CN1910858A - 具有安全措施的远程控制网关管理 - Google Patents
具有安全措施的远程控制网关管理 Download PDFInfo
- Publication number
- CN1910858A CN1910858A CNA2005800027681A CN200580002768A CN1910858A CN 1910858 A CN1910858 A CN 1910858A CN A2005800027681 A CNA2005800027681 A CN A2005800027681A CN 200580002768 A CN200580002768 A CN 200580002768A CN 1910858 A CN1910858 A CN 1910858A
- Authority
- CN
- China
- Prior art keywords
- gateway
- configuration information
- network appliance
- port
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0843—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2567—NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2585—NAT traversal through application level gateway [ALG]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种远程控制网关(135)管理的***和方法。该方法和设备接收对内容(164)的请求(120-1,120-2),该请求包括网关(135)的全局地址信息(125-2,126-2),并且该请求与可通过网关(135)访问的局域网上的网络器材(105)相对应。该方法和设备确定适于将网关(135)配置成将包括部分内容(164)的一个或多个内容流(190)传送到网络器材(105)的配置信息(139,145,134)。该方法和设备把网关配置信息(139,145,134)通信给网关(135)。
Description
技术领域
本发明涉及通过网络进行的通信,并且更加具体地讲,涉及使用网关在两个网络之间进行通信。
背景技术
小型网络用的网关典型地包括防火墙和路由器。防火墙阻止对小型网络(本文称为“局域网”)的未经允可接入,从而保护局域网不受外部的攻击。路由器对进出的通讯进行转译。例如,局域网中的网络器材一般来说会产生使用属于网络器材的本地地址和本地端口的输出数据包。本地地址和本地端口在局域网外是无效的,因此路由器将它们转译成在外部网络中有效的全局地址和全局端口。一般来说,网关用它自己的全局地址替换本地地址,并且用它自己的端口之一替换本地端口。然后将经过修改的数据包发送到外部网络中上它的收信方。由路由器从收信方接收到的数据包在所接收到的数据包中将会有路由器的全局地址和全局端口。然后,路由器用网络器材的本地地址和本地端口替换路由器的全局地址和全局端口,并将这些数据包发送至局域网。
目前,安装在局域网(比如家用网)和外部网络(比如因特网)之间的网关的配置是由用户进行的。这样做的问题是,在很多时候,网关的配置是很复杂和麻烦的。例如,有很多应用程序,尤其是处理多媒体的应用程序,使用大量的实时内容流。典型的多媒体应用程序一般来说由用来访问外部网络上的远程服务器的单独一个、非流式的连接开始。不过,多媒体应用程序一般产生多个具有进入局域网的多媒体数据流的连接和/或多个具有出自局域网的控制信息流或多媒体数据流的连接。使用大量输入连接(与本地地址和本地端口相关)会对网关造成问题,因为防火墙和路由器二者都必须处理所有这些多媒体内容流,同时还要阻止不希望有的对局域网的访问和将多媒体内容流正确路由到局域网上的(一个或多个)恰当网络器材。
因此,存在着对用于网关管理的改进方法和设备的需求。
发明内容
总地来讲,本发明提出一种具有安全措施的远程定位的网关管理的***和方法,该***和方法给出了例如网关的自动配置。
按照本发明的一个示范性方面,公开了一种远程控制网关管理的***和方法。该方法和装置接收对内容的请求,该请求包括网关的全局地址信息,并且该请求与可借助网关访问的局域网上的网络器材相对应。该方法和装置确定适于将网关配置成将各自包括部分内容的一个或多个内容流传送到一个或多个网络器材的网关配置信息。该方法和装置把网关配置信息传输给该网关。
按照本发明的另一种示范性方面,公开了第二种方法和装置。该方法和装置发送对内容的请求,该请求包括网关的全局地址信息,并且该请求与可通过网关访问的局域网上的网络器材相对应。该第二种方法和装置接收适于将网关配置成将各自包括部分内容的一个或多个内容流传送到网络器材的网关配置信息。该方法和装置按照网关配置信息对网关进行配置。
通过下面详细的描述以及附图,不仅可以对本发明有更深的理解,而且可以知道本发明的特点和优势所在。
附图说明
图1是按照本发明的示范性实施方式进行工作的***的框图;
图2是为了提供远程控制网关管理而由网络器材执行的示范性方法的流程图;
图3是为了提供远程控制网关管理而由网关执行的示范性方法的流程图;和
图4是为了提供远程控制网关管理而由一个或多个服务器执行的示范性方法的流程图。
具体实施方式
如上所述,某些使用多个流入和流出内容流的应用程序伴随有一些问题,尤其是多媒体应用程序。在局域网中,这些内容流通常都要经过网关。网关是将两个或多个网络分隔开来的装置。如前所述,网关一般来说会提供地址和端口转换,并且典型地保护局域网内的资源不受外部网络用户的攻击。网关必须对所有进出的内容流进行路由。流出内容流一般来说是没有问题的,因为创建流出内容流的应用程序已经包括了外部收信方地址。不过,流入内容流可能是有问题的。
对于某些流入内容流,用户必须访问网关,并且将其配置成允许流入的内容流和相应的本地地址/端口信息。例如,Netmeeting(微软出品的通信应用程序)需要一些端口用来通过用户数据报协议(UDP)连接用于传输控制协议(TCP)和实时传输协议(RTP)。用户必须将网关配置成使Netmeeting能够正常工作。这是相当困难的,因为不同的应用程序调用所使用的端口数量可能不同。同样,诸如菲利浦因特网收音机这样的网络器材可以从广播服务器请求音频流。然后,该广播服务器将会把该音频流流送到该网关。在典型情况下,要想将网关配置成接受内容流并且将其路由到局域网上的正确的网络器材,就需要某种类型的用户干预。
针对这些问题的一种可行解决方案是应用层网关(ALG)。可以将ALG设置在网关中,用来检查流入和流出的数据包和校正数据包中的任何地址和端口,并且用来根据需要更新路由器和/或防火墙的配置。这样,预定供给在局域网中的网络器材上运行的特定应用的流入多媒体内容流应该会得以正确地发送到该网络器材。不过,各个应用程序于是会需要专用于这个应用程序的ALG来支持其特定的协议。所以,应用程序设计者必须为各个相关应用程序创建专用的ALG并且将该ALG安装在网关上。
本发明通过提供具有安全性的远程控制网关管理来解决这些问题。按照一种示范性实施方式,网络器材与服务器相连来获得内容,该内容在典型情况下是可能需要数个流入多媒体内容流的多媒体内容。该网络器材可以将其本地地址和/(一个或多个)端口号包含在发往服务器的针对多媒体内容的请求当中。该服务器确定如何配置相应于该网络器材的网关才能使该网关传递流入多媒体内容流并且将这些流入多媒体内容流送至局域网中的正确的网络器材。这样,这种示范性实施方式能够实现网关的自动配置,这种网关的自动配置减轻了要由用户完成的工作,并且减少了需要设置的ALG的数量。
现在转到图1,图中给出了按照本发明进行工作的示范性***100。***100表示通过网关135与外部网络160通信的局域网165。局域网165包括网络器材105-1和105-2,各个网络器材分别具有本地地址170-1和170-2。在典型情况下,这些本地地址170是网际协议(IP)地址。网关135也具有本地地址170-3,在典型情况下,该本地地址也是IP地址,并且网关135还有全局地址180-1。外部网络160包括远程服务器155、多媒体服务器181和配置服务器185。远程服务器155具有全局地址180-2,多媒体服务器181具有全局地址180-3,并且配置服务器185具有全局地址180-4。虽然仅对图1中的装置只示出一个本地地址170或全局地址180,但应当注意,这些装置可以具有多个本地地址170、全局地址180或它们的某种组合。
网络器材105-1包括处理器106,该处理器106与存储器107耦合。存储器107包括应用程序108、操作***109、通信栈110、临时存储装置111以及端口113。临时存储装置111包括对多媒体内容164的引用112。希望网络器材105-2与网络器材105-1类似,由于篇幅原因,省略对网络器材105-2的详细描述。网关135包括处理器136,该处理器与存储器137耦合。存储器137包括路由器138、防火墙140、多个全局端口146以及远程编程接口147。路由器138包括网关配置信息139,在本例中,该网关配置信息139是一个或多个元组(服务器地址、服务器端口、全局端口、服务器全局地址、本地地址和本地端口)。注意,可以缺少或不用上述元组的某些元素。防火墙140也包括网关配置信息145,在本例中,该网关配置信息145中是服务器地址、服务器端口、网关全局地址和全局端口。虽然图1中没有示出,但是网关135一般来说也包含本地端口。
远程服务器155包括处理器156,该处理器与存储器157耦合。存储器157包括网页158。网页158包括到多媒体内容164的链接159。多媒体服务器181包括内容服务器162、多媒体内容164以及多个端口193(为了引述方便,称为“多媒体”端口193)。配置服务器185包括网关配置模块163和网络器材注册数据库161。图1示出了网络器材注册数据库161中的一个示意性的记录175。记录175包括网关类型171的网络器材注册信息、通信信息172以及一个或多个网络器材标识(ID)173。虽然图1中没有示出,多媒体服务器181和配置服务器185各自具有处理器以及与处理器相连的存储器。
网络器材105可以是任何适于连接到网络的电子***。比如,网络器材105可以是蜂窝电话、家庭电脑***、机顶盒或者是个人数字助理(PDA)。
如本文所用,本地地址和本地端口分别是在“局域”网165中有效的地址和端口。全局地址和全局端口分别是在“外部”网络160中有效的地址和端口。应当注意,术语“局域”和“外部”仅是为了说明的目的。一般来说,局域网165可以是家庭网络或是其它小型网,而外部网络160可以是大型网络,比如因特网。不过,我们不要求这种配置,而且网络器材105可以与小型和大型网络相连。
典型地,网关135和远程服务器155将包括操作***(图中未示出)。远程服务器155一般也包括通信栈(图中未示出)。网关135也可能包括通信栈(图中未示出)。
用户通常与远程服务器155交互,一般来说用户并不知道多媒体服务器181和配置服务器185的存在。用户使用诸如网页浏览器之类的应用程序108激活对多媒体内容164的引用112,其中引用112可以是使用超文本传输协议(HTTP)的超链接。该超链接来自网页158,是到多媒体内容164的链接159的一种形式。典型地,不止一个引用112链接到不止一个的链接159,因此,也就可以链接到不止一个多媒体内容164。为了简化,图中只示出了一个引用112和链接159。用户通过激活引用112选择了多媒体内容164,比如通过“点击”一个超链接。初始请求可以是例如由通信应用程序进行的连接请求。然后,应用程序108产生适于创建数据包120-1的净荷122-1的信息。
数据包120-1包括头部121-1和净荷122-1。头部121-1包括头部地址信息123-1,头地址信息123-1又包括网络器材地址125-1、网络器材端口126-1、服务器地址127-1、服务器端口128-1。净荷122-1包括可选择的净荷地址信息(比如:包括本地地址129-1和本地端口130-1)和数据131-1(比如,包括一个唯一的网络器材标识)。示出了经过网关135之后用来与远程服务器155进行通信的数据包120-2。还示出了来源于配置服务器185用来与网关135进行通信的数据包120-3。
所使用的头部121的类型是由所使用的协议所决定的。例如,当使用传输控制协议(TCP)时,数据包120在头部121中将会包括IP头部和TCP头部。另一个例子是,当使用用户数据报协议(UDP)时,数据包120在头部121将包括IP头部和UDP头部。IP头部通常包含源IP地址、目标IP地址。TCP和UDP头部包括源端口和目标端口。还有一个例子,当使用IP安全扩展(IPsec)封装安全协议(ESP)时,IP头部后面跟有IPsec头部。这样,头部121的具体构成随着所采用的协议而变化。虽然本发明的技术可以适用于很多不同的头部类型以及相应的协议,但为了简明,这里假设头部地址信息123是图1中所示的头部地址信息。
通信栈110(在典型情况下是TCP网际协议(TCP-IP)栈)产生数据包120-1,在本例中,该数据包中包括应用程序108提供的信息。在本例中,本地地址129-1、本地端口130-1(通常是可选的)、网络器材标识(ID)(也是可选的)都是由应用程序108提供的。通信栈110把这些信息添加到净荷122-1上。通信栈110添加网络器材地址125-1(例如,作为源地址)、网络器材端口126-1(例如,作为源端口)、服务器地址127-1(例如,作为目标地址)、服务器端口128-1(例如,作为目标端口)。网络器材地址125-1典型地是本地地址170-1,而网络器材端口126-1典型地是端口113。在本例中,数据包120-1是作为向远程服务器155发出的对多媒体内容164的请求而产生的数据包,该数据包可以作为一部分包含在发送到远程服务器155的一个或多个数据包中,用以表明例如与多媒体内容164相应的超链接的选择,或者作为一个独立的数据包。
请求(在本例中为数据包120-1)可以由应用程序108产生,应用程序108例如可以是网页浏览器的插件程序(plugin)、网页浏览器、通信应用程序或者多媒体应用程序。另外,请求的产生可以由操作***109的组成部分来执行,比如通信栈110。应当理解,请求(在本例中具体体现为数据包120-1)仅仅是示范性的。该请求不必包含所有示出的信息。例如,在某些情况下可能不需要本地地址129-1。类似地,在某些应用程序中可能不需要本地端口130-1和网络器材ID 132-1。此外,一个请求可能被具体实现在多个数据包120中。而且,可能有多个本地地址129-1和多个本地端口130-1包含在请求中。
本地地址129-1典型地是网络器材105-1的本地地址170-1。这个信息非常有用,当向网关提供适于将网关135配置成由从多媒体内容164创建的内容流190使用的配置信息,远程服务器155能够通知网关135将要把内容流190送到哪一个网络器材105。本地端口130-1典型地是网络器材150-1上的端口113。虽然图中仅示出了一个端口113,但可以存在多个端口113,于是本地端口130-1是从网络器材105-1中选择一个端口113。本地端口130-1可以是与网络器材端口126-1相同的端口113,或者,更可能的情况是,不相同的端口113。
服务器地址127-1在一般情况下是远程服务器155的全局地址180-2,而服务器端口128-1是远程服务器155上的端口(图中未示出)。全局地址180-2典型地是IP地址。
数据包120-1经过网关135,网关135将局域网165与外部网络160隔开。路由器138把网络器材地址125-1替换为网关地址125-2,把网络器材端口126-1替换为网关端口126-2。网关地址125-2典型地是全局地址180-1,该地址一般来说是IP地址。网关端口126-2是全局端口146之一。一般来说,路由器138在对数据包120-1进行修改来创建数据包120-2时,将数据包120-1中的其它信息保持不变:服务器地址127-2是服务器地址127-1;服务器端口128-2是服务器端口128-1;本地地址129-2是本地地址129-1;本地端口130-2是本地端口130-1;网络器材ID 132-2是网络器材ID 132-1;而报头121-2的其余部分和净荷122-2与报头121-1的其余部分和净荷122-1分别相同。
网关135把数据包120-2置于外部网络160中。经过外部网络160的路由后,远程服务器155将会接收到该数据包。然后,远程服务器155判定网络器材105需要多媒体内容164,并且还将数据包120-2或该数据包中的一些信息转发给配置服务器185。
在创建数据包120-3的时候,配置服务器185的网关配置模块163将会使用本地地址129-2和/或本地端口130-2和/或其它相关信息,数据包120-3中包含配置命令133,该配置命令适于将网关135配置成将内容流190(比如,由多媒体服务器181根据多媒体内容164产生)经合适的全局端口146并且有可能通过网关的本地端口(图中未示出)传送到网络器材105-1。还应注意,可以将数据包120-3看作是适于将网关135配置成将内容流190传递到网络器材105-1的命令。根据多媒体内容164的类型,配置命令133可以包括多端口开放请求、端口映射请求、其它网关配置请求或这些请求的某种组合。例如,针对电影的网关配置模块163可能请求为音频、视频荷其它数据开放几个全局端口146。
说明性地,在网关135和配置服务器185之间需要一段通信时间,在这段时间中,配置服务器185利用远程编程接口147确定例如在网关135上哪些全局端口146是可用的。然后,配置服务器185可以创建在配置网关135的时候由网关135使用的网关配置信息134。
在图1的例子中,净荷122-3包括配置命令133,并且根据需要,还包括其它网关配置信息134。说明性地,配置命令133包括配置命令195,配置命令195指示网关135开放端口并将到达该端口的内容映射到网络器材的本地端口上。说明性地,网关配置信息134包括本地地址196(典型地为本地地址129-2,该本地地址129-2通常是本地地址170-1)、本地端口197(典型地为本地端口130-2,该本地端口130-2通常是端口113)、发送内容的服务器地址(“MSVR ADDR”198,“MSVR ADDR”198是多媒体服务器181的全局地址180-3)以及发送内容的服务器端口(“MSVR PORT”199,“MSVR PORT”199是多媒体服务器181的端口193之一)。而且,在数据包120-3中,源地址125-3是配置服务器的地址(比如,全局地址180-4),源端口126-3是配置服务器185的端口(图中未示出),目标地址127-2是网关135的地址(例如,全局地址180-1),目标端口128-3是全局端口146(例如,由端口126-2确定的)。
按照一种示范性实施方式,本地地址129-2是创建用来针对内容流190对网关135进行配置的适当命令所需的全部。按照另一种示范性实施方式,网关135的配置可能也取决于内容类型(例如,流的数目,有时端口号是标准化的),而非仅仅取决于本地地址129-2和/或网络器材ID114或132-1。按照再另一种示范性实施方式,配置服务器185利用网络器材ID114、132-2或173判断正在使用哪一个网关(例如,通过网关类型171),网络器材ID典型地是用于各个网络器材105的唯一ID。比如,在配置服务器185上注册网络器材期间,配置服务器185可以询问正在使用的网关135的类型171。网关类型171可以与通信信息172(例如,与网关的远程通信接口147进行交互所需的通信协议或其它信息)一起存储在网络器材注册数据库161。配置命令133于是专属于正在使用的网关135。可以预料到,不同厂家生产的网关135可能具有不同的远程编程接口147,并且网络器材注册数据库161中的网络器材注册信息175用来调整用于特定网关135的配置命令133和网关配置信息134。典型地,多个网络器材ID 173可能会与一种网关类型171相关联。
应当注意,配置命令133和网关配置信息134可以组合在一起。此外,网关配置模块163可以请求开放多个端口。这样,配置命令133和网关配置信息134能连同多个本地地址196和多个本地端口197一起包括多个全局端口180-1。
一旦配置服务器185配置了网关135,配置服务器185与远程服务器155联系,通知远程服务器155网关135已配置完毕。然后远程服务器155联系多媒体服务器181,从而多媒体服务器181开始向网络器材105-1发送多媒体内容164。
为了将多媒体内容164发送到网络器材105-1,在多媒体服务器181上的内容服务器162由多媒体内容164产生一个或多个内容流190。内容流190的数据包(图中未示出)的头部(图中未示出)中包括合适的全局端口146和其它信息(比如,目标地址),这样网关135能确定要把内容流190路由到何处以及是否接收内容流190。
网关配置信息139(本例中是一个或多个元组(服务器地址,服务器端口,网关全局地址,全局端口,本地地址,本地端口))由网关135用于将多媒体内容流190指引到网络器材105-1。注意,上述元组中可以缺少或者不用某些项。在对流入数据包进行地址和端口转换期间,路由器138利用网关配置信息139。防火墙140也包括网关配置信息145,在本例中网关配置信息145是服务器地址、服务器端口、网关全局地址、全局端口。网关配置信息145可以由防火墙140用来接收具有为服务器地址的源地址(例如,多媒体服务器181的全局地址180-3)和为“全局端口”的目标端口(已经确定可由配置服务器185使用的目标端口并且是全局端口146之一)的数据包。此外,当防火墙140接收或拒绝内容流190时,也可以使用服务器端口(例如,多媒体服务器181的多媒体端口193中的一个)和网关全局地址(比如,全局地址180-1)。
应当注意,典型地,安全措施也会用在图1中。后面将结合图4作更详细的说明。
而且,虽然通常将防火墙140和路由器138组合到网关135中,但是防火墙140和路由器138也可以是独立的。在后一种情况下,防火墙140和路由器138可以是分离地(比如网关配置模块163配置两个装置)或者是共同地(比如,这两个装置有一个共用的远程配置接口,其中的一个设备从网关配置模块163获得配置,并使用该配置控制其运行以及指示另一个设备)配置的。类似地,虽然多媒体服务器181、配置服务器185和远程服务器155都是独立示出的,但它们也可以组合在一起。
此外,对于对等多媒体应用,比如视频会议,多媒体内容164可以来自另一个家庭,于是该家庭要装有用于发送内容流(一个或多个)190的多媒体服务器181。网络器材105可以将一些从呼叫建立阶段(比如,要使用的全局端口号)收集的信息发送到网关配置模块163(典型地,该模块不在另一个家庭中,但它连接到外部网络160),然后该网关配置模块163对位于网络器材105和多媒体服务器181之间的网关135进行配置。
处理器106、136和156可以是分布式的或者是单体式的,而存储器107、137或157也可以是分布式的或者是单体式的。本文介绍的发明可以实现为包括机器可读介质的制造的产品,该机器可读介质作为例如存储器107、137或157的一部分,包含一个或多个程序,当运行这些程序时可以实现本发明的实施方式。例如,机器可读介质可以包括构成为用于执行下面的图2到4中所示的方法的步骤的程序。该机器可读介质可以是,例如,诸如硬盘驱动器、光或磁盘、电子存储器之类的可记录介质或其它存储装置。
现在参照图2,给出了一种示范性方法200,该方法由网络器材执行,以便提供远程控制网关管理。当用户选择多媒体内容时,方法200从步骤210开始。在步骤210中,网络器材105传送多媒体内容的选择,不过这个传送过程也可以与步骤220组合在一起。在步骤220中,网络器材向远程服务器155发送请求。在此例中,该请求包括本地地址、本地端口和网络器材ID。在步骤230中,网络器材105等待多媒体内容流190。
现在转到图3,给出了一种为了提供远程控制网关管理而由网关执行的示范性方法300。该方法300开始于在步骤310中与配置服务器185开始进行配置通信的时候。虽然配置服务器185能简单地命令网关135以某种方式对其自身进行配置,但是可能有些时候存在配置冲突,比如在全局端口146已经在使用中的时候。为防止这种问题出现的一种方法是网关135拒绝命令并强迫配置服务器185发送另一个命令。另一种方法是当配置服务器185与网关135的远程编程接口147通信时,配置服务器185可以使用适于远程可编程接口147的命令确定哪些全局端口146可用。步骤310因此一般来说取决于正在使用的具体网关135。
在步骤320中,网关135接收一个或多个配置命令。如果网关135支持配置通信,配置服务器185然后会确定适于网关135使用的可用全局端口146。按照另一种可选方案,配置服务器185将简单地发送一个包括全局端口146的命令,并且网关135向配置服务器185发送拒绝消息。另一种可选的方法是,来自于配置服务器185的命令是告诉网关135确定适于由多媒体内容流190使用的全局端口146并将该全局端口146报告配置服务器185的命令。配置命令133典型地包含或伴随有网关配置信息134,包括诸如服务器地址(例如,多媒体服务器181的全局地址180-3)、服务器端口(例如,多媒体服务器181的多媒体端口193)、网关全局地址(例如,网关135的全局地址180-1)、全局端口(例如,网关135的全局端口146之一)、本地端口(例如,本地端口130-2,它是网络器材105-1的端口113)、本地地址(例如,网络器材105-1的本地地址129-2,它典型地是本地地址170-1)以及流类型这样的项目。
流类型是用于识别特定多媒体内容流的可选的限定语,例如TCP,UDP,或RTP over UDP。流类型也可以用于进一步定义将会发送到网关135的数据类型。比如,不同的数据类型可能会被拒绝。
在步骤330中,比如根据在步骤320中接收的命令,网关135确定用于多媒体内容流的全局端口146。在步骤340中,网关135用诸如网关全局地址(比如,全局地址180-1)、全局端口(比如,全局端口146之一)、服务器地址(比如,多媒体服务器181的全局地址180-3)、服务器端口(比如,多媒体端口193)以及可选的流类型这样的网关配置信息145配置防火墙140。应当注意,如果内容服务器162与配置服务器185耦合,那么服务器地址一般来说是用于该组合的全局地址180。在步骤350中,网关135用网关配置信息139配置路由器,网关配置信息139在本例中是网关全局地址(例如,全局地址180-1)、全局端口(例如,全局端口146之一)、服务器地址(例如,多媒体服务器181的全局地址180-3)、服务器端口(例如,多媒体服务器181的多媒体端口193)、可选的流类型、本地地址(例如,本地地址129-2,它典型地是网络器材105-1的本地地址170-1)以及本地端口(例如,本地端口130-2,它典型地是网络器材105-1的本地端口113之一)。
在步骤360中,确认消息被发送到配置服务器185。虽然该步骤是可选的,但它却是有益的,因为配置服务器185可以通知远程服务器155(或者多媒体服务器181或两者一起)开始通过多媒体内容流190传输多媒体内容164。在步骤370中,网关135等待多媒体内容流190。
现在参照图4,给出了一种为了提供远程控制网关管理而由一个或多个服务器执行的示范性方法400。
方法400在步骤410中开始,此时远程服务器155向网络器材105提供多媒体内容164的清单。一般来说,这是通过网页来执行的,但是也可以通过能够实现多媒体内容164的选择的任何技术来执行。在步骤420中,接收内容选择。该内容选择也可以是连同本地地址129-2、本地端口130-2以及网络器材ID132-2一起的对内容164的请求。在步骤425中,远程服务器155把该请求发送到配置服务器185。
典型地,配置服务器185的网关配置模块163执行步骤430-475。在步骤430中,配置服务器185确定网关通信信息。该步骤包括比如通过使用网关类型171的网络器材注册信息175(比如,该信息来自网络器材注册数据库161)、用于特定网关的通信信息172、网络器材ID 173或上述各项的组合确定网关的具体类型。典型地,网络器材注册信息175是在注册过程中收集的,注册过程可能发生在初始化时、或是周期性的、或网络器材105与远程服务器155的每一次联系时。网络器材注册信息175使得配置服务器185能够确定用于与网关135的远程编程接口147通信的特定的协议或命令。作为另一个例子,步骤430可能需要对多个远程编程接口147使用多个已知的命令,直到网关135开始与远程服务器155通信为止。
在步骤440中,典型地,由配置服务器185和网关135参加配置通信。虽然不作要求,但是步骤440允许配置服务器185询问远程编程接口147哪些全局端口146是可用并且适于由从多媒体内容164创建的内容流190使用。
在步骤450中,为网关135创建合适的命令,用于将网关135配置成传递从多媒体内容164创建的一个或多个内容流190。在步骤460中,将一个或多个命令送至网关135。这些命令使网关135对其自己进行配置,以使得网关135将会把从多媒体内容164创建的并且从多媒体服务器181发来的一个或多个内容流190传送到合适的网络器材105。
在步骤470中,配置服务器185等待确认消息。在步骤475中,配置服务器185通知远程服务器155已经针对多媒体内容164对网关135进行了配置。
在步骤480中,远程服务器155通知多媒体服务器181已经有了网络器材105对多媒体内容164的请求。
在步骤485中,多媒体服务器181的内容服务器162使用用于网关135的适当的全局端口146和全局地址180-1(并且典型地是多媒体内容服务器181的全局地址180-3和多媒体服务器181的多媒体端口193之一)将内容流190发送给网关135。内容流190可以是任何类型的数据,比如文本、视频、音频或其它信息,并且典型地是通过使用一个或多个协议(比如TCP或UDP)来传送的。一般来说,将会把一个多媒体内容164分开成多个内容流190,但也并不总是这样的。
为了防止外部用户能够控制网关135,网关135一般来说会采用某种类型的安全措施,尤其是正在尝试访问远程编程接口147时。此时,存在多种多样的可以采用安全措施。例如,与远程编程接口147进行的每次通信可能都要加密的并且加以授权,并可能需要公钥和私钥。此外,除了加密或代替加密,可以使用口令或或其它装置。这样,远程服务器155可能需要知道分配给网关135唯一的ID或分配给网络器材105的网络器材ID。因此,在步骤430中,确定网关通信信息的步骤还能够确定要由网关135使用的适当安全措施。
应当注意,方法400假设配置服务器185告知远程服务器155:将网关135已经配置。然而,其它的选择也是可以的,比如使配置服务器185通知多媒体服务器181开始发送内容流190,或者由网关135通知多媒体服务器181开始发送内容流190。
在步骤440和460中(并且在其它步骤中,如果希望的),可以实施安全措施,以便在远程服务器155和网关135之间提供安全通信。
还有这样的可能性:网关配置模块163能够确定用于配置网关135的网关配置信息并将该网关配置信息(例如,网关命令133,网关配置信息134)发送给网络器材105。然后,网络器材105通过例如使用远程编程接口147执行网关的配置。
应该理解的是,本文给出和介绍的实施方式以及变化方式仅仅是对本发明的原理的说明,并且本领域的普通技术人员在不脱离本发明的范围和精神的情况下可以对本发明做出种种变化。比如,虽然在此描述的是多媒体内容,但是可以使用任何可以被分解为更小部分并发送给网络器材的其它内容。
Claims (24)
1、一种用于远程控制网关(135)管理的方法(例如,400),该方法(例如,400)包括以下步骤:
接收对内容(164)的请求(120-1,120-2),该请求(120-1,120-2)包括网关(135)的全局地址信息(125-2,126-2),并且该请求与可通过网关(135)访问的局域网(165)上的一个或多个网络器材(105)相对应;
确定适于将网关(135)配置成将各自包括部分内容(164)的一个或多个内容流190传送到一个或多个网络器材(105)的网关配置信息(139,145,134);以及
使该网关配置信息(139,145,134)与该网关(135)通信。
2、如权利要求1所述的方法(例如,400),其中通信步骤进一步包括通过与该网关(135)的安全连接使网关配置信息(139,145,134)与该网关(135)通信。
3、如权利要求1所述的方法(比如,400),其中确定网关配置信息(139,145,134)的步骤进一步包括确定一个或多个网络器材(105)的一个或多个本地地址(170)和确定从与该网关(135)相关的一个或多个网关地址(180-1,125-2,127-3)到一个或多个本地地址(170)的映射关系的步骤,其中该网关配置信息(139,145,134)包括该映射关系。
4、如权利要求1所述的方法(例如,400),其中确定网关配置信息(139,145,134)的步骤进一步包括为一个或多个内容流(190)确定一个或多个流类型的步骤,其中该网关配置信息(139,145,134)包括该一个或多个流类型。
5、如权利要求1所述的方法(例如,400),其中确定网关配置信息(139,145,134)的步骤进一步包括确定在该网关(135)上将开放的一个或多个全局端口的步骤,其中该网关配置信息(139,145,134)包括该一个或多个全局端口。
6、如权利要求5所述的方法(例如,400),其中确定将开放的一个或多个全局端口的步骤进一步包括为所请求的内容(164)确定该网关(135)上将开放的一个或多个全局端口的步骤。
7、如权利要求5所述的方法(例如,400),其中一个或多个网络器材(105)中的一个指定的网络器材与多个端口(113)相关联,其中确定该网关(135)上将开放的一个或多个全局端口(146)的步骤进一步包括确定从一个或多个全局端口(146)到用于该指定网络器材(105)的多个端口(113)的映射关系的步骤,网关配置信息(139,145,134)包括该映射关系(例如,139)。
8、如权利要求6所述的方法(例如,400),其中第一内容(164)比第二内容(164)需要更多的全局端口(146)。
9、如权利要求1所述的方法(例如,400),其中:
请求(120-1,120-2)进一步包括与一个或多个网络器材(105)相应的信息(例如,129-1,130-1以及132-1);以及
上述确定网关配置信息(139,145,134)的步骤进一步包括将与一个或多个网络器材(105)相应的信息与存储的信息(161,175)进行比较的步骤。
10、如权利要求9所述的方法(例如,400),其中与一个或多个网络器材(105)相应的信息(例如,129-1,130-1以及132-1)包括一个或多个网络器材(105)的标识。
11、如权利要求9所述的方法(例如,400),其中与一个或多个网络器材(105)相应的信息(例如,129-1,130-1以及132-1)包括一个或多个下述信息:一个或多个地址(129-1)和一个或多个端口(130-1)。
12、如权利要求9所述的方法(例如,400),其中:
与一个或多个网络器材(105)对应的信息(例如,129-1,130-1以及132-1)包括用于一个或多个网络器材(105)中的各个网络器材的唯一标识(114);
存储信息(161,175)包括与多个网络器材(105)相应的多个唯一标识(173);
存储信息(161,175)还包括与一个或多个网络器材(105)对应的网关类型(171)和网关通信信息(172);和
确定网关配置信息(139,145,134)的步骤进一步包括当在与一个或多个网络器材(105)相应的信息(例如,129-1,130-1以及132-1)中的唯一标识(114)与存储信息(161,175)中的给定的唯一标识(173)之间出现匹配时,确定与该给定的唯一标识(173)相关的网关类型(171)和网关通信信息(172)。
13、如权利要求12所述的方法(例如,400),其中使该网关配置信息(139,145,134)与该网关(135)通信的步骤进一步包括使用该网关通信信息(172)来与网关(135)进行通信的步骤。
14、如权利要求1所述的方法(例如,400),其中使该网关配置信息(139,145,134)与该网关(135)通信的步骤进一步包括与该网关(135)上的远程编程接口(147)通信的步骤。
15、如权利要求1所述的方法(例如,400),其中使该网关配置信息(139,145,134)与该网关(135)通信的步骤进一步包括向网关(135)发送一个或多个命令(120-3,133)来将网关配置传输到该网关(135)的步骤。
16、一种用于远程控制网关(135)管理的***(185),其包括:
一个存储器(例如,107,137,157);以及
至少一个处理器(比如,106,136,156),该处理器与存储器(比如,107,137,157)相耦合,并可进行以下操作:
接收对内容(164)的请求(120-1,120-2),该请求(120-1,120-2)包括网关(135)的全局地址信息(125-2,126-2),并且该请求与可通过网关(135)访问的局域网(165)上的一个或多个网络器材(105)相对应;
确定适于将网关(135)配置成将各自包括部分内容(164)的一个或多个内容流190传送到一个或多个网络器材(105)的网关配置信息(139,145,134);以及
使该网关配置信息(139,145,134)与该网关(135)通信。
17、一种用于远程控制网关(135)管理的方法(比如,300),该方法包括以下步骤:
发送对内容(164)的请求(120-1,120-2),该请求(120-1,120-2)包括网关(135)的全局地址信息(125-2,126-2),并且该请求与可通过网关(135)访问的局域网(165)中的一个或多个网络器材(105)相对应;
接收网关配置信息(139,145,134),该网关配置信息适于将网关(135)配置成将各自包括部分内容(164)的一个或多个内容流(190)传送到一个或多个网络器材(105);以及
根据该网关配置信息(139,145,134)配置该网关(135)。
18、如权利要求17所述的方法(例如,300),其中:
接收适于将网关(135)配置成传送一个或多个内容流(190)的网关配置信息(139,145,134)的步骤进一步包括在该网关配置信息(139,145,134)中确定一个或多个全局端口(146)的步骤;以及
根据该网关配置信息(139,145,134)设置该网关(135)的步骤进一步包括开放一个或多个全局端口(146)的步骤。
19、如权利要求18所述的方法(例如,300),其中:
接收适于将网关(135)配置成传送一个或多个内容流(190)的网关配置信息(139,145,134)的步骤进一步包括在该网关配置信息(139,145,134)中确定一个或多个本地地址(170)的步骤,其中一个给定的本地地址(170)与一个或多个全局端口(146)中一个给定的全局端口相关;以及
根据该网关配置信息(139,145,134)配置该网关(135)的步骤进一步包括将在该给定的开放端口(146)上接收到的内容流(190)发送到给定的本地地址(170)的步骤。
20、如权利要求19所述的方法(例如,300),其中:
接收适于将网关(135)配置成传递一个或多个内容流(190)的网关配置信息(139,145,134)的步骤进一步包括在该网关配置信息(139,145,134)中确定一个或多个本地端口(113)的步骤,其中一个给定的本地端口(113)与该本地地址(170)相关;以及
根据网关配置信息(139,145,134)配置网关(135)的步骤进一步包括将从在给定的开放端口上接收的内容流(190)发送到给定的本地地址(170)和该给定端口(113)的步骤。
21、如权利要求18所述的方法(例如,300),其中:
接收适于将网关(135)配置成传送一个或多个内容流(190)的网关配置信息(139,145,134)的步骤进一步包括在该网关配置信息(139,145,134)中确定一个或多个服务器地址(180-3,198)的步骤,其中一个给定服务器地址(180-3,198)与该一个或多个全局端口(146)中一个给定的全局端口相关;以及
根据网关配置信息(139,145,134)配置网关(135)的步骤进一步包括当与该内容流(190)相关的源地址(比如,125-3)和该给定的服务器地址(180-3,198)不匹配时,拒绝从该给定的全局端口接收的内容流(190)的步骤。
22、如权利要求17所述的方法(例如,300),其中根据该网关配置信息(139,145,134)配置该网关(135)的步骤进一步包括根据网关配置信息(139,145,134)配置路由器(138)的步骤。
23、如权利要求17所述的方法(例如,300),其中根据网关配置信息(139,145,134)配置网关(135)的步骤进一步包括根据网关配置信息(139,145,134)配置防火墙(140)。
24、一种用于远程控制网关(135)管理的***(135),其包括:
一个存储器(137);以及
至少一个处理器(136),该处理器与存储器(137)相耦合,并可执行以下操作:
发送对内容(164)的请求(120-1,120-2),该请求(120-1,120-2)包括网关(135)的全局地址信息(125-2,126-2),并且该请求与可通过网关(135)访问的局域网(165)中的一个或多个网络器材(105)相对应;
接收网关配置信息(139,145,134),该网关配置信息适于将网关(135)配置成将各自包括部分内容(164)的一个或多个内容流(190)传送到一个或多个网络器材(105);以及
根据该网关配置信息(139,145,134)配置该网关(135)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US53780904P | 2004-01-20 | 2004-01-20 | |
| US60/537,809 | 2004-01-20 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1910858A true CN1910858A (zh) | 2007-02-07 |
Family
ID=34807134
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800027681A Pending CN1910858A (zh) | 2004-01-20 | 2005-01-17 | 具有安全措施的远程控制网关管理 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20090245131A1 (zh) |
| EP (1) | EP1709766A1 (zh) |
| JP (1) | JP2007519356A (zh) |
| CN (1) | CN1910858A (zh) |
| WO (1) | WO2005071888A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110612703A (zh) * | 2017-03-15 | 2019-12-24 | Abb瑞士股份有限公司 | 工业物联网中的网关配置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO327518B1 (no) * | 2005-09-26 | 2009-07-27 | Tandberg Telecom As | Fremgangsmate for arkivering og streaming av mediedata mellom et antall endepunkter gjennom en gatekeeper |
| EP1793564A1 (en) * | 2005-11-30 | 2007-06-06 | Thomson Telecom Belgium | Device and method to detect applications running on a local network for automatically performing the network address translation |
| CN105338023B (zh) * | 2014-07-11 | 2019-05-28 | 北京华为数字技术有限公司 | 一种智能设备控制的方法、装置及*** |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6614781B1 (en) * | 1998-11-20 | 2003-09-02 | Level 3 Communications, Inc. | Voice over data telecommunications network architecture |
| WO2002003744A1 (en) * | 2000-06-30 | 2002-01-10 | Hughes Electronics Corporation | Residential broadband communications device, and method of operating same |
| US7197550B2 (en) * | 2001-08-23 | 2007-03-27 | The Directv Group, Inc. | Automated configuration of a virtual private network |
| US7417978B1 (en) * | 2001-10-12 | 2008-08-26 | Mediaring Ltd | Port reduction for voice over internet protocol router |
| US7380011B2 (en) * | 2003-10-01 | 2008-05-27 | Santera Systems, Inc. | Methods and systems for per-session network address translation (NAT) learning and firewall filtering in media gateway |
-
2005
- 2005-01-17 US US10/586,702 patent/US20090245131A1/en not_active Abandoned
- 2005-01-17 WO PCT/IB2005/050190 patent/WO2005071888A1/en not_active Application Discontinuation
- 2005-01-17 CN CNA2005800027681A patent/CN1910858A/zh active Pending
- 2005-01-17 EP EP05702694A patent/EP1709766A1/en not_active Withdrawn
- 2005-01-17 JP JP2006550398A patent/JP2007519356A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110612703A (zh) * | 2017-03-15 | 2019-12-24 | Abb瑞士股份有限公司 | 工业物联网中的网关配置 |
| CN110612703B (zh) * | 2017-03-15 | 2024-06-07 | Abb瑞士股份有限公司 | 工业物联网中的网关配置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1709766A1 (en) | 2006-10-11 |
| US20090245131A1 (en) | 2009-10-01 |
| WO2005071888A1 (en) | 2005-08-04 |
| JP2007519356A (ja) | 2007-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7522594B2 (en) | Method and apparatus to permit data transmission to traverse firewalls | |
| US9160635B2 (en) | Method of monitoring and configuring | |
| CN106105164B (zh) | 代理拦截 | |
| US8817675B2 (en) | Service-centric communication network monitoring | |
| US7602784B2 (en) | Method and apparatus to permit data transmission to traverse firewalls | |
| US8607323B2 (en) | Method for providing media communication across firewalls | |
| US7830886B2 (en) | Router and SIP server | |
| US6529882B1 (en) | Method for managing group membership in internet multicast applications | |
| JP4819953B2 (ja) | IPv4ネットワークベースのIPv6サービス提供システムにおける制御トンネル及びダイレクトトンネルの設定方法 | |
| CN100539504C (zh) | 一种网络地址转换和/或防火墙穿越平台、***及其方法 | |
| CN1311660C (zh) | 服务器设备,通信***和给网络分配安全性策略的方法 | |
| US20080267096A1 (en) | Tunnel Device, Relay Device, Terminal Device, Call Control System, Ip Telephone System, Conference Device, and Their Control Method and Program | |
| CN101036371A (zh) | 用于对第二层隧道协议中的重叠的因特网协议地址进行映射的装置和方法 | |
| CN113630439B (zh) | 实时通信rtc连接方法、服务器及存储介质 | |
| US7701934B2 (en) | System and method for managing devices within a private network via a public network | |
| US11528326B2 (en) | Method of activating processes applied to a data session | |
| CN1910858A (zh) | 具有安全措施的远程控制网关管理 | |
| CN1992646A (zh) | 通信网络中信息传输业务质量的标识 | |
| US8560828B2 (en) | System and method for a communication system | |
| US20160285823A1 (en) | Dynamic encryption for tunneled real-time communications | |
| US10263913B2 (en) | Tunnel consolidation for real-time communications | |
| KR20130085556A (ko) | 메시지 인증 방법 및 그를 위한 ip-pbx 시스템 | |
| CN111149338B (zh) | 对通信设备的加固 | |
| CN114793226A (zh) | 一种基于中间设备实现组播代理与组播溯源的方法及*** | |
| JP2004032523A (ja) | ネットワークセキュリティ方法および装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |