专利名称:一种包过滤的实现方法
技术领域:
本发明涉及网络通信安全技术,尤指一种在下一代网络(NGN)中,承载为互联网协议版本6(IPv6)的分组网中包过滤的实现方法。
背景技术:
图1是NGN中的单网络的组网示意图,如图1所示,媒体网关控制器(MGC,Media Gateway Controller)和媒体网关(MG,Media Gateway)是NGN中的两个关键构件。MGC负责呼叫控制功能,MG负责业务承载功能,以此实现呼叫控制平面和业务承载平面的分离,从而可充分共享网络资源,并简化了设备升级和业务扩展,大大降低了开发和维护成本。在MGC的控制下,MG与MG之间通常建立实时传输协议(RTP)媒体流进行通信。
为了使MG与MGC协同工作,在MGC与MG之间需要使用控制协议,媒体网关控制协议是MG和MGC之间通信的主要协议,目前应用较为广泛的有H.248/MeGaCo和媒体网关控制协议(MGCP,Media Gateway ControlProtocol)两种协议。
以H.248协议为例,MG上的各种资源被抽象表示为终端(Termination),终端分为物理(Physical)终端和临时(Ephemeral)终端。物理终端指具有半永久存在性的物理实体如时分复用(TDM,Time Division Multiplex)通道等。临时终端指临时申请,使用后释放的公共资源,例如RTP媒体流等。特别的,根(Root)终端指MG整体。终端之间的组合被抽象表示为上下文(Context),上下文可以包含多个终端,因而以拓扑(Topology)来描述终端间的相互关系。
基于媒体网关控制协议的这种抽象模型,呼叫的接续实际上就是对终端和上下文的操作,而这种操作通过MGC和MG之间的命令(Command)、请求(Request)和响应(Reply)来完成。其中,命令类型包括添加(Add)、修改(Modify)、删减(Subtract)、移动(Move)、审计值(AuditValue)、审计能力(AuditCapabilities)、通报(Notify)、服务改变(ServiceChange)等,命令的参数也称为描述符(Descriptor),被分为属性(Property)、信号(Signal)、事件(Event)和统计(Statistic),具有业务相关性的参数逻辑上聚合成为包(Package)。
在MGC的控制下,MG承担着媒体流在用户和分组网之间,以及不同IP域的分组网之间的转换和传递。图2是NGN中的IP跨域互通的组网示意图,如图2所示,系统中采用两个网域IPa、IPb。MGCa和MGCb分别是IPa网域和IPb网域内的媒体网关控制器,分别用于控制IPa网域和IPb网域的MG。MGia和MGib为边缘MG,用于实现相邻网域媒体网关之间的通信。MGa可在普通老式电话业务(POTS)用户和RTP媒体流之间、MGb可在TDM中继和RTP媒体流之间、MGia和MGib可在RTP媒体流之间分别进行媒体转换和传递。
为了保证服务质量和通信安全,MGC应该对MG传递(接收和发送)的媒体流进行包过滤(Packet filtering),即允许/禁止符合某些特征的特定媒体流输入或输出该MG。
目前,在承载为基于IPv4的分组网中,可以使用“源地址、源端口、目的地址、目的端口、协议类型”五元组作为基本特征唯一地确定一媒体流,从而可以利用五元组中的元素来对某个特定的媒体流进行包过滤。但是,由于五元组中的元素并不能全部从IP包头获得,有的元素如源/目的端口需要通过解析IP包体后才能获得,而IP包体含有更高层协议或者分段、加密等因素,使得解析相对比较困难,从而增加了包过滤的复杂度。
在承载为基于IPv6的分组网中,除了使用上述五元组之外,还可以使用“源地址、目的地址、流标签”三元组作为基本特征唯一地确定一媒体流,三元组中的元素均能从IPv6包头中获得。其中,流标签用于标识属于同一媒体流的包,流标签在该包所属媒体流的发送端被赋予该媒体流,并在一定的时限内保持唯一。然而目前,在承载为基于IPv6的分组网中,MGC控制MG对媒体流进行包过滤还没有应用上述三元组的具体实现方法。
