JP2011234062A - Communication system - Google Patents
Communication system Download PDFInfo
- Publication number
- JP2011234062A JP2011234062A JP2010101605A JP2010101605A JP2011234062A JP 2011234062 A JP2011234062 A JP 2011234062A JP 2010101605 A JP2010101605 A JP 2010101605A JP 2010101605 A JP2010101605 A JP 2010101605A JP 2011234062 A JP2011234062 A JP 2011234062A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- user
- network
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
本発明は、通信トンネルによりVPNを構築する場合のユーザ VPN端末とセンターVPN端末の通信、及びセンターVPN端末と認証サーバの通信に関するものである。 The present invention relates to communication between a user VPN terminal and a center VPN terminal and a communication between a center VPN terminal and an authentication server when a VPN is constructed by a communication tunnel.
インターネットなどの公衆ネットワーク上にトンネリング技術や暗号技術などを使用して構築するVPN(Virtual Private Network)が一般的に知られている。 A VPN (Virtual Private Network) constructed using a tunneling technology or a cryptographic technology on a public network such as the Internet is generally known.
例えばIPsecはインターネット上でVPNを実現するプロトコルでRFC4301に規定されている。これは、共通鍵暗号や公開鍵暗号を使用することにより通信データのセキュリティを確保する技術である。またIPsecは、動的に共有秘密鍵とSA(Security Association)の折衝と管理をさせる場合、RFC4306に規定されているIKEv2という鍵の管理プロトコルを共に使用する。 For example, IPsec is a protocol that implements VPN over the Internet and is specified in RFC4301. This is a technique for ensuring the security of communication data by using common key encryption or public key encryption. IPsec also uses a key management protocol called IKEv2 defined in RFC4306 when dynamically negotiating and managing a shared secret key and SA (Security Association).
本願に関連する先行技術文献として、所定の通信網に収容される認証サーバがEAP(Extensible Authentication Protocol)を使用した認証を行い、認証要求(EAPレスポンス)に認証結果情報と、更に拡張して接続規制情報をIPsecゲートウェイに返信する特許文献1がある。
As prior art documents related to the present application, an authentication server accommodated in a predetermined communication network performs authentication using EAP (Extensible Authentication Protocol), and the authentication request information (EAP response) is further expanded and connected to the authentication result information. There is
また、内部ネットワーク接続を実現するために、外部ネットワークに内部ネットワーク間接続に必要な情報取得手段を備えた接続制御装置を配置する特許文献2がある。
Further, in order to realize internal network connection, there is
近年SOHOや在宅勤務などの仕事形態増加に伴い、自宅と企業網をVPNでセキュアに繋ぐ必要性が出てきた。また、企業ではSIPサーバを用いたIP電話の使用が多様化してきている。 In recent years, with the increase in work forms such as SOHO and telecommuting, it has become necessary to securely connect homes and corporate networks with VPN. In addition, companies are diversifying the use of IP phones using SIP servers.
ここで、内部ネットワークで使用される内線電話と、自宅の電話とをVPNを介して通信し、自宅の電話を企業の内線電話のように使用すると便利である。 Here, it is convenient to communicate an extension telephone used in the internal network with a home telephone via a VPN and use the home telephone like a corporate extension telephone.
その際、外部ネットワークに配置されたユーザVPN端末と、内部ネットワークと外部ネットワークの境界に配置されたセンターVPN端末によって、外部ネットワークから内部ネットワークである企業網に繋ぐVPNを構築する。ユーザ VPN端末1配下に接続されたアナログ電話と内部ネットワークに接続された内線端末を内線通話させるためには、内部ネットワークに収容されるSIPサーバの情報と、ユーザ VPN端末配下に接続されたアナログ電話に振り当てる内線電話番号が必要となる。また、内部ネットワークに収容されるSIPサーバの情報とユーザ VPN端末配下に接続されるアナログ電話で使用する内線電話番号は、ユーザが手動でユーザ VPN端末に登録する必要がある。
At that time, a VPN connecting from the external network to the corporate network, which is the internal network, is constructed by the user VPN terminal arranged in the external network and the center VPN terminal arranged at the boundary between the internal network and the external network. In order to make an extension call between an analog telephone connected to the
しかしユーザにSIPサーバの情報を手動で登録させることは利便性が悪い。また、内線電話番号もユーザ VPN端末毎に登録してしまうと、ユーザが別のユーザVPN端末を使用する際、当該別のユーザVPN端末に対して新たに情報の設定が必要となってしまう。 However, it is not convenient to let users register SIP server information manually. Also, if the extension telephone number is registered for each user VPN terminal, when the user uses another user VPN terminal, new information needs to be set for the other user VPN terminal.
以上より、外部ネットワークを介して内部ネットワークとの内線通話を実現する際には、ユーザ VPN端末配下に接続されたアナログ電話について、ユーザに負担をかけずに自動的に接続設定を行い、VPNで接続される他のネットワークの内線電話として使用可能とすることが課題となる。 From the above, when implementing an internal call with an internal network via an external network, an analog phone connected under the user VPN terminal is automatically set up without burdening the user, and VPN It becomes a problem to make it usable as an extension telephone of another network to be connected.
本発明による通信システムは一例として、第1のネットワークに接続される第1端末と、前記第1のネットワーク及び第2のネットワークに接続される第2端末と、前記第2のネットワークに接続される認証サーバとを備える通信システムであって、前記第1端末は、ユーザID、及び前記ユーザIDに対応するパスワードを格納する第1データ格納部と、クライアント端末からVPN接続要求を受信する場合に、前記パスワードを用いて生成した情報と、前記ユーザIDとの少なくともいずれかを含む認証要求を前記第2端末へ送信する第1接続処理部とを有し、前記認証サーバは、前記ユーザIDと前記パスワードとIPアドレスと電話番号とを対応させて保持する認証テーブルと、前記第2端末から送信される前記ユーザIDに対応する前記パスワードを前記認証テーブルから検索し、前記パスワードを用いて生成した情報が検索したパスワードと対応する場合に、前記ユーザIDに対応する電話番号及びIPアドレス情報を前記認証テーブルから読み出し、前記第2端末へ送信する認証サーバ処理部とを有し、前記第2端末は、前記ユーザIDと、前記パスワードとを用いて生成した情報とを前記認証サーバに送信する認証クライアント処理部と、前記認証サーバから受信する前記電話番号及び前記IPアドレスを含む、前記認証要求への応答メッセージに含めて前記第1端末へ送信する第2接続処理部とを有することを特徴とする。 As an example, a communication system according to the present invention is connected to a first terminal connected to a first network, a second terminal connected to the first network and the second network, and the second network. A communication system comprising an authentication server, wherein the first terminal receives a VPN connection request from a client terminal and a first data storage unit that stores a user ID and a password corresponding to the user ID. A first connection processing unit configured to transmit an authentication request including at least one of the information generated using the password and the user ID to the second terminal, and the authentication server includes the user ID and the user ID An authentication table that holds a password, an IP address, and a telephone number in association with each other, and the password corresponding to the user ID transmitted from the second terminal When the information retrieved using the authentication table corresponds to the retrieved password, the telephone number and IP address information corresponding to the user ID are read from the authentication table and transmitted to the second terminal. An authentication server processing unit, wherein the second terminal receives from the authentication server an authentication client processing unit that transmits information generated using the user ID and the password to the authentication server. And a second connection processing unit that includes the telephone number and the IP address and transmits to the first terminal in a response message to the authentication request.
外部ネットワークを介して内部ネットワークとの内線通話を実現する際に、ユーザに課せられる様々な設定の負担を削減することが出来る。 When implementing an extension call with an internal network via an external network, the burden of various settings imposed on the user can be reduced.
上記課題を解決するために、外部ネットワークに収容されたユーザ VPN端末に対して内線電話として機能するための情報を通信トンネル構築時に取得する。通信トンネルを構築するステップで、センターVPN端末と認証サーバがユーザ VPN端末の認証を行う際に、認証サーバがセンターVPN端末にユーザ VPN端末の内線電話番号を通知する。受信した内線電話番号と割り当てられるIPアドレスとを、鍵交換メッセージによってユーザ VPN端末へ送信する。ここで、センターVPN端末が保持する内部ネットワークに収容されたSIPサーバのIPアドレスを併せて送信してもよい。ユーザ VPN端末が内線電話番号についてSIPサーバへ登録処理を行い、セッション確立することによって、外部ネットワークと内部ネットワークの電話を内線通話させる。 In order to solve the above-mentioned problems, information for functioning as an extension telephone for a user VPN terminal accommodated in an external network is acquired when a communication tunnel is established. In the step of constructing a communication tunnel, when the center VPN terminal and the authentication server authenticate the user VPN terminal, the authentication server notifies the center VPN terminal of the extension number of the user VPN terminal. The received extension telephone number and the assigned IP address are transmitted to the user VPN terminal by a key exchange message. Here, the IP address of the SIP server accommodated in the internal network held by the center VPN terminal may be transmitted together. The user VPN terminal registers the extension telephone number with the SIP server and establishes a session, thereby making the extension network call between the external network and the internal network telephone.
認証サーバは、ユーザ VPN端末に設定されたユーザIDを識別子としてユーザの内線電話番号を管理し、ユーザ VPN端末の認証が成功した場合に認証承認メッセージ によって該当する内線電話番号をセンターVPN端末に通知する。 The authentication server manages the user's extension telephone number using the user ID set in the user VPN terminal as an identifier. When the user VPN terminal is successfully authenticated, the authentication extension message notifies the corresponding extension telephone number to the center VPN terminal. To do.
また、認証サーバから内線番号を受信したセンターVPN端末は、ユーザVPN端末に内線番号と割当IPアドレス(とSIPサーバのIPアドレス)を通知するために、鍵交換メッセージを拡張して使用する。 In addition, the center VPN terminal that has received the extension number from the authentication server extends and uses the key exchange message in order to notify the user VPN terminal of the extension number and the assigned IP address (and the IP address of the SIP server).
内部ネットワークには更に管理サーバが配置されてもよい。この場合、内部ネットワークに接続されている内線電話を使用するユーザが、PCなどで管理サーバにアクセスすることによって、自宅などの外部ネットワークに接続される電話からでも内線電話として自宅の電話を使用するように切り替えることが出来る。 A management server may be further arranged in the internal network. In this case, a user who uses an extension telephone connected to the internal network uses the home telephone as an extension telephone even from a telephone connected to an external network such as home by accessing the management server with a PC. Can be switched as follows.
ユーザが内線電話として自宅電話を使用するように切り替えるため、管理サーバにアクセスした場合は、管理サーバは内部ネットワークで使用している内線電話へアクセスし、内線電話からSIPサーバに登録した情報を削除要求するためのメッセージを送信する指示と、認証サーバからセンターVPN端末への内線電話番号払出しを有効にさせる指示を送信することによって、通信先を切り替える。 When a user accesses the management server to switch to using the home phone as an extension phone, the management server accesses the extension phone used on the internal network and deletes the information registered in the SIP server from the extension phone. The communication destination is switched by transmitting an instruction to transmit a message for requesting and an instruction to validate the extension telephone number payout from the authentication server to the center VPN terminal.
ユーザが内線電話として内部ネットワーク内線電話を使用するように切り替えるため、管理サーバにアクセスした場合は、管理サーバはユーザ VPN端末へアクセスし、ユーザ VPN端末からSIPサーバに登録した情報を削除要求するためのメッセージを送信する指示と、認証サーバからセンターVPN端末へ内線電話番号の払出しを有効にさせる指示を送信することによって通信先を切り替える。 Since the user switches to using the internal network extension telephone as the extension telephone, when accessing the management server, the management server accesses the user VPN terminal and requests deletion of information registered in the SIP server from the user VPN terminal. The communication destination is switched by sending an instruction to send the message and an instruction to enable the extension of the extension telephone number from the authentication server to the center VPN terminal.
また、ユーザVPN端末からSIPサーバに登録した情報を削除要求するためのメッセージを送信する指示と、認証サーバからセンターVPN端末へ内線電話番号の払出しを有効にさせる指示の送信は、管理サーバを配置せずに、内線電話であるIP電話に同様の機能を持たせても良い。 In addition, a management server is used to send a message for requesting deletion of information registered on the SIP server from the user VPN terminal and an instruction for enabling the extension of the extension telephone number from the authentication server to the center VPN terminal. Instead, an IP phone that is an extension phone may have the same function.
以下、発明の実施例を詳細に説明する。 Hereinafter, embodiments of the invention will be described in detail.
図1は、本発明の一実施形態であるネットワーク構成例である。本実施形態は、外部ネットワーク3配下に接続されているユーザ VPN端末1、ユーザVPN端末1に接続されているアナログ電話6、ユーザVPN端末にVPN接続要求を送信するCLI端末、企業などのプライベートなネットワークである内部ネットワーク4に配置され、外部ネットワーク3と内部ネットワークとを接続するセンターVPN端末2、認証サーバとしてRADIUS(Remote Authentication Dial In User Service)サーバ7、セッション制御サーバとしてSIPサーバ5、そして内部ネットワーク4のIP電話である内線電話9を備えている。
FIG. 1 is a network configuration example according to an embodiment of the present invention. In this embodiment, the
ユーザ VPN端末1とセンターVPN端末2はVPN接続機能を有し、外部ネットワーク3間を繋ぐ通信トンネルであるIPsecトンネル8を構築することにより、ユーザ VPN端末1を使用しているユーザが内部ネットワークのプライベートアドレスを取得し、あたかも内部ネットワーク4内にいるかの様な通信を行うことが出来る。
The
また、ユーザ VPN端末1はアナログ電話6からの通話要求をSIP信号として発信するSIP-UA機能も有している。内部ネットワーク4に接続されたSIPサーバ5は、IP電話接続のための呼処理を行っており、RADIUSサーバ7はユーザのパスワード、内線電話情報、IPアドレス情報を保持し、端末認証とユーザ情報の払出しを行っている。
The
図11はRADIUSサーバ7の機能構成図である。RADIUSサーバ7はRADIUSデータ処理部45、データ格納部46、IPパケット処理部47を有する。RADIUSデータ処理部45は、IPパケット処理部47が受信したIPパケットの内容を判断し、必要な情報をデータ格納部から取得するほか、データ格納部のデータの制御を行う。データ格納部46はユーザが使用するユーザID、パスワード、ユーザが使用しているユーザ端末に割り当てるIPアドレス、及び内線番号を管理している。IPパケット処理部47は、RADIUSデータ処理部45に転送する処理や、RADIUS Clientに送信する処理を行う。 次にユーザ VPN端末1、センターVPN端末2の機能構成について説明する。
FIG. 11 is a functional configuration diagram of the RADIUS
図2はユーザ VPN端末1の機能構成図である。ユーザ VPN端末1は、装置管理部12、データ格納部13、SIP-UA処理部14、IKE処理部15、IPパケット処理部16、VoIP処理部17を有する。
FIG. 2 is a functional configuration diagram of the
SIP-UA処理部14は、セッション制御サーバとのセッション確立を処理するセッション処理部である。
The SIP-
IKE処理部15は、暗号化復号化のための鍵交換処理や、センターVPN端末2に対してESP暗号化アルゴリズムなどのパラメータを有するSAの提案、IPsecのユーザを認証するためのユーザID、パスワードの送信処理などを行い、センターVPN端末2からIPアドレス割り当てを受けることができる。
The
暗号化/復号化処理部18は、センターVPN端末2によって決定されたSAに従って送受信するパケットの暗号化復号化処理を行う。
The encryption /
VoIP処理部17は、アナログ電話6からの通話要求を受け、オフフック検出を行ったり、発着信処理をSIP-UA処理部14と連携して行う。また、アナログ音声とIPパケットとを相互に変換する処理を行う。
The
IPパケット処理部16は、送信するIPパケットや受信IPパケットの種類を判断し、必要な機能部へ転送する処理を行う。 The IP packet processing unit 16 determines the type of IP packet to be transmitted or the received IP packet, and performs processing to transfer to a necessary functional unit.
データ格納部13にはVPN接続用設定として、ユーザが装置管理部12を通じて予め設定したユーザIDとパスワードや、対向となるセンターVPN端末2のIPアドレスが保存されている。
The
図3はセンターVPN端末2の機能構成図である。
FIG. 3 is a functional configuration diagram of the
センターVPN端末2は、IKE処理部20、データ格納部22、装置管理部24、IPパケット処理部23、RADIUS Client処理部25を有する。
The
IKE処理部20は、暗号化復号化のための鍵交換処理や、ユーザVPN端末1から提案されたESP暗号化アルゴリズムなどのパラメータを有するSAの決定、ユーザ VPN端末1から通知されたユーザID、 パスワードをRADIUS Client 処理部25へ送信する処理などを行う。
暗号化/復号化処理部26は、センターVPN端末2が決定したSAに従って送受信するパケットの暗号化復号化処理を行う。この暗号化復号化処理ではユーザ VPN端末1の暗号化/復号化処理部と同様の処理を行う。
The encryption /
RADIUS Client処理部25は、ユーザ VPN端末1を認証するためにRADIUSサーバ7との情報交換処理を行う。またRADIUSサーバ7がユーザVPN端末1に割り当てるIPアドレスとしてセンター VPN端末2に払い出す場合、RADIUSサーバ7が払い出したIPアドレスをRadius Client処理部25により入手し、IKE処理部20に格納し、通信の際にセンターVPN端末のIPアドレスをとして使用する。このような場合の他に、RADIUSサーバ7からセンターVPN端末2に特定のIPアドレスが払いだされた場合、RADIUS Client機能部25は、払い出された特定のIPアドレスを識別子として判断し、ユーザVPN端末1に割り当てるIPアドレスとして、データ格納部22で複数のIPアドレスをプールアドレスとして管理し、このプールアドレスから、RADIUS Client機能部25がユーザ VPN端末1に対してIPアドレスを割り当ててもよい。 IPパケット処理部23は、送信するIPパケットや受信IPパケットの種類を判断し、必要な機能部へ転送する処理を行う。
The RADIUS
データ格納部22には装置管理部24を通じて設定されたSIPサーバ5のIPアドレスが保存されている。
以上のネットワーク構成での動作例を図4,5,6のシーケンス図を用いて説明する。
The
An operation example with the above network configuration will be described with reference to the sequence diagrams of FIGS.
ユーザが、ユーザVPN端末1にアクセス出来るCLI(クライアント)端末30などを使用してユーザ VPN端末1に出したVPN接続要求S101を装置管理部12が検出し、IKE処理部15にVPN接続要求指示を出す。初めに、ユーザ VPN端末1は接続要求であるIKE_SA_INIT Request メッセージS102をセンターVPN端末2に送り、それを受けたセンターVPN端末2は応答であるIKE_SA_INIT Response S103メッセージをユーザ VPN端末1に返し、共通秘密鍵の生成を行う。
The
そしてユーザ VPN端末1は、センターVPN端末2との認証を行うために、ユーザ VPN端末1に設定されたユーザ ID をIKE処理部15がデータ格納部13から引き出し、第1の認証要求であるIKE_AUTH(1)Request S104メッセージによってセンターVPN端末2に通知する。ユーザIDを受け取ったセンターVPN装置2は、IKE処理部20にてユーザIDを一時的に保持する(S201)。
Then, in order to authenticate the
そしてユーザ VPN端末1の認証を行うためにRADIUS Client処理部25へ渡し、RADIUS Client処理部25は、 RADIUSサーバ7へAccess-RequestメッセージS105を送信し、EAPによる認証要求とユーザIDを通知し、RADIUSサーバ7がこれらを取得する。RADIUSサーバ7はセンターVPN端末2にAccess-Challenge メッセージS106でEAP-MD5認証のためのチャレンジ値である乱数を返す。
Then, to authenticate the
センターVPN端末2は第1の認証応答であるIKE_AUTH(2)ResponseS107メッセージによりユーザ VPN端末1にRADIUSサーバ7から通知されたチャレンジ値を通知し、それを取得したユーザ VPN端末1はIKE処理部20にてユーザによって設定されたパスワードをデータ格納部から引き出し、パスワードとチャレンジ値を用いてハッシュ計算を行いS202、パスワードのハッシュ値であるレスポンス値を第2の認証要求であるIKE_AUTH(3)RequestメッセージS108でセンターVPN端末2に通知する(S204)。それを受けたセンターVPN端末2はAccess-RequestメッセージS109によってIKE処理部20が一時的に保持していたユーザIDとレスポンス値をRADIUSサーバ7に通知する。
The
RADIUSサーバ7は受け取ったユーザIDからRADIUSサーバ7に保存されているパスワードを検索し、センターVPN端末2に通知したものと同じ乱数を使用してハッシュ計算を行い、パスワードのハッシュ値がセンターVPN端末2から受け取ったレスポンス値と一致していることを確認する(S203)。レスポンス値が一致していた場合、RADIUSサーバ7はユーザ VPN端末1を通信相手として認証し、RADIUSサーバ7が保持しているデータベースからユーザIDをキーにしてセンターVPN端末2に通知する情報を取得するため、ユーザID・パスワードとIPアドレスと内線電話番号とを対応付ける、RADIUSサーバ内のデータ部である管理テーブルを検索する。そして、ユーザIDに対応する内線電話番号、ユーザ VPN端末1に割り当てるIPアドレスを認証の成功通知に含めてAccess-AcceptメッセージS110でセンターVPN端末2に通知する。センターVPN端末2はRADIUS Client処理部25で受け取った内線番号と割り当てられたIPアドレスをIKE処理部20にて一時的に保持する(S204)。
The
この時、RADIUSサーバ7からセンター VPN端末2にアドレス割当を認可するための識別子となる特定のIPアドレスを通知し、それを受信したRADIUS Client処理部25は、特定のIPアドレスが払いだされたことを認識し、RADIUS Client処理部25が保持するプールアドレスからユーザ VPN端末1に割り当てるIPアドレスを選択する処理を行う。
At this time, the
センターVPN端末2は、 認証が成功したことをユーザ VPN端末1に第2の認証応答であるIKE_AUTH(4)ResponseメッセージS111で通知し、ユーザ VPN端末1はVPN間の装置認証を行うための自分の認証情報をセンターVPN端末2に第3の認証要求であるIKE_AUTH(5)RequestメッセージS112で通知する。それを受けたセンターVPN端末2はVPN間の装置認証を行うための自分の認証情報と、IKE処理部20に一時的に保存していたRADIUSサーバ7から受け取ったユーザの内線電話番号とユーザ VPN端末1に割り当てられたIPアドレス、そしてデータ処理部13が保持していたSIPサーバ5のIPアドレスを第3の認証応答であるIKE_AUTH(6)ResponseメッセージS113のコンフィギュレーションペイロードにのせてユーザ VPN端末1に通知する(S205)。ここで、IKE_AUTH(6)ResponseメッセージS113のコンフィギュレーションペイロードにのせる情報は、まず、RADIUSサーバ7から受け取ったユーザの内線電話番号とユーザ VPN端末1に割り当てられたIPアドレスとしてもよい。この場合は、別途、IKE_AUTH Responseメッセージを送信する際にデータ処理部13が保持していたSIPサーバ5のIPアドレスをのせてもよい。
The
この時内線電話番号とSIPサーバ5のIPアドレスをのせたコンフィギュレーションペイロードの属性タイプ値は、未割り当てとなっている16〜16383の範囲内を使用する。これによりユーザ VPN端末1とセンターVPN端末2の認証が完了し、IPsecトンネルS300が確立される。
At this time, the attribute type value of the configuration payload carrying the extension telephone number and the IP address of the
ユーザ VPN端末1は受け取ったSIPサーバ5のIPアドレスを送信先として、同じく受け取った内線電話番号を送信元電話番号として、また、ユーザVPN端末1の割当IPアドレスを送信元として、IPsecトンネルを通して登録要求であるRegisterメッセージS114をSIPサーバ5に送信し、アナログ電話6の情報である割当IPアドレスと、割当内線電話番号をSIPサーバ5へ登録する。登録が完了するとSIPサーバ5は応答である200OKメッセージS115をユーザ VPN端末1へ返す。
そして、アナログ端末から発信があった場合(S206)、ユーザ VPN端末1はSIPサーバ5に対して、送信先電話番号を内線電話9、送信元電話番号をSIPサーバ5に登録したユーザVPN端末割当の内線電話番号として、また、送信先IPアドレスをSIPサーバ、送信元IPアドレスをユーザVPN端末の割当IPアドレスとして、INVITEメッセージS116を送信し、それを受け取ったSIPサーバ5は送信先の内線電話9にINVITEメッセージS117を送信する。そして受信が完了すると内線電話9はSIPサーバ5に200OKメッセージS118を返信し、SIPサーバ5は200OKメッセージS119をユーザ VPN端末1に返信し、内線通話が確立される(S301)。なお、ここで内線電話9はVoIP機能及びSIP対応機能を備えるIP端末である。
When a call is made from an analog terminal (S206), the
次に、ユーザが内部ネットワーク4で使用している内線電話を、自宅などの外部ネットワーク3に接続されている電話で使用するよう切り替える際の切り替え処理の例を説明する。
Next, an example of a switching process when the extension telephone used by the user on the
図7は、上記実施例1と同様のネットワーク構成に加え、ユーザVPN端末1配下にユーザ端末41が、内部ネットワーク4にユーザ端末40と管理サーバ10がそれぞれ接続されている。
In FIG. 7, in addition to the network configuration similar to that of the first embodiment, the
次に図8により、RADIUSサーバ7と管理サーバ10の切り替え処理について説明する。RADIUSサーバ7はデータ格納部46を保有しており、管理テーブル53で示す通り、ユーザIDに関連付けて、パスワード、端末に割り当てるIPアドレス、内線電話番号が保存されている。管理サーバ10はユーザが内部ネットワーク4内で内線電話を使用するか、自宅などの外部ネットワーク3内で電話を使用するかを切り替える。すなわち、ユーザが使用する内線番号に対応する電話端末を、内部ネットワーク4内のIP端末とするか、外部ネットワーク3内のVPN端末に接続する端末とするかを設定し、当該電話端末の接続先を稼動状況情報として保持して状態を管理する。ここで、稼動状況情報は、ユーザの内線番号を識別子として内部テーブル51で管理している。
Next, switching processing between the
ユーザがPCなどのユーザ端末11により管理サーバにユーザの内線番号を含む情報を切り替え要求として送信すると、管理サーバ10はその内線番号を識別子として管理テーブル51を検索し、該当する稼動状態情報のモードを更新し、RADIUSサーバ7に内線番号を含む切り替え要求メッセージを送信する。RADIUSサーバ7のIPパケット処理部47が切り替え処理要求を受信し、RADIUSデータ処理部45に転送する。RADIUSデータ処理部45は通知された内線番号をデータ格納部は内線番号を識別子としてデータ格納部46でユーザ情報53を検索し、更にRADIUSデータ処理部45は検知された情報の中の内線番号は、センターVPN端末2からの要求がきても払いださないようOFFに切り替える処理を行う。この処理が行われると、ユーザVPN端末1がセンターVPN端末2に対してVPN接続要求が行った際、RADIUSサーバ7はセンターVPN端末2に対して内線番号を払い出さずに、IPアドレスのみを払い出す。
When the user transmits information including the user's extension number to the management server as a switching request from the user terminal 11 such as a PC, the
次に、図9のシーケンスを用いてユーザが内部ネットワーク4で使用している内線電話を、自宅などの外部ネットワーク3に接続されている電話で使用するよう切り替える際の切り替え処理の流れを説明する。
Next, the flow of switching processing when the extension telephone used by the user on the
内部ネットワーク4に接続されているユーザ(クライアント)端末40から管理サーバ10へ切り替え要求S400が送信されると、管理サーバ10は内部テーブル51のモードを切り替え(S500)、内線電話9に向けてunREGISTERをSIPサーバ5に送信するための指示S401を通知し、更にRADIUSサーバ7に対してセンターVPN端末2へ内線番号払出しのON/OFFを切り替える指示S402を送信し、RADIUSサーバ7は管理テーブル53をON(すなわち、電話番号対応端末の接続先として外部ネットワークを選択)に切り替える(S501)。unREGISTER要求S401を受信した内線電話9は、SIPサーバ5にunREGISTERメッセージを送信し、それを受信したSIPサーバ5は内線電話9のRegister情報を削除しS502、内線9に200OKメッセージS404を送信する。
When a switching request S400 is transmitted from the user (client) terminal 40 connected to the
続いて、図10のシーケンスを用いて、ユーザが自分の内線を自宅などの外部ネットワーク3に接続されている電話から内部ネットワーク4で使用する内線電話に切り替える際の切り替え処理の流れを説明する。この時、ユーザ VPN端末1とセンターVPN端末2間にはIPsecトンネルが確立されている。
Next, the flow of the switching process when the user switches his / her extension from the telephone connected to the
外部ネットワークに接続されているユーザ端末41から管理サーバ10へ切り替え要求S600が送信されると、管理サーバ10は内部テーブル51のモードを更新し(S700)、ユーザ VPN端末1に向けてunREGISTERをSIPサーバ5に送信するための指示S601を通知し、更にRADIUSサーバ7に対してセンターVPN端末2への内線番号払出しのON/OFFを切り替える指示S602を送信し、RADIUSサーバ7は管理テーブル53をOFF(すなわち、電話番号対応端末の接続先として内部ネットワークを選択)に切り替える処理を行う(S701)。unREGISTER要求S501を受信したユーザ VPN端末1は、SIPサーバ5にunREGISTERメッセージを送信し、それを受信したSIPサーバ5はユーザ VPN端末1のRegister情報を削除しS702、ユーザ VPN端末1に200OKメッセージS604を送信する。
When the switch request S600 is transmitted from the
1 ユーザVPN端末
2 センターVPN端末
3 外部ネットワーク
4 内部ネットワーク
5 SIPサーバ
6 アナログ電話
7 RADIUSサーバ
8 IPsecトンネル
9 内線電話
10 管理サーバ
12 装置管理部
13 データ格納部
14 SIP-UA処理部
15 IKE処理部
16 IPパケット処理部
17 VoIP処理部
18 暗号化/復号化処理部
20 IKE処理部
22 データ格納部
23 IPパケット処理部
24 装置管理部
25 RADIUS Client処理部
26 暗号化/復号化処理部
30 CLI端末
40 ユーザ端末
41 ユーザ端末
45 RADIUSデータ処理部
46 データ格納部
47 IPパケット処理部
51 管理テーブル
53 ユーザ情報管理テーブル
S101 VPN接続要求
S102 IKE_SA_INIT Requestメッセージ
S103 IKE_SA_INIT Responseメッセージ
S104 IKE_AUTH(1) Request メッセージ
S105 Access-Requestメッセージ
S106 Access-Challengeメッセージ
S107 IKE_AUTH(2) Response メッセージ
S108 IKE_AUTH(3) Request メッセージ
S109 Access-Requestメッセージ
S110 Access-Acceptメッセージ
S111 IKE_AUTH(4) Response メッセージ
S112 IKE_AUTH (5)Request メッセージ
S113 IKE_AUTH(6) Response メッセージ
S114 Registerメッセージ
S115 200OKメッセージ
S116 INVITEメッセージ
S117 INVITEメッセージ
S118 200OKメッセージ
S119 200OKメッセージ
S201 セッション管理部21でUSER-IDを保持
S202 ハッシュ計算
S203 レスポンス値比較判断
S204 認証成功通知、割り当てIPアドレス、内線電話番号を保持
S205 SIPサーバ5のIPアドレス、割り当てIPアドレス、内線電話番号取得
S206 通話契機発生
S300 IPsecトンネル確立
S301 通話
S400 切り替え要求
S401 unREGISTER要求
S402 ONに切り替え要求
S403 unREGISTERメッセージ
S404 200OKメッセージ
S500 内部テーブル更新
S501 ONに切り替え
S502 Register情報削除
S600 切り替え要求
S601 unREGISTER要求
S602 OFFに切り替え要求
S603 unREGISTERメッセージ
S604 200OKメッセージ
S700 内部テーブル更新
S701 OFFに切り替え
S702 Register情報削除
1 User VPN terminal
2 Center VPN terminal
3 External network
4 Internal network
5 SIP server
6 Analog phone
7 RADIUS server
8 IPsec tunnel
9 Extension phone
10 Management server
12 Device management department
13 Data storage
14 SIP-UA processing section
15 IKE processing section
16 IP packet processor
17 VoIP processing section
18 Encryption / decryption processor
20 IKE processing department
22 Data storage
23 IP packet processor
24 Device Management Department
25 RADIUS Client processing block
26 Encryption / Decryption Processing Unit
30 CLI terminal
40 User terminal
41 User terminal
45 RADIUS data processor
46 Data storage
47 IP packet processor
51 Management table
53 User information management table
S101 VPN connection request
S102 IKE_SA_INIT Request message
S103 IKE_SA_INIT Response message
S104 IKE_AUTH (1) Request message
S105 Access-Request message
S106 Access-Challenge message
S107 IKE_AUTH (2) Response message
S108 IKE_AUTH (3) Request message
S109 Access-Request message
S110 Access-Accept message
S111 IKE_AUTH (4) Response message
S112 IKE_AUTH (5) Request message
S113 IKE_AUTH (6) Response message
S114 Register message
S115 200OK message
S116 INVITE message
S117 INVITE message
S118 200OK message
S119 200OK message
S201 Session management unit 21 holds USER-ID
S202 hash calculation
S203 Response value comparison judgment
S204 Authentication success notification, assigned IP address, extension telephone number are retained
S206 Call opportunity occurs
S300 IPsec tunnel establishment
S301 call
S400 switch request
S401 unREGISTER request
Request to switch to S402 ON
S403 unREGISTER message
S404 200OK message
S500 internal table maintenance
Switch to S501 ON
S502 Register information deletion
S600 switch request
S601 unREGISTER request
Request to switch to S602 OFF
S603 unREGISTER message
S604 200OK message
S700 internal table maintenance
Switch to S701 OFF
S702 Register information deletion
Claims (11)
前記第1端末は、
ユーザID、及び前記ユーザIDに対応するパスワードを格納する第1データ格納部と、
クライアント端末からVPN接続要求を受信する場合に、前記パスワードを用いて生成した情報と、前記ユーザIDとの少なくともいずれかを含む認証要求を前記第2端末へ送信する第1接続処理部とを有し、
前記認証サーバは、
前記ユーザIDと前記パスワードとIPアドレスと電話番号とを対応させて保持する認証テーブルと、
前記第2端末から送信される前記ユーザIDに対応する前記パスワードを前記認証テーブルから検索し、前記パスワードを用いて生成した情報が検索したパスワードと対応する場合に、前記ユーザIDに対応する電話番号及びIPアドレス情報を前記認証テーブルから読み出し、前記第2端末へ送信する認証サーバ処理部とを有し、
前記第2端末は、
前記ユーザIDと、前記パスワードとを用いて生成した情報とを前記認証サーバに送信する認証クライアント処理部と、
前記認証サーバから受信する前記電話番号及び前記IPアドレスを含む、前記認証要求への応答メッセージに含めて前記第1端末へ送信する第2接続処理部とを有することを特徴とする通信システム。 A communication system comprising a first terminal connected to a first network, a second terminal connected to the first network and the second network, and an authentication server connected to the second network. And
The first terminal is
A first data storage unit for storing a user ID and a password corresponding to the user ID;
A first connection processing unit that transmits an authentication request including at least one of the information generated using the password and the user ID to the second terminal when receiving a VPN connection request from a client terminal; And
The authentication server is
An authentication table that holds the user ID, the password, the IP address, and the telephone number in association with each other;
When the password corresponding to the user ID transmitted from the second terminal is searched from the authentication table, and the information generated using the password corresponds to the searched password, the telephone number corresponding to the user ID And an authentication server processing unit that reads IP address information from the authentication table and transmits the IP address information to the second terminal,
The second terminal is
An authentication client processing unit for transmitting the information generated using the user ID and the password to the authentication server;
A communication system, comprising: a second connection processing unit that includes the telephone number and the IP address received from the authentication server and transmits them to the first terminal in a response message to the authentication request.
前記第2端末は、前記セッション制御サーバのアドレス情報を格納する第2データ格納部をさらに備え、前記第2接続処理部は、前記認証要求への応答メッセージに第2データ格納部から読み出す前記セッション制御サーバのIPアドレスをさらに含めて前記第1端末へ送信することを特徴とする請求項1に記載の通信システム。 A session control server connected to the second network;
The second terminal further includes a second data storage unit that stores address information of the session control server, and the second connection processing unit reads the session from the second data storage unit in response to the authentication request. 2. The communication system according to claim 1, further including an IP address of a control server, which is transmitted to the first terminal.
前記管理サーバは、前記電話番号を含む情報の受信に基づいて、前記セッション制御サーバで前記電話番号に対応する登録情報を登録削除処理するように制御することを特徴とする請求項6に記載の通信システム。 A session control server connected to the second network;
The control server according to claim 6, wherein the management server controls the session control server to perform registration deletion processing on the registration information corresponding to the telephone number based on reception of information including the telephone number. Communications system.
前記認証サーバは、前記切り替え要求の受信に基づいて、前記認証テーブルでの電話番号対応端末の接続先情報を更新することを特徴とする請求項6に記載の通信システム。 The management server transmits a switching request including the telephone number to the authentication server based on reception of information including the telephone number;
The communication system according to claim 6, wherein the authentication server updates connection destination information of a telephone number corresponding terminal in the authentication table based on reception of the switching request.
前記管理サーバは、前記第1のネットワークに接続されるクライアント端末から電話番号を含む情報を受信する場合に、前記セッション制御サーバで前記第1端末の登録情報を登録削除処理するように制御することを特徴とする請求項6に記載の通信システム。 A session control server connected to the second network;
When the management server receives information including a telephone number from a client terminal connected to the first network, the management server controls the session control server to delete the registration information of the first terminal. The communication system according to claim 6.
前記管理サーバは、前記第2のネットワークに接続されるクライアント端末から電話番号を含む情報を受信する場合に、前記セッション制御サーバで前記電話番号に対応する登録情報を登録削除処理するように制御することを特徴とする請求項6に記載の通信システム。 A session control server connected to the second network;
When the management server receives information including a telephone number from a client terminal connected to the second network, the management server controls the session control server to delete registration information corresponding to the telephone number. The communication system according to claim 6.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010101605A JP2011234062A (en) | 2010-04-27 | 2010-04-27 | Communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010101605A JP2011234062A (en) | 2010-04-27 | 2010-04-27 | Communication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011234062A true JP2011234062A (en) | 2011-11-17 |
Family
ID=45322952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010101605A Pending JP2011234062A (en) | 2010-04-27 | 2010-04-27 | Communication system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011234062A (en) |
-
2010
- 2010-04-27 JP JP2010101605A patent/JP2011234062A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2356791B1 (en) | Communication system and method | |
| CN1316796C (en) | Location-independent packet routing and secure access in short-range wireless network environments | |
| JP4754964B2 (en) | Radio network control apparatus and radio network control system | |
| JP4763560B2 (en) | Connection support device | |
| EP2347625B1 (en) | Communication system and method | |
| JP4960285B2 (en) | IP telephone terminal, server device, authentication device, communication system, communication method, and program | |
| JP5192077B2 (en) | Secret communication method using VPN, system thereof, program thereof, and recording medium of program | |
| WO2017181894A1 (en) | Method and system for connecting virtual private network by terminal, and related device | |
| JP2005536961A (en) | Method, gateway and system for transmitting data between devices in a public network and devices in an internal network | |
| JP2010118752A (en) | Network system, dhcp server apparatus and dhcp client apparatus | |
| EP2425646A1 (en) | Network access nodes | |
| JP2015503303A (en) | Secure communication system and communication method | |
| JP3973961B2 (en) | Wireless network connection system, terminal device, remote access server, and authentication function device | |
| JP4490352B2 (en) | VPN server hosting system and VPN construction method | |
| WO2009082950A1 (en) | Key distribution method, device and system | |
| US7895648B1 (en) | Reliably continuing a secure connection when the address of a machine at one end of the connection changes | |
| JP2005064686A (en) | User terminal switching method and user authentication method | |
| JP2007006248A (en) | Remote access method and remote access system | |
| JP6762735B2 (en) | Terminal-to-terminal communication system, terminal-to-terminal communication method, and computer program | |
| JP4368653B2 (en) | Authentication method in session transfer, session transfer control method and system using the same, program, and recording medium | |
| JP2011234062A (en) | Communication system | |
| JP5133932B2 (en) | VPN connection control system, authentication server | |
| JP2009260847A (en) | Vpn connection method, and communication device | |
| JP2005311507A (en) | VPN communication method and VPN system | |
| JP2012080358A (en) | Communication service network and communication service system |