专利名称:验证会话启动协议信号传送的加密的方法和设备的制作方法
技术领域:
本发明涉及一种用于验证SIP(会话启动协议)信号传送的加密的方法和设备。
背景技术:
SIP(会话启动协议)是使得可以创建、修改和终止与一个或多个参与者的会话的因特网协议。SIP用于点到点或多方会话的语音和视频呼叫。它独立于媒体传输,所述媒体传输例如通常使用在UDP(用户数据报协议)之上的RTP(实时传输协议)。SIP也用于即时消息传送和呈现检测。SIP允许多个端点彼此建立媒体会话它支持对端点定位、建立会话和随后在已经完成媒体会话后终止所述会话。近来,SIP已经在进行即时消息传送和协作以及在移动载体(mobile carrier)之间进行一键通(push-to-talk)服务的企业内,在引入诸如VoIP(基于因特网协议的语音)之类的新服务的有线服务提供商之间获得了广泛的接受以及部署。作为针对IP网络上的会聚通信(convergedcommunication)而选择的协议的SIP的产业上的接受度正在广泛地扩大。如图1中所示,SIP基础架构包括客户机10A、10B、SIP代理12A、12B、12C、以及跨越域网络16A和16B与网络16C(例如因特网)而部署的域目录服务器14A、14B。客户机10A是用于控制会话建立和媒体传输的SIP端点。客户机10A由SIP URI(统一资源标识符)标识,是唯一的HTTP类(超文本传送协议)URI的形式sip:client@domain。所有的用户代理能够以它们的IP地址来向SIP目录服务器14A、14B或14C(能够与SIP代理12之一共置托管(co-locate))注册。作为会话建立处理的一部分,使用中间SIP代理和目录服务器来进行URI向由用户注册的设备的IP地址的映射。可以在J.Rosenberg等的SIP会话启动协议,RFC(请求注解)3261,IETF(因特网工程任务组),2002年6月中找到SIP协议的细节。SIP定义了一组控制信号,诸如OPTION(选项)100、200 OK(可以)、300 INVITE(邀请)、RINGING(振铃)、ACK(确认收到)、BYE(再会)等,如图4中所示,用于在客户机之间建立数据会话。这些信号通过在网络中部署的SIP代理而路由传送。域目录服务器中的DNS SRV(服务的域名系统)记录用于找到具体域的名称的IP地址,但是此处理可以使用多个并且经常使用超过一个的SIP代理。
诸如300 INVITE的来自发端客户机的所有请求根据在300 INVITE信号中包括的目的地SIP URI来通过代理而路由传送到适当的目的地客户机。代理可以查询目录服务器来确定SIP URI的当前绑定。在客户机、代理和目录服务器之间交换信号以定位用于媒体交换的适当端点。由于可伸缩性的原因,使用多个代理来分担信号传送负荷。通过包括300 INVITE、201 OK响应和针对所述响应的ACK的SIP信号传送来在两个客户机之间建立正常会话。所述呼叫建立后随使用RTP(实时传输协议)的媒体交换。通过500 BYE和202OK消息的交换来停止所述会话。图4示出了按照本实施例的一组适当的序列。
SIP在会话建立的处理和实际会话之间进行区分。SIP的基本原理是从媒体(RTP流)消息分离信号传送(控制)。控制信号通常经由代理而路由传送,而媒体路径是端到端的。诸如INVITE的各个信号在消息体中包含使用会话描述协议(SDP)的用户参数(Handley,M.和V.Jacobson,SDP会话描述协议,RFC 2327,IETF,1998年4月)。SDP提供了关于会话的信息,诸如关于媒体类型、传送协议、IP地址和端点的端口号的参数。通过SDP而交换的IP地址和端口号用于会话的实际数据传输(媒体路径)。可以通过RE-INVITE(重新邀请)消息在一个正在进行的会话期间改变这些参数中的任何一个,除了能够发生在现存会话中之外,所述RE-INVITE消息与300 INVITE信号相同。另外,客户机可以通过使用REFER信号来传送现存的会话。这个信号指令现存会话的另一端点来启动与第三客户机的INVITE/OK/ACK交换,并且终止(与REFER(参照)信号的发送者)的现存的会话。
缺省地,使用UTF-8明文编码来发送SIP信号,即使它们可能包含保密信息。但是,为了保护隐私,可以加密SIP呼叫的两个IP分量,即信号和数据流。主叫客户机可以请求加密与第一代理的信号传送,但是没有用于保证随后的SIP服务器加密所述信号的机制。当所述信号传送未被加密时,截取在代理之间的信号传送的任何IP路由器可以识别诸如双方的身份和因特网协议地址之类的呼叫信息。主叫客户机不知道在网络上原以明文来发送所述信号。所述数据流仅仅需要在呼叫的各个端点被加密和解密,使得可以对其保密性上有高度的置信度。
一种替代方案是对信号发送进行部分加密,其中只把对中间代理关键的SIP首标以明文发送。这通常使用S/MIME(安全多用途因特网邮件扩展-用于向因特网消息添加签字和/或加密服务的格式和协议)而实现。这种替代方法具有两个缺陷。首先,你仅仅使用部分加密,因此你的保密水平低于使用全部加密。其次,如在RFC 3261中所述,“但是,实施者应当注意,可能少量存在依赖于观看或修改SIP消息体(特别是SDP)的网络中间方(不是通常的代理服务器),并且安全的MIME会防止这些类型的中间方起作用”。
最后,应当注意,通过使用SIPS URI,用户不被保证端到端加密的传送。用户仅仅被保证“从主叫方向被叫方的域”的加密传输(RFC 3261部分4.2)。
第一方知道向第二方发送邀请以打开在网络中的通信信道——一旦已经达成所述协议,则所述通信信道会是安全的,但是包含诸如第一和第二方的ID之类的敏感信息的初始邀请并非如此。在RFC3329(见http://www.ietf.org/rfc/rfc3329.text)中描述了“用于SIP的安全机制协议”。RFC3329的目的是协商在两个SIP网络组件之间使用什么加密,即,在两点之间的低、中或高加密的链路。RFC使用字权标(word token)来描述sip首标字段的句法。但是,此出版物未描述通过一个或多个代理来创建安全的路径。
发明内容
按照本发明的第一方面,提供了一种通过至少一个代理SIP节点在至少两个客户机SIP节点之间建立SIP通信会话的方法,包括根据目的地客户机名称和域来定位代理SIP节点;在主叫客户机SIP节点和代理SIP节点之间建立安全的信号连接;使用目的地客户机名称和域来从代理SIP节点定位目的地客户机IP地址;建立从所述代理SIP节点到被叫客户机SIP节点的另外的安全信号连接,由此,所述安全信号连接和所述另外的安全信号连接形成安全的信号路径;请求目的地客户机SIP节点通过所述安全信号路径来返回其IP地址;并且,使用所返回的IP地址来在主叫客户机SIP节点和目的地客户机SIP节点之间建立数据连接。
为了进一步改善通信的安全性,所返回的IP地址与被定位的目的地IP地址不相同,从而客户机的实际IP地址从不在目录中公布。
优选的是,如果用于建立另外的安全信号连接所需要的时间超过阈值时间,则定位新的代理SIP。更优选的是,安全信号连接的建立将SIPOPTIONS(SIP选项)信号扩展到包括对于安全信号连接的选择。
优选的是,加密每个安全信号连接。更优选的是,在SIP节点之间的每个连接使用用于识别的会话密钥,并且选用地,所述会话密钥是安全信号连接的加密的一部分。
从代理对目的地客户机IP地址定位的步骤适当地包括定位一个或多个随后的代理;并且,扩展所述安全信号连接的步骤包括通过随后的代理来扩展所述安全信号连接。
按照本发明的另一方面,提供了一种在SIP节点中的安全SIP通信的方法;从下游SIP节点接收建立安全信号连接的请求,并且建立下游连接;使用目的地名称和域来定位上游SIP节点IP地址;建立到上游SIP节点的安全信号连接;并且在安全信号连接上接收和转发SIP信号。
按照本发明的另一方面,提供了一种SIP节点中安全SIP通信的系统,包括选项转发器,用于从下游SIP节点接收建立安全信号连接的请求,并且建立下游连接;安全客户机定位器,用于使用目的地名称和域来定位上游SIP节点IP地址;以及邀请转发器,用于建立到上游SIP节点的安全信号连接,并且在安全信号连接上接收和转发SIP信号。
按照本发明的另一方面,提供了一种包括计算机可读记录介质的计算机程序产品,在所述计算机可读记录介质上存储了用于SIP节点中的安全SIP通信的计算机可读代码,所述计算机可读代码当被安装到计算机系统上并被执行时执行随后的步骤从下游SIP节点接收建立安全信号连接的请求,并且建立下游连接;使用目的地名称和域来定位上游SIP节点IP地址;建立到上游SIP节点的安全信号连接;并且,在安全信号连接上接收和转发SIP信号。
使用这样的方法,呼叫建立的逐个跳段(hop-by-hop)(全加密)方法的客户机能够验证信号总是以加密形式来发送。通过适当的验证机制,SIP UA(SIP用户代理)和代理开发者能够添加功能,诸如向用户提供关于他们的呼叫的加密状态的反馈,或者甚至阻止未加密的呼叫发生,并且防止发送明文信号。
现在,参照附图来仅仅作为示例来说明本发明的实施例,在附图中图1是典型SIP客户机、代理和网络配置的示意图;图2是本实施例的客户机、代理服务器和目录服务器的示意图;图3A是按照本实施例的SIP呼叫建立的IP定位部分的示意图;图3B是按照本实施例的SIP呼叫建立的邀请部分的示意图;以及图4是按照本实施例的事件图。
具体实施例方式
图1是SIP客户机10A、10B、代理12A-12C、域网络16A、16B和外部网络18的示意图。虽然在每个网络中标注了仅仅一个代理,但是多个代理的任何一个可以存在于网络中,并且可以用于形成安全网络。SIP客户机10A、10B和它们各自的代理12A、12B以及域目录服务器14A、14B位于各自的域16A和16B(例如,公司的内联网)中。域16A和16B通过网络18(例如因特网)连接在一起。在本发明的语境中,客户机10A初始仅仅知道客户机10B的名称和域(例如,client10B@domain16B),不知道客户机10B的IP地址(例如,123.546.789.000),因此需要在建立呼叫之前定位10B。在定位处理期间,通常在下列设备之间建立连接客户机10A;域16A代理,诸如12A;网络18代理,诸如代理12C;域16B代理,诸如代理12B;以及客户机10B。一旦从所述定位处理获取了IP地址,则可以建立非代理连接19来发送数据。代理12B使用域目录服务器14B来定位目的地客户机10B的IP地址。域目录服务器14A对于域16A进行同样的操作。这种代理和客户机的配置仅仅是一个示例,每当需要多个安全连接时可以实现本发明,所述多个安全连接例如与两个客户机和单个代理的连接、或在电话会议中的多个客户机之间的连接。
图2是本实施例的客户机10A、代理服务器12A和域目录服务器14A的示意图。客户机10A包括呼叫建立组件20;安全代理定位器22;选项收发器24;计时器26;邀请收发器28;VoIP数据收发器30;以及呼叫关闭组件32。
呼叫建立组件20控制与另一客户机的呼叫的建立。
安全代理定位器22管理与代理的通信。它通过直接或从存储器查询代理来在已知代理中过滤出具有安全连接的那些已知代理。
选项收发器24发送和接收选项100信号(见图4)。选项信号是在建立呼叫中使用的第一信号之一,并且包括对于具有特定选项的代理的请求,在本实施例的情况下,所述特定选项是被验证的加密安全路径(VESP)选项。如果接收到具有VESP选项的选项请求,并且SIP客户机是VESP兼容的,则选项收发器24允许进行呼叫建立的请求,并且使用指示VESP支持的200 OK信号来响应(见图4)。否则,SIP客户机将不使用200 OK信号来确认所述选项请求。当选项收发器接收到所述200 OK信号时,则控制传送到邀请收发器28。
计时器26从发出选项100消息时开始计时,直到接收回200 OK信号。如果响应时间超过阈值,则呼叫建立处理会超时。当发生超时时,选项收发器24将选择另一个安全SIP代理,并且发送另一个选项100信号。如果不再存在更多的安全代理,则安全呼叫建立将取消。所述计时器也用于对在邀请收发器28中的响应计时。
邀请收发器28向符合VESP的代理发送邀请消息和会话权标,并且等待201 OK和IP地址。计时器26也对等待计时,并且当已经达到阈值时超时。再次,如果处理超时,则选择另一个安全代理,或者取消所述安全建立。
一旦发现了IP地址,则VoIP数据收发器30控制客户机之间直接地跨越网络发送VoIP数据。
呼叫关闭组件32当呼叫结束时控制所述呼叫的关闭。
每个代理12包括选项转发器34;安全客户机定位器36;邀请转发器38;以及计时器40。
选项转发器34接收和转发选项100信号(见图4)。当接收到具有VESP选项的选项请求时,选项转发器34注意所述VESP选项需要安全的呼叫建立,并且向安全客户机定位器36通知以定位安全客户机或代理。选项转发器接收在响应中的200 OK信号,并且将此转发回选项100信号的发送者。
安全客户机定位器36向目录服务器查询客户机的IP地址。如果定位了客户机,则将客户机IP地址返回代理。否则,则返回另一个代理的IP地址,以进行进一步的查询和进一步的安全呼叫建立。
一旦已经建立了安全代理路径,则邀请信号被发端SIP客户机发送,并且由邀请转发器38接收。邀请转发器沿着安全路径来转发邀请信号,并且沿所述路径来返回OK信号。
计时器40对选项转发器34和邀请转发器的响应等待计时,以便不会等待超过阈值的时段。
每个目录服务器14包括IP地址解析器(resolver)44;以及IP地址数据46。
IP地址解析器44从客户机10或代理12来接收包含客户机名称和域的请求,并且试图将该名称和域与IP地址匹配。如果从IP地址数据46发现匹配,则将其发回请求者。
图3A是按照本实施例的SIP呼叫建立的第一部分的示意图。
方法101定义了主叫客户机的建立处理。
在步骤104中,使用被叫客户机名称(例如客户机10B)和被叫客户机域(例如域16B)来在主叫客户机的建立组件20中定义安全的呼叫建立。
在步骤106,安全代理定位器22通过查询已知代理的列表来定位外向的代理。非VESP兼容的代理的名称必须被知道,并且每个代理必须被测试其建立安全连接的能力。
在步骤108,选项收发器24向安全代理之一发送选项100信号。选项100信号包括对于VESP兼容的代理的选择。
方法109定义了SIP代理建立处理,并且包括步骤110、112、114、120、122和124。
在步骤110,选项转发器34从SIP客户机接收选项100信号。如果代理是VESP兼容的,则接受所述选项信号,并且将控制传送到下一步骤。
在步骤112,安全客户机定位器36试图通过查询目录服务器来定位客户机B。如果未定位客户机10B,则定位接近客户机的域并且潜在可能知道客户机的IP地址的另一个安全代理。域代理通常具有在那个域中的客户机的IP地址。
在步骤114,如果目录服务器知道客户机IP地址,则选项信号(和名称)被转发到安全客户机B(方法116,SIP被叫客户机建立)。如果相关联的目录服务器不知道客户机B的IP地址,则选项信号被转发到具有对所述客户机的IP地址进行定位的潜在可能的另一个代理(方法115,另外的等效代理建立)。
处理115使用等效步骤110、112、114、122、120和124来表示等效于初始109 SIP代理建立的一个或多个另外的等效的代理建立。这个处理取决于定位被叫客户机而需要的代理服务器的数目而发生0到n次。
方法116是被叫客户机建立处理,包括步骤117和118。
在步骤117,从SIP代理接收到选项信号100。如果客户机是VESP兼容的,则它被接受,并且处理继续。
在步骤118,经由连接的代理向SIP节点发送包括会话权标的返回OK 200信号。
如果在连接中存在多于一个的返回代理,则方法115转发所述OK 200信号。
在代理建立109方法中的步骤120(或等效的115代理建立)等待所述200OK信号,并且进行到步骤124。如果等待超时,则处理进行到步骤122。
步骤122从相关联的目录服务器选择另一个安全的代理,并且在步骤114再次转发选项信号。
步骤124在方法109中向SIP客户机10返回OK信号。在等效代理建立方法115中,等效步骤124向连接的代理返回OK信号。
呼叫客户机建立方法101中的步骤126等待200 OK信号,并且进行到步骤130。安全连接路径现在完整,并且被返回的会话权标标注。如果步骤126超时,则处理进行到步骤128。
步骤128从相关联的目录选择另一个安全代理,并且在步骤108再次转发所述选项信号。
在步骤130,处理控制进行到方法300。
图3B是按照本实施例的SIP呼叫建立的第二部分的示意图。
方法300是主叫电话邀请处理,包括在邀请收发器28中执行的步骤302、320、322。
步骤302在安全连接路径中向第一安全代理发送包括会话权标的邀请信号。
方法303是代理邀请处理,包括在安全连接路径中在第一和随后的代理中的邀请转发器38中执行的步骤304、306、308、316和318。
步骤304从安全客户机接收包括会话权标的邀请信号。
步骤306检查对于所分配的安全连接路径的会话权标。定位在所述连接路径中的下一个代理或客户机。
步骤308向在安全连接路径中的下一个安全代理转发包括所述会话权标的邀请信号。
处理309使用等效步骤304、306、308、316和318来表示等效于初始303代理邀请的一个或多个另外的等效代理邀请。此处理根据所需要的代理服务器的数目而发生0到n次。
处理310是由客户机邀请收发器28执行的被呼叫客户机邀请方法,所述方法包括步骤312和314。取决于对客户机进行定位所需要的数目而从一个或多个代理接收包括会话权标的邀请。
在步骤312,邀请收发器从安全SIP客户机接收包括会话权标的邀请信号。如果会话良好可接受,则处理继续。
在步骤314,邀请收发器使用包括被叫客户机的IP地址和会话密钥的OK信号201来回复。
步骤316等待在代理邀请方法303中的OK信号201。在等效的代理邀请方法309中,等效步骤316等待124 OK信号201。如果等待超时,则连接失败。
步骤318向呼叫SIP客户机返回OK信号201、IP地址和会话密钥。
在所述呼叫客户机邀请方法中的步骤320等待OK信号201、IP地址和会话权标。如果等待超时,则处理进行到步骤322。如果等待成功,则处理在401继续发送VoIP数据。
步骤322将呼叫建立重新设置到另一个代理服务器。
通过在呼叫客户机10A和被呼叫客户机10B中的各自的VoIP收发器来执行步骤401和403。
在呼叫客户机VoIP数据收发器中的步骤401直接通过网络而不使用任何代理来对于被叫客户机发送和接收。建立VoIP数据会话。VoIP数据可以被加密以获得额外的安全。
在被呼叫客户机VoIP数据收发器中的步骤403使用所建立的数据会话来对于呼叫客户机接收和发送。
通过呼叫客户机和被呼叫客户机中各自的呼叫关闭组件32来执行步骤501和503。虽然在这个示例和实施例中,呼叫客户机启动了关闭,但任何客户机可以启动关闭。
在步骤501中,沿着安全路径来向被叫客户机发送关闭会话信号。一旦接收到202 OK信号,则在呼叫客户机中取消数据会话和安全路径会话两者。
在步骤503中,被叫客户机向呼叫客户机发送202 OK和会话权标,并且关闭数据会话和安全会话。
图4是按照本实施例和示例的事件图。在呼叫建立期间,从呼叫客户机10A通过代理向被呼叫客户机10B发送选项100信号。从被呼叫客户机向呼叫客户机返回200 OK+会话密钥。300邀请+会话密钥被从呼叫客户机发送到被呼叫客户机。201 OK+会话密钥+IP地址被从被呼叫客户机发送到呼叫客户机。使用返回的IP地址来在客户机之间建立数据流400。在呼叫结束时,500BYE信号被从一个客户机通过代理发送到另一个客户机。202 OK信号被发回,并且结束安全会话和数据会话。
本领域内的技术人员应该明白,本发明的方法可以适当地被体现在除了图1的示例之外的其它逻辑设备中,并且这样的逻辑装置可以包括硬件组件或固件组件。
本领域内的技术人员同样地应该明白,本发明的逻辑安排可以适当地被体现在包括用于执行除了图3A和3B的示例之外的方法的步骤的逻辑装置的逻辑设备中,并且这样的逻辑装置可以包括诸如在例如可编程逻辑阵列中的逻辑门之类的组件。这样的逻辑安排还可以被体现在使能装置中,所述使能装置用于使用例如虚拟硬件描述符语言来临时或永久地在这样的阵列中建立逻辑结构,可以使用固定或可发送的载体媒体来存储所述虚拟硬件描述符语言。
应该明白,也可以在运行在一个或多个处理器(未示出)上的软件中全部或部分地适当地执行如上所述的方法,并且可以将所述软件提供为在诸如计算机磁盘或光盘的任何适当的数据载体(也未示出)上承载的计算机程序元素。用于发送数据等的通道可以包括所有描述的存储媒体以及信号承载媒体,诸如有线或无线信号媒体。
本发明可以适当地被体现为用于计算机系统的计算机程序产品。这样的实施可以包括一系列计算机可读指令,所述指令可以或者被固定在诸如计算机可读介质之类的有形介质上,所述计算机可读介质例如磁盘、CD-ROM、ROM或硬盘,所述指令或者也可以在有形介质上或使用无线技术而无形地经由调制解调器或其它接口设备被发送到计算机系统,所述有形介质包括但不限于光学或模拟通信线,所述无线技术包括但不限于微波、红外线或其它传输技术。所述计算机可读指令序列体现在此前述的所有或部分功能。
本领域内的技术人员应该明白,可以以用于多个计算机架构或操作系统的多种编程语言来撰写这样的计算机可读指令。而且,可以使用现有的或未来的任何存储器技术来存储这样的指令,所述存储器技术包括但不限于半导体、磁或光,或者使用现有或未来的任何通信技术来发送这样的指令,所述通信技术包括但不限于光、红外线或微波。构想这样的计算机程序产品可以作为具有伴随的打印或电子文档的可移动介质来分发,所述伴随的打印或电子文档例如收缩(shrink-wrapped)包装的软件,通过计算机系统而被预先安装在例如系统ROM或固定盘上,或者所述计算机程序产品可以从服务器或电子公告牌通过诸如因特网或万维网的网络而被分发。
还应该明白,可以按照代表客户而部署的服务的形式来提供本发明的实施,以按照要求来提供服务。
还应该明白,对于本领域内的普通技术人员,对如上所述的优选实施例的各种进一步的修改均是显而易见的。
权利要求
1.一种通过至少一个代理SIP节点在至少两个客户机SIP节点之间建立SIP通信会话的方法,包括根据目的地客户机名称和域来对代理SIP节点定位;在主叫客户机SIP节点和代理SIP节点之间建立安全的信号连接;使用目的地客户机名称和域来从代理SIP节点对目的地客户机IP地址定位;建立从所述代理SIP节点到被叫客户机SIP节点的另外的安全信号连接,由此,所述安全信号连接和所述另外的安全信号连接形成安全的信号路径;请求目的地客户机SIP节点通过该安全信号路径来返回其IP地址;以及使用所返回的IP地址来在主叫客户机SIP节点和目的地客户机SIP节点之间建立数据连接。
2.按照权利要求1的方法,其中,所返回的IP地址与所定位的目的地IP地址不相同。
3.按照权利要求1或2的方法,其中,如果建立另外的安全信号连接所耗的时间超过阈值时间,则定位新的代理SIP。
4.按照权利要求1、2或3的方法,其中,安全信号连接的建立将SIP选项信号扩展到包括安全信号连接的选项。
5.按照权利要求1-4的任何一个的方法,其中,加密每个安全的信号连接。
6.按照权利要求1-5的任何一个的方法,其中,在SIP节点之间的每个连接使用用于识别的会话密钥。
7.按照权利要求6的方法,其中,所述会话密钥是安全信号连接的加密的一部分。
8.按照权利要求1-7的任何一个的方法,其中,从代理对目的地客户机IP地址定位的步骤包括对一个或多个随后的代理定位;以及,扩展安全信号连接的步骤包括通过随后的代理来扩展所述安全信号连接。
9.按照权利要求1-8的任何一个的方法,其中,当存在两个或多个目的地客户机时建立两个或多个安全路径。
10.一种通过至少一个代理SIP节点在至少两个客户机SIP节点之间建立SIP通信会话的系统,包括代理定位器,根据目的地客户机名称和域来对代理SIP节点定位;选项收发器,在主叫客户机SIP节点和代理SIP节点之间建立安全的信号连接;客户机定位器,使用目的地客户机名称和域来在代理SIP节点对目的地客户机IP地址定位;选项转发器,建立从所述代理SIP节点到被叫客户机SIP节点的另外的安全信号连接,由此,所述安全信号连接和另外的安全信号连接形成安全的信号路径;邀请收发器,请求目的地客户机SIP节点通过该安全信号路径来返回其IP地址;以及VoIP数据收发器,使用所返回的IP地址来在主叫客户机SIP节点和目的地客户机SIP节点之间建立数据连接。
11.一种计算机程序产品,包括计算机可读记录介质,在所述计算机可读记录介质上存储了计算机可读代码,用于通过至少一个代理SIP节点在至少两个客户机SIP节点之间建立SIP通信会话,所述计算机可读代码当被安装在计算机系统并且被执行时执行权利要求1-9的任何一个的步骤。
12.一种在SIP节点中进行安全SIP通信的方法,包括从下游SIP节点接收建立安全信号连接的请求,并且建立下游连接;使用目的地名称和域来对上游SIP节点IP地址定位;建立到上游SIP节点的安全信号连接;以及在安全信号连接上接收和转发SIP信号。
13.一种SIP节点中的安全SIP通信的系统,包括选项转发器,从下游SIP节点接收建立安全信号连接的请求,并且建立下游连接;安全客户机定位器,使用目的地名称和域来定位上游SIP节点IP地址;以及邀请转发器,建立到上游SIP节点的安全信号连接,并且在安全信号连接上接收和转发SIP信号。
14.一种包括计算机可读记录介质的计算机程序产品,在所述计算机可读记录介质上存储了用于SIP节点中的安全SIP通信的计算机可读代码,所述计算机可读代码当被安装到计算机系统并且被执行时执行下面的步骤从下游SIP节点接收建立安全信号连接的请求,并且建立下游连接;使用目的地名称和域来对上游SIP节点IP地址定位;建立到上游SIP节点的安全信号连接;以及在安全信号连接上接收和转发SIP信号。
全文摘要
本发明涉及验证SIP信号加密的方法和设备。本发明涉及一种通过至少一个代理SIP节点在至少两个客户机SIP节点之间建立SIP通信会话的方法、系统和计算机程序产品,包括根据目的地客户机名称和域来定位代理SIP节点;在呼叫的客户机SIP节点和代理SIP节点之间建立安全信号连接;使用目的地客户机名称和域来从代理SIP节点定位目的地客户机IP地址;建立从代理SIP节点到被呼叫客户机SIP节点的另外安全信号连接,安全信号连接和另外安全信号连接形成安全信号路径;请求目的地客户机SIP节点经安全信号路径来返回其IP地址;并使用所返回IP地址来在呼叫客户机SIP节点和目的地客户机SIP节点之间建立数据连接。
文档编号H04L9/00GK1937624SQ20061007146
公开日2007年3月28日 申请日期2006年3月24日 优先权日2005年9月24日
发明者詹姆斯·M·威廉斯, 雷蒙德·杰普森, 阿伦·M·韦滕 申请人:国际商业机器公司