CN1610340A - 一种多媒体通信安全代理网关及安全代理方法 - Google Patents
一种多媒体通信安全代理网关及安全代理方法 Download PDFInfo
- Publication number
- CN1610340A CN1610340A CN 200310102000 CN200310102000A CN1610340A CN 1610340 A CN1610340 A CN 1610340A CN 200310102000 CN200310102000 CN 200310102000 CN 200310102000 A CN200310102000 A CN 200310102000A CN 1610340 A CN1610340 A CN 1610340A
- Authority
- CN
- China
- Prior art keywords
- module
- gatekeeper
- proxy gateway
- multimedia communication
- safe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种多媒体通信安全代理网关及安全代理方法,与防火墙技术结合,使多媒体通信穿越防火墙且不降低防火墙的安全性。本安全代理网关包括H.323协议控制模块、数据中继模块、安全控制模块和网守模块,位于内、外部网络的互联处,该互联处还设置有防火墙。本发明的代理方法,包括:通过代理模块和网守模块的端口联动控制技术;通过在每一个标准多媒体通信终端上设置本地多媒体通信安全代理网关的网守IP地址,而使标准多媒体通信终端能自动感知多媒体通信安全代理网关的自动感知安全代理网关的技术;和将IP媒体流路由到多媒体通信安全代理网关进行安全过滤传送,将IP数据流路由到防火墙进行常规数据通信安全传送的媒体路由技术。
Description
技术领域
本发明涉及一种多媒体通信安全代理的方法,更确切地说是涉及一种基于H.323协议的多媒体通信安全代理的方法与使用该方法的多媒体通信安全代理网关,也可称作H.323安全代理网关,与防火墙技术及其设备结合,能够使多媒体通信穿越防火墙,同时又不降低防火墙的安全性。
背景技术
随着宽带IP网络技术的发展,多媒体通信业务日益普及。多媒体通信业务已成为宽带IP网络的规划与建设的重要目标之一。
一方面,由于宽带网可提供方便快捷的网上视频点播、可视电话和视频会议、电子商务、网上物业办公、远程医疗、远程教育等,而要求它有强大的开放性;另一方面,在开放式网络互联环境下又极需要保护内部网的资源安全。最常用的安全方法是在内网和外网之间安装防火墙,这就要求在宽带网上开展的所有多媒体业务都必须能够穿越防火墙,包括从外向内的业务和从内向外的业务。
传统的以数据应用为主的IP网络正在转变为数据、音频、视频和图像等多种媒体共存的综合业务网络。数据通信要求高可靠性,而不要求实时性,例如HTTP、FTP(文件传输协议)和BBS(电子公告)等;但是音频和视频通信则相反,对可靠性要求不高,而对实时性十分敏感,例如IP电话和视频会议等。
H.323协议是国际电信联盟ITU制订的IP多媒体通信协议。目前绝大多数IP电话和视频会议产品都采用该协议,所以H.323协议是最重要的IP多媒体通信协议。但是,由于H.323协议的复杂性,基于H.323标准的IP电话和视频会议业务在穿透防火墙时存在以下几个难点:
1.一个H.323呼叫(如电话呼叫)包含多个不同的同时连接,例如至少有两个TCP(传输控制协议)连接;所有的连接除了采用Q.931标准的呼叫建立连接是使用固定端口外,其余都是使用临时端口,即端口是动态变化的,由于范围较大且无法事先预知内部终端的IP地址和端口状态信息,防火墙不可能不顾内部网的安全,将包过滤范围开放得过大;
2.要求从防火墙的内部和外部都能够发起呼叫,对于基于H.323的IP电话和视频会议通信等多媒体业务,外部用户必须能够直接与内部系统用户建立呼叫。而传统的数据通信一般只要求从内部网络呼叫外部,这样防火墙能够暂时记忆发出的呼叫,然后把呼叫正确返回给发起者;
3.H.323通信所涉及的IP地址和端口号是在当前呼叫接续过程的前一过程中进行交换,如H.245连接的端口号在Q.931数据流中交换,RTP(实时传送协议)和RTCP(实时传送控制协议)的端口号在H.245会话中交换,防火墙无法直接处理这种情况。
综上所述,一方面IP多媒体通信业务能穿透防火墙同时又不降低网络系统的安全性,是多媒体广泛推广应用必须解决的问题;而另一方面,虽然不同类型防火墙的工作原理不同,其实现安全的机制和达到的安全级别也不一样,但是都不能很好地支持基于H.323协议的多媒体通信。本发明提出的多媒体通信安全代理方法就是针对解决这一问题提出的。
发明内容
本发明的目的是设计一种多媒体通信安全代理网关及安全代理方法,是基于H.323通信协议的多媒体通信安全代理网关及安全代理方法,在与防火墙技术结合时,能够使多媒体通信穿越防火墙,同时又不降低防火墙的安全性。
实现本发明目的的技术方案是这样的:一种多媒体通信安全代理网关,位于内部网络与外部网络的互联处,在内部网络与外部网络的互联处还设置有防火墙,其特征在于:
所述的多媒体通信安全代理网关包括H.323协议控制模块,数据中继模块,安全控制模块和网守模块;H.323协议控制模块将H.323呼叫信令解析到应用层,然后通过安全控制模块和网守模块联动认证该H.323多媒体通信是否是可信任的,如果不可信任,阻断连接,如果是可以信任的,网守模块基于相应策略将该呼叫导引到相应安全媒体通道上,数据中继模块在呼叫建立之后,以尽可能小的时延代理多媒体数据。
所述的网守模块和所述的H.323协议控制模块,数据中继模块,安全控制模块集成于同一个物理设备上;或者分离在不同的物理设备上。
所述的多媒体通信安全代理网关位于一个独立的物理设备上,或者与所述的防火墙集成在一个物理设备上,将传统数据通道作为一个独立通信通道实施常规的数据控制。
在内部网络与外部网络的互联处设置一个多媒体通信安全代理网关,在内部网络与外部网络的互联处还设置有防火墙,多媒体通信安全代理网关设置有H.323协议控制模块、数据中继模块、安全控制模块和采用GK路由和H.245路由的网守模块;
在每一个标准多媒体通信终端上设置本地多媒体通信安全代理网关的网守IP地址,标准多媒体通信终端通过该网守IP地址自动感知多媒体通信安全代理网关;
在多媒体通信安全代理网关与防火墙各自独立地并列在内部网络与外部网络的互联处时,通过不同的网络接口,将IP媒体流分路到多媒体通信安全代理网关进行包括内部网络与外部网络的IP地址转换、跨越内部网络与外部网络的双向多媒体呼叫和安全认证控制的安全过滤传送;将IP数据流分路到防火墙进行常规数据通信安全传送;
在多媒体通信安全代理网关与防火墙集成为一个支持多媒体通信的物理设备时,来自相同网络接口的所有IP媒体流,自动路由到多媒体通信安全代理网关的多媒体安全通道进行安全过滤传送,所有常规数据流自动路由到防火墙上的常规数据安全通道进行常规数据通信安全传送。
所述多媒体通信安全代理网关的安全过滤传送进一步包括:
H.323协议控制模块解析H.323呼叫信令,查询用户列表判断该H.323多媒体通信的可信任性,如果不可信,阻断连接;
如果可信,安全控制模块和网守模块联动认证该H.323多媒体通信的每一个连接和所用的每一个端口是否是安全的;
如果某个连接或某个端口不是该H.323通信所需要的或不符合H.323协议要求的,则被认为是不安全的,阻断连接,否则认为是安全的;
网守模块基于安全策略将可信的、安全的呼叫导引到相应的网络接口,即相应的安全通道;
数据中继模块在安全控制模块的控制下,在呼叫建立的连接中代理多媒体数据的传输。
所述安全控制模块和网守模块的联动认证进一步包括:
由所述的H.323协议控制模块、安全控制模块和数据中继模块组成的代理模块开放两个固定端口,其他端口都处于关闭状态;
在H.323通信呼叫过程中,网守模块根据H.323呼叫过程的需要,通知代理模块开放或关闭某些端口;
代理模块通过与网守模块的交互,得知当前的所有合法的IP呼叫和需要使用的端口,然后开放这些端口并转发得到安全验证的呼叫;
在某个端口连接完成后,代理模块立刻关闭该端口。
所述的在多媒体通信安全代理网关与防火墙集成为一个支持多媒体通信的物理设备时,还包括由网守模块的认证机制和防火墙的内部过滤路由器、外部过滤路由器的过滤策略协同完成H.323通信呼叫的安全过滤控制。
所述的H.323通信呼叫的安全过滤控制进一步包括:
不调整内部过滤路由器上有关防火墙数据通信安全的过滤规则集,但调整关于安全代理网关的过滤规则集,允许以网守模块的IP地址为源地址的源主机从一固定端口发送,允许内部网内任何地址的目标主机从任意端口接收,和允许内部网网内任何地址的源主机从任意端口发送,允许目标地址为网守模块的IP地址的目标主机从该固定端口接收,用于支持内部网多媒体通信终端能够与网守模块进行注册、认证或接入请求的RAS消息通信;
在外部过滤路由器上添加规则集,允许以网守模块的IP地址为源地址的源主机从该固定端口发送,允许外部过滤路由器的IP地址的目标主机从任意端口接收,和允许以外部过滤路由器的IP地址为源地址的源主机从任意端口发送,允许目标地址为网守模块的IP地址的目标主机从该固定端口接收,用于支持从网络外部发起呼叫,外部路由过滤器为网守模块和上级网守提供一个通道进行RAS消息交互;
在电话呼叫通信连接欲通过内、外部过滤路由器时,内部过滤路由器或外部过滤路由器向网守模块询问该连接是否为信任连接,内部过滤路由器或外部过滤路由器根据网守模块的应答消息作允许或拒绝连接的决定。
综上所述,当H.323安全代理网关与防火墙独立并列连接在内、外网之间,使用不同的网络接口时,由安全代理网关负责多媒体通信的安全,包括内外网地址转换、跨越内外网建立双向多媒体呼叫的安全控制认证,而防火墙则负责常规数据通信安全;当H.323安全代理网关与防火墙集成为一个新的防火墙,使用相同的网络接口时,内、外网过滤路由器能够不改变原来用于非H.323数据通信连接的过滤规则集,增加针对于H.323通信安全的过滤规则集,通过与安全代理网关中的网守模块交互来安全过滤H.323通信连接。
本发明包含三项关键技术:
1.代理模块和网守模块间的端口安全联动控制技术;
2.标准多媒体终端的自动感知H.323安全代理网关技术;
3.媒体路由技术。
与现有技术相比,本发明的有益效果是:
1.本发明提出的多媒体通信安全代理网关在逻辑上是独立于防火墙的,它为多媒体通信建立了专用的安全通道,可以与任何种类的防火墙配合使用,所以本方法可以使H.323通信能够穿越各种类型的防火墙;
2.基于H.323协议的音/视频终端在跨越多媒体通信安全代理网关进行呼叫时,必须知道多媒体通信安全代理网关的IP地址,否则就无法通过多媒体通信安全代理网关与另一端终端建立连接。但是,基于H.323协议的音/视频终端并不支持该项设置,即在终端上设置安全代理网关的IP地址。本发明通过网守的GK路由和H.245路由很好地解决了这一问题。任何标准H.323通信终端不需要做特别设置,能够自动感知到H.323安全代理网关,即获得其IP地址;
3.安全代理网关的核心是保证网络系统的安全。本发明从两个方面实现网络系统的安全:一是只有合法的H.323呼叫才能通过安全代理网关;二是网守模块与代理模块联动,对呼叫过程动态打开的每一个端口进行安全控制,使可信赖的多媒体通信通过安全代理网关。所以,本发明提出的安全代理方法对H.323协议通信实施了完整的安全认证。
附图说明
图1是H.323多媒体通信安全代理网关的原理性结构框图;
图2是当H.323安全代理网关作为独立设备与堡垒主机并列时,H.323安全代理网关与子网过滤防火墙配合的流程框图;
图3是当H.323安全代理网关与堡垒主机集成时,H.323安全代理网关与子网过滤防火墙配合的流程框图;
图4是H.323通信穿透H.323安全代理网关的Q.931阶段过程示意图;
图5是H.323通信穿透安全代理网关的H.245阶段和RTP阶段过程示意图;
图6是外部网络的电话终端T1呼叫内部网络的电话终端T2时的过程示意图;
图7是H.323安全代理网关的本地网守模块和代理模块集成在一个物理设备上时的内外网连接结构示意图;
图8是H.323安全代理网关的本地网守模块与代理模块集成时的互通示意图。
具体实施方式
参见图1,图中示出本发明提出的H.323安全代理网关结构,由四个功能模块组成,包括:H.323协议控制模块101、数据中继模块103、安全控制模块102和网守模块11。其中,数据中继模块103负责双向传输以UDP(用户数据报协议)方式连接的数据包,数据包包括RTP(实时传送协议)音频流或视频流,要求数据中继模块以尽可能小的时延快速传输数据包(代理多媒体数据);H.323协议控制模块101负责处理以TCP(传输控制协议)方式连接的双向H.323(包括执行Q.931协议和执行H.245协议两个过程)控制协议,其重点是作H.323呼叫控制;安全控制模块102与网守模块11联动实施H.323多媒体通信的安全策略。
为了能更清楚地表述本发明中H.323安全代理网关的网守模块11和其他模块之间的相互关系,特将H.323协议控制模块101、数据中继模块103和安全控制模块102的整体组合称为代理模块10。这样H.323安全代理网关就可以简化为由网守模块11和代理模块10两部分组成。
H.323安全代理网关的网守(GateKeeper,GK)模块11用于对H.323 Zone的管理,负责向电话终端提供呼叫控制服务,每个H.323 Zone有且只有一个网守模块。网守模块负责管理所属H.323 Zone内的电话系统设备,实现地址解析、接入控制和带宽控制等功能,其基本功能是执行RAS(Register AdmissionStatus)消息(包括请求和应答消息)。根据H.323协议,网守模块11可以选择GK路由工作方式。GK路由是让H.225.0协议中的Q.931呼叫控制信令必须经过网守模块,使得网守模块能够直接管理呼叫以及采集呼叫的信息。如果网守模块工作在GK路由方式下,网守模块还可以选择H.245路由。H.245路由要求H.245通道也经过网守模块,网守模块因此能够管理和监测媒体流通路,所以网守模块与其它模块配合还可以提供端口安全联动控制、媒体路由功能,并使终端自动感知H.323安全代理网关。一个标准的网守模块应该有三个功能子模块:RAS消息处理、Q.931呼叫信令处理和H.245控制流处理,分别用RAS_Server,GK_Routed和H.245_Routed来表示。
安全代理网关的代理模块的三个子模块:协议控制模块、数据中继模块和安全控制模块,分别用Signal_Proxy、Media_Proxy和RAS/Secure_Handle来表示。代理模块的基本功能是实现H.323媒体流和信令流的解析、转发和中继。一个H.323呼叫有两个阶段:一是Q.931呼叫和能力交换的H.245控制信令阶段,二是多媒体传输阶段。因为H.323呼叫的所有连接都需要经过H.323安全代理网关的代理模块,所以H.323呼叫的合法性检验和安全控制可由代理模块和网守模块共同来完成。为了实现正确的呼叫建立,协议控制模块101、安全控制模块102和网守模块11相互配合,实施安全访问控制,为数据中继模块103提供安全可靠的通信环境。
传统防火墙有多种不同结构,但常用的主要有三种:子网过滤结构;双宿主主机结构;和主机过滤结构。本发明提出的H.323安全代理方法适用于这三种不同结构的防火墙,这里只以子网过滤结构的防火墙为例,说明安全代理网关与防火墙作为独立物理设备存在和集成在一个物理设备上的两种情况,分别由图2和图3示出。
参见图2,是H.323安全代理网关21作为一个独立物理设备放在与防火墙20并列的位置上时的一种配合。H.323安全代理网关21位于内部网络25与外部(宽带IP)网络26的互联处,传送IP媒体流;堡垒主机22位于防火墙20的内部过滤路由器23与外部过滤路由器24的互联处,传送IP数据流。内部过滤路由器23与外部过滤路由器24分别连接内部网络25与外部(宽带IP)网络26。
在上述H.323安全代理网关21作为独立设备与防火墙20并列时,防火墙20的三个组成部分:外部过滤路由器24,内部过滤路由器23和堡垒主机22无需做任何调整。H.323安全代理网关21为H.323通信提供了独立的安全媒体通道。H.323安全代理网关21依据其安全策略对所有试图通过的连接进行合法性和安全性检验,并阻断所有非H.323的连接和所有未授权H.323的连接,从而保证网络系统并没有因多媒体通信穿越防火墙而降低系统的安全性。H.323通信将自动旁路内外部过滤路由器23、24直接到达H.323安全代理网关21,安全代理网关21将解析H.323连接,对该连接的合法性进行验证,只有合法的H.323连接才中继,对于非法的H.323连接进行阻断,从而使可以信赖的H.323呼叫穿越防火墙。如果非H.323连接试图穿越H.323安全代理网关21,由于代理网关解析该连接,通过辨别该连接不符合H.323协议而予以阻断。这样,由于内、外部过滤路由器23、24和堡垒主机22不调整原来的安全策略,并且H.323安全代理网关21只对H.323业务进行服务,而不代理其他服务,让非军事区(DMZ)中的堡垒主机22完成传统防火墙的任务。所以该方法在保证原有的安全性能的情况下实现H.323协议的代理服务,即完成H.323呼叫成功穿透防火墙。
子网过滤防火墙结构是被广泛采用的模式,内外部过滤路由器的工作原理相同,只是保护对象不一样,外部过滤路由器是外层防护,保护DMZ的堡垒主机(防火墙和H.323安全代理网关),而内部过滤路由器是最内层防护,保护内部网的安全性。本例中H.323安全代理网关和防火墙使用不同的网络接口,即让数据包和H.323媒体流走不同的通道,数据包走防火墙提供的数据通道,H.323媒体流走H.323安全代理网关提供的通道,内外部过滤路由器对防火墙的过滤规则集可不作任何调整,而H.323数据流将依其自身的媒体路由机制自动旁路内外部过滤路由器,H.323通信连接的安全性由H.323安全代理网关来保障。从而在内外部过滤路由器上实现支持H.323穿越的过滤策略,既让可信任的H.323通信连接顺利穿过,又不降低网络系统的安全性。
参见图3,H.323安全代理网关与子网过滤防火墙的另一种配合,H.323安全代理网关放在堡垒主机上,即在堡垒主机31原来服务的基础上添加H.323代理服务,H.323安全代理网关以一个应用运行在已经存在的防火墙30上。这样H.323通信就要穿越内、外部过滤路由器32、33。但传统的内、外部过滤路由器并不支持H.323通信。为了让H.323通信能够通过内、外部过滤路由器,内、外部过滤路由器需要添加一些针对H.323通信的过滤规则,并与H.323安全代理网关中的网守模块联动来判定H.323连接是否是可以信任的,让可信任的H.323连接穿越内、外部过滤路由器32、33。
在图3中,H.323安全代理网关和防火墙使用相同的网络接口,即常规数据包和H.323媒体流走同一个通道,也就是说H.323媒体流也需要穿越内、外部过滤路由器。由于H.323通信连接使用大于1024的临时动态端口,过滤路由器要允许H.323通信连接穿过,势必要调整原来用于数据通信的安全过滤规则集,从而削弱了防火墙的安全性保障。为此,我们必须引入新的安全策略机制来保障防火墙的安全性。
由于H.323安全代理网关和防火墙使用相同的网络接口,也就是使用同一个IP地址。这样,过滤器对于防火墙的安全过滤策略需要作彻底调整,因为H.323通信使用大于1024的动态端口,不能确切地允许或拒绝哪些端口的连接。于是内部过滤路由器的过滤规则集要允许关于防火墙(或H.323安全代理网关)大于1024端口的所有连接。很显然,这种过滤规则集大大削弱了过滤路由器对数据通信的安全控制,因为过滤路由器为了让H.323通信连接顺利穿过,不得不去掉对数据通信连接的安全过滤控制,显然这是不可行的。本发明针对这一问题,在网守模块和代理模块联动实现通信端口安全控制方法的基础上,进一步提出过滤路由器与网守模块联动来实现对H.323通信端口的安全过滤控制方法。在H.323安全代理网关和防火墙使用相同的网络接口的情况下,如果由过滤路由器独立执行过滤策略,实现的安全过滤控制则较弱。而让过滤路由器的过滤策略和网守模块的认证机制相结合执行安全过滤策略,就能够完成较强的安全过滤控制。
过滤路由器上有关数据通信安全(防火墙)的过滤规则集不作任何调整,而关于安全代理网关的过滤规则集将进行调整。由于安全代理网关中网守模块的RAS通信连接使用1719的固定端口,于是内部过滤路由器预先设置为允许安全代理网关所用的1719端口的连接,如表1所列的规则集1。
表1
规则集1 | 动作 | 源主机 | 端口 | 目标主机 | 端口 |
允许 | 网守GK的IP地址 | 1719 | 网内任何地址 | 任意端口 | |
允许 | 网内任何地址 | 任意端口 | 网守GK的IP地址 | 1719 |
表格中第一行表示:允许以网守GK的IP地址为源地址的源主机从端口1719发送,内部网内任何地址的目标主机从任意端口接收;表格中第二行表示:允许内部网网内任何地址的源主机从任意端口发送,目标地址为网守GK的IP地址的目标主机从1719端口接收。
