 B2 JP 5685158B2
Authority
JP
Japan
Prior art keywords
address
authentication
client device
acquired
character string
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011160962A
Other languages
Japanese (ja)
Other versions
JP2013025623A (en
Inventor
中島 博文
博文 中島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2011160962A priority Critical patent/JP5685158B2/en
Publication of JP2013025623A publication Critical patent/JP2013025623A/en
Application granted granted Critical
Publication of JP5685158B2 publication Critical patent/JP5685158B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、サーバ装置にネットワークを介してアクセスするクライアント装置の認証を行う認証装置に関するものである。   The present invention relates to an authentication device that authenticates a client device that accesses a server device via a network.

近年、VoIP(Voice Over IP)/SIP(Session Initiation Protocol)を利用したIP電話が普及している。図9では、IP電話サービスを提供するSIPサーバ101と、IP電話サービスを利用するクライアント装置102とがネットワークNT101を介して接続している。SIPサーバ101は、認証部101aを備えており、クライアント装置102によるIP電話サービスの利用開始時に認証処理を行う。   In recent years, IP telephones using VoIP (Voice Over IP) / SIP (Session Initiation Protocol) have become widespread. In FIG. 9, a SIP server 101 that provides an IP telephone service and a client apparatus 102 that uses the IP telephone service are connected via a network NT101. The SIP server 101 includes an authentication unit 101a, and performs authentication processing when the client apparatus 102 starts using the IP telephone service.

しかしながら、このようなネットワークシステムは、攻撃者からの攻撃脅威にさらされており、例えば攻撃者103によるDoS(denial of service)攻撃、攻撃者104による総当り攻撃が挙げられる。   However, such a network system is exposed to an attack threat from an attacker, and examples thereof include a DoS (denial of service) attack by the attacker 103 and a brute force attack by the attacker 104.

DoS攻撃は、SIPサーバ101をダウンさせて、サービスを妨害することを目的とし、総当り攻撃は、IP電話サービスの利用開始時における認証処理に用いるパスワードを不正取得し、例えば海外向け通話などに不正利用することを目的としている。   The DoS attack aims to shut down the SIP server 101 and interfere with the service. The brute force attack illegally obtains a password used for authentication processing at the start of use of the IP telephone service. It is intended for unauthorized use.

このような攻撃脅威に対する防御策は様々に検討されており、DoS攻撃に対する防御方法、総当り攻撃に対する防御方法(例えば、特許文献1乃至3参照)が提案されている。   Various countermeasures against such an attack threat have been studied, and a defense method against a DoS attack and a defense method against a brute force attack (for example, see Patent Documents 1 to 3) have been proposed.

具体的な防御方法しては、SIPサーバ101が、DoS攻撃の検知時に攻撃者のIPアドレスを特定し、もしくは通信記録(ログ)から攻撃者のIPアドレスを特定し、以降、そのIPアドレスからのアクセスを禁止している。また、SIPサーバ101が、あるIPアドレスから短時間に多量のアクセスがあった場合に、DoS攻撃が発生したと推定し、以降、そのIPアドレスからのアクセスを禁止する。また、パスワードの入力値の過去データ差分に基づいて、総当り攻撃が発生しているか否かを推定する方法もある。   As a specific defense method, the SIP server 101 specifies an attacker's IP address when a DoS attack is detected, or specifies an attacker's IP address from a communication record (log). Is prohibited. The SIP server 101 also estimates that a DoS attack has occurred when there is a large amount of access from a certain IP address in a short time, and thereafter prohibits access from that IP address. There is also a method for estimating whether or not a brute force attack has occurred based on the past data difference of the password input value.

特開2003−333092号公報JP 2003-333092 A 特開2006−25354号公報JP 2006-25354 A 特開2007−200211号公報JP 2007-200191 A

しかしながら、SIPは、パケットの中身にアクセス元のIPアドレスが記述される仕組みであり、アクセス元を偽装し易い。また、DoS攻撃には、アクセス元のIPアドレスをランダムに変更してくる攻撃もあり、IPアドレス毎の単位時間当たりのアクセス回数に基づいて、攻撃の発生の有無を判断し難くなっている。   However, SIP is a mechanism in which the IP address of the access source is described in the contents of the packet, and it is easy to forge the access source. In addition, the DoS attack includes an attack in which the IP address of the access source is randomly changed, and it is difficult to determine whether the attack has occurred based on the number of accesses per unit time for each IP address.

また、VoIPサービスを利用するユーザは、一般にDHCP(Dynamic Host Configuration Protocol)環境下からSIPサーバにアクセスしてくるものであり、この場合、アクセス毎にIPアドレスが異なる。よって、利用可能なIPアドレスを予め登録しておき、アクセス元のIPアドレスの認証処理を行う手法も、実現が難しい。   A user who uses the VoIP service generally accesses the SIP server from a DHCP (Dynamic Host Configuration Protocol) environment, and in this case, the IP address is different for each access. Therefore, it is difficult to realize a method in which usable IP addresses are registered in advance and the access source IP address is authenticated.

さらに、近年はSIPサーバに対する上記攻撃数は増加しており、特にIP電話サービスの利用開始時の認証処理に用いるパスワードを不正取得され、海外通話など高額な費用の通信を不正利用されるケースが頻発している。   Furthermore, in recent years, the number of attacks against SIP servers has increased, and in particular, there are cases in which passwords used for authentication processing at the start of IP phone service use are illegally acquired, and expensive communications such as overseas calls are illegally used. It occurs frequently.

そこで、VoIP/SIPを利用したIP電話サービスを用いる場合に、DoS攻撃、総当り攻撃を防御して、サービス妨害やサービスの不正利用を防ぎ、且つ正当なユーザによる利用は保障するという2点を両立させることが要望されていた。   Therefore, when using an IP telephone service using VoIP / SIP, the DoS attack and the brute force attack are prevented, the service interruption and the unauthorized use of the service are prevented, and the use by a legitimate user is guaranteed. There was a demand for both.

本発明は、上記事由に鑑みてなされたものであり、その目的は、正当なクライアント装置に対してはサーバ装置の利用を保障し、且つDoS攻撃、総当り攻撃に対して防御することができる認証装置を提供することにある。   The present invention has been made in view of the above reasons, and its purpose is to ensure the use of a server device for a legitimate client device and to protect against a DoS attack and a brute force attack. It is to provide an authentication device.

本発明の認証装置は、サーバ装置にネットワークを介してアクセスするクライアント装置に対して認証処理を行う認証部を備える認証装置であって、前記認証部は、前記クライアント装置が第1の通信プロトコルを用いて前記サーバ装置にアクセスした場合、ランダムな文字列を表示するパスワード提示領域、および前記クライアント装置の操作によって文字列を入力する文字列入力領域を設けた認証画面を作成して、この認証画面を前記クライアント装置に表示させ、前記クライアント装置が前記文字列入力領域に入力した文字列を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記クライアント装置のIPアドレスを登録し、以降、第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とすることを特徴とする。   An authentication apparatus according to the present invention is an authentication apparatus including an authentication unit that performs an authentication process on a client device that accesses a server device via a network, and the authentication unit includes a first communication protocol. When the server device is accessed using the authentication screen, a password presenting region for displaying a random character string and a character string input region for inputting a character string by operation of the client device are created. When the client device acquires the character string input to the character string input area and the acquired character string matches the random character string, the IP address of the client device is displayed. And the client accessing the server device using the second communication protocol thereafter. Get the IP address of the winding device, if the obtained IP address matches the IP address the registration, characterized in that the already authenticated IP address that the acquired.

この発明において、前記認証部は、前記クライアント装置を用いるユーザの認証情報を予め保持し、前記認証情報を入力する認証情報入力領域を前記認証画面に設け、前記クライアント装置が前記文字列入力領域に入力した文字列および前記認証情報領域に入力した前記認証情報を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記クライアント装置のIPアドレスを登録するとともに、前記ユーザは認証済であることを登録し、以降、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とすることが好ましい。   In this invention, the authentication unit holds authentication information of a user who uses the client device in advance, and provides an authentication information input area for inputting the authentication information on the authentication screen, and the client device is in the character string input area. When the acquired character string and the authentication information input in the authentication information area are acquired, and the acquired character string and the random character string match, the acquired authentication information and the authentication information held If the acquired authentication information and the stored authentication information match, the IP address of the client device is registered and the user is registered as authenticated, and then the second communication An IP address of the client device that has accessed the server device is acquired using a protocol, and the acquired IP address is If a match with the IP address, it is preferable that the IP address the acquisition and authenticated.

この発明において、前記認証部は、前記クライアント装置を用いるユーザの認証情報を予め保持し、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレス、およびこのクライアント装置が入力した前記認証情報を取得し、前記取得したIPアドレスが、前記クライアント装置が前記第1の通信プロトコルを用いて前記サーバ装置にアクセスしたときに登録した前記IPアドレスと一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記取得したIPアドレスおよび前記ユーザを認証済とすることが好ましい。   In the present invention, the authentication unit holds in advance authentication information of a user who uses the client device, accesses the server device using the second communication protocol, and the client device The authentication information that has been input is acquired, and the acquired IP address matches the IP address that was registered when the client device accessed the server device using the first communication protocol. It is preferable that the authentication information and the held authentication information are compared, and if the acquired authentication information matches the held authentication information, the acquired IP address and the user are authenticated.

この発明において、前記認証部は、前記クライアント装置のIPアドレスを登録した場合、このIPアドレスの登録期限を前記クライアント装置へ通知し、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得して、この取得したIPアドレスが前記登録したIPアドレスと一致し且つ前記登録期限内である場合、前記取得したIPアドレスを認証済とすることが好ましい。   In the present invention, when the authentication unit registers the IP address of the client device, the authentication unit notifies the client device of the registration deadline of the IP address, and accesses the server device using the second communication protocol. It is preferable that the IP address of the client device is acquired, and if the acquired IP address matches the registered IP address and is within the registration time limit, the acquired IP address is preferably authenticated.

以上説明したように、本発明では、正当なクライアント装置に対してはサーバ装置の利用を保障し、且つDoS攻撃、総当り攻撃に対して防御することができるという効果がある。   As described above, according to the present invention, it is possible to guarantee the use of a server device for a legitimate client device and protect against a DoS attack and a brute force attack.

実施形態1のネットワークシステムの構成を示すブロック図である。1 is a block diagram illustrating a configuration of a network system according to a first embodiment. 同上の認証部による認証処理を示すブロック図である。It is a block diagram which shows the authentication process by the authentication part same as the above. 同上の認証部による認証処理を示すブロック図である。It is a block diagram which shows the authentication process by the authentication part same as the above. 同上の認証画面の構成を示す平面図である。It is a top view which shows the structure of an authentication screen same as the above. 同上の認証部による認証処理を示すブロック図である。It is a block diagram which shows the authentication process by the authentication part same as the above. 同上の認証部による認証処理を示すブロック図である。It is a block diagram which shows the authentication process by the authentication part same as the above. (a)(b)同上の認証画面、アクセス画面の構成を示す平面図である。(A) (b) It is a top view which shows the structure of the authentication screen and access screen same as the above. ソフトフォンの認証画面を示す平面図である。It is a top view which shows the authentication screen of a softphone. 従来のネットワークシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the conventional network system.

以下、本発明の実施の形態を図面に基づいて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

(実施形態1)
図1は、VoIP(Voice Over IP)/SIP(Session Initiation Protocol)を利用したIP電話サービスのネットワークシステムを示す。本システムは、IP電話サービスを提供するSIPサーバ1(サーバ装置)と、IP電話サービスを利用するクライアント装置2とがネットワークNT1を介して接続している。 (Embodiment 1)
FIG. 1 shows a network system of an IP telephone service using VoIP (Voice Over IP) / SIP (Session Initiation Protocol). In this system, a SIP server 1 (server apparatus) that provides an IP telephone service and a client apparatus 2 that uses the IP telephone service are connected via a network NT1.

SIPサーバ1は、認証部11を備えており、認証部11は、クライアント装置2によるIP電話サービスの利用開始時に認証処理を行う。この認証部11は、認証WEBサーバ11a、パスワード発行部11b、データベース11c、アドレスフィルタ11d、SIP認証部11eを備える。すなわち、SIPサーバ1が本発明の認証装置の機能を有している。   The SIP server 1 includes an authentication unit 11, and the authentication unit 11 performs an authentication process when the client device 2 starts using the IP telephone service. The authentication unit 11 includes an authentication WEB server 11a, a password issuing unit 11b, a database 11c, an address filter 11d, and a SIP authentication unit 11e. That is, the SIP server 1 has the function of the authentication device of the present invention.

認証WEBサーバ11aは、Web画面を作成する機能を有し、クライアント装置2からHTTP(HyperText Transfer Protocol)によるアクセスがあった場合に、Web画面を用いたHTTPによる認証処理を行う。パスワード発行部11bは、乱数によるパスワード作成機能によって、ランダムな文字列で構成されるワンタイムパスワード(例えば、英数字7文字)を作成する。データベース11cは、ユーザ認証に用いるVoIPユーザID、VoIPパスワードの各データが予め格納されている。このVoIPユーザID、VoIPパスワードは、ユーザ毎に予め割り付けられており、クライアント装置2を用いるユーザの認証情報に相当する。アドレスフィルタ11dは、HTTPによってSIPサーバ1にアクセスしたクライアント装置2のIPアドレスが登録される。SIP認証部11eは、SIPによる認証処理を行う。   The authentication WEB server 11a has a function of creating a Web screen. When the client device 2 is accessed by HTTP (HyperText Transfer Protocol), the authentication WEB server 11a performs authentication processing by HTTP using the Web screen. The password issuing unit 11b creates a one-time password (for example, seven alphanumeric characters) composed of a random character string by a password creation function using random numbers. In the database 11c, VoIP user ID and VoIP password data used for user authentication are stored in advance. The VoIP user ID and VoIP password are allocated in advance for each user, and correspond to authentication information of a user who uses the client device 2. The address filter 11d registers the IP address of the client device 2 that has accessed the SIP server 1 by HTTP. The SIP authentication unit 11e performs an authentication process using SIP.

以下、認証部11による認証処理について、図2,図3を用いて説明する。   Hereinafter, authentication processing by the authentication unit 11 will be described with reference to FIGS.

まず、正当なユーザのクライアント装置2からSIPサーバ1に対して、第1のプロトコルであるHTTPによるアクセスが発生する(S1)。クライアント装置2は、パーソナルコンピュータのブラウザ機能を利用してSIPサーバ1にアクセスする方法、または専用のクライアントツールを利用してSIPサーバ1にアクセスする方法のいずれを用いてもよい。   First, access from the client device 2 of the legitimate user to the SIP server 1 by the HTTP that is the first protocol occurs (S1). The client device 2 may use either a method of accessing the SIP server 1 using a browser function of a personal computer or a method of accessing the SIP server 1 using a dedicated client tool.

SIPサーバ1では、認証WEBサーバ11aが、クライアント装置2からのアクセスに対して、認証画面G1をWeb画面で作成し、この認証画面G1をクライアント装置2に表示させる。図4は、認証画面G1の構成を示し、認証画面G1は、パスワード提示領域R1、文字列入力領域R2、ユーザID入力領域R3、VoIPパスワード入力領域R4、送信ボタンB1を有する。なお、ユーザID入力領域R3、VoIPパスワード入力領域R4は、本発明の認証情報入力領域に相当する。   In the SIP server 1, the authentication WEB server 11 a creates an authentication screen G 1 on the Web screen for access from the client device 2, and causes the client device 2 to display this authentication screen G 1. FIG. 4 shows the configuration of the authentication screen G1, and the authentication screen G1 has a password presentation area R1, a character string input area R2, a user ID input area R3, a VoIP password input area R4, and a send button B1. The user ID input area R3 and the VoIP password input area R4 correspond to the authentication information input area of the present invention.

認証WEBサーバ11aは、パスワード発行部11bが作成したワンタイムパスワードを取得し、パスワード提示領域R1にワンタイムパスワードを表示する(S2)。ユーザは、認証画面G1に表示されたワンタイムパスワードを見て、クライアント装置2を操作することによって、文字列入力領域R2にワンタイムパスワードを入力する。このワンタイムパスワードの入力は、ユーザが認証画面G1を見てワンタイムパスワードに設定された文字列を認識する必要があるため、機械的な自動アクセスでは対応できない。さらに、ユーザは、クライアント装置2を操作することによって、ユーザID入力領域R3、VoIPパスワード入力領域R4に、VoIPユーザID、VoIPパスワードを入力する。ユーザは、文字列入力領域R2、ユーザID入力領域R3、VoIPパスワード入力領域R4への入力操作の後、送信ボタンB1を押下することによって、各入力データをSIPサーバ1へ送信する。   The authentication WEB server 11a acquires the one-time password created by the password issuing unit 11b, and displays the one-time password in the password presentation area R1 (S2). The user views the one-time password displayed on the authentication screen G1 and operates the client device 2 to input the one-time password in the character string input area R2. This one-time password input cannot be handled by mechanical automatic access because the user needs to recognize the character string set in the one-time password by looking at the authentication screen G1. Further, the user operates the client device 2 to input the VoIP user ID and the VoIP password in the user ID input area R3 and the VoIP password input area R4. The user transmits each input data to the SIP server 1 by pressing the send button B1 after the input operation to the character string input area R2, the user ID input area R3, and the VoIP password input area R4.

SIPサーバ1の認証WEBサーバ11aは、文字列入力領域R2に入力されたワンタイムパスワードと、パスワード発行部11bが作成したワンタイムパスワードとを比較する。そして、双方のワンタイムパスワードが互いに一致すれば、次に、VoIPユーザID、VoIPパスワードを用いたユーザ認証を行う。   The authentication WEB server 11a of the SIP server 1 compares the one-time password input in the character string input area R2 with the one-time password created by the password issuing unit 11b. If both one-time passwords coincide with each other, user authentication using the VoIP user ID and VoIP password is performed.

認証WEBサーバ11aは、ユーザ認証処理において、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードを取得する(S3)。そして、ユーザID入力領域R3およびVoIPパスワード入力領域R4に入力されたVoIPユーザIDおよびVoIPパスワードと、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードとを比較する。そして、認証WEBサーバ11aは、双方のVoIPユーザIDおよびVoIPパスワードが互いに一致すれば、ユーザ認証が肯定されたユーザ認証済であることをデータベース11cに登録する(S4)。さらに、認証WEBサーバ11aは、ユーザ認証が肯定された場合、クライアント装置2がHTTPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この発信元IPアドレスをアドレスフィルタ11dに登録する(S5)。   In the user authentication process, the authentication WEB server 11a acquires a VoIP user ID and a VoIP password stored in advance in the database 11c (S3). Then, the VoIP user ID and VoIP password input in the user ID input area R3 and VoIP password input area R4 are compared with the VoIP user ID and VoIP password stored in advance in the database 11c. Then, if both VoIP user IDs and VoIP passwords match, the authentication WEB server 11a registers in the database 11c that the user authentication is affirmed (S4). Further, when the user authentication is affirmed, the authentication WEB server 11a acquires the IP address (source IP address) used when the client device 2 is accessed by HTTP, and registers the source IP address in the address filter 11d. (S5).

そして、認証WEBサーバ11aは、認証画面G1に対するユーザの各入力作業に対するレスポンスとして、発信元IPアドレスは登録完了である旨をHTTPによってクライアント装置2へ通知する(S6)。クライアント装置2は、発信元IPアドレスの登録完了を画面上(Web画面上)に表示する。   Then, the authentication WEB server 11a notifies the client apparatus 2 by HTTP that the registration of the transmission source IP address is completed as a response to each input operation of the user with respect to the authentication screen G1 (S6). The client device 2 displays the registration completion of the transmission source IP address on the screen (on the Web screen).

次に、SIP認証部11eのSIP手続きによる通話過程に進む。   Next, the process proceeds to a call process by the SIP procedure of the SIP authentication unit 11e.

発信元IPアドレスの登録完了を通知されたクライアント装置2は、SIPサーバ1に対して、第2のプロトコルであるSIPによるアクセス(REGISTER通知)を行う(S7)。SIPサーバ1では、ユーザ認証を既に行っているので、IPアドレスの認証処理のみを行う。具体的に、SIP認証部11eは、クライアント装置2がSIPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する(S8)。すなわち、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致しているか否かを判定する。そして、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致している場合、SIPによるアクセス時の発信元IPアドレスを認証済とし、クライアント装置2からのREGISTER通知を受け取る。   The client device 2 notified of the registration completion of the transmission source IP address performs access (REGISTER notification) by the SIP that is the second protocol to the SIP server 1 (S7). In the SIP server 1, since user authentication has already been performed, only IP address authentication processing is performed. Specifically, the SIP authenticating unit 11e acquires an IP address (source IP address) used by the client device 2 when accessing by SIP, and transmits the acquired source IP address in the address filter 11d. Compare with the original address (S8). That is, the SIP authentication unit 11e determines whether or not the source IP address at the time of access by HTTP matches the source IP address at the time of access by SIP. The SIP authenticating unit 11e determines that the source IP address at the time of access by SIP is authenticated when the source IP address at the time of access by HTTP matches the source IP address at the time of access by SIP. A REGISTER notification from the client apparatus 2 is received.

REGISTER通知を受け取ったSIP認証部11eは、データベース11cを参照して、ユーザ認証済であることを認識すると(S9)、REGISTER(認証登録)を行う。   Receiving the REGISTER notification, the SIP authentication unit 11e refers to the database 11c and recognizes that the user has been authenticated (S9), and performs REGISTER (authentication registration).

REGISTERを完了したSIP認証部11eは、SIP手続きの「200OK」をクライアント装置2へ送信する(S10)。以降、クライアント装置2は、SIPサーバ1が提供するIP電話サービスを利用して、SIPによる通話(INVITE)等を行う(S11)。   The SIP authentication unit 11e that has completed the REGISTER transmits “200 OK” of the SIP procedure to the client device 2 (S10). Thereafter, the client apparatus 2 performs a SIP call (INVITE) or the like using the IP telephone service provided by the SIP server 1 (S11).

このような構成では、ワンタイムパスワードの入力は、ユーザが認証画面G1を見て、ワンタイムパスワードに設定された文字列を認識する必要がある。したがって、総当り攻撃者が、機械的な自動アクセスによって、SIPサーバ1にアクセスしてきた場合、ワンタイムパスワードを読み取ることができない。したがって、機械的な自動アクセスによる総当り攻撃から防御できる。   In such a configuration, the input of the one-time password requires the user to recognize the character string set in the one-time password by looking at the authentication screen G1. Therefore, when the brute force attacker accesses the SIP server 1 by mechanical automatic access, the one-time password cannot be read. Therefore, it can protect against brute force attacks by mechanical automatic access.

また、人的なアクセスによる総当り攻撃に対しては、HTTPによるSIPサーバ1へのアクセス毎に、ワンタイムパスワードを入力する必要があり、短時間に多くの攻撃を行うことは不可能である。したがって、人的なアクセスによる総当り攻撃からも防御できる。   For brute force attacks by human access, it is necessary to input a one-time password every time the SIP server 1 is accessed by HTTP, and it is impossible to perform many attacks in a short time. . Therefore, it can protect against brute force attacks by human access.

また、機械的な自動アクセスによるDoS攻撃、人的なアクセスによるDoS攻撃の両方に対しても、上記総当り攻撃と同様に防御できる。   Further, both the DoS attack by mechanical automatic access and the DoS attack by human access can be protected in the same manner as the brute force attack.

また、DoS攻撃者は、ユーザ認証が行われなければ、攻撃に用いるIPアドレスがアドレスフィルタ11dに登録されていないので、このIPアドレスからSIPサーバ1へのアクセスは禁止され、DoS攻撃からの防御が可能になる。SIPサーバ1のSIP認証部11eは、アドレスフィルタ11dに登録されていないIPアドレスを用いたSIPによるアクセスにあった場合、SIP手続きの「エラー通知」をクライアント装置2へ送信してもよく、または無応答であってもよい。   In addition, since the IP address used for the attack is not registered in the address filter 11d unless user authentication is performed, the DoS attacker is prohibited from accessing the SIP server 1 from this IP address and is protected from the DoS attack. Is possible. The SIP authentication unit 11e of the SIP server 1 may transmit an “error notification” of the SIP procedure to the client device 2 when there is an access by SIP using an IP address that is not registered in the address filter 11d, or There may be no response.

したがって、正当なクライアント装置2に対してはSIPサーバ1の利用を保障し、且つDoS攻撃、総当り攻撃に対しては防御することができる。   Therefore, it is possible to guarantee the use of the SIP server 1 for a legitimate client device 2 and to protect against DoS attacks and brute force attacks.

なお、本実施形態では、認証部11を備えたSIPサーバ1が、本発明の認証装置を構成している。しかし、SIPサーバ1、およびSIPサーバ1に接続した図示しないルータ、ファイヤーウォール機器等が互いに連携することによって、認証装置を構成してもよい。また、認証部11を備えた認証装置を、SIPサーバ1とは別体に構成してもよい。   In the present embodiment, the SIP server 1 provided with the authentication unit 11 constitutes the authentication device of the present invention. However, the authentication apparatus may be configured by the SIP server 1 and a router, a firewall device, and the like (not shown) connected to the SIP server 1 cooperate with each other. In addition, the authentication device including the authentication unit 11 may be configured separately from the SIP server 1.

また、上記ステップS6において、SIPサーバ1の認証WEBサーバ11aは、クライアント装置2の発信元IPアドレスをアドレスフィルタ11dに登録した場合、発信元IPアドレスは登録完了である旨をクライアント装置2へ通知する。このとき、認証WEBサーバ11aは、アドレスフィルタ11dに登録した発信元IPアドレスの登録期限情報(例えば、30秒以内)を設定し、発信元IPアドレスの登録状態(認証完了)とともにクライアント装置2へ通知してもよい。クライアント装置2は、この登録期限情報を表示し、ユーザに、登録期限内のSIPによるアクセス(REGISTER通知)を促す。   In step S6, when the authentication web server 11a of the SIP server 1 registers the source IP address of the client device 2 in the address filter 11d, the authentication web server 11a notifies the client device 2 that the source IP address has been registered. To do. At this time, the authentication WEB server 11a sets registration deadline information (for example, within 30 seconds) of the source IP address registered in the address filter 11d, and sends it to the client apparatus 2 together with the registration state (authentication completed) of the source IP address You may be notified. The client device 2 displays this registration time limit information and prompts the user to access via SIP within the registration time limit (REGISTER notification).

そして、上記ステップS7においてクライアント装置2からREGISTER通知を受け取ったSIP認証部11eは、発信元IPアドレスを取得する。SIP認証部11eは、上記ステップS8において、取得した発信元IPアドレスが登録期限内であれば、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する。すなわち、SIP認証部11eは、この取得した発信元IPアドレスが前記登録したIPアドレスと一致し、且つ登録期限内である場合、この発信元IPアドレスを認証済とする。   In step S7, the SIP authentication unit 11e that has received the REGISTER notification from the client device 2 acquires the source IP address. In step S8, if the acquired source IP address is within the registration deadline, the SIP authenticating unit 11e compares the acquired source IP address with the source address registered in the address filter 11d. That is, the SIP authentication unit 11e determines that the source IP address has been authenticated when the acquired source IP address matches the registered IP address and is within the registration time limit.

このように、発信元IPアドレスの認証に期限を設けることにより、DoS攻撃、総当り攻撃に対して、さらなる防御を図ることができる。   In this way, by providing a time limit for the authentication of the source IP address, it is possible to further protect against the DoS attack and the brute force attack.

(実施形態2)
本実施形態は、図1のシステム構成を備えており、実施形態1と同様の構成には同一の符号を付し、説明は省略する。 (Embodiment 2)
The present embodiment has the system configuration of FIG. 1, the same reference numerals are given to the same configurations as those of the first embodiment, and description thereof will be omitted.

以下、認証部11による認証処理について、図5,図6を用いて説明する。   Hereinafter, authentication processing by the authentication unit 11 will be described with reference to FIGS. 5 and 6.

まず、正当なユーザのクライアント装置2からSIPサーバ1に対して、第1のプロトコルであるHTTPによるアクセスが発生する(S21)。クライアント装置2は、パーソナルコンピュータのブラウザ機能を利用してSIPサーバ1にアクセスする方法、または専用のクライアントツールを利用してSIPサーバ1にアクセスする方法のいずれを用いてもよい。   First, access from the client device 2 of the legitimate user to the SIP server 1 by the HTTP that is the first protocol occurs (S21). The client device 2 may use either a method of accessing the SIP server 1 using a browser function of a personal computer or a method of accessing the SIP server 1 using a dedicated client tool.

SIPサーバ1では、認証WEBサーバ11aが、クライアント装置2からのアクセスに対して、認証画面G11をWeb画面で作成し、この認証画面G11をクライアント装置2に表示させる。図7(a)は、認証画面G11の構成を示し、認証画面G11は、パスワード提示領域R11、文字列入力領域R12、送信ボタンB11を有する。   In the SIP server 1, the authentication WEB server 11 a creates an authentication screen G 11 on the Web screen for access from the client device 2, and causes the client device 2 to display the authentication screen G 11. FIG. 7A shows the configuration of the authentication screen G11. The authentication screen G11 has a password presentation area R11, a character string input area R12, and a send button B11.

認証WEBサーバ11aは、パスワード発行部11bが作成したワンタイムパスワードを取得し、パスワード提示領域R1にワンタイムパスワードを表示する(S22)。ユーザは、認証画面G11に表示されたワンタイムパスワードを見て、クライアント装置2を操作することによって、文字列入力領域R12にワンタイムパスワードを入力する。このワンタイムパスワードの入力は、ユーザが認証画面G11を見てワンタイムパスワードに設定された文字列を認識する必要があるため、機械的な自動アクセスでは対応できない。ユーザは、文字列入力領域R2への入力操作の後、送信ボタンB11を押下することによって、入力データをSIPサーバ1へ送信する。   The authentication WEB server 11a acquires the one-time password created by the password issuing unit 11b, and displays the one-time password in the password presentation area R1 (S22). The user views the one-time password displayed on the authentication screen G11 and operates the client device 2 to input the one-time password in the character string input area R12. This one-time password input cannot be handled by mechanical automatic access because the user needs to recognize the character string set in the one-time password by looking at the authentication screen G11. The user transmits input data to the SIP server 1 by pressing the transmission button B11 after an input operation to the character string input area R2.

SIPサーバ1の認証WEBサーバ11aは、文字列入力領域R12に入力されたワンタイムパスワードと、パスワード発行部11bが作成したワンタイムパスワードとを比較する。そして、双方のワンタイムパスワードが互いに一致すれば、認証WEBサーバ11aは、クライアント装置2がHTTPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この発信元IPアドレスをアドレスフィルタ11dに登録する(S23)。   The authentication WEB server 11a of the SIP server 1 compares the one-time password input in the character string input area R12 with the one-time password created by the password issuing unit 11b. If both one-time passwords match each other, the authentication WEB server 11a acquires the IP address (source IP address) used when the client apparatus 2 is accessed by HTTP, and uses this source IP address as the address filter 11d. (S23).

そして、認証WEBサーバ11aは、認証画面G11に対するユーザの各入力作業に対するレスポンスとして、発信元IPアドレスは登録完了である旨をHTTPによってクライアント装置2へ通知する(S24)。クライアント装置2は、発信元IPアドレスの登録完了を画面上(Web画面上)に表示する。   Then, the authentication WEB server 11a notifies the client apparatus 2 by HTTP that the registration of the transmission source IP address is completed as a response to each input operation of the user with respect to the authentication screen G11 (S24). The client device 2 displays the registration completion of the transmission source IP address on the screen (on the Web screen).

次に、SIP認証部11eのSIP手続きによる通話過程に進む。   Next, the process proceeds to a call process by the SIP procedure of the SIP authentication unit 11e.

発信元IPアドレスの登録完了を通知されたクライアント装置2は、SIPサーバ1に対して、第2のプロトコルであるSIPによるアクセス(REGISTER通知)を行う(S25)。このとき、クライアント装置2は、アクセス操作時に表示しているアクセス画面G12中に、図7(b)に示すユーザID入力領域R13、VoIPパスワード入力領域R14を設ける。そして、ユーザは、クライアント装置2を操作することによって、ユーザID入力領域R13、VoIPパスワード入力領域R14に、VoIPユーザID、VoIPパスワードを入力する。なお、ユーザID入力領域R13、VoIPパスワード入力領域R14は、本発明の認証情報入力領域に相当する。   The client device 2 notified of the registration completion of the transmission source IP address performs an access (REGISTER notification) by the SIP that is the second protocol to the SIP server 1 (S25). At this time, the client apparatus 2 provides a user ID input area R13 and a VoIP password input area R14 shown in FIG. 7B in the access screen G12 displayed during the access operation. Then, the user operates the client device 2 to input the VoIP user ID and the VoIP password in the user ID input area R13 and the VoIP password input area R14. The user ID input area R13 and the VoIP password input area R14 correspond to the authentication information input area of the present invention.

次に、SIP認証部11eは、IPアドレスの認証処理、およびVoIPユーザID、VoIPパスワードを用いたユーザ認証を行う。具体的に、SIP認証部11eは、クライアント装置2がSIPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する(S26)。すなわち、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致しているか否かを判定する。そして、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致している場合、SIPによるアクセス時の発信元IPアドレスを認証済とする。そして、SIP認証部11eは、クライアント装置2からのREGISTER通知、およびVoIPユーザID、VoIPパスワードを受け取る。   Next, the SIP authentication unit 11e performs IP address authentication processing and user authentication using a VoIP user ID and a VoIP password. Specifically, the SIP authenticating unit 11e acquires an IP address (source IP address) used by the client device 2 when accessing by SIP, and transmits the acquired source IP address in the address filter 11d. The original address is compared (S26). That is, the SIP authentication unit 11e determines whether or not the source IP address at the time of access by HTTP matches the source IP address at the time of access by SIP. Then, if the source IP address at the time of access by HTTP matches the source IP address at the time of access by SIP, the SIP authenticating unit 11e determines that the source IP address at the time of access by SIP is authenticated. . Then, the SIP authentication unit 11e receives the REGISTER notification from the client device 2, and the VoIP user ID and VoIP password.

そして、SIP認証部11eは、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードを取得する(S27)。そして、ユーザID入力領域R13およびVoIPパスワード入力領域R14に入力されたVoIPユーザIDおよびVoIPパスワードと、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードとを比較する。そして、SIP認証部11eは、双方のVoIPユーザIDおよびVoIPパスワードが互いに一致すれば、ユーザ認証が肯定されたユーザ認証済であると認識し、REGISTER(認証登録)を行う。REGISTERを完了したSIP認証部11eは、SIP手続きの「200OK」をクライアント装置2へ送信する(S28)。以降、クライアント装置2は、SIPサーバ1が提供するIP電話サービスを利用して、SIPによる通話(INVITE)等を行う(S29)。   Then, the SIP authentication unit 11e acquires a VoIP user ID and a VoIP password stored in advance in the database 11c (S27). Then, the VoIP user ID and VoIP password input in the user ID input area R13 and VoIP password input area R14 are compared with the VoIP user ID and VoIP password stored in advance in the database 11c. Then, if both VoIP user IDs and VoIP passwords match each other, the SIP authenticating unit 11e recognizes that the user authentication is affirmed and performs REGISTER (authentication registration). The SIP authenticating unit 11e that has completed the REGISTER transmits “200OK” of the SIP procedure to the client device 2 (S28). Thereafter, the client device 2 uses the IP phone service provided by the SIP server 1 to make a SIP call (INVITE) or the like (S29).

このような構成では、ワンタイムパスワードの入力は、ユーザが認証画面G11を見て、ワンタイムパスワードに設定された文字列を認識する必要がある。したがって、総当り攻撃者が、機械的な自動アクセスによって、SIPサーバ1にアクセスしてきた場合、ワンタイムパスワードを読み取ることができない。したがって、機械的な自動アクセスによる総当り攻撃から防御できる。   In such a configuration, the input of the one-time password requires the user to recognize the character string set in the one-time password by looking at the authentication screen G11. Therefore, when the brute force attacker accesses the SIP server 1 by mechanical automatic access, the one-time password cannot be read. Therefore, it can protect against brute force attacks by mechanical automatic access.

また、人的なアクセスによる総当り攻撃に対しては、HTTPによるSIPサーバ1へのアクセス毎に、ワンタイムパスワードを入力する必要があり、短時間に多くの攻撃を行うことは不可能である。したがって、人的なアクセスによる総当り攻撃からも防御できる。   For brute force attacks by human access, it is necessary to input a one-time password every time the SIP server 1 is accessed by HTTP, and it is impossible to perform many attacks in a short time. . Therefore, it can protect against brute force attacks by human access.

また、機械的な自動アクセスによるDoS攻撃、人的なアクセスによるDoS攻撃の両方に対しても、上記総当り攻撃と同様に防御できる。   Further, both the DoS attack by mechanical automatic access and the DoS attack by human access can be protected in the same manner as the brute force attack.

また、DoS攻撃者は、ユーザ認証が行われなければ、攻撃に用いるIPアドレスがアドレスフィルタ11dに登録されていないので、このIPアドレスからSIPサーバ1へのアクセスは禁止され、DoS攻撃からの防御が可能になる。SIPサーバ1のSIP認証部11eは、アドレスフィルタ11dに登録されていないIPアドレスを用いたSIPによるアクセスにあった場合、SIP手続きの「エラー通知」をクライアント装置2へ送信してもよく、または無応答であってもよい。   In addition, since the IP address used for the attack is not registered in the address filter 11d unless user authentication is performed, the DoS attacker is prohibited from accessing the SIP server 1 from this IP address and is protected from the DoS attack. Is possible. The SIP authentication unit 11e of the SIP server 1 may transmit an “error notification” of the SIP procedure to the client device 2 when there is an access by SIP using an IP address that is not registered in the address filter 11d, or There may be no response.

したがって、正当なクライアント装置2に対してはSIPサーバ1の利用を保障し、且つDoS攻撃、総当り攻撃に対しては防御することができる。   Therefore, it is possible to guarantee the use of the SIP server 1 for a legitimate client device 2 and to protect against DoS attacks and brute force attacks.

なお、本実施形態では、認証部11を備えたSIPサーバ1が、本発明の認証装置を構成している。しかし、SIPサーバ1、およびSIPサーバ1に接続した図示しないルータ、ファイヤーウォール機器等が互いに連携することによって、認証装置を構成してもよい。また、認証部11を備えた認証装置を、SIPサーバ1とは別体に構成してもよい。   In the present embodiment, the SIP server 1 provided with the authentication unit 11 constitutes the authentication device of the present invention. However, the authentication apparatus may be configured by the SIP server 1 and a router, a firewall device, and the like (not shown) connected to the SIP server 1 cooperate with each other. In addition, the authentication device including the authentication unit 11 may be configured separately from the SIP server 1.

また、上記ステップS24において、SIPサーバ1の認証WEBサーバ11aは、クライアント装置2の発信元IPアドレスをアドレスフィルタ11dに登録した場合、発信元IPアドレスは登録完了である旨をクライアント装置2へ通知する。このとき、認証WEBサーバ11aは、アドレスフィルタ11dに登録した発信元IPアドレスの登録期限情報(例えば、30秒以内)を設定し、発信元IPアドレスの登録状態(認証完了)とともにクライアント装置2へ通知してもよい。クライアント装置2は、この登録期限情報を表示し、ユーザに、登録期限内のSIPによるアクセス(REGISTER通知)を促す。   In step S24, when the authentication web server 11a of the SIP server 1 registers the source IP address of the client device 2 in the address filter 11d, the authentication web server 11a notifies the client device 2 that the source IP address has been registered. To do. At this time, the authentication WEB server 11a sets registration deadline information (for example, within 30 seconds) of the source IP address registered in the address filter 11d, and sends it to the client apparatus 2 together with the registration state (authentication completed) of the source IP address. You may be notified. The client device 2 displays this registration time limit information and prompts the user to access via SIP within the registration time limit (REGISTER notification).

そして、上記ステップS25においてクライアント装置2からREGISTER通知を受け取ったSIP認証部11eは、発信元IPアドレスを取得する。SIP認証部11eは、上記ステップS26において、取得した発信元IPアドレスが登録期限内であれば、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する。すなわち、SIP認証部11eは、この取得した発信元IPアドレスが前記登録したIPアドレスと一致し、且つ登録期限内である場合、この発信元IPアドレスを認証済とする。   In step S25, the SIP authentication unit 11e that has received the REGISTER notification from the client apparatus 2 acquires the source IP address. In step S26, if the acquired source IP address is within the registration deadline, the SIP authenticating unit 11e compares the acquired source IP address with the source address registered in the address filter 11d. That is, the SIP authentication unit 11e determines that the source IP address has been authenticated when the acquired source IP address matches the registered IP address and is within the registration time limit.

このように、発信元IPアドレスの認証に期限を設けることにより、DoS攻撃、総当り攻撃に対して、さらなる防御を図ることができる。   In this way, by providing a time limit for the authentication of the source IP address, it is possible to further protect against the DoS attack and the brute force attack.

(実施形態3)
本実施形態では、クライアント装置2として、専用のクライアントツールであるソフトフォンを用いており、図8は、ソフトフォンの認証画面G21を示す。この認証画面G21は、接続の状況などが表示される情報表示領域R21、ダイヤル先などを入力する番号ボタンB21、番号ボタンB21による相手先番号の入力後に発呼を実施するダイヤルボタンB22、通話を切断する切断ボタンB23を、一般的なソフトフォンと同様に備える。さらに、ワンタイムパスワードを表示するパスワード提示領域R22、番号ボタンB21を操作することによって、ワンタイムパスワードを入力する文字列入力領域R23を備える。また、文字列入力領域R23の入力データをSIPサーバ1へ送信する際に操作する送信ボタンB24も備える。 (Embodiment 3)
In the present embodiment, a soft phone which is a dedicated client tool is used as the client device 2, and FIG. 8 shows a soft phone authentication screen G21. The authentication screen G21 includes an information display area R21 for displaying a connection status, a number button B21 for inputting a dial destination, a dial button B22 for executing a call after inputting a destination number by the number button B21, and a call. A cutting button B23 for cutting is provided in the same manner as a general softphone. Furthermore, a password presenting area R22 for displaying a one-time password and a character string input area R23 for inputting a one-time password by operating a number button B21 are provided. In addition, a transmission button B24 that is operated when transmitting the input data of the character string input area R23 to the SIP server 1 is also provided.

このソフトフォンは、ワンタイムパスワードを表示するパスワード提示領域R22、ワンタイムパスワードを入力する文字列入力領域R23を設けた点が、一般的なソフトフォンとは異なる。しかしながら、このソフトフォンは、一般的に利用される形状を多く残し、認証処理のためにユーザが新たに操作する箇所を減らした構成にしている。   This softphone is different from a general softphone in that a password presenting area R22 for displaying a one-time password and a character string input area R23 for inputting a one-time password are provided. However, this soft phone has a configuration in which many commonly used shapes are left and the number of locations that the user newly operates for authentication processing is reduced.

また、一般的なソフトフォンでは、「設定画面」と呼ばれる別画面にて、REGISTERに使用されるVoIPユーザID、VoIPパスワードを予め入力している。そして、このソフトフォンでは、パーソナルコンピュータ上でソフトフォンのソフトウェアを起動させた時点(パソコン画面上に認証画面G21が表示された時点)で、バックグラウンドでそれらのデータをSIPサーバ1へ自動送信し、認証される手順になっている。この点が実施形態1,2のクライアント装置2とは異なる。   In a general softphone, a VoIP user ID and a VoIP password used for REGISTER are input in advance on another screen called a “setting screen”. In this softphone, when the softphone software is started on the personal computer (when the authentication screen G21 is displayed on the personal computer screen), the data is automatically transmitted to the SIP server 1 in the background. The procedure is to be authenticated. This point is different from the client device 2 of the first and second embodiments.

しかしながら、実施形態1と同様の認証処理では、送信ボタンB24を押下(送信ボタンB1の押下に相当)することによって、VoIPユーザID、VoIPパスワードの各データがSIPサーバ1へ送信される構成になる。また、実施形態2と同様の認証処理では、ダイヤルボタンB22を押下して発呼する時点で(ステップS25に相当)、VoIPユーザID、VoIPパスワードの各データがSIPサーバ1へ送信される構成になる。このように、実施形態1,2の各認証処理において、互いに同一の認証画面G21を用いることができる。   However, in the authentication process similar to that of the first embodiment, the VoIP user ID and VoIP password data are transmitted to the SIP server 1 by pressing the transmission button B24 (corresponding to the pressing of the transmission button B1). . In the authentication process similar to that of the second embodiment, the VoIP user ID and VoIP password data are transmitted to the SIP server 1 when the dial button B22 is pressed to make a call (corresponding to step S25). Become. In this way, the same authentication screen G21 can be used in each authentication process of the first and second embodiments.

また、REGISTERを完了した後にソフトフォンを用いた通話が可能となるが、ユーザは、REGISTERを完了した後に即時に発呼を行わなくてもよい。一般的にVoIPの利用では、REGISTERされた後、パソコン上でソフトフォンを起動した状態にしておき、ユーザが必要に応じて発呼する場合もあるし、着信を受ける場合もある。本構成は、この通常のVoIPの利用方法については独自性を持たず、ユーザの慣れ親しんだ手順からの逸脱を行わないようにしている。   In addition, although a call using a softphone is possible after REGISTER is completed, the user does not have to make a call immediately after completing REGISTER. In general, in using VoIP, after REGISTER, a softphone is activated on a personal computer, and a user may make a call or receive an incoming call as necessary. This configuration does not have uniqueness in the use method of this normal VoIP, and does not deviate from the procedure familiar to the user.

また、一般にソフトフォンは、一度REGISTERした後、一定時間毎にREGISTERを自動で繰り返し、SIPサーバ1から切断されないように振舞っている。本構成においても、登録期限情報によって、REGISTERしていない状態からREGISTERするまでの許可時間(例えば30秒以内)を設定するが、一度REGISTERした後は、一般のVoIP同様、定期的にREGISTERが実施されれば、SIPサーバ1から切断されることはない。よって、一度REGISTERした後は、ユーザの任意のタイミングで発呼も着信受けも可能である。   In general, a softphone behaves so as not to be disconnected from the SIP server 1 by re-registration automatically every predetermined time after REGISTER once. Also in this configuration, the registration time limit information sets the permission time (for example, within 30 seconds) from the state where REGISTER is not executed to REGISTER, but after REGISTER once, REGISTER is periodically implemented like general VoIP. If it is done, it will not be disconnected from the SIP server 1. Therefore, once REGISTER is made, it is possible to make and receive calls at any timing of the user.

なお、上記各実施形態では、一般的な防御手法である「攻撃者のIPアドレスを特定する」という手法とは反対に、「正当なユーザのIPアドレスを特定し、それ以外のアクセスを全て禁止する」という手法を用いている。   In each of the above embodiments, contrary to the general technique of “specifying the attacker's IP address”, which is a general defense technique, “specify the IP address of the legitimate user and prohibit all other access”. Is used.

また、SIPサーバ1は、従来のSIPによる認証機能に加えて、HTTPによる認証機能を設けている。正当なユーザは、HTTPによるWeb画面でワンタイムパスワードによる認証を実施し、SIPサーバ1への一定期間のREGISTER(SIPサーバ1上での認証)権利を得る。続けて、クライアント装置2は、汎用のVoIPクライアントソフトウェアもしくは専用のソフトウェアを用いて、SIPサーバ1へSIPの手続きでアクセスし、発信を実施できる。   In addition to the conventional SIP authentication function, the SIP server 1 has an HTTP authentication function. A legitimate user performs authentication with a one-time password on a Web screen based on HTTP, and obtains a REGISTER (authentication on the SIP server 1) right to the SIP server 1 for a certain period of time. Subsequently, the client apparatus 2 can access the SIP server 1 by SIP procedure using general-purpose VoIP client software or dedicated software, and can make a call.

攻撃者、または不正ユーザは、HTTPによる認証を経ない場合、SIPサーバ1にどんなVoIPユーザIDであっても、REGISTERできない。また、認証WEBサーバ11aにアクセスした場合でも、ワンタイムパスワードを用いた認証をアクセス毎に行うため、機械的な自動アクセスによるパスワード検索は防止される。   An attacker or an unauthorized user cannot REGISTER any VoIP user ID in the SIP server 1 if authentication by HTTP is not performed. Even when the authentication WEB server 11a is accessed, authentication using a one-time password is performed for each access, so that password search by mechanical automatic access is prevented.

1 SIPサーバ
11 認証部
11a 認証WEBサーバ
11b パスワード発行部
11c データベース
11d アドレスフィルタ
11e SIP認証部
2 クライアント装置
NT1 ネットワーク DESCRIPTION OF SYMBOLS 1 SIP server 11 Authentication part 11a Authentication WEB server 11b Password issuing part 11c Database 11d Address filter 11e SIP authentication part 2 Client apparatus NT1 network

Claims (4)

サーバ装置にネットワークを介してアクセスするクライアント装置に対して認証処理を行う認証部を備える認証装置であって、
前記認証部は、
前記クライアント装置が第1の通信プロトコルを用いて前記サーバ装置にアクセスした場合、ランダムな文字列を表示するパスワード提示領域、および前記クライアント装置の操作によって文字列を入力する文字列入力領域を設けた認証画面を作成して、この認証画面を前記クライアント装置に表示させ、
前記クライアント装置が前記文字列入力領域に入力した文字列を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記クライアント装置のIPアドレスを登録し、
以降、第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とする
ことを特徴とする認証装置。 An authentication device including an authentication unit that performs authentication processing on a client device that accesses a server device via a network,
The authentication unit
When the client device accesses the server device using the first communication protocol, a password presenting region for displaying a random character string and a character string input region for inputting a character string by operation of the client device are provided. Create an authentication screen, display this authentication screen on the client device,
When the client device acquires a character string input to the character string input area and the acquired character string matches the random character string, the client device registers the IP address of the client device,
Thereafter, an IP address of the client device that has accessed the server device is acquired using the second communication protocol, and if the acquired IP address matches the registered IP address, the acquired IP address is authenticated. An authentication device characterized by that. 前記認証部は、
前記クライアント装置を用いるユーザの認証情報を予め保持し、
前記認証情報を入力する認証情報入力領域を前記認証画面に設け、
前記クライアント装置が前記文字列入力領域に入力した文字列および前記認証情報領域に入力した前記認証情報を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記クライアント装置のIPアドレスを登録するとともに、前記ユーザは認証済であることを登録し、
以降、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とする
ことを特徴とする請求項1記載の認証装置。 The authentication unit
Pre-holding authentication information of the user using the client device,
An authentication information input area for inputting the authentication information is provided on the authentication screen,
When the client device acquires the character string input in the character string input area and the authentication information input in the authentication information area, and the acquired character string matches the random character string, the acquired The authentication information is compared with the held authentication information. If the acquired authentication information and the held authentication information match, the IP address of the client device is registered and the user is authenticated. Register,
Thereafter, an IP address of the client device that has accessed the server device is acquired using the second communication protocol, and the acquired IP address is authenticated when the acquired IP address matches the registered IP address. The authentication apparatus according to claim 1, wherein the authentication apparatus is finished. 前記認証部は、
前記クライアント装置を用いるユーザの認証情報を予め保持し、
前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレス、およびこのクライアント装置が入力した前記認証情報を取得し、前記取得したIPアドレスが、前記クライアント装置が前記第1の通信プロトコルを用いて前記サーバ装置にアクセスしたときに登録した前記IPアドレスと一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記取得したIPアドレスおよび前記ユーザを認証済とする
ことを特徴とする請求項1記載の認証装置。 The authentication unit
Pre-holding authentication information of the user using the client device,
An IP address of the client device that has accessed the server device using the second communication protocol and the authentication information input by the client device are acquired, and the acquired IP address is determined by the client device as the first address. If the IP address registered when accessing the server device using the communication protocol is matched, the acquired authentication information is compared with the held authentication information, and the acquired authentication information and the held authentication are compared. The authentication apparatus according to claim 1, wherein if the information matches, the acquired IP address and the user are authenticated. 前記認証部は、
前記クライアント装置のIPアドレスを登録した場合、このIPアドレスの登録期限を前記クライアント装置へ通知し、
前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得して、この取得したIPアドレスが前記登録したIPアドレスと一致し且つ前記登録期限内である場合、前記取得したIPアドレスを認証済とする
ことを特徴とする請求項1乃至3いずれか記載の認証装置。 The authentication unit
When the IP address of the client device is registered, the registration deadline of this IP address is notified to the client device,
When the IP address of the client device that has accessed the server device using the second communication protocol is acquired, and the acquired IP address matches the registered IP address and is within the registration time limit, The authentication apparatus according to any one of claims 1 to 3, wherein the acquired IP address is authenticated.
JP2011160962A 2011-07-22 2011-07-22 Authentication device Expired - Fee Related JP5685158B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011160962A JP5685158B2 (en) 2011-07-22 2011-07-22 Authentication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011160962A JP5685158B2 (en) 2011-07-22 2011-07-22 Authentication device

Publications (2)

Publication Number Publication Date
JP2013025623A JP2013025623A (en) 2013-02-04
JP5685158B2 true JP5685158B2 (en) 2015-03-18

Family

ID=47783892

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011160962A Expired - Fee Related JP5685158B2 (en) 2011-07-22 2011-07-22 Authentication device

Country Status (1)

Country Link
JP (1) JP5685158B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5955296B2 (en) * 2013-10-31 2016-07-20 京セラドキュメントソリューションズ株式会社 One-time password display device, one-time password display program, and one-time password display system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4240929B2 (en) * 2002-07-10 2009-03-18 日本電気株式会社 Access control method in file management system
JP4726466B2 (en) * 2004-11-15 2011-07-20 パナソニック株式会社 Service providing system, application server, and accounting method
JP4690767B2 (en) * 2005-05-11 2011-06-01 株式会社日立製作所 Network system, server device, and communication method
JP2009211529A (en) * 2008-03-05 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> Authentication processing device, authentication processing method and authentication processing program
JP5227885B2 (en) * 2009-05-20 2013-07-03 日本電信電話株式会社 Cooperation method for linking Web system and VoIP system, VoIP system, and cooperation program
JP5216687B2 (en) * 2009-05-29 2013-06-19 日本電信電話株式会社 Subscriber information access method, subscriber information access system and server device thereof
JP5353492B2 (en) * 2009-07-02 2013-11-27 株式会社リコー Authentication apparatus, authentication method, and authentication program
US8640212B2 (en) * 2010-05-27 2014-01-28 Red Hat, Inc. Securing passwords with CAPTCHA based hash when used over the web

Also Published As

Publication number Publication date
JP2013025623A (en) 2013-02-04

Similar Documents

Publication Publication Date Title
US8627088B2 (en) System and method for in- and out-of-band multi-factor server-to-user authentication
US8826398B2 (en) Password changing
US8510811B2 (en) Network transaction verification and authentication
US7770002B2 (en) Multi-factor authentication
US8875232B2 (en) User authentication
DK2359290T3 (en) PROCEDURE AND SYSTEM FOR PROTECTION AGAINST IDENTITY THEFT OR REPLICATION ABUSE
US9602504B2 (en) Strong Authentication by presentation of a number
US8571020B2 (en) Session initiation protocol (SIP) based voice over internet protocol (VoIP) system and method of registering SIP terminal therein
US20120240203A1 (en) Method and apparatus for enhancing online transaction security via secondary confirmation
Zhang et al. On the feasibility of launching the man-in-the-middle attacks on VoIP from remote attackers
US8964633B2 (en) Method, apparatus, and computer program product for authenticating subscriber communications at a network server
US8578455B2 (en) Method and apparatus for authenticating terminal device, and terminal device
JP5685158B2 (en) Authentication device
JP2002251375A (en) User authentication server in communication network, individual authentication method and program
KR20120122185A (en) Voice one-time password based user authentication method and system on smart phone
JP2007233723A (en) Maintenance device, remote maintenance system, its method, and program
KR101619928B1 (en) Remote control system of mobile
US9143510B2 (en) Secure identification of intranet network
US20140359733A1 (en) Authentication System and Method for Authenticating IP Communications Clients at a Central Device
Hoffstadt et al. Improved detection and correlation of multi-stage VoIP attack patterns by using a Dynamic Honeynet System
JP2015158881A (en) Access propriety management system and program for preventing session hijack
JP5037238B2 (en) Mutual authentication system and mutual authentication method
Koh et al. A new lightweight protection method against impersonation attack on SIP
EP2453379A1 (en) Method, system, user equipment and program for authenticating a user
Sabzevar et al. Improving the security of mobile-phone access to remote personal computers

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140513

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20141008

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141224

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150116

LAPS Cancellation because of no payment of annual fees