專利名稱:一種傳輸層建立連接的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,特別涉及一種傳輸層連接建立方法和裝置。
背景技術(shù):
在當(dāng)前的下一代網(wǎng)絡(luò)(NextGeneration Network����,NGN)、互聯(lián)網(wǎng)協(xié)議 Qnternet Protocol, IP)多媒體子系統(tǒng)(IP Multimedia Subsystem, IMS)�、基于IP網(wǎng)絡(luò)承載的專用交換機(IP Private Branch Exchange, IPPBX)、統(tǒng)一通信等各類通信系統(tǒng)中���,各系統(tǒng)間的通信都已經(jīng)互聯(lián)網(wǎng)協(xié)議(Internet Protocol, IP)化��。由于呼叫信令�、媒體承載在IP通道上,很容易通過抓包獲取信令媒體信息�����,因而導(dǎo)致泄密����。這在安全性要求高的行業(yè)��,如金融�����、政府�、軍隊等是不允許的。因此����,IP通信系統(tǒng)就采用了傳輸層安全(Transport Layer Security, TLS)協(xié)議進行信令加密。TLS協(xié)議是一種在兩臺設(shè)備之間提供安全通道的協(xié)議��, 它具有保護傳輸數(shù)據(jù)以及識別通信設(shè)備的功能���。TLS協(xié)議是安全套接層(Secure socket layer���,SSL)協(xié)議的升級版本���,主要區(qū)別是所支持的加密算法不同。一般在不明確區(qū)分的情況下��,業(yè)界普遍將SSL和TLS協(xié)議統(tǒng)稱為 SSL協(xié)議���。SSL協(xié)議建立在傳輸控制協(xié)議(Transmission Control Protocol, TCP)之上并且與上層協(xié)議無關(guān)�����,因此各種應(yīng)用層協(xié)議能通過SSL協(xié)議進行透明傳輸�。TLS協(xié)議是1999 年推出的對SSL的改進版本��?����;ヂ?lián)網(wǎng)草案33 (Request For Comments 3329�����,RFC3329)制定了終端注冊協(xié)商 TLS流程如下用戶設(shè)備(UserEquipment, UE)先通過傳輸控制協(xié)議 transmission Control Protocol, TCP)與服務(wù)器建立連接,然后發(fā)注冊(register)消息給服務(wù)器�����。Register消息中攜帶了信令加密方式��,如=TLS協(xié)議����,服務(wù)器通過register消息認證UE是否允許TLS 協(xié)議加密,如果不允許��,則拒絕��;如果允許���,則通過401響應(yīng)告知終端采用TLS協(xié)議的加密方式。終端向服務(wù)器發(fā)起TLS協(xié)商��,TLS建立后���,再次發(fā)起register消息給服務(wù)器��,包括該 register消息��,隨后的消息都進行了 TLS加密���。由于該方案需要UE支持注冊協(xié)商流程�����。而現(xiàn)有大部分IP UE都不具備注冊協(xié)商能力����,因而該方案應(yīng)用難度較大�,基于此提出了如下方案UE先向會話初始協(xié)議服務(wù)器(SIP Server)發(fā)起TCP連接請求,隨后發(fā)起TLS連接請求�����,SIP krver接受終端的TLS連接請求���。UE發(fā)送攜帶UE信息的注冊消息給HP Server, SIP Server根據(jù)注冊消息判斷用戶是否為授權(quán)UE��,若否���,則主動拆除TLS連接。上述方案簡化了 UE與服務(wù)器間注冊協(xié)商TLS的處理,終端在建立TCP連接后��,不協(xié)商����,直接向SIP krver發(fā)起TLS連接請求,然后發(fā)送注冊消息進行用戶注冊�����。SIP Server 需要通過用戶注冊消息來判斷該用戶是否有權(quán)限���,如果沒有權(quán)限則斷開TLS連接�。從TLS 的原理來看�����,TLS的建立涉及到密鑰生成�����、證書認證��,數(shù)據(jù)加解密等過程��,這會消耗大量系統(tǒng)資源���;上述方案在執(zhí)行TLS拆除前�,已經(jīng)消耗了大量的系統(tǒng)資源�����。若大量終端不斷發(fā)起TLS 連接�����,SIP Server將不斷地執(zhí)行先建立TLS連接���,后判斷用戶權(quán)限��,沒有授權(quán)再拆除TLS連接的流程����;由此��,SIP Server系統(tǒng)資源將被大量消耗�,無法正常處理業(yè)務(wù),即相當(dāng)于受到了拒絕服務(wù)攻擊(Deny of Service)��。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種傳輸層連接建立方法和裝置,在兼容不具備注冊協(xié)商能力的終端的前提下減少系統(tǒng)資源消耗�,同時可以防止服務(wù)器受到攻擊。本發(fā)明一方面提供了一種傳輸層建立連接的方法�,包括 通過預(yù)置的與傳輸層安全TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口監(jiān)聽來自終端的 TCP連接請求;確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中���,若是�,則建立與所述終端的TCP連接�,并與所述終端建立TLS連接;若否����,則拒絕與所述終端建立TCP連接。
可選地���,所述確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中之前還包括確定所述IP地址信息表是否完整����,若完整��,則執(zhí)行確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中�;若不完整�,則執(zhí)行建立與所述終端的TCP連接,并接收所述終端發(fā)起的TLS連接請求以及注冊信息,根據(jù)注冊信息判斷所述終端是否為授權(quán)終端����;若是,則與所述終端建立 TLS連接�,并將所述終端的IP信息存儲到所述IP地址信息表中;若否���,則拆除所述終端的 TCP連接�,并拒絕與所述終端建立TLS連接��?���?蛇x地,所述確定發(fā)起TCP連接請求的終端的IP地址不在TLS功能授權(quán)用戶的終端的IP地址信息表中之后���,以及拒絕與所述終端建立TCP連接之前還包括確定所述IP地址信息表是否完整����,若完整��,則執(zhí)行拒絕與所述終端建立TCP連接����;若不完整�����,則執(zhí)行建立與所述終端的TCP連接�,并接收所述終端發(fā)起的TLS連接請求以及注冊信息�,根據(jù)注冊信息判斷所述終端是否為授權(quán)終端;若是�,則與所述終端建立 TLS連接,并將所述終端的IP信息存儲到所述IP地址信息表中�;若否,則拆除所述終端的 TCP連接�����,并拒絕與所述終端建立TLS連接���?���?蛇x地��,確定所述IP地址信息表是否完整包括確定所述IP地址信息表中的IP 地址項是否等于預(yù)置的授權(quán)用戶數(shù)���。進一步地�����,在確定所述IP地址信息表是否完整之前還包括接收用戶設(shè)置的授權(quán)用戶數(shù)��;或者����,獲取許可證中的授權(quán)用戶數(shù)�。可選地��,所述預(yù)置的與TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口包括預(yù)置的專用于TLS的TCP監(jiān)聽端口�。本發(fā)明另一方面還提供了一種傳輸層建立連接的裝置,包括監(jiān)聽單元��,用于通過預(yù)置的與傳輸層安全TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口監(jiān)聽來自終端的TCP連接請求����;第一授權(quán)確定單元,用于確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中�;
連接控制單元,用于若第一授權(quán)確定單元確定結(jié)果為是����,則建立與所述終端的TCP 連接�����,并與所述終端建立TLS連接��;若第一授權(quán)確定單元確定結(jié)果為否�,則拒絕與所述終端建立TCP連接�����。進一步地�,所述裝置還包括第一完整性確定單元,用于確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中之前��,確定所述IP地址信息表是否完整����;所述連接控制單元,具體用于若IP地址信息表完整�,則執(zhí)行確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中;還用于若IP地址信息表不完整�,則執(zhí)行建立與所述終端的TCP連接,接收來自終端的注冊信息�����,根據(jù)終端發(fā)送的注冊信息根據(jù)注冊信息判斷所述終端是否為授權(quán)終端;若是授權(quán)終端�����,則與所述終端建立TLS連接�����,并將所述終端的IP信息存儲到所述IP地址信息表中�;若不是授權(quán)終端��, 則拆除所述終端的TCP連接���,并拒絕與所述終端建立TLS連接��。進一步地����,所述裝置還包括第二完整性確定單元����,用于在確定發(fā)起TCP連接請求的終端的IP地址不在TLS功能授權(quán)用戶的終端的IP地址信息表中之后����,在拒絕與所述終端建立TCP連接之前����,確定所述IP地址信息表是否完整;所述連接控制單元���,具體用于若IP地址信息表完整���,則執(zhí)行則執(zhí)行拒絕與所述終端建立TCP連接;還用于若IP地址信息表不完整����,則執(zhí)行建立與所述終端的TCP連接, 接收來自終端的注冊信息�,根據(jù)終端發(fā)送的注冊信息根據(jù)注冊信息判斷所述終端是否為授權(quán)終端;若是授權(quán)終端����,則與所述終端建立TLS連接,并將所述終端的IP信息存儲到所述 IP地址信息表中���;若不是授權(quán)終端��,則拆除所述終端的TCP連接����,并拒絕與所述終端建立 TLS連接?��?蛇x地�����,所述第一完整性確定單元或第二完整性確定單元包括完整性確定子單元,用于確定所述IP地址信息表中的IP地址項是否等于預(yù)置的授權(quán)用戶數(shù)���。進一步地���,所述裝置還包括授權(quán)數(shù)確定單元,用于接收用戶設(shè)置的授權(quán)用戶數(shù)�����;或者��,獲取許可證中的授權(quán)用戶數(shù)??蛇x地,所述監(jiān)聽單元����,具體用于在預(yù)置的專用于TLS的TCP監(jiān)聽端口上進行TCP 連接監(jiān)聽;監(jiān)聽來自終端的TCP連接請求��。從以上技術(shù)方案可以看出���,本發(fā)明實施例具有以下優(yōu)點不需要終端進行注冊協(xié)商就能夠兼容不具備注冊協(xié)商能力的終端�;在建立TCP連接前進行終端鑒權(quán)處理防止不必要的TLS連接的建立減少系統(tǒng)資源消耗����,同時可以防止服務(wù)器受到攻擊。
圖1為本發(fā)明實施例方法流程示意圖�;圖2為本發(fā)明實施例方法流程示意圖;圖3為本發(fā)明實施例方法流程示意圖�����;圖4為本發(fā)明實施例方法流程示意6
圖5為本發(fā)明實施例方法流程示意圖�����;圖6為本發(fā)明實施例裝置結(jié)構(gòu)示意圖;圖7為本發(fā)明實施例裝置結(jié)構(gòu)示意圖��;圖8為本發(fā)明實施例裝置結(jié)構(gòu)示意圖�����;圖9為本發(fā)明實施例裝置結(jié)構(gòu)示意圖�;圖10為本發(fā)明實施例裝置結(jié)構(gòu)示意圖。
具體實施例方式本發(fā)明實施例提供了一種傳輸層建立連接的方法�,如圖1所示,包括101 通過預(yù)置的與傳輸層安全TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口監(jiān)聽來自終端的TCP連接請求����。具體的,在執(zhí)行本步驟之前�,需要啟動傳輸層連接TLS的功能����,在預(yù)置的與TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口上進行TCP連接監(jiān)聽。其中���,預(yù)置的與TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口包括預(yù)置的專用于TLS的TCP監(jiān)聽端口�。更具體地���,這個端口可以采用5061號端口 �;當(dāng)然采用其它端口也是可以的,具體的端口號本發(fā)明實施例不予限定�����。102 確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的 IP地址信息表中�;若是,則建立與上述終端的TCP連接�����,并與上述終端建立TLS連接�;若否, 則拒絕與上述終端建立TCP連接�����。需要說明的是�,可能預(yù)置的IP地址信息表并不完整,即IP地址信息表中的IP地址少于TLS功能授權(quán)用戶數(shù)�,那么通過這個不完整的IP地址信息表直接判斷終端是否屬于授權(quán)用戶,會造成授權(quán)用戶被誤判的情況���,因此本發(fā)明實施例提供解決方案如下方案一在監(jiān)聽到來自終端的TCP連接請求之后�����,確定發(fā)起TCP連接請求的終端的 IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中之前圖1對應(yīng)的方案還包括確定上述IP地址信息表是否完整�����,若完整�����,則執(zhí)行確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中����;若上述IP地址信息表不完整,則執(zhí)行建立與上述終端的TCP連接�����,并接收上述終端發(fā)起的TLS連接請求以及注冊信息�,根據(jù)注冊信息判斷上述終端是否為授權(quán)終端��;若是�, 則與上述終端建立TLS連接,并將上述終端的IP信息存儲到上述IP地址信息表中���;若否����, 則拆除上述終端的TCP連接,并拒絕與上述終端建立TLS連接�。具體的,拒絕與終端建立 TLS連接可以是向終端發(fā)送拒絕TLS連接的響應(yīng)����,也可以是通過折除終端的TCP連接以拒絕與終端建立TLS連接。方案二 在確定發(fā)起TCP連接請求的終端的IP地址不在TLS功能授權(quán)用戶的終端的IP地址信息表中之后����,在拒絕與上述終端建立TCP連接之前還包括 確定上述IP地址信息表是否完整,若上述IP地址信息表完整���,則執(zhí)行拒絕與上述終端建立TCP連接�;若上述IP地址信息表不完整�,則執(zhí)行建立與上述終端的TCP連接,并接收上述終端發(fā)起的TLS連接請求以及注冊信息��,根據(jù)注冊信息判斷上述終端是否為授權(quán)終端��;若是���, 則與上述終端建立TLS連接�����,并將上述終端的IP信息存儲到上述IP地址信息表中;若否, 則拆除上述終端的TCP連接����,并拒絕與上述終端建立TLS連接。
在以上實施例中�,確定上述IP地址信息表是否完整包括確定上述IP地址信息表中的IP地址項是否等于預(yù)置的授權(quán)用戶數(shù)��。授權(quán)用戶數(shù)可以由手工輸入���;也可以通過許可證的形式定義���,對此本發(fā)明實施例不予限定。當(dāng)然可以理解的是�,IP地址項應(yīng)該是不會大于授權(quán)用戶數(shù)的,如果IP地址項等于授權(quán)用戶數(shù)那么IP地址信息表是完整的���,如果IP地址項小于授權(quán)用戶數(shù)那么IP地址信息表是不完整的。另外 IP地址信息表可以存儲在執(zhí)行確定終端是否為授權(quán)用戶的終端的服務(wù)器中�,也可以由其他設(shè)備發(fā)送給上述服務(wù)器�。圖1所示的本發(fā)明實施例方案�����,不需要終端進行注冊協(xié)商能夠兼容不具備注冊協(xié)商能力的終端��;在建立TCP連接前進行終端鑒權(quán)處理防止不必要的TLS連接的建立減少系統(tǒng)資源消耗��,同時可以防止服務(wù)器受到攻擊�。后續(xù)實施例中提出了 IP地址信息表完整和不完整時候的處理方案,對圖1所示的方案進行了補充�,可以不用手工輸入TLS功能授權(quán)用戶的終端的IP地址,由服務(wù)器學(xué)習(xí)得到IP地址��,減少手工輸入提高效率����。以下實施例分別就預(yù)置的IP信息表完整和不完整的場景進行說明,其中網(wǎng)絡(luò)一側(cè)的服務(wù)器以SIP Sever為例進行說明�。一、預(yù)置的IP地址信息表完整的場景下在本應(yīng)用場景下��,系統(tǒng)預(yù)先開啟TLS對應(yīng)的監(jiān)聽端口�,該端口承載在TLS上,比如 5061�。服務(wù)器若通過該端口收到終端發(fā)送的TCP連接請求�����,可認為是終端隨后將要發(fā)起TLS 連接請求��。此時服務(wù)器可以根據(jù)在服務(wù)器中預(yù)先保存的IP地址信息表來鑒權(quán)����,上述IP地址信息表中存儲了 TLS功能授權(quán)用戶的終端的IP地址����,通過這些TLS功能授權(quán)用戶的終端的IP地址可以判斷出發(fā)起TCP連接請求的終端是否為TLS功能的授權(quán)用戶的終端,從而確定是否建立與該終端間的TCP連接���。如果在IP地址信息表中包含發(fā)起TCP連接請求的終端的IP地址�,就確定可以建立與該終端的TCP連接以及隨后的TLS連接��;否則�,就確定未授權(quán),拒絕建立與該終端的TCP連接���。系統(tǒng)中的IP地址信息表��,即包含TLS功能授權(quán)用戶的終端的IP地址的信息表��,可以通過業(yè)務(wù)發(fā)放平臺在服務(wù)器配置得到���,這個配置的過程可以是人工輸入授權(quán)用戶終端的IP地址然后發(fā)送給SIP Sever ;另外��,IP地址信息表也可以是通過后續(xù)的學(xué)習(xí)方案得到�。在本應(yīng)用的場景下,為了能通過IP來判斷終端的權(quán)限����,終端的IP地址需要固定。 終端的IP地址固定分配時本方案可行性高���,若終端的IP地址是通過動態(tài)主機配置協(xié)議 (Dynamic Host Configuration Protocol,DHCP)由 SIP kver 自動獲取的����,則終端的 IP地址有可能會變化����。因此,在終端的IP通過DHCP獲取場景中��,需要進行配置,使終端的MAC 與IP地址綁定�,防止老化后,IP地址的變化�。這樣就能夠固定終端的IP地址。上述老化是指=DHCP分配給設(shè)備的IP地址會有一段有效時間��,過有效時間后該IP地址有可能會分配給其他終端使用���。終端與SIP Sever的信息交互流程如圖2所示�����,包括在交互流程執(zhí)行前����,SIP Sever中保存了 IP地址信息表�����,IP地址信息表中存儲了授權(quán)用戶的終端的IP地址����。其中保存的IP地址信息表通過配置得到的,另外在還可以同時配置與TLS對應(yīng)的TCP監(jiān)聽端口(port)���,該TCP監(jiān)聽端口的端口號也可以不用配置�����,直接使用預(yù)置的專用于TLS的TCP監(jiān)聽端口�����。201 =SIP Sever啟動TLS功能�,并在配置的TCP監(jiān)聽端口上進行TCP連接監(jiān)聽�。
202 終端發(fā)起了 TCP連接請求。203 =SIP Sever通過TCP監(jiān)聽端口收到上述TCP連接請求后���,根據(jù)發(fā)起TCP連接請求的終端的IP地址�,查詢IP地址信息表��。204 如果IP地址信息表中不包含發(fā)起TCP連接請求的終端的IP地址���,則確定發(fā)起TCP連接請求的終端屬于未授權(quán)用戶的終端�,則拒絕與終端建立TCP連接���。至此本流程結(jié)束��。205 如果IP地址信息表中包含發(fā)起TCP連接請求的終端的IP地址��,則確定發(fā)起 TCP連接請求的終端是授權(quán)用戶的終端���,SIP Server建立與終端間的TCP連接���,向終端發(fā)送響應(yīng)TCP連接的消息,進入206�。206 =SIP Sever接收到來自終端的TLS連接請求;207 建立與該終端間的TLS連接�����,并向終端發(fā)送TLS連接響應(yīng)的消息���。208 終端后續(xù)的信令承載在TLS上����?��;谝陨狭鞒?�,在SIP Sever 一側(cè)的處理邏輯如圖3所示�,包括301 流程開始,啟動TCP監(jiān)聽端口����,該TCP監(jiān)聽端口由TLS承載,接收終端發(fā)起的 TCP連接請求�����;302 若接收到TCP連接請求����,進入303 ����;303 查詢IP地址信息表;304 判斷IP地址信息表中是否含發(fā)起TCP連接請求的終端的IP地址�;若是,進入 305�,若否,進入306 �;305 建立與上述終端間的TCP連接以及TLS連接。306 拒絕建立與終端間的TCP連接�。本發(fā)明實施例方案,不需要終端進行注冊協(xié)商���,因此能夠兼容不具備注冊協(xié)商能力的終端發(fā)起TCP連接請求并建立TLS連接�;在建立TCP連接前進行終端鑒權(quán)處理防止不必要的TLS連接的建立減少系統(tǒng)資源消耗,同時可以防止服務(wù)器受到攻擊�����。二�、預(yù)置的IP地址信息表的IP信息不完整的場景下。在本應(yīng)用場景下�,系統(tǒng)中的TLS功能授權(quán)用戶的終端的IP地址信息表,通過SIP Sever學(xué)習(xí)得到�。本應(yīng)用場景下,SIP Sever在進行初始化時配置了授權(quán)TLS功能的用戶數(shù)為N個��,但IP地址信息表為空��。SIP Sever無法根據(jù)該表信息準(zhǔn)確判斷是否建立與終端間的TCP連接以及TLS連接�,因此,SIP Sever在初始化時�����,SIP Sever監(jiān)聽TCP連接請求�,在接收到來自終端的TCP連接請求后,可以先接建立與該終端間的TCP連接�����,然后接收該終端隨后發(fā)送的TLS連接請求和注冊消息,SIP Sever根據(jù)注冊消息中的用戶信息進行權(quán)限判斷��,如果終端為授權(quán)終端則建立與該終端間的TLS連接����,并將該終端的IP地址記入到IP地址信息表中;否則拆除TCP連接并拒絕建立TLS連接�。當(dāng)IP地址信息表中記錄的終端IP 地址的數(shù)量達到授權(quán)TLS功能用戶數(shù)N時,使用預(yù)置IP地址信息表完整的場景下的方案進行處理����。在SIP Sever 一側(cè)的處理邏輯如圖4所示401 流程開始,啟動TCP監(jiān)聽端口���,該TCP監(jiān)聽端口由TLS承載,接收終端 發(fā)起的 TCP連接請求���;402 若接收到TCP連接請求�,進入403 �����;403 判斷IP地址信息表是否完整,即IP地址信息表中的IP地址數(shù)量是否等于TLS功能授權(quán)用戶的數(shù)量�����;若是則進入404���,若否��,則進入408 ����;本步驟也可以放在405和407之間��。404 查詢IP地址信息表�����;405 判斷TLS功能授權(quán)用戶的終端的IP地址信息表中是否包含發(fā)起TCP連接請求的終端的IP地址���;若是�,進入406�����,若否,進入407 �;406 建立與上述終端間的TCP連接以及TLS連接;然后結(jié)束本流程����。407 拒絕建立與上述終端間的TCP連接;然后結(jié)束本流程�。408 建立與上述終端間的TCP連接,接收上述終端隨后發(fā)起的TLS連接請求以及注冊信息����,進入409;409 =SIP Sever根據(jù)上述注冊信息判斷終端是否為授權(quán)用戶的終端,若是���,進入 410�,若否���,進入411 ;410 將上述終端的IP地址記錄到IP地址信息表中���。由于SIP Sever確定了該終端為授權(quán)用戶的終端�����,則可以建立與該終端間的TLS連接��?�?梢岳斫獾氖峭ㄟ^本流程�����,如果授權(quán)用戶的終端都執(zhí)行一次本流程以后���,IP地址信息表就完整了����。411 拆除與該終端的TCP連接�,并拒絕與上述終端建立TLS連接。若上述403放在405和407之間����,403判斷結(jié)果為是執(zhí)行407,判斷結(jié)果為否執(zhí)行 408 411�。終端與SIP Sever的信息交互流程如圖5所示,包括501 終端向SIP Sever發(fā)送TCP連接請求����;502 =SIP Sever向終端發(fā)送TCP連接響應(yīng)的消息��,并建立與終端間的TCP連接�;503 終端向SIP Sever發(fā)送TLS連接請求以及注冊消息����;該注冊消息可以采用注冊信令信息來發(fā)送,并且該注冊信令信息攜帶了用戶信息���;504 =SIP Sever根據(jù)注冊消息中攜帶的用戶信息判斷終端是否是授權(quán)用戶的終端���。505 如果504中判斷結(jié)果為是,則將該終端的IP地址記錄到IP地址信息表中�,由于SIP Sever確定了該終端為授權(quán)用戶的終端,則可以建立與該終端間的TLS連接����,否則拆除TCP連接,并拒絕與該終端建立TLS連接�。需要說明的是,上述501 505是一個學(xué)習(xí)過程��,等授權(quán)用戶都執(zhí)行一次注冊后����,在SIP Sever中將記錄全所有授權(quán)用戶的終端的IP地址,后續(xù)可以根據(jù)學(xué)到的IP地址執(zhí)行IP地址信息表完整場景下的方案�。本發(fā)明實施例還提供了一種傳輸層建立連接的裝置,如圖6所示�,包括監(jiān)聽單元601,用于通過預(yù)置的與傳輸層安全TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口監(jiān)聽來自終端的TCP連接請求�;第一授權(quán)確定單元602,用于確定發(fā)起TCP連接請求的終端的IP地址是否在TLS 功能授權(quán)用戶的終端的IP地址信息表中����;連接控制單元603,用于若第一授權(quán)確定單元602確定結(jié)果為是�,則建立與上述終端的TCP連接,并與上述終端建立TLS連接��;若第一授權(quán)確定單元602確定結(jié)果為否�����,則拒絕與上述終端建立TCP連接�。進一步地,如圖7所示���,上述裝置還包括第一完整性確定單元701���,用于監(jiān)聽到來自終端的TCP連接請求之后����,確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中之前���,確定上述IP地址信息表是否完整����;上述連接控制單元603���,具體用于若IP地址信息表完整�����,則執(zhí)行確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中�;還用于若IP 地址信息表不完整����,則執(zhí)行建立與上述終端的TCP連接,接收來自終端的注冊信息���,根據(jù)終端發(fā)送的注冊信息根據(jù)注冊信息判斷所述終端是否為授權(quán)終端����;若是授權(quán)終端,則與上述終端建立TLS連接��,并將上述終端的IP信息存儲到上述IP地址信息表中���;若不是授權(quán)終端,則拆除上述終端的TCP連接�,并拒絕與上述終端建立TLS連接。進一步地��,如圖8所示��,上述裝置還包括第二完整性確定單元801���,用于在確定發(fā)起TCP連接請求的終端的IP地址不在 TLS功能授權(quán)用戶的終端的IP地址信息表中之后��,在拒絕與上述終端建立TCP連接之前�,確定上述IP地址信息表是否完整��;上述連接控制單元603�����,具體用于若IP地址信息表完整,則執(zhí)行則執(zhí)行拒絕與上述終端建立TCP連接�����;還用于若IP地址信息表不完整��,則執(zhí)行建立與上述終端的TCP連接�,接收來自終端的注冊信息,根據(jù)終端發(fā)送的注冊信息根據(jù)注冊信息判斷所述終端是否為授權(quán)終端���;若是授權(quán)終端����,則與上述終端建立TLS連接��,并將上述終端的IP信息存儲到上述IP地址信息表中��;若不是授權(quán)終端����,則拆除上述終端的TCP連接,并拒絕與上述終端建立 TLS連接���?�?蛇x地�����,如圖9所示����,上述第一完整性確定單元701或第二完整性確定單元801包括完整性確定子單元901�,用于確定上述IP地址信息表中的IP地址項是否等于預(yù)置的授權(quán)用戶數(shù)。進一步地�����,如圖10所示�,上述裝置還包括授權(quán)數(shù)確定單元1001,用于接收用戶設(shè)置的授權(quán)用戶數(shù)���;或者��,獲取許可證中的授權(quán)用戶數(shù)�??蛇x地,上述監(jiān)聽單元601���,具體用于啟動傳輸層連接TLS的功能后�����,在預(yù)置的專用于TLS的TCP監(jiān)聽端口上進行TCP連接監(jiān)聽���;監(jiān)聽來自終端的TCP連接請求��。本發(fā)明實施例方案��,不需要終端進行注冊協(xié)商能夠兼容不具備注冊協(xié)商能力的終端�����;在建立TCP連接前進行終端鑒權(quán)處理防止不必要的TLS連接的建立減少系統(tǒng)資源消耗��, 同時可以防止服務(wù)器受到攻擊�����。以上實施例中��,傳輸層建立連接的裝置或SIP服務(wù)器或服務(wù)器可以為計算機等硬件設(shè)備�����,而執(zhí)行上述功能的方法可以為計算機的處理器�����,上述的功能模塊也可以為運行為計算機的處理器中的模塊����。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成,上述的程序可以存儲于一種計算機可讀存儲介質(zhì)中����,上述提到的存儲介質(zhì)可以是只讀存儲器����,磁盤或光盤等。以上對本發(fā)明所提供的一種傳輸層連接建立方法和裝置進行了詳細介紹�,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明實施例的思想���,在具體實施方式
及應(yīng)用范圍上均會有改變之處��,綜上��,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制�。
權(quán)利要求
1.一種傳輸層建立連接的方法,其特征在于�����,包括通過預(yù)置的與傳輸層安全TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口監(jiān)聽來自終端的TCP 連接請求����;確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中,若是���,則建立與所述終端的TCP連接����,并與所述終端建立TLS連接����;若否,則拒絕與所述終端建立TCP連接���。
2.根據(jù)權(quán)利1所述方法���,其特征在于,所述確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中之前還包括確定所述IP地址信息表是否完整,若完整��,則執(zhí)行確定發(fā)起TCP連接請求的終端的 IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中���;若不完整���,則執(zhí)行建立與所述終端的TCP連接,并接收所述終端發(fā)起的TLS連接請求以及注冊信息����,根據(jù)注冊信息判斷所述終端是否為授權(quán)終端;若是��,則與所述終端建立TLS 連接���,并將所述終端的IP信息存儲到所述IP地址信息表中�����;若否,則拆除所述終端的TCP 連接���,并拒絕與所述終端建立TLS連接����。
3.根據(jù)權(quán)利要求1所述方法,其特征在于��,所述確定發(fā)起TCP連接請求的終端的IP地址不在TLS功能授權(quán)用戶的終端的IP地址信息表中之后�,以及拒絕與所述終端建立TCP連接之前還包括確定所述IP地址信息表是否完整,若完整��,則執(zhí)行拒絕與所述終端建立TCP連接�����;若不完整�����,則執(zhí)行建立與所述終端的TCP連接����,并接收所述終端發(fā)起的TLS連接請求以及注冊信息,根據(jù)注冊信息判斷所述終端是否為授權(quán)終端�����;若是�����,則與所述終端建立TLS 連接,并將所述終端的IP信息存儲到所述IP地址信息表中�����;若否�����,則拆除所述終端的TCP 連接���,并拒絕與所述終端建立TLS連接���。
4.根據(jù)權(quán)利要求2或3所述方法,其特征在于���,確定所述IP地址信息表是否完整包括確定所述IP地址信息表中的IP地址項是否等于預(yù)置的授權(quán)用戶數(shù)�����。
5.根據(jù)權(quán)利要求4所述方法,其特征在于�,在確定所述IP地址信息表是否完整之前還包括接收用戶設(shè)置的授權(quán)用戶數(shù)����;或者���,獲取許可證中的授權(quán)用戶數(shù)���。
6.根據(jù)權(quán)利要求1至3任意一項所述方法,其特征在于����,所述預(yù)置的與TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口包括預(yù)置的專用于TLS的TCP監(jiān)聽端口。
7.一種傳輸層建立連接的裝置���,其特征在于����,包括監(jiān)聽單元�,用于通過預(yù)置的與傳輸層安全TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口監(jiān)聽來自終端的TCP連接請求;第一授權(quán)確定單元�,用于確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中;連接控制單元�,用于若第一授權(quán)確定單元確定結(jié)果為是,則建立與所述終端的TCP連接���,并與所述終端建立TLS連接���;若第一授權(quán)確定單元確定結(jié)果為否���,則拒絕與所述終端建立TCP連接。
8.根據(jù)權(quán)利要求7所述裝置��,其特征在于���,還包括第一完整性確定單元����,用于確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中之前�,確定所述IP地址信息表是否完整;所述連接控制單元�����,具體用于若IP地址信息表完整����,則執(zhí)行確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中;還用于若IP地址信息表不完整�,則執(zhí)行建立與所述終端的TCP連接����,接收來自終端的注冊信息�����,根據(jù)終端發(fā)送的注冊信息根據(jù)注冊信息判斷所述終端是否為授權(quán)終端����;若是授權(quán)終端��,則與所述終端建立TLS連接���,并將所述終端的IP信息存儲到所述IP地址信息表中�;若不是授權(quán)終端��,則拆除所述終端的TCP連接�����,并拒絕與所述終端建立TLS連接���。
9.根據(jù)權(quán)利要求7所述裝置�,其特征在于,還包括第二完整性確定單元����,用于在確定發(fā)起TCP連接請求的終端的IP地址不在TLS功能授權(quán)用戶的終端的IP地址信息表中之后,在拒絕與所述終端建立TCP連接之前�����,確定所述IP 地址信息表是否完整����;所述連接控制單元,具體用于若IP地址信息表完整�����,則執(zhí)行則執(zhí)行拒絕與所述終端建立TCP連接�;還用于若IP地址信息表不完整,則執(zhí)行建立與所述終端的TCP連接���,接收來自終端的注冊信息�,根據(jù)終端發(fā)送的注冊信息根據(jù)注冊信息判斷所述終端是否為授權(quán)終端�;若是授權(quán)終端,則與所述終端建立TLS連接,并將所述終端的IP信息存儲到所述IP地址信息表中�����;若不是授權(quán)終端�����,則拆除所述終端的TCP連接��,并拒絕與所述終端建立TLS連接���。
10.根據(jù)權(quán)利要求8或9所述裝置,其特征在于�����,所述第一完整性確定單元或第二完整性確定單元包括完整性確定子單元���,用于確定所述IP地址信息表中的IP地址項是否等于預(yù)置的授權(quán)用戶數(shù)�����。
11.根據(jù)權(quán)利要求10所述裝置����,其特征在于,還包括授權(quán)數(shù)確定單元���,用于接收用戶設(shè)置的授權(quán)用戶數(shù)���;或者,獲取許可證中的授權(quán)用戶數(shù)����。
12.根據(jù)權(quán)利要求7至9任意一項所述裝置,其特征在于�����,所述監(jiān)聽單元����,具體用于在預(yù)置的專用于TLS的TCP監(jiān)聽端口上進行TCP連接監(jiān)聽;監(jiān)聽來自終端的TCP連接請求�。
全文摘要
本發(fā)明實施例公開了一種傳輸層連接建立方法和裝置,其中方法的實現(xiàn)包括通過預(yù)置的與傳輸層安全TLS對應(yīng)的傳輸控制協(xié)議TCP監(jiān)聽端口監(jiān)聽來自終端的TCP連接請求����;確定發(fā)起TCP連接請求的終端的IP地址是否在TLS功能授權(quán)用戶的終端的IP地址信息表中,若是,則建立與所述終端的TCP連接��,并與所述終端建立TLS連接��;若否�����,則拒絕與所述終端建立TCP連接���。不需要終端進行注冊協(xié)商就能夠兼容不具備注冊協(xié)商能力的終端;在建立TCP連接前進行終端鑒權(quán)處理防止不必要的TLS連接的建立減少系統(tǒng)資源消耗��,同時可以防止服務(wù)器受到攻擊���。
文檔編號H04L29/06GK102263826SQ20111022997
公開日2011年11月30日 申請日期2011年8月11日 優(yōu)先權(quán)日2011年8月11日
發(fā)明者劉冀, 施洋 申請人:華為技術(shù)有限公司