内部过滤路由器的规则集1是明确用来支持H.323通信连接的,内部H.323终端据此能够与网守GK模块进行注册、认证或接入请求的RAS消息通信。H.323通信有一个特性:当前连接所使用的端口在前一连接的通信中确认,即是说Q.931的信令连接端口在RAS消息通信中确认,H.245端口在Q.931通信中确认,RTP媒体连接端口在H.245通信中确认。由于使用GK路由和H.245路由工作方式,所以在H.323通信接续的每个通信连接前,网守模块就已经掌握了该连接将使用的动态端口。如果电话呼叫通信连接欲通过过滤路由器,过滤路由器(包括内部过滤路由器和外部过滤路由器)就向网守模块询问该连接是否为信任连接。然后,过滤路由器将根据网守模块的应答消息作允许或拒绝的决定。
为了能够从网络外部发起呼叫,外部过滤路由器需要为网守模块和上级网守提供一个通道进行RAS消息交互,为此需在外部过滤路由器上添加表2所列的规则集2。由于本地网守模块在内部过滤路由器的外部,本地网守模块与上级网守GK的交互不需要穿越内部过滤路由器,所以内部过滤路由器就不需要为此提供特别的规则集。
表2
规则集2 | 动作 | 源主机 | 端口 | 目标主机 | 端口 |
允许 | 网守GK的IP地址 | 1719 | 外部过滤路由器的IP地址 | 任意端口 | |
允许 | 外部过滤路由器的IP地址 | 任意端口 | 网守GK的IP地址 | 1719 |
表格中第一行表示:允许以网守GK的IP地址为源地址的源主机从端口1719发送,内部网外部过滤路由器的IP地址的目标主机从任意端口接收;表格中第二行表示:允许以内部网外部过滤路由器的IP地址为源地址的源主机从任意端口发送,目标地址为网守GK的IP地址的目标主机从1719端口接收。
综上所述,当H.323安全代理网关与防火墙使用相同的网络接口时,过滤器能够不改变原来用于非H.323数据通信连接的过滤规则集,通过与安全代理网关中的网守模块交互来安全过滤H.323通信连接,从而保证防火墙的安全性,又能实现H.323通信的安全穿越。
当H.323通信需要穿透H.323安全代理网关时,外部终端首先与安全代理网关交互,在安全代理网关对通信控制消息和媒体流做相应的处理之后,才和内部终端间建立起连接关系;同样地,内部终端也必须通过安全代理网关的处理才能和外部终端建立连接。用附图4和附图5分别说明在H.323通信需要穿透H.323安全代理网关时,H.323连接的点对点呼叫过程的Q.931连接阶段(图4)及H.245连接阶段、RTP连接阶段(图5)。假设终端1位于外部网,终端2位于内部网,中间竖线表示H.323安全代理网关(包括代理模块和本地网守模块GK)。
H.323安全代理网关在H.323呼叫连接的过程中解析Q.931消息、H.245控制消息以及媒体通道消息,读出消息的相关域,被叫方的地址别名以及呼叫的资源使用情况请求等。接下来,H.323安全代理网关做两件事情:一方面与上级网守交互,请求地址解析、带宽资源和计费启动等;另一方面,由代理模块(图1中10)与本地网守模块(图1中11)联动实施H.323呼叫的安全策略,依据获取的主叫和被叫用户的有关信息和呼叫端口判定呼叫是否可信。如果是可信呼叫,H.323安全代理网关将中继该H.323呼叫,然后通过相应的网络接口发送出去。否则,将阻断该呼叫。
当H.323通信需要穿透H.323安全代理网关时,外部终端首先与安全代理网关交互,安全代理网关对通信控制消息和媒体流做相应的处理之后,然后才和内部终端建立连接;同样地,内部终端也必须通过安全代理网关的处理才能和外部终端建立连接。图4和图5表示了H.323通信穿透安全代理网关的处理过程:其中终端1位于外部网,终端2位于内部网。图6所示表示了内外部网络的电话终端T1、T2呼叫过程,内部网络终端T1连接局域网LAN1,局域网LAN1连接内部过滤路由器61,内部过滤路由器61连接H.323安全代理网关62,H.323安全代理网关62连接外部过滤路由器63,外部过滤路由器63连接宽带IP网,宽带IP网连接支持H.323通信的防火墙64,防火墙64连接局域网LAN2,局域网LAN2连接外部网络终端T2。局域网LAN1还与网守GK1模块连接,局域网LAN2还与网守GK2模块连接,宽带IP网连接上级网守GK。
参见图4结合参见图6,在H.323通信的Q.931阶段,安全代理网关需要处理各个协议数据单元(PDUs:Protocol Data Units)。安全代理网关对Q.931消息PDUs的具体处理过程是:
步骤401,位于外部网的终端1向安全代理网关的网守模块发送注册请求消息ARQ(终端1与H.323安全代理网关间通过1720端口建立TCP连接)。因为终端1上设置了网守模块的IP地址,而网守模块与代理模块集成在物理设备安全代理网关上,所以终端能够自动感知安全代理网关。
步骤402,网守模块收到含有目的终端2别名的ARQ消息后,首先在合法用户终端列表中查找终端1,若有则将终端2的别名改为安全代理网关的外部IP地址在ACF中回送给终端1,否则回送的ACF中仍保留终端2的别名。这样终端1就不会知道终端2的内部IP地址,使内部网络的终端2始终处于安全代理网关的保护之下,通过本步骤确定了终端1的合法性。
步骤403,终端1向安全代理网关发送Setup消息,源端是终端1,目的端是安全代理网关;
步骤404、405,安全代理网关的网守模块接收到Setup消息后,首先给主叫终端1回送Proceeding消息,然后判定该呼叫是来自内部还是外部。如果呼叫来自内部,将判定呼叫是否经过本地网守模块路由,如果不是则说明该呼叫没有经过本地网守模块认证,将予以阻断,如果经过了本地网守模块路由,则读出Setup-UUIE.destCallSignalingAddress的IP地址,即远端安全代理网关的地址,然后由代理模块把该呼叫转接出去。如果呼叫来自外部,则校验Setup-UUIE.destCallSignalingAddress为安全代理网关的外部IP地址,然后将检测remoteExtensionAlias是否存在,若存在,将其翻译成安全代理网关的IP内部地址,若不存在,就检测用户部分消息并创建remoteExtensionAlias域和一个IP内部地址。代理模块最后根据与本地网守模块的交互结果修改向终端2发送的Setup消息,修改后源地址为安全代理网关,目的地址为终端2的IP地址,再通过相应的网络接口转发出去。由此代理模块和网守模块联动完成呼叫阶段的安全控制。
步骤406、407、408,被叫终端2接收到Setup消息后,回送Proceeding消息,然后向安全代理网关的网守模块发送注册请求消息ARQ,安全代理网关的网守模块向终端2回送ACF。
步骤409、410,被叫终端2接收到ACF消息后,将回送振铃消息Alerting,由于本地网守模块工作在GK路由方式,Alerting消息将首先通过本地网守模块,然后代理模块用本地呼叫表修改Call Reference Value(CRV)消息并转发给终端1。
步骤411、412,被叫终端2一旦摘机,将发出呼叫连接Connect消息。同Alerting消息一样,由于网守工作在GK路由方式,connect消息先被路由到本地GK模块,通过认证后通知代理模块。代理模块如果发现UUIE.H245Address(假定终端2的H.245端口地址为5000)存在,就更新UUIE.H245Address(假定更新后的安全代理网关H.245端口地址为5100)和UUIE.destinationInfo信息,然后向终端1转发该PDU消息。
