專利名稱:認證ip電話機和協(xié)商語音域的方法、系統(tǒng)以及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及認證IP電話機和協(xié)商語音域的方法、系統(tǒng)以及設(shè)備。
背景技術(shù):
802. Ix協(xié)議是電氣及電子工程師學(xué)會(Institute of Electrical andElectronics Engineers, IEEE)提出的應(yīng)用于二層端口流程控制的標準,其以對終端用戶的有效性的檢查通過與否來實現(xiàn)對網(wǎng)絡(luò)連通性的打開和關(guān)閉,進而從端口級別控制整個接 入網(wǎng)的安全。目前支持802. Ix協(xié)議的終端有個人電腦(Personal Computer,PC)、打印機、個人數(shù)字助理(Personal Digital Assistant,PDA)和基于互聯(lián)網(wǎng)絡(luò)的電話機(IP Phone)等等,但是IEEE標準并沒有針對IP Phone這類語音設(shè)備進行802. Ix認證標準的描述,在實際應(yīng)用中,支持802. Ix認證的IP Phone與802. Ix認證的場景存在沖突和不一致的地方。為了兼容一個端口同時存在語音(Voice)域的IP Phone和數(shù)據(jù)(Data)域的PC,通常需要定義一種端口模式。在這種端口模式下,交換機把端口虛擬成一個數(shù)據(jù)域和一個語音域,這兩個域下的設(shè)備(即PC和IP Phone)需要獨立的認證。當(dāng)IP Phone認證成功后,被授予語音域的接入權(quán)限,當(dāng)接在IP Phone后的PC通過認證后,PC被授權(quán)數(shù)據(jù)域的權(quán)限。但是對于擴展認證協(xié)議(Extensible Authentication Protocol, ΕΑΡ)的標準,并沒有明確的識別數(shù)據(jù)域的PC和語音域的IP Phone的方法,換言之,被認證的設(shè)備(PC和IPPhone)必須承擔(dān)這部分的責(zé)任。現(xiàn)有技術(shù)提供的一種認證IP電話機(IP Phone)和協(xié)商語音域的方法包括在認證前,IP Phone的初始化狀態(tài)攜帶一個默認虛擬局域網(wǎng)(Virtual Local Area Network,VLAN)值(例如,vlan = I);支持802. Ix協(xié)議的IP Phone開始認證并通過遠端認證撥號用戶服務(wù)(Remote Authentication Dial In User Service, RADIUS)認證成功;認證成功后,RADIUS服務(wù)器將動態(tài)配置的VLAN值和廠商比如思科(CISCO)的私有屬性“cisco-av-pari = voice” 封裝到 RADIUS_ACCEPT 報文中,并下發(fā)給 CISCO 交換機;CISC0交換機通過識別RADIUS-ACCEPT報文中的私有屬性“cisco-av-pari = voice”和VLAN值,判斷此屬性是下發(fā)給普通PC還是IP Phone ;由于“cisco_av-pair”標識客戶端是IPPhone (從“cisco-av-pari = voice”可知),Cisco交換機通過鏈路層發(fā)現(xiàn)協(xié)議(LinkLayer Discovery Protocol, LLDP)協(xié)議,將RADIUS服務(wù)器下發(fā)的動態(tài)VLAN值協(xié)商給IPPhone作為語音域虛擬局域網(wǎng)(Voice-VLAN)值,即按語音組成一個虛擬局域網(wǎng);IP Phone協(xié)商到Voice-VLAN值后,后續(xù)的語音數(shù)據(jù)就會帶上Voice-VLAN值,得到優(yōu)先級調(diào)度。從上述認證IP電話機(IP Phone)和協(xié)商語音域的方法可知,現(xiàn)有技術(shù)提供的方法需要使用CISCO廠商的私有屬性來標識對應(yīng)的認證用戶是IP Phone還是PC,并通過私有屬性這種方法來對IP Phone下發(fā)voice_vlan值,其中還需要支持LLDP協(xié)議的IP Phone。換言之,現(xiàn)有技術(shù)提供的認證IP電話機(IP Phone)和協(xié)商語音域的方法與特定交換機生產(chǎn)廠商綁定在一起,這無疑帶來許多限制。
發(fā)明內(nèi)容
本發(fā)明實施例提供認證IP電話機和協(xié)商語音域的方法、系統(tǒng)以及設(shè)備,以免除認證過程中對特定廠商交換機的依賴,實現(xiàn)動態(tài)安全認證協(xié)商。本發(fā)明實施例提供一種認證IP電話機和協(xié)商語音域的方法,所述方法包括接收基于互聯(lián)網(wǎng)的電話機IP Phone發(fā)送的認證請求報文,所述認證請求報文攜帶所述IP Phone的用戶名和密碼;將所述IP Phone的用戶名和密碼封裝在遠端認證撥號用戶服務(wù)RADIUS請求報文中后將所述封裝了所述IP Phone的用戶名和密碼的RADIUS報文發(fā)送至RADIUS服務(wù)器,以使所述RADIUS服務(wù)器對所述IP Phone進行認證;若所述RADIUS服務(wù)器對所述IP Phone進行認證的結(jié)果為認證成功,則將語音域虛擬局域網(wǎng)Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone,以使所述 IP Phone按照所述Voice VLAN值設(shè)置語音域虛擬局域網(wǎng)。本發(fā)明另一實施例提供一種認證IP電話機和協(xié)商語音域的方法,所述方法包括遠端認證撥號用戶服務(wù)RADIUS服務(wù)器接收RADIUS請求報文,所述RADIUS請求報文封裝有基于互聯(lián)網(wǎng)的電話機IP Phone的用戶名和密碼;所述RADIUS服務(wù)器根據(jù)所述IP Phone的用戶名和密碼對所述IP Phone進行認證;若認證成功,則所述RADIUS服務(wù)器將語音域虛擬局域網(wǎng)Voice VLAN值發(fā)送至所述RADIUS請求報文的發(fā)送方,以使所述RADIUS請求報文的發(fā)送方將所述Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone0本發(fā)明實施例提供一種認證IP電話機和協(xié)商語音域的裝置,所述裝置包括接收模塊,用于接收基于互聯(lián)網(wǎng)的電話機IP Phone發(fā)送的認證請求報文,所述認證請求報文攜帶所述IP Phone的用戶名和密碼;封裝模塊,用于將所述IP Phone的用戶名和密碼封裝在遠端認證撥號用戶服務(wù)RADIUS請求報文中后將所述封裝了所述IP Phone的用戶名和密碼的的RADIUS請求報文發(fā)送至RADIUS服務(wù)器,以使所述RADIUS服務(wù)器對所述IPPhone進行認證;發(fā)送模塊,用于若所述RADIUS服務(wù)器對所述IP Phone進行認證的結(jié)果為認證成功,則將語音域虛擬局域網(wǎng)Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IPPhone,以使所述IP Phone按照所述Voice VLAN值設(shè)置語音域虛擬局域網(wǎng)。本發(fā)明實施例提供一種認證服務(wù)器,所述認證服務(wù)器包括接收模塊,用于接收RADIUS請求報文,所述RADIUS請求報文封裝有基于互聯(lián)網(wǎng)的電話機IP Phone的用戶名和密碼;認證模塊,用于根據(jù)所述IP Phone的用戶名和密碼對所述IP Phone進行認證;發(fā)送模塊,用于若認證成功,則將語音域虛擬局域網(wǎng)Voice VLAN值發(fā)送至所述RADIUS請求報文的發(fā)送方,以使所述RADIUS請求報文的發(fā)送方將所述Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone0本發(fā)明實施例提供一種認證IP電話機和協(xié)商語音域的系統(tǒng),所述系統(tǒng)包括認證IP電話機和協(xié)商語音域的裝置和認證服務(wù)器,所述認證服務(wù)器為用于遠端認證撥號用戶服務(wù)RADIUS的服務(wù)器;所述認證IP電話機和協(xié)商語音域的裝置,用于接收基于互聯(lián)網(wǎng)的電話機IPPhone發(fā)送的認證請求報文,將所述認證請求報文攜帶的所述IP Phone的用戶名和密碼封裝在RADIUS請求報文中后將所述封裝了所述IP Phone的用戶名和密碼的RADIUS報文發(fā)送至所述認證服務(wù)器,在所述認證服務(wù)器對所述IP Phone進行認證的結(jié)果為認證成功時將語音域虛擬局域網(wǎng)Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone,以使所述IP Phone按照所述Voice VLAN值設(shè)置語音域虛擬局域網(wǎng);所述認證服務(wù)器,用于接收所述認證IP電話機和協(xié)商語音域的裝置發(fā)送的封裝有基于互聯(lián)網(wǎng)的電話機IP Phone的用戶名和密碼的RADIUS請求報文,根據(jù)所述IP Phone的用戶名和密碼對所述IP Phone進行認證,在認證成功后將語音域虛擬局域網(wǎng)Voice VLAN值發(fā)送至所述認證IP電話機和協(xié)商語音域的裝置,以使所述認證IP電話機和協(xié)商語音域的裝置將所述Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone0·
從上述本發(fā)明實施例可知,將語音域虛擬局域網(wǎng)Voice VLAN值通過EAP擴展報文發(fā)送至IP Phone,由于EAP擴展報文是對標準EAP報文的擴展。因此,與現(xiàn)有技術(shù)認證IP電話機(IP Phone)和協(xié)商語音域時需要與特定交換機生產(chǎn)廠商及其私有屬性綁定在一起相比,本發(fā)明實施例提供的認證IP電話機和協(xié)商語音域的方法適應(yīng)性更強,認證過程中并不依賴于特定廠商的交換機及其私有屬性,可以實現(xiàn)客戶端和服務(wù)器之間的動態(tài)安全認證協(xié)商功能以及企業(yè)內(nèi)部網(wǎng)絡(luò)的快速部署。
為了更清楚地說明本發(fā)明實施例的技術(shù)方案,下面將對現(xiàn)有技術(shù)或?qū)嵤├枋鲋兴枰褂玫母綀D作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域技術(shù)人員來講,還可以如這些附圖獲得其他的附圖。圖I是本發(fā)明實施例提供的認證IP電話機和協(xié)商語音域的方法流程示意圖;圖2標準擴展認證協(xié)議報文格式示意圖;圖3是本發(fā)明實施例提供的EAP擴展報文格式示意圖;圖4-1是本發(fā)明另一實施例提供的EAP擴展報文格式示意圖;圖4-2是本發(fā)明另一實施例提供的EAP擴展報文格式示意圖;圖5是本發(fā)明另一實施例提供的認證IP電話機和協(xié)商語音域的方法流程示意圖;圖6是本發(fā)明實施例提供的認證IP電話機和協(xié)商語音域的裝置結(jié)構(gòu)示意圖;圖7是本發(fā)明另一實施例提供的是本發(fā)明實施例提供的認證IP電話機和協(xié)商語音域的裝置結(jié)構(gòu)示意圖;圖8是本發(fā)明實施例提供的認證服務(wù)器結(jié)構(gòu)示意圖;圖9是本發(fā)明實施例提供的認證IP電話機和協(xié)商語音域的系統(tǒng)結(jié)構(gòu)示意圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域技術(shù)人員所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。請參閱附圖1,是本發(fā)明實施例提供的一種認證IP電話機和協(xié)商語音域的方法流程示意圖。在附圖I所示實施例中,其方法的執(zhí)行主體可以是交換機或?qū)拵нh程接入服務(wù)器(Broadband Remote Access Server, BRAS)。以下以執(zhí)行主體為交換機進行說明,但本領(lǐng)域技術(shù)人員可以理解,這并不視為是對本發(fā)明的限制。附圖I實施例提供的認證IP電話機和協(xié)商語音域的方法主要包括步驟S101,接收基于互聯(lián)網(wǎng)的電話機IP Phone發(fā)送的認證請求報文,所述認證請求報文攜帶所述IP Phone的用戶名和密碼。在本發(fā)明實施例中,每一個新的IP Phone會以其MAC地址作為用戶名在RADIUS服務(wù)器上配置賬號以作認證之用,并且初步規(guī)劃相應(yīng)的Voice-VLAN,建立數(shù)據(jù)庫,如下表I所示,是為IP Phone在RADIUS服務(wù)器上配置賬號的示意性圖表。進一步,對應(yīng)于每個IPPhone賬號,還可以分配IP地址、歡迎消息(在
權(quán)利要求
1.一種認證IP電話機和協(xié)商語音域的方法,其特征在于,所述方法包括 接收基于互聯(lián)網(wǎng)的電話機IP Phone發(fā)送的認證請求報文,所述認證請求報文攜帶所述IP Phone的用戶名和密碼; 將所述IP Phone的用戶名和密碼封裝在遠端認證撥號用戶服務(wù)RADIUS請求報文中后將所述封裝了所述IP Phone的用戶名和密碼的RADIUS請求報文發(fā)送至RADIUS服務(wù)器,以使所述RADIUS服務(wù)器對所述IP Phone進行認證; 若所述RADIUS服務(wù)器對所述IP Phone進行認證的結(jié)果為認證成功,則將語音域虛擬局域網(wǎng)Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone,以使所述IPPhone按照所述Voice VLAN值設(shè)置語音域虛擬局域網(wǎng)。
2.如權(quán)利要求I所述的方法,其特征在于,所述將語音域虛擬局域網(wǎng)VoiceVLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone包括 擴展EAP報文,將認證成功標識和所述Voice VLAN值分別填充至所述EAP擴展報文和所述EAP擴展報文的擴展字段; 發(fā)送所述填充了所述認證成功標識和所述Voice VLAN值的EAP擴展報文至所述IPPhone0
3.如權(quán)利要求2所述的方法,其特征在于,所述交換機擴展EAP報文包括 基于EAP報文增加格式為類型長度取值TLV的選項。
4.如權(quán)利要求2所述的方法,其特征在于,所述擴展EAP報文,將認證成功標識和所述Voice VLAN值分別填充至所述EAP擴展報文和所述EAP擴展報文的擴展字段之后或同時還包括 將所述RADIUS服務(wù)器為所述IP Phone分配的互聯(lián)網(wǎng)協(xié)議IP地址填充至所述EAP擴展報文的擴展字段。
5.如權(quán)利要求I至4任意一項所述的方法,其特征在于,若所述RADIUS服務(wù)器對所述IP Phone進行認證的結(jié)果為認證失敗,則將認證失敗及其原因通過EAP擴展報文發(fā)送至所述 IP Phone。
6.一種認證IP電話機和協(xié)商語音域的方法,其特征在于,所述方法包括 遠端認證撥號用戶服務(wù)RADIUS服務(wù)器接收RADIUS請求報文,所述RADIUS請求報文封裝有基于互聯(lián)網(wǎng)的電話機IP Phone的用戶名和密碼; 所述RADIUS服務(wù)器根據(jù)所述IP Phone的用戶名和密碼對所述IP Phone進行認證; 若認證成功,則所述RADIUS服務(wù)器將語音域虛擬局域網(wǎng)Voice VLAN值發(fā)送至所述RADIUS請求報文的發(fā)送方,以使所述RADIUS請求報文的發(fā)送方將所述Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone0
7.如權(quán)利要求6所述的方法,其特征在于,所述RADIUS服務(wù)器將語音域虛擬局域網(wǎng)Voice VLAN值發(fā)送至所述RADIUS請求報文的發(fā)送方的同時或之后進一步包括 所述RADIUS服務(wù)器將為所述IP Phone分配的互聯(lián)網(wǎng)協(xié)議IP地址發(fā)送至所述RADIUS請求報文的發(fā)送方,以使所述RADIUS請求報文的發(fā)送方將所述IP地址通過EAP擴展報文發(fā)送至所述IP Phone。
8.—種認證IP電話機和協(xié)商語音域的裝置,其特征在于,所述裝置包括 接收模塊,用于接收基于互聯(lián)網(wǎng)的電話機IP Phone發(fā)送的認證請求報文,所述認證請求報文攜帶所述IP Phone的用戶名和密碼; 封裝模塊,用于將所述IP Phone的用戶名和密碼封裝在遠端認證撥號用戶服務(wù)RADIUS請求報文中后將所述封裝了所述IP Phone的用戶名和密碼的RADIUS請求報文發(fā)送至RADIUS服務(wù)器,以使所述RADIUS服務(wù)器對所述IPPhone進行認證; 發(fā)送模塊,用于若所述RADIUS服務(wù)器對所述IP Phone進行認證的結(jié)果為認證成功,則將語音域虛擬局域網(wǎng)Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone,以使所述IP Phone按照所述Voice VLAN值設(shè)置語音域虛擬局域網(wǎng)。
9.如權(quán)利要求8所述的裝置,其特征在于,所述發(fā)送模塊包括擴展單元,用于擴展EAP報文,將認證成功標識和所述Voice VLAN值分別填充至所述EAP擴展報文和所述EAP擴展報文的擴展字段; 發(fā)送單元,用于發(fā)送所述填充了所述認證成功標識和所述Voice VLAN值的EAP擴展報文至所述IP Phone。
10.如權(quán)利要求9所述的裝置,其特征在于,所述擴展單元具體通過基于EAP報文增加格式為類型長度取值TLV的選項來擴展EAP報文。
11.如權(quán)利要求9所述的裝置,其特征在于,所述擴展單元還用于將所述RADIUS服務(wù)器為所述IP Phone分配的互聯(lián)網(wǎng)協(xié)議IP地址填充至所述EAP擴展報文的擴展字段。
12.—種認證服務(wù)器,其特征在于,所述認證服務(wù)器為用于遠端認證撥號用戶服務(wù)RADIUS的服務(wù)器,所述認證服務(wù)器包括 接收模塊,用于接收RADIUS請求報文,所述RADIUS請求報文封裝有基于互聯(lián)網(wǎng)的電話機IP Phone的用戶名和密碼; 認證模塊,用于根據(jù)所述IP Phone的用戶名和密碼對所述IP Phone進行認證; 發(fā)送模塊,用于若認證成功,則將語音域虛擬局域網(wǎng)Voice VLAN值發(fā)送至所述RADIUS請求報文的發(fā)送方,以使所述RADIUS請求報文的發(fā)送方將所述Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone0
13.如權(quán)利要求12所述的服務(wù)器,其特征在于,所述發(fā)送模塊還用于將為所述IPPhone分配的互聯(lián)網(wǎng)協(xié)議IP地址發(fā)送至所述RADIUS請求報文的發(fā)送方,以使所述RADIUS請求報文的發(fā)送方將所述IP地址通過EAP擴展報文發(fā)送至所述IP Phone0
14.一種認證IP電話機和協(xié)商語音域的系統(tǒng),其特征在于,所述系統(tǒng)包括認證IP電話機和協(xié)商語音域的裝置和認證服務(wù)器,所述認證服務(wù)器為用于遠端認證撥號用戶服務(wù)RADIUS的服務(wù)器; 所述認證IP電話機和協(xié)商語音域的裝置,用于接收基于互聯(lián)網(wǎng)的電話機IPPhone發(fā)送的認證請求報文,將所述認證請求報文攜帶的所述IP Phone的用戶名和密碼封裝在RADIUS請求報文中后將所述封裝了所述IP Phone的用戶名和密碼的RADIUS請求報文發(fā)送至所述認證服務(wù)器,在所述認證服務(wù)器對所述IPPhone進行認證的結(jié)果為認證成功時將語音域虛擬局域網(wǎng)Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone,以使所述IP Phone按照所述Voice VLAN值設(shè)置語音域虛擬局域網(wǎng); 所述認證服務(wù)器,用于接收所述認證IP電話機和協(xié)商語音域的裝置發(fā)送的封裝有基于互聯(lián)網(wǎng)的電話機IP Phone的用戶名和密碼的RADIUS請求報文,根據(jù)所述IP Phone的用戶名和密碼對所述IP Phone進行認證,在認證成功后將語音域虛擬局域網(wǎng)Voice VLAN值發(fā)送至所述認證IP電話機和協(xié)商語音域的裝置,以使所述認證IP電話機和協(xié)商語音域的裝置將所述Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone0·
全文摘要
本發(fā)明實施例提供認證IP電話機和協(xié)商語音域的方法、系統(tǒng)以及設(shè)備,以實現(xiàn)動態(tài)安全認證協(xié)商。所述方法包括接收基于互聯(lián)網(wǎng)的電話機IP Phone發(fā)送的認證請求報文;將所述IP Phone的用戶名和密碼封裝在遠端認證撥號用戶服務(wù)RADIUS請求報文中后將所述封裝了所述IP Phone的用戶名和密碼的RADIUS報文發(fā)送至RADIUS服務(wù)器;若所述RADIUS服務(wù)器對所述IP Phone進行認證的結(jié)果為認證成功,則將語音域虛擬局域網(wǎng)Voice VLAN值通過擴展認證協(xié)議EAP擴展報文發(fā)送至所述IP Phone。本發(fā)明可以實現(xiàn)客戶端和服務(wù)器之間的動態(tài)安全認證協(xié)商功能以及企業(yè)內(nèi)部網(wǎng)絡(luò)的快速部署。
文檔編號H04L29/06GK102957678SQ20111024976
公開日2013年3月6日 申請日期2011年8月26日 優(yōu)先權(quán)日2011年8月26日
發(fā)明者殷玉樓, 于斌 申請人:華為數(shù)字技術(shù)有限公司