IP電話端末、サーバ装置、認証装置、通信システム、通信方法、およびプログラム
【課題】IP電話端末を介して接続するPCを利用するための操作を簡略化するIP電話端末を提供する。
【解決手段】ネットワークとPCとの間でメッセージを転送可能なスイッチ部110と、ユーザIDを入力する入力部126bと、ユーザのアドレス情報を含む登録メッセージを生成する生成部123aと、登録メッセージをプロキシサーバに送信し、登録メッセージに含まれるアドレス情報の登録可否を表す登録情報と、ネットワークに対するPCの接続可否を表す接続情報とを含む応答メッセージをプロキシサーバから受信する送受信部123bと、応答メッセージに、ネットワークに対するPCの接続を許可する接続情報が含まれる場合に、ネットワークとPCとの間でメッセージを転送するようにスイッチ部110を制御する制御部127と、を備えた。
【解決手段】ネットワークとPCとの間でメッセージを転送可能なスイッチ部110と、ユーザIDを入力する入力部126bと、ユーザのアドレス情報を含む登録メッセージを生成する生成部123aと、登録メッセージをプロキシサーバに送信し、登録メッセージに含まれるアドレス情報の登録可否を表す登録情報と、ネットワークに対するPCの接続可否を表す接続情報とを含む応答メッセージをプロキシサーバから受信する送受信部123bと、応答メッセージに、ネットワークに対するPCの接続を許可する接続情報が含まれる場合に、ネットワークとPCとの間でメッセージを転送するようにスイッチ部110を制御する制御部127と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、PCなどの外部端末とネットワークとの中継機能を備えたIP電話端末、IP電話端末のユーザのアドレス情報を登録するサーバ装置、IP電話端末のユーザを認証する認証装置、各装置を含む通信システム、各装置による通信方法、およびIP電話端末のプログラムに関する。
【背景技術】
【0002】
あるネットワークシステムに対して認証された端末に対してのみネットワークアクセスを許可するためのプロトコルとして、IEEE(Institute of Electrical and Electronic Engineers)802.1Xなどのネットワークアクセス認証プロトコルが知られている。
【0003】
IEEE802.1Xの認証(以下、802.1X認証という)では、接続した装置に対してポートレベルでの認証と接続許可を行う。通常、802.1X認証は、インフラスイッチと、インフラスイッチに直接接続された装置との間で行われる。
【0004】
特許文献1では、スイッチなどを介してIEEE802.1Xに対応したポートに接続された複数の端末のうち、いずれかの端末が802.1X認証されることで、すべての端末に対して接続を許可する技術が提案されている。
【0005】
特許文献2では、IEEE802.1Xに対応したポートに、スイッチなどを介して複数の端末を接続した場合、各端末のMACアドレスをベースにして、端末ごとに、802.1X認証および接続許可を行う技術が提案されている。
【0006】
特許文献3では、IP電話端末とシンクライアント端末との対応付けた情報を事前に管理し、各端末へのシングルサインオンを実現する技術が提案されている。
【0007】
また、近年、通信装置間に介在し通信を制御・中継するシグナリング手順であるSIP(Session Initiation Protocol)などを用いてIPネットワーク上で電話網を実現したIP電話システムが広く知られている。IP電話システムで利用されるIP電話端末は、イーサネット(登録商標)などによってケーブリングされ、IPネットワーク上でSIPなどにより呼制御およびメディア転送を行うことで電話機能を実現する。
【0008】
ユーザは、IP電話端末の利用を開始する際、IP電話端末に対してユーザのSIPアドレスを登録する必要がある。SIPアドレスの登録とは、ユーザのSIPアドレスとIP電話端末のSIPアドレスとを対応づける処理である。この登録処理では、ユーザはIP電話端末に対して、認証ID/パスワードなどを入力する。SIPアドレスの登録処理は、ユーザ宛の着信呼を正しく受信し、発呼者を正しく識別し、また、ユーザごとのIP電話端末の拡張機能(短縮ダイヤルなど)を設定するために必要である。ただし、ユーザの簡便性のため、ユーザが認証IDやパスワードを入力しなくとも、既定のユーザによるSIPアドレス登録がされているとみなして、着信や発信ができるように設定されることもある。
【0009】
オフィス向けIP電話端末は、デスクまわりのケーブリングを容易にするため、アップリンクとダウンリンクをそれぞれ1つずつ備えるスイッチ部品を内蔵するものが多い。すなわち、インフラスイッチのポートに、IP電話端末のアップリンクが接続され、IP電話端末製品のダウンリンクに、通常のPCなどが接続される。このような接続形態により、1つのデスクに対して割り当てられた1つのポートで、1台のIP電話端末とPCとを利用することが可能となる。
【0010】
一般に、このような接続形態では、PCを収容するVLAN(Virtual Local Area Network)を802.1X認証の認証結果に応じて切り替えるように構成される。この場合、例えば、PCが、802.1X Supplicantとなり、IP電話端末が内蔵するスイッチが802.1X Authenticatorとなり、インフラネットワークに接続される認証サーバが802.1X Authentication Serverとなる。そして、認証サーバ、IP電話端末、およびPCの三者間で、PCに対する802.1X認証が実行される。認証サーバによってPCが認証されると、IP電話端末が、認証サーバから通知されたVLANの情報を参照してPCを接続するVLANを決定し、対応するポートのVLAN設定を変更する。
【0011】
【特許文献1】特開2006−352468号公報
【特許文献2】特開2006−67057号公報
【特許文献3】特開2007−206851号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
しかしながら、上記のようにIP電話端末を介してPCをインフラネットワークに接続する環境では、IP電話端末上でSIPアドレスの登録処理を実行するとともに、PC上で認証処理を行う必要があるため、PCを利用するための操作が煩雑になるという問題があった。
【0013】
具体的には、ユーザは、IP電話端末が設置されたデスクにて、IP電話端末とPCの利用を開始するために、以下のような操作を行う必要がある。すなわち、ユーザは、まず(1)PCをIP電話端末のダウンリンクに接続する。次に、(2)IP電話端末を操作し、ユーザ自身のSIPアドレスを登録する。そして、(3)接続したPCからインフラネットワークに対して802.1X認証を行い、接続許可およびVLAN割り当てを受ける。
【0014】
本発明は、上記に鑑みてなされたものであって、IP電話端末を介して接続するPCを利用するための操作を簡略化することができるIP電話端末、サーバ装置、認証装置、通信システム、通信方法、およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0015】
上述した課題を解決し、目的を達成するために、本発明は、外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に、ユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録することによってIP電話機能を提供するIP電話端末であって、前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する生成部と、前記登録メッセージを前記サーバ装置に送信する送信部と、前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する受信部と、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、を備えたことを特徴とする。
【0016】
また、本発明は、外部端末とネットワークとの接続を仲介するIP電話端末に、前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置であって、前記アドレス情報の登録を要求する登録メッセージを前記IP電話端末から受信する受信部と、前記アドレス情報が登録可能か否かを判定する認証処理部と、前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する生成部と、生成された前記応答メッセージを前記IP電話端末に送信する送信部と、を備えたことを特徴とする。
【0017】
また、本発明は、外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置とに、前記ネットワークを介して接続された認証装置であって、前記アドレス情報のユーザを識別するユーザIDの認証を要求する要求メッセージを前記サーバ装置から受信する受信部と、前記要求メッセージに含まれる前記ユーザIDを認証する認証処理部と、前記認証処理部による認証結果と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを前記サーバ装置に送信する送信部と、を備えたことを特徴とする。
【0018】
また、本発明は、外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末に前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置と、を備えた通信システムであって、前記IP電話端末は、前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する第1生成部と、前記登録メッセージを前記サーバ装置に送信する第1送信部と、前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する第1受信部と、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、を備え、前記サーバ装置は、前記登録メッセージを前記IP電話端末から受信する第2受信部と、前記アドレス情報が登録可能か否かを判定する認証処理部と、前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する第2生成部と、生成された前記応答メッセージを前記IP電話端末に送信する第2送信部と、を備えたこと、を特徴とする。
【0019】
また、本発明は、外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末に前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置と、を備えた通信システムで実行される通信方法であって、前記IP電話端末は、前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、を備え、前記IP電話端末が、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する第1生成ステップと、前記IP電話端末が、前記登録メッセージを前記サーバ装置に送信する第1送信部ステップと、前記サーバ装置が、前記登録メッセージを前記IP電話端末から受信する第1受信ステップと、前記サーバ装置が、前記アドレス情報が登録可能か否かを判定する認証処理ステップと、前記サーバ装置が、前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する第2生成ステップと、前記サーバ装置が、生成された前記応答メッセージを前記IP電話端末に送信する第2送信ステップ部と、前記IP電話端末が、前記応答メッセージを前記サーバ装置から受信する第2受信ステップと、前記IP電話端末が、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御ステップと、を備えたことを特徴とする。
【0020】
また、本発明は、外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に、ユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録することによってIP電話機能を提供するIP電話端末で実行されるプログラムであって、前記IP電話端末は、前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、を備え、前記IP電話端末を、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する生成部と、前記登録メッセージを前記サーバ装置に送信する送信部と、前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する受信部と、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、として機能させるプログラムである。
【発明の効果】
【0021】
本発明によれば、IP電話端末を介して接続するPCを利用するための操作を簡略化することができるという効果を奏する。
【発明を実施するための最良の形態】
【0022】
以下に添付図面を参照して、この発明にかかる装置、方法およびプログラムの最良な実施の形態を詳細に説明する。
【0023】
本実施の形態にかかるIP電話端末は、IP電話端末のログイン認証が成功したときに、ユーザのSIPアドレスの登録とともに、IP電話端末が接続を仲介する外部端末であるPCのVLANを設定する。これにより、別途PCでネットワークアクセス認証を実行する必要がなくなる。
【0024】
なお、以下では認証プロトコルとしてIEEE802.1Xを用いた例を説明するが、適用可能な認証プロトコルはこれに限られず、認証結果に応じてネットワークへのアクセス可否またはアクセスを許可するネットワークを変更可能なプロトコルであれば、あらゆる認証プロトコルに適用できる。
【0025】
図1は、本実施の形態にかかる通信システムの一例であるIP電話システムのネットワーク構成の概念図である。図1に示すように、本実施の形態のIP電話システムは、各デスクスペースを表すデスク150a〜150cに設置されたIP電話端末100a〜100cおよびPC300a〜300cと、インフラスイッチ200と、プロキシサーバ600と、認証サーバ700とを含んでいる。
【0026】
同図の接続形態では、複数のIP電話端末100a〜100cが、それぞれデスク150a〜150cに備えられている。また、例えば各ユーザに割り当てられた携帯型のPC300a〜300cが、それぞれデスク150a〜150cに備えられている。なお、IP電話端末100a〜100cは、それぞれ同様の構成を備えるため、以下では単にIP電話端末100という場合がある。同様に、PC300a〜300cを単にPC300という場合がある。なお、IP電話端末100およびPC300の個数は3台に限られるものではない。
【0027】
インフラスイッチ200は、オフィスのネットワークインフラの一部として運用されるスイッチ装置であり、PC300やIP電話端末100を接続するためのエッジデバイスに相当する。インフラスイッチ200は、デスク150ごとに一つの物理ポートを割り当て、一本のイーサネット(登録商標)ケーブルを提供する。また、インフラスイッチ200は、複数のVLANを取り扱うことができる。
【0028】
本実施の形態では、以下のVLANが設定されていることとする。
(1)IP電話ネットワークVLAN:IP電話機能を実現する装置を収容するVLANである。IP電話端末100、プロキシサーバ600、およびユーザを認証する認証サーバ700などが収容される。同図では、IP電話ネットワーク510が本VLANに相当する。このVLANを識別するVLAN ID(以下、VIDという)は「18」であるものとする。
(2)PCネットワークVLAN:ユーザが接続するPC300を収容するVLANである。ユーザの所属部署などによって、ユーザのPC300を収容するVLANは異なる。このVLANに接続するためには、ユーザの認証が必要となる。同図では、PCネットワーク520、530が本VLANに相当する。PCネットワーク520およびPCネットワーク530のVIDはそれぞれ「16」および「17」であるものとする。
(3)ゲストネットワークVLAN:ユーザが接続するPC300を収容するVLANである。このVLANに接続する際には、ユーザの認証は不要である。すなわち、認証を実行する前の未認証の状態のPC300が、このVLANに収容される。同図では、ゲストネットワーク540が本VLANに相当する。このVLANのVIDは「19」であるものとする。
【0029】
なお、各VLANは、ルータやスイッチ(図示せず)などにより構成される通常のIPネットワークであり、各VLAN間は、ファイアウォール装置(図示せず)により相互にアクセスができないように構成される。
【0030】
IP電話端末100は、デスクスペースを利用するユーザに対してIP電話機能を提供するIP電話処理部120と、スイッチ機能を提供する転送部としてのスイッチ部110とを備えている。
【0031】
まず、IP電話機能について説明する。IP電話端末100は、IP電話機能の呼制御にSIPを利用する。IP電話端末100は、通常の電話機能を利用するためのダイヤル部、ヘッドセット(スピーカとマイク)を備えている。すなわち、ユーザは、ダイヤル部を用いて発信先のアドレスをダイヤルすることによる発呼機能や、IP電話端末100を指定した呼を着呼してヘッドセットを用いて通話する機能などの通常の電話と同様の機能を利用できる。
【0032】
ただし、以下の機能を利用するためには、デスクスペースユーザは、IP電話端末100のダイヤル部を利用して、ユーザのSIPアドレス登録を行わなければならない。
(1)デスクスペースユーザのアドレスを発信元と明示した発呼
(2)デスクスペースユーザを指定した呼の着呼
(3)デスクスペースユーザが利用するIP電話拡張機能(短縮ダイヤル、Voice Mail設定、ユーザ毎の転送設定、ユーザ毎の着信拒否設定など)
【0033】
次に、スイッチ機能について説明する。上述のように、IP電話端末100は、スイッチ機能を提供するスイッチ部110を内蔵している。スイッチ部110は、IP電話処理部120aを、IP電話ネットワークVLAN(IP電話ネットワーク510)に収容する。
【0034】
なお、IP電話端末100は、接続インタフェースとして、イーサネット(登録商標)を接続するためのアップリンクとダウンリンクをそれぞれ一つずつ備える。アップリンクは、インフラスイッチ200のポートに接続され、インフラスイッチ200との間でVLANトランク接続が行われる。一方、ダウンリンクは、PC300を接続するために用いられる。IP電話端末100は、IP電話端末100でログイン操作を行った結果アクセスが許可されたVLANにPC300を収容する。
【0035】
PC300は、ユーザがデスクスペースに持ち込み、IP電話端末100のダウンリンクに接続して利用する端末である。ユーザは、PC300をIP電話端末100のダウンリンクに接続することで、ネットワーク機能を利用することができる。本実施の形態では、同一のデスクスペースに設置されるIP電話端末100とPC300は、同一のユーザによって利用されることを仮定する。
【0036】
プロキシサーバ600は、IP電話端末100に対してSIPによる呼処理サービスを提供するためのサーバ装置である。例えば、プロキシサーバ600は、SIPメッセージのルーティング、SIPアドレス登録、およびSIPアドレス登録に伴うユーザの認証を行う。本実施の形態では、プロキシサーバ600は、さらに、SIPアドレス登録時のユーザ認証の際にユーザに対してVLANを付与する機能を備えている。
【0037】
認証サーバ700は、ユーザの情報を保持し、ユーザを認証する認証装置である。本実施の形態では、プロキシサーバ600からの要求に応じて、SIPアドレス登録時のユーザ認証のために利用される。また、本実施の形態の認証サーバ700は、ユーザに対するネットワークサービス利用の可否、または利用可能なネットワーク(VLAN)を決定する機能を備えている。
【0038】
次に、本実施の形態のIP電話システムのレイヤー3(ネットワーク層)およびレイヤー2(データリンク層)でのネットワーク構成について説明する。図2は、図1のネットワーク概念図に対応するレイヤー3のネットワーク構成の一例を表す図である。また、図3は、図1のネットワーク概念図に対応するレイヤー2のネットワーク構成の一例を表す図である。
【0039】
図2に示すように、各VLAN(IP電話ネットワーク510、PCネットワーク520、530、およびゲストネットワーク540)は、ルータ(Router)800を介して接続される。また、同図に示すように、IP電話ネットワーク510は、プロキシサーバ600と、認証サーバ700と、各IP電話端末100のIP電話処理部120a〜120cとによって構成される。なお、同図は、PC300aがPCネットワーク520に収容され、PC300bがPCネットワーク530に収容される例を示している。また、同図は、未認証のため、PC300cがゲストネットワーク540に収容される例を示している。
【0040】
図3は、各PC300が図2に示すVLANにそれぞれ収容される場合のレイヤー2でのネットワーク構成を示す図に相当する。図3に示すように、インフラスイッチ200は、IP電話ネットワーク510、PCネットワーク520、PCネットワーク530、およびゲストネットワーク540に対して、それぞれVID=18、16、17および19でVLAN接続される。また、インフラスイッチ200は、IP電話端末100a〜100cそれぞれとトランク接続される。
【0041】
IP電話端末100aのスイッチ部110aは、IP電話処理部120aおよびPC300aとの間で、それぞれVID=18および16でVLAN接続される。同様に、IP電話端末100bのスイッチ部110bは、IP電話処理部120bおよびPC300bとの間で、それぞれVID=18および17でVLAN接続される。また、IP電話端末100cのスイッチ部110cは、IP電話処理部120cおよびPC300cとの間で、それぞれVID=18および19でVLAN接続される。
【0042】
次に、IP電話端末100の機能および構成の詳細について説明する。図4は、IP電話端末100の詳細な構成を示すブロック図である。図4に示すように、IP電話端末100は、インフラI/F部101と、PC I/F部102と、スイッチ部110と、IP電話処理部120とを備えている。
【0043】
インフラI/F部101は、インフラスイッチ200との間のイーサネット(登録商標)ケーブル接続を終端し、ネットワークインタフェース機能を提供する。具体的には、インフラI/F部101は、各VLAN宛のフレームを外部に送出し、IP電話端末100宛およびPC300宛のフレームを受信してスイッチ部110に転送する。
【0044】
PC I/F部102は、PC300との間のイーサネット(登録商標)ケーブル接続を終端し、ネットワークインタフェース機能を提供する。具体的には、PC I/F部102は、PC300宛のフレームを外部に送出し、各VLAN宛およびIP電話端末100宛のフレームを受信しスイッチ部110に転送する。また、PC I/F部102は、PC300が接続されたこと、およびPC300との接続が切断されたことを検出する検出部102aを備えている。
【0045】
スイッチ部110は、イーサネット(登録商標)フレームをその宛先にあわせて転送するイーサネット(登録商標)スイッチである。また、スイッチ部110はVLANに対応している。すなわち、スイッチ部110は、インフラI/F部101、PC I/F部102、およびIP電話処理部120内のIP電話I/F部121(後述)の各I/F部に対して、VLAN IDを割り当て、特定のVLANのトラフィックのみを各I/F部に転送するように設定することができる。これらのVLANの設定は、IP電話処理部120内の制御部127(後述)によって実行される。
【0046】
IP電話処理部120は、詳細な構成として、IP電話I/F部121と、TCP/IPプロトコルスタック部122と、メッセージ処理部123と、メディア処理部124と、アプリケーション部125と、ユーザI/F部126と、制御部127と、を備えている。
【0047】
IP電話I/F部121は、IP電話端末100の内部的なネットワークインタフェースである。IP電話I/F部121は、各VLAN宛およびPC300宛のフレームをスイッチ部110に転送し、IP電話端末100宛のフレームをスイッチ部110から受信する。また、IP電話I/F部121は、IP電話端末100宛のフレームをTCP/IPプロトコルスタック部122に転送する。
【0048】
TCP/IPプロトコルスタック部122は、IP電話機能を実現するためのTCP/IPプロトコルの処理を行う。具体的には、TCP/IPプロトコルスタック部122は、メッセージ処理部123およびメディア処理部124がそれぞれSIPメッセージおよびメディアを送受信するために必要なTCP/IPプロトコル処理を実行する。
【0049】
メッセージ処理部123は、SIPのプロトコル標準におけるSIP UAの仕様にしたがって、IP電話機能を実現するための呼制御を実行する。例えば、メッセージ処理部123は、アプリケーション部125の指示に従ってSIPメッセージを作成し、TCP/IPプロトコルスタック部122を介して送信する。また、メッセージ処理部123は、TCP/IPプロトコルスタック部122から受信したSIPメッセージを識別し、必要な呼制御情報をアプリケーション部125に通知する。
【0050】
メッセージ処理部123は、さらに詳細な構成として、生成部123aと、送受信部123bと、を備えている。
【0051】
生成部123aは、呼制御に用いる各種SIPメッセージを生成する。例えば、生成部123aは、IP電話端末100のユーザのSIPアドレスをプロキシサーバ600に登録するための登録メッセージであるSIP Register Requestメッセージを生成する。
【0052】
送受信部123bは、TCP/IPプロトコルスタック部122を介して各種メッセージを送受信する。例えば、送受信部123bは、生成部123aによって生成されたSIP Register Requestメッセージをプロキシサーバ600に送信する。また、送受信部123bは、SIP Register Requestメッセージに対する応答としてプロキシサーバ600から送信された応答メッセージである200 OK Responseメッセージなどを受信する。
【0053】
なお、本実施の形態では、プロキシサーバ600は、SIPアドレスの登録が許可されたユーザのPC300を収容するVLANのVIDを含む200 OK Responseメッセージを、IP電話端末100に送信する(詳細は後述)。そこで、メッセージ処理部123は、このメッセージからVIDを抽出し、PC I/F部102のVLAN設定を抽出したVIDに変更するように制御部127(後述)に依頼する。
【0054】
メディア処理部124は、IP電話機能を実現するために音声や映像などの情報であるメディア情報を処理するメディア処理を行う。具体的には、メディア処理部124は、アプリケーション部125の指示に従い、TCP/IPプロトコルスタック部122を介してメディアパケット(RTP/RTCP)を送信する。また、TCP/IPプロトコルスタック部122から受信したメディアパケットを識別し、メディア情報をアプリケーション部125に通知する。
【0055】
アプリケーション部125は、呼制御およびメディア処理を行うことによってIP電話機能を実現するためのアプリケーションである。アプリケーション部125は、呼制御およびメディア処理のためにメッセージ処理部123およびメディア処理部124をそれぞれ利用する。アプリケーション部125は、ユーザI/F部126を介してユーザに操作される。
【0056】
ユーザI/F部126は、ユーザがIP電話機能を利用するためのユーザインタフェースを提供する。ユーザI/F部126は、認証のために用いるユーザ名やパスワードなどのデータを入力するための入力部126aと、データ入力のためのプロンプトや表示画面を表示するための表示部126bとを備えている。入力部126aは、例えば、ダイヤル、操作ボタン、またはキーボードなどによって構成することができる。また、表示部126bは、LCD(Liquid Crystal Display)などによって構成することができる。この他、ユーザI/F部126は、例えば、ヘッドセット(スピーカ、マイク)、呼び出しスピーカ、およびLED(Light Emitting Diode)などを含むように構成することができる。
【0057】
ユーザI/F部126は、ユーザの操作情報をもとに、IP電話機能を利用するために必要な情報であるSIPアプリケーション制御情報を生成し、アプリケーション部125を制御する。例えば、ユーザI/F部126は、ダイヤルされた番号である操作情報から、発信処理に必要なSIPアプリケーション制御情報を生成してアプリケーション部125を制御する。
【0058】
制御部127は、スイッチ部110のVLAN設定を行う。制御部127は、スイッチ部110に対して、3つのI/F部の所属するVLANをそれぞれ指定することができる。例えば、制御部127は、IP電話I/F部121が所属するVLANと、PC I/F部102が所属するVLANとをそれぞれ別に設定することにより、スイッチ部110がこの両方のVLANをインフラI/F部101を介して中継するように設定することができる。
【0059】
なお、通常、VLANの設定は、IP電話端末100またはシステムの保守者によって、保守インタフェース等を介して、システム運用開始前に事前に設定される。例えば、IP電話I/F部121に対してはVID=18が設定され、PC I/F部102に対しては、デフォルトのVLANのVIDとしてゲストネットワーク540のVID=19が設定される。
【0060】
本実施の形態では、制御部127が、メッセージ処理部123からの依頼に応じて、PC I/F部102のVLAN設定を、200 OK Responseメッセージに含まれるVIDに動的に変更するようにスイッチ部110を制御する。これにより、SIPアドレス登録処理と同時に、PC300を収容するVLANの設定を完了させることができる。
【0061】
次に、プロキシサーバ600の機能および構成の詳細について説明する。図5は、プロキシサーバ600の詳細な構成を示すブロック図である。図5に示すように、プロキシサーバ600は、記憶部610と、ネットワークI/F部601と、TCP/IPプロトコルスタック部602と、メッセージ処理部603と、認証処理部604と、ID付与部605と、を備えている。
【0062】
記憶部610は、IP電話機能の実現のために必要な各種データを記憶する。例えば、記憶部610は、SIPアドレスの対応関係を保持するSIPロケーションDBを記憶する。具体的には、SIPロケーションDBは、呼の宛先としてSIPメッセージに指定されるSIPアドレスであるAoR(Address of Record)と、呼の本来の宛先となるSIPアドレスであるコンタクトアドレスとを対応づけて保持する。SIPロケーションDBは、メッセージ処理部603から参照・更新される。例えば、メッセージ処理部603は、認証されたユーザのAoRとコンタクトアドレスとを対応づけてSIPロケーションDBに登録する。
【0063】
なお、記憶部610に記憶されたSIPロケーションDBなどのデータベースを、外部の他のサーバ装置が保持し、プロキシサーバ600から参照・更新するように構成してもよい。また、記憶部610は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
【0064】
ネットワークI/F部601は、プロキシサーバ600をネットワーク(IP電話ネットワーク510)に接続するインタフェースである。ネットワークI/F部601は、TCP/IPプロトコルスタック部602から受け取ったフレームをネットワークに送出し、ネットワークから受け取ったフレームをTCP/IPプロトコルスタック部602に転送する。
【0065】
TCP/IPプロトコルスタック部602は、IP電話機能を実現するためのTCP/IPプロトコルの処理を行う。具体的には、TCP/IPプロトコルスタック部602は、メッセージ処理部603がSIPメッセージを送受信するために必要なTCP/IPプロトコル処理を実行する。
【0066】
メッセージ処理部603は、SIPのプロトコル標準におけるSIP Proxyの仕様にしたがって、IP電話機能を実現するための呼制御を実行する。具体的には、メッセージ処理部603は、TCP/IPプロトコルスタック部602から受信したSIPメッセージを解釈して、SIPメッセージに必要な修正を加えた後、TCP/IPプロトコルスタック部602に対して送信する。この際、メッセージ処理部603は、記憶部610のSIPロケーションDBに格納されたSIPアドレスの対応関係を参照する。また、メッセージ処理部603は、SIPアドレス登録のための認証を認証処理部604に対して依頼する。
【0067】
メッセージ処理部603は、さらに詳細な構成として、生成部603aと、送受信部603bと、を備えている。
【0068】
生成部603aは、呼制御に用いる各種SIPメッセージを生成する。例えば、生成部603aは、IP電話端末100によって送信されたSIP Register Requestメッセージに対する応答メッセージとして、認証サーバ700によって認証結果とともに通知されたVIDを含む200 OK Responseメッセージを生成する。
【0069】
送受信部603bは、TCP/IPプロトコルスタック部602を介して各種メッセージを送受信する。例えば、送受信部603bは、SIPアドレスを登録するためのSIP Register RequestメッセージをIP電話端末100から受信する。また、送受信部603bは、生成部603aによって生成された200 OK ResponseメッセージをIP電話端末100に送信する。
【0070】
認証処理部604は、SIPアドレスの登録を要求したユーザを認証するための認証処理を実行する。認証処理部604は、SIPアドレスの登録要求を受けたメッセージ処理部603によって、登録の可否を判断するために利用される。すなわち、メッセージ処理部603は、認証処理部604を利用してダイジェスト認証を実行することによって、あるユーザがそのSIPアドレスを利用可能であるか否かを決定する。
【0071】
本実施の形態の認証処理部604は、RADIUSなどのAAAプロトコルによってアクセスする認証サーバ700を利用してユーザを認証する。なお、認証サーバ700を利用せず、認証に必要なデータをプロキシサーバ600内に保持して、プロキシサーバ600内部で認証を完結させるように構成してもよい。
【0072】
ID付与部605は、認証処理部604が、あるユーザに対してSIPアドレスの利用を許可した際に、そのユーザが所属するVLANのVIDを特定し、特定したVIDをSIPメッセージに含めるためにメッセージ処理部603に通知する。具体的には、ID付与部605は、認証サーバ700によって通知された認証結果を通知するメッセージから、認証されたユーザに対応するVIDを抽出し、ユーザが所属するVLANのVIDとして特定する。
【0073】
なお、ユーザごとに割り当てるVLANのVIDをプロキシサーバ600内に保持し、プロキシサーバ600内部でVIDの付与を完結させるように構成してもよい。また、ID付与部605が、認証サーバ700、または、認証サーバ700とは異なるLDAPサーバなどの外部サーバに、AAAプロトコルと異なる他のプロトコルでアクセスし、ユーザに対応するVIDを取得するように構成してもよい。
【0074】
次に、認証サーバ700の機能および構成の詳細について説明する。図6は、認証サーバ700の詳細な構成を示すブロック図である。図6に示すように、認証サーバ700は、記憶部710と、送受信部701と、認証処理部702とを備えている。
【0075】
記憶部710は、ユーザの認証に用いる認証情報を記憶する。図7は、記憶部710に記憶された認証情報のデータ構造の一例を示す図である。図7に示すように、認証情報は、ユーザを識別する識別情報(ユーザID)として用いるユーザ名と、パスワードと、SIPアドレスと、VLAN ID(VID)と、認証アルゴリズムとを格納している。なお、最小限必要な情報は、ユーザ名とパスワードである。例えば、プロキシサーバ600内でユーザに対応するVIDを管理する場合は、VIDは不要である。また、認証アルゴリズムが各ユーザで共通の場合は、認証アルゴリズムを記憶する必要はない。また、認証情報には、認証アルゴリズム以外の任意の情報をユーザエントリごとに設定することができる。
【0076】
同図では、あるユーザに対し、ユーザ名=「alice」、パスワード=「pass」、利用可能なSIPアドレス(AoR)=「alice@example.com」、付与可能なVID=「16」、および適用する認証アルゴリズムが「MD5」である認証情報の例が示されている。これは、ユーザ名=「alice」のユーザは、VID=「16」である図1のPCネットワーク520にアクセス可能であることを意味している。
【0077】
図6に戻り、送受信部701は、AAAプロトコルにしたがい、プロキシサーバ600などの外部装置との間でユーザ認証処理で用いる各種メッセージを送受信する。本実施の形態では、AAAプロトコルとしてRADIUSプロトコルを適用した例を説明する。
【0078】
例えば、送受信部701は、ユーザの認証を要求するメッセージであるRADIUSプロトコルのAccess−Requestメッセージを、プロキシサーバ600から受信する。また、送受信部701は、認証要求に対する最終的な応答メッセージとして、認証結果を表すコードとユーザに割り当てられたVIDとを含むRADIUSメッセージをプロキシサーバ600に送信する。
【0079】
認証処理部702は、RADIUSプロトコルに準拠し、プロキシサーバ600などの外部装置との間でメッセージを交換し、ユーザの認証処理を実行する。
【0080】
次に、このように構成された本実施の形態にかかるIP電話端末100によるログイン認証処理について図8および図9を用いて説明する。図8および図9は、本実施の形態におけるログイン認証処理の全体の流れを示すシーケンス図である。
【0081】
ログイン認証処理は、IP電話端末100で、ユーザがログイン操作を行った際に開始される。そして、ログイン認証処理では、IP電話端末100とプロキシサーバ600との間で、SIPアドレス登録のためのHTTPダイジェスト認証が実行されると同時に、プロキシサーバ600と認証サーバ700との間で、RADIUSプロトコルのメッセージが交換され、認証プロトコルが動作する。
【0082】
ログイン認証処理の結果として、プロキシサーバ600では、ユーザがIP電話端末100で当該ユーザのSIPアドレスを利用するためのアドレス登録が完了し、同時に、IP電話端末100では、IP電話端末100を介して接続したPC300をユーザが利用するためのアクセス許可とVLAN設定が完了する。
【0083】
まず、ユーザは、デスクスペース(デスク150)に設置されたIP電話端末100のPC I/F部102にPC300を接続する。この時点では、IP電話端末100にはいずれのユーザもログインしておらず、そのため、通常の電話機能のみ利用可能である。また、この時点では、PC300はゲストネットワーク540に収容される(ステップS801、ステップS802)。
【0084】
上述のように、本実施の形態では、ユーザは、デスクスペースに設置されたIP電話端末100とPC300の両方を利用すると仮定する。すなわち、あるデスクスペースに設置されるIP電話端末100のユーザとPC300のユーザとは同一であると仮定する。
【0085】
次に、ユーザは、IP電話端末100に対してログイン操作を行う。具体的には、ユーザは、ユーザ名とパスワードとをIP電話端末100の表示部126bに表示された表示画面等で指定する。入力部126aは、このようなログイン操作で入力されたユーザ名およびパスワードの入力を受け付ける(ステップS803)。
【0086】
以下の説明では、ユーザは、ユーザ名=「alice」、パスワード=「pass」を入力したものとする。また、IP電話端末100には、ドメイン名として、「example.com」が事前に設定されているものとする。したがって、本IP電話システムでのユーザの有効なSIPアドレス(AoR)は、ユーザ名の「alice」をユーザパートとし、ドメイン名の「example.com」をドメインパートとしたSIPアドレス「alice@example.com」となる。
【0087】
このように、本実施の形態では、ユーザ名とSIPアドレスのユーザパートとが一致していると仮定する。なお、例えばユーザ名とSIPアドレスのユーザパートとが異なる場合には、ユーザ名とSIPアドレス(AoR)とを別々に入力させるようにユーザI/F部126を構成すればよい。
【0088】
また、IP電話端末100自身が、ユーザに対してログイン操作を促すようにユーザI/F部126を制御してもよい。例えば、PC I/F部102にPC300を接続されたことを検知した検出部102aが、アプリケーション部125に検知結果を通知し、アプリケーション部125が、ユーザI/F部126に対する画面表示または音声案内等によって、ユーザに対してログイン操作を促すように構成してもよい。
【0089】
アプリケーション部125は、ユーザ入力したユーザ名およびパスワードと、ユーザ名に対応するSIPアドレスまたはユーザが入力したSIPアドレスとを保持する。そして、アプリケーション部125は、ユーザに対応するSIPアドレスを登録するように、メッセージ処理部123に依頼する。メッセージ処理部123の生成部123aは、SIPに準拠し、SIPアドレスを登録するためのSIP Register Requestメッセージを生成する(ステップS804)。
【0090】
図10は、このときに生成されるSIP Register Requestメッセージの一例を示す図である。図10に示すように、本メッセージのヘッダは、すべてSIP標準に従って構成される。なお、宛先として指定するプロキシサーバ600のアドレス「registrar.example.com」は、ログイン認証処理が開始される前にIP電話端末100に設定されており、生成部123aによって参照可能となっているものとする。
【0091】
FromヘッダおよびToヘッダに含まれるSIPアドレスは、ユーザのAoRである「alice@example.com」が指定される。Contactヘッダに含まれるSIPアドレスは、IP電話端末100に割り当てられたIPアドレスとユーザ名とからIP電話端末100が作成したコンタクトアドレスが指定される。
【0092】
図8に戻り、メッセージ処理部123の送受信部123bは、生成されたSIPメッセージをプロキシサーバ600に送信する(ステップS805)。送受信部123bによって送信が指示されたSIPメッセージは、TCP/IPプロトコルスタック部122、およびIP電話I/F部121を介してスイッチ部110に到達する。スイッチ部110は、IP電話I/F部121に対して設定されているVLANの情報に従って、このメッセージのフレームをIP電話ネットワーク510のフレームとして、インフラI/F部101から外部へと転送する。
【0093】
プロキシサーバ600は、送信されたSIPメッセージを、ネットワークI/F部601で受信する。このSIPメッセージは、TCP/IPプロトコルスタック部602を介してメッセージ処理部603に到達する。メッセージ処理部603は、受信したSIPメッセージがSIP Register Requestメッセージであることを識別すると、SIPアドレス登録に必要な認証を行うために、認証処理部604に対して、認証処理の開始を依頼する。
【0094】
ここで、メッセージ処理部603は、認証対象のユーザ名が「alice」であることと、認証対象のSIPアドレス(AoR)が「alice@example.com」であること、認証対象のSIPメソッドが「Register」であることを受信したSIPメッセージから識別し、認証処理部604に通知する。
【0095】
なお、認証処理部604は、SIPアドレス登録のために、AAAプロトコルとしてRADIUSプロトコルを使った通信を、認証サーバ700との間で開始する。すなわち、認証処理部604は、RADIUSクライアントとして動作を開始する。具体的には、認証処理部604は、RADIUSプロトコル標準にしたがって、Access−Requestメッセージを生成する(ステップS806)。
【0096】
図11は、このときに生成されるRADIUSのAccess−Requestメッセージの一例を示す図である。図11に示すように、Access−Requestメッセージは、すべてRADIUSの標準にしたがって構成される。
【0097】
本メッセージには、「NAS-IP-Address」、「User-Name」、「Digest-Method」、「SIP-AOR」、および「Message-Authenticator」の5つのアトリビュートが含まれる。認証処理部604は、「NAS-IP-Address」アトリビュートの値として、プロキシサーバ600自身のIPアドレス「192.168.0.100」を格納する。認証処理部604は、プロキシサーバ600に対して事前に設定されているIPアドレスを参照して本アトリビュートの値を決定する。
【0098】
また、認証処理部604は、「User-Name」、「Digest-Method」、および「SIP-AOR」の各アトリビュートの値は、メッセージ処理部603から通知された情報を格納する。さらに、認証処理部604は、RADIUSの標準に準拠し、認証サーバ700とプロキシサーバ600とが共有している秘密情報をキーとして本メッセージの構成要素を組み合わせたデータからハッシュ値を算出し、算出したハッシュ値を、「Message-Authenticator」アトリビュートの値として格納する。
【0099】
図8に戻り、認証処理部604は、生成したAccess−Requestメッセージを、TCP/IPプロトコルスタック部602、およびネットワークI/F部601を介して認証サーバ700に送信する(ステップS807)。
【0100】
認証サーバ700の送受信部701は、送信されたAccess−Requestメッセージを受信する。認証処理部702は、受信されたAccess−Requestメッセージに含まれるアトリビュートから、IPアドレス「192.168.0.100」のプロキシサーバ600が、ユーザ名「alice」のユーザに対し、AoR「alice@example.com」を、SIPメソッド「Register」のために利用することについて、認証を要求していることを判別する。
【0101】
認証処理部702は、記憶部710を参照し、ユーザ名「alice」のユーザに対してダイジェスト認証をMD5アルゴリズムを用いて行うことを決定する。また、ダイジェスト認証のチャレンジ値として用いられるNonceを生成する。そして、認証処理部702は、ダイジェスト認証を開始するために、Access−Challengeメッセージを生成する(ステップS808)。
【0102】
図12は、このときに生成されるAccess−Challengeメッセージの一例を示す図である。図12に示すように、Access−Challengeメッセージは、すべてRADIUSの標準にしたがって構成される。
【0103】
本メッセージには、「Digest-Nonce」、「Digest-Realm」、「Digest-Algorithm」、および「Message-Authenticator」の4つのアトリビュートが含まれる。認証処理部702は、「Digest-Nonce」アトリビュートの値として、ダイジェスト認証のチャレンジとして使用するNonceである文字列「abcde」を格納する。また、認証処理部702は、「Digest-Realm」アトリビュートの値として、実行する認証に対応するレルムである「example.com」を格納する。また、認証処理部702は、「Digest-Algorithm」アトリビュートの値として、使用する認証アルゴリズムを示す「MD5」を格納する。さらに、認証処理部702は、RADIUSの標準に準拠し、認証サーバ700とプロキシサーバ600とが共有している秘密情報をキーとして本メッセージの構成要素を組み合わせたデータからハッシュ値を算出し、算出したハッシュ値を、「Message-Authenticator」アトリビュートの値として格納する。
【0104】
図8に戻り、送受信部701は、生成されたAccess−Challengeメッセージを、プロキシサーバ600に対して返送する(ステップS809)。
【0105】
プロキシサーバ600は、送信されたRADIUSメッセージを、ネットワークI/F部601で受信する。受信されたメッセージは、TCP/IPプロトコルスタック部602を介して、認証処理部604に到達する。認証処理部604は、受信したRADIUSメッセージが、ステップS807で送信したAccess−Requestメッセージに対応するAccess−Challengeメッセージであることを検証する。さらに、認証処理部604は、受信したAccess−Challengeメッセージに含まれるアトリビュートの値から、ダイジェスト認証のチャレンジとして使用するNonceが「abcde」であり、実行する認証に対応するレルムが「example.com」であり、使用する認証アルゴリズムが「MD5」であることを判別し、判別結果をメッセージ処理部603に通知する。
【0106】
通知を受けたメッセージ処理部603の生成部603aは、ダイジェスト認証を実行するためのSIPメッセージである401 Unauthorized Responseメッセージを生成する(ステップS810)。
【0107】
図13は、このときに生成される401 Unauthorized Responseメッセージの一例を示す図である。図13に示すように、本メッセージのヘッダは、すべてSIP標準にしたがって、ステップS805でIP電話端末100から送信されたSIP Register Requestメッセージに対する401 Unauthorized Responseとして構成される。生成部603aは、「WWW-Authenticate」ヘッダの値を、認証処理部604から通知されたレルム、Nonce、およびアルゴリズムの情報を含めて構成する。
【0108】
図8に戻り、メッセージ処理部603の送受信部603bは、生成されたSIPメッセージを、TCP/IPプロトコルスタック部602およびネットワークI/F部601を介してIP電話端末100に送信する(ステップS811)。
【0109】
IP電話端末100のインフラI/F部101は、送信されたSIPメッセージを受信する。このメッセージは、さらに、スイッチ部110、IP電話I/F部121、TCP/IPプロトコルスタック部122を介してメッセージ処理部123の送受信部123bによって受信される。
【0110】
メッセージ処理部123は、受信したSIPメッセージが401 Unauthorized Responseメッセージであることを識別すると、401 Unauthorized Responseメッセージに含まれるダイジェスト認証のチャレンジに対応するレスポンスを生成して応答するために、SIPの標準に従って、SIP Register Requestメッセージを作成する(ステップS812)。具体的には、メッセージ処理部123は、以下の(A)〜(C)の各処理を実行する。
【0111】
(A)メッセージ処理部123は、受信した401 Unauthorized Responseメッセージに含まれる「WWW-Authenticate」ヘッダから、ダイジェスト認証の情報を識別する。例えば図13のようなメッセージの場合、メッセージ処理部123は、ダイジェスト認証のチャレンジとして使用するNonceが「abcde」であり、実行する認証に対応するレルムが「example.com」であり、使用する認証アルゴリズムが「MD5」であるという情報を識別する。
【0112】
(B)メッセージ処理部123は、ダイジェスト認証のレスポンス情報を含めるSIPメッセージであるSIP Register Requestメッセージに追加する「Authorization」ヘッダを作成する。具体的には、メッセージ処理部123は、以下の(1)〜(5)の情報を含む「Authorization」ヘッダを作成する。
(1)ダイジェスト認証の対象となるユーザ名「alice」
(2)ダイジェスト認証のチャレンジとして使用するNonce文字列「abcde」
(3)実行するダイジェスト認証に対応するレルム「example.com」
(4)Request URIとして設定するプロキシサーバ600のSIPアドレス「register.example.com」
(5)上記(1)〜(4)までの各値に対して、ユーザの入力したパスワード「pass」をキーとしたMD5アルゴリズムを使って得られる、ダイジェスト認証のチャレンジに対応するレスポンス値(ここでは「fghij」とする)
【0113】
なお、上記(4)のプロキシサーバ600のSIPアドレスは、事前に設定された値を参照して決定する。上記(1)のユーザ名は、ステップS803で入力され、アプリケーション部125によって保持されたユーザ名から決定される。上記(2)および(3)の各情報は、受信した401 Unauthorized Responseメッセージに含まれる「WWW-Authenticate」ヘッダの値から決定される。上記(5)のハッシュ値は、メッセージ処理部123が算出する。
【0114】
なお、ステップS803でパスワードの入力を受け付ける代わりに、実行するダイジェスト認証に対応するレルム(「example.com」)を、401 Unauthorized Responseメッセージから取得してユーザに提示し、この段階でユーザにパスワードの入力を求めるように構成してもよい。これにより、ユーザのAoRが複数存在するような場合であっても、各AoRに応じた適切なパスワードの入力を受け付けてダイジェスト認証を実行することができる。
【0115】
(C)メッセージ処理部123の生成部123aは、ダイジェスト認証のレスポンス情報を含めるSIPメッセージであるSIP Register Requestメッセージを作成する。これは、ステップS805で送信したSIP Register Requestメッセージに、上記(B)で作成した「WWW-Authenticate」ヘッダを追加することに相当する。
【0116】
図14は、このときに生成されるSIP Register Requestメッセージの一例を示す図である。図14に示すように、本メッセージのヘッダは、すべてSIP標準にしたがって構成される。本メッセージは、ステップS805で送信したSIP Register Requestメッセージを再送信するためのメッセージに相当するが、以下の点が異なっている。
(1)CSeqタグのシーケンス番号が1増加する
(2)Fromヘッダのタグの値が新規に作成される
(3)上記(B)で作成された「Authorization」ヘッダが新規に付加される
【0117】
図8に戻り、メッセージ処理部123の送受信部123bは、生成されたSIPメッセージを、TCP/IPプロトコルスタック部122、IP電話I/F部121、スイッチ部110、およびインフラI/F部101を介して、プロキシサーバ600に送信する(ステップS813)。
【0118】
プロキシサーバ600は、送信されたSIPメッセージを、ネットワークI/F部601で受信する。このSIPメッセージは、TCP/IPプロトコルスタック部602を介してメッセージ処理部603に到達する。メッセージ処理部603は、受信したSIPメッセージがSIP Register Requestメッセージであることを識別すると、SIPアドレス登録に必要な認証を行うために、認証処理部604に対して、認証処理の開始を依頼する。
【0119】
ここで、メッセージ処理部603は、認証対象のユーザ名が「alice」であること、認証対象のSIPアドレス(AoR)が「alice@example.com」であること、認証対象のSIPメソッドが「Register」であること、ダイジェスト認証のチャレンジに相当するNonceが「abcde」であること、ダイジェスト認証のレルムが「example.com」であること、ダイジェスト認証アルゴリズムが「MD5」であること、ダイジェスト認証の対象となるSIPアドレス(AoR)が「alice@example.com」であること、および、ダイジェスト認証のレスポンスに相当する値が「fghij」であること、を受信したSIPメッセージから識別し、認証処理部604に通知する。
【0120】
なお、認証処理部604は、SIPアドレス登録のために、RADIUSプロトコルを使った通信を、認証サーバ700との間で開始する。具体的には、認証処理部604は、RADIUSプロトコル標準にしたがって、Access−Requestメッセージを生成する(ステップS814)。
【0121】
図15は、このときに生成されるAccess−Requestメッセージの一例を示す図である。図15に示すように、Access−Requestメッセージは、すべてRADIUSの標準にしたがって構成される。
【0122】
Access−Requestメッセージは、「NAS-IP-Address」、「User-Name」、「Digest-Method」、「Digest-Nonce」、「Digest-Realm」、「Digest-Algorithm」、「SIP-AOR」、「Digest-Response」、および「Message-Authenticator」の9のアトリビュートが含まれる。
【0123】
「NAS-IP-Address」、「User-Name」、「Digest-Method」、および「SIP-AOR」の4つのアトリビュートの値は、上述した図11のRADIUSメッセージ(Access−Requestメッセージ)と同様である。また、「Digest-Nonce」、「Digest-Realm」、および「Digest-Algorithm」の3つのアトリビュートの値は、上述した図12のRADIUSメッセージ(Access−Challengeメッセージ)と同様である。
【0124】
認証処理部604は、「Digest-Response」アトリビュートの値として、受信したSIPメッセージの「Authorization」ヘッダに含まれる値「fghij」を格納する。また、認証処理部604は、RADIUSの標準に準拠し、認証サーバ700とプロキシサーバ600とが共有している秘密情報をキーとして本メッセージの構成要素を組み合わせたデータからハッシュ値を算出し、算出したハッシュ値を、「Message-Authenticator」アトリビュートの値として格納する。
【0125】
図8に戻り、認証処理部604は、生成したAccess−Requestメッセージは、TCP/IPプロトコルスタック部602およびネットワークI/F部601を介して認証サーバ700に送信する(ステップS815)。
【0126】
認証サーバ700の送受信部701は、送信されたAccess−Requestメッセージを受信する。そして、認証処理部702が、Access−Requestメッセージに含まれるアトリビュートから得られる情報を元に、ダイジェスト認証を実行する(ステップS816)。
【0127】
具体的には、認証処理部702は、まず受信したAccess−Requestメッセージに含まれる「User-Name」アトリビュートに対応するユーザ名「alice」のパスワード情報「pass」を記憶部710から取得する。なお、記憶部710に、「User-Name」アトリビュートに対応する複数のエントリが存在する場合、受信したAccess−Requestメッセージに含まれる「SIP-AOR」アトリビュートなどのその他のアトリビュートを含めて対応するエントリを記憶部710から検索し、所望のパスワード情報を得るように構成してもよい。
【0128】
次に、認証処理部702は、ステップS812でIP電話端末100のメッセージ処理部123が実行する上記(B)と同様の手順((1)〜(5))により、チャレンジ値からMD5ダイジェスト認証のレスポンス値を計算する。そして、認証処理部702は、計算したレスポンス値と、受信したAccess−Requestメッセージに含まれる「Digest-Response」アトリビュートのレスポンス値「fghij」とを比較する。計算したレスポンス値と受信したレスポンス値とが一致した場合、認証処理部702は、認証が成功したと判定する。
【0129】
本実施の形態では、認証処理部702は、さらに、認証されたユーザ名「alice」に対応するVIDを記憶部710から取得する(ステップS817)。例えば、図7に示すような認証情報が記憶部710に記憶されている場合、認証処理部702は、ユーザ名「alice」に対応するVID「16」を取得する。
【0130】
なお、認証処理部702が、さらに、認証されたユーザ名「alice」に対応するトンネルタイプおよびトンネルメディアタイプなどを記憶部710から取得するように構成してもよい。取得したトンネルタイプおよびトンネルメディアタイプは、後述するAccess−Acceptメッセージに設定する値として利用できる。なお、トンネルタイプおよびトンネルメディアタイプをユーザごとに記憶部710に記憶するのではなく、各ユーザに共通の値を事前に設定して利用するように構成してもよい。例えば、すべてのユーザに対して、トンネルタイプ=「VLAN」、およびトンネルメディアタイプ=「802」を設定するように構成することができる。以下では、すべてのユーザに対してトンネルタイプ=「VLAN」、トンネルメディアタイプ=「802」を設定する場合を例に説明する。
【0131】
ユーザに対応するVIDを取得後、認証処理部702は、取得したVIDを含むAccess−Acceptメッセージを生成する(ステップS818)。
【0132】
図16は、このときに生成されるAccess−Acceptメッセージの一例を示す図である。図16に示すように、Access−Acceptメッセージは、すべてRADIUSの標準にしたがって構成される。本メッセージには、「Tunnel-Type」、「Tunnel-Medium-Type」、「Tunnel-Private-Group-ID」、および「Message-Authenticator」の4つのアトリビュートが含まれる。
【0133】
認証処理部702は、「Tunnel-Type」アトリビュートの値として「VLAN」を格納し、「Tunnel-Medium-Type」アトリビュートの値として「802」を格納する。また、認証処理部702は、「Tunnel-Private-Group-ID」アトリビュートの値として、認証されたユーザ名「alice」に対応するVIDである「16」を格納する。さらに、認証処理部702は、RADIUSの標準に準拠し、認証サーバ700とプロキシサーバ600とが共有している秘密情報をキーとして本メッセージの構成要素を組み合わせたデータからハッシュ値を算出し、算出したハッシュ値を、「Message-Authenticator」アトリビュートの値として格納する。
【0134】
なお、「Tunnel-Type」、「Tunnel-Medium-Type」、および「Tunnel-Private-Group-ID」の3つのアトリビュートはRADIUSの標準に従ったものであるが、従来は、ダイジェスト認証結果に対応するAccess−Acceptメッセージには、これらのアトリビュートを含まないのが一般的である。
【0135】
図9に戻り、送受信部701は、生成されたAccess−Acceptメッセージを、プロキシサーバ600に対して返送する(ステップS819)。
【0136】
なお、ステップS816の認証処理で、 計算したレスポンス値と受信したレスポンス値とが一致しない場合、認証処理部702は、認証が失敗したと判定する。この場合、認証処理部702は、Access−Rejectメッセージを作成し、プロキシサーバ600に対して返送する。
【0137】
プロキシサーバ600は、ステップS819で送信されたRADIUSメッセージをネットワークI/F部601で受信する。このRADIUSメッセージは、TCP/IPプロトコルスタック部602を介して、認証処理部604に到達する。
【0138】
認証処理部604は、受信したRADIUSメッセージが、ステップS814で送信したAccess−Requestメッセージに対応する応答メッセージであることを検証する。さらに、認証処理部604は、受信したRADIUSメッセージの種別から、SIPアドレスが認証されたか否かを判別して、判別結果をメッセージ処理部603に通知する。
【0139】
また、SIPアドレスが認証されていた場合、すなわち、受信したメッセージがAccess−Acceptメッセージである場合は、ID付与部605が、受信したメッセージからユーザに対応するVIDを特定する。具体的には、ID付与部605は、Access−Acceptメッセージに含まれる「Tunnel-Private-Group-ID」アトリビュートの値から、ユーザに対応するVIDの値を特定する。そして、ID付与部605は、特定したVIDをメッセージ処理部603に通知する。
【0140】
次に、メッセージ処理部603の生成部603aは、ステップS813でIP電話端末100から送信されたSIP Register Requestメッセージに対応する応答メッセージを生成する(ステップS820)。
【0141】
まず、SIPアドレスが認証された場合の応答メッセージについて説明する。この場合、生成部603aは、200 OK Responseメッセージを生成する。図17は、このときに生成される200 OK Responseメッセージの一例を示す図である。
【0142】
図17に示すように200 OK Responseメッセージのヘッダは、すべてSIP標準にしたがって、ステップS813で送信されたSIP Register Requestメッセージに対するレスポンスとして構成される。ただし、本実施の形態では、Contactヘッダのパラメタとして「vid」を付与する点がSIP標準と異なっている。ここで、「vid」パラメタは、SIPアドレス登録が許可されたユーザが接続したPC300を収容するネットワークのVIDを意味する。
【0143】
次に、SIPアドレスが認証されなかった場合のメッセージについて説明する。この場合、SIP標準にしたがって、ステップS813で送信されたSIP Register Requestメッセージに対するレスポンスとして、401 Unauthorized Responseメッセージが作成される。
【0144】
図9に戻り、メッセージ処理部603の送受信部603bは、生成されたSIPメッセージを、TCP/IPプロトコルスタック部602およびネットワークI/F部601を介してIP電話端末100に送信する(ステップS821)。
【0145】
IP電話端末100のインフラI/F部101は、送信されたSIPメッセージを受信する。このメッセージは、さらに、スイッチ部110、IP電話I/F部121、TCP/IPプロトコルスタック部122を介してメッセージ処理部123の送受信部123bによって受信される。
【0146】
メッセージ処理部123は、受信したSIPメッセージが200 OK Responseメッセージであることを識別すると、SIPアドレス登録が認証され完了したことをアプリケーション部125に通知する。また、メッセージ処理部123は、200 OK Responseメッセージのコンタクトヘッダに含まれる「vid」パラメタを参照し、認証されたVIDを識別する(ステップS822)。そして、メッセージ処理部123は、このVIDを制御部127に通知する。
【0147】
制御部127は、メッセージ処理部123から通知されたVIDの値に応じて、スイッチ部110を制御し、PC I/F部102が所属するVLANを動的に変更する(ステップS823)。例えば、図17のようなSIPメッセージを受信した場合、制御部127は、PC I/F部102に割り当てるVLANを、ゲストネットワーク540(VID=19)から、PCネットワーク520(VID=16)に変更する。
【0148】
一方、メッセージ処理部123は、受信したSIPメッセージが401 Unauthorized Responseメッセージであることを識別した場合、SIPアドレス登録が失敗したことをアプリケーション部125に通知する。この場合、アプリケーション部125、ユーザに対してログイン操作を再度求めるように構成してもよい。また、アドレス登録が連続して失敗した場合、アプリケーション部125が、ログイン操作を一定時間拒否するように構成してもよい。
【0149】
SIPアドレス登録が失敗した場合、メッセージ処理部123は、制御部127に対してVIDの値を通知しない。このため、制御部127は、スイッチ部110を制御せず、PC I/F部102が所属するVLANは、ゲストネットワーク540(VID19)のままとなる。
【0150】
以上で、ユーザのSIPアドレス登録のための認証処理が終了する。
【0151】
SIPアドレス登録が完了し、PC I/F部102のVIDが変更された場合、PC300は、変更されたVIDのVLANに収容されるようになる。例えば、VID=16のVLANに収容先が変更された場合、PC300は、PCネットワーク520に接続可能となる(ステップS824、ステップS825)。
【0152】
この後、仮にPC300が持ち運ばれ、IP電話端末100のPC I/F部102とのネットワーク接続が途切れた場合に、認証したVLANへの割り当てを終了するように構成してもよい。具体的には、PC300との接続が切断されたことを検出部102aが検出したときに、IP電話端末100が、SIPアドレス登録終了のためのメッセージ交換をプロキシサーバ600との間で実行し、SIPアドレス認証とPC I/F部102へのVIDの割り当てを終了するように構成してもよい。この場合、IP電話端末100はいずれのユーザもログインしていない状態となる。
【0153】
また、この場合、メッセージ処理部123が、SIPアドレス認証が終了したことを制御部127に通知し、PC I/F部102に対応するVLANをゲストネットワーク540(VID=19)に変更するように構成してもよい。これにより、PC I/F部102に接続したPC300は、ゲストネットワーク540に収容されるようになる。
【0154】
なお、認証が失敗し、PC I/F部102のVIDが変更されなかった場合、PC300は、ステップS801およびステップS802の状態のままとなる。すなわち、PC300は、ゲストネットワーク540(VID19)に収容される。
【0155】
以上のようなシーケンスにより、SIPアドレス登録の完了とともに、ユーザがPC300を利用するためのアクセス許可とVLAN設定が完了する。
【0156】
なお、これまでは、SIPアドレス登録のための認証と同時にPC300のためにPC I/F部102にVLANの割り当て処理を行う例について説明した。VLANを割り当てる代わりに、ネットワークへのアクセス可否のみをPC I/F部102に設定するように構成してもよい。
【0157】
このように、本実施の形態にかかるIP電話端末では、IP電話端末のログイン認証が成功したときに、IP電話端末のSIPアドレスの登録とともに、IP電話端末が接続を仲介するPCのVLANを設定することができる。これにより、PCでネットワークアクセス認証を実行する必要がなくなり、IP電話端末を介して接続するPCを利用するための操作を簡略化することができる。
【0158】
次に、本実施の形態にかかるIP電話端末のハードウェア構成について図18を用いて説明する。図18は、本実施の形態にかかるIP電話端末のハードウェア構成を示す説明図である。
【0159】
本実施の形態にかかるIP電話端末は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
【0160】
本実施の形態にかかるIP電話端末で実行されるプログラムは、ROM52等に予め組み込まれて提供される。
【0161】
本実施の形態にかかるIP電話端末で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
【0162】
さらに、本実施の形態にかかるIP電話端末で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態にかかるIP電話端末で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
【0163】
本実施の形態にかかるIP電話端末で実行されるプログラムは、上述した各部(TCP/IPプロトコルスタック部、メッセージ処理部、メディア処理部、アプリケーション部、制御部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU51が上記ROM52からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、各部が主記憶装置上に生成されるようになっている。
【産業上の利用可能性】
【0164】
以上のように、本発明にかかるIP電話端末、サーバ装置、認証装置、通信システム、通信方法、およびプログラムは、IP電話端末を介してPCをネットワークに接続する形態のIP電話システムに適している。
【図面の簡単な説明】
【0165】
【図1】本実施の形態にかかる通信システムのネットワーク構成の概念図である。
【図2】レイヤー3のネットワーク構成の一例を表す図である。
【図3】レイヤー2のネットワーク構成の一例を表す図である。
【図4】IP電話端末の詳細な構成を示すブロック図である。
【図5】プロキシサーバの詳細な構成を示すブロック図である。
【図6】認証サーバの詳細な構成を示すブロック図である。
【図7】認証サーバの記憶部に記憶された認証情報のデータ構造の一例を示す図である。
【図8】本実施の形態におけるログイン認証処理の全体の流れを示すシーケンス図である。
【図9】本実施の形態におけるログイン認証処理の全体の流れを示すシーケンス図である。
【図10】SIP Register Requestメッセージの一例を示す図である。
【図11】RADIUSのAccess−Requestメッセージの一例を示す図である。
【図12】Access−Challengeメッセージの一例を示す図である。
【図13】401 Unauthorized Responseメッセージの一例を示す図である。
【図14】SIP Register Requestメッセージの一例を示す図である。
【図15】Access−Requestメッセージの一例を示す図である。
【図16】Access−Acceptメッセージの一例を示す図である。
【図17】200 OK Responseメッセージの一例を示す図である。
【図18】本実施の形態にかかるIP電話端末のハードウェア構成を示す説明図である。
【符号の説明】
【0166】
51 CPU
52 ROM
53 RAM
54 通信I/F
61 バス
100a〜100c IP電話端末
101 インフラI/F部
102 PC I/F部
102a 検出部
110a〜110c スイッチ部
120a〜120c IP電話処理部
121 IP電話I/F部
122 TCP/IPプロトコルスタック部
123 メッセージ処理部
123a 生成部
123b 送受信部
124 メディア処理部
125 アプリケーション部
126 ユーザI/F部
126a 入力部
126b 表示部
127 制御部
150a〜150c デスク
200 インフラスイッチ
300a〜300c PC
510 IP電話ネットワーク
520、530 PCネットワーク
540 ゲストネットワーク
600 プロキシサーバ
601 ネットワークI/F部
602 TCP/IPプロトコルスタック部
603 メッセージ処理部
603a 生成部
603b 送受信部
604 認証処理部
605 ID付与部
610 記憶部
700 認証サーバ
701 送受信部
702 認証処理部
710 記憶部
800 ルータ
【技術分野】
【0001】
この発明は、PCなどの外部端末とネットワークとの中継機能を備えたIP電話端末、IP電話端末のユーザのアドレス情報を登録するサーバ装置、IP電話端末のユーザを認証する認証装置、各装置を含む通信システム、各装置による通信方法、およびIP電話端末のプログラムに関する。
【背景技術】
【0002】
あるネットワークシステムに対して認証された端末に対してのみネットワークアクセスを許可するためのプロトコルとして、IEEE(Institute of Electrical and Electronic Engineers)802.1Xなどのネットワークアクセス認証プロトコルが知られている。
【0003】
IEEE802.1Xの認証(以下、802.1X認証という)では、接続した装置に対してポートレベルでの認証と接続許可を行う。通常、802.1X認証は、インフラスイッチと、インフラスイッチに直接接続された装置との間で行われる。
【0004】
特許文献1では、スイッチなどを介してIEEE802.1Xに対応したポートに接続された複数の端末のうち、いずれかの端末が802.1X認証されることで、すべての端末に対して接続を許可する技術が提案されている。
【0005】
特許文献2では、IEEE802.1Xに対応したポートに、スイッチなどを介して複数の端末を接続した場合、各端末のMACアドレスをベースにして、端末ごとに、802.1X認証および接続許可を行う技術が提案されている。
【0006】
特許文献3では、IP電話端末とシンクライアント端末との対応付けた情報を事前に管理し、各端末へのシングルサインオンを実現する技術が提案されている。
【0007】
また、近年、通信装置間に介在し通信を制御・中継するシグナリング手順であるSIP(Session Initiation Protocol)などを用いてIPネットワーク上で電話網を実現したIP電話システムが広く知られている。IP電話システムで利用されるIP電話端末は、イーサネット(登録商標)などによってケーブリングされ、IPネットワーク上でSIPなどにより呼制御およびメディア転送を行うことで電話機能を実現する。
【0008】
ユーザは、IP電話端末の利用を開始する際、IP電話端末に対してユーザのSIPアドレスを登録する必要がある。SIPアドレスの登録とは、ユーザのSIPアドレスとIP電話端末のSIPアドレスとを対応づける処理である。この登録処理では、ユーザはIP電話端末に対して、認証ID/パスワードなどを入力する。SIPアドレスの登録処理は、ユーザ宛の着信呼を正しく受信し、発呼者を正しく識別し、また、ユーザごとのIP電話端末の拡張機能(短縮ダイヤルなど)を設定するために必要である。ただし、ユーザの簡便性のため、ユーザが認証IDやパスワードを入力しなくとも、既定のユーザによるSIPアドレス登録がされているとみなして、着信や発信ができるように設定されることもある。
【0009】
オフィス向けIP電話端末は、デスクまわりのケーブリングを容易にするため、アップリンクとダウンリンクをそれぞれ1つずつ備えるスイッチ部品を内蔵するものが多い。すなわち、インフラスイッチのポートに、IP電話端末のアップリンクが接続され、IP電話端末製品のダウンリンクに、通常のPCなどが接続される。このような接続形態により、1つのデスクに対して割り当てられた1つのポートで、1台のIP電話端末とPCとを利用することが可能となる。
【0010】
一般に、このような接続形態では、PCを収容するVLAN(Virtual Local Area Network)を802.1X認証の認証結果に応じて切り替えるように構成される。この場合、例えば、PCが、802.1X Supplicantとなり、IP電話端末が内蔵するスイッチが802.1X Authenticatorとなり、インフラネットワークに接続される認証サーバが802.1X Authentication Serverとなる。そして、認証サーバ、IP電話端末、およびPCの三者間で、PCに対する802.1X認証が実行される。認証サーバによってPCが認証されると、IP電話端末が、認証サーバから通知されたVLANの情報を参照してPCを接続するVLANを決定し、対応するポートのVLAN設定を変更する。
【0011】
【特許文献1】特開2006−352468号公報
【特許文献2】特開2006−67057号公報
【特許文献3】特開2007−206851号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
しかしながら、上記のようにIP電話端末を介してPCをインフラネットワークに接続する環境では、IP電話端末上でSIPアドレスの登録処理を実行するとともに、PC上で認証処理を行う必要があるため、PCを利用するための操作が煩雑になるという問題があった。
【0013】
具体的には、ユーザは、IP電話端末が設置されたデスクにて、IP電話端末とPCの利用を開始するために、以下のような操作を行う必要がある。すなわち、ユーザは、まず(1)PCをIP電話端末のダウンリンクに接続する。次に、(2)IP電話端末を操作し、ユーザ自身のSIPアドレスを登録する。そして、(3)接続したPCからインフラネットワークに対して802.1X認証を行い、接続許可およびVLAN割り当てを受ける。
【0014】
本発明は、上記に鑑みてなされたものであって、IP電話端末を介して接続するPCを利用するための操作を簡略化することができるIP電話端末、サーバ装置、認証装置、通信システム、通信方法、およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0015】
上述した課題を解決し、目的を達成するために、本発明は、外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に、ユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録することによってIP電話機能を提供するIP電話端末であって、前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する生成部と、前記登録メッセージを前記サーバ装置に送信する送信部と、前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する受信部と、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、を備えたことを特徴とする。
【0016】
また、本発明は、外部端末とネットワークとの接続を仲介するIP電話端末に、前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置であって、前記アドレス情報の登録を要求する登録メッセージを前記IP電話端末から受信する受信部と、前記アドレス情報が登録可能か否かを判定する認証処理部と、前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する生成部と、生成された前記応答メッセージを前記IP電話端末に送信する送信部と、を備えたことを特徴とする。
【0017】
また、本発明は、外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置とに、前記ネットワークを介して接続された認証装置であって、前記アドレス情報のユーザを識別するユーザIDの認証を要求する要求メッセージを前記サーバ装置から受信する受信部と、前記要求メッセージに含まれる前記ユーザIDを認証する認証処理部と、前記認証処理部による認証結果と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを前記サーバ装置に送信する送信部と、を備えたことを特徴とする。
【0018】
また、本発明は、外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末に前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置と、を備えた通信システムであって、前記IP電話端末は、前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する第1生成部と、前記登録メッセージを前記サーバ装置に送信する第1送信部と、前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する第1受信部と、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、を備え、前記サーバ装置は、前記登録メッセージを前記IP電話端末から受信する第2受信部と、前記アドレス情報が登録可能か否かを判定する認証処理部と、前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する第2生成部と、生成された前記応答メッセージを前記IP電話端末に送信する第2送信部と、を備えたこと、を特徴とする。
【0019】
また、本発明は、外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末に前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置と、を備えた通信システムで実行される通信方法であって、前記IP電話端末は、前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、を備え、前記IP電話端末が、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する第1生成ステップと、前記IP電話端末が、前記登録メッセージを前記サーバ装置に送信する第1送信部ステップと、前記サーバ装置が、前記登録メッセージを前記IP電話端末から受信する第1受信ステップと、前記サーバ装置が、前記アドレス情報が登録可能か否かを判定する認証処理ステップと、前記サーバ装置が、前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する第2生成ステップと、前記サーバ装置が、生成された前記応答メッセージを前記IP電話端末に送信する第2送信ステップ部と、前記IP電話端末が、前記応答メッセージを前記サーバ装置から受信する第2受信ステップと、前記IP電話端末が、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御ステップと、を備えたことを特徴とする。
【0020】
また、本発明は、外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に、ユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録することによってIP電話機能を提供するIP電話端末で実行されるプログラムであって、前記IP電話端末は、前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、を備え、前記IP電話端末を、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する生成部と、前記登録メッセージを前記サーバ装置に送信する送信部と、前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する受信部と、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、として機能させるプログラムである。
【発明の効果】
【0021】
本発明によれば、IP電話端末を介して接続するPCを利用するための操作を簡略化することができるという効果を奏する。
【発明を実施するための最良の形態】
【0022】
以下に添付図面を参照して、この発明にかかる装置、方法およびプログラムの最良な実施の形態を詳細に説明する。
【0023】
本実施の形態にかかるIP電話端末は、IP電話端末のログイン認証が成功したときに、ユーザのSIPアドレスの登録とともに、IP電話端末が接続を仲介する外部端末であるPCのVLANを設定する。これにより、別途PCでネットワークアクセス認証を実行する必要がなくなる。
【0024】
なお、以下では認証プロトコルとしてIEEE802.1Xを用いた例を説明するが、適用可能な認証プロトコルはこれに限られず、認証結果に応じてネットワークへのアクセス可否またはアクセスを許可するネットワークを変更可能なプロトコルであれば、あらゆる認証プロトコルに適用できる。
【0025】
図1は、本実施の形態にかかる通信システムの一例であるIP電話システムのネットワーク構成の概念図である。図1に示すように、本実施の形態のIP電話システムは、各デスクスペースを表すデスク150a〜150cに設置されたIP電話端末100a〜100cおよびPC300a〜300cと、インフラスイッチ200と、プロキシサーバ600と、認証サーバ700とを含んでいる。
【0026】
同図の接続形態では、複数のIP電話端末100a〜100cが、それぞれデスク150a〜150cに備えられている。また、例えば各ユーザに割り当てられた携帯型のPC300a〜300cが、それぞれデスク150a〜150cに備えられている。なお、IP電話端末100a〜100cは、それぞれ同様の構成を備えるため、以下では単にIP電話端末100という場合がある。同様に、PC300a〜300cを単にPC300という場合がある。なお、IP電話端末100およびPC300の個数は3台に限られるものではない。
【0027】
インフラスイッチ200は、オフィスのネットワークインフラの一部として運用されるスイッチ装置であり、PC300やIP電話端末100を接続するためのエッジデバイスに相当する。インフラスイッチ200は、デスク150ごとに一つの物理ポートを割り当て、一本のイーサネット(登録商標)ケーブルを提供する。また、インフラスイッチ200は、複数のVLANを取り扱うことができる。
【0028】
本実施の形態では、以下のVLANが設定されていることとする。
(1)IP電話ネットワークVLAN:IP電話機能を実現する装置を収容するVLANである。IP電話端末100、プロキシサーバ600、およびユーザを認証する認証サーバ700などが収容される。同図では、IP電話ネットワーク510が本VLANに相当する。このVLANを識別するVLAN ID(以下、VIDという)は「18」であるものとする。
(2)PCネットワークVLAN:ユーザが接続するPC300を収容するVLANである。ユーザの所属部署などによって、ユーザのPC300を収容するVLANは異なる。このVLANに接続するためには、ユーザの認証が必要となる。同図では、PCネットワーク520、530が本VLANに相当する。PCネットワーク520およびPCネットワーク530のVIDはそれぞれ「16」および「17」であるものとする。
(3)ゲストネットワークVLAN:ユーザが接続するPC300を収容するVLANである。このVLANに接続する際には、ユーザの認証は不要である。すなわち、認証を実行する前の未認証の状態のPC300が、このVLANに収容される。同図では、ゲストネットワーク540が本VLANに相当する。このVLANのVIDは「19」であるものとする。
【0029】
なお、各VLANは、ルータやスイッチ(図示せず)などにより構成される通常のIPネットワークであり、各VLAN間は、ファイアウォール装置(図示せず)により相互にアクセスができないように構成される。
【0030】
IP電話端末100は、デスクスペースを利用するユーザに対してIP電話機能を提供するIP電話処理部120と、スイッチ機能を提供する転送部としてのスイッチ部110とを備えている。
【0031】
まず、IP電話機能について説明する。IP電話端末100は、IP電話機能の呼制御にSIPを利用する。IP電話端末100は、通常の電話機能を利用するためのダイヤル部、ヘッドセット(スピーカとマイク)を備えている。すなわち、ユーザは、ダイヤル部を用いて発信先のアドレスをダイヤルすることによる発呼機能や、IP電話端末100を指定した呼を着呼してヘッドセットを用いて通話する機能などの通常の電話と同様の機能を利用できる。
【0032】
ただし、以下の機能を利用するためには、デスクスペースユーザは、IP電話端末100のダイヤル部を利用して、ユーザのSIPアドレス登録を行わなければならない。
(1)デスクスペースユーザのアドレスを発信元と明示した発呼
(2)デスクスペースユーザを指定した呼の着呼
(3)デスクスペースユーザが利用するIP電話拡張機能(短縮ダイヤル、Voice Mail設定、ユーザ毎の転送設定、ユーザ毎の着信拒否設定など)
【0033】
次に、スイッチ機能について説明する。上述のように、IP電話端末100は、スイッチ機能を提供するスイッチ部110を内蔵している。スイッチ部110は、IP電話処理部120aを、IP電話ネットワークVLAN(IP電話ネットワーク510)に収容する。
【0034】
なお、IP電話端末100は、接続インタフェースとして、イーサネット(登録商標)を接続するためのアップリンクとダウンリンクをそれぞれ一つずつ備える。アップリンクは、インフラスイッチ200のポートに接続され、インフラスイッチ200との間でVLANトランク接続が行われる。一方、ダウンリンクは、PC300を接続するために用いられる。IP電話端末100は、IP電話端末100でログイン操作を行った結果アクセスが許可されたVLANにPC300を収容する。
【0035】
PC300は、ユーザがデスクスペースに持ち込み、IP電話端末100のダウンリンクに接続して利用する端末である。ユーザは、PC300をIP電話端末100のダウンリンクに接続することで、ネットワーク機能を利用することができる。本実施の形態では、同一のデスクスペースに設置されるIP電話端末100とPC300は、同一のユーザによって利用されることを仮定する。
【0036】
プロキシサーバ600は、IP電話端末100に対してSIPによる呼処理サービスを提供するためのサーバ装置である。例えば、プロキシサーバ600は、SIPメッセージのルーティング、SIPアドレス登録、およびSIPアドレス登録に伴うユーザの認証を行う。本実施の形態では、プロキシサーバ600は、さらに、SIPアドレス登録時のユーザ認証の際にユーザに対してVLANを付与する機能を備えている。
【0037】
認証サーバ700は、ユーザの情報を保持し、ユーザを認証する認証装置である。本実施の形態では、プロキシサーバ600からの要求に応じて、SIPアドレス登録時のユーザ認証のために利用される。また、本実施の形態の認証サーバ700は、ユーザに対するネットワークサービス利用の可否、または利用可能なネットワーク(VLAN)を決定する機能を備えている。
【0038】
次に、本実施の形態のIP電話システムのレイヤー3(ネットワーク層)およびレイヤー2(データリンク層)でのネットワーク構成について説明する。図2は、図1のネットワーク概念図に対応するレイヤー3のネットワーク構成の一例を表す図である。また、図3は、図1のネットワーク概念図に対応するレイヤー2のネットワーク構成の一例を表す図である。
【0039】
図2に示すように、各VLAN(IP電話ネットワーク510、PCネットワーク520、530、およびゲストネットワーク540)は、ルータ(Router)800を介して接続される。また、同図に示すように、IP電話ネットワーク510は、プロキシサーバ600と、認証サーバ700と、各IP電話端末100のIP電話処理部120a〜120cとによって構成される。なお、同図は、PC300aがPCネットワーク520に収容され、PC300bがPCネットワーク530に収容される例を示している。また、同図は、未認証のため、PC300cがゲストネットワーク540に収容される例を示している。
【0040】
図3は、各PC300が図2に示すVLANにそれぞれ収容される場合のレイヤー2でのネットワーク構成を示す図に相当する。図3に示すように、インフラスイッチ200は、IP電話ネットワーク510、PCネットワーク520、PCネットワーク530、およびゲストネットワーク540に対して、それぞれVID=18、16、17および19でVLAN接続される。また、インフラスイッチ200は、IP電話端末100a〜100cそれぞれとトランク接続される。
【0041】
IP電話端末100aのスイッチ部110aは、IP電話処理部120aおよびPC300aとの間で、それぞれVID=18および16でVLAN接続される。同様に、IP電話端末100bのスイッチ部110bは、IP電話処理部120bおよびPC300bとの間で、それぞれVID=18および17でVLAN接続される。また、IP電話端末100cのスイッチ部110cは、IP電話処理部120cおよびPC300cとの間で、それぞれVID=18および19でVLAN接続される。
【0042】
次に、IP電話端末100の機能および構成の詳細について説明する。図4は、IP電話端末100の詳細な構成を示すブロック図である。図4に示すように、IP電話端末100は、インフラI/F部101と、PC I/F部102と、スイッチ部110と、IP電話処理部120とを備えている。
【0043】
インフラI/F部101は、インフラスイッチ200との間のイーサネット(登録商標)ケーブル接続を終端し、ネットワークインタフェース機能を提供する。具体的には、インフラI/F部101は、各VLAN宛のフレームを外部に送出し、IP電話端末100宛およびPC300宛のフレームを受信してスイッチ部110に転送する。
【0044】
PC I/F部102は、PC300との間のイーサネット(登録商標)ケーブル接続を終端し、ネットワークインタフェース機能を提供する。具体的には、PC I/F部102は、PC300宛のフレームを外部に送出し、各VLAN宛およびIP電話端末100宛のフレームを受信しスイッチ部110に転送する。また、PC I/F部102は、PC300が接続されたこと、およびPC300との接続が切断されたことを検出する検出部102aを備えている。
【0045】
スイッチ部110は、イーサネット(登録商標)フレームをその宛先にあわせて転送するイーサネット(登録商標)スイッチである。また、スイッチ部110はVLANに対応している。すなわち、スイッチ部110は、インフラI/F部101、PC I/F部102、およびIP電話処理部120内のIP電話I/F部121(後述)の各I/F部に対して、VLAN IDを割り当て、特定のVLANのトラフィックのみを各I/F部に転送するように設定することができる。これらのVLANの設定は、IP電話処理部120内の制御部127(後述)によって実行される。
【0046】
IP電話処理部120は、詳細な構成として、IP電話I/F部121と、TCP/IPプロトコルスタック部122と、メッセージ処理部123と、メディア処理部124と、アプリケーション部125と、ユーザI/F部126と、制御部127と、を備えている。
【0047】
IP電話I/F部121は、IP電話端末100の内部的なネットワークインタフェースである。IP電話I/F部121は、各VLAN宛およびPC300宛のフレームをスイッチ部110に転送し、IP電話端末100宛のフレームをスイッチ部110から受信する。また、IP電話I/F部121は、IP電話端末100宛のフレームをTCP/IPプロトコルスタック部122に転送する。
【0048】
TCP/IPプロトコルスタック部122は、IP電話機能を実現するためのTCP/IPプロトコルの処理を行う。具体的には、TCP/IPプロトコルスタック部122は、メッセージ処理部123およびメディア処理部124がそれぞれSIPメッセージおよびメディアを送受信するために必要なTCP/IPプロトコル処理を実行する。
【0049】
メッセージ処理部123は、SIPのプロトコル標準におけるSIP UAの仕様にしたがって、IP電話機能を実現するための呼制御を実行する。例えば、メッセージ処理部123は、アプリケーション部125の指示に従ってSIPメッセージを作成し、TCP/IPプロトコルスタック部122を介して送信する。また、メッセージ処理部123は、TCP/IPプロトコルスタック部122から受信したSIPメッセージを識別し、必要な呼制御情報をアプリケーション部125に通知する。
【0050】
メッセージ処理部123は、さらに詳細な構成として、生成部123aと、送受信部123bと、を備えている。
【0051】
生成部123aは、呼制御に用いる各種SIPメッセージを生成する。例えば、生成部123aは、IP電話端末100のユーザのSIPアドレスをプロキシサーバ600に登録するための登録メッセージであるSIP Register Requestメッセージを生成する。
【0052】
送受信部123bは、TCP/IPプロトコルスタック部122を介して各種メッセージを送受信する。例えば、送受信部123bは、生成部123aによって生成されたSIP Register Requestメッセージをプロキシサーバ600に送信する。また、送受信部123bは、SIP Register Requestメッセージに対する応答としてプロキシサーバ600から送信された応答メッセージである200 OK Responseメッセージなどを受信する。
【0053】
なお、本実施の形態では、プロキシサーバ600は、SIPアドレスの登録が許可されたユーザのPC300を収容するVLANのVIDを含む200 OK Responseメッセージを、IP電話端末100に送信する(詳細は後述)。そこで、メッセージ処理部123は、このメッセージからVIDを抽出し、PC I/F部102のVLAN設定を抽出したVIDに変更するように制御部127(後述)に依頼する。
【0054】
メディア処理部124は、IP電話機能を実現するために音声や映像などの情報であるメディア情報を処理するメディア処理を行う。具体的には、メディア処理部124は、アプリケーション部125の指示に従い、TCP/IPプロトコルスタック部122を介してメディアパケット(RTP/RTCP)を送信する。また、TCP/IPプロトコルスタック部122から受信したメディアパケットを識別し、メディア情報をアプリケーション部125に通知する。
【0055】
アプリケーション部125は、呼制御およびメディア処理を行うことによってIP電話機能を実現するためのアプリケーションである。アプリケーション部125は、呼制御およびメディア処理のためにメッセージ処理部123およびメディア処理部124をそれぞれ利用する。アプリケーション部125は、ユーザI/F部126を介してユーザに操作される。
【0056】
ユーザI/F部126は、ユーザがIP電話機能を利用するためのユーザインタフェースを提供する。ユーザI/F部126は、認証のために用いるユーザ名やパスワードなどのデータを入力するための入力部126aと、データ入力のためのプロンプトや表示画面を表示するための表示部126bとを備えている。入力部126aは、例えば、ダイヤル、操作ボタン、またはキーボードなどによって構成することができる。また、表示部126bは、LCD(Liquid Crystal Display)などによって構成することができる。この他、ユーザI/F部126は、例えば、ヘッドセット(スピーカ、マイク)、呼び出しスピーカ、およびLED(Light Emitting Diode)などを含むように構成することができる。
【0057】
ユーザI/F部126は、ユーザの操作情報をもとに、IP電話機能を利用するために必要な情報であるSIPアプリケーション制御情報を生成し、アプリケーション部125を制御する。例えば、ユーザI/F部126は、ダイヤルされた番号である操作情報から、発信処理に必要なSIPアプリケーション制御情報を生成してアプリケーション部125を制御する。
【0058】
制御部127は、スイッチ部110のVLAN設定を行う。制御部127は、スイッチ部110に対して、3つのI/F部の所属するVLANをそれぞれ指定することができる。例えば、制御部127は、IP電話I/F部121が所属するVLANと、PC I/F部102が所属するVLANとをそれぞれ別に設定することにより、スイッチ部110がこの両方のVLANをインフラI/F部101を介して中継するように設定することができる。
【0059】
なお、通常、VLANの設定は、IP電話端末100またはシステムの保守者によって、保守インタフェース等を介して、システム運用開始前に事前に設定される。例えば、IP電話I/F部121に対してはVID=18が設定され、PC I/F部102に対しては、デフォルトのVLANのVIDとしてゲストネットワーク540のVID=19が設定される。
【0060】
本実施の形態では、制御部127が、メッセージ処理部123からの依頼に応じて、PC I/F部102のVLAN設定を、200 OK Responseメッセージに含まれるVIDに動的に変更するようにスイッチ部110を制御する。これにより、SIPアドレス登録処理と同時に、PC300を収容するVLANの設定を完了させることができる。
【0061】
次に、プロキシサーバ600の機能および構成の詳細について説明する。図5は、プロキシサーバ600の詳細な構成を示すブロック図である。図5に示すように、プロキシサーバ600は、記憶部610と、ネットワークI/F部601と、TCP/IPプロトコルスタック部602と、メッセージ処理部603と、認証処理部604と、ID付与部605と、を備えている。
【0062】
記憶部610は、IP電話機能の実現のために必要な各種データを記憶する。例えば、記憶部610は、SIPアドレスの対応関係を保持するSIPロケーションDBを記憶する。具体的には、SIPロケーションDBは、呼の宛先としてSIPメッセージに指定されるSIPアドレスであるAoR(Address of Record)と、呼の本来の宛先となるSIPアドレスであるコンタクトアドレスとを対応づけて保持する。SIPロケーションDBは、メッセージ処理部603から参照・更新される。例えば、メッセージ処理部603は、認証されたユーザのAoRとコンタクトアドレスとを対応づけてSIPロケーションDBに登録する。
【0063】
なお、記憶部610に記憶されたSIPロケーションDBなどのデータベースを、外部の他のサーバ装置が保持し、プロキシサーバ600から参照・更新するように構成してもよい。また、記憶部610は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
【0064】
ネットワークI/F部601は、プロキシサーバ600をネットワーク(IP電話ネットワーク510)に接続するインタフェースである。ネットワークI/F部601は、TCP/IPプロトコルスタック部602から受け取ったフレームをネットワークに送出し、ネットワークから受け取ったフレームをTCP/IPプロトコルスタック部602に転送する。
【0065】
TCP/IPプロトコルスタック部602は、IP電話機能を実現するためのTCP/IPプロトコルの処理を行う。具体的には、TCP/IPプロトコルスタック部602は、メッセージ処理部603がSIPメッセージを送受信するために必要なTCP/IPプロトコル処理を実行する。
【0066】
メッセージ処理部603は、SIPのプロトコル標準におけるSIP Proxyの仕様にしたがって、IP電話機能を実現するための呼制御を実行する。具体的には、メッセージ処理部603は、TCP/IPプロトコルスタック部602から受信したSIPメッセージを解釈して、SIPメッセージに必要な修正を加えた後、TCP/IPプロトコルスタック部602に対して送信する。この際、メッセージ処理部603は、記憶部610のSIPロケーションDBに格納されたSIPアドレスの対応関係を参照する。また、メッセージ処理部603は、SIPアドレス登録のための認証を認証処理部604に対して依頼する。
【0067】
メッセージ処理部603は、さらに詳細な構成として、生成部603aと、送受信部603bと、を備えている。
【0068】
生成部603aは、呼制御に用いる各種SIPメッセージを生成する。例えば、生成部603aは、IP電話端末100によって送信されたSIP Register Requestメッセージに対する応答メッセージとして、認証サーバ700によって認証結果とともに通知されたVIDを含む200 OK Responseメッセージを生成する。
【0069】
送受信部603bは、TCP/IPプロトコルスタック部602を介して各種メッセージを送受信する。例えば、送受信部603bは、SIPアドレスを登録するためのSIP Register RequestメッセージをIP電話端末100から受信する。また、送受信部603bは、生成部603aによって生成された200 OK ResponseメッセージをIP電話端末100に送信する。
【0070】
認証処理部604は、SIPアドレスの登録を要求したユーザを認証するための認証処理を実行する。認証処理部604は、SIPアドレスの登録要求を受けたメッセージ処理部603によって、登録の可否を判断するために利用される。すなわち、メッセージ処理部603は、認証処理部604を利用してダイジェスト認証を実行することによって、あるユーザがそのSIPアドレスを利用可能であるか否かを決定する。
【0071】
本実施の形態の認証処理部604は、RADIUSなどのAAAプロトコルによってアクセスする認証サーバ700を利用してユーザを認証する。なお、認証サーバ700を利用せず、認証に必要なデータをプロキシサーバ600内に保持して、プロキシサーバ600内部で認証を完結させるように構成してもよい。
【0072】
ID付与部605は、認証処理部604が、あるユーザに対してSIPアドレスの利用を許可した際に、そのユーザが所属するVLANのVIDを特定し、特定したVIDをSIPメッセージに含めるためにメッセージ処理部603に通知する。具体的には、ID付与部605は、認証サーバ700によって通知された認証結果を通知するメッセージから、認証されたユーザに対応するVIDを抽出し、ユーザが所属するVLANのVIDとして特定する。
【0073】
なお、ユーザごとに割り当てるVLANのVIDをプロキシサーバ600内に保持し、プロキシサーバ600内部でVIDの付与を完結させるように構成してもよい。また、ID付与部605が、認証サーバ700、または、認証サーバ700とは異なるLDAPサーバなどの外部サーバに、AAAプロトコルと異なる他のプロトコルでアクセスし、ユーザに対応するVIDを取得するように構成してもよい。
【0074】
次に、認証サーバ700の機能および構成の詳細について説明する。図6は、認証サーバ700の詳細な構成を示すブロック図である。図6に示すように、認証サーバ700は、記憶部710と、送受信部701と、認証処理部702とを備えている。
【0075】
記憶部710は、ユーザの認証に用いる認証情報を記憶する。図7は、記憶部710に記憶された認証情報のデータ構造の一例を示す図である。図7に示すように、認証情報は、ユーザを識別する識別情報(ユーザID)として用いるユーザ名と、パスワードと、SIPアドレスと、VLAN ID(VID)と、認証アルゴリズムとを格納している。なお、最小限必要な情報は、ユーザ名とパスワードである。例えば、プロキシサーバ600内でユーザに対応するVIDを管理する場合は、VIDは不要である。また、認証アルゴリズムが各ユーザで共通の場合は、認証アルゴリズムを記憶する必要はない。また、認証情報には、認証アルゴリズム以外の任意の情報をユーザエントリごとに設定することができる。
【0076】
同図では、あるユーザに対し、ユーザ名=「alice」、パスワード=「pass」、利用可能なSIPアドレス(AoR)=「alice@example.com」、付与可能なVID=「16」、および適用する認証アルゴリズムが「MD5」である認証情報の例が示されている。これは、ユーザ名=「alice」のユーザは、VID=「16」である図1のPCネットワーク520にアクセス可能であることを意味している。
【0077】
図6に戻り、送受信部701は、AAAプロトコルにしたがい、プロキシサーバ600などの外部装置との間でユーザ認証処理で用いる各種メッセージを送受信する。本実施の形態では、AAAプロトコルとしてRADIUSプロトコルを適用した例を説明する。
【0078】
例えば、送受信部701は、ユーザの認証を要求するメッセージであるRADIUSプロトコルのAccess−Requestメッセージを、プロキシサーバ600から受信する。また、送受信部701は、認証要求に対する最終的な応答メッセージとして、認証結果を表すコードとユーザに割り当てられたVIDとを含むRADIUSメッセージをプロキシサーバ600に送信する。
【0079】
認証処理部702は、RADIUSプロトコルに準拠し、プロキシサーバ600などの外部装置との間でメッセージを交換し、ユーザの認証処理を実行する。
【0080】
次に、このように構成された本実施の形態にかかるIP電話端末100によるログイン認証処理について図8および図9を用いて説明する。図8および図9は、本実施の形態におけるログイン認証処理の全体の流れを示すシーケンス図である。
【0081】
ログイン認証処理は、IP電話端末100で、ユーザがログイン操作を行った際に開始される。そして、ログイン認証処理では、IP電話端末100とプロキシサーバ600との間で、SIPアドレス登録のためのHTTPダイジェスト認証が実行されると同時に、プロキシサーバ600と認証サーバ700との間で、RADIUSプロトコルのメッセージが交換され、認証プロトコルが動作する。
【0082】
ログイン認証処理の結果として、プロキシサーバ600では、ユーザがIP電話端末100で当該ユーザのSIPアドレスを利用するためのアドレス登録が完了し、同時に、IP電話端末100では、IP電話端末100を介して接続したPC300をユーザが利用するためのアクセス許可とVLAN設定が完了する。
【0083】
まず、ユーザは、デスクスペース(デスク150)に設置されたIP電話端末100のPC I/F部102にPC300を接続する。この時点では、IP電話端末100にはいずれのユーザもログインしておらず、そのため、通常の電話機能のみ利用可能である。また、この時点では、PC300はゲストネットワーク540に収容される(ステップS801、ステップS802)。
【0084】
上述のように、本実施の形態では、ユーザは、デスクスペースに設置されたIP電話端末100とPC300の両方を利用すると仮定する。すなわち、あるデスクスペースに設置されるIP電話端末100のユーザとPC300のユーザとは同一であると仮定する。
【0085】
次に、ユーザは、IP電話端末100に対してログイン操作を行う。具体的には、ユーザは、ユーザ名とパスワードとをIP電話端末100の表示部126bに表示された表示画面等で指定する。入力部126aは、このようなログイン操作で入力されたユーザ名およびパスワードの入力を受け付ける(ステップS803)。
【0086】
以下の説明では、ユーザは、ユーザ名=「alice」、パスワード=「pass」を入力したものとする。また、IP電話端末100には、ドメイン名として、「example.com」が事前に設定されているものとする。したがって、本IP電話システムでのユーザの有効なSIPアドレス(AoR)は、ユーザ名の「alice」をユーザパートとし、ドメイン名の「example.com」をドメインパートとしたSIPアドレス「alice@example.com」となる。
【0087】
このように、本実施の形態では、ユーザ名とSIPアドレスのユーザパートとが一致していると仮定する。なお、例えばユーザ名とSIPアドレスのユーザパートとが異なる場合には、ユーザ名とSIPアドレス(AoR)とを別々に入力させるようにユーザI/F部126を構成すればよい。
【0088】
また、IP電話端末100自身が、ユーザに対してログイン操作を促すようにユーザI/F部126を制御してもよい。例えば、PC I/F部102にPC300を接続されたことを検知した検出部102aが、アプリケーション部125に検知結果を通知し、アプリケーション部125が、ユーザI/F部126に対する画面表示または音声案内等によって、ユーザに対してログイン操作を促すように構成してもよい。
【0089】
アプリケーション部125は、ユーザ入力したユーザ名およびパスワードと、ユーザ名に対応するSIPアドレスまたはユーザが入力したSIPアドレスとを保持する。そして、アプリケーション部125は、ユーザに対応するSIPアドレスを登録するように、メッセージ処理部123に依頼する。メッセージ処理部123の生成部123aは、SIPに準拠し、SIPアドレスを登録するためのSIP Register Requestメッセージを生成する(ステップS804)。
【0090】
図10は、このときに生成されるSIP Register Requestメッセージの一例を示す図である。図10に示すように、本メッセージのヘッダは、すべてSIP標準に従って構成される。なお、宛先として指定するプロキシサーバ600のアドレス「registrar.example.com」は、ログイン認証処理が開始される前にIP電話端末100に設定されており、生成部123aによって参照可能となっているものとする。
【0091】
FromヘッダおよびToヘッダに含まれるSIPアドレスは、ユーザのAoRである「alice@example.com」が指定される。Contactヘッダに含まれるSIPアドレスは、IP電話端末100に割り当てられたIPアドレスとユーザ名とからIP電話端末100が作成したコンタクトアドレスが指定される。
【0092】
図8に戻り、メッセージ処理部123の送受信部123bは、生成されたSIPメッセージをプロキシサーバ600に送信する(ステップS805)。送受信部123bによって送信が指示されたSIPメッセージは、TCP/IPプロトコルスタック部122、およびIP電話I/F部121を介してスイッチ部110に到達する。スイッチ部110は、IP電話I/F部121に対して設定されているVLANの情報に従って、このメッセージのフレームをIP電話ネットワーク510のフレームとして、インフラI/F部101から外部へと転送する。
【0093】
プロキシサーバ600は、送信されたSIPメッセージを、ネットワークI/F部601で受信する。このSIPメッセージは、TCP/IPプロトコルスタック部602を介してメッセージ処理部603に到達する。メッセージ処理部603は、受信したSIPメッセージがSIP Register Requestメッセージであることを識別すると、SIPアドレス登録に必要な認証を行うために、認証処理部604に対して、認証処理の開始を依頼する。
【0094】
ここで、メッセージ処理部603は、認証対象のユーザ名が「alice」であることと、認証対象のSIPアドレス(AoR)が「alice@example.com」であること、認証対象のSIPメソッドが「Register」であることを受信したSIPメッセージから識別し、認証処理部604に通知する。
【0095】
なお、認証処理部604は、SIPアドレス登録のために、AAAプロトコルとしてRADIUSプロトコルを使った通信を、認証サーバ700との間で開始する。すなわち、認証処理部604は、RADIUSクライアントとして動作を開始する。具体的には、認証処理部604は、RADIUSプロトコル標準にしたがって、Access−Requestメッセージを生成する(ステップS806)。
【0096】
図11は、このときに生成されるRADIUSのAccess−Requestメッセージの一例を示す図である。図11に示すように、Access−Requestメッセージは、すべてRADIUSの標準にしたがって構成される。
【0097】
本メッセージには、「NAS-IP-Address」、「User-Name」、「Digest-Method」、「SIP-AOR」、および「Message-Authenticator」の5つのアトリビュートが含まれる。認証処理部604は、「NAS-IP-Address」アトリビュートの値として、プロキシサーバ600自身のIPアドレス「192.168.0.100」を格納する。認証処理部604は、プロキシサーバ600に対して事前に設定されているIPアドレスを参照して本アトリビュートの値を決定する。
【0098】
また、認証処理部604は、「User-Name」、「Digest-Method」、および「SIP-AOR」の各アトリビュートの値は、メッセージ処理部603から通知された情報を格納する。さらに、認証処理部604は、RADIUSの標準に準拠し、認証サーバ700とプロキシサーバ600とが共有している秘密情報をキーとして本メッセージの構成要素を組み合わせたデータからハッシュ値を算出し、算出したハッシュ値を、「Message-Authenticator」アトリビュートの値として格納する。
【0099】
図8に戻り、認証処理部604は、生成したAccess−Requestメッセージを、TCP/IPプロトコルスタック部602、およびネットワークI/F部601を介して認証サーバ700に送信する(ステップS807)。
【0100】
認証サーバ700の送受信部701は、送信されたAccess−Requestメッセージを受信する。認証処理部702は、受信されたAccess−Requestメッセージに含まれるアトリビュートから、IPアドレス「192.168.0.100」のプロキシサーバ600が、ユーザ名「alice」のユーザに対し、AoR「alice@example.com」を、SIPメソッド「Register」のために利用することについて、認証を要求していることを判別する。
【0101】
認証処理部702は、記憶部710を参照し、ユーザ名「alice」のユーザに対してダイジェスト認証をMD5アルゴリズムを用いて行うことを決定する。また、ダイジェスト認証のチャレンジ値として用いられるNonceを生成する。そして、認証処理部702は、ダイジェスト認証を開始するために、Access−Challengeメッセージを生成する(ステップS808)。
【0102】
図12は、このときに生成されるAccess−Challengeメッセージの一例を示す図である。図12に示すように、Access−Challengeメッセージは、すべてRADIUSの標準にしたがって構成される。
【0103】
本メッセージには、「Digest-Nonce」、「Digest-Realm」、「Digest-Algorithm」、および「Message-Authenticator」の4つのアトリビュートが含まれる。認証処理部702は、「Digest-Nonce」アトリビュートの値として、ダイジェスト認証のチャレンジとして使用するNonceである文字列「abcde」を格納する。また、認証処理部702は、「Digest-Realm」アトリビュートの値として、実行する認証に対応するレルムである「example.com」を格納する。また、認証処理部702は、「Digest-Algorithm」アトリビュートの値として、使用する認証アルゴリズムを示す「MD5」を格納する。さらに、認証処理部702は、RADIUSの標準に準拠し、認証サーバ700とプロキシサーバ600とが共有している秘密情報をキーとして本メッセージの構成要素を組み合わせたデータからハッシュ値を算出し、算出したハッシュ値を、「Message-Authenticator」アトリビュートの値として格納する。
【0104】
図8に戻り、送受信部701は、生成されたAccess−Challengeメッセージを、プロキシサーバ600に対して返送する(ステップS809)。
【0105】
プロキシサーバ600は、送信されたRADIUSメッセージを、ネットワークI/F部601で受信する。受信されたメッセージは、TCP/IPプロトコルスタック部602を介して、認証処理部604に到達する。認証処理部604は、受信したRADIUSメッセージが、ステップS807で送信したAccess−Requestメッセージに対応するAccess−Challengeメッセージであることを検証する。さらに、認証処理部604は、受信したAccess−Challengeメッセージに含まれるアトリビュートの値から、ダイジェスト認証のチャレンジとして使用するNonceが「abcde」であり、実行する認証に対応するレルムが「example.com」であり、使用する認証アルゴリズムが「MD5」であることを判別し、判別結果をメッセージ処理部603に通知する。
【0106】
通知を受けたメッセージ処理部603の生成部603aは、ダイジェスト認証を実行するためのSIPメッセージである401 Unauthorized Responseメッセージを生成する(ステップS810)。
【0107】
図13は、このときに生成される401 Unauthorized Responseメッセージの一例を示す図である。図13に示すように、本メッセージのヘッダは、すべてSIP標準にしたがって、ステップS805でIP電話端末100から送信されたSIP Register Requestメッセージに対する401 Unauthorized Responseとして構成される。生成部603aは、「WWW-Authenticate」ヘッダの値を、認証処理部604から通知されたレルム、Nonce、およびアルゴリズムの情報を含めて構成する。
【0108】
図8に戻り、メッセージ処理部603の送受信部603bは、生成されたSIPメッセージを、TCP/IPプロトコルスタック部602およびネットワークI/F部601を介してIP電話端末100に送信する(ステップS811)。
【0109】
IP電話端末100のインフラI/F部101は、送信されたSIPメッセージを受信する。このメッセージは、さらに、スイッチ部110、IP電話I/F部121、TCP/IPプロトコルスタック部122を介してメッセージ処理部123の送受信部123bによって受信される。
【0110】
メッセージ処理部123は、受信したSIPメッセージが401 Unauthorized Responseメッセージであることを識別すると、401 Unauthorized Responseメッセージに含まれるダイジェスト認証のチャレンジに対応するレスポンスを生成して応答するために、SIPの標準に従って、SIP Register Requestメッセージを作成する(ステップS812)。具体的には、メッセージ処理部123は、以下の(A)〜(C)の各処理を実行する。
【0111】
(A)メッセージ処理部123は、受信した401 Unauthorized Responseメッセージに含まれる「WWW-Authenticate」ヘッダから、ダイジェスト認証の情報を識別する。例えば図13のようなメッセージの場合、メッセージ処理部123は、ダイジェスト認証のチャレンジとして使用するNonceが「abcde」であり、実行する認証に対応するレルムが「example.com」であり、使用する認証アルゴリズムが「MD5」であるという情報を識別する。
【0112】
(B)メッセージ処理部123は、ダイジェスト認証のレスポンス情報を含めるSIPメッセージであるSIP Register Requestメッセージに追加する「Authorization」ヘッダを作成する。具体的には、メッセージ処理部123は、以下の(1)〜(5)の情報を含む「Authorization」ヘッダを作成する。
(1)ダイジェスト認証の対象となるユーザ名「alice」
(2)ダイジェスト認証のチャレンジとして使用するNonce文字列「abcde」
(3)実行するダイジェスト認証に対応するレルム「example.com」
(4)Request URIとして設定するプロキシサーバ600のSIPアドレス「register.example.com」
(5)上記(1)〜(4)までの各値に対して、ユーザの入力したパスワード「pass」をキーとしたMD5アルゴリズムを使って得られる、ダイジェスト認証のチャレンジに対応するレスポンス値(ここでは「fghij」とする)
【0113】
なお、上記(4)のプロキシサーバ600のSIPアドレスは、事前に設定された値を参照して決定する。上記(1)のユーザ名は、ステップS803で入力され、アプリケーション部125によって保持されたユーザ名から決定される。上記(2)および(3)の各情報は、受信した401 Unauthorized Responseメッセージに含まれる「WWW-Authenticate」ヘッダの値から決定される。上記(5)のハッシュ値は、メッセージ処理部123が算出する。
【0114】
なお、ステップS803でパスワードの入力を受け付ける代わりに、実行するダイジェスト認証に対応するレルム(「example.com」)を、401 Unauthorized Responseメッセージから取得してユーザに提示し、この段階でユーザにパスワードの入力を求めるように構成してもよい。これにより、ユーザのAoRが複数存在するような場合であっても、各AoRに応じた適切なパスワードの入力を受け付けてダイジェスト認証を実行することができる。
【0115】
(C)メッセージ処理部123の生成部123aは、ダイジェスト認証のレスポンス情報を含めるSIPメッセージであるSIP Register Requestメッセージを作成する。これは、ステップS805で送信したSIP Register Requestメッセージに、上記(B)で作成した「WWW-Authenticate」ヘッダを追加することに相当する。
【0116】
図14は、このときに生成されるSIP Register Requestメッセージの一例を示す図である。図14に示すように、本メッセージのヘッダは、すべてSIP標準にしたがって構成される。本メッセージは、ステップS805で送信したSIP Register Requestメッセージを再送信するためのメッセージに相当するが、以下の点が異なっている。
(1)CSeqタグのシーケンス番号が1増加する
(2)Fromヘッダのタグの値が新規に作成される
(3)上記(B)で作成された「Authorization」ヘッダが新規に付加される
【0117】
図8に戻り、メッセージ処理部123の送受信部123bは、生成されたSIPメッセージを、TCP/IPプロトコルスタック部122、IP電話I/F部121、スイッチ部110、およびインフラI/F部101を介して、プロキシサーバ600に送信する(ステップS813)。
【0118】
プロキシサーバ600は、送信されたSIPメッセージを、ネットワークI/F部601で受信する。このSIPメッセージは、TCP/IPプロトコルスタック部602を介してメッセージ処理部603に到達する。メッセージ処理部603は、受信したSIPメッセージがSIP Register Requestメッセージであることを識別すると、SIPアドレス登録に必要な認証を行うために、認証処理部604に対して、認証処理の開始を依頼する。
【0119】
ここで、メッセージ処理部603は、認証対象のユーザ名が「alice」であること、認証対象のSIPアドレス(AoR)が「alice@example.com」であること、認証対象のSIPメソッドが「Register」であること、ダイジェスト認証のチャレンジに相当するNonceが「abcde」であること、ダイジェスト認証のレルムが「example.com」であること、ダイジェスト認証アルゴリズムが「MD5」であること、ダイジェスト認証の対象となるSIPアドレス(AoR)が「alice@example.com」であること、および、ダイジェスト認証のレスポンスに相当する値が「fghij」であること、を受信したSIPメッセージから識別し、認証処理部604に通知する。
【0120】
なお、認証処理部604は、SIPアドレス登録のために、RADIUSプロトコルを使った通信を、認証サーバ700との間で開始する。具体的には、認証処理部604は、RADIUSプロトコル標準にしたがって、Access−Requestメッセージを生成する(ステップS814)。
【0121】
図15は、このときに生成されるAccess−Requestメッセージの一例を示す図である。図15に示すように、Access−Requestメッセージは、すべてRADIUSの標準にしたがって構成される。
【0122】
Access−Requestメッセージは、「NAS-IP-Address」、「User-Name」、「Digest-Method」、「Digest-Nonce」、「Digest-Realm」、「Digest-Algorithm」、「SIP-AOR」、「Digest-Response」、および「Message-Authenticator」の9のアトリビュートが含まれる。
【0123】
「NAS-IP-Address」、「User-Name」、「Digest-Method」、および「SIP-AOR」の4つのアトリビュートの値は、上述した図11のRADIUSメッセージ(Access−Requestメッセージ)と同様である。また、「Digest-Nonce」、「Digest-Realm」、および「Digest-Algorithm」の3つのアトリビュートの値は、上述した図12のRADIUSメッセージ(Access−Challengeメッセージ)と同様である。
【0124】
認証処理部604は、「Digest-Response」アトリビュートの値として、受信したSIPメッセージの「Authorization」ヘッダに含まれる値「fghij」を格納する。また、認証処理部604は、RADIUSの標準に準拠し、認証サーバ700とプロキシサーバ600とが共有している秘密情報をキーとして本メッセージの構成要素を組み合わせたデータからハッシュ値を算出し、算出したハッシュ値を、「Message-Authenticator」アトリビュートの値として格納する。
【0125】
図8に戻り、認証処理部604は、生成したAccess−Requestメッセージは、TCP/IPプロトコルスタック部602およびネットワークI/F部601を介して認証サーバ700に送信する(ステップS815)。
【0126】
認証サーバ700の送受信部701は、送信されたAccess−Requestメッセージを受信する。そして、認証処理部702が、Access−Requestメッセージに含まれるアトリビュートから得られる情報を元に、ダイジェスト認証を実行する(ステップS816)。
【0127】
具体的には、認証処理部702は、まず受信したAccess−Requestメッセージに含まれる「User-Name」アトリビュートに対応するユーザ名「alice」のパスワード情報「pass」を記憶部710から取得する。なお、記憶部710に、「User-Name」アトリビュートに対応する複数のエントリが存在する場合、受信したAccess−Requestメッセージに含まれる「SIP-AOR」アトリビュートなどのその他のアトリビュートを含めて対応するエントリを記憶部710から検索し、所望のパスワード情報を得るように構成してもよい。
【0128】
次に、認証処理部702は、ステップS812でIP電話端末100のメッセージ処理部123が実行する上記(B)と同様の手順((1)〜(5))により、チャレンジ値からMD5ダイジェスト認証のレスポンス値を計算する。そして、認証処理部702は、計算したレスポンス値と、受信したAccess−Requestメッセージに含まれる「Digest-Response」アトリビュートのレスポンス値「fghij」とを比較する。計算したレスポンス値と受信したレスポンス値とが一致した場合、認証処理部702は、認証が成功したと判定する。
【0129】
本実施の形態では、認証処理部702は、さらに、認証されたユーザ名「alice」に対応するVIDを記憶部710から取得する(ステップS817)。例えば、図7に示すような認証情報が記憶部710に記憶されている場合、認証処理部702は、ユーザ名「alice」に対応するVID「16」を取得する。
【0130】
なお、認証処理部702が、さらに、認証されたユーザ名「alice」に対応するトンネルタイプおよびトンネルメディアタイプなどを記憶部710から取得するように構成してもよい。取得したトンネルタイプおよびトンネルメディアタイプは、後述するAccess−Acceptメッセージに設定する値として利用できる。なお、トンネルタイプおよびトンネルメディアタイプをユーザごとに記憶部710に記憶するのではなく、各ユーザに共通の値を事前に設定して利用するように構成してもよい。例えば、すべてのユーザに対して、トンネルタイプ=「VLAN」、およびトンネルメディアタイプ=「802」を設定するように構成することができる。以下では、すべてのユーザに対してトンネルタイプ=「VLAN」、トンネルメディアタイプ=「802」を設定する場合を例に説明する。
【0131】
ユーザに対応するVIDを取得後、認証処理部702は、取得したVIDを含むAccess−Acceptメッセージを生成する(ステップS818)。
【0132】
図16は、このときに生成されるAccess−Acceptメッセージの一例を示す図である。図16に示すように、Access−Acceptメッセージは、すべてRADIUSの標準にしたがって構成される。本メッセージには、「Tunnel-Type」、「Tunnel-Medium-Type」、「Tunnel-Private-Group-ID」、および「Message-Authenticator」の4つのアトリビュートが含まれる。
【0133】
認証処理部702は、「Tunnel-Type」アトリビュートの値として「VLAN」を格納し、「Tunnel-Medium-Type」アトリビュートの値として「802」を格納する。また、認証処理部702は、「Tunnel-Private-Group-ID」アトリビュートの値として、認証されたユーザ名「alice」に対応するVIDである「16」を格納する。さらに、認証処理部702は、RADIUSの標準に準拠し、認証サーバ700とプロキシサーバ600とが共有している秘密情報をキーとして本メッセージの構成要素を組み合わせたデータからハッシュ値を算出し、算出したハッシュ値を、「Message-Authenticator」アトリビュートの値として格納する。
【0134】
なお、「Tunnel-Type」、「Tunnel-Medium-Type」、および「Tunnel-Private-Group-ID」の3つのアトリビュートはRADIUSの標準に従ったものであるが、従来は、ダイジェスト認証結果に対応するAccess−Acceptメッセージには、これらのアトリビュートを含まないのが一般的である。
【0135】
図9に戻り、送受信部701は、生成されたAccess−Acceptメッセージを、プロキシサーバ600に対して返送する(ステップS819)。
【0136】
なお、ステップS816の認証処理で、 計算したレスポンス値と受信したレスポンス値とが一致しない場合、認証処理部702は、認証が失敗したと判定する。この場合、認証処理部702は、Access−Rejectメッセージを作成し、プロキシサーバ600に対して返送する。
【0137】
プロキシサーバ600は、ステップS819で送信されたRADIUSメッセージをネットワークI/F部601で受信する。このRADIUSメッセージは、TCP/IPプロトコルスタック部602を介して、認証処理部604に到達する。
【0138】
認証処理部604は、受信したRADIUSメッセージが、ステップS814で送信したAccess−Requestメッセージに対応する応答メッセージであることを検証する。さらに、認証処理部604は、受信したRADIUSメッセージの種別から、SIPアドレスが認証されたか否かを判別して、判別結果をメッセージ処理部603に通知する。
【0139】
また、SIPアドレスが認証されていた場合、すなわち、受信したメッセージがAccess−Acceptメッセージである場合は、ID付与部605が、受信したメッセージからユーザに対応するVIDを特定する。具体的には、ID付与部605は、Access−Acceptメッセージに含まれる「Tunnel-Private-Group-ID」アトリビュートの値から、ユーザに対応するVIDの値を特定する。そして、ID付与部605は、特定したVIDをメッセージ処理部603に通知する。
【0140】
次に、メッセージ処理部603の生成部603aは、ステップS813でIP電話端末100から送信されたSIP Register Requestメッセージに対応する応答メッセージを生成する(ステップS820)。
【0141】
まず、SIPアドレスが認証された場合の応答メッセージについて説明する。この場合、生成部603aは、200 OK Responseメッセージを生成する。図17は、このときに生成される200 OK Responseメッセージの一例を示す図である。
【0142】
図17に示すように200 OK Responseメッセージのヘッダは、すべてSIP標準にしたがって、ステップS813で送信されたSIP Register Requestメッセージに対するレスポンスとして構成される。ただし、本実施の形態では、Contactヘッダのパラメタとして「vid」を付与する点がSIP標準と異なっている。ここで、「vid」パラメタは、SIPアドレス登録が許可されたユーザが接続したPC300を収容するネットワークのVIDを意味する。
【0143】
次に、SIPアドレスが認証されなかった場合のメッセージについて説明する。この場合、SIP標準にしたがって、ステップS813で送信されたSIP Register Requestメッセージに対するレスポンスとして、401 Unauthorized Responseメッセージが作成される。
【0144】
図9に戻り、メッセージ処理部603の送受信部603bは、生成されたSIPメッセージを、TCP/IPプロトコルスタック部602およびネットワークI/F部601を介してIP電話端末100に送信する(ステップS821)。
【0145】
IP電話端末100のインフラI/F部101は、送信されたSIPメッセージを受信する。このメッセージは、さらに、スイッチ部110、IP電話I/F部121、TCP/IPプロトコルスタック部122を介してメッセージ処理部123の送受信部123bによって受信される。
【0146】
メッセージ処理部123は、受信したSIPメッセージが200 OK Responseメッセージであることを識別すると、SIPアドレス登録が認証され完了したことをアプリケーション部125に通知する。また、メッセージ処理部123は、200 OK Responseメッセージのコンタクトヘッダに含まれる「vid」パラメタを参照し、認証されたVIDを識別する(ステップS822)。そして、メッセージ処理部123は、このVIDを制御部127に通知する。
【0147】
制御部127は、メッセージ処理部123から通知されたVIDの値に応じて、スイッチ部110を制御し、PC I/F部102が所属するVLANを動的に変更する(ステップS823)。例えば、図17のようなSIPメッセージを受信した場合、制御部127は、PC I/F部102に割り当てるVLANを、ゲストネットワーク540(VID=19)から、PCネットワーク520(VID=16)に変更する。
【0148】
一方、メッセージ処理部123は、受信したSIPメッセージが401 Unauthorized Responseメッセージであることを識別した場合、SIPアドレス登録が失敗したことをアプリケーション部125に通知する。この場合、アプリケーション部125、ユーザに対してログイン操作を再度求めるように構成してもよい。また、アドレス登録が連続して失敗した場合、アプリケーション部125が、ログイン操作を一定時間拒否するように構成してもよい。
【0149】
SIPアドレス登録が失敗した場合、メッセージ処理部123は、制御部127に対してVIDの値を通知しない。このため、制御部127は、スイッチ部110を制御せず、PC I/F部102が所属するVLANは、ゲストネットワーク540(VID19)のままとなる。
【0150】
以上で、ユーザのSIPアドレス登録のための認証処理が終了する。
【0151】
SIPアドレス登録が完了し、PC I/F部102のVIDが変更された場合、PC300は、変更されたVIDのVLANに収容されるようになる。例えば、VID=16のVLANに収容先が変更された場合、PC300は、PCネットワーク520に接続可能となる(ステップS824、ステップS825)。
【0152】
この後、仮にPC300が持ち運ばれ、IP電話端末100のPC I/F部102とのネットワーク接続が途切れた場合に、認証したVLANへの割り当てを終了するように構成してもよい。具体的には、PC300との接続が切断されたことを検出部102aが検出したときに、IP電話端末100が、SIPアドレス登録終了のためのメッセージ交換をプロキシサーバ600との間で実行し、SIPアドレス認証とPC I/F部102へのVIDの割り当てを終了するように構成してもよい。この場合、IP電話端末100はいずれのユーザもログインしていない状態となる。
【0153】
また、この場合、メッセージ処理部123が、SIPアドレス認証が終了したことを制御部127に通知し、PC I/F部102に対応するVLANをゲストネットワーク540(VID=19)に変更するように構成してもよい。これにより、PC I/F部102に接続したPC300は、ゲストネットワーク540に収容されるようになる。
【0154】
なお、認証が失敗し、PC I/F部102のVIDが変更されなかった場合、PC300は、ステップS801およびステップS802の状態のままとなる。すなわち、PC300は、ゲストネットワーク540(VID19)に収容される。
【0155】
以上のようなシーケンスにより、SIPアドレス登録の完了とともに、ユーザがPC300を利用するためのアクセス許可とVLAN設定が完了する。
【0156】
なお、これまでは、SIPアドレス登録のための認証と同時にPC300のためにPC I/F部102にVLANの割り当て処理を行う例について説明した。VLANを割り当てる代わりに、ネットワークへのアクセス可否のみをPC I/F部102に設定するように構成してもよい。
【0157】
このように、本実施の形態にかかるIP電話端末では、IP電話端末のログイン認証が成功したときに、IP電話端末のSIPアドレスの登録とともに、IP電話端末が接続を仲介するPCのVLANを設定することができる。これにより、PCでネットワークアクセス認証を実行する必要がなくなり、IP電話端末を介して接続するPCを利用するための操作を簡略化することができる。
【0158】
次に、本実施の形態にかかるIP電話端末のハードウェア構成について図18を用いて説明する。図18は、本実施の形態にかかるIP電話端末のハードウェア構成を示す説明図である。
【0159】
本実施の形態にかかるIP電話端末は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、各部を接続するバス61を備えている。
【0160】
本実施の形態にかかるIP電話端末で実行されるプログラムは、ROM52等に予め組み込まれて提供される。
【0161】
本実施の形態にかかるIP電話端末で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
【0162】
さらに、本実施の形態にかかるIP電話端末で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態にかかるIP電話端末で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
【0163】
本実施の形態にかかるIP電話端末で実行されるプログラムは、上述した各部(TCP/IPプロトコルスタック部、メッセージ処理部、メディア処理部、アプリケーション部、制御部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU51が上記ROM52からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、各部が主記憶装置上に生成されるようになっている。
【産業上の利用可能性】
【0164】
以上のように、本発明にかかるIP電話端末、サーバ装置、認証装置、通信システム、通信方法、およびプログラムは、IP電話端末を介してPCをネットワークに接続する形態のIP電話システムに適している。
【図面の簡単な説明】
【0165】
【図1】本実施の形態にかかる通信システムのネットワーク構成の概念図である。
【図2】レイヤー3のネットワーク構成の一例を表す図である。
【図3】レイヤー2のネットワーク構成の一例を表す図である。
【図4】IP電話端末の詳細な構成を示すブロック図である。
【図5】プロキシサーバの詳細な構成を示すブロック図である。
【図6】認証サーバの詳細な構成を示すブロック図である。
【図7】認証サーバの記憶部に記憶された認証情報のデータ構造の一例を示す図である。
【図8】本実施の形態におけるログイン認証処理の全体の流れを示すシーケンス図である。
【図9】本実施の形態におけるログイン認証処理の全体の流れを示すシーケンス図である。
【図10】SIP Register Requestメッセージの一例を示す図である。
【図11】RADIUSのAccess−Requestメッセージの一例を示す図である。
【図12】Access−Challengeメッセージの一例を示す図である。
【図13】401 Unauthorized Responseメッセージの一例を示す図である。
【図14】SIP Register Requestメッセージの一例を示す図である。
【図15】Access−Requestメッセージの一例を示す図である。
【図16】Access−Acceptメッセージの一例を示す図である。
【図17】200 OK Responseメッセージの一例を示す図である。
【図18】本実施の形態にかかるIP電話端末のハードウェア構成を示す説明図である。
【符号の説明】
【0166】
51 CPU
52 ROM
53 RAM
54 通信I/F
61 バス
100a〜100c IP電話端末
101 インフラI/F部
102 PC I/F部
102a 検出部
110a〜110c スイッチ部
120a〜120c IP電話処理部
121 IP電話I/F部
122 TCP/IPプロトコルスタック部
123 メッセージ処理部
123a 生成部
123b 送受信部
124 メディア処理部
125 アプリケーション部
126 ユーザI/F部
126a 入力部
126b 表示部
127 制御部
150a〜150c デスク
200 インフラスイッチ
300a〜300c PC
510 IP電話ネットワーク
520、530 PCネットワーク
540 ゲストネットワーク
600 プロキシサーバ
601 ネットワークI/F部
602 TCP/IPプロトコルスタック部
603 メッセージ処理部
603a 生成部
603b 送受信部
604 認証処理部
605 ID付与部
610 記憶部
700 認証サーバ
701 送受信部
702 認証処理部
710 記憶部
800 ルータ
【特許請求の範囲】
【請求項1】
外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に、ユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録することによってIP電話機能を提供するIP電話端末であって、
前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、
ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、
入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する生成部と、
前記登録メッセージを前記サーバ装置に送信する送信部と、
前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する受信部と、
前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、
を備えたことを特徴とするIP電話端末。
【請求項2】
前記受信部は、接続が許可された前記ネットワークを識別するネットワークIDを前記接続情報としてを含む前記応答メッセージを前記サーバ装置から受信し、
前記制御部は、前記応答メッセージに含まれる前記ネットワークIDの前記ネットワークと、前記外部端末との間でメッセージを転送するように前記転送部を制御すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項3】
前記生成部は、入力された前記ユーザIDを含む前記アドレス情報を生成し、生成した前記アドレス情報を含む前記登録メッセージを生成すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項4】
前記入力部は、さらに、ユーザの前記アドレス情報を入力し、
前記生成部は、入力された前記アドレス情報を含む前記登録メッセージを生成すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項5】
前記外部端末が接続されたことを検出する検出部と、
前記外部端末の接続が検出されたときに、前記ユーザIDを指定するための表示画面を表示する表示部と、をさらに備え、
前記入力部は、前記表示画面で指定された前記ユーザIDを入力すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項6】
前記外部端末との接続が切断されたことを検出する検出部をさらに備え、
前記制御部は、前記外部端末との接続が切断されたことが検出されたときに、前記ネットワークと前記外部端末との間でメッセージを転送しないように前記転送部を制御すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項7】
外部端末とネットワークとの接続を仲介するIP電話端末に、前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置であって、
前記アドレス情報の登録を要求する登録メッセージを前記IP電話端末から受信する受信部と、
前記アドレス情報が登録可能か否かを判定する認証処理部と、
前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する生成部と、
生成された前記応答メッセージを前記IP電話端末に送信する送信部と、
を備えたことを特徴とするサーバ装置。
【請求項8】
前記生成部は、前記認証処理部によって前記アドレス情報が登録可能であると判定された場合に、接続が許可された前記ネットワークを識別するネットワークIDである前記接続情報を、前記ネットワークを介して接続された外部サーバ装置から取得し、取得した前記ネットワークIDと前記登録情報とを含む前記応答メッセージを生成すること、
を特徴とする請求項7に記載のサーバ装置。
【請求項9】
前記認証処理部は、ネットワークを介して接続され、ユーザを識別するユーザIDを認証する認証装置に対して、前記アドレス情報のユーザを識別する前記ユーザIDの認証を要求する要求メッセージを送信し、前記要求メッセージに含まれる前記ユーザIDの認証結果を前記認証装置から受信し、前記認証結果に応じて前記アドレス情報が登録可能か否かを判定すること、
を特徴とする請求項7に記載のサーバ装置。
【請求項10】
前記認証処理部は、さらに、接続が許可された前記ネットワークを識別するネットワークIDである前記接続情報と前記認証結果とを前記認証装置から受信し、
前記生成部は、前記認証処理部によって前記アドレス情報が登録可能であると判定された場合に、受信した前記ネットワークIDと前記登録情報とを含む前記応答メッセージを生成すること、
を特徴とする請求項9に記載のサーバ装置。
【請求項11】
前記アドレス情報と、接続を許可する前記ネットワークを識別するネットワークIDである前記接続情報とを対応づけて記憶する記憶部をさらに備え、
前記生成部は、前記認証処理部によって前記アドレス情報が登録可能であると判定された場合に、前記アドレス情報に対応する前記ネットワークIDを前記記憶部から取得し、取得した前記ネットワークIDと前記登録情報とを含む前記応答メッセージを生成すること、
を特徴とする請求項7に記載のサーバ装置。
【請求項12】
外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置とに、前記ネットワークを介して接続された認証装置であって、
前記アドレス情報のユーザを識別するユーザIDの認証を要求する要求メッセージを前記サーバ装置から受信する受信部と、
前記要求メッセージに含まれる前記ユーザIDを認証する認証処理部と、
前記認証処理部による認証結果と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを前記サーバ装置に送信する送信部と、
を備えたことを特徴とする認証装置。
【請求項13】
外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末に前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置と、を備えた通信システムであって、
前記IP電話端末は、
前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、
ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、
入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する第1生成部と、
前記登録メッセージを前記サーバ装置に送信する第1送信部と、
前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する第1受信部と、
前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、を備え、
前記サーバ装置は、
前記登録メッセージを前記IP電話端末から受信する第2受信部と、
前記アドレス情報が登録可能か否かを判定する認証処理部と、
前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する第2生成部と、
生成された前記応答メッセージを前記IP電話端末に送信する第2送信部と、を備えたこと、
を特徴とする通信システム。
【請求項14】
外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末に前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置と、を備えた通信システムで実行される通信方法であって、
前記IP電話端末は、
前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、
ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、を備え、
前記IP電話端末が、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する第1生成ステップと、
前記IP電話端末が、前記登録メッセージを前記サーバ装置に送信する第1送信部ステップと、
前記サーバ装置が、前記登録メッセージを前記IP電話端末から受信する第1受信ステップと、
前記サーバ装置が、前記アドレス情報が登録可能か否かを判定する認証処理ステップと、
前記サーバ装置が、前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する第2生成ステップと、
前記サーバ装置が、生成された前記応答メッセージを前記IP電話端末に送信する第2送信ステップ部と、
前記IP電話端末が、前記応答メッセージを前記サーバ装置から受信する第2受信ステップと、
前記IP電話端末が、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御ステップと、
を備えたことを特徴とする通信方法。
【請求項15】
外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に、ユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録することによってIP電話機能を提供するIP電話端末で実行されるプログラムであって、
前記IP電話端末は、
前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、
ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、を備え、
前記IP電話端末を、
入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する生成部と、
前記登録メッセージを前記サーバ装置に送信する送信部と、
前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する受信部と、
前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、
として機能させるプログラム。
【請求項1】
外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に、ユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録することによってIP電話機能を提供するIP電話端末であって、
前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、
ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、
入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する生成部と、
前記登録メッセージを前記サーバ装置に送信する送信部と、
前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する受信部と、
前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、
を備えたことを特徴とするIP電話端末。
【請求項2】
前記受信部は、接続が許可された前記ネットワークを識別するネットワークIDを前記接続情報としてを含む前記応答メッセージを前記サーバ装置から受信し、
前記制御部は、前記応答メッセージに含まれる前記ネットワークIDの前記ネットワークと、前記外部端末との間でメッセージを転送するように前記転送部を制御すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項3】
前記生成部は、入力された前記ユーザIDを含む前記アドレス情報を生成し、生成した前記アドレス情報を含む前記登録メッセージを生成すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項4】
前記入力部は、さらに、ユーザの前記アドレス情報を入力し、
前記生成部は、入力された前記アドレス情報を含む前記登録メッセージを生成すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項5】
前記外部端末が接続されたことを検出する検出部と、
前記外部端末の接続が検出されたときに、前記ユーザIDを指定するための表示画面を表示する表示部と、をさらに備え、
前記入力部は、前記表示画面で指定された前記ユーザIDを入力すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項6】
前記外部端末との接続が切断されたことを検出する検出部をさらに備え、
前記制御部は、前記外部端末との接続が切断されたことが検出されたときに、前記ネットワークと前記外部端末との間でメッセージを転送しないように前記転送部を制御すること、
を特徴とする請求項1に記載のIP電話端末。
【請求項7】
外部端末とネットワークとの接続を仲介するIP電話端末に、前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置であって、
前記アドレス情報の登録を要求する登録メッセージを前記IP電話端末から受信する受信部と、
前記アドレス情報が登録可能か否かを判定する認証処理部と、
前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する生成部と、
生成された前記応答メッセージを前記IP電話端末に送信する送信部と、
を備えたことを特徴とするサーバ装置。
【請求項8】
前記生成部は、前記認証処理部によって前記アドレス情報が登録可能であると判定された場合に、接続が許可された前記ネットワークを識別するネットワークIDである前記接続情報を、前記ネットワークを介して接続された外部サーバ装置から取得し、取得した前記ネットワークIDと前記登録情報とを含む前記応答メッセージを生成すること、
を特徴とする請求項7に記載のサーバ装置。
【請求項9】
前記認証処理部は、ネットワークを介して接続され、ユーザを識別するユーザIDを認証する認証装置に対して、前記アドレス情報のユーザを識別する前記ユーザIDの認証を要求する要求メッセージを送信し、前記要求メッセージに含まれる前記ユーザIDの認証結果を前記認証装置から受信し、前記認証結果に応じて前記アドレス情報が登録可能か否かを判定すること、
を特徴とする請求項7に記載のサーバ装置。
【請求項10】
前記認証処理部は、さらに、接続が許可された前記ネットワークを識別するネットワークIDである前記接続情報と前記認証結果とを前記認証装置から受信し、
前記生成部は、前記認証処理部によって前記アドレス情報が登録可能であると判定された場合に、受信した前記ネットワークIDと前記登録情報とを含む前記応答メッセージを生成すること、
を特徴とする請求項9に記載のサーバ装置。
【請求項11】
前記アドレス情報と、接続を許可する前記ネットワークを識別するネットワークIDである前記接続情報とを対応づけて記憶する記憶部をさらに備え、
前記生成部は、前記認証処理部によって前記アドレス情報が登録可能であると判定された場合に、前記アドレス情報に対応する前記ネットワークIDを前記記憶部から取得し、取得した前記ネットワークIDと前記登録情報とを含む前記応答メッセージを生成すること、
を特徴とする請求項7に記載のサーバ装置。
【請求項12】
外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置とに、前記ネットワークを介して接続された認証装置であって、
前記アドレス情報のユーザを識別するユーザIDの認証を要求する要求メッセージを前記サーバ装置から受信する受信部と、
前記要求メッセージに含まれる前記ユーザIDを認証する認証処理部と、
前記認証処理部による認証結果と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを前記サーバ装置に送信する送信部と、
を備えたことを特徴とする認証装置。
【請求項13】
外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末に前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置と、を備えた通信システムであって、
前記IP電話端末は、
前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、
ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、
入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する第1生成部と、
前記登録メッセージを前記サーバ装置に送信する第1送信部と、
前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する第1受信部と、
前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、を備え、
前記サーバ装置は、
前記登録メッセージを前記IP電話端末から受信する第2受信部と、
前記アドレス情報が登録可能か否かを判定する認証処理部と、
前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する第2生成部と、
生成された前記応答メッセージを前記IP電話端末に送信する第2送信部と、を備えたこと、
を特徴とする通信システム。
【請求項14】
外部端末とネットワークとの接続を仲介するIP電話端末と、前記IP電話端末に前記ネットワークを介して接続され、前記IP電話端末のユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録するサーバ装置と、を備えた通信システムで実行される通信方法であって、
前記IP電話端末は、
前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、
ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、を備え、
前記IP電話端末が、入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する第1生成ステップと、
前記IP電話端末が、前記登録メッセージを前記サーバ装置に送信する第1送信部ステップと、
前記サーバ装置が、前記登録メッセージを前記IP電話端末から受信する第1受信ステップと、
前記サーバ装置が、前記アドレス情報が登録可能か否かを判定する認証処理ステップと、
前記サーバ装置が、前記認証処理部による判定結果を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報と、を含む応答メッセージを生成する第2生成ステップと、
前記サーバ装置が、生成された前記応答メッセージを前記IP電話端末に送信する第2送信ステップ部と、
前記IP電話端末が、前記応答メッセージを前記サーバ装置から受信する第2受信ステップと、
前記IP電話端末が、前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御ステップと、
を備えたことを特徴とする通信方法。
【請求項15】
外部端末とネットワークとの接続を仲介し、前記ネットワークを介して接続されたサーバ装置に、ユーザを識別する情報であって、ユーザを通信の宛先として指定するためのアドレス情報を登録することによってIP電話機能を提供するIP電話端末で実行されるプログラムであって、
前記IP電話端末は、
前記ネットワークと前記外部端末との間でメッセージを転送可能な転送部と、
ユーザを識別する情報であって、ユーザの認証に用いるユーザIDを入力する入力部と、を備え、
前記IP電話端末を、
入力されたユーザIDで識別されるユーザの前記アドレス情報の登録を要求する登録メッセージを生成する生成部と、
前記登録メッセージを前記サーバ装置に送信する送信部と、
前記アドレス情報の登録可否を表す登録情報と、前記ネットワークに対する前記外部端末の接続可否を表す接続情報とを含む応答メッセージを前記サーバ装置から受信する受信部と、
前記接続情報が前記ネットワークに対する前記外部端末の接続を許可する場合に、前記ネットワークと前記外部端末との間でメッセージを転送するように前記転送部を制御する制御部と、
として機能させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2009−232045(P2009−232045A)
【公開日】平成21年10月8日(2009.10.8)
【国際特許分類】
【出願番号】特願2008−73411(P2008−73411)
【出願日】平成20年3月21日(2008.3.21)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成21年10月8日(2009.10.8)
【国際特許分類】
【出願日】平成20年3月21日(2008.3.21)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]