專利名稱:在安全網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)之間連接分組電話呼叫的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及電話通信領(lǐng)域,更具體地說(shuō),涉及一種在安全網(wǎng)絡(luò)和非安全網(wǎng)絡(luò) 之間連接分組電話呼叫的方法和裝置。
背景技術(shù):
隨著計(jì)算設(shè)備的普及,經(jīng)常需要通過(guò)數(shù)據(jù)網(wǎng)絡(luò)將這些設(shè)備連網(wǎng)在一起,即將這些 設(shè)備以通訊的方式耦合起來(lái),從而有助于在這些設(shè)備之間進(jìn)行信息交換。然而,在企業(yè)數(shù) 據(jù)網(wǎng)絡(luò)中,經(jīng)常關(guān)注的一個(gè)問(wèn)題是,要確保駐留在企業(yè)網(wǎng)絡(luò)內(nèi)的信息免受外部第三方的入 侵和/或攻擊,即那些通過(guò)因特網(wǎng)連接對(duì)企業(yè)內(nèi)部網(wǎng)發(fā)起的攻擊。由此,已開發(fā)出過(guò)濾技術(shù) 來(lái)控制基于分組的數(shù)據(jù)流量在網(wǎng)絡(luò)間的通行,這種過(guò)濾技術(shù)可以基于每個(gè)數(shù)據(jù)分組的頭部
(header)來(lái)區(qū)分?jǐn)?shù)據(jù)分組。在商用防火墻出現(xiàn)之前,網(wǎng)絡(luò)管理員就開始制定可以用來(lái)靜態(tài) 地濾除不想要的和惡意的流量的規(guī)則。但是,這種靜態(tài)分組過(guò)濾有很多不利之處,包括允許 外部客戶端直接連接到內(nèi)部主機(jī)。 一個(gè)不友好的用戶可能占用一個(gè)受信的外部主機(jī),并通 過(guò)直接連接,相對(duì)容易地獲得對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的惡意訪問(wèn)。 已開發(fā)出的動(dòng)態(tài)分組過(guò)濾就是為了解決靜態(tài)分組過(guò)濾中的某些問(wèn)題。基于分組頭 部信息,動(dòng)態(tài)分組過(guò)濾器在防火墻中允許一個(gè)臨時(shí)"窗口"。在一系列的分組已到達(dá)它們的
目的地后,防火墻中的這個(gè)臨時(shí)窗口就會(huì)被關(guān)閉。由于防火墻中的窗口打開的時(shí)間量相比 于靜態(tài)分組過(guò)濾器而言要短得多,因此許多類型的可有效對(duì)抗靜態(tài)分組過(guò)濾器的攻擊要想 針對(duì)動(dòng)態(tài)分組過(guò)濾器展開部署,會(huì)更難一些。然而,動(dòng)態(tài)分組過(guò)濾器仍然有可能允許在內(nèi)部 主機(jī)和外部客戶端之間進(jìn)行直接的IP連接。 —種一般不被傳統(tǒng)的企業(yè)防火墻支持的新興應(yīng)用被通俗地稱為"因特網(wǎng)電話", "因特網(wǎng)協(xié)議(IP)電話"或者"分組電話",即使用IP數(shù)據(jù)分組的網(wǎng)絡(luò)間電話。 一種用于分 組電話的示范協(xié)議被正式發(fā)布在命名為"H. 323v4草案(DraftH. 323v4)"的國(guó)際電信同盟 電信標(biāo)準(zhǔn)化部門(ITU-T)標(biāo)準(zhǔn)中。作為分組電話標(biāo)準(zhǔn)的一個(gè)例子,化323規(guī)定了在分組網(wǎng) 絡(luò)(包括基于IP的網(wǎng)絡(luò))上提供電話服務(wù)(即,實(shí)時(shí)音頻、視頻和數(shù)據(jù)通信)的組件、協(xié)議 和過(guò)程。H. 323所規(guī)定的協(xié)議是音頻編解碼器;視頻編解碼器;諸如H. 225的子協(xié)議,H. 225 基于包括注冊(cè)、許可和狀態(tài)(RAS)在內(nèi)的Q. 931操作,定義了呼叫建立順序;H. 245控制信 令;實(shí)時(shí)傳輸協(xié)議(RTP);和實(shí)時(shí)控制協(xié)議(RTCP)。然而,H. 323與它運(yùn)行所基于的傳輸協(xié) 議以及分組網(wǎng)絡(luò)無(wú)關(guān),并且沒有具體規(guī)定它們。 用于IP網(wǎng)絡(luò)間電話流量的H. 323網(wǎng)關(guān)是已知的。在這方面,這些傳統(tǒng)網(wǎng)關(guān)提供了 呼叫建立和釋放協(xié)議的翻譯、不同網(wǎng)絡(luò)間的媒體格式轉(zhuǎn)換、以及H. 323網(wǎng)絡(luò)和非H. 323網(wǎng)絡(luò)之間的信息傳輸。在IP電話中,H. 323網(wǎng)關(guān)可以連接IP網(wǎng)絡(luò)和電路交換網(wǎng)絡(luò),所述電路交 換網(wǎng)絡(luò)可以是模擬或數(shù)字公共交換電話網(wǎng)絡(luò)(PSTN)或綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)。
然而,在網(wǎng)絡(luò)間分組電話的情況下,眾所公知的一個(gè)問(wèn)題就是標(biāo)準(zhǔn)分組協(xié)議防火 墻和H. 323網(wǎng)關(guān)不能可靠地提供分組電話交換的安全性。電話數(shù)據(jù)分組可能不請(qǐng)自來(lái)地出 現(xiàn)在防火墻或網(wǎng)關(guān)面前,它們是從一個(gè)未被內(nèi)部網(wǎng)客戶端當(dāng)作目標(biāo)的IP地址上流動(dòng)過(guò)來(lái) 的,因此該電話交換可能被拒絕?;蛘?,可允許該電話交換,這將導(dǎo)致潛在有惡意的外部實(shí) 體和內(nèi)部網(wǎng)客戶端之間的直接連接。于是,潛在有惡意的外部實(shí)體就具有了對(duì)內(nèi)部網(wǎng)客戶 端的直接訪問(wèn)權(quán),并且通常是對(duì)整個(gè)內(nèi)部網(wǎng)的直接訪問(wèn)權(quán)。
在附圖中,以示例而非限制的方式對(duì)本發(fā)明進(jìn)行了說(shuō)明,其中用相同的標(biāo)號(hào)來(lái)表 示相似的元件,其中 圖1是根據(jù)本發(fā)明一個(gè)示例性實(shí)施方案且體現(xiàn)本發(fā)明教導(dǎo)的一個(gè)示例性計(jì)算設(shè) 備的框圖; 圖2是根據(jù)本發(fā)明一個(gè)示例性實(shí)施方案且體現(xiàn)本發(fā)明教導(dǎo)的一個(gè)示例性網(wǎng)絡(luò)配 置的框圖; 圖3是本發(fā)明第一實(shí)施例的框圖
圖4是本發(fā)明第二實(shí)施例的框圖
圖5是本發(fā)明第三實(shí)施例的框圖
圖6是根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方案,更詳細(xì)地示出圖3和圖4中的示例性 控制器元件的框圖; 圖7是根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方案,更詳細(xì)地示出圖6中的示例性流轉(zhuǎn)換 器的框圖; 圖8是根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方案,更詳細(xì)地示出圖6中的示例性協(xié)議翻 譯器的框圖; 圖9是根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方案,更詳細(xì)地示出圖6中的示例性AT的框 圖; 圖10是根據(jù)本發(fā)明一個(gè)方面,示出流轉(zhuǎn)換的一種示例性方法的流程圖;
圖11是根據(jù)本發(fā)明一個(gè)方面,示出協(xié)議翻譯的一種示例性方法的流程圖;
圖12是根據(jù)本發(fā)明一個(gè)方面,示出地址轉(zhuǎn)換的一種示例性方法的流程圖;
圖13是根據(jù)本發(fā)明的一個(gè)深分組檢查(de印packet inspecting)方面,示出轉(zhuǎn) 換分組電話流的一種示例性方法的流程圖;并且 圖14是根據(jù)本發(fā)明的一個(gè)可替換實(shí)施例的一件產(chǎn)品的框圖,該產(chǎn)品中包括具有 多條可執(zhí)行指令的示例性存儲(chǔ)介質(zhì),這些指令在被執(zhí)行時(shí)使得正在訪問(wèn)的機(jī)器能夠?qū)崿F(xiàn)本 發(fā)明的分組電話轉(zhuǎn)換器(PTT)的一方面或多方面。
具體實(shí)施例方式
