JP4679393B2 - Sip通信システム、sipゲートウェイ装置及びそれらに用いるsip通信制御方法 - Google Patents
Sip通信システム、sipゲートウェイ装置及びそれらに用いるsip通信制御方法 Download PDFInfo
- Publication number
- JP4679393B2 JP4679393B2 JP2006055655A JP2006055655A JP4679393B2 JP 4679393 B2 JP4679393 B2 JP 4679393B2 JP 2006055655 A JP2006055655 A JP 2006055655A JP 2006055655 A JP2006055655 A JP 2006055655A JP 4679393 B2 JP4679393 B2 JP 4679393B2
- Authority
- JP
- Japan
- Prior art keywords
- sip
- communication
- gateway
- rtp
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明はSIP通信システム、SIPゲートウェイ装置及びそれらに用いるSIP通信制御方法に関し、特にインタネットを介したプライベートアドレス拠点からのSIP(Session Initiation Protocol)通信に関する。
従来、インタネットを介したプライベートアドレス拠点からのSIP通信の代表としては、SIP−NAT(Network Address Translator)を用いてSIP通信を行う通信システムがある(例えば、非特許文献1参照)。このシステムの構成を図6に示す。
図6において、この通信システムでは、拠点201にIP(Internet Protocol)フォンに代表されるSIP端末2−1とSIP−NAT5−1とが存在し、拠点202にSIP端末2−2とSIP−NAT5−2とが存在し、センタ拠点300にSIPサーバ3とセンタルータ4とが存在している。
SIP−NAT5−1とSIP−NAT5−2とセンタルータ4とは、IPsec(IP security protocol)トンネルが設定可能であり、SIP−NAT5−1とセンタルータ4との間にはIPsecトンネル102が、SIP−NAT5−2とセンタルータ4との間にはIPsecトンネル103が予め設定されている。
SIP端末2−1とSIP端末2−2との間で行われるSIPパケットの通信は、SIPサーバ3を経由するため、グローバルネットワーク100上では、SIP−NAT5−1,5−2とセンタルータ4とのグローバルアドレスを用いたIPsecトンネルの中を通過する。つまり、SIPパケットのセキュリティは、IPsecトンネル102とIPsecトンネル103とを予め設定しておくことによって保たれるものとする。
RFC(Request For Comments)1631 "The IP Network Address Translator(NAT)"(May 1994)
しかしながら、上述した従来のSIP−NAT等に代表されるインタネットを介したSIP通信では、SIP−NAT5−1から送信された通話のRTP(Real−time Transport Protocol)通信において、宛先がSIP−NAT5−2のグローバルアドレスとなるため、通常、IPsecトンネル102とIPsecトンネル103とを経由せずに、直接グローバルネットワーク100を通過する。したがって、このSIP通信では、通話のRTP通信がインタネット内で盗聴、改変される危険性があるという問題がある。
また、従来のSIP通信では、上記の問題を回避するために、すべてのRTP通信をIPsecトンネル102やIPsecトンネル103を経由する設定を行った場合、すべての拠点のRTP通信がセンタルータ4に集中し、負荷が非常に増したり、センタルータ4と拠点201,202が非常に離れた場所にあった場合、通話の遅延についても影響が発生するという問題がある。
さらに、従来のSIP通信では、RTPのポート番号がSIPシーケンスで確定するまで不定であるため、グローバルネットワーク100上のRTP通信路上に存在するファイアウォールでRTP通信を通過させるための設定が困難であるという問題がある。
さらにまた、従来のSIP通信では、SIP−NATによる実現方法の場合、SIPペイロード内に含まれるすべてのプライベートアドレスをグローバルアドレスに変換する必要があるため、キャッシュ等にて管理するアドレスが大きくなりすぎることによって、メモリが増加し、処理が複雑化するという問題がある。
そこで、本発明の目的は上記の問題点を解消し、拠点内アドレスをプライベートアドレスで構成することができ、RTP通信の盗聴や改変を防ぐことができるSIP通信システム、SIPゲートウェイ装置及びそれらに用いるSIP通信制御方法を提供することにある。
本発明によるSIP通信システムは、第1及び第2のSIP(Session Initiation Protocol)ゲートウェイ装置がそれぞれSIPサーバに接続されるSIP通信システムであって、
前記第1及び第2のSIPゲートウェイ装置各々は、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段と、前記第1及び第2のSIPゲートウェイ装置各々は、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る手段とを備え、
前記第1及び第2のSIPゲートウェイ装置が、前記第1のSIPゲートウェイ装置に接続される第1のSIP端末と前記第2のSIPゲートウェイ装置に接続される第2のSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに前記第1及び第2のゲートウェイ装置各々のアドレスを記録し、
前記第1及び第2のSIPゲートウェイ装置は、前記SIPペイロードに含まれる対向する前記第2及び第1のSIPゲートウェイ装置のアドレス及び前記第1のSIP端末と前記第2のSIP端末との間で使われるRTPアドレス、ポート番号を検知し、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定している。
前記第1及び第2のSIPゲートウェイ装置各々は、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段と、前記第1及び第2のSIPゲートウェイ装置各々は、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る手段とを備え、
前記第1及び第2のSIPゲートウェイ装置が、前記第1のSIPゲートウェイ装置に接続される第1のSIP端末と前記第2のSIPゲートウェイ装置に接続される第2のSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに前記第1及び第2のゲートウェイ装置各々のアドレスを記録し、
前記第1及び第2のSIPゲートウェイ装置は、前記SIPペイロードに含まれる対向する前記第2及び第1のSIPゲートウェイ装置のアドレス及び前記第1のSIP端末と前記第2のSIP端末との間で使われるRTPアドレス、ポート番号を検知し、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定している。
本発明によるSIPゲートウェイ装置は、SIP(Session Initiation Protocol)サーバに接続されるSIPゲートウェイ装置であって、
他のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段と、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る手段とを備え、
自装置に接続されるSIP端末と他のSIPゲートウェイ装置に接続されるSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに自装置のアドレスを記録し、
前記SIPペイロードに含まれる対向する他のSIPゲートウェイ装置のアドレス及び前記SIP端末間で使われるRTPアドレス、ポート番号を検知し、前記他のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定している。
他のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段と、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る手段とを備え、
自装置に接続されるSIP端末と他のSIPゲートウェイ装置に接続されるSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに自装置のアドレスを記録し、
前記SIPペイロードに含まれる対向する他のSIPゲートウェイ装置のアドレス及び前記SIP端末間で使われるRTPアドレス、ポート番号を検知し、前記他のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定している。
本発明によるSIP通信制御方法は、第1及び第2のSIP(Session Initiation Protocol)ゲートウェイ装置がそれぞれSIPサーバに接続されるSIP通信システムに用いるSIP通信制御方法であって、
前記第1及び第2のSIPゲートウェイ装置各々が、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する処理と、前記第1及び第2のSIPゲートウェイ装置各々が、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る処理とを実行し、
前記第1及び第2のSIPゲートウェイ装置が、前記第1のSIPゲートウェイ装置に接続される第1のSIP端末と前記第2のSIPゲートウェイ装置に接続される第2のSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに前記第1及び第2のゲートウェイ装置各々のアドレスを記録し、
前記第1及び第2のSIPゲートウェイ装置が、前記SIPペイロードに含まれる対向する前記第2及び第1のSIPゲートウェイ装置のアドレス及び前記第1のSIP端末と前記第2のSIP端末との間で使われるRTPアドレス、ポート番号を検知し、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定している。
前記第1及び第2のSIPゲートウェイ装置各々が、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する処理と、前記第1及び第2のSIPゲートウェイ装置各々が、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る処理とを実行し、
前記第1及び第2のSIPゲートウェイ装置が、前記第1のSIPゲートウェイ装置に接続される第1のSIP端末と前記第2のSIPゲートウェイ装置に接続される第2のSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに前記第1及び第2のゲートウェイ装置各々のアドレスを記録し、
前記第1及び第2のSIPゲートウェイ装置が、前記SIPペイロードに含まれる対向する前記第2及び第1のSIPゲートウェイ装置のアドレス及び前記第1のSIP端末と前記第2のSIP端末との間で使われるRTPアドレス、ポート番号を検知し、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定している。
すなわち、本発明のSIP(Session Initiation Protocol)通信システムは、SIP通信によるSIPペイロードを解析し、SIPゲートウェイ間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsecトンネルを設定している。また、本発明のSIP通信システムは、セキュアなSIPゲートウェイ装置にて、SIPペイロードにゲートウェイアドレスを挿入している。
これによって、本発明のSIP通信システムでは、インタネットで接続された拠点間のSIP通信において、RTPの盗聴や改変を防ぎ、かつRTP通信のセンタルータへの一極集中を防ぐことが可能となる。
より具体的に説明すると、本発明のSIP通信システムでは、第1の拠点に存在する第1のSIPゲートウェイと第2の拠点に存在する第2のSIPゲートウェイとが、IP(Internet Protocol)フォンに代表される第1の拠点に存在する第1のSIP端末と第2の拠点に存在する第2のSIP端末との間で通話等のRTPセッションを確立する過程において、SIPパケットのペイロードにSIPゲートウェイのアドレスを記録する。
第1のSIPゲートウェイは、SIPパケットのペイロードに含まれる対向する第2のSIPゲートウェイのアドレス及び第1のSIP端末と第2のSIP端末との間で使われるRTPアドレス、ポート番号を検知することによって、第1のSIPゲートウェイと第2のSIPゲートウェイとの間の通話等で使用するRTPをIPsec(IP security protocol)でカプセル化するIPsecトンネルを動的に設定する。
これによって、グローバルネットワークでは、RTP通信で使用されるグローバルアドレスがSIPゲートウェイのアドレスに限定されるため、第1の拠点と第2の拠点とのネットワークにプライベートアドレスを用いることが可能になる。また、本発明のSIP通信システムでは、第1のSIPゲートウェイと第2のSIPゲートウェイとの間のRTP通信はIPsecによって保護されるため、グローバルネットワークでのRTP通信の盗聴や改変を防ぐことが可能となる。
さらに、本発明のSIP通信システムでは、IPsecによって、グローバルネットワークでのRTP通信のためのアドレスとプロトコルとがESP(Encapsulating Security Payload:暗号化ペイロード)やIKE(Internet Key Exchange)で固定されるため、グローバルネットワークの中にファイアウォールが存在しても、RTPポート用にすべてのポート番号を開いておく必要がなくなり、セキュリティ管理が容易となる。
上記のように、本発明のSIP通信システムでは、SIPゲートウェイ間のRTP通信をSIPゲートウェイのグローバルアドレスを使って、IPsecでカプセル化するため、拠点内アドレスをプライベートアドレスで構成することが可能となる。この場合、本発明のSIP通信システムでは、SIPゲートウェイ間のRTP通信をIPsecトンネルで保護しているので、RTP通信の盗聴や改変を防ぐことが可能となる。
また、本発明のSIP通信システムでは、SIPゲートウェイ間のRTP通信を直接IPsecトンネルで結ぶため、RTP通信をセンタルータ経由とする必要がなく、センタルータの負荷を軽減することが可能となる。
さらに、本発明のSIP通信システムでは、SIPゲートウェイ間のRTP通信が必要となった時に動的にIPsecトンネルが張られるため、IPsecトンネルを張るためのリソースを常時占有することがない。
さらにまた、本発明のSIP通信システムでは、セキュリティポリシやSIPゲートウェイのアドレスをSIPパケットに追加して送信しているため、本構成にSIPゲートウェイのIPsecトンネルを制御するセキュリティサーバ等を別途用意する必要がない。
本発明は、上記のような構成及び動作とすることで、拠点内アドレスをプライベートアドレスで構成することができ、RTP通信の盗聴や改変を防ぐことができるという効果が得られる。
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるSIP(Session Initiation Protocol)通信システムの構成を示すブロック図である。図1において、本発明の一実施例では、拠点201と拠点202とセンタ拠点300とがグローバルネットワーク100を介して接続可能となっている。
拠点201にはIP(Internet Protocol)フォンに代表されるSIP端末2−1とSIPゲートウェイ1−1とが存在し、拠点202にはSIP端末2−2とSIPゲートウェイ1−2とが存在し、センタ拠点300にはSIPサーバ3とセンタルータ4とが存在している。
SIPゲートウェイ1−1,SIPゲートウェイ1−2、センタルータ4はIPsec(IP security protocol)トンネルが設定可能であり、SIPゲートウェイ1−1とセンタルータ4との間にはIPsecトンネル102が、SIPゲートウェイ1−2とセンタルータ4との間にはIPsecトンネル103が予め設定されている。
SIP端末2−1とSIP端末2−2との間で行われるSIPパケットの通信は、SIPサーバ3を経由するため、グローバルネットワーク100上では、SIPゲートウェイ1−1,1−2及びセンタルータ4のグローバルアドレスを用いたIPsecトンネルの中を通過する。これによって、SIP端末1−1及びSIP端末1−2のアドレスがプライベートアドレスであるとしても、グローバルネットワーク100で使用されることはない。
図2は図1のSIPゲートウェイ1−1,1−2の構成を示すブロック図である。図2においては、SIPゲートウェイ1−1,1−2をまとめてSIPゲートウェイ1として表記する。このSIPゲートウェイ1はインタフェース11,12と、SIP判定部13と、SIPパーサ14と、SIPペイロード制御部15と、SIP情報記憶部16と、ルーティング処理部17と、IPsec処理部18と、IPsec制御部19とから構成されている。尚、SIP判定部13、SIPパーサ14、SIPペイロード制御部15、ルーティング処理部17、IPsec処理部18、IPsec制御部19各々の処理はコンピュータがプログラムを実行することで置き換えることが可能である。
インタフェース11で入力されたパケットは、SIP判定部13でSIPパケットであるかどうかが判定される。SIPパケットでない場合、SIP判定部13はそのパケットをルーティング処理部17に渡す。ルーティング処理部17は、SIP端末2−1,2−2等から送信されたIPパケットを宛先アドレスにしたがって、最適なインタフェース12を選び出す。
その後、パケットはルーティング処理部17からIPsec処理部18に渡される。IPsec処理部18では指定された送信アドレス、宛先アドレス、ポート番号のIPパケットを、予め設定されたセキュリティポリシにしたがって、IPsecでカプセル化する。尚、ルーティング処理部17やIPsec処理部18については、よく知られたルータの持つ機能と同等であるため、その詳細な動作の説明については省略する。これらの処理が終了したパケットは、インタフェース12から出力される。
次に、SIP判定部13でSIPパケットであると判定された場合、そのSIPパケットはSIPパーサ14に渡される。SIPパーサ14は、UDP(User Datagram Protocol)ポート番号5060で代表されるSIPパケットのペイロードを解析し、RTP(Real−time Transport Protocol)通信で使用されるアドレスやポート番号を取得する。ここで取得した情報は、SIP情報記憶部16に保存される。
このSIPパケットはSIPパーサ14からSIPペイロード制御部15に渡される。SIPペイロード制御部15ではSIPゲートウェイ1のインタフェース12側に付与されているグローバルアドレスや予め設定されたセキュリティポリシをSIPパケットのペイロードに付与する。SIPパーサ14はSIPペイロード制御部15で付与された情報を取得する機能をも持っており、SIPパーサ14でこの情報を取得した時には、これらの情報もSIP情報記憶部16に記憶される。
SIPペイロード制御部15で処理が行われた後、SIPパケットはルーティング処理部17に渡され、ルーティング処理部17でSIP端末2−1,2−2等から送信されたIPパケットを宛先アドレスにしたがって、最適なインタフェース12を選び出す。その後、SIPパケットはルーティング処理部17からIPsec処理部18に渡される。IPsec処理部18では指定された送信アドレス、宛先アドレス、ポート番号のIPパケットを、予め設定されたセキュリティポリシにしたがって、IPsecでカプセル化し、インタフェース12から出力する。
SIPペイロード制御部15はSIP情報記憶部16に、SIPゲートウェイ間でIPsecトンネルを設定するための情報が揃った時に、IPsec制御部19を通して、IPsec処理部18にIPsecトンネルを動的に設定する。この動的に設定されたIPsecトンネルは、図1のIPsecトンネル201で示される。
図3〜図5は本発明の一実施例によるSIP通信システムの動作を示すシーケンスチャートである。これら図1〜図5を参照して本発明の一実施例によるSIP通信システムのセキュリティSIPネットワークとしての動作について説明する。図3〜図5に示すSIPシーケンスは、一般的なSIPシーケンスの一例であり、SIPサーバとSIP端末との組み合わせによっては異なるシーケンスとなることがあるが、本発明とは無関係であるため、それらについての説明は省略する。また、本発明の一実施例によるSIP通信システムの説明に重要とされないSIPシーケンスの記述についても省略する。
IPフォン#1(SIP端末2−1)がIPフォン#2(SIP端末2−2)に電話を掛けると、IPフォン#1からSIPサーバ宛てにSIPパケットの「INVITE(インバイト)リクエスト(セッション確立要求)」が送信される(図3のa1参照)。この「INVITEリクエスト」には、通話時のRTP通信に必要なIPフォン#1の待ち受けアドレスやポート番号が含まれている。
SIPゲートウェイ#1(SIPゲートウェイ1−1)はこの「INVITEリクエスト」を受信した時、IPフォン#1のRTP待ち受けアドレスとポート番号とを読取り、SIP情報記憶部16に記憶する(図3のa2参照)。SIPゲートウェイ#1は「INVITEリクエスト」にSIPゲートウェイ#1のアドレスとセキュリティポリシとを書込み(図3のa3参照)、SIPサーバに転送する(図3のa4参照)。
SIPサーバは「INVITEリクエスト」を受取ると、一般的なSIP処理を行った後、IPフォン#2宛てに「INVITEリクエスト」を送信する(図3のa5参照)。この「INVITEリクエスト」には、SIPゲートウェイ#1で付与された情報も含まれる。
SIPゲートウェイ#2(SIPゲートウェイ1−2)は「INVITEリクエスト」を受信すると、IPフォン#1のRTP待ち受けアドレスとポート番号と、SIPゲートウェイ#1のアドレスとセキュリティポリシとを読取り、SIP情報記憶部16に記憶する(図3のa6参照)。ここで、SIPゲートウェイ#2はSIPゲートウェイ#1で追記され、IPフォン#2では不要である情報を削除する(図3のa7参照)。その後に、SIPゲートウェイ#2は不要な情報を削除した「INVITEリクエスト」をIPフォン#2に転送する(図3のa8参照)。
IPフォン#2は「INVITEリクエスト」を受取ると、一般的なSIP処理を行った後、「200 OKレスポンス」をSIPサーバ宛てに送信する(図4のa9参照)。この「200 OKレスポンス」には、通話時のRTP通信に必要なIPフォン#2の待ち受けアドレスやポート番号が含まれる。
SIPゲートウェイ#2は「200 OKレスポンス」を受信すると、IPフォン#2のRTP待ち受けアドレスとポート番号とを読取り、SIP情報記憶部16に記憶する(図4のa10参照)。SIPゲートウェイ#2は「200 OKレスポンス」にSIPゲートウェイ#2のアドレスと、SIPゲートウェイ#1から受取ったセキュリティポリシの応答とを書込み(図4のa11参照)、SIPサーバに転送する(図4のa12参照)。
SIPサーバは「200 OKレスポンス」を受取ると、一般的なSIP処理を行った後、IPフォン#1宛てに「200 OKレスポンス」を送信する(図4のa13参照)。この「200 OKレスポンス」には、SIPゲートウェイ#2で付与された情報も含まれる。
SIPゲートウェイ#1は「200 OKレスポンス」を受信すると、IPフォン#2のRTP待ち受けアドレスとポート番号と、SIPゲートウェイ#2のアドレスとセキュリティポリシの応答とを読取り、SIP記憶部16に記憶する(図4のa14参照)。ここで、SIPゲートウェイ#1は「200 OKレスポンス」から、SIPゲートウェイ#2で付与され、IPフォン#1では不要である情報を削除する(図4のa15参照)。SIPゲートウェイ#1は不要な情報を削除した「200 OKレスポンス」をIPフォン#1に転送する(図4のa16参照)。
IPフォン#1は「200 OKレスポンス」を受信すると、それに対する「ACK(ACKnowledgement)」をSIPサーバ宛てに送信し(図5のa17参照)、通話で使用するRTPポートを開ける。
SIPゲートウェイ#1は「ACK」を受信すると、上記のSIP記憶部16で記憶してきた情報を用いて、通話で使用するRTPパケットをIPsecでカプセル化するための設定を行う(図5のa18参照)。SIPゲートウェイ#1は「ACK」にSIPゲートウェイ#2から受取ったセキュリティポリシの応答のACKを追加し(図5のa19参照)、SIPサーバに転送する(図5のa20参照)。
SIPサーバは「ACK」を受取ると、一般的なSIP処理を行った後、IPフォン#2宛てに「ACK」を送信する(図5のa21参照)。SIPゲートウェイ#2は「ACK」を受信すると、上記でSIP記憶部16に記憶してきた情報を用いて、通話で使用するRTPパケットをIPsecでカプセル化するための設定を行う(図5のa22参照)。
SIPゲートウェイ#2は「ACK」から、SIPゲートウェイ#1で付与され、IPフォン#2では不要である情報を削除する(図5のa23参照)。SIPゲートウェイ#2は不要な情報を削除した「ACK」をIPフォン#1に転送する(図5のa24参照)。IPフォン#2は「ACK」を受取ると、一般的なSIP処理を行い、通話で使用するRTPポートを開ける。
上述した一連の動作によって、IPフォン#1とIPフォン#2との間のRTP通信(図5のa25,a27参照)と、SIPゲートウェイ#1とSIPゲートウェイ#2との間にRTP通信をIPsecでカプセル化するIPsecトンネル(図5のa26参照)が確立する。
これによって、RTP通信は、グローバルネットワーク100上において、SIPゲートウェイ1−1及びSIPゲートウェイ1−2のグローバルアドレスで設定されたIPsecトンネル101の中を通過するため、SIP端末2−1及びSIP端末2−2のプライベートアドレスがグローバルネットワーク100上で使用されることはない。
本実施例においては、セキュリティポリシ自体の盗聴や改変等について、図1のIPsecトンネル103とIPsecトンネル102とで守られるものとする。また、本実施例においては、セキュリティポリシがIPsecトンネル103やIPsecトンネル102で守られない構成をとった場合、セキュリティポリシ自体を暗号化して交換する等のプロトコルが考えられるが、本発明とは直接関係しないため、これらの説明については詳述しない。
このように、本実施例では、SIPゲートウェイ1−1,1−2間のRTP通信をSIPゲートウェイ1−1,1−2のグローバルアドレスを使って、IPsecでカプセル化するため、拠点内アドレスをプライベートアドレスで構成することができる。この場合、本実施例では、SIPゲートウェイ1−1,1−2間のRTP通信をIPsecトンネル101で保護しているので、RTP通信の盗聴や改変を防ぐことができる。
また、本実施例では、SIPゲートウェイ1−1,1−2間のRTP通信を直接IPsecトンネル101で結ぶため、RTP通信をセンタルータ4経由とする必要がなく、センタルータ4の負荷を軽減することができる。
さらに、本実施例では、SIPゲートウェイ1−1,1−2間のRTP通信が必要となった時に動的にIPsecトンネル101が張られるため、IPsecトンネルを張るためのリソースを常時占有することがない。
さらにまた、本実施例では、セキュリティポリシやSIPゲートウェイ1−1,1−2のアドレスをSIPパケットに追加して送信するため、本構成にSIPゲートウェイ1−1,1−2のIPsecトンネルを制御するセキュリティサーバ等を別途用意する必要がない。
尚、本発明の他の実施例として、その基本的構成は上記の通りであるが、IPsec処理部を単なるIPoverIP処理部等に置き換えることができる。IPoverIP処理部では、RTPパケット等のIPパケットをSIPゲートウェイ1−1,1−2のアドレスを終端としたIPヘッダにてカプセル化する。
この構成において、IPsecのセキュリティポリシをSIPパケットに書込む必要がなくなり、SIPゲートウェイ1−1,1−2のアドレスのみを書込めばよい。本実施例では、IPsecによる盗聴や改変のリスクをSIP端末2−1,2−2がRTPパケットを暗号化して送信する等の回避策を講じる必要があるが、その他の効果は保たれるので、RTPがSIP端末2−1,2−2で暗号化できる構成等では有用である。
1,1−1,1−2 SIPゲートウェイ
2−1,2−2 SIP端末
3 SIPサーバ
4 センタルータ
11,12 インタフェース
13 SIP判定部
14 SIPパーサ
15 SIPペイロード制御部
16 SIP情報記憶部
17 ルーティング処理部
18 IPsec処理部
19 IPsec制御部19
100 グローバルネットワーク
201,202 拠点
300 センタ拠点
2−1,2−2 SIP端末
3 SIPサーバ
4 センタルータ
11,12 インタフェース
13 SIP判定部
14 SIPパーサ
15 SIPペイロード制御部
16 SIP情報記憶部
17 ルーティング処理部
18 IPsec処理部
19 IPsec制御部19
100 グローバルネットワーク
201,202 拠点
300 センタ拠点
Claims (6)
- 第1及び第2のSIP(Session Initiation Protocol)ゲートウェイ装置がそれぞれSIPサーバに接続されるSIP通信システムであって、
前記第1及び第2のSIPゲートウェイ装置各々は、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段と、前記第1及び第2のSIPゲートウェイ装置各々は、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る手段とを有し、
前記第1及び第2のSIPゲートウェイ装置が、前記第1のSIPゲートウェイ装置に接続される第1のSIP端末と前記第2のSIPゲートウェイ装置に接続される第2のSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに前記第1及び第2のゲートウェイ装置各々のアドレスを記録し、
前記第1及び第2のSIPゲートウェイ装置は、前記SIPペイロードに含まれる対向する前記第2及び第1のSIPゲートウェイ装置のアドレス及び前記第1のSIP端末と前記第2のSIP端末との間で使われるRTPアドレス、ポート番号を検知し、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定することを特徴とするSIP通信システム。 - 前記第1及び第2のSIPゲートウェイ装置は、それぞれ前記SIPサーバとの間に前記IPsecトンネルを設定して前記SIP通信を行うことを特徴とする請求項1記載のSIP通信システム。
- SIP(Session Initiation Protocol)サーバに接続されるSIPゲートウェイ装置であって、
他のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する手段と、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る手段とを有し、
自装置に接続されるSIP端末と他のSIPゲートウェイ装置に接続されるSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに自装置のアドレスを記録し、
前記SIPペイロードに含まれる対向する他のSIPゲートウェイ装置のアドレス及び前記SIP端末間で使われるRTPアドレス、ポート番号を検知し、前記他のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定することを特徴とするSIPゲートウェイ装置。 - 前記SIPサーバとの間に前記IPsecトンネルを設定して前記SIP通信を行うことを特徴とする請求項3記載のSIPゲートウェイ装置。
- 第1及び第2のSIP(Session Initiation Protocol)ゲートウェイ装置がそれぞれSIPサーバに接続されるSIP通信システムに用いるSIP通信制御方法であって、
前記第1及び第2のSIPゲートウェイ装置各々が、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間で動的にRTP(Real−time Transport Protocol)通信を行うためのIPsec[IP(Internet Protocol) security protocol]トンネルを設定する処理と、前記第1及び第2のSIPゲートウェイ装置各々が、前記SIPサーバを通したSIP通信のSIPペイロードを解析して前記IPsecトンネルを設定するための情報を得る処理とを実行し、
前記第1及び第2のSIPゲートウェイ装置が、前記第1のSIPゲートウェイ装置に接続される第1のSIP端末と前記第2のSIPゲートウェイ装置に接続される第2のSIP端末との間でRTPセッションを確立する過程において、前記SIPペイロードに前記第1及び第2のゲートウェイ装置各々のアドレスを記録し、
前記第1及び第2のSIPゲートウェイ装置が、前記SIPペイロードに含まれる対向する前記第2及び第1のSIPゲートウェイ装置のアドレス及び前記第1のSIP端末と前記第2のSIP端末との間で使われるRTPアドレス、ポート番号を検知し、前記第1のSIPゲートウェイ装置と前記第2のSIPゲートウェイ装置との間の前記RTP通信をカプセル化するための前記IPsecトンネルを動的に設定することを特徴とするSIP通信制御方法。 - 前記第1及び第2のSIPゲートウェイ装置が、それぞれ前記SIPサーバとの間に前記IPsecトンネルを設定して前記SIP通信を行うことを特徴とする請求項5記載のSIP通信制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006055655A JP4679393B2 (ja) | 2006-03-02 | 2006-03-02 | Sip通信システム、sipゲートウェイ装置及びそれらに用いるsip通信制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006055655A JP4679393B2 (ja) | 2006-03-02 | 2006-03-02 | Sip通信システム、sipゲートウェイ装置及びそれらに用いるsip通信制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007235638A JP2007235638A (ja) | 2007-09-13 |
| JP4679393B2 true JP4679393B2 (ja) | 2011-04-27 |
Family
ID=38555752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006055655A Active JP4679393B2 (ja) | 2006-03-02 | 2006-03-02 | Sip通信システム、sipゲートウェイ装置及びそれらに用いるsip通信制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4679393B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9219637B2 (en) * | 2010-01-30 | 2015-12-22 | Oleg Boulanov | Facilitating rapid establishment of human/machine communication links with private SIP-based IP networks using pre-distributed static network address translation maps |
| JP5609519B2 (ja) * | 2010-10-07 | 2014-10-22 | アイコム株式会社 | Sip機器 |
| FI123551B (fi) | 2011-02-22 | 2013-07-15 | Tosibox Oy | Menetelmä ja laitejärjestely kiinteistöjen etähallinnan toteuttamiseksi |
| FI124341B (fi) * | 2011-05-24 | 2014-07-15 | Tosibox Oy | Laitejärjestely kiinteistöjen etähallinnan toteuttamiseksi |
| JP5778827B1 (ja) * | 2014-05-26 | 2015-09-16 | 日本電信電話株式会社 | 通信システム |
| US9838108B2 (en) | 2015-06-18 | 2017-12-05 | International Business Machines Corporation | IP based real-time communications over a mobile network |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8914522B2 (en) * | 2004-07-23 | 2014-12-16 | Citrix Systems, Inc. | Systems and methods for facilitating a peer to peer route via a gateway |
-
2006
- 2006-03-02 JP JP2006055655A patent/JP4679393B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007235638A (ja) | 2007-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10506082B2 (en) | High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client | |
| US8811397B2 (en) | System and method for data communication between a user terminal and a gateway via a network node | |
| US8725885B1 (en) | Securely establishing ice relay connections | |
| KR100758733B1 (ko) | 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법 | |
| JP4708376B2 (ja) | プライベートネットワークへのアクセスを安全にする方法およびシステム | |
| US8893260B2 (en) | Secure remote access public communication environment | |
| US7716731B2 (en) | Method for dynamically tunneling over an unreliable protocol or a reliable protocol, based on network conditions | |
| JP4679393B2 (ja) | Sip通信システム、sipゲートウェイ装置及びそれらに用いるsip通信制御方法 | |
| US8605730B2 (en) | System and method for multimedia communication across disparate networks | |
| KR20070026331A (ko) | 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법 | |
| JP2015519801A (ja) | リアルタイム通信のための冗長性 | |
| US20110145426A1 (en) | Networking method of communication apparatus, communication apparatus and storage medium | |
| JP5216018B2 (ja) | 移動体電話機用ストリーミング・メディア・サービス | |
| JP2012138901A (ja) | リレーサーバを利用したデータ伝送システム及び方法 | |
| JP4260659B2 (ja) | パケットのnat透過機能を有する端末装置及びそのプログラム | |
| JP5303403B2 (ja) | 端末装置、通信方法、及びプログラム | |
| JP2010283762A (ja) | 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体 | |
| JP2010283761A (ja) | Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
| JP2011239277A (ja) | Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
| JP5025449B2 (ja) | 中継通信システム | |
| US20240073288A1 (en) | Security device, method, and non-transitory computer-readable media | |
| JP4724636B2 (ja) | プロトコル処理システム及びプロトコル処理方法 | |
| JP4060764B2 (ja) | 通信装置 | |
| JP2005109714A (ja) | Ip電話システムおよびip電話システムの管理方法並びにプログラムを記録した記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080918 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101018 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101026 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110118 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110201 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4679393 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |