ゲートウェイとそのアクセス制御方法
【課題】 ほぼ同じ位置にアクセスを許可すべき端末とアクセスを拒否すべき端末が存在する場合であっても、個別の端末のアクセス制限をより簡便に実現する技術を提供する。
【解決手段】
端末を識別する情報と、アクセスポイントを識別する情報と、の組合せに応じてアクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と、端末からのアクセスごとに、当該端末を識別する情報と、経由しているアクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得部と、アクセス情報取得部により取得した端末を識別する情報と、アクセスポイントを識別する情報と、サーバを識別する情報と、の組合せが記憶部に格納されていれば、アクセスを許可するアクセス許可部と、を備えることを特徴とする。
【解決手段】
端末を識別する情報と、アクセスポイントを識別する情報と、の組合せに応じてアクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と、端末からのアクセスごとに、当該端末を識別する情報と、経由しているアクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得部と、アクセス情報取得部により取得した端末を識別する情報と、アクセスポイントを識別する情報と、サーバを識別する情報と、の組合せが記憶部に格納されていれば、アクセスを許可するアクセス許可部と、を備えることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ゲートウェイの技術に関する。
【背景技術】
【0002】
企業等のネットワークにおいて、パソコン等の端末から各種のサーバへアクセスする場合に、情報セキュリティ対策として、端末の位置を特定しアクセス制限を行うことがある(特許文献1)。特許文献1には、リモートアクセスポイント周辺に設置される通信装置の固有情報を位置固有情報として登録しておき、通信装置を接続先ネットワークに接続させるか否かに関する認証を行い、アクセス制限を行うことが開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−231396号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に記載の方法では、アクセスを許可すべき端末とアクセスを拒否すべき端末が、同一のリモートアクセスポイントを介して通信する場合、個別の端末のアクセス制限を実現できないことがある。
【0005】
本発明の目的は、企業等のネットワークにおいて、ほぼ同じ位置にアクセスを許可すべき端末とアクセスを拒否すべき端末が存在する場合であっても、個別の端末のアクセス制限をより簡便に実現する技術を提供することにある。
【課題を解決するための手段】
【0006】
上記課題を解決するために、本発明に係るゲートウェイは、位置を固定されたアクセスポイントを介した端末からのサーバアクセスを制御するゲートウェイであって;前記端末を識別する情報と、前記アクセスポイントを識別する情報と、の組合せに応じて、アクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と;前記端末からのアクセスごとに、当該端末を識別する情報と、経由している前記アクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得部と;前記アクセス情報取得部により取得した前記端末を識別する情報と、前記アクセスポイントを識別する情報と、前記サーバを識別する情報と、の組合せが前記記憶部に格納されていれば、当該アクセスを許可するアクセス許可部と;を備えることを特徴とする。
【0007】
また、本発明に係るゲートウェイのアクセス制御方法は、位置を固定されたアクセスポイントを介した端末からのサーバアクセスを制御するゲートウェイのアクセス制御方法であって、前記ゲートウェイは;前記端末を識別する情報と、前記アクセスポイントを識別する情報と、の組合せに応じて、アクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と;制御部と;を備え、
前記制御部は、前記端末からのアクセスごとに、当該端末を識別する情報と、経由している前記アクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得ステップと;前記アクセス情報取得ステップにより取得した前記端末を識別する情報と、前記アクセスポイントを識別する情報と、前記サーバを識別する情報と、の組合せが前記記憶部に格納されていれば、当該アクセスを許可するアクセス許可ステップと;を実施することを特徴とする。
【発明の効果】
【0008】
企業等のネットワークにおいて、ほぼ同じ位置にアクセスを許可すべき端末とアクセスを拒否すべき端末が存在する場合であっても、個別の端末のアクセス制限をより簡便に実現することができる。
【図面の簡単な説明】
【0009】
【図1】本発明に係るネットワーク構成例である。
【図2】本発明に係るVoIPゲートウェイの機能ブロック図である。
【図3】本発明に係る企業内配置図である。
【図4】統合ゲートウェイの位置テーブルの構成例を示す図である。
【図5】統合ゲートウェイのサーバテーブルの構成例を示す図である。
【図6】統合ゲートウェイのアクセス許可テーブルの構成例を示す図である。
【図7】統合ゲートウェイの拡張ルーティングテーブルの構成例を示す図である。
【図8】位置ゲートウェイの拡張ルーティングテーブルの構成例を示す図である。
【図9】SIPプロトコルのリクエストメッセージのデータ構造を示す図である。
【図10】VoIPゲートウェイのハードウェア構成例を示す図である。
【図11】統合ゲートウェイによる受信情報処理の処理フロー図である。
【図12】統合ゲートウェイによる受信情報処理の処理フロー図である。
【図13】位置ゲートウェイによる受信情報処理の処理フロー図である。
【図14】端末からの初回アクセス時の登録シーケンス図である。
【図15】初回アクセス時のアクセスシーケンス(端末位置許可)図である。
【図16】初回アクセス時のアクセスシーケンス(位置許可)図である。
【図17】初回アクセス時のアクセスシーケンス(位置不許可)図である。
【図18】拡張ルーティングテーブル解除シーケンス図である。
【図19】端末位置移動による拡張ルーティングテーブル更新シーケンス例である。
【発明を実施するための形態】
【0010】
以下に、本発明に係る第一の実施形態を適用したネットワークシステム1について、図面を参照して説明する。
【0011】
ネットワークシステム1は、企業内等のネットワークであって、ダイヤルイン番号等の追加番号を元に、部署毎にVoIP(Voice over Internet Protocol)ゲートウェイ(以降、位置ゲートウェイとする。)120、121、122、123が配置されている。
【0012】
位置ゲートウェイ120〜123の各々には、LAN(Local Area Network)インターフェースが複数設けられており、当該LANインターフェースを介して、電話端末130〜133、パーソナルコンピュータ等のデータ通信を行う端末140〜143が接続される。本実施形態においては、位置ゲートウェイ120には、位置ゲートウェイを集約するVoIPゲートウェイ(以降、統合ゲートウェイとする)110を介して他の電話端末と通話を行うための電話端末130と、データ通信を行う端末140と、が接続される。位置ゲートウェイ121には、統合ゲートウェイ110を介して他の電話端末と通話を行うための電話端末131と、データ通信を行う端末141と、が接続される。また、位置ゲートウェイ122には、統合ゲートウェイ110を介して他の電話端末と通話を行うための電話端末132と、データ通信を行う端末142と、が接続される。また、位置ゲートウェイ123には、統合ゲートウェイ110を介して他の電話端末と通話を行うための電話端末133と、データ通信を行う端末143と、が接続される。
【0013】
位置ゲートウェイ120〜123の各々には、さらに、WANインターフェースが設けられており、当該WAN(Wide Area Network)インターフェースを介して、位置ゲートウェイ120〜123が相互に通信を行い、また、統合ゲートウェイ110と通信可能である。すなわち、位置ゲートウェイ120〜123は、端末からのアクセスの基点となるアクセスポイントとしての役割を担うといえる。
【0014】
統合ゲートウェイ110は、二本のLANインターフェースと、一本のWANインターフェースとが設けられており、LANインターフェースの一方には、位置ゲートウェイ120〜123が接続可能であり、もう一方のLANインターフェースには、部署ごとにアクセスを制限すべき部署A用サーバ150、部署A、B共用サーバ151、部署B、C用サーバ152の各サーバと、企業内であれば、部署ごとにアクセスを必要としない情報を格納する企業共有サーバ153と、が接続可能である。
【0015】
統合ゲートウェイ110のWANインターフェースは、NGN(Next Generation Network)網等の広域ネットワークおよびインターネットへ接続されており、NGN網と接続される装置と通信を行うことができる。
【0016】
なお、位置ゲートウェイ120〜123の各々には、有線にて電話端末と端末とが接続されるが、これに限られない。すなわち、位置ゲートウェイ120〜123にアクセスポイントを接続した無線通信機を介して電話端末130〜133と端末140〜143とが接続されものであっても良い。また、各サーバについても、部署毎のサーバとして記載しているが、これに限られず、機密情報サーバ、プレゼンサーバ等の目的毎のサーバであっても良いし、業務内容毎のサーバであってもよい。
【0017】
図2は、本発明の実施形態である統合ゲートウェイ110の機能構成を示す機能ブロック図である。基本的には、各処理部の処理内容が詳細において異なるものの、位置ゲートウェイ120〜123のそれぞれは、統合ゲートウェイ110と同様の構成となっているため、統合ゲートウェイ110についての説明を中心に、以下に行う。
【0018】
統合ゲートウェイ110は、LAN側に、位置ゲートウェイへ接続される回線とのインターフェースであるLANIP網I/F220と、サーバへ接続される回線とのインターフェースであるLANIP網I/F221と、を備える。また、LANIP網I/F220、221と接続される拡張ルーティング制御部230と、拡張ルーティング制御部230と接続されるSIPプロトコル制御部240と、SIPプロトコル制御部240および拡張ルーティング制御部230に接続される拡張ルーティングテーブル250と、拡張ルーティング制御部230から参照される構成情報テーブル群260と、構成情報テーブル群260の各テーブル情報を保守する情報の登録部270と、拡張ルーティング制御部230およびSIPプロトコル制御部240と接続されるWANIP網I/F280と、を備える。
【0019】
拡張ルーティング制御部230は、通常のゲートウェイ装置が備えるルーティング制御部の拡張機能を実現する制御部であり、LANIP網I/F220およびLANIP網I/F221に接続された装置とWANIP網I/F280に接続された装置との間の通信をルーティングする。また、本実施形態においては、拡張ルーティング制御部230は、位置ゲートウェイ120〜123から受信したSIPプロトコルによるメッセージ、例えばREGISTERメッセージ等を受け付けた場合には、SIPプロトコル制御部240へ処理を転送し、HTTP等のプロトコルによるメッセージ、例えばHTTP/POSTメッセージ等のサーバへのアクセス要求を受け付けた場合には、拡張ルーティングテーブル250および構成情報テーブル群260に含まれるテーブルを参照して、当該アクセス要求元の端末から送信先サーバへのアクセス可否を判定し、経路の確立または経路の遮断を行う。
【0020】
SIPプロトコル制御部240は、通常のVoIP対応ゲートウェイ装置が備えるSIP制御機能の拡張機能を実現する制御部であり、位置ゲートウェイ120〜123から受信したSIPプロトコルによるメッセージ、例えばREGISTERメッセージ等を受け付けた場合には、当該メッセージに基づき、通常のSIPプロトコルによる通信経路を確立する。また、当該REGISTERメッセージが所定の条件を満たすものである場合には、SIPプロトコル制御部240は、拡張ルーティングテーブル250へのルーティング情報の登録を行う。
【0021】
拡張ルーティングテーブル250は、図7の拡張ルーティングテーブル500に示すデータを格納するテーブルである。拡張ルーティングテーブル500は、端末IPアドレス501と、位置ゲートウェイIPアドレス502と、位置ゲートウェイMACアドレス503と、をレコードとして対応付け、複数レコードを格納可能である。端末IPアドレス501には、通信を行う端末140〜143に予め設定されたIPアドレスが格納される。位置ゲートウェイIPアドレス502には、通信を行う端末と統合ゲートウェイ110との間に介在する位置ゲートウェイ120〜123のIPアドレスが格納される。また、位置ゲートウェイMACアドレス503には、通信を行う端末と統合ゲートウェイ110との間に介在する位置ゲートウェイ120〜123の通信インターフェースが有するMACアドレスが格納される。
【0022】
構成情報テーブル群260には、図4〜図6に示す位置テーブル300と、サーバテーブル350と、アクセス許可テーブル400と、が読み出し可能に格納される。
【0023】
図4に示す位置テーブル300には、位置ゲートウェイを識別する情報である位置ゲートウェイ番号301と、位置ゲートウェイの配置された位置を特定する情報である位置名302と、位置ゲートウェイとして登録されたゲートウェイのWAN上のIPアドレスである位置ゲートウェイWAN_IPアドレス303と、位置ゲートウェイのMACアドレスである位置ゲートウェイWAN_MACアドレス304と、が対応付けられて格納される。
【0024】
例えば、位置テーブル300には、位置ゲートウェイを識別する情報と、位置ゲートウェイの配置された位置を特定する情報として部署名と、部署毎の位置情報として使用するための部署毎のWAN側IPアドレスと、WAN側MACアドレスとが、位置ゲートウェイ番号301と、位置名302と、位置ゲートウェイWAN_IPアドレス303と、位置ゲートウェイWAN_MACアドレス304とに、予め登録部270を介してそれぞれ登録される。
【0025】
図5に示すサーバテーブル350には、サーバを識別する情報であるサーバテーブル番号351と、サーバを識別する名称情報であるサーバ名352と、サーバに予め設定されたIPアドレスであるIPアドレス353と、サーバへのアクセスに際して端末の属性を不問とするゲートウェイ装置を識別する情報である端末を限定しない位置ゲートウェイ番号354と、が対応付けて格納される。
【0026】
例えば、サーバテーブル350には、サーバを識別する情報と、サーバを特定する情報としてサーバ名と、当該サーバのIPアドレスと、当該サーバへのアクセスに際して端末の属性を不問とするゲートウェイ装置を識別する情報とが、サーバテーブル番号351と、サーバ名352と、IPアドレス353と、端末を限定しない位置ゲートウェイ番号354とに、予め登録部270を介してそれぞれ登録される。
【0027】
図6に示すアクセス許可テーブル400には、端末に予め設定されたIPアドレスである端末IPアドレス401と、端末がアクセスする先のサーバを識別する情報であるサーバテーブル番号402との組合せについてアクセスを許可する位置を特定する情報であるアクセス許可位置番号403と、が対応付けて格納される。
【0028】
例えば、アクセス許可テーブル400には、端末140〜143のIPアドレスと、サーバテーブル番号と、当該サーバへアクセス可能な位置を示す位置ゲートウェイ番号とが、端末IPアドレス401と、サーバテーブル番号402と、アクセス許可位置番号403とに、予め登録部270を介してそれぞれ登録される。
【0029】
登録部270は、構成情報テーブル群260の情報を保守するための保守端末と通信を行い、構成情報テーブル群260に含まれる各テーブルの登録を管理する。
【0030】
以上が、本実施形態に係る統合ゲートウェイ110の機能構成である。なお、本実施形態においては、図4、図5、図6に示した位置テーブル300と、サーバテーブル350と、アクセス許可テーブル400とについて、IPアドレス192.168.100.2を有する端末がアクセスできるサーバは、部署A用サーバ150、部署A、B共有サーバ151、企業共有サーバ153であり、IPアドレス192.168.100.2を有する端末が部署A用サーバ150にアクセス可能な位置は、部署Aの位置からのみであり、IPアドレス192.168.100.2を有する端末が部署A、B共有サーバ151にアクセス可能な位置は、部署Aと部署Bからのみとなる。また、IPアドレス192.168.100.2を有する端末は、企業共有サーバ153には、部署Dの位置からはアクセスできないよう設定されているものとする。
【0031】
次に、本実施形態に係る位置ゲートウェイ120〜123について、統合ゲートウェイ110との差異を中心に説明する。
【0032】
位置ゲートウェイ120〜123のそれぞれは、統合ゲートウェイ110と基本的に同様の構成を備える。位置ゲートウェイ120〜123の拡張ルーティング制御部230については、通常のゲートウェイ装置が備えるルーティング制御部の拡張機能を実現する制御部であり、LANIP網I/F220およびLANIP網I/F221に接続された装置とWANIP網I/F280に接続された装置との間の通信をルーティングする点は統合ゲートウェイ110と同様である。ただし、本実施形態においては、位置ゲートウェイ120〜123の拡張ルーティング制御部230は、電話端末130〜133および端末140〜143から受信したSIPプロトコルによるメッセージ、例えばREGISTERメッセージを受け付けた場合には、SIPプロトコル制御部240へメッセージを転送する。
【0033】
また、位置ゲートウェイ120〜123の拡張ルーティング制御部230は、端末140〜143から受信したHTTPやSMTP等のプロトコルによるメッセージ、例えばサーバへのHTTP/POSTメッセージ等のアクセス要求メッセージを受け付けた場合には以下の動作を行う。すなわち、位置ゲートウェイ120〜123の拡張ルーティング制御部230は、拡張ルーティングテーブル250に含まれるテーブルを参照して、当該アクセス要求元の端末から送信先サーバへの経路が確立している場合にはメッセージを統合ゲートウェイ110へ転送し、確立していない場合にはSIPプロトコル制御部240へSIPプロトコルによるREGISTERメッセージを統合ゲートウェイ110へ送信するよう依頼し、経路確立後にメッセージを統合ゲートウェイ110へ転送する。
【0034】
本実施形態においては、図3に示すように、建屋内の所定の物理的空間を区分する複数の部屋50、51、53、54には、それぞれ部署A、B、C、Dが配置されている。そして、部屋50、51、53、54には、位置ゲートウェイ120〜123がそれぞれ設置されており当該位置ゲートウェイのそれぞれには各部屋内に存在する端末等が接続される。当該位置ゲートウェイのWAN側のIPアドレスは、それぞれ、部署Aでは192.168.0.10/24であり、部署Bでは192.168.0.20/24であり、部署Cでは192.168.0.30/24であり、部署Dでは192.168.0.40/24であるものとする。
【0035】
位置ゲートウェイ120〜123のSIPプロトコル制御部240は、通常のVoIP対応ゲートウェイ装置が備えるSIP制御機能の拡張機能を実現する制御部であり、電話端末130〜133および端末140〜143から受信したSIPプロトコルによるメッセージ、例えばREGISTERメッセージ等を受け付けた場合には、当該メッセージに基づき、通常のSIPプロトコルによる通信経路を確立する。また、当該REGISTERメッセージが所定の条件を満たすものである場合には、SIPプロトコル制御部240は、拡張ルーティングテーブル250へのルーティング情報の登録を行う。
【0036】
位置ゲートウェイ120〜123が有する拡張ルーティングテーブル250は、図8の拡張ルーティングテーブル550に示すデータを格納するテーブルである。拡張ルーティングテーブル550は、端末IPアドレス551と、統合ゲートウェイIPアドレス552と、統合ゲートウェイMACアドレス553と、を対応付けて、レコードを複数件格納する。端末IPアドレス551には、通信を行う端末140〜143に予め設定されたIPアドレスが格納される。統合ゲートウェイIPアドレス552には、デフォルトゲートウェイとして予め設定されている統合ゲートウェイのIPアドレスが格納される。また、統合ゲートウェイMACアドレス553には、通信を行う統合ゲートウェイ110の通信インターフェースが有するMACアドレスが格納される。
【0037】
以上、位置ゲートウェイ120〜123の構成について説明した。
【0038】
ところで、ネットワークシステム1では、SIPのプロトコルに準拠したデータ通信を行う。そのデータ通信におけるデータ構造について、リクエストメッセージ600を例として図9を用いて説明する。
【0039】
図9は、リクエストメッセージ600のデータ構造を示す図である。リクエストメッセージ600は、基本的に、SIPプロトコルにおけるリクエストメッセージと同様のフォーマットを有する。リクエストメッセージ600は、リクエストライン(Request−Line)610と、ヘッダーフィールド(Header Fields)620と、メッセージボディ(MessageBody)630と、を有する。
【0040】
リクエストライン610には、「REGISTER」や「INVITE」等の要求動作を特定するメソッド(Method)611と、リクエストURI(Request−URI)612と、SIPバージョン(SIP−Version)613と、が含まれる。本実施形態においては、これらのリクエストライン610には所定の設定値が埋め込まれてメッセージが構成される。
【0041】
ヘッダーフィールド620には、少なくとも、Fromヘッダー(From:)621と、Toヘッダー(To:)622と、Call−ID(Call−ID:)623の情報が含まれる。ここで、Fromヘッダーには、表示名(display−name)と、使用者名(username)と、を含むことができる。
【0042】
メッセージボディ630には、SDP(Session Description Protocol)によるデータの記述が含まれる。
【0043】
図10に、統合ゲートウェイ110のハードウェア構成図を示す。なお、位置ゲートウェイ120〜123についても、統合ゲートウェイ110と略同様のハードウェア構成を備える。
【0044】
本実施形態においては、統合ゲートウェイ110は、例えば、いわゆるゲートウェイ装置であり、サーバ装置や、ルーター装置により実装される。しかし、これに限らず、PC(パーソナルコンピュータ)や、ワークステーション、各種携帯電話端末、PDA(Personal Digital Assistant)、スマートフォンなどに分類される計算機であってもよい。
【0045】
統合ゲートウェイ110は、演算装置111と、主記憶装置112と、二つのLAN通信装置113、114と、WAN通信装置115と、それぞれの装置を互いに接続するバス116と、を有する。
【0046】
演算装置111は、例えばCPU(Central Processing Unit)などの演算装置である。
【0047】
主記憶装置112は、例えばRAM(Random Access Memory)などのメモリ装置である。
【0048】
LAN通信装置113、114のそれぞれは、LANIP網I/F220、221として、各LANに接続される機器との通信を行う通信装置である。
【0049】
WAN通信装置115は、WANIP網I/F280として、NGN網100やインターネット等のWAN側に接続される装置との通信を行う通信装置である。
【0050】
拡張ルーティング制御部230と、SIPプロトコル制御部240と、登録部270とは、演算装置111に処理を行わせるプログラムによって実現される。
【0051】
このプログラムは、主記憶装置112または図示しないフラッシュメモリ等の不揮発性記憶装置内に記憶され、実行にあたって主記憶装置112上にロードされ、演算装置111により実行される。
【0052】
また、拡張ルーティングテーブル250は、主記憶装置112上に展開されて実現される。
【0053】
構成情報テーブル群260は、図示しないフラッシュメモリや磁気ディスク等の不揮発性記憶装置内に記憶され、必要に応じて演算装置111により読み出しの制御がなされる。
【0054】
次に、統合ゲートウェイの受信情報の処理フローについて、図11を用いて説明する。図11は、統合ゲートウェイがLANIP網I/F220、221、WANIP網I/F280のいずれかから、通信データを受信した場合に開始される受信情報処理のフローを示す図である。
【0055】
まず、拡張ルーティング制御部230は、受信したデータがREGISTERメッセージであるか否かを判定する(ステップS001)。具体的には、拡張ルーティング制御部230は、受信したデータがSIPプロトコルのリクエストメッセージ600の形式であって、メソッド611に「REGISTER」の情報が含まれていればREGISTERメッセージであると判定する。拡張ルーティング制御部230は、REGISTERメッセージである場合には、SIPプロトコル制御部240へ受信データを受け渡し、後述する図12のステップS010へ処理を進める。
【0056】
REGISTERメッセージではない場合(ステップS001にて「No」の場合)、拡張ルーティング制御部230は、受信したメッセージから送信元IPアドレスと、送信先IPアドレスと、送信元MACアドレスと、を抽出する(ステップS002)。なお、当ステップの処理が実施される場合には、受信メッセージには、送信元IPアドレスとしては、端末140〜143のいずれかのIPアドレスが格納されており、送信先IPアドレスとしては、端末がアクセスしようとした機器のIPアドレスが格納されており、送信元MACアドレスとしては、位置ゲートウェイ120〜123のいずれかのMACアドレスが格納されていることとなる。
【0057】
そして、拡張ルーティング制御部230は、送信先IPアドレスがサーバのIPアドレスのいずれかであるか否かを判定する(ステップS003)。具体的には、拡張ルーティング制御部230は、ステップS002で抽出した送信先IPアドレスが、サーバテーブル350のIPアドレス353に含まれているか否かを判定し、含まれている場合には、サーバのIPアドレスであると判定する。サーバのIPアドレスではない場合には、通常のルーティング処理を行い、受信データを転送し、処理を終了する。
【0058】
サーバのIPアドレスである場合(ステップS003にて「Yes」の場合)、拡張ルーティング制御部230は、送信元IPアドレスが拡張ルーティングテーブル250に登録済みか否かを判定する(ステップS004)。具体的には、拡張ルーティング制御部230は、ステップS002にて抽出した送信元IPアドレスが、拡張ルーティングテーブル500の端末IPアドレス501に含まれている場合に、登録済みと判定する。
【0059】
送信元IPアドレスが拡張ルーティングテーブル250に登録済みでない場合(ステップS004にて「No」の場合)、拡張ルーティング制御部230は、受信したメッセージを廃棄する(ステップS005)。そして、受信情報処理を終了する。
【0060】
送信元IPアドレスが拡張ルーティングテーブル250に登録済みの場合(ステップS004にて「Yes」の場合)、拡張ルーティング制御部230は、送信元MACアドレスが端末を限定しない位置ゲートウェイのMACアドレスであるか否かを判定する(ステップS006)。
【0061】
具体的には、拡張ルーティング制御部230は、ステップS002にて特定した送信元のMACアドレス(すなわち、統合ゲートウェイに送信されたデータが転送された経路のうち、直近の送信元のMACアドレス)を取得して、当該MACアドレスが位置テーブル300上の位置ゲートウェイWAN_MACアドレス304のいずれかに含まれるか否かを判定する。当該MACアドレスが、位置ゲートウェイWAN_MACアドレス304のいずれにも含まれない場合には、拡張ルーティング制御部230は、送信元MACアドレスが端末を限定しない位置ゲートウェイのMACアドレスではないと判定する。
【0062】
当該MACアドレスが、位置ゲートウェイWAN_MACアドレス304のいずれかに含まれる場合、拡張ルーティング制御部230は、該当するレコードの位置ゲートウェイ番号301を取得する。そして、拡張ルーティング制御部230は、サーバテーブル350のIPアドレス353が送信先IPアドレスと一致するサーバについて、取得した位置ゲートウェイ番号が、端末を限定しない位置ゲートウェイ番号354に含まれるか否かを判定する。含まれる場合、拡張ルーティング制御部230は、当該MACアドレスが位置テーブル300上の位置ゲートウェイWAN_MACアドレス304のいずれかに含まれると判定し、後述するステップS008へ制御を進める。含まれない場合、拡張ルーティング制御部230は、送信元MACアドレスが端末を限定しない位置ゲートウェイのMACアドレスではないと判定する。
【0063】
送信元MACアドレスが端末を限定しない位置ゲートウェイのMACアドレスではないと判定した場合(ステップS006にて「No」の場合)、拡張ルーティング制御部230は、送信元IPアドレスが、送信先IPアドレスで特定されるサーバへのアクセスが有効であるか否かを判定する(ステップS007)。具体的には、拡張ルーティング制御部230は、送信元IPアドレスがアクセス許可テーブル400の端末IPアドレス401に含まれており、かつ、送信先IPアドレスで特定されるサーバのサーバテーブル番号が、サーバテーブル番号402に含まれており、かつさらに、送信元MACアドレスで特定される位置ゲートウェイ番号がアクセス許可位置番号403に含まれているという条件を満たすか否かを判定する。
【0064】
条件を満たさない場合には、拡張ルーティング制御部230は、送信元IPアドレスが、送信先IPアドレスで特定されるサーバへのアクセスが有効でないと判定し、制御をステップS005へと進める。条件を満たす場合には、拡張ルーティング制御部230は、送信元IPアドレスが、送信先IPアドレスで特定されるサーバへのアクセスが有効であると判定し、ステップS008へ制御を進める。
【0065】
拡張ルーティング制御部230は、送信先IPアドレスへ、受信したメッセージを転送する(ステップS008)。そして、受信情報処理を終了する。なお、当該メッセージの転送により、送信先IPアドレスで指定される装置(サーバ装置150〜153等)に対して、送信されたメッセージを転送することができる。
【0066】
次に、図12を参照して、ステップS001にて受信したメッセージがREGISTERメッセージであった場合(ステップS001にて「Yes」の場合)の処理について説明する。
【0067】
ステップS001にて受信したメッセージがREGISTERメッセージであった場合(ステップS001にて「Yes」の場合)、SIPプロトコル制御部240は、REGISTERメッセージに拡張パラメータを有するか否かを判定する(ステップS010)。具体的には、SIPプロトコル制御部240は、受信したREGISTERメッセージのヘッダーフィールド620から、Fromヘッダー621の情報を抽出し、表示名(display−name)と、使用者名(username)とが設定されていれば、拡張パラメータを有すると判定する。設定されていなければ、拡張パラメータを有しないと判定し、通常のルーティング処理を行い、受信データを転送して、処理を終了する。
【0068】
拡張パラメータを有する場合(ステップS010にて「Yes」の場合)、SIPプロトコル制御部240は、位置ゲートウェイのMACアドレスとIPアドレスおよび端末のIPアドレスを、REGISTERメッセージの拡張されたパラメータから取得する(ステップS011)。具体的には、SIPプロトコル制御部240は、REGISTERメッセージが格納されているTCP/IPのヘッダー情報から、位置ゲートウェイのMACアドレスである送信元MACアドレスを取得する。そして、SIPプロトコル制御部240は、位置ゲートウェイを示す送信元IPアドレスと、端末を示す送信元IPアドレス(以降、送信元IP端末と称呼)とを、REGISTERメッセージのヘッダーフィールド620に含まれる拡張されたFromヘッダーの使用者名(username)および表示名(display−name)からそれぞれ取得する。
【0069】
そして、SIPプロトコル制御部240は、送信元IP端末が拡張ルーティングテーブル250に登録済みか否かを判定する(ステップS012)。具体的には、SIPプロトコル制御部240は、ステップS011にて抽出した送信元IP端末、すなわち端末のIPアドレスが、拡張ルーティングテーブル500の端末IPアドレス501に含まれるか否かを判定する。端末IPアドレス501に含まれない場合には、SIPプロトコル制御部240は、送信元IP端末が拡張ルーティングテーブル250に登録済みではない、と判定し、後述するステップS015へ制御を進める。
【0070】
送信元IP端末が、拡張ルーティングテーブル250に登録済みの場合(ステップS012にて「Yes」の場合)、SIPプロトコル制御部240は、送信元IPアドレスが拡張ルーティングテーブルに登録済みの位置ゲートウェイと異なるか否かを判定する(ステップS013)。具体的には、SIPプロトコル制御部240は、ステップS011にて抽出した送信元IPアドレス(使用者名usernameの値)が、拡張ルーティングテーブル500の位置ゲートウェイIPアドレス502と同一であるか否かを判定する。なお、当該判定においては、SIPプロトコル制御部240は、拡張ルーティングテーブル500の端末IPアドレス501が送信元IP端末と一致するレコードについて、位置ゲートウェイIPアドレス502と送信元IPアドレスとを比較する。登録済みの位置ゲートウェイと異ならない場合、SIPプロトコル制御部240は、後述するステップS016へ制御を進める。
【0071】
送信元IPアドレスが登録済みの位置ゲートウェイと異なる場合には、SIPプロトコル制御部240は、拡張ルーティングテーブル250に登録済みの位置ゲートウェイに、登録応答メッセージを送信する(ステップS014)。具体的には、SIPプロトコル制御部240は、拡張ルーティングテーブル500の端末IPアドレス501が送信元IP端末と一致するレコードについて、位置ゲートウェイIPアドレス502および位置ゲートウェイMACアドレス503を取得し、REGISTERメッセージへの応答となる登録応答メッセージ(200OK)を構成して当該位置ゲートウェイIPアドレス502で特定される位置ゲートウェイに送信する。その際、SIPプロトコル制御部240は、登録応答メッセージ(200OK)のFromヘッダーに、受信したREGISTERメッセージに設定されていたFromヘッダーと同様の値を設定して送信する。すなわち、SIPプロトコル制御部240は、ステップS011にて抽出した送信元IPアドレスおよび送信元IP端末を、それぞれ使用者名(username)および表示名(display−name)に設定し、拡張ルーティング制御部230、LANIP網I/F220を介して登録応答メッセージ(200OK)を送信する。
【0072】
そして、SIPプロトコル制御部240は、拡張ルーティングテーブル250へ、送信元端末と位置ゲートウェイの組合せを登録する(ステップS015)。具体的には、SIPプロトコル制御部240は、まず、拡張ルーティングテーブル500の端末IPアドレス501が送信元IP端末と一致するレコードについて、レコードから削除する。そして、SIPプロトコル制御部240は、拡張ルーティングテーブル500の端末IPアドレス501と、位置ゲートウェイIPアドレス502と、位置ゲートウェイMACアドレス503と、のそれぞれに、ステップS011にて抽出した送信元IP端末と、送信元IPアドレスと、送信元MACアドレスとを対応付けて格納する。
【0073】
そして、SIPプロトコル制御部240は、REGISTERメッセージの送信元の位置ゲートウェイに、登録応答メッセージを送信する(ステップS016)。具体的には、SIPプロトコル制御部240は、REGISTERメッセージへの応答となる登録応答メッセージ(200OK)を構成して、REGISTERメッセージの送信元の位置ゲートウェイに送信する。その際、SIPプロトコル制御部240は、登録応答メッセージ(200OK)のFromヘッダーに、受信したREGISTERメッセージに設定されていたFromヘッダーと同様の値を設定して送信する。すなわち、SIPプロトコル制御部240は、ステップS011にて抽出した送信元IPアドレスおよび送信元IP端末を、それぞれ使用者名(username)および表示名(display−name)に設定し、拡張ルーティング制御部230、LANIP網I/F220を介して登録応答メッセージ(200OK)を送信する。
【0074】
以上が、統合ゲートウェイにおける受信情報処理のフローである。当該受信情報処理を行うことで、統合ゲートウェイは、位置ゲートウェイからREGISTERメッセージを受け取った場合には、当該REGISTERメッセージの対象となっている機器を拡張ルーティングテーブル250に登録し、REGISTERメッセージ以外のメッセージであってサーバへのアクセスを行うメッセージを受け取った場合には、そのアクセスが可能な端末、位置、サーバの組合せ等に応じてアクセスを制御することができる。なお、既にREGITERメッセージにより登録されている端末が、異なる位置ゲートウェイを介してREGISTERメッセージを送信した場合には、統合ゲートウェイは、登録されている位置ゲートウェイに登録メッセージを送信するとともに、当該位置ゲートウェイに関する登録を削除し、REGISTERメッセージの内容に従って拡張ルーティングテーブル250へ新たに端末の登録を行うことができる。
【0075】
次に、位置ゲートウェイの受信情報の処理フローについて、図13を用いて説明する。図13は、位置ゲートウェイがLANIP網I/F220、221、WANIP網I/F280のいずれかから、通信データを受信した場合に開始される受信情報処理のフローを示す図である。
【0076】
まず、拡張ルーティング制御部230は、受信したデータから、端末のIPアドレスと、ゲートウェイのIPアドレスと、を取得することができるか否かを判定する(ステップS101)。具体的には、拡張ルーティング制御部230は、受信したデータから、SIPメッセージにおけるヘッダーフィールド620のFromヘッダー621に含まれる表示名(display−name)と使用者名(username)から、端末のIPアドレスおよびゲートウェイのIPアドレスのそれぞれを取得することができるか否かを判定する。拡張ルーティング制御部230は、受信したデータから端末のIPアドレスおよびゲートウェイのIPアドレスのそれぞれを取得できなかった場合には、後述するステップS104に制御を進める。
【0077】
SIPプロトコル制御部240は、受信したデータから、端末のIPアドレスと、ゲートウェイのIPアドレスと、を取得することができた場合(ステップS101にて「Yes」の場合)には、ゲートウェイのIPアドレスが自ゲートウェイのIPアドレスと一致するか否かを判定する(ステップS102)。自ゲートウェイのIPアドレスと一致する場合には、SIPプロトコル制御部240は、後述するステップS104に制御を進める。
【0078】
自ゲートウェイのIPアドレスと一致しない場合(ステップS102にて「No」の場合)には、SIPプロトコル制御部240は、拡張ルーティングテーブル250から、該当するIPアドレスを有する端末に関する登録を削除する(ステップS103)。具体的には、SIPプロトコル制御部240は、拡張ルーティングテーブル550の端末IPアドレス551のうち、ステップS101にて抽出した端末のIPアドレスと一致するレコードを特定し、当該レコードを削除する。そして、SIPプロトコル制御部240は、受信情報処理を終了する。
【0079】
SIPプロトコル制御部240は、端末のIPアドレスとゲートウェイIPアドレスの組合せが、拡張ルーティングテーブル250に登録済みか否かを判定する(ステップS104)。具体的には、SIPプロトコル制御部240は、ステップS101において抽出した端末のIPアドレスおよびゲートウェイIPアドレスの組み合わせが、拡張ルーティングテーブル550の端末IPアドレス551および統合ゲートウェイIPアドレス552の組み合わせのいずれかに該当するか否かを判定する。なお、ステップS101において、端末のIPアドレスとゲートウェイIPアドレスとのいずれか、またはその両方が取得できなかった場合には、拡張ルーティング制御部230は、端末のIPアドレスとゲートウェイIPアドレスの組合せが、拡張ルーティングテーブル250に登録されていないと判定する。拡張ルーティングテーブル250に登録済みであれば、後述するステップS109へ制御を進める。
【0080】
端末のIPアドレスとゲートウェイIPアドレスの組合せが、拡張ルーティングテーブル250に登録されていない場合(ステップS104にて「No」)には、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)が拡張ルーティングテーブル250に登録されているか否かを判定する(ステップS105)。具体的には、SIPプロトコル制御部240は、ステップS101で抽出した端末のIPアドレス(送信元IP)が、拡張ルーティングテーブル550の端末IPアドレス551に含まれるか否かを判定する。含まれる場合には、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)が拡張ルーティングテーブル250に登録されていると判定し、制御を後述するステップS109に進める。
【0081】
端末のIPアドレス(送信元IP)が拡張ルーティングテーブル250に登録されていない場合(ステップS105にて「No」の場合)には、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)と、自ゲートウェイのIPアドレスと、自ゲートウェイのMACアドレスと、を含む登録要求を、統合ゲートウェイへ送信する(ステップS106)。具体的には、SIPプロトコル制御部240は、ステップS101で抽出した端末のIPアドレス(送信元IP)と、自ゲートウェイのIPアドレスと、自ゲートウェイのMACアドレスと、を含む登録要求として、SIPプロトコルのREGISTERメッセージを構成し、当該REGISTERメッセージを統合ゲートウェイ110へ送信する。なお、IPアドレス(送信元IP)と、自ゲートウェイのIPアドレスとは、それぞれ、REGISTERメッセージのヘッダーフィールド620のFromヘッダー621の表示名(display−name)と、使用者名(username)として盛り込まれる。また、自ゲートウェイのMACアドレスは、当該REGISTERメッセージを送信するTCP/IPパケットのヘッダーに盛り込まれる。
【0082】
そして、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)と、自ゲートウェイのIPアドレス(自IP)と、を含む登録応答を、統合ゲートウェイから受信する(ステップS107)。具体的には、SIPプロトコル制御部240は、ステップS106にて統合ゲートウェイへ送信したREGISTERメッセージへの応答として、200OKの登録完了メッセージを受け取る。なお、当該200OKメッセージには、ヘッダーフィールド620のFromヘッダー621の表示名(display−name)と、使用者名(username)のそれぞれに、端末IPアドレス(送信元IP)と、自ゲートウェイのIPアドレス(自IP)とが含まれている。また、統合ゲートウェイのMACアドレスは、当該200OKメッセージを送信するTCP/IPパケットのヘッダーに盛り込まれている。
【0083】
そして、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)と、統合ゲートウェイのIPアドレスと、統合ゲートウェイのMACアドレスとを、拡張ルーティングテーブル250へ登録する(ステップS108)。具体的には、SIPプロトコル制御部240は、ステップS107で受信した200OKメッセージから取得した端末のIPアドレス(送信元IP)と、図示しないルーティングテーブルに予め登録されている統合ゲートウェイのIPアドレスと、統合ゲートウェイのMACアドレスとを対応付けて、拡張ルーティングテーブル550へ登録する。そして、SIPプロトコル制御部240は、図示しない計時部に依頼して、当該端末のIPアドレスに対応付けて時刻を保持する。当該時刻から所定の時間が経過した場合には、SIPプロトコル制御部240は、当該端末のアクセス可能時間を過ぎたものと判定し、拡張ルーティングテーブル550から当該端末の登録を削除するとともに、統合ゲートウェイ110に対して当該端末の登録を削除するようSIPのREGISTERメッセージ(Expiresヘッダーの値が「0」となるREGISTERメッセージ)を作成し、送信する。
【0084】
次に、拡張ルーティング制御部230は、送信先IPアドレスに、受信したメッセージを転送する(ステップS109)。具体的には、拡張ルーティング制御部230は、受信情報処理を開始するきっかけとなった受信メッセージを、その送信先IPアドレスを有する装置に対して送信する。なお、受信したメッセージがSIPプロトコルにおけるメッセージである場合には、拡張ルーティング制御部230は、SIPプロトコル制御部240を介して、メッセージ送信を行う。
【0085】
以上が、位置ゲートウェイにおける受信情報処理のフローである。当該受信情報処理を行うことで、位置ゲートウェイは、未登録の端末からアクセス要求情報を受け取った場合には、統合ゲートウェイに対して拡張ルーティングテーブルへの登録を要求するREGISTERメッセージを送信するとともに、自身の拡張ルーティングテーブルへの登録も行うことができる。また、拡張ルーティングテーブルへ登録済みの端末からアクセス要求を受け取った場合、アクセス要求を当該要求先へ転送する。また、SIPメッセージのFromヘッダーの所定位置に含まれる端末IPアドレスおよびゲートウェイIPアドレスについて、自ゲートウェイIPアドレスではない他のIPアドレスがゲートウェイIPアドレスである場合には、位置ゲートウェイは、当該メッセージの端末IPアドレスに相当するエントリを、拡張ルーティングテーブルから削除する。これは、既にREGITERメッセージにより登録されている端末が、異なる位置ゲートウェイを介して統合ゲートウェイにREGISTERメッセージを送信した場合に、統合ゲートウェイから既に登録されている位置ゲートウェイに対して送信される登録応答メッセージであると判断することが可能であるためである。
【0086】
すなわち、位置ゲートウェイにおける受信情報処理によれば、適切にメッセージの転送を行うだけでなく、拡張ルーティングテーブルへの端末の追加/削除を行うことができる。
【0087】
次に、動作例として、図14および図15を用いて、IPアドレス「192.168.100.2」を有する端末140から、部署AのVoIPゲートウェイ120および統合ゲートウェイ110を経由して部署A用サーバ150へ初めてアクセスした時の処理シーケンスを説明する。
【0088】
まず、端末140から、TCP/IP等のSYNパケット等、アクセス要求が部署AのVoIPゲートウェイ120へ送信される(ステップF001)。当該アクセス要求の情報には、送信元端末IPアドレスと、送信先のサーバのIPアドレスとが含まれる。
【0089】
部署AのVoIPゲートウェイ120は、部署AのVoIPゲートウェイ120内のLANIP網I/F220を介して拡張ルーティング制御部230がアクセス要求メッセージを受信する。拡張ルーティング制御部230は、アクセス要求メッセージ内の送信元端末IPアドレス(192.168.100.2)が拡張ルーティングテーブル550に設定されているか否かを判定し、設定されていない場合には、統合ゲートウェイ110に登録することが必要と判定し、SIPプロトコル制御部240に端末の登録を行うよう処理を要求する。端末登録の要求を受信したSIPプロトコル制御部240は、SIPのREGISTERメッセージのFromヘッダー内のdisplay−nameに端末のIPアドレスを設定し、usernameに自VoIPゲートウェイ(位置ゲートウェイ)のWAN側IPアドレスを設定し、端末の登録である旨の独自メッセージを作成し、WANIP網I/F280を介して統合ゲートウェイ110へ登録要求メッセージを送信する(ステップF002)。
【0090】
統合ゲートウェイ110は、統合ゲートウェイ110内のLANIP網I/F220を介して拡張ルーティング制御部230が、登録要求メッセージを受信する。拡張ルーティング制御部230は、当該登録要求メッセージがSIPのREGISTERメッセージであることを判定すると、SIPプロトコル制御部240にメッセージを受け渡す。REGISTERメッセージを受信したSIPプロトコル制御部240は、メッセージの解析を行い、Fromヘッダー内のdisplay−nameにIPアドレスが設定されていることから、端末の登録である旨の拡張パラメータが有ると判断する。SIPプロトコル制御部240は、メッセージから、送信元端末のIPアドレス、送信元VoIPゲートウェイIPアドレス、送信元VoIPゲートウェイMACアドレスを抽出する。そして、SIPプロトコル制御部240は、端末のIPアドレスが拡張ルーティングテーブル500に設定されているか否かを判定する。SIPプロトコル制御部240は、端末のIPアドレスが設定されていない場合は、拡張ルーティングテーブル500に端末IPアドレスと、位置ゲートウェイのIPアドレスと、位置ゲートウェイのMACアドレスと、を追加する(ステップF003)。
【0091】
そして、SIPプロトコル制御部240は、SIPの200OKメッセージのFromヘッダー内に、受信したREGISTERのFromヘッダーと同様の値を設定し、部署AのVoIPゲートウェイ120へ登録応答メッセージ(200OKメッセージ)を送信する(ステップF004)。
【0092】
部署AのVoIPゲートウェイ120は、部署AのVoIPゲートウェイ120内のWANIP網I/F280を介してSIPプロトコル制御部240が統合ゲートウェイ110より送信された登録応答メッセージ(200OKメッセージ)を受信する。SIPプロトコル制御部240は、登録応答メッセージの解析を行い、Fromヘッダー内に、F002にて送信したREGISTERメッセージのFromヘッダーと同様の値が設定されていることを確認すると、端末の登録要求の応答であると判定する。SIPプロトコル制御部240は、拡張ルーティングテーブル550に端末IPアドレスと、統合ゲートウェイIPアドレスと、統合ゲートウェイMACアドレスとの登録を行う(ステップF005)。また、SIPプロトコル制御部240は、所定のアクセス可能時間が経過した端末からのアクセスを拒否するために、拡張ルーティングテーブル550から当該端末を削除するための時刻を取得し、拡張ルーティング制御部230へ端末の登録応答を通知する。
【0093】
端末の登録応答を受信した拡張ルーティング制御部230は、ステップF001にて端末から受け取ったアクセス要求を、WANIP網I/F280を介して統合ゲートウェイ110へ送信する(ステップF006)。なお、当該アクセス要求には、受信した際と同様に、送信元端末のIPアドレスと、送信先サーバのIPアドレスと、が含まれている。
【0094】
統合ゲートウェイ110では、統合ゲートウェイ110内のLANIP網I/F220を介して拡張ルーティング制御部230が部署AのVoIPゲートウェイ120から送信されたアクセス要求を受信する。拡張ルーティング制御部230は、アクセス要求メッセージ内に含まれる送信元IPアドレスと、送信先IPアドレスと、送信元MACアドレスと、を抽出する。
【0095】
拡張ルーティング制御部230は、送信先IPアドレスと、構成情報テーブル群260のサーバテーブル350に登録された情報とを付き合わせて、部署A用サーバ150が送信先であること、およびサーバテーブル番号Aを特定する。拡張ルーティング制御部230は、さらに、送信元IPアドレス(端末のIPアドレス)が拡張ルーティングテーブル500に登録されている場合、構成情報テーブル群260の位置テーブル300から送信元MACアドレスが一致するエントリを特定し、位置ゲートウェイ番号(位置ゲートウェイ番号「1」)を取得する。
【0096】
さらに、拡張ルーティング制御部230は、構成情報テーブル群260のサーバテーブル350を参照して、サーバテーブル番号Aへのアクセスは、アクセスする端末と、アクセスする位置との組合せが制限されることを特定する。そのため、拡張ルーティング制御部230は、端末のIPアドレスを構成情報テーブル群260のアクセス許可テーブル400を検索し、その結果、端末(IPアドレス「192.168.100.2」の端末)のサーバテーブル番号A(部署A用サーバ150)へのアクセスは、位置ゲートウェイ番号1(部署AのVoIPゲートウェイ120)からのアクセスが可能と判断できる。そのため、拡張ルーティング制御部230は、LANIP網I/F221を介して部署A用サーバ150へアクセス要求を送信する(F007)。
【0097】
アクセス要求を受信した部署A用サーバ150は、サーバ自体ではアクセス要求を規制していないのでアクセスの結果となるアクセス応答を統合ゲートウェイ110へ送信する(ステップF008)。なお、アクセス応答には、送信元サーバIPアドレスと、送信先端末IPアドレスとが含まれる。
【0098】
統合ゲートウェイ110の拡張ルーティング制御部230は、アクセス応答を受け付けると、送信元IPアドレスと、送信先IPアドレスと、送信元MACアドレスとを抽出し、送信先IPアドレスがサーバのIPアドレスでないために、通常のルーティング処理によりアクセス応答を部署AのVoIPゲートウェイ120へ転送する(ステップF009)。
【0099】
部署AのVoIPゲートウェイ120の拡張ルーティング制御部230は、アクセス応答を受け付けると、SIPメッセージとは異なるフォーマットであるためにFromヘッダーから端末IPアドレス等を取得できないが、送信元のIPアドレスと送信先のIPアドレスが特定されるために、通常のルーティング制御を行い、送信先IPアドレスである端末140へアクセス応答を転送する(ステップF010)。これにより、端末140と部署A用サーバ150間での通信が成立する。
【0100】
次に、図16を用いて、IPアドレス「192.168.100.2」を有する端末140から、部署AのVoIPゲートウェイ120および統合ゲートウェイ110を経由して企業共有サーバ153へ初めてアクセスした時の処理シーケンスを説明する。なお、ステップF001〜F005については、図14に示すシーケンスと同様であるため、説明を省略する。
【0101】
企業共有サーバ153は、位置ゲートウェイ1、2、3すなわち部署AのVoIPゲートウェイ120、部署BのVoIPゲートウェイ121、部署CのVoIPゲートウェイ122からのアクセスであれば端末を問わずにアクセス可能なサーバである。サーバテーブル350に、端末を限定しない位置ゲートウェイ番号354に、位置1、位置2、位置3として登録があることにより、当該アクセスの許可が実現する。すなわち、統合ゲートウェイ110の受信情報処理のステップS006において送信元MACアドレスは端末を限定しない位置ゲートウェイであるとの判定が成されるため、ステップS007のアクセス許可テーブル400の照合をせずに、メッセージ転送がなされる。
【0102】
そのため、統合ゲートウェイ110は、ステップF006にてアクセス要求を部署AのVoIPゲートウェイ120から転送されると、端末のIPアドレスの参照を行わずに、企業共有サーバ153へアクセス要求を送信する(ステップF007)。
【0103】
また、その後のアクセス応答についても、統合ゲートウェイ110は部署AのVoIPゲートウェイ120へ転送し、部署AのVoIPゲートウェイ120は端末140へ転送することで、端末140と企業共有サーバ153間での通信が成立する(ステップF008〜ステップF010)。
【0104】
次に、図17を用いて、IPアドレス「192.168.100.2」を有する端末140から、部署CのVoIPゲートウェイ122および統合ゲートウェイ110を経由して部署A用サーバ150へ初めてアクセスした時の処理シーケンスを説明する。なお、ステップF001〜F005については、図14に示すシーケンスと同様であるため、説明を省略する。
【0105】
部署A用サーバ150は、アクセス許可テーブル400に示すように、IPアドレス「192.168.100.2」を有する端末140からは、位置ゲートウェイ1すなわち部署AのVoIPゲートウェイ120からのアクセスであればアクセス可能なサーバである。すなわち、統合ゲートウェイ110の受信情報処理のステップS007において、送信元MACアドレスで特定される位置ゲートウェイ番号が、本シーケンスでは部署CのVoIPゲートウェイ122を示す「3」であるため、アクセス許可位置番号403に含まれているという条件を満たさないため、送信元IPアドレスは送信先IPアドレスのサーバへアクセス有効でないとの判定が成され、アクセス要求は統合ゲートウェイ110により廃棄される(ステップF007´)。そのため、端末140と部署A用サーバ150間での通信は成立しない。
【0106】
次に、図18を用いて、IPアドレス「192.168.100.2」を有する端末140から、部署AのVoIPゲートウェイ120および統合ゲートウェイ110を経由して部署A用サーバ150へアクセスした後、所定の期間が経過してアクセスを制限すべき状態になった場合の閉塞処理を示すシーケンスを説明する。なお、当該処理のフローは、ステップS108において説明している。
【0107】
部署AのVoIPゲートウェイ120では、タイマにより記録を保持した時刻から所定の時間が過ぎると、タイムアウトが発生する(ステップF101)。
【0108】
そして、部署AのVoIPゲートウェイ120は、統合ゲートウェイ110に対して、登録解除要求を送信する(ステップF102)。具体的には、位置ゲートウェイのIPアドレスと、登録解除の対象となっている端末のIPアドレスとを含むREGISTERメッセージの、Expiresヘッダーに「0」の値が埋め込まれたメッセージが、統合ゲートウェイ110へ送信される。なお、詳細には、REGISTERのfromヘッダー内のdisplay−nameに端末のIPアドレスが含まれ、usernameに位置ゲートウェイのWAN側IPアドレスが含まれる。
【0109】
そして、統合ゲートウェイ110は、拡張ルーティングテーブル500から、該当する端末のIPアドレスおよび位置ゲートウェイのIPアドレスの組み合わせであるレコードを削除する(ステップF103)。
【0110】
そして、統合ゲートウェイ110は、登録解除応答(REGISTERメッセージへの正常応答となるSIPの200OKメッセージ)を部署AのVoIPゲートウェイ120へ送信する(ステップF104)。なお、統合ゲートウェイ110のSIPプロトコル制御部240により、200OKメッセージのFromヘッダーには、受信したREGISTERのFromヘッダーと同様の値が設定される。
【0111】
部署AのVoIPゲートウェイ120は、登録解除応答を受信すると、拡張ルーティングテーブル550から、該当する端末のIPアドレスおよび位置ゲートウェイのIPアドレスの組み合わせであるレコードを削除する(ステップF105)。具体的には、SIPプロトコル制御部240は、登録解除応答のメッセージの解析を行い、Fromヘッダー内に、送信したREGISTERのFromヘッダーと同様の値が設定されていることを特定して端末の登録解除要求の応答であることを判断し、対応する拡張ルーティングテーブル550の端末IPアドレスと、統合ゲートウェイIPアドレスと、統合ゲートウェイMACアドレスと、の組合せの登録を削除する。
【0112】
以上が、タイムアウト発生時の閉塞処理のシーケンスである。当該シーケンス実施後は、位置ゲートウェイおよび統合ゲートウェイ110のいずれの拡張ルーティングテーブル250からも、タイムアウトする対象の端末と位置ゲートウェイの組合せが登録削除されるため、以降あらたに端末からサーバへアクセスを行わない限り、当該端末から当該サーバへの当該位置ゲートウェイを介したデータは廃棄され、ルーティングが行われないこととなる。
【0113】
図19は、拡張ルーティングテーブルの解除がなされないまま、端末140が場所を移動し、部署BのVoIPゲートウェイ121を介する端末141としてサーバへアクセスを開始した場合についての、拡張ルーティングテーブルの更新及び解除のシーケンス例である。
【0114】
まず、IPアドレス「192.168.100.2」を有する端末141が、部署A内にてサーバへアクセスした後に、場所を移動し、部署B内の端末141の位置において、部署A用サーバ150にアクセスを開始しようとするアクセス要求が端末141から部署BのVoIPゲートウェイ121に送信される(ステップF201)。なお、この状態においては、部署AのVoIPゲートウェイ120においては、当該端末と部署AのVoIPゲートウェイ120との組合せが、拡張ルーティングテーブルから登録されている状態であって、統合ゲートウェイ110においても、IPアドレス「192.168.100.2」を有する端末と部署AのVoIPゲートウェイ120との組合せが、拡張ルーティングテーブル250に登録されている状態である。
【0115】
アクセス要求を受信した部署BのVoIPゲートウェイ121は、当該端末と自位置ゲートウェイの組合せは拡張ルーティングテーブル550に未登録であるため、統合ゲートウェイ110への登録要求となるREGISTERメッセージを作成し、送信する。具体的には、部署BのVoIPゲートウェイ121は、SIPのREGISTERメッセージのFromヘッダー内のdisplay−nameに端末のIPアドレスを設定し、usernameに自VoIPゲートウェイ(位置ゲートウェイ)のWAN側IPアドレスを設定し、端末の登録である旨の独自メッセージを作成し、WANIP網I/F280を介して統合ゲートウェイ110へ登録要求メッセージを送信する(ステップF202)。
【0116】
統合ゲートウェイ110は、統合ゲートウェイ110内のLANIP網I/F220を介して拡張ルーティング制御部230が、登録要求メッセージを受信する。拡張ルーティング制御部230は、当該登録要求メッセージがSIPのREGISTERメッセージであることを判定すると、SIPプロトコル制御部240にメッセージを受け渡す。REGISTERメッセージを受信したSIPプロトコル制御部240は、メッセージの解析を行い、Fromヘッダー内のdisplay−nameにIPアドレスが設定されていることから、端末の登録である旨の拡張パラメータが有ると判断する。SIPプロトコル制御部240は、メッセージから、送信元端末のIPアドレス、送信元VoIPゲートウェイIPアドレス、送信元VoIPゲートウェイMACアドレスを抽出する。
【0117】
そして、SIPプロトコル制御部240は、端末のIPアドレスが拡張ルーティングテーブル500に登録されているか否かを判定する。SIPプロトコル制御部240は、端末のIPアドレスが異なる位置ゲートウェイのIPアドレスとの組合せで登録されているため、SIPの200OKメッセージのFromヘッダー内に、受信したREGISTERのFromヘッダーと同様の値を設定し、既に登録された位置ゲートウェイである部署AのVoIPゲートウェイ120へ登録応答メッセージ(200OKメッセージ)を送信する(ステップF203)。
【0118】
そして、部署AのVoIPゲートウェイ120は、受信したSIPの200OKメッセージのFromヘッダー内から、自ゲートウェイのIPアドレスとは異なるゲートウェイのIPアドレスを取得するため、拡張ルーティングテーブル550から、該当する端末のエントリを削除する(ステップF204)。
【0119】
また、統合ゲートウェイ110は、拡張ルーティングテーブル500に既に登録してある当該端末のIPアドレスと、部署AのVoIPゲートウェイ120の位置ゲートウェイのIPアドレスと、位置ゲートウェイのMACアドレスと、についての登録を削除するととともに、登録要求を受け付けた端末のIPアドレスと、部署BのVoIPゲートウェイ121のIPアドレスである位置ゲートウェイIPアドレスと、部署BのVoIPゲートウェイ121のMACアドレスである位置ゲートウェイMACアドレスと、を対応付けて拡張ルーティングテーブル500に登録する(ステップF205)。
【0120】
そして、統合ゲートウェイ110は、SIPの200OKメッセージのFromヘッダー内に、受信したREGISTERのFromヘッダーと同様の値を設定し、部署BのVoIPゲートウェイ121へ登録応答メッセージ(200OKメッセージ)を送信する(ステップF206)。
【0121】
登録応答メッセージを受信した部署BのVoIPゲートウェイ121は、部署BのVoIPゲートウェイ121内の拡張ルーティングテーブル550へ、端末IPアドレスと、統合ゲートウェイIPアドレスと、統合ゲートウェイMACアドレスとの登録を行う(ステップF207)。
【0122】
以上が、端末のアクセスする位置ゲートウェイが変更された場合のシーケンスである。当該シーケンスにより、部署AのVoIPゲートウェイ120が、すでに移動した端末140からサーバへのルーティングの登録を抹消させることが可能となる。
【0123】
以上、本発明に係るネットワークシステム1の実施形態を説明した。当該実施形態においては、部署毎にVoIPゲートウェイを配置し、それを集約する親としてのVoIPゲートウェイからなるネットワーク構成を適用したが、これに限られない。すなわち、各部署に該当する機器は、各部屋に設置したルータやアクセスポイントであって、それを集約する統合ゲートウェイ1台からなるネットワーク構成であっても良い。その場合には、VoIPゲートウェイの物理LANポート毎に各部署に、設置するルータやアクセスポイントを接続し、VoIPゲートウェイで端末のIPアドレスと物理ポートを対応付けて各部署の位置について判定を行うようにすればよい。
【0124】
また、上記実施形態において、統合ゲートウェイと位置ゲートウェイは異なる動作を行うものであるが、これに限られず、両方の動作を実現するものであってもよいし、選択的にいずれかの動作を実施しうるものであってもよい。
【0125】
また、上記実施形態においては、統合ゲートウェイおよび位置ゲートウェイは一連の動作を実施する単体の装置であるものとしているが、これに限られず、それぞれ複数の処理装置により多重化されて負荷分散が図られるようにしても良い。または、単体の処理装置で統合ゲートウェイと位置ゲートウェイ、あるいは複数の位置ゲートウェイを兼ねるものであってもよい。
【0126】
また、上記した実施形態の変形は、単独で適用されてもよいし、部分的に組み合わされて適用されるようにしてもよい。
【0127】
以上、本発明について、実施形態を中心に説明した。本発明に係る実施形態によると、企業等のネットワークにおいて、ほぼ同じ位置にアクセスを許可すべき端末とアクセスを拒否すべき端末が存在する場合であっても、個別の端末のアクセス制限をより簡便に実現することができる。また、端末の属性に応じてアクセス制御を行う方法では、当該端末はアクセス可能な属性を有するものであっても、使用状況、例えば、企業内ではあるが、部外者が出入りする場所における使用時には、部外者に開示してはならない情報を含むデータベースへのアクセスは、情報漏洩の危険性を伴うために制限されるべきであり、本発明においては、このような場合にも、適切なアクセス制限を実現することができる。
【符号の説明】
【0128】
1・・・ネットワークシステム、100・・・NGN網、110・・・統合ゲートウェイ、111・・・演算装置、112・・・主記憶装置、113、114・・・LAN通信装置、115・・・WAN通信装置、116・・・バス、120〜123・・・位置ゲートウェイ、130〜133・・・電話端末、140〜143・・・端末、150・・・部署A用サーバ、151・・・部署A、B共有サーバ、152・・・部署B、C共有サーバ、153・・・企業共有サーバ、230・・・拡張ルーティング制御部、240・・・SIPプロトコル制御部、250・・・拡張ルーティングテーブル
【技術分野】
【0001】
本発明は、ゲートウェイの技術に関する。
【背景技術】
【0002】
企業等のネットワークにおいて、パソコン等の端末から各種のサーバへアクセスする場合に、情報セキュリティ対策として、端末の位置を特定しアクセス制限を行うことがある(特許文献1)。特許文献1には、リモートアクセスポイント周辺に設置される通信装置の固有情報を位置固有情報として登録しておき、通信装置を接続先ネットワークに接続させるか否かに関する認証を行い、アクセス制限を行うことが開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−231396号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に記載の方法では、アクセスを許可すべき端末とアクセスを拒否すべき端末が、同一のリモートアクセスポイントを介して通信する場合、個別の端末のアクセス制限を実現できないことがある。
【0005】
本発明の目的は、企業等のネットワークにおいて、ほぼ同じ位置にアクセスを許可すべき端末とアクセスを拒否すべき端末が存在する場合であっても、個別の端末のアクセス制限をより簡便に実現する技術を提供することにある。
【課題を解決するための手段】
【0006】
上記課題を解決するために、本発明に係るゲートウェイは、位置を固定されたアクセスポイントを介した端末からのサーバアクセスを制御するゲートウェイであって;前記端末を識別する情報と、前記アクセスポイントを識別する情報と、の組合せに応じて、アクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と;前記端末からのアクセスごとに、当該端末を識別する情報と、経由している前記アクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得部と;前記アクセス情報取得部により取得した前記端末を識別する情報と、前記アクセスポイントを識別する情報と、前記サーバを識別する情報と、の組合せが前記記憶部に格納されていれば、当該アクセスを許可するアクセス許可部と;を備えることを特徴とする。
【0007】
また、本発明に係るゲートウェイのアクセス制御方法は、位置を固定されたアクセスポイントを介した端末からのサーバアクセスを制御するゲートウェイのアクセス制御方法であって、前記ゲートウェイは;前記端末を識別する情報と、前記アクセスポイントを識別する情報と、の組合せに応じて、アクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と;制御部と;を備え、
前記制御部は、前記端末からのアクセスごとに、当該端末を識別する情報と、経由している前記アクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得ステップと;前記アクセス情報取得ステップにより取得した前記端末を識別する情報と、前記アクセスポイントを識別する情報と、前記サーバを識別する情報と、の組合せが前記記憶部に格納されていれば、当該アクセスを許可するアクセス許可ステップと;を実施することを特徴とする。
【発明の効果】
【0008】
企業等のネットワークにおいて、ほぼ同じ位置にアクセスを許可すべき端末とアクセスを拒否すべき端末が存在する場合であっても、個別の端末のアクセス制限をより簡便に実現することができる。
【図面の簡単な説明】
【0009】
【図1】本発明に係るネットワーク構成例である。
【図2】本発明に係るVoIPゲートウェイの機能ブロック図である。
【図3】本発明に係る企業内配置図である。
【図4】統合ゲートウェイの位置テーブルの構成例を示す図である。
【図5】統合ゲートウェイのサーバテーブルの構成例を示す図である。
【図6】統合ゲートウェイのアクセス許可テーブルの構成例を示す図である。
【図7】統合ゲートウェイの拡張ルーティングテーブルの構成例を示す図である。
【図8】位置ゲートウェイの拡張ルーティングテーブルの構成例を示す図である。
【図9】SIPプロトコルのリクエストメッセージのデータ構造を示す図である。
【図10】VoIPゲートウェイのハードウェア構成例を示す図である。
【図11】統合ゲートウェイによる受信情報処理の処理フロー図である。
【図12】統合ゲートウェイによる受信情報処理の処理フロー図である。
【図13】位置ゲートウェイによる受信情報処理の処理フロー図である。
【図14】端末からの初回アクセス時の登録シーケンス図である。
【図15】初回アクセス時のアクセスシーケンス(端末位置許可)図である。
【図16】初回アクセス時のアクセスシーケンス(位置許可)図である。
【図17】初回アクセス時のアクセスシーケンス(位置不許可)図である。
【図18】拡張ルーティングテーブル解除シーケンス図である。
【図19】端末位置移動による拡張ルーティングテーブル更新シーケンス例である。
【発明を実施するための形態】
【0010】
以下に、本発明に係る第一の実施形態を適用したネットワークシステム1について、図面を参照して説明する。
【0011】
ネットワークシステム1は、企業内等のネットワークであって、ダイヤルイン番号等の追加番号を元に、部署毎にVoIP(Voice over Internet Protocol)ゲートウェイ(以降、位置ゲートウェイとする。)120、121、122、123が配置されている。
【0012】
位置ゲートウェイ120〜123の各々には、LAN(Local Area Network)インターフェースが複数設けられており、当該LANインターフェースを介して、電話端末130〜133、パーソナルコンピュータ等のデータ通信を行う端末140〜143が接続される。本実施形態においては、位置ゲートウェイ120には、位置ゲートウェイを集約するVoIPゲートウェイ(以降、統合ゲートウェイとする)110を介して他の電話端末と通話を行うための電話端末130と、データ通信を行う端末140と、が接続される。位置ゲートウェイ121には、統合ゲートウェイ110を介して他の電話端末と通話を行うための電話端末131と、データ通信を行う端末141と、が接続される。また、位置ゲートウェイ122には、統合ゲートウェイ110を介して他の電話端末と通話を行うための電話端末132と、データ通信を行う端末142と、が接続される。また、位置ゲートウェイ123には、統合ゲートウェイ110を介して他の電話端末と通話を行うための電話端末133と、データ通信を行う端末143と、が接続される。
【0013】
位置ゲートウェイ120〜123の各々には、さらに、WANインターフェースが設けられており、当該WAN(Wide Area Network)インターフェースを介して、位置ゲートウェイ120〜123が相互に通信を行い、また、統合ゲートウェイ110と通信可能である。すなわち、位置ゲートウェイ120〜123は、端末からのアクセスの基点となるアクセスポイントとしての役割を担うといえる。
【0014】
統合ゲートウェイ110は、二本のLANインターフェースと、一本のWANインターフェースとが設けられており、LANインターフェースの一方には、位置ゲートウェイ120〜123が接続可能であり、もう一方のLANインターフェースには、部署ごとにアクセスを制限すべき部署A用サーバ150、部署A、B共用サーバ151、部署B、C用サーバ152の各サーバと、企業内であれば、部署ごとにアクセスを必要としない情報を格納する企業共有サーバ153と、が接続可能である。
【0015】
統合ゲートウェイ110のWANインターフェースは、NGN(Next Generation Network)網等の広域ネットワークおよびインターネットへ接続されており、NGN網と接続される装置と通信を行うことができる。
【0016】
なお、位置ゲートウェイ120〜123の各々には、有線にて電話端末と端末とが接続されるが、これに限られない。すなわち、位置ゲートウェイ120〜123にアクセスポイントを接続した無線通信機を介して電話端末130〜133と端末140〜143とが接続されものであっても良い。また、各サーバについても、部署毎のサーバとして記載しているが、これに限られず、機密情報サーバ、プレゼンサーバ等の目的毎のサーバであっても良いし、業務内容毎のサーバであってもよい。
【0017】
図2は、本発明の実施形態である統合ゲートウェイ110の機能構成を示す機能ブロック図である。基本的には、各処理部の処理内容が詳細において異なるものの、位置ゲートウェイ120〜123のそれぞれは、統合ゲートウェイ110と同様の構成となっているため、統合ゲートウェイ110についての説明を中心に、以下に行う。
【0018】
統合ゲートウェイ110は、LAN側に、位置ゲートウェイへ接続される回線とのインターフェースであるLANIP網I/F220と、サーバへ接続される回線とのインターフェースであるLANIP網I/F221と、を備える。また、LANIP網I/F220、221と接続される拡張ルーティング制御部230と、拡張ルーティング制御部230と接続されるSIPプロトコル制御部240と、SIPプロトコル制御部240および拡張ルーティング制御部230に接続される拡張ルーティングテーブル250と、拡張ルーティング制御部230から参照される構成情報テーブル群260と、構成情報テーブル群260の各テーブル情報を保守する情報の登録部270と、拡張ルーティング制御部230およびSIPプロトコル制御部240と接続されるWANIP網I/F280と、を備える。
【0019】
拡張ルーティング制御部230は、通常のゲートウェイ装置が備えるルーティング制御部の拡張機能を実現する制御部であり、LANIP網I/F220およびLANIP網I/F221に接続された装置とWANIP網I/F280に接続された装置との間の通信をルーティングする。また、本実施形態においては、拡張ルーティング制御部230は、位置ゲートウェイ120〜123から受信したSIPプロトコルによるメッセージ、例えばREGISTERメッセージ等を受け付けた場合には、SIPプロトコル制御部240へ処理を転送し、HTTP等のプロトコルによるメッセージ、例えばHTTP/POSTメッセージ等のサーバへのアクセス要求を受け付けた場合には、拡張ルーティングテーブル250および構成情報テーブル群260に含まれるテーブルを参照して、当該アクセス要求元の端末から送信先サーバへのアクセス可否を判定し、経路の確立または経路の遮断を行う。
【0020】
SIPプロトコル制御部240は、通常のVoIP対応ゲートウェイ装置が備えるSIP制御機能の拡張機能を実現する制御部であり、位置ゲートウェイ120〜123から受信したSIPプロトコルによるメッセージ、例えばREGISTERメッセージ等を受け付けた場合には、当該メッセージに基づき、通常のSIPプロトコルによる通信経路を確立する。また、当該REGISTERメッセージが所定の条件を満たすものである場合には、SIPプロトコル制御部240は、拡張ルーティングテーブル250へのルーティング情報の登録を行う。
【0021】
拡張ルーティングテーブル250は、図7の拡張ルーティングテーブル500に示すデータを格納するテーブルである。拡張ルーティングテーブル500は、端末IPアドレス501と、位置ゲートウェイIPアドレス502と、位置ゲートウェイMACアドレス503と、をレコードとして対応付け、複数レコードを格納可能である。端末IPアドレス501には、通信を行う端末140〜143に予め設定されたIPアドレスが格納される。位置ゲートウェイIPアドレス502には、通信を行う端末と統合ゲートウェイ110との間に介在する位置ゲートウェイ120〜123のIPアドレスが格納される。また、位置ゲートウェイMACアドレス503には、通信を行う端末と統合ゲートウェイ110との間に介在する位置ゲートウェイ120〜123の通信インターフェースが有するMACアドレスが格納される。
【0022】
構成情報テーブル群260には、図4〜図6に示す位置テーブル300と、サーバテーブル350と、アクセス許可テーブル400と、が読み出し可能に格納される。
【0023】
図4に示す位置テーブル300には、位置ゲートウェイを識別する情報である位置ゲートウェイ番号301と、位置ゲートウェイの配置された位置を特定する情報である位置名302と、位置ゲートウェイとして登録されたゲートウェイのWAN上のIPアドレスである位置ゲートウェイWAN_IPアドレス303と、位置ゲートウェイのMACアドレスである位置ゲートウェイWAN_MACアドレス304と、が対応付けられて格納される。
【0024】
例えば、位置テーブル300には、位置ゲートウェイを識別する情報と、位置ゲートウェイの配置された位置を特定する情報として部署名と、部署毎の位置情報として使用するための部署毎のWAN側IPアドレスと、WAN側MACアドレスとが、位置ゲートウェイ番号301と、位置名302と、位置ゲートウェイWAN_IPアドレス303と、位置ゲートウェイWAN_MACアドレス304とに、予め登録部270を介してそれぞれ登録される。
【0025】
図5に示すサーバテーブル350には、サーバを識別する情報であるサーバテーブル番号351と、サーバを識別する名称情報であるサーバ名352と、サーバに予め設定されたIPアドレスであるIPアドレス353と、サーバへのアクセスに際して端末の属性を不問とするゲートウェイ装置を識別する情報である端末を限定しない位置ゲートウェイ番号354と、が対応付けて格納される。
【0026】
例えば、サーバテーブル350には、サーバを識別する情報と、サーバを特定する情報としてサーバ名と、当該サーバのIPアドレスと、当該サーバへのアクセスに際して端末の属性を不問とするゲートウェイ装置を識別する情報とが、サーバテーブル番号351と、サーバ名352と、IPアドレス353と、端末を限定しない位置ゲートウェイ番号354とに、予め登録部270を介してそれぞれ登録される。
【0027】
図6に示すアクセス許可テーブル400には、端末に予め設定されたIPアドレスである端末IPアドレス401と、端末がアクセスする先のサーバを識別する情報であるサーバテーブル番号402との組合せについてアクセスを許可する位置を特定する情報であるアクセス許可位置番号403と、が対応付けて格納される。
【0028】
例えば、アクセス許可テーブル400には、端末140〜143のIPアドレスと、サーバテーブル番号と、当該サーバへアクセス可能な位置を示す位置ゲートウェイ番号とが、端末IPアドレス401と、サーバテーブル番号402と、アクセス許可位置番号403とに、予め登録部270を介してそれぞれ登録される。
【0029】
登録部270は、構成情報テーブル群260の情報を保守するための保守端末と通信を行い、構成情報テーブル群260に含まれる各テーブルの登録を管理する。
【0030】
以上が、本実施形態に係る統合ゲートウェイ110の機能構成である。なお、本実施形態においては、図4、図5、図6に示した位置テーブル300と、サーバテーブル350と、アクセス許可テーブル400とについて、IPアドレス192.168.100.2を有する端末がアクセスできるサーバは、部署A用サーバ150、部署A、B共有サーバ151、企業共有サーバ153であり、IPアドレス192.168.100.2を有する端末が部署A用サーバ150にアクセス可能な位置は、部署Aの位置からのみであり、IPアドレス192.168.100.2を有する端末が部署A、B共有サーバ151にアクセス可能な位置は、部署Aと部署Bからのみとなる。また、IPアドレス192.168.100.2を有する端末は、企業共有サーバ153には、部署Dの位置からはアクセスできないよう設定されているものとする。
【0031】
次に、本実施形態に係る位置ゲートウェイ120〜123について、統合ゲートウェイ110との差異を中心に説明する。
【0032】
位置ゲートウェイ120〜123のそれぞれは、統合ゲートウェイ110と基本的に同様の構成を備える。位置ゲートウェイ120〜123の拡張ルーティング制御部230については、通常のゲートウェイ装置が備えるルーティング制御部の拡張機能を実現する制御部であり、LANIP網I/F220およびLANIP網I/F221に接続された装置とWANIP網I/F280に接続された装置との間の通信をルーティングする点は統合ゲートウェイ110と同様である。ただし、本実施形態においては、位置ゲートウェイ120〜123の拡張ルーティング制御部230は、電話端末130〜133および端末140〜143から受信したSIPプロトコルによるメッセージ、例えばREGISTERメッセージを受け付けた場合には、SIPプロトコル制御部240へメッセージを転送する。
【0033】
また、位置ゲートウェイ120〜123の拡張ルーティング制御部230は、端末140〜143から受信したHTTPやSMTP等のプロトコルによるメッセージ、例えばサーバへのHTTP/POSTメッセージ等のアクセス要求メッセージを受け付けた場合には以下の動作を行う。すなわち、位置ゲートウェイ120〜123の拡張ルーティング制御部230は、拡張ルーティングテーブル250に含まれるテーブルを参照して、当該アクセス要求元の端末から送信先サーバへの経路が確立している場合にはメッセージを統合ゲートウェイ110へ転送し、確立していない場合にはSIPプロトコル制御部240へSIPプロトコルによるREGISTERメッセージを統合ゲートウェイ110へ送信するよう依頼し、経路確立後にメッセージを統合ゲートウェイ110へ転送する。
【0034】
本実施形態においては、図3に示すように、建屋内の所定の物理的空間を区分する複数の部屋50、51、53、54には、それぞれ部署A、B、C、Dが配置されている。そして、部屋50、51、53、54には、位置ゲートウェイ120〜123がそれぞれ設置されており当該位置ゲートウェイのそれぞれには各部屋内に存在する端末等が接続される。当該位置ゲートウェイのWAN側のIPアドレスは、それぞれ、部署Aでは192.168.0.10/24であり、部署Bでは192.168.0.20/24であり、部署Cでは192.168.0.30/24であり、部署Dでは192.168.0.40/24であるものとする。
【0035】
位置ゲートウェイ120〜123のSIPプロトコル制御部240は、通常のVoIP対応ゲートウェイ装置が備えるSIP制御機能の拡張機能を実現する制御部であり、電話端末130〜133および端末140〜143から受信したSIPプロトコルによるメッセージ、例えばREGISTERメッセージ等を受け付けた場合には、当該メッセージに基づき、通常のSIPプロトコルによる通信経路を確立する。また、当該REGISTERメッセージが所定の条件を満たすものである場合には、SIPプロトコル制御部240は、拡張ルーティングテーブル250へのルーティング情報の登録を行う。
【0036】
位置ゲートウェイ120〜123が有する拡張ルーティングテーブル250は、図8の拡張ルーティングテーブル550に示すデータを格納するテーブルである。拡張ルーティングテーブル550は、端末IPアドレス551と、統合ゲートウェイIPアドレス552と、統合ゲートウェイMACアドレス553と、を対応付けて、レコードを複数件格納する。端末IPアドレス551には、通信を行う端末140〜143に予め設定されたIPアドレスが格納される。統合ゲートウェイIPアドレス552には、デフォルトゲートウェイとして予め設定されている統合ゲートウェイのIPアドレスが格納される。また、統合ゲートウェイMACアドレス553には、通信を行う統合ゲートウェイ110の通信インターフェースが有するMACアドレスが格納される。
【0037】
以上、位置ゲートウェイ120〜123の構成について説明した。
【0038】
ところで、ネットワークシステム1では、SIPのプロトコルに準拠したデータ通信を行う。そのデータ通信におけるデータ構造について、リクエストメッセージ600を例として図9を用いて説明する。
【0039】
図9は、リクエストメッセージ600のデータ構造を示す図である。リクエストメッセージ600は、基本的に、SIPプロトコルにおけるリクエストメッセージと同様のフォーマットを有する。リクエストメッセージ600は、リクエストライン(Request−Line)610と、ヘッダーフィールド(Header Fields)620と、メッセージボディ(MessageBody)630と、を有する。
【0040】
リクエストライン610には、「REGISTER」や「INVITE」等の要求動作を特定するメソッド(Method)611と、リクエストURI(Request−URI)612と、SIPバージョン(SIP−Version)613と、が含まれる。本実施形態においては、これらのリクエストライン610には所定の設定値が埋め込まれてメッセージが構成される。
【0041】
ヘッダーフィールド620には、少なくとも、Fromヘッダー(From:)621と、Toヘッダー(To:)622と、Call−ID(Call−ID:)623の情報が含まれる。ここで、Fromヘッダーには、表示名(display−name)と、使用者名(username)と、を含むことができる。
【0042】
メッセージボディ630には、SDP(Session Description Protocol)によるデータの記述が含まれる。
【0043】
図10に、統合ゲートウェイ110のハードウェア構成図を示す。なお、位置ゲートウェイ120〜123についても、統合ゲートウェイ110と略同様のハードウェア構成を備える。
【0044】
本実施形態においては、統合ゲートウェイ110は、例えば、いわゆるゲートウェイ装置であり、サーバ装置や、ルーター装置により実装される。しかし、これに限らず、PC(パーソナルコンピュータ)や、ワークステーション、各種携帯電話端末、PDA(Personal Digital Assistant)、スマートフォンなどに分類される計算機であってもよい。
【0045】
統合ゲートウェイ110は、演算装置111と、主記憶装置112と、二つのLAN通信装置113、114と、WAN通信装置115と、それぞれの装置を互いに接続するバス116と、を有する。
【0046】
演算装置111は、例えばCPU(Central Processing Unit)などの演算装置である。
【0047】
主記憶装置112は、例えばRAM(Random Access Memory)などのメモリ装置である。
【0048】
LAN通信装置113、114のそれぞれは、LANIP網I/F220、221として、各LANに接続される機器との通信を行う通信装置である。
【0049】
WAN通信装置115は、WANIP網I/F280として、NGN網100やインターネット等のWAN側に接続される装置との通信を行う通信装置である。
【0050】
拡張ルーティング制御部230と、SIPプロトコル制御部240と、登録部270とは、演算装置111に処理を行わせるプログラムによって実現される。
【0051】
このプログラムは、主記憶装置112または図示しないフラッシュメモリ等の不揮発性記憶装置内に記憶され、実行にあたって主記憶装置112上にロードされ、演算装置111により実行される。
【0052】
また、拡張ルーティングテーブル250は、主記憶装置112上に展開されて実現される。
【0053】
構成情報テーブル群260は、図示しないフラッシュメモリや磁気ディスク等の不揮発性記憶装置内に記憶され、必要に応じて演算装置111により読み出しの制御がなされる。
【0054】
次に、統合ゲートウェイの受信情報の処理フローについて、図11を用いて説明する。図11は、統合ゲートウェイがLANIP網I/F220、221、WANIP網I/F280のいずれかから、通信データを受信した場合に開始される受信情報処理のフローを示す図である。
【0055】
まず、拡張ルーティング制御部230は、受信したデータがREGISTERメッセージであるか否かを判定する(ステップS001)。具体的には、拡張ルーティング制御部230は、受信したデータがSIPプロトコルのリクエストメッセージ600の形式であって、メソッド611に「REGISTER」の情報が含まれていればREGISTERメッセージであると判定する。拡張ルーティング制御部230は、REGISTERメッセージである場合には、SIPプロトコル制御部240へ受信データを受け渡し、後述する図12のステップS010へ処理を進める。
【0056】
REGISTERメッセージではない場合(ステップS001にて「No」の場合)、拡張ルーティング制御部230は、受信したメッセージから送信元IPアドレスと、送信先IPアドレスと、送信元MACアドレスと、を抽出する(ステップS002)。なお、当ステップの処理が実施される場合には、受信メッセージには、送信元IPアドレスとしては、端末140〜143のいずれかのIPアドレスが格納されており、送信先IPアドレスとしては、端末がアクセスしようとした機器のIPアドレスが格納されており、送信元MACアドレスとしては、位置ゲートウェイ120〜123のいずれかのMACアドレスが格納されていることとなる。
【0057】
そして、拡張ルーティング制御部230は、送信先IPアドレスがサーバのIPアドレスのいずれかであるか否かを判定する(ステップS003)。具体的には、拡張ルーティング制御部230は、ステップS002で抽出した送信先IPアドレスが、サーバテーブル350のIPアドレス353に含まれているか否かを判定し、含まれている場合には、サーバのIPアドレスであると判定する。サーバのIPアドレスではない場合には、通常のルーティング処理を行い、受信データを転送し、処理を終了する。
【0058】
サーバのIPアドレスである場合(ステップS003にて「Yes」の場合)、拡張ルーティング制御部230は、送信元IPアドレスが拡張ルーティングテーブル250に登録済みか否かを判定する(ステップS004)。具体的には、拡張ルーティング制御部230は、ステップS002にて抽出した送信元IPアドレスが、拡張ルーティングテーブル500の端末IPアドレス501に含まれている場合に、登録済みと判定する。
【0059】
送信元IPアドレスが拡張ルーティングテーブル250に登録済みでない場合(ステップS004にて「No」の場合)、拡張ルーティング制御部230は、受信したメッセージを廃棄する(ステップS005)。そして、受信情報処理を終了する。
【0060】
送信元IPアドレスが拡張ルーティングテーブル250に登録済みの場合(ステップS004にて「Yes」の場合)、拡張ルーティング制御部230は、送信元MACアドレスが端末を限定しない位置ゲートウェイのMACアドレスであるか否かを判定する(ステップS006)。
【0061】
具体的には、拡張ルーティング制御部230は、ステップS002にて特定した送信元のMACアドレス(すなわち、統合ゲートウェイに送信されたデータが転送された経路のうち、直近の送信元のMACアドレス)を取得して、当該MACアドレスが位置テーブル300上の位置ゲートウェイWAN_MACアドレス304のいずれかに含まれるか否かを判定する。当該MACアドレスが、位置ゲートウェイWAN_MACアドレス304のいずれにも含まれない場合には、拡張ルーティング制御部230は、送信元MACアドレスが端末を限定しない位置ゲートウェイのMACアドレスではないと判定する。
【0062】
当該MACアドレスが、位置ゲートウェイWAN_MACアドレス304のいずれかに含まれる場合、拡張ルーティング制御部230は、該当するレコードの位置ゲートウェイ番号301を取得する。そして、拡張ルーティング制御部230は、サーバテーブル350のIPアドレス353が送信先IPアドレスと一致するサーバについて、取得した位置ゲートウェイ番号が、端末を限定しない位置ゲートウェイ番号354に含まれるか否かを判定する。含まれる場合、拡張ルーティング制御部230は、当該MACアドレスが位置テーブル300上の位置ゲートウェイWAN_MACアドレス304のいずれかに含まれると判定し、後述するステップS008へ制御を進める。含まれない場合、拡張ルーティング制御部230は、送信元MACアドレスが端末を限定しない位置ゲートウェイのMACアドレスではないと判定する。
【0063】
送信元MACアドレスが端末を限定しない位置ゲートウェイのMACアドレスではないと判定した場合(ステップS006にて「No」の場合)、拡張ルーティング制御部230は、送信元IPアドレスが、送信先IPアドレスで特定されるサーバへのアクセスが有効であるか否かを判定する(ステップS007)。具体的には、拡張ルーティング制御部230は、送信元IPアドレスがアクセス許可テーブル400の端末IPアドレス401に含まれており、かつ、送信先IPアドレスで特定されるサーバのサーバテーブル番号が、サーバテーブル番号402に含まれており、かつさらに、送信元MACアドレスで特定される位置ゲートウェイ番号がアクセス許可位置番号403に含まれているという条件を満たすか否かを判定する。
【0064】
条件を満たさない場合には、拡張ルーティング制御部230は、送信元IPアドレスが、送信先IPアドレスで特定されるサーバへのアクセスが有効でないと判定し、制御をステップS005へと進める。条件を満たす場合には、拡張ルーティング制御部230は、送信元IPアドレスが、送信先IPアドレスで特定されるサーバへのアクセスが有効であると判定し、ステップS008へ制御を進める。
【0065】
拡張ルーティング制御部230は、送信先IPアドレスへ、受信したメッセージを転送する(ステップS008)。そして、受信情報処理を終了する。なお、当該メッセージの転送により、送信先IPアドレスで指定される装置(サーバ装置150〜153等)に対して、送信されたメッセージを転送することができる。
【0066】
次に、図12を参照して、ステップS001にて受信したメッセージがREGISTERメッセージであった場合(ステップS001にて「Yes」の場合)の処理について説明する。
【0067】
ステップS001にて受信したメッセージがREGISTERメッセージであった場合(ステップS001にて「Yes」の場合)、SIPプロトコル制御部240は、REGISTERメッセージに拡張パラメータを有するか否かを判定する(ステップS010)。具体的には、SIPプロトコル制御部240は、受信したREGISTERメッセージのヘッダーフィールド620から、Fromヘッダー621の情報を抽出し、表示名(display−name)と、使用者名(username)とが設定されていれば、拡張パラメータを有すると判定する。設定されていなければ、拡張パラメータを有しないと判定し、通常のルーティング処理を行い、受信データを転送して、処理を終了する。
【0068】
拡張パラメータを有する場合(ステップS010にて「Yes」の場合)、SIPプロトコル制御部240は、位置ゲートウェイのMACアドレスとIPアドレスおよび端末のIPアドレスを、REGISTERメッセージの拡張されたパラメータから取得する(ステップS011)。具体的には、SIPプロトコル制御部240は、REGISTERメッセージが格納されているTCP/IPのヘッダー情報から、位置ゲートウェイのMACアドレスである送信元MACアドレスを取得する。そして、SIPプロトコル制御部240は、位置ゲートウェイを示す送信元IPアドレスと、端末を示す送信元IPアドレス(以降、送信元IP端末と称呼)とを、REGISTERメッセージのヘッダーフィールド620に含まれる拡張されたFromヘッダーの使用者名(username)および表示名(display−name)からそれぞれ取得する。
【0069】
そして、SIPプロトコル制御部240は、送信元IP端末が拡張ルーティングテーブル250に登録済みか否かを判定する(ステップS012)。具体的には、SIPプロトコル制御部240は、ステップS011にて抽出した送信元IP端末、すなわち端末のIPアドレスが、拡張ルーティングテーブル500の端末IPアドレス501に含まれるか否かを判定する。端末IPアドレス501に含まれない場合には、SIPプロトコル制御部240は、送信元IP端末が拡張ルーティングテーブル250に登録済みではない、と判定し、後述するステップS015へ制御を進める。
【0070】
送信元IP端末が、拡張ルーティングテーブル250に登録済みの場合(ステップS012にて「Yes」の場合)、SIPプロトコル制御部240は、送信元IPアドレスが拡張ルーティングテーブルに登録済みの位置ゲートウェイと異なるか否かを判定する(ステップS013)。具体的には、SIPプロトコル制御部240は、ステップS011にて抽出した送信元IPアドレス(使用者名usernameの値)が、拡張ルーティングテーブル500の位置ゲートウェイIPアドレス502と同一であるか否かを判定する。なお、当該判定においては、SIPプロトコル制御部240は、拡張ルーティングテーブル500の端末IPアドレス501が送信元IP端末と一致するレコードについて、位置ゲートウェイIPアドレス502と送信元IPアドレスとを比較する。登録済みの位置ゲートウェイと異ならない場合、SIPプロトコル制御部240は、後述するステップS016へ制御を進める。
【0071】
送信元IPアドレスが登録済みの位置ゲートウェイと異なる場合には、SIPプロトコル制御部240は、拡張ルーティングテーブル250に登録済みの位置ゲートウェイに、登録応答メッセージを送信する(ステップS014)。具体的には、SIPプロトコル制御部240は、拡張ルーティングテーブル500の端末IPアドレス501が送信元IP端末と一致するレコードについて、位置ゲートウェイIPアドレス502および位置ゲートウェイMACアドレス503を取得し、REGISTERメッセージへの応答となる登録応答メッセージ(200OK)を構成して当該位置ゲートウェイIPアドレス502で特定される位置ゲートウェイに送信する。その際、SIPプロトコル制御部240は、登録応答メッセージ(200OK)のFromヘッダーに、受信したREGISTERメッセージに設定されていたFromヘッダーと同様の値を設定して送信する。すなわち、SIPプロトコル制御部240は、ステップS011にて抽出した送信元IPアドレスおよび送信元IP端末を、それぞれ使用者名(username)および表示名(display−name)に設定し、拡張ルーティング制御部230、LANIP網I/F220を介して登録応答メッセージ(200OK)を送信する。
【0072】
そして、SIPプロトコル制御部240は、拡張ルーティングテーブル250へ、送信元端末と位置ゲートウェイの組合せを登録する(ステップS015)。具体的には、SIPプロトコル制御部240は、まず、拡張ルーティングテーブル500の端末IPアドレス501が送信元IP端末と一致するレコードについて、レコードから削除する。そして、SIPプロトコル制御部240は、拡張ルーティングテーブル500の端末IPアドレス501と、位置ゲートウェイIPアドレス502と、位置ゲートウェイMACアドレス503と、のそれぞれに、ステップS011にて抽出した送信元IP端末と、送信元IPアドレスと、送信元MACアドレスとを対応付けて格納する。
【0073】
そして、SIPプロトコル制御部240は、REGISTERメッセージの送信元の位置ゲートウェイに、登録応答メッセージを送信する(ステップS016)。具体的には、SIPプロトコル制御部240は、REGISTERメッセージへの応答となる登録応答メッセージ(200OK)を構成して、REGISTERメッセージの送信元の位置ゲートウェイに送信する。その際、SIPプロトコル制御部240は、登録応答メッセージ(200OK)のFromヘッダーに、受信したREGISTERメッセージに設定されていたFromヘッダーと同様の値を設定して送信する。すなわち、SIPプロトコル制御部240は、ステップS011にて抽出した送信元IPアドレスおよび送信元IP端末を、それぞれ使用者名(username)および表示名(display−name)に設定し、拡張ルーティング制御部230、LANIP網I/F220を介して登録応答メッセージ(200OK)を送信する。
【0074】
以上が、統合ゲートウェイにおける受信情報処理のフローである。当該受信情報処理を行うことで、統合ゲートウェイは、位置ゲートウェイからREGISTERメッセージを受け取った場合には、当該REGISTERメッセージの対象となっている機器を拡張ルーティングテーブル250に登録し、REGISTERメッセージ以外のメッセージであってサーバへのアクセスを行うメッセージを受け取った場合には、そのアクセスが可能な端末、位置、サーバの組合せ等に応じてアクセスを制御することができる。なお、既にREGITERメッセージにより登録されている端末が、異なる位置ゲートウェイを介してREGISTERメッセージを送信した場合には、統合ゲートウェイは、登録されている位置ゲートウェイに登録メッセージを送信するとともに、当該位置ゲートウェイに関する登録を削除し、REGISTERメッセージの内容に従って拡張ルーティングテーブル250へ新たに端末の登録を行うことができる。
【0075】
次に、位置ゲートウェイの受信情報の処理フローについて、図13を用いて説明する。図13は、位置ゲートウェイがLANIP網I/F220、221、WANIP網I/F280のいずれかから、通信データを受信した場合に開始される受信情報処理のフローを示す図である。
【0076】
まず、拡張ルーティング制御部230は、受信したデータから、端末のIPアドレスと、ゲートウェイのIPアドレスと、を取得することができるか否かを判定する(ステップS101)。具体的には、拡張ルーティング制御部230は、受信したデータから、SIPメッセージにおけるヘッダーフィールド620のFromヘッダー621に含まれる表示名(display−name)と使用者名(username)から、端末のIPアドレスおよびゲートウェイのIPアドレスのそれぞれを取得することができるか否かを判定する。拡張ルーティング制御部230は、受信したデータから端末のIPアドレスおよびゲートウェイのIPアドレスのそれぞれを取得できなかった場合には、後述するステップS104に制御を進める。
【0077】
SIPプロトコル制御部240は、受信したデータから、端末のIPアドレスと、ゲートウェイのIPアドレスと、を取得することができた場合(ステップS101にて「Yes」の場合)には、ゲートウェイのIPアドレスが自ゲートウェイのIPアドレスと一致するか否かを判定する(ステップS102)。自ゲートウェイのIPアドレスと一致する場合には、SIPプロトコル制御部240は、後述するステップS104に制御を進める。
【0078】
自ゲートウェイのIPアドレスと一致しない場合(ステップS102にて「No」の場合)には、SIPプロトコル制御部240は、拡張ルーティングテーブル250から、該当するIPアドレスを有する端末に関する登録を削除する(ステップS103)。具体的には、SIPプロトコル制御部240は、拡張ルーティングテーブル550の端末IPアドレス551のうち、ステップS101にて抽出した端末のIPアドレスと一致するレコードを特定し、当該レコードを削除する。そして、SIPプロトコル制御部240は、受信情報処理を終了する。
【0079】
SIPプロトコル制御部240は、端末のIPアドレスとゲートウェイIPアドレスの組合せが、拡張ルーティングテーブル250に登録済みか否かを判定する(ステップS104)。具体的には、SIPプロトコル制御部240は、ステップS101において抽出した端末のIPアドレスおよびゲートウェイIPアドレスの組み合わせが、拡張ルーティングテーブル550の端末IPアドレス551および統合ゲートウェイIPアドレス552の組み合わせのいずれかに該当するか否かを判定する。なお、ステップS101において、端末のIPアドレスとゲートウェイIPアドレスとのいずれか、またはその両方が取得できなかった場合には、拡張ルーティング制御部230は、端末のIPアドレスとゲートウェイIPアドレスの組合せが、拡張ルーティングテーブル250に登録されていないと判定する。拡張ルーティングテーブル250に登録済みであれば、後述するステップS109へ制御を進める。
【0080】
端末のIPアドレスとゲートウェイIPアドレスの組合せが、拡張ルーティングテーブル250に登録されていない場合(ステップS104にて「No」)には、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)が拡張ルーティングテーブル250に登録されているか否かを判定する(ステップS105)。具体的には、SIPプロトコル制御部240は、ステップS101で抽出した端末のIPアドレス(送信元IP)が、拡張ルーティングテーブル550の端末IPアドレス551に含まれるか否かを判定する。含まれる場合には、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)が拡張ルーティングテーブル250に登録されていると判定し、制御を後述するステップS109に進める。
【0081】
端末のIPアドレス(送信元IP)が拡張ルーティングテーブル250に登録されていない場合(ステップS105にて「No」の場合)には、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)と、自ゲートウェイのIPアドレスと、自ゲートウェイのMACアドレスと、を含む登録要求を、統合ゲートウェイへ送信する(ステップS106)。具体的には、SIPプロトコル制御部240は、ステップS101で抽出した端末のIPアドレス(送信元IP)と、自ゲートウェイのIPアドレスと、自ゲートウェイのMACアドレスと、を含む登録要求として、SIPプロトコルのREGISTERメッセージを構成し、当該REGISTERメッセージを統合ゲートウェイ110へ送信する。なお、IPアドレス(送信元IP)と、自ゲートウェイのIPアドレスとは、それぞれ、REGISTERメッセージのヘッダーフィールド620のFromヘッダー621の表示名(display−name)と、使用者名(username)として盛り込まれる。また、自ゲートウェイのMACアドレスは、当該REGISTERメッセージを送信するTCP/IPパケットのヘッダーに盛り込まれる。
【0082】
そして、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)と、自ゲートウェイのIPアドレス(自IP)と、を含む登録応答を、統合ゲートウェイから受信する(ステップS107)。具体的には、SIPプロトコル制御部240は、ステップS106にて統合ゲートウェイへ送信したREGISTERメッセージへの応答として、200OKの登録完了メッセージを受け取る。なお、当該200OKメッセージには、ヘッダーフィールド620のFromヘッダー621の表示名(display−name)と、使用者名(username)のそれぞれに、端末IPアドレス(送信元IP)と、自ゲートウェイのIPアドレス(自IP)とが含まれている。また、統合ゲートウェイのMACアドレスは、当該200OKメッセージを送信するTCP/IPパケットのヘッダーに盛り込まれている。
【0083】
そして、SIPプロトコル制御部240は、端末のIPアドレス(送信元IP)と、統合ゲートウェイのIPアドレスと、統合ゲートウェイのMACアドレスとを、拡張ルーティングテーブル250へ登録する(ステップS108)。具体的には、SIPプロトコル制御部240は、ステップS107で受信した200OKメッセージから取得した端末のIPアドレス(送信元IP)と、図示しないルーティングテーブルに予め登録されている統合ゲートウェイのIPアドレスと、統合ゲートウェイのMACアドレスとを対応付けて、拡張ルーティングテーブル550へ登録する。そして、SIPプロトコル制御部240は、図示しない計時部に依頼して、当該端末のIPアドレスに対応付けて時刻を保持する。当該時刻から所定の時間が経過した場合には、SIPプロトコル制御部240は、当該端末のアクセス可能時間を過ぎたものと判定し、拡張ルーティングテーブル550から当該端末の登録を削除するとともに、統合ゲートウェイ110に対して当該端末の登録を削除するようSIPのREGISTERメッセージ(Expiresヘッダーの値が「0」となるREGISTERメッセージ)を作成し、送信する。
【0084】
次に、拡張ルーティング制御部230は、送信先IPアドレスに、受信したメッセージを転送する(ステップS109)。具体的には、拡張ルーティング制御部230は、受信情報処理を開始するきっかけとなった受信メッセージを、その送信先IPアドレスを有する装置に対して送信する。なお、受信したメッセージがSIPプロトコルにおけるメッセージである場合には、拡張ルーティング制御部230は、SIPプロトコル制御部240を介して、メッセージ送信を行う。
【0085】
以上が、位置ゲートウェイにおける受信情報処理のフローである。当該受信情報処理を行うことで、位置ゲートウェイは、未登録の端末からアクセス要求情報を受け取った場合には、統合ゲートウェイに対して拡張ルーティングテーブルへの登録を要求するREGISTERメッセージを送信するとともに、自身の拡張ルーティングテーブルへの登録も行うことができる。また、拡張ルーティングテーブルへ登録済みの端末からアクセス要求を受け取った場合、アクセス要求を当該要求先へ転送する。また、SIPメッセージのFromヘッダーの所定位置に含まれる端末IPアドレスおよびゲートウェイIPアドレスについて、自ゲートウェイIPアドレスではない他のIPアドレスがゲートウェイIPアドレスである場合には、位置ゲートウェイは、当該メッセージの端末IPアドレスに相当するエントリを、拡張ルーティングテーブルから削除する。これは、既にREGITERメッセージにより登録されている端末が、異なる位置ゲートウェイを介して統合ゲートウェイにREGISTERメッセージを送信した場合に、統合ゲートウェイから既に登録されている位置ゲートウェイに対して送信される登録応答メッセージであると判断することが可能であるためである。
【0086】
すなわち、位置ゲートウェイにおける受信情報処理によれば、適切にメッセージの転送を行うだけでなく、拡張ルーティングテーブルへの端末の追加/削除を行うことができる。
【0087】
次に、動作例として、図14および図15を用いて、IPアドレス「192.168.100.2」を有する端末140から、部署AのVoIPゲートウェイ120および統合ゲートウェイ110を経由して部署A用サーバ150へ初めてアクセスした時の処理シーケンスを説明する。
【0088】
まず、端末140から、TCP/IP等のSYNパケット等、アクセス要求が部署AのVoIPゲートウェイ120へ送信される(ステップF001)。当該アクセス要求の情報には、送信元端末IPアドレスと、送信先のサーバのIPアドレスとが含まれる。
【0089】
部署AのVoIPゲートウェイ120は、部署AのVoIPゲートウェイ120内のLANIP網I/F220を介して拡張ルーティング制御部230がアクセス要求メッセージを受信する。拡張ルーティング制御部230は、アクセス要求メッセージ内の送信元端末IPアドレス(192.168.100.2)が拡張ルーティングテーブル550に設定されているか否かを判定し、設定されていない場合には、統合ゲートウェイ110に登録することが必要と判定し、SIPプロトコル制御部240に端末の登録を行うよう処理を要求する。端末登録の要求を受信したSIPプロトコル制御部240は、SIPのREGISTERメッセージのFromヘッダー内のdisplay−nameに端末のIPアドレスを設定し、usernameに自VoIPゲートウェイ(位置ゲートウェイ)のWAN側IPアドレスを設定し、端末の登録である旨の独自メッセージを作成し、WANIP網I/F280を介して統合ゲートウェイ110へ登録要求メッセージを送信する(ステップF002)。
【0090】
統合ゲートウェイ110は、統合ゲートウェイ110内のLANIP網I/F220を介して拡張ルーティング制御部230が、登録要求メッセージを受信する。拡張ルーティング制御部230は、当該登録要求メッセージがSIPのREGISTERメッセージであることを判定すると、SIPプロトコル制御部240にメッセージを受け渡す。REGISTERメッセージを受信したSIPプロトコル制御部240は、メッセージの解析を行い、Fromヘッダー内のdisplay−nameにIPアドレスが設定されていることから、端末の登録である旨の拡張パラメータが有ると判断する。SIPプロトコル制御部240は、メッセージから、送信元端末のIPアドレス、送信元VoIPゲートウェイIPアドレス、送信元VoIPゲートウェイMACアドレスを抽出する。そして、SIPプロトコル制御部240は、端末のIPアドレスが拡張ルーティングテーブル500に設定されているか否かを判定する。SIPプロトコル制御部240は、端末のIPアドレスが設定されていない場合は、拡張ルーティングテーブル500に端末IPアドレスと、位置ゲートウェイのIPアドレスと、位置ゲートウェイのMACアドレスと、を追加する(ステップF003)。
【0091】
そして、SIPプロトコル制御部240は、SIPの200OKメッセージのFromヘッダー内に、受信したREGISTERのFromヘッダーと同様の値を設定し、部署AのVoIPゲートウェイ120へ登録応答メッセージ(200OKメッセージ)を送信する(ステップF004)。
【0092】
部署AのVoIPゲートウェイ120は、部署AのVoIPゲートウェイ120内のWANIP網I/F280を介してSIPプロトコル制御部240が統合ゲートウェイ110より送信された登録応答メッセージ(200OKメッセージ)を受信する。SIPプロトコル制御部240は、登録応答メッセージの解析を行い、Fromヘッダー内に、F002にて送信したREGISTERメッセージのFromヘッダーと同様の値が設定されていることを確認すると、端末の登録要求の応答であると判定する。SIPプロトコル制御部240は、拡張ルーティングテーブル550に端末IPアドレスと、統合ゲートウェイIPアドレスと、統合ゲートウェイMACアドレスとの登録を行う(ステップF005)。また、SIPプロトコル制御部240は、所定のアクセス可能時間が経過した端末からのアクセスを拒否するために、拡張ルーティングテーブル550から当該端末を削除するための時刻を取得し、拡張ルーティング制御部230へ端末の登録応答を通知する。
【0093】
端末の登録応答を受信した拡張ルーティング制御部230は、ステップF001にて端末から受け取ったアクセス要求を、WANIP網I/F280を介して統合ゲートウェイ110へ送信する(ステップF006)。なお、当該アクセス要求には、受信した際と同様に、送信元端末のIPアドレスと、送信先サーバのIPアドレスと、が含まれている。
【0094】
統合ゲートウェイ110では、統合ゲートウェイ110内のLANIP網I/F220を介して拡張ルーティング制御部230が部署AのVoIPゲートウェイ120から送信されたアクセス要求を受信する。拡張ルーティング制御部230は、アクセス要求メッセージ内に含まれる送信元IPアドレスと、送信先IPアドレスと、送信元MACアドレスと、を抽出する。
【0095】
拡張ルーティング制御部230は、送信先IPアドレスと、構成情報テーブル群260のサーバテーブル350に登録された情報とを付き合わせて、部署A用サーバ150が送信先であること、およびサーバテーブル番号Aを特定する。拡張ルーティング制御部230は、さらに、送信元IPアドレス(端末のIPアドレス)が拡張ルーティングテーブル500に登録されている場合、構成情報テーブル群260の位置テーブル300から送信元MACアドレスが一致するエントリを特定し、位置ゲートウェイ番号(位置ゲートウェイ番号「1」)を取得する。
【0096】
さらに、拡張ルーティング制御部230は、構成情報テーブル群260のサーバテーブル350を参照して、サーバテーブル番号Aへのアクセスは、アクセスする端末と、アクセスする位置との組合せが制限されることを特定する。そのため、拡張ルーティング制御部230は、端末のIPアドレスを構成情報テーブル群260のアクセス許可テーブル400を検索し、その結果、端末(IPアドレス「192.168.100.2」の端末)のサーバテーブル番号A(部署A用サーバ150)へのアクセスは、位置ゲートウェイ番号1(部署AのVoIPゲートウェイ120)からのアクセスが可能と判断できる。そのため、拡張ルーティング制御部230は、LANIP網I/F221を介して部署A用サーバ150へアクセス要求を送信する(F007)。
【0097】
アクセス要求を受信した部署A用サーバ150は、サーバ自体ではアクセス要求を規制していないのでアクセスの結果となるアクセス応答を統合ゲートウェイ110へ送信する(ステップF008)。なお、アクセス応答には、送信元サーバIPアドレスと、送信先端末IPアドレスとが含まれる。
【0098】
統合ゲートウェイ110の拡張ルーティング制御部230は、アクセス応答を受け付けると、送信元IPアドレスと、送信先IPアドレスと、送信元MACアドレスとを抽出し、送信先IPアドレスがサーバのIPアドレスでないために、通常のルーティング処理によりアクセス応答を部署AのVoIPゲートウェイ120へ転送する(ステップF009)。
【0099】
部署AのVoIPゲートウェイ120の拡張ルーティング制御部230は、アクセス応答を受け付けると、SIPメッセージとは異なるフォーマットであるためにFromヘッダーから端末IPアドレス等を取得できないが、送信元のIPアドレスと送信先のIPアドレスが特定されるために、通常のルーティング制御を行い、送信先IPアドレスである端末140へアクセス応答を転送する(ステップF010)。これにより、端末140と部署A用サーバ150間での通信が成立する。
【0100】
次に、図16を用いて、IPアドレス「192.168.100.2」を有する端末140から、部署AのVoIPゲートウェイ120および統合ゲートウェイ110を経由して企業共有サーバ153へ初めてアクセスした時の処理シーケンスを説明する。なお、ステップF001〜F005については、図14に示すシーケンスと同様であるため、説明を省略する。
【0101】
企業共有サーバ153は、位置ゲートウェイ1、2、3すなわち部署AのVoIPゲートウェイ120、部署BのVoIPゲートウェイ121、部署CのVoIPゲートウェイ122からのアクセスであれば端末を問わずにアクセス可能なサーバである。サーバテーブル350に、端末を限定しない位置ゲートウェイ番号354に、位置1、位置2、位置3として登録があることにより、当該アクセスの許可が実現する。すなわち、統合ゲートウェイ110の受信情報処理のステップS006において送信元MACアドレスは端末を限定しない位置ゲートウェイであるとの判定が成されるため、ステップS007のアクセス許可テーブル400の照合をせずに、メッセージ転送がなされる。
【0102】
そのため、統合ゲートウェイ110は、ステップF006にてアクセス要求を部署AのVoIPゲートウェイ120から転送されると、端末のIPアドレスの参照を行わずに、企業共有サーバ153へアクセス要求を送信する(ステップF007)。
【0103】
また、その後のアクセス応答についても、統合ゲートウェイ110は部署AのVoIPゲートウェイ120へ転送し、部署AのVoIPゲートウェイ120は端末140へ転送することで、端末140と企業共有サーバ153間での通信が成立する(ステップF008〜ステップF010)。
【0104】
次に、図17を用いて、IPアドレス「192.168.100.2」を有する端末140から、部署CのVoIPゲートウェイ122および統合ゲートウェイ110を経由して部署A用サーバ150へ初めてアクセスした時の処理シーケンスを説明する。なお、ステップF001〜F005については、図14に示すシーケンスと同様であるため、説明を省略する。
【0105】
部署A用サーバ150は、アクセス許可テーブル400に示すように、IPアドレス「192.168.100.2」を有する端末140からは、位置ゲートウェイ1すなわち部署AのVoIPゲートウェイ120からのアクセスであればアクセス可能なサーバである。すなわち、統合ゲートウェイ110の受信情報処理のステップS007において、送信元MACアドレスで特定される位置ゲートウェイ番号が、本シーケンスでは部署CのVoIPゲートウェイ122を示す「3」であるため、アクセス許可位置番号403に含まれているという条件を満たさないため、送信元IPアドレスは送信先IPアドレスのサーバへアクセス有効でないとの判定が成され、アクセス要求は統合ゲートウェイ110により廃棄される(ステップF007´)。そのため、端末140と部署A用サーバ150間での通信は成立しない。
【0106】
次に、図18を用いて、IPアドレス「192.168.100.2」を有する端末140から、部署AのVoIPゲートウェイ120および統合ゲートウェイ110を経由して部署A用サーバ150へアクセスした後、所定の期間が経過してアクセスを制限すべき状態になった場合の閉塞処理を示すシーケンスを説明する。なお、当該処理のフローは、ステップS108において説明している。
【0107】
部署AのVoIPゲートウェイ120では、タイマにより記録を保持した時刻から所定の時間が過ぎると、タイムアウトが発生する(ステップF101)。
【0108】
そして、部署AのVoIPゲートウェイ120は、統合ゲートウェイ110に対して、登録解除要求を送信する(ステップF102)。具体的には、位置ゲートウェイのIPアドレスと、登録解除の対象となっている端末のIPアドレスとを含むREGISTERメッセージの、Expiresヘッダーに「0」の値が埋め込まれたメッセージが、統合ゲートウェイ110へ送信される。なお、詳細には、REGISTERのfromヘッダー内のdisplay−nameに端末のIPアドレスが含まれ、usernameに位置ゲートウェイのWAN側IPアドレスが含まれる。
【0109】
そして、統合ゲートウェイ110は、拡張ルーティングテーブル500から、該当する端末のIPアドレスおよび位置ゲートウェイのIPアドレスの組み合わせであるレコードを削除する(ステップF103)。
【0110】
そして、統合ゲートウェイ110は、登録解除応答(REGISTERメッセージへの正常応答となるSIPの200OKメッセージ)を部署AのVoIPゲートウェイ120へ送信する(ステップF104)。なお、統合ゲートウェイ110のSIPプロトコル制御部240により、200OKメッセージのFromヘッダーには、受信したREGISTERのFromヘッダーと同様の値が設定される。
【0111】
部署AのVoIPゲートウェイ120は、登録解除応答を受信すると、拡張ルーティングテーブル550から、該当する端末のIPアドレスおよび位置ゲートウェイのIPアドレスの組み合わせであるレコードを削除する(ステップF105)。具体的には、SIPプロトコル制御部240は、登録解除応答のメッセージの解析を行い、Fromヘッダー内に、送信したREGISTERのFromヘッダーと同様の値が設定されていることを特定して端末の登録解除要求の応答であることを判断し、対応する拡張ルーティングテーブル550の端末IPアドレスと、統合ゲートウェイIPアドレスと、統合ゲートウェイMACアドレスと、の組合せの登録を削除する。
【0112】
以上が、タイムアウト発生時の閉塞処理のシーケンスである。当該シーケンス実施後は、位置ゲートウェイおよび統合ゲートウェイ110のいずれの拡張ルーティングテーブル250からも、タイムアウトする対象の端末と位置ゲートウェイの組合せが登録削除されるため、以降あらたに端末からサーバへアクセスを行わない限り、当該端末から当該サーバへの当該位置ゲートウェイを介したデータは廃棄され、ルーティングが行われないこととなる。
【0113】
図19は、拡張ルーティングテーブルの解除がなされないまま、端末140が場所を移動し、部署BのVoIPゲートウェイ121を介する端末141としてサーバへアクセスを開始した場合についての、拡張ルーティングテーブルの更新及び解除のシーケンス例である。
【0114】
まず、IPアドレス「192.168.100.2」を有する端末141が、部署A内にてサーバへアクセスした後に、場所を移動し、部署B内の端末141の位置において、部署A用サーバ150にアクセスを開始しようとするアクセス要求が端末141から部署BのVoIPゲートウェイ121に送信される(ステップF201)。なお、この状態においては、部署AのVoIPゲートウェイ120においては、当該端末と部署AのVoIPゲートウェイ120との組合せが、拡張ルーティングテーブルから登録されている状態であって、統合ゲートウェイ110においても、IPアドレス「192.168.100.2」を有する端末と部署AのVoIPゲートウェイ120との組合せが、拡張ルーティングテーブル250に登録されている状態である。
【0115】
アクセス要求を受信した部署BのVoIPゲートウェイ121は、当該端末と自位置ゲートウェイの組合せは拡張ルーティングテーブル550に未登録であるため、統合ゲートウェイ110への登録要求となるREGISTERメッセージを作成し、送信する。具体的には、部署BのVoIPゲートウェイ121は、SIPのREGISTERメッセージのFromヘッダー内のdisplay−nameに端末のIPアドレスを設定し、usernameに自VoIPゲートウェイ(位置ゲートウェイ)のWAN側IPアドレスを設定し、端末の登録である旨の独自メッセージを作成し、WANIP網I/F280を介して統合ゲートウェイ110へ登録要求メッセージを送信する(ステップF202)。
【0116】
統合ゲートウェイ110は、統合ゲートウェイ110内のLANIP網I/F220を介して拡張ルーティング制御部230が、登録要求メッセージを受信する。拡張ルーティング制御部230は、当該登録要求メッセージがSIPのREGISTERメッセージであることを判定すると、SIPプロトコル制御部240にメッセージを受け渡す。REGISTERメッセージを受信したSIPプロトコル制御部240は、メッセージの解析を行い、Fromヘッダー内のdisplay−nameにIPアドレスが設定されていることから、端末の登録である旨の拡張パラメータが有ると判断する。SIPプロトコル制御部240は、メッセージから、送信元端末のIPアドレス、送信元VoIPゲートウェイIPアドレス、送信元VoIPゲートウェイMACアドレスを抽出する。
【0117】
そして、SIPプロトコル制御部240は、端末のIPアドレスが拡張ルーティングテーブル500に登録されているか否かを判定する。SIPプロトコル制御部240は、端末のIPアドレスが異なる位置ゲートウェイのIPアドレスとの組合せで登録されているため、SIPの200OKメッセージのFromヘッダー内に、受信したREGISTERのFromヘッダーと同様の値を設定し、既に登録された位置ゲートウェイである部署AのVoIPゲートウェイ120へ登録応答メッセージ(200OKメッセージ)を送信する(ステップF203)。
【0118】
そして、部署AのVoIPゲートウェイ120は、受信したSIPの200OKメッセージのFromヘッダー内から、自ゲートウェイのIPアドレスとは異なるゲートウェイのIPアドレスを取得するため、拡張ルーティングテーブル550から、該当する端末のエントリを削除する(ステップF204)。
【0119】
また、統合ゲートウェイ110は、拡張ルーティングテーブル500に既に登録してある当該端末のIPアドレスと、部署AのVoIPゲートウェイ120の位置ゲートウェイのIPアドレスと、位置ゲートウェイのMACアドレスと、についての登録を削除するととともに、登録要求を受け付けた端末のIPアドレスと、部署BのVoIPゲートウェイ121のIPアドレスである位置ゲートウェイIPアドレスと、部署BのVoIPゲートウェイ121のMACアドレスである位置ゲートウェイMACアドレスと、を対応付けて拡張ルーティングテーブル500に登録する(ステップF205)。
【0120】
そして、統合ゲートウェイ110は、SIPの200OKメッセージのFromヘッダー内に、受信したREGISTERのFromヘッダーと同様の値を設定し、部署BのVoIPゲートウェイ121へ登録応答メッセージ(200OKメッセージ)を送信する(ステップF206)。
【0121】
登録応答メッセージを受信した部署BのVoIPゲートウェイ121は、部署BのVoIPゲートウェイ121内の拡張ルーティングテーブル550へ、端末IPアドレスと、統合ゲートウェイIPアドレスと、統合ゲートウェイMACアドレスとの登録を行う(ステップF207)。
【0122】
以上が、端末のアクセスする位置ゲートウェイが変更された場合のシーケンスである。当該シーケンスにより、部署AのVoIPゲートウェイ120が、すでに移動した端末140からサーバへのルーティングの登録を抹消させることが可能となる。
【0123】
以上、本発明に係るネットワークシステム1の実施形態を説明した。当該実施形態においては、部署毎にVoIPゲートウェイを配置し、それを集約する親としてのVoIPゲートウェイからなるネットワーク構成を適用したが、これに限られない。すなわち、各部署に該当する機器は、各部屋に設置したルータやアクセスポイントであって、それを集約する統合ゲートウェイ1台からなるネットワーク構成であっても良い。その場合には、VoIPゲートウェイの物理LANポート毎に各部署に、設置するルータやアクセスポイントを接続し、VoIPゲートウェイで端末のIPアドレスと物理ポートを対応付けて各部署の位置について判定を行うようにすればよい。
【0124】
また、上記実施形態において、統合ゲートウェイと位置ゲートウェイは異なる動作を行うものであるが、これに限られず、両方の動作を実現するものであってもよいし、選択的にいずれかの動作を実施しうるものであってもよい。
【0125】
また、上記実施形態においては、統合ゲートウェイおよび位置ゲートウェイは一連の動作を実施する単体の装置であるものとしているが、これに限られず、それぞれ複数の処理装置により多重化されて負荷分散が図られるようにしても良い。または、単体の処理装置で統合ゲートウェイと位置ゲートウェイ、あるいは複数の位置ゲートウェイを兼ねるものであってもよい。
【0126】
また、上記した実施形態の変形は、単独で適用されてもよいし、部分的に組み合わされて適用されるようにしてもよい。
【0127】
以上、本発明について、実施形態を中心に説明した。本発明に係る実施形態によると、企業等のネットワークにおいて、ほぼ同じ位置にアクセスを許可すべき端末とアクセスを拒否すべき端末が存在する場合であっても、個別の端末のアクセス制限をより簡便に実現することができる。また、端末の属性に応じてアクセス制御を行う方法では、当該端末はアクセス可能な属性を有するものであっても、使用状況、例えば、企業内ではあるが、部外者が出入りする場所における使用時には、部外者に開示してはならない情報を含むデータベースへのアクセスは、情報漏洩の危険性を伴うために制限されるべきであり、本発明においては、このような場合にも、適切なアクセス制限を実現することができる。
【符号の説明】
【0128】
1・・・ネットワークシステム、100・・・NGN網、110・・・統合ゲートウェイ、111・・・演算装置、112・・・主記憶装置、113、114・・・LAN通信装置、115・・・WAN通信装置、116・・・バス、120〜123・・・位置ゲートウェイ、130〜133・・・電話端末、140〜143・・・端末、150・・・部署A用サーバ、151・・・部署A、B共有サーバ、152・・・部署B、C共有サーバ、153・・・企業共有サーバ、230・・・拡張ルーティング制御部、240・・・SIPプロトコル制御部、250・・・拡張ルーティングテーブル
【特許請求の範囲】
【請求項1】
位置を固定されたアクセスポイントを介した端末からのサーバアクセスを制御するゲートウェイであって、
前記端末を識別する情報と、前記アクセスポイントを識別する情報と、の組合せに応じて、アクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と、
前記端末からのアクセスごとに、当該端末を識別する情報と、経由している前記アクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得部と、
前記アクセス情報取得部により取得した前記端末を識別する情報と、前記アクセスポイントを識別する情報と、前記サーバを識別する情報と、の組合せが前記記憶部に格納されていれば、当該アクセスを許可するアクセス許可部と、
を備えることを特徴とするゲートウェイ。
【請求項2】
請求項1に記載のゲートウェイであって、
さらに、前記記憶部には、
前記サーバごとに、端末を限定せずにアクセスを許可するアクセスポイントを識別する情報が対応付けられて無制限アクセス許可情報として予め格納されており、
前記アクセス許可部は、
前記アクセスごとに、アクセス情報取得部により取得したアクセス先のサーバを識別する情報と、アクセスポイントを識別する情報と、の組み合わせが前記無制限アクセス許可情報に含まれる場合には、当該アクセスを許可する、
ことを特徴とするゲートウェイ。
【請求項3】
請求項1または2に記載のゲートウェイであって、
さらに、
前記端末を識別するアドレスと、前記アクセスポイントを識別するアドレスの登録要求を、前記アクセスポイントから受け付けると、ルーティング情報として前記記憶部に格納する登録管理部を備え、
前記アクセス許可部は、さらに、
前記アクセスごとに、前記端末を識別するアドレスと、前記アクセスポイントを識別するアドレスとが、前記ルーティング情報として前記記憶部に格納されていない限り、当該アクセスを許可しない、
ことを特徴とするゲートウェイ。
【請求項4】
請求項3に記載のゲートウェイであって、
前記登録管理部は、前記アクセスポイントから前記登録要求の解除要求を受け付けると、前記記憶部から前記ルーティング情報を削除する、
ことを特徴とするゲートウェイ。
【請求項5】
請求項3または4に記載のゲートウェイであって、
前記登録管理部は、
前記ルーティング情報として格納された端末のアドレスについて、登録されたアクセスポイントのアドレスとは異なるアドレスを有する第二のアクセスポイントから前記登録要求を受け付けた場合には、当該端末についての登録済みのルーティング情報を削除するとともに、当該端末を識別するアドレスと、前記第二のアクセスポイントを識別するアドレスとをルーティング情報として前記記憶部に格納する、
ことを特徴とするゲートウェイ。
【請求項6】
請求項3〜5のいずれか一項に記載のゲートウェイであって、
さらに、SIPによる通信を処理するSIP制御部を備え、
前記登録要求は、SIPのREGISTERメッセージにより実施される、
ことを特徴とするゲートウェイ。
【請求項7】
請求項6に記載のゲートウェイであって、
前記登録要求には、前記REGISTERメッセージのFromヘッダーのdisplay-name位置に前記端末を識別するアドレスが格納されており、username位置に前記アクセスポイントを識別するアドレスが格納されている、
ことを特徴とするゲートウェイ。
【請求項8】
位置を固定されたアクセスポイントを介した端末からのサーバアクセスを制御するゲートウェイのアクセス制御方法であって、
前記ゲートウェイは、
前記端末を識別する情報と、前記アクセスポイントを識別する情報と、の組合せに応じて、アクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と、制御部と、を備え、
前記制御部は、
前記端末からのアクセスごとに、当該端末を識別する情報と、経由している前記アクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得ステップと、
前記アクセス情報取得ステップにより取得した前記端末を識別する情報と、前記アクセスポイントを識別する情報と、前記サーバを識別する情報と、の組合せが前記記憶部に格納されていれば、当該アクセスを許可するアクセス許可ステップと、
を実施することを特徴とするアクセス制御方法。
【請求項1】
位置を固定されたアクセスポイントを介した端末からのサーバアクセスを制御するゲートウェイであって、
前記端末を識別する情報と、前記アクセスポイントを識別する情報と、の組合せに応じて、アクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と、
前記端末からのアクセスごとに、当該端末を識別する情報と、経由している前記アクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得部と、
前記アクセス情報取得部により取得した前記端末を識別する情報と、前記アクセスポイントを識別する情報と、前記サーバを識別する情報と、の組合せが前記記憶部に格納されていれば、当該アクセスを許可するアクセス許可部と、
を備えることを特徴とするゲートウェイ。
【請求項2】
請求項1に記載のゲートウェイであって、
さらに、前記記憶部には、
前記サーバごとに、端末を限定せずにアクセスを許可するアクセスポイントを識別する情報が対応付けられて無制限アクセス許可情報として予め格納されており、
前記アクセス許可部は、
前記アクセスごとに、アクセス情報取得部により取得したアクセス先のサーバを識別する情報と、アクセスポイントを識別する情報と、の組み合わせが前記無制限アクセス許可情報に含まれる場合には、当該アクセスを許可する、
ことを特徴とするゲートウェイ。
【請求項3】
請求項1または2に記載のゲートウェイであって、
さらに、
前記端末を識別するアドレスと、前記アクセスポイントを識別するアドレスの登録要求を、前記アクセスポイントから受け付けると、ルーティング情報として前記記憶部に格納する登録管理部を備え、
前記アクセス許可部は、さらに、
前記アクセスごとに、前記端末を識別するアドレスと、前記アクセスポイントを識別するアドレスとが、前記ルーティング情報として前記記憶部に格納されていない限り、当該アクセスを許可しない、
ことを特徴とするゲートウェイ。
【請求項4】
請求項3に記載のゲートウェイであって、
前記登録管理部は、前記アクセスポイントから前記登録要求の解除要求を受け付けると、前記記憶部から前記ルーティング情報を削除する、
ことを特徴とするゲートウェイ。
【請求項5】
請求項3または4に記載のゲートウェイであって、
前記登録管理部は、
前記ルーティング情報として格納された端末のアドレスについて、登録されたアクセスポイントのアドレスとは異なるアドレスを有する第二のアクセスポイントから前記登録要求を受け付けた場合には、当該端末についての登録済みのルーティング情報を削除するとともに、当該端末を識別するアドレスと、前記第二のアクセスポイントを識別するアドレスとをルーティング情報として前記記憶部に格納する、
ことを特徴とするゲートウェイ。
【請求項6】
請求項3〜5のいずれか一項に記載のゲートウェイであって、
さらに、SIPによる通信を処理するSIP制御部を備え、
前記登録要求は、SIPのREGISTERメッセージにより実施される、
ことを特徴とするゲートウェイ。
【請求項7】
請求項6に記載のゲートウェイであって、
前記登録要求には、前記REGISTERメッセージのFromヘッダーのdisplay-name位置に前記端末を識別するアドレスが格納されており、username位置に前記アクセスポイントを識別するアドレスが格納されている、
ことを特徴とするゲートウェイ。
【請求項8】
位置を固定されたアクセスポイントを介した端末からのサーバアクセスを制御するゲートウェイのアクセス制御方法であって、
前記ゲートウェイは、
前記端末を識別する情報と、前記アクセスポイントを識別する情報と、の組合せに応じて、アクセス可能なサーバを識別する情報を予め対応付けて格納する記憶部と、制御部と、を備え、
前記制御部は、
前記端末からのアクセスごとに、当該端末を識別する情報と、経由している前記アクセスポイントを識別する情報と、アクセス先のサーバを識別する情報と、を取得するアクセス情報取得ステップと、
前記アクセス情報取得ステップにより取得した前記端末を識別する情報と、前記アクセスポイントを識別する情報と、前記サーバを識別する情報と、の組合せが前記記憶部に格納されていれば、当該アクセスを許可するアクセス許可ステップと、
を実施することを特徴とするアクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2012−242990(P2012−242990A)
【公開日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願番号】特願2011−111106(P2011−111106)
【出願日】平成23年5月18日(2011.5.18)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願日】平成23年5月18日(2011.5.18)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]