專利名稱:通信系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及一種處理通信會話的通信系統(tǒng),例如處理多媒體呼叫或語音呼叫的通信系統(tǒng)�����。
本申請?zhí)岢鲆环N發(fā)明����,允許位于不同安全和專用IP數(shù)據(jù)網(wǎng)中的端點(使用一個諸如H.323,SIP或MGCP的實時協(xié)議)能夠相互通信而不會損害各個專用網(wǎng)絡的數(shù)據(jù)保密和數(shù)據(jù)安全����。本發(fā)明涉及的方法和裝置具有與現(xiàn)有的安全功能例如防火墻等以及與防火墻、路由器和代理服務器中可能存在的NAPT(網(wǎng)絡地址端口轉(zhuǎn)換)功能共同工作的優(yōu)點��。本發(fā)明的好處在于可節(jié)省升級這些設備為完全協(xié)議(例如H.323)依從的和配置附加的協(xié)議警覺(protocolaware)(例如H.323)設備的費用�。在本申請中給出的發(fā)明適用于在專用網(wǎng)絡的邊緣可以應用簡單的(1對1)NAT(網(wǎng)絡地址轉(zhuǎn)換)映射的那些配置,和/或適用于在專用網(wǎng)絡的邊緣應用NAPT(網(wǎng)絡地址與端口轉(zhuǎn)換)的配置�����。這2種配置可共存,并且設備可允許在遵循一種配置的專用網(wǎng)絡與遵循另一種配置的專用網(wǎng)絡之間通信��。類似地在單個專用網(wǎng)絡中����,一些終端可以使用一種配置(例如專用室內(nèi)系統(tǒng)),而其它的終端可以使用第二種配置(例如臺式客戶個人計算機)��。注意本文本中的NAT是指所有類型的網(wǎng)絡地址轉(zhuǎn)換����。
本申請中給出的本發(fā)明參照國際電聯(lián)(ITU)H.323標準進行說明,因為它是在包括IP網(wǎng)絡的分組網(wǎng)絡上用于實時多媒體通信的主要標準��。然而�,本發(fā)明也同樣適用于需要動態(tài)地分配端口以傳送雙向信息(例如IETF會話初始協(xié)議(SIP))的其他標準或方法。本發(fā)明的主要好處在于專用網(wǎng)絡基礎設施(防火墻和路由器)不需要知道用于實時通信的協(xié)議�����,并且進和出專用網(wǎng)絡的隧道實時業(yè)務的方法也可以是協(xié)議不可知的��。這使得企業(yè)可以在不考慮協(xié)議的情況下配置設備�����。更不用說為了安全或其他原因一些設備可以提供“協(xié)議”檢驗。
快速發(fā)展的IP(網(wǎng)際協(xié)議)數(shù)據(jù)網(wǎng)絡正在為多媒體和語音通信服務提供商創(chuàng)造新的機會和挑戰(zhàn)����。負責任的電信機構以及下一代電信公司和服務提供商正在數(shù)據(jù)網(wǎng)絡主干中進行空前的投資。同時��,諸如DSL和電纜調(diào)制解調(diào)器之類的寬帶接入技術為廣泛的用戶群帶來了高速的因特網(wǎng)接入���。服務提供商的視力是使用IP數(shù)據(jù)網(wǎng)傳送新的語音、視頻和數(shù)據(jù)業(yè)務到沿高速的因特網(wǎng)接入的桌面��、辦公室和家庭中�����。
H.323標準適用在基于分組網(wǎng)絡上的多媒體通信���,但不保證業(yè)務質(zhì)量�����。已經(jīng)設計出獨立的基礎傳輸網(wǎng)絡和協(xié)議?�,F(xiàn)今IP數(shù)據(jù)網(wǎng)是默認的和普遍存在的分組網(wǎng)����,H.323的大部分(如果不是全部)實施都是在IP數(shù)據(jù)網(wǎng)中進行。用于實時(語音和視頻)通信的其它協(xié)議��,例如SIP和MGCP也使用IP數(shù)據(jù)網(wǎng)來進行呼叫信令和媒體的傳輸���。也期望開發(fā)在IP數(shù)據(jù)網(wǎng)中與實時語音和視頻傳送相關的新應用的新協(xié)議�����。本發(fā)明提出的方法也適用于它們���,并適用于單個會話要求多重業(yè)務流量的其它協(xié)議。
如果來自不同制造商的終端能夠互通操作��,那么用于廣范通信的標準的重要性是基礎�����。在多媒體領域中���,分組網(wǎng)(例如IP數(shù)據(jù)網(wǎng))中實時通信的當前標準是國際電聯(lián)標準H.323�����。H.323是目前相對成熟的標準�����,得到包括諸如微軟�、CISCO和INTEL公司的多媒體通信產(chǎn)業(yè)的支持。例如�����,估計75%的個人計算機安裝了微軟的NetMeeting(商標)程序���。NetMeeting是用于多媒體(語音、視頻和數(shù)據(jù))通信的H.323依從軟件應用程序���。來自不同制造商的設備之間的互通操作性目前也實現(xiàn)了��。超過120個全球范圍的公司參加了由國際多媒體電信聯(lián)合會(IMTC)主辦的最新互通操作性活動��,國際多媒體電信聯(lián)合會是促進多媒體通信設備的互通操作性的獨立機構�����。該活動是定期的活動����,允許制造商檢驗和解決互通性的問題。
至今��,在大量獲取多媒體(特別是視頻)通信方面存在很多障礙����。容易使用、質(zhì)量����、費用和通信帶寬都妨礙著市場的增長。在視頻編碼的技術進步�,普遍存在的低廉的IP接入和在數(shù)據(jù)網(wǎng)中的當前投資結(jié)合與ISDN和電纜調(diào)制解調(diào)器一起的DSL的推出緩解了大部分問題,從而使多媒體通信容易地得到使用�����。
由于H.323定義為標準���,假定存在H.323-H.320網(wǎng)關��,它們位于將H.323轉(zhuǎn)換為H.320的網(wǎng)絡域的邊緣����,實現(xiàn)在專用網(wǎng)之間的廣域上的傳送。因此�,通過IP的H.323的實施集中在單個網(wǎng)絡內(nèi)的通信。
然而����,IP繼續(xù)發(fā)現(xiàn)作為廣域協(xié)議是有利的。越來越多的組織繼續(xù)將它們的全部數(shù)據(jù)網(wǎng)絡建立在IP上���。建立在IP基礎上的高速因特網(wǎng)的接入�����、管理的內(nèi)聯(lián)網(wǎng)、虛擬專用網(wǎng)(VPN)是普遍的����。IP的趨勢是降低H.320成為多媒體協(xié)議的情況。市場的需求是完全以基于IP的H.323代替H.320����。但是或許經(jīng)過WAN(廣域網(wǎng))通過IP傳送實時通信的主要市場驅(qū)動力是語音。采用諸如H.323和SIP的標準,用戶已開始使用他們的計算機將因特網(wǎng)用于廉價的語音呼叫�。這標志著基于IP的全新語音(VoIP)產(chǎn)業(yè)的開始,這個產(chǎn)業(yè)正尋求包括以太網(wǎng)電話�����、IP PBX����,軟切換和IP/PSTN網(wǎng)關的所有連接在企業(yè)與用戶之間無縫的傳送VoIP的新VoIP產(chǎn)品的發(fā)展。H.323�����、SIP和MGCP都期望成為這里的主導標準��。
不幸地���,仍然存在對于現(xiàn)實世界�、H.323和SIP的廣域配置的無法預料的技術障礙�。這些技術障礙涉及在IP數(shù)據(jù)網(wǎng)絡邊界的通信基本設施。
因此�,目前多媒體或基于IP語音通信的成功實施都限制在內(nèi)聯(lián)網(wǎng)或?qū)S霉芾鞩P網(wǎng)絡。
由于兩種IP技術-網(wǎng)絡地址轉(zhuǎn)換(NAT)和防火墻引起很多問題�。當考慮解決這些問題時安全性也是一個問題����。在數(shù)據(jù)網(wǎng)絡上的實時通信的配置通過共享網(wǎng)絡(例如公共因特網(wǎng))�����,企業(yè)必須確保不發(fā)生損害他們的數(shù)據(jù)安全性��。這些問題的當前解決方法請求企業(yè)的外界或外部IP地址公開給企業(yè)期望進行通信的任何人(語音通信通常包括所有人)�����。本文提出的發(fā)明并不遭受這個缺陷�����,因為企業(yè)外部IP地址僅需要‘可信任的’服務提供商知道�,這就是為什么公共因特網(wǎng)已大規(guī)模地發(fā)展。
已經(jīng)引入NAT來解決‘地址短缺’的問題�����。IP網(wǎng)絡中的任何端點或“主機”都具有識別那個端點的“IP地址”�,以便數(shù)據(jù)分組可以正確地發(fā)送或路由選擇到這個端點����,和從這個端點接收的分組可以從它們的始發(fā)位置被識別�����。在限定IP地址字段時�����,沒有人會預測到臺式設備的大量增長����。在多年全球IP發(fā)展之后��,才意識到想要使用IP協(xié)議通信的端點數(shù)量將超過可能來源于地址字段的唯一IP地址的數(shù)量��。為了增加地址字段和使更多的地址可用要求升級整個IP基礎設施����。(工業(yè)上正計劃在一些點采用IPv6處理這些問題)。
目前的解決方法稱為NAT��。第一個NAT解決方法稱為IETF RFC1631中簡單的NAT���,它使用一對一的映射��,產(chǎn)生于萬維網(wǎng)出現(xiàn)之前�����,當時只需要在一個組織內(nèi)的幾個主機(例如電子郵件服務器��,文件傳送服務器)進行到機構外部的通信�����。NAT允許企業(yè)建立專用IP網(wǎng)���,在該IP網(wǎng)中那個企業(yè)內(nèi)的每個端點僅具有該企業(yè)內(nèi)部唯一的地址��,但并不是全球唯一的地址���。這些地址是專用IP地址。這就使得機構內(nèi)的每個主機與該機構內(nèi)的任何其它主機通信(例如地址)��。對于外部的通信���,需要一個公共的或全球唯一的IP地址����。在專用IP網(wǎng)絡的邊緣是具有NAT功能的設備��,它負責公共IP地址與專用IP地址的相互轉(zhuǎn)換��。企業(yè)將具有排他地屬于該企業(yè)的一個或多個公共地址�,但是通常需要少于主機數(shù)量的公共地址,這或者因為僅需要幾個主機進行外部通信或且因為同時的外部通信的數(shù)量較少�����。NAT的更復雜的實施例具有公共IP地址庫���,這些公共IP地址在先到先服務的基礎上動態(tài)地分配給需要進行外部通信的主機�����。在外部設備需要發(fā)送未經(jīng)請求的分組給特定的內(nèi)部設備的情況下要求固定的網(wǎng)絡地址規(guī)則���。
當前,大多數(shù)專用網(wǎng)絡使用在10.x.x.x地址范圍內(nèi)的專用IP地址����。外部通信通常是經(jīng)過服務提供商,該服務提供商經(jīng)過管理的或共享的IP網(wǎng)絡或經(jīng)過公共因特網(wǎng)提供服務����。在公共網(wǎng)絡與專用網(wǎng)絡之間的邊界���,應用NAT將地址改變?yōu)樵跀?shù)據(jù)包經(jīng)過的IP網(wǎng)內(nèi)的唯一地址。簡單的NAT依據(jù)一對一的映射改變整個IP地址��,這種一對一的映射可以是固定的或為通信會話的時間動態(tài)地建立。
網(wǎng)頁服務器��、郵件服務器和外部服務器都是主機的實例��,它們需要靜態(tài)的一對一NAT映射以便允許外部通信接通到它們����。
NAT的結(jié)果是主機的專用IP地址是外部不可見的。這增加了安全的級別�����。
簡單的NAT的擴展附加地使用轉(zhuǎn)換映射的多個端口��,并且通常稱為NAPT(網(wǎng)絡地址端口轉(zhuǎn)換)或PAT(端口地址轉(zhuǎn)換)。每個端口識別在2個主機之間的點對點傳輸連接的一端�。利用大量接入萬維網(wǎng)(WWW),再次出現(xiàn)公共IP地址不足的情況�����,因為目前許多臺式機器需要與專用網(wǎng)的外部進行通信�����。在IETF RFC 1631中規(guī)定的解決辦法允許專用IP地址到公共IP地址的多對一的映射�����,從而代替從專用設備進入到公共活共享網(wǎng)絡的每個連接都使用在公共IP地址上的唯一端口分配(理論上每個IP地址上具有64k的唯一端口)��。由于互聯(lián)網(wǎng)的增長����,PAT是通常的地址轉(zhuǎn)換方法���。
PAT的特性在于動態(tài)地進行專用IP地址/端口映射到公共IP地址/端口的分配����,典型地每次專用設備進行與公共網(wǎng)絡的出境連接。PAT的結(jié)果在于數(shù)據(jù)不能入站傳播���,即從公共網(wǎng)絡到專用網(wǎng)絡��,除非預先出站鏈接的連接已引起這樣的PAT分配已存在���。典型地,PAT設備不進行持久的PAT分配����。在特定的“寂靜”時期已終止后,即當對于那個出站開始的連接已不再接收入站的數(shù)據(jù)時�����,那個連接的PAT分配就不再進行并且該端口自由地分配給新的連接����。
當經(jīng)過公共IP協(xié)議連接的計算機和網(wǎng)絡使得通信更加容易時,公共IP協(xié)議也使得保密和安全性的破壞更加容易��。利用相對少量的計算機技能就可以進入個人的或秘密的數(shù)據(jù)和文件中����,也可以蓄意損害商業(yè)信息����。工業(yè)中對這種攻擊的解決辦法是將防火墻配置在專用網(wǎng)絡的邊界��。
防火墻被設計為限制或‘濾除’可以在專用和公共IP網(wǎng)之間通過的IP業(yè)務的類型���。防火墻可在幾個級別應用的限制通過規(guī)則���。限制可以應用在IP地址����、端口、IP傳輸協(xié)議(例如TCP或UDP)或者在應用中��。限制是不對稱的�。典型地防火墻被編程以使得從專用網(wǎng)絡(防火墻內(nèi)部)到公共網(wǎng)絡(防火墻外部)的通信多于另一方向的通信。
防火墻規(guī)則恰當?shù)膽糜贗P地址是困難的����。任何內(nèi)部的主機(即你的個人計算機)可能要連接到遍布全球的任何外部主機(web服務器)。為了允許進一步的控制���,應用“公知端口”的概念來解決這個問題�。一個端口識別在2個主機之間的點對點傳輸連接的一端?����!肮丝凇笔莻魉汀肮鳖愋偷臉I(yè)務的端口����。因特網(wǎng)分配號碼管理機構IANA規(guī)定多個公知端口和在這些公知端口傳送業(yè)務的類型。例如端口80被指定用于網(wǎng)頁沖浪(HTTP協(xié)議)業(yè)務���,端口25被指定為簡單的郵件傳輸協(xié)議等���。
網(wǎng)頁沖浪的防火墻過濾規(guī)則的實例為任何內(nèi)部IP地址/任何端口號可以使用TCP(傳輸連接協(xié)議)和HTTP(網(wǎng)頁沖浪的應用協(xié)議)連接到任何外部的IP地址/端口80。
連接是雙向的以便業(yè)務可以在同一路徑上從網(wǎng)頁服務器中流回���。該要點是該連接是從內(nèi)部開始的����。
用于電子郵件的防火墻過濾規(guī)則的實例為任何外部IP地址/任何端口號可以使用TCP和SMTP連接到IP地址192.3.4.5/端口25����。
(同時,NAT功能可以改變目的IP地址192.3.4.5為郵件服務器的內(nèi)部地址10.6.7.8�����。)諸如“任何內(nèi)部IP地址/任何端口號可以連接到TCP或UDP的任何外部IP地址/任何端口號,反之亦然”的過濾規(guī)則相當于拆除防火墻和使用直接連接��,因為它是太寬的濾波器���。IT管理者并不贊成這樣的規(guī)則����。
H.323已設計為獨立的基礎網(wǎng)絡和傳輸協(xié)議�。然而,在IP網(wǎng)絡中H.323的實施按照下面主要原理的變換是可能的H.323地址IP地址H.323邏輯信道TCP/UDP端口連接在基于IP的H.323的實施中����,H.323協(xié)議消息作為IP包中的有效負荷使用TCP或UDP傳輸協(xié)議發(fā)送��。許多H.323消息包含始發(fā)端點或目的端點或包含這兩端點的H.323地址���。其它信令協(xié)議諸如SIP也嵌入在信令協(xié)議的有效負荷的IP地址�����。
然而���,問題出現(xiàn)在NAT功能將改變源和目的地主機的視在IP地址(和端口)�,而不改變H.323有效負荷中的H.323地址�����。由于主機使用H.323有效負荷中交換的H.323地址和端口相關各個接收的數(shù)據(jù)包與該呼叫���,這使得H.323協(xié)議中斷�,并需要中間信息處理H.323有效負荷地址����。
由于多媒體通信的復雜性,H.323要求在端點之間開通多個邏輯信道���。呼叫控制�����、容量交換�����、聲頻��、視頻和數(shù)據(jù)都需要邏輯信道��。在只涉及聲頻和視頻的簡單的點對點的H.323多媒體會話中�,至少需要6個邏輯信道。在H.323的IP實現(xiàn)中����,邏輯信道被映射到TCP或UDP的端口連接,其中的許多信道都是動態(tài)地分配的��。
當防火墻功能過濾出在沒有適用規(guī)則的端口中的業(yè)務時����,或者該防火墻是開放的,這使得防火墻的作用失效�����,或者多數(shù)H.323業(yè)務不能通過���。
因此,在端點之間的NAT和防火墻功能都阻止H.323(以及其他實時協(xié)議�,如SIP和MGCP)的通信工作。這典型地是當端點位于不同的專用網(wǎng)絡中的情況����,當一個端點是在專用網(wǎng)而另一個端點是在因特網(wǎng)中時或者當端點是在不同的管理IP網(wǎng)絡的情況���。
因此H.323(和SIP,MGCP等)通信對于防火墻是十分不利的�。防火墻必須變?yōu)镠.323可知的或者一些中間智能必須以安全的方式處理端口的分配。
這個問題的一種解決方法是全部的IP H.323基礎設施升級�。這要求●在每個IP網(wǎng)絡邊界的NAT功能的H.323的升級。NAT功能必須掃描所有的H.323有效負荷并且一致地改變IP地址���。
●在每個IP網(wǎng)絡邊界的防火墻功能的H.323的升級�����。防火墻必須了解和監(jiān)視所有H.323通信���,以使它可打開動態(tài)地分配的端口并且必須過濾在這些端口的所有非H.323的業(yè)務。
●在邊界或在共享IP網(wǎng)絡中采用H.323智能以解析和仲裁地址���。IP地址很少由用戶直接使用�。實際上是使用IP地址的別名����。需要智能解析別名為IP地址����。這個H.323功能包含在稱作道口看守者(Gatekeeper)的H.323實體內(nèi)����。
這種可能的解決方法的缺點是●每個機構/專用網(wǎng)絡必須具有存在的H.323通信的相同級別的升級。
●升級是昂貴的����。必須購買、規(guī)劃和采用新的功能或新的設備����。IT管理者必須學習H.323。
●隨著日益增多地采用技術����,要求比原始的(或許是實驗的)需求更大和更昂貴的初始配置,這種配置的規(guī)模將不可能迅速地適用于對它的需求���。
●連續(xù)的分析H.323數(shù)據(jù)包以解析簡單的NAT和防火墻功能對每個網(wǎng)絡邊界的信號增加了等待時間的負擔��。聲頻和視頻的延遲容限很小。
●由于存在實時通信的多種標準�����,并且這些標準的每個信令協(xié)議是不同的,因此企業(yè)需要多種升級���,一種升級用于應于它想使用的每種協(xié)議�����。
●希望媒介在企業(yè)之間或在公共網(wǎng)絡的企業(yè)與設備之間直接傳播���。這樣的結(jié)果使得企業(yè)的IP地址成為公共的知識。這被認為是一種安全折衷��,因為當任何潛在的攻擊者必須首先查出作為進行攻擊的第一步的企業(yè)的IP地址����。
由于這些問題,H.323協(xié)議不用于有防火墻和/或網(wǎng)絡地址轉(zhuǎn)換(NAT)時的多媒體通信����。一種方法是將H.323系統(tǒng)配置在防火墻和NAT功能的公共側(cè)。這就允許它們使用H.323�����,同時也允許它們保護其網(wǎng)絡的其余部分。這種方法的缺點在于1.用于視頻通信的大多數(shù)普遍存在的設備是臺式個人計算機���。將所有臺式計算機都配置在公共側(cè)是很荒謬的��。
2.不能保護H.323系統(tǒng)免受對防火墻公共側(cè)的攻擊者��。
3.由于只有專用的系統(tǒng)才允許進行H.323通信����,公司不能利用H.323可能普遍存在的特性��。
4.公司將不能完全利用H.323中的數(shù)據(jù)共享的便利���,因為防火墻將阻止H.323系統(tǒng)訪問該數(shù)據(jù)��。打開防火墻以允許從H.323系統(tǒng)進行數(shù)據(jù)轉(zhuǎn)換功能不是任選的��,因為這將允許攻擊者使用H.323系統(tǒng)作為中繼�。
5.在新興的基于IP的語音(VoIP)市場中���,具有直接連接數(shù)據(jù)網(wǎng)絡的電話設備的市場���,例如以太網(wǎng)電話或IP專用小交換機����。依靠臺式的特性��,它們典型地放置在防火墻和NAT之后的專用網(wǎng)絡中�。無需對上面敘述的各種問題的解決方法����,使用這些設備的電話被限制在企業(yè)專用網(wǎng)或內(nèi)聯(lián)網(wǎng)中,或者該電話必須通過IP-PSTN網(wǎng)關到達外部世界����。
使用寬帶連接企業(yè)實現(xiàn)語音和視頻以及數(shù)據(jù)通信的優(yōu)點要求對這些問題的安全解決方案。
本發(fā)明的目的是解決這些問題����。
因此,本發(fā)明提供一種處理與目的通信系統(tǒng)的會話通信的通信系統(tǒng)���,它包括第一本地終端�����,一個外部服務器��,位于第一本地終端與外部服務器之間的一個或多個邏輯信道����,用于傳送在共享通信網(wǎng)絡中的通信會話,所述通信裝置包括第一NAT功能�����,通信會話都必須通過該NAT功能����,其中a)該第一本地終端具有至少一個傳輸?shù)刂罚糜谠撏ㄐ艜?��;b)該第一NAT功能將網(wǎng)絡地址映射應用到在第一終端與共享通信網(wǎng)絡之間連接的傳輸?shù)刂飞?���;c)該系統(tǒng)包括第一委托接口代理���,該委托接口代理代表與外部服務器的通信的第一本地終端����;d)該第一委托接口代理能夠建立在連接外部服務器的一個或多個出站連接的邏輯信道,所述邏輯信道用作在第一委托接口代理與外部服務器之間的控制信道�����;其特征在于e)所述的出站連接是由第一委托接口代理建立的動態(tài)的出站連接�;f)該第一委托接口代理適于在第一本地終端的傳輸?shù)刂放c可識別的邏輯信道之間進行聯(lián)合�����,其中可識別的邏輯信道在第一委托接口代理與外部服務器之間����,所述可識別的邏輯信道是建立在從第一委托接口代理到外部服務器的一個或多個所述動態(tài)出站連接上。
根據(jù)本發(fā)明����,還提供一種處理通信系統(tǒng)中通信會話的方法,該通信系統(tǒng)包括第一本地終端�,一個外部服務器,在第一本地終端與共享網(wǎng)絡之間的第一委托接口代理��,所述通信裝置包括第一NAT功能���,該通信會話都必須通過該NAT功能����,其中該方法包括以下步驟i)將共享通信網(wǎng)絡上的通信會話在在第一本地終端與外部服務器之間的一個或多個邏輯信道上傳送,該第一本地終端具有用于通信會話的至少一個傳輸?shù)刂?��;ii)容許第一NAT功能繼續(xù)將映射在傳輸?shù)刂飞系木W(wǎng)絡地址應用在第一終端與共享通信網(wǎng)絡之間的連接上�����;iii)使用第一委托接口代理代表與外部服務器進行通信的第一本地終端����;iv)使用第一委托接口代理建立到外部服務器的一個或多個出站連接的邏輯信道�,所述邏輯信道用作第一委托接口代理與外部服務器之間的控制信道;該方法的特征在于包括步驟v)使用第一委托接口代理建立與外部服務器的動態(tài)出站的連接����;vi)使用第一委托接口代理在第一本地終端的傳輸?shù)刂放c可識別的邏輯信道之間進行一個或多個聯(lián)合,該可識別的邏輯信道在第一委托接口代理與外部服務器之間�,所述可識別的邏輯信道是建立在從第一委托接口代理到外部服務器中的一個或多個所述動態(tài)的出站連接。
邏輯信道之和提供通信會話�,而出站連接創(chuàng)建了所必需的NAT映射,該NAT映射能夠在該終端與該外部服務器之間進行入站和出站通信�。往返于第一本地終端的通信由第一委托接口代理透明地映射到可識別邏輯信道上。外部服務器與目的通信系統(tǒng)進行通信����,就好像它是第一終端��。因此該通信系統(tǒng)可以用于提供在第一終端與該目的通信系統(tǒng)之間透明的通信方法��,該外部服務器負責向前轉(zhuǎn)發(fā)通信�。
為了允許通過TCP的入站通信�����,預先建立雙向的出站連接以建立NAT映射��。
為了允許通過UDP的入站通信���,發(fā)送探測包來建立NAT映射。
在通信會話期間�,第一NAT功能繼續(xù)使用網(wǎng)絡地址映射到第一委托接口代理與外部服務器之間的連接。
使用普通的多路復用技術���,可識別邏輯信道可以多路復用到一個或多個連接��。
一個傳輸?shù)刂返膶嵗荌P地址加上端口號��。因此�,網(wǎng)絡地址的映射通常是IP地址和/或端口的映射。
在一個本發(fā)明的實施例中�����,第一委托接口代理響應來自外部服務器的請求進行所述聯(lián)合��。
在另一個本發(fā)明的實施例中�����,第一委托接口代理響應由該第一委托接口代理自身產(chǎn)生的請求進行所述聯(lián)合��。
外部服務器本身(可選擇地為第一委托接口代理)也可適用于請求該外部服務器在該外部服務器和該目的通信系統(tǒng)之間通信的所述可識別邏輯信道與該邏輯信道之間進行聯(lián)合�����,該目的通信系統(tǒng)諸如目的地終端�����。
第一本地終端的傳輸?shù)刂纷詈脛討B(tài)地分配����。同樣的,該外部服務器的傳輸?shù)刂芬部梢詣討B(tài)地分配��。
可選擇的���,該外部服務器的傳輸?shù)刂房梢圆皇莿討B(tài)地分配的。
該通信系統(tǒng)可以包括第一防火墻�,通信會話必須通過該防火墻�。然后該第一防火墻被配置為限制在第一本地終端與該共享通信網(wǎng)絡之間的特定類型的通信,但不限制在第一委托接口代理與該外部服務器之間的通信����。
該外部服務器的至少一個傳輸?shù)刂房梢跃哂兄辽僖粋€預先分配(有時稱為“公知的”)的端口。然后���,從第一委托接口代理到該外部服務器的出站連接使用所述預先分配的端口����。
優(yōu)選地����,所有外部服務器的傳輸?shù)刂范季哂蓄A先分配的端口,從第一委托接口代理到該外部服務器的所述出站連接都連接到外部服務器的傳輸?shù)刂?����。這種情況下��,可能是所有的外部服務器的傳輸?shù)刂肪哂兄炼鄡蓚€預先分配的端口�。
該外部服務器預先分配的端口的數(shù)目可以少于或等于動態(tài)分配給終端的端口的總數(shù)。例如�,該外部服務器可以具有三個預先分配的端口,一個用于TCP����,兩個用于UDP。
該通信系統(tǒng)可以包括第二本地終端�����,而該外部服務器是在第一終端與第二終端之間的代理服務器�����,在通信會話期間它作為每個終端對另一個終端的代理�����。
在許多情況下�,可以具有第二防火墻和/或第二NAT功能的第二本地終端�����,該通信會話必須通過該第二NAT功能。第二防火墻則可以配置為限制在第二終端和公共通信網(wǎng)絡之間特定類型的通信����。該外部服務器則具有用于與多個終端通信的邏輯通信端口,例如�����,這些終端包括與第二終端進行通信的一個或多個預先分配的端口�。第二防火墻則可以配置為不限制在第二終端與該代理服務器的預先分配的端口之間的通信,第二委托接口代理用于代表與該外部服務器通信的第二終端動作��。該第二本地終端可以按照上面敘述的類似方法進行與第二委托接口代理的通信會話���。
另外��,第二終端和第二委托接口代理可以連接到第二外部服務器����。外部服務器通過公共或共享網(wǎng)絡進行通信���。
共享通信網(wǎng)絡通常包括公共通信網(wǎng)絡和/或因特網(wǎng)�����。
委托接口代理可以與本地終端共同設置在一起����,或可選擇地,委托接口代理可以遠離本地終端�����。
在每個委托接口代理有一個以上地方本地終端的情況下本發(fā)明也是有用的�。委托接口代理可以同時代表使用相同的或不同的實時(或非實時)協(xié)議的終端動作,例如使用H.323和SIP協(xié)議��。信令網(wǎng)關功能上(例如在H.323和SIP之間)最好設置在該外部服務器或委托接口代理的內(nèi)部�。
附加的特征或功能性(例如服務質(zhì)量和/或通過加密的安全性)可以由委托接口代理和外部服務器透明地提供給端點。
按照國際電信聯(lián)盟的H.323標準這種系統(tǒng)可以用于進行語音或多媒體的呼叫���?���?蛇x擇地����,該系統(tǒng)可以按照因特網(wǎng)工程任務組的SIP標準用于進行語音或多媒體的呼叫。這種系統(tǒng)和方法也可以使用非實時協(xié)議用于經(jīng)過防火墻和NAT建立其他類型的通信會話�,例如文件傳送,以便使它的功能涉及動態(tài)的建立由傳輸?shù)刂匪R別的邏輯信道�����,這些傳輸?shù)刂肥撬鯪AT留下的沒有更改的地址���。而且�,該通信系統(tǒng)可以支持混合的協(xié)議環(huán)境����。
委托接口代理可以與一個端點(例如PC終端)共同設置在一起,或者可以駐留在離開端點�����、它代表動作的分開的設備中�。
這些終端可以適合發(fā)送和/或接收多媒體媒介信號和相關的多媒體控制信號,控制信號被發(fā)送到一個預先分配的端口����,而媒介信號被發(fā)送到其它預先分配的端口。
優(yōu)選地��,至少一個邏輯通信端口是預先分配的端口,所述請求作為開始通信會話的初始請求發(fā)送到預先分配的端口���。
該通信裝置可以適用于經(jīng)過因特網(wǎng)進行語音或至少部分的多媒體呼叫���,在這種情況下,該外部服務器具有一個公共的網(wǎng)際協(xié)議地址���,通過該地址一個或兩個終端與該外部服務器通信����,配置防火墻不限制在終端與該外部服務器的預先分配的端口之間的通信�。
本發(fā)明可應用在具有一對或多對的第一終端和第二終端的情況下。例如����,在一站點的幾個第一語音或多媒體終端可以各自連接到在多個其他位置的對應的其它第二語音或多媒體終端。
本發(fā)明允許位于分開的專用網(wǎng)絡中的兩個終端經(jīng)過公用的公共(或共享)網(wǎng)絡通信�,在公共網(wǎng)絡中一方或兩方的專用網(wǎng)絡經(jīng)過限制特定類型的通信的防火墻和/或NAT連接到公共網(wǎng)絡。同樣地���,本發(fā)明允許專用網(wǎng)絡中的一個終端與公共網(wǎng)絡中的終端通信��,其中這兩個網(wǎng)絡是由限制特定類型的通信的防火墻和/或NAT連接的����。
本發(fā)明僅參照在第一端點與中間服務器之間的操作進行敘述,這里第一端點稱作第一本地終端��,中間服務器稱作外部服務器���。在第二終端與外部服務器之間的操作反映了在第一終端與外部服務器之間的操作。此外���,在第二終端直接連接到公共網(wǎng)絡的位置�����,這等效于連接到專用網(wǎng)絡����,其中防火墻和NAT實施零功能�����。即����,防火墻不限制任何連接���,并且NAT使用雙方相同的地址用于指定的連接。
本發(fā)明涉及在共享或公共網(wǎng)絡中的外部服務器的配置以及在專用網(wǎng)絡中委托接口代理的配置����。該外部服務器可以由公共服務提供商擁有和操作,因此典型地在希望采用H.232的企業(yè)經(jīng)過專用/公共網(wǎng)絡邊界通信之前已經(jīng)提供了�。委托接口代理可以作為終端的一部分來實施,或者它可以獨立于終端實現(xiàn)��,但在與終端相同的設備上操作��,或者它可以安裝在單獨的設備中�����。
當啟動時�����,委托接口代理將建立到外部服務器的TCP連接�����。如果防火墻和/或NAT之一或二者存在的話,這個連接是經(jīng)過防火墻和/或NAT���。這要求防火墻允許到外部服務器的地址和公知端口的出網(wǎng)TCP連接�。NAT能夠提供專用地址到公共地址的映射(反過來也一樣)����,因為該連接是在出站方向建立的。作為建立過程的一部分��,外部服務器可以以委托接口代理鑒別自己���,而且該連接可以加密。在這個連接上操作的協(xié)議允多種信令協(xié)議的多路復用�����。這樣的信令協(xié)議包括H.225 RAS����,H.225呼叫信令,H.245和SIP�����,但并不僅限于此。實際上�����,這個連接對于在第一本地終端與外部服務器之間的所有通信是足夠的��,TCP連接的性能特性是可接受的���。一旦建立了連接�,除了周期性的注冊信息之外��,多路復用的連接將大部分保持休眠狀態(tài)�����,直到進行去話或來話試呼為止����。為了另外的安全性,這個連接可連續(xù)地建立并以一定(短)間隔斷開��。每個連接的建立可潛在地創(chuàng)建NAT功能的不同端口分配和新的加密密鑰����。從而攻擊者利用這個連接的機會減少了�。
然而�����,多路復用連接的傳輸特性并不適合于諸如聲頻和視頻的實時媒介���。這些要求基于UDP的RTP/RTCP連接在委托接口代理與外部服務器之間建立��。入站和出站的RTP/RTCP連接要求在這兩個方向的UDP業(yè)務�����。為了將媒介經(jīng)過外部服務器從終端發(fā)送到公共網(wǎng)絡,外部服務器發(fā)送H.232消息給終端(使用多路復用連接經(jīng)過該委托接口代理)��,以指示該終端發(fā)送它的媒介到委托接口代理�。(這可使用標準的H.232過程通過以地址和端口值填充(populating)H.232消息的各個數(shù)據(jù)字段進行,給出該終端和委托接口代理是H.232呼叫的兩端的假象)然后委托接口代理必須建立通過防火墻和/或NAT到達和來自外部服務器的UDP數(shù)據(jù)交換����。
原則上該委托接口代理能夠通過簡單地發(fā)送UDP數(shù)據(jù)包給外部服務器的地址和公知的端口建立到外部服務器的UDP連接。防火墻可以配置為允許這個業(yè)務通過����,而NAT可以建立專用地址到公共地址的映射,因為該連接是在出站方向建立的。然而����,處理涉及許多UDP連接的多個呼叫的設備(諸如外部服務器)典型地使用IP目的地址和端口,和/或IP源地址和端口將UDP信息與合適的呼叫相關���。在該外部服務器的情況下�,所有UDP數(shù)據(jù)必須發(fā)送到相同的IP地址和一個公知的端口��,以便允許該數(shù)據(jù)經(jīng)過防火墻��。因此��,IP目的地址和端口可以不必用來區(qū)分各種UDP連接����。而且,從該外部服務器的角度來看��,NAT將為發(fā)送的UDP數(shù)據(jù)包分配有效地隨機的IP源地址和端口����。結(jié)果是到達該外部服務器的IP源地址和端口將不對應于該外部服務器(或者為委托接口代理)通過各個信令信道已協(xié)商的任何媒介信道。
為解決該相關問題�����,外部服務器(或者為委托接口代理)指示委托接口代理(經(jīng)過基于TCP的多路復用連接)使用相同IP源與目的地址以及端口給它發(fā)送探測包,委托接口代理將發(fā)送該連接的隨后的UDP數(shù)據(jù)�。該探測包包含由該外部服務器(或者為委托接口代理)選擇的唯一令牌,它允許該外部服務器將接收的探測包與合適的UDP連接相關���。接著���,該外部服務器可以將探測包的IP源和目的地址以及端口與UDP連接相關。知道了這個地址和端口信息后�����,該外部服務器可以將隨后以這些地址和端口接收的UDP數(shù)據(jù)與合適的呼叫相關�,這個合適的呼叫使它能夠正確地發(fā)送到/來自該目的通信系統(tǒng)。在本發(fā)明的另一個實施例中���,令牌信息可以與發(fā)送的每個UDP數(shù)據(jù)包多路復用。此外�����,多路邏輯信道可以在相同的UDP連接上多路傳輸��。采用后一種方法的優(yōu)點是節(jié)約在委托接口代理中的端口使用率。第二個優(yōu)點是減少由UDP標題信息所占用的帶寬�,該標題信息通常在每個RTP/RTCP分組上發(fā)送。由于邏輯性道的多路復用��,在使用較少量的TCP和UDP連接時�,那些連接可以設置在委托接口代理處的預先分配的或公知的端口。這使得防火墻規(guī)則更加緊密��。為了從外部服務器發(fā)送數(shù)據(jù)到委托接口代理�,就必須在NAT內(nèi)進行公共地址到專用地址的映射。由于這是典型地一對多的映射���,NAT典型地不能夠動態(tài)地進行這樣的映射��。然而���,可以看出,當在進行如上面所述的從委托接口代理到外部服務器的出站UDP連接時建立的網(wǎng)絡路徑實際上是雙向的�。因此,為了建立從外部服務器到委托接口代理的UDP連接���,按照建立從委托接口代理到外部服務器的UDP連接的相同步驟����。然而,一旦建立地址和端口的相關����,該外部服務器使用這個信息發(fā)送UDP數(shù)據(jù)而不是接收UDP數(shù)據(jù)。然后�����,委托接口代理發(fā)送UDP數(shù)據(jù)到該終端�����。使用適合的地址和端口值的標準的H.232信令可用來為該終端準備接收來自委托接口代理的UDP數(shù)據(jù)��。
如已經(jīng)敘述的��,第一委托接口代理和外部服務器提供一種通信系統(tǒng)和方法���,它能夠使第一終端通過不更改的NAT和防火墻與目的通信系統(tǒng)的通信�。這是通過以下步驟實現(xiàn)的a)修改該協(xié)議(H.232�����,SIP等)中的地址����,以便該終端與第一委托接口代理通信,就好像它是目的通信系統(tǒng)�����,以及該目的通信系統(tǒng)與外部服務器通信����,就好像它是第一終端;和b)動態(tài)地進行在1)由第一終端使用的邏輯信道與2)從第一委托接口代理到外部服務器的可識別邏輯信道之間的相關���,所述可識別邏輯信道是在從第一委托接口代理到外部服務器的動態(tài)地出站連接上以3)在外部服務器與目的通信系統(tǒng)之間的邏輯信道建立的�����。
對在該協(xié)議內(nèi)的地址的修改可以由外部服務器���、第一委托接口代理或這兩者來進行。無論在什么情況下進行所述的修改�,都需要在第一委托接口代理與外部服務器之間通信的請求和指令,以便可以進行所述的動態(tài)相關����。這些請求和指令在第一委托接口代理(客戶)與外部服務器(服務器)之間的客戶-服務器協(xié)議中傳送��,所述客戶-服務器協(xié)議在控制信道上傳送���,它也可以在從第一委托接口代理到外部服務器的出站連接上傳送。
當外部服務器負責進行該協(xié)議的地址修改時�����,認為第一委托接口代理是客戶—服務器協(xié)議的主裝置����,而該外部服務器是從屬的。
當?shù)谝晃薪涌诖砗屯獠糠掌鞫哌M行協(xié)議修改時����,它們可以協(xié)商或配置為一個是主裝置,而另一個是從屬的����。
由于用于一個或多個呼叫的來自第一委托接口代理的一個或多個出站連接可以到達在該外部服務器的相同的傳輸?shù)刂罚⑶宜龅某稣具B接可能已通過使得出站連接的源地址隨機化的一個或多個NAT�,因此,包含公知標識符的探測包被用于建立所述的出站連接��,所述識別符在第一委托接口代理與外部服務器之間(反之亦然)進行交換。所述識別符使外部服務器能夠完成它需要正確地發(fā)送該呼叫到/來自該目的通信系統(tǒng)的相關���。
本發(fā)明將通過實例并參照附圖進行敘述。
圖1是根據(jù)本發(fā)明在兩個企業(yè)之間進行語音或多媒體呼叫的通信系統(tǒng)的示意圖�,其中該委托接口代理與端點是共同放置;圖2是與圖1類似的示意圖�,除了該委托接口代理遠離該端點之外;和圖3是圖1和圖2的通信系統(tǒng)的示意圖�����,顯示在出站連接上用于出站和入站通信的邏輯信道���,這些邏輯信道位于本地終端與外部服務器之間的一個企業(yè)中�����。
參照圖1敘述的例子中提出對整個H.232升級的替代方案���。圖1顯示具有第一企業(yè)2和第二企業(yè)4的通信系統(tǒng)1,它們每個包括專用網(wǎng)6�����,8,這兩個專用網(wǎng)都具有一個或多個H.232終端10���,12�。每個專用網(wǎng)6���,8具有符合在1 0.x.x.x地址范圍內(nèi)的專用IP地址�。專用IP地址14����,16可以通過通常的DHCP程序從靜態(tài)分配或動態(tài)分配產(chǎn)生。在專用網(wǎng)6����,8中包括委托接口代理11,13�,分別代表終端10,12動作����。如果委托接口代理都沒有與他們各自的終端共同放置,那么該委托接口代理將具有在它們各自專用網(wǎng)絡14��,16的范圍內(nèi)的唯一的IP地址���。在這種情況下��,每個委托接口代理11���,13可以代表多路終端10,12動作��。在圖1中��,委托接口代理表示為共同放置�,而在圖2中它們表示為不是共同放置。外部通信是經(jīng)過共享的�、管理的或公共的因特網(wǎng)20進行的。為進行外部通信����,第一企業(yè)2具有一個或多個公共的IP地址22,例如在192.1.1.1開始的范圍中�����,而第二企業(yè)4具有一個或多個公共的IP地址24���,例如在206.1.1.1開始的范圍中�����。每個企業(yè)具有路由器32��,34���,用于將網(wǎng)絡地址端口轉(zhuǎn)換(NAPT)應用于在內(nèi)部的IP地址14�,16以及在這些地址(專用)上的端口號與一個外部的IP地址22����,24以及在選擇的IP地址(公共)的端口號之間的動態(tài)映射。
專用網(wǎng)6�����,8可選擇地在它們邊界以防火墻功能26���,28進行保護���。防火墻功能以表格1中所示的規(guī)則進行配置,以允許諸如基于H.232的實時通信�����。這些規(guī)則考慮了在早期發(fā)明中提出的兩個或多個的新的公知端口,稱作X��,Y和Z����。在實踐中端口Z可以等效于X或Y。
表1
在表1中��,理想地根據(jù)由IANA同意的標準記錄列出的端口號X�,Y和Z的端口號�����。具有工業(yè)標準端口的這些端口的優(yōu)點在于諸如防火墻和路由器的中間設備可以獲知相關的媒介是實時業(yè)務����,并能夠進行合理的處理,例如路由器可以給它較高優(yōu)先級傳送以便減少延遲�����。
為了使第一企業(yè)2中的H.232終端10能夠與第二企業(yè)4中的其他H.232終端12通信���,必須有與外部服務器40連接的共享網(wǎng)絡20����,例如經(jīng)過路由器38連接。外部服務器具有公共的IP地址44�����,例如為45.6.7.8�����。外部服務器還具有新的公知的端口號X�����,Y和Z 46�����,它們必須預先由IANA同意并登記�。
圖3顯示從第一終端10,第一委托接口代理11��,第一防火墻26��,第一NAPT路由器32以及外部服務器40觀看的各種實體之間的通信路徑��。該圖顯示經(jīng)過防火墻26和NAPT路由器32在委托接口代理11與外部服務器40之間的多路復用連接51。在多路復用連接51內(nèi)是一個或多個邏輯信道52���,53�����。其中之一是控制信道52�,而另一個信道53傳送信令協(xié)議��,諸如H.225 RAS�����,H.225呼叫信令��,H.245�,SIP和MGCP��。作為在下面敘述的操作的一部分�,委托接口代理11將探測包55發(fā)送給外部服務器40,并建立在終端10與外部服務器40之間的UDP連接56�,57。一個或多個邏輯信道可以多路復用到UDP連接56���,57����,以便傳送諸如RTP和RTCP的媒介。
委托接口代理11可以根據(jù)操作要求以多種模式之一操作��。原則上它可以是協(xié)議不可知的或協(xié)議可知的����。如果它是協(xié)議不可知的,外部服務器40將命令委托接口代理11打開和關閉任何需要的UDP插口���。這是最靈活的模式���,因為它允許采用新協(xié)議的終端增加到專用網(wǎng)絡中,而不需要升級委托接口代理11�。然而,沒有適當?shù)恼展?��,當?shù)谌匠鲇诓徽數(shù)哪康闹甘疚薪涌诖泶蜷_UDP信道時��,這將出現(xiàn)安全威脅�����。由于這個原因��,如果采用這個模式�,建議該委托接口代理11至少執(zhí)行一些形式的審查。如果委托接口代理11是協(xié)議可知的�����,那么它可以在由外部服務器40命令時分配端口����,而不用執(zhí)行中繼功能直到它觀測到適當?shù)膮f(xié)議信令為止,以指示這些端口正被用于許可的應用�。而且,在委托接口代理11是協(xié)議可知時�,不需要外部服務器是協(xié)議可知的,因為現(xiàn)在委托接口代理具有所有的智能��,根據(jù)該智能請求外部服務器進行必要的相關����,以便它能夠提供在邏輯信道與目的通信系統(tǒng)(例如呼叫)之間的正確轉(zhuǎn)發(fā)����,這些邏輯信道是建立在從委托接口代理到外部服務器的出站的連接上��。這個模式更安全的���,但考慮到采用新的應用或應用升級則較不靈活。為了簡便起見���,下面敘述的實例中假定委托接口代理11是在協(xié)議不可知的模式操作�����。
當啟動委托接口代理11時�����,通過開始到外部服務器44�����,46的地址和端口的出站TCP連接���,它建立多路復用連接51作為到外部服務器40的通信信道。(典型地這種連接是驗證和加密的�,但這些內(nèi)容超出本申請的范圍。)多路復用連接51能夠傳送屬于多個TCP和UDP會話52,53的信息��。在多路復用連接51內(nèi)的一些邏輯信道是靜態(tài)地分配的�����,特別是控制信道52��。其他的邏輯信道可以在出現(xiàn)需要時動態(tài)地建立����。一些邏輯信道53由委托接口代理11轉(zhuǎn)接到終端10或從終端轉(zhuǎn)接。利用每個這種邏輯信道/委托接口代理11(或取決于實現(xiàn)為外部服務器)相關在委托接口代理11與終端10之間使用特定TCP或UDP連接的IP地址和端口��。換句話說����,委托接口代理進行在終端的傳輸?shù)刂放c在它自身邏輯信道一端的傳輸?shù)刂分g的相關。
作為初始配置的一部分�,外部服務器40可以指示委托接口代理11建立多個插口,以偵聽注冊信息和來自終端10的去話呼叫��。
如果終端10隨后試圖向網(wǎng)關或服務器登記���,這種消息(H.225 RAS,SIP寄存器等)可以發(fā)送到委托接口代理11。委托接口代理11經(jīng)過邏輯信道52或53將該登記消息轉(zhuǎn)發(fā)到外部服務器40��。使用反向路由發(fā)送所有的響應�����。外部服務器40將存儲終端專用傳輸?shù)刂?4以及標識符或接收登記的多路復用連接51的傳輸?shù)刂?�。當出現(xiàn)需要時���,這個信息足夠?qū)碓捄艚修D(zhuǎn)發(fā)到該終端��。
為了建立來話呼叫�,外部服務器40需要經(jīng)過委托接口代理11建立到達終端10的呼叫控制信道(H.323或SIP的H.225呼叫控制)��。如果在外部服務器40與委托接口代理11之間并不存在合適的邏輯信道53����,這種邏輯信道是用具體例子說明的。作為這個過程的一部分���,指定終端的專用傳輸?shù)刂?IP地址和端口)14���,委托接口代理11將建立到該專用傳輸?shù)刂返腡CP或UDP連接�。需要建立邏輯信道53的消息使用控制邏輯信道52在外部服務器40與委托接口代理11之間進行交換��。
一旦建立用于呼叫控制信令的邏輯信道����,外部服務器40可以發(fā)送H.323/SIP建立呼叫信息(H.323的建立,SIP的邀請等)給委托接口代理11���。委托接口代理則使用TCP或UDP連接54將這個消息轉(zhuǎn)發(fā)給終端10�,TCP或UDP連接54是在創(chuàng)建邏輯信道53時建立的����。
在H.323的情況下,在外部服務器40與終端10之間可能需要建立H.245連接�����。這個連接要連接到的終端10內(nèi)的地址包含在由終端10發(fā)送回給外部服務器40的響應中��。如果外部服務器40選擇建立這樣的H.245會話��,那么它以建立與呼叫信令信道相同的方式建立新的邏輯信道53�。作為這個過程的一部分,委托接口代理11將建立到終端響應中指定的專用IP地址和端口的TCP連接�����。
對于去話呼叫�����,當終端10連接和發(fā)送創(chuàng)建呼叫信息(H.323的建立���,SIP的邀請等)到委托接口代理11時�����,可以在終端10與外部服務器40之間建立信令路徑�����。如果在多路復用連接51內(nèi)并不存在這種連接類型的邏輯信道53�,那么這種邏輯信道可以使用控制信道52由委托接口代理11建立���。然后委托接口代理11將消息中繼到外部服務器40����。
如果要求去話呼叫的單獨的H.245連接�,外部服務器40將在多路復用連接51內(nèi)建立新的邏輯信道53�����,并指示委托接口代理11建立偵收插口����。所建立的插口的地址和端口值返回給外部服務器40���,它包括在響應該建立消息中發(fā)送的H.323信令中�����。這個信息使得終端10能夠連接到由委托接口代理11所創(chuàng)建的偵收插口�����。
一旦建立所需的來話或去話的呼叫控制路徑�����,可能需要建立出站和入站的媒介路徑�����。如前所述�,所有當前定義的基于IP的多媒體應用(包括H.323,SIP和MGCP)的媒介路徑都使用RTP���。RTP是基于UDP的��,并且單向RTP連接要求建立前向和反向的UDP路徑����。因此��,需要經(jīng)過委托接口代理11建立從終端10到外部服務器40的UDP路徑���,以及再經(jīng)過委托接口代理11從外部服務器40到終端10的UDP路徑。此外��,RTP和RTCP連接要求在它們使用的端口之間的固定關系���。因此��,除了能夠每次打開單個端口之外��,還必須能夠打開UDP端口對�,該端口對具有必要的RTP/RTCP端口號相關����。因此�,當下面的內(nèi)容敘述打開單個連接時��,相同的原理可適用于同時請求和打開端口對���。
下面的討論假定使用H.323協(xié)議���。協(xié)議消息相對控制消息的順序?qū)τ谄渌麉f(xié)議(諸如SIP和MGCP)可以不同,但原理是相同的���。
為了建立在終端10與外部服務器40之間的UDP路徑���,外部服務器40指示委托接口代理11打開終端10可以連接的UDP端口(或端口對)。外部服務器40也指定一個令牌�����,委托接口代理11將該令牌和該連接相關�����。
在成功的打開端口時,委托接口代理11給外部服務器40指示該端口的標識���。接著外部服務器能夠發(fā)出所需的信令命令以便打開媒介信道(如在H.323情況下的H.245開放邏輯信道)�,該信道包含在委托接口代理11上的專用IP地址和端口����,終端10將它的UDP數(shù)據(jù)發(fā)送到委托接口代理11。在接收這個命令時����,使用預先用于此目的建立的連接�����,委托接口代理將該命令中繼到該終端�����。
終端10現(xiàn)在可以開始發(fā)送RTP和RTCP UDP數(shù)據(jù)包56到委托接口代理11��。然而���,在轉(zhuǎn)發(fā)這些數(shù)據(jù)包到外部服務器40之前�,委托接口代理11必須發(fā)送探測包55,該探測包55包含在初始配置該連接時由外部服務器40指定的令牌�����。除了建立在NAPT中的專用地址到公共地址的映射外��,令牌的存在允許外部服務器40將UDP數(shù)據(jù)包57與正確的邏輯媒介信道相關����,UDP數(shù)據(jù)包57是從這些探測包55的信源接收的。注意�����,最好盡可能長的延期發(fā)送探測包55�����,假如它們過早地發(fā)送�,那么在NAT中創(chuàng)立的地址映射可能在發(fā)送任何媒介數(shù)據(jù)56前超時。而且�����,必須知道�,當是UDP時,探測包55可能丟失。因此需要具有為指定的連接發(fā)送一個以上的探測包55的能力��。一旦發(fā)送了探測包55�����,委托接口代理可以將接收的UDP數(shù)據(jù)56中繼到外部服務器40(作為項目57)�����?��?蛇x擇地��,令牌信息可以多路復用到被發(fā)送的每個UDP數(shù)據(jù)包����。此外����,多路邏輯信道可以多路復用到一個或多個UDP連接��。
操作的方法與入站的UDP連接類似���。外部服務器40指示委托接口代理11打開可以用來發(fā)送UDP數(shù)據(jù)到終端10的端口(或端口對)�。委托接口代理11通知外部服務器40這個端口的標識。外部服務器40則可以包含在協(xié)議特定信令命令中的這個信息��,以便打開經(jīng)過委托接口代理11發(fā)送到終端10的媒介信道(例如在H.323情況下的H.245開放邏輯信道)�。終端10將應答這個命令,為該連接提供它要接收UDP數(shù)據(jù)的專用IP地址和端口�����。這個消息中繼回到外部服務器40��。然后外部服務器40可以通知委托接口代理11對該連接要中繼UDP數(shù)據(jù)的地址�。而且,為了建立NAT中的公共地址到專用地址的映射�,外部服務器40請求委托接口代理11為該連接發(fā)送探測包55到包含令牌的外部服務器40。這就建立了專用地址到公共地址的映射��,反過來可以作為在相反方向發(fā)送的數(shù)據(jù)的公共地址到專用地址的映射���。外部服務器40使用探測包55中的令牌確定對于這個會話57應該發(fā)送UDP數(shù)據(jù)到那個NAT地址和端口�。外部服務器40現(xiàn)在可以開始發(fā)送UDP媒介到該地址���。NAT將這個地址中繼到委托接口代理11����,它又中繼該地址到終端10(作為項目56),從而完成該連接����。
當不再需要UDP連接時,外部服務器40將指示委托接口代理11關閉相關的插口���。當沒有數(shù)據(jù)通過它們時�,NAT中的任何專用地址到公共地址的映射最終地超時�。
在本發(fā)明的這個說明中,我們假定外部服務器是具有單一IP地址的單一設備����。在本發(fā)明的其它實施例中,‘外部服務器’可以是多個協(xié)同操作的設備�����。此外��,外部服務器設備可以每個都具有一個或多個IP地址���。在使用多個IP地址的地方���,通常的實踐是從單個子網(wǎng)絡中分配它們,則防火墻規(guī)則的編程變?yōu)橹付ǖ竭_和來自子網(wǎng)絡的允許的端口���,而不是單個的IP地址�����。
注意���,H.323終端的專用IP地址和端口號實際上可以與它映射的公共IP地址和端口號相同,在這種情況下映射是透明的�。
上面敘述的方法的優(yōu)點在于● NAT和防火墻功能不需要進行升級。
●信號的等待時間保持最小��。
●機構只需要協(xié)議不可知的委托接口代理�����,委托接口代理可與任何適合的實時協(xié)議一起使用���。
●企業(yè)的IP地址不會通過與該企業(yè)進行呼叫而變?yōu)楣仓赖摹?br>
●服務質(zhì)量和其他基于使用的政策(例如寬帶應用)可以逐件地實施�����,而不需要單一的一致的端到端的解決方法�。例如,外部服務器可以指示委托接口代理處理在具有特定QOS級別的呼叫內(nèi)一個媒介流�,使用適合于委托接口代理與外部服務器之間連接的方法,外部服務器可以將它映射到核心網(wǎng)絡中它可用的相應QOS級別�。同樣,加密的方法可以使用在委托接口代理與同安全裝置之間�����,與用于該呼叫的其他部件(支線)的安全機制無關��。
總之���,本發(fā)明提供允許設置在專用IP網(wǎng)絡中的H.323(或其他實時協(xié)議適應的端點)終端的方法和系統(tǒng)不必兼顧現(xiàn)有的安全過程和措施�����;不需要升級現(xiàn)有的防火墻�,路由器和代理�����;以及允許全部NAT都應用到IP連接中�,無需翻譯或理解所使用的通信協(xié)議的NAT功能。使用一個共享或公共的IP網(wǎng)絡�,本發(fā)明也允許在一個專用網(wǎng)絡中的標準的H.323設備經(jīng)過協(xié)議獨立的委托接口代理和再經(jīng)過H.323代理服務器與在相同或不同的專用和/或公共的IP網(wǎng)絡中的其他H.323終端進行通信。
因此機構能夠預訂共享IP網(wǎng)絡中的共享資源��。成本保持最小而安全性不受損害�。
權利要求
1.一種處理與目的通信系統(tǒng)的會話通信的通信系統(tǒng),它包括第一本地終端�,一個外部服務器,位于第一本地終端與外部服務器之間的一個或多個邏輯信道��,用于傳送在共享通信網(wǎng)絡中的通信會話���,所述通信裝置包括第一NAT功能�����,通信會話都必須通過該NAT功能�����,其中i)該第一本地終端具有至少一個傳輸?shù)刂?���,用于該通信會話��;ii)該第一NAT功能將網(wǎng)絡地址映射應用到在第一終端與共享通信網(wǎng)絡之間連接的傳輸?shù)刂飞希籭ii)該系統(tǒng)包括第一委托接口代理�,該委托接口代理代表與外部服務器的通信的第一本地終端;iv)該第一委托接口代理能夠建立在連接外部服務器的一個或多個出站連接的邏輯信道���,所述邏輯信道用作在第一委托接口代理與外部服務器之間的控制信道�����;其特征在于v)所述的出站連接是由第一委托接口代理建立的動態(tài)地出站連接����;vi)該第一委托接口代理適于在第一本地終端的傳輸?shù)刂放c可識別的邏輯信道之間進行聯(lián)合���,其中可識別的邏輯信道在第一委托接口代理與外部服務器之間���,所述可識別的邏輯信道是建立在從第一委托接口代理到外部服務器的一個或多個所述動態(tài)出站連接上。
2.一種處理通信系統(tǒng)中通信會話的方法��,該通信系統(tǒng)包括第一本地終端��,一個外部服務器�,在第一本地終端與共享網(wǎng)絡之間的第一委托接口代理,所述通信裝置包括第一NAT功能,該通信會話都必須通過該NAT功能����,其中該方法包括以下步驟i)將共享通信網(wǎng)絡上的通信會話在第一本地終端與外部服務器之間的一個或多個邏輯信道上傳送,該第一本地終端具有用于通信會話的至少一個傳輸?shù)刂?;ii)容許第一NAT功能繼續(xù)將映射在傳輸?shù)刂飞系木W(wǎng)絡地址應用在第一終端與共享通信網(wǎng)絡之間的連接上�;iii)使用第一委托接口代理代表與該外部服務器進行通信的第一本地終端;iv)使用第一委托接口代理建立到該外部服務器的一個或多個出站連接的邏輯信道�����,所述邏輯信道用作第一委托接口代理與外部服務器之間的控制信道�����;該方法的特征在于包括步驟v)使用第一委托接口代理建立與該外部服務器的動態(tài)出站的連接�����;vi)使用第一委托接口代理在第一本地終端的傳輸?shù)刂放c可識別的邏輯信道之間進行一個或多個聯(lián)合����,該可識別的邏輯信道在第一委托接口代理與該外部服務器之間,所述可識別的邏輯信道是建立在從第一委托接口代理到該外部服務器中的一個或多個所述動態(tài)地出站連接����。
3.根據(jù)權利要求2所述的方法�����,其中第一委托接口代理響應來自外部服務器的請求建立所述的相關�。
4.根據(jù)權利要求2所述的方法���,其中第一委托接口代理響應由第一委托接口代理自身產(chǎn)生的請求建立所述的相關��。
5.根據(jù)權利要求2至4的任一個權利要求所述的方法��,其中該外部服務器本身(或替代地第一委托接口代理)適用于請求該外部服務器進行在所述可識別邏輯信道與同諸如目的終端的目的通信系統(tǒng)通信的邏輯信道之間的相關�����。
6.根據(jù)權利要求2至5的任一個權利要求所述的方法��,其中該通信系統(tǒng)包括在控制信道上的客戶-服務器協(xié)議�����,其特征在于i)控制信道的客戶-服務器協(xié)議用于啟動由第一終端使用的通信的(a)邏輯信道與在第一委托接口代理與該外部服務器之間的(b)可識別邏輯信道的動態(tài)相關�,與在該外部服務器與目的通信系統(tǒng)之間通信的(c)邏輯信道的動態(tài)相關����,所述可識別邏輯信道是建立在從第一委托接口代理到該外部服務器的一個或多個動態(tài)的出站連接��,結(jié)果看起來該第一終端位于該外部服務器的傳輸?shù)刂?���,而該目的通信系統(tǒng)位于第一委托接口代理的傳輸?shù)刂贰?br>
7.根據(jù)權利要求6所述的方法���,其中該外部服務器適用于是客戶-服務器協(xié)議的主外部服務器,而且也修改在實時(或非實時)協(xié)議中傳遞的傳輸?shù)刂?,以便該第一終端與第一委托接口代理進行通信,就好像它是目的通信系統(tǒng)��,以及該目的通信系統(tǒng)與第一終端進行通信�,就好像它是第一終端。
8.根據(jù)權利要求6所述的方法����,其中第一委托接口代理適用于是客戶-服務器協(xié)議的主第一委托接口代理,而且也修改在實時(或非實時)協(xié)議中傳遞的傳輸?shù)刂?���,以便該第一終端與第一委托接口代理進行通信,就好像它是該目的通信系統(tǒng)��,以及該目的通信系統(tǒng)與第一終端進行通信,就好像它是第一終端��。
9.根據(jù)權利要求2至8的任一個權利要求所述的方法����,其中第一本地終端的傳輸?shù)刂肥莿討B(tài)地分配的。
10.根據(jù)權利要求2至9的任一個權利要求所述的方法����,其中該外部服務器的傳輸?shù)刂肥莿討B(tài)地分配的。
11.根據(jù)權利要求2至9的任一個權利要求所述的方法��,其中該外部服務器的傳輸?shù)刂凡皇莿討B(tài)地分配的����。
12.根據(jù)權利要求2至11的任一個權利要求所述的方法,其中該通信系統(tǒng)包括第一防火墻���,通信會話必須通過該防火墻���,該第一防火墻配置為限制在第一本地終端與共享通信網(wǎng)絡之間特定類型的通信,但不配置限制在第一委托接口代理與該外部服務器之間的通信����。
13.根據(jù)權利要求2至12的任一個權利要求所述的方法��,其中該外部服務器的至少一個傳輸?shù)刂肪哂兄辽僖粋€預先分配的端口��,并且從第一委托接口代理到該外部服務器的出站連接使用所述預先分配的端口��。
14.根據(jù)權利要求13所述的方法��,其中該外部服務器的所有傳輸?shù)刂范季哂蓄A先分配的端口����。
15.根據(jù)權利要求14所述的方法����,其中該外部服務器的所有傳輸?shù)刂肪哂兄炼鄡蓚€預先分配的端口�。
16.根據(jù)權利要求2至15的任一個權利要求所述的方法,其中該委托接口代理的所有傳輸?shù)刂范际莿討B(tài)地分配的����。
17.根據(jù)權利要求2至15的任一個權利要求所述的方法,其中該委托接口代理的至少一個傳輸?shù)刂肥褂妙A先分配的端口��。
18.根據(jù)權利要求2至15的任一個權利要求所述的方法��,其中該委托接口代理的所有傳輸?shù)刂范际褂妙A先分配的端口���。
19.根據(jù)權利要求2至18的任一個權利要求所述的方法���,其中該通信系統(tǒng)包括第二本地終端�����,而該外部服務器是在第一終端與第二終端之間的代理服務器��,它在通信會話期間對于每個終端作為另一終端的代理���。
20.根據(jù)權利要求2至18的任一個權利要求所述的方法,其中該通信系統(tǒng)包括第二本地終端和第二外部服務器��,該第二外部服務器作為第二本地終端的代理����,并且在第一外部服務器與第二外部服務器之間的通信是經(jīng)過公共網(wǎng)絡或共享網(wǎng)絡。
21.根據(jù)權利要求2至20的任一個權利要求所述的方法��,其中該共享通信網(wǎng)絡包括該公共通信網(wǎng)絡����。
22.根據(jù)權利要求2至21的任一個權利要求所述的方法,其中該共享通信網(wǎng)絡包括因特網(wǎng)����。
23.根據(jù)權利要求2至22的任一個權利要求所述的方法����,其中該委托接口代理與該本地終端共同放置�����。
24.根據(jù)權利要求2至22的任一個權利要求所述的方法�����,其中該委托接口代理遠離該本地終端�。
25.根據(jù)權利要求2至24的任一個權利要求所述的方法,其中有一個以上的本地終端用于委托接口代理���。
26.根據(jù)權利要求2至25的任一個權利要求所述的方法,其中該委托接口代理同時代表使用不同的實時和/或非實時協(xié)議的終端動作�����。
27.根據(jù)權利要求2至26的任一個權利要求所述的方法����,其中該外部服務器同時代表使用不同的實時和/或非實時協(xié)議的終端和/或委托接口代理動作�。
全文摘要
本發(fā)明涉及處理諸如多媒體呼叫或語音呼叫的通信會話的通信系統(tǒng)(1)�����。通信系統(tǒng)(1)包括本地終端(10)�����,外部服務器(40)�,在終端(10)與共享網(wǎng)絡(20)之間的委托接口代理(PIA)(11)。通信裝置包括NAT功能(32)��,通信會話必須通過NAT功能�。通信會話通過終端(10)與外部服務器(40)之間的一個或多個邏輯信道在網(wǎng)絡(20)傳遞,在通信會話期間第一NAT功能(32)將網(wǎng)絡地址映射在終端傳輸?shù)刂?��。PIA(11)在與外部服務器的通信中代表終端(10)動作并建立到服務器的出站連接的邏輯信道作為PIA(11)和服務器(40)之間的控制信道�。PIA(11)建立到服務器(40)的動態(tài)出站連接����,并響應服務器或PIA(11)自身的請求進行在終端傳輸?shù)刂?14)與在PIA(11)和服務器(40)之間的可識別邏輯信道之間的一個或多個相關。這些可識別信道建立在從PIA(11)到服務器(40)的一個或多個動態(tài)出站連接上��。
文檔編號H04L29/12GK1470119SQ0181722
公開日2004年1月21日 申請日期2001年11月29日 優(yōu)先權日2000年11月30日
發(fā)明者斯蒂芬·邁克爾·里德, 斯蒂芬 邁克爾 里德 申請人:瑞吉威系統(tǒng)及軟件有限公司