專利名稱:多媒體網(wǎng)絡(luò)安全系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信或計(jì)算機(jī)領(lǐng)域的網(wǎng)絡(luò)安全技術(shù)����,尤指一種多媒體網(wǎng)絡(luò)安全系統(tǒng)及方法。
背景技術(shù):
隨著網(wǎng)絡(luò)的發(fā)展�����,網(wǎng)絡(luò)安全也越來越突出�,雖然各個(gè)企事業(yè)單位都有自己的私有網(wǎng)絡(luò),但在實(shí)際的應(yīng)用過程中����,又不得不與公網(wǎng)及其它網(wǎng)絡(luò)進(jìn)行通信����,所以�,大多數(shù)企事業(yè)單位為保證自己私有網(wǎng)絡(luò)地安全,均采用防火墻來加以保障�。防火墻之所以能夠保障網(wǎng)絡(luò)安全性,是因?yàn)榉阑饓δ軐?duì)經(jīng)過的各種報(bào)文進(jìn)行過濾��。
請(qǐng)參照?qǐng)D1所示�����,一般防火墻均不會(huì)讓任何有公共網(wǎng)絡(luò)節(jié)點(diǎn)主動(dòng)發(fā)起的連接進(jìn)入防火墻內(nèi)部���,如“公共網(wǎng)絡(luò)的節(jié)點(diǎn)21向私有網(wǎng)絡(luò)的節(jié)點(diǎn)11的端口5000發(fā)起TCP連接”�����;同時(shí)��,防火墻也限制私有網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)隨便向外部網(wǎng)絡(luò)發(fā)起連接���,“私有網(wǎng)絡(luò)的節(jié)點(diǎn)11向公共網(wǎng)絡(luò)的節(jié)點(diǎn)21的端口5000發(fā)起TCP連接”。如果防火墻允許私有網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)向外部節(jié)點(diǎn)發(fā)起連接�,則需要打開防火墻內(nèi)部的某個(gè)端口�����,如1圖中的防火墻打開了內(nèi)部80端口,這樣私有網(wǎng)絡(luò)的節(jié)點(diǎn)11便可以向公共網(wǎng)絡(luò)的節(jié)點(diǎn)21發(fā)起TCP連接����,然后,節(jié)點(diǎn)21也就可以沿著原路響應(yīng)節(jié)點(diǎn)11的請(qǐng)求�,從而完成兩個(gè)節(jié)點(diǎn)間的信息交互。
請(qǐng)參照?qǐng)D2所示�,以H.323多媒體系統(tǒng)為例,其基本組件包括若干H.323終端��、多點(diǎn)控制單元(MCU)����、網(wǎng)守(GK)及網(wǎng)關(guān),每一個(gè)組件在該多媒體系統(tǒng)中可作為一個(gè)節(jié)點(diǎn)����,節(jié)點(diǎn)間可進(jìn)行呼叫交互。
所述H.323協(xié)議包含兩個(gè)主要協(xié)議H.225.0和H.245�;其中H.225.0協(xié)議也主要包含兩部分的內(nèi)容認(rèn)證(RAS,Regispation����,Admisstion and Status)協(xié)議部分和Q.931協(xié)議部分����。在H.323協(xié)議中��,為實(shí)現(xiàn)遠(yuǎn)端攝像機(jī)的控制功能���,引用了H.224協(xié)議���,將遠(yuǎn)端攝像機(jī)控制的命令采用H.224協(xié)議進(jìn)行打包,然后放在實(shí)時(shí)傳輸協(xié)議/實(shí)時(shí)傳輸控制協(xié)議(RTP/RTCP���,Realtime Transport Protocol/Realtime Transport Control Protocol)中進(jìn)行傳送���。在H.323協(xié)議中,主要用RTP/RTCP協(xié)議來傳送音頻媒體流����、視頻媒體流以及遠(yuǎn)端攝像機(jī)控制命令。
請(qǐng)參照?qǐng)D3所示���,根據(jù)H.323協(xié)議的規(guī)定��,節(jié)點(diǎn)A和節(jié)點(diǎn)B之間完整的呼叫過程主要包括四個(gè)過程RAS信令過程�����、Q.931信令過程���、H.245過程和媒體流交互過程。
請(qǐng)參照?qǐng)D4所示���,在媒體流的交互過程中�����,一個(gè)典型的H.323呼叫將包括音頻媒體流和視頻媒體流傳輸�����。在視/音頻媒體流的傳輸過程中���,每個(gè)節(jié)點(diǎn)A或B需要打開4個(gè)接收端口,包括視頻媒體流的RTP接收端口�、音頻媒體流的RTP接收端口、視頻媒體流的RTCP接收端口和音頻媒體流的RTCP接收端口�����。
這樣,根據(jù)H.323多媒體通信的特點(diǎn)�,一旦呼叫的雙方處于防火墻的兩邊,即節(jié)點(diǎn)A和節(jié)點(diǎn)B處于防火墻的兩邊����,則必須在防火墻上打開H.323多媒體通信過程中媒體流需要用到的多個(gè)端口,因此減低了防火墻對(duì)網(wǎng)絡(luò)安全的預(yù)防能力���。
現(xiàn)有技術(shù)中�����,節(jié)點(diǎn)A�、B之間有防火墻采用端口收斂技術(shù)���,減少在防火墻上打開的端口數(shù)量�����。請(qǐng)參照?qǐng)D5所示��,在防火墻內(nèi)部(即在防火墻和私有網(wǎng)絡(luò)節(jié)點(diǎn)A之間)設(shè)置獨(dú)立的用于端口收斂的客戶端設(shè)備����;在防火墻外部(即在防火墻和公共網(wǎng)絡(luò)節(jié)點(diǎn)B之間)設(shè)置獨(dú)立的用于端口收斂的服務(wù)端設(shè)備,從而達(dá)到端口收斂的目的�。在進(jìn)行端口收斂時(shí),現(xiàn)有技術(shù)一般采用音頻和視頻兩個(gè)端口�����。
這樣���,現(xiàn)有技術(shù)雖然采用端口收斂技術(shù),減少了在防火墻上打開端口的數(shù)量��,但還存在以下問題
(1)必須在防火墻內(nèi)部放置獨(dú)立的端口收斂設(shè)備�,增加用戶使用成本,也將導(dǎo)致實(shí)際應(yīng)用及維護(hù)的復(fù)雜度��;
(2)由于還存在兩個(gè)端口�����,所以端口收斂并不是很徹底��;
(3)由于每個(gè)呼叫均要經(jīng)過客戶端/服務(wù)端進(jìn)行端口收斂處理,所以其效率較低���,而且會(huì)因此引入延遲�����,影響通信質(zhì)量�����;
(4)由于該方式將客戶端作為內(nèi)部網(wǎng)絡(luò)的代理來使用�,這就要求節(jié)點(diǎn)A必須將網(wǎng)守的地址配置成客戶端的地址��。這樣���,在公共運(yùn)營(yíng)的環(huán)境下���,非常不利于運(yùn)營(yíng)商統(tǒng)一部署業(yè)務(wù),公布統(tǒng)一的網(wǎng)守地址��,所以該方式有明顯的使用局限性�。
發(fā)明內(nèi)容
本發(fā)明解決的問題是提供一種多媒體網(wǎng)絡(luò)安全系統(tǒng)及方法,使位于防火墻兩邊的節(jié)點(diǎn)交互過程中�����,防火墻打開盡可能少端口,避免端口收斂不徹底�,提高防火墻多網(wǎng)絡(luò)安全防護(hù)的有效性。
為解決上述問題����,本發(fā)明多媒體網(wǎng)絡(luò)安全系統(tǒng)包括具有防火墻端口的防火墻、位于防火墻內(nèi)側(cè)的具有內(nèi)部節(jié)點(diǎn)端口的內(nèi)部節(jié)點(diǎn)及位于防火墻外側(cè)的具有外部節(jié)點(diǎn)端口的外部節(jié)點(diǎn)�����,所述內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)穿越防火墻建立呼叫���,所述外部節(jié)點(diǎn)在與防火墻之間設(shè)置有收斂端口���,用于從一個(gè)防火墻端口接收內(nèi)部節(jié)點(diǎn)所有內(nèi)部節(jié)點(diǎn)端口的媒體流并區(qū)分媒體流以及將外部節(jié)點(diǎn)所有外部節(jié)點(diǎn)端口的媒體流經(jīng)其穿越一個(gè)防火墻端口發(fā)送至內(nèi)部節(jié)點(diǎn)的各個(gè)相應(yīng)內(nèi)部節(jié)點(diǎn)端口���,且所述內(nèi)部節(jié)點(diǎn)端口和外部節(jié)點(diǎn)端口的媒體流都具有用于區(qū)分媒體流的唯一標(biāo)識(shí)�。
所述內(nèi)部節(jié)點(diǎn)在與防火墻之間設(shè)置有收斂端口����,用于從一個(gè)防火墻端口接收外部節(jié)點(diǎn)的收斂端口的媒體流并區(qū)分媒體流以及將內(nèi)部節(jié)點(diǎn)所有內(nèi)部節(jié)點(diǎn)端口的媒體流經(jīng)其穿越一個(gè)防火墻端口發(fā)送至外部節(jié)點(diǎn)的收斂端口��。
