[发明专利]使用认证令牌来授权防火墙打开针孔

说明书

技术领域

本发明中描述的实施例一般地涉及网络安全，并且更具体地涉及使用认证令牌(authentication token)来授权(authorize)防火墙打开针孔(pinhole)。

背景技术

众所周知，RTP(实时协议的略称)提供了用于输运诸如流传输音频和视频(例如，VoIP电话呼叫)之类的实时媒体数据的因特网标准协议。当然，其它协议也可用来创建并管理计算机网络上的媒体流。允许这样的媒体流过防火墙的常见方法是：防火墙检查信令消息(例如SIP)以识别与媒体将用于数据流(例如，经由UDP的RTP)的IP地址和端口有关的信息。一旦经过识别，防火墙打开“针孔”，该“针孔”允许媒体流经该防火墙去往所希望的目的地(如果目的地地址和/或端口被授权接收这样的流量的话)。然而，如果信令被加密(经常是这样的)，则防火墙无法检查信令的实质以识别目的地地址和/或端口。

此外，如果信令和实际媒体流经过不同路径穿越(traverse)网络，则无法保证实际接收到媒体的防火墙将明白应当为这样的媒体打开针孔。该后一种情形可以通过约束网络设计以迫使信令和媒体流经同一防火墙来解决。然而，该方法通常导致不自然的网络设计选择以便迫使消息信令和后续的实时数据流两者使用相同网络路径。因此，存在对使用认证令牌来授权防火墙为某些媒体流打开针孔的技术的需要；尤其是为承载了实时流传输媒体数据的媒体流(例如，利用经由UDP的RTP输运的VoIP呼叫)打开针孔。

发明内容

本发明中描述的实施例一般地提供了用于使用认证令牌来授权防火墙打开针孔的方法和装置。这里描述的一个实施例包括一种系统。该系统一般可以包括具有处理器和包含程序的存储器的网络设备。该程序一般可被配置为接收用来授权穿越网络设备去往目的地端点的媒体流的消息。请求本身可以包括密码授权令牌(CAT)以及描述媒体流的源端点和目的地端点的流数据。该网络程序还可以被配置为评估CAT以判断CAT是否是由经授权的呼叫控制器生成的。评估至少部分地基于网络设备和经授权的呼叫控制器两者知道的共享私密(shared secret)。当确定CAT是由经授权的呼叫控制器生成的时，由网络设备打开针孔，以允许来自源端点的网络流量经过网络设备去往目的地端点。

在特定实施例中，该消息还可以包括指示CAT被生成的时间的伪时间(pseudo-time)、保活频率时段以及相对于伪时间指定的CAT使用期限时段。此外，网络设备可以要求在针孔被打开之后的每个连续的保活频率时段内接收到保活消息(keep-alive message)，以使得针孔持续保持打开达CAT使用期限时段(也是相对于伪时间确定的)的持续时间。另外，生成了用于授权防火墙打开针孔的CAT的呼叫控制器还可被配置来向受信任中继点(TRP)授予保持特定针孔打开达给定CAT的使用期限的权限。为了使呼叫在超过该时段之后保持活跃(active)，TRP可以在初始CAT期满之前从呼叫控制器请求新的CAT，并将其转发给端点。CAT和保活消息两者作为用于NAT的会话穿越效用(STUN)消息通过网络被发送。

附图说明

为了可以详细地理解本发明的上述特征，可以通过参考实施例得到在上面简要概述的本发明的更具体描述，实施例中的一些在附图中示出。然而，注意，附图仅图示出了本发明的典型实施例，因此，不应认为是对其范围的限制，因为本发明可以接纳其它等效实施例。

图1图示出了根据本发明的实施例的示例网络拓扑。

图2是图示出根据本发明的实施例的用于使用认证令牌来授权防火墙打开针孔的示例方法的流程图。

图3是图示出根据本发明的实施例的用于利用保活消息来使针孔维持承载媒体流的方法的示例的流程图。

图4A-4E图示出了根据本发明的实施例的在图1的示例网络拓扑中使用认证令牌来授权防火墙打开针孔的网络流量流。

图4F-4G图示出了根据本发明的实施例的在图1的示例网络拓扑中使用认证令牌以便利用从认证令牌得到的保活消息来使针孔保持承载媒体流的网络流量流。

具体实施方式