认证IP电话机和协商语音域的方法、系统以及设备技术方案

本发明专利技术实施例提供认证IP电话机和协商语音域的方法、系统以及设备，以实现动态安全认证协商。所述方法包括：接收基于互联网的电话机IP?Phone发送的认证请求报文；将所述IP?Phone的用户名和密码封装在远端认证拨号用户服务RADIUS请求报文中后将所述封装了所述IP?Phone的用户名和密码的RADIUS报文发送至RADIUS服务器；若所述RADIUS服务器对所述IP?Phone进行认证的结果为认证成功，则将语音域虚拟局域网Voice?VLAN值通过扩展认证协议EAP扩展报文发送至所述IP?Phone。本发明专利技术可以实现客户端和服务器之间的动态安全认证协商功能以及企业内部网络的快速部署。

【技术实现步骤摘要】

本专利技术涉及通信领域，尤其涉及认证IP电话机和协商语音域的方法、系统以及设备。
技术介绍
802.1x协议是电气及电子工程师学会(Institute of Electrical and Electronics Engineers，IEEE)提出的应用于二层端口流程控制的标准，其以对终端用户的有效性的检查通过与否来实现对网络连通性的打开和关闭，进而从端口级别控制整个接入网的安全。目前支持802.1x协议的终端有个人电脑(Personal Computer，PC)、打印机、个人数字助理(Personal Digital Assistant，PDA)和基于互联网络的电话机(IP Phone)等等，但是IEEE标准并没有针对IP Phone这类语音设备进行802.1x认证标准的描述，在实际应用中，支持802.1x认证的IP Phone与802.1x认证的场景存在冲突和不一致的地方。为了兼容一个端口同时存在语音(Voice)域的IP Phone和数据(Data)域的PC，通常需要定义一种端口模式。在这种端口模式下，交换机把端口虚拟成一个数据域和一个语音域，这两个域下的设备(即PC和IP Phone)需要独立的认证。当IP Phone认证成功后，被授予语音域的接入权限，当接在IP Phone后的PC通过认证后，PC被授权数据域的权限。但是对于扩展认证协议(Extensible Authentication Protocol，EAP)的标准，并没有明确的识别数据域的PC和语音域的IP Phone的方法，换言之，被认证的设备(PC和IP Phone)必须承担这部分的责任。现有技术提供的一种认证IP电话机(IP Phone)和协商语音域的方法包括：在认证前，IP Phone的初始化状态携带一个默认虚拟局域网(Virtual Local Area Network，VLAN)值(例如，vlan＝1)；支持802.1x协议的IP Phone开始认证并通过远端认证拨号用户服务(Remote Authentication Dial In User Service，RADIUS)认证成功；认证成功后，RADIUS服务器将动态配置的VLAN值和厂商比如思科(CISCO)的私有属性“cisco-av-pari＝voice”封装到RADIUS_ACCEPT报文中，并下发给CISCO交换机；CISCO交换机通过识别RADIUS-ACCEPT报文中的私有属性“cisco-av-pari＝voice”和VLAN值，判断此属性是下发给普通PC还是IP Phone；由于“cisco-av-pair”标识客户端是IPPhone(从“cisco-av-pari＝voice”可知)，Cisco交换机通过链路层发现协议(Link Layer Discovery Protocol，LLDP)协议，将RADIUS服务器下发的动态VLAN值协商给IP Phone作为语音域虚拟局域网(Voice-VLAN)值，即按语音组成一个虚拟局域网；IP Phone协商到Voice-VLAN值后，后续的语音数据就会带上Voice-VLAN值，得到优先级调度。从上述认证IP电话机(IP Phone)和协商语音域的方法可知，现有技术提供的方法需要使用CISCO厂商的私有属性来标识对应的认证用户是IP Phone还是PC，并通过私有属性这种方法来对IP Phone下发voice-vlan值，其中还需要支持LLDP协议的IP Phone。换言之，现有技术提供的认证IP电话机(IP Phone)和协商语音域的方法与特定交换机生产厂商绑定在一起，这无疑带来许多限制。
技术实现思路
本专利技术实施例提供认证IP电话机和协商语音域的方法、系统以及设备，以免除认证过程中对特定厂商交换机的依赖，实现动态安全认证协商。本专利技术实施例提供一种认证IP电话机和协商语音域的方法，所述方法包括：接收基于互联网的电话机IP Phone发送的认证请求报文，所述认证请求报文携带所述IP Phone的用户名和密码；将所述IP Phone的用户名和密码封装在远端认证拨号用户服务RADIUS请求报文中后将所述封装了所述IP Phone的用户名和密码的RADIUS报文发送至RADIUS服务器，以使所述RADIUS服务器对所述IP Phone进行认证；若所述RADIUS服务器对所述IP Phone进行认证的结果为认证成功，则将语音域虚拟局域网Voice VLAN值通过扩展认证协议EAP扩展报文发送至所述IP Phone，以使所述IP Phone按照所述Voice VLAN值设置语音域虚拟局域网。本专利技术另一实施例提供一种认证IP电话机和协商语音域的方法，所述方法包括：远端认证拨号用户服务RADIUS服务器接收RADIUS请求报文，所述RADIUS请求报文封装有基于互联网的电话机IP Phone的用户名和密码；所述RADIUS服务器根据所述IP Phone的用户名和密码对所述IP Phone进行认证；若认证成功，则所述RADIUS服务器将语音域虚拟局域网Voice VLAN值发送至所述RADIUS请求报文的发送方，以使所述RADIUS请求报文的发送方将所述Voice VLAN值通过扩展认证协议EAP扩展报文发送至所述IP Phone。本专利技术实施例提供一种认证IP电话机和协商语音域的装置，所述装置包括：接收模块，用于接收基于互联网的电话机IP Phone发送的认证请求报文，所述认证请求报文携带所述IP Phone的用户名和密码；封装模块，用于将所述IP Phone的用户名和密码封装在远端认证拨号用户服务RADIUS请求报文中后将所述封装了所述IP Phone的用户名和密码的的RADIUS请求报文发送至RADIUS服务器，以使所述RADIUS服务器对所述IPPhone进行认证；发送模块，用于若所述RADIUS服务器对所述IP Phone进行认证的结果为认证成功，则将语音域虚拟局域网Voice VLAN值通过扩展认证协议EAP扩展报文发送至所述IP Phone，以使所述IP Phone按照所述Voice VLAN值设置语音域虚拟局域网。本专利技术实施例提供一种认证服务器，所述认证服务器包括：接收模块，用于接收RADIUS请求报文，所述RADIUS请求报文封装有基于互联网的电话机IP Phone的用户名和密码；认证模块，用于根据所述IP Phone的用户名和密码对所述IP Phone进行认证；发本文档来自技高网...

【技术保护点】
一种认证IP电话机和协商语音域的方法，其特征在于，所述方法包括：接收基于互联网的电话机IP?Phone发送的认证请求报文，所述认证请求报文携带所述IP?Phone的用户名和密码；将所述IP?Phone的用户名和密码封装在远端认证拨号用户服务RADIUS请求报文中后将所述封装了所述IP?Phone的用户名和密码的RADIUS请求报文发送至RADIUS服务器，以使所述RADIUS服务器对所述IP?Phone进行认证；若所述RADIUS服务器对所述IP?Phone进行认证的结果为认证成功，则将语音域虚拟局域网Voice?VLAN值通过扩展认证协议EAP扩展报文发送至所述IP?Phone，以使所述IP?Phone按照所述Voice?VLAN值设置语音域虚拟局域网。

【技术特征摘要】
1.一种认证IP电话机和协商语音域的方法，其特征在于，所述方法包括：
接收基于互联网的电话机IP Phone发送的认证请求报文，所述认证请求报
文携带所述IP Phone的用户名和密码；
将所述IP Phone的用户名和密码封装在远端认证拨号用户服务RADIUS请
求报文中后将所述封装了所述IP Phone的用户名和密码的RADIUS请求报文发
送至RADIUS服务器，以使所述RADIUS服务器对所述IP Phone进行认证；
若所述RADIUS服务器对所述IP Phone进行认证的结果为认证成功，则将
语音域虚拟局域网Voice VLAN值通过扩展认证协议EAP扩展报文发送至所述
IP Phone，以使所述IP Phone按照所述Voice VLAN值设置语音域虚拟局域网。
2.如权利要求1所述的方法，其特征在于，所述将语音域虚拟局域网Voice
VLAN值通过扩展认证协议EAP扩展报文发送至所述IP Phone包括：
扩展EAP报文，将认证成功标识和所述Voice VLAN值分别填充至所述EAP
扩展报文和所述EAP扩展报文的扩展字段；
发送所述填充了所述认证成功标识和所述Voice VLAN值的EAP扩展报文
至所述IP Phone。
3.如权利要求2所述的方法，其特征在于，所述交换机扩展EAP报文包括：
基于EAP报文增加格式为类型长度取值TLV的选项。
4.如权利要求2所述的方法，其特征在于，所述扩展EAP报文，将认证成
功标识和所述Voice VLAN值分别填充至所述EAP扩展报文和所述EAP扩展报
文的扩展字段之后或同时还包括：
将所述RADIUS服务器为所述IP Phone分配的互联网协议IP地址填充至所
述EAP扩展报文的扩展字段。
5.如权利要求1至4任意一项所述的方法，其特征在于，若所述RADIUS
服务器对所述IP Phone进行认证的结果为认证失败，则将认证失败及其原因通

\t过EAP扩展报文发送至所述IP Phone。
6.一种认证IP电话机和协商语音域的方法，其特征在于，所述方法包括：
远端认证拨号用户服务RADIUS服务器接收RADIUS请求报文，所述
RADIUS请求报文封装有基于互联网的电话机IP Phone的用户名和密码；
所述RADIUS服务器根据所述IP Phone的用户名和密码对所述IP Phone进
行认证；
若认证成功，则所述RADIUS服务器将语音域虚拟局域网Voice VLAN值发
送至所述RADIUS请求报文的发送方，以使所述RADIUS请求报文的发送方将
所述Voice VLAN值通过扩展认证协议EAP扩展报文发送至所述IP Phone。
7.如权利要求6所述的方法，其特征在于，所述RADIUS服务器将语音域
虚拟局域网Voice VLAN值发送至所述RADIUS请求报文的发送方的同时或之
后进一步包括：
所述RADIUS服务器将为所述IP Phone分配的互联网协议IP地址发送至所
述RADIUS请求报文的发送方，以使所述RADIUS请求报文的发送方将所述IP
地址通过EAP扩展报文发送至所述IP Phone。
8.一种认证IP电话机和协商语音域的装置，其特征在于，所述装置包括：
接收模块，用于接收基于互联网的电话机IP Phone发送的认证请求报文，
所述认证请求报文携带所述IP Phone的用户名和密码；
封装模块，用于将所述IP Phone的用户名和密码封装在远端认证拨号用户
服务RADIUS请求报文中后将所述封装了所述IP Phone的用户名和密码的
RADIUS...

【专利技术属性】
技术研发人员：殷玉楼，于斌，
申请(专利权)人：华为数字技术有限公司，
类型：发明
国别省市：