专利名称:基于ip地址绑定过滤多媒体业务量的方法和系统的制作方法
技术领域:
本发明涉及动态流的过滤,更具体地,本发明涉及过滤节点,与过滤一同使用的锚点,用于配置此类锚点的方法,以及传送数据的对应方法。
背景技术:
近来,通信网络的分布已经很广泛,许多用户每天都在使用它们。在此类通信网络中,所谓的分组交换通信网络越来越引起人们的关注。分组交换网络以分组为单位传送/接收数据。分组由报头和有效负载部分组成,报头传送诸如(除了别的以外)分组的地址信息(源/目的地)的控制信息,有效负载部分传送诸如语音之类的实际数据。
上述分组交换通信有各种各样的协议。然而,为本发明起见,描述作为此类协议的例子的IPv4和/或IPv6(它们是众所周知的网际协议IP的不同版本)。尽管如此,其它分组交换协议也可以与本发明一起使用。同时,非分组交换协议也可以与本发明一起使用,只要能够利用地址识别源/目的地即可。
通信网络通常构成通信网络系统的一部分,其中在该系统中,众多运营商的网络互相协作。同时,各网络由众多所谓的网络域组成,网络本身是由网络运营商运营的,但是域是由各自的第三方(不同于网络运营商)控制的,是在不同协议上运行的,或者具有不同的地址空间定义等。因此,对本发明来说,当涉及通信网络时,不区分不同网络或不同域,而是通信网络旨在覆盖上面概述的网络构造的所有可能替换。相反地,可以将通信网络视为通信网络系统。
关于此类通信网络或网络系统,安全问题越来越重要。
通常,通信是在两个终端之间建立/进行的。通信发起终端称为第一终端或用户设备UE,通信目的地终端称为通信节点CN或第二终端。当然,在双向通信中,当响应于发起终端时,通信节点CN也可以用作用户设备UE。技术上,两个终端没有任何差异,尽管如此,从技术观点来看,终端可以是不同的。然而,只要终端适合于通过中间通信网络进行通信,任何差异都是无关紧要的。
在两个终端建立或已经建立通信的情况下,利用终端的源地址和目的地址识别通信。同样,由于该通信可能包含要在终端之间交换的不同内容或类型的业务量,如实时业务量和非实时业务量,所以把各自的业务量和各自的端口联系起来。因此,端口或端口号代表该通信中使用地址信息的改进。
然而,攻击者有可能利用未使用的地址甚至是端口号来建立到达用户终端的欺骗性或行为不端的通信,实际上用户并不希望此类通信。
因此,通信网络中的安全问题越来越重要。所谓的防火墙FW对确保通信网络的安全有重要作用。因此,可以把防火墙视为通信网络中的过滤节点,它过滤未被授权的业务量,并且阻止此类业务量到达没有批准接收此类业务量的终端。
本发明分别涉及此类安全问题和过滤节点或防火墙。更具体地,它涉及防火墙中的针孔的动态配置和对通信中的实时业务的支持。本发明中使用的措辞“针孔”表示用于特定业务量到达特定终端的临时的有效许可,许可是由防火墙授予或拒绝的。因此,开放针孔表示授予许可,而封闭针孔表示拒绝许可。
在通信网络的许多架构中,需要动态打开和关闭防火墙中的针孔。例如,SIP(会话发起协议)建立的通信需要为通过防火墙的媒体流(亦即,用于实时业务的UDP/RTP(用户数据报协议,实时协议),用于及时消息的TCP(传输控制协议))和需要在通信节点(发起终端和通信节点终端)之间交换的数据分组动态创建针孔。在通信终止时,应消除(即关闭)这些针孔,以避免可能的攻击。
接着,参照图1简短描述可以使IPv6和IPv4域互相配合的3GPP(第3代伙伴项目)网络引入和采用的体系结构,更具体地,其网络实体和接口。可以看出,以下部分描述的本发明并未引入新的实体,而是重用现有通信网络体系结构,并且以全新方式重用上面采用的架构。
最近,3GPP已采用图1所示的体系结构用于IPv6和IPv4域的互相配合。然而,该描述仅仅作为例子而已,本发明并不限于Ipv4/IPv6域,相反,它旨在覆盖单域内的网络中的所有情况。同样,简要概述所引入的实体和接口的功能性。
以下部分将解释本发明为解决防火墙遍历问题而重用当前已经存在的基础设施的全新方式。
现在,正如从图1中得出的那样当前的互相配合体系结构依赖于翻译网关(TrGW)TrGW是在需要时转换IP报头的网关,一般而言,它转换或翻译要传送的分组中包含的地址信息。
当前的互相配合体系结构也依赖于IMS(IP多媒体子系统)应用层网关(ALG)IMS ALG的功能性是,为SIP/SDP协议栈提供必要的应用功能,以便建立IPv6和IPv4 SIP应用(会话发起协议/会话描述协议)之间的通信。
IMS ALG接收来自CSCF节点(呼叫状态控制功能,定义了S-CSCF,服务CSCF和I-CSCF,询问CSCF)或来自IPv4 SIP网络域(CSCF的诸如(代理)P-CSCF,S-CSCF或I-CSCF,在本申请中也称为SIP服务器)的输入SIP报文。该域可以是外部域,也可以是通信网络的内部域。接着,IMS ALG改变适当的SIP/SDP参数,把IPv6地址翻译成IPv4地址,或相反。请注意,对于本发明,协议IPv4/IPv6仅仅是例子,其它协议演变也是可以想象的。
IMS ALG修改包含该IP地址的SIP报文体和报头。在会话发起时,IMS AIG将请求NA(P)T-PT(网络地址(和端口)翻译—协议翻译)提供不同IP地址(IPv6到IPv4或相反)之间的绑定数据,并且在会话释放时释放该绑定。因此,NA(P)T-PT是一种有状态的翻译,并且保持IPv6/IPv4映射表。
同时引入并采用TrGW和IMS ALG之间的Ix接口。该接口允许在会话发起时,IMS ALG请求NA(P)T-PT提供不同IP地址(IPv6到IPv4或相反)之间的绑定数据,TrGW向IMS ALG提供绑定数据,以及在会话释放时,IMS ALG释放该绑定。
此外,图1刻画基于IPv6的用户设备UE(该设备与基于IPv4的通信节点(未示出)CN通信)。同时示出代理-CSCF(P-CSCF),当发起通信或会话时,它接收来自用户设备UE的“第一跳”信令信息。可以把I-CSCF和S-CSCF视为所谓的呼叫处理服务器CPS,它代表通信管理节点的一个例子。另外,域名服务器DNS和本地用户服务器HSS构成该体系结构的一部分。上面描述的实体主要与表示信令业务量的虚线表示的信令和通信管理有关,而通过翻译网关TrGW经由IP-CAN(IP连通性接入网络)从用户设备UE向通信参与方,即通信节点(未示出),传送有效负载数据,正如图1中的粗线表示的“承载”表示的那样。
由于本领域的熟练技术人员熟悉其一般体系结构以及带有各种功能的实体/节点,所以此处省略其详细描述。
防火墙基于过滤规则过滤IP包括,过滤规则通常考虑源和目的IP地址,协议类型和/或端口号。为了避免攻击,用过滤规则配置防火墙。此类规则包括静态规则(例如,停止TCP flooding或特定协议)和动态规则(针孔)。某些应用需要在防火墙中进行动态针孔配置。例如,SIP通信需要在防火墙中动态创建/删除(亦即,打开/关闭)针孔,以便媒体流通过防火墙,同时阻止攻击(UDP flooding等)。一般而言,当通信开始/停止时,基于UDP(用户数据报协议)的应用需要打开/关闭动态针孔。请注意,SIP的描述仅仅作为例子而已,其它协议也可以与本发明一起使用,如WAP(无线应用协议)等。
到目前为止,人们提出了用于防火墙中的动态针孔控制的几种解决方案,下面进行简短介绍1.使用假的UDP分组根据该方法,用户设备UE发送一个哑UDP分组,防火墙FW基于该分组打开针孔。然而,防火墙FW无法确定何时关闭针孔(由于UDP通信没有TCP拥有的会话建立/拆卸)。作为选择,用户设备UE可以发送哑UDP分组以便在防火墙FW中创建针孔,并且通过周期传送这种分组持续发送此类哑UDP分组。然而,该方法有两个主要问题(1)用户设备UE不了解在防火墙FW中创建的状态的定时器,(2)可能导致在该无线链路上发送大量字节,因此浪费资源。
2.使用知道例如SIP的防火墙FW知道SIP的FW对SIP信令进行语法分析,并且在需要时打开/关闭针孔。然而,这要求SIP信令在防火墙中是可见的,当应用SIP压缩时(例如,在3GPP和3GPP2 IMS中),防火墙FW也许不能对它解压缩。此外,该解决方案使得防火墙FW的控制太多,网络运营商至少部分失去控制(通常更可取的是保持对他的产品和/或网络的控制)。最后,当为了保护SIP而应用IPsec(网际协议(IP)安全)或TLS(传输层安全)加密时,不能应用该解决方案。
3.使用防火墙FW和应用服务器(例如,IMS中的SIP服务器)之间的接口尽管正在定义此类接口(例如,IETF中的MIDCOM(MIDCOMIETF定义的中间盒通信),IETF—因特网工程任务组),但它们仍然处于早期标准制订阶段,其标准化工作尚需时日,并且其产品中的可用性还很遥远,然而需要在防火墙FW支持此类接口之前部署各系统(如IMS)。此外,尽管该解决方案允许在厂商的产品(如SIP服务器)中进行控制,但是其部署并不完全独立于其他公司的产品。
4.用于配置FW的从终端UE到FW的信令协议TIST协议(拓扑不敏感服务遍历)、CASP协议(跨应用信令协议)以及其它文献提出从终端打开和关闭网络中的防火墙中的所需针孔的信令协议。然而,这些方法仍然是草案,此类解决方案标准化还需要很长时间。
发明内容
因此,本发明的目的是,为与动态针孔有关的问题提供一种选择性解决方案,该解决方案能够进行快速部署并且没有与上面概述的提议有关的缺点。
根据本发明,该目的是例如用以下方法实现的用于配置通信网络中的锚点的方法,该方法包括以下步骤经由所述通信网络的通信管理节点请求发起第一终端通信会话,当所述通信管理节点请求时,在锚点上首先建立用于第一终端的绑定,根据建立的绑定从所述通信管理节点向第二终端转发所述发起请求,所述第二终端向所述通信管理节点确认所述请求,当所述通信管理节点请求时,在所述锚点上第二次建立用于第二终端的绑定。
根据该方法的有利的进一步的发展,-所述请求发起的步骤包括以下步骤,至少向所述通信管理节点指示与该通信会话有关的终端的地址;-所述指示步骤进一步包括,通知所述第一终端所述通信会话的端口号;-所述建立绑定的步骤包括以下步骤,把别名和所述各终端联系起来;-所述建立绑定的步骤进一步包括以下步骤,在所述锚点上存储各终端的关联别名;-所述确认步骤进一步包括以下步骤,通知所述第二终端所述通信会话的端口号;
-该方法进一步包括以下步骤,通过使用所述第二终端的绑定通知所述第一终端发起会话;-该方法进一步包括以下步骤,经由所述通信网络的通信管理节点请求终止第一终端的通信会话,基于建立的绑定从所述通信管理节点向第二终端转发所述终止请求,所述第二终端向所述通信管理节点确认所述请求,首先当所述通信管理节点请求时,在该锚点上首先释放用于第一终端的绑定,其次当所述通信管理节点请求时,在所述锚点上第二次释放用于第二终端的绑定;-所述释放步骤包括以下步骤,在所述锚点上删除各终端的关联别名。
同样,根据本发明,该目的是例如用以下方法实现的在通信网络中的第一和第二终端之间建立的通信会话中传送数据的方法,其中该方法包括以下步骤,从第一终端向锚点传送需要传送的数据,配置该锚点以存储这些终端的各个绑定的表,通过使用这些终端的配置的绑定,从该锚点向所述网络的过滤节点转发需要传送的数据,以及基于所述终端的绑定在所述过滤节点上过滤需要传送的所述数据。
随着该方法的有利的进一步的发展,-所述过滤步骤进一步包括,基于该绑定使得需要传送的所述数据经由所述过滤节点到达第二终端,如果该配置的绑定中存在此绑定的话;-所述过滤步骤进一步包括,基于该绑定阻止所述数据通过所述过滤节点到达第二终端,如果该配置的绑定中不存在此绑定的话,-所述转播步骤包括以下步骤,基于该配置的绑定进行地址转换。
同样,根据本发明,该目的是例如用以下锚点实现的通信网络中的锚点,该锚点包括接收机,首先接收来自通信管理节点的用于建立请求发起通信会话的第一终端的绑定的绑定请求;处理器,响应于所述接收的绑定请求,首先建立所述第一终端的绑定,并且向所述通信管理节点返回所述绑定,所述接收机第二次接收来自该通信管理节点的用于建立与该通信会话有关的第二终端的绑定的绑定请求,以及当所述通信管理节点请求时,所述处理器第二次建立第二终端的绑定。
根据该锚点的有利的进一步的发展-所述处理器包括,在建立该绑定时把别名和所述各终端联系起来的分配设备;-所述锚点包括用于存储各终端的关联别名的存储器。
同样,根据本发明,该目的是例如用以下锚点实现的通信网络中的锚点,该锚点包括,接收机,用于接收需要从第一终端向第二终端传送的数据;存储器,用于存储这些终端的各配置绑定的表;处理器,通过使用这些终端的配置的绑定,向所述网络的过滤节点转播需要传送的数据。
根据所述锚点的有利的进一步的发展-所述处理器包括一个地址翻译器,后者基于该配置的绑定执行地址转换。
同样,根据本发明,该目的是例如用以下过滤节点实现的通信网络中的过滤节点,该过滤节点包括接收机,用于接收来自锚点的需要从第一终端传送到第二终端的数据,其中该锚点保持这些终端的绑定;处理器,用于分析所述终端的绑定;以及过滤器,依靠分析结果过滤所述数据。
根据该过滤节点的有利的进一步的发展-所述过滤器基于该绑定向第二终端传送需要传送的所述数据,如果该锚点上的配置的绑定中存在此绑定的话;-所述过滤器基于该绑定阻止向第二终端传送所述数据,如果该锚点上的配置的绑定中不存在此绑定的话。
因此,正如从前面看到的那样,在为了确保适当的安全级(例如,SIP通信中的UDP流)而通常需要创建动态针孔的情况中,本发明定义能够使IP通信安全通过防火墙的方法。本发明基于以下想法,创建一个安全的经过授权的通信锚点,从而在防火墙执行分组过滤之前所有通信经过锚点。
因此,通过实现本发明至少可以获得以下优点1.本发明至少不需要特殊的FW配置接口((从终端到防火墙),也不需要FW中的ALG);2.本发明可以安全地支持SIP建立的通信(可以使用户免于常见的IP威胁,如众所周知的“TCP SYN flood”、“Teardrop”等);3.本发明不需要标准化,其部署比需要标准化的解决方案的部署更快;4.当采用该解决方案时,本发明不需要大量修改当前的CPS(S-CSCF/I-CSCF)实现,也不需要大量修改SIP代理服务器实现;5.本发明不需要对当前的基础设施(终端,IMS(IP多媒体子系统)等)进行任何修改/升级;6.本发明的另一个优点是不依赖任何外部方,也不依赖任何标准化论坛,因此,完全可以由单一厂商进行开发。
作为本发明的结果,所有数据业务量都会通过锚点,锚点如翻译网关TrGW,但这并不是问题,因为所有数据也得通过防火墙。(相反地,可以将TrGW配置为与防火墙物理上相邻或处于防火墙的内部,反之亦然。)因此,正如上面概述的那样,在为了确保适当的安全级(例如,SIP通信中的UDP流)而需要创建动态针孔的情况中,本发明定义能够使诸如基于IP的通信通过防火墙的方法。本发明基于以下想法,创建一个安全的经过授权的通信锚点,从而在所有通信经过锚点以后防火墙才执行分组过滤。本发明并未引入新的实体,而是重用现有构架。本发明依赖TrGW(翻译网关)以及CPS(或SIP代理)和TrGW之间的接口,TrGW的功能性是根据存储的IP映射表转换IP报头中的IP地址。
该接口允许当会话发起时,CPS请求TrGW提供IP地址之间的绑定数据,在会话释放时,TrGW向该CPS提供绑定数据,该CPS释放该绑定。FW应该是带有状态的防火墙,并且在外部接口上,仅仅接受其IP地址属于TrGW的地址池的输入数据分组。因此,TrGW将丢弃不与现有呼叫或会话相对应的所有输入数据分组(阻止所有进攻的企图),而有效数据分组将通过FW,FW会验证该数据分组不是畸形报文或其它攻击(如TCP SYN flood等)。
结合附图一起参照以下描述,上述和其它的优点将更加明显,其中图1说明用于使IPv6和IPv4网络互相配合的3GPP采用的公知体系结构;图2说明与锚点的配置有关的本文提议的发明;图3描述关于数据传送应用本文提议的发明时的IP分组路由;图4描述与锚点的配置有关的实现本发明的特殊的选择性方法;图5说明根据本发明的与锚点的配置有关的锚点;图6说明根据本发明的与数据传送有关的锚点;图7说明根据本发明的与数据传送有关的过滤节点;以及图8说明与通信会话的终止有关的信令。
具体实施例方式
以下参照附图详细描述本发明。
为了说明本发明,将描述具有实时流的SIP呼叫。然而,本文描述的方法并不限于使用SIP(如3GPP IMS)的情况,而是可以应用于例如WAP的情况。通常,在需要创建动态针孔但不存在防火墙配置接口的其它工作环境中,也可以应用本发明。
可以理解,本发明使用诸如翻译网关(TrGW)的锚点。锚点的功能性是根据存储的IP映射表转换诸如IP报头中的IP地址的地址;其功能性类似于一个网络地址翻译器NAT。同时,可以看出,本发明使用CPS(或SIP代理)和TrGW之间的接口。该接口允许在会话发起时,CPS(或SIP代理)请求TrGW提供IP地址之间的绑定数据(请参见下面的详细解释),该TrGW向该CPS(或SIP代理)提供该绑定数据,在会话释放时,该CPS(或SIP代理)释放该绑定。
首先,参照图2,该图描述用于配置通信网络中的锚点的方法。
图2说明利用其地址IP1标识的作为通信发起终端的终端UE,作为通信管理节点的一个例子的呼叫处理服务器CPS,作为锚点的一个实例的翻译网关TrGW,在配置锚点之后用于通信的网关FW(稍后说明),以及利用其地址IP3标识的通信目的地终端,即通信节点CN。
在终端之间的通信中,终端之间存在可以称为呼叫的逻辑联合。在此类呼叫之内,可以传送不同“内容”或业务量类型的数据,亦即,不同服务质量QOS的数据,如实时或非实时业务量等。各种类型的数据/业务量是在所谓的会话中传送的,其中会话构成呼叫本身的一部分。此外,会话不仅可以用终端的地址进行标识,而且另外可以用各终端的端口号进行标识,其中经由端口号引导/处理业务量。翻译网关保持/存储转换表或映射表,在转换表或映射表中,把通信发起终端的IP地址(InitIP)和对应的IP地址CorrIP(表示该终端的别名)联系起来。作为选择(未示出),映射表不仅包括终端地址,而且另外包括各终端的各个端口。
下面描述用于配置锚点TrGW的方法。该方法包括以下步骤在第一步骤1中,UE向它的CPS发送SIP邀请,制定它期望的SDP(会话描述协议)字段中的媒体流的IP地址IP1以及端口号。为了本说明起见,我们把IP1和端口号Port#1称为该UE期望的媒体流的IP地址和端口号。换句话说,经由所述通信网络的通信管理节点CPS,请求第一终端UE发起通信会话。同时,所述请求发起的步骤包括以下步骤,至少向所述通信管理节点CPS指示终端UE的地址,与该通信会话有关的CN,并且所述指示步骤进一步包括,通知所述第一终端UE所述通信会话的端口号Port#1。
在第二步骤2中,CPS向TrGW发送请求,以提供该UE的IP地址,即IP1。该请求请求把IP地址和发起请求的终端的地址联系起来,以建立绑定。接着,当所述通信管理节点CPS请求时,诸如TrGW的锚点在该锚点(TrGW)上首先建立用于第一终端UE的绑定。
这意味着TrGW把另一个IP地址(别名)1P_2和IP_1联系起来,并且在其映射表中创建一个条目以存储该关联。作为选择,该CPS可以提供用户设备UE的端口号Port#1,并且作为选择,TrGW可以指派另一个端口号Port#2。同样在映射表中存储该信息,以便象后面描述的那样以更高的粒度过滤输入数据分组。基于锚点TrGW提供的绑定,CPS修改SIP邀请的SDP字段更具体地,利用IP2和Port#2(可选)替换IP1和Port#1。
接着,TrGW向CPS发送应答,提供IP_2作为关联到IP1的绑定地址。利用图2中的步骤3说明该关联响应。
此后,在步骤4中,所述通信管理节点CPS基于建立的绑定向第二终端CN转发所述发起请求,通过使用与用户设备UE关联的绑定IP地址IP2,CPS向通信节点发送SIP邀请。
作为响应(图2中未示出),被叫方利用例如“SIP 200 OK”应答呼叫管理节点CPS。因此,所述第二终端CN向所述通信管理节点CPS确认所述请求。
目的地的媒体流容量沿着上述信令流中的“SIP 200 Ok”报文中的信令路径返回。实际上,也可以在所谓的“SIP 183 Session Progressprovisional response”甚至在其它应答中返回它们。
当收到例如SIP 200 Ok时,CPS请求绑定锚点TrGW上的SDP字段中指定的被叫方的通信节点的IP地址IP3(以及可选端口号Port#3)。这相当于当所述通信管理节点请求时,在所述锚点上第二次建立用于第二终端CN的绑定。
TrGW提供(在第二次建立时)地址IP4和端口号Port#4(可选),CPS将在最终返回给终端UE的SIP 200 Ok报文的SDP字段中指定它们。
执行这些步骤,从而被叫方CN“看到”单一IP地址,即IP_2,作为主叫方UE的IP地址。通信时,所有数据分组都是由锚点TrGW路由的,TrGW将执行所需的地址翻译。如果没有建立被叫终端的地址绑定的步骤,该UE将从IP1向CN发送数据分组,而SIP信令将指示IP2作为发起地址。
随后呼叫管理节点CPS向终端UE转发SIP报文。从终端UE的角度来看,被叫方CN期望位于IP4和例如Port#4(可选)上的媒体流。因此,需要通知所述第一终端UE会话的发起,其中在该通知中将使用所述第二终端的绑定。
通过采用该IP地址和端口号发送媒体流,数据分组将到达TrGW,后者将识别与该流关联的绑定。
因此,所述建立绑定的步骤二者均包括以下步骤,把别名和所述各终端UE、CN联系起来,亦即,这些终端在不同的地址(以及可选端口号下)“出名”,例如,IP2代替IP1,IP4代替IP3。
同样,建立绑定的步骤进一步包括以下步骤,在所述锚点上,例如以查找表的形式在该锚点的存储器中存储各终端的关联别名。
(此外,作为选择,所述确认步骤进一步包括以下步骤,通知所述第二终端CN所述通信会话的端口号Port#3。)因此,在请求发起呼叫或通信会话时,在锚点上配置映射表。
图8表示与通信会话的终止有关的根据本发明的步骤。在这点上,该方法进一步包括步骤S81,该步骤经由所述通信网络的通信管理节点CPS请求终止第一终端UE的通信会话(终止请求也可以由通信节点发起,其后该节点充当“第一终端”)。接着,基于建立的绑定,从所述通信管理节点CPS向第二终端CN转发(S82)该终止请求,第二终端向所述通信管理节点CPS确认所述请求(S83)。该管理节点CPS向锚点TrGW转播(S84)该请求。
接着,出现首次释放(S85),当所述通信管理节点CPS请求(S84)时,在锚点TrGW上释放第一终端UE的绑定,出现第二次释放(S86),当所述通信管理节点请求(S84)时,在所述锚点TrGW上释放第二终端CN的绑定。这些释放步骤包括以下步骤,在所述锚点上删除各终端的关联别名。这意味着有选择地擦除映射表中的条目(图2、3和4所示)。
至此,已经描述了锚点的配置。以下描述使用上面配置的锚点的通信。
通常,根据本发明的传送数据的方法涉及通信网络中的第一UE、CN和第二CN、UE终端之间的所建立的通信会话中的数据。该方法包括以下步骤,从第一UE、CN终端向锚点TrGW传送需要传送的数据,锚点被配置用来存储用于这些终端的各个绑定的表。接着,通过使用这些终端的配置的绑定,从锚点向诸如所述网络中的防火墙FW的过滤节点转播需要传送的数据。此后,基于所述终端的绑定,在所述过滤节点上过滤需要传送的所述数据。
更具体地,过滤进一步包括,基于该绑定使需要传送的所述数据通过所述过滤节点到达第二CN、UE终端,如果配置的绑定中存在此绑定的话。同样,过滤进一步包括,基于该绑定阻止所述数据通过所述过滤节点到达第二CN、UE终端,如果配置的绑定中不存在此绑定的话。
参照图3,这意味着在按上述方式配置锚点之后,下一个步骤是,基于配置的绑定按以下方式发送从UE到CN以及从CN到UE的业务量第一种情况(从UE到CN的下行)把数据从UE发送到TrGW,然后从TrGW发送到FW并由此发送到CN,正如下面描述的那样(图3未示出)。
第二种情况(从CN到UE的上行)把数据从CN发送到TrGW,接着从TrGW发送到FW并由此发送到UE,正如下面描述的那样(图3未示出)。
以下进行详细描述把从用户设备UE发起的有效负载数据强行发送到锚点。当该网络中存在多个锚点时,其实现方式是把锚点和各终端联系起来,例如,依靠终端的地址和/或位置或依靠任何其它标准,例如,依靠有关业务量类型。
锚点TrGW按以下方式修改输入数据分组的IP报头,从而与输出数据分组的报头不同-把源IP地址从IP_1修改成IP_2-把目的IP地址从IP_4修改成IP_3-可选地,把源端口号从Port#1修改成Port#2-可选地,把目的端口号从Port#4修改成Port#3。
对于输入IP数据分组,被叫方(即CN)从其地址IP_3向用户设备UE的别名地址IP_2发送IP数据分组作为应答。
同样,这些IP数据分组到达锚点TrGW,后者按以下方式修改数据分组-把源IP地址从IP_3修改成IP_4,-把目的IP地址从IP_2修改成IP_1,-可选地,把源端口号从Port#3修改成Port#4,-可选地,把目的端口号从Port2修改成Port#1。
总之,通信时,把带有修改报头的数据分组强行发送到诸如防火墙的过滤节点。即,把从锚点TrGW发出的数据强行发送到防火墙。当该网络中存在多个防火墙时,其实现方式是,把防火墙和各锚点联系起来,例如,依靠锚点的地址和/或位置,或者依靠任何其它标准。
接着,对防火墙进行配置,目的是使得来自锚点TrGW的IP地址池中的输入数据分组通过防火墙,并阻止其它数据分组。因此,作为过滤节点的防火墙知道经过授权的通信的绑定的地址池。
该知识是例如通过以下方式获得的,当在锚点上建立或删除绑定时,锚点通知防火墙每个新近建立或删除的绑定。作为选择,在接收数据分组时,防火墙可以查询锚点以便学习有关地址是否是锚点的地址池的一部分。其它可能性是可以想象的,以便防火墙获得锚点的地址池的知识。
此类通信方法允许-丢弃到达防火墙的无效数据分组,
-丢弃到达锚点TrGW的无效数据分组,例如,不向防火墙转发不与现有会话相对应的输入IP数据分组,-向用户设备UE交付来自有效节点的输入数据分组-防火墙对照常见IP威胁(如TCP SYN flood,Ping of death等)检查来自有效节点的输入数据分组可选地,在配置锚点时,如果CPS提供通信节点的端口号和IP地址,则在过滤输入IP数据分组时也可以使用该信息。
允许通过TrGW和防火墙的唯一数据分组是合法CN(亦即,受该FW保护的网络中的UE的SIP呼叫中的CN,否则TrGW将丢弃它们)生成的、指向UE的合法IP地址的、与UE允许的协议类型相对应的数据分组,反之亦然。
为了实现本发明,按上述方式配置锚点TrGW。同时,按上述方式配置TrGW和CPS之间的接口。该接口可以基于LDAP(轻量目录访问协议),或COPS(公用开放策略服务)协议。
或者把CPS的额外功能性(CPS向TrGW发送的请求,SIP报文的修改)添加到当前的CPS实现中,或者在SIP代理服务器中实现。CPS将向该SIP代理转发所有SIP信令,该SIP代理将执行上述操作。
附图中的图4说明该修改。该方法流程与图2所示的流程类似,但是在该修改中,把赋予图2中的CPS的功能性转移到位于CPS和锚点之间的SIP代理服务器上。CPS仅仅向作为备选通信管理节点的SIP代理服务器转播用于发起通信会话的请求,并且向UE转播各应答/确认。因此,此处省略其详细描述。
这样,通过分析在通信节点之间交换的SIP信令和数据,更具体地,通过分析充当防火墙的“动态规则”的指示IP地址(和可选的端口号),可以实现通信安全。
在上文中参照有关方法描述了本发明。然而,请注意,本发明同样涉及相应修改的节点。
因此,可以理解,鉴于配置锚点的方法,可以按以下方式构造锚点。
图5所示的根据本发明的锚点包括接收机,首先接收来自通信管理节点的用于建立请求通信会话发起的第一终端的绑定的绑定请求;处理器,响应于所述接收的绑定请求首先建立所述第一终端UE的绑定,并向所述通信管理节点返回所述绑定,并且所述接收机第二次接收来自该通信管理节点的用于建立与该通信会话有关的第二终端的绑定的绑定请求,并且在所述通信管理节点请求时,所述处理器第二次建立第二终端CN的绑定。请注意,该接收机实际上是一个接收机/发射机,发射机部分向通信管理节点CPS(或代理-CSCF)返回与建立的绑定有关的信息。请注意,尽管图5表示分别接收的绑定请求,但是该图只用于说明目的,在不同时刻接收的两个请求当然可以通过到达该通信管理节点CPS(或代理-CSCF)的锚点的同一接口进行接收。
此外,该处理器包括分配设备,在建立绑定时该设备把别名和所述各终端联系起来,并且该锚点包括用于存储各终端的关联别名的存储器。
此外,可以理解,关于通信方法,锚点是按以下方式构造的。就此而言,尽管用不同
该锚点,但是必须注意,这只用于说明目的。实际上,在任何时候,根据本发明的锚点配备有所有内部设备/装置,尽管它们是根据锚点的运行状态有选择地呈现的,即,在配置锚点或者在经由锚点通信时。同样,可以在通信之间或者在通信期间进行配置,最好把锚点的处理设备配置成允许并行处理配置和通信处理。同样,锚点的某些组件不是双倍配置的,而是用于两个目的,配置和通信(例如,接收机,存储器)。
图6所示的根据本发明的锚点包括接收机,用于接收需要从第一UE、CN终端向第二终端CN、UE传送的数据;用于存储这些终端的各绑定表的存储器;通过使用这些终端的绑定向所述网络的过滤节点FW转播需要传送的数据的处理器。当然,该接收机实际上是一个接收机/发射机,并且起发射机的作用,以便根据该处理器的处理结果转播数据。正如在通信方法中描述的那样,该处理器与该存储器和其中存储的绑定合作,修改数据的报头。请注意,该锚点仅仅向防火墙选择地转播具有其数据/地址的绑定信息的数据,亦即,防止向防火墙转发与该锚点中没有存储其别名(绑定)的终端地址关联的数据。这意味着该锚点检测绑定,并且仅仅向过滤节点转发根据绑定的有效数据分组,就这一点而言,已经构成防火墙功能性的一部分。然而,可以把相同功能性归于防火墙本身。
同样,可以理解,关于通信方法,按以下方式构造过滤节点。
图7所示的根据本发明的过滤节点包括接收机,用于接收需要从第一UE、CN终端向第二终端CN、UE传送的数据,用于接收来自保持这些终端的绑定的锚点的数据,用于分析所述终端的绑定的处理器,以及依靠分析结果过滤所述数据的过滤器。
特别地,所述过滤器基于该绑定向第二终端CN、UE传送所述需要传送的数据,如果该锚点上的配置的绑定中存在此绑定的话,并且所述过滤器基于该绑定阻止向第二终端CN、UE传送所述数据,如果该锚点上的配置的绑定中不存在此绑定的话。不交付被阻止的数据,而是将其删除或丢弃。因此,过滤节点检查从锚点到达该过滤节点的看起来有效的(例如,由于已经通过该锚点)数据分组不是无效的。
请注意, 锚点以及过滤节点的方框电路图是在没有任何具体实现细节的情况下给出的。可以用诸如数字信号处理器DSP或诸如ASIC(专用集成电路)之类的硬件或者用软件实现这些节点。只要该节点能够执行参照要执行的方法/步骤描述的功能性,所有实现都是可行的。
因此,正如上面描述的那样,在为确保适当的安全级而必须创建动态针孔的情况中,本发明定义用来过滤通过防火墙的IP通信的方法和通信节点。本发明基于创建用于通信的安全的经过授权的锚点,其中所有通信先通过锚点后防火墙才执行分组过滤。本发明并未引入新的实体,而是重用现有构架。本发明依靠翻译网关TrGW以及CPS(或SIP代理)和TrGW之间的接口,其中TrGW根据存储的映射表转换报头中的地址。该接口允许在会话发起时,CPS请求TrGW提供IP地址之间的绑定数据,在会话释放时,TrGW向CPS提供绑定数据,并且CPS释放该绑定。FW应该是带有状态的过滤器,并且在外部接口上,只接受其IP地址属于TrGW的地址池的输入数据分组。因此,在TrGW上丢弃不与现有呼叫相对应的所有输入数据分组,并且有效数据分组将通过该FW,该FW将证实该数据分组不是畸形报文,也不是其它攻击。
尽管参照仅仅选择作为示例的特定实施方式描述了本发明,但是应该理解,上述描述和附图仅仅在于用示例来说明本发明。因此,该方法和节点的优选实施方式可以在所附权利要求书的范围内变化。
权利要求
1.一种用于配置通信网络中的锚点的方法,该方法包括以下步骤经由所述通信网络的通信管理节点为第一终端首先请求发起通信会话;当所述通信管理节点请求时,在锚点上首先建立用于第一终端的绑定;根据建立的绑定从所述通信管理节点向第二终端转发所述第一发起请求;所述第二终端向所述通信管理节点确认所述第一发起请求;以及当所述通信管理节点请求时,在所述锚点上第二次建立用于第二终端的绑定。
2.根据权利要求1的方法,其中所述请求发起的步骤包括以下步骤,即至少向所述通信管理节点指示与该通信会话有关的终端的地址。
3.根据权利要求2的方法,其中所述指示步骤进一步包括,通知所述第一终端所述通信会话的端口号。
4.根据权利要求1的方法,其中所述建立绑定的步骤包括把别名和所述各终端联系起来的步骤。
5.根据权利要求4的方法,其中所述建立绑定的步骤进一步包括在所述锚点上存储各终端的关联别名的步骤。
6.根据权利要求1的方法,其中所述确认步骤进一步包括通知所述第二终端所述通信会话的端口号的步骤。
7.根据权利要求1的方法,进一步包括使用所述第二终端的绑定通知所述第一终端发起会话的步骤。
8.根据权利要求1的方法,进一步包括以下步骤经由所述通信网络的通信管理节点第二次请求终止第一终端的通信会话;基于建立的绑定从所述通信管理节点向第二终端转发所述第二终止请求;所述第二终端向所述通信管理节点确认所述第二终止请求;当所述通信管理节点请求时,在该锚点上首先释放用于第一终端的绑定,以及当所述通信管理节点请求时,在所述锚点上第二次释放用于第二终端的绑定。
9.根据权利要求8的方法,其中所述释放步骤包括在所述锚点上删除各终端的关联别名的步骤。
10.一种在通信网络中的第一和第二终端之间的建立的通信会话中传送数据的方法,该方法包括以下步骤,从第一终端向锚点传送需要传送的数据,所述锚点配置为存储这些终端的各个绑定的表;通过使用这些终端的配置的绑定,从该锚点向所述网络的过滤节点转发需要传送的数据;以及基于所述终端的绑定在所述过滤节点上过滤需要传送的所述数据。
11.根据权利要求10的方法,其中所述过滤步骤进一步包括,如果配置的绑定中存在此绑定,则基于该绑定将需要传送的所述数据经由所述过滤节点向前传送到第二终端。
12.根据权利要求10的方法,其中所述过滤步骤进一步包括,如果配置的绑定中不存在此绑定,则基于该绑定阻止将所述数据通过所述过滤节点传送到第二终端。
13.一种通信网络中的锚点,该锚点包括接收机,接收来自通信管理节点的用于建立请求发起通信会话的第一终端的第一绑定的第一绑定请求;处理器,响应于所述接收的绑定请求,建立所述第一终端的第一绑定,并且向所述通信管理节点返回所述绑定;所述接收机接收来自该通信管理节点的用于建立与该通信会话有关的第二终端的第二绑定的第二绑定请求;以及当所述通信管理节点请求时,所述处理器建立第二终端的第二绑定。
14.根据权利要求13的锚点,其中所述处理器包括,在建立该绑定时把别名和所述各终端联系起来的分配设备。
15.根据权利要求14的锚点,进一步包括用于存储各终端的关联别名的存储器。
16.一种通信网络中的锚点,该锚点包括接收机,用于接收需要从第一终端向第二终端传送的数据;存储器,用于存储这些终端的各配置绑定的表;以及处理器,通过使用这些终端的配置的绑定,向所述网络的过滤节点转发需要传送的数据。
17.一种通信网络中的过滤节点,该过滤节点包括接收机,用于接收来自锚点的需要从第一终端传送到第二终端的数据,其中该锚点保持这些终端的绑定;处理器,用于分析所述终端的绑定;以及过滤器,依靠分析结果过滤所述数据。
18.根据权利要求17的过滤节点,其中,如果该锚点上的配置的绑定中存在此绑定,则所述过滤器基于该绑定向第二终端传送需要传送的所述数据。
19.根据权利要求17的过滤节点,其中,如果该锚点上的配置的绑定中不存在此绑定,则所述过滤器基于该绑定阻止向第二终端传送所述数据。
20.根据权利要求10的方法,其中所述转发步骤包括基于配置的绑定进行地址转换的步骤。
21.根据权利要求16的锚点,其中所述处理器包括一个地址翻译器,地址翻译器基于配置的绑定执行地址转换。
22.一种用于配置通信网络中的锚点的系统,该系统包括经由所述通信网络的通信管理节点为第一终端首先请求发起通信会话的第一请求装置;当所述通信管理节点请求时,在锚点上首先建立用于第一终端的绑定的第一建立装置;根据建立的绑定从所述通信管理节点向第二终端转发所述第一发起请求的转发装置;所述第二终端向所述通信管理节点确认所述第一发起请求的确认装置;以及当所述通信管理节点请求时,在所述锚点上第二次建立用于第二终端的绑定的第二建立装置。
23.根据权利要求22的系统,进一步包括经由所述通信网络的通信管理节点第二次请求终止第一终端的通信会话的第二请求装置;基于建立的绑定从所述通信管理节点向第二终端转发所述第二终止请求的转发装置;所述第二终端向所述通信管理节点确认所述第二请求的确认装置;当所述通信管理节点请求时,在该锚点上首先释放用于第一终端的绑定的第一释放装置;以及当所述通信管理节点请求时,在所述锚点上第二次释放用于第二终端的绑定的第二释放装置。
24.一种在通信网络中的第一和第二终端之间的建立的通信会话中传送数据的系统,该系统包括从第一终端向锚点传送需要传送的数据的传送装置,其中该锚点配置为存储这些终端的各个绑定的表;通过使用这些终端的配置的绑定,从该锚点向所述网络的过滤节点转发需要传送的数据的转发装置;以及基于所述终端的绑定在所述过滤节点上过滤需要传送的所述数据的过滤装置。
全文摘要
在为了确保适当的安全级而创建动态针孔的情况中,用于过滤通过防火墙(FW)的IP通信的方法和通信节点(CN)。本发明基于为通信创建一个安全的经过授权的通信锚点(TrGW),从而在所有通信经过锚点以后防火墙才执行分组过滤。本发明依赖翻译网关(TrGW)以及CPS(或SIP代理)和TrGW之间的接口,TrGW根据存储的映射表转换报头中的地址。当会话发起时,该接口允许CPS请求TrGW提供IP地址之间的绑定数据,在会话释放时,TrGW向该CPS提供绑定数据,该CPS释放该绑定。防火墙(FW)接收其IP地址属于TrGW的地址池的输入数据分组。因此,TrGW将丢弃不与现有呼叫相对应的所有输入数据分组,而有效数据分组将通过FW,FW会验证该数据分组不是畸形报文或其它攻击。
文档编号H04M7/00GK1883181SQ200480034119
公开日2006年12月20日 申请日期2004年11月24日 优先权日2003年11月25日
发明者弗兰克·勒, 斯蒂法诺·法克辛 申请人:诺基亚公司