一种具有会话边界控制器的通信系统及其传输信令的方法

专利名称：一种具有会话边界控制器的通信系统及其传输信令的方法
技术领域：
本发明涉及通信技术领域，特别是指一种具有会话边界控制器(SBC)的通信网络及其信令传输的方法。
背景技术：
SBC是互联网工作(IETF)组织中提出的概念，全称为会话边界控制器(Session Border Controller)，用于解决在下一代(NGN)网络中边界会话业务的边界控制问题，如接入网和核心骨干网的边界控制，核心骨干网与核心骨干网的边界控制，或不同的管理域/地址域之间的边界控制，用于解决由于不同管理域、地址域之间的互通及网络安全、服务质量(QoS)控制等问题，如由于不同的网络(接入网、骨干网等)之间的地址域不一样，在IP网上不能直接互通，或管理域不一样，需要在边界点进行控制，以及出于安全需要，将其它网络过来的报文终结，并对外隐藏本网的IP地址、拓扑结构、服务器等，防止攻击。图1所示的组网结构中，接入网和骨干网之间采用接入SBC进行边界控制，而两个不同的骨干网之间采用互通SBC进行边界控制。
图2所示为两个网络之间采用SBC进行互通的组网示意图。参见图2所示，该通信系统包括网络A、网络B以及SBC，网络A和网络B分别与SBC相连，SBC又进一步包括信令控制功能实体和媒体转发功能实体。信令功能实体和媒体转发功能实体分别具有两个接口，每个实体利用自身的这两个接口与网络A和网络B相连。信令控制功能实体完成会话信令面的处理，如信令报文的接纳、终结、信令报文中媒体信息的处理，以及根据信令消息中的会话状态实现对媒体流的转发控制(拒绝/允许等)等功能，媒体转发功能实体则在信令控制功能实体的控制下完成会话媒体流的转发。
参见图3所示，信令控制功能实体利用两个IP地址，即IP地址1和IP地址1`，分别与网络A中的用户设备和网络B中的功能实体进行通信，媒体转发功能实体利用两个IP地址，即IP地址2和IP地址2`，分别与网络A中的用户设备和网络B中的功能实体进行通信。并且，对于网络A中的每个用户设备所看到的SBC信令面地址和媒体面地址是不相同的，这两个地址分别属于网络A的地址域和网络B的地址域。
参见图4所示，网络A中的用户设备与网络B中的功能实体进行信令交互的具体过程如下步骤401网络A中的用户设备向SBC中的信令控制功能实体发送用户注册请求的信令报文。
步骤402～403信令控制功能实体收到该注册请求后，分析处理该信令报文，实现某种信令控制功能，然后再向网络B中的功能实体发送该用户设备的注册请求。
步骤404网络B中的功能实体对该用户设备进行鉴权，如果鉴权通过，则向信令控制功能实体发送鉴权成功的回应信令报文，如果鉴权失败，则向信令控制功能实体发送鉴权失败的回应信令报文。
步骤405信令控制功能实体收到该回应信令报文后，再将该信令报文发送给网络A中的该用户设备。
步骤406～410网络A中的用户设备收到该信令报文后，再次通过信令控制功能实体向网络B中的功能实体发送信令报文；同样，网络B中的功能实体也利用信令控制功能实体网络A中的该用户设备发送信令报文。
目前，从上述过程中可以看出，图3所示的组网方案能解决由于不同地址域或管理域等不同网络之间的互通，但在实际应用中在部分组网情况下存在如下问题由于信令面控制功能实体用于信令面的处理，媒体转发功能实体用于媒体面的处理，这两个实体的功能特点和处理模型不一样，而且两者的要求也不一样，信令面的处理通常单个设备能处理很大的容量，而媒体面的处理由于受转发能力的限制，使得支持的并发端口数有限，因此媒体面的功能实体容量相比于信令面的设备容量来说较小，因此一个信令面的控制功能实体可能会控制多个媒体转发功能实体；另一方面，信令面通常会集中处理，如信令面设备可能位于运营商网络的中心机房，而媒体面设备则是分布式的，靠近用户端，如位于用户所处的小区物业机房。因此，上述组网应用模式具有如下缺点(1)集中式的大容量信令控制功能实体直接暴露给了接入用户，如上述网络A或B中有一方是接入网络，接入的是不可控的有安全成胁可能的最终用户，因此存在一定的安全隐患，一旦集中式的大容量信令控制功能实体被攻击瘫痪，则利用该信令控制功能实体接入的所有用户都无法进行会话业务。
(2)集中布置的信令控制功能实体和分布式布置媒体转发功能实体，使得上述组网模式在实际网络中很难部署，如位于运营商中心机房的信令控制功能实体不是处在网络B和网络A之间的边缘，通常是媒体转发功能实体位于边缘，所以信令控制功能实体和网络A很难直接有接口(除非从网络A中拉专线直接连到信令控制功能实体，这种方式在实际应用中既不方便，成本也很高，运营商不会考虑)，故信令控制功能实体无法配置在网络A中的IP地址，在网络A中的接入用户也就无法直接与信令控制功能实体直接通信，结果使得上述模型在实际组网中无法应用。
目前，也有将信令控制功能实体和媒体转发功能实体在一个设备上实现，即IP地址1和IP地址2合一，即信令控制功能实体和媒体转发功能实体不分开。这种方案没有考虑到信令面和媒体面处理特点的不同，由于信令面在技术上更多要求通用CPU的处理能力，而媒体面在技术上则更多要求专业CPU或直接通过ASIC芯片提供的硬件转发能力，因此将两者分开处理更符合未来网络中信令处理和媒体转发分离的技术特点。

发明内容
有鉴于此，本发明的目的在于提供一种具有SBC的通信网络及其传输信令的方法，使大容量的集中式信令控制功能实体对接入用户设备屏蔽，减小信令控制功能实体安全隐患，同时解决上述实际组网中无法应用的问题。
为了达到上述目的，本发明还提供了一种在具有SBC的通信系统中传输信令的方法，该方法是这样实现的该通信系统至少包括第一网络、第二网络以及会话边界控制器，并且该会话边界控制器至少包括信令静态变换功能实体和信令控制功能实体，该方法包括以下步骤A.第一网络中的用户设备向信令静态变换功能实体发送注册请求的信令报文，其中该信令报文的目的IP地址/端口号为信令静态变换功能实体在第一网络的IP地址/端口，源IP地址/端口号为该用户设备在第一网络中的IP地址/端口号；B.信令静态变换功能实体收到该用户设备的信令报文后，将该信令报文的目的IP地址/端口号修改为信令控制功能实体的IP地址/端口号，源IP地址/端口号修改为信令静态变换功能实体自己分配的IP地址/端口号，并将该信令报文发送给信令控制功能实体；C.信令控制功能实体收到该信令报文后，对该信令报文进行分析处理，并将该信令报文发送给第二网络中的功能实体。
步骤B可以进一步包括B1、设置该用户设备的信令报文的NAT表项，该表项为该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系。
步骤B1设置该用户设备的信令报文的NAT表项的步骤包括B11、信令静态变换功能实体收到该用户设备的信令报文后，获取该信令报文中的源IP地址/端口号；B12、信令静态变换功能实体为该用户设备分配一个信令静态变换功能实体的IP地址/端口号，并保存该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系。
步骤B中所述信令控制功能实体的IP地址/端口可以利用所述信令报文中目的IP地址/端口，从预先设置的信令静态变换功能实体在第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系中获取。
所述信令静态变换功能实体在第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系可以预先设置在信令静态变换功能实体中，或设置在与信令静态变换功能实体能通信的功能实体中。
所述信令静态变换功能实体在第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系可以是随机配置的，或根据一定算法配置的，或根据预先定义的机制配置的。
步骤C可以进一步包括C1、信令控制功能实体收到信令报文后，获取信令报文中用户身份标识以及该信令报文的源IP地址/端口号，所述源IP地址/端口号为所述信令静态变换功能实体自己分配的IP地址/端口号，信令控制功能实体记录该用户身份标识与所述信令静态变换功能实体自己分配的IP地址/端口号的对应关系。
在步骤C之后可以进一步包括如果信令控制功能实体收到第二网络设备的鉴权成功的回应信令报文，通知信令静态变换功能实体鉴权成功，信令静态变换功能实体永久维护所述信令报文的NAT表项；如果信令控制功能实体收到第二网络设备的鉴权失败的回应信令报文，通知信令静态变换功能实体鉴权失败，信令静态变换功能实体删除所述信令报文的NAT表项。
在步骤B将该信令报文发送给信令控制功能实体的同时，可以进一步包括启动定时器，并且如果在定时器超时前，信令静态变换功能实体收到信令控制功能实体发送的鉴权成功的通知，则取消定时器，继续执行后续处理步骤，如果在定时器超时前没有收到鉴权成功的通知，则信令静态变换功能实体删除所述对应NAT表项。
在步骤C之后，该方法可以进一步包括当信令控制功能实体收到来自第二网络的注销该用户的命令后，向信令静态变换功能实体发送删除该用户的信令NAT表项的命令，信令静态变换功能实体收到该命令后，删除所述该用户设备的信令报文的NAT表项。
在步骤C之后可以进一步包括D11、信令控制功能实体收到第二网络中功能实体的信令报文，对该信令报文进行分析处理，并从信令报文中获取用户身份标识，根据步骤C1中所述对应关系，获取该用户身份标识对应的信令静态变换功能实体的IP地址/端口号，并根据该IP地址/端口号将该信令报文转发给该信令静态变换功能实体；D12、信令静态变换功能实体利用所述信令报文NAT表项，将来自信令控制功能实体的信令报文进行NAT地址转换，并将转换地址后的信令报文发送至第一网络中的该用户设备。
在步骤C之后，该方法可以进一步包括D21、第一网络中该用户设备发送信令报文至信令静态变换功能实体；D22、信令静态变换功能实体根据所述信令报文的NAT表项，将该信令报文的源和目的地址/端口号进行静态的NAT地址变换，再将该信令报文转发给信令控制功能实体；D23、信令控制功能实体收到该信令报文后，解析并处理该信令报文，并在确定该用户设备已成功注册后，将该信令报文发送给第二网络中的功能实体。
步骤B可以进一步包括B2、设置该用户设备的信令报文的NAT表项，该表项为该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，以及第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系。
信令静态变换功能实体收到第一网络中该用户设备或信令控制功能实体的信令报文后，利用步骤B21中所述NAT表项将信令表项进行NAT地址转换后，发送给信令控制功能实体或第一网络中该用户设备。
所述通信系统为国际电信联盟(ITU-T)、ETSI的NGN网络标准(TISPAN)定义的具有SBC功能的NGN网络，或满足互联网工作组(IETF)中SBC模型的通信网络。
当所述通信系统为ITU-T定义的具有SBC功能的NGN网络时，SBC为业务控制代理功能(SCPF)和边界网关功能(BGF)；当所述通信系统为TISPAN定义的具有SBC功能的NGN网络时，SBC为应用功能(AF)和接入边界网关(A-BGF)；所述接入网络为多种数字用户线路(xDSL)、无线局域网(Wlan)、电缆(Cable)、全球微波接入互操作(WiMax)及各种无线和有线接入方式的网络。所述第一网络采用IPv4地址格式或IPv6地址格式，所述第二网络采用IPv4地址格式或IPv6地址格式。
所述信令静态变换功能实体可以设置在会话边界控制器中的媒体转发功能实体中，或作为一个独立的物理实体存在。
为了达到上述目的，本发明提供了一种具有SBC的通信系统，该系统包含该系统至少包括第一网络、第二网络和会话边界控制器，所述会话边界控制器至少包括信令静态变换功能实体和信令控制功能实体，信令静态变换功能实体与第一网络和第二网络相连，信令控制功能实体与第二网络相连、信令静态变换功能实体相连，其中，信令静态变换功能实体，用于接收第一网络中用户设备的信令报文，并将该信令报文目的IP地址/端口号修改为信令控制功能实体的IP地址/端口号，将源IP地址/端口号修改为信令静态变换功能实体自己分配的IP地址/端口号，再将该信令报文发送给信令控制功能实体；信令控制功能实体，用于接收信令静态变换功能实体的信令报文，对该信令报文进行分析处理，并将该信令报文发送给第二网络中的功能实体。
所述信令静态变换功能实体，在首次接收到第一网络用户设备的信令报文后，进一步用于获取该信令报文的源IP地址/端口号，为该用户设备选择信令控制功能实体的IP地址/端口号，所述源IP地址/端口号为该用户设备在第一网络中的IP地址/端口，并设置该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，所述信令控制功能实体，在首次接收到信令静态变换功能实体的信令报文后，进一步用于保存该信令报文中携带的用户身份标识与信令报文的源IP地址/端口号的对应关系，所述源IP地址/端口号为该信令静态变换功能实体自己分配的IP地址/端口号。
所述信令静态变换功能实体，进一步用于在非首次接受到第一网络用户设备的信令报文时，根据所述该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，将该信令报文进行静态地址转换，并将转换后的信令报文发送给信令控制功能实体。
所述信令控制功能实体，还用于接收来自第二网络的信令报文，并根据自身保存的用户身份标识以及源IP地址/端口号之间的对应关系，确定对应的信令静态变换功能实体自己分配的IP地址/端口号，再将该信令报文发送给信令静态变换功能实体；所述信令静态变换功能实体，还用于接收到来自信令控制功能实体的信令报文，并根据自身保存的信令报文的NAT表项，将该信令报文的地址进行转换后发送给第二网络的用户设备。
所述通信系统为ITU-T、TISPAN定义的具有SBC功能的NGN网络，或满足IETF中SBC模型的通信网络，当所述通信系统为ITU-T定义的具有SBC功能的NGN网络时，SBC为SCPF和BGF；当所述通信系统为TISPAN定义的具有SBC功能的NGN网络时，SBC为AF和A-BGF；所述接入网络为xDSL、Wlan、Cable、WiMax及无线接入方式的网络。
所述信令静态变换功能实体为会话边界控制器中媒体转发功能实体中的逻辑实体，或为独立的物理实体。
从上述本发明技术方案可以看出，应用本发明的系统及方法，可以在集中布置信令控制功能实体和分布式布置媒体转发功能实体中，针对第一网络中的用户只提供媒体转发功能实体的地址，解决了实际组网配置问题。在本发明中，由于信令控制功能实体与第二网络相连，不直接与第一网络相连，因此用户的信令报文必须经过媒体转发功能实体或信令静态变换功能实体，才能到达信令控制功能实体。因此，用户只能对某个媒体转发功能实体或信令静态变换功能实体进行攻击，但对整个系统的影响要小得多，进而可以有效防止用户恶意攻击，使整个系统更加安全。同时，本发明还能很灵活的适应实际各种组网中复杂的地址情况，满足不同运营商的组网需求。


图1为SBC组网模型示意图；图2为现有技术中具有SBC的网络模型示意图；图3为现有技术中典型的具有SBC的网络模型示意图；图4为基于图3所示的网络模型的信令传输流程示意图；图5包括5A和5B，其中5A为实现本发明系统的组网模型示意图，5B为本发明系统的具体实施例组网示意图；图6为实现本发明方法的流程示意图；图7为基于5B所示系统，实现本发明方法的具体实施例流程示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。
参见图5A所示，实现本发明的通信系统包括包括第一网络、第二网络以及SBC。SBC又进一步包括信令控制功能实体和若干个信令静态变换功能实体。图中示出的网络A为第一网络，网络B为第二网络。其中，信令控制功能实体与网络B、信令静态变换功能实体相连，每个信令静态变换功能实体与网络A、网络B以及信令控制功能实体相连。信令静态变换功能实体可以为媒体转发功能实体中的逻辑实体，也可以是独立的物理实体。
本发明的通信系统可以为ITU-T、TISPAN定义的具有SBC功能的NGN网络，当通信系统为ITU-T定义的具有SBC功能的NGN网络时，SBC为SCPF和BGF；当通信系统为TISPAN定义的具有SBC功能的NGN网络时，SBC为AF和A-BGF。一般情况下，网络A为接入网络，网络B为核心网。而且接入网络可以为xDSL、Wlan、Cable、WiMax及其它有线、无线等多种接入方式中任何一种接入网络。上述网络中的IP地址可以采用IPv4地址格式，也可以是IPv6地址格式，地址转换包括IPv4-IPv4，IPv4-IPv6，IPv6-IPv6，IPv6-IPv4等各种情况下的地址格式转换。
信令静态变换功能实体，用于转发网络A与信令控制功能实体间的信令报文。当信令静态变换功能实体首次转发网络A中一个用户设备的信令报文时，即网络A中一个用户设备的注册请求时，需要动态创建网络A中该用户设备信令报文的NAT表项，如该用户设备在第一网络中的IP地址/端口与信令静态变换功能实体自己分配的IP地址/端口的对应关系，用于对此后接收到的来自第一网络或信令功能控制实体的信令报文进行NAT地址转换，进而实现信令报文的转发。也就是说，当信令静态变换功能实体接收网络A中非首次发送的信令报文时，要根据所述信令报文的NAT表项，将信令报文进行静态地址变换后转发给信令控制功能实体；当信令静态变换功能实体接收来自信令控制功能实体的信令报文，同样也需要将信令报文进行静态地址变换后，转发给信令静态变换功能实体。同时，信令静态变换功能实体中会配置或通过其它方式获取媒体转发报文上的信令地址和信令控制功能实体的地址之间的映射关系，用于转换网络A中用户设备发过来的信令报文的目的地址，或信令控制功能实体发过来的报文的源地址。
信令控制功能实体用于对接收到的信令报文进行分析处理，并与网络B中的功能实体进行信令交互。当信令控制功能实体接收到信令静态变换功能实体转发来的注册请求的信令报文后，获取信息报文中用户身份标识，并保存用户身份标识与该信令报文中源IP地址/端口号的对应关系，这里，源IP地址/端口号即为信令静态变换功能实体自己分配的IP地址/端口号。此后，当信令控制功能实体收到来自网络B中功能实体发给第一网络中用户设备的信令报文后，可以从信令报文中获取用户身份标识，并从该用户身份标识和源地址/端口的对应关系，获得该用户身份标识对应的信令静态变换功能实体自己分配的IP地址/端口号，然后根据该IP地址/端口号将该信令报文转发给信令静态变换功能实体。
因此，在基于上述具有会话边界控制器的通信系统中，如果第一网络中的用户设备需要与第二网络中的功能实体进行信令传输，该用户设备配置的或第二网络给用户分配的信令控制功能实体的地址是信令静态变换功能实体的地址，用户直接将该信令报文发送给会话边界控制器中的信令静态变换功能实体，由该信令静态变换功能实体将该信令报文通过信令控制功能实体转发给第二网络中的功能实体。同样，第二网络中的功能实体需要与第一网络中的用户设备进行信令交互时，则通过信令控制功能实体将该信令报文发送给信令静态变换功能实体，再由信令静态变换功能实体将该信令报文发送给第一网络中的用户设备。
参见图6所示，实现本发明的方法包括以下步骤第一网络中的用户设备向信令静态变换功能实体发送注册请求的信令报文，其中该信令报文的目的IP地址/端口号为信令静态变换功能实体在第一网络的IP地址/端口，源IP地址/端口号为该用户设备在第一网络中的IP地址/端口号。
步骤602信令静态变换功能实体收到该用户设备的信令报文后，将该信令报文的目的IP地址/端口号修改为信令控制功能实体的IP地址，源IP地址/端口号修改为信令静态变换功能实体自己分配的IP地址/端口号，并将该信令报文发送给信令控制功能实体。
需要说明的是，步骤602中信令静态变换功能实体自己分配的IP地址/端口号可以是媒体转发实体随机选择的，也可以是按照某种优先级选择的，也可以是按照某种算法选择的。
选择信令控制功能实体IP地址/端口号可以有多种方式。
如果在信令静态变换功能实体中或与信令静态变换功能实体能实现通信的功能实体中配置信令静态变换功能实体的信令IP地址/端口和信令控制功能实体的IP地址的映射关系，当信令静态变换功能实体收到来自第一网络的信令报文后，可以利用信令报文中目的IP地址/端口从上述映射关系中获取信令控制功能实体的IP地址/端口。所述信令静态变换功能实体的信令的IP地址/端口和信令控制功能实体的IP地址的映射关系可以按运营商的需求进行配置。
而如果没有预先配置信令静态变换功能实体的信令IP地址/端口和信令控制功能实体的IP地址的映射关系，此时也可以随机、按照某种优先级或按照某种算法选择。
步骤603信令控制功能实体收到该信令报文后，对该信令报文进行分析处理，并将该信令报文发送给第二网络中的功能实体。这里，对该信令报文进行分析处理的过程与现有技术可以相同，也可以不同，其如何处理并不影响本发明的保护范围。
进一步地，为了在该用户注册成功后，信令静态变换功能实体能正确转发该用户设备发送的后续信令报文，以及第二网络给该用户设备发送的信令报文，可以在步骤602中进一步动态创建一个NAT表项，用于对收到的信令报文进行静态地址变换，从而达到正确转发。信令报文的NAT表项可以包括以下两种情况如果已经预先配置了信令静态变换功能实体的信令IP地址/端口和信令控制功能实体的IP地址的映射关系，则该表项可以只包括该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系。这样，可以采用如下方式设置该用户设备的信令报文的NAT表项信令静态变换功能实体收到该用户设备首次发送的信令报文后，即注册请求报文后，获取该信令报文中的源IP地址/端口号；信令静态变换功能实体为该用户设备分配一个信令静态变换功能实体的IP地址/端口号，并保存该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，该对应关系即为该用户设备对应的信令报文的NAT表项。
如果没有预先配置信令静态变换功能实体的信令IP地址/端口和信令控制功能实体的IP地址的映射关系，则该用户设备的信令报文的NAT表项可以包括该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，以及第一网络的IP地址/端口和信令控制功能实体的IP地址的对应关系。因此，可以采用如下方式获取NAT表项信令静态变换功能实体收到该用户设备首次发送的信令报文后，即注册请求报文后，获取该信令报文中的源IP地址/端口号和目的IP地址/端口号，并且信令静态变换功能实体为该用户设备分配一个信令静态变换功能实体的IP地址/端口号，以及选择一个信令控制功能实体的IP地址/端口号，保存该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，以及第一网络的IP地址/端口和信令控制功能实体的IP地址的对应关系，这两组对应关系即为信令报文的NAT表项。
上述信令报文的NAT表项可以在用户注销后、用户注册失败时删除。
另外，此后为了实现第二网络中功能实体向信令静态变换功能实体发送信令报文，在上述步骤603信令控制功能实体收到信令报文后，可以获取信令报文中用户身份标识以及该信令报文的源IP地址/端口号，该源IP地址/端口号为步骤602中信令静态变换功能实体自己分配的IP地址/端口号，信令控制功能实体记录该用户身份标识与所述信令静态变换功能实体自己分配的IP地址/端口号的对应关系。因此，当收到第二网络中功能实体发送给第一网络中用户设备的信令报文时，信令控制功能实体根据被叫用户号码从该对应关系中获得信令静态变换功能实体自己分配的IP地址/端口号，并按照该IP地址/端口号转发给信令静态变换功能实体。
下面以信令静态变换功能实体为媒体转发功能实体中的逻辑实体为例，说明本发明的技术方案。
参见图5B所示，本实施例的通信系统包括第一网络、第二网络以及SBC。SBC又进一步包括信令控制功能实体和媒体转发功能实体。图中示出的网络A为第一网络，网络B为第二网络。其中，信令控制功能实体与网络B和媒体转发功能实体相连，媒体转发功能实体与网络A、网络B以及信令控制功能实体相连。
本发明的通信系统可以为ITU-T、TISPAN定义的具有SBC功能的NGN网络，当通信系统为ITU-T定义的具有SBC功能的NGN网络时，SBC为SCPF和BGF；当通信系统为TISPAN定义的具有SBC功能的NGN网络时，SBC为AF和A-BGF。一般情况下，网络A为接入网络，网络B为核心网。而且接入网络可以为xDSL、Wlan、Cable、WiMax及其它有线、无线等多种接入方式中任何一种接入网络。上述网络中的IP地址可以采用IPv4地址格式，也可以是IPv6地址格式，地址转换包括IPv4-IPv4，IPv4-IPv6，IPv6-IPv6，IPv6-IPv4等各种情况下的地址格式转换。
媒体转发功能实体，不仅可以用于转发网络A和网络B之间的数据报文，还可以用于转发网络A与信令控制功能实体间的信令报文。当媒体转发功能实体首次转发网络A中一个用户设备的信令报文时，即网络A中一个用户设备的注册请求时，需要动态创建网络A中该用户设备信令报文的NAT表项，即该用户设备在第一网络中的IP地址/端口与媒体转发功能实体自己分配的IP地址/端口的对应关系，用于对此后接收到的来自第一网络或信令功能控制实体的信令报文进行NAT地址转换，进而实现信令报文的转发。也就是说，当媒体转发功能实体接收网络A中非首次发送的信令报文时，要根据所述信令报文的NAT表项，将信令报文进行静态地址变换后转发给信令控制功能实体；当媒体转发功能实体接收来自信令控制功能实体的信令报文，同样也需要将信令报文进行静态地址变换后，转发给媒体转发功能实体。同时，媒体转发功能实体中会配置或通过其它方式获取媒体转发报文上的信令地址和信令控制功能实体的地址之间的映射关系，用于转换网络A中用户设备发过来的信令报文的目的地址，或信令控制功能实体发过来的报文的源地址。
信令控制功能实体用于对接收到的信令报文进行分析处理，并与网络B中的功能实体进行信令交互。当信令控制功能实体接收到媒体转发功能实体转发来的注册请求的信令报文后，获取信息报文中用户身份标识，并保存用户身份标识与该信令报文中源IP地址/端口号的对应关系，这里，源IP地址/端口号即为媒体转发功能实体自己分配的IP地址/端口号。此后，当信令控制功能实体收到来自网络B中功能实体发给第一网络中用户设备的信令报文后，可以从信令报文中获取用户身份标识，并从该用户身份标识和源地址/端口的对应关系，获得该用户身份标识对应的媒体转发功能实体自己分配的IP地址/端口号，然后根据该IP地址/端口号将该信令报文转发给媒体转发功能实体。
参见图7所示，本实施例实现本发明方法的具体步骤如下步骤701网络A中的用户设备向媒体转发功能实体发送注册请求的信令报文，该信令报文中含有接入请求信息和用户信息，并且该信令报文的目的IP地址为媒体转发功能实体的IP地址，源IP地址为用户设备在网络A中的IP地址。
步骤702～703媒体转发功能实体收到该信令报文后，获取该信令报文的源IP地址/端口号和目的IP地址/端口号，并分配一个媒体转发功能实体自己的IP地址/端口号，然后，动态创建该用户设备的信令报文的NAT表项，该表项为该用户设备在网络A中的IP地址/端口号与媒体转发功能实体自己分配的IP地址/端口号的对应关系，再根据该信令报文的NAT表项，将信令报文的源IP地址/端口号设置媒体转发功能实体自己分配的IP地址/端口号；同时根据自身预先设置的第一网络的IP地址/端口和信令控制功能实体的IP地址/端口号的映射关系，获取对应的信令控制功能实体的IP地址/端口号，将该信令报文的目的IP地址转换为信令控制功能实体的IP地址/端口号，最后将该信令报文转发给信令控制功能实体。
步骤704～705信令控制功能实体收到该信令报文后，解析并处理该信令报文，获取用户身份标识以及源IP地址/端口号，该源IP地址为媒体转发功能实体的IP地址/端口号，保存用户身份标识与所述媒体转发功能实体自己分配的IP地址的对应关系，并将该信令报文发送给网络B中的功能实体。
步骤706网络B中设备收到该信令报文后，根据其中含有的用户身份标识对该用户设备进行鉴权，如果鉴权通过，则向信令控制功能实体发送鉴权通过的回应信令消息，如果鉴权没有通过，则向信令功能控制实体发送鉴权失败的回应信令消息。
步骤707～708信令控制功能实体收到该回应信令报文后，获取其中的用户身份标识，并按照步骤704中所述对应关系获取该用户身份标识对应的媒体转发功能实体自己分配的IP地址/端口号，然后将该信令报文的目的IP地址设置为所述媒体转发功能实体的IP地址/端口号，源IP地址/端口号为信令控制功能实体自身的IP地址，将该信令报文发送给媒体转发功能实体。
步骤709～710媒体转发功能实体收到该信令报文后，获取该信令报文的源IP地址，即信令控制功能实体的IP地址/端口号，并按照步骤702中所述信令报文的NAT表项，获取该信令控制功能实体的IP报文对应的网络A中用户设备的IP地址/端口号，然后将该该信令报文的目的IP地址修改为网络A中用户设备的IP地址/端口号，再根据自身预先设置的媒体转发功能实体在第一网络的IP地址/端口和信令控制功能实体的IP地址/端口号的映射关系，将源IP地址/端口号改为自身的媒体转发功能实体在第一网络中的IP地址/端口，并将该信令报文发送给第一网络中的用户设备。
并且，在步骤707中，如果信令控制功能实体收到的回应信令报文是鉴权成功的信令报文，则信令控制功能实体需要通知媒体转发功能实体永久保存并维护该用户设备对应的NAT表项，即媒体转发功能实体的IP地址/端口号与信令控制功能实体的IP地址/端口号的对应关系，直到该用户注销后，信令控制功能实体通知媒体转发功能实体删除该表项。如果回应信令报文是鉴权失败的信令报文，则信令控制功能实体通知媒体转发功能实体删除该用户设备对应的信令报文的NAT表项。
当然，在实际操作过程中，或者在步骤704中媒体转发功能实体将该信令报文向网络B中的功能实体发送信令报文的同时，可以启动一个定时器，如果在定时器超时前没有收到信令控制功能实体发过来的鉴权成功的通知报文，则在定时器超时后删除该用户设备对应的NAT表项。当然，当媒体转发功能实体收到信令控制功能实体发送的用户注销的命令后，也需要删除该信令报文的NAT表项。
步骤711～715网络B中的功能实体依次通过信令控制功能实体、媒体转发功能实体与网络A中的用户设备发送信令报文。此时，在信令控制功能实体中需要获取信令报文中携带的用户身份标识所对应的媒体转发功能实体的IP地址，在媒体转发功能实体中，需要根据信令报文的NAT表项对信令报文进行地址转换后发送出去。此处与步骤706～710相同。
步骤716～719当网络A中的用户设备在首次发送信令报文，即接入请求报文，并获得鉴权成功的回应信令报文后，再次需要与网络B进行交互，网络A中的用户设备可以通过依次通过媒体转发功能实体、信令控制功能实体与网络B中的功能实体进行信令交互。此时，媒体转发功能实体转换信令的源IP地址/端口号需要利用NAT表项实现，转换目的IP地址/端口号需要查找媒体转发实体中已配置的媒体转发功能实体在第一网络中的IP地址/端口号与信令控制功能实体IP地址/端口号的映射关系，查找获得对应的信令控制功能实体IP地址/端口号。
另外，如果信令报文的NAT表项设置为包括该用户设备在第一网络中的IP地址/端口号与媒体转发功能实体自己分配的IP地址/端口号的对应关系，以及第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系。那么，在用户已注册成功后，第一网络中该用户设备与信令控制功能实体之间的信令报文到达媒体转发功能实体后，媒体转发功能实体即可利用该信令报文的NAT表项将信令表项进行NAT地址转换后，发送给信令控制功能实体或第一网络中该用户设备。具体如下网络A中该用户设备向媒体转发功能实体发送信令报文，该IP报文的目的IP地址/端口号为媒体转发功能实体的IP地址/端口号；媒体转发功能实体直接将该信令报文利用信令报文的NAT表项，对该信令报文进行静态的NAT地址变换，即该信令报文的目的IP地址转换为信令控制功能实体的IP地址/端口号，源IP地址/端口号转换为所述媒体转发功能实体的IP地址，并按照该目的IP地址/端口号将该信令报文转发给信令控制功能实体。信令控制功能实体收到该信令报文后，解析并处理该信令报文，并且确定自身已保存用户身份标识与所述媒体转发功能实体IP地址/端口号的对应关系，因此直接将该信令报文发送给网络B中的功能实体。
从上述过程可以看出，在本实施例中，由于接入用户配置的SBC信令控制功能实体的地址为媒体转发功能实体上的地址，接入信令流经过媒体转发功能实体，因此SBC信令控制功能实体的对外只需要有一个域地址，如一个管理域或地址域的地址。并且，在用户设备在注册成功后，将通过在媒体转发功能实体上已建立的信令报文的NAT表项作为信令通道发起或接受呼叫，在信令控制功能实体上看到网络A中用户地址/端口也将是媒体转发功能实体上地址/端口信息。
另外，当信令静态变换实体为独立的独立实体时，其实现过程与上述实施例一样，这里不再赘述。
总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
权利要求
1.一种在具有会话边界控制器的通信系统中传输信令报文的方法，该通信系统至少包括第一网络、第二网络以及会话边界控制器SBC，并且该会话边界控制器至少包括信令静态变换功能实体和信令控制功能实体，其特征在于该方法包括以下步骤A.第一网络中的用户设备向信令静态变换功能实体发送注册请求的信令报文，其中该信令报文的目的IP地址/端口号为信令静态变换功能实体在第一网络的IP地址/端口，源IP地址/端口号为该用户设备在第一网络中的IP地址/端口号；B.信令静态变换功能实体收到该用户设备的信令报文后，将该信令报文的目的IP地址/端口号修改为信令控制功能实体的IP地址/端口号，源IP地址/端口号修改为信令静态变换功能实体自己分配的IP地址/端口号，并将该信令报文发送给信令控制功能实体；C.信令控制功能实体收到该信令报文后，对该信令报文进行分析处理，并将该信令报文发送给第二网络中的功能实体。
2.根据权利要求1所述的方法，其特征在于步骤B进一步包括B1、设置该用户设备的信令报文的NAT表项，该表项为该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系。
3.根据权利要求2所述的方法，其特征在于步骤B1设置该用户设备的信令报文的NAT表项的步骤包括B11、信令静态变换功能实体收到该用户设备的信令报文后，获取该信令报文中的源IP地址/端口号；B12、信令静态变换功能实体为该用户设备分配一个信令静态变换功能实体的IP地址/端口号，并保存该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系。
4.根据权利要求2所述的方法，其特征在于步骤B中所述信令控制功能实体的IP地址/端口是利用所述信令报文中目的IP地址/端口，从预先设置的信令静态变换功能实体在第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系中获取。
5.根据权利要求4所述的方法，其特征在于所述信令静态变换功能实体在第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系预先设置在信令静态变换功能实体中，或设置在与信令静态变换功能实体能通信的功能实体中。
6.根据权利要求5所述的方法，其特征在于所述信令静态变换功能实体在第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系是随机配置的，或根据一定算法配置的，或根据预先定义的机制配置的。
7.根据权利要求2所述的方法，其特征在于步骤C进一步包括C1、信令控制功能实体收到信令报文后，获取信令报文中用户身份标识以及该信令报文的源IP地址/端口号，所述源IP地址/端口号为所述信令静态变换功能实体自己分配的IP地址/端口号，信令控制功能实体记录该用户身份标识与所述信令静态变换功能实体自己分配的IP地址/端口号的对应关系。
8.根据权利要求2所述的方法，其特征在于在步骤C之后进一步包括如果信令控制功能实体收到第二网络设备的鉴权成功的回应信令报文，通知信令静态变换功能实体鉴权成功，信令静态变换功能实体永久维护所述信令报文的NAT表项；如果信令控制功能实体收到第二网络设备的鉴权失败的回应信令报文，通知信令静态变换功能实体鉴权失败，信令静态变换功能实体删除所述信令报文的NAT表项。
9.根据权利要求2所述的方法，其特征在于在步骤B将该信令报文发送给信令控制功能实体的同时进一步包括启动定时器，并且如果在定时器超时前，信令静态变换功能实体收到信令控制功能实体发送的鉴权成功的通知，则取消定时器，继续执行后续处理步骤，如果在定时器超时前没有收到鉴权成功的通知，则信令静态变换功能实体删除所述对应NAT表项。
10.根据权利要求9所述的方法，其特征在于在步骤C之后，该方法进一步包括当信令控制功能实体收到来自第二网络的注销该用户的命令后，向信令静态变换功能实体发送删除该用户的信令NAT表项的命令，信令静态变换功能实体收到该命令后，删除所述该用户设备的信令报文的NAT表项。
11.根据权利要求7所述的方法，其特征在于，在步骤C之后进一步包括D11、信令控制功能实体收到第二网络中功能实体的信令报文，对该信令报文进行分析处理，并从信令报文中获取用户身份标识，根据步骤C1中所述对应关系，获取该用户身份标识对应的信令静态变换功能实体的IP地址/端口号，并根据该IP地址/端口号将该信令报文转发给该信令静态变换功能实体；D12、信令静态变换功能实体利用所述信令报文NAT表项，将来自信令控制功能实体的信令报文进行NAT地址转换，并将转换地址后的信令报文发送至第一网络中的该用户设备。
12.根据权利要求7所述的方法，其特征在于在步骤C之后，该方法进一步包括D21、第一网络中该用户设备发送信令报文至信令静态变换功能实体；D22、信令静态变换功能实体根据所述信令报文的NAT表项，将该信令报文的源和目的地址/端口号进行静态的NAT地址变换，再将该信令报文转发给信令控制功能实体；D23、信令控制功能实体收到该信令报文后，解析并处理该信令报文，并在确定该用户设备已成功注册后，将该信令报文发送给第二网络中的功能实体。
13.根据权利要求2所述的方法，其特征在于步骤B进一步包括B2、设置该用户设备的信令报文的NAT表项，该表项为该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，以及第一网络的IP地址/端口和信令控制功能实体的IP地址的映射关系。
14.根据权利要求13所述的方法，其特征在于在步骤C之后，信令静态变换功能实体收到第一网络中该用户设备或信令控制功能实体的信令报文后，利用步骤B21中所述NAT表项将信令表项进行NAT地址转换后，发送给信令控制功能实体或第一网络中该用户设备。
15.根据权利要求1所述的方法，其特征在于所述通信系统为ITU-T、TISPAN的NGN网络标准中定义的具有SBC功能的下一代NGN网络，或IETF中定义的SBC通信网络，当所述通信系统为ITU-T定义的具有SBC功能的NGN网络时，SBC为业务控制代理功能SCPF和边界网关功能BGF；当所述通信系统为TISPAN定义的具有SBC功能的NGN网络时，SBC为应用功能AF和接入边界网关功能A-BGF，当AF为IP多媒体子系统IMS时，AF为代理呼叫会话控制功能P-CSCF；所述第一网络为接入网络，所述接入网络为xDSL、Wlan、Cable、WiMax接入方式的网络；所述第一网络采用IPv4地址格式或IPv6地址格式，所述第二网络采用IPv4地址格式或IPv6地址格式。
16.根据权利要求1～15中任意一项所述的方法，其特征在于所述信令静态变换功能实体设置在会话边界控制器中的媒体转发功能实体中，或为独立的物理实体。
17.一种具有会话边界控制器的通信系统，该系统至少包括第一网络、第二网络和会话边界控制器，其特征在于所述会话边界控制器至少包括信令静态变换功能实体和信令控制功能实体，信令静态变换功能实体与第一网络和第二网络相连，信令控制功能实体与第二网络相连、信令静态变换功能实体相连，其中，信令静态变换功能实体，用于接收第一网络中用户设备的信令报文，并将该信令报文目的IP地址/端口号修改为信令控制功能实体的IP地址/端口号，将源IP地址/端口号修改为信令静态变换功能实体自己分配的IP地址/端口号，再将该信令报文发送给信令控制功能实体；信令控制功能实体，用于接收信令静态变换功能实体的信令报文，对该信令报文进行分析处理，并将该信令报文发送给第二网络中的功能实体。
18.根据权利要求17所述的系统，其特征在于所述信令静态变换功能实体，在首次接收到第一网络用户设备的信令报文后，进一步用于获取该信令报文的源IP地址/端口号，为该用户设备选择信令控制功能实体的IP地址/端口号，所述源IP地址/端口号为该用户设备在第一网络中的IP地址/端口，并设置该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，所述信令控制功能实体，在首次接收到信令静态变换功能实体的信令报文后，进一步用于保存该信令报文中携带的用户身份标识与信令报文的源IP地址/端口号的对应关系，所述源IP地址/端口号为该信令静态变换功能实体自己分配的IP地址/端口号。
19.根据权利要求18所述的系统，其特征在于所述信令静态变换功能实体，进一步用于在非首次接受到第一网络用户设备的信令报文时，根据所述该用户设备在第一网络中的IP地址/端口号与信令静态变换功能实体自己分配的IP地址/端口号的对应关系，将该信令报文进行静态地址转换，并将转换后的信令报文发送给信令控制功能实体。
20.根据权利要求18所述的系统，其特征在于所述信令控制功能实体，还用于接收来自第二网络的信令报文，并根据自身保存的用户身份标识以及源IP地址/端口号之间的对应关系，确定对应的信令静态变换功能实体自己分配的IP地址/端口号，再将该信令报文发送给信令静态变换功能实体；所述信令静态变换功能实体，还用于接收到来自信令控制功能实体的信令报文，并根据自身保存的信令报文的NAT表项，将该信令报文的地址进行转换后发送给第二网络的用户设备。
21.根据权利要求17所述的系统，其特征在于所述通信系统为ITU-T、TISPAN定义的具有SBC功能的NGN网络，或IETF中定义的SBC通信网络，当所述通信系统为ITU-T定义的具有SBC功能的NGN网络时，SBC为SCPF和BGF；当所述通信系统为TISPAN定义的具有SBC功能的NGN网络时，SBC为AF和A-BGF；所述接入网络为xDSL、Wlan、Cable、WiMax及无线接入方式的网络。
22.根据权利要求17～21中任意一项所述的系统，其特征在于所述信令静态变换功能实体为会话边界控制器中媒体转发功能实体中的逻辑实体，或为独立的物理实体。
全文摘要
本发明公开了一种在具有会话边界控制器的通信系统中传输信令的方法，该方法包括第一网络中的用户设备向信令静态变换功能实体发送注册请求的信令报文；信令静态变换功能实体收到该信令报文后，将该信令报文的目的IP地址/端口号修改为信令控制功能实体的IP地址/端口号，源IP地址/端口号修改为信令静态变换功能实体自己分配的IP地址/端口号，并将该信令报文发送给信令控制功能实体；信令控制功能实体再对该信令报文进行分析处理，将该信令报文发送给第二网络中的功能实体。同时，本发明还公开了具有会话边界控制器的通信系统。本发明可以有效防止用户对会话边界控制器中信令控制功能实体的恶意攻击，使系统更加安全，同时使得会话边界控制器在实际网络中的部署更灵活，不会受限于实际网络的组网。
文档编号H04Q7/38GK1856163SQ20051006822
公开日2006年11月1日 申请日期2005年4月27日 优先权日2005年4月27日
发明者严军 申请人:华为技术有限公司