任一方挂机,将发送呼叫释放Release Complete消息。安全代理网关接收到该消息后,释放H.245和RTP信道的所有资源并转发该PDU,最后释放Q.931连接相关的资源并且关闭连接。
参见图5并结合参见图6,在H.323通信的H.245阶段和RTP阶段,安全代理网关需要处理H.245消息的各个协议数据单元(PDUs:Protocol Data Units)。假设终端1的RTP端口地址是1500,RTCP端口地址是1501,终端2的RTP端口地址是4000,RTCP端口地址是4001。具体操作如下所述。
步骤501,完成了Q.931阶段的connect消息后,H.245端口地址已确定,通信将进入H.245阶段,进行能力协商和逻辑通道的建立。为了打开一个逻辑信道,终端1向代理网关发送OpenLogicalChannel(OLC)消息。
步骤502、505、506,安全代理网关的网守模块在端口5100(Q.931通信过程协商的端口号)接收到OLC消息,认为该端口是安全和可信赖的,然后代理模块在任一端口向终端2转发OpenLogicalChannel(OLC)消息,并向终端1回送OpenLogicalChannelAck(OLCA)消息。终端2在端口5000接收到OLC消息后,回送OpenLogicalChannelAck(OLCA)消息。当代理模块发现dataType是audio或video时,将为RTCP和RTP流分配本地端口(在代理模块的两边)。通过OLC和OLCA消息协商后,终端1的媒体流发送接收RTP端口与RTCP端口分别为1500和1501;代理模块与终端1通信的RTP端口和RTCP端口分别为2000和2001;终端2的RTP端口和RTCP端口分别为4000和4001;代理模块与终端2通信的RTP端口和RTCP端口分别为3000和3001。
步骤503、504、507、508与步骤501、502、505、506相同仅仅是方向相反。
在H.245阶段,安全代理网关中的网守模块认证端口5100是安全的,与代理模块交互后,由代理模块转发从5100接收到的PDU消息,并通过OLC和OLCA消息,确定RTP媒体流传输阶段的发送接收端口地址(即RTP地址)。
H.245阶段结束后,开始RTP阶段。网守模块认证上一通信阶段协商的端口2000、2001、3000和3001是安全的,由代理模块转发RTP和RTCP数据包。如果发现逻辑信道是未经网守模块认证的,就由代理模块丢掉该PDU消息,由此完成网守模块和代理模块联动对端口实施安全控制。对于一个已知的信道:1)在本地和远端端口间进行端口匹配;2)在RTP和RTCP会话中激活数据包转发。然后使用安全代理网关代理模块所用的RTP和RTCP地址来替代PDU中的RTP和RTCP地址(如将端口地址4000、4001替代为2000、2001或将端口地址1500、1501替代为3000、3001)并转发PDU消息。
如果终端试图拒绝一个OLC消息,将发送OpenLogicalChannelReject消息。当代理模块接收到该消息,如果发现逻辑信道是未知的,就丢掉PDU。否则,接着释放该逻辑信道的所有端口资源并转发该PDU消息。
如果终端试图关闭一个逻辑信道,将发送CloseLogicalChannel消息。代理模块如果发现信道未知,就丢掉PDU消息,随后停止RTP和RTCP端口上数据包的转发且释放所有的端口资源,最后转发该PDU消息。
组成H.323安全代理网关的网守模块和代理模块在逻辑上是独立的,但在物理上是集成在一台设备上。网守模块工作在GK路由和H.245路由方式,IP电话终端基于网守的路由功能能够自动感知本地H.323安全代理网关,所以不需要在IP电话终端上配置本地H.323安全代理网关的信息。所谓IP电话终端能够自动感知H.323安全代理网关,是指在IP电话终端上不需做特别设置,IP电话终端在呼叫时就能从网守得到本地或远端H.323安全代理网关的IP地址,从而使其呼叫能够穿越H.323安全代理网关。
当呼叫一个位于H.323安全代理网关背后的远端系统时,呼叫方必须首先与远端(被叫方)的H.323安全代理网关连接,并告诉被叫安全代理网关被叫方是谁。可利用IP电话终端上的H.323 Setup消息和网守ACF消息来实现这个功能:其destCallSignalingAddress域和/或destinationAddress域包含该网关的地址;remoteExtensionAlias域包含实际的被叫方地址。主叫方发起呼叫时,首先与网守建立连接,并从网守模块提供的接入确认消息(ACF)中得到远端(被叫)H.323安全代理网关和被叫方地址信息,再将这些地址信息填充在destCallSignalingAddress域和/或destinationAddress域及remoteExtensionAlias域内。
前面述及,H.323安全代理网关的网守模块与代理模块集成在一个物理设备上,网守模块处于H.323安全代理网关保护的内部网内,通过安全控制模块的安全策略和网守模块的认证机制相结合来共同实现安全访问控制。在一般情况下,代理模块只开放两个端口1719和1720,其他端口都处于关闭状态。在H.323呼叫过程中,网守模块根据H.323呼叫过程的需要,通知代理模块开放或关闭某些端口。一个H.323通信呼叫在发起呼叫之前,电话终端首先向网守模块发送接入请求消息ARQ,只有得到网守模块的认证通过才能够发送Q.931Setup消息发起呼叫。H.323协议通过该过程来确保H.323呼叫的合法性和安全性。
网守模块与代理模块集成在一台主机上,且工作在GK路由方式的配置模式,能够实现很强的端口级安全访问控制。当执行GK路由时,网络内部的所有电话呼叫都将通过GK路由,这样网守GK模块能够分析出网内电话终端所用的动态端口,于是网守GK模块将通过呼叫信息请求应答消息IRR通知安全代理网关:某IP地址的哪几个端口是当前呼叫所使用的。
当安全代理网关的代理模块通过与网守模块的交互,得知当前有几个合法的IP呼叫,使用了哪几个端口,然后就开放这些端口并转发得到安全验证的呼叫。一旦某个端口连接完成,安全代理网关就立刻关闭该端口。如果某端口的连接是网守模块没有通知的,安全代理网关将不代理关于该端口的连接。因此,安全代理网关不但实现了IP地址的安全访问控制,还实现了关于端口的安全访问控制。
参见图7、图8,H.323安全代理网关的本地网守模块和代理模块集合在一台主机111上,构成H.323安全代理网关,再分别与内网25与外网26连接,内、外网与用户终端连接。该结构最大特点是不要求IP电话终端设置本地H.323安全代理网关的地址,能够通过GK路由自动感知本地和远端安全代理网关。因此,该结构在简单性和实用性方面具有明显优势,是一种值得推广的配置结构。
图8中示出H.323安全代理网关的本地网守模块和代理模块集成配置时的互通情况。该配置结构下,安全代理网关的本地网守模块121和代理模块122在逻辑子功能模块的实现上完全融合了,相互之间的互通十分简单:通过操作公用的数据块和使用相同的网络侦听端口就能够实现双方的配合。本地网守模块121由RAS_Server、GK_Routed和H.245_Routed三个功能子模块组成,并始终工作在GK路由和H.245路由的工作方式下。在这种情况下,代理模块122的功能子模块Signal_Proxy与本地GK模块的子模块GK_Routed合并在一起,代理模块122的功能子模块Media_Proxy与本地GK模块的子模块H.245_Routed合并在一起,即GK模块121的GK_Routed包含代理模块122的Signal_Proxy;GK模块121的H.245_Routed包含代理模块122的Media_Proxy。因为代理模块122的RAS_Handle与网守GK的RAS_Server具有相同的功能,所以,在代理模块122中不需要RAS_Handle子模块。当本地网守模块121接收到电话终端的Q.931呼叫信令消息后,GK_Routed对呼叫进行管理和监测,接着Signal_Proxy解析呼叫信令,结合网关路由表和代理策略决定是否转发和如何转发;接下来本地GK模块121的H.245_Routed子模块执行媒体通道的管理和监测,同时代理模块122的Media_Proxy实施代理策略。
因为该模式选择了GK路由和H.245路由,所以呼叫一定经过本地GK模块121,当然也就经过H.323安全代理网关。因此,电话终端不需要做特别设置,当它收到本地GK模块121的接入确认ACF消息后,就用1720公众端口呼叫本地GK模块,于是,整个H.323安全代理网关就参与到呼叫过程中了,电话终端能够自动感知本地安全代理网关而不需要设置本地安全代理网关的IP地址。当然,当呼叫一个在H.323安全代理网关后面的终端,也能通过上级网守感知远端H.323安全代理网关。图中实线箭头表示呼叫执行流程(包括信令流和媒体流)。
该模式具有以下优点:一是通信规程简单,呼叫时延短;二是本地GK模块和代理模块交互简单,带宽管理和接入控制相当方便。
Claims (8)
1.一种多媒体通信安全代理网关,位于内部网络与外部网络的互联处,在内部网络与外部网络的互联处还设置有防火墙,其特征在于:
所述的多媒体通信安全代理网关包括H.323协议控制模块,数据中继模块,安全控制模块和网守模块;H.323协议控制模块将H.323呼叫信令解析到应用层,然后通过安全控制模块和网守模块联动认证该H.323多媒体通信是否是可信任的,如果不可信任,阻断连接,如果是可以信任的,网守模块基于相应策略将该呼叫导引到相应安全媒体通道上,数据中继模块在呼叫建立之后,以尽可能小的时延代理多媒体数据。
2.根据权利要求1所述的一种多媒体通信安全代理网关,其特征在于:所述的网守模块和所述的H.323协议控制模块,数据中继模块,安全控制模块集成于同一个物理设备上;或者分离在不同的物理设备上。
3.根据权利要求1所述的一种多媒体通信安全代理网关,其特征在于:所述的多媒体通信安全代理网关位于一个独立的物理设备上,或者与所述的防火墙集成在一个物理设备上,将传统数据通道作为一个独立通信通道实施常规的数据控制。
4.一种多媒体通信安全代理网关的安全代理方法,其特征在于包括以下步骤:
在内部网络与外部网络的互联处设置一个多媒体通信安全代理网关,在内部网络与外部网络的互联处还设置有防火墙,多媒体通信安全代理网关设置有H.323协议控制模块、数据中继模块、安全控制模块和采用GK路由和H.245路由的网守模块;
在每一个标准多媒体通信终端上设置本地多媒体通信安全代理网关的网守IP地址,标准多媒体通信终端通过该网守IP地址自动感知多媒体通信安全代理网关;
在多媒体通信安全代理网关与防火墙各自独立地并列在内部网络与外部网络的互联处时,通过不同的网络接口,将IP媒体流分路到多媒体通信安全代理网关进行包括内部网络与外部网络的IP地址转换、跨越内部网络与外部网络的双向多媒体呼叫和安全认证控制的安全过滤传送;将IP数据流分路到防火墙进行常规数据通信安全传送;
在多媒体通信安全代理网关与防火墙集成为一个支持多媒体通信的物理设备时,来自相同网络接口的所有IP媒体流,自动路由到多媒体通信安全代理网关的多媒体安全通道进行安全过滤传送,所有常规数据流自动路由到防火墙上的常规数据安全通道进行常规数据通信安全传送。
5.根据权利要求4所述的多媒体通信安全代理网关的安全代理方法,其特征在于所述多媒体通信安全代理网关的安全过滤传送进一步包括:
H.323协议控制模块解析H.323呼叫信令,查询用户列表判断该H.323多媒体通信的可信任性,如果不可信,阻断连接;
如果可信,安全控制模块和网守模块联动认证该H.323多媒体通信的每一个连接和所用的每一个端口是否是安全的;
如果某个连接或某个端口不是该H.323通信所需要的或不符合H.323协议要求的,则被认为是不安全的,阻断连接,否则认为是安全的;
网守模块基于安全策略将可信的、安全的呼叫导引到相应的网络接口,即相应的安全通道;
数据中继模块在安全控制模块的控制下,在呼叫建立的连接中代理多媒体数据的传输。
6.根据权利要求4所述的多媒体通信安全代理网关的安全代理方法,其特征在于所述安全控制模块和网守模块的联动认证进一步包括:
由所述的H.323协议控制模块、安全控制模块和数据中继模块组成的代理模块开放两个固定端口,其他端口都处于关闭状态;
在H.323通信呼叫过程中,网守模块根据H.323呼叫过程的需要,通知代理模块开放或关闭某些端口;
代理模块通过与网守模块的交互,得知当前的所有合法的IP呼叫和需要使用的端口,然后开放这些端口并转发得到安全验证的呼叫;
在某个端口连接完成后,代理模块立刻关闭该端口。
7.根据权利要求4所述的多媒体通信安全代理网关的安全代理方法,其特征在于:所述的在多媒体通信安全代理网关与防火墙集成为一个支持多媒体通信的物理设备时,还包括由网守模块的认证机制和防火墙的内部过滤路由器、外部过滤路由器的过滤策略协同完成H.323通信呼叫的安全过滤控制。
8.根据权利要求7所述的多媒体通信安全代理网关的安全代理方法,其特征在于:所述的H.323通信呼叫的安全过滤控制进一步包括:
不调整内部过滤路由器上有关防火墙数据通信安全的过滤规则集,但调整关于安全代理网关的过滤规则集,允许以网守模块的IP地址为源地址的源主机从一固定端口发送,允许内部网内任何地址的目标主机从任意端口接收,和允许内部网网内任何地址的源主机从任意端口发送,允许目标地址为网守模块的I P地址的目标主机从该固定端口接收,用于支持内部网多媒体通信终端能够与网守模块进行注册、认证或接入请求的RAS消息通信;
在外部过滤路由器上添加规则集,允许以网守模块的IP地址为源地址的源主机从该固定端口发送,允许外部过滤路由器的IP地址的目标主机从任意端口接收,和允许以外部过滤路由器的IP地址为源地址的源主机从任意端口发送,允许目标地址为网守模块的IP地址的目标主机从该固定端口接收,用于支持从网络外部发起呼叫,外部路由过滤器为网守模块和上级网守提供一个通道进行RAS消息交互;
在电话呼叫通信连接欲通过内、外部过滤路由器时,内部过滤路由器或外部过滤路由器向网守模块询问该连接是否为信任连接,内部过滤路由器或外部过滤路由器根据网守模块的应答消息作允许或拒绝连接的决定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101020004A CN100379231C (zh) | 2003-10-21 | 2003-10-21 | 一种多媒体通信安全代理网关及安全代理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101020004A CN100379231C (zh) | 2003-10-21 | 2003-10-21 | 一种多媒体通信安全代理网关及安全代理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1610340A true CN1610340A (zh) | 2005-04-27 |
CN100379231C CN100379231C (zh) | 2008-04-02 |
Family
ID=34756319
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2003101020004A Expired - Fee Related CN100379231C (zh) | 2003-10-21 | 2003-10-21 | 一种多媒体通信安全代理网关及安全代理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100379231C (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006000141A1 (fr) * | 2004-06-23 | 2006-01-05 | Huawei Technologies Co., Ltd. | Systeme de securite du reseau multimedia et procede correspondant |
CN100461670C (zh) * | 2005-12-27 | 2009-02-11 | 中兴通讯股份有限公司 | 应用于分组网络的基于h.323协议的终端接入方法 |
CN101710960A (zh) * | 2009-08-06 | 2010-05-19 | 中兴通讯股份有限公司 | 实现电视会议的方法及系统 |
WO2010060312A1 (zh) * | 2008-11-28 | 2010-06-03 | 中兴通讯股份有限公司 | Web应用与外部设备网络互连的实现方法和系统 |
CN101783804A (zh) * | 2010-02-22 | 2010-07-21 | 建汉科技股份有限公司 | 可提高安全协定封包处理效能的方法 |
CN101188582B (zh) * | 2006-11-17 | 2010-09-29 | 中兴通讯股份有限公司 | 穿越异构网络进行h.323终端通讯的系统和方法 |
CN101594233B (zh) * | 2009-06-26 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 上传信息的方法、接收信息的方法和设备及通信系统 |
CN101741818B (zh) * | 2008-11-05 | 2013-01-02 | 南京理工大学 | 设置在网线的独立网络安全加密隔离方法 |
CN104159154A (zh) * | 2014-07-22 | 2014-11-19 | 小米科技有限责任公司 | 多媒体播放方法、装置和系统 |
CN107241565A (zh) * | 2017-05-02 | 2017-10-10 | 苏州科达科技股份有限公司 | 多媒体会议系统及其通讯方法 |
CN111885210A (zh) * | 2020-08-10 | 2020-11-03 | 上海上实龙创智能科技股份有限公司 | 一种基于最终用户环境的云计算网络监控系统 |
CN113179225A (zh) * | 2021-04-26 | 2021-07-27 | 深圳市奇虎智能科技有限公司 | 子路由的应用识别与处理方法、系统、存储介质及计算机设备 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102088453A (zh) * | 2010-01-29 | 2011-06-08 | 蓝盾信息安全技术股份有限公司 | 一种控制主机接入的方法、系统及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6785223B1 (en) * | 1999-04-22 | 2004-08-31 | Siemens Information And Communication Networks, Inc. | System and method for restarting of signaling entities in H.323-based realtime communication networks |
US6904041B1 (en) * | 1999-07-14 | 2005-06-07 | Siemens Communications, Inc. | System and method for communication domains and subdomains in zones of real time communication systems |
US7339934B2 (en) * | 2001-04-06 | 2008-03-04 | Level 3 Communications, Llc | Alternate routing of voice communication in a packet-based network |
-
2003
- 2003-10-21 CN CNB2003101020004A patent/CN100379231C/zh not_active Expired - Fee Related
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006000141A1 (fr) * | 2004-06-23 | 2006-01-05 | Huawei Technologies Co., Ltd. | Systeme de securite du reseau multimedia et procede correspondant |
CN100461670C (zh) * | 2005-12-27 | 2009-02-11 | 中兴通讯股份有限公司 | 应用于分组网络的基于h.323协议的终端接入方法 |
CN101188582B (zh) * | 2006-11-17 | 2010-09-29 | 中兴通讯股份有限公司 | 穿越异构网络进行h.323终端通讯的系统和方法 |
CN101741818B (zh) * | 2008-11-05 | 2013-01-02 | 南京理工大学 | 设置在网线的独立网络安全加密隔离方法 |
