專利名稱:驗證會話啟動協(xié)議信號傳送的加密的方法和設備的制作方法
技術領域:
本發(fā)明涉及一種用于驗證SIP(會話啟動協(xié)議)信號傳送的加密的方法和設備���。
背景技術:
SIP(會話啟動協(xié)議)是使得可以創(chuàng)建���、修改和終止與一個或多個參與者的會話的因特網(wǎng)協(xié)議�。SIP用于點到點或多方會話的語音和視頻呼叫�。它獨立于媒體傳輸����,所述媒體傳輸例如通常使用在UDP(用戶數(shù)據(jù)報協(xié)議)之上的RTP(實時傳輸協(xié)議)。SIP也用于即時消息傳送和呈現(xiàn)檢測�。SIP允許多個端點彼此建立媒體會話它支持對端點定位�����、建立會話和隨后在已經(jīng)完成媒體會話后終止所述會話�����。近來���,SIP已經(jīng)在進行即時消息傳送和協(xié)作以及在移動載體(mobile carrier)之間進行一鍵通(push-to-talk)服務的企業(yè)內,在引入諸如VoIP(基于因特網(wǎng)協(xié)議的語音)之類的新服務的有線服務提供商之間獲得了廣泛的接受以及部署�。作為針對IP網(wǎng)絡上的會聚通信(convergedcommunication)而選擇的協(xié)議的SIP的產(chǎn)業(yè)上的接受度正在廣泛地擴大。如圖1中所示��,SIP基礎架構包括客戶機10A�、10B、SIP代理12A����、12B、12C��、以及跨越域網(wǎng)絡16A和16B與網(wǎng)絡16C(例如因特網(wǎng))而部署的域目錄服務器14A�、14B。客戶機10A是用于控制會話建立和媒體傳輸?shù)腟IP端點�����??蛻魴C10A由SIP URI(統(tǒng)一資源標識符)標識,是唯一的HTTP類(超文本傳送協(xié)議)URI的形式sip:client@domain����。所有的用戶代理能夠以它們的IP地址來向SIP目錄服務器14A、14B或14C(能夠與SIP代理12之一共置托管(co-locate))注冊�����。作為會話建立處理的一部分��,使用中間SIP代理和目錄服務器來進行URI向由用戶注冊的設備的IP地址的映射����??梢栽贘.Rosenberg等的SIP會話啟動協(xié)議,RFC(請求注解)3261���,IETF(因特網(wǎng)工程任務組)�����,2002年6月中找到SIP協(xié)議的細節(jié)�����。SIP定義了一組控制信號�,諸如OPTION(選項)100、200 OK(可以)�����、300 INVITE(邀請)��、RINGING(振鈴)����、ACK(確認收到)、BYE(再會)等��,如圖4中所示�����,用于在客戶機之間建立數(shù)據(jù)會話��。這些信號通過在網(wǎng)絡中部署的SIP代理而路由傳送。域目錄服務器中的DNS SRV(服務的域名系統(tǒng))記錄用于找到具體域的名稱的IP地址�,但是此處理可以使用多個并且經(jīng)常使用超過一個的SIP代理。
諸如300 INVITE的來自發(fā)端客戶機的所有請求根據(jù)在300 INVITE信號中包括的目的地SIP URI來通過代理而路由傳送到適當?shù)哪康牡乜蛻魴C����。代理可以查詢目錄服務器來確定SIP URI的當前綁定。在客戶機��、代理和目錄服務器之間交換信號以定位用于媒體交換的適當端點����。由于可伸縮性的原因,使用多個代理來分擔信號傳送負荷���。通過包括300 INVITE���、201 OK響應和針對所述響應的ACK的SIP信號傳送來在兩個客戶機之間建立正常會話。所述呼叫建立后隨使用RTP(實時傳輸協(xié)議)的媒體交換���。通過500 BYE和202OK消息的交換來停止所述會話。圖4示出了按照本實施例的一組適當?shù)男蛄小?br>
SIP在會話建立的處理和實際會話之間進行區(qū)分����。SIP的基本原理是從媒體(RTP流)消息分離信號傳送(控制)��?����?刂菩盘柾ǔ=?jīng)由代理而路由傳送����,而媒體路徑是端到端的�����。諸如INVITE的各個信號在消息體中包含使用會話描述協(xié)議(SDP)的用戶參數(shù)(Handley�����,M.和V.Jacobson���,SDP會話描述協(xié)議����,RFC 2327�,IETF,1998年4月)��。SDP提供了關于會話的信息,諸如關于媒體類型��、傳送協(xié)議����、IP地址和端點的端口號的參數(shù)。通過SDP而交換的IP地址和端口號用于會話的實際數(shù)據(jù)傳輸(媒體路徑)��?�?梢酝ㄟ^RE-INVITE(重新邀請)消息在一個正在進行的會話期間改變這些參數(shù)中的任何一個�,除了能夠發(fā)生在現(xiàn)存會話中之外,所述RE-INVITE消息與300 INVITE信號相同�����。另外��,客戶機可以通過使用REFER信號來傳送現(xiàn)存的會話���。這個信號指令現(xiàn)存會話的另一端點來啟動與第三客戶機的INVITE/OK/ACK交換����,并且終止(與REFER(參照)信號的發(fā)送者)的現(xiàn)存的會話���。
缺省地��,使用UTF-8明文編碼來發(fā)送SIP信號��,即使它們可能包含保密信息����。但是�����,為了保護隱私�,可以加密SIP呼叫的兩個IP分量,即信號和數(shù)據(jù)流���。主叫客戶機可以請求加密與第一代理的信號傳送��,但是沒有用于保證隨后的SIP服務器加密所述信號的機制�����。當所述信號傳送未被加密時���,截取在代理之間的信號傳送的任何IP路由器可以識別諸如雙方的身份和因特網(wǎng)協(xié)議地址之類的呼叫信息��。主叫客戶機不知道在網(wǎng)絡上原以明文來發(fā)送所述信號�。所述數(shù)據(jù)流僅僅需要在呼叫的各個端點被加密和解密�����,使得可以對其保密性上有高度的置信度�����。
一種替代方案是對信號發(fā)送進行部分加密��,其中只把對中間代理關鍵的SIP首標以明文發(fā)送���。這通常使用S/MIME(安全多用途因特網(wǎng)郵件擴展-用于向因特網(wǎng)消息添加簽字和/或加密服務的格式和協(xié)議)而實現(xiàn)����。這種替代方法具有兩個缺陷���。首先�,你僅僅使用部分加密�,因此你的保密水平低于使用全部加密。其次,如在RFC 3261中所述�����,“但是����,實施者應當注意����,可能少量存在依賴于觀看或修改SIP消息體(特別是SDP)的網(wǎng)絡中間方(不是通常的代理服務器),并且安全的MIME會防止這些類型的中間方起作用”��。
最后�,應當注意,通過使用SIPS URI�,用戶不被保證端到端加密的傳送。用戶僅僅被保證“從主叫方向被叫方的域”的加密傳輸(RFC 3261部分4.2)���。
第一方知道向第二方發(fā)送邀請以打開在網(wǎng)絡中的通信信道——一旦已經(jīng)達成所述協(xié)議���,則所述通信信道會是安全的,但是包含諸如第一和第二方的ID之類的敏感信息的初始邀請并非如此�����。在RFC3329(見http://www.ietf.org/rfc/rfc3329.text)中描述了“用于SIP的安全機制協(xié)議”。RFC3329的目的是協(xié)商在兩個SIP網(wǎng)絡組件之間使用什么加密����,即,在兩點之間的低���、中或高加密的鏈路�����。RFC使用字權標(word token)來描述sip首標字段的句法��。但是�����,此出版物未描述通過一個或多個代理來創(chuàng)建安全的路徑��。
發(fā)明內容
按照本發(fā)明的第一方面���,提供了一種通過至少一個代理SIP節(jié)點在至少兩個客戶機SIP節(jié)點之間建立SIP通信會話的方法,包括根據(jù)目的地客戶機名稱和域來定位代理SIP節(jié)點���;在主叫客戶機SIP節(jié)點和代理SIP節(jié)點之間建立安全的信號連接�����;使用目的地客戶機名稱和域來從代理SIP節(jié)點定位目的地客戶機IP地址����;建立從所述代理SIP節(jié)點到被叫客戶機SIP節(jié)點的另外的安全信號連接,由此���,所述安全信號連接和所述另外的安全信號連接形成安全的信號路徑;請求目的地客戶機SIP節(jié)點通過所述安全信號路徑來返回其IP地址����;并且,使用所返回的IP地址來在主叫客戶機SIP節(jié)點和目的地客戶機SIP節(jié)點之間建立數(shù)據(jù)連接�。
