DE60113435T2 - Audio-video-telefonie mit firewalls und netzwerkadressübersetzung - Google Patents

Audio-video-telefonie mit firewalls und netzwerkadressübersetzung Download PDF

Info

Publication number
DE60113435T2
DE60113435T2 DE60113435T DE60113435T DE60113435T2 DE 60113435 T2 DE60113435 T2 DE 60113435T2 DE 60113435 T DE60113435 T DE 60113435T DE 60113435 T DE60113435 T DE 60113435T DE 60113435 T2 DE60113435 T2 DE 60113435T2
Authority
DE
Germany
Prior art keywords
terminal
communication
proxy server
multimedia
channels
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60113435T
Other languages
English (en)
Other versions
DE60113435D1 (de
Inventor
Michael Stephen READ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tandberg Telecom UK Ltd
Original Assignee
Ridgeway Systems and Software Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ridgeway Systems and Software Ltd filed Critical Ridgeway Systems and Software Ltd
Application granted granted Critical
Publication of DE60113435D1 publication Critical patent/DE60113435D1/de
Publication of DE60113435T2 publication Critical patent/DE60113435T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • H04L61/2535Multiple local networks, e.g. resolving potential IP address conflicts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2567NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1023Media gateways
    • H04L65/103Media gateways in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • H04L65/104Signalling gateways in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1043Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1106Call signalling protocols; H.323 and related
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • H04M7/0078Security; Fraud detection; Fraud prevention

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Machine Translation (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

  • Die Erfindung bezieht sich auf ein Kommunikationssystem zum Durchführen von Multimedia-Aufrufen bzw. -Anrufen.
  • Das sich schnell fortentwickelnde IP-Datennetzwerk (IP – Internetprotokoll) bildet neue Möglichkeiten und Herausforderungen für Multimedia- und Sprach-Kommunikations-dienstleister. Von den etablierten Telekommunikations-Betreibern und den Trägern und Dienstleistern der nächsten Generation werden Investitionen in noch nie dagewesener Höhe in das Datennetzwerk-Basisnetz bzw. Datennetzwerk-Backbone getätigt. Gleichzeitig stellen Breitbandzugang-Technologien, wie beispielsweise DSL und Kabelmodems, einen Hochgeschwindigkeits-Internetzugang für eine breite Gemeinde von Benutzern bereit. Der Wunsch von Dienstleistern ist es, IP-Datennetzwerke zu benutzen, um neben einem Hochgeschwindigkeits-Internetzugang neue Sprach-, Video- und Daten-Dienste direkt zum Desktop, zum Büro und zum Wohnort zu liefern.
  • Für weit verbreitete Kommunikation ist die Bedeutung von Standards grundlegend, wenn Endgeräte unterschiedlicher Hersteller zusammenarbeiten sollen. Im Multimedia-Bereich ist der gegenwärtige Standard für Echtzeit-Kommunikation über Paketnetzwerke, beispielsweise IP-Datennetzwerke, der ITU-Standard H.323. H.323 ist ein relativ reifer Standard mit Unterstützung der Multimedia-Kommunikationsindustrie, welche beispielsweise Microsoft, Sisco und Intel umfaßt. Beispielsweise wird geschätzt, daß auf 75% der PCs das Programm NetMeeting von Microsoft installiert ist. NetMeeting ist eine H.323-gerechte Softwareanwendung, welche zur Multimedia-Kommunikation (Sprach-, Video- und Datenkommunikation) verwendet wird. Interoperabilität zwischen Geräten unterschiedlicher Hersteller wird ebenfalls erreicht. Über 120 Firmen weltweit haben an der letzten Interoperabilitäts-Veranstaltung teilgenommen, welche von International Multimedia Telecommunications Consortium (IMTC), einer unabhängigen Organisation zur Förderung der Interoperabilität von Multimedia-Kommunikationsgeräten, veranstaltet wurde. Die Veranstaltung findet regelmäßig statt und erlaubt Herstellern, das Zussammenarbeiten zu testen und hierbei auftretende Probleme zu lösen.
  • Bisher hatte es eine Anzahl von Hürden gegen die massenhafte Anwendung von Multimedia-Kommunikation, insbesondere Video-Kommunikation, gegeben. Einfache Benutzung, Qualität, Kosten und Kommunikationsbandbreite haben das Wachstum des Marktes gehemmt. Technologische Fortschritte bei der Videokodierung, die Allgegenwärtigkeit billiger IP- Zugänge und die gegenwärtige Investition im Datennetzwerk gekoppelt mit der Präsentation von DSL zusammen mit ISDN und Kabelmodems wirken nun diesen Problemen entgegen und machen Multimedia- und Sprach-Kommunikation leicht zugänglich.
  • Als H.323 als ein Standard definiert wurde, wurde angenommen, daß H.323-H.320-Zugänge bzw. -Gateways am Rande der Netzwerk-Domains vorhanden sein würden, welche H.323 zum Transport über den Weitverkehrsbereich zwischen privaten Netzwerken in H.320 umwandeln. Daher konzentrierten sich die Implementationen von H.323 über IP auf Kommunikation innerhalb eines einzelnen Netzwerks.
  • IP bleibt jedoch beliebt als Weitverkehrsprotokoll. Mehr und mehr Organisationen basieren sämtliche ihrer Datennetzwerke auf IP. Der Hochgeschwindigkeits-Internetzugang, verwaltete Intranets und virtuelle private Netzwerke (VPN – Virttell Private Networks), welche alle auf IP basieren, sind allgemein verbreitet. Der IP-Trend verursacht den Niedergang des H.320 als ein Multimedia-Protokoll. Der Markt verlangt ein komplettes Ersetzen des H.320 durch H.323 über IP.
  • Leider existieren immer noch unvorhergesehene technische Hürden zur tatsächlichen weitflächigen Anwendung von H.323. Die technischen Hürden beziehen sich auf die Kommunikationsinfrastruktur an den Grenzen der IP-Datennetzwerke.
  • Der H.323-Standard wendet sich an die Multimedia-Kommunikation über paketbasierte Netzwerke, welche keine garantierte Qualität der Dienstleistung aufweisen. Er wurde entwikkelt, um von dem zugrundeliegenden Transportnetzwerk und den Protokollen unabhängig zu sein. Heute ist das IP-Datennetzwerk das vorherrschende und allgegenwärtige Paketnetzwerk und die Mehrheit (wenn nicht alle) der Implementationen von H.323 finden über ein IP-Datennetzwerk statt. Trotzdem sind heute erfolgreiche Implementationen von Multimedia- und Sprachkommunikationen auf Intranets oder privat verwaltete IP-Netzwerke beschränkt, weil IP-topologische Probleme bestehen, welche den weit verbreiteten Einsatz von H.323 zwischen privaten IP-Netzwerken und dem öffentlichen Internet oder gemeinsamen oder verwalteten IP-Netzwerken verhindern.
  • Die Probleme entstehen wegen zweier IP-Technologien: Netzwerkadressenübersetzung (NAT – Network Address Translation) und Firewalls.
  • NAT entstand, um das Problem des „Mangels an Adressen" zu lösen. Jeder Endpunkt oder „Wirt" in einem IP-Netzwerk hat eine „IP-Adresse" um den Endpunkt zu identifizieren, so daß Datenpakete korrekt an ihn gesendet oder zu ihm geschaltet werden können und bei Paketen, welche von ihm empfangen werden, der Ursprung identifiziert werden kann. Zur Zeit des Definierens des IP-Adressfeldes hatte niemand den massiven Zuwachs an Desktop-Geräten vorausgesagt. Nach mehreren Jahren globaler IP-Entwicklung wurde bald festgestellt, daß die Anzahl an Endpunkten, welche mittels des IP-Protokolls kommunizieren wollen, die Anzahl der aufgrund des Adressfeldes möglichen eindeutigen IP-Adressen übersteigen würde. Um das Adressfeld zu vergrößern und mehr Adressen zur Verfügung zu stellen, wäre es notwendig gewesen, die gesamte IP-Infrastruktur zu überholen. Die Industrie plant, dies mit IP-Version 6 irgendwann durchzuführen.
  • Die gegenwärtige Lösung wird nun als NAT bezeichnet. Die erste NAT-Lösung, welche in IETF RFC 1631 als einfache NAT bezeichnet wird, benutzt eine eins-zu-eins Abbildung und entstand bevor das World-Wide Web existierte und nur wenige Wirte (beispielsweise Email-Server und Dateiübertragungsserver) in einer Organisation gebraucht wurden, um extern mit der Organisation zu kommunizieren. NAT erlaubt es einem Unternehmen, ein privates IP-Netzwerk zu erzeugen, wobei jeder Endpunkt in dem Unternehmen eine Adresse aufweist, welche nur innerhalb des Unternehmens eindeutig ist aber global nicht eindeutig ist. Dies sind private IP-Adressen. Hiermit wird jedem Wirt innerhalb einer Organisation erlaubt, mit jedem anderen Wirt innerhalb der Organisation zu kommunizieren (das heißt diesen zu adressieren). Für eine externe Kommunikation ist eine öffentlich oder global eindeutige IP-Adresse notwendig. Am Rande des privaten IP-Netzwerks ist eine Vorrichtung vorhanden, welche für das Übersetzen einer privaten IP-Adresse in eine/aus einer öffentlichen IP-Adresse verantwortlich ist – die NAT-Funktion. Das Unternehmen wird eine oder mehrere öffentliche Adressen haben, welche exklusiv dem Unternehmen gehören, aber im allgemeinen weniger öffentliche Adressen haben, als Wirte gebraucht werden, entweder weil nur wenige Wirte extern kommunizieren müssen oder weil die Anzahl simultaner externer Kommunikationsvorgänge kleiner ist. Eine anspruchsvollere Ausführungsform der NAT hat eine Sammlung öffentlicher IP-Adressen, welche Wirten, die extern kommunizieren müssen, auf Basis einer Bedienung in der Reihenfolge der Anfrage dynamisch zugeordnet werden. Feste Regeln für Netzwerkadressen werden in dem Fall benötigt, wo ein externes Gerät ungefragt Pakete an ein bestimmtes internes Gerät versenden muß.
  • Heute sieht man, daß die meisten privaten Netzwerke private IP-Adressen aus dem Adressbereich 10.x.x.x verwenden. Externe Kommunikation findet üblicherweise mittels eines Dienstleisters statt, welcher über ein verwaltetes oder gemeinsames IP-Netzwerks oder über das öffentliche Internet einen Dienst anbietet. An den Grenzen zwischen jedem Netzwerk wird NAT angewendet, um Adressen zu ändern, so daß diese in dem IP-Netzwerk, welches die Pakete passieren, eindeutig sind. Die einfache NAT ändert die gesamte IP-Adresse mittels einer eins-zu-eins-Abbildung, welche permanent oder für die Dauer der Kommunikations-Sitzung dynamisch erzeugt werden kann.
  • Eine Konsequenz von NAT ist, daß die private IP-Adresse eines Wirts extern nicht sichtbar ist. Dies fügt einen Grad an Sicherheit hinzu.
  • Web-Server, Mail-Server und Proxy-Server sind Beispiele für Wirte bzw. Hosts, welche eine statische eins-zu-eins-NAT-Abbildung benötigen, um sie mittels externer Kommunikation erreichbar zu machen.
  • Während über ein gemeinsames IP-Protokoll verbundene Computer und Netzwerke die Kommunikation vereinfachten, vereinfachte das gemeinsame Protokoll auch das Verletzen von Privatsphäre und Sicherheit. Mit relativ wenigen Computerkenntnissen wurde es möglich, auf private oder vertrauliche Daten und Dateien zuzugreifen und diese Geschäftsinformationen auch böswillig zu verfälschen. Die Lösung der Industrie gegen derartige Angriffe ist das Aufstellen von „Firewalls" an den Grenzen ihrer privaten Netzwerke.
  • Firewalls sind so gestaltet, daß sie die Arten des IP-Verkehrs einschränken oder „filtern", welcher zwischen privaten und öffentlichen IP-Netzwerken fließen kann. Firewalls können durch Regeln auf verschiedenen Ebenen Einschränkungen einführen. Einschränkungen können bei der IP-Adresse, dem Kanal, dem IP-Transportprotokoll, beispielsweise TCP oder UDP, oder bei der Anwendung eingeführt werden. Einschränkungen sind nicht symmetrisch. Typischerweise wird eine Firewall programmiert, um mehr Kommunikation vom privaten Netzwerk (innerhalb der Firewall) zum öffentlichen Netzwerk (außerhalb der Firewall) als in. die andere Richtung zuzulassen.
  • Mit dem Beginn des World-Wide-Web ist es immer schwieriger geworden, Firewall-Regeln nur auf IP-Adressen anzuwenden. Irgendein innerer Wirt (das heißt der PC von jemandem) könnte sich mit irgendeinem der um die Erdkugel verstreuten Wirte (dem Webserver) verbin den wollen. Für dieses Problem wird das Konzept eines „bekannten Kanals" angewendet. Ein Kanal identifiziert ein Ende einer Punkt-zu-Punkt Transportverbindung zwischen zwei Wirten. Ein „bekannter Kanal" ist ein Kanal, welcher eine „bekannte" Art von Verkehr trägt. IANA, die Internet Sssigned Number Authority, spezifiziert die vorher zugeordneten bekannten Kanäle und die Art des über sie getragenen Verkehrs. Beispielsweise wurde Kanal 80 dem Verkehr für das Web-Surfen (http-Protokoll), Kanal 25 dem Simple Mail Transportprotokoll usw. zugeordnet.
  • Ein Beispiel für eine Firewall-Filterregel zum Web-Surfen wäre:
    • • Jede innere IP-Adresse/jede Kanalnummer kann sich mittels TCP (Transport Connection Protocol – Transportverbindungsprotokoll) und HTTP (das Anwendungs-Protokoll zum Web-Surfen) mit jeder äußeren IP-Adresse/Kanal 80 verbinden. Die Verbindung ist bi-direktional, so daß der Verkehr vom Web-Server auf dem selben Pfad zurückfließen kann. Es geht darum, daß die Verbindung aus dem Inneren eingeleitet werden muß.
  • Ein Beispiel für eine Firewall-Filterregel für Email kann die folgende sein:
    • • Jede äußere IP-Adresse/jede Kanalnummer kann sich mittels TCP und SMTP mit der IP-Adresse 192.3.4.5/Kanal 25 verbinden. Die NAT-Funktion kann die Ziel-IP-Adresse 192.3.4.5 in 10.6.7.8 ändern, welche die innere Adresse des Mail-Servers ist.
  • Filterregeln wie die folgende werden von IT-Verwaltern nicht gern gesehen:
    • • Jede innere IP-Adresse/jede Kanalnummer kann sich mit jeder äußeren IP-Adresse /jeder Kanalnummer für TCP oder UDP oder andersherum verbinden. Derartige Regeln sind gleichbedeutend mit dem Öffnen der Firewall, da sie einen zu weitreichenden Filter darstellen.
  • GB2323757A , mit dem Titel „Lightweight secure communication tunnelling over the internet" beschreibt ein Paket-geschaltetes Netzwerk-Kommunikationssystem, welches Kommu nikation durch eine oder mehrere Firewalls mittels eines mittleren Proxy oder Servers erlaubt, welcher außerhalb des Firewall und in einem Netzwerk angeordnet ist, welches kein Vertrauen genießt.
  • Sowohl NAT- als auch Firewall-Funktionen verhindern das Durchführen einer H.323-Kommunikation dort, wo NAT- und Firewall-Funktionen zwischen den Endpunkten existieren. Dies ist typischerweise dann der Fall, wenn die Endpunkte in unterschiedlichen privaten Netzwerken sind, wenn ein Endpunkt in einem privaten Netzwerk und der andere Endpunkt im Internet ist oder wenn die Endpunkte in unterschiedlich verwalteten IP-Netzwerken sind.
  • H.323 wurde gebildet, um unabhängig vom zugrundeliegenden Netzwerk und den Transport-Protokollen zu sein. Ein Implementieren von H.323 in einem IP-Netzwerk ist jedoch mit der folgenden Abbildung der Hauptkonzepte möglich:
    H.323-Adresse: IP-Adresse
    logischer H.323-Kanal: TCP/UDP-Kanalverbindung
  • Bei der Implementation von H.323 über IP werden H.323-Protokoll-Nachrichten entweder mittels TCP- oder UDP-Transportprotokollen als Nutzlast in IP-Paketen gesendet. Jede der H.323-Nachrichten umfaßt die H.323-Adresse des Ursprung-Endpunktes oder des Ziel-Endpunktes oder beider Endpunkte. In der IP-Welt bedeutet dies, daß IP-Adressen in einer H.323-Nachricht vorhanden sind, welche in einem IP-Paket gesendet wurde, dessen Kopfteil die IP-Adressen von Quell- und Ziel-Wirten umfaßt.
  • Ein Problem ergibt sich jedoch daraus, daß einfache NAT-Funktionen die IP-Adressen von Quell- und Ziel-Wirten ändern, ohne die H.323-Adressen in der H.323-Nutzlast zu ändern. Dies verursacht ein Zusammenbrechen des H.323-Protokolls und macht eine zwischenliegende Intelligenz zum Manipulieren der H.323-Nutzlast-Adressen notwendig.
  • Wegen der Komplexität von Multimedia-Kommunikationen ist es für H.323 notwendig, daß mehrere logische Kanäle zwischen den Endpunkten geöffnet werden. Logische Kanäle werden für das Steuern von Aufrufen, für das Austauschen von Fähigkeiten, für Audio, für Video und für Daten benötigt. In einer einfachen Punkt-zu-Punkt H.323-Multimedia-Sitzung, welche nur Audio und Video umfaßt, werden mindestens 6 logische Kanäle benötigt. In der IP- Implementation von H.323 werden logische Kanäle auf TCP- oder UDP-Kanalverbindungen abgebildet, von denen viele dynamisch zugeordnet sind.
  • Ein weiteres Problem ergibt sich daraus, daß Firewall-Funktionen einen Verkehr auf den Kanälen herausfiltern, für den sie keine Regeln haben. Entweder die Firewall ist geöffnet, was den Zweck des Firewalis verfehlt, oder ein Großteil des H.323-Verkehrs wird nicht durchkommen.
  • H.323-Kommunikation ist somit für Firewalls nicht angebracht. Entweder muß ein Firewall H.323 unterstützen oder eine zwischenliegende Intelligenz muß die Kanalzuordnungen auf einer sicheren Weise beeinflussen.
  • Eine mögliche Lösung zu diesem Problem wäre eine komplette IP-H.323-Aufrüstung. Hierzu würden benötigt:
    • • H.323-Aufrüstung der einfachen NAT-Funktion an jeder IP-Netzwerkbegrenzung. Die NAT-Funktion muß alle H.323-Nutzlasten abtasten und IP-Adressen konsistent ändern.
    • • Eine H.323-Aufrüstung der Firewall-Funktion an jeder IP-Netzwerkbegrenzung. Die Firewall muß jede H.323-Kommunikation verstehen und beobachten, so daß sie die dynamisch zugeordneten Kanäle öffnen kann, und sie muß jeden nicht-H.323-Verkehr auf diesen Kanälen filtern.
    • • Einsatz von H.323-Intelligenz an der Begrenzung oder im gemeinsamen IP-Netzwerk, um Adressen aufzulösen und über sie zu entscheiden. IP-Adressen werden selten direkt von Benutzern verwendet. In der Praxis werden IP-Adress-Namen benutzt. Intelligenz wird benötigt, um die Namen den IP-Adressen zuzuordnen. Diese H.323-Funktion wird von H.323-Einheiten umfaßt, welche Gatekeepers bzw. Torwächter genannt werden.
  • Die Nachteile dieser möglichen Lösung sind die folgenden:
    • • Jede Organisation/jedes private Netzwerk muß den gleichen Aufrüstungsstand aufweisen, damit H.323-Kommunikation existieren kann.
    • • Die Aufrüstung ist kostspielig. Neue Funktionalitäten oder neue Geräte müssen gekauft, geplant und eingesetzt werden. IT-Verwalter müssen H.323 kennenlernen.
    • • Durch das kontinuierliche Parsing bzw. Übersetzen der H.323-Pakete um die einfache NAT-und Firewall-Funktion aufzulösen, wird dem Signal an jeder Netzwerkbegrenzung eine Latenzzeit-Belastung auferlegt. Die Latenzzeit-Toleranz für Audio und Video ist sehr niedrig.
  • Als Reaktion auf diese Probleme wird das H.323-Protokoll für Sprach- und Multimedia-Kommunikation nicht verwendet, wenn eine Firewall oder eine Netzwerkadressübersetzung (NAT) vorhanden ist. Ein Ansatz war das Anordnen von H.323-Systemen auf der öffentlichen Seite der Firewall- und NAT-Funktionen. Hiermit wurde ihnen erlaubt, H.323 zu verwenden, während es ihnen auch erlaubt wurde, das Übrige ihres Netzwerks zu beschützen. Die Nachteile hierbei sind die folgenden:
    • 1. Das am meisten allgegenwärtige Gerät für Video-Kommunikation ist der Desktop-PC. Es ist nicht sinnvoll, alle Desktop-Computer auf der öffentlichen Seite anzuordnen!
    • 2. Die H.323-Systeme sind vor Angreifern auf der öffentlichen Seite der Firewall nicht geschützt.
    • 3. Die Firmen sind nicht in der Lage, aus dem potentiell allgegenwärtigen Charakter von H.323 Vorteile zu ziehen, da es nur besonderen Systemen erlaubt sein wird, H.323-Kommunikation durchzuführen.
    • 4. Die Firmen werden nicht in der Lage sein, alle Vorteile der Datenverteilungsvorrichtungen im H.323 zu genießen, weil die Firewall die H.323-Systeme davon abhalten wird, auf die Daten zuzugreifen. Öffnen der Firewall, um das Ausführen von Datentransferfunktionen des H.323-Systems zu erlauben, ist keine Option, weil dies einem Angreifer erlauben würde, das H.323-System als ein Relay zu verwenden.
  • H.323 ist nicht das einzige Protokoll, welches gegenwärtig für Echtzeit Sprach- und Multimedia-Kommunikation über IP-Netzwerke verwendet wird. SIP (Session Initiation Protocol wie im IETF RFC 243 definiert), MGCP (Media Gateway Control Protocol), H.248 (manchmal als Megaco bezeichnet – ITU's Äquivalenz zum MGCP) haben in der Industrie Akzeptanz erlangt. Alle diese Protokolle leiden unter identischen infrastrukturellen Problemen, welche durch Firewalls und NATs verursacht sind und sie nicht ohne Hilfe durchqueren können.
  • Es ist eine Aufgabe der Erfindung, die von Firewalls und NATs verursachten Probleme von Sprach- und Multimedia-Kommunikation durch Firewalls und NATs auf eine allen Protokollen gemeinsame Weise zu lösen. Die Erfindung ist deshalb, obwohl sie in Bezug auf das H.323-Protokoll beschrieben wird, auf alle Echtzeit-IP-Kommunkationsprotokolle, einschließlich H.323, SIP, MGCP, Megaco und anderer, anwendbar. Ebenso ist die Erfindung anwendbar auf reine Sprach- sowie auf Multimedia-Kommunikation. Daher bedeutet in dem Zusammenhang der Beschreibung „Multimedia" jede Kombination aus Sprach- und/oder Video-Kommunikation.
  • Die Erfindung stellt ein Kommunikationssystem zum Ausführen eines Multimedia-Aufrufs gemäß Anspruch 1 und ein Verfahren zum Ausführen eines Multimedia-Aufrufs gemäß Anspruch 19 zur Verfügung.
  • Ein derartiges System kann verwendet werden, um einen Multimedia-Aufruf gemäß dem H.323- oder H.248-Standard des International Communications Union auszuführen. Wahlweise kann das System verwendet werden, um einen Multimedia-Aufruf gemäß dem SIP- oder MGCP-Standard des Internet Engineering auszuführen. Weiterhin könnte der Proxy gemischte Protokoll-Umgebungen unterstützen.
  • Das gemeinsame Kommunikationsnetzwerk kann ein öffentliches Netzwerk, beispielsweise das öffentliche Telefonnetzwerk (PSTN – Public Switched Telephone Network) oder das öffentliche Internet-Datennetzwerk, umfassen oder es kann jedes andere IP-Netzwerk umfassen, bei dem Firewalls eingesetzt werden können, um einen Netzwerkbegrenzungen passierenden Verkehr abzustecken und einzuschränken. Beispielsweise wird in einer Ausführungsform der Erfindung der Proxy-Server in der entmilitarisierten Zone (DMZ – de-militarized zone) eines Netzwerks eines Unternehmens angeordnet, bei dem die Firewall den aus der DMZ in das private Netzwerk dringenden Verkehr begrenzt.
  • Der Proxy-Server wird üblicherweise sowohl vom ersten Multimedia-Endgerät als auch vom zweiten Multimedia-Endgerät entfernt sein. Beispielsweise wird er sowohl mit dem ersten als auch mit dem zweiten Multimedia-Endgerät über gemeinsame IP-Netzwerke verbunden. In vielen Fällen umfaßt das zweite Kommunikationsmittel auch eine zweite Firewall, welche der Multimedia-Aufruf passieren muß. Die zweite Firewall kann konfiguriert sein, um bestimmte Kommunikationen zwischen dem zweiten Endgerät und dem gemeinsamen Kommunikations-Netzwerk einzuschränken. Der Proxy-Server wird dann logische Kommunikations-Kanäle zur Kommunikation mit den Endgeräten aufweisen, die einen oder mehrere vorher zugeordnete Kanäle zur Kommunikation mit dem zweiten Endgerät umfassen. Die zweite Firewall kann dann konfiguriert sein, um die Kommunikation zwischen dem zweiten Endgerät und dem (den) vorher zugeordneten Kanal (Kanälen) des Proxy-Servers nicht einzuschränken.
  • In einer bevorzugten Ausführungsform der Erfindung ist die Anzahl der vorab zugeordneten Kanäle des Proxy-Servers kleiner als die oder gleich der Gesamtzahl an dynamisch zugeordneten Kanälen für das Endgerät/die Endgeräte. Beispielsweise kann der Proxy-Server zwei vorab zugeordnete Kanäle, vorzugsweise drei vorab zugeordnete Kanäle umfassen, einen für TCP und zwei für UDP.
  • Die Endgeräte können angepaßt sein, um Multimedia-Mediensignale zusammen mit den zugehörigen Multimedia-Steuersignalen zu übertragen und/oder zu empfangen, wobei die Steuersignale zu einem der vorab zugeordneten Kanäle gesendet werden und die Mediensignale zu dem anderen der vorab zugeordneten Kanäle gesendet werden.
  • Vorzugsweise ist mindestens einer der logischen Kommunikationskanäle des Proxy-Servers ein vorab zugeordneter Kanal, wobei die Anforderung als Anfangsanforderung an den vorab zugeordneten Kanal gesendet wird, um eine Kommunikation über die Kommunikationsverbindung einzuleiten.
  • Das Kommunikationsmittel kann angepaßt sein, um einen Multimedia-Aufruf wenigstens teilweise über das Internet auszuführen, wobei in diesem Fall der Proxy-Server eine oder mehrere öffentliche Internet-Protokoll-Adresse(n) aufweist, über welche ein oder alle Endgeräte mit dem Proxy-Server kommunizieren, wobei die Firewall(s) konfiguriert ist/sind, um die Kommunikation zwischen dem/den Endgeräten) und den vorab zugeordneten logischen Kanalnummern des Proxy-Servers nicht einzuschränken.
  • Die Erfindung ist für den Fall anwendbar, bei dem ein oder mehrere Paare) von ersten Endgeräten und zweiten Endgeräten vorhanden sind. Beispielsweise könnten mehrere erste Multimedia-Endgeräte an einer Stelle jeweils mit entsprechenden anderen zweiten Multimedia- Endgeräten an mehreren Stellen verbunden sein.
  • Beschreibung bevorzugter Ausführungsbeispiele
  • Die Erfindung wird im Folgenden anhand von Ausführungsbeispielen unter Bezugnahme auf Figuren einer Zeichnung näher erläutert. Hierbei zeigen:
  • 1 ein schematisches Diagramm eines Kommunikationssystems gemäß einer bevorzugten Ausführungsform der Erfindung zum Ausführen eines Multimedia-Aufrufs; und
  • 29 schematische Diagramme, welche das Verfahren zum Vorbereiten eines Multimedia-Aufrufs gemäß einer bevorzugten Ausführungsform der Erfindung darstellen.
  • Die Alternative zu einer vollständigen H.323-Aufrüstung ist in dem in Bezug auf 1 beschriebenen Beispiel dargestellt. Diese zeigt ein Kommunikationssystem 1 mit einem ersten Unternehmen 2 und einem zweiten Unternehmen 4, die jeweils ein privates Netzwerk 6, 8 umfassen, welche jeweils ein oder mehrere H.323-Endgeräte 10, 12 umfassen. Jedes private Netzwerk 6, 8 hat private IP-Adressen 14, 16 innerhalb des 10.x.x.x Adress-Bereichs. Die privaten IP-Adressen 14, 16 können aus einer statischen Zuordnung oder einer dynamischen Zuordnung mittels normaler DHCT-Verfahren hervorgehen. Externe Kommunikation findet über ein gemeinsames, verwaltetes oder öffentliches Internet 20 statt. Für externe Kommunikation hat das erste Unternehmen 2 einen öffentlichen IP-Adress-Pool 22, welcher bei 192.1.1.1 anfängt, und das zweite Unternehmen 4 hat einen öffentlichen IP-Adress-Pool 24, welcher bei 206.1.1.1 anfängt. Jedes Unternehmen hat einen Verteiler 32, 34, welcher mit Übersetzungsregeln programmiert ist, um eine einfache Netzwerkadressübersetzung (NAT-Funktion) auszuführen, entweder eine statische Abbildung zwischen inneren Adressen 14, 16 (privat) und äußeren Adressen 22, 24 (öffentlich) oder dynamische Abbildungen, je nachdem welches H.323 der Endgeräte 10, 12 auf dem privaten Netzwerk 6, 8 zuerst mit dem gemeinsamen Netzwerk 20 über den entsprechenden Verteiler 32, 34 verbunden wird.
  • Die privaten Netzwerke 6, 8 sind jeweils an ihren Rändern durch Firewall-Funktionen 26, 28 geschützt. Die Firewall-Funktionen sind mit dem in Tabelle 1 dargestellten Regeln konfiguriert, um H.323-Verkehr zu erlauben. Die Regeln berücksichtigen die bekannten Kanäle für H.323 und T.120, welche 1718, 1719, 1729 und 1503 sowie zwei neue Kanäle umfassen, welche für die Erfindung vorgeschlagen und als X und Y bezeichnet werden.
  • Tabelle 1:
    Figure 00120001
  • Figure 00130001
  • In der vorangehenden Tabelle sind die aufgelisteten, bestimmten Kanalnummern die gemäß den vom IANA genehmigten Standards registrierten Kanalnummern.
  • Damit die H.323-Endgeräte 10 im ersten Unternehmen mit anderen H.323-Endgeräten 12 im zweiten Unternehmen 4 kommunizieren, muß ein gemeinsames Netzwerk 20 vorhanden sein, mit welchem ein Proxy-Server 40, beispielsweise über einen Verteiler 38, verbunden ist. Der Proxy-Server 40 hat eine öffentliche IP-Adresse 44, beispielsweise 45.6.7.8. Der Proxy-Server hat auch zwei neue bekannte Kanal-Nummern X, Y 46, welche genehmigt und im Voraus mit IANA registriert wurden. Der Proxy-Server 40 erscheint den H.323-Endgeräten, als ob er ihr H.323-Torwächter (oder SIP-Registrator für SIP-Endgeräte, usw.) sei. Während eines Aufrufs erscheint der Proxy-Server jedem einzelnen Endgerät als das andere oder entfernte Endgerät. Torwächtern erscheint der Proxy-Server als alle ihre Endpunkte. Die Torwächter-Funktion (nicht dargestellt) kann mit dem Proxy-Server zusammen gebildet sein oder entfernt von ihm gebildet sein.
  • Wenn ein H.323-Endgerät 10, 12 angeschaltet wird, entdeckt es zuerst die Torwächter-Funktion und registriert sich dann bei ihr über den Proxy-Server 40, um bekannt zu machen, daß es bereit ist, Multimedia-Aufrufe auszuführen oder zu empfangen. Für den Registriervor gang ist es notwendig, daß das Endgerät 10, 12 seine eigene IP-Adresse 14, 16 in einer H.323-Nachricht über den Proxy-Server 40 an die Torwächter-Funktion leitet. Beim Verlassen des Endgerätes ist das Quellen-Adressfeld des IP-Pakets die private IP-Adresse des Endgerätes 14, 16. Während jedoch das IP-Paket die einfache NAT-Funktion passiert, wird die Quellenadresse in dem IP-Paket in ihre öffentliche Entsprechung 22, 24 geändert. Weil die NAT-Funtion keine Kenntnis von der die private IP-Adresse des Endgerätes enthaltende H.323-Nutzlast hat, wird diese IP-Adresse nicht geändert. Während die Registriernachrichten auf dem Weg zum Torwächter den Proxy-Server passieren, speichert der Proxy-Server 40 sowohl die „scheinbare" IP-Adresse 22, 24 (d.h. dort, von wo die Pakete nach der NAT-Änderung zu kommen scheinen) des Endgerätes als auch die private oder „tatsächliche" IP-Adresse 14, 16 des Endgerätes. Während zukünftiger Aufrufssteuerungs-Anforderungen an die Torwächter-Funktion würde der Proxy-Server anordnen, daß alle Aufrufssteuerungen durch die unterschiedlichen Funktionen (Aufrufssteuerung, Mediensteuerung und Medienverarbeitung) in dem Proxy-Server an der IP-Adresse 40 des Proxy-Servers behandelt werden. In dieser Ausführungsform der Erfindung wurde angenommen, daß der Proxy-Server ein einzelnes Gerät mit einer einzelnen IP-Adresse ist. In anderen Ausführungsformen der Erfindung kann der „Proxy-Server" mehrere kooperierende Geräte umfassen. Zusätzlich können die Proxy-Server-Geräte jeweils eine oder mehrere IP-Adressen haben. Wenn mehrere IP-Adressen verwendet werden, besteht die übliche Vorgehensweise darin, diese aus einem einzelnen Teilnetz zuzuordnen. In diesem Fall entspricht das Programmieren der Firewall-Regeln dem Bestimmen der erlaubten Kanäle zu und von einem Teilnetz anstelle individueller IP-Adressen.
  • Wenn das H.323-Endgerät 10, 12 eine Torwächter-Registrierfunktion nicht unterstützt, muß dem Endgerät eine statische private IP-Adresse gegeben werden. Eine statische NAT-Regel muß dann in der einfachen NAT-Funktion des Routers 32, 24 gebildet werden und der Proxy-Server 40 muß mit der statischen scheinbaren IP-Adresse 14, 16 und der tatsächlichen IP-Adresse 22, 24 des Endgerätes 10, 12 programmiert werden. Das Endgerät 10, 12 ist so programmiert, daß es alle Aufrufssteuerungs-Anforderungen wie im vorangehenden Fall an den Proxy-Server 40 leitet.
  • 2 bis 9 zeigen ein Verfahren zum Einrichten eines Multimedia-Aufrufs gemäß einer bevorzugten Ausführungsform der Erfindung. Wie im Folgenden beschrieben, werden 7 Schritte oder Stufen dargestellt:
  • Schritt 1, 2 und 3:
  • Der Benutzer A am Endgerät A1 10 verwendet eine H.323-Software um einen Multimedia-Aufruf an den Benutzer B am Endgerät B1 12 auszuführen. Die auf dem Endgerät A1 10 laufende Software umfaßt eine H.323-Einrichtungsnachricht, welche die Identitäten von A und B, die wahre IP-Adresse 14 des Endgeräts A1 10 und die wahre IP-Adresse 44 des Proxy-Servers 42 umfaßt. Die Nachricht 5 wird dann von einem lokalen Kanal PA1 11 in einem oder mehreren TCP-IP-Paketen angeordnet, welches) mit der IP-Adresse 16 des Endgerätes A1 als Quelle und der IP-Adresse 44 des Proxy-Servers 42 als Ziel gekennzeichnet ist/sind. Die Einrichtungsnachricht wird an einen vorher zugeordneten Kanal 41 des Proxy-Servers 42, in diesem Fall an die Kanal-Nummer 1720, gesendet. Während diese Pakete 50 die einfache NAT-Funktion im Router 32 passieren, wird die Quellen-IP-Adresse 14 in dem IP-Paket in die entsprechende öffentliche IP-Adresse 18 geändert (beispielsweise wird 10.1.1.1 zu 192.1.1.1). Die H.323-Nachricht 50 selbst bleibt unverändert.
  • Diese von Endgerät A1 10 übertragene Einrichtungsnachricht wird dargestellt durch:
  • Figure 00150001
  • Die Einrichtungsnachricht wird mittels des Routers 32 geändert und wird dann dargestellt durch:
  • Figure 00150002
  • Schritt 2, 3 und 4:
  • Die H.323-Einrichtungsnachricht 51 erreicht den Proxy-Server 42, welcher den Ort des Benutzers B (beispielsweise in Verbindung mit einer Torwächter-Funktion) ermittelt und eine ähnliche neue H.323-Einrichtungsnachricht 32 zum dorthin Senden bildet. Diese neue Einrichtungsnachricht 52 umfaßt die Identitäten von A und B, die wahre IP-Adresse 44 (beispielsweise 45.6.7.8) des Proxy-Servers 42 und die wahre IP-Adresse 16 (beispielsweise 10.1.1.1) des Endgerätes B1 12. Der Proxy-Server 42 sendet diese Nachricht 52 dann von einem vorab zugeordneten Kanal 55, in diesem Fall mit der Kanal-Nummer 2777, an die öffentliche IP-Adresse 17 (beispielsweise 206.1.1.1) des Endgerätes B1 12. Die IP-Pakete werden mit der IP-Adresse 44 des Proxy-Servers 42 als Quelle und mit der öffentlichen IP-Adresse 17 des Endgerätes B1 12 als Ziel gekennzeichnet.
  • Die mittels des Proxy-Servers 42 weitergeleitete neue Einrichtungsnachricht 52 kann wie folgt dargestellt werden:
  • Figure 00160001
  • Schritt 3, 4 und 5:
  • Die einfache NAT-Funktion in dem Router 34 ändert die IP-Pakete, so daß ihre Zieladresse 17 zur wahren IP-Adresse 16 des Endgerätes B1 12 wird. Die in den Paketen enthaltene H.323-Nachricht 53 wird nicht geändert, sondern die mittels des Routers 34 weitergeleitete Nachricht 53 hat nun die korrekte IP-Adresse 16, weil der Proxy-Server 42 die wahre IP-Adresse 16 vor dem Versenden der Nachricht 52 eingefügt hat. Diese weitergeleitete Nachricht 53 umfaßt Informationen, welche den Aufruf als vom Benutzer am Endgerät A1 10 stammend identifizieren.
  • Die mittels des Routers 34 geänderte Einrichtungsnachricht kann dann wie folgt dargestellt werden:
  • Figure 00160002
  • Schritt 4, 6:
  • Die Endgeräte A1 10 und B1 12 entscheiden, beispielsweise mittels durch bekannte international vereinbarte Standards vorgegebener Vorgänge, daß sie Audio- und/oder Videosignale senden werden.
  • Der Vorgang ist in beiden Richtungen der gleiche und ist auch bei Audio der gleiche wie bei Video.
  • Das Endgerät B1 12 bereitet einen neuen TCP-Kanal PB1 13 vor, auf welchem es eine Verbindung einer H.245-Kommunikation erhalten wird. Es sendet dann eine H.323-„Verbinde"-Nachricht 54 zurück an den Proxy-Server 42. Die Adresse des neuen Kanals 10.1.1.1/PB1 ist in der Nachricht 54.
  • Dies wird dargestellt als:
  • Figure 00170001
  • Der Router 34 übersetzt die Nachricht zu:
  • Figure 00170002
  • Schritt 5, 7:
  • Der Proxy-Server 42 sendet eine H.323-„Verbinde"-Nachricht 56 an das Endgerät A1 10 an der IP-Adresse 192.1.1.1/PA1. Die Nachricht benennt die IP-Adresse 45.6.7.8/2777 als Kanal, mit welchem das Endgerät A1 10 eine H.245-Verbindung herstellen soll.
  • Dies wird auf folgende Weise dargestellt:
  • Figure 00170003
  • Der Router übersetzt die Nachricht 57 und leitet sie weiter an das Endgerät A1 10 als:
  • Figure 00170004
  • Schritt 6, 3:
  • Als nächstes finden zwei Ereignisse entweder unabhängig voneinander oder nacheinander statt. Als erstes stellt das Endgerät A1 10 eine H.245-Kommunikation mit dem Proxy-Server 42 her. Die IP-Pakete 58, 59, welche die H.245-Kommunikation tragen, sind als die vorangehend beschriebenen einleitenden Einrichtungs-Nachrichten Gegenstand der Übersetzungen am Router 32. Als zweites stellt der Proxy-Server 42 über den Router 34 eine ähnliche H.245-Verbindung 60, 61 mit dem Endgerät B1 12 her, wobei die Adressen-Übersetzung in gleicher Weise wie vorangehend beschrieben erfolgt. In diesem Stadium sind keine IP-Adressen in den H.245-Nachrichten 58, 59; 60, 61 enthalten.
  • Schritt 7, 9A bis 9E:
  • Die Endgeräte A1 10 und B1 12 folgen normalen H.245-Protokollen, um logische Kanäle zum Führen von Audio und/oder Videosignalen zu öffnen. Jeder Kanal führt entweder Audio oder Video, aber niemals beides. Der Vorgang ist der gleiche für alle Kanäle. Wie in zusammenfassender Form in 9A dargestellt, werden eine Anzahl von Kanälen 27, 29 sowohl in den Endgeräten 10, 12 als auch im Proxy-Server 42 geöffnet.
  • Die Reihenfolge, in der die unterschiedlichen Kanäle geöffnet werden, kann sich ändern. Nachfolgend ist ein Beispiel beschrieben. Insbesondere können, obwohl die in 9E dargestellten Schritte als nach denen aus 9D eintretend dargestellt sind, die Schritte aus 9E entweder vor den in 9C gezeigten oder zwischen denen, welche in 9C und 9D dargestellt sind, erfolgen.
  • Wie in 9B dargestellt, richtet das Endgerät A1 10 als erstes ein dynamisches Kanal-Paar PA3/UDP und PA4/UDP 31 als ein Audio-Kanal zum Senden von Audio ein. Numerisch ist gemäß den Regeln für RTP-Kommunikation (Standard IETF RFC 1889) PA4 = PA3 + 1 und PA3 ist eine gerade Zahl. Der Kanal PA3 wird für die RTP-Kommunikation verwendet und der Kanal PA4 wird für die RTCP-Kommunikation verwendet.
  • Das Endgerät A1 10 sendet die notwendige „öffne logischen Kanal"-Nachricht 62 an den Proxy-Server 42. Die NAT-Funktion im Router 32 leitet eine übersetzte Nachricht 63 und IP-Pakete wie folgt weiter:
  • Figure 00180001
  • Dann bildet, wie in 9C dargestellt, der Proxy-Server 42 eine ähnliche neue Nachricht 64 für das Endgerät B1 12. Der Proxy-Server 42 fügt die Identität der vorab zugeordneten Kanä le zusammen mit Informationen über die Art der Signale in diese Nachricht ein. Die Nachricht 64 wird mit 45.6.7.8/2777 (UDP) als die RTCP-Adresse am Proxy-Server gebildet. Das Codierungsverfahren kann das gleiche sein, wie das vom Endgerät A1 ausgewählte Codierungsverfahren oder es kann sich davon unterscheiden. Der Proxy-Server 42 überträgt dann die Nachricht 64 in IP-Paketen an die öffentliche IP-Adresse 17 des Endgerätes B1 12.
  • Die Nachricht passiert die einfache NAT-Funktion am Router 34. Dabei wird die Ziel-IP-Adresse in den Paketen in die wahre Adresse 16 des Endgerätes B1 12 geändert. Das Endgerät empfängt die Nachricht 65 und öffnet ein Paar dynamischer Kanäle 35 zum Empfangen des Signals.
  • Dies wird wie folgt dargestellt:
  • Figure 00190001
  • Dann reagiert, wie in 9B dargestellt, das Endgerät B1 12 mit einer „öffne logischen Kanal Bestätigung"-Nachricht 66, welche die wahren IP-Adressen 16 des Endgeräts B1 12 und die Kanalnummern der dynamischen Kanäle 35 umfaßt, die das Endgerät B1 geöffnet hat.
  • Die „öffne logischen Kanal Bestätigung"-Nachricht 66 liefert die RTP- und RTCP-Adressen des Endgeräts B1 12, in diesem Fall 10.1.1.1/PB2 und 10.1.1.1/PB3. In diesem Beispiel ist PB2 eine gerade Zahl und PB3 = PB2 + 1. Die Nachricht 66 wird in IP-Paketen mit einer Quellen-IP-Adresse gleich der wahren IP-Adresse 16 des Endgeräts B1 12 und einer Ziel-Adresse gleich der IP-Adresse 44 des Proxy-Servers 42 angeordnet. Die Nachricht 66 passiert den Router 34, welcher die einfache NAT-Funktion verwendet, um eine übersetzte Nachricht 67, bei der die wahre IP-Adresse 16 des Endgerätes B1 12 in die öffentliche IP-Adresse 17 geändert wurde, an den Proxy-Server 42 weiterzuleiten. Das Paket erreicht den Proxy-Server 42, der die dynamischen Kanalnummern aus der Nachricht und die öffentliche IP-Adresse (206.1.1.1) des Endgerätes B1 12 verwendet, um seine vorab zugeordneten Kanäle 33 zu öffnen, um das Audio-Signal an das Endgerät B1 12 zu senden. Der Router 34 ändert die Adressen in der H.323-Nachricht nicht.
  • Dies wird wie folgt dargestellt:
  • Figure 00200001
  • Schließlich übermittelt, wie in 9E dargestellt, der Proxy-Server 42 eine „öffne logischen Kanal Bestätigung"-Antwort 68 an die öffentliche IP-Adresse 18 des Endgerätes A1 10, um dem Endgerät die Kanäle, welche das Audio-Signal empfangen werden, mitzuteilen. In diesem Beispiel führt die Nachricht die vorab zugeordneten Kanäle 2776/UDP und 2777/UDP am Proxy-Server 42 als die Kanäle für RTP bzw. RTCP auf. Der Router 32 modifiziert die IP-Adresse des Endgeräts in dem IP-Paket der weitergeleiteten Nachricht 69, führt jedoch keine Änderung an der Antwort selbst durch. Das Endgerät empfängt die Nachricht 69 und beginnt, das Audio-Signal zu senden.
  • Die mittels des Routers 32 geänderte Einrichtungs-Nachricht wird wie folgt übersetzt:
  • Figure 00200002
  • Eine Multimedia-Kommunikation („Mediendaten") kann dann zwischen den zwei Endgeräten 10, 12 stattfinden bzw. fließen. Während das Endgerät A1 10 Mediendaten für den neuen Kanal erzeugt, sendet es diese von einem dritten Kanal 10.1.1.1/PA3 an den Proxy-Server 42 bei 45.6.7.8/2776. Der Proxy-Server 42 empfängt die Mediendaten und ermittelt von der scheinbaren Quellenadresse, daß die Pakete für den logischen Kanal bestimmt sind und leitet diese weiter zu B1 12, indem es sie von 45.6.7.8/2776 zum Endgerät B1 12 bei 206.1.1.1/PB2 sendet. Der Proxy-Server 42 kann vor dem Weitersenden der Mediendaten Verarbeitungen durchführen oder er kann die Mediendaten unverändert weiterleiten.
  • In diesem Beispiel muß der Proxy-Server die scheinbare oder „öffentliche" IP-Adresse 18, hier 192.1.1.1, des Endgerätes A1 10 aufnehmen, weil es keinen direkten Zugang zu der wahren Ursprungsadresse 14, hier 10.1.1.1, hat, da es die Pakete von Mediendaten empfängt.
  • Die vorangehend beschriebene Erfindung erlaubt es H.323-Endpunkten, welche in unterschiedlichen sicheren und privaten IP-Datennetzwerken aingeordnet sind, miteinander zu kommunizieren, ohne den Datenschutz und die Datensicherheit der individuellen privaten Netzwerke zu beeinträchtigen. Die Erfindung betrifft ein Verfahren und eine Vorrichtung, die den Vorteil aufweisen, mit vorhandenen Firewalls, Routers und Proxies zu arbeiten und somit die Kosten für ein Aufrüsten dieser Geräte zur vollständigen H.323-Konfrmität oder ein Einsetzen zusätzlicher H.323-Geräte einsparen. Ein Aspekt der beschriebenen Erfindung betrifft jene Entwicklungen, bei denen eine einfache (einszueins) NAT-Abbildung an den Rand der privaten Netzwerke angewendet werden kann, oder bei denen NAT umgangen werden kann. Ein getrennter Aspekt der Erfindung betrifft Entwicklungen, bei denen NAPT (Network Adress and Port Translation – Netzwerkadressen- und Kanalübersetzung) am Rand der privaten Netzwerke angewendet wird. Die beiden Aspekte der Erfindung können ko-existieren und die Vorrichtung kann es erlauben, daß Kommunikation zwischen privaten Netzwerken, welche einem Verfahren folgen, und privaten Netzwerken, welche dem anderen Verfahren folgen, stattfinden. Auf ähnliche Weise können in einem einzelnen privaten Netzwerk einige Endgeräte ein Verfahren verwenden (zum Beispiel Systeme gewidmeter Räume) während andere Endgeräte das zweite Verfahren verwenden können (zum Beispiel Desktop-Client-PCs).
  • Die hier beschriebene Erfindung wurde in Bezug auf den H.323-Standard der ITU dargestellt, weil dieser der vorherrschende Standard für Multimedia-Kommunikation über Paketnetzwerke, einschließlich IP-Netzwerke, ist. Die Erfindung ist jedoch gleichermaßen auf andere Standards oder Verfahren anwendbar, welche ein dynamisches Zuordnen von Kanälen benötigen, um bidirektionale Informationen, beispielsweise SIP, MGCP und H.248, zu übertragen.
  • Zusammenfassend bietet die Erfindung ein Verfahren und ein System, welche ein Anordnen von H.323-Endgeräten in privaten IP-Netzwerken erlauben und die vorhandenen Sicherungsvorgänge und – vorkehrungen nicht beeinträchtigen, die Notwendigkeit zur Aufrüstung vorhandener Firewalls, Routers und Proxies vermeiden und das Einsetzen zusätzlicher spezialisierter H.323-Ausrüstungen in das private Netzwerk vermeiden. Die Erfindung erlaubt es auch Standard-H.323-Ausrüstungen, in einem privaten Netzwerk mit anderen H.323- Endgeräten im gleichen oder in anderen privaten und/oder öffentlichen IP-Netzwerken über einen H.323-Proxy-Server mittels eines gemeinsamen oder öffentlichen IP-Netzwerks zu kommunizieren.
  • Die statische private IP-Adresse eines H.323-Endgerätes kann tatsächlich die gleiche sein, wie die IP-Adresse, auf welche sie abgebildet ist. In diesem Fall ist die einszueins Abbildung transparent.
  • Die Vorteile der vorangehend beschriebenen Herangehensweise sind die folgenden:
    • • NAT- und Firewall-Funktionen brauchen nicht aufgerüstet zu werden.
    • • Verbindungsfähigkeit kann mittels eines Dienstleisters durch ein gemeinsames Netzwerk oder mittels der Unternehmen selbst unter Verwendung des öffentlichen Internets zur Verfügung gestellt werden.
    • • Die Latenzzeit des Signals wird auf ein Minimum gehalten.
  • Organisationen können somit eine Ressource in einem gemeinsamen IP-Netzwerk abbonieren. Kosten werden auf ein Minimum gehalten/geteilt und die Sicherheit wird nicht beeinträchtigt.

Claims (19)

  1. Kommunikationssystem (1) zum Ausführen eines Multimedia-Aufrufs, mit einem ersten Multimedia-Endgerät (10) und einem zweiten Multimedia-Endgerät (12), die zum Ausführen eines Multimedia-Aufrufs über ein gemeinsames Kommunikationsnetzwerk (20) angeordnet sind, wobei des erste Multimedia-Endgerät (10) in einem ersten privaten Netzwerk (6) und des zweite Multimedia-Endgerät (12) in einem zweiten privaten Netzwerk (8) angeordnet ist, wobei das erste private Netzwerk eine erste Firewall (26) umfaßt, welche der Multimedia-Aufruf passieren muß, wobei i) die erste Firewall (26) konfiguriert ist, um bestimmte Kommunikationsarten zwischen dem ersten Endgerät (10) und dem gemeinsamen Kommunikationsnetzwerk (20) einzuschränken; ii) jedes Endgerät (10, 12) eine Anzahl von logischen Kommunikationskanälen (27, 29) zum Übertragen und/oder zum Empfangen des Multimedia-Aufrufs, einschließlich mindestens eines dynamisch zugeordneten Kanals (31, 35), umfaßt; iii) im Verlauf des Einrichtens eines Multimedia-Anrufs mindestens eines der Endgeräte (10, 12) eingerichtet wird, um eine Anforderung (62) an das andere Endgerät zu versenden, einen oder mehrere der dynamisch zugeordneten Kanäle (35) in dem Endgerät zu öffnen, welches die Anforderung empfängt; iv) das System (1) zwischen dem ersten Endgerät (10) und dem zweiten Endgerät (12) einen Proxy-Server (40) umfaßt, welcher für den Verlauf eines Multimedia-Aufrufs jedem Endgerät (10, 12) als ein Proxy für das andere Endgerät dient; v) der Proxy-Server (40) logische Kommunikationskanäle (33) zur Kommunikation mit den Endgeräten (10, 12) umfaßt, einschließlich eines oder mehrerer vorher zugeordneter Kanäle (41, 55) zur Kommunikation mit dem ersten Endgerät (10); vi) die erste Firewall (26) konfiguriert ist, um die Kommunikation zwischen dem ersten Endgerät (10) und dem/den vorher zugeordneten Kanal/Kanälen (41, 55) des Proxy-Servers (40) nicht einzuschränken; und vii) der Proxy-Server (40) konfiguriert ist, um die Anforderung/Anforderungen (62) zum Öffnen des/der dynamischen Kanals/Kanäle (35) über eines seiner vorab zugeordneten Kanäle (41, 55) zu empfangen und weiterzuleiten (64).
  2. Kommunikationssystem (1) nach Anspruch (1), dadurch gekennzeichnet, daß viii) das zweite Kommunikationsmittel eine zweite Firewall (28) umfaßt, welche der Multimedia-Aufruf passieren muß; ix) die zweite Firewall (28) konfiguriert ist, um bestimmte Kommunikationsarten zwischen dem zweiten Endgerät (12) und dem gemeinsamen Kommunikationsnetzwerk (20) einzuschränken; x) der Proxy-Server (40) logische Kommunikationskanäle (33) zur Kommunikation mit den Endgeräten (10, 12) umfaßt, einschließlich eines oder mehrerer vorab zugeordneter Kanäle (41, 55) zur Kommunikation mit dem zweiten Endgerät (12); und xi) die zweite Firewall (28) konfiguriert ist, um die Kommunikation zwischen dem ersten Endgerät (12) und dem/den vorher zugeordneten Kanal/Kanälen (41, 55) des Proxy-Servers (40) nicht einzuschränken.
  3. Kommunikationssystem (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Anzahl der vorher zugeordneten Kanäle (41, 55) des Proxy-Servers (40) kleiner als die oder gleich der Gesamtzahl an dynamisch zugeordneten Kanälen (31, 35) für das Endgerät/die Endgeräte (10, 12) ist.
  4. Kommunikationssystem (1) nach Anspruch 3, dadurch gekennzeichnet, daß der Proxy-Server (40) mindestens eine vorab zugeordnete Kanalnummer aufweist.
  5. Kommunikationssystem (1) nach Anspruch 4, dadurch gekennzeichnet, daß der Proxy-Server (40) zwei vorab zugeordnete Kanalnummern aufweist.
  6. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Endgeräte (10, 12) angepaßt sind, um Multimedia-Mediensignale zusammen mit den zugehörigen Multimedia-Steuersignalen (59, 60) zu übertragen und/oder zu empfangen, wobei die Steuersignale zu einem der vorab zu geordneten Kanäle (41) gesendet werden und die Mediensignale zu dem anderen der vorab zugeordneten Kanäle (55) gesendet werden.
  7. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß mindestens einer der logischen Kommunikationskanäle des Proxy-Servers ein vorab zugeordneter Kanal ist, wobei die Anforderung (62) als Anfangsanforderung an den vorab zugeordneten Kanal (41) gesendet wird, um eine Kommunikation über die Kommunikationsverbindung einzuleiten.
  8. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß das Kommunikationsmittel angepaßt ist, um einen Multimedia-Aufruf wenigstens teilweise über das Internet zu tätigen, und der Proxy-Server (40) eine oder mehrere öffentliche Internet-Protokoll-Adresse(n) aufweist, über welche ein oder alle Endgeräte (10, 12) mit dem Proxy-Server (40) kommunizieren, wobei die Firewall(s) (26, 28) konfiguriert ist/sind, um die Kommunikation zwischen dem/den Endgeräten) (10, 12) und der/den Internet-Protokoll-Adresse(n) und den vorab zugeordneten logischen Kanalnummern (41, 55) des Proxy-Servers (40) nicht einzuschränken.
  9. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, gekennzeichnet durch mehrere Paare von ersten Endgeräten (10) und zweiten Endgeräten (12).
  10. Verwendung eines Kommunikationssystems (1) nach einem der vorangehenden Ansprüchen zum Ausführen eines Multimedia-Aufrufs gemäß dem H.323-Standard der International Telecommunications Union.
  11. Verwendung eines Kommunikationssystems (1) nach einem der vorangehenden Ansprüche zum Ausführen eines Multimedia-Aufrufs gemäß dem SIP-Standard der Internet Engineering Task Force.
  12. Verwendung eines Kommunikationssystems (1) nach einem der vorangehenden Ansprüche zum Ausführen eines Multimedia-Aufrufs gemäß dem MGCP-Standard der Internet Engineering Task Force.
  13. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß das Kommunikationssystem (1) für das Ausführen eines Multimedie-Aufrufs gemäß dem H.248-Standart der ITU vorgesehen ist.
  14. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß das zweite Endgerät (12) ein weiterer Proxy-Server (40) ist, welcher einen entfernten Zusammenschluß von Endgeräten und Endpunkten bedient.
  15. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß ein Dritter den Proxy-Server (40) einsetzt, um Kommunikationsdienste zwischen Unternehmen anzubieten.
  16. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß das Unternehmen des ersten Endgeräts den Proxy-Server einsetzt, um externe Kommunikationsdienste mit anderen Unternehmen, mit Dienstleistern oder mit seinen entfernten Zweigstellen zur Verfügung zu stellen.
  17. Kommunikationssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß eine Torwächter-Funktion zusammen mit dem Proxy-Server (40) gebildet ist.
  18. Kommunikationssystem (1) nach einem der Ansprüche 1 bis 16, dadurch gekennzeichnet, daß eine Torwächter-Funktion ein vom Proxy-Server (40) getrenntes System ist.
  19. Verfahren zum Ausführen eines Multimedia-Aufrufs mittels eines Kommunikationssystems (1), welches ein erstes Multimedia-Endgerät (10) und ein zweites Multimedia-Endgerät (12) umfaßt, welche eingerichtet sind, um einem Multimedia-Aufruf über ein gemeinsames Kommunikationsnetzwerk (20) auszuführen, wobei das erste Multimedia-Endgerät (10) in einem ersten privaten Netzwerk (6) und das zweite Multimedia-Endgerät (12) in einem zweiten privaten Netzwerk (8) angeordnet ist, jedes Endgerät (10, 12) eine Anzahl logischer Kommunikationskanäle (11, 13) zum Übermitteln und/oder Empfangen von Multimedia-Aufrufen, inklusive mindestens eines dynamisch zugeordneten Kanals (31, 35) aufweist, das erste private Netzwerk eine Firewall (26) aufweist, welche konfiguriert ist, um bestimmte Kommunikationsarten zwischen dem ersten Endgerät (10) und dem geminsamen Kommunikationsnetzwerk (20) einzuschranken und das Kommunikationssystem außerdem zwischen dem ersten Endgerät (10) und dem zweiten Endgerät (12) einen Proxy-Server (40) umfaßt, welcher für den Verlauf eines Multimedia-Aufrufs jedem Endgerät (10, 12) als ein Proxy für das andere Endgerät dient, wobei der Proxy-Server (40) logische Kommnikationskanäle (33) zum kommunizieren mit den Endgeräten (10, 12) umfaßt, einschließlich eines oder mehrerer vorher zugeordneter Kanäle (41, 55) zur Kommunikation mit dem ersten Endgerät (10), wobei das Verfahren die folgenden Schritte umfaßt: a) Konfigurieren der ersten Firewall (26), um die Kommunikation zwischen dem ersten Endgerät (10) und dem/den vorher zugeordneten Kanal/Kanälen (41, 55) des Proxy-Servers (40) nicht einzuschränken; b) Konfigurieren des Proxy-Servers (40), um über eines seiner vorab zugeordneten Kanäle (41, 55) eine Anforderung/Anforderungen (62) zum Öffnen eines oder mehrerer der dynamischen Kanäle (35) in dem Endgerät, welches die Anforderung empfängt, von einem Endgerät zu empfangen und zu einem anderen Endgerät weiterzuleiten (64); c) Einrichten eines Multimedia-Aufrufs über ein gemeinsames Kommunikationsnetzwerk (20) zwischen dem ersten Multimedia-Endgerät (10) und dem zweiten Multimedia-Endgerät via der ersten Firewall (26); und d) Senden einer Anforderung (62) von mindestens einem der Endgeräte (10, 12) an das andere Endgerät, einen oder mehrere der dynamischen Kanäle (35) in dem Endgerät, welches die Anforderung empfängt, zu öffnen, im Verlauf des Einrichtens des Multimedia-Aufrufs.
DE60113435T 2000-07-28 2001-07-24 Audio-video-telefonie mit firewalls und netzwerkadressübersetzung Expired - Lifetime DE60113435T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0018547A GB2365256A (en) 2000-07-28 2000-07-28 Audio-video telephony with port address translation
GB0018547 2000-07-28
PCT/GB2001/003308 WO2002011400A1 (en) 2000-07-28 2001-07-24 Audio-video telephony with firewalls and network address translation

Publications (2)

Publication Number Publication Date
DE60113435D1 DE60113435D1 (de) 2005-10-20
DE60113435T2 true DE60113435T2 (de) 2006-06-22

Family

ID=9896517

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60113435T Expired - Lifetime DE60113435T2 (de) 2000-07-28 2001-07-24 Audio-video-telefonie mit firewalls und netzwerkadressübersetzung

Country Status (11)

Country Link
US (1) US8499344B2 (de)
EP (2) EP1515515A1 (de)
JP (1) JP3774191B2 (de)
CN (1) CN1198433C (de)
AT (1) ATE304773T1 (de)
AU (2) AU2001275697B2 (de)
CA (1) CA2415357C (de)
DE (1) DE60113435T2 (de)
GB (1) GB2365256A (de)
HK (1) HK1051101A1 (de)
WO (1) WO2002011400A1 (de)

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2812991B1 (fr) * 2000-08-08 2003-01-24 France Telecom Traduction d'identificateurs de terminaux d'installation d'usager dans un reseau de paquets
US7003481B2 (en) 2000-08-25 2006-02-21 Flatrock Ii, Inc. Method and apparatus for providing network dependent application services
GB2369746A (en) 2000-11-30 2002-06-05 Ridgeway Systems & Software Lt Communications system with network address translation
US7050422B2 (en) * 2001-02-20 2006-05-23 Innomedia Pte, Ltd. System and method for providing real time connectionless communication of media data through a firewall
US7684317B2 (en) 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
US7068655B2 (en) 2001-06-14 2006-06-27 Nortel Networks Limited Network address and/or port translation
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
DE10147147A1 (de) * 2001-09-25 2003-04-24 Siemens Ag Verfahren und Vorrichtung zur Realisierung einer Firewallanwendung für Kommunikationsdaten
US7769865B1 (en) * 2001-10-16 2010-08-03 Sprint Communications Company L.P. Configuring computer network communications in response to detected firewalls
US7408928B2 (en) * 2001-12-21 2008-08-05 Nortel Networks Limited Methods and apparatus for setting up telephony connections between two address domains having overlapping address ranges
AU2003211053A1 (en) 2002-02-11 2003-09-04 Polycom, Inc. System and method for videoconferencing across a firewall
US7668306B2 (en) 2002-03-08 2010-02-23 Intel Corporation Method and apparatus for connecting packet telephony calls between secure and non-secure networks
US20030177390A1 (en) * 2002-03-15 2003-09-18 Rakesh Radhakrishnan Securing applications based on application infrastructure security techniques
US20030221009A1 (en) * 2002-05-21 2003-11-27 Logitech Europe S.A. Dual mode peer-to-peer link establishment for instant message video
TW574805B (en) * 2002-07-25 2004-02-01 Leadtek Research Inc Network address translation system and method thereof
DE10245547B3 (de) * 2002-09-30 2004-05-13 Tenovis Gmbh & Co. Kg Verfahren zum Aufbau einer VoIP-Telefonverbindung in einem gesicherten Netzwerk sowie Schaltungsanordnung
DE10321227A1 (de) * 2003-05-12 2004-12-09 Siemens Ag Verfahren zum Datenaustausch zwischen Netzelementen
CN100440886C (zh) 2003-09-02 2008-12-03 华为技术有限公司 多媒体协议穿越网络地址转换设备的实现方法
US7380011B2 (en) * 2003-10-01 2008-05-27 Santera Systems, Inc. Methods and systems for per-session network address translation (NAT) learning and firewall filtering in media gateway
US8661158B2 (en) 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US8590032B2 (en) * 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US7694127B2 (en) * 2003-12-11 2010-04-06 Tandberg Telecom As Communication systems for traversing firewalls and network address translation (NAT) installations
TWI245192B (en) * 2003-12-11 2005-12-11 Inst Information Industry Method, system and storage medium for passing through network address translation device
CN100359874C (zh) * 2004-01-12 2008-01-02 华为技术有限公司 接收方所在的多媒体业务中心获取私网地址的方法
US7580419B2 (en) * 2004-02-17 2009-08-25 Zyxel Communications Corp Network system integrated with SIP call server and SIP agent client
EP1613024A1 (de) * 2004-06-29 2006-01-04 Alcatel Alsthom Compagnie Generale D'electricite Verfahren und Anrufserver zum Aufbau einer bidirektionellen, gleichrangigen Kommunikationsverbindung
US8571011B2 (en) * 2004-08-13 2013-10-29 Verizon Business Global Llc Method and system for providing voice over IP managed services utilizing a centralized data store
US8634537B2 (en) * 2004-08-16 2014-01-21 Aspect Software, Inc. Method of routing calls from a contact center
JP4480535B2 (ja) * 2004-09-30 2010-06-16 株式会社アドイン研究所 トンネル装置、中継装置、端末装置、呼制御システム、ip電話システム、会議装置、これらの制御方法及びプログラム
WO2006044820A2 (en) 2004-10-14 2006-04-27 Aventail Corporation Rule-based routing to resources through a network
US20060106929A1 (en) * 2004-10-15 2006-05-18 Kenoyer Michael L Network conference communications
US7545435B2 (en) * 2004-10-15 2009-06-09 Lifesize Communications, Inc. Automatic backlight compensation and exposure control
US8149739B2 (en) 2004-10-15 2012-04-03 Lifesize Communications, Inc. Background call validation
CN100353721C (zh) * 2004-10-20 2007-12-05 尚宏电子股份有限公司 一种可穿透防火墙的双向信号传输装置
US7826602B1 (en) * 2004-10-22 2010-11-02 Juniper Networks, Inc. Enabling incoming VoIP calls behind a network firewall
FR2878346A1 (fr) * 2004-11-22 2006-05-26 France Telecom Procede et systeme de mesure de l'usage d'une application
CN1783835A (zh) * 2004-11-30 2006-06-07 西门子(中国)有限公司 一种在Internet网络中逐跳识别实时业务的方法
US20060123473A1 (en) * 2004-12-07 2006-06-08 Cheng-Su Huang Two-way communication device capable of communicating through a firewall
JP4561983B2 (ja) * 2005-01-13 2010-10-13 日本電気株式会社 ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム
US7526536B2 (en) 2005-04-12 2009-04-28 International Business Machines Corporation System and method for port assignment management across multiple nodes in a network environment
DE102005020924A1 (de) * 2005-05-04 2006-11-09 Siemens Ag Verfahren und Vorrichtung zur Umsetzung von Internet-Protokoll-Adressen innerhalb eines Kommunikationsnetzwerkes
AU2006333118B2 (en) * 2005-12-15 2011-06-09 Barclays Capital Inc System and method for secure remote desktop access
CN100384168C (zh) * 2005-12-30 2008-04-23 四川长虹电器股份有限公司 H.323***的多媒体会话穿越nat设备的方法
US8331263B2 (en) * 2006-01-23 2012-12-11 Microsoft Corporation Discovery of network nodes and routable addresses
US8560828B2 (en) * 2006-04-13 2013-10-15 Directpacket Research, Inc. System and method for a communication system
US8555371B1 (en) 2009-07-17 2013-10-08 Directpacket Research, Inc. Systems and methods for management of nodes across disparate networks
US7710978B2 (en) * 2006-04-13 2010-05-04 Directpacket Research, Inc. System and method for traversing a firewall with multimedia communication
US8605730B2 (en) * 2006-04-13 2013-12-10 Directpacket Research, Inc. System and method for multimedia communication across disparate networks
US7773588B2 (en) * 2006-04-13 2010-08-10 Directpacket Research, Inc. System and method for cross protocol communication
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US20080244723A1 (en) * 2007-03-27 2008-10-02 Microsoft Corporation Firewall Restriction Using Manifest
US9661267B2 (en) 2007-09-20 2017-05-23 Lifesize, Inc. Videoconferencing system discovery
EP2394414B1 (de) * 2009-02-06 2018-10-17 XMedius Solutions Inc. Nat-transversal durch hole punching
US8305421B2 (en) 2009-06-29 2012-11-06 Lifesize Communications, Inc. Automatic determination of a configuration for a conference
TW201125330A (en) * 2009-12-29 2011-07-16 Gemtek Technolog Co Ltd Network address transforming method, network address transformer and communication system for multimedia streaming.
CN101917409B (zh) * 2010-07-23 2013-04-24 深圳粤和通科技有限公司 一种多媒体流的传输方法及***
CN101909011B (zh) * 2010-08-04 2013-01-23 华为数字技术(成都)有限公司 报文传输方法、***、客户端和代理网关
JP4802295B1 (ja) * 2010-08-31 2011-10-26 株式会社スプリングソフト ネットワークシステム及び仮想プライベート接続形成方法
US9306903B2 (en) * 2011-09-13 2016-04-05 Cable Television Laboratories, Inc. Deterministic mapping
CN102316119B (zh) * 2011-10-12 2014-06-25 杭州华三通信技术有限公司 一种安全控制方法和设备
US9014060B2 (en) * 2012-06-21 2015-04-21 Level 3 Communications, Llc System and method for integrating VoIP client for audio conferencing
US8925045B2 (en) * 2012-12-28 2014-12-30 Futurewei Technologies, Inc. Electronic rendezvous-based two stage access control for private networks
US10834138B2 (en) 2018-08-13 2020-11-10 Akamai Technologies, Inc. Device discovery for cloud-based network security gateways
US10958624B2 (en) * 2018-12-06 2021-03-23 Akamai Technologies, Inc. Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment
CN112969046A (zh) * 2021-02-05 2021-06-15 招联消费金融有限公司 一种基于内网代理的视频面签***和方法

Family Cites Families (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5301320A (en) 1991-06-28 1994-04-05 Digital Equipment Corporation Workflow management and control system
EP0615198A1 (de) 1993-03-08 1994-09-14 International Business Machines Corporation Verfahren zur Datenverarbeitung, -bearbeitung und -anzeige für einen Betrieb in der Form eines Datenmodells
US5781550A (en) 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
CN1216657A (zh) 1996-04-24 1999-05-12 北方电讯有限公司 互联网协议过滤器
US6138162A (en) * 1997-02-11 2000-10-24 Pointcast, Inc. Method and apparatus for configuring a client to redirect requests to a caching proxy server based on a category ID with the request
US6104716A (en) 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
US6473406B1 (en) 1997-07-31 2002-10-29 Cisco Technology, Inc. Method and apparatus for transparently proxying a connection
US6385644B1 (en) 1997-09-26 2002-05-07 Mci Worldcom, Inc. Multi-threaded web based user inbox for report management
US6058431A (en) * 1998-04-23 2000-05-02 Lucent Technologies Remote Access Business Unit System and method for network address translation as an external service in the access server of a service provider
US6449260B1 (en) 1998-05-01 2002-09-10 Siemens Information And Communication Networks, Inc. Multimedia automatic call distribution system
GB9814412D0 (en) * 1998-07-03 1998-09-02 Northern Telecom Ltd Communications method and apparatus
US6360265B1 (en) 1998-07-08 2002-03-19 Lucent Technologies Inc. Arrangement of delivering internet protocol datagrams for multimedia services to the same server
US6401128B1 (en) 1998-08-07 2002-06-04 Brocade Communiations Systems, Inc. System and method for sending and receiving frames between a public device and a private device
US6438597B1 (en) 1998-08-17 2002-08-20 Hewlett-Packard Company Method and system for managing accesses to a data service system that supports persistent connections
US6470020B1 (en) * 1998-11-03 2002-10-22 Nortel Networks Limited Integration of stimulus signalling protocol communication systems and message protocol communication systems
US6449251B1 (en) * 1999-04-02 2002-09-10 Nortel Networks Limited Packet mapper for dynamic data packet prioritization
US6925076B1 (en) * 1999-04-13 2005-08-02 3Com Corporation Method and apparatus for providing a virtual distributed gatekeeper in an H.323 system
US6885658B1 (en) * 1999-06-07 2005-04-26 Nortel Networks Limited Method and apparatus for interworking between internet protocol (IP) telephony protocols
WO2001015397A1 (en) * 1999-08-24 2001-03-01 Leighton Hanna King On-demand connection system for internet services
GB9920834D0 (en) * 1999-09-04 1999-11-10 Hewlett Packard Co Providing secure access through network firewalls
US7120692B2 (en) 1999-12-02 2006-10-10 Senvid, Inc. Access and control system for network-enabled devices
US7069432B1 (en) * 2000-01-04 2006-06-27 Cisco Technology, Inc. System and method for providing security in a telecommunication network
US6757732B1 (en) * 2000-03-16 2004-06-29 Nortel Networks Limited Text-based communications over a data network
US6631417B1 (en) 2000-03-29 2003-10-07 Iona Technologies Plc Methods and apparatus for securing access to a computer
US7814208B2 (en) 2000-04-11 2010-10-12 Science Applications International Corporation System and method for projecting content beyond firewalls
US6996628B2 (en) 2000-04-12 2006-02-07 Corente, Inc. Methods and systems for managing virtual addresses for virtual networks
US6631416B2 (en) 2000-04-12 2003-10-07 Openreach Inc. Methods and systems for enabling a tunnel between two computers on a network
US20020042832A1 (en) 2000-08-14 2002-04-11 Fallentine Mark D. System and method for interoperability of H.323 video conferences with network address translation
US20020101859A1 (en) * 2000-09-12 2002-08-01 Maclean Ian B. Communicating between nodes in different wireless networks
GB2369746A (en) 2000-11-30 2002-06-05 Ridgeway Systems & Software Lt Communications system with network address translation
KR100360274B1 (ko) 2000-12-30 2002-11-09 엘지전자 주식회사 Nat 기반 로컬망에서 범용 ip 전화통신 시스템을지원하는 방법
US7155518B2 (en) 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US7631349B2 (en) 2001-01-11 2009-12-08 Digi International Inc. Method and apparatus for firewall traversal
WO2002057917A2 (en) 2001-01-22 2002-07-25 Sun Microsystems, Inc. Peer-to-peer network computing platform
US6928082B2 (en) 2001-03-28 2005-08-09 Innomedia Pte Ltd System and method for determining a connectionless communication path for communicating audio data through an address and port translation device
US6993012B2 (en) 2001-02-20 2006-01-31 Innomedia Pte, Ltd Method for communicating audio data in a packet switched network
US7050422B2 (en) 2001-02-20 2006-05-23 Innomedia Pte, Ltd. System and method for providing real time connectionless communication of media data through a firewall
WO2002082763A2 (en) 2001-02-20 2002-10-17 Innomedia Pte Ltd. System and method for establishing channels for a real time media streaming communication
US20020138627A1 (en) 2001-03-26 2002-09-26 Frantzen Michael T. Apparatus and method for managing persistent network connections
US7068647B2 (en) 2001-04-03 2006-06-27 Voxpath Networks, Inc. System and method for routing IP packets
US8363647B2 (en) 2001-04-03 2013-01-29 Voxpath Networks, Inc. System and method for configuring an IP telephony device
US7272650B2 (en) 2001-04-17 2007-09-18 Intel Corporation Communication protocols operable through network address translation (NAT) type devices
US20030009561A1 (en) 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US20030033418A1 (en) 2001-07-19 2003-02-13 Young Bruce Fitzgerald Method of implementing and configuring an MGCP application layer gateway
WO2003019870A2 (en) 2001-08-24 2003-03-06 Peribit Networks, Inc. Dynamic multi-point meshed overlay network
US7321925B2 (en) 2001-09-18 2008-01-22 Intel Corporation Load balancing and fault tolerance for server-based software applications
US7302700B2 (en) 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7274684B2 (en) 2001-10-10 2007-09-25 Bruce Fitzgerald Young Method and system for implementing and managing a multimedia access network device
US20030084162A1 (en) 2001-10-31 2003-05-01 Johnson Bruce L. Managing peer-to-peer access to a device behind a firewall
US7370353B2 (en) * 2001-11-05 2008-05-06 Cisco Technology, Inc. System and method for managing dynamic network sessions
US7379465B2 (en) 2001-12-07 2008-05-27 Nortel Networks Limited Tunneling scheme optimized for use in virtual private networks
US7013342B2 (en) 2001-12-10 2006-03-14 Packeteer, Inc. Dynamic tunnel probing in a communications network
US7227864B2 (en) 2001-12-17 2007-06-05 Microsoft Corporation Methods and systems for establishing communications through firewalls and network address translators
US7257630B2 (en) 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7152105B2 (en) 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7664845B2 (en) 2002-01-15 2010-02-16 Mcafee, Inc. System and method for network vulnerability detection and reporting
US20030140142A1 (en) 2002-01-18 2003-07-24 David Marples Initiating connections through firewalls and network address translators
US7133368B2 (en) 2002-02-01 2006-11-07 Microsoft Corporation Peer-to-peer method of quality of service (QoS) probing and analysis and infrastructure employing same
US20030154306A1 (en) 2002-02-11 2003-08-14 Perry Stephen Hastings System and method to proxy inbound connections to privately addressed hosts
AU2003226128A1 (en) 2002-03-27 2003-10-13 First Virtual Communications System and method for traversing firewalls with protocol communications
US7676579B2 (en) 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
US7243141B2 (en) 2002-05-13 2007-07-10 Sony Computer Entertainment America, Inc. Network configuration evaluation
US6674758B2 (en) 2002-06-06 2004-01-06 Clinton Watson Mechanism for implementing voice over IP telephony behind network firewalls
AU2003274400A1 (en) 2002-06-06 2003-12-22 Neoteris, Inc. Method and system for providing secure access to private networks
US7143188B2 (en) 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for network address translation integration with internet protocol security
US20030233471A1 (en) 2002-06-17 2003-12-18 Julian Mitchell Establishing a call in a packet-based communications network
US7277963B2 (en) 2002-06-26 2007-10-02 Sandvine Incorporated TCP proxy providing application layer modifications
US7694127B2 (en) 2003-12-11 2010-04-06 Tandberg Telecom As Communication systems for traversing firewalls and network address translation (NAT) installations

Also Published As

Publication number Publication date
CN1444815A (zh) 2003-09-24
JP3774191B2 (ja) 2006-05-10
GB2365256A (en) 2002-02-13
AU7569701A (en) 2002-02-13
WO2002011400A1 (en) 2002-02-07
JP2004505552A (ja) 2004-02-19
EP1515515A1 (de) 2005-03-16
US8499344B2 (en) 2013-07-30
US20040037268A1 (en) 2004-02-26
CA2415357A1 (en) 2002-02-07
HK1051101A1 (en) 2003-07-18
ATE304773T1 (de) 2005-09-15
CN1198433C (zh) 2005-04-20
GB0018547D0 (en) 2000-09-13
EP1305927A1 (de) 2003-05-02
AU2001275697B2 (en) 2006-11-23
EP1305927B1 (de) 2005-09-14
CA2415357C (en) 2011-08-30
DE60113435D1 (de) 2005-10-20

Similar Documents

Publication Publication Date Title
DE60113435T2 (de) Audio-video-telefonie mit firewalls und netzwerkadressübersetzung
DE60215117T2 (de) Mehrbenutzeranwendungen in multimedia-netzwerken
DE602004010920T2 (de) Verfahren zur Implementierung eines Multimediaprotokolls mit Durchlauf durch eine Netzwerkadressentransformations-Einrichtung
DE10392494B4 (de) Mechanismen zum Bereitstellen von Verbindbarkeit zwischen Netzen unterschiedlicher Adressbereiche
DE10296660B4 (de) Über Netzwerkadressübersetzungs(NAT) -Einrichtungen hinweg betreibbare Kommunikationsprotokolle
DE60028897T2 (de) Verfahren und Vorrichtung zur Umschaltung zwischen zwei Netzwerkzugangstechnologien ohne Unterbrechung der aktiven Netzwerkanwendungen
DE69932798T2 (de) Verfahren und Vorrichtung zum Anschluss eines Hausnetzwerks ans Internet
DE602006000489T2 (de) Konnektivität über stateful firewalls
DE102014015443B4 (de) Telekommunikationsanordnung und Verfahren zum Traversieren einer Application-Layer-Gateway-Firewall beim Aufbau einer RTC-Kommunikationsverbindung zwischen einem RTC-Client und einem RTC-Server
DE10353925B4 (de) Verfahren zum Austausch von Daten zwischen zwei Hosts
EP0924913A1 (de) Verfahren zur Unterstützung von Mobilität im Internet
DE602005000990T2 (de) Verfahren zum Austauschen von Datenpaketen
EP2193649B1 (de) Verfahren und Vorrichtung zur Verbindung paketorientierter Kommunikationsendgeräte
DE60211287T2 (de) Handhabung von Verbindungen, die zwischen Firewalls umziehen
EP1761081A1 (de) Kommunikationssystem, Vermittlungsknoten-Rechner und Verfahren zur Bestimmung eines Kontrollknotens
DE102005043239B4 (de) Verfahren zum Aufbau und Verwalten einer Verbindung
EP1593253A1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
EP1421766B1 (de) Vorabaushandlung von nat-adressen
EP1623559B1 (de) Verfahren zum datenaustausch zwischen netzelementen in netzwerken mit verschiedenen adressbereichen
DE102006030591A1 (de) Verfahren zur Verwaltung von Kommunikationsverbindungen
DE10053951B4 (de) Verfahren und Router zur Einrichtung einer Verbindung über ein IP-orientiertes Netz
DE10250201B4 (de) Verfahren und Vorrichtung zum Austausch von Daten mittels einer Tunnelverbindung
DE60030099T2 (de) Firewall-Vorrichtung
EP4096170B1 (de) Verfahren zur datenübertragung in einem netzwerksystem sowie netzwerksystem
DE102016010359B4 (de) Endanwenderspezifisches virtuelles globales Netzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: TANDBERG TELECOM UK LTD., BOURNE END, BUCKINGH, GB