JP2004515164A - 通信システム - Google Patents

通信システム Download PDF

Info

Publication number
JP2004515164A
JP2004515164A JP2002546385A JP2002546385A JP2004515164A JP 2004515164 A JP2004515164 A JP 2004515164A JP 2002546385 A JP2002546385 A JP 2002546385A JP 2002546385 A JP2002546385 A JP 2002546385A JP 2004515164 A JP2004515164 A JP 2004515164A
Authority
JP
Japan
Prior art keywords
external server
interface agent
proxy interface
terminal
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002546385A
Other languages
English (en)
Other versions
JP3757399B2 (ja
Inventor
リード,ステファン,マイケル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tandberg Telecom UK Ltd
Original Assignee
Ridgeway Systems and Software Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ridgeway Systems and Software Ltd filed Critical Ridgeway Systems and Software Ltd
Publication of JP2004515164A publication Critical patent/JP2004515164A/ja
Application granted granted Critical
Publication of JP3757399B2 publication Critical patent/JP3757399B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • H04L61/2535Multiple local networks, e.g. resolving potential IP address conflicts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1043Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1106Call signalling protocols; H.323 and related
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Eye Examination Apparatus (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Optical Communication System (AREA)

Abstract

本発明はマルチメディア呼や音声呼を例とする通信セッションを処理するための通信システム(1)に関わる。通信システム(1)はローカル端末(10)、外部サーバ(40)、端末(10)と共有されたネットワーク(20)との間のプロキシインターフェイスエージェント(PIA)(11)を含む。通信手段は通信セッションが必ず通過するNAT機能を備えている。通信セッションはネットワーク(20)上で端末(10)と外部サーバ(40)との間の1つ以上の論理チャネルを用いて行われ、その間、第1のNAT機能(32)は端末のトランスポートアドレス(14)に対してネットワークアドレスマッピングを行う。PIA(11)は外部サーバ(40)との通信において端末の代理として動作し、サーバへのアウトバウンドコネクションの論理チャネルを設定する。これはPIA(11)とサーバ(40)との間の制御チャネルとなる。PIA(11)はサーバ(40)への動的なアウトバウンドコネクションを確立し、サーバからの要求に応じて、あるいはPIA自身(11)からの要求に応じて、端末のトランスポートアドレス(14)とPIA−サーバ間の識別可能な論理チャンネルとの間の1つ以上の関連付けを行う。これらの識別可能な論理チャネルはPIA(11)からサーバ(40)への1つ以上の動的なアウトバウンドコネクションによって設定される。
【選択図】図1

