[发明专利]用于安全通信网络尤其是安全IP电话网络的可信装置准入方案

权利要求书

1.一种用于通信网络的准入方案，其包含以下步骤：

a)在准许装置进入所述通信网络时获得并存储所述装置的MAC地址，

b)在准许数据分组进入所述通信网络之前检查所述数据分组的源MAC地址，以及

c)只有当向所述通信网络注册所述MAC地址时，才准许数据分组进入所述通信网络。

2.根据权利要求1所述的准入方案，其进一步包含以下步骤：

在准许数据分组进入所述通信网络之前，检查数据分组的业务速率，只有当数据分组的数据速率不超过所规定的最大值时，才允许数据分组进入所述通信网络。

3.根据权利要求1所述的准入方案，其中在准许进入所述通信网络时对装置执行初始认证。

4.根据权利要求3所述的准入方案，其进一步包含以下步骤：

周期性重新认证所述装置。

5.根据权利要求4所述的准入方案，其中基于IEEE 802.1X进行所述初始认证和重新认证。

6.根据权利要求4所述的准入方案，其中在为准许进入所述通信网络而对装置进行的所述初始认证中使用扩展认证协议及其衍生协议，包括挑战握手认证协议。

7.根据权利要求3所述的准入方案，其中在准许装置进入语音网络时对所述装置进行的所述初始认证期间获得所述装置的MAC地址并将在所述语音网络中注册所述MAC地址，所述装置的所述注册的MAC地址用于所述随后准许来自所述装置的业务进入所述网络中。

8.根据权利要求7所述的准入方案，其中在检测到装置相对于所述语音网络的链路状态变化时，执行一组认证程序以检验装置的可信性，所述组认证程序与所述组初始准入认证程序大致相同，不同之处只是在所述重新准入认证程序期间不获得电子密钥。

9.根据权利要求2所述的准入方案，其中监控装置的呼叫控制业务数据速率，通过所述网络阻止超过预定阈值的呼叫控制业务数据速率。

10.根据权利要求9所述的准入方案，其中所述阈值是处于10kB/s到10MB/s之间的数据速率。

11.根据权利要求3所述的准入方案，其进一步包含以下步骤：

周期性检查连接到所述语音网络的装置的所述MAC地址，如果所述装置的所述MAC地址不是已经向所述语音网络注册的MAC地址，那么将不准许来自所述装置的数据分组进入。

12.根据权利要求1所述的准入方案，其中所述通信网络是包含交换机和多个端口的语音LAN，所述交换机监视所述多个端口的链路状态且在检测到所述端口的所述链路状态变化时激活所述初始准入认证程序。

13.根据权利要求12所述的准入方案，其中在执行所述初始认证程序时通过所述交换机记录装置的所述MAC地址和所述装置所连接到的端口地址，在所述随后准许来自所述装置的业务进入所述网络的过程中使用所述MAC地址和所述相应的端口地址。

14.一种通信网络，其包含根据前述权利要求中任一权利要求所述的准入方案。

15.根据权利要求14所述的通信网络，其中所述通信网络适于VoIP电话。