アプリケーションサービスシステム、サーバシステム、セッション管理方法、及びプログラム
【課題】 SIPセッションを伴うアプリケーションサービスシステムにおいて、APサーバへの不正なアクセスを防ぎ、セキュリティレベルを向上させる。
【解決手段】 クライアント100がSIPセッション確立要求を送信すると、回線認証システム300が、回線識別子をもとにSIP認証情報の正当性を確認し、サーバシステム200に転送する。サーバシステム200のセッション管理サーバ210は、SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、SIP認証情報に対応するサービス認証情報の取得を行う。クライアント100がサービスセッション確立要求を送信すると、APサーバ220は、サービスセッション情報とサービス認証情報を用いてユーザ認証を行う。
【解決手段】 クライアント100がSIPセッション確立要求を送信すると、回線認証システム300が、回線識別子をもとにSIP認証情報の正当性を確認し、サーバシステム200に転送する。サーバシステム200のセッション管理サーバ210は、SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、SIP認証情報に対応するサービス認証情報の取得を行う。クライアント100がサービスセッション確立要求を送信すると、APサーバ220は、サービスセッション情報とサービス認証情報を用いてユーザ認証を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はアプリケーションサーバによりサービスを提供する、アプリケーションサービスシステム、サーバシステム、セッション管理方法、及びプログラムに関する。
【背景技術】
【0002】
アプリケーションサーバ(以後APサーバとする)がクライアントにサービスを提供するシステムにおいて、クライアントとAPサーバ間でSIP(Session Initiation Protocol)を使い、SIPセッションを事前に確立することにより、APサーバ利用時の認証を行う方法がある。
【0003】
例えば、特許文献1には、クライアントとAPサーバ間に中継サーバを設置し、クライアント−中継サーバ間、中継サーバ−APサーバ間にSIPセッションを確立し、中継サーバにおいてユーザ認証を行う方法が開示されている。
【0004】
また、関連技術として、端末装置がSIPによりセッション制御サブシステムに帯域確保を依頼し、セッション制御サブシステムがSIPによりコンテンツ制御サブシステムにセッション開始を要求することにより、帯域確保を行う方法が特許文献2に開示されている。
【0005】
また、他の関連技術として、コンテンツ提供サービスにおいて、端末の現在接続数と最大同時接続数により、接続可否を判断する方法が特許文献3に開示されている。
【0006】
【特許文献1】特開2005−73236号公報
【特許文献2】特開2005−12655号公報
【特許文献3】特開2004−240641号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した特許文献1においては、中継サーバがクライアントから受信したSIPメッセージ中の認証情報を基にユーザ認証を行うが、正規ユーザ以外が正規ユーザの認証情報を使い(なりすまし)、不正にAPサーバにアクセスする可能性があった。
【0008】
(発明の目的)
本発明の目的は、上述した課題である、SIPセッションを伴うアプリケーションサービスシステムにおいて、不正なユーザによるなりすましにより、APサーバへの不正なアクセスが行われる可能性があるという問題を解決した、アプリケーションサービスシステム、サーバシステム、セッション管理方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明のアプリケーションサービスシステムは、クライアント、回線認証システム、及びサーバシステムを含むアプリケーションサービスシステムであって、前記クライアントは、回線を経由してSIPセッション確立要求を前記回線認証システムに送信する手段と、SIPセッション確立後、前記回線を経由してサービスセッション確立要求を前記サーバシステムに送信する手段を備え、前記回線認証システムは、前記SIPセッション確立要求を受信した前記回線の回線識別子をもとに前記SIPセッション確立要求に含まれるSIP認証情報の正当性を確認し、前記SIPセッション確立要求を前記サーバシステムに転送する手段を備え、前記サーバシステムは、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得を行うセッション制御手段と、前記サービスセッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてユーザ認証を行うAPサーバと、を備えたことを特徴とする。
【0010】
本発明のサーバシステムは、正当性が確認されたSIP認証情報を含むSIPセッション確立要求を受信した際、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得を行うセッション制御手段と、セッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてユーザ認証を行うAPサーバと、を備えたことを特徴とする。
【0011】
本発明のサービス提供方法は、クライアントが、回線を経由してSIPセッション確立要求を回線認証システムに送信するSIPセッション確立要求送信ステップと、前記回線認証システムが、前記SIPセッション確立要求を受信した前記回線の回線識別子をもとに前記SIPセッション確立要求に含まれるSIP認証情報の正当性を確認し、前記SIPセッション確立要求をサーバシステムに転送する回線認証ステップと、前記サーバシステムが、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成を行うセッション情報生成ステップと、前記SIP認証情報に対応するサービス認証情報の取得を行うサービス認証情報取得ステップと、前記クライアントが、SIPセッション確立後、前記回線を経由してサービスセッション確立要求を前記サーバシステムに送信するサービスセッション確立要求送信ステップと、サーバシステムが、前記サービスセッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてAPサーバのユーザ認証を行うユーザ認証ステップと、を含むことを特徴とする。
【0012】
本発明のプログラムは、セッション管理サーバ用コンピュータを、正当性が確認されたSIP認証情報を含むSIPセッション確立要求を受信した際、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得と、前記サービスセッション情報と前記サービス認証情報のAPサーバへの通知とを行うセッション制御手段として機能させることを特徴とする。
【発明の効果】
【0013】
本発明の効果は、アプリケーションサービスシステムにおいて、APサーバへの不正なアクセスを防ぎ、セキュリティレベルを向上させることができることである。
【発明を実施するための最良の形態】
【0014】
(第一の実施の形態)
次に、本発明の第一の実施の形態について図面を参照して詳細に説明する。
【0015】
本発明の第一の実施の形態においては、SIPセッションの制御、アプリケーションサービスの提供は、IPプロトコルを用いた通信により行われるものとする。また、SIP認証情報として、ユーザ側クライアントが付与するSIP−URI(Uniform Resource Identifier)が用いられるものとする。また、例として、アプリケーションサービスのセッション(以下、サービスセッションとする)は、HTTP(Hypertext Transfer Protocol)を用いたHTTPセッションである場合について説明する。
【0016】
図1は、本発明の第一の実施の形態の構成図である。図1を参照すると、本発明の第一の実施の形態におけるアプリケーションサービスシステムは、クライアント100、サーバシステム200、及び回線認証システム300により構成される。クライアント100と回線認証システム300は、回線400により接続される。回線認証システム300は、例えば、通信事業者やネットワークプロバイダ等のネットワークサービス提供者に所有され、SIPを利用して各種通信サービスを提供するネットワーク(例えば、次世代ネットワーク)上に設置される。回線400は、回線識別子により識別される。回線400は、回線識別子によりユーザが特定できるものであれば、加入者線などの物理的な回線や、物理回線に収容される論理的な回線でもよい。
【0017】
クライアント100は、プログラム制御によって動作する情報処理装置であり、Webブラウザ等のアプリケーションにより、後述するAPサーバ220を利用する。また、クライアント100は、サービスセッションを開始する前に、サーバシステム200にSIPセッション確立要求を送信する。
【0018】
サーバシステム200は、セッション管理サーバ210、及びAPサーバ220より構成される。セッション管理サーバ210は、SIPセッション確立要求の受付制御を行う。APサーバ220は、WebサイトやWebアプリケーションによるサービスを提供する。セッション管理サーバ210とAPサーバ220は、プログラム制御によって動作する情報処理装置であり、それぞれが独立した装置であってもよいし、1つの装置として構成されていてもよい。
【0019】
回線認証システム300は、プログラム制御によって動作する情報処理装置であり、回線識別子をもとにSIP認証情報の正当性の確認を行う。
【0020】
クライアント100−サーバシステム200間の通信は、回線400を経由して行われるものとする。また、クライアント100−サーバシステム200間の通信のうち、SIPメッセージは回線認証システム300を経由し、SIPメッセージ以外の、APサーバ220との通信(サービスセッション)は、回線認証システム300を経由せずに行われるものとする。
【0021】
次に、本発明の第一の実施の形態の動作について図面を参照して説明する。
【0022】
クライアント100は、サービスセッションの確立に先立ち、クライアント100−サーバシステム200間にSIPセッションを確立し、サービスセッションの開始を要求する。SIPセッションが確立した場合、クライアント100は、サービスセッションの開始が許可されたものとして、サービスセッションの確立要求を行い、APサーバ220のアプリケーションに関する一連のトランザクションを実行する。トランザクションの実行が終了し、サービスセッションが終了すると、サーバシステム200は、クライアント100−サーバシステム200間のSIPセッションを切断する。
【0023】
(サービスセッションの確立)
はじめに、サービスセッションの確立に関する動作、即ち、クライアント100がサーバシステム200にSIPセッションの確立を要求し、その後、クライアント100がサーバシステム200にサービスセッションの確立を要求する動作について説明する。
【0024】
図2は、本発明の第一の実施の形態におけるサービスセッション確立の動作を示すシーケンス図、図3は、セッション管理サーバ210における処理フローである。
【0025】
クライアント100は、Webブラウザ等のアプリケーションにおいて、APサーバ220へのアクセス要求が発生すると、回線400を経由して、サーバシステム200に、SIPセッション確立要求を送信する(ステップS101)。当該SIPセッション確立要求には、送信元であるクライアント100のSIP−URI、サービスセッションのプロトコル種別(例えば、HTTP)が含まれている。
【0026】
回線認証システム300は、回線400を経由してSIPセッション確立要求を受信すると、SIP−URIの正当性の確認を行う(ステップS102)。回線認証システム300には、図6に示すように、回線識別子と当該回線識別子の回線400に接続されたクライアント100が使用するSIP−URIが関連付けられ、回線認証DB(データベース)301に予め保存されているものとする。回線認証システム300は、セッション確立要求を受信した回線400の回線識別子と、当該SIPセッション確立要求に含まれるSIP−URIの組み合わせが、回線認証DB301に存在するかどうかを検索し、存在していた場合、当該SIP−URIは正しいものとする。回線認証システム300は、SIP−URIが正しい場合、当該SIPセッション確立要求をサーバシステム200に転送する(ステップS103)。
【0027】
サーバシステム200は、SIPセッション確立要求を受信すると(ステップA101)、セッション管理サーバ210が、当該SIPセッション確立要求から送信元(クライアント100)のIPアドレス、プロトコル種別、及びSIP−URIを抽出する(ステップS104、A102)。セッション管理サーバ210のメンバー管理DB211には、図7に示すように、ユーザのSIP−URIと、当該ユーザがAPサーバ220へアクセスする場合に使用するサービス認証情報(アカウントとパスワード)が関連付けられて予め保存されているものとする。セッション管理サーバ210は、当該SIP−URIがメンバー管理DB211に存在するかどうかを検索する(ステップA103)。セッション管理サーバ210は、当該SIP−URIがメンバー管理DB211に存在しない場合(ステップA104/N)、SIP−URIによる認証失敗とし、クライアント100にアクセス拒否応答を送信する(ステップA111)。セッション管理サーバ210は、メンバー管理DB211に当該SIP−URIが存在する場合(ステップA104/Y)、SIP−URIによる認証成功とし、当該SIP−URIに対するメンバーID、サービス認証情報を取得する(ステップS105,A105)。セッション管理サーバ210は、SIPセッション確立要求の送信元IPアドレスとポート番号(SIPセッション確立要求から抽出されたプロトコル種別に対応するポート番号)の組み合わせを、サービスセッションを識別するためのサービスセッション情報とする(ステップA106)。セッション管理サーバ210は、APサーバ220に、メンバーID、サービスセッション情報(IPアドレス、ポート番号)、及びサービス認証情報(アカウント、パスワード)を含むトランザクション許可通知を送信する(ステップS106、A107)。
【0028】
APサーバ220は、トランザクション許可通知により受信したメンバーID、サービスセッション情報、及びサービス認証情報を、図9に示すような、サービス認証情報テーブル221に保存する(ステップS107)。
【0029】
セッション管理サーバ210は、クライアント100にサービスセッションの開始の許可として、SIPセッション確立応答(OK応答)を送信する(ステップS108、A108)。
【0030】
クライアント100は、OK応答を受信した場合、受信確認のACK応答をサーバシステム200に送信する(ステップS109)。
【0031】
セッション管理サーバ210は、クライアント100からACK応答を受信すると(ステップA109)、セッション確立時刻、サービスセッション情報、メンバーID、及びSIP−URIを図8のようなセッション管理テーブル212に保存する(ステップS109、A110)。
【0032】
次に、クライアント100は、SIPセッションの確立により、サービスセッションの開始(トランザクションの実行)が許可されたものとして、HTTPセッション確立要求をサーバシステム200に送信する(ステップS111)。当該HTTPセッション確立要求には、サービスセッションのプロトコル種別(例えば、HTTP)に対応する宛先ポート番号が含まれている。
【0033】
サーバシステム200のAPサーバ220は、HTTPセッション確立要求を受信すると、当該HTTPセッション確立要求から、送信元(クライアント100)のIPアドレスと宛先ポート番号を抽出する。APサーバ220は、サービス認証情報テーブル221を参照し、当該送信元IPアドレス、宛先ポート番号の組み合わせと同じサービスセッション情報を検索し、サービス認証情報(アカウント、パスワード)を取得する(ステップS112)。APサーバ220は、取得したアカウント、パスワードによりアプリケーションサービスのユーザ認証を行い(ステップS113)、認証結果が正常であった場合、クライアント100にHTTPセッション確立応答を送信する(ステップS114)。
【0034】
クライアント100とAPサーバ220は、要求されたHTTPセッションの通信を開始する(ステップS115)。
【0035】
(サービスセッションの切断)
次に、サービスセッションの切断に関する動作、即ち、クライアント100−サーバシステム200間で、サービスセッションを確立している状態から、サービスセッション、SIPセッションを切断する動作について説明する。
【0036】
図4は、本発明の第一の実施の形態におけるサービスセッション切断の動作を示すシーケンス図、図5は、セッション管理サーバ210における処理フローである。
【0037】
クライアント100−APサーバ220間でデータ通信中(ステップS201)、サービス終了またはログアウト等が行われた場合(ステップS202)、APサーバ220は、クライアント100にHTTPセッション終了要求を送信する(ステップS203)。
【0038】
クライアント100は、APサーバ220に、HTTP ACKを送信し、HTTPセッションを終了する(ステップS204)。
【0039】
APサーバ220は、HTTPセッションの終了後、サービス認証情報テーブル221から当該サービスセッションに関する情報を削除する(ステップS205)。APサーバ220は、トランザクション終了通知をセッション管理サーバ210に送信する(ステップS206)。セッション管理サーバ210は、トランザクション終了通知を受信すると(ステップA201)、クライアント100にSIPセッション切断要求を送信する(ステップS207、A202)。
【0040】
クライアント100は、SIPセッション切断要求を受信すると、サーバシステム200へACK応答を送信する(ステップS208)。
【0041】
セッション管理サーバ210は、ACK応答を受信すると(ステップA203)、セッション管理テーブル212から、当該SIPセッションに関する情報を削除する(ステップS209、A204)。
【0042】
以上により、本発明の第一の実施の形態における動作が完了する。
【0043】
なお、本発明の第一の実施の形態では、メンバー管理DB211として、ユーザのSIP−URIとサービス認証情報が1対1で対応している例(図7)を示したが、複数のSIP−URIに対して、1つのサービス認証情報が対応するようにしてもよい。これにより、例えば、ユーザが複数の回線400(例えば、オフィスと自宅)を使用する場合であっても、メンバー管理DB211上で、各回線400のSIP−URIに、同一のサービス認証情報を対応させることにより、どの回線400からもAPサーバ220への認証が可能となる。
【0044】
本発明の第一の実施の形態によれば、アプリケーションサービスシステムにおいて、APサーバへの不正なアクセスを防ぎ、セキュリティレベルを向上させることができる。その理由は、回線認証システム300が回線識別子をもとにSIP認証情報の正当性を確認し、サーバシステム200がSIP認証情報に対応するサービス認証情報を用いてAPサーバ220のユーザ認証を行うため、なりすましによる不正アクセスを防げるためである。
【0045】
また、本発明の第一の実施の形態によれば、アプリケーションサービスシステムにおいて、高いセキュリティレベルを保ちつつ、ユーザによるAPサーバへのログイン時の認証を簡略化できる。その理由は、回線認証システム300がSIP認証情報の正当性を確認し、サーバシステム200がSIP認証情報に対応するサービス認証情報を検索し、当該サービス認証情報を用いてAPサーバ220のユーザ認証を行うため、ユーザによる認証情報の入力が不要なためである。
【0046】
また、本発明の第一の実施の形態によれば、アプリケーションサービスシステムにおいて、既存のAPサーバのサービス認証情報(アカウント、パスワード)はそのままで、複数の回線における回線認証とAPサーバのユーザ認証を連携することができる。その理由は、サーバシステム200のメンバー管理DB211において、SIP−URIが異なる複数の回線400に対して同一のサービス認証情報を対応させることにより、どの回線400からも、同じサービス認証情報で、APサーバ220におけるユーザ認証が行えるためである。
【0047】
(第二の実施の形態)
次に、本発明の第二の実施の形態について図面を参照して詳細に説明する。
【0048】
本発明の第二の実施の形態においては、サーバシステム200において、サービスセッションに対するアクセス制御と帯域制御を行う点において、本発明の第一の実施の形態と異なる。なお、本発明の第二の実施の形態において、第一の実施の形態と同一の符号を有する構成要素については、特に説明の無い限り、第一の実施の形態と同一であるものとする。
【0049】
図10は、本発明の第二の実施の形態の構成図である。図10を参照すると、本発明の第二の実施の形態におけるアプリケーションサービスシステムは、クライアント100、サーバシステム200、及び回線認証システム300により構成される。回線認証システム300は、ネットワーク500上に設置される。ネットワーク500は、例えば、通信事業者やネットワークプロバイダ等のネットワークサービス提供者に所有され、SIPを利用して各種通信サービスを提供するネットワーク(例えば、次世代ネットワーク)である。
【0050】
クライアント100は、Webブラウザ等のクライアントアプリケーション(以下、クライアントAPとする)110、及びSIP終端部120より構成される。
【0051】
サーバシステム200は、セッション管理サーバ210、APサーバ220、及びアプリケーションスイッチ(以下、APスイッチとする)230より構成される。
【0052】
セッション管理サーバ210は、メンバー管理DB211、セッション管理テーブル212、セッション制御部213、SIP終端部214、セッション数管理情報215、帯域管理情報216、及びサーバ負荷管理情報217より構成される。ここで、セッション制御部213は、サーバシステム200内のセッション状態、APサーバ220の状態を監視制御する。セッション数管理情報215は、図16に示すように、現在確立しているサービスセッション数と最大許容セッション数を記憶管理する。帯域管理情報216は、図17に示すように、使用帯域(現在確立している各サービスセッションに確保されている帯域の総和)と最大許容帯域を、パケットの方向(上り(ネットワーク500からの受信)/下り(ネットワーク500への送信))別に記憶管理する。サーバ負荷管理情報217は、図18に示すように、現在のWebサーバ222のサーバ負荷と最大許容負荷を記憶管理する。ここでは、例として、Webサーバ222の負荷として、CPU使用利用率を用いているが、メモリ使用率等、他の負荷指標を用いてもよい。なお、セッション制御部213は、定期的に、APサーバ220のサーバ負荷監視部224から、サーバの負荷状態(CPU使用利用率)を取得し、サーバ負荷管理情報217内の”サーバ負荷”を更新しているものとする。
【0053】
APサーバ220は、サービス認証情報テーブル221、Webサーバ222、プロセス管理部223、及びサーバ負荷監視部224より構成される。ここで、Webサーバ222は、WebサイトやWebアプリケーションを提供する。プロセス管理部223は、Webサーバ222上でのトランザクションの状態を管理する。サーバ負荷監視部224は、Webサーバ222の負荷状態を監視する。
【0054】
APスイッチ230は、スイッチ管理部231、アクセス制御部232、及び帯域制御部233より構成される。ここで、スイッチ管理部231は、アクセス制御部232と帯域制御部233の制御管理を行う。アクセス制御部232は、ネットワーク500側からのパケットのフィルタリングを行う。帯域制御部233は、サービスセッションのパケットについて、帯域制御を行う。
【0055】
APスイッチ230はプログラム制御によって動作する情報処理装置でもよい。また、セッション管理サーバ210、APサーバ220、及びAPスイッチ230は、それぞれが独立した装置であってもよいし、いくつかを1つの装置として構成してもよい。
【0056】
回線認証システム300は、回線認証DB301、及び回線認証制御部302より構成される。
【0057】
次に、本発明の第二の実施の形態の動作について図面を参照して説明する。
【0058】
(サービスセッションの確立)
はじめに、サービスセッションの確立に関する動作について説明する。
【0059】
図11は、本発明の第二の実施の形態におけるサービスセッション確立の動作を示すシーケンス図、図12は、セッション管理サーバ210における処理フローである。
【0060】
クライアント100のクライアントAP110は、APサーバ220へのアクセス要求が発生すると、SIP終端部120に対し、アクセス要求を送信する(ステップS301)。SIP終端部120は、回線400を経由して、サーバシステム200に、SIPセッション確立要求を送信する(ステップS302)。当該SIPセッション確立要求には、送信元であるクライアント100のSIP−URI、要求するサービスセッションのプロトコル種別、及び要求する帯域(上り/下り)が含まれている。
【0061】
回線認証システム300の回線認証制御部302は、回線400を経由してSIPセッション確立要求を受信すると(ステップA301)、回線認証DB301を用いて、SIP−URIの正当性の確認を行う(ステップS303)。回線認証システム300は、SIP−URIが正しい場合、当該SIPセッション確立要求をサーバシステム200に転送する(ステップS304)。
【0062】