Description

【0001】
本発明はマルチメディア呼(multimedia call)や音声呼(voice call)を例とする通信セッションを操作する通信システムに関する。
【0002】
本明細書の提示する発明は、異なる安全なプライベートIPデータネットワークに属するエンドポイント間において(H.323、SIP、MGCPなどのリアルタイムプロトコルを用いて)、個々のプライベートネットワークのデータプライバシーやデータセキュリティを損なうことなく互いに通信を行うことを可能にする。本発明は例えばファイアウォールなどの既存のセキュリティ機能や、ファイアウォール機能において実行されるであろうNAPT(ネットワークアドレスポート変換)機能、ルータ、プロキシといった既存のセキュリティ機能と協働して機能するという利点を有する。本発明の利点は、それらの機器をプロトコル(例えばH.323)に完全に適合するようにアップグレードするコストまたはプロトコル(例えばH.323)を認識する付加的な機器を配備するコストをかけずにすむところにある。本明細書の提示する発明は、プライベートネットワークの端部においてシンプル(一対一の)NAT(ネットワークアドレス変換)マッピングが適用されている構成、および/または、プライベートネットワークの端部においてNAPT(ネットワークアドレスおよびポート変換)が行われている構成に適用される。これら2つの構成は共存することも可能であり、本発明の装置により、一方の構成を有するプライベートネットワークと他方の構成を有するプライベートネットワーク間での通信を行わせることができる。同様に、単一ネットワーク内でも、いくつかの端末(例えば専用ルームシステム)は一方の構成を用い、他の端末(例えばデスクトップのクライアントPC)は第2の構成を用いるものであってもよい。なお、本明細書においては、NATという用語はすべての形式のネットワークアドレス変換を意味するものとする。
【0003】
本明細書で提示する発明の説明はITUのH.323スタンダードに関連して行うが、これはH.323がIPネットワークを含むパケットネットワーク上のリアルタイムマルチメディア通信で広く行われているスタンダードであるからである。しかし本発明は双方向に情報を送るためにポートを動的に割り当てる必要のある他のスタンダードあるいは方法(例えばIETFのセッション開始プロトコルSIP)にも同様に適用することができる。本発明の主要な利点は、プライベートネットワークのインフラストラクチュア(ファイアウォールおよびルータ)がリアルタイム通信に用いられるプロトコルを認識する必要がなく、かつプライベートネットワーク内外にトラフィックを通過させる方法もまたプロトコルを認知しなくてよいという点にある。これにより、企業はプロトコルを顧慮することなく装置を配備することができる。だからといって何らかの装置がセキュリティ上の理由やその他の理由でプロトコルのチェックをおこなうというわけではない。
【0004】
急速に発展するIP(インターネットプロトコル)データネットワークはマルチメディアおよび音声通信サービスプロバイダにとっての新たな機会と課題を作りだしている。現在営業しているテレコミュニケーション運営者、および次世代の通信事業者やサービスプロバイダによって、データネットワークバックボーンへの、未曾有の投資がなされている。同時にDSLやケーブルモデムといったブロードバンドアクセス技術が広範囲のユーザーに高速なインターネットアクセスを提供している。サービスプロバイダは、IPデータネットワークを利用して新たな音声・ビデオサービスおよびデータサービスを高速インターネットと平行してデスクトップ、オフィス、家庭に直接届けることを目指している。
【0005】
H.323スタンダードはそのサービス品質に保証のないパケットベースのネットワーク上でのマルチメディア通信に適用される。それは背景にあるトランスポートネットワークおよびプロトコルからは独立して設計されている。今日IPデータネットワークはデフォールト(既定の)かつユビキタスな(遍在する)パケットネットワークであり、H.323の導入はその大部分が(全部ではないにせよ)IPデータネットワーク上でのものである。SIPやMGCPを例とする他のリアルタイム(音声およびビデオ)通信用のプロトコルも、呼シグナリングおよびメディアのトランスポートにIPデータネットワークを用いている。更に、IPデータネットワーク上でのリアルタイムでの音声ビデオのトランスポートに関連する新たなアプリケーションのための新たなプロトコルも開発されるものと予測される。本発明において提供される方法はそれらのプロトコルや1回のセッションで複数のトラフィックフローを要求する他のプロトコルにもまた適用されるものである。
【0006】
広域通信において、異なる製造業者による端末が相互運用される場合には、スタンダード(標準)が根本的な重要性を有する。マルチメディア分野において、パケットネットワーク(例えばIPデータネットワーク)上でのリアルタイム通信に関する現在のスタンダードはITUスタンダードH.323である。H.323は現在では比較的成熟したスタンダードであり、マイクロソフト社、シスコ社、インテル社などの企業を含むマルチメディア通信業界の支持を得ている。例えばパーソナルコンピュータの75%にマイクロソフト社のNetMeeting(商標)プログラムがインストールされていると推計される。NetMeetingはH.323に準拠したマルチメディア(音声、ビデオおよびデータ)通信用のアプリケーションソフトウエアである。現在では異なる製造業者による装置間での相互運用性(互換性)が達成されている。International Multimedia Communication Consortium (IMTC)の主催する最近の相互運用性イベントには世界の120を越える企業が参加した。このIMTCはマルチメディア通信装置の相互運用性を促進するための独立組織である。このイベントは製造業者が相互動作問題をテストし、かつ解決するために定期的に行われている。
【0007】
これまで、マルチメディア(特にビデオ)通信を大規模に取り込むには数多くの障害があった。かつては利用の簡便性、品質、コスト、通信帯域幅のすべてが市場の成長を妨げていた。しかし、ビデオエンコーディング技術の進歩、安価なIPアクセスがどこでも得られる状況、およびデータネットワークへの現在の投資が、DSLやISDNやケーブルモデムの浸透と結びついて、現在ではほとんどの問題をある程度解決し、マルチメディア通信および音声通信を可能にしている。
【0008】
H.323がスタンダードとして策定された際には、プライベートネットワーク間の広いエリアにおけるトランスポートのためにH.323をH.320に変換するH.323−H.320ゲートウェイがネットワークドメインの端部に作られるものと想定されていた。したがってIP上のH.323の導入は単一ネットワーク内の通信に集中していた。
【0009】
しかしながら、IPは広域プロトコルとして愛顧を受け続けている。ますます多くの組織が、データネットワーク全体についてIPに基礎を置き続けている。高速インターネットアクセス、管理されたイントラネット、ヴァーチャル・プライベート・ネットワークス(VPNs)のすべてにおいてIPに基礎を置くことが普通である。このIPトレンドがH.320のマルチメディアプロトコルとしての衰退を引き起こしている。市場の要求はH.320を完全にIP上のH.323に置き換えることにある。しかしWAN(ワイドエリアネットワーク)を通過して行うIP上のリアルタイム通信のトランスポートに関して、市場を最も活性化させているものはおそらく音声である。H.323やSIPなどのスタンダードを用いることにより、ユーザーは自らのコンピュータを介して、インターネットを安価な音声呼に用いるようになってきた。これは全く新たなVoice over IP(VoLP)産業の誕生をはっきりと示したものであり、この産業はイーサネット(登録商標)電話、IP PBX、ソフトスイッチ、IP/PSTNゲートウェイを含む新たなVoIP製品の発達を見越しており、これらすべてが企業とユーザーの間での途切れることのないVoIPと結びついている。ここではH.323、SIPおよびMGCPが支配的なスタンダードとなることが予想される。
【0010】
残念ながら、H.323およびSIPの実際の広域配備には、予見できなかった技術的諸障害がいまなお存在する。この技術的諸障害はIPデータネットワークの境界における通信インフラストラクチュアに関するものである。
【0011】
したがって、今日成功しているIP上のマルチメディアおよび音声通信はイントラネット即ちプライベートに管理されたIPネットワークに限られている。
【0012】
問題は2つのIP技術から生じている、即ちネットワークアドレス変換(NAT)およびファイアウォールである。これらの問題の解決を考える際にはセキュリティも課題となる。データネットワーク上でのリアルタイム通信の導入が共有されたネットワーク(例えば公共のインターネット)上に及ぶ場合には、企業はデータセキュリティになんら危険がないことを確実なものとしなければならない。現在の上記の諸問題の解決方法においては、企業の外部IPアドレスを該企業が通信しようとする者(音声通信は通常すべての者を含む)に対して公にする必要がある。ここに提示する本発明はこの欠点を有しておらず、企業の外部IPアドレスを「信頼された」サービスプロバイダにのみ知らしめればよい。これは公共インターネットが大きく発展してきたやり方である。
【0013】
NATは「アドレス不足問題」を解決するために導入された。IPネットワークのいずれのエンドポイントあるいは「ホスト」も、該エンドポイントを識別(同定identify)するひとつの「IPアドレス」を有しており、データパケットは正確にそこに送られるすなわちそこにルート付けされることができ、かつそこで受け取られたパケットがどこからやってきたのかを識別することができる。IPアドレスフィールドを規定した時点では、誰もデスクトップ装置の広大な成長を予見することができなかった。グローバルIPの展開の何年後かに、IPプロトコルを用いて通信を求めるエンドポイントの数がアドレスフィールドにおいて可能な固有IPアドレスの数を越えることが明らかになった。アドレスフィールドを増やし、より多くのアドレスを利用可能とするには、IPインフラストラクチュア全体を更新することが必要であった(当業界はある点において、これをIPバージョン6によって行うことを計画している。)
【0014】
今日のソリューション(解決方法)は現在NATと呼ばれているものである。IETF RFC1631で規定されたシンプルNAT(Simple NAT)と呼ばれる最初のNATソリューションは一対一マッピングを利用しており、ワールド・ワイド・ウェブが存在する前の、組織内のいくつかのホスト(例えばE−メールサーバやファイル転送サーバ)のみが組織外部と通信する必要があった頃に生まれたものである。NATにより企業内にプライベートIPネットワークを構築することが可能となるが、そこでは該企業内の各エンドポイントはその企業内のみで唯一固有(unique)であるが、グローバルには唯一固有ではないアドレスを有している。すなわちこれらはプライベートIPアドレスである。このことにより、ある組織内の各ホストは該組織内の任意の他のホストと通信する(すなわちアドレスする)ことが可能である。外部と通信するためには、パブリックな(公の)すなわちグローバルに唯一固有のIPアドレスが必要である。こうしたプライベートIPネットワークの端部にはプライベートIPアドレスとパブリックIPアドレスとを相互変換するNAT機能を行う装置が配備される。企業はその企業に独占的に(排他的に)属するひとつ以上のパブリックアドレスを有するが、一般的には必要なパブリックアドレスの数はホストの数よりも少ない。その理由は、外部と通信する必要があるのはいくつかのホストのみであるか、あるいは同時に外部通信する数はホスト数よりも少ないからである。より洗練された形態のNATはパブリックアドレスのプールを有し、それらのパブリックIPアドレスをファーストカム−ファーストサーブド方式(先着順方式)で外部通信を必要とするホストに動的(流動的)に割り当てている。外部装置が特定の内部装置に勝手にパケットを送る必要がある場合には固定ネットワークアドレス規則が必要となる。
【0015】
今日ほとんどのプライベートネットワークは10.x.x.xアドレスレンジからのプライベートIPアドレスを使用している。外部通信はたいていの場合管理されたあるいは共有されたIPネットワークまたは公共のインターネットを介したサービスを提供するサービスプロバイダを介している。各ネットワークの境界において、アドレスをパケットが伝達されるIPネットワーク内で唯一固有のものとするためのNATが用いられる。シンプル NATは完全なIPアドレスを一対一マッピングによって変換している。このマッピングは固定的なものであってもよいし、当該通信セッションが続く間だけ動的に与えられるものであってもよい。
【0016】
ウェブサーバ、メールサーバ、および外部サーバなどが、それらに到達する外部通信を許容するために静的な(static)一対一NATマッピングを必要とするホストの例である。
【0017】
NATを用いることによって、ホストのIPアドレスは外部から不可視となる。これによってセキュリティレベルが向上する。
【0018】
シンプルNATのひとつの拡張版は、変換マッピングにポートを付加的に用いるものであり、多くの場合NAPT(ネットワークアドレスポート変換)またはPAT(ポートアドレス変換)と呼ばれる。ポートは2つのホスト間のポイント対ポイントのトランスポートコネクションの一方の端を識別(アイデンティファイ)する。ワールド・ワイド・ウェブ(WWW)への大量アクセスに伴い、IPアドレス不足が再び生じている。これは現在多くのデスクトップマシーンがプライベートネットワークの外へ通信する必要があるからである。IETFのRFC 1631に記載された解決方法は、プライベートIPアドレスとパブリックIPアドレスとの間の多対一のマッピングを許容し、その代わり、プライベートデバイスから外部のパブリックネットワーク即ち共有されたネットワークへとなされる各コネクション(接続)のパブリックIPアドレスについて唯一固有の(uniqueな)ポート割り当てを用いている(理論的には各IPアドレスに対して64kの固有ポートがある)。インターネットの発展により、PATはアドレス変換の一般的な手法となっている。
【0019】
PATのひとつの特徴はプライベートIPアドレス/ポートマッピングのパブリックIPアドレス/ポートへの割り当てが動的になされ、一般的にはプライベートデバイスがパブリックネットワークへのアウトバウンド(外向き/発信)接続を行うたびごとになされることである。PATを用いると、前もって発信方向の接続によりそのようなPAT割り当てが行われていない限り、データはインバウンド方向(内向き方向/着信方向)に進行することはできない、即ちパブリックネットワークからプライベートネットワークへと進行することはできない。通常、PATデバイスはPAT割当てを恒久的に行わない。所定の「沈黙」期間が経過すると、言い換えるとアウトバウンドで(外向きに)開始された接続に対して着信データがもはや受信されなくなったときに、当該接続に対するPAT割り当てが解放され、当該ポートが自由に新たなコネクションに割り当てられるようになる。
【0020】
普通のIPプロトコルを介したコンピュータとネットワークとの接続の方がより容易であるが、これは同時にプライバシーとセキュリティの侵害をも更に容易にする。比較的少ないコンピュータスキルによりプライベートなあるいは内密なデータおよびファイルにアクセスすることが可能となり、そうしたビジネス情報を不正に悪用することも可能となる。当業界においてそのような攻撃に対する対策はプライベートネットワークの境界にファイアウォールを配備することである。
【0021】
ファイアウォールはプライベートIPネットワークとパブリックのIPネットワークとの間を通過するIPトラフィックの種類を制限するすなわち「フィルタする(ろ過する)」ようになされている。ファイアウォールはいくつかのレベルの規則によって制限を課することができる。制限は、IPアドレス、ポート、IPトランスポートプロトコル(たとえばTCPやUDP)またはアプリケーションに対して課することができる。制限は対称ではない。すなわち典型的にはプライベートネットワーク側(ファイアウォールの内側)からパブリックネットワーク側(ファイアウォールの外側)に向かう方向に関しては、その反対方向よりも多くの通信を許容する。
【0022】
ファイアウォール規則をIPアドレスだけに適用することは難しい。内部のホスト(すなわちあなたのPC)のいずれもが地球上に点在するいずれかの外部ホスト(ウェブサーバ)に接続することを望むかもしれないからである。この問題に対しては「well−known port(よく知られたポート)」の概念が適用される。ポートは2つのホスト間のポイント対ポイントのトランスポートコネクションにおける一方の端部を識別(同定)する。「よく知られたポート」はひとつの「既知の(知られた)」種類のトラフィックを担うものである。IANAすなわちInternet Assigned Number Authorityはあらかじめ割り当てられたよく知られたポートおよびそれらポートの担うトラフィックの種類を特定している。例えばポート80はウェブサーフィン(httpプロトコル)トラフィックに割り当てられ、ポート25はシンプル・メール・トランスポート・プロトコル(Simple Mail Transport Protocol)に割り当てられる、等である。
【0023】
ウェブサーフィンに対するファイアウォールのフィルタリング規則の例は以下のようなものである:
どの内部IPアドレス/ポート番号(port number)も、TCP(Transport Connection protocol)およびHTTP(ウェブサーフィン用のアプリケーションプロトコル)を用いて、どの外部IPアドレス/ポート80に接続してもよい。
【0024】
この接続は双方向的であり、したがってトラフィックはウェブサーバから同一の経路を逆に流れることができる。ポイントとなるのは接続は内部側から開始されなければならないという点である。
【0025】
e−メール用のファイアウォールフィルタリング規則の例は以下のようなものである:
どの外部IPアドレス/どのポート番号も、TCPおよびSMTPを用いてIPアドレス192.3.4.5/ポート25に接続してよい。
(同時に、NAT機能は送信先IPアドレス192.3.4.5をメールサーバの内部アドレスである10.6.7.8に変換してもよい。)
【0026】
「どの内部IPアドレス/どのポート番号もTCPおよびUDPのためにどの外部アドレス/どのポート番号と接続してもよい、逆もまた可」といったフィルタ規則はフィルタとしては広すぎるものであり、ファイアウォールを解放して直接接続するのと同じことになってしまう。IT管理者はこのような規則を敬遠する。
【0027】
H.323は背景となるネットワークおよびトランスポートプロトコルとは独立して設計されてきた。それでもH.323のIPネットワークへの導入は以下の主要概念の対応付けによって可能となる。
H.323アドレス     :   IPアドレス
H.323論理チャネル :   TCP/UDPポートコネクション
【0028】
IP上でのH.323の導入においては、H.323プロトコルメッセージはTCPまたはUDPのいずれかを用いてIPパケットのペイロードとして送信される。多くのH.323メッセージは送信元のエンドポイントまたは送信先のエンドポイントあるいはその両方のエンドポイントのH.323アドレスを含む。SIPなどの他のシグナリングプロトコル(signaling protocol)もまたシグナリングプロトコルペイロード内にIPアドレスを埋め込む。
【0029】
しかしながら、NAT機能は送信元および送信先ホストの見かけのIPアドレス(apparent IP address)(およびポート)を変換するが、H.323ペイロード内のH.323アドレスは変更しない。ホストはH.323ペイロード内で交換されるH.323アドレスおよびポートを用いて、受信した様々なデータパケットを呼(コール)に関連づけているので、上記のようなNAT機能はH.323プロトコルの破壊を引き起こすものであり、H.323ペイロードアドレスを取り扱うには媒介インテリジェンス(intermediary intelligence)が必要となる。
【0030】
マルチメディア通信の複雑性により、H.323はエンドポイント間にいくつかの論理チャネルを開くことを要求する。論理チャネルは、呼制御、能力交換(capabilities exchange)、オーディオ、ビデオ、データについて必要である。オーディオとビデオのみを含む単純なポイント対ポイントのH.323マルチメディアセッションにおいては、少なくとも6つの論理チャネルが必要となる。H.323のIP配備においては、論理チャネルはTCPまたはUDPポートコネクションにマッピングされ、それらの多くは動的に割り当てられる。
【0031】
ファイアウォール機能は規則の設定されていないポート上のトラフィックをフィルタによって排除してしまうので、ファイアウォールを開放するか(この場合ファイアウォールの目的が無効になる)、あるいは多くのH.323トラフィックが通過不能になるか、の二つに一つとなってしまう。
【0032】
従って、エンドポイント間に存在するNATおよびファイアウォール機能は共にH.323(およびSIPやMGCPなどのその他のリアルタイムプロトコル)通信の動作を阻害する。これは両エンドポイントが異なるプライベートネットワークに属する場合、または一方のエンドポイントがプライベートネットワーク内にあり他方のエンドポイントがインターネット内にある場合、または両エンドポイントが別々に管理されたIPネットワークナインにある場合には一般的に起こることである。
【0033】
従ってH.323(およびSIP、MGCPなどの)通信はファイアウォールにとって忌むべきものである。ファイアウォールがH.323を認識できるようにするか、あるいは何らかの媒介インテリジェンスがポート割り当てを安全なやり方で操作するようにしなければならない。
【0034】
この問題の可能な解決方法のひとつは完全なIP H.323アップグレード(complete IP H.323 upgrade)である。これは以下のことを要求する:
・ 各IPネットワーク境界にあるNAT機能に対するH.323アップグレード。NAT機能はすべてのH.323ペイロードを走査し、一貫性をもってIPアドレスを変換しなければならない。
・ 各IPネットワーク境界にあるファイアウォール機能に対するH.323アップグレード。ファイアウォールは、動的に割り当てられるポートを開くことができるようにすべてのH.323通信を認識しおよび監視し、かつそれらポート上のすべての非H.323トラフィックをフィルタしなければならない。
・ 境界あるいは共有されたIPネットワーク内においてH.323インテリジェンスを配備し、アドレスを分析しかつ調停すること(resolve and arbitrate addresses)。ユーザーがIPアドレスを直接用いることはほとんどない。実際には別名IPアドレス(エイリアス)を用いる。インテリジェンスはエイリアスをIPアドレスに分析する必要がある。このH.323機能はゲートキーパと呼ばれるH.323要素(H.323 entities)に含まれる。
【0035】
この可能な解決方法の短所は以下の通りである:
・ H.323通信を実現するには、各組織/プライベートネットワークは同一レベルのアップグレードを有さなければならない。
・ アップグレードには費用がかかる。新たな機能性または新たな装置を購入し、計画し、配備しなければならない。IT管理者はH.323について学習しなければならない。
・ そのような設備を該設備に対する要請に適合させることは容易ではない。なぜなら当該技術は漸進的に導入されるものであり、当初の(おそらくは実験的な)要請よりもより大規模でコストのかかる初期設備が必要となるからである。
・ シンプル NATおよびファイアウォール機能を分析する間断ないH.323パケット解析は各ネットワーク境界において信号に待ち時間を課す。そしてオーディオおよびビデオに対する待ち時間の許容量はきわめて小さい。
・リアルタイム通信のスタンダードは複数あり、それらのスタンダードのシグナリングプロトコルは異なっているので、企業は複数の、即ち用いようとするプロトコルの各々について一つずつのアップグレードを行う必要がある。
・メディアは2つの企業の間、または一つの企業とパブリックネットワーク内の一つのデバイスとの間を直接進行すると考えられる。このことにより、企業のIPアドレスが公知のものとなる。これはセキュリティを危うくするものと考えられる。なぜなら、潜在的攻撃者は攻撃を始める第1段階として企業のIPアドレスを発見する必要があるからである。
【0036】
これらの諸問題により、ファイアウォールおよび/またはネットワークアドレス変換(NAT)が存在する場合にはH.323プロトコルは用いられていない。一つの解決案はH.323システムをファイアウォールおよびNAT機能のパブリック側に置く、というものであった。これにより、H.323を用いると共に、ネットワークのそれ以外の部分を保護することが可能となる。この方法の短所は以下のようなものである:
1.最も普及している(ユビキタスな)ビデオ通信装置はデスクトップPCである。そしてすべてのデスクトップコンピュータをパブリック側に置くのはナンセンスである。
2.ファイアウォールのパブリック側では、H.323システムは攻撃者から保護されない。
3.特別なシステムのみがH.323通信を許されることになるので、各団体はH.323の潜在的遍在性の利点を享受できない。
4.ファイアウォールがH.323システムのデータアクセスを妨げるので、各団体はH.323のデータ共有機能をフルに活用することができない。H.323システムからのデータ転送機能を可能とするためにファイアウォールを開放することはできない。なぜならその場合、攻撃者がH.323システムをリレー(中継器)として用いることができるからである。
5.形成されつつあるVoice over IP(VoIP)市場においては、イーサネット(登録商標)電話やIP PBXを例とするデータネットワークに直接接続する電話機器の市場が存在する。それらはその性質上デスクトップ機器であるので、ファイアウォールやNAT機能の背後のプライベートネットワーク上に配備される。従って上に述べた諸問題を解決することなしには、これらの機器を用いた電話機能は企業のプライベートネットワーク即ちイントラネットに限られるか、または外部世界に到達するためにIP−PSTNゲートウェイを通過しなければならない。
【0037】
音声・ビデオおよびデータ用に企業へのブロードバンド接続を便宜よく利用するにはこれらの問題についての安全な解決が必要となる。
本発明の目的はこれらの問題に対処することである。
【0038】
本発明は、送信先通信システムとの通信セッションを処理する通信システムを提供するものであり、該システムは、第1のローカル端末と、外部サーバと、第1のローカル端末と外部サーバとの間において共有された通信ネットワーク上で通信セッションを伝送するための1つ以上の論理チャネルとを有し、前記通信ネットワークは通信セッションが必ず通過する第1のNAT機能を備え、
a) 第1のローカル端末は通信セッション用の少なくとも一つのトランスポートアドレスを有し;
b) 第1のNAT機能は第1の端末と共有通信ネットワークとの間のコネクションにおけるトランスポートアドレスに対してネットワークアドレスマッピングを施し;
c) 該システムは外部サーバとの通信において第1のローカル端末の代理として動作するように構成された第1のプロキシインターフェイスエージェント(proxy interface agent)を備え;
d) 第1のプロキシインターフェイスエージェントは外部サーバへの1つ以上のアウトバウンドコネクションにおいて論理チャネルを設定(確立)することができ、前記論理チャネルは第1のプロキシインターフェイスエージェントと外部サーバとの間の制御チャネルであり;
e) 前記アウトバウンドコネクションは第1のプロキシインターフェイスエージェントによって確立される動的なアウトバウンドコネクションであり;
f) 第1のプロキシインターフェイスエージェントは、第1のローカル端末のトランスポートアドレスと第1のプロキシインターフェイスエージェント−外部サーバ間の識別可能な論理チャネルとの間の関連付けを行うように構成されており、前記識別可能な論理チャネル(identifiable logical channel(s))はプロキシインターフェイスエージェントから外部サーバへの1つ以上の前記動的アウトバウンドコネクションにおいて設定される、ことを特徴とする。
【0039】
また本発明は、通信システムの通信セッションを処理する方法を提供するものであり、該方法において、該通信システムは第1のローカル端末と、外部サーバと、第1のローカル端末と共有されたネットワークとの間のプロキシインターフェイスエージェントを有し、前記通信ネットワークは通信セッションが必ず通過する第1のNAT機能を備えており、該方法は以下のステップを含むことを特徴とする、即ち:
i) 第1のローカル端末と外部サーバとの間において共有通信ネットワーク上で1つ以上の論理チャネルで通信セッションを伝送するステップ、該第1のローカル端末は通信セッション用の少なくとも一つのトランスポートアドレスを有する;
ii) 第1のNAT機能が第1の端末と共有されたネットワークとの間のコネクションについてのトランスポートアドレスに対してネットワークアドレスマッピングを持続的に適用することを許容するステップ;
iii)  第1のプロキシインターフェイスエージェントを用いて、外部サーバとの通信において第1のローカル端末を代理して動作させるステップ;
iv) 第1のプロキシインターフェイスエージェントを用いて、外部サーバに対する1つ以上のアウトバウンドコネクションにおいて論理チャネルを設定するステップ、該論理チャネルは第1のプロキシインターフェイスエージェントと外部サーバとの間の制御チャネルである;
v) 第1のプロキシインターフェイスエージェントを用いて外部サーバへの動的なアウトバウンドコネクションを確立するステップ;
vi) 第1のプロキシインターフェイスエージェントを用いて第1のローカル端末のトランスポートアドレスと第1のプロキシインターフェイスエージェント−外部サーバ間の識別可能な論理チャネルとの間の関連付けを行うステップ、前記識別可能な論理チャネルはプロキシインターフェイスエージェントから外部サーバへの1つ以上の前記動的アウトバウンドコネクションにおいて設定される。
【0040】
論理チャネルは全体で通信セッションを提供し、アウトバウンドコネクションにより、必要なNATマッピングが生成されて端末と外部サーバとの間のインバウンド(内向きまたは着信)およびアウトバウンド(外向きまたは発信)通信が可能となる。第1のローカル端末からの通信は第1のプロキシインターフェイスエージェントにより識別可能な論理チャネル上に素通しでマッピングされる。外部サーバは送信先通信システムと、あたかも第1の端末であるかのように通信する。従って、この通信システムを用いて第1の端末と送信先通信システムとの間の素通しの通信手段(transparent communications means)を構成することができ、外部サーバが先方へ向かう通信の転送を担う。
【0041】
TCPでのインバウンド通信を可能とするために、あらかじめ確立された双方向アウトバウンドコネクションを形成してNATマッピングを確立する。
【0042】
UDPでのインバウンド通信を可能にするため、プローブパケットを送ってNATマッピングを確立する。
【0043】
通信セッションの間、第1のNAT機能は第1のプロキシインターフェイスエージェントと外部サーバとの間の接続にネットワークアドレスマッピングを継続的に施す。
識別可能な論理チャネルを、通常の多重化手法を用いて1つ以上のコネクションに多重化してもよい。
【0044】
トランスポートアドレスの一例は、IPアドレスとポートである。従って一般的にネットワークアドレスマッピングはIPアドレスおよび/またはポートのマッピングである。
【0045】
本発明の一実施形態において、第1のプロキシインターフェイスエージェントは前記の関連付けを、外部サーバからの要求に応じて行う。
【0046】
本発明の別の一実施形態においては、第1のプロキシインターフェイスエージェントは前記の関連付けを第1プロキシインターフェイスエージェント自身の要求に応じて行う。
【0047】
外部サーバ自身が(あるいは第1のプロキシインターフェイスエージェントが)外部サーバに対して、前記の識別可能な論理チャネルと外部サーバおよび送信先端末などの送信先通信システム間の通信の論理チャネルとの間の対応付けを行うことを要求するようにしてもよい。
【0048】
好適には、第1のローカル端末のトランスポートアドレスは動的に割り当てられる。同様に外部サーバのトランスポートアドレスも動的に割り当てるようにしてもよい。
【0049】
あるいは外部サーバのトランスポートアドレスをいずれも動的には割り当てないようにしてもよい。
【0050】
この通信システムは通信セッションが必ず通る(通らなければならない)第1のファイアウォールを備えてもよい。その場合、第1のファイアウォールは第1のローカル端末と共有されたネットワークとの間のあるタイプの通信を制限し、かつ第1のプロキシインターフェイスエージェントと外部サーバとの間の通信は制限しないように構成される。
【0051】
外部サーバのトランスポートアドレスの少なくとも一つは、少なくとも一つのあらかじめ割り当てられたポート(これは「よく知られた(well−known)」ポートと呼ばれる場合もある)を含んでいる。そして、第1のプロキシインターフェイスエージェントから外部サーバへ向かうアウトバウンドコネクションは上記のあらかじめ割り当てられたポートを用いる。
【0052】
好適には、第1のプロキシインターフェイスエージェントから外部サーバへの上記のアウトバウンドコネクションが接続する外部サーバのすべてのトランスポートアドレスはあらかじめ割り当てられたポートを有する。この場合、外部サーバのすべてのトランスポートアドレスは最大で2つのあらかじめ割り当てられたポートを有してよい。
【0053】
外部サーバのあらかじめ割り当てられたポートの数は端末に動的に割り当てられたポートの総数以下である。たとえば外部サーバは3つのあらかじめ割り当てられたポートを有してよく、そのうち一つはTCP用で、2つはUDP用である。
【0054】
この通信システムは第2のローカル端末を含んでもよく、外部サーバは第1の端末と第2の端末の間で通信セッションの期間、各端末に対して他方の端末のプロキシ(代理)として動作するプロキシサーバである。
【0055】
多くの場合、通信セッションが必ず通過する第2のファイアウォールおよび/または第2のNATを有する第2のローカル端末が存在する。そして第2のファイアウォールは第2の端末と共有されたネットワークとの間のあるタイプの通信を制限するように構成される。外部サーバは端末と通信するための論理通信ポートを有し、該論理通信ポートは第2の端末と通信するための1つ以上のあらかじめ割り当てられたポートを含んでいる。そのとき第2のファイアウォールは第2の端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信は制限しないように構成してよく、かつ第2のプロキシインターフェイスエージェントを配備して外部サーバとの通信において第2の端末の代理として動作するようにする。第2のローカル端末は上に述べたものと同様の手順により、第2のプロキシインターフェイスエージェントとの通信セッションに従事するようにできる。
【0056】
また、第2の端末および第2のプロキシインターフェイスエージェントは第2の外部サーバと接続するようにしてもよい。外部サーバは公共の、即ち共有されたネットワークを介して通信する。
【0057】
共有された通信ネットワークは一般的に公共の通信ネットワークおよび/またはインターネットを含む。
【0058】
プロキシインターフェイスエージェントはローカル端末と同じ場所にあってもよいし、あるいはローカル端末から離れたところにあってもよい。
【0059】
本発明はプロキシインターフェイスエージェント毎に2つ以上のローカル端末がある場合にも有用である。その場合、プロキシインターフェイスエージェントは同一のあるいは異なるリアルタイム(または非リアルタイム)プロトコルを用いて(たとえばH.323とSIPの両方を用いて)複数の端末を同時に代理して動作することができる。好適には、シグナリングゲートウェイ機能(signaling gateway functionality)(たとえばH.323とSIPとの間の)を外部サーバまたはプロキシインターフェイスエージェントのいずれかの内に設ける。
【0060】
プロキシインターフェイスエージェントおよび外部サーバによって、エンドポイントからは不可視のその他の付加的な特徴および機能性(たとえばQOSおよび/または暗号化によるセキュリティ)を付加してもよい。
【0061】
このようなシステムは国際電気通信連合(ITU)のH.323スタンダードによる音声呼またはマルチメディア呼を行うために用いることができる。またはこのシステムをインターネット・エンジニアリング・タスク・フォースのSIPスタンダードによる音声呼またはマルチメディア呼に用いてもよい。このようなシステムおよび方法はまた、たとえばファイル転送などの、リアルタイムプロトコルを用いたファイアウォールおよびNATを介した他のタイプの通信セッションであって、動作する際にNAT機能によって変更されないトランスポートアドレスによって識別される論理チャネルの動的な設定をおこなうような通信セッションの設定に用いてもよい。またこの通信システムは混在するプロトコル環境をサポートするようにしてもよい。
【0062】
プロキシインターフェイスエージェントはエンドポイントと同じ場所にあってもよいし、それが代理として動作するエンドポイントとは別のデバイス内に設けてもよい。
【0063】
端末はマルチメディア信号を関連するマルチメディア制御信号と共に送信および/または受信するように構成し、制御信号はあらかじめ割り当てられたポートの一つに送り、メディア信号はその他のあらかじめ割り当てられたポートに送るように構成してもよい。
【0064】
好適には少なくとも一つの論理通信ポートはあらかじめ割り当てられたポートであり、前記要求は通信セッションを開始する開始要求としてあらかじめ割り当てられたポートに送られる。
【0065】
通信手段は音声呼またはマルチメディア呼を少なくとも部分的にはインターネットを介して行うように構成することができ、その場合、外部サーバはパブリックなインターネットプロトコルアドレスを有し、それによって一方または両方の端末が外部サーバと通信し、ファイアウォールは端末と外部サーバのあらかじめ割り当てられたポートとの間の通信は制限しないように構成される。
【0066】
本発明は1つ以上の第1端末の組および第2端末の組が存在する場合に適用できる。たとえば一つのサイトにあるいくつかの第1の音声またはマルチメディア端末のそれぞれが他の様々なサイトの対応する他の第2の音声またはマルチメディア端末に接続することができる。
【0067】
本発明により、別個のプライベートネットワーク内にある2つの端末が共通の公共ネットワーク(即ち共有されたネットワーク)を介して通信することが可能となり、その際プライベートネットワークの一方または両方はあるタイプの通信を制限するファイアウォールおよび/またはNATを介して公共ネットワークに接続される。同様に、本発明によりプライベートネットワーク内の一つの端末が公共ネットワークの端末と通信することが可能となり、その際2つのネットワークはあるタイプの通信を制限するファイアウォールおよび/またはNATを介して接続される。
【0068】
本発明の説明は、ここで第1のローカル端末と呼んでいる第1のエンドポイントとここで外部サーバと呼んでいる媒介サーバとの間の動作のみについて行う。しかし第2の端末と外部サーバとの間の動作は第1の端末と外部サーバとの間の動作と同様である。また、第2の端末が公共ネットワークに直接接続される場合というのは、該端末がファイアウォールおよびNAT設備が全く何も機能しないプライベートネットワークに接続される場合と等価になる。つまりそれは、ファイアウォールがどんなコネクションも制限せず、またNATが与えられたコネクションに対して変換の両側(前後)で同じアドレスを用いる場合である。
【0069】
本発明では、共有された即ち公共の(パブリック)ネットワーク内の外部サーバとプライベートネットワーク内のプロキシインターフェイスエージェントとを配備する。外部サーバは公共のサービスプロバイダによって所有され運営されるものであってよい。従ってそれは典型的にはある企業がプライベート/パブリック(公共)のネットワーク境界を通過してH.323通信を展開しようとする前に、すでに配備されていることであろう。プロキシインターフェイスエージェントは端末の一部として設けられてもよいし、端末と同じデバイス上で動作するが端末の実行とは独立させるようにしてもよく、さらにまた別個のデバイスにインストールしてもよい。
【0070】
プロキシインターフェイスエージェントは有効(オン)となると、外部サーバへのTCPコネクションを確立する。このコネクションはファイアウォールおよびNATのいずれかまたは両方が備わっている場合にはそれらの一方または両方を介して行われることになる。そのため、ファイアウォールは外部サーバのアドレスおよびよく知られたポートへの外向きの(発信方向の)TCPコネクションを許容する必要がある。NATはプライベートからパブリックへのアドレスマッピング(そしてその逆も)を施すことができる。なぜならコネクションがアウトバウンド方向(発信方向)に形成されたからである。設定プロセスの一部として、外部サーバは自身をプロキシインターフェイスエージェントに対して認証してよく、かつ接続を暗号化してよい。このコネクション上で動作するプロトコルは複数のシグナリングプロトコルの多重化を許容する。このようなシグナリングプロトコルとしてはH.225 RAS、H.225コールシグナリング、H.245、SIPがあるが、これらに限られるものではない。このコネクションは実に、TCPコネクションの性能特性で間に合うすべての第1のローカル端末−外部サーバ間の通信に対して十分なものである。ひとたび確立されてしまえば、この多重化されたコネクションは、外向きまたは内向きの呼試行がなされるまでの間、定期的な登録メッセージをのぞいては大部分休眠状態となる。セキュリティを更に高めるために、このコネクションの設定を継続的に行い、一定の(短い)間隔でコネクションを切るようにしてもよい。コネクションの設定の度毎にNAT機能において異なるポート割り当てがなされ、かつ暗号化キーが更新される可能性がある。従って攻撃者がこのコネクションを利用する可能性が低減される。
【0071】
しかしながら多重化コネクションのトランスポート特性はオーディオおよびビデオのようなリアルタイムメディアにはふさわしいものではない。これらのメディアには、プロキシインターフェイスエージェントと外部サーバとの間にUDPベースのRTP/RTCPコネクションを確立することが必要となる。インバウンドおよびアウトバウンド両方のRTP/RTCPコネクションについて、両方向のUDPトラフィックが必要である。外部サーバを介して端末から公共ネットワークにメディアを送るために、外部サーバは端末に(多重化されたコネクションを用いてプロキシインターフェイスエージェントを介して)端末がそのメディアをプロキシインターフェイスエージェントに送るよう指令するH.323メッセージを送る。(これはH.323メッセージの様々なデータフィールドに、端末とプロキシインターフェイスエージェントとがH.323呼の両エンドであるような見かけを与えるアドレスおよびポートの値を入れることにより、スタンダードなH.323プロセスを用いて行うことができる。)続いてプロキシインターフェイスエージェントはファイアウォールおよび/またはNATを介して外部サーバへ向かうおよび外部サーバからやって来る両方のUDPデータ交換を確立しなければならない。
【0072】
基本的には、プロキシインターフェイスエージェントは単に外部サーバのアドレスおよびよく知られたポートにUDPパケットを送るだけで、外部サーバへのUDPコネクションを確立することができる。ファイアウォールはこのトラフィックを通過させるように設定でき、またコネクションがアウトバウンド方向に形成されるのでNATはプライベートからパブリックへのアドレスマッピングを行うことができる。しかしながら(外部サーバのように)多くのUDPコネクションを伴う複数の呼を処理するデバイスは、一般的にIP送信先アドレスおよびポート、および/または、IP送信元アドレスおよびポートを用いてUDP情報を適切な呼と関連付けする。この外部サーバの場合、すべてのUDPデータはファイアウォールの通過を許可されるために、同一のIPアドレスおよびよく知られたポートに送られなければならない。従って、様々なUDPコネクションを区別するためにIP送信先アドレスおよびポートを用いることはできない。また、外部サーバの視点から見れば、NATはそれが送るUDPパケットに事実上ランダムに送信元IPアドレスを割り当てていることになる。この結果、外部サーバにやってくるUDPデータのIP送信元アドレスおよびポートは外部サーバ(あるいはプロキシインターフェイスエージェント)が様々なシグナリングチャネルを通じて取り決めていたメディアチャネルのいずれとも対応することがない。
【0073】
この関連付けの問題を解決するために、外部サーバ(あるいはプロキシインターフェイスエージェント)はプロキシインターフェイスエージェントに、その接続に対して以降にプロキシインターフェイスエージェントがUDPデータを送るであろう同じIP送信元および送信先アドレスおよびポートを用いてプローブパケットを外部サーバに送るように(TCPベースの多重化されたコネクションを介して)指令する。プローブパケットは外部サーバ(あるいはプロキシインターフェイスエージェント)によって選択された固有のトークンを含んでおり、これにより外部サーバは受け取ったプローブパケットを適切なUDPコネクションと関連付けることができる。そして更に、外部サーバはプローブパケットのIP送信元および送信先アドレスおよびポートをUDPコネクションと関連付けることができる。このアドレスおよびポート情報を得たことにより、外部サーバはこれらのIPアドレスおよびポートで以降に受け取るUDPデータを、適切な呼と関連付け、外部サーバが送信先通信システムへおよび送信先通信システムから正しく転送できるようにすることができる。本発明の別の実施形態では、トークン情報は送信される各UDPパケットと共に多重化することができる。また、複数の論理チャネルを同じUDPコネクション上に多重化することができる。このような手法の利点はプロキシインターフェイスエージェントにおけるポートの使用を維持することである。もう一つの利点は、通常はすべてのRTP/RTCPパケットに乗って送られるUDPヘッダ情報によってとられる帯域幅を節約することである。論理チャネルを多重化することによって使用されるTCPおよびUDPコネクションの数が少なくなれば、それらのコネクションをプロキシインターフェイスエージェントのあらかじめ割り当てられたポートまたはよく知られたポートに配置することができる。これにより、ファイアウォール規則をより狭めることが可能となる。
【0074】
データを外部サーバからプロキシインターフェイスエージェントに送るためには、NATにおいてプライベートからパブリックへのアドレスマッピングが必要である。これは普通一対多のマッピングであるので、NATは一般的にそうしたマッピングを動的に行うことはできない。しかし、プロキシインターフェイスエージェントから外部サーバへの外向き(発信方向)UDPコネクションを行うときに確立されるネットワーク経路は実際上本来双方向的であると考えられる。従って、外部サーバからプロキシインターフェイスエージェントへのUDPコネクションを確立するためには、プロキシインターフェイスエージェントから外部サーバへのUDPコネクションを確立するのと同じ手順がとられる。しかし、アドレスとポートの関連付けがなされてしまえば、外部サーバはこの情報をUDPデータを受け取るのではなく送るために用いる。その後プロキシインターフェイスエージェントがUDPデータを端末に送る。適切なアドレスおよびポート値を用いたスタンダードなH.323シグナリングを用いて、プロキシインターフェイスエージェントからUDPデータを受け取るよう端末を設定することができる。
【0075】
以上に説明したように、第1のプロキシインターフェイスエージェントおよび外部サーバにより、第1の端末がNATおよびファイアウォールを介して、それらのNATおよびファイアウォールを改変することなく送信先通信システムと通信することを可能にする通信システムおよび通信方法が提供される。これは以下によって成し遂げられる、即ち:
a) 端末が第1のプロキシインターフェイスエージェントとあたかもそれが送信先の通信システムであるかのように通信しかつ送信先通信システムが外部サーバとそれがあたかも第1の端末であるかのように通信するように、プロトコル(H.323やSIPなど)内のアドレスを変更すること、および
b) 1)第1の端末の用いる論理チャネルと、2)第1のプロキシインターフェイスエージェントから外部サーバへ至る識別可能な論理チャネルであって第1のプロキシインターフェイスエージェントから外部サーバへの動的なアウトバウンドコネクションにおいて設定される識別可能な論理チャネルと、3)外部サーバと送信先通信システムとの間の論理チャネルと、の関連付けを動的に行うこと、である。
【0076】
プロトコル内のアドレスの変更は外部サーバによって行ってもよいし、第1のプロキシインターフェイスエージェントによって行ってもよく、またはそれら両方によって行ってもよい。この変更が行われるときはいつも、上記の動的な関連付けを行うことができるように、第1のプロキシインターフェイスエージェントと外部サーバとの間で要求および指令が通信される必要がある。要求と指令は第1のプロキシインターフェイスエージェント(クライアント)および外部サーバ(サーバ)の間のクライアント−サーバ・プロトコル内で送られる。このクライアント−サーバ・プロトコルは第1のプロキシインターフェイスエージェントから外部サーバへのアウトバウンドコネクションにおいて開かれる制御チャネル上において伝送される。
【0077】
外部サーバがプロトコルのアドレス変更を行う場合には、外部サーバをクライアント−サーバ・プロトコルのマスターと言い、第1のプロキシインターフェイスエージェントをスレーブと言う。
【0078】
また第1のプロキシインターフェイスエージェントがプロトコルのアドレス変更を行う場合には、第1のプロキシインターフェイスエージェントをクライアント−サーバ・プロトコルのマスターと言い外部サーバをスレーブと言う。
【0079】
第1のプロキシインターフェイスエージェントおよび外部サーバの両方がプロトコルの変更を行う場合、一方がマスターとなり他方がスレーブとなるよう両者で取り決めるかまたはそのように構成しておくことができる。
【0080】
1つ以上の呼についての第1のプロキシインターフェイスエージェントからの1つ以上のアウトバウンドコネクションが外部サーバの同一のトランスポートアドレスに届くこと、およびそれらのアウトバウンド接続はそのアウトバウンドコネクションの送信元アドレスをランダム化する1つ以上のNATを通過しているであろうことから、上記アウトバウンドコネクションを確立するために既知の識別子を含むプローブパケットを用いる。該識別子は第1のプロキシインターフェイスエージェントと外部サーバとの間(またはその逆)で交換される。この識別子によって、外部サーバは必要な関連付けを完遂することができ、呼を送信先通信システムへまた送信先通信システムから正しく転送することができる。
【0081】
完全なH.323アップグレードに代わるものの一例を、図1を参照して説明する。この図は第1の企業2と第2の企業4を含む通信システム1を示す。各企業はプライベートネットワーク6,8を有しており、それらネットワークは共に一つ以上のH.323端末10,12を有している。各プライベートネットワーク6,8は共に、同じ10.x.x.xアドレスレンジ内のプライベートIPアドレス14,16を有している。プライベートIPアドレス14,16は静的(固定的)に割り当てられたものであってもよいし、通常のDHCPプロセスによって動的(流動的)に割り当てられたものであってもよい。プライベートネットワーク6,8内には端末10,12をそれぞれ代理して動作するプロキシインターフェイスエージェント(proxy interface agent:プロキシインターフェイス代理装置)11,13が含まれている。プロキシインターフェイスエージェントが、それぞれに対応する端末と同じ場所にない場合には、プロキシインターフェイスエージェントはそれぞれに対応するプライベートネットワーク14,16のレンジ内の唯一固有のIPアドレスを有するものとする。そのような場合、各プロキシインターフェイスエージェント11,13は複数の端末10,12の代理として動作してもよい。図1においては、プロキシインターフェイスエージェントが同じ場所にある場合を示しており、また図2はプロキシインターフェイスエージェントが同じ場所にない場合を示している。外部通信は共有されたあるいは管理されたあるいは公共のインターネット20を介して行われる。外部通信用として、第1の企業2はたとえば192.1.1.1に始まるレンジの1つ以上のパブリックIPアドレス22を有し、第2の企業4はたとえば206.1.1.1に始まるレンジの1つ以上のパブリックIPアドレス24を有する。各企業はルータ32,34を有しており、該ルータ32,34はネットワークアドレスポート変換を行って、内部IPアドレス14,16およびそれらアドレス(プライベート)上のポート番号と外部IPアドレス22,24の内の一つおよび選択されたそのIPアドレス(パブリック)上のポート番号とのマッピング(対応付け)をおこなう。
【0082】
各プライベートネットワーク6,8はオプションとして、それらの端部においてファイアウォール機能26,28によって保護される。ファイアウォール機能は表1に示す規則によって構成されH.323などをベースとするリアルタイム通信を許容する。この規則は先行する発明によって提案された2つ以上の新たなよく知られたポート(well known port)を取り入れており、それらの新たなよく知られたポートはX,Y,Zで示している。ポートZは実際にはXまたはYのいずれかと等しくてもよい。
【0083】
【表1】
Figure 2004515164
【0084】
表1に示したポート番号X,Y,Zは理想的にはIANAによって合意されたスタンダードに従って登録されたポート番号である。これらのポートが業界のスタンダードなポートであることの利点は、ファイアウォールなどの媒介装置が関連メディアがリアルタイムトラフィックであることを認識し、それを適切に取り扱うことができることである。たとえば、ルータが遅延を最小にするように当該トラフィックに上位の優先性を与える、といったことができる。
【0085】
第1の企業2のH.323端末10が第2の企業4の他のH.323端末12と通信するためには、外部サーバ40がたとえばルータ38を介して接続されている共有されたネットワーク20が存在しなければならない。外部サーバ40はたとえば45.6.7.8というパブリックのIPアドレス44を有する。外部サーバ44はまた、よく知られたポート番号X,Y,Z46を有している。これらよく知られたポート番号は、あらかじめIANAにおいて合意され登録されていなければならない。
【0086】
