[发明专利]用于分组语音通信网络的安全性网守

说明书

技术领域

本发明涉及分组语音通信，且更明确地说，涉及对准许数据分组进入分组语音通信网络的控制。更具体地说，本发明涉及一种用于VoIP网络的安全性网守(gatekeeper)。

背景技术

局域网(LAN)正越来越多地用于在机构或公司环境内承载电话服务。出于增强安全性、可靠性和确保QoS(服务质量)的缘故，LAN环境中的电话服务通常通过使用VoIP(因特网语音协议)技术由分组语音数据业务承载，且通过LAN的分离(例如，通过VLAN(虚拟LAN))来与普通数据业务分开。由于对服务安全性、可靠性和网络稳健性的更严格需求，专用于VoIP电话服务的LAN在本说明书中称为置信LAN。另一方面，用于承载普通数据业务(包括语音和数据业务的组合)的LAN称为“非置信网络”。分离语音和数据LAN意味着连接到经分离LAN的装置不能直接经由数据链路层(OSI7层模型的层2)在其自身之间通信，且此类装置之间的通信将必须经由上部层(也就是说，网络层)进行。

为了保护置信语音网络的服务完整性，根据满意认证而准许装置进入所述置信语音网络。在准入之前进行认证不会对具有内置认证机制的特殊IP电话造成主要问题。然而，预先准入认证会对没有专用认证构件的装置(例如，“现成”IP电话或软电话，其是在连接到非置信网络的装置上运行的基于软件的VoIP应用程序)造成难题。

尽管分离语音和数据网络通过减轻由于对非置信网络恶意攻击产生普遍损坏的危险而增强了置信语音网络的安全性、可靠性和稳健性，但这也会对分别连接到置信和非置信网络的语音装置之间的通信造成严重(如果并非不可能的话)限制。举例来说，连接到非置信网络但没有专用认证构件的软电话或IP电话将必须经历正常或公用因特网信道，以便与连接到置信网络的语音装置建立语音通信。然而，通过正常公用因特网信道的业务通常受公司防火墙保护，公司防火墙通常经配置以阻止所有基于UDP的媒体业务。因而，此类装置之间存在语音通信而不危害置信网络的安全性，这是不可能的。

为了增强部署灵活性，需要连接到置信网络的电话装置(下文将称为“置信语音装置”(TVD))与连接到非置信网络的电话装置(下文将称为“非置信语音装置”(UVD))能够彼此通信。然而，这种灵活性必须以不会显著增加部属成本且不会由于降低安全性门限而危害网络安全性为基础。危害网络安全性是不可接受的，且阻挠实现具有用于置信和非置信装置的分离网络的最初目的。当前，这在上文提到的分离VLAN环境中是不可能的。

在本说明书中，术语“层”始终意指并指代在OSI(开放式系统互连)协议模型下定义的层，除非上下文另外要求，否则术语“置信网络”、“语音LAN”和“置信语音网络”是等效的并可互换使用，且术语“非置信网络”、“数据LAN”和“数据网络”是等效的并可互换使用。对VLAN技术的描述可查阅(例如)“IEEE Standardfor Information technology--Telecommunications and information exchange betweensystems--IEEE standard for local and metropolitan area networks--Commonspecifications-第3部分：Media access control(MAC)Bridges，ANSI/IEEE Std 802.1D，1998版本”。该文献以引用的方式并入本文中。

发明内容

本发明的目的

因此，本发明的目的是提供对置信网络的准入控制，其减轻了常规准入控制构件的缺点。在最小程度上，本发明的目的至少是为公众提供对用于分组语音网络的准入控制构件的有用选择。

根据本发明，提供准入控制的构件和方法，借助所述准入控制可基于检查高层呼叫控制协议来准许来自连接到非置信网络的装置的业务进入置信网络。

根据本发明的优选实施例，提供用于控制准许业务进入语音通信网络中的准入控制构件，所述准入控制构件包含用于当请求准许所述业务进入所述语音通信网络中时检查呼叫控制对话的呼叫控制消息的构件，仅当伴随业务准入请求的呼叫控制消息满足预定准入标准时，所述准入控制构件才准许业务进入所述语音通信网络。

优选地，所述呼叫控制消息含有呼叫者的信息，且预定准入标准包含所述呼叫者作为准入呼叫者的身份。

优选地，所述呼叫控制消息含有呼叫目的地的信息，且预定准入标准包含所述呼叫目的地作为准入呼叫目的地的身份。