专利名称:一种在软交换网络中的信令防火墙的实现方法
技术领域:
本发明涉及通信技术领域中软交换的实现方法,尤其是涉及一种在软交换网络中的信令防火墙的实现方法。
背景技术:
软交换是下一代网络(Next Generation Network,以下简称NGN)中的核心设备之一,它主要完成呼叫控制、媒体网关的接入控制、资源分配、协议处理、路由、认证、计费等主要功能,并向用户提供基本话音业务、多媒体业务、移动业务以及多样化的第三方业务等。
如图1所示的是现有技术的软交换网络架构下的系统组网图,软交换架构下的网络从网络层面上依次可以划分为以下几个平面接入层、传送层、控制层、业务层,中继网关、无线接入网关、信令网关、接入网关以及智能终端等接入设备处于所述接入层内;分组交换网位于所述传送层;所述软交换处于所述控制层;而智能网、应用服务器以及第三方应用接口处于业务层内。
传统的软交换架构下接入层设备的信令直接送达软交换,这样当大量的接入设备突发产生大量的呼叫,信令流量过高时,软交换就会受到冲击而很容易引起软交换产生拥塞,一旦软交换被拥塞,就会使得软交换域内的正常呼叫全都无法进行;当传送层出现故障时,使得软交换和接入设备信令断路,而当网络再次恢复后,大量接入设备所发的注册信令,就很容易使软交换产生连锁拥塞;在NGN中,终端设备如综合接入设备(Integrated Access Device,简称IAD)大部分都在用户家中,这样就存在终端是否合法的问题,目前终端的合法性鉴权都需要软交换来完成,从而更加重了软交换的负担,此时如果有非法接入终端产生的大量信令,就很容易淹没软交换上的合法信令,使正常的呼叫受到影响;由于软交换需对每个终端定期发送链路检测消息,来检测设备是否在线,当一个软交换带有成千上万的接入终端时,大量的检测消息对软交换的性能也会有很大的影响。
信令防火墙(Firewall)是用来对信令消息进行过滤的一种机制,其可用来保证发向软交换的信令合法,及流量均衡。
综上可知,现有技术显然存在缺陷而有待于改进。
发明内容
本发明的目的在于提供一种在软交换网络中的信令防火墙的实现方法,其作为一种信令防火墙机制,作为软交换和接入设备间的信令和/或媒体代理,用来对信令信息进行过滤及均衡流量,从而保证软交换系统的安全性及提高处理性能。
本发明的技术方案如下一种在软交换网络中的信令防火墙的实现方法,在网络结构中的软交换和接入设备之间增加信令防火墙,其实现方法包括以下步骤a)在所述软交换和所述接入设备之间,设置有至少一边界网关,在其上设置有信令防火墙,该软交换和该接入设备之间所有信令通过该边界网关进行转发;b)所述接入设备上所配置的控制该接入设备的软交换的网络地址是所述边界网关的网络地址,所述软交换以域名或设备名来区分并直接控制不同所述接入设备,无需关心该软交换和所述接入设备之间是否有边界网关的存在;c)所述接入设备的信令送达该边界网关后,该边界网关根据信令类型进行分别处理,对信令进行过滤,转发注册认证信令,并对信令流量进行控制。
进一步地,所述实现方法还包括以下步骤d)对于注册成功的所述接入设备,所述边界网关定期发送链路检测信令对该接入设备进行在线检测,如果该接入设备对该信令久不应答,所述边界网关则通知所述软交换将该接入设备退出服务,并删除有关该接入设备的信息。
进一步地,在所述软交换网络中还设置有一认证授权中心与所述边界网关通讯连接,用于对所述接入设备和所述边界网关之间的信令进行认证。
进一步地,所述步骤c)中对信令的处理还包括以下步骤c1)如果所述边界网关收到的是注册信令,该边界网关实时计算发往所述软交换的注册信令的流量,如果流量大于设定的注册信令流量阈值,则将该信令直接丢弃;否则把该信令送到所述认证授权中心请求认证;c2)如果经认证该注册信令合法,则所述边界网关把该注册信令发送给所述软交换,同时记录该接入设备的相关信息,用于后续信令的转发;否则丢弃该信令。
进一步地,所述步骤c)中对信令的处理还包括以下步骤c3)如果所述信令是注册成功的所述接入设备的呼叫信令,该边界网关实时计算发往所述软交换信令的流量;如果流量大于设定的阈值,则该边界网关直接给所述接入设备应答失败;否则如果是呼叫建立信令,则把该信令送到所述认证授权中心请求认证,其它呼叫信令则送给所述软交换;c4)如果该呼叫建立信令经认证合法,则所述边界网关把该信令送给所述软交换;否则丢弃该信令。
进一步地,所述步骤c)中对信令的处理步骤还包括c5)如果该信令为没有注册的接入设备的信令或是已注册成功的接入设备的不合法信令,则所述边界网关直接丢弃该信令。
本发明提供的一种在软交换网络中的信令防火墙的实现方法,通过提供一种边界网关实现防火墙机制,能够有效地防止当接入设备的信令消息量过大时引起软交换的拥塞问题,另外通过把接入设备的在线检测、认证等功能交由边界网关完成,有效地提高了软交换的性能、可靠性,并能有效地防止非法接入设备对软交换的冲击,增加系统的稳定性和安全性。
图1示出了现有技术的软交换的系统架构图;图2示出了本发明的一种在软交换网络中的信令防火墙的实现方法的系统概要图;图3示出了本发明方法中基于软交换的信令防火墙实现过程示意图;图4示出了本发明方法在软交换架构下的系统组网图。
具体实施例方式
下面将结合附图,通过对本发明的一较佳实施例的详细描述,将使本发明的技术方案及其有益效果显而易见。
本发明的一种在软交换网络中的信令防火墙的实现方法,其所用于的通信系统如图2和图4所示的,本发明方法的核心内容为,在所述软交换110和所述多个接入设备102~104、201~202之间设置了信令防火墙,通过该信令防火墙以提高在下一代网络NGN中软交换系统的安全性、可靠性及性能,具体包括以下步骤步骤1在所述软交换110和所述多个接入设备102~104、201~202之间,设置有至少一边界网关105、106,在其上实现了信令防火墙功能,所述软交换110和所述接入设备之间的所有信令都要通过对应边界网关来完成转发。在一个软交换域内可以根据需要配置多个边界网关。
步骤2所述接入设备上所配置的控制它的软交换的网络地址是对应边界网关105或106的网络地址,所述软交换110以域名或设备名来区分不同的所述接入设备,所述软交换110根据域名或设备名直接控制对应接入设备,而无需关心该软交换和对应接入设备之间是否有所述边界网关的存在。所述接入设备和所述边界网关之间的呼叫建立及注册信令需采用数字签名的方式进行认证,由设置在所述软交换网络的控制层中的一授权认证中心进行,该授权认证中心与所述边界网关通讯连接,对所述边界网关要转发的呼叫建立及注册信令首先进行认证。
步骤3所述接入设备的信令送达所述边界网关后,该边界网关要根据信令的不同类型进行分别处理,处理步骤请参阅附图3a、如果所述信令是注册信令,该边界网关实时计算发往所述软交换的注册信令的流量,如果流量大于设定的注册流量阈值,则直接丢弃该信令;否则把该信令送到所述认证授权中心请求认证。如果认证该信令合法,则该边界网关把该注册信令送给所述软交换,同时记录该接入设备的相关信息,以便用于后续信令的转发;否则丢弃该注册信令。
b、如果是已注册成功的接入设备的呼叫建立请求信令,所述边界网关实时计算发往所述软交换信令的流量,如果流量大于设定的阈值,则该边界网关直接给所述接入设备应答失败;否则把该信令送到所述认证授权中心请求认证。如果认证该信令合法,则所述边界网关把该信令送给所述软交换;否则丢弃该信令。c、如果是已注册成功的接入设备的其它呼叫信令,所述边界网关实时计算发往所述软交换信令的流量,如果流量大于设定的阈值,则该边界网关直接给所述接入设备应答失败;否则把该信令送到所述软交换。
d、如果所述边界网关收到的信令为没有注册接入设备的信令或是已注册成功接入设备的但不合法的呼叫建立信令,则所述边界网关直接丢弃该信令。
步骤4对于已注册成功的所述接入设备,所述边界网关定期发送链路检测信令对该接入设备进行在线检测,如果该接入设备对该信令久不应答,所述边界网关则通知所述软交换将该接入设备退出服务,并删除有关该接入设备的信息。
如图4所示的,示出了本发明方法的组网的一具体实施例的示意图,其包括设置在业务层的智能网、应用服务器和第三方应用接口,设置在控制层的软交换110和AAA(Authentication Authorization Account,简称AAA)授权认证中心109;设置在传送层的边界网关105、106;设置在接入层的接入设备102通过所述边界网关105受所述软交换110控制;接入设备201、202位于网络2中,所述边界网关105和NAT 101(NAT网络地址转换器)配合一起完成其信令和媒体从网络2与网络1之间的相互穿越;而接入设备103、104通过所述边界网关106受所述软交换110的控制。这里的接入设备泛指接入网关(Access Gateway,简称AG)、IAD、智能终端等。
注册、认证及非法消息过滤所述接入设备201、202、102所配置的软交换的网络地址信息,是所述边界网关105的网络地址信息;而所述接入设备103、104所配置的软交换的网络地址信息,是所述边界网关106的网络地址信息。对所有接入设备发给所述软交换110的信令,首先分别到达所述边界网关105或106。
对于所述接入设备发给所述软交换110的注册认证信令,对应边界网关105或106收到该信令后,先把它送到AAA 109处进行认证鉴权。认证鉴权过程完成并经认证成功后,所述边界网关105、106才会把该接入设备的后续其它消息(包括该注册信令)发送给所述软交换110,并记录该接入设备的网络地址信息,以便用于后续和该接入设备相关的信令的转发;对于没有通过认证鉴权或没有进行过认证鉴权的接入设备的信令,对应边界网关直接丢弃其信令。所述软交换110根据接入设备的域名或设备名来唯一区别对应接入设备,当该软交换110收到该接入设备的注册信令时,根据其域名或设备名来完成注册,并动态记录其收到信令的源IP地址等网络信息,用于后续向该接入设备发送信令;所述边界网关105、106对所述软交换110透明,即所述软交换110无需关心它和对应接入设备之间是否有所述边界网关105、106的存在。
对于处于所述NAT 101后面的网络2中的所述接入设备201、202,当它们向所述软交换110发送注册信令时,所述NAT 101会分别为它们临时分配一个信令转发端口,并通过该端口把信令送到所述边界网关105,所述边界网关105收到该注册信令后不仅要动态记录其IP地址及端口,并完成认证注册过程,而且在随后用合理的时间间隔要定期发送链路检测消息,用来保持所述NAT 101上为该接入设备201、202分配的临时端口一直处于激活状态,以便当所述软交换110主动向该接入设备201、202发送信令时,所述边界网关105能把该信令正确且成功地送达对应接入设备201、202。
对于注册通过的接入设备的每个呼叫建立时的认证,也由所述边界网关105、106送到所述AAA 109处完成,只有认证成功的呼叫才能建立。
对于没有注册的接入设备,或注册成功但呼叫建立消息认证失败的信令,所述边界网关直接丢弃该信令。
信令流量控制信令流量控制分为对注册信令的流量控制和正常呼叫建立信令的流量控制。
对于注册信令,为防止大量的接入设备连续发送大量的注册信令引起软交换的连锁拥塞,所述边界网关105、106上预先设定一个软交换能支持的最大的注册流量阈值,当注册信令流量大于这个阈值,则该边界网关丢弃收到的任何注册信令,直到流量恢复到阈值以下。
对于已注册成功的任何一个接入设备,所述边界网关105、106对其上的正常呼叫信令流量进行实时监控;当发现某一接入设备的信令流量过高,超过设定的域值时,该边界网关则拒绝该接入设备的呼叫建立信令,对这部分呼叫建立信令所述边界网关直接应答呼叫建立失败,不再把这部分呼叫建立消息转发给所述软交换110,从而保证发送给所述软交换的信令流量不高于设定的阈值,防止引起所述软交换的拥塞。当信令流量低于设备的阈值时,所述边界网关正常转发信令给所述软交换。
设备状态查询所述边界网关要对通过它成功地向所述软交换110注册的接入设备定期进行在线检测,当发现某一接入设备不在线时,主动向所述软交换上报该接入设备退出服务,所述软交换不再负责对该接入设备是否在线的状态检测。如图4中所示,所述边界网关105要对所述接入设备201、202、102进行在线检测;所述边界网关106要对所述接入设备103、104进行在线检测,对于位于所述NAT 101后面的接入设备201、202在线检测时间间隔,要低于所述NAT 101对久不使用的临时端口的最大保留时间。
信令及媒体转发对于和所述软交换处于同一个网络中的所述接入设备102、103、104,所述边界网关105、106只对其进行注册认证及信令流量控制,对媒体相关信息不做任何处理。媒体流107表示了所述接入设备102上的用户和所述接入设备103上的用户通话的媒体流走向示意图,所述接入设备102的呼叫信令通过所述边界网关105到达所述软交换110,所述接入设备103的呼叫信令通过所述边界网关106到达所述软交换110,认证过程则由所述AAA 109来完成。用户间的所述媒体流107直接从所述接入设备102路由到所述接入设备103,不再经过所述边界网关105或106。
对于在另一个网络2中的所述接入设备201、202,媒体流108表示了所述接入设备201上的用户和所述接入设备103上的用户通话媒体流走向示意图。在呼叫建立阶段,当所述边界网关105分析到信令中有要求所述接入设备201创建媒体端口的信令,则所述边界网关105在其上也建立一个媒体转发端口,并对信令中与该媒体端口相关的信息用该边界网关105上该媒体转发端口的相应信息进行替换。在后续的所有与该媒体端口相关的信令中,所述边界网关105要对信令中的媒体信息用该边界网关105上的该媒体转发端口的信息进行替换,并用信令中的媒体信息在该边界网105的该端口上建立媒体转发表。当呼叫建立成功后媒体流所通过的路径如图4中所述媒体流108所示,该媒体流108从所述接入设备201到所述NAT101,再从所述NAT101到所述边界网关105,最后到所述接入设备103,完成媒体流的双向互通。当呼叫结束,所述边界网关105得到所述软交换110发送给所述接入设备201的释放媒体端口的信令,则释放该边界网关105上对应的媒体转发端口。
尽管参照实施例对所公开的涉及基于软交换的信令防火墙的实现方法进行了详细描述,本领域技术人员将能理解,在不偏离本发明的范围和精神的情况下,可以对它进行形式和细节的种种显而易见的修改。须注意的是,以上描述的实施例是说明性的而不是限制性的,在不脱离本发明的精神和范围的情况下,所有的变化和修改都在本发明的所附权利要求的保护范围之内。
权利要求
1.一种在软交换网络中的信令防火墙的实现方法,在网络结构中的软交换和接入设备之间增加信令防火墙,其实现方法包括以下步骤a)在所述软交换和所述接入设备之间,设置有至少一边界网关,在其上设置有信令防火墙,该软交换和该接入设备之间所有信令通过该边界网关进行转发;b)所述接入设备上所配置的控制该接入设备的软交换的网络地址是所述边界网关的网络地址,所述软交换以域名或设备名来区分并直接控制不同所述接入设备,无需关心该软交换和所述接入设备之间是否有边界网关的存在;c)所述接入设备的信令送达该边界网关后,该边界网关根据信令类型进行分别处理,对信令进行过滤,转发注册认证信令,并对信令流量进行控制。
2.根据权利要求1所述的实现方法,其特征在于,所述实现方法还包括以下步骤d)对于注册成功的所述接入设备,所述边界网关定期发送链路检测信令对该接入设备进行在线检测,如果该接入设备对该信令久不应答,所述边界网关则通知所述软交换将该接入设备退出服务,并删除有关该接入设备的信息。
3.根据权利要求2所述的实现方法,其特征在于,在所述软交换网络中还设置有一认证授权中心与所述边界网关通讯连接,用于对所述接入设备和所述边界网关之间的信令进行认证。
4.根据权利要求3所述的实现方法,其特征在于,所述步骤c)中对信令的处理还包括以下步骤c1)如果所述边界网关收到的是注册信令,该边界网关实时计算发往所述软交换的注册信令的流量,如果流量大于设定的注册信令流量阈值,则将该信令直接丢弃;否则把该信令送到所述认证授权中心请求认证;c2)如果经认证该注册信令合法,则所述边界网关把该注册信令发送给所述软交换,同时记录该接入设备的相关信息,用于后续信令的转发;否则丢弃该信令。
5.根据权利要求3所述的实现方法,其特征在于,所述步骤c)中对信令的处理还包括以下步骤c3)如果所述信令是注册成功的所述接入设备的呼叫信令,该边界网关实时计算发往所述软交换信令的流量;如果流量大于设定的阈值,则该边界网关直接给所述接入设备应答失败;否则如果是呼叫建立信令,把该信令送到所述认证授权中心请求认证,其它呼叫信令则送给所述软交换;c4)如果该呼叫建立信令经认证合法,则所述边界网关把该信令送给所述软交换;否则丢弃该信令。
6.根据权利要求3所述的实现方法,其特征在于,所述步骤c)中对信令的处理步骤还包括c5)如果该信令为没有注册的接入设备的信令或是已注册成功的接入设备的不合法信令,则所述边界网关直接丢弃该信令。
全文摘要
本发明的一种在软交换网络中的信令防火墙的实现方法,在网络结构中的软交换和接入设备之间增加信令防火墙,其实现方法包括以下步骤在所述软交换和所述接入设备之间,设置有至少一边界网关,在其上设置有信令防火墙,该软交换和该接入设备之间所有信令通过该边界网关进行转发;所述接入设备的信令送达该边界网关后,该边界网关根据信令类型进行分别处理,对信令进行过滤,转发注册认证信令,并对信令流量进行控制。本发明方法能够有效地防止当接入设备的信令消息量过大时引起软交换的拥塞问题,通过把接入设备的在线检测、认证等功能交由边界网关完成,有效地提高了软交换的性能、可靠性,并能有效地防止非法接入设备对软交换的冲击。
文档编号H04L12/26GK1529482SQ20031011172
公开日2004年9月15日 申请日期2003年10月8日 优先权日2003年10月8日
发明者乔克智 申请人:中兴通讯股份有限公司