為了進一步改善通信的安全性,所返回的IP地址與被定位的目的地IP地址不相同����,從而客戶機的實際IP地址從不在目錄中公布。
優(yōu)選的是�,如果用于建立另外的安全信號連接所需要的時間超過閾值時間,則定位新的代理SIP���。更優(yōu)選的是��,安全信號連接的建立將SIPOPTIONS(SIP選項)信號擴展到包括對于安全信號連接的選擇���。
優(yōu)選的是�,加密每個安全信號連接��。更優(yōu)選的是����,在SIP節(jié)點之間的每個連接使用用于識別的會話密鑰,并且選用地���,所述會話密鑰是安全信號連接的加密的一部分�。
從代理對目的地客戶機IP地址定位的步驟適當?shù)匕ǘㄎ灰粋€或多個隨后的代理�;并且,擴展所述安全信號連接的步驟包括通過隨后的代理來擴展所述安全信號連接�����。
按照本發(fā)明的另一方面����,提供了一種在SIP節(jié)點中的安全SIP通信的方法�����;從下游SIP節(jié)點接收建立安全信號連接的請求�,并且建立下游連接��;使用目的地名稱和域來定位上游SIP節(jié)點IP地址�����;建立到上游SIP節(jié)點的安全信號連接�;并且在安全信號連接上接收和轉發(fā)SIP信號。
按照本發(fā)明的另一方面��,提供了一種SIP節(jié)點中安全SIP通信的系統(tǒng)���,包括選項轉發(fā)器,用于從下游SIP節(jié)點接收建立安全信號連接的請求�,并且建立下游連接;安全客戶機定位器���,用于使用目的地名稱和域來定位上游SIP節(jié)點IP地址�;以及邀請轉發(fā)器�,用于建立到上游SIP節(jié)點的安全信號連接��,并且在安全信號連接上接收和轉發(fā)SIP信號����。
按照本發(fā)明的另一方面�,提供了一種包括計算機可讀記錄介質的計算機程序產(chǎn)品,在所述計算機可讀記錄介質上存儲了用于SIP節(jié)點中的安全SIP通信的計算機可讀代碼��,所述計算機可讀代碼當被安裝到計算機系統(tǒng)上并被執(zhí)行時執(zhí)行隨后的步驟從下游SIP節(jié)點接收建立安全信號連接的請求�����,并且建立下游連接�;使用目的地名稱和域來定位上游SIP節(jié)點IP地址;建立到上游SIP節(jié)點的安全信號連接��;并且��,在安全信號連接上接收和轉發(fā)SIP信號��。
使用這樣的方法����,呼叫建立的逐個跳段(hop-by-hop)(全加密)方法的客戶機能夠驗證信號總是以加密形式來發(fā)送。通過適當?shù)尿炞C機制�����,SIP UA(SIP用戶代理)和代理開發(fā)者能夠添加功能,諸如向用戶提供關于他們的呼叫的加密狀態(tài)的反饋�����,或者甚至阻止未加密的呼叫發(fā)生�,并且防止發(fā)送明文信號。
現(xiàn)在�����,參照附圖來僅僅作為示例來說明本發(fā)明的實施例����,在附圖中圖1是典型SIP客戶機、代理和網(wǎng)絡配置的示意圖��;圖2是本實施例的客戶機��、代理服務器和目錄服務器的示意圖����;圖3A是按照本實施例的SIP呼叫建立的IP定位部分的示意圖�;圖3B是按照本實施例的SIP呼叫建立的邀請部分的示意圖����;以及圖4是按照本實施例的事件圖�����。
具體實施例方式
圖1是SIP客戶機10A���、10B�����、代理12A-12C��、域網(wǎng)絡16A���、16B和外部網(wǎng)絡18的示意圖。雖然在每個網(wǎng)絡中標注了僅僅一個代理��,但是多個代理的任何一個可以存在于網(wǎng)絡中����,并且可以用于形成安全網(wǎng)絡。SIP客戶機10A����、10B和它們各自的代理12A����、12B以及域目錄服務器14A����、14B位于各自的域16A和16B(例如,公司的內聯(lián)網(wǎng))中�。域16A和16B通過網(wǎng)絡18(例如因特網(wǎng))連接在一起。在本發(fā)明的語境中���,客戶機10A初始僅僅知道客戶機10B的名稱和域(例如����,client10B@domain16B)�����,不知道客戶機10B的IP地址(例如���,123.546.789.000),因此需要在建立呼叫之前定位10B���。在定位處理期間�,通常在下列設備之間建立連接客戶機10A;域16A代理�����,諸如12A����;網(wǎng)絡18代理,諸如代理12C���;域16B代理��,諸如代理12B�;以及客戶機10B�����。一旦從所述定位處理獲取了IP地址����,則可以建立非代理連接19來發(fā)送數(shù)據(jù)。代理12B使用域目錄服務器14B來定位目的地客戶機10B的IP地址。域目錄服務器14A對于域16A進行同樣的操作�����。這種代理和客戶機的配置僅僅是一個示例�����,每當需要多個安全連接時可以實現(xiàn)本發(fā)明���,所述多個安全連接例如與兩個客戶機和單個代理的連接���、或在電話會議中的多個客戶機之間的連接。
圖2是本實施例的客戶機10A���、代理服務器12A和域目錄服務器14A的示意圖�??蛻魴C10A包括呼叫建立組件20;安全代理定位器22���;選項收發(fā)器24�;計時器26�;邀請收發(fā)器28���;VoIP數(shù)據(jù)收發(fā)器30�����;以及呼叫關閉組件32���。
呼叫建立組件20控制與另一客戶機的呼叫的建立�����。
安全代理定位器22管理與代理的通信�����。它通過直接或從存儲器查詢代理來在已知代理中過濾出具有安全連接的那些已知代理�����。
選項收發(fā)器24發(fā)送和接收選項100信號(見圖4)�����。選項信號是在建立呼叫中使用的第一信號之一��,并且包括對于具有特定選項的代理的請求�����,在本實施例的情況下�����,所述特定選項是被驗證的加密安全路徑(VESP)選項�����。如果接收到具有VESP選項的選項請求�,并且SIP客戶機是VESP兼容的,則選項收發(fā)器24允許進行呼叫建立的請求����,并且使用指示VESP支持的200 OK信號來響應(見圖4)。否則����,SIP客戶機將不使用200 OK信號來確認所述選項請求。當選項收發(fā)器接收到所述200 OK信號時��,則控制傳送到邀請收發(fā)器28���。
計時器26從發(fā)出選項100消息時開始計時�����,直到接收回200 OK信號�����。如果響應時間超過閾值��,則呼叫建立處理會超時�。當發(fā)生超時時���,選項收發(fā)器24將選擇另一個安全SIP代理�����,并且發(fā)送另一個選項100信號�����。如果不再存在更多的安全代理��,則安全呼叫建立將取消�����。所述計時器也用于對在邀請收發(fā)器28中的響應計時���。
邀請收發(fā)器28向符合VESP的代理發(fā)送邀請消息和會話權標���,并且等待201 OK和IP地址。計時器26也對等待計時����,并且當已經(jīng)達到閾值時超時。再次��,如果處理超時��,則選擇另一個安全代理�����,或者取消所述安全建立��。
一旦發(fā)現(xiàn)了IP地址����,則VoIP數(shù)據(jù)收發(fā)器30控制客戶機之間直接地跨越網(wǎng)絡發(fā)送VoIP數(shù)據(jù)�����。
呼叫關閉組件32當呼叫結束時控制所述呼叫的關閉���。
每個代理12包括選項轉發(fā)器34;安全客戶機定位器36����;邀請轉發(fā)器38�����;以及計時器40��。
選項轉發(fā)器34接收和轉發(fā)選項100信號(見圖4)����。當接收到具有VESP選項的選項請求時,選項轉發(fā)器34注意所述VESP選項需要安全的呼叫建立����,并且向安全客戶機定位器36通知以定位安全客戶機或代理。選項轉發(fā)器接收在響應中的200 OK信號���,并且將此轉發(fā)回選項100信號的發(fā)送者����。
安全客戶機定位器36向目錄服務器查詢客戶機的IP地址。如果定位了客戶機�,則將客戶機IP地址返回代理。否則�����,則返回另一個代理的IP地址���,以進行進一步的查詢和進一步的安全呼叫建立�。
一旦已經(jīng)建立了安全代理路徑��,則邀請信號被發(fā)端SIP客戶機發(fā)送�,并且由邀請轉發(fā)器38接收。邀請轉發(fā)器沿著安全路徑來轉發(fā)邀請信號�,并且沿所述路徑來返回OK信號。
計時器40對選項轉發(fā)器34和邀請轉發(fā)器的響應等待計時�����,以便不會等待超過閾值的時段�����。
每個目錄服務器14包括IP地址解析器(resolver)44;以及IP地址數(shù)據(jù)46���。
IP地址解析器44從客戶機10或代理12來接收包含客戶機名稱和域的請求��,并且試圖將該名稱和域與IP地址匹配��。如果從IP地址數(shù)據(jù)46發(fā)現(xiàn)匹配�,則將其發(fā)回請求者�。
圖3A是按照本實施例的SIP呼叫建立的第一部分的示意圖。
方法101定義了主叫客戶機的建立處理���。
在步驟104中,使用被叫客戶機名稱(例如客戶機10B)和被叫客戶機域(例如域16B)來在主叫客戶機的建立組件20中定義安全的呼叫建立�。
在步驟106,安全代理定位器22通過查詢已知代理的列表來定位外向的代理�。非VESP兼容的代理的名稱必須被知道,并且每個代理必須被測試其建立安全連接的能力����。
在步驟108,選項收發(fā)器24向安全代理之一發(fā)送選項100信號���。選項100信號包括對于VESP兼容的代理的選擇��。
方法109定義了SIP代理建立處理��,并且包括步驟110�、112、114�����、120��、122和124����。
在步驟110,選項轉發(fā)器34從SIP客戶機接收選項100信號�。如果代理是VESP兼容的,則接受所述選項信號����,并且將控制傳送到下一步驟。
在步驟112����,安全客戶機定位器36試圖通過查詢目錄服務器來定位客戶機B��。如果未定位客戶機10B���,則定位接近客戶機的域并且潛在可能知道客戶機的IP地址的另一個安全代理。域代理通常具有在那個域中的客戶機的IP地址�����。
在步驟114�,如果目錄服務器知道客戶機IP地址,則選項信號(和名稱)被轉發(fā)到安全客戶機B(方法116�����,SIP被叫客戶機建立)���。如果相關聯(lián)的目錄服務器不知道客戶機B的IP地址�����,則選項信號被轉發(fā)到具有對所述客戶機的IP地址進行定位的潛在可能的另一個代理(方法115,另外的等效代理建立)��。
處理115使用等效步驟110、112����、114、122����、120和124來表示等效于初始109 SIP代理建立的一個或多個另外的等效的代理建立。這個處理取決于定位被叫客戶機而需要的代理服務器的數(shù)目而發(fā)生0到n次���。
方法116是被叫客戶機建立處理����,包括步驟117和118����。
在步驟117,從SIP代理接收到選項信號100����。如果客戶機是VESP兼容的,則它被接受����,并且處理繼續(xù)���。
在步驟118,經(jīng)由連接的代理向SIP節(jié)點發(fā)送包括會話權標的返回OK 200信號�����。
如果在連接中存在多于一個的返回代理���,則方法115轉發(fā)所述OK 200信號���。
在代理建立109方法中的步驟120(或等效的115代理建立)等待所述200OK信號,并且進行到步驟124�。如果等待超時,則處理進行到步驟122���。
步驟122從相關聯(lián)的目錄服務器選擇另一個安全的代理���,并且在步驟114再次轉發(fā)選項信號。
步驟124在方法109中向SIP客戶機10返回OK信號��。在等效代理建立方法115中�,等效步驟124向連接的代理返回OK信號。
呼叫客戶機建立方法101中的步驟126等待200 OK信號���,并且進行到步驟130����。安全連接路徑現(xiàn)在完整��,并且被返回的會話權標標注����。如果步驟126超時,則處理進行到步驟128��。
步驟128從相關聯(lián)的目錄選擇另一個安全代理�����,并且在步驟108再次轉發(fā)所述選項信號����。
在步驟130,處理控制進行到方法300�����。
圖3B是按照本實施例的SIP呼叫建立的第二部分的示意圖��。
方法300是主叫電話邀請?zhí)幚恚ㄔ谘埵瞻l(fā)器28中執(zhí)行的步驟302�����、320���、322��。
步驟302在安全連接路徑中向第一安全代理發(fā)送包括會話權標的邀請信號���。
方法303是代理邀請?zhí)幚恚ㄔ诎踩B接路徑中在第一和隨后的代理中的邀請轉發(fā)器38中執(zhí)行的步驟304���、306��、308��、316和318����。
步驟304從安全客戶機接收包括會話權標的邀請信號�。
步驟306檢查對于所分配的安全連接路徑的會話權標。定位在所述連接路徑中的下一個代理或客戶機��。
步驟308向在安全連接路徑中的下一個安全代理轉發(fā)包括所述會話權標的邀請信號。
處理309使用等效步驟304����、306����、308、316和318來表示等效于初始303代理邀請的一個或多個另外的等效代理邀請���。此處理根據(jù)所需要的代理服務器的數(shù)目而發(fā)生0到n次��。
處理310是由客戶機邀請收發(fā)器28執(zhí)行的被呼叫客戶機邀請方法��,所述方法包括步驟312和314�����。取決于對客戶機進行定位所需要的數(shù)目而從一個或多個代理接收包括會話權標的邀請���。
在步驟312,邀請收發(fā)器從安全SIP客戶機接收包括會話權標的邀請信號���。如果會話良好可接受�,則處理繼續(xù)。
在步驟314�����,邀請收發(fā)器使用包括被叫客戶機的IP地址和會話密鑰的OK信號201來回復���。
步驟316等待在代理邀請方法303中的OK信號201����。在等效的代理邀請方法309中���,等效步驟316等待124 OK信號201��。如果等待超時�,則連接失敗�����。
步驟318向呼叫SIP客戶機返回OK信號201����、IP地址和會話密鑰。
在所述呼叫客戶機邀請方法中的步驟320等待OK信號201、IP地址和會話權標�。如果等待超時,則處理進行到步驟322����。如果等待成功,則處理在401繼續(xù)發(fā)送VoIP數(shù)據(jù)��。
步驟322將呼叫建立重新設置到另一個代理服務器���。
通過在呼叫客戶機10A和被呼叫客戶機10B中的各自的VoIP收發(fā)器來執(zhí)行步驟401和403。
在呼叫客戶機VoIP數(shù)據(jù)收發(fā)器中的步驟401直接通過網(wǎng)絡而不使用任何代理來對于被叫客戶機發(fā)送和接收�����。建立VoIP數(shù)據(jù)會話���。VoIP數(shù)據(jù)可以被加密以獲得額外的安全�。
在被呼叫客戶機VoIP數(shù)據(jù)收發(fā)器中的步驟403使用所建立的數(shù)據(jù)會話來對于呼叫客戶機接收和發(fā)送���。
通過呼叫客戶機和被呼叫客戶機中各自的呼叫關閉組件32來執(zhí)行步驟501和503��。雖然在這個示例和實施例中����,呼叫客戶機啟動了關閉,但任何客戶機可以啟動關閉���。
在步驟501中�����,沿著安全路徑來向被叫客戶機發(fā)送關閉會話信號��。一旦接收到202 OK信號����,則在呼叫客戶機中取消數(shù)據(jù)會話和安全路徑會話兩者�。
在步驟503中,被叫客戶機向呼叫客戶機發(fā)送202 OK和會話權標�����,并且關閉數(shù)據(jù)會話和安全會話���。
圖4是按照本實施例和示例的事件圖����。在呼叫建立期間,從呼叫客戶機10A通過代理向被呼叫客戶機10B發(fā)送選項100信號�����。從被呼叫客戶機向呼叫客戶機返回200 OK+會話密鑰����。300邀請+會話密鑰被從呼叫客戶機發(fā)送到被呼叫客戶機。201 OK+會話密鑰+IP地址被從被呼叫客戶機發(fā)送到呼叫客戶機�。使用返回的IP地址來在客戶機之間建立數(shù)據(jù)流400。在呼叫結束時���,500BYE信號被從一個客戶機通過代理發(fā)送到另一個客戶機。202 OK信號被發(fā)回��,并且結束安全會話和數(shù)據(jù)會話����。
本領域內的技術人員應該明白,本發(fā)明的方法可以適當?shù)乇惑w現(xiàn)在除了圖1的示例之外的其它邏輯設備中�����,并且這樣的邏輯裝置可以包括硬件組件或固件組件�����。
本領域內的技術人員同樣地應該明白,本發(fā)明的邏輯安排可以適當?shù)乇惑w現(xiàn)在包括用于執(zhí)行除了圖3A和3B的示例之外的方法的步驟的邏輯裝置的邏輯設備中���,并且這樣的邏輯裝置可以包括諸如在例如可編程邏輯陣列中的邏輯門之類的組件���。這樣的邏輯安排還可以被體現(xiàn)在使能裝置中,所述使能裝置用于使用例如虛擬硬件描述符語言來臨時或永久地在這樣的陣列中建立邏輯結構����,可以使用固定或可發(fā)送的載體媒體來存儲所述虛擬硬件描述符語言。
應該明白����,也可以在運行在一個或多個處理器(未示出)上的軟件中全部或部分地適當?shù)貓?zhí)行如上所述的方法,并且可以將所述軟件提供為在諸如計算機磁盤或光盤的任何適當?shù)臄?shù)據(jù)載體(也未示出)上承載的計算機程序元素���。用于發(fā)送數(shù)據(jù)等的通道可以包括所有描述的存儲媒體以及信號承載媒體�����,諸如有線或無線信號媒體�����。
本發(fā)明可以適當?shù)乇惑w現(xiàn)為用于計算機系統(tǒng)的計算機程序產(chǎn)品�����。這樣的實施可以包括一系列計算機可讀指令���,所述指令可以或者被固定在諸如計算機可讀介質之類的有形介質上�,所述計算機可讀介質例如磁盤����、CD-ROM、ROM或硬盤�,所述指令或者也可以在有形介質上或使用無線技術而無形地經(jīng)由調制解調器或其它接口設備被發(fā)送到計算機系統(tǒng)�����,所述有形介質包括但不限于光學或模擬通信線���,所述無線技術包括但不限于微波�����、紅外線或其它傳輸技術��。所述計算機可讀指令序列體現(xiàn)在此前述的所有或部分功能����。
本領域內的技術人員應該明白,可以以用于多個計算機架構或操作系統(tǒng)的多種編程語言來撰寫這樣的計算機可讀指令�����。而且����,可以使用現(xiàn)有的或未來的任何存儲器技術來存儲這樣的指令,所述存儲器技術包括但不限于半導體����、磁或光,或者使用現(xiàn)有或未來的任何通信技術來發(fā)送這樣的指令�,所述通信技術包括但不限于光、紅外線或微波�。構想這樣的計算機程序產(chǎn)品可以作為具有伴隨的打印或電子文檔的可移動介質來分發(fā),所述伴隨的打印或電子文檔例如收縮(shrink-wrapped)包裝的軟件��,通過計算機系統(tǒng)而被預先安裝在例如系統(tǒng)ROM或固定盤上�,或者所述計算機程序產(chǎn)品可以從服務器或電子公告牌通過諸如因特網(wǎng)或萬維網(wǎng)的網(wǎng)絡而被分發(fā)。
還應該明白����,可以按照代表客戶而部署的服務的形式來提供本發(fā)明的實施�,以按照要求來提供服務�����。
還應該明白����,對于本領域內的普通技術人員,對如上所述的優(yōu)選實施例的各種進一步的修改均是顯而易見的����。
權利要求
1.一種通過至少一個代理SIP節(jié)點在至少兩個客戶機SIP節(jié)點之間建立SIP通信會話的方法,包括根據(jù)目的地客戶機名稱和域來對代理SIP節(jié)點定位�����;在主叫客戶機SIP節(jié)點和代理SIP節(jié)點之間建立安全的信號連接���;使用目的地客戶機名稱和域來從代理SIP節(jié)點對目的地客戶機IP地址定位;建立從所述代理SIP節(jié)點到被叫客戶機SIP節(jié)點的另外的安全信號連接����,由此�,所述安全信號連接和所述另外的安全信號連接形成安全的信號路徑�����;請求目的地客戶機SIP節(jié)點通過該安全信號路徑來返回其IP地址���;以及使用所返回的IP地址來在主叫客戶機SIP節(jié)點和目的地客戶機SIP節(jié)點之間建立數(shù)據(jù)連接�����。
2.按照權利要求1的方法���,其中,所返回的IP地址與所定位的目的地IP地址不相同���。
3.按照權利要求1或2的方法�,其中�����,如果建立另外的安全信號連接所耗的時間超過閾值時間���,則定位新的代理SIP���。
4.按照權利要求1��、2或3的方法�����,其中���,安全信號連接的建立將SIP選項信號擴展到包括安全信號連接的選項。
5.按照權利要求1-4的任何一個的方法�����,其中����,加密每個安全的信號連接。
6.按照權利要求1-5的任何一個的方法���,其中���,在SIP節(jié)點之間的每個連接使用用于識別的會話密鑰。
7.按照權利要求6的方法,其中�,所述會話密鑰是安全信號連接的加密的一部分����。
8.按照權利要求1-7的任何一個的方法,其中�,從代理對目的地客戶機IP地址定位的步驟包括對一個或多個隨后的代理定位;以及�����,擴展安全信號連接的步驟包括通過隨后的代理來擴展所述安全信號連接����。
9.按照權利要求1-8的任何一個的方法,其中��,當存在兩個或多個目的地客戶機時建立兩個或多個安全路徑���。
10.一種通過至少一個代理SIP節(jié)點在至少兩個客戶機SIP節(jié)點之間建立SIP通信會話的系統(tǒng)�����,包括代理定位器���,根據(jù)目的地客戶機名稱和域來對代理SIP節(jié)點定位��;選項收發(fā)器�����,在主叫客戶機SIP節(jié)點和代理SIP節(jié)點之間建立安全的信號連接�;客戶機定位器�����,使用目的地客戶機名稱和域來在代理SIP節(jié)點對目的地客戶機IP地址定位���;選項轉發(fā)器����,建立從所述代理SIP節(jié)點到被叫客戶機SIP節(jié)點的另外的安全信號連接��,由此�,所述安全信號連接和另外的安全信號連接形成安全的信號路徑;邀請收發(fā)器����,請求目的地客戶機SIP節(jié)點通過該安全信號路徑來返回其IP地址;以及VoIP數(shù)據(jù)收發(fā)器,使用所返回的IP地址來在主叫客戶機SIP節(jié)點和目的地客戶機SIP節(jié)點之間建立數(shù)據(jù)連接��。
11.一種計算機程序產(chǎn)品�����,包括計算機可讀記錄介質�����,在所述計算機可讀記錄介質上存儲了計算機可讀代碼�����,用于通過至少一個代理SIP節(jié)點在至少兩個客戶機SIP節(jié)點之間建立SIP通信會話����,所述計算機可讀代碼當被安裝在計算機系統(tǒng)并且被執(zhí)行時執(zhí)行權利要求1-9的任何一個的步驟�����。
12.一種在SIP節(jié)點中進行安全SIP通信的方法���,包括從下游SIP節(jié)點接收建立安全信號連接的請求�����,并且建立下游連接����;使用目的地名稱和域來對上游SIP節(jié)點IP地址定位;建立到上游SIP節(jié)點的安全信號連接��;以及在安全信號連接上接收和轉發(fā)SIP信號��。
13.一種SIP節(jié)點中的安全SIP通信的系統(tǒng)���,包括選項轉發(fā)器��,從下游SIP節(jié)點接收建立安全信號連接的請求��,并且建立下游連接����;安全客戶機定位器���,使用目的地名稱和域來定位上游SIP節(jié)點IP地址��;以及邀請轉發(fā)器��,建立到上游SIP節(jié)點的安全信號連接�����,并且在安全信號連接上接收和轉發(fā)SIP信號��。
14.一種包括計算機可讀記錄介質的計算機程序產(chǎn)品�,在所述計算機可讀記錄介質上存儲了用于SIP節(jié)點中的安全SIP通信的計算機可讀代碼,所述計算機可讀代碼當被安裝到計算機系統(tǒng)并且被執(zhí)行時執(zhí)行下面的步驟從下游SIP節(jié)點接收建立安全信號連接的請求�,并且建立下游連接���;使用目的地名稱和域來對上游SIP節(jié)點IP地址定位�����;建立到上游SIP節(jié)點的安全信號連接��;以及在安全信號連接上接收和轉發(fā)SIP信號��。
全文摘要
本發(fā)明涉及驗證SIP信號加密的方法和設備�。本發(fā)明涉及一種通過至少一個代理SIP節(jié)點在至少兩個客戶機SIP節(jié)點之間建立SIP通信會話的方法����、系統(tǒng)和計算機程序產(chǎn)品�,包括根據(jù)目的地客戶機名稱和域來定位代理SIP節(jié)點����;在呼叫的客戶機SIP節(jié)點和代理SIP節(jié)點之間建立安全信號連接;使用目的地客戶機名稱和域來從代理SIP節(jié)點定位目的地客戶機IP地址����;建立從代理SIP節(jié)點到被呼叫客戶機SIP節(jié)點的另外安全信號連接,安全信號連接和另外安全信號連接形成安全信號路徑�;請求目的地客戶機SIP節(jié)點經(jīng)安全信號路徑來返回其IP地址;并使用所返回IP地址來在呼叫客戶機SIP節(jié)點和目的地客戶機SIP節(jié)點之間建立數(shù)據(jù)連接�。
文檔編號H04L9/00GK1937624SQ20061007146
公開日2007年3月28日 申請日期2006年3月24日 優(yōu)先權日2005年9月24日
發(fā)明者詹姆斯·M·威廉斯, 雷蒙德·杰普森, 阿倫·M·韋滕 申請人:國際商業(yè)機器公司