[发明专利]使用认证令牌来授权防火墙打开针孔

权利要求书

1.一种系统，包括：

网络设备，被配置为：

接收用来授权穿越所述网络设备去往目的地端点的媒体流的消息，其中，请求包括密码授权令牌(CAT)以及描述所述媒体流的源端点和目的地端点的流数据；

评估所述CAT以判断所述CAT是否是由经授权的呼叫控制器生成的，其中，所述评估至少部分地基于所述网络设备和所述经授权的呼叫控制器两者知道的共享私密；以及

当确定所述CAT是由所述经授权的呼叫控制器生成的时，打开允许来自所述源端点的网络流量经过所述网络设备去往所述目的地端点的针孔。

2.如权利要求1所述的系统，其中，所述消息还包括指示所述CAT被生成的时间的伪时间、保活频率时段以及相对于所述伪时间指定的CAT使用期限时段。

3.如权利要求2所述的系统，其中，用于新的针孔的伪时间必须大于所述网络设备上次看到的伪时间。

4.如权利要求2所述的系统，其中，所述网络设备还被配置为要求在所述针孔被打开之后的每个连续的保活频率时段内接收到保活消息，以使得所述针孔持续保持打开达所述CAT使用期限时段的持续时间。

5.如权利要求4所述的系统，其中，所述经授权的呼叫控制器被配置来向受信任中继点(TRP)授予生成由所述网络设备接收的所述保活消息的权限。

6.如权利要求5所述的系统，其中，所述保活消息是利用由与所述媒体流相关联的信息构成的4元组被发送的，与所述媒体流相关联的信息包括源IP地址、源UDP端口、目的地IP地址和目的地UDP端口。

7.如权利要求6所述的系统，其中，所述消息被编码到用于NAT的会话穿越效用(STUN)消息中。

8.如权利要求1所述的系统，其中，所述呼叫控制器对从所述源端点打往所述目的地端点的VoIP呼叫进行授权。

9.如权利要求1所述的系统，其中，所述CAT是利用基于密钥的散列消息认证代码(HMAC)生成的，所述基于密钥的HMAC是根据描述了源端点和目的地端点的流数据以及所述共享私密计算出的。

10.如权利要求1所述的系统，其中，由所述网络设备接收的所述消息与所述媒体流在相同的4元组上，其中，所述媒体流包括RTP媒体流，并且其中，所述4元组包括所述RTP媒体流的源IP地址、源UDP端口、目的地IP地址和目的地UDP端口。

11.如权利要求10所述的系统，其中，所述消息包括用于NAT的会话穿越效用(STUN)消息。

12.如权利要求1所述的系统，其中，所述网络设备用作将所述目的地端点与网络流量屏蔽开的防火墙。

13.一种使用认证令牌来授权网络设备打开针孔的方法，所述针孔允许媒体流穿越所述网络设备去往目的地端点，该方法包括：

接收用来授权穿越所述网络设备去往所述目的地端点的所述媒体流的消息，其中，请求包括密码授权令牌(CAT)以及描述所述媒体流的源端点和目的地端点的流数据；

评估所述CAT以判断所述CAT是否是由经授权的呼叫控制器生成的，其中，所述评估至少部分地基于所述网络设备和所述经授权的呼叫控制器两者知道的共享私密；以及

当确定所述CAT是由所述经授权的呼叫控制器生成的时，打开允许来自所述源端点的网络流量经过所述网络设备去往所述目的地端点的针孔。

14.如权利要求13所述的方法，其中，所述消息还包括指示所述CAT被生成的时间的伪时间、保活频率时段以及相对于所述伪时间指定的CAT使用期限时段。

15.如权利要求14所述的方法，其中，用于新的针孔的伪时间必须大于所述网络设备上次看到的伪时间。

16.如权利要求14所述的方法，其中，所述网络设备被配置为要求在所述针孔被打开之后的每个连续的保活频率时段内接收到保活消息，以使得所述针孔持续保持打开达所述CAT使用期限时段的持续时间。

17.如权利要求16所述的方法，其中，所述呼叫控制器被配置来向受信任中继点(TRP)授予生成由所述网络设备接收的所述保活消息的权限。