本申請是PCT國際申請號為PCT/US2003/006644、國際申請日為2003年3月4日、 中國國家申請號為03808519.4、題為“在安全網絡和非安全網絡之間連接分組電話呼叫 的方法和裝置”的申請的分案申請。

技術領域

本發明一般涉及電話通信領域，更具體地說，涉及一種在安全網絡和非安全網絡之 間連接分組電話呼叫的方法和裝置。

背景技術

隨著計算設備的普及，經常需要通過數據網絡將這些設備連網在一起，即將這些設 備以通訊的方式耦合起來，從而有助于在這些設備之間進行信息交換。然而，在企業數 據網絡中，經常關注的一個問題是，要確保駐留在企業網絡內的信息免受外部第三方的 入侵和/或攻擊，即那些通過因特網連接對企業內部網發起的攻擊。由此，已開發出過濾 技術來控制基于分組的數據流量在網絡間的通行，這種過濾技術可以基于每個數據分組 的頭部(header)來區分數據分組。在商用防火墻出現之前，網絡管理員就開始制定可以 用來靜態地濾除不想要的和惡意的流量的規則。但是，這種靜態分組過濾有很多不利之 處，包括允許外部客戶端直接連接到內部主機。一個不友好的用戶可能占用一個受信的 外部主機，并通過直接連接，相對容易地獲得對整個內部網絡的惡意訪問。

已開發出的動態分組過濾就是為了解決靜態分組過濾中的某些問題。基于分組頭部 信息，動態分組過濾器在防火墻中允許一個臨時“窗口”。在一系列的分組已到達它們的 目的地后，防火墻中的這個臨時窗口就會被關閉。由于防火墻中的窗口打開的時間量相 比于靜態分組過濾器而言要短得多，因此許多類型的可有效對抗靜態分組過濾器的攻擊 要想針對動態分組過濾器展開部署，會更難一些。然而，動態分組過濾器仍然有可能允 許在內部主機和外部客戶端之間進行直接的IP連接。

一種一般不被傳統的企業防火墻支持的新興應用被通俗地稱為“因特網電話”，“因 特網協議(IP)電話”或者“分組電話”，即使用IP數據分組的網絡間電話。一種用于分 組電話的示范協議被正式發布在命名為“H.323v4草案(Draft?H.323v4)”的國際電信同盟- 電信標準化部門(ITU-T)標準中。作為分組電話標準的一個例子，H.323規定了在分組 網絡(包括基于IP的網絡)上提供電話服務(即，實時音頻、視頻和數據通信)的組 件、協議和過程。H.323所規定的協議是音頻編解碼器；視頻編解碼器；諸如H.225的 子協議，H.225基于包括注冊、許可和狀態(RAS)在內的Q.931操作，定義了呼叫建 立順序；H.245控制信令；實時傳輸協議(RTP)；和實時控制協議(RTCP)。然而， H.323與它運行所基于的傳輸協議以及分組網絡無關，并且沒有具體規定它們。

用于IP網絡間電話流量的H.323網關是已知的。在這方面，這些傳統網關提供了 呼叫建立和釋放協議的翻譯、不同網絡間的媒體格式轉換、以及H.323網絡和非H.323 網絡之間的信息傳輸。在IP電話中，H.323網關可以連接IP網絡和電路交換網絡，所 述電路交換網絡可以是模擬或數字公共交換電話網絡(PSTN)或綜合業務數字網 (ISDN)。

然而，在網絡間分組電話的情況下，眾所公知的一個問題就是標準分組協議防火墻 和H.323網關不能可靠地提供分組電話交換的安全性。電話數據分組可能不請自來地出 現在防火墻或網關面前，它們是從一個未被內部網客戶端當作目標的IP地址上流動過 來的，因此該電話交換可能被拒絕。或者，可允許該電話交換，這將導致潛在有惡意的 外部實體和內部網客戶端之間的直接連接。于是，潛在有惡意的外部實體就具有了對內 部網客戶端的直接訪問權，并且通常是對整個內部網的直接訪問權。

附圖說明

在附圖中，以示例而非限制的方式對本發明進行了說明，其中用相同的標號來表示 相似的元件，其中：

圖1是根據本發明一個示例性實施方案且體現本發明教導的一個示例性計算設備的 框圖；

圖2是根據本發明一個示例性實施方案且體現本發明教導的一個示例性網絡配置的 框圖；

圖3是本發明第一實施例的框圖；

圖4是本發明第二實施例的框圖；

圖5是本發明第三實施例的框圖；

圖6是根據本發明的一個示例性實施方案，更詳細地示出圖3和圖4中的示例性控 制器元件的框圖；