WO2009046729A1 - Verfahren und vorrichtung zur verbindung paketorientierter kommunikationsendgeräte - Google Patents

Verfahren und vorrichtung zur verbindung paketorientierter kommunikationsendgeräte Download PDF

Info

Publication number
WO2009046729A1
WO2009046729A1 PCT/EP2007/008484 EP2007008484W WO2009046729A1 WO 2009046729 A1 WO2009046729 A1 WO 2009046729A1 EP 2007008484 W EP2007008484 W EP 2007008484W WO 2009046729 A1 WO2009046729 A1 WO 2009046729A1
Authority
WO
WIPO (PCT)
Prior art keywords
communication terminal
stun
network
address
gateway
Prior art date
Application number
PCT/EP2007/008484
Other languages
English (en)
French (fr)
Inventor
Oliver Veits
Original Assignee
Siemens Enterprise Communications Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Enterprise Communications Gmbh & Co. Kg filed Critical Siemens Enterprise Communications Gmbh & Co. Kg
Priority to PCT/EP2007/008484 priority Critical patent/WO2009046729A1/de
Priority to EP07818564A priority patent/EP2193649B1/de
Priority to US12/680,343 priority patent/US8429279B2/en
Priority to CN200780100838.6A priority patent/CN101822026B/zh
Publication of WO2009046729A1 publication Critical patent/WO2009046729A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2575NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • H04L65/1036Signalling gateways at the edge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • H04M7/0075Details of addressing, directories or routing tables

Definitions

  • the invention relates to a method and apparatus for connecting packet-oriented communication terminals, which are separated by a network address converting unit and in which a gateway controls an exchange of a local communication terminal.
  • NAT device Network Address Translation
  • the NAT unit allows use of a set of Internet Protocol (IP) addresses for a LAN internal data packet exchange and another set of IP addresses for an external data packet exchange.
  • IP Internet Protocol
  • NAT Network Address & Port Translation
  • NAPT Network Address & Port Translation
  • NAT In the simplest version of NAT, a data packet originating from the LAN requires a change of the source address. This process is referred to as "Source NAT.”
  • a modification of the destination address may be provided.
  • This process is also referred to as "Destination NAT".
  • an assignment table is provided, in which an assignment or binding between see the data packet in the header noted public and one to be assigned private address is noted.
  • Such a binding assumes that the incoming data packet was preceded by an outgoing data packet based on whose source and destination addresses a binding was created.
  • fill cone NAT it is therefore usually not possible to initiate a data packet exchange initiated from outside the LAN.
  • UDP through NAT
  • UPnP Universal Plug and Play
  • TURN Traversal Using Relay NAT
  • ICE Interactive Connectivity Establishment
  • the mentioned methods usually require an implementation of a corresponding protocol stack in the participating communication terminals.
  • the communication terminals are - depending on the version equipped with different computing power - packet-oriented communicating phones or computers with appropriate audio and / or video communication capability.
  • Such communication terminals are also known in the art as VoIP communication terminals (Voice over Internet Protocol).
  • the object of the invention is to ensure an improved communication connection over network boundaries, which does not require implementation of a corresponding protocol stack in the communication terminals.
  • the invention is used in an environment in which a first communication terminal in a first network, such as a local area network or LAN, is arranged.
  • a first network such as a local area network or LAN
  • This first network is connected to a second network, for example a "public" network, via a network address-implementing unit or NAT unit.
  • a second communication terminal is provided, which is provided as a communication partner with the first communication terminal.
  • the second communication terminal is either the initiator or the target of a communication connection to be established, ie it assumes either a calling or a called role.
  • a gateway In the first network, a gateway is still provided, the task of which is to manage, log on and mediate the first communication terminal.
  • the gateway controls a switch of the first communication terminal.
  • a proxy is provided in this gateway, which is set up for interception, ie for interception or interception of messages intended for the first communication terminal and / or originating from the first communication terminal.
  • the data exchanged with the aid of the message are, in particular, signaling data or user data.
  • a network protocol for the detection and penetration of the network address converting unit - ie the NAT unit - is implemented by the proxy in cooperation with a server.
  • a server works accordingly as a STUN server, TURN server or ICE server.
  • the proxy replies a first message sent by the server to the first communication terminal instead of the first communication terminal by a second message.
  • the second message is in certain cases such that an address and / or port number of the first communication terminal is entered as the sender address and / or sender port number.
  • This specification of a sender address or port number not corresponding to the own sender address or port number is also referred to in the professional world as »spoofing «.
  • an option provided according to the network protocol for recognizing and penetrating the network address converting unit (NAT) is set in the second message, which option causes a transmission of the response to the second message to the first communication terminal (P1).
  • the invention is based on the idea of occasionally combining an IP address spoofing or a port number spoofing and a STUN field "RESPONSE ADDRESS" on a central instance (STUN or ICE proxy in the gateway) and thus The STUN or ICE protocol should not be executed on the respective communication terminal equipment but on an external unit. An execution takes place even if the central unit is not located in the payload data path between the STUN server STUN and the respective communication terminal.
  • FIG. 1 shows a structure diagram for the schematic representation of a communication environment according to a first network topology
  • FIG. 2 shows a structure diagram for a schematic representation of a communication environment according to a second network topology.
  • FIGS. 1 and 2 which in the respective embodiments of the invention explained below are a respective means of choice.
  • Figure 1 shows a first packet-oriented network LAN, to which a first communication terminal Pl, a gateway GW and a NAT unit NAT are connected.
  • the NAT unit NAT is connected via a further interface to a second packet-oriented network INT.
  • the second packet-oriented network INT is also a STUN server
  • the gateway GW is assigned a proxy P, which is integrated into the gateway GW in the topology assumed here. It is at the discretion of the person skilled in the art to select a separate - decentralized or distributed - arrangement of the proxy P to the gateway GW.
  • Figure 2 shows the first communication terminal Pl, which is connected to the gateway GW, which in turn is connected to the NAT unit NAT.
  • the NAT unit NAT is connected to the second packet-oriented network INT via a further interface.
  • the STUN server STUN and the second packet-oriented network INT are Te Cominunikationsend réelle P2 connected.
  • the gateway GW is assigned a proxy P, which is integrated into the gateway GW in the topology assumed here. It is also here at the discretion of the person skilled in the art to choose a separate - decentralized or distributed - arrangement of the proxy P to the gateway GW.
  • the first communication terminal Pl is an exemplary "local client”, thus a largely arbitrary communication terminal, which is located in the area of effect and / or in network topological proximity to the gateway GW.
  • the exemplary first communication terminal Pl is a largely arbitrary calling communication terminal.
  • the second communication terminal P2 in contrast, is an example of a "remote client", ie as a largely arbitrary called communication terminal outside the sphere of activity and / or the network topological proximity of the gateway GW.
  • the gateway GW While in the topology of Figure 1 the gateway GW is indirectly, i. with respect to the first communication terminal Pl exchanged signaling messages in the data path between the first communication terminal Pl and the NAT unit NAT is arranged in the topology of Figure 1, the gateway GW directly in the data path between the first communication terminal Pl and the NAT unit NAT.
  • a direct arrangement means that the gateway GW is arranged both in the data path of the user data and in the signaling data between the first communication terminal Pl and its communication partner, and thus the second communication terminal P2.
  • the first communication terminal Pl is registered at the gateway GW.
  • the gateway GW is, for example, a VoIP gateway (Voice over IP) and the first network LAN is, for example, a private network, usually also called LAN (Local Address Network).
  • the NAT unit NAT is between the private first network LAN and the example public network INT localized. Task of this NAT unit NAT is a replacement of the private IP address by a public IP address.
  • NAT unit is additionally set up for a private port or port number replacement with a public port, this is also referred to as a NAT / PAT unit (Network Address Translation / Port Address Translation).
  • the second communication terminal P2 can not address the first communication terminal Pl with its private address, the private IP addresses and port numbers which are exchanged in signaling messages must be translated into a public IP address or port number.
  • NAT units are known, which are also referred to as Application Layer Gateway (ALG).
  • ALGs are capable of extracting and translating the addresses contained in the signaling messages and of creating modified signaling messages. Depending on the protocol used, these are referred to as SIP-ALG or H.323-ALG.
  • the first communication terminal P1 For cases in which the NAT unit NAT, which is interposed in the data part, is not configured as ALG, the first communication terminal P1 must carry out corresponding replacement in corresponding signaling messages. For this purpose, the first communication terminal Pl must be in the knowledge of its public Internet address and port number. To obtain this, the STUN server STUN is queried by the first communication terminal Pl.
  • the STUN mechanism is extended to cover symmetric NAT situations as well can be.
  • Such symmetric NAT situations occur, for example, in cases in which the NAT / PAT translation of the source Internet address and the source port number depends on the destination Internet address or destination port number.
  • the first communication terminal Pl holds all available internet addresses under which it would be possible to reach it, e.g. private Internet addresses and addresses provided by a STUN or TURN server.
  • the predicted addresses are all incorporated in a corresponding signaling message.
  • Such a collection of IP addresses or port numbers will be referred to hereinafter as the "Candidate List”.
  • the called communication terminal then removes all reserved addresses from the signaling message and tests them one after the other. For this STUN requests will be sent to all addresses and the mutual communication terminal will answer each of these STUN requests. This means that in order to support the ICE method, all communication terminals Pl, P2 must have implemented a STUN client application as well as a STUN server application.
  • inventive means are described below with reference to several embodiments.
  • a common idea of the embodiments consists of occasionally applying an "IP Address Spoofing" and a STUN-FeId "RESPONSE-ADDRESS" on a central instance (STUN or ICE proxy P in the gateway GW) and thus the STUN. or ICE protocol not execute on the respective communication terminals Pl, P2, but outsourced to another unit. An execution takes place even if the central unit is not in the Payload path between the STUN server STUN and the respective communication terminal Pl, P2 is located.
  • NAT unit NAT is not configured as ALG and that the participating communication terminals P1, P2 are not able to handle STUN requests.
  • the gateway GW is arranged directly in the data path between the first communication terminal Pl and the NAT unit NAT.
  • the gateway GW is further configured as a STUN proxy P.
  • the gateway GW is thus located by the arrangement in the data path between the first communication terminal Pl and the NAT unit NAT both in the payload data path and in the signaling data path between the first communication terminal and its communication partner, here, the second communication terminal P2.
  • the gateway GW and the gateway GW configured with the STÜN proxy P often designate an identical functional unit, namely a gateway which has been extended by a »proxy functionality «. Accordingly, in describing the means according to the invention, the STUN proxy P, on the one hand, and the gateway GW, on the other hand, must be assumed to be functionally identical. The respective selected designation emphasizes on the one hand the protocol processing character of the STUN proxy P and on the other hand the character of the gateway GW as an addressable entity. This also applies to the further exemplary embodiments following the first exemplary embodiment with a corresponding TURN or ICE proxy P.
  • the configured with the additional functionality function of the gateway GW is that the gateway GW in the STUN proxy P performs a STUN protocol processing instead of the first communication terminal Pl.
  • the gateway GW intercepts a signaling message sent by the first communication terminal P1 (interception) and stores its contents.
  • a signaling message is, for example, a conventionally configured H.323 or SIP message.
  • the signaling message contains information about the private IP address (Internet Protocol) and an associated TCP / UDP (Transmission Control Protocol / User Datagram Protocol) port, which the first communication terminal Pl intends to use for an exchange of communication information.
  • the gateway GW now sends STUN requests to the STUN server STUN, with the gateway GW not using its own address and its own port number, but the address or port number obtained from 1.1. In other words, the gateway GW indicates a different address and port number than its own, thus performing "IP address spoofing" as well as “port spoofing".
  • the gateway GW intercepts a STUN message sent from the STUN server STUN in response to a STUN request sent to the private IP address and the private port number of the first communication terminal Pl.
  • the communication partner of the first communication terminal Pl ie the second communication terminal P2
  • step 1.3 according to the first embodiment would not be feasible without further changes in the procedure, since the gateway GW with the STUN proxy P implemented therein is not arranged in the data path for user data messages and thus would not be able to execute a STUN.
  • Response which is sent from the STUN server STUN to the first communication terminal Pl, intercept.
  • step 1.2 in the first embodiment - used.
  • the following are the individual Procedural steps, which are performed with the involvement of the STUN proxy P in the gateway GW, described in detail.
  • the Gateway GW sends a STUN request to the STUN STUN server using its own IP address and port number. This step 2.0 is not provided in the first embodiment.
  • This step 2.1 has no equivalent in the first embodiment.
  • step 2.2 repetition of steps 2.0 and 2.1 at periodic intervals to achieve that a firewall (not shown) and / or the NAT unit NAT keep a corresponding data path open. If this data path were not kept open, either the firewall or the NAT unit NAT would close a corresponding port, so that the packet-oriented network LAN would no longer be accessible from outside.
  • This step 2.2 has no equivalent in the first embodiment.
  • the gateway GW listens to the first network LAN for signaling messages from the first communication terminal P1. If such signaling messages are present from the side of the first communication terminal P1, these are intercepted and their contents stored in the gateway GW. Stored in particular are stored information about the private IP address and the respective TCP or UDP port of the first communication terminal Pl, which the first communication terminal Pl intends to use for receiving user data. Corresponding information will be also held over the communication terminal P2 to be called.
  • the Gateway GW now sends STUN requests to the STUN server STUN. However, these requests are not sent using the Gateway's own address GW. Instead, the Gateway GW sends requests using the IP address and the source port, each of which has been extracted and stored from the intercepted signaling messages. In other words, the gateway GW carries out an IP address spoofing as well as a port spoofing here.
  • the said STUN request uses the RESPONSE-ADDRESS option. This instructs the STUN server STUN to respond to the STUN
  • step 2.4 Due to the measures taken in step 2.4, the STUN response is sent to the STUN proxy P of the gateway GW instead of to the first communication terminal Pl.
  • the public IP address and the public port of the first communication terminal is provided by the gateway
  • the gateway GW replaces the private IP address and the private port number of the first communication terminal Pl with its respective public IP address and public port number, respectively, taken from the STUN response obtained in step 2.5. 2.8 A signaling message modified in accordance with the preceding steps is sent to the destination identified in the Layer 3 header of the signaling message.
  • Steps 2.0, 2.1 and 2.2 ultimately ensure that the gateway GW remains reachable or addressable by the second packet-oriented network INT or Internet.
  • an implementation or implementation of steps 2.0, 2.1 and 2.2 is dispensed with and instead a public network address is used by the gateway GW.
  • the public address of the gateway GW is entered in the field »RESPONSE-ADDRESS « in step 2.4.
  • the protocol TURN Traversal Using Relay NAT
  • STUN Protocol Using Relay NAT
  • the method is identical to the method associated with the second embodiment except for a replacement of the term "STUN" by the term "TURN".
  • a fourth embodiment of the invention will be explained using the ICE (Interactive Connectivity Establishment) protocol.
  • the gateway GW is located in the data path for both user data and signaling messages.
  • a position "in the data path" thus means, analogously to the first embodiment, that both signaling and payload messages (media messages) are routed via the gateway GW.
  • ICE proxy P In the gateway GW a corresponding ICE proxy P is implemented.
  • the following steps are performed, which are numbered according to the direction of your user data messages. Initially, with 4.1 numbered steps, starting from the Local Client in the direction of the remote client, so starting from the calling first communication terminal Pl in the direction of the called second communication terminal P2. Initially with 4.2 numbered steps carried out starting from the remote client in the direction of the local client, so starting from the called second communication terminal P2 in the direction of the calling first communication terminal Pl.
  • Signaling messages of the second communication terminal P2 are intercepted by the gateway GW. These signaling messages were optionally also sent to a layer 2 in the second network INT arranged - not shown - VoIP gateway. The signaling message optionally contains a candidate list with possible IP addresses and port numbers of the second communication terminal P2.
  • the ICE proxy P in the gateway GW sends a STUN request to the address of the second communication terminal P2, with the address taken from the signaling message in step 4.1.2
  • IP address and port number of the second communication terminal P2 are used. Furthermore, to identify the sender, instead of the own IP address and own port number of the gateway GW, the respective source IP address and source port number taken from the signaling message according to step 4.1.2 are used. In other words, IP address spoofing and port spoofing are used.
  • steps in 4.1 relate to a direction of the user data messages from the first communication terminal Pl in the direction of the second communication terminal P2
  • steps in 4.1 relate to a direction of the user data messages from the first communication terminal Pl in the direction of the second communication terminal P2
  • messages are viewed which are sent by the second communication terminal P2 in the direction of the first communication terminal Pl.
  • the opposite side of the communication ie the second communication terminal P2 will now check all candidates of the candidate list by making a STUN request to all candidates of the candidate list. is sent.
  • the candidates are the possibly valid IP addresses or corresponding port numbers of the calling partner, ie of the first communication terminal Pl.
  • the ICE proxy P intercepts these STUN requests, which are sent to the »ICE-unaware ones « (non-ICE-aware). Communication partner Pl were sent, and answered accordingly. An IP address spoofing is therefore not necessary or not essential.
  • An easier-to-handle situation arises when the second communication message first sends a signaling message, for example a SIP message.
  • the first communication terminal P1 can then use the IP address and port number contained there for its STUN requests and thus find out at which address both the local first communication terminal Pl and the second communication terminal P2 can be reached. Accordingly, the information in SIP or SDP is corrected before forwarding.
  • the STUN proxy P which has intercepted an invitation message or »SIP INVITE « message from the local first communication terminal Pl, can forward this invitation message without IP address and port number. terotwithstanding.
  • a submission of the IP address and port number can be done in a later SIP message.
  • the second communication terminal P2 should respond to the invitation message with a SIP message containing its IP address and port number.
  • the STUN proxy is able to make a STUN query.
  • the STUN proxy P can furthermore submit the IP address and port number of the second communication terminal P2 and adapt the SIP message sent by the second communication terminal P2 in accordance with the information obtained using the STUN protocol and forward it to the first communication terminal P1.
  • an ICE proxy P is arranged in the data path of the signaling messages but not in the data path of the user data messages.
  • the second communication terminal P2 For a direction of the messages from the second communication terminal P2 to the first communication terminal Pl, there is no "straightforward" solution, since the ICE-capable opposite side, the second communication terminal P2, performs connection checks which are sent to the "ICE-unsophisticated" first communication terminal Pl in the form of STUN inquiries are sent directly.
  • the "ICE-unsophisticated" first communication terminal Pl is unable to process these ICE connection tests. Also, the ICE proxy P in the gateway GW can not intercept such STUN requests.
  • an increased effort is necessary, which is associated with a handling of payload data messages, which are sent from the first communication terminal Pl in the direction of the second communication terminal P2.
  • the ICE proxy P performs the following: 5.0.1 Steps 2.0 through 2.2 are performed to obtain the public IP address and public port number of the ICE proxy P.
  • a method is carried out in which a STUN request is sent with an address specified by Spoofing to the second communication terminal P2, in which the STUN request in the field » RESPONSE-ADDRESS «contains the address of the gateway GW and in which the proxy P contains a corresponding reply.
  • the STUN requests are sent to the addresses and port numbers of the candidate list of the communication terminal P2 determined by step 5.1.1.
  • the address of the ICE proxy P is entered in the »RESPONSE-ADDRESS « option, so that the reply is sent to the ICE proxy P.
  • the Source IP Address and Port Number are obtained from the Layer 3 and Layer 4 headers of the first response to the STUN request.
  • This IP address and port number of the second communication terminal P2 correspond to those from the perspective of the ICE proxy P. 5.1.5
  • all IP addresses and port numbers of the candidate list are removed, with the exception of the entry corresponding to the IP address and port number from the values read in step 5.1.4.
  • the modified signaling message is sent to the destination identified in the Layer 3 header of the signaling message.
  • step 5.2 it is checked in the signaling message memory whether the step 5.2 (explained below) has already been carried out and indeed on the same connection in the reverse direction.
  • Step 5.2 has already been carried out, the (explained below) step 5.2.4.2 is executed and checks whether the local address from the point of view of the second communication terminal P2 matches that which has already been sent to the first communication terminal Pl. In the event that step 5.2 was not performed, no action is taken. If the check indicates that the local address from the point of view of the second communication terminal P2 matches that sent to the first communication terminal P1, the connection is made e.g. updated with a SIP UPDATE or a SIP re-INVITE MESSAGE, with a corrected IP address and port number now specified.
  • the steps 2.4 to 2.6 are performed with the local IP address and port number of the first communication terminal Pl, according to the signaling message.
  • the inventive STUN proxy P eliminates the need to integrate STUN or ICE capabilities into communication terminals.
  • the present invention also shows how to deal with network topologies in which the STUN proxy P is located in the data path of signaling messages but not in the data path of payload messages.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Anordnung zur Verbindung paketorientierter Kommunikationsendgeräte, bei dem ein erstes Kommunikationsendgerät (Pl) in einem ersten Netzwerk (LAN) angeordnet ist, wobei das erste Netzwerk (LAN) über eine netzwerkadressumsetzende Einheit (NAT) an ein zweites Netzwerk (INT) angebunden ist, in dem ein zweites Kommunikationsendgerät (P2) angeordnet ist. Dabei ist ein im Gateway (GW) vorgesehener Proxy (P) zum Abfangen oder Abhören von Nachrichten eingerichtet, in dem ein STUN-, ICE-, oder TURN-Protokoll implementiert ist. Die Erfindung ist von der Idee getragen, fallweise ein IP- Adressen-Spoofing bzw. ein Portnummern-Spoofing und ein STUN-FeId =RESPONSE-ADDRESS= im Proxy zu verwirklichen und damit das STUN- bzw. ICE-Protokoll nicht auf den jeweiligen Kommunikationsendgeräten, sondern auf einer anderen Einheit ausgelagert auszuführen. Eine Ausführung erfolgt selbst dann, wenn sich die zentrale Einheit nicht im Nutzdatenpfad zwischen dem STUN-Server STUN und dem jeweiligen Kommunikationsendgerät befindet.

Description

Beschreibung
VERFAHREN UND VORRICHTUNG ZUM VERBINDUNGSAUFBAU ÜBER EINE NETZWERKADRESSUMSETZEHDE EINHEIT ZWISCHEN PAKETORIENTIERTEN KOMMUNIKATIONSENDGERÄTΞN
Die Erfindung betrifft ein Verfahren und Vorrichtung zur Verbindung paketorientierter Kommunikationsendgeräte, welche über eine netzwerkadressumsetzende Einheit getrennt sind und bei dem ein Gateway eine Vermittlung eines lokalen Kommunika- tionsendgeräts steuert.
Es ist bekannt, paketorientierte Netzwerke von anderen paketorientierten Netzwerken dahingehend zu trennen, dass zwischen den jeweiligen Netzwerken ein sogenanntes »NAT Device« bzw. NAT-Einheit (Network Address Translation) angeordnet ist. Eine solche NAT-Einheit findet sich häufig an der Grenze zwischen einem lokalen Netzwerk bzw. LAN (Local Areal Network) und einem üblicherweise als »Internet« bezeichneten Verbundes öffentlicher Netzwerke.
Die NAT-Einheit ermöglicht eine Verwendung eines Satzes von IP-Adressen (Internet Protocol) für einen LAN-internen Daten- paketaustausch und eines weiteren Satzes von IP-Adressen für eine externen Datenpaketaustausch. Im Falle eines internen Datenpaketaustausch wird dabei auch von privaten IP-Adressen gesprochen, während im Fall eines externen Datenpaketaustausch auch von externen IP-Adresse gesprochen wird.
Das Grundprinzip von NAT sieht eine Zuordnung (Mapping) einer jeweiligen privaten IP-Adresse zu einer jeweiligen öffentlichen IP-Adresse vor. Diese Zuordnung wird auch »Bindung« (Binding) genannt und ist üblicherweise insbesondere zeitlich begrenzt . Eine erweiterte Ausführungsform der genannten NAT-Einheit ist unter dem Stichwort NAPT (Network Address & Port Translation) bekannt. Hier ist zusätzlich eine Abbildung von externen Portnummern zu internen Portnummern vorgesehen. NAT und NAPT sind in der Druckschrift RFC 3022 der IETF (Internet Engineering Task Force) beschrieben.
In der einfachsten Ausführung von NAT ist für ein vom LAN ausgehenden Datenpaket eine Änderung der Quell-Adresse vorge- sehen. Dieser Vorgang wird als »Source NAT« bezeichnet.
In einem eingehenden Datenpaket, d.h. von einem öffentlichen Netzwerk ausgehend in Richtung des LAN eintreffenden Datenpakets kann eine Modifizierung der Ziel-Adresse vorgesehen sein. Dieser Vorgang wird auch als »Destination NAT« bezeichnet. Für eine korrekte Zuordnung des eintreffenden Datenpakets durch das Destination-NAT-Verfahrens ist eine übliche Voraussetzung, dass in der NAT-Einheit eine Zuordnungstabelle vorgesehen ist, in welcher eine Zuordnung bzw. Bindung zwi- sehen der im Datenpaket im Header vermerkten öffentlichen und einer zuzuordnenden privaten Adresse vermerkt ist. Eine solche Bindung setzt voraus, dass dem eingehenden Datenpaket ein ausgehendes Datenpaket vorausgegangen ist, anhand dessen Quell- und Zieladressen eine Bindung erstellt wurde. Mit Aus- nähme einer sogenannten »Füll Cone NAT« ist es daher üblicherweise nicht möglich, einen von außerhalb des LAN initiierten Datenpaketaustausch zu veranlassen.
Dies ist insbesondere für Kommunikationsprotokolle hinder- lieh, bei denen ein rufender Teilnehmer einen gerufenen Teilnehmer im LAN zu erreichen versucht. Bei Verwendung von Kommunikationsprotokollen, wie z.B. SIP (Session Initiation Pro- tocol) oder H.323 treten daher mit NAT-Einheiten regelmäßig Probleme auf. Ein weiteres Problem entsteht aufgrund der Tatsache, dass die Veränderung des Datenpakets durch die NAT-Einheit zwar eine Änderung der Adressen in Datenkopfeintragen bzw. »Header« der Datenpakete vorsieht, jedoch Informationen in höheren Schichten, also insbesondere SIP, unberücksichtigt lässt.
Aus dem Stand der Technik sind mehrere Verfahren bekannt, welche diese Probleme teilweise zu lösen vermögen. Hierbei sind insbesondere die Protokolle STUN (Simple Traversal of
UDP through NAT) , UPnP (Universal Plug and Play) , TURN (Traversal Using Relay NAT) , ICE (Interactive Connectivity Establishment) zu nennen, welche eine richtige Zustellung von Datenpaketen teilweise gewährleisten.
Die genannten Verfahren bedingen meist eine Implementierung eines entsprechenden Protokollstacks in den beteiligten Kommunikationsendgeräten. Bei den Kommunikationsendgeräten handelt es sich um - je nach Ausführung mit unterschiedlicher Rechenleistung ausgestattete - paketorientiert kommunizierende Telefone oder auch um Rechner mit entsprechender Audio- und/oder Videokommunikationsmöglichkeit. Derartige Kommunika- tionsendgeräte sind in der Fachwelt auch als VoIP- Kommunikationsendgeräte (Voice over Internet Protocol) geläu- fig.
Aufgabe der Erfindung ist es, eine verbesserte Kommunikationsverbindung über Netzwerkgrenzen zu gewährleisten, welche keine Implementierung eines entsprechenden Protokollstacks in den Kommunikationsendgeräten erfordert.
Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst. Die Erfindung wird in gleicher Wei- se durch eine Anordnung (Proxy) mit den Merkmalen des Patentanspruchs 6 gelöst.
Die Erfindung kommt in einem Umfeld zum Einsatz, bei dem ein erstes Kommunikationsendgerät in einem ersten Netzwerk, beispielsweise ein lokales Netzwerk oder auch LAN, angeordnet ist. Dieses erste Netzwerk ist über eine netzwerkadressumset- zende Einheit bzw. NAT-Einheit an ein zweites Netzwerk, beispielsweise ein »öffentliches« Netzwerk angebunden. In diesem zweiten Netzwerk ist ein zweites Kommunikationsendgerät vorgesehen, welcher als Kommunikationspartner mit dem ersten Kommunikationsendgerät vorgesehen ist. Das zweite Kommunikationsendgerät ist entweder der Initiator oder das Ziel einer aufzubauenden Kommunikationsverbindung, nimmt also entweder eine rufende oder eine gerufene Rolle ein.
Im ersten Netzwerk ist weiterhin ein Gateway vorgesehen, dessen Aufgabe in einer Verwaltung, Anmeldung und Vermittlung des ersten Kommunikationsendgeräts besteht. In einer allge- meinen Form steuert das Gateway eine Vermittlung des ersten Kommunikationsendgeräts .
Erfindungsgemäß ist in diesem Gateway ein Proxy vorgesehen, welcher für eine »Interception«, also für ein Abfangen oder Abhören von für das erste Kommunikationsendgerät bestimmte und/oder seitens des ersten Kommunikationsendgeräts ausgehenden Nachrichten eingerichtet ist. Bei den mit Hilfe der Nachricht ausgetauschten Daten handelt sich dabei insbesondere um Signalisierungsdaten oder um Nutzdaten.
Erfindungsgemäß ist seitens des Proxys ein Netzwerkprotokoll zur Erkennung und Durchdringung der netzwerkadressumsetzenden Einheit - also der NAT-Einheit - in Zusammenarbeit mit einem Server implementiert. Als Netzwerkprotokoll zur Erkennung und Durchdringung der netzwerkadressumsetzenden Einheit wird dabei beispielsweise STUN, TURN, ICE, oder eine Kombination der drei genannten Protokolle verwendet. Der Server arbeitet dementsprechend als STUN-Server, TURN-Server oder ICE-Server. Erfindungsgemäß erwidert der Proxy eine seitens des Servers an das erste Kommunikationsendgerät gesendete erste Nachrichten an Stelle des ersten Kommunikationsendgeräts durch eine zweite Nachricht. Die zweite Nachricht ist dabei je nach Status der Kommunikation fallweise so beschaffen, dass als Absenderadresse und/oder Absender-Portnummer eine Adresse und/oder Portnummer des ersten Kommunikationsendgeräts eingetragen wird. Diese Vorgabe einer nicht der eigenen Absender- adresse bzw. -portnummer entsprechenden Absenderadresse bzw. -portnummer wird in der Fachwelt auch als »Spoofing« bezeichnet .
Alternativ oder zusätzlich ist in der zweiten Nachricht eine gemäß dem Netzwerkprotokoll zur Erkennung und Durchdringung der netzwerkadressumsetzenden Einheit (NAT) vorgesehene Option eingestellt, welche eine Übermittlung der Antwort auf die zweite Nachricht an das erste Kommunikationsendgerät (Pl) veranlasst. Es handelt sich dabei um die Option »RESPONSE- ADDRESS«, bei deren Einstellung eine alternative Übermittlungsadresse in einem entsprchenden »RESPONSE-ADDRESS«-Feld einzutragen ist.
Die Erfindung ist von der Idee getragen, fallweise ein IP- Adressen-Spoofing bzw. ein Portnummern-Spoofing und ein STUN- FeId »RESPONSE-ADDRESS« auf einer zentralen Instanz zu kombinieren (STUN- bzw. ICE-Proxy im Gateway) und damit das STUN- bzw. ICE-Protokoll nicht auf den jeweiligen Kommunikations- endgeräten, sondern auf einer anderen Einheit ausgelagert auszuführen. Eine Ausführung erfolgt selbst dann, wenn sich die zentrale Einheit nicht im Nutzdatenpfad zwischen dem STUN-Server STUN und dem jeweiligen Kommunikationsendgerät befindet .
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben . Ein Ausführungsbeispiel mit weiteren Vorteilen und Ausgestaltungen der Erfindung wird im Folgenden anhand der Zeichnung näher erläutert.
Dabei zeigen:
Fig. 1: ein Strukturbild zur schematischen Darstellung einer Kommunikationsumgebung gemäß einer ersten Netz- werktopologie; und
Fig. 2: ein Strukturbild zur schematischen Darstellung einer Kommunikationsumgebung gemäß einer zweiten Netzwerktopologie .
Im Folgenden werden zunächst zwei Netzwerktopologien anhand der Figuren 1 und 2 dargestellt, welche in den jeweiligen unten erläuterten Ausführungsformen der Erfindung ein jeweiliges Mittel der Wahl sind.
Figur 1 zeigt ein erstes paketorientiertes Netzwerk LAN, an das ein erstes Kommunikationsendgerät Pl, ein Gateway GW sowie eine NAT-Einheit NAT angeschlossen sind. Die NAT-Einheit NAT ist über eine weitere Schnittstelle mit einem zweiten paketorientiertem Netzwerk INT verbunden. An das zweite paket- orientierte Netzwerk INT sind des Weiteren ein STUN-Server
STUN und ein zweites Kommunikationsendgerät P2 angeschlossen. Dem Gateway GW ist ein Proxy P zugeordnet, welcher in der hier angenommenen Topologie in das Gateway GW integriert ist. Es liegt im Belieben des Fachmanns, eine separate - dezen- trale oder verteilte - Anordnung des Proxys P zum Gateway GW zu wählen.
Figur 2 zeigt das erstes Kommunikationsendgerät Pl, das an das Gateway GW angeschlossen ist, welches wiederum mit der NAT-Einheit NAT verbunden ist. Die NAT-Einheit NAT ist über eine weitere Schnittstelle mit dem zweiten paketorientiertem Netzwerk INT verbunden. An das zweite paketorientierte Netzwerk INT sind des Weiteren der STUN-Server STUN und das zwei- te Kominunikationsendgerät P2 angeschlossen. Dem Gateway GW ist ein Proxy P zugeordnet, welcher in der hier angenommenen Topologie in das Gateway GW integriert ist. Es liegt auch hier im Belieben des Fachmanns, eine separate - dezentrale oder verteilte - Anordnung des Proxys P zum Gateway GW zu wählen .
In allen Ausführungsformen sei das erste Kommunikationsendgerät Pl ein exemplarischer »Local Client«, mithin ein weitge- hend beliebiges Kommunikationsendgerät, welches sich im Wirkungsbereich und/oder in netzwerktopologischer Nähe zum Gateway GW befindet. Das exemplarische erste Kommunikationsendgerät Pl ist dabei ein weitgehend beliebiges rufendes Kommunikationsendgerät. Das zweite Kommunikationsendgerät P2 ist da- gegen als Beispiel eines »Remote Client«, mithin als weitgehend beliebiges gerufenes Kommunikationsendgerät außerhalb des Wirkungskreises und/oder der netzwerktopologischer Nähe des Gateways GW.
Während in der Topologie gemäß Figur 1 das Gateway GW zwar indirekt, d.h. bezüglich vom ersten Kommunikationsendgerät Pl ausgetauschter Signalisierungsnachrichten im Datenpfad zwischen dem ersten Kommunikationsendgerät Pl und der NAT- Einheit NAT angeordnet ist, ist in der Topologie gemäß Figur 1 das Gateway GW direkt im Datenpfad zwischen dem ersten Kommunikationsendgerät Pl und der NAT-Einheit NAT angeordnet. Eine direkte Anordnung bedeutet dabei, dass das Gateway GW sowohl im Datenpfad der Nutzdaten als auch der Signalisie- rungsdaten zwischen dem ersten Kommunikationsendgerät Pl und dessen Kommunikationspartner, mithin dem zweiten Kommunikationsendgerät P2 angeordnet ist.
Das erste Kommunikationsendgerät Pl ist am Gateway GW registriert. Bei dem Gateway GW handelt es sich beispielsweise um einen VoIP-Gateway (Voice over IP) und bei dem ersten Netzwerk LAN handelt es sich beispielsweise um ein privates Netzwerk, üblicherweise auch LAN (Local Address Network) genannt. Die NAT-Einheit NAT ist zwischen dem privatem ersten Netzwerk LAN und dem beispielsweise öffentlichen zweiten Netzwerk INT lokalisiert. Aufgabe dieser NAT-Einheit NAT ist eine Ersetzung der privaten IP-Adresse durch eine öffentliche IP-Adres- se .
Falls die NAT-Einheit zusätzlich für eine Ersetzung des privaten Ports bzw. Portnummer mit einem öffentlichen Port eingerichtet ist, wird auch von einer NAT/PAT-Einheit gesprochen (Network Address Translation/Port Address Translation) .
Da das zweite Kommunikationsendgerät P2 das erste Kommunikationsendgerät Pl nicht mit dessen privater Adresse ansprechen kann, müssen die privaten IP-Adressen und -Portnummern, welche in Signalisierungsnachrichten ausgetauscht werden, in ei- ne öffentliche IP-Adresse bzw. Portnummer übersetzt werden.
Im Stand der Technik wird eine solche Übersetzung üblicherweise von der NAT-Einheit oder vom ersten Kommunikationsendgerät Pl vorgenommen. Dabei sind NAT-Einheiten bekannt, wel- che auch als Application Layer Gateway (ALG) bezeichnet werden. Derartige ALG sind in der Lage, die in den Signalisierungsnachrichten enthaltenen Adressen zu extrahieren und zu übersetzen und modifizierte Signalisierungsnachrichten zu erstellen. Je nach verwendetem Protokoll werden diese als SIP-ALG oder H.323-ALG bezeichnet.
Für Fälle, in denen die im Datenpart zwischengeschaltete NAT- Einheit NAT nicht als ALG ausgestaltet ist, muss das erste Kommunikationsendgerät Pl entsprechende Ersetzung in entspre- chenden Signalisierungsnachrichten vornehmen. Zu diesem Zweck muss das erste Kommunikationsendgerät Pl im Wissen seiner öffentlichen Internetadresse und Portnummer sein. Um diese zu erhalten, wird der STUN-Server STUN durch das erste Kommunikationsendgerät Pl befragt.
Im Falle des erweiterten Protokolls Interactive Connectivity Establishment (ICE) wird der STUN-Mechanismus dahingehend erweitert, dass auch symmetrische NAT-Situationen behandelt werden können. Solche symmetrischen NAT-Situationen treten z.B. in Fällen auf, bei denen die NAT/PAT-Übersetzung der Quell-Internetadresse und der Quell-Portnummer von der Ziel- Internetadresse bzw. der Ziel-Portnummer abhängt.
Um dies zu erreichen, hält das erste Kommunikationsendgerät Pl alle verfügbaren Internetadressen vor, unter denen es e- ventuell zu erreichen wäre, also z.B. private Internetadressen sowie Adressen, welche durch einen STUN- oder einen TURN- Server bereitgestellt werden. Die vorgesagten Adressen werden alle in eine entsprechende Signalisierungsnachricht eingebunden. Auf eine derartige Sammlung von IP-Adressen bzw. Portnummern wird im Weiteren auch als »Kandidatenliste« (Candida- te List) Bezug genommen.
Das gerufene Kommunikationsendgerät entnimmt dann alle vorgehaltenen Adressen aus der Signalisierungsnachricht und testet diese nacheinander. Hierzu werden STUN-Anfragen an alle Adressen gesendet und das gegenseitige Kommunikationsendgerät wird jede dieser STUN-Anfragen beantworten. Dies bedeutet, dass zur Unterstützung des ICE-Verfahrens alle Kommunikationsendgeräte Pl, P2 eine STUN-Client-Applikation als auch eine STUN-Server-Applikation implementiert haben müssen.
Die vorgenannt beschriebenen Verfahrensweisen stellen den derzeitigen Stand der Technik dar, durch die eine Erreichbarkeit von Kommunikationsendgeräten Pl, P2 über eine NAT-Einheit NAT erreicht werden soll.
Die erfinderischen Mittel werden im Folgenden anhand mehrerer Ausführungsbeispiele beschrieben. Eine gemeinsame Idee der Ausführungsformen besteht darin, fallweise ein »IP Address Spoofing« und ein STUN-FeId »RESPONSE-ADDRESS« auf einer zentralen Instanz (STUN- bzw. ICE-Proxy P im Gateway GW) an- zuwenden und damit das STUN- bzw. ICE-Protokoll nicht auf den jeweiligen Kommunikationsendgeräten Pl, P2, sondern auf einer anderen Einheit ausgelagert auszuführen. Eine Ausführung erfolgt selbst dann, wenn sich die zentrale Einheit nicht im Nutzdatenpfad zwischen dem STUN-Server STUN und dem jeweiligen Kommunikationsendgerät Pl, P2 befindet.
Im Folgenden wird eine erste Ausführungsform der Erfindung unter Bezugnahme auf die Figur 2 beschrieben. In dieser ersten Ausführungsform wie auch in allen folgenden Ausführungsformen wird angenommen, dass die NAT-Einheit NAT nicht als ALG ausgestaltet ist und dass die beteiligten Kommunikationsendgeräte Pl, P2 nicht in der Lage sind, STUN-Anfragen zu be- arbeiten.
Gemäß der ersten Ausführungsform ist das Gateway GW direkt im Datenpfad zwischen dem ersten Kommunikationsendgerät Pl und der NAT-Einheit NAT angeordnet. Das Gateway GW ist des Weite- ren als STUN-Proxy P ausgestaltet. Das Gateway GW befindet sich also durch die Anordnung im Datenpfad zwischen dem ersten Kommunikationsendgerät Pl und der NAT-Einheit NAT sowohl im Nutzdatenpfad als auch im Signalisierungsdatenpfad zwischen dem ersten Kommunikationsendgerät und seinem Kommunika- tionspartner, hier, dem zweiten Kommunikationsendgerät P2.
Das mit dem STÜN-Proxy P ausgestaltete Gateway GW und das Gateway GW bezeichnen in der folgenden Beschreibung oftmals eine identische Funktionseinheit, nämlich ein um eine »Proxy- funktionalität erweitertes Gateway«. Dementsprechend ist bei der Beschreibung der erfindungsgemäßen Mittel das STUN-Proxy P einerseits und das Gateway GW andererseits als funktionsidentisch anzunehmen. Die jeweilig gewählte Bezeichnung betont einerseits den Protokollbearbeitungscharakter des STUN- Proxys P und andererseits den Charakter des Gateways GW als eine adressierbare Einheit. Dies gilt auch für die dem ersten Ausführungsbeispiel folgenden weiteren Ausführungsbeispiele mit einem entsprechenden TURN- oder ICE-Proxy P.
Die mit der zusätzlichen Funktionalität ausgestaltete Funktion des Gateway GW besteht darin, dass das Gateway GW im STUN- Proxy P eine STUN-Protokollbearbeitung anstelle des ersten Kommunikationsendgeräts Pl durchführt. Im Folgenden wird die- se STUN-Protokollbearbeitung anhand einzelner Schritte näher dargestellt .
1.1 Das Gateway GW fängt eine vom ersten Kommunikations- endgerät Pl gesendete Signalisierungsnachricht ab (In- terception) und speichert deren Inhalte. Bei einer solchen Signalisierungsnachricht handelt es sich beispielsweise um eine üblicherweise ausgestaltete H.323- oder SIP-Meldung. Die Signalisierungsnachricht enthält Informationen über die private IP-Adresse (Internet Protocol) und einen zugehörigen TCP/UDP-Port (Transmission Control Protocol/User Datagram Protocol), welche das erste Kommunikationsendgerät Pl für einen Austausch von Kommunikationsinformationen zu nutzen beab- sichtigt.
1.2 Das Gateway GW sendet nun STUN-Anfragen an den STUN- Server STUN wobei das Gateway GW nicht seine eigene Adresse und seine eigene Portnummer verwendet, sondern die aus 1.1 bezogene Adresse bzw. Portnummer. Mit anderen Worten gibt das Gateway GW eine andere Adresse und Portnummer als seine eigene an und führt somit ein »IP-Address-Spoofing« sowie ein »Port-Spoofing« durch.
1.3 Das Gateway GW fängt eine vom STUN-Server STUN in Antwort auf eine der STUN-Anfragen gesendete STUN- Nachricht ab, welche an die private IP-Adresse und die private Portnummer des ersten Kommunikationsendgeräts Pl gerichtet ist.
1.4 Die öffentliche IP-Adresse und die öffentliche Portnummer werden aus der STUN-Antwort entnommen.
1.5 Die private IP-Adresse und die private Portnummer wer- den durch die zugehörige öffentliche IP-Adresse und die zugehörige öffentliche Portnummer des ersten Kommunikationsendgeräts ersetzt. Die letztgenannten öf- fentlichen Einträge stammen dabei aus der gemäß Schritten 1.3 und 1.4 entnommenen STUN-Antwort .
1.6 Eine entsprechend abgeänderte Signalisierungsnachricht wird nun an das Ziel gesendet, welches im Schicht-3-
Header der Signalisierungsnachricht identifiziert wurde.
Der Kommunikationspartner des ersten Kommunikationsendgerät Pl, also das zweite Kommunikationsendgerät P2, kann nun die übersetzte öffentliche IP-Adresse sowie Portnummer aus der Signalisierungsnachricht entnehmen und kann nun eine direkte Medienverbindung mit dem ersten Kommunikationsendgerät Pl aufbauen, welche mit einem Austausch von Nutzdaten einher- geht.
Im Folgenden wird eine zweite Ausführungsform der Erfindung unter Bezugnahme auf die Figur 1 erläutert.
In einem allgemeinen Szenario wird nun angenommen, dass der im Gateway GW implementierte STUN-Proxy P zwar im Datenpfad bezüglich Signalisierungsnachrichten aber nicht im Datenpfad bezüglich Nutzdatennachrichten - sogenannter Media-Path - angeordnet bzw. zwischengeschaltet ist. In einem solchen Fall wäre der Verfahrensschritt 1.3 gemäß der ersten Ausführungsform ohne weitere Änderungen im Vorgehen nicht durchführbar, da das Gateway GW mit dem darin implementierten STUN-Proxy P nicht im Datenpfad für Nutzdatennachrichten angeordnet ist und damit nicht in der Lage wäre, eine STUN-Response, welche vom STUN-Server STUN zum ersten Kommunikationsendgerät Pl gesendet wird, abzufangen (intercept) .
Als Teil zur Lösung wird erfindungsgemäß eine Option »RESPONSE-ADDRESS« verwendet, welche in der das STUN- Verfahren beschreibenden Druckschrift RFC 3489 definiert ist. Diese Option wird bei der Bildung der STUN-Anforderung
- vergleiche auch Verfahrensschritt 1.2 im ersten Ausführungsbeispiel - verwendet. Im Folgenden werden die einzelnen Verfahrensschritte, welche unter Beteiligung des STUN-Proxys P im Gateway GW durchgeführt werden, detailliert beschrieben.
2.0 Das Gateway GW sendet eine STUN-Anforderung an den STUN- Server STUN unter Verwendung der eigenen IP-Adresse und der eigenen Portnummer. Dieser Schritt 2.0 ist in der ersten Ausführungsform nicht vorgesehen.
2.1 Die öffentliche IP-Adresse und die öffentliche Portnum- mer des im Gateway GW angeordneten STUN-Proxys P wird nach Eintreffen der STUN-Antwort gespeichert. Dieser Schritt 2.1 hat keine Entsprechung in der ersten Ausführungsform.
2.2 Wiederholung der Schritte 2.0 und 2.1 in periodischen Zeitabständen um zu erreichen, dass eine (nicht dargestellte) Firewall und/oder die NAT-Einheit NAT einen entsprechenden Datenpfad offenhalten. Würde dieser Datenpfad nicht offengehalten bleiben, würde entweder die Firewall oder die NAT-Einheit NAT einen entsprechenden Port schließen, so dass das paketorientierte Netzwerk LAN nicht mehr von außerhalb erreichbar wäre. Dieser Schritt 2.2 hat keine Entsprechung in der ersten Ausführungsform.
2.3 Während der Verfahrensschritt 2.2 weiterhin ausgeführt wird, hört das Gateway GW das erste Netzwerk LAN auf Signalisierungsnachrichten seitens des ersten Kommunikationsendgeräts Pl ab. Liegen derartige Signalisierungs- nachrichten von Seiten des ersten Kommunikationsendgeräts Pl vor, werden diese abgefangen und deren Inhalte im Gateway GW gespeichert. Im speziellen gespeichert werden Informationen über die private IP-Adresse und den jeweiligen TCP- bzw. UDP-Port des ersten Kommunikations- endgeräts Pl gespeichert, welche das erste Kommunikationsendgerät Pl für einen Empfang von Nutzdaten zu verwenden beabsichtigt . Entsprechende Informationen werden auch über das zu rufende Kommunikationsendgerät P2 vorgehalten.
2.4 In einem weiteren Schritt werden seitens des Gateways GW nun STUN-Anfragen an den STUN-Server STUN gesendet. Diese Anfragen werden jedoch nicht unter Verwendung der eigenen Adresse des Gateways GW gesendet. Stattdessen sendet das Gateway GW Anfragen unter Verwendung der IP- Adresse und des Quellports, welche jeweils aus den abge- fangenen Signalisierungsnachrichten entnommen und gespeichert wurden. Mit anderen Worten führt das Gateway GW auch hier ein IP-Address-Spoofing sowie ein Port- Spoofing durch. In die besagte STUN-Anforderung wird die Option »RESPONSE-ADDRESS« verwendet. Diese weist den STUN-Server STUN an, die Antwort auf die STUN-
Anforderung nicht an das erste Kommunikationsendgerät Pl zu senden, also den mit Spoofing vorgegebenen Absender der STUN-Anfrage, sondern an einen im Feld »RESPONSE- ADDRESS« spezifizierten Empfänger. Als im Feld »RESPONSE-ADDRESS« spezifizierter Empfänger wird dabei die in Schritt 2.1 gespeicherte öffentliche IP-Adresse und die entsprechende öffentliche Portnummer des STUN- Proxys P eingetragen.
2.5 Aufgrund der in Schritt 2.4 getroffenen Maßnahmen wird die STUN-Antwort an den STUN-Proxy P des Gateways GW anstatt an das erste Kommunikationsendgerät Pl gesendet.
2.6 Die öffentliche IP-Adresse und der öffentliche Port des ersten Kommunikationsendgeräts wird seitens des Gateway
GW der STUN-Antwort entnommen.
2.7 Das Gateway GW ersetzt die private IP-Adresse und die private Portnummer des ersten Kommunikationsendgeräts Pl durch dessen jeweilige öffentliche IP-Adresse und öffentlichen Portnummer, welche jeweils der im Schritt 2.5 erhaltenen STUN-Antwort entnommen wurden. 2.8 Eine gemäß den vorangehenden Schritten modifizierte Sig- nalisierungsnachricht wird an das Ziel gesendet, das im Schicht-3-Header der Signalisierungsnachricht identifiziert wurde.
Mit den Schritten 2.0, 2.1 und 2.2 wird letztlich sichergestellt, dass das Gateway GW seitens des zweiten paketorientiertem Netzwerks INT bzw. Internet erreichbar bzw. adressierbar bleibt. In einer alternativen Ausgestaltung der zwei- ten Ausführungsform wird von einer Durchführung bzw. Implementierung der Schritte 2.0, 2.1 und 2.2 abgesehen und stattdessen seitens des Gateways GW eine öffentliche Netzwerkadresse verwendet. In dieser alternativen Ausgestaltung wird im Schritt 2.4 die öffentliche Adresse des Gateways GW in das Feld »RESPONSE-ADDRESS« eingetragen.
In einer im Folgenden erläuterten dritten Ausführungsform der Erfindung wird anstelle des Protokolls STUN das Protokoll TURN (Traversal Using Relay NAT) verwendet. Das Verfahren ist bis auf eine Ersetzung des Ausdrucks »STUN« durch den Ausdruck »TURN« identisch zu dem der zweiten Ausführungsform zugehörigen Verfahren.
Im Folgenden wird eine vierte Ausführungsform der Erfindung unter Verwendung des Protokolls ICE (Interactive Connectivity Establishment) erläutert. Hierzu wird unter Bezugnahme auf die Figur 2 erneut angenommen, dass das Gateway GW sich im Datenpfad sowohl für Nutzdaten- als auch für Signalisierungs- nachrichten befindet. Eine Position »im Datenpfad« bedeutet also analog zur ersten Ausführungsform, dass sowohl Signali- sierungs- als auch Nutzdaten-Nachrichten (Media Messages) ü- ber das Gateway GW geführt werden. Im Gateway GW ist ein entsprechender ICE-Proxy P implementiert.
Unter Mitwirkung des ICE-Proxys P im Gateway GW werden dabei folgende Schritte durchgeführt, welche entsprechend der Richtung Ihrer Nutzdatennachrichten nummeriert sind. Anfänglich mit 4.1 nummerierte Schritte erfolgen ausgehend vom Local Client in Richtung auf den Remote Client, also ausgehend vom rufenden ersten Kommunikationsendgerät Pl in Richtung auf das gerufene zweite Kommunikationsendgerät P2. Anfänglich mit 4.2 nummerierte Schritte erfolgen ausgehend vom Remote Client in Richtung auf den Local Client, also ausgehend vom gerufenen zweiten Kommunikationsendgerät P2 in Richtung auf das rufende erste Kommunikationsendgerät Pl.
4.1.1 Signalisierungsnachrichten des zweiten Kommunikati- onsendgeräts P2 werden seitens des Gateway GW abgefangen. Diese Signalisierungsnachrichten wurden optional auch an ein im zweiten Netzwerk INT angeordnetes - nicht dargestelltes - VoIP-Gateway auf Schicht 3 gesendet. Die Signalisierungsnachricht enthält gegebenenfalls eine Kandidatenliste mit möglichen IP-Adressen und Portnummern des zweiten Kommunikationsendgeräts P2.
4.1.2 Die Adresse des Kommunikationsendgeräts P2 wird aus der Signalisierungsnachricht entnommen.
4.1.3 Der ICE-Proxy P im Gateway GW sendet eine STUN- Anforderung an die Adresse des zweiten Kommunikationsendgeräts P2, wobei als Adresse die im Schritt 4.1.2 aus der Signalisierungsnachricht entnommenen
IP-Adresse und Portnummer des zweiten Kommunikationsendgeräts P2 verwendet werden. Weiterhin werden zur Identifizierung des Absenders statt der eigenen IP-Adresse und eigenen Portnummer des Gateways GW die jeweiligen aus der Signalisierungsnachricht gemäß Schritt 4.1.2 entnommenen Quell-IP-Adresse und Quell-Portnummer verwendet. Mit anderen Worten wird ein IP Address Spoofing und Port Spoofing angewandt.
4.1.4 Eine aus dem öffentlichen Netzwerkbereich INT in
Richtung des ersten Kommunikationsendgeräts Pl gesendete STUN-Antwort wird seitens des Gateway GW abgefangen. 4.1.5 Aus der STUN-Antwort werden die Quell-IP-Adresse und die Quell-Portnummer aus dem Schicht-3-Header entnommen .
4.1.6 Die mit der Signalisierungsnachricht aus Schritt 4.1.1 bezogene Kandidatenliste mit möglichen IP- Adressen und Portnummern des zweiten Kommunikationsendgeräts P2 wird durch die einzige in Schritt 4.1.5 bestimmte IP-Adresse ersetzt.
4.1.7 Aus den gemäß den vorhergehenden Schritten bestimmten Adressen und Portnummern wird eine veränderte Signalisierungsnachricht erstellt. Diese wird an die IP-Adresse und Portnummer weitergeleitet, welche im
Schicht-3- bzw. Schicht-4-Header entnommen wurden.
Während die Schritte in 4.1 sich auf eine Richtung der Nutzdatennachrichten vom ersten Kommunikationsendgerät Pl in Richtung des zweiten Kommunikationsendgeräts P2 bezogen, werden in folgenden Unterschritten von 4.2 Nachrichten betrachtet, welche vom zweiten Kommunikationsendgerät P2 in Richtung des ersten Kommunikationsendgeräts Pl gesendet werden.
4.2.1 Ausführen der Schritte 1.1 bis 1.4 gemäß der ersten Ausführungsform der Erfindung.
4.2.2 Einfügen von STUN- bzw. TURN-Adressen, welche im o- bigen Schritt 4.2.1 bezogen wurden in eine Kandida- tenliste. Diese Kandidatenliste wird in eine neu erzeugte Signalisierungsnachricht eingefügt, welche an das Ziel gesendet wird, das in dem Schicht-3-Header der Signalisierungsnachricht identifiziert wurde.
4.2.3 Die Gegenseite der Kommunikation, d.h. das zweite Kommunikationsendgerät P2 wird nun alle Kandidaten der Kandidatenliste überprüfen, indem an alle Kandidaten der Kandidatenliste eine STUN-Anforderung ge- sendet wird. Die Kandidaten sind dabei die möglicherweise gültigen IP-Adressen bzw. entsprechende Portnummern des rufenden Partners, d.h. des ersten Kommunikationsendgeräts Pl. Der ICE-Proxy P fängt diese STUN-Anforderungen, welche an den »ICE-unbedarften« (non-ICE-aware) Kommunikationspartner Pl gesendet wurden, ab und beantwortet diese entsprechend. Eine IP-Address-Spoofing ist hier also nicht notwendig oder nicht unbedingt notwendig.
Eine scheinbare - nicht zuletzt anhand einer identischen Netzwerktopologie denkbare - Analogie dieser vierten Ausführungsform zur ersten Ausführungsform stellt sich im Fall der Verwendung von ICE tatsächlich als verschieden im Vergleich zu der auf STUN basierenden ersten Ausführungsform heraus. ICE weist Besonderheiten auf, die es in dieser vierten Ausführungsform zu berücksichtigen gilt.
Eine einfacher zu handhabende Situation entsteht dann, wenn zuerst das zweite Kommunikationsnachricht eine Signalisie- rungsnachricht, beispielsweise SIP-Nachricht, schickt. Dann kann das erste Kommunikationsendgerät Pl dort enthaltene IP- Adresse und Portnummer für seine STUN-Anfragen nutzen und so herausfinden, unter welcher Adresse sowohl das lokale erste Kommunikationsendgerät Pl als auch das zweite Kommunikationsendgerät P2 zu erreichen ist. Entsprechend werden die Informationen in SIP bzw. SDP vor der Weiterleitung berichtigt.
Eine schwieriger zu handhabende Situation entsteht dann, wenn das erste Kommunikationsendgerät Pl die Gegenseite, d.h. das zweite Kommunikationsendgerät P2 ruft. Seitens des STUN Proxys P besteht dann keine Kenntnis, an wen eine entsprechende STUN-Anfrage geschickt werden soll. Die hierzu vorgeschlagene Lösung besteht darin, die Gegenseite dazu bringen, ihre IP- Adresse und Portnummer mitzuteilen. Dazu kann das STUN-Proxy P, das eine Einladungsnachricht bzw. »SIP INVITE«-Nachricht vom lokalen ersten Kommunikationsendgerät Pl abgefangen hat, diese Einladungsnachricht ohne IP-Adresse und Portnummer wei- terleiten. Eine Nachreichung der IP-Adresse und Portnummer kann in einer späteren SIP-Nachricht erfolgen. Das zweite Kommunikationsendgerät P2 sollte auf die Einladungsnachricht mit einer SIP-Nachricht antworten, welche dessen IP-Adresse und Portnummer enthält. Nun ist das STUN-Proxy in der Lage, eine STUN-Abfrage machen. Das STUN-Proxy P kann des weiteren die IP-Adresse und Portnummer des zweiten Kommunikationsendgeräts P2 nachreichen und die vom zweiten Kommunikationsendgerät P2 gesendete SIP-Nachricht entsprechend der aus mit Hilfe des STUN-Protokolls erhaltenen Informationen anpassen und an das erste Kommunikationsendgerät Pl weiterleiten.
Im Folgenden wird eine fünfte Ausfϋhrungsform der Erfindung unter Bezugnahme auf die Figur 1 beschrieben. In dieser Aus- führungsform ist ein ICE-Proxy P im Datenpfad der Signalisie- rungsnachrichten aber nicht im Datenpfad der Nutzdatennachrichten angeordnet.
Für eine Richtung der Nachrichten vom zweiten Kommunikations- endgerät P2 zum ersten Kommunikationsendgerät Pl gibt es keine »Straightforward«-Lösung, da die ICE-fähige Gegenseite, das zweite Kommunikationsendgerät P2, Verbindungsprüfungen ausführt, welche an das »ICE-unbedarfte« erste Kommunikationsendgerät Pl in Form von STUN-Anfragen direkt gesendet wer- den. Das »ICE-unbedarfte« erste Kommunikationsendgerät Pl ist nicht in der Lage, diese ICE-Verbindungsprüfungen zu bearbeiten. Auch der ICE-Proxy P im Gateway GW kann derartige STUN- Anforderungen nicht abfangen.
Daher ist gemäß der fünften Ausführungsform ein erhöhter Aufwand notwendig, welcher verbunden ist mit einer Handhabung von Nutzdatennachrichten, welche vom ersten Kommunikationsendgerät Pl in Richtung des zweiten Kommunikationsendgeräts P2 gesendet werden.
In beiden Richtungen wird durch den ICE-Proxy P folgendes durchgeführt : 5.0.1 Die Schritte 2.0 bis 2.2 werden durchgeführt, mit dem Ziel, die öffentliche IP-Adresse und die öffentliche Portnummer des ICE-Proxys P zu erhalten.
Für im Rahmen der Kommunikationsverbindung ausgehend vom ersten Kommunikationsendgerät Pl in Richtung des zweiten Kommunikationsendgeräts P2 gesendete Nutzdatennachrichten wird unter Beteiligung des ICE-Proxys P folgendes durchgeführt:
5.1.1 Abfangen von Signalisierungsnachrichten vom zweiten
Kommunikationsendgerät P2 an das erste Kommunikations- endgerät Pl .
5.1.2 Der Inhalt der Signalisierungsnachrichten wird in ei- nen Signalisierungsnachrichtenspeicher eingeschrieben, so dass dieser in den Schritten 5.2.3 und 5.1.4.2 verwendet werden kann.
5.1.3 Im Folgenden wird, analog zum Vorgehen gemäß der Schritte 2.4 bis 2.6, ein Verfahren durchgeführt, bei dem ein STUN-Request mit einer mittels Spoofing vorgegebenen Adresse an das zweite Kommunikationsendgerät P2 gesendet wird, bei dem der STUN-Request im Feld »RESPONSE-ADDRESS« die Adresse des Gateways GW enthält und bei dem der Proxy P eine entsprechende Antwort enthält. Jedoch werden die STUN-Anfragen dieses Mal an die Adressen und Portnummern der Kandidatenliste des Kommunikationsendgeräts P2 gesendet, welche durch Schritt 5.1.1 bestimmt wurden. Weiterhin wird in der Option »RESPONSE-ADDRESS« die Adresse des ICE-Proxys P eingetragen, so dass die Antwort an den ICE-Proxy P gesendet wird.
5.1.4 Die Quell-IP-Adresse und die Portnummer werden aus dem Schicht-3- und dem Schicht-4-Header der ersten Antwort auf die STUN-Anfrage bezogen. Diese IP-Adresse und Portnummer des zweiten Kommunikationsendgeräts P2 entsprechen denjenigen aus der Sicht des ICE-Proxys P. 5.1.5 In der abgefangenen Nachricht des Schritts 5.1.1 werden alle IP-Adressen und Portnummern der Kandidatenliste entfernt, mit Ausnahme des Eintrags, welche mit der IP-Adresse und Portnummer aus dem im Schritt 5.1.4 gelesenen Werten übereinstimmt.
5.1.6 Die abgeänderte Signalisierungsnachricht wird an das Ziel geschickt, das im Schicht-3-Header der Signali- sierungsnachricht identifiziert wurde.
5.1.7 Optional wird im Signalisierungsnachrichtenspeicher überprüft, ob der (unten erläuterte) Schritt 5.2 bereits ausgeführt wurde und zwar auf derselben Verbin- düng in umgekehrter Richtung. Für den Fall, dass
Schritt 5.2 bereits ausgeführt wurde, wird der (unten erläuterte) Schritt 5.2.4.2 ausgeführt und überprüft, ob die lokale Adresse aus Sicht des zweiten Kommunikationsendgeräts P2 mit der übereinstimmt, welche an das erste Kommunikationsendgerät Pl bereits übersandt wurde. Für den Fall, dass Schritt 5.2 nicht ausgeführt wurde, wird keine Aktion durchgeführt. Ergibt die Ü- berprüfung, dass die lokale Adresse aus Sicht des zweiten Kommunikationsendgeräts P2 mit der an das ers- te Kommunikationsendgerät Pl übersandten übereinstimmt, wird die Verbindung z.B. mit einer SIP UPDATE oder mit einer SIP re-INVITE-NACHRICHT auf den neuesten Stand gebracht, wobei jetzt eine korrigierte IP- Adresse und Portnummer angegeben wird.
Für im Rahmen der Kommunikationsverbindung ausgehend vom zweiten Kommunikationsendgeräts P2 in Richtung des ersten Kommunikationsendgerät Pl gesendete Nutzdatennachrichten wird unter Beteiligung des ICE-Proxys P folgendes durchgeführt:
5.2.2 Signalisierungsnachrichten vom ersten Kommunikationsendgerät in Richtung des zweiten Kommunikationsendgeräts P2 werden durch das Gateway GW abgefangen. 5.2.3 Es erfolgt eine Abfrage des Signalisierungsnachrich- tenspeichers, ob eine Signalisierungsnachricht in umgekehrter Richtung bereits empfangen wurde.
5.2.4.1 Ist die gemäß 5.2.3 erläuterte Abfrage negativ, d.h. eine Signalisierungsnachricht in umgekehrter Richtung wurde nicht empfangen, werden die Schritte 2.4 bis 2.6 mit der lokalen IP-Adresse und Portnummer des ersten Kommunikationsendgeräts Pl, laut der Signalisierungsnachricht, ausgeführt. Dies bedeutet, dass eine STUN-Anfrage an den öffentlichen STUN- Server STUN gesendet wird, jedoch mit der Maßgabe der Option »RESPONSE-ADDRESS«, um zu erreichen, dass die Antwort an den ICE-Proxy P gesandt wird. Anschließend wird die öffentliche IP-Adresse und Portnummer für das erste Kommunikationsendgerät Pl der STUN-Antwortnachricht entnommen.
5.2.4.1 Ist die Abfrage gemäß 5.2.3 positiv, d.h. ist bereits eine Signalisierungsnachricht in umgekehrter Richtung empfangen worden, werden die Schritte 2.4 bis 2.6. ausgeführt, jedoch wird die STUN-Anfrage diesmal an die aus der Kandidatenliste entnommene Adresse des zweiten Kommunikationsendgeräts P2 gesandt. In diesem Fall kann die IP-Adresse und Portnummer des ersten Kommunikationsendgeräts Pl aus Sicht des zweiten Kommunikationsendgeräts P2 der STUN-Antwort entnommen werden.
5.2.5 Die in der Signalisierungsnachricht enthaltene private IP-Adresse wird nun ersetzt, wobei als ersetzende IP- Adresse entweder diejenige verwendet wird, welche in Schritt 5.1.4.1 ermittelt oder diejenige, welche in Schritt 5.1.4.2 ermittelt wurde.
5.2.6 Die so überarbeitete Signalisierungsnachricht wird nun an das Ziel weitergeleitet, welches im Schicht-3- 15
Header der Signalisierungsnachricht identifiziert wurde.
Der erfindungsgemäße STUN-Proxy P lässt die Notwendigkeit entfallen, STUN oder ICE-Fähigkeiten in Kommunikationsendgeräte zu integrieren. Die vorliegende Erfindung zeigt auch, wie mit Netzwerktopologien verfahren wird, in dem der STUN- Proxy P im Datenpfad von Signalisierungsnachrichten aber nicht im Datenpfad von Nutzdatennachrichten angeordnet ist.

Claims

Patentansprüche
1. Verfahren zur Verbindung paketorientierter Kommunikations- endgeräte, - bei dem ein erstes Kommunikationsendgerät (Pl) in einem ersten Netzwerk (LAN) angeordnet ist, wobei das erste Netzwerk (LAN) über eine netzwerkadressumsetzende Einheit (NAT) an ein zweites Netzwerk (INT) angebunden ist, in dem ein zweites Kommunikationsendgerät (P2) an- geordnet ist, bei dem ein Gateway (GW) eine Vermittlung des ersten Kommunikationsendgeräts (Pl) steuert,
- bei dem ein dem Gateway (GW) zugeordneter Proxy (P) zum Abfangen oder Abhören von für das erste Kommunikations- endgerät (Pl) bestimmte und/oder seitens des ersten Kommunikationsendgeräts (Pl) ausgehenden Nachrichten eingerichtet ist,
- bei dem seitens des Proxys (P) ein Netzwerkprotokoll zur Erkennung und Durchdringung der netzwerkadressum- setzenden Einheit (NAT) in Zusammenarbeit mit einem Server (STUN) implementiert ist, bei dem der Proxy (P) eine seitens des Servers (STUN) an das erste Kommunikationsendgerät (Pl) gesendete erste Nachrichten an Stelle des ersten Kommunikationsend- geräts (Pl) durch eine zweite Nachricht erwidert wird, in welcher als Absenderadresse und/oder Absender-Portnummer eine Adresse und/oder Portnummer des ersten Kommunikationsendgeräts (Pl) eingetragen wird, und/oder, eine gemäß dem Netzwerkprotokoll zur Erkennung und Durchdringung der netzwerkadressumsetzenden Einheit (NAT) vorgesehene Option eingestellt wird, welche eine Übermittlung der Antwort auf die zweite Nachricht an das erste Kommunikationsendgerät (Pl) veranlasst.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass sich das Gateway (GW) außerhalb des Datenpfads der zwischen dem Server (STUN) und dem ersten Kommunikationsendgerät (Pl) ausgetauschten Nutzdaten befindet.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass sich das Gateway (GW) sowohl im Datenpfad der zwischen dem Server (STUN) und dem ersten Kommunikationsendgerät (Pl) ausgetauschten Nutzdaten als auch der zwischen dem Server (STUN) und dem ersten Kommunikationsendgerät (Pl) ausgetauschten Signalisierungsdaten befindet.
4. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass als Netzwerkprotokoll zur Erkennung und Durchdringung der netzwerkadressumsetzenden Einheit (NAT) STUN und/oder TURN und/oder ICE oder eine Kombination der drei genannten Netzwerkprotokolle verwendet wird.
5. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass zur Wahl der Option zur Übermittlung der Antwort auf die zweite Nachricht an das erste Kommunikationsendgerät (Pl) ein im Netzwerkprotokoll vorgesehenes »RESPONSE-ADDRESS«-Feld mit der Adresse des ersten Kommunikationsendgerät (Pl) befüllt wird.
6. Proxy zur Verbindung paketorientierter Kommunikationsendgeräte bei dem ein erstes Kommunikationsendgerät (Pl) in einem ersten Netzwerk (LAN) angeordnet ist, wobei das erste Netzwerk (LAN) über eine netzwerkadressumsetzende Einheit (NAT) an ein zweites Netzwerk (INT) angebunden ist, in dem ein zweites Kommunikationsendgerät (P2) angeordnet ist, bei dem ein Gateway (GW) eine Vermittlung des ersten Kommunikationsendgeräts (Pl) steuert, gekennzeichnet durch Mittel zum Abfangen oder Abhören von für das erste Kommunikationsendgerät (Pl) bestimmte und/oder seitens des ersten Kommunikationsendgeräts (Pl) ausgehenden Nachrichten eingerichtet ist, Mittel zum Betrieb eines Netzwerkprotokolls zur Erkennung und Durchdringung der netzwerkadressumsetzenden Einheit (NAT) in Zusammenarbeit mit einem Server (STUN) ,
Mittel zur Erwiderung einer seitens des Servers (STUN) an das erste Kommunikationsendgerät (Pl) gesendeten ersten Nachrichten an Stelle des ersten Kommunikationsendgeräts (Pl) durch eine zweite Nachricht, in welcher als Absenderadresse und/oder Absender-Portnummer eine Adresse und/oder Portnummer des ersten Kom- munikationsendgeräts (Pl) eingetragen wird, und/oder, eine gemäß dem Netzwerkprotokoll zur Erkennung und Durchdringung der netzwerkadressumsetzenden Einheit (NAT) vorgesehene Option eingestellt wird, welche eine Übermittlung der Antwort auf die zweite Nachricht an das erste Kommunikationsendgerät (Pl) veranlasst.
PCT/EP2007/008484 2007-09-28 2007-09-28 Verfahren und vorrichtung zur verbindung paketorientierter kommunikationsendgeräte WO2009046729A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
PCT/EP2007/008484 WO2009046729A1 (de) 2007-09-28 2007-09-28 Verfahren und vorrichtung zur verbindung paketorientierter kommunikationsendgeräte
EP07818564A EP2193649B1 (de) 2007-09-28 2007-09-28 Verfahren und Vorrichtung zur Verbindung paketorientierter Kommunikationsendgeräte
US12/680,343 US8429279B2 (en) 2007-09-28 2007-09-28 Method and device for connecting packet-oriented communication terminals
CN200780100838.6A CN101822026B (zh) 2007-09-28 2007-09-28 经由网络地址转换单元在面向分组的通信终端设备之间建立连接的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2007/008484 WO2009046729A1 (de) 2007-09-28 2007-09-28 Verfahren und vorrichtung zur verbindung paketorientierter kommunikationsendgeräte

Publications (1)

Publication Number Publication Date
WO2009046729A1 true WO2009046729A1 (de) 2009-04-16

Family

ID=39512807

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2007/008484 WO2009046729A1 (de) 2007-09-28 2007-09-28 Verfahren und vorrichtung zur verbindung paketorientierter kommunikationsendgeräte

Country Status (4)

Country Link
US (1) US8429279B2 (de)
EP (1) EP2193649B1 (de)
CN (1) CN101822026B (de)
WO (1) WO2009046729A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368937A (zh) * 2012-03-27 2013-10-23 三星泰科威株式会社 通信系统和在通信系统中发送和接收数据的方法

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200924439A (en) * 2007-11-23 2009-06-01 D Link Corp Portable ICE relay server and its method thereof
GB201113942D0 (en) * 2011-08-12 2011-09-28 Nec Corp Communication system
TWI484804B (zh) * 2011-11-09 2015-05-11 Quanta Comp Inc 網路系統之資料管理方法及其相關系統
KR101884713B1 (ko) * 2012-07-20 2018-08-30 삼성전자주식회사 홈 네트워크 시스템 및 상기 시스템에서의 공유기의 네트워크 설정 방법
US8601144B1 (en) * 2012-11-27 2013-12-03 Sansay, Inc. Systems and methods for automatic ICE relay candidate creation
TWI493924B (zh) * 2013-04-10 2015-07-21 D Link Corp Through the two network devices to help complete the STUN technology network system and its methods
CN108234398B (zh) * 2016-12-15 2021-01-08 中国电信股份有限公司 多媒体通信方法和系统以及相关设备
FR3063858B1 (fr) * 2017-03-08 2021-06-04 Airbus Ds Slc Procede de communication pour assurer le maintien d'une session applicative entre un terminal et un serveur d'application
US10681000B2 (en) * 2017-06-30 2020-06-09 Nicira, Inc. Assignment of unique physical network addresses for logical network addresses
US10805361B2 (en) 2018-12-21 2020-10-13 Sansay, Inc. Communication session preservation in geographically redundant cloud-based systems

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050125532A1 (en) * 2000-05-26 2005-06-09 Gur Kimchi Traversing firewalls and nats
WO2005001660A2 (en) * 2003-06-25 2005-01-06 Anonymizer, Inc. Secure network privacy system using proxy server
CN1299476C (zh) * 2004-05-28 2007-02-07 中兴通讯股份有限公司 一种h.323代理服务器代理网络地址转换后的终端向网守注册的方法
CN100525202C (zh) * 2004-05-28 2009-08-05 中兴通讯股份有限公司 一种基于h.323协议的私网终端向网守注册的方法
US8571011B2 (en) * 2004-08-13 2013-10-29 Verizon Business Global Llc Method and system for providing voice over IP managed services utilizing a centralized data store
CN100539504C (zh) * 2006-02-28 2009-09-09 诺基亚西门子通信系统技术(北京)有限公司 一种网络地址转换和/或防火墙穿越平台、系统及其方法
US20070220162A1 (en) * 2006-03-17 2007-09-20 Microsoft Corporation Media processing abstraction model
DE102006022046B4 (de) * 2006-05-05 2008-06-12 Nokia Siemens Networks Gmbh & Co.Kg Verfahren zum Ermöglichen einer Steuerung der Dienstqualität und/oder der Dienstvergebührung bei Telekommunikationsdiensten

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SIPPING WG J ROSENBERG DYNAMICSOFT R MAHY CISCO S SEN NORTEL: "NAT and Firewall Scenarios and Solutions for SIP; draft-ietf-sipping-nat-scenarios-00.txt", IETF STANDARD-WORKING-DRAFT, INTERNET ENGINEERING TASK FORCE, IETF, CH, vol. sipping, 24 June 2002 (2002-06-24), pages 1 - 69, XP015003441, ISSN: 0000-0004 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368937A (zh) * 2012-03-27 2013-10-23 三星泰科威株式会社 通信系统和在通信系统中发送和接收数据的方法
CN103368937B (zh) * 2012-03-27 2017-11-14 韩华泰科株式会社 通信系统和在通信系统中发送和接收数据的方法

Also Published As

Publication number Publication date
US20100312880A1 (en) 2010-12-09
CN101822026A (zh) 2010-09-01
US8429279B2 (en) 2013-04-23
EP2193649B1 (de) 2012-11-21
EP2193649A1 (de) 2010-06-09
CN101822026B (zh) 2013-08-28

Similar Documents

Publication Publication Date Title
EP2193649B1 (de) Verfahren und Vorrichtung zur Verbindung paketorientierter Kommunikationsendgeräte
DE60127276T2 (de) Verfahren und vorrichtung zur erleichterung der peer-zu-peer anwendungskommunikation
DE10353925B4 (de) Verfahren zum Austausch von Daten zwischen zwei Hosts
DE10392494B4 (de) Mechanismen zum Bereitstellen von Verbindbarkeit zwischen Netzen unterschiedlicher Adressbereiche
DE102007046627B4 (de) Verfahren und Vorrichtung zum Organisieren von Internet-Kommunikationsvorgängen unter Nutzung einer dynamischen STUN-Infrastrukturkonfiguration
DE10245330B4 (de) Softwareschalter der verteilte Firewalls für eine Lastteilung von Internet-Telefonie-Verkehr in einem IP-Netz verwendet
DE60210927T3 (de) Verfahren und Vorrichtung zur Zulassung der Datenübertragung über Firewalls
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE102005062771A1 (de) Multimedia-Konferenzsystem und -verfahren
DE102015004668A1 (de) Aufgeteilte netzwerkadressenübersetzung
EP1897340B1 (de) Vorrichtung und verfahren zum adress-mapping
DE102005043239B4 (de) Verfahren zum Aufbau und Verwalten einer Verbindung
WO2010034499A2 (de) Verfahren und einrichtung zur bidirektionalen adressumsetzung in sip-gesteuerten datenströmen zwischen ipv4- und ipv6- datenendgeräten
EP1282280A1 (de) Verfahren, Steuereinrichtung und Programmmodul zur Steuerung und Lenkung von Datenströmen einer Kommunikationsverbindung zwischen Teilnehmern eines Paketdatennetzes
EP1878205B1 (de) Verfahren und vorrichtung zur umsetzung von internet-protokoll-adressen innerhalb eines kommunikationsnetzwerkes
DE102005035733A1 (de) Verfahren zum Datenaustausch zwischen Netzelementen
EP1421766A1 (de) Vorabaushandlung von nat-adressen
EP1623559B1 (de) Verfahren zum datenaustausch zwischen netzelementen in netzwerken mit verschiedenen adressbereichen
EP2036313B1 (de) Verfahren zur verwaltung von kommunikationsverbindungen über netzwerk-adressumsetzende nat netzknoten
EP2695364A1 (de) Verfahren zur adressierung von nachrichten in einem computernetzwerk
DE102008009925B4 (de) Verfahren und Einrichtung zum Verbindungsaufbau für die Internettelefonie
EP2108229B1 (de) Verfahren und kommunikationsanordnung zum transport von multimediadaten zwischen ip-endgeräten in einem lokalen netz eines wan
EP1383295B1 (de) Verfahren zur Adressumsetzung in Paketnetzen und Adressumsetzer für Kommunikationsnetzwerke
EP1924072A1 (de) Aufbau einer Kommunikationsverbindung in einem privaten IP-Netzwerk ohne Kontaktierung eines öffentlichen STUN-Servers
EP1522183B1 (de) Verfahren zur Adressumsetzung in Paketnetzen und Steuerelement für Kommunikationsnetzwerke

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200780100838.6

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07818564

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 937/KOLNP/2010

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 2007818564

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 12680343

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE