[发明专利]一种IP电话的安全接入方法和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种IP电话的安全接入方法和设备。

背景技术

IP（Internet Protocol，网络互连协议）电话是指使用VoIP（Voice over Internet Protocol，基于IP的语音）技术传输语音的电话。其中，IP电话在收到外部声音之后，将外部声音转换成语音数据包，并通过数据网络将该语音数据包传递到目的IP电话，并由目的IP电话将该语音数据包还原成原始声音。

如图1所示，为IP电话接入网络的示意图，IP电话与PC（Personal Computer，个人计算机）通过接入设备，例如交换机或NAS（Network Access Server，网络接入服务器）等，接入网络，且IP电话串接在PC与接入设备之间。

现有技术中，对于IP电话，接入设备为该IP电话提供专门的语音VLAN（Virtual Local Area Network，虚拟局域网），即Voice VLAN；IP电话通过Voice VLAN进行语音数据包的传输，接入设备在收到Voice VLAN的语音数据包后，不对该语音数据包进行认证，直接通过数据网络发送该语音数据包。

但是，在上述方式中，由于接入设备不对Voice VLAN的语音数据包进行认证，容易使Voice VLAN受到恶意用户的流量攻击，例如恶意用户可以构造大量携带有Voice VLAN Tag（标签）的语音数据包，从而导致严重的安全隐患，影响网络的安全性。进一步的，接入设备在转发大量携带有Voice VLAN Tag的语音数据包时，会占用Voice VLAN的带宽，影响正常的语音通信。

发明内容

本发明实施例提供一种IP电话的安全接入方法和设备，以提供IP电话的安全认证，提高网络的安全性，并保证正常的语音通信。

为了达到上述目的，本发明实施例提供一种IP电话的安全接入方法，应用于包括IP电话、接入设备和认证服务器的网络中，该方法包括以下步骤：

所述接入设备在收到用于自动识别IP电话的第一报文后，如果确定发送所述第一报文的是IP电话，则利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证；

如果所述IP电话通过认证，则所述接入设备在收到所述第一报文的端口配置语音虚拟局域网Voice VLAN以及服务质量QoS参数，并通过用于通知Voice VLAN的第二报文将所述Voice VLAN发送给所述IP电话；

所述接入设备在通过所述端口收到来自所述IP电话的语音数据包时，如果确定所述语音数据包对应于所述端口上配置的Voice VLAN，则按照所述端口上配置的QoS参数发送所述语音数据包。

所述接入设备利用所述第一报文中携带的源介质访问控制MAC地址判断所述IP电话是否通过所述认证服务器的认证，具体包括：

所述接入设备在所述IP电话通过所述认证服务器的认证时，如果确定本接入设备的端口上配置了Voice VLAN功能，则记录通过认证的IP电话的MAC地址与该MAC地址通过认证的对应关系；

所述接入设备利用所述第一报文中携带的源MAC地址查询所述对应关系，如果所述对应关系中记录有所述第一报文中携带的源MAC地址，则确定所述IP电话通过所述认证服务器的认证。

所述接入设备在收到所述第一报文的端口配置语音虚拟局域网Voice VLAN，具体包括：当所述端口对应有专属Voice VLAN时，所述接入设备在所述端口上配置所述专属Voice VLAN；或者，当所述端口未对应有专属Voice VLAN时，所述接入设备在所述端口上配置全局Voice VLAN。

所述接入设备在收到所述第一报文的端口配置Voice VLAN之后，所述方法还包括：所述接入设备在转发芯片的MAC表项中下发所述IP电话的MAC地址与所述Voice VLAN，以使所述转发芯片在收到对应于所述IP电话的MAC地址与所述Voice VLAN的语音数据包后，能够放行所述语音数据包。

所述接入设备确定所述语音数据包对应于所述端口上配置的Voice VLAN，具体包括：当所述IP电话采用带VLAN标签tag的处理模式发送语音数据包时，所述接入设备利用所述语音数据包中携带的Voice VLAN tag确定所述语音数据包对应于所述端口上配置的Voice VLAN；或者，