经由网络地址转换单元在面向分组的通信终端设备之间建立连接的方法和装置的制作方法

专利名称：经由网络地址转换单元在面向分组的通信终端设备之间建立连接的方法和装置的制作方法
技术领域：
本发明涉及用于连接面向分组的通信终端设备的方法和装置，所述通信终端设备 通过网络地址转换单元分开，并且其中，网关控制本地通信终端设备的交换。
背景技术：
已知的是，如下使面向分组的网络与其他面向分组的网络分开，以使在相应网络 之间布置所谓的“NAT设备”或者说NAT单元(Network AddressTranslation (网络地址转 换))。这种NAT单元经常出现在本地网络或者说LAN ((Local Areal Network (局域网)) 和通常被称为“互联网(Internet)，，的公共网络联合之间的边界处。NAT单元能够使得应用一组用于LAN内部数据分组交换的IP地址 (InternetProtocol (互联网协议))和另一组用于外部数据分组交换的IP地址。在内部数 据分组交换的情况下在此也谈及私有IP地址，而在外部数据分组交换的情况下也谈及外 部IP地址。NAT的基本原理规定将相应的私有IP地址分配(映射)给相应的公共IP地址。 这种分配也被称为“绑定(Binding) ”，通常尤其是在时间上受限制。所述NAT单元的另一实施形式以关键字NAPT (Network Address & PortTranslation(网络地址和端口转换))而公知。此处这里还规定把外部端口号映射到 内部端口号。在IETF(Internet Engineering Task Force (互联网工程任务组))的出版 物 RFC 3022 中说明了 NAT 和 NAPT。在NAT的最简单的实施中，针对从LAN发出的数据分组设置源地址的改变。该过 程被称为“源NAT”。在收到的数据分组、即从公共网络发出在LAN的方向上到达的数据分组中可以规 定修改目标地址。该过程也被称为“目的地NAT”。为了通过目的地NAT法正确分配到达的 数据分组，通常的前提是，在NAT单元中设有分配表，在该分配表中注明了在数据分组中在 头部内注明的公共地址和要分配的私有地址之间的分配或绑定。这种绑定的前提条件是， 发出的数据分组在收到的数据分组之前发生，依据其源地址和目标地址设立绑定。除了所 谓的“完全锥形NAT (full cone NAT) ”之外，因而通常不能引起从LAN外部发起的数据分组 交换。这尤其对于主叫用户尝试联系LAN中的被叫用户的通信协议而言是有阻碍的。因 而在应用如SIP (Session Initiation Protocol (会话初始化协议))或者H. 323的通信协 议时，随NAT单元通常出现问题。基于下述事实会出现另一问题，S卩，通过NAT单元改变数据分组虽然改变在数据 分组的数据头部项(或者说头部(Header))中的地址，但是在更高层、即尤其是SIP中的信 息会不被考虑。从现有技术中公知多种方法，这些方法能够部分地解决这些问题。在此，尤其要列举下列协议STUN(Simple Traversal of UDP through NAT (NAT 的 UDP 简单穿越))、 UPnP (Universal Plug and Play (通用即插即用))、TURN(TraversalUsing Relay NAT (通 过中继方式穿越 NAT))、ICE(Interactive ConnectivityEstablishment (交互式连通建 立))，所述协议部分地保证数据分组的正确投递。所述方法大多数取决于在参与的通信终端设备中实现相应的协议栈。视具有不同 计算效率的实施方式，通信终端设备是面向分组的通信电话或者也是具有相应音频和/或 视频通信可能性的计算机。这种通信终端设备在技术领域中也常被称为VoIP通信终端设 备(Voice over Internet Protocol (互联网协议承载语音))。

发明内容
本发明的任务在于保证经由网络边界的改善的通信连接，所述通信连接不要求在 通信终端设备内实施相应的协议栈。该任务通过具有权利要求1的特征的方法来解决。本发明按照同样方式通过具有 权利要求6的特征的装置(代理)来解决。本发明应用于下列环境其中第一通信终端设备布置在第一网络、例如本地网络 或者说LAN中。该第一网络经由网络地址转换单元或NAT单元连接到第二网络、例如“公 共”网络。在该第二网络中设有第二通信终端设备，该第二通信终端设备被设置为与第一 通信终端设备的通信伙伴。第二通信终端设备或者是要建立的通信连接的发起者或者是目 标，也就是说或者扮演主叫角色或者被叫角色。在第一网络中还设有网关，其任务在于对第一通信终端设备的管理、登记和交换。 在一般形式下，网关控制第一通信终端设备的交换。根据本发明，在该网关中设有代理(Proxy)，该代理被设立用于“侦听 (Interception) ”、也即用于窃听(Abfangen)或监听针对所述第一通信终端设备确定的和 /或在所述第一通信终端设备方发出的消息。利用该消息的帮助所交换的数据在此尤其是 信令数据或者有用数据。根据本发明，在代理方面通过与服务器合作来实施用于识别和穿越所述网络地址 转换单元(也即NAT单元)的网络协议。在此，例如采用STUN、TURN、ICE或者这三种所述 协议的组合来作为用于识别和穿越所述网络地址转换单元的网络协议。该服务器与之相应 地作为STUN服务器、TURN服务器或者ICE服务器进行工作。根据本发明，代理代替所述第一通信终端设备通过第二消息来答复从所述服务器 方发送给所述第一通信终端设备的第一消息。在此，第二消息视通信状态而定按具体情况 这样被获得，使得将第一通信终端设备的地址和/或端口号录入作为发送方地址和/或发 送方端口号。在本技术领域，对不对应于自己的发送方地址或端口号的发送方地址或端口 号的这种规定也被称为“欺骗”(Spoofing)。可替代地或者附加地，在第二消息中设定根据所述网络协议被设置用于识别和穿 越所述网络地址转换单元(NAT)的选项，所述选项使得将对所述第二消息的应答传送给所 述第一通信终端设备(Pl)。在此涉及“RESPONSE-ADDRESS (响应地址)”选项，在其设定时 可将可替代的传送地址录入到相应的“RESPONSE-ADDRESS”域中。本发明具有以下想法按具体情况在中央实体上组合IP地址欺骗或端口号欺骗和STUN域“RESPONSE-ADDRESS” (网关中的STUN或者ICE代理)，并从而使得STUN或ICE 协议不是在相应的通信终端设备上而是以转移的方式(ausgelagert)在另一单元上来执 行。只有当中央单元不处于STUN服务器STUN和相应的通信终端设备之间的有用数据路径 中时，才进行实施。本发明有利的改进方案在从属权利要求中予以说明。


下面结合附图进一步说明本发明的具有其他优点的实施例和扩展方案。在此
图1是示意示出根据第一网络拓扑的通信环境的结构图；图2是示意示出根据第二网络拓扑的通信环境的结构图。
具体实施例方式下面首先依据图1和图2示出两种网络拓扑，这两种网络拓扑在下面说明的本发 明相应实施形式中是相应的选择方式。图1示出了面向分组的第一网络LAN，其中第一通信终端设备P1、网关GW和NAT单 元NAT均连接在该面向分组的第一网络LAN上。NAT单元NAT通过另一接口与面向分组的 第二网络INT连接。在面向分组的第二网络INT上还连接有STUN服务器STUN和第二通信 终端设备P2。给网关GW分配有代理P，在此处采用的拓扑中所述代理P集成在网关GW内。 随技术人员的意愿，选择代理P相对网关GW的独立的(分散式或者分布式)布置。图2示出了第一通信终端设备Pl，其连接在网关GW上，网关GW又与NAT单元NAT 连接。NAT单元NAT通过另一接口与面向分组的第二网络INT连接。在面向分组的第二网 络INT上还连接有STUN服务器STUN和第二通信终端设备P2。给网关GW分配有代理P，在 此处采用的拓扑中代理P集成在网关GW内。这里也随技术人员的意愿，选择代理P相对网 关GW的独立的(分散式或者分布式)布置。在所有实施形式中，第一通信终端设备Pl是示例性“本地客户端 (LocalClient) ”，因此是处于作用范围中和/或在网络拓扑上接近网关GW的很大程度上任 意的通信终端设备。示例性的第一通信终端设备Pl在此是很大程度上任意的发起呼叫的 通信终端设备。而第二通信终端设备P2是作为“远程客户端”的示例，因此作为处于作用 范围和/或网络拓扑上接近网关GW之外的很大程度上被呼叫的通信终端设备。在图1的拓扑中，网关GW间接地(也就是说关于由第一通信终端设备Pl交换的 信令消息)布置在第一通信终端设备Pl和NAT单元NAT之间的数据路径中，而在图1的拓 扑中，网关GW直接布置在第一通信终端设备Pl和NAT单元NAT之间的数据路径中。在此， “直接的”布置意味着，网关GW布置在第一通信终端设备Pl和其通信伙伴(即第二通信终 端设备P2)之间的有用数据的以及信令数据的数据路径中。第一通信终端设备Pl在网关GW处注册。网关GW例如是VoIP网关(Voiceover IP)，而第一网络LAN例如是私有网络，通常也被称为LAN (Local AddressNetwork)。NAT单 元NAT位于私有的第一网络LAN和例如公共的第二网络INT之间。该NAT单元NAT的任务 在于用公共的IP地址来代替私有的IP地址。
如果NAT单元被附加地设立用于以公共的端口来代替私有的端口或者端口号，那 ^^ikl^R NAT/PAT Jp.7Π (Network Address Translation/Port AddressTranslation ( N 络地址转换/端口地址转换))。因为第二通信终端设备P2不能用其私有地址来响应第一通信终端设备P1，所以 必须将在信令消息中交换的私有IP地址和端口号转换成公共IP地址或端口号。 在现有技术中，这种转换通常由NAT单元或者由第一通信终端设备Pl执行。在此 已知的NAT单元也被称为应用层网关(ALG(Application LayerGateway))。这种ALG能够 提取并转换包含在信令消息中的地址，并且生成修改的信令消息。视所采用的协议而定，这 种 ALG 被称为 SIP-ALG 或者 H. 323-ALG。对于中间连接在数据部分中的NAT单元NAT不被设计为ALG的情况，第一通信终 端设备Pl必须在相应的信令消息中执行相应的代替。为此，第一通信终端设备Pi必须知 道其公共互联网地址和端口号。为了获得所述公共互联网地址和端口号，通过第一通信终 端设备Pl询问STUN服务器STUN。在扩展协议交互式连通建立(ICE Jnteractive Connectivity Establishment) 的情况下，STUN机制如下被扩展，即也能够处理对称的NAT情形。这种对称的NAT情形例 如出现在下述情况中，在所述情况中，源互联网地址和源端口号的NAT/PAT转换与目标互 联网地址或目标端口号有关。为了达到这一点，第一通信终端设备Pl维持所有可用的互联网地址，其中在所 述所有互联网地址下这可能能实现，也即例如私有的互联网地址以及由STUN服务器或者 TURN服务器提供的地址。前述地址全都包含在相应的信令消息中。此外，IP地址或端口号 的这种集合也被称为“候选列表(CandidateList) ”。被呼叫的通信终端设备于是从信令消息中取出所维持的全部地址，并依次测试这 些地址。为此向所有地址发送STUN询问，并且对方的通信终端设备应答每个所述STUN请 求。这意味着，为了支持ICE方法，所有通信终端设备Pl、P2均必须已经实施了 STUN客户 端应用和STUN服务器应用。前述方法展现了当前的现有技术，通过前述方法应该实现通信终端设备PI、P2的 经由NAT单元NAT的可达性。下面依据多个实施例来说明本发明的装置。实施形式的共同思想在于，按具体 情况在中央实体(网关GW中的STUN或者ICE代理P)上应用“IP地址欺骗”和STUN域 “RESPONSE-ADDRESS”，并从而将STUN或者ICE协议不是在相应的通信终端设备Pl、P2上、 而是在另一单元上以转移的方式来实施。只有当中央单元不处于STUN服务器STUN和相应 的通信终端设备PI、P2之间的有用数据路径中时，才进行实施。下面参照图2说明本发明的第一实施形式。在该第一实施形式中(如也在所有下 面的实施形式中一样)假定，NAT单元NAT不被构造为ALG，并且参与的通信终端设备PI、 P2不能处理STUN询问。根据第一实施形式，网关GW直接布置在第一通信终端设备Pl和NAT单元NAT之 间的数据路径中。此外，网关GW被设计为STUN代理P。由于布置在第一通信终端设备Pl 和NAT单元NAT之间的数据路径中，因此网关GW处于第一通信终端设备和其通信伙伴(此 处为第二通信终端设备P2)之间的有用数据路径和信令数据路径中。
在下文中，配置有STUN代理P的网关GW和网关GW通常表示同样的功能单元，即 扩展了代理功能性的网关。与之相应地，在本发明装置的说明中假定一方面STUN代理P和 另一方面网关GW在功能上相同。相应选定的名称一方面强调了 STUN代理P的协议处理特 点，另一方面强调了作为可寻址的单元的网关GW的特点。这对于第一实施例之后的带有相 应TURN或者ICE代理P的其他实施例同样适用。网关GW的配置有附加功能性的功能在于，代替第一通信终端设备P1，网关GW在 STUN代理P中执行STUN协议处理。下面根据各个步骤进一步说明该STUN协议处理。1. 1网关GW窃听(Interception (侦听))由第一通信终端设备Pl 发送的信令消 息，并存储其内容。这种信令消息例如是通常设计的H. 323或者SIP消息。信令消息包括有 关私有 IP (Internet Protocol)地址和所属的 TCP/UDP (Transmission Control Protocol/ User Datagram Protocol (传输控制协议/用户数据报协议))端口的信息，其中第一通信 终端设备Pl打算使用所述私有IP地址和所属的TCP/UDP端口用于交换通信信息。1. 2网关GW现在发送STUN询问到STUN服务器STUN，其中网关GW不采用其自己 的地址和其自己的端口号，而是采用得自1.1的地址或端口号。换言之，网关GW给出与其 自己的不同的地址和端口号，并从而执行“ IP地址欺骗”以及“端口欺骗”。1. 3网关GW窃听由STUN服务器STUN应答于STUN询问之一而发送的STUN消息， 该STUN消息是针对第一通信终端设备Pl的私有IP地址和私有端口号的。1. 4从STUN应答中得到公共IP地址和公共端口号。1. 5通过第一通信终端设备的所属的公共IP地址和所述的公共端口号代替私有 IP地址和私有端口号。在此，最后所说的公共项源自依步骤1. 3和1. 4得出的STUN应答。1. 6现在，向目标发送相应改变的信令消息，所述目标在信令消息的第三层头部中 被标识。现在，第一通信终端设备Pl的通信伙伴(即，第二通信终端设备P2)可以从该信 令消息中得出转换后的公共IP地址及端口号，并且现在可以与第一通信终端设备Pi建立 直接媒体连接，所述直接媒体连接伴随着有用数据的交换而出现。下面参照图1说明本发明的第二实施形式。在通常的情景中，现在假设，在网关GW中所实现的STUN代理P虽然布置或者说中 间连接在与信令消息相关的数据路径中，但却不被布置或者说中间连接在与有用数据消息 相关的数据路径(所谓的媒体路径(Media-Path))中。在这种情况下，当在行为中没有其他 改变时，无法执行根据第一实施形式的方法步骤1. 3，原因在于具有其中所实施的STUN代 理P的网关GW未被布置在有用数据消息的数据路径中，从而不能窃听(intercept)由STUN 服务器STUN向第一通信终端设备Pl发送的STUN响应。作为解决方案的部分，根据本发明采用“RESPONSE-ADDRESS”选项，该选项在描述 STUN方法的出版物RFC 3489中得以定义。在形成STUN请求时采用该选项(也参阅第一实 施例中的方法步骤1. 2)。下面详细说明各个方法步骤，这些方法步骤均在STUN代理P参与 的情况下在网关GW内被执行。2. 0网关GW在使用自己的IP地址和自己的端口号的情况下向STUN服务器STUN 发送STUN请求。在第一实施形式中没有设置该步骤2.0。2. 1在STUN应答到达之后存储布置在网关GW中的STUN代理P的公共IP地址和公共端口号。该步骤2.1在第一实施形式中没有对应项。2. 2以周期性时间间隔重复步骤2. 0和2. 1，以便实现(未示出的)防火墙和/ 或NAT单元NAT使相应的数据路径空出。假如该数据路径未空出，则该防火墙或者NAT单 元NAT将会关闭相应的端口，使得面向分组的网络LAN从外部不再可达。该步骤2. 2在第 一实施形式中没有对应项。2. 3在方法步骤2. 2继续执行期间，网关GW鉴于在第一通信终端设备Pl侧的信令消息监听第一网络LAN。如果存在第一通信终端设备Pl侧的这种信令消息，则窃听该信令 消息并在网关GW中存储该信令消息的内容。在特定存储的内容中存储关于第一通信终端 设备Pl的私有IP地址和相应的TCP或UDP端口的信息，其中第一通信终端设备Pl打算使 用所述私有IP地址和相应的TCP或UDP端口用来接收有用数据。关于要呼叫的通信终端 设备P2的相应的信息也被维持(vorhalten)。2. 4现在，在接下来的步骤中，在网关GW侧向STUN服务器STUN发送STUN询 问。然而所述询问不是在使用网关GW自己的地址的情况下被发送的。取而代之，网关 GW在使用分别从所窃听的信令消息中所得出和存储的IP地址和源端口的情况下发送询 问。换言之，网关GW也在这里执行IP地址欺骗以及端口欺骗。在所述STUN请求中采 用“ RESPONSE-ADDRESS ”选项。这向STUN服务器STUN指示，针对STUN请求的应答不发 送给第一通信终端设备Pl (即，利用欺骗预先规定的STUN询问发送方)，而是发送给在 “RESPONSE-ADDRESS”域中详细说明的接收方。在此，STUN代理P的在步骤2. 1中所存储的 公共IP地址和相应的公共端口号被录入作为在“RESPONSE-ADDRESS”域中详细说明的接收 方。2. 5由于在步骤2. 4中所采取的措施，STUN应答被发送给网关GW的STUN代理P， 而不是第一通信终端设备Pl。2. 6在网关GW侧从STUN应答中得出第一通信终端设备的公共IP地址和公共端□。2. 7网关GW通过分别从在步骤2. 5中所获得的STUN应答中得出的其相应的公共 IP地址和公共端口号来代替第一通信终端设备Pi的私有地址和私有IP端口号。2. 8向目标发送根据之前步骤所修改的信令消息，其中所述目标在该信令消息的 第三层头部中被标识。最终利用步骤2. 0,2. 1和2. 2保证，网关GW在第二面向分组的网络INT或互联网 侧保持可达或可寻址。在第二实施形式的可替代的扩展方案中，不考虑执行或者说实施步 骤2. 0、2. 1和2. 2，取而代之，在网关GW侧采用公共网络地址。在该可替代的扩展方案中， 在步骤2. 4中将网关GW的公共地址录入到“RESPONSE-ADDRESS”域中。在本发明的下面介绍的第三实施形式中，使用协议TURN(Traversal UsingRelay NAT)来代替协议STUN。该方法除了用表述“TURN”来代替表述“STUN”之外，与属于第二实 施形式的方法相同。下面在使用协议 ICE (Interactive Connectivity Establishment)的情况下介绍 本发明第四实施形式。为此参照图2再次假定，网关GW处于有用数据和信令消息的数据路 径中。因此在“数据路径”中的位置与第一实施形式类似地意味着，信令消息和有用数据消 息(媒体消息)经由网关GW被引导。在网关GW中实现相应的ICE代理P。
在此，在网关GW中的ICE代理P的共同作用下执行下列步骤，这些步骤根据其有 用数据消息的方向来编号。最初用4. 1编号的步骤从本地客户端出发朝着远程客户端的方 向，也就是说从发起呼叫的第一通信终端设备Pl出发朝着被呼叫的第二通信终端设备P2 的方向进行。最初用4. 2编号的步骤从远程客户端出发朝着本地客户端的方向，也就是说 从被呼叫的第二通信终端设备P2出发朝着发起呼叫的第一通信终端设备Pl的方向进行。4. 1. 1在网关GW侧窃听第二通信终端设备P2的信令消息。所述信令消息选择性 地也已被发送给布置在第二网络INT中的位于第三层的(未示出的)VoIP网关。必要时， 信令消息包括具有第二通信终端设备P2的可能的IP地址和端口号的候选列表。4. 1. 2通信终端设备P2的地址从该信令消息中得出。4. 1. 3网关GW中的ICE代理P将STUN请求发送给第二通信终端设备P2的地址， 其中作为地址使用第二通信终端设备P2的在步骤4. 1. 2中从信令消息中得出的IP地址和 端口号。此外，为了标识发送方，不是采用网关GW的自己的IP地址和自己的端口号，而是 采用根据步骤4. 1. 2从信令消息中得出的相应源IP地址和源端口号。换言之，应用IP地 址欺骗和端口欺骗。4. 1. 4在网关GW侧窃听从公共网络区域INT在第一通信终端设备Pl的方向上发 送的STUN应答。4. 1.5从STUN应答中得出来自第三层头部的源IP地址和源端口号。4. 1. 6通过在步骤4. 1. 5中确定的唯一的IP地址来代替具有第二通信终端设备 P2的可能的IP地址和端口号的候选列表，该候选列表与步骤4. 1. 1的信令消息相关。4. 1. 7从根据在前步骤确定的地址和端口号来生成经改变的信令消息。该信令消 息被转发给在第三层或者第四层头部中得出的IP地址和端口号。4. 1中的步骤是与有用数据消息的从第一通信终端设备Pl朝向第二通信终端设 备P2的方向有关的，而在4. 2的下面的分步骤中，考虑从第二通信终端设备P2朝向第一通 信终端设备Pl发送的消息。4. 2. 1执行根据本发明第一实施形式的步骤1. 1至1. 4。4. 2. 2向候选列表插入在上述步骤4. 2. 1中取得的STUN或者TURN地址。该候选 列表被插入到新生成的信令消息中，该信令消息被发送给在信令消息的第三层头部中所标 识的目标。4. 2. 3现在，通信的对方(即，第二通信终端设备P2)通过向候选列表的所有候选 者发送STUN请求来检查候选列表的所有候选者。在此，所述候选者是发起呼叫的伙伴(即， 第一通信终端设备Pl)的可能有效的IP地址或者相应的端口号。ICE代理P窃听被发送 给“不知道ICE (ICE-unbedarft) (non-ICE-aware)，，的通信伙伴Pl的这些STUN请求，并且 相应地应答所述STUN请求。因此这里IP地址欺骗是不必要的或者不是绝对必要的。第四实施形式与第一实施形式的表面上的(特别也根据相同的网络拓扑可设想 的)类似之处表明，在使用ICE的情况下实际上与基于STUN的第一实施形式相比是不同 的。ICE具有在所述第四实施形式中要考虑的特色。如果首先第二通信消息发送信令消息、例如SIP消息，那么出现更易于处理的情 形。于是，第一通信终端设备Pl可以将在那里所包括的IP地址和端口号用于其STUN询问， 并且由此找出在哪个地址下不仅能够到达本地的第一通信终端设备P1，而且也能够到达第二通信终端设备P2。相应地，在转发之前改正SIP或者SDP中的信息。如果第一通信终端设备Pl呼叫对方(S卩，第二通信终端设备P2)，则出现较难处理 的情形。于是在STUN代理P侧不知道应该向谁发送相应的STUN询问。为此建议的解决方 案在于，使该对方告知其IP地址和端口号。为此，已经从本地的第一通信终端设备Pl窃听 到邀请消息或者“SIP INVITE”消息的STUN代理P可以在无IP地址和端口号的情况下转 发该邀请消息。可以在稍后的SIP消息中补充提供IP地址和端口号。第二通信终端设备 P2应当用包括其IP地址和端口号的SIP消息来应答该邀请消息。现在，STUN代理能够进 行STUN查询。STUN代理P还可以补充提供第二通信终端设备P2的IP地址和端口号，并且 根据利用STUN协议获得的信息来调整由第二通信终端设备P2发送的SIP消息，并且转发 给第一通信终端设备Pl。下面参照图1说明本发明的第五实施形式。在该实施形式中，ICE代理 P布置在 信令消息的数据路径中，但是不布置在有用数据消息的数据路径中。对于从第二通信终端设备P2向第一通信终端设备Pl的消息方向不存在“直接的” 解决方案，这是因为有ICE能力的对方(即，第二通信终端设备P2)执行连接检查，所述连 接检查以STUN询问的形式被直接发送给“不知道ICE”的第一通信终端设备P1。所述“不 知道ICE”的第一通信终端设备Pl不能处理所述ICE连接检查。网关GW中的ICE代理P 也不能窃听这种STUN请求。因此，根据第五实施形式需要提高的耗费，这与对从第一通信终端设备Pl朝向第 二通信终端设备P2的方向发送的有用数据消息的处理相关。在双方向上，通过ICE代理P执行以下方面5. 0. 1执行步骤2. 0至2. 2，目的在于获得ICE代理P的公共IP地址和公共端口号。对于在通信连接的范围内从第一通信终端设备Pl出发朝向第二通信终端设备P2 发送的有用数据消息而言，在ICE代理P的参与下执行以下方面5. 1. 1窃听由第二通信终端设备P2发往第一通信终端设备Pl的信令消息。5. 1. 2信令消息的内容被写入信令消息存储器中，从而在步骤5. 2. 3和5. 1. 4. 2中 可以使用该内容。5. 1. 3下面类似于根据步骤2. 4至2. 6的行为，执行以下方法，在该方法中，利 用借助欺骗预先规定的地址将STUN请求发送给第二通信终端设备P2，其中，STUN请求在 “RESPONSE-ADDRESS”域中包括网关GW的地址，并且其中代理P包括相应的应答。然而这 次，STUN询问被发送给通信终端设备P2的通过步骤5. 1. 1确定的候选列表的地址和端口 号。另外，在选项“RESPONSE-ADDRESS”中录入ICE代理P的地址，以便向ICE代理P发送 应答。5. 1.4源IP地址和端口号从对STUN询问的第一应答的第三层和第四层头部中得 出。第二通信终端设备P2的所述IP地址和端口号与从ICE代理P的角度来看的那些IP 地址和端口号相对应。5. 1. 5在步骤5. 1. 1的所窃听的消息中去除候选列表的所有IP地址和端口号，除 了与得自在步骤5. 1.4中读取的值的IP地址和端口号一致的项之外。5. 1. 6向目标发送改变后的信令消息，所述目标在该信令消息的第三层头部中被标识。5. 1. 7在信令消息存储器中选择性地检查，(下述的)步骤5. 2是否已经被执行， 而且是否在同一连接上以相反的方向。对于步骤5. 2已经被执行的情况，执行(下述的)步 骤5. 2. 4. 2并且检查，从第二通信终端设备P2的角度来看的本地地址是否与已经转交给第 一通信终端设备Pl的地址相一致。对于步骤5. 2未被执行的情况，不执行任何动作。如果 检查得出，从第二通信终端设备P2的角度来看的本地地址与转交给第一通信终端设备Pl 的地址一致，那么例如利用SIP UPDATE或者利用SIP re_INVITE消息将连接置于最新的状 态，其中现在给出修正后的IP地址和端口号。对于在通信连接的范围中从 第二通信终端设备P2出发朝向第一通信终端设备Pl 发送的有用数据消息而言，在ICE代理P的参与下执行以下方面5. 2. 2由网关GW窃听从第一通信终端设备朝向第二通信终端设备P2发送的信令 消息。5. 2. 3查询信令消息存储器，是否已经接收到相反方向上的信令信息。5. 2. 4. 1如果根据5. 2. 3说明的查询是否定的，即没有接收到在相反方向上的 信令消息，那么按照该信令消息利用第一通信终端设备Pi的本地IP地址和端口号执 行步骤2. 4至2. 6。这意味着，向公共STUN服务器STUN发送STUN询问，然而附有选项 “RESPONSE-ADDRESS”的指示，以便实现，向ICE代理P发送应答。接着从STUN应答消息中 得出针对第一通信终端设备Pl的公共IP地址和端口号。5. 2. 4. 1如果根据5. 2. 3的查询是肯定的，即已经接收到在相反方向上的信令消 息，那么执行步骤2. 4至2. 6，然而这一次STUN询问被发送给第二通信终端设备P2的从候 选列表中得出的地址。在这种情况下，从第二通信终端设备P2的角度来看，从STUN应答中 得出第一通信终端设备Pl的IP地址和端口号。5. 2. 5现在代替包含在信令消息中的私有IP地址，其中，作为替代IP地址，或者使 用在步骤5. 1. 4. 1中确定的IP地址，或者使用在步骤5. 1. 4. 2中确定的IP地址。5. 2. 6现在，向目标转发如此修改后的信令消息，所述目标在该信令消息的第三层 头部中被标识。根据本发明的STUN代理P使得不必将STUN或者ICE能力集成在通信终端设备中。 本发明还示出如何利用网络拓扑来处理，其中，STUN代理P布置在信令消息的数据路径中， 但不布置在有用数据消息的数据路径中。
权利要求
用于连接面向分组的通信终端设备的方法，-其中，第一通信终端设备(P1)布置在第一网络(LAN)中，其中所述第一网络(LAN)经由网络地址转换单元(NAT)连接到布置有第二通信终端设备(P2)的第二网络(INT)，-其中网关(GW)控制所述第一通信终端设备(P1)的交换，-其中，分配给所述网关(GW)的代理(P)被设立用于窃听或者监听针对所述第一通信终端设备(P1)确定的和/或在所述第一通信终端设备(P1)侧发出的消息，-其中，在所述代理(P)侧通过与服务器(STUN)合作来实施用于识别和穿越所述网络地址转换单元(NAT)的网络协议，-其中，所述代理(P)代替所述第一通信终端设备(P1)通过第二消息来答复在所述服务器(STUN)侧发送给所述第一通信终端设备(P1)的第一消息，在所述第二消息中，-将所述第一通信终端设备(P1)的地址和/或端口号录入作为发送方地址和/或发送方端口号，和/或-设定根据用于识别和穿越所述网络地址转换单元(NAT)的网络协议设置的选项，所述选项使得将对所述第二消息的应答传送给所述第一通信终端设备(P1)。
2.根据权利要求1所述的方法，其特征在于，所述网关(GW)处于在所述服务器(STUN)和所述第一通信终端设备(Pl)之间交换的 有用数据的数据路径之外。
3.根据权利要求1所述的方法，其特征在于，所述网关(GW)不仅处于在所述服务器(STUN)和所述第一通信终端设备 (Pl)之间交换的有用数据的数据路径之中，而且也处于在所述服务器(STUN)和所述第一 通信终端设备(Pl)之间交换的信令数据的数据路径之中。
4.根据前述权利要求之一所述的方法，其特征在于，采用STUN和/或TURN和/或ICE或者这三种所述网络协议的组合来作 为用于识别和穿越所述网络地址转换单元(NAT)的网络协议。
5.根据前述权利要求之一所述的方法，其特征在于，为了选择用于将对第二消息的应答传送给所述第一通信终端设备 (PI)的选项，用所述第一通信终端设备(Pi)的地址来填充在所述网络协议中设置的 “RESPONSE-ADDRESS” 域。
6.用于连接面向分组的通信终端设备的代理，其中，第一通信终端设备(Pl)布置在第 一网络(LAN)中，其中所述第一网络(LAN)经由网络地址转换单元(NAT)连接到布置有第 二通信终端设备(P2)的第二网络(INT)，其中网关(GW)控制所述第一通信终端设备(Pl) 的交换，其特征在于，-被设立用于窃听或者监听针对所述第一通信终端设备(Pl)确定的消息和/或在所述 第一通信终端设备(Pl)侧发出的消息的装置；-用于通过与服务器(STUN)合作来运行用于识别和穿越所述网络地址转换单元(NAT) 的网络协议的装置；-用于代替所述第一通信终端设备(Pl)通过第二消息来答复在所述服务器(STUN)侧发送给所述第一通信终端设备(Pi)的第一消息的装置，在所述第二消息中，-将所述第一通信终端设备(Pi)的地址和/或端口号录入作为发送方地址和/或发送 方端口号，和/或- 设定根据用于识别和穿越所述网络地址转换单元(NAT)的网络协议设置的选项，所 述选项使得将对所述第二消息的应答传送给所述第一通信终端设备(Pl)。
全文摘要
本发明涉及一种用于连接面向分组的通信终端设备的方法和装置，其中，第一通信终端设备(P1)布置在第一网络(LAN)中，其中第一网络(LAN)经由网络地址转换单元(NAT)连接到布置有第二通信终端设备(P2)的第二网络(INT)。在此设置在网关(GW)中的代理(P)被设立用于窃听或者监听消息，在所述代理中实施STUN、ICE或者TURN协议。本发明具有的思想在于，按具体情况在代理中实现IP地址欺骗或端口号欺骗和STUN域“RESPONSE-ADDRESS”，并从而使得STUN或ICE协议不是在相应的通信终端设备上而是以转移的方式在另一单元上来执行。只有当中央单元不处于STUN服务器STUN和相应的通信终端设备之间的有用数据路径中时，才进行实施。
文档编号H04L29/12GK101822026SQ200780100838
公开日2010年9月1日 申请日期2007年9月28日 优先权日2007年9月28日
发明者O·维茨 申请人:西门子企业通讯有限责任两合公司