CN101431460B (zh) * | 2008-11-28 | 2011-07-13 | 中兴通讯股份有限公司 | Web应用与外部设备网络互连的实现方法和系统 |
WO2010060312A1 (zh) * | 2008-11-28 | 2010-06-03 | 中兴通讯股份有限公司 | Web应用与外部设备网络互连的实现方法和系统 |
CN101594233B (zh) * | 2009-06-26 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 上传信息的方法、接收信息的方法和设备及通信系统 |
CN101710960A (zh) * | 2009-08-06 | 2010-05-19 | 中兴通讯股份有限公司 | 实现电视会议的方法及系统 |
CN101783804A (zh) * | 2010-02-22 | 2010-07-21 | 建汉科技股份有限公司 | 可提高安全协定封包处理效能的方法 |
CN104159154A (zh) * | 2014-07-22 | 2014-11-19 | 小米科技有限责任公司 | 多媒体播放方法、装置和系统 |
CN104159154B (zh) * | 2014-07-22 | 2018-12-25 | 小米科技有限责任公司 | 多媒体播放方法、装置和系统 |
CN107241565A (zh) * | 2017-05-02 | 2017-10-10 | 苏州科达科技股份有限公司 | 多媒体会议系统及其通讯方法 |
CN107241565B (zh) * | 2017-05-02 | 2020-03-31 | 苏州科达科技股份有限公司 | 多媒体会议系统及其通讯方法 |
CN111885210A (zh) * | 2020-08-10 | 2020-11-03 | 上海上实龙创智能科技股份有限公司 | 一种基于最终用户环境的云计算网络监控系统 |
CN113179225A (zh) * | 2021-04-26 | 2021-07-27 | 深圳市奇虎智能科技有限公司 | 子路由的应用识别与处理方法、系统、存储介质及计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN100379231C (zh) | 2008-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8607323B2 (en) | Method for providing media communication across firewalls | |
AU2002246172B2 (en) | Packet mode speech communication | |
US9531776B2 (en) | Multimedia communication control unit as a secure device for multimedia communication between LAN users and other network users | |
CN1960337A (zh) | 通信控制方法 | |
CN100379231C (zh) | 一种多媒体通信安全代理网关及安全代理方法 | |
EP2628286B1 (en) | Connection control with b2bua located behind nat gateway | |
US20070180527A1 (en) | Dynamic network security system and control method thereof | |
CN1665238B (zh) | 下一代网络的组网系统 | |
KR101606142B1 (ko) | 음성패킷망에서 네트워크 주소 번역 통과를 지원하기 위한 장치 및 방법 | |
US20030046403A1 (en) | Method for routing data streams of a communication connection between users of a connectionless packet data network, and a packet data network, a control device and a program module therefore | |
US20070041357A1 (en) | Interworking of hybrid protocol multimedia networks | |
US8675039B2 (en) | Method of transferring communication streams | |
US8032934B2 (en) | Network security system and the method thereof | |
TWI240516B (en) | System for automatically selecting voice data transmission and reception system for IP network, method thereof, and IP terminal | |
US7342905B1 (en) | Communications system | |
US8774163B2 (en) | Communication system and method for implementing IP cross-domain interconnecting via border media gateway | |
CN112653661B (zh) | 一种VoIP网络限制下的媒体恢复方法和系统 | |
CN1870559A (zh) | 内外网络间直接通讯的多媒体会议的系统与方法 | |
CN115883256B (zh) | 基于加密隧道的数据传输方法、装置及存储介质 | |
Konoplev | Universal national security platform for distributed information and telecommunication systems | |
US20050068944A1 (en) | Multimedia video telephony | |
JP2004228616A (ja) | Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立 | |
CN1719789A (zh) | 软交换监听系统 | |
US20030084136A1 (en) | System and method for device specific identification and management of network devices | |
CN1812402A (zh) | 一种实现h.323通信数据包穿越防火墙的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080402 Termination date: 20121021 |