JP2007511971A - Ipアドレス結合に基づいてマルチメディアトラフィックをフィルタリングする方法及びシステム - Google Patents

Ipアドレス結合に基づいてマルチメディアトラフィックをフィルタリングする方法及びシステム Download PDF

Info

Publication number
JP2007511971A
JP2007511971A JP2006540662A JP2006540662A JP2007511971A JP 2007511971 A JP2007511971 A JP 2007511971A JP 2006540662 A JP2006540662 A JP 2006540662A JP 2006540662 A JP2006540662 A JP 2006540662A JP 2007511971 A JP2007511971 A JP 2007511971A
Authority
JP
Japan
Prior art keywords
terminal
node
communication
anchor node
filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006540662A
Other languages
English (en)
Inventor
フランク ル
ステファノ ファッチン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of JP2007511971A publication Critical patent/JP2007511971A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2582NAT traversal through control of the NAT server, e.g. using universal plug and play [UPnP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】適切な機密保護レベルを確保するために、ダイナミックにピンホールが生成されるシナリオにおいて、ファイアウォール(TW)を通るIP通信をフィルタする方法及び接続関係にあるノード(CN)を提供する。
【解決手段】トランスレータゲートウェイ(TrGW)は、格納されているIPマッピングテーブル、及びCPS(または、SIPプロキシ)とTrGWとの間のインタフェースに従って、IPヘッダー内のIPアドレスをスイッチさせる。このインタフェースは、セッション開始時に、CPSがTrGWにIPアドレス間の結合データを供給するように要求することを可能にし、TrGWが結合データをCPSに供給することを可能にし、そしてセッション解放時に、CPSが結合を解放することを可能にする。ファイアウォールは、TrGWのアドレスのプールに属するIPアドレスを有する入パケットを受入れる。
【選択図】図2

Description

本発明はダイナミックな流れのフィルタリングに関し、より特定的には、フィルタリングノード、フィルタリングに関連して使用されるアンカーノード、このようなアンカーノードを構成する方法、及びデータを伝送するための対応方法に関する。
近年、通信ネットワークは大規模に拡張され、多くのユーザによって日常的に使用されている。これらの通信ネットワークの中で、いわゆるパケット交換通信ネットワークが益々注目されている。パケット交換ネットワークは、パケットのユニットでデータを送受信する。パケットは、例えばパケットのアドレス情報(出所/宛先)のような制御情報を担持するヘッダーと、音声等のような実際のデータを担持するペイロード区分とからなっている。
このようなパケット交換通信のために、さまざまなプロトコルが存在している。しかしながら、本発明の目的から、IPv4及び/またはIPv6のようなプロトコルを例として説明することにする(これらは、公知のインターネットプロトコルIPのバージョンである)。しかしながら、本発明に関連して他のパケット交換プロトコルも使用することが可能である。また、出所/宛先がアドレスによって識別されるならば、非パケット交換プロトコルも本発明に関連して使用することができる。
通常、通信ネットワークは、複数のオペレータが互いに協調する通信ネットワークシステムの一部を形成している。また、個々のネットワークは、ネットワークオペレータによって操作される複数のいわゆるネットワークのドメインからなることができるが、ドメインは、例えばそれぞれのサードパーティ(ネットワークオペレータとは異なる)によって制御されるか、異なるプロトコルで操作されるか、または異なるアドレス空間定義を有する等である。従って、本発明の目的から、通信ネットワークに関して異なるネットワークまたは異なるドメインを区別することはしないが、通信ネットワークが上述したネットワーク構成の全ての考え得る代替をカバーすることを意図している。むしろ、通信ネットワークを、通信ネットワークシステムと考えることができる。
これらの通信ネットワークまたはネットワークシステムに関連して、機密保護の問題が益々重要になってきている。
通常、通信は2つの端末の間に確立される/進められる。通信発信端末は第1の端末またはユーザ機器UEと呼ばれ、通信宛先端末は接続関係にあるノードCNまたは第2の端末と呼ばれる。勿論、双方向通信においては、発信端末に応答する場合には、接続関係にあるノードCNもユーザ機器UEとして動作する。技術的には、端末間に差が存在する必要はないが、それでも端末は技術的観点から異なることができる。しかしながら、端末が中間通信ネットワークによって互いに通信するようになっている限り、如何なる差も問題ではない。
通信が2つの端末の間で行われるか、またはそれらの間に確立されている場合には、通信は端末の出所及び宛先アドレスによって識別される。また、通信はリアルタイムトラフィック及び非リアルタイムトラフィックのような端末間で交換される内容または型の異なるトラフィックを含むことができるので、そのトラフィックは関連するポートに関連付けられる。従って、ポートまたはポート番号は、その通信において使用されるアドレス情報のリファインメントを表す。
しかしながら、使用されないアドレス、またはポート番号でさえもが、実際にそのような通信を望まないユーザの端末への詐欺的な、または不正な通信を確立する攻撃者になる可能性を秘めている。
従って、通信ネットワークにおける機密保護問題が益々重要になっている。いわゆるファイアウォールFWは、通信ネットワークにおける機密保護を保証するために重要な役割を果たしている。即ち、ファイアウォールは、無許可のトラフィックをフィルタし、このようなトラフィックを受信することを許可されていない端末にこのようなトラフィックが到達することを防ぐ通信ネットワーク内のフィルタリングノードと考えることができる。
本発明は、このような機密保護問題と、フィルタリングノードまたはファイアウォールとに関する。より特定的には、本発明は、ファイアウォール内にピンホールをダイナミックに構成することと、通信におけるリアルタイムサービスの支援とに関する。本発明において使用する“ピンホール”という表現は、特定のトラフィックを特定の端末に到達させる一時的に有効な許可のことであり、この許可はファイアウォールによって保証または拒絶される。即ち、開いたピンホールは保証された許可を表し、一方閉じたピンホールは拒絶された許可を表す。
通信ネットワークの多くのフレームワークにおいては、ファイアウォール内のピンホールをダイナミックに開いたり、閉じたりする必要がある。例えば、SIP(セッション開始プロトコル)によって確立される通信は、メディアストリーム(即ち、リアルタイムサービスの場合にUDP/RTP(ユーザデータグラムプロトコル、リアルタイムプロトコル)、インスタントメッセージングの場合にTCP(伝送制御プロトコル))をファイアウォールを通過させるために、及び通信ノード間(発信端末と、接続関係にあるノード端末との間)でデータパケットを交換するために、ピンホールをダイナミックに生成する必要がある。考え得る攻撃を回避するために、通信の終了時にこれらのピンホールは除去すべき(即ち、閉じるべき)である。
次に、図1を参照してアーキテクチャを、より詳述すれば、IPv6ドメインとIPv4ドメインとの網間接続のための3GPP(第3世代パートナーシッププロジェクト)ネットワークに導入され、採用されているネットワークエンティティ並びにインタフェースの概要を説明する。これは、以下に説明する本発明が新規のエンティティを導入することなく、既存通信ネットワークアーキテクチャを、従って、採用されたフレームワークを革新的な方法で再使用することを示している。
図1に示すアーキテクチャは、IPv6ドメインとIPv4ドメインとの網間接続のために3GPPに近年採用されたものである。しかしながら、この説明は単なる例示に過ぎず、本発明はIPv4/IPv6ドメインに限定されるものではなく、単一のドメイン内のネットワークにおける状況をもカバーすることを意図している。また、導入されているエンティティ及びインタフェースの機能についても概要を説明する。
以下の説明は、ファイアウォール横断問題を解消するために、本発明がどのように既存のインフラストラクチャを革新的な手法で再使用するかを示している。
図1から以下のことが導出される。
現在の網間接続アーキテクチャは、トランスレータゲートウェイに頼っている。トランスレータゲートウェイTrGWは、必要に応じてIPヘッダを変換する。より一般的に言えば、このゲートウェイは、伝送すべきパケット内に含まれるアドレス情報を変換または翻訳する。
現在の網間接続アーキテクチャは、IMS(IPマルチメディアサブシステム)アプリケーション層ゲートウェイ(ALG)にも頼っている。IMS ALGの機能は、IPv6 SIPアプリケーションとIPv4 SIPアプリケーションとの間に通信を確立するために、SIP/SDPプロトコル(セッション開始プロトコル/セッション記述プロトコル)スタックのために必要アプリケーション機能を提供することである。
IMS ALGは、CSCFノード(呼出し状態制御機能、S−CSCF(サービングCSCF)、及びI−CSCF(問合せCSCF)が定義されている)から、またはIPv4 SIPネットワークドメインから、入SIPメッセージを受信する(本明細書においては、(プロキシ)P−CSCF、S−CSCF、またはI−CSCFのようなCSCFをSIPサーバと称することもある)。このドメインは外部ドメインであることができるが、通信ネットワークの内部ドメインであることもできる。IMS ALGは、適切なSIP/SDPパラメータを変化させ、IPv6アドレスをIPv4アドレスに、及びその逆に変換する。本発明の場合、プロトコルIPv4/IPv6は単なる例であって、他のプロトコル移行も考え得ることを理解されたい。
IMS ALGは、SIPメッセージボディ、及びIPアドレスを含むヘッダーを変更する。IMS ALGは、セッション開始時には、異なるIPアドレス(IPv6からIPv4へ、及びその逆)間のデータの結合を与えるために、NA(P)T−PT(ネットワークアドレス(及びポート)変換−プロトコル変換)を要求し、セッション解放時には結合を解放する。従って、NA(P)T−PTは、一種のステートフルトランスレータであり、IPv6/IPv4マッピングテーブルを維持する。
TrGWとIMS ALGとの間のIxインタフェースも導入され、採用されている。このインタフェースは、以下のことを可能にする。
IMS ALGが、セッション開始時に、異なるIPアドレス(IPv6からIPv4へ、及びその逆)間の結合データを供給するように要求すること。
TrGWが、結合データをIMS ALGへ供給すること。及び
IMS ALGが、セッション解放時に、結合を解放すること。
更に、図1は、IPv6に基づいて動作するユーザ機器UE(IPv4に基づいて動作している接続関係にあるノードCN(図示してない)と通信する)をも示している。またプロキシCSCF(P−CSCF)も示されているが、これは通信またはセッション開始時にユーザ機器UEから“第1ホップ”シグナリング情報を受信する。I−CSCF及びS−CSCFは、通信管理ノードの例を表すいわゆる呼出し処理サーバCPSと考えることができる。更に、ドメイン名サーバDNS及び家庭加入者サーバHSSが、このアーキテクチャの一部を形成している。上述したエンティティは、主として、シグナリングトラフィックを表す破線で示されているシグナリング及び通信管理内に含まれ、一方ペイロードデータは、図1に“運び手”として実線で示されているように、ユーザ機器UEからIP−CAN(IP接続性アクセスネットワーク)を介し、トランスレータゲートウェイTrGWを通して通信パートナー、即ち接続関係にあるノード(図示してない)へ伝送される。
当業者ならば、一般的なアーキテクチャ及びエンティティ/ノード、並びにそれらの個々の機能に関して精通しているものと考えられるので、さらなる詳細説明は省略する。
ファイアウォールは、フィルタリングルールに基づいて(典型的には、出所及び宛先IPアドレス、プロトコル型、及び/またはポート番号を考慮して)IPパケットをフィルタする。ファイアウォールは、攻撃を回避するために、フィルタリングルールを用いて構成されている。これらのルールは、スタチックルール(例えば、TCPフラッディングまたは特定のプロトコル)、及びダイナミックルール(ピンホール)を含む。幾つかのアプリケーションは、ファイアウォール内にピンホールをダイナミックに構成すること必要とする。例えばSIP通信は、メディアストリームはファイアウォールを通過させるが、攻撃(UDPフラッディング等)は阻止するために、ファイアウォール内にピンホールをダイナミックに生成/除去(即ち、開/閉)する必要がある。より一般的に言えば、UDP(ユーザデータグラムプロトコル)をベースとするアプリケーションは、通信開始/停止の時にピンホールをダイナミックに開/閉する必要がある。このSIPに関しての記述は単なる例であり、例えばWAP(無線アプリケーションプロトコル)等のような他のプロトコルも本発明に使用できることに注目されたい。
従来から、ファイアウォール内のピンホールをダイナミックに制御するための幾つかの解決法が提唱されてきたが、以下にこれらの概要を説明する。
1.フェイクUDPパケットの使用:
このアプローチによれば、ユーザ機器UEはダミーUDPパケットを送り、ファイアウォールFWはこのパケットに基づいてピンホールを開く。しかしながら、ファイアウォールFWにはピンホールを閉じるべき時点を決定する手法は存在していない(UDP通信はTCPが行うようなセッション確立/解除を有していないので)。代替として、ユーザ機器UEは、ファイアウォールFW内にピンホールを生成するためにダミーUDPパケットを送ることができ、これらのダミーUDPパケットを定期的に伝送することによってこれらのパケットの送りを維持する。しかしながら、この方法は2つの主要な問題を惹起する。即ち、(1)ユーザ機器UEはファイアウォールFW内に生成される状態タイマについて何等の知識をも有していないこと、及び(2)このため、多数のバイトが無線リンクを通して送られることになり、資源が浪費されることである。
2.例えばSIPを知っているファイアウォールFWの使用:
SIPは、SIPシグナリングをパーズし、要求に応じてピンホールを開/閉するFWを知る。しかしながら、これは、SIPシグナリングがファイアウォールに可視であることを必要とするが、SIP圧縮を適用することが可能である(例えば、3GPP及び3GPP2 IMSにおいて)にも拘わらず、ファイアウォールFWはそれを圧縮解除することができない。更に、この解決法は、ファイアウォールFWに過大な制御を賦課し、ネットワークオペレータは少なくとも部分的に制御を失うようになる(一般的には、それ自体のプロダクト及び/またはネットワークの制御を維持することが好まれる)。最後に、SIPを保護するためにIPsec(インターネットプロトコル(IP)機密保護)またはTLS(トランスポート層機密保護)暗号化が適用される場合には、この解決法を適用することはできない。
3.ファイアウォールFWとアプリケーションサーバ(例えば、IMS内のSIPサーバ)との間のインタフェースの使用:
これらのインタフェースは提唱されてはいるが(例えば、IETF内のMIDCOM(MIDCOM:IETF(インターネットエンジニアリングタスクフォース)によって定義されているミドルボックス通信))、これらは未だ初期仕様の段階にあり、何時の日か標準化作業を必要とし、これらをプロダクトにおいて利用できるようになるのは遥か先であり、一方、ファイアウォールFWの前に展開する必要があるシステム(例えば、IMS)はこれらのインタフェースを支援するであろう。更に、この解決法によれば、製造者のプロダクト(例えば、SIPサーバ)内の制御は可能になるが、展開が他の会社のプロダクトから完全に独立することはない。
4.FWの構成を遂行するための、端末UEからFWへのシグナリングプロトコル:
TIST(トポロジインセンシティブサービストランスバーサル)プロトコル、CASPプロトコル(クロスアプリケーションシグナリングプロトコル)等は、ネットワーク内のファイアウォールに必要なピンホールを開閉する端末からのシグナリングプロトコルを示唆している。しかしながら、これらの方法はそれぞれが未だに素案に過ぎず、これらの解決法が標準化されるまでには極めて長い時間を必要とするであろう。
従って、本発明の目的は、ダイナミックピンホールに伴う諸問題に対する代替解決法を提供することであり、本解決法は短期展開が可能であり、上述した諸提唱に伴う欠陥を有していない。
本発明によれば、この目的は、例えば以下によって達成される。
通信ネットワーク内にアンカーノードを構成する方法であって、本方法は、第1の端末のための通信セッションの開始を上記通信ネットワークの通信管理ノードを介して要求するステップと、上記通信管理ノードによって要求された時に、アンカーノードにおいて、第1の端末のための結合を第1に確立するステップと、開始要求を上記確立された結合に基づいて上記通信管理ノードから第2の端末へ転送するステップと、上記第2の端末による上記要求に対して上記通信管理ノードへ肯定応答するステップと、上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、第2の端末のための結合を第2に確立するステップとを含む。
上記方法は、好ましいくは以下のさらなる展開を含む。
−上記開始要求ステップは、少なくとも通信セッション内に含まれる端末のアドレスを上記通信管理ノードへ指示するステップを含む。
−上記指示ステップは、上記第1の端末の上記通信セッションのためのポート番号を通報するステップを更に含む。
−上記結合確立ステップは、上記それぞれの端末にエイリアスを関連付けるステップを含む。
−上記結合確立ステップは、それぞれの端末の関連付けられたエイリアスを上記アンカーノードに格納するステップを更に含む。
−上記肯定応答ステップは更に、次のステップを含む。
−上記第2の端末の上記通信セッションのためのポート番号を通報するステップ。
−本方法は更に、セッションの開始を上記第2の端末のための結合を使用して上記第1の端末へ通知するステップを含む。
−本方法は更に、上記第1の端末のための通信セッションの終了を通信ネットワークの通信管理ノードを介して要求するステップと、上記終了要求を上記確立された結合に基づいて上記通信管理ノードから第2の端末へ転送するステップと、上記第2の端末による上記要求に対して上記通信管理ノードへ肯定応答するステップと、上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、第1の端末のための結合を第1に解放するステップと、上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、第2の端末のための結合を第2に解放するステップとを含む。
−上記解放ステップは、それぞれの端末の関連付けられたエイリアスを、上記アンカーノードにおいて削除するステップを含む。
また本発明によれば、この目的は、例えば以下によって達成される。
通信ネットワーク内の第1の端末と第2の端末との間の確立された通信セッションでデータを通信する方法であって、本方法は、伝達すべきデータを第1の端末からアンカーノード(両端末の各結合のテーブルを格納するように構成されている)へ伝送するステップと、伝達すべきデータを、両端末のための構成された結合を使用してアンカーノードから上記ネットワークのフィルタリングノードへ中継するステップと、上記伝達すべきデータを、上記フィルタリングノードにおいて、上記両端末のための結合に基づいてフィルタするステップとを含む。
上記方法は、好ましいくは以下のさらなる展開を含む。
−上記フィルタリングステップは、もし構成された結合間にそのような結合が存在すれば、該結合に基づいて、上記伝達すべきデータを上記フィルタリングノードを通過させて第2の端末へ向かわせるステップを更に含む。
−上記フィルタリングステップは更に、もし構成された結合間にそのような結合が存在しなければ、該結合に基づいて、上記データが上記フィルタリングノードを通過して第2の端末へ伝達されるのを阻止するステップを含む。
−上記中継ステップは、上記構成された結合に基づいてアドレスを変換するステップを含む。
また本発明によれば、この目的は、例えば以下によって達成される。
通信ネットワーク内のアンカーノードであって、上記アンカーノードは、通信セッションを通信管理ノードから要求している第1端末のための結合を確立する結合要求を第1に受信する受信機と、上記受信した結合要求に応答して上記第1の端末のための結合を第1に確立し、上記結合を上記通信管理ノードへ戻すプロセッサとを含み、上記受信機は、第2の端末を通信セッション内に含ませるための結合を確立するための結合要求を通信管理ノードから受信し、上記プロセッサは、上記通信管理ノードから要求を受信した時に上記第2の端末のための結合を第2に確立する。
上記アンカーノードは、好ましくは以下のさらなる展開を含む。
−上記アンカーノード内のプロセッサは、上記結合を確立する時に各端末にエイリアスを関連付ける割当てデバイスを含む。
−上記アンカーノードは、各端末に関連付けられたエイリアスを格納するメモリを含む。
また本発明によれば、この目的は、例えば以下によって達成される。
通信ネットワーク内のアンカーノードであって、上記アンカーノードは、第1の端末から第2端末へ伝達すべきデータを受信する受信機と、各端末のための構成された結合のテーブルを格納するメモリと、上記伝達すべきデータを、両端末のための構成された結合を使用してネットワークのフィルタリングノードへ中継するプロセッサとを含む。
上記アンカーノードは、好ましくは以下のさらなる展開を含む。
−上記アンカーノード内のプロセッサは、上記構成された結合に基づいてアドレス変換を遂行するアドレストランスレータを含む。
また本発明によれば、この目的は、例えば以下によって達成される。
通信ネットワーク内のフィルタリングノードであって、上記フィルタリングノードは、第1の端末から第2の端末へ伝達すべきデータを両端末のための結合を維持しているアンカーノードから受信する受信機と、上記両端末のための結合を分析するプロセッサと、上記分析の結果に依存して上記データをフィルタするフィルタとを含む。
上記アンカーノードは、好ましくは以下のさらなる展開を含む。
−上記フィルタリングノードは、もし構成された結合間にそのような結合が存在すれば、該結合に基づいて、上記伝達すべきデータを上記第2の端末へ向かわせる。
−上記フィルタは、もしアンカーノードにおいて構成された結合間にそのような結合が存在しなければ、該結合に基づいて、上記データが第2の端末へ伝達されるのを阻止する。
以上の説明から明白なように、本発明は、適切な機密保護レベル(例えば、SIP通信におけるUDPストリーム)を確保するために、ダイナミックにピンホールを生成することが典型的に必要なシナリオにおいて、ファイアウォールを通るIP通信を安全にフィルタする方法を提供する。本発明は、ファイアウォールがパケットのフィルタリングを遂行する前に、全ての通信を通過させるようになっている通信のための安全且つ公認のアンカーを生成するアイデアに基づく。
本発明の実現により、少なくとも以下の長所が得られる。
1.本発明は、少なくとも特定のFW構成インタフェース(ある端末からファイアウォールへの)を必要とせず、またFW内にALGを必要としない。
2.本発明は、SIP確立された通信を安全に支援する(ユーザは、公知の“TCP SYNフラッド”、“ティアドロップ”等のような共通IP脅威に対して保護される)。
3.本発明は、標準化しなければならないことはなく、従ってその展開は標準化される解決法よりも高速である。
4.本発明は、この解決法を採用するに当たって、現CPS(S−CSCF/I−CSCF)インプリメンテーションに、またはSPIプロキシサーバインプリメンテーションに実質的な変更を必要としない。
5.本発明は、現インフラストラクチャ(端末、IMS(IPマルチメディアサブシステム)等)に何らの変更/アップグレードをも必要としない。
6.本発明は、如何なる外部パーティにも、または標準化フォーラムにも依存しないさらなる長所を有しており、従って、単一の製造者によって完全に展開することができる。
本発明の結果として、全てのデータトラフィックが、例えばトランスレータゲートウェイTrGWのようなアンカーノードを通過するようになるが、何れにしても全てのデータはファイアウォールを通過しなければならないので、それを問題にすべきではない。(それどころか、TrGWはファイアウォールに物理的に密に接近して、またはファイアウォール内に、またはその逆に位置するように構成することができる。)
以上に概要を説明したように、本発明は、適切な機密保護レベル(例えば、SIP通信におけるUDPストリーム)を確保するために、ダイナミックにピンホールを生成することが必要なシナリオにおいて、ファイアウォールを通るIPをベースとする通信のような通信をフィルタする方法を提供する。本発明は、ファイアウォールがパケットフィルタリングを遂行する前に、全ての通信を通過させるようになっている通信のための安全且つ公認のアンカーを生成するアイデアに基づく。本発明は、新しいエンティティを導入することなく、既存のフレームワークを再使用する。本発明は、格納されているIPマッピングテーブル、及びCPS(または、SIPプロキシ)とTrGWとの間のインタフェースに従ってIPヘッダー内のIPアドレスをスイッチすることを機能とするTrGWに基づいている。
このインタフェースは、セッション開始時に、CPSがTrGWにIPアドレス間の結合データを供給するように要求すること、TrGWが結合データをCPSに供給すること、及びセッション解放時に、CPSが結合を解放することを可能にする。FWはステートフルなものであるべきであり、IPアドレスはTrGWのアドレスのプールに属するような入パケットのみを受入れるべきである。従って、既存の呼出しまたはセッションと一致しない如何なる入パケットもTrGWにおいて排除され(如何なるフラッディングの試みも阻止され)、有効パケットは、そのパケットが奇形メッセージまたは他の攻撃者(例えば、TCP SYNフラッド等)ではないことを検査するFWを通過させられる。
上述した、及びさらなる長所は、以下の添付図面に基づく詳細な説明からより一層明白になるであろう。
本発明を説明する目的から、リアルタイムストリームを伴うSIP呼出しを詳述する。しかしながら、本明細書に記載されている方法は、SIPが使用されるシナリオ(例えば3GPP IMS)に限定されるものではなく、例えばWAPシナリオにも適用することができる。一般的に言えば、本方法は、ダイナミックにピンホールを生成する必要はあるが、ファイアウォール構成インタフェースが存在しない他の作業環境にも適用することができる。
本発明がトランスレータゲートウェイ(TrGW)のようなアンカーノードを使用することが理解されよう。アンカーノードの機能は、格納されたIPマッピングテーブルに従ってIPヘッダ内のIPアドレスのようなアドレスをスイッチすることであり、その機能はネットワークアドレストランスレータNATのそれに類似している。また、本発明がCPS(または、SIPプロキシ)とTrGWとの間にインタフェースを使用することが理解されよう。このインタフェースは、CPS(またはSIPプロキシ)がセッション開始時に、IPアドレス間の結合データを供給することをTrGWに要求すること(詳細に関しては後述する)を可能にし、TrGWが結合データをCPS(またはSIPプロキシ)へ供給することを可能にし、そしてセッション解放時に、CPS(またはSIPプロキシ)が結合を解放することを可能にする。
先ず、図2を参照して、通信ネットワーク内にアンカーノードを構成する方法を説明する。
図2には、アドレスIP1によって識別されている通信発信端末としての端末と、通信管理ノードの例としての呼出し処理サーバと、アンカーノードの例としてのトランスレータゲートウェイTrGWと、アンカーノードが構成された後に通信に使用するためのファイアウォールFW(詳細に関しては後述する)と、通信宛先端末、即ちアドレスIP3によって識別されている接続関係にあるノードCNとが示されている。
端末間の通信においては、端末間に論理的連結(アソシエーション)が存在し、これを呼出しと称することができる。このような呼出し内では、“内容”またはトラフィック型が異なる、即ち異なるサービス品質(QoS)のデータを、リアルタイムトラフィックで、または非リアルタイムトラフィック等で通信することができる。例えば、それぞれの型のデータ/トラフィックは、それ自体が呼出しの一部を形成しているいわゆるセッションで伝達される。セッションは更に、端末のアドレスだけではなく、それに加えてそれぞれの端末のポート番号(そのポート番号を介してトラフィックが案内/処理される)によって識別される。トランスレータゲートウェイは、変換テーブルまたはマッピングテーブルを維持/格納している。マッピングテーブルにおいては、通信開始端末(InitIP)は、対応するIP CorrIP(その端末のエイリアスを表す)に関連付けられている。オプションとして(図示してない)、マッピングテーブルは、端末アドレスだけではなく、付加的にそれぞれの端末のそれぞれのポートも含まない。
次に、アンカーノードTrGWを構成する方法を説明する。本方法は、以下の諸ステップからなる。
第1のステップ1において、UEは、IPアドレスIP1並びにSDP(セッション記述プロトコル)フィールド内にメディアストリームを期待しているポート番号を指定するSIP招待をそのCPSへ送る。この説明の目的から、呼出しIP1及びPort#1を、UEがメディアストリームを期待しているIPアドレス及びポート番号であるものとする。換言すれば、第1の端末UEのための通信セッションを開始するための要求が、上記通信ネットワークの通信管理ノードCPSを介して行われる。また、上記開始要求ステップは、少なくとも端末UEのアドレス、通信セッション内に含まれるCNを上記通信管理ノードCPSに指示するステップを含み、上記指示ステップは更に、上記第1の端末UEの上記通信セッションのためのポート番号Port#1を通報するステップを含む。
第2のステップ2において、CPSは、ある要求をTrGWへ送ってUEのIPアドレス、即ちIP 1を供給する。これは、要求した端末のアドレスにIPアドレスを関連付け、それによって結合を確立する要求を要求する。次いで、TrGWのようなアンカーノードは、上記通信管理ノードCPSから要求された時に、アンカーノード(TrGW)において、第1の端末UEのための第1の結合の確立を遂行する。
これは、TrGWが、別のIPアドレス(エイリアス)IP 2をIP 1に関連付け、この関連付けを格納するためにそのマッピングテーブル内にエントリを作成することを意味する。オプションとして、CPSはユーザ機器UEのポート番号Port#1を供給することができ、またオプションとして、TrGWは別のポート番号Port#2を割当てることができる。この情報もマッピングテーブル内に格納することができ、詳細を後述するように、入データパケットのより高度な細分性フィルタリングのために使用することができる。アンカーノードTrGWから供給される結合に基づいて、CPSはSIP招待のSDPフィールドを変更する。詳述すれば、CPSはIP 1をIP 2に、及びオプションとしてPort#1をPort#2に置換する。
次いでTrGWは、CPSに返答を送り、IP 1に関連付けられた結合アドレスとしてIP 2を供給する。この関連付け応答を図2のステップ3に示す。
次に、ステップ4において、CPSがユーザ機器UEに関連付けられている連結済みIPアドレスIP2を使用してSIP招待を接続関係にあるノードへ送ると、上記開始要求が上記通信管理ノードCPSから第2の端末CNへ転送される。
それに応答して(図2には示されていない)被呼側は、例えば“SIP 200 OK”で呼出管理ノードCPSへ返答する。これが、上記通信管理ノードCPSへの上記第2の端末CNによる上記要求に対する肯定応答になる。
宛先のメディアストリーム能力は、シグナリング経路(上述したシグナリングの流れにおいては“SIP 200 OK”メッセージの経路)に沿って戻される。これらは、実際には、いわゆる“SIP 183セッション進捗暫定応答”で、または別の応答でさえも、戻すことができる。
例えばSIP 200 OKを受信すると、CPSは、アンカーノードTrGWにおけるSDPフィールドに指定されている被呼側の接続関係にあるノードのIPアドレスIP3(及びオプションとして、ポート番号(Port#3))のための結合を要求する。これは、上記通信管理ノードから要求された時の、上記アンカーノードにおける第2の端末CNのための第2の結合の確立を表している。
TrGWは(第2の確立において)、CPSがそのSIP 200 OKメッセージのSDPフィールド内に指定するアドレスIP 4及びオプションとしてポート番号Port#4を供給し、それは最終的には端末UEへ戻される。
これらのステップは、被呼側CNが起呼側UEのIPアドレスとして単一のIPアドレス、即ちIP 2を“見る”ように遂行される。通信中、全てのパケットは、要求されたアドレス変換を遂行するアンカーノードTrGWを通過させられる。上述した被呼端末のアドレスの結合を確立することがなければ、UEはパケットをIP1からCNへ送り、一方SIPシグナリングはIP2を発信アドレスとして指示することになろう。
次に、呼出し管理ノードCPSは、SIPメッセージを端末UEへ転送する。端末UEの観点から、被呼側CNはIP 4におけるメディアストリームを、及びオプションとして、例えばPort#4を期待する。従って、セッション開始の上記第1の端末UEを通知し、その通知内に上記第2の端末のための結合を使用するステップが存在する。
このIPアドレス及びポート番号でメディアストリームを送ると、パケットはTrGWに到達し、TrGWはその流れに関連付けられた結合を識別することになる。
ある結合を確立する上記両ステップは、エイリアスを上記それぞれの端末UE、CNに関連付けるステップを含む。即ち、端末は、IP1の代わりのIP2、IP3の代わりのIP4のように、異なるアドレス(及び、オプションとして、ポート番号)で“知られる”ようになる。
また、結合を確立するステップは更に、それぞれの端末のための関連付けられたエイリアスを、上記アンカーノードにおいて例えばアンカーノードのメモリ内にルックアップテーブルの形状で格納するステップを含む。
(更に、オプションとしての上記肯定応答ステップは更に、上記第2の端末CNの上記通信セッションのためのポート番号Port#3を通報するステップを含む。)
以上のように、呼出し、または通信セッションの開始が要求された時に、アンカーノードにおいて、マッピングテーブルが構成される。
通信セッションの終了に含まれる本発明によるステップが図8に示されている。因みに、本方法は更に、第1の端末のための通信セッションを終了させることを上記通信ネットワークの通信管理ノードCPSを介して要求するステップS81を含む(終了要求は、接続関係にある“第1の端末”として動作するノードによって同じように発することができる)。この終了要求は、確立された結合に基づいて上記通信管理ノードCPSから第2の端末CNへ転送され(S82)、第2の端末CNは、上記要求に対する肯定応答を上記通信管理ノードCPSへ送る(S83)。管理ノードCPSは、その要求をアンカーノードTrGWへ中継する(S84)。
次いで、上記通信管理ノードCPSから要求された時に(S84)第1の端末UEのための第1の結合の解放がアンカーノードTrGWにおいて行われ(S85)、上記通信管理ノードCPSから要求された時に(S84)第2の端末CNのための第2の結合の解放がアンカーノードTrGWにおいて行われる(S86)。これらの解放ステップは、上記アンカーノードにおけるそれぞれの端末のための関連付けられたエイリアスを削除するステップを含む。これは、マッピングテーブル(図2、3、及び4に示す)へのエントリが選択的に消去されることを意味する。
以上に、アンカーノードの構成を説明した。以下に、このようにして構成されたアンカーノードを使用する通信を説明する。
一般的に言えば、本発明によるデータ通信方法は、第1のUE、CNと、通信ネットワーク内の第2のCN、UEとの間に確立された通信セッションにおけるデータに関する。本方法は、第1のUE、CN端末からアンカーノードTrGWへ伝達すべきデータを伝送するステップを含み、アンカーノードはこれらの端末のためのそれぞれの結合のテーブルを格納している。次いで、伝達すべきデータが、端末のための構成された結合を使用してアンカーノードから上記ネットワークのファイアウォールFWのようなフィルタリングノードへ中継される。これに続いて、上記フィルタリングノードにおいて、上記端末のための結合に基づいて上記伝達すべきデータのフィルタリングが行われる。
詳述すれば、フィルタリングステップは更に、もし構成された結合の間にそのような結合が存在すれば、該結合に基づいて、上記伝達すべきデータを上記フィルタリングノードを通過させて第2の第2のCN、UEへ向かわせるステップを含む。また、上記フィルタリングステップは更に、もし構成された結合の間にそのような結合が存在しなければ、該結合に基づいて、上記伝達すべきデータが上記フィルタリングノードを通過して第2のCN、UEへ向かうのをブロックするステップを含む。
図3は、アンカーノードが上述したようにして構成された後の次のステップとして、UEからCNまでと、CNからUEまでとの間のトラフィックが以下のようにして、構成された結合に基づく経路を辿ることを表している。
第1の場合(UEからCNへのダウンストリーム):
後述するように(図3には示されていない)、データは、UEからTrGWへ、次いでTrGWからFWへ、次にFWからCNへの経路を辿る。
第2の場合(CNからUEへのアップストリーム):
後述するように(図3に示されているように)、データは、CNからTrGWへ、次いでTrGWからFWへ、次にFWからUEへの経路を辿る。
以下に、より詳細に説明する。
ユーザ機器UEから発したペイロードデータは、強制的にアンカーノードを通過させられる。ネットワーク内に複数のアンカーノードが存在する場合には、これは1つのアンカーノードを、例えばそれぞれの端末のアドレス及び/または位置に依存して、または他の何等かの基準に依存して(例えば、関連しているトラフィックの型に依存する等)、それぞれの端末に関連付けることによって達成することができる。
アンカーノードTrGWは、以下に説明するように、入パケットのIPヘッダーを、それが出データパケットのヘッダーとは異なるように変更する。
−出所IPアドレスを、IP 1からIP 2に変更する。
−宛先IPアドレスを、IP 4からIP 3に変更する。
−オプションとして、出所ポート番号を、Port#1からPort#2に変更する。
−オプションとして、宛先ポート番号を、Port#4からPort#3に変更する。
そして、入IPパケットの場合、被呼側、即ちCNは、そのアドレスIP 3からユーザ機器UEのエイリアスアドレスIP 2への応答として、IPパケットを送る。
また、これらのIPパケットはアンカーノードTrGWに到達し、TrGWは、以下のようにしてパケットを変更する。
−出所IPアドレスを、IP 3からIP 4に変更する。
−宛先IPアドレスを、IP 2からIP 1に変更する。
−オプションとして、出所ポート番号を、Port#3からPort#4に変更する。
−オプションとして、宛先ポート番号を、Port#2からPort#1に変更する。
何れの場合も、通信に際して、変更されたヘッダーを有するパケットは強制的に、ファイアウォールのようなフィルタリングノードを通過させられる。ネットワーク内に複数のファイアウォールが存在する場合には、これは、例えばアンカーノードのアドレス及び/または位置に依存して、または他の何等かの基準に依存して、ファイアウォールをそれぞれのアンカーノードに関連付けることによって達成することができる。
ファイアウォール自体は、アンカーノードTrGWのIPアドレスプールからの入パケットはファイアウォールを通過させ、他はブロックするように構成されている。従って、フィルタリングノードとしてのファイアウォールは、許可された通信のために存在する結合のアドレスプールを知ることになる。
この知識は、例えば、アンカーノードにおいて結合が確立または削除された時に、新たに確立された、または削除された各結合のアンカーノードからファイアウォールに通報することによって得られる。代替として、パケットを受信する場合、ファイアウォールは、関連アドレスがそのアンカーノードのアドレスプールの一部であるか否かを学習するためにアンカーノードに問合わせることができる。ファイアウォールがそのアンカーノードのアドレスプールの知識を得るためには、他の種々の可能性も考えられる。
このような通信方法は、以下のことを可能にする。
−ファイアウォールに到達した無効データパケットを、ドロップさせること。
−アンカーノードTrGWに到達した無効データを、ドロップさせること。例えば、現セッションに対応しない入IPパケットは、ファイアウォールに転送されることさえない。
−有効ノードからの入パケットを、ユーザ機器UEへ引渡すこと。
−有効ノードからの入パケットを、ファイアウォールによって、共通IP脅威(例えば、TCP SYNフラッド、死のピング等)に対して検査すること。
オプションとして、アンカーノードを構成する時にCPSが接続関係にあるノードのポート番号及びIPアドレスを供給する場合、入IPパケットをフィルタする時にこの情報も使用することができる。
最初にTrGWを、次いでファイアウォールを通過することを許されるパケットは、適合CN(即ち、FWによって保護されているネットワーク内のUEを用いてのSIP呼出しにおけるCN)によって生成され、UEの適合IPアドレスに向けられ、そしてそのUEに許容されているプロトコルの型に対応する、またはその逆のパケットだけである。
本発明を実施するために、アンカーノードTrGWは上述したようにして構成される。またTrGWとCPSとの間のインタフェースも上述したようにして構成される。このインタフェースは、LDAP(軽量ディレクトリアクセスプロトコル)、またはCOPS(共通オープンポリシーサービス)プロトコルに基づくことができる。
CPSの特別機能(TrGWへCPSから送られる要求、SIPメッセージの変更)は、現CPSインプリメンテーションに付加することも、またはSIPプロキシサーバ内に実現することもできる。CPSは、全てのSIPシグナリングをこのSIPプロキシへ送り、SIPプロキシは上述した動作を遂行する。
この変更を図4に示す。この方法の流れは図2に示す流れに類似しているが、図2のCPSに賦課される機能は、この変更においてはCPSとアンカーノードとの間に位置しているSIPプロキシサーバに移されている。CPSは、代替通信管理ノードとして単にSIPプロキシサーバへ向かう通信セッションを開始させるための要求を中継し、またそれぞれの応答/肯定応答をUEへ中継するだけである。従って、詳細な説明は省略する。
以上に説明したように、通信の機密保護は、SIPシグナリング及び通信ノード間で交換されるデータを分析することによって、より詳しく言えば、ファイアウォールのための“ダイナミックなルール”として役立っている指示されたIPアドレス(及び、オプションとしてポート番号)を分析することによって達成することができる。
以上に、本発明をそれに包含される方法に関連して説明した。しかしながら、本発明は相応に適合させたノードにも関している。
以上のアンカーノードの構成方法から、アンカーノードが以下のように構成されていることが理解されよう。
本発明による、及び図5に示すアンカーノードは、通信セッションの開始を要求する第1の端末のための結合を確立するための結合要求を通信管理ノードから第1に受信する受信機と、上記受信した結合要求に応答して上記第1の端末UEのための結合を第1に確立し、上記結合を上記通信管理ノードへ戻すプロセッサとを含み、上記受信機は、第2の端末を通信セッション内に含ませるための結合を確立するための結合要求を通信管理ノードから第2に受信し、上記プロセッサは、上記通信管理ノードから要求された時に第2の端末CNのための結合を第2に確立する。受信機が実際には受信機/送信機であり、送信機部分が、確立された結合に関する情報を通信管理ノードCPS(または、プロキシCSCF)へ戻すことを理解されたい。図5には結合要求を別個に受信するように示されているが、これは単に説明の都合に過ぎず、異なる時点に受信される両要求は、勿論、通信管理ノードCPS(または、プロキシCSCF)へ向かうものをアンカーノードの同一のインタフェースを介して受信できることを理解されたい。
更に、プロセッサは、結合を確立する時に上記それぞれの端末にエイリアスを関連付ける割当てデバイスを更に含み、またアンカーノードは、それぞれの端末のための関連付けられたエイリアスを格納するメモリを含む。
更に、通信方法から、アンカーノードが以下のように構成されていることが理解されよう。因みに、種々の図面にアンカーノードが示されているが、これも単なる例示に過ぎないことを理解されたい。実際には、本発明によるアンカーノードには全ての内部デバイス/手段が常時設けられており、これらはアンカーノードの動作状態に従って、即ちアンカーノードが構成される時に、またはアンカーノードを介して通信する時に選択的に動作させられる。また構成は、アンカーノードの処理デバイスが構成及び通信処理を並列処理することができるように好ましく構成されているので、通信と通信との間に、または通信中に遂行することができる。また、アンカーノードの若干の構成要素(例えば、受信機、メモリ)は二重に設けられているのではなく、構成及び通信の両目的のために使用される。
本発明による、及び図6に示すアンカーノードは、第1の端末UE、CNから第2の端末CN、UEへ伝送すべきデータを受信する受信機と、これらの端末のためのそれぞれの結合のテーブルを格納するメモリと、伝送すべきデータを上記端末のための結合を使用して上記ネットワークのフィルタリングノードFWへ中継するプロセッサとを含む。勿論、受信機は実際には受信機/送信機であり、プロセッサの処理結果に従ってデータを中継するための送信機として動作する。プロセッサは、メモリ、及びその中に格納されている結合と協同し、通信方法に関連して説明したようにデータのヘッダーを変更する。アンカーノードは、アンカーノードが結合情報を有しているデータ/アドレスについてデータのファイアウォールへの中継を選択的に遂行する。即ち、エイリアス(結合)がアンカーノード内に格納されていない端末アドレスに関連付けられたデータがファイアウォールへ転送されるのを阻止することができる。これは、アンカーノードが結合を検査し、フィルタリングノードへの結合に従って有効パケットだけを送ることを、それ故既にファイアウォール機能の一部を構成していることを意味している。それにも拘わらず、この機能はファイアウォール自体の機能であり得る。
また、通信方法に関して、フィルタリングノードが以下のように構成されていることが理解されよう。
本発明による、及び図7に示すフィルタリングノードは、第1の端末UE、CNから第2の端末CN、UEへ伝送すべきデータをこれらの端末のための結合を維持しているアンカーノードから受信する受信機と、上記端末のための結合を分析するプロセッサと、分析の結果に依存して上記データをフィルタリングするフィルタとを含む。
詳述すれば、上記フィルタは、もしアンカーノードにおける構成された結合の間にそのような結合が存在すれば、該結合に基づいて、上記伝送すべきデータを第2の端末CN、UEへ通過させ、もしアンカーノードにおける構成された結合の間にそのような結合が存在しなければ、該結合に基づいて、上記データが第2の端末CN、UEへ伝送されるのをブロックする。ブロックされたデータは引渡されることはなく、削除または破棄される。このように、フィルタリングノードは、アンカーノードからフィルタリングノードに到着する、従って、有効であると“考えられる”(例えば、アンカーノードを通過してきたことによる)パケットが、その他の点でも無効ではないことを検査する。
アンカーノード並びにフィルタリングノードのブロック回路図には、何等かの特定の実施の詳細が示されていないことに注目されたい。ノードは、デジタル信号プロセッサDSPまたはASIC(特定用途向け集積回路)のようなハードウェアで、またはソフトウェアで実現することができる。ノードは、遂行すべき特定の方法/ステップに関して説明したような機能を遂行する限り、如何なる実施の形態も可能である。
上述したように、本発明は適切な機密保護のレベルを確保するためにダイナミックなピンホールを生成する必要があるシナリオにおいて、ファイアウォールを通るIP通信をフィルタする方法及び対応するノードを提供する。本発明は、ファイアウォールがパケットのフィルタリングを遂行する前に、全ての通信を通過させる安全な、且つ公認されたアンカーの作成に基づく。本発明は、新しいエンティティを導入することなく、既存フレームワークを再使用する。本発明は、格納されているマッピングテーブル及びCPS(または、SIPプロキシ)とトランスレータゲートウェイTrGWとの間のインタフェースに従ってヘッダー内のアドレスをスイッチするTrGWに頼っている。このインタフェースは、セッションの開始時にCPSがIPアドレス間の結合データを供給するようにTrGWに要求することを可能にし、TrGWが結合データをCPSに供給することを可能にし、そしてセッション解放時にCPSが結合を解放することを可能にする。FWはステートフルのものであり、外部インタフェース上において、FWはIPアドレスがTrGWのアドレスのプールに属している入パケットだけを受入れる。従って、既存呼出しに対応しない如何なる入パケットもTrGWにおいてドロップされ、有効パケットは、そのパケットが奇形メッセージまたは他の攻撃ではないことを検証するFWを通過させられる。
以上に、本発明を単なる例示を目的とする選択された特定の実施の形態に関して説明したが、上述した説明及び添付図面は単に本発明を説明するためにのみ示したものであることを理解されたい。方法及びノードの好ましい実施の形態は、特許請求の範囲内で変化させることが可能である。
IPv6ネットワークとIPv4ネットワークとを網間接続するために3GPPに採用されている公知のアーキテクチャを説明する図である。 アンカーノードの構成に関して本明細書において提唱する本発明を説明する図である。 本明細書において提唱されている本発明をデータの伝送に適用する場合のIPパケット経路指定を説明する図である。 アンカーノードの構成に関して本発明の実施の特定の代替方法を説明する図である。 本発明によるアンカーノードの構成に関してアンカーノードを説明する図である。 本発明によるデータの伝送に関してアンカーノードを説明する図である。 本発明によるデータの伝送に関してフィルタリングノードを説明する図である。 通信セッションの終了に関してシグナリングを説明する図である。

Claims (24)

  1. 通信ネットワーク内にアンカーノードを構成する方法であって、
    第1の端末のための通信セッションの開始を、上記通信ネットワークの通信管理ノードを介して第1に要求するステップと、
    上記通信管理ノードによって要求された時に、アンカーノードにおいて、上記第1の端末のための結合を第1に確立するステップと、
    上記第1開始要求を、上記確立された結合に基づいて上記通信管理ノードから第2の端末へ転送するステップと、
    上記第2の端末による上記第1の開始要求に対して、上記通信管理ノードへ肯定応答するステップと、
    上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、上記第2の端末のための結合を第2に確立するステップと、
    を含むことを特徴とする方法。
  2. 上記開始要求ステップは、
    少なくとも上記通信セッション内に含まれる端末のアドレスを、上記通信管理ノードへ指示するステップ、
    を含むことを特徴とする請求項1に記載の方法。
  3. 上記指示ステップは更に、
    上記第1の端末の上記通信セッションのためのポート番号を通報するステップ、
    を含むことを特徴とする請求項2に記載の方法。
  4. 上記結合確立ステップは、
    上記それぞれの端末にエイリアスを関連付けるステップ、
    を含むことを特徴とする請求項1に記載の方法。
  5. 上記結合確立ステップは更に、
    上記それぞれの端末の関連付けられたエイリアスを、上記アンカーノードに格納するステップ、
    を含むことを特徴とする請求項4に記載の方法。
  6. 上記肯定応答ステップは更に、
    上記第2の端末の上記通信セッションのためのポート番号を通報するステップ、
    を含むことを特徴とする請求項1に記載の方法。
  7. 上記セッションの開始を、上記第2の端末のための結合を使用して上記第1の端末へ通知するステップを更に含むことを特徴とする請求項1に記載の方法。
  8. 上記第1の端末のための通信セッションの終了を、通信ネットワークの通信管理ノードを介して第2に要求するステップと、
    上記第2の終了要求を、上記確立された結合に基づいて上記通信管理ノードから上記第2の端末へ転送するステップと、
    上記第2の端末による上記第2の終了要求に対して、上記通信管理ノードへ肯定応答するステップと、
    上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、上記第1の端末のための結合を第1に解放するステップと、
    上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、上記第2の端末のための結合を第2に解放するステップと、
    を更に含むことを特徴とする請求項1に記載の方法。
  9. 上記解放ステップは、
    上記それぞれの端末の関連付けられたエイリアスを、上記アンカーノードにおいて削除するステップ、
    を含むことを特徴とする請求項8に記載の方法。
  10. 通信ネットワーク内の第1の端末と第2の端末との間に確立された通信セッションでデータを通信する方法であって、
    伝達すべきデータを、上記第1の端末から、上記端末のためのそれぞれの結合のテーブルを格納するように構成されているアンカーノードへ伝送するステップと、
    上記伝達すべきデータを、上記端末のための構成された結合を使用して上記アンカーノードから上記ネットワークのフィルタリングノードへ中継するステップと、
    上記伝達すべきデータを、上記フィルタリングノードにおいて、上記端末のための結合に基づいてフィルタするステップと、
    を含むことを特徴とする方法。
  11. 上記フィルタリングステップは更に、
    もし構成された結合間にそのような結合が存在すれば、上記結合に基づいて、上記伝達すべきデータを上記フィルタリングノードを通過させて第2の端末へ向かわせるステップ、を含むことを特徴とする請求項10に記載の方法。
  12. 上記フィルタリングステップは更に、
    もし構成された結合間にそのような結合が存在しなければ、上記結合に基づいて、上記データが上記フィルタリングノードを通過して第2の端末へ伝達されるのを阻止するステップ、
    を含むことを特徴とする請求項10に記載の方法。
  13. 通信ネットワーク内のアンカーノードであって、
    通信セッションを通信管理ノードから要求している第1端末のための結合を確立する第1の結合要求を受信する受信機と、
    上記受信した結合要求に応答して上記第1の端末のための第1の結合を確立し、上記結合を上記通信管理ノードへ戻すプロセッサと、
    を含み、
    上記受信機は、第2の端末を上記通信セッション内に含ませるための第2の結合を確立するための第2の結合要求を上記通信管理ノードから受信し、
    上記プロセッサは、上記通信管理ノードから要求を受信した時に、上記第2の端末のための第2の結合を確立する、
    ことを特徴とするアンカーノード。
  14. 上記プロセッサは、上記結合を確立する時に、上記それぞれの端末にエイリアスを関連付ける割当てデバイスを含む、
    ことを特徴とする請求項13に記載のアンカーノード。
  15. 上記それぞれの端末に関連付けられたエイリアスを格納するメモリを更に含むことを特徴とする請求項14に記載のアンカーノード。
  16. 通信ネットワーク内のアンカーノードであって、
    第1の端末から第2端末へ伝達すべきデータを受信する受信機と、
    上記それぞれの端末のための構成された結合のテーブルを格納するメモリと、
    上記伝達すべきデータを、上記端末のための構成された結合を使用して上記ネットワークのフィルタリングノードへ中継するプロセッサと、
    を含むことを特徴とするアンカーノード。
  17. 通信ネットワーク内のフィルタリングノードであって、
    第1の端末から第2の端末へ伝達すべきデータを、上記端末のための結合を維持しているアンカーノードから受信する受信機と、
    上記端末のための結合を分析するプロセッサと、
    上記分析の結果に依存して、上記データをフィルタするフィルタと、
    を含むことを特徴とするフィルタリングノード。
  18. 上記フィルタは、もし上記アンカーノードにおける構成された結合間にそのような結合が存在すれば、上記結合に基づいて、上記伝達すべきデータを上記第2の端末へ通過させる、
    ことを特徴とする請求項17に記載のフィルタリングノード。
  19. 上記フィルタは、もし上記アンカーノードにおける構成された結合間にそのような結合が存在しなければ、上記結合に基づいて上記データが第2の端末へ伝達されるのを阻止する、
    ことを特徴とする請求項17に記載のフィルタリングノード。
  20. 上記中継ステップは、上記構成された結合に基づいてアドレス変換するステップを含むことを特徴とする請求項10に記載の方法。
  21. 上記プロセッサは、上記構成された結合に基づいてアドレス変換を遂行するアドレストランスレータを含むことを特徴とする請求項16に記載のアンカーノード。
  22. 通信ネットワーク内にアンカーノードを構成するためのシステムであって、
    第1の端末のための通信セッションを開始するために、上記通信ネットワークの通信管理ノードを介して第1に要求する第1の要求手段と、
    上記通信管理ノードよって要求された時に、アンカーノードにおいて、上記第1の端末のための結合を第1に確立する第1の確立手段と、
    上記第1開始要求を、上記確立された結合に基づいて上記通信管理ノードから第2の端末へ転送する転送手段と、
    上記第2の端末による上記第1開始要求に対して、上記通信管理ノードへ肯定応答する肯定応答手段と、
    上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、上記第2の端末のための結合を第2に確立する第2の確立手段と、
    を含むことを特徴とするシステム。
  23. 上記第1の端末のための通信セッションを終了させるために、上記通信ネットワークの通信管理ノードを介して第2に要求する第2の要求手段と、
    上記第2の終了要求を、上記確立された結合に基づいて上記通信管理ノードから上記第2の端末へ転送する転送手段と、
    上記第2の端末による上記第2の終了要求に対して、上記通信管理ノードへ肯定応答する肯定応答手段と、
    上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、上記第1の端末のための結合を第1に解放する第1の開放手段と、
    上記通信管理ノードによって要求された時に、上記アンカーノードにおいて、上記第2の端末のための結合を第2に解放する第2の開放手段と、
    を更に含むことを特徴とする請求項22に記載のシステム。
  24. 通信ネットワーク内の第1の端末と第2の端末との間の確立された通信セッションでデータを通信するシステムであって、
    伝達すべきデータを、上記第1の端末から、上記端末のためのそれぞれの結合のテーブルを格納するように構成されているアンカーノードへ伝送する伝送手段と、
    上記伝達すべきデータを、上記端末のための構成された結合を使用して上記アンカーノードから上記ネットワークのフィルタリングノードへ中継する中継手段と、
    上記伝達すべきデータを、上記フィルタリングノードにおいて、上記端末のための結合に基づいてフィルタするフィルタリング手段と、
    を含むことを特徴とするシステム。
JP2006540662A 2003-11-25 2004-11-24 Ipアドレス結合に基づいてマルチメディアトラフィックをフィルタリングする方法及びシステム Pending JP2007511971A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US52464003P 2003-11-25 2003-11-25
US10/822,874 US7372840B2 (en) 2003-11-25 2004-04-13 Filtering of dynamic flows
PCT/IB2004/003850 WO2005053275A1 (en) 2003-11-25 2004-11-24 Method and system for filtering multimedia traffic based on ip address bindings

Publications (1)

Publication Number Publication Date
JP2007511971A true JP2007511971A (ja) 2007-05-10

Family

ID=34595158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006540662A Pending JP2007511971A (ja) 2003-11-25 2004-11-24 Ipアドレス結合に基づいてマルチメディアトラフィックをフィルタリングする方法及びシステム

Country Status (7)

Country Link
US (1) US7372840B2 (ja)
EP (1) EP1687958B1 (ja)
JP (1) JP2007511971A (ja)
KR (1) KR100804291B1 (ja)
ES (1) ES2596528T3 (ja)
PL (1) PL1687958T3 (ja)
WO (1) WO2005053275A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010533422A (ja) * 2007-07-09 2010-10-21 アルカテル−ルーセント ユーエスエー インコーポレーテッド 移動端末のウェブ・ベースの無線プロビジョニングおよび無線活性化
JP2012516081A (ja) * 2009-01-22 2012-07-12 アルカテル−ルーセント Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム
WO2018173099A1 (ja) * 2017-03-21 2018-09-27 三菱電機株式会社 ゲートウェイ及び中継方法

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6674758B2 (en) * 2002-06-06 2004-01-06 Clinton Watson Mechanism for implementing voice over IP telephony behind network firewalls
US7668145B2 (en) * 2003-12-22 2010-02-23 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
US20050240758A1 (en) * 2004-03-31 2005-10-27 Lord Christopher J Controlling devices on an internal network from an external network
US7924771B2 (en) * 2004-04-13 2011-04-12 Qualcomm, Incorporated Multimedia communication using co-located care of address for bearer traffic
US7877599B2 (en) * 2004-05-28 2011-01-25 Nokia Inc. System, method and computer program product for updating the states of a firewall
US20060036747A1 (en) * 2004-07-28 2006-02-16 Galvin James P Jr System and method for resource handling of SIP messaging
US9112831B2 (en) 2004-07-28 2015-08-18 International Business Machines Corporation Scalable infrastructure for handling light weight message protocols
US7594259B1 (en) * 2004-09-15 2009-09-22 Nortel Networks Limited Method and system for enabling firewall traversal
US7447220B2 (en) * 2004-10-07 2008-11-04 Santera Systems, Llc Methods and systems for packet classification with improved memory utilization in a media gateway
US7809128B2 (en) * 2004-10-07 2010-10-05 Genband Us Llc Methods and systems for per-session traffic rate policing in a media gateway
US7725708B2 (en) * 2004-10-07 2010-05-25 Genband Inc. Methods and systems for automatic denial of service protection in an IP device
US7764605B2 (en) * 2004-10-07 2010-07-27 Genband Inc. Methods and systems for measurement-based call admission control in a media gateway
US20060087975A1 (en) * 2004-10-07 2006-04-27 Santera Systems, Incorporated Methods and systems for providing redundancy protection in a Y-cable-based signal transmitter arrangement
US7864665B2 (en) * 2004-10-07 2011-01-04 Tekelec Methods and systems for detecting IP route failure and for dynamically re-routing VoIP sessions in response to failure
DE102004053928A1 (de) * 2004-11-05 2006-05-18 Tenovis Gmbh & Co. Kg Verfahren und Systemsteuerung für den Aufbau einer IP-Telefonieverbindung
US8194640B2 (en) 2004-12-31 2012-06-05 Genband Us Llc Voice over IP (VoIP) network infrastructure components and method
EP1715625A1 (en) * 2005-04-22 2006-10-25 Alcatel Apparatuses for controlling service delivery using access-dependent information in a system comprising a core network subsystem
US20070291734A1 (en) * 2005-05-27 2007-12-20 Medhavi Bhatia Methods and Apparatus for Multistage Routing of Packets Using Call Templates
KR100744007B1 (ko) * 2005-08-05 2007-07-30 주식회사 유프레스토 이동 통신망에서의 서비스 시나리오 검증 시스템 및 그방법
US20090064304A1 (en) * 2005-10-07 2009-03-05 Codeux, Inc. Port access using user datagram protocol packets
US20070091870A1 (en) * 2005-10-20 2007-04-26 Samsung Electronics Co., Ltd. Method and system for releasing a TIF session for a SIP agent when a call process interface handler is interrupted
CN1870631B (zh) * 2005-11-11 2010-04-14 华为技术有限公司 媒体网关的门控方法
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
US9060047B2 (en) 2005-12-21 2015-06-16 Genband Us Llc Media stream management
US7861003B2 (en) 2006-01-31 2010-12-28 Genband Us Llc Adaptive feedback for session over internet protocol
US7865612B2 (en) * 2006-01-31 2011-01-04 Genband Us Llc Method and apparatus for partitioning resources within a session-over-internet-protocol (SoIP) session controller
US7860990B2 (en) * 2006-01-31 2010-12-28 Genband Us Llc Session data records and related alarming within a session over internet protocol (SOIP) network
KR100656481B1 (ko) * 2006-02-03 2006-12-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
US8259706B2 (en) * 2006-02-28 2012-09-04 Genband Us Llc Multistage prioritization of packets within a session over internet protocol (SOIP) network
US8204043B2 (en) * 2006-02-28 2012-06-19 Genband Us Llc Quality of service prioritization of internet protocol packets using session-aware components
US8509218B2 (en) * 2006-02-28 2013-08-13 Genband Us Llc Prioritization within a session over internet protocol (SOIP) network
US8571012B2 (en) * 2006-05-12 2013-10-29 Oracle International Corporation Customized sip routing to cross firewalls
US8582555B2 (en) * 2006-05-12 2013-11-12 Oracle International Corporation SIP routing customization
FR2903263A1 (fr) * 2006-06-30 2008-01-04 France Telecom Procede d'adressage des elements de service et de transmission d'appel entre noeuds heterogenes
US8239930B2 (en) * 2006-10-25 2012-08-07 Nokia Corporation Method for controlling access to a network in a communication system
CN101569218B (zh) * 2006-12-21 2012-07-18 Lm爱立信电话有限公司 在多媒体网络中处理服务请求的方法和设备
US8631069B2 (en) * 2007-03-01 2014-01-14 Oracle International Corporation Web and multi-media conference
CN102695294B (zh) 2007-05-28 2015-01-21 华为技术有限公司 网络锚点的地址删除方法及通信系统
KR100933366B1 (ko) * 2007-09-13 2009-12-22 한국전자통신연구원 블랙박스 기능을 가지는 라우터 장치와 그 장치를 포함하는네트워크 시스템
US7912062B2 (en) 2007-09-28 2011-03-22 Genband Us Llc Methods and apparatus for managing addresses related to virtual partitions of a session exchange device
KR100953453B1 (ko) * 2007-11-27 2010-04-20 한국전자통신연구원 이동단말에서의 상향링크 ip 패킷 필터링 제어방법
US8369313B2 (en) 2008-12-17 2013-02-05 At&T Intellectual Property I, L.P. IMS and method of multiple S-CSCF operation in support of single PUID
CN102948124B (zh) * 2010-06-18 2017-05-24 瑞典爱立信有限公司 处置因特网协议多媒体子系统网络中公共身份的方法和设备
US8719926B2 (en) * 2011-02-11 2014-05-06 Verizon Patent And Licensing Inc. Denial of service detection and prevention using dialog level filtering
CN103929418A (zh) * 2014-03-28 2014-07-16 汉柏科技有限公司 基于网络安全设备的无线上网方法及系统
US20170048167A1 (en) * 2014-04-30 2017-02-16 Hewlett Packard Enterprise Development Lp Flood disable on network switch
GB201810768D0 (en) * 2018-06-29 2018-08-15 Nordic Semiconductor Asa Method of communication between a device and a network

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6789112B1 (en) * 2000-05-08 2004-09-07 Citrix Systems, Inc. Method and apparatus for administering a server having a subsystem in communication with an event channel
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
EP1250023A1 (en) * 2001-04-11 2002-10-16 Alcatel Provision of subscriber QoS guarantees to roaming subscribers
US20030009561A1 (en) 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7072332B2 (en) * 2001-09-27 2006-07-04 Samsung Electronics Co., Ltd. Soft switch using distributed firewalls for load sharing voice-over-IP traffic in an IP network
US7146418B2 (en) * 2001-11-16 2006-12-05 Microsoft Corporation Method and system for providing transparent mobility support
US20030217096A1 (en) * 2001-12-14 2003-11-20 Mckelvie Samuel J. Agent based application using data synchronization
US7340771B2 (en) 2003-06-13 2008-03-04 Nokia Corporation System and method for dynamically creating at least one pinhole in a firewall

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010533422A (ja) * 2007-07-09 2010-10-21 アルカテル−ルーセント ユーエスエー インコーポレーテッド 移動端末のウェブ・ベースの無線プロビジョニングおよび無線活性化
US8516136B2 (en) 2007-07-09 2013-08-20 Alcatel Lucent Web-based over-the-air provisioning and activation of mobile terminals
JP2012516081A (ja) * 2009-01-22 2012-07-12 アルカテル−ルーセント Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム
KR101520142B1 (ko) 2009-01-22 2015-05-13 알까뗄 루슨트 Ims 네트워크 단말기에 방화벽을 제공하기 위한 방법, ims 네트워크 내의 방화벽 시스템, ims 네트워크 내의 네트워크 요소, ims 네트워크로 접근하기 위한 단말기 및 컴퓨터 프로그램 제품
WO2018173099A1 (ja) * 2017-03-21 2018-09-27 三菱電機株式会社 ゲートウェイ及び中継方法
JPWO2018173099A1 (ja) * 2017-03-21 2019-11-07 三菱電機株式会社 ゲートウェイ及び中継方法

Also Published As

Publication number Publication date
PL1687958T3 (pl) 2017-01-31
KR20060090291A (ko) 2006-08-10
US20050111382A1 (en) 2005-05-26
EP1687958B1 (en) 2016-08-10
EP1687958A1 (en) 2006-08-09
US7372840B2 (en) 2008-05-13
KR100804291B1 (ko) 2008-02-18
ES2596528T3 (es) 2017-01-10
WO2005053275A1 (en) 2005-06-09

Similar Documents

Publication Publication Date Title
KR100804291B1 (ko) Ip 어드레스 바인딩들에 기초한 멀티미디어 트래픽의필터링 방법 및 시스템
US8166533B2 (en) Method for providing media communication across firewalls
US9357373B2 (en) Method and system for IP multimedia bearer path optimization through a succession of border gateways
CA2751605C (en) Scalable nat traversal
US9137200B2 (en) Ice based NAT traversal
EP3082318B1 (en) Communication method and device for preventing media stream circuity (tromboning)
US8646065B2 (en) Method for routing bi-directional connections in a telecommunication network by means of a signalling protocol via an interposed firewall with address transformation device and also a telecommunication network and security and tunnel device for this
KR101454502B1 (ko) 종단 대 종단 미디어 경로를 식별하는 방법 및 시스템
KR101368172B1 (ko) 호출자 통신 클라이언트와 피호출자 통신 클라이언트 간의 통신 세션을 셋업하는 방법과 이 통신 세션의 셋업을 가능하게 하는 통신 네트워크와 컴퓨터 프로그램
KR20070094735A (ko) 방화벽 통과를 위한 장치 및 그 방법
US20050286538A1 (en) Method and call server for establishing a bi-directional peer-to-peer communication link
WO2009024434A1 (en) Methods, apparatuses, system, and related computer program product for user equipment access
WO2008084306A2 (en) Interworking of policy and charging control and network address translator
JP2010200068A (ja) ホームゲートウェイ及びセッション制御サーバによって異なる経路の複数のセッションを確立する方法及びシステム
JP2010200069A (ja) ホームゲートウェイによって異なる経路の複数のセッションを確立する方法及びシステム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080728

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081028

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081120

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090330