CN100413376C - 一种提高下一代网络终端通信安全性的方法及终端 - Google Patents
一种提高下一代网络终端通信安全性的方法及终端 Download PDFInfo
- Publication number
- CN100413376C CN100413376C CNB200510092515XA CN200510092515A CN100413376C CN 100413376 C CN100413376 C CN 100413376C CN B200510092515X A CNB200510092515X A CN B200510092515XA CN 200510092515 A CN200510092515 A CN 200510092515A CN 100413376 C CN100413376 C CN 100413376C
- Authority
- CN
- China
- Prior art keywords
- address
- terminal
- tabulation
- safety protection
- protection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000006854 communication Effects 0.000 title claims abstract description 46
- 238000004891 communication Methods 0.000 title claims abstract description 45
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000011664 signaling Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种提高下一代网络(NGN)终端通信安全性的方法及终端,包括:配置一允许访问地址列表,存储允许访问NGN终端的地址信息;当NGN终端接受到呼叫请求时,由安全防护模块判断该呼叫请求是否来自所述允许访问地址列表中存储的地址,若否,则拒绝本次呼叫;若是,则执行下列步骤:A、安全防护模块获取本次通信对端的通信地址,作为临时访问地址信息加入到所述允许访问地址列表中;并动态打开到对端的直连通路;B、NGN终端收到数据包后,安全防护模块判断数据包中的地址信息是否包含在所述允许访问地址列表中,若是,则允许当前数据包通过;否则,丢弃当前数据包。本发明能使NGN终端对匿名呼叫或恶意攻击进行有效防护。
Description
技术领域
本发明涉及下一代网络(Next Generation Network,简称NGN),尤指一种提高下一代网络终端通信安全性的方法及NGN终端。
背景技术
NGN安全性是NGN大规模商用的焦点问题之一,NGN终端如:IAD(Intergrity Access Device,综合接入设备)的安全性也非常关键,在扁平化的IP网下,NGN终端很容易收到匿名的呼叫或者其他恶意的攻击,如何提高NGN终端的安全性也是NGN网络安全所必须解决的重要问题。
目前提高NGN终端安全性的方案还比较少,一般的思路是通过认证的方式来避免非认证攻击者对终端设备发起攻击。比如在SIP UA(SIP User Agent,SIP用户代理)终端为了防止攻击采用双向认证机制,只有通过认证的对端才可以对受保护终端发起呼叫,没有通过认证的对端将不能发起呼叫,从而在一定程度上避免了旁路呼叫或者匿名呼叫的问题。
现有技术的缺点如下:
(1)认证机制只能避免匿名呼叫和旁路呼叫,但对于利用协议漏洞和协议实现漏洞而发起的攻击并不能有效避免。
(2)认证机制对终端的处理性能要求比较高,当攻击者发起大量请求时,容易造成DoS(Denial of Service,拒绝服务)攻击效果。
发明内容
本发明提供一种提高下一代网络终端通信安全性的方法及NGN终端,用以解决现有技术中存在的NGN终端对匿名呼叫或恶意攻击不能进行有效防护的问题。
本发明方法包括:配置一允许访问地址列表,存储允许访问NGN终端的地址信息;当NGN终端接受到呼叫请求时,由安全防护模块判断该呼叫请求是否来自所述允许访问地址列表中存储的地址,若否,则拒绝本次呼叫;若是,则执行下列步骤:
A、安全防护模块获取本次通信对端的通信地址,作为临时访问地址信息加入到所述允许访问地址列表中;并动态打开到对端的直连通路;
B、NGN终端收到数据包后,安全防护模块判断数据包中的地址信息是否包含在所述允许访问地址列表中,若是,则允许当前数据包通过;否则,丢弃当前数据包。
根据本发明的上述方法,当本次通信结束后,删除所述允许访问地址列表中的临时访问地址信息。
所述步骤A包括:安全防护模块解析NGN终端与通信服务器的交互信令,获取本次通信对端的通信地址信息。
所述步骤A包括:安全防护模块向NGN终端的应用处理模块获取本次通信对端的通信地址信息。
所述安全防护模块为软件逻辑模块,在NGN终端进行网络注册成功后启动。
所述安全防护模块为一个独立设置的功能实体,通过接口与通信终端相连接。
所述NGN终端可以是IAD、软终端或硬终端。
所述允许访问地址列表中包括通信服务器地址和/或允许访问该NGN终端的其它网络实体的地址。
所述通信服务器为软交换机、呼叫代理或媒体网关控制器。
所述其它网络实体的地址为域名服务器地址和/或网管服务器地址。
所述地址为IP地址。
本发明另提供一种NGN终端,包括终端本体及通信模块,还包括:安全防护模块和允许访问地址列表;
所述安全防护模块判断对NGN终端的呼叫请求是否来自所述允许访问地址列表中的地址;并获取本次通信的对端通信地址作为临时访问地址信息加入到所述允许访问地址列表中;当NGN终端收到数据包后,如果数据包中的地址信息包含在所述允许访问地址列表中,则接收当前数据包;否则,丢弃当前数据包;当本次通信结束后,删除所述允许访问地址列表中的临时访问地址信息;
所述允许访问地址列表中至少存储通信服务器的地址和所述临时访问地址信息。
本发明有益效果如下:
本发明通过在NGN终端本地配置一个允许访问地址列表,在允许访问地址列表中存储通信服务器地址(或允许访问该NGN终端的其它网络实体的地址)。当NGN终端接收到通信服务器转发的呼叫时,NGN终端与通信服务器通过信令交互,协商本次通信对端的通信地址;安全防护模块将所述对端通信地址作为临时访问地址信息加入到所述允许访问地址列表中;NGN终端收到数据包后,安全防护模块若判断数据包中的地址信息包含在所述允许访问地址列表中,则接收当前数据包;否则,丢弃当前数据包。这样,就能保证只有允许访问地址列表中存储的地址发来的数据包被接收,其它旁路呼叫、匿名呼叫或恶意呼叫的数据包都将被拒绝,使得NGN终端能对匿名呼叫或恶意攻击进行有效防护。
采用本发明方案,由于对匿名呼叫数据包或恶意数据包采取丢弃方式,避免了NGN终端的上层应用程序对一些恶意的数据包或者畸形数据包进行处理而可能带来安全隐患。
本发明方案中,当一次通信过程结束后,删除临时访问地址信息,使得只有有限的确定地址的网络实体可以访问NGN终端,大大提高了NGN终端的安全性。
附图说明
图1为本发明方法流程图;
图2为本发明NGN通信终端结构示意图。
具体实施方式
在NGN网络中,为了计费和运营均采用集中控制管理的模式。所以在NGN网络中,不管是采用SIP(Session Initial Protocol,会话初始协议)协议、H.323协议、MGCP(Media Gateway Control Protocol,媒体网关控制协议)还是Megaco协议,所有的通信终端最开始的直接通信的对端事实上均为预设的通信服务器(本发明中的通信服务器包括软交换机、呼叫代理或媒体网关控制器等进行呼叫接续转发的网体实体)。在一次呼叫流程中,可能需要与其他的终端直接建立通信,则直接通信对端的地址信息由NGN终端与通信服务器通过信令交互协商指明。
本发明方法的基本实现原理包括:配置一允许访问地址列表,存储允许访问NGN终端的地址信息;当NGN终端接受到呼叫请求时,由安全防护模块判断该呼叫请求是否来自所述允许访问地址列表中存储的地址,若否,则拒绝本次呼叫;若是,则安全防护模块获取本次通信对端的通信地址,作为临时访问地址信息加入到所述允许访问地址列表中;并动态打开到对端的直连通路;NGN终端收到数据包后,安全防护模块判断数据包中的地址信息是否包含在所述允许访问地址列表中,若是,则允许当前数据包通过;否则,丢弃当前数据包。当本次通信结束后,删除允许访问地址列表中的临时访问地址信息。
安全防护模块获取本次通信对端的通信地址的方法有如下两种:
方法一:安全防护模块通过解析NGN终端与通信服务器交互信令,获取本次通信对端的通信地址信息。
例如:对于从H.323协议交互信令数据单元中提取通信对端的通信地址(即媒体通道地址),最常用的方法是对H.323信令进行监视,通过对H.323的协议数据单元数据包进行ASN.1的PER(包编码规则)解码,然后将解码后的数据进行协议解析,从中提取媒体通道地址信息。
方法二:安全防护模块向NGN终端的应用处理模块获取本次通信对端的通信地址信息。
NGN终端的上层应用处理程序(模块)可以对通信数据包进行协议解析(具体的解析方法为现有技术,在此不详述),获取数据包中携带的通信对端的地址信息。安全防护模块可以直接从应用处理模块中得到解析出的通信对端地址信息。
本发明中的安全防护模块可以是一个逻辑软件,在NGN终端进行网络注册成功后立即启动该逻辑软件;而当终端注册不成功时,不启用该安全防护模块。
本发明中的安全防护模块也可以是一个独立的功能实体,与通信终端通过接口相连接,实现对来自不同地址的数据包的过滤功能。
本发明所述的NGN终端可以是IAD(Intergrity Access Device,)、软终端或硬终端。
本发明的允许访问地址列表中除了存储通信服务器的地址(例如IP地址)外,还可以包括允许访问该NGN终端的其它网络实体的地址。例如:域名服务器地址和/或网管服务器地址等。
本发明方法的具体实施步骤如图1所示,包括:
步骤S10、在NGN终端中设置允许访问地址列表,并启用安全防护模块;
步骤S11、NGN终端收到通信服务器转发的呼叫;
步骤S12、NGN终端与通信服务器协商本次通信对端的IP地址;
步骤S13、安全防护模块将本次通信对端的IP地址作为临时允许访问地址加入到允许访问地址列表中,并建立与对端的直连通路;
步骤S14、NGN终端接收到网络侧发送过来的数据包;
步骤S15、安全防护模块判断数据包的IP地址是否包含在允许访问地址列表中,若是,则执行步骤S16;若否,执行步骤S17;
步骤S16、接收当前数据包,转至步骤S18;
步骤S17、丢弃当前数据包,转至步骤S18;
步骤S18、判断本次通信是否结束,若否,转至步骤S14,接收下一个数据包,重复上述流程;若本次通信结束,则执行步骤S19;
步骤S19、删除允许访问地址列表中的临时允许访问地址信息。
根据本发明的上述方法,本发明提供一种NGN终端,包括终端本体及通信模块,还包括:安全防护模块和允许访问地址列表;
所述安全防护模块判断对NGN终端的呼叫请求是否来自所述允许访问地址列表中的地址;并获取本次通信的对端通信地址作为临时访问地址信息加入到所述允许访问地址列表中;当NGN终端收到数据包后,根据数据包中的地址信息是否包含在所述允许访问地址列表中,接收或丢弃当前数据包;当本次通信结束后,删除所述允许访问地址列表中的临时访问地址信息;
所述允许访问地址列表中至少存储通信服务器的地址和所述临时访问地址信息。
综上所述,本发明通过在NGN终端本地配置一个允许访问地址列表,当NGN终端接收到通信服务器转发的呼叫时,NGN终端与通信服务器通过信令交互,协商获取本次通信对端的通信地址并加入到所述允许访问地址列表中;NGN终端收到数据包后,安全防护模块若判断数据包中的地址信息包含在所述允许访问地址列表中,则接收当前数据包;否则,丢弃当前数据包。这样,就能保证只有协商确定的对端地址发来的数据包被接收,其它旁路呼叫、匿名呼叫或恶意呼叫的数据包都将被拒绝,使得NGN终端能对匿名呼叫或恶意攻击进行有效防护。本发明对不是允许访问地址列表中的地址所发送的数据包采取丢弃方式,避免了NGN终端的上层应用程序对一些恶意的数据包或者畸形数据包进行处理而可能带来安全隐患。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1. 一种提高下一代网络NGN终端通信安全性的方法,其特征在于,包括:配置一允许访问地址列表,存储允许访问NGN终端的地址信息;当NGN终端接受到呼叫请求时,由安全防护模块判断该呼叫请求是否来自所述允许访问地址列表中存储的地址,若否,则拒绝本次呼叫;若是,则执行下列步骤:
A、安全防护模块获取本次通信对端的通信地址,作为临时访问地址信息加入到所述允许访问地址列表中;并动态打开到对端的直连通路;
B、NGN终端收到数据包后,安全防护模块判断数据包中的地址信息是否包含在所述允许访问地址列表中,若是,则允许当前数据包通过;否则,丢弃当前数据包。
2. 如权利要求1所述的方法,其特征在于,当本次通信结束后,删除所述允许访问地址列表中的临时访问地址信息。
3. 如权利要求1所述的方法,其特征在于,所述步骤A包括:安全防护模块解析NGN终端与通信服务器的交互信令,获取本次通信对端的通信地址信息。
4. 如权利要求1所述的方法,其特征在于,所述步骤A包括:安全防护模块向NGN终端的应用处理模块获取本次通信对端的通信地址信息。
5. 如权利要求1所述的方法,其特征在于,所述安全防护模块为软件逻辑模块,在NGN终端进行网络注册成功后启动。
6. 如权利要求1所述的方法,其特征在于,所述安全防护模块为一个独立设置的功能实体,通过接口与通信终端相连接。
7. 如权利要求1所述的方法,其特征在于,所述NGN终端是综合接入设备。
8. 如权利要求1所述的方法,其特征在于,所述允许访问地址列表中包括通信服务器地址和/或允许访问该NGN终端的其它网络实体的地址。
9. 如权利要求8所述的方法,其特征在于,所述通信服务器为软交换机、呼叫代理或媒体网关控制器。
10. 如权利要求8所述的方法,其特征在于,所述其它网络实体的地址为域名服务器地址和/或网管服务器地址。
11. 如权利要求8所述的方法,其特征在于,所述地址为IP地址。
12. 一种NGN终端,包括终端本体及通信模块,其特征在于,还包括:安全防护模块和允许访问地址列表;
所述安全防护模块判断对NGN终端的呼叫请求是否来自所述允许访问地址列表中的地址;并获取本次通信的对端通信地址作为临时访问地址信息加入到所述允许访问地址列表中;当NGN终端收到数据包后,如果数据包中的地址信息包含在所述允许访问地址列表中,则接收当前数据包;否则,丢弃当前数据包;当本次通信结束后,删除所述允许访问地址列表中的临时访问地址信息;
所述允许访问地址列表中至少存储通信服务器的地址和所述临时访问地址信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510092515XA CN100413376C (zh) | 2005-08-15 | 2005-08-15 | 一种提高下一代网络终端通信安全性的方法及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510092515XA CN100413376C (zh) | 2005-08-15 | 2005-08-15 | 一种提高下一代网络终端通信安全性的方法及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1852566A CN1852566A (zh) | 2006-10-25 |
