专利名称:一种拒绝非法业务流的方法
技术领域:
本发明涉及用户从NAT (Network Address Translation,网络地址转换) 设备接入呼叫会话控制网络进行多媒体会话时,拒绝非法业务流的方法。
背景技术:
NAT技术最初产生是为了解决互联网络IP (Internet Protocol,互联网协 议)v4地址不足的问题,随着NAT的广泛部署应用,很多企业和用户驻地 网部署NAT时除了原有的地址考虑外,还需要提供一些安全保护机制。NAT 可以起到有效隐藏网络内部地址和网络内部拓朴结构的作用,在一定程度上 实现内部网络向外部网络的物理屏蔽。NAT只能对IP报文的头部地址和TCP ( Transmission Control Protocol, 传输控制协议)/UDP (User Datagram Protocol,用户数据报协议)头部的端 口信息进行转换,对于报文的数据部分可能包含IP地址或端口信息的协议, 无法实现有效的转换,SIP (Session Initiation Protocol,会话初始协议)、 H.323、 H.248等在IP上承栽语音和视频的协议难以穿越传统的NAT设备与 公网进行互通。以基于SIP的会话类业务为例,业务建立的主要过程为(1) 先通过SIP信令为媒体业务进行会话协商,确定媒体业务的源目 的IP地址和端口和QoS (Quality of Service,服务质量)参数等;(2) 根据协商的参数建立纟某体通道; (3 )在媒体通道上收发媒体流。在有NAT的情况下,SIP协商时用户设备在会话描述中填的地址将是 自己的私网地址和端口 ,这个地址在经过传统的NAT设备时也是不会发生 变化的,因此,会话业务的对端用户设备在进行4某体通信时是无法将媒体流发送到这个私网地址的。为jt匕,TISPAN (Telecommunications and Internet Converged Services and Protocols for Advanced Networking,先进网络的电信和互联网融合业务与协 议)标准组织提出了 RACS (Resource and Admission Control Sub-System,资 源接纳控制子系统)架构帮助终端完成NAT设备的穿越。TISPAN RACS Rl 的架构图见图1,其中AF (应用功能),用于提供IP承载资源的控制请求服务,例如IMS (IP Multimedia Sub-System, IP多媒体子系统)中的AF即包括P-CSCF( Proxy Call Session Control Function,代理呼叫会话控制功能)和I-BCF 。RACS由两个实体组成SPDF ( Service based Policy Decision Function, 基于业务的策略决策功能)和A-RACF (Access-Resource Admission Control Function,接入资源接纳控制功能)。SPDF向应用层提供统一的接口 ,屏蔽底层网络拓朴和具体的接入类型, 提供基于业务的策略控制。SPDF根据应用功能AF的请求选择本地策略, 并将请求映射成IP QoS参数,发送给A-RACF和BGF (Border Gateway Function,边界网关功能),以请求相应的资源。A-RACF位于接入网中,具有接纳控制和网络策略汇聚的功能。A-RACF 从SPDF接收请求,然后基于所保存的策略实现接纳控制,接受或拒绝对传 送资源的请求。传送层中,BGF是一个包到包(Packet-to-packet)网关,可位于接入网 和核心网之间(实现核心网边界网关功能),也可以位于两个核心网之间(实 现互联边界网关功能)。BGF也是策略执行单元,其在SPDF的控制下完成 网络地址转换NAT、门控、QoS标记、带宽限制、使用测量以及资源同步 功能。RCEF (Resource Control Enforcement Function,资源控制执行功能)是 A-RACF的策略执行单元,实施A-RACF通过Re参考点传送过来的接入运 营商定义的二层/三层(L2/L3)媒体流策略,完成门控、QoS标记、带宽限 制等功能。在该架构下RACS帮助UE ( User Equipment,用户设备)穿越NAT设 备的流程如图2所示,具体步骤如下201,用户设备发送会话请求(INVITE)到AF,其中携带会话描述参 数,会话描述参数中的地址为用户设备的私网地址和端口;其中的AF可以是代理呼叫会话控制功能P-CSCF,或应用服务器AS。202, AF根据会话请求中携带的会话描述参数,发送授权和鉴权请求到 业务策略决策功能SPDF;203,业务策略决策功能发送增加请求(ADD)给核心网边界网关功能, 为被叫申请核心网侧的终端,其中携带UE可能在NAT设备后面的指示标 志,i口 latching才示i己;204,核心网边界网关功能发送响应给业务策略决策功能,其中携带为 被叫申请的核心网侧的终端信息;205, 业务策略决策功能发送授权和鉴权响应给代理呼叫会话控制功能, 其中携带从核心网边界网关功能申请的核心网侧的终端的信息;206, AF转发会话请求给会话对端(被叫)用户设备,修改会话描述参 数中的々某体地址信息为核心网边界网关功能上的核心网侧终端的地址(通知 被叫用户设备发送媒体到核心网边界网关功能的核心网侧终端);207, AF收到会话请求的响应消息,如183会话响应消息;208, AF发送授权和鉴权请求给业务策略决策功能,请求为主叫申请接 入网侧的终端;该步骤和步骤205中发送的授权和鉴权请求都是媒体控制信令,用于请 求々某体资源的分配。209, 业务策略决策功能发送修改请求给核心网边界网关功能,其中携 带latching标记(通知核心网边界网关功能进行媒体学习),请求申请接入 网侧的终端;210, 核心网边界网关功能发送响应给业务策略决策功能,其中携带接 入网侧的终端信息;211 ,业务策略决策功能发送授权和鉴权响应给代理呼叫会话控制功能, 其中携带接入网侧的终端信息;212, AF转发响应消息给用户设备,修改会话描述中的媒体地址参数为 核心网边界网关功能上的接入网側终端的地址(通知主叫用户设备发送士某体 到核心网边界网关功能的接入网侧终端);213, UE与会话对端继续进行后续的会话信令交互, 一直到会话建立;214,用户设备向核心网边界网关功能的接入网侧终端发送媒体包,媒 体包经过NAT设备(位于用户设备与核心网边界网关功能之间)进行地址 转换后,被发送到核心网边界网关功能。核心网边界网关功能将上述流程中分配的接入网侧终端和核心网侧终 端相关联。核心网边界网关功能的接入网侧终端如果存在latching选项,在 收到首个RTP/RTCP包后,进行端口学习,将远程地址(接入側终端的通讯 远端)修改为RTP/RTCP包的源IP和端口 (即私网地址和端口 ),从而完 成学习功能,然后交给关联的核心网侧终端发送给被叫用户设备,核心网侧 终端收到后续从被叫过来的媒体包后交给关联的接入网侧终端,接入网侧终 端通过学习到的远程地址将该媒体发送给主叫用户设备,从而完成媒体的 NAT穿越。目前的实现方案存在一个问题如果有攻击包不断扫描上文中核心网边 界网关功能的接入网侧地址和端口 ,可能造成上述步骤214中,核心网边界 网关功能在接入网侧的端口学习失败,导致用户的々某体包到来时不能发到真 正的用户。因此,必须有一种机制能够对该类攻击包进行拒绝。发明内容本发明要解决的技术问题是提供一种拒绝非法业务流的方法,当用户设 备从NAT设备接入IMS网络,通过媒体网关等设备帮助完成NAT穿越时, 能够拒绝非法业务流,从而完成媒体学习过程。为了解决上述问题,本发明提供了一种拒绝非法业务流的方法,包括以 下步骤用户设备从网络地址转换即NAT设备接入呼叫会话控制网络时,在媒 体业务的会话协商过程中,网络侧设备为该媒体业务分配校验码,并保存在 媒体网关中,媒体网关将所述校验码和为该用户设备分配的接入网側媒体地 址发送给用户设备;会话建立完成后,所述用户设备根据收到的接入网侧媒体地址,发送媒 体包到媒体网关,在媒体包中携带所述校验码,媒体网关收到所述媒体包后 进行校验码的检验,如果检验成功,则进行媒体端口学习。进一步地,在所迷会话协商过程中,由々某体网关控制功能MGC分配所 述才交验码,并发送给用户设备UE和i某体网关MG;或者,由MG分配所述 校验码,并发送给用户设备。进一步地,由媒体网关控制功能分配所述校验码时,所述方法具体分为 以下步骤MGC收到UE的会话请求时,判断该UE是否位于NAT设备后,如果 是,则为该媒体会话分配校验码,并在向MG发送媒体资源分配请求时,携 带分配的校验码;MG收到所述媒体资源分配请求后,为该媒体会话分配接入网侧媒体地 址,并建立接入网侧i某体地址与所述校验码的对应关系,在向MGC发送々某 体资源分配响应时,携带所述接入网侧媒体地址和所述校验码;MGC收到该4某体资源分配响应后,发送会话响应给UE,在会话响应中 携带所述接入网侧媒体地址和所述校验码;UE根据收到的所述接入网侧媒体地址发送媒体包到媒体网关,在媒体 包中携带所述接入网侧媒体地址和所述校验码;MG收到UE发送的媒体包后,根据上述对应关系对媒体包中的校验码 进行检验,根据上述对应关系找到媒体包中的接入网侧媒体地址对应的校验 码,并与媒体包中的校验码进行比较,如果一致,则进行力某体端口学习,否 则,丟弃该媒体包。进一步地,由媒体网关分配所述校验码时,所述方法具体分为以下步骤MGC收到UE的会话请求后,判断该UE是否位于NAT设备后,如果是,则在向MG发送媒体资源分配请求时,携带UE位于NAT设备后的指 示标志;MG收到所述^f某体资源分配请求后,如果发现请求中携带有上述指示标 志,则为该媒体会话分配校验码和接入网侧媒体地址,建立所述接入网侧媒 体地址与所述校验码的对应关系,并在发送给MGC的媒体资源分配响应中 携带所述接入网侧媒体地址和所述校验码;MGC收到所述媒体资源分配响应后,发送会话响应给UE,并在会话响 应中携带所述接入网侧媒体地址和所述校验码;UE根据收到的所述接入网侧媒体地址发送媒体包到媒体网关,在媒体 包中携带所述接入网侧媒体地址和所述校验码;MG收到UE发送的媒体包后,根据上述对应关系对媒体包中的校验码 进行检验,根据上述对应关系找到媒体包中的接入网側媒体地址对应的校验 码,并与媒体包中的校验码进行比较,如果一致,则进行媒体端口学习,否 则,丢弃该纟某体包。进一步地,所述MGC为呼叫会话控制功能实体,或承载控制设备,或 两者的结合。进一步地,所述呼叫会话控制网络为TISPAN系统,所述MGC包括代 理呼叫会话控制功能、业务策略决策功能或两者的结合。进一步地,所述呼叫会话控制网络为TISPAN系统,所述MG为核心网 媒体网关功能。进一步地,用户设备在发送的所有媒体包中携带所述校验码,媒体网关 按以下方式对收到的媒体包进行检验对收到的所有媒体包进行校验码的检验;或者,对收到的首个媒体包进行校验码的检验;或者,对收到的纟某体包定期进行校验码的检验。进一步地,所述校验码仅在一定时间周期内有效,媒体网关在所述校验 码的有效周期内进行校验码的检验。进一步地,所述i某体包为RTP包或UDP包,在RTP包或UDP包的扩展头中携带所述校验码。本发明方法通过在会话协商过程中,由网络侧分配校验码,并保存在媒 体网关和用户设备中;会话建立完成后,用户设备向媒体网关发送媒体包时, 在媒体包中携带分配的校验码,媒体网关收到媒体包后进行校验码的检验, 如果检验成功,则进行媒体端口学习,如果校验不成功,则将收到的媒体包 丟弃,从而解决了现有技术中,媒体网关在接入网侧的端口学习失败时,导 致J 某体包不能发到真正的用户的问题。
图1为TISPANR1 RACS系统架构图;图2为现有技术中用户从NAT接入IP会话网络进行NAT穿越会话流 程的示意图;图3为本发明用户从NAT接入IP会话网络进行NAT穿越的架构图;图4为本发明实施例中用户从NAT接入IP会话网络进行NAT穿越会 话流程(MG分配校验码);图5为本发明另一实施例中用户从NAT接入IP会话网络进行NAT穿 越会话流程(MGC分配校验码);设备分配校验码);图7为本发明用户从NAT接入IP会话网络进行NAT穿越会话(会话 和承载控制设备分配校验码)。
具体实施方式
本发明中,用户设备从NAT设备接入IP会话网络进行NAT穿越的系 统架构如图3所示,其中用户设备通过NAT设备完成地址转换;媒体网关控制功能(Media Gateway Control Function,简称MGC )用于 信令流的控制,信令流包括呼叫信令(如会话请求、会话响应)和媒体控制 信令(如媒体资源分配请求和媒体资源分配响应),媒体网关控制功能不局限于呼叫会话控制实体,还可以是承载控制实体(如图1中的SPDF);媒体网关(MediaGateway,简称MG)用于媒体流的控制,根据信令流 协商的参数建立^(某体通道,在媒体通道上进行媒体流的收发。下面结合附图和具体实施例对本发明技术方案作详细的描述。实施例一本实施例由MG分配4交-验码请参见图4,本实施例方法的主要步骤如下,其中描述了与拒绝非法业 务流相关的步骤,其它的处理可参照已有技术。401, 用户设备发起会话请求到媒体网关控制功能,其中携带会话描迷 参数;402, 媒体网关控制功能根据用户的会话请求中携带的会话描述参数, 发送媒体资源分配请求到MG,如果判断出用户设备在NAT后,则在媒体 资源分配请求中携带UE可能在NAT设备后面的指示标志(如latching标记 等);该请求可能是直接发送给媒体网关,也可能是通过其他的控制设备发送 给媒体网关。403,媒体网关收到该请求后,根据资源分配请求中是否存在上述指示 标志决定是否需要对该媒体会话进行校验码分配,如果存在指示标志指示用 户设备在NAT设备后面,则针对该媒体会话分配校验码;此外,媒体网关还为该媒体会话分配接入网侧媒体地址,并将校验码和 分配的接入网侧地址进行绑定,建立接入网侧媒体地址与校验码的对应关 系。404,媒体网关发送媒体资源分配响应消息给媒体网关控制功能,响应 消息中携带媒体网关分配的接入网侧々某体地址和相应的校验码;该响应消息可能直接由士某体网关发送给媒体网关控制功能,也可能通过 其他的控制设备发送给媒体网关控制功能。405,媒体网关控制功能发送会话响应消息给用户设备,其中携带媒体 网关分配的校验码和媒体网关分配的接入网侧媒体地址;406,后续会话信令继续进行交互, 一直到会话建立,用户设备才艮据收 到的接入网侧媒体地址,发送媒体RTP流到媒体网关,其中RTP头部携带 媒体网关分配的校验码;407,媒体网关收到RTP流后,根据上述对应关系判断RTP流中的媒体 校验码是否是正确的校验码(即媒体网关根据RTP流中的接入网侧媒体地 址找到其对应的校验码后,与RTP流中携带的校验码进行比较,如果二者 一致则说明校验码是正确的),如果校验码正确,则接受该RTP流,并对 收到的RTP流的源IP地址和源端口进行学习,将媒体网关上接入网侧的远 程地址i殳置成该IP地址和端口 。媒体网关根据建立的拓朴关系对后续的媒体进行转发。一般要求用户设备发送的每个媒体包都携带校验码;而对于校验码的检 验,则可以采取不同的方式进行,例如对首个媒体包进行检验,或定期对 媒体包进行检验,或者在校验码分配后的一定时间周期的有效周期内(例如 以媒体网关返回媒体资源分配响应的时间为准,规定校验码仅在其后的一段 时间有效)对媒体包进行检验等方式进行校验码的灵活检验。下面以应用实例对本实施例作进一步详细描述和i兌明。本实施例在TISPANRACS架构下的一个应用的流程如图6所示,核心 网边界网关功能在收到媒体资源分配请求后,分配校验码,并在返回的媒体 资源分配响应中携带分配的校验码;在收到用户设备的首个RTP/UDP包时, 先进行校验码的检验,对校验成功的Jf某体包进行媒体端口学习,如果校验失 败则丢弃该媒体包,从而保证媒体学习不受非法攻击包的影响。该流程具体 包括以下步骤601,用户设备发送SIPINVITE请求到代理呼叫会话控制功能,其中携602,代理呼叫会话控制功能根据用户的会话请求中携带的会话描述参 数,发送授权和鉴权请求到业务策略决策功能;603,业务策略决策功能发送增加请求给核心网边界网关功能,请求分 配核心网侧的终端;604,核心网边界网关功能发送响应给业务策略决策功能,其中携带申 请的核心网侧的终端信息;605,业务策略决策功能发送授权和鉴权响应给代理呼叫会话控制功能, 其中携带从核心网边界网关功能申请的核心网侧的终端的信息;606,代理呼叫会话控制功能转发会话请求,修改会话描述参数中的媒 体地址信息为从核心网边界网关功能上的核心网侧终端的地址;607 ,代理呼叫会话控制功能收到会话请求的响应消息;608, 代理呼叫会话控制功能发送授权和鉴权请求给业务策略决策功能, 请求申请接入网侧的终端;609, 业务策略决策功能发送修改请求给核心网边界网关功能,其中携 带latching标志,请求申请接入网侧的终端;609.A,核心网边界网关功能根据存在的Latching指示,分配校验码;610,核心网边界网关功能发送响应给业务策略决策功能,其中携带接 入网侧的终端信息和核心网边界网关功能分配的4交验码信息;611,业务策略决策功能发送授权和鉴权响应给代理呼叫会话控制功能, 其中携带接入网侧的终端信息和核心网边界网关功能分配的校验码信息;612, 代理呼叫会话控制功能转发响应消息给用户设备,修改会话描述 中的媒体地址参数,通知用户设备发送媒体到核心网边界网关功能的接入网 侧终端,并将从业务策略决策功能获取的校验码信息携带给用户设备;613, 后续会话信令继续进行交互, 一直到会话建立;614,用户设备向核心网边界网关功能的接入网侧终端发送媒体包,在 媒体包的RTP包头中携带校验码信息,媒体包通过NAT转换后,被发送到核心网边界网关功能。扩展的RTP包头可能如下所示01234567890123456789012345678901 +—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+|V=2|P|X| CC |M|PT I sequence number |I timestamp I+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+_+I synchronization source (SSRC) identifier |I contributing source (CSRC) identifiers |+—+—+—+—+——+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+i synchronization source (SSRC) identifier |+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=:+=+=+=+=+=+=+=+=+二+=+=+=+=+I defined by profile 1 length 1I code I+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+—+在RTP的固定头中X标记为1,标示有扩展头。扩展头格式定义参照 RFC3550 5.3.1节,code占用32位。6-14.A核心网边界网关功能的接入网侧终端如果存在latching选项, 在收到用户设备发送的RTP/RTCP包后,先进行校验码的校验,如果校验成 功,则进行端口学习,将远程地址修改为RTP/RTCP包的源IP和端口 ;如 果校验失败,则丟弃该RTP包。后续从被叫过来的媒体能够通过学习到的远程地址发送给用户设备,从 而完成4某体的NAT穿越。实施例二本实施例由MGC分配校验码 请参见图5,本实施例主要包括如下步骤501,用户设备发起会话请求到媒体网关控制功能,其中携带会话描述 参数;502,媒体网关控制功能判断用户设备是否在NAT后,如果在NAT后面,分配校验码;503,媒体网关控制功能根据从用户的会话请求中携带的会话描述参数, 发送Jf某体资源分配请求到々某体网关,该请求中携带上述会话描述参数和相应 的校验码;该请求可能是直接发送给i某体网关,也可能是通过其他的控制设备发送 给媒体网关。504 ,媒体网关收到该请求后,为该媒体会话分配接入网侧媒体地址, 同时建立分配的接入网侧地址和校验码之间的对应关系,并发送媒体资源分 配响应消息给媒体网关控制功能,响应消息中携带接入网侧媒体地址和校验 码;该媒体资源分配响应消息可能直接由媒体网关发送给媒体网关控制功 能,也可能通过其他的控制设备发送给媒体网关控制功能。505,媒体网关控制功能发送会话响应消息给用户设备,其中携带々某体506, 后续会话信令继续进行交互, 一直到会话建立。用户设备根据收到的接入网侧媒体地址,发送媒体RTP流到媒体网关, 其中RTP头部携带媒体网关控制功能分配的校验码。507, 媒体网关收到RTP流后,判断流中的媒体校验码是否是正确的校 验码,如果校验码正确,则接受该RTP流,并对收到的RTP流的源IP地址 和源端口进行学习,将媒体网关上接入网侧的远程地址设置成该IP地址和 端口 。媒体网关对后续媒体根据建立的拓朴关系进行媒体转发。本实施例中的媒体网关控制功能不局限于会话控制设备(如呼叫会话控 制功能实体),还可以是承载控制设备(如SPDF),或者是P-CSCF加上 SPDF等多种实现方案。下面以TISPANRACS架构下的一个应用实例对本实施例作进一步详细 说明。请参见图7, P-CSCF或SPDF在会话请求过程中,如判断出用户设备在NAT后面,则分配校验码,并在授权和鉴权请求中携带该校验码;核心网 边界网关功能建立接入网側终端地址与校验码的对应关系,在收到用户设备 的首个RTP/UDP包时,先进行校验码的检验,对校验成功的媒体包进行媒 体端口学习,如果校验失败则丢弃该媒体包,从而保证媒体学习不受非法攻击包的影响,其具体包括以下步骤701,用户设备发送SIP INVITE请求到代理呼叫会话控制功能,其中携 带会话描述参数;701.A(可选),业务策略决策功能根据用户设备在NAT后面的判断, 分配一个校—验码;702,代理呼叫会话控制功能根据用户的会话请求中携带的会话描述参 数,发送授权和鉴权请求到业务策略决策功能;703,业务策略决策功能发送增加请求给核心网边界网关功能,请求申 请核心网侧的终端;704,核心网边界网关功能发送响应给业务策略决策功能,其中携带申 请的核心网侧的终端信息;705, 业务策略决策功能发送授权和鉴权响应给代理呼叫会话控制功能, 其中携带从核心网边界网关功能申请的核心网侧的终端的信息;706, 代理呼叫会话控制功能转发会话请求,修改会话描述参数中的Jf某 体地址信息为乂人核心网边界网关功能上的核心网侧终端的地址;707, 代理呼叫会话控制功能收到会话请求的响应消息。707.B,如果步骤701.A中没有分配校验码,由于用户设备通过NAT接 入,代理呼叫会话控制功能会分配一个校验码;708 ,代理呼叫会话控制功能发送授权和鉴权请求给业务策略决策功能, 请求申请接入网侧的终端,并在授权和鉴权请求中携带该校验码;709,业务策略决策功能发送修改请求给核心网边界网关功能,其中携 带latching标志和相应的校验码,请求申请接入网侧的终端;"0,核心网边界网关功能发送响应给业务策略决策功能,其中携带接 入网侧的终端信息,并建立接入网侧终端和校验码的对应关系;711,业务策略决策功能发送授权和鉴权响应给代理呼叫会话控制功能, 其中携带接入网侧的终端信息;712, 代理呼叫会话控制功能转发响应消息给用户设备,修改会话描述 中的媒体地址参数,通知用户设备发送媒体到核心网边界网关功能的接入网 侧终端,并将代理呼叫会话控制功能分配的校验码信息携带给用户设备;713, 后续会话信令继续进行交互, 一直到会话建立;714,用户设备向核心网边界网关功能的接入网側终端发送媒体包,在 媒体包的RTP包头中携带校验码信息,媒体包通过NAT转换后,被发送到 冲亥心网边界网关功 肯b。714, A,核心网边界网关功能的接入网侧终端如果存在latching选项, 在收到RTP/RTCP包后,先进行校验码的校验,如果校验成功,进行端口学 习,将远程地址修改为RTP/RTCP包的源IP和端口 ,后续从被叫过来的媒 体能够通过学习到的远程地址发送给用户设备。从而完成媒体的NAT穿越; 如果4交验失败,丢弃该RTP包。其中的RTP扩展头格式参见上一实施例中步骤614中的描述,此处不 再赘述。当然,本发明还可有其他多种实施例,在不背离本发明精神及实质地情 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种拒绝非法业务流的方法,包括以下步骤用户设备从网络地址转换即NAT设备接入呼叫会话控制网络时,在媒体业务的会话协商过程中,网络侧设备为该媒体业务分配校验码,并保存在媒体网关中,媒体网关将所述校验码和为该用户设备分配的接入网侧媒体地址发送给用户设备;会话建立完成后,所述用户设备根据收到的接入网侧媒体地址,发送媒体包到媒体网关,在媒体包中携带所述校验码,媒体网关收到所述媒体包后进行校验码的检验,如果检验成功,则进行媒体端口学习。
2、 如权利要求l所述的方法,其特征在于,在所述会话协商过程中,由媒体网关控制功能MGC分配所述校验码, 并发送给用户设备UE和媒体网关MG;或者,由MG分配所述校验码,并发送给用户i殳备。
3、 如权利要求2所述的方法,其特征在于,由媒体网关控制功能分配 所述校-睑码时,所述方法具体分为以下步骤MGC收到UE的会话请求时,判断该UE是否位于NAT设备后,如果 是,则为该士某体会话分配校验码,并在向MG发送媒体资源分配请求时,携 带分配的校验码;MG收到所述媒体资源分配请求后,为该媒体会话分配接入网侧媒体地 址,并建立接入网侧媒体地址与所述校验码的对应关系,在向MGC发送媒 体资源分配响应时,携带所述接入网侧媒体地址和所述校验码;MGC收到该媒体资源分配响应后,发送会话响应给UE,在会话响应中 携带所述接入网侧媒体地址和所述校验码;UE根据收到的所述接入网侧媒体地址发送媒体包到媒体网关,在媒体 包中携带所述接入网侧々某体地址和所述;f交验码;MG收到UE发送的媒体包后,根据上述对应关系对媒体包中的校验码 进行检验,根据上述对应关系找到媒体包中的接入网侧媒体地址对应的校验码,并与媒体包中的校验码进行比较,如果一致,则进行媒体端口学习,否 则,丢弃该媒体包。
4、 如权利要求2所述的方法,其特征在于,由媒体网关分配所述校验 码时,所述方法具体分为以下步骤MGC收到UE的会话请求后,判断该UE是否位于NAT设备后,如果 是,则在向MG发送媒体资源分配请求时,携带UE位于NAT设备后的指 TF标志;MG收到所述i某体资源分配请求后,如果发现请求中携带有上述指示标 志,则为该媒体会话分配校验码和接入网侧媒体地址,建立所述接入网侧媒 体地址与所述校验码的对应关系,并在发送给MGC的媒体资源分配响应中 携带所述接入网侧媒体地址和所述校验码;MGC收到所述媒体资源分配响应后,发送会话响应给UE,并在会话响 应中携带所述接入网侧4某体地址和所述校验码;UE根据收到的所述接入网侧媒体地址发送媒体包到媒体网关,在媒体 包中携带所述接入网侧媒体地址和所述校验码;MG收到UE发送的媒体包后,根据上述对应关系对媒体包中的校验码 进行检验,根据上述对应关系找到媒体包中的接入网侧媒体地址对应的校验 码,并与媒体包中的校验码进行比较,如果一致,则进行媒体端口学习,否 则,丟弃该i某体包。
5、 如斗又利要求2或3或4所述的方法,其特征在于, 所述MGC为呼叫会话控制功能实体,或承载控制设备,或两者的结合。
6、 如权利要求5所述的方法,其特征在于,所述呼叫会话控制网络为TISPAN系统,所述MGC包括代理呼叫会话 控制功能、业务策略决策功能或两者的结合。
7、 如权利要求1或2所述的方法,其特征在于, 所述呼叫会话控制网络为TISPAN系统,所述MG为核心网媒体网关功6匕 月匕。
8、 如权利要求1或2或3或4述的方法,其特征在于,用户设备在发送的所有媒体包中携带所述校验码,媒体网关按以下方式 对收到的媒体包进行检验对收到的所有媒体包进行校验码的检验;或者,对收到的首个媒体包进行校验码的检验;或者,对收到的媒体包定期进行校验码的检验。
9、 如权利要求1或2或3或4所述的方法,其特征在于,所述校验码仅在一定时间周期内有效,媒体网关在所述校验码的有效周 期内进行校验码的检验。
10、 如权利要求8所述的方法,其特征在于,所述媒体包为RTP包或UDP包,在RTP包或UDP包的扩展头中携带 所述校验码。
全文摘要
本发明公开了一种拒绝非法业务流的方法,包括以下步骤用户设备从网络地址转换即NAT设备接入呼叫会话控制网络时,在媒体业务的会话协商过程中,网络侧设备为该媒体业务分配校验码,并保存在媒体网关中,媒体网关将所述校验码和为该用户设备分配的接入网侧媒体地址发送给用户设备;会话建立完成后,所述用户设备根据收到的接入网侧媒体地址,发送媒体包到媒体网关,在媒体包中携带所述校验码,媒体网关收到所述媒体包后进行校验码的检验,如果检验成功,则进行媒体端口学习,如果校验不成功,则将收到的媒体包丢弃。本发明方法解决了现有技术中,媒体网关在接入网侧的端口学习失败时,导致媒体包不能发到真正的用户的问题。
文档编号H04L12/66GK101222454SQ20081000523
公开日2008年7月16日 申请日期2008年1月31日 优先权日2008年1月31日
发明者晨 吴, 闵 孙, 赵军锋 申请人:中兴通讯股份有限公司