[go: up one dir, main page]

JP5028995B2 - サービス提供装置、認証方法及び認証プログラム - Google Patents

サービス提供装置、認証方法及び認証プログラム Download PDF

Info

Publication number
JP5028995B2
JP5028995B2 JP2006340359A JP2006340359A JP5028995B2 JP 5028995 B2 JP5028995 B2 JP 5028995B2 JP 2006340359 A JP2006340359 A JP 2006340359A JP 2006340359 A JP2006340359 A JP 2006340359A JP 5028995 B2 JP5028995 B2 JP 5028995B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
type
algorithm
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006340359A
Other languages
English (en)
Other versions
JP2008152570A (ja
Inventor
功夫 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006340359A priority Critical patent/JP5028995B2/ja
Publication of JP2008152570A publication Critical patent/JP2008152570A/ja
Application granted granted Critical
Publication of JP5028995B2 publication Critical patent/JP5028995B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はサービス提供装置、認証方法及び認証プログラムに関し、例えば、SIP交換機システムにおける端末からの通信に対する認証に適用し得る。
SIP(Session Initiation Protocol)交換機システムでは、故障端末からの不正アクセスや、悪意のあるユーザが、別の正規ユーザになりすましてサービスを不正利用することなどを防止するため、サーバとユーザ端末間の通信について認証をする。認証は、認証データを生成する認証アルゴリズムについて、SIP交換機システムとSIPユーザ端末の両者において、同一のアルゴリズムであるユーザ認証機能が具備されていることを前提としており、SIPユーザ端末からのリクエスト信号を受信した際に、サーバがリクエスト信号に付与された認証データを確認することにより、要求元のユーザを認証し許可することで実施される。つまり、正式な認証アルゴリズムを使用せずに生成された認証データが付与されたリクエストに対しては要求元のユーザを認可しないことにより、サービスの不正利用防止を実現している。SIP交換機システムにおいては、この認証機能は、ユーザの現在位置を登録するためのリクエスト信号(REGISTERリクエスト)、及びユーザが電話サービスの利用を開始するための発呼リクエスト信号(=INVITEリクエスト)に対して実施されるのが一般的である。
そこで特許文献1に記載の「通知番号検証システム」のように、SIPサーバにおいて、IP電話加入端末が発呼した際に、その発呼したユーザが正当な利用者であるか認証を行う方法が提案されている。
"Session Initiation Protocol"[IETF RFC3261 June 2002] 特開2006−5880号公報
今日、SIP交換機システムにより提供されるサービスは多様化され、電話接続サービス以外に、現在位置情報公開サービス(プレゼンスサービス)や、インスタントメッセージサービスなどが提供されるようになってきている。SIPでは、プレゼンスサービス向けにSUBSCRIBE、PUBLISHリクエストを、インスタントメッセージ向けにMESSAGEリクエストを規定している。このため、これらのリクエストに対してもユーザ認証を実施し、サービスの不正利用を防止する必要性が高まっている。又、複数のSIP交換サービス提供事業社が提供するサービスには、事業者毎に差異があり、また収容するユーザ端末も様々である。端末によっては、全てのリクエストに対してユーザ認証機能を具備していない可能性もある。このユーザ端末にSIP交換機システムが認証を実施した場合、この端末のユーザはサービスを一切利用することができない。このため、各事業者のサービス運用方針によって、SIPユーザ端末からのどのリクエスト信号に対してユーザ認証処理を実施するのか否かという認証実施要否の条件が異なる。又、認証のセキュリティ性強化のため、将来的に認証データを生成する認証アルゴリズムの種別が増加することも予想される。
しかしながら、特許文献1に記載の「通知番号検証システム」では、一つのリクエストに対して単一の種類の認証アルゴリズムしか対応することができなかった。そのため、複数の種類の認証アルゴリズムに対応し、ユーザ毎や端末毎等に応じた認証アルゴリズムを選択して認証を行うことができるサービス提供装置、認証方法及び認証プログラムが望まれている。
第1の本発明のサービス提供装置は、(1)端末から受信した信号の種別毎に、認証の要否の情報を、認証アルゴリズムの種類毎に格納した認証実施要否条件情報記憶手段、(2)上記端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類を判定する認証アルゴリズム判定手段、(3)上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得する信号種別情報取得手段、(4)上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記端末から受信した信号について、認証の要否を判定する認証要否判定手段、及び、(5)上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類の認証アルゴリズムを使用して、上記端末からの通信について認証を行う認証手段を有することを特徴とする。
第2の本発明は端末にサービスを提供するサービス提供装置が行う認証方法において、(0)認証実施要否条件情報記憶手段、認証アルゴリズム判定手段、信号種別情報取得手段、認証要否判定手段、及び、認証手段を備え、(1)上記認証実施要否条件情報記憶手段は、上記サービス提供装置が上記端末から受信する信号の種別毎に認証の要否の情報を認証アルゴリズムの種類毎に格納し、(2)上記認証アルゴリズム判定手段は、上記サービス提供装置が、上記端末から受信した信号から、上記端末が採用している認証アルゴリズムの種類を判定し、(3)上記信号種別情報取得手段は、上記サービス提供装置が、上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得し、(4)上記認証要否判定手段は、上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記サービス提供装置が上記端末から受信した信号について、認証の要否を判定し、(5)上記認証手段は、上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類のアルゴリズムを使用して、上記端末からの通信について認証を行うことを特徴とする。
第3の本発明の認証プログラムは、(0)端末にサービスを提供するサービス提供装置に設けられているコンピュータを、(1)上記端末から受信する信号の種別毎に認証の要否の情報を、認証アルゴリズムの種類毎に格納した認証実施要否条件情報記憶手段、(2)上記端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類の判定をする認証アルゴリズム判定手段、(3)上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得する信号種別情報取得手段、(4)上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記端末から受信した信号について、認証の要否を判定する認証要否判定手段、及び、(5)上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類のアルゴリズムを使用して、上記端末からの通信について認証を行う認証手段として機能させることを特徴とする。
本発明によれば、サービス提供装置が、複数の種類の認証アルゴリズムに対応している場合、端末毎等に応じた認証アルゴリズムを選択して認証を行うことができる。
(A)第1の実施形態
以下、本発明によるサービス提供装置、認証方法及び認証プログラムの第1の実施形態を、図面を参照しながら詳述する。
(A−1)第1の実施形態の構成
図2は、この実施形態のSIPシステムの全体構成を示すブロック図である。
SIP交換機システム100は、SIPユーザ端末400を収容して、SIPによる交換サービスを提供するものである。IPネットワーク300は、SIP交換機システム100とSIPユーザ端末400などを通信させるためのIPネットワークであり、例えば、ルータやスイッチングハブなどのIP通信可能なネットワーク装置で構成されるものである。
SIPユーザ端末400は、SIPのクライアント端末であり、IPネットワーク300に接続可能なパソコンや携帯電話機等の情報処理端末に、SIP交換機システム100と通信してSIPによるサービスを受けるためのソフトウェアをインストールしたものである。
SIP交換機保守端末200は、システムの保守者が投入する操作信号をSIP交換機システム100に伝達したり、SIP交換機システム100にからの障害発生等のメッセージを受信してシステムの保守者に表示させたりするものである。SIP交換機保守端末200は、IPネットワーク300に接続可能なパソコンや携帯電話機等の情報処理端末に、SIP交換機システム100と通信し、情報の受送信及び制御をするためのソフトウェアをインストールしたものである。
図1は、SIP交換機システム100の内部構造及び、SIPユーザ端末400との接続について示したブロック図である。
SIP交換機システムは、一般にIETFのRFC3261記述に基づいた構成となっており、SIP階層(レイヤ)構造で示すことができる。そこで、この実施形態では、RFC3261の記述に基づいて、SIP交換機システム100の内部をアプリケーションレイヤ110、トランザクションレイヤ120、トランスポートレイヤ130の3つのレイヤに分けて説明するものとする。
アプリケーションレイヤ110、トランザクションレイヤ120、トランスポートレイヤ130は、例えば、パソコンなどのIPネットワーク300に接続可能な情報処理装置(1台に限定されず、複数台を分散処理し得るようにしたものであっても良い。)上に、実施形態の認証実施要否判定プログラム(固定データを含む)などの、各レイヤ毎のプログラムをインストールすることにより構築されるものであるが、機能的には図1のように表すことができる。アプリケーションレイヤ110、トランザクションレイヤ120、トランスポートレイヤ130はハードウエア的には、CPU(中央処理装置)などに相当し、ソフトウエア的には各種プログラムに相当し得る部分である。又、アプリケーションレイヤ110内の生成シナリオ管理表111c、ユーザ認証実施要否条件表111e、デフォルトアルゴリズム情報111fなどは記憶手段であり、ハードウエア的には、揮発性記憶手段(RAMなど)や、不揮発性記憶手段(ROMやハードディスクなど)によって構成され、ソフトウエア的には、各種のファイルが該当する。
トランスポートレイヤ130は、SIPユーザ端末400からデータを受信し、受信したSIP信号をトランザクションレイヤ120に引き渡すなどの機能を担っている。
トランザクションレイヤ120は、受信した信号に対応するトランザクションを検索するなどの機能を担っている。検索した結果、トランザクションが存在する場合はそのトランザクションを検索する。トランザクションが存在する場合はそのトランザクションの状態に応じて、該当するSIPユーザ端末400との間の処理を実施し、存在しない場合は新規にトランザクションを生成して処理を実施する。そして、所定の条件に応じて、アプリケーションレイヤ110に対してSIP信号を引き渡す。
アプリケーションレイヤ110は、受信したSIP信号の種別と信号上の設定されているパラメータ内容、及び、アプリケーションレイヤ110自身が保持しているプログラム状態により、信号送信元のユーザ認証機能や、呼接続サービス等の各種サービスを提供する機能を担っている。アプリケーションレイヤ110は、信号振分け機能部111、サービスシナリオ機能部112、ユーザデータ管理部113、ユーザ認証機能部114を有している。
サービスシナリオ機能部112は、電話接続サービス、現在位置情報公開(プレゼンス)サービス、インスタントメッセージサービスなど、SIPによる各サービスを実現するサービスシナリオを複数備えており、信号振分け機能部111からサービスの開始を要求するSIP信号を受信すると、要求サービスに該当するサービスシナリオを生成し、それ以降は信号振分け機能部111から通知される受信SIP信号に応じて、対応するサービスシナリオの状態を変化させながら、SIP応答信号やSIP要求信号を信号振分け機能部111、トランザクションレイヤ120、トランスポートレイヤ130を経由してSIPユーザ端末に対して送信することにより、要求されたサービスをSIPユーザ端末400に対して提供する。
ユーザ認証機能部114は、ユーザ認証機能を備えており、信号振分け機能部111から入力されたSIP信号に設定されているパラメータを参照して、要求送信元ユーザの認証を実施する。尚、位置情報登録リクエスト(REGISTER信号)に対してユーザ認証を実施した場合は、ユーザ認証機能部114が認証実施結果をREGISTERリクエストの応答信号に設定し、信号振分け機能部111、トランザクションレイヤ120、トランスポートレイヤ130を経由してSIPユーザ端末400に対して送信する。又、サービス開始リクエスト(INVITE、MESSAGEリクエスト等)に対するユーザ認証を実施した場合は、認証実施結果が不成功(不認可)となった場合のみユーザ認証機能部114が、該当リクエストの認証が不成功であった旨の応答信号を送信し、認証実施結果が成功(認可)となった場合には、信号振分け機能部111からサービスシナリオ機能部112にサービス開始リクエスト信号が引き渡され、サービスシナリオの動作によってサービス開始のリクエストの応答信号が送信される。
ユーザデータ管理部113は、SIP交換機システム100に収容される全てのユーザのデータを管理する。ユーザデータとして、電話番号やユーザアカウントなどユーザを識別する情報、ユーザのユーザ契約情報及び、ユーザ認証にて使用される認証データ情報が管理される。ユーザデータ管理部113は、ユーザに対するサービスシナリオが実行されるときやユーザ認証が実施されるときに、該当ユーザに関する情報を、サービスシナリオ機能部112、ユーザ認証機能部114からの要求に応じて開示する。
信号振分け機能部111は、トランザクションレイヤ120とアプリケーションレイヤ110のインターフェースの機能を担っており、SIP信号送受信処理部111a、サービスシナリオ管理部111b、ユーザ認証実施要否判定処理部111dを有している。信号振分け機能部111は、トランザクションレイヤ120から引き渡されたSIP信号をアプリケーションレイヤ110内部において最初に受信する。そして、受信したSIP信号に対して、リクエスト種別や設定されているパラメータの確認を実施し、既に生成されているサービスシナリオに関連している信号であれば、サービスシナリオ機能部112に受信したSIP信号を通知し、ユーザ認証を必要とするリクエスト信号であれば、ユーザ認証機能部114に受信したSIP信号を通知する。
また、信号振分け機能部111は、サービスシナリオ機能部112とユーザ認証機能部114からの、SIPユーザ端末400に対する、SIP要求番号とSIP応答信号の送信要求を受け付けて、トランザクションレイヤ120に入力し、トランスポートレイヤ130を経由して、SIPユーザ端末400に通知する。さらに、信号振分け機能部111は、ユーザ認証機能部114におけるユーザ認証の実施結果を受け付けて、認証が成功(認可)すると、位置情報登録リクエスト(REGISTER信号)の場合には、ユーザデータ管理部113に対してユーザ位置登録を要求し、サービス開始リクエスト(INVITE、MESSAGE信号等)の場合には、サービスシナリオ機能部112に対して新規サービスシナリオ生成を要求する。尚、位置登録の要求及びサービスシナリオ生成の要求は、受信したSIP信号を通知することにより行われる。
SIP信号送受信処理部111aは、アプリケーションレイヤ110におけるトランザクションレイヤ120とのインターフェースとして、トランザクションレイヤ120からSIP信号を受信して、サービスシナリオ機能部112と、ユーザ認証機能部114へのSIP信号を振分ける機能と、サービスシナリオ機能部112やユーザ認証機能部114からの要求に応じて、トランザクションレイヤ120に対してSIP信号の送信を要求する機能等を担っている。
サービスシナリオ管理部111bは、サービスシナリオ機能部112で生成されたシナリオを管理する機能を担っており、生成シナリオ管理表111cを有している。
図3は、サービスシナリオ管理部111b及び生成シナリオ管理表111cの内部構造と、サービスシナリオ機能部112、SIP信号送受信処理部111aとの間で送受信される情報について示した図である。生成シナリオ管理表111cは、SIPユーザ端末400からの呼の識別番号を示すCall−IDヘッダの内容と、該当するCall−IDの呼に対応するサービスシナリオの論理番号の情報を有する表である。生成シナリオ管理表111cの各要素は、サービスシナリオ管理部111bに対してサービスシナリオ機能部112より、サービス開始時にサービスシナリオが生成された際に登録を要求し、表要素が追加され(S401)、サービス終了時にサービスシナリオを開放すると登録解除が要求され、表要素が削除される(S402)。また、SIP信号送受信処理部111aから、Call−IDをキーとして、対応するサービスシナリオが存在するかどうかの問い合わせ(S403、S405)があった際には、サービスシナリオ管理部111bは、生成シナリオ管理表111cの情報を検索し、結果として該当するシナリオの有無を回答する(S404、S406)。
図4は、ユーザ認証実施要否判定処理部111dの内部構造を示した図である。ユーザ認証実施要否判定処理部111dは、SIP信号送受信処理部111aから通知された受信SIP信号をユーザ認証実施要否判定要求として受け付けて、ユーザ認証の実施要否を判定する機能を担っており、ユーザ認証実施要否条件表111e、デフォルトアルゴリズム情報111fを有している。
図4では、ユーザ認証実施要否条件表111eと、デフォルトアルゴリズム情報111fの内容の例を示している。この実施形態では、「アルゴリズム1」、「アルゴリズム2」、「アルゴリズム3」の3つのユーザ認証アルゴリズムについて、ユーザ認証機能部114は対応しているものとし、SIPユーザ端末400はアルゴリズム1〜3のうち、少なくとも1つに対応しているものとする。
ユーザ認証実施要否条件表111eには、リクエスト種別(REGISTER、INVITE等)と、それぞれのリクエスト種別に対して認証アルゴリズム毎に「認証実施要」又は「認証実施不要」のフラグ情報が格納されている。デフォルトアルゴリズム情報111fには、ユーザ認証機能部114が対応しているユーザ認証アルゴリズム(アルゴリズム1〜3)のうちいずれかのアルゴリズムについて情報が格納される。
ユーザ認証実施要否判定処理部111dは、SIP信号送受信処理部111aからの受信SIP信号通知をユーザ認証実施要否判定要求として受け付けた際に、要求対象のSIP信号から、リクエスト種別と、その信号の認証ヘッダ(RFC3261に記載の「Authorization」ヘッダ)に設定されているアルゴリズムパラメータ(RFC3261に記載の「Algorithm」 パラメータ)の情報をアルゴリズム種別として取り出す。このとき、認証ヘッダが省略されるか、認証ヘッダ上のアルゴリズムパラメータが省略された場合は、デフォルトアルゴリズム情報111fに設定されている値をアルゴリズム種別として使用する。取り出したリクエスト種別とアルゴリズム種別を使用して、ユーザ認証実施要否条件表111eを検索することにより、ユーザ認証実施手段条件の設定値を得る。ユーザ認証実施要否条件が「認証実施要」であった場合には、ユーザ認証機能部114に、認証アルゴリズムの種別と共にSIP信号を通知し、ユーザ認証機能部114にてユーザ認証が実施される。ユーザ認証実施要否条件が「認証実施不要」であった場合には、ユーザ認証機能部114へは特に情報の通知はせず、ユーザ認証が成功(認可)したとみなして処理を継続する。
ユーザ認証機能部114において、ユーザ認証の結果が成功(認可)のとき、ユーザ認証実施要否判定処理部111dは、SIP信号が位置情報登録リクエスト(REGISTER信号)であれば、ユーザデータ管理部113にユーザの位置登録を要求し、SIP信号がサービス開始リクエスト(INVITE、MESSAGE信号など)であれば、サービスシナリオ機能部112に対してサービスシナリオの新規生成を要求する。
(A−2)第1の実施形態の動作
次に、以上のような機能的構成を有する第1の実施形態のSIP交換機システム100の動作を、図面を参照しながら説明する。
図5及び図6は、SIP交換機システム100のアプリケーションレイヤ110内部の信号振分け機能部111において、トランザクションレイヤ120からSIPリクエスト信号を受信し、ユーザ認証の手段を判定する処理について示したフローチャートである。
まず、SIPユーザ端末400からSIP交換機システム100にSIP信号が入力され、トランザクションレイヤ120を経由して、信号振分け機能部111のSIP信号送受信処理部111aへ入力される(S501)。尚、ここでは、SIP交換機システム100は、SIPユーザ端末400から位置情報登録リクエストとしてREGISTER信号を受信し、この信号には認証ヘッダが設定されていないものとする。
次に、SIP信号送受信処理部111aにおいて、受信したSIP信号のヘッダ情報からCall−IDが取得され、サービスシナリオ管理部111bに対して、取得したCall−IDの情報が入力される。これにより、このCall−IDに対応するサービスシナリオの有無の問い合わせがされる(S502)。
サービスシナリオの有無の問い合わせを受信すると、サービスシナリオ管理部111bは、受信したCall−IDをキーとして、生成シナリオ管理表111cを検索し、対応するサービスシナリオが存在する場合は対応シナリオが「有り」、存在しなければ「無し」として、問い合わせ結果がSIP信号送受信処理部111aへ回答される(S503)。
シナリオの有無について回答を受信すると、SIP信号送受信処理部111aは、回答の結果対応するシナリオが、「有り」か「無し」かの判定を行う(S504)。対応するシナリオが「有り」の場合には、受信したSIP信号をサービスシナリオ管理部111bに通知する(S509)。その後、通知したSIP信号は、サービスシナリオ機能部112に入力され、サービスシナリオ動作において使用される。
一方、対応するシナリオが「無し」の場合には、SIP信号送受信処理部111aは、ユーザ認証実施要否判定処理部111dに受信SIP信号を通知する。受信SIP信号の通知を受けると、ユーザ認証実施要否判定処理部111dは、ユーザ認証実施要否判定手順を開始し(S505)、まず、受信したSIP信号からリクエスト種別の情報を抽出する(S506)。尚、ここでは上述の通り、該当するSIP信号のリクエスト種別はREGISTERとなる。
次に、ユーザ認証実施要否判定処理部111dは、受信SIP信号に認証ヘッダが設定されているか判定を行う(S507)。
認証ヘッダが設定されていなかった場合には、アルゴリズム種別として、デフォルトアルゴリズム情報111fに示されたアルゴリズムをユーザ認証アルゴリズムとして決定する(S514)。一方、認証ヘッダが設定されていた場合には、ユーザ認証実施要否判定処理部111dは、認証ヘッダ内にアルゴリズムパラメータが設定されているかを更に判定する(S508)。アルゴリズムパラメータが設定されていなかった場合には、デフォルトアルゴリズム情報111fに示されたアルゴリズムをユーザ認証アルゴリズムとして決定する(S514)。アルゴリズムパラメータが設定されていた場合には、ユーザ認証実施要否判定処理部111dは、該当するアルゴリズムをユーザ認証アルゴリズムとして決定する(S510)。ここでは、上述の通り、受信したSIP信号に認証ヘッダは設定されていなかったものとするため、アルゴリズム種別は、デフォルトアルゴリズム情報111fに示されたアルゴリズムであるアルゴリズム1に決定される。
次に、ユーザ認証実施要否判定処理部111dは、ステップS506において取得したリクエスト種別と、ステップS510又はS514で決定したユーザ認証アルゴリズム種別を用いて、ユーザ認証実施要否条件表111eを参照し、対応するユーザ認証実施要否条件の設定値を取得する(S511)。ここで、設定値が「認証実施不要」であった場合には、ユーザ認証の実施が成功(認可)したものとみなす(S515)。一方、設定値が「認証実施要」であった場合には、ユーザ認証機能部114に受信SIP信号と、ステップS510又はS514で決定したユーザ認証アルゴリズム種別 を通知してユーザ認証の実施を要求する(S513)。
ここでは、受信SIP信号のリクエスト種別は「REGISTER」で、ユーザ認証のアルゴリズム種別は「アルゴリズム1」であるので、図4のユーザ認証実施要否条件表111eにより、設定値は「認証実施要」となる。よって、ユーザ認証実施要否判定処理部111dから、ユーザ認証機能部114へ受信SIP信号と、ユーザ認証種別が「アルゴリズム1」である旨が通知され、SIP交換機システム100とSIPユーザ端末400の間で認証が行われる。
(A−3)第1の実施形態の効果
第1の実施形態によれば、SIP交換機システム100に、ユーザ認証実施要否条件表111e、デフォルトアルゴリズム情報111fを設けて、SIPユーザ端末400からSIP信号を受信すると、リクエスト種別とアルゴリズム種別をキーに、ユーザ認証実施要否条件表111eの設定値を参照する。これにより、SIPユーザ端末400毎に対応している認証アルゴリズムの種別が異なり、複数の認証アルゴリズムが混在する環境であっても、SIP交換機システム100は、適切に認証アルゴリズムと認証実施要否を判断し、認証を行うことが可能となる。
(B)第2の実施形態
以下、本発明によるサービス提供装置、認証方法及び認証プログラムの第2の実施形態を、図面を参照しながら詳述する。
(B−1)第2の実施形態の構成
図7は、第2の実施形態のSIPシステムの全体構成を示すブロック図である。なお、上述した第1の実施形態における図1及び図2と同一、対応部分には、同一、対応符号を付して示している。第2の実施形態においては、SIP交換機システム100は、保守運用機能部115を備えることにより、ユーザ認証実施要否判定処理部111d内に記憶された情報(ユーザ認証実施要否条件表111e、デフォルトアルゴリズム情報111f)を更新する構成となっている。
以下、第2の実施形態の構成について、第1の実施形態と異なる内容について説明する。
第2の実施形態では、第1の実施形態のSIP交換機システム100に、保守運用機能部115が付加されている。尚、保守運用機能部115は、アプリケーションレイヤ110内に配置されている。保守運用機能部115は、SIP交換機システム100に対する、SIP交換機保守端末200からの要求信号に応じて、SIP交換機システム100の内部の情報変更や情報の回答を行う機能を担っている。
ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fに記憶された情報を変更する場合は、SIP交換機保守端末200からの要求信号を、まずは保守運用機能部115が受信し、保守運用機能部115から信号振分け機能部111のSIP信号送受信処理部111aを経由してユーザ認証実施要否判定処理部111dに情報を変更する信号が伝達され、その情報に基づいて変更が行われる。ユーザ認証実施要否判定処理部111dは、情報の変更直後より、変更された内容に基づいてユーザ認証実施要否の判定を行う。
(B−2)第2の実施形態の動作
次に、以上のような機能的構成を有する実施形態のSIP交換機システム100の動作を、図面を参照しながら説明する。
ここでは、ユーザがSIP交換機保守端末200に、ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fの情報を変更する信号を入力した場合の動作について説明する。
図8、図9、図10は、ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fの情報を変更する際に、SIP交換機保守端末200において、入力される情報の例である。
図8は、SIP交換機保守端末200に入力される設定のフォーマットを示している。又、図9は、図8に示すフォーマット内の各パラメータの設定内容と設定値の一覧を示している。以下、図8の設定フォーマットの内容について、図9のパラメータ一覧の内容に基づいて説明する。
図8の設定フォーマットの1行目は、request−numberパラメータとして、ユーザ認証実施要否条件表111eのうち、変更する情報の数を設定する。2行目以降は、request−methodパラメータ、algorithm1−conditionパラメータ、algorithm2−conditionパラメータを有する。request−methodパラメータは、ユーザ認証実施要否条件表111eにおける、受信SIP信号のリクエスト種別(REGISTER、INVITEなど)を設定する。algorithm1−conditionパラメータ、algorithm2−conditionパラメータは、それぞれアルゴリズム1、アルゴリズム2に対するユーザ認証実施の要否として、認証実施不要であれば「0」を、認証実施要であれば「1」を設定する。アルゴリズムが3種類以上サポートされる場合は各行の末尾にalgorithmN−conditionパラメータ(N=3、4……)を付与して、同様にユーザ認証実施の要否を設定する。最終行に対しては、default−algorithmパラメータとして、デフォルトアルゴリズム情報111fに設定するアルゴリズム種別を設定する。
図10は、この実施形態における変更要求情報の設定例であり、上述の図8のデータフォーマットに基づいて記載されているものである。以下、この設定例の内容について説明する。
1行目については、request−numberパラメータの内容として「2」が入力される。よって、ユーザ認証実施要否条件表111eのうち、2件の情報が変更されるものであり、2行目、3行目にその内容が入力されることになる。2行目については、request−methodパラメータの内容として「REGISTER」、algorithm1−conditionパラメータの内容として「0」、algorithm2−conditionパラメータの内容として「0」、algorithm3−conditionパラメータの内容として「0」が入力される。3行目については、request−methodパラメータの内容として「INVITE」、algorithm1−conditionパラメータの内容として「1」、algorithm2−conditionパラメータの内容として「1」、algorithm3−conditionパラメータの内容として「1」が入力される。4行目については、default−algorithmパラメータの内容として、「3」が入力される。
図11は、ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fの情報が、上述の図4に示す状態であったときに、SIP交換機保守端末200において、上述の図10に示す内容が入力されたときに、どのように遷移するか示した図である。
ユーザ認証実施要否条件表111eにおいては、リクエスト種別が「REGESTER」のアルゴリズム種別について、アルゴリズム1の情報は「認証実施要」から「認証実施不要」と更新され、アルゴリズム2の情報は「認証実施要」から「認証実施不要」と更新され、アルゴリズム3の情報は「認証実施不要」と変化はない。リクエスト種別が「INVITE」のアルゴリズム種別について、アルゴリズム1の情報は「認証実施要」と変化はなく、アルゴリズム2の情報は「認証実施不要」から「認証実施要」と更新され、アルゴリズム3の情報は「認証実施不要」と変化はない。又、デフォルトアルゴリズム情報111fについてはデフォルトアルゴリズムが「アルゴリズム1」から「アルゴリズム3」に更新される。
(B−3)第2の実施形態の効果
第2の実施形態によれば、第1の実施形態と同様な効果だけでなく、以下のような効果も奏することが可能となる。
SIP交換機システム100のアプリケーションレイヤ110において、保守運用機能部115を設け、SIP交換機保守端末200からの制御信号に基づいて、ユーザ認証実施要否条件表111e及びデフォルトアルゴリズム情報111fの2つの情報の更新を行うことにより、SIP交換機システム100のシステムを停止させることなく、ユーザ認証の条件の変更を行うことが可能となる。
(C)他の実施形態
(C−1)上記各実施形態においては、SIP交換機システム100内に、ユーザ認証実施要否判定処理部111d備えて認証手段及び認証実施要否の選択をする構成となっているが、同様の構成をユーザ端末対してサービスを提供する他のサービス提供装置に適用しても良い。他のサービス提供装置としては、例えば、HTTP(Hyper Text Transfer Protocol)で通信を行うサーバ、RADIUS(Remote Authentication Dial In User Service)サーバ、各種サービスのプロキシサーバなどが挙げられる。
(C−2)上記各実施形態においては、ユーザ認証実施要否判定処理部111dはSIP交換機システム100内に有する構成となっているが、ユーザ認証実施要否判定処理部111dが担っている機能について、単独の装置、例えば、「ユーザ認証実施要否判定処理装置」としてSIP交換機システム100の外部に配置し、IPネットワーク300を経由してSIP交換機システム100と接続する構成としても良い。このとき、ユーザ認証の認証手段及び認証実施要否について、SIP交換機システム100から上記のユーザ認証実施要否判定処理装置へ、リクエスト種別やアルゴリズムパラメータ等の必要な情報と共に問い合わせ、その回答をSIP交換機システム100が受信する構成となる。
(C−3)上記各実施形態においては、ユーザ認証実施要否判定処理部111dにおいて、SIPユーザ端末400が対応しているアルゴリズム種別を判定するために、RFC3261に基づいてAuthorizationヘッダのAlgorithmパラメータの情報を参照しているが、各SIPユーザ端末400の対応しているアルゴリズムの種別に関する情報が得られれば、他の情報を参照しても良いし、新たに同様の情報を有するパラメータを配置しても良い。
第1の実施形態のSIP交換機システムの全体構成を示すブロック図である。 第1の実施形態のSIP通信システムの全体を示す説明図である。 第1の実施形態のサービスシナリオ管理部の内部構造を示す説明図である。 第1の実施形態のユーザ認証実施要否判定処理部の内部構造を示す説明図である。 第1の実施形態のユーザ認証手段及び実施要否の判断の動作を示すフローチャートの前半部分を示す図である。 第1の実施形態のユーザ認証手段及び実施要否の判断の動作を示すフローチャートの後半部分を示す図である。 第2の実施形態のSIP交換機システム及びSIP交換機保守端末の構成を示すブロック図である。 第2の実施形態のSIP交換機保守端末に入力するデータのフォーマットを示す説明図である。 第2の実施形態のSIP交換機保守端末に入力するデータについて、各パラメータの内容について示す説明図である。 第2の実施形態のSIP交換機保守端末に入力するデータの例を示す図である。 第2の実施形態のユーザ認証実施要否条件表及びデフォルトアルゴリズム情報の更新状況について示す説明図である。
符号の説明
100…SIP交換機システム、110…アプリケーションレイヤ、111…信号振分け機能部、111a…SIP信号送受信処理部、111b…サービスシナリオ管理部、111c…生成シナリオ管理表、111d…ユーザ認証実施要否判定処理部、111e…ユーザ認証実施要否条件表、111f…デフォルトアルゴリズム情報、112…サービスシナリオ機能部、113…ユーザデータ管理部、114…ユーザ認証機能部、400…SIPユーザ端末。

Claims (5)

  1. 端末から受信した信号の種別毎に、認証の要否の情報を、認証アルゴリズムの種類毎に格納した認証実施要否条件情報記憶手段、
    上記端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類を判定する認証アルゴリズム判定手段、
    上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得する信号種別情報取得手段、
    上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記端末から受信した信号について、認証の要否を判定する認証要否判定手段、及び、
    上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類の認証アルゴリズムを使用して、上記端末からの通信について認証を行う認証手段
    を有することを特徴とするサービス提供装置。
  2. 上記認証アルゴリズム判定手段は、端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類の判定ができない場合には、上記端末が、所定の種類のアルゴリズムを採用していると判定することを特徴とする請求項1に記載のサービス提供装置。
  3. 上記認証実施要否条件情報記憶手段の情報を更新する認証実施要否条件更新手段を有することを特徴とする請求項1又は2に記載のサービス提供装置。
  4. 端末にサービスを提供するサービス提供装置が行う認証方法において、
    認証実施要否条件情報記憶手段、認証アルゴリズム判定手段、信号種別情報取得手段、認証要否判定手段、及び、認証手段を備え、
    上記認証実施要否条件情報記憶手段は、上記サービス提供装置が上記端末から受信する信号の種別毎に認証の要否の情報を認証アルゴリズムの種類毎に格納し、
    上記認証アルゴリズム判定手段は、上記サービス提供装置が、上記端末から受信した信号から、上記端末が採用している認証アルゴリズムの種類を判定し、
    上記信号種別情報取得手段は、上記サービス提供装置が、上記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得し、
    上記認証要否判定手段は、上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記サービス提供装置が上記端末から受信した信号について、認証の要否を判定し、
    上記認証手段は、上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類のアルゴリズムを使用して、上記端末からの通信について認証を行う
    ことを特徴とする認証方法。
  5. 端末にサービスを提供するサービス提供装置に設けられているコンピュータを、
    上記端末から受信する信号の種別毎に認証の要否の情報を、認証アルゴリズムの種類毎に格納した認証実施要否条件情報記憶手段
    上記端末から受信した信号に基づいて、上記端末が採用している認証アルゴリズムの種類の判定をする認証アルゴリズム判定手段
    記端末から受信した信号から、上記端末が送信した信号の種別に関する情報を取得する信号種別情報取得手段、
    上記認証アルゴリズム判定手段により判定した認証アルゴリズムの種類、及び、上記信号種別情報取得手段により取得した情報に基づいて、上記認証実施要否条件情報記憶手段の情報を参照し、上記端末から受信した信号について、認証の要否を判定する認証要否判定手段、及び、
    上記認証要否判定手段により、認証必要と判定された場合には、上記認証アルゴリズム判定手段により判定された種類のアルゴリズムを使用して、上記端末からの通信について認証を行う認証手段
    として機能させることを特徴とする認証プログラム。
JP2006340359A 2006-12-18 2006-12-18 サービス提供装置、認証方法及び認証プログラム Active JP5028995B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006340359A JP5028995B2 (ja) 2006-12-18 2006-12-18 サービス提供装置、認証方法及び認証プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006340359A JP5028995B2 (ja) 2006-12-18 2006-12-18 サービス提供装置、認証方法及び認証プログラム

Publications (2)

Publication Number Publication Date
JP2008152570A JP2008152570A (ja) 2008-07-03
JP5028995B2 true JP5028995B2 (ja) 2012-09-19

Family

ID=39654670

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006340359A Active JP5028995B2 (ja) 2006-12-18 2006-12-18 サービス提供装置、認証方法及び認証プログラム

Country Status (1)

Country Link
JP (1) JP5028995B2 (ja)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1886928B (zh) * 2003-12-26 2010-04-28 三菱电机株式会社 被认证装置、认证装置以及认证方法
JP4608371B2 (ja) * 2005-06-02 2011-01-12 株式会社日立製作所 Sipサービス変換装置、およびその方法

Also Published As

Publication number Publication date
JP2008152570A (ja) 2008-07-03

Similar Documents

Publication Publication Date Title
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
JP4477494B2 (ja) インターネットプロトコル(voip)通信において音声のデジタル証明書を登録し自動的に検索する方法およびシステム
US9648006B2 (en) System and method for communicating with a client application
US10986501B2 (en) Secure telephone identity (STI) certificate management system
US8422650B2 (en) Authentication in communication systems
US8358646B2 (en) Temporary connection number management system, terminal, temporary connection number management method, and temporary connection number management program
JP5470402B2 (ja) 移動通信ネットワークにおけるチャット/VoIPサービスの提供方法並びにネットワークサーバ及び移動ユーザ装置
CN101485173A (zh) 远程更新存在服务器上的用户状态
CN1937624A (zh) 验证会话启动协议信号传送的加密的方法和设备
CN101296267A (zh) 电话系统和通信终端
US8964633B2 (en) Method, apparatus, and computer program product for authenticating subscriber communications at a network server
JP5180048B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
US20090300197A1 (en) Internet Protocol Communication System, Server Unit, Terminal Device, and Authentication Method
JPWO2010044471A1 (ja) サービス提供システムおよびサービス提供方法
JP2006295673A (ja) 通話システム、代理ダイヤルサーバ装置及びそれらに用いる代理ダイヤル方法並びにそのプログラム
CN101616223B (zh) 在软件应用程序中实施分布式语音功能的方法
JP5051656B2 (ja) 通信制御システムおよび通信制御方法
GB2432278A (en) Transmitting MAC address during SIP registration
EP2071806B1 (en) Receiving/transmitting agent method of session initiation protocol message and corresponding processor
JP4768761B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
JP4950095B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
JP4778282B2 (ja) 通信接続方法及びシステム並びにプログラム
JP5028995B2 (ja) サービス提供装置、認証方法及び認証プログラム
JP2016149652A (ja) 呼制御サーバ、端末登録方法、端末登録プログラム、及び通信システム
CN1913432B (zh) 卡号业务使用sip鉴权的方法和系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120307

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120313

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120529

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120611

R150 Certificate of patent or registration of utility model

Ref document number: 5028995

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150706

Year of fee payment: 3