在此將描述一種用于在安全網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)之間連接分組電話呼叫的方法和 裝置。
6
根據(jù)本發(fā)明的教導(dǎo),引入一種分組電話轉(zhuǎn)換器(PTT),它不會(huì)受到通常與傳統(tǒng)的用 于多媒體通信的分組過(guò)濾器和網(wǎng)關(guān)相關(guān)聯(lián)的固有限制的妨礙。正如下面所詳細(xì)展開的,PTT 為任意組合的安全通信網(wǎng)絡(luò)和非安全通信網(wǎng)絡(luò)之間的電話信息內(nèi)容提供了安全的通信接 口。也就是說(shuō),PTT協(xié)助大范圍的電話業(yè)務(wù)中的任何一種穿過(guò)類似于防火墻的安全基礎(chǔ)設(shè) 施的業(yè)務(wù),以維護(hù)一個(gè)受保護(hù)網(wǎng)絡(luò)的安全完整性。例如,PTT可以允許公眾獲得穿過(guò)防火墻 對(duì)管制和/或安全服務(wù)器的電話訪問(wèn)權(quán),并且在不損害管制和/或安全服務(wù)器的安全性的 情況下獲得服務(wù)。 根據(jù)一個(gè)示例性實(shí)施方案,PTT具有一種"流轉(zhuǎn)換器"安全特性雙宿網(wǎng)絡(luò)隔離代 理(dual-homed network-insulating proxy),在一個(gè)實(shí)施例中,該代理起到IP應(yīng)用層的作 用,例如用于數(shù)據(jù)通信的開放式系統(tǒng)互連(OSI)標(biāo)準(zhǔn)中的應(yīng)用層。流轉(zhuǎn)換器在受保護(hù)網(wǎng)絡(luò) 的邊界處終止一個(gè)進(jìn)入的電話流("流"或"呼叫")的"第一段(first leg)",并且在受保 護(hù)的網(wǎng)絡(luò)內(nèi)發(fā)起(initiate) —個(gè)新的、獨(dú)立的、安全的"第二段"流。在網(wǎng)絡(luò)邊界處終止第 一呼叫,并在該邊界的另一側(cè)發(fā)起第二呼叫(第二呼叫僅僅復(fù)制第一呼叫的"含意"或"信 息內(nèi)容")的過(guò)程在這里被稱為"流轉(zhuǎn)換"。 雖然發(fā)送網(wǎng)絡(luò)通過(guò)向PTT發(fā)送流,可以(或可以不)導(dǎo)致PTT在受保護(hù)網(wǎng)絡(luò)內(nèi)發(fā) 起一段類似和/或?qū)?yīng)的流,但是發(fā)送網(wǎng)絡(luò)沒有對(duì)受保護(hù)網(wǎng)絡(luò)的物理層和/或協(xié)議層的訪 問(wèn)權(quán),后面將對(duì)這一問(wèn)題進(jìn)行更詳細(xì)的描述。相反,受保護(hù)網(wǎng)絡(luò)內(nèi)的客戶端可以發(fā)起一個(gè)從 受保護(hù)網(wǎng)絡(luò)內(nèi)出發(fā),由PTT延伸到不受保護(hù)網(wǎng)絡(luò)和/或外部世界中的電話連接,而不會(huì)暴露 受保護(hù)網(wǎng)絡(luò)中的端點(diǎn)的身份以及受保護(hù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。 雖然PTT具有耦合到兩個(gè)或更多個(gè)彼此隔離的網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口 (即,該P(yáng)TT是 雙宿的或多宿的),但是流轉(zhuǎn)換器通過(guò)在電話流之間僅僅傳送電話通信的數(shù)據(jù)內(nèi)容("信息 內(nèi)容"),而將網(wǎng)絡(luò)完全相互隔離開來(lái)。信息內(nèi)容是電話流所攜帶的"呼叫內(nèi)容","數(shù)據(jù)結(jié)構(gòu)" 和/或"電話信息有效載荷",即"含意"。因此,通過(guò)制作一個(gè)電話流所攜帶的信息的復(fù)制 品,并將該復(fù)制品添加到另一個(gè)電話流上,就可以傳輸所述數(shù)據(jù)內(nèi)容。換言之,所傳輸?shù)氖?數(shù)據(jù)的形式,而不是物理數(shù)據(jù)流本身。在某些變動(dòng)方案中,呼叫"有效載荷"的全部或部分 (即,攜帶電話信息內(nèi)容的數(shù)據(jù)分組有效載荷)可以在PTT的控制下,通過(guò)媒體路由器或深 分組檢查引擎在網(wǎng)絡(luò)間傳遞。由于只有信息內(nèi)容在電話流之間傳輸,所以一個(gè)網(wǎng)絡(luò)上的電 話客戶端不具有對(duì)使用一個(gè)或多個(gè)PTT的其他網(wǎng)絡(luò)的客戶端、拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)管理的直接 (例如,物理的、電的、管理的)訪問(wèn)權(quán)。 另外,根據(jù)本發(fā)明的另一方面,PTT可以配備有便攜式協(xié)議翻譯器。如上所述,流轉(zhuǎn) 換器是雙宿的或多宿的,在兩個(gè)或更多個(gè)網(wǎng)絡(luò)中的每一個(gè)中具有一個(gè)網(wǎng)絡(luò)接口。發(fā)送到第 一網(wǎng)絡(luò)(例如一個(gè)受保護(hù)網(wǎng)絡(luò)(即,經(jīng)由PTT發(fā)送的))的第一段流可以是任意格式和/或 協(xié)議的。由于流轉(zhuǎn)換器所發(fā)起的第二段流是獨(dú)立并完全隔離于第一段流的,因此第二段流 同樣也可以是任意格式和/或協(xié)議的(即,進(jìn)行選擇以最佳地適合于正在接收的客戶端)。 根據(jù)本發(fā)明的這個(gè)方面,流轉(zhuǎn)換器根據(jù)與第一段流相關(guān)聯(lián)的第一段通信協(xié)議來(lái)接收第一段 流,并將第一段通信協(xié)議翻譯為被動(dòng)態(tài)選擇的第二段通信協(xié)議。由于在流轉(zhuǎn)換器的每一側(cè) 都可以使用任意的流協(xié)議,因此流轉(zhuǎn)換器可被配備為在任意兩種協(xié)議之間進(jìn)行自動(dòng)翻譯。
根據(jù)某些實(shí)施方案,PTT還配備有根據(jù)本發(fā)明另一方面的地址轉(zhuǎn)換器(AT)。受保 護(hù)網(wǎng)絡(luò)內(nèi)的受信客戶端可以向PTT注冊(cè)一個(gè)私有和/或受信地址。AT將客戶端的私有和/
7或受信地址的公共版本("別名")指定給受信客戶端。AT可以在一個(gè)或多個(gè)安全或非安 全網(wǎng)絡(luò)上將所述別名公開化,并可以授權(quán)PTT的流轉(zhuǎn)換器在所述受信客戶端和受信網(wǎng)絡(luò)之 外請(qǐng)求連接到所述別名的非受信客戶端之間執(zhí)行隔離的流轉(zhuǎn)換。根據(jù)本發(fā)明的一個(gè)方面, 所述非受信客戶端與流轉(zhuǎn)換器的第一側(cè)進(jìn)行通信,非受信客戶端將流轉(zhuǎn)換器的第一側(cè)看作 具有所述別名的端點(diǎn)。流轉(zhuǎn)換器的第二側(cè)在它自己和受信客戶端之間發(fā)起一個(gè)獨(dú)立的第二 段流。第二段流與第一段流完全隔離,并且如上所述,可能在格式和/或協(xié)議方面不同于第 一段流。受信客戶端將流轉(zhuǎn)換器的第二側(cè)看作非受信客戶端的端點(diǎn)。因此,在一個(gè)實(shí)施方 案中,AT可以使流轉(zhuǎn)換器成為IP電話網(wǎng)絡(luò)之間的雙端點(diǎn)管道。 在整篇說(shuō)明書中,"一個(gè)實(shí)施例"或者"實(shí)施例"指的是關(guān)于該實(shí)施例而描述的特定 特點(diǎn)、結(jié)構(gòu)或特性被包括在本發(fā)明的至少一個(gè)實(shí)施例中。因此,短語(yǔ)"在一個(gè)實(shí)施例中"或 "在實(shí)施例中"在整篇說(shuō)明書不同地方的出現(xiàn)不一定都指同一個(gè)實(shí)施例。此外,特定的特點(diǎn)、 結(jié)構(gòu)或特性可以在一個(gè)或多個(gè)實(shí)施例中,以任何適當(dāng)?shù)姆绞浇M合起來(lái)。
現(xiàn)在參考圖l,根據(jù)本發(fā)明一個(gè)示例性的實(shí)施方案,描述了示例性計(jì)算設(shè)備101的 框圖,其中包括示例性的PTT 100。除了包括和/或可訪問(wèn)包含本發(fā)明一個(gè)或多個(gè)方面的 PTT 100之外,計(jì)算設(shè)備101可以包含由一條或多條總線124耦合在一起的處理器116、存 儲(chǔ)器118和盤控制器120中的一個(gè)或多個(gè)。盤控制器120可以控制一個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備122 或者幾個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備。處理器116對(duì)數(shù)據(jù)進(jìn)行訪問(wèn),包括可存儲(chǔ)在存儲(chǔ)設(shè)備122上的計(jì) 算機(jī)程序。另外,處理器116將計(jì)算機(jī)程序傳送到存儲(chǔ)器118,并在程序駐留于存儲(chǔ)器之后 執(zhí)行這些程序。視頻接口 126可以將監(jiān)視器128耦合到系統(tǒng),且鍵盤接口 130可以將鍵盤 耦合到系統(tǒng)。本領(lǐng)域的普通技術(shù)人員將會(huì)理解適于實(shí)現(xiàn)本發(fā)明一個(gè)或多個(gè)方面的計(jì)算設(shè) 備101可以包含附加的或不同的組件。 根據(jù)本發(fā)明的一個(gè)實(shí)施方案,PTT 100可以連接到第一網(wǎng)絡(luò)102和第二網(wǎng)絡(luò)104。 在其他變動(dòng)方案中,PTT 100可以連接到兩個(gè)以上的網(wǎng)絡(luò),和/或一個(gè)以上的PTT 100可以 連接到任何數(shù)量的網(wǎng)絡(luò)。 PTT 100可以擁有它自己的一個(gè)或多個(gè)處理器和/或控制邏輯,或者可以使用主 機(jī)計(jì)算設(shè)備101的處理器116或多個(gè)處理器。PTT 100還可以擁有它自己的存儲(chǔ)器,用于實(shí) 施本發(fā)明的一個(gè)或多個(gè)方面,和/或可以利用計(jì)算設(shè)備101的存儲(chǔ)器118。同樣,PTT 100 可配備為包含它自己的應(yīng)用,這些應(yīng)用例如是軟件和/或指令形式的,和/或PTT 100可以 使用由盤控制器120訪問(wèn)的、存儲(chǔ)在計(jì)算設(shè)備101的存儲(chǔ)設(shè)備122上的應(yīng)用。使用視頻接 口 126、監(jiān)視器128、鍵盤接口 130、鍵盤132和/或等同的輸入設(shè)備,可對(duì)PTT IOO進(jìn)行防問(wèn) 和/或編程,但是在其他變動(dòng)方案中,計(jì)算設(shè)備101或容宿PTT 100的計(jì)算環(huán)境可能不具有 這些元件,這是本領(lǐng)域的普通技術(shù)人員所能理解的。 雖然所圖示的示例性PTT 100是以代表硬件模塊的方框形式進(jìn)行描述的,但是應(yīng) 當(dāng)注意到,PTT 100也可以包括軟件,或者軟件、硬件、對(duì)象、規(guī)程、組件、子組件、模塊、例程
和/或子例程的任意組合。 圖2是為實(shí)現(xiàn)本發(fā)明示例性的PTT 204而提供環(huán)境的網(wǎng)絡(luò)200的示例性配置的圖 形表示。PTT 204、受信網(wǎng)絡(luò)202、非受信網(wǎng)絡(luò)208以及受信網(wǎng)絡(luò)202和非受信網(wǎng)絡(luò)208之間 的邊界206的相互關(guān)系如圖所示。邊界206還可以包括防火墻。私有、受保護(hù)和/或安全 ("受信")的網(wǎng)絡(luò)202在受信網(wǎng)絡(luò)202和非安全的外部世界之間的邊界206處采用了 PTT
8204,在圖示的示例性配置中,所述非安全的外部世界中包括了示例性的公共、不受保護(hù)和/ 或非安全("非受信")的網(wǎng)絡(luò)208。雖然非受信網(wǎng)絡(luò)208被用來(lái)描述受信網(wǎng)絡(luò)202的安全 邊界206以外的任何示例性網(wǎng)絡(luò),但是應(yīng)當(dāng)注意到,本發(fā)明的一個(gè)或多個(gè)實(shí)施方案可被用 在兩個(gè)受信網(wǎng)絡(luò)之間,或者受信和非受信網(wǎng)絡(luò)的任意組合之間。 根據(jù)本發(fā)明的一個(gè)方面,受信網(wǎng)絡(luò)202中的受信客戶端210向PTT 204注冊(cè)一個(gè) 私有地址212。 PTT 204為受信客戶端210的私有地址指定一個(gè)別名,并可以公開化,廣告, 和/或以其他方式授予對(duì)該別名的訪問(wèn)權(quán)。非受信客戶端216可以向PTT 204請(qǐng)求連接到 代表受信客戶端210的公共地址。PTT 204的控制器220的一個(gè)或多個(gè)元件可以根據(jù)本發(fā) 明的一個(gè)方面,基于內(nèi)建到或編程到特定的控制器220中的通信許可策略來(lái)準(zhǔn)許或否定所 述的連接請(qǐng)求。如果所請(qǐng)求的連接被控制器220授權(quán),那么來(lái)自非受信客戶端216的第一 流222就被PTT 204接收,并被第一協(xié)議堆棧224的不同層接收,但是終止在控制器220。 換言之,非受信客戶端216和受信客戶端210之間的通信的第一段230終止在PTT 204處。
PTT 204的控制器220發(fā)起第二流228,所述第二流包括非受信客戶端216和受信 客戶端210之間的通信的第二段232。第二流228從控制器220中發(fā)送出去,并穿過(guò)第二 協(xié)議堆棧226,該堆棧226可以實(shí)現(xiàn)與第一協(xié)議堆棧224不同或部分不同的協(xié)議。第一流 222和第二流228是獨(dú)立的通信段230、232,它們完全相互隔離,并且在格式、協(xié)議或介質(zhì)方 面可能完全不同。因此,受信網(wǎng)絡(luò)202不會(huì)受到非受信網(wǎng)絡(luò)208的直接物理訪問(wèn)。控制器 220將信息內(nèi)容和/或呼叫有效載荷從第一流222傳送到第二流228。
受信客戶端210也可以發(fā)起連接,在這種情況下, 一個(gè)流將從受信客戶端210前進(jìn) 到第二協(xié)議堆棧226,并被控制器220終止。然后,控制器220將會(huì)發(fā)起第二流,該第二流從 第一協(xié)議堆棧224前進(jìn)到非受信客戶端216。 在其他實(shí)施方案中,控制器220可以將有效載荷的傳輸任務(wù)委派給其他機(jī)制,這 些機(jī)制保持著網(wǎng)絡(luò)間的隔離。本領(lǐng)域的普通技術(shù)人員將會(huì)理解,以上說(shuō)明描繪出這樣一種 PTT 204的控制器220,該控制器隔離網(wǎng)絡(luò),在流之間傳輸數(shù)據(jù)內(nèi)容,翻譯私有和公共地址, 并且翻譯網(wǎng)絡(luò)間的協(xié)議,同時(shí)將所述流相互隔離并且將所述網(wǎng)絡(luò)相互隔離。本領(lǐng)域的普通 技術(shù)人員還會(huì)理解,第一和第二協(xié)議堆棧224、226及它們的網(wǎng)絡(luò)接口可以具有多種形式和 配置,這取決于耦合到PTT 204每一側(cè)的網(wǎng)絡(luò)的類型。 PTT 204可以起到防火墻206的狀態(tài)檢查代理的作用。例如,一個(gè)示例性的受信 "網(wǎng)絡(luò)地址翻譯(NAT)"使能網(wǎng)絡(luò)上的H. 323客戶端可以與一個(gè)非受信網(wǎng)絡(luò),例如因特網(wǎng),中 的11.323客戶端相連。PTT 204可以認(rèn)證用戶,為呼叫信息寫日志,并指揮所指定端口范圍 的使用。在一個(gè)變動(dòng)方案中,在受信網(wǎng)絡(luò)202的防火墻206之外的第二 PTT可以注冊(cè)非受 信客戶端216。這種情況下,所述連接可以前進(jìn)通過(guò)受信PTT 204和外部PTT。兩個(gè)PTT都 可以準(zhǔn)許或拒絕受信客戶端210和非受信客戶端216之間的連接。因此,本發(fā)明具有以下 優(yōu)點(diǎn)任何PTT(包括實(shí)現(xiàn)了可存在于PTT —側(cè)或兩側(cè)的流管理功能的PTT)都可以是完全 獨(dú)立的。當(dāng)一個(gè)流必須連接通過(guò)多個(gè)網(wǎng)絡(luò)時(shí),很可能各種防火墻、網(wǎng)關(guān)和PTT都包括在這條 路徑中。若干PTT建立一個(gè)安全的邊界,使得所使用的每一個(gè)PTT都可以在自身的域中沒 有干擾的情況下運(yùn)行,并可以向其他網(wǎng)絡(luò)提供安全的分組電話流橋,而不會(huì)與其它網(wǎng)絡(luò)合 并拓?fù)浣Y(jié)構(gòu),也不會(huì)超出網(wǎng)絡(luò)邊界206它的一側(cè)而進(jìn)行不安全的通信。
本領(lǐng)域的普通技術(shù)人員將會(huì)理解,本發(fā)明所提供的網(wǎng)絡(luò)隔離具有以下優(yōu)點(diǎn)例如在服務(wù)提供者網(wǎng)絡(luò)和用戶側(cè)(customer premise)網(wǎng)絡(luò)中實(shí)現(xiàn)了協(xié)議使用的靈活性。第一 PTT可以允許示例性的基于媒體網(wǎng)關(guān)控制協(xié)議(MGCP)的用戶加入到服務(wù)提供者網(wǎng)絡(luò)中。第 二PTT可以允許示例性的基于會(huì)話發(fā)起協(xié)議(SIP)的用戶加入到相同的服務(wù)提供者網(wǎng)絡(luò) 中。因此,用戶側(cè)可以使用與服務(wù)提供者骨干中所使用的協(xié)議不同的協(xié)議。這可以幫助保 護(hù)服務(wù)提供者的網(wǎng)絡(luò)投資。服務(wù)提供者可以部署特定協(xié)議的網(wǎng)絡(luò),例如H. 323,并且后面可 以使用本發(fā)明的協(xié)議翻譯方面來(lái)增加其它協(xié)議的支持,例如SIP、MGCP和/或私有協(xié)議。
圖3示出了具有協(xié)議堆棧組315、317的示例性結(jié)構(gòu)的第一示例性PTT 300。如圖 所示,協(xié)議堆棧組315、317、控制器322、第一通信接口板318、第二通信接口板320、第一分 組電話流網(wǎng)絡(luò)302("流網(wǎng)絡(luò)")和第二流網(wǎng)絡(luò)304耦合在一起。在這個(gè)實(shí)施方案中,第一流 網(wǎng)絡(luò)302和第二流網(wǎng)絡(luò)304各自分配有完整并且獨(dú)立的組,這些組存在于獨(dú)立的通信接口 板318、 320上,分別具有物理網(wǎng)絡(luò)接口 306、 308,分組網(wǎng)絡(luò)協(xié)議堆棧310、 312,以及協(xié)議堆棧 (本情形下為H. 323協(xié)議堆棧314、316)。每個(gè)通信接口板318、320都耦合到PTT 300的控 制器322。這兩個(gè)獨(dú)立的協(xié)議堆棧組315、317的動(dòng)作由控制器322進(jìn)行協(xié)調(diào)和控制,控制 器322決定哪些流可由PTT 300來(lái)轉(zhuǎn)換,并可以實(shí)現(xiàn)信息內(nèi)容和/或有效載荷在協(xié)議堆棧 315、317之間的傳輸。 根據(jù)一個(gè)示例性的實(shí)施方案,流有效載荷可以經(jīng)由時(shí)分復(fù)用(TDM)總線324,或者 通過(guò)其它方式在兩個(gè)堆棧組315、317之間傳輸,只要這種方式能夠在物理網(wǎng)絡(luò)接口層306、 308,分組網(wǎng)絡(luò)協(xié)議層310、 312,以及分組電話流協(xié)議層314、 316上保持協(xié)議堆棧組315、 317 之間的分隔。例如,控制器322內(nèi)包含流有效載荷的數(shù)字化段的數(shù)據(jù)結(jié)構(gòu)能夠在網(wǎng)絡(luò)302、 304之間傳輸,同時(shí)保持協(xié)議堆棧組315、317之間的安全分隔。 雖然圖3中所圖示的示例性實(shí)施例示出了本發(fā)明中在兩個(gè)示例性的H. 323分組電 話流網(wǎng)絡(luò)302、304之間轉(zhuǎn)換流的PTT 300,但是也可以有許多其它變動(dòng)方案。不同的物理網(wǎng) 絡(luò)接口 306、308(例如用異步傳輸模式(ATM)取代以太網(wǎng))可被用在協(xié)議堆棧組315、317之 一或兩者中。不同的分組網(wǎng)絡(luò)協(xié)議310、312(例如用支持多個(gè)服務(wù)等級(jí)的私有傳輸控制協(xié) 議/因特網(wǎng)協(xié)議(TCP/IP)取代標(biāo)準(zhǔn)的TCP/IP)可被用在協(xié)議堆棧組315、317之一或兩者 中。不同的電話流314, 316 (例如SIP或者M(jìn)GCP)可被用在協(xié)議堆棧組315、317之一或兩者 中。在其它的變動(dòng)方案中,兩個(gè)協(xié)議堆棧組315、317都可被部分或者全部地實(shí)現(xiàn)在主機(jī)處 理器中,而不是在獨(dú)立的專用通信接口板318、320中。通過(guò)傳輸數(shù)據(jù)結(jié)構(gòu)中的數(shù)字化有效 載荷段來(lái)傳輸流有效載荷的方法可由實(shí)現(xiàn)兩個(gè)協(xié)議堆棧組315、317的主機(jī)處理器來(lái)執(zhí)行。 本發(fā)明還可以被實(shí)現(xiàn)為單個(gè)控制器322對(duì)象,該對(duì)象創(chuàng)建了 PTT 300中的其它必要對(duì)象。
當(dāng)PTT 300用在示例性的IP電話實(shí)施方案中時(shí),它實(shí)現(xiàn)了分組電話呼叫在兩個(gè) TCP/IP網(wǎng)絡(luò)302、304之間的安全連接,而不會(huì)合并兩個(gè)網(wǎng)絡(luò)302、304的拓?fù)浣Y(jié)構(gòu),并且也不 會(huì)引起與TCP/IP流量有關(guān)的任何安全性問(wèn)題。PTT 300使得一個(gè)電話網(wǎng)絡(luò)不可能確定另一 個(gè)網(wǎng)絡(luò)的物理拓?fù)?、分組網(wǎng)絡(luò)拓?fù)浜头纸M電話拓?fù)?。因此,正如上面所討論的那樣,兩個(gè)電 話網(wǎng)絡(luò)302、304在物理層、分組網(wǎng)絡(luò)層和分組電話層上保持著相互隔離。
用于電話業(yè)務(wù)的PTT 300的某些實(shí)施例并不限于分組電話,而是可被用在分組電 話網(wǎng)絡(luò)和電路交換電話網(wǎng)絡(luò)(例如PSTN)之間。無(wú)論使用在PTT 300每一側(cè)的電話網(wǎng)絡(luò) 和協(xié)議是什么類型,PTT 300的各種電話實(shí)施方案都可以管理呼叫策略,執(zhí)行別名到私有地 址的翻譯,支持路由呼叫模型,并且指引呼叫模型,存儲(chǔ)注冊(cè)端點(diǎn)信息,支持呼叫轉(zhuǎn)移服務(wù),
10支持快速連接和H. 245隧道方式,支持對(duì)網(wǎng)絡(luò)工程的全事件記錄,并且支持事件日志(例如 嚴(yán)重錯(cuò)誤的日志)。在一些實(shí)施例中,可以發(fā)信號(hào)通知PTT 300來(lái)終止受控端點(diǎn)間的連接, 為高層應(yīng)用提供呼叫轉(zhuǎn)發(fā),為直接路由請(qǐng)求服務(wù)提供選項(xiàng),提供轉(zhuǎn)向(deflect)服務(wù),提供 發(fā)起呼叫服務(wù),為RAS和Q. 931消息提供回呼指示,并且提供用于管理策略和用戶信息的接 口 ,這都是電話相關(guān)領(lǐng)域中的普通技術(shù)人員所能理解的。PTT 300還可以成為通過(guò)計(jì)算機(jī)操 作系統(tǒng)注冊(cè)表而完全可配置的,并為基于萬(wàn)維網(wǎng)(Web)的管理支持提供支持。PTT 300的其 它變動(dòng)方案可以提供到達(dá)呼叫和發(fā)出呼叫的自動(dòng)檢測(cè),可以打開或關(guān)閉到達(dá)呼叫和發(fā)出呼 叫,并且可以路由RTP和RTCP分組音頻流和分組視頻流。 圖4示出了第二示例性PTT 400,所述PTT 400具有控制器402,示例性第一電話 協(xié)議堆棧(例如H. 323協(xié)議堆棧404),示例性第二電話堆棧(例如SIP協(xié)議堆棧406),媒體 路由器408,RTP堆棧410、412,端口管理器413、網(wǎng)絡(luò)接口板414、416,第一網(wǎng)絡(luò)418和第二 網(wǎng)絡(luò)420,所有這些都如圖所示以通信的方式耦合在一起。在PTT 400的這個(gè)示例性實(shí)施方 案中,根據(jù)本發(fā)明的另一方面,控制器402將第一電話流和第二電話流之間的有效載荷內(nèi) 容傳輸委托給媒體平面408、410、412,該平面可以包括各種媒體傳輸模態(tài)(modality)。保 留在控制器402中的信令平面處置連接請(qǐng)求,應(yīng)用許可策略,并做出連接決定("信令")。所 述媒體平面在隔離的電話流之間傳輸數(shù)據(jù)信息內(nèi)容。在所圖示的實(shí)施例中,示例性的H. 323 協(xié)議堆棧404(耦合到第一網(wǎng)絡(luò)418所使用的第一網(wǎng)絡(luò)接口 414)和SIP協(xié)議堆棧406(耦 合到第二網(wǎng)絡(luò)420所使用的第二網(wǎng)絡(luò)接口416)中的每一個(gè)都與控制器402交換信號(hào),以建 立對(duì)"連接"的授權(quán),借助該授權(quán)流轉(zhuǎn)換才可以發(fā)生。 控制器402將媒體傳輸委托給媒體路由器408,該路由器在耦合到第一網(wǎng)絡(luò)接口 414的第一 RTP堆棧410和耦合到第二網(wǎng)絡(luò)接口 416的第二 RTP堆棧412之間傳遞有效載 荷。在這個(gè)實(shí)施例中,端口管理器413為整個(gè)系統(tǒng)中的網(wǎng)絡(luò)接口存儲(chǔ)/管理自由和已用端 口信息。在建立會(huì)話之前,媒體路由器408與端口管理器413通信,以確定將要用于地址翻 譯的自由端口 ,用內(nèi)部地址來(lái)替換外部地址,和/或反之亦然。 一旦關(guān)閉了通信會(huì)話,媒體 路由器408將它已經(jīng)使用的端口回收到端口管理器413,以供再次利用。
其它實(shí)施例也是可能的,包括例如用媒體網(wǎng)關(guān)控制協(xié)議(MGCP)(征求意見稿 2805,"媒體網(wǎng)關(guān)控制協(xié)議體系結(jié)構(gòu)和要求",2000年4月)或者媒體網(wǎng)關(guān)控制(Megaco)(征 求意見稿3015,"Megaco協(xié)議版本1. 0",2000年11月;和征求意見稿3054,"Megaco IP電 話媒體網(wǎng)關(guān)應(yīng)用概況",2001年1月)來(lái)替代11.323和31 協(xié)議。應(yīng)當(dāng)注意到,在媒體傳輸 的第一段414、410、408和媒體傳輸?shù)牡诙?08、412、416兩者上使用同樣的媒體編解碼 器,這可以產(chǎn)生以下優(yōu)點(diǎn)避免媒體代碼轉(zhuǎn)換,從而提高媒體路由器408的效率。
在上面所討論的媒體平面的其它實(shí)施方案中,使用硬件加速可以提高媒體路由速 度。例如,線路速度(wire speed)的路由硬件可被用于分組路由。例如,路由硬件可以使 用網(wǎng)絡(luò)處理器和/或基于數(shù)字信號(hào)處理器(DSP)的硬件。所圖示的媒體路由器408和RTP 堆棧410、412可以被用戶報(bào)文協(xié)議-因特網(wǎng)協(xié)議(UDP/IP)路由器替換。因此,本發(fā)明中處 理器密集型的(processor-intensive)信令部分可由PTT 400中的主機(jī)處理器來(lái)執(zhí)行,而 線路速度的分組路由可由網(wǎng)絡(luò)處理器和/或基于DSP的硬件來(lái)執(zhí)行。如果用媒體管理器來(lái) 取代媒體路由器408,則媒體管理器就可以使用動(dòng)態(tài)鏈接庫(kù)(DLL)的服務(wù)來(lái)傳遞音頻和/或 視頻分組。DLL可以提供通常的端口映射(即,對(duì)于UDP)、端點(diǎn)間的分組傳遞、會(huì)話跟蹤和過(guò)濾服務(wù)。 圖5示出了第三示例性PTT 500的實(shí)施例,其中包括了深分組檢查引擎509,用于
以線路速度進(jìn)行的超高性能分組電話流轉(zhuǎn)換。示例性的PTT 500可以進(jìn)入數(shù)據(jù)分組有效載
荷的內(nèi)部進(jìn)行讀取,并且如果必要的話,將在轉(zhuǎn)發(fā)前修改這些有效載荷。 示例性PTT 500可以包含控制器502、第一協(xié)議引擎504、第二協(xié)議引擎506、分組
檢查器508、分組拆分器/重組合器(PDR)510、第一網(wǎng)絡(luò)接口 512和第二網(wǎng)絡(luò)接口 514,如圖
所示,它們?nèi)家酝ㄐ欧绞今詈显谝黄?。第一網(wǎng)絡(luò)接口 512耦合到第一網(wǎng)絡(luò)516,且第二網(wǎng)
絡(luò)接口 514耦合到第二網(wǎng)絡(luò)518。 在這個(gè)實(shí)施例中,協(xié)議引擎504、506處理呼叫建立,并且不僅可以處理(信令 分組)電話連接協(xié)議(例如,H,323、SIP),還可以處理(呼叫有效載荷分組)會(huì)談路徑 (talk-path)傳輸協(xié)議(例如,RTP)。協(xié)議引擎504、506可以支持用在它們各自連接中的 所有協(xié)議,并且在某些變動(dòng)方案中可以包括各種協(xié)議子引擎,每一個(gè)子引擎處理一個(gè)或多 個(gè)不同的協(xié)議,并且共同工作以支持單個(gè)連接。 硬件加速可被用在分組檢查器508、 PDR 510、第一網(wǎng)絡(luò)接口 512和第二網(wǎng)絡(luò)接口 514中的部分或全部中,以使得PTT 500能夠有效率地檢查總網(wǎng)絡(luò)流量(例如,在第一網(wǎng)絡(luò) 接口 512和第二網(wǎng)絡(luò)接口 514之間傳遞的網(wǎng)絡(luò)流量),以發(fā)現(xiàn)代表分組電話呼叫的數(shù)據(jù)分 組的存在。當(dāng)識(shí)別出電話分組時(shí),它們被分組檢查器508從網(wǎng)絡(luò)流中移除,并被傳遞到PDR 510。在某個(gè)實(shí)施例中可能有多個(gè)PDR 510,選擇PDR 510的適當(dāng)數(shù)量,以匹配特定的分組 負(fù)載和/或連接負(fù)載的處理需求。PDR 510檢查從分組檢查器508接收的每個(gè)分組的(多 個(gè))頭部,以確定每個(gè)分組與哪個(gè)連接,即與哪個(gè)協(xié)議引擎504、506相關(guān)聯(lián)。 一個(gè)分組(和 /或它等效的解碼后信息內(nèi)容)被傳遞給協(xié)議引擎504、506中處理該連接的那一個(gè)引擎。 協(xié)議引擎504、506遵照來(lái)自控制器502的指令,相互之間交換信息內(nèi)容和/或呼叫有效載 荷。 協(xié)議引擎504、506邏輯的全部或者至少其中一部分可以用硬件來(lái)實(shí)現(xiàn)。例如,可 用硬件來(lái)實(shí)現(xiàn)RTP有效載荷協(xié)議以及信息內(nèi)容和/或呼叫有效載荷的交換,同時(shí)可用運(yùn)行 在主機(jī)計(jì)算系統(tǒng)中的軟件來(lái)實(shí)現(xiàn)呼叫建立協(xié)議。 圖6示出了根據(jù)本發(fā)明一個(gè)實(shí)施方案的PTT的示例性控制器600元件。示例性控 制器600包括至少一個(gè)處理器604、應(yīng)用602、流轉(zhuǎn)換器608、協(xié)議翻譯器610、 AT 606和策 略數(shù)據(jù)庫(kù)607,它們?nèi)鐖D所示由一條或多條總線601耦合在一起。在一些實(shí)施例中,處理器 604可以協(xié)調(diào)控制器600的所有其它元件的活動(dòng),或者可被縮小為僅控制其中某些元件。在 其它實(shí)施例中,控制器600可能缺少處理器604,反而依賴宿主計(jì)算設(shè)備和/或宿主系統(tǒng)中 的外部處理器。流轉(zhuǎn)換器608被連接到兩個(gè)或更多個(gè)獨(dú)立的網(wǎng)絡(luò),并且通??杀获詈系接?于第一網(wǎng)絡(luò)612的第一組協(xié)議堆棧以及用于第二網(wǎng)絡(luò)614的第二組協(xié)議堆棧。簡(jiǎn)單地說(shuō), 流轉(zhuǎn)換器608從一個(gè)網(wǎng)絡(luò)中接收到第一流,終止該流,并且為另一個(gè)網(wǎng)絡(luò)發(fā)起第二流,該第 二流具有第一流的數(shù)據(jù)內(nèi)容。結(jié)合以下附圖將更詳細(xì)地描述流轉(zhuǎn)換器608。
根據(jù)本發(fā)明的另一個(gè)方面,控制器600可以包括耦合到流轉(zhuǎn)換器608的協(xié)議翻譯 器610,如圖所示。協(xié)議翻譯器610可被靜態(tài)地編程,以在用于第一網(wǎng)絡(luò)的第一協(xié)議和用于 第二網(wǎng)絡(luò)的第二協(xié)議之間進(jìn)行翻譯,或者可替換地,協(xié)議翻譯器610可被編程為在附接到 PTT的任何網(wǎng)絡(luò)上所使用的任意協(xié)議之間進(jìn)行自適應(yīng)地翻譯。在一個(gè)實(shí)施方案中,協(xié)議翻譯
12器610檢測(cè)用在附接于PTT的兩個(gè)或更多個(gè)網(wǎng)絡(luò)上的協(xié)議,并且動(dòng)態(tài)地選擇匹配的協(xié)議,以 與每個(gè)網(wǎng)絡(luò)進(jìn)行通信并在網(wǎng)絡(luò)間進(jìn)行協(xié)議翻譯。協(xié)議翻譯器610可被耦合到流轉(zhuǎn)換器中終 止并發(fā)起流的元件,從而檢測(cè)使用中的一個(gè)或多個(gè)協(xié)議,并且開始流翻譯所需的一個(gè)或多 個(gè)協(xié)議。將會(huì)參考后面的附圖進(jìn)一步更詳細(xì)地描述協(xié)議翻譯器610。 根據(jù)本發(fā)明的另一方面,如圖所示,AT 606和策略數(shù)據(jù)庫(kù)607可以相互耦合,并可 耦合到流轉(zhuǎn)換器608。 AT 606根據(jù)策略數(shù)據(jù)庫(kù)607中的規(guī)則,將受信網(wǎng)絡(luò)上的客戶端的受 信地址翻譯成公共地址,以在公共和/或非受信網(wǎng)絡(luò)上進(jìn)行公布和/或訪問(wèn)。策略數(shù)據(jù)庫(kù) 607也可以取得并存儲(chǔ)有關(guān)注冊(cè)端點(diǎn)的信息,并響應(yīng)于來(lái)自遠(yuǎn)程端點(diǎn)的RAS請(qǐng)求而做出基 于策略的決定。AT 606可以為流轉(zhuǎn)換器608而在私有地址和公共地址之間進(jìn)行動(dòng)態(tài)地翻 譯。AT 606還可以執(zhí)行兩個(gè)網(wǎng)絡(luò)間的連接授權(quán),因此可被耦合到流轉(zhuǎn)換器608中用于控制 流轉(zhuǎn)換器608活動(dòng)的轉(zhuǎn)換許可元件。結(jié)合以下附圖,將更加詳細(xì)地描述AT 606。
雖然控制器600被描述為若干相互耦合的模塊,但是應(yīng)當(dāng)注意,這些模塊可以是 一個(gè)或多個(gè)軟件程序中的若干部分??刂破?00可以完全由軟件組成,或者可以包括軟件、 硬件、對(duì)象、過(guò)程、組件、子組件、模塊、例程和/或子例程的任意組合。 現(xiàn)在參考圖7,其中更詳細(xì)地示出了圖6中的示例性流轉(zhuǎn)換器700。第一收發(fā)器 702被描述為包括第一終止器714和第一發(fā)起器718,第二收發(fā)器704被描述為包括第二終 止器716和第二發(fā)起器720。第一和第二收發(fā)器702、704在物理和協(xié)議層上相互絕緣和/ 或隔離。第一收發(fā)器702耦合到第一組協(xié)議堆棧706,第一組協(xié)議堆棧706接下來(lái)又耦合到 第一網(wǎng)絡(luò)710,第二收發(fā)器704耦合到第二組協(xié)議堆棧708,第二組協(xié)議堆棧接下來(lái)又耦合 到第二網(wǎng)絡(luò)712 。在所示的實(shí)施例中,來(lái)自每個(gè)網(wǎng)絡(luò)710、 712的流在各自的終止器702、 704 處終止,而所述終止器可將所述流的數(shù)據(jù)內(nèi)容中繼到內(nèi)容傳輸器722元件。內(nèi)容傳輸器722 可以以多種模態(tài)實(shí)現(xiàn),它在收發(fā)器702、704之間傳輸有效載荷。例如,內(nèi)容傳輸器722可以 將來(lái)自包括在第一收發(fā)器702中的第一終止器714中的內(nèi)容傳輸給包括在第二收發(fā)器704 中的第二發(fā)起器720,或者,將來(lái)自包括在第二收發(fā)器704中的第二終止器716中的內(nèi)容傳 輸給包括在第一收發(fā)器702中的第一發(fā)起器718。這樣,有效載荷就很典型地從第一流的終 止點(diǎn)被傳輸?shù)降诙鞯陌l(fā)起點(diǎn)。如上所述,有效載荷傳輸可以使用物理TDM總線而發(fā)生,或 者可替換地,可以使用包括在PTT中的處理器和/或PTT之外的處理器內(nèi)的數(shù)據(jù)結(jié)構(gòu)交換 而發(fā)生。內(nèi)容傳輸器722將有效載荷的傳輸不僅可以委托給流轉(zhuǎn)換器700的外部(但仍然 在控制器和/或PTT的內(nèi)部,如圖4所示),甚至還可以委托給PTT的外部,例如委托給外部 的媒體管理器和/或網(wǎng)絡(luò)分組路由器。 耦合到內(nèi)容傳輸器722上的傳輸許可器724可以掌管有效載荷的傳輸,因此在某 些實(shí)施例中,可以確定在接收到第一段流之后是否準(zhǔn)許發(fā)起第二段流。傳輸許可器724可 以執(zhí)行簡(jiǎn)單的開關(guān)功能,使得內(nèi)容傳輸器722或者完整地傳輸有效載荷,或者根本不傳輸 有效載荷,或者傳輸許可器724可以基于內(nèi)容做出傳輸決定,來(lái)過(guò)濾有效載荷內(nèi)容,和/或 基于內(nèi)容傳輸部分有效載荷內(nèi)容。根據(jù)本發(fā)明的另一方面,傳輸許可器724可被耦合到AT, 該AT可以基于地址、信令和/或安全性策略和協(xié)議來(lái)授權(quán)有效載荷傳輸。
圖8更詳細(xì)地示出了圖6中的示例性協(xié)議翻譯器800,所述翻譯器耦合到圖7中 的流轉(zhuǎn)換器的元件。在協(xié)議翻譯器800的實(shí)施方案中可以包括一個(gè)或多個(gè)協(xié)議檢測(cè)器804 以及一個(gè)或多個(gè)動(dòng)態(tài)協(xié)議選擇器802。所圖示的協(xié)議檢測(cè)器804被耦合到流轉(zhuǎn)換器元件的
13終止器854、856。協(xié)議檢測(cè)器804發(fā)現(xiàn)網(wǎng)絡(luò)正在使用的協(xié)議。協(xié)議檢測(cè)器804可被耦合到 動(dòng)態(tài)協(xié)議選擇器802,簡(jiǎn)單地說(shuō),該選擇器802可以將正發(fā)送給某一網(wǎng)絡(luò)的通信協(xié)議與正從 該網(wǎng)絡(luò)接收的協(xié)議相匹配。動(dòng)態(tài)協(xié)議選擇器可被耦合到流轉(zhuǎn)換器的收發(fā)器850、852的發(fā)起 器858、860,以實(shí)現(xiàn)發(fā)起器858、860在發(fā)送流時(shí)所需的協(xié)議。本領(lǐng)域的普通技術(shù)人員將會(huì) 理解,所圖示的協(xié)議翻譯器800僅僅是一個(gè)例子,本發(fā)明范圍內(nèi)的各種協(xié)議翻譯器都是可 以的。協(xié)議翻譯器800可能被構(gòu)造和/或編程為在僅有的兩種不變協(xié)議之間進(jìn)行不變的翻 譯。與網(wǎng)絡(luò)所使用的不變協(xié)議相關(guān)的協(xié)議翻譯硬件和/或軟件可用來(lái)替換協(xié)議檢測(cè)器804 和動(dòng)態(tài)協(xié)議選擇器802。 圖9更詳細(xì)地示出了圖6中的示例性AT 900,所述AT 900耦合到圖7中所示的 示例性流轉(zhuǎn)換器的元件。公共地址寄存器902、翻譯器904和私有地址寄存器906如圖所 示地耦合在一起。私有地址寄存器906可以從流轉(zhuǎn)換器的受信網(wǎng)絡(luò)側(cè)的收發(fā)器910接收私 有地址,例如,從受信客戶端接收私有地址。私有地址以及對(duì)應(yīng)的客戶端可被注冊(cè)在一張表 中,和/或被分配給一個(gè)哈希表(hash),并被傳遞到翻譯器904,而在一個(gè)實(shí)施例中,翻譯器 904可以向每一個(gè)私有地址分配一個(gè)別名,例如公共地址或者偽裝名(disguise)。
公共地址寄存器902可以使得所述別名對(duì)流轉(zhuǎn)換器的非受信網(wǎng)絡(luò)側(cè)的收發(fā)器908 可用。可向受信網(wǎng)絡(luò)的邊界以外的任何安全、非安全、公共和/或私有網(wǎng)絡(luò)廣告所述別名, 或者使得所述別名對(duì)這些網(wǎng)絡(luò)可用。翻譯器904可以隨著流在流轉(zhuǎn)換器的收發(fā)器908、910 處被終上或者發(fā)起,而在別名和私有地址之間來(lái)回翻譯。本領(lǐng)域的普通技術(shù)人員將會(huì)理解, 私有地址和別名可以采用網(wǎng)絡(luò)上所使用的協(xié)議可以接受的任何形式,例如IP地址、電話號(hào) 碼、硬件地址以及借助其可與網(wǎng)絡(luò)上的客戶端進(jìn)行通信的任何其它地址或向量。
AT 900的元件(例如私有地址寄存器906和公共地址寄存器902)可以耦合到流 轉(zhuǎn)換器的傳輸許可器914上,以加入對(duì)內(nèi)容傳輸器912的活動(dòng)的控制。例如,包括在進(jìn)入流 中的別名目的地地址與注冊(cè)在私有地址寄存器906中的受信地址的匹配,可以是傳輸許可 器914準(zhǔn)許內(nèi)容傳輸繼續(xù)進(jìn)行而采用的一種標(biāo)準(zhǔn)。因此,根據(jù)本發(fā)明的一個(gè)方面,除了通過(guò) 流轉(zhuǎn)換器和協(xié)議翻譯器的網(wǎng)絡(luò)隔離特性和協(xié)議翻譯特性而提供的安全性措施之外,AT 900 也提供了一種安全性措施。本領(lǐng)域的普通技術(shù)人員將會(huì)理解,所描繪的AT 900僅僅是AT 在本發(fā)明范圍內(nèi)的多種可能配置當(dāng)中的一個(gè)例子。 圖10中給出了根據(jù)本發(fā)明的一個(gè)方面、用于轉(zhuǎn)換電話流的示例性方法的流程圖。 從第一網(wǎng)絡(luò)上的第一客戶端接收到具有信息內(nèi)容的第一電話流1000。該第一電話流在第一 網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的邊界處被終止1002。雖然第一電話流可能是不安全的,但是通過(guò)終 止第一流,并且發(fā)起一個(gè)完全獨(dú)立并且安全的用于第二網(wǎng)絡(luò)的第二電話流就可以確保安全 性。具有所述信息內(nèi)容的第二電話流被發(fā)送到第二網(wǎng)絡(luò)上的第二客戶端1004。由于第一流 和第二流是相互分隔的,所以它們可以使用不同的協(xié)議。因此,本發(fā)明的方法可以同時(shí)起到 提供安全性和協(xié)議翻譯的作用。 本方法在物理和協(xié)議層上分隔兩個(gè)或更多個(gè)網(wǎng)絡(luò),使得這些網(wǎng)絡(luò)無(wú)法相互訪問(wèn), 除非本方法允許它們?cè)陔娫捔髦g交換信息內(nèi)容。例如通過(guò)將用于第一網(wǎng)絡(luò)的第一物理網(wǎng)
絡(luò)接口、第一分組網(wǎng)絡(luò)協(xié)議堆棧和第一分組電話協(xié)議堆棧與用于第二網(wǎng)絡(luò)的第二物理網(wǎng)絡(luò) 接口、第二分組網(wǎng)絡(luò)協(xié)議堆棧和第二分組電話協(xié)議堆棧隔絕開來(lái),可以相互隔離所述兩個(gè) 或更多個(gè)網(wǎng)絡(luò)。使用連接到第一分組電話協(xié)議堆棧和第二分組電話協(xié)議堆棧的應(yīng)用層控制器,可以將來(lái)自第一 電話流的內(nèi)容傳輸?shù)降诙娫捔?。在第一分組電話協(xié)議堆棧和第二分 組電話協(xié)議堆棧之間保持隔離的同時(shí),所述控制器在網(wǎng)絡(luò)間的邊界處終止第一電話流,并 發(fā)起第二電話流。 圖11是根據(jù)本發(fā)明一個(gè)方面的、用于協(xié)議翻譯的示例性方法的流程圖。接收到示 例性的第一電話流,例如攜帶有信息內(nèi)容且根據(jù)第一網(wǎng)絡(luò)所使用的第一協(xié)議進(jìn)行格式化的 非安全第一電話流1100。所述第一電話流在第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)間的邊界處被終止1102。 動(dòng)態(tài)地選擇第二協(xié)議,以匹配第二網(wǎng)絡(luò)所使用的協(xié)議1104。第二電話流例如是能夠(根據(jù) 本方法的所述實(shí)施例,在某個(gè)點(diǎn)上)攜帶所述信息內(nèi)容的安全第二電話流,該第二電話流 根據(jù)第二協(xié)議進(jìn)行格式化,并被發(fā)送到第二網(wǎng)絡(luò)1106。 本方法還可以包括檢測(cè)第一網(wǎng)絡(luò)所使用的第一協(xié)議,并且動(dòng)態(tài)地選擇用于接收所 述第一電話流的接收協(xié)議,檢測(cè)第二網(wǎng)絡(luò)所使用的第二協(xié)議,并且動(dòng)態(tài)地選擇用于發(fā)送所 述第二電話流的發(fā)送協(xié)議,和/或?qū)⑺鰞?nèi)容從第一電話流傳輸?shù)降诙娫捔鳎瑫r(shí)隔離 第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)。 在圖12中,給出了根據(jù)本發(fā)明一個(gè)方面的、用于地址轉(zhuǎn)換的示例性方法的流程 圖。從第一網(wǎng)絡(luò)上的受信客戶端接收到一個(gè)私有地址1200。向該私有地址分配一個(gè)公共地 址1202。接收到具有信息內(nèi)容的示例性非安全第一電話流,并遞送到所述公共地址1204。 在第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的邊界處終止所述非安全第一電話流1206。具有所述內(nèi)容的示 例性安全第二電話流被發(fā)送到所述私有地址1208。來(lái)自受信客戶端的多個(gè)私有地址可被注 冊(cè)在私有網(wǎng)絡(luò)上。分配給私有地址的公共地址可在公共網(wǎng)絡(luò)上被公開化,并且當(dāng)接收到將 公共地址之一作為目的地的通信流時(shí),將所述目的地公共地址匹配到在所述私有網(wǎng)絡(luò)上發(fā) 現(xiàn)的私有地址的能力就可以成為地址轉(zhuǎn)換的標(biāo)準(zhǔn)之一。 圖13是根據(jù)本發(fā)明的深分組檢查方面的、用于轉(zhuǎn)換分組電話流的示例性方法的 流程圖。首先,對(duì)數(shù)據(jù)分組流進(jìn)行檢查,以發(fā)現(xiàn)電話數(shù)據(jù)分組的存在1300。從數(shù)據(jù)分組的流 中移除所述電話數(shù)據(jù)分組1302??捎缮罘纸M檢查引擎509中的分組檢查器508組件來(lái)執(zhí)行 電話數(shù)據(jù)分組的檢查和移除工作。 讀取電話數(shù)據(jù)分組頭部和/或電話數(shù)據(jù)分組有效載荷,以將每一個(gè)電話數(shù)據(jù)分組 引導(dǎo)到與所述頭部和/或有效載荷相對(duì)應(yīng)的電話流中1304。換言之,讀取所述頭部和/或 有效載荷,以確定地址和/或?qū)㈦娫挃?shù)據(jù)分組與其電話流關(guān)聯(lián)起來(lái)的其它標(biāo)識(shí)數(shù)據(jù)。讀取 頭部和/或有效載荷,以及將電話數(shù)據(jù)分組引導(dǎo)到對(duì)應(yīng)的電話流中,這些工作都可由深分 組檢查引擎510中的分組拆分器/重組合器(PDR)510組件來(lái)完成。 信息內(nèi)容在電話流之間(例如,第一電話流和第二電話流之間)傳輸,同時(shí)相互隔 絕所述電話流1306。在兩個(gè)電話流的情況下,第一協(xié)議引擎504可被用于第一電話流,而第 二協(xié)議引擎506可被用于第二電話流??刂破?02可被耦合到第一和第二協(xié)議引擎504、 506,以執(zhí)行所述信息內(nèi)容在電話流之間的傳輸。 圖14是本發(fā)明一個(gè)替換實(shí)施例中的一件產(chǎn)品1400的圖形表示,該產(chǎn)品中包括具 有內(nèi)容1402的機(jī)器可讀介質(zhì),所述內(nèi)容1402使得機(jī)器可以實(shí)現(xiàn)本發(fā)明的PTT或者相關(guān)方 法。可部分或者完全地以計(jì)算機(jī)程序產(chǎn)品的形式來(lái)提供本發(fā)明的所述方法和裝置,該產(chǎn)品 可以包括機(jī)器可讀介質(zhì)。所述機(jī)器可讀介質(zhì)可以包括但不限于軟盤、光盤、CD-ROM、磁光盤、 ROM、RAM、EPROM、EEPROM、磁卡或光卡、閃存或者適于存儲(chǔ)電指令的其他類型的介質(zhì)。此外,本發(fā)明的實(shí)施例還可以作為計(jì)算機(jī)程序產(chǎn)品被下載,其中所述程序可以經(jīng)由通信鏈路(例 如,調(diào)制解調(diào)器或網(wǎng)絡(luò)連接),以數(shù)據(jù)信號(hào)的形式從一臺(tái)遠(yuǎn)程計(jì)算機(jī)傳輸?shù)桨l(fā)出請(qǐng)求的計(jì)算 機(jī),所述數(shù)據(jù)信號(hào)可以包含在載波中或者其它傳播介質(zhì)中。 上面以最基本的形式描述了所述方法和裝置,但是在不偏離本發(fā)明的基本范圍的 情況下,可以做出各種修改。本領(lǐng)域的普通技術(shù)人員將會(huì)清楚,在不背離本發(fā)明的精神和范 圍的情況下,可以做出進(jìn)一步的修改和調(diào)整。所提供的具體實(shí)施例不是要限制本發(fā)明,而是 要解釋本發(fā)明。本發(fā)明的范圍不是由上面所提供的特定例子來(lái)決定的,而是由所附的權(quán)利
要求書來(lái)決定的。
權(quán)利要求
一種方法,包括接收第一電話流,所述第一電話流包括信息內(nèi)容并發(fā)送到第一地址,所述第一電話流是根據(jù)第一網(wǎng)絡(luò)所使用的第一通信協(xié)議來(lái)格式化的;在所述第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的安全邊界處終止所述第一電話流;標(biāo)識(shí)與所述第一地址相關(guān)的第二地址,所述第二地址包括在所述第二網(wǎng)絡(luò)中;以及為所述第二網(wǎng)絡(luò)建立第二電話流,所述第二電話流包括所述信息內(nèi)容,所述第二電話流是根據(jù)第二通信協(xié)議來(lái)格式化的,并且被發(fā)送到所述第二地址。
2. 如權(quán)利要求1所述的方法,其中,還包括 動(dòng)態(tài)地選擇所述第二通信協(xié)議以所述第二網(wǎng)絡(luò)所使用的協(xié)議。
3. 如權(quán)利要求1所述的方法,其中,還包括檢測(cè)所述第一網(wǎng)絡(luò)所使用的所述第一通信協(xié)議,并動(dòng)態(tài)地選擇用于接收所述第一電話 流的接收協(xié)議;檢測(cè)所述第二網(wǎng)絡(luò)所使用的所述第二通信協(xié)議,并動(dòng)態(tài)地選擇用于發(fā)送所述第二電話 流的發(fā)送協(xié)議;以及將來(lái)自所述第一電話流的所述信息內(nèi)容傳輸?shù)剿龅诙娫捔鳎瑫r(shí)使所述第一網(wǎng)絡(luò) 與所述第二網(wǎng)絡(luò)相隔離。
4. 如權(quán)利要求1所述的方法,其中,所述安全邊界使第一電話流、第一客戶端、第一網(wǎng) 絡(luò)與第二電話流、第二客戶端、第二網(wǎng)絡(luò)相隔離。
5. 如權(quán)利要求4所述的方法,其中,所述第一電話流和第二電話流中的至少一個(gè)是IP 電話通信,所述隔離包括將第一網(wǎng)絡(luò)的第一物理網(wǎng)絡(luò)接口、第一分組網(wǎng)絡(luò)協(xié)議堆棧和/或 第一分組電話協(xié)議堆棧與第二網(wǎng)絡(luò)的第二物理網(wǎng)絡(luò)接口、第二分組網(wǎng)絡(luò)協(xié)議堆棧和/或第 二分組電話協(xié)議堆棧相隔離。
6. 如權(quán)利要求5所述的方法,還包括使用連接到所述第一分組電話協(xié)議堆棧和所述第二分組電話協(xié)議堆棧的控制器將來(lái) 自第一電話通信的信息內(nèi)容傳輸?shù)降诙娫捦ㄐ?,其中所述控制器維持所述第一分組電話 協(xié)議堆棧與所述第二分組電話協(xié)議堆棧之間的隔離。
7. —種工業(yè)制品,包括機(jī)器可讀介質(zhì),包括內(nèi)容,在執(zhí)行該內(nèi)容時(shí)導(dǎo)致機(jī)器執(zhí)行接收第一電話流,所述第一電話流包括信息內(nèi)容并發(fā)送到第一地址,所述第一電話流是根據(jù)第一網(wǎng)絡(luò)所使用的第一通信協(xié)議來(lái)格式化的;在所述第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的安全邊界處終止所述第一電話流; 標(biāo)識(shí)與所述第一地址相關(guān)的第二地址,所述第二地址包括在所述第二網(wǎng)絡(luò)中;以及 為所述第二網(wǎng)絡(luò)建立第二電話流,所述第二電話流包括所述信息內(nèi)容,所述第二電話流是根據(jù)第二通信協(xié)議來(lái)格式化的,并且被發(fā)送到所述第二地址。
8. 如權(quán)利要求7所述的工業(yè)制品,其中,還包括內(nèi)容,在執(zhí)行該內(nèi)容時(shí)導(dǎo)致機(jī)器執(zhí)行 動(dòng)態(tài)地選擇所述第二通信協(xié)議以所述第二網(wǎng)絡(luò)所使用的協(xié)議。
9. 如權(quán)利要求7所述的工業(yè)制品,其中,還包括內(nèi)容,在執(zhí)行該內(nèi)容時(shí)導(dǎo)致機(jī)器執(zhí)行 檢測(cè)所述第一網(wǎng)絡(luò)所使用的所述第一通信協(xié)議,并動(dòng)態(tài)地選擇用于接收所述第一電話流的接收協(xié)議;檢測(cè)所述第二網(wǎng)絡(luò)所使用的所述第二通信協(xié)議,并動(dòng)態(tài)地選擇用于發(fā)送所述第二電話 流的發(fā)送協(xié)議;以及將來(lái)自所述第一 電話流的所述信息內(nèi)容傳輸?shù)剿龅诙娫捔?,同時(shí)使所述第一網(wǎng)絡(luò) 與所述第二網(wǎng)絡(luò)相隔離。
10. 如權(quán)利要求7所述的工業(yè)制品,其中,所述安全邊界使第一電話流、第一客戶端、第 一網(wǎng)絡(luò)與第二電話流、第二客戶端、第二網(wǎng)絡(luò)相隔離。
11. 如權(quán)利要求io所述的工業(yè)制品,其中,所述第一電話流和第二電話流中的至少一個(gè)是IP電話通信,所述隔離包括將第一網(wǎng)絡(luò)的第一物理網(wǎng)絡(luò)接口、第一分組網(wǎng)絡(luò)協(xié)議堆棧 和/或第一分組電話協(xié)議堆棧與第二網(wǎng)絡(luò)的第二物理網(wǎng)絡(luò)接口、第二分組網(wǎng)絡(luò)協(xié)議堆棧和 /或第二分組電話協(xié)議堆棧相隔離。
12. 如權(quán)利要求ll所述的工業(yè)制品,其中,還包括內(nèi)容,在執(zhí)行該內(nèi)容時(shí)導(dǎo)致機(jī)器執(zhí)行使用連接到所述第一分組電話協(xié)議堆棧和所述第二分組電話協(xié)議堆棧的控制器將來(lái) 自第一電話通信的信息內(nèi)容傳輸?shù)降诙娫捦ㄐ?,其中所述控制器維持所述第一分組電話 協(xié)議堆棧與所述第二分組電話協(xié)議堆棧之間的隔離。
13. —種設(shè)備,包括用于接收第一電話流的裝置,所述第一電話流包括信息內(nèi)容并發(fā)送到第一地址,所述第一電話流是根據(jù)第一網(wǎng)絡(luò)所使用的第一通信協(xié)議來(lái)格式化的;用于在所述第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的安全邊界處終止所述第一電話流的裝置; 用于標(biāo)識(shí)與所述第一地址相關(guān)的第二地址的裝置,所述第二地址包括在所述第二網(wǎng)絡(luò)中;以及用于為所述第二網(wǎng)絡(luò)建立第二電話流的裝置,所述第二電話流包括所述信息內(nèi)容,所 述第二電話流是根據(jù)第二通信協(xié)議來(lái)格式化的,并且被發(fā)送到所述第二地址。
14. 如權(quán)利要求13所述的設(shè)備,其中,還包括用于動(dòng)態(tài)地選擇所述第二通信協(xié)議以所述第二網(wǎng)絡(luò)所使用的協(xié)議的裝置。
15. 如權(quán)利要求13所述的設(shè)備,其中,還包括用于檢測(cè)所述第一網(wǎng)絡(luò)所使用的所述第一通信協(xié)議,并動(dòng)態(tài)地選擇用于接收所述第一 電話流的接收協(xié)議的裝置;用于檢測(cè)所述第二網(wǎng)絡(luò)所使用的所述第二通信協(xié)議,并動(dòng)態(tài)地選擇用于發(fā)送所述第二 電話流的發(fā)送協(xié)議的裝置;以及用于將來(lái)自所述第一電話流的所述信息內(nèi)容傳輸?shù)剿龅诙娫捔?,同時(shí)使所述第一 網(wǎng)絡(luò)與所述第二網(wǎng)絡(luò)相隔離的裝置。
16. 如權(quán)利要求13所述的設(shè)備,其中,所述安全邊界包括用于使第一電話流、第一客 戶端、第一網(wǎng)絡(luò)與第二電話流、第二客戶端、第二網(wǎng)絡(luò)相隔離的裝置。
17. 如權(quán)利要求16所述的設(shè)備,其中,所述第一電話流和第二電話流中的至少一個(gè)是 IP電話通信,并且所述用于隔離的裝置包括用于將第一網(wǎng)絡(luò)的第一物理網(wǎng)絡(luò)接口、第一 分組網(wǎng)絡(luò)協(xié)議堆棧和/或第一分組電話協(xié)議堆棧與第二網(wǎng)絡(luò)的第二物理網(wǎng)絡(luò)接口、第二分 組網(wǎng)絡(luò)協(xié)議堆棧和/或第二分組電話協(xié)議堆棧相隔離的裝置。
18. 如權(quán)利要求17所述的設(shè)備,還包括用于使用連接到所述第一分組電話協(xié)議堆棧和所述第二分組電話協(xié)議堆棧的控制器 將來(lái)自第一電話通信的信息內(nèi)容傳輸?shù)降诙娫捦ㄐ诺难b置,其中所述控制器維持所述第 一分組電話協(xié)議堆棧與所述第二分組電話協(xié)議堆棧之間的隔離。
全文摘要
這里描述的方法和裝置用于在安全(202)網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)(208)之間連接分組電話呼叫。
文檔編號(hào)H04L29/06GK101707609SQ200910225818
公開日2010年5月12日 申請(qǐng)日期2003年3月4日 優(yōu)先權(quán)日2002年3月8日
發(fā)明者休·默瑟, 卡爾·斯特拉斯邁耶, 唐納德·芬尼, 拉梅什庫(kù)馬·伊利卡爾, 邦薩維文·馮默索法 申請(qǐng)人:英特爾公司