CN101238678A - 用于分组语音通信网络的安全性网守 - Google Patents
用于分组语音通信网络的安全性网守 Download PDFInfo
- Publication number
- CN101238678A CN101238678A CNA2006800284740A CN200680028474A CN101238678A CN 101238678 A CN101238678 A CN 101238678A CN A2006800284740 A CNA2006800284740 A CN A2006800284740A CN 200680028474 A CN200680028474 A CN 200680028474A CN 101238678 A CN101238678 A CN 101238678A
- Authority
- CN
- China
- Prior art keywords
- access
- control member
- member according
- access control
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 67
- 230000008859 change Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 description 11
- 238000000034 method Methods 0.000 description 6
- 230000011664 signaling Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008676 import Effects 0.000 description 4
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000015556 catabolic process Effects 0.000 description 2
- 238000006731 degradation reaction Methods 0.000 description 2
- 230000001066 destructive effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013101 initial test Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供用于控制准许业务进入语音通信网络中的准入控制构件,所述准入控制构件包含用于当请求准许所述业务进入所述语音通信网络中时检查呼叫控制对话的呼叫控制消息的构件,只有当伴随所述业务准入请求的所述呼叫控制消息满足预定准入标准时,所述准入控制构件才准许业务进入所述语音通信网络中。
Description
技术领域
本发明涉及分组语音通信,且更明确地说,涉及对准许数据分组进入分组语音通信网络的控制。更具体地说,本发明涉及一种用于VoIP网络的安全性网守(gatekeeper)。
背景技术
局域网(LAN)正越来越多地用于在机构或公司环境内承载电话服务。出于增强安全性、可靠性和确保QoS(服务质量)的缘故,LAN环境中的电话服务通常通过使用VoIP(因特网语音协议)技术由分组语音数据业务承载,且通过LAN的分离(例如,通过VLAN(虚拟LAN))来与普通数据业务分开。由于对服务安全性、可靠性和网络稳健性的更严格需求,专用于VoIP电话服务的LAN在本说明书中称为置信LAN。另一方面,用于承载普通数据业务(包括语音和数据业务的组合)的LAN称为“非置信网络”。分离语音和数据LAN意味着连接到经分离LAN的装置不能直接经由数据链路层(OSI7层模型的层2)在其自身之间通信,且此类装置之间的通信将必须经由上部层(也就是说,网络层)进行。
为了保护置信语音网络的服务完整性,根据满意认证而准许装置进入所述置信语音网络。在准入之前进行认证不会对具有内置认证机制的特殊IP电话造成主要问题。然而,预先准入认证会对没有专用认证构件的装置(例如,“现成”IP电话或软电话,其是在连接到非置信网络的装置上运行的基于软件的VoIP应用程序)造成难题。
尽管分离语音和数据网络通过减轻由于对非置信网络恶意攻击产生普遍损坏的危险而增强了置信语音网络的安全性、可靠性和稳健性,但这也会对分别连接到置信和非置信网络的语音装置之间的通信造成严重(如果并非不可能的话)限制。举例来说,连接到非置信网络但没有专用认证构件的软电话或IP电话将必须经历正常或公用因特网信道,以便与连接到置信网络的语音装置建立语音通信。然而,通过正常公用因特网信道的业务通常受公司防火墙保护,公司防火墙通常经配置以阻止所有基于UDP的媒体业务。因而,此类装置之间存在语音通信而不危害置信网络的安全性,这是不可能的。
为了增强部署灵活性,需要连接到置信网络的电话装置(下文将称为“置信语音装置”(TVD))与连接到非置信网络的电话装置(下文将称为“非置信语音装置”(UVD))能够彼此通信。然而,这种灵活性必须以不会显著增加部属成本且不会由于降低安全性门限而危害网络安全性为基础。危害网络安全性是不可接受的,且阻挠实现具有用于置信和非置信装置的分离网络的最初目的。当前,这在上文提到的分离VLAN环境中是不可能的。
在本说明书中,术语“层”始终意指并指代在OSI(开放式系统互连)协议模型下定义的层,除非上下文另外要求,否则术语“置信网络”、“语音LAN”和“置信语音网络”是等效的并可互换使用,且术语“非置信网络”、“数据LAN”和“数据网络”是等效的并可互换使用。对VLAN技术的描述可查阅(例如)“IEEE Standardfor Information technology--Telecommunications and information exchange betweensystems--IEEE standard for local and metropolitan area networks--Commonspecifications-第3部分:Media access control(MAC)Bridges,ANSI/IEEE Std 802.1D,1998版本”。该文献以引用的方式并入本文中。
发明内容
本发明的目的
因此,本发明的目的是提供对置信网络的准入控制,其减轻了常规准入控制构件的缺点。在最小程度上,本发明的目的至少是为公众提供对用于分组语音网络的准入控制构件的有用选择。
根据本发明,提供准入控制的构件和方法,借助所述准入控制可基于检查高层呼叫控制协议来准许来自连接到非置信网络的装置的业务进入置信网络。
根据本发明的优选实施例,提供用于控制准许业务进入语音通信网络中的准入控制构件,所述准入控制构件包含用于当请求准许所述业务进入所述语音通信网络中时检查呼叫控制对话的呼叫控制消息的构件,仅当伴随业务准入请求的呼叫控制消息满足预定准入标准时,所述准入控制构件才准许业务进入所述语音通信网络。
优选地,所述呼叫控制消息含有呼叫者的信息,且预定准入标准包含所述呼叫者作为准入呼叫者的身份。
优选地,所述呼叫控制消息含有呼叫目的地的信息,且预定准入标准包含所述呼叫目的地作为准入呼叫目的地的身份。
优选地,所述呼叫控制消息含有发送业务准入请求的服务器的信息,且预定准入标准包含所述服务器作为准入服务器的身份。
优选地,阻止来自非准入服务器目的地的业务准入请求进入所述语音通信网络中。
优选地,所述呼叫控制消息含有发出业务准入请求所针对的媒体内容的类型的信息,所述预定准入标准包含作为准入内容类型的媒体内容类型。
优选地,媒体内容类型的可准入性根据所述语音网络的状态而变化。
优选地,预定协议序列的呼叫控制协议用于发出业务准入请求,阻止协议序列不根据所述预定协议序列的业务准入请求。
优选地,所述呼叫控制消息含有媒体协议的信息,且所述预定准入标准包括由所述语音通信网络支持作为准入媒体协议的媒体协议。
优选地,所述呼叫控制消息含有发出业务准入请求所针对的内容的长度的信息,所述预定准入标准包含不超过所规定的最大准入内容长度的内容长度。
优选地,最大准入内容长度根据请求准入所针对的业务的媒体内容类型而变化。
优选地,所述呼叫控制消息含有转发目的地的信息,且预定准入标准包括所述转发目的地作为准入转发目的地。
附图说明
下文将借助于实例且参看附图来进一步详细解释本发明的优选实施例,在附图中:
图1展示示范性局域网(LAN),其中聚合数据和VoIP应用程序连接到常规LAN交换机且由IP电话服务器控制;
图2是展示业务识别程序(TIP)的原理的流程图;
图3是展示SSG的示范性逻辑结构的框图;
图4展示部署有图3的SSG的示范性逻辑上分离的语音和数据VLAN;
图5是说明分别连接到图4的数据VLAN和语音VLAN的两个电话装置之间的示范性呼叫建立序列的框图;且
图6是图4和5的网络环境中的SSG的操作的示范性流程图。
具体实施方式
图1展示构建在示范性局域网(LAN)上的VoIP应用程序的示范性常规网络。此语音网络包含用于层2数据交换的LAN交换机、多个IP电话装置和IP电话服务器(ITS)。每一IP电话装置具有特征IP地址IPFx和内部电话分机号码(例如,101-104)。向ITS分配IP地址(IPITS),且所有相关网络实体连接到LAN交换机。由于所有实体均连接到同一数据网络,因而向它们分派同一IP子网的IP地址。
在典型VoIP环境下在两个电话装置之间的电话呼叫会话中,在分组语音媒体数据业务将在电话装置之间流动之前,将进行呼叫控制信令协议交换以用于建立呼叫会话。VoIP中的呼叫控制信令是基于VoIP对话的且借助于呼叫控制消息的交换。VoIP对话是应用层呼叫控制消息或含有呼叫信息的呼叫控制对话,所述呼叫信息例如为呼叫者ID、被叫者ID、呼叫ID、媒体类型等。此类呼叫信息对于支持较复杂的电话特征来说是必不可少的,所述较复杂的电话特征例如为多方会议、呼叫转接、呼叫转移、呼叫驻留、呼叫代接、呼叫建立等。作为另一实例,在公司环境下,IT政策可允许呼叫一方但禁止呼叫转接到其它方。此类特征可通过高层呼叫控制协议而并非例如传输层协议等低层协议来完成。
常规防火墙保护是基于低层协议访问规则的,所述低层协议访问规则仅对例如TCP/UDP和IP等传输或网络层协议的准入控制有效,其对例如VoIP应用程序中的呼叫控制信令协议等高层协议的准入控制无效。举例来说,常规防火墙不能基于呼叫者或被叫者的用户ID和/或用户电话号码来区别对待准许进入网络。
业务识别程序(TIP)是一组用于例如SIP等应用层协议的准入控制的动态和有状态访问规则。TIP在可适于实时情形的意义上是动态的,举例来说,可根据处理带宽来应用不同的TIP规则。TIP在可根据呼叫状态来自我调节的意义上是有状态的。举例来说,在已经在多方之间建立呼叫之后,将阻止呼叫建立程序,直到先前呼叫已经终止为止。虽然下文将参看会话起始协议(SIP)来说明准入控制,但这只是出于方便起见且应了解应用程序在不损失一般性的情况下对其它协议加以必要的修正。
作为背景参考,SIP是基于文本的应用层控制协议,其基于客户端-服务器模型。SIP消息通常关于类型请求和响应。请求由一个实体(客户端)产生且发送到对其作出响应的接收实体(服务器)。请求调用可通过TCP或UDP发送的方法。SIP当前包含六种方法,即邀请(INVITE)、确认(ACK)、选择(OPTIONS)、再见(BYE)、取消(CANCEL)和注册(REGISTER)。邀请方法用于在客户端与服务器之间起始呼叫,且是最重要的方法。SIP使用会话描述协议(SDP)来进行媒体说明。SIP正迅速成为用于VoIP应用程序的普遍信令协议,且在IETF(因特网工程任务组)RFC3261标准协议中详细描述,所述IETF RFC 3261标准协议以引用的方式并入本文中。
在基于SIP的VoIP电话环境下,在建立RTP(实时传输协议)会话以用于在电话装置之间承载语音媒体业务之前,将进行SIP呼叫控制信令消息的交换。具体地说,每一VoIP呼叫由两种类型的业务(即,呼叫控制业务和媒体(语音)业务)表示。在已经通过VoIP服务器在两方或两方以上之间建立语音连接之后,将语音业务从一个指定端口交换或路由到另一个指定端口。在已经建立呼叫之后,在装置之间交换媒体流以促进媒体通信。
基于SIP的IP电话网络包含多个客户端(IP电话装置)和服务器,所述客户端和服务器以SIP进行通信。存在多种类型的服务器,且每种服务器起特定作用。举例来说,注册服务器将客户端注册到SIP电话网络中,位置服务器保持例如资源识别符、分机号码或装置IP地址等客户端识别的记录。代理服务器将SIP消息引导到恰当目的地。代理服务器可以是有状态的或无状态的。有状态代理服务器记住传入和传出的请求。无状态代理服务器没有此类记忆,且一旦产生传出的请求就忘记所有信息。将从以下描述中得知,本发明的SSG拥有有状态VoIP代理服务器的特征,而置信语音服务器(TVS)拥有有状态或无状态VoIP代理服务器的特征。
本发明的准入控制由会话安全性网守(“SSG”)示范说明,所述SSG用以在满足特定预定标准时准许来自非置信网络的语音业务进入置信网络中。此类准入标准在下文中统称为一组业务识别控制程序(TIP)。SSG在置信语音网络的入口处起到安全性准入网守的主要作用,以防护置信语音网络使其免受可能的恶意攻击。在使用中,语音网络经配置以使得从非置信网络进入置信语音网络的所有数据分组业务必须借助于向非置信网络公开的SSG的IP地址来通过SSG。请注意,可从非置信网络访问SSG的IP地址作为IP电话的语音服务器,但SSG实际上不会处理呼叫。实际呼叫处理由置信语音网络上的置信语音服务器(TVS)执行,但不能访问TVS的IP地址或将其向非置信网络公开。明确地说,试图从非置信网络进入置信语音网络的所有分组业务必须在进入语音网络期间与SSG协商。成功协商后,将准许分组语音数据业务从非置信网络进入置信语音网络。否则,SSG将阻止或拒绝数据业务。因此,SSG将对外部非置信IP电话装置呈现为语音代理服务器。在本说明书中,术语“非置信IP电话装置”意指连接到非置信网络的IP电话装置。非置信网络可以是逻辑上分离的数据子网或承载语音和数据业务两者的外部非置信混合LAN。非置信IP电话装置包括没有规定的认证构件的现成IP电话,以及基于软件的IP电话(其通常称为软电话)。在以下描述中,出于方便起见,置信IP电话装置和非置信IP电话装置分别称为TVD(置信语音装置)和UVD(非置信语音装置)。
为了实现守门或准入控制作用,SSG装备有业务识别构件以检查请求从非置信数据网络进入语音网络的分组或分组业务的准入性。只有当分组或分组业务是在TIP下分类为准入的纯语音业务分组时,才准许所述分组或分组业务进入置信语音网络中,否则将对其进行阻止。为了检查传入的呼叫控制分组的准入性,利用TIP且在SSG中实施一组业务识别程序(TIP)作为业务识别构件。下文参看图2的流程图来描述呼叫准入的示范性TIP规则及其应用。
1.被叫和呼叫方两者的身份。
a.只接受来自可识别或预定用户群组的呼叫。举例来说,只准许来自雇员和/或经识别的外部联系的呼叫进入。
b.只准许由雇员和PSTN服务器发起或去往雇员和PSTN服务器的呼叫进入。
c.阻止某些或选定用户(“黑名单”用户)进入置信网络。
以上动作可防止TVS(置信语音服务器)遭受置信网络外部的未知方的危害。
2.发送呼叫控制消息的服务器或主机的身份。
a.只准许来自已知服务器或主机的呼叫控制消息进入。举例来说,来自另一国家的子公司的SIP服务器、来自服务提供商的SIP服务器或来自已知客户的SIP服务器。
b.阻止来自特定或选定服务器或主机的消息。
c.这防止TVS从未知或危险黑客网站接收消息。
3.消息的内容类型。
a.只准许预定内容类型进入置信网络。举例来说,SDP或MIME/ISUP。
b.将阻止具有某特定或预定内容类型的消息。举例来说,SMIME。
d.这防止TVS处理潜在破坏性内容或附件。
4.内容长度。
a.只接受不超过预定最大内容长度的消息。准入最大内容长度可以是内容特定的,例如对于语音应用为1,200字节或对于其它多媒体应用为1兆字节。SSG将根据请求传送的媒体的类型而自动改变最大准入内容长度。
b.为了在可用带宽降低时维持置信语音网络的不中断操作,TIP可经配置以在可用带宽降低到规定阈值以下时仅接受语音呼叫并阻止其它媒体(或多媒体)应用的通过请求。
c.这防止TVS处理可能消耗大部分CPU功率的大量消息。
5.消息序列
a.每一协议在呼叫建立或停止期间具有特定或预定消息序列。将阻止无序或不规则重复(例如,重复10次或10次以上)的消息的序列。
这防止TVS遭受潜在的DDOS攻击。
6.对照内容类型检查内容的格式
a.例如,如果所指定的内容类型是SDP,那么SSG可经配置以阻止具有任何未知SDP字段的消息(根据RFC 2327)。
这防止TVS处理潜在的破坏性内容。
7.媒体协议
a.只准许具有所支持的媒体协议的消息进入。例如,PCMU/8000。
b.可阻止具有某些特定媒体协议的消息。
这防止TVS处理未知或破坏性媒体协议。
8.媒体连接地址
a.有时呼叫者或被叫者可将媒体指向特定服务器(例如,语音邮件服务器)而并非用于信令的装置。在此情况下,SSG可经配置以仅接受从TVS发送的媒体数据可寻址到达的一组已知地址。
b.SSG可经配置以特别阻止请求TVS将媒体转发到潜在危险媒体服务器的消息。
这防止TVS将媒体内容发送到未知媒体服务器。
从上文来看,将注意到,SSG是有状态的且具有一组根据操作状态变化的操作参数。
可将TIP放置到XML文件中。可实施图形用户接口(GUI)以访问所述XML,以便于启用/禁用规则和配置值。请注意,此配置文件必须在逻辑上位于传统操作系统(Legacy Operating System,LOS)上,使得来自非置信网络的人员不能访问所述配置文件(请注意,来自非置信网络的人员只能访问虚拟操作系统(VOS),这将在稍后详细描述)。SSG配置引擎可从进程间通信(IPC)信道读取此文件。以下是基于XML的配置文件的实例。
*****************************************************************
<?xml version=″1.0″?>
<!--Basic SSG Configuration-->
<ssg-config><!--SSG general configuration--><Allowed-Attachment>sdp</Allowed-Attachment><!--SIP header rules-->
<To>all</To>
<From>1234,5458,9000,5457,2000</From>
<Via>10.3.4.5,10.5.6.186,10.5.4.57,12.34.56.78</Via>
<Content-Type>application/sdp</Content-Type>
<Content-Length>1000</Content-Length>
<!--SDP header rules--><Owner-Address>all</Owner-Address>
<Connection-Address>all</Connection-Address><Media-Type>all</Media-Type><Media-Protocol>all</Media-Protocol></ssg-config>
*****************************************************************
在以上示范性配置文件中,用这些TIP规则来配置SSG:
1.只接受作为内容类型的“SDP”。
2.接受所有被叫方。
3.只接受这些呼叫方:1234、5458、9000、5457、2000。
4.只接受从这些服务器发送的消息:10.3.4.5、10.5.6.186、10.5.4.57和12.34.56.78。
5.只接受1000字节或1000字节以下的内容长度。
6.接受所有媒体协议。
7.允许将媒体寻址到所有媒体服务器。
图2是展示TIP规则的示范性实施方案的流程图。
图3中展示SSG的示范性实施方案的框图,图3的SSG包含:
1.基于XML的配置文件——可与GUI交互。
2.配置引擎——从配置文件读取配置信息,接着配置TIP剖析器。
3.TIP剖析器——执行TIP。将记录信息发送到日志文件。
4.SIP协议堆栈——遵守RFC 3261的SIP堆栈,其在将传入的消息发送到TIP验证器之前对所述传入的消息进行剖析。其还在TIP验证器接受传出的SIP消息进入(对于请求来说)或离开(对于响应来说)置信网络之后对所述传出的SIP消息进行封装。
5.到达置信和非置信VLAN的接口——连接到置信网络和非置信网络的逻辑接口。然而,它们可以实体上连接到相同或不同电缆。
具有SSG部署的示范性网络
图4展示示范性公司网络环境下的SSG的示范性部署,其中将物理LAN在逻辑上分离成语音LAN和数据VLAN。语音VLAN和数据VLAN通过起到PBX功能的智能VoIP认知交换机IPSW而连接和分离。智能交换机在层2处和层2以外将语音网络与数据网络分离。具体地说,在层2、层3、层4以及(视情况)层5处在逻辑上分离所述网络。SSG驻存在数据侧,且用作语音VLAN的前端网守。
由于已知SSG的IP地址且可直接从非置信LAN访问SSG,因而可能通过UVD对SSG发起恶意攻击。为了减轻可能破坏TVS和传统操作系统(LOS)的危险,在虚拟操作系统(VOS)上运行SSG应用程序,所述虚拟操作系统是在LOS之上运行的嵌入操作系统。VOS是最小操作系统,其只具有LOS的一子组功能,且只利用系统资源的较小且有限部分。举例来说,与LOS相比,将较小的存储器尺寸、较小的虚拟存储器尺寸、较小的文件尺寸、较小的管尺寸、较小的堆栈尺寸和较少的CPU时间分配给VOS。
由于从非置信网络的角度认为VOS是“真实”操作系统,因而将大致上防护LOS使其免受来自非置信网络的恶意攻击。当SSG受挫时,一些或所有在VOS中分配的资源将被消耗且VOS将缓慢失效,而在LOS上运行的语音LAN VoIP基本设施将保持大致未损坏。因此,SSG可视为置信语音网络的“可牺牲”边界。当然,将了解,一旦SSG停止,所有UVD便将不能够与TVD通信且TVD与UVD之间的现有呼叫将终止。然而,TVD之间的呼叫和TVD与PSTN之间的呼叫将不会受不利影响。
下文参看图5的框图来说明SSG的示范性应用。当UVD向TVD发出IP电话呼叫时,其将通过向SSG发送“邀请”来发出呼叫建立请求。作为响应,SSG将检查呼叫建立消息“邀请”以确定呼叫建立消息“邀请”是否是纯语音呼叫的。如果呼叫建立消息“邀请”是纯的,那么其将遵守由TIP提出的一组规定的准入规则。如果是肯定的,SSG将把呼叫建立消息“邀请”转发到置信语音网络的服务器(“置信VoIP服务器”(TVS))。如果是否定的,那么将丢弃呼叫建立消息且将把403禁止或“呼叫拒绝”消息传回到UVD。
如果呼叫建立消息通过初始测试,那么媒体业务将开始在置信与非置信装置之间流动。然而,SSG将通过检查试图从非置信数据网络进入置信语音网络的随后呼叫控制消息来跟踪初始呼叫建立之后的呼叫状态。典型的随后呼叫控制消息是(例如)用于建立较高级呼叫特征的消息,所述较高级呼叫特征例如为呼叫转移、呼叫驻留、呼叫代接、呼叫保持、呼叫终止和所属领域的技术人员已知的其它特征。
另一方面,当置信网络中的TVD向UVD发出呼叫时,TVD将通过向TVS发送“邀请”而发送呼叫建立请求来开始。TVS接着将通过进程间通信(IPC)信道把呼叫建立请求“邀请”转发到SSG。由于“邀请”请求来自置信网络中的置信装置以用于对非置信网络发出呼叫,因而不会真正需要SSG检查此类呼叫请求的确实性。然而,当从UVD传回响应“确认”或200 OK时,需要SSG检查来自UDV的“确认”或200 OK响应以确保“确认”响应是纯的且遵守TIP。如果“确认”遵守TIP,那么SSG将通过IPC信道把“确认”或200 OK转发到TVS。如果“确认”或200 OK响应不遵守TIP,那么SSG将丢弃“确认”或200 OK消息且SSG将把403禁止或呼叫拒绝消息传回到UVD。
在上文中,将了解到,检查“邀请”和200 OK具有特殊重要性,因为可通过控制信号“邀请”和200 OK来承载非常危险或伪造的附件。
图6展示SSG在图4和5的网络环境下的示范性操作流程图。参看图4-6,当源自非置信数据VLAN的呼叫请求或响应消息试图进入置信语音VLAN中时,VOS将首先检查传入分组的数据速率以确保传入数据将不会堵塞语音网络。此类呼叫请求或响应消息可以是(例如)由UVD向TVD发出的呼叫请求或由UVD响应于来自TVD的呼叫请求而发出的响应消息。如果传入分组的数据速率或带宽超过预定阈值,那么将丢弃呼叫请求或呼叫响应消息,因为其可能是伪造的或恶意的。当设置阈值带宽时,将标准选择为带宽将对应于纯语音呼叫控制业务的最大带宽。示范性带宽阈值设置为10kB/s,因为对于纯语音呼叫来说,朝向SSG的SIP呼叫控制业务消息将不会超过每秒几千字节。当然,阈值带宽可根据应用来配置。
如果传入的消息通过带宽测试,那么SSG的VOS将确定分配给VOS资源的资源是否仍然处于安全级别。如果剩余VOS系统资源不处于安全级别,那么SSG将缓慢失效。如果通过VOS系统资源测试,那么将把消息转发到SSG。在SSG已经接收到分组之后,将执行TIP。如果传入消息通过TIP测试,那么将所述消息视为安全的且将把所述消息转发给语音VLAN上的置信语音服务器,且随后建立媒体业务。否则,将丢弃或抛弃所述消息,且将向发送者发送呼叫拒绝消息。
尽管已经参看上述实例或优选实施例解释了本发明,但将了解这些实例或优选实施例只是用以辅助理解本发明的实例,且不应解释为对发明范围具有限制性。明确地说,对所属领域的技术人员明显或常见的变化或修改以及对其所作的改进应视为本发明的等效版本。
另外,尽管已经参考使用SIP的VoIP系统解释了本发明,但应了解本发明可在不损失一般性的情况下经修改或不经修改而应用于其它分组语音通信系统。
Claims (26)
1.一种用于控制准许业务进入语音通信网络中的准入控制构件,所述准入控制构件包含用于当请求准许所述业务进入所述语音通信网络中时检查呼叫控制对话的呼叫控制消息的构件,只有当伴随所述业务准入请求的所述呼叫控制消息满足预定准入标准时,所述准入控制构件才准许业务进入所述语音通信网络中。
2.根据权利要求1所述的准入控制构件,其中所述呼叫控制消息含有呼叫者的信息,且所述预定准入标准包含所述呼叫者作为准入呼叫者的身份。
3.根据权利要求2所述的准入控制构件,其中所述准入呼叫者包括合法控制所述语音通信网络或公用电话网络(PSTN)的公司的雇员。
4.根据权利要求2所述的准入控制构件,其中来自非准入呼叫者的业务准入请求被阻止进入所述语音通信网络中。
5.根据权利要求1所述的准入控制构件,其中所述呼叫控制消息含有呼叫目的地的信息,且所述预定准入标准包含所述呼叫目的地作为准入呼叫目的地的身份。
6.根据权利要求5所述的准入控制构件,其中来自非准入呼叫目的地的业务准入请求被阻止进入所述语音通信网络中。
7.根据权利要求1所述的准入控制构件,其中所述呼叫控制消息含有发送所述业务准入请求的服务器的信息,且所述预定准入标准包含所述服务器作为准入服务器的身份。
8.根据权利要求7所述的准入控制构件,其中来自非准入服务器目的地的业务准入请求被阻止进入所述语音通信网络中。
9.根据权利要求1所述的准入控制构件,其中所述呼叫控制消息含有发出所述业务准入请求所针对的媒体内容的类型的信息,所述预定准入标准包含作为准入内容类型的媒体内容类型。
10.根据权利要求9所述的准入控制构件,其中媒体内容类型的可准入性根据所述语音网络的状态而变化。
11.根据权利要求9所述的准入控制构件,其中所述准入媒体内容类型包括SDP、MIME或ISUP。
12.根据权利要求9所述的准入控制构件,其中针对非准入内容类型的业务准入请求被阻止进入所述语音通信网络中。
13.根据权利要求9所述的准入控制构件,其中所述非准入媒体内容类型包括SMIME。
14.根据权利要求9所述的准入控制构件,其中还检查内容格式,所述预定准入标准包含准入内容类型的准入内容格式。
15.根据权利要求1所述的准入控制构件,其中预定协议序列的呼叫控制协议用于发出业务准入请求,协议序列不根据所述预定协议序列的业务准入请求被阻止。
16.根据权利要求1所述的准入控制构件,其中所述呼叫控制消息含有媒体协议的信息,且所述预定准入标准包括由所述语音通信网络作为准入媒体协议支持的媒体协议。
17.根据权利要求1所述的准入控制构件,其中所述呼叫控制消息含有发出所述业务准入请求所针对的内容的长度的信息,所述预定准入标准包含不超过所规定的最大准入内容长度的内容的长度。
18.根据权利要求17所述的准入控制构件,其中所述最大准入内容长度根据请求准入所针对的业务的媒体内容类型而变化。
19.根据权利要求18所述的准入控制构件,其中所述准入内容长度对于语音应用来说为1,200字节。
20.根据权利要求18所述的准入控制构件,其中所述准入内容长度对于除语音以外的多媒体应用来说为1M字节。
21.根据权利要求1所述的准入控制构件,其中所述呼叫控制消息含有转发目的地的信息,且所述预定准入标准包括所述转发目的地作为准入转发目的地。
22.根据权利要求1所述的准入控制构件,其中所述业务控制对话是基于SIP的。
23.根据权利要求1所述的准入控制构件,其进一步包含业务识别构件,其中所述业务识别构件包含用以确定业务控制消息的带宽的构件,和用以在所述控制消息的带宽超过预设阈值时拒绝业务控制消息的构件。
24.根据权利要求23所述的准入控制构件,其中所述预设阈值带宽为10kB/s。
25.根据权利要求1所述的准入控制构件,其中所述预定准入标准根据所述语音通信网络中的业务的瞬间状态而变化。
26.一种VoIP电话网络,其包含根据权利要求1所述的准入控制构件。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/206,160 | 2005-08-18 | ||
| US11/206,160 US7742463B2 (en) | 2005-08-18 | 2005-08-18 | Security gatekeeper for a packetized voice communication network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101238678A true CN101238678A (zh) | 2008-08-06 |
Family
ID=37757320
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800284740A Pending CN101238678A (zh) | 2005-08-18 | 2006-08-17 | 用于分组语音通信网络的安全性网守 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7742463B2 (zh) |
| CN (1) | CN101238678A (zh) |
| WO (1) | WO2007019802A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8295269B1 (en) * | 2000-04-10 | 2012-10-23 | Nokia Corporation | Technique for informing network of voice traffic |
| JP4847889B2 (ja) * | 2007-02-13 | 2011-12-28 | 株式会社日立国際電気 | ソフトウェア無線機 |
| US8806630B2 (en) * | 2008-05-13 | 2014-08-12 | At&T Intellectual Property, I, L.P. | Methods and apparatus for intrusion protection in systems that monitor for improper network usage |
| NZ730593A (en) | 2014-09-29 | 2023-06-30 | Illumina Cambridge Ltd | Recombinase mutants |
| CN108779445A (zh) | 2016-03-28 | 2018-11-09 | 亿明达股份有限公司 | 重组酶突变 |
| US10831768B2 (en) * | 2017-02-28 | 2020-11-10 | Microsoft Technology Licensing, Llc | Multi-step validation of content items based on dynamic publisher requirements |
| US11489864B2 (en) * | 2018-12-20 | 2022-11-01 | Bull Sas | Method for detecting denial of service attacks |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5828893A (en) * | 1992-12-24 | 1998-10-27 | Motorola, Inc. | System and method of communicating between trusted and untrusted computer systems |
| US6798786B1 (en) * | 1999-06-07 | 2004-09-28 | Nortel Networks Limited | Managing calls over a data network |
| US6055229A (en) * | 1998-06-29 | 2000-04-25 | Motorola, Inc. | Method and apparatus in a wireless communication system for dynamically formatting application data to be transmitted |
| US6356529B1 (en) * | 1999-08-12 | 2002-03-12 | Converse, Ltd. | System and method for rapid wireless application protocol translation |
| US7031297B1 (en) * | 2000-06-15 | 2006-04-18 | Avaya Communication Israel Ltd. | Policy enforcement switching |
| US7149296B2 (en) * | 2001-12-17 | 2006-12-12 | International Business Machines Corporation | Providing account usage fraud protection |
| GB0322891D0 (en) * | 2003-09-30 | 2003-10-29 | Nokia Corp | Communication method |
| US7551565B2 (en) * | 2005-03-03 | 2009-06-23 | Cisco Technology, Inc. | User semantic overlay for troubleshooting convergent network problems |
-
2005
- 2005-08-18 US US11/206,160 patent/US7742463B2/en active Active
-
2006
- 2006-08-17 CN CNA2006800284740A patent/CN101238678A/zh active Pending
- 2006-08-17 WO PCT/CN2006/002094 patent/WO2007019802A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007019802A1 (en) | 2007-02-22 |
| US20070041362A1 (en) | 2007-02-22 |
| US7742463B2 (en) | 2010-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7890749B2 (en) | System and method for providing security in a telecommunication network | |
| US8737594B2 (en) | Emergency services for packet networks | |
| Goode | Voice over internet protocol (VoIP) | |
| US7372840B2 (en) | Filtering of dynamic flows | |
| US7613923B2 (en) | Method and apparatus for controlling unsolicited messaging in real time messaging networks | |
| EP1430682B1 (en) | Protecting a network from unauthorized access | |
| US8200827B1 (en) | Routing VoIP calls through multiple security zones | |
| JP3872477B2 (ja) | ローカルipネットワークを通した多重通話システム及び方法 | |
| CA2339247C (en) | A method for allocating network resources | |
| US7206397B1 (en) | Method for allocating network resources | |
| US8089900B2 (en) | Method for repelling unwanted speech advertising for packet-oriented communication networks | |
| US20020186683A1 (en) | Firewall gateway for voice over internet telephony communications | |
| US20020176405A1 (en) | Cost control in a SIP based network | |
| KR100738567B1 (ko) | 동적 네트워크 보안 시스템 및 그 제어방법 | |
| CN101238678A (zh) | 用于分组语音通信网络的安全性网守 | |
| US7715401B2 (en) | Router | |
| EP1111892B1 (en) | Methods and systems for internet protocol (IP) network surveillance | |
| US8539552B1 (en) | System and method for network based policy enforcement of intelligent-client features | |
| KR101606142B1 (ko) | 음성패킷망에서 네트워크 주소 번역 통과를 지원하기 위한 장치 및 방법 | |
| GB2421871A (en) | VOIP call processing | |
| JP5609519B2 (ja) | Sip機器 | |
| Cisco | Voice Over IP for the Cisco AS5800 Commands | |
| WO2007095726A1 (en) | System and method for providing security for sip-based communications | |
| Cisco | Configuring H.323 Gateways | |
| KR100902731B1 (ko) | 가상사설망과 ⅰp망의 연동을 통한 인터넷 전화 서비스 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080806 |