一种VOLTE业务的控制方法、P-GW和LTE网络与流程

本发明涉及通信技术领域，尤其涉及一种volte业务的控制方法、p-gw和lte网络。

背景技术：

ims由于支持多种接入和丰富的多媒体业务，成为全ip时代的核心网标准架构。如今ims已经跨越裂谷，成为固定话音领域vobb、pstn网改的主流选择，而且也被3gpp、gsma确定为移动语音的标准架构。volte即voiceoverlte，是一种ip数据传输技术，无需2g/3g网，全部业务承载于4g网络上，可实现数据与语音业务在同一网络下的统一。

在acmccs2015会议上曝出volte系统的安全漏洞：用户可绕过运营商的计费系统，免费通话或者免费上网。原因在于：一、volte本质上是一个sip通话，基于ip数据网的传送实现。运营商使用专用承载来承载volte业务。对volte的计费采用按照sip通话时长由ims系统来计费的原则。二、当前的智能终端(手机)，容易获得完全控制权限(root),并进一步知道ip地址；两个互相知道ip地址的终端，可以通过p-gw直接传递sip消息，不需要经过计费系统所在的ims。这使得两个终端只要把自己所有的数据包伪造成sip的数据包就可以免费使用这个专用承载。并且，当前lte网络部署中的p-gw设备，只对数据进行转发，不做协议识别，使得用户可绕过运营商的计费系统，能够免费通话或者免费上网，对网络的安全带来潜在的威胁并对运营商带来损失。

技术实现要素：

有鉴于此，本发明要解决的一个技术问题是提供一种volte业务的控制方法、p-gw和lte网络。

根据本发明的一个方面，提供一种volte业务的控制方法，包括：lte网络中的分组数据网网关p-gw接收到终端发送的数据包；所述p-gw提取所述数据包中的特征信息，将所述特征信息与预设的业务安全规则进行匹配，判断所述数据包是否符合安全规则；如果是，则所述p-gw在所述lte网络中转发所述数据包到ims网络,如果否，则所述p-gw丢弃所述数据包。

可选地，所述p-gw提取所述数据包中的特征信息包括:在所述p-gw接收到终端发送的数据包后，判断接收所述数据包的接口是否为预设的端口，如果是，则解析所述数据包并提取所述数据包中的特征信息，如果否，则在所述lte网络中转发所述数据包；其中，所述端口包括：s5、s8、sgi。

可选地，所述解析所述数据包并提取所述数据包中的特征信息包括：所述p-gw判断所述数据包是否为sip消息的数据包，如果是，则提取所述sip消息的数据包中的特征信息；其中，所述sip消息包括：invite消息；所述特征信息包括：源ip地址或域名、目的地址或域名。

可选地，将所述特征信息与预设的业务安全规则进行匹配、判断所述数据包是否符合安全规则包括：设置白名单并在所述白名单中设置有通过验证的sip设备的地址或域名信息；其中，所述sip设备包括：p-cscf、bac、as；所述p-gw判断所述sip消息的数据包中的目的地址或域名是否在所述白名单中，如果是，则确定所述sip消息的数据包符合安全规则，并将所述sip消息的数据包转发至通过验证的sip设备，如果否，则确定所述sip消息的数据包不符合安全规则，丢弃所述sip消息的数据包。

可选地，所述将所述特征信息与预设的业务安全规则进行匹配、判断所述数据包是否符合安全规则包括：在所述白名单中设置有通过验证的终端的地址或域名信息；其中，所述终端包括：手机、平板电 脑；所述p-gw判断所述源地址或域名是否在所述白名单中，如果是，则确定所述sip消息的数据包符合安全规则，并将所述sip消息的数据包转发至通过验证的sip设备，如果否，则确定所述sip消息的数据包不符合安全规则，丢弃所述sip消息的数据包。

可选地，当所述p-gw判断所述目的地址或域名和所述源地址或域名都不在所述白名单中时，则确定所述sip消息的数据包不符合安全规则，丢弃所述sip消息的数据包。

可选地，网关系统配置所述白名单中的通过验证的sip设备的地址或域名信息、通过验证的终端的地址或域名信息；当所述p-gw确定所述sip消息的数据包不符合安全规则、丢弃所述sip消息的数据包时，所述p-gw向所述网管系统发送告警信息。

根据本发明的另一个方面，提供一种分组数据网网关p-gw，包括：数据接收模块，用于接收终端发送的数据包；数据判别模块，用于提取所述数据包中的特征信息，将所述特征信息与预设的业务安全规则进行匹配，判断所述数据包是否符合安全规则；数据过滤模块，用于如果所述数据包符合安全规则，则在所述lte网络中转发所述数据包,如果所述数据包不符合安全规则，则丢弃所述数据包。

可选地，所述数据判别模块，还用于在接收到终端发送的数据包后，判断接收所述数据包的接口是否为预设的端口，如果是，则解析所述数据包并提取所述数据包中的特征信息，如果否，则在所述lte网络中转发所述数据包；其中，所述端口包括：s5、s8、sgi。

可选地，所述数据判别模块，还用于判断所述数据包是否为sip消息数据包，如果是，则提取所述sip消息数据包中的特征信息；其中，所述sip消息包括：invite消息；所述特征信息包括：源ip地址或域名、目的地址或域名。

可选地，网管系统设置白名单并在所述白名单中设置有通过验证的sip设备的地址或域名信息，所述sip设备包括：p-cscf、bac、as；所述数据判别模块，还用于判断所述sip消息的数据包中的目的地址或域名是否在所述白名单中；所述数据过滤模块，还用 于如果所述目的地址或域名在所述白名单中，将所述sip消息的数据包转发至通过验证的sip设备，如果所述目的地址或域名不在所述白名单中，丢弃所述sip消息的数据包。

可选地，所述网管系统在所述白名单中设置有通过验证的终端的地址或域名信息；其中，所述终端包括：手机、平板电脑；所述数据判别模块，还判断所述源地址或域名是否在所述白名单中；所述数据过滤模块，还用于如果所述源地址或域名在所述白名单中，将所述sip消息的数据包转发至通过验证的sip设备，如果所述源地址或域名不在所述白名单中，丢弃所述sip消息的数据包。

可选地，当所述数据判别模块，判断所述目的地址或域名和所述源地址或域名都不在所述白名单中时，则确定所述数据包不符合安全规则；所述数据过滤模块将所述数据包丢弃。

根据本发明的又一个方面，提供一种ip多媒体子系统ims网络，包括如上所述的p-gw。

本发明的volte业务的控制方法、p-gw和lte网络，通过p-gw增加业务安全规则，能够防止数据包绕过ims，使用户无法建立免费的专用承载；提出了p-gw增加协议分析，p-gw可以提供增加sip协议识别功能并设置白名单增加鉴权方式，限制lte网络中sip消息的源/目的地址，从而拒绝伪造sip消息绕过ims，使用户无法建立免费的专用承载，并可以拒绝lte网络中非运营商允许的sip消息通过，从而对既有智能终端采用sip协议的app业务进行限制，达到在lte网络中封杀基于sip协议的voip等各类应用的功能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明的volte业务的控制方法的一个实施例的流程图；

图2为根据本发明的volte业务的控制方法在实际网络中应用的示意图；

图3为根据本发明的p-gw的一个实施例的模块示意图。

具体实施方式

下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。下面结合各个图和实施例对本发明的技术方案进行多方面的描述。

图1为根据本发明的volte业务的控制方法的一个实施例的流程图，如图1所示：

步骤101，lte网络中的分组数据网网关p-gw接收到终端发送的数据包。

步骤102，p-gw提取数据包中的特征信息，将特征信息与预设的业务安全规则进行匹配，判断数据包是否符合安全规则。

步骤103，如果是，则p-gw在lte网络中转发数据包,如果否，则p-gw丢弃数据包。

上述实施例中的volte业务的控制方法，通过p-gw增加业务安全规则，能够防止数据包绕过ims，使用户无法建立免费的专用承载，实现lte网络的安全可控。业务安全规则有多种，例如白名单、黑名单等。数据包可以为多种协议的数据包，例如sip消息数据包等。

volte即voiceoverlte(longtermevolution，长期演进)，是一种ip数据传输技术，无需2g/3g网，全部业务承载于4g网络上，可实现数据与语音业务在同一网络下的统一。在一个实施例中，在p- gw接收到终端发送的数据包后，判断接收数据包的接口是否为预设的端口，端口包括：s5、s8、sgi等，如果接口是预设的端口，则解析数据包并提取数据包中的特征信息，如果接口不是预设的端口，则在lte网络中转发数据包。

p-gw判断数据包是否为sip消息的数据包，如果是，则提取sip消息的数据包中的特征信息。sip消息包括：invite消息等。特征信息包括：源ip地址或域名、目的地址或域名等。

通过p-gw增加sip协议识别，可以通过白名单鉴权方式，限制sip消息(源/目的地址/域名及其组合)，从而拒绝伪造sip消息绕过ims，使用户无法建立免费的专用承载。并且，可以拒绝lte网络中非运营商允许的sip消息通过，从而对智能终端采用sip协议的app业务进行限制，达到封杀基于sip协议的voip等各类应用的功能的名单，实现sip协议在lte网络中的安全可控。

设置白名单并在白名单中设置有通过验证的sip设备的地址或域名信息。sip设备包括p-cscf、bac、as等。p-gw判断sip消息的数据包中的目的地址或域名是否在白名单中，如果是，则确定sip消息的数据包符合安全规则，并将sip消息的数据包转发至通过验证的sip设备，如果否，则确定sip消息的数据包不符合安全规则，丢弃sip消息的数据包。

例如，p-gw接收到终端发送的invite消息，解析invite消息不提取了数据包中的目的地址16.182.0.1。p-gw判断目的地址16.182.0.1不在白名单中，则确定invite消息不符合安全规则，为非法数据包，p-gw丢弃invite消息。

在白名单中设置有通过验证的终端的地址或域名信息，终端包括手机、平板电脑等。例如，网管系统预先设置了黑名单与白名单，黑名单中的用户为禁止接入该sip的用户，白名单中的用户为可以接入该sip终端的用户。

p-gw判断源地址或域名是否在白名单中，如果是，则确定sip消息的数据包符合安全规则，并将sip消息的数据包转发至通过验证 的sip设备，如果否，则确定sip消息的数据包不符合安全规则，丢弃sip消息的数据包。

有多种判断准则，例如，当p-gw判断目的地址或域名、源地址或域名中的一个在白名单中，则确定符合安全规则，转发sip消息的数据包。或者，当p-gw判断目的地址或域名和源地址或域名都不在白名单中时，则确定sip消息的数据包不符合安全规则，丢弃sip消息的数据包。

网关系统配置白名单中的通过验证的sip设备的地址或域名信息、通过验证的终端的地址或域名信息。当p-gw确定sip消息的数据包不符合安全规则、丢弃sip消息的数据包时，p-gw向网管系统发送告警信息。

p-gw设备的某些可能包含sip消息的接口收到数据包后，确认是否包含sip消息，如不包含sip消息，进行数据正常转发，如包含sip协议消息，则识别sip协议中包含的目的/源地址/域名等是否包含在预先配置的白名单列表中，如全部不匹配，丢弃数据，并产生告警。

包含sip协议的接口可以根据需要进行设置，例如s5等。预先配置的白名单列表也可以根据需要进行设置或进行组合，预先配置的匹配数目可以根据需要进行设置。

如图2所示，p-gw预先配置一个可信任的sip设备列表(含p-cscf/bac/as等设备的地址/域名等)。针对p-gw收到来自ue1的发起呼叫的sip消息，判断sip消息携带的目的地址/域名是否在本p-gw预先配置的列表中，如不在列表中则直接拒绝。相应的对来自ims/其他as侧的消息，也进行类似检查，非预先配置列表设备发送来的消息，拒绝并丢弃。

ue1发送的数据包到p-gw后，如果不是通过s5/s8/sgi等可能包含sip协议的接口，ue1发送的数据包由p-gw进行正常按目的地址进行转发处理，直至到达ue2。如果数据包来自可能包含sip协议的接口，检查sip协议中包含的源/目的地址/域名(条件可组合设置)等是 否在白名单中，如在白名单正常转发处理。如不在白名单，数据直接丢弃并产生告警。

上述实施例中的volte业务的控制方法，p-gw增加了sip协议识别功能，并设置白名单增加鉴权方式，限制lte网络中sip消息的源/目的地址，从而拒绝伪造sip消息绕过ims，使用户无法建立免费的专用承载，并可以拒绝lte网络中非运营商允许的sip消息通过，从而对既有智能终端采用sip协议的app业务进行限制，达到在lte网络中封杀基于sip协议的voip等各类应用的功能。p-gw增加了sip协议识别功能，并设置白名单增加鉴权方式，可以不在p-gw直接实现，而通过外置模块/设备实现。

如图3所示，本发明提供一种分组数据网网关p-gw30，包括：数据接收模块31、数据判别模块32和数据过滤模块33。数据接收模块31接收终端发送的数据包。数据判别模块32提取数据包中的特征信息，将特征信息与预设的业务安全规则进行匹配，判断数据包是否符合安全规则。

如果数据包符合安全规则，则数据过滤模块33在ims网络中转发数据包,如果数据包不符合安全规则，则数据过滤模块33丢弃数据包。

数据判别模块32在接收到终端发送的数据包后，判断接收数据包的接口是否为预设的端口，如果是，则数据判别模块32解析数据包并提取数据包中的特征信息，如果否，则数据过滤模块33在ims网络中转发数据包。端口包括：s5、s8、sgi等。

数据判别模块32判断数据包是否为sip消息数据包，如果是，则数据判别模块32提取sip消息数据包中的特征信息。sip协议消息包括：invite消息等。特征信息包括：源ip地址或域名、目的地址或域名。

网管系统设置白名单并在白名单中设置有通过验证的sip设备的地址或域名信息，sip设备包括：p-cscf、bac、as等。数据判别模块32判断sip消息的数据包中的目的地址或域名是否在白名单 中，如果目的地址或域名在白名单中，则数据过滤模块33将sip消息的数据包转发至通过验证的sip设备，如果目的地址或域名不在白名单中，则数据过滤模块33丢弃sip消息的数据包。

网管系统在白名单中设置有通过验证的终端的地址或域名信息，终端包括：手机、平板电脑等。数据判别模块32判断源地址或域名是否在白名单中，如果源地址或域名在白名单中，则数据过滤模块33将sip消息的数据包转发至通过验证的sip设备，如果源地址或域名不在白名单中，则数据过滤模块33丢弃sip消息的数据包。

当数据判别模块32判断目的地址或域名和源地址或域名都不在白名单中时，则数据判别模块32确定数据包不符合安全规则，数据过滤模块33将数据包丢弃。

在一个实施例中，本发明提供一种lte网络，包括如上的p-gw。

上述实施例中提供的volte业务的控制方法、p-gw和ims网络，通过p-gw增加业务安全规则，能够防止数据包绕过ims，使用户无法建立免费的专用承载。p-gw可以提供增加sip协议识别功能并设置白名单增加鉴权方式，限制lte网络中sip消息的源/目的地址，从而拒绝伪造sip消息绕过ims，使用户无法建立免费的专用承载，并可以拒绝lte网络中非运营商允许的sip消息通过，从而对既有智能终端采用sip协议的app业务进行限制，达到在lte网络中封杀基于sip协议的voip等各类应用的功能。

上述实施例中提供的volte业务的控制方法、p-gw和lte网络，只需在p-gw上增加功能模块，可通过软件升级实现，无需现网大规模改造，且可实时实现，提出了p-gw增加协议分析，扩展了p-gw功能。

可能以许多方式来实现本发明的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。 此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。