JP4372629B2 - Fw制御を行うsip通信制御装置およびそのfw制御方法 - Google Patents

Fw制御を行うsip通信制御装置およびそのfw制御方法 Download PDF

Info

Publication number
JP4372629B2
JP4372629B2 JP2004199275A JP2004199275A JP4372629B2 JP 4372629 B2 JP4372629 B2 JP 4372629B2 JP 2004199275 A JP2004199275 A JP 2004199275A JP 2004199275 A JP2004199275 A JP 2004199275A JP 4372629 B2 JP4372629 B2 JP 4372629B2
Authority
JP
Japan
Prior art keywords
global
address
port number
network
sip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004199275A
Other languages
English (en)
Other versions
JP2006025002A (ja
Inventor
純一郎 黒木
和仁 林
高穂 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004199275A priority Critical patent/JP4372629B2/ja
Publication of JP2006025002A publication Critical patent/JP2006025002A/ja
Application granted granted Critical
Publication of JP4372629B2 publication Critical patent/JP4372629B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、アドレス体系の異なるネットワーク間においてNAT/FW(Network Address Translation/Fire Wall)装置と連携してSIP(Session Initiation Protocol)メッセージ内のIPアドレス変換と、FW(Fire Wall)を介してメディア送受信を行うため、ピンホールを登録することでFW制御を行うSIP通信制御装置およびそのFW制御方法に関する。
SIPはアプリケーションレイヤにもIPアドレス情報が記載されるため、Global IPアドレス、Private IPアドレスなどアドレス体系の異なるネットワーク間においてSIP通信を行うためには、NAT装置により行われるネットワークレイヤのアドレス変換に加えて、SIPメッセージ内のアドレス変換を行う必要がある。その方法の一つとして、ALG(Application Level Gateway)装置がNAT装置と連携することによりSIPメッセージ内のアドレス変換を行なう方法が一般的に知られている。この方法を実現するためには、ALG装置およびNAT装置で「Privateアドレス」と「変換後Globalアドレス」を効率良く管理する必要があるが、その詳細技術については非特許文献1「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるアドレス変換エントリの管理方式に関する一考察」において紹介されている。
また、FW装置を介してSIP通信を行う場合、RTP(Real-time Transport Protocol)を用いて行われるメディア通信については端末が任意に設定するPort番号を用いて通信を行うため、FWの通過が不可能となる。この問題を解決する一つの方法として、SIPメッセージのSDP(Session Description Protocol)部分を解析し、端末がRTPの送受信に用いるIPアドレス、Port番号のみを一時的に通過可能とするように、NAT/FW装置を動的に制御するピンホール制御方式が一般的である。ここで、FW装置は通常NAT機能も同時に動作させるケースが多いため、NAT/FW装置に対してALG装置からピンホールの制御をする詳細技術について非特許文献2「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるファイアウォール制御方式に関する一検討」において紹介されている。
林和仁、柴田高穂、諏訪裕一、小幡洋昭、黒木純一郎、「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるアドレス変換エントリの管理方式に関する一考察」、電子情報通信学会技術研究報告、vol.102、No.512、NS2002−188、p.25−28、Dec.2002 黒木純一郎、林和仁、諏訪裕一、柴田高穂、「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるファイアウォール制御方式に関する一検討」、電子情報通信学会技術研究報告、vol.102、No.691、NS2002−248、p.105−108、Mar.2003
しかし、非特許文献1「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるファイアウォール制御方式に関する一検討」において紹介されているような従来の方法では、ALG装置は特に接続の形態(送受信端末の位置関係)まで意識してピンホール制御を行なっているわけではない。例えば、Globalネットワークに配備されたSIP Serverを経由して同一のPrivate側ネットワーク内の2端末で通信を行なう場合、すなわちSIPシグナリングがPrivateからGlobalの方向でNAT/FW装置を経由してSIP Serverに到達し、その後GlobalからPrivateの方向へ同一のNAT/FW装置を経由して折り返す場合、ALG装置は接続の形態を意識しているわけではないため、NAT/FW装置に対してピンホールの登録を行なってしまう。しかし、同一ネットワーク内の通信であるため、SIP Serverを介する必要のない音声、映像のメディアについてはPrivate側のネットワーク内でルーティングされることとなり、その結果として不要なピンホールを登録してしまうこととなってしまい、セキュリティ上の懸念がある。本発明の目的は、よりセキュリティの高いSIP通信を可能とすると共に、ピンホールを開放するために必要となるNAT/FW装置のリソースを節約することを可能とする技術を提供することにある。
本発明のFW制御を行うSIP通信制御装置は、ネットワークレイヤの送受信IPアドレスとトランスポートレイヤの送受信ポート番号の組により、アクセス制御を行うファイアウォール(FW)機能、ならびに、「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の変換、およびそれらの逆変換を行うNAT(Network Address Translation)機能を配備した、NAT/FW装置と連携して、SIP(Session Initiation Protocol)メッセージ内のIPアドレス変換機能、SDP(Session Description Protocol)の情報を管理しているデータベース、および、前記データベースに登録された情報に基づいてメディア送受信に用いるIPアドレス、ポート番号の組を前記NAT/FW装置に登録することで前記IPアドレス、ポート番号の組のメディア通信のみFWを通過させることを可能とするFW制御機能を配備したSIP通信制御装置であって、前記メディア送受信に用いるIPアドレス、ポート番号を取得する際に、メッセージがPrivateネットワークの端末からGlobalネットワークに配備されたSIP Serverへ通過する際に取得した変換後「Global IPアドレス、Globalポート番号」と、メッセージがGlobalネットワークに配備されたSIP ServerからPrivateネットワークの端末へ通過する際に取得した「Global IPアドレス、Globalポート番号」を比較する手段と、前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一でない場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録する手段と、前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一である場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録しない手段と、を有することを特徴とする。
本発明のSIP通信制御装置におけるFW制御方法は、ネットワークレイヤの送受信IPアドレスとトランスポートレイヤの送受信ポート番号の組により、アクセス制御を行うファイアウォール(FW)機能、ならびに、「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の変換、およびそれらの逆変換を行うNAT(Network Address Translation)機能を配備した、NAT/FW装置と連携して、SIP(Session Initiation Protocol)メッセージ内のIPアドレス変換機能、SDP(Session Description Protocol)の情報を管理しているデータベース、および、前記データベースに登録された情報に基づいてメディア送受信に用いるIPアドレス、ポート番号の組を前記NAT/FW装置に登録することで前記IPアドレス、ポート番号の組のメディア通信のみFWを通過させることを可能とするFW制御機能を配備したSIP通信制御装置におけるFW制御方法であって、前記メディア送受信に用いるIPアドレス、ポート番号を取得する際に、メッセージがPrivateネットワークの端末からGlobalネットワークに配備されたSIP Serverへ通過する際に取得した変換後「Global IPアドレス、Globalポート番号」と、メッセージがGlobalネットワークに配備されたSIP ServerからPrivateネットワークの端末へ通過する際に取得した「Global IPアドレス、Globalポート番号」を比較するステップと、前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一でない場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録するステップと、前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一である場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録しないステップと、を有することを特徴とする。
本発明に係るSIP通信制御装置を用いることで、従来のように同一ネットワーク内の通信で、メディアはネットワーク内をNAT/FW装置を経由することなく送受信しているにもかかわらず、NAT/FW装置に対して不要なピンホールの登録を行なうということを抑止することが可能となる。その結果、よりセキュリティの高いSIP通信が可能となると共に、ピンホールを開放するために必要となるNAT/FW装置のリソースを節約することが可能となると期待できる。
以下に本発明の実施の形態として、SIP通信制御装置およびNAT/FW装置を用いてアドレス体系の異なるネットワーク間においてVoIP通信を行う場合を例に図1〜図4を用いて詳細に説明する。なお、ステップをSと略記する。
図1は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いてIPアドレス体系の異なるネットワーク間においてVoIP通信を行う際のシステムの全体構成の一例を説明するためのブロック図である。
図2は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いて、Globalネットワークに配備されたSIP Serverを経由して、Privateネットワークの端末と、Globalネットワークの端末間でVoIP通信を行う場合の一般的な信号シーケンスおよびSIP通信制御装置の動作概要を説明するための図である。なお、図2に記載されるシーケンスは本発明の実施形態の説明に必要な部分だけを記載することにより簡略化している。
図3は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いて、Globalネットワークに配備されたSIP Serverを経由して、同一のPrivateネットワークの端末間でVoIP通信を行う場合の一般的な信号シーケンスおよびSIP通信制御装置の動作概要を説明するための図である。なお、図3に記載されるシーケンスは本発明の実施形態の説明に必要な部分だけを記載することにより簡略化している。
図4は、本発明の実施形態のSIP通信制御装置において、SIPメッセージを受信した後に、通信の経路を識別してピンホールを登録するか否かを判断する際の処理フローを示した図である。
本発明の実施形態のSIP通信制御装置およびNAT/FW装置が用いられるシステムの全体構成の一例を図1を用いて説明する。
SIP通信制御装置10は、NAT/FW装置20と接続されており、NAT/FW装置20はアドレス体系の異なるネットワーク、ネットワークA(Privateネットワーク)30およびネットワークB(Globalネットワーク)31を収容した構成となっている。
SIP通信制御装置10は情報処理部100、データベース110により構成されており、情報処理部100は通信経路識別機能1010を有するFW制御機能101とSIPメッセージ内のIPアドレス変換機能102を備え、データベース110はSDP情報管理テーブルを有しSDPの情報を管理している。
NAT/FW装置20はNAT機能210およびFW機能200を有する。ここでFW機能はNAT変換前のアドレス体系のネットワーク、NAT変換前のアドレス体系のネットワークそれぞれに配備されている。
ネットワークA(Privateネットワーク)30はスイッチ301を介して、IP電話端末A302−a、IP電話端末B302−bと接続されており、またネットワークB(Globalネットワーク)31はスイッチ311を介してIP電話端末C313、およびSIP Server312と接続されている。
次に、本発明の実施形態における信号シーケンスおよびSIP通信制御装置の動作概要を説明する。以下の説明では煩雑さを避けるためIPアドレスの変換についてのみ説明するが、実際には、アドレス変換は「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の組について行われ、また、データベース110のSDP情報管理テーブル等への登録、メディア送受信に用いるIPアドレス、ポート番号の組としてのNAT/FW装置への登録もこれらの組によって行われる。
図2のシーケンス例および図4の処理フローを用いて、PrivateネットワークのIP電話端末A302−aから発呼され、GlobalネットワークのSIP Server312を介して、GlobalネットワークのIP電話端末C313に着信する場合のSIP通信制御装置10およびNAT/FW装置20の動作の説明を行う。図2の例では、IP電話端末A302−aのPrivate IPアドレスは192.168.0.1であり、IP電話端末C313のGlobal IPアドレスは140.0.0.1である。
IP電話端末A302−aから送信されたINVITEメッセージをNAT/FW装置20において受信すると、NAT/FW装置20は、ネットワークレイヤのIPアドレス変換を行なった後、アプリケーションレイヤにおけるSIPのアドレス変換を行う処理およびFWを制御するための処理のためINVITEメッセージをSIP通信制御装置10へと転送する。SIP通信制御装置10では、INVITEメッセージを受信すると、SIPメッセージ内のIPアドレス変換機能102により、NAT/FW装置20によって変換されたネットワークレイヤのIPアドレスに基づいて、SIPメッセージ内のPrivateアドレスをGlobalアドレスへと変換する(図4のS101、S102)。図2の例では、IP電話端末A302−aのPrivate IPアドレス192.168.0.1をGlobal IPアドレス130.0.0.1へ変換している(S121)。SIPのアドレス変換の詳細な方法については本出願人による関連特許出願の明細書、特願2002−330300号明細書「アドレス変換組の生存時間取得・計算を可能としたALG装置」、特願2002−332300号明細書「APIおよびそれを用いた通信」、特願2002−333541号明細書「アプリケーションレイヤにおけるアドレス変換装置」、特願2002−327085号明細書「IPアドレス変換装置」、特願2004−010430号明細書「複数NAT/FW制御装置接続に対応したSIP−ALGの呼関連リソース管理方法及びそのSIP−ALG」、特願2004−003967号明細書「SIP−ALGの呼状態管理方法」に示されている。
次に、ピンホールを登録するため、FW制御機能101においてSDPのPrivateアドレスと、変換後Globalアドレスをデータベース110のSDP情報管理テーブルへと格納する(図4のS103)。図2の例では、IP電話端末A302−aのPrivate IPアドレス(図2ではLocalと表記)192.168.0.1と変換後のGlobal IPアドレス(図2では変換後Globalと表記)130.0.0.1がデータベース110のSDP情報管理テーブル(図2ではSDPテーブルと表記)に保持される(S121)。なお、ピンホールとはNAT/FW装置20のFW機能200に対するフィルタのことであり、FW機能200は登録された送受信IPアドレス、送受信ポート番号の組と一致したIPアドレス、ポート番号のパケットのみを通過させる。本実施形態においては、SIP通信制御装置10がNAT/FW装置20のFW機能200にピンホールの登録を行い、メディア信号(主にRTP:Real Time Transport Protocol)をIP電話端末A302−a、IP電話端末C313間で送受信できるようにし、また、メディア信号の送受信が終了したときはピンホール削除を行う。ピンホールの登録方法については、本出願人による特願2003−041328号明細書「SIP通信制御装置」、特願2003−010430号明細書「複数NAT/FW装置接続に対応したSIP−ALGの呼関連リソース管理方法及びそのSIP−ALG」に示されている。
SIP通信制御装置10でSIPメッセージ内のアドレス変換が行われたINVITEメッセージは、NAT/FW装置20に戻され、SIP Server312を経由し、GlobalのIP電話端末C313に着信し、応答信号である200 OKメッセージが生成される。INVITEメッセージと同様に200 OKメッセージも前記NAT/FW装置20から前記SIP通信制御装置10へと転送され、GlobalのSDP情報を取得する(図4のS104)。図2の例では、受信した200 OKメッセージに記載されたIP電話端末C313のGlobal IPアドレス140.0.0.1を取得する(S122)。その後、S121でデータベース110のSDP情報管理テーブルへと格納した変換後GlobalアドレスとS122で取得したGlobalアドレスを比較して同一か否か識別する(図4のS105)。ここで、200 OKメッセージに記載されたGlobalアドレスはIP電話端末C313が設定したアドレスであるため、データベース110のSDP情報管理テーブルに格納されている変換後GlobalアドレスとS122で取得したGlobalアドレスは同一とならず、Privateネットワーク、Globalネットワーク間の通信であると判断できるため、Globalアドレスをデータベース110のSDP情報管理テーブルへと格納する(図4のS201)。図2の例では、データベース110のSDP情報管理テーブルに保持されている変換後Global IPアドレスは130.0.0.1で、200 OKメッセージに記載されたGlobal IPアドレスは140.0.0.1であり、これらを比較すると同一ではないため、200 OKメッセージに記載されたIP電話端末C313のGlobal IPアドレス140.0.0.1をSDP情報管理テーブルへ保持する(S123)。その後、従来の方法に基づき、必要に応じてSDP情報管理テーブルに保持(登録)された情報に基づいてピンホールの登録を行いメディアのFW通過を可能とする(図4のS202)。図2の例では、SIP通信制御装置10は、SDP情報管理テーブルに保持されているIP電話端末A302−aのPrivate IPアドレス(図2ではLocalと表記)192.168.0.1と変換後のGlobal IPアドレス(図2では変換後Globalと表記)130.0.0.1と、IP電話端末C313のGlobal IPアドレス(図2ではGlobalと表記)140.0.0.1を、メディア送受信に用いるIPアドレス、ポート番号としてNAT/FW装置20にピンホール登録し(S124)、IP電話端末A302−aに200 OKメッセージを送信する。NAT/FW装置20は、ピンホール登録されたIPアドレス、ポート番号の組のメディア通信のみFW機能200を通過させ、それにより、IP電話端末A302−aとIP電話端末C313との間のメディア通信が可能となる。
次に、図3のシーケンス例および図4の処理フローを用いて、PrivateネットワークのIP電話端末A302−aから発呼され、GlobalネットワークのSIP Server312を経由し、折り返し、IP電話端末A302−aが属するPrivateネットワークと同一PrivateネットワークのIP電話端末B302−bに着信する場合のSIP通信制御装置10およびNAT/FW装置20の動作の説明を行う。IP電話端末A302−aとIP電話端末B302−bは同一Privateネットワークに存在しており、図3の例では、IP電話端末A302−aのPrivate IPアドレスは192.168.0.1であり、IP電話端末B302−bのPrivate IPアドレスは192.168.0.2である。
SIP通信制御装置10において、IP電話端末A302−aから送信されたINVITEメッセージを受信し、SIPメッセージ内のPrivateアドレスをGlobalアドレスへと変換するところまでは、図2を用いて説明したPrivate、Global端末間の通信と同様であり、次のように処理がなされる。IP電話端末A302−aから送信されたINVITEメッセージをNAT/FW装置20において受信すると、NAT/FW装置20は、ネットワークレイヤのIPアドレス変換を行なった後、アプリケーションレイヤにおけるSIPのアドレス変換を行う処理およびFWを制御するための処理のためINVITEメッセージをSIP通信制御装置10へと転送する。SIP通信制御装置10では、INVITEメッセージを受信すると、SIPメッセージ内のIPアドレス変換機能102により、NAT/FW装置20によって変換されたネットワークレイヤのIPアドレスに基づいて、SIPメッセージ内のPrivateアドレスをGlobalアドレスへと変換する(図4のS101、S102)。図3の例では、IP電話端末A302−aのPrivate IPアドレス192.168.0.1をGlobal IPアドレス130.0.0.1へ変換している(S131)。次に、ピンホールを登録するため、FW制御機能101においてSDPのPrivateアドレスと、変換後Globalアドレスをデータベース110のSDP情報管理テーブルへと格納する(図4のS103)。図3の例では、IP電話端末A302−aのPrivate IPアドレス(図3ではLocalと表記)192.168.0.1と変換後のGlobal IPアドレス(図3では変換後Globalと表記)130.0.0.1がデータベース110のSDP情報管理テーブル(図3ではSDPテーブルと表記)に保持される(S131)。
SIP通信制御装置10でSIPメッセージ内のアドレス変換が行われたINVITEメッセージは、NAT/FW装置20に戻され、SIP Server312経由後、着信先がIP電話端末A302−aが属するPrivateネットワークと同一Privateネットワークであるため、INVITEメッセージは再度NAT/FW装置20およびSIP通信制御装置10を経由して折り返す。ここで、Privateから変換された変換後GlobalはPrivateへ逆変換されるが、FW制御機能101はGlobalアドレスとして、変換後Globalアドレスを取得する(図4のS104、ただし、この場合は、受信したメッセージは、200 OKメッセージではなく、SIP Server312経由で戻ってきたINVITEメッセージである)。図3の例では、SIP Server312経由で戻ってきたINVITEメッセージの送信元Global IPアドレスとして130.0.0.1を取得する(S132)。ここで、FW制御機能101内の通信経路識別機能1010において、変換後GlobalアドレスとGlobalアドレスを比較して(図4のS105)、本ケースに示したように同一となる場合は、同一ネットワーク内の通信であると判断して、データベース110のSDP情報管理テーブルへと保持しない(図4のS106)。図3の例では、S131においてデータベース110のSDP情報管理テーブルに格納されたIP電話端末A302−aの変換後Global IPアドレス130.0.0.1と、SIP Server312経由で戻ってきたINVITEメッセージの送信元Global IPアドレス130.0.0.1とを比較し、同一であるためこのIPアドレスをデータベース110のSDP情報管理テーブルへ保持しない(S132)。
その後INVITEメッセージはIP電話端末B302−bに着信し、応答信号である200 OKメッセージが生成される。IP電話端末Bで生成された応答信号200 OKメッセージについても同様に、PrivateからGlobalに変換する場合は、Privateアドレスと変換後Globalアドレスをデータベース110のSDP情報管理テーブルへと保持するが、GlobalからPrivateの方向では変換後GlobalアドレスとGlobalアドレスが同一となるためSDP情報管理テーブルへは保持しない。
以下、IP電話端末B302−bからの応答信号200 OKメッセージの処理について詳細に説明する。
IP電話端末B302−bから送信された200 OKメッセージをNAT/FW装置20において受信すると、NAT/FW装置20は、ネットワークレイヤのIPアドレス変換を行なった後、アプリケーションレイヤにおけるSIPのアドレス変換を行う処理およびFWを制御するための処理のため200 OKメッセージをSIP通信制御装置10へと転送する。SIP通信制御装置10では、200 OKメッセージを受信すると、SIPメッセージ内のIPアドレス変換機能102により、NAT/FW装置20によって変換されたネットワークレイヤのIPアドレスに基づいて、SIPメッセージ内のPrivateアドレスをGlobalアドレスへと変換する(図4のS101、S102、ただし、この場合は、S101で受信したメッセージは、INVITEメッセージではなく、IP電話端末B302−bからの応答信号である200 OKメッセージである)。図3の例では、IP電話端末B302−bのPrivate IPアドレス192.168.0.2をGlobal IPアドレス130.0.0.2へ変換している(S133)。次に、ピンホールを登録するため、FW制御機能101においてSDPのPrivateアドレスと、変換後Globalアドレスをデータベース110のSDP情報管理テーブルへと格納する(図4のS103)。図3の例では、IP電話端末B302−bのPrivate IPアドレス192.168.0.2と変換後のGlobal IPアドレス130.0.0.2がデータベース110のSDP情報管理テーブルに保持される(S133)。
SIP通信制御装置10でSIPメッセージ内のアドレス変換が行われた200 OKメッセージは、NAT/FW装置20に戻され、SIP Server312経由後、再度NAT/FW装置20およびSIP通信制御装置10を経由して折り返す。ここで、Privateから変換された変換後GlobalはPrivateへ逆変換されるが、FW制御機能101はGlobalアドレスとして、変換後Globalアドレスを取得する(図4のS104)。図3の例では、SIP Server312経由で戻された200 OKメッセージの送信元Global IPアドレスとして130.0.0.2を取得する(S134)。ここで、FW制御機能101内の通信経路識別機能1010において、変換後GlobalアドレスとGlobalアドレスを比較して(図4のS105)、同一ネットワーク内の通信であると判断して、データベース110のSDP情報管理テーブルへと保持しない(図4のS106)。図3の例では、S133においてデータベース110のSDP情報管理テーブルに格納されたIP電話端末B302−bの変換後Global IPアドレス130.0.0.2と、SIP Server312経由で戻された200 OKメッセージの送信元Global IPアドレス130.0.0.2とを比較し、同一であるためこのIPアドレスをデータベース110のSDP情報管理テーブルへ保持しない(S134)。結局、情報が揃わないため、SIP通信制御装置10はNAT/FW装置20にピンホール登録を行わない(S135)。NAT/FW装置20はIP電話端末A302−aに200 OKメッセージを送信する。IP電話端末A302−aとIP電話端末B302−bは同一Privateネットワークに属してるため、NAT/FW装置20にピンホール登録がなされていなくても、メディア通信が可能である。
以上のような処理を追加することで、同一ネットワーク内の通信においてはデータベース110のSDP情報管理テーブルにGlobalアドレスが保持されないため、ピンホール登録が行なわれず、不要なピンホールの開放を抑止することが可能となる。
以上説明したように、ピンホールを用いて不要なピンホールの登録を抑制する方法としては、PrivateからGlobal方向へ信号が通過する際に取得した「変換後Globalアドレス」と、GldbalからPrivate方向へ信号が通過する際に取得した「Globalアドレス」比較することが有効である。Globalネットワークに配備されたSIP Serverを経由して同一のPrivate側ネットワーク内の2端末で通信を行なう場合、すなわちSIP Serverで信号が折り返す場合は、「変換後Globalアドレス」と「Globalアドレス」は同一となるため、同一となる場合は「Globalアドレス」をALG内部で管理するデータベースへと登録しないことで、「変換前Privateアドレス」「変換後Globalアドレス」「Globalアドレス」全ての情報が揃わなくなるためピンホールの登録を行なうことは無い。このような方法を用いることで、不要なピンホールの登録の抑制を行なうことが可能となる。
本実施形態のSIP通信制御装置10、NAT/FW装置20はその機能を実現する手段を備えている。また、本実施形態のSIP通信制御装置10、NAT/FW装置20はコンピュータとプログラムによっても実現できる。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いてIPアドレス体系の異なるネットワーク間においてVoIP通信を行う際のシステムの全体構成の一例を説明するためのブロック図である。 図2は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いて、Globalネットワークに配備されたSIP Serverを経由して、Privateネットワークの端末と、Globalネットワークの端末間でVoIP通信を行う場合の一般的な信号シーケンスおよびSIP通信制御装置の動作概要を説明するための図である。 図3は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いて、Globalネットワークに配備されたSIP Serverを経由して、同一のPrivateネットワークの端末間でVoIP通信を行う場合の一般的な信号シーケンスおよびSIP通信制御装置の動作概要を説明するための図である。 図4は、本発明の実施形態のSIP通信制御装置において、SIPメッセージを受信した後に、通信の経路を識別してピンホールを登録するか否かを判断する際の処理フローを示した図である。
符号の説明
10:SIP通信制御装置
100:情報処理部
101:FW制御機能
102:SIPメッセージ内のIPアドレス変換機能
1010:通信経路識別機能
20:NAT/FW装置
200:FW機能
210:NAT機能
30:ネットワークA(Privateネットワーク)
31:ネットワークB(Globalネットワーク)
301、311:スイッチ
302−a、302−b、313:IP電話端末A〜C
312:SIP Server

Claims (2)

  1. ネットワークレイヤの送受信IPアドレスとトランスポートレイヤの送受信ポート番号の組により、アクセス制御を行うファイアウォール(FW)機能、ならびに、「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の変換、およびそれらの逆変換を行うNAT(Network Address Translation)機能を配備した、NAT/FW装置と連携して、
    SIP(Session Initiation Protocol)メッセージ内のIPアドレス変換機能、SDP(Session Description Protocol)の情報を管理しているデータベース、および、前記データベースに登録された情報に基づいてメディア送受信に用いるIPアドレス、ポート番号の組を前記NAT/FW装置に登録することで前記IPアドレス、ポート番号の組のメディア通信のみFWを通過させることを可能とするFW制御機能を配備したSIP通信制御装置であって、
    前記メディア送受信に用いるIPアドレス、ポート番号を取得する際に、メッセージがPrivateネットワークの端末からGlobalネットワークに配備されたSIP Serverへ通過する際に取得した変換後「Global IPアドレス、Globalポート番号」と、メッセージがGlobalネットワークに配備されたSIP ServerからPrivateネットワークの端末へ通過する際に取得した「Global IPアドレス、Globalポート番号」を比較する手段と、
    前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一でない場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録する手段と、
    前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一である場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録しない手段と、
    を有することを特徴とするFW制御を行うSIP通信制御装置。
  2. ネットワークレイヤの送受信IPアドレスとトランスポートレイヤの送受信ポート番号の組により、アクセス制御を行うファイアウォール(FW)機能、ならびに、「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の変換、およびそれらの逆変換を行うNAT(Network Address Translation)機能を配備した、NAT/FW装置と連携して、
    SIP(Session Initiation Protocol)メッセージ内のIPアドレス変換機能、SDP(Session Description Protocol)の情報を管理しているデータベース、および、前記データベースに登録された情報に基づいてメディア送受信に用いるIPアドレス、ポート番号の組を前記NAT/FW装置に登録することで前記IPアドレス、ポート番号の組のメディア通信のみFWを通過させることを可能とするFW制御機能を配備したSIP通信制御装置におけるFW制御方法であって、
    前記メディア送受信に用いるIPアドレス、ポート番号を取得する際に、メッセージがPrivateネットワークの端末からGlobalネットワークに配備されたSIP Serverへ通過する際に取得した変換後「Global IPアドレス、Globalポート番号」と、メッセージがGlobalネットワークに配備されたSIP ServerからPrivateネットワークの端末へ通過する際に取得した「Global IPアドレス、Globalポート番号」を比較するステップと、
    前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一でない場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録するステップと、
    前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一である場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録しないステップと、
    を有することを特徴とするSIP通信制御装置におけるFW制御方法。
JP2004199275A 2004-07-06 2004-07-06 Fw制御を行うsip通信制御装置およびそのfw制御方法 Expired - Fee Related JP4372629B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004199275A JP4372629B2 (ja) 2004-07-06 2004-07-06 Fw制御を行うsip通信制御装置およびそのfw制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004199275A JP4372629B2 (ja) 2004-07-06 2004-07-06 Fw制御を行うsip通信制御装置およびそのfw制御方法

Publications (2)

Publication Number Publication Date
JP2006025002A JP2006025002A (ja) 2006-01-26
JP4372629B2 true JP4372629B2 (ja) 2009-11-25

Family

ID=35797989

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004199275A Expired - Fee Related JP4372629B2 (ja) 2004-07-06 2004-07-06 Fw制御を行うsip通信制御装置およびそのfw制御方法

Country Status (1)

Country Link
JP (1) JP4372629B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007300523A (ja) * 2006-05-02 2007-11-15 Ntt Resonant Inc 通信制御装置及び通信制御方法
JP4555311B2 (ja) * 2007-01-31 2010-09-29 日本電信電話株式会社 トンネル通信システム、制御装置およびトンネル通信装置
JP7067815B1 (ja) * 2021-01-15 2022-05-16 Necプラットフォームズ株式会社 セキュリティ機器、方法、及び制御プログラム

Also Published As

Publication number Publication date
JP2006025002A (ja) 2006-01-26

Similar Documents

Publication Publication Date Title
EP2833597B1 (en) Apparatus and method for communications involving a legacy device
KR101128971B1 (ko) 방수 시스템, 경로 변경 장치 및 기억 매체
US7443842B2 (en) Communication control apparatus
US10033454B2 (en) Communication path control device, communication path control system, communication path control method and communication path control program
JP2007049415A (ja) 音声データ変換装置、ネットワークシステム、制御方法及び制御プログラム
JP2007124486A (ja) 通信制御方法
US20130007291A1 (en) MEDIA INTERWORKING IN IPv4 AND IPv6 SYSTEMS
JP4266188B2 (ja) 通信システム及びこの通信システムで使用される通信端末装置、及び通信システムで使用される通信方法
CN105516176A (zh) 一种呼叫中心系统及其通信连接方法和装置
US20080318556A1 (en) Ip based lawful interception on legacy equipment
US20060092919A1 (en) Inter-enterprise telephony using a central brokerage device
JP6048129B2 (ja) 通信システムと装置と方法とプログラム
JP4372629B2 (ja) Fw制御を行うsip通信制御装置およびそのfw制御方法
JP2023540063A (ja) 合法的傍受のためのパケットのルーティングのための方法、システムおよびコンピュータ読取可能媒体
JP4711109B2 (ja) 通信データモニタリングシステム及び方法
CN105491180B (zh) 一种通过背靠背代理实现网间通信的方法
US20100232442A1 (en) Communication apparatus and method
JP4555005B2 (ja) プロトコル変換サーバ
JP5782407B2 (ja) ネットワークシステムおよびnapt実施回数低減方法
JP5114001B2 (ja) セッション確立方法、セッション中継システム、これに用いる制御装置及びルータ、プログラム
JP6780978B2 (ja) 情報記録制御装置及び情報記録制御方法
JP2007318707A (ja) Ip通信網の相互接続システム及びip通信網の相互接続方法
JP4381190B2 (ja) Dmzを介した外部ネットワークからイントラネット上のサーバへの端末識別の登録
JP4313707B2 (ja) 通信装置、通信方法及びそのプログラム
CN114938414A (zh) 隔离软交换端的话务代理方法、系统、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060713

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081118

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090901

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090902

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130911

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees