JP2007235638A - Sip communication system, sip gateway device and sip communication control method used for the same - Google Patents
Sip communication system, sip gateway device and sip communication control method used for the same Download PDFInfo
- Publication number
- JP2007235638A JP2007235638A JP2006055655A JP2006055655A JP2007235638A JP 2007235638 A JP2007235638 A JP 2007235638A JP 2006055655 A JP2006055655 A JP 2006055655A JP 2006055655 A JP2006055655 A JP 2006055655A JP 2007235638 A JP2007235638 A JP 2007235638A
- Authority
- JP
- Japan
- Prior art keywords
- sip
- gateway
- communication
- rtp
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明はSIP通信システム、SIPゲートウェイ装置及びそれらに用いるSIP通信制御方法に関し、特にインタネットを介したプライベートアドレス拠点からのSIP(Session Initiation Protocol)通信に関する。 The present invention relates to a SIP communication system, a SIP gateway device, and a SIP communication control method used therefor, and more particularly, to a SIP (Session Initiation Protocol) communication from a private address base via the Internet.
従来、インタネットを介したプライベートアドレス拠点からのSIP通信の代表としては、SIP−NAT(Network Address Translator)を用いてSIP通信を行う通信システムがある(例えば、非特許文献1参照)。このシステムの構成を図6に示す。 Conventionally, as a representative of SIP communication from a private address base via the Internet, there is a communication system that performs SIP communication using SIP-NAT (Network Address Translator) (for example, see Non-Patent Document 1). The configuration of this system is shown in FIG.
図6において、この通信システムでは、拠点201にIP(Internet Protocol)フォンに代表されるSIP端末2−1とSIP−NAT5−1とが存在し、拠点202にSIP端末2−2とSIP−NAT5−2とが存在し、センタ拠点300にSIPサーバ3とセンタルータ4とが存在している。
6, in this communication system, a SIP terminal 2-1 and SIP-NAT5-1 represented by an IP (Internet Protocol) phone exist at a
SIP−NAT5−1とSIP−NAT5−2とセンタルータ4とは、IPsec(IP security protocol)トンネルが設定可能であり、SIP−NAT5−1とセンタルータ4との間にはIPsecトンネル102が、SIP−NAT5−2とセンタルータ4との間にはIPsecトンネル103が予め設定されている。
The SIP-NAT5-1, SIP-NAT5-2, and the
SIP端末2−1とSIP端末2−2との間で行われるSIPパケットの通信は、SIPサーバ3を経由するため、グローバルネットワーク100上では、SIP−NAT5−1,5−2とセンタルータ4とのグローバルアドレスを用いたIPsecトンネルの中を通過する。つまり、SIPパケットのセキュリティは、IPsecトンネル102とIPsecトンネル103とを予め設定しておくことによって保たれるものとする。
Since SIP packet communication between the SIP terminal 2-1 and the SIP terminal 2-2 passes through the
しかしながら、上述した従来のSIP−NAT等に代表されるインタネットを介したSIP通信では、SIP−NAT5−1から送信された通話のRTP(Real−time Transport Protocol)通信において、宛先がSIP−NAT5−2のグローバルアドレスとなるため、通常、IPsecトンネル102とIPsecトンネル103とを経由せずに、直接グローバルネットワーク100を通過する。したがって、このSIP通信では、通話のRTP通信がインタネット内で盗聴、改変される危険性があるという問題がある。
However, in SIP communication over the Internet represented by the above-described conventional SIP-NAT or the like, in RTP (Real-time Transport Protocol) communication of a call transmitted from SIP-NAT5-1, the destination is SIP-NAT5- 2, the global address normally passes through the
また、従来のSIP通信では、上記の問題を回避するために、すべてのRTP通信をIPsecトンネル102やIPsecトンネル103を経由する設定を行った場合、すべての拠点のRTP通信がセンタルータ4に集中し、負荷が非常に増したり、センタルータ4と拠点201,202が非常に離れた場所にあった場合、通話の遅延についても影響が発生するという問題がある。
Also, in conventional SIP communication, in order to avoid the above problem, when all RTP communication is set to pass through the
さらに、従来のSIP通信では、RTPのポート番号がSIPシーケンスで確定するまで不定であるため、グローバルネットワーク100上のRTP通信路上に存在するファイアウォールでRTP通信を通過させるための設定が困難であるという問題がある。
Furthermore, in conventional SIP communication, since the RTP port number is indefinite until it is determined by the SIP sequence, it is difficult to set the RTP communication to pass through the firewall existing on the RTP communication path on the
さらにまた、従来のSIP通信では、SIP−NATによる実現方法の場合、SIPペイロード内に含まれるすべてのプライベートアドレスをグローバルアドレスに変換する必要があるため、キャッシュ等にて管理するアドレスが大きくなりすぎることによって、メモリが増加し、処理が複雑化するという問題がある。 Furthermore, in the conventional SIP communication, in the case of the implementation method using SIP-NAT, since all private addresses included in the SIP payload need to be converted into global addresses, the address managed in the cache or the like becomes too large. As a result, there is a problem that the memory increases and the processing becomes complicated.
そこで、本発明の目的は上記の問題点を解消し、拠点内アドレスをプライベートアドレスで構成することができ、RTP通信の盗聴や改変を防ぐことができるSIP通信システム、SIPゲートウェイ装置及びそれらに用いるSIP通信制御方法を提供することにある。 Accordingly, an object of the present invention is to solve the above-mentioned problems, configure the SIP address system, SIP gateway apparatus, and the SIP communication system apparatus that can configure the in-site address with a private address and prevent eavesdropping and modification of RTP communication. It is to provide a SIP communication control method.
本発明によるSIP通信システムは、第1及び第2のSIP(Session Initiation Protocol)ゲートウェイ装置がそれぞれSIPサーバに接続されるSIP通信システムであって、
前記第1及び第2のSIPゲートウェイ装置各々は、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段を備えている。
The SIP communication system according to the present invention is a SIP communication system in which first and second SIP (Session Initiation Protocol) gateway devices are respectively connected to a SIP server,
Each of the first and second SIP gateway devices uses IPsec [Real-time Transport Protocol (IPP)] to dynamically perform RTP (Real-time Transport Protocol) communication between the first SIP gateway device and the second SIP gateway device. An IP (Internet Protocol) security protocol] means for setting a tunnel is provided.
本発明によるSIPゲートウェイ装置は、SIP(Session Initiation Protocol)サーバに接続されるSIPゲートウェイ装置であって、
他のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段を備えている。
A SIP gateway device according to the present invention is a SIP gateway device connected to a SIP (Session Initiation Protocol) server,
There is provided means for setting an IPsec [IP (Internet Protocol) security protocol] tunnel for performing RTP (Real-time Transport Protocol) communication dynamically with other SIP gateway devices.
本発明によるSIP通信制御方法は、第1及び第2のSIP(Session Initiation Protocol)ゲートウェイ装置がそれぞれSIPサーバに接続されるSIP通信システムに用いるSIP通信制御方法であって、
前記第1及び第2のSIPゲートウェイ装置各々が、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する処理を実行している。
A SIP communication control method according to the present invention is a SIP communication control method used in a SIP communication system in which first and second SIP (Session Initiation Protocol) gateway devices are respectively connected to a SIP server,
Each of the first and second SIP gateway devices uses IPsec [Real-time Transport Protocol (RTP) communication dynamically between the first SIP gateway device and the second SIP gateway device. A process of setting an IP (Internet Protocol) security protocol tunnel is executed.
すなわち、本発明のSIP(Session Initiation Protocol)通信システムは、SIP通信によるSIPペイロードを解析し、SIPゲートウェイ間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsecトンネルを設定している。また、本発明のSIP通信システムは、セキュアなSIPゲートウェイ装置にて、SIPペイロードにゲートウェイアドレスを挿入している。 That is, the SIP (Session Initiation Protocol) communication system of the present invention analyzes the SIP payload by SIP communication and sets an IPsec tunnel for performing RTP (Real-time Transport Protocol) communication dynamically between SIP gateways. Yes. In the SIP communication system of the present invention, the gateway address is inserted into the SIP payload by the secure SIP gateway device.
これによって、本発明のSIP通信システムでは、インタネットで接続された拠点間のSIP通信において、RTPの盗聴や改変を防ぎ、かつRTP通信のセンタルータへの一極集中を防ぐことが可能となる。 As a result, in the SIP communication system of the present invention, it is possible to prevent eavesdropping and modification of RTP in SIP communication between bases connected via the Internet, and to prevent the extreme concentration of RTP communication on the center router.
より具体的に説明すると、本発明のSIP通信システムでは、第1の拠点に存在する第1のSIPゲートウェイと第2の拠点に存在する第2のSIPゲートウェイとが、IP(Internet Protocol)フォンに代表される第1の拠点に存在する第1のSIP端末と第2の拠点に存在する第2のSIP端末との間で通話等のRTPセッションを確立する過程において、SIPパケットのペイロードにSIPゲートウェイのアドレスを記録する。 More specifically, in the SIP communication system of the present invention, the first SIP gateway existing at the first base and the second SIP gateway existing at the second base are connected to the IP (Internet Protocol) phone. In the process of establishing an RTP session such as a call between a first SIP terminal present at a representative first base and a second SIP terminal present at a second base, a SIP gateway is included in the payload of the SIP packet. Record the address.
第1のSIPゲートウェイは、SIPパケットのペイロードに含まれる対向する第2のSIPゲートウェイのアドレス及び第1のSIP端末と第2のSIP端末との間で使われるRTPアドレス、ポート番号を検知することによって、第1のSIPゲートウェイと第2のSIPゲートウェイとの間の通話等で使用するRTPをIPsec(IP security protocol)でカプセル化するIPsecトンネルを動的に設定する。 The first SIP gateway detects the address of the opposing second SIP gateway included in the payload of the SIP packet and the RTP address and port number used between the first SIP terminal and the second SIP terminal. Thus, an IPsec tunnel that encapsulates RTP used in a call or the like between the first SIP gateway and the second SIP gateway with IPsec (IP security protocol) is dynamically set.
これによって、グローバルネットワークでは、RTP通信で使用されるグローバルアドレスがSIPゲートウェイのアドレスに限定されるため、第1の拠点と第2の拠点とのネットワークにプライベートアドレスを用いることが可能になる。また、本発明のSIP通信システムでは、第1のSIPゲートウェイと第2のSIPゲートウェイとの間のRTP通信はIPsecによって保護されるため、グローバルネットワークでのRTP通信の盗聴や改変を防ぐことが可能となる。 Thereby, in the global network, since the global address used in the RTP communication is limited to the address of the SIP gateway, a private address can be used for the network of the first base and the second base. Further, in the SIP communication system of the present invention, since RTP communication between the first SIP gateway and the second SIP gateway is protected by IPsec, it is possible to prevent eavesdropping and modification of RTP communication in the global network. It becomes.
さらに、本発明のSIP通信システムでは、IPsecによって、グローバルネットワークでのRTP通信のためのアドレスとプロトコルとがESP(Encapsulating Security Payload:暗号化ペイロード)やIKE(Internet Key Exchange)で固定されるため、グローバルネットワークの中にファイアウォールが存在しても、RTPポート用にすべてのポート番号を開いておく必要がなくなり、セキュリティ管理が容易となる。 Furthermore, in the SIP communication system of the present invention, the address and protocol for RTP communication in the global network are fixed by ESP (Encapsulating Security Payload: Encrypted Payload) or IKE (Internet Key Exchange). Even if a firewall exists in the global network, it is not necessary to open all the port numbers for the RTP port, and security management becomes easy.
上記のように、本発明のSIP通信システムでは、SIPゲートウェイ間のRTP通信をSIPゲートウェイのグローバルアドレスを使って、IPsecでカプセル化するため、拠点内アドレスをプライベートアドレスで構成することが可能となる。この場合、本発明のSIP通信システムでは、SIPゲートウェイ間のRTP通信をIPsecトンネルで保護しているので、RTP通信の盗聴や改変を防ぐことが可能となる。 As described above, in the SIP communication system of the present invention, RTP communication between SIP gateways is encapsulated with IPsec using the global address of the SIP gateway, so that the address in the base can be configured with a private address. . In this case, in the SIP communication system of the present invention, since RTP communication between SIP gateways is protected by an IPsec tunnel, wiretapping and modification of RTP communication can be prevented.
また、本発明のSIP通信システムでは、SIPゲートウェイ間のRTP通信を直接IPsecトンネルで結ぶため、RTP通信をセンタルータ経由とする必要がなく、センタルータの負荷を軽減することが可能となる。 Further, in the SIP communication system of the present invention, RTP communication between SIP gateways is directly connected by an IPsec tunnel, so that RTP communication does not need to be routed through the center router, and the load on the center router can be reduced.
さらに、本発明のSIP通信システムでは、SIPゲートウェイ間のRTP通信が必要となった時に動的にIPsecトンネルが張られるため、IPsecトンネルを張るためのリソースを常時占有することがない。 Further, in the SIP communication system of the present invention, since an IPsec tunnel is dynamically established when RTP communication between SIP gateways is required, resources for establishing an IPsec tunnel are not always occupied.
さらにまた、本発明のSIP通信システムでは、セキュリティポリシやSIPゲートウェイのアドレスをSIPパケットに追加して送信しているため、本構成にSIPゲートウェイのIPsecトンネルを制御するセキュリティサーバ等を別途用意する必要がない。 Furthermore, in the SIP communication system of the present invention, since the security policy and the address of the SIP gateway are added to the SIP packet and transmitted, it is necessary to separately prepare a security server for controlling the IPsec tunnel of the SIP gateway in this configuration. There is no.
本発明は、上記のような構成及び動作とすることで、拠点内アドレスをプライベートアドレスで構成することができ、RTP通信の盗聴や改変を防ぐことができるという効果が得られる。 By adopting the configuration and operation as described above, the present invention can configure the base address as a private address, and can obtain an effect of preventing eavesdropping and modification of RTP communication.
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるSIP(Session Initiation Protocol)通信システムの構成を示すブロック図である。図1において、本発明の一実施例では、拠点201と拠点202とセンタ拠点300とがグローバルネットワーク100を介して接続可能となっている。
Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a SIP (Session Initiation Protocol) communication system according to an embodiment of the present invention. In FIG. 1, in one embodiment of the present invention, a
拠点201にはIP(Internet Protocol)フォンに代表されるSIP端末2−1とSIPゲートウェイ1−1とが存在し、拠点202にはSIP端末2−2とSIPゲートウェイ1−2とが存在し、センタ拠点300にはSIPサーバ3とセンタルータ4とが存在している。
The
SIPゲートウェイ1−1,SIPゲートウェイ1−2、センタルータ4はIPsec(IP security protocol)トンネルが設定可能であり、SIPゲートウェイ1−1とセンタルータ4との間にはIPsecトンネル102が、SIPゲートウェイ1−2とセンタルータ4との間にはIPsecトンネル103が予め設定されている。
The SIP gateway 1-1, the SIP gateway 1-2, and the
SIP端末2−1とSIP端末2−2との間で行われるSIPパケットの通信は、SIPサーバ3を経由するため、グローバルネットワーク100上では、SIPゲートウェイ1−1,1−2及びセンタルータ4のグローバルアドレスを用いたIPsecトンネルの中を通過する。これによって、SIP端末1−1及びSIP端末1−2のアドレスがプライベートアドレスであるとしても、グローバルネットワーク100で使用されることはない。
Since SIP packet communication between the SIP terminal 2-1 and the SIP terminal 2-2 passes through the
図2は図1のSIPゲートウェイ1−1,1−2の構成を示すブロック図である。図2においては、SIPゲートウェイ1−1,1−2をまとめてSIPゲートウェイ1として表記する。このSIPゲートウェイ1はインタフェース11,12と、SIP判定部13と、SIPパーサ14と、SIPペイロード制御部15と、SIP情報記憶部16と、ルーティング処理部17と、IPsec処理部18と、IPsec制御部19とから構成されている。尚、SIP判定部13、SIPパーサ14、SIPペイロード制御部15、ルーティング処理部17、IPsec処理部18、IPsec制御部19各々の処理はコンピュータがプログラムを実行することで置き換えることが可能である。
FIG. 2 is a block diagram showing the configuration of the SIP gateways 1-1 and 1-2 in FIG. In FIG. 2, the SIP gateways 1-1 and 1-2 are collectively expressed as the
インタフェース11で入力されたパケットは、SIP判定部13でSIPパケットであるかどうかが判定される。SIPパケットでない場合、SIP判定部13はそのパケットをルーティング処理部17に渡す。ルーティング処理部17は、SIP端末2−1,2−2等から送信されたIPパケットを宛先アドレスにしたがって、最適なインタフェース12を選び出す。
A packet input through the interface 11 is determined by the SIP determination unit 13 as to whether it is a SIP packet. If not a SIP packet, the SIP determination unit 13 passes the packet to the
その後、パケットはルーティング処理部17からIPsec処理部18に渡される。IPsec処理部18では指定された送信アドレス、宛先アドレス、ポート番号のIPパケットを、予め設定されたセキュリティポリシにしたがって、IPsecでカプセル化する。尚、ルーティング処理部17やIPsec処理部18については、よく知られたルータの持つ機能と同等であるため、その詳細な動作の説明については省略する。これらの処理が終了したパケットは、インタフェース12から出力される。
Thereafter, the packet is transferred from the
次に、SIP判定部13でSIPパケットであると判定された場合、そのSIPパケットはSIPパーサ14に渡される。SIPパーサ14は、UDP(User Datagram Protocol)ポート番号5060で代表されるSIPパケットのペイロードを解析し、RTP(Real−time Transport Protocol)通信で使用されるアドレスやポート番号を取得する。ここで取得した情報は、SIP情報記憶部16に保存される。
Next, when the SIP determination unit 13 determines that the packet is a SIP packet, the SIP packet is passed to the
このSIPパケットはSIPパーサ14からSIPペイロード制御部15に渡される。SIPペイロード制御部15ではSIPゲートウェイ1のインタフェース12側に付与されているグローバルアドレスや予め設定されたセキュリティポリシをSIPパケットのペイロードに付与する。SIPパーサ14はSIPペイロード制御部15で付与された情報を取得する機能をも持っており、SIPパーサ14でこの情報を取得した時には、これらの情報もSIP情報記憶部16に記憶される。
This SIP packet is passed from the
SIPペイロード制御部15で処理が行われた後、SIPパケットはルーティング処理部17に渡され、ルーティング処理部17でSIP端末2−1,2−2等から送信されたIPパケットを宛先アドレスにしたがって、最適なインタフェース12を選び出す。その後、SIPパケットはルーティング処理部17からIPsec処理部18に渡される。IPsec処理部18では指定された送信アドレス、宛先アドレス、ポート番号のIPパケットを、予め設定されたセキュリティポリシにしたがって、IPsecでカプセル化し、インタフェース12から出力する。
After the processing is performed by the SIP payload control unit 15, the SIP packet is transferred to the
SIPペイロード制御部15はSIP情報記憶部16に、SIPゲートウェイ間でIPsecトンネルを設定するための情報が揃った時に、IPsec制御部19を通して、IPsec処理部18にIPsecトンネルを動的に設定する。この動的に設定されたIPsecトンネルは、図1のIPsecトンネル201で示される。
The SIP payload control unit 15 dynamically sets an IPsec tunnel in the
図3〜図5は本発明の一実施例によるSIP通信システムの動作を示すシーケンスチャートである。これら図1〜図5を参照して本発明の一実施例によるSIP通信システムのセキュリティSIPネットワークとしての動作について説明する。図3〜図5に示すSIPシーケンスは、一般的なSIPシーケンスの一例であり、SIPサーバとSIP端末との組み合わせによっては異なるシーケンスとなることがあるが、本発明とは無関係であるため、それらについての説明は省略する。また、本発明の一実施例によるSIP通信システムの説明に重要とされないSIPシーケンスの記述についても省略する。 3 to 5 are sequence charts showing the operation of the SIP communication system according to one embodiment of the present invention. The operation of the SIP communication system as a security SIP network according to an embodiment of the present invention will be described with reference to FIGS. The SIP sequences shown in FIG. 3 to FIG. 5 are examples of general SIP sequences, and may differ depending on the combination of the SIP server and the SIP terminal, but are not related to the present invention. The description about is omitted. In addition, descriptions of SIP sequences that are not important for the description of the SIP communication system according to an embodiment of the present invention are also omitted.
IPフォン#1(SIP端末2−1)がIPフォン#2(SIP端末2−2)に電話を掛けると、IPフォン#1からSIPサーバ宛てにSIPパケットの「INVITE(インバイト)リクエスト(セッション確立要求)」が送信される(図3のa1参照)。この「INVITEリクエスト」には、通話時のRTP通信に必要なIPフォン#1の待ち受けアドレスやポート番号が含まれている。
When IP phone # 1 (SIP terminal 2-1) makes a call to IP phone # 2 (SIP terminal 2-2), the SIP packet “INVITE (inbyte) request (session) is sent from
SIPゲートウェイ#1(SIPゲートウェイ1−1)はこの「INVITEリクエスト」を受信した時、IPフォン#1のRTP待ち受けアドレスとポート番号とを読取り、SIP情報記憶部16に記憶する(図3のa2参照)。SIPゲートウェイ#1は「INVITEリクエスト」にSIPゲートウェイ#1のアドレスとセキュリティポリシとを書込み(図3のa3参照)、SIPサーバに転送する(図3のa4参照)。
When SIP gateway # 1 (SIP gateway 1-1) receives this “INVITE request”, it reads the RTP standby address and port number of
SIPサーバは「INVITEリクエスト」を受取ると、一般的なSIP処理を行った後、IPフォン#2宛てに「INVITEリクエスト」を送信する(図3のa5参照)。この「INVITEリクエスト」には、SIPゲートウェイ#1で付与された情報も含まれる。
When the SIP server receives the “INVITE request”, it performs general SIP processing and then transmits the “INVITE request” to the IP phone # 2 (see a5 in FIG. 3). The “INVITE request” includes information given by the
SIPゲートウェイ#2(SIPゲートウェイ1−2)は「INVITEリクエスト」を受信すると、IPフォン#1のRTP待ち受けアドレスとポート番号と、SIPゲートウェイ#1のアドレスとセキュリティポリシとを読取り、SIP情報記憶部16に記憶する(図3のa6参照)。ここで、SIPゲートウェイ#2はSIPゲートウェイ#1で追記され、IPフォン#2では不要である情報を削除する(図3のa7参照)。その後に、SIPゲートウェイ#2は不要な情報を削除した「INVITEリクエスト」をIPフォン#2に転送する(図3のa8参照)。
When the SIP gateway # 2 (SIP gateway 1-2) receives the "INVITE request", it reads the RTP standby address and port number of the
IPフォン#2は「INVITEリクエスト」を受取ると、一般的なSIP処理を行った後、「200 OKレスポンス」をSIPサーバ宛てに送信する(図4のa9参照)。この「200 OKレスポンス」には、通話時のRTP通信に必要なIPフォン#2の待ち受けアドレスやポート番号が含まれる。
Upon receiving the “INVITE request”,
SIPゲートウェイ#2は「200 OKレスポンス」を受信すると、IPフォン#2のRTP待ち受けアドレスとポート番号とを読取り、SIP情報記憶部16に記憶する(図4のa10参照)。SIPゲートウェイ#2は「200 OKレスポンス」にSIPゲートウェイ#2のアドレスと、SIPゲートウェイ#1から受取ったセキュリティポリシの応答とを書込み(図4のa11参照)、SIPサーバに転送する(図4のa12参照)。
When the
SIPサーバは「200 OKレスポンス」を受取ると、一般的なSIP処理を行った後、IPフォン#1宛てに「200 OKレスポンス」を送信する(図4のa13参照)。この「200 OKレスポンス」には、SIPゲートウェイ#2で付与された情報も含まれる。
When the SIP server receives the “200 OK response”, it performs a general SIP process and then transmits a “200 OK response” to IP phone # 1 (see a13 in FIG. 4). The “200 OK response” includes information given by the
SIPゲートウェイ#1は「200 OKレスポンス」を受信すると、IPフォン#2のRTP待ち受けアドレスとポート番号と、SIPゲートウェイ#2のアドレスとセキュリティポリシの応答とを読取り、SIP記憶部16に記憶する(図4のa14参照)。ここで、SIPゲートウェイ#1は「200 OKレスポンス」から、SIPゲートウェイ#2で付与され、IPフォン#1では不要である情報を削除する(図4のa15参照)。SIPゲートウェイ#1は不要な情報を削除した「200 OKレスポンス」をIPフォン#1に転送する(図4のa16参照)。
When the
IPフォン#1は「200 OKレスポンス」を受信すると、それに対する「ACK(ACKnowledgement)」をSIPサーバ宛てに送信し(図5のa17参照)、通話で使用するRTPポートを開ける。
When the
SIPゲートウェイ#1は「ACK」を受信すると、上記のSIP記憶部16で記憶してきた情報を用いて、通話で使用するRTPパケットをIPsecでカプセル化するための設定を行う(図5のa18参照)。SIPゲートウェイ#1は「ACK」にSIPゲートウェイ#2から受取ったセキュリティポリシの応答のACKを追加し(図5のa19参照)、SIPサーバに転送する(図5のa20参照)。
When the
SIPサーバは「ACK」を受取ると、一般的なSIP処理を行った後、IPフォン#2宛てに「ACK」を送信する(図5のa21参照)。SIPゲートウェイ#2は「ACK」を受信すると、上記でSIP記憶部16に記憶してきた情報を用いて、通話で使用するRTPパケットをIPsecでカプセル化するための設定を行う(図5のa22参照)。
Upon receiving “ACK”, the SIP server performs general SIP processing and then transmits “ACK” to IP phone # 2 (see a21 in FIG. 5). When receiving “ACK”, the
SIPゲートウェイ#2は「ACK」から、SIPゲートウェイ#1で付与され、IPフォン#2では不要である情報を削除する(図5のa23参照)。SIPゲートウェイ#2は不要な情報を削除した「ACK」をIPフォン#1に転送する(図5のa24参照)。IPフォン#2は「ACK」を受取ると、一般的なSIP処理を行い、通話で使用するRTPポートを開ける。
The
上述した一連の動作によって、IPフォン#1とIPフォン#2との間のRTP通信(図5のa25,a27参照)と、SIPゲートウェイ#1とSIPゲートウェイ#2との間にRTP通信をIPsecでカプセル化するIPsecトンネル(図5のa26参照)が確立する。
Through the series of operations described above, the RTP communication between the
これによって、RTP通信は、グローバルネットワーク100上において、SIPゲートウェイ1−1及びSIPゲートウェイ1−2のグローバルアドレスで設定されたIPsecトンネル101の中を通過するため、SIP端末2−1及びSIP端末2−2のプライベートアドレスがグローバルネットワーク100上で使用されることはない。
As a result, since the RTP communication passes through the
本実施例においては、セキュリティポリシ自体の盗聴や改変等について、図1のIPsecトンネル103とIPsecトンネル102とで守られるものとする。また、本実施例においては、セキュリティポリシがIPsecトンネル103やIPsecトンネル102で守られない構成をとった場合、セキュリティポリシ自体を暗号化して交換する等のプロトコルが考えられるが、本発明とは直接関係しないため、これらの説明については詳述しない。
In this embodiment, it is assumed that eavesdropping and modification of the security policy itself are protected by the
このように、本実施例では、SIPゲートウェイ1−1,1−2間のRTP通信をSIPゲートウェイ1−1,1−2のグローバルアドレスを使って、IPsecでカプセル化するため、拠点内アドレスをプライベートアドレスで構成することができる。この場合、本実施例では、SIPゲートウェイ1−1,1−2間のRTP通信をIPsecトンネル101で保護しているので、RTP通信の盗聴や改変を防ぐことができる。
In this way, in this embodiment, RTP communication between the SIP gateways 1-1 and 1-2 is encapsulated with IPsec using the global addresses of the SIP gateways 1-1 and 1-2. Can be configured with a private address. In this case, in this embodiment, since the RTP communication between the SIP gateways 1-1 and 1-2 is protected by the
また、本実施例では、SIPゲートウェイ1−1,1−2間のRTP通信を直接IPsecトンネル101で結ぶため、RTP通信をセンタルータ4経由とする必要がなく、センタルータ4の負荷を軽減することができる。
In this embodiment, since the RTP communication between the SIP gateways 1-1 and 1-2 is directly connected by the
さらに、本実施例では、SIPゲートウェイ1−1,1−2間のRTP通信が必要となった時に動的にIPsecトンネル101が張られるため、IPsecトンネルを張るためのリソースを常時占有することがない。
Further, in this embodiment, since the
さらにまた、本実施例では、セキュリティポリシやSIPゲートウェイ1−1,1−2のアドレスをSIPパケットに追加して送信するため、本構成にSIPゲートウェイ1−1,1−2のIPsecトンネルを制御するセキュリティサーバ等を別途用意する必要がない。 Furthermore, in this embodiment, since the security policy and the addresses of the SIP gateways 1-1 and 1-2 are added to the SIP packet and transmitted, the IPsec tunnels of the SIP gateways 1-1 and 1-2 are controlled in this configuration. There is no need to prepare a separate security server.
尚、本発明の他の実施例として、その基本的構成は上記の通りであるが、IPsec処理部を単なるIPoverIP処理部等に置き換えることができる。IPoverIP処理部では、RTPパケット等のIPパケットをSIPゲートウェイ1−1,1−2のアドレスを終端としたIPヘッダにてカプセル化する。 As another embodiment of the present invention, the basic configuration is as described above, but the IPsec processing unit can be replaced with a simple IPoverIP processing unit or the like. The IPoverIP processing unit encapsulates an IP packet such as an RTP packet with an IP header terminated with the addresses of the SIP gateways 1-1 and 1-2.
この構成において、IPsecのセキュリティポリシをSIPパケットに書込む必要がなくなり、SIPゲートウェイ1−1,1−2のアドレスのみを書込めばよい。本実施例では、IPsecによる盗聴や改変のリスクをSIP端末2−1,2−2がRTPパケットを暗号化して送信する等の回避策を講じる必要があるが、その他の効果は保たれるので、RTPがSIP端末2−1,2−2で暗号化できる構成等では有用である。 In this configuration, it is not necessary to write the IPsec security policy in the SIP packet, and only the addresses of the SIP gateways 1-1 and 1-2 need be written. In this embodiment, it is necessary to take a workaround such as the SIP terminals 2-1 and 2-2 encrypting the RTP packet and transmitting the risk of eavesdropping or alteration by IPsec, but other effects are maintained. This is useful in a configuration in which RTP can be encrypted by the SIP terminals 2-1 and 2-2.
1,1−1,1−2 SIPゲートウェイ
2−1,2−2 SIP端末
3 SIPサーバ
4 センタルータ
11,12 インタフェース
13 SIP判定部
14 SIPパーサ
15 SIPペイロード制御部
16 SIP情報記憶部
17 ルーティング処理部
18 IPsec処理部
19 IPsec制御部19
100 グローバルネットワーク
201,202 拠点
300 センタ拠点
1, 1-1, 1-2 SIP gateway 2-1, 2-2 SIP terminal
3 SIP server
4 Center router
11,12 interface
13 SIP decision part
14 SIP parser
15 SIP payload controller
16 SIP information storage unit
17 Routing processor
18 IPsec processing section
19
100 Global network 201,202 locations
300 Center locations
Claims (15)
前記第1及び第2のSIPゲートウェイ装置各々は、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段を有することを特徴とするSIP通信システム。 A SIP communication system in which first and second SIP (Session Initiation Protocol) gateway devices are respectively connected to a SIP server,
Each of the first and second SIP gateway devices uses IPsec [Real-time Transport Protocol (IPP)] to dynamically perform RTP (Real-time Transport Protocol) communication between the first SIP gateway device and the second SIP gateway device. An SIP communication system comprising means for setting an IP (Internet Protocol) security protocol] tunnel.
他のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段を有することを特徴とするSIPゲートウェイ装置。 A SIP gateway device connected to a SIP (Session Initiation Protocol) server,
An SIP gateway apparatus comprising means for setting an IPsec [IP (Internet Protocol) security protocol] tunnel for performing RTP (Real-time Transport Protocol) communication dynamically with another SIP gateway apparatus .
前記第1及び第2のSIPゲートウェイ装置各々が、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する処理を実行することを特徴とするSIP通信制御方法。 A SIP communication control method used in a SIP communication system in which first and second SIP (Session Initiation Protocol) gateway devices are respectively connected to a SIP server,
Each of the first and second SIP gateway devices uses IPsec [Real-time Transport Protocol (RTP) communication dynamically between the first SIP gateway device and the second SIP gateway device. An SIP (Internet Protocol) security protocol] SIP communication control method characterized by executing a process of setting a tunnel.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006055655A JP4679393B2 (en) | 2006-03-02 | 2006-03-02 | SIP communication system, SIP gateway apparatus, and SIP communication control method used therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006055655A JP4679393B2 (en) | 2006-03-02 | 2006-03-02 | SIP communication system, SIP gateway apparatus, and SIP communication control method used therefor |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007235638A true JP2007235638A (en) | 2007-09-13 |
JP4679393B2 JP4679393B2 (en) | 2011-04-27 |
Family
ID=38555752
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006055655A Active JP4679393B2 (en) | 2006-03-02 | 2006-03-02 | SIP communication system, SIP gateway apparatus, and SIP communication control method used therefor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4679393B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012085003A (en) * | 2010-10-07 | 2012-04-26 | Icom Inc | Sip apparatus |
JP2013518513A (en) * | 2010-01-30 | 2013-05-20 | エライザ コーポレイション | System for quickly establishing a human / machine communication link by using a pre-distributed static network address map in a SIP network |
JP2014507908A (en) * | 2011-02-22 | 2014-03-27 | トシボックス・オイ | Method and device for implementing remote control of a building |
JP2014522590A (en) * | 2011-05-24 | 2014-09-04 | トシボックス・オイ | Device configuration for remote control of buildings |
JP2015226114A (en) * | 2014-05-26 | 2015-12-14 | 日本電信電話株式会社 | Communication system |
US9838108B2 (en) | 2015-06-18 | 2017-12-05 | International Business Machines Corporation | IP based real-time communications over a mobile network |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006012610A2 (en) * | 2004-07-23 | 2006-02-02 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
-
2006
- 2006-03-02 JP JP2006055655A patent/JP4679393B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006012610A2 (en) * | 2004-07-23 | 2006-02-02 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013518513A (en) * | 2010-01-30 | 2013-05-20 | エライザ コーポレイション | System for quickly establishing a human / machine communication link by using a pre-distributed static network address map in a SIP network |
JP2012085003A (en) * | 2010-10-07 | 2012-04-26 | Icom Inc | Sip apparatus |
JP2014507908A (en) * | 2011-02-22 | 2014-03-27 | トシボックス・オイ | Method and device for implementing remote control of a building |
US8831020B2 (en) | 2011-02-22 | 2014-09-09 | Tosibox Oy | Method and device arrangement for implementing remote control of properties |
JP2014522590A (en) * | 2011-05-24 | 2014-09-04 | トシボックス・オイ | Device configuration for remote control of buildings |
JP2015226114A (en) * | 2014-05-26 | 2015-12-14 | 日本電信電話株式会社 | Communication system |
US9838108B2 (en) | 2015-06-18 | 2017-12-05 | International Business Machines Corporation | IP based real-time communications over a mobile network |
Also Published As
Publication number | Publication date |
---|---|
JP4679393B2 (en) | 2011-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11108570B2 (en) | Method and apparatus for multimedia communication, and storage medium | |
US8725885B1 (en) | Securely establishing ice relay connections | |
US10506082B2 (en) | High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client | |
JP4708376B2 (en) | Method and system for securing access to a private network | |
US8811397B2 (en) | System and method for data communication between a user terminal and a gateway via a network node | |
JP5969689B2 (en) | Redundancy for real-time communication | |
KR100758733B1 (en) | System and method for managing a proxy request over a secure network using inherited security attributes | |
US20070094723A1 (en) | Method for dynamically tunneling over an unreliable protocol or a reliable protocol, based on network conditions | |
JP4679393B2 (en) | SIP communication system, SIP gateway apparatus, and SIP communication control method used therefor | |
US8605730B2 (en) | System and method for multimedia communication across disparate networks | |
US20110145426A1 (en) | Networking method of communication apparatus, communication apparatus and storage medium | |
KR20070026331A (en) | System, apparatus and method for establishing a secured communications link to form a virtual private network at a network protocol layer other than that at which packets are filtered | |
CA2746341A1 (en) | Secure remote access public communication environment | |
US20120113977A1 (en) | Vpn device and vpn networking method | |
JP2012138901A (en) | Data transmission system and method using relay server | |
JP2006270894A (en) | Gateway unit, terminal device, communications system and program | |
JP5303403B2 (en) | Terminal device, communication method, and program | |
JP2010283762A (en) | Communication route setting device, communication route setting method, program, and storage medium | |
JP2010283761A (en) | Vpn device, vpn networking method, program, and storage medium | |
JP2011239277A (en) | Vpn apparatus, vpn networking method, program, and storage medium | |
JP5025449B2 (en) | Relay communication system | |
JP6426118B2 (en) | Relay apparatus, relay method and relay program | |
US20240073288A1 (en) | Security device, method, and non-transitory computer-readable media | |
JP2010252261A (en) | Vpn device, vpn networking method and storage medium | |
JP4060764B2 (en) | Communication device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080918 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101018 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101026 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101220 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110118 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110201 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4679393 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |