JP3774191B2 - ファイアウォールおよびネットワークアドレス変換を有するオーディオ−ビデオ回線技術 - Google Patents
ファイアウォールおよびネットワークアドレス変換を有するオーディオ−ビデオ回線技術 Download PDFInfo
- Publication number
- JP3774191B2 JP3774191B2 JP2002515801A JP2002515801A JP3774191B2 JP 3774191 B2 JP3774191 B2 JP 3774191B2 JP 2002515801 A JP2002515801 A JP 2002515801A JP 2002515801 A JP2002515801 A JP 2002515801A JP 3774191 B2 JP3774191 B2 JP 3774191B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- communication
- multimedia
- proxy server
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000013519 translation Methods 0.000 title description 9
- 238000005516 engineering process Methods 0.000 title description 4
- 238000004891 communication Methods 0.000 claims abstract description 168
- 238000000034 method Methods 0.000 claims description 38
- 230000008569 process Effects 0.000 claims description 11
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000004519 manufacturing process Methods 0.000 claims 1
- 238000013507 mapping Methods 0.000 description 9
- 230000008520 organization Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000011330 nucleic acid test Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000005236 sound signal Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2535—Multiple local networks, e.g. resolving potential IP address conflicts
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2564—NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2567—NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1023—Media gateways
- H04L65/103—Media gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1033—Signalling gateways
- H04L65/104—Signalling gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1043—Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1106—Call signalling protocols; H.323 and related
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Machine Translation (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
【0001】
本発明はマルチメディア呼(multimedia calls)を行う通信システムに関する。
【0002】
急速に発展するIP(インターネットプロトコル)データネットワークはマルチメディアおよび音声通信サービスプロバイダにとっての新たな機会と課題を作りだしている。現職のテレコミュニケーション運営者、および次世代の通信事業者やサービスプロバイダによって、データネットワークバックボーンへの、未曾有の投資がなされている。同時にDSLやケーブルモデムといったブロードバンドアクセス技術が広範囲のユーザーに高速なインターネットアクセスを提供している。サービスプロバイダは、IPデータネットワークを利用して新たな音声・ビデオサービスおよびデータサービスを高速インターネットと平行してデスクトップ、オフィス、家庭に直接届けることを目指している。
【0003】
広域通信において、異なる製造業者による端末が相互運用される場合には、スタンダード(標準)が根本的な重要性を有する。マルチメディア分野において、パケットネットワーク(例えばIPデータネットワーク)を介してのリアルタイム通信に関する現在のスタンダードはITUスタンダードH.323である。H.323は現在では比較的成熟したスタンダードであり、マイクロソフト社、シスコ社、インテル社などの企業を含むマルチメディア通信業界の支持を得ている。例えばパーソナルコンピュータの75%にマイクロソフト社のNetMeeting(商標)プログラムがインストールされていると推計される。NetMeetingはH.323に準拠したマルチメディア(音声、ビデオおよびデータ)通信用のアプリケーションソフトウエアである。
【0004】
現在では異なる製造業者による装置間での相互運用性が達成されている。International Multimedia Communication Consortium (IMTC)の主催する最近の相互運用性イベントには世界の120を越える企業が参加した。このIMTCはマルチメディア通信装置の相互運用性を促進するための独立組織である。このイベントは製造業者が相互動作問題をテストし、かつ解決するために定期的に行われている。
【0005】
これまで、マルチメディア(特にビデオ)通信を大規模に取り込むには数多くの障害があった。かつては利用の簡便性、品質、コスト、通信帯域幅のすべてが市場の成長を妨げていた。しかし、ビデオエンコーディング技術の進歩、安価なIPアクセスがどこでも得られる状況、およびデータネットワークへの現在の投資が、DSLやISDNやケーブルモデムの浸透と結びついて、現在ではほとんどの問題をある程度解決し、マルチメディア通信および音声通信を可能にしている。
【0006】
H.323がスタンダードとして策定された際には、プライベートネットワーク間の広いエリアにおけるトランスポートのためにH.323をH.320に変換するH.323-H.320ゲートウェイがネットワークドメインの端部に作られるものと想定されていた。したがってIP上のH.323の導入は単一ネットワーク内の通信に集中していた。
【0007】
しかしながら、IPは広域プロトコルとして愛顧を受け続けている。ますます多くの組織が、データネットワーク全体についてIPに基礎を置き続けている。高速インターネットアクセス、管理されたイントラネット、ヴァーチャル・プライベート・ネットワークス(VPNs)のすべてにおいてIPに基礎を置くことが普通である。このIPトレンドがH.320のマルチメディアプロトコルとしての衰退を引き起こしている。市場の要求はH.320を完全にIP上のH.323に置き換えることにある。
【0008】
残念ながら、H.323の実際の広域配備には、予見できなかった技術的諸障害がいまなお存在する。この技術的諸障害はIPデータネットワークの境界における通信インフラストラクチュアに関するものである。
【0009】
H.323スタンダードはそのサービス品質に保証のないパケットベースのネットワーク上でのマルチメディア通信に適用される。それは背景にあるトランスポートネットワークおよびプロトコルからは独立して設計されている。今日IPデータネットワークはデフォールト(既定の)かつユビキタスな(遍在する)パケットネットワークであり、H.323の導入はその大部分が(全部ではないにせよ)IPデータネットワーク上でのものである。そうは言っても、今日成功しているマルチメディアおよび音声通信の導入はイントラネットすなわちプライベートに(私的に)管理されているIPネットワークに限られている。これはプライベート(私的)ネットワークとパブリックな(公共の)インターネットまたは共有され管理されるIPネットワークとの間でのH.323の広域的配備を妨げるIPトポロジーの問題(IP topological problem)があるからである。
【0010】
これらの問題は2つのIP技術、すなわちネットワークアドレス変換(NAT)およびファイアウォールに起因する。
【0011】
NATは「アドレス不足問題」を解決するところまで来た。IPネットワークのいずれのエンドポイントあるいは「ホスト」も、該エンドポイントを同定するひとつの「IPアドレス」を有しており、データパケットは正確にそこに送られるすなわちそこにルート付けされることができ、かつそこで受け取られたパケットがどこからやってきたのかを同定することができる。IPアドレスフィールドを規定した時点では、誰もデスクトップ装置の広大な成長を予見することができなかった。グローバルIPの展開の何年後かに、IPプロトコルを用いての通信を求めるエンドポイントの数がアドレスフィールドにおいて可能な固有IPアドレスの数を越えることが程なくして明らかになった。アドレスフィールドを増やし、より多くのアドレスを利用可能とするには、IPインフラストラクチュア全体を更新することが必要であった(当業界はある点において、これをIPバージョン6によって行うことを計画している。)
【0012】
今日のソリューション(解決方法)は現在NATと呼ばれているものである。IETF RFC1631で規定されたシンプルNAT(Simple NAT)と呼ばれる最初のNATソリューションは1対1マッピングを利用しており、ワールド・ワイド・ウェブが存在する前の、組織内のいくつかのホスト(例えばメールサーバやファイル転送サーバ)のみが組織外部と通信する必要があった頃に生まれたものである。NATにより企業内にプライベートIPネットワークを構築することが可能となるが、そこでは該企業内の各エンドポイントはその企業内のみで唯一固有(unique)であるが、グローバルには唯一固有ではないアドレスを有している。すなわちこれらはプライベートIPアドレスである。このことにより、ある組織内の各ホストは該組織内の任意の他のホストと通信する(すなわちアドレスする)ことが可能である。外部と通信するためには、パブリックな(公の)すなわちグローバルに唯一固有のIPアドレスが必要である。こうしたプライベートIPネットワークの端部にはプライベートIPアドレスとパブリックIPアドレスとを相互変換するNAT機能を行う装置が配備される。企業はその企業に独占的に(排他的に)属するひとつ以上のパブリックアドレスを有するが、一般的には必要なパブリックアドレスの数はホストの数よりも少ない。その理由は、外部と通信する必要があるのはいくつかのホストのみであるか、あるいは同時に外部通信する数はホスト数よりも少ないからである。より洗練された形態のNATはパブリックアドレスのプールを有し、それらのパブリックIPアドレスをファーストカム−ファーストサーブド方式(先着順方式)で外部通信を必要とするホストに動的(流動的)に割り当てている。外部装置が特定の内部装置に勝手にパケットを送る必要がある場合には固定ネットワーク規則(fixed network rules)が必要となる。
【0013】
今日ほとんどのプライベートネットワークは10.x.x.xアドレスレンジ(10.x.x.x address range)からのプライベートIPアドレスを使用している。外部通信はたいていの場合管理されたあるいは共有されたIPネットワークまたは公共のインターネットを介したサービスを提供するサービスプロバイダーを介している。各ネットワークの境界において、アドレスをパケットが伝達されるIPネットワーク内で唯一固有のものとするためのNATが用いられる。シンプル NATは完全なIPアドレスを1対1マッピングによって変換している。このマッピングは当該通信セッションが続く間、固定的または動的にもたらされる。
【0014】
NATを用いることにより、ホストのプライベートIPアドレスは外部からは不可視となる。このことによりセキュリティ(安全性)が向上する。
ウェブサーバ、メールサーバ、およびプロキシサーバなどが、それらに到達する外部通信を許容するために静的な(static)1対1NATマッピングを必要とするホストの例である。
【0015】
共通のIPプロトコルを介して接続されたコンピュータおよびネットワークは通信を容易にしたが、他方でプライバシーやセキュリティの侵害をさらに容易にもした。比較的わずかなコンピュータスキルにより、プライベートなあるいは内密の(コンフィデンシャルな)データおよびファイルにアクセスし、そうしたビジネス情報を悪用することが可能である。そのような攻撃に対する当業界における解決方法はプライベートネットワークの境界に「ファイアウォール」を配備することである。
【0016】
ファイアウォールはプライベートIPネットワークとパブリックのIPネットワークとの間を通過するIPトラフィックの種類を制限するすなわち「フィルタする(ろ過する)」ようになされている。ファイアウォールはいくつかのレベルの規則によって制限を課することができる。制限は、IPアドレス、ポート、IPトランスポートプロトコル(たとえばTCPやUDP)またはアプリケーションに対して課することができる。制限は対称ではない。すなわち典型的にはプライベートネットワーク側(ファイアウォールの内側)からパブリックネットワーク側(ファイアウォールの外側)に向かう方向に関しては、その反対方向よりも多くの通信を許容する。
【0017】
ワールド・ワイド・ウェブの誕生と共に、ファイアウォール規則をIPアドレスだけに適用することは次第に難しくなってきている。内部のホスト(すなわちあなたのPC)のいずれもが地球上に点在するいずれかの外部ホスト(ウェブサーバ)に接続することを望むかもしれないからである。この問題に対しては「well-known port(よく知られたポート)」の概念が適用される。ポートは2つのホスト間のポイント対ポイントのトランスポート接続における一方の端部を同定する。「well-known port」はひとつの「既知の(知られた)」種類のトラフィックを担うものである。IANAすなわちInternet Assigned Number Authorityはあらかじめ割り当てられたよく知られたポートおよびそれらポートの担うトラフィックの種類を特定している。例えばポート80はウェブサーフィン(httpプロトコル)トラフィックに割り当てられ、ポート25はシンプル・メール・トランスポート・プロトコル(Simple Mail Transport Protocol)に割り当てられる、等である。
【0018】
ウェブサーフィンに対するファイアウォールのフィルタリング規則の例は以下のようなものである:
・ どの内部IPアドレス/ポート番号(port number)も、TCP(Transport Connection protocol)およびHTTP(ウェブサーフィン用のアプリケーションプロトコル)を用いて、どの外部IPアドレス/ポート80に接続してもよい。
この接続は双方向的であり、したがってトラフィックはウェブサーバから同一の経路を逆に流れることができる。ポイントとなるのは接続は内部側から開始されなければならないという点である。
【0019】
e−メール用のファイアウォールフィルタリング規則の例は以下のようなものである。
・ どの外部IPアドレス/どのポート番号も、TCPおよびSMTPを用いてIPアドレス192.3.4.5/ポート25に接続してよい。
NAT機能は目的IPアドレス192.3.4.5をメールサーバの内部アドレスである10.6.7.8に変換することができる。
【0020】
以下のようなフィルタリング規則はIT管理者に好まれない。
・ どの内部IPアドレス/どのポート番号もTCPまたはUDP用のどの外部IPアドレス/どのポート番号に接続してもよい、その逆も可能。
このような規則はあまりにも広いフィルタであり、ファイアウォールを開放するに等しい。
【0021】
NAT機能およびファイアウォール機能はいずれもNATとファイアウォール機能がエンドポイント間に存在する場合にH.323通信業務を妨げる。これは典型的には、両エンドポイントが異なるプライベートネットワークに属している場合、または一方のエンドポイントがプライベートネットワーク内にあり他方のエンドポイントがインターネット内にある場合、または両エンドポイントが異なる管理されたIPネットワーク(managed IP network)に属している場合である。
【0022】
H.323は背景にあるネットワークおよびトランスポートプロトコルからは独立して設計されてきた。それでもH.323のIPネットワークへの導入は以下の主要概念の対応付け(mapping)によって可能となる。
H.323アドレス : IPアドレス
H.323論理チャネル : TCP/UDPポートコネクション
【0023】
IP上でのH.323の導入においては、H.323プロトコルメッセージはTCPまたはUDPのいずれかを用いてIPパケットのペイロードとして送信される。多くのH.323メッセージは送信元のエンドポイントまたは送信先のエンドポイントあるいはその両方のエンドポイントのH.323アドレスを含む。これはIP世界においては、そのヘッダに送信元ホストと送信先ホストのIPアドレスを有するIPパケット内で送信されるH.323メッセージの内部にIPアドレスを有しているということを意味する。
【0024】
しかしながら、シンプル NAT機能はH.323ペイロード内のH.323アドレスを変えることなく送信元ホストと送信先ホストのIPアドレスを変換する点に問題が生ずる。このことはH.323プロトコルの破壊を引き起こすものであり、H.323ペイロードアドレスを取り扱うには媒介インテリジェンス(intermediary intelligence)が必要となるからである。
【0025】
マルチメディア通信の複雑性により、H.323はエンドポイント間にいくつかの論理チャネルを開くことを要求する。論理チャネルは、呼制御、能力交換(capabilities exchange)、オーディオ、ビデオ、データについて必要である。オーディオとビデオのみを含む単純なポイント対ポイントのH.323マルチメディアセッションにおいては、少なくとも6つの論理チャネルが必要となる。H.323のIP配備においては、論理チャネルはTCPまたはUDPポートコネクションにマッピングされ、それらの多くは動的に割り当てられる。
【0026】
また別の問題として、ファイアウォール機能は規則の設定されていないポート上のトラフィックをフィルタによって排除してしまうということがある。すなわちファイアウォールを開放するか(この場合ファイアウォールの目的が無効になる)、あるいは多くのH.323トラフィックが通過不能になるか、の二つに一つとなってしまう。
【0027】
したがってH.323通信はファイアウォールにとって忌まわしいものである。ファイアウォールがH.323を認識できるようにするか、あるいはなんらかの媒介インテリジェンスによって安全なやり方でポートの割り当てを制御しなければならない。
【0028】
この問題の可能な解決方法のひとつは完全なIP H.323アップグレード(complete IP H.323 upgrade)である。これは以下のことを要求する:
・ 各IPネットワーク境界にあるシンプル NAT機能に対するH.323アップグレード。NAT機能はすべてのH.323ペイロードを走査し、一貫性をもってIPアドレスを変換しなければならない。
・ 各IPネットワーク境界にあるファイアウォール機能に対するH.323アップグレード。ファイアウォールは、動的に割り当てられるポートを開くことができるようにすべてのH.323通信を認識しおよび監視し、かつそれらのポート上のすべての非H.323トラフィックをフィルタしなければならない。
・ 境界あるいは共有されたIPネットワーク内においてH.323インテリジェンスを配備し、アドレスを分析しかつ調停すること(resolve and arbitrate addresses)。ユーザーがIPアドレスを直接用いることはほとんどない。実際には別名IPアドレス(エイリアス)を用いる。インテリジェンスはエイリアスをIPアドレスに分析する必要がある。このH.323機能はゲートキーパーと呼ばれるH.323要素(H.323 entities)に含まれる。
【0029】
この可能な解決方法の欠点は以下の通りである:
・ 各組織/プライベートネットワークは既存のH.323通信に対する同一レベルのアップグレードを有さなければならない。
・ アップグレードには費用がかかる。新たな機能性または新たな装置を購入し、計画し、配備しなければならない。IT管理者はH.323について学習しなければならない。
・ シンプル NATおよびファイアウォール機能を分析する間断ないH.323パケット解析は各ネットワーク境界において信号に待ち時間を課す。そしてオーディオおよびビデオに対する待ち時間の許容量はきわめて小さい。
【0030】
これらの問題により、ファイアウォールまたはネットワークアドレス変換(NAT)が存在する場合には、音声およびマルチメディア通信に対してH.323プロトコルは用いられていない。ひとつのアプローチとして、H.323システムをファイアウォールおよびNAT機能のパブリック側に配置するというものがある。こうすることにより、ファイアウォールおよびNAT機能はそれらのネットワークの残りの部分を保護しつつ、H.323を用いることができる。このやり方の欠点は以下のようなものである:
1.最も普及している(ユビキタスな)ビデオ通信装置はデスクトップPCである。そしてすべてのデスクトップコンピュータをパブリック側に置くのはナンセンスである。
2.ファイアウォールのパブリック側では、H.323システムは攻撃者から保護されない。
3.特別なシステムのみがH.323通信を許されることになるので、各団体はH.323の潜在的遍在性の利点を享受できない。
4.ファイアウォールがH.323システムのデータアクセスを妨げるので、各団体はH.323のデータ共有機能をフルに活用することができない。H.323システムからのデータ転送機能を可能とするためにファイアウォールを開放することはできない。なぜならその場合、攻撃者がH.323システムをリレーとして用いることができるからである。
【0031】
H.323システムはIPネットワーク上でのリアルタイムな音声およびマルチメディア通信に現在用いられている唯一のプロトコルであるわけではない。SIP(IETF RFC 2543で規定されたセッション開始プロトコルSession Initiation Protocol)、MGCP(メディアゲートウェイ制御プロトコル Media Gateway Control Protocol)、H.248(Megacoと呼ばれることもあり、ITUにおいてMGCPに相当する)といったものも当業界で受け入れられている。これらすべてのプロトコルがファイアウォールおよびNATの引き起こす同じインフラストラクチュアの問題に直面しており、なんらかの助けなしにそれら問題を解決することができないでいる。
【0032】
本発明のひとつの目的は、ファイアウォールおよびNATを介しての音声およびマルチメディア通信においてファイアウォールおよびNATの引き起こす問題を、すべてのプロトコルに対して共通の方法で解決することである。したがって、本発明をH.323プロトコルに関連して説明しているが、本発明はH.323、SIP、MGCP、Megacoおよびその他すべてのリアルタイムIP通信プロトコルに適用される。同様に、本発明はマルチメディア通信だけでなく音声のみの通信にも適用される。したがって、本明細書においては「マルチメディア」という語は音声および/またはビデオ通信の任意の組み合わせを意味するものである。
【0033】
かくして、本発明は次のような通信システムを提供する、すなわち、マルチメディア呼を行うための通信システムであって、第1のマルチメディア端末と、第2のマルチメディア端末と、共有された通信ネットワーク上でマルチメディア呼を行うための通信手段であって、それぞれ第1のマルチメディア端末および第2のマルチメディア端末と関連する第1の通信手段と第2の通信手段とを含む通信手段を備え、該第1の通信手段はマルチメディア呼が通過しなければならない第1のファイアウォールを有しており、
i) 第1のファイアウォールは第1の端末と共有された通信ネットワークとの間のある種類の通信を制限するようになされており、
ii) 各端末はマルチメディア呼を送信および/または受信するためのいくつかの論理通信ポートを有し、該論理通信ポートは少なくともひとつの動的に割り当てられるポートを含んでおり、
iii) マルチメディア呼を設定する過程において、該端末の少なくとも一方は、他方の端末に要求を送り、該要求は要求を受けた側の端末内の1つ以上の動的ポートを開くための要求である、
ような通信システムにおいて、
iv) 該システムはマルチメディア呼の過程の間、各端末に対して他方の端末のプロキシ(代理)として動作するプロキシサーバを第1の端末と第2の端末との間に備え、
v) 該プロキシサーバは端末と通信するための論理通信ポートを有し、該論理通信ポートは第1の端末との通信用の1つ以上のあらかじめ割り当てられたポートを含んでおり、
vi) 第1のファイアウォールは第1の端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信を制限しないようになされており、
vii) プロキシサーバは前記動的ポートを開く要求を、そのあらかじめ割り当てられたポートのひとつを介して受信しかつ送出するようになされている、ことを特徴とする通信システムである。
【0034】
本発明はまた、以下のようなマルチメディア呼を行う方法を提供する、すなわち、第1のマルチメディア端末と、第2のマルチメディア端末と、該第1のマルチメディア端末と第2のマルチメディア端末にそれぞれ関連する第1の通信手段と第2の通信手段とを含む通信手段とを有する通信システムであって、各端末はマルチメディア呼を送信および/または受信するためのいくつかの論理通信ポートを有し、該論理通信ポートは少なくともひとつの動的に割り当てられるポートを含んでおり、第1の通信手段は第1の端末と共有された通信ネットワークとの間のある種類の通信を制限するようになされた第1のファイアウォールを備えている通信システムを用いて、
a) 第1の通信手段と第2の通信手段を用いて、共有されたネットワーク上で第1のマルチメディア端末と第2のマルチメディア端末との間でファイアウォールを介してマルチメディア呼を設定し、
b) マルチメディア呼の設定の過程において、端末の少なくとも一方が他方の端末に要求を送って該要求を受け取る側の端末内の1つ以上の動的ポートを開かせる、
ステップを含むマルチメディア呼を行う方法において、
c) 第1の端末と第2の端末との間に、マルチメディア呼の過程の間、各端末に対して他方の端末のプロキシとして動作するプロキシサーバであって、第1の端末と通信するための1つ以上のあらかじめ割り当てられたポートを含む端末との通信用の論理通信ポートを有するプロキシサーバを設け、
d) 第1のファイアウォールを、第1の端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信を制限しないように構成し、
e) プロキシサーバを、動的ポートを開くための要求を、そのあらかじめ割り当てられたポートの1つを介して受信しかつ送出するように構成する、ことを特徴とするマルチメディア呼を行う方法である。
【0035】
このようなシステムは国際電気通信連合(International Telecommunication Union)のH.323またはH.248スタンダードに準拠するマルチメディア呼を行うために用いることができる。あるいは、このシステムをインターネット・エンジニアリング・タスク・フォース(Internet Engineering Task Force)のSIPまたはMGCPスタンダードに準拠するマルチメディア呼を行うために用いてもよい。更に、混合したプロトコル環境をサポートするようにプロキシを構成してもよい。
【0036】
共有された通信ネットワークとは加入電話網(PSTN: public switched telephone network)や公共インターネットデータネットワークなどの公共の(パブリックな)ネットワークであってもよいし、またはネットワークの境界を通過するトラフィックを分離し制限するためにファイアウォールが配備されるその他のIPネットワークであってもよい。例えば、本発明の一実施例においては、プロキシサーバはある企業のネットワークの非武装地帯(DMZ)に置かれ、ファイアウォールはDMZからプライベートネットワーク内へと入るトラフィックを制限している。
【0037】
たいていの場合、プロキシサーバは第1のマルチメディア端末からも第2のマルチメディア端末からも遠方にある。例えば、第1および第2の端末の両方に対して、共有されたIPネットワークを通じて接続される。
【0038】
多くの場合、第2の通信手段もまたマルチメディア呼が通過しなければならない第2のファイアウォールを備える。第2のファイアウォールは第2の端末と共有されたネットワークとの間のある種類の通信を制限するように構成される。その場合、プロキシサーバは1つ以上の第2の端末との通信用のあらかじめ割り当てられたポートを含む、端末との通信のための論理通信ポートを備える。ここで第2のファイアウォールは第2の端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信は制限しないように構成することができる。
【0039】
本発明の好適な実施例において、プロキシサーバのあらかじめ割り当てられたポートの数は端末に動的に割り当てられるポートの総数以下である。例えば、プロキシサーバに2つのあらかじめ割り当てられたポート、好適には3つのあらかじめ割り当てられたポートを設けることができ、そのうち1つはTCP用であり、2つはUDP用である。
【0040】
端末をマルチメディア制御信号と共にマルチメディアのメディア信号を送信および/または受信するように構成してもよい。ここで制御信号はあらかじめ割り当てられたポートの1つに送られ、メディア信号はその他のあらかじめ割り当てられたポートに送られる。
【0041】
好適には少なくとも1つの論理通信ポートをあらかじめ割り当てられたポートとし、前記要求は通信リンク上の通信を開始するための初期要求としてそのあらかじめ割り当てられたポートに送るようにする。
通信手段は、少なくとも部分的にインターネットを介してマルチメディア呼を行うように構成することができ、その場合、プロキシサーバはパブリックなインターネットプロトコルアドレスを有し、それによって端末または端末のそれぞれがプロキシサーバと通信し、ファイアウォールは端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信を制限しないように構成される。
【0042】
本発明は第1の端末と第2の端末の1つ以上の組が存在する場合に適用される。例えば、ひとつのサイトのいくつかの第1のマルチメディア端末のそれぞれが他の様々なサイトの対応する他の第2の諸端末に接続ようにしてもよい。
【0043】
添付図面を参照し、例を用いて本発明を説明する。
完全なH.323アップグレードの代替となるものを図1に関連して説明する例として示す。この図は第1の企業2および第2の企業4を含む通信システムを示している。各企業はプライベートネットワーク6,8を有しており、それらは共に1つ以上のH.323端末10,12を備えている。各プライベートネットワーク6,8はプライベートIPアドレス14,16を有し、これらのアドレスは共に10.x.x.xアドレスレンジ内にある。これらのIPアドレス14,16は静的(固定的)に割り当てられたものであっても、通常のDHCP手続きによって動的(流動的)に割り当てられたものであってもよい。外部通信は共有された、あるいは管理された、あるいは公共のインターネット20を介して行う。外部通信用に、第1の企業2は192.1.1.1から始まるパブリックIPアドレスのプール22を有し、第2の企業4は206.1.1.1から始まるパブリックIPアドレスのプール24を有する。各企業はシンプルネットワークアドレス変換(NAT)機能を行う変換規則でプログラムされたルータ32,34を有する。該シンプルNAT機能は内部アドレス14,16(プライベート)と外部アドレス22,24(パブリック)との間の固定マッピングであるかまたは動的マッピングであり、それらに基づいてプライベートネットワーク6,8上の端末10,12のH.323は対応するルータ32,34を介して、共有ネットワーク20にまず接続する。
【0044】
それぞれのプライベートネットワーク6,8は、それらの端部おいてファイアウォール機能26,28によって保護されている。このファイアウォール機能は表1に示す規則によって設定されており、H.323トラフィックを許容する。これら規則はH.323およびT.120についてのよく知られたポート(well known ports)、すなわち1718,1719,1720および1503を取り入れており、かつまた本発明の提案する新たなよく知られたポート(XおよびYと名づける)をも取り入れている。
【0045】
【表1】
【0046】
上記表において、具体的に挙げられたポート番号はIANAによって合意されたスタンダードによる登録されたポート番号である。
第1の企業2内のH.323端末10が第2の企業4内の別のH.323端末12と通信するためには、例えばルータ38を介してプロキシサーバ40が接続された共有ネットワーク20が存在しなければならない。プロキシサーバ40は例えば45.6.7.8というパブリックIPアドレス44を有する。プロキシサーバはまた2つの新たなよく知られたポート番号X,Y46を有する。これらの新たなよく知られたポート番号は前もってIANAで合意され、登録されなければならない。
【0047】
H.323端末にとってプロキシサーバ40は該端末のH.323ゲートキーパー(あるいはSIP端末に対してのSIPレジストラ(SIP registrar)など)であるかのように見える。呼(call)の間、プロキシサーバはどのひとつの端末にとっても他方の端末すなわちリモート端末であるように見える。ゲートキーパーにとってはプロキシサーバはそれらゲートキーパーのすべてのエンドポイントであるように見える。ゲートキーパー機能(不図示)はプロキシサーバと同じ所に設けてもよいし、あるいはそれとは別に設けてもよい。
【0048】
H.323端末10,12のスイッチが入れられると、該端末は自身がマルチメディア呼を発信するあるいは受信する準備ができていることを知らしめるために、プロキシサーバ40を介してゲートキーパー機能をまず探索し、そして登録する。登録プロセスにおいては、ターミナルがH.323メッセージ内の自身のIPアドレス14,16をプロキシサーバ40を介してゲートキーパー機能に送る必要がある。端末を出る時点では、IPパケットのソース(送信元)アドレスフィールドは端末14,16のプライベートIPアドレスである。しかし、そのIPパケットがシンプルNAT機能を通過する際にIPパケット内の送信元アドレスはそれに対応するパブリックIPアドレスに変換される。NAT機能は端末のプライベートIPアドレスを含むH.323ペイロードを認識しないので、こちらのIPアドレスは変換されない。
【0049】
登録メッセージがゲートキーパーへの途上でプロキシサーバを通過するとき、プロキシサーバ40は端末の「見かけの(apparent)」IPアドレス22,24(すなわち、NAT変換後にパケットがどこからきたように見えるか)を端末のプライベートIPアドレスすなわち「実際の(real)」IPアドレスと共に記憶する。以降のゲートキーパー機能への呼制御要求の際、プロキシサーバはすべての呼制御がプロキシサーバのIPアドレス40においてプロキシサーバ内のさまざまな機能(呼制御、メディア制御およびメディア処理)によって行われるように命令する。ここでの本発明の説明において、プロキシサーバは単一のIPアドレスを有する単一の装置であると仮定している。本発明の他の実施形態においては、「プロキシサーバ」は協働するいくつかの装置であってもよい。また1つまたはそれ以上のプロキシサーバのそれぞれが1つまたは複数のIPアドレスを有していてもよい。複数のIPアドレスを用いる場合、通常ではそれらのIPアドレスを単一のサブネットから割り当て、そしてファイアウォール規則のプログラミングは個々のIPアドレスではなくサブネットへ出入りする許容されたポートを特定するようにする。
【0050】
H.323端末10,12がゲートキーパー登録機能をサポートしていない場合、端末は固定の(static静的な)プライベートアドレスを与えられていなければならない。その場合、ルータ32,34のシンプルNAT機能において固定NAT規則が作成されなければならず、プロキシサーバ40は端末10,12の実際のIPアドレス22,24および固定の見かけIPアドレス14,16でプログラムされなければならない。端末10,12は前の例と同様に、すべての呼制御要求をプロキシサーバ40へ送るようプログラムされる。
【0051】
図2乃至9は本発明の好適な実施形態においてマルチメディア呼を設定する方法を示す。これらの図面は以下に説明するように7つの段階もしくは局面を示している。
【0052】
第1段階、図2および図3
A1端末10のユーザAはB1端末12のユーザBにH.323ソフトウェアを用いてマルチメディア呼を発する。A1端末10において動作しているソフトウェアはAおよびBの同定(identities)およびA1端末10の真の(true)IPアドレス14およびプロキシサーバ42の真のIPアドレス44を含むH.323設定メッセージを作成する。そして、このメッセージ50は1以上のTCP IPパケットとしてローカルポートPA1 11から送られる。これらのTCP IPパケットはA1端末10のIPアドレス16を送信元(ソース)、プロキシサーバ42のIPアドレス44を送信先としてラベル付けされている。設定メッセージはプロキシサーバ42のあらかじめ割り当てられたポート41(ここではポート番号1720)に送られる。これらのパケット50はルータ32のシンプルネットワークアドレス変換(NAT)機能を通過するので、IPパケット内の送信元IPアドレス14はそれに対応するパブリックのIPアドレス18に変換される(例えば、10.1.1.1が192.1.1.1になる)。H.323メッセージ自体は変更されない。
【0053】
A1端末10から送信されるこの設定メッセージは以下のように表される:
【0054】
この設定メッセージはルータ32によって変更されるが、それは以下のように表される:
【0055】
第2段階、図3および図4
H.323設定メッセージ51はプロキシサーバ42に到達し、プロキシサーバ42はユーザBの位置を決定し(例えばなんらかのゲートキーパー機能と連動して)、同様の新たなH.323設定メッセージ52を作成してそこに送る。この新たな設定メッセージ52はAおよびBの同定(identities)およびプロキシサーバ42の真のIPアドレス44(例えば45.6.7.8)およびB1端末12の真のIPアドレス16(例えば10.1.1.1)を含んでいる。プロキシサーバはこのメッセージ52をあらかじめ割り当てられたポート55(ここではポート番号2777)から端末B1のパブリックIPアドレス17(例えば206.1.1.1)へ送出する。このIPパケットはプロキシサーバ42のIPアドレスを送信元、B1端末12のパブリックIPアドレス17を送信先としてラベル付けされている。
【0056】
プロキシサーバ42によって送られる新たな設定メッセージ52は以下のように表される:
【0057】
第3段階、図4および図5
ルータ34内のシンプルNAT機能はIPパケットの送信先アドレスがB1端末12の真のIPアドレス16となるようにIPパケットを変更する。パケットに含まれるH.323メッセージ53は変更されないが、プロキシサーバ42がメッセージ52を送る前に真のIPアドレス16を挿入しているので、ルータ34によって送られるメッセージ53はいまや正しいIPアドレス16を持っている。このように送られるメッセージ53はA1端末10のユーザから生じた呼であることを識別する情報を含んでいる。
【0058】
ルータ34によって変更された設定メッセージは以下のように表される:
【0059】
第4段階、図6
A1端末10およびB1端末12は、例えば公知の国際的に合意されたスタンダードによって設定されたプロセスによって、それらがオーディオおよび/またはビデオ信号を送信することを決定する。プロセスは双方向について同一であり、またオーディオとビデオについても同一である。
【0060】
B1端末12は新たなTCPポートPB1 13を準備し、このポートを通してH.245通信からの接続を受信する。その後この端末はH.323「接続」メッセージ54をプロキシサーバ42に送り返す。新たなポートのアドレス10.1.1.1/PB1はメッセージ54内に含まれる。
【0061】
これは以下のように表される:
【0062】
ルータ34はこのメッセージを以下のように変換する:
【0063】
第5段階、図7
プロキシサーバ42はIPアドレス192.1.1.1/PA1のA1端末10にH.323「接続」メッセージ56を送る。このメッセージはIPアドレス45.6.7.8/2777をA1端末がH.245接続を行うべきポートとして指名する。
【0064】
これは以下のように表される。
【0065】
ルータ34はメッセージ57を変換し、これを以下のようなものとしてA1端末10に送る:
【0066】
第6段階、図8
続いて2つの事態が独立にまたは順を追って起こる。第1にA1端子10がプロキシサーバ42とのH.245通信を確立する。H.245通信を担うIPパケット58,59はルータ32において上述の初期設定メッセージとして変換を受ける。第2にプロキシサーバ42はルータ34を介してB1端末12に対して同様のH.245接続60,61を行う。その際、上記と同様の仕方でアドレス変換を行う。この段階で、H.245メッセージ58,59;60,61中にはIPアドレスはない。
【0067】
第7段階、図9 A 乃至9 E
A1端子10およびB1端子12は通常のH.245プロトコルにしたがってオーディオおよび/またはビデオ信号を送るための論理チャネルを開く。各チャネルはオーディオまたはビデオのいずれかを搬送するものであり、両方を搬送することはない。このプロセスはすべてのチャネルについて同一である。図9Aの概括図に示すように、端末10,12およびプロキシサーバ42の両方においていくつかのポートが開かれる。
【0068】
さまざまなポートが開かれる順番はさまざまであるが、ここにひとつの特定の例を示す。特に、図9Eに示す諸ステップは図9Dの諸ステップの後に起こるものとして示されているが、図9Eの諸ステップは図9Cの諸ステップの前、あるいは図9Cと9Dの諸ステップの間に起こってもよい。
【0069】
第1に図9Bに示すように、A1端子10は動的ポート対(dynamic port pair)PA3/UDPおよびPA4/UDP 31をオーディオを送信するためのオーディオチャネルとして設定する。数値としては、RTP通信の諸規則(IETF RFC 1889のスタンダード)にしたがって、PA4 = PA3 + 1であり、またPA3は偶数である。ポートPA3はRTP通信に用いられ、ポートPA4はRTCP通信に用いられる。
【0070】
A1端子10は必要な「開論理チャネル(open logical channel)」メッセージ62をプロキシサーバ42に送る。ルータ32のNAT機能は変換されたメッセージ63およびIPパケットを以下のようにして送出する:
【0071】
その後、図9Cに示すように、プロキシサーバ42はB1端末12への同様の新たなメッセージ64を作成する。プロキシサーバ42はこのメッセージ内に信号の素性を示す情報と共に、あらかじめ割り当てられたポートの識別(identity)を入れる。メッセージ64は45.6.7.8/2777をプロキシサーバにおけるRTCPアドレスとして構成される。エンコード方式はA1端末によって選択されたエンコード方式と同一としてもよく、または異なるものとしてもよい。その後プロキシサーバ42はメッセージ64をIPパケット内でB1端末のパブリックIPアドレス17に送信する。
【0072】
このメッセージはルータ34のシンプルNAT機能を通過する。これによりパケット内の送信先IPアドレスはB1端子12の真のアドレス16に変更される。端末はメッセージ65を受信し、一対の動的ポート35を開いて信号を受信する。
【0073】
これは以下のように表される:
【0074】
その後、図9Dに示すように、B1端末12はB1端末12の真のIPアドレス16およびB1端末が開いた動的ポート35のポート番号を含む「開論理チャネル承認」応答66によって応答する。
【0075】
この「開論理チャネル承認」メッセージ66はB1端末12のRTPおよびRTCPアドレス(ここでは10.1.1/PB2および10.1.1.1/PB3)を与える。この例では、PB2は偶数であり、かつPB3 = PB2 + 1である。このメッセージ66はB1端末12の真のIPアドレス16に等しい送信元アドレスとプロキシサーバ42のIPアドレス44に等しい送信先アドレスとを有するIPパケット内に入れられる。メッセージ66はルータ34を通過し、該ルータ34はシンプルNAT機能を用い、B1端末12の真のIPアドレス16をパブリックIPアドレス17に変換した変換メッセージ67をプロキシサーバ42に送る。パケットはプロキシサーバ42に到達する。プロキシサーバ42はメッセージから得た動的ポート番号およびB1端末12のパブリックIPアドレス(206.1.1.1)を用いて、そのあらかじめ割り当てられたポート33を開き、B1端末12にオーディオ信号を送る。ルータ34はH.323メッセージ内のアドレスは変更しない。
【0076】
これは以下のように表される:
【0077】
最後に図9Eに示すように、プロキシサーバ42は「開論理チャネル承認」応答68をA1端末10のパブリックIPアドレス18に送信し、該端末にオーディオ信号を受信するであろうポートを知らせる。この例ではメッセージはプロキシサーバ42のあらかじめ割り当てられたポート2776/UDPおよび2777/UDPをそれぞれRTPおよびRTCP用のポートとして挙示する。ルータ32は送られたメッセージ69のIPパケット内の端末のIPアドレスを変更するが、応答自体は変更しない。端末はこのメッセージ69を受信し、オーディオ信号の送信を開始する。
【0078】
ルータ32によって変更される設定メッセージは以下のように変換される:
【0079】
その後、マルチメディア通信(「メディアデータ」)が2つの端末10,12の間を流れることができる。A1端末10が新たなチャネル用のメディアデータを生成すると、A1端末はそれを新たな第3のポート10.1.1.1/PA3から45.6.7.8/2776のプロキシサーバ42に送る。プロキシサーバ42はメディアデータを受信し、見かけの送信元アドレスからパケットが論理チャネルに宛てられたものであることを判別し、それを45.6.7.8/2776から206.1.1.1/PB2におけるB1端末12という経路でB1端末12に送出する。プロキシサーバ42は処理を加えてからメディアデータを送ってもよいし、あるいはメディアデータを変更せずに送出してもよい。
【0080】
この例ではプロキシサーバ42はA1端末の見かけのIPアドレス、すなわち「パブリック」IPアドレス18(ここでは192.1.1.1)を記録しなければならない。なぜならメディアデータのパケットを受け取るとき、プロキシサーバ42は真の元アドレス14(ここでは10.1.1.1)に直接アクセスすることはないからである。
【0081】
以上に説明した本発明により、異なる安全なプライベートIPデータネットワークのH.323エンドポイントどうしの通信が、個別のプライベートネットワークのデータプライバシーおよびデータセキュリティを損なうことなく可能となる。本発明の方法および装置は既存のファイアウォール、ルータおよびプロキシと協働することができ、したがってそれらの装置を完全にH.323に準拠したものにアップグレードしたり、付加的なH.323装置を配備したりする費用がかからないという利点を有する。ここに示した本発明のひとつの態様は、プライベートネットワークの端部においてシンプル(1対1)NAT(ネットワークアドレス変換)マッピングが適用された設備にも、NATをバイパスした設備にも適用される。本発明の別の態様は、プライベートネットワークの端部にNAPT(ネットワークアドレスおよびポート変換)が適用された設備に適用される。これらの2つの態様は共存可能であって、そのような装置により、一方の方法を採用したプライベートネットワークと他方の方法を採用したプライベートネットワーク間での通信を行うことが可能となる。同様に単一のプライベートネットワーク内で、一部の端末(例えば専用ルームシステム)が一方の方法を用い、他の端末(例えばデスクトップのクライアントPC)が第2の方法を用いるようにしてもよい。
【0082】
ここでは発明をITU H.323スタンダードに関連して説明したが、これはこのスタンダードがIPネットワークを含むパケットネットワーク上でのマルチメディア通信用に広く行われているスタンダードであるからである。しかし、本発明は、例えばSIP、MGCP、H.248などのように双方向的に情報を送るためにポートを動的に割り当てることを必要とする他のスタンダードまたは方法にも同様に適用することができる。
【0083】
総括すると、本発明はプライベートネットワーク内でH.323端末を許容する方法およびシステムであって、既存のセキュリティ方式および方法を損なわず、既存のファイアウォールやルータやプロキシをアップグレードする必要がなく、プライベートネットワーク内に付加的な専用H.323装置を配備することもないような方法およびシステムを提供する。また本発明は、ひとつのプライベートIPネットワーク内のスタンダードなH.323装置が、同一のあるいは別のプライベートおよび/またはパブリックIPネットワーク内の他のH.323端末と、H.323プロキシサーバを介して、共有されたあるいは公共のIPネットワークを用いて通信することを可能とする。
【0084】
なお、H.323端末の静的(static)IPアドレスは実際上それがマッピングされたパブリックIPアドレスと同一であってもよい。この場合マッピングは素通し(transparent)となる。
【0085】
以上に説明したアプローチの利点は以下のようなものである:
・ NAT機能およびファイアウォール機能をアップグレードする必要がない。
・ 接続は共有ネットワークを介してサービスプロバイダによって、または公共のインターネットを用いて企業自身によって提供されうる。
・ 信号待ち時間が最小に保たれる。
【0086】
したがって各組織は共有IPネットワーク内の共有資源を定期利用することができる。コストは最小限になり/負担分割され、かつセキュリティを損なうこともない。
【図面の簡単な説明】
【図1】 マルチメディア呼を行うための本発明の好適な実施例による通信システムの図式的な説明図である。
【図2】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図3】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図4】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図5】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図6】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図7】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図8】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9A】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9B】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9C】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9D】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9E】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
本発明はマルチメディア呼(multimedia calls)を行う通信システムに関する。
【0002】
急速に発展するIP(インターネットプロトコル)データネットワークはマルチメディアおよび音声通信サービスプロバイダにとっての新たな機会と課題を作りだしている。現職のテレコミュニケーション運営者、および次世代の通信事業者やサービスプロバイダによって、データネットワークバックボーンへの、未曾有の投資がなされている。同時にDSLやケーブルモデムといったブロードバンドアクセス技術が広範囲のユーザーに高速なインターネットアクセスを提供している。サービスプロバイダは、IPデータネットワークを利用して新たな音声・ビデオサービスおよびデータサービスを高速インターネットと平行してデスクトップ、オフィス、家庭に直接届けることを目指している。
【0003】
広域通信において、異なる製造業者による端末が相互運用される場合には、スタンダード(標準)が根本的な重要性を有する。マルチメディア分野において、パケットネットワーク(例えばIPデータネットワーク)を介してのリアルタイム通信に関する現在のスタンダードはITUスタンダードH.323である。H.323は現在では比較的成熟したスタンダードであり、マイクロソフト社、シスコ社、インテル社などの企業を含むマルチメディア通信業界の支持を得ている。例えばパーソナルコンピュータの75%にマイクロソフト社のNetMeeting(商標)プログラムがインストールされていると推計される。NetMeetingはH.323に準拠したマルチメディア(音声、ビデオおよびデータ)通信用のアプリケーションソフトウエアである。
【0004】
現在では異なる製造業者による装置間での相互運用性が達成されている。International Multimedia Communication Consortium (IMTC)の主催する最近の相互運用性イベントには世界の120を越える企業が参加した。このIMTCはマルチメディア通信装置の相互運用性を促進するための独立組織である。このイベントは製造業者が相互動作問題をテストし、かつ解決するために定期的に行われている。
【0005】
これまで、マルチメディア(特にビデオ)通信を大規模に取り込むには数多くの障害があった。かつては利用の簡便性、品質、コスト、通信帯域幅のすべてが市場の成長を妨げていた。しかし、ビデオエンコーディング技術の進歩、安価なIPアクセスがどこでも得られる状況、およびデータネットワークへの現在の投資が、DSLやISDNやケーブルモデムの浸透と結びついて、現在ではほとんどの問題をある程度解決し、マルチメディア通信および音声通信を可能にしている。
【0006】
H.323がスタンダードとして策定された際には、プライベートネットワーク間の広いエリアにおけるトランスポートのためにH.323をH.320に変換するH.323-H.320ゲートウェイがネットワークドメインの端部に作られるものと想定されていた。したがってIP上のH.323の導入は単一ネットワーク内の通信に集中していた。
【0007】
しかしながら、IPは広域プロトコルとして愛顧を受け続けている。ますます多くの組織が、データネットワーク全体についてIPに基礎を置き続けている。高速インターネットアクセス、管理されたイントラネット、ヴァーチャル・プライベート・ネットワークス(VPNs)のすべてにおいてIPに基礎を置くことが普通である。このIPトレンドがH.320のマルチメディアプロトコルとしての衰退を引き起こしている。市場の要求はH.320を完全にIP上のH.323に置き換えることにある。
【0008】
残念ながら、H.323の実際の広域配備には、予見できなかった技術的諸障害がいまなお存在する。この技術的諸障害はIPデータネットワークの境界における通信インフラストラクチュアに関するものである。
【0009】
H.323スタンダードはそのサービス品質に保証のないパケットベースのネットワーク上でのマルチメディア通信に適用される。それは背景にあるトランスポートネットワークおよびプロトコルからは独立して設計されている。今日IPデータネットワークはデフォールト(既定の)かつユビキタスな(遍在する)パケットネットワークであり、H.323の導入はその大部分が(全部ではないにせよ)IPデータネットワーク上でのものである。そうは言っても、今日成功しているマルチメディアおよび音声通信の導入はイントラネットすなわちプライベートに(私的に)管理されているIPネットワークに限られている。これはプライベート(私的)ネットワークとパブリックな(公共の)インターネットまたは共有され管理されるIPネットワークとの間でのH.323の広域的配備を妨げるIPトポロジーの問題(IP topological problem)があるからである。
【0010】
これらの問題は2つのIP技術、すなわちネットワークアドレス変換(NAT)およびファイアウォールに起因する。
【0011】
NATは「アドレス不足問題」を解決するところまで来た。IPネットワークのいずれのエンドポイントあるいは「ホスト」も、該エンドポイントを同定するひとつの「IPアドレス」を有しており、データパケットは正確にそこに送られるすなわちそこにルート付けされることができ、かつそこで受け取られたパケットがどこからやってきたのかを同定することができる。IPアドレスフィールドを規定した時点では、誰もデスクトップ装置の広大な成長を予見することができなかった。グローバルIPの展開の何年後かに、IPプロトコルを用いての通信を求めるエンドポイントの数がアドレスフィールドにおいて可能な固有IPアドレスの数を越えることが程なくして明らかになった。アドレスフィールドを増やし、より多くのアドレスを利用可能とするには、IPインフラストラクチュア全体を更新することが必要であった(当業界はある点において、これをIPバージョン6によって行うことを計画している。)
【0012】
今日のソリューション(解決方法)は現在NATと呼ばれているものである。IETF RFC1631で規定されたシンプルNAT(Simple NAT)と呼ばれる最初のNATソリューションは1対1マッピングを利用しており、ワールド・ワイド・ウェブが存在する前の、組織内のいくつかのホスト(例えばメールサーバやファイル転送サーバ)のみが組織外部と通信する必要があった頃に生まれたものである。NATにより企業内にプライベートIPネットワークを構築することが可能となるが、そこでは該企業内の各エンドポイントはその企業内のみで唯一固有(unique)であるが、グローバルには唯一固有ではないアドレスを有している。すなわちこれらはプライベートIPアドレスである。このことにより、ある組織内の各ホストは該組織内の任意の他のホストと通信する(すなわちアドレスする)ことが可能である。外部と通信するためには、パブリックな(公の)すなわちグローバルに唯一固有のIPアドレスが必要である。こうしたプライベートIPネットワークの端部にはプライベートIPアドレスとパブリックIPアドレスとを相互変換するNAT機能を行う装置が配備される。企業はその企業に独占的に(排他的に)属するひとつ以上のパブリックアドレスを有するが、一般的には必要なパブリックアドレスの数はホストの数よりも少ない。その理由は、外部と通信する必要があるのはいくつかのホストのみであるか、あるいは同時に外部通信する数はホスト数よりも少ないからである。より洗練された形態のNATはパブリックアドレスのプールを有し、それらのパブリックIPアドレスをファーストカム−ファーストサーブド方式(先着順方式)で外部通信を必要とするホストに動的(流動的)に割り当てている。外部装置が特定の内部装置に勝手にパケットを送る必要がある場合には固定ネットワーク規則(fixed network rules)が必要となる。
【0013】
今日ほとんどのプライベートネットワークは10.x.x.xアドレスレンジ(10.x.x.x address range)からのプライベートIPアドレスを使用している。外部通信はたいていの場合管理されたあるいは共有されたIPネットワークまたは公共のインターネットを介したサービスを提供するサービスプロバイダーを介している。各ネットワークの境界において、アドレスをパケットが伝達されるIPネットワーク内で唯一固有のものとするためのNATが用いられる。シンプル NATは完全なIPアドレスを1対1マッピングによって変換している。このマッピングは当該通信セッションが続く間、固定的または動的にもたらされる。
【0014】
NATを用いることにより、ホストのプライベートIPアドレスは外部からは不可視となる。このことによりセキュリティ(安全性)が向上する。
ウェブサーバ、メールサーバ、およびプロキシサーバなどが、それらに到達する外部通信を許容するために静的な(static)1対1NATマッピングを必要とするホストの例である。
【0015】
共通のIPプロトコルを介して接続されたコンピュータおよびネットワークは通信を容易にしたが、他方でプライバシーやセキュリティの侵害をさらに容易にもした。比較的わずかなコンピュータスキルにより、プライベートなあるいは内密の(コンフィデンシャルな)データおよびファイルにアクセスし、そうしたビジネス情報を悪用することが可能である。そのような攻撃に対する当業界における解決方法はプライベートネットワークの境界に「ファイアウォール」を配備することである。
【0016】
ファイアウォールはプライベートIPネットワークとパブリックのIPネットワークとの間を通過するIPトラフィックの種類を制限するすなわち「フィルタする(ろ過する)」ようになされている。ファイアウォールはいくつかのレベルの規則によって制限を課することができる。制限は、IPアドレス、ポート、IPトランスポートプロトコル(たとえばTCPやUDP)またはアプリケーションに対して課することができる。制限は対称ではない。すなわち典型的にはプライベートネットワーク側(ファイアウォールの内側)からパブリックネットワーク側(ファイアウォールの外側)に向かう方向に関しては、その反対方向よりも多くの通信を許容する。
【0017】
ワールド・ワイド・ウェブの誕生と共に、ファイアウォール規則をIPアドレスだけに適用することは次第に難しくなってきている。内部のホスト(すなわちあなたのPC)のいずれもが地球上に点在するいずれかの外部ホスト(ウェブサーバ)に接続することを望むかもしれないからである。この問題に対しては「well-known port(よく知られたポート)」の概念が適用される。ポートは2つのホスト間のポイント対ポイントのトランスポート接続における一方の端部を同定する。「well-known port」はひとつの「既知の(知られた)」種類のトラフィックを担うものである。IANAすなわちInternet Assigned Number Authorityはあらかじめ割り当てられたよく知られたポートおよびそれらポートの担うトラフィックの種類を特定している。例えばポート80はウェブサーフィン(httpプロトコル)トラフィックに割り当てられ、ポート25はシンプル・メール・トランスポート・プロトコル(Simple Mail Transport Protocol)に割り当てられる、等である。
【0018】
ウェブサーフィンに対するファイアウォールのフィルタリング規則の例は以下のようなものである:
・ どの内部IPアドレス/ポート番号(port number)も、TCP(Transport Connection protocol)およびHTTP(ウェブサーフィン用のアプリケーションプロトコル)を用いて、どの外部IPアドレス/ポート80に接続してもよい。
この接続は双方向的であり、したがってトラフィックはウェブサーバから同一の経路を逆に流れることができる。ポイントとなるのは接続は内部側から開始されなければならないという点である。
【0019】
e−メール用のファイアウォールフィルタリング規則の例は以下のようなものである。
・ どの外部IPアドレス/どのポート番号も、TCPおよびSMTPを用いてIPアドレス192.3.4.5/ポート25に接続してよい。
NAT機能は目的IPアドレス192.3.4.5をメールサーバの内部アドレスである10.6.7.8に変換することができる。
【0020】
以下のようなフィルタリング規則はIT管理者に好まれない。
・ どの内部IPアドレス/どのポート番号もTCPまたはUDP用のどの外部IPアドレス/どのポート番号に接続してもよい、その逆も可能。
このような規則はあまりにも広いフィルタであり、ファイアウォールを開放するに等しい。
【0021】
NAT機能およびファイアウォール機能はいずれもNATとファイアウォール機能がエンドポイント間に存在する場合にH.323通信業務を妨げる。これは典型的には、両エンドポイントが異なるプライベートネットワークに属している場合、または一方のエンドポイントがプライベートネットワーク内にあり他方のエンドポイントがインターネット内にある場合、または両エンドポイントが異なる管理されたIPネットワーク(managed IP network)に属している場合である。
【0022】
H.323は背景にあるネットワークおよびトランスポートプロトコルからは独立して設計されてきた。それでもH.323のIPネットワークへの導入は以下の主要概念の対応付け(mapping)によって可能となる。
H.323アドレス : IPアドレス
H.323論理チャネル : TCP/UDPポートコネクション
【0023】
IP上でのH.323の導入においては、H.323プロトコルメッセージはTCPまたはUDPのいずれかを用いてIPパケットのペイロードとして送信される。多くのH.323メッセージは送信元のエンドポイントまたは送信先のエンドポイントあるいはその両方のエンドポイントのH.323アドレスを含む。これはIP世界においては、そのヘッダに送信元ホストと送信先ホストのIPアドレスを有するIPパケット内で送信されるH.323メッセージの内部にIPアドレスを有しているということを意味する。
【0024】
しかしながら、シンプル NAT機能はH.323ペイロード内のH.323アドレスを変えることなく送信元ホストと送信先ホストのIPアドレスを変換する点に問題が生ずる。このことはH.323プロトコルの破壊を引き起こすものであり、H.323ペイロードアドレスを取り扱うには媒介インテリジェンス(intermediary intelligence)が必要となるからである。
【0025】
マルチメディア通信の複雑性により、H.323はエンドポイント間にいくつかの論理チャネルを開くことを要求する。論理チャネルは、呼制御、能力交換(capabilities exchange)、オーディオ、ビデオ、データについて必要である。オーディオとビデオのみを含む単純なポイント対ポイントのH.323マルチメディアセッションにおいては、少なくとも6つの論理チャネルが必要となる。H.323のIP配備においては、論理チャネルはTCPまたはUDPポートコネクションにマッピングされ、それらの多くは動的に割り当てられる。
【0026】
また別の問題として、ファイアウォール機能は規則の設定されていないポート上のトラフィックをフィルタによって排除してしまうということがある。すなわちファイアウォールを開放するか(この場合ファイアウォールの目的が無効になる)、あるいは多くのH.323トラフィックが通過不能になるか、の二つに一つとなってしまう。
【0027】
したがってH.323通信はファイアウォールにとって忌まわしいものである。ファイアウォールがH.323を認識できるようにするか、あるいはなんらかの媒介インテリジェンスによって安全なやり方でポートの割り当てを制御しなければならない。
【0028】
この問題の可能な解決方法のひとつは完全なIP H.323アップグレード(complete IP H.323 upgrade)である。これは以下のことを要求する:
・ 各IPネットワーク境界にあるシンプル NAT機能に対するH.323アップグレード。NAT機能はすべてのH.323ペイロードを走査し、一貫性をもってIPアドレスを変換しなければならない。
・ 各IPネットワーク境界にあるファイアウォール機能に対するH.323アップグレード。ファイアウォールは、動的に割り当てられるポートを開くことができるようにすべてのH.323通信を認識しおよび監視し、かつそれらのポート上のすべての非H.323トラフィックをフィルタしなければならない。
・ 境界あるいは共有されたIPネットワーク内においてH.323インテリジェンスを配備し、アドレスを分析しかつ調停すること(resolve and arbitrate addresses)。ユーザーがIPアドレスを直接用いることはほとんどない。実際には別名IPアドレス(エイリアス)を用いる。インテリジェンスはエイリアスをIPアドレスに分析する必要がある。このH.323機能はゲートキーパーと呼ばれるH.323要素(H.323 entities)に含まれる。
【0029】
この可能な解決方法の欠点は以下の通りである:
・ 各組織/プライベートネットワークは既存のH.323通信に対する同一レベルのアップグレードを有さなければならない。
・ アップグレードには費用がかかる。新たな機能性または新たな装置を購入し、計画し、配備しなければならない。IT管理者はH.323について学習しなければならない。
・ シンプル NATおよびファイアウォール機能を分析する間断ないH.323パケット解析は各ネットワーク境界において信号に待ち時間を課す。そしてオーディオおよびビデオに対する待ち時間の許容量はきわめて小さい。
【0030】
これらの問題により、ファイアウォールまたはネットワークアドレス変換(NAT)が存在する場合には、音声およびマルチメディア通信に対してH.323プロトコルは用いられていない。ひとつのアプローチとして、H.323システムをファイアウォールおよびNAT機能のパブリック側に配置するというものがある。こうすることにより、ファイアウォールおよびNAT機能はそれらのネットワークの残りの部分を保護しつつ、H.323を用いることができる。このやり方の欠点は以下のようなものである:
1.最も普及している(ユビキタスな)ビデオ通信装置はデスクトップPCである。そしてすべてのデスクトップコンピュータをパブリック側に置くのはナンセンスである。
2.ファイアウォールのパブリック側では、H.323システムは攻撃者から保護されない。
3.特別なシステムのみがH.323通信を許されることになるので、各団体はH.323の潜在的遍在性の利点を享受できない。
4.ファイアウォールがH.323システムのデータアクセスを妨げるので、各団体はH.323のデータ共有機能をフルに活用することができない。H.323システムからのデータ転送機能を可能とするためにファイアウォールを開放することはできない。なぜならその場合、攻撃者がH.323システムをリレーとして用いることができるからである。
【0031】
H.323システムはIPネットワーク上でのリアルタイムな音声およびマルチメディア通信に現在用いられている唯一のプロトコルであるわけではない。SIP(IETF RFC 2543で規定されたセッション開始プロトコルSession Initiation Protocol)、MGCP(メディアゲートウェイ制御プロトコル Media Gateway Control Protocol)、H.248(Megacoと呼ばれることもあり、ITUにおいてMGCPに相当する)といったものも当業界で受け入れられている。これらすべてのプロトコルがファイアウォールおよびNATの引き起こす同じインフラストラクチュアの問題に直面しており、なんらかの助けなしにそれら問題を解決することができないでいる。
【0032】
本発明のひとつの目的は、ファイアウォールおよびNATを介しての音声およびマルチメディア通信においてファイアウォールおよびNATの引き起こす問題を、すべてのプロトコルに対して共通の方法で解決することである。したがって、本発明をH.323プロトコルに関連して説明しているが、本発明はH.323、SIP、MGCP、Megacoおよびその他すべてのリアルタイムIP通信プロトコルに適用される。同様に、本発明はマルチメディア通信だけでなく音声のみの通信にも適用される。したがって、本明細書においては「マルチメディア」という語は音声および/またはビデオ通信の任意の組み合わせを意味するものである。
【0033】
かくして、本発明は次のような通信システムを提供する、すなわち、マルチメディア呼を行うための通信システムであって、第1のマルチメディア端末と、第2のマルチメディア端末と、共有された通信ネットワーク上でマルチメディア呼を行うための通信手段であって、それぞれ第1のマルチメディア端末および第2のマルチメディア端末と関連する第1の通信手段と第2の通信手段とを含む通信手段を備え、該第1の通信手段はマルチメディア呼が通過しなければならない第1のファイアウォールを有しており、
i) 第1のファイアウォールは第1の端末と共有された通信ネットワークとの間のある種類の通信を制限するようになされており、
ii) 各端末はマルチメディア呼を送信および/または受信するためのいくつかの論理通信ポートを有し、該論理通信ポートは少なくともひとつの動的に割り当てられるポートを含んでおり、
iii) マルチメディア呼を設定する過程において、該端末の少なくとも一方は、他方の端末に要求を送り、該要求は要求を受けた側の端末内の1つ以上の動的ポートを開くための要求である、
ような通信システムにおいて、
iv) 該システムはマルチメディア呼の過程の間、各端末に対して他方の端末のプロキシ(代理)として動作するプロキシサーバを第1の端末と第2の端末との間に備え、
v) 該プロキシサーバは端末と通信するための論理通信ポートを有し、該論理通信ポートは第1の端末との通信用の1つ以上のあらかじめ割り当てられたポートを含んでおり、
vi) 第1のファイアウォールは第1の端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信を制限しないようになされており、
vii) プロキシサーバは前記動的ポートを開く要求を、そのあらかじめ割り当てられたポートのひとつを介して受信しかつ送出するようになされている、ことを特徴とする通信システムである。
【0034】
本発明はまた、以下のようなマルチメディア呼を行う方法を提供する、すなわち、第1のマルチメディア端末と、第2のマルチメディア端末と、該第1のマルチメディア端末と第2のマルチメディア端末にそれぞれ関連する第1の通信手段と第2の通信手段とを含む通信手段とを有する通信システムであって、各端末はマルチメディア呼を送信および/または受信するためのいくつかの論理通信ポートを有し、該論理通信ポートは少なくともひとつの動的に割り当てられるポートを含んでおり、第1の通信手段は第1の端末と共有された通信ネットワークとの間のある種類の通信を制限するようになされた第1のファイアウォールを備えている通信システムを用いて、
a) 第1の通信手段と第2の通信手段を用いて、共有されたネットワーク上で第1のマルチメディア端末と第2のマルチメディア端末との間でファイアウォールを介してマルチメディア呼を設定し、
b) マルチメディア呼の設定の過程において、端末の少なくとも一方が他方の端末に要求を送って該要求を受け取る側の端末内の1つ以上の動的ポートを開かせる、
ステップを含むマルチメディア呼を行う方法において、
c) 第1の端末と第2の端末との間に、マルチメディア呼の過程の間、各端末に対して他方の端末のプロキシとして動作するプロキシサーバであって、第1の端末と通信するための1つ以上のあらかじめ割り当てられたポートを含む端末との通信用の論理通信ポートを有するプロキシサーバを設け、
d) 第1のファイアウォールを、第1の端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信を制限しないように構成し、
e) プロキシサーバを、動的ポートを開くための要求を、そのあらかじめ割り当てられたポートの1つを介して受信しかつ送出するように構成する、ことを特徴とするマルチメディア呼を行う方法である。
【0035】
このようなシステムは国際電気通信連合(International Telecommunication Union)のH.323またはH.248スタンダードに準拠するマルチメディア呼を行うために用いることができる。あるいは、このシステムをインターネット・エンジニアリング・タスク・フォース(Internet Engineering Task Force)のSIPまたはMGCPスタンダードに準拠するマルチメディア呼を行うために用いてもよい。更に、混合したプロトコル環境をサポートするようにプロキシを構成してもよい。
【0036】
共有された通信ネットワークとは加入電話網(PSTN: public switched telephone network)や公共インターネットデータネットワークなどの公共の(パブリックな)ネットワークであってもよいし、またはネットワークの境界を通過するトラフィックを分離し制限するためにファイアウォールが配備されるその他のIPネットワークであってもよい。例えば、本発明の一実施例においては、プロキシサーバはある企業のネットワークの非武装地帯(DMZ)に置かれ、ファイアウォールはDMZからプライベートネットワーク内へと入るトラフィックを制限している。
【0037】
たいていの場合、プロキシサーバは第1のマルチメディア端末からも第2のマルチメディア端末からも遠方にある。例えば、第1および第2の端末の両方に対して、共有されたIPネットワークを通じて接続される。
【0038】
多くの場合、第2の通信手段もまたマルチメディア呼が通過しなければならない第2のファイアウォールを備える。第2のファイアウォールは第2の端末と共有されたネットワークとの間のある種類の通信を制限するように構成される。その場合、プロキシサーバは1つ以上の第2の端末との通信用のあらかじめ割り当てられたポートを含む、端末との通信のための論理通信ポートを備える。ここで第2のファイアウォールは第2の端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信は制限しないように構成することができる。
【0039】
本発明の好適な実施例において、プロキシサーバのあらかじめ割り当てられたポートの数は端末に動的に割り当てられるポートの総数以下である。例えば、プロキシサーバに2つのあらかじめ割り当てられたポート、好適には3つのあらかじめ割り当てられたポートを設けることができ、そのうち1つはTCP用であり、2つはUDP用である。
【0040】
端末をマルチメディア制御信号と共にマルチメディアのメディア信号を送信および/または受信するように構成してもよい。ここで制御信号はあらかじめ割り当てられたポートの1つに送られ、メディア信号はその他のあらかじめ割り当てられたポートに送られる。
【0041】
好適には少なくとも1つの論理通信ポートをあらかじめ割り当てられたポートとし、前記要求は通信リンク上の通信を開始するための初期要求としてそのあらかじめ割り当てられたポートに送るようにする。
通信手段は、少なくとも部分的にインターネットを介してマルチメディア呼を行うように構成することができ、その場合、プロキシサーバはパブリックなインターネットプロトコルアドレスを有し、それによって端末または端末のそれぞれがプロキシサーバと通信し、ファイアウォールは端末とプロキシサーバのあらかじめ割り当てられたポートとの間の通信を制限しないように構成される。
【0042】
本発明は第1の端末と第2の端末の1つ以上の組が存在する場合に適用される。例えば、ひとつのサイトのいくつかの第1のマルチメディア端末のそれぞれが他の様々なサイトの対応する他の第2の諸端末に接続ようにしてもよい。
【0043】
添付図面を参照し、例を用いて本発明を説明する。
完全なH.323アップグレードの代替となるものを図1に関連して説明する例として示す。この図は第1の企業2および第2の企業4を含む通信システムを示している。各企業はプライベートネットワーク6,8を有しており、それらは共に1つ以上のH.323端末10,12を備えている。各プライベートネットワーク6,8はプライベートIPアドレス14,16を有し、これらのアドレスは共に10.x.x.xアドレスレンジ内にある。これらのIPアドレス14,16は静的(固定的)に割り当てられたものであっても、通常のDHCP手続きによって動的(流動的)に割り当てられたものであってもよい。外部通信は共有された、あるいは管理された、あるいは公共のインターネット20を介して行う。外部通信用に、第1の企業2は192.1.1.1から始まるパブリックIPアドレスのプール22を有し、第2の企業4は206.1.1.1から始まるパブリックIPアドレスのプール24を有する。各企業はシンプルネットワークアドレス変換(NAT)機能を行う変換規則でプログラムされたルータ32,34を有する。該シンプルNAT機能は内部アドレス14,16(プライベート)と外部アドレス22,24(パブリック)との間の固定マッピングであるかまたは動的マッピングであり、それらに基づいてプライベートネットワーク6,8上の端末10,12のH.323は対応するルータ32,34を介して、共有ネットワーク20にまず接続する。
【0044】
それぞれのプライベートネットワーク6,8は、それらの端部おいてファイアウォール機能26,28によって保護されている。このファイアウォール機能は表1に示す規則によって設定されており、H.323トラフィックを許容する。これら規則はH.323およびT.120についてのよく知られたポート(well known ports)、すなわち1718,1719,1720および1503を取り入れており、かつまた本発明の提案する新たなよく知られたポート(XおよびYと名づける)をも取り入れている。
【0045】
【表1】
上記表において、具体的に挙げられたポート番号はIANAによって合意されたスタンダードによる登録されたポート番号である。
第1の企業2内のH.323端末10が第2の企業4内の別のH.323端末12と通信するためには、例えばルータ38を介してプロキシサーバ40が接続された共有ネットワーク20が存在しなければならない。プロキシサーバ40は例えば45.6.7.8というパブリックIPアドレス44を有する。プロキシサーバはまた2つの新たなよく知られたポート番号X,Y46を有する。これらの新たなよく知られたポート番号は前もってIANAで合意され、登録されなければならない。
【0047】
H.323端末にとってプロキシサーバ40は該端末のH.323ゲートキーパー(あるいはSIP端末に対してのSIPレジストラ(SIP registrar)など)であるかのように見える。呼(call)の間、プロキシサーバはどのひとつの端末にとっても他方の端末すなわちリモート端末であるように見える。ゲートキーパーにとってはプロキシサーバはそれらゲートキーパーのすべてのエンドポイントであるように見える。ゲートキーパー機能(不図示)はプロキシサーバと同じ所に設けてもよいし、あるいはそれとは別に設けてもよい。
【0048】
H.323端末10,12のスイッチが入れられると、該端末は自身がマルチメディア呼を発信するあるいは受信する準備ができていることを知らしめるために、プロキシサーバ40を介してゲートキーパー機能をまず探索し、そして登録する。登録プロセスにおいては、ターミナルがH.323メッセージ内の自身のIPアドレス14,16をプロキシサーバ40を介してゲートキーパー機能に送る必要がある。端末を出る時点では、IPパケットのソース(送信元)アドレスフィールドは端末14,16のプライベートIPアドレスである。しかし、そのIPパケットがシンプルNAT機能を通過する際にIPパケット内の送信元アドレスはそれに対応するパブリックIPアドレスに変換される。NAT機能は端末のプライベートIPアドレスを含むH.323ペイロードを認識しないので、こちらのIPアドレスは変換されない。
【0049】
登録メッセージがゲートキーパーへの途上でプロキシサーバを通過するとき、プロキシサーバ40は端末の「見かけの(apparent)」IPアドレス22,24(すなわち、NAT変換後にパケットがどこからきたように見えるか)を端末のプライベートIPアドレスすなわち「実際の(real)」IPアドレスと共に記憶する。以降のゲートキーパー機能への呼制御要求の際、プロキシサーバはすべての呼制御がプロキシサーバのIPアドレス40においてプロキシサーバ内のさまざまな機能(呼制御、メディア制御およびメディア処理)によって行われるように命令する。ここでの本発明の説明において、プロキシサーバは単一のIPアドレスを有する単一の装置であると仮定している。本発明の他の実施形態においては、「プロキシサーバ」は協働するいくつかの装置であってもよい。また1つまたはそれ以上のプロキシサーバのそれぞれが1つまたは複数のIPアドレスを有していてもよい。複数のIPアドレスを用いる場合、通常ではそれらのIPアドレスを単一のサブネットから割り当て、そしてファイアウォール規則のプログラミングは個々のIPアドレスではなくサブネットへ出入りする許容されたポートを特定するようにする。
【0050】
H.323端末10,12がゲートキーパー登録機能をサポートしていない場合、端末は固定の(static静的な)プライベートアドレスを与えられていなければならない。その場合、ルータ32,34のシンプルNAT機能において固定NAT規則が作成されなければならず、プロキシサーバ40は端末10,12の実際のIPアドレス22,24および固定の見かけIPアドレス14,16でプログラムされなければならない。端末10,12は前の例と同様に、すべての呼制御要求をプロキシサーバ40へ送るようプログラムされる。
【0051】
図2乃至9は本発明の好適な実施形態においてマルチメディア呼を設定する方法を示す。これらの図面は以下に説明するように7つの段階もしくは局面を示している。
【0052】
第1段階、図2および図3
A1端末10のユーザAはB1端末12のユーザBにH.323ソフトウェアを用いてマルチメディア呼を発する。A1端末10において動作しているソフトウェアはAおよびBの同定(identities)およびA1端末10の真の(true)IPアドレス14およびプロキシサーバ42の真のIPアドレス44を含むH.323設定メッセージを作成する。そして、このメッセージ50は1以上のTCP IPパケットとしてローカルポートPA1 11から送られる。これらのTCP IPパケットはA1端末10のIPアドレス16を送信元(ソース)、プロキシサーバ42のIPアドレス44を送信先としてラベル付けされている。設定メッセージはプロキシサーバ42のあらかじめ割り当てられたポート41(ここではポート番号1720)に送られる。これらのパケット50はルータ32のシンプルネットワークアドレス変換(NAT)機能を通過するので、IPパケット内の送信元IPアドレス14はそれに対応するパブリックのIPアドレス18に変換される(例えば、10.1.1.1が192.1.1.1になる)。H.323メッセージ自体は変更されない。
【0053】
A1端末10から送信されるこの設定メッセージは以下のように表される:
この設定メッセージはルータ32によって変更されるが、それは以下のように表される:
第2段階、図3および図4
H.323設定メッセージ51はプロキシサーバ42に到達し、プロキシサーバ42はユーザBの位置を決定し(例えばなんらかのゲートキーパー機能と連動して)、同様の新たなH.323設定メッセージ52を作成してそこに送る。この新たな設定メッセージ52はAおよびBの同定(identities)およびプロキシサーバ42の真のIPアドレス44(例えば45.6.7.8)およびB1端末12の真のIPアドレス16(例えば10.1.1.1)を含んでいる。プロキシサーバはこのメッセージ52をあらかじめ割り当てられたポート55(ここではポート番号2777)から端末B1のパブリックIPアドレス17(例えば206.1.1.1)へ送出する。このIPパケットはプロキシサーバ42のIPアドレスを送信元、B1端末12のパブリックIPアドレス17を送信先としてラベル付けされている。
【0056】
プロキシサーバ42によって送られる新たな設定メッセージ52は以下のように表される:
第3段階、図4および図5
ルータ34内のシンプルNAT機能はIPパケットの送信先アドレスがB1端末12の真のIPアドレス16となるようにIPパケットを変更する。パケットに含まれるH.323メッセージ53は変更されないが、プロキシサーバ42がメッセージ52を送る前に真のIPアドレス16を挿入しているので、ルータ34によって送られるメッセージ53はいまや正しいIPアドレス16を持っている。このように送られるメッセージ53はA1端末10のユーザから生じた呼であることを識別する情報を含んでいる。
【0058】
ルータ34によって変更された設定メッセージは以下のように表される:
第4段階、図6
A1端末10およびB1端末12は、例えば公知の国際的に合意されたスタンダードによって設定されたプロセスによって、それらがオーディオおよび/またはビデオ信号を送信することを決定する。プロセスは双方向について同一であり、またオーディオとビデオについても同一である。
【0060】
B1端末12は新たなTCPポートPB1 13を準備し、このポートを通してH.245通信からの接続を受信する。その後この端末はH.323「接続」メッセージ54をプロキシサーバ42に送り返す。新たなポートのアドレス10.1.1.1/PB1はメッセージ54内に含まれる。
【0061】
これは以下のように表される:
ルータ34はこのメッセージを以下のように変換する:
第5段階、図7
プロキシサーバ42はIPアドレス192.1.1.1/PA1のA1端末10にH.323「接続」メッセージ56を送る。このメッセージはIPアドレス45.6.7.8/2777をA1端末がH.245接続を行うべきポートとして指名する。
【0064】
これは以下のように表される。
ルータ34はメッセージ57を変換し、これを以下のようなものとしてA1端末10に送る:
第6段階、図8
続いて2つの事態が独立にまたは順を追って起こる。第1にA1端子10がプロキシサーバ42とのH.245通信を確立する。H.245通信を担うIPパケット58,59はルータ32において上述の初期設定メッセージとして変換を受ける。第2にプロキシサーバ42はルータ34を介してB1端末12に対して同様のH.245接続60,61を行う。その際、上記と同様の仕方でアドレス変換を行う。この段階で、H.245メッセージ58,59;60,61中にはIPアドレスはない。
【0067】
第7段階、図9 A 乃至9 E
A1端子10およびB1端子12は通常のH.245プロトコルにしたがってオーディオおよび/またはビデオ信号を送るための論理チャネルを開く。各チャネルはオーディオまたはビデオのいずれかを搬送するものであり、両方を搬送することはない。このプロセスはすべてのチャネルについて同一である。図9Aの概括図に示すように、端末10,12およびプロキシサーバ42の両方においていくつかのポートが開かれる。
【0068】
さまざまなポートが開かれる順番はさまざまであるが、ここにひとつの特定の例を示す。特に、図9Eに示す諸ステップは図9Dの諸ステップの後に起こるものとして示されているが、図9Eの諸ステップは図9Cの諸ステップの前、あるいは図9Cと9Dの諸ステップの間に起こってもよい。
【0069】
第1に図9Bに示すように、A1端子10は動的ポート対(dynamic port pair)PA3/UDPおよびPA4/UDP 31をオーディオを送信するためのオーディオチャネルとして設定する。数値としては、RTP通信の諸規則(IETF RFC 1889のスタンダード)にしたがって、PA4 = PA3 + 1であり、またPA3は偶数である。ポートPA3はRTP通信に用いられ、ポートPA4はRTCP通信に用いられる。
【0070】
A1端子10は必要な「開論理チャネル(open logical channel)」メッセージ62をプロキシサーバ42に送る。ルータ32のNAT機能は変換されたメッセージ63およびIPパケットを以下のようにして送出する:
その後、図9Cに示すように、プロキシサーバ42はB1端末12への同様の新たなメッセージ64を作成する。プロキシサーバ42はこのメッセージ内に信号の素性を示す情報と共に、あらかじめ割り当てられたポートの識別(identity)を入れる。メッセージ64は45.6.7.8/2777をプロキシサーバにおけるRTCPアドレスとして構成される。エンコード方式はA1端末によって選択されたエンコード方式と同一としてもよく、または異なるものとしてもよい。その後プロキシサーバ42はメッセージ64をIPパケット内でB1端末のパブリックIPアドレス17に送信する。
【0072】
このメッセージはルータ34のシンプルNAT機能を通過する。これによりパケット内の送信先IPアドレスはB1端子12の真のアドレス16に変更される。端末はメッセージ65を受信し、一対の動的ポート35を開いて信号を受信する。
【0073】
これは以下のように表される:
その後、図9Dに示すように、B1端末12はB1端末12の真のIPアドレス16およびB1端末が開いた動的ポート35のポート番号を含む「開論理チャネル承認」応答66によって応答する。
【0075】
この「開論理チャネル承認」メッセージ66はB1端末12のRTPおよびRTCPアドレス(ここでは10.1.1/PB2および10.1.1.1/PB3)を与える。この例では、PB2は偶数であり、かつPB3 = PB2 + 1である。このメッセージ66はB1端末12の真のIPアドレス16に等しい送信元アドレスとプロキシサーバ42のIPアドレス44に等しい送信先アドレスとを有するIPパケット内に入れられる。メッセージ66はルータ34を通過し、該ルータ34はシンプルNAT機能を用い、B1端末12の真のIPアドレス16をパブリックIPアドレス17に変換した変換メッセージ67をプロキシサーバ42に送る。パケットはプロキシサーバ42に到達する。プロキシサーバ42はメッセージから得た動的ポート番号およびB1端末12のパブリックIPアドレス(206.1.1.1)を用いて、そのあらかじめ割り当てられたポート33を開き、B1端末12にオーディオ信号を送る。ルータ34はH.323メッセージ内のアドレスは変更しない。
【0076】
これは以下のように表される:
最後に図9Eに示すように、プロキシサーバ42は「開論理チャネル承認」応答68をA1端末10のパブリックIPアドレス18に送信し、該端末にオーディオ信号を受信するであろうポートを知らせる。この例ではメッセージはプロキシサーバ42のあらかじめ割り当てられたポート2776/UDPおよび2777/UDPをそれぞれRTPおよびRTCP用のポートとして挙示する。ルータ32は送られたメッセージ69のIPパケット内の端末のIPアドレスを変更するが、応答自体は変更しない。端末はこのメッセージ69を受信し、オーディオ信号の送信を開始する。
【0078】
ルータ32によって変更される設定メッセージは以下のように変換される:
その後、マルチメディア通信(「メディアデータ」)が2つの端末10,12の間を流れることができる。A1端末10が新たなチャネル用のメディアデータを生成すると、A1端末はそれを新たな第3のポート10.1.1.1/PA3から45.6.7.8/2776のプロキシサーバ42に送る。プロキシサーバ42はメディアデータを受信し、見かけの送信元アドレスからパケットが論理チャネルに宛てられたものであることを判別し、それを45.6.7.8/2776から206.1.1.1/PB2におけるB1端末12という経路でB1端末12に送出する。プロキシサーバ42は処理を加えてからメディアデータを送ってもよいし、あるいはメディアデータを変更せずに送出してもよい。
【0080】
この例ではプロキシサーバ42はA1端末の見かけのIPアドレス、すなわち「パブリック」IPアドレス18(ここでは192.1.1.1)を記録しなければならない。なぜならメディアデータのパケットを受け取るとき、プロキシサーバ42は真の元アドレス14(ここでは10.1.1.1)に直接アクセスすることはないからである。
【0081】
以上に説明した本発明により、異なる安全なプライベートIPデータネットワークのH.323エンドポイントどうしの通信が、個別のプライベートネットワークのデータプライバシーおよびデータセキュリティを損なうことなく可能となる。本発明の方法および装置は既存のファイアウォール、ルータおよびプロキシと協働することができ、したがってそれらの装置を完全にH.323に準拠したものにアップグレードしたり、付加的なH.323装置を配備したりする費用がかからないという利点を有する。ここに示した本発明のひとつの態様は、プライベートネットワークの端部においてシンプル(1対1)NAT(ネットワークアドレス変換)マッピングが適用された設備にも、NATをバイパスした設備にも適用される。本発明の別の態様は、プライベートネットワークの端部にNAPT(ネットワークアドレスおよびポート変換)が適用された設備に適用される。これらの2つの態様は共存可能であって、そのような装置により、一方の方法を採用したプライベートネットワークと他方の方法を採用したプライベートネットワーク間での通信を行うことが可能となる。同様に単一のプライベートネットワーク内で、一部の端末(例えば専用ルームシステム)が一方の方法を用い、他の端末(例えばデスクトップのクライアントPC)が第2の方法を用いるようにしてもよい。
【0082】
ここでは発明をITU H.323スタンダードに関連して説明したが、これはこのスタンダードがIPネットワークを含むパケットネットワーク上でのマルチメディア通信用に広く行われているスタンダードであるからである。しかし、本発明は、例えばSIP、MGCP、H.248などのように双方向的に情報を送るためにポートを動的に割り当てることを必要とする他のスタンダードまたは方法にも同様に適用することができる。
【0083】
総括すると、本発明はプライベートネットワーク内でH.323端末を許容する方法およびシステムであって、既存のセキュリティ方式および方法を損なわず、既存のファイアウォールやルータやプロキシをアップグレードする必要がなく、プライベートネットワーク内に付加的な専用H.323装置を配備することもないような方法およびシステムを提供する。また本発明は、ひとつのプライベートIPネットワーク内のスタンダードなH.323装置が、同一のあるいは別のプライベートおよび/またはパブリックIPネットワーク内の他のH.323端末と、H.323プロキシサーバを介して、共有されたあるいは公共のIPネットワークを用いて通信することを可能とする。
【0084】
なお、H.323端末の静的(static)IPアドレスは実際上それがマッピングされたパブリックIPアドレスと同一であってもよい。この場合マッピングは素通し(transparent)となる。
【0085】
以上に説明したアプローチの利点は以下のようなものである:
・ NAT機能およびファイアウォール機能をアップグレードする必要がない。
・ 接続は共有ネットワークを介してサービスプロバイダによって、または公共のインターネットを用いて企業自身によって提供されうる。
・ 信号待ち時間が最小に保たれる。
【0086】
したがって各組織は共有IPネットワーク内の共有資源を定期利用することができる。コストは最小限になり/負担分割され、かつセキュリティを損なうこともない。
【図面の簡単な説明】
【図1】 マルチメディア呼を行うための本発明の好適な実施例による通信システムの図式的な説明図である。
【図2】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図3】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図4】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図5】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図6】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図7】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図8】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9A】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9B】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9C】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9D】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
【図9E】 本発明の好適な実施例によるマルチメディア呼を設定する方法を示す図式的説明図である。
Claims (19)
- マルチメディア呼を行うための通信システム(1)であって、第1のマルチメディア端末(10)と、第2のマルチメディア端末(12)と、共有された通信ネットワーク上でマルチメディア呼を行うための通信手段であって、それぞれ第1のマルチメディア端末(10)および第2のマルチメディア端末(12)と関連する第1の通信手段と第2の通信手段とを含む通信手段を備え、該第1の通信手段はマルチメディア呼が通過しなければならない第1のファイアウォール(26)を有しており、
i) 第1のファイアウォール(26)は第1の端末(10)と共有された通信ネットワーク(20)との間のある種類の通信を制限するようになされており、
ii) 各端末(10,12)はマルチメディア呼を送信および/または受信するためのいくつかの論理通信ポート(27,29)を有し、該論理通信ポート(27,29)は少なくともひとつの動的に割り当てられるポート(31,35)を含んでおり、
iii) マルチメディア呼を設定する過程において、該端末(10,12)の少なくとも一方は、他方の端末に要求(62)を送り、該要求は要求を受けた側の端末内の1つ以上の動的ポート(35)を開くための要求である、
ような通信システム(1)において、
iv) 該システム(1)はマルチメディア呼の過程の間、各端末(10,12)に対して他方の端末のプロキシとして動作するプロキシサーバ(40)を第1の端末(10)と第2の端末(12)との間に備え、
v) 該プロキシサーバ(40)は端末(10,12)と通信するための論理通信ポート(33)を有し、該論理通信ポート(33)は第1の端末(10)との通信用の1つ以上のあらかじめ割り当てられたポート(41,55)を含んでおり、
vi) 第1のファイアウォール(26)は第1の端末(10)とプロキシサーバ(40)のあらかじめ割り当てられたポート(41,55)との間の通信を制限しないようになされており、
vii) プロキシサーバ(40)は前記動的ポートを開く要求(62)を、そのあらかじめ割り当てられたポート(41,55)の1つを介して受信しかつ送出(64)するようになされている、
ことを特徴とする通信システム(1)。 - 請求項1の通信システム(1)において、
viii) 前記第2の通信手段はマルチメディア呼が通過しなければならない第2のファイアウォール(28)を有し、
ix) 該第2のファイアウォール(28)は第2の端末(12)と共有された通信ネットワーク(20)との間のある種類の通信を制限するようになされており、
x) 該プロキシサーバ(40)は端末(10,12)と通信するための論理通信ポート(33)を有し、該論理通信ポート(33)は第2の端末(12)との通信用の1つ以上のあらかじめ割り当てられたポート(41,55)を含んでおり、
xi) 第2のファイアウォール(28)は第2の端末(12)とプロキシサーバ(40)のあらかじめ割り当てられたポート(41,55)との間の通信を制限しないようになされている、
ことを特徴とする通信システム(1)。 - プロキシサーバ(40)のあらかじめ割り当てられたポート(41,55)の数は端末(10,12)に動的に割り当てられるポート(31,35)の総数以下であることを特徴とする請求項1または2記載の通信システム(1)。
- プロキシサーバ(40)は少なくともひとつのあらかじめ割り当てられたポート番号を有することを特徴とする請求項3記載の通信システム(1)。
- プロキシサーバ(40)は2つのあらかじめ割り当てられたポート番号を有することを特徴とする請求項4記載の通信システム(1)。
- 端末(10,12)はマルチメディアのメディア信号を関連するマルチメディア制御信号(59,60)と共に送信および/または受信するように構成されており、該制御信号はあらかじめ割り当てられたポートの一つ(41)に送られ、かつメディア信号は他のあらかじめ割り当てられたポート(55)に送られることを特徴とする請求項1乃至5のいずれかに記載の通信システム(1)。
- 前記論理通信ポートの少なくとも1つはあらかじめ割り当てられたポートであり、前記要求(62)は通信リンク上で通信を開始するための初期要求として、そのあらかじめ割り当てられたポート(41)に送られることを特徴とする請求項1乃至6のいずれかに記載の通信システム(1)。
- 前記通信手段はマルチメディア呼を少なくとも部分的にインターネットを通じて行い、前記プロキシサーバ(40)は前記端末(10,12)または該端末の各々がプロキシサーバ(40)と通信する1つまたは複数のパブリックインターネットプロトコルアドレスを有し、前記ファイアウォール(26,28)は端末(10,12)とプロキシサーバ(40)の該インターネットプロトコルアドレスおよびあらかじめ割り当てられた論理ポート番号(41,55)との間の通信を制限しないようになされていることを特徴とする請求項1乃至7のいずれかに記載の通信システム(1)。
- 第1の端末(10)と第2の端末(12)の複数の組を含むことを特徴とする請求項1乃至8のいずれかに記載の通信システム(1)。
- 該システム(1)は国際電気通信連合のH.323スタンダードに準拠するマルチメディア呼を行うためのものであることを特徴とする請求項1乃至9のいずれかに記載の通信システム(1)。
- 該システム(1)はインターネット・エンジニアリング・タスク・フォースのSIPスタンダードに準拠するマルチメディア呼を行うためのものであることを特徴とする請求項1乃至10のいずれかに記載の通信システム(1)。
- 該システム(1)はインターネット・エンジニアリング・タスク・フォースのMGCPスタンダードに準拠するマルチメディア呼を行うためのものであることを特徴とする請求項1乃至11のいずれかに記載の通信システム(1)。
- 該システム(1)は国際電気通信連合のH.248スタンダードに準拠するマルチメディア呼を行うためのものであることを特徴とする請求項1乃至12のいずれかに記載の通信システム(1)。
- 前記第2の端末(12)は諸端末と諸エンドポイントのリモートコミュニティを提供する別のプロキシサーバ(40)であることを特徴とする請求項1乃至13のいずれかに記載の通信システム(1)。
- 企業間の通信サービスを提供するためにサードパーティがプロキシサーバ(40)を設置することを特徴とする請求項1乃至14のいずれかに記載の通信システム(1)。
- 第1の端末の企業が、他の企業またはサービスプロバイダまたは該企業の遠方の支社との外部通信サービスを提供するためにプロキシサーバ(40)を設置することを特徴とする請求項1乃至15のいずれかに記載の通信システム(1)。
- ゲートキーパ機能がプロキシサーバ(40)と同一箇所にあることを特徴とする請求項1乃至16のいずれかに記載の通信システム(1)。
- ゲートキーパ機能がプロキシサーバ(40)とは別のシステムとしてあることを特徴とする請求項1乃至16のいずれかに記載の通信システム(1)。
- 第1のマルチメディア端末(10)と、第2のマルチメディア端末(12)と、該第1のマルチメディア端末(10)と第2のマルチメディア端末(12)にそれぞれ関連する第1の通信手段と第2の通信手段とを含む通信手段とを有する通信システム(1)であって、各端末(10,12)はマルチメディア呼を送信および/または受信するためのいくつかの論理通信ポート(11,13)を有し、該論理通信ポート(11,13)は少なくともひとつの動的に割り当てられるポート(31,35)を含んでおり、第1の通信手段は第1の端末(10)と共有された通信ネットワーク(20)との間のある種類の通信を制限するようになされた第1のファイアウォール(26)を備えている通信システム(1)を用いて、
a) 第1の通信手段と第2の通信手段を用いて、共有されたネットワーク(20)上で第1のマルチメディア端末(10)と第2のマルチメディア端末(12)との間でファイアウォール(26)を介してマルチメディア呼を設定し、
b) マルチメディア呼の設定の過程において、端末(10,12)の少なくとも一方が他方の端末に要求(62)を送って該要求を受け取る側の端末内の1つ以上の動的ポート(35)を開かせる、
ステップを含むマルチメディア呼を行う方法において、
c) 第1の端末(10)と第2の端末(12)との間に、マルチメディア呼の過程の間、各端末(10,12)に対して他方の端末のプロキシとして動作するプロキシサーバ(40)であって、第1の端末(10)と通信するための1つ以上のあらかじめ割り当てられたポート(41,55)を含む端末(10,12)との通信用の論理通信ポート(33)を有するプロキシサーバを設け、
d) 第1のファイアウォール(26)を、第1の端末(10)とプロキシサーバ(40)のあらかじめ割り当てられたポート(41,55)との間の通信を制限しないように構成し、
e) プロキシサーバ(40)を、動的ポート(35)を開くための要求(62)を、そのあらかじめ割り当てられたポート(41,55)の1つを介して受信しかつ送出(64)するように構成する、
ことを特徴とするマルチメディア呼を行う方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0018547A GB2365256A (en) | 2000-07-28 | 2000-07-28 | Audio-video telephony with port address translation |
| PCT/GB2001/003308 WO2002011400A1 (en) | 2000-07-28 | 2001-07-24 | Audio-video telephony with firewalls and network address translation |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2004505552A JP2004505552A (ja) | 2004-02-19 |
| JP2004505552A5 JP2004505552A5 (ja) | 2005-04-07 |
| JP3774191B2 true JP3774191B2 (ja) | 2006-05-10 |
Family
ID=9896517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002515801A Expired - Fee Related JP3774191B2 (ja) | 2000-07-28 | 2001-07-24 | ファイアウォールおよびネットワークアドレス変換を有するオーディオ−ビデオ回線技術 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US8499344B2 (ja) |
| EP (2) | EP1305927B1 (ja) |
| JP (1) | JP3774191B2 (ja) |
| CN (1) | CN1198433C (ja) |
| AT (1) | ATE304773T1 (ja) |
| AU (2) | AU2001275697B2 (ja) |
| CA (1) | CA2415357C (ja) |
| DE (1) | DE60113435T2 (ja) |
| GB (1) | GB2365256A (ja) |
| HK (1) | HK1051101A1 (ja) |
| WO (1) | WO2002011400A1 (ja) |
Families Citing this family (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2812991B1 (fr) * | 2000-08-08 | 2003-01-24 | France Telecom | Traduction d'identificateurs de terminaux d'installation d'usager dans un reseau de paquets |
| US7003481B2 (en) | 2000-08-25 | 2006-02-21 | Flatrock Ii, Inc. | Method and apparatus for providing network dependent application services |
| GB2369746A (en) | 2000-11-30 | 2002-06-05 | Ridgeway Systems & Software Lt | Communications system with network address translation |
| US7050422B2 (en) * | 2001-02-20 | 2006-05-23 | Innomedia Pte, Ltd. | System and method for providing real time connectionless communication of media data through a firewall |
| US7068655B2 (en) | 2001-06-14 | 2006-06-27 | Nortel Networks Limited | Network address and/or port translation |
| US20030009561A1 (en) | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
| US7684317B2 (en) | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
| DE10147147A1 (de) * | 2001-09-25 | 2003-04-24 | Siemens Ag | Verfahren und Vorrichtung zur Realisierung einer Firewallanwendung für Kommunikationsdaten |
| US7769865B1 (en) * | 2001-10-16 | 2010-08-03 | Sprint Communications Company L.P. | Configuring computer network communications in response to detected firewalls |
| US7408928B2 (en) * | 2001-12-21 | 2008-08-05 | Nortel Networks Limited | Methods and apparatus for setting up telephony connections between two address domains having overlapping address ranges |
| AU2003211053A1 (en) * | 2002-02-11 | 2003-09-04 | Polycom, Inc. | System and method for videoconferencing across a firewall |
| US7668306B2 (en) | 2002-03-08 | 2010-02-23 | Intel Corporation | Method and apparatus for connecting packet telephony calls between secure and non-secure networks |
| US20030177390A1 (en) * | 2002-03-15 | 2003-09-18 | Rakesh Radhakrishnan | Securing applications based on application infrastructure security techniques |
| US20030221009A1 (en) * | 2002-05-21 | 2003-11-27 | Logitech Europe S.A. | Dual mode peer-to-peer link establishment for instant message video |
| TW574805B (en) * | 2002-07-25 | 2004-02-01 | Leadtek Research Inc | Network address translation system and method thereof |
| DE10245547B3 (de) * | 2002-09-30 | 2004-05-13 | Tenovis Gmbh & Co. Kg | Verfahren zum Aufbau einer VoIP-Telefonverbindung in einem gesicherten Netzwerk sowie Schaltungsanordnung |
| DE10321227A1 (de) * | 2003-05-12 | 2004-12-09 | Siemens Ag | Verfahren zum Datenaustausch zwischen Netzelementen |
| CN100440886C (zh) | 2003-09-02 | 2008-12-03 | 华为技术有限公司 | 多媒体协议穿越网络地址转换设备的实现方法 |
| US7380011B2 (en) * | 2003-10-01 | 2008-05-27 | Santera Systems, Inc. | Methods and systems for per-session network address translation (NAT) learning and firewall filtering in media gateway |
| US8661158B2 (en) | 2003-12-10 | 2014-02-25 | Aventail Llc | Smart tunneling to resources in a network |
| US8590032B2 (en) * | 2003-12-10 | 2013-11-19 | Aventail Llc | Rule-based routing to resources through a network |
| TWI245192B (en) * | 2003-12-11 | 2005-12-11 | Inst Information Industry | Method, system and storage medium for passing through network address translation device |
| US7694127B2 (en) * | 2003-12-11 | 2010-04-06 | Tandberg Telecom As | Communication systems for traversing firewalls and network address translation (NAT) installations |
| CN100359874C (zh) * | 2004-01-12 | 2008-01-02 | 华为技术有限公司 | 接收方所在的多媒体业务中心获取私网地址的方法 |
| US7580419B2 (en) * | 2004-02-17 | 2009-08-25 | Zyxel Communications Corp | Network system integrated with SIP call server and SIP agent client |
| EP1613024A1 (en) * | 2004-06-29 | 2006-01-04 | Alcatel Alsthom Compagnie Generale D'electricite | Method and call server for establishing a bidirectional peer-to-peer communication link |
| US8571011B2 (en) * | 2004-08-13 | 2013-10-29 | Verizon Business Global Llc | Method and system for providing voice over IP managed services utilizing a centralized data store |
| US8634537B2 (en) * | 2004-08-16 | 2014-01-21 | Aspect Software, Inc. | Method of routing calls from a contact center |
| JP4480535B2 (ja) * | 2004-09-30 | 2010-06-16 | 株式会社アドイン研究所 | トンネル装置、中継装置、端末装置、呼制御システム、ip電話システム、会議装置、これらの制御方法及びプログラム |
| WO2006044820A2 (en) | 2004-10-14 | 2006-04-27 | Aventail Corporation | Rule-based routing to resources through a network |
| US20060106929A1 (en) * | 2004-10-15 | 2006-05-18 | Kenoyer Michael L | Network conference communications |
| US8149739B2 (en) * | 2004-10-15 | 2012-04-03 | Lifesize Communications, Inc. | Background call validation |
| US7545435B2 (en) | 2004-10-15 | 2009-06-09 | Lifesize Communications, Inc. | Automatic backlight compensation and exposure control |
| CN100353721C (zh) * | 2004-10-20 | 2007-12-05 | 尚宏电子股份有限公司 | 一种可穿透防火墙的双向信号传输装置 |
| US7826602B1 (en) * | 2004-10-22 | 2010-11-02 | Juniper Networks, Inc. | Enabling incoming VoIP calls behind a network firewall |
| FR2878346A1 (fr) * | 2004-11-22 | 2006-05-26 | France Telecom | Procede et systeme de mesure de l'usage d'une application |
| CN1783835A (zh) * | 2004-11-30 | 2006-06-07 | 西门子(中国)有限公司 | 一种在Internet网络中逐跳识别实时业务的方法 |
| US20060123473A1 (en) * | 2004-12-07 | 2006-06-08 | Cheng-Su Huang | Two-way communication device capable of communicating through a firewall |
| JP4561983B2 (ja) * | 2005-01-13 | 2010-10-13 | 日本電気株式会社 | ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム |
| US7526536B2 (en) | 2005-04-12 | 2009-04-28 | International Business Machines Corporation | System and method for port assignment management across multiple nodes in a network environment |
| DE102005020924A1 (de) | 2005-05-04 | 2006-11-09 | Siemens Ag | Verfahren und Vorrichtung zur Umsetzung von Internet-Protokoll-Adressen innerhalb eines Kommunikationsnetzwerkes |
| AU2006333118B2 (en) * | 2005-12-15 | 2011-06-09 | Barclays Capital Inc | System and method for secure remote desktop access |
| CN100384168C (zh) * | 2005-12-30 | 2008-04-23 | 四川长虹电器股份有限公司 | H.323系统的多媒体会话穿越nat设备的方法 |
| US8331263B2 (en) * | 2006-01-23 | 2012-12-11 | Microsoft Corporation | Discovery of network nodes and routable addresses |
| US8560828B2 (en) * | 2006-04-13 | 2013-10-15 | Directpacket Research, Inc. | System and method for a communication system |
| US7710978B2 (en) * | 2006-04-13 | 2010-05-04 | Directpacket Research, Inc. | System and method for traversing a firewall with multimedia communication |
| US8605730B2 (en) * | 2006-04-13 | 2013-12-10 | Directpacket Research, Inc. | System and method for multimedia communication across disparate networks |
| US7773588B2 (en) * | 2006-04-13 | 2010-08-10 | Directpacket Research, Inc. | System and method for cross protocol communication |
| US8555371B1 (en) | 2009-07-17 | 2013-10-08 | Directpacket Research, Inc. | Systems and methods for management of nodes across disparate networks |
| US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
| US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
| US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
| US20080244723A1 (en) * | 2007-03-27 | 2008-10-02 | Microsoft Corporation | Firewall Restriction Using Manifest |
| US9661267B2 (en) * | 2007-09-20 | 2017-05-23 | Lifesize, Inc. | Videoconferencing system discovery |
| WO2010088774A1 (en) * | 2009-02-06 | 2010-08-12 | Sagem-Interstar, Inc. | Scalable nat traversal |
| US8305421B2 (en) * | 2009-06-29 | 2012-11-06 | Lifesize Communications, Inc. | Automatic determination of a configuration for a conference |
| TW201125330A (en) * | 2009-12-29 | 2011-07-16 | Gemtek Technolog Co Ltd | Network address transforming method, network address transformer and communication system for multimedia streaming. |
| CN101917409B (zh) * | 2010-07-23 | 2013-04-24 | 深圳粤和通科技有限公司 | 一种多媒体流的传输方法及系统 |
| CN101909011B (zh) * | 2010-08-04 | 2013-01-23 | 华为数字技术(成都)有限公司 | 报文传输方法、系统、客户端和代理网关 |
| JP4802295B1 (ja) * | 2010-08-31 | 2011-10-26 | 株式会社スプリングソフト | ネットワークシステム及び仮想プライベート接続形成方法 |
| US9306903B2 (en) * | 2011-09-13 | 2016-04-05 | Cable Television Laboratories, Inc. | Deterministic mapping |
| CN102316119B (zh) * | 2011-10-12 | 2014-06-25 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
| US9014060B2 (en) | 2012-06-21 | 2015-04-21 | Level 3 Communications, Llc | System and method for integrating VoIP client for audio conferencing |
| US8925045B2 (en) * | 2012-12-28 | 2014-12-30 | Futurewei Technologies, Inc. | Electronic rendezvous-based two stage access control for private networks |
| US10834138B2 (en) | 2018-08-13 | 2020-11-10 | Akamai Technologies, Inc. | Device discovery for cloud-based network security gateways |
| US10958624B2 (en) * | 2018-12-06 | 2021-03-23 | Akamai Technologies, Inc. | Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment |
| CN112969046B (zh) * | 2021-02-05 | 2024-09-20 | 招联消费金融股份有限公司 | 一种基于内网代理的视频面签系统和方法 |
Family Cites Families (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5301320A (en) | 1991-06-28 | 1994-04-05 | Digital Equipment Corporation | Workflow management and control system |
| EP0615198A1 (en) | 1993-03-08 | 1994-09-14 | International Business Machines Corporation | Method for processing, handling, and presenting data pertaining to an enterprise in the form of a data model |
| US5781550A (en) | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
| DE69708281T2 (de) | 1996-04-24 | 2002-05-16 | Nortel Networks Ltd., St.Laurent | Internetprotokoll-filter |
| US6138162A (en) * | 1997-02-11 | 2000-10-24 | Pointcast, Inc. | Method and apparatus for configuring a client to redirect requests to a caching proxy server based on a category ID with the request |
| US6104716A (en) | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
| US6473406B1 (en) | 1997-07-31 | 2002-10-29 | Cisco Technology, Inc. | Method and apparatus for transparently proxying a connection |
| US6470386B1 (en) | 1997-09-26 | 2002-10-22 | Worldcom, Inc. | Integrated proxy interface for web based telecommunications management tools |
| US6058431A (en) * | 1998-04-23 | 2000-05-02 | Lucent Technologies Remote Access Business Unit | System and method for network address translation as an external service in the access server of a service provider |
| US6449260B1 (en) * | 1998-05-01 | 2002-09-10 | Siemens Information And Communication Networks, Inc. | Multimedia automatic call distribution system |
| GB9814412D0 (en) * | 1998-07-03 | 1998-09-02 | Northern Telecom Ltd | Communications method and apparatus |
| US6360265B1 (en) | 1998-07-08 | 2002-03-19 | Lucent Technologies Inc. | Arrangement of delivering internet protocol datagrams for multimedia services to the same server |
| US6401128B1 (en) | 1998-08-07 | 2002-06-04 | Brocade Communiations Systems, Inc. | System and method for sending and receiving frames between a public device and a private device |
| US6438597B1 (en) | 1998-08-17 | 2002-08-20 | Hewlett-Packard Company | Method and system for managing accesses to a data service system that supports persistent connections |
| US6470020B1 (en) * | 1998-11-03 | 2002-10-22 | Nortel Networks Limited | Integration of stimulus signalling protocol communication systems and message protocol communication systems |
| US6449251B1 (en) * | 1999-04-02 | 2002-09-10 | Nortel Networks Limited | Packet mapper for dynamic data packet prioritization |
| US6925076B1 (en) * | 1999-04-13 | 2005-08-02 | 3Com Corporation | Method and apparatus for providing a virtual distributed gatekeeper in an H.323 system |
| US6885658B1 (en) * | 1999-06-07 | 2005-04-26 | Nortel Networks Limited | Method and apparatus for interworking between internet protocol (IP) telephony protocols |
| WO2001015397A1 (en) * | 1999-08-24 | 2001-03-01 | Leighton Hanna King | On-demand connection system for internet services |
| GB9920834D0 (en) * | 1999-09-04 | 1999-11-10 | Hewlett Packard Co | Providing secure access through network firewalls |
| US7120692B2 (en) | 1999-12-02 | 2006-10-10 | Senvid, Inc. | Access and control system for network-enabled devices |
| US7069432B1 (en) * | 2000-01-04 | 2006-06-27 | Cisco Technology, Inc. | System and method for providing security in a telecommunication network |
| US6757732B1 (en) * | 2000-03-16 | 2004-06-29 | Nortel Networks Limited | Text-based communications over a data network |
| US6631417B1 (en) | 2000-03-29 | 2003-10-07 | Iona Technologies Plc | Methods and apparatus for securing access to a computer |
| US7814208B2 (en) | 2000-04-11 | 2010-10-12 | Science Applications International Corporation | System and method for projecting content beyond firewalls |
| US6996628B2 (en) | 2000-04-12 | 2006-02-07 | Corente, Inc. | Methods and systems for managing virtual addresses for virtual networks |
| US6631416B2 (en) | 2000-04-12 | 2003-10-07 | Openreach Inc. | Methods and systems for enabling a tunnel between two computers on a network |
| US20020042832A1 (en) | 2000-08-14 | 2002-04-11 | Fallentine Mark D. | System and method for interoperability of H.323 video conferences with network address translation |
| US20020101859A1 (en) * | 2000-09-12 | 2002-08-01 | Maclean Ian B. | Communicating between nodes in different wireless networks |
| GB2369746A (en) | 2000-11-30 | 2002-06-05 | Ridgeway Systems & Software Lt | Communications system with network address translation |
| KR100360274B1 (ko) | 2000-12-30 | 2002-11-09 | 엘지전자 주식회사 | Nat 기반 로컬망에서 범용 ip 전화통신 시스템을지원하는 방법 |
| US7155518B2 (en) | 2001-01-08 | 2006-12-26 | Interactive People Unplugged Ab | Extranet workgroup formation across multiple mobile virtual private networks |
| US7631349B2 (en) | 2001-01-11 | 2009-12-08 | Digi International Inc. | Method and apparatus for firewall traversal |
| AU2002234258A1 (en) | 2001-01-22 | 2002-07-30 | Sun Microsystems, Inc. | Peer-to-peer network computing platform |
| US6993012B2 (en) | 2001-02-20 | 2006-01-31 | Innomedia Pte, Ltd | Method for communicating audio data in a packet switched network |
| WO2002082763A2 (en) | 2001-02-20 | 2002-10-17 | Innomedia Pte Ltd. | System and method for establishing channels for a real time media streaming communication |
| US6928082B2 (en) | 2001-03-28 | 2005-08-09 | Innomedia Pte Ltd | System and method for determining a connectionless communication path for communicating audio data through an address and port translation device |
| US7050422B2 (en) | 2001-02-20 | 2006-05-23 | Innomedia Pte, Ltd. | System and method for providing real time connectionless communication of media data through a firewall |
| US20020138627A1 (en) | 2001-03-26 | 2002-09-26 | Frantzen Michael T. | Apparatus and method for managing persistent network connections |
| US8363647B2 (en) | 2001-04-03 | 2013-01-29 | Voxpath Networks, Inc. | System and method for configuring an IP telephony device |
| US7068647B2 (en) | 2001-04-03 | 2006-06-27 | Voxpath Networks, Inc. | System and method for routing IP packets |
| US7272650B2 (en) | 2001-04-17 | 2007-09-18 | Intel Corporation | Communication protocols operable through network address translation (NAT) type devices |
| US20030009561A1 (en) | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
| US20030033418A1 (en) | 2001-07-19 | 2003-02-13 | Young Bruce Fitzgerald | Method of implementing and configuring an MGCP application layer gateway |
| AU2002323364A1 (en) | 2001-08-24 | 2003-03-10 | Peribit Networks, Inc. | Dynamic multi-point meshed overlay network |
| US7321925B2 (en) | 2001-09-18 | 2008-01-22 | Intel Corporation | Load balancing and fault tolerance for server-based software applications |
| US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
| US7274684B2 (en) | 2001-10-10 | 2007-09-25 | Bruce Fitzgerald Young | Method and system for implementing and managing a multimedia access network device |
| US20030084162A1 (en) | 2001-10-31 | 2003-05-01 | Johnson Bruce L. | Managing peer-to-peer access to a device behind a firewall |
| US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
| US7379465B2 (en) | 2001-12-07 | 2008-05-27 | Nortel Networks Limited | Tunneling scheme optimized for use in virtual private networks |
| US7013342B2 (en) | 2001-12-10 | 2006-03-14 | Packeteer, Inc. | Dynamic tunnel probing in a communications network |
| US7227864B2 (en) | 2001-12-17 | 2007-06-05 | Microsoft Corporation | Methods and systems for establishing communications through firewalls and network address translators |
| US7257630B2 (en) | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7152105B2 (en) | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7664845B2 (en) | 2002-01-15 | 2010-02-16 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US20030140142A1 (en) | 2002-01-18 | 2003-07-24 | David Marples | Initiating connections through firewalls and network address translators |
| US7133368B2 (en) | 2002-02-01 | 2006-11-07 | Microsoft Corporation | Peer-to-peer method of quality of service (QoS) probing and analysis and infrastructure employing same |
| US20030154306A1 (en) | 2002-02-11 | 2003-08-14 | Perry Stephen Hastings | System and method to proxy inbound connections to privately addressed hosts |
| AU2003226128A1 (en) | 2002-03-27 | 2003-10-13 | First Virtual Communications | System and method for traversing firewalls with protocol communications |
| US7676579B2 (en) | 2002-05-13 | 2010-03-09 | Sony Computer Entertainment America Inc. | Peer to peer network communication |
| US7243141B2 (en) | 2002-05-13 | 2007-07-10 | Sony Computer Entertainment America, Inc. | Network configuration evaluation |
| WO2003105010A1 (en) | 2002-06-06 | 2003-12-18 | Neoteris, Inc. | Method and system for providing secure access to private networks |
| US6674758B2 (en) | 2002-06-06 | 2004-01-06 | Clinton Watson | Mechanism for implementing voice over IP telephony behind network firewalls |
| US7143188B2 (en) | 2002-06-13 | 2006-11-28 | Nvidia Corporation | Method and apparatus for network address translation integration with internet protocol security |
| US20030233471A1 (en) | 2002-06-17 | 2003-12-18 | Julian Mitchell | Establishing a call in a packet-based communications network |
| US7277963B2 (en) | 2002-06-26 | 2007-10-02 | Sandvine Incorporated | TCP proxy providing application layer modifications |
| US7694127B2 (en) | 2003-12-11 | 2010-04-06 | Tandberg Telecom As | Communication systems for traversing firewalls and network address translation (NAT) installations |
-
2000
- 2000-07-28 GB GB0018547A patent/GB2365256A/en not_active Withdrawn
-
2001
- 2001-07-24 JP JP2002515801A patent/JP3774191B2/ja not_active Expired - Fee Related
- 2001-07-24 AU AU2001275697A patent/AU2001275697B2/en not_active Ceased
- 2001-07-24 EP EP01953201A patent/EP1305927B1/en not_active Expired - Lifetime
- 2001-07-24 AU AU7569701A patent/AU7569701A/xx active Pending
- 2001-07-24 DE DE60113435T patent/DE60113435T2/de not_active Expired - Lifetime
- 2001-07-24 WO PCT/GB2001/003308 patent/WO2002011400A1/en active IP Right Grant
- 2001-07-24 CA CA2415357A patent/CA2415357C/en not_active Expired - Fee Related
- 2001-07-24 US US10/332,785 patent/US8499344B2/en active Active
- 2001-07-24 EP EP04078039A patent/EP1515515A1/en not_active Withdrawn
- 2001-07-24 CN CNB018132537A patent/CN1198433C/zh not_active Expired - Lifetime
- 2001-07-24 AT AT01953201T patent/ATE304773T1/de not_active IP Right Cessation
-
2003
- 2003-05-06 HK HK03103213A patent/HK1051101A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| EP1305927B1 (en) | 2005-09-14 |
| EP1515515A1 (en) | 2005-03-16 |
| DE60113435D1 (de) | 2005-10-20 |
| GB0018547D0 (en) | 2000-09-13 |
| CA2415357C (en) | 2011-08-30 |
| CN1198433C (zh) | 2005-04-20 |
| ATE304773T1 (de) | 2005-09-15 |
| AU2001275697B2 (en) | 2006-11-23 |
| JP2004505552A (ja) | 2004-02-19 |
| EP1305927A1 (en) | 2003-05-02 |
| WO2002011400A1 (en) | 2002-02-07 |
| HK1051101A1 (en) | 2003-07-18 |
| GB2365256A (en) | 2002-02-13 |
| US20040037268A1 (en) | 2004-02-26 |
| CA2415357A1 (en) | 2002-02-07 |
| AU7569701A (en) | 2002-02-13 |
| US8499344B2 (en) | 2013-07-30 |
| CN1444815A (zh) | 2003-09-24 |
| DE60113435T2 (de) | 2006-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3774191B2 (ja) | ファイアウォールおよびネットワークアドレス変換を有するオーディオ−ビデオ回線技術 | |
| JP3757399B2 (ja) | 通信システム | |
| EP1692844B1 (en) | Methods and devices for traversing firewalls and network address translation (nat) installations | |
| AU2005201075B2 (en) | Apparatus and method for voice processing of voice over internet protocol (VOIP) | |
| RU2396716C2 (ru) | Оборудование, система и способ связи между клиентом и серверной стороной | |
| US20030033418A1 (en) | Method of implementing and configuring an MGCP application layer gateway | |
| AU2002218404A1 (en) | Communications system | |
| KR101368172B1 (ko) | 호출자 통신 클라이언트와 피호출자 통신 클라이언트 간의 통신 세션을 셋업하는 방법과 이 통신 세션의 셋업을 가능하게 하는 통신 네트워크와 컴퓨터 프로그램 | |
| Gou et al. | Multi-agent system for multimedia communications traversing NAT/firewall in next generation networks | |
| EP2529530B1 (en) | System for rapidly establishing human/machine communication links using predistributed static network-address maps in sip networks | |
| WO2002017035A2 (en) | Method and system for establishing connections between terminals connected to network environments having different ip-addressing schemes | |
| KR100511059B1 (ko) | 보안 유지된 네트웍과 개방된 네트웍간에 멀티미디어 통신시스템 및 방법 | |
| Cook | Design of a Voice-Aware Firewall Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051226 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060124 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060216 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090224 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090224 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100224 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110224 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110224 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120224 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120224 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130224 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130224 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140224 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140224 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140224 Year of fee payment: 8 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |