[go: up one dir, main page]

JP2008160252A - 通信端末を認証する装置、方法およびプログラム - Google Patents

通信端末を認証する装置、方法およびプログラム Download PDF

Info

Publication number
JP2008160252A
JP2008160252A JP2006344001A JP2006344001A JP2008160252A JP 2008160252 A JP2008160252 A JP 2008160252A JP 2006344001 A JP2006344001 A JP 2006344001A JP 2006344001 A JP2006344001 A JP 2006344001A JP 2008160252 A JP2008160252 A JP 2008160252A
Authority
JP
Japan
Prior art keywords
authentication
information
sip
message
communication terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006344001A
Other languages
English (en)
Other versions
JP4216876B2 (ja
Inventor
Yoshimichi Tanizawa
佳道 谷澤
Naoki Ezaka
直紀 江坂
Tsutomu Shibata
勉 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2006344001A priority Critical patent/JP4216876B2/ja
Priority to US11/826,279 priority patent/US8307200B2/en
Publication of JP2008160252A publication Critical patent/JP2008160252A/ja
Application granted granted Critical
Publication of JP4216876B2 publication Critical patent/JP4216876B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】認証処理を含む前処理を効率化する認証装置を提供する。
【解決手段】プロキシのIDと能力情報とを含む装置情報を記憶する第1記憶部151と、認証の開始を要求する第1メッセージを端末から受信したときに装置情報を第1記憶部151から取得する取得部112と、取得した装置情報を含む第2メッセージを端末に送信する第1送信部113と、送信した装置情報に含まれる装置IDから選択された第1装置IDとサーバ装置が提供する機能の設定情報とを含む第3メッセージ、および認証情報を端末から受信する受信部111と、受信した認証情報に基づいて端末を認証する認証部114と、端末が認証されたときに、受信した第3メッセージに含まれる第1装置IDのプロキシが中継するサーバ装置に対して、受信した第3メッセージに含まれる設定情報を送信する第2送信部130と、を備えた。
【選択図】 図3

Description

この発明は、シグナリングプロトコルを利用する端末装置のネットワークアクセス認証を行う装置、方法およびプログラムに関するものである。
近年、外部ネットワークに接続された端末装置からの内部ネットワークに対するアクセスを許可するためのネットワークアクセス認証を行う認証エージェントと呼ばれる装置が提供されている。外部ネットワークに接続された各通信装置は、認証エージェントにより認証された後でなければ、内部ネットワーク内の各種サービスを利用できない。
一方、通信装置間に介在し通信を制御・中継するシグナリングプロトコルとしてSIP(Session Initiation Protocol)が広く知られている。SIPを利用したサービスとしてインターネット電話システムなどの通信システムが開発されている。
SIPを用いた通信システムでは、端末装置であるSIP端末は、認証エージェント等によって認証された後、通信を中継するSIPプロキシのうち、特定のプロキシをアウトバウンドプロキシとして選択して通信を行う。
アウトバウンドプロキシとは、あるSIP端末がSIPメッセージの送信を行う際、常に最初の送信先とするプロキシであって、かつ、そのSIP端末がSIPメッセージを受信する際に、SIPメッセージの唯一の受信元とするプロキシをいう。
各組織で運用されるネットワークには、複数の異なるSIPプロキシが含まれ、SIPプロキシの種類によって、SIP端末が利用可能なSIPの機能が異なる場合がある。この場合、SIP端末は、アウトバウンドプロキシを選択する際、そのSIPプロキシで利用可能なSIP機能(能力情報)を事前に確認する処理が必要となる。
従来は、SIP端末がアクセス認証の前に、SIPプロキシの能力情報を知ることができず、アクセス認証後に、必要な能力を持ったSIPプロキシを探索するための処理が必要であった。このため、例えば、SIP OPTIONSリクエストメッセージ交換を、探索対象の複数のSIPプロキシに対して複数回行うことによりこれを実現していた。
このように、一般にネットワーク経由で各種サーバのサービス等を利用するとき、認証処理を含む複数の前処理が必要となる場合が多く、そのような前処理の改善に関する技術が提案されている。
例えば、特許文献1では、無線通信網で提供されるサービスのための認証において、認証処理と、サービスで用いるデータリンクであるトンネル設定とを別の通信経路で実行することにより、柔軟性のある認証方法を提供する技術が提案されている。
特開2006−121698号公報
しかしながら、特許文献1の方法では、サービス利用までに必要な前処理を効率的に実行できないという問題があった。具体的には、特許文献1の方法では、複数の認証サーバや、サービス利用に必要な複数のパケットデータゲートウェイなどの、接続先となる装置のアドレスを事前に入手する必要があった。また、認証と同時にサービス利用の登録等を実行することができなかった。
SIPシステムでも、SIP機能の利用開始までの前処理が非効率となる問題が存在する。例えば、必要な能力を有するSIPプロキシを探索したが該当するSIPプロキシが存在しない場合は、アクセス認証処理や探索処理が無駄となる。また、この場合、SIP端末はアクセス認証を終えたネットワークからの切断処理や、別のネットワークに対する認証・探索処理がさらに必要となる。
また、SIP端末が能力情報を確認するSIPプロキシのアドレス情報を事前に取得しておく必要があるという問題も存在する。従来は、SIP端末がSIPプロキシのアドレス情報を事前に保持しておく方法や、DNSを利用する方法が考えられたが、前者では柔軟性に乏しく、後者ではシステム規模が増大するため、企業などの小さな組織が運用するネットワークでは利用は困難であった。
また、SIP端末は、あるネットワークに接続した後、SIP機能を利用するためのアドレスの登録や、利用するサービスの購読処理を行う必要がある。さらに、SIP端末とSIPプロキシ間で通信するSIPメッセージのセキュリティ強化のため、事前にTLS(Transport Layer Security)のための認証および鍵交換を行ってセキュアなコネクションを確立する場合も多い。このようなSIPシステムでは、サービス利用までの前処理がさらに煩雑となる。
本発明は、上記に鑑みてなされたものであって、ネットワークで提供されるサービスの利用開始までに必要な認証処理を含む前処理を効率化することができる装置、方法およびプログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、通信端末と第1ネットワークを介して接続されるとともに、前記通信端末から受信した設定情報に基づいて前記通信端末に機能を提供するサーバ装置と、前記第1ネットワークと第2ネットワークとの間の通信を中継する中継装置と、に前記第2ネットワークを介して接続され、前記サーバ装置が提供する機能の前処理として前記通信端末を認証する認証装置であって、前記中継装置を識別する装置IDと、前記中継装置の処理能力に関する能力情報とを対応づけた装置情報を記憶する第1記憶部と、認証の開始を要求する第1メッセージを前記通信端末から受信する第1受信部と、前記第1メッセージを受信したときに、前記装置情報を前記第1記憶部から取得する取得部と、取得した前記装置情報を含む第2メッセージを前記通信端末に送信する第1送信部と、送信した前記装置情報に含まれる前記装置IDから前記通信端末が前記装置情報に含まれる前記能力情報を参照して選択した第1装置IDを含む第3メッセージを前記通信端末から受信する第2受信部と、認証に用いる認証情報を前記通信端末から受信する第3受信部と、受信した前記認証情報に基づいて前記通信端末を認証する認証部と、前記通信端末が認証されたときに、前記機能の提供を受けるための設定情報を、受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置、または受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置が通信を中継する前記サーバ装置に対して送信する第2送信部と、を備えたことを特徴とする。
また、本発明は、上記装置を実行することができる方法およびプログラムである。
本発明によれば、ネットワークで提供されるサービスの利用開始までに必要な認証処理を含む前処理を効率化することができるという効果を奏する。
以下に添付図面を参照して、この発明にかかる認証する装置、方法およびプログラムの最良な実施の形態を詳細に説明する。
本実施の形態にかかる認証装置は、認証処理の最初のフェーズで、SIPプロキシを選択するための能力情報を認証エージェントからSIP端末に送信するとともに、ロケーションサーバへ登録するアドレス情報や、イベントサーバへの購読要求をSIP端末から受信するものである。そして、アドレス情報等を受信した認証エージェントが、ロケーションサーバへのアドレス情報の登録処理等を代行するものである。
図1は、本実施の形態にかかる認証装置である認証エージェント100を含む通信システムの構成を示すブロック図である。同図に示すように、本実施の形態の通信システムは、SIP端末200a、200bが、外部ネットワーク10を介して、内部ネットワーク20に接続する構成となっている。
SIP端末200a、200bは、シグナリングプロトコルとしてSIPを使用するアプリケーションを動作させるものである。SIP端末200a、200bは同様の構成を備えているため、以下では単にSIP端末200という場合がある。なお、端末の台数は2台に限られるものではない。アプリケーションとしては、例えば、高機能電話端末などが該当する。SIP端末200の構成の詳細については後述する。
外部ネットワーク10は、例えばインターネットによって構成されるが、ネットワーク形態はこれに限られるものではない。また、内部ネットワーク20は、主にある組織で独自のポリシに基づいて運用され、複数のサービスをSIP端末200に提供可能なLANなどのネットワークである。なお、内部ネットワーク20のネットワーク形態はLANに限られず、ホットスポットネットワークなどでもよいし、有線ネットワーク、または無線ネットワークのいずれであってもよい。
内部ネットワーク20は、認証エージェント100と、ファイアウォール300と、ロケーションサーバ400と、SIPプロキシ500a、500bと、イベントサーバ600a、600bとを含んでいる。
認証エージェント100は、外部ネットワーク10と内部ネットワーク20との境界に設置され、SIP端末200の内部ネットワーク20に対するネットワークアクセス認証を行い、認証が成功したSIP端末200を内部ネットワーク20に収容する機能を持つ。なお、認証エージェント100がアクセス認証を行う際に、認証機能を備えた外部の認証サーバ(図示せず)を利用するように構成してもよい。
認証エージェント100は、内部ネットワーク20で運用されている全てのSIPプロキシ500の機能拡張(能力情報)を把握している。SIP端末200の認証を行う際、SIP端末200に対して、運用しているSIPプロキシ500とその能力情報を提供することで、SIP端末200が、アウトバウンドプロキシとして接続するSIPプロキシ500を選択することを可能とする。
また、認証エージェント100は、SIP端末200から、認証成功の場合に登録するSIPのアドレス情報や利用するイベントサービスの情報を取得する。そして、認証エージェント100は、取得した情報を用いて、SIP端末200に代わって、アウトバウンドプロキシに対する鍵交換処理、SIPアドレス情報登録処理、およびイベントサービス購読処理を行う。認証エージェント100の構成の詳細については後述する。
ファイアウォール300は、外部ネットワーク10と内部ネットワーク20との境界に設置され、認証されたネットワークアクセスのみの通過を許可するトラフィックフィルタリング処理を行うものである。SIP端末200のアクセスに関しては、認証エージェント100が、認証結果に応じてフィルタリングに関する設定を行う。このため、ファイアウォール300は、外部装置からトラフィックフィルタリングのための設定を行うことが可能であることを前提とする。そのためのプロトコルとしては、例えばSNMP(Simple Network Management Protocol)などを利用できる。また、ファイアウォール300は認証エージェント100と同一のエンティティにより実現されていてもよい。
ロケーションサーバ400は、内部ネットワーク20内で機能するSIP端末200またはイベントサーバ600a、600bのアドレス情報を管理するものである。SIP端末200は、まずロケーションサーバ400に対して、自装置の利用するアドレスを登録することで、その後SIP機能を利用することが可能となる。
アドレスの登録は、通常、SIP Registerメッセージ交換によって実現する。なお、SIP Registerメッセージ交換の際、SIP端末200の認証を行うことが可能である。この認証は、通常、SIP RegisterメッセージのWWW−Authenticateヘッダを利用したダイジェスト認証である。認証を行う際には、別途設置された認証サーバを利用するように構成してもよい。
SIPプロキシ500a、500bは、SIPメッセージをSIP端末200または他のSIPプロキシ間で転送するSIPメッセージ中継サーバである。内部ネットワーク20には複数のSIPプロキシ500a、500bが運用されており、各SIPプロキシ500がサポートする拡張機能は異なっていてよい。ここで、各SIPプロキシ500がサポートするSIP拡張機能は、SIPプロトコル仕様に従わない独自拡張のものでも構わないが、SIPプロトコル仕様通りに、SIP OPTIONSリクエストメッセージ交換によって、SupportedヘッダまたはAllowヘッダの値で確認できるものとする。
なお、SIPプロキシ500a、500bは、外部装置からトランスポートの暗号化を行うための鍵の設定を行うことが可能であるものとする。この鍵は、例えば、特定のSIP端末200とのSIPメッセージ交換を行うためのTLS(Transport Layer Security)プロトコルで利用する共有秘密鍵(PSK:Pre-shared Key)が該当する。
イベントサーバ600a、600bは、SIP端末200に対して、イベントサービスを提供するものである。イベントサービスとしては、例えば、プレゼンスサービスなどが該当する。これ以外にも、SIPにおけるさまざまなサービスがイベントサービスの枠組で提供される。イベントサービスを利用するときには、通常、SIP端末200とイベントサーバ600との間でSIP Subscribeメッセージ交換によりサービス購読処理が行われる。また、SIP Notifyメッセージ交換によってサービス提供が行われる。SIP Subscribeメッセージ交換によるサービス購読の際、SIP端末200の認証を行うことが可能である。認証を行う際には、別途設置された認証サーバを利用するように構成してもよい。
図1のようなネットワーク構成で、SIP端末200が、外部ネットワーク10から内部ネットワーク20に接続して、内部ネットワーク20で提供されているSIPサービスを利用するときは、認証エージェント100によるアクセス認証を行う必要がある。
また、SIP端末200は、複数のSIPプロキシ500のうち、特定のSIPプロキシ500をアウトバウンドプロキシとして選択する。これは、あるSIP端末200がSIPメッセージの送信を行う際、常に最初の送信先として、選択したSIPプロキシ500を指定すること、および、SIP端末200がSIPメッセージを受信する際、常に選択したSIPプロキシ500のみから受信することを意味する。
あるSIPサービスを利用するために、当該SIPサービスをサポートしているSIPプロキシ500をアウトバウンドプロキシとして選択しなければならない場合がある。このため、SIP端末200は、各SIPプロキシ500の能力(SIP拡張機能)に関する情報を事前に入手し、当該情報を参照してアウトバウンドプロキシを選択する必要がある。
次に、SIP端末200の構成の詳細について説明する。図2は、SIP端末200の詳細な構成を示すブロック図である。同図に示すように、SIP端末200は、認証部201と、SIP処理部202と、ネットワークインターフェース(I/F)203とを備えている。
認証部201は、内部ネットワーク20に接続する際に、アクセス認証プロトコルを実行するものである。本実施の形態では、アクセス認証プロトコルとして、PANA(Protocol for Carrying Authentication for Network Access)を用いた例について説明するが、利用可能なプロトコルはこれに限られるものではない。
また、本実施の形態の認証部201は、PANAのメッセージから取得した接続可能なSIPプロキシ500の情報をSIP処理部202に送出するとともに、選択されたSIPプロキシ500をSIP処理部202から受け取る機能を備えている。また、認証部201は、選択されたSIPプロキシ500の情報や、登録するアドレス等の設定情報を含むように拡張したPANAのメッセージを生成して認証エージェント100に送信する。拡張されたメッセージの詳細については後述する。
SIP処理部202は、SIPアプリケーションを動作させ、SIPメッセージの構成と解釈を行うものである。本実施の形態では、SIP処理部202は、認証部201から通知されたSIPプロキシ500の情報から、アウトバウンドプロキシとするSIPプロキシ500を選択して認証部201に通知する機能を備える。
例えば、SIP処理部202は、SIPアプリケーションで必要な拡張機能を備えたSIPプロキシ500を通知された装置情報を参照して決定する。また、SIP処理部202が、通知された情報をSIPアプリケーションなどによってユーザに提示し、ユーザが選択したSIPプロキシ500を認証部201に送出するように構成してもよい。
また、SIP処理部202は、認証成功時、SIPアプリケーション動作に必要なSIPアドレス登録情報およびイベントサービス購読情報を認証部201に通知し、その結果を認証部201から受信する機能を有する。
ネットワークI/F203は、SIP端末200が送信するメッセージを外部ネットワーク10に送出するものである。また、ネットワークI/F203は、外部ネットワーク10から、SIP端末200宛てのパケットを取得し、取得したパケットの内容に応じて、認証部201またはSIP処理部202に対して受信したメッセージ内容を通知するものである。
次に、認証エージェント100の構成の詳細について説明する。図3は、認証エージェント100の詳細な構成を示すブロック図である。同図に示すように、認証エージェント100は、主なハードウェア構成として、第1記憶部151と、第2記憶部152と、第3記憶部153と、内部ネットワークI/F101と、外部ネットワークI/F102と、を備えている。また、認証エージェント100は、主なソフトウェア構成として、受信部111と、取得部112と、第1送信部113と、認証部114と、SIP処理部120と、第2送信部130と、を備えている。
第1記憶部151は、内部ネットワーク20で運用されているSIPプロキシ500の能力情報を保持する装置情報テーブル151aを格納するものである。装置情報テーブル151aは、SIP端末200が認証を開始したときに、選択可能なSIPプロキシ500の能力情報を取得するために参照される。
図4は、装置情報テーブル151aのデータ構造の一例を示す説明図である。同図に示すように、装置情報テーブル151aは、SIPプロキシ500を識別するIDと、SIPプロキシ500の名前と、IPアドレスと、能力情報とを対応づけた装置情報を格納している。能力情報としては、SIP OPTIONSリクエストメッセージ交換によって取得可能なSupportedヘッダまたはAllowヘッダの値を格納している。
同図では、ID=011のSIPプロキシ500は、「earth」で識別されるイベントサービスをサポートしているのに対し、ID=012のSIPプロキシ500は、「mercury」で識別されるイベントサービスをサポートしているため、両SIPプロキシ500で能力が異なる例が示されている。
第2記憶部152は、SIP端末200ごとの選択可能なSIPプロキシ500の情報を保持する対応テーブル152aを格納するものである。対応テーブル152aは、装置情報テーブル151aに格納されたSIPプロキシ500の情報から、SIP端末200ごとに定められた情報のみを取得するために参照される。
図5は、対応テーブル152aのデータ構造の一例を示す説明図である。同図に示すように、対応テーブル152aは、SIP端末200を識別する端末IDと、提供可能なSIPプロキシ500のIDである提供可能SIPプロキシIDとを対応づけて格納している。
同図の例では、提供可能SIPプロキシIDに格納されたIDごとに、「○」または「×」が指定され、「○」が指定されたSIPプロキシIDのSIPプロキシ500が提供可能であることが示されている。
第3記憶部153は、SIPプロキシ500ごとの処理負荷に関する負荷情報を保持する負荷テーブル153aを格納するものである。負荷テーブル153aは、処理負荷に応じて負荷が集中しないように適切なSIPプロキシ500を選択してSIP端末200に提示するために参照される。
図6は、負荷テーブル153aのデータ構造の一例を示す説明図である。同図に示すように、負荷テーブル153aは、SIPプロキシ500のIDと、SIPプロキシ500に接続しているSIP端末200の個数を表す接続端末数とを対応づけて格納している。なお、SIPプロキシ500の負荷情報は接続端末数に限られるものではなく、CPU(Central Processing Unit)消費量、メモリ消費量などの従来から用いられているあらゆるリソースに関する負荷情報のいずれか1つ以上を利用するように構成することができる。
また、対応テーブル152aおよび負荷テーブル153aはいずれか1つのみを利用するように構成してもよいし、いずれも用いずに、装置情報テーブル151aのみを参照して選択可能なSIPプロキシ500を取得するように構成してもよい。
なお、第1記憶部151、第2記憶部152、および第3記憶部153は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
内部ネットワークI/F101は、認証エージェント100が、内部ネットワーク20の各装置と通信する際に利用するインターフェースである。外部ネットワークI/F102は、認証エージェント100を、外部ネットワーク10と接続するものであり、認証するSIP端末200との間のパケット送受信に利用するインターフェースである。
受信部111は、PANAによるアクセス認証(PANA認証)に必要な各種情報を、外部ネットワークI/F102を介してSIP端末200から受信するものである。例えば、受信部111は、SIP端末200からPANA認証の開始を要求するメッセージであるPANA−PAA−Discoverメッセージや、認証フェーズで用いる認証情報を含むEAP(Extensible Authentication Protocol)メッセージを受信する。
また、本実施の形態では、受信部111は、SIP端末200で選択されたSIPプロキシ500の情報、ロケーションサーバ400に登録するアドレス情報、およびイベントサーバ600に送信するサービス購読のための設定情報などを含むように拡張されたPANA−Start−Answerメッセージを受信する。拡張されたメッセージの詳細については後述する。
取得部112は、受信部111がPANA−PAA−Discoverメッセージを受信したときに、選択可能なSIPプロキシ500の装置情報を装置情報テーブル151aから取得するものである。
第1送信部113は、PANA認証で必要な各種情報を外部ネットワークI/F102を介してSIP端末200に送信するものである。例えば、第1送信部113は、PANA−PAA−Discoverメッセージに対して認証エージェント100から返信するメッセージであるPANA−Start−RequestメッセージをSIP端末200に送信する。
なお、本実施の形態では、第1送信部113は、取得部112により取得された装置情報を含むように拡張されたPANA−Start−RequestメッセージをSIP端末200に送信する。
認証部114は、SIP端末200からのPANA認証の開始要求に応じて、PANA認証を実行し、SIP端末200を認証するものである。認証部114は、認証の際、外部の認証サーバに問い合わせを行って認証を行うように構成してもよい。アクセス認証プロトコルによるメッセージは、外部ネットワークI/F102を介して送受信する。また、認証部114は、認証時のAAA(Authentication, Authorization and Accounting)プロトコルによるメッセージや、認証成功後のファイアウォール制御メッセージなどは、内部ネットワークI/F101を介して送受信する。
また、認証部114は、PANA認証が成功した場合、PANAの仕様に従い導出された鍵情報を得ることができる。この鍵情報は、SIP端末200とSIPプロキシ500との間のSIPトランスポートを保護するための共有秘密鍵(TLSのPSK)として利用される。
SIP処理部120は、SIPメッセージの構成と解釈を行うものである。具体的には、SIP処理部120は、SIP端末200の認証を行う際に、必要となるSIPメッセージの交換処理を行う。
第2送信部130は、SIP端末200に代わって実行するSIPプロキシ500などの外部装置への設定に必要な各種設定情報を当該外部装置に送信するものである。第2送信部130は、鍵設定部131と、アドレス登録部132と、サービス購読部133と、ファイアウォール設定部134と、を備えている。
鍵設定部131は、認証時に生成された共有秘密鍵をSNMPv3プロトコルなどのセキュアな方法でSIPプロキシ500に送信することにより、SIPプロキシ500にTLSで利用する共有秘密鍵(TLS−PSK)を設定するものである。
アドレス登録部132は、SIP端末200から受信したメッセージから取得されたアドレス情報を、ロケーションサーバ400に登録するものである。例えば、アドレス登録部132は、アドレス情報を登録するためのSIPメッセージであるSIP RegisterメッセージをSIP処理部120によって生成し、SIP処理部120を用いて生成されたSIP Registerメッセージをロケーションサーバ400に送信することによってアドレスを登録する。
なお、アドレス登録方法は上記に限られず、ロケーションサーバ400のデータベースにSIP端末200のアドレス情報を追加できるものであればどのような方法であってもよい。また、SIP端末200から、SIP Registerメッセージそのものを含むメッセージを受信し、受信したメッセージから取り出したSIP Registerメッセージでアドレスを登録するように構成してもよい。
サービス購読部133は、SIP端末200から受信したメッセージから取得された設定情報を用いて、イベントサーバ600に対するサービス購読処理を行うものである。例えば、サービス購読部133は、サービス購読のためのSIPメッセージであるSIP SubscribeメッセージをSIP処理部120によって生成し、SIP処理部120を用いて生成されたSIP Subscribeメッセージをイベントサーバ600に送信することによってサービス購読処理を行う。
なお、サービス購読処理は上記に限られず、イベントサーバ600のデータベースにSIP端末200の設定情報を追加してサービス購読を設定できるものであればどのような方法であってもよい。また、SIP端末200から、SIP Subscribeメッセージそのものを含むメッセージを受信し、受信したメッセージから取り出したSIP Subscribeメッセージでサービス購読処理を実行するように構成してもよい。
ファイアウォール設定部134は、認証部114の認証結果に応じて、SIP端末200の内部ネットワーク20へのアクセスの可否をファイアウォール300に対して設定するものである。ファイアウォール設定部134は、例えば、SNMPv3を用いてファイアウォール300に対するアクセス可否の設定を行う。
次に、本実施の形態を実現するために必要なアクセス認証プロトコルのフォーマットの拡張の一例について説明する。以下では、アクセス認証プロトコルとしてPANAを利用し、(1)SIPプロキシ情報の搬送、(2)SIPアドレス登録とサービス購読のための情報搬送、のために拡張したPANAのメッセージフォーマットの例を示す。
(1)SIPプロキシ情報の搬送
上述のように、認証エージェント100は、PANAによるアクセス認証の際、SIP端末200に対して、内部ネットワーク20で運用されているSIPプロキシ500の情報を提供する。また、SIP端末200は、アウトバウンドプロキシとして選択したSIPプロキシ500の情報を、認証エージェント100に通知する。
このため、認証に用いるセッションの初期化を行う第1フェーズ(Discovery and handshake phase)で交換されるPANA−Start−RequestメッセージおよびPANA−Start−Answerメッセージに、SIPプロキシ500の情報を搬送するための拡張領域を追加する。具体的には、両メッセージにそれぞれ拡張用のAVP(Attribute Value Pair)として、SIP−Proxy−Information AVPを追加する。
SIP−Proxy−Information AVPは、SIPプロキシ500のIDを1つ、文字列であるSIPプロキシ500の名前を1つ、サポートする拡張を示すSupportedヘッダの値を任意の数、および、サポートするメソッドを示すAllowヘッダの値を任意の数、含む。
認証エージェント100からSIP端末200に対して、利用可能なSIPプロキシ500の選択肢を示すため、PANA−Start−Requestメッセージには、SIP−Proxy−Information AVPを複数含むことができる。また、SIP端末200が認証エージェント100に対して、選択したSIPプロキシ500を通知するため、PANA−Start−Answerメッセージには、SIP−Proxy−Information AVPを1つ含むことができる。
ここで、PANA−Start−Requestメッセージのメッセージ構造について説明する。なお、PANA−Start−Answerメッセージについては、SIPアドレス登録と購読に関する拡張が存在するため、後述する「(2)SIPアドレス登録と購読のための情報搬送」で説明する。
図7は、PANA−Start−Requestメッセージのメッセージ構造の一例を示す説明図である。同図に示すように、拡張したAVPとして、SIP−Proxy−Information AVPがネットワーク設定用データの後に追加されている。なお、図7から図11において、記号「*」は、メッセージ構造において、該当するメッセージが複数回繰り返されうることを示している。
図8は、SIP−Proxy−Information AVPの詳細なデータ構造の一例を示す説明図である。同図に示すように、SIP−Proxy−Information AVPには、SIPプロキシ500のIDと、SIPプロキシ500の名前と、対応するSupportedヘッダの値と、対応するAllowヘッダの値とが格納されている。各情報は、それぞれ装置情報テーブル151aのID、名前、Supportedヘッダ値、およびAllowヘッダ値から取得した値が設定される。
(2)SIPアドレス登録と購読のための情報搬送
SIP端末200は、PANAのアクセス認証の際、アクセス認証成功時に行うSIPアドレス登録およびイベントサービス購読のための情報を、認証エージェント100に通知する。
このため、SIP端末200から認証エージェント100に対して送信する上述のPANA−Start−Answerメッセージに、SIP Register−Informatin AVPおよびSIP−Service−Information AVPをさらに追加する。
図9は、PANA−Start−Answerメッセージのメッセージ構造の一例を示す説明図である。同図に示すように、拡張したAVPとして、上記(1)に関するSIP−Proxy−Information AVPに加え、SIP Register−Informatin AVPおよびSIP−Service−Information AVPが、ネットワーク設定用データの後に追加されている。
図10は、SIP Register−Informatin AVPの詳細なデータ構造の一例を示す説明図である。同図に示すように、SIP Register−Informatin AVPには、SIP端末200として登録するアドレスであるSIP URI(AoR:Address of Record)を1つ、およびSIPコンタクトアドレスを任意の数、含むことができる。
図11は、SIP−Service−Information AVPの詳細なデータ構造の一例を示す説明図である。同図に示すように、SIP−Service−Information AVPには、登録するイベントサービスの種類(SIPイベントタイプ)を示すIDであるSIPイベントタイプIDを1つ、登録するイベントサービスに関連するRequest−URIを1つ、対象となるイベントサービスを利用するために必要な任意のメッセージを任意の数、含むことができる。
なお、以上のような拡張以外にも、例えば、アクセス認証成功後にSIP端末200が送信すべきSIPメッセージ自体を含めるAVPを定義して、当該AVPによって認証成功時に送信すべきSIPメッセージを認証エージェント100に送信するような拡張も可能である。
また、上記説明では、アクセス認証プロトコルとしてPANAを用いた例について説明したが、利用可能なアクセス認証プロトコルはPANAに限られるものではなく、認証開始時にSIP端末200と認証エージェント100との間でメッセージの交換が行われるものであればあらゆるプロトコルに適用できる。すなわち、交換されるメッセージにそれぞれ上記のAVPに相当する拡張を加え、各装置間で必要な情報を交換するように構成することができる。
次に、このように構成された本実施の形態にかかる認証エージェント100によるサービス利用開始処理について説明する。図12は、本実施の形態におけるサービス利用開始処理の全体の流れを示すシーケンス図である。
なお、以下では、内部ネットワーク20にSIPプロキシ500aおよびSIPプロキシ500bが存在し、それぞれSIP機能拡張として、「earth」および「mercury」をSupportedヘッダ値として有するものとする。すなわち、図4のID=011および012がそれぞれSIPプロキシ500aおよびSIPプロキシ500bに対応するものとする。
また、SIP端末200は、「earth」をサポートするSIPプロキシ500aをアウトバウンドプロキシとして選択し、コンタクトアドレスとして「abc@192.168.0.10」、AoRとして「termA@example.com」を、ロケーションサーバ400に登録する場合を例に説明する。
さらに、SIP端末200は、イベントタイプID=「presence」、Request−URI=「eventA.service.example.com」であるイベントサービスと、イベントタイプID=「pana」、Request−URI=「eventB.service.example.com」であるイベントサービスとを登録するものとする。
まず、認証エージェント100のSIP処理部120は、SIP OPTIONSリクエストメッセージ交換でSupportedヘッダ、Allowヘッダの値を取得することにより、各SIPプロキシ500a、500bの能力情報を取得する(ステップS1201、ステップS1202)。
具体的には、SIP処理部120は、内部ネットワークI/F101を介して、各SIPプロキシ500に対して、定期的にSIP OPTIONSリクエストメッセージを送信する。各SIPプロキシ500は、このSIP OPTIONSリクエストメッセージに対して、SIPプロトコル仕様に対応して、SIP OPTIONSレスポンスメッセージを返送する。ここには、対象となるSIPプロキシ500がサポートする能力情報に相当する、SupportedヘッダおよびAllowヘッダを含んでいる。SIP OPTIONSレスポンスメッセージは、内部ネットワークI/F101を介して、SIP処理部120で受信される。SIP処理部120はこれを解釈し、各SIPプロキシ500のIDと名前とSupportedヘッダの値と、Allowヘッダの値を取得し、装置情報テーブル151aに格納する。ただし、装置情報テーブル151aに値を格納する方法はこれに限らず、例えばシステムの管理者がマニュアルで登録を行ってもよい。
例えば、SIP処理部120は、SIPプロキシ500aに関しては、ID=011、IPアドレス=「192.168.1.11」、およびSupportedヘッダの値=「earth」を取得し、SIPプロキシ500bに関しては、ID=012、IPアドレス=「192.168.1.12」、およびSupportedヘッダの値=「mercury」を取得する。
次に、SIP端末200の認証部201は、PANA−PAA−Discoverメッセージを送信することによってアクセス認証の開始を要求する(ステップS1203)。これは、PANAの第1フェーズ(Discovery and handshake phase)の開始を意味する。なお、SIP端末200は、このメッセージ送信によって、認証エージェント100のアドレスを発見するように構成してもよい。また、例えばPANA Headerのバージョン(version)情報を利用して、本実施の形態に示す拡張方式における認証を行うことを要求してもよい。
PANA−PAA−Discoverメッセージが認証エージェント100の受信部111によって受信されると、取得部112が、装置情報テーブル151aから、各SIPプロキシ500の装置情報を取得する(ステップS1204)。原則として、取得部112は、装置情報テーブル151aに格納されているすべてのSIPプロキシ500の情報を取得する。
対応テーブル152aで、PANA−PAA−Discoverメッセージを送信したSIP端末200に対応するレコードが登録されている場合は、取得部112は、当該SIP端末200に提供可能なSIPプロキシ500のIDを対応テーブル152aから取得し、取得したIDの装置情報のみを、装置情報テーブル151aから取得する。
例えば、PANA−PAA−Discoverメッセージを送信したSIP端末200の端末IDが「00112233445577」であったとすると、図5に示すような対応テーブル152aから、ID=011および012が取得される。したがって、ID=011および012に対応する装置情報のみが装置情報テーブル151aから取得される。
同様に、負荷テーブル153aで、各SIPプロキシ500の負荷情報が管理されている場合、取得部112は、負荷テーブル153aを参照して最も処理負荷の小さいSIPプロキシ500を選択し、選択したSIPプロキシ500の装置情報のみを装置情報テーブル151aから取得するように構成してもよい。また、例えば同一の機能拡張をサポートするSIPプロキシ500が複数ある場合に負荷情報を参照して、最も処理負荷の小さいSIPプロキシ500を選択するように構成してもよい。
次に、認証部201が、取得された装置情報内の能力情報等を含むPANA−Start−Requestメッセージを生成し、第1送信部113が、生成されたメッセージをSIP端末200に送信する(ステップS1205)。
なお、認証部201は、SIPプロキシ500のIPアドレスは、AVPに含める必要がないことに注意する。ここでは、例えば、認証部201は、SIPプロキシ500aとSIPプロキシ500bの情報を、SIP−Proxy−Information AVPとして含むPANA−Start−Requestメッセージを生成する。
SIP端末200では、認証部201がPANA−Start−Requestメッセージを受信し、当該メッセージ内のSIP−Proxy−Information AVPに含まれるSIPプロキシ500のID、名前、および拡張機能情報をSIP処理部202に渡す。また、SIP処理部202が、装置情報を参照してアウトバウンドプロキシとするSIPプロキシ500を選択し、認証部201に通知する。
このように、従来は認証後にSIP端末200が各SIPプロキシ500に対して能力情報の取得要求を送信しなければならなかったのに対し、本実施の形態では、事前に認証エージェント100が入手した各SIPプロキシ500の能力情報を認証時に用いるメッセージから取得することができる。このため、能力情報取得のための処理負荷が軽減されるとともに、必要な能力情報を保持するSIPプロキシを運用しない内部ネットワークに対する認証処理の無駄を回避することが可能となる。
なお、ここでは、SIP処理部202は、上述のようにSIPプロキシ500aを選択して認証部201に通知したものとする。
また、SIP処理部202は、アクセス認証成功後にSIPアドレス登録を行うAoRおよびコンタクトアドレスを認証部201に通知することができる。さらに、SIP処理部202、アクセス認証成功後にSIPサービス登録を行うイベントサーバ600のRequest−URIなどの情報を認証部201に通知することができる。
例えば、SIP処理部202は、SIP登録のためのコンタクトアドレスとして「abc@192.168.0.10」、AoRとして「termA@example.com」を認証部201に通知する。また、利用するイベントサービスとして、イベントタイプID=「presence」、Request−URI=「eventA.service.example.com」、および、イベントタイプID=「pana」、Request−URI=「eventB.service.example.com」を認証部201に通知する。また、後者のイベントサービスに対しては、そのサービス固有のメッセージとして例えば「event B:level 1」などの文字列を含めることを認証部201に通知することもできる。
通知を受けた認証部201は、選択されたSIPプロキシ500のID等を含む図8のようなSIP−Proxy−Information AVPと、登録するアドレス情報等を含む図10のようなSIP Register−Informatin AVPと、購読を要求するイベントサービスのID等を含む図11のようなSIP−Service−Information AVPと、を含む、図9に示すようなPANA−Start−Answerメッセージを生成して認証エージェント100に送信する(ステップS1206)。
認証エージェント100の認証部114は、PANA−Start−Answerメッセージを受信する。当該メッセージの受信が正常に完了することにより、PANAの第1フェーズから、EAPの実行によりSIP端末200の認証を行う第2フェーズ(認証フェーズ:Authentication and authorization phase)に以降する。認証フェーズでは、PANAの認証用のメッセージ(PANA−Auth−Request、PANA−Auth−Answer)が交換され、EAP−Payload AVPを利用したEAP認証が実行される(ステップS1207)。
なお、この認証ステップは、(1)SIP端末200のアクセス認証、(2)SIP端末200のSIPアドレス登録(SIP Register)のための認証、(3)SIP端末200の通知したイベントサーバ600の購読のための認証、(4)SIP端末200と、SIP端末200が選択したSIPプロキシ500との間のセキュアトランスポート確立のための認証のすべてに相当する。
また、認証部114が、内部ネットワークI/F101を介して内部ネットワーク20に存在する認証サーバにアクセスしてEAP認証を実行するように構成してもよい。このとき、受信したPANA−Start−AnswerメッセージのSIP−Proxy−Information AVP、SIP Register−Informatin AVPまたはSIP−Service−Information AVPに含まれる情報、すなわち、SIP端末200の選択したSIPプロキシ500、または利用することが示されているイベントサーバ600の種類などの情報によって、アクセスする認証サーバを変更するように構成してもよいし、認証サーバにアクセスする際のAAAプロトコルに情報を付加するように構成してもよい。
PANA/EAP認証が成功すると、認証エージェント100は、SIP端末200に対する認証結果と、PANA/EAPによって導出した鍵情報を得る。この鍵情報は、認証エージェント100とSIP端末200との間の共有秘密鍵となる。
次に、鍵設定部131は、認証処理で導出された共有秘密鍵を、SIP端末200がSIP−Proxy−Information AVPに含めたSIPプロキシ500、すなわち、SIP端末200が選択したSIPプロキシ500aに対して、SNMPv3などのセキュアな方法で送信する(ステップS1208)。
次に、アドレス登録部132は、SIP端末200がSIP Register−Informatin AVPに含めたAoRとコンタクトアドレスとを取得し、取得したAoRおよびコンタクトアドレスをロケーションサーバ400に登録する。
具体的には、アドレス登録部132は、まず、取得したAoRおよびコンタクトアドレスをSIP処理部120に通知する。通知を受けたSIP処理部120は、AoRとコンタクトアドレスを登録するためのSIP Registerメッセージを作成し、ロケーションサーバ400との間でリクエスト送信処理およびレスポンス受信処理を行う(ステップS1209)。これは、SIP端末200のためのSIP Register処理を代行することに相当する。
ここでは、アドレス登録部132は、SIP処理部120でメッセージを送信することにより、AoR=「termA@example.com」、コンタクトアドレス=「abc@192.168.0.10」をロケーションサーバ400に登録する。
なお、SIP処理部120は、実行した登録アドレス情報およびレスポンスメッセージに含まれる登録有効期限情報を記憶部(図示せず)に保持させてもよい。登録有効期限情報は通常、SIP RegisterレスポンスメッセージのExpiresヘッダまたはContactヘッダのexpiresパラメタで示される。
次に、サービス購読部133は、SIP端末200がSIP−Service−Information AVPに含めたイベントタイプIDとRequest−URIとサービス利用のためのメッセージとを取得し、イベントサーバ600に登録する処理を行う。
具体的には、サービス購読部133は、まず、取得したイベントタイプIDとRequest−URIとサービス利用のための固有メッセージとをSIP処理部120に通知する。SIP処理部120は、通知された情報を元に、イベントサーバ600に対して、サービスを購読するためのSIP Subscribeメッセージを作成し、イベントサーバ600との間でリクエスト送信処理およびレスポンス受信処理を行う(ステップS1210)。これは、SIP端末200のためのSIP Subscribe処理を代行することに相当する。
ここでは、サービス購読部133は、イベントタイプID=「presence」のイベントサービスの購読をRequest−URI=「eventA.service.example.com」のイベントサーバ600に対して登録し、イベントタイプID=「pana」のイベントサービスの購読をRequest−URI=「eventB.service.example.com」のイベントサーバ600に対して登録する。後者については、サービス固有のメッセージとしてSIP SDPに「eventB: level 1」を付加してサービス購読を登録する。
なお、SIP処理部120は、実行したサービス購読情報およびレスポンスメッセージに含まれる購読有効期限情報を記憶部(図示せず)に保持させてもよい。購読有効期限情報は通常、SIP SubscribeレスポンスメッセージのExpiresヘッダにて示される。
次に、ファイアウォール設定部134は、内部ネットワークI/F101を介して、認証結果に応じたファイアウォール300の設定を行うことにより、SIP端末200のネットワークアクセスについて可否を設定する(ステップS1211)。
次に、認証部114は、外部ネットワークI/F102を介して、SIP端末200に対して、PANA−Bind−Requestメッセージを送信する(ステップS1212)。当該メッセージには、SIP端末200の認証結果を含んでいる。また、SIPアドレス登録、イベントサーバ600への購読結果、またはエラー情報を含んでもよい。
PANA−Bind−Requestメッセージを受信したSIP端末200の認証部201は、SIPアドレス登録やイベントサーバ600への購読結果またはエラー情報をSIP処理部202に通知してもよい。SIP処理部202は、これにより、認証エージェント100によって、SIPアドレス登録およびイベントサービス購読処理が行われたことを確認することができる。
また、SIP処理部202は、EAP認証より導出された共有秘密鍵情報を元にして、選択したSIPプロキシ500aとの間でSIPトランスポートを保護するためのTLS−PSKの共有秘密鍵(Pre-shared Key)を設定する。
以上のシーケンスにより、SIP端末200は、選択したSIPプロキシ500aとの間でTLS−PSKの鍵交換を終えており、また、指示したSIPアドレス登録処理を終えており、また、指示したイベントサーバ600への購読処理を終えている状態となる。
なお、これ以降、認証エージェント100は、記憶部(図示せず)に記憶されたSIPアドレス登録情報およびイベントサービス購読情報を元にして、対応する有効期間の間隔または任意のタイミングで、SIPアドレス登録処理およびイベントサービス購読処理を実行し、SIPアドレス登録有効期間およびイベントサービス購読有効期間の更新を行ってもよい。
また、SIP端末200と認証エージェント100との間で、PANAセッションを終了する終了フェーズ(PANA termination phase)が実行され、PANA認証状態が終了した場合、記憶部に記憶されたSIPアドレス登録およびイベントサービス購読を解除する処理を行ってもよい。このとき、記憶部に記憶されている同情報は削除されてもよい。
ステップS1208からステップS1210で示したように、本実施の形態では、認証成功後に、SIP端末200に代わって認証エージェント100が鍵情報の設定、アドレス登録、および利用サービスの購読を実行している。これにより、ネットワークにアクセスしてサービス利用を開始するまでの前処理の効率化を実現できる。
次に、従来のSIP端末および認証エージェントによるサービス利用開始処理について説明する。図13は、従来のサービス利用開始処理の全体の流れを示すシーケンス図である。
なお、同図のSIP端末1320、ファイアウォール1330、認証エージェント1310、ロケーションサーバ1340、SIPプロキシ1350a、1350b、およびイベントサーバ1360は、従来から用いられている一般的な機能をそれぞれ有するものとする。
まず、SIP端末1320は、DNSを利用したアドレス取得方法などによって、アクセス対象となる認証エージェント1310、ロケーションサーバ1340、SIPプロキシ1350、およびイベントサーバ1360などのアドレス情報を事前に取得しておく必要がある(ステップS1301)。
次に、SIP端末1320は、認証エージェント1310に対して、アクセス認証を開始する(ステップS1302)。
認証エージェント1310は、SIP端末1320の認証を行う(ステップS1303)。この際、別途ネットワーク上に存在する認証サーバに問い合わせを行ってもよい。
認証が成功すると、SIP端末1320は、ネットワークへのアクセスを許可される(ステップS1304)。これにともない、ファイアウォール1330の設定を行うなどして(ステップS1305)、SIP端末1320のネットワークアクセスが可能になる。
SIP端末1320は、この後、各SIPプロキシ1350との間でSIPメッセージを交換するため、事前にTLSなどのトランスポートプロトコルのための認証および鍵交換プロトコルを実行し、セキュアなコネクションを確立する必要がある(ステップS1306、ステップS1307)。
次に、SIP端末1320は、適切な機能を持ったアウトバウンドプロキシを選択するため、ネットワークで運用されている各SIPプロキシ1350に対して、その能力情報を問い合わせる(ステップS1308、ステップS1309)。ただし、運用されているSIPプロキシのアドレス情報は事前に取得しておく必要がある。
これは、SIP OPTIONSメッセージ交換により可能である。SIP端末1320は、運用されている全てのSIPプロキシ1350に対して能力情報を問い合わせ、アウトバウンドプロキシとして接続を望むSIPプロキシ1350を選択する。
次に、SIP端末1320は、ロケーションサーバ1340に対して、SIPアドレス登録を要求する(ステップS1310、SIP Registerメッセージ交換)。必要であれば、ロケーションサーバ1340は、WWW−Authenticationヘッダを付加したSIP Registerメッセージ交換を別途行うことで、SIP端末1320のアドレス登録に伴う認証を行う。
次に、SIP端末1320は、接続したネットワークでSIPサービスを利用するため、必要なイベントサーバ1360に対する購読処理を行う(ステップS1311)。なお、利用するサービスが複数存在する場合は、複数のイベントサーバ1360に対してそれぞれ購読処理を実行する必要がある。
購読処理は、SIP Subscribeメッセージ交換により実行することができる。SIP端末1320は、イベントサーバ1360の種類やそのアドレス情報を、事前に何らかの方法で取得している必要がある。イベントサーバ1360は、この購読処理を行う際、別途、SIPサービス購読のためのSIP端末1320の認証処理を行うかもしれない。
このように、従来の方法では、認証処理と、アドレス登録処理およびサービス購読処理が分離されているため、認証後に各SIP端末1320でSIPプロキシ1350の能力情報を取得する必要があるなど、サービス利用までの前処理に無駄が生じていた。また、事前にアドレス情報等を入手する必要がある点でも前処理の効率化に改善の余地があった。
これに対し、本実施の形態にかかる認証装置では、認証処理の最初のフェーズで、SIPプロキシの能力情報を認証エージェントからSIP端末に送信するとともに、登録するアドレス情報や、購読要求に必要な情報をSIP端末から認証エージェントに対して送信することができる。また、アドレス情報等を受信した認証エージェントが、アドレス情報の登録処理等を代行することができる。このため、SIP端末が適切なSIPプロキシに効率的に接続可能となるとともに、SIP機能を利用するまでに必要な認証処理を含む前処理を短縮し効率化することが可能となる。
具体的には、本実施の形態によれば、SIP端末が接続するアウトバウンドプロキシの選択を容易に実行可能となる。また、SIP端末が、SIPプロキシなどのアドレス情報を事前に取得する必要がなくなる。さらに、従来、SIP端末が行っていたSIPアドレス登録(SIP Register)、SIPプロキシ認証(SIP Registerに伴う WWW−Authenticate処理)、イベントサービス購読(SIP Subscribe)の簡略化およびネットワークアクセス認証処理との統合が実現できる。
次に、本実施の形態にかかる認証装置のハードウェア構成について説明する。図14は、本実施の形態にかかる認証装置のハードウェア構成を示す説明図である。
本実施の形態にかかる認証装置は、CPU51などの制御装置と、ROM(Read Only Memory)52やRAM53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、HDD(Hard Disk Drive)、CD(Compact Disc)ドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置と、各部を接続するバス61を備えており、通常のコンピュータを利用したハードウェア構成となっている。
本実施の形態にかかる認証装置で実行される認証プログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
また、本実施の形態にかかる認証装置で実行される認証プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態にかかる認証装置で実行される認証プログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
また、本実施の形態の認証プログラムを、ROM等に予め組み込んで提供するように構成してもよい。
本実施の形態にかかる認証装置で実行される認証プログラムは、上述した各部(受信部、取得部、第1送信部、認証部、SIP処理部、第2送信部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU51(プロセッサ)が上記記憶媒体から認証プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上述した各部が主記憶装置上に生成されるようになっている。
以上のように、本発明にかかる通信端末を認証する装置、方法およびプログラムは、複数のSIPプロキシを含み各種SIPサービスを提供するネットワークに対するアクセス認証を行う装置、方法およびプログラムに適している。
本実施の形態にかかる認証装置を含む通信システムの構成を示すブロック図である。 SIP端末の詳細な構成を示すブロック図である。 認証エージェントの詳細な構成を示すブロック図である。 装置情報テーブルのデータ構造の一例を示す説明図である。 対応テーブルのデータ構造の一例を示す説明図である。 負荷テーブルのデータ構造の一例を示す説明図である。 PANA−Start−Requestメッセージのメッセージ構造の一例を示す説明図である。 SIP−Proxy−Information AVPの詳細なデータ構造の一例を示す説明図である。 PANA−Start−Answerメッセージのメッセージ構造の一例を示す説明図である。 SIP Register−Informatin AVPの詳細なデータ構造の一例を示す説明図である。 SIP−Service−Information AVPの詳細なデータ構造の一例を示す説明図である。 本実施の形態におけるサービス利用開始処理の全体の流れを示すシーケンス図である。 従来のサービス利用開始処理の全体の流れを示すシーケンス図である。 本実施の形態にかかる認証装置のハードウェア構成を示す説明図である。
符号の説明
51 CPU
52 ROM
53 RAM
54 通信I/F
61 バス
10 外部ネットワーク
20 内部ネットワーク
100 認証エージェント
101 内部ネットワークI/F
102 外部ネットワークI/F
111 受信部
112 取得部
113 第1送信部
114 認証部
120 SIP処理部
130 第2送信部
131 鍵設定部
132 アドレス登録部
133 サービス購読部
134 ファイアウォール設定部
151 第1記憶部
151a 装置情報テーブル
152 第2記憶部
152a 対応テーブル
153 第3記憶部
153a 負荷テーブル
200a、200b SIP端末
201 認証部
202 SIP処理部
203 ネットワークI/F
300 ファイアウォール
400 ロケーションサーバ
500a、500b SIPプロキシ
600a、600b イベントサーバ
1310 認証エージェント
1320 SIP端末
1330 ファイアウォール
1340 ロケーションサーバ
1350a、1350b SIPプロキシ
1360 イベントサーバ

Claims (18)

  1. 通信端末と第1ネットワークを介して接続されるとともに、前記通信端末から受信した設定情報に基づいて前記通信端末に機能を提供するサーバ装置と、前記第1ネットワークと第2ネットワークとの間の通信を中継する中継装置と、に前記第2ネットワークを介して接続され、前記サーバ装置が提供する機能の前処理として前記通信端末を認証する認証装置であって、
    前記中継装置を識別する装置IDと、前記中継装置の処理能力に関する能力情報とを対応づけた装置情報を記憶する第1記憶部と、
    認証の開始を要求する第1メッセージを前記通信端末から受信する第1受信部と、
    前記第1メッセージを受信したときに、前記装置情報を前記第1記憶部から取得する取得部と、
    取得した前記装置情報を含む第2メッセージを前記通信端末に送信する第1送信部と、
    送信した前記装置情報に含まれる前記装置IDから前記通信端末が前記装置情報に含まれる前記能力情報を参照して選択した第1装置IDを含む第3メッセージを前記通信端末から受信する第2受信部と、
    認証に用いる認証情報を前記通信端末から受信する第3受信部と、
    受信した前記認証情報に基づいて前記通信端末を認証する認証部と、
    前記通信端末が認証されたときに、前記機能の提供を受けるための設定情報を、受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置、または受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置が通信を中継する前記サーバ装置に対して送信する第2送信部と、
    を備えたことを特徴とする認証装置。
  2. 前記第2受信部は、前記第1装置IDと、前記サーバ装置に対して登録する前記通信端末のアドレスとを含む前記第3メッセージを受信し、
    前記第2送信部は、前記設定情報として、受信した前記第3メッセージに含まれる前記アドレスを、前記サーバ装置に対して送信すること、
    を特徴とする請求項1に記載の認証装置。
  3. 前記第2受信部は、前記第1装置IDと、前記サーバ装置が提供する前記機能を識別する機能IDとを含む前記第3メッセージを受信し、
    前記第2送信部は、前記設定情報として、受信した前記第3メッセージに含まれる前記機能IDの前記機能の利用を要求する第4メッセージを前記サーバ装置に対して送信すること、
    を特徴とする請求項1に記載の認証装置。
  4. 前記認証部は、さらに、前記中継装置と前記通信端末との間の通信で用いる鍵情報を生成し、
    前記第2送信部は、前記通信端末が認証されたときに、受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置に対し、生成された前記鍵情報を前記設定情報として送信すること、
    を特徴とする請求項1に記載の認証装置。
  5. 前記通信端末を識別する端末IDと、前記通信端末が利用可能な前記中継装置の前記装置IDとを対応づけて記憶する第2記憶部をさらに備え、
    前記取得部は、前記第1メッセージを受信した前記通信端末の前記端末IDに対応する前記装置IDを前記第2記憶部から取得し、取得した前記装置IDに対応する前記装置情報を前記第1記憶部から取得すること、
    を特徴とする請求項1に記載の認証装置。
  6. 前記中継装置の前記装置IDと、前記中継装置の処理負荷に関する負荷情報とを対応づけて記憶する第3記憶部をさらに備え、
    前記取得部は、前記負荷情報を前記第3記憶部から取得し、取得した前記負荷情報に基づいて、前記処理負荷が最も小さい前記中継装置の前記装置IDを前記第3記憶部から取得し、取得した前記装置IDに対応する前記装置情報を前記第1記憶部から取得すること、
    を特徴とする請求項1に記載の認証装置。
  7. 前記第3記憶部は、前記装置IDと、通信を中継している前記通信端末の個数である前記負荷情報とを対応づけて記憶し、
    前記取得部は、前記個数が最も小さい前記中継装置の前記装置IDを前記第3記憶部から取得し、取得した前記装置IDに対応する前記装置情報を前記第1記憶部から取得すること、
    を特徴とする請求項6に記載の認証装置。
  8. 前記第1送信部は、前記第1メッセージに対する応答メッセージであって、取得した前記装置情報を含む前記第2メッセージを前記通信端末に送信すること、
    を特徴とする請求項1に記載の認証装置。
  9. 前記第2受信部は、前記第2メッセージに対する応答メッセージであって、前記第1装置IDを含む前記第3メッセージを前記通信端末から受信すること、
    を特徴とする請求項8に記載の認証装置。
  10. 前記第1受信部は、前記第1メッセージとして、PANA(Protocol for Carrying Authentication for Network Access)のPANA−PAA(PANA Authentication Agent)−Discoverメッセージを前記通信端末から受信し、
    前記第1送信部は、前記第2メッセージとして、取得した前記装置情報を含むPANAのPANA−Start−Requestメッセージを前記通信端末に送信し、
    前記第2受信部は、前記第3メッセージとして、前記第1装置IDを含むPANAのPANA−Start−Answerメッセージを前記通信端末から受信すること、
    を特徴とする請求項1に記載の認証装置。
  11. 前記第1記憶部は、SIP(Session Initiation Protocol)のプロキシサーバである前記中継装置の前記装置IDと、前記能力情報とを対応づけた前記装置情報を記憶し、
    前記第2送信部は、受信した前記第3メッセージに含まれる前記第1装置IDの前記プロキシサーバが通信を中継する前記サーバ装置に対して前記設定情報を送信すること、
    を特徴とする請求項1に記載の認証装置。
  12. 前記第2受信部は、前記第1装置IDと、SIPのロケーションサーバである前記サーバ装置に対して登録する前記通信端末のアドレスとを含む前記第3メッセージを受信し、
    前記第2送信部は、前記設定情報として、受信した前記第3メッセージに含まれる前記アドレスを、前記ロケーションサーバに対して送信すること、
    を特徴とする請求項11に記載の認証装置。
  13. 前記第2送信部は、SIPのRegisterメッセージを前記ロケーションサーバに送信することによって、受信した前記第3メッセージに含まれる前記アドレスを前記ロケーションサーバに対して送信すること、
    を特徴とする請求項12に記載の認証装置。
  14. 前記第2受信部は、前記第1装置IDと、SIPで利用可能な前記機能を提供するイベントサーバである前記サーバ装置の前記機能IDとを含む前記第3メッセージを受信し、
    前記第2送信部は、前記設定情報として、受信した前記第3メッセージに含まれる前記機能IDを、前記イベントサーバに対して送信すること、
    を特徴とする請求項11に記載の認証装置。
  15. 前記第2送信部は、受信した前記第3メッセージに含まれる前記機能IDの前記機能の利用を要求するSIPのSubscribeメッセージを前記イベントサーバに対して送信すること、
    を特徴とする請求項14に記載の認証装置。
  16. 前記認証部は、さらに、前記中継装置と前記通信端末との間の通信で用いるTLS(Transport Layer Security)のための鍵情報を生成し、
    前記第2送信部は、前記通信端末が認証されたときに、受信した前記第3メッセージに含まれる前記第1装置IDの前記プロキシサーバに対し、生成された前記鍵情報を前記設定情報として送信すること、
    を特徴とする請求項11に記載の認証装置。
  17. 通信端末と第1ネットワークを介して接続されるとともに、前記通信端末から受信した設定情報に基づいて前記通信端末に機能を提供するサーバ装置と、前記第1ネットワークと第2ネットワークとの間の通信を中継する中継装置と、に前記第2ネットワークを介して接続され、前記サーバ装置が提供する機能の前処理として前記通信端末を認証する認証装置における認証方法であって、
    前記認証装置は、前記中継装置を識別する装置IDと、前記中継装置の処理能力に関する能力情報とを対応づけた装置情報を記憶する第1記憶部を備え、
    第1受信部によって、認証の開始を要求する第1メッセージを前記通信端末から受信する第1受信ステップと、
    取得部によって、前記第1メッセージを受信したときに、前記装置情報を前記第1記憶部から取得する取得ステップと、
    第1送信部によって、取得した前記装置情報を含む第2メッセージを前記通信端末に送信する第1送信ステップと、
    第2受信部によって、送信した前記装置情報に含まれる前記装置IDから前記通信端末が前記装置情報に含まれる前記能力情報を参照して選択した第1装置IDを含む第3メッセージを前記通信端末から受信する第2受信ステップと、
    第3受信部によって、認証に用いる認証情報を前記通信端末から受信する第3受信ステップと、
    認証部によって、受信した前記認証情報に基づいて前記通信端末を認証する認証ステップと、
    第2送信部によって、前記通信端末が認証されたときに、前記機能の提供を受けるための設定情報を、受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置、または受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置が通信を中継する前記サーバ装置に対して送信する第2送信ステップと、
    を備えたことを特徴とする認証方法。
  18. 通信端末と第1ネットワークを介して接続されるとともに、前記通信端末から受信した設定情報に基づいて前記通信端末に機能を提供するサーバ装置と、前記第1ネットワークと第2ネットワークとの間の通信を中継する中継装置と、に前記第2ネットワークを介して接続され、前記サーバ装置が提供する機能の前処理として前記通信端末を認証する認証装置における認証プログラムであって、
    前記認証装置は、前記中継装置を識別する装置IDと、前記中継装置の処理能力に関する能力情報とを対応づけた装置情報を記憶する第1記憶部を備え、
    認証の開始を要求する第1メッセージを前記通信端末から受信する第1受信手順と、
    前記第1メッセージを受信したときに、前記装置情報を前記第1記憶部から取得する取得手順と、
    取得した前記装置情報を含む第2メッセージを前記通信端末に送信する第1送信手順と、
    送信した前記装置情報に含まれる前記装置IDから前記通信端末が前記装置情報に含まれる前記能力情報を参照して選択した第1装置IDを含む第3メッセージを前記通信端末から受信する第2受信手順と、
    認証に用いる認証情報を前記通信端末から受信する第3受信手順と、
    受信した前記認証情報に基づいて前記通信端末を認証する認証手順と、
    前記通信端末が認証されたときに、前記機能の提供を受けるための設定情報を、受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置、または受信した前記第3メッセージに含まれる前記第1装置IDの前記中継装置が通信を中継する前記サーバ装置に対して送信する第2送信手順と、
    をコンピュータに実行させる認証プログラム。
JP2006344001A 2006-12-21 2006-12-21 通信端末を認証する装置、方法およびプログラム Expired - Fee Related JP4216876B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006344001A JP4216876B2 (ja) 2006-12-21 2006-12-21 通信端末を認証する装置、方法およびプログラム
US11/826,279 US8307200B2 (en) 2006-12-21 2007-07-13 Apparatus, method and computer program product for authenticating communication terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006344001A JP4216876B2 (ja) 2006-12-21 2006-12-21 通信端末を認証する装置、方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2008160252A true JP2008160252A (ja) 2008-07-10
JP4216876B2 JP4216876B2 (ja) 2009-01-28

Family

ID=39544627

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006344001A Expired - Fee Related JP4216876B2 (ja) 2006-12-21 2006-12-21 通信端末を認証する装置、方法およびプログラム

Country Status (2)

Country Link
US (1) US8307200B2 (ja)
JP (1) JP4216876B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008172489A (ja) * 2007-01-11 2008-07-24 Toshiba Corp 端末装置を認証する装置、方法、プログラム、端末装置、および端末装置の通信を中継する装置
JP2014513349A (ja) * 2011-04-15 2014-05-29 サムスン エレクトロニクス カンパニー リミテッド マシンツーマシンサービス提供方法及び装置
KR20160046534A (ko) * 2014-10-21 2016-04-29 에스케이텔레콤 주식회사 Ip 기반 멀티미디어 서비스를 위한 단말 인증 방법 및 이에 따른 ip 기반 멀티미디어 서비스 시스템
WO2025177457A1 (ja) * 2024-02-21 2025-08-28 Ntt株式会社 ネットワーク設定装置、および、ネットワーク設定方法

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100583835C (zh) * 2007-06-28 2010-01-20 华为技术有限公司 转发报文的方法和网络设备
US9113176B2 (en) * 2007-08-29 2015-08-18 The Regents Of The University Of California Network and device aware video scaling system, method, software, and device
FI20085193A0 (fi) * 2008-02-29 2008-02-29 Nokia Siemens Networks Oy Toistinsolmun yhteydenhallinta
KR101528855B1 (ko) * 2008-03-04 2015-06-15 삼성전자주식회사 홈 네트워크에서 인증 정보를 관리하는 방법 및 그 장치
TWI376923B (en) * 2008-07-24 2012-11-11 Ind Tech Res Inst One-way media streaming system and method thereof
JP5693065B2 (ja) * 2010-07-06 2015-04-01 キヤノン株式会社 通信端末、通信端末の制御方法及びプログラム
US8954542B2 (en) * 2011-06-14 2015-02-10 Avaya Inc. Method and system for transmitting and receiving configuration and registration information for session initiation protocol devices
US8611813B1 (en) * 2011-07-22 2013-12-17 Cellco Partnership Utilizing a mobile device to control operation of a repeater
US8844015B2 (en) 2012-01-31 2014-09-23 Hewlett-Packard Development Company, L.P. Application-access authentication agent
JP5701792B2 (ja) * 2012-02-27 2015-04-15 株式会社東芝 通信装置、通信方法及び通信プログラム
US20150347751A1 (en) * 2012-12-21 2015-12-03 Seccuris Inc. System and method for monitoring data in a client environment
US10362059B2 (en) 2014-09-24 2019-07-23 Oracle International Corporation Proxy servers within computer subnetworks
JP2017033538A (ja) * 2015-08-04 2017-02-09 株式会社リコー 通信システム、中継装置、情報処理装置、通信制御方法及びプログラム
CN109450944A (zh) * 2018-12-26 2019-03-08 安徽网华信息科技有限公司 一种配电网通信网络终端数据安全技术
CN110784840A (zh) * 2019-10-30 2020-02-11 陕西天基通信科技有限责任公司 一种电梯多媒体终端4g/5g专网专用的通信方法及终端
US12069165B2 (en) * 2021-01-20 2024-08-20 Cisco Technology, Inc. Intelligent and secure packet captures for cloud solutions
US20240320065A1 (en) * 2023-03-22 2024-09-26 Garry Jean Theus System to generate event records for onboarding requests

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6754212B1 (en) * 1996-07-12 2004-06-22 Hitachi, Ltd. Repeater and network system utililzing the same
US6185598B1 (en) * 1998-02-10 2001-02-06 Digital Island, Inc. Optimized network resource location
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US7002973B2 (en) * 2000-12-11 2006-02-21 Acme Packet Inc. System and method for assisting in controlling real-time transport protocol flow through multiple networks via use of a cluster of session routers
AU2002224990A1 (en) * 2002-01-10 2003-07-24 Nokia Corporation Method and system for proxying a message
WO2003098880A1 (en) * 2002-05-20 2003-11-27 Fujitsu Limited Network relaying device, network relaying method, and network relaying program
US20030236892A1 (en) * 2002-05-31 2003-12-25 Stephane Coulombe System for adaptation of SIP messages based on recipient's terminal capabilities and preferences
US6904140B2 (en) * 2002-12-17 2005-06-07 Nokia Corporation Dynamic user state dependent processing
JP2004328104A (ja) 2003-04-22 2004-11-18 Hitachi Ltd アクセスポイントノード装置および端末位置情報登録方法
US7200400B2 (en) * 2003-12-15 2007-04-03 International Business Machines Corporation Mobile to 802.11 voice multi-network roaming utilizing SIP signaling with SIP proxy or redirect server
JP2005277815A (ja) 2004-03-25 2005-10-06 Fujitsu Ltd 利用ネットワーク選択方法及び通信システム、移動端末
US20060085545A1 (en) * 2004-05-06 2006-04-20 Utstarcom, Incorporated Session initiation protocol-based routing support apparatus and method
US20060002426A1 (en) * 2004-07-01 2006-01-05 Telefonaktiebolaget L M Ericsson (Publ) Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA)
US8046829B2 (en) * 2004-08-17 2011-10-25 Toshiba America Research, Inc. Method for dynamically and securely establishing a tunnel
GB0423301D0 (en) 2004-10-20 2004-11-24 Fujitsu Ltd User authorization for services in a wireless communications network
US7568224B1 (en) * 2004-12-06 2009-07-28 Cisco Technology, Inc. Authentication of SIP and RTP traffic
US8565185B2 (en) 2005-04-13 2013-10-22 Toshiba America Research, Inc. Framework of media-independent pre-authentication support for PANA
JP2006311177A (ja) 2005-04-28 2006-11-09 Nec Corp ネットワーク装置の設定及びファームウェアの更新方法、ネットワーク装置並びにコンピュータプログラム
US20070028092A1 (en) * 2005-07-28 2007-02-01 Alper Yegin Method and system for enabling chap authentication over PANA without using EAP
GB0519524D0 (en) * 2005-09-24 2005-11-02 Ibm Method and apparatus for verifying encryption of SIP signalling
US7591013B2 (en) * 2007-07-31 2009-09-15 Cisco Technology, Inc. System and method for client initiated authentication in a session initiation protocol environment

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008172489A (ja) * 2007-01-11 2008-07-24 Toshiba Corp 端末装置を認証する装置、方法、プログラム、端末装置、および端末装置の通信を中継する装置
JP2014513349A (ja) * 2011-04-15 2014-05-29 サムスン エレクトロニクス カンパニー リミテッド マシンツーマシンサービス提供方法及び装置
KR20160046534A (ko) * 2014-10-21 2016-04-29 에스케이텔레콤 주식회사 Ip 기반 멀티미디어 서비스를 위한 단말 인증 방법 및 이에 따른 ip 기반 멀티미디어 서비스 시스템
KR102049585B1 (ko) * 2014-10-21 2019-11-27 에스케이텔레콤 주식회사 Ip 기반 멀티미디어 서비스를 위한 단말 인증 방법 및 이에 따른 ip 기반 멀티미디어 서비스 시스템
WO2025177457A1 (ja) * 2024-02-21 2025-08-28 Ntt株式会社 ネットワーク設定装置、および、ネットワーク設定方法

Also Published As

Publication number Publication date
US20080155250A1 (en) 2008-06-26
JP4216876B2 (ja) 2009-01-28
US8307200B2 (en) 2012-11-06

Similar Documents

Publication Publication Date Title
JP4216876B2 (ja) 通信端末を認証する装置、方法およびプログラム
JP4992378B2 (ja) 携帯端末装置、ゲートウェイ装置、プログラム、およびシステム
US8606885B2 (en) Method and system of providing access point data associated with a network access point
US7707293B2 (en) Method, system and apparatuses for transferring session request
US20030070067A1 (en) Communication processing system, communication processing method, server and computer program
JP4796754B2 (ja) ネットワーク接続システムおよびネットワーク接続方法
US20050153683A1 (en) Plug and play mobile services
JP2009111859A (ja) 利用者のアドレス情報を登録する装置、方法およびプログラム
JP5002337B2 (ja) ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
JP2008506139A (ja) ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
JP2021190862A (ja) 端末装置のためのコンピュータプログラムと通信装置
JP2015065677A (ja) デュアルスタック・オペレーションの認可を織り込むための方法および装置
JP4643596B2 (ja) 端末装置を認証する装置、方法、プログラム、端末装置、および端末装置の通信を中継する装置
JP2006018399A (ja) 情報処理装置、情報処理方法およびプログラム
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
JP2003248659A (ja) コンテンツへのアクセス制御のための方法とコンテンツへのアクセス制御のためのシステム
CN102143091B (zh) 跨域操作的实现方法、系统、服务器和浏览器
JP4886712B2 (ja) アクセス制御システム、アクセス制御方法、アクセス制御装置およびアクセス制御プログラム
JP5319575B2 (ja) 通信方法および通信システム
US20060190601A1 (en) Localized authentication, authorization and accounting (AAA) method and apparatus for optimizing service authentication and authorization in a network system
JP5824744B2 (ja) 情報処理システム、及び情報処理方法
WO2025176033A1 (zh) 密钥提供方法、装置、网络功能、网络设备及介质
JP2021190863A (ja) 端末装置のためのコンピュータプログラムと通信装置
JP3609624B2 (ja) 移動計算機装置、移動計算機管理装置、モバイル情報管理装置及び通信制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080327

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081106

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111114

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121114

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131114

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees