通信制御装置及びプログラム、並びに、通信システム
【課題】 セキュリティを確保しつつ、利便性を向上させることができる通信制御装置を提供する。
【解決手段】 本発明は、IP通信を行う通信装置間の通信制御をする通信制御装置を1又は複数備える通信システムに関する。そして、本発明の通信制御装置は、通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、少なくとも、通信装置情報記憶手段に記憶されている情報と、疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段とを有することを特徴とする。
【解決手段】 本発明は、IP通信を行う通信装置間の通信制御をする通信制御装置を1又は複数備える通信システムに関する。そして、本発明の通信制御装置は、通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、少なくとも、通信装置情報記憶手段に記憶されている情報と、疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段とを有することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信制御装置及びプログラム、並びに、通信システムに関し、例えば、VoIP(Voice over IP)通信を行うVoIP電話通信システムに適用し得る。
【背景技術】
【0002】
IP電話通信システムでは、IPネットワーク上に配置された複数の電話端末と、電話端末あいだの接続処理をする交換装置等の通信制御装置を備えて、それぞれの電話端末の間および電話端末と交換装置とのあいだをTCP/IP(Transmission Control Protocol/IP)、UDP/IP(User Datagram Protocol/IP)等で接続し通信できるようにしている。例えば、第1の電話端末が、第2の電話端末に接続するための接続要求を交換装置に送信すると、交換装置は第1の電話端末と第2の電話端末との間の接続処理をし、電話端末の間で通話が確立すると音声情報の送受をして通話状態にさせるものである。
【0003】
IP電話通信システムでは、IETF(Interne Engineering Task Force)で策定されたSIP(Session Initiation Protocol)およびITU−T(International Telecommunication Union−Telecommunication sector)で策定されたH.323などのVoIP技術を利用して電話のサービスを形成されることが多い。
【0004】
例えば、SIPを利用する場合、交換装置にSIPに基づく接続要求で呼処理をする呼処理部を含ませ、電話端末と交換装置の通信プロトコルスタックにSIPの通信プロトコルを含ませる。こうすることで電話端末と交換装置とはSIPに基づく接続要求により通信が可能となる。
【0005】
また、交換装置にSIPおよびH.323に基づく接続要求で呼処理をする呼処理部を含ませ、さらに交換装置の通信プロトコルスタックにSIPおよびH.323の複数の通信プロトコルを含ませることで、複数のVoIPの通信プロトコルに対応する交換装置とすることができる。
【0006】
SIPの詳細はRFC3261などで規定されており、クライアント(電話端末)は接続したい相手の識別子(電話番号)を含むSIPリクエスト(SIPに基づく接続要求の呼制御情報)を、サーバー(交換装置)のネットワークレイヤ(Network layer)のIPアドレスおよびトランスポートレイヤ(Transport layer)のSIPのための通信ポートの番号を含めて送信するとしている。
【0007】
したがって、第1の電話端末が、第2の電話端末に接続するためのSIPに基づく接続要求を、交換装置のIPアドレスおよびSIPのための通信ポートの番号を含めて送信すると、交換装置はSIPのための通信ポートで受信した接続要求に基づいて電話端末のあいだの接続処理をし、電話端末のあいだで通話が確立して音声情報の送受をして通話する。
【0008】
ところで、IPに基づく接続において、DoS(Denial of Service)攻撃やセキュリティーホールに対する攻撃等の不正アクセスに関するセキュリティ問題が存在する。
【0009】
このセキュリティ問題を解決する一つの手段として、パケットフィルタリングの技術がある。
【0010】
特許文献1にはプロトコル、ソースアドレス(送信元アドレス)、デスティネーッションアドレス(送信元アドレス)、ソースポート(送信元ポート)、デスティネーッションポート(送信先ポート)およびアクションを含めた複数のルールセットを予め記憶しておき、このルールセットに基づいてパケットの流入出の許可もしくは拒否の処理をし、パケットフィルタのパフォーマンスを改善するようにルールセットを自動的に再配列する方法が提案されている。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2000−174808号公報
【発明の概要】
【発明が解決しようとする課題】
【0012】
しかしながら、SIPやH.323等の複数のVoIPの通信プロトコルに対応する交換装置等に、特許文献1の方法を適用した場合には、その交換装置が収容する電話端末では用いられないVoIPの通信プロトコルについても、パケットフィルタリングで通信を許可することになってしまう。
【0013】
具体的には、複数のVoIPの通信プロトコルに対応する交換装置に、SIPおよびH.323に関わる通信ポートはパケットの流入出を許可するルールセットのパケットフィルタリングを設けた場合、この交換装置の配下にSIPに対応する電話端末のみ存在するときH.323の通信ポートは不必要な通信ポートであるのにパケットフィルタリングで拒否されず、適切にパケットフィルタリングが行われない。したがって、この場合、特許文献1の記載技術を適用した交換装置では、H.323の通信プロトコルを悪用した不正アクセスの脅威にさらされることになる。
【0014】
一方、複数のVoIPの通信プロトコルに対応する交換装置に、SIPに関わる通信ポートはパケットの流入出を許可しH.323に関わる通信ポートはパケットの流入出を拒否するルールセットのパケットフィルタリングを設けた場合、この交換装置の配下にSIPに対応する電話端末のみ存在するとき不要なH.323の通信ポートがパケットフィルタリングで拒否されるが、電話端末追加や電話端末機種変更などが生じてH.323に対応する電話端末がこのIP−PBXの配下に存在するようになるとき、H.323の通信ポートは必要な通信ポートであるのにパケットフィルタリングで拒否され、適切にパケットフィルタリングが行われない。
【0015】
したがって、このIP−PBXがH.323のプロトコルの接続に関する処理が行えずIP電話システムの利便性が低下することになる。
【0016】
つまり、特許文献1の方法は、複数のルールセットを予め記憶しておき、このルールセットに基づいてパケットの流入出の許可もしくは拒否の処理をし、パケットフィルタのパフォーマンスを改善するようにルールセットを自動的に再配列しているに過ぎず、特許文献1の方法を適用した通信装置等では、接するネットワーク環境に応じて適切なパケットフィルタリングのルールセットを生成しフィルタ処理を実施できない。
【0017】
そのため、セキュリティを確保しつつ、利便性を向上させることができる通信制御装置及びプログラム、並びに、通信システムが望まれている。
【課題を解決するための手段】
【0018】
第1の本発明は、IP通信を行う通信装置間の通信制御をする通信制御装置において、(1)通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、(2)通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、(3)少なくとも、上記通信装置情報記憶手段に記憶されている情報と、上記疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、(4)上記ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と備えることを特徴とする。
【0019】
第2の本発明の通信制御プログラムは、(1)IP通信を行う通信装置間の通信制御をする通信制御装置に搭載されたコンピュータを、(2)通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、(3)通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、(4)少なくとも、上記通信装置情報記憶手段に記憶されている情報と、上記疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、(5)上記ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段として機能させることを特徴とする。
【0020】
第3の本発明は、IP通信を行う通信装置間の通信制御をする通信制御装置を1又は複数備える通信システムにおいて、上記通信制御装置として、第1の本発明の通信制御装置を適用したことを特徴とする通信システム。
【発明の効果】
【0021】
本発明によれば、セキュリティを確保しつつ、利便性を向上させることができる通信制御装置、並びに、通信システムを提供することができる。
【図面の簡単な説明】
【0022】
【図1】第1の実施形態に関係する各種装置の接続関係など(第1の実施形態の通信システム)について示したブロック図である。
【図2】第1の実施形態に係る局データ記憶部が記憶するデータの内容について示した説明図である。
【図3】第1の実施形態に係る通信ポートデータ記憶部に記憶するデータの内容について示した説明図である。
【図4】第1の実施形態に係る制御部の機能的構成を示したブロック図である。
【図5】第1の実施形態に係る交換装置の動作を示したフローチャートである。
【図6】第2の実施形態に関係する各種装置の接続関係など(第2の実施形態の通信システム)について示したブロック図である。
【図7】第2の実施形態に係るテンプレートファイル記憶部の内容例について示したブロック図である。
【図8】第3の実施形態に関係する各種装置の接続関係など(第3の実施形態の通信システム)について示したブロック図である。
【図9】第3の実施形態に係るテンプレートファイル記憶部で記憶されている内容の例について示したブロック図である。
【図10】第3の実施形態に係る命令記憶部で記憶する内容の例について示した説明図である。
【図11】第4の実施形態に係る通信ポートデータ記憶部の内容例について示した説明図である。
【図12】第6の実施形態に係るポートデータ記憶部に記憶する内容の例について示した説明図である。
【図13】第7の実施形態に関係する各種装置の接続関係など(第7の実施形態の通信システム)について示したブロック図である。
【図14】第7の実施形態に係るCCB記憶部に記憶されるCCBの内容例(1)について示した説明図である。
【図15】第7の実施形態に係る制御部の機能的構成を示したブロック図である。
【図16】第7の実施形態に係る交換装置のパケットフィルタ処理の動作を示したフローチャートである。
【図17】第7の実施形態に係る交換装置のCCB開放の動作の詳細について示したシーケンス図である。
【図18】第7の実施形態に係るCCB記憶部に記憶されるCCBの内容例(2)について示した説明図である。
【図19】第8の実施形態に関係する各種装置の接続関係など(第8の実施形態の通信システム)について示したブロック図である。
【図20】第8の実施形態に係る交換装置の機能的構成について示したブロック図である。
【図21】第8の実施形態に係る制御部の機能的構成について示したブロック図である。
【図22】第8の実施形態に係る交換装置の状態ごとの制御内容について示した説明図である。
【図23】第8の実施形態に係る交換装置が起動して冗長構成が組まれるまでの動作について示したシーケンス図である。
【図24】第8の実施形態に係る交換装置の動作について示したシーケンス図である。
【発明を実施するための形態】
【0023】
(A)第1の実施形態
以下、本発明による通信制御装置及びプログラム、並びに、通信システムの第1の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。
【0024】
(A−1)第1の実施形態の構成
(A−1−1)全体構成について
図1は、第1の実施形態に関係する各種装置の接続関係など(第1の実施形態の通信システム)について示したブロック図である。
【0025】
交換装置10は、VoIPに対応した電話端末へ電話交換のサービスを提供する交換装置であり、例えば、IP−PBXやソフトスイッチ等が該当する。また、交換装置10は、電話の接続に係わる処理部を有していれば、スイッチやルータ等の中継装置であってもよいし、パソコン等の通信装置であってもよい。
【0026】
そして、交換装置10は、ネットワークNに接続しており、ネットワークNを介して、電話端末20(20−1、20−2)と通信し、電話端末20に対してサービスを提供する。
【0027】
ネットワークNは通信を行うノードのあいだを接続する網であり、PSTN(各ノードがPSTNを介してIP通信可能なモデム等を備えている必要がある)や広域イーサーネット網や専用線網やIP網(例えば、インターネット等)等が適用できる。ここでは、ネットワークNはIP網として説明する。
【0028】
第1の実施形態においては、例として、交換装置10は通信プロトコルスタックにSIP、H.323および独自の通信プロトコル(以下、「独自プロトコル」という)を含み、SIP、H.323および独自の複数のVoIPの通信プロトコルに対応するIP−PBXとして説明する。ここで、独自の通信プロトコルとは、例えば、個人や開発会社などが独自に制定した標準的ではないVoIPの通信プロトコルを指すものとする。なお、以下において、交換装置10が対応する独自プロトコルの一つを「独自プロトコルP1」と呼ぶものとする。独自プロトコルP1は、SIP、H.323のようなシグナリングプロトコル(Signaling Protocol)とは異なり、メディアデータ(音声データ)の中継も行うプロトコルである。
【0029】
なお、交換装置10は、SIPに対応した電話端末20間の呼制御をする場合には、SIP信号により電話端末20間の呼制御だけを行うものとする。そして、SIPに対応した電話端末20間では、メディアデータのパケットについては、電話端末20同士で直接送受信するものとする。なお、SIPに対応した電話端末20間では、メディアデータについて図示しないメディアゲートウェイを中継して通信するようにしても良い。また、交換装置10は、H.323に対応した電話端末20間の呼制御をする場合には、SIP同様、H.323信号により電話端末20間の呼制御だけを行うものとする。
【0030】
独自プロトコルP1に対応した電話端末20間の呼制御をする場合には、交換装置10の役割はその独自プロトコルP1の内容に応じたものになる。ここでは、独自プロトコルP1に対応した電話端末20間の呼制御をする場合には、呼制御及びメディアデータの中継も行うものとする。
【0031】
具体的には、交換装置10は、プロセッサやメモリ等のプログラム実施構成及び他の通信装置と通信をするためのインタフェースを有する情報処理装置に、実施形態の交換プログラム等をインストールすることにより構築するようにしても良い。その場合でも、交換装置10の機能的構成は、図1のように示すことができる。
【0032】
この実施形態の交換プログラムには、SIP、H.323および独自のそれぞれに対応する電話のサービスを提供する1つまたは複数のプログラムを含んでおり、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化し、電話のサービスの提供を開始する。サービスを提供するプログラムとは、例えば、UNIX(登録商標)OS上では、デーモン(daemon)に相当し、マイクロソフト(登録商標)社のWindows(登録商標)上では、Windowsサービスに相当する。
【0033】
交換装置10は、IPインタフェースを有して、ネットワークNに接続し、電話端末20とVoIPの通信プロトコルに基づく呼制御情報の送受信をし、この呼制御情報に基づき電話端末の間の接続処理を行う。
【0034】
また、交換装置10は、呼制御情報の受信をするときにパケットフィルタリングの処理をし、通信許可(呼制御情報等を有するパケットの受信を許可する)または通信拒否(呼制御情報等を有するパケットの受信を拒否する)の処理をする。
【0035】
さらに、交換装置10は、ネットワークN上でのIPアドレスが「192.168.1.11」であるものとする。また、交換装置10では、SIPに用いる通信ポートの番号が「5060」、H.323に用いる通信ポートの番号が「1300」、独自プロトコルP1に用いる通信ポートの番号が「10001〜10003」と設定されているものとする。したがって、交換装置10が含む、SIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムは、上述した通信ポートの番号を利用してトランスポートレイヤで通信を受け付ける。
【0036】
ここで、通信ポートの番号「5060」、「1300」、「10001」は、それぞれSIP、H.323、独自プロトコルP1の呼制御に係わるものである。また、通信ポートの番号「10002〜10003」は独自プロトコルP1のメディアデータに係わるものである。
【0037】
(A−1−2)交換装置の内部構成について
次に、交換装置10の内部構成の詳細について説明する。
【0038】
交換装置10は、通信部11、データ記憶部12、接続処理部13、及び制御部14を有しており、それぞれの構成要素間は内部バスで接続され互いに信号のやりとりをすることができる。
【0039】
また、交換装置10は、図示しない電源回路部を有し商用電源もしくはバッテリーに接続し、さらに、図示しないスイッチ部を有し、このスイッチ部の動作で電源回路部をオン(ON)もしくはオフ(OFF)に設定できるように構成されているものとする。そして、交換装置10を操作する操作者により、そのスイッチ部でオンの設定がなされると、電源回路部から給電が開始され交換装置10が起動する。
【0040】
通信部11はIPネットワークNに接続するインタフェースであり、パケットの送受信をして通信する部分である。ここで、交換装置10は、上述の通りIPアドレスが「192.168.1.11」と設定されていることから、通信部11はIPアドレスが192.168.1.11」に基づきIP通信を行うものとする。
【0041】
また、通信部11はパケットフィルタリングを行う機能を担っており、通信により自ら受信するパケットに関し、設定されたルールセットに基づいて通信許可または通信拒否のパケットフィルタリング処理をする。
【0042】
交換装置10の起動直後において、通信部11は、例えば、自ら受信するパケットのすべてを拒否(all deny)するルールセットでパケットフィルタリング処理をするように設定し、後述する制御部14によりパケットフィルタリング設定がなされると、この設定に基づいてパケットフィルタリング処理をするものとする。
ここで、パケットのすべてを拒否(all deny)とは、ISO(International Organization for Standardization)のOSI参照モデル(Open Systems Interconnection)における第4層のトランスポートレイヤのTCPおよびUDPの通信ポートに関し、通信ポートごとに通信拒否をすることを示す。
【0043】
なお、通信部11は、自ら送信するパケットについてはパケットフィルタリング処理を行わないものとする。また、通信部11は、自らが起点となって形成したセッションに係るパケットについては、受信を許可するパケットフィルタリング処理を行うようにしても良い。
【0044】
したがって、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化し、電話のサービスの提供を開始するが、通信部11は制御部14によりパケットフィルタリング設定がなされるまで受信するパケットのすべてを拒否するため、電話端末20からの接続処理は行われない。
【0045】
例えば、電話端末20−1が、別の電話端末20−2に接続するためのSIPに基づく接続要求のパケットを、交換装置10のIPアドレス「192.168.1.11」およびトランスポートレイヤのSIPのための通信ポート「5060」を含めて送信した場合を想定する。この場合、接続要求のパケットが交換装置10に到達し、通信部11がこのパケットに含まれるトランスポートレイヤのSIPのための通信ポート「5060」を識別し、通信ポート「5060」の番号が設定されたルールセットに含まれているか判断する。そして、ルールセットに含まれている場合は、通信部11は、通信許可のパケットフィルタリング処理により受信してパケットに含まれる通信ポートと接続要求を接続処理部13に与える。一方、交換装置10は、この通信ポートが設定されたルールセットに含まれていない場合は通信拒否(パケット受信拒否)のパケットフィルタリング処理により受信しない(破棄する)。
【0046】
ここで、通信部11のパケットフィルタ処理はISOのOSI参照モデルにおける第4層のトランスポートレイヤのTCPおよびUDPの通信ポートに関し、通信ポートごとに通信許可または通信拒否の処理をするものとして説明する。
【0047】
ここで、OSI参照モデルは、データ通信を実現するためのアーキテクトとして、通信機能を階層的(アプリケーションレイヤ(第7層)、プレゼンテーションレイヤ(第6層)、セッションレイヤ(第5層)、トランスポートレイヤ(第4層)、ネットワークレイヤ(第3層)、データリンクレイヤ(第2層)、物理レイヤ(第1層))に分割している。
【0048】
したがって、交換機10は、OSI参照モデルに対応するため、通信機能を実現するためのプロトコルスタックを含み、このプロトコルスタックにより階層ごとのデータ通信を行いつつ、通信部11において第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行う。
【0049】
データ記憶部12は、交換装置10のパケットフィルタリング等に用いる情報を記憶するものであり、局データ記憶部12aおよび通信ポートデータ記憶部12bを有している。
【0050】
局データ記憶部12aは交換装置10の局条件を設定した局データ(office date)である。
【0051】
図2は、局データ記憶部12aが記憶するデータの内容について示した説明図である。
【0052】
図2において、局データ記憶部12aには、「電話番号」、「IPアドレス」、「電話端末種類」、及び「疎通フラグ」の項目を含む情報が記憶されている。なお、一般的なIP−PBXでは、局データとして、収容総数やトランク種別やテナント番号等を含んでいることがあるが、ここでは、これらの説明は省略する。また、局データ記憶部12aの内容はユーザの操作により適宜に設定・変更が可能であるものとする。
【0053】
「電話番号」は、電話端末20ごとの電話番号である。
【0054】
「IPアドレス」は、電話端末20ごとのIPアドレスである。なお、「IPアドレスは」、ネットワークでノードを決定できるユニークな識別子であればよいため、MAC(Media Access Control)アドレス等の他の識別子に置き換えても良い。なお、IPアドレスは、図2においてはIPv4で示されているが、IPv6等の他の形式であってもよい。
【0055】
「電話端末種類」は、交換装置10が収容する電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を示している。
【0056】
「疎通フラグ」は、交換装置10が収容する電話端末ごとに疎通確認した結果情報である。疎通フラグは「0」もしくは「1」が設定され、「0」は疎通確認に失敗したことを表し、「1」は疎通確認に成功したことを表す。なお、疎通確認の処理は後に説明する接続処理部13により行われ、疎通フラグは接続処理部13により適宜に変更される。
【0057】
局データ記憶部12aは、電話端末20ごとに、電話番号、IPアドレス、電話端末種類および疎通フラグを記憶しており、図2では、1行で1つの電話端末20に係る局データが示されている。例えば、図2の局データのうち、電話番号が「12」の局データ(最上段のデータ)では、IPアドレスが「192.168.1.12」、電話端末種類が「SIP」、疎通フラグが「1」示されている。この局データが示す電話端末20については、電話番号が「12」で、IPアドレスが「192.168.1.12」で、VoIPに用いる通信プロトコルが「SIP」で、「疎通可能」であることを示している。
【0058】
なお、以下では、電話端末20−1については、図2の電話番号が「12」の局データが該当し、電話端末20−2については、図2の電話番号が「13」の局データが該当するものとする。すなわち、電話端末20−1の電話番号は「12」、IPアドレスは「192.168.1.12」、電話端末種類は「SIP」である。また、電話端末20−2の電話番号は「13」、IPアドレスは「192.168.1.13」、電話端末種類は「SIP」である。
【0059】
通信ポートデータ記憶部12bはVoIPの通信プロトコルごとの通信ポートの番号等の情報を記憶している。
【0060】
図3は、通信ポートデータ記憶部12bに記憶するデータの内容について示した説明図である。
【0061】
図3において、通信ポートデータ記憶部12bには、「通信プロトコル種類」、「通信ポート」を含む情報が記憶されている。
【0062】
「通信プロトコル種類」はVoIPの通信プロトコルの種類の情報である。
【0063】
「通信ポート」はVoIPの通信プロトコルごとに利用する通信ポートの番号である。
【0064】
例えば、図3では、通信ポートデータ記憶部12bは、通信プロトコル種類「SIP」に対応する通信ポートを「5060」と記憶しており、通信プロトコル種類が「SIP」の場合は利用する通信ポートの番号「5060」であることを示している。なお、通信ポートデータ記憶部12bの内容はユーザにより適宜に設定・変更が可能である。
【0065】
接続処理部13は通信部11から与えられる接続要求などの呼制御情報に基づき、電話端末20の間の接続処理の呼処理(呼制御)を行う機能を担っている。
【0066】
接続処理部13はSIP、H.323および独自プロトコルP1のVoIPの接続要求に対応して接続処理をする。具体的には、接続処理部13は、交換装置10が含むSIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムにより構成されている。つまり、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化することで接続処理部13が形成されて電話のサービスの提供が開始し、接続処理部13は接続要求などの呼制御情報に基づき電話端末のあいだの接続処理が行える。
【0067】
交換装置10の起動直後において、接続処理部13はデータ記憶部12で記憶する局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理が行えるようになる。
【0068】
さらに、接続処理部13は局データ記憶部12aが設定・変更されるごとに、局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと接続処理を開始するものとする。また、局データ記憶部12aが破損している場合は、接続処理部13は正常に局データ記憶部12aを読み込めないため接続処理は開始しないようにしても良い。局データ記憶部12aの破損とは、例えば、局データ記憶部12aが構築された記憶領域(ファイル等)の破損、局データ記憶部12aが構築された記憶領域の間違い、局データ記憶部12aが構築された記憶領域の情報の欠落などが挙げられる。
【0069】
接続処理部13は接続処理を開始すると読み込んだ局データ記憶部12aを参照して電話端末の間の接続処理を開始する。つまり、接続処理部13は、交換装置10が含むSIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムが活性化することで、接続処理部13が形成されるから、このプログラムがデータ記憶部12で記憶する局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理を開始する。
【0070】
ここで、交換装置10では、上述の通り、SIPに用いる通信ポートの番号が「5060」、H.323に用いる通信ポートの番号が「1300」、独自プロトコルP1に用いる通信ポートの番号が「10001〜10003」と設定されている。そのため、接続処理部13では、SIPに対応する電話のサービスを提供するプログラムは通信ポートの番号が「5060」につづく呼制御情報を処理し、H.323に対応する電話のサービスを提供するプログラムは通信ポートの番号が「1300」につづく呼制御情報を処理し、独自プロトコルP1により独自に対応する電話のサービスを提供するプログラムは通信ポートの番号が「10001〜10003」のいずれかにつづく呼制御情報を処理する。
【0071】
例えば、電話端末20−1が、電話端末20−2に接続するためのSIPに基づく接続要求のパケットを、交換装置10のIPアドレス「192.168.1.11」およびトランスポートレイヤのSIPのための通信ポート「5060」を含めて送信した場合を想定する。この場合、接続要求のパケットが交換装置10に到達し、通信部11が、このパケットに含まれるトランスポートレイヤのSIPに用いる通信ポート「5060」を識別する。そして、通信部11は、通信ポート「5060」の番号が、設定されたルールセットに含まれているか判断し、含まれている場合は通信許可のパケットフィルタリング処理により受信してパケットに含まれる通信ポートと接続要求の情報を接続処理部13に与える。この場合、接続処理部13は、与えられた接続要求に含まれる接続先の電話番号「13」(電話端末20−2)に対応する局データを抽出する。そして、接続処理部13は、接続元の電話番号「12」(電話端末20−1)から接続要求があることをIPアドレス「192.168.1.13」(電話端末20−2)に通知する。そして、電話端末20−2が、交換装置10から通知を受け、接続要求に応じることで、電話端末20−1と電話端末20−2のあいだの通話が確立する。
【0072】
また、接続処理部13は接続処理の準備が整うと、局データ記憶部12aから読み込んだ局データのそれぞれに対応する電話端末20に対して、IPアドレスを利用して周期的な疎通確認を行い、疎通確認に成功した局データの疎通フラグに、疎通確認に成功したことを表す「1」を設定する。一方、接続処理部13は疎通確認に失敗した電話端末20の局データの疎通フラグについては「0」を設定する。なお、局データ記憶部12aにおいて、疎通フラグの初期値は「0」であるものとする。つまり、接続処理部13は、交換装置10が含むSIP、H.323および独自のそれぞれに対応する電話のサービスを提供するプログラムが活性化することで接続処理部13が形成されるから、このプログラムが周期的な疎通確認を行う。
【0073】
交換装置10による電話端末20への疎通確認の具体的な方法は限定されないものであるが、例えば、以下の2つを挙げることができる。なお、第1の実施形態では、後述する第1の疎通確認の方法が適用されているものとする。
【0074】
[第1の方法]
交換装置10による電話端末20への疎通確認の第1の方法は、接続処理部13が、電話端末20のIPアドレスに基づいてpingを用いて周期的に疎通確認する方法である。この場合、接続処理部13は図2に示す、それぞれの局データのIPアドレス(192.168.1.12〜17)に順次にpingを送出し、pingに対する応答を得ることで疎通確認する。
【0075】
なお、pingとはICMP(Internet Control Message Protocol)を利用するもので、OSI参照モデルの第3層による疎通確認方法である。
【0076】
したがって、接続処理部13がping(ICMP)を用いて周期的に疎通確認するとき、通信部11は自ら送信するパケットについてはパケットフィルタリング処理を行わないから疎通確認の信号を送出できる。また、通信部11では、受信するパケットについて第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行い、第3層の疎通確認の信号は受信するように設定して、送信したPingに対する応答(Echo)を受信するようにしても良い。さらに、通信部11に、自らが送信したPingに対する応答(Echo)については、受信拒否をしないように、明示的にパケットフィルタリングの設定をしておくようにしても良い。
【0077】
また、上述の説明で、局データ記憶部12aのIPアドレスがIPv6であってもよいとしたが、この場合、接続処理部13が疎通確認に用いるPingはICMPv6(ICMP for IPv6)を利用するもので、OSI参照モデルの第3層による疎通確認方法となる。
【0078】
[第2の方法]
交換装置10による電話端末20への疎通確認の第2の方法は、接続処理部13が電話端末20のIPアドレスに基づいてARP(Address Resolution Protocol)を用いて周期的に疎通確認する方法である。この場合、接続処理部13は図2のIPアドレス22「192.168.1.12〜17」のそれぞれについて順次にARP要求を送出し、ARP要求に対するARP応答を得ることで疎通確認する。
【0079】
なお、ARPはIPアドレスからMACアドレスの問い合わせと取得をするプロトコルで、OSI参照モデルの第3層によるアドレス解決方法であり、アドレスが解決できるから疎通が確認されることになる。
【0080】
したがって、接続処理部13がARPを用いて周期的に疎通確認するとき、通信部11は自ら送信するパケットについてはパケットフィルタリング処理を行わないから疎通確認の信号を送出できる。また、通信部11では、受信するパケットについて第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行い、第3層の疎通確認の信号は受信するように設定して、送信したARP要求に対する応答を受信するようにしても良い。また、通信部11に、自らが送信したARP要求に対する応答については、通信拒否をしないように、明示的にパケットフィルタリングの設定をしておくようにしても良い。
【0081】
また、上述の局データ記憶部12a(図2)の説明では、IPアドレスの項目は、MACアドレスであってもよいとしたが、この場合、接続処理部13がMACアドレスに基づいてRARP(Reverse Address Resolution Protocol)を用いて周期的に疎通確認するようにしても良い。この場合、接続処理部13は、それぞれの局データのMACアドレスについて、順次にRARP要求を送出し、RARP要求に対するRARP応答を得ることで疎通確認する。なお、RARPはMACアドレスからIPアドレスの問い合わせと取得をするプロトコルで、OSI参照モデルの第3層によるアドレス解決方法であり、アドレスが解決できるから疎通が確認されることになる。
【0082】
次に、制御部14の詳細について説明する。
【0083】
制御部14は交換装置10全体の制御を行う部分である。したがって、交換装置10は含む、交換装置10が含むSIP、H.323および独自のそれぞれに対応する電話のサービスを提供するプログラムの実行等も行う。また、制御部14はパケットフィルタリング処理のルールセット生成設定の処理も行う。
【0084】
図4は、制御部14内部の機能的構成を示したブロック図である。
【0085】
制御部14には、局データ読み込み部41、通信ポート調査部42、ルールセット生成部43、ルールセット設定部44が形成されている。
【0086】
局データ読み込み部41は、接続処理部13が読み込んだ局データ記憶部12aの局データのうち、疎通フラグが「1」の局データの電話端末種類を読み込む。そして、局データ読み込み部41は、疎通フラグが「1」の電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を取得する。なお、局データ読み込み部41は、接続処理部13が局データ記憶部12a読み込むことを契機に、上述の処理を開始する。
【0087】
そして、通信ポート調査部42は、通信ポートデータ記憶部12bを参照して、局データ読み込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。
【0088】
そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成する。
【0089】
そして、ルールセット設定部44は、ルールセット生成部43が生成したルールセットを、通信部11に設定する。
【0090】
例えば、制御部14は、局データ記憶部12a(図2)の疎通フラグが「1」の電話端末種類の情報を読み込み、電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報(例えば、「SIP」)を取得する。そして、制御部14は、取得したVoIPの通信プロトコルの種類の情報で通信ポートデータ記憶部12b(図3)を参照して利用する通信ポートの番号(例えば、「SIP」に対応するポート番号「5060」)を取得し、取得した通信ポートの番号に対する通信許可のパケットフィルタリングのルールセットを生成し通信部11に設定する。
【0091】
(A−2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態の通信システムにおける交換装置10の動作を説明する。
【0092】
図5は、交換装置10の動作を示したフローチャートである。
【0093】
また、図5のフローチャートにおいて、局データ記憶部12aの内容の初期状態は、図2で疎通フラグの列がすべて「0」となった内容であるものとする。また、通信ポートデータ記憶部12bの内容は、図3の内容であるものとする。
【0094】
まず、ユーザの操作等により、交換装置10が起動して、交換装置10の制御部14の作用により接続処理部13が形成され(S101)、電話のサービスの提供を開始したものとする。このとき、交換装置10は電話のサービスの提供を開始するが、上述の通り、通信部11は制御部14によりパケットフィルタリング設定がなされるまで受信するパケットのすべてを拒否するため、電話の接続処理は行われない。また、このとき交換装置10は、受信するパケットのすべてを拒否するから、不正アクセスに係わるパケットも拒否している。
【0095】
そして、接続処理部13が形成されると、接続処理部13は局データ記憶部12aの内容の読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理が行えるようになる。以降、接続処理部13は局データ記憶部12aが設定・変更されるごとに、局データ記憶部12aの内容の読み込みを始め、読み込みを終え接続処理の準備が整うと接続処理が行えるようになるものとして説明する。
【0096】
また、接続処理部13はデータ記憶部12で記憶する局データ記憶部12aの内容の読み込みを行ったことで、制御部14は、局データ記憶部12aの疎通フラグが「1」の電話端末種類の情報を読み込み電話端末ごとに対応するVoIPの通信プロトコルの種類の情報を取得しようとするが、上述の通り、ここでは局データ記憶部12aで、疎通フラグがすべて「0」なので処理を中止する。
【0097】
次に、接続処理部13は、接続処理の準備が整うと、読み込んだ局データ記憶部12aのIPアドレスに基づいて周期的な疎通確認を行う(S102)。なお、以降、この疎通確認は周期的に繰り返されるものとする。
【0098】
次に、接続処理部13は、上述のステップS102の疎通確認の結果と、局データ記憶部12aの電話端末20ごとの疎通フラグの内容との差異の有無を判定し(S103)、差異がある場合には、後述するステップS104の処理から動作し、差異が無い場合には、上述のステップS102の処理に戻って動作する。上述のステップS102の疎通確認については、周期的に実行されるように、ウェイトをかけるようにしても良い。
【0099】
一方、上述のステップS103で、疎通確認の結果と、局データ記憶部12aの内容との差異が検出された場合には、接続処理部13は、疎通確認の結果に応じて、局データ記憶部12aの内容を更新する(S104)。
【0100】
そして、接続処理部13は、更新した局データ記憶部12aの内容を読み込んで、接続処理の準備が整うと、更新された後の設定で接続処理が行えるようになる。そして、制御部14は、更新された局データ記憶部12aの内容に応じたルールセットを生成して、通信部11にそのルールセットを反映する(S105)。そして、交換装置10は、上述のステップS102の処理に戻って動作する。
【0101】
ここでは、最初の疎通確認はすべての電話端末20ついて、失敗したとして、データ記憶部12の局データ記憶部12aの疎通フラグのすべてに疎通確認に失敗したことを表す「0」を設定しようとするが、上述の通り、初期状態で疎通フラグの列がすべて「0」なので、全て一致するため、上述のステップS102の処理に戻って動作する。
【0102】
そして、その後、電話端末20−1と電話端末20−2がネットワークN内に存在するようになり、交換装置10がこれらの電話端末を収容することになったものとする。
【0103】
このとき、交換装置10の接続処理部13の周期的な疎通確認(ステップS102)により、電話端末20−1と電話端末20−2の疎通確認に成功し、疎通確認結果が、局データ記憶部12aと異なることになる。そのため、上述のステップS104により、データ記憶部12の局データ記憶部12aで、電話端末20−1のIPアドレス「192.168.1.12」に対応する疎通フラグと、電話端末20−2のIPアドレス「192.168.1.13」に対応する疎通フラグについて、疎通確認に成功したことを表す「1」が設定される。
【0104】
このとき、接続処理部13が、データ記憶部12で記憶する局データ記憶部12aの読み込みを行ったことをトリガに、制御部14の処理が開始する。
【0105】
そして、制御部14は、局データ記憶部12aの疎通フラグが「1」である電話端末20−1、20−2の電話端末種類の情報を読み込み、電話端末20−1、20−2のそれぞれに対応する通信プロトコル種類の情報「SIP」を取得する。そして、制御部14は、SIPで用いる通信ポートの番号(5060)を、通信ポートデータ記憶部12bを参照して取得する。そして、制御部14は、取得した通信ポートの番号に対する通信許可のパケットフィルタリングのルールセットを生成し通信部11に設定する。
【0106】
このとき、交換装置10は電話のサービスの提供を開始しており、通信部11は制御部14によりパケットフィルタリング設定され、通信ポートの番号「5060」に係わるパケットの受信を許可するパケットフィルタ処理を行う。
【0107】
すなわち、これ以降、交換装置10では、SIPによる電話端末20の接続処理を受付けるようになる。また、交換装置10では、SIPに対応する通信ポートの番号「5060」以外の通信ポート番号の通信ついては引き続き拒否をするため、SIP以外で不正アクセスに係わるパケットを拒否することになる。よって、交換装置10がH.323および独自のVoIPの通信プロトコルを悪用した不正アクセスの脅威にさらされることはない。
【0108】
そして、その後、例えば、電話端末20−1、20−2の両方との疎通確認が失敗し、SIPを用いる電話端末20が交換装置10に接続(収容)していない状態となった場合には、交換装置10は、SIPで用いる通信ポートの番号に対する通信拒否のパケットフィルタリングのルールセットを生成し通信部11に設定することになる。
【0109】
このようにすることで、交換装置10では、設定・変更後の局データ記憶部12aで設定された、収容する電話端末が利用するVoIPの通信ポートの番号に対してのみ、通信許可のパケットフィルタリング処理をすることが可能となる。
【0110】
(A−3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
【0111】
交換装置10では、複数のVoIP通信のプロトコルに対応しながら、自身が収容する電話端末20が利用するプロトコルのポートについてだけ、パケット受信を許可するパケットフィルタリング処理をすることができ、それ以外のプロトコルの通信ポートに対する不正アクセスの脅威を排除することができる。
【0112】
また、交換装置10では、収容する電話端末20の追加や機種変更などが生じることで、局データに変更が生じた場合でも、収容する電話端末20が利用するVoIPの通信ポートの番号に対してのみ自動に通信許可のパケットフィルタリング処理をすることができる。すなわち、交換装置10では、収容する電話端末20の変更により、セキュリティポリシーを変更する必要が生じても、局データの内容を変更するだけで、必要な通信ポートのパケット受信だけを許可することができる。これにより、交換装置10では、IP電話システム利便性を損なわずに、収容しない電話端末が利用するVoIPの通信ポートの番号に対する不正アクセスの脅威を排除することができる。
【0113】
(B)第2の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第2の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。(B−1)第2の実施形態の構成
図6は、第2の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第2の実施形態の通信システム)について示したブロック図である。
【0114】
第2の実施形態の交換装置10Aでは、データ記憶部12、制御部14が、それぞれデータ記憶部12A、制御部14Aに置き換わっており、さらに、セキュリティ処理部15が追加されている点で第1の実施形態と異なっている。
【0115】
データ記憶部12Aには、テンプレートファイル記憶部12cが追加されている点で第1の実施形態と異なっている。また、制御部14Aで、テンプレートファイル記憶部12cに係る処理が追加されている点で、第1の実施形態と異なっている。
【0116】
セキュリティ処理部15は、交換装置10Aにファイアーウォールソフトや、VPNソフト等のセキュリティ関連ソフトウェアをインストールすることにより構築されるものである。図6においては、セキュリティ処理部15は、説明を簡易にするため一つのブロックとして図示しているが、交換装置10Aに複数のセキュリティ関連ソフトウェアがインストールされていることもあり得る。その場合には、セキュリティ処理部15に対応するセキュリティ関連ソフトウェアが複数存在することになる。
【0117】
既存のIP−PBX等の交換装置でも、その交換装置が構築されたコンピュータ上に、上述のようなセキュリティ関連ソフトウェアがインストールされる場合がある。この場合、その交換装置のソフトウェアの通信部によるパケットフィルタ処理とは別のパケットフィルタ処理機能を有することがある。つまり、セキュリティ関連ソフトウェアがインストールされた交換装置においては、通信部と、セキュリティ関連ソフトウェアにより重複してパケットフィルタ処理が行われることになる。
【0118】
交換装置10Aにおいても同様に、通信部11と、セキュリティ処理部15とで行うパケットフィルタ処理について、矛盾が生じないように、例えば、同一の内容のルールセット(同一の動作を行うルールセット)にしておく必要がある。もし、通信部11とセキュリティ処理部15とで、ルールセットの内容が異なっていると、通信部11のパケットフィルタ処理で通信許可したがセキュリティ関連ソフトウェアのパケットフィルタ処理で通信拒否してしまう可能性がある。
【0119】
制御部14Aは、パケットフィルタリングのルールセットを生成し、通信部11だけでなく、セキュリティ処理部15にも反映させる点で、第1の実施形態と異なっている。
【0120】
制御部14Aは、通信部11用に作成したルールセットを、テンプレートファイル記憶部12c記憶されたテンプレート(テンプレートの詳細については後述する)を用いてセキュリティ処理部15に適用可能な内容に変換して、セキュリティ処理部15に設定する。
【0121】
図7はデータ記憶部12のテンプレートファイル記憶部12cの内容例について示したブロック図である。
【0122】
図7の例では、テンプレートファイル記憶部12cには、ファイアーウォールA用テンプレートT1と、VPNソフトC用テンプレートT2が記憶されている。
【0123】
セキュリティ処理部15では、図7に示すようにセキュリティ関連ソフトウェアごとのテンプレートが記憶されている。これらのテンプレートは、セキュリティ関連ソフトウェアを設定するためのルールセット(設定ファイル)の雛形といえる。制御部14Aは、セキュリティ処理部15に対応するソフトウェアに対応するテンプレートを、テンプレートファイル記憶部12cから選択してルールセットの変換に適用する。なお、制御部14Aが選択するテンプレートは、例えば、予め設定されたものを適用するようにしても良い。
【0124】
なお、テンプレートファイル記憶部12cの内容はユーザにより適宜に設定・変更が可能である。
【0125】
また、テンプレートファイル記憶部12cには、セキュリティ関連ソフトごとに、複数の設定ファイルを用意しておき、制御部14Aが生成したルールセットの内容に応じた設定ファイルを選択して適用するようにしても良い。すなわち、制御部14Aは、ルールセットの内容に応じて、予め用意された設定ファイルのいずれかを選択するだけで、変換処理を行わないようにしても良い。
【0126】
セキュリティ処理部15に対応するファイアーウォールソフトとしては、例えば、Check Point(登録商標)社製の「FireWall−1」や「VPN−1」等が該当する。また、VPNソフトとしては、例えば、ソフトイーサ(登録商標)社製のPacketiX(登録商標) VPN(SoftEther(登録商標) VPN)が該当する。
【0127】
テンプレートファイル記憶部12cに記憶されるテンプレートとしては、例えば、上述のようなセキュリティ関連ソフトウェアにおける設定ファイルの、雛形(テキストデータ等のバイナリデータ)が該当する。そして、制御部14が、生成したルールセットのパケットフィルタリングのパラメータ(例えば、通信を許可する通信ポートの番号)等を、その雛形に適合する記述形式に変更(記述形式の変更の仕方は予め設定しておく)して追記する。
【0128】
例えば、特定の通信ポートの通信を許可するための記述は、各セキュリティ関連ソフトウェアごとに、定型の記述様式が存在する。よって、制御部14A(又は、テンプレートファイル記憶部12c)に、雛形に追記するための内容の記述様式を予め用意しておき、その記述様式にパラメータ(通信を許可する通信ポートの番号)を入力するだけで、雛形に追記する内容を生成するようにしても良い。
【0129】
(B−2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態の通信システムにおける交換装置10Aの動作を説明する。
【0130】
交換装置10Aのパケットフィルタ処理の動作についても、第1の実施形態における上述の図5を用いて説明することができる。以下では、第2の実施形態の交換装置10Aの動作について、第1の実施形態との差異について説明する。
【0131】
交換装置10Aにおいて、上述のステップS101〜S104の動作は、第1の実施形態と同様であるので、説明を省略する。
【0132】
異なるのは、ステップS105の内容である。第2の実施形態のステップS105では、制御部14Aは、テンプレートファイル記憶部12cに記憶されたテンプレートを用いて、通信部11用に生成したルールセットを、セキュリティ処理部15に適用可能なルールセット(設定ファイル)に変換して、セキュリティ処理部15にその設定ファイルを適用する処理が追加されている。
【0133】
例えば、ここでは、セキュリティ処理部15に対応するソフトウェアが、「ファイアーウォールソフトA」、「VPNソフトC」の2つのソフトウェアであったものとする。この場合、制御部14Aは、テンプレートファイル記憶部12cから、ファイアーウォールソフトA用テンプレートT1で変換した設定ファイルを「ファイアーウォールソフトA」に適用し、VPNソフトC用テンプレートT2を用いて変換した設定ファイルを「VPNソフトC」に適用する。
【0134】
(B−3)第2の実施形態の効果
第2の実施形態によれば、以下のような効果を奏することができる。
【0135】
交換装置10Aでは、セキュリティ関連ソフトウェアがインストールされている場合でも、テンプレートファイル記憶部12cに記憶されているテンプレートを利用して、そのセキュリティ関連ソフトウェアに、通信部11と同様のルールセットに基づくパケットフィルタリングの設定を行うことができる。すなわち、交換装置10Aでは、セキュリティ関連ソフトウェアがインストールされていても、通信部11と統一したパケットフィルタリングの設定をすることができる。これにより、交換装置10Aでは、ルールセットの矛盾による通信障害の回避や、セキュリティ内容の一貫性の保持等の効果を奏することができる。
【0136】
(C)第3の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第3の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。(C−1)第3の実施形態の構成
図8は、第3の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第3の実施形態の通信システム)について示したブロック図である。
【0137】
第3の実施形態では、交換装置10Bのセキュリティを保護するために、ファイアーウォール装置30が設置されており、交換装置10Bは、ファイアーウォール装置30を介してネットワークNに接続している。
【0138】
ファイアーウォール装置30は、UNIXやWindows等のOSが動作するコンピュータ上に、ファイアーウォールのソフトウェア(例えば、セキュリティ処理部15と同様のソフトウェア)をインストールして構築されたものであるものとする。なお、ファイアーウォール装置30は、ファイアーウォール専用のハードウェア(アプライアンス)を用いて構築されたものであっても良い。
【0139】
第3の実施形態の交換装置10Bでは、データ記憶部12A、制御部14Aが、それぞれデータ記憶部12B、制御部14Bに置き換わっている点で第2の実施形態と異なっている。データ記憶部12Bには、遠隔設定記憶部12dが追加されている点で第2の実施形態と異なっている。また、制御部14Bで、遠隔設定記憶部12dに係る処理が追加されている点で、第2の実施形態と異なっている。
【0140】
なお、ファイアーウォール装置30で、交換装置10Bが接続されている側のIPアドレスは、「192.168.1.100」であるものとする。
【0141】
制御部14Bでは、生成した通信部11用のルールセットを、テンプレートファイル記憶部12cのテンプレートを用いて変換し、変換により生成した設定ファイルを生成する。すなわち、制御部14Bは、ファイアーウォール装置30用のパケットフィルタリングのルールセットを生成するとともに、ファイルとして保持する動作(ファイル化)を行っている。
【0142】
そして、制御部14Bは、命令記憶部12dに記憶された命令を実行して、生成した設定ファイルを、ファイアーウォール装置30に適用する。命令記憶部12dに記憶されている命令は、例えば、交換装置10BのOS上で動作するスクリプトにより構成されており、生成した設定ファイルを、FTP(File Transfer Protocol)等により、ファイアーウォール装置30に送り込む。
【0143】
図9は、データ記憶部12Bのテンプレートファイル記憶部12cで記憶されている内容の例について示したブロック図である。
【0144】
図9に示すように、テンプレートファイル記憶部12cには、ファイアーウォールA用テンプレートT1と、VPNソフトC用テンプレートT2に加えて、ファイアーウォール装置30に対応するファイアーウォール装置A用テンプレートT3が記憶されている。
【0145】
なお、図9では、ファイアーウォール装置30は一台の構成として説明しているが、複数台により構成するようにしても良い。その場合、それらのファイアーウォール装置に対応するテンプレートが、テンプレートファイル記憶部12cに記憶されている必要がある。
【0146】
なお、テンプレートファイル記憶部12cの内容は管理者により適宜に設定・変更が可能である。
【0147】
ファイアーウォール装置30に対応する装置としては、例えば、Check Point社製の「FireWall−1」等がインストールされた装置等が該当する。すなわち、通信部11用のルールセットを、ファイアーウォール装置30向けの設定ファイルに変換する処理は、上述のセキュリティ処理部15向けの設定ファイルに変換する処理と同様の処理を適用することができる。
【0148】
図10は、命令記憶部12dで記憶する内容の例について示した説明図である。
【0149】
図10(a)は、命令記憶部12dで記憶する命令の例について示したブロック図である。
【0150】
図10(a)に示すように、命令記憶部12dには、1つの命令C1が記憶されているものとする。命令C1はファイアーウォール装置などの外部のネットワーク装置に、設定ファイルを転送・反映するための命令(コマンド)である。そして、命令C1は、2つの命令C11、C12により構成されている。
【0151】
図10(b)は、命令C11のコード(一般的にUNIX上で実行可能なコード)の例を示しており、図10(c)は、命令C12のコードの例を示している。
【0152】
なお、図10では、制御部14Bが変換したファイアーウォール装置30用の設定ファイルは、交換装置10B上の記憶領域で、「/config_file」(ルートディレクトリ上の「config_file」というファイル名のファイル)というファイルで保存されるものとする。
【0153】
図10に示すように、命令C1は命令C11および命令C12のコードを含んでおり、適宜に参照・実行できるようになっている。したがって、制御部14Bは命令C1を実行することで、命令C11と命令C12を実行することができる。また、制御部14Bが命令C1または命令C11のどちらか一方を実行するように命令C1を実行することも可能である。つまり、命令C1は命令C11と命令C12とのどのように実行するか管理する命令といえる。例えば、命令C1が命令C11と命令C12との実行タイミングを管理することが可能である。命令C1が、「命令C11は04時00分に実行」と設定し、「命令C12は命令C11の実行から24時間後に実行」と設定されているとする。この場合において、制御部14Bが命令C1を2010年1月1日00時00分に実行されると、命令C1は2010年1月1日04時00分になるまで待機してから命令C11を実行し、その後、2010年1月2日04時00分になるまで待機してから命令C12を実行する。
【0154】
ここで、図10(b)において、命令C11の実体はファイアーウォール装置30のIPアドレス「192.168.1.100」にftpで接続し、ユーザー名「administrator」およびパスワード「administrator_passwd」でログインし、ファイアーウォール装置30用に変換したパケットフィルタリングのルールセット「/config_file」のファイルを転送する内容を含んでいる。
【0155】
つまり、命令C11は、命令自身が存在している命令実行環境(交換装置10)内で生成し保持するパケットフィルタリングのルールセットを命令実行環境とは別の装置(ファイアーウォール装置30)に送り込む命令である。
【0156】
さらに、図10(c)において、命令C12の実施はファイアーウォール装置30のIPアドレス「192.168.1.100」にtelnetで接続し、ユーザ名「administrator」およびパスワード「administrator_passwd」でログインし、命令C11で転送したパケットフィルタリングのルールセット「/config_file」のファイルをファイアーウォール装置30に設定するためのコマンド「/usr/sbin/AAA」を実行する内容を含む。
【0157】
つまり、命令C12は、命令実行環境(交換装置10)とは別の装置(ファイアーウォール装置30)にパケットフィルタリングのルールセットを適用(設定)する命令である。
【0158】
したがって、命令C1は、命令C11と命令C12とによって、交換装置10で生成するパケットフィルタリングのルールセットを、ファイアーウォール装置30に送り込み適用することができる。
【0159】
なお、命令記憶部12dの内容は管理者により適宜に設定・変更が可能である。
【0160】
(C−2)第3の実施形態の動作
次に、以上のような構成を有する第3の実施形態の通信システムにおける交換装置10Bの動作を説明する。
【0161】
交換装置10Bのパケットフィルタ処理の動作についても、第2の実施形態と同様に、上述の図5を用いて説明することができる。以下では、第3の実施形態の交換装置10Bの動作について、第2の実施形態との差異について説明する。
【0162】
交換装置10Bにおいて、上述のステップS101〜S104の動作は、第2の実施形態と同様であるので、説明を省略する。
【0163】
異なるのは、ステップS105の内容である。第3の実施形態のステップS105では、制御部14Bは、テンプレートファイル記憶部12cに記憶されたテンプレートを用いて、通信部11用に生成したルールセットを、ファイアーウォール装置30に適用可能な設定ファイルに変換して、ファイアーウォール装置30にその設定ファイルの設定を反映させる処理が追加されている。
【0164】
制御部14Bは、通信部11用のルールセットを生成すると、テンプレートファイル記憶部12cの「ファイアーウォール装置A用テンプレートT3」を利用して、ファイアーウォール装置30に適用可能な設定ファイルに変換する。そして、制御部14Bは、命令記憶部12dの命令C1(C11、C12)を実行して、作成した設定ファイルを、ファイアーウォール装置30に送り込み、送り込んだ設定ファイルによる設定を、ファイアーウォール装置30のパケットフィルタリングに反映させる。
【0165】
(C−3)第3の実施形態の効果
第3の実施形態によれば、以下のような効果を奏することができる。
【0166】
交換装置10Bでは、ファイアーウォールを介してネットワークNに接続する環境でも、テンプレートファイル記憶部12cに記憶されているテンプレートを利用して、そのファイアーウォール装置に、通信部11と同様のルールセットに基づくパケットフィルタリングの設定を行うことができる。すなわち、交換装置10Bでは、ファイアーウォール装置を介してネットワークNに接続する環境でも、そのファイアーウォール装置に通信部11と統一したパケットフィルタリングの設定をすることができる。これにより、交換装置10Bでは、ルールセットの矛盾による通信障害の回避や、セキュリティ内容の一貫性の保持等の効果を奏することができる。
【0167】
(D)第4の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第4の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。 第4の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第4の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第4の実施形態について、第1の実施形態との差異について説明する。
【0168】
第1の実施形態においては、交換装置10は、単にトランスポートレイヤにおけるパケットフィルタ処理を行うため、交換装置10がSIPに対応する電話端末のみを収容するときにTCPおよびUDPの通信ポートの番号「5060」の通信許可を行うようにしていた。
【0169】
一方、第4の実施形態では、TCPおよびUDPのそれぞれについてパケットフィルタ処理を行える点で第1の実施形態と異なっている。
【0170】
例えば、交換装置10がSIPに対応する電話端末20のみを収容するときには、UDPの通信ポートの番号「5060」の通信許可を行うようにすれば良く、TCPの通信ポートの番号「5060」の通信については拒否するようにして良いため、許可する通信ポートを絞り込むことができる。
【0171】
交換装置10で、TCPおよびUDPのそれぞれについてパケットフィルタ処理を行う具体的な方法としては、例えば、通信ポートデータ記憶部12bにおいて、各プロトコルが使用する通信ポートの型(TCP又はUDP)を示す「ポート型」という項目の情報を追加して管理するようにしても良い。
【0172】
図11は、第4の実施形態における通信ポートデータ記憶部12bの内容例について示した説明図である。
【0173】
図11では、TCP又はUDPを示す「ポート型」の項目の情報が追加されており、例えば、「SIP」であれば、「UDP」のみを用いることを示している。
【0174】
そして、制御部14では、パケットフィルタリングのルールセットを生成する際には、通信ポートデータ記憶部12bの「通信ポート」に加えて「ポート型」の情報も考慮する。例えば、制御部14は、図11に示す通信ポートデータ記憶部12bの内容に基づいて、「SIP」に係るルールセットを作成する場合には、ポート番号5060のUDPのポートの通信のみを許可し、TCPについては許可しないルールセットを作成する。
【0175】
(E)第5の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第5の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。 第5の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第5の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第5の実施形態について、第1の実施形態との差異について説明する。
【0176】
第1の実施形態においては、交換装置10は、トランスポートレイヤにおけるパケットフィルタ処理を行った上で、受信するパケットを接続処理部13で処理しており、IPアドレスに基づいて接続処理を行っている。
【0177】
一方、第5の実施形態では、接続処理部13は、局データ記憶部12aで、疎通フラグが「1」(疎通確認に成功)の電話端末20についてのみ接続処理を行う点で、第1の実施形態と異なっている。すなわち、接続処理部13は、局データ記憶部12aで、疎通フラグが「0」となっている電話端末20から接続があっても、接続処理を行わない。
【0178】
第1の実施形態においては、交換装置10は、単にトランスポートレイヤにおけるパケットフィルタ処理を行うため、交換装置10がSIPに対応する電話端末のみを収容するときに通信ポートの番号「5060」の通信許可を行い、通信ポートの番号「5060」の通信は接続処理部13のSIPに対応する電話のサービスを提供するプログラムが処理を行う。
【0179】
したがって、交換装置10の通信ポートの番号「5060」から流入する通信のすべてを接続処理部13が処理を試みることになる。例えば、プログラム(電話端末20に組み込まれたプログラム等)は一般的に、潜在的なバグ(bug:プログラムの誤り)を含んでいるため、例えば、SIPに対応する電話のサービスを提供するプログラムが接続処理を実施する過程でバグにより元来求めていない動作をする可能性がある。攻撃者が、SIPに対応する電話の通信を装い、交換装置10の通信ポートの番号「5060」に対し攻撃のための通信を流入させることで、交換装置10においてバグの動作を発揮させることが考えられる。つまり、一般的にプログラムは必要最低限の処理を行うようすることが望まれている。
【0180】
したがって、接続処理部13が行う接続処理を読み込んだ局データ記憶部12aで疎通フラグが「1」(疎通確認に成功)の電話端末20についてのみ行えば、交換装置10が行う接続処理を、局データ記憶部12aで疎通フラグが「1」となる電話端末20のIPアドレスに関するものに、さらに絞り込むことができる。
【0181】
なお、ここでは、局データ記憶部12aで疎通フラグが「0」となっている電話端末20の接続処理を接続処理部13により規制する処理について説明したが、制御部14が、疎通フラグが「0」となっている電話端末20からの通信を拒否するようなルールセットを作成して、通信部11等に設定するようにしても良い。
【0182】
(F)第6の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第6の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。
【0183】
第6の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第6の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第6の実施形態について、第1の実施形態との差異について説明する。
【0184】
通常、IP−PBX等の交換装置では、呼制御のための通信の他に、交換装置自身の運用のために必要な通信が存在する。例えば、操作者による遠隔保守に係わる通信や、交換装置と別の交換装置のあいだの同期等が挙げられる。
【0185】
そのため、第6の実施形態では、制御部14が、呼制御のための通信ポートに係わるパケットフィルタのルールセットを生成する際に、交換装置10自身の運用のために必要な通信の通信ポートを含めてパケットフィルタのルールセットを生成して適用するようにした。
【0186】
図12は、第6の実施形態のポートデータ記憶部12bに記憶する内容の例について示した説明図である。
【0187】
図12に示すように、第6の実施形態のポートデータ記憶部12bでは、「運用管理用通信ポート」という項目の情報が追加されており、この「運用管理用通信ポート」の項目に、対応する通信プロトコル種類のプロトコルでサービスを提供する場合に、運用管理上必要となる通信ポートが示されている。すなわち、図12では、通信プロトコル種類ごとに、運用管理用通信ポートが定義されている。
【0188】
例えば、図12では、通信プロトコル種類が「SIP」の運用管理用通信ポートは、「22」に設定されている。この場合、通信プロトコル種類が「SIP」の場合に、制御部14が生成するパケットフィルタのルールセットでは、通信ポートの項目に記載された「5060」のポートに加えて、運用管理用通信ポートの項目に記載された「22」のポートについて通信許可する内容となる。
【0189】
ポート番号「22」の通信ポートは、一般的に、SSH(Secure SHell)の通信ポートで交換装置の操作者がSSHによって遠隔操作をする場合に利用する通信ポートである。図12では、通信プロトコル種類が「SIP」「H.323」「独自プロトコルP1」のそれぞれに対応する運用管理用通信ポートに、この「22」の通信ポートが記載されている。したがって、この例の場合、交換装置10が「SIP」、「H.323」、又は「独自プロトコルP1」に対応する電話20を収容するとき、制御部14は、通信を許可する通信ポートとして「22」を含めてパケットフィルタのルールセットを生成する。
【0190】
また、図12に示す通信ポートデータ記憶部12bの例では、通信プロトコル種類「独自プロトコルP1」に対応する運用管理用通信ポートとして、「11001」、「11002」、「11003」が設定されている。したがって、この例の場合、交換装置10が「独自プロトコルP1」に対応する電話20を収容するとき、制御部14は、通信を許可する通信ポートとして「11001〜11003」を含めてパケットフィルタのルールセットを生成する。
【0191】
ポート番号「11001」の通信ポートは、一般的に、タイミング同期信号通信の通信ポートで、例えば、公衆電話網(PSTN)に接続する外部の回線接続装置と交換装置が互い同期するためにクロック信号をやりとりする通信のための通信ポートである。また、ポート番号「11002」の通信ポートは、一般的に、データ同期通信の通信ポートで、例えば、外部交換装置と交換装置が互いに局ファイル(電話のサービスを提供するプログラムで、例えば、収容する電話端末の情報等を格納したもの)の送受信をする通信ポートである。さらに、ポート番号「11003」の通信ポートは、一般的に、通話路確認通信の通信ポートで、例えば、交換装置が収容する電話端末とのあいだで通信のやりとりをして通話路が正常か否か確認する通信ポートである。
【0192】
(G)第7の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第7の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。(G−1)第7の実施形態の構成
図13は、第7の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第7の実施形態の通信システム)について示したブロック図である。
【0193】
第7の実施形態の交換装置10Cでは、データ記憶部12、制御部14が、それぞれデータ記憶部12C、制御部14Cに置き換わっている点で第1の実施形態と異なっている。
【0194】
データ記憶部12Cには、CCB記憶部eが追加されている点で第1の実施形態と異なっている。
【0195】
一般的に、VoIPにおける交換装置では、CCB(Call Control Block)により電話端末の呼を制御する。ここで、CCBとは、呼の状態(呼状態)を保持する領域のことで、RAMなどにおけるメモリブロックであって、この領域内で電話端末が電話可能状態や通話状態などの電話端末における呼状態を保持するものを指す。すなわち、交換装置が呼処理を行う場合、その交換装置は、まず、メモリ上に当該呼処理に係るCCBを生成しておいて、呼処理を行い、電話端末における呼状態をCCBで保持する。
【0196】
従来の交換装置におけるCCBの概要については、例えば、「特開昭60−182295」(参考文献1)、「特開平7−170547」(参考文献2)等により示されている。
【0197】
第7の実施形態の交換装置10Cも同様に、CCBにより電話端末の呼を制御するものとして説明する。具体的には、交換装置10Cの接続処理部13が呼処理を行うことで、交換装置10Cのメモリ上に確保された領域に形成されたCCB記憶部eに、呼状態の情報を格納し呼状態を保持する。つまり、接続処理部13がCCBを生成し、管理する。
【0198】
CCB記憶部eでは、動的メモリアロケーションの固定サイズブロックアロケーションによって、交換装置10のメモリ内に固定サイズのブロックを生成し、このブロックごとをCCBとするものとする。また、交換装置10Cでは、接続処理13に、交換装置10Cのメモリ内に生成したCCBごとの先頭アドレスをポインタとして保持することにより各CCBを管理し、CCB記憶部eを実現するようにしても良い。
【0199】
図14は、CCB記憶部eに記憶されるCCBの内容の例について示した説明図である。
【0200】
図14に示すように、CCB記憶部eに記憶されるそれぞれのCCBは、「電話番号」、「オーダ」、「呼状態」、及び「対向先」の項目の情報を有している。
【0201】
「電話番号」の項目は、当該電話端末20の電話番号を示している。
【0202】
「オーダ」の項目は、当該電話端末20により実行された処理(命令)の内容を示しており、例えば、他の電話端末に発呼している場合には「発呼」と入力され、他の電話端末から着信を受けた場合には「着信」と入力されるものとする。
【0203】
「呼状態」の項目は、当該電話端末20の状態を示しており、例えば、当該電話端末20の状態が、他の電話端末と通話中であれば「通話中」と入力される。
【0204】
「対向先」の項目は、当該電話端末が他の電話端末と通信中であれば、その通信相手の識別番号(ここでは電話番号であるものとする)が入力される。
【0205】
次に、制御部14Cについて、第1の実施形態の差異を説明する。
【0206】
図15は、制御部14内部の機能的構成を示したブロック図である。
【0207】
制御部14Cでは、第1の実施形態の制御部14の機能的構成(上述の図4参照)に加えて、CCB開放部45を備えている。
【0208】
CCB開放部45は、ルールセット生成部43により生成されたパケットフィルタのルールセットに基づいて、通信を拒否するプロトコルに係るCCBのメモリ領域を、CCB記憶部eから開放(CCBのデータ消去)する。なお、CCB開放部45は、開放するCCBについて、CCB記憶部e上での先頭アドレスを接続処理部13に問い合わせる。
【0209】
CCB開放部45は、ルールセット生成部43により生成されたパケットフィルタのルールセットの内容(局データ記憶部12aの内容を含む)と、CCB記憶部eの内容とを比較し、CCB記憶部eで、パケットフィルタのルールセットによりパケット受信を拒否する設定となっている呼の有無を確認する。そして、CCB開放部45は、CCB記憶部eでパケットフィルタのルールセットによりパケット受信を拒否する呼について、CCBを開放する。なお、CCB開放部45による処理の詳細については、後述する動作説明で詳述する。
【0210】
(G−2)第7の実施形態の動作
次に、以上のような構成を有する第7の実施形態の通信システムにおける交換装置10Cの動作を説明する。
【0211】
図16は、交換装置10Cにおけるパケットフィルタ処理の動作を示したフローチャートである。
【0212】
図16に示す、交換装置10Cの動作のステップS201〜S205については、第1の実施形態(上述の図5)のステップS101〜S105と同様の処理であるので詳しい説明を省略する。
【0213】
ステップS205で、生成部43により生成されたパケットフィルタのルールセットが生成されると、CCB開放部45は、そのルールセットの内容と、CCB記憶部eの内容とを整合させる(S206)。
【0214】
ここでは、例として、電話端末20−1と電話端末20−2がSIPを用いた通信中とCCB記憶部e上で登録されている間に、交換装置10Cから、電話端末20−1、20−2への疎通確認が失敗し、パケットフィルタのルールセットに反映された場合を想定する。この場合、交換装置10Cでは、電話端末20−1、20−2間の通信制御もすることができないにも関わらず、CCB記憶部e上での登録は継続しており、電話端末20−1、20−2間の呼処理を継続するためのリソースを消費することになる。そこで、ステップS206では、CCB開放部45により、継続する必要の無い呼処理のリソースを開放する。交換装置10Cから見て、電話端末20−1、20−2の疎通が失敗する要因としては、例えば、二つの電話端末20のそれぞれにおける故障や、二つの電話端末20と交換装置10との間の通信経路上のスイッチやルータ等の通信装置の故障等が挙げられる。
【0215】
次に、CCB開放部45の処理内容の詳細について説明する。
【0216】
図17は、交換装置10CのCCB開放の動作の詳細について示したシーケンス図である。
【0217】
図17では、電話端末20−1から、交換装置10Cを介して、電話端末20−2へ発呼を行い、通話が確立した後に、交換装置10Cから見て電話端末20−1、20−2と疎通確認が取れなくなった場合の動作について示している。
【0218】
局データ記憶部12aの内容の初期状態は、図2(交換装置10Cと、電話端末20−1、20−2との疎通は可能な状態)の内容であるものとして説明する。また、通信ポートデータ記憶部12bの内容は、図3の内容であるものとして説明する。
【0219】
まず、電話端末20−1から、交換装置10Cへ、電話端末20−2へ向けた発呼信号(パケット)があると(S301)、交換装置10Cはその発呼信号に基づいた呼処理を行い(S302)、その発呼信号に基づいて、さらに電話端末20−2へ発呼信号(パケット)を送信する(S303)。
【0220】
そして、その後、電話端末20−1からの発呼が電話端末20−2へ着信し、電話端末20−1と電話端末20−2とが通話状態になったものとする(S304)
ステップS304の時点で、電話端末20−1のCCBの内容は、図14のようになっており、電話端末20−2のCCBの内容は、図18のようになっているものとする。電話端末20−1のCCBは、図14に示すように、「電話番号」は「12」、「オーダ」は「発呼」、「呼状態」は「通話中」、「対向先」は「13」となっているものとする。
【0221】
また、電話端末20−2のCCBは、図18に示すように、「電話番号」は「13」、「オーダ」は「着信」、「呼状態」は「通話中」、「対向先」は「12」となっているものとする。
【0222】
そして、その後、ネットワーク障害等により、交換装置10Cと、電話端末20−1、20−2との間の通信が不可の状態になり、交換装置10Cから電話端末20−1、20−2への疎通確認が失敗したものとする(S305、S306)。
【0223】
そうすると、交換装置10Cでは、局データ記憶部12aで、電話端末20−1、20−2の疎通フラグが「0」になり、SIPを用いて接続中の電話端末20が存在しないことになる。一方、CCB記憶部eにおいて、電話端末20−1、20−2のCCBは、それぞれ図14、図18のように、電話端末20−1、20−2の間の通話状態が継続した状態になっているものとする。
【0224】
この場合、まず、制御部14Cのルールセット生成部43は、SIPによる通信を拒否する(通信ポートの番号「5060」に係わるパケットを受信しない)パケットフィルタリングのルールセットを作成する。そして、ルールセット設定部44は、生成したルールセットを通信部11に反映させる(S307)。
【0225】
次に、制御部14CのCCB開放部45は、生成したルールセットの内容と、CCB記憶部eの内容とを比較する。そして、CCB開放部45は、必要に応じてCCBを開放することにより、ルールセットの内容とCCB記憶部eの内容との整合を図る(S308)。
【0226】
次に、ステップS308の処理の詳細について説明する。
【0227】
制御部14CのCCB開放部45は、生成したルールセットの内容を参照しSIPの通信を拒否(つまりルールセットにSIPに係わる設定が含まれていない)ことを識別する。そして、CCB開放部45は、接続処理部13に、SIPに係わるCCBにアクセスするための情報(CCB記憶部eが構築されたメモリ上の先頭アドレス(該当するCCBのヒープ領域の先頭アドレス))を問い合わせる。そして、CCB開放部45は、SIPに係わるCCBを開放(各CCBのヒープ領域のそれぞれを開放)する。接続処理部13はCCBを生成するにあたりCCBのヒープ領域を動的メモリアロケーションの固定サイズブロックアロケーションによって固定サイズのブロックごとをCCBとして生成するから、ブロックの先頭アドレスを取得すれば、メモリ内に存在するブロックの位置を捕捉し、先頭アドレスから始まるブロックを開放すれば1つのCCBを開放できる。
【0228】
なお、制御部14Aで生成されるルールセットについては、上述の第5の実施形態と同様に、それぞれの電話端末20に対する疎通確認結果を反映させた内容としても良く、その場合には、電話端末20ごと、又は、呼ごとにCCBの開放処理が行われることになる。
【0229】
(G−3)第7の実施形態の効果
第7の実施形態によれば、以下のような効果を奏することができる。
【0230】
交換装置10Cでは、CCB開放部45により、生成したルールセットの内容に応じて、疎通確認に失敗した電話端末20の呼に係るCCBを開放することにより、処理量を低減することや、メモリ領域等のリソースを効率的に利用すること等の効果を奏する。
【0231】
また、CCB上では呼状態が通話中にも関わらず、当該電話端末20と交換装置10Cと通信できない場合には、接続処理部13による通常の呼制御処理で、タイムアウトによるセッション終了が発生する場合もある。その場合でも、そのタイムアウト時間より疎通フラグに係る疎通確認の間隔を、短く設定しておけば、CCB開放部45により、そのタイムアウト時間が経過する前に、CCBの開放を行うことができる。
【0232】
さらに、交換装置10Cでは、疎通フラグに係る疎通確認により、それぞれの電話端末20との接続状態を監視し、通信中に疎通確認に失敗した電話端末20に係るCCBをCCB開放部45により開放するので、接続処理部13での上述のタイムアウト制御を省略することができるため、処理量を低減することができる。
【0233】
(H)第8の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第8の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。
【0234】
(H−1)第8の実施形態の構成
以下、第8の実施形態について第6の実施形態との差異を説明する。
【0235】
図19は、第8の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第8の実施形態の通信システム)について示したブロック図である。
【0236】
図19に示す第8の実施形態の通信システムでは、2台の交換装置10D(10D−1、10D−2)が配置されており、この2台の交換装置10D−1、10D−2は、冗長構成となっている。すなわち、交換装置10D−1、10D−2は、いずれか一方が障害等により交換装置として機能しない状態となった場合でも、他方で運用が可能な構成となっている。
【0237】
また、ここでは、それぞれの交換装置10Dは、第6の実施形態とほぼ同様の構成を備えているものとして説明する。それぞれの交換装置10Dは、他の交換装置10Dと連携して冗長構成を実現するための構成(例えば、パケットフィルタのルールセットに係る情報をやりとりする構成等)が追加されている点で、第6の実施形態のものと異なっている。
【0238】
また、第6の実施形態と同様に、第8の実施形態においても、各交換装置10D及び各電話端末20は、独自プロトコルP1に対応しているものとする。
【0239】
第6の実施形態で説明した、交換装置及び交換プログラムは、呼制御のための通信ポートに係わるパケットフィルタのルールセットを生成する際に、交換装置及び交換プログラム自身の運用のために必要な運用管理用通信ポートを含めてパケットフィルタのルールセットを生成して適用するものであった。また、運用管理用通信ポートのうち、ポート番号「11002」の通信ポートは、一般的に、データ同期通信の通信ポートであった。
【0240】
交換装置10D−1と交換装置10D−2との間の冗長構成の具体的な方式については限定されないものであるが、例えば、コールドスタンバイ(cold standby)方式、ホットスタンバイ(hot standby)方式、ウォームスタンバイ(warm standby)方式等の方式をとりえる。コールドスタンバイ方式としては、例えば、運用系の装置を動作させている間、待機系の装置は動作させずに待機状態にしておき、運用系に障害が発生した場合に待機系の装置を立ち上げて運用系とする方式が該当する。ウォームスタンバイ方式としては、例えば、待機系については電源を入れて起動した状態にしておき、運用系に障害が発生した場合に、待機系のシステムが運用系に切り替わって動作する方式が該当する。ホットスタンバイ方式としては、例えば、待機系の装置も常に立ち上げておき、運用系の装置とデータの同期などを絶えず行った状態にしておき、運用系の装置に障害が発生した場合には、即時に待機系の装置が運用系に切り替わって動作する方式が該当する。
【0241】
ここでは、交換装置10D−1、10D−2は、上述のホットスタンバイ方式の冗長構成となっているものとして説明する。また、交換装置10Dが切り替わった場合には、電話端末20からのアクセス先も変更する必要があるが、この切替え方式については限定されないものであり、例えば、既存の仮想IPアドレスを用いた方式や、電話端末20側で各交換装置10Dに優先順位を付けて順番にアクセスする方式等の、既存の種々の方式を適用することができる。
【0242】
交換装置10D−1と交換装置10D−2との間では、運用系や待機系の決定等の冗長構成を運用するための通信(以下、「デュプレックスシステム通信」という)を互いに行う。この実施形態において、この通信は、通信ポート「11001〜11003」のいずれかを用いて行われるものとする。したがって、それぞれの交換装置10Dでは、タイミング同期信号通信、データ同期通信、通話路確認通信に加えて、デュプレックスシステム通信も行われることになるため、このデュプレックスシステム通信に用いられる通信ポートについても通信可能な設定となっている。
【0243】
なお、交換装置10Dが切り替わった場合には、切替え元の交換装置10Dが電話端末20と保持していたセッションを、切替え先の交換装置10Dへ引き継ぐことが、通信システムのサービス上好ましいが、このセッション引継ぎの方式についても、既存の冗長化された交換装置と同様の処理を適用することができる。この場合、セッション引継ぎに必要なデータの同期について、デュプレックスシステム通信を用いて行うようにしても良い。
【0244】
次に、各交換装置10Dの内部構成について説明する。ここでは、交換装置10D−1、10D−2は、同じ構成であるものとして説明する。
【0245】
図20は、交換装置10Dの機能的構成について示したブロック図である。
【0246】
交換装置10Dでは、制御部14が制御部14Dに置き換わっている点で、第6の実施形態と異なっている。
【0247】
制御部14Dは、第6の実施形態の制御部14とほぼ同様のものであるが、他の交換装置10Dとのあいだで、デュプレックスシステム通信を行う点等、他の交換装置10Dと連携して冗長構成を実現するための処理(装置内の各構成要素に対する制御処理を含む)を行う構成が追加されている点で異なっている。
【0248】
図21は、制御部14Dの内部の機能的構成について示したブロック図である。
【0249】
図21に示すように、制御部14Dでは、冗長構成制御部45が追加されている点で、第6の実施形態と異なっている。この冗長構成制御部45が、制御部14Dにおいて、他の交換装置10Dと連携する等、冗長構成を実現するための処理を行う機能を担っている。
【0250】
次に、交換装置10D−1、10D−2の間(交換装置10D−1の制御部14Dと、10D−2の制御部14Dとの間)で行われる冗長構成に係る処理の概要について説明する。
【0251】
交換装置10D−1と交換装置10D−2とは、デュプレックスシステム通信等を利用して、互いに運用系か待機系かを決定(以下、「冗長構成制御」という)するものとする。交換装置10D−1と交換装置10D−2との間で、いずれを運用系又は待機系と決定するかの処理(アルゴリズム)については限定されないものであるが、例えば、既存のサーバ装置やネットワーク装置における冗長構成と同様の処理を適用することができる。例えば、交換装置10Dごとに優先順位を付与しておき、優先順位の高い交換装置10Dが、優先的に待機系又は運用系のいずれかの状態(動作モード)となることを決定して、他の交換装置10Dに通知し、その通知を受けた交換装置10Dはその通知内容に従って自装置の状態(運用系又は待機系)を決定するようにしても良い。また、交換装置10Dは、ネットワーク障害等により、他の交換装置10Dとデュプレックスシステム通信ができない場合には、予め自装置に設定された内容に応じて、自装置の状態(運用系又は待機系)を決定するようにしても良い。
【0252】
なお、冗長構成制御部45に、予め同じ冗長構成のシステムを構成する交換装置10Dの識別情報(IPアドレス等)を設定し、デュプレックスシステム通信する際には、その識別情報を用いて通信するようにしても良い。
【0253】
例えば、交換装置10D(制御部14D)は、自装置が運用系のとき、冗長構成制御(デュプレックスシステム通信)により、自装置を待機系とする旨が決定された場合、自装置を運用系から待機系に切り替える制御を行う。また、交換装置10D(制御部14D)は、自装置が運用系のとき、冗長構成制御により自装置を運用系にする旨が決定された場合、運用系を維持する。
【0254】
また、交換装置10D(制御部14D)は、自装置が待機系のとき、冗長構成制御(デュプレックスシステム通信)により、自装置を運用系にする旨が決定された場合には、自装置を待機系から運用系に切り替える制御を行う。また、交換装置10D(制御部14D)は、自装置が待機系のとき、冗長構成制御により待機系にする旨が決定された場合には、待機系を維持する。
【0255】
さらに、交換装置10D(制御部14D)は、自装置の状態(運用系または待機系)に応じて、他の交換装置10Dとのデュプレックスシステム通信により、パケットフィルタのルールセットに係る情報のやりとり(以下、「冗長構成パケットフィルタルール制御」という)を行う。具体的には、交換装置10D(制御部14D)は、自装置が運用系のとき、パケットフィルタリング処理のルールセット生成設定を行うと、続いて、自装置に設定したパケットフィルタリング処理のルールセット(少なくとも新たに更新された部分のデータを含む)と同様の内容を、デュプレックスシステム通信により、待機系の交換装置10Dに対し通知する処理を行う。
【0256】
また、交換装置10D(制御部14D)は、自装置が待機系のとき、他の交換装置10Dからパケットフィルタリング処理のルールセットの通知を受けると、通知されたパケットフィルタリング処理のルールセットを自装置に対し設定する処理を行う。
【0257】
図22は、交換装置10Dの状態(起動直後、運用系の場合、待機系の場合)ごとの各構成要素の動作状態の例について示した説明図である。
【0258】
まず、交換装置14Dの起動直後の動作状態について説明する。
【0259】
交換装置14Dは起動直後において、図22に示すように、接続処理部13を「活性状態」、局データ読込み部41を「活性状態」、通信ポート調査部42を「活性状態」、ルールセット生成部43を「活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」にそれぞれ保つものとする。この状態で、接続処理部13は局データを読み込み、局データ読込み部41は接続処理部13が読み込んだ局データのうち疎通フラグが「1」の電話端末20ごとに、対応するVoIPの通信プロトコルの種類の情報を取得する。そして、通信ポート調査部42は、局データ読込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成し、ルールセット設定部44はルールセット生成部43が生成したルールセットを通信部11に設定できるようになる。つまり、交換装置14Dは、起動すると、少なくとも呼処理(呼制御)とパケットフィルタのルールセットの生成と設定を行う。
【0260】
交換装置14Dは起動直後の状態から、デュプレックスシステム通信(冗長構成制御部45による冗長構成制御)に基づき、運用系または待機系の状態に移行する。
【0261】
次に、交換装置14Dが起動した後、運用系として動作する場合の状態について説明する。
【0262】
交換装置14Dは運用系に移行すると、図22に示すように、接続処理部13を「活性状態」、局データ読込み部41を「活性状態」、通信ポート調査部42を「活性状態」、ルールセット生成部43を「活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」に制御するものとする。このとき、交換装置14Dは、呼処理(呼制御)と、パケットフィルタのルールセットの生成及び設定を行う。さらに、交換装置14Dは、生成したパケットフィルタのルールセットをデュプレックスシステム通信により、他の交換装置14Dに通知する。
【0263】
具体的には、運用系として動作する交換装置14Dにおいて、接続処理部13は局データを読み込み、局データ読込み部41は接続処理部13が読み込んだ局データのうち疎通フラグが「1」の電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を取得する。そして、通信ポート調査部42は、局データ読込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成する。そして、ルールセット設定部44は、ルールセット生成部43が生成したルールセットを通信部11に設定できるようになる。冗長構成制御部45は、ルールセット生成部43が生成したルールセットを、デュプレックスシステム通信により待機系の冗長構成制御部45に通知する。
【0264】
運用系として動作している交換装置14Dの冗長構成制御部45は、デュプレックスシステム通信により、待機系への切り替えが決定すると、制御部14Dに対し、待機系への移行を依頼する。制御部14Dは、待機系への移行の依頼を受けると活性状態の接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43を不活性状態とし、当該交換装置14Dは運用形から待機系に移行する。
【0265】
次に、交換装置14Dが起動した後、待機系として動作する場合の状態について説明する。
【0266】
交換装置14Dは待機系に移行すると、図22に示すように、接続処理部13を「不活性状態」、局データ読込み部41を「不活性状態」、通信ポート調査部42を「不活性状態」、ルールセット生成部43を「不活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」に制御する。このとき、交換装置14Dは、呼処理(呼制御)とパケットフィルタのルールセットの生成を行わない。ただし、交換装置14Dは、デュプレックスシステム通信により通知されるパケットフィルタのルールセットの設定は行う。
【0267】
具体的には、待機系として動作する交換装置14Dにおいて、接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43は機能しない。ただし、待機系の交換装置14Dでは、ルールセット設定部44は活性しているため、パケットフィルタのルールセットを通信部11に設定することはできる。待機系の交換装置14Dにおいて、冗長構成制御部45は、他の運用系の交換装置14Dからデュプレックスシステム通信によりパケットフィルタのルールセットを通知されると、パケットフィルタのルールセットをルールセット設定部44に与え設定を促す。
【0268】
待機系の交換装置14Dにおいて、冗長構成制御部45は、デュプレックスシステム通信により、運用系への切り替えが決定すると、制御部14Dに対し運用系への移行を依頼する。待機系の交換装置14Dにおいて、制御部14Dは、運用系への移行の依頼を受けると不活性状態の接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43を活性状態とし、待機系の交換装置14Dは運用系の交換装置10Dに移行する。
【0269】
(H−2)第8の実施形態の動作
次に、以上のような構成を有する第8の実施形態の通信システムにおける交換装置10D−1、10D−2の動作を説明する。
【0270】
(H−2−1)起動及び冗長構成
ここでは、まず、交換装置10D−1、10D−2が起動して冗長構成となる動作について説明する。
【0271】
図23は、交換装置10D−1、10D−2が起動して冗長構成となるまでの動作の例について示したフローチャートである。
【0272】
図23のフローチャートの処理以前の状態として、交換装置10D−1の電源オン(ON)の状態であるものとし、交換装置10D−2が電源オフ(OFF)の状態であるものとする。また、交換装置10D−2はネットワークNとの接続経路が断たれた状態(例えばネットワークケーブルが抜かれた状態等)であるものとする。
【0273】
また、図23のフローチャートの処理以前の前提として、システム管理者等により、番号計画が行われ、交換装置に対する局データ、通信ポートデータ(「通信プロトコル種類」、「通信ポート」)、電話のサービスを提供するプログラム等が、予め生成されているものとする。なお、上述の局データ、通信ポートデータ等は、第6の実施形態と同様の形式のものを適用することができる。
【0274】
そして、次に、システム管理者等により、上述の予め生成された局データ、通信ポートデータ等(電話サービスを提供するための処理プログラムを含むようにしても良い)が、交換装置10D−1に対し設定(インストール等)されたものとする(S401)。
【0275】
次に、交換装置10D−1では、第6の実施形態と同様に、パケットフィルタの設定が行われたものとする(S402)。
【0276】
次に、交換装置10Dは、冗長構成の対向装置である交換装置10D−2に、デュプレックスシステム通信を試みる(S403)。
【0277】
しかしながら、この時点では、交換装置10D−1では、対向の交換装置10D−2と通信できないため、当然デュプレックスシステム通信を行うこともできず、自装置に予め設定されたプログラムに従って、起動初期は単独で運用系で動作する(シングル構成)と決定したものとする。そして、交換装置10D−1は、その決定に従って、運用系での動作を開始したものとする(S404)。すなわち、ここでは、各交換装置10D−1には、起動直後に交換装置10D−2と通信できない場合には、単独で自装置を運用系として動作させると決定する旨がプログラミングされているものとする(デュプレックスシステム通信不可の場合には無条件で運用系として動作するようにプログラミングしても良い)。そして、交換装置10D−1は、上述のステップS403で開始したデュプレックスシステム通信(冗長構成制御部の冗長構成制御)を、定期的に試みつつ自装置を運用系として動作させ、通信システムの運用を行う。なお、交換装置10D−1が通信システムの運用を行うとは、接続処理部13の処理と、制御部14の処理を開始していることを示すものとする。
【0278】
そして、その後、システム管理者により、交換装置10D−2に対し電源オン(ON)の操作が行われ、交換装置10D−1に対して設定(インストール等)された局データ、通信ポートデータ等が、交換装置10D−2にも設定されたものとする(S405)。
【0279】
次に、交換装置10D−2は、第6の実施形態の交換装置と同様にパケットフィルタの設定を行う(S406)。
【0280】
次に、交換装置10D−2は、冗長構成の対向装置である交換装置10D−1に、デュプレックスシステム通信を行い、冗長構成への移行を試みる(S407)。
【0281】
しかしながら、この時点において、交換装置10D−2では、対向の交換装置10D−1と通信できない(ネットワークNとの接続経路が断たれた状態である)ため、デュプレックスシステム通信を行うこともできず、自装置に予めに設定されたプログラムに従って、起動初期は単独で待機系で動作する(シングル構成)と決定したものとする。そして、交換装置10D−2は、その決定に従って、待機系での動作を開始したものとする(S408)。すなわち、ここでは、各交換装置10D−2には、起動初期において交換装置10D−1と通信できない場合には、単独で自装置を待機系として動作させると決定する旨がプログラミングされているものとする。
【0282】
そして、交換装置10D−2は、上述のステップS407で開始したデュプレックスシステム通信(冗長構成制御部の冗長構成制御)を、定期的に試みつつ自装置を待機系として動作させ、通信システムの運用に向け待機する。なお、交換装置10D−2が電話システムの運用に向け待機するとは、交換装置10D−2の接続処理部13の処理と、制御部14Dの処理を停止(パケットフィルタリング処理のルールセット生成設定を停止)していることを示すものであるものとする。具体的には、交換装置10D−2は、上述の通り、通信システムの運用に向け待機しているあいだ、少なくともルールセット生成部43を非活性状態にする。つまり、待機系に設定された交換装置10D−2は、起動後に一度パケットフィルタリング処理のルールセット生成設定を行うが、この時点では、交換装置10D−1とデュプレックスシステム通信できないため、パケットフィルタリング処理のルールセット設定ができないまま待機していることになる。なお、待機系に設定された交換装置10D−2において、対向の交換装置10D−1とデュプレックスシステム通信できない間は、さらにルールセット設定部44を非活性状態に制御して、完全にパケットフィルタリング処理のルールセット設定を停止して待機するようにしても良い。
【0283】
そして、その後、システム管理者により、待機系で動作している交換装置10D−2がネットワークNに接続されたものとする。そして、交換装置10D−1と交換装置10D−2との間では、デュプレックスシステム通信での相互通信が開始される(S409)。
【0284】
交換装置10D−1と交換装置10D−2とは、デュプレックスシステム通信のやりとりにより対向装置が運用系か待機系かを把握する。この場合、交換装置10D−1が運用系、交換装置10D−2が待機系として冗長構成を構成するよう設定されていることから、交換装置10Dは運用系を維持するため交換装置10D−2に待機系に移行する旨を与え、交換装置10D−2は待機系に移行する旨を受けることで待機系を維持するものとする。
【0285】
以上のように、この実施形態の通信システムでは、交換装置10D−1、10D−2を起動して通信システムの運用を開始可能な状態とする処理(局建て)を行う。
【0286】
図24は、交換装置10Dの動作の詳細について示したシーケンス図である。
【0287】
図24では、まず、交換装置10D−1が運用系のときのパケットフィルタリング処理のルールセット生成設定し、その後、交換装置10D−1が待機系に切り替わり、交換装置10D−2から通知されたパケットフィルタリング処理のルールセット設定をする場合について示している。
【0288】
まず、図24のシーケンス図の処理の前において、交換装置10D−1が運用系、交換機10D−2が待機系として動作し、冗長構成が組まれているものとする(すなわち、上述の図23のシーケンス図の処理が終了した状態)。さらに、交換装置10D−1、10D−2の冗長構成にて通信システムの運用を、開始しているものとする。
【0289】
まず、交換装置10D−1と交換装置10D−2との間では、運用のために必要な通信である、タイミング同期信号通信、データ同期通信、通話路確認通信、デュプレックスシステム通信が相互に周期的に行われているものとする(S501)。これら、通信により、待機系の交換装置10D−2では、運用系の交換装置10D−1から送られてくるパケットフィルタリング処理のルールセットに基づき自装置の設定を更新するようになる。
【0290】
なお、運用系の交換装置10Dから待機系の交換装置10Dに対してパケットフィルタリング処理のルールセットを送信する際に、次に運用系に移行する際に必要となる他のデータも含めたデータ(例えば、局ファイル)として送信するようにしても良い。局ファイルとしては、パケットフィルタリング処理のルールセットに加えて、例えば、通信システムにおいてサービスを提供するプログラム、収容する電話端末の情報、局データ記憶部12aの更新内容、通信ポートデータ記憶部12bの更新内容、及び接続処理部13の更新内容等を含むようにしても良い。
【0291】
そして、ネットワークNには、独自プロトコルP1に対応した電話端末20が含まれている。したがって、交換装置10D−1では、第1の実施形態および第6の実施形態のS101〜S105の処理に基づき、制御部14Dにより、独自プロトコルP1「10001〜10003」のポートに加えて、運用管理用通信ポート「22、11001〜11003」のポートについて通信許可する内容のパケットフィルタのルールセットが生成され設定される(S502)。
【0292】
このとき、交換装置10D−1は、運用系として動作していることから、自装置に設定したパケットフィルタリング処理のルールセットを交換装置10D−2に対し通知する(S503)。ステップS502の通知は、交換装置10D−1から交換装置10D−2に対するデュプレックスシステム通信を用いて通知される。そして、交換装置10D−2は、通知されたパケットフィルタリング処理のルールセットを自装置に対する設定に用いる。
【0293】
そして、その後、交換装置10D−1は、デュプレックスシステム通信により待機系に移行すると決定し、運用系から待機系に切り替わったものとする(S504)。交換装置10D−1は、待機系に移行したことで、デュプレックスシステム通信等により運用系に移行すると決定するまで、待機系を維持する。
【0294】
そして、交換装置10D−1が待機系に移行した後、交換装置10D−2から最新のパケットフィルタリング処理のルールセットの通知を受けると(S505)、通知されたパケットフィルタリング処理のルールセットを自装置に対し設定する処理を行う(S506)。
【0295】
そしてその後、交換装置10D−1は、デュプレックスシステム通信により運用系に移行すると決定すると、待機系から運用系に切り替わる(S507)。交換装置10D−1は、運用系に移行したことで、デュプレックスシステム通信により待機系に移行すると決定するまで、運用系を維持する。
【0296】
ここで、交換装置10D−1は、運用系に移行したことで、運用系としての処理を開始する。つまり、運用系の交換装置10D−1は、待機系であるときに更新したルールセットで、通信システムの運用を開始する。したがって、交換装置10D−1は、最新のルールセットが設定された状態で処理が開始できることになる。
【0297】
(H−3)第8の実施形態の効果
第8の実施形態によれば、以下のような効果を奏することができる。
【0298】
第8の実施形態では、交換装置14Dは、起動直後にパケットフィルタの生成・設定を行ってセキュリティを確保することができる。
【0299】
また、交換装置14Dは、待機系又は起動直後の状態から運用系に移行するとき、移行前(起動直後または待機系のとき)に設定されたパケットフィルタのルールセットで動作する。すなわち、交換装置14Dは、運用系に移行当初から、最新のルールセットによりセキュリティを確保した状態で動作することができる。言い換えると、交換装置14Dは、運用系に移行するときに、パケットフィルタリング処理のルールセット生成設定にかかわるタイムラグなく移行することができる。
【0300】
さらに、交換装置14Dは、運用系又は起動直後の状態から待機系に移行しても、移行前(起動直後、運用系のとき)に設定されたパケットフィルタのルールセットで動作してセキュリティを確保した状態を維持する。また、交換装置14Dは、待機系への移行後も、運用系の交換装置14Dから供給される最新のパケットフィルタのルールセットで、セキュリティを確保した状態を継続するめ、常にセキュリティを確保しつつ、利便性を向上させることができる。
【0301】
(I)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0302】
(I−1)第3の実施形態では、交換装置がセキュリティ処理部を備えているが、省略するようにしても良い。その場合、テンプレートファイル記憶部には、外部のネットワーク装置(ファイアーウォール装置)のテンプレートだけを記憶するようにしても良い。
【0303】
また、第4の実施形態の通信ポートの型に応じたパケットフィルタリングのルールセットを生成する構成については、第1の実施形態以外の各実施形態に適用するようにしても良い。
【0304】
さらに、第5の実施形態で、疎通確認が失敗した電話端末の接続処理を規制する構成については、第1の実施形態以外の各実施形態に適用するようにしても良い。
【0305】
さらにまた、第6の実施形態において、運用管理用通信ポートに関するパケットフィルタリングのルールセットを生成する構成を、第1の実施形態以外の各実施形態に適用するようにしても良い。
【0306】
また、第7の実施形態で、ルールセットの内容に応じてCCBの開放を行う構成について、第1の実施形態以外の各実施形態に適用するようにしても良い。
【0307】
(I−2)上記の各実施形態では、本発明の通信制御装置を交換装置に適用した例について説明したが、呼制御装置に適用するようにしても良い。
【0308】
上記の各実施形態の通信制御装置は、独自プロトコルP1を用いる場合に、メディアデータ(音声データ)の中継を行うため、「交換装置」と呼んでいたが、SIP等メディアデータ(音声データ)を電話端末同士で直接(又はメディアゲートウェイを介して)通信するプロトコルだけに対応する場合には、その通信制御装置は、呼制御処理のみを行うことになる。すなわち、例えば、本発明の通信制御装置が、SIP等のメディアデータ(音声データ)を電話端末同士で直接(又はメディアゲートウェイを介して)通信するプロトコルだけに対応する場合には、その通信制御装置は、呼制御処理のみを行うため、呼制御装置と呼ばれることになる。
【0309】
したがって、本明細書では、通信制御装置とは、呼制御装置及び交換装置の両方を含む概念であるものとする。
【0310】
(I−3)上記の各実施形態では、本発明の交換装置に接続(収容)する通信装置は、電話端末であるものとして説明したが、その他の通信装置であっても良い。例えば、本発明の交換装置に接続(収容)するものは、他の交換装置(例えば、IP−PBX等)や呼制御装置等の通信装置であっても良い。
【0311】
(I−4)第8の実施形態では、第6の実施形態の交換装置を冗長化する構成について示したが、同様に、その他の実施形態の交換装置(第1〜第5及び第7の実施形態の交換装置)について冗長化した構成とするようにしても良い。具体的には、第8の実施形態の冗長構成制御部と同様のものを、他の実施形態の交換装置に追加し、冗長化構成に必要な処理(デュプレックスシステム通信等)を行うことが可能な構成とするようにしても良い。
【0312】
(I−5)第8の実施形態では、2台の交換装置による冗長構成について説明しているが、3台以上の冗長構成としても良い。3台以上の交換装置を配置した場合には、1台の交換装置を運用系として動作させ、その他の交換装置については待機系として動作させるようにしても良い。この場合、デュプレックスシステム通信については、それぞれの交換装置間で相互に行い、いずれかの交換装置を運用系と決定(決定するためのアルゴリズム等は限定されないものである)するようにしても良い。また、この場合、運用系として動作している交換装置は、すべての待機系の交換装置にルールセット等を通知して設定させるようにしても良い。
【符号の説明】
【0313】
10…交換装置、11…通信部、12…データ記憶部、12a…局データ記憶部、12b…通信ポートデータ記憶部、13…接続処理部、14…制御部、…ネットワークN、20、20−1、20−2…電話端末。
【技術分野】
【0001】
本発明は、通信制御装置及びプログラム、並びに、通信システムに関し、例えば、VoIP(Voice over IP)通信を行うVoIP電話通信システムに適用し得る。
【背景技術】
【0002】
IP電話通信システムでは、IPネットワーク上に配置された複数の電話端末と、電話端末あいだの接続処理をする交換装置等の通信制御装置を備えて、それぞれの電話端末の間および電話端末と交換装置とのあいだをTCP/IP(Transmission Control Protocol/IP)、UDP/IP(User Datagram Protocol/IP)等で接続し通信できるようにしている。例えば、第1の電話端末が、第2の電話端末に接続するための接続要求を交換装置に送信すると、交換装置は第1の電話端末と第2の電話端末との間の接続処理をし、電話端末の間で通話が確立すると音声情報の送受をして通話状態にさせるものである。
【0003】
IP電話通信システムでは、IETF(Interne Engineering Task Force)で策定されたSIP(Session Initiation Protocol)およびITU−T(International Telecommunication Union−Telecommunication sector)で策定されたH.323などのVoIP技術を利用して電話のサービスを形成されることが多い。
【0004】
例えば、SIPを利用する場合、交換装置にSIPに基づく接続要求で呼処理をする呼処理部を含ませ、電話端末と交換装置の通信プロトコルスタックにSIPの通信プロトコルを含ませる。こうすることで電話端末と交換装置とはSIPに基づく接続要求により通信が可能となる。
【0005】
また、交換装置にSIPおよびH.323に基づく接続要求で呼処理をする呼処理部を含ませ、さらに交換装置の通信プロトコルスタックにSIPおよびH.323の複数の通信プロトコルを含ませることで、複数のVoIPの通信プロトコルに対応する交換装置とすることができる。
【0006】
SIPの詳細はRFC3261などで規定されており、クライアント(電話端末)は接続したい相手の識別子(電話番号)を含むSIPリクエスト(SIPに基づく接続要求の呼制御情報)を、サーバー(交換装置)のネットワークレイヤ(Network layer)のIPアドレスおよびトランスポートレイヤ(Transport layer)のSIPのための通信ポートの番号を含めて送信するとしている。
【0007】
したがって、第1の電話端末が、第2の電話端末に接続するためのSIPに基づく接続要求を、交換装置のIPアドレスおよびSIPのための通信ポートの番号を含めて送信すると、交換装置はSIPのための通信ポートで受信した接続要求に基づいて電話端末のあいだの接続処理をし、電話端末のあいだで通話が確立して音声情報の送受をして通話する。
【0008】
ところで、IPに基づく接続において、DoS(Denial of Service)攻撃やセキュリティーホールに対する攻撃等の不正アクセスに関するセキュリティ問題が存在する。
【0009】
このセキュリティ問題を解決する一つの手段として、パケットフィルタリングの技術がある。
【0010】
特許文献1にはプロトコル、ソースアドレス(送信元アドレス)、デスティネーッションアドレス(送信元アドレス)、ソースポート(送信元ポート)、デスティネーッションポート(送信先ポート)およびアクションを含めた複数のルールセットを予め記憶しておき、このルールセットに基づいてパケットの流入出の許可もしくは拒否の処理をし、パケットフィルタのパフォーマンスを改善するようにルールセットを自動的に再配列する方法が提案されている。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2000−174808号公報
【発明の概要】
【発明が解決しようとする課題】
【0012】
しかしながら、SIPやH.323等の複数のVoIPの通信プロトコルに対応する交換装置等に、特許文献1の方法を適用した場合には、その交換装置が収容する電話端末では用いられないVoIPの通信プロトコルについても、パケットフィルタリングで通信を許可することになってしまう。
【0013】
具体的には、複数のVoIPの通信プロトコルに対応する交換装置に、SIPおよびH.323に関わる通信ポートはパケットの流入出を許可するルールセットのパケットフィルタリングを設けた場合、この交換装置の配下にSIPに対応する電話端末のみ存在するときH.323の通信ポートは不必要な通信ポートであるのにパケットフィルタリングで拒否されず、適切にパケットフィルタリングが行われない。したがって、この場合、特許文献1の記載技術を適用した交換装置では、H.323の通信プロトコルを悪用した不正アクセスの脅威にさらされることになる。
【0014】
一方、複数のVoIPの通信プロトコルに対応する交換装置に、SIPに関わる通信ポートはパケットの流入出を許可しH.323に関わる通信ポートはパケットの流入出を拒否するルールセットのパケットフィルタリングを設けた場合、この交換装置の配下にSIPに対応する電話端末のみ存在するとき不要なH.323の通信ポートがパケットフィルタリングで拒否されるが、電話端末追加や電話端末機種変更などが生じてH.323に対応する電話端末がこのIP−PBXの配下に存在するようになるとき、H.323の通信ポートは必要な通信ポートであるのにパケットフィルタリングで拒否され、適切にパケットフィルタリングが行われない。
【0015】
したがって、このIP−PBXがH.323のプロトコルの接続に関する処理が行えずIP電話システムの利便性が低下することになる。
【0016】
つまり、特許文献1の方法は、複数のルールセットを予め記憶しておき、このルールセットに基づいてパケットの流入出の許可もしくは拒否の処理をし、パケットフィルタのパフォーマンスを改善するようにルールセットを自動的に再配列しているに過ぎず、特許文献1の方法を適用した通信装置等では、接するネットワーク環境に応じて適切なパケットフィルタリングのルールセットを生成しフィルタ処理を実施できない。
【0017】
そのため、セキュリティを確保しつつ、利便性を向上させることができる通信制御装置及びプログラム、並びに、通信システムが望まれている。
【課題を解決するための手段】
【0018】
第1の本発明は、IP通信を行う通信装置間の通信制御をする通信制御装置において、(1)通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、(2)通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、(3)少なくとも、上記通信装置情報記憶手段に記憶されている情報と、上記疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、(4)上記ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と備えることを特徴とする。
【0019】
第2の本発明の通信制御プログラムは、(1)IP通信を行う通信装置間の通信制御をする通信制御装置に搭載されたコンピュータを、(2)通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、(3)通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、(4)少なくとも、上記通信装置情報記憶手段に記憶されている情報と、上記疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、(5)上記ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段として機能させることを特徴とする。
【0020】
第3の本発明は、IP通信を行う通信装置間の通信制御をする通信制御装置を1又は複数備える通信システムにおいて、上記通信制御装置として、第1の本発明の通信制御装置を適用したことを特徴とする通信システム。
【発明の効果】
【0021】
本発明によれば、セキュリティを確保しつつ、利便性を向上させることができる通信制御装置、並びに、通信システムを提供することができる。
【図面の簡単な説明】
【0022】
【図1】第1の実施形態に関係する各種装置の接続関係など(第1の実施形態の通信システム)について示したブロック図である。
【図2】第1の実施形態に係る局データ記憶部が記憶するデータの内容について示した説明図である。
【図3】第1の実施形態に係る通信ポートデータ記憶部に記憶するデータの内容について示した説明図である。
【図4】第1の実施形態に係る制御部の機能的構成を示したブロック図である。
【図5】第1の実施形態に係る交換装置の動作を示したフローチャートである。
【図6】第2の実施形態に関係する各種装置の接続関係など(第2の実施形態の通信システム)について示したブロック図である。
【図7】第2の実施形態に係るテンプレートファイル記憶部の内容例について示したブロック図である。
【図8】第3の実施形態に関係する各種装置の接続関係など(第3の実施形態の通信システム)について示したブロック図である。
【図9】第3の実施形態に係るテンプレートファイル記憶部で記憶されている内容の例について示したブロック図である。
【図10】第3の実施形態に係る命令記憶部で記憶する内容の例について示した説明図である。
【図11】第4の実施形態に係る通信ポートデータ記憶部の内容例について示した説明図である。
【図12】第6の実施形態に係るポートデータ記憶部に記憶する内容の例について示した説明図である。
【図13】第7の実施形態に関係する各種装置の接続関係など(第7の実施形態の通信システム)について示したブロック図である。
【図14】第7の実施形態に係るCCB記憶部に記憶されるCCBの内容例(1)について示した説明図である。
【図15】第7の実施形態に係る制御部の機能的構成を示したブロック図である。
【図16】第7の実施形態に係る交換装置のパケットフィルタ処理の動作を示したフローチャートである。
【図17】第7の実施形態に係る交換装置のCCB開放の動作の詳細について示したシーケンス図である。
【図18】第7の実施形態に係るCCB記憶部に記憶されるCCBの内容例(2)について示した説明図である。
【図19】第8の実施形態に関係する各種装置の接続関係など(第8の実施形態の通信システム)について示したブロック図である。
【図20】第8の実施形態に係る交換装置の機能的構成について示したブロック図である。
【図21】第8の実施形態に係る制御部の機能的構成について示したブロック図である。
【図22】第8の実施形態に係る交換装置の状態ごとの制御内容について示した説明図である。
【図23】第8の実施形態に係る交換装置が起動して冗長構成が組まれるまでの動作について示したシーケンス図である。
【図24】第8の実施形態に係る交換装置の動作について示したシーケンス図である。
【発明を実施するための形態】
【0023】
(A)第1の実施形態
以下、本発明による通信制御装置及びプログラム、並びに、通信システムの第1の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。
【0024】
(A−1)第1の実施形態の構成
(A−1−1)全体構成について
図1は、第1の実施形態に関係する各種装置の接続関係など(第1の実施形態の通信システム)について示したブロック図である。
【0025】
交換装置10は、VoIPに対応した電話端末へ電話交換のサービスを提供する交換装置であり、例えば、IP−PBXやソフトスイッチ等が該当する。また、交換装置10は、電話の接続に係わる処理部を有していれば、スイッチやルータ等の中継装置であってもよいし、パソコン等の通信装置であってもよい。
【0026】
そして、交換装置10は、ネットワークNに接続しており、ネットワークNを介して、電話端末20(20−1、20−2)と通信し、電話端末20に対してサービスを提供する。
【0027】
ネットワークNは通信を行うノードのあいだを接続する網であり、PSTN(各ノードがPSTNを介してIP通信可能なモデム等を備えている必要がある)や広域イーサーネット網や専用線網やIP網(例えば、インターネット等)等が適用できる。ここでは、ネットワークNはIP網として説明する。
【0028】
第1の実施形態においては、例として、交換装置10は通信プロトコルスタックにSIP、H.323および独自の通信プロトコル(以下、「独自プロトコル」という)を含み、SIP、H.323および独自の複数のVoIPの通信プロトコルに対応するIP−PBXとして説明する。ここで、独自の通信プロトコルとは、例えば、個人や開発会社などが独自に制定した標準的ではないVoIPの通信プロトコルを指すものとする。なお、以下において、交換装置10が対応する独自プロトコルの一つを「独自プロトコルP1」と呼ぶものとする。独自プロトコルP1は、SIP、H.323のようなシグナリングプロトコル(Signaling Protocol)とは異なり、メディアデータ(音声データ)の中継も行うプロトコルである。
【0029】
なお、交換装置10は、SIPに対応した電話端末20間の呼制御をする場合には、SIP信号により電話端末20間の呼制御だけを行うものとする。そして、SIPに対応した電話端末20間では、メディアデータのパケットについては、電話端末20同士で直接送受信するものとする。なお、SIPに対応した電話端末20間では、メディアデータについて図示しないメディアゲートウェイを中継して通信するようにしても良い。また、交換装置10は、H.323に対応した電話端末20間の呼制御をする場合には、SIP同様、H.323信号により電話端末20間の呼制御だけを行うものとする。
【0030】
独自プロトコルP1に対応した電話端末20間の呼制御をする場合には、交換装置10の役割はその独自プロトコルP1の内容に応じたものになる。ここでは、独自プロトコルP1に対応した電話端末20間の呼制御をする場合には、呼制御及びメディアデータの中継も行うものとする。
【0031】
具体的には、交換装置10は、プロセッサやメモリ等のプログラム実施構成及び他の通信装置と通信をするためのインタフェースを有する情報処理装置に、実施形態の交換プログラム等をインストールすることにより構築するようにしても良い。その場合でも、交換装置10の機能的構成は、図1のように示すことができる。
【0032】
この実施形態の交換プログラムには、SIP、H.323および独自のそれぞれに対応する電話のサービスを提供する1つまたは複数のプログラムを含んでおり、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化し、電話のサービスの提供を開始する。サービスを提供するプログラムとは、例えば、UNIX(登録商標)OS上では、デーモン(daemon)に相当し、マイクロソフト(登録商標)社のWindows(登録商標)上では、Windowsサービスに相当する。
【0033】
交換装置10は、IPインタフェースを有して、ネットワークNに接続し、電話端末20とVoIPの通信プロトコルに基づく呼制御情報の送受信をし、この呼制御情報に基づき電話端末の間の接続処理を行う。
【0034】
また、交換装置10は、呼制御情報の受信をするときにパケットフィルタリングの処理をし、通信許可(呼制御情報等を有するパケットの受信を許可する)または通信拒否(呼制御情報等を有するパケットの受信を拒否する)の処理をする。
【0035】
さらに、交換装置10は、ネットワークN上でのIPアドレスが「192.168.1.11」であるものとする。また、交換装置10では、SIPに用いる通信ポートの番号が「5060」、H.323に用いる通信ポートの番号が「1300」、独自プロトコルP1に用いる通信ポートの番号が「10001〜10003」と設定されているものとする。したがって、交換装置10が含む、SIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムは、上述した通信ポートの番号を利用してトランスポートレイヤで通信を受け付ける。
【0036】
ここで、通信ポートの番号「5060」、「1300」、「10001」は、それぞれSIP、H.323、独自プロトコルP1の呼制御に係わるものである。また、通信ポートの番号「10002〜10003」は独自プロトコルP1のメディアデータに係わるものである。
【0037】
(A−1−2)交換装置の内部構成について
次に、交換装置10の内部構成の詳細について説明する。
【0038】
交換装置10は、通信部11、データ記憶部12、接続処理部13、及び制御部14を有しており、それぞれの構成要素間は内部バスで接続され互いに信号のやりとりをすることができる。
【0039】
また、交換装置10は、図示しない電源回路部を有し商用電源もしくはバッテリーに接続し、さらに、図示しないスイッチ部を有し、このスイッチ部の動作で電源回路部をオン(ON)もしくはオフ(OFF)に設定できるように構成されているものとする。そして、交換装置10を操作する操作者により、そのスイッチ部でオンの設定がなされると、電源回路部から給電が開始され交換装置10が起動する。
【0040】
通信部11はIPネットワークNに接続するインタフェースであり、パケットの送受信をして通信する部分である。ここで、交換装置10は、上述の通りIPアドレスが「192.168.1.11」と設定されていることから、通信部11はIPアドレスが192.168.1.11」に基づきIP通信を行うものとする。
【0041】
また、通信部11はパケットフィルタリングを行う機能を担っており、通信により自ら受信するパケットに関し、設定されたルールセットに基づいて通信許可または通信拒否のパケットフィルタリング処理をする。
【0042】
交換装置10の起動直後において、通信部11は、例えば、自ら受信するパケットのすべてを拒否(all deny)するルールセットでパケットフィルタリング処理をするように設定し、後述する制御部14によりパケットフィルタリング設定がなされると、この設定に基づいてパケットフィルタリング処理をするものとする。
ここで、パケットのすべてを拒否(all deny)とは、ISO(International Organization for Standardization)のOSI参照モデル(Open Systems Interconnection)における第4層のトランスポートレイヤのTCPおよびUDPの通信ポートに関し、通信ポートごとに通信拒否をすることを示す。
【0043】
なお、通信部11は、自ら送信するパケットについてはパケットフィルタリング処理を行わないものとする。また、通信部11は、自らが起点となって形成したセッションに係るパケットについては、受信を許可するパケットフィルタリング処理を行うようにしても良い。
【0044】
したがって、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化し、電話のサービスの提供を開始するが、通信部11は制御部14によりパケットフィルタリング設定がなされるまで受信するパケットのすべてを拒否するため、電話端末20からの接続処理は行われない。
【0045】
例えば、電話端末20−1が、別の電話端末20−2に接続するためのSIPに基づく接続要求のパケットを、交換装置10のIPアドレス「192.168.1.11」およびトランスポートレイヤのSIPのための通信ポート「5060」を含めて送信した場合を想定する。この場合、接続要求のパケットが交換装置10に到達し、通信部11がこのパケットに含まれるトランスポートレイヤのSIPのための通信ポート「5060」を識別し、通信ポート「5060」の番号が設定されたルールセットに含まれているか判断する。そして、ルールセットに含まれている場合は、通信部11は、通信許可のパケットフィルタリング処理により受信してパケットに含まれる通信ポートと接続要求を接続処理部13に与える。一方、交換装置10は、この通信ポートが設定されたルールセットに含まれていない場合は通信拒否(パケット受信拒否)のパケットフィルタリング処理により受信しない(破棄する)。
【0046】
ここで、通信部11のパケットフィルタ処理はISOのOSI参照モデルにおける第4層のトランスポートレイヤのTCPおよびUDPの通信ポートに関し、通信ポートごとに通信許可または通信拒否の処理をするものとして説明する。
【0047】
ここで、OSI参照モデルは、データ通信を実現するためのアーキテクトとして、通信機能を階層的(アプリケーションレイヤ(第7層)、プレゼンテーションレイヤ(第6層)、セッションレイヤ(第5層)、トランスポートレイヤ(第4層)、ネットワークレイヤ(第3層)、データリンクレイヤ(第2層)、物理レイヤ(第1層))に分割している。
【0048】
したがって、交換機10は、OSI参照モデルに対応するため、通信機能を実現するためのプロトコルスタックを含み、このプロトコルスタックにより階層ごとのデータ通信を行いつつ、通信部11において第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行う。
【0049】
データ記憶部12は、交換装置10のパケットフィルタリング等に用いる情報を記憶するものであり、局データ記憶部12aおよび通信ポートデータ記憶部12bを有している。
【0050】
局データ記憶部12aは交換装置10の局条件を設定した局データ(office date)である。
【0051】
図2は、局データ記憶部12aが記憶するデータの内容について示した説明図である。
【0052】
図2において、局データ記憶部12aには、「電話番号」、「IPアドレス」、「電話端末種類」、及び「疎通フラグ」の項目を含む情報が記憶されている。なお、一般的なIP−PBXでは、局データとして、収容総数やトランク種別やテナント番号等を含んでいることがあるが、ここでは、これらの説明は省略する。また、局データ記憶部12aの内容はユーザの操作により適宜に設定・変更が可能であるものとする。
【0053】
「電話番号」は、電話端末20ごとの電話番号である。
【0054】
「IPアドレス」は、電話端末20ごとのIPアドレスである。なお、「IPアドレスは」、ネットワークでノードを決定できるユニークな識別子であればよいため、MAC(Media Access Control)アドレス等の他の識別子に置き換えても良い。なお、IPアドレスは、図2においてはIPv4で示されているが、IPv6等の他の形式であってもよい。
【0055】
「電話端末種類」は、交換装置10が収容する電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を示している。
【0056】
「疎通フラグ」は、交換装置10が収容する電話端末ごとに疎通確認した結果情報である。疎通フラグは「0」もしくは「1」が設定され、「0」は疎通確認に失敗したことを表し、「1」は疎通確認に成功したことを表す。なお、疎通確認の処理は後に説明する接続処理部13により行われ、疎通フラグは接続処理部13により適宜に変更される。
【0057】
局データ記憶部12aは、電話端末20ごとに、電話番号、IPアドレス、電話端末種類および疎通フラグを記憶しており、図2では、1行で1つの電話端末20に係る局データが示されている。例えば、図2の局データのうち、電話番号が「12」の局データ(最上段のデータ)では、IPアドレスが「192.168.1.12」、電話端末種類が「SIP」、疎通フラグが「1」示されている。この局データが示す電話端末20については、電話番号が「12」で、IPアドレスが「192.168.1.12」で、VoIPに用いる通信プロトコルが「SIP」で、「疎通可能」であることを示している。
【0058】
なお、以下では、電話端末20−1については、図2の電話番号が「12」の局データが該当し、電話端末20−2については、図2の電話番号が「13」の局データが該当するものとする。すなわち、電話端末20−1の電話番号は「12」、IPアドレスは「192.168.1.12」、電話端末種類は「SIP」である。また、電話端末20−2の電話番号は「13」、IPアドレスは「192.168.1.13」、電話端末種類は「SIP」である。
【0059】
通信ポートデータ記憶部12bはVoIPの通信プロトコルごとの通信ポートの番号等の情報を記憶している。
【0060】
図3は、通信ポートデータ記憶部12bに記憶するデータの内容について示した説明図である。
【0061】
図3において、通信ポートデータ記憶部12bには、「通信プロトコル種類」、「通信ポート」を含む情報が記憶されている。
【0062】
「通信プロトコル種類」はVoIPの通信プロトコルの種類の情報である。
【0063】
「通信ポート」はVoIPの通信プロトコルごとに利用する通信ポートの番号である。
【0064】
例えば、図3では、通信ポートデータ記憶部12bは、通信プロトコル種類「SIP」に対応する通信ポートを「5060」と記憶しており、通信プロトコル種類が「SIP」の場合は利用する通信ポートの番号「5060」であることを示している。なお、通信ポートデータ記憶部12bの内容はユーザにより適宜に設定・変更が可能である。
【0065】
接続処理部13は通信部11から与えられる接続要求などの呼制御情報に基づき、電話端末20の間の接続処理の呼処理(呼制御)を行う機能を担っている。
【0066】
接続処理部13はSIP、H.323および独自プロトコルP1のVoIPの接続要求に対応して接続処理をする。具体的には、接続処理部13は、交換装置10が含むSIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムにより構成されている。つまり、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化することで接続処理部13が形成されて電話のサービスの提供が開始し、接続処理部13は接続要求などの呼制御情報に基づき電話端末のあいだの接続処理が行える。
【0067】
交換装置10の起動直後において、接続処理部13はデータ記憶部12で記憶する局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理が行えるようになる。
【0068】
さらに、接続処理部13は局データ記憶部12aが設定・変更されるごとに、局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと接続処理を開始するものとする。また、局データ記憶部12aが破損している場合は、接続処理部13は正常に局データ記憶部12aを読み込めないため接続処理は開始しないようにしても良い。局データ記憶部12aの破損とは、例えば、局データ記憶部12aが構築された記憶領域(ファイル等)の破損、局データ記憶部12aが構築された記憶領域の間違い、局データ記憶部12aが構築された記憶領域の情報の欠落などが挙げられる。
【0069】
接続処理部13は接続処理を開始すると読み込んだ局データ記憶部12aを参照して電話端末の間の接続処理を開始する。つまり、接続処理部13は、交換装置10が含むSIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムが活性化することで、接続処理部13が形成されるから、このプログラムがデータ記憶部12で記憶する局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理を開始する。
【0070】
ここで、交換装置10では、上述の通り、SIPに用いる通信ポートの番号が「5060」、H.323に用いる通信ポートの番号が「1300」、独自プロトコルP1に用いる通信ポートの番号が「10001〜10003」と設定されている。そのため、接続処理部13では、SIPに対応する電話のサービスを提供するプログラムは通信ポートの番号が「5060」につづく呼制御情報を処理し、H.323に対応する電話のサービスを提供するプログラムは通信ポートの番号が「1300」につづく呼制御情報を処理し、独自プロトコルP1により独自に対応する電話のサービスを提供するプログラムは通信ポートの番号が「10001〜10003」のいずれかにつづく呼制御情報を処理する。
【0071】
例えば、電話端末20−1が、電話端末20−2に接続するためのSIPに基づく接続要求のパケットを、交換装置10のIPアドレス「192.168.1.11」およびトランスポートレイヤのSIPのための通信ポート「5060」を含めて送信した場合を想定する。この場合、接続要求のパケットが交換装置10に到達し、通信部11が、このパケットに含まれるトランスポートレイヤのSIPに用いる通信ポート「5060」を識別する。そして、通信部11は、通信ポート「5060」の番号が、設定されたルールセットに含まれているか判断し、含まれている場合は通信許可のパケットフィルタリング処理により受信してパケットに含まれる通信ポートと接続要求の情報を接続処理部13に与える。この場合、接続処理部13は、与えられた接続要求に含まれる接続先の電話番号「13」(電話端末20−2)に対応する局データを抽出する。そして、接続処理部13は、接続元の電話番号「12」(電話端末20−1)から接続要求があることをIPアドレス「192.168.1.13」(電話端末20−2)に通知する。そして、電話端末20−2が、交換装置10から通知を受け、接続要求に応じることで、電話端末20−1と電話端末20−2のあいだの通話が確立する。
【0072】
また、接続処理部13は接続処理の準備が整うと、局データ記憶部12aから読み込んだ局データのそれぞれに対応する電話端末20に対して、IPアドレスを利用して周期的な疎通確認を行い、疎通確認に成功した局データの疎通フラグに、疎通確認に成功したことを表す「1」を設定する。一方、接続処理部13は疎通確認に失敗した電話端末20の局データの疎通フラグについては「0」を設定する。なお、局データ記憶部12aにおいて、疎通フラグの初期値は「0」であるものとする。つまり、接続処理部13は、交換装置10が含むSIP、H.323および独自のそれぞれに対応する電話のサービスを提供するプログラムが活性化することで接続処理部13が形成されるから、このプログラムが周期的な疎通確認を行う。
【0073】
交換装置10による電話端末20への疎通確認の具体的な方法は限定されないものであるが、例えば、以下の2つを挙げることができる。なお、第1の実施形態では、後述する第1の疎通確認の方法が適用されているものとする。
【0074】
[第1の方法]
交換装置10による電話端末20への疎通確認の第1の方法は、接続処理部13が、電話端末20のIPアドレスに基づいてpingを用いて周期的に疎通確認する方法である。この場合、接続処理部13は図2に示す、それぞれの局データのIPアドレス(192.168.1.12〜17)に順次にpingを送出し、pingに対する応答を得ることで疎通確認する。
【0075】
なお、pingとはICMP(Internet Control Message Protocol)を利用するもので、OSI参照モデルの第3層による疎通確認方法である。
【0076】
したがって、接続処理部13がping(ICMP)を用いて周期的に疎通確認するとき、通信部11は自ら送信するパケットについてはパケットフィルタリング処理を行わないから疎通確認の信号を送出できる。また、通信部11では、受信するパケットについて第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行い、第3層の疎通確認の信号は受信するように設定して、送信したPingに対する応答(Echo)を受信するようにしても良い。さらに、通信部11に、自らが送信したPingに対する応答(Echo)については、受信拒否をしないように、明示的にパケットフィルタリングの設定をしておくようにしても良い。
【0077】
また、上述の説明で、局データ記憶部12aのIPアドレスがIPv6であってもよいとしたが、この場合、接続処理部13が疎通確認に用いるPingはICMPv6(ICMP for IPv6)を利用するもので、OSI参照モデルの第3層による疎通確認方法となる。
【0078】
[第2の方法]
交換装置10による電話端末20への疎通確認の第2の方法は、接続処理部13が電話端末20のIPアドレスに基づいてARP(Address Resolution Protocol)を用いて周期的に疎通確認する方法である。この場合、接続処理部13は図2のIPアドレス22「192.168.1.12〜17」のそれぞれについて順次にARP要求を送出し、ARP要求に対するARP応答を得ることで疎通確認する。
【0079】
なお、ARPはIPアドレスからMACアドレスの問い合わせと取得をするプロトコルで、OSI参照モデルの第3層によるアドレス解決方法であり、アドレスが解決できるから疎通が確認されることになる。
【0080】
したがって、接続処理部13がARPを用いて周期的に疎通確認するとき、通信部11は自ら送信するパケットについてはパケットフィルタリング処理を行わないから疎通確認の信号を送出できる。また、通信部11では、受信するパケットについて第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行い、第3層の疎通確認の信号は受信するように設定して、送信したARP要求に対する応答を受信するようにしても良い。また、通信部11に、自らが送信したARP要求に対する応答については、通信拒否をしないように、明示的にパケットフィルタリングの設定をしておくようにしても良い。
【0081】
また、上述の局データ記憶部12a(図2)の説明では、IPアドレスの項目は、MACアドレスであってもよいとしたが、この場合、接続処理部13がMACアドレスに基づいてRARP(Reverse Address Resolution Protocol)を用いて周期的に疎通確認するようにしても良い。この場合、接続処理部13は、それぞれの局データのMACアドレスについて、順次にRARP要求を送出し、RARP要求に対するRARP応答を得ることで疎通確認する。なお、RARPはMACアドレスからIPアドレスの問い合わせと取得をするプロトコルで、OSI参照モデルの第3層によるアドレス解決方法であり、アドレスが解決できるから疎通が確認されることになる。
【0082】
次に、制御部14の詳細について説明する。
【0083】
制御部14は交換装置10全体の制御を行う部分である。したがって、交換装置10は含む、交換装置10が含むSIP、H.323および独自のそれぞれに対応する電話のサービスを提供するプログラムの実行等も行う。また、制御部14はパケットフィルタリング処理のルールセット生成設定の処理も行う。
【0084】
図4は、制御部14内部の機能的構成を示したブロック図である。
【0085】
制御部14には、局データ読み込み部41、通信ポート調査部42、ルールセット生成部43、ルールセット設定部44が形成されている。
【0086】
局データ読み込み部41は、接続処理部13が読み込んだ局データ記憶部12aの局データのうち、疎通フラグが「1」の局データの電話端末種類を読み込む。そして、局データ読み込み部41は、疎通フラグが「1」の電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を取得する。なお、局データ読み込み部41は、接続処理部13が局データ記憶部12a読み込むことを契機に、上述の処理を開始する。
【0087】
そして、通信ポート調査部42は、通信ポートデータ記憶部12bを参照して、局データ読み込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。
【0088】
そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成する。
【0089】
そして、ルールセット設定部44は、ルールセット生成部43が生成したルールセットを、通信部11に設定する。
【0090】
例えば、制御部14は、局データ記憶部12a(図2)の疎通フラグが「1」の電話端末種類の情報を読み込み、電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報(例えば、「SIP」)を取得する。そして、制御部14は、取得したVoIPの通信プロトコルの種類の情報で通信ポートデータ記憶部12b(図3)を参照して利用する通信ポートの番号(例えば、「SIP」に対応するポート番号「5060」)を取得し、取得した通信ポートの番号に対する通信許可のパケットフィルタリングのルールセットを生成し通信部11に設定する。
【0091】
(A−2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態の通信システムにおける交換装置10の動作を説明する。
【0092】
図5は、交換装置10の動作を示したフローチャートである。
【0093】
また、図5のフローチャートにおいて、局データ記憶部12aの内容の初期状態は、図2で疎通フラグの列がすべて「0」となった内容であるものとする。また、通信ポートデータ記憶部12bの内容は、図3の内容であるものとする。
【0094】
まず、ユーザの操作等により、交換装置10が起動して、交換装置10の制御部14の作用により接続処理部13が形成され(S101)、電話のサービスの提供を開始したものとする。このとき、交換装置10は電話のサービスの提供を開始するが、上述の通り、通信部11は制御部14によりパケットフィルタリング設定がなされるまで受信するパケットのすべてを拒否するため、電話の接続処理は行われない。また、このとき交換装置10は、受信するパケットのすべてを拒否するから、不正アクセスに係わるパケットも拒否している。
【0095】
そして、接続処理部13が形成されると、接続処理部13は局データ記憶部12aの内容の読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理が行えるようになる。以降、接続処理部13は局データ記憶部12aが設定・変更されるごとに、局データ記憶部12aの内容の読み込みを始め、読み込みを終え接続処理の準備が整うと接続処理が行えるようになるものとして説明する。
【0096】
また、接続処理部13はデータ記憶部12で記憶する局データ記憶部12aの内容の読み込みを行ったことで、制御部14は、局データ記憶部12aの疎通フラグが「1」の電話端末種類の情報を読み込み電話端末ごとに対応するVoIPの通信プロトコルの種類の情報を取得しようとするが、上述の通り、ここでは局データ記憶部12aで、疎通フラグがすべて「0」なので処理を中止する。
【0097】
次に、接続処理部13は、接続処理の準備が整うと、読み込んだ局データ記憶部12aのIPアドレスに基づいて周期的な疎通確認を行う(S102)。なお、以降、この疎通確認は周期的に繰り返されるものとする。
【0098】
次に、接続処理部13は、上述のステップS102の疎通確認の結果と、局データ記憶部12aの電話端末20ごとの疎通フラグの内容との差異の有無を判定し(S103)、差異がある場合には、後述するステップS104の処理から動作し、差異が無い場合には、上述のステップS102の処理に戻って動作する。上述のステップS102の疎通確認については、周期的に実行されるように、ウェイトをかけるようにしても良い。
【0099】
一方、上述のステップS103で、疎通確認の結果と、局データ記憶部12aの内容との差異が検出された場合には、接続処理部13は、疎通確認の結果に応じて、局データ記憶部12aの内容を更新する(S104)。
【0100】
そして、接続処理部13は、更新した局データ記憶部12aの内容を読み込んで、接続処理の準備が整うと、更新された後の設定で接続処理が行えるようになる。そして、制御部14は、更新された局データ記憶部12aの内容に応じたルールセットを生成して、通信部11にそのルールセットを反映する(S105)。そして、交換装置10は、上述のステップS102の処理に戻って動作する。
【0101】
ここでは、最初の疎通確認はすべての電話端末20ついて、失敗したとして、データ記憶部12の局データ記憶部12aの疎通フラグのすべてに疎通確認に失敗したことを表す「0」を設定しようとするが、上述の通り、初期状態で疎通フラグの列がすべて「0」なので、全て一致するため、上述のステップS102の処理に戻って動作する。
【0102】
そして、その後、電話端末20−1と電話端末20−2がネットワークN内に存在するようになり、交換装置10がこれらの電話端末を収容することになったものとする。
【0103】
このとき、交換装置10の接続処理部13の周期的な疎通確認(ステップS102)により、電話端末20−1と電話端末20−2の疎通確認に成功し、疎通確認結果が、局データ記憶部12aと異なることになる。そのため、上述のステップS104により、データ記憶部12の局データ記憶部12aで、電話端末20−1のIPアドレス「192.168.1.12」に対応する疎通フラグと、電話端末20−2のIPアドレス「192.168.1.13」に対応する疎通フラグについて、疎通確認に成功したことを表す「1」が設定される。
【0104】
このとき、接続処理部13が、データ記憶部12で記憶する局データ記憶部12aの読み込みを行ったことをトリガに、制御部14の処理が開始する。
【0105】
そして、制御部14は、局データ記憶部12aの疎通フラグが「1」である電話端末20−1、20−2の電話端末種類の情報を読み込み、電話端末20−1、20−2のそれぞれに対応する通信プロトコル種類の情報「SIP」を取得する。そして、制御部14は、SIPで用いる通信ポートの番号(5060)を、通信ポートデータ記憶部12bを参照して取得する。そして、制御部14は、取得した通信ポートの番号に対する通信許可のパケットフィルタリングのルールセットを生成し通信部11に設定する。
【0106】
このとき、交換装置10は電話のサービスの提供を開始しており、通信部11は制御部14によりパケットフィルタリング設定され、通信ポートの番号「5060」に係わるパケットの受信を許可するパケットフィルタ処理を行う。
【0107】
すなわち、これ以降、交換装置10では、SIPによる電話端末20の接続処理を受付けるようになる。また、交換装置10では、SIPに対応する通信ポートの番号「5060」以外の通信ポート番号の通信ついては引き続き拒否をするため、SIP以外で不正アクセスに係わるパケットを拒否することになる。よって、交換装置10がH.323および独自のVoIPの通信プロトコルを悪用した不正アクセスの脅威にさらされることはない。
【0108】
そして、その後、例えば、電話端末20−1、20−2の両方との疎通確認が失敗し、SIPを用いる電話端末20が交換装置10に接続(収容)していない状態となった場合には、交換装置10は、SIPで用いる通信ポートの番号に対する通信拒否のパケットフィルタリングのルールセットを生成し通信部11に設定することになる。
【0109】
このようにすることで、交換装置10では、設定・変更後の局データ記憶部12aで設定された、収容する電話端末が利用するVoIPの通信ポートの番号に対してのみ、通信許可のパケットフィルタリング処理をすることが可能となる。
【0110】
(A−3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
【0111】
交換装置10では、複数のVoIP通信のプロトコルに対応しながら、自身が収容する電話端末20が利用するプロトコルのポートについてだけ、パケット受信を許可するパケットフィルタリング処理をすることができ、それ以外のプロトコルの通信ポートに対する不正アクセスの脅威を排除することができる。
【0112】
また、交換装置10では、収容する電話端末20の追加や機種変更などが生じることで、局データに変更が生じた場合でも、収容する電話端末20が利用するVoIPの通信ポートの番号に対してのみ自動に通信許可のパケットフィルタリング処理をすることができる。すなわち、交換装置10では、収容する電話端末20の変更により、セキュリティポリシーを変更する必要が生じても、局データの内容を変更するだけで、必要な通信ポートのパケット受信だけを許可することができる。これにより、交換装置10では、IP電話システム利便性を損なわずに、収容しない電話端末が利用するVoIPの通信ポートの番号に対する不正アクセスの脅威を排除することができる。
【0113】
(B)第2の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第2の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。(B−1)第2の実施形態の構成
図6は、第2の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第2の実施形態の通信システム)について示したブロック図である。
【0114】
第2の実施形態の交換装置10Aでは、データ記憶部12、制御部14が、それぞれデータ記憶部12A、制御部14Aに置き換わっており、さらに、セキュリティ処理部15が追加されている点で第1の実施形態と異なっている。
【0115】
データ記憶部12Aには、テンプレートファイル記憶部12cが追加されている点で第1の実施形態と異なっている。また、制御部14Aで、テンプレートファイル記憶部12cに係る処理が追加されている点で、第1の実施形態と異なっている。
【0116】
セキュリティ処理部15は、交換装置10Aにファイアーウォールソフトや、VPNソフト等のセキュリティ関連ソフトウェアをインストールすることにより構築されるものである。図6においては、セキュリティ処理部15は、説明を簡易にするため一つのブロックとして図示しているが、交換装置10Aに複数のセキュリティ関連ソフトウェアがインストールされていることもあり得る。その場合には、セキュリティ処理部15に対応するセキュリティ関連ソフトウェアが複数存在することになる。
【0117】
既存のIP−PBX等の交換装置でも、その交換装置が構築されたコンピュータ上に、上述のようなセキュリティ関連ソフトウェアがインストールされる場合がある。この場合、その交換装置のソフトウェアの通信部によるパケットフィルタ処理とは別のパケットフィルタ処理機能を有することがある。つまり、セキュリティ関連ソフトウェアがインストールされた交換装置においては、通信部と、セキュリティ関連ソフトウェアにより重複してパケットフィルタ処理が行われることになる。
【0118】
交換装置10Aにおいても同様に、通信部11と、セキュリティ処理部15とで行うパケットフィルタ処理について、矛盾が生じないように、例えば、同一の内容のルールセット(同一の動作を行うルールセット)にしておく必要がある。もし、通信部11とセキュリティ処理部15とで、ルールセットの内容が異なっていると、通信部11のパケットフィルタ処理で通信許可したがセキュリティ関連ソフトウェアのパケットフィルタ処理で通信拒否してしまう可能性がある。
【0119】
制御部14Aは、パケットフィルタリングのルールセットを生成し、通信部11だけでなく、セキュリティ処理部15にも反映させる点で、第1の実施形態と異なっている。
【0120】
制御部14Aは、通信部11用に作成したルールセットを、テンプレートファイル記憶部12c記憶されたテンプレート(テンプレートの詳細については後述する)を用いてセキュリティ処理部15に適用可能な内容に変換して、セキュリティ処理部15に設定する。
【0121】
図7はデータ記憶部12のテンプレートファイル記憶部12cの内容例について示したブロック図である。
【0122】
図7の例では、テンプレートファイル記憶部12cには、ファイアーウォールA用テンプレートT1と、VPNソフトC用テンプレートT2が記憶されている。
【0123】
セキュリティ処理部15では、図7に示すようにセキュリティ関連ソフトウェアごとのテンプレートが記憶されている。これらのテンプレートは、セキュリティ関連ソフトウェアを設定するためのルールセット(設定ファイル)の雛形といえる。制御部14Aは、セキュリティ処理部15に対応するソフトウェアに対応するテンプレートを、テンプレートファイル記憶部12cから選択してルールセットの変換に適用する。なお、制御部14Aが選択するテンプレートは、例えば、予め設定されたものを適用するようにしても良い。
【0124】
なお、テンプレートファイル記憶部12cの内容はユーザにより適宜に設定・変更が可能である。
【0125】
また、テンプレートファイル記憶部12cには、セキュリティ関連ソフトごとに、複数の設定ファイルを用意しておき、制御部14Aが生成したルールセットの内容に応じた設定ファイルを選択して適用するようにしても良い。すなわち、制御部14Aは、ルールセットの内容に応じて、予め用意された設定ファイルのいずれかを選択するだけで、変換処理を行わないようにしても良い。
【0126】
セキュリティ処理部15に対応するファイアーウォールソフトとしては、例えば、Check Point(登録商標)社製の「FireWall−1」や「VPN−1」等が該当する。また、VPNソフトとしては、例えば、ソフトイーサ(登録商標)社製のPacketiX(登録商標) VPN(SoftEther(登録商標) VPN)が該当する。
【0127】
テンプレートファイル記憶部12cに記憶されるテンプレートとしては、例えば、上述のようなセキュリティ関連ソフトウェアにおける設定ファイルの、雛形(テキストデータ等のバイナリデータ)が該当する。そして、制御部14が、生成したルールセットのパケットフィルタリングのパラメータ(例えば、通信を許可する通信ポートの番号)等を、その雛形に適合する記述形式に変更(記述形式の変更の仕方は予め設定しておく)して追記する。
【0128】
例えば、特定の通信ポートの通信を許可するための記述は、各セキュリティ関連ソフトウェアごとに、定型の記述様式が存在する。よって、制御部14A(又は、テンプレートファイル記憶部12c)に、雛形に追記するための内容の記述様式を予め用意しておき、その記述様式にパラメータ(通信を許可する通信ポートの番号)を入力するだけで、雛形に追記する内容を生成するようにしても良い。
【0129】
(B−2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態の通信システムにおける交換装置10Aの動作を説明する。
【0130】
交換装置10Aのパケットフィルタ処理の動作についても、第1の実施形態における上述の図5を用いて説明することができる。以下では、第2の実施形態の交換装置10Aの動作について、第1の実施形態との差異について説明する。
【0131】
交換装置10Aにおいて、上述のステップS101〜S104の動作は、第1の実施形態と同様であるので、説明を省略する。
【0132】
異なるのは、ステップS105の内容である。第2の実施形態のステップS105では、制御部14Aは、テンプレートファイル記憶部12cに記憶されたテンプレートを用いて、通信部11用に生成したルールセットを、セキュリティ処理部15に適用可能なルールセット(設定ファイル)に変換して、セキュリティ処理部15にその設定ファイルを適用する処理が追加されている。
【0133】
例えば、ここでは、セキュリティ処理部15に対応するソフトウェアが、「ファイアーウォールソフトA」、「VPNソフトC」の2つのソフトウェアであったものとする。この場合、制御部14Aは、テンプレートファイル記憶部12cから、ファイアーウォールソフトA用テンプレートT1で変換した設定ファイルを「ファイアーウォールソフトA」に適用し、VPNソフトC用テンプレートT2を用いて変換した設定ファイルを「VPNソフトC」に適用する。
【0134】
(B−3)第2の実施形態の効果
第2の実施形態によれば、以下のような効果を奏することができる。
【0135】
交換装置10Aでは、セキュリティ関連ソフトウェアがインストールされている場合でも、テンプレートファイル記憶部12cに記憶されているテンプレートを利用して、そのセキュリティ関連ソフトウェアに、通信部11と同様のルールセットに基づくパケットフィルタリングの設定を行うことができる。すなわち、交換装置10Aでは、セキュリティ関連ソフトウェアがインストールされていても、通信部11と統一したパケットフィルタリングの設定をすることができる。これにより、交換装置10Aでは、ルールセットの矛盾による通信障害の回避や、セキュリティ内容の一貫性の保持等の効果を奏することができる。
【0136】
(C)第3の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第3の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。(C−1)第3の実施形態の構成
図8は、第3の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第3の実施形態の通信システム)について示したブロック図である。
【0137】
第3の実施形態では、交換装置10Bのセキュリティを保護するために、ファイアーウォール装置30が設置されており、交換装置10Bは、ファイアーウォール装置30を介してネットワークNに接続している。
【0138】
ファイアーウォール装置30は、UNIXやWindows等のOSが動作するコンピュータ上に、ファイアーウォールのソフトウェア(例えば、セキュリティ処理部15と同様のソフトウェア)をインストールして構築されたものであるものとする。なお、ファイアーウォール装置30は、ファイアーウォール専用のハードウェア(アプライアンス)を用いて構築されたものであっても良い。
【0139】
第3の実施形態の交換装置10Bでは、データ記憶部12A、制御部14Aが、それぞれデータ記憶部12B、制御部14Bに置き換わっている点で第2の実施形態と異なっている。データ記憶部12Bには、遠隔設定記憶部12dが追加されている点で第2の実施形態と異なっている。また、制御部14Bで、遠隔設定記憶部12dに係る処理が追加されている点で、第2の実施形態と異なっている。
【0140】
なお、ファイアーウォール装置30で、交換装置10Bが接続されている側のIPアドレスは、「192.168.1.100」であるものとする。
【0141】
制御部14Bでは、生成した通信部11用のルールセットを、テンプレートファイル記憶部12cのテンプレートを用いて変換し、変換により生成した設定ファイルを生成する。すなわち、制御部14Bは、ファイアーウォール装置30用のパケットフィルタリングのルールセットを生成するとともに、ファイルとして保持する動作(ファイル化)を行っている。
【0142】
そして、制御部14Bは、命令記憶部12dに記憶された命令を実行して、生成した設定ファイルを、ファイアーウォール装置30に適用する。命令記憶部12dに記憶されている命令は、例えば、交換装置10BのOS上で動作するスクリプトにより構成されており、生成した設定ファイルを、FTP(File Transfer Protocol)等により、ファイアーウォール装置30に送り込む。
【0143】
図9は、データ記憶部12Bのテンプレートファイル記憶部12cで記憶されている内容の例について示したブロック図である。
【0144】
図9に示すように、テンプレートファイル記憶部12cには、ファイアーウォールA用テンプレートT1と、VPNソフトC用テンプレートT2に加えて、ファイアーウォール装置30に対応するファイアーウォール装置A用テンプレートT3が記憶されている。
【0145】
なお、図9では、ファイアーウォール装置30は一台の構成として説明しているが、複数台により構成するようにしても良い。その場合、それらのファイアーウォール装置に対応するテンプレートが、テンプレートファイル記憶部12cに記憶されている必要がある。
【0146】
なお、テンプレートファイル記憶部12cの内容は管理者により適宜に設定・変更が可能である。
【0147】
ファイアーウォール装置30に対応する装置としては、例えば、Check Point社製の「FireWall−1」等がインストールされた装置等が該当する。すなわち、通信部11用のルールセットを、ファイアーウォール装置30向けの設定ファイルに変換する処理は、上述のセキュリティ処理部15向けの設定ファイルに変換する処理と同様の処理を適用することができる。
【0148】
図10は、命令記憶部12dで記憶する内容の例について示した説明図である。
【0149】
図10(a)は、命令記憶部12dで記憶する命令の例について示したブロック図である。
【0150】
図10(a)に示すように、命令記憶部12dには、1つの命令C1が記憶されているものとする。命令C1はファイアーウォール装置などの外部のネットワーク装置に、設定ファイルを転送・反映するための命令(コマンド)である。そして、命令C1は、2つの命令C11、C12により構成されている。
【0151】
図10(b)は、命令C11のコード(一般的にUNIX上で実行可能なコード)の例を示しており、図10(c)は、命令C12のコードの例を示している。
【0152】
なお、図10では、制御部14Bが変換したファイアーウォール装置30用の設定ファイルは、交換装置10B上の記憶領域で、「/config_file」(ルートディレクトリ上の「config_file」というファイル名のファイル)というファイルで保存されるものとする。
【0153】
図10に示すように、命令C1は命令C11および命令C12のコードを含んでおり、適宜に参照・実行できるようになっている。したがって、制御部14Bは命令C1を実行することで、命令C11と命令C12を実行することができる。また、制御部14Bが命令C1または命令C11のどちらか一方を実行するように命令C1を実行することも可能である。つまり、命令C1は命令C11と命令C12とのどのように実行するか管理する命令といえる。例えば、命令C1が命令C11と命令C12との実行タイミングを管理することが可能である。命令C1が、「命令C11は04時00分に実行」と設定し、「命令C12は命令C11の実行から24時間後に実行」と設定されているとする。この場合において、制御部14Bが命令C1を2010年1月1日00時00分に実行されると、命令C1は2010年1月1日04時00分になるまで待機してから命令C11を実行し、その後、2010年1月2日04時00分になるまで待機してから命令C12を実行する。
【0154】
ここで、図10(b)において、命令C11の実体はファイアーウォール装置30のIPアドレス「192.168.1.100」にftpで接続し、ユーザー名「administrator」およびパスワード「administrator_passwd」でログインし、ファイアーウォール装置30用に変換したパケットフィルタリングのルールセット「/config_file」のファイルを転送する内容を含んでいる。
【0155】
つまり、命令C11は、命令自身が存在している命令実行環境(交換装置10)内で生成し保持するパケットフィルタリングのルールセットを命令実行環境とは別の装置(ファイアーウォール装置30)に送り込む命令である。
【0156】
さらに、図10(c)において、命令C12の実施はファイアーウォール装置30のIPアドレス「192.168.1.100」にtelnetで接続し、ユーザ名「administrator」およびパスワード「administrator_passwd」でログインし、命令C11で転送したパケットフィルタリングのルールセット「/config_file」のファイルをファイアーウォール装置30に設定するためのコマンド「/usr/sbin/AAA」を実行する内容を含む。
【0157】
つまり、命令C12は、命令実行環境(交換装置10)とは別の装置(ファイアーウォール装置30)にパケットフィルタリングのルールセットを適用(設定)する命令である。
【0158】
したがって、命令C1は、命令C11と命令C12とによって、交換装置10で生成するパケットフィルタリングのルールセットを、ファイアーウォール装置30に送り込み適用することができる。
【0159】
なお、命令記憶部12dの内容は管理者により適宜に設定・変更が可能である。
【0160】
(C−2)第3の実施形態の動作
次に、以上のような構成を有する第3の実施形態の通信システムにおける交換装置10Bの動作を説明する。
【0161】
交換装置10Bのパケットフィルタ処理の動作についても、第2の実施形態と同様に、上述の図5を用いて説明することができる。以下では、第3の実施形態の交換装置10Bの動作について、第2の実施形態との差異について説明する。
【0162】
交換装置10Bにおいて、上述のステップS101〜S104の動作は、第2の実施形態と同様であるので、説明を省略する。
【0163】
異なるのは、ステップS105の内容である。第3の実施形態のステップS105では、制御部14Bは、テンプレートファイル記憶部12cに記憶されたテンプレートを用いて、通信部11用に生成したルールセットを、ファイアーウォール装置30に適用可能な設定ファイルに変換して、ファイアーウォール装置30にその設定ファイルの設定を反映させる処理が追加されている。
【0164】
制御部14Bは、通信部11用のルールセットを生成すると、テンプレートファイル記憶部12cの「ファイアーウォール装置A用テンプレートT3」を利用して、ファイアーウォール装置30に適用可能な設定ファイルに変換する。そして、制御部14Bは、命令記憶部12dの命令C1(C11、C12)を実行して、作成した設定ファイルを、ファイアーウォール装置30に送り込み、送り込んだ設定ファイルによる設定を、ファイアーウォール装置30のパケットフィルタリングに反映させる。
【0165】
(C−3)第3の実施形態の効果
第3の実施形態によれば、以下のような効果を奏することができる。
【0166】
交換装置10Bでは、ファイアーウォールを介してネットワークNに接続する環境でも、テンプレートファイル記憶部12cに記憶されているテンプレートを利用して、そのファイアーウォール装置に、通信部11と同様のルールセットに基づくパケットフィルタリングの設定を行うことができる。すなわち、交換装置10Bでは、ファイアーウォール装置を介してネットワークNに接続する環境でも、そのファイアーウォール装置に通信部11と統一したパケットフィルタリングの設定をすることができる。これにより、交換装置10Bでは、ルールセットの矛盾による通信障害の回避や、セキュリティ内容の一貫性の保持等の効果を奏することができる。
【0167】
(D)第4の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第4の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。 第4の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第4の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第4の実施形態について、第1の実施形態との差異について説明する。
【0168】
第1の実施形態においては、交換装置10は、単にトランスポートレイヤにおけるパケットフィルタ処理を行うため、交換装置10がSIPに対応する電話端末のみを収容するときにTCPおよびUDPの通信ポートの番号「5060」の通信許可を行うようにしていた。
【0169】
一方、第4の実施形態では、TCPおよびUDPのそれぞれについてパケットフィルタ処理を行える点で第1の実施形態と異なっている。
【0170】
例えば、交換装置10がSIPに対応する電話端末20のみを収容するときには、UDPの通信ポートの番号「5060」の通信許可を行うようにすれば良く、TCPの通信ポートの番号「5060」の通信については拒否するようにして良いため、許可する通信ポートを絞り込むことができる。
【0171】
交換装置10で、TCPおよびUDPのそれぞれについてパケットフィルタ処理を行う具体的な方法としては、例えば、通信ポートデータ記憶部12bにおいて、各プロトコルが使用する通信ポートの型(TCP又はUDP)を示す「ポート型」という項目の情報を追加して管理するようにしても良い。
【0172】
図11は、第4の実施形態における通信ポートデータ記憶部12bの内容例について示した説明図である。
【0173】
図11では、TCP又はUDPを示す「ポート型」の項目の情報が追加されており、例えば、「SIP」であれば、「UDP」のみを用いることを示している。
【0174】
そして、制御部14では、パケットフィルタリングのルールセットを生成する際には、通信ポートデータ記憶部12bの「通信ポート」に加えて「ポート型」の情報も考慮する。例えば、制御部14は、図11に示す通信ポートデータ記憶部12bの内容に基づいて、「SIP」に係るルールセットを作成する場合には、ポート番号5060のUDPのポートの通信のみを許可し、TCPについては許可しないルールセットを作成する。
【0175】
(E)第5の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第5の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。 第5の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第5の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第5の実施形態について、第1の実施形態との差異について説明する。
【0176】
第1の実施形態においては、交換装置10は、トランスポートレイヤにおけるパケットフィルタ処理を行った上で、受信するパケットを接続処理部13で処理しており、IPアドレスに基づいて接続処理を行っている。
【0177】
一方、第5の実施形態では、接続処理部13は、局データ記憶部12aで、疎通フラグが「1」(疎通確認に成功)の電話端末20についてのみ接続処理を行う点で、第1の実施形態と異なっている。すなわち、接続処理部13は、局データ記憶部12aで、疎通フラグが「0」となっている電話端末20から接続があっても、接続処理を行わない。
【0178】
第1の実施形態においては、交換装置10は、単にトランスポートレイヤにおけるパケットフィルタ処理を行うため、交換装置10がSIPに対応する電話端末のみを収容するときに通信ポートの番号「5060」の通信許可を行い、通信ポートの番号「5060」の通信は接続処理部13のSIPに対応する電話のサービスを提供するプログラムが処理を行う。
【0179】
したがって、交換装置10の通信ポートの番号「5060」から流入する通信のすべてを接続処理部13が処理を試みることになる。例えば、プログラム(電話端末20に組み込まれたプログラム等)は一般的に、潜在的なバグ(bug:プログラムの誤り)を含んでいるため、例えば、SIPに対応する電話のサービスを提供するプログラムが接続処理を実施する過程でバグにより元来求めていない動作をする可能性がある。攻撃者が、SIPに対応する電話の通信を装い、交換装置10の通信ポートの番号「5060」に対し攻撃のための通信を流入させることで、交換装置10においてバグの動作を発揮させることが考えられる。つまり、一般的にプログラムは必要最低限の処理を行うようすることが望まれている。
【0180】
したがって、接続処理部13が行う接続処理を読み込んだ局データ記憶部12aで疎通フラグが「1」(疎通確認に成功)の電話端末20についてのみ行えば、交換装置10が行う接続処理を、局データ記憶部12aで疎通フラグが「1」となる電話端末20のIPアドレスに関するものに、さらに絞り込むことができる。
【0181】
なお、ここでは、局データ記憶部12aで疎通フラグが「0」となっている電話端末20の接続処理を接続処理部13により規制する処理について説明したが、制御部14が、疎通フラグが「0」となっている電話端末20からの通信を拒否するようなルールセットを作成して、通信部11等に設定するようにしても良い。
【0182】
(F)第6の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第6の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。
【0183】
第6の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第6の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第6の実施形態について、第1の実施形態との差異について説明する。
【0184】
通常、IP−PBX等の交換装置では、呼制御のための通信の他に、交換装置自身の運用のために必要な通信が存在する。例えば、操作者による遠隔保守に係わる通信や、交換装置と別の交換装置のあいだの同期等が挙げられる。
【0185】
そのため、第6の実施形態では、制御部14が、呼制御のための通信ポートに係わるパケットフィルタのルールセットを生成する際に、交換装置10自身の運用のために必要な通信の通信ポートを含めてパケットフィルタのルールセットを生成して適用するようにした。
【0186】
図12は、第6の実施形態のポートデータ記憶部12bに記憶する内容の例について示した説明図である。
【0187】
図12に示すように、第6の実施形態のポートデータ記憶部12bでは、「運用管理用通信ポート」という項目の情報が追加されており、この「運用管理用通信ポート」の項目に、対応する通信プロトコル種類のプロトコルでサービスを提供する場合に、運用管理上必要となる通信ポートが示されている。すなわち、図12では、通信プロトコル種類ごとに、運用管理用通信ポートが定義されている。
【0188】
例えば、図12では、通信プロトコル種類が「SIP」の運用管理用通信ポートは、「22」に設定されている。この場合、通信プロトコル種類が「SIP」の場合に、制御部14が生成するパケットフィルタのルールセットでは、通信ポートの項目に記載された「5060」のポートに加えて、運用管理用通信ポートの項目に記載された「22」のポートについて通信許可する内容となる。
【0189】
ポート番号「22」の通信ポートは、一般的に、SSH(Secure SHell)の通信ポートで交換装置の操作者がSSHによって遠隔操作をする場合に利用する通信ポートである。図12では、通信プロトコル種類が「SIP」「H.323」「独自プロトコルP1」のそれぞれに対応する運用管理用通信ポートに、この「22」の通信ポートが記載されている。したがって、この例の場合、交換装置10が「SIP」、「H.323」、又は「独自プロトコルP1」に対応する電話20を収容するとき、制御部14は、通信を許可する通信ポートとして「22」を含めてパケットフィルタのルールセットを生成する。
【0190】
また、図12に示す通信ポートデータ記憶部12bの例では、通信プロトコル種類「独自プロトコルP1」に対応する運用管理用通信ポートとして、「11001」、「11002」、「11003」が設定されている。したがって、この例の場合、交換装置10が「独自プロトコルP1」に対応する電話20を収容するとき、制御部14は、通信を許可する通信ポートとして「11001〜11003」を含めてパケットフィルタのルールセットを生成する。
【0191】
ポート番号「11001」の通信ポートは、一般的に、タイミング同期信号通信の通信ポートで、例えば、公衆電話網(PSTN)に接続する外部の回線接続装置と交換装置が互い同期するためにクロック信号をやりとりする通信のための通信ポートである。また、ポート番号「11002」の通信ポートは、一般的に、データ同期通信の通信ポートで、例えば、外部交換装置と交換装置が互いに局ファイル(電話のサービスを提供するプログラムで、例えば、収容する電話端末の情報等を格納したもの)の送受信をする通信ポートである。さらに、ポート番号「11003」の通信ポートは、一般的に、通話路確認通信の通信ポートで、例えば、交換装置が収容する電話端末とのあいだで通信のやりとりをして通話路が正常か否か確認する通信ポートである。
【0192】
(G)第7の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第7の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。(G−1)第7の実施形態の構成
図13は、第7の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第7の実施形態の通信システム)について示したブロック図である。
【0193】
第7の実施形態の交換装置10Cでは、データ記憶部12、制御部14が、それぞれデータ記憶部12C、制御部14Cに置き換わっている点で第1の実施形態と異なっている。
【0194】
データ記憶部12Cには、CCB記憶部eが追加されている点で第1の実施形態と異なっている。
【0195】
一般的に、VoIPにおける交換装置では、CCB(Call Control Block)により電話端末の呼を制御する。ここで、CCBとは、呼の状態(呼状態)を保持する領域のことで、RAMなどにおけるメモリブロックであって、この領域内で電話端末が電話可能状態や通話状態などの電話端末における呼状態を保持するものを指す。すなわち、交換装置が呼処理を行う場合、その交換装置は、まず、メモリ上に当該呼処理に係るCCBを生成しておいて、呼処理を行い、電話端末における呼状態をCCBで保持する。
【0196】
従来の交換装置におけるCCBの概要については、例えば、「特開昭60−182295」(参考文献1)、「特開平7−170547」(参考文献2)等により示されている。
【0197】
第7の実施形態の交換装置10Cも同様に、CCBにより電話端末の呼を制御するものとして説明する。具体的には、交換装置10Cの接続処理部13が呼処理を行うことで、交換装置10Cのメモリ上に確保された領域に形成されたCCB記憶部eに、呼状態の情報を格納し呼状態を保持する。つまり、接続処理部13がCCBを生成し、管理する。
【0198】
CCB記憶部eでは、動的メモリアロケーションの固定サイズブロックアロケーションによって、交換装置10のメモリ内に固定サイズのブロックを生成し、このブロックごとをCCBとするものとする。また、交換装置10Cでは、接続処理13に、交換装置10Cのメモリ内に生成したCCBごとの先頭アドレスをポインタとして保持することにより各CCBを管理し、CCB記憶部eを実現するようにしても良い。
【0199】
図14は、CCB記憶部eに記憶されるCCBの内容の例について示した説明図である。
【0200】
図14に示すように、CCB記憶部eに記憶されるそれぞれのCCBは、「電話番号」、「オーダ」、「呼状態」、及び「対向先」の項目の情報を有している。
【0201】
「電話番号」の項目は、当該電話端末20の電話番号を示している。
【0202】
「オーダ」の項目は、当該電話端末20により実行された処理(命令)の内容を示しており、例えば、他の電話端末に発呼している場合には「発呼」と入力され、他の電話端末から着信を受けた場合には「着信」と入力されるものとする。
【0203】
「呼状態」の項目は、当該電話端末20の状態を示しており、例えば、当該電話端末20の状態が、他の電話端末と通話中であれば「通話中」と入力される。
【0204】
「対向先」の項目は、当該電話端末が他の電話端末と通信中であれば、その通信相手の識別番号(ここでは電話番号であるものとする)が入力される。
【0205】
次に、制御部14Cについて、第1の実施形態の差異を説明する。
【0206】
図15は、制御部14内部の機能的構成を示したブロック図である。
【0207】
制御部14Cでは、第1の実施形態の制御部14の機能的構成(上述の図4参照)に加えて、CCB開放部45を備えている。
【0208】
CCB開放部45は、ルールセット生成部43により生成されたパケットフィルタのルールセットに基づいて、通信を拒否するプロトコルに係るCCBのメモリ領域を、CCB記憶部eから開放(CCBのデータ消去)する。なお、CCB開放部45は、開放するCCBについて、CCB記憶部e上での先頭アドレスを接続処理部13に問い合わせる。
【0209】
CCB開放部45は、ルールセット生成部43により生成されたパケットフィルタのルールセットの内容(局データ記憶部12aの内容を含む)と、CCB記憶部eの内容とを比較し、CCB記憶部eで、パケットフィルタのルールセットによりパケット受信を拒否する設定となっている呼の有無を確認する。そして、CCB開放部45は、CCB記憶部eでパケットフィルタのルールセットによりパケット受信を拒否する呼について、CCBを開放する。なお、CCB開放部45による処理の詳細については、後述する動作説明で詳述する。
【0210】
(G−2)第7の実施形態の動作
次に、以上のような構成を有する第7の実施形態の通信システムにおける交換装置10Cの動作を説明する。
【0211】
図16は、交換装置10Cにおけるパケットフィルタ処理の動作を示したフローチャートである。
【0212】
図16に示す、交換装置10Cの動作のステップS201〜S205については、第1の実施形態(上述の図5)のステップS101〜S105と同様の処理であるので詳しい説明を省略する。
【0213】
ステップS205で、生成部43により生成されたパケットフィルタのルールセットが生成されると、CCB開放部45は、そのルールセットの内容と、CCB記憶部eの内容とを整合させる(S206)。
【0214】
ここでは、例として、電話端末20−1と電話端末20−2がSIPを用いた通信中とCCB記憶部e上で登録されている間に、交換装置10Cから、電話端末20−1、20−2への疎通確認が失敗し、パケットフィルタのルールセットに反映された場合を想定する。この場合、交換装置10Cでは、電話端末20−1、20−2間の通信制御もすることができないにも関わらず、CCB記憶部e上での登録は継続しており、電話端末20−1、20−2間の呼処理を継続するためのリソースを消費することになる。そこで、ステップS206では、CCB開放部45により、継続する必要の無い呼処理のリソースを開放する。交換装置10Cから見て、電話端末20−1、20−2の疎通が失敗する要因としては、例えば、二つの電話端末20のそれぞれにおける故障や、二つの電話端末20と交換装置10との間の通信経路上のスイッチやルータ等の通信装置の故障等が挙げられる。
【0215】
次に、CCB開放部45の処理内容の詳細について説明する。
【0216】
図17は、交換装置10CのCCB開放の動作の詳細について示したシーケンス図である。
【0217】
図17では、電話端末20−1から、交換装置10Cを介して、電話端末20−2へ発呼を行い、通話が確立した後に、交換装置10Cから見て電話端末20−1、20−2と疎通確認が取れなくなった場合の動作について示している。
【0218】
局データ記憶部12aの内容の初期状態は、図2(交換装置10Cと、電話端末20−1、20−2との疎通は可能な状態)の内容であるものとして説明する。また、通信ポートデータ記憶部12bの内容は、図3の内容であるものとして説明する。
【0219】
まず、電話端末20−1から、交換装置10Cへ、電話端末20−2へ向けた発呼信号(パケット)があると(S301)、交換装置10Cはその発呼信号に基づいた呼処理を行い(S302)、その発呼信号に基づいて、さらに電話端末20−2へ発呼信号(パケット)を送信する(S303)。
【0220】
そして、その後、電話端末20−1からの発呼が電話端末20−2へ着信し、電話端末20−1と電話端末20−2とが通話状態になったものとする(S304)
ステップS304の時点で、電話端末20−1のCCBの内容は、図14のようになっており、電話端末20−2のCCBの内容は、図18のようになっているものとする。電話端末20−1のCCBは、図14に示すように、「電話番号」は「12」、「オーダ」は「発呼」、「呼状態」は「通話中」、「対向先」は「13」となっているものとする。
【0221】
また、電話端末20−2のCCBは、図18に示すように、「電話番号」は「13」、「オーダ」は「着信」、「呼状態」は「通話中」、「対向先」は「12」となっているものとする。
【0222】
そして、その後、ネットワーク障害等により、交換装置10Cと、電話端末20−1、20−2との間の通信が不可の状態になり、交換装置10Cから電話端末20−1、20−2への疎通確認が失敗したものとする(S305、S306)。
【0223】
そうすると、交換装置10Cでは、局データ記憶部12aで、電話端末20−1、20−2の疎通フラグが「0」になり、SIPを用いて接続中の電話端末20が存在しないことになる。一方、CCB記憶部eにおいて、電話端末20−1、20−2のCCBは、それぞれ図14、図18のように、電話端末20−1、20−2の間の通話状態が継続した状態になっているものとする。
【0224】
この場合、まず、制御部14Cのルールセット生成部43は、SIPによる通信を拒否する(通信ポートの番号「5060」に係わるパケットを受信しない)パケットフィルタリングのルールセットを作成する。そして、ルールセット設定部44は、生成したルールセットを通信部11に反映させる(S307)。
【0225】
次に、制御部14CのCCB開放部45は、生成したルールセットの内容と、CCB記憶部eの内容とを比較する。そして、CCB開放部45は、必要に応じてCCBを開放することにより、ルールセットの内容とCCB記憶部eの内容との整合を図る(S308)。
【0226】
次に、ステップS308の処理の詳細について説明する。
【0227】
制御部14CのCCB開放部45は、生成したルールセットの内容を参照しSIPの通信を拒否(つまりルールセットにSIPに係わる設定が含まれていない)ことを識別する。そして、CCB開放部45は、接続処理部13に、SIPに係わるCCBにアクセスするための情報(CCB記憶部eが構築されたメモリ上の先頭アドレス(該当するCCBのヒープ領域の先頭アドレス))を問い合わせる。そして、CCB開放部45は、SIPに係わるCCBを開放(各CCBのヒープ領域のそれぞれを開放)する。接続処理部13はCCBを生成するにあたりCCBのヒープ領域を動的メモリアロケーションの固定サイズブロックアロケーションによって固定サイズのブロックごとをCCBとして生成するから、ブロックの先頭アドレスを取得すれば、メモリ内に存在するブロックの位置を捕捉し、先頭アドレスから始まるブロックを開放すれば1つのCCBを開放できる。
【0228】
なお、制御部14Aで生成されるルールセットについては、上述の第5の実施形態と同様に、それぞれの電話端末20に対する疎通確認結果を反映させた内容としても良く、その場合には、電話端末20ごと、又は、呼ごとにCCBの開放処理が行われることになる。
【0229】
(G−3)第7の実施形態の効果
第7の実施形態によれば、以下のような効果を奏することができる。
【0230】
交換装置10Cでは、CCB開放部45により、生成したルールセットの内容に応じて、疎通確認に失敗した電話端末20の呼に係るCCBを開放することにより、処理量を低減することや、メモリ領域等のリソースを効率的に利用すること等の効果を奏する。
【0231】
また、CCB上では呼状態が通話中にも関わらず、当該電話端末20と交換装置10Cと通信できない場合には、接続処理部13による通常の呼制御処理で、タイムアウトによるセッション終了が発生する場合もある。その場合でも、そのタイムアウト時間より疎通フラグに係る疎通確認の間隔を、短く設定しておけば、CCB開放部45により、そのタイムアウト時間が経過する前に、CCBの開放を行うことができる。
【0232】
さらに、交換装置10Cでは、疎通フラグに係る疎通確認により、それぞれの電話端末20との接続状態を監視し、通信中に疎通確認に失敗した電話端末20に係るCCBをCCB開放部45により開放するので、接続処理部13での上述のタイムアウト制御を省略することができるため、処理量を低減することができる。
【0233】
(H)第8の実施形態
次に、本発明による通信制御装置及びプログラム、並びに、通信システムの第8の実施形態を、図面を参照しながら詳述する。なお、この実施形態の通信制御装置及びプログラムは、交換装置及び交換プログラムである。
【0234】
(H−1)第8の実施形態の構成
以下、第8の実施形態について第6の実施形態との差異を説明する。
【0235】
図19は、第8の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第8の実施形態の通信システム)について示したブロック図である。
【0236】
図19に示す第8の実施形態の通信システムでは、2台の交換装置10D(10D−1、10D−2)が配置されており、この2台の交換装置10D−1、10D−2は、冗長構成となっている。すなわち、交換装置10D−1、10D−2は、いずれか一方が障害等により交換装置として機能しない状態となった場合でも、他方で運用が可能な構成となっている。
【0237】
また、ここでは、それぞれの交換装置10Dは、第6の実施形態とほぼ同様の構成を備えているものとして説明する。それぞれの交換装置10Dは、他の交換装置10Dと連携して冗長構成を実現するための構成(例えば、パケットフィルタのルールセットに係る情報をやりとりする構成等)が追加されている点で、第6の実施形態のものと異なっている。
【0238】
また、第6の実施形態と同様に、第8の実施形態においても、各交換装置10D及び各電話端末20は、独自プロトコルP1に対応しているものとする。
【0239】
第6の実施形態で説明した、交換装置及び交換プログラムは、呼制御のための通信ポートに係わるパケットフィルタのルールセットを生成する際に、交換装置及び交換プログラム自身の運用のために必要な運用管理用通信ポートを含めてパケットフィルタのルールセットを生成して適用するものであった。また、運用管理用通信ポートのうち、ポート番号「11002」の通信ポートは、一般的に、データ同期通信の通信ポートであった。
【0240】
交換装置10D−1と交換装置10D−2との間の冗長構成の具体的な方式については限定されないものであるが、例えば、コールドスタンバイ(cold standby)方式、ホットスタンバイ(hot standby)方式、ウォームスタンバイ(warm standby)方式等の方式をとりえる。コールドスタンバイ方式としては、例えば、運用系の装置を動作させている間、待機系の装置は動作させずに待機状態にしておき、運用系に障害が発生した場合に待機系の装置を立ち上げて運用系とする方式が該当する。ウォームスタンバイ方式としては、例えば、待機系については電源を入れて起動した状態にしておき、運用系に障害が発生した場合に、待機系のシステムが運用系に切り替わって動作する方式が該当する。ホットスタンバイ方式としては、例えば、待機系の装置も常に立ち上げておき、運用系の装置とデータの同期などを絶えず行った状態にしておき、運用系の装置に障害が発生した場合には、即時に待機系の装置が運用系に切り替わって動作する方式が該当する。
【0241】
ここでは、交換装置10D−1、10D−2は、上述のホットスタンバイ方式の冗長構成となっているものとして説明する。また、交換装置10Dが切り替わった場合には、電話端末20からのアクセス先も変更する必要があるが、この切替え方式については限定されないものであり、例えば、既存の仮想IPアドレスを用いた方式や、電話端末20側で各交換装置10Dに優先順位を付けて順番にアクセスする方式等の、既存の種々の方式を適用することができる。
【0242】
交換装置10D−1と交換装置10D−2との間では、運用系や待機系の決定等の冗長構成を運用するための通信(以下、「デュプレックスシステム通信」という)を互いに行う。この実施形態において、この通信は、通信ポート「11001〜11003」のいずれかを用いて行われるものとする。したがって、それぞれの交換装置10Dでは、タイミング同期信号通信、データ同期通信、通話路確認通信に加えて、デュプレックスシステム通信も行われることになるため、このデュプレックスシステム通信に用いられる通信ポートについても通信可能な設定となっている。
【0243】
なお、交換装置10Dが切り替わった場合には、切替え元の交換装置10Dが電話端末20と保持していたセッションを、切替え先の交換装置10Dへ引き継ぐことが、通信システムのサービス上好ましいが、このセッション引継ぎの方式についても、既存の冗長化された交換装置と同様の処理を適用することができる。この場合、セッション引継ぎに必要なデータの同期について、デュプレックスシステム通信を用いて行うようにしても良い。
【0244】
次に、各交換装置10Dの内部構成について説明する。ここでは、交換装置10D−1、10D−2は、同じ構成であるものとして説明する。
【0245】
図20は、交換装置10Dの機能的構成について示したブロック図である。
【0246】
交換装置10Dでは、制御部14が制御部14Dに置き換わっている点で、第6の実施形態と異なっている。
【0247】
制御部14Dは、第6の実施形態の制御部14とほぼ同様のものであるが、他の交換装置10Dとのあいだで、デュプレックスシステム通信を行う点等、他の交換装置10Dと連携して冗長構成を実現するための処理(装置内の各構成要素に対する制御処理を含む)を行う構成が追加されている点で異なっている。
【0248】
図21は、制御部14Dの内部の機能的構成について示したブロック図である。
【0249】
図21に示すように、制御部14Dでは、冗長構成制御部45が追加されている点で、第6の実施形態と異なっている。この冗長構成制御部45が、制御部14Dにおいて、他の交換装置10Dと連携する等、冗長構成を実現するための処理を行う機能を担っている。
【0250】
次に、交換装置10D−1、10D−2の間(交換装置10D−1の制御部14Dと、10D−2の制御部14Dとの間)で行われる冗長構成に係る処理の概要について説明する。
【0251】
交換装置10D−1と交換装置10D−2とは、デュプレックスシステム通信等を利用して、互いに運用系か待機系かを決定(以下、「冗長構成制御」という)するものとする。交換装置10D−1と交換装置10D−2との間で、いずれを運用系又は待機系と決定するかの処理(アルゴリズム)については限定されないものであるが、例えば、既存のサーバ装置やネットワーク装置における冗長構成と同様の処理を適用することができる。例えば、交換装置10Dごとに優先順位を付与しておき、優先順位の高い交換装置10Dが、優先的に待機系又は運用系のいずれかの状態(動作モード)となることを決定して、他の交換装置10Dに通知し、その通知を受けた交換装置10Dはその通知内容に従って自装置の状態(運用系又は待機系)を決定するようにしても良い。また、交換装置10Dは、ネットワーク障害等により、他の交換装置10Dとデュプレックスシステム通信ができない場合には、予め自装置に設定された内容に応じて、自装置の状態(運用系又は待機系)を決定するようにしても良い。
【0252】
なお、冗長構成制御部45に、予め同じ冗長構成のシステムを構成する交換装置10Dの識別情報(IPアドレス等)を設定し、デュプレックスシステム通信する際には、その識別情報を用いて通信するようにしても良い。
【0253】
例えば、交換装置10D(制御部14D)は、自装置が運用系のとき、冗長構成制御(デュプレックスシステム通信)により、自装置を待機系とする旨が決定された場合、自装置を運用系から待機系に切り替える制御を行う。また、交換装置10D(制御部14D)は、自装置が運用系のとき、冗長構成制御により自装置を運用系にする旨が決定された場合、運用系を維持する。
【0254】
また、交換装置10D(制御部14D)は、自装置が待機系のとき、冗長構成制御(デュプレックスシステム通信)により、自装置を運用系にする旨が決定された場合には、自装置を待機系から運用系に切り替える制御を行う。また、交換装置10D(制御部14D)は、自装置が待機系のとき、冗長構成制御により待機系にする旨が決定された場合には、待機系を維持する。
【0255】
さらに、交換装置10D(制御部14D)は、自装置の状態(運用系または待機系)に応じて、他の交換装置10Dとのデュプレックスシステム通信により、パケットフィルタのルールセットに係る情報のやりとり(以下、「冗長構成パケットフィルタルール制御」という)を行う。具体的には、交換装置10D(制御部14D)は、自装置が運用系のとき、パケットフィルタリング処理のルールセット生成設定を行うと、続いて、自装置に設定したパケットフィルタリング処理のルールセット(少なくとも新たに更新された部分のデータを含む)と同様の内容を、デュプレックスシステム通信により、待機系の交換装置10Dに対し通知する処理を行う。
【0256】
また、交換装置10D(制御部14D)は、自装置が待機系のとき、他の交換装置10Dからパケットフィルタリング処理のルールセットの通知を受けると、通知されたパケットフィルタリング処理のルールセットを自装置に対し設定する処理を行う。
【0257】
図22は、交換装置10Dの状態(起動直後、運用系の場合、待機系の場合)ごとの各構成要素の動作状態の例について示した説明図である。
【0258】
まず、交換装置14Dの起動直後の動作状態について説明する。
【0259】
交換装置14Dは起動直後において、図22に示すように、接続処理部13を「活性状態」、局データ読込み部41を「活性状態」、通信ポート調査部42を「活性状態」、ルールセット生成部43を「活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」にそれぞれ保つものとする。この状態で、接続処理部13は局データを読み込み、局データ読込み部41は接続処理部13が読み込んだ局データのうち疎通フラグが「1」の電話端末20ごとに、対応するVoIPの通信プロトコルの種類の情報を取得する。そして、通信ポート調査部42は、局データ読込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成し、ルールセット設定部44はルールセット生成部43が生成したルールセットを通信部11に設定できるようになる。つまり、交換装置14Dは、起動すると、少なくとも呼処理(呼制御)とパケットフィルタのルールセットの生成と設定を行う。
【0260】
交換装置14Dは起動直後の状態から、デュプレックスシステム通信(冗長構成制御部45による冗長構成制御)に基づき、運用系または待機系の状態に移行する。
【0261】
次に、交換装置14Dが起動した後、運用系として動作する場合の状態について説明する。
【0262】
交換装置14Dは運用系に移行すると、図22に示すように、接続処理部13を「活性状態」、局データ読込み部41を「活性状態」、通信ポート調査部42を「活性状態」、ルールセット生成部43を「活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」に制御するものとする。このとき、交換装置14Dは、呼処理(呼制御)と、パケットフィルタのルールセットの生成及び設定を行う。さらに、交換装置14Dは、生成したパケットフィルタのルールセットをデュプレックスシステム通信により、他の交換装置14Dに通知する。
【0263】
具体的には、運用系として動作する交換装置14Dにおいて、接続処理部13は局データを読み込み、局データ読込み部41は接続処理部13が読み込んだ局データのうち疎通フラグが「1」の電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を取得する。そして、通信ポート調査部42は、局データ読込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成する。そして、ルールセット設定部44は、ルールセット生成部43が生成したルールセットを通信部11に設定できるようになる。冗長構成制御部45は、ルールセット生成部43が生成したルールセットを、デュプレックスシステム通信により待機系の冗長構成制御部45に通知する。
【0264】
運用系として動作している交換装置14Dの冗長構成制御部45は、デュプレックスシステム通信により、待機系への切り替えが決定すると、制御部14Dに対し、待機系への移行を依頼する。制御部14Dは、待機系への移行の依頼を受けると活性状態の接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43を不活性状態とし、当該交換装置14Dは運用形から待機系に移行する。
【0265】
次に、交換装置14Dが起動した後、待機系として動作する場合の状態について説明する。
【0266】
交換装置14Dは待機系に移行すると、図22に示すように、接続処理部13を「不活性状態」、局データ読込み部41を「不活性状態」、通信ポート調査部42を「不活性状態」、ルールセット生成部43を「不活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」に制御する。このとき、交換装置14Dは、呼処理(呼制御)とパケットフィルタのルールセットの生成を行わない。ただし、交換装置14Dは、デュプレックスシステム通信により通知されるパケットフィルタのルールセットの設定は行う。
【0267】
具体的には、待機系として動作する交換装置14Dにおいて、接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43は機能しない。ただし、待機系の交換装置14Dでは、ルールセット設定部44は活性しているため、パケットフィルタのルールセットを通信部11に設定することはできる。待機系の交換装置14Dにおいて、冗長構成制御部45は、他の運用系の交換装置14Dからデュプレックスシステム通信によりパケットフィルタのルールセットを通知されると、パケットフィルタのルールセットをルールセット設定部44に与え設定を促す。
【0268】
待機系の交換装置14Dにおいて、冗長構成制御部45は、デュプレックスシステム通信により、運用系への切り替えが決定すると、制御部14Dに対し運用系への移行を依頼する。待機系の交換装置14Dにおいて、制御部14Dは、運用系への移行の依頼を受けると不活性状態の接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43を活性状態とし、待機系の交換装置14Dは運用系の交換装置10Dに移行する。
【0269】
(H−2)第8の実施形態の動作
次に、以上のような構成を有する第8の実施形態の通信システムにおける交換装置10D−1、10D−2の動作を説明する。
【0270】
(H−2−1)起動及び冗長構成
ここでは、まず、交換装置10D−1、10D−2が起動して冗長構成となる動作について説明する。
【0271】
図23は、交換装置10D−1、10D−2が起動して冗長構成となるまでの動作の例について示したフローチャートである。
【0272】
図23のフローチャートの処理以前の状態として、交換装置10D−1の電源オン(ON)の状態であるものとし、交換装置10D−2が電源オフ(OFF)の状態であるものとする。また、交換装置10D−2はネットワークNとの接続経路が断たれた状態(例えばネットワークケーブルが抜かれた状態等)であるものとする。
【0273】
また、図23のフローチャートの処理以前の前提として、システム管理者等により、番号計画が行われ、交換装置に対する局データ、通信ポートデータ(「通信プロトコル種類」、「通信ポート」)、電話のサービスを提供するプログラム等が、予め生成されているものとする。なお、上述の局データ、通信ポートデータ等は、第6の実施形態と同様の形式のものを適用することができる。
【0274】
そして、次に、システム管理者等により、上述の予め生成された局データ、通信ポートデータ等(電話サービスを提供するための処理プログラムを含むようにしても良い)が、交換装置10D−1に対し設定(インストール等)されたものとする(S401)。
【0275】
次に、交換装置10D−1では、第6の実施形態と同様に、パケットフィルタの設定が行われたものとする(S402)。
【0276】
次に、交換装置10Dは、冗長構成の対向装置である交換装置10D−2に、デュプレックスシステム通信を試みる(S403)。
【0277】
しかしながら、この時点では、交換装置10D−1では、対向の交換装置10D−2と通信できないため、当然デュプレックスシステム通信を行うこともできず、自装置に予め設定されたプログラムに従って、起動初期は単独で運用系で動作する(シングル構成)と決定したものとする。そして、交換装置10D−1は、その決定に従って、運用系での動作を開始したものとする(S404)。すなわち、ここでは、各交換装置10D−1には、起動直後に交換装置10D−2と通信できない場合には、単独で自装置を運用系として動作させると決定する旨がプログラミングされているものとする(デュプレックスシステム通信不可の場合には無条件で運用系として動作するようにプログラミングしても良い)。そして、交換装置10D−1は、上述のステップS403で開始したデュプレックスシステム通信(冗長構成制御部の冗長構成制御)を、定期的に試みつつ自装置を運用系として動作させ、通信システムの運用を行う。なお、交換装置10D−1が通信システムの運用を行うとは、接続処理部13の処理と、制御部14の処理を開始していることを示すものとする。
【0278】
そして、その後、システム管理者により、交換装置10D−2に対し電源オン(ON)の操作が行われ、交換装置10D−1に対して設定(インストール等)された局データ、通信ポートデータ等が、交換装置10D−2にも設定されたものとする(S405)。
【0279】
次に、交換装置10D−2は、第6の実施形態の交換装置と同様にパケットフィルタの設定を行う(S406)。
【0280】
次に、交換装置10D−2は、冗長構成の対向装置である交換装置10D−1に、デュプレックスシステム通信を行い、冗長構成への移行を試みる(S407)。
【0281】
しかしながら、この時点において、交換装置10D−2では、対向の交換装置10D−1と通信できない(ネットワークNとの接続経路が断たれた状態である)ため、デュプレックスシステム通信を行うこともできず、自装置に予めに設定されたプログラムに従って、起動初期は単独で待機系で動作する(シングル構成)と決定したものとする。そして、交換装置10D−2は、その決定に従って、待機系での動作を開始したものとする(S408)。すなわち、ここでは、各交換装置10D−2には、起動初期において交換装置10D−1と通信できない場合には、単独で自装置を待機系として動作させると決定する旨がプログラミングされているものとする。
【0282】
そして、交換装置10D−2は、上述のステップS407で開始したデュプレックスシステム通信(冗長構成制御部の冗長構成制御)を、定期的に試みつつ自装置を待機系として動作させ、通信システムの運用に向け待機する。なお、交換装置10D−2が電話システムの運用に向け待機するとは、交換装置10D−2の接続処理部13の処理と、制御部14Dの処理を停止(パケットフィルタリング処理のルールセット生成設定を停止)していることを示すものであるものとする。具体的には、交換装置10D−2は、上述の通り、通信システムの運用に向け待機しているあいだ、少なくともルールセット生成部43を非活性状態にする。つまり、待機系に設定された交換装置10D−2は、起動後に一度パケットフィルタリング処理のルールセット生成設定を行うが、この時点では、交換装置10D−1とデュプレックスシステム通信できないため、パケットフィルタリング処理のルールセット設定ができないまま待機していることになる。なお、待機系に設定された交換装置10D−2において、対向の交換装置10D−1とデュプレックスシステム通信できない間は、さらにルールセット設定部44を非活性状態に制御して、完全にパケットフィルタリング処理のルールセット設定を停止して待機するようにしても良い。
【0283】
そして、その後、システム管理者により、待機系で動作している交換装置10D−2がネットワークNに接続されたものとする。そして、交換装置10D−1と交換装置10D−2との間では、デュプレックスシステム通信での相互通信が開始される(S409)。
【0284】
交換装置10D−1と交換装置10D−2とは、デュプレックスシステム通信のやりとりにより対向装置が運用系か待機系かを把握する。この場合、交換装置10D−1が運用系、交換装置10D−2が待機系として冗長構成を構成するよう設定されていることから、交換装置10Dは運用系を維持するため交換装置10D−2に待機系に移行する旨を与え、交換装置10D−2は待機系に移行する旨を受けることで待機系を維持するものとする。
【0285】
以上のように、この実施形態の通信システムでは、交換装置10D−1、10D−2を起動して通信システムの運用を開始可能な状態とする処理(局建て)を行う。
【0286】
図24は、交換装置10Dの動作の詳細について示したシーケンス図である。
【0287】
図24では、まず、交換装置10D−1が運用系のときのパケットフィルタリング処理のルールセット生成設定し、その後、交換装置10D−1が待機系に切り替わり、交換装置10D−2から通知されたパケットフィルタリング処理のルールセット設定をする場合について示している。
【0288】
まず、図24のシーケンス図の処理の前において、交換装置10D−1が運用系、交換機10D−2が待機系として動作し、冗長構成が組まれているものとする(すなわち、上述の図23のシーケンス図の処理が終了した状態)。さらに、交換装置10D−1、10D−2の冗長構成にて通信システムの運用を、開始しているものとする。
【0289】
まず、交換装置10D−1と交換装置10D−2との間では、運用のために必要な通信である、タイミング同期信号通信、データ同期通信、通話路確認通信、デュプレックスシステム通信が相互に周期的に行われているものとする(S501)。これら、通信により、待機系の交換装置10D−2では、運用系の交換装置10D−1から送られてくるパケットフィルタリング処理のルールセットに基づき自装置の設定を更新するようになる。
【0290】
なお、運用系の交換装置10Dから待機系の交換装置10Dに対してパケットフィルタリング処理のルールセットを送信する際に、次に運用系に移行する際に必要となる他のデータも含めたデータ(例えば、局ファイル)として送信するようにしても良い。局ファイルとしては、パケットフィルタリング処理のルールセットに加えて、例えば、通信システムにおいてサービスを提供するプログラム、収容する電話端末の情報、局データ記憶部12aの更新内容、通信ポートデータ記憶部12bの更新内容、及び接続処理部13の更新内容等を含むようにしても良い。
【0291】
そして、ネットワークNには、独自プロトコルP1に対応した電話端末20が含まれている。したがって、交換装置10D−1では、第1の実施形態および第6の実施形態のS101〜S105の処理に基づき、制御部14Dにより、独自プロトコルP1「10001〜10003」のポートに加えて、運用管理用通信ポート「22、11001〜11003」のポートについて通信許可する内容のパケットフィルタのルールセットが生成され設定される(S502)。
【0292】
このとき、交換装置10D−1は、運用系として動作していることから、自装置に設定したパケットフィルタリング処理のルールセットを交換装置10D−2に対し通知する(S503)。ステップS502の通知は、交換装置10D−1から交換装置10D−2に対するデュプレックスシステム通信を用いて通知される。そして、交換装置10D−2は、通知されたパケットフィルタリング処理のルールセットを自装置に対する設定に用いる。
【0293】
そして、その後、交換装置10D−1は、デュプレックスシステム通信により待機系に移行すると決定し、運用系から待機系に切り替わったものとする(S504)。交換装置10D−1は、待機系に移行したことで、デュプレックスシステム通信等により運用系に移行すると決定するまで、待機系を維持する。
【0294】
そして、交換装置10D−1が待機系に移行した後、交換装置10D−2から最新のパケットフィルタリング処理のルールセットの通知を受けると(S505)、通知されたパケットフィルタリング処理のルールセットを自装置に対し設定する処理を行う(S506)。
【0295】
そしてその後、交換装置10D−1は、デュプレックスシステム通信により運用系に移行すると決定すると、待機系から運用系に切り替わる(S507)。交換装置10D−1は、運用系に移行したことで、デュプレックスシステム通信により待機系に移行すると決定するまで、運用系を維持する。
【0296】
ここで、交換装置10D−1は、運用系に移行したことで、運用系としての処理を開始する。つまり、運用系の交換装置10D−1は、待機系であるときに更新したルールセットで、通信システムの運用を開始する。したがって、交換装置10D−1は、最新のルールセットが設定された状態で処理が開始できることになる。
【0297】
(H−3)第8の実施形態の効果
第8の実施形態によれば、以下のような効果を奏することができる。
【0298】
第8の実施形態では、交換装置14Dは、起動直後にパケットフィルタの生成・設定を行ってセキュリティを確保することができる。
【0299】
また、交換装置14Dは、待機系又は起動直後の状態から運用系に移行するとき、移行前(起動直後または待機系のとき)に設定されたパケットフィルタのルールセットで動作する。すなわち、交換装置14Dは、運用系に移行当初から、最新のルールセットによりセキュリティを確保した状態で動作することができる。言い換えると、交換装置14Dは、運用系に移行するときに、パケットフィルタリング処理のルールセット生成設定にかかわるタイムラグなく移行することができる。
【0300】
さらに、交換装置14Dは、運用系又は起動直後の状態から待機系に移行しても、移行前(起動直後、運用系のとき)に設定されたパケットフィルタのルールセットで動作してセキュリティを確保した状態を維持する。また、交換装置14Dは、待機系への移行後も、運用系の交換装置14Dから供給される最新のパケットフィルタのルールセットで、セキュリティを確保した状態を継続するめ、常にセキュリティを確保しつつ、利便性を向上させることができる。
【0301】
(I)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0302】
(I−1)第3の実施形態では、交換装置がセキュリティ処理部を備えているが、省略するようにしても良い。その場合、テンプレートファイル記憶部には、外部のネットワーク装置(ファイアーウォール装置)のテンプレートだけを記憶するようにしても良い。
【0303】
また、第4の実施形態の通信ポートの型に応じたパケットフィルタリングのルールセットを生成する構成については、第1の実施形態以外の各実施形態に適用するようにしても良い。
【0304】
さらに、第5の実施形態で、疎通確認が失敗した電話端末の接続処理を規制する構成については、第1の実施形態以外の各実施形態に適用するようにしても良い。
【0305】
さらにまた、第6の実施形態において、運用管理用通信ポートに関するパケットフィルタリングのルールセットを生成する構成を、第1の実施形態以外の各実施形態に適用するようにしても良い。
【0306】
また、第7の実施形態で、ルールセットの内容に応じてCCBの開放を行う構成について、第1の実施形態以外の各実施形態に適用するようにしても良い。
【0307】
(I−2)上記の各実施形態では、本発明の通信制御装置を交換装置に適用した例について説明したが、呼制御装置に適用するようにしても良い。
【0308】
上記の各実施形態の通信制御装置は、独自プロトコルP1を用いる場合に、メディアデータ(音声データ)の中継を行うため、「交換装置」と呼んでいたが、SIP等メディアデータ(音声データ)を電話端末同士で直接(又はメディアゲートウェイを介して)通信するプロトコルだけに対応する場合には、その通信制御装置は、呼制御処理のみを行うことになる。すなわち、例えば、本発明の通信制御装置が、SIP等のメディアデータ(音声データ)を電話端末同士で直接(又はメディアゲートウェイを介して)通信するプロトコルだけに対応する場合には、その通信制御装置は、呼制御処理のみを行うため、呼制御装置と呼ばれることになる。
【0309】
したがって、本明細書では、通信制御装置とは、呼制御装置及び交換装置の両方を含む概念であるものとする。
【0310】
(I−3)上記の各実施形態では、本発明の交換装置に接続(収容)する通信装置は、電話端末であるものとして説明したが、その他の通信装置であっても良い。例えば、本発明の交換装置に接続(収容)するものは、他の交換装置(例えば、IP−PBX等)や呼制御装置等の通信装置であっても良い。
【0311】
(I−4)第8の実施形態では、第6の実施形態の交換装置を冗長化する構成について示したが、同様に、その他の実施形態の交換装置(第1〜第5及び第7の実施形態の交換装置)について冗長化した構成とするようにしても良い。具体的には、第8の実施形態の冗長構成制御部と同様のものを、他の実施形態の交換装置に追加し、冗長化構成に必要な処理(デュプレックスシステム通信等)を行うことが可能な構成とするようにしても良い。
【0312】
(I−5)第8の実施形態では、2台の交換装置による冗長構成について説明しているが、3台以上の冗長構成としても良い。3台以上の交換装置を配置した場合には、1台の交換装置を運用系として動作させ、その他の交換装置については待機系として動作させるようにしても良い。この場合、デュプレックスシステム通信については、それぞれの交換装置間で相互に行い、いずれかの交換装置を運用系と決定(決定するためのアルゴリズム等は限定されないものである)するようにしても良い。また、この場合、運用系として動作している交換装置は、すべての待機系の交換装置にルールセット等を通知して設定させるようにしても良い。
【符号の説明】
【0313】
10…交換装置、11…通信部、12…データ記憶部、12a…局データ記憶部、12b…通信ポートデータ記憶部、13…接続処理部、14…制御部、…ネットワークN、20、20−1、20−2…電話端末。
【特許請求の範囲】
【請求項1】
IP通信を行う通信装置間の通信制御をする通信制御装置において、
通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、
通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、
少なくとも、上記通信装置情報記憶手段に記憶されている情報と、上記疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、
上記ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と
を備えることを特徴とする通信制御装置。
【請求項2】
上記ルールセット生成手段が生成するルールセットには、上記疎通確認手段により、疎通確認が成功した通信装置が対応する通信制御用のプロトコルのパケットについてだけ受信許可をするルールが適用されていることを特徴とする請求項1に記載の通信制御装置。
【請求項3】
上記ルールセット生成手段は、通信制御用のプロトコルで用いられる通信ポート番号を利用して、パケットフィルタリングのルールセットを生成することを特徴とする請求項1又は2に記載の通信制御装置。
【請求項4】
上記ルールセット生成手段は、通信制御用のプロトコルで用いられる通信ポート番号及び通信ポート型を利用して、パケットフィルタリングのルールセットを生成することを特徴とする請求項1〜3のいずれかに記載の通信制御装置。
【請求項5】
当該通信制御装置のセキュリティに係る処理を行う1又は複数のセキュリティ処理部と、
上記ルールセット生成手段が生成したルールセットを、それぞれの上記セキュリティ処理部で適用可能な形式の内容に変換するセキュリティ処理部用ルールセット変換手段と、
上記セキュリティ処理部用ルールセット変換手段が変換したルールセットを、それぞれの上記セキュリティ処理部に適用するセキュリティ処理部用ルールセット適用手段と
をさらに備えることを特徴とする請求項1〜4のいずれかに記載の通信制御装置。
【請求項6】
上記ルールセット生成手段が生成したルールセットを、当該通信制御装置のセキュリティに係る処理を行う1又は複数の外部のセキュリティ処理装置のそれぞれで適用可能な形式の内容に変換するセキュリティ装置用ルールセット変換手段と、
上記セキュリティ装置用ルールセット変換手段が変換したルールセットを、それぞれの上記セキュリティ処理装置に適用するセキュリティ装置用ルールセット適用手段と
をさらに備えることを特徴とする請求項1〜5のいずれかに記載の通信制御装置。
【請求項7】
上記疎通確認手段による疎通確認が失敗した通信装置に関する通信制御を行わないように、当該通信制御装置で通信装置間の通信制御処理を行う通信制御処理部を制御する制御手段をさらに備えることを特徴とする請求項1〜6のいずれかに記載の通信制御装置。
【請求項8】
通信制御用のプロトコルごとに、当該通信制御用のプロトコルに係る運用管理用のプロトコルの情報を記憶する運用管理プロトコル情報記憶手段と、
上記ルールセット生成手段が生成するルールセットには、さらに、パケットの受信許可をする通信制御用のプロトコルに係る運用管理用のプロトコルについても、パケットの受信許可をするルールが適用されていることを特徴とする請求項1〜7のいずれかに記載の通信制御装置。
【請求項9】
当該通信制御装置で通信装置間の通信制御処理を行う通信制御処理部で、通信制御中の呼に係るパケットを受信拒否する内容のルールセットが、上記ルールセット生成手段により生成された場合には、上記通信制御処理部上で、その呼に係るリソースを開放するリソース開放手段をさらに有することを特徴とする請求項1〜8のいずれかに記載の通信制御装置。
【請求項10】
1又は複数の他の通信制御装置との通信結果を利用して、当該通信制御装置を運用系動作モード又は待機系動作モードのいずれの動作モードで動作させるかを決定する動作モード決定手段と、
上記動作モード決定手段が決定した動作モードに従って、当該通信制御装置の動作を制御する動作制御手段と
をさらに有することを特徴とする請求項1〜9のいずれかに記載の通信制御装置。
【請求項11】
上記動作モード決定手段が、当該通信制御装置を運用系動作モードとして動作させると決定した場合に、少なくとも、上記ルールセット生成手段が生成したルールセットのデータを、待機系動作モードで動作している他の通信制御装置に送信するデータ送信手段をさらに備える
ことを特徴とする請求項10に記載の通信制御装置。
【請求項12】
上記動作モード決定手段が、当該通信制御装置を待機系動作モードとして動作させると決定した場合に、運用系動作モードで動作している他の通信制御装置から供給されたルールセットのデータを、上記パケットフィルタリング手段に設定するデータ設定手段をさらに備える
ことを特徴とする請求項10又は11に記載の通信制御装置。
【請求項13】
IP通信を行う通信装置間の通信制御をする通信制御装置に搭載されたコンピュータを、
通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、
通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、
少なくとも、上記通信装置情報記憶手段に記憶されている情報と、上記疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、
上記ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と
して機能させることを特徴とする通信制御プログラム。
【請求項14】
IP通信を行う通信装置間の通信制御をする通信制御装置を1又は複数備える通信システムにおいて、上記通信制御装置として、請求項1〜請求項12のいずれかに記載の通信制御装置を適用したことを特徴とする通信システム。
【請求項1】
IP通信を行う通信装置間の通信制御をする通信制御装置において、
通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、
通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、
少なくとも、上記通信装置情報記憶手段に記憶されている情報と、上記疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、
上記ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と
を備えることを特徴とする通信制御装置。
【請求項2】
上記ルールセット生成手段が生成するルールセットには、上記疎通確認手段により、疎通確認が成功した通信装置が対応する通信制御用のプロトコルのパケットについてだけ受信許可をするルールが適用されていることを特徴とする請求項1に記載の通信制御装置。
【請求項3】
上記ルールセット生成手段は、通信制御用のプロトコルで用いられる通信ポート番号を利用して、パケットフィルタリングのルールセットを生成することを特徴とする請求項1又は2に記載の通信制御装置。
【請求項4】
上記ルールセット生成手段は、通信制御用のプロトコルで用いられる通信ポート番号及び通信ポート型を利用して、パケットフィルタリングのルールセットを生成することを特徴とする請求項1〜3のいずれかに記載の通信制御装置。
【請求項5】
当該通信制御装置のセキュリティに係る処理を行う1又は複数のセキュリティ処理部と、
上記ルールセット生成手段が生成したルールセットを、それぞれの上記セキュリティ処理部で適用可能な形式の内容に変換するセキュリティ処理部用ルールセット変換手段と、
上記セキュリティ処理部用ルールセット変換手段が変換したルールセットを、それぞれの上記セキュリティ処理部に適用するセキュリティ処理部用ルールセット適用手段と
をさらに備えることを特徴とする請求項1〜4のいずれかに記載の通信制御装置。
【請求項6】
上記ルールセット生成手段が生成したルールセットを、当該通信制御装置のセキュリティに係る処理を行う1又は複数の外部のセキュリティ処理装置のそれぞれで適用可能な形式の内容に変換するセキュリティ装置用ルールセット変換手段と、
上記セキュリティ装置用ルールセット変換手段が変換したルールセットを、それぞれの上記セキュリティ処理装置に適用するセキュリティ装置用ルールセット適用手段と
をさらに備えることを特徴とする請求項1〜5のいずれかに記載の通信制御装置。
【請求項7】
上記疎通確認手段による疎通確認が失敗した通信装置に関する通信制御を行わないように、当該通信制御装置で通信装置間の通信制御処理を行う通信制御処理部を制御する制御手段をさらに備えることを特徴とする請求項1〜6のいずれかに記載の通信制御装置。
【請求項8】
通信制御用のプロトコルごとに、当該通信制御用のプロトコルに係る運用管理用のプロトコルの情報を記憶する運用管理プロトコル情報記憶手段と、
上記ルールセット生成手段が生成するルールセットには、さらに、パケットの受信許可をする通信制御用のプロトコルに係る運用管理用のプロトコルについても、パケットの受信許可をするルールが適用されていることを特徴とする請求項1〜7のいずれかに記載の通信制御装置。
【請求項9】
当該通信制御装置で通信装置間の通信制御処理を行う通信制御処理部で、通信制御中の呼に係るパケットを受信拒否する内容のルールセットが、上記ルールセット生成手段により生成された場合には、上記通信制御処理部上で、その呼に係るリソースを開放するリソース開放手段をさらに有することを特徴とする請求項1〜8のいずれかに記載の通信制御装置。
【請求項10】
1又は複数の他の通信制御装置との通信結果を利用して、当該通信制御装置を運用系動作モード又は待機系動作モードのいずれの動作モードで動作させるかを決定する動作モード決定手段と、
上記動作モード決定手段が決定した動作モードに従って、当該通信制御装置の動作を制御する動作制御手段と
をさらに有することを特徴とする請求項1〜9のいずれかに記載の通信制御装置。
【請求項11】
上記動作モード決定手段が、当該通信制御装置を運用系動作モードとして動作させると決定した場合に、少なくとも、上記ルールセット生成手段が生成したルールセットのデータを、待機系動作モードで動作している他の通信制御装置に送信するデータ送信手段をさらに備える
ことを特徴とする請求項10に記載の通信制御装置。
【請求項12】
上記動作モード決定手段が、当該通信制御装置を待機系動作モードとして動作させると決定した場合に、運用系動作モードで動作している他の通信制御装置から供給されたルールセットのデータを、上記パケットフィルタリング手段に設定するデータ設定手段をさらに備える
ことを特徴とする請求項10又は11に記載の通信制御装置。
【請求項13】
IP通信を行う通信装置間の通信制御をする通信制御装置に搭載されたコンピュータを、
通信制御対象の通信装置ごとに、当該通信装置が対応する通信制御用のプロトコルの情報を記憶している通信装置情報記憶手段と、
通信制御対象の通信装置のそれぞれと疎通確認を行う疎通確認手段と、
少なくとも、上記通信装置情報記憶手段に記憶されている情報と、上記疎通確認手段の疎通確認結果とを利用して、当該通信制御装置に係るパケットフィルタリングのルールセットを生成するルールセット生成手段と、
上記ルールセット生成手段が生成したルールセットに基づいて、他の通信装置から当該通信制御装置に与えられたパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と
して機能させることを特徴とする通信制御プログラム。
【請求項14】
IP通信を行う通信装置間の通信制御をする通信制御装置を1又は複数備える通信システムにおいて、上記通信制御装置として、請求項1〜請求項12のいずれかに記載の通信制御装置を適用したことを特徴とする通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【公開番号】特開2012−34334(P2012−34334A)
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願番号】特願2011−11959(P2011−11959)
【出願日】平成23年1月24日(2011.1.24)
【出願人】(308033722)株式会社OKIネットワークス (165)
【Fターム(参考)】
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願日】平成23年1月24日(2011.1.24)
【出願人】(308033722)株式会社OKIネットワークス (165)
【Fターム(参考)】
[ Back to top ]