用于防火墙穿越的设备和方法

专利名称：用于防火墙穿越的设备和方法
用于防火墙穿越的设备和方法
交叉引用
本申请涉及2003年9月8日提出的美国专利申请系列号 NO.10/657，813，其与本申请一起净皮转让给同一受让人，并以此全文结合 与此作为参考。
背景技术：
譬如那些用于企业和家庭网络的防火墙、网络地址转换(NAT)、 以及网络地址端口转换(NAPT)设备，通常是基于阻止来自外部源端的 请求的数据安全模式。具体而言，从由受设备所保护的网络(例如，从 该设备的专用侧)接收的数据请求通常被提供服务，但是该受保护的网 络外部的请求(例如，来自该设备的公共侧)被阻塞。由于假定有效的 数据请求是从受保护的网络的内部发起的，并且包含容易利用的地址信 息，这不是问题。
因此，这些设备对某些类型的请求和消息i殳立了屏障，包括外部发 起的具有内埋地址信息的请求和消息，比如那些被某些对等通信和媒体 应用(例如，因特网协议语音(VoIP))所使用的请求和消息。防火墙 和NAT/NAPT设备可能不仅仅阻塞VoIP连接和类似业务，而且还可能 向服务提供商摒弃端对端分布VoIP的能力，并且防止服务提供商监控、 升级或者重新配置位于这些设备的专用侧的设备(例如，IP电话)。
因此，所需要的是一种用于解决这种问题的设备和方法。


图l是用于穿越防火墙设备的方法的实施例的流程图。 图2是其内可以实现图1的方法的网,系结构的一个实施例图。 图3是可以在图2的网,系结构内发生的数据流的一个实施例的 序列图。
图4是可以在图2的网,系结构内发生的数据流的另一个实施例
的序列图。
具体实施例方式
^/〉开涉及通信，尤其涉及用于穿越防火墙的设备和方法。然而， 应当理解的是，以下的公开提供了许多不同的实施例或实例。为了简化 ^/>开，下面描述组件和设备的特定实例。当然，这些仅仅是实例并且 不意欲受到限制。另外，本公开在各个实例中可以重复附图标记和/或字 母。这种重复是为了简单明了起见，并且在本质上不指明所讨论的各种 实施例和/或配置之间的关系。
参考图1，在一个实施例中，方法IOO可以被用于穿越防火墙设备
以维持被防火墙设备分离的两个设备(例如，IP电话和寄存器)之间的 注册。为了方便起见，在此使用的"防火墙设备"这一术语包括提供防火
墙功能的设备，以及具有网络地址转换(NAT)和/或网络地址端口转换 (NAPT)功能的设备。在之前结合的美国专利申请系列号No,10/657，831 中提供了 NAT和NAPT功能更为详细的讨论。如同稍后以特定实例更 详细的描述地那样，方法100可以通过包含在防火墙i殳备内，分离的设 备内，或者跨越多个设备分布的硬件和/软件来执行。
尽管下面的描述涉及基于会话发起协议(SIP)的消息收发，应当 理解的是，各种实施例可应用于其它协议，比如MEGACO， H.323，以 及MGCP。此外，可以使用包括音频、视频和传真的各种媒体类型。
在该实例中，应当理解的是，IP电话之前已经向寄存器注册，并且 注册消息(例如， 一个或多个分组或数据^L)将要更新或保持现有的注 册，而不是获得原始注册。如果该注册消息不是在由寄存器定义的超时 周期(例如，3600秒)内发送的，则IP电话的注册将截止。然而，防火 墙设备可以利用与该寄存器不同的超时周期(例如，30秒)，并且如果 IP电话将其注册请求的频率基于寄存器的超时周期，可以关闭IP电话和 寄存器之间的连接。由于没有呼叫可以由其穿过防火墙设备的开放连接 存在，这将阻止外部呼叫到达IP电话。尽管可以基于防火墙设备的超时 周期发送注册消息，增加的注册业务可能消极地影响寄存器。因此，可 以使用方法100保持防火墙设备暂停该连接，并维持IP电话与寄存器的 注册，而不会将注册请求消息溢出寄存器。
在步骤102，从IP电话发送到寄存器的注册消息在被寄存器接收之
前被截取。该注册消息可以是;陂一个设备用来通知另一i殳备其仍然是活 动的任何消息。应该理解的是，"截取"这一术语仅^明该消息在到达 寄存器之前停止，并且任何数量的设备(包括截取设备)可以被置于IP 电话和寄存器之间。那么，该截取设备可以合法地接收该消息作为IP电 话和寄存器之间的路径的一部分。
在步骤104，作出关于是否正是基于由寄存器设立的超时周期更新 注册的时候的确定。如果正是更新注册的时候，方法100继续到步骤106 并且将注册消息转发到寄存器。(应该指出的是，如果注册消息意欲建 立与寄存器的IP电话的原始注册，该方法可以继续到步骤106，但是可 以转发该消息，而不作出是否正是更新时候的任何确定)。如同稍后描 述的，由于该消息是从IP电话传递到寄存器的，可以对源和/或目的地 址进行各种修正。
在步骤108和110，寄存器对注册请求的响应消息被截取，并且响 应消息中的截止时间(例如，截止字段)从由寄存器定义的超时周期被 修正为替代的超时周期(例如，比防火墙设备的超时周期更小的超时周 期)。在步骤112，修正的消息被转发到IP电话。
返回到步骤104，如果不是更新注册的时候，该方法继续到步骤114， 在此包括替代超时周期的替代响应消息被发送到IP电话。在这种情况下， 尽管注册消息没有被转发到寄存器，IP电话假定替代响应消息是来自寄 存器的有效消息。因此，利用方法IOO, —个或多个对等或多媒体业^ft 道可以保持打开，同时当将需要由网络处理的消息数量降至最小。此外， 如同下面参照图2描述的，可以在不需要改变用户的网络设备的情况下 实现方法100。
参考图2，网络体系结构200举例说明了其中可以实现图1的方法 IOO的环境的一个实施例。防火墙设备202将专用网络，比如家庭网络从 公共网络204分离。例如，防火墙设备202可以是比如具有防火墙、NAT 和/或NAPT能力的电缆或数字用户线(DSL)路由器的边缘设备。这种 路由器可以由专用和公共网^间的家庭网络的所有者来安装，以便为 诸如IP电话206、经由模拟电话适配器(TA) 208与防火墙设备202耦 合的模拟电话207，以及计算机209的各种设备提供到公共网络204的接
入。如同所举例说明的，公共网络204可以与包括寄存器210和IP电话 212的各种组件耦合。
防火墙设备202典型地被配置用于从专用网络发起的请求/响应业 务，但是对于诸如VoIP的对等业务会出现问题。例如，如果防火墙设备 202包括NAPT功能，当进入的语音呼叫来自防火墙设备的公共侧上的 电话时，比如来自IP电话212的VoIP呼叫，被放置到防火墙i殳备的专 用侧上的IP电话206时， 一个问题涉及NAPT表格条目。通常，在防火 墙设备202接收从专用网络始发的请求之后，创建表格条目以跟踪源地 址，并且该条目允许对该请求的响应返回到用户。在VoIP中，当防火墙 设备202接收来自网络的公共侧的消息并比较目的地址时，在该目的地 址处，请求分组需要去对照该表格，没有条目并且消息将被丢弃。入站 媒介业务将具有相同的问题，
另一个问题随着信令分组，比如那些用于会话发起协议(SIP)消 息JJUC的信令分组中出现的专用地址时产生。专用网络内发起的信令分 组包含专用IP地址。公共IP网络上的路由器不负责路由预定用于专用 IP网络的专用IP地址的分组。另外，用于实时传输协议(RTP)媒体流 的地址被内埋在信令分组的净荷中。防火墙202不可能看到这些地址并 且不能使自己允许来自外部电话212的业务。因此需要携带语音呼叫的 RTP流将不被允i午通过防火墙i殳备202。
作为对这些问题的解决方案，会话控制器214被置于防火墙设备202 的公共侧，并且被用作来自专用网络的出站业务的代理。在之前结合的 美国专利申请系列号No. 10/657,813中更详细地描述了M控制器214 的一个实例。尽管以单个、分离的设备示出，应当理解的是，由M控 制器214提供的功能可以在多个组件之间分布，并且在某些实施例中可 以完全去掉会话控制器。如同下文将描述的，会话控制器214维持一个 开放的信道，以使得从公共网络204发起的消息能够到达专用网络内的 设备。例如，由于由会话控制器214提供的功能，可能被防火墙设备202 阻塞的由IP电话212发起的呼叫可以穿过防火墙设备，并到达IP电话 206。
为了解释说明的目的，尽管涉及IP电话206和/或TA 208的电话呼 叫通常用于下列实例，应当理解的是，该公开同样应用于其它类型的通
信和^^体^套，并且可以包括除了或者代替IP电话206和TA 208的计 算机209。此外，在与防火墙设备202、会话控制器214和寄存器210交 互作用的方面，IP电话206和TA 208可以包括类似的功能，并且利用 IP电话和TA其中一个的实例可以同样应用到其它实例。
另外参考图3,序列图300提供了在图2的网,系结构200的各 个组件之间的呼叫流的一个实施例。在所示的序列之前，应当理解的是 可能发生某些动作。例如，IP电话206可以在初始化期间完成引导序列， 并且该引导序列可以给IP电话分配其IP地址并通知IP电话其它信息， 比如^控制器214的IP地址用作出站代理。
呼叫流中涉及的组件包括防火墙设备202、 IP电话206、寄存器210 和会活控制器214。为了示例的目的，利用SIP说明序列图300， SIP依 赖于用于会活描述的会话描述协议(SDP)和用于传输的RTP。因此， 使用信令信道和媒体传输信道两种信道，IP电话206和会话控制器214 均具有分配^fT令信道的一个端口以及分配g体信道的另一个端口 。 为了示例的目的，IP电话206具有内部(例如，在专用网络内)IP地址 10.1.1.10，端口 8766被分配用于媒体，而端口 5060被分配用于信令。防 火墻"^殳备202具有内部IP地址10.1,1.1 (以^M目关端口 )和外部(例如， 专用网络之外)IP地址65.119.52.2，外部端口 9101 (在本实例中将分配 g体信道)，以及另一个外部端口 9500 (用于信令信道)。应当理解 的是，端口 9500表示可以由防火墙设备202分配^fT4^ff道的任何端口 -^t控制器214包括一个IP地址(可访问防火墙+殳备202 )216.206.79.2， 内部端口 10000用于媒体，而内部端口 5060用于信令，以及外部端口 10002用于媒体，而外部端口 5000用于信令。
在步骤302， IP电话206经由防火墙设备202发送注册消息(例如， SIP REGISTER消息)到M控制器214。在步骤302，当由IP电话206 发送时，该消息包括作为源地址的IP电话的内部地址，以及作为目的地 址的会话控制器214的地址(Dst: 216.206.79.2:5060; Src:10.1.1.10:5060 )。 在步骤304,防火墙设备202接收来自IP电话206的消息，分S^〉共IP 地址和端口，并在传递该消息到^控制器214之前，将源信息修改为 分配的/〉共IP地址和端口的源信息(Dst: 216.206.79.2: 5060; Src: 65.119.52.2:9500)。在步骤306， 一旦接收到注册消息，会话控制器206
查明由防火墻设备202分配的公共IP地址和端口 ，并利用自身作为源地 址，将该消息转发到寄存器210。在步骤308，在鉴权(以及任何其它活 动)之后，寄存器210以接受消息(例如，200 OK消息)响应会活控制 器214。在步骤310和312，接受消息经由防火墙设备202返回到IP电 话206，由于消息通过会活控制器214和防火墙i殳备202，目的地址被^务 正。更具体的，目的地址被会话控制器214从M控制器的外部信令地 址/端口 ( Dst:216.206.79.2:5000 )修正为防火墙^殳备的外部信令地址/端 口 (Dst:65.119.52.2:9500)，并且再次被防火墙设备202从防火墙设备 的外部信令地址/端口 (Dst:65.119.52.2:9500)修正为IP电话的信令地址 /端口 (Dst:10.1.1.10:5060)。会话控制器214还将源地址从寄存器210 的源地址变更到会话控制器的源地址(Src:寄存器地址端口到 Src:216.206.79.2: 5060)。
此刻，在序列图300中，利用所建立的信令信道，寄存器210已知 IP电话206 (其具有对会话控制器上的地址和端口的当前注册)，并且 可以引导电话呼叫从外部电话(例如，IP电话212)到IP电话206。在 该实例中，在某段时间周期逝去之后，防火墙设备202和寄存器210都 被配置成超时。为了解释说明的目的，如果在30秒内防火墙设备202没 有检测到活动，其将关闭连接。然而，在3600秒内没有接收注册消息或 其它更新消息后，该寄存器被配置成暂停IP电话的注册。因此，防火墙 设备202将在寄存器210之前超时，但是利用防火墙设备30秒的超时周 期可能以业务淹没寄存器，特别是，如果多个i更备基于30秒间隔重复地 注册。
尽管图3中未详细示出，会话控制器214可以执行诸如图1的方法 IOO的方法，以如下控制用于发送到IP电话206的消息的超时周期。这 例如可能发生在重复图3的步骤302-312的某些或全部时。
再次参照图1，在步骤102，从IP电话206发送到寄存器的注册消 息在其被寄存器接收之前被截取。在步骤104,作出关于是否正是基于由 寄存器设立的3600秒的超时周期，更新注册的时候的确定。例如， 控制器214可以计算出其是否在由寄存器210设置的3600秒的截止之前， 从IP电话206接收另一注册消息。如果正是更新该注册的时候，方法100 继续到步骤106，并且将注册消息转发到寄存器。在步骤108和110，由
会话控制器214接收寄存器对注册请求的响应消息，并且响应消息中的 截止时间(例如，截止字段)从由寄存器定义的3600秒超时周期被修正 为基于由防火墻定义的30秒超时周期的超时周期。例如，经修正的超时 周期可以等于防火墙i殳备的超时周期，或者比防火墙设备的超时周期更 短。在步骤112,经修正的消息经由防火墙设备202转发到IP电话。IP 电话206假定寄存器210想要IP电话每30秒更新其注册，并因此将注 册请求发送出去。
返回到步骤104，如果不是更新注册的时候，该方法继续到步骤114 (并跳过图3的步骤306和308)，在此包括替代的30秒超时周期的替 代响应消息M送到IP电话。在这种情况下，尽管注册消息没有转发到 寄存器，IP电话假定替代的响应消息为来自寄存器的有效消息。因此， 会话控制器214可以控制被IP电话212使用的超时周期，以阻止防火墙 设备202暂停连接，并且还可以将由寄存器210接收的注册消息的数量 降至最小。这就使得IP电话206和寄存器210之间的绑定保持无限的活 性。
再次参考图3，在步骤314，请求建立媒体信道的进入呼叫(例如， INVITE消息)可由会话控制器214从外部源，比如IP电话212接收。 在步骤316 ,会话控制器将该消息转发到防火墙设备202
(Dst:65.119.52.2:9500; Src:216.206.79.2:5060)，并且在步骤318，该 消息经由注册期间为信令信道建立的地址和端口组合，从防火墙设备202
(Dst:10.1.1.10:5060; Src:216.206.79.2:5060 )到达IP电话206。在步骤 320、 322和324，诸如200 OK消息的响应消息，可以从IP电话206返 回到IP电话212。随后防火墙设备202可以为d^体信道分配一个端口(例 如，端口9101)，其被会话控制器214查明并用于维持所建立的会话。 如步骤326、 328和330所示，IP电话206随后可以使用所建立的媒体信 道经由RTP发送话音数据，并可以如步骤332、 334和336所示接收话 音数据。
尽管没有示出， 一旦接收到呼叫结束终止符(例如，BYE消息)， 会活控制器214可以关闭媒体信道。当防火墙设备202超时时，其^ 将关闭针孑U pinhole )。如果IP电话发送出一个请求消息(例如，INVITE )， 或者另一个请求消息被会话控制器214接收，则随后可以建立新的媒体
信道。应当理解的是，如上所述，之前建立的信令信道可以保持开放。
在该实例中，利用对称的RTP建立IP电话呼叫。这就意味着动态 分配的用户数据报协议(UDP)端口和地址被用于发送出站分组，并且 出站分组包含入站分组定位IP电话所需的地址信息。因此，当建立呼叫 时，会活控制器214首先查明信^Ht道信息(例如，地址和端口 )，并 随后查明媒体信道信息。由于会话控制器214已知由防火墙设备202分 配给IP电话206的公共IP地址和信令端口 ，其可以转发进入的信令消 息到适当的IP地址和端口。另外，由于会话控制器214已知由防火墙设 备202分配给IP电话206的公共IP地址和媒体端口 ，其可以转发i^ 的媒体消息到适当的IP地址和端口 。尽管防火墙设备202可以保持信令 信道无限期的开放，会话控制器214通过不公布防火墙的地址或开放端 口 (以及改为发送会话控制器的地址/端口到IP电话212 )提供了安全层。
现在参照图4，序列图400提供了图2的网络体系结构200的各种 组件之间的呼叫流的另一个实施例。在示出的序列图之前，应当理解的 是可能发生某些活动。例如，IP电话206可以在初始化期间完成引导序 列，并且该引导序列可以给IP电话分配其IP地址，并通知IP电话其它 信息，比如会话控制器214的IP地址。本实例可以与对称RTP—起<吏 用(例如，利用不同的发送和接收端口 )。
如图3所示，组件包括防火墙设备202、 IP电话206、寄存器210 和M控制器214。如同之前描述的，同时使用信令信道和媒体传输信道， 其中IP电话206和M控制器214均具有分配^ff^Ht道的一个端口以 及分配g体信道的另一个端口 。为了示例的目的，IP电话206具有内 部(例如专用网络内)IP地址lO丄l.lO，端口 8766被分配用于媒体，而 端口 5060被分配用于信令。防火墙设备202具有内部IP地址10.1.1.1 (以 及相关端口 )和外部(例如专用网络外)IP地址65.119.52.2，外部端口 9101 (其在本实例中将被分配g体信道)，以及另 一外部端口 9500 (对 于信令信道)。会话控制器214包括一个IP地址(可访问防火墙设备202 ) 216.206.79.2，内部端口 10000用于媒体以及内部端口 5060用于信令，以 及外部端口 10002用于媒体和外部端口 5000用于信令，
在步骤402， IP电话206经由防火墙设备202发送注册消息(例如， SIP REGISTER消息)到会活控制器214。在步骤402,当由IP电话206发送时，该消息包括作为源地址的IP电话的内部地址和作为目的地址的
会话控制器214的地址(Dst: 216.206.79.2: 5060; Src:10.1.1.10: 5060)。 在步骤404，防火墻设备202接收来自IP电话206的消息，分配/>共IP 地址和端口，并在传递该消息到会话控制器214之前，将源地址《务改为 所分配的/>共IP地址和端口的源地址(Dst: 216.206.79.2: 5060; Src:65.119.52.2: 9500)。在步骤406， 一旦接收到注册消息，会话控制 器206就查明由防火墙^L备202分配的7>共IP地址和端口 ，并利用其自 身作为源地址，转发该消息到寄存器210。在步骤408，在鉴权(和任何 其它活动)后，寄存器210以接受消息(例如，200 OK消息)响应^" 控制器214。在步骤410和412，该接受消息经由防火墙设备202返回到 IP电话206，由于消息是从会话控制器214和防火墙设备202传递的， 目的地址被修正。更具体的，目的地址被会话控制器214从会话控制器 的外部信令地址/端口 (Dst: 216.206.79.2: 5000)修正为防火墙设备的 外部信令地址/端口 (Dst: 65.199.52.2: 9500)，并再次由防火墙i更备202 从防火墙设备的外部信令地址/端口 (Dst: 65.119.52.2: 9500)修正为IP 电话的信令地址/端口 (Dst: 10.1.1.10: 5060) 。 ^t控制器214还将源 地址从寄存器210的源地址更改为会话控制器的源地址(Src:寄存器地 址端口到Src: 216.206.79.2: 5060)。
此刻，在序列图400中，寄存器210已知IP电话206 (其具有当前 注册)并且可以从外部电话(例如，IP电话212)引导电话呼叫到代表 IP电话206的会话控制器214。如同参照图3描述的，在某段时间周期 逝去之后(例如，分别为30和3600秒)，防火墙设备202和寄存器210 被配置成超时。因此，可以如前描述一样，使用诸如图1的方法100的 处理，以维持IP电话206和寄存器210之间的绑定。
在步骤414，可以由会话控制器214从诸如IP电话212的外部源接 收进入的呼叫(例如，INVITE消息)。在步骤416，会话控制器转发该 消息到防火墙设备202，并且在步骤418，该消息到达IP电话206。在步 骤420和422，诸如200 OK消息的响应消息可以从IP电话206返回到 会话控制器214。然而，在步骤424和426,会话控制器214发送定锚请 求信息到IP电话，而不是转发200 OK消息到IP电话212。如同在之前 结合的美国专利申请系列号No. 10/657,813中详细描述的，定锚请求可以
是通过信^HT道发送的被封装的请求，以从防火墙设备202的专用网络 侧开放通信信道。在步踝428和430， 一旦接收到定锚请求，1P电话206 将请求解封装，并将其发送返回作为定锚响应。该请求询问防火墙设备 202以在IP电话206和会话控制器214之间开放媒体信道。
从防火墙的角度来看，该请求是从防火墙设备202的专用侧接收的 (即使其是由会话控制器214发起的)。因此，防火墙设备将为媒体信 道分配端口 ，好象请求实际上是由IP电话206 ^的。在某些实施例中， IP电话206可能需要另外的指令(比如软件客户)以便处理定锚请求。
在步骤432， 一旦在IP电话206和会话控制器214之间建立了定锚， 会话控制器转发200 OK消息(在步骤422接收)到IP电话212。由于 有了定锚，RTP分组可以被非对称地发送到IP电话206 (在步骤434、 436和438)，而不需要IP电话206发送第一RTP分组。在步骤440、 442和444，由IP电话206发送的RTP分组被分别发送到防火墙设备202、 会话控制器214和IP电话212。
在另一个实施例中，可以使用SIP NOTIFY请求来保持信道活动 (而不是图3和4中使用的REGISTER消息)。例如，会话控制器214 (图2)可以经由防火墙设备202从IP电话206接收REGISTER请求。 如同之前描述的，会话控制器214将查明防火墙设备对通过UDP建立的 信令信道的绑定，会话控制器214随后经由在REGISTER请求期间查明 的地址/端口 ，发送NOTIFY请求到IP电话206。 NOTIFY请求将在预 定时间周期(例如，比防火墙设备202的超时周期更小的时间周期)逝 去之后发送，并且IP电话206将以"200 OK"响应对NOTIFY请求作出 响应。如同与之前描述的依赖于REGISTER消息的方法相反的，当前的 方法不需要IP电话206重复地REGISTER以防止防火墙设备202暂停 信令信道。取而代之的是，会话控制器214通过生成每个NOTIFY请求 并将其发送到IP电话206，在保持信令信道活性中充当积极的角色。
在另一个实施例中，发现防火墙设备202的超时周期(例如，绑定 寿命)可以如同以下利用诸如与模拟电话207连接的TA 208的设备来完 成。TA可以发送注册清求到会话控制器214,会话控制器214从该请求 中查明防火墙设备的地址/端口，并随后等待预定的时间周期(T秒)。 在周期截止后，TA从不同的插口 (例如，地址/或端口 )发送绑定请求(例如，SIP OPTIONS消息)到会话控制器214。会话控制器214被配 置成将对绑定请求的响应发送回从原始寄存器请求查明的地址。如果TA 在特定端口 (例如，端口 5060)接收到该响应，那么绑定寿^t没置为 T秒。如果没有接收到响应，那么在开始并发送另一个注册请求之前， 超时已经发生并且T被减小(例如，T-T-5)。如果T被减小到其等于 预定最小值(例如，T-10秒)，那么该处理可以停止。
在另一个实施例中，诸如TA 208的设备可以如下处理话音激活检 测(VAD)以及静默抑制，以防止由于业务的缺乏(例如，如果有人侦 听会议电话但是没有说话)而使连接终止。TA可以基于之前描述的防火 墙设备202的绑定发现寿命，通过RTP/RTCP信itiC送合成的周期分组 (例如，RTP或RTCP分组)。一^R接收到该分组，会话控制器214将 例如基于该分组内的专有字符串来过滤该分组，这就使得连接保持活性 而不让不需要的分组通过^"控制器214。
在再一个实施例中，由防火墙设备202描绘的专用网络外的服务提 供商或其他外部用户可以执行监视、重新配置、升级、服务质量检查以 及专用网络内的类似功能。尽管防火墻设备通常会拒绝从公共网络204 发起的分組，在IP电话206和会话控制器214之间建立的现有通信信道 能够使得服务提供商利用会话控制器用于外部发起的请求。
例如，可以利用诸如简单网络管理协议(SNMP)的支持协i义发送 状态和告警信息。SNMP消息可以被封装到SIP消息主体内，并利用IP 电话206/TA 208和会话控制器214之间的现有呼叫信itiC送到IP电话 206或TA 208。要注意的是，端点标识符(例如，TA序列号和/或媒体 接入控制(MAC)地址)可以被用于校验被查询的设备是正确的设备。
在另一个实施例中，本^〉开内容可以在专用网络中为诸如服务提供 商的外部用户提供设备的ping能力。在该实施例中，会话控制器214和 设备206、 208和209的一个或多个之间的现有通信信道可以被用于接收 和发送ping请求。该ping请求例如可以被封装到SIP消息中。
在再一个实施例中，本公开可以提供服务质量(QoS)功能。例如， 为了测量现有连接中的往返行程延迟，可以经由建立的RTCP信道如下 发送RTCP分组。QoS分组可以是打上时间标记的并且通过RTCP信道 发送。端点(例如，设备206、 208、 209的其中之一)可以接收分组并
将其转发回会话控制器214，会话控制器14基于接收分组时的时间和包 括在分组内的时间标记值之间的差值来计算延迟。附加的QoS功能包括 利用序列号检测不同步的分组，以及记录最小、最大和平均到达之间时 间(inter-arrival time)以包含在^^详细记录(SDR)中。这种QoS 功能可以被选择性地应用于连接。
应当理解的是，可以利用预定的或者动态地计算的阈值来调节、过 滤或者调整上述各种功能。例如，由SNMP提供的告警可以被用于监控 大量的用户和设备，其中告警被理想地过滤。此外，各种QoSM可以 与阈值相比较，如果参数指示发生QoS的某些损耗，就会产生告警。
虽然之前的说明示意和描述了一个或多个实施例，本领域的技术人 员将理解的是，可以在不偏离本公开的精神和范围的情况下在其中进行 形式和细节上的改变。例如，所描述的方法的各种步骤可以以不同的顺 序执行或者按顺序执行、合并、进一步划分、以可选步骤代替或者完全 去掉。另外，可以合并在方法中说明的或在公开中别处描述的各种功能 以提供另外的和/或可选的功能。因此，应当以广义方式，与本乂>开一致 地来解释权利要求书。
权利要求
1、一种用于穿越防火墙设备以维持被所述防火墙设备分离的第一设备和第二设备之间的注册的方法，所述方法包括截取从所述第一设备到所述第二设备的注册消息；确定是否正是更新所述第一设备的注册的时候，其中所述确定是基于由所述第二设备定义的第一超时周期；如果正是更新所述第一设备的注册的时候，转发所述注册消息到所述第二设备；截取从所述第二设备到所述第一设备的响应消息，其中所述响应消息包括所述第一超时周期；以及在转发所述响应消息到所述第一设备之前，基于所述防火墙设备的绑定寿命，以第二超时周期代替所述响应消息中的第一超时周期。
2、 根据权利要求l的方法，进一步包括如果不是更新所述第一设备的注册的时候，发送替代响应到所述笫 一设备，而不转发所述注册消息到所述第二设备，其中所述替代响应包 括所述第二超时周期。
3、 根据权利要求l的方法，进一步包括在所述转发注册消息到所述第二i殳备之前，修改所述注册消息的源地址。
4、 根据权利要求3的方法，进一步包括在转发所述响应消息到所述第 一设备之前，修改所述响应消息的目 的地址。
5、 根据权利要求l的方法，进一步包括在所述第 一设备和位于所述防火墙设备与所述第二设备之间的第 三设备之间建立定锚，其中所述定锚形成通信信道，用于所述第一和第 三设备通过所迷防火墙设备。
6、 根据权利要求5的方法，其中所述建立定锚包括 从所述第三设备发送封装的请求消息到所述第 一设备； 由所述笫一设备解封装所述请求消息；以及经由所述防火墙设备发送所述解封装的请求消息到所述第三设备， 其中所述防火墙设备基于来自所述第一设备的请求消息开放信道。
7、 根据权利要求l的方法，进一步包括 发现所述第二超时周期，其中所述发现包括从与所述第一i殳备相关的第 一插口发送注册请求到位于所述防火 墙^殳备和所述第二设备之间的第三i殳备， 等待预定时间周期；在所述预定时间周期届满之后，从与所述第 一设4^目关的第二插口 发送绑定请求到所述第三设备；以及如果在所述第 一插口接收到响应，则将所述第二超时周期设置为所 述预定时间周期。
8、 根据权利要求7的方法，进一步包括如果没有接收到响应则减小所述预定时间周期，并且从所述第 一插 口发送新的注餘清求到所述第三设备。
9、 根据权利要求l的方法，进一步包括从位于所述防火墙设备和所述第二设备之间的第三设备发送ping 请求到所述第一设备。
10、 根据权利要求l的方法，进一步包括通过从位于所述防火墙设备和所述第二设备之间的第三设备发送 打上时间标记的分組到所述第一设备，确定分组延迟，并计算所述分组 延迟作为所述时间标记和从所述第 一设备接收分组返回到所述第三设备 的时间之间的差值。
11、 根据权利要求l的方法，进一步包括通过从位于所述防火墙设备和所述第二设备之间的第三设备发送 消息到所述第一设备，获得来自所述第一设备的状态和告警信息。
12、 根据权利要求l的方法，进一步包括周期性地从所述第 一设备发送合成分组到位于所述防火墙设备和 所述第二设备之间的第三设备；以及由所述第三设备过滤所述合成分组，以防止所述分组到达所述第二 设备，其中所述合成分组防止由于缺乏出站业务而将活动信道终结。
13、 一种提供用于防火墻穿越的系统，所述系统包括 位于专用网络中的第一设备；可接入所述专用网络和公共网络的防火墙设备； 所述y厶共网络中的被配置成注册所述第一i更备的第二设备；以及 所述公共网络中的位于所述防火墙设备和所述第二设备之间的会话控制器，所述会话控制器包括多个软件可执行指令，其包括用于截^U^所述第二设备到所述第 一设备的注册响应消息的指令，其中所述响应消息包括第一超时周期；以及用于在转发所述响应消息到所述第 一设备之前，以第二超时周期代替所述响应消息中的第 一超时周期的指令。
14、 根据权利要求13的系统，其中所述会话控制器进一步包括 用于截队A所述第 一设备到所述第二设备的注册消息的指令；用于确定是否正是基于由所述第二设备定义的第一超时周期，更新 所述第一设备的注册的时候的指令；以及用于如果正是更新所述第一设备的注册的时候，转发所述注册消息 到所述第二设备的指令。
15、 根据权利要求14的系统，其中所述会话控制器进一步包括 用于查明已经分配给在所述第一设备和所述会话控制器之间建立的信令信道的所述防火墙设备的第一端口的指令，其中所述第一端口是 在从所述第 一设备发送到所述第二设备的注册消息中查明的；以及用于查明已经分配给在所述第一设备和所述会话控制器之间建立 的传输信道的所述防火墻设备的第二端口的指令。
16、 根据权利要求13的系统，其中所述第一设备是IP电话。
17、 根据权利要求13的系统，其中所述第一设备为模拟电话适配器。
18、 根据权利要求13的系统，其中所述注册消息为^^协议 (SIP) REGISTER消息。
19、 一种用于使网络边缘设备能够维持被所述边缘设备分离的第一 设备和第二设备之间的注册的设备，所述设备包括可接入所述边缘设备和所述第二设备的接口 ；以及用于截M所述第 一设备到所述第二设备的注册消息的装置；用于确定是否正是更新所述第一设备的注册的时候的装置，其中所述确定基于由所述第二设备定义的第 一超时周期；用于如果是更新所述第一设备的注册的时候，则转发所述注册消息到所述第二设备的装置；用于截^火所述第二设备到所述第 一设备的响应消息的装置，其中所述响应消息包括第一超时周期；以及用于在转发所述响应消息到所述第一设备之前，基于所述边缘设备的绑定寿命，以所述第二超时周期代替所述响应消息中的第一超时周期的装置。
20、 根据权利要求19的设备，进一步包括用于在所述第一设备和位于所述边缘设备和所述第二设备之间的 第三设备之间建立定锚的装置，其中所述定锚形成通信信道，用于所述 第 一和第三设备通过所述边缘设备。
21、 一种用于穿越防火墙设备以维持被所述防火墙设备分离的笫一 设备和第二设备之间的注册的方法，其中所述第一设备受所述防火墙设 备的保护，所述第二设备在所述防火墻设备的保护之外，所述方法包括:在所述第 一设备和所述第二设备之间建立信令信道；经由所述信^HT道从所述第二设备发送请求到所述第一设备，其中 所述请求在小于所述防火墙设备的绑定寿命的时间发送；以及经由所述信^Ht道在所述第二设备接收来自所述第 一设备的响应， 其中所述响应向所述防火墙设备指示所述信^Ht道是活动的。
22、 根据权利要求21的方法，其中所述请求是会话发起协议 NOTIFY请求。
23、 根据权利要求21的方法，其中所述响应为"200OK，，消息。
24、 根据权利要求21的方法，其中所述第二设备查明被分配用于 信令信道的防火墙的端口和地址，以便建立所述信令信道。
25、 根据权利要求24的方法，其中所述第二设备基于由所述第一 设^^发送的注册消息，查明所述端口和地址。
全文摘要
提供了一种设备和方法，用于穿越网络地址转换/防火墙设备以维持被防火墙设备分离的第一和第二设备之间的注册。在一个实例中，该方法包括截取从第一设备到第二设备的注册消息。基于由第二设备定义的第一超时周期作出一个有关是否正是时候更新第一设备的注册的确定。如果是时候更新第一设备的注册，则注册消息被转发到第二设备。包括第一超时周期的响应消息被截取，并且在转发响应消息到第一设备之前，基于防火墙设备的绑定寿命，第一超时周期被以第二超时周期代替。
文档编号H04L29/06GK101103607SQ200580042039
公开日2008年1月9日 申请日期2005年10月17日 优先权日2004年10月18日
发明者米尔顿·A·列, 罗伯特·D·马赫三世, 詹姆斯·R·德曼, 阿什温库玛·V·拉那 申请人:奥科得克萨斯公司