专利名称:Ip多媒体通信业务处理系统及实现ip多媒体通信的方法
技术领域:
本发明涉及H.323多媒体通信技术,特别是涉及一种H.323信令及媒体流穿越防火墙和网址地址转换(NAT)的系统和方法。
背景技术:
随着Internet的快速发展,VoIP(通过Internet或IP网络进行语音呼叫)技术以其低廉的价格、良好的通话质量吸引了众多的用户。采用基于Internet的网络电话(即采用IP通话),大大节省长途费用,以国际长途话费为例,所需费用比传统国际长途费用最多可节省95%。视频电话就是基于VOIP技术发展起来的新的通话模式,在语音通话的基础上,同时提供视讯图像的交互传输,实现真正的可视通话。H.323协议族是目前能够成熟实现多媒体通信的主要协议之一。
通常,网络运营商和企业都部署防火墙来保护内部的计算机等设备不受外部网络攻击。通过防火墙可以限定进入网内的数据包类型和流量(这种限定可基于源IP地址、目的IP地址或端口号等简单的规则);部署NAT设备以节省网络地址开销。对于基于H.323协议的VoIP技术的大规模应用,当前存在的一个主要障碍就是无法与某些防火墙(Firewall)和网络地址转换器(NAT)共存。由于VoIP技术采用的协议无法顺利通过网络地址转换器或防火墙,因而造成基于VoIP的视频电话产品无法在宽带城域网或企业网中得以应用。
在防火墙上如果要设定信令流通过是容易实现的,如要保证SIP的信令通过,只需在防火墙上开放5060端口即可;对于H.323协议,需要开放的端口为1718或1719(发向网守的远程访问服务(RAS)消息所用端口)、1720(呼叫信令消息所用端口),但由于多媒体流需通过RTP协议来传输,而传输所需要的源端口和目的端口是动态确定的,由于范围较大且无法事先预知内部终端的IP地址和端口状态信息,防火墙不可能不顾内部网的安全,将包过滤范围开放得过大。
从安全性上来看NAT提供了对外隐藏内网拓扑的一个手段,但也给视频电话应用带来巨大的麻烦。H.323协议消息包一般是在特定区段中内嵌IP地址和端口号,而不是放置在IP包头中,因此H.323数据包在通过NAT设备时,其中的IP地址和端口号将有可能无法指向正确的地方。
综上所述,一方面H.323多媒体通信业务能穿透防火墙及NAT设备同时又不降低网络系统的安全性,是多媒体广泛推广应用必须解决的问题;而另一方面,不同类型防火墙、网络地址转换器的工作原理不同,其实现安全的机制和达到的安全级别也不一样,目前都不能很好地支持基于H.323协议的多媒体通信。
发明内容
本发明的主要目的是提供一种IP多媒体通信业务系统及实现IP多媒体通信的方法,使得H.323信令和媒体流不仅可以穿越网络地址转换或防火墙、还可以自动适应网络环境、并尽量减少因穿越带来的QOS损失。
本发明提供了一种IP多媒体通信业务处理系统,包括H.323终端、网络地址转换或防火墙、H.323网守外,还至少包括网络检测客户端、网络检测服务器、穿越客户端、穿越服务器;所述网络检测客户端位于私网内,用于自适应检测各种网络环境,获得网络环境信息;所述网络检测服务器位于公网内,用于接收和回复来自所述网络检测客户端自适应检测的网络环境信息;所述穿越客户端位于私网内,用于与所述穿越服务器之间建立数据通道、交互穿越命令;接收来自私网内H.323终端的信令和媒体流,替换接收到的H.323信令的地址和端口,并封包发送给所述穿越服务器;接收来自所述穿越服务器的数据包,解包后将H.323信令的地址和端口进行替换后发送给所述H.323终端;所述穿越服务器位于公网内,用于接收和处理所述穿越客户端的穿越命令,所述穿越服务器不替换H.323信令的地址和端口,从所述的穿越客户端发送的数据包中解包出H.323信令和媒体流,发送给公网内的H.323网守;把所述H.323网守发给所述H.323终端的H.323信令和媒体流封包后发给所述穿越客户端。
网络检测客户端和网络检测服务器之间检测过程是基于网际协议、用户数据报协议或传输控制协议。
穿越客户端和穿越服务器之间的数据通道是基于用户数据报协议或传输控制协议。
穿越客户端和穿越服务器之间的穿越命令协议至少拥有认证、获取信息、端口绑定、活动保持、密钥传递、消息加密的能力。
本发明还提供了一种实现IP多媒体通信的方法,包含以下步骤步骤1,在H.323终端发送信令之前,网络检测客户端通过网络地址转换或防火墙向网络检测服务器的端口发送网络检测消息,所述网络检测客户端根据所述网络检测服务器回复的网络检测消息得到网络地址转换或防火墙是否存在和防火墙开启的可用端口信息;步骤2,根据网络检测的结论,穿越客户端向穿越服务器的可用端口建立数据通道,并获取穿越服务器的信息;步骤3,穿越客户端收到来自所述H.323终端的信令时,将所述H.323终端信令的地址和端口替换成所述穿越服务器相应的地址和端口,然后将修改后的信令封包后通过数据通道发送给所述穿越服务器;步骤4,所述穿越服务器把从数据通道收到所述穿越客户端的数据包解包后,将H.323信令发给H.323网守;所述穿越服务器把从H.323网守收到的H.323信令封包后,通过数据通道发送给所述穿越客户端;步骤5,所述穿越客户端把从数据通道收到的数据包解包之后,将H.323信令中的地址和端口信息替换成所述穿越客户端自己相应的地址和端口,然后发送给所述的H.323终端;步骤6,媒体流的穿越与上述步骤不同之处在于所述穿越客户端省略地址和端口替换的步骤;步骤7,所述穿越客户端与所述穿越服务器之间通过穿越命令进行认证、获取信息、端口绑定、活动保持、密钥传递、消息加密的动作。
所述步骤3中替换所述穿越服务器相应的地址和端口的步骤可以具体为以下步骤步骤61,对于H.323的远程访问服务和Q.931信令地址和端口,所述穿越客户端使用穿越命令请求所述穿越服务器的信息,穿越服务器信思包括公网可用的IP地址、远程访问服务端口和Q.931端口;所述穿越客户端把从所述H.323终端接收到的远程访问服务和Q.931信令地址和端口,替换成所述穿越服务器相应的公网地址和端口;步骤62,对于H.323的H.245信令、媒体流实时传输协议、媒体流实时传输控制协议的地址和端口,所述穿越客户端使用穿越命令向所述穿越服务器进行端口绑定获得所述穿越服务器分配的可用公网地址和端口,然后将H.245信令、媒体流实时传输协议、媒体流实时传输控制协议的地址和端口替换成所述穿越服务器分配的可用公网地址和端口。
本发明中,利用网络检测客户端和网络检测服务器进行网络环境检测,穿越客户端根据网络环境检测的结果向穿越服务器建立数据通道,利用穿越客户端与穿越服务器之间的数据通道进行网络地址转换或防火墙穿越,穿越客户端替换H.323信令中的地址和端口,穿越服务器透明转发H.323信令和媒体流。
通过网络环境检测,无需改动网络地址转换或防火墙的配置,甚至不需要了解网络地址转换或防火墙的配置,就可以自适应网络环境,解决了H.323穿越对网络地址转换或防火墙配置的适用问题。
通过穿越命令优化穿越流程,H.323信令中的地址和端口只在穿透客户端进行替换,穿越服务器只做透明转发,这种设计消除了穿越服务器解析H.323协议带来的运行效率下降,有助于提高穿越服务器的转发效率、负载容量、QOS质量。
图1为本发明的IP多媒体通信业务处理系统的信令处理流程示意图;图2为本发明的IP多媒体通信业务处理系统的媒体流处理流程示意图。
具体实施例方式
如图1所示,本发明的IP多媒体通信业务处理系统,用于将基于H.323协议的信令和媒体流穿越防火墙或网络地址转换设备进行传输,其中H.323终端10,设置于私网内,是接收和发送H.323呼叫的终端设备。
网络检测客户端20,设置于私网内,接收和发送网络环境检测消息,与网络检测服务器30配合使用。
网络检测服务器30,设置于公网内,接收和发送网络环境检测消息,与网络检测客户端20配合使用。
穿越客户端40,设置于私网内,根据网络检测的结果与穿越服务器60建立数据通道;接收来自H.323终端10的信令和媒体流,做地址端口替换之后,封包发送给穿越服务器60;接收来自穿越服务器60的数据包,解包替换地址端口之后发送给H.323终端10。
穿越服务器60,设置于公网内,接收来自穿越客户端40的数据包,解包后转发给H.323网守70;接收来自H.323网守70的信令和媒体流,封包后发送给穿越客户端40。
网络地址转换或防火墙50,作用是隔离公网向私网的访问,允许私网向公网的访问,替换私网向公网访问的网际协议的头部源地址,维持私网地址端口与公网地址端口的映射关系。
H.323网守70,作用是管理H.323终端10的呼叫。
下面结合图1对本发明中实现IP多媒体通信的方法进行说明。
步骤101,H.323终端10建立注册之前通知网络检测客户端20启动网络环境检测。
步骤102,网络检测客户端20向网络检测服务器30的端口建立TCP连接和发送UDP检测数据,网络检测服务器30回复接收的来自网络检测客户端20的TCP连接和UDP请求,网络检测客户端20得到H.323终端10所处网络环境的网络地址转换或防火墙50是否存在、防火墙开启的可用端口。
步骤103,H.323终端10将H.323的信令发送给穿越客户端40,穿越客户端40根据网络检测的结果向穿越服务器60建立TCP或UDP数据通道,网络地址转换或防火墙50上就产生该数据通道的映射记录。
步骤104,穿越客户端40建立完成数据通道之后,使用穿越命令请求穿越服务器60的信息,穿越服务器60信息包括公网可用的IP地址、RAS端口和Q.931端口。穿越客户端40将H.323终端10所发送H.323信令中的地址和端口替换成穿越服务器60对应的地址和端口,封包后通过预先建立的数据通道发送给穿越服务器60,并创建H.323终端10与数据通道的映射关系。
步骤105,穿越服务器60把数据通道中数据包解包后,直接转发给H.323网守70,并建立数据通道与H.323网守70之间的映射关系。
步骤106,H.323网守70向穿越服务器60发送H.323信令,穿越服务器60将H.323信令封包后按照映射关系通过数据通道发送给对应的穿越客户端40。
步骤107,穿越客户端40把从数据通道读取的数据包解包成H.323的信令,在H.323信令中,H.245、媒体流实时协议、媒体流实时控制协议的地址和端口是动态协商出来的。对于从H.323终端10发给H.323网守70的所述地址端口,穿越客户端40向穿越服务器60请求绑定端口,穿越客户端40使用穿越服务器60分配可用的公网地址端口进行替换。对于从H.323网守70发送给H.323终端10的所述地址端口,穿越客户端40使用自己分配的可用地址端口进行替换。穿越客户端40在地址端口替换时建立地址端口映射,穿越服务器60也在绑定端口操作时建立地址端口映射。
步骤108,穿越客户端40将替换地址端口后的H.323信令发送给H.323终端10。
经过上述步骤,H.323终端10与穿越客户端40之间、穿越客户端40与穿越服务器60之间、穿越服务器60与H.323网守70之间的地址端口映射关系建立完成。
媒体流的穿越也与上述步骤相似,不同的是所述穿越客户端省略地址和端口替换的步骤,如图2所示。
处于私网内的H.323终端10和处于私网内的H.323终端10’之间的流媒体穿越的过程如下H.323终端10将媒体流发送给穿越客户端40,穿越客户端40、穿越服务器60和穿越客户端40’根据地址端口映射关系转发给位于私网的H.323终端10’,从H.323终端10’发送给H.323终端10的媒体流也根据所述映射关系处理转发。
处于私网内的H.323终端10和处于公网内的H.323终端10”之间的流媒体穿越的过程如下H.323终端10将媒体流发送给穿越客户端40,穿越客户端40和穿越服务器60根据地址端口映射关系转发给位于公网的H.323终端10”,从H.323终端10”发送给H.323终端10的媒体流也根据所述映射关系处理转发。
综上所述,本发明能够支持多媒体通信的呼入和呼出、解决了H.323穿越对网络地址转换或防火墙配置的适用问题、支持多层的NAT网络或防火墙嵌套、提高穿越服务器的转发效率。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种IP多媒体通信业务处理系统,包括H.323终端、网络地址转换或防火墙、H.323网守外,其特征在于,还至少包括网络检测客户端、网络检测服务器、穿越客户端、穿越服务器;所述网络检测客户端位于私网内,用于自适应检测各种网络环境,获得网络环境信息;所述网络检测服务器位于公网内,用于接收和回复来自所述网络检测客户端自适应检测的网络环境信息;所述穿越客户端位于私网内,用于与所述穿越服务器之间建立数据通道、交互穿越命令;接收来自私网内H.323终端的信令和媒体流,替换接收到的H.323信令的地址和端口,并封包发送给所述穿越服务器;接收来自所述穿越服务器的数据包,解包后将H.323信令的地址和端口进行替换后发送给所述H.323终端;所述穿越服务器位于公网内,用于接收和处理所述穿越客户端的穿越命令,所述穿越服务器不替换H.323信令的地址和端口,从所述的穿越客户端发送的数据包中解包出H.323信令和媒体流,发送给公网内的H.323网守;把所述H.323网守发给所述H.323终端的H.323信令和媒体流封包后发给所述穿越客户端。
2.根据权利要求1所述的IP多媒体通信业务处理系统,其特征在于,网络检测客户端和网络检测服务器之间检测过程是基于网际协议、用户数据报协议或传输控制协议。
3.根据权利要求1所述的IP多媒体通信业务处理系统,其特征在于,穿越客户端和穿越服务器之间的数据通道是基于用户数据报协议或传输控制协议。
4.根据权利要求1所述的IP多媒体通信业务处理系统,其特征在于,穿越客户端和穿越服务器之间的穿越命令协议至少拥有认证、获取信息、端口绑定、活动保持、密钥传递、消息加密的能力。
5.一种实现IP多媒体通信的方法,其特征在于,包含以下步骤步骤1,在H.323终端发送信令之前,网络检测客户端通过网络地址转换或防火墙向网络检测服务器的端口发送网络检测消息,所述网络检测客户端根据所述网络检测服务器回复的网络检测消息得到网络地址转换或防火墙是否存在和防火墙开启的可用端口信息;步骤2,根据网络检测的结论,穿越客户端向穿越服务器的可用端口建立数据通道,并获取穿越服务器的信息;步骤3,穿越客户端收到来自所述H.323终端的信令时,将所述H.323终端信令的地址和端口替换成所述穿越服务器相应的地址和端口,然后将修改后的信令封包后通过数据通道发送给所述穿越服务器;步骤4,所述穿越服务器把从数据通道收到所述穿越客户端的数据包解包后,将H.323信令发给H.323网守;所述穿越服务器把从H.323网守收到的H.323信令封包后,通过数据通道发送给所述穿越客户端;步骤5,所述穿越客户端把从数据通道收到的数据包解包之后,将H.323信令中的地址和端口信息替换成所述穿越客户端自己相应的地址和端口,然后发送给所述的H.323终端;步骤6,媒体流的穿越与上述步骤不同之处在于所述穿越客户端省略地址和端口替换的步骤;步骤7,所述穿越客户端与所述穿越服务器之间通过穿越命令进行认证、获取信息、端口绑定、活动保持、密钥传递、消息加密的动作。
6.根据权利要求5所述的实现IP多媒体通信的方法,其特征在于,所述步骤3中替换所述穿越服务器相应的地址和端口的步骤可以具体为以下步骤步骤61,对于H.323的远程访问服务和Q.931信令地址和端口,所述穿越客户端使用穿越命令请求所述穿越服务器的信息,穿越服务器信息包括公网可用的IP地址、远程访问服务端口和Q.931端口;所述穿越客户端把从所述H.323终端接收到的远程访问服务和Q.931信令地址和端口,替换成所述穿越服务器相应的公网地址和端口;步骤62,对于H.323的H.245信令、媒体流实时传输协议、媒体流实时传输控制协议的地址和端口,所述穿越客户端使用穿越命令向所述穿越服务器进行端口绑定获得所述穿越服务器分配的可用公网地址和端口,然后将H.245信令、媒体流实时传输协议、媒体流实时传输控制协议的地址和端口替换成所述穿越服务器分配的可用公网地址和端口。
全文摘要
本发明公开了一种IP多媒体通信业务处理系统及实现IP多媒体通信的方法,用于将基于H.323协议的IP多媒体通信中的信令及媒体流穿越防火墙或NAT网络进行传输,其中IP多媒体通信业务处理系统除包括H.323终端、网络地址转换或防火墙、H.323网守外,还至少包括网络检测客户端、网络检测服务器、穿越客户端、穿越服务器。本发明能够支持多媒体通信的呼入和呼出、解决了H.323信令及媒体流穿越对网络地址转换或防火墙配置的适用问题、支持多层的NAT网络或防火墙嵌套、提高穿越服务器的转发效率。
文档编号H04N7/14GK1996946SQ20061014433
公开日2007年7月11日 申请日期2006年12月1日 优先权日2006年12月1日
发明者李晓明, 朱占军, 吴涛, 孙炳旭, 魏东风 申请人:中国联合通信有限公司