发明内容有鉴于此,本发明的主要目的在于提供一种包过滤的实现方法,能够简单地在承载为基于IPv6的分组网中对媒体流进行包过滤。
为达到上述目的,本发明的技术方案具体是这样实现的一种包过滤的实现方法,该方法包括以下步骤A.在媒体网关控制器中设置基于互联网协议版本6 IPv6包头中唯一确定媒体流的基本特征的包过滤信息;B.媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。
所述包过滤信息分别针对媒体流的入向和/或出向设置。
所述包过滤信息包括过滤条件信息和过滤控制信息。
所述过滤控制信息包括源地址过滤开关,表示是否使用所述源地址参与对媒体流进行包过滤;目的地址过滤开关,表示是否使用所述目的地址参与对媒体流进行包过滤;流标签过滤开关,表示是否使用所述流标签参与对媒体流进行包过滤;组合关系,表示各过滤条件信息之间为或/与的关系;组合效果,表示对符合所述过滤条件的媒体流允许或禁止传递。
所述过滤条件信息包括携带在IPv6包头的唯一确定媒体流的基本特征三元组中的源地址、和/或目的地址,和/或用于标识属于同一媒体流的包的流标签。
在所述媒体网关控制器与媒体网关间采用H.248协议时,步骤A中所述设置包过滤信息的方法为分别设置所述包过滤信息中包含的各信息为相应的属性。
所述属性包括
流标签掩码FLM属性,用于表示所述包过滤信息中的流标签信息,为字符串类型,占用20bit;源地址掩码SAM属性,用于表示所述包过滤信息中的源地址信息,为字符串类型,占用128bit,采用16进制分段表示;目的地址掩码DAM属性,用于表示所述包过滤信息中的目的地址信息,为字符串类型,占用128bit,采用16进制分段表示;流标签过滤FLF属性,用于表示所述包过滤信息中的流标签过滤开关信息,为布尔类型,取值为关或开,缺省值为关;源地址过滤SAF属性,用于表示所述包过滤信息中的源地址过滤开关信息,为布尔类型,取值为关或开,缺省值为关;目的地址过滤DAF属性,用于表示所述包过滤信息中的目的地址过滤开关信息,为布尔类型,取值为关或开,缺省值为关;组合关系CR属性,用于表示所述包过滤信息中的组合关系信息,为布尔类型,取值为与或或,缺省值为与;组合效果CE属性,用于表示所述包过滤信息中的组合效果信息,为布尔类型,取值为允许或禁止,缺省值为允许。
所述属性设置在已有包或新增的专门用于设置基于IPv6包头中唯一确定媒体流的基本特征的包过滤信息的包中。
所述包包括对所述媒体网关接收的媒体流进行包过滤的入向包过滤FLIPF包、对所述媒体网关发送的媒体流进行包过滤的出向包过滤FLOPF包。
步骤B中所述对媒体流进行包过滤的方法为若所述FLF属性、SAF属性、DAF属性中取值为开,则应用与自身对应的过滤条件与所述媒体流的相应特征进行比较;若所述CR属性取值为与,所述媒体流的相应特征均符合所述被应用的过滤条件,则比较结果为真,若CR属性取值为或,所述媒体流的相应特征符合所述被应用的过滤条件之一,则比较结果为真;若所述CE属性取值为允许,只要所述比较结果为真,则所述媒体网关允许接收或发送所述媒体流,若所述CE属性取值为禁止,只要所述比较结果为真,则所述媒体网关禁止接收或发送所述媒体流。
步骤B中所述对媒体流进行包过滤的方法为所述媒体网关根据媒体网关控制器下发的包过滤信息,按照所述包过滤信息中的过滤控制信息中的取值,对符合所述包过滤信息中的过滤条件信息的媒体流进行相应包过滤处理。
所述媒体网关控制器将所述过滤条件信息和过滤控制信息一同下发给媒体网关,或将所述过滤条件信息和过滤控制信息先后下发给媒体网关。
由上述技术方案可见,本发明在媒体网关控制器中针对媒体流,设置基于IPv6包头中唯一确定媒体流的基本特征的包过滤信息,媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。本发明方法在承载为基于IPv6的分组网中,实现了对媒体流的包过滤处理,而且由于本发明包过滤信息中的过滤条件是能从IPv6包头中获得的唯一确定媒体流的基本特征的三元组信息,从而降低了包过滤的复杂度。
图1是NGN中的单网络的组网示意图;图2是NGN中的IP跨域互通的组网示意图;图3是本发明方法的流程图。
具体实施方式本发明的核心思想是在媒体网关控制器中设置基于IPv6包头中唯一确定媒体流的基本特征的包过滤信息,媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
图3是本发明方法的流程图,该方法包括以下步骤步骤300在媒体网关控制器中设置基于IPv6包头中唯一确定媒体流的基本特征的包过滤信息。
包过滤信息是利用三元组中的元素来对某个指定的媒体流进行包过滤的,包过滤信息可以针对MG上某个具体的终端实施,也可以针对MG整体实施。包过滤信息包括过滤条件信息和过滤控制信息。
其中,过滤条件信息包括承载为基于IPv6的分组网中的IP包特征三元组的元素,即源地址、目的地址和流标签,可以采用通配或部分通配的方式表示某种范围或集合,比如源地址部分通配为1.1.1.*,则表示1.1.1.0~1.1.1.255中的任一地址,这里“*”符号表示任一合法值。需要说明的是过滤条件信息中可以包括三元组的所有元素而不受过滤控制信息中相应元素的影响;也可以包括三元组元素的任意组合,这取决于过滤控制信息中相应元素的控制开关是否打开。
过滤控制信息是对符合包过滤信息中的过滤条件信息的媒体流进行包过滤处理的方式,过滤控制信息包括源地址过滤开关,表示是否使用源地址参与对媒体流进行包过滤;目的地址过滤开关,表示是否使用目的地址参与对媒体流进行包过滤;流标签过滤开关,表示是否使用流标签参与对媒体流进行包过滤;组合关系,表示过滤条件信息是单独参与对媒体流进行包过滤,即各过滤条件信息之间是或的关系,还是共同参与对媒体流进行包过滤,即各过滤条件信息之间是与的关系。
组合效果,表示对符合过滤条件的媒体流是允许传递,还是禁止传递。
下面以通过扩展H.248协议中的属性来设置上述包过滤信息为例,具体描述包过滤信息的表示方法。扩展的属性包括流标签掩码(FLM,Flow Label Mask)属性,用于表示流标签信息,FLM属性为字符串(String)类型,按照IPv6包头中的流标签字段取值,FLM属性可设置为占用20bit,可以使用通配或部分通配;源地址掩码(SAM,Source Address Mask)属性,用于表示源地址信息,SAM属性为String类型,按照IPv6包头中的源地址字段取值,SAM属性可设置为占用128bit,采用16进制分段表示,可以使用通配或部分通配;目的地址掩码(DAM,Destination Address Mask)属性,用于表示目的地址信息,DAM属性为String类型,按照IPv6包头中的目的地址字段取值,DAM属性可设置为占用128bit,采用16进制分段表示,可以使用通配或部分通配;流标签过滤(FLF,Flow Label Filtering)属性,用于表示流标签过滤开关信息,FLF属性为布尔(Boolean)类型,取值为关(Off)或开(On),缺省值为Off;源地址过滤(SAF,Source Address Filtering)属性,用于表示源地址过滤开关信息,SAF属性为Boolean类型,取值为Off或On,缺省值为Off;目的地址过滤(DAF,Destination Address Filtering)属性,用于表示目的地址过滤开关信息,DAF属性为Boolean类型,取值为Off或On,缺省值为Off;组合关系(CR,Combined Relation)属性,用于表示组合关系信息,CR属性为Boolean类型,取值为与(And)或或(Or),缺省值为And;组合效果(CE,Combined Effect)属性,用于表示组合效果信息,CE属性为Boolean类型,取值为允许(Permit)或禁止(Prohibit),缺省值为Permit。
步骤301媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。
上述包过滤信息对应的属性可以设置在H.248协议目前已有的包如门管理(Gate Management)包中,也可以设置在新增的专门用于设置基于IPv6包头中唯一确定媒体流的基本特征的包过滤信息的包中下发,比如,新增的包可以包括对MG接收的媒体流进行包过滤的入向包过滤(FLIPF,FL-basedIngoing Packet Filtering)包,对MG发送的媒体流进行包过滤的出向包过滤(FLOPF,FL-based Outgoing Packet Filtering)包。
对媒体流进行包过滤的具体方法为
当MGC基于安全或服务质量的考虑需要对MG上的媒体流进行包过滤时,MGC分别针对MG接收的媒体流和/或发送的媒体流,根据一定的安全或服务质量策略决定需要使用的过滤条件信息以及过滤控制信息并分别通过上述FLIPF包和FLOPF包中的属性项下发给MG。MG根据MGC下发的上述包过滤信息相关的属性,按照过滤控制信息,对符合过滤条件信息的媒体流进行相应的包过滤处理,所谓符合过滤条件即过滤条件所显示的信息包含了该媒体流的对应信息。
若FLF、SAF、DAF三个属性中取值为On,则表示相应的过滤条件将应用于与待过滤的媒体流的特征进行比较;若CR属性取值为And,表示待过滤的媒体流的特征需要同时符合上述被应用的过滤条件,则比较结果才为真(True),若CR属性取值为Or,表示待过滤的媒体流的特征只要符合上述被应用的过滤条件之一,则比较结果就为True;CE属性取值为Permit,表示只要上述比较结果为True,则允许接收或发送待过滤的媒体流,CE属性取值为Prohibit,表示只要上述比较结果为True,则禁止接收或发送待过滤的媒体流。
需要说明的是,如果MGC对MG接收或发送的媒体流未下发任何包过滤信息相关的属性,则MG可以不对接收或发送的媒体流进行包过滤处理。MGC可以同时将过滤条件信息和过滤控制信息一同下发给MG,也可以先下发过滤条件信息,再将过滤控制信息下发给MG。
如果在MGC下发包过滤信息中出现问题,导致MGC下发的包过滤信息不能被MG实施,那么,MG向MGC返回相应的错误码。
这里以MGC与MG间采用H.248协议,在H.248协议中分别通过FLIPF包和FLOPF包的属性,设置对MG的接收和/或发送的媒体流进行包过滤的过滤条件信息和过滤控制信息为例,说明本发明方法的典型应用如下当MGC不打算对MG上的媒体流进行包过滤时,MGC不向MG下发FLIPF包和FLOPF包,则MG可以根据缺省值,不对MG接收或发送的媒体流进行包过滤,而允许任何媒体流自由出入该MG。当MGC决定只对MG接收的来自地址1.1.1.*或者流标签为9999的媒体流允许流入,而禁止MG发送至地址为12.34.56.78的任意流标签的媒体流时,MGC向MG下发的FLIPF包的属性中,FLM=9999、SAM=1.1.1.*、FLF=On、SAF=On、CR=Or、CE=Permit,而FLOPF包的属性中,FLM=*、DAM=12.34.56.78、FLF=On、DAF=On、CR=And、CE=Prohibit,当MG接收到FLIPF包和FLOPF包的属性后,MG按照上述过滤信息,只允许符合源地址为1.1.1.*或者流标签为9999的媒体流流入该MG,而禁止其它媒体流流入该MG;只禁止符合目的地址为12.34.56.78并且流标签为任意的媒体流流出该MG,而允许其它媒体流流出该MG。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种包过滤的实现方法,其特征在于,该方法包括以下步骤A.在媒体网关控制器中设置基于互联网协议版本6 IPv6包头中唯一确定媒体流的基本特征的包过滤信息;B.媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。
2.根据权利要求
1所述的方法,其特征在于,所述包过滤信息分别针对媒体流的入向和/或出向设置。
3.根据权利要求
1所述的方法,其特征在于,所述包过滤信息包括过滤条件信息和过滤控制信息。
4.根据权利要求
3所述的方法,其特征在于,所述过滤控制信息包括源地址过滤开关,表示是否使用所述源地址参与对媒体流进行包过滤;目的地址过滤开关,表示是否使用所述目的地址参与对媒体流进行包过滤;流标签过滤开关,表示是否使用所述流标签参与对媒体流进行包过滤;组合关系,表示各过滤条件信息之间为或/与的关系;组合效果,表示对符合所述过滤条件的媒体流允许或禁止传递。
5.根据权利要求
3或4所述的方法,其特征在于,所述过滤条件信息包括携带在IPv6包头的唯一确定媒体流的基本特征三元组中的源地址、和/或目的地址,和/或用于标识属于同一媒体流的包的流标签。
6.根据权利要求
1所述的方法,其特征在于,在所述媒体网关控制器与媒体网关间采用H.248协议时,步骤A中所述设置包过滤信息的方法为分别设置所述包过滤信息中包含的各信息为相应的属性。
7.根据权利要求
6所述的方法,其特征在于,所述属性包括流标签掩码FLM属性,用于表示所述包过滤信息中的流标签信息,为字符串类型,占用20bit;源地址掩码SAM属性,用于表示所述包过滤信息中的源地址信息,为字符串类型,占用128bit,采用16进制分段表示;目的地址掩码DAM属性,用于表示所述包过滤信息中的目的地址信息,为字符串类型,占用128bit,采用16进制分段表示;流标签过滤FLF属性,用于表示所述包过滤信息中的流标签过滤开关信息,为布尔类型,取值为关或开,缺省值为关;源地址过滤SAF属性,用于表示所述包过滤信息中的源地址过滤开关信息,为布尔类型,取值为关或开,缺省值为关;目的地址过滤DAF属性,用于表示所述包过滤信息中的目的地址过滤开关信息,为布尔类型,取值为关或开,缺省值为关;组合关系CR属性,用于表示所述包过滤信息中的组合关系信息,为布尔类型,取值为与或或,缺省值为与;组合效果CE属性,用于表示所述包过滤信息中的组合效果信息,为布尔类型,取值为允许或禁止,缺省值为允许。
8.根据权利要求
7所述的方法,其特征在于,所述属性设置在已有包或新增的专门用于设置基于IPv6包头中唯一确定媒体流的基本特征的包过滤信息的包中。
9.根据权利要求
8所述的方法,其特征在于,所述包包括对所述媒体网关接收的媒体流进行包过滤的入向包过滤FLIPF包、对所述媒体网关发送的媒体流进行包过滤的出向包过滤FLOPF包。
10.根据权利要求
7所述的方法,其特征在于,步骤B中所述对媒体流进行包过滤的方法为若所述FLF属性、SAF属性、DAF属性中取值为开,则应用与自身对应的过滤条件与所述媒体流的相应特征进行比较;若所述CR属性取值为与,所述媒体流的相应特征均符合所述被应用的过滤条件,则比较结果为真,若CR属性取值为或,所述媒体流的相应特征符合所述被应用的过滤条件之一,则比较结果为真;若所述CE属性取值为允许,只要所述比较结果为真,则所述媒体网关允许接收或发送所述媒体流,若所述CE属性取值为禁止,只要所述比较结果为真,则所述媒体网关禁止接收或发送所述媒体流。
11.根据权利要求
3所述的方法,其特征在于,步骤B中所述对媒体流进行包过滤的方法为所述媒体网关根据媒体网关控制器下发的包过滤信息,按照所述包过滤信息中的过滤控制信息中的取值,对符合所述包过滤信息中的过滤条件信息的媒体流进行相应包过滤处理。
12.根据权利要求
3所述的方法,其特征在于,所述媒体网关控制器将所述过滤条件信息和过滤控制信息一同下发给媒体网关,或将所述过滤条件信息和过滤控制信息先后下发给媒体网关。
专利摘要
本发明公开了一种包过滤的实现方法,该方法包括在媒体网关控制器中设置基于互联网协议版本6(IPv6)包头中唯一确定媒体流的基本特征的包过滤信息,媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。本发明方法在承载为基于IPv6的分组网中,实现了对媒体流的包过滤处理,而且由于本发明包过滤信息中的过滤条件是能从IP包头中获得的唯一确定媒体流的基本特征的三元组信息,从而降低了包过滤的复杂度。
文档编号H04L12/56GK1997010SQ200610090562
公开日2007年7月11日 申请日期2006年6月28日
发明者林扬波 申请人:华为技术有限公司导出引文BiBTeX, EndNote, RefMan