SIP機器
【課題】簡略な構成、簡略な手順でWANからの不正アクセスを的確に排除可能なSIP機器を提供する。
【解決手段】SIPリクエストを処理するSIP処理部と、WAN側から着信したSIPリクエストメッセージを、WAN側から着信した旨の情報を付してSIP処理部に転送するWAN通信部と、LAN側から着信したSIPリクエストメッセージをSIP処理部に転送するLAN通信部とを備え、SIP処理部は、そのINVEITEリクエストメッセージが、当方から事前にREGISTERリクエストメッセージを送信して登録された局からのものである場合、このINVITEリクエストを受け付ける。
【解決手段】SIPリクエストを処理するSIP処理部と、WAN側から着信したSIPリクエストメッセージを、WAN側から着信した旨の情報を付してSIP処理部に転送するWAN通信部と、LAN側から着信したSIPリクエストメッセージをSIP処理部に転送するLAN通信部とを備え、SIP処理部は、そのINVEITEリクエストメッセージが、当方から事前にREGISTERリクエストメッセージを送信して登録された局からのものである場合、このINVITEリクエストを受け付ける。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、SIP(Session Initiation Protocol)リクエストをLAN側およびWAN側の両方から受け付けて処理するSIP機器に関する。
【背景技術】
【0002】
IP電話は、端末(電話機)間の接続の確立をSIPで行い、音声信号の伝送をVoIP(Voice over Internet Protocol)で行うものが一般的である。ところで、SIPパケット、VoIPパケットともにルータに内蔵されているNAT(Network Address Translation)部を通過することができないため、ローカルIPネットワークであるLAN上の端末(IP電話機)からグローバルIPネットワークであるWAN(インターネット上)に設置されている通信事業者のSIPサーバにアクセスすることができなかった。このいわゆるNAT越えを実現するためには、大がかりなSIPプロキシサーバ等を設置する必要があった。
【0003】
そこで、出願人は、簡略な構成でこれを実現するため、LANからWANにSIPリクエストメッセージを通過させることができるVoIPルータ装置を提案した(特許文献1参照)。また、出願人は、LAN−WAN相互間でSIPリクエストを転送可能なVoIPルータ装置を実現した。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−160055号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
LANとWANとに跨がるSIPリクエストを受け付ける場合、不正なアクセスを有効に排除することが困難である。特にWAN側からのアクセスに対してセキュリティのしきい値を高くする必要があるが、IPフィルタリングやSIPによる認証ではWAN側からの着信とLAN側からの着信を区別して不正なアクセスを有効に排除することが困難である。すなわち、セキュリティレベルを低くするとWAN側からの不正アクセスを排除できず、セキュリティレベルを高くするとLAN側からの正当なアクセスも排除してしまうという問題点があった。
【0006】
この発明は、簡略な構成、簡略な手順でWANからの不正アクセスを的確に排除可能なSIP機器を提供することを目的とする。
【課題を解決するための手段】
【0007】
請求項1の発明であるSIP機器は、SIPリクエストを処理するSIP処理部と、WAN側から着信したSIPリクエストメッセージを、WAN側から着信した旨の情報を付して前記SIP処理部に転送するWAN通信部と、LAN側から着信したSIPリクエストメッセージを前記SIP処理部に転送するLAN通信部と、を備え、
前記SIP処理部は、WAN側からINVITEリクエストメッセージが着信したとき、そのINVEITEリクエストメッセージが、当方から事前にREGISTERリクエストメッセージを送信して登録された局からのものである場合、このINVITEリクエストを受け付けることを特徴とする。
【0008】
請求項2の発明は、前記SIP処理部が、さらに、WAN側から着信したINVITEリクエストメッセージの送信元URIが、LAN側から受け付けたREGISTERリクエストに基づき既に登録済(内線レジスト済)のURIである場合、このINVITEリクエストを受け付けることを特徴とする。
【0009】
請求項3の発明は、前記SIP処理部が、さらに、WAN側から着信したINVITEリクエストメッセージがピア・ツー・ピア接続のリクエストであり、且つ、送信元URIが、ユーザの操作によって登録されるURIリスト(VoIP電話帳)に既に登録済みのURIである場合、このINVITEリクエストを受け付けることを特徴とする。
【0010】
請求項4の発明は、前記SIP処理部は、WAN側から着信したREGISTERリクエストメッセージを受け付けないことを特徴とする。
【0011】
請求項5の発明は、前記SIP処理部は、WAN側から着信したSIPリクエストメッセージを受け付けないとき、そのリクエストメッセージの送信元端末に対してエラーレスポンスを返信しないことを特徴とする。
【0012】
請求項6の発明は、前記WAN通信部および前記LAN通信部との間に、パケットフィルタおよびネットワークアドレス変換部を含むルータ部を、前記SIP処理部と並列に備え、前記WAN通信部および前記LAN通信部は、受信したパケットのうち、少なくともSIPリクエストメッセージのパケットを前記SIP処理部に転送することを特徴とする。
【発明の効果】
【0013】
この発明によれば、WAN側から着信したSIPリクエストメッセージをWAN側から着信した旨の情報を付してSIP処理部に入力し、WAN側から入力されたSIPリクエストメッセージに対して種々のフィルタ処理を行うことにより、WAN側からの不正アクセスを的確に排除することが可能になる。
【図面の簡単な説明】
【0014】
【図1】この発明の実施形態であるVoIPルータを備えたIP電話システムの構成図である。
【図2】前記VoIPルータのブロック図である。
【図3】前記VoIPルータの動作を示すフローチャートである。
【図4】前記VoIPルータの動作を示すフローチャートである。
【図5】前記VoIPルータの動作を示すフローチャートである。
【図6】前記VoIPルータの動作を示すフローチャートである。
【発明を実施するための形態】
【0015】
図面を参照してこの発明実施形態であるIP電話システムおよびVoIPルータについて説明する。
【0016】
図1はIP電話システムの構成図である。VoIPルータ1はローカルIPネットワークであるLAN2とグローバルIPネットワークであるWAN(インターネット)3とを接続するルータ機能を備えているとともに、LAN2とWAN3との間でSIPメッセージを変換して転送する簡易SIPサーバ機能を備えている。
【0017】
LAN2には内線端末としてのIP電話機5、および、IP電話機5を交換回線に接続するためのゲートウェイ装置6が接続されている。また、LAN2にはパーソナルコンピュータ7も接続されている。なお、この図ではIP電話機5が1台のみ記載されているが1台に限定されない。また、VoIPゲートウェイを介して通常の電話機を接続してもよい。一方、WAN3には通信事業者のSIPサーバ4が接続されている。通信事業者とは公衆IP電話サービスを提供する事業者である。
【0018】
この構成のシステムでVoIPルータ1は、パーソナルコンピュータ7をインターネットであるWAN3に接続する通常のルータとして機能するとともに、簡易のSIPサーバとしても機能する。VoIPルータ1のSIPサーバ機能は、LAN2内におけるIP電話機5同士の内線通話の接続管理、LAN2上のIP電話機5からSIPサーバ4を介した外線IP電話の発呼管理、SIPサーバ4からLAN2上のIP電話機5に対して着信する外線IP電話の着呼管理等である。
【0019】
図2はVoIPルータ1のブロック図である。VoIPルータ1は、ルータ機能を実現するため、LAN通信部10、TCP/IP処理部11、NAT12、IPフィルタ13、WAN通信部14がこの順に配列されている。LAN通信部10はLANポートを含み、LAN2が接続されている。WAN通信部14はWANポートを含みWAN3が接続されている。TCP/IP処理部11は、LAN2、WAN3間でやりとりされるパケットの処理を行う機能部である。NAT12はグローバルIPアドレスとローカルIPアドレスの変換(IPマスカレードを含む)を行う機能部である。IPフィルタ13は、WAN通信部14を介してWANから着信するパケットをそのヘッダに書き込まれている各種情報に基づいて通過/非通過のフィルタリングを行う機能部である。各種情報には、たとえばIPアドレス、サービス名、ポート番号などがある。このIPフィルタ3はSIPパケットを通過させないように設定されている。
【0020】
また、LAN通信部10およびWAN通信部14には、上記TCP/IP処理部11、NAT12、IPフィルタ13の経路をバイパスするようにSIP処理部15が接続されている。SIP処理部15は、LAN2に対して内線SIPサーバとして機能するとともに、WAN3とLAN2との間で簡易なSIPプロキシサーバとして機能する。
【0021】
LAN通信部10は、LAN2から着信したパケットのサービスがSIPまたはVoIPであったとき、そのパケットをSIP処理部15に転送し、それ以外のサービスのパケットはTCP/IP処理部11に転送する。WAN通信部14は、WAN3から着信したパケットのサービスがSIPまたはVoIPであったとき、そのパケットをSIP処理部15に転送し、それ以外のサービスのパケットはIPフィルタ13に転送する。また、WAN通信部14は、SIPのパケット(SIPリクエストメッセージ)をSIP処理部15に転送するとき、そのパケットがWAN3から着信した旨を示す情報を添付する。
【0022】
SIP処理部15は、LAN通信部10から転送されてくるSIPリクエストメッセージについては通常の手順で処理する。また、SIP処理部15は、WAN通信部14からSIPリクエストメッセージが転送されてきたとき、そのSIPリクエストメッセージに上述の「WAN3から着信した旨を示す情報」が付加されていることに基づいてWAN3からの着信したものであることを識別し、このSIPリクエストメッセージについては、セキュリティを維持するため、デフォルトでは、通信事業者のSIPサーバ4から送られてくるINVITEリクエストのみ着信を許可し、それ以外のリクエストメッセージは破棄する。また、リクエストメッセージを破棄した場合でもその送信元のUA(User
Agent)に対してエラーメッセージを返信しない。なお、ユーザによる設定により、SIPサーバ4以外から着信するINVITEリクエスト以外のリクエストメッセージの着信を許可することも可能であり、また、リクエストメッセージを破棄した場合にその送信元UAに対してエラーメッセージを返信するよう設定することも可能である。
【0023】
以下、SIP処理部15が、WAN3から着信したSIPリクエストメッセージを処理する処理手順を、図3〜図6のフローチャートを参照して詳細に説明する。SIP処理部は、WAN3からリクエストメッセージが着信した場合、すなわち、WAN3から着信した旨を示す情報が付加されたSIPのパケットがWAN通信部14から転送されてきた場合、図3〜図6の処理動作を実行する。
【0024】
図3はメインルーチンである。WAN3からSIP処理部15のドメイン宛にリクエストメッセージが着信するとそのリクエストメッセージがREGISTERリクエストであるか(S10)、INVITEリクエストであるか(S12)を判定する。REGISTERリクエストの場合には(S10でYES)、REGISTER着信処理(S11:図5参照)を実行する。また、INVITEリクエストの場合には(S12でYES)、INVITE着信処理(S13:図6参照)を実行する。WAN3から着信したリクエストメッセージがREGISTERリクエストまたはINVITEリクエスト以外のメッセージであった場合には(S10、S12でNO)、このメッセージを破棄する(S14)。すなわち、セキュリティ維持のためWAN3からはREGISTER、INVITE以外のリクエストメッセージは受け付けない。リクエストメッセージの破棄は図4に示す手順で行われる。
【0025】
図4はリクエスト破棄処理を示すフローチャートである。着信したリクエストメッセージを破棄する場合この手順で行われる。まず、リクエストを破棄するの旨のエラーメッセージを送信元のUAに返信するか否かを判定する(S20)。送信元UAに対する返信を許可するか否かは予めユーザによって設定されている。送信元UA局に対する返信が許可されている場合(S20でYES)には、メッセージ破棄の理由に応じたエラーコード(401、403または404)を返信する(S21)。図3のS14の場合には、403「Forbidden」が返信される。送信元UAに対する返信が許可されていない場合(S20でNO)には何もせずに終了する。エラーコードの返信を行わないのは、相手局にこのSIP処理部15の存在を知らせないためである。
【0026】
図5はREGISTER着信処理を示すフローチャートである。この処理動作は、WAN3からREGISTERリクエストを受信した場合に図3のS11で実行される。まず、WAN3からのREGISTERリクエストの着信が許可されているか否かを判定する(S30)。WAN3からのREGISTERリクエストの着信を許可するか否かは予めユーザによって設定されている。REGISTERリクエストの着信が許可されている場合には(S30でYES)、送信局の認証処理を行う(S32)。この認証処理はたとえば一般的なダイジェスト認証等で行えばよい。認証がOKの場合には、リクエストのあったURIをデータベースに登録する(S35)。その後、送信局に対して登録が完了した旨の返信を行う等の処理が実行される。
【0027】
一方、WAN3からのREGISTERリクエストの着信が許可されていない場合には(S30でNO)、図4に示す手順でリクエストの破棄処理を行う(S31)。エラーコードを返信する場合には403「Forbidden」を返信する。また、送信局の認証できなかった場合にも(S33でNO)同様に、図4に示す手順でリクエストの処理処理を行う(S34)。この場合返信されるエラーコードは401「Unauthorized」である。
【0028】
図6はINVITE着信処理を示すフローチャートである。この処理動作は、WAN3からINVITEリクエストを受信した場合に図3のS13で実行される。この動作では、まず宛先URIに相当するリクエストURIをチェックする(S40)。リクエストURIが上位レジスト済のURI、すなわち、本装置から通信事業者のSIPサーバに対して送信したREGISTERリクエストのコンタクトヘッダに記載したURIであった場合には(S40でYES)、通信事業者を経由した外線IP電話からの発信であるとして、データベースに記載されている電話番号のいずれかと一致するかを判定する(S41)。一致した場合には(S41でYES)、その電話番号が割り振られている内線端末(IP電話機5)に対してこのINVITEリクエストを転送して着呼させる(S42)。もし、電話番号が一致しなかった場合には番号違いの電話であるとして、図4に示す手順でリクエスト破棄処理を実行する(S43)。エラーコードを返信する場合には404「Not found」を返信する。
【0029】
ここで、このVoIPサーバ1が通信事業者のSIPサーバに対して送信するREGISTERリクエストメッセージのコンタクトURIには、なりすましによる不正なアクセスを防止するためにランダムな文字列が含めている。したがって、通信事業者がこのVoIPサーバに送ってくるリクエストメッセージのリクエストURIが、このランダムな文字列が含まれたURIであれば、正当なSIPサーバから送られてきたリクエストメッセージであると判断することができる。上記S40では、このURIを用いて相手局を認証している。また、上記S41では、INVITEリクエストメッセージのTOヘッダ(たとえば、電話番号@ドメイン、または、電話番号@IPアドレス)から電話番号を抽出し、この電話番号でデータベースを検索する。
【0030】
リクエストURIが上位レジスト済のURIでない場合には(S40でNO)、ヘッダのコンタクトURIをチェックする(S44)。このコンタクトURIが本発明の送信元URIに相当する。ヘッダ内のコンタクトURIが内線レジスト済のURIであった場合(S44でYES)には、LAN2経由で内線登録されたIP電話機5が外部に持ち出されてWAN3経由で着信したものであり、このINVITEを許可してもよいと判断し、S41の処理に進む。なお、内線レジスト済のURIとは、LAN2上のIP電話機5から着信したREGISTERリクエストによって内線データベースに登録済のURIである。
【0031】
リクエストURIが上位レジスト済でも、コンタクトURIが内線レジスト済でもない場合には(S44でNO)、このINVITEリクエストがピア・ツー・ピア(P2P)通信のリクエストすなわちP2P着信であるかを判定する(S45)。P2P着信である場合には(S45でYES)、WAN3からのP2P着信(外線P2P着信)が許可されているかを判定する(S46)。外線P2P着信が許可されている場合には、FROMのURIがVoIP電話帳に登録されているかを判定する(S47)。登録されている場合には(S47でYES)、このVoIPルータ1のユーザが自ら登録した通信相手からの着信であるとしてこのリクエストの着信を許可しINVITE処理を実行する(S48)。なお、VoIP電話帳とは、ユーザによって登録される発呼先URIのリストである。
【0032】
INVITEリクエストがP2Pリクエストでない場合(S45でNO)、本機が外線P2P着信を許可していない場合(S46でNO)、または、VoIP電話帳に電話番号が登録されていない場合(S47でNO)には、図4に示す手順でリクエストの破棄処理を行う(S49)。エラーコードを返信する場合には404「Not found」を返信する。
【0033】
なお、この実施形態では、WAN側からINVITEリクエストメッセージが着信したとき、「そのINVEITEリクエストメッセージが、当方から事前にREGISTERリクエストメッセージを送信して登録された局からのものである」か否かの判定を、「そのリクエストメッセージの宛先URIが、当方から前記INVITEリクエストメッセージの送信元の局に対して事前に送信したREGISTERリクエストに記載した(上位レジスト済)URIである」か否かで判定しているが、上記判定はこれに限定されない。
【符号の説明】
【0034】
1 VoIPルータ
2 LAN
3 WAN
10 LAN通信部
14 WAN通信部
15 SIP処理部
【技術分野】
【0001】
この発明は、SIP(Session Initiation Protocol)リクエストをLAN側およびWAN側の両方から受け付けて処理するSIP機器に関する。
【背景技術】
【0002】
IP電話は、端末(電話機)間の接続の確立をSIPで行い、音声信号の伝送をVoIP(Voice over Internet Protocol)で行うものが一般的である。ところで、SIPパケット、VoIPパケットともにルータに内蔵されているNAT(Network Address Translation)部を通過することができないため、ローカルIPネットワークであるLAN上の端末(IP電話機)からグローバルIPネットワークであるWAN(インターネット上)に設置されている通信事業者のSIPサーバにアクセスすることができなかった。このいわゆるNAT越えを実現するためには、大がかりなSIPプロキシサーバ等を設置する必要があった。
【0003】
そこで、出願人は、簡略な構成でこれを実現するため、LANからWANにSIPリクエストメッセージを通過させることができるVoIPルータ装置を提案した(特許文献1参照)。また、出願人は、LAN−WAN相互間でSIPリクエストを転送可能なVoIPルータ装置を実現した。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−160055号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
LANとWANとに跨がるSIPリクエストを受け付ける場合、不正なアクセスを有効に排除することが困難である。特にWAN側からのアクセスに対してセキュリティのしきい値を高くする必要があるが、IPフィルタリングやSIPによる認証ではWAN側からの着信とLAN側からの着信を区別して不正なアクセスを有効に排除することが困難である。すなわち、セキュリティレベルを低くするとWAN側からの不正アクセスを排除できず、セキュリティレベルを高くするとLAN側からの正当なアクセスも排除してしまうという問題点があった。
【0006】
この発明は、簡略な構成、簡略な手順でWANからの不正アクセスを的確に排除可能なSIP機器を提供することを目的とする。
【課題を解決するための手段】
【0007】
請求項1の発明であるSIP機器は、SIPリクエストを処理するSIP処理部と、WAN側から着信したSIPリクエストメッセージを、WAN側から着信した旨の情報を付して前記SIP処理部に転送するWAN通信部と、LAN側から着信したSIPリクエストメッセージを前記SIP処理部に転送するLAN通信部と、を備え、
前記SIP処理部は、WAN側からINVITEリクエストメッセージが着信したとき、そのINVEITEリクエストメッセージが、当方から事前にREGISTERリクエストメッセージを送信して登録された局からのものである場合、このINVITEリクエストを受け付けることを特徴とする。
【0008】
請求項2の発明は、前記SIP処理部が、さらに、WAN側から着信したINVITEリクエストメッセージの送信元URIが、LAN側から受け付けたREGISTERリクエストに基づき既に登録済(内線レジスト済)のURIである場合、このINVITEリクエストを受け付けることを特徴とする。
【0009】
請求項3の発明は、前記SIP処理部が、さらに、WAN側から着信したINVITEリクエストメッセージがピア・ツー・ピア接続のリクエストであり、且つ、送信元URIが、ユーザの操作によって登録されるURIリスト(VoIP電話帳)に既に登録済みのURIである場合、このINVITEリクエストを受け付けることを特徴とする。
【0010】
請求項4の発明は、前記SIP処理部は、WAN側から着信したREGISTERリクエストメッセージを受け付けないことを特徴とする。
【0011】
請求項5の発明は、前記SIP処理部は、WAN側から着信したSIPリクエストメッセージを受け付けないとき、そのリクエストメッセージの送信元端末に対してエラーレスポンスを返信しないことを特徴とする。
【0012】
請求項6の発明は、前記WAN通信部および前記LAN通信部との間に、パケットフィルタおよびネットワークアドレス変換部を含むルータ部を、前記SIP処理部と並列に備え、前記WAN通信部および前記LAN通信部は、受信したパケットのうち、少なくともSIPリクエストメッセージのパケットを前記SIP処理部に転送することを特徴とする。
【発明の効果】
【0013】
この発明によれば、WAN側から着信したSIPリクエストメッセージをWAN側から着信した旨の情報を付してSIP処理部に入力し、WAN側から入力されたSIPリクエストメッセージに対して種々のフィルタ処理を行うことにより、WAN側からの不正アクセスを的確に排除することが可能になる。
【図面の簡単な説明】
【0014】
【図1】この発明の実施形態であるVoIPルータを備えたIP電話システムの構成図である。
【図2】前記VoIPルータのブロック図である。
【図3】前記VoIPルータの動作を示すフローチャートである。
【図4】前記VoIPルータの動作を示すフローチャートである。
【図5】前記VoIPルータの動作を示すフローチャートである。
【図6】前記VoIPルータの動作を示すフローチャートである。
【発明を実施するための形態】
【0015】
図面を参照してこの発明実施形態であるIP電話システムおよびVoIPルータについて説明する。
【0016】
図1はIP電話システムの構成図である。VoIPルータ1はローカルIPネットワークであるLAN2とグローバルIPネットワークであるWAN(インターネット)3とを接続するルータ機能を備えているとともに、LAN2とWAN3との間でSIPメッセージを変換して転送する簡易SIPサーバ機能を備えている。
【0017】
LAN2には内線端末としてのIP電話機5、および、IP電話機5を交換回線に接続するためのゲートウェイ装置6が接続されている。また、LAN2にはパーソナルコンピュータ7も接続されている。なお、この図ではIP電話機5が1台のみ記載されているが1台に限定されない。また、VoIPゲートウェイを介して通常の電話機を接続してもよい。一方、WAN3には通信事業者のSIPサーバ4が接続されている。通信事業者とは公衆IP電話サービスを提供する事業者である。
【0018】
この構成のシステムでVoIPルータ1は、パーソナルコンピュータ7をインターネットであるWAN3に接続する通常のルータとして機能するとともに、簡易のSIPサーバとしても機能する。VoIPルータ1のSIPサーバ機能は、LAN2内におけるIP電話機5同士の内線通話の接続管理、LAN2上のIP電話機5からSIPサーバ4を介した外線IP電話の発呼管理、SIPサーバ4からLAN2上のIP電話機5に対して着信する外線IP電話の着呼管理等である。
【0019】
図2はVoIPルータ1のブロック図である。VoIPルータ1は、ルータ機能を実現するため、LAN通信部10、TCP/IP処理部11、NAT12、IPフィルタ13、WAN通信部14がこの順に配列されている。LAN通信部10はLANポートを含み、LAN2が接続されている。WAN通信部14はWANポートを含みWAN3が接続されている。TCP/IP処理部11は、LAN2、WAN3間でやりとりされるパケットの処理を行う機能部である。NAT12はグローバルIPアドレスとローカルIPアドレスの変換(IPマスカレードを含む)を行う機能部である。IPフィルタ13は、WAN通信部14を介してWANから着信するパケットをそのヘッダに書き込まれている各種情報に基づいて通過/非通過のフィルタリングを行う機能部である。各種情報には、たとえばIPアドレス、サービス名、ポート番号などがある。このIPフィルタ3はSIPパケットを通過させないように設定されている。
【0020】
また、LAN通信部10およびWAN通信部14には、上記TCP/IP処理部11、NAT12、IPフィルタ13の経路をバイパスするようにSIP処理部15が接続されている。SIP処理部15は、LAN2に対して内線SIPサーバとして機能するとともに、WAN3とLAN2との間で簡易なSIPプロキシサーバとして機能する。
【0021】
LAN通信部10は、LAN2から着信したパケットのサービスがSIPまたはVoIPであったとき、そのパケットをSIP処理部15に転送し、それ以外のサービスのパケットはTCP/IP処理部11に転送する。WAN通信部14は、WAN3から着信したパケットのサービスがSIPまたはVoIPであったとき、そのパケットをSIP処理部15に転送し、それ以外のサービスのパケットはIPフィルタ13に転送する。また、WAN通信部14は、SIPのパケット(SIPリクエストメッセージ)をSIP処理部15に転送するとき、そのパケットがWAN3から着信した旨を示す情報を添付する。
【0022】
SIP処理部15は、LAN通信部10から転送されてくるSIPリクエストメッセージについては通常の手順で処理する。また、SIP処理部15は、WAN通信部14からSIPリクエストメッセージが転送されてきたとき、そのSIPリクエストメッセージに上述の「WAN3から着信した旨を示す情報」が付加されていることに基づいてWAN3からの着信したものであることを識別し、このSIPリクエストメッセージについては、セキュリティを維持するため、デフォルトでは、通信事業者のSIPサーバ4から送られてくるINVITEリクエストのみ着信を許可し、それ以外のリクエストメッセージは破棄する。また、リクエストメッセージを破棄した場合でもその送信元のUA(User
Agent)に対してエラーメッセージを返信しない。なお、ユーザによる設定により、SIPサーバ4以外から着信するINVITEリクエスト以外のリクエストメッセージの着信を許可することも可能であり、また、リクエストメッセージを破棄した場合にその送信元UAに対してエラーメッセージを返信するよう設定することも可能である。
【0023】
以下、SIP処理部15が、WAN3から着信したSIPリクエストメッセージを処理する処理手順を、図3〜図6のフローチャートを参照して詳細に説明する。SIP処理部は、WAN3からリクエストメッセージが着信した場合、すなわち、WAN3から着信した旨を示す情報が付加されたSIPのパケットがWAN通信部14から転送されてきた場合、図3〜図6の処理動作を実行する。
【0024】
図3はメインルーチンである。WAN3からSIP処理部15のドメイン宛にリクエストメッセージが着信するとそのリクエストメッセージがREGISTERリクエストであるか(S10)、INVITEリクエストであるか(S12)を判定する。REGISTERリクエストの場合には(S10でYES)、REGISTER着信処理(S11:図5参照)を実行する。また、INVITEリクエストの場合には(S12でYES)、INVITE着信処理(S13:図6参照)を実行する。WAN3から着信したリクエストメッセージがREGISTERリクエストまたはINVITEリクエスト以外のメッセージであった場合には(S10、S12でNO)、このメッセージを破棄する(S14)。すなわち、セキュリティ維持のためWAN3からはREGISTER、INVITE以外のリクエストメッセージは受け付けない。リクエストメッセージの破棄は図4に示す手順で行われる。
【0025】
図4はリクエスト破棄処理を示すフローチャートである。着信したリクエストメッセージを破棄する場合この手順で行われる。まず、リクエストを破棄するの旨のエラーメッセージを送信元のUAに返信するか否かを判定する(S20)。送信元UAに対する返信を許可するか否かは予めユーザによって設定されている。送信元UA局に対する返信が許可されている場合(S20でYES)には、メッセージ破棄の理由に応じたエラーコード(401、403または404)を返信する(S21)。図3のS14の場合には、403「Forbidden」が返信される。送信元UAに対する返信が許可されていない場合(S20でNO)には何もせずに終了する。エラーコードの返信を行わないのは、相手局にこのSIP処理部15の存在を知らせないためである。
【0026】
図5はREGISTER着信処理を示すフローチャートである。この処理動作は、WAN3からREGISTERリクエストを受信した場合に図3のS11で実行される。まず、WAN3からのREGISTERリクエストの着信が許可されているか否かを判定する(S30)。WAN3からのREGISTERリクエストの着信を許可するか否かは予めユーザによって設定されている。REGISTERリクエストの着信が許可されている場合には(S30でYES)、送信局の認証処理を行う(S32)。この認証処理はたとえば一般的なダイジェスト認証等で行えばよい。認証がOKの場合には、リクエストのあったURIをデータベースに登録する(S35)。その後、送信局に対して登録が完了した旨の返信を行う等の処理が実行される。
【0027】
一方、WAN3からのREGISTERリクエストの着信が許可されていない場合には(S30でNO)、図4に示す手順でリクエストの破棄処理を行う(S31)。エラーコードを返信する場合には403「Forbidden」を返信する。また、送信局の認証できなかった場合にも(S33でNO)同様に、図4に示す手順でリクエストの処理処理を行う(S34)。この場合返信されるエラーコードは401「Unauthorized」である。
【0028】
図6はINVITE着信処理を示すフローチャートである。この処理動作は、WAN3からINVITEリクエストを受信した場合に図3のS13で実行される。この動作では、まず宛先URIに相当するリクエストURIをチェックする(S40)。リクエストURIが上位レジスト済のURI、すなわち、本装置から通信事業者のSIPサーバに対して送信したREGISTERリクエストのコンタクトヘッダに記載したURIであった場合には(S40でYES)、通信事業者を経由した外線IP電話からの発信であるとして、データベースに記載されている電話番号のいずれかと一致するかを判定する(S41)。一致した場合には(S41でYES)、その電話番号が割り振られている内線端末(IP電話機5)に対してこのINVITEリクエストを転送して着呼させる(S42)。もし、電話番号が一致しなかった場合には番号違いの電話であるとして、図4に示す手順でリクエスト破棄処理を実行する(S43)。エラーコードを返信する場合には404「Not found」を返信する。
【0029】
ここで、このVoIPサーバ1が通信事業者のSIPサーバに対して送信するREGISTERリクエストメッセージのコンタクトURIには、なりすましによる不正なアクセスを防止するためにランダムな文字列が含めている。したがって、通信事業者がこのVoIPサーバに送ってくるリクエストメッセージのリクエストURIが、このランダムな文字列が含まれたURIであれば、正当なSIPサーバから送られてきたリクエストメッセージであると判断することができる。上記S40では、このURIを用いて相手局を認証している。また、上記S41では、INVITEリクエストメッセージのTOヘッダ(たとえば、電話番号@ドメイン、または、電話番号@IPアドレス)から電話番号を抽出し、この電話番号でデータベースを検索する。
【0030】
リクエストURIが上位レジスト済のURIでない場合には(S40でNO)、ヘッダのコンタクトURIをチェックする(S44)。このコンタクトURIが本発明の送信元URIに相当する。ヘッダ内のコンタクトURIが内線レジスト済のURIであった場合(S44でYES)には、LAN2経由で内線登録されたIP電話機5が外部に持ち出されてWAN3経由で着信したものであり、このINVITEを許可してもよいと判断し、S41の処理に進む。なお、内線レジスト済のURIとは、LAN2上のIP電話機5から着信したREGISTERリクエストによって内線データベースに登録済のURIである。
【0031】
リクエストURIが上位レジスト済でも、コンタクトURIが内線レジスト済でもない場合には(S44でNO)、このINVITEリクエストがピア・ツー・ピア(P2P)通信のリクエストすなわちP2P着信であるかを判定する(S45)。P2P着信である場合には(S45でYES)、WAN3からのP2P着信(外線P2P着信)が許可されているかを判定する(S46)。外線P2P着信が許可されている場合には、FROMのURIがVoIP電話帳に登録されているかを判定する(S47)。登録されている場合には(S47でYES)、このVoIPルータ1のユーザが自ら登録した通信相手からの着信であるとしてこのリクエストの着信を許可しINVITE処理を実行する(S48)。なお、VoIP電話帳とは、ユーザによって登録される発呼先URIのリストである。
【0032】
INVITEリクエストがP2Pリクエストでない場合(S45でNO)、本機が外線P2P着信を許可していない場合(S46でNO)、または、VoIP電話帳に電話番号が登録されていない場合(S47でNO)には、図4に示す手順でリクエストの破棄処理を行う(S49)。エラーコードを返信する場合には404「Not found」を返信する。
【0033】
なお、この実施形態では、WAN側からINVITEリクエストメッセージが着信したとき、「そのINVEITEリクエストメッセージが、当方から事前にREGISTERリクエストメッセージを送信して登録された局からのものである」か否かの判定を、「そのリクエストメッセージの宛先URIが、当方から前記INVITEリクエストメッセージの送信元の局に対して事前に送信したREGISTERリクエストに記載した(上位レジスト済)URIである」か否かで判定しているが、上記判定はこれに限定されない。
【符号の説明】
【0034】
1 VoIPルータ
2 LAN
3 WAN
10 LAN通信部
14 WAN通信部
15 SIP処理部
【特許請求の範囲】
【請求項1】
SIPリクエストを処理するSIP処理部と、
WAN側から着信したSIPリクエストメッセージを、WAN側から着信した旨の情報を付して前記SIP処理部に転送するWAN通信部と、
LAN側から着信したSIPリクエストメッセージを前記SIP処理部に転送するLAN通信部と、
を備え、
前記SIP処理部は、WAN側からINVITEリクエストメッセージが着信したとき、そのINVEITEリクエストメッセージが、当方から事前にREGISTERリクエストメッセージを送信して登録された局からのものである場合、このINVITEリクエストを受け付ける
SIP機器。
【請求項2】
前記SIP処理部は、さらに、WAN側から着信したINVITEリクエストメッセージの送信元URIが、LAN側から受け付けたREGISTERリクエストに基づき既に登録済のURIである場合、このINVITEリクエストを受け付ける
請求項1に記載のSIP機器。
【請求項3】
前記SIP処理部は、さらに、WAN側から着信したINVITEリクエストメッセージがピア・ツー・ピア接続のリクエストであり、且つ、送信元URIが、ユーザの操作によって登録されるURIリストに既に登録済みのURIである場合、このINVITEリクエストを受け付ける
請求項1または請求項2に記載のSIP機器。
【請求項4】
前記SIP処理部は、WAN側から着信したREGISTERリクエストメッセージを受け付けない請求項1乃至請求項3のいずれかに記載のSIP機器。
【請求項5】
前記SIP処理部は、WAN側から着信したSIPリクエストメッセージを受け付けないとき、そのリクエストメッセージの送信元端末に対してエラーレスポンスを返信しない請求項1乃至請求項4のいずれかに記載のSIP機器。
【請求項6】
前記WAN通信部および前記LAN通信部との間に、パケットフィルタおよびネットワークアドレス変換部を含むルータ部を、前記SIP処理部と並列に備え、
前記WAN通信部および前記LAN通信部は、受信したパケットのうち、少なくともSIPリクエストメッセージのパケットを前記SIP処理部に転送する請求項1乃至請求項5のいずれかに記載のSIP機器。
【請求項1】
SIPリクエストを処理するSIP処理部と、
WAN側から着信したSIPリクエストメッセージを、WAN側から着信した旨の情報を付して前記SIP処理部に転送するWAN通信部と、
LAN側から着信したSIPリクエストメッセージを前記SIP処理部に転送するLAN通信部と、
を備え、
前記SIP処理部は、WAN側からINVITEリクエストメッセージが着信したとき、そのINVEITEリクエストメッセージが、当方から事前にREGISTERリクエストメッセージを送信して登録された局からのものである場合、このINVITEリクエストを受け付ける
SIP機器。
【請求項2】
前記SIP処理部は、さらに、WAN側から着信したINVITEリクエストメッセージの送信元URIが、LAN側から受け付けたREGISTERリクエストに基づき既に登録済のURIである場合、このINVITEリクエストを受け付ける
請求項1に記載のSIP機器。
【請求項3】
前記SIP処理部は、さらに、WAN側から着信したINVITEリクエストメッセージがピア・ツー・ピア接続のリクエストであり、且つ、送信元URIが、ユーザの操作によって登録されるURIリストに既に登録済みのURIである場合、このINVITEリクエストを受け付ける
請求項1または請求項2に記載のSIP機器。
【請求項4】
前記SIP処理部は、WAN側から着信したREGISTERリクエストメッセージを受け付けない請求項1乃至請求項3のいずれかに記載のSIP機器。
【請求項5】
前記SIP処理部は、WAN側から着信したSIPリクエストメッセージを受け付けないとき、そのリクエストメッセージの送信元端末に対してエラーレスポンスを返信しない請求項1乃至請求項4のいずれかに記載のSIP機器。
【請求項6】
前記WAN通信部および前記LAN通信部との間に、パケットフィルタおよびネットワークアドレス変換部を含むルータ部を、前記SIP処理部と並列に備え、
前記WAN通信部および前記LAN通信部は、受信したパケットのうち、少なくともSIPリクエストメッセージのパケットを前記SIP処理部に転送する請求項1乃至請求項5のいずれかに記載のSIP機器。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−85003(P2012−85003A)
【公開日】平成24年4月26日(2012.4.26)
【国際特許分類】
【出願番号】特願2010−227817(P2010−227817)
【出願日】平成22年10月7日(2010.10.7)
【出願人】(000100746)アイコム株式会社 (273)
【Fターム(参考)】
【公開日】平成24年4月26日(2012.4.26)
【国際特許分類】
【出願日】平成22年10月7日(2010.10.7)
【出願人】(000100746)アイコム株式会社 (273)
【Fターム(参考)】
[ Back to top ]