認証装置
【課題】 正当なクライアント装置に対してはサーバ装置の利用を保障し、且つDoS攻撃、総当り攻撃に対して防御することができる認証装置を提供する。
【解決手段】 SIPサーバ1の認証部11は、クライアント装置2がHTTPを用いてアクセスしてきた場合、ワンタイムパスワードを表示するパスワード提示領域、およびクライアント装置2の操作によって文字列を入力する文字列入力領域を設けた認証画面を作成して、この認証画面をクライアント装置2に表示させ、クライアント装置2が文字列入力領域に入力した文字列を取得して、この取得した文字列とワンタイムパスワードとが一致した場合、クライアント装置2のIPアドレスを登録し、以降、SIPを用いてSIPサーバ1にアクセスしたクライアント装置2のIPアドレスが、登録したIPアドレスと一致した場合、取得したIPアドレスを認証済とする。
【解決手段】 SIPサーバ1の認証部11は、クライアント装置2がHTTPを用いてアクセスしてきた場合、ワンタイムパスワードを表示するパスワード提示領域、およびクライアント装置2の操作によって文字列を入力する文字列入力領域を設けた認証画面を作成して、この認証画面をクライアント装置2に表示させ、クライアント装置2が文字列入力領域に入力した文字列を取得して、この取得した文字列とワンタイムパスワードとが一致した場合、クライアント装置2のIPアドレスを登録し、以降、SIPを用いてSIPサーバ1にアクセスしたクライアント装置2のIPアドレスが、登録したIPアドレスと一致した場合、取得したIPアドレスを認証済とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サーバ装置にネットワークを介してアクセスするクライアント装置の認証を行う認証装置に関するものである。
【背景技術】
【0002】
近年、VoIP(Voice Over IP)/SIP(Session Initiation Protocol)を利用したIP電話が普及している。図9では、IP電話サービスを提供するSIPサーバ101と、IP電話サービスを利用するクライアント装置102とがネットワークNT101を介して接続している。SIPサーバ101は、認証部101aを備えており、クライアント装置102によるIP電話サービスの利用開始時に認証処理を行う。
【0003】
しかしながら、このようなネットワークシステムは、攻撃者からの攻撃脅威にさらされており、例えば攻撃者103によるDoS(denial of service)攻撃、攻撃者104による総当り攻撃が挙げられる。
【0004】
DoS攻撃は、SIPサーバ101をダウンさせて、サービスを妨害することを目的とし、総当り攻撃は、IP電話サービスの利用開始時における認証処理に用いるパスワードを不正取得し、例えば海外向け通話などに不正利用することを目的としている。
【0005】
このような攻撃脅威に対する防御策は様々に検討されており、DoS攻撃に対する防御方法、総当り攻撃に対する防御方法(例えば、特許文献1乃至3参照)が提案されている。
【0006】
具体的な防御方法しては、SIPサーバ101が、DoS攻撃の検知時に攻撃者のIPアドレスを特定し、もしくは通信記録(ログ)から攻撃者のIPアドレスを特定し、以降、そのIPアドレスからのアクセスを禁止している。また、SIPサーバ101が、あるIPアドレスから短時間に多量のアクセスがあった場合に、DoS攻撃が発生したと推定し、以降、そのIPアドレスからのアクセスを禁止する。また、パスワードの入力値の過去データ差分に基づいて、総当り攻撃が発生しているか否かを推定する方法もある。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2003−333092号公報
【特許文献2】特開2006−25354号公報
【特許文献3】特開2007−200211号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、SIPは、パケットの中身にアクセス元のIPアドレスが記述される仕組みであり、アクセス元を偽装し易い。また、DoS攻撃には、アクセス元のIPアドレスをランダムに変更してくる攻撃もあり、IPアドレス毎の単位時間当たりのアクセス回数に基づいて、攻撃の発生の有無を判断し難くなっている。
【0009】
また、VoIPサービスを利用するユーザは、一般にDHCP(Dynamic Host Configuration Protocol)環境下からSIPサーバにアクセスしてくるものであり、この場合、アクセス毎にIPアドレスが異なる。よって、利用可能なIPアドレスを予め登録しておき、アクセス元のIPアドレスの認証処理を行う手法も、実現が難しい。
【0010】
さらに、近年はSIPサーバに対する上記攻撃数は増加しており、特にIP電話サービスの利用開始時の認証処理に用いるパスワードを不正取得され、海外通話など高額な費用の通信を不正利用されるケースが頻発している。
【0011】
そこで、VoIP/SIPを利用したIP電話サービスを用いる場合に、DoS攻撃、総当り攻撃を防御して、サービス妨害やサービスの不正利用を防ぎ、且つ正当なユーザによる利用は保障するという2点を両立させることが要望されていた。
【0012】
本発明は、上記事由に鑑みてなされたものであり、その目的は、正当なクライアント装置に対してはサーバ装置の利用を保障し、且つDoS攻撃、総当り攻撃に対して防御することができる認証装置を提供することにある。
【課題を解決するための手段】
【0013】
本発明の認証装置は、サーバ装置にネットワークを介してアクセスするクライアント装置に対して認証処理を行う認証部を備える認証装置であって、前記認証部は、前記クライアント装置が第1の通信プロトコルを用いて前記サーバ装置にアクセスした場合、ランダムな文字列を表示するパスワード提示領域、および前記クライアント装置の操作によって文字列を入力する文字列入力領域を設けた認証画面を作成して、この認証画面を前記クライアント装置に表示させ、前記クライアント装置が前記文字列入力領域に入力した文字列を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記クライアント装置のIPアドレスを登録し、以降、第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とすることを特徴とする。
【0014】
この発明において、前記認証部は、前記クライアント装置を用いるユーザの認証情報を予め保持し、前記認証情報を入力する認証情報入力領域を前記認証画面に設け、前記クライアント装置が前記文字列入力領域に入力した文字列および前記認証情報領域に入力した前記認証情報を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記クライアント装置のIPアドレスを登録するとともに、前記ユーザは認証済であることを登録し、以降、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とすることが好ましい。
【0015】
この発明において、前記認証部は、前記クライアント装置を用いるユーザの認証情報を予め保持し、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレス、およびこのクライアント装置が入力した前記認証情報を取得し、前記取得したIPアドレスが、前記クライアント装置が前記第1の通信プロトコルを用いて前記サーバ装置にアクセスしたときに登録した前記IPアドレスと一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記取得したIPアドレスおよび前記ユーザを認証済とすることが好ましい。
【0016】
この発明において、前記認証部は、前記クライアント装置のIPアドレスを登録した場合、このIPアドレスの登録期限を前記クライアント装置へ通知し、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得して、この取得したIPアドレスが前記登録したIPアドレスと一致し且つ前記登録期限内である場合、前記取得したIPアドレスを認証済とすることが好ましい。
【発明の効果】
【0017】
以上説明したように、本発明では、正当なクライアント装置に対してはサーバ装置の利用を保障し、且つDoS攻撃、総当り攻撃に対して防御することができるという効果がある。
【図面の簡単な説明】
【0018】
【図1】実施形態1のネットワークシステムの構成を示すブロック図である。
【図2】同上の認証部による認証処理を示すブロック図である。
【図3】同上の認証部による認証処理を示すブロック図である。
【図4】同上の認証画面の構成を示す平面図である。
【図5】同上の認証部による認証処理を示すブロック図である。
【図6】同上の認証部による認証処理を示すブロック図である。
【図7】(a)(b)同上の認証画面、アクセス画面の構成を示す平面図である。
【図8】ソフトフォンの認証画面を示す平面図である。
【図9】従来のネットワークシステムの構成を示すブロック図である。
【発明を実施するための形態】
【0019】
以下、本発明の実施の形態を図面に基づいて説明する。
【0020】
(実施形態1)
図1は、VoIP(Voice Over IP)/SIP(Session Initiation Protocol)を利用したIP電話サービスのネットワークシステムを示す。本システムは、IP電話サービスを提供するSIPサーバ1(サーバ装置)と、IP電話サービスを利用するクライアント装置2とがネットワークNT1を介して接続している。
【0021】
SIPサーバ1は、認証部11を備えており、認証部11は、クライアント装置2によるIP電話サービスの利用開始時に認証処理を行う。この認証部11は、認証WEBサーバ11a、パスワード発行部11b、データベース11c、アドレスフィルタ11d、SIP認証部11eを備える。すなわち、SIPサーバ1が本発明の認証装置の機能を有している。
【0022】
認証WEBサーバ11aは、Web画面を作成する機能を有し、クライアント装置2からHTTP(HyperText Transfer Protocol)によるアクセスがあった場合に、Web画面を用いたHTTPによる認証処理を行う。パスワード発行部11bは、乱数によるパスワード作成機能によって、ランダムな文字列で構成されるワンタイムパスワード(例えば、英数字7文字)を作成する。データベース11cは、ユーザ認証に用いるVoIPユーザID、VoIPパスワードの各データが予め格納されている。このVoIPユーザID、VoIPパスワードは、ユーザ毎に予め割り付けられており、クライアント装置2を用いるユーザの認証情報に相当する。アドレスフィルタ11dは、HTTPによってSIPサーバ1にアクセスしたクライアント装置2のIPアドレスが登録される。SIP認証部11eは、SIPによる認証処理を行う。
【0023】
以下、認証部11による認証処理について、図2,図3を用いて説明する。
【0024】
まず、正当なユーザのクライアント装置2からSIPサーバ1に対して、第1のプロトコルであるHTTPによるアクセスが発生する(S1)。クライアント装置2は、パーソナルコンピュータのブラウザ機能を利用してSIPサーバ1にアクセスする方法、または専用のクライアントツールを利用してSIPサーバ1にアクセスする方法のいずれを用いてもよい。
【0025】
SIPサーバ1では、認証WEBサーバ11aが、クライアント装置2からのアクセスに対して、認証画面G1をWeb画面で作成し、この認証画面G1をクライアント装置2に表示させる。図4は、認証画面G1の構成を示し、認証画面G1は、パスワード提示領域R1、文字列入力領域R2、ユーザID入力領域R3、VoIPパスワード入力領域R4、送信ボタンB1を有する。なお、ユーザID入力領域R3、VoIPパスワード入力領域R4は、本発明の認証情報入力領域に相当する。
【0026】
認証WEBサーバ11aは、パスワード発行部11bが作成したワンタイムパスワードを取得し、パスワード提示領域R1にワンタイムパスワードを表示する(S2)。ユーザは、認証画面G1に表示されたワンタイムパスワードを見て、クライアント装置2を操作することによって、文字列入力領域R2にワンタイムパスワードを入力する。このワンタイムパスワードの入力は、ユーザが認証画面G1を見てワンタイムパスワードに設定された文字列を認識する必要があるため、機械的な自動アクセスでは対応できない。さらに、ユーザは、クライアント装置2を操作することによって、ユーザID入力領域R3、VoIPパスワード入力領域R4に、VoIPユーザID、VoIPパスワードを入力する。ユーザは、文字列入力領域R2、ユーザID入力領域R3、VoIPパスワード入力領域R4への入力操作の後、送信ボタンB1を押下することによって、各入力データをSIPサーバ1へ送信する。
【0027】
SIPサーバ1の認証WEBサーバ11aは、文字列入力領域R2に入力されたワンタイムパスワードと、パスワード発行部11bが作成したワンタイムパスワードとを比較する。そして、双方のワンタイムパスワードが互いに一致すれば、次に、VoIPユーザID、VoIPパスワードを用いたユーザ認証を行う。
【0028】
認証WEBサーバ11aは、ユーザ認証処理において、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードを取得する(S3)。そして、ユーザID入力領域R3およびVoIPパスワード入力領域R4に入力されたVoIPユーザIDおよびVoIPパスワードと、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードとを比較する。そして、認証WEBサーバ11aは、双方のVoIPユーザIDおよびVoIPパスワードが互いに一致すれば、ユーザ認証が肯定されたユーザ認証済であることをデータベース11cに登録する(S4)。さらに、認証WEBサーバ11aは、ユーザ認証が肯定された場合、クライアント装置2がHTTPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この発信元IPアドレスをアドレスフィルタ11dに登録する(S5)。
【0029】
そして、認証WEBサーバ11aは、認証画面G1に対するユーザの各入力作業に対するレスポンスとして、発信元IPアドレスは登録完了である旨をHTTPによってクライアント装置2へ通知する(S6)。クライアント装置2は、発信元IPアドレスの登録完了を画面上(Web画面上)に表示する。
【0030】
次に、SIP認証部11eのSIP手続きによる通話過程に進む。
【0031】
発信元IPアドレスの登録完了を通知されたクライアント装置2は、SIPサーバ1に対して、第2のプロトコルであるSIPによるアクセス(REGISTER通知)を行う(S7)。SIPサーバ1では、ユーザ認証を既に行っているので、IPアドレスの認証処理のみを行う。具体的に、SIP認証部11eは、クライアント装置2がSIPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する(S8)。すなわち、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致しているか否かを判定する。そして、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致している場合、SIPによるアクセス時の発信元IPアドレスを認証済とし、クライアント装置2からのREGISTER通知を受け取る。
【0032】
REGISTER通知を受け取ったSIP認証部11eは、データベース11cを参照して、ユーザ認証済であることを認識すると(S9)、REGISTER(認証登録)を行う。
【0033】
REGISTERを完了したSIP認証部11eは、SIP手続きの「200OK」をクライアント装置2へ送信する(S10)。以降、クライアント装置2は、SIPサーバ1が提供するIP電話サービスを利用して、SIPによる通話(INVITE)等を行う(S11)。
【0034】
このような構成では、ワンタイムパスワードの入力は、ユーザが認証画面G1を見て、ワンタイムパスワードに設定された文字列を認識する必要がある。したがって、総当り攻撃者が、機械的な自動アクセスによって、SIPサーバ1にアクセスしてきた場合、ワンタイムパスワードを読み取ることができない。したがって、機械的な自動アクセスによる総当り攻撃から防御できる。
【0035】
また、人的なアクセスによる総当り攻撃に対しては、HTTPによるSIPサーバ1へのアクセス毎に、ワンタイムパスワードを入力する必要があり、短時間に多くの攻撃を行うことは不可能である。したがって、人的なアクセスによる総当り攻撃からも防御できる。
【0036】
また、機械的な自動アクセスによるDoS攻撃、人的なアクセスによるDoS攻撃の両方に対しても、上記総当り攻撃と同様に防御できる。
【0037】
また、DoS攻撃者は、ユーザ認証が行われなければ、攻撃に用いるIPアドレスがアドレスフィルタ11dに登録されていないので、このIPアドレスからSIPサーバ1へのアクセスは禁止され、DoS攻撃からの防御が可能になる。SIPサーバ1のSIP認証部11eは、アドレスフィルタ11dに登録されていないIPアドレスを用いたSIPによるアクセスにあった場合、SIP手続きの「エラー通知」をクライアント装置2へ送信してもよく、または無応答であってもよい。
【0038】
したがって、正当なクライアント装置2に対してはSIPサーバ1の利用を保障し、且つDoS攻撃、総当り攻撃に対しては防御することができる。
【0039】
なお、本実施形態では、認証部11を備えたSIPサーバ1が、本発明の認証装置を構成している。しかし、SIPサーバ1、およびSIPサーバ1に接続した図示しないルータ、ファイヤーウォール機器等が互いに連携することによって、認証装置を構成してもよい。また、認証部11を備えた認証装置を、SIPサーバ1とは別体に構成してもよい。
【0040】
また、上記ステップS6において、SIPサーバ1の認証WEBサーバ11aは、クライアント装置2の発信元IPアドレスをアドレスフィルタ11dに登録した場合、発信元IPアドレスは登録完了である旨をクライアント装置2へ通知する。このとき、認証WEBサーバ11aは、アドレスフィルタ11dに登録した発信元IPアドレスの登録期限情報(例えば、30秒以内)を設定し、発信元IPアドレスの登録状態(認証完了)とともにクライアント装置2へ通知してもよい。クライアント装置2は、この登録期限情報を表示し、ユーザに、登録期限内のSIPによるアクセス(REGISTER通知)を促す。
【0041】
そして、上記ステップS7においてクライアント装置2からREGISTER通知を受け取ったSIP認証部11eは、発信元IPアドレスを取得する。SIP認証部11eは、上記ステップS8において、取得した発信元IPアドレスが登録期限内であれば、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する。すなわち、SIP認証部11eは、この取得した発信元IPアドレスが前記登録したIPアドレスと一致し、且つ登録期限内である場合、この発信元IPアドレスを認証済とする。
【0042】
このように、発信元IPアドレスの認証に期限を設けることにより、DoS攻撃、総当り攻撃に対して、さらなる防御を図ることができる。
【0043】
(実施形態2)
本実施形態は、図1のシステム構成を備えており、実施形態1と同様の構成には同一の符号を付し、説明は省略する。
【0044】
以下、認証部11による認証処理について、図5,図6を用いて説明する。
【0045】
まず、正当なユーザのクライアント装置2からSIPサーバ1に対して、第1のプロトコルであるHTTPによるアクセスが発生する(S21)。クライアント装置2は、パーソナルコンピュータのブラウザ機能を利用してSIPサーバ1にアクセスする方法、または専用のクライアントツールを利用してSIPサーバ1にアクセスする方法のいずれを用いてもよい。
【0046】
SIPサーバ1では、認証WEBサーバ11aが、クライアント装置2からのアクセスに対して、認証画面G11をWeb画面で作成し、この認証画面G11をクライアント装置2に表示させる。図7(a)は、認証画面G11の構成を示し、認証画面G11は、パスワード提示領域R11、文字列入力領域R12、送信ボタンB11を有する。
【0047】
認証WEBサーバ11aは、パスワード発行部11bが作成したワンタイムパスワードを取得し、パスワード提示領域R1にワンタイムパスワードを表示する(S22)。ユーザは、認証画面G11に表示されたワンタイムパスワードを見て、クライアント装置2を操作することによって、文字列入力領域R12にワンタイムパスワードを入力する。このワンタイムパスワードの入力は、ユーザが認証画面G11を見てワンタイムパスワードに設定された文字列を認識する必要があるため、機械的な自動アクセスでは対応できない。ユーザは、文字列入力領域R2への入力操作の後、送信ボタンB11を押下することによって、入力データをSIPサーバ1へ送信する。
【0048】
SIPサーバ1の認証WEBサーバ11aは、文字列入力領域R12に入力されたワンタイムパスワードと、パスワード発行部11bが作成したワンタイムパスワードとを比較する。そして、双方のワンタイムパスワードが互いに一致すれば、認証WEBサーバ11aは、クライアント装置2がHTTPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この発信元IPアドレスをアドレスフィルタ11dに登録する(S23)。
【0049】
そして、認証WEBサーバ11aは、認証画面G11に対するユーザの各入力作業に対するレスポンスとして、発信元IPアドレスは登録完了である旨をHTTPによってクライアント装置2へ通知する(S24)。クライアント装置2は、発信元IPアドレスの登録完了を画面上(Web画面上)に表示する。
【0050】
次に、SIP認証部11eのSIP手続きによる通話過程に進む。
【0051】
発信元IPアドレスの登録完了を通知されたクライアント装置2は、SIPサーバ1に対して、第2のプロトコルであるSIPによるアクセス(REGISTER通知)を行う(S25)。このとき、クライアント装置2は、アクセス操作時に表示しているアクセス画面G12中に、図7(b)に示すユーザID入力領域R13、VoIPパスワード入力領域R14を設ける。そして、ユーザは、クライアント装置2を操作することによって、ユーザID入力領域R13、VoIPパスワード入力領域R14に、VoIPユーザID、VoIPパスワードを入力する。なお、ユーザID入力領域R13、VoIPパスワード入力領域R14は、本発明の認証情報入力領域に相当する。
【0052】
次に、SIP認証部11eは、IPアドレスの認証処理、およびVoIPユーザID、VoIPパスワードを用いたユーザ認証を行う。具体的に、SIP認証部11eは、クライアント装置2がSIPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する(S26)。すなわち、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致しているか否かを判定する。そして、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致している場合、SIPによるアクセス時の発信元IPアドレスを認証済とする。そして、SIP認証部11eは、クライアント装置2からのREGISTER通知、およびVoIPユーザID、VoIPパスワードを受け取る。
【0053】
そして、SIP認証部11eは、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードを取得する(S27)。そして、ユーザID入力領域R13およびVoIPパスワード入力領域R14に入力されたVoIPユーザIDおよびVoIPパスワードと、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードとを比較する。そして、SIP認証部11eは、双方のVoIPユーザIDおよびVoIPパスワードが互いに一致すれば、ユーザ認証が肯定されたユーザ認証済であると認識し、REGISTER(認証登録)を行う。REGISTERを完了したSIP認証部11eは、SIP手続きの「200OK」をクライアント装置2へ送信する(S28)。以降、クライアント装置2は、SIPサーバ1が提供するIP電話サービスを利用して、SIPによる通話(INVITE)等を行う(S29)。
【0054】
このような構成では、ワンタイムパスワードの入力は、ユーザが認証画面G11を見て、ワンタイムパスワードに設定された文字列を認識する必要がある。したがって、総当り攻撃者が、機械的な自動アクセスによって、SIPサーバ1にアクセスしてきた場合、ワンタイムパスワードを読み取ることができない。したがって、機械的な自動アクセスによる総当り攻撃から防御できる。
【0055】
また、人的なアクセスによる総当り攻撃に対しては、HTTPによるSIPサーバ1へのアクセス毎に、ワンタイムパスワードを入力する必要があり、短時間に多くの攻撃を行うことは不可能である。したがって、人的なアクセスによる総当り攻撃からも防御できる。
【0056】
また、機械的な自動アクセスによるDoS攻撃、人的なアクセスによるDoS攻撃の両方に対しても、上記総当り攻撃と同様に防御できる。
【0057】
また、DoS攻撃者は、ユーザ認証が行われなければ、攻撃に用いるIPアドレスがアドレスフィルタ11dに登録されていないので、このIPアドレスからSIPサーバ1へのアクセスは禁止され、DoS攻撃からの防御が可能になる。SIPサーバ1のSIP認証部11eは、アドレスフィルタ11dに登録されていないIPアドレスを用いたSIPによるアクセスにあった場合、SIP手続きの「エラー通知」をクライアント装置2へ送信してもよく、または無応答であってもよい。
【0058】
したがって、正当なクライアント装置2に対してはSIPサーバ1の利用を保障し、且つDoS攻撃、総当り攻撃に対しては防御することができる。
【0059】
なお、本実施形態では、認証部11を備えたSIPサーバ1が、本発明の認証装置を構成している。しかし、SIPサーバ1、およびSIPサーバ1に接続した図示しないルータ、ファイヤーウォール機器等が互いに連携することによって、認証装置を構成してもよい。また、認証部11を備えた認証装置を、SIPサーバ1とは別体に構成してもよい。
【0060】
また、上記ステップS24において、SIPサーバ1の認証WEBサーバ11aは、クライアント装置2の発信元IPアドレスをアドレスフィルタ11dに登録した場合、発信元IPアドレスは登録完了である旨をクライアント装置2へ通知する。このとき、認証WEBサーバ11aは、アドレスフィルタ11dに登録した発信元IPアドレスの登録期限情報(例えば、30秒以内)を設定し、発信元IPアドレスの登録状態(認証完了)とともにクライアント装置2へ通知してもよい。クライアント装置2は、この登録期限情報を表示し、ユーザに、登録期限内のSIPによるアクセス(REGISTER通知)を促す。
【0061】
そして、上記ステップS25においてクライアント装置2からREGISTER通知を受け取ったSIP認証部11eは、発信元IPアドレスを取得する。SIP認証部11eは、上記ステップS26において、取得した発信元IPアドレスが登録期限内であれば、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する。すなわち、SIP認証部11eは、この取得した発信元IPアドレスが前記登録したIPアドレスと一致し、且つ登録期限内である場合、この発信元IPアドレスを認証済とする。
【0062】
このように、発信元IPアドレスの認証に期限を設けることにより、DoS攻撃、総当り攻撃に対して、さらなる防御を図ることができる。
【0063】
(実施形態3)
本実施形態では、クライアント装置2として、専用のクライアントツールであるソフトフォンを用いており、図8は、ソフトフォンの認証画面G21を示す。この認証画面G21は、接続の状況などが表示される情報表示領域R21、ダイヤル先などを入力する番号ボタンB21、番号ボタンB21による相手先番号の入力後に発呼を実施するダイヤルボタンB22、通話を切断する切断ボタンB23を、一般的なソフトフォンと同様に備える。さらに、ワンタイムパスワードを表示するパスワード提示領域R22、番号ボタンB21を操作することによって、ワンタイムパスワードを入力する文字列入力領域R23を備える。また、文字列入力領域R23の入力データをSIPサーバ1へ送信する際に操作する送信ボタンB24も備える。
【0064】
このソフトフォンは、ワンタイムパスワードを表示するパスワード提示領域R22、ワンタイムパスワードを入力する文字列入力領域R23を設けた点が、一般的なソフトフォンとは異なる。しかしながら、このソフトフォンは、一般的に利用される形状を多く残し、認証処理のためにユーザが新たに操作する箇所を減らした構成にしている。
【0065】
また、一般的なソフトフォンでは、「設定画面」と呼ばれる別画面にて、REGISTERに使用されるVoIPユーザID、VoIPパスワードを予め入力している。そして、このソフトフォンでは、パーソナルコンピュータ上でソフトフォンのソフトウェアを起動させた時点(パソコン画面上に認証画面G21が表示された時点)で、バックグラウンドでそれらのデータをSIPサーバ1へ自動送信し、認証される手順になっている。この点が実施形態1,2のクライアント装置2とは異なる。
【0066】
しかしながら、実施形態1と同様の認証処理では、送信ボタンB24を押下(送信ボタンB1の押下に相当)することによって、VoIPユーザID、VoIPパスワードの各データがSIPサーバ1へ送信される構成になる。また、実施形態2と同様の認証処理では、ダイヤルボタンB22を押下して発呼する時点で(ステップS25に相当)、VoIPユーザID、VoIPパスワードの各データがSIPサーバ1へ送信される構成になる。このように、実施形態1,2の各認証処理において、互いに同一の認証画面G21を用いることができる。
【0067】
また、REGISTERを完了した後にソフトフォンを用いた通話が可能となるが、ユーザは、REGISTERを完了した後に即時に発呼を行わなくてもよい。一般的にVoIPの利用では、REGISTERされた後、パソコン上でソフトフォンを起動した状態にしておき、ユーザが必要に応じて発呼する場合もあるし、着信を受ける場合もある。本構成は、この通常のVoIPの利用方法については独自性を持たず、ユーザの慣れ親しんだ手順からの逸脱を行わないようにしている。
【0068】
また、一般にソフトフォンは、一度REGISTERした後、一定時間毎にREGISTERを自動で繰り返し、SIPサーバ1から切断されないように振舞っている。本構成においても、登録期限情報によって、REGISTERしていない状態からREGISTERするまでの許可時間(例えば30秒以内)を設定するが、一度REGISTERした後は、一般のVoIP同様、定期的にREGISTERが実施されれば、SIPサーバ1から切断されることはない。よって、一度REGISTERした後は、ユーザの任意のタイミングで発呼も着信受けも可能である。
【0069】
なお、上記各実施形態では、一般的な防御手法である「攻撃者のIPアドレスを特定する」という手法とは反対に、「正当なユーザのIPアドレスを特定し、それ以外のアクセスを全て禁止する」という手法を用いている。
【0070】
また、SIPサーバ1は、従来のSIPによる認証機能に加えて、HTTPによる認証機能を設けている。正当なユーザは、HTTPによるWeb画面でワンタイムパスワードによる認証を実施し、SIPサーバ1への一定期間のREGISTER(SIPサーバ1上での認証)権利を得る。続けて、クライアント装置2は、汎用のVoIPクライアントソフトウェアもしくは専用のソフトウェアを用いて、SIPサーバ1へSIPの手続きでアクセスし、発信を実施できる。
【0071】
攻撃者、または不正ユーザは、HTTPによる認証を経ない場合、SIPサーバ1にどんなVoIPユーザIDであっても、REGISTERできない。また、認証WEBサーバ11aにアクセスした場合でも、ワンタイムパスワードを用いた認証をアクセス毎に行うため、機械的な自動アクセスによるパスワード検索は防止される。
【符号の説明】
【0072】
1 SIPサーバ
11 認証部
11a 認証WEBサーバ
11b パスワード発行部
11c データベース
11d アドレスフィルタ
11e SIP認証部
2 クライアント装置
NT1 ネットワーク
【技術分野】
【0001】
本発明は、サーバ装置にネットワークを介してアクセスするクライアント装置の認証を行う認証装置に関するものである。
【背景技術】
【0002】
近年、VoIP(Voice Over IP)/SIP(Session Initiation Protocol)を利用したIP電話が普及している。図9では、IP電話サービスを提供するSIPサーバ101と、IP電話サービスを利用するクライアント装置102とがネットワークNT101を介して接続している。SIPサーバ101は、認証部101aを備えており、クライアント装置102によるIP電話サービスの利用開始時に認証処理を行う。
【0003】
しかしながら、このようなネットワークシステムは、攻撃者からの攻撃脅威にさらされており、例えば攻撃者103によるDoS(denial of service)攻撃、攻撃者104による総当り攻撃が挙げられる。
【0004】
DoS攻撃は、SIPサーバ101をダウンさせて、サービスを妨害することを目的とし、総当り攻撃は、IP電話サービスの利用開始時における認証処理に用いるパスワードを不正取得し、例えば海外向け通話などに不正利用することを目的としている。
【0005】
このような攻撃脅威に対する防御策は様々に検討されており、DoS攻撃に対する防御方法、総当り攻撃に対する防御方法(例えば、特許文献1乃至3参照)が提案されている。
【0006】
具体的な防御方法しては、SIPサーバ101が、DoS攻撃の検知時に攻撃者のIPアドレスを特定し、もしくは通信記録(ログ)から攻撃者のIPアドレスを特定し、以降、そのIPアドレスからのアクセスを禁止している。また、SIPサーバ101が、あるIPアドレスから短時間に多量のアクセスがあった場合に、DoS攻撃が発生したと推定し、以降、そのIPアドレスからのアクセスを禁止する。また、パスワードの入力値の過去データ差分に基づいて、総当り攻撃が発生しているか否かを推定する方法もある。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2003−333092号公報
【特許文献2】特開2006−25354号公報
【特許文献3】特開2007−200211号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、SIPは、パケットの中身にアクセス元のIPアドレスが記述される仕組みであり、アクセス元を偽装し易い。また、DoS攻撃には、アクセス元のIPアドレスをランダムに変更してくる攻撃もあり、IPアドレス毎の単位時間当たりのアクセス回数に基づいて、攻撃の発生の有無を判断し難くなっている。
【0009】
また、VoIPサービスを利用するユーザは、一般にDHCP(Dynamic Host Configuration Protocol)環境下からSIPサーバにアクセスしてくるものであり、この場合、アクセス毎にIPアドレスが異なる。よって、利用可能なIPアドレスを予め登録しておき、アクセス元のIPアドレスの認証処理を行う手法も、実現が難しい。
【0010】
さらに、近年はSIPサーバに対する上記攻撃数は増加しており、特にIP電話サービスの利用開始時の認証処理に用いるパスワードを不正取得され、海外通話など高額な費用の通信を不正利用されるケースが頻発している。
【0011】
そこで、VoIP/SIPを利用したIP電話サービスを用いる場合に、DoS攻撃、総当り攻撃を防御して、サービス妨害やサービスの不正利用を防ぎ、且つ正当なユーザによる利用は保障するという2点を両立させることが要望されていた。
【0012】
本発明は、上記事由に鑑みてなされたものであり、その目的は、正当なクライアント装置に対してはサーバ装置の利用を保障し、且つDoS攻撃、総当り攻撃に対して防御することができる認証装置を提供することにある。
【課題を解決するための手段】
【0013】
本発明の認証装置は、サーバ装置にネットワークを介してアクセスするクライアント装置に対して認証処理を行う認証部を備える認証装置であって、前記認証部は、前記クライアント装置が第1の通信プロトコルを用いて前記サーバ装置にアクセスした場合、ランダムな文字列を表示するパスワード提示領域、および前記クライアント装置の操作によって文字列を入力する文字列入力領域を設けた認証画面を作成して、この認証画面を前記クライアント装置に表示させ、前記クライアント装置が前記文字列入力領域に入力した文字列を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記クライアント装置のIPアドレスを登録し、以降、第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とすることを特徴とする。
【0014】
この発明において、前記認証部は、前記クライアント装置を用いるユーザの認証情報を予め保持し、前記認証情報を入力する認証情報入力領域を前記認証画面に設け、前記クライアント装置が前記文字列入力領域に入力した文字列および前記認証情報領域に入力した前記認証情報を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記クライアント装置のIPアドレスを登録するとともに、前記ユーザは認証済であることを登録し、以降、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とすることが好ましい。
【0015】
この発明において、前記認証部は、前記クライアント装置を用いるユーザの認証情報を予め保持し、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレス、およびこのクライアント装置が入力した前記認証情報を取得し、前記取得したIPアドレスが、前記クライアント装置が前記第1の通信プロトコルを用いて前記サーバ装置にアクセスしたときに登録した前記IPアドレスと一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記取得したIPアドレスおよび前記ユーザを認証済とすることが好ましい。
【0016】
この発明において、前記認証部は、前記クライアント装置のIPアドレスを登録した場合、このIPアドレスの登録期限を前記クライアント装置へ通知し、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得して、この取得したIPアドレスが前記登録したIPアドレスと一致し且つ前記登録期限内である場合、前記取得したIPアドレスを認証済とすることが好ましい。
【発明の効果】
【0017】
以上説明したように、本発明では、正当なクライアント装置に対してはサーバ装置の利用を保障し、且つDoS攻撃、総当り攻撃に対して防御することができるという効果がある。
【図面の簡単な説明】
【0018】
【図1】実施形態1のネットワークシステムの構成を示すブロック図である。
【図2】同上の認証部による認証処理を示すブロック図である。
【図3】同上の認証部による認証処理を示すブロック図である。
【図4】同上の認証画面の構成を示す平面図である。
【図5】同上の認証部による認証処理を示すブロック図である。
【図6】同上の認証部による認証処理を示すブロック図である。
【図7】(a)(b)同上の認証画面、アクセス画面の構成を示す平面図である。
【図8】ソフトフォンの認証画面を示す平面図である。
【図9】従来のネットワークシステムの構成を示すブロック図である。
【発明を実施するための形態】
【0019】
以下、本発明の実施の形態を図面に基づいて説明する。
【0020】
(実施形態1)
図1は、VoIP(Voice Over IP)/SIP(Session Initiation Protocol)を利用したIP電話サービスのネットワークシステムを示す。本システムは、IP電話サービスを提供するSIPサーバ1(サーバ装置)と、IP電話サービスを利用するクライアント装置2とがネットワークNT1を介して接続している。
【0021】
SIPサーバ1は、認証部11を備えており、認証部11は、クライアント装置2によるIP電話サービスの利用開始時に認証処理を行う。この認証部11は、認証WEBサーバ11a、パスワード発行部11b、データベース11c、アドレスフィルタ11d、SIP認証部11eを備える。すなわち、SIPサーバ1が本発明の認証装置の機能を有している。
【0022】
認証WEBサーバ11aは、Web画面を作成する機能を有し、クライアント装置2からHTTP(HyperText Transfer Protocol)によるアクセスがあった場合に、Web画面を用いたHTTPによる認証処理を行う。パスワード発行部11bは、乱数によるパスワード作成機能によって、ランダムな文字列で構成されるワンタイムパスワード(例えば、英数字7文字)を作成する。データベース11cは、ユーザ認証に用いるVoIPユーザID、VoIPパスワードの各データが予め格納されている。このVoIPユーザID、VoIPパスワードは、ユーザ毎に予め割り付けられており、クライアント装置2を用いるユーザの認証情報に相当する。アドレスフィルタ11dは、HTTPによってSIPサーバ1にアクセスしたクライアント装置2のIPアドレスが登録される。SIP認証部11eは、SIPによる認証処理を行う。
【0023】
以下、認証部11による認証処理について、図2,図3を用いて説明する。
【0024】
まず、正当なユーザのクライアント装置2からSIPサーバ1に対して、第1のプロトコルであるHTTPによるアクセスが発生する(S1)。クライアント装置2は、パーソナルコンピュータのブラウザ機能を利用してSIPサーバ1にアクセスする方法、または専用のクライアントツールを利用してSIPサーバ1にアクセスする方法のいずれを用いてもよい。
【0025】
SIPサーバ1では、認証WEBサーバ11aが、クライアント装置2からのアクセスに対して、認証画面G1をWeb画面で作成し、この認証画面G1をクライアント装置2に表示させる。図4は、認証画面G1の構成を示し、認証画面G1は、パスワード提示領域R1、文字列入力領域R2、ユーザID入力領域R3、VoIPパスワード入力領域R4、送信ボタンB1を有する。なお、ユーザID入力領域R3、VoIPパスワード入力領域R4は、本発明の認証情報入力領域に相当する。
【0026】
認証WEBサーバ11aは、パスワード発行部11bが作成したワンタイムパスワードを取得し、パスワード提示領域R1にワンタイムパスワードを表示する(S2)。ユーザは、認証画面G1に表示されたワンタイムパスワードを見て、クライアント装置2を操作することによって、文字列入力領域R2にワンタイムパスワードを入力する。このワンタイムパスワードの入力は、ユーザが認証画面G1を見てワンタイムパスワードに設定された文字列を認識する必要があるため、機械的な自動アクセスでは対応できない。さらに、ユーザは、クライアント装置2を操作することによって、ユーザID入力領域R3、VoIPパスワード入力領域R4に、VoIPユーザID、VoIPパスワードを入力する。ユーザは、文字列入力領域R2、ユーザID入力領域R3、VoIPパスワード入力領域R4への入力操作の後、送信ボタンB1を押下することによって、各入力データをSIPサーバ1へ送信する。
【0027】
SIPサーバ1の認証WEBサーバ11aは、文字列入力領域R2に入力されたワンタイムパスワードと、パスワード発行部11bが作成したワンタイムパスワードとを比較する。そして、双方のワンタイムパスワードが互いに一致すれば、次に、VoIPユーザID、VoIPパスワードを用いたユーザ認証を行う。
【0028】
認証WEBサーバ11aは、ユーザ認証処理において、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードを取得する(S3)。そして、ユーザID入力領域R3およびVoIPパスワード入力領域R4に入力されたVoIPユーザIDおよびVoIPパスワードと、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードとを比較する。そして、認証WEBサーバ11aは、双方のVoIPユーザIDおよびVoIPパスワードが互いに一致すれば、ユーザ認証が肯定されたユーザ認証済であることをデータベース11cに登録する(S4)。さらに、認証WEBサーバ11aは、ユーザ認証が肯定された場合、クライアント装置2がHTTPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この発信元IPアドレスをアドレスフィルタ11dに登録する(S5)。
【0029】
そして、認証WEBサーバ11aは、認証画面G1に対するユーザの各入力作業に対するレスポンスとして、発信元IPアドレスは登録完了である旨をHTTPによってクライアント装置2へ通知する(S6)。クライアント装置2は、発信元IPアドレスの登録完了を画面上(Web画面上)に表示する。
【0030】
次に、SIP認証部11eのSIP手続きによる通話過程に進む。
【0031】
発信元IPアドレスの登録完了を通知されたクライアント装置2は、SIPサーバ1に対して、第2のプロトコルであるSIPによるアクセス(REGISTER通知)を行う(S7)。SIPサーバ1では、ユーザ認証を既に行っているので、IPアドレスの認証処理のみを行う。具体的に、SIP認証部11eは、クライアント装置2がSIPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する(S8)。すなわち、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致しているか否かを判定する。そして、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致している場合、SIPによるアクセス時の発信元IPアドレスを認証済とし、クライアント装置2からのREGISTER通知を受け取る。
【0032】
REGISTER通知を受け取ったSIP認証部11eは、データベース11cを参照して、ユーザ認証済であることを認識すると(S9)、REGISTER(認証登録)を行う。
【0033】
REGISTERを完了したSIP認証部11eは、SIP手続きの「200OK」をクライアント装置2へ送信する(S10)。以降、クライアント装置2は、SIPサーバ1が提供するIP電話サービスを利用して、SIPによる通話(INVITE)等を行う(S11)。
【0034】
このような構成では、ワンタイムパスワードの入力は、ユーザが認証画面G1を見て、ワンタイムパスワードに設定された文字列を認識する必要がある。したがって、総当り攻撃者が、機械的な自動アクセスによって、SIPサーバ1にアクセスしてきた場合、ワンタイムパスワードを読み取ることができない。したがって、機械的な自動アクセスによる総当り攻撃から防御できる。
【0035】
また、人的なアクセスによる総当り攻撃に対しては、HTTPによるSIPサーバ1へのアクセス毎に、ワンタイムパスワードを入力する必要があり、短時間に多くの攻撃を行うことは不可能である。したがって、人的なアクセスによる総当り攻撃からも防御できる。
【0036】
また、機械的な自動アクセスによるDoS攻撃、人的なアクセスによるDoS攻撃の両方に対しても、上記総当り攻撃と同様に防御できる。
【0037】
また、DoS攻撃者は、ユーザ認証が行われなければ、攻撃に用いるIPアドレスがアドレスフィルタ11dに登録されていないので、このIPアドレスからSIPサーバ1へのアクセスは禁止され、DoS攻撃からの防御が可能になる。SIPサーバ1のSIP認証部11eは、アドレスフィルタ11dに登録されていないIPアドレスを用いたSIPによるアクセスにあった場合、SIP手続きの「エラー通知」をクライアント装置2へ送信してもよく、または無応答であってもよい。
【0038】
したがって、正当なクライアント装置2に対してはSIPサーバ1の利用を保障し、且つDoS攻撃、総当り攻撃に対しては防御することができる。
【0039】
なお、本実施形態では、認証部11を備えたSIPサーバ1が、本発明の認証装置を構成している。しかし、SIPサーバ1、およびSIPサーバ1に接続した図示しないルータ、ファイヤーウォール機器等が互いに連携することによって、認証装置を構成してもよい。また、認証部11を備えた認証装置を、SIPサーバ1とは別体に構成してもよい。
【0040】
また、上記ステップS6において、SIPサーバ1の認証WEBサーバ11aは、クライアント装置2の発信元IPアドレスをアドレスフィルタ11dに登録した場合、発信元IPアドレスは登録完了である旨をクライアント装置2へ通知する。このとき、認証WEBサーバ11aは、アドレスフィルタ11dに登録した発信元IPアドレスの登録期限情報(例えば、30秒以内)を設定し、発信元IPアドレスの登録状態(認証完了)とともにクライアント装置2へ通知してもよい。クライアント装置2は、この登録期限情報を表示し、ユーザに、登録期限内のSIPによるアクセス(REGISTER通知)を促す。
【0041】
そして、上記ステップS7においてクライアント装置2からREGISTER通知を受け取ったSIP認証部11eは、発信元IPアドレスを取得する。SIP認証部11eは、上記ステップS8において、取得した発信元IPアドレスが登録期限内であれば、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する。すなわち、SIP認証部11eは、この取得した発信元IPアドレスが前記登録したIPアドレスと一致し、且つ登録期限内である場合、この発信元IPアドレスを認証済とする。
【0042】
このように、発信元IPアドレスの認証に期限を設けることにより、DoS攻撃、総当り攻撃に対して、さらなる防御を図ることができる。
【0043】
(実施形態2)
本実施形態は、図1のシステム構成を備えており、実施形態1と同様の構成には同一の符号を付し、説明は省略する。
【0044】
以下、認証部11による認証処理について、図5,図6を用いて説明する。
【0045】
まず、正当なユーザのクライアント装置2からSIPサーバ1に対して、第1のプロトコルであるHTTPによるアクセスが発生する(S21)。クライアント装置2は、パーソナルコンピュータのブラウザ機能を利用してSIPサーバ1にアクセスする方法、または専用のクライアントツールを利用してSIPサーバ1にアクセスする方法のいずれを用いてもよい。
【0046】
SIPサーバ1では、認証WEBサーバ11aが、クライアント装置2からのアクセスに対して、認証画面G11をWeb画面で作成し、この認証画面G11をクライアント装置2に表示させる。図7(a)は、認証画面G11の構成を示し、認証画面G11は、パスワード提示領域R11、文字列入力領域R12、送信ボタンB11を有する。
【0047】
認証WEBサーバ11aは、パスワード発行部11bが作成したワンタイムパスワードを取得し、パスワード提示領域R1にワンタイムパスワードを表示する(S22)。ユーザは、認証画面G11に表示されたワンタイムパスワードを見て、クライアント装置2を操作することによって、文字列入力領域R12にワンタイムパスワードを入力する。このワンタイムパスワードの入力は、ユーザが認証画面G11を見てワンタイムパスワードに設定された文字列を認識する必要があるため、機械的な自動アクセスでは対応できない。ユーザは、文字列入力領域R2への入力操作の後、送信ボタンB11を押下することによって、入力データをSIPサーバ1へ送信する。
【0048】
SIPサーバ1の認証WEBサーバ11aは、文字列入力領域R12に入力されたワンタイムパスワードと、パスワード発行部11bが作成したワンタイムパスワードとを比較する。そして、双方のワンタイムパスワードが互いに一致すれば、認証WEBサーバ11aは、クライアント装置2がHTTPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この発信元IPアドレスをアドレスフィルタ11dに登録する(S23)。
【0049】
そして、認証WEBサーバ11aは、認証画面G11に対するユーザの各入力作業に対するレスポンスとして、発信元IPアドレスは登録完了である旨をHTTPによってクライアント装置2へ通知する(S24)。クライアント装置2は、発信元IPアドレスの登録完了を画面上(Web画面上)に表示する。
【0050】
次に、SIP認証部11eのSIP手続きによる通話過程に進む。
【0051】
発信元IPアドレスの登録完了を通知されたクライアント装置2は、SIPサーバ1に対して、第2のプロトコルであるSIPによるアクセス(REGISTER通知)を行う(S25)。このとき、クライアント装置2は、アクセス操作時に表示しているアクセス画面G12中に、図7(b)に示すユーザID入力領域R13、VoIPパスワード入力領域R14を設ける。そして、ユーザは、クライアント装置2を操作することによって、ユーザID入力領域R13、VoIPパスワード入力領域R14に、VoIPユーザID、VoIPパスワードを入力する。なお、ユーザID入力領域R13、VoIPパスワード入力領域R14は、本発明の認証情報入力領域に相当する。
【0052】
次に、SIP認証部11eは、IPアドレスの認証処理、およびVoIPユーザID、VoIPパスワードを用いたユーザ認証を行う。具体的に、SIP認証部11eは、クライアント装置2がSIPによるアクセス時に用いたIPアドレス(発信元IPアドレス)を取得し、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する(S26)。すなわち、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致しているか否かを判定する。そして、SIP認証部11eは、HTTPによるアクセス時の発信元IPアドレスと、SIPによるアクセス時の発信元IPアドレスとが一致している場合、SIPによるアクセス時の発信元IPアドレスを認証済とする。そして、SIP認証部11eは、クライアント装置2からのREGISTER通知、およびVoIPユーザID、VoIPパスワードを受け取る。
【0053】
そして、SIP認証部11eは、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードを取得する(S27)。そして、ユーザID入力領域R13およびVoIPパスワード入力領域R14に入力されたVoIPユーザIDおよびVoIPパスワードと、データベース11cに予め格納されているVoIPユーザIDおよびVoIPパスワードとを比較する。そして、SIP認証部11eは、双方のVoIPユーザIDおよびVoIPパスワードが互いに一致すれば、ユーザ認証が肯定されたユーザ認証済であると認識し、REGISTER(認証登録)を行う。REGISTERを完了したSIP認証部11eは、SIP手続きの「200OK」をクライアント装置2へ送信する(S28)。以降、クライアント装置2は、SIPサーバ1が提供するIP電話サービスを利用して、SIPによる通話(INVITE)等を行う(S29)。
【0054】
このような構成では、ワンタイムパスワードの入力は、ユーザが認証画面G11を見て、ワンタイムパスワードに設定された文字列を認識する必要がある。したがって、総当り攻撃者が、機械的な自動アクセスによって、SIPサーバ1にアクセスしてきた場合、ワンタイムパスワードを読み取ることができない。したがって、機械的な自動アクセスによる総当り攻撃から防御できる。
【0055】
また、人的なアクセスによる総当り攻撃に対しては、HTTPによるSIPサーバ1へのアクセス毎に、ワンタイムパスワードを入力する必要があり、短時間に多くの攻撃を行うことは不可能である。したがって、人的なアクセスによる総当り攻撃からも防御できる。
【0056】
また、機械的な自動アクセスによるDoS攻撃、人的なアクセスによるDoS攻撃の両方に対しても、上記総当り攻撃と同様に防御できる。
【0057】
また、DoS攻撃者は、ユーザ認証が行われなければ、攻撃に用いるIPアドレスがアドレスフィルタ11dに登録されていないので、このIPアドレスからSIPサーバ1へのアクセスは禁止され、DoS攻撃からの防御が可能になる。SIPサーバ1のSIP認証部11eは、アドレスフィルタ11dに登録されていないIPアドレスを用いたSIPによるアクセスにあった場合、SIP手続きの「エラー通知」をクライアント装置2へ送信してもよく、または無応答であってもよい。
【0058】
したがって、正当なクライアント装置2に対してはSIPサーバ1の利用を保障し、且つDoS攻撃、総当り攻撃に対しては防御することができる。
【0059】
なお、本実施形態では、認証部11を備えたSIPサーバ1が、本発明の認証装置を構成している。しかし、SIPサーバ1、およびSIPサーバ1に接続した図示しないルータ、ファイヤーウォール機器等が互いに連携することによって、認証装置を構成してもよい。また、認証部11を備えた認証装置を、SIPサーバ1とは別体に構成してもよい。
【0060】
また、上記ステップS24において、SIPサーバ1の認証WEBサーバ11aは、クライアント装置2の発信元IPアドレスをアドレスフィルタ11dに登録した場合、発信元IPアドレスは登録完了である旨をクライアント装置2へ通知する。このとき、認証WEBサーバ11aは、アドレスフィルタ11dに登録した発信元IPアドレスの登録期限情報(例えば、30秒以内)を設定し、発信元IPアドレスの登録状態(認証完了)とともにクライアント装置2へ通知してもよい。クライアント装置2は、この登録期限情報を表示し、ユーザに、登録期限内のSIPによるアクセス(REGISTER通知)を促す。
【0061】
そして、上記ステップS25においてクライアント装置2からREGISTER通知を受け取ったSIP認証部11eは、発信元IPアドレスを取得する。SIP認証部11eは、上記ステップS26において、取得した発信元IPアドレスが登録期限内であれば、この取得した発信元IPアドレスを、アドレスフィルタ11dに登録している発信元アドレスと比較する。すなわち、SIP認証部11eは、この取得した発信元IPアドレスが前記登録したIPアドレスと一致し、且つ登録期限内である場合、この発信元IPアドレスを認証済とする。
【0062】
このように、発信元IPアドレスの認証に期限を設けることにより、DoS攻撃、総当り攻撃に対して、さらなる防御を図ることができる。
【0063】
(実施形態3)
本実施形態では、クライアント装置2として、専用のクライアントツールであるソフトフォンを用いており、図8は、ソフトフォンの認証画面G21を示す。この認証画面G21は、接続の状況などが表示される情報表示領域R21、ダイヤル先などを入力する番号ボタンB21、番号ボタンB21による相手先番号の入力後に発呼を実施するダイヤルボタンB22、通話を切断する切断ボタンB23を、一般的なソフトフォンと同様に備える。さらに、ワンタイムパスワードを表示するパスワード提示領域R22、番号ボタンB21を操作することによって、ワンタイムパスワードを入力する文字列入力領域R23を備える。また、文字列入力領域R23の入力データをSIPサーバ1へ送信する際に操作する送信ボタンB24も備える。
【0064】
このソフトフォンは、ワンタイムパスワードを表示するパスワード提示領域R22、ワンタイムパスワードを入力する文字列入力領域R23を設けた点が、一般的なソフトフォンとは異なる。しかしながら、このソフトフォンは、一般的に利用される形状を多く残し、認証処理のためにユーザが新たに操作する箇所を減らした構成にしている。
【0065】
また、一般的なソフトフォンでは、「設定画面」と呼ばれる別画面にて、REGISTERに使用されるVoIPユーザID、VoIPパスワードを予め入力している。そして、このソフトフォンでは、パーソナルコンピュータ上でソフトフォンのソフトウェアを起動させた時点(パソコン画面上に認証画面G21が表示された時点)で、バックグラウンドでそれらのデータをSIPサーバ1へ自動送信し、認証される手順になっている。この点が実施形態1,2のクライアント装置2とは異なる。
【0066】
しかしながら、実施形態1と同様の認証処理では、送信ボタンB24を押下(送信ボタンB1の押下に相当)することによって、VoIPユーザID、VoIPパスワードの各データがSIPサーバ1へ送信される構成になる。また、実施形態2と同様の認証処理では、ダイヤルボタンB22を押下して発呼する時点で(ステップS25に相当)、VoIPユーザID、VoIPパスワードの各データがSIPサーバ1へ送信される構成になる。このように、実施形態1,2の各認証処理において、互いに同一の認証画面G21を用いることができる。
【0067】
また、REGISTERを完了した後にソフトフォンを用いた通話が可能となるが、ユーザは、REGISTERを完了した後に即時に発呼を行わなくてもよい。一般的にVoIPの利用では、REGISTERされた後、パソコン上でソフトフォンを起動した状態にしておき、ユーザが必要に応じて発呼する場合もあるし、着信を受ける場合もある。本構成は、この通常のVoIPの利用方法については独自性を持たず、ユーザの慣れ親しんだ手順からの逸脱を行わないようにしている。
【0068】
また、一般にソフトフォンは、一度REGISTERした後、一定時間毎にREGISTERを自動で繰り返し、SIPサーバ1から切断されないように振舞っている。本構成においても、登録期限情報によって、REGISTERしていない状態からREGISTERするまでの許可時間(例えば30秒以内)を設定するが、一度REGISTERした後は、一般のVoIP同様、定期的にREGISTERが実施されれば、SIPサーバ1から切断されることはない。よって、一度REGISTERした後は、ユーザの任意のタイミングで発呼も着信受けも可能である。
【0069】
なお、上記各実施形態では、一般的な防御手法である「攻撃者のIPアドレスを特定する」という手法とは反対に、「正当なユーザのIPアドレスを特定し、それ以外のアクセスを全て禁止する」という手法を用いている。
【0070】
また、SIPサーバ1は、従来のSIPによる認証機能に加えて、HTTPによる認証機能を設けている。正当なユーザは、HTTPによるWeb画面でワンタイムパスワードによる認証を実施し、SIPサーバ1への一定期間のREGISTER(SIPサーバ1上での認証)権利を得る。続けて、クライアント装置2は、汎用のVoIPクライアントソフトウェアもしくは専用のソフトウェアを用いて、SIPサーバ1へSIPの手続きでアクセスし、発信を実施できる。
【0071】
攻撃者、または不正ユーザは、HTTPによる認証を経ない場合、SIPサーバ1にどんなVoIPユーザIDであっても、REGISTERできない。また、認証WEBサーバ11aにアクセスした場合でも、ワンタイムパスワードを用いた認証をアクセス毎に行うため、機械的な自動アクセスによるパスワード検索は防止される。
【符号の説明】
【0072】
1 SIPサーバ
11 認証部
11a 認証WEBサーバ
11b パスワード発行部
11c データベース
11d アドレスフィルタ
11e SIP認証部
2 クライアント装置
NT1 ネットワーク
【特許請求の範囲】
【請求項1】
サーバ装置にネットワークを介してアクセスするクライアント装置に対して認証処理を行う認証部を備える認証装置であって、
前記認証部は、
前記クライアント装置が第1の通信プロトコルを用いて前記サーバ装置にアクセスした場合、ランダムな文字列を表示するパスワード提示領域、および前記クライアント装置の操作によって文字列を入力する文字列入力領域を設けた認証画面を作成して、この認証画面を前記クライアント装置に表示させ、
前記クライアント装置が前記文字列入力領域に入力した文字列を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記クライアント装置のIPアドレスを登録し、
以降、第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とする
ことを特徴とする認証装置。
【請求項2】
前記認証部は、
前記クライアント装置を用いるユーザの認証情報を予め保持し、
前記認証情報を入力する認証情報入力領域を前記認証画面に設け、
前記クライアント装置が前記文字列入力領域に入力した文字列および前記認証情報領域に入力した前記認証情報を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記クライアント装置のIPアドレスを登録するとともに、前記ユーザは認証済であることを登録し、
以降、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とする
ことを特徴とする請求項1記載の認証装置。
【請求項3】
前記認証部は、
前記クライアント装置を用いるユーザの認証情報を予め保持し、
前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレス、およびこのクライアント装置が入力した前記認証情報を取得し、前記取得したIPアドレスが、前記クライアント装置が前記第1の通信プロトコルを用いて前記サーバ装置にアクセスしたときに登録した前記IPアドレスと一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記取得したIPアドレスおよび前記ユーザを認証済とする
ことを特徴とする請求項1記載の認証装置。
【請求項4】
前記認証部は、
前記クライアント装置のIPアドレスを登録した場合、このIPアドレスの登録期限を前記クライアント装置へ通知し、
前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得して、この取得したIPアドレスが前記登録したIPアドレスと一致し且つ前記登録期限内である場合、前記取得したIPアドレスを認証済とする
ことを特徴とする請求項1乃至3いずれか記載の認証装置。
【請求項1】
サーバ装置にネットワークを介してアクセスするクライアント装置に対して認証処理を行う認証部を備える認証装置であって、
前記認証部は、
前記クライアント装置が第1の通信プロトコルを用いて前記サーバ装置にアクセスした場合、ランダムな文字列を表示するパスワード提示領域、および前記クライアント装置の操作によって文字列を入力する文字列入力領域を設けた認証画面を作成して、この認証画面を前記クライアント装置に表示させ、
前記クライアント装置が前記文字列入力領域に入力した文字列を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記クライアント装置のIPアドレスを登録し、
以降、第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とする
ことを特徴とする認証装置。
【請求項2】
前記認証部は、
前記クライアント装置を用いるユーザの認証情報を予め保持し、
前記認証情報を入力する認証情報入力領域を前記認証画面に設け、
前記クライアント装置が前記文字列入力領域に入力した文字列および前記認証情報領域に入力した前記認証情報を取得して、この取得した文字列と前記ランダムな文字列とが一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記クライアント装置のIPアドレスを登録するとともに、前記ユーザは認証済であることを登録し、
以降、前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得し、この取得したIPアドレスが前記登録したIPアドレスと一致した場合、前記取得したIPアドレスを認証済とする
ことを特徴とする請求項1記載の認証装置。
【請求項3】
前記認証部は、
前記クライアント装置を用いるユーザの認証情報を予め保持し、
前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレス、およびこのクライアント装置が入力した前記認証情報を取得し、前記取得したIPアドレスが、前記クライアント装置が前記第1の通信プロトコルを用いて前記サーバ装置にアクセスしたときに登録した前記IPアドレスと一致した場合、前記取得した認証情報と前記保持する認証情報とを比較し、前記取得した認証情報と前記保持する認証情報とが一致すれば、前記取得したIPアドレスおよび前記ユーザを認証済とする
ことを特徴とする請求項1記載の認証装置。
【請求項4】
前記認証部は、
前記クライアント装置のIPアドレスを登録した場合、このIPアドレスの登録期限を前記クライアント装置へ通知し、
前記第2の通信プロトコルを用いて前記サーバ装置にアクセスした前記クライアント装置のIPアドレスを取得して、この取得したIPアドレスが前記登録したIPアドレスと一致し且つ前記登録期限内である場合、前記取得したIPアドレスを認証済とする
ことを特徴とする請求項1乃至3いずれか記載の認証装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2013−25623(P2013−25623A)
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願番号】特願2011−160962(P2011−160962)
【出願日】平成23年7月22日(2011.7.22)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願日】平成23年7月22日(2011.7.22)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]