| CN100413376C true CN100413376C (zh) | 2008-08-20 |
Family
ID=37134029
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200510092515XA Expired - Fee Related CN100413376C (zh) | 2005-08-15 | 2005-08-15 | 一种提高下一代网络终端通信安全性的方法及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100413376C (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330744B (zh) * | 2007-07-27 | 2010-06-16 | 中兴通讯股份有限公司 | 控制个人网络外的ue访问个人网络内ue的方法 |
| CN110933013A (zh) * | 2018-09-19 | 2020-03-27 | 西安中兴新软件有限责任公司 | 一种提高终端安全性的方法及装置、计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000052900A1 (en) * | 1999-03-02 | 2000-09-08 | Obongo Inc. | An internet interface system |
| CN1390006A (zh) * | 2001-05-31 | 2003-01-08 | 阿尔卡塔尔公司 | 在具有多媒体能力的网络中的直接连接业务 |
| CN1633102A (zh) * | 2003-12-24 | 2005-06-29 | 华为技术有限公司 | 实现网络地址转换穿越的方法及其系统 |
-
2005
- 2005-08-15 CN CNB200510092515XA patent/CN100413376C/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000052900A1 (en) * | 1999-03-02 | 2000-09-08 | Obongo Inc. | An internet interface system |
| CN1390006A (zh) * | 2001-05-31 | 2003-01-08 | 阿尔卡塔尔公司 | 在具有多媒体能力的网络中的直接连接业务 |
| CN1633102A (zh) * | 2003-12-24 | 2005-06-29 | 华为技术有限公司 | 实现网络地址转换穿越的方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1852566A (zh) | 2006-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2095224B1 (en) | Systems, methods, media, and means for hiding network topology | |
| EP1430682B1 (en) | Protecting a network from unauthorized access | |
| US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
| US8191119B2 (en) | Method for protecting against denial of service attacks | |
| CN1882170A (zh) | 传统终端用户接入ims域的实现方法及系统 | |
| EP1687958A1 (en) | Method and system for filtering multimedia traffic based on ip address bindings | |
| CN1294722C (zh) | 网络侧选择鉴权方式的方法 | |
| WO2006114037A1 (fr) | Systeme de communication dote d’un module de commande de session en peripherie et procede de transmission de paquet de signalisation | |
| JP4692776B2 (ja) | Sipベースのアプリケーションを保護する方法 | |
| EP2567342A2 (en) | Apparatus and method for establishing a peer-to-peer communication session with a client device | |
| CN103067342A (zh) | 一种使用eap进行外部认证的设备、系统及方法 | |
| US9730074B2 (en) | System, methods and apparatuses for providing network access security control | |
| Kantola | 6G network needs to support embedded trust | |
| CN104506406B (zh) | 一种鉴权认证设备 | |
| CN100413376C (zh) | 一种提高下一代网络终端通信安全性的方法及终端 | |
| JP2007310781A (ja) | 接続先詐称回避方法及び中間ノード | |
| WO2011041964A1 (zh) | 一种网络设备管理的方法、网络系统及网络接入节点 | |
| CN100571461C (zh) | 通信系统 | |
| CN102752266A (zh) | 访问控制方法及其设备 | |
| WO2017108009A1 (zh) | Diameter信令发送方法和装置 | |
| KR101088867B1 (ko) | 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법 | |
| KR101398950B1 (ko) | 통신 네트워크에서 단말로부터 긴급 메시지들을 포워딩하기위한 방법 | |
| EP2567516A2 (en) | System and method for establishing a peer-to-peer communcation session | |
| CN112887211B (zh) | 一种网际协议报文数据转发系统 | |
| KR20130081141A (ko) | 에스아이피 기반 인터넷 전화 서비스의 보안 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171205 Address after: Tiefu iron rich street Pizhou city 221331 Jiangsu city of Xuzhou province (Cultural Center) Patentee after: Pan Rongqiong Address before: 510640 Guangdong City, Tianhe District Province, No. five, road, public education building, unit 371-1, unit 2401 Patentee before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Effective date of registration: 20171205 Address after: 510640 Guangdong City, Tianhe District Province, No. five, road, public education building, unit 371-1, unit 2401 Patentee after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181024 Address after: 510640 2414-2416 of the main building 371, five mountain road, Tianhe District, Guangzhou, Guangdong. Patentee after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Address before: 221331 Jiangsu province Xuzhou city Pizhou City Tie Fu town tie Fu Street (Cultural Center) Patentee before: Pan Rongqiong |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181101 Address after: 221300 the first street of new town, Pizhou, Xuzhou, Jiangsu Patentee after: Pizhou Eurasia import and export trade Co.,Ltd. Address before: 510640 2414-2416 of the main building 371, five mountain road, Tianhe District, Guangzhou, Guangdong. Patentee before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080820 Termination date: 20180815 |