サーバシステム200のSIP終端部214は、SIPセッション確立要求を受信すると、当該SIPセッション確立要求をセッション制御部213に転送する(ステップS305)。セッション制御部213は、当該SIPセッション確立要求から送信元(クライアント100)のIPアドレス、プロトコル種別、帯域、及びSIP−URIを抽出する(ステップS306、A302)。セッション制御部213は、当該SIP−URIがメンバー管理DB211に存在するかどうかを検索する(ステップA303)。セッション制御部213は、当該SIP−URIがメンバー管理DB211に存在しない場合(ステップA304/N)、SIP−URIによる認証失敗とし、クライアント100にアクセス拒否応答を送信する(ステップA317)。セッション制御部213は、メンバー管理DB211に当該SIP−URIが存在する場合(ステップA304/Y)、SIP−URIによる認証成功とし、当該SIP−URIに対するメンバーID、サービス認証情報を取得する(ステップS307、A305)。セッション制御部213は、SIPセッション確立要求の送信元IPアドレスとポート番号(SIPセッション確立要求から抽出されたプロトコル種別に対応するポート番号)の組み合わせを、サービスセッションを識別するためのサービスセッション情報とする(ステップA306)。
【0063】
セッション制御部213は、セッション数管理情報215を参照し、サービスセッション数が最大許容セッション数未満かどうかを確認する(ステップA307)。セッション制御部213は、サービスセッション数が最大許容セッション数未満であれば(ステップA307/Y)、帯域管理情報216を参照し、当該SIPセッション確立要求で要求された帯域を確保可能かどうかを、上り/下りの両方向について確認する(ステップA308)。即ち、セッション制御部213は、要求された帯域を使用帯域に加算しても、最大許容帯域を越えないかどうかを上り/下りの両方向について確認する。セッション制御部213は、要求された帯域を確保可能な場合(ステップA308/Y)、サーバ負荷管理情報217を参照し、サーバ負荷が最大許容負荷以下かどうかを確認する(ステップA309)。セッション制御部213は、サーバ負荷が最大許容負荷以下である場合(ステップA309/Y)、セッション数管理情報215のサービスセッション数に1を加算、帯域管理情報216の使用帯域に要求された帯域を加算し、更新する(ステップS308、A310)。なお、セッション制御部213は、サービスセッション数が最大許容セッション数未満、帯域を確保可能、サーバ負荷が最大許容負荷以下、のいずれかを満たさない場合(ステップA307/N、A308/N、A309/N)、クライアント100にアクセス拒否応答を送信する(ステップA317)。
【0064】
セッション制御部213は、APサーバ220に、メンバーID、サービスセッション情報、及びサービス認証情報(アカウント、パスワード)を含むトランザクション許可通知を送信する(ステップS309、A311)。
【0065】
APサーバ220のプロセス管理部223は、トランザクション許可通知により受信したメンバーID、サービスセッション情報、及びサービス認証情報を、サービス認証情報テーブル221に保存する(ステップS310)。
【0066】
セッション制御部213は、APスイッチ230に、サービスセッション情報(IPアドレス、ポート番号)、及び帯域(上り/下り)を含むセッション制御開始要求を送信する(ステップS311、A312)。
【0067】
APスイッチ230のスイッチ管理部231は、セッション制御開始要求を受信すると、アクセス制御部232に、サービスセッション情報(IPアドレス、ポート番号)を含むアクセス要求を送信する(ステップS312)。また、スイッチ管理部231は、帯域制御部233に対し、サービスセッション情報(IPアドレス、ポート番号)と帯域(上り/下り)を含む帯域制御要求を送信する(ステップS314)。
【0068】
アクセス制御部232は、アクセス要求を受信すると、サービスセッション情報にもとづき、ネットワーク500側からのIPパケットをフィルタリングする。即ち、アクセス制御部232は、サービスセッション情報で指定されたIPアドレスとポート番号を送信元IPアドレス、宛先ポート番号に持つIPパケットのみを転送し、それ以外のIPパケットは廃棄し、サーバシステム200内に流入させない。
【0069】
帯域制御部233は、帯域制御要求を受信すると、サービスセッション情報と帯域にもとづき帯域制御を開始する。即ち、帯域制御部233は、サービスセッション情報で指定されたIPアドレスとポート番号を送信元IPアドレス、宛先ポート番号に持つIPパケットに対して、要求された帯域(上り)を確保するように帯域制御を行う。同様に、帯域制御部233は、サービスセッション情報で指定されたIPアドレスとポート番号を宛先IPアドレス、宛先ポート番号に持つIPパケットに対して、要求された帯域(下り)を確保するように帯域制御を行う。スイッチ管理部231は、アクセス制御部232と帯域制御部233からの応答を受信した場合(ステップS313、S315)、セッション管理サーバ210に対し、セッション制御開始応答を送信する(ステップS316)。
【0070】
セッション制御部213は、セッション制御開始応答を受信すると(ステップA313)、SIP終端部214を介し、クライアント100に、サービスセッションの開始の許可として、SIPセッション確立応答(OK応答)を送信する(ステップS317、A314)。
【0071】
クライアント100のクライアントAP110は、SIP終端部120を介し、OK応答を受信する。クライアントAP110は、SIP終端部120を介し、受信確認のACK応答をサーバシステム200に送信する(ステップS318)。
【0072】
セッション管理サーバ210のセッション制御部213は、クライアント100からACK応答を受信すると(ステップA315)、セッション確立時刻、サービスセッション情報、メンバーID、SIP−URI、及びSIPセッション確立要求時の要求内容(プロトコル種別、帯域)を図15のようなセッション管理テーブル212に保存する(ステップS319、A316)。
【0073】
クライアント100のクライアントAP110は、SIPセッションの確立により、サービスセッションの開始(トランザクションの実行)が許可されたものとして、HTTPセッション確立要求をサーバシステム200に送信する(ステップS320)。当該HTTPセッション確立要求には、サービスセッションのプロトコル種別(例えば、HTTP)に対応する宛先ポート番号が含まれている。
【0074】
クライアント100−サーバシステム200間では、既にSIPセッションが確立し、APスイッチ230には、送信元がクライアント100で、クライアント100により要求されたプロトコル種別のパケットが通過するように設定されている。従って、APスイッチ230は、クライアント100から受信したHTTPセッション確立要求をAPサーバ220に転送する(ステップS321)。
【0075】
APサーバ220のWebサーバ222は、HTTPセッション確立要求を受信すると、当該HTTPセッション確立要求から、送信元(クライアント100)のIPアドレスと宛先ポート番号を抽出する。Webサーバ222は、当該IPアドレスとポート番号を含むセッション認証情報要求を、プロセス管理部223に送信する(ステップS322)。プロセス管理部223は、サービス認証情報テーブル221を参照し、当該IPアドレス、ポート番号の組み合わせと同じサービスセッション情報を検索し、サービス認証情報(アカウント、パスワード)を取得する(ステップS323)。プロセス管理部223は、取得したサービス認証情報をセッション認証情報応答として、Webサーバ222に送信する(ステップS324)。Webサーバ222は、セッション認証情報応答により取得したアカウント、パスワードにより、アプリケーションサービスのユーザ認証処理を行う(ステップS325)。Webサーバ222は、認証結果が正常の場合、クライアント100にHTTPセッション確立応答を送信する(ステップS326)。
【0076】
クライアント100とAPサーバ220は、要求されたHTTPセッションの通信を開始する(ステップS328)。以降、サーバシステム200のアクセス制御部232及び帯域制御部233は、スイッチ管理部231により設定されたサービスセッション情報、帯域にもとづいて、上り方向のパケットに対するフィルタリング、上り/下り方向の帯域制御を行う。
【0077】
(サービスセッションの切断)
次に、サービスセッションの切断に関する動作について説明する。
【0078】
図13は、本発明の第二の実施の形態におけるサービスセッション切断の動作を示すシーケンス図、図14は、セッション管理サーバ210における処理フローである。
【0079】
クライアント100と、APサーバ220間でサービスセッション上のデータ通信中に(ステップS401)、サービス終了もしくはログアウトが行われた場合(ステップS402、S403)、APサーバ220のWebサーバ222は、クライアント100にHTTPセッション終了要求を送信する(ステップS404)。
【0080】
クライアント100のクライアントAP110は、APサーバ220に、HTTP ACKを送信し、HTTPセッションを終了する(ステップS406)。
【0081】
Webサーバ222は、HTTPセッションの終了後、プロセス管理部223に、サービスセッション情報を含んだトランザクション終了通知を送信する(ステップS408)。プロセス管理部223は、サービス認証情報テーブル221から、当該サービスセッションに関する情報を削除する(ステップS409)。プロセス管理部223はセッション管理サーバ210に、サービスセッション情報を含んだトランザクション終了通知を送信する(ステップS410)。
【0082】
セッション管理サーバ210のセッション制御部213は、トランザクション終了通知を受信すると(ステップA401)、APスイッチ230に、セッション制御終了要求を送信する(ステップS411、A402)。
【0083】
APスイッチ230のスイッチ管理部231は、セッション制御終了要求を受信すると、アクセス制御部232に、サービスセッション情報を含むポート閉鎖要求を送信する(ステップS412)。また、スイッチ管理部231は、帯域制御部233に、サービスセッション情報を含む帯域開放要求を送信する(ステップS414)。
【0084】
アクセス制御部232は、ポート閉鎖要求を受信すると、サービスセッション情報で指定されたIPパケットの転送を停止する。
【0085】
帯域制御部233は、帯域開放要求を受信すると、サービスセッション情報で指定されたIPパケットに対して確保していた帯域を開放する。
【0086】
スイッチ管理部231は、アクセス制御部232と帯域制御部233からの応答を受信すると(ステップS413、S415)、セッション管理サーバ210に対し、セッション制御終了応答を送信する(ステップS416)。
【0087】
セッション管理サーバ210のセッション制御部213は、セッション制御終了応答を受信すると(ステップA403)、セッション数管理情報215のサービスセッション数から1を減算、帯域管理情報216の使用帯域から、当該サービスセッションの要求帯域を減算し、更新する(ステップS417、A404)。
【0088】
セッション制御部213は、SIP終端部214を介し、SIPセッション切断要求をクライアント100に送信する(ステップS418、A405)。
【0089】
クライアント100のクライアントAP110は、SIP終端部120を介し、切断要求を受信する。クライアントAP110は、SIP終端部120を介し、サーバシステム200へACK応答を送信し(ステップS419)、SIPセッションを終了する。
【0090】
セッション管理サーバ210のセッション制御部213は、クライアント100からACK応答を受信すると(ステップA406)、セッション管理テーブル212から、当該SIPセッションに関する情報を削除する(ステップS420、A407)。
【0091】
以上により、本発明の第二の実施の形態における動作が完了する。
【0092】
本発明の第二の実施の形態によれば、アプリケーションサービスシステムにおいて、セッションの開始が許可されたユーザ以外のアクセスによる正常なセッションへの影響を防ぐことができる。その理由は、クライアント100が、サービスセッション確立前に、SIPセッションにより、サービスセッションの開始を要求し、サーバシステム200は、当該サービスセッションのみを転送するようにアクセス制御(フィルタリング)を行うためである。
【0093】
また、本発明の第二の実施の形態によれば、アプリケーションサービスシステムにおいて、サービスセッションの帯域を保証できる。その理由は、クライアント100が、サービスセッション確立前に、SIPセッションにより、要求帯域を指定してサービスセッションの開始を要求し、サーバシステム200が、当該帯域を基に、サービスセッションに対する帯域制御を行うためである。
【0094】
また、本発明の第二の実施の形態によれば、アプリケーションサービスシステムにおいて、サーバの処理負荷によるサービス低下を防ぐことができる。その理由は、クライアント100が、サービスセッション確立前に、SIPセッションにより、サービスセッションの開始を要求し、サーバシステム200は、サービスセッションのセッション数、サーバ負荷をもとにサービスセッションの開始を許可するかどうか判断するためである。
【0095】
また、本発明の第二の実施の形態によれば、アプリケーションサービスシステムにおいて、アクセス制御や帯域制御といったセッション制御によるサービス品質の保証を、アプリケーションのトランザクションの開始から終了までの間で確実に行うことができる。その理由は、サーバシステム200は、サービスセッション確立に先立つSIPセッションの確立時に、サービスセッションに対するセッション制御を開始し、APサーバ220によるサービスセッションの終了検出時に、セッション制御を終了するようにしたためである。
【図面の簡単な説明】
【0096】
【図1】本発明の第一の実施の形態の構成を示す図である。
【図2】本発明の第一の実施の形態における、サービスセッション確立の動作を示すシーケンス図である。
【図3】本発明の第一の実施の形態における、セッション管理サーバ210のサービスセッション確立の動作を示すフローチャートである。
【図4】本発明の第一の実施の形態における、サービスセッション切断の動作を示すシーケンス図である。
【図5】本発明の第一の実施の形態における、セッション管理サーバ210のサービスセッション切断の動作を示すフローチャートである。
【図6】本発明の第一の実施の形態における、回線認証DB301の内容を示す図である。
【図7】本発明の第一の実施の形態における、メンバー管理DB211の内容を示す図である。
【図8】本発明の第一の実施の形態における、セッション管理テーブル212の内容を示す図である。
【図9】本発明の第一の実施の形態における、サービス認証情報テーブル221の内容を示す図である。
【図10】本発明の第二の実施の形態の構成を示す図である。
【図11】本発明の第二の実施の形態における、サービスセッション確立の動作を示すシーケンス図である。
【図12】本発明の第二の実施の形態における、セッション管理サーバ210のサービスセッション確立の動作を示すフローチャートである。
【図13】本発明の第二の実施の形態における、サービスセッション切断の動作を示すシーケンス図である。
【図14】本発明の第二の実施の形態における、セッション管理サーバ210のサービスセッション切断の動作を示すフローチャートである。
【図15】本発明の第二の実施の形態における、セッション管理テーブル212の内容を示す図である。
【図16】本発明の第二の実施の形態における、セッション数管理情報215の内容を示す図である。
【図17】本発明の第二の実施の形態における、帯域管理情報216の内容を示す図である。
【図18】本発明の第二の実施の形態における、サーバ負荷管理情報217の内容を示す図である。
【符号の説明】
【0097】
100 クライアント
110 クライアントAP
120 SIP終端部
200 サーバシステム
210 セッション管理サーバ
211 メンバー管理DB
212 セッション管理テーブル
213 セッション制御部
214 SIP終端部
215 セッション数管理情報
216 帯域管理情報
217 サーバ負荷管理情報
220 APサーバ
221 サービス認証情報テーブル
222 Webサーバ
223 プロセス管理部
224 サーバ負荷監視部
230 APスイッチ
231 スイッチ管理部
232 アクセス制御部
233 帯域制御部
300 回線認証システム
301 回線認証DB
302 回線認証制御部
400 回線
500 ネットワーク
【技術分野】
【0001】
本発明はアプリケーションサーバによりサービスを提供する、アプリケーションサービスシステム、サーバシステム、セッション管理方法、及びプログラムに関する。
【背景技術】
【0002】
アプリケーションサーバ(以後APサーバとする)がクライアントにサービスを提供するシステムにおいて、クライアントとAPサーバ間でSIP(Session Initiation Protocol)を使い、SIPセッションを事前に確立することにより、APサーバ利用時の認証を行う方法がある。
【0003】
例えば、特許文献1には、クライアントとAPサーバ間に中継サーバを設置し、クライアント−中継サーバ間、中継サーバ−APサーバ間にSIPセッションを確立し、中継サーバにおいてユーザ認証を行う方法が開示されている。
【0004】
また、関連技術として、端末装置がSIPによりセッション制御サブシステムに帯域確保を依頼し、セッション制御サブシステムがSIPによりコンテンツ制御サブシステムにセッション開始を要求することにより、帯域確保を行う方法が特許文献2に開示されている。
【0005】
また、他の関連技術として、コンテンツ提供サービスにおいて、端末の現在接続数と最大同時接続数により、接続可否を判断する方法が特許文献3に開示されている。
【0006】
【特許文献1】特開2005−73236号公報
【特許文献2】特開2005−12655号公報
【特許文献3】特開2004−240641号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した特許文献1においては、中継サーバがクライアントから受信したSIPメッセージ中の認証情報を基にユーザ認証を行うが、正規ユーザ以外が正規ユーザの認証情報を使い(なりすまし)、不正にAPサーバにアクセスする可能性があった。
【0008】
(発明の目的)
本発明の目的は、上述した課題である、SIPセッションを伴うアプリケーションサービスシステムにおいて、不正なユーザによるなりすましにより、APサーバへの不正なアクセスが行われる可能性があるという問題を解決した、アプリケーションサービスシステム、サーバシステム、セッション管理方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明のアプリケーションサービスシステムは、クライアント、回線認証システム、及びサーバシステムを含むアプリケーションサービスシステムであって、前記クライアントは、回線を経由してSIPセッション確立要求を前記回線認証システムに送信する手段と、SIPセッション確立後、前記回線を経由してサービスセッション確立要求を前記サーバシステムに送信する手段を備え、前記回線認証システムは、前記SIPセッション確立要求を受信した前記回線の回線識別子をもとに前記SIPセッション確立要求に含まれるSIP認証情報の正当性を確認し、前記SIPセッション確立要求を前記サーバシステムに転送する手段を備え、前記サーバシステムは、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得を行うセッション制御手段と、前記サービスセッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてユーザ認証を行うAPサーバと、を備えたことを特徴とする。
【0010】
本発明のサーバシステムは、正当性が確認されたSIP認証情報を含むSIPセッション確立要求を受信した際、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得を行うセッション制御手段と、セッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてユーザ認証を行うAPサーバと、を備えたことを特徴とする。
【0011】
本発明のサービス提供方法は、クライアントが、回線を経由してSIPセッション確立要求を回線認証システムに送信するSIPセッション確立要求送信ステップと、前記回線認証システムが、前記SIPセッション確立要求を受信した前記回線の回線識別子をもとに前記SIPセッション確立要求に含まれるSIP認証情報の正当性を確認し、前記SIPセッション確立要求をサーバシステムに転送する回線認証ステップと、前記サーバシステムが、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成を行うセッション情報生成ステップと、前記SIP認証情報に対応するサービス認証情報の取得を行うサービス認証情報取得ステップと、前記クライアントが、SIPセッション確立後、前記回線を経由してサービスセッション確立要求を前記サーバシステムに送信するサービスセッション確立要求送信ステップと、サーバシステムが、前記サービスセッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてAPサーバのユーザ認証を行うユーザ認証ステップと、を含むことを特徴とする。
【0012】
本発明のプログラムは、セッション管理サーバ用コンピュータを、正当性が確認されたSIP認証情報を含むSIPセッション確立要求を受信した際、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得と、前記サービスセッション情報と前記サービス認証情報のAPサーバへの通知とを行うセッション制御手段として機能させることを特徴とする。
【発明の効果】
【0013】
本発明の効果は、アプリケーションサービスシステムにおいて、APサーバへの不正なアクセスを防ぎ、セキュリティレベルを向上させることができることである。
【発明を実施するための最良の形態】
【0014】
(第一の実施の形態)
次に、本発明の第一の実施の形態について図面を参照して詳細に説明する。
【0015】
本発明の第一の実施の形態においては、SIPセッションの制御、アプリケーションサービスの提供は、IPプロトコルを用いた通信により行われるものとする。また、SIP認証情報として、ユーザ側クライアントが付与するSIP−URI(Uniform Resource Identifier)が用いられるものとする。また、例として、アプリケーションサービスのセッション(以下、サービスセッションとする)は、HTTP(Hypertext Transfer Protocol)を用いたHTTPセッションである場合について説明する。
【0016】
図1は、本発明の第一の実施の形態の構成図である。図1を参照すると、本発明の第一の実施の形態におけるアプリケーションサービスシステムは、クライアント100、サーバシステム200、及び回線認証システム300により構成される。クライアント100と回線認証システム300は、回線400により接続される。回線認証システム300は、例えば、通信事業者やネットワークプロバイダ等のネットワークサービス提供者に所有され、SIPを利用して各種通信サービスを提供するネットワーク(例えば、次世代ネットワーク)上に設置される。回線400は、回線識別子により識別される。回線400は、回線識別子によりユーザが特定できるものであれば、加入者線などの物理的な回線や、物理回線に収容される論理的な回線でもよい。
【0017】
クライアント100は、プログラム制御によって動作する情報処理装置であり、Webブラウザ等のアプリケーションにより、後述するAPサーバ220を利用する。また、クライアント100は、サービスセッションを開始する前に、サーバシステム200にSIPセッション確立要求を送信する。
【0018】
サーバシステム200は、セッション管理サーバ210、及びAPサーバ220より構成される。セッション管理サーバ210は、SIPセッション確立要求の受付制御を行う。APサーバ220は、WebサイトやWebアプリケーションによるサービスを提供する。セッション管理サーバ210とAPサーバ220は、プログラム制御によって動作する情報処理装置であり、それぞれが独立した装置であってもよいし、1つの装置として構成されていてもよい。
【0019】
回線認証システム300は、プログラム制御によって動作する情報処理装置であり、回線識別子をもとにSIP認証情報の正当性の確認を行う。
【0020】
クライアント100−サーバシステム200間の通信は、回線400を経由して行われるものとする。また、クライアント100−サーバシステム200間の通信のうち、SIPメッセージは回線認証システム300を経由し、SIPメッセージ以外の、APサーバ220との通信(サービスセッション)は、回線認証システム300を経由せずに行われるものとする。
【0021】
次に、本発明の第一の実施の形態の動作について図面を参照して説明する。
【0022】
クライアント100は、サービスセッションの確立に先立ち、クライアント100−サーバシステム200間にSIPセッションを確立し、サービスセッションの開始を要求する。SIPセッションが確立した場合、クライアント100は、サービスセッションの開始が許可されたものとして、サービスセッションの確立要求を行い、APサーバ220のアプリケーションに関する一連のトランザクションを実行する。トランザクションの実行が終了し、サービスセッションが終了すると、サーバシステム200は、クライアント100−サーバシステム200間のSIPセッションを切断する。
【0023】
(サービスセッションの確立)
はじめに、サービスセッションの確立に関する動作、即ち、クライアント100がサーバシステム200にSIPセッションの確立を要求し、その後、クライアント100がサーバシステム200にサービスセッションの確立を要求する動作について説明する。
【0024】
図2は、本発明の第一の実施の形態におけるサービスセッション確立の動作を示すシーケンス図、図3は、セッション管理サーバ210における処理フローである。
【0025】
クライアント100は、Webブラウザ等のアプリケーションにおいて、APサーバ220へのアクセス要求が発生すると、回線400を経由して、サーバシステム200に、SIPセッション確立要求を送信する(ステップS101)。当該SIPセッション確立要求には、送信元であるクライアント100のSIP−URI、サービスセッションのプロトコル種別(例えば、HTTP)が含まれている。
【0026】
回線認証システム300は、回線400を経由してSIPセッション確立要求を受信すると、SIP−URIの正当性の確認を行う(ステップS102)。回線認証システム300には、図6に示すように、回線識別子と当該回線識別子の回線400に接続されたクライアント100が使用するSIP−URIが関連付けられ、回線認証DB(データベース)301に予め保存されているものとする。回線認証システム300は、セッション確立要求を受信した回線400の回線識別子と、当該SIPセッション確立要求に含まれるSIP−URIの組み合わせが、回線認証DB301に存在するかどうかを検索し、存在していた場合、当該SIP−URIは正しいものとする。回線認証システム300は、SIP−URIが正しい場合、当該SIPセッション確立要求をサーバシステム200に転送する(ステップS103)。
【0027】
サーバシステム200は、SIPセッション確立要求を受信すると(ステップA101)、セッション管理サーバ210が、当該SIPセッション確立要求から送信元(クライアント100)のIPアドレス、プロトコル種別、及びSIP−URIを抽出する(ステップS104、A102)。セッション管理サーバ210のメンバー管理DB211には、図7に示すように、ユーザのSIP−URIと、当該ユーザがAPサーバ220へアクセスする場合に使用するサービス認証情報(アカウントとパスワード)が関連付けられて予め保存されているものとする。セッション管理サーバ210は、当該SIP−URIがメンバー管理DB211に存在するかどうかを検索する(ステップA103)。セッション管理サーバ210は、当該SIP−URIがメンバー管理DB211に存在しない場合(ステップA104/N)、SIP−URIによる認証失敗とし、クライアント100にアクセス拒否応答を送信する(ステップA111)。セッション管理サーバ210は、メンバー管理DB211に当該SIP−URIが存在する場合(ステップA104/Y)、SIP−URIによる認証成功とし、当該SIP−URIに対するメンバーID、サービス認証情報を取得する(ステップS105,A105)。セッション管理サーバ210は、SIPセッション確立要求の送信元IPアドレスとポート番号(SIPセッション確立要求から抽出されたプロトコル種別に対応するポート番号)の組み合わせを、サービスセッションを識別するためのサービスセッション情報とする(ステップA106)。セッション管理サーバ210は、APサーバ220に、メンバーID、サービスセッション情報(IPアドレス、ポート番号)、及びサービス認証情報(アカウント、パスワード)を含むトランザクション許可通知を送信する(ステップS106、A107)。
【0028】
APサーバ220は、トランザクション許可通知により受信したメンバーID、サービスセッション情報、及びサービス認証情報を、図9に示すような、サービス認証情報テーブル221に保存する(ステップS107)。
【0029】
セッション管理サーバ210は、クライアント100にサービスセッションの開始の許可として、SIPセッション確立応答(OK応答)を送信する(ステップS108、A108)。
【0030】
クライアント100は、OK応答を受信した場合、受信確認のACK応答をサーバシステム200に送信する(ステップS109)。
【0031】
セッション管理サーバ210は、クライアント100からACK応答を受信すると(ステップA109)、セッション確立時刻、サービスセッション情報、メンバーID、及びSIP−URIを図8のようなセッション管理テーブル212に保存する(ステップS109、A110)。
【0032】
次に、クライアント100は、SIPセッションの確立により、サービスセッションの開始(トランザクションの実行)が許可されたものとして、HTTPセッション確立要求をサーバシステム200に送信する(ステップS111)。当該HTTPセッション確立要求には、サービスセッションのプロトコル種別(例えば、HTTP)に対応する宛先ポート番号が含まれている。
【0033】
サーバシステム200のAPサーバ220は、HTTPセッション確立要求を受信すると、当該HTTPセッション確立要求から、送信元(クライアント100)のIPアドレスと宛先ポート番号を抽出する。APサーバ220は、サービス認証情報テーブル221を参照し、当該送信元IPアドレス、宛先ポート番号の組み合わせと同じサービスセッション情報を検索し、サービス認証情報(アカウント、パスワード)を取得する(ステップS112)。APサーバ220は、取得したアカウント、パスワードによりアプリケーションサービスのユーザ認証を行い(ステップS113)、認証結果が正常であった場合、クライアント100にHTTPセッション確立応答を送信する(ステップS114)。
【0034】
クライアント100とAPサーバ220は、要求されたHTTPセッションの通信を開始する(ステップS115)。
【0035】
(サービスセッションの切断)
次に、サービスセッションの切断に関する動作、即ち、クライアント100−サーバシステム200間で、サービスセッションを確立している状態から、サービスセッション、SIPセッションを切断する動作について説明する。
【0036】
図4は、本発明の第一の実施の形態におけるサービスセッション切断の動作を示すシーケンス図、図5は、セッション管理サーバ210における処理フローである。
【0037】
クライアント100−APサーバ220間でデータ通信中(ステップS201)、サービス終了またはログアウト等が行われた場合(ステップS202)、APサーバ220は、クライアント100にHTTPセッション終了要求を送信する(ステップS203)。
【0038】
クライアント100は、APサーバ220に、HTTP ACKを送信し、HTTPセッションを終了する(ステップS204)。
【0039】
APサーバ220は、HTTPセッションの終了後、サービス認証情報テーブル221から当該サービスセッションに関する情報を削除する(ステップS205)。APサーバ220は、トランザクション終了通知をセッション管理サーバ210に送信する(ステップS206)。セッション管理サーバ210は、トランザクション終了通知を受信すると(ステップA201)、クライアント100にSIPセッション切断要求を送信する(ステップS207、A202)。
【0040】
クライアント100は、SIPセッション切断要求を受信すると、サーバシステム200へACK応答を送信する(ステップS208)。
【0041】
セッション管理サーバ210は、ACK応答を受信すると(ステップA203)、セッション管理テーブル212から、当該SIPセッションに関する情報を削除する(ステップS209、A204)。
【0042】
以上により、本発明の第一の実施の形態における動作が完了する。
【0043】
なお、本発明の第一の実施の形態では、メンバー管理DB211として、ユーザのSIP−URIとサービス認証情報が1対1で対応している例(図7)を示したが、複数のSIP−URIに対して、1つのサービス認証情報が対応するようにしてもよい。これにより、例えば、ユーザが複数の回線400(例えば、オフィスと自宅)を使用する場合であっても、メンバー管理DB211上で、各回線400のSIP−URIに、同一のサービス認証情報を対応させることにより、どの回線400からもAPサーバ220への認証が可能となる。
【0044】
本発明の第一の実施の形態によれば、アプリケーションサービスシステムにおいて、APサーバへの不正なアクセスを防ぎ、セキュリティレベルを向上させることができる。その理由は、回線認証システム300が回線識別子をもとにSIP認証情報の正当性を確認し、サーバシステム200がSIP認証情報に対応するサービス認証情報を用いてAPサーバ220のユーザ認証を行うため、なりすましによる不正アクセスを防げるためである。
【0045】
また、本発明の第一の実施の形態によれば、アプリケーションサービスシステムにおいて、高いセキュリティレベルを保ちつつ、ユーザによるAPサーバへのログイン時の認証を簡略化できる。その理由は、回線認証システム300がSIP認証情報の正当性を確認し、サーバシステム200がSIP認証情報に対応するサービス認証情報を検索し、当該サービス認証情報を用いてAPサーバ220のユーザ認証を行うため、ユーザによる認証情報の入力が不要なためである。
【0046】
また、本発明の第一の実施の形態によれば、アプリケーションサービスシステムにおいて、既存のAPサーバのサービス認証情報(アカウント、パスワード)はそのままで、複数の回線における回線認証とAPサーバのユーザ認証を連携することができる。その理由は、サーバシステム200のメンバー管理DB211において、SIP−URIが異なる複数の回線400に対して同一のサービス認証情報を対応させることにより、どの回線400からも、同じサービス認証情報で、APサーバ220におけるユーザ認証が行えるためである。
【0047】
(第二の実施の形態)
次に、本発明の第二の実施の形態について図面を参照して詳細に説明する。
【0048】
本発明の第二の実施の形態においては、サーバシステム200において、サービスセッションに対するアクセス制御と帯域制御を行う点において、本発明の第一の実施の形態と異なる。なお、本発明の第二の実施の形態において、第一の実施の形態と同一の符号を有する構成要素については、特に説明の無い限り、第一の実施の形態と同一であるものとする。
【0049】
図10は、本発明の第二の実施の形態の構成図である。図10を参照すると、本発明の第二の実施の形態におけるアプリケーションサービスシステムは、クライアント100、サーバシステム200、及び回線認証システム300により構成される。回線認証システム300は、ネットワーク500上に設置される。ネットワーク500は、例えば、通信事業者やネットワークプロバイダ等のネットワークサービス提供者に所有され、SIPを利用して各種通信サービスを提供するネットワーク(例えば、次世代ネットワーク)である。
【0050】
クライアント100は、Webブラウザ等のクライアントアプリケーション(以下、クライアントAPとする)110、及びSIP終端部120より構成される。
【0051】
サーバシステム200は、セッション管理サーバ210、APサーバ220、及びアプリケーションスイッチ(以下、APスイッチとする)230より構成される。
【0052】
セッション管理サーバ210は、メンバー管理DB211、セッション管理テーブル212、セッション制御部213、SIP終端部214、セッション数管理情報215、帯域管理情報216、及びサーバ負荷管理情報217より構成される。ここで、セッション制御部213は、サーバシステム200内のセッション状態、APサーバ220の状態を監視制御する。セッション数管理情報215は、図16に示すように、現在確立しているサービスセッション数と最大許容セッション数を記憶管理する。帯域管理情報216は、図17に示すように、使用帯域(現在確立している各サービスセッションに確保されている帯域の総和)と最大許容帯域を、パケットの方向(上り(ネットワーク500からの受信)/下り(ネットワーク500への送信))別に記憶管理する。サーバ負荷管理情報217は、図18に示すように、現在のWebサーバ222のサーバ負荷と最大許容負荷を記憶管理する。ここでは、例として、Webサーバ222の負荷として、CPU使用利用率を用いているが、メモリ使用率等、他の負荷指標を用いてもよい。なお、セッション制御部213は、定期的に、APサーバ220のサーバ負荷監視部224から、サーバの負荷状態(CPU使用利用率)を取得し、サーバ負荷管理情報217内の”サーバ負荷”を更新しているものとする。
【0053】
APサーバ220は、サービス認証情報テーブル221、Webサーバ222、プロセス管理部223、及びサーバ負荷監視部224より構成される。ここで、Webサーバ222は、WebサイトやWebアプリケーションを提供する。プロセス管理部223は、Webサーバ222上でのトランザクションの状態を管理する。サーバ負荷監視部224は、Webサーバ222の負荷状態を監視する。
【0054】
APスイッチ230は、スイッチ管理部231、アクセス制御部232、及び帯域制御部233より構成される。ここで、スイッチ管理部231は、アクセス制御部232と帯域制御部233の制御管理を行う。アクセス制御部232は、ネットワーク500側からのパケットのフィルタリングを行う。帯域制御部233は、サービスセッションのパケットについて、帯域制御を行う。
【0055】
APスイッチ230はプログラム制御によって動作する情報処理装置でもよい。また、セッション管理サーバ210、APサーバ220、及びAPスイッチ230は、それぞれが独立した装置であってもよいし、いくつかを1つの装置として構成してもよい。
【0056】
回線認証システム300は、回線認証DB301、及び回線認証制御部302より構成される。
【0057】
次に、本発明の第二の実施の形態の動作について図面を参照して説明する。
【0058】
(サービスセッションの確立)
はじめに、サービスセッションの確立に関する動作について説明する。
【0059】
図11は、本発明の第二の実施の形態におけるサービスセッション確立の動作を示すシーケンス図、図12は、セッション管理サーバ210における処理フローである。
【0060】
クライアント100のクライアントAP110は、APサーバ220へのアクセス要求が発生すると、SIP終端部120に対し、アクセス要求を送信する(ステップS301)。SIP終端部120は、回線400を経由して、サーバシステム200に、SIPセッション確立要求を送信する(ステップS302)。当該SIPセッション確立要求には、送信元であるクライアント100のSIP−URI、要求するサービスセッションのプロトコル種別、及び要求する帯域(上り/下り)が含まれている。
【0061】
回線認証システム300の回線認証制御部302は、回線400を経由してSIPセッション確立要求を受信すると(ステップA301)、回線認証DB301を用いて、SIP−URIの正当性の確認を行う(ステップS303)。回線認証システム300は、SIP−URIが正しい場合、当該SIPセッション確立要求をサーバシステム200に転送する(ステップS304)。
【0062】
サーバシステム200のSIP終端部214は、SIPセッション確立要求を受信すると、当該SIPセッション確立要求をセッション制御部213に転送する(ステップS305)。セッション制御部213は、当該SIPセッション確立要求から送信元(クライアント100)のIPアドレス、プロトコル種別、帯域、及びSIP−URIを抽出する(ステップS306、A302)。セッション制御部213は、当該SIP−URIがメンバー管理DB211に存在するかどうかを検索する(ステップA303)。セッション制御部213は、当該SIP−URIがメンバー管理DB211に存在しない場合(ステップA304/N)、SIP−URIによる認証失敗とし、クライアント100にアクセス拒否応答を送信する(ステップA317)。セッション制御部213は、メンバー管理DB211に当該SIP−URIが存在する場合(ステップA304/Y)、SIP−URIによる認証成功とし、当該SIP−URIに対するメンバーID、サービス認証情報を取得する(ステップS307、A305)。セッション制御部213は、SIPセッション確立要求の送信元IPアドレスとポート番号(SIPセッション確立要求から抽出されたプロトコル種別に対応するポート番号)の組み合わせを、サービスセッションを識別するためのサービスセッション情報とする(ステップA306)。
【0063】
セッション制御部213は、セッション数管理情報215を参照し、サービスセッション数が最大許容セッション数未満かどうかを確認する(ステップA307)。セッション制御部213は、サービスセッション数が最大許容セッション数未満であれば(ステップA307/Y)、帯域管理情報216を参照し、当該SIPセッション確立要求で要求された帯域を確保可能かどうかを、上り/下りの両方向について確認する(ステップA308)。即ち、セッション制御部213は、要求された帯域を使用帯域に加算しても、最大許容帯域を越えないかどうかを上り/下りの両方向について確認する。セッション制御部213は、要求された帯域を確保可能な場合(ステップA308/Y)、サーバ負荷管理情報217を参照し、サーバ負荷が最大許容負荷以下かどうかを確認する(ステップA309)。セッション制御部213は、サーバ負荷が最大許容負荷以下である場合(ステップA309/Y)、セッション数管理情報215のサービスセッション数に1を加算、帯域管理情報216の使用帯域に要求された帯域を加算し、更新する(ステップS308、A310)。なお、セッション制御部213は、サービスセッション数が最大許容セッション数未満、帯域を確保可能、サーバ負荷が最大許容負荷以下、のいずれかを満たさない場合(ステップA307/N、A308/N、A309/N)、クライアント100にアクセス拒否応答を送信する(ステップA317)。
【0064】
セッション制御部213は、APサーバ220に、メンバーID、サービスセッション情報、及びサービス認証情報(アカウント、パスワード)を含むトランザクション許可通知を送信する(ステップS309、A311)。
【0065】
APサーバ220のプロセス管理部223は、トランザクション許可通知により受信したメンバーID、サービスセッション情報、及びサービス認証情報を、サービス認証情報テーブル221に保存する(ステップS310)。
【0066】
セッション制御部213は、APスイッチ230に、サービスセッション情報(IPアドレス、ポート番号)、及び帯域(上り/下り)を含むセッション制御開始要求を送信する(ステップS311、A312)。
【0067】
APスイッチ230のスイッチ管理部231は、セッション制御開始要求を受信すると、アクセス制御部232に、サービスセッション情報(IPアドレス、ポート番号)を含むアクセス要求を送信する(ステップS312)。また、スイッチ管理部231は、帯域制御部233に対し、サービスセッション情報(IPアドレス、ポート番号)と帯域(上り/下り)を含む帯域制御要求を送信する(ステップS314)。
【0068】
アクセス制御部232は、アクセス要求を受信すると、サービスセッション情報にもとづき、ネットワーク500側からのIPパケットをフィルタリングする。即ち、アクセス制御部232は、サービスセッション情報で指定されたIPアドレスとポート番号を送信元IPアドレス、宛先ポート番号に持つIPパケットのみを転送し、それ以外のIPパケットは廃棄し、サーバシステム200内に流入させない。
【0069】
帯域制御部233は、帯域制御要求を受信すると、サービスセッション情報と帯域にもとづき帯域制御を開始する。即ち、帯域制御部233は、サービスセッション情報で指定されたIPアドレスとポート番号を送信元IPアドレス、宛先ポート番号に持つIPパケットに対して、要求された帯域(上り)を確保するように帯域制御を行う。同様に、帯域制御部233は、サービスセッション情報で指定されたIPアドレスとポート番号を宛先IPアドレス、宛先ポート番号に持つIPパケットに対して、要求された帯域(下り)を確保するように帯域制御を行う。スイッチ管理部231は、アクセス制御部232と帯域制御部233からの応答を受信した場合(ステップS313、S315)、セッション管理サーバ210に対し、セッション制御開始応答を送信する(ステップS316)。
【0070】
セッション制御部213は、セッション制御開始応答を受信すると(ステップA313)、SIP終端部214を介し、クライアント100に、サービスセッションの開始の許可として、SIPセッション確立応答(OK応答)を送信する(ステップS317、A314)。
【0071】
クライアント100のクライアントAP110は、SIP終端部120を介し、OK応答を受信する。クライアントAP110は、SIP終端部120を介し、受信確認のACK応答をサーバシステム200に送信する(ステップS318)。
【0072】
セッション管理サーバ210のセッション制御部213は、クライアント100からACK応答を受信すると(ステップA315)、セッション確立時刻、サービスセッション情報、メンバーID、SIP−URI、及びSIPセッション確立要求時の要求内容(プロトコル種別、帯域)を図15のようなセッション管理テーブル212に保存する(ステップS319、A316)。
【0073】
クライアント100のクライアントAP110は、SIPセッションの確立により、サービスセッションの開始(トランザクションの実行)が許可されたものとして、HTTPセッション確立要求をサーバシステム200に送信する(ステップS320)。当該HTTPセッション確立要求には、サービスセッションのプロトコル種別(例えば、HTTP)に対応する宛先ポート番号が含まれている。
【0074】
クライアント100−サーバシステム200間では、既にSIPセッションが確立し、APスイッチ230には、送信元がクライアント100で、クライアント100により要求されたプロトコル種別のパケットが通過するように設定されている。従って、APスイッチ230は、クライアント100から受信したHTTPセッション確立要求をAPサーバ220に転送する(ステップS321)。
【0075】
APサーバ220のWebサーバ222は、HTTPセッション確立要求を受信すると、当該HTTPセッション確立要求から、送信元(クライアント100)のIPアドレスと宛先ポート番号を抽出する。Webサーバ222は、当該IPアドレスとポート番号を含むセッション認証情報要求を、プロセス管理部223に送信する(ステップS322)。プロセス管理部223は、サービス認証情報テーブル221を参照し、当該IPアドレス、ポート番号の組み合わせと同じサービスセッション情報を検索し、サービス認証情報(アカウント、パスワード)を取得する(ステップS323)。プロセス管理部223は、取得したサービス認証情報をセッション認証情報応答として、Webサーバ222に送信する(ステップS324)。Webサーバ222は、セッション認証情報応答により取得したアカウント、パスワードにより、アプリケーションサービスのユーザ認証処理を行う(ステップS325)。Webサーバ222は、認証結果が正常の場合、クライアント100にHTTPセッション確立応答を送信する(ステップS326)。
【0076】
クライアント100とAPサーバ220は、要求されたHTTPセッションの通信を開始する(ステップS328)。以降、サーバシステム200のアクセス制御部232及び帯域制御部233は、スイッチ管理部231により設定されたサービスセッション情報、帯域にもとづいて、上り方向のパケットに対するフィルタリング、上り/下り方向の帯域制御を行う。
【0077】
(サービスセッションの切断)
次に、サービスセッションの切断に関する動作について説明する。
【0078】
図13は、本発明の第二の実施の形態におけるサービスセッション切断の動作を示すシーケンス図、図14は、セッション管理サーバ210における処理フローである。
【0079】
クライアント100と、APサーバ220間でサービスセッション上のデータ通信中に(ステップS401)、サービス終了もしくはログアウトが行われた場合(ステップS402、S403)、APサーバ220のWebサーバ222は、クライアント100にHTTPセッション終了要求を送信する(ステップS404)。
【0080】
クライアント100のクライアントAP110は、APサーバ220に、HTTP ACKを送信し、HTTPセッションを終了する(ステップS406)。
【0081】
Webサーバ222は、HTTPセッションの終了後、プロセス管理部223に、サービスセッション情報を含んだトランザクション終了通知を送信する(ステップS408)。プロセス管理部223は、サービス認証情報テーブル221から、当該サービスセッションに関する情報を削除する(ステップS409)。プロセス管理部223はセッション管理サーバ210に、サービスセッション情報を含んだトランザクション終了通知を送信する(ステップS410)。
【0082】
セッション管理サーバ210のセッション制御部213は、トランザクション終了通知を受信すると(ステップA401)、APスイッチ230に、セッション制御終了要求を送信する(ステップS411、A402)。
【0083】
APスイッチ230のスイッチ管理部231は、セッション制御終了要求を受信すると、アクセス制御部232に、サービスセッション情報を含むポート閉鎖要求を送信する(ステップS412)。また、スイッチ管理部231は、帯域制御部233に、サービスセッション情報を含む帯域開放要求を送信する(ステップS414)。
【0084】
アクセス制御部232は、ポート閉鎖要求を受信すると、サービスセッション情報で指定されたIPパケットの転送を停止する。
【0085】
帯域制御部233は、帯域開放要求を受信すると、サービスセッション情報で指定されたIPパケットに対して確保していた帯域を開放する。
【0086】
スイッチ管理部231は、アクセス制御部232と帯域制御部233からの応答を受信すると(ステップS413、S415)、セッション管理サーバ210に対し、セッション制御終了応答を送信する(ステップS416)。
【0087】
セッション管理サーバ210のセッション制御部213は、セッション制御終了応答を受信すると(ステップA403)、セッション数管理情報215のサービスセッション数から1を減算、帯域管理情報216の使用帯域から、当該サービスセッションの要求帯域を減算し、更新する(ステップS417、A404)。
【0088】
セッション制御部213は、SIP終端部214を介し、SIPセッション切断要求をクライアント100に送信する(ステップS418、A405)。
【0089】
クライアント100のクライアントAP110は、SIP終端部120を介し、切断要求を受信する。クライアントAP110は、SIP終端部120を介し、サーバシステム200へACK応答を送信し(ステップS419)、SIPセッションを終了する。
【0090】
セッション管理サーバ210のセッション制御部213は、クライアント100からACK応答を受信すると(ステップA406)、セッション管理テーブル212から、当該SIPセッションに関する情報を削除する(ステップS420、A407)。
【0091】
以上により、本発明の第二の実施の形態における動作が完了する。
【0092】
本発明の第二の実施の形態によれば、アプリケーションサービスシステムにおいて、セッションの開始が許可されたユーザ以外のアクセスによる正常なセッションへの影響を防ぐことができる。その理由は、クライアント100が、サービスセッション確立前に、SIPセッションにより、サービスセッションの開始を要求し、サーバシステム200は、当該サービスセッションのみを転送するようにアクセス制御(フィルタリング)を行うためである。
【0093】
また、本発明の第二の実施の形態によれば、アプリケーションサービスシステムにおいて、サービスセッションの帯域を保証できる。その理由は、クライアント100が、サービスセッション確立前に、SIPセッションにより、要求帯域を指定してサービスセッションの開始を要求し、サーバシステム200が、当該帯域を基に、サービスセッションに対する帯域制御を行うためである。
【0094】
また、本発明の第二の実施の形態によれば、アプリケーションサービスシステムにおいて、サーバの処理負荷によるサービス低下を防ぐことができる。その理由は、クライアント100が、サービスセッション確立前に、SIPセッションにより、サービスセッションの開始を要求し、サーバシステム200は、サービスセッションのセッション数、サーバ負荷をもとにサービスセッションの開始を許可するかどうか判断するためである。
【0095】
また、本発明の第二の実施の形態によれば、アプリケーションサービスシステムにおいて、アクセス制御や帯域制御といったセッション制御によるサービス品質の保証を、アプリケーションのトランザクションの開始から終了までの間で確実に行うことができる。その理由は、サーバシステム200は、サービスセッション確立に先立つSIPセッションの確立時に、サービスセッションに対するセッション制御を開始し、APサーバ220によるサービスセッションの終了検出時に、セッション制御を終了するようにしたためである。
【図面の簡単な説明】
【0096】
【図1】本発明の第一の実施の形態の構成を示す図である。
【図2】本発明の第一の実施の形態における、サービスセッション確立の動作を示すシーケンス図である。
【図3】本発明の第一の実施の形態における、セッション管理サーバ210のサービスセッション確立の動作を示すフローチャートである。
【図4】本発明の第一の実施の形態における、サービスセッション切断の動作を示すシーケンス図である。
【図5】本発明の第一の実施の形態における、セッション管理サーバ210のサービスセッション切断の動作を示すフローチャートである。
【図6】本発明の第一の実施の形態における、回線認証DB301の内容を示す図である。
【図7】本発明の第一の実施の形態における、メンバー管理DB211の内容を示す図である。
【図8】本発明の第一の実施の形態における、セッション管理テーブル212の内容を示す図である。
【図9】本発明の第一の実施の形態における、サービス認証情報テーブル221の内容を示す図である。
【図10】本発明の第二の実施の形態の構成を示す図である。
【図11】本発明の第二の実施の形態における、サービスセッション確立の動作を示すシーケンス図である。
【図12】本発明の第二の実施の形態における、セッション管理サーバ210のサービスセッション確立の動作を示すフローチャートである。
【図13】本発明の第二の実施の形態における、サービスセッション切断の動作を示すシーケンス図である。
【図14】本発明の第二の実施の形態における、セッション管理サーバ210のサービスセッション切断の動作を示すフローチャートである。
【図15】本発明の第二の実施の形態における、セッション管理テーブル212の内容を示す図である。
【図16】本発明の第二の実施の形態における、セッション数管理情報215の内容を示す図である。
【図17】本発明の第二の実施の形態における、帯域管理情報216の内容を示す図である。
【図18】本発明の第二の実施の形態における、サーバ負荷管理情報217の内容を示す図である。
【符号の説明】
【0097】
100 クライアント
110 クライアントAP
120 SIP終端部
200 サーバシステム
210 セッション管理サーバ
211 メンバー管理DB
212 セッション管理テーブル
213 セッション制御部
214 SIP終端部
215 セッション数管理情報
216 帯域管理情報
217 サーバ負荷管理情報
220 APサーバ
221 サービス認証情報テーブル
222 Webサーバ
223 プロセス管理部
224 サーバ負荷監視部
230 APスイッチ
231 スイッチ管理部
232 アクセス制御部
233 帯域制御部
300 回線認証システム
301 回線認証DB
302 回線認証制御部
400 回線
500 ネットワーク
【特許請求の範囲】
【請求項1】
クライアント、回線認証システム、及びサーバシステムを含むアプリケーションサービスシステムであって、
前記クライアントは、回線を経由してSIPセッション確立要求を前記回線認証システムに送信する手段と、SIPセッション確立後、前記回線を経由してサービスセッション確立要求を前記サーバシステムに送信する手段を備え、
前記回線認証システムは、前記SIPセッション確立要求を受信した前記回線の回線識別子をもとに前記SIPセッション確立要求に含まれるSIP認証情報の正当性を確認し、前記SIPセッション確立要求を前記サーバシステムに転送する手段を備え、
前記サーバシステムは、
前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得を行うセッション制御手段と、
前記サービスセッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてユーザ認証を行うAPサーバと、
を備えたことを特徴とするアプリケーションサービスシステム。
【請求項2】
前記回線認証システムは、
更に、前記回線識別子と前記SIP認証情報の組み合わせを記憶する回線認証データベースを備え、
前記SIPセッション確立要求を受信した前記回線の前記回線識別子と前記SIPセッション確立要求に含まれる前記SIP認証情報の組み合わせが、前記回線認証データベースに記憶される前記回線識別子と前記SIP認証情報の組み合わせと一致した場合、前記SIPセッション確立要求に含まれる前記SIP認証情報が正当であると判断することを特徴とする請求項1記載のアプリケーションサービスシステム。
【請求項3】
前記サーバシステムは、
更に、前記SIP認証情報に対応する前記サービス認証情報を記憶するメンバー管理データベースを備え、
前記セッション制御手段は、前記メンバー管理データベースを参照し、前記SIP認証情報に対応する前記サービス認証情報を取得することを特徴とする請求項1または2記載のアプリケーションサービスシステム。
【請求項4】
前記APサーバは、前記サービスセッション確立要求により要求された前記サービスセッションが、前記サービスセッション情報と一致したとき、前記サービス認証情報を用いて前記ユーザ認証を行うことを特徴とする請求項1乃至3のいずれかに記載のアプリケーションサービスシステム。
【請求項5】
前記サーバシステムは、更に、受信したパケットのうち、前記サービスセッション情報と一致する前記サービスセッションのパケットのみを前記APサーバに転送するアクセス制御手段を備えたことを特徴とする請求項1乃至4のいずれかに記載のアプリケーションサービスシステム。
【請求項6】
前記サーバシステムは、更に、前記サービスセッション情報と一致する前記サービスセッションのパケットについて、前記SIPセッション確立要求により要求された帯域を確保するように制御する帯域制御手段を備えたことを特徴とする請求項1乃至5のいずれかに記載のアプリケーションサービスシステム。
【請求項7】
前記セッション制御手段は、更に、前記APサーバの負荷状態を監視し、前記負荷状態と所定の最大許容負荷との比較にもとづいて、前記SIPセッションの確立を許可することを特徴とする請求項1乃至6のいずれかに記載のアプリケーションサービスシステム。
【請求項8】
前記セッション制御手段は、更に、前記APサーバのサービスセッション数を監視し、前記サービスセッション数と所定の最大許容セッション数との比較にもとづいて、前記SIPセッションの確立を許可することを特徴とする請求項1乃至7のいずれかに記載のアプリケーションサービスシステム。
【請求項9】
前記サービスセッション情報は、前記クライアントのIPアドレスと、前記サービスセッションのプロトコル種別に対応したポート番号であることを特徴とする、請求項1乃至8のいずれかに記載のアプリケーションサービスシステム。
【請求項10】
正当性が確認されたSIP認証情報を含むSIPセッション確立要求を受信した際、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得を行うセッション制御手段と、
セッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてユーザ認証を行うAPサーバと、
を備えたことを特徴とするサーバシステム。
【請求項11】
前記SIPセッション確立要求は、SIPセッション確立要求を受信した回線の回線識別子をもとに前記SIP認証情報の正当性を確認する回線認証システムを経由して転送されたものであることを特徴とする請求項10記載のサーバシステム。
【請求項12】
更に、前記SIP認証情報に対応する前記サービス認証情報を記憶するメンバー管理データベースを備え、
前記セッション制御手段は、前記メンバー管理データベースを参照し、前記SIP認証情報に対応する前記サービス認証情報を取得することを特徴とする請求項10または11記載のサーバシステム。
【請求項13】
前記APサーバは、前記サービスセッション確立要求により要求された前記サービスセッションが、前記サービスセッション情報と一致したとき、前記サービス認証情報を用いて前記ユーザ認証を行うことを特徴とする請求項10乃至12のいずれかに記載のサーバシステム。
【請求項14】
更に、受信したパケットのうち、前記サービスセッション情報と一致する前記サービスセッションのパケットのみを前記APサーバに転送するアクセス制御手段を備えたことを特徴とする請求項10乃至13のいずれかに記載のサーバシステム。
【請求項15】
更に、前記サービスセッション情報と一致する前記サービスセッションのパケットについて、前記SIPセッション確立要求により要求された帯域を確保するように制御する帯域制御手段を備えたことを特徴とする請求項10乃至14のいずれかに記載のサーバシステム。
【請求項16】
前記セッション制御手段は、更に、前記APサーバの負荷状態を監視し、前記負荷状態と所定の最大許容負荷との比較にもとづいて、前記SIPセッションの確立を許可することを特徴とする請求項10乃至15のいずれかに記載のサーバシステム。
【請求項17】
前記セッション制御手段は、更に、前記APサーバのサービスセッション数を監視し、前記サービスセッション数と所定の最大許容セッション数との比較にもとづいて、前記SIPセッションの確立を許可することを特徴とする請求項10乃至16のいずれかに記載のサーバシステム。
【請求項18】
前記サービスセッション情報は、前記クライアントのIPアドレスと、前記サービスセッションのプロトコル種別に対応したポート番号であることを特徴とする、請求項10乃至17のいずれかに記載のサーバシステム。
【請求項19】
クライアントが、
回線を経由してSIPセッション確立要求を回線認証システムに送信するSIPセッション確立要求送信ステップと、
前記回線認証システムが、
前記SIPセッション確立要求を受信した前記回線の回線識別子をもとに前記SIPセッション確立要求に含まれるSIP認証情報の正当性を確認し、前記SIPセッション確立要求をサーバシステムに転送する回線認証ステップと、
前記サーバシステムが、
前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成を行うセッション情報生成ステップと、
前記SIP認証情報に対応するサービス認証情報の取得を行うサービス認証情報取得ステップと、
前記クライアントが、SIPセッション確立後、前記回線を経由してサービスセッション確立要求を前記サーバシステムに送信するサービスセッション確立要求送信ステップと、
サーバシステムが、
前記サービスセッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてAPサーバのユーザ認証を行うユーザ認証ステップと、
を含むことを特徴とするセッション管理方法。
【請求項20】
前記回線認証ステップは、前記SIPセッション確立要求を受信した前記回線の前記回線識別子と前記SIPセッション確立要求に含まれる前記SIP認証情報の組み合わせが、回線認証データベースに記憶される前記回線識別子と前記SIP認証情報の組み合わせと一致した場合、前記SIPセッション確立要求に含まれる前記SIP認証情報が正当であると判断することを特徴とする請求項19記載のセッション管理方法。
【請求項21】
前記サービス認証情報取得ステップは、前記SIP認証情報に対応する前記サービス認証情報を記憶するメンバー管理データベースを参照し、前記SIP認証情報に対応する前記サービス認証情報を取得することを特徴とする請求項19または20記載のセッション管理方法。
【請求項22】
前記ユーザ認証ステップは、前記サービスセッション確立要求により要求された前記サービスセッションが、前記サービスセッション情報と一致したとき、前記サービス認証情報を用いて前記ユーザ認証を行うことを特徴とする請求項19乃至21いずれかに記載のセッション管理方法。
【請求項23】
更に、前記サーバシステムが受信したパケットのうち前記サービスセッション情報と一致する前記サービスセッションのパケットのみを前記APサーバに転送するアクセス制御ステップ、
を含むことを特徴とする請求項19乃至22のいずれかに記載のセッション管理方法。
【請求項24】
更に、前記サーバシステムが前記サービスセッション情報と一致する前記サービスセッションのパケットについて前記SIPセッション確立要求により要求された帯域を確保するように制御する帯域制御ステップ、
を含むことを特徴とする請求項19乃至23のいずれかに記載のセッション管理方法。
【請求項25】
更に、前記サーバシステムが前記APサーバの負荷状態を監視し前記負荷状態と所定の最大許容負荷との比較にもとづいて前記SIPセッションの確立を許可する負荷判定ステップ、
を含むことを特徴とする請求項19乃至24のいずれかに記載のセッション管理方法。
【請求項26】
更に、前記サーバシステムが前記APサーバのサービスセッション数を監視し前記サービスセッション数と所定の最大許容セッション数との比較にもとづいて前記SIPセッションの確立を許可するセッション数判定ステップ、
を含むことを特徴とする請求項19乃至25のいずれかに記載のセッション管理方法。
【請求項27】
前記サービスセッション情報は、前記クライアントのIPアドレスと、前記サービスセッションのプロトコル種別に対応したポート番号であることを特徴とする、請求項19乃至26のいずれかに記載のセッション管理方法。
【請求項28】
セッション管理サーバ用コンピュータを、
正当性が確認されたSIP認証情報を含むSIPセッション確立要求を受信した際、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得と、前記サービスセッション情報と前記サービス認証情報のAPサーバへの通知とを行うセッション制御手段として機能させるためのプログラム。
【請求項1】
クライアント、回線認証システム、及びサーバシステムを含むアプリケーションサービスシステムであって、
前記クライアントは、回線を経由してSIPセッション確立要求を前記回線認証システムに送信する手段と、SIPセッション確立後、前記回線を経由してサービスセッション確立要求を前記サーバシステムに送信する手段を備え、
前記回線認証システムは、前記SIPセッション確立要求を受信した前記回線の回線識別子をもとに前記SIPセッション確立要求に含まれるSIP認証情報の正当性を確認し、前記SIPセッション確立要求を前記サーバシステムに転送する手段を備え、
前記サーバシステムは、
前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得を行うセッション制御手段と、
前記サービスセッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてユーザ認証を行うAPサーバと、
を備えたことを特徴とするアプリケーションサービスシステム。
【請求項2】
前記回線認証システムは、
更に、前記回線識別子と前記SIP認証情報の組み合わせを記憶する回線認証データベースを備え、
前記SIPセッション確立要求を受信した前記回線の前記回線識別子と前記SIPセッション確立要求に含まれる前記SIP認証情報の組み合わせが、前記回線認証データベースに記憶される前記回線識別子と前記SIP認証情報の組み合わせと一致した場合、前記SIPセッション確立要求に含まれる前記SIP認証情報が正当であると判断することを特徴とする請求項1記載のアプリケーションサービスシステム。
【請求項3】
前記サーバシステムは、
更に、前記SIP認証情報に対応する前記サービス認証情報を記憶するメンバー管理データベースを備え、
前記セッション制御手段は、前記メンバー管理データベースを参照し、前記SIP認証情報に対応する前記サービス認証情報を取得することを特徴とする請求項1または2記載のアプリケーションサービスシステム。
【請求項4】
前記APサーバは、前記サービスセッション確立要求により要求された前記サービスセッションが、前記サービスセッション情報と一致したとき、前記サービス認証情報を用いて前記ユーザ認証を行うことを特徴とする請求項1乃至3のいずれかに記載のアプリケーションサービスシステム。
【請求項5】
前記サーバシステムは、更に、受信したパケットのうち、前記サービスセッション情報と一致する前記サービスセッションのパケットのみを前記APサーバに転送するアクセス制御手段を備えたことを特徴とする請求項1乃至4のいずれかに記載のアプリケーションサービスシステム。
【請求項6】
前記サーバシステムは、更に、前記サービスセッション情報と一致する前記サービスセッションのパケットについて、前記SIPセッション確立要求により要求された帯域を確保するように制御する帯域制御手段を備えたことを特徴とする請求項1乃至5のいずれかに記載のアプリケーションサービスシステム。
【請求項7】
前記セッション制御手段は、更に、前記APサーバの負荷状態を監視し、前記負荷状態と所定の最大許容負荷との比較にもとづいて、前記SIPセッションの確立を許可することを特徴とする請求項1乃至6のいずれかに記載のアプリケーションサービスシステム。
【請求項8】
前記セッション制御手段は、更に、前記APサーバのサービスセッション数を監視し、前記サービスセッション数と所定の最大許容セッション数との比較にもとづいて、前記SIPセッションの確立を許可することを特徴とする請求項1乃至7のいずれかに記載のアプリケーションサービスシステム。
【請求項9】
前記サービスセッション情報は、前記クライアントのIPアドレスと、前記サービスセッションのプロトコル種別に対応したポート番号であることを特徴とする、請求項1乃至8のいずれかに記載のアプリケーションサービスシステム。
【請求項10】
正当性が確認されたSIP認証情報を含むSIPセッション確立要求を受信した際、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得を行うセッション制御手段と、
セッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてユーザ認証を行うAPサーバと、
を備えたことを特徴とするサーバシステム。
【請求項11】
前記SIPセッション確立要求は、SIPセッション確立要求を受信した回線の回線識別子をもとに前記SIP認証情報の正当性を確認する回線認証システムを経由して転送されたものであることを特徴とする請求項10記載のサーバシステム。
【請求項12】
更に、前記SIP認証情報に対応する前記サービス認証情報を記憶するメンバー管理データベースを備え、
前記セッション制御手段は、前記メンバー管理データベースを参照し、前記SIP認証情報に対応する前記サービス認証情報を取得することを特徴とする請求項10または11記載のサーバシステム。
【請求項13】
前記APサーバは、前記サービスセッション確立要求により要求された前記サービスセッションが、前記サービスセッション情報と一致したとき、前記サービス認証情報を用いて前記ユーザ認証を行うことを特徴とする請求項10乃至12のいずれかに記載のサーバシステム。
【請求項14】
更に、受信したパケットのうち、前記サービスセッション情報と一致する前記サービスセッションのパケットのみを前記APサーバに転送するアクセス制御手段を備えたことを特徴とする請求項10乃至13のいずれかに記載のサーバシステム。
【請求項15】
更に、前記サービスセッション情報と一致する前記サービスセッションのパケットについて、前記SIPセッション確立要求により要求された帯域を確保するように制御する帯域制御手段を備えたことを特徴とする請求項10乃至14のいずれかに記載のサーバシステム。
【請求項16】
前記セッション制御手段は、更に、前記APサーバの負荷状態を監視し、前記負荷状態と所定の最大許容負荷との比較にもとづいて、前記SIPセッションの確立を許可することを特徴とする請求項10乃至15のいずれかに記載のサーバシステム。
【請求項17】
前記セッション制御手段は、更に、前記APサーバのサービスセッション数を監視し、前記サービスセッション数と所定の最大許容セッション数との比較にもとづいて、前記SIPセッションの確立を許可することを特徴とする請求項10乃至16のいずれかに記載のサーバシステム。
【請求項18】
前記サービスセッション情報は、前記クライアントのIPアドレスと、前記サービスセッションのプロトコル種別に対応したポート番号であることを特徴とする、請求項10乃至17のいずれかに記載のサーバシステム。
【請求項19】
クライアントが、
回線を経由してSIPセッション確立要求を回線認証システムに送信するSIPセッション確立要求送信ステップと、
前記回線認証システムが、
前記SIPセッション確立要求を受信した前記回線の回線識別子をもとに前記SIPセッション確立要求に含まれるSIP認証情報の正当性を確認し、前記SIPセッション確立要求をサーバシステムに転送する回線認証ステップと、
前記サーバシステムが、
前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成を行うセッション情報生成ステップと、
前記SIP認証情報に対応するサービス認証情報の取得を行うサービス認証情報取得ステップと、
前記クライアントが、SIPセッション確立後、前記回線を経由してサービスセッション確立要求を前記サーバシステムに送信するサービスセッション確立要求送信ステップと、
サーバシステムが、
前記サービスセッション確立要求を受信した際、前記サービスセッション情報と前記サービス認証情報を用いてAPサーバのユーザ認証を行うユーザ認証ステップと、
を含むことを特徴とするセッション管理方法。
【請求項20】
前記回線認証ステップは、前記SIPセッション確立要求を受信した前記回線の前記回線識別子と前記SIPセッション確立要求に含まれる前記SIP認証情報の組み合わせが、回線認証データベースに記憶される前記回線識別子と前記SIP認証情報の組み合わせと一致した場合、前記SIPセッション確立要求に含まれる前記SIP認証情報が正当であると判断することを特徴とする請求項19記載のセッション管理方法。
【請求項21】
前記サービス認証情報取得ステップは、前記SIP認証情報に対応する前記サービス認証情報を記憶するメンバー管理データベースを参照し、前記SIP認証情報に対応する前記サービス認証情報を取得することを特徴とする請求項19または20記載のセッション管理方法。
【請求項22】
前記ユーザ認証ステップは、前記サービスセッション確立要求により要求された前記サービスセッションが、前記サービスセッション情報と一致したとき、前記サービス認証情報を用いて前記ユーザ認証を行うことを特徴とする請求項19乃至21いずれかに記載のセッション管理方法。
【請求項23】
更に、前記サーバシステムが受信したパケットのうち前記サービスセッション情報と一致する前記サービスセッションのパケットのみを前記APサーバに転送するアクセス制御ステップ、
を含むことを特徴とする請求項19乃至22のいずれかに記載のセッション管理方法。
【請求項24】
更に、前記サーバシステムが前記サービスセッション情報と一致する前記サービスセッションのパケットについて前記SIPセッション確立要求により要求された帯域を確保するように制御する帯域制御ステップ、
を含むことを特徴とする請求項19乃至23のいずれかに記載のセッション管理方法。
【請求項25】
更に、前記サーバシステムが前記APサーバの負荷状態を監視し前記負荷状態と所定の最大許容負荷との比較にもとづいて前記SIPセッションの確立を許可する負荷判定ステップ、
を含むことを特徴とする請求項19乃至24のいずれかに記載のセッション管理方法。
【請求項26】
更に、前記サーバシステムが前記APサーバのサービスセッション数を監視し前記サービスセッション数と所定の最大許容セッション数との比較にもとづいて前記SIPセッションの確立を許可するセッション数判定ステップ、
を含むことを特徴とする請求項19乃至25のいずれかに記載のセッション管理方法。
【請求項27】
前記サービスセッション情報は、前記クライアントのIPアドレスと、前記サービスセッションのプロトコル種別に対応したポート番号であることを特徴とする、請求項19乃至26のいずれかに記載のセッション管理方法。
【請求項28】
セッション管理サーバ用コンピュータを、
正当性が確認されたSIP認証情報を含むSIPセッション確立要求を受信した際、前記SIPセッション確立要求をもとにサービスセッションを識別するためのサービスセッション情報の生成と、前記SIP認証情報に対応するサービス認証情報の取得と、前記サービスセッション情報と前記サービス認証情報のAPサーバへの通知とを行うセッション制御手段として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2009−116785(P2009−116785A)
【公開日】平成21年5月28日(2009.5.28)
【国際特許分類】
【出願番号】特願2007−291822(P2007−291822)
【出願日】平成19年11月9日(2007.11.9)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年5月28日(2009.5.28)
【国際特許分類】
【出願日】平成19年11月9日(2007.11.9)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]