[发明专利]用于安全通信网络尤其是安全IP电话网络的可信装置准入方案

说明书

技术领域

本发明涉及一种用于通信网络的装置准入方案，且更明确地说，涉及一种用于例如VoIP电话网络等分组语音通信网络的装置准入和重新认证方案。

背景技术

专用数据网络正越来越多地用于在公司环境下承载电话服务连同普通数据业务以替代专门的PBX系统。针对电话服务使用专用数据网络是有利的，因为(例如)语音系统更具缩放性，并且其管理可更为有效且集中。另外，语音和数据业务两者只需要单一网络基本设施。专用数据网络中的语音电话通常由分组语音数据业务承载，且VoIP(因特网语音协议)是普遍的标准协议，但VoIP标准最初是针对因特网应用而开发的。

图1展示构建在示范性局域网(LAN)上的示范性常规VoIP语音通信网络。此常规网络包含层2LAN交换机、多个IP电话装置和IP电话服务器(ITS)。每一IP电话装置具有特征IP地址IP^Fx和内部电话分机号码(例如，101-104)。向ITS分配IP地址(IP^ITS)，且所有相关网络实体均连接到LAN交换机。由于所有实体均连接到同一数据网络，因而向它们分派同一IP子网的IP地址。在本说明书中，术语“客户端装置”、“电话装置”和“IP电话”可互换使用，且除非上下文另外要求，否则具有相同含义。

在例如上述系统的常规专用VoIP系统中，所有层处可通信的语音和数据业务由单一物理网络基本设施承载。对数据网络的恶意攻击(例如，由于剽窃引起的)可同时打击语音网络。这显然是不可接受的。为了减轻由于对数据网络恶意攻击而破坏语音电话系统的危险，需要将公司的语音电话网络与数据网络分开。通过将语音网络与数据网络分离，数据业务和语音业务将单独承载于其各自网络上，使得将不允许数据网络中的非语音数据横越到语音网络中。这种分离将导致形成用于承载语音业务的“置信网络”和用于承载普通数据或语音与数据的混合的“非置信网络”。在黑客使非置信数据网络瘫痪的不幸情况下，由于其分离的缘故，置信语音网络仍然能够保持操作。

为了利用单一物理网络基本设施，可在逻辑上将物理LAN分离成语音网络和数据网络。将LAN逻辑网络分离成语音和数据子LAN可通过使用虚拟LAN(VLAN)拓扑或其它恰当技术来实现。对恰当VLAN技术的描述可查阅(例如)“IEEEStandard for Information technology-Telecommunications and information exchangebetween systems-IEEE standard for local and metropolitan area networks-Commonspecifications-第3部分：Media access control(MAC)Bridges，ANSI/IEEE Std 802.1D，1998版本”。该文献以引用的方式并入本文中。

为了保护置信语音网络的完整性和安全性，每一IP电话装置必须在准许进入置信语音网络之前受到严格认证。这种初始准入认证可遵守已知认证方法，例如IEEE标准802.1X中所提出的方法，IEEE标准802.1X以引用的方式并入本文中。具体地说，IEEE 802.1X标准描述一种用于基于端口存取进入LAN中的装置的标准方法且提供关于如何基于其网络接口而同意准入装置进入LAN的细节。网络装置的网络接口是通常称为端口的物理接口。第6,339,830号美国专利描述一种准入认证方法，其是802.1X方法的简化变型。然而，请注意，由初始准入认证或类似方案提供的安全性是不够的。因此，需要能够提供用于增强置信语音网络的安全性的构件、方法和方案。

在本说明书中，除非上下文另外要求，否则术语“层”始终意指并指代在OSI(开放式系统互连)协议模型下定义的层。

发明内容

本发明的目的

因此，本发明的目的是提供用于增强置信语音网络的安全性的安全性构件、方法和方案。在最小程度上，本发明目的至少是提供用于增强VoIP电话网络的安全性的安全性构件、方法和方案的有用替代形式以供公众选择。

根据本发明的一方面，提供一种用于通信网络的准入方案，其包含以下步骤：

a)在准许装置进入所述通信网络时获得并存储所述装置的MAC地址，

b)在准许数据分组进入通信网络之前检查所述数据分组的源MAC地址，以及

c)只有当向通信网络注册了MAC地址时，才准许数据分组进入通信网络。

优选地，所述安全性方法进一步包含以下步骤：