図3は第1の端末、第1のプロキシインターフェイス11、第1のファイアウォール26、第1のNAPTルータ32および外部サーバ40に着目した様々な要素間の通信経路を示している。この図には、プロキシインターフェイスエージェント11と外部サーバ40との間のファイアウォール26およびNAPTルータ32を介した多重コネクション51が示されている。この多重コネクション51内には1つ以上の論理チャネル52,53がある。それらのうちの一つは制御チャネル52であり、それ以外のチャネル53はH.225 RAS、H.225コールシグナリング、H.245、SIP、MGCPなどのシグナリングプロトコルを伝送している。その動作の一部を以下に説明するが、プロキシインターフェイスエージェント11は外部サーバにプローブパケット(probe packets)55を送り、端末10と外部サーバ40との間のUDPコネクション56,57を確立する。1つ以上の論理チャネルをUDPコネクション56,57内に多重化し、たとえばRTPおよびRTCPをなどのメディアを伝送するようにしてもよい。
【0087】
プロキシインターフェイスエージェント11は、動作条件に応じて数あるモードの一つで動作するようにできる。プロキシインターフェイスエージェント11は原理的にプロトコルを認識しないか(protocol agnostic)認識するか(protocol aware)のいずれかでありうる。プロトコルを認識しない場合には、外部サーバ40はプロキシインターフェイスエージェント11に任意の必要なUDPソケットを開閉するように命じる。このモードは最も柔軟なモードであり、プロキシインターフェイスエージェント11をアップグレードすることなしに、プライベートネットワークに加える新たなプロトコルを端末が採用することを可能にするものである。しかしながら、払うべき注意を怠れば、このモードはセキュリティを脅かすものとなる。なぜなら、第三者が不法な目的でプロキシインターフェイスエージェントにUDPチャネルを開かせることができるかもしれないからである。そのためこのモードを採用する場合には、最低限プロキシインターフェイスエージェント11が何らかのチェック(監査)を行うようにすることが推奨される。プロキシインターフェイスエージェント11がプロトコルを認識する場合には、外部サーバ40に命じられた際にポートを割り当てることができるが、それらポートが承認されたアプリケーションに用いられることを示す適宜のプロトコルシグナリングを認めるまではリレー(中継)機能を行うことができない。更に、プロキシインターフェイスエージェントがプロトコルを認識する場合には、外部サーバはプロトコルを認識するものである必要がない。なぜなら、その場合プロキシインターフェイスエージェントが、外部サーバに必要な関連づけを行うよう要求するすべてのインテリジェンスを有しているからであり、従ってプロキシインターフェイスエージェントはプロキシインターフェイスエージェントから外部サーバへのアウトバウンドコネクションにおいて設定される論理チャネルと送信先の通信システムとの間の正しい転送(即ち呼)を提供する。このモードは安全性において勝るが、新たなアプリケーションを導入する場合またはアプリケーションをアップグレードする場合の柔軟性において劣っている。簡便化するため、以下に説明する例ではプロキシインターフェイスエージェント11はプロトコルを認識しないモードで動作するものと仮定する。
【0088】
プロキシインターフェイスエージェント11が有効になされると、プロキシインターフェイスエージェント11は外部サーバのアドレスおよびポート44,46へのアウトバウンドTCPコネクションを開始することによって外部サーバ40への通信チャネルとしての多重コネクション51を確立する(このコネクションは、一般的に認証式とされまた暗号化されるものであるが、こうした点は本明細書で述べるべき範囲を越えている。)
【0089】
多重コネクション51は複数のTCPおよびUDPセッション52,53に関する情報をトランスポート可能である。多重コネクション51内のいくつかの論理チャネル、特に制御チャネル52は固定的に割り当てられる。他の論理チャネルは必要に応じて動的に作成することができる。いくつかの論理チャネル53はプロキシインターフェイスエージェント11によって端末10へ/端末10からリレーされる。プロキシインターフェイスエージェント11は(構成によっては外部サーバが)このような論理チャネルの各々に対して、プロキシインターフェイスエージェント11と端末10との間で用いられる特定のTCPまたはUDPコネクションのIPアドレスおよびポートを関連付けする。言い換えると、プロキシインターフェイスエージェントは端末の一つのトランスポートアドレスと一つの論理チャネルの自分側端部のトランスポートアドレスとの間の関連付けを行う。
【0090】
初期設定の一部として、外部サーバ40はプロキシインターフェイスエージェント11にソケットを作成させ端末10からの外向き呼試行(outgoing call attempts)および登録情報を待ち受けるようにしてもよい。
【0091】
端末10がその後ゲートキーパ/サーバに登録しようとする場合、そのようなメッセージ(H.225 RAS、SIP REGISTERなど)がプロキシインターフェイスエージェント11に送られる。プロキシインターフェイスエージェント11は論理チャネル52,53を介して外部サーバ40に登録メッセージを転送する。応答は逆の経路を用いて送られる。外部サーバ40は端末のプライベートトランスポートアドレス14を、該登録が受理された多重コネクション51の識別(identity)即ちトランスポートアドレスと共に記憶する。この情報があれば着信呼(incoming call)を必要に応じて端末に転送することができる。
【0092】
着信呼を確立するためには、外部サーバ40はプロキシインターフェイスエージェント11を介して端末10へ向かう呼制御チャネル(H.323またはSIPに対するH.225呼制御)を設定する必要がある。外部サーバ40とプロキシインターフェイスエージェント11との間に適宜の論理チャネル53が存在していない場合には、そのような論理チャネルが作例される(instantiated)。このプロセスの一部として、プロキシインターフェイスエージェント11がそれに対してTCPまたはUDPコネクション54を作成すべき端末のトランスポートアドレス(IPアドレスおよびポート)が特定される。論理チャネル53を作成するために必要なメッセージが外部サーバ40とプロキシインターフェイスエージェント11との間で制御論理チャネル52を用いて交換される。
【0093】
呼制御シグナリング用の論理チャネルが形成されたなら、外部サーバ40はH.323/SIP呼生成メッセージ(H.323/SIP create call message)(H.323用のSetup、SIP用のINVITEなど)をプロキシインターフェイスエージェント11に送ることができる。そしてプロキシインターフェイスエージェントは、論理チャネル53が形成された際に確立したTCPまたはUDPコネクション54を用いて、このメッセージを端末10にリレーする。
【0094】
H.323の場合には、外部サーバ40と端末10との間にH.245コネクションを確立する必要があるだろう。このコネクションが接続される端末内のアドレスは端末10が外部サーバ40に送り返す応答に含まれる。外部サーバ40がこのようなH.245セッションを確立することを選択する場合には外部サーバ40は呼シグナリングチャネルを作成したのと同じ手法で新たな論理チャネル53を作成する。このプロセスの一部として、プロキシインターフェイスエージェント11は端末の応答中で特定されたプライベートIPアドレスおよびポートに対するTCPコネクションを確立する。
【0095】
端末10がプロキシインターフェイスエージェント11に接続し、呼生成メッセージ(H.323用のSetup、SIP用のINVITEなど)を送る際には、発信呼(outgoing call)に対するシグナリング経路が端末10と外部サーバ40間に形成され得る。この種のコネクション用の論理チャネルが多重コネクション51内に存在していない場合は、プロキシインターフェイスエージェント11が制御チャネル52を用いてそのような論理チャネルを作成する。そしてプロキシインターフェイスエージェント11はメッセージを外部サーバ40にリレーする。
【0096】
別個のH.245コネクションが発信呼に必要な場合は、外部サーバ40は多重コネクション51内に新たな論理チャネル53を形成し、プロキシインターフェイスエージェント11に待ち受けソケット(listening socket)を作成するよう指令する。作成されたソケットのアドレスとポートの数値は外部サーバ40に返送される。なおこれはセットアップメッセージ(Setup message)に応答して送られるH.323シグナリングに含まれる。この情報により、端末10がプロキシインターフェイスエージェント11の作成した待ち受けソケットに接続することが可能になる。
【0097】
ひとたび必要な着信および発信呼制御経路が設定されたならば、アウトバウンドおよびインバウンドのメディア経路(media paths)を設定することが必要となるであろう。前に述べたように、現在規定されているすべてのIPベースのメディアアプリケーション(H.323、SIP、MGCPを含む)のメディア経路はRTPを用いている。RTPはUDPに基づいており、一方向RTPコネクションは送り方向と反対方向両方のUDP経路(UDPパス)の設定を要求する。従って、端末10からプロキシインターフェイスエージェント11を介して外部サーバ40に至るUDP経路、および外部サーバ40からまたプロキシインターフェイスエージェント11を介して端末10へ至るUDP経路を設定する必要がある。更に、RTPおよびRTCPコネクションはそれらが用いるポート間に固定した関係を要求する。従って、一度に単一のポートを開くことが可能であるのみならず、必要とされるRTP/RTCPポート番号関係を有するUDPポート対(複数)を開くことが可能である必要がある。従って、以下の説明では単一の接続を開くことを説明しているが、同様の原理を、同時にポート対(複数)を要求し、開くことに用いることができる。
【0098】
以下の説明においては、H.323プロトコルを用いるものと仮定している。プロトコルメッセージと制御メッセージとのシーケンスは他のプロトコル(SIPやMGCPなど)では異なったものとなりうるが、原理は同一である。
【0099】
端末10と外部サーバ40との間にUDP経路を設定するために、外部サーバ40はプロキシインターフェイスエージェント11に、端末10が接続可能なUDPポート(あるいはポート対)を開くよう指令する。外部サーバ40はまたプロキシインターフェイスエージェント11がコネクションと関連付けるべきトークン(token)を特定する。
【0100】
ポートが首尾よく開くと、プロキシインターフェイスエージェント11は外部サーバ40にポートの識別(identity)を示す。次に外部サーバは、端末10がそのUDPデータを送るべきプロキシインターフェイスエージェント11のプライベートIPアドレスおよびポートを含むメディアチャネルを開くのに必要なシグナリングコマンドを発する(たとえばH.323の場合にはH.245開論理チャネル)。このコマンド(命令)を受信すると、プロキシインターフェイスエージェントは該コマンドをこの目的のためにあらかじめ確立されていたコネクションを用いて端末にリレーする。
【0101】
かくして端末10はプロキシインターフェイスエージェント11にRTP、RTCP、UDPパケット56を送り始めることができる。しかし、これらのパケットを外部サーバ40に転送する前に、プロキシインターフェイスエージェント11はコネクションが最初に形成された時に外部サーバ40によって特定されたトークンを含むプローブパケット55を送らなければならない。NAPTにおいてプライベートからパブリックへのアドレスマッピング(アドレスの対応付け)が作成されることに加えて、トークンの存在により、外部サーバ40はこれらプローブパケット55のソースから受け取ったUDPパケット57を正しい論理メディアチャネルと関連付けることができる。なお、プローブパケット55を送るのが早すぎると、メディアデータ56を送らないうちにNATによって作成されたアドレスマッピングがタイムアウトとなってしまうので、プローブパケット55の送信をできる限り遅らせたほうがよい。また、プローブパケット55はUDPであるので、失われることがあり得ることに注意する必要がある。従って所与のコネクションに対して2つ以上のプローブパケット55を送る機能を持つ必要がある。ひとたびプローブパケット55が送られると、プロキシインターフェイスエージェントは受信したUDPデータを外部サーバ40にリレーすることができる(57として示される)。別のやり方としては、トークン情報を、送られる各UDPパケットに多重化することもできる。更に、複数の論理チャネルを1つ以上のUDPコネクションに多重化してもよい。
【0102】
動作方法はインバウンドUDPコネクションに対しても同様である。外部サーバ40プロキシインターフェイスエージェント11に対して端末10にUDPデータを送ることのできるポート(あるいはポート対)を開くよう指令する。プロキシインターフェイスエージェント11は外部サーバ40にこのポートの識別(identity)を知らせる。そこで外部サーバはこの情報を、プロキシインターフェイスエージェント11を介して端末10に送られるメディアチャネルを開かせるためのプロトコル特定シグナリングコマンド(protocol specific signaling command)の中に含ませる(たとえばH.323の場合はH.245開論理チャネル)。端末10はこのコマンドに応答してそのコネクションにおいてUDPデータを受信しようとするプライベートIPアドレスおよびポートを与える。このメッセージは外部サーバ40へとリレー返送される。そこで外部サーバ40はプロキシインターフェイスエージェント11に、このコネクションにおいてプロキシインターフェイスエージェントがUDPデータをリレーすべきアドレスを知らせる。更に、NATにおけるパブリック対プライベートのアドレスマッピングを作成するために、外部サーバ40はプロキシインターフェイスエージェント11がトークンを含む当該コネクションについてのプローブパケット55を外部サーバ40に送ることを要求する。これによりプライベートからパブリックへのアドレスマッピングが作成され、そしてそれはまた逆方向に送られるデータのためのパブリックからプライベートへのアドレスマッピングとして機能する。外部サーバ40はプローブパケット55内のトークンを用いてこのセッション57に対してどのNATアドレスおよびポートにUDPデータを送るべきかを決定する。こうして外部サーバ40はこのアドレスにUDPメディアを送ることができるようになる。NATはこれをプロキシインターフェイスエージェント11にリレーし、そして今度はプロキシインターフェイスエージェント11がこれを端末10にリレーする(56として示される)。かくしてコネクションが完了する。
【0103】
UDPコネクションがこれ以上要求されない場合、外部サーバ40はプロキシインターフェイスエージェント11に関連するソケットを閉じるように指令する。NAPTのプライベートからパブリックへのアドレスマッピングは、情報が通過しないと、いずれタイムアウトとなる。
【0104】
以上の説明では外部サーバが単一のIPアドレスを有する単一のデバイスであると仮定したが、本発明の別の実施形態では「外部サーバ」は協働するいくつかのデバイスであってもよい。また、各外部サーバデバイス(単数または複数)は1つあるいは複数のIPアドレスを有してよい。複数のIPアドレスを用いる場合には、普通にはそれらを単一のサブネットから割り当て、そしてファイアウォール規則を個々のIPアドレスではなくサブネットの出入りに許容されたポートを特定するものとなるようにプログラミングする。
【0105】
なお、H.323端末のプライベートIPアドレスおよびポート番号は、実際上それがマッピングされるパブリックIPアドレスおよびポート番号と同一であってもよい。この場合マッピングは素通し(transparent)となる。
【0106】
以上に説明した解決の利点は以下の通りである:
・NATおよびファイアウォール機能をアップグレードする必要がない。
・信号の待ち時間が最小になる。
・各組織で必要となるのはプロトコルを認識しないプロキシインターフェイスエージェント(一つまたは複数)のみであり、そしてそれはどの適宜のリアルタイムプロトコルとも一緒に用いることができる。
・企業のIPアドレス(1つまたは複数)はその企業に対して呼を行うプロセスにおいて公知となることがない。
・サービス品質およびその他の使用法に基づく方針(たとえば帯域幅の利用)を断片的に行うことができ、首尾一貫した単一の解決手段を必要としない。たとえば、外部サーバはプロキシインターフェイスエージェントに対して、或るQOSレベルの呼内のメディアストリームをプロキシインターフェイスエージェントと外部サーバとの間のコネクションに対して適切な方法を用いて処理するように指令し、そして外部サーバはそれをコアネットワーク内で外部サーバが獲得できる対応するQOSレベルに対して対応付けすることができる。同様に、プロキシインターフェイスエージェントと外部サーバとの間において、呼の他の部分(区間(legs))に対して用いられるセキュリティ機構とは独立にある暗号化方式を用いてもよい。
【0107】
総括すれば、本発明はプライベートネットワーク内に配置されたH.323(あるいはその他のリアルタイムプロトコルに適合するエンドポイント)端末を許容する方法およびシステムであって:既存のセキュリティ手続きおよびセキュリティ方法を損なうことがなく;既存のファイアウォール、ルータ、プロキシをアップグレードする必要がなく;使用されている通信プロトコルを解釈するまたは認識するNAT機能なしにIP接続に完全なNATを適用することを許容するようなものを提供する。本発明はまた、一つのプライベートネットワーク内にあるスタンダードなH.323装置が同じプライベートネットワークまたは異なるプライベートネットワークおよび/または公共の(パブリックな)IPネットワーク内の他のH.323端末と、共有された即ち公共のIPネットワークを用いて、プロトコルに依存しないプロキシインターフェイスエージェントおよびH.323プロキシサーバを介して通信することを可能にするものである。
【0108】
従って事業体は共有されたIPネットワークの共有されたリソースを加入契約利用することができる。コストは最小限のものであり、セキュリティが損なわれることもない。
【図面の簡単な説明】
【図1】
2つの企業間において音声呼またはマルチメディア呼を行うための本発明による通信システムの図式的な説明図であり、プロキシインターフェイスエージェントがエンドポイントと同じ場所にある場合を示している。
【図2】
図1と同様の図式的説明図であるが、プロキシインターフェイスエージェントがエンドポイントから離れたところにある点で相違している。
【図3】
図1および図2に示す通信システムの図式的説明図であり、アウトバウンド通信およびインバウンド通信の両方に対するアウトバウンド接続の論理チャネルを、一つの企業のローカル端末と外部サーバの間について示す図である。

Claims (27)

  1. 送信先通信システムとの通信セッションを処理する通信システムであって、第1のローカル端末と、外部サーバと、第1のローカル端末と外部サーバとの間において共有通信ネットワーク上で通信セッションを伝送するための1つ以上の論理チャネルとを有し、前記通信ネットワークは通信セッションが必ず通過する第1のネットワークアドレス変換(以下、NATと称する)機能を備えており、
    i) 第1のローカル端末は通信セッション用の少なくとも一つのトランスポートアドレスを有し;
    ii) 第1のNAT機能は第1の端末と共有通信ネットワークとの間のコネクションにおけるトランスポートアドレスに対してネットワークアドレスマッピングを施し;
    iii) 該システムは外部サーバとの通信において第1のローカル端末の代理として動作するようになされた第1のプロキシインターフェイスエージェントを備え;
    iv) 第1のプロキシインターフェイスエージェントは外部サーバへの1つ以上のアウトバウンドコネクションにおいて論理チャネルを確立することができ、前記論理チャネルは第1のプロキシインターフェイスエージェントと外部サーバとの間の制御チャネルであり;
    v) 前記アウトバウンドコネクションは第1のプロキシインターフェイスエージェントによって確立される動的なアウトバウンドコネクションであり;
    vi) 第1のプロキシインターフェイスエージェントは、第1のローカル端末のトランスポートアドレスと第1のプロキシインターフェイスエージェント−外部サーバ間の識別可能な論理チャネルとの間の関連付けを行うように構成されており、前記識別可能な論理チャネルはプロキシインターフェイスエージェントから外部サーバへの1つ以上の前記動的アウトバウンドコネクションにおいて確立される、
    ことを特徴とする通信システム。
  2. 通信システムの通信セッションを処理する方法であって、該通信システムは第1のローカル端末と、外部サーバと、第1のローカル端末と共有されたネットワークとの間の第1のプロキシインターフェイスエージェントとを有し、前記通信ネットワークは通信セッションが必ず通過する第1のNAT機能を備えており、該方法は、
    i) 第1のローカル端末と外部サーバとの間において共有通信ネットワーク上で1つ以上の論理チャネルで通信セッションを伝送するステップであって、該第1のローカル端末は通信セッション用の少なくとも一つのトランスポートアドレスを有するステップ;
    ii) 第1のNAT機能が第1の端末と共有されたネットワークとの間のコネクションにおけるトランスポートアドレスに対してネットワークアドレスマッピングを持続的に適用することを許容するステップ;
    iii)  第1のプロキシインターフェイスエージェントを用いて、外部サーバとの通信において第1のローカル端末を代理して動作させるステップ;
    iv) 第1のプロキシインターフェイスエージェントを用いて、外部サーバに対する1つ以上のアウトバウンドコネクションにおいて論理チャネルを確立するステップであって、該論理チャネルは第1のプロキシインターフェイスエージェントと外部サーバとの間の制御チャネルであるステップ;
    v) 第1のプロキシインターフェイスエージェントを用いて外部サーバへの動的なアウトバウンドコネクションを確立するステップ;
    vi) 第1のプロキシインターフェイスエージェントを用いて、第1のローカル端末のトランスポートアドレスと、第1のプロキシインターフェイスエージェント−外部サーバ間の識別可能な論理チャネルとの間に、一つ以上の関連付けを行うステップであって、前記識別可能な論理チャネルは第一のプロキシインターフェイスエージェントから外部サーバへの1つ以上の前記動的なアウトバウンドコネクションにおいて確立されるステップを含むことを特徴とする方法。
  3. 第1のプロキシインターフェイスエージェントは外部サーバからの要求に応じて前記関連付けを行う請求項2記載の方法。
  4. 第1のプロキシインターフェイスエージェントは該第1のプロキシインターフェイスエージェントが発生する要求に応じて前記関連付けを行う請求項2記載の方法。
  5. 外部サーバ自身が(あるいは第1のプロキシインターフェイスエージェントが)外部サーバに前記識別可能な論理チャネルと送信先端末の如き送信先通信システムとの通信の論理チャネルとの対応付けを行うよう要求するように構成されている請求項2乃至4のいずれかに記載の方法。
  6. 通信システムは制御チャネル上のクライアント−サーバ・プロトコルを備え、
    i) 制御チャネル上の該クライアント−サーバ・プロトコルを用いて、(a) 第1の端末によって用いられる通信論理チャネルと、(b) 第1のプロキシインターフェイスエージェントと外部サーバの間の識別可能な論理チャネルであって第1のプロキシインターフェイスエージェントから外部サーバへの1つ以上の前記アウトバウンドコネクションにおいて確立される識別可能な論理チャネルと、(c) 外部サーバと送信先通信システムとの間の通信論理チャネルとの動的な関連付けを可能とし、その結果、第1の端末が外部サーバのトランスポートアドレスに位置しかつ送信先通信システムが第1のプロキシインターフェイストランスポートアドレスに位置するような見かけを与える請求項2乃至5のいずれかに記載の方法。
  7. 外部サーバはクライアント−サーバプロトコルのマスターとなるように構成され、かつ外部サーバはまた、第1の端末が第1のプロキシインターフェイスエージェントとあたかもそれが送信先通信システムであるかのように通信し、かつ、送信先通信システムが外部サーバとあたかもそれが第1端末であるかのように通信するようにすべく、リアルタイム(あるいは非リアルタイム)プロトコル内で搬送されるトランスポートアドレスを変更するように構成されている請求項6記載の方法。
  8. 第1のプロキシインターフェイスエージェントはクライアント−サーバプロトコルのマスターとなるように構成され、かつプロキシインターフェイスエージェントはまた、第1の端末が第1のプロキシインターフェイスエージェントとあたかもそれが送信先通信システムであるかのように通信し、かつ、送信先通信システムが外部サーバとあたかもそれが第1端末であるかのように通信するようにすべく、リアルタイム(あるいは非リアルタイム)プロトコル内で搬送されるトランスポートアドレスを変更するように構成されている請求項6記載の方法。
  9. 第1のローカル端末のトランスポートアドレスは動的に割り当てられる請求項2乃至8のいずれかに記載の方法。
  10. 外部サーバのトランスポートアドレスは動的に割り当てられる請求項2乃至9のいずれかに記載の方法。
  11. 外部サーバのトランスポートアドレスはいずれも動的には割り当てられない請求項2乃至9のいずれかに記載の方法。
  12. 前記通信システムは、通信セッションが必ず通過する第1のファイアウォールを備え、該ファイアウォールは第1のローカル端末と共有通信ネットワークとの間のあるタイプの通信を制限するように構成され、かつ第1のプロキシインターフェイスエージェントと外部サーバとの間の通信は制限しないように構成されている請求項2乃至11のいずれかに記載の方法。
  13. 外部サーバのトランスポートアドレスのうちの少なくとも一つは少なくとも一つのあらかじめ割り当てられたポートを有し、かつ第1のプロキシインターフェイスエージェントから外部サーバへのアウトバウンドコネクションは前記あらかじめ割り当てられたポートを用いる請求項2乃至12のいずれかに記載の方法。
  14. 外部サーバのすべてのトランスポートアドレスはあらかじめ割り当てられたポートを有する請求項13記載の方法。
  15. 外部サーバのすべてのトランスポートアドレスは最大で2つのあらかじめ割り当てられたポートを有する請求項14記載の方法。
  16. プロキシインターフェイスエージェントのすべてのトランスポートアドレスは動的に割り当てられる請求項2乃至15のいずれかに記載の方法。
  17. プロキシインターフェイスエージェントの少なくとも一つのトランスポートアドレスはあらかじめ割り当てられたポートを用いる請求項2乃至15のいずれかに記載の方法。
  18. プロキシインターフェイスエージェントのすべてのトランスポートアドレスはあらかじめ割り当てられたポートを用いる請求項2乃至15のいずれかに記載の方法。
  19. 前記通信システムは第2のローカル端末を備え、外部サーバは第1の端末と第2の端末との間にあるプロキシサーバであって通信セッションが続く間、各端末に対して他方の端末のプロキシとして動作する請求項2乃至18のいずれかに記載の方法。
  20. 前記通信システムは第2のローカル端末と第2の外部サーバとを備え、該第2の外部サーバは第2の端末のプロキシとして動作し、かつ第1の外部サーバと第2の外部サーバとの間の通信は公共ネットワークあるいは共有されたネットワークを介してなされる請求項2乃至18のいずれかに記載の方法。
  21. 共有されたネットワークは公共通信ネットワークを含む請求項2乃至20のいずれかに記載の方法。
  22. 共有されたネットワークはインターネットを含む請求項2乃至21のいずれかに記載の方法。
  23. プロキシインターフェイスエージェントはローカル端末と同じ場所にある請求項2乃至22のいずれかに記載の方法。
  24. プロキシインターフェイスエージェントはローカル端末から離れた場所にある請求項2乃至22のいずれかに記載の方法。
  25. プロキシインターフェイスエージェントに対して2つ以上のローカル端末が存在する請求項2乃至24のいずれかに記載の方法。
  26. プロキシインターフェイスエージェントは異なるリアルタイムまたは非リアルタイムのプロトコルを用いて、同時に複数の端末を代理して動作する請求項2乃至25のいずれかに記載の方法。
  27. 外部サーバは異なるリアルタイムまたは非リアルタイムのプロトコルを用いて、同時に複数の端末および/または複数のプロキシインターフェイスエージェントの代理として動作する請求項2乃至26のいずれかに記載の方法。
JP2002546385A 2000-11-30 2001-11-29 通信システム Expired - Fee Related JP3757399B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0029179A GB2369746A (en) 2000-11-30 2000-11-30 Communications system with network address translation
PCT/GB2001/005253 WO2002045373A2 (en) 2000-11-30 2001-11-29 Communications system

Publications (2)

Publication Number Publication Date
JP2004515164A true JP2004515164A (ja) 2004-05-20
JP3757399B2 JP3757399B2 (ja) 2006-03-22

Family

ID=9904157

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002546385A Expired - Fee Related JP3757399B2 (ja) 2000-11-30 2001-11-29 通信システム

Country Status (11)

Country Link
US (2) US7512708B2 (ja)
EP (2) EP1511271A3 (ja)
JP (1) JP3757399B2 (ja)
CN (1) CN1262095C (ja)
AT (1) ATE301362T1 (ja)
AU (2) AU1840402A (ja)
CA (1) CA2422764C (ja)
DE (1) DE60112469T2 (ja)
GB (1) GB2369746A (ja)
HK (1) HK1055364A1 (ja)
WO (1) WO2002045373A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008301228A (ja) * 2007-05-31 2008-12-11 Nippon Telegr & Teleph Corp <Ntt> 複数のipアドレス体系を持つip通信網における第三者呼制御(3pcc)システム及び3pcc実現方法
JP2017506855A (ja) * 2014-02-26 2017-03-09 ゼットティーイー コーポレーションZte Corporation データメッセージ処理方法及び装置

Families Citing this family (121)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100208634A1 (en) * 1994-10-11 2010-08-19 Arbinet Corporation System and Method For Managing Multimedia Communications Across Convergent Networks
US6738382B1 (en) * 1999-02-24 2004-05-18 Stsn General Holdings, Inc. Methods and apparatus for providing high speed connectivity to a hotel environment
US6980526B2 (en) 2000-03-24 2005-12-27 Margalla Communications, Inc. Multiple subscriber videoconferencing system
GB2362482A (en) * 2000-05-15 2001-11-21 Ridgeway Systems & Software Lt Direct slave addressing to indirect slave addressing
GB2365256A (en) 2000-07-28 2002-02-13 Ridgeway Systems & Software Lt Audio-video telephony with port address translation
GB2369746A (en) 2000-11-30 2002-06-05 Ridgeway Systems & Software Lt Communications system with network address translation
US7283519B2 (en) * 2001-04-13 2007-10-16 Esn, Llc Distributed edge switching system for voice-over-packet multiservice network
US20030018814A1 (en) * 2001-06-29 2003-01-23 Yung-Chung Kao Method of letting a single LAN port voice over IP device have network address translation function
US7006436B1 (en) * 2001-11-13 2006-02-28 At&T Corp. Method for providing voice-over-IP service
US7506058B2 (en) * 2001-12-28 2009-03-17 International Business Machines Corporation Method for transmitting information across firewalls
US7480937B2 (en) 2002-02-26 2009-01-20 Ricoh Company, Ltd. Agent device, image-forming-device management system, image-forming-device management method, image-forming-device management program, and storage medium
JP4659077B2 (ja) * 2002-02-26 2011-03-30 株式会社リコー 仲介装置、画像形成装置管理システム、画像形成装置管理方法、画像形成装置管理プログラム及び記録媒体
US7280531B2 (en) * 2002-04-29 2007-10-09 Iwatsu Electric Co., Ltd. Telephone communication system
US7937471B2 (en) 2002-06-03 2011-05-03 Inpro Network Facility, Llc Creating a public identity for an entity on a network
US20030233471A1 (en) * 2002-06-17 2003-12-18 Julian Mitchell Establishing a call in a packet-based communications network
US20040047340A1 (en) * 2002-07-16 2004-03-11 Hanspeter Ruckstuhl Method for address conversion in packet networks, control element and address converter for communication networks
TW574805B (en) * 2002-07-25 2004-02-01 Leadtek Research Inc Network address translation system and method thereof
GB2391742B (en) * 2002-08-07 2004-07-07 Samsung Electronics Co Ltd Network adress translation router for voice over internet protocol system
US7152111B2 (en) * 2002-08-15 2006-12-19 Digi International Inc. Method and apparatus for a client connection manager
US8234358B2 (en) * 2002-08-30 2012-07-31 Inpro Network Facility, Llc Communicating with an entity inside a private network using an existing connection to initiate communication
AU2003276869A1 (en) 2002-09-09 2004-03-29 Netrake Corporation System for allowing network traffic through firewalls
CN100388709C (zh) * 2002-11-28 2008-05-14 中兴通讯股份有限公司 一种从局域网连接互连网的方法
KR100511479B1 (ko) * 2002-12-27 2005-08-31 엘지전자 주식회사 Nat를 갖는 망에서의 sip 서비스 방법
US7363381B2 (en) * 2003-01-09 2008-04-22 Level 3 Communications, Llc Routing calls through a network
US7020130B2 (en) 2003-03-13 2006-03-28 Mci, Inc. Method and apparatus for providing integrated voice and data services over a common interface device
US20040249974A1 (en) * 2003-03-31 2004-12-09 Alkhatib Hasan S. Secure virtual address realm
US7949785B2 (en) * 2003-03-31 2011-05-24 Inpro Network Facility, Llc Secure virtual community network system
US20040249973A1 (en) * 2003-03-31 2004-12-09 Alkhatib Hasan S. Group agent
US7454510B2 (en) * 2003-05-29 2008-11-18 Microsoft Corporation Controlled relay of media streams across network perimeters
DE10329877A1 (de) * 2003-07-02 2005-01-27 Siemens Ag Verfahren zum Betrieb eines Sprach-Endgerätes an einer abgesetzten Nebenstellenanlage, Kommunikationsanordnung und Sprach-Endgerät
CN1571440A (zh) * 2003-07-25 2005-01-26 中兴通讯股份有限公司 一种跨越私网实现多媒体呼叫的系统和方法
CN100440886C (zh) 2003-09-02 2008-12-03 华为技术有限公司 多媒体协议穿越网络地址转换设备的实现方法
US7886350B2 (en) * 2003-10-03 2011-02-08 Verizon Services Corp. Methodology for measurements and analysis of protocol conformance, performance and scalability of stateful border gateways
US7886348B2 (en) 2003-10-03 2011-02-08 Verizon Services Corp. Security management system for monitoring firewall operation
US7421734B2 (en) * 2003-10-03 2008-09-02 Verizon Services Corp. Network firewall test methods and apparatus
US7853996B1 (en) 2003-10-03 2010-12-14 Verizon Services Corp. Methodology, measurements and analysis of performance and scalability of stateful border gateways
TWI225740B (en) * 2003-10-06 2004-12-21 Inst Information Industry High-speed separating H.323 packet method
US7694127B2 (en) * 2003-12-11 2010-04-06 Tandberg Telecom As Communication systems for traversing firewalls and network address translation (NAT) installations
CN100399768C (zh) 2003-12-24 2008-07-02 华为技术有限公司 实现网络地址转换穿越的方法、系统
US20050207433A1 (en) * 2004-01-09 2005-09-22 Camelot Technology Associates Ltd. Video communication systems and methods
FR2865335A1 (fr) * 2004-01-16 2005-07-22 France Telecom Systeme de communication entre reseaux ip prives et publics
JP3835462B2 (ja) * 2004-05-07 2006-10-18 松下電器産業株式会社 情報処理装置、及びバブルパケット送信方法
SE534807C2 (sv) * 2004-05-14 2011-12-27 Klap Worldwide Corp Trident Chambers Mobilt kommunikationsnät för att förse en mobil station med en fast IP-adress
EP1613024A1 (en) * 2004-06-29 2006-01-04 Alcatel Alsthom Compagnie Generale D'electricite Method and call server for establishing a bidirectional peer-to-peer communication link
TWI241808B (en) * 2004-07-28 2005-10-11 Realtek Semiconductor Corp Network address-port translation apparatus and method for IP fragment packets
CN1728628B (zh) * 2004-07-30 2010-05-12 迈普通信技术股份有限公司 安全代理通道复用方法和安全代理通道复用服务器
US9189307B2 (en) 2004-08-06 2015-11-17 LiveQoS Inc. Method of improving the performance of an access network for coupling user devices to an application server
US7953114B2 (en) * 2004-08-06 2011-05-31 Ipeak Networks Incorporated System and method for achieving accelerated throughput
US9647952B2 (en) 2004-08-06 2017-05-09 LiveQoS Inc. Network quality as a service
US8437370B2 (en) 2011-02-04 2013-05-07 LiveQoS Inc. Methods for achieving target loss ratio
US8009696B2 (en) 2004-08-06 2011-08-30 Ipeak Networks Incorporated System and method for achieving accelerated throughput
US7545435B2 (en) * 2004-10-15 2009-06-09 Lifesize Communications, Inc. Automatic backlight compensation and exposure control
US8149739B2 (en) * 2004-10-15 2012-04-03 Lifesize Communications, Inc. Background call validation
US20060106929A1 (en) * 2004-10-15 2006-05-18 Kenoyer Michael L Network conference communications
US9781274B2 (en) * 2004-10-26 2017-10-03 Cisco Technology, Inc. Providing a proxy server feature at an endpoint
US7823196B1 (en) 2005-02-03 2010-10-26 Sonicwall, Inc. Method and an apparatus to perform dynamic secure re-routing of data flows for public services
US8037204B2 (en) * 2005-02-11 2011-10-11 Cisco Technology, Inc. Method and system for IP train inauguration
US20060190992A1 (en) * 2005-02-24 2006-08-24 Microsoft Corporation Facilitating Bi-directional communications between clients in heterogeneous network environments
US7543065B2 (en) 2005-03-15 2009-06-02 Microsoft Corporation Method and system for reducing the number of ports allocated by a relay
CN100438693C (zh) * 2005-03-21 2008-11-26 华为技术有限公司 一种分组域的业务接入方法
WO2006116013A2 (en) * 2005-04-22 2006-11-02 Pandit Shrihari B Methods and systems for communicating voice, audio, video, text and/or multimedia data
CN100450111C (zh) * 2005-04-25 2009-01-07 华为技术有限公司 私网用户与保证业务服务质量网络互通的系统及方法
EP1881412A1 (en) * 2005-05-11 2008-01-23 Sony Corporation Server device, inter-server device connection method, program, and recording medium
DE102005035733A1 (de) * 2005-07-29 2007-02-01 Siemens Ag Verfahren zum Datenaustausch zwischen Netzelementen
US20070047699A1 (en) * 2005-08-29 2007-03-01 Nortel Networks Limited Separation of session and session control
EP1932299A4 (en) * 2005-10-04 2010-05-19 Ericsson Telefon Ab L M METHOD FOR PROVIDING MESSAGE TRANSMISSION USING A CORRESPONDING COMMUNICATION PROTOCOL
US20090064304A1 (en) * 2005-10-07 2009-03-05 Codeux, Inc. Port access using user datagram protocol packets
US9374342B2 (en) 2005-11-08 2016-06-21 Verizon Patent And Licensing Inc. System and method for testing network firewall using fine granularity measurements
US8027251B2 (en) 2005-11-08 2011-09-27 Verizon Services Corp. Systems and methods for implementing protocol-aware network firewall
FR2895621A1 (fr) 2005-12-23 2007-06-29 France Telecom Procede et passerelle de raccordement d'entites de communication ip par l'intermediaire d'une passerelle residentielle
US8331263B2 (en) * 2006-01-23 2012-12-11 Microsoft Corporation Discovery of network nodes and routable addresses
KR100785307B1 (ko) * 2006-02-01 2007-12-12 삼성전자주식회사 아이피 사설교환기를 통한 데이터 중계 전송 시스템 및 그방법
US9021134B1 (en) * 2006-03-03 2015-04-28 Juniper Networks, Inc. Media stream transport conversion within an intermediate network device
US20080002711A1 (en) * 2006-06-30 2008-01-03 Bugenhagen Michael K System and method for access state based service options
CN101132353A (zh) * 2006-08-23 2008-02-27 华为技术有限公司 一种信令转发的方法及装置
US7706373B2 (en) * 2006-11-01 2010-04-27 Nuvoiz, Inc. Session initiation and maintenance while roaming
US8966619B2 (en) * 2006-11-08 2015-02-24 Verizon Patent And Licensing Inc. Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using return routability check filtering
US9473529B2 (en) 2006-11-08 2016-10-18 Verizon Patent And Licensing Inc. Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering
US20080205388A1 (en) * 2007-02-22 2008-08-28 Microsoft Corporation Discovery of network devices logically located between a client and a service
US8522344B2 (en) * 2007-06-29 2013-08-27 Verizon Patent And Licensing Inc. Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US8302186B2 (en) 2007-06-29 2012-10-30 Verizon Patent And Licensing Inc. System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel
US8195806B2 (en) * 2007-07-16 2012-06-05 International Business Machines Corporation Managing remote host visibility in a proxy server environment
US9661267B2 (en) * 2007-09-20 2017-05-23 Lifesize, Inc. Videoconferencing system discovery
TW200915784A (en) * 2007-09-28 2009-04-01 D Link Corp Method of using a router as a relay proxy
JP4540720B2 (ja) * 2008-04-02 2010-09-08 株式会社エヌ・ティ・ティ・ドコモ データ通信端末、プロキシ装置、データ通信システム、及びデータ通信方法
US8005098B2 (en) * 2008-09-05 2011-08-23 Cisco Technology, Inc. Load balancing across multiple network address translation (NAT) instances and/or processors
EP2166726A1 (en) * 2008-09-18 2010-03-24 Thomson Telecom Belgium A method and a gateway for providing multiple internet access
US8165077B2 (en) * 2008-09-26 2012-04-24 Microsoft Corporation Delegation of mobile communication to external device
US20100180334A1 (en) * 2009-01-15 2010-07-15 Chen Jy Shyang Netwrok apparatus and method for transfering packets
US8305421B2 (en) * 2009-06-29 2012-11-06 Lifesize Communications, Inc. Automatic determination of a configuration for a conference
JP4635095B2 (ja) * 2009-06-30 2011-02-16 株式会社東芝 通信システムとそのサーバ装置
US9167275B1 (en) 2010-03-11 2015-10-20 BoxCast, LLC Systems and methods for autonomous broadcasting
EP2606673B1 (en) * 2010-08-17 2018-07-04 Telefonaktiebolaget LM Ericsson (publ) NODE AND METHOD FOR AoIP ADDRESS CHANGE
EP2663954B1 (en) * 2011-01-10 2019-05-01 International Business Machines Corporation System and method for extending cloud services into the customer premise
US10951743B2 (en) 2011-02-04 2021-03-16 Adaptiv Networks Inc. Methods for achieving target loss ratio
US8717900B2 (en) 2011-02-07 2014-05-06 LivQoS Inc. Mechanisms to improve the transmission control protocol performance in wireless networks
US9590913B2 (en) 2011-02-07 2017-03-07 LiveQoS Inc. System and method for reducing bandwidth usage of a network
US20130077618A1 (en) * 2011-09-23 2013-03-28 Cisco Technology, Inc. Expeditious resource reservation protocol
WO2013106454A1 (en) * 2012-01-09 2013-07-18 Qualcomm Incorporated Cloud computing controlled gateway for communication networks
US8978126B2 (en) * 2012-10-29 2015-03-10 Blackberry Limited Method and system for TCP turn operation behind a restrictive firewall
CN103532935B (zh) * 2013-09-28 2017-01-18 福建星网锐捷软件有限公司 基于域策略的p2p流媒体传输控制方法
CN104869144A (zh) * 2014-02-26 2015-08-26 联想(北京)有限公司 一种信息分享方法及电子设备
US20160072839A1 (en) * 2014-09-05 2016-03-10 Salesforce.Com, Inc. Facilitating dynamic management of participating devices within a network in an on-demand services environment
US10063439B2 (en) 2014-09-09 2018-08-28 Belkin International Inc. Coordinated and device-distributed detection of abnormal network device operation
US10257159B2 (en) * 2014-12-04 2019-04-09 Belkin International, Inc. Methods, systems, and apparatuses for providing a single network address translation connection for multiple devices
US20160072764A1 (en) * 2014-09-10 2016-03-10 T-Mobile Usa, Inc. Dynamic double network address translator
US10270840B2 (en) * 2015-01-01 2019-04-23 Bank Of America Corporation Modular system for holistic data transmission across an enterprise
CN104811473B (zh) * 2015-03-18 2018-03-02 华为技术有限公司 一种创建虚拟非易失性存储介质的方法、系统及管理系统
WO2016176434A1 (en) * 2015-04-28 2016-11-03 Duke Manufacturing Co. System and apparatus for connecting kitchen components
US10038651B2 (en) 2015-09-05 2018-07-31 Nevion Europe As Asynchronous switching system and method
US10021589B2 (en) * 2016-01-26 2018-07-10 Sprint Communications Company L.P. Wireless data system that associates internet protocol ports with quality-of-service for user applications
US10154317B2 (en) 2016-07-05 2018-12-11 BoxCast, LLC System, method, and protocol for transmission of video and audio data
US10511521B2 (en) 2016-08-03 2019-12-17 Anchorfree Inc. System and method for virtual multipath data transport
US20180234506A1 (en) * 2017-02-14 2018-08-16 Gu Zhang System and methods for establishing virtual connections between applications in different ip networks
US10931720B2 (en) 2017-06-08 2021-02-23 Avaya Inc. IP tolerance and signaling interworking
US11088994B2 (en) 2017-12-01 2021-08-10 Twingate Inc. Local interception of traffic to a remote forward proxy
US10834138B2 (en) 2018-08-13 2020-11-10 Akamai Technologies, Inc. Device discovery for cloud-based network security gateways
CN109474667B (zh) * 2018-10-12 2021-05-25 广州雷迅创新科技股份有限公司 一种基于tcp和udp的无人机通信方法
US10958624B2 (en) * 2018-12-06 2021-03-23 Akamai Technologies, Inc. Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment
JP7188046B2 (ja) * 2018-12-14 2022-12-13 富士フイルムビジネスイノベーション株式会社 通信システム、通信装置、通信システムプログラム及び通信プログラム
CN116346924A (zh) * 2021-12-24 2023-06-27 北京字节跳动网络技术有限公司 网络请求处理方法、装置、设备及存储介质