所述媒體流的唯一標(biāo)識(shí)包括內(nèi)部節(jié)點(diǎn)向外部節(jié)點(diǎn)發(fā)送的告知報(bào)文中的IP包頭中報(bào)文的源IP地址、用戶數(shù)據(jù)報(bào)協(xié)議包頭中報(bào)文的源端口號(hào)及對(duì)應(yīng)重定向報(bào)文內(nèi)容中的媒體流類型�。
所述媒體流的唯一標(biāo)識(shí)指在媒體流采用實(shí)時(shí)傳輸協(xié)議傳輸時(shí)的實(shí)時(shí)傳輸協(xié)議報(bào)文中的信息包標(biāo)題域中的有效載荷類型域和同步源標(biāo)識(shí)符域��。
相應(yīng)地�,本發(fā)明多媒體網(wǎng)絡(luò)安全方法��,用于實(shí)現(xiàn)分別位于具有防火墻端口的防火墻內(nèi)外兩側(cè)的內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)間的通信,包括以下步驟設(shè)置步驟���,至少在外部節(jié)點(diǎn)設(shè)置收斂端口;確定地址步驟,確定通信對(duì)端的收斂端口地址�����;標(biāo)識(shí)交互步驟,根據(jù)收斂端口地址��,向收斂端口發(fā)送告知報(bào)文����,該告知報(bào)文攜帶媒體流類型對(duì)應(yīng)的唯一標(biāo)識(shí);媒體流傳輸步驟�,根據(jù)收斂端口地址��,經(jīng)由收斂端口�����,穿越一個(gè)防火墻端口向通信對(duì)端發(fā)送攜帶唯一標(biāo)識(shí)的媒體流或從一個(gè)防火墻端口接收通信對(duì)端的攜帶唯一標(biāo)識(shí)媒體流;媒體流分發(fā)步驟,根據(jù)媒體流唯一標(biāo)識(shí),收斂端口區(qū)分媒體流�����。
所述方法還包括以下步驟聲明步驟�����,向通信對(duì)端聲明本身具有端口收斂能力。
所述聲明步驟基于H.323協(xié)議���,其具體過程如下向通信對(duì)端發(fā)送連接請(qǐng)求消息,聲明本身支持端口收斂���,所述連接請(qǐng)求消息通過擴(kuò)展非標(biāo)準(zhǔn)信息域?qū)崿F(xiàn)支持端口收斂的聲明�����。所述聲明步驟還包括以下步驟通信對(duì)端反饋呼叫處理消息��,聲明本身支持端口收斂,所述呼叫處理消息通過擴(kuò)展非標(biāo)準(zhǔn)信息域?qū)崿F(xiàn)支持端口收斂的聲明��。
所述確定地址步驟通過事先約定來實(shí)現(xiàn)�����。
所述確定地址步驟通過基于H.245協(xié)議交互協(xié)商實(shí)現(xiàn),具體包括以下步驟向具有收斂端口的通信對(duì)端發(fā)送通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)的重定向地址請(qǐng)求消息�;通信對(duì)端反饋通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)的且攜帶收斂端口地址的重定向地址響應(yīng)消息���。
所述確定地址步驟基于H.245協(xié)議通過打開邏輯通道實(shí)現(xiàn),具體過程為具有收斂端口的外部節(jié)點(diǎn)或內(nèi)部節(jié)點(diǎn)在打開邏輯通道響應(yīng)消息中將本身各個(gè)端口地址皆填寫成收斂端口地址�。
標(biāo)識(shí)交互步驟中告知報(bào)文基于重定向報(bào)文實(shí)現(xiàn)���,所述重定向報(bào)文包括IP網(wǎng)絡(luò)包頭、包含報(bào)文的源IP地址的IP包頭、包含報(bào)文的源端口號(hào)的用戶數(shù)據(jù)報(bào)協(xié)議包頭及包含媒體流類型的重定向報(bào)文內(nèi)容�����;所述唯一標(biāo)識(shí)包括所述的源IP地址�、源端口號(hào)及對(duì)應(yīng)的媒體流類型。
所述標(biāo)識(shí)交互步驟中告知報(bào)文基于實(shí)時(shí)傳輸協(xié)議報(bào)文實(shí)現(xiàn)��,采用信息包標(biāo)題域中有效載荷類型域和同步源標(biāo)識(shí)符域?qū)崿F(xiàn)媒體流的唯一標(biāo)識(shí)���,具體步驟為向收斂端口發(fā)送同步源標(biāo)識(shí)符通知報(bào)文,聲明采用同步源標(biāo)識(shí)符值及其對(duì)應(yīng)的媒體流類型�;收斂端口反饋同步源標(biāo)識(shí)符響應(yīng)報(bào)文����,在同步源標(biāo)識(shí)符響應(yīng)報(bào)文包含同步源標(biāo)識(shí)符值沖突或通知成功消息���。
所述同步源標(biāo)識(shí)符通知報(bào)文和同步源標(biāo)識(shí)符響應(yīng)報(bào)文通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)。
與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn)
由于采用收斂端口及媒體流唯一標(biāo)識(shí)���,使得在不影響內(nèi)部節(jié)點(diǎn)的正常通信的情況下��,在防火墻上打開的端口盡可能的少(例如僅一個(gè)防火墻端口)���,從而提高防火墻對(duì)網(wǎng)絡(luò)安全防護(hù)的有效性����,同時(shí)也方便用戶對(duì)防火墻設(shè)備的配置及維護(hù)����;
不需要在防火墻內(nèi)部增加額外設(shè)備/組件����,方便用戶使用�����,減少用戶使用成本���;同時(shí)也不會(huì)因此而影響通信效果��;
由于媒體流的唯一標(biāo)識(shí)、收斂端口地址確定實(shí)現(xiàn)方式有多種���,方便用戶在多種場(chǎng)合下使用�����,沒有使用局限性�����。
圖1是現(xiàn)有技術(shù)中網(wǎng)絡(luò)安全系統(tǒng)一實(shí)施例框圖。
圖2是現(xiàn)有技術(shù)中H.323多媒體系統(tǒng)框圖���。
圖3是現(xiàn)有技術(shù)中H.323多媒體呼叫流程圖�����。
圖4是圖3細(xì)化流程圖。
圖5是現(xiàn)有技術(shù)中網(wǎng)絡(luò)安全系統(tǒng)另一實(shí)施例框圖����。
圖6是現(xiàn)有技術(shù)中多媒體網(wǎng)絡(luò)安全系統(tǒng)一實(shí)施例框圖����。
圖7是現(xiàn)有技術(shù)中多媒體網(wǎng)絡(luò)安全系統(tǒng)另一實(shí)施例框圖��。
圖8是本發(fā)明多媒體網(wǎng)絡(luò)安全系統(tǒng)一實(shí)施例框圖��。
圖9是本發(fā)明多媒體網(wǎng)絡(luò)安全系統(tǒng)另一實(shí)施例框圖����。
圖10是本發(fā)明多媒體網(wǎng)絡(luò)安全系統(tǒng)又一實(shí)施例框圖�。
圖11是本發(fā)明多媒體網(wǎng)絡(luò)安全方法整體流程圖����。
圖12是本發(fā)明多媒體網(wǎng)絡(luò)安全方法一實(shí)施例流程圖����。
圖13是本發(fā)明多媒體網(wǎng)絡(luò)安全方法另一實(shí)施例流程圖���。
圖14、15是圖12�����、13中連接請(qǐng)求消息和呼叫處理消息擴(kuò)展示意圖。
圖16���、17是圖12中重定向地址請(qǐng)求消息擴(kuò)展示意圖�����。
圖18����、19是圖12中重定向地址響應(yīng)消息擴(kuò)展示意圖。
圖20是圖12�����、13中重定向報(bào)文擴(kuò)展示意圖。
圖21是本發(fā)明多媒體網(wǎng)絡(luò)安全方法又一實(shí)施例流程圖�。
圖22�、23是圖21中同步源標(biāo)識(shí)符通知報(bào)文擴(kuò)展示意圖���。
圖24�、25是圖21中同步源標(biāo)識(shí)符響應(yīng)報(bào)文擴(kuò)展示意圖�����。
具體實(shí)施例方式
請(qǐng)參閱背景技術(shù)����,防火墻內(nèi)外兩側(cè)分布私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)�,在本發(fā)明中將位于防火墻內(nèi)側(cè)的私有網(wǎng)絡(luò)中的節(jié)點(diǎn)稱之為內(nèi)部節(jié)點(diǎn)��,而位于防火墻外側(cè)的公共網(wǎng)絡(luò)或其他網(wǎng)絡(luò)中的節(jié)點(diǎn)稱之為外部節(jié)點(diǎn)���。在不需要多媒體通訊時(shí)��,例如,私有網(wǎng)絡(luò)為企業(yè)網(wǎng)��,僅需要與公共網(wǎng)絡(luò)(如Internet)進(jìn)行通訊�����,則在防火墻上開設(shè)一個(gè)端口即可�。
然而在多媒體通訊時(shí),請(qǐng)參照?qǐng)D6、7所示���,多媒體通訊中按照H.323協(xié)議,一個(gè)普通的視音頻呼叫����,其媒體流的收發(fā)端口包括視頻實(shí)時(shí)傳輸協(xié)議(RTP,Realtime Transport Protocol)端口��、視頻實(shí)時(shí)傳輸控制協(xié)議(RTCP���,Realtime Transport Control Protocol)端口�、音頻實(shí)時(shí)傳輸協(xié)議(RTP�����,RealtimeTransport Protocol)端口和音頻實(shí)時(shí)傳輸控制協(xié)議(RTCP����,Realtime TransportControl Protocol)端口,這些端口都需要在防火墻上打開。由于每個(gè)內(nèi)部節(jié)點(diǎn)對(duì)視頻RTP端口�����、視頻RTCP端口、音頻RTP端口及音頻RTCP端口均有發(fā)送和接收兩個(gè)方向的媒體流����,請(qǐng)參見圖7所示���,如果每個(gè)端口都不一致,則該呼叫在防火墻上需要打開8個(gè)端口。請(qǐng)參照?qǐng)D6所示�,如果內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)的收發(fā)端口一致�����,則也需要在防火墻上打開4個(gè)端口。在防火墻打開端口越多越影響網(wǎng)絡(luò)安全����,多到一定程度防火墻形同虛設(shè)。現(xiàn)有技術(shù)采用端口收斂技術(shù)以減少在防火墻上開設(shè)端口的數(shù)量����,但是以多媒體通訊中內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)的收發(fā)端口一致情況為例���,采用現(xiàn)有技術(shù)解決方案���,仍至少需要在防火墻上打開兩個(gè)端口�。
本發(fā)明的目的是使端口收斂更徹底����,以便在多媒體通訊中在防火墻上開設(shè)盡量少的端口,一般情況�����,采用本發(fā)明解決方案�,僅需要在防火墻打開一個(gè)端口且不影響內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)正常的多媒體通訊。
請(qǐng)參照?qǐng)D8所示�,本發(fā)明多媒體網(wǎng)絡(luò)安全系統(tǒng),包括具有防火墻端口的防火墻1��、位于防火墻內(nèi)側(cè)的具有內(nèi)部節(jié)點(diǎn)端口的內(nèi)部節(jié)點(diǎn)2及位于防火墻外側(cè)的具有外部端口的外部節(jié)點(diǎn)3���,所述內(nèi)部節(jié)點(diǎn)2和外部節(jié)點(diǎn)33穿越防火墻1建立呼叫���,所述外部節(jié)點(diǎn)3在與防火墻1之間設(shè)置有收斂端口31,收斂端口31用于從一個(gè)防火墻端口處接收內(nèi)部節(jié)點(diǎn)2所有內(nèi)部節(jié)點(diǎn)端口的媒體流并區(qū)分媒體流以及將外部節(jié)點(diǎn)3所有外部節(jié)點(diǎn)端口的媒體流經(jīng)其穿越一個(gè)防火墻端口發(fā)送至內(nèi)部節(jié)點(diǎn)2的各個(gè)相應(yīng)內(nèi)部節(jié)點(diǎn)端口�����,且所述內(nèi)部節(jié)點(diǎn)端口和外部節(jié)點(diǎn)端口的媒體流具有用于區(qū)分媒體流的唯一標(biāo)識(shí)�。
請(qǐng)參照?qǐng)D9所示,所述內(nèi)部節(jié)點(diǎn)2在與防火墻1之間設(shè)置有收斂端口22�,該內(nèi)部節(jié)點(diǎn)2的收斂端口22用于從一個(gè)防火墻端口處接收收斂端口31的媒體流并區(qū)分媒體流作相應(yīng)處理以及將內(nèi)部節(jié)點(diǎn)2所有內(nèi)部節(jié)點(diǎn)端口的媒體流經(jīng)其穿越一個(gè)防火墻端口發(fā)送至收斂端口31�。
圖8����、9中的實(shí)施例是基于內(nèi)部節(jié)點(diǎn)2和外部節(jié)點(diǎn)3收發(fā)端口一致的情況。請(qǐng)參照?qǐng)D10所示���,當(dāng)內(nèi)部節(jié)點(diǎn)2和外部節(jié)點(diǎn)3收發(fā)端口不一致時(shí)��,仍然適用圖8���、9中收斂端口設(shè)置方案。通過圖10中的箭頭方向分辨出單箭頭表示內(nèi)部節(jié)點(diǎn)2向外部節(jié)點(diǎn)3發(fā)送媒體流���,而雙箭頭表示外部節(jié)點(diǎn)3向內(nèi)部節(jié)點(diǎn)2發(fā)送媒體流。之所以用雙箭頭表示外部節(jié)點(diǎn)3向內(nèi)部節(jié)點(diǎn)2傳輸方向���,在實(shí)際的傳輸過程中�,除了外部節(jié)點(diǎn)3向內(nèi)部節(jié)點(diǎn)2發(fā)送媒體流外��,內(nèi)部節(jié)點(diǎn)2也要向外部節(jié)點(diǎn)3發(fā)送相應(yīng)的報(bào)文�����。根據(jù)防火墻1的包過濾原則,在正常的情況下���,外部節(jié)點(diǎn)3是不能直接向內(nèi)部節(jié)點(diǎn)2發(fā)送媒體流的����,除非內(nèi)部節(jié)點(diǎn)2先向外部節(jié)點(diǎn)3發(fā)送告知報(bào)文告知��,然后外部節(jié)點(diǎn)3采用沿著原路反饋到內(nèi)部節(jié)點(diǎn)2���。當(dāng)然防火墻的包過濾原則同樣適用于圖8�、9中的具體實(shí)施例�,且在本發(fā)明多媒體網(wǎng)絡(luò)安全方法會(huì)繼續(xù)描述。另外�,本發(fā)明涉及到公私網(wǎng)穿越的內(nèi)容請(qǐng)參照專利申請(qǐng)申請(qǐng)?zhí)?3159214.7,其名稱為《多媒體協(xié)議穿越網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備的實(shí)現(xiàn)方式》中的說明��。
所述唯一標(biāo)識(shí)是用于外部節(jié)點(diǎn)或內(nèi)部節(jié)點(diǎn)在收斂端口處區(qū)分來自通信對(duì)端不同端口媒體流���,以作相應(yīng)處理�����,例如設(shè)置收斂端口的外部節(jié)點(diǎn)或內(nèi)部節(jié)點(diǎn)通過媒體流中唯一標(biāo)識(shí)能夠?qū)⒔y(tǒng)一從收斂端口接收到的媒體流區(qū)分為“視頻RTP”�、視頻“RTCP”、“音頻RTP”及“音頻RTCP”報(bào)文����,再作進(jìn)一步的處理,區(qū)分過程參見本發(fā)明多媒體網(wǎng)絡(luò)安全方法����。所述媒體流的唯一標(biāo)識(shí)通過內(nèi)部節(jié)點(diǎn)根據(jù)包過濾原則向外部節(jié)點(diǎn)發(fā)送的告知報(bào)文實(shí)現(xiàn)的,包括告知報(bào)文中的IP包頭中報(bào)文的源IP地址�����、用戶數(shù)據(jù)報(bào)協(xié)議包頭中報(bào)文的源端口號(hào)及對(duì)應(yīng)重定向報(bào)文內(nèi)容中的媒體流類型�����。
或者所述唯一標(biāo)識(shí)通過在媒體流采用實(shí)時(shí)傳輸協(xié)議傳輸時(shí)��,直接在實(shí)時(shí)傳輸協(xié)議報(bào)文中��,采用信息包標(biāo)題域中有效載荷類型域(PT)和同步源標(biāo)識(shí)符域(SSRC)實(shí)現(xiàn)�����,后文詳述���。
在防火墻打開端口�����,一般是指在防火墻1的內(nèi)部接口上���,即打開防火墻1內(nèi)部節(jié)點(diǎn)2可以訪問公共網(wǎng)絡(luò)或其他網(wǎng)絡(luò)的某個(gè)端口,如打開防火墻1的80端口���,則表示防火墻內(nèi)部節(jié)點(diǎn)2可以訪問外部網(wǎng)絡(luò)中以80端口作為接收端口的外部節(jié)點(diǎn)3����。
本發(fā)明多媒體網(wǎng)絡(luò)安全系統(tǒng)中��,因?yàn)橹辽僭谕獠抗?jié)點(diǎn)3設(shè)置收斂端口31(根據(jù)防火墻的包過濾原則����,僅在內(nèi)部節(jié)點(diǎn)設(shè)置收斂端口,防火墻1對(duì)應(yīng)外部節(jié)點(diǎn)的各個(gè)端口還需開設(shè)多個(gè)端口)��,相當(dāng)于無論外部節(jié)點(diǎn)3有多少個(gè)端口�����,其媒體流的收發(fā)都集中在一個(gè)收斂端口31處,所以穿越防火墻1時(shí)只需打開一端口與收斂端口31建立通訊�,防火墻1內(nèi)部節(jié)點(diǎn)2僅需要向收斂端口31發(fā)送媒體流便能完成正常的通信,從而減少防火墻打開端口的數(shù)目���。
若內(nèi)部節(jié)點(diǎn)2也設(shè)置收斂端口22�,則此時(shí)私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)或其他中的外部節(jié)點(diǎn)3都設(shè)置了收斂端口�,所以,同樣防火墻1的內(nèi)部節(jié)點(diǎn)2僅需要由收斂端口22發(fā)送媒體流便能完成正常的通信���,即只需要打開內(nèi)部節(jié)點(diǎn)2收斂端口22到外部節(jié)點(diǎn)3的收斂端口31這一端口���,從而減少防火墻1打開端口的數(shù)目。
請(qǐng)參照?qǐng)D11所示����,本發(fā)明多媒體網(wǎng)絡(luò)安全方法,用于分別位于防火墻內(nèi)外兩側(cè)的內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)間通信�����,其特征在于�,包括以下步驟
步驟s1�,設(shè)置步驟��,至少在外部節(jié)點(diǎn)設(shè)置收斂端口�����;
步驟s2��,確定地址步驟�,確定通信對(duì)端的收斂端口地址���;
步驟s3�����,標(biāo)識(shí)交互步驟���,根據(jù)收斂端口地址,向收斂端口發(fā)送各個(gè)媒體流類型對(duì)應(yīng)的唯一標(biāo)識(shí)��,因?yàn)橹辽僭谕獠抗?jié)點(diǎn)設(shè)置收斂端口����,所以需要至少向外部節(jié)點(diǎn)的收斂端口發(fā)送告知報(bào)文(符合防火墻包過濾原則),攜帶媒體流類型對(duì)應(yīng)的唯一標(biāo)識(shí);
步驟s4�����,媒體流傳輸步驟�����,根據(jù)收斂端口地址�,經(jīng)由收斂端口,穿越一個(gè)防火墻端口向通信對(duì)端發(fā)送攜帶唯一標(biāo)識(shí)的媒體流或從一個(gè)防火墻端口接收通信對(duì)端攜帶唯一標(biāo)識(shí)的媒體流�����;
步驟s5�,媒體流分發(fā)步驟,根據(jù)媒體流唯一標(biāo)識(shí)����,收斂端口區(qū)分各個(gè)媒體流。
所述多媒體網(wǎng)絡(luò)安全方法還包括以下步驟聲明步驟���,向通信對(duì)端聲明本身具有端口收斂能力�。所述聲明步驟基于H.323協(xié)議進(jìn)一步包括以下步驟向通信對(duì)端發(fā)送連接請(qǐng)求消息Setup��,聲明本身支持端口收斂,所述連接請(qǐng)求消息Setup通過擴(kuò)展非標(biāo)準(zhǔn)信息域?qū)崿F(xiàn)支持端口收斂的聲明����;通信對(duì)端反饋呼叫處理消息CallProceeding���,聲明本身支持端口收斂�����,所述呼叫處理消息CallProceeding通過擴(kuò)展非標(biāo)準(zhǔn)信息域?qū)崿F(xiàn)支持端口收斂的聲明���。需要說明的是僅使用連接請(qǐng)求消息而不要相應(yīng)的呼叫處理消息也可達(dá)成聲明效果。
所述確定地址步驟通過事先約定實(shí)現(xiàn)或者所述確定地址步驟通過基于H.245協(xié)議交互協(xié)商實(shí)現(xiàn)或者基于H.245協(xié)議通過打開邏輯通道實(shí)現(xiàn)���。所述確定地址步驟���,基于H.245協(xié)議交互協(xié)商,具體包括以下步驟向具有收斂端口的通信對(duì)端發(fā)送重定向地址請(qǐng)求消息�����,所述重定向地址請(qǐng)求消息通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)�����;通信對(duì)端反饋重定向地址響應(yīng)消息,所述重定向地址響應(yīng)消息攜帶收斂端口地址���,且重定向響應(yīng)消息通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)����。
所述確定地址步驟基于H.245協(xié)議通過打開邏輯通道實(shí)現(xiàn)����,具體包括以下步驟具有收斂端口的外部節(jié)點(diǎn)或內(nèi)部節(jié)點(diǎn)在打開邏輯通道響應(yīng)消息中將本身各個(gè)端口地址皆填寫成收斂端口地址。
標(biāo)識(shí)交互步驟中告知報(bào)文基于重定向報(bào)文實(shí)現(xiàn)��,所述重定向報(bào)文包括IP網(wǎng)絡(luò)包頭����、包含報(bào)文的源IP地址的IP包頭、包含報(bào)文的源端口號(hào)的用戶數(shù)據(jù)報(bào)協(xié)議包頭及包含媒體流類型的重定向報(bào)文內(nèi)容���,具體步驟為向收斂端口發(fā)送重定向報(bào)文�,而所述唯一標(biāo)識(shí)包括所述的源IP地址���、源端口號(hào)及對(duì)應(yīng)的媒體流類型��。
所述標(biāo)識(shí)交互步驟中告知報(bào)文也可以基于實(shí)時(shí)傳輸協(xié)議報(bào)文實(shí)現(xiàn)�,采用信息包標(biāo)題域中有效載荷類型域和同步源標(biāo)識(shí)符域?qū)崿F(xiàn)媒體流的唯一標(biāo)識(shí),具體包括以下步驟向收斂端口發(fā)送同步源標(biāo)識(shí)符通知報(bào)文���,聲明采用同步源標(biāo)識(shí)符值及其對(duì)應(yīng)的媒體流類型;收斂端口反饋同步源標(biāo)識(shí)符響應(yīng)報(bào)文�,在同步源標(biāo)識(shí)符響應(yīng)報(bào)文包含同步源標(biāo)識(shí)符值沖突或通知成功消息。所述同步源標(biāo)識(shí)符通知報(bào)文和同步源標(biāo)識(shí)符響應(yīng)報(bào)文通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)�。
如上所述,確定地址步驟和標(biāo)識(shí)交互步驟具體實(shí)現(xiàn)方案有多種����,可以排列組合多種不同的多媒網(wǎng)絡(luò)安全方法具體實(shí)施例。在本申請(qǐng)文件為說明本發(fā)明多媒體網(wǎng)絡(luò)安全方法原理��,列舉出3個(gè)實(shí)施例加以說明���。
請(qǐng)參照?qǐng)D12所示����,本發(fā)明多媒體網(wǎng)絡(luò)安全方法一具體實(shí)施例(該實(shí)施例在內(nèi)部節(jié)點(diǎn)�、外部節(jié)點(diǎn)收發(fā)端口一致且在外部節(jié)點(diǎn)設(shè)置收斂端口),具體包括以下步驟
(1)內(nèi)部節(jié)點(diǎn)在向外部節(jié)點(diǎn)發(fā)送Setup消息時(shí)�,需要對(duì)Setup消息進(jìn)行擴(kuò)展��,以便在Setup消息中聲明內(nèi)部節(jié)點(diǎn)具有端口收斂能力(即支持端口收斂)�,這樣做可以兼容不支持端口收斂功能的節(jié)點(diǎn)��,另外也可以在Setup消息聲明主叫還是被叫��,在本實(shí)施例中設(shè)內(nèi)部節(jié)點(diǎn)為主叫�����;
(2)外部節(jié)點(diǎn)接收到內(nèi)部節(jié)點(diǎn)發(fā)送的Setup消息后��,向內(nèi)部節(jié)點(diǎn)反饋CallProceeding消息時(shí)���,需要對(duì)CallProceeding消息進(jìn)行擴(kuò)展����,同時(shí)也在CallProceeding消息中聲明外部節(jié)點(diǎn)具有端口收斂能力(該步驟可以省略)���;
(3)繼續(xù)完成正常的H.323協(xié)議交互過程��,這些過程與本專利申請(qǐng)無關(guān)�,故省略���;
(4)當(dāng)完成所有的H.323協(xié)議過程后����,內(nèi)部節(jié)點(diǎn)通過H.245的擴(kuò)展消息向外部節(jié)點(diǎn)發(fā)送重定向地址請(qǐng)求消息,請(qǐng)求外部節(jié)點(diǎn)的收斂端口地址���;
(5)外部節(jié)點(diǎn)接收到重定向地址請(qǐng)求消息后��,向內(nèi)部節(jié)點(diǎn)返回重定向地址請(qǐng)求響應(yīng)消息,并在該響應(yīng)消息中帶上收斂端口地址��;這樣如果事先內(nèi)部節(jié)點(diǎn)并不知道外部節(jié)點(diǎn)的收斂端口地址則之行步驟(4)�����、(5)����,在具體的實(shí)現(xiàn)過程中,如果內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)雙方已經(jīng)約定了收斂端口地址�,則可以省略步驟(4)和(5);
(6)在完成步驟(1)~(5)后����,雖然按照H.323協(xié)議的過程��,這時(shí)內(nèi)部節(jié)點(diǎn)便可以向外部節(jié)點(diǎn)發(fā)送媒體流�,當(dāng)如果此時(shí)內(nèi)部節(jié)點(diǎn)直接向外部節(jié)點(diǎn)的收斂端口發(fā)送媒體流��,則外部節(jié)點(diǎn)還是不能區(qū)分各個(gè)端口媒體流的內(nèi)容���;所以�,內(nèi)部節(jié)點(diǎn)在向外部節(jié)點(diǎn)發(fā)送媒體流之前�����,需要先向收斂端口發(fā)送告知報(bào)文���,本實(shí)施例采用重定向報(bào)文���,使得外部節(jié)點(diǎn)能夠根據(jù)重定向報(bào)文的內(nèi)容來區(qū)分內(nèi)部節(jié)點(diǎn)隨后發(fā)送的各種媒體流信息;
(7)在外部節(jié)點(diǎn)收到重定向報(bào)文后���,內(nèi)部節(jié)點(diǎn)便可以向外部節(jié)點(diǎn)正常發(fā)送的攜帶唯一標(biāo)識(shí)的媒體流�����,而外部節(jié)點(diǎn)也可以正常向內(nèi)部節(jié)點(diǎn)發(fā)送唯一標(biāo)識(shí)的媒體流了����;
(8)根據(jù)媒體流唯一標(biāo)識(shí),將收斂端口處區(qū)分接收的媒體流進(jìn)行相應(yīng)處理�。
請(qǐng)參照?qǐng)D13所示,本發(fā)明多媒體網(wǎng)絡(luò)安全方法一具體實(shí)施例(該實(shí)施例在內(nèi)部節(jié)點(diǎn)�����、外部節(jié)點(diǎn)收發(fā)端口一致且在外部節(jié)點(diǎn)設(shè)置收斂端口)�����,具體包括以下步驟
(1)內(nèi)部節(jié)點(diǎn)在向外部節(jié)點(diǎn)發(fā)送Setup消息時(shí)�����,需要對(duì)Setup消息進(jìn)行擴(kuò)展�,以便在Setup消息中聲明內(nèi)部節(jié)點(diǎn)具有端口收斂能力(即支持端口收斂)�,這樣做可以兼容不支持端口收斂功能的節(jié)點(diǎn),另外也可以在Setup消息聲明主叫還是被叫��,在本實(shí)施例中設(shè)內(nèi)部節(jié)點(diǎn)為主叫���;
(2)外部節(jié)點(diǎn)接收到內(nèi)部節(jié)點(diǎn)發(fā)送的Setup消息后��,向內(nèi)部節(jié)點(diǎn)反饋CallProceeding消息時(shí)���,需要對(duì)CallProceeding消息進(jìn)行擴(kuò)展��,同時(shí)也在CallProceeding消息中聲明外部節(jié)點(diǎn)具有端口收斂能力��;
(3)繼續(xù)完成正常的H.323協(xié)議交互過程����,這些過程與本專利無關(guān)��,故省略�;
(4)與上述實(shí)施例不同的是,本實(shí)施例直接在打開邏輯通道的過程中向內(nèi)部節(jié)點(diǎn)告知外部節(jié)點(diǎn)的收斂端口地址�����,而不需要再通過擴(kuò)展H.245消息來進(jìn)行通知�����。在告知時(shí)���,外部節(jié)點(diǎn)只需要在打開邏輯通道響應(yīng)消息中�����,將自己的視頻RTP接收地址�����、視頻RTCP接收地址�、音頻RTP接收地址、音頻RTCP接收地址均填為“收斂端口”的地址便可以了���。這里的打開邏輯通道過程為標(biāo)準(zhǔn)的H.245協(xié)議過程���,所以不再作詳細(xì)描述;
(5)在完成過程(1)~(4)后����,雖然按照H.323協(xié)議的過程���,這時(shí)內(nèi)部節(jié)點(diǎn)便可以向外部節(jié)點(diǎn)發(fā)送媒體流����,當(dāng)如果此時(shí)內(nèi)部節(jié)點(diǎn)直接向外部節(jié)點(diǎn)的“收斂端口”發(fā)送媒體流,則外部節(jié)點(diǎn)還是不能區(qū)分媒體流的內(nèi)容����。所以,內(nèi)部節(jié)點(diǎn)在向外部節(jié)點(diǎn)發(fā)送媒體流之前��,需要先向收斂端口發(fā)送重定向報(bào)文��,使得外部節(jié)點(diǎn)能夠根據(jù)重定向報(bào)文的內(nèi)容來區(qū)分內(nèi)部節(jié)點(diǎn)隨后發(fā)送的各種媒體流信息����;
(6)在外部節(jié)點(diǎn)收到重定向報(bào)文后,內(nèi)部節(jié)點(diǎn)便可以向外部節(jié)點(diǎn)正常發(fā)送的攜帶唯一標(biāo)識(shí)的媒體流���,而外部節(jié)點(diǎn)也可以正常向內(nèi)部節(jié)點(diǎn)發(fā)送唯一標(biāo)識(shí)的媒體流了��;
(7)根據(jù)媒體流唯一標(biāo)識(shí)�,將收斂端口處的媒體流分發(fā)給目標(biāo)節(jié)點(diǎn)的相應(yīng)各個(gè)端口�����。
下面對(duì)上述兩個(gè)實(shí)施例中涉及具體協(xié)議進(jìn)行說明��。多媒體通信中H.323協(xié)議包含兩個(gè)主要協(xié)議H.225.0和H.245�;其中H.225.0協(xié)議也主要包含兩部分的內(nèi)容RAS協(xié)議部分和Q.931協(xié)議部分��。在H.323協(xié)議中�����,為實(shí)現(xiàn)遠(yuǎn)端攝像機(jī)的控制功能��,引用了H.224協(xié)議���,它將遠(yuǎn)端攝像機(jī)控制的命令采用H.224協(xié)議進(jìn)行打包,然后放在RTP/RTCP協(xié)議中進(jìn)行傳送��。RTP/RTCP協(xié)議(它是“實(shí)時(shí)傳輸協(xié)議/實(shí)時(shí)傳輸控制協(xié)議”的簡(jiǎn)稱)��,在H.323協(xié)議中��,主要用該協(xié)議來傳送音頻碼流���、視頻碼流以及遠(yuǎn)端攝像機(jī)控制命令���。
請(qǐng)參照?qǐng)D14、15所示�����,Setup/CallProceeding消息擴(kuò)展�。
對(duì)Setup/CallProceeding 消息的非標(biāo)參數(shù)的數(shù)據(jù)域(即NonStandardParameter的data域)進(jìn)行擴(kuò)展,用于表明該內(nèi)部節(jié)點(diǎn)或外部節(jié)點(diǎn)端口收斂的能力以及本次呼叫內(nèi)部節(jié)點(diǎn)做被叫還是主叫�。
擴(kuò)展協(xié)議的填寫方式是在H323-UU-PDU中的非標(biāo)數(shù)據(jù)(nonStandardData)字段中填寫。nonStandardData(采用的結(jié)構(gòu)為NonStandardParameter)包含兩部分內(nèi)容非標(biāo)標(biāo)識(shí)(nonStandardIdentifier)和數(shù)據(jù)域(data)����。其中nonStandardIdentifier部分根據(jù)標(biāo)準(zhǔn)協(xié)議規(guī)定的內(nèi)容進(jìn)行填寫,而Data部分的填寫見圖14����、15。下面H.323相關(guān)字段描述
H323-UU-PDU∷=SEQUENCE{h323-message-body CHOICE{setup Setup-UUIE�,callProceedingCallProceeding-UUIE,connect Connect-UUIE����,alerting Alerting-UUIE,information Information-UUIE�,releaseComplete ReleaseComplete-UUIE,facility Facility-UUIE�����,...���,progress Progress-UUIE�,empty NULL,--used when a Facility message is sent����,statusStatus-UUIE,statusInquiry StatusInquiry-UUIE�����,setupAcknowledge SetupAcknowledge-UUIE�,notifyNotify-UUIE},nonStandardDataNonStandardParameter OPTIONAL���,(采用該字段)...�����,其他}<!-- SIPO <DP n="14"> --><dp n="d14"/>NonStandardParameter∷=SEQUENCE{nonStandardIdentifierNonStandardIdentifier�����,data OCTET STRING}NonStandardIdentifier∷=CHOICE{objectOBJECT IDENTIFIER����,h221NonStandard SEQUENCE{t35CountryCode INTEGER(0..255),--country�����,per T.35�����,t35Extension INTEGER(0..255)����,--assigned nationally��,manufacturerCode INTEGER(0..65535)--assigned nationally�,}}
數(shù)據(jù)域進(jìn)一步包括(見圖13)類型、長(zhǎng)度及參數(shù)���。請(qǐng)參照?qǐng)D14所示����,以Setup消息為例�����,當(dāng)類型取值為1,參數(shù)取值為1���,則表示支持端口收斂����。
請(qǐng)參照?qǐng)D16���、17�����、18及19所示����,重定向地址請(qǐng)求(MPR)和重定向地址響應(yīng)消息(MPR-ACK)的擴(kuò)展�。重定向地址請(qǐng)求消息,以下簡(jiǎn)稱MPR(MediaPort Req)���;重定向地址響應(yīng)消息�����,以下簡(jiǎn)稱MPR-ACK�。
MPR和MPR_ACK消息是H.245的擴(kuò)展消息。MPR和MPR-ACK用于對(duì)重定向消息請(qǐng)求和響應(yīng)�����,返回請(qǐng)求內(nèi)部節(jié)點(diǎn)或外部節(jié)點(diǎn)新的發(fā)送媒體重定向報(bào)文的地址���,即通信對(duì)端的收斂端口地址。
不管是MPR還是MPR-ACK消息��,其均利用H.245協(xié)議命令消息(command消息�,對(duì)應(yīng)的結(jié)構(gòu)是CommandMessage)中的nonStandard(非標(biāo)字段,對(duì)應(yīng)的結(jié)構(gòu)是NonStandardMessage)字段進(jìn)行擴(kuò)展���。在nonStandard中�,使用非標(biāo)數(shù)據(jù)字段(nonStandardData字段)�����,nonStandardData(采用的結(jié)構(gòu)為NonStandardParameter�,非標(biāo)參數(shù))包含兩部分內(nèi)容非標(biāo)標(biāo)識(shí)(nonStandardIdentifier)和數(shù)據(jù)域(Data)。其中nonStandardIdentifier部分根據(jù)標(biāo)準(zhǔn)協(xié)議規(guī)定的內(nèi)容進(jìn)行填寫�,而Data部分的填寫請(qǐng)參照?qǐng)D16、17�����、18及19。
H.245中相關(guān)字段描述如下
MultimediaSystemControlMessage∷=CHOICE{request RequestMessage���,responseResponseMessage���,command CommandMessage,--采用該消息indication IndicationMessage��,...}CommandMessage∷=CHOICE{nonStandardNonStandardMessage���,--采用該字段maintenanceLoopOffCommand MaintenanceLoopOffCommand����,sendTerminalCapabilitySet SendTerrninalCapabilitySet�,encryptionCommand EncryptionCommand,flowControlCommandFlowControlCommand��,endSessionCommand EndSessionCommand����,miscellaneousCommand MiscellaneousCommand,...,communicationModeCommand CommunicatiohModeCommand�����,conferenceCommand ConferenceCommand�,h223MultiplexReconfiguration H223MultiplexReconfiguration,newATMVCCommand NewATMVCCommand�����,mobileMultilinkReconfigurationCommand MobileMultilinkReconfigurationCommand}NonStandardMessage ∷=SEQUENCE{nonStandardData NonStandardParameter���,...}NonStandardParameter∷=SEQUENCE{nonStandardIdentifierNonStandardIdentifier,data OCTET STRING}NonStandardIdentifier ∷=CHOICE --Note1{object OBJECT IDENTIFIER���,h221NonStandard SEQUENCE{t35CountryCodeINTEGER(0..255)���,--country,per T.35�����,t35Extension INTEGER(0..255)�����,--assigned nationally,manufacturerCode INTEGER(0..65535)--assigned nationally}}
請(qǐng)參照?qǐng)D16�、17所示,MPR消息中的非標(biāo)數(shù)據(jù)字段中數(shù)據(jù)域包括以下字段及取值(各字段均采用網(wǎng)絡(luò)字節(jié)序)
標(biāo)識(shí)固定填0x45434543�;
長(zhǎng)度消息長(zhǎng)度,以字節(jié)為單位�����,現(xiàn)在固定為8個(gè)字節(jié)��;
類型固定填0(標(biāo)識(shí)為MPR)�;
子類型取值及對(duì)應(yīng)的端口,參見圖17��;
保留4字節(jié)保留字段����,填0。
請(qǐng)參照?qǐng)D18����、19所示,MPR_ACK消息中的非標(biāo)數(shù)據(jù)字段中數(shù)據(jù)域包括以下字段及取值(各字段均采用網(wǎng)絡(luò)字節(jié)序)
標(biāo)識(shí)固定填0x45434543����;
類型目前固定為1(標(biāo)識(shí)為MPR_ACK)���;
長(zhǎng)度消息長(zhǎng)度,以字節(jié)為單位�,現(xiàn)在固定為12個(gè)字節(jié);
地址屬性固定為2��;
子類型��,取值及對(duì)應(yīng)的端口�,參見圖19;
端口號(hào)用于內(nèi)部節(jié)點(diǎn)或外部節(jié)點(diǎn)發(fā)送重定向報(bào)文的目的端口號(hào)�����,即收斂端口端口號(hào)��;
IP地址用于內(nèi)部或外部節(jié)點(diǎn)發(fā)送重定向報(bào)文的目的IP地址�����,即收斂端口的IP地址��;
保留4字節(jié)保留字段��,固定填0��。
這樣�����,在MPR_ACK消息攜帶收斂端口地址記錄在字段端口號(hào)和IP地址內(nèi)�����。
請(qǐng)參照?qǐng)D20所示���,重定向報(bào)文����,以下簡(jiǎn)稱MRI(Media RedirectIndication)�����。MRI報(bào)文用于建立防火墻內(nèi)部到防火墻外部的媒體流通道���,其擴(kuò)展方式與MPR和MPR_ACK消息的擴(kuò)展方式相同�����,不再贅述
MRI報(bào)文中的非標(biāo)數(shù)據(jù)字段中數(shù)據(jù)域���,即報(bào)文內(nèi)容包括以下字段及取值(各字段均采用網(wǎng)絡(luò)字節(jié)序)如下
標(biāo)識(shí)固定填0x45434543
長(zhǎng)度重定向報(bào)文的字節(jié)數(shù)�����,不包括標(biāo)識(shí)和長(zhǎng)度字段���;
類型1-初始化,2-維持�;
私網(wǎng)地址內(nèi)部節(jié)點(diǎn)發(fā)送重定向報(bào)文使用的源IP地址;
私網(wǎng)端口內(nèi)部節(jié)點(diǎn)發(fā)送重定向報(bào)文使用的源端口��;
媒體種類
RTP圖象 =0x01
RTCP圖象=0x02
RTP聲音 =0x03
RTCP聲音=0x04
RTP H.224 =0x05
RTCP H.224 =0x06
方向0-接收方向��,1-發(fā)送方向���;
保留62字節(jié)保留字段���,必須全部填0�����;
號(hào)碼長(zhǎng)度內(nèi)部節(jié)點(diǎn)號(hào)碼長(zhǎng)度;
號(hào)碼內(nèi)部節(jié)點(diǎn)的節(jié)點(diǎn)號(hào)碼����。
當(dāng)收發(fā)端口一致/不一致,重定向報(bào)文以“方向的取值0-接收方向或1-發(fā)送方向”區(qū)分確定內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)的媒體流�����,該重定向報(bào)文由內(nèi)部節(jié)點(diǎn)向外部節(jié)點(diǎn)發(fā)送����,外部節(jié)點(diǎn)遵照重定向報(bào)文的路徑返回進(jìn)行交互。
一個(gè)重定向報(bào)文的格式如下IP網(wǎng)絡(luò)包頭+IP包頭(包含報(bào)文的源IP地址����,IP1)+UDP包頭(包含報(bào)文的源端口號(hào),port1)+重定向報(bào)文內(nèi)容(包含重定向報(bào)文中的節(jié)點(diǎn)號(hào)碼����、源端口號(hào)port2、源IP地址IP2及對(duì)應(yīng)的媒體流類型����,如圖20所示);而“RTP/RTCP”報(bào)文的格式如下IP網(wǎng)絡(luò)包頭+IP包頭(包含報(bào)文的源IP地址)+UDP包頭(包含報(bào)文的源端口號(hào))+RTP/RTPC報(bào)文內(nèi)容���。在上述的實(shí)現(xiàn)過程中�����,首先根據(jù)重定向報(bào)文內(nèi)容中的節(jié)點(diǎn)號(hào)碼�、源端口號(hào)port2和源IP地址IP2來確定其對(duì)應(yīng)的是什么類型的媒體流,確定媒體流類型后����,又因?yàn)镮P包頭的源IP地址IP1和UDP包頭的端口號(hào)port1唯一確定,則通過重定向報(bào)文結(jié)構(gòu)可對(duì)應(yīng)得出IP包頭源IP地址IP1和UDP包頭的端口號(hào)port1唯一對(duì)應(yīng)的媒體流類型���。這樣雖然在隨后接收到的“RTP/RTCP”報(bào)文時(shí)沒有媒體流類型說明�����,但可以根據(jù)IP1和port1來區(qū)分不同類型的媒體流��。所述UDP(User Datagram Protocol)指用戶數(shù)據(jù)報(bào)協(xié)議��。
這樣����,根據(jù)包過濾原則MRI報(bào)文可作為告知報(bào)文�����,并通知外部節(jié)點(diǎn)媒體流采用的標(biāo)識(shí)IP包頭中報(bào)文的源IP地址+用戶數(shù)據(jù)報(bào)協(xié)議包頭中報(bào)文的源端口號(hào)+對(duì)應(yīng)重定向報(bào)文內(nèi)容中的媒體流類型�。
請(qǐng)結(jié)合參照?qǐng)D9、21所示����,為本發(fā)明多媒體網(wǎng)絡(luò)安全方法又一實(shí)施例,該實(shí)施例在內(nèi)部節(jié)點(diǎn)���、外部節(jié)點(diǎn)收發(fā)端口一致且在外部節(jié)點(diǎn)�、內(nèi)部節(jié)點(diǎn)都設(shè)置收斂端口�,具體包括以下步驟
(1)內(nèi)部節(jié)點(diǎn)在向外部節(jié)點(diǎn)發(fā)送Setup消息時(shí),需要對(duì)Setup消息進(jìn)行擴(kuò)展��,以便在Setup消息中聲明內(nèi)部節(jié)點(diǎn)具有端口收斂能力����,具體擴(kuò)展方式同前述實(shí)施例;
(2)外部節(jié)點(diǎn)接收到內(nèi)部節(jié)點(diǎn)發(fā)送的Setup消息后����,向內(nèi)部節(jié)點(diǎn)反饋CallProceeding消息時(shí),需要對(duì)CallProceeding消息進(jìn)行擴(kuò)展,同時(shí)也在消息中聲明外部節(jié)點(diǎn)具有端口收斂能力����,擴(kuò)展方式同前述實(shí)施例;
(3)繼續(xù)完成正常的H.323協(xié)議交互過程���,這些過程與本專利無關(guān)�,故省略�;
(4)同樣的,外部節(jié)點(diǎn)在打開邏輯通道的過程中告知內(nèi)部節(jié)點(diǎn)其收斂端口的地址�����;在告知時(shí)��,外部節(jié)點(diǎn)也只需要在打開邏輯通道響應(yīng)消息中�����,將自己的視頻RTP接收地址�����、視頻RTCP接收地址����、音頻RTP接收地址����、音頻RTCP接收地址均填為收斂端口的地址便可以了��。這里的打開邏輯通道過程為標(biāo)準(zhǔn)的H.245協(xié)議過程�,所以不再作詳細(xì)描述����;(注意收斂端口地址的確定過程也可以用來重定向地址請(qǐng)求(MPR)和重定向地址響應(yīng)消息(MPR-ACK)方式替代);另外�����,由于內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)都設(shè)有收斂端口���,所以都需要知道通信對(duì)端的收斂端口地址���,其實(shí)現(xiàn)方式同上;
(5)當(dāng)完成所有的H.323協(xié)議過程后�����,內(nèi)部節(jié)點(diǎn)通過H.245的擴(kuò)展消息向外部節(jié)點(diǎn)發(fā)送向收斂端口發(fā)送同步源標(biāo)識(shí)符通知報(bào)文(“SSRC通知”消息),向外部節(jié)點(diǎn)說明其即將發(fā)送的媒體流中將要使用的SSRC值���,以SSRC值作為媒體流唯一標(biāo)識(shí)�;
(6)收斂端口反饋同步源標(biāo)識(shí)符響應(yīng)報(bào)文�,在同步源標(biāo)識(shí)符響應(yīng)報(bào)文包含同步源標(biāo)識(shí)符值沖突或通知成功消息。例如��,外部節(jié)點(diǎn)接收到“SSRC通知”消息后���,首先檢查是否存在SSRC值沖突����,如果存在SSRC值沖突���,則向內(nèi)部節(jié)點(diǎn)返回失敗�����,并說明原因�,以便內(nèi)部節(jié)點(diǎn)重新生成SSCR值再通知外部節(jié)點(diǎn)�,所以在實(shí)際的處理過程中,隨后的整個(gè)通信過程都有可能由于SSCR值的沖突導(dǎo)致不斷重復(fù)步驟(5)和步驟(6)���;如果不存在SSCR值沖突����,則向內(nèi)部節(jié)點(diǎn)返回成功消息;
(7)內(nèi)部節(jié)點(diǎn)便可以向外部節(jié)點(diǎn)正常發(fā)送的媒體流�,由于RTP/RTCP協(xié)議報(bào)文中,本身就已經(jīng)包含SSRC��,這樣外部節(jié)點(diǎn)便可以根據(jù)媒體流報(bào)文中SSRC值及PT域來區(qū)分媒體流的具體內(nèi)容���;同樣,這時(shí)外部節(jié)點(diǎn)也可以正常向內(nèi)部節(jié)點(diǎn)發(fā)送媒體流���。
所述同步源標(biāo)識(shí)符通知報(bào)文/同步源標(biāo)識(shí)符響應(yīng)報(bào)文也可以基于H.245H.245協(xié)議命令消息擴(kuò)展實(shí)現(xiàn)��。
請(qǐng)參照?qǐng)D22�����、23所示�,所述同步源標(biāo)識(shí)符通知報(bào)文非標(biāo)數(shù)據(jù)字段中數(shù)據(jù)域包括以下字段及取值(各字段均采用網(wǎng)絡(luò)字節(jié)序)
標(biāo)識(shí)固定填0x00000001���;
長(zhǎng)度消息長(zhǎng)度����,以字節(jié)為單位,固定為8���;
類型目前固定填0(標(biāo)識(shí)為MPR)���;
子類型取值及對(duì)應(yīng)的端口,請(qǐng)參照?qǐng)D23��;
SSRC值4字節(jié)�,即將傳送的RTP報(bào)文中SSRC值。
請(qǐng)參照?qǐng)D24����、25所示,所述同步源標(biāo)識(shí)符響應(yīng)報(bào)文非標(biāo)數(shù)據(jù)字段中數(shù)據(jù)域包括以下字段及取值(各字段均采用網(wǎng)絡(luò)字節(jié)序)
標(biāo)識(shí)固定填0x00000001�����;
長(zhǎng)度消息長(zhǎng)度����,以字節(jié)為單位,固定為12���;
類型目前固定為1�����;(標(biāo)識(shí)為MPR_ACK)��;
子類型取值及對(duì)應(yīng)的端口��,請(qǐng)參照?qǐng)D25��;
結(jié)果標(biāo)識(shí)對(duì)SSRC聲明的結(jié)果���。0~成功,1~SSRC沖突����,其它~保留;
保留4字節(jié)保留字段��,固定填0�;
SSRC(Synchronization source),同步源即RTP包的信源流�,是個(gè)隨機(jī)數(shù)。
綜上所述����,本發(fā)明多媒體網(wǎng)絡(luò)安全系統(tǒng)及方法��,用戶在應(yīng)用多媒體業(yè)務(wù)時(shí)����,可以帶來如下益處
由于采用收斂端口及媒體流唯一標(biāo)識(shí)��,使得在不影響內(nèi)部節(jié)點(diǎn)的正常通信的情況下����,在防火墻上打開的端口盡可能的少(例如僅一個(gè)防火墻端口),從而提高防火墻對(duì)網(wǎng)絡(luò)安全防護(hù)的有效性���,同時(shí)也方便用戶對(duì)防火墻設(shè)備的配置及維護(hù)�;
不需要在防火墻內(nèi)部增加額外設(shè)備/組件����,方便用戶使用,減少用戶使用成本�����;同時(shí)也不會(huì)因此而影響通信效果�;
由于媒體流的唯一標(biāo)識(shí)���、收斂端口地址確定實(shí)現(xiàn)方式有多種,方便用戶在多種場(chǎng)合下使用��,沒有使用局限性����。
權(quán)利要求
1.一種多媒體網(wǎng)絡(luò)安全系統(tǒng),包括具有防火墻端口的防火墻�����、位于防火墻內(nèi)側(cè)的具有內(nèi)部節(jié)點(diǎn)端口的內(nèi)部節(jié)點(diǎn)及位于防火墻外側(cè)的具有外部節(jié)點(diǎn)端口的外部節(jié)點(diǎn)�����,所述內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)穿越防火墻建立呼叫��,其特征在于�����,所述外部節(jié)點(diǎn)在與防火墻之間設(shè)置有收斂端口��,用于從一個(gè)防火墻端口接收內(nèi)部節(jié)點(diǎn)所有內(nèi)部節(jié)點(diǎn)端口的媒體流并區(qū)分媒體流以及將外部節(jié)點(diǎn)所有外部節(jié)點(diǎn)端口的媒體流經(jīng)其穿越一個(gè)防火墻端口發(fā)送至內(nèi)部節(jié)點(diǎn)的各個(gè)相應(yīng)內(nèi)部節(jié)點(diǎn)端口�����,且所述內(nèi)部節(jié)點(diǎn)端口和外部節(jié)點(diǎn)端口的媒體流都具有用于區(qū)分媒體流的唯一標(biāo)識(shí)�。
2.如權(quán)利要求1所述的多媒體網(wǎng)絡(luò)安全系統(tǒng),其特征在于��,所述內(nèi)部節(jié)點(diǎn)在與防火墻之間設(shè)置有收斂端口�,用于從一個(gè)防火墻端口接收外部節(jié)點(diǎn)的收斂端口的媒體流并區(qū)分媒體流以及將內(nèi)部節(jié)點(diǎn)所有內(nèi)部節(jié)點(diǎn)端口的媒體流經(jīng)其穿越一個(gè)防火墻端口發(fā)送至外部節(jié)點(diǎn)的收斂端口。
3.如權(quán)利要求1或2所述的多媒體網(wǎng)絡(luò)安全系統(tǒng)�����,其特征在于��,所述媒體流的唯一標(biāo)識(shí)包括內(nèi)部節(jié)點(diǎn)向外部節(jié)點(diǎn)發(fā)送的告知報(bào)文中的IP包頭中報(bào)文的源IP地址���、用戶數(shù)據(jù)報(bào)協(xié)議包頭中報(bào)文的源端口號(hào)及對(duì)應(yīng)重定向報(bào)文內(nèi)容中的媒體流類型���。
4.如權(quán)利要求1或2所述的多媒體網(wǎng)絡(luò)安全系統(tǒng),其特征在于�����,所述媒體流的唯一標(biāo)識(shí)指在媒體流采用實(shí)時(shí)傳輸協(xié)議傳輸時(shí)的實(shí)時(shí)傳輸協(xié)議報(bào)文中的信息包標(biāo)題域中的有效載荷類型域和同步源標(biāo)識(shí)符域。
5.一種多媒體網(wǎng)絡(luò)安全方法�,用于實(shí)現(xiàn)分別位于具有防火墻端口的防火墻內(nèi)外兩側(cè)的內(nèi)部節(jié)點(diǎn)和外部節(jié)點(diǎn)間的通信,其特征在于����,包括以下步驟
設(shè)置步驟,至少在外部節(jié)點(diǎn)設(shè)置收斂端口���;
確定地址步驟�����,確定通信對(duì)端的收斂端口地址�����;
標(biāo)識(shí)交互步驟�����,根據(jù)收斂端口地址�,向收斂端口發(fā)送告知報(bào)文��,該告知報(bào)文攜帶媒體流類型對(duì)應(yīng)的唯一標(biāo)識(shí)��;
媒體流傳輸步驟���,根據(jù)收斂端口地址�����,經(jīng)由收斂端口�,穿越一個(gè)防火墻端口向通信對(duì)端發(fā)送攜帶唯一標(biāo)識(shí)的媒體流或從一個(gè)防火墻端口接收通信對(duì)端的攜帶唯一標(biāo)識(shí)媒體流����;
媒體流分發(fā)步驟,根據(jù)媒體流唯一標(biāo)識(shí)���,收斂端口區(qū)分媒體流��。
6.如權(quán)利要求5所述的多媒體網(wǎng)絡(luò)安全方法�,其特征在于��,所述方法還包括以下步驟
聲明步驟�,向通信對(duì)端聲明本身具有端口收斂能力。
7.如權(quán)利要求6所述的多媒體網(wǎng)絡(luò)安全方法�����,其特征在于,所述聲明步驟基于H.323協(xié)議���,其具體過程如下
向通信對(duì)端發(fā)送連接請(qǐng)求消息���,聲明本身支持端口收斂,所述連接請(qǐng)求消息通過擴(kuò)展非標(biāo)準(zhǔn)信息域?qū)崿F(xiàn)支持端口收斂的聲明����。
8.如權(quán)利要求7所述的多媒體網(wǎng)絡(luò)安全方法,其特征在于����,所述聲明步驟還包括以下步驟
通信對(duì)端反饋呼叫處理消息,聲明本身支持端口收斂�,所述呼叫處理消息通過擴(kuò)展非標(biāo)準(zhǔn)信息域?qū)崿F(xiàn)支持端口收斂的聲明。
9.如權(quán)利要求5所述的多媒體網(wǎng)絡(luò)安全方法�����,其特征在于��,所述確定地址步驟通過事先約定來實(shí)現(xiàn)��。
10.如權(quán)利要求5所述的多媒體網(wǎng)絡(luò)安全方法��,其特征在于,所述確定地址步驟通過基于H.245協(xié)議交互協(xié)商實(shí)現(xiàn)�����,具體包括以下步驟
向具有收斂端口的通信對(duì)端發(fā)送通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)的重定向地址請(qǐng)求消息����;
通信對(duì)端反饋通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)的且攜帶收斂端口地址的重定向地址響應(yīng)消息�。
11.如權(quán)利要求5所述的多媒體網(wǎng)絡(luò)安全方法,其特征在于�,所述確定地址步驟基于H.245協(xié)議通過打開邏輯通道實(shí)現(xiàn),具體過程為具有收斂端口的外部節(jié)點(diǎn)或內(nèi)部節(jié)點(diǎn)在打開邏輯通道響應(yīng)消息中將本身各個(gè)端口地址皆填寫成收斂端口地址���。
12.如權(quán)利要求5所述的多媒體網(wǎng)絡(luò)安全方法����,其特征在于�����,標(biāo)識(shí)交互步驟中告知報(bào)文基于重定向報(bào)文實(shí)現(xiàn)����,所述重定向報(bào)文包括IP網(wǎng)絡(luò)包頭�����、包含報(bào)文的源IP地址的IP包頭��、包含報(bào)文的源端口號(hào)的用戶數(shù)據(jù)報(bào)協(xié)議包頭及包含媒體流類型的重定向報(bào)文內(nèi)容���;所述唯一標(biāo)識(shí)包括所述的源IP地址、源端口號(hào)及對(duì)應(yīng)的媒體流類型��。
13.如權(quán)利要求5所述的多媒體網(wǎng)絡(luò)安全方法���,其特征在于���,所述標(biāo)識(shí)交互步驟中告知報(bào)文基于實(shí)時(shí)傳輸協(xié)議報(bào)文實(shí)現(xiàn),采用信息包標(biāo)題域中有效載荷類型域和同步源標(biāo)識(shí)符域?qū)崿F(xiàn)媒體流的唯一標(biāo)識(shí)��,具體步驟為向收斂端口發(fā)送同步源標(biāo)識(shí)符通知報(bào)文���,聲明采用同步源標(biāo)識(shí)符值及其對(duì)應(yīng)的媒體流類型���;收斂端口反饋同步源標(biāo)識(shí)符響應(yīng)報(bào)文,在同步源標(biāo)識(shí)符響應(yīng)報(bào)文包含同步源標(biāo)識(shí)符值沖突或通知成功消息�����。
14.如權(quán)利要求13所述的多媒體網(wǎng)絡(luò)安全方法,其特征在于����,所述同步源標(biāo)識(shí)符通知報(bào)文和同步源標(biāo)識(shí)符響應(yīng)報(bào)文通過擴(kuò)展H.245協(xié)議中命令消息中的非標(biāo)字段實(shí)現(xiàn)��。
全文摘要
本發(fā)明公開一種多媒體網(wǎng)絡(luò)安全系統(tǒng)及方法�,其中系統(tǒng)包括防火墻、內(nèi)部節(jié)點(diǎn)及外部節(jié)點(diǎn)�����,所述外部節(jié)點(diǎn)在與防火墻之間設(shè)置有收斂端口��,用于從一個(gè)防火墻端口接收內(nèi)部節(jié)點(diǎn)所有內(nèi)部節(jié)點(diǎn)端口的媒體流并區(qū)分媒體流以及將外部節(jié)點(diǎn)所有外部節(jié)點(diǎn)端口的媒體流經(jīng)其穿越一個(gè)防火墻端口發(fā)送至內(nèi)部節(jié)點(diǎn)的各個(gè)相應(yīng)內(nèi)部節(jié)點(diǎn)端口����,且媒體流具有唯一標(biāo)識(shí)。相應(yīng)多媒體網(wǎng)絡(luò)安全方法包括以下步驟至少在外部節(jié)點(diǎn)設(shè)置收斂端口���;確定通信對(duì)端的收斂端口地址�����;向收斂端口發(fā)送攜帶媒體流類型對(duì)應(yīng)的唯一標(biāo)識(shí)的告知報(bào)文����;經(jīng)由收斂端口,穿越一個(gè)防火墻端口向通信對(duì)端發(fā)送媒體流或從一個(gè)防火墻端口接收通信對(duì)端媒體流�;根據(jù)媒體流唯一標(biāo)識(shí),收斂端口區(qū)分媒體流��。
文檔編號(hào)H04L12/24GK1713590SQ200410049678
公開日2005年12月28日 申請(qǐng)日期2004年6月23日 優(yōu)先權(quán)日2004年6月23日
發(fā)明者陳顯義, 蘇紅宏 申請(qǐng)人:華為技術(shù)有限公司