專利名稱：：用于安全通信網(wǎng)絡(luò)尤其是安全ip電話網(wǎng)絡(luò)的可信裝置準入方案的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及一種用于通信網(wǎng)絡(luò)的裝置準入方案，且更明確地說，涉及一種用于例如VoIP電話網(wǎng)絡(luò)等分組語音通信網(wǎng)絡(luò)的裝置準入和重新認證方案。
背景技術(shù)：
：專用數(shù)據(jù)網(wǎng)絡(luò)正越來越多地用于在公司環(huán)境下承載電話服務(wù)連同普通數(shù)據(jù)業(yè)務(wù)以替代專門的PBX系統(tǒng)。針對電話服務(wù)使用專用數(shù)據(jù)網(wǎng)絡(luò)是有利的，因為(例如)語音系統(tǒng)更具縮放性，并且其管理可更為有效且集中。另外，語音和數(shù)據(jù)業(yè)務(wù)兩者只需要單一網(wǎng)絡(luò)基本設(shè)施。專用數(shù)據(jù)網(wǎng)絡(luò)中的語音電話通常由分組語音數(shù)據(jù)業(yè)務(wù)承載，且VoIP(因特網(wǎng)語音協(xié)議)是普遍的標準協(xié)議，但VoIP標準最初是針對因特網(wǎng)應(yīng)用而開發(fā)的。圖1展示構(gòu)建在示范性局域網(wǎng)(LAN)上的示范性常規(guī)VoIP語音通信網(wǎng)絡(luò)。此常規(guī)網(wǎng)絡(luò)包含層2LAN交換機、多個IP電話裝置和IP電話服務(wù)器(ITS)。每一IP電話裝置具有特征IP地址IP"和內(nèi)部電話分機號碼(例如，101-104)。向ITS分配IP地址(IPITS),且所有相關(guān)網(wǎng)絡(luò)實體均連接到LAN交換機。由于所有實體均連接到同一數(shù)據(jù)網(wǎng)絡(luò)，因而向它們分派同一IP子網(wǎng)的IP地址。在本說明書中，術(shù)語"客戶端裝置"、"電話裝置"和"IP電話"可互換使用，且除非上下文另外要求，否則具有相同含義。在例如上述系統(tǒng)的常規(guī)專用VoIP系統(tǒng)中，所有層處可通信的語音和數(shù)據(jù)業(yè)務(wù)由單一物理網(wǎng)絡(luò)基本設(shè)施承載。對數(shù)據(jù)網(wǎng)絡(luò)的惡意攻擊(例如，由于剽竊引起的)可同時打擊語音網(wǎng)絡(luò)。這顯然是不可接受的。為了減輕由于對數(shù)據(jù)網(wǎng)絡(luò)惡意攻擊而破壞語音電話系統(tǒng)的危險，需要將公司的語音電話網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)分開。通過將語音網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)分離，數(shù)據(jù)業(yè)務(wù)和語音業(yè)務(wù)將單獨承載于其各自網(wǎng)絡(luò)上，使得將不允許數(shù)據(jù)網(wǎng)絡(luò)中的非語音數(shù)據(jù)橫越到語音網(wǎng)絡(luò)中。這種分離將導(dǎo)致形成用于承載語音業(yè)務(wù)的"置信網(wǎng)絡(luò)"和用于承載普通數(shù)據(jù)或語音與數(shù)據(jù)的混合的"非置信網(wǎng)絡(luò)"。在黑客使非置信數(shù)據(jù)網(wǎng)絡(luò)癱瘓的不幸情況下，由于其分離的緣故，置信語音網(wǎng)絡(luò)仍4然能夠保持操作。為了利用單一物理網(wǎng)絡(luò)基本設(shè)施，可在邏輯上將物理LAN分離成語音網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)絡(luò)。將LAN邏輯網(wǎng)絡(luò)分離成語音和數(shù)據(jù)子LAN可通過使用虛擬LAN(VLAN)拓撲或其它恰當技術(shù)來實現(xiàn)。對恰當VLAN技術(shù)的描述可查閱(例如)"IEEEStandardforInformationtechnology-Telecommunicationsandinformationexchangebetweensystems-IEEEstandardforlocalandmetropolitanareanetworks-Commonspecifications—第3部分Mediaaccesscontrol(MAC)Bridges,ANSI/IEEEStd802.1D,1998版本"。該文獻以引用的方式并入本文中。為了保護置信語音網(wǎng)絡(luò)的完整性和安全性，每一IP電話裝置必須在準許進入置信語音網(wǎng)絡(luò)之前受到嚴格認證。這種初始準入認證可遵守已知認證方法，例如正EE標準802.1X中所提出的方法，正EE標準802.1X以引用的方式并入本文中。具體地說，正EE802.1X標準描述一種用于基于端口存取進入LAN中的裝置的標準方法且提供關(guān)于如何基于其網(wǎng)絡(luò)接口而同意準入裝置進入LAN的細節(jié)。網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)接口是通常稱為端口的物理接口。第6,339,830號美國專利描述一種準入認證方法，其是802.1X方法的簡化變型。然而，請注意，由初始準入認證或類似方案提供的安全性是不夠的。因此，需要能夠提供用于增強置信語音網(wǎng)絡(luò)的安全性的構(gòu)件、方法和方案。在本說明書中，除非上下文另外要求，否則術(shù)語"層"始終意指并指代在OSI(開放式系統(tǒng)互連)協(xié)議模型下定義的層。
發(fā)明內(nèi)容本發(fā)明的目的因此，本發(fā)明的目的是提供用于增強置信語音網(wǎng)絡(luò)的安全性的安全性構(gòu)件、方法和方案。在最小程度上，本發(fā)明目的至少是提供用于增強VoIP電話網(wǎng)絡(luò)的安全性的安全性構(gòu)件、方法和方案的有用替代形式以供公眾選擇。根據(jù)本發(fā)明的一方面，提供一種用于通信網(wǎng)絡(luò)的準入方案，其包含以下步驟a)在準許裝置進入所述通信網(wǎng)絡(luò)時獲得并存儲所述裝置的MAC地址，b)在準許數(shù)據(jù)分組進入通信網(wǎng)絡(luò)之前檢查所述數(shù)據(jù)分組的源MAC地址，以及c)只有當向通信網(wǎng)絡(luò)注冊了MAC地址時，才準許數(shù)據(jù)分組進入通信網(wǎng)絡(luò)。優(yōu)選地，所述安全性方法進一步包含以下步驟*在準許數(shù)據(jù)分組進入通信網(wǎng)絡(luò)之前，檢查數(shù)據(jù)分組的業(yè)務(wù)速率，只有當數(shù)據(jù)分組的數(shù)據(jù)速率不超過所規(guī)定的最大值時，才允許數(shù)據(jù)分組進入通信網(wǎng)絡(luò)。優(yōu)選地，在準許進入所述通信網(wǎng)絡(luò)時對裝置執(zhí)行初始認證。優(yōu)選地，所述安全性方法進一步包含以下步驟周期性重新認證所述裝置。優(yōu)選地，基于IEEE802.1X進行所述初始認證和重新認證。優(yōu)選地，在為準許進入所述通信網(wǎng)絡(luò)而進行的對裝置的所述初始認證中使用擴展認證協(xié)議及其衍生協(xié)議(包括挑戰(zhàn)握手認證協(xié)議)。優(yōu)選地，在準許裝置進入語音網(wǎng)絡(luò)時進行的對裝置的所述初始認證期間獲得裝置的MAC地址并在所述語音網(wǎng)絡(luò)中注冊所述MAC地址，所述裝置的所注冊的MAC地址用于所述隨后準許來自所述裝置的業(yè)務(wù)進入所述網(wǎng)絡(luò)中。優(yōu)選地，在檢測到裝置相對于所述語音網(wǎng)絡(luò)的鏈路狀態(tài)變化時，執(zhí)行一組認證程序以檢驗裝置的可信性，所述組認證程序與所述組初始準入認證程序大致相同，不同之處只是在所述重新準入認證程序期間不需要電子密鑰。優(yōu)選地，監(jiān)控裝置的呼叫控制業(yè)務(wù)數(shù)據(jù)速率，通過所述網(wǎng)絡(luò)阻止超過預(yù)定閾值的呼叫控制業(yè)務(wù)數(shù)據(jù)速率。優(yōu)選地，所述閾值是處于10kB/s到lOMB/s之間的數(shù)據(jù)速率。優(yōu)選地，所述安全性方法進一步包含以下步驟*周期性檢查連接到語音網(wǎng)絡(luò)的裝置的MAC地址，如果所述裝置的MAC地址不是已經(jīng)向語音網(wǎng)絡(luò)注冊的MAC地址，那么將不準許來自所述裝置的數(shù)據(jù)分組進入。優(yōu)選地，所述通信網(wǎng)絡(luò)是包含交換機和多個端口的語音LAN，所述交換機監(jiān)視所述多個端口的鏈路狀態(tài)且在檢測到所述端口的鏈路狀態(tài)變化時激活所述初始準入認證程序。優(yōu)選地，在執(zhí)行所述初始認證程序時通過所述交換機記錄裝置的MAC地址和所述裝置所連接到的端口地址，在所述隨后準許來自所述裝置的業(yè)務(wù)進入所述網(wǎng)絡(luò)的過程中使用所述MAC地址和相應(yīng)的端口地址。優(yōu)選地，通信網(wǎng)絡(luò)包含根據(jù)前述權(quán)利要求中任一權(quán)利要求所述的準入方案。優(yōu)選地，所述通信網(wǎng)絡(luò)適于VoIP電話。圖1展示示范性局域網(wǎng)(LAN),其中聚合數(shù)據(jù)和VoIP應(yīng)用程序連接到常規(guī)LAN交換機且由IP電話服務(wù)器控制，圖2展示與IP電話裝置連接的示范性示意置信網(wǎng)絡(luò)，圖3展示初始裝置準入認證方案的示范性流程圖，圖4展示優(yōu)選實施例的傳入的分組安全性檢查的示范性流程圖，圖5展示與表1相關(guān)的示范性VLAN分類流程圖，以及圖6是并入有本發(fā)明的裝置準入方案的智能交換機的示意圖。具體實施方式在準許IP電話裝置進入置信通信網(wǎng)絡(luò)(例如，安全VoIP電話網(wǎng)絡(luò))之前，必須根據(jù)一組預(yù)先準入認證程序來認證所述IP電話裝置以確保所述IP電話裝置是合法的，以便減輕準許例如冒充IP電話裝置的剽竊站等惡意裝置進入的風險。這很重要，因為準許進入網(wǎng)絡(luò)的惡意裝置可用于對ITS或駐留在網(wǎng)絡(luò)上的其它服務(wù)器發(fā)起攻擊，這可能導(dǎo)致系統(tǒng)故障。對裝置的初始認證可通過已知裝置認證方案或方法(例如在正EE802.1X中、在US6,339,830中描述的)或其它可實現(xiàn)的和/或不時地創(chuàng)造出的恰當?shù)恼J證方法來進行。作為特定便利的實例，對于利用IEEE802.1X認證方案的系統(tǒng)來說，將通過遵循稱為擴展認證程序(EAP)的標準程序來認證裝置，所述EAP以引用的方式并入本文中。然而，僅僅依賴于初始裝置認證方案作為唯一安全性度量方法的置信網(wǎng)絡(luò)易受到攻擊。舉例來說，置信網(wǎng)絡(luò)將不會意識到準入之后裝置身份的任何隨后變化。在準許進入置信網(wǎng)絡(luò)之后，合法裝置可能會由惡意裝置替代或劫持。作為便利的實例，剽竊裝置可背負(piggyback)在經(jīng)認證裝置上，以便被準許進入置信網(wǎng)絡(luò)。實際上，這是802.1X的已知弱點。為了針對置信網(wǎng)絡(luò)減輕常規(guī)認證方案的缺點，本發(fā)明提供一種安全性方案，其除了初始準入認證外還包含后準入認證。所述初始準入認證方案可在不損失一般性的情況下根據(jù)正EE802.IX、US6,339,830或不時地可實現(xiàn)的其它裝置準入認證方案來執(zhí)行。為了有利于實施本發(fā)明的后準入認證方案，在執(zhí)行準入認證時獲得裝置識別信息并將其存儲在置信網(wǎng)絡(luò)內(nèi)。明確地說，獲得層2裝置地址(通常稱為MAC(媒體訪問控制)地址)和層3裝置地址(也稱為IP地址)并將其向置信網(wǎng)絡(luò)進行注冊，而不管初始準入認證方案的類型如何。裝置識別特征的注冊可通過置信網(wǎng)絡(luò)的控制構(gòu)件進行。示范性控制構(gòu)件可以是將置信網(wǎng)絡(luò)與非置信網(wǎng)絡(luò)互連的智能交換機。通過這種配置，置信網(wǎng)絡(luò)將知道合法連接的經(jīng)準入可信裝置的MAC和IP地址。層2業(yè)務(wù)控制為了增強置信網(wǎng)絡(luò)的安全性，置信網(wǎng)絡(luò)經(jīng)配置以使得只允許來自具有經(jīng)注冊的MAC地址的經(jīng)認證裝置的分組。為了實施這一點，置信網(wǎng)絡(luò)控制器檢查裝置所發(fā)送的每一分組且與所注冊MAC進行匹配。如果分組不是具有預(yù)先注冊的MAC地址的裝置發(fā)送的，那么將阻止或拒絕所述分組。換句話說，將不允許來自具有非注冊MAC地址的裝置的分組進入置信網(wǎng)絡(luò)，但是準許其進入非置信網(wǎng)絡(luò)。在實施此方案的過程中，將注意到，與每一網(wǎng)絡(luò)接口(即，端口)相關(guān)聯(lián)的裝置的數(shù)目不限于一，且多個裝置可連接到單一端口。另一方面，每一裝置具有作為裝置特征的MAC地址。MAC地址可用作識別構(gòu)件，因為其通常不是可修改的。通過利用MAC地址認證作為額外的后準入安全性度量方法，可實現(xiàn)增強的置信網(wǎng)絡(luò)安全性。重新認證除了檢查分組發(fā)送裝置的MAC以外，置信網(wǎng)絡(luò)還可對裝置執(zhí)行額外的后準入檢査。舉例來說，在準入時已經(jīng)認證了裝置之后，置信網(wǎng)絡(luò)可不時地執(zhí)行重新認證過程以重新確認連接到特定端口的裝置的真實性。這個重新認證過程可以是初始裝置準入認證方案的重復(fù)或類似的認證方案?？芍芷谛缘睾?或在裝置在斷開連接(拔去)之后重新連接(重新插入)到置信網(wǎng)絡(luò)之后進行重新認證。層3業(yè)務(wù)速率監(jiān)控除了層2業(yè)務(wù)控制方案外還可實施的另一種后準入檢查方案是借助于業(yè)務(wù)速率監(jiān)控。在完成初始裝置準入和注冊程序之后，電話裝置將已獲得層3裝置地址("IP地址")，且接著將允許電話裝置與IP電話服務(wù)器(ITS)通信，所述ITS可以是(例如)在智能交換機的CPU上運行的軟件。因為置信網(wǎng)絡(luò)的電話裝置由ITS控制，所以智能交換機的CPU時間是寶貴資源。剽竊裝置可能試圖通過占據(jù)CPU的所有可用資源來打擊置信網(wǎng)絡(luò)。這可(例如)通過電話裝置發(fā)送無用且龐大的數(shù)據(jù)以充斥CPU來進行。為了減輕這種風險，徹查從每一電話裝置到ITS的數(shù)據(jù)流，且將在網(wǎng)絡(luò)接口處制止任何異常高的速率或體積的數(shù)據(jù)流。由于惡意數(shù)據(jù)通常偽裝成呼叫控制業(yè)務(wù)數(shù)據(jù)，因而示范性安全性方案是監(jiān)控從每一IP電話到ITS的呼叫控制業(yè)務(wù)。具體地說，將拒絕超過合理數(shù)據(jù)速率的呼叫控制業(yè)務(wù)數(shù)據(jù)，且將使相應(yīng)的裝置斷開連接。舉例來說，將阻止超過10kB/s或其它恰當速率的朝向ITS的語音呼叫控制業(yè)務(wù)數(shù)據(jù)。視情況，一旦檢測到異常情況，將必須重新認證IP電話裝置以進行重新準入，否則，將使IP裝置斷開連接。在準許多個經(jīng)認證IP電話進入置信網(wǎng)絡(luò)的情況下，可針對各個端口實施個別監(jiān)控規(guī)則或速率。應(yīng)注意，以上后準入檢査方案只是一些非限制性實例。明確地說，可在適合完成特定網(wǎng)絡(luò)安全性要求時共同地、分別地或組合地利用所述方案。示范性網(wǎng)絡(luò)應(yīng)用下文將參看圖2的示范性置信網(wǎng)絡(luò)來解釋本發(fā)明的示范性優(yōu)選實施例。圖2的置信網(wǎng)絡(luò)包含IP電話裝置IPF1、IPF2、IP^和IPF4，其分別連接到置信網(wǎng)絡(luò)的端口Fl、F2、F3和F4。置信網(wǎng)絡(luò)包含主管ITS的智能VoIP交換機(IPSW)。置信網(wǎng)絡(luò)還包含認證服務(wù)器以用于認證用途。此認證服務(wù)器可以在智能交換機內(nèi)部或外部。預(yù)先準入認證在此應(yīng)用中，標準擴展認證協(xié)議(EAP)的一種版本(即，EAP-CHAP(挑戰(zhàn)握手認證協(xié)議)，其以引用的方式并入本文中)用作示范性預(yù)先準入認證方案以便于說明。然而，應(yīng)注意，可在不損失一般性的情況下使用所屬領(lǐng)域的技術(shù)人員已知的其它恰當預(yù)先準入認證方案。更明確地說，此實例中將說明的預(yù)先準入認證方案大致上基于802.1X。在此方法中存在三方，即懇求方、認證方端口訪問實體(PAE)和認證服務(wù)器。在此具體實例中，IP電話裝置是懇求方，且智能交換機是認證方PAE。下文將參看圖3解釋預(yù)先準入認證過程。圖6中展示并入有本發(fā)明的智能交換機的實例。首先，當對IP電話加電并將其插入到網(wǎng)絡(luò)(其可以是智能交換機上的以太網(wǎng)端口)中時，智能交換機將檢測所述端口處的鏈路狀態(tài)變化。這將起動預(yù)先準入認證過程。參看圖3，交換機將向IP電話發(fā)送EAP請求/身份消息(Ml)。在接收到所述EAP請求/身份消息時，IP電話將向交換機發(fā)送EAP/響應(yīng)-身份連同唯一識別信息(M2)。此唯一識別信息(ID)可以是(例如但不限于)其層2裝置地址(MAC地址)或其序列號。此唯一識別信息(例如，IP電話的MAC地址)將由交換機記錄以供隨后使用。接下來，交換機接著將把EAP響應(yīng)/身份轉(zhuǎn)發(fā)到認證服務(wù)器(M2)。在接收到EAP響應(yīng)/身份時，認證服務(wù)器將開始新的認證會話。具體地說，其將把唯一ID記錄在身份字段中以供隨后使用且產(chǎn)生EAP請求/挑戰(zhàn)消息以供傳回到交換機(M3)。此EAP請求/挑戰(zhàn)消息包括隨機數(shù)(x)。交換機接著將把EAP請求/挑戰(zhàn)消息轉(zhuǎn)發(fā)給IP電話(M3)。在IP電話已經(jīng)接收到挑戰(zhàn)消息之后，其將計算響應(yīng)。所述響應(yīng)基于與電話相關(guān)聯(lián)的唯一原始密鑰。舉例來說，IP電話可從手動輸入的口令或從外部安全裝置(例如，硬件插入密鑰或智能卡)處獲得所述密鑰。接著將以下列函數(shù)形式計算密鑰(eKey)的加密形式eKey=efl(key,unique—ID)其中"key"是與電話相關(guān)聯(lián)的唯一原始密鑰，"unique—ID"是電話的唯一識別信息，且"efl"是加密計算。通過所述eKey，可連同起源于認證服務(wù)器的挑戰(zhàn)值來計算認證響應(yīng)。將通過以下公式來計算所述認證響應(yīng)auth—resp=ef2(eKey，x)其中"x"是挑戰(zhàn)值，且"ef2"是加密計算。將把認證響應(yīng)(auth—resp)發(fā)送回交換機(M4)并且將其存儲在IP電話中，所述認證響應(yīng)也呈加密形式作為電子密鑰("eKey")。此存儲的eKey可用于隨后向認證服務(wù)器進行IP電話認證，而不需要獲得另一密鑰。密鑰的加密形式是優(yōu)選的，因為其將增強安全性且防止惡意用戶從電話硬件讀取密鑰。接下來，交換機將把auth—resp轉(zhuǎn)發(fā)到認證服務(wù)器(M4)。在接收到EAP響應(yīng)/挑戰(zhàn)響應(yīng)時，認證服務(wù)器將采取以下步驟來檢驗認證響應(yīng)a)計算eKey,可基于電話的唯一ID及其相關(guān)聯(lián)密鑰來進行此計算，所述唯一ID和相關(guān)聯(lián)密鑰可從認證服務(wù)器的存儲裝置處檢索到；b)基于IP電話裝置的eKey和挑戰(zhàn)值來計算預(yù)期響應(yīng)；c)將認證響應(yīng)與預(yù)期響應(yīng)進行比較。成功認證如果認證響應(yīng)與預(yù)期響應(yīng)匹配，那么認證過程是成功的。認證服務(wù)器接著將把"EAP成功"消息發(fā)送回交換機(M5)。在接收到EAP成功消息時，交換機將注冊并記錄經(jīng)成功認證的IP電話的MAC地址。舉例來說，可將MAC地址存儲在網(wǎng)絡(luò)數(shù)據(jù)存儲裝置或存儲器區(qū)域中。出于方便起見，向所述存儲器區(qū)域分派稱為VoiceMAC表的名稱。交換機接著將把EAP成功消息轉(zhuǎn)發(fā)回IP電話。隨后，將準許從具有已注冊MAC地址的端口進入交換機的分組進入置信語音網(wǎng)絡(luò)。在接收到EAP成功時，IP電話準備好被使用。因此，將理解，在成功認證(這將通過發(fā)布和接收EAP成功消息而顯而易見)后，將在VoiceMAC表中注冊IP電話的MAC地換機端口與經(jīng)認證MAC地址之間的映射。認證失敗另一方面，如果認證響應(yīng)不與預(yù)期響應(yīng)匹配，那么認證過程是不成功的。認證服務(wù)器接著將把"EAP失敗"消息傳回到交換機。當交換機接收到EAP失敗消息時，其將把EAP失敗消息傳遞到IP電話上。在接收到EAP失敗時，IP電話將按照EAP標準再次嘗試認證過程，所述EAP標準建議在拒絕裝置的準入請求之前嘗試認證過程至少三次。當然，可允許的嘗試的數(shù)目可由置信網(wǎng)絡(luò)系統(tǒng)管理員設(shè)置。因為交換機負責認證過程的一部分并且用作在IP電話裝置與認證服務(wù)器之間中繼EAP消息的代理，所以要求交換機跟蹤消息交換的各個狀態(tài)。為了實現(xiàn)其認證作用，交換機安裝有802.1X認證方PAE。后準入檢査a)層2業(yè)務(wù)控制在IP電話裝置已經(jīng)得到準入之后，將己經(jīng)向置信網(wǎng)絡(luò)注冊了其MAC地址。在準入之后，將只準許源自具有已注冊MAC地址的裝置的數(shù)據(jù)分組進入置信網(wǎng)絡(luò)。因為在正常情況下MAC地址是物理裝置的唯一識別信息，所以基于MAC地址的安全性方案將減輕惡意實體進行裝置偽造或端口劫持的風險。在本示范性網(wǎng)絡(luò)應(yīng)用中，將物理LAN邏輯上分離成圖2的語音VLAN(置信)和數(shù)據(jù)VLAN(非置信)。只有源自已注冊MAC地址的數(shù)據(jù)分組才將符合置信網(wǎng)絡(luò)。將把來自任何其它MAC地址的數(shù)據(jù)分組分類為用于非置信網(wǎng)絡(luò)。當分組試圖進入置信網(wǎng)絡(luò)中時，置信網(wǎng)絡(luò)交換機的端口入口處理構(gòu)件將檢査傳入的分組且相應(yīng)地將所述分組進行分類。以下表1展示當分組到達置信網(wǎng)絡(luò)的交換機端口時的四種VLAN分類可能性的列表。分組的MAC地址-已注冊置信MAC地址？分組被標記？分組的VLANID=語音VLAN的ID結(jié)果是N/AN/A將分組分類到語音VLAN中否是是丟棄分組，潛在危險，因為非置信裝置試圖分類到語音VLAN中否是否不需要VLAN分類;將分組視為數(shù)據(jù)VLAN分組否否脆將分組基于其入口端口而分類到數(shù)據(jù)VLAN中11表1參看圖3，當傳入的分組到達置信網(wǎng)絡(luò)的交換機的端口入口時，將執(zhí)行VLAN分類。此VLAN分類可以(例如)基于端口、基于MAC地址或依據(jù)其原始VLAN標簽來進行。在VLAN分類之后，分組將經(jīng)受解析邏輯引擎處理，所述解析邏輯引擎將檢査層2和/或?qū)?特征以決定將把分組交換且發(fā)出到哪個入口端口。此后，將把分組轉(zhuǎn)發(fā)到分組過濾構(gòu)件以執(zhí)行除層2/3處理之外的額外分組轉(zhuǎn)發(fā)策略。如果分組成功地通過所有入口處理程序，那么其將被輸出到端口入口以進入置信網(wǎng)絡(luò)中。參看圖4,其中較詳細展示圖3的VLAN分類過程。首先，將檢査伴隨數(shù)據(jù)分組的MAC地址。如果MAC地址與已經(jīng)在VoiceMAC表中注冊的MAC地址匹配，那么這將被分類成合法語音數(shù)據(jù)分組。接著將用語音VLAN的VLANID標記這個分組，且將把這個分組轉(zhuǎn)發(fā)到下一入口處理步驟。如果MAC地址匹配的結(jié)果為否定的，那么將檢查分組的VLAN標簽。如果沒有VLAN標簽，那么將基于傳入端口用VLANID標記分組且接著將所述分組轉(zhuǎn)發(fā)到下一入口處理步驟以供進一步處理。如果分組已經(jīng)過VLAN標記，那么將用語音VLAN的VLANID來檢查數(shù)據(jù)分組的VLANID。如果數(shù)據(jù)分組的VLANID與語音VLANID匹配且同時伴隨的MAC地址不是已經(jīng)向置信網(wǎng)絡(luò)注冊的MAC地址，那么這將暗示著來自非置信網(wǎng)絡(luò)的潛在危險的可疑數(shù)據(jù)分組正試圖分類到置信網(wǎng)絡(luò)中。將阻止此類分組進入置信網(wǎng)絡(luò)且將其拋棄。另一方面，如果所述VLANID不同于語音VLAN的VLANID,那么將把分組轉(zhuǎn)發(fā)到下一入口處理步驟。b)層3業(yè)務(wù)監(jiān)控如上文所提及，在IP電話裝置已經(jīng)被準許進入置信網(wǎng)絡(luò)之后，其將獲得IP地址。為了減輕可能由惡意實體通過獨占置信網(wǎng)絡(luò)的所有可用操作控制資源而打擊置信網(wǎng)絡(luò)的風險，對層3業(yè)務(wù)(尤其是(但不限于)來自IP電話裝置的呼叫控制業(yè)務(wù))進行速率監(jiān)控。舉例來說，在標準VoIP網(wǎng)絡(luò)中，呼叫控制業(yè)務(wù)通常在分組標頭中的目的地TCP/UDP端口字段中包括眾所周知的端口("WKP")。用于一些廣泛使用的VoIP協(xié)議的WKP的實例如下。<table>tableseeoriginaldocumentpage12</column></row><table>在圖2的示范性網(wǎng)絡(luò)配置中，存在連接到置信語音網(wǎng)絡(luò)的四個IP電話。IP電話的分機號碼和IP地址具有(xi，IPFi}(其中的形式，如圖2所示。數(shù)據(jù)速率監(jiān)控規(guī)則在交換機中經(jīng)設(shè)定以與IP分組標頭中的特定字段匹配。舉例來說，當數(shù)據(jù)分組到達具有源IP=IPF1、目的地IP=IPSW和目的地TCP/UDP端P=Ptwkp的物理端口Por^時，業(yè)務(wù)的最大數(shù)據(jù)速率限度設(shè)定為N—e"千位/秒，其中N一^通常在10-1000的范圍內(nèi)。匹配的分組接著經(jīng)受速率監(jiān)控。同樣，對于分別到達具有各自源IP為IPF2、IPFS和IP154、目的地IP-IPSW和目的地TCP/UDPport=Ptwkp的物理端口PortF2、PortF3和PortF4的數(shù)據(jù)分組，最大可允許速率也為NP。"^千位/秒。當然，網(wǎng)絡(luò)管理員可為不同IP電話裝置設(shè)定或分配不同的可允許速率限度，以增加靈活性。在圖4的入口處理步驟的"分組過濾"步驟中實行這個規(guī)則匹配和隨后的監(jiān)控動作。c)周期性重新認證在裝置已經(jīng)得以認證并被準許進入置信網(wǎng)絡(luò)中之后，可周期性地對其進行重新認證以確保其是最初插入到網(wǎng)絡(luò)交換機中的同一真實裝置。所述重新認證過程可與初始裝置準入認證過程相同，但可放棄密鑰獲取階段，因為無論是否加密，密鑰已經(jīng)存儲在真實的IP電話裝置中。類似地，如果將裝置從網(wǎng)絡(luò)交換機中拔去且隨后重新插入，那么其也將經(jīng)歷后準入裝置重新認證過程以減輕將惡意裝置插入到置信網(wǎng)絡(luò)中作為替代物的風險。當重新定位電話時，即當將電話從一個交換機端口拔出且插入到另一端口中時，也將執(zhí)行后準入裝置重新認證過程。具體地說，當將IP電話重新連接到同一交換機時，在檢查(交換機端口，IP電話的MAC地址)映射表之后，交換機將自動從舊端口撤消注冊MAC地址，即從VoiceMAC表移除條目。另一方面，如果將IP電話重新連接到另一交換機，那么將在下一周期性重新認證步驟期間撤消注冊舊端口上所注冊的MAC地址。視情況，可提供用戶接口工具以用于在特定端口處手動撤消注冊置信MAC地址。在成功認證之后，將向新端口注冊IP電話的MAC地址。類似地，后準入認證程序可由其它事件觸發(fā)。舉例來說，當對IP加電且將其插入到網(wǎng)絡(luò)交換機的端口中以使得在交換機的以太網(wǎng)端口處檢測到鏈路狀態(tài)變化時，或當在維修關(guān)閉之后啟動網(wǎng)絡(luò)交換機時，在此情況下將再次認證已經(jīng)與其連接的所有電話。雖然已經(jīng)參考圖2的網(wǎng)絡(luò)作為便利的實例而描述了以上后準入安全性方案，但所屬領(lǐng)域的技術(shù)人員將了解，可在不損失一般性的情況下獨立地(無論共同地、分別地還是組合地)應(yīng)用各個安全性方案。換句話說，在需要時可選擇后準入檢查方案中的一者或多者以與特定網(wǎng)絡(luò)一起使用。盡管已經(jīng)參考上述實例或優(yōu)選實施例詳細解釋了本發(fā)明，但將了解，所述實施例及其細節(jié)只是用以輔助理解本發(fā)明的實例，且不應(yīng)解釋為限制本發(fā)明的范圍。更明確地說，對所屬領(lǐng)域的技術(shù)人員來說明顯和/或常見的對優(yōu)選實施例所作的變化、修改和改進應(yīng)視為本發(fā)明的等效物。另外，盡管已經(jīng)參考VLAN和VoIP系統(tǒng)解釋了本發(fā)明，但應(yīng)了解，本發(fā)明可在不損失一般性的情況下經(jīng)修改或不經(jīng)修改而應(yīng)用于其它包括分組語音通信系統(tǒng)的通信網(wǎng)絡(luò)。權(quán)利要求1.一種用于通信網(wǎng)絡(luò)的準入方案，其包含以下步驟a)在準許裝置進入所述通信網(wǎng)絡(luò)時獲得并存儲所述裝置的MAC地址，b)在準許數(shù)據(jù)分組進入所述通信網(wǎng)絡(luò)之前檢查所述數(shù)據(jù)分組的源MAC地址，以及c)只有當向所述通信網(wǎng)絡(luò)注冊所述MAC地址時，才準許數(shù)據(jù)分組進入所述通信網(wǎng)絡(luò)。2.根據(jù)權(quán)利要求l所述的準入方案，其進一步包含以下步驟在準許數(shù)據(jù)分組進入所述通信網(wǎng)絡(luò)之前，檢査數(shù)據(jù)分組的業(yè)務(wù)速率，只有當數(shù)據(jù)分組的數(shù)據(jù)速率不超過所規(guī)定的最大值時，才允許數(shù)據(jù)分組進入所述通信網(wǎng)絡(luò)。3.根據(jù)權(quán)利要求1所述的準入方案，其中在準許進入所述通信網(wǎng)絡(luò)時對裝置執(zhí)行初始認證。4.根據(jù)權(quán)利要求3所述的準入方案，其進一步包含以下步驟周期性重新認證所述裝置。5.根據(jù)權(quán)利要求4所述的準入方案，其中基于正EE802.1X進行所述初始認證和重新認證。6.根據(jù)權(quán)利要求4所述的準入方案，其中在為準許進入所述通信網(wǎng)絡(luò)而對裝置進行的所述初始認證中使用擴展認證協(xié)議及其衍生協(xié)議，包括挑戰(zhàn)握手認證協(xié)議。7.根據(jù)權(quán)利要求3所述的準入方案，其中在準許裝置進入語音網(wǎng)絡(luò)時對所述裝置進行的所述初始認證期間獲得所述裝置的MAC地址并將在所述語音網(wǎng)絡(luò)中注冊所述MAC地址，所述裝置的所述注冊的MAC地址用于所述隨后準許來自所述裝置的業(yè)務(wù)進入所述網(wǎng)絡(luò)中。8.根據(jù)權(quán)利要求7所述的準入方案，其中在檢測到裝置相對于所述語音網(wǎng)絡(luò)的鏈路狀態(tài)變化時，執(zhí)行一組認證程序以檢驗裝置的可信性，所述組認證程序與所述組初始準入認證程序大致相同，不同之處只是在所述重新準入認證程序期間不獲得電子密鑰。9.根據(jù)權(quán)利要求2所述的準入方案，其中監(jiān)控裝置的呼叫控制業(yè)務(wù)數(shù)據(jù)速率，通過所述網(wǎng)絡(luò)阻止超過預(yù)定閾值的呼叫控制業(yè)務(wù)數(shù)據(jù)速率。10.根據(jù)權(quán)利要求9所述的準入方案，其中所述閾值是處于10kB/s到10MB/s之間的數(shù)據(jù)速率。11.根據(jù)權(quán)利要求3所述的準入方案，其進一步包含以下步驟周期性檢查連接到所述語音網(wǎng)絡(luò)的裝置的所述MAC地址，如果所述裝置的所述MAC地址不是已經(jīng)向所述語音網(wǎng)絡(luò)注冊的MAC地址，那么將不準許來自所述裝置的數(shù)據(jù)分組進入。12.根據(jù)權(quán)利要求1所述的準入方案，其中所述通信網(wǎng)絡(luò)是包含交換機和多個端口的語音LAN，所述交換機監(jiān)視所述多個端口的鏈路狀態(tài)且在檢測到所述端口的所述鏈路狀態(tài)變化時激活所述初始準入認證程序。13.根據(jù)權(quán)利要求12所述的準入方案，其中在執(zhí)行所述初始認證程序時通過所述交換機記錄裝置的所述MAC地址和所述裝置所連接到的端口地址，在所述隨后準許來自所述裝置的業(yè)務(wù)進入所述網(wǎng)絡(luò)的過程中使用所述MAC地址和所述相應(yīng)的端口地址。14.一種通信網(wǎng)絡(luò)，其包含根據(jù)前述權(quán)利要求中任一權(quán)利要求所述的準入方案。15.根據(jù)權(quán)利要求14所述的通信網(wǎng)絡(luò)，其中所述通信網(wǎng)絡(luò)適于VoIP電話。全文摘要本發(fā)明提供一種用于通信網(wǎng)絡(luò)的準入方案，其包含以下步驟a)在準許裝置進入所述通信網(wǎng)絡(luò)時獲得并存儲所述裝置的MAC地址，b)在準許數(shù)據(jù)分組進入所述通信網(wǎng)絡(luò)之前檢查所述數(shù)據(jù)分組的源MAC地址，以及c)只有當向所述通信網(wǎng)絡(luò)注冊了所述MAC地址時，才準許數(shù)據(jù)分組進入所述通信網(wǎng)絡(luò)。文檔編號H04L29/06GK101248613SQ200680028454公開日2008年8月20日申請日期2006年8月17日優(yōu)先權(quán)日2005年8月18日發(fā)明者卡爾-溫·愛德華·洛爾,坤沈,蔣日東,陸永熙申請人:香港應(yīng)用科技研究院有限公司