Family Cites Families (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1259430A (en) * 1985-07-19 1989-09-12 Fumio Akashi Multipoint communication system having polling and reservation schemes
US5301320A (en) 1991-06-28 1994-04-05 Digital Equipment Corporation Workflow management and control system
US5282222A (en) * 1992-03-31 1994-01-25 Michel Fattouche Method and apparatus for multiple access between transceivers in wireless communications using OFDM spread spectrum
US5337313A (en) * 1992-11-12 1994-08-09 Motorola, Inc. Method and apparatus for preserving packet squencing in a packet transmission system
EP0615198A1 (en) 1993-03-08 1994-09-14 International Business Machines Corporation Method for processing, handling, and presenting data pertaining to an enterprise in the form of a data model
US5781550A (en) 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
WO1997040610A2 (en) 1996-04-24 1997-10-30 Northern Telecom Limited Internet protocol filter
JPH10289479A (ja) * 1997-04-10 1998-10-27 Tdk Corp 光記録媒体
US6273622B1 (en) * 1997-04-15 2001-08-14 Flash Networks, Ltd. Data communication protocol for maximizing the performance of IP communication links
US6473406B1 (en) 1997-07-31 2002-10-29 Cisco Technology, Inc. Method and apparatus for transparently proxying a connection
US9197599B1 (en) 1997-09-26 2015-11-24 Verizon Patent And Licensing Inc. Integrated business system for web based telecommunications management
US6058431A (en) * 1998-04-23 2000-05-02 Lucent Technologies Remote Access Business Unit System and method for network address translation as an external service in the access server of a service provider
US6175548B1 (en) * 1998-06-29 2001-01-16 Sony Corporation Optical recording medium and optical recording and reproducing apparatus
US6360265B1 (en) 1998-07-08 2002-03-19 Lucent Technologies Inc. Arrangement of delivering internet protocol datagrams for multimedia services to the same server
US6628629B1 (en) * 1998-07-10 2003-09-30 Malibu Networks Reservation based prioritization method for wireless transmission of latency and jitter sensitive IP-flows in a wireless point to multi-point transmission system
US6401128B1 (en) 1998-08-07 2002-06-04 Brocade Communiations Systems, Inc. System and method for sending and receiving frames between a public device and a private device
US6438597B1 (en) 1998-08-17 2002-08-20 Hewlett-Packard Company Method and system for managing accesses to a data service system that supports persistent connections
JP2000132855A (ja) * 1998-10-27 2000-05-12 Matsushita Electric Ind Co Ltd 光情報記録再生装置
US6470020B1 (en) 1998-11-03 2002-10-22 Nortel Networks Limited Integration of stimulus signalling protocol communication systems and message protocol communication systems
US6182149B1 (en) * 1999-01-11 2001-01-30 3Com Corporation System for managing dynamic processing resources in a network
NO995081D0 (no) * 1999-10-18 1999-10-18 Ericsson Telefon Ab L M Anordning for H.323 proxy
US7120692B2 (en) 1999-12-02 2006-10-10 Senvid, Inc. Access and control system for network-enabled devices
US6677104B2 (en) * 2000-02-10 2004-01-13 Tdk Corporation Optical information medium
US6631417B1 (en) 2000-03-29 2003-10-07 Iona Technologies Plc Methods and apparatus for securing access to a computer
US7814208B2 (en) 2000-04-11 2010-10-12 Science Applications International Corporation System and method for projecting content beyond firewalls
US6996628B2 (en) 2000-04-12 2006-02-07 Corente, Inc. Methods and systems for managing virtual addresses for virtual networks
US6631416B2 (en) 2000-04-12 2003-10-07 Openreach Inc. Methods and systems for enabling a tunnel between two computers on a network
GB2365256A (en) 2000-07-28 2002-02-13 Ridgeway Systems & Software Lt Audio-video telephony with port address translation
US20020042832A1 (en) 2000-08-14 2002-04-11 Fallentine Mark D. System and method for interoperability of H.323 video conferences with network address translation
US7047561B1 (en) * 2000-09-28 2006-05-16 Nortel Networks Limited Firewall for real-time internet applications
GB2369746A (en) 2000-11-30 2002-06-05 Ridgeway Systems & Software Lt Communications system with network address translation
KR100360274B1 (ko) 2000-12-30 2002-11-09 엘지전자 주식회사 Nat 기반 로컬망에서 범용 ip 전화통신 시스템을지원하는 방법
US7155518B2 (en) 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US7631349B2 (en) 2001-01-11 2009-12-08 Digi International Inc. Method and apparatus for firewall traversal
WO2002057917A2 (en) 2001-01-22 2002-07-25 Sun Microsystems, Inc. Peer-to-peer network computing platform
US6993012B2 (en) 2001-02-20 2006-01-31 Innomedia Pte, Ltd Method for communicating audio data in a packet switched network
US7050422B2 (en) 2001-02-20 2006-05-23 Innomedia Pte, Ltd. System and method for providing real time connectionless communication of media data through a firewall
US6928082B2 (en) 2001-03-28 2005-08-09 Innomedia Pte Ltd System and method for determining a connectionless communication path for communicating audio data through an address and port translation device
US7173928B2 (en) 2001-02-20 2007-02-06 Innomedia Pte, Ltd System and method for establishing channels for a real time streaming media communication system
US20020138627A1 (en) 2001-03-26 2002-09-26 Frantzen Michael T. Apparatus and method for managing persistent network connections
US7068647B2 (en) 2001-04-03 2006-06-27 Voxpath Networks, Inc. System and method for routing IP packets
US8363647B2 (en) 2001-04-03 2013-01-29 Voxpath Networks, Inc. System and method for configuring an IP telephony device
US7272650B2 (en) 2001-04-17 2007-09-18 Intel Corporation Communication protocols operable through network address translation (NAT) type devices
US20030009561A1 (en) 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US20030033418A1 (en) 2001-07-19 2003-02-13 Young Bruce Fitzgerald Method of implementing and configuring an MGCP application layer gateway
WO2003019870A2 (en) 2001-08-24 2003-03-06 Peribit Networks, Inc. Dynamic multi-point meshed overlay network
US7321925B2 (en) 2001-09-18 2008-01-22 Intel Corporation Load balancing and fault tolerance for server-based software applications
US7302700B2 (en) 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7274684B2 (en) 2001-10-10 2007-09-25 Bruce Fitzgerald Young Method and system for implementing and managing a multimedia access network device
US20030084162A1 (en) 2001-10-31 2003-05-01 Johnson Bruce L. Managing peer-to-peer access to a device behind a firewall
US7379465B2 (en) 2001-12-07 2008-05-27 Nortel Networks Limited Tunneling scheme optimized for use in virtual private networks
US7013342B2 (en) 2001-12-10 2006-03-14 Packeteer, Inc. Dynamic tunnel probing in a communications network
US6860616B2 (en) * 2001-12-14 2005-03-01 Iq Hong Kong, Ltd. Ultraviolet light writing system
US7227864B2 (en) 2001-12-17 2007-06-05 Microsoft Corporation Methods and systems for establishing communications through firewalls and network address translators
US7257630B2 (en) 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7664845B2 (en) 2002-01-15 2010-02-16 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7152105B2 (en) 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US20030140142A1 (en) 2002-01-18 2003-07-24 David Marples Initiating connections through firewalls and network address translators
US7133368B2 (en) 2002-02-01 2006-11-07 Microsoft Corporation Peer-to-peer method of quality of service (QoS) probing and analysis and infrastructure employing same
US20030154306A1 (en) 2002-02-11 2003-08-14 Perry Stephen Hastings System and method to proxy inbound connections to privately addressed hosts
US7979528B2 (en) 2002-03-27 2011-07-12 Radvision Ltd. System and method for traversing firewalls, NATs, and proxies with rich media communications and other application protocols
US7676579B2 (en) 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
US7243141B2 (en) 2002-05-13 2007-07-10 Sony Computer Entertainment America, Inc. Network configuration evaluation
US6674758B2 (en) 2002-06-06 2004-01-06 Clinton Watson Mechanism for implementing voice over IP telephony behind network firewalls
WO2003105010A1 (en) 2002-06-06 2003-12-18 Neoteris, Inc. Method and system for providing secure access to private networks
US7143188B2 (en) 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for network address translation integration with internet protocol security
US20030233471A1 (en) 2002-06-17 2003-12-18 Julian Mitchell Establishing a call in a packet-based communications network
US7277963B2 (en) 2002-06-26 2007-10-02 Sandvine Incorporated TCP proxy providing application layer modifications

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008301228A (ja) * 2007-05-31 2008-12-11 Nippon Telegr & Teleph Corp <Ntt> 複数のipアドレス体系を持つip通信網における第三者呼制御(3pcc)システム及び3pcc実現方法
JP2017506855A (ja) * 2014-02-26 2017-03-09 ゼットティーイー コーポレーションZte Corporation データメッセージ処理方法及び装置

Also Published As

Publication number Publication date
EP1511271A3 (en) 2012-04-11
AU2002218404B2 (en) 2006-09-07
CN1470119A (zh) 2004-01-21
GB2369746A (en) 2002-06-05
DE60112469D1 (de) 2005-09-08
CN1262095C (zh) 2006-06-28
WO2002045373A3 (en) 2002-10-17
US20040028035A1 (en) 2004-02-12
EP1338127A2 (en) 2003-08-27
WO2002045373A2 (en) 2002-06-06
US8291116B2 (en) 2012-10-16
CA2422764C (en) 2011-01-04
EP1338127B1 (en) 2005-08-03
CA2422764A1 (en) 2002-06-06
US7512708B2 (en) 2009-03-31
DE60112469T2 (de) 2006-06-14
JP3757399B2 (ja) 2006-03-22
EP1511271A2 (en) 2005-03-02
HK1055364A1 (en) 2004-01-02
AU1840402A (en) 2002-06-11
ATE301362T1 (de) 2005-08-15
US20090116487A1 (en) 2009-05-07
GB0029179D0 (en) 2001-01-17

Similar Documents

Publication Publication Date Title
JP3757399B2 (ja) 通信システム
JP3774191B2 (ja) ファイアウォールおよびネットワークアドレス変換を有するオーディオ−ビデオ回線技術
EP1692844B1 (en) Methods and devices for traversing firewalls and network address translation (nat) installations
AU2002218404A1 (en) Communications system
KR101280281B1 (ko) 일련의 경계 게이트웨이들을 통하는 ip 멀티미디어 베어러 경로 최적화를 위한 개선된 방법 및 시스템
RU2396716C2 (ru) Оборудование, система и способ связи между клиентом и серверной стороной
US7809126B2 (en) Proxy server for internet telephony
US8607323B2 (en) Method for providing media communication across firewalls
JP5216018B2 (ja) 移動体電話機用ストリーミング・メディア・サービス
JPWO2006120751A1 (ja) 発着呼を可能とするピア・ツー・ピア通信方法及びシステム
KR100660123B1 (ko) Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기
Gou et al. Multi-agent system for multimedia communications traversing NAT/firewall in next generation networks
Cook Design of a Voice-Aware Firewall Architecture

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051216

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090113

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100113

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110113

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110113

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120113

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130113

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130113

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees