JP2008517556A - ファイアウォール越えのための装置および方法 - Google Patents

ファイアウォール越えのための装置および方法 Download PDF

Info

Publication number
JP2008517556A
JP2008517556A JP2007537937A JP2007537937A JP2008517556A JP 2008517556 A JP2008517556 A JP 2008517556A JP 2007537937 A JP2007537937 A JP 2007537937A JP 2007537937 A JP2007537937 A JP 2007537937A JP 2008517556 A JP2008517556 A JP 2008517556A
Authority
JP
Japan
Prior art keywords
firewall
message
registration
timeout period
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007537937A
Other languages
English (en)
Inventor
ザ サード、ロバート ダニエル メイハー
ヴィシャンジ ラナ、アスウィンクマー
アンドレ リー、ミルトン
ロバート ディアマン、ジェームス
Original Assignee
オーディオコーズ テキサス,インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オーディオコーズ テキサス,インコーポレーテッド filed Critical オーディオコーズ テキサス,インコーポレーテッド
Publication of JP2008517556A publication Critical patent/JP2008517556A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【解決手段】ネットワークアドレス変換/ファイアウォール装置を越えることによって、当該ファイアウォール装置によって隔てられた第1の装置と第2の装置との間の登録を維持するための装置および方法を提供する。1実施例において、前記方法は前記第1の装置から前記第2の装置へ送信される登録メッセージをインターセプトする工程を含む。前記第2の装置が定める第1のタイムアウト期間に基づき、前記第1の装置の登録更新時の決定が行われる。前記第1の装置が登録更新時である場合、前記登録メッセージは前記第2の装置に転送される。前記第1のタイムアウト期間を含む応答メッセージはインターセプトされ、前記応答メッセージが前記第1の装置に転送される前に、前記第1のタイムアウト期間は、前記ファイアウォール装置の結合寿命に基づく第2のタイムアウト期間によって置き換えられる。
【選択図】 図1

Description

本特許出願は、2003年9月8日付けで出願された米国特許出願第10/657,813号に関するものであり、この明細書は本出願と同一の譲渡人に譲渡されており、また当該明細書の全体は参照により本明細書に組み込まれる。
企業および家庭用ネットワークで使用されるファイアウォール、ネットワークアドレス変換(network address translation:NAT)装置、およびネットワーク・アドレス・ポート変換(network address port translation:NAPT)装置は、一般に外部送信元からの要求をインターセプトするデータ・セキュリティ・モデルをベースとするものである。より具体的には、前記装置によって保護されたネットワークから受信するデータ要求(例えば前記装置のプライベート側からの要求)は通常対応されるが、前記保護されたネットワーク外の要求(例えば前記装置のパブリック側からの要求)はインターセプトされる。有効なデータ要求は前記保護されたネットワーク内から開始され、且つ容易に入手可能なアドレス情報を含むものであると仮定されるので、これは問題ではない。
従って、これらの装置は特定のタイプの要求およびメッセージに対する障壁を生成するものである。前記要求とメッセージには、一部のピア・ツー・ピア通信およびメディアアプリケーション(例えばボイスオーバ・インターネット・プロトコル(VoIP))で使用されるような、アドレス情報が隠され、外部で開始される要求およびメッセージが含まれる。ファイアウォールおよびNAT/NAPT装置は、VoIP接続およびそれに類似したサービスをインターセプトするだけでなく、サービスプロバイダがエンド・ツー・エンドでVoIPを割り当てる能力を拒否し、さらに当該装置のプライベート側にある設備(例えばIP電話)を監視、アップグレード、または再設定することを防止する場合がある。
従って、そのような問題に対処するための装置および方法が必要である。
本発明は、通信に関するものであり、より具体的には、ファイアウォール越えのための装置と方法に関する。しかし、以下の開示は多くの異なる実施形態または実施例を提供するものと理解される。本発明の開示内容を簡略的に説明するために、構成要素および配置の具体的な実施例を以下に記載する。当然、これらはあくまでも例であり、これらによって限定する意図はない。加えて、本発明の開示は、様々な実施例において参照番号および/または文字を繰り返す場合がある。この繰り返しは説明を簡単且つ明瞭にすることを目的とするものであり、この繰り返しによって本発明の異なる実施形態および/または設定の関係が定められることはない。
図1を参照すると、1実施形態において、方法100を用いてファイアウォール装置を越えることにより、ファイアウォールによって隔てられた2装置間(例えばIP電話とレジストラ)の登録を維持することができる。便宜上、本明細書で用いられる「ファイアウォール装置」という用語は、ファイアウォール機能を提供する装置と、ネットワークアドレス変換(NAT)および/またはネットワーク・アドレス・ポート変換(NAPT)の機能を有する装置とを含むものとして用いられる。NATおよびNAPT機能のより詳細な説明は、上述したように本明細書に組み込まれた米国特許出願第10/657,813号で提供されている。後に具体的な実施例を挙げて詳細に説明するが、前記方法100は、前記ファイアウォール装置内または別の装置内に含まれるハードウェアおよび/またはソフトウェアか、または複数の装置に渡って設置されたハードウェアおよび/またはソフトウェアによって実施可能なものである。
以下の説明はセッション・イニシエーション・プロトコル(SIP)に基づくメッセージングについてのものであるが、前記様々な実施形態はMEGACO、H.323、MGCPといったその他のプロトコルにも適用可能なものと理解される。さらに、音声、ビデオ、ファックスを含む様々なメディアタイプを用いることが可能である。
本実施例において、IP電話は予めレジストラに登録されており、その登録メッセージ(例えば1若しくはそれ以上のパケットまたはデータグラム)は既存の登録を更新または維持するためのものであり、初期登録を手得するためのものではないと理解される。前記レジストラによって定義されたタイムアウト期間(例えば3600秒)内に登録メッセージが送信されないと、前記IP電話の登録は期限切れとなる。しかし、ファイアウォール装置は前記レジストラとは異なるタイムアウト期間(例えば30秒)を用いることができ、更に前記IP電話の登録要求頻度が前記レジストラのタイムアウト期間に基づく場合には、前記ファイアウォール装置によって前記IP電話とレジストラとの間の接続が遮断される場合がある。これにより、ファイアウォール装置を超えた外部通話を介した開放された接続がなくなるため、前記外部通話はIP電話に到達することができなくなる。ファイアウォール装置のタイムアウト期間に基づき登録メッセージを送信することは可能であるが、登録トラフィックの増加がレジストラに悪い影響を与える可能性がある。従って、方法100を用いることにより、前記ファイアウォール装置が接続をタイムアウトしないように防ぎ、登録要求メッセージにより前記レジストラが制限容量を超えることなく前記レジストラに前記IP電話の登録を維持することができる。
工程102において、前記IP電話から前記レジストラに送信された登録メッセージは前記レジストラによって受信される前にインターセプトされる。この登録メッセージは、1装置がまだ有効であることを別の装置に通知することによって使用される任意のメッセージでよい。前記「インターセプト(intercept)」という用語は、メッセージが前記レジストラに到達する前に阻止されることを単に表すものであって、この場合さらに前記IP電話とレジストラの間には任意の数の装置(このインターセプトを行う装置を含め)が配置されていてもよいことが理解される。従って、前記インターセプトを行う装置は、前記メッセージを前記IP電話とレジストラの間のパスの一部として合法に受信することができる。
工程104において、前記レジストラが確立したタイムアウト期間に基づき、前記登録を更新すべき時かどうかの決定が行われる。前記登録を更新すべき時であれば、前記方法100は工程106へ進み、前記登録メッセージを前記レジストラに転送する。(前記登録メッセージが、前記レジストラで前記IP電話の初期登録を確立するためのものであったならば、前記方法は工程106へ進むが、更新すべきときかどうかについての決定を行うことなく前記メッセージを転送することができる。)後に説明するように、前記IP電話から前記レジストラに前記メッセージが伝わる際に、その送信元アドレスおよび/または送信先アドレスに対して様々な修正を加えることも可能である。
工程108および110において、前記登録要求に対する前記レジストラの応答メッセージはインターセプトされ、前記応答メッセージの失効時間(例えば期限失効フィールド)は、前記レジストラによって定められるタイムアウト期間から、代替タイムアウト期間(例えば前記ファイアウォール装置のタイムアウト期間より短いタイムアウト期間)へと修正される。工程112において、この修正されたメッセージは前記IP電話へと転送される。
工程104に戻り、前記登録を更新すべき時ではない場合、前記方法は工程114へ進み、ここで、前記代替タイムアウト期間を含む代替応答メッセージが前記IP電話へ送信される。この場合、前記登録メッセージは前記レジストラへは転送されないが、前記IP電話は、前記代替応答メッセージが前記レジストラからの有効なメッセージであると想定する。従って、前記方法100を用いることにより、1若しくはそれ以上のピア・ツー・ピア間またはマルチメディアのトラフィックチャネルが開かれていると同時に、ネットワークによって処理されるべきメッセージ数を最少にすることが可能である。さらに、図2に関して以下に説明するように、前記方法100は顧客のネットワーク設備を変更することなく実施することが可能である。
図2を参照すると、ネットワークアーキテクチャ200は、図1の方法100が実施可能である環境の1実施形態を図示している。ファイアウォール装置202によって、家庭内ネットワークのようなプライベートネットワークは公共ネットワーク204から隔てられる。例えば、前記ファイアウォール装置202は、ファイアウォール、NAT、および/またはNAPT機能を有するケーブルまたはデジタル・サブスクライバ・ライン(digital subscriber line:DSL)ルータのようなエッジ装置であっても良い。前記家庭内ネットワークの所有者はそのようなルータを前記プライベートネットワークと公共ネットワークとの間に設置することにより、たとえばIP電話206、アナログ電話アダプタ(TA)208を介してファイアウォール装置202に連結されるアナログ電話207、およびコンピュータ209など様々な装置に前記公共ネットワーク204へのアクセスを提供することができる。図示するように、前記公共ネットワーク204を、レジストラ210およびIP電話212を含む様々な構成要素に連結することができる。
前記ファイアウォール装置202は、一般的に前記プライベートネットワークから発信される要求/応答トラフィックに対して設定されるが、VoIPのようなピア・ツー・ピアのトラフィックに対しては問題がある。例えば、前記ファイアウォール装置202がNAPT機能を含む場合、1つの問題として、前記ファイアウォール装置のパブリック側の電話からの音声通話(例えばIP電話212からのVoIP通話)が前記ファイアウォール装置のプライベート側のIP電話206に着信する場合に生じるNAPTテーブルエントリに関わる問題がある。通常、テーブルエントリは、前記ファイアウォール装置202が前記プライベートネットワークを発信元とする要求を受信した後に、その送信元アドレスを追跡するために生成され、そのエントリがあると、前記要求に対する応答はそのユーザーに返信される。VoIPでは、前記ファイアウォール装置202が前記ネットワークのパブリック側からのメッセージを受信してその要求パケットが行くべき送信先アドレスを前記テーブルと比較するときにエントリがなく、前記メッセージはドロップされる。内部への着信メディアトラフィックにもこれと同じ問題がある。
プライベートアドレスがセッション・イニシエーション・プロトコル(session initiation protocol:SIP)メッセージングで使用されるような信号伝達パケットに存在する場合、もう1つの問題が生じる。前記プライベートネットワーク内で生成される信号伝達パケットはプライベートIPアドレスを含む。プライベートIPネットワークのプライベートIPアドレスに向かっているルーティングパケットに対しては、前記パブリックIPネットワーク上のルータは関与していない。さらに、リアルタイムトランスポートプロトコル(real−time transport protpcol:RTP)メディアストリームのアドレスは、前記信号伝達パケットのペイロード部分に隠されている。前記ファイアウォール装置202はこれらのアドレスを見ることができず、外部電話212からのトラフィックを許可することができない。よって、その音声通話を運搬するために必要なRTPストリームは前記ファイアウォール装置202を通過することができない。
これらの問題の解決策として、前記プライベートネットワークからの送信トラフィックのプロキシとしての役割を果たすセッションコントローラ214が前記ファイアウォール装置202のパブリック側に配置される。前記セッションコントローラ214の1例について、既に本願明細書に組み込まれている米国特許出願第10/657,813号明細書でより詳細に説明している。ここでは単一の個別の装置として示されているが、前記セッションコントローラ214が提供する機能を複数の構成要素間に分布させることが可能であり、一部の実施形態においては前記セッションコントローラ全体を取り外すことも可能なものと理解される。下記に説明するように、前記セッションコントローラ214は、前記公共ネットワーク204を発信元とするメッセージを前記民間ネットワーク内の装置に到達させるために、開かれたチャネルを1つ維持する。例えば、前記IP電話212が開始する通話は、そのようにしなければ前記ファイアウォール装置202によってインターセプトされる可能性があり、このセッションコントローラ214が提供する機能によって、前記ファイアウォール装置を通過して前記IP電話206に到達することができる。
前記IP電話206および/またはTA208に関わる通話については説明の目的で以下の実施例に全般的に用いるが、本発明の開示はその他のタイプの通信およびメディアセッションに同等に適用されるものと理解され、更に前記IP電話206およびTA208に加えて若しくはその代わりに、コンピュータ209を含むものでも良いことが理解される。さらに、前記IP電話206およびTA208は、前記ファイアウォール装置202、セッションコントローラ214、およびレジストラ210とのインタラクションという点で、同様の機能性を含むものであっても良く、前記IP電話およびTAのいずれか1つを用いる実施例は、他方にも同等に適用され得る。
さらに図3を参照すると、シーケンス図300は、図2のネットワークアーキテクチャ200の様々な構成要素間の通話の流れの1実施形態を示す。ここで示した前記シーケンスの前に特定のアクションが生じる場合があるものと理解される。例えば、前記IP電話206は初期化の間にブートシーケンスを実行する場合があり、前記ブートシーケンスは前記IP電話にそのIPアドレスを割り当て、外部へ送信されるプロキシとして使用される前記セッションコントローラ214のIPアドレスなどその他の情報を前記IP電話に通知する場合がある。
前記通話の流れに関わる構成要素としては、ファイアウォール装置202、IP電話206、レジストラ210、およびセッションコントローラ214が含まれる。例示することを目的として、前記シーケンス図300はSIPを用いて図示されており、前記SIPはセッション記述手段としてセッション記述プロトコル(session description protocol:SDP)を使い、トランスポート手段としてRTPを使う。従って、信号伝達チャネルおよびメディア・トランスポート・チャネルの両方が用いられ、前記IP電話206およびセッションコントローラ214の各々は、前記信号伝達チャネルに割り当てられる1ポートおよび前記メディアチャネルに割り当てられる別の1ポートを有する。例示することを目的として、前記IP電話206は、10.1.1.10という内部(例えばそのプライベートネットワーク内)IPアドレス、メディアに割り当てられたポート8766、および信号伝達用に割り当てられたポート5060を有する。前記ファイアウォール装置202は、10.1.1.1という内部IPアドレス(および関連ポート)と65.119.52.2という外部(例えば前記プライベートネットワーク外の)IPアドレス、外部ポート9101(これはこの実施例でメディアチャネルに割り当てられる)、およびもう1つの外部ポート9500(信号伝達チャネルとして)を有する。前記ポート9500は前記ファイアウォール装置202によって前記信号伝達チャネルに割り当てられる任意のポートであると理解される。前記セッションコントローラ214は(前記ファイアウォール装置202にアクセス可能な)IPアドレス216.206.79.2を含み、これにはメディア用内部ポート10000および信号伝達用内部ポート5060、およびメディア用外部ポート10002および信号伝達用外部ポート5000がある。
工程302において、前記IP電話206は前記ファイアウォール装置202を介して登録メッセージ(例えばSIPREGISTERメッセージ)を前記セッションコントローラ214に送信する。工程302のIP電話206によって送信された前記メッセージは前記IP電話の内部アドレスを送信元アドレスとして含み、前記セッションコントローラ214のアドレスを送信先アドレスとして含む(Dst:216.206.79.2:5060;Src:10.1.1.10:5060)。工程304で前記ファイアウォール装置202は前記IP電話206からメッセージを受信し、パブリックIPアドレスおよびポートを割り当て、その送信元情報を修正して前記割り当てられたパブリックIPアドレスとポートの情報に変えてから、前記メッセージを前記セッションコントローラ214に送信する(Dst:216.206.79.2:5060;Src:65.119.52.2:9500)。この登録メッセージを受信した前記セッションコントローラ206は、前記パブリックIPアドレス、および前記ファイアウォール装置202によって割り当てられたポートを学習し、それ自身を送信元アドレスとして用いて前記メッセージを工程306で前記レジストラ210に転送する。認証(およびその他の任意の活動)の後、工程308で前記レジストラ210は前記セッションコントローラ214に承認メッセージ(例えば200 OKメッセージ)で応答する。工程310および312で、前記セッションコントローラ214およびファイアウォール装置202を通過するにつれて送信先アドレスが修正された前記承認メッセージは、前記ファイアウォール装置202を介して前記IP電話206に戻される。より具体的には、前記送信先アドレスは、前記セッションコントローラ214によって前記セッションコントローラの外部信号伝達アドレス/ポート(Dst:216.206.79.2:5000)から前記ファイアウォールの外部信号伝達アドレス/ポート(Dst:65.119.52.2:9500)に修正され、前記ファイアウォール装置202によって前記ファイアウォール装置の外部信号伝達アドレス/ポート(Dst:65.119.52.2:9500)から前記IP電話の信号伝達アドレス/ポート(Dst:.10.1.1.10:5060)に再び修正される。前記セッションコントローラ214は前記送信元アドレスも前記レジストラ210のものから前記セッションコントローラのものに修正する(Src:レジストラアドレス/ポートからSrc:216.206.79.2:5060)。
シーケンス図300のこの時点で、前記レジストラ210は確立された信号伝達チャネルを用いてIP電話206(前記セッションコントローラのアドレスおよびポートに現在登録されている電話)を認識しており、外部電話(例えばIP電話212)からの通話を前記IP電話206に導くことができる。この実施例では、前記ファイアウォール装置202および前記レジストラ210の双方とも、一定期間経過後にタイムアウトするように設定される。例を挙げて説明すると、前記ファイアウォール装置202が30秒以内に活動を検出しない場合、接続は閉ざされる。しかし、前記レジストラは、登録メッセージまたは別の更新メッセージを3600秒以内に受信しない場合に前記IP電話の登録をタイムアウトするように設定される。従って、前記ファイアウォール装置202は前記レジストラ210より先にタイムアウトするが、前記ファイアウォール装置の30秒というタイムアウト期間の使用は、特に複数の装置が前記30秒間隔に基づいて繰り返し登録する場合、前記レジストラにトラフィックを殺到させる可能性がある。
図3では詳細に示されていないが、前記セッションコントローラ214は、図1の方法100のような方法を実行することによって、前記IP電話206に送信されるメッセージに使用されるタイムアウト期間を以下のように制御することができる。これを、例えば図3の工程302〜312の一部または全てを繰り返す間に行うことができる。
図1を再び参照し、工程102において、前記IP電話206から前記レジストラに送信される登録メッセージは前記レジストラによって受信される前にインターセプトされる。工程104において、前記レジストラが確立した前記3600秒というタイムアウト期間に基づいて前記登録更新時の決定が行われる。例えば、前記セッションコントローラ214は、前記レジストラ210によって設定された3600秒という期間が失効する前に前記IP電話206から別の登録メッセージを受信するかどうかを算出する。前記登録の更新時であれば、前記方法100は工程106へと続き、前記登録メッセージを前記レジストラへ転送する。工程108および110において、前記登録要求に対する前記レジストラの応答メッセージを前記セッションコントローラ214が受信し、前記応答メッセージ(例えば期限失効フィールド)に含まれる失効時間は、前記レジストラによって定められた3600秒というタイムアウト期間から、前記ファイアウォールが定めた30秒というタイムアウト期間に基づくタイムアウト期間に修正される。例えば、前記修正済みタイムアウト期間を前記ファイアウォール装置のタイムアウト期間と同一にすること、または前記ファイアウォール装置のタイムアウト期間より短くすることが可能である。工程112において、前記修正済みメッセージを前記ファイアウォール装置202を介して前記IP電話に転送する。前記IP電話206は、前記IP電話がその登録を30秒毎に更新することを前記レジストラ210が希望していると仮定し、それに応じて登録要求を送信する。
工程104に戻り、前記登録の更新時でない場合、前記方法は(図3の工程306および308をスキップして)工程114へ進み、ここで、前記30秒の代替タイムアウト期間を含む代替応答メッセージが前記IP電話へ送信される。この場合、前記登録メッセージは前記レジストラへは転送されないが、前記IP電話は、前記代替応答メッセージが前記レジストラからの有効なメッセージであると仮定する。従って、前記セッションコントローラ214は前記IP電話212が使用する前記タイムアウト期間を制御することによって、前記ファイアウォール装置202がその接続をタイムアウトするのを防ぐことができ、且つ、前記レジストラ210が受信する登録メッセージ数を最少にすることもできる。これにより、前記IP電話206と前記レジストラ210の結合は永久に維持される。
再び図3を参照し、工程314で、前記セッションコントローラ214はメディアチャネルの確立を要求する着信通話(例えばINVITE(招待)メッセージ)を、例えば前記IP電話212のような外部送信元から受信する。工程316で、前記セッションコントローラは前記メッセージをファイアウォール装置202に転送し(Dst:65.119.52.2:9500;Src:216.206.79.2:5060)、工程318で前記メッセージは前記信号伝達チャネル用に登録中に確立されたアドレスとポートの組み合わせを通して前記ファイアウォール装置202から前記IP電話206に到達する(Dst:10.1.1.10:5060;Src:216.206.79.2:5060)。工程320、322、324で、200 OKメッセージのような応答メッセージが前記IP電話206から前記IP電話212に返信される。次に、前記ファイアウォール装置202は、前記セッションコントローラ214が学習したメディアチャネルであり前記確立されたセッションを維持するために使用されるメディアチャネルのためにポート(例えばポート9101)を割り当てる。次に、前記IP電話206は、工程326、328、330が示すように前記確立されたメディアチャネルを使い、RTPを介して音声データを送信し、工程332、334、336が示すように音声データを受信する。
図示されていないが、通話終了メッセージ(例えばBYEメッセージ)を受信すると、前記セッションコントローラ214は前記メディアチャネルを閉じることができる。前記ファイアウォール装置202がタイムアウトになると、このピンホールが閉ざされる。次に、前記IP電話が要求メッセージ(例えばINVITE(招待)メッセージ)を送出するか、前記セッションコントローラ214が別の要求メッセージを受信すると、新規のメディアチャネルが確立される。前に確立済みの信号伝達チャネルは上述のように開かれたまま維持されるものと理解される。
この実施例では、前記IP通話は対称RTPを用いて確立される。すなわち、動的に割り当てられたユーザー・データグラム・プロトコル(user datagram protocol:UDP)およびアドレスを使用して発信パケットを送信すること、および着信パケットが前記IP電話を検出するために必要なアドレス情報がこの発信パケットに含まれることを意味する。従って、前記セッションコントローラ214は、まず信号伝達チャネル情報(例えばアドレスおよびポート)を学習し、通話が確立されたときに前記メディアチャネル情報を学習する。前記セッションコントローラ214は、前記パブリックIPアドレス、および前記ファイアウォール装置202が前記IP電話206に割り当てた信号伝達ポートを認識しているため、着信信号メッセージを適正なIPアドレスおよびポートに転送することができる。さらに、前記セッションコントローラ214は、前記パブリックIPアドレス、および前記ファイアウォール装置202が前記IP電話206に割り当てたメディアポートを認識しているため、着信メディアメッセージを適正なIPアドレスおよびポートに転送することができる。前記ファイアウォール装置202は前記信号伝達チャネルを永久に開いたまま維持することができるが、前記セッションコントローラ214は、前記ファイアウォールのアドレスまたは開かれたポートをパブリックにしない(代わりに前記セッションコントローラのアドレス/ポートを前記IP電話212に送信する)ことによって、セキュリティ層を提供する。
次に図4を参照すると、シーケンス図400は、図2のネットワークアーキテクチャ200の様々な構成要素間の通話の流れの別の実施形態を提供するものである。前記シーケンスの前に特定のアクションが生じる場合があるものと理解される。例えば、前記IP電話206は初期化の間にブートシーケンスを実行する場合があり、このブートシーケンスによって前記IP電話にそのIPアドレスを割り当てられ、前記セッションコントローラ214のIPアドレスなどその他の情報が前記IP電話に通知される。この実施例は、非対称RTPと共に使用することができる(例えば異なる送信ポートおよび受信ポートを使用)。
図3が示すように、その構成要素として前記ファイアウォール装置202、IP電話206、レジストラ210、およびセッションコントローラ214が含まれる。前述のように、信号伝達チャネルとメディア・トランスポート・チャネルの両方を使用することができ、前記IP電話206とセッションコントローラ214の各々は、前記信号伝達チャネルに割り当てられた1ポートおよび前記メディアチャネルに割り当てられた別の1ポートを有する。例示を目的として、前記IP電話206は、10.1.1.10という内部(例えばそのプライベートネットワーク内)IPアドレス、メディアに割り当てられたポート8766、および信号伝達用に割り当てられたポート5060を有する。前記ファイアウォール装置202は、10.1.1.1という内部IPアドレス(および関連ポート)と65.119.52.2という外部(例えば前記プライベートネットワーク外の)IPアドレス、外部ポート9101(本実施例においてはメディアチャネルに割り当てられる)、および(信号伝達チャネルとしての)別の外部ポート9500を有する。前記セッションコントローラ214は(前記ファイアウォール装置202にアクセス可能な)IPアドレス216.206.79.2を含み、さらにメディア用内部ポート10000、信号伝達用内部ポート5060、メディア用外部ポート10002、および信号伝達用外部ポート5000を有する。
工程402において、前記IP電話206は前記ファイアウォール装置202を介して登録メッセージ(例えばSIP REGISTER(SIP登録)メッセージ)を前記セッションコントローラ214に送信する。工程402のIP電話206によって送信された前記メッセージは前記IP電話の内部アドレスを送信元アドレスとして含み、前記セッションコントローラ214のアドレスを送信先アドレスとして含む(Dst:216.206.79.2:5060;Src:10.1.1.10:5060)。工程404で、前記ファイアウォール装置202は前記IP電話206からメッセージを受信し、パブリックIPアドレスおよびポートを割り当て、その送信元アドレスを修正して前記割り当てられたパブリックIPアドレスとポートの情報に変えてから、前記メッセージを前記セッションコントローラ214に送信する(Dst:216.206.79.2:5060;Src:65.119.52.2:9500)。この登録メッセージを受信した前記セッションコントローラ206は、前記パブリックIPアドレス、および前記ファイアウォール装置202によって割り当てられたポートを学習し、それ自身を送信元アドレスとして用いて前記メッセージを工程406で前記レジストラ210に転送する。認証(およびその他の任意の活動)の後、工程408で前記レジストラ210は前記セッションコントローラ214に承認メッセージ(例えば200 OKメッセージ)で応答する。工程410および412で、前記承認メッセージは前記ファイアウォール装置202を介して前記IP電話206に返信されるが、前記セッションコントローラ214およびファイアウォール装置202の通過時に送信先アドレスが修正される。より具体的には、前記送信先アドレスは、前記セッションコントローラ214によって前記セッションコントローラの外部信号伝達アドレス/ポート(Dst:216.206.79.2:5000)から前記ファイアウォールの外部信号伝達アドレス/ポート(Dst:65.119.52.2:9500)に修正され、前記ファイアウォール装置202によって前記ファイアウォール装置の外部信号伝達アドレス/ポート(Dst:65.119.52.2:9500)から前記IP電話の信号伝達アドレス/ポート(Dst:10.1.1.10:5060)に再び修正される。また、前記セッションコントローラ214は前記送信元アドレスも前記レジストラ210のアドレスから前記セッションコントローラのアドレスに修正する(Src:レジストラアドレス/ポートからSrc:216.206.79.2:5060)。
シーケンス図400のこの時点において、前記レジストラ210は前記IP電話206(現在登録を有する電話)を認識しており、外部電話(例えば前記IP電話212)からの通話を、前記IP電話206に代わって前記セッションコントローラ214に導くことができる。図3を参照して説明したように、前記ファイアウォール装置202および前記レジストラ210は、一定期間経過後(例えば前者については30秒、後者については3600秒)にタイムアウトするように設定される。従って、図1の方法100のようなプロセスを前述のように用いることによって、前記IP電話206と前記レジストラ210間の結合を維持することができる。
工程414で、前記セッションコントローラ214は前記IP電話212のような外部送信元から着信通話(例えばINVITE(招待)メッセージ)を受信する。工程416で、前記セッションコントローラはこのメッセージをファイアウォール装置202に転送し、このメッセージは工程418で前記IP電話206に着信する。工程420および422で、200 OKメッセージのような応答メッセージが前記IP電話206から前記セッションコントローラ214に返信される。しかし、前記IP電話212に前記200 OKメッセージを転送する代わりに、前記セッションコントローラ214は工程424と426でアンカー要求メッセージを前記IP電話に送信する。既に本願明細書に組み込まれている米国特許出願第10/657,813号明細書に詳細に説明されているように、前記アンカー要求は、前記ファイアウォール装置202のプライベートネットワークサイドから通信チャネルを開くために前記信号伝達チャネルを介して送信されるカプセル化された要求である。このアンカー要求を受信すると、工程428および430で、前記IP電話206は前記要求のカプセル開放を行い、アンカー応答として返信する。この要求は、前記IP電話206と前記セッションコントローラ214の間のメディアチャネルを開くよう、前記ファイアウォール装置202に要求する。
ファイアウォールの観点からは、前記要求は、(前記セッションコントローラ214によって開始された要求であるが)前記ファイアウォール装置202のプライベート側から受信される要求である。従って、前記ファイアウォール装置は、その要求があたかも前記IP電話206によって開始された要求であるかのように、前記メディアチャネルにポートを割り当てる。一部の実施形態では、前記アンカー要求を取り扱うために前記IP電話206は追加的な命令(例えばソフトウェアクライアント)を必要とする。
前記IP電話206と前記セッションコントローラ214の間のアンカーが確立されると、工程432で前記セッションコントローラは前記200 OKメッセージ(工程422で受信したもの)を前記IP電話212に転送する。このアンカーによって、RTPパケットを(工程434、436、438で)非対称に、且つ前記IP電話206が最初のRTPパケットを送信する必要なく、前記IP電話206に送信することが可能になる。前記IP電話206が送信したRTPパケットは工程440でファイアウォール装置202に送信され、工程442でセッションコントローラ214に送信され、工程444でIP電話212に送信される。
別の実施形態では、(図3および4で使用されるREGISTER(登録)メッセージの代わりに)SIP NOTIFY(SIP通知)要求を使用してチャネルを有効に維持することができる。例えば、前記セッションコントローラ214(図2)は前記ファイアウォール装置202を介して前記IP電話206からREGISTER要求を受信することができる。前述したように、前記セッションコントローラ214は、UDP上で確立された前記信号伝達チャネルのために前記ファイアウォール装置の結合を学習する。次に前記セッションコントローラ214は、REGISTER(登録)要求中に学習したアドレス/ポートを介してIP電話206にNOTIFY(通知)要求を送信する。前記NOTIFY(通知)要求は、所定の時間が経過した後(例えば前記ファイアウォール装置202のタイムアウト期間未満の時間)に送信され、前記IP電話206は「200 OK」応答で前記NOTIFY(通知)要求に応答する。前述の方法がREGISTER(登録)メッセージに依存するのに対し、この本方法では、前記ファイアウォール装置202による前記信号伝達チャネルのタイムアウトを防ぐために前記IPD電話206が繰り返しREGISTER(登録)を行う必要がない。代わりに、前記セッションコントローラ214は、各NOTIFY(通知)要求を生成してそれを前記IP電話206へ送信することによって、積極的に前記信号伝達チャネルを有効に維持する役割を果たす。
別の実施形態では、前記ファイアウォール装置202のタイムアウト期間(例えば結合寿命)を、アナログ電話207に接続されたTA208のような装置を用いて以下のように検出することができる。前記TAは前記セッションコントローラ214に登録要求を送信し、前記セッションコントローラ214はその要求を基に前記ファイアウォール装置のアドレス/ポートを学習し、所定の時間(T秒)待機する。この期間の失効後、前記セッションコントローラ214は、前記結合要求への応答を元の登録要求から学習したアドレスに返信するように設定される。前記TAが特定のポート(例えばポート5060)でその応答を受信すると、前記結合寿命はT秒と等しく設定される。応答が受信されない場合、すでにタイムアウトになっているため、再開始して別の登録要求を送信する前にTは減少する(例えばT=T−5)。所定の最少時間(例えばT=10秒)と等しくなるまでTが減少すると、このプロセスは停止される。
さらに別の実施形態において、前記TA208のような装置は、以下のように音声駆動検出(Voice Activation Detection:VAD)および無音抑制を扱うことができ、トラフィックの欠如(例えば会議電話の話を聞いているが発言していないようなとき)による接続の遮断を防ぐことができる。前記TAは、前述のファイアウォール装置202の結合寿命の検出に基づき合成周期パケット(例えばRTPまたはRTCPパケット)をRTP/RTCPチャネルを介して送信する。これにより前記接続は、不要なパケットに前記セッションコントローラ214を通過させることなく有効に維持される。
さらに別の実施形態では、前記ファイアウォール装置202によって隔てられた前記プライベートネットワーク外部のサービスプロバイダまたはその他の外部ユーザーは、モニタリング、再設定、アップグレード、サービスの質の確認、およびそれらに類似する機能を前記プライベートネットワーク内で実行することができる。前記ファイアウォール装置は一般に前記公共ネットワーク204から発信されたパケットを拒否するが、前記IP電話206とセッションコントローラ214の間に確立された既存の通信チャネルによって、前記サービスプロバイダは外部から発信される要求に前記セッションコントローラを活用することができる。
例えば、簡易ネットワーク管理プロトコル(simple network management protocol:SNMP)のような対応するプロトコルを用いて、ステータスおよびアラームの情報を送信することができる。SNMPメッセージをカプセル化してSIPメッセージのボディに入れ、前記IP電話206/TA208と前記セッションコントローラ214の間の既存通話チャネルを用いて、前記IP電話206またはTA208へ送信することができる。ここで、クエリ対象の設備が正しい設備であることを検証するために、エンドポイント識別子(例えばTAシリアル番号および/またはメディアアクセス制御(media access control:MAC)アドレス)を用いる点に注意されたい。
別の実施形態において、本発明の開示はサービスプロバイダのような外部ユーザーに前記プライベートネットワークにおける装置のピング機能を提供することができる。この実施形態では、前記セッションコントローラ214と前記装置206、208、209との間の既存通信チャネルを用いてピング要求を受信および送信することができる。このピング要求を、例えばSIPメッセージにカプセル化して入れることができる。
さらに別の実施形態において、本発明の開示はサービス品質機能(QoS)を提供することができる。例えば、既存の接続における往復遅延を測定するために、確立されたRTCPチャネルを介して以下のようにRTCPパケットを送信することができる。QoSパケットにタイムスタンプを付し、RTCPチャネルを介して送信することが可能である。エンドポイント(例えば前記装置206、208、209のいずれか1つ)はこのパケットを受信して前記セッションコントローラ214へ転送することができ、ここで前記パケットの受信時刻と前記パケットに含まれるタイムスタンプの値との差分に基づき前記遅延が算出される。追加的なQoS機能として、シーケンス番号を用いて行う同期外パケットの検出、およびセッション詳細記録(Session Detail Record:SDR)用の最小、最大、平均到着間時間の記録が含まれる。このようなQoS機能は選択的に接続に適用される。
上述の様々な機能を、所定の閾値若しくは動的に算出される閾値を用いて計測、フィルタ、または調整することができるものと理解される。例えば、SNMPが提供するアラームを用いて、多数のユーザーおよび装置をモニタすると同時に、希望に応じてアラームをフィルタすることができる。さらに、様々なQoSパラメータを閾値と比較し、特定のQoSの損失の発生をパラメータが示した場合にアラームが起動されるようにすることができる。
前述の説明は1若しくはそれ以上の実施形態を示すものであるが、当業者であれば、本発明の意図および範囲から逸脱することなくそれらの実施形態の形および詳細に様々な変更を加えられることを理解するであろう。例えば、上述の方法の様々な工程は、異なる順序、連続的に、さらに組み合わせて、さらに細分化して実行することが可能であり、代替工程と置き換えてもよいし、前記工程全体を削除してもよい。さらに、前記方法において図示された様々な機能または本発明の開示の中で記載された様々な機能を組み合わせて、追加的および/または代替の機能を提供することができる。よって、本明細書の特許請求の範囲は広範に、本発明の開示と一貫したものとして解釈されるべきである。
図1は、ファイアウォール装置を越えるための方法の1実施形態のフロー図である。 図2は、図1の方法を実施可能なネットワークアーキテクチャの1実施形態の図である。 図3は、図2のネットワークアーキテクチャ内で発生可能なデータフローの1実施形態のシーケンス図である。 図4は、図2のネットワークアーキテクチャ内で発生可能なデータフローの別の実施形態のシーケンス図である。

Claims (25)

  1. ファイアウォール装置を越えることにより、当該ファイアウォール装置によって隔てられた第1の装置と第2の装置との間の登録を維持する方法であって、
    前記第1の装置から前記第2の装置への登録メッセージをインターセプトする工程と、
    前記第2の装置が定める第1のタイムアウト期間に基づき前記第1の装置の登録更新時を決定する工程と、
    前記第1の装置が登録更新時である場合、前記第2の装置に前記登録メッセージを転送する工程と、
    前記第2の装置から前記第1の装置への、前記第1のタイムアウト期間を含む応答メッセージをインターセプトする工程と、
    前記応答メッセージを前記第1の装置に転送する前に、当該応答メッセージに含まれる前記第1のタイムアウト期間を前記ファイアウォール装置の結合寿命に基づく第2のタイムアウト期間に置き換える工程と
    を有する方法。
  2. 請求項1記載の方法において、この方法は、さらに、
    前記第1の装置が登録更新時ではない場合は、前記第2の装置へ前記登録メッセージを転送せずに前記第2のタイムアウト期間を含む代替応答を前記第1の装置に送信する工程を有するものである。
  3. 請求項1記載の方法において、この方法は、さらに、
    前記登録メッセージを前記第2の装置に転送する前に、当該登録メッセージの送信元アドレスを修正する工程を有するものである。
  4. 請求項3記載の方法において、この方法は、さらに、
    前記応答メッセージを前記第1の装置に転送する前に、当該応答メッセージの送信先アドレスを修正する工程を有するものである。
  5. 請求項1記載の方法において、この方法は、さらに、
    前記第1の装置と、前記ファイアウォール装置と前記第2の装置との間に位置する第3の装置との間にアンカーを確立する工程を有し、このアンカーは、前記ファイアウォール装置を介して前記第1および第3の装置のための通信チャネルを形成するものである。
  6. 請求項5記載の方法において、前記アンカーを確立する工程は、
    カプセル化された要求メッセージを前記第3の装置から前記第1の装置へ送信する工程と、
    前記第1の装置によって前記要求メッセージのカプセル開放を行う工程と、
    前記カプセル開放された要求メッセージを、前記ファイアウォール装置を介して前記第3の装置へ送信する工程と
    を有するものであり、
    前記ファイアウォール装置は、前記第1の装置からの要求メッセージに基づいてチャネルを開くものである。
  7. 請求項1記載の方法において、この方法は、さらに、
    前記第2のタイムアウト期間を検出する工程を有するものであり、この検出する工程は、
    前記第1の装置に関連付けられた第1のソケットから、前記ファイアウォール装置と前記第2の装置との間に位置する第3の装置に登録要求を送信する工程と、
    所定の時間待機する工程と、
    前記所定の時間の失効後、前記第1の装置に関連付けられた第2のソケットから前記第3の装置に結合要求を送信する工程と、
    前記第1のソケットで応答が受信された場合、前記第2のタイムアウト期間を前記所定の時間に設定する工程と、
    を有するものである。
  8. 請求項7記載の方法において、この方法は、さらに、
    応答が受信されない場合、前記所定の時間を短縮し、前記第1のソケットから前記第3の装置に新規の登録要求を送信する工程を有するものである。
  9. 請求項1記載の方法において、この方法は、さらに、
    前記ファイアウォール装置と前記第2の装置との間に位置する第3の装置から前記第1の装置へピング(ping)要求を送信する工程を有するものである。
  10. 請求項1記載の方法において、この方法は、さらに、
    前記ファイアウォール装置と前記第2の装置との間に位置する第3の装置から前記第1の装置へタイムスタンプ付きパケットを送信することによりパケット遅延を決定する工程と、前記パケット遅延を、前記タイムスタンプと前記第1の装置から返信されたパケットを前記第3の装置で受信する時刻との差分として算出する工程とを有するものである。
  11. 請求項1記載の方法において、この方法は、さらに、
    前記ファイアウォール装置と前記第2の装置との間に位置する第3の装置から前記第1の装置へメッセージを送信することにより、前記第1の装置からステータスおよびアラーム情報を取得する工程を有するものである。
  12. 請求項1記載の方法において、この方法は、さらに、
    前記第1の装置から前記ファイアウォール装置と前記第2の装置との間に位置する第3の装置へ合成パケットを定期的に送信する工程と、
    前記第3の装置によって前記合成パケットをフィルタし、当該パケットが前記第2の装置に到達するのを防ぐ工程とを有し、
    前記合成パケットにより、発信トラフィックの欠如によってアクティブチャネルが終了されるのを防ぐものである。
  13. ファイアウォール越えを提供するのためのシステムであって、
    プライベートネットワーク内にある第1の装置と、
    前記プライベートネットワークおよび公共ネットワークにアクセス可能なファイアウォール装置と、
    前記第1の装置を登録するよう設定された前記公共ネットワーク内の第2の装置と、
    前記ファイアウォール装置と前記第2の装置との間にあり、且つ前記公共ネットワーク内に位置するセッションコントローラとを有し、
    前記セッションコントローラはソフトウェアによって実行可能な複数の命令を有するものであり、前記命令は、
    前記第2の装置から前記第1の装置に対する、前記第1のタイムアウト期間を含む登録応答メッセージをインターセプトするための命令と、
    前記応答メッセージを前記第1の装置に転送する前に、当該応答メッセージに含まれる前記第1のタイムアウト期間を第2のタイムアウト期間に置き換えるための命令とを含むものである
    システム。
  14. 請求項13記載のシステムにおいて、前記セッションコントローラは、さらに、
    前記第1の装置から前記第2の装置への登録メッセージをインターセプトするための命令と、
    前記第2の装置が定める第1のタイムアウト期間に基づき前記第1の装置の登録更新時を決定するための命令と、
    前記第1の装置が登録更新時である場合、前記第2の装置に前記登録メッセージを転送するための命令と
    を有するものである。
  15. 請求項14記載のシステムにおいて、前記セッションコントローラは、さらに、
    前記第1の装置と前記セッションコントローラとの間に確立された信号伝達チャネルに割り当てられた前記ファイアウォール装置の第1のポートを、前記第1の装置から前記第2の装置へ送信される登録メッセージから学習するための命令と、
    前記第1の装置と前記セッションコントローラとの間に確立されたトランスポートチャネルに割り当てられた前記ファイアウォール装置の第2のポートを学習するための命令と
    を有するものである。
  16. 請求項13記載のシステムにおいて、前記第1の装置はIP電話である。
  17. 請求項13記載のシステムにおいて、前記第1の装置はアナログ電話アダプタである。
  18. 請求項13記載のシステムにおいて、前記登録メッセージはセッション・イニシエーション・プロトコル(session initiation protocol:SIP)REGISTER(登録)メッセージである。
  19. ネットワークのエッジ装置によって隔てられた第1の装置と第2の装置との間の登録を、当該エッジ装置が維持することを可能にするための装置であって、
    前記エッジ装置および前記第2の装置にアクセス可能なインターフェイスと、
    前記第1の装置から前記第2の装置への登録メッセージをインターセプトするための手段と、
    前記第2の装置が定める第1のタイムアウト期間に基づき前記第1の装置の登録更新時を決定する手段と、
    前記第1の装置が登録更新時である場合、前記第2の装置に前記登録メッセージを転送するための手段と、
    前記第2の装置から前記第1の装置への、前記第1のタイムアウト期間を含む応答メッセージをインターセプトする手段と、
    前記応答メッセージを前記第1の装置に転送する前に、当該応答メッセージに含まれる前記第1のタイムアウト期間を前記エッジ装置の結合寿命に基づく第2のタイムアウト期間に置き換える手段と
    を有する装置。
  20. 請求項19記載の装置において、この装置は、さらに、
    前記第1の装置と、前記エッジ装置と前記第2の装置との間に位置する第3の装置との間にアンカーを確立する手段を有し、このアンカーは、前記エッジ装置を介して前記第1よび第3の装置のための通信チャネルを形成するものである。
  21. ファイアウォール装置を越えることにより、当該ファイアウォール装置によって隔てられた第1の装置と第2の装置との間の登録を維持する方法であって、前記第1の装置は前記ファイアウォール装置によって保護され、前記第2の装置は前記ファイアウォール装置の保護外にあるものであり、
    前記第1の装置と前記第2の装置との間の信号伝達チャネルを確立する工程と、
    前記信号伝達チャネルを介して前記第2の装置から前記第1の装置へ、前記ファイアウォール装置の結合寿命未満の1時点において送信された要求を送信する工程と、
    前記第1の装置からの、前記信号伝達チャネルが有効であることを前記ファイアウォール装置に示す応答を、前記信号伝達チャネルを介して前記第2の装置で受信する工程と
    を有する方法。
  22. 請求項21記載の方法において、前記要求はセッション・イニシエーション・プロトコルNOTIFY(通知)要求である。
  23. 請求項21記載の方法において、前記応答は「200 OK」メッセージである。
  24. 請求項21記載の方法において、前記信号伝達チャネルを確立するために、前記第2の装置は、当該信号伝達チャネルのために前記ファイアウォールに割り当てられたポートおよびアドレスを学習するものである。
  25. 請求項24記載の方法において、前記第2の装置は、前記第1の装置によって送信された登録メッセージに基づき前記ポートおよびアドレスを学習するものである。
JP2007537937A 2004-10-18 2005-10-17 ファイアウォール越えのための装置および方法 Pending JP2008517556A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/967,470 US8090845B2 (en) 2004-10-18 2004-10-18 Apparatus and method for firewall traversal
PCT/US2005/037055 WO2006044685A2 (en) 2004-10-18 2005-10-17 Apparatus and method for firewall traversal

Publications (1)

Publication Number Publication Date
JP2008517556A true JP2008517556A (ja) 2008-05-22

Family

ID=35744781

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007537937A Pending JP2008517556A (ja) 2004-10-18 2005-10-17 ファイアウォール越えのための装置および方法

Country Status (6)

Country Link
US (1) US8090845B2 (ja)
EP (1) EP1803278A2 (ja)
JP (1) JP2008517556A (ja)
KR (1) KR20070094735A (ja)
CN (1) CN101103607A (ja)
WO (1) WO2006044685A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010504045A (ja) * 2006-09-12 2010-02-04 クゥアルコム・インコーポレイテッド 通信セッション管理におけるトランザクションタイムアウト処理
JP2013017036A (ja) * 2011-07-04 2013-01-24 Nippon Telegr & Teleph Corp <Ntt> Sip端末管理システム、sipサーバ及びsip端末管理方法
US9277016B2 (en) 2012-03-02 2016-03-01 Canon Kabushiki Kaisha Communication system, client apparatus, server apparatus, communication method, and program

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7594259B1 (en) * 2004-09-15 2009-09-22 Nortel Networks Limited Method and system for enabling firewall traversal
US7826602B1 (en) * 2004-10-22 2010-11-02 Juniper Networks, Inc. Enabling incoming VoIP calls behind a network firewall
KR20060059292A (ko) * 2004-11-26 2006-06-01 한국전자통신연구원 양방향 위성 통신 시스템에서의 네트워크 운용 방법
US20060123103A1 (en) * 2004-12-08 2006-06-08 Cisco Technology, Inc. Communicating network management information using session initiation protocol architecture
SE528220C2 (sv) * 2004-12-22 2006-09-26 B2 Bredband Ab Anordning och förfarande för sömlös övergång från telefoni via det allmänna telefonnätet till telefoni via Internet
US20070043876A1 (en) * 2005-08-19 2007-02-22 Nokia Corporation Stimulation traffic for binding refreshment
US7903672B1 (en) * 2005-08-30 2011-03-08 Juniper Networks, Inc. Signaling protocol registration load reduction
US7532581B1 (en) * 2005-10-28 2009-05-12 Mindspeed Technologies, Inc. Voice quality monitoring and reporting
KR100656481B1 (ko) * 2006-02-03 2006-12-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
US7752658B2 (en) * 2006-06-30 2010-07-06 Microsoft Corporation Multi-session connection across a trust boundary
EP2123000A1 (en) * 2006-12-21 2009-11-25 Telefonaktiebolaget LM Ericsson (PUBL) Network apparatus and method for translating media access control addresses
US7881318B2 (en) * 2007-02-28 2011-02-01 Microsoft Corporation Out-of-band keep-alive mechanism for clients associated with network address translation systems
US7693084B2 (en) * 2007-02-28 2010-04-06 Microsoft Corporation Concurrent connection testing for computation of NAT timeout period
WO2008140783A1 (en) * 2007-05-09 2008-11-20 Eyal Shlomot Ip telephony communication system with audio enhancement
US8370919B2 (en) * 2007-06-26 2013-02-05 Microsoft Corporation Host firewall integration with edge traversal technology
US7707294B2 (en) 2007-06-26 2010-04-27 Microsoft Corporation Edge traversal service dormancy
WO2009030869A2 (fr) * 2007-09-07 2009-03-12 France Telecom Procede et dispositif pour gerer le desenregistrement d'un terminal aupres d'une entite dans un reseau de telecommunications
US7945680B2 (en) * 2007-10-30 2011-05-17 Motorola Solutions, Inc. Method and apparatus for peer to peer link establishment over a network
ES2380883T3 (es) * 2007-11-30 2012-05-21 France Telecom Procedimiento y dispositivo de manteniento de una tabla de traducción de direcciones
KR100932570B1 (ko) * 2008-01-28 2009-12-17 울산대학교 산학협력단 서버 및 서버 측 네트워크의 부담없이 nat장비에서응용서버와 클라이언트 사이의 대규모 세션정보를 유지하기위한 방법
US7856506B2 (en) * 2008-03-05 2010-12-21 Sony Computer Entertainment Inc. Traversal of symmetric network address translator for multiple simultaneous connections
JP4569649B2 (ja) * 2008-03-19 2010-10-27 ソニー株式会社 情報処理装置、情報再生装置、情報処理方法、情報再生方法、情報処理システムおよびプログラム
US9160794B2 (en) * 2008-12-04 2015-10-13 Microsoft Technology Licensing, Llc Network address translators (NAT) type detection techniques
US8090850B2 (en) * 2008-12-12 2012-01-03 Tekelec Methods, systems, and computer readable media for regulating network address translator (NAT) and firewall pinhole preservation traffic in a session initiation protocol (SIP) network
US8363836B2 (en) * 2009-01-16 2013-01-29 Cisco Technology, Inc. Using authentication tokens to authorize a firewall to open a pinhole
US20120144475A1 (en) * 2009-02-06 2012-06-07 Sagemcom Canada, Inc. Scalable nat traversal
US8713664B2 (en) * 2009-02-23 2014-04-29 Xcast Labs, Inc. Detecting the type of NAT firewall using messages
US9515990B1 (en) * 2011-01-03 2016-12-06 Sprint Communications Company L.P. Communicating reregistration information based on the lifetime of a communication session
EP2903209B1 (de) * 2014-01-30 2018-11-14 Siemens Aktiengesellschaft Verfahren zur Aktualisierung von Nachrichtenfilterregeln einer Netzzugangskontrolleinheit eines industriellen Kommunikationsnetzes, Adressverwaltungseinheit und Konvertereinheit
CN105553678A (zh) * 2014-11-04 2016-05-04 阿尔卡特朗讯 一种用于会议路由的方法、设备与系统

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7436848B1 (en) * 2002-07-17 2008-10-14 Sprint Spectrum L.P. Method for mobile node registration management
US7162740B2 (en) * 2002-07-22 2007-01-09 General Instrument Corporation Denial of service defense by proxy
US8166533B2 (en) * 2002-08-17 2012-04-24 Rockstar Bidco Lp Method for providing media communication across firewalls
US7487199B2 (en) * 2002-09-24 2009-02-03 Motorola, Inc. Method and apparatus for maintaining SIP contact addresses
US7814228B2 (en) * 2003-02-13 2010-10-12 Oracle America, Inc. System and method for using data encapsulation in a virtual network
US7979694B2 (en) * 2003-03-03 2011-07-12 Cisco Technology, Inc. Using TCP to authenticate IP source addresses
US20040205212A1 (en) * 2003-03-31 2004-10-14 Nokia Corporation Method and system for forwarding a service-related information to a network user
US7440442B2 (en) * 2003-10-21 2008-10-21 3Com Corporation IP-based enhanced emergency services using intelligent client devices
US7483437B1 (en) * 2003-11-20 2009-01-27 Juniper Networks, Inc. Method of communicating packet multimedia to restricted endpoints
US7694127B2 (en) * 2003-12-11 2010-04-06 Tandberg Telecom As Communication systems for traversing firewalls and network address translation (NAT) installations
US7493394B2 (en) * 2003-12-31 2009-02-17 Cisco Technology, Inc. Dynamic timeout in a client-server system
US8090858B2 (en) * 2004-07-23 2012-01-03 Nokia Siemens Networks Oy Systems and methods for encapsulation based session initiation protocol through network address translation
US7333492B2 (en) * 2004-08-31 2008-02-19 Innomedia Pte Ltd Firewall proxy system and method
GB2418037B (en) * 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010504045A (ja) * 2006-09-12 2010-02-04 クゥアルコム・インコーポレイテッド 通信セッション管理におけるトランザクションタイムアウト処理
JP2013017036A (ja) * 2011-07-04 2013-01-24 Nippon Telegr & Teleph Corp <Ntt> Sip端末管理システム、sipサーバ及びsip端末管理方法
US9277016B2 (en) 2012-03-02 2016-03-01 Canon Kabushiki Kaisha Communication system, client apparatus, server apparatus, communication method, and program

Also Published As

Publication number Publication date
KR20070094735A (ko) 2007-09-21
WO2006044685A3 (en) 2006-06-08
US20060085548A1 (en) 2006-04-20
US8090845B2 (en) 2012-01-03
CN101103607A (zh) 2008-01-09
EP1803278A2 (en) 2007-07-04
WO2006044685A2 (en) 2006-04-27

Similar Documents

Publication Publication Date Title
US8090845B2 (en) Apparatus and method for firewall traversal
US9392437B2 (en) Method and system for IP multimedia bearer path optimization through a succession of border gateways
KR100804291B1 (ko) Ip 어드레스 바인딩들에 기초한 멀티미디어 트래픽의필터링 방법 및 시스템
JP4777999B2 (ja) セッションコントローラ及びその動作方法
US8825822B2 (en) Scalable NAT traversal
JP5972398B2 (ja) Iceベースnatトラバーサル
EP1693998B1 (en) Method and system for a proxy-based network translation
WO2006082576A2 (en) A method and apparatus for server-side nat detection
WO2008071321A1 (en) Streaming media service for mobile telephones
US8817787B2 (en) Data processing method and system
EP2075980B1 (en) A method and network communication system for redirecting network communication port
US8374178B2 (en) Apparatus and method for supporting NAT traversal in voice over internet protocol system
JP4433206B2 (ja) コネクションを確立し維持する方法
WO2008084306A2 (en) Interworking of policy and charging control and network address translator
KR100606895B1 (ko) NAPT 환경에서 VoIP 시스템의 음성 통신방법
KR20050001125A (ko) 방화벽 환경에서 보이스오버아이피 서비스를 제공하는시스템, 